セキュリティ診断システム
【課題】セキュリティ対策の多岐性、専門性によって生じる難解さ、煩雑さを解消することを課題とする。
【解決手段】施設の全体又は各区域とともに、施設のセキュリティ診断において質問の対象となる質問対象を画像として表示する画像表示手段と、表示された前記質問対象に対応する質問及び選択肢を表示する質問表示手段と、表示された選択肢の選択の入力を受け付ける選択肢入力受付手段と、受け付けられた選択の入力に係る選択肢に対応するセキュリティレベルを抽出するセキュリティレベル抽出手段と、抽出されたセキュリティレベルを所定のカテゴリ毎に集約し、集約されたセキュリティレベルに基づいて、該カテゴリ毎に前記施設のセキュリティレベルを算出するセキュリティレベル算出手段と、を備えることを特徴とするセキュリティ診断システムとした。
【解決手段】施設の全体又は各区域とともに、施設のセキュリティ診断において質問の対象となる質問対象を画像として表示する画像表示手段と、表示された前記質問対象に対応する質問及び選択肢を表示する質問表示手段と、表示された選択肢の選択の入力を受け付ける選択肢入力受付手段と、受け付けられた選択の入力に係る選択肢に対応するセキュリティレベルを抽出するセキュリティレベル抽出手段と、抽出されたセキュリティレベルを所定のカテゴリ毎に集約し、集約されたセキュリティレベルに基づいて、該カテゴリ毎に前記施設のセキュリティレベルを算出するセキュリティレベル算出手段と、を備えることを特徴とするセキュリティ診断システムとした。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ診断システムに関する。
【背景技術】
【0002】
セキュリティ対策の状態を診断する技術として、設問に解答することで、自社が同業他社との比較でどのレベルにあり、望ましい水準とどの程度のギャップがあるかをレーダーチャートで表示するセキュリティ対策自己診断システムがある(非特許文献1を参照)。
【0003】
また、情報システムのセキュリティを診断する技術として、セキュリティポリシーに基づいてネットワーク管理及び監査を自動的に実行し、ユーザが適切な設定内容を選択できるインターフェースを備えたセキュリティ管理システム(特許文献1を参照)等がある。
【特許文献1】特開2002−247033号公報
【特許文献2】特開2002−56176号公報
【特許文献3】特開2002−185456号公報
【特許文献4】特開2004−258777号公報
【特許文献5】特開2005−250803号公報
【特許文献6】特開2002−149508号公報
【非特許文献1】情報処理推進機構、情報処理推進機構:セキュリティセンター:自己診断テスト 情報セキュリティ対策ベンチマーク、自社のセキュリティ対策自己診断テスト、[online]、[平成18年6月9日検索]、インターネット <URL : http://www.ipa.go.jp/security/benchmark/>
【発明の開示】
【発明が解決しようとする課題】
【0004】
近年、セキュリティ問題に対する関心が社会的に高まっており、企業においても、不正侵入、持ち出しによる情報の漏洩、デバイスの持ち込みによる情報の漏洩、災害等、セキュリティ上の様々な脅威に対し、種々の対策を行っている。しかし、セキュリティ対策は電子データ、書類等の文書、人的要素、施設内への物理的なアクセス等、多岐に渡り、かつ各分野についても高い専門性が必要となる。このため、セキュリティ問題に対する関心を持ってはいても、具体的には何をすればよいのか分からない等、セキュリティ対策に対して敷居の高さを感じる企業も存在する。
【0005】
これに対し、従来より企業や施設のセキュリティ診断を行う方法やシステムは存在している。しかし、従来の方法又はシステムでは、セキュリティ対策項目ごとにセキュリティの評価を行っており、このセキュリティ対策項目ごとの評価が難解かつ煩雑であるため、先述したような、セキュリティ対策に関して敷居の高さを感じている企業に対して、この敷居の高さを排除する解決策となるものではなかった。
【0006】
本発明は、上記した問題に鑑み、セキュリティ対策の多岐性、専門性によって生じる難解さ、煩雑さを解消することを課題とする。
【課題を解決するための手段】
【0007】
本発明は、上記した課題を解決するために、施設を俯瞰した画像を表示し、該画像に応じて表示される質問に答えていくことでセキュリティレベルを決定することで、セキュリティ対策の多岐性、専門性によって生じる難解さ、煩雑さを解消することを可能にした。
【0008】
詳細には、本発明は、施設のセキュリティ診断において質問の対象となる質問対象毎に
、前記質問、該質問に対応する選択肢及び該選択肢に対応するセキュリティレベルを、データとして含む質問情報を蓄積する質問情報蓄積手段と、前記施設の全体又は各区域とともに、該施設内の前記質問対象を画像として表示する画像表示手段と、前記質問情報蓄積手段によって蓄積された質問情報のうち、前記画像表示手段によって表示された前記質問対象に対応する質問情報を抽出し、該質問情報にデータとして含まれる質問及び選択肢を表示する質問表示手段と、表示された選択肢の選択の入力を受け付ける選択肢入力受付手段と、抽出された前記質問情報から、前記選択肢入力受付手段によって受け付けられた選択の入力に係る選択肢に対応するセキュリティレベルを抽出するセキュリティレベル抽出手段と、前記セキュリティレベル抽出手段によって抽出されたセキュリティレベルを所定のカテゴリ毎に集約し、集約されたセキュリティレベルに基づいて、該カテゴリ毎に前記施設のセキュリティレベルを算出するセキュリティレベル算出手段と、を備えることを特徴とするセキュリティ診断システムである。
【0009】
施設の全体又は各区域とともに、該施設のセキュリティ診断において質問の対象となる質問対象を画像として表示することにより、該画像中に表示される質問対象についてユーザのイメージを喚起することが可能となる。
【0010】
また、画像として表示された質問対象に係る質問を表示し、選択肢を選択させることで、ユーザに質問対象のイメージを喚起させた状態で対話形式でセキュリティを診断し、セキュリティ評価の難解さ、煩雑さを排除することが可能となる。
【0011】
加えて、所定のカテゴリに分類して施設のセキュリティレベルを算出する手段を備えることで、ユーザは難解かつ煩雑なセキュリティの評価を行う必要なく、容易にセキュリティの状況を把握することが可能となる。
【0012】
本発明は、前記画像表示手段によって表示された質問対象の位置に、該質問対象に関する質問があることを示すアイコンを表示するアイコン表示手段と、前記アイコンの選択の入力を受け付けるアイコン選択入力受付手段と、を更に備え、前記質問表示手段は、前記アイコン選択入力受付手段によって受け付けられた選択の入力を契機として、前記質問情報蓄積手段によって蓄積された質問情報のうち、選択された前記アイコンに係る前記質問対象に対応する質問情報を抽出し、該質問情報にデータとして含まれる質問及び選択肢を表示すること、を特徴としてもよい。
【0013】
画像表示手段によって表示された画像中の質問対象の位置に、該位置に関する質問があることを示すアイコンを表示することで、ユーザは直感的にセキュリティ診断に係る質問対象の位置を把握し、施設内のいずれの要素に係る質問であるかを把握することが可能となる。
【0014】
本発明において、前記セキュリティレベル算出手段は、前記セキュリティレベル抽出手段によって抽出されたセキュリティレベルを、前記質問対象毎に集約し、前記質問対象毎に集約されたセキュリティレベルのうち、最も高いセキュリティレベルを、各質問対象のセキュリティレベルとして決定し、前記各質問対象のセキュリティレベルを、診断を行う対象を所定の基準に従って分類したセキュリティ対策項目毎に集約し、前記セキュリティ対策項目毎に集約されたセキュリティレベルのうち、最も低いセキュリティレベルを、各セキュリティ対策項目のセキュリティレベルとして決定し、前記各セキュリティ対策項目のセキュリティレベルを、前記カテゴリ毎に集約し、前記カテゴリ毎に集約されたセキュリティレベルの、該カテゴリ毎の相加平均を算出することで、前記カテゴリ毎に前記施設のセキュリティレベルを算出すること、を特徴としてもよい。
【0015】
質問対象毎に集約されたセキュリティレベルのうち、最も高いセキュリティレベルを各
質問対象のセキュリティレベルとして決定し、セキュリティ対策項目毎に集約されたセキュリティレベルのうち、最も低いセキュリティレベルを各セキュリティ対策項目のセキュリティレベルとして決定することで、施設のセキュリティレベルの低い部分、即ち、セキュリティ上問題のある部分に注目して、セキュリティ対策項目毎のセキュリティレベルを決定することが可能となる。
【0016】
また、カテゴリ毎に集約されたセキュリティレベルの、該カテゴリ毎の相加平均を算出することで、施設のセキュリティレベルの概要を容易に把握することが可能となる。
【0017】
本発明は、前記カテゴリ毎に、前記施設に関する情報のうち該施設に求められるセキュリティレベルに影響する情報であるセキュリティレベル関連施設情報、及び該セキュリティレベル関連施設情報に対応するセキュリティレベルである水準セキュリティレベルを、データとして含むセキュリティ水準情報を蓄積するセキュリティ水準情報蓄積手段と、前記施設に関する情報の入力を受け付ける施設情報入力手段と、入力が受け付けられた前記施設に関する情報が、前記セキュリティレベル関連施設情報に該当する場合に、該セキュリティレベル関連施設情報に対応する水準セキュリティレベルを抽出する水準セキュリティレベル抽出手段と、前記水準セキュリティレベル抽出手段によって抽出された水準セキュリティレベルを前記カテゴリ毎に集約し、集約された水準セキュリティレベルに基づいて、該カテゴリ毎に前記施設に推奨されるセキュリティレベルを算出する推奨セキュリティレベル算出手段と、を更に備えることを特徴としてもよい。
【0018】
当該施設に求められる推奨セキュリティレベルを算出することで、セキュリティ診断によって算出されるセキュリティレベルと推奨セキュリティレベルを比較し、未到達のセキュリティ対策項目を把握することが可能となる。
【0019】
本発明は、前記セキュリティレベル算出手段によって算出された前記カテゴリ毎のセキュリティレベル及び前記推奨セキュリティレベル算出手段によって算出された前記カテゴリ毎の推奨されるセキュリティレベルを各軸に表したレーダーチャートを生成し、表示するレーダーチャート表示手段を更に備えることを特徴としてもよい。
【0020】
カテゴリ別のセキュリティレベル及びカテゴリ別の推奨セキュリティレベルを各軸に表したレーダーチャートを表示することで、目視により容易にセキュリティ状態を把握し、問題点を素早く認識することが可能となる。
【0021】
この際、レーダーチャートは、カテゴリ別のセキュリティレベル及びカテゴリ別の推奨セキュリティレベルを異なるレーダーチャートに表示したものであってもよいし、同一のレーダーチャートに表示したものであってもよい。また、セキュリティ対策別カテゴリ、セキュリティ対象別カテゴリ等、カテゴリの属性を複数用意し、属性ごとにレーダーチャートを表示してもよい。これによって、セキュリティ対策に関する状態及び問題点、セキュリティ対象に関する状態及び問題点を容易に把握可能となる。
【0022】
本発明は、前記カテゴリごとに、前記施設のセキュリティレベルが所定のセキュリティレベルに到達するための実現方法を、データとして含むセキュリティ対策情報を蓄積するセキュリティ対策情報蓄積手段と、前記セキュリティレベル算出手段によって算出された前記カテゴリ毎のセキュリティレベルと、前記推奨セキュリティレベル算出手段によって算出された前記カテゴリ毎の推奨されるセキュリティレベルを比較することで、前記推奨されるセキュリティレベルを満たしていないカテゴリを抽出する未到達カテゴリ抽出手段と、前記セキュリティ対策情報蓄積手段によって蓄積されたセキュリティ対策情報のうち、前記未到達カテゴリ抽出手段によって抽出されたカテゴリに対応するセキュリティ対策情報を抽出し、該セキュリティ対策情報にデータとして含まれる実現方法を表示するセキ
ュリティ対策情報表示手段と、を更に備えることを特徴としてもよい。
【0023】
推奨セキュリティレベルを満たしていないセキュリティ対策項目に関するセキュリティ対策情報を表示することで、セキュリティの問題点を認識した上で、セキュリティが推奨セキュリティレベルに到達するための具体的な対策を素早く知ることが可能となる。
【発明の効果】
【0024】
本発明によって、セキュリティ対策の多岐性、専門性によって生じる難解さ、煩雑さを解消することが可能となる。
【発明を実施するための最良の形態】
【0025】
本発明に係るセキュリティ診断システムの実施の形態について、図面に基づいて説明する。
【0026】
図1は、本実施例に係るセキュリティ診断システムの構成の概略を示した図である。セキュリティ診断システムは、CPU(Central Processing Unit)11、RAM(Random Access Memory)12、HDD(Hard
Disk Drive)13、NIC(Network Interface Card)14、キーボード、マウス、タッチパッド等の入力装置15、ディスプレイ17等の出力装置を有し、これらはバス16を介して接続されている。
【0027】
CPU11は、中央処理装置であり、RAM12等に展開された命令及びデータを処理することで、バス16に接続されたRAM12、HDD13、NIC14等を制御する。RAM12は、主記憶装置であり、CPU11によって制御され、各種命令やデータが書き込まれ、読み出される。HDD13は、補助記憶装置であり、主にサーバ10の電源を落としても保持したい情報が書き込まれ、読み出される。NIC14は、ネットワークインターフェースであり、ネットワークより信号を受信し、ネットワークへ信号を送信する。
【0028】
HDD13には、セキュリティ診断システムを構成するOS(Operating System)及びセキュリティ診断プログラムがインストールされている。OSは、セキュリティ診断システムの有する各種リソースの管理、入出力管理、セキュリティ診断プログラムをはじめとするアプリケーションの制御を行う。セキュリティ診断プログラムは、セキュリティ診断のための各種プログラムモジュール及び診断用の各種データベース等からなり、CPU11によって適宜RAM12上にロードされ、処理される。
【0029】
ここで、本実施例に係るセキュリティ診断システムの利用シーンの一例を説明する。セキュリティプランナー等のセキュリティ診断システムの操作者が、診断対象となる施設にセキュリティ診断システムを持ち込み、施設の担当者にヒアリングを行いながらセキュリティ診断システムを使用した診断を行う。診断が終了すると、セキュリティ診断システムのディスプレイ17に、診断結果が表示される。また、この診断結果情報に基づいて、診断レポートをプリントアウトしてもよい。
【0030】
次に、図2から図4を用いて、本実施例のデータ構造の概略を説明する。以下に説明するデータは、HDD13又はRAM12上に保存され、CPU11によって適宜読み出され、処理される。
【0031】
図2は、本実施例におけるセキュリティ対策マトリックス20のデータ構造の概略を説明した図である。セキュリティ対策マトリックス20は、セキュリティ対策項目ID21、セキュリティレベル毎の状態概要22と状態詳細23、セキュリティレベル毎の実現手
段概要24と実現手段詳細25、対象別診断分類26、対策別診断分類27その他の情報を含む。セキュリティ対策マトリックス20は、HDD13上のデータベースに、セキュリティ対策テーブルとして蓄積されており、適宜RAM12上に読み出されて処理される。
【0032】
セキュリティ対策マトリックス20の有する情報のうち、セキュリティ対策項目ID21は、セキュリティ診断システムが診断を行う対象を所定の基準に従って分類したセキュリティ対策項目を識別する情報であり、オフィスセキュリティマーク認証制度認証基準及びISMS(Information Security Management System)認証基準(Ver.2.0)付属書詳細管理策に準拠して項目の選定が行われている。また、セキュリティレベルは、診断対象となる施設に求められるセキュリティのセキュリティレベル又は施設の有するセキュリティのセキュリティレベルを示す指標となるものであり、COBIT(Control OBjectives for Information and related Technology)成熟度モデルに準拠してセキュリティレベルの定義が行われている。但し、必ずしもこれらの基準に準拠する必要はなく、セキュリティ対策項目及びセキュリティレベルは、実施の形態によって適宜設定されることが好ましい。
【0033】
本実施例におけるセキュリティレベルの定義は、セキュリティレベル「0」が「存在しない」こと、セキュリティレベル「1」が「初歩的」であること、セキュリティレベル「2」が「反復可能」であること、セキュリティレベル「3」が「定義されている」こと、セキュリティレベル「4」が「管理されている」こと、セキュリティレベル「5」が「最適化されている」こと、である。但し、この定義は先述の通りCOBIT成熟度モデルに準拠して定義されたものであり、実施の形態によって適宜設定されることが好ましい。
【0034】
セキュリティレベル毎の状態概要22及び状態詳細23は、診断結果又は診断レポートで出力される現在の状態を予め記録したものであり、セキュリティレベル毎の実現手段概要24及び実現手段詳細25は、診断結果又は診断レポートで出力される対策を予め記録したものである。診断結果又は診断レポートの出力については後述する。
【0035】
対象別診断分類26及び対策別診断分類27は、該当するセキュリティ対策項目が、後述するレーダーチャートのいずれの軸に表示されるかを示す情報である。各セキュリティ対策項目は、対象別診断分類26及び対策別診断分類27の双方の属性を持つ。対象別診断分類26は、施設内の「どこの空間(対象)」に対する対策かを示す診断分類であり、対象別レーダーチャートのいずれの軸に対応するかを示す。対策別診断分類27は、「どのような種類」の対策かを示す診断分類であり、対策別レーダーチャートのいずれの軸に対応するかを示す。
【0036】
図3は、本実施例におけるセキュリティ対策水準情報30のデータ構造の概略を説明した図である。セキュリティ対策水準情報30は、セキュリティ対策項目毎に、セキュリティ対策項目ID31、基準セキュリティレベル32、変動要素の入力値33、入力値に対応する水準セキュリティレベル34を含む。セキュリティ対策水準情報30は、HDD13上のデータベースに、セキュリティ対策水準情報テーブルとして蓄積されており、適宜RAM12上に読み出されて処理される。
【0037】
基準セキュリティレベル32は、各セキュリティ対策項目について、一般的な条件の施設に求められる程度のセキュリティレベルを示す情報である。また、変動要素の入力値33は、施設の個別の事情又は状況の相違によって、求められるセキュリティレベルが変動する要素を示す情報であり、セキュリティ対策項目毎に、業種、利用対象部門、施設の利用状況、対象人数、非社員比率、流動率等について定義されている。さらに、夫々の変動
要素の入力値33に対応するセキュリティレベルである水準セキュリティレベル34が定義されている。
【0038】
図4は、本実施例における質問情報40のデータ構造の概略を説明した図である。質問情報40は、質問要素41、対応する質問エリア42、対応するセキュリティ対策項目ID43、質問ID44、質問45、必須フラグ46、選択肢47、選択肢に対応するセキュリティレベル48、次アクション49等を含む。質問情報40は、HDD13上のデータベースに、質問情報テーブルとして蓄積されており、適宜RAM12上に読み出されて処理される。
【0039】
必須フラグ46は、各質問エリア42毎に一つから複数存在する質問のうち、各質問エリア42の詳細な内容について質問が必要か否かを判定するための前提となる前提質問を示す情報である。即ち、必須フラグ46がTRUE(真)である質問45は前提質問であり、必須フラグ46がFALSE(偽)である質問45は前提質問ではない。
【0040】
次アクション49は、後述する問診処理で各質問45に対して選択肢47が選択されたときに、選択された選択肢47に応じて問診処理のその後の処理内容を決定するための情報である。本実施例では、該当する質問要素41に関する質問を終了する「閉じる」アクションと、同一の質問要素41に関して次の質問45及び選択肢47を表示するアクションとが定義されている。次の質問45及び選択肢47は、質問ID44で指定される。
【0041】
なお、セキュリティ対策項目によって、上位のセキュリティレベルを満たすために、前提となるセキュリティレベルを満たしていることが必要となるセキュリティ対策項目がある。これらのセキュリティ対策項目に属する質問要素41については、より下位のセキュリティレベルの対策が施されているという選択肢47が選択されたことを条件に、上位のセキュリティレベルの対策の有無を問う質問45及び選択肢47が表示されるように質問の順序が構成される。
【0042】
次に、図5から図16を用いて、セキュリティ診断処理の流れを説明する。図5、図8及び図13に示された処理は、セキュリティ診断システムにおいて、RAM12等に展開されたプログラムをCPU11が解釈及び実行することで行われる。CPU11は、所定のタイミング、又は端末より入力された指示に基づいて図5、図8及び図13に示された処理を順に実行する。また、以下の各処理の処理単位及び処理順序は、本実施例に示されている処理単位、処理順序に限定されるものではなく、適宜変更してもよい。
【0043】
図5は、本実施例における推奨セキュリティレベル算出処理の流れを示したフローチャートである。本フローチャートに示された処理は、操作者が、セキュリティ診断システムを起動することで実行される。
【0044】
S101では、企業情報入力フォームが表示される。CPU11は、予め定義された企業情報の入力フォーム情報をRAM12から読み出して、ディスプレイ17に出力する。図6は、この処理によって出力された企業情報入力フォームを示す図である。入力フォームは、企業名称及び業種を入力するための入力フィールド50と、入力された値を確定するボタン51を有する。その後、処理はS102へ進む。
【0045】
S102では、企業情報の入力が受け付けられる。操作者によって、S101で表示された入力フィールド50に、企業名称及び業種が入力され、ボタン51がクリックされると、CPU11は、入力値をRAM12に保存する。その後、処理はS103へ進む。
【0046】
S103では、施設情報入力フォームが表示される。CPU11は、予め定義された施
設情報の入力フォーム情報をRAM12から読み出して、ディスプレイ17に出力する。図7は、この処理によって出力された施設情報入力フォームを示す図である。入力フォームは、対象利用部門、対象面積、対象人数、非社員人数、流動率(入退社及び異動人員割合)、施設の利用状況を入力するための入力フィールド55と、入力された値を確定するボタン56を有する。その後、処理はS104へ進む。
【0047】
S104では、施設情報の入力が受け付けられる。操作者によって、S103で表示された入力フィールド55に、対象利用部門、対象面積、対象人数、非社員人数、入退社及び異動人員割合、施設の利用状況が入力され、ボタン56がクリックされると、CPU11は、入力値をRAM12に保存する。その後、処理はS105へ進む。
【0048】
S105では、入力された値から、セキュリティ対策項目推奨セキュリティレベル算出の変動要素に該当する入力値が算出される。CPU11は、S102及びS104で入力された入力値から、セキュリティ対策水準情報30の変動要素の入力値33に定義された変動要素に該当する入力値を算出し、RAM12に保存する。即ち、本実施例では、業種、利用対象部門、施設の利用状況、対象人数、非社員比率、流動率等が算出される。その後、処理はS106へ進む。
【0049】
S106では、変動要素となる値が含まれているか否かが判定される。CPU11は、S105で算出された変動要素の入力値33を基に、セキュリティ対策項目ごとにセキュリティ対策水準情報テーブルを検索し、該当する変動要素の入力値33があるか否かを判定する。ここで、該当する変動要素の入力値33は、複数存在することがある。該当する変動要素の入力値33がある場合、処理はS107へ進む。該当する変動要素の入力値33がない場合、処理はS108へ進む。
【0050】
S107では、定義された変動要素の水準セキュリティレベル34のうち、最も高いセキュリティレベルが推奨セキュリティレベルとして適用される。CPU11は、S106の検索に合致した変動要素の入力値33に対応する水準セキュリティレベル34のうち、最も高いセキュリティレベルを、該当するセキュリティ対策項目の推奨セキュリティレベルとして保存する。例えば、診断対象の施設の業種が製造業で、対象人数が300人以上であり、セキュリティ対策項目「個人業務用パソコンの利用」の基準セキュリティレベル32がセキュリティレベル「2」、変動要素の入力値「製造業」に対応する水準セキュリティレベルがセキュリティレベル「3」、変動要素の入力値「対象人数300人以上」に対応する水準セキュリティレベルがセキュリティレベル「5」である場合、セキュリティ対策項目「個人業務用パソコンの利用」の推奨セキュリティレベルは、セキュリティレベル「5」となる。その後、処理はS109へ進む。
【0051】
S108では、基準セキュリティレベル32が推奨セキュリティレベルとして適用される。CPU11は、セキュリティ対策水準情報30において、該当するセキュリティ対策項目の基準セキュリティレベル32として予め設定されているセキュリティレベルを、該当するセキュリティ対策項目の推奨セキュリティレベルとして保存する。その後、処理はS109へ進む。
【0052】
S109では、全てのセキュリティ対策項目について推奨セキュリティレベルが設定されたか否かが判定される。CPU11は、セキュリティ対策マトリックス20に定義された全てのセキュリティ対策項目について推奨セキュリティレベルが設定されたか否かを判定する。全てのセキュリティ対策項目について推奨セキュリティレベルが設定されていないと判定された場合、処理はS106へ進み、全てのセキュリティ対策項目について推奨セキュリティレベルが設定されるまでS106からS109の処理を繰り返す。全てのセキュリティ対策項目について推奨セキュリティレベルが設定されたと判定された場合、本
フローチャートに示された処理は終了する。
【0053】
推奨セキュリティレベル算出処理が行われることで、個別の施設に推奨される、又は求められるセキュリティ対策水準が設定され、この後に実行される問診処理で導き出されたセキュリティレベルの診断結果と比較することが可能となる。
【0054】
図8は、本実施例における問診処理の流れを示したフローチャートである。本フローチャートに示された処理は、推奨セキュリティレベル算出処理(図5を参照)の終了後に実行される。
【0055】
S201では、全体パースイメージが表示される。CPU11は、HDD13又はRAM12より、全体パースイメージ情報を読み出し、ディスプレイ17に出力する。図9は、全体パースイメージの画面イメージを示した図である。全体パースイメージは、セキュリティ診断の対象を俯瞰した画像であり、問診の対象となる各質問エリア42に、「?」アイコン61が表示されている。また、全体パースイメージは、常に同一のものが表示されることとしてもよいし、推奨セキュリティレベル算出処理のS102及びS104で保存された企業情報及び施設情報に基づいて、夫々のセキュリティ診断対象となる施設に近い全体パースイメージを選択して表示することとしてもよい。診断対象となる施設に近い全体パースイメージを表示することで、より現実の施設の状況に即した診断が可能となる。その後、処理はS202へ進む。
【0056】
S202では、システムで定義された順に、質問エリア42が決定される。CPU11は、HDD13から読み出した質問エリア情報ファイル(図示せず)を参照し、この後の処理で問診を行う対象となる質問エリア42を決定し、RAM12に保存する。質問エリア情報ファイルは、施設内においてセキュリティ診断の対象となる部屋等の質問エリア42を定義したファイルであり、問診対象となる質問エリア42の順序もここに定義されている。質問エリア42の順序は、施設の入口から奥に向かって順に定義されていることが好ましい。また、質問エリア42を決定する際、S201で表示された全体パースイメージ上で、人物を表した画像が該当する質問エリア42に向かって歩いていく様子を表示することとしてもよい。これによって、該当する質問エリア42を実際に利用する際の利用シーンを想起させることが可能となる。その後、処理はS203へ進む。
【0057】
S203では、各質問エリア42の詳細な内容について質問が必要か否かを判定するための前提となる前提質問と選択肢47が、質問情報テーブルより抽出される。CPU11は、質問情報テーブルを検索し、S202で決定された質問エリア42が合致し、且つ必須フラグ46がTRUE(真)である質問情報40を抽出し、RAM12に保存する。その後、処理はS204へ進む。
【0058】
S204では、質問45と選択肢47が質問パネル65に表示される。CPU11は、全体パースイメージ上に質問パネル65を重ねて表示させ、質問パネル65にS203で抽出された質問情報40の質問45と選択肢47を表示する。図10は、全体パースイメージ上に重ねて表示される質問パネル65の画面イメージを示した図である。質問パネル65は、質問表示部66と、選択肢表示部67と、各選択肢47に対応するラジオボタン68と、選択された選択肢47を確定するボタン69を有する。なお、本実施例で、質問パネル65は全体パースイメージ上に重ねて表示されるが、質問45及び選択肢47の表示はこの方法に限定されない。例えば、全体パースイメージに上書き表示する方法や、別ウィンドウへ表示する方法等が採用されてもよい。その後、処理はS205へ進む。
【0059】
S205では、選択肢47の入力が受け付けられる。操作者によって、S204で表示された選択肢47の何れかが選択され、ボタン69がクリックされると、CPU11は、
入力値をRAM12に保存する。その後、処理はS206へ進む。
【0060】
S206では、入力された選択肢47のセキュリティレベルが保存される。CPU11は、S205でRAM12に保存した入力値(選択肢47)を基に、質問情報テーブルを検索し、合致する選択肢47のセキュリティレベルを抽出し、RAM12に保存する。このとき、選択された選択肢47が、対象となる質問エリア42が診断対象となる施設に存在しないことを示す選択肢47であった場合は、セキュリティレベルは設定されず、該当する質問エリア42が存在しないことを示す値(例えば、”unexist”)が設定される。その後、処理はS207へ進む。
【0061】
S207では、入力された選択肢47に該当する次アクション49が抽出される。CPU11は、S205でRAM12に保存した入力値(選択肢47)を基に、質問情報テーブルを検索し、合致する選択肢47の次アクション49を抽出し、RAM12に保存する。その後、処理はS208へ進む。
【0062】
S208では、次アクション49の内容が判定される。CPU11は、S207で抽出した次アクション49が、「閉じる」であるか又は次の質問の表示であるかを判定する。次アクション49が「閉じる」である場合、処理はS209へ進む。特に、対象となる質問エリア42が診断対象となる施設に存在しないことを示す選択肢47には、次アクション49として「閉じる」が設定されている。次アクション49が次の質問の表示である場合、処理はS210へ進む。
【0063】
S209では、質問45と選択肢47を表示していた質問パネル65が閉じられる。CPU11は、S204で表示された質問パネル65を閉じ、質問パネル65が表示されていた領域に再び全体パースイメージを表示する。この際、既に質問の表示された「?」アイコン61は、問診が終了したことを示すチェックマークアイコン62に表示が変更される。その後、処理はS221へ進む。
【0064】
S210では、質問エリアイメージが表示される。CPU11は、HDD13又はRAM12より、該当する質問エリアイメージ情報を読み出し、ディスプレイ17に出力する。図11は、質問エリアイメージの画面イメージを示した図である。質問エリアイメージは、各質問エリア42の詳細を問診するための画面であり、質問エリア42ごとに異なるイメージが予め用意されている。また、各質問エリアイメージには、質問45にリンクした「?」アイコン61が一つから複数含まれている。その後、処理はS211へ進む。
【0065】
S211では、「?」アイコン61のクリックが受け付けられる。操作者によって、S210で表示された「?」アイコン61のうち何れか一がクリックされると、CPU11は、クリックされた「?」アイコン61に定義されているリンク情報をRAM12に保存する。その後、処理はS212へ進む。
【0066】
S212では、クリックされた「?」アイコン61に該当する質問情報40が抽出される。CPU11は、S211で入力されたリンク情報を基に、質問情報テーブルを検索し、該当する質問情報40を抽出し、RAM12に保存する。その後、処理はS213へ進む。
【0067】
S213では、質問45と選択肢47が質問パネル70に表示される。CPU11は、質問エリアイメージ上に質問パネル70を重ねて表示させ、質問パネル70にS212又はS219で抽出された質問情報40の質問45と選択肢47を表示する。図12は、質問エリアイメージ上に重ねて表示される質問パネル70の画面イメージを示した図である。質問パネル70は、質問表示部71と、選択肢表示部72と、各選択肢47に対応する
ラジオボタン73と、選択された選択肢47を確定するボタン74を有する。なお、本実施例で、質問パネル70は質問エリアイメージ上に重ねて表示されるが、質問45及び選択肢47の表示はこの方法に限定されない。例えば、質問エリアイメージに上書き表示する方法や、別ウィンドウへ表示する方法等が採用されてもよい。その後、処理はS214へ進む。
【0068】
S214では、選択肢47の入力が受け付けられる。操作者によって、S204で表示された選択肢47の何れかが選択され、ボタン74がクリックされると、CPU11は、入力値をRAM12に保存する。その後、処理はS215へ進む。
【0069】
S215では、入力された選択肢47のセキュリティレベルが保存される。CPU11は、S214でRAM12に保存した入力値(選択肢47)を基に、質問情報テーブルを検索し、合致する選択肢47のセキュリティレベルを抽出し、RAM12に保存する。その後、処理はS216へ進む。
【0070】
S216では、入力された選択肢47に該当する次アクション49が抽出される。CPU11は、S214でRAM12に保存した入力値(選択肢47)を基に、質問情報テーブルを検索し、合致する選択肢47の次アクション49を抽出し、RAM12に保存する。その後、処理はS217へ進む。
【0071】
S217では、次アクション49の内容が判定される。CPU11は、S216で抽出した次アクション49が、「閉じる」であるか又は次の質問の表示であるかを判定する。次アクション49が「閉じる」である場合、処理はS218へ進む。次アクション49が次の質問の表示である場合、処理はS219へ進む。
【0072】
S218では、質問45と選択肢47を表示していた質問パネル70が閉じられる。CPU11は、S204で表示された質問パネル70を閉じ、質問パネル70が表示されていた領域に再び質問エリアイメージを表示する。この際、既に質問の表示された「?」アイコン61は、チェックマークアイコン62に表示が変更される。その後、処理はS220へ進む。
【0073】
S219では、次の質問45と選択肢47が抽出される。CPU11は、S217で判定された次アクション49に示された質問ID44を基に、質問情報テーブルから該当する質問情報40を抽出し、RAM12に保存する。その後、処理はS213へ進む。
【0074】
S220では、該当する質問エリアイメージに表示された全ての「?」アイコン61がクリックされたか否かが判定される。CPU11は、現在表示している質問エリアイメージに表示された全ての「?」アイコン61についてクリックされ、問診が終了したか否かを判定する。終了したと判定された場合、処理はS201へ進む。終了していないと判定された場合、処理はS211へ進み、質問エリアイメージに表示された全ての「?」アイコン61がクリックされ、問診が終了するまでS211からS220の処理を繰り返す。
【0075】
S221では、全ての質問エリア42について問診処理が完了したか否かが判定される。CPU11は、質問エリア情報ファイルに定義された全ての質問エリア42について問診処理が完了したか否かを判定する。完了していないと判定された場合、処理はS202へ進み、全ての質問エリア42について問診処理が完了するまでS202からS221の処理を繰り返す。完了したと判定された場合、本フローチャートに示された処理は完了する。
【0076】
図13は、本実施例におけるレーダーチャート作成処理の流れを示したフローチャート
である。本フローチャートに示された処理は、問診処理(図8を参照)の終了後に実行される。
【0077】
S301では、問診処理で保存された各質問のセキュリティレベルが集約される。CPU11は、問診処理のS206、S215でRAM12に保存された各質問45のセキュリティレベルを、夫々の質問45が分類される質問要素41毎に集約し、RAM12に保存する。その後、処理はS302へ進む。
【0078】
S302では、集約したセキュリティレベルのうち最も高いセキュリティレベルが、該当する質問要素41のセキュリティレベルとして採用される(図14を参照)。CPU11は、質問要素41毎に、S301で集約されたセキュリティレベルを比較し、該当する質問要素41の中で最も高いセキュリティレベルを、該当する質問要素41のセキュリティレベルとして採用し、RAM12に保存する。その後、処理はS303へ進む。
【0079】
S303では、各質問要素41のセキュリティレベルが集約される。CPU11は、S302でRAM12に保存された各質問要素41のセキュリティレベルを、夫々の質問要素41が分類されるセキュリティ対策項目毎に集約し、RAM12に保存する。その後、処理はS304へ進む。
【0080】
S304では、集約したセキュリティレベルのうち最も低いセキュリティレベルが、該当するセキュリティ対策項目のセキュリティレベルとして採用される(図14を参照)。CPU11は、セキュリティ対策項目毎に、S303で集約されたセキュリティレベルを比較し、該当するセキュリティ対策項目の中で最も低いセキュリティレベルを、該当するセキュリティ対策項目のセキュリティレベルとして採用し、RAM12に保存する。その後、処理はS305へ進む。
【0081】
S305では、各セキュリティ対策項目のセキュリティレベルが集約される。CPU11は、セキュリティ対策テーブルから各セキュリティ対策項目が該当する対象別診断分類26及び対策別診断分類27を抽出し、S304でRAM12に保存された各セキュリティ対策項目のセキュリティレベルを、抽出した診断分類毎に集約し、RAM12に保存する。その後、処理はS306へ進む。
【0082】
S306では、集約した診断分類毎のセキュリティレベルの相加平均が、該当する診断分類のセキュリティレベルとして算出される。CPU11は、診断分類毎に、S305で集約された、該当する診断分類に属する各セキュリティ対策項目のセキュリティレベルの相加平均を算出し、RAM12に保存する。この際、算出されたセキュリティレベルは整数とはならないことがあるため、本実施例では、有効桁数を小数点以下第一位までとして相加平均を算出する。その後、処理はS307へ進む。
【0083】
S307では、各セキュリティ対策項目の推奨セキュリティレベルが集約される。CPU11は、推奨セキュリティレベル算出処理でRAM12に保存された各セキュリティ対策項目の推奨セキュリティレベルを、夫々のセキュリティ対策項目が分類されるレーダーチャートの診断分類毎に集約し、RAM12に保存する。各セキュリティ対策項目がいずれの診断分類に属するかは、CPU11が、セキュリティ対策項目に基づいてセキュリティ対策テーブルを検索し、該当する診断分類を抽出することで決定される。その後、処理はS308へ進む。
【0084】
S308では、集約した診断分類毎の推奨セキュリティレベルの相加平均が、該当する診断分類の推奨セキュリティレベルとして算出される。CPU11は、診断分類毎に、S307で集約された、該当する診断分類に属する各セキュリティ対策項目の推奨セキュリ
ティレベルの相加平均を算出し、RAM12に保存する。この際、算出された推奨セキュリティレベルは整数とはならないことがあるため、本実施例では、有効桁数を小数点以下第一位までとして相加平均を算出する。その後、処理はS309へ進む。
【0085】
S309では、診断結果が表示される。図15は、表示される診断結果の画面イメージを示した図である。診断結果は、算出された診断分類毎のセキュリティレベル及び推奨セキュリティレベルを示したレーダーチャート81、セキュリティレベルが推奨セキュリティレベルに達していないセキュリティ対策項目の一覧82、表示切替ボタン83からなる。CPU11は、S306で算出した診断分類ごとのセキュリティレベルと、S308で算出した診断分類ごとの推奨セキュリティレベルと、を各診断分類に対応する夫々の軸に表したレーダーチャート81を生成し、ディスプレイ17に出力する。ここで、レーダーチャート81には、視認性を高めるために、セキュリティレベルを示す星が表示される。その後、本フローチャートに示された処理は終了する。
【0086】
なお、図15に示されたレーダーチャート81は、対象別診断分類26に属する診断分類を夫々の軸に表した対象別レーダーチャート81であるが、表示切換ボタン83がクリックされると、対策別診断分類27に属する診断分類を夫々の軸に表した対策別レーダーチャート81が表示される(図示は省略する)。これにより、施設の状態と、推奨されるセキュリティ水準とを、対象別、対策別に容易に把握することが可能となる。加えて、セキュリティレベルが推奨セキュリティレベルに達していないセキュリティ対策項目の一覧82に示された各セキュリティ対策項目のタイトルがクリックされると、診断結果の上に重ねて対策パネル85が表示される(図16を参照)。対策パネル85には、推奨セキュリティレベルに達するために講じるべき対策が表示される。CPU11は、セキュリティ対策テーブルを検索し、推奨セキュリティレベルに達していないセキュリティ対策項目の、各セキュリティレベルの実現手段概要24を抽出し、講じるべき対策として対策パネル85に出力する。これにより、推奨されるセキュリティ水準を達成するために、どのような対策を採用すればよいのかを容易に把握することが可能となる。なお、本実施例では、セキュリティ対策テーブルから実現手段概要24を抽出し、出力することとしているが、更に状態概要22を抽出し、出力することとしてもよい。また、本実施例で、対策パネル85は診断結果上に重ねて表示されるが、推奨セキュリティレベルに達するために講じるべき対策の表示はこの方法に限定されない。例えば、診断結果に上書き表示する方法や、別ウィンドウへ表示する方法等が採用されてもよい。
【0087】
また、診断結果とは別に、診断レポートをプリントアウト等の手段で出力することとしてもよい。診断レポートは、診断結果と同様に、レーダーチャート、推奨セキュリティレベルに達していないセキュリティ対策項目の一覧、及び推奨セキュリティレベルに達するために講じるべき対策からなる。このとき、推奨セキュリティレベルに達するために講じるべき対策は、推奨セキュリティレベルに達していないセキュリティ対策項目の、各セキュリティレベルの状態詳細23及び実現手段詳細25が抽出され、講じるべき対策として出力される。詳細な対策が出力されることで、推奨されるセキュリティ水準を達成するために、どのような対策を採用すればよいのかをより具体的に把握することが可能となる。なお、プリントアウトは、セキュリティ診断システムにプリンタを接続して出力する方法や、サーバに診断結果情報をアップロードしてサーバに接続されたプリンタから出力する方法等があるが、特定の方法に限定されない。また、サーバへ診断結果情報をアップロードする方法も、NIC14からネットワーク経由でアップロードする方法や、リムーバブルメディアを使用する方法等があるが、特定の方法に限定されない。
【0088】
本実施例に拠れば、セキュリティ対策の多岐性、専門性によって生じる難解さ、煩雑さを解消することが可能となる。
【図面の簡単な説明】
【0089】
【図1】実施例に係るセキュリティ診断システムの構成の概略を示した図である。
【図2】実施例におけるセキュリティ対策マトリックスのデータ構造の概略を説明した図である。
【図3】実施例におけるセキュリティ対策水準情報のデータ構造の概略を説明した図である。
【図4】実施例における質問情報のデータ構造の概略を説明した図である。
【図5】実施例における推奨セキュリティレベル算出処理の流れを示したフローチャートである。
【図6】企業情報入力フォーム表示処理によって出力された企業情報入力フォームを示す図である。
【図7】施設情報入力フォーム表示処理によって出力された施設情報入力フォームを示す図である。
【図8】実施例における問診処理の流れを示したフローチャートである。
【図9】全体パースイメージの画面イメージを示した図である。
【図10】全体パースイメージ上に重ねて表示される質問パネルの画面イメージを示した図である。
【図11】質問エリアイメージの画面イメージを示した図である。
【図12】質問エリアイメージ上に重ねて表示される質問パネルの画面イメージを示した図である。
【図13】実施例におけるレーダーチャート作成処理の流れを示したフローチャートである。
【図14】質問要素及びセキュリティ対策項目のセキュリティレベルを決定する処理の概要を示した図である。
【図15】診断結果の画面イメージを示した図である。
【図16】診断結果の画面イメージ上に重ねて表示される対策パネルの画面イメージを示した図である。
【符号の説明】
【0090】
11 CPU
12 RAM
13 HDD
15 入力装置
17 ディスプレイ
20 セキュリティ対策マトリックス
30 セキュリティ対策水準情報
40 質問情報
50 入力フィールド
55 入力フィールド
61 「?」アイコン
62 チェックマークアイコン
65 質問パネル
66 質問表示部
67 選択肢表示部
70 質問パネル
71 質問表示部
72 選択肢表示部
81 レーダーチャート
85 対策パネル
【技術分野】
【0001】
本発明は、セキュリティ診断システムに関する。
【背景技術】
【0002】
セキュリティ対策の状態を診断する技術として、設問に解答することで、自社が同業他社との比較でどのレベルにあり、望ましい水準とどの程度のギャップがあるかをレーダーチャートで表示するセキュリティ対策自己診断システムがある(非特許文献1を参照)。
【0003】
また、情報システムのセキュリティを診断する技術として、セキュリティポリシーに基づいてネットワーク管理及び監査を自動的に実行し、ユーザが適切な設定内容を選択できるインターフェースを備えたセキュリティ管理システム(特許文献1を参照)等がある。
【特許文献1】特開2002−247033号公報
【特許文献2】特開2002−56176号公報
【特許文献3】特開2002−185456号公報
【特許文献4】特開2004−258777号公報
【特許文献5】特開2005−250803号公報
【特許文献6】特開2002−149508号公報
【非特許文献1】情報処理推進機構、情報処理推進機構:セキュリティセンター:自己診断テスト 情報セキュリティ対策ベンチマーク、自社のセキュリティ対策自己診断テスト、[online]、[平成18年6月9日検索]、インターネット <URL : http://www.ipa.go.jp/security/benchmark/>
【発明の開示】
【発明が解決しようとする課題】
【0004】
近年、セキュリティ問題に対する関心が社会的に高まっており、企業においても、不正侵入、持ち出しによる情報の漏洩、デバイスの持ち込みによる情報の漏洩、災害等、セキュリティ上の様々な脅威に対し、種々の対策を行っている。しかし、セキュリティ対策は電子データ、書類等の文書、人的要素、施設内への物理的なアクセス等、多岐に渡り、かつ各分野についても高い専門性が必要となる。このため、セキュリティ問題に対する関心を持ってはいても、具体的には何をすればよいのか分からない等、セキュリティ対策に対して敷居の高さを感じる企業も存在する。
【0005】
これに対し、従来より企業や施設のセキュリティ診断を行う方法やシステムは存在している。しかし、従来の方法又はシステムでは、セキュリティ対策項目ごとにセキュリティの評価を行っており、このセキュリティ対策項目ごとの評価が難解かつ煩雑であるため、先述したような、セキュリティ対策に関して敷居の高さを感じている企業に対して、この敷居の高さを排除する解決策となるものではなかった。
【0006】
本発明は、上記した問題に鑑み、セキュリティ対策の多岐性、専門性によって生じる難解さ、煩雑さを解消することを課題とする。
【課題を解決するための手段】
【0007】
本発明は、上記した課題を解決するために、施設を俯瞰した画像を表示し、該画像に応じて表示される質問に答えていくことでセキュリティレベルを決定することで、セキュリティ対策の多岐性、専門性によって生じる難解さ、煩雑さを解消することを可能にした。
【0008】
詳細には、本発明は、施設のセキュリティ診断において質問の対象となる質問対象毎に
、前記質問、該質問に対応する選択肢及び該選択肢に対応するセキュリティレベルを、データとして含む質問情報を蓄積する質問情報蓄積手段と、前記施設の全体又は各区域とともに、該施設内の前記質問対象を画像として表示する画像表示手段と、前記質問情報蓄積手段によって蓄積された質問情報のうち、前記画像表示手段によって表示された前記質問対象に対応する質問情報を抽出し、該質問情報にデータとして含まれる質問及び選択肢を表示する質問表示手段と、表示された選択肢の選択の入力を受け付ける選択肢入力受付手段と、抽出された前記質問情報から、前記選択肢入力受付手段によって受け付けられた選択の入力に係る選択肢に対応するセキュリティレベルを抽出するセキュリティレベル抽出手段と、前記セキュリティレベル抽出手段によって抽出されたセキュリティレベルを所定のカテゴリ毎に集約し、集約されたセキュリティレベルに基づいて、該カテゴリ毎に前記施設のセキュリティレベルを算出するセキュリティレベル算出手段と、を備えることを特徴とするセキュリティ診断システムである。
【0009】
施設の全体又は各区域とともに、該施設のセキュリティ診断において質問の対象となる質問対象を画像として表示することにより、該画像中に表示される質問対象についてユーザのイメージを喚起することが可能となる。
【0010】
また、画像として表示された質問対象に係る質問を表示し、選択肢を選択させることで、ユーザに質問対象のイメージを喚起させた状態で対話形式でセキュリティを診断し、セキュリティ評価の難解さ、煩雑さを排除することが可能となる。
【0011】
加えて、所定のカテゴリに分類して施設のセキュリティレベルを算出する手段を備えることで、ユーザは難解かつ煩雑なセキュリティの評価を行う必要なく、容易にセキュリティの状況を把握することが可能となる。
【0012】
本発明は、前記画像表示手段によって表示された質問対象の位置に、該質問対象に関する質問があることを示すアイコンを表示するアイコン表示手段と、前記アイコンの選択の入力を受け付けるアイコン選択入力受付手段と、を更に備え、前記質問表示手段は、前記アイコン選択入力受付手段によって受け付けられた選択の入力を契機として、前記質問情報蓄積手段によって蓄積された質問情報のうち、選択された前記アイコンに係る前記質問対象に対応する質問情報を抽出し、該質問情報にデータとして含まれる質問及び選択肢を表示すること、を特徴としてもよい。
【0013】
画像表示手段によって表示された画像中の質問対象の位置に、該位置に関する質問があることを示すアイコンを表示することで、ユーザは直感的にセキュリティ診断に係る質問対象の位置を把握し、施設内のいずれの要素に係る質問であるかを把握することが可能となる。
【0014】
本発明において、前記セキュリティレベル算出手段は、前記セキュリティレベル抽出手段によって抽出されたセキュリティレベルを、前記質問対象毎に集約し、前記質問対象毎に集約されたセキュリティレベルのうち、最も高いセキュリティレベルを、各質問対象のセキュリティレベルとして決定し、前記各質問対象のセキュリティレベルを、診断を行う対象を所定の基準に従って分類したセキュリティ対策項目毎に集約し、前記セキュリティ対策項目毎に集約されたセキュリティレベルのうち、最も低いセキュリティレベルを、各セキュリティ対策項目のセキュリティレベルとして決定し、前記各セキュリティ対策項目のセキュリティレベルを、前記カテゴリ毎に集約し、前記カテゴリ毎に集約されたセキュリティレベルの、該カテゴリ毎の相加平均を算出することで、前記カテゴリ毎に前記施設のセキュリティレベルを算出すること、を特徴としてもよい。
【0015】
質問対象毎に集約されたセキュリティレベルのうち、最も高いセキュリティレベルを各
質問対象のセキュリティレベルとして決定し、セキュリティ対策項目毎に集約されたセキュリティレベルのうち、最も低いセキュリティレベルを各セキュリティ対策項目のセキュリティレベルとして決定することで、施設のセキュリティレベルの低い部分、即ち、セキュリティ上問題のある部分に注目して、セキュリティ対策項目毎のセキュリティレベルを決定することが可能となる。
【0016】
また、カテゴリ毎に集約されたセキュリティレベルの、該カテゴリ毎の相加平均を算出することで、施設のセキュリティレベルの概要を容易に把握することが可能となる。
【0017】
本発明は、前記カテゴリ毎に、前記施設に関する情報のうち該施設に求められるセキュリティレベルに影響する情報であるセキュリティレベル関連施設情報、及び該セキュリティレベル関連施設情報に対応するセキュリティレベルである水準セキュリティレベルを、データとして含むセキュリティ水準情報を蓄積するセキュリティ水準情報蓄積手段と、前記施設に関する情報の入力を受け付ける施設情報入力手段と、入力が受け付けられた前記施設に関する情報が、前記セキュリティレベル関連施設情報に該当する場合に、該セキュリティレベル関連施設情報に対応する水準セキュリティレベルを抽出する水準セキュリティレベル抽出手段と、前記水準セキュリティレベル抽出手段によって抽出された水準セキュリティレベルを前記カテゴリ毎に集約し、集約された水準セキュリティレベルに基づいて、該カテゴリ毎に前記施設に推奨されるセキュリティレベルを算出する推奨セキュリティレベル算出手段と、を更に備えることを特徴としてもよい。
【0018】
当該施設に求められる推奨セキュリティレベルを算出することで、セキュリティ診断によって算出されるセキュリティレベルと推奨セキュリティレベルを比較し、未到達のセキュリティ対策項目を把握することが可能となる。
【0019】
本発明は、前記セキュリティレベル算出手段によって算出された前記カテゴリ毎のセキュリティレベル及び前記推奨セキュリティレベル算出手段によって算出された前記カテゴリ毎の推奨されるセキュリティレベルを各軸に表したレーダーチャートを生成し、表示するレーダーチャート表示手段を更に備えることを特徴としてもよい。
【0020】
カテゴリ別のセキュリティレベル及びカテゴリ別の推奨セキュリティレベルを各軸に表したレーダーチャートを表示することで、目視により容易にセキュリティ状態を把握し、問題点を素早く認識することが可能となる。
【0021】
この際、レーダーチャートは、カテゴリ別のセキュリティレベル及びカテゴリ別の推奨セキュリティレベルを異なるレーダーチャートに表示したものであってもよいし、同一のレーダーチャートに表示したものであってもよい。また、セキュリティ対策別カテゴリ、セキュリティ対象別カテゴリ等、カテゴリの属性を複数用意し、属性ごとにレーダーチャートを表示してもよい。これによって、セキュリティ対策に関する状態及び問題点、セキュリティ対象に関する状態及び問題点を容易に把握可能となる。
【0022】
本発明は、前記カテゴリごとに、前記施設のセキュリティレベルが所定のセキュリティレベルに到達するための実現方法を、データとして含むセキュリティ対策情報を蓄積するセキュリティ対策情報蓄積手段と、前記セキュリティレベル算出手段によって算出された前記カテゴリ毎のセキュリティレベルと、前記推奨セキュリティレベル算出手段によって算出された前記カテゴリ毎の推奨されるセキュリティレベルを比較することで、前記推奨されるセキュリティレベルを満たしていないカテゴリを抽出する未到達カテゴリ抽出手段と、前記セキュリティ対策情報蓄積手段によって蓄積されたセキュリティ対策情報のうち、前記未到達カテゴリ抽出手段によって抽出されたカテゴリに対応するセキュリティ対策情報を抽出し、該セキュリティ対策情報にデータとして含まれる実現方法を表示するセキ
ュリティ対策情報表示手段と、を更に備えることを特徴としてもよい。
【0023】
推奨セキュリティレベルを満たしていないセキュリティ対策項目に関するセキュリティ対策情報を表示することで、セキュリティの問題点を認識した上で、セキュリティが推奨セキュリティレベルに到達するための具体的な対策を素早く知ることが可能となる。
【発明の効果】
【0024】
本発明によって、セキュリティ対策の多岐性、専門性によって生じる難解さ、煩雑さを解消することが可能となる。
【発明を実施するための最良の形態】
【0025】
本発明に係るセキュリティ診断システムの実施の形態について、図面に基づいて説明する。
【0026】
図1は、本実施例に係るセキュリティ診断システムの構成の概略を示した図である。セキュリティ診断システムは、CPU(Central Processing Unit)11、RAM(Random Access Memory)12、HDD(Hard
Disk Drive)13、NIC(Network Interface Card)14、キーボード、マウス、タッチパッド等の入力装置15、ディスプレイ17等の出力装置を有し、これらはバス16を介して接続されている。
【0027】
CPU11は、中央処理装置であり、RAM12等に展開された命令及びデータを処理することで、バス16に接続されたRAM12、HDD13、NIC14等を制御する。RAM12は、主記憶装置であり、CPU11によって制御され、各種命令やデータが書き込まれ、読み出される。HDD13は、補助記憶装置であり、主にサーバ10の電源を落としても保持したい情報が書き込まれ、読み出される。NIC14は、ネットワークインターフェースであり、ネットワークより信号を受信し、ネットワークへ信号を送信する。
【0028】
HDD13には、セキュリティ診断システムを構成するOS(Operating System)及びセキュリティ診断プログラムがインストールされている。OSは、セキュリティ診断システムの有する各種リソースの管理、入出力管理、セキュリティ診断プログラムをはじめとするアプリケーションの制御を行う。セキュリティ診断プログラムは、セキュリティ診断のための各種プログラムモジュール及び診断用の各種データベース等からなり、CPU11によって適宜RAM12上にロードされ、処理される。
【0029】
ここで、本実施例に係るセキュリティ診断システムの利用シーンの一例を説明する。セキュリティプランナー等のセキュリティ診断システムの操作者が、診断対象となる施設にセキュリティ診断システムを持ち込み、施設の担当者にヒアリングを行いながらセキュリティ診断システムを使用した診断を行う。診断が終了すると、セキュリティ診断システムのディスプレイ17に、診断結果が表示される。また、この診断結果情報に基づいて、診断レポートをプリントアウトしてもよい。
【0030】
次に、図2から図4を用いて、本実施例のデータ構造の概略を説明する。以下に説明するデータは、HDD13又はRAM12上に保存され、CPU11によって適宜読み出され、処理される。
【0031】
図2は、本実施例におけるセキュリティ対策マトリックス20のデータ構造の概略を説明した図である。セキュリティ対策マトリックス20は、セキュリティ対策項目ID21、セキュリティレベル毎の状態概要22と状態詳細23、セキュリティレベル毎の実現手
段概要24と実現手段詳細25、対象別診断分類26、対策別診断分類27その他の情報を含む。セキュリティ対策マトリックス20は、HDD13上のデータベースに、セキュリティ対策テーブルとして蓄積されており、適宜RAM12上に読み出されて処理される。
【0032】
セキュリティ対策マトリックス20の有する情報のうち、セキュリティ対策項目ID21は、セキュリティ診断システムが診断を行う対象を所定の基準に従って分類したセキュリティ対策項目を識別する情報であり、オフィスセキュリティマーク認証制度認証基準及びISMS(Information Security Management System)認証基準(Ver.2.0)付属書詳細管理策に準拠して項目の選定が行われている。また、セキュリティレベルは、診断対象となる施設に求められるセキュリティのセキュリティレベル又は施設の有するセキュリティのセキュリティレベルを示す指標となるものであり、COBIT(Control OBjectives for Information and related Technology)成熟度モデルに準拠してセキュリティレベルの定義が行われている。但し、必ずしもこれらの基準に準拠する必要はなく、セキュリティ対策項目及びセキュリティレベルは、実施の形態によって適宜設定されることが好ましい。
【0033】
本実施例におけるセキュリティレベルの定義は、セキュリティレベル「0」が「存在しない」こと、セキュリティレベル「1」が「初歩的」であること、セキュリティレベル「2」が「反復可能」であること、セキュリティレベル「3」が「定義されている」こと、セキュリティレベル「4」が「管理されている」こと、セキュリティレベル「5」が「最適化されている」こと、である。但し、この定義は先述の通りCOBIT成熟度モデルに準拠して定義されたものであり、実施の形態によって適宜設定されることが好ましい。
【0034】
セキュリティレベル毎の状態概要22及び状態詳細23は、診断結果又は診断レポートで出力される現在の状態を予め記録したものであり、セキュリティレベル毎の実現手段概要24及び実現手段詳細25は、診断結果又は診断レポートで出力される対策を予め記録したものである。診断結果又は診断レポートの出力については後述する。
【0035】
対象別診断分類26及び対策別診断分類27は、該当するセキュリティ対策項目が、後述するレーダーチャートのいずれの軸に表示されるかを示す情報である。各セキュリティ対策項目は、対象別診断分類26及び対策別診断分類27の双方の属性を持つ。対象別診断分類26は、施設内の「どこの空間(対象)」に対する対策かを示す診断分類であり、対象別レーダーチャートのいずれの軸に対応するかを示す。対策別診断分類27は、「どのような種類」の対策かを示す診断分類であり、対策別レーダーチャートのいずれの軸に対応するかを示す。
【0036】
図3は、本実施例におけるセキュリティ対策水準情報30のデータ構造の概略を説明した図である。セキュリティ対策水準情報30は、セキュリティ対策項目毎に、セキュリティ対策項目ID31、基準セキュリティレベル32、変動要素の入力値33、入力値に対応する水準セキュリティレベル34を含む。セキュリティ対策水準情報30は、HDD13上のデータベースに、セキュリティ対策水準情報テーブルとして蓄積されており、適宜RAM12上に読み出されて処理される。
【0037】
基準セキュリティレベル32は、各セキュリティ対策項目について、一般的な条件の施設に求められる程度のセキュリティレベルを示す情報である。また、変動要素の入力値33は、施設の個別の事情又は状況の相違によって、求められるセキュリティレベルが変動する要素を示す情報であり、セキュリティ対策項目毎に、業種、利用対象部門、施設の利用状況、対象人数、非社員比率、流動率等について定義されている。さらに、夫々の変動
要素の入力値33に対応するセキュリティレベルである水準セキュリティレベル34が定義されている。
【0038】
図4は、本実施例における質問情報40のデータ構造の概略を説明した図である。質問情報40は、質問要素41、対応する質問エリア42、対応するセキュリティ対策項目ID43、質問ID44、質問45、必須フラグ46、選択肢47、選択肢に対応するセキュリティレベル48、次アクション49等を含む。質問情報40は、HDD13上のデータベースに、質問情報テーブルとして蓄積されており、適宜RAM12上に読み出されて処理される。
【0039】
必須フラグ46は、各質問エリア42毎に一つから複数存在する質問のうち、各質問エリア42の詳細な内容について質問が必要か否かを判定するための前提となる前提質問を示す情報である。即ち、必須フラグ46がTRUE(真)である質問45は前提質問であり、必須フラグ46がFALSE(偽)である質問45は前提質問ではない。
【0040】
次アクション49は、後述する問診処理で各質問45に対して選択肢47が選択されたときに、選択された選択肢47に応じて問診処理のその後の処理内容を決定するための情報である。本実施例では、該当する質問要素41に関する質問を終了する「閉じる」アクションと、同一の質問要素41に関して次の質問45及び選択肢47を表示するアクションとが定義されている。次の質問45及び選択肢47は、質問ID44で指定される。
【0041】
なお、セキュリティ対策項目によって、上位のセキュリティレベルを満たすために、前提となるセキュリティレベルを満たしていることが必要となるセキュリティ対策項目がある。これらのセキュリティ対策項目に属する質問要素41については、より下位のセキュリティレベルの対策が施されているという選択肢47が選択されたことを条件に、上位のセキュリティレベルの対策の有無を問う質問45及び選択肢47が表示されるように質問の順序が構成される。
【0042】
次に、図5から図16を用いて、セキュリティ診断処理の流れを説明する。図5、図8及び図13に示された処理は、セキュリティ診断システムにおいて、RAM12等に展開されたプログラムをCPU11が解釈及び実行することで行われる。CPU11は、所定のタイミング、又は端末より入力された指示に基づいて図5、図8及び図13に示された処理を順に実行する。また、以下の各処理の処理単位及び処理順序は、本実施例に示されている処理単位、処理順序に限定されるものではなく、適宜変更してもよい。
【0043】
図5は、本実施例における推奨セキュリティレベル算出処理の流れを示したフローチャートである。本フローチャートに示された処理は、操作者が、セキュリティ診断システムを起動することで実行される。
【0044】
S101では、企業情報入力フォームが表示される。CPU11は、予め定義された企業情報の入力フォーム情報をRAM12から読み出して、ディスプレイ17に出力する。図6は、この処理によって出力された企業情報入力フォームを示す図である。入力フォームは、企業名称及び業種を入力するための入力フィールド50と、入力された値を確定するボタン51を有する。その後、処理はS102へ進む。
【0045】
S102では、企業情報の入力が受け付けられる。操作者によって、S101で表示された入力フィールド50に、企業名称及び業種が入力され、ボタン51がクリックされると、CPU11は、入力値をRAM12に保存する。その後、処理はS103へ進む。
【0046】
S103では、施設情報入力フォームが表示される。CPU11は、予め定義された施
設情報の入力フォーム情報をRAM12から読み出して、ディスプレイ17に出力する。図7は、この処理によって出力された施設情報入力フォームを示す図である。入力フォームは、対象利用部門、対象面積、対象人数、非社員人数、流動率(入退社及び異動人員割合)、施設の利用状況を入力するための入力フィールド55と、入力された値を確定するボタン56を有する。その後、処理はS104へ進む。
【0047】
S104では、施設情報の入力が受け付けられる。操作者によって、S103で表示された入力フィールド55に、対象利用部門、対象面積、対象人数、非社員人数、入退社及び異動人員割合、施設の利用状況が入力され、ボタン56がクリックされると、CPU11は、入力値をRAM12に保存する。その後、処理はS105へ進む。
【0048】
S105では、入力された値から、セキュリティ対策項目推奨セキュリティレベル算出の変動要素に該当する入力値が算出される。CPU11は、S102及びS104で入力された入力値から、セキュリティ対策水準情報30の変動要素の入力値33に定義された変動要素に該当する入力値を算出し、RAM12に保存する。即ち、本実施例では、業種、利用対象部門、施設の利用状況、対象人数、非社員比率、流動率等が算出される。その後、処理はS106へ進む。
【0049】
S106では、変動要素となる値が含まれているか否かが判定される。CPU11は、S105で算出された変動要素の入力値33を基に、セキュリティ対策項目ごとにセキュリティ対策水準情報テーブルを検索し、該当する変動要素の入力値33があるか否かを判定する。ここで、該当する変動要素の入力値33は、複数存在することがある。該当する変動要素の入力値33がある場合、処理はS107へ進む。該当する変動要素の入力値33がない場合、処理はS108へ進む。
【0050】
S107では、定義された変動要素の水準セキュリティレベル34のうち、最も高いセキュリティレベルが推奨セキュリティレベルとして適用される。CPU11は、S106の検索に合致した変動要素の入力値33に対応する水準セキュリティレベル34のうち、最も高いセキュリティレベルを、該当するセキュリティ対策項目の推奨セキュリティレベルとして保存する。例えば、診断対象の施設の業種が製造業で、対象人数が300人以上であり、セキュリティ対策項目「個人業務用パソコンの利用」の基準セキュリティレベル32がセキュリティレベル「2」、変動要素の入力値「製造業」に対応する水準セキュリティレベルがセキュリティレベル「3」、変動要素の入力値「対象人数300人以上」に対応する水準セキュリティレベルがセキュリティレベル「5」である場合、セキュリティ対策項目「個人業務用パソコンの利用」の推奨セキュリティレベルは、セキュリティレベル「5」となる。その後、処理はS109へ進む。
【0051】
S108では、基準セキュリティレベル32が推奨セキュリティレベルとして適用される。CPU11は、セキュリティ対策水準情報30において、該当するセキュリティ対策項目の基準セキュリティレベル32として予め設定されているセキュリティレベルを、該当するセキュリティ対策項目の推奨セキュリティレベルとして保存する。その後、処理はS109へ進む。
【0052】
S109では、全てのセキュリティ対策項目について推奨セキュリティレベルが設定されたか否かが判定される。CPU11は、セキュリティ対策マトリックス20に定義された全てのセキュリティ対策項目について推奨セキュリティレベルが設定されたか否かを判定する。全てのセキュリティ対策項目について推奨セキュリティレベルが設定されていないと判定された場合、処理はS106へ進み、全てのセキュリティ対策項目について推奨セキュリティレベルが設定されるまでS106からS109の処理を繰り返す。全てのセキュリティ対策項目について推奨セキュリティレベルが設定されたと判定された場合、本
フローチャートに示された処理は終了する。
【0053】
推奨セキュリティレベル算出処理が行われることで、個別の施設に推奨される、又は求められるセキュリティ対策水準が設定され、この後に実行される問診処理で導き出されたセキュリティレベルの診断結果と比較することが可能となる。
【0054】
図8は、本実施例における問診処理の流れを示したフローチャートである。本フローチャートに示された処理は、推奨セキュリティレベル算出処理(図5を参照)の終了後に実行される。
【0055】
S201では、全体パースイメージが表示される。CPU11は、HDD13又はRAM12より、全体パースイメージ情報を読み出し、ディスプレイ17に出力する。図9は、全体パースイメージの画面イメージを示した図である。全体パースイメージは、セキュリティ診断の対象を俯瞰した画像であり、問診の対象となる各質問エリア42に、「?」アイコン61が表示されている。また、全体パースイメージは、常に同一のものが表示されることとしてもよいし、推奨セキュリティレベル算出処理のS102及びS104で保存された企業情報及び施設情報に基づいて、夫々のセキュリティ診断対象となる施設に近い全体パースイメージを選択して表示することとしてもよい。診断対象となる施設に近い全体パースイメージを表示することで、より現実の施設の状況に即した診断が可能となる。その後、処理はS202へ進む。
【0056】
S202では、システムで定義された順に、質問エリア42が決定される。CPU11は、HDD13から読み出した質問エリア情報ファイル(図示せず)を参照し、この後の処理で問診を行う対象となる質問エリア42を決定し、RAM12に保存する。質問エリア情報ファイルは、施設内においてセキュリティ診断の対象となる部屋等の質問エリア42を定義したファイルであり、問診対象となる質問エリア42の順序もここに定義されている。質問エリア42の順序は、施設の入口から奥に向かって順に定義されていることが好ましい。また、質問エリア42を決定する際、S201で表示された全体パースイメージ上で、人物を表した画像が該当する質問エリア42に向かって歩いていく様子を表示することとしてもよい。これによって、該当する質問エリア42を実際に利用する際の利用シーンを想起させることが可能となる。その後、処理はS203へ進む。
【0057】
S203では、各質問エリア42の詳細な内容について質問が必要か否かを判定するための前提となる前提質問と選択肢47が、質問情報テーブルより抽出される。CPU11は、質問情報テーブルを検索し、S202で決定された質問エリア42が合致し、且つ必須フラグ46がTRUE(真)である質問情報40を抽出し、RAM12に保存する。その後、処理はS204へ進む。
【0058】
S204では、質問45と選択肢47が質問パネル65に表示される。CPU11は、全体パースイメージ上に質問パネル65を重ねて表示させ、質問パネル65にS203で抽出された質問情報40の質問45と選択肢47を表示する。図10は、全体パースイメージ上に重ねて表示される質問パネル65の画面イメージを示した図である。質問パネル65は、質問表示部66と、選択肢表示部67と、各選択肢47に対応するラジオボタン68と、選択された選択肢47を確定するボタン69を有する。なお、本実施例で、質問パネル65は全体パースイメージ上に重ねて表示されるが、質問45及び選択肢47の表示はこの方法に限定されない。例えば、全体パースイメージに上書き表示する方法や、別ウィンドウへ表示する方法等が採用されてもよい。その後、処理はS205へ進む。
【0059】
S205では、選択肢47の入力が受け付けられる。操作者によって、S204で表示された選択肢47の何れかが選択され、ボタン69がクリックされると、CPU11は、
入力値をRAM12に保存する。その後、処理はS206へ進む。
【0060】
S206では、入力された選択肢47のセキュリティレベルが保存される。CPU11は、S205でRAM12に保存した入力値(選択肢47)を基に、質問情報テーブルを検索し、合致する選択肢47のセキュリティレベルを抽出し、RAM12に保存する。このとき、選択された選択肢47が、対象となる質問エリア42が診断対象となる施設に存在しないことを示す選択肢47であった場合は、セキュリティレベルは設定されず、該当する質問エリア42が存在しないことを示す値(例えば、”unexist”)が設定される。その後、処理はS207へ進む。
【0061】
S207では、入力された選択肢47に該当する次アクション49が抽出される。CPU11は、S205でRAM12に保存した入力値(選択肢47)を基に、質問情報テーブルを検索し、合致する選択肢47の次アクション49を抽出し、RAM12に保存する。その後、処理はS208へ進む。
【0062】
S208では、次アクション49の内容が判定される。CPU11は、S207で抽出した次アクション49が、「閉じる」であるか又は次の質問の表示であるかを判定する。次アクション49が「閉じる」である場合、処理はS209へ進む。特に、対象となる質問エリア42が診断対象となる施設に存在しないことを示す選択肢47には、次アクション49として「閉じる」が設定されている。次アクション49が次の質問の表示である場合、処理はS210へ進む。
【0063】
S209では、質問45と選択肢47を表示していた質問パネル65が閉じられる。CPU11は、S204で表示された質問パネル65を閉じ、質問パネル65が表示されていた領域に再び全体パースイメージを表示する。この際、既に質問の表示された「?」アイコン61は、問診が終了したことを示すチェックマークアイコン62に表示が変更される。その後、処理はS221へ進む。
【0064】
S210では、質問エリアイメージが表示される。CPU11は、HDD13又はRAM12より、該当する質問エリアイメージ情報を読み出し、ディスプレイ17に出力する。図11は、質問エリアイメージの画面イメージを示した図である。質問エリアイメージは、各質問エリア42の詳細を問診するための画面であり、質問エリア42ごとに異なるイメージが予め用意されている。また、各質問エリアイメージには、質問45にリンクした「?」アイコン61が一つから複数含まれている。その後、処理はS211へ進む。
【0065】
S211では、「?」アイコン61のクリックが受け付けられる。操作者によって、S210で表示された「?」アイコン61のうち何れか一がクリックされると、CPU11は、クリックされた「?」アイコン61に定義されているリンク情報をRAM12に保存する。その後、処理はS212へ進む。
【0066】
S212では、クリックされた「?」アイコン61に該当する質問情報40が抽出される。CPU11は、S211で入力されたリンク情報を基に、質問情報テーブルを検索し、該当する質問情報40を抽出し、RAM12に保存する。その後、処理はS213へ進む。
【0067】
S213では、質問45と選択肢47が質問パネル70に表示される。CPU11は、質問エリアイメージ上に質問パネル70を重ねて表示させ、質問パネル70にS212又はS219で抽出された質問情報40の質問45と選択肢47を表示する。図12は、質問エリアイメージ上に重ねて表示される質問パネル70の画面イメージを示した図である。質問パネル70は、質問表示部71と、選択肢表示部72と、各選択肢47に対応する
ラジオボタン73と、選択された選択肢47を確定するボタン74を有する。なお、本実施例で、質問パネル70は質問エリアイメージ上に重ねて表示されるが、質問45及び選択肢47の表示はこの方法に限定されない。例えば、質問エリアイメージに上書き表示する方法や、別ウィンドウへ表示する方法等が採用されてもよい。その後、処理はS214へ進む。
【0068】
S214では、選択肢47の入力が受け付けられる。操作者によって、S204で表示された選択肢47の何れかが選択され、ボタン74がクリックされると、CPU11は、入力値をRAM12に保存する。その後、処理はS215へ進む。
【0069】
S215では、入力された選択肢47のセキュリティレベルが保存される。CPU11は、S214でRAM12に保存した入力値(選択肢47)を基に、質問情報テーブルを検索し、合致する選択肢47のセキュリティレベルを抽出し、RAM12に保存する。その後、処理はS216へ進む。
【0070】
S216では、入力された選択肢47に該当する次アクション49が抽出される。CPU11は、S214でRAM12に保存した入力値(選択肢47)を基に、質問情報テーブルを検索し、合致する選択肢47の次アクション49を抽出し、RAM12に保存する。その後、処理はS217へ進む。
【0071】
S217では、次アクション49の内容が判定される。CPU11は、S216で抽出した次アクション49が、「閉じる」であるか又は次の質問の表示であるかを判定する。次アクション49が「閉じる」である場合、処理はS218へ進む。次アクション49が次の質問の表示である場合、処理はS219へ進む。
【0072】
S218では、質問45と選択肢47を表示していた質問パネル70が閉じられる。CPU11は、S204で表示された質問パネル70を閉じ、質問パネル70が表示されていた領域に再び質問エリアイメージを表示する。この際、既に質問の表示された「?」アイコン61は、チェックマークアイコン62に表示が変更される。その後、処理はS220へ進む。
【0073】
S219では、次の質問45と選択肢47が抽出される。CPU11は、S217で判定された次アクション49に示された質問ID44を基に、質問情報テーブルから該当する質問情報40を抽出し、RAM12に保存する。その後、処理はS213へ進む。
【0074】
S220では、該当する質問エリアイメージに表示された全ての「?」アイコン61がクリックされたか否かが判定される。CPU11は、現在表示している質問エリアイメージに表示された全ての「?」アイコン61についてクリックされ、問診が終了したか否かを判定する。終了したと判定された場合、処理はS201へ進む。終了していないと判定された場合、処理はS211へ進み、質問エリアイメージに表示された全ての「?」アイコン61がクリックされ、問診が終了するまでS211からS220の処理を繰り返す。
【0075】
S221では、全ての質問エリア42について問診処理が完了したか否かが判定される。CPU11は、質問エリア情報ファイルに定義された全ての質問エリア42について問診処理が完了したか否かを判定する。完了していないと判定された場合、処理はS202へ進み、全ての質問エリア42について問診処理が完了するまでS202からS221の処理を繰り返す。完了したと判定された場合、本フローチャートに示された処理は完了する。
【0076】
図13は、本実施例におけるレーダーチャート作成処理の流れを示したフローチャート
である。本フローチャートに示された処理は、問診処理(図8を参照)の終了後に実行される。
【0077】
S301では、問診処理で保存された各質問のセキュリティレベルが集約される。CPU11は、問診処理のS206、S215でRAM12に保存された各質問45のセキュリティレベルを、夫々の質問45が分類される質問要素41毎に集約し、RAM12に保存する。その後、処理はS302へ進む。
【0078】
S302では、集約したセキュリティレベルのうち最も高いセキュリティレベルが、該当する質問要素41のセキュリティレベルとして採用される(図14を参照)。CPU11は、質問要素41毎に、S301で集約されたセキュリティレベルを比較し、該当する質問要素41の中で最も高いセキュリティレベルを、該当する質問要素41のセキュリティレベルとして採用し、RAM12に保存する。その後、処理はS303へ進む。
【0079】
S303では、各質問要素41のセキュリティレベルが集約される。CPU11は、S302でRAM12に保存された各質問要素41のセキュリティレベルを、夫々の質問要素41が分類されるセキュリティ対策項目毎に集約し、RAM12に保存する。その後、処理はS304へ進む。
【0080】
S304では、集約したセキュリティレベルのうち最も低いセキュリティレベルが、該当するセキュリティ対策項目のセキュリティレベルとして採用される(図14を参照)。CPU11は、セキュリティ対策項目毎に、S303で集約されたセキュリティレベルを比較し、該当するセキュリティ対策項目の中で最も低いセキュリティレベルを、該当するセキュリティ対策項目のセキュリティレベルとして採用し、RAM12に保存する。その後、処理はS305へ進む。
【0081】
S305では、各セキュリティ対策項目のセキュリティレベルが集約される。CPU11は、セキュリティ対策テーブルから各セキュリティ対策項目が該当する対象別診断分類26及び対策別診断分類27を抽出し、S304でRAM12に保存された各セキュリティ対策項目のセキュリティレベルを、抽出した診断分類毎に集約し、RAM12に保存する。その後、処理はS306へ進む。
【0082】
S306では、集約した診断分類毎のセキュリティレベルの相加平均が、該当する診断分類のセキュリティレベルとして算出される。CPU11は、診断分類毎に、S305で集約された、該当する診断分類に属する各セキュリティ対策項目のセキュリティレベルの相加平均を算出し、RAM12に保存する。この際、算出されたセキュリティレベルは整数とはならないことがあるため、本実施例では、有効桁数を小数点以下第一位までとして相加平均を算出する。その後、処理はS307へ進む。
【0083】
S307では、各セキュリティ対策項目の推奨セキュリティレベルが集約される。CPU11は、推奨セキュリティレベル算出処理でRAM12に保存された各セキュリティ対策項目の推奨セキュリティレベルを、夫々のセキュリティ対策項目が分類されるレーダーチャートの診断分類毎に集約し、RAM12に保存する。各セキュリティ対策項目がいずれの診断分類に属するかは、CPU11が、セキュリティ対策項目に基づいてセキュリティ対策テーブルを検索し、該当する診断分類を抽出することで決定される。その後、処理はS308へ進む。
【0084】
S308では、集約した診断分類毎の推奨セキュリティレベルの相加平均が、該当する診断分類の推奨セキュリティレベルとして算出される。CPU11は、診断分類毎に、S307で集約された、該当する診断分類に属する各セキュリティ対策項目の推奨セキュリ
ティレベルの相加平均を算出し、RAM12に保存する。この際、算出された推奨セキュリティレベルは整数とはならないことがあるため、本実施例では、有効桁数を小数点以下第一位までとして相加平均を算出する。その後、処理はS309へ進む。
【0085】
S309では、診断結果が表示される。図15は、表示される診断結果の画面イメージを示した図である。診断結果は、算出された診断分類毎のセキュリティレベル及び推奨セキュリティレベルを示したレーダーチャート81、セキュリティレベルが推奨セキュリティレベルに達していないセキュリティ対策項目の一覧82、表示切替ボタン83からなる。CPU11は、S306で算出した診断分類ごとのセキュリティレベルと、S308で算出した診断分類ごとの推奨セキュリティレベルと、を各診断分類に対応する夫々の軸に表したレーダーチャート81を生成し、ディスプレイ17に出力する。ここで、レーダーチャート81には、視認性を高めるために、セキュリティレベルを示す星が表示される。その後、本フローチャートに示された処理は終了する。
【0086】
なお、図15に示されたレーダーチャート81は、対象別診断分類26に属する診断分類を夫々の軸に表した対象別レーダーチャート81であるが、表示切換ボタン83がクリックされると、対策別診断分類27に属する診断分類を夫々の軸に表した対策別レーダーチャート81が表示される(図示は省略する)。これにより、施設の状態と、推奨されるセキュリティ水準とを、対象別、対策別に容易に把握することが可能となる。加えて、セキュリティレベルが推奨セキュリティレベルに達していないセキュリティ対策項目の一覧82に示された各セキュリティ対策項目のタイトルがクリックされると、診断結果の上に重ねて対策パネル85が表示される(図16を参照)。対策パネル85には、推奨セキュリティレベルに達するために講じるべき対策が表示される。CPU11は、セキュリティ対策テーブルを検索し、推奨セキュリティレベルに達していないセキュリティ対策項目の、各セキュリティレベルの実現手段概要24を抽出し、講じるべき対策として対策パネル85に出力する。これにより、推奨されるセキュリティ水準を達成するために、どのような対策を採用すればよいのかを容易に把握することが可能となる。なお、本実施例では、セキュリティ対策テーブルから実現手段概要24を抽出し、出力することとしているが、更に状態概要22を抽出し、出力することとしてもよい。また、本実施例で、対策パネル85は診断結果上に重ねて表示されるが、推奨セキュリティレベルに達するために講じるべき対策の表示はこの方法に限定されない。例えば、診断結果に上書き表示する方法や、別ウィンドウへ表示する方法等が採用されてもよい。
【0087】
また、診断結果とは別に、診断レポートをプリントアウト等の手段で出力することとしてもよい。診断レポートは、診断結果と同様に、レーダーチャート、推奨セキュリティレベルに達していないセキュリティ対策項目の一覧、及び推奨セキュリティレベルに達するために講じるべき対策からなる。このとき、推奨セキュリティレベルに達するために講じるべき対策は、推奨セキュリティレベルに達していないセキュリティ対策項目の、各セキュリティレベルの状態詳細23及び実現手段詳細25が抽出され、講じるべき対策として出力される。詳細な対策が出力されることで、推奨されるセキュリティ水準を達成するために、どのような対策を採用すればよいのかをより具体的に把握することが可能となる。なお、プリントアウトは、セキュリティ診断システムにプリンタを接続して出力する方法や、サーバに診断結果情報をアップロードしてサーバに接続されたプリンタから出力する方法等があるが、特定の方法に限定されない。また、サーバへ診断結果情報をアップロードする方法も、NIC14からネットワーク経由でアップロードする方法や、リムーバブルメディアを使用する方法等があるが、特定の方法に限定されない。
【0088】
本実施例に拠れば、セキュリティ対策の多岐性、専門性によって生じる難解さ、煩雑さを解消することが可能となる。
【図面の簡単な説明】
【0089】
【図1】実施例に係るセキュリティ診断システムの構成の概略を示した図である。
【図2】実施例におけるセキュリティ対策マトリックスのデータ構造の概略を説明した図である。
【図3】実施例におけるセキュリティ対策水準情報のデータ構造の概略を説明した図である。
【図4】実施例における質問情報のデータ構造の概略を説明した図である。
【図5】実施例における推奨セキュリティレベル算出処理の流れを示したフローチャートである。
【図6】企業情報入力フォーム表示処理によって出力された企業情報入力フォームを示す図である。
【図7】施設情報入力フォーム表示処理によって出力された施設情報入力フォームを示す図である。
【図8】実施例における問診処理の流れを示したフローチャートである。
【図9】全体パースイメージの画面イメージを示した図である。
【図10】全体パースイメージ上に重ねて表示される質問パネルの画面イメージを示した図である。
【図11】質問エリアイメージの画面イメージを示した図である。
【図12】質問エリアイメージ上に重ねて表示される質問パネルの画面イメージを示した図である。
【図13】実施例におけるレーダーチャート作成処理の流れを示したフローチャートである。
【図14】質問要素及びセキュリティ対策項目のセキュリティレベルを決定する処理の概要を示した図である。
【図15】診断結果の画面イメージを示した図である。
【図16】診断結果の画面イメージ上に重ねて表示される対策パネルの画面イメージを示した図である。
【符号の説明】
【0090】
11 CPU
12 RAM
13 HDD
15 入力装置
17 ディスプレイ
20 セキュリティ対策マトリックス
30 セキュリティ対策水準情報
40 質問情報
50 入力フィールド
55 入力フィールド
61 「?」アイコン
62 チェックマークアイコン
65 質問パネル
66 質問表示部
67 選択肢表示部
70 質問パネル
71 質問表示部
72 選択肢表示部
81 レーダーチャート
85 対策パネル
【特許請求の範囲】
【請求項1】
施設のセキュリティ診断において質問の対象となる質問対象毎に、前記質問、該質問に対応する選択肢及び該選択肢に対応するセキュリティレベルを、データとして含む質問情報を蓄積する質問情報蓄積手段と、
前記施設の全体又は各区域とともに、該施設内の前記質問対象を画像として表示する画像表示手段と、
前記質問情報蓄積手段によって蓄積された質問情報のうち、前記画像表示手段によって表示された前記質問対象に対応する質問情報を抽出し、該質問情報にデータとして含まれる質問及び選択肢を表示する質問表示手段と、
表示された選択肢の選択の入力を受け付ける選択肢入力受付手段と、
抽出された前記質問情報から、前記選択肢入力受付手段によって受け付けられた選択の入力に係る選択肢に対応するセキュリティレベルを抽出するセキュリティレベル抽出手段と、
前記セキュリティレベル抽出手段によって抽出されたセキュリティレベルを所定のカテゴリ毎に集約し、集約されたセキュリティレベルに基づいて、該カテゴリ毎に前記施設のセキュリティレベルを算出するセキュリティレベル算出手段と、
を備えることを特徴とするセキュリティ診断システム。
【請求項2】
前記画像表示手段によって表示された質問対象の位置に、該質問対象に関する質問があることを示すアイコンを表示するアイコン表示手段と、
前記アイコンの選択の入力を受け付けるアイコン選択入力受付手段と、
を更に備え、
前記質問表示手段は、前記アイコン選択入力受付手段によって受け付けられた選択の入力を契機として、前記質問情報蓄積手段によって蓄積された質問情報のうち、選択された前記アイコンに係る前記質問対象に対応する質問情報を抽出し、該質問情報にデータとして含まれる質問及び選択肢を表示すること、
を特徴とする請求項1に記載のセキュリティ診断システム。
【請求項3】
前記セキュリティレベル算出手段は、
前記セキュリティレベル抽出手段によって抽出されたセキュリティレベルを、前記質問対象毎に集約し、
前記質問対象毎に集約されたセキュリティレベルのうち、最も高いセキュリティレベルを、各質問対象のセキュリティレベルとして決定し、
前記各質問対象のセキュリティレベルを、診断を行う対象を所定の基準に従って分類したセキュリティ対策項目毎に集約し、
前記セキュリティ対策項目毎に集約されたセキュリティレベルのうち、最も低いセキュリティレベルを、各セキュリティ対策項目のセキュリティレベルとして決定し、
前記各セキュリティ対策項目のセキュリティレベルを、前記カテゴリ毎に集約し、
前記カテゴリ毎に集約されたセキュリティレベルの、該カテゴリ毎の相加平均を算出することで、
前記カテゴリ毎に前記施設のセキュリティレベルを算出すること、
を特徴とする請求項1又は請求項2に記載のセキュリティ診断システム。
【請求項4】
前記カテゴリ毎に、前記施設に関する情報のうち該施設に求められるセキュリティレベルに影響する情報であるセキュリティレベル関連施設情報、及び該セキュリティレベル関連施設情報に対応するセキュリティレベルである水準セキュリティレベルを、データとして含むセキュリティ水準情報を蓄積するセキュリティ水準情報蓄積手段と、
前記施設に関する情報の入力を受け付ける施設情報入力手段と、
入力が受け付けられた前記施設に関する情報が、前記セキュリティレベル関連施設情報
に該当する場合に、該セキュリティレベル関連施設情報に対応する水準セキュリティレベルを抽出する水準セキュリティレベル抽出手段と、
前記水準セキュリティレベル抽出手段によって抽出された水準セキュリティレベルを前記カテゴリ毎に集約し、集約された水準セキュリティレベルに基づいて、該カテゴリ毎に前記施設に推奨されるセキュリティレベルを算出する推奨セキュリティレベル算出手段と、
を更に備えることを特徴とする請求項1から請求項3の何れかに記載のセキュリティ診断システム。
【請求項5】
前記セキュリティレベル算出手段によって算出された前記カテゴリ毎のセキュリティレベル及び前記推奨セキュリティレベル算出手段によって算出された前記カテゴリ毎の推奨されるセキュリティレベルを各軸に表したレーダーチャートを生成し、表示するレーダーチャート表示手段を更に備えることを特徴とする請求項4に記載のセキュリティ診断システム。
【請求項6】
前記カテゴリごとに、前記施設のセキュリティレベルが所定のセキュリティレベルに到達するための実現方法を、データとして含むセキュリティ対策情報を蓄積するセキュリティ対策情報蓄積手段と、
前記セキュリティレベル算出手段によって算出された前記カテゴリ毎のセキュリティレベルと、前記推奨セキュリティレベル算出手段によって算出された前記カテゴリ毎の推奨されるセキュリティレベルを比較することで、前記推奨されるセキュリティレベルを満たしていないカテゴリを抽出する未到達カテゴリ抽出手段と、
前記セキュリティ対策情報蓄積手段によって蓄積されたセキュリティ対策情報のうち、前記未到達カテゴリ抽出手段によって抽出されたカテゴリに対応するセキュリティ対策情報を抽出し、該セキュリティ対策情報にデータとして含まれる実現方法を表示するセキュリティ対策情報表示手段と、
を更に備えることを特徴とする請求項4又は請求項5に記載のセキュリティ診断システム。
【請求項1】
施設のセキュリティ診断において質問の対象となる質問対象毎に、前記質問、該質問に対応する選択肢及び該選択肢に対応するセキュリティレベルを、データとして含む質問情報を蓄積する質問情報蓄積手段と、
前記施設の全体又は各区域とともに、該施設内の前記質問対象を画像として表示する画像表示手段と、
前記質問情報蓄積手段によって蓄積された質問情報のうち、前記画像表示手段によって表示された前記質問対象に対応する質問情報を抽出し、該質問情報にデータとして含まれる質問及び選択肢を表示する質問表示手段と、
表示された選択肢の選択の入力を受け付ける選択肢入力受付手段と、
抽出された前記質問情報から、前記選択肢入力受付手段によって受け付けられた選択の入力に係る選択肢に対応するセキュリティレベルを抽出するセキュリティレベル抽出手段と、
前記セキュリティレベル抽出手段によって抽出されたセキュリティレベルを所定のカテゴリ毎に集約し、集約されたセキュリティレベルに基づいて、該カテゴリ毎に前記施設のセキュリティレベルを算出するセキュリティレベル算出手段と、
を備えることを特徴とするセキュリティ診断システム。
【請求項2】
前記画像表示手段によって表示された質問対象の位置に、該質問対象に関する質問があることを示すアイコンを表示するアイコン表示手段と、
前記アイコンの選択の入力を受け付けるアイコン選択入力受付手段と、
を更に備え、
前記質問表示手段は、前記アイコン選択入力受付手段によって受け付けられた選択の入力を契機として、前記質問情報蓄積手段によって蓄積された質問情報のうち、選択された前記アイコンに係る前記質問対象に対応する質問情報を抽出し、該質問情報にデータとして含まれる質問及び選択肢を表示すること、
を特徴とする請求項1に記載のセキュリティ診断システム。
【請求項3】
前記セキュリティレベル算出手段は、
前記セキュリティレベル抽出手段によって抽出されたセキュリティレベルを、前記質問対象毎に集約し、
前記質問対象毎に集約されたセキュリティレベルのうち、最も高いセキュリティレベルを、各質問対象のセキュリティレベルとして決定し、
前記各質問対象のセキュリティレベルを、診断を行う対象を所定の基準に従って分類したセキュリティ対策項目毎に集約し、
前記セキュリティ対策項目毎に集約されたセキュリティレベルのうち、最も低いセキュリティレベルを、各セキュリティ対策項目のセキュリティレベルとして決定し、
前記各セキュリティ対策項目のセキュリティレベルを、前記カテゴリ毎に集約し、
前記カテゴリ毎に集約されたセキュリティレベルの、該カテゴリ毎の相加平均を算出することで、
前記カテゴリ毎に前記施設のセキュリティレベルを算出すること、
を特徴とする請求項1又は請求項2に記載のセキュリティ診断システム。
【請求項4】
前記カテゴリ毎に、前記施設に関する情報のうち該施設に求められるセキュリティレベルに影響する情報であるセキュリティレベル関連施設情報、及び該セキュリティレベル関連施設情報に対応するセキュリティレベルである水準セキュリティレベルを、データとして含むセキュリティ水準情報を蓄積するセキュリティ水準情報蓄積手段と、
前記施設に関する情報の入力を受け付ける施設情報入力手段と、
入力が受け付けられた前記施設に関する情報が、前記セキュリティレベル関連施設情報
に該当する場合に、該セキュリティレベル関連施設情報に対応する水準セキュリティレベルを抽出する水準セキュリティレベル抽出手段と、
前記水準セキュリティレベル抽出手段によって抽出された水準セキュリティレベルを前記カテゴリ毎に集約し、集約された水準セキュリティレベルに基づいて、該カテゴリ毎に前記施設に推奨されるセキュリティレベルを算出する推奨セキュリティレベル算出手段と、
を更に備えることを特徴とする請求項1から請求項3の何れかに記載のセキュリティ診断システム。
【請求項5】
前記セキュリティレベル算出手段によって算出された前記カテゴリ毎のセキュリティレベル及び前記推奨セキュリティレベル算出手段によって算出された前記カテゴリ毎の推奨されるセキュリティレベルを各軸に表したレーダーチャートを生成し、表示するレーダーチャート表示手段を更に備えることを特徴とする請求項4に記載のセキュリティ診断システム。
【請求項6】
前記カテゴリごとに、前記施設のセキュリティレベルが所定のセキュリティレベルに到達するための実現方法を、データとして含むセキュリティ対策情報を蓄積するセキュリティ対策情報蓄積手段と、
前記セキュリティレベル算出手段によって算出された前記カテゴリ毎のセキュリティレベルと、前記推奨セキュリティレベル算出手段によって算出された前記カテゴリ毎の推奨されるセキュリティレベルを比較することで、前記推奨されるセキュリティレベルを満たしていないカテゴリを抽出する未到達カテゴリ抽出手段と、
前記セキュリティ対策情報蓄積手段によって蓄積されたセキュリティ対策情報のうち、前記未到達カテゴリ抽出手段によって抽出されたカテゴリに対応するセキュリティ対策情報を抽出し、該セキュリティ対策情報にデータとして含まれる実現方法を表示するセキュリティ対策情報表示手段と、
を更に備えることを特徴とする請求項4又は請求項5に記載のセキュリティ診断システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2008−9819(P2008−9819A)
【公開日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願番号】特願2006−180971(P2006−180971)
【出願日】平成18年6月30日(2006.6.30)
【出願人】(000152228)株式会社内田洋行 (105)
【Fターム(参考)】
【公開日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願日】平成18年6月30日(2006.6.30)
【出願人】(000152228)株式会社内田洋行 (105)
【Fターム(参考)】
[ Back to top ]