Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5269722B2 - Security design support apparatus and program - Google Patents
[go: Go Back, main page]

JP5269722B2 - Security design support apparatus and program - Google Patents

Security design support apparatus and program Download PDF

Info

Publication number
JP5269722B2
JP5269722B2 JP2009195579A JP2009195579A JP5269722B2 JP 5269722 B2 JP5269722 B2 JP 5269722B2 JP 2009195579 A JP2009195579 A JP 2009195579A JP 2009195579 A JP2009195579 A JP 2009195579A JP 5269722 B2 JP5269722 B2 JP 5269722B2
Authority
JP
Japan
Prior art keywords
security
policy
identifier
countermeasure
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009195579A
Other languages
Japanese (ja)
Other versions
JP2011048560A (en
Inventor
万恵 斯波
尚一 佐々木
美奈子 小川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2009195579A priority Critical patent/JP5269722B2/en
Publication of JP2011048560A publication Critical patent/JP2011048560A/en
Application granted granted Critical
Publication of JP5269722B2 publication Critical patent/JP5269722B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To confirm a security target related to a security countermeasure policy obtained from a threat analysis, and support the threat analysis, and also a design of the security countermeasure policy and a security function requirement obtained from a request specification of a system. <P>SOLUTION: A security design support device 100 includes a goal model DB 101 storing goal model information including a counter measure policy kind, a security countermeasure policy identifier, a plurality of security countermeasure policies (O), and one or more security function requirement identifiers in each security target, rewrites a security countermeasure policy (UO) inside a threat analysis results by the security countermeasure policy (O) extracted from the goal model information read based on the security target, and integrates both sides to compose the read goal model information and the threat analysis results. <P>COPYRIGHT: (C)2011,JPO&amp;INPIT

Description

本発明は、開発対象の情報システムやIT(Information Technology)製品(以下、情報システム等ともいう)におけるセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置及びプログラムに関する。   The present invention relates to a security design support apparatus and program for supporting the design of security scenario data in an information system or IT (Information Technology) product (hereinafter also referred to as an information system) to be developed.

情報システム等のセキュリティ設計においては、上流工程で情報システム等が具備すべきセキュリティ機能要件を策定し、セキュリティシナリオデータを設計する必要がある。   In the security design of information systems and the like, it is necessary to formulate security function requirements that the information system and the like should have in the upstream process and design security scenario data.

始めに、考えられる脅威とその対策方針をまとめたリストなどによって脅威分析が行われる。この脅威分析結果に基づいてセキュリティ対策方針が定められ、セキュリティ対策方針からセキュリティ機能要件が策定される。続いて、これら脅威分析結果、セキュリティ対策方針及びセキュリティ機能要件内の識別子、定義、対応関係等が整理されてセキュリティシナリオデータが設計される。   First, threat analysis is performed using a list of possible threats and countermeasures. A security objective policy is determined based on the threat analysis result, and security functional requirements are formulated from the security objective policy. Subsequently, the security scenario data is designed by organizing the threat analysis results, the security countermeasure policies, the identifiers in the security functional requirements, the definitions, the correspondences, and the like.

設計されたセキュリティシナリオデータは、セキュリティ設計書であるセキュリティターゲットST(security target)やセキュリティ要件定義書の作成に用いられる。   The designed security scenario data is used to create a security target ST (security target) that is a security design document and a security requirement definition document.

セキュリティターゲットSTは、情報システム等のセキュリティ基本仕様となる文書であり、セキュリティ機能を保証する国際規格であるセキュリティ国際標準(ISO/IEC15408: International Organization for Standardization / International Electrotechnical Commission 15408)の評価認証に用いられる。セキュリティ要件定義書は、セキュリティ設計の上流工程で作成される要求定義書の中のセキュリティに関する要件をまとめた文書である。   The security target ST is a document that serves as a basic security specification for information systems, etc., and is used for evaluation and certification of international standards for security (ISO / IEC15408: International Organization for Standardization / International Electrotechnical Commission 15408) that guarantee security functions. It is done. The security requirement definition document is a document that summarizes security-related requirements in the requirement definition document created in the upstream process of security design.

特開2008−287496号公報JP 2008-287496 A

しかしながら、以上のようなセキュリティ設計手法は、本発明者の検討によれば、以下の点で改良の余地がある。   However, according to the study of the present inventor, the above security design technique has room for improvement in the following points.

すなわち、従来のセキュリティ設計手法は、脅威分析から得られるセキュリティ対策方針と、本来、情報システムが満たすべきセキュリティ目標との関連が分かりにくいことから、セキュリティ目標に基づくセキュリティ対策方針からセキュリティ機能要件への落とし込みが不十分となり易い点で改良の余地があると考えられる。   In other words, the conventional security design method is difficult to understand the relationship between the security objectives obtained from threat analysis and the security objectives that should be satisfied by the information system. It is thought that there is room for improvement in that the drop is likely to be insufficient.

本発明は上記実情を考慮してなされたもので、脅威分析から得られたセキュリティ対策方針に関連したセキュリティ目標を確認でき、システムの要求仕様から得られるセキュリティ対策方針とセキュリティ機能要件の設計をも支援し得るセキュリティ設計支援装置及びプログラムを提供することを目的とする。   The present invention has been made in consideration of the above circumstances, can confirm the security objectives related to the security objectives obtained from the threat analysis, and can design the security objectives and security functional requirements obtained from the system requirement specifications. It is an object of the present invention to provide a security design support apparatus and program that can be supported.

本発明の一つの局面は、「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置であって、「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を記憶した十分性文書雛形記憶手段と、「ゴールとしてのセキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」を記憶し、且つ前記ゴールモデル情報内のセキュリティ機能要件識別子は、前記十分性文書雛形記憶手段内の各セキュリティ機能要件識別子のいずれかに一致しているゴールモデル情報記憶手段と、「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び前記脅威識別子に関連する関係者識別子を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前記前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO)、及び前記セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び前記根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び前記運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び前記組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける脅威分析結果入力受付手段と、前記入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成手段と、前記入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成手段と、前記入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成手段と、前記ゴールモデル情報記憶手段内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付手段と、前記選択を受け付けたセキュリティ目標に基づいて、前記ゴールモデル情報記憶手段内のゴールモデル情報を読み出すゴールモデル情報読出手段と、前記読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、前記入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較手段と、前記比較の結果、前記脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)を前記ゴールモデル情報から抽出する抽出手段と、前記抽出されたセキュリティ対策方針(O)で前記脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、前記読み出されたゴールモデル情報と前記脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成手段と、前記生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちの前記ゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、前記十分性文書雛形記憶手段からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成手段と、前記ゴールモデル−脅威分析合成情報、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データに基づいて、前記セキュリティシナリオデータを作成するセキュリティシナリオデータ作成手段と、を備えたセキュリティ設計支援装置である。   One aspect of the present invention includes “related party list data including a related party definition for each related party identifier corresponding to a related party type” and “a protected asset definition for each protected asset identifier corresponding to a protected asset type”. Protected asset list data ”,“ Threat-counter correspondence table data including threat definition, security countermeasure policy identifier and security countermeasure policy sufficiency document information for each threat identifier corresponding to threat type ”, and“ Countermeasure policy ” For each security objective policy identifier corresponding to the type, the security objective policy (O, UO), the related security function requirement identifier and countermeasure-function correspondence table data including security function requirement sufficiency document information ", and Premise-operation countermeasure correspondence table data including precondition definition, related operation countermeasure policy identifier and operation countermeasure policy for each corresponding precondition identifier And the security scenario data including “Organizational countermeasure policy, organizational countermeasure policy including related security countermeasure policy identifier and security countermeasure policy-countermeasure policy correspondence table data for each organizational countermeasure policy identifier corresponding to the organizational countermeasure policy type”. A security design support apparatus for supporting a design, wherein “for each security objective policy identifier, a countermeasure-function correspondence table including a security objective policy (O), a related security functional requirement identifier, and security functional requirement sufficiency document information Sufficient document template storage means storing “data”, “for each security target as a goal, a countermeasure policy type, a security countermeasure policy identifier, a plurality of security countermeasure policies (O) as a soft goal, and each security countermeasure policy One or more requests as related to (O) Goal model information including a security function requirement identifier ", and the security function requirement identifier in the goal model information matches one of the security function requirement identifiers in the sufficiency document template storage means. Model information storage means, “related party information including related party type, related party identifier and related party definition”, “protected asset information including protected asset type, protected asset identifier and protected asset definition”, “threat type, Misuse case information including threat identifier, threat definition, and party identifier related to the threat identifier ”, and“ precondition type, precondition identifier, precondition definition, and protected asset identifier related to the precondition identifier ” Prerequisite information ”,“ Countermeasure policy type, security policy identifier, security policy (UO), and security policy Security objective policy information including threat identifiers related to security objective policy identifiers "and" reason information including rationale type, rationale identifier, security objectives policy sufficiency document information, and security objectives policy identifiers related to the rationale identifiers "and , “Operation countermeasure policy information including operation countermeasure policy type, operation countermeasure policy identifier, operation countermeasure policy, and precondition identifier related to the operation countermeasure policy identifier” and “Organization countermeasure policy type, organization countermeasure policy identifier, organization countermeasure” A threat analysis result input receiving means for receiving an input of a threat analysis result including a policy and an organizational countermeasure policy information including an operation countermeasure policy identifier related to the organizational countermeasure policy identifier, and a threat analysis result of receiving the input Based on the related party information, “the related party identifier including the related party type and related party definition "Table data" based on the related party list data creation means and the protected asset information in the threat analysis result that received the input, "protection including the protected asset identifier and protected asset definition corresponding to the protected asset type" Based on the protected asset list data creation means for creating the “asset list data” and the misuse case information, the security objectives policy information and the rationale information in the threat analysis result that has received the input, “for each threat identifier, Threat-countermeasure correspondence table data creating means for creating "threat-countermeasure correspondence table data including threat definition, related security objective policy identifier and security countermeasure policy sufficiency document information", and each security target in the goal model information storage means Security target selection accepting means for accepting selection of one of the security objectives, and the selection Based on the received security goal, goal model information reading means for reading the goal model information in the goal model information storage means, each security countermeasure policy (O) in the read goal model information, and the input The countermeasure policy comparison means for comparing the security countermeasure policy (UO) in the received threat analysis result, and the security countermeasure policy (O) including the security countermeasure policy (UO) in the threat analysis result as a result of the comparison An extraction means for extracting from the goal model information, and rewriting the security objective policy (UO) in the threat analysis result with the extracted security objective policy (O) to integrate the two, thereby reading the read goal Generate goal model-threat analysis synthesis information by combining model information and threat analysis results Based on the security countermeasure policy (O) included in the goal model information among the security objective policies (O, UO) in the generated goal model-threat analysis composite information, the sufficiency The security function requirement sufficiency document information is read from the document model storage means, and the security function requirement sufficiency document information is received in association with a security objective (UO) not included in the goal model information. Measures for creating “security countermeasure policy (UO), related security function requirement identifier and security function requirement sufficiency document information—function correspondence table data” for each security countermeasure policy identifier; , The goal model-threat analysis synthesis information, the created relationship Security scenario data creation for creating the security scenario data based on the list data, the created protected asset list data, the created threat-countermeasure correspondence table data and the created countermeasure-function correspondence table data And a security design support apparatus.

なお、本発明の一つの局面は、装置として表現したが、これに限らず、方法、プログラム、プログラムを記憶したコンピュータ読取り可能な記憶媒体などとして表現することができる。   Although one aspect of the present invention is expressed as an apparatus, the present invention is not limited thereto, and can be expressed as a method, a program, a computer-readable storage medium storing the program, and the like.

(作用)
本発明の一つの局面においては、セキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、複数のセキュリティ対策方針(O)及び1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報を記憶したゴールモデル情報記憶手段を備え、セキュリティ目標に基づいて読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、脅威分析結果内のセキュリティ対策方針(UO)とを比較し、ゴールモデル情報から抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成している。
(Function)
In one aspect of the present invention, a goal model storing goal model information including a countermeasure policy type, a security countermeasure policy identifier, a plurality of security countermeasure policies (O), and one or more security function requirement identifiers for each security goal. An information storage means is provided, and each security objective policy (O) in the goal model information read based on the security objective is compared with the security objective policy (UO) in the threat analysis result, and extracted from the goal model information The read goal model information and the threat analysis result are synthesized by rewriting the security countermeasure policy (UO) in the threat analysis result with the read security countermeasure policy (O) and integrating the two.

このとき、脅威分析結果内のセキュリティ対策方針(UO)は、一体化されたセキュリティ対策方針(O)を介してゴールモデル情報内のセキュリティ目標に関連している。このため、脅威分析から得られたセキュリティ対策方針(UO)に関連したセキュリティ目標を確認することができる。   At this time, the security objective (UO) in the threat analysis result is related to the security objective in the goal model information via the integrated security objective (O). For this reason, the security objective related to the security objective (UO) obtained from the threat analysis can be confirmed.

また、ゴールモデル情報において一体化に用いなかった他のセキュリティ対策方針及びセキュリティ機能要件識別子は、脅威分析結果だけでなく、システムの要求仕様のゴール指向分析結果から得られたものであるが、セキュリティ目標及び一体化に用いたセキュリティ対策方針を介して脅威分析結果に関連付けられる。このため、脅威分析だけではなく、システムの要求仕様から得られたセキュリティ対策方針とセキュリティ機能要件の設計をも支援することができる。   In addition, other security objectives and security functional requirement identifiers that were not used for integration in the goal model information were obtained not only from the threat analysis results but also from the goal-oriented analysis results of the system requirement specifications. It is related to the threat analysis result through the security objectives used for the goal and integration. For this reason, it is possible to support not only threat analysis but also design of security objectives and security functional requirements obtained from system requirement specifications.

以上説明したように本発明によれば、脅威分析から得られたセキュリティ対策方針に関連したセキュリティ目標を確認でき、脅威分析だけではなく、システムの要求仕様から得られたセキュリティ対策方針とセキュリティ機能要件の設計をも支援できる。   As described above, according to the present invention, the security objectives related to the security objectives obtained from the threat analysis can be confirmed, and not only the threat analysis but also the security objectives and security functional requirements obtained from the system requirement specifications. Can also support the design of

本発明の概要を説明するための模式図である。It is a mimetic diagram for explaining the outline of the present invention. 本発明の第1の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。It is a schematic diagram which shows the structure of the security design assistance apparatus which concerns on the 1st Embodiment of this invention. 同実施形態におけるゴールモデルを説明するための模式図である。It is a schematic diagram for demonstrating the goal model in the embodiment. 同実施形態におけるゴールモデルの一例を示す模式図である。It is a schematic diagram which shows an example of the goal model in the embodiment. 同実施形態におけるゴールモデル情報の一例を示す模式図である。It is a schematic diagram which shows an example of the goal model information in the embodiment. 同実施形態における関係者一覧表データの一例を示す模式図である。It is a schematic diagram which shows an example of the related person list data in the embodiment. 同実施形態における保護資産一覧表データの一例を示す模式図である。It is a schematic diagram which shows an example of the protected asset list data in the embodiment. 同実施形態における脅威−対策対応表データの一例を示す模式図である。It is a schematic diagram which shows an example of the threat-countermeasure correspondence table data in the same embodiment. 同実施形態における対策−機能対応表データの一例を示す模式図である。It is a schematic diagram which shows an example of the countermeasure-function correspondence table data in the embodiment. 同実施形態におけるセキュリティシナリオの一例を示す模式図である。It is a schematic diagram which shows an example of the security scenario in the embodiment. 同実施形態におけるミスユースケース図の一例を示す模式図である。It is a schematic diagram which shows an example of the miss use case figure in the same embodiment. 同実施形態におけるミスユースケース図の一例を示す模式図である。It is a schematic diagram which shows an example of the miss use case figure in the same embodiment. 同実施形態における脅威分析結果の一例を示す模式図である。It is a schematic diagram which shows an example of the threat analysis result in the same embodiment. 同実施形態における全体動作を説明するためのフローチャートである。It is a flowchart for demonstrating the whole operation | movement in the embodiment. 同実施形態における合成動作を説明するためのフローチャートである。It is a flowchart for demonstrating the synthetic | combination operation | movement in the embodiment. 同実施形態における入力を促す動作を説明するための模式図である。It is a schematic diagram for demonstrating the operation | movement which prompts the input in the same embodiment. 同実施形態における検証動作を説明するための模式図である。It is a schematic diagram for demonstrating the verification operation | movement in the embodiment. 同実施形態におけるセキュリティ要件定義書の生成動作を説明するための模式図である。It is a schematic diagram for demonstrating the production | generation operation | movement of the security requirement definition document in the embodiment. 同実施形態におけるセキュリティターゲットの生成動作を説明するための模式図である。It is a schematic diagram for demonstrating the production | generation operation | movement of the security target in the embodiment. 本発明の第2の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。It is a schematic diagram which shows the structure of the security design assistance apparatus which concerns on the 2nd Embodiment of this invention. 本発明の第3の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。It is a schematic diagram which shows the structure of the security design assistance apparatus which concerns on the 3rd Embodiment of this invention.

以下、本発明の各実施形態について図面を用いて説明するが、その前に、本発明の概要を述べる。本発明の概要は、図1に示すように、利用者による脅威分析の入力範囲に対し、セキュリティ目標(ゴール)、セキュリティ対策方針(ソフトゴール)及びセキュリティ要件(要求)の3段階を再定義したゴールモデルを補足適用することにより、脅威分析から得られたセキュリティ対策方針(UO⊆O)に関連したセキュリティ目標(CIAA+)を確認でき、脅威分析結果だけではなく、システムの要求仕様から得られたセキュリティ対策方針(O)とセキュリティ要件の設計をも支援可能とするものである。   Hereinafter, embodiments of the present invention will be described with reference to the drawings, but before that, an outline of the present invention will be described. As shown in FIG. 1, the outline of the present invention redefines three stages of security objectives (goals), security objectives (soft goals), and security requirements (requests) for the input range of threat analysis by the user. By supplementary application of the goal model, the security objectives (CIAA +) related to the security objectives (UO) O) obtained from the threat analysis can be confirmed and obtained not only from the results of the threat analysis but also from the system requirement specifications. It can also support the design of security objectives (O) and security requirements.

このような概要のセキュリティ設計支援装置としては、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体からセキュリティ設計支援装置(コンピュータ)にインストールされ、セキュリティ設計支援装置に各機能を実現させるためのプログラムが用いられる。   The security design support apparatus having such an outline can be implemented with either a hardware configuration or a combination configuration of hardware resources and software. As the software of the combined configuration, a program that is installed in advance on a security design support apparatus (computer) from a network or a storage medium and causes the security design support apparatus to realize each function is used.

(第1の実施形態)
図2は本発明の第1の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。このセキュリティ設計支援装置100は、ゴールモデルDB(Database)101、十分性文書雛形DB102、ST雛形DB103、記憶部104、シナリオデータ記憶部105、セキュリティデータ記憶部106、入出力部107、ユースケース処理部108、ゴール指向分析処理部109及び処理エンジン110を備えている。
(First embodiment)
FIG. 2 is a schematic diagram showing the configuration of the security design support apparatus according to the first embodiment of the present invention. The security design support apparatus 100 includes a goal model DB (Database) 101, a sufficiency document template DB 102, an ST template DB 103, a storage unit 104, a scenario data storage unit 105, a security data storage unit 106, an input / output unit 107, and use case processing. Unit 108, goal-oriented analysis processing unit 109, and processing engine 110.

ゴールモデルDB101は、概略的には、ゴール指向分析におけるセキュリティ目標から対策方針、ISO/IEC15408 Part2のセキュリティ機能要件を基にしたセキュリティ要件までのゴールモデルのデータベースである。   The goal model DB 101 is generally a database of goal models from security goals in goal-oriented analysis to security requirements based on countermeasure policies and security function requirements of ISO / IEC15408 Part2.

ゴール指向分析とは、開発対象の情報システム等が達成すべき多種の目標を多様な抽象度から分析するための手法であり、図3に示すように、情報システム等の目標となるゴール(セキュリティ目標)、ゴールを満たすソフトゴール(対策方針)、ゴールを達成するための要求(要件)、期待(前提条件)、ドメインプロパティ(OSP:組織のセキュリティ対策方針)などに分解してゴールモデルを表現する。   Goal-oriented analysis is a technique for analyzing various goals to be achieved by an information system to be developed from various levels of abstraction. As shown in FIG. Goals), soft goals that satisfy the goals (measure policies), requirements (requirements) to achieve the goals, expectations (prerequisites), domain properties (OSP: organizational security policy), etc. To do.

この手法を用いると、例えば「アクセス制御を行う」というシステムのセキュリティに対する仕様あるいは対策方針がなぜ必要かということがWhy分析によりセキュリティ目標であるゴールで示され、どのように実現するのかということがHow分析により要件として抽出できるという効果がある。   If this method is used, for example, why the specification or countermeasure policy for the security of the system “to perform access control” is necessary is indicated by the goal that is the security goal by the Why analysis, and how it is realized. There is an effect that it can be extracted as a requirement by the How analysis.

なお、ゴール指向要求分析手法の一つであるKAOS法のゴールモデルは、ゴール、ソフトゴール、要求の3段階を定義しており、本実施形態では、ゴールをセキュリティ目標、ソフトゴールをセキュリティ対策方針、要求をセキュリティ要件、期待を前提条件、ドメインプロパティを組織のセキュリティ対策方針(OSP)と再定義している。   The goal model of the KAOS method, which is one of goal-oriented requirement analysis methods, defines three stages: goal, soft goal, and requirement. In this embodiment, the goal is a security goal and the soft goal is a security objective policy. , The request is a security requirement, the expectation is a prerequisite, and the domain property is redefined as an organizational security objective (OSP).

セキュリティ目標を、例えばGMITS(Guidelines for the Management of IT Security)のセキュリティ特性である機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)、責任追跡性(Accountability)等とする(CIAA+)。セキュリティ目標をデータとサービスに分けてもよい。セキュリティ対策方針とセキュリティ要件を、例えばISO/IEC15408 Part2のセキュリティ機能要件(SFR:Security Functional Requirements)に準拠して、対策方針をクラス、ファミリの要素で分類し、セキュリティ要件をコンポーネントの要素で分類する。決定したセキュリティ目標・対策方針・要件のつながりをゴールモデル書式に従って定義する。   Security objectives are, for example, security characteristics of GMITS (Guidelines for the Management of IT Security) such as Confidentiality, Integrity, Availability, Accountability, etc. (CIAA +). Security objectives may be divided into data and services. Security objectives and security requirements are classified according to ISO / IEC15408 Part2 Security Functional Requirements (SFR), security objectives are classified by class and family elements, and security requirements are classified by component elements. . Define the connection between the determined security objectives, countermeasure policies, and requirements according to the goal model format.

ゴールモデルを表すゴールモデル情報は、予め策定してゴールモデルDB101に書き込んでおく。「データの機密性」に関するゴールモデルの一部の例を図4に示す。この例では、「データの機密性が満たされる」というゴール(セキュリティ目標)に対し、「識別認証に成功した利用者のみに、操作が許可される(識別子:O.識別認証)」と「操作履歴のログが取得され、監査証跡として保管される(識別子:O.監査証跡)」という2つのソフトゴール(対策方針(O))を持ち、それぞれセキュリティ機能コンポーネント(FIA_UID.2, FIA_UAU.2, FIA_AFL.1, FIA_SOS.1と、FAU_GEN.1,FAU.SAR.1,FAU.STG.1)を要件(セキュリティ要件)としてモデル化している。   The goal model information representing the goal model is formulated in advance and written in the goal model DB 101. FIG. 4 shows an example of a part of the goal model regarding “data confidentiality”. In this example, with respect to the goal of “data confidentiality is met” (security goal), “only users who have succeeded in identification and authentication are allowed to operate (identifier: O. identification and authentication)” and “operation The log of history is acquired and stored as an audit trail (identifier: O. Audit trail) ”, which has two soft goals (Countermeasure (O)), and security function components (FIA_UID.2, FIA_UAU.2, FIA_AFL.1, FIA_SOS.1, and FAU_GEN.1, FAU.SAR.1, FAU.STG.1) are modeled as requirements (security requirements).

このような概略を持つゴールモデルDB101は、具体的には、処理エンジン110により読出/書込可能な記憶部であり、図5に示すように、「ゴールとしてのセキュリティ目標(不図示)毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)(対策方針種別に関連する定義)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子(セキュリティ対策方針識別子に関連する関連識別子)を含むゴールモデル情報」を記憶している。ここで、ゴールモデル情報内のセキュリティ機能要件識別子は、十分性文書雛形DB102内の各セキュリティ機能要件識別子のいずれかに一致している。すなわち、ゴールモデル情報に含まれるセキュリティ機能要件識別子に基づいて、十分性文書雛形DB102内のセキュリティ機能要件十分性文書情報を検索可能となっている。なお、図5に示したゴールモデル情報は、前述した「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(O)及びセキュリティ対策方針(O)に関連したセキュリティ機能要件識別子」以外にも、図示しないセキュリティ目標毎に、「機能種別、セキュリティ機能要件識別子及び当該セキュリティ機能要件識別子に関連するセキュリティ対策方針識別子からなる機能−対策識別子関連情報」と、「根拠種別、根拠識別子、根拠定義及び当該根拠識別子に関連するセキュリティ機能要件識別子からなる根拠−機能関連情報」とを含んでいる。但し、これら機能−対策識別子関連情報及び根拠−機能関連情報は、任意の付加的事項であり、ゴールモデル情報から省略可能となっている。   Specifically, the goal model DB 101 having such an outline is a storage unit readable / writable by the processing engine 110. As shown in FIG. 5, “for each security goal (not shown) as a goal”. , Countermeasure policy type, security countermeasure policy identifier, multiple security objective policies (O) as software goals (definitions related to the countermeasure policy type), and one of the requests related to each security objective policy (O) “Goal model information including the above security functional requirement identifier (related identifier related to the security objective policy identifier)” is stored. Here, the security function requirement identifier in the goal model information matches one of the security function requirement identifiers in the sufficiency document template DB 102. That is, the security function requirement sufficiency document information in the sufficiency document template DB 102 can be searched based on the security function requirement identifier included in the goal model information. The goal model information shown in FIG. 5 is illustrated in addition to the above-described “measure policy type, security measure policy identifier, security measure policy (O) and security function requirement identifier related to security measure policy (O)”. For each security objective not to be executed, “function-measure identifier-related information consisting of function type, security function requirement identifier and security countermeasure policy identifier related to the security function requirement identifier”, “reason type, rational identifier, rational definition and relevant rationale The basis of the security function requirement identifier related to the identifier—function related information ”is included. However, these function-measure identifier-related information and ground-function-related information are arbitrary additional items and can be omitted from the goal model information.

補足すると、図4に示したゴールモデル図においては、図5に示したゴールモデル情報に基づき、図4中の種別内識別子毎に、種別、定義及び関連識別子を表示可能となっている。具体的には例えば、ゴール指向分析処理部109は、ゴールモデル図の種別内識別子がクリックされると、当該クリックされた種別内識別子に基づいて、処理エンジン110によりゴールモデルDB101内のゴールモデル情報を検索し、当該検索により得られた種別、定義及び関連識別子をウインドウ画面に表示する。この補足内容は図3に示したゴールモデル図でも同様である。   Supplementally, in the goal model diagram shown in FIG. 4, based on the goal model information shown in FIG. 5, the type, definition, and related identifier can be displayed for each in-type identifier in FIG. Specifically, for example, when the in-type identifier in the goal model diagram is clicked, the goal-oriented analysis processing unit 109 performs goal model information in the goal model DB 101 by the processing engine 110 based on the clicked in-type identifier. And the type, definition, and related identifier obtained by the search are displayed on the window screen. This supplement is the same as in the goal model diagram shown in FIG.

十分性文書雛形DB102は、処理エンジン110により読出/書込可能な記憶部であり、「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を記憶している。   The sufficiency document template DB 102 is a storage unit that can be read / written by the processing engine 110. For each security countermeasure policy identifier, a security countermeasure policy (O), a related security function requirement identifier, and a security function requirement sufficiency document "Countermeasure-function correspondence table data including information" is stored.

なお、十分性文書情報は、セキュリティターゲットSTの「根拠」を表す箇所の文書情報であり、根拠文書情報などと読み替えてもよい。   Note that the sufficiency document information is document information of a location representing the “reason” of the security target ST, and may be read as evidence document information.

ST雛形DB103は、処理エンジン110により読出/書込可能な記憶部であり、セキュリティターゲットSTの雛形データを記憶している。   The ST model DB 103 is a storage unit that can be read / written by the processing engine 110, and stores model data of the security target ST.

記憶部104は、処理エンジン110により読出/書込可能であり、処理エンジン110の処理途中のデータが一時的に書き込まれる。   The storage unit 104 can be read / written by the processing engine 110, and data in the middle of processing by the processing engine 110 is temporarily written therein.

シナリオデータ記憶部105は、処理エンジン110により読出/書込可能であり、図6乃至図9に示すように、「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータを記憶するために用いられる。   The scenario data storage unit 105 is readable / writable by the processing engine 110, and as shown in FIGS. 6 to 9, “a participant list including a participant definition for each participant identifier corresponding to a participant type”. Data ”,“ Protected asset list data including protected asset definition for each protected asset identifier corresponding to the protected asset type ”,“ Threat definition for each threat identifier corresponding to the threat type, related security objectives policy identifier and Threat countermeasure countermeasure table data including security countermeasure policy sufficiency document information "and" Security countermeasure policy (O, UO), related security function requirement identifier and security function for each security countermeasure policy identifier corresponding to the countermeasure policy type " Measures including requirement sufficiency document information-function correspondence table data "and" preconditions for each precondition identifier corresponding to the precondition type " , Premise including operation countermeasure policy identifier and related operation countermeasure policy-operation countermeasure correspondence table data "and" organization countermeasure policy, associated security countermeasure policy identifier and It is used for storing security scenario data including “an organization countermeasure policy including a security countermeasure policy—a countermeasure policy correspondence table data”.

補足すると、セキュリティシナリオデータとは、セキュリティシナリオやセキュリティ設計書の基になるデータで、開発すべき情報システム固有の(1)関係者と保護資産、(2)脅威(セキュリティ課題)とセキュリティ対策方針、(3)セキュリティ対策方針とセキュリティ要件、といった情報を種別、識別子、定義、対応関係、十分性の根拠について整理したデータである。なお、図6に示す関係者一覧表データは、関係者種別を含んでいるが、関係者種別は任意の付加的事項であり、関係者一覧表データから省略してもよい。同様に、図7に示す保護資産一覧表データは、保護資産種別を含んでいるが、保護資産種別は任意の付加的事項であり、保護資産一覧表データから省略してもよい。   Supplementally, the security scenario data is the data that is the basis of the security scenario and security design document. (1) Related parties and protected assets specific to the information system to be developed, (2) Threats (security issues) and security objectives (3) Data obtained by organizing information such as security objectives and security requirements with respect to type, identifier, definition, correspondence, and grounds for sufficiency. Although the related party list data shown in FIG. 6 includes a related party type, the related party type is an arbitrary additional item and may be omitted from the related party list data. Similarly, the protected asset list data shown in FIG. 7 includes a protected asset type, but the protected asset type is an arbitrary additional item and may be omitted from the protected asset list data.

セキュリティデータ記憶部106は、処理エンジン110により読出/書込可能であって、処理エンジン110により作成されたセキュリティシナリオ及びセキュリティ設計書を記憶するために用いられる。   The security data storage unit 106 is readable / writable by the processing engine 110 and is used for storing a security scenario and a security design document created by the processing engine 110.

セキュリティシナリオとは、図10に示すように、ISO/IEC15408 Part1で示されるセキュリティ課題(脅威、前提条件、OSP(Organizational Security Policy))とセキュリティ対策方針、セキュリティ要件の必要十分性をトレースできるように図示したものである。   As shown in FIG. 10, the security scenario is to enable tracing of the security issues (threats, preconditions, OSP (Organizational Security Policy)), security objectives, and security requirements shown in ISO / IEC15408 Part1. It is illustrated.

セキュリティ設計書は、セキュリティ設計の成果物の文書であり、例えば、セキュリティ要件定義書又はセキュリティターゲットSTである。   The security design document is a product of a security design product, and is, for example, a security requirement definition document or a security target ST.

入出力部107は、例えば、キーボード及びマウスといった入力装置と、液晶ディスプレイといった表示装置とからなるものであり、セキュリティ設計支援装置100と利用者との間の入出力インタフェースとして機能する。   The input / output unit 107 includes, for example, an input device such as a keyboard and a mouse and a display device such as a liquid crystal display, and functions as an input / output interface between the security design support device 100 and the user.

ユースケース処理部108は、概略的には、アセット(保護資産)ベースのミス(アブ)ユースケースの入力を受け付ける処理部であり、利用者による入出力部107の操作により、図11に示すように、保護すべき保護資産データに関するミス(アブ)ユースケース図及び記述情報(図示せず)が入力される。   The use case processing unit 108 is generally a processing unit that accepts an input of an asset (protected asset) -based mistake (ab) use case. As shown in FIG. In addition, a mistake (ab) use case diagram and description information (not shown) relating to protected asset data to be protected are input.

ミス(アブ)ユースケース図及び記述情報とは、開発対象システムの保護資産と通常のユースケース図及び記述情報に対し、ユースケースに脅威を引き起こすミスアクターと、脅威となるミスユースケースと、ミスユースケースを阻止するためのセキュリティ対策方針とを追加したミスユースケース図及び記述情報である。なお、図示しないが、実際には色々な脅威があることから、ミスアクター、ミスユースケース及びセキュリティ対策方針は、それぞれ複数が記述される。また、本実施形態で示すミスユースケース(miss use case)は、アブユースケース(abuse case)を含む。   Miss (ab) use case diagrams and description information are the misactors that cause threats to use cases, the misuse cases that become threats, and the misuse cases against the protected assets of the development target system and normal use case diagrams and description information. It is a misuse case diagram and description information to which a security objective policy for preventing the problem is added. Although not shown, since there are actually various threats, a plurality of misactors, misuse cases, and security countermeasure policies are described. Further, the miss use case shown in the present embodiment includes an abuse case.

このような概略を持つユースケース処理部108は、具体的には、例えば図12に示すミスユースケース図に対応して図13に示すように、「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び脅威識別子に関連する関係者識別子の記述を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO:Use case Objectives)及び当該セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び当該根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び当該運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び当該組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける機能をもっている。   Specifically, the use case processing unit 108 having such an outline, for example, as shown in FIG. 13 corresponding to the miss use case diagram shown in FIG. 12, “the related party type, the related party identifier and the related party definition. Including stakeholder information ”,“ Protected asset information including protected asset type, protected asset identifier and protected asset definition ”, and“ Description of related party identifier related to threat type, threat identifier, threat definition, and threat identifier ” Misuse Case Information ”,“ Precondition Information including Prerequisite Type, Precondition Identifier, Precondition Definition, and Protected Asset Identifier Related to Precondition Identifier ”,“ Countermeasure Policy Type, Security Countermeasure Identifier, Security Countermeasure Policy ” (UO: Use case Objectives) and the security objective policy information including the threat identifier related to the security objective policy identifier, Rationale identifier, security objectives sufficiency document information, and rationale information including security objectives policy identifier related to the rationale identifier "and" operational objective policy type, operational objectives policy identifier, operational objectives policy, and relevant operational objectives policy identifier `` Operational countermeasure policy information including precondition identifier related to `` and `` Organizational countermeasure policy information including organizational countermeasure policy type, organizational countermeasure policy identifier, organizational countermeasure policy, and operational countermeasure policy identifier related to the organizational countermeasure policy identifier '' It has a function to accept input of threat analysis results including

補足すると、図12に示すミスユースケース図においては、図中の種別内識別子毎に、図13に示す如き、種別、定義及び関連識別子を入力可能となっている。具体的には例えば、ユースケース処理部108は、ミスユースケース図が種別内識別子毎にクリック呼出し可能な入力画面データを有する構造により、この入力画面データに基づいて入力画面を表示し、この入力画面に記述された種別、定義及び関連識別子の入力を受け付ければよい。   Supplementally, in the misuse case diagram shown in FIG. 12, the type, definition, and related identifier as shown in FIG. 13 can be input for each in-type identifier in the diagram. Specifically, for example, the use case processing unit 108 displays an input screen based on the input screen data by using a structure in which the misuse case diagram has input screen data that can be click-called for each identifier within the type, and the input screen It is only necessary to accept the input of the type, definition, and related identifier described in.

ゴール指向分析処理部109は、ゴール指向分析によりシステム固有の要求部分の入力を受け付ける処理部であり、利用者による入出力部107の操作により、ゴールモデルDB101内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付機能をもっている。   The goal-oriented analysis processing unit 109 is a processing unit that receives an input of a system-specific request part by goal-oriented analysis, and any one of the security objectives in the goal model DB 101 by the operation of the input / output unit 107 by the user. It has a security goal selection acceptance function that accepts selection of security goals.

処理エンジン110は、概略的には、各処理部からの入力データと、ゴールモデルDB101及び十分性文書雛形DB102内の情報とに基づいて、「脅威−セキュリティ対策方針」と「セキュリティ対策方針−セキュリティ要件」の対応関係を示し、「脅威−セキュリティ対策方針」と「セキュリティ対策方針−セキュリティ要件」の十分性に関する根拠の文章雛形データベース(十分性文書雛形DB102)からセキュリティターゲットSTやセキュリティ要件定義書の基になるセキュリティシナリオデータと、このセキュリティシナリオデータを図式化したセキュリティシナリオとセキュリティ設計書を生成する。   The processing engine 110 generally includes “threat-security countermeasure policy” and “security countermeasure policy-security” based on input data from each processing unit and information in the goal model DB 101 and the sufficiency document template DB 102. The correspondence relationship of “requirements” is shown, and the security target ST and the security requirement definition document are retrieved from the text template database (sufficiency document template DB 102) of the rationale regarding the sufficiency of “threat-security objective policy” and “security objective policy-security requirement” The security scenario data that is the basis, and a security scenario and a security design document in which this security scenario data is schematized are generated.

このような概略をもつ処理エンジン110は、具体的には以下の機能(f110-1)〜(f110-11)をもっている。   Specifically, the processing engine 110 having such an outline has the following functions (f110-1) to (f110-11).

(f110-1)「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、対応するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を十分性文書雛形DB102に書き込む機能。   (f110-1) “For each security objective policy identifier,“ security countermeasure policy (O), corresponding security function requirement identifier and countermeasure-function correspondence table data including security function requirement sufficiency document information ”” in the sufficiency document template DB 102 Ability to write.

(f110-2) 「ゴールとしてのセキュリティ目標毎に、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」をゴールモデルDB101に書き込む機能。但し、ゴールモデル情報内のセキュリティ機能要件識別子は、十分性文書雛形DB102内のセキュリティ機能要件識別子のいずれかに一致している。   (f110-2) “For each security objective as a goal, a security objective identifier, a plurality of security objectives (O) as soft goals, and one of the requirements related to each security objective (O) A function of writing “goal model information including the above security function requirement identifier” into the goal model DB 101. However, the security function requirement identifier in the goal model information matches one of the security function requirement identifiers in the sufficiency document template DB 102.

(f110-3) ユースケース処理部108により入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成機能。   (f110-3) “Related party list data including related party identifier and related party definition corresponding to related party type” based on the related party information in the threat analysis result received by the use case processing unit 108 A function to create a related party list data.

(f110-4) ユースケース処理部108により入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成機能。   (f110-4) “Protected asset list data including protected asset identifier and protected asset definition corresponding to protected asset type” based on the protected asset information in the threat analysis result received by the use case processing unit 108 Protected asset list data creation function.

(f110-5) ユースケース処理部108により入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成機能。   (f110-5) Based on the misuse case information, security countermeasure policy information, and rationale information in the threat analysis result received by the use case processing unit 108, “for each threat identifier, threat definition and related security measures” Threat-countermeasure correspondence table data creation function for creating a “threat-countermeasure correspondence table data including policy identifier and security countermeasure policy sufficiency document information”.

(f110-6) ゴール指向分析処理部109により選択を受け付けたセキュリティ目標に基づいて、ゴールモデルDB101内のゴールモデル情報を読み出すゴールモデル情報読出機能。   (f110-6) A goal model information reading function for reading the goal model information in the goal model DB 101 based on the security goal accepted by the goal-oriented analysis processing unit 109.

(f110-7) 読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較機能。   (f110-7) A countermeasure policy comparison function that compares each security objective policy (O) in the read goal model information with the security objective policy (UO) in the threat analysis result that has received the input.

(f110-8) 比較の結果、脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)をゴールモデル情報から抽出する抽出機能。   (f110-8) An extraction function for extracting the security objective policy (O) including the security objective policy (UO) in the threat analysis result as a result of the comparison from the goal model information.

(f110-9) 抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成機能。   (f110-9) By rewriting the security objectives (UO) in the threat analysis results with the extracted security objectives (O) and integrating them, the read goal model information and the threat analysis results A composite information generation function for generating combined goal model-threat analysis composite information.

(f110-10) 生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちのゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、十分性文書雛形DB102からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成機能。   (f110-10) From the sufficiency document template DB 102 based on the security objective policy (O) included in the goal model information of the security objective policies (O, UO) in the generated goal model-threat analysis synthesis information By reading the security functional requirement sufficiency document information and accepting the input of the security functional requirement sufficiency document information in association with the security objective policy (UO) not included in the goal model information, a new “security objective policy identifier” Measure-function correspondence table data creation function for creating a "security-function correspondence table data including security function policy identifier (UO), related security function requirement identifier and security function requirement sufficiency document information".

(f110-11) ゴールモデル−脅威分析合成情報、作成された関係者一覧表データ、作成された保護資産一覧データ、作成された脅威−対策対応データ及び作成された対策−機能対応データに基づいて、セキュリティシナリオデータを作成するセキュリティシナリオデータ作成機能。   (f110-11) Based on goal model-threat analysis synthesis information, created party list data, created protected asset list data, created threat-countermeasure data and created countermeasure-function-corresponding data Security scenario data creation function to create security scenario data.

ここで、セキュリティシナリオデータ作成機能は、以下の機能(f110-11-1)〜(f110-11-3)を含んでいる。   Here, the security scenario data creation function includes the following functions (f110-11-1) to (f110-11-3).

(f110-11-1) ゴールモデル−脅威分析合成情報に基づいて、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」を作成する前提−運用対策対応表データ作成機能。   (f110-11-1) Based on the goal model-threat analysis synthesis information, `` For each precondition identifier corresponding to the precondition type, a premise-operation that includes a precondition definition, a related operational countermeasure policy identifier, and an operational countermeasure policy Preconditions for Creating Countermeasure Correspondence Table Data—Operation Countermeasure Correspondence Table Data Creation Function.

(f110-11-2) ゴールモデル−脅威分析合成情報に基づいて、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」を作成する組織対策方針−対策方針対応表データ作成機能。   (f110-11-2) Based on the Goal Model-Threat Analysis Synthesis Information, `` Organization countermeasure policy, organization information including security countermeasure policy identifier and security countermeasure policy for each organizational countermeasure policy identifier corresponding to the organizational countermeasure policy type '' Organizational policy to create "Countermeasure policy-Countermeasure policy correspondence table data"-Countermeasure policy correspondence table data creation function.

(f110-11-3) 作成された前提−運用対策対応表データ、作成された組織対策方針−対策方針対応表データ、作成された関係者一覧表データ、作成された保護資産一覧表データ、作成された脅威−対策対応表データ及び作成された対策−機能対応表データを含むセキュリティシナリオデータを作成する機能。   (f110-11-3) Created Premise-Operational Measures Correspondence Table Data, Created Organizational Measures Policy-Measures Policy Correspondence Table Data, Created Related Person List Data, Created Protected Asset List Data, Created A function to create security scenario data including created threat-countermeasure correspondence table data and created countermeasure-function correspondence table data.

補足すると、ユースケース図やゴールモデルの図には、それぞれの要素の識別子(種別内識別子)が表示される。また、付属情報として要素の定義も入力ツールであるユースケース処理部108やゴール指向分析処理部109から利用者が入力できる。なお、ユースケース処理部108は、保護資産情報、アクター(関係者)、脅威、前提条件、対策方針及び根拠をユースケース図から入力できる。但し、ゴール指向分析処理部109が、前提条件、OSP、運用の対策方針をゴールモデル図から入力してもよい。これらユースケース図又はゴールモデル図に入力された識別子や定義を用いて、処理エンジン110は一覧表を生成する。十分性文書情報のみは、図の付属情報として利用者が入力してもよく、過去のSTデータや定型文書を基にした十分性文書雛形DB102から検索、参照して追加してもよい。処理エンジン110は、ユースケース処理部108から渡されたユースケース図に示された識別子とそれぞれの識別子の定義や属性、十分性文書情報といった付属情報の検索、参照と一覧表作成を実行する。   Supplementally, the identifier of each element (identifier within type) is displayed in the use case diagram and goal model diagram. In addition, the user can also input element definitions from the use case processing unit 108 and the goal-oriented analysis processing unit 109 which are input tools as attached information. The use case processing unit 108 can input protected asset information, actors (related parties), threats, preconditions, countermeasure policies, and grounds from the use case diagram. However, the goal-oriented analysis processing unit 109 may input the precondition, the OSP, and the operation countermeasure policy from the goal model diagram. The processing engine 110 generates a list using the identifiers and definitions input in these use case diagrams or goal model diagrams. Only the sufficiency document information may be input by the user as ancillary information of the figure, or may be added by searching and referring to the sufficiency document template DB 102 based on past ST data or a fixed form document. The processing engine 110 executes search, reference, and creation of a list of identifiers shown in the use case diagram passed from the use case processing unit 108, definition and attributes of the identifiers, adjunct information such as sufficiency document information.

ミスユースケースの入力情報により、関係者一覧表データ、保護資産一覧表データ、脅威−対策対応表データが処理エンジン110で作成される。対策−機能対応表データは、ゴールモデルDB101から選択されたセキュリティ対策方針(O)とユースケースのセキュリティ対策方針(UO)とから合成されたセキュリティ対策方針と、それぞれのセキュリティ対策方針に対応するセキュリティ機能(SFR)の識別子と、SFRごとに十分性文書雛形DB102に保存されている十分性文書を用いて、処理エンジン110により作成される。セキュリティ機能がゴールモデルDB101内のゴールモデル情報に無い場合は、利用者が新たにセキュリティ機能を入力でき、新たに入力されたセキュリティ機能に関する識別子、定義、対策に対する根拠といった情報を、処理エンジン110がゴールモデルDB101と十分性文書雛形DB102に追加する。   The processing engine 110 generates related party list data, protected asset list data, and threat-countermeasure correspondence table data based on the input information of the miss use case. The countermeasure-function correspondence table data includes a security countermeasure policy synthesized from the security countermeasure policy (O) selected from the goal model DB 101 and the security countermeasure policy (UO) of the use case, and security corresponding to each security countermeasure policy. The processing engine 110 uses the function (SFR) identifier and the sufficiency document stored in the sufficiency document template DB 102 for each SFR. When the security function is not included in the goal model information in the goal model DB 101, the user can input a new security function, and the processing engine 110 provides information such as an identifier, a definition, and a basis for countermeasures regarding the newly input security function. It adds to goal model DB101 and sufficiency document template DB102.

また、図示しないが、図13に示した脅威分析結果と図5に示したゴールモデル情報とを合成してなるゴールモデル−脅威分析合成情報から得られる、前提条件−運用対策対応データ、OSP−対策対応データから前提−運用対策対応表データ及び組織対策方針−対策方針対応表データが処理エンジン110により作成される。   Further, although not shown, preconditions—operation countermeasure correspondence data, OSP—obtained from goal model-threat analysis synthesis information obtained by synthesizing the threat analysis result shown in FIG. 13 and the goal model information shown in FIG. Premise-operation countermeasure correspondence table data and organization countermeasure policy-measure policy correspondence table data are created by the processing engine 110 from the countermeasure correspondence data.

次に、以上のように構成されたセキュリティ設計支援装置の動作について図14のフローチャートを用いて説明する。   Next, the operation of the security design support apparatus configured as described above will be described with reference to the flowchart of FIG.

[ユースケースの入力:w10]
セキュリティ設計支援装置においては、利用者による入出力部107の操作(以下、利用者の操作ともいう)により、ユースケース処理部108が、UML(Unified Modeling Language)を適用して図式化する通常のユースケース図及び記述情報を作成して、業務分析を行う。また、ユースケース処理部108は、利用者の操作により、保護資産情報の記述及び評価を行う。
[Use case input: w10]
In the security design support device, the use case processing unit 108 applies the UML (Unified Modeling Language) and diagrammatically by a user operation of the input / output unit 107 (hereinafter also referred to as user operation). Create a use case diagram and description information, and analyze the business. In addition, the use case processing unit 108 describes and evaluates protected asset information in accordance with user operations.

これにより、ユースケース図及び記述情報は、関係者種別、関係者識別子及び関係者定義を含む関係者情報と、保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報と、一部の関係者識別子に関連付けられ、保護資産識別子を含む業務の記述を含むユースケース情報とを含むものとなる。   As a result, use case diagrams and description information include related party information including related party types, related party identifiers and related party definitions, protected asset information including protected asset types, protected asset identifiers and protected asset definitions, And use case information including a description of a business including a protected asset identifier.

ユースケース処理部108は、利用者の操作により、このようなユースケース図及び記述情報にミスアクターとミスユースケースを追加して、ユースケースに対する脅威識別子を含むミスユースケース情報を記述する。   The use case processing unit 108 adds a misactor and a miss use case to such a use case diagram and description information by a user operation, and describes misuse case information including a threat identifier for the use case.

ユースケース処理部108は、利用者の操作により、記述した脅威識別子を含むミスユースケース情報のうち、起こりえない脅威や前提条件といった対策の不要な脅威識別子を含むミスユースケース情報を削除し、対策の必要な脅威識別子を含むミスユースケース情報を選択する。   The use case processing unit 108 deletes miss use case information including threat identifiers that do not require countermeasures such as threats that cannot occur and preconditions from the misuse case information including the described threat identifiers by the user's operation. Select misuse case information including the necessary threat identifiers.

ユースケース処理部108は、利用者の操作により、選択した脅威識別子を含むミスユースケース情報に関連付けてセキュリティ対策方針(UO)やセキュリティ対策方針十分性文書情報を記述すると共に、記述したセキュリティ対策方針(UO)やセキュリティ対策方針十分性文書情報を評価する。また、ユースケース処理部108は、利用者の操作により、保護資産識別子に関連付けて前提条件情報を記述する。さらに、ユースケース処理部108は、利用者の操作により、根拠情報、運用対策方針情報及び組織対策方針情報を記述する。   The use case processing unit 108 describes the security objective policy (UO) and the security objective policy sufficiency document information in association with the miss use case information including the selected threat identifier by the user's operation, and also describes the described security objective policy ( Evaluate UO) and security objectives policy sufficiency document information. Further, the use case processing unit 108 describes the precondition information in association with the protected asset identifier by the operation of the user. Further, the use case processing unit 108 describes the basis information, the operation countermeasure policy information, and the organization countermeasure policy information by the operation of the user.

ユースケース処理部108は、利用者の操作により、前述した保護資産情報の記述・評価からミスユースケース情報の記述・選択、セキュリティ対策方針(UO)やセキュリティ対策方針十分性文書情報(UO)の記述・評価、前提条件情報、根拠情報、運用対策方針情報及び組織対策方針情報の記述を繰り返す。   The use case processing unit 108 operates by the user to describe / select the misuse case information from the description / evaluation of the protected asset information described above, and describe the security countermeasure policy (UO) and the security countermeasure policy sufficiency document information (UO).・ Repeat descriptions of evaluation, precondition information, rationale information, operational countermeasure policy information, and organizational countermeasure policy information.

しかる後、ユースケース処理部108は、利用者の操作により、これら関係者情報(アクター、ミスアクター)、保護資産情報、脅威識別子(T:Threat)の記述を含むミスユースケース情報、前提条件情報、セキュリティ対策方針(UO)及びセキュリティ対策方針十分性文書情報を含むセキュリティ対策方針情報、根拠情報、運用対策方針情報、組織対策方針情報などを決定し、これらの情報を含む脅威分析結果を得る。   After that, the use case processing unit 108, by the user's operation, misuse use case information including premise information (actor, misactor), protected asset information, threat identifier (T: Threat) description, precondition information, Security countermeasure policy information including security countermeasure policy (UO) and security countermeasure policy sufficiency document information, rationale information, operational countermeasure policy information, organizational countermeasure policy information, etc. are determined, and a threat analysis result including these information is obtained.

以上により、セキュリティ設計支援装置100においては、利用者の操作により、ユースケース処理部108が脅威分析結果を処理エンジン110に入力する。処理エンジン110は、脅威分析結果の入力を受け付けると、図13に示す如き、この脅威分析結果を記憶部104に書き込む。   As described above, in the security design support apparatus 100, the use case processing unit 108 inputs the threat analysis result to the processing engine 110 by a user operation. When receiving the threat analysis result input, the processing engine 110 writes the threat analysis result in the storage unit 104 as shown in FIG.

[シナリオデータ生成:w20]
処理エンジン110は、記憶部104内の脅威分析結果に含まれる関係者情報、保護資産情報、ミスユースケース情報、セキュリティ対策方針情報からセキュリティシナリオデータの一部を作成する。
[Scenario data generation: w20]
The processing engine 110 creates part of the security scenario data from the related party information, the protected asset information, the misuse case information, and the security countermeasure policy information included in the threat analysis result in the storage unit 104.

具体的には、処理エンジン110は、図6に示すように、記憶部104内の脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する。   Specifically, as shown in FIG. 6, the processing engine 110 selects “a party identifier and a party definition corresponding to a party type” based on the party information in the threat analysis result in the storage unit 104. Concerned party list data "is created.

また、処理エンジン110は、図7に示すように、記憶部104内の脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する。   Further, as shown in FIG. 7, the processing engine 110 selects “a protected asset including a protected asset identifier and a protected asset definition corresponding to the protected asset type” based on the protected asset information in the threat analysis result in the storage unit 104. "Summary data" is created.

また、処理エンジン110は、図8に示すように、記憶部104内の脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する。   Further, as shown in FIG. 8, the processing engine 110, based on the misuse case information, the security countermeasure policy information, and the basis information in the threat analysis result in the storage unit 104, “for each threat identifier, threat definition, “Threat-Countermeasure Correspondence Table Data Containing Related Security Objectives Identifier and Security Objectives Sufficiency Document Information”.

[セキュリティ目標の選択:w30]
セキュリティ設計支援装置においては、利用者による入出力部107の操作により、ゴール指向分析処理部109がゴールモデルDB101内の各セキュリティ目標を入出力部107に送出する。
[Select security target: w30]
In the security design support apparatus, the goal-oriented analysis processing unit 109 sends each security target in the goal model DB 101 to the input / output unit 107 by the operation of the input / output unit 107 by the user.

入出力部107は、各セキュリティ目標を表示出力し、利用者の操作により、いずれかのセキュリティ目標を選択し、選択結果をゴール指向分析処理部109に送出する。   The input / output unit 107 displays and outputs each security target, selects any one of the security targets by a user's operation, and sends the selection result to the goal-oriented analysis processing unit 109.

ゴール指向分析処理部109は、このセキュリティ目標の選択を受け付けて、選択結果を処理エンジン110に送出する。   The goal-oriented analysis processing unit 109 receives the selection of the security target and sends the selection result to the processing engine 110.

[脅威分析結果とゴールモデルを合成:w40]
処理エンジン110は、利用者の操作により、図15に示すように、記憶部104内の脅威分析結果からセキュリティ対策方針(UO)及び前提条件(A)を読み出す(w41)。
[Synthesis of threat analysis result and goal model: w40]
The processing engine 110 reads out the security countermeasure policy (UO) and the precondition (A) from the threat analysis result in the storage unit 104 as shown in FIG. 15 by the user's operation (w41).

また、処理エンジン110は、利用者の操作により、脅威分析結果から、組織のセキュリティ対策方針(OSP)を抽出する。   Further, the processing engine 110 extracts an organizational security countermeasure policy (OSP) from the threat analysis result by a user operation.

処理エンジン110は、読み出した前提条件(A)と、組織のセキュリティ対策方針(OSP)とを入出力部107に出力して利用者による評価を促し、利用者による入出力部107の操作により、運用環境の対策方針(OE)を適宜修正して決定する(w42)。これにより、脅威分析結果内の運用環境の対策方針(OE)が決定される。   The processing engine 110 outputs the read precondition (A) and the organization's security countermeasure policy (OSP) to the input / output unit 107 to prompt the user to evaluate, and by the operation of the input / output unit 107 by the user, The countermeasure policy (OE) of the operational environment is appropriately corrected and determined (w42). Thereby, the countermeasure policy (OE) of the operational environment in the threat analysis result is determined.

また、処理エンジン110は、選択を受け付けたセキュリティ目標に基づいて、ゴールモデルDB101内のゴールモデル情報を読み出すと共に、このゴールモデル情報内のセキュリティ対策方針(O)から「通信が安全に行われる」等のキーワードを抽出する。なお、ここでいう「キーワード」は、「セキュリティ対策方針の一部」の代表例であり、一部の単語(キーワード)に限らず、一部の句(キーフレーズ;二語以上で文を成さないもの)又は一部の節(キークローズ;文の一部で主語と述語を有するもの)でもよい。また、処理エンジン110は、ステップw41で読み出した脅威分析結果のセキュリティ対策方針(UO)から「ファイルを暗号化する」等のキーワードを抽出し(w43)、各キーワードを比較する。   In addition, the processing engine 110 reads the goal model information in the goal model DB 101 based on the security goal accepted, and “communication is performed safely” from the security countermeasure policy (O) in the goal model information. And other keywords are extracted. The “keyword” here is a representative example of “part of the security objectives” and is not limited to a part of a word (keyword), but a part of a phrase (key phrase; two or more words are used to compose a sentence). Or a part of a clause (key close; part of a sentence having a subject and a predicate). Further, the processing engine 110 extracts a keyword such as “encrypt file” from the security countermeasure policy (UO) of the threat analysis result read in step w41 (w43), and compares the keywords.

なお、ここでは、ゴールモデル情報内の各セキュリティ対策方針(O)と、脅威分析結果内のセキュリティ対策方針(UO)とを比較できればよいので、必ずしもキーワード抽出によって比較する必要はない。例えば、セキュリティ対策方針の全体を比較してもよい。   Here, since it is only necessary to compare each security objective policy (O) in the goal model information with the security objective policy (UO) in the threat analysis result, it is not always necessary to compare them by keyword extraction. For example, the entire security objectives may be compared.

比較の結果、処理エンジン110は、脅威分析結果内のセキュリティ対策方針(UO)のキーワードが、ゴールモデル情報内のセキュリティ対策方針(O)のキーワードに含まれる関係(UO⊆O)にあれば(w44;YES)、当該脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)をゴールモデル情報から抽出する。   As a result of the comparison, if the keyword of the security objective policy (UO) in the threat analysis result is in the relationship (UO⊆O) included in the keyword of the security objective policy (O) in the goal model information, the processing engine 110 ( w44; YES), the security objective policy (O) including the security objective policy (UO) in the threat analysis result is extracted from the goal model information.

しかる後、処理エンジン110は、抽出したセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、ゴールモデル情報と脅威分析結果とを合成する(w45)。このステップw43〜w45は、繰り返し実行する。   Thereafter, the processing engine 110 synthesizes the goal model information and the threat analysis result by rewriting the security countermeasure policy (UO) in the threat analysis result with the extracted security countermeasure policy (O) and integrating the two. (W45). Steps w43 to w45 are repeatedly executed.

ステップw43〜w45の繰り返し実行後、ゴールモデル情報と脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報が生成される。処理エンジン110は、ゴールモデル−脅威分析合成情報内のうちのゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、十分性文書雛形DB102からセキュリティ機能要件十分性文書情報を読み込む。   After repeatedly executing Steps w43 to w45, goal model-threat analysis synthesis information obtained by synthesizing the goal model information and the threat analysis result is generated. The processing engine 110 reads the security function requirement sufficiency document information from the sufficiency document template DB 102 based on the security countermeasure policy (O) included in the goal model information in the goal model-threat analysis synthesis information.

また、ステップw43〜w45の繰り返し実行後、ステップw44の比較の結果、否の場合(UO≠O)の対策方針(UO)については、処理エンジン110は、例えば図16に示すように、部分的にステップw45の合成済みの図式データを入出力部107に送出し、ユースケースのセキュリティ対策方針(UO)のためのセキュリティ機能要件(SFR)の入力を促す(w46)。すなわち、処理エンジン110は、生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちのゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を促す。入出力部107は、入力を促された利用者の操作により、ゴールモデル情報に含まれないユースケース対策方針定義(UO)のセキュリティ機能要件(SFR)十分性文書情報を処理エンジン110に入力する。   Further, after the repeated execution of steps w43 to w45, as a result of the comparison in step w44, regarding the countermeasure policy (UO) in the case of no (UO ≠ O), the processing engine 110, for example, as shown in FIG. In step w45, the combined diagram data is sent to the input / output unit 107 to prompt the input of the security function requirement (SFR) for the security countermeasure policy (UO) of the use case (w46). That is, the processing engine 110 associates security function requirements with security objective policies (UO) not included in the goal model information among the security objective policies (O, UO) in the generated goal model-threat analysis synthesis information. Prompt for sufficient document information. The input / output unit 107 inputs the security function requirement (SFR) sufficiency document information of the use case countermeasure policy definition (UO) not included in the goal model information to the processing engine 110 by the user's operation prompted to input. .

処理エンジン110は、このセキュリティ機能要件十分性文書情報の入力を受け付けることにより、図9に示すように、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する。   When the processing engine 110 accepts the input of the security function requirement sufficiency document information, as shown in FIG. 9, a new “security countermeasure policy (UO) and related security function requirement identifier for each security countermeasure policy identifier” is displayed. And a countermeasure-function correspondence table data including security function requirement sufficiency document information ”.

しかる後、処理エンジン110は、この対策−機能対応表データと、ゴールモデル−脅威分析合成情報とを記憶部104に書き込む(w47)。ここで、ゴールモデル−脅威分析合成情報は、ステップw42で評価した前提条件(A)と、組織のセキュリティ対策方針(OSP)と、運用環境の対策方針(OE)とを含んでいる。   Thereafter, the processing engine 110 writes the countermeasure-function correspondence table data and the goal model-threat analysis / synthesis information in the storage unit 104 (w47). Here, the goal model-threat analysis synthesis information includes the precondition (A) evaluated in step w42, the organizational security countermeasure policy (OSP), and the operational environment countermeasure policy (OE).

[シナリオデータの作成:w50]
処理エンジン110は、図6乃至図9に示すように、ゴールモデル−脅威分析合成情報、作成された関係者一覧表データ、作成された保護資産一覧表データ、作成された脅威−対策対応表データ及び作成された対策−機能対応表データをそれぞれ記憶部104から読み出す。
[Create scenario data: w50]
As shown in FIGS. 6 to 9, the processing engine 110 includes goal model-threat analysis / synthesis information, created party list data, created protected asset list data, created threat-countermeasure correspondence table data. And the prepared countermeasure-function correspondence table data is read from the storage unit 104.

処理エンジン110は、ゴールモデル−脅威分析合成情報に基づいて、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」を作成する。   The processing engine 110, based on the goal model-threat analysis synthesis information, “premise-operation countermeasure correspondence including precondition definition, related operation countermeasure policy identifier and operation countermeasure policy for each precondition identifier corresponding to the precondition type”. Table data "is created.

また、処理エンジン110は、ゴールモデル−脅威分析合成情報に基づいて、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」を作成する。   Further, the processing engine 110, based on the goal model-threat analysis synthesis information, “for each organizational countermeasure policy identifier corresponding to the organizational countermeasure policy type, an organization including an organizational countermeasure policy, an associated security countermeasure policy identifier, and a security countermeasure policy. “Countermeasure policy—Countermeasure policy correspondence table data”.

さらに、処理エンジン110は、作成された前提−運用対策対応表データ、作成された組織対策方針−対策方針対応表データ、作成された関係者一覧表データ、作成された保護資産一覧表データ、作成された脅威−対策対応表データ及び作成された対策−機能対応表データを含むセキュリティシナリオデータを作成する。   Further, the processing engine 110 creates the created premise-operation countermeasure correspondence table data, the created organization countermeasure policy-measure policy correspondence table data, the created party list data, the created protected asset list data, the created Security scenario data including prepared threat-countermeasure correspondence table data and prepared countermeasure-function correspondence table data is created.

しかる後、処理エンジン110は、作成したセキュリティシナリオデータをシナリオデータ記憶部105に書き込む。   Thereafter, the processing engine 110 writes the created security scenario data in the scenario data storage unit 105.

[ゴールモデルの検証・保存:w60]
処理エンジン110は、図17に示すように、ステップw40で得られたゴールモデル−脅威分析合成情報を検証して、ゴールモデルDB101に保存するか否かを決定する。
[Verification and storage of goal model: w60]
As shown in FIG. 17, the processing engine 110 verifies the goal model-threat analysis synthesis information obtained in step w40 and determines whether or not to save it in the goal model DB 101.

処理エンジン110は、ゴールモデル−脅威分析合成情報を検証するか否かを利用者に確認する(w61)。否の場合(w61;NO)、ゴールモデル−脅威分析合成情報をゴールモデルDB101に登録せずに終了する。   The processing engine 110 confirms with the user whether or not to verify the goal model-threat analysis synthesis information (w61). If not (w61; NO), the process ends without registering the goal model-threat analysis synthesis information in the goal model DB 101.

一方、検証する場合(w61;YES)、処理エンジン110は、ゴールモデル−脅威分析合成情報内のセキュリティ機能要件十分性文書情報がセキュリティ対策方針を満たしているか否かをVDM(Vienna Development Method),Z,Bなどのモデルベース形式検証手法を用いて検証する。   On the other hand, in the case of verification (w61; YES), the processing engine 110 determines whether or not the security function requirement sufficiency document information in the goal model-threat analysis synthesis information satisfies the security countermeasure policy, VDM (Vienna Development Method), Verification is performed using a model-based verification method such as Z or B.

処理エンジン110は、セキュリティ機能要件の形式記述を作成する(w62)。   The processing engine 110 creates a format description of security function requirements (w62).

処理エンジン110は、VDM等で記述したセキュリティ対策方針や想定機能の入力を利用者に促す(w63)。   The processing engine 110 prompts the user to input a security countermeasure policy or assumed function described in VDM or the like (w63).

処理エンジン110は、モデルベース形式検証ツールで検証し(w64)、検証結果を利用者に提示する。   The processing engine 110 verifies with the model-based format verification tool (w64) and presents the verification result to the user.

処理エンジン110は、検証結果からゴールモデルとして妥当と判断されたセキュリティ対策方針とセキュリティ機能要件をゴールモデルDB101に保存し(w65)、妥当でないセキュリティ対策方針とセキュリティ機能要件を保存せずに終了する。   The processing engine 110 stores in the goal model DB 101 the security countermeasure policy and security function requirements that are determined to be valid as the goal model from the verification result (w65), and terminates without storing the invalid security policy and security function requirement. .

[セキュリティシナリオの作成:w70]
処理エンジン110は、図10に示すように、シナリオデータ記憶部105内のセキュリティシナリオデータを図式化してセキュリティシナリオを作成し、このセキュリティシナリオをセキュリティデータ記憶部106に書き込む。また、処理エンジン110は、図4に示すように、セキュリティデータ記憶部106内のセキュリティシナリオを入出力部107を介して利用者に提示することもできる。
[Create security scenario: w70]
As illustrated in FIG. 10, the processing engine 110 creates a security scenario by diagramming the security scenario data in the scenario data storage unit 105 and writes the security scenario in the security data storage unit 106. Further, the processing engine 110 can also present the security scenario in the security data storage unit 106 to the user via the input / output unit 107 as shown in FIG.

[セキュリティ設計書の作成:w80]
次に、セキュリティ要件定義書やセキュリティターゲットSTといったセキュリティ設計書の作成について述べる。
[Creation of security design document: w80]
Next, creation of a security design document such as a security requirement definition document and a security target ST will be described.

処理エンジン110は、図18に示すように、シナリオデータ記憶部105内のセキュリティシナリオデータの一覧表及び各対応表の要素を並べ替えることにより、セキュリティ要件定義書を生成することができる。   As shown in FIG. 18, the processing engine 110 can generate a security requirement definition document by rearranging the list of security scenario data in the scenario data storage unit 105 and the elements of each correspondence table.

また、処理エンジン110は、図19に示すように、d105内のセキュリティシナリオデータの各表の要素を並べ替えると共に、足りない項目をST雛形記憶部104内の定型文書を参照することにより、セキュリティターゲットSTを作成することができる。   Further, as shown in FIG. 19, the processing engine 110 rearranges the elements of each table of the security scenario data in d105, and refers to the standard document in the ST template storage unit 104 for the missing items, thereby A target ST can be created.

なお、ここでいう「足りない項目」としては、例えば「ST概説」、「TOEセキュリティ保証要件」、「適合主張」の各項目が挙げられる。また、セキュリティシナリオデータからセキュリティターゲットSTを生成する技術については、例えば、特許文献1にも開示されている。   Note that examples of the “missing items” herein include items of “ST overview”, “TOE security assurance requirements”, and “conformance claim”. A technique for generating a security target ST from security scenario data is also disclosed in, for example, Patent Document 1.

上述したように本実施形態によれば、セキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、複数のセキュリティ対策方針(O)及び1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報を記憶したゴールモデルDB101を備え、セキュリティ目標に基づいて読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、脅威分析結果内のセキュリティ対策方針(UO)とを比較し、ゴールモデル情報から抽出されたセキュリティ対策方針(O)で脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、読み出されたゴールモデル情報と脅威分析結果とを合成している。   As described above, according to this embodiment, goal model information including a countermeasure policy type, a security countermeasure policy identifier, a plurality of security countermeasure policies (O), and one or more security function requirement identifiers is stored for each security goal. Comparing each security objective policy (O) in the goal model information read out based on the security objective with the security model (UO) in the threat analysis result, and extracting from the goal model information The read goal model information and the threat analysis result are synthesized by rewriting the security countermeasure policy (UO) in the threat analysis result with the read security countermeasure policy (O) and integrating the two.

このとき、脅威分析結果内のセキュリティ対策方針(UO)は、一体化されたセキュリティ対策方針(O)を介してゴールモデル情報内のセキュリティ目標に関連している。このため、脅威分析から得られたセキュリティ対策方針(UO)に関連したセキュリティ目標を確認することができる。   At this time, the security objective (UO) in the threat analysis result is related to the security objective in the goal model information via the integrated security objective (O). For this reason, the security objective related to the security objective (UO) obtained from the threat analysis can be confirmed.

また、ゴールモデル情報において一体化に用いなかった他のセキュリティ対策方針及びセキュリティ機能要件識別子は、脅威分析結果から得られなかったものであるが、セキュリティ目標及び一体化に用いたセキュリティ対策方針を介して脅威分析結果に関連付けられる。このため、脅威分析から得られなかったセキュリティ対策方針とセキュリティ機能要件の設計をも支援することができる。   In addition, other security objectives and security functional requirement identifiers that were not used for integration in the goal model information were not obtained from the threat analysis results. Associated with the threat analysis results. Therefore, it is possible to support the design of security objectives and security functional requirements that were not obtained from threat analysis.

補足すると、本実施形態によれば、ユースケースを用いた脅威分析とゴール指向分析を用いたセキュリティ要件定義の可視化により、セキュリティシナリオデータの精度を向上させることができる。また、セキュリティシナリオデータ、ゴールモデルの蓄積と再利用を実現することができる。   Supplementally, according to the present embodiment, the accuracy of the security scenario data can be improved by visualizing the security requirement definition using the threat analysis using the use case and the goal-oriented analysis. In addition, security scenario data and goal models can be stored and reused.

(第2の実施形態)
図20は本発明の第2の実施形態に係るセキュリティ設計支援装置の構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
(Second Embodiment)
FIG. 20 is a schematic diagram showing the configuration of the security design support apparatus according to the second embodiment of the present invention. The same parts as those in FIG. Is mainly described. In the following embodiments, the same description is omitted.

本実施形態は、第1の実施形態の変形例であり、図1に示したユースケース処理部108及びゴール指向分析処理部109に対し、オープンソースなど既存のユースケース入力ツールプログラム及びゴール指向分析入力ツールプログラムを実行するCPUの一機能からなるユースケース入力ツール部111及びゴール指向分析入力ツール部112を付加した構成となっている。これらの入力ツールプログラムとしては、例えば、JUDEシリーズ内のツールが適宜、使用可能となっている。また、窓の杜(まどのもり)<www.forest.impress.co.jp/>などといったオンラインソフトウェアの紹介サイトから適宜、入力ツールプログラムを取得してもよい。   This embodiment is a modification of the first embodiment, and the existing use case input tool program such as open source and goal oriented analysis are used for the use case processing unit 108 and goal oriented analysis processing unit 109 shown in FIG. A use case input tool unit 111 and a goal-oriented analysis input tool unit 112 having a function of a CPU for executing an input tool program are added. As these input tool programs, for example, tools in the JUDE series can be used as appropriate. In addition, an input tool program may be appropriately acquired from an online software introduction site such as “Madomori” (www.forest.impress.co.jp/).

ここで、ユースケース入力ツール部111は、通常のユースケース入力機能を有し、例えば、利用者による入出力部107の操作により、ユースケース図及び記述情報をユースケース処理部108に入力する機能をもっている。   Here, the use case input tool unit 111 has a normal use case input function, for example, a function of inputting a use case diagram and description information to the use case processing unit 108 by an operation of the input / output unit 107 by a user. Have

ゴール指向分析入力ツール部112は、通常のゴール指向分析機能を有し、例えば、利用者による入出力部107の操作により、セキュリティ目標をゴール指向分析処理部109に入力する機能ともっている。   The goal-oriented analysis input tool unit 112 has a normal goal-oriented analysis function. For example, the goal-oriented analysis input tool unit 112 has a function of inputting a security target to the goal-oriented analysis processing unit 109 by operating the input / output unit 107 by the user.

以上のような構成によれば、既存のオープンツールを用いてユースケース入力及びゴール指向分析を実行できるため、第1の実施形態の効果に加え、汎用性を向上させることができる。   According to the above configuration, use case input and goal-oriented analysis can be executed using an existing open tool, so that versatility can be improved in addition to the effects of the first embodiment.

(第3の実施形態)
図21は本発明の第3の実施形態に係るセキュリティ設計支援装置の構成を示す模式図である。
(Third embodiment)
FIG. 21 is a schematic diagram showing a configuration of a security design support apparatus according to the third exemplary embodiment of the present invention.

本実施形態は、第1の実施形態の変形例であり、図1に示したユースケース処理部108及びゴール指向分析処理部109をWebシステムとした構成となっている。これに伴い、入出力部107に代えて、Web通信部113を備えている。この通信部113は、ネットワークを介して利用者端末200と通信するための通信インタフェースである。   This embodiment is a modification of the first embodiment, and has a configuration in which the use case processing unit 108 and the goal-oriented analysis processing unit 109 illustrated in FIG. 1 are Web systems. Accordingly, a Web communication unit 113 is provided instead of the input / output unit 107. The communication unit 113 is a communication interface for communicating with the user terminal 200 via a network.

利用者端末200は、ネットワークを介してセキュリティ設計支援装置100bに通信可能なWebブラウザ機能を有するコンピュータであり、1台のみを図示したが、複数台の利用者端末としてもよい。   The user terminal 200 is a computer having a Web browser function that can communicate with the security design support apparatus 100b via a network. Although only one is shown, a plurality of user terminals may be used.

以上のような構成によれば、ネットワークを介して利用者端末200と通信できるため、第1の実施形態の効果に加え、離れた場所に配置された利用者端末200に対してセキュリティ設計を支援することができる。   According to the above configuration, since communication with the user terminal 200 is possible via the network, in addition to the effects of the first embodiment, security design is supported for the user terminal 200 arranged at a remote location. can do.

なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。   Note that the method described in the above embodiment includes a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), an optical disk (CD-ROM, DVD, etc.), a magneto-optical disk (MO) as programs that can be executed by a computer. ), And can be distributed in a storage medium such as a semiconductor memory.

また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。   In addition, as long as the storage medium can store a program and can be read by a computer, the storage format may be any form.

また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。   In addition, an OS (operating system) running on a computer based on an instruction of a program installed in the computer from a storage medium, MW (middleware) such as database management software, network software, and the like realize the above-described embodiment. A part of each process may be executed.

さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。   Further, the storage medium in the present invention is not limited to a medium independent of a computer, but also includes a storage medium in which a program transmitted via a LAN, the Internet, or the like is downloaded and stored or temporarily stored.

また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。   Further, the number of storage media is not limited to one, and the case where the processing in the above embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.

尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。   The computer according to the present invention executes each process in the above-described embodiment based on a program stored in a storage medium, and is a single device such as a personal computer or a system in which a plurality of devices are connected to a network. Any configuration may be used.

また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。   In addition, the computer in the present invention is not limited to a personal computer, but includes an arithmetic processing device, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. .

なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。   Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.

100,100a,100b…セキュリティ設計支援装置、101…ゴールモデルDB、102…十分性文書雛形DB、103…ST雛形DB、104…記憶部、105…シナリオデータ記憶部、106…セキュリティデータ記憶部、107…入出力部、108…ユースケース処理部、109…ゴール指向分析処理部、110…処理エンジン、111…ユースケース入力ツール部、112…ゴール指向分析入力ツール部。   DESCRIPTION OF SYMBOLS 100, 100a, 100b ... Security design support apparatus, 101 ... Goal model DB, 102 ... Sufficiency document template DB, 103 ... ST template DB, 104 ... Storage part, 105 ... Scenario data storage part, 106 ... Security data storage part, DESCRIPTION OF SYMBOLS 107 ... Input / output part, 108 ... Use case processing part, 109 ... Goal-oriented analysis processing part, 110 ... Processing engine, 111 ... Use case input tool part, 112 ... Goal-oriented analysis input tool part

Claims (3)

「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置であって、
「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を記憶した十分性文書雛形記憶手段と、
「ゴールとしてのセキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」を記憶し、且つ前記ゴールモデル情報内のセキュリティ機能要件識別子は、前記十分性文書雛形記憶手段内の各セキュリティ機能要件識別子のいずれかに一致しているゴールモデル情報記憶手段と、
「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び前記脅威識別子に関連する関係者識別子を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前記前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO)、及び前記セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び前記根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び前記運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び前記組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける脅威分析結果入力受付手段と、
前記入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成手段と、
前記入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成手段と、
前記入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成手段と、
前記ゴールモデル情報記憶手段内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付手段と、
前記選択を受け付けたセキュリティ目標に基づいて、前記ゴールモデル情報記憶手段内のゴールモデル情報を読み出すゴールモデル情報読出手段と、
前記読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、前記入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較手段と、
前記比較の結果、前記脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)を前記ゴールモデル情報から抽出する抽出手段と、
前記抽出されたセキュリティ対策方針(O)で前記脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、前記読み出されたゴールモデル情報と前記脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成手段と、
前記生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちの前記ゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、前記十分性文書雛形記憶手段からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成手段と、
前記ゴールモデル−脅威分析合成情報、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データに基づいて、前記セキュリティシナリオデータを作成するセキュリティシナリオデータ作成手段と、
を備えたことを特徴とするセキュリティ設計支援装置。
"Related party list data including a party definition for each related party identifier corresponding to the related party type", "Protected asset list data including a protected asset definition for each protected asset identifier corresponding to the protected asset type", “For each threat identifier corresponding to the threat type, threat definition, related security objective policy identifier and security countermeasure policy sufficiency document information including security objective policy sufficiency document data” and “security objective policy identifier corresponding to the countermeasure policy type” For each security condition policy (O, UO), related security function requirement identifier and security function requirement sufficiency document information including security function requirement sufficiency document information, and "for each precondition identifier corresponding to the precondition type, Preconditions including precondition definitions, related operation policy identifiers and operation policy, and “operation countermeasure table data” and “organizational policy type” Security for supporting the design of security scenario data including the organizational countermeasure policy, the organizational countermeasure policy including the related security countermeasure policy identifier and the security countermeasure policy, and the countermeasure policy correspondence table data for each organizational countermeasure policy identifier corresponding to A design support device,
A sufficiency document template storage means storing “a countermeasure-function correspondence table data including a security objective policy (O), a related security functional requirement identifier and security functional requirement sufficiency document information for each security objective policy identifier”;
“For each security goal as a goal, one or more requests related to the security policy type, security policy identifier, multiple security policy (O) as a soft goal, and each security policy (O) And the security function requirement identifier in the goal model information matches one of the security function requirement identifiers in the sufficiency document template storage means. Goal model information storage means;
`` Related party information including related party type, related party identifier and related party definition '', `` Protected asset information including protected asset type, protected asset identifier and protected asset definition '', `` Threat type, threat identifier, threat definition, And misuse case information including a party identifier related to the threat identifier '', and `` precondition information including a precondition type, a precondition identifier, a precondition definition, and a protected asset identifier related to the precondition identifier '', “Security objective policy information including countermeasure policy type, security objective policy identifier, security objective policy (UO), and threat identifier related to the security objective policy identifier” and “reason type, rational identifier, security objective policy sufficiency document” Information and rationale information including security objectives policy identifiers related to the rationale identifiers "and" operational objectives policies Separately, an operation countermeasure policy information including an operation countermeasure policy identifier, an operation countermeasure policy, and a precondition identifier related to the operation countermeasure policy identifier, and an “organization countermeasure policy type, an organization countermeasure policy identifier, an organization countermeasure policy, and the organization A threat analysis result input receiving means for receiving an input of a threat analysis result including `` organizational countermeasure policy information including an operation countermeasure policy identifier related to the countermeasure policy identifier '';
Participant list data creation means for creating “participant list data including a party identifier and a party definition corresponding to a party type” based on the party information in the threat analysis result that has received the input When,
Protected asset list data creation means for creating “protected asset list data including a protected asset identifier and a protected asset definition corresponding to the protected asset type” based on the protected asset information in the threat analysis result that has received the input When,
Based on the misuse case information, the security objective policy information, and the rationale information in the threat analysis result that has received the input, “for each threat identifier, threat definition, related security objective policy identifier and security objective policy sufficiency document information Threat-countermeasure correspondence table data creating means for creating "threat-countermeasure correspondence table data including",
Security target selection accepting means for accepting selection of one of the security objectives among the security objectives in the goal model information storage means,
Goal model information reading means for reading out goal model information in the goal model information storage means based on the security goal that received the selection;
Countermeasure policy comparing means for comparing each security countermeasure policy (O) in the read goal model information with a security countermeasure policy (UO) in the threat analysis result that has received the input;
As a result of the comparison, extracting means for extracting a security objective policy (O) including a security objective policy (UO) in the threat analysis result from the goal model information;
By rewriting the security objective policy (UO) in the threat analysis result with the extracted security objective policy (O) and integrating the two, the read goal model information and the threat analysis result are synthesized. Synthetic information generating means for generating goal model-threat analysis synthetic information,
Based on the security objective policy (O) included in the goal model information among the security objective policies (O, UO) in the generated goal model-threat analysis synthesis information, security is stored from the sufficiency document template storage means. By reading the functional requirement sufficiency document information and accepting the input of the security functional requirement sufficiency document information in association with the security objective policy (UO) not included in the goal model information, a new “for each security objective policy identifier And a countermeasure correspondence function data creation means for creating a countermeasure countermeasure function data including a security countermeasure policy (UO), a related security function requirement identifier and security function requirement sufficiency document information,
The goal model-threat analysis synthesis information, the created party list data, the created protected asset list data, the created threat-measure correspondence table data, and the created countermeasure-function correspondence table data Security scenario data creating means for creating the security scenario data based on
A security design support device characterized by comprising:
請求項1に記載のセキュリティ設計支援装置において、
前記セキュリティシナリオデータ作成手段は、
前記ゴールモデル−脅威分析合成情報に基づいて、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」を作成する前提−運用対策対応表データ作成手段と、
前記ゴールモデル−脅威分析合成情報に基づいて、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」を作成する組織対策方針−対策方針対応表データ作成手段と、
前記作成された前提−運用対策対応表データ、前記作成された組織対策方針−対策方針対応表データ、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データを含むセキュリティシナリオデータを作成する手段と、
を備えたことを特徴とするセキュリティ設計支援装置。
The security design support device according to claim 1,
The security scenario data creation means includes:
Based on the goal model-threat analysis synthesis information, “for each precondition identifier corresponding to the precondition type, a precondition-operation countermeasure correspondence table data including a precondition definition, a related operation countermeasure policy identifier and an operation countermeasure policy”. Premise to create-operation countermeasure correspondence table data creation means,
Based on the goal model-threat analysis / synthesis information, "for each organizational countermeasure policy identifier corresponding to the organizational countermeasure policy type, the organizational countermeasure policy-the countermeasure policy correspondence including the organizational countermeasure policy, the related security countermeasure policy identifier and the security countermeasure policy" Organizational countermeasure policy for creating "table data"-countermeasure policy correspondence table data creation means,
The created assumption-operation countermeasure correspondence table data, the created organizational countermeasure policy-measure policy correspondence table data, the created party list data, the created protected asset list data, and the created Means for creating security scenario data including threat-countermeasure correspondence table data and the prepared countermeasure-function correspondence table data;
A security design support device characterized by comprising:
十分性文書雛形記憶手段及びゴールモデル情報記憶手段を備え、「関係者種別に対応する関係者識別子毎に関係者定義を含む関係者一覧表データ」と、「保護資産種別に対応する保護資産識別子毎に保護資産定義を含む保護資産一覧表データ」と、「脅威種別に対応する脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」と、「対策方針種別に対応するセキュリティ対策方針識別子毎に、セキュリティ対策方針(O,UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」と、「前提条件種別に対応する前提条件識別子毎に、前提条件定義、関連する運用対策方針識別子及び運用対策方針を含む前提−運用対策対応表データ」と、「組織対策方針種別に対応する組織対策方針識別子毎に、組織対策方針、関連するセキュリティ対策方針識別子及びセキュリティ対策方針を含む組織対策方針−対策方針対応表データ」とを含むセキュリティシナリオデータの設計を支援するためのセキュリティ設計支援装置に用いられるプログラムにおいて、
前記セキュリティ設計支援装置を、
「セキュリティ対策方針識別子毎に、セキュリティ対策方針(O)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」とを前記十分性文書雛形記憶手段に書き込む手段、
「ゴールとしてのセキュリティ目標毎に、対策方針種別、セキュリティ対策方針識別子、ソフトゴールとしての複数のセキュリティ対策方針(O)、及び当該各セキュリティ対策方針(O)に関連した、要求としての1つ以上のセキュリティ機能要件識別子を含むゴールモデル情報」であって且つ「当該セキュリティ機能要件識別子は、前記十分性文書雛形記憶手段内のセキュリティ機能要件識別子のいずれかに一致しているゴールモデル情報」を前記ゴールモデル情報記憶手段に書き込む手段、
「関係者種別、関係者識別子及び関係者定義を含む関係者情報」と、「保護資産種別、保護資産識別子及び保護資産定義を含む保護資産情報」と、「脅威種別、脅威識別子、脅威定義、及び前記脅威識別子に関連する関係者識別子を含むミスユースケース情報」と、「前提条件種別、前提条件識別子、前提条件定義、及び前記前提条件識別子に関連する保護資産識別子を含む前提条件情報」と、「対策方針種別、セキュリティ対策方針識別子、セキュリティ対策方針(UO)、及び前記セキュリティ対策方針識別子に関連する脅威識別子を含むセキュリティ対策方針情報」と、「根拠種別、根拠識別子、セキュリティ対策方針十分性文書情報、及び前記根拠識別子に関連するセキュリティ対策方針識別子を含む根拠情報」と、「運用対策方針種別、運用対策方針識別子、運用対策方針、及び前記運用対策方針識別子に関連する前提条件識別子を含む運用対策方針情報」と、「組織対策方針種別、組織対策方針識別子、組織対策方針、及び前記組織対策方針識別子に関連する運用対策方針識別子を含む組織対策方針情報」とを含む脅威分析結果の入力を受け付ける脅威分析結果入力受付手段、
前記入力を受け付けた脅威分析結果のうちの関係者情報に基づいて、「関係者種別に対応する関係者識別子及び関係者定義を含む関係者一覧表データ」を作成する関係者一覧表データ作成手段、
前記入力を受け付けた脅威分析結果のうちの保護資産情報に基づいて、「保護資産種別に対応する保護資産識別子及び保護資産定義を含む保護資産一覧表データ」を作成する保護資産一覧表データ作成手段、
前記入力を受け付けた脅威分析結果のうちのミスユースケース情報とセキュリティ対策方針情報と根拠情報とに基づいて、「脅威識別子毎に、脅威定義、関連するセキュリティ対策方針識別子及びセキュリティ対策方針十分性文書情報を含む脅威−対策対応表データ」を作成する脅威−対策対応表データ作成手段、
前記ゴールモデル情報記憶手段内の各セキュリティ目標のうち、いずれかのセキュリティ目標の選択を受け付けるセキュリティ目標選択受付手段、
前記選択を受け付けたセキュリティ目標に基づいて、前記ゴールモデル情報記憶手段内のゴールモデル情報を読み出すゴールモデル情報読出手段、
前記読み出されたゴールモデル情報内の各セキュリティ対策方針(O)と、前記入力を受け付けた脅威分析結果内のセキュリティ対策方針(UO)とを比較する対策方針比較手段、
前記比較の結果、前記脅威分析結果内のセキュリティ対策方針(UO)を含むセキュリティ対策方針(O)を前記ゴールモデル情報から抽出する抽出手段、
前記抽出されたセキュリティ対策方針(O)で前記脅威分析結果内のセキュリティ対策方針(UO)を書き換えて両者を一体化することにより、前記読み出されたゴールモデル情報と前記脅威分析結果とを合成してなるゴールモデル−脅威分析合成情報を生成する合成情報生成手段、
前記生成されたゴールモデル−脅威分析合成情報内のセキュリティ対策方針(O,UO)のうちの前記ゴールモデル情報に含まれるセキュリティ対策方針(O)に基づいて、前記十分性文書雛形記憶手段からセキュリティ機能要件十分性文書情報を読み込むと共に、当該ゴールモデル情報に含まれないセキュリティ対策方針(UO)に関連付けて、セキュリティ機能要件十分性文書情報の入力を受け付けることにより、新たに「セキュリティ対策方針識別子毎に、セキュリティ対策方針(UO)、関連するセキュリティ機能要件識別子及びセキュリティ機能要件十分性文書情報を含む対策−機能対応表データ」を作成する対策−機能対応表データ作成手段、
前記ゴールモデル−脅威分析合成情報、前記作成された関係者一覧表データ、前記作成された保護資産一覧表データ、前記作成された脅威−対策対応表データ及び前記作成された対策−機能対応表データに基づいて、前記セキュリティシナリオデータを作成するセキュリティシナリオデータ作成手段、
として機能させるためのプログラム。
Sufficient document template storage means and goal model information storage means, and "related party list data including related party definition for each related party identifier corresponding to the related party type" and "protected asset identifier corresponding to the protected asset type" Protected asset list data including protected asset definition for each "and" Threat-Countermeasure correspondence table including threat definition, associated security objective policy identifier and security objective policy sufficiency document information for each threat identifier corresponding to threat type " Data ”and“ Measure-function correspondence table data including security measure policy (O, UO), related security function requirement identifier and security function requirement sufficiency document information for each security measure policy identifier corresponding to the measure policy type ” “For each precondition identifier corresponding to the precondition type, the precondition definition, the related operation policy identifier and “Assumptions including needles—Operational measures correspondence table data” and “Organizational measures policy-related policies for each organizational measure policy identifier corresponding to the organizational measure policy type” In a program used in a security design support device for supporting the design of security scenario data including `` correspondence table data '',
The security design support device,
Means for writing “security countermeasure policy (O), associated security function requirement identifier and security function requirement sufficiency document information including function function sufficiency document information” to the sufficiency document template storage means for each security objective policy identifier ,
“For each security goal as a goal, one or more requests related to the security policy type, security policy identifier, multiple security policy (O) as a soft goal, and each security policy (O) "The goal model information including the security function requirement identifier of" and "the goal function information whose security function requirement identifier matches one of the security function requirement identifiers in the sufficiency document template storage means" Means for writing to the goal model information storage means;
`` Related party information including related party type, related party identifier and related party definition '', `` Protected asset information including protected asset type, protected asset identifier and protected asset definition '', `` Threat type, threat identifier, threat definition, And misuse case information including a party identifier related to the threat identifier '', and `` precondition information including a precondition type, a precondition identifier, a precondition definition, and a protected asset identifier related to the precondition identifier '', “Security objective policy information including countermeasure policy type, security objective policy identifier, security objective policy (UO), and threat identifier related to the security objective policy identifier” and “reason type, rational identifier, security objective policy sufficiency document” Information and rationale information including security objectives policy identifiers related to the rationale identifiers "and" operational objectives policies Separately, an operation countermeasure policy information including an operation countermeasure policy identifier, an operation countermeasure policy, and a precondition identifier related to the operation countermeasure policy identifier, and an “organization countermeasure policy type, an organization countermeasure policy identifier, an organization countermeasure policy, and the organization A threat analysis result input receiving means for receiving an input of a threat analysis result including `` organizational countermeasure policy information including an operation countermeasure policy identifier related to the countermeasure policy identifier '';
Participant list data creation means for creating “participant list data including a party identifier and a party definition corresponding to a party type” based on the party information in the threat analysis result that has received the input ,
Protected asset list data creation means for creating “protected asset list data including a protected asset identifier and a protected asset definition corresponding to the protected asset type” based on the protected asset information in the threat analysis result that has received the input ,
Based on the misuse case information, the security objective policy information, and the rationale information in the threat analysis result that has received the input, “for each threat identifier, threat definition, related security objective policy identifier and security objective policy sufficiency document information Threat-countermeasure correspondence table data creating means for creating "threat-countermeasure correspondence table data including",
Security target selection accepting means for accepting selection of any one of the security objectives in the goal model information storage means,
Goal model information reading means for reading the goal model information in the goal model information storage means based on the security goal that has received the selection;
Countermeasure policy comparison means for comparing each security countermeasure policy (O) in the read goal model information with a security countermeasure policy (UO) in the threat analysis result that has received the input;
As a result of the comparison, extraction means for extracting a security objective policy (O) including a security objective policy (UO) in the threat analysis result from the goal model information;
By rewriting the security objective policy (UO) in the threat analysis result with the extracted security objective policy (O) and integrating the two, the read goal model information and the threat analysis result are synthesized. Synthetic information generating means for generating goal model-threat analysis synthetic information,
Based on the security objective policy (O) included in the goal model information among the security objective policies (O, UO) in the generated goal model-threat analysis synthesis information, security is stored from the sufficiency document template storage means. By reading the functional requirement sufficiency document information and accepting the input of the security functional requirement sufficiency document information in association with the security objective policy (UO) not included in the goal model information, a new “for each security objective policy identifier Measures for creating a security countermeasure policy (UO), related security function requirement identifier and security function requirement sufficiency document information-function correspondence table data ", function correspondence table data creation means,
The goal model-threat analysis synthesis information, the created party list data, the created protected asset list data, the created threat-measure correspondence table data, and the created countermeasure-function correspondence table data Security scenario data creating means for creating the security scenario data based on
Program to function as.
JP2009195579A 2009-08-26 2009-08-26 Security design support apparatus and program Active JP5269722B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009195579A JP5269722B2 (en) 2009-08-26 2009-08-26 Security design support apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009195579A JP5269722B2 (en) 2009-08-26 2009-08-26 Security design support apparatus and program

Publications (2)

Publication Number Publication Date
JP2011048560A JP2011048560A (en) 2011-03-10
JP5269722B2 true JP5269722B2 (en) 2013-08-21

Family

ID=43834822

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009195579A Active JP5269722B2 (en) 2009-08-26 2009-08-26 Security design support apparatus and program

Country Status (1)

Country Link
JP (1) JP5269722B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8591677B2 (en) 2008-11-04 2013-11-26 Ashtech Industries, Llc Utility materials incorporating a microparticle matrix formed with a setting agent

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6962867B2 (en) * 2018-06-04 2021-11-05 矢崎総業株式会社 Vulnerability assessment device
WO2021144979A1 (en) * 2020-01-17 2021-07-22 三菱電機株式会社 Vector calculation device, classification device, and output program

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000132767A (en) * 1998-10-27 2000-05-12 Hitachi Ltd Security system planning and design methods and support tools
JP4504706B2 (en) * 2004-03-09 2010-07-14 株式会社日立製作所 Integrated system security design method and program thereof
JP2008287496A (en) * 2007-05-17 2008-11-27 Toshiba Corp Security design / evaluation support system, device and program
JP4630894B2 (en) * 2007-10-04 2011-02-09 株式会社東芝 Security design evaluation support apparatus and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8591677B2 (en) 2008-11-04 2013-11-26 Ashtech Industries, Llc Utility materials incorporating a microparticle matrix formed with a setting agent

Also Published As

Publication number Publication date
JP2011048560A (en) 2011-03-10

Similar Documents

Publication Publication Date Title
Basin et al. A decade of model-driven security
US10623443B2 (en) Method and system for policy management, testing, simulation, decentralization and analysis
Houmb et al. Eliciting security requirements and tracing them to design: an integration of Common Criteria, heuristics, and UMLsec
Uzunov et al. Engineering Security into Distributed Systems: A Survey of Methodologies.
Li et al. Security attack analysis using attack patterns
Turetken et al. Enforcing compliance on business processes through the use of patterns
Yu et al. Automated analysis of security requirements through risk-based argumentation
Alotaibi et al. A novel secure business process modeling approach and its impact on business performance
Abramov et al. A methodology for integrating access control policies within database development
Mead How to compare the Security Quality Requirements Engineering (SQUARE) method with other methods
JP5269722B2 (en) Security design support apparatus and program
Yongchareon et al. UniFlexView: A unified framework for consistent construction of BPMN and BPEL process views
Wirtz et al. A systematic method to describe and identify security threats based on functional requirements
Nguyen et al. Model-driven security with a system of aspect-oriented security design patterns
Mouheb et al. Aspect-oriented security hardening of UML design models
Huynh et al. A methodology and software architecture to support Explainability-by-Design
Vistbakka et al. Formalising privacy-preserving constraints in microservices architecture
Haley et al. Arguing satisfaction of security requirements
Bernardi et al. A model-driven approach to survivability requirement assessment for critical systems
Dai et al. A Survey of Modeling and Analysis Approaches for Architecting Secure Software Systems.
Beckers Supporting common criteria security analysis with problem frames
Jaferian et al. RUPSec: extending business modeling and requirements disciplines of RUP for developing secure systems
Jiague et al. Model-driven Engineering of Functional Security Policies.
Pavleska et al. Crafting organizational security policies for critical infrastructures: an architectural approach
Idani Formal Model Driven Engineering

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130416

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130508

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5269722

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350