Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7360101B2 - security diagnostic system - Google Patents
[go: Go Back, main page]

JP7360101B2 - security diagnostic system - Google Patents

security diagnostic system Download PDF

Info

Publication number
JP7360101B2
JP7360101B2 JP2022004819A JP2022004819A JP7360101B2 JP 7360101 B2 JP7360101 B2 JP 7360101B2 JP 2022004819 A JP2022004819 A JP 2022004819A JP 2022004819 A JP2022004819 A JP 2022004819A JP 7360101 B2 JP7360101 B2 JP 7360101B2
Authority
JP
Japan
Prior art keywords
evaluation
security
question
advice
option
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022004819A
Other languages
Japanese (ja)
Other versions
JP2023104058A (en
Inventor
慎二 那須
Original Assignee
株式会社Ciso
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社Ciso filed Critical 株式会社Ciso
Priority to JP2022004819A priority Critical patent/JP7360101B2/en
Priority to PCT/JP2022/044846 priority patent/WO2023135979A1/en
Publication of JP2023104058A publication Critical patent/JP2023104058A/en
Application granted granted Critical
Publication of JP7360101B2 publication Critical patent/JP7360101B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Economics (AREA)
  • Physics & Mathematics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Electrically Operated Instructional Devices (AREA)

Description

本発明は、企業(個人事業主を含む)等におけるセキュリティリスクを診断するためのセキュリティ診断システムに関するものである。 The present invention relates to a security diagnosis system for diagnosing security risks in companies (including sole proprietors) and the like.

企業等は、その業種や規模にかかわらず、多かれ少なかれセキュリティリスクを抱えており、その対策に追われている。管理すべき企業のセキュリティは多岐にわたるが、その中のひとつとしてWebアプリケーションの脆弱性である権限管理の不備があるかどうかを診断するセキュリティ診断システムが提案されている(特許文献1参照)。 Companies, regardless of their industry or size, are faced with more or less security risks, and are forced to take countermeasures. There are a wide variety of security issues for companies to manage, and as one of them, a security diagnosis system has been proposed that diagnoses whether there are deficiencies in authority management, which are vulnerabilities in web applications (see Patent Document 1).

国際公開第2019/026172号International Publication No. 2019/026172

ところで、特許文献1記載のシステムのように一部のセキュリティリスクを局所的に診断するシステムでは、企業に内包するセキュリティリスクを全体的且つ網羅的に把握することは困難であった。また、セキュリティ対策をどのようにどこまで行えばよいのか認識できていない企業に対して、セキュリティリスク全体を網羅的に診断し、問題点を解り易く示し、やるべきことを具体的に指し示し、セキュリティリスクを解り易く数値化したシステムの構築が望まれている。 However, in a system that locally diagnoses some security risks, such as the system described in Patent Document 1, it is difficult to comprehensively and comprehensively grasp the security risks inherent in a company. In addition, for companies that are not aware of how and to what extent security measures should be taken, we comprehensively diagnose security risks as a whole, show problems in an easy-to-understand manner, and provide concrete instructions on what needs to be done. It is desired to build a system that digitizes information in an easy-to-understand manner.

本発明の目的は、企業のセキュリティリスクを網羅的に把握することができるセキュリティ診断システムを提供することである。 An object of the present invention is to provide a security diagnosis system that can comprehensively grasp the security risks of a company.

本発明のセキュリティ診断システムは、パソコン端末、携帯電話端末、サーバ、ネットワーク、ウェブサイト、事業継続計画を含む物理的情報、及び社内ルール・規則・教育の7つの項目を用いて企業のセキュリティリスクを診断するセキュリティ診断システムであって、前記パソコン端末に関する複数の第1質問、前記第1質問毎に設定される複数の第1選択肢、及び前記第1選択肢毎に前記パソコン端末におけるセキュリティ評価の度合に応じて設定される第1評価点を記憶する第1記憶部と、前記携帯電話端末に関する複数の第2質問、前記第2質問毎に設定される複数の第2選択肢、及び前記第2選択肢毎に前記携帯電話端末におけるセキュリティ評価の度合に応じて設定される第2評価点を記憶する第2記憶部と、前記サーバに関する複数の第3質問、前記第3質問毎に設定される複数の第3選択肢、及び前記第3選択肢毎に前記サーバにおけるセキュリティ評価の度合に応じて設定される第3評価点を記憶する第3記憶部と、前記ネットワークに関する複数の第4質問、前記第4質問毎に設定される複数の第4選択肢、及び前記第4選択肢毎に前記ネットワークにおけるセキュリティ評価の度合に応じて設定される第4評価点を記憶する第4記憶部と、前記ウェブサイトに関する複数の第5質問、前記第5質問毎に設定される複数の第5選択肢、及び前記第5選択肢毎に前記ウェブサイトにおけるセキュリティ評価の度合に応じて設定される第5評価点を記憶する第5記憶部と、前記物理的情報に関する複数の第6質問、前記第6質問毎に設定される複数の第6選択肢、及び前記第6選択肢毎に前記物理的情報におけるセキュリティ評価の度合に応じて設定される第6評価点を記憶する第6記憶部と、前記社内ルール・規則・教育に関する複数の第7質問、前記第7質問毎に設定される複数の第7選択肢、及び前記第7選択肢毎に前記社内ルール・規則・教育におけるセキュリティ評価の度合に応じて設定される第7評価点を記憶する第7記憶部と、前記第1記憶部に記憶されている前記複数の第1質問及び前記複数の第1選択肢、前記第2記憶部に記憶されている前記複数の第2質問及び前記複数の第2選択肢、前記第3記憶部に記憶されている前記複数の第3質問及び前記複数の第3選択肢、前記第4記憶部に記憶されている前記複数の第4質問及び前記複数の第4選択肢、前記第5記憶部に記憶されている前記複数の第5質問及び前記複数の第5選択肢、前記第6記憶部に記憶されている前記複数の第6質問及び前記複数の第6選択肢、及び前記第7記憶部に記憶されている前記複数の第7質問及び前記複数の第7選択肢を順次表示する表示部と、前記第1質問毎に前記複数の第1選択肢の中からユーザが選択する第1選択肢を入力し、前記第2質問毎に前記複数の第2選択肢の中から前記ユーザが選択する第2選択肢を入力し、前記第3質問毎に前記複数の第3選択肢の中から前記ユーザが選択する第3選択肢を入力し、前記第4質問毎に前記複数の第4選択肢の中から前記ユーザが選択する第4選択肢を入力し、前記第5質問毎に前記複数の前記第5選択肢の中から前記ユーザが選択する第5選択肢を入力し、前記第6質問毎に前記複数の前記第6選択肢の中から前記ユーザが選択する前記第6選択肢を入力し、及び前記第7質問毎に前記複数の第7選択肢の中から前記ユーザが選択する前記第7選択肢を入力する入力部と、前記第1質問毎に前記複数の第1選択肢に設定された前記第1評価点の中で最も高い最高第1評価点及び前記入力部から入力された前記第1選択肢に設定された前記第1評価点を前記第1記憶部から読み込み、前記第2質問毎に前記複数の第2選択肢に設定された前記第2評価点の中で最も高い最高第2評価点及び前記入力部から入力された前記第2選択肢に設定された前記第2評価点を前記第2記憶部から読み込み、前記第3質問毎に前記複数の第3選択肢に設定された前記第3評価点の中で最も高い最高第3評価点及び前記入力部から入力された前記第3選択肢に設定された前記第3評価点を前記第3記憶部から読み込み、前記第4質問毎に前記複数の第4選択肢に設定された前記第4評価点の中で最も高い最高第4評価点及び前記入力部から入力された前記第4選択肢に設定された前記第4評価点を前記第4記憶部から読み込み、前記第5質問毎に前記複数の第5選択肢に設定された前記第5評価点の中で最も高い最高第5評価点及び前記入力部から入力された前記第5選択肢に設定された前記第5評価点を前記第5記憶部から読み込み、前記第6質問毎に前記複数の第6選択肢に設定された前記第6評価点の中で最も高い最高第6評価点及び前記入力部から入力された前記第6選択肢に設定された前記第6評価点を前記第6記憶部から読み込み、前記第7質問毎に前記複数の第7選択肢に設定された前記第7評価点の中で最も高い最高第7評価点及び前記入力部から入力された前記第7選択肢に設定された前記第7評価点を前記第7記憶部から読み込む読込部と、前記読込部により読み込まれた前記最高第1評価点の合計である最高第1評価点合計と前記第1評価点の合計である第1評価点合計との比である第1セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第2評価点の合計である最高第2評価点合計と前記第2評価点の合計である第2評価点合計との比である第2セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第3評価点の合計である最高第3評価点合計と前記第3評価点の合計である第3評価点合計との比である第3セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第4評価点の合計である最高第4評価点合計と前記第4評価点の合計である第4評価点合計との比である第4セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第5評価点の合計である最高第5評価点合計と前記第5評価点の合計である第5評価点合計との比である第5セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第6評価点の合計である最高第6評価点合計と前記第6評価点の合計である第6評価点合計との比である第6セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第7評価点の合計である最高第7評価点合計と前記第7評価点の合計である第7評価点合計との比である第7セキュリティ達成度を算出する第1算出部と、前記最高第1評価点合計~前記最高第7評価点合計の合計と、前記第1評価点合計~前記第7評価点合計の合計との比である全体セキュリティ達成度を算出する第2算出部と、前記第1算出部及び前記第2算出部により算出された算出結果を出力する出力部とを備えることを特徴とする。 The security diagnosis system of the present invention uses seven items: personal computer terminals, mobile phone terminals, servers, networks, websites, physical information including business continuity plans, and internal rules, regulations, and education to assess corporate security risks. A security diagnosis system for diagnosing, a plurality of first questions regarding the personal computer terminal, a plurality of first choices set for each of the first questions, and a degree of security evaluation of the personal computer terminal for each of the first choices. a first storage unit that stores first evaluation points set according to the mobile phone terminal; a plurality of second questions regarding the mobile phone terminal; a plurality of second options set for each of the second questions; and a plurality of second options set for each of the second questions; a second storage unit that stores a second evaluation point set according to the degree of security evaluation in the mobile phone terminal; a plurality of third questions regarding the server; and a plurality of third questions set for each of the third questions. a third storage unit that stores three options and a third evaluation point set according to the degree of security evaluation in the server for each third option; a plurality of fourth questions regarding the network; a fourth storage unit that stores a plurality of fourth options set for the website, and a fourth evaluation score set for each of the fourth options according to the degree of security evaluation in the network; a fifth storage unit that stores five questions, a plurality of fifth choices set for each fifth question, and a fifth evaluation score set for each fifth choice according to the degree of security evaluation on the website; and a plurality of sixth questions regarding the physical information, a plurality of sixth choices set for each of the sixth questions, and a plurality of sixth choices set for each of the sixth choices according to the degree of security evaluation of the physical information. a sixth storage unit that stores a sixth evaluation score; a plurality of seventh questions regarding the company rules/regulations/education; a plurality of seventh choices set for each of the seventh questions; a seventh storage unit that stores a seventh evaluation point set according to the degree of security evaluation in internal rules, regulations, and training; and the plurality of first questions and the plurality of questions stored in the first storage unit. a first option, the plurality of second questions and the plurality of second choices stored in the second storage unit, the plurality of third questions and the plurality of third options stored in the third storage unit; options, the plurality of fourth questions and the plurality of fourth options stored in the fourth storage unit, the plurality of fifth questions and the plurality of fifth options stored in the fifth storage unit, Sequentially the plurality of sixth questions and the plurality of sixth choices stored in the sixth storage unit, and the plurality of seventh questions and the plurality of seventh choices stored in the seventh storage unit a display section to display; a first option to be selected by the user from among the plurality of first options for each of the first questions; and a first option for the user to select from among the plurality of second options for each second question; The user inputs a second option to select, inputs a third option to be selected by the user from among the plurality of third options for each third question, and inputs a third option to select from among the plurality of fourth options for each fourth question. inputting a fourth option selected by the user from among the plurality of fifth options for each fifth question; inputting a fifth option selected by the user from among the plurality of fifth options for each sixth question; an input unit for inputting the sixth option selected by the user from among the sixth options, and inputting the seventh option selected by the user from among the plurality of seventh options for each seventh question; and the highest first evaluation score among the first evaluation points set for the plurality of first options for each first question, and the highest first evaluation point set for the first option input from the input section. A first evaluation point is read from the first storage section, and for each second question, the highest second evaluation point among the second evaluation points set for the plurality of second choices is input from the input section. read the second evaluation points set for the second choices that have been asked from the second storage unit, and the highest among the third evaluation points set for the plurality of third choices for each third question. The highest third evaluation point and the third evaluation point set for the third option input from the input section are read from the third storage section, and the third evaluation point is set for the plurality of fourth options for each of the fourth questions. The highest fourth evaluation point among the fourth evaluation points and the fourth evaluation point set for the fourth option input from the input section are read from the fourth storage section, and the fifth question is The highest fifth evaluation point among the fifth evaluation points set for each of the plurality of fifth options and the fifth evaluation point set for the fifth option input from the input section are Loaded from the fifth storage unit, the highest sixth evaluation score among the sixth evaluation points set for the plurality of sixth options for each sixth question and the sixth option input from the input unit The sixth evaluation points set in the above are read from the sixth storage unit, and for each of the seventh questions, the maximum seventh evaluation point is the highest among the seventh evaluation points set in the plurality of seventh options. a reading unit that reads the seventh evaluation point set for the seventh option input from the input unit from the seventh storage unit; and a maximum that is the sum of the highest first evaluation point read by the reading unit. A first security achievement level is calculated as the ratio of the first evaluation point total and the first evaluation point total which is the sum of the first evaluation points, and A second security achievement level is calculated as a ratio between a certain maximum second evaluation point total and a second evaluation point total that is the sum of the second evaluation points, and A third security achievement level, which is a ratio of the total highest third evaluation score and the third total evaluation score, which is the total of the third evaluation points, is calculated, and the highest fourth evaluation is read by the reading unit. A fourth security achievement level, which is the ratio of the highest fourth evaluation point total, which is the total of the points, and the fourth evaluation point total, which is the total of the fourth evaluation points, is calculated, A fifth security achievement level, which is the ratio between the highest total fifth evaluation point, which is the sum of the five evaluation points, and the fifth total evaluation point, which is the total of the fifth evaluation points, is calculated, and the A sixth security achievement level, which is the ratio of the highest total sixth evaluation point, which is the total of the highest six evaluation points, and the sixth total evaluation point, which is the total of the sixth evaluation points, is calculated, and the sixth security achievement level is read by the reading unit. a first calculation unit that calculates a seventh security achievement level that is a ratio of the highest seventh evaluation point total that is the total of the highest seventh evaluation points and the seventh evaluation point total that is the total of the seventh evaluation points; , a second calculation for calculating an overall security achievement level that is a ratio of the sum of the highest first evaluation point total to the highest seventh evaluation point total and the total of the first evaluation point total to the seventh evaluation point total; and an output unit that outputs calculation results calculated by the first calculation unit and the second calculation unit.

また、本発明のセキュリティ診断システムは、前記第1評価点~前記第7評価点はマイナス点を含むことを特徴とする。 Further, the security diagnosis system of the present invention is characterized in that the first to seventh evaluation points include negative points.

また、本発明のセキュリティ診断システムは、前記第1質問~前記第7質問の中の1つの質問である第1所定質問が、前記第1所定質問と異なる前記項目における前記第1質問~前記第7質問の中の少なくとも1つの質問である第2所定質問と同一の質問であり、前記第1所定質問に設定される複数の選択肢である第1所定選択肢は、前記第2所定質問に設定される複数の選択肢である第2所定選択肢と同一の選択肢であり、前記第1所定選択肢に設定される第1所定評価点は、前記第2所定選択肢に設定される第2所定評価点と異なり、前記読込部は、前記入力部に入力された前記第1所定選択肢に設定された前記第1所定評価点を読み込むと共に、前記入力部に入力された前記第1所定選択肢と同一の前記第2所定選択肢に設定された前記第2所定評価点を読み込むことを特徴とする。 Further, in the security diagnosis system of the present invention, the first predetermined question, which is one of the first to seventh questions, is different from the first predetermined question. The first predetermined option, which is the same question as the second predetermined question, which is at least one question among the seven questions, and which is a plurality of options set in the first predetermined question, is The first predetermined evaluation point set for the first predetermined option is the same option as the second predetermined option which is a plurality of options, and the first predetermined evaluation point set for the second predetermined option is different from the second predetermined evaluation point set for the second predetermined option, The reading unit reads the first predetermined evaluation point set to the first predetermined option input to the input unit, and reads the second predetermined evaluation score that is the same as the first predetermined option input to the input unit. The method is characterized in that the second predetermined evaluation points set in the options are read.

また、本発明のセキュリティ診断システムは、前記第1質問~前記第7質問に対する補足事項を入力する入力欄を前記表示部に表示させる表示制御部と、前記入力部により前記入力欄に入力される前記補足事項の文字列から予め設定されているキーワードを抽出する抽出部と、を更に備え、前記第1算出部は、前記抽出部により抽出された前記キーワードに基づいて、前記読込部により読み込まれた前記第1評価点~前記第7評価点を加算または減算することを特徴とする。 Further, the security diagnosis system of the present invention includes a display control unit that causes the display unit to display an input field for inputting supplementary matters for the first to seventh questions, and a display control unit that displays input fields for inputting supplementary matters for the first to seventh questions, and a The first calculation section further includes an extraction section that extracts a preset keyword from the character string of the supplementary information, and the first calculation section is configured to read the keywords that are read by the reading section based on the keywords extracted by the extraction section. The method is characterized in that the first evaluation point to the seventh evaluation point are added or subtracted.

また、本発明のセキュリティ診断システムは、前記第1記憶部が、前記第1質問毎に設定される前記パソコン端末に関するセキュリティ評価についてのアドバイスを含む第1アドバイスを更に記憶し、前記第2記憶部は、前記第2質問毎に設定される前記携帯電話端末に関するセキュリティ評価についてのアドバイスを含む第2アドバイスを更に記憶し、前記第3記憶部は、前記第3質問毎に設定される前記サーバに関するセキュリティ評価についてのアドバイスを含む第3アドバイスを更に記憶し、前記第4記憶部は、前記第4質問毎に設定される前記ネットワークに関するセキュリティ評価についてのアドバイスを含む第4アドバイスを更に記憶し、前記第5記憶部は、前記第5質問毎に設定される前記ウェブサイトに関するセキュリティ評価についてのアドバイスを含む第5アドバイスを更に記憶し、前記第6記憶部は、前記第6質問毎に設定される前記物理的情報に関するセキュリティ評価についてのアドバイスを含む第6アドバイスを更に記憶し、前記第7記憶部は、前記第7質問毎に設定される前記社内ルール・規則・教育に関するセキュリティ評価についてのアドバイスを含む第7アドバイスを更に記憶し、前記出力部は、前記算出結果と共に前記第1アドバイス~前記第7アドバイスを出力することを特徴とする。 Further, in the security diagnosis system of the present invention, the first storage further stores first advice including advice regarding security evaluation regarding the personal computer terminal set for each first question, and the second storage further stores second advice including advice regarding security evaluation regarding the mobile phone terminal set for each second question, and the third storage unit further stores second advice including advice regarding security evaluation regarding the mobile phone terminal set for each third question; further stores third advice including advice regarding security evaluation; the fourth storage unit further stores fourth advice including advice regarding security evaluation regarding the network set for each fourth question; The fifth storage unit further stores fifth advice including advice regarding security evaluation regarding the website that is set for each fifth question, and the sixth storage unit further stores fifth advice that is set for each fifth question. further storing sixth advice including advice regarding security evaluation regarding the physical information, and the seventh storage unit storing advice regarding security evaluation regarding the internal rules, regulations, and education set for each of the seventh questions; It is characterized in that it further stores a seventh advice including the above, and the output unit outputs the first advice to the seventh advice together with the calculation result.

また、本発明のセキュリティ診断システムは、前記第1アドバイスが、前記第1選択肢毎に前記パソコン端末に関するセキュリティ評価についての異なるアドバイスを含み、前記第2アドバイスは、前記第2選択肢毎に前記携帯電話端末に関するセキュリティ評価についての異なるアドバイスを含み、前記第3アドバイスは、前記第3選択肢毎に前記サーバに関するセキュリティ評価についての異なるアドバイスを含み、前記第4アドバイスは、前記第4選択肢毎に前記ネットワークに関するセキュリティ評価についての異なるアドバイスを含み、前記第5アドバイスは、前記第5選択肢毎に前記ウェブサイトに関するセキュリティ評価についての異なるアドバイスを含み、前記第6アドバイスは、前記第6選択肢毎に前記物理的情報に関するセキュリティ評価についての異なるアドバイスを含み、前記第7アドバイスは、前記第7選択肢毎に前記社内ルール・規則・教育に関するセキュリティ評価についての異なるアドバイスを含み、前記読込部は、前記入力部から入力された前記第1選択肢の前記第1アドバイスを前記第1記憶部から読み込み、前記入力部から入力された前記第2選択肢の前記第2アドバイスを前記第2記憶部から読み込み、前記入力部から入力された前記第3選択肢の前記第3アドバイスを前記第3記憶部から読み込み、前記入力部から入力された前記第4選択肢の前記第4アドバイスを前記第4記憶部から読み込み、前記入力部から入力された前記第5選択肢の前記第5アドバイスを前記第5記憶部から読み込み、前記入力部から入力された前記第6選択肢の前記第6アドバイスを前記第6記憶部から読み込み、前記入力部から入力された前記第7選択肢の前記第7アドバイスを前記第7記憶部から読み込み、前記出力部は、前記算出結果と共に、前記読込部により読み込まれた前記第1アドバイス~前記第7アドバイスを出力することを特徴とする。 Further, in the security diagnosis system of the present invention, the first advice includes different advice regarding the security evaluation regarding the personal computer terminal for each of the first options, and the second advice includes different advice regarding the security evaluation of the personal computer terminal for each of the second options. The third advice includes different advice regarding the security evaluation regarding the terminal for each of the third options, and the fourth advice includes different advice regarding the security evaluation regarding the server for each of the fourth options. The fifth advice includes different advice regarding the security evaluation regarding the website for each of the fifth options, and the sixth advice includes different advice regarding the security evaluation regarding the website for each of the fifth options, and the sixth advice includes different advice regarding the security evaluation regarding the website for each of the fifth options. The seventh advice includes different advice regarding the security evaluation regarding the company rules/regulations/education for each of the seventh options, and the reading section is configured to receive information input from the input section. reads the first advice of the first option selected from the first storage unit, reads the second advice of the second option inputted from the input unit from the second storage unit, and reads the second advice inputted from the input unit from the second storage unit. reads the third advice of the third option input from the third storage section, reads the fourth advice of the fourth option input from the input section from the fourth storage section, and reads the fourth advice input from the input section. reads the fifth advice of the fifth option input from the fifth storage unit, reads the sixth advice of the sixth option input from the input unit from the sixth storage unit, and reads the sixth advice input from the input unit. The seventh advice of the seventh option is read from the seventh storage unit, and the output unit outputs the first advice to seventh advice read by the reading unit together with the calculation result. Features.

また、本発明のセキュリティ診断システムは、前記読込部により読み込まれた前記第1評価点の中で低い低第1評価点、前記第2評価点の中で低い低第2評価点、前記第3評価点の中で低い低第3評価点、前記第4評価点の中で低い低第4評価点、前記第5評価点の中で低い低第5評価点、前記第6評価点の中で低い低第6評価点、及び前記第7評価点の中で低い低第7評価点の中で、前記企業の業種及び規模から前記セキュリティリスクが高い前記低第1評価点~前記低第7評価点を少なくとも1つ選出する選出部を更に備え、前記出力部は、前記算出結果と共に、前記選出部により選出された選出結果を出力することを特徴とする。 The security diagnosis system of the present invention further includes a low first evaluation point that is lower among the first evaluation points read by the reading section, a low second evaluation point that is lower among the second evaluation points, and a third low evaluation point that is lower among the second evaluation points. A low 3rd evaluation point that is the lowest among the evaluation points, a low 4th evaluation point that is the lowest among the 4th evaluation points, a low 5th evaluation point that is the lowest among the 5th evaluation points, and a low 5th evaluation point that is the lowest among the 6th evaluation points. Among the low 6th evaluation points, and the low 7th evaluation points among the 7th evaluation points, the low 1st evaluation point to the low 7th evaluation point where the security risk is high based on the industry and size of the company. The method further includes a selection section that selects at least one point, and the output section outputs the selection result selected by the selection section together with the calculation result.

本発明のセキュリティ診断システムによれば、企業のセキュリティリスクを網羅的に把握することができる。 According to the security diagnosis system of the present invention, it is possible to comprehensively understand the security risks of a company.

第1の実施の形態に係るセキュリティ診断システムの構成を示すブロック図である。FIG. 1 is a block diagram showing the configuration of a security diagnosis system according to a first embodiment. 第1の実施の形態に係るセキュリティ診断システムが備える第1記憶部のデータベースについて説明するための図である。FIG. 3 is a diagram for explaining a database of a first storage unit included in the security diagnosis system according to the first embodiment. 第1の実施の形態に係るセキュリティ診断システムが備える表示部に表示される画面の一例を示す図である。FIG. 3 is a diagram showing an example of a screen displayed on a display unit included in the security diagnosis system according to the first embodiment. 第1の実施の形態に係るセキュリティ診断システムにおいて企業のセキュリティリスクを診断する際に実行する処理について説明するためのフローチャートである。2 is a flowchart for explaining processing executed when diagnosing security risks of a company in the security diagnosis system according to the first embodiment. 第1の実施の形態に係るセキュリティ診断システムにおいて第1セキュリティ達成度を算出する際に実行する処理について説明するためのフローチャートである。2 is a flowchart for explaining processing executed when calculating a first security achievement level in the security diagnosis system according to the first embodiment. 第2の実施の形態に係るセキュリティ診断システムの構成を示すブロック図である。FIG. 2 is a block diagram showing the configuration of a security diagnosis system according to a second embodiment. 第2の実施の形態に係るセキュリティ診断システムが備える第1記憶部のデータベースについて説明するための図である。FIG. 7 is a diagram for explaining a database of a first storage unit included in a security diagnosis system according to a second embodiment. 第2の実施の形態に係るセキュリティ診断システムが備える第1記憶部及び第3記憶部のデータベースについて説明するための図である。FIG. 7 is a diagram for explaining databases in a first storage unit and a third storage unit included in the security diagnosis system according to the second embodiment.

以下、図面を参照して本発明の第1の実施の形態に係るセキュリティ診断システムについて説明する。図1は、第1の実施の形態に係るセキュリティ診断システムの構成を示すブロック図である。この実施の形態に係るセキュリティ診断システム2は、企業等のセキュリティリスクを診断するためのシステム、具体的には、組織としてのセキュリティ、人のセキュリティ、物理的に施すべきセキュリティ及び情報技術を用いたセキュリティを網羅的に把握するためのシステムであって、図1に示すように、セキュリティ診断システム2の各部を統括的に制御する制御部4を備えている。 A security diagnosis system according to a first embodiment of the present invention will be described below with reference to the drawings. FIG. 1 is a block diagram showing the configuration of a security diagnosis system according to a first embodiment. The security diagnosis system 2 according to this embodiment is a system for diagnosing security risks of companies, etc., specifically, a system for diagnosing security risks of companies, etc., specifically, a system for diagnosing security risks of companies, etc. This is a system for comprehensively understanding security, and as shown in FIG. 1, it is equipped with a control section 4 that centrally controls each section of the security diagnosis system 2.

制御部4には、第1記憶部6、第2記憶部8、第3記憶部10、第4記憶部12、第5記憶部14、第6記憶部16、第7記憶部18、出力部20、入力部26及び診断結果記憶部28が接続されている。 The control section 4 includes a first storage section 6, a second storage section 8, a third storage section 10, a fourth storage section 12, a fifth storage section 14, a sixth storage section 16, a seventh storage section 18, and an output section. 20, an input section 26, and a diagnosis result storage section 28 are connected.

第1記憶部6、第2記憶部8、第3記憶部10、第4記憶部12、第5記憶部14、第6記憶部16及び第7記憶部18のそれぞれは、企業のセキュリティリスクを診断するために用いられる7つの項目である(1)パソコン端末の運用におけるセキュリティ、(2)携帯電話端末の利用におけるセキュリティ、(3)サーバ及びクラウドサービス利用時のセキュリティ、(4)ネットワーク環境におけるセキュリティ、(5)ウェブサイトのセキュリティ、(6)事業継続計画を含む物理的情報におけるセキュリティ並びに(7)就業規則等の企業の社内ルール、企業の社内規則及び企業の社内教育の少なくとも一つを含むルール・規定・教育に関するセキュリティを把握するために必要な質問等を記憶する。 Each of the first storage unit 6, the second storage unit 8, the third storage unit 10, the fourth storage unit 12, the fifth storage unit 14, the sixth storage unit 16, and the seventh storage unit 18 is designed to prevent security risks for companies. The seven items used for diagnosis are (1) security in the operation of PC terminals, (2) security in the use of mobile phone terminals, (3) security in the use of servers and cloud services, and (4) security in the network environment. security, (5) website security, (6) security of physical information including business continuity plans, and (7) company internal rules such as work regulations, company internal rules, and company internal training. Memorize the questions, etc. necessary to understand the rules, regulations, and security related to education.

まず第1記憶部6は、パソコン端末用データベースを有し、例えば図2に示すように、パソコン端末の運用におけるセキュリティ評価に関する質問である複数の第1質問A,B,C…及び第1質問A,B,C…毎に設定され該第1質問A,B,C…のそれぞれに係る助言等を含む第1アドバイスA,B,C…、第1質問A,B,C…毎に設定される該第1質問A,B,C…に対する回答の選択肢である第1選択肢A-1,A-2,A-3,N/A(該当なし);第1選択肢B-1,B-2,B-3,B-4,N/A(該当なし);第1選択肢C-1,C-2,C-3,N/A(該当なし)…、並びに第1選択肢毎に設定された評価点である第1評価点1,2,0;第1評価点5,2,0,-5…;第1評価点0,3,1を記憶している。 First, the first storage unit 6 has a database for personal computer terminals, and as shown in FIG. Set for each first question A, B, C... and first question A, B, C... including advice etc. for each of the first questions A, B, C... 1st options A-1, A-2, A-3, N/A (not applicable); 1st options B-1, B- 2, B-3, B-4, N/A (not applicable); 1st option C-1, C-2, C-3, N/A (not applicable)... and set for each 1st option. The first evaluation points 1, 2, 0; the first evaluation points 5, 2, 0, -5, . . . ; the first evaluation points 0, 3, 1 are stored.

なお、第1質問A,B…の例としては「使用中のオペレーティングシステムの種類はなんですか?」が挙げられ、第1アドバイスA,B…の例としては「…の状態にしておきましょう。…を管理しましょう。」等の各質問に関連する事項のセキュリティ対策においてあるべき姿や助言が挙げられる。 An example of the first question A, B... is ``What type of operating system are you using?'' and an example of the first advice A, B... is ``Let's leave it in the... "Let's manage...", etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc., etc..

また、第1評価点は、パソコン端末におけるセキュリティ評価の度合に応じて設定される。例えば、第1質問Aの回答として第1選択肢A-2を選択した場合、第1選択肢A-2は他の第1選択肢A-1及びA-3よりパソコン端末のセキュリティ評価が高いため、第1選択肢A-2の第1評価点は、図2に示すように、他の第1選択肢A-1及びA-3の第1評価点より高く設定される。また、第1質問Bの回答は第1質問Aの回答よりパソコン端末のセキュリティ評価において重要度が高いため、第1質問Bの最もセキュリティ評価が高い第1選択肢B-1の第1評価点(5点)は、第1質問Aの最もセキュリティ評価が高い第1選択肢A-2の第1評価点(2点)より高く設定される。 Further, the first evaluation point is set according to the degree of security evaluation at the personal computer terminal. For example, if the first option A-2 is selected as the answer to the first question A, the first option A-2 has a higher security evaluation of the computer terminal than the other first options A-1 and A-3, so As shown in FIG. 2, the first evaluation point of one option A-2 is set higher than the first evaluation points of the other first options A-1 and A-3. In addition, since the answer to the first question B is more important than the answer to the first question A in the security evaluation of the computer terminal, the first evaluation point for the first option B-1, which has the highest security evaluation for the first question B ( 5 points) is set higher than the first evaluation point (2 points) of the first option A-2, which has the highest security evaluation for the first question A.

第2記憶部8は、携帯電話端末用データベースを有し、第1記憶部6と同様に、携帯電話端末の利用におけるセキュリティ評価に関する質問である複数の第2質問及び第2質問毎に設定され該第2質問のそれぞれに係るあるべき姿及び助言等を含む第2アドバイス、第2質問毎に設定される該第2質問に対する回答の選択肢である第2選択肢、並びに第2選択肢毎に設定された評価点である第2評価点を記憶している。第2評価点は、第1評価点と同様に、携帯電話端末のセキュリティ評価の度合に応じて設定される。 The second storage unit 8 has a database for mobile phone terminals, and similarly to the first storage unit 6, the second storage unit 8 has a database for a plurality of second questions, which are questions related to security evaluation in the use of mobile phone terminals, and is set for each second question. Second advice that includes the ideal state and advice related to each of the second questions, second options that are answer options to the second questions set for each second question, and second options that are set for each second question. The second evaluation point is stored. The second evaluation point, like the first evaluation point, is set according to the degree of security evaluation of the mobile phone terminal.

第3記憶部10は、サーバ用データベースを有し、第1記憶部6と同様に、サーバ及びクラウドサービス利用時のセキュリティ評価に関する質問である複数の第3質問及び第3質問毎に設定され該第3質問のそれぞれに係るあるべき姿及び助言等を含む第3アドバイス、第3質問毎に設定される該第3質問に対する回答の選択肢である第3選択肢、並びに第3選択肢毎に設定された評価点である第3評価点を記憶している。第3評価点は、第1評価点と同様に、サーバのセキュリティ評価の度合に応じて設定される。 The third storage unit 10 has a server database, and similarly to the first storage unit 6, the third storage unit 10 has a plurality of third questions, which are questions regarding security evaluation when using the server and cloud services, and is set for each third question. 3rd advice including the ideal state and advice related to each 3rd question, 3rd option which is an answer option to the 3rd question set for each 3rd question, and 3rd option set for each 3rd option. A third evaluation point, which is an evaluation point, is stored. The third evaluation point, like the first evaluation point, is set according to the degree of security evaluation of the server.

第4記憶部12は、ネットワーク用データベースを有し、第1記憶部6と同様に、ネットワーク環境のセキュリティ評価に関する質問である複数の第4質問及び第4質問毎に設定され該第4質問のそれぞれに係る助言等を含む第4アドバイス、第4質問毎に設定される該第4質問に対する回答の選択肢である第4選択肢、並びに第4選択肢毎に設定された評価点である第4評価点を記憶している。第4評価点は、第1評価点と同様に、ネットワークのセキュリティ評価の度合に応じて設定される。 The fourth storage unit 12 has a network database, and similarly to the first storage unit 6, a plurality of fourth questions, which are questions related to security evaluation of the network environment, are set for each fourth question. 4th advice including advice etc. related to each, 4th option which is an answer option to the 4th question set for each 4th question, and 4th evaluation point which is an evaluation point set for each 4th option. I remember. Like the first evaluation point, the fourth evaluation point is set according to the degree of network security evaluation.

第5記憶部14は、ウェブサイト用データベースを有し、第1記憶部6と同様に、ウェブサイトのセキュリティ評価に関する質問である複数の第5質問及び第5質問毎に設定され該第5質問のそれぞれに係るあるべき姿及び助言等を含む第5アドバイス、第5質問毎に設定される該第5質問に対する回答の選択肢である第5選択肢、並びに第5選択肢毎に設定された評価点である第5評価点を記憶している。第5評価点は、第1評価点と同様に、ウェブサイトのセキュリティ評価の度合に応じて設定される。 The fifth storage unit 14 has a database for websites, and similarly to the first storage unit 6, a plurality of fifth questions, which are questions related to website security evaluation, are set for each fifth question. 5th advice that includes the ideal state and advice related to each of the above, 5th option that is an answer option to the 5th question set for each 5th question, and evaluation points set for each 5th option. I remember a certain fifth evaluation point. Like the first evaluation point, the fifth evaluation point is set according to the degree of security evaluation of the website.

第6記憶部16は、物理的情報用データベースを有し、第1記憶部6と同様に、物理的情報におけるセキュリティ評価に関する質問である複数の第6質問及び第6質問毎に設定され該第6質問のそれぞれに係る助言等を含む第6アドバイス、第6質問毎に設定される該第6質問に対する回答の選択肢である第6選択肢、並びに第6選択肢毎に設定された評価点である第6評価点を記憶している。第6評価点は、第1評価点と同様に、物理的情報のセキュリティ評価の度合に応じて設定される。 The sixth storage unit 16 has a database for physical information, and similarly to the first storage unit 6, the sixth storage unit 16 has a plurality of sixth questions, which are questions regarding security evaluation of physical information, and the sixth questions are set for each sixth question. 6th advice including advice regarding each of the 6 questions, 6th option which is an answer option to the 6th question set for each 6th question, and 6th option which is an evaluation point set for each 6th option. 6 evaluation points are memorized. Like the first evaluation point, the sixth evaluation point is set according to the degree of security evaluation of physical information.

第7記憶部18は、社内ルール・規則・教育用データベースを有し、第1記憶部6と同様に、社内ルール・規則・教育等におけるセキュリティ評価に関する質問である複数の第7質問及び第7質問毎に設定され該第7質問のそれぞれに係るあるべき姿及び助言等を含む第7アドバイス、第7質問毎に設定される該第7質問に対する回答の選択肢である第7選択肢、並びに第7選択肢毎に設定された評価点である第7評価点を記憶している。第7評価点は、第1評価点と同様に、社内ルール・規則・教育のセキュリティ評価の度合に応じて設定される。 The seventh storage unit 18 has a database for internal rules, regulations, and education, and similarly to the first storage unit 6, the seventh storage unit 18 includes a plurality of seventh questions and seventh questions related to security evaluation in internal rules, regulations, education, etc. 7th advice that is set for each question and includes the ideal state and advice related to each of the 7th questions, 7th options that are answer options for the 7th questions that are set for each 7th question, and 7th advice A seventh evaluation point, which is an evaluation point set for each option, is stored. Like the first evaluation point, the seventh evaluation point is set according to the degree of security evaluation of internal rules, regulations, and education.

第1質問~第7質問の数はそれぞれの項目(パソコン端末、携帯電話端末、サーバ、ネットワーク、ウェブサイト、物理的情報、及び社内ルール・規則・教育)のセキュリティに関する重要度等により異なり、第1質問~第7質問に対する第1選択肢~第7選択肢の数も第1質問~第7質問の内容等により異なる。セキュリティ評価において他の項目より重要な項目については、その質問数も多くなる。また、第1評価点~第7評価点も第1選択肢~第7選択肢により異なり、プラス点のみならずマイナス点も含まれる。また、第1選択肢~第7選択肢として「該当なし」(N/A)が含まれる。これについての詳細は後述する。 The number of questions from 1st to 7th varies depending on the importance of security for each item (computer terminal, mobile phone terminal, server, network, website, physical information, and company rules/regulations/education). The numbers of the first to seventh choices for the first to seventh questions also vary depending on the content of the first to seventh questions. For items that are more important than other items in security evaluation, the number of questions will be larger. Furthermore, the first to seventh evaluation points vary depending on the first to seventh options, and include not only positive points but also negative points. In addition, “Not applicable” (N/A) is included as the first to seventh options. Details regarding this will be described later.

出力部20には、液晶パネル等の表示装置である表示部22、プリンター等の印刷部24が接続されている。出力部20は、制御部4からの指示に従い、セキュリティ診断時の入力フォーム22a(図3参照)を出力し、表示部22に表示させる。また、出力部20は、演算部32による算出結果に基づく各項目に関連するセキュリティ診断結果報告、並びに各項目のセキュリティ診断結果及び演算部32による算出結果を用いて作成される企業の全体的なセキュリティ診断結果報告等を出力し、表示部22に表示させ、印刷部24に印刷させる。入力部26は、キーボードやマウス等の入力装置であり、質問(第1質問~第7質問)毎に複数の選択肢(第1選択肢~第7選択肢)の中からユーザが選択する選択肢(第1選択肢~第7選択肢)を入力する。診断結果記憶部28は、セキュリティ診断システム2において診断された企業毎のセキュリティ診断結果を記憶する。 A display section 22, which is a display device such as a liquid crystal panel, and a printing section 24, such as a printer, are connected to the output section 20. The output unit 20 outputs an input form 22a (see FIG. 3) for security diagnosis according to instructions from the control unit 4, and causes the display unit 22 to display the input form 22a (see FIG. 3). The output unit 20 also outputs a security diagnosis result report related to each item based on the calculation result by the calculation unit 32, and an overall report of the company created using the security diagnosis result of each item and the calculation result by the calculation unit 32. A security diagnosis result report and the like are output, displayed on the display section 22, and printed on the printing section 24. The input unit 26 is an input device such as a keyboard or a mouse, and the input unit 26 is an input device such as a keyboard or a mouse. Option to 7th option). The diagnosis result storage unit 28 stores the security diagnosis results for each company diagnosed by the security diagnosis system 2.

図3は、セキュリティ診断時において表示部22の入力画面に表示される入力フォーム22aの一例を示す図である。図3に示すように、表示部22は、セキュリティ診断を開始するとき、出力部20を介して、第1記憶部6、第2記憶部8、第3記憶部10、第4記憶部12、第5記憶部14、第6記憶部16及び第7記憶部18に記憶されているすべての質問(第1質問~第7質問)及びすべての質問に対する回答であるすべての選択肢(第1選択肢~第7選択肢)を順次表示する。診断士はユーザに質問を投げかけ、ユーザからの回答に基づいて、複数の第1選択肢A-1,A-2,A-3及び該当なしの中から適切な回答である第1選択肢の左横のオプションボタンをマウスやキーボード等の入力装置を用いてクリックすることにより、第1質問について回答する(図3では第1選択肢A-2)。また診断士は、第1質問について回答するに当たり、診断士及び/またはユーザからの補足事項があれば、補足事項入力欄22bに入力装置を用いてテキストを入力する。また診断士は、入力フォーム22a右側部のスクロールバー22cをマウスやキーボード等の入力装置を用いて操作することにより、次の質問を表示させる。制御部4は、ユーザからの回答に基づき診断士により入力部26を用いて入力された第1選択肢~第7選択肢及び補足事項を取得する。 FIG. 3 is a diagram showing an example of an input form 22a displayed on the input screen of the display unit 22 during security diagnosis. As shown in FIG. 3, when starting the security diagnosis, the display unit 22 displays the first storage unit 6, second storage unit 8, third storage unit 10, fourth storage unit 12, All questions (1st question to 7th question) and all choices (1st choice to 7th question) that are answers to all questions stored in the fifth storage unit 14, sixth storage unit 16, and seventh storage unit 7th option) are displayed in sequence. The medical examiner asks a question to the user, and based on the user's answers, selects the appropriate answer from the multiple first options A-1, A-2, A-3, and Not Applicable to the left of the first option. By clicking the option button using an input device such as a mouse or keyboard, the first question is answered (first option A-2 in FIG. 3). Further, when the diagnostician answers the first question, if there is any supplementary information from the diagnostician and/or the user, the diagnostician inputs text into the supplementary information input field 22b using an input device. The diagnostician also displays the next question by operating the scroll bar 22c on the right side of the input form 22a using an input device such as a mouse or a keyboard. The control unit 4 acquires the first to seventh options and supplementary information input by the diagnostician using the input unit 26 based on the answer from the user.

制御部4は、図1に示すように、メモリ30、読込部31及び演算部32を備えている。メモリ30は演算処理用テーブル34を備えており、演算部32により演算処理するために必要な点数等を演算処理用テーブル34に一時的に記憶する。また、メモリ30には、演算部32において演算処理するための演算処理プログラム36が記憶されている。 The control section 4 includes a memory 30, a reading section 31, and a calculation section 32, as shown in FIG. The memory 30 includes an arithmetic processing table 34, and temporarily stores points and the like required for the arithmetic processing by the arithmetic unit 32 in the arithmetic processing table 34. The memory 30 also stores an arithmetic processing program 36 for performing arithmetic processing in the arithmetic unit 32.

読込部31は、質問(第1質問~第7質問)毎に複数の選択肢(第1選択肢~第7選択肢)に設定された評価点(第1評価点~第7評価点)の中で最も高い評価点である最高評価点を第1記憶部6、第2記憶部8、第3記憶部10、第4記憶部12、第5記憶部14、第6記憶部16及び第7記憶部18のそれぞれから読み込む。即ち、読込部31は、第1質問毎に第1評価点の中で最も高い最高第1評価点、第2質問毎に第2評価点の中で最も高い最高第2評価点、第3質問毎に第3評価点の中で最も高い最高第3評価点、第4質問毎に第4評価点の中で最も高い最高第4評価点、第5質問毎に第5評価点の中で最も高い最高第5評価点、第6質問毎に第6評価点の中で最も高い最高第6評価点、及び第7質問毎に第7評価点の中で最も高い最高第7評価点を読み込む。例えば、読込部32は、第1質問Aに係る最高第1評価点として2点、第1質問Bに係る最高第1評価点として5点、及び第1質問Cに係る最高第1評価点として3点を読み込む(図2参照)。 The reading unit 31 selects the highest score among the evaluation points (first evaluation point to seventh evaluation point) set for the plurality of options (first option to seventh option) for each question (first question to seventh question). The highest evaluation score, which is a high evaluation point, is stored in the first storage section 6, second storage section 8, third storage section 10, fourth storage section 12, fifth storage section 14, sixth storage section 16, and seventh storage section 18. Read from each. That is, the reading unit 31 selects the highest first evaluation point, which is the highest among the first evaluation points, for each first question, the highest second evaluation point, which is the highest among the second evaluation points, for each second question, and the third question. The highest 3rd evaluation point among the 3rd evaluation points for each question, the highest 4th evaluation point among the 4th evaluation points for every 4th question, and the highest among the 5th evaluation points for every 5th question. The highest highest 5th evaluation point, the highest 6th evaluation point among the 6th evaluation points for every 6th question, and the highest 7th evaluation point among the 7th evaluation points for every 7th question are read. For example, the reading unit 32 assigns 2 points as the highest first evaluation score for the first question A, 5 points as the highest first evaluation score for the first question B, and 5 points as the highest first evaluation score for the first question C. Load three points (see Figure 2).

また、読込部31は、入力部26から入力された選択肢(第1選択肢~第7選択肢)に設定された評価点(第1評価点~第7評価点)を第1記憶部6、第2記憶部8、第3記憶部10、第4記憶部12、第5記憶部14、第6記憶部16及び第7記憶部18のそれぞれから読み込む。例えば、読込部32は、第1質問Aでユーザが選択した第1選択肢A-2の第1評価点として2点、第1質問Bでユーザが選択した第1選択肢B-3の第1評価点として0点を読み込む(図2及び図3参照)。なお、入力部26より入力された第1選択肢が「該当なし」(N/A)であった場合、読込部31は、最高評価点(最高第1評価点~最高第7評価点)及び評価点(第1評価点~第7評価点)の双方を0点として読み込む。 The reading unit 31 also stores the evaluation points (first evaluation point to seventh evaluation point) set for the options (first option to seventh option) input from the input unit 26 in the first storage unit 6 and the second evaluation point. The information is read from each of the storage section 8, the third storage section 10, the fourth storage section 12, the fifth storage section 14, the sixth storage section 16, and the seventh storage section 18. For example, the reading unit 32 receives 2 points as the first evaluation point for the first option A-2 selected by the user in the first question A, and the first evaluation point for the first option B-3 selected by the user in the first question B. 0 point is read as a point (see FIGS. 2 and 3). Note that if the first option input from the input unit 26 is “Not Applicable” (N/A), the reading unit 31 will receive the highest evaluation score (highest 1st evaluation point to highest 7th evaluation point) and evaluation. Both points (1st evaluation point to 7th evaluation point) are read as 0 points.

第1算出部及び第2算出部として機能する演算部32は、パソコン端末に関するセキュリティ達成度である第1セキュリティ達成度、携帯電話端末に関するセキュリティ達成度である第2セキュリティ達成度、サーバに関するセキュリティ達成度である第3セキュリティ達成度、ネットワークに関するセキュリティ達成度である第4セキュリティ達成度、ウェブサイトに関するセキュリティ達成度である第5セキュリティ達成度、物理的情報に関するセキュリティ達成度である第6セキュリティ達成度、社内ルール・規則・教育に関するセキュリティ達成度である第7セキュリティ達成度、及び上記第1セキュリティ達成度~第7セキュリティ達成度を用いて企業の全体的なセキュリティ達成度を示す全体セキュリティ達成度を算出する。 The calculation unit 32, which functions as a first calculation unit and a second calculation unit, calculates a first security achievement level that is a security achievement level related to a personal computer terminal, a second security achievement level that is a security achievement level related to a mobile phone terminal, and a security achievement level related to a server. The third security achievement level is security achievement level, the fourth security achievement level is network security achievement level, the fifth security achievement level is website security achievement level, and the sixth security achievement level is security achievement level related to physical information. , the 7th security achievement level, which is the security achievement level regarding internal rules, regulations, and education, and the overall security achievement level, which shows the overall security achievement level of the company, using the above 1st security achievement level to 7th security achievement level. calculate.

例えば、第1質問Aの回答が第1選択肢A-2、第1質問Bの回答が第1選択肢B-3、第1質問Cの回答が第1選択肢C-3、…の場合について説明する。演算部32は、入力部26より入力されたすべての回答である第1選択肢A-2,B-3,C-3…の第1評価点2点、0点、1点…、即ち読込部31により読み込まれた第1評価点を合計した値(以下、第1評価点合計という)と、読込部31により読み込まれたすべての第1質問における最高第1評価点2点、5点、3点を合計した値(以下、最高第1評価点合計という)との比、即ち(第1評価点合計/最高第1評価点合計)×100を第1セキュリティ達成度として算出する。 For example, a case will be explained in which the answer to the first question A is the first option A-2, the answer to the first question B is the first option B-3, the answer to the first question C is the first option C-3, etc. . The calculation unit 32 calculates the first evaluation points of 2 points, 0 points, 1 point, etc. for the first choices A-2, B-3, C-3, etc., which are all the answers input from the input unit 26, that is, the reading unit 31 (hereinafter referred to as the first evaluation point total), and the highest first evaluation points of all the first questions read by the reading section 31: 2 points, 5 points, 3 points. The ratio of the sum of the points (hereinafter referred to as the maximum first evaluation point total), that is, (first evaluation point total/highest first evaluation point total) x 100, is calculated as the first security achievement level.

図4は、制御部4が企業のセキュリティリスクを診断する際に実行する処理について説明するためのフローチャートである。 FIG. 4 is a flowchart for explaining the processing that the control unit 4 executes when diagnosing the security risk of a company.

まず、制御部4は、出力部20を介して図3に示すような入力フォーム22aを表示部22に表示する(ステップS10)。次に、制御部4は、ユーザがすべての質問に回答した後(ステップS11、Yes)、第1セキュリティ達成度を算出し、パソコン端末に関するセキュリティ診断結果報告を作成する(ステップS12)。 First, the control unit 4 displays an input form 22a as shown in FIG. 3 on the display unit 22 via the output unit 20 (step S10). Next, after the user answers all the questions (Step S11, Yes), the control unit 4 calculates the first security achievement level and creates a security diagnosis result report regarding the personal computer terminal (Step S12).

図5は、制御部4の演算部32が第1セキュリティ達成度を算出する際に実行する処理について説明するためのフローチャートである。まず、演算部32は、第1質問Aに対する回答、即ち入力部26より入力された第1選択肢(A-1,A-2,A-3,該当なしのいずれか)を取得する(ステップS30)。次に、演算部32は、ステップS30において取得した第1選択肢が「該当なし(N/A)」であるか否かを判別する(ステップS31)。ステップS31において第1選択肢が「該当なし(N/A)」でないと判別された場合(ステップS31、No)、演算部32は、例えばステップS30において取得した第1選択肢がA-1であれば、第1選択肢A-1の第1評価点(この場合には1点、図2参照)を第1記憶部6から読み込み(ステップS32)、メモリ30の演算処理用テーブル34に一時的に記憶させる。更に、演算部32は、第1質問Aの最高第1評価点(この場合には第1選択肢A-2の第1評価点の2点)を第1記憶部6から読み込み(ステップS33)、メモリ30の演算処理用テーブル34に一時的に記憶させる。 FIG. 5 is a flowchart for explaining the process executed by the calculation unit 32 of the control unit 4 when calculating the first security achievement level. First, the calculation unit 32 obtains the answer to the first question A, that is, the first option (A-1, A-2, A-3, or not applicable) input from the input unit 26 (step S30 ). Next, the calculation unit 32 determines whether the first option acquired in step S30 is "not applicable (N/A)" (step S31). If it is determined in step S31 that the first option is not "not applicable (N/A)" (step S31, No), the calculation unit 32 calculates, for example, if the first option obtained in step S30 is A-1, , reads the first evaluation point (1 point in this case, see FIG. 2) of the first option A-1 from the first storage unit 6 (step S32) and temporarily stores it in the arithmetic processing table 34 of the memory 30. let Furthermore, the calculation unit 32 reads the highest first evaluation score of the first question A (in this case, the first evaluation score of the first option A-2, which is two points) from the first storage unit 6 (step S33), It is temporarily stored in the arithmetic processing table 34 of the memory 30.

一方、ステップS31において第1選択肢が「該当なし(N/A)」であると判別された場合(ステップS31、Yes)、演算部32は、第1質問Aの第1評価点及び最高第1評価点を共に0点とし(ステップS34)、メモリ30の演算処理用テーブル34に一時的に記憶させる。 On the other hand, if it is determined in step S31 that the first option is "not applicable (N/A)" (step S31, Yes), the calculation unit 32 calculates the first evaluation score for the first question A and the highest Both evaluation points are set to 0 (step S34), and are temporarily stored in the arithmetic processing table 34 of the memory 30.

演算部32は、すべての第1質問に対する回答(第1選択肢)、第1評価点及び最高第1評価点を取得するまで(ステップS35)、ステップS30~S34の処理を繰り返す。演算部32は、すべての第1評価点及び最高第1評価点を取得した後(ステップS35、Yes)、ステップS32において読み込んだすべての第1評価点を合計し(ステップS36)、ステップS33のおいて読み込んだすべての最高第1評価点を合計する(ステップS37)。演算部32は、ステップS36において算出した第1評価点合計とステップS37において算出した最高第1評価点合計との比、即ち達成率=(第1評価点合計/最高第1評価点合計)×100=を求め(ステップS38)、100点満点に対する点数として第1セキュリティ達成度を算出する。 The calculation unit 32 repeats the processes of steps S30 to S34 until it obtains the answers (first choices), first evaluation points, and maximum first evaluation points for all the first questions (step S35). After acquiring all the first evaluation points and the highest first evaluation point (step S35, Yes), the calculation unit 32 sums up all the first evaluation points read in step S32 (step S36), and then calculates the total of all the first evaluation points read in step S32 (step S36). All the highest first evaluation points read in are summed (step S37). The calculation unit 32 calculates the ratio between the first evaluation point total calculated in step S36 and the highest first evaluation point total calculated in step S37, that is, achievement rate=(first evaluation point total/highest first evaluation point total)× 100= is calculated (step S38), and the first security achievement level is calculated as a score out of 100 points.

制御部4は、すべての第1質問を、セキュリティ対策プラス要因である第1質問と、セキュリティ対策マイナス要因である第1質問とに振り分ける。具体的には、回答として選択した第1選択肢の第1評価点が基準点以上である場合、制御部4は、その第1質問をセキュリティ対策プラス要因である第1質問と判断する。一方、回答として選択した第1選択肢の第1評価点が基準点未満である場合、制御部4は、その第1質問をセキュリティ対策マイナス要因である第1質問と判断する。基準点は、予め設定されメモリ30等に記憶されており、変更可能である。この実施の形態において基準点は0点に設定されている。具体的には、制御部4は、すべての第1質問A,B,C…、その回答(第1選択肢)、すべての第1アドバイスA,B,C…及びすべての補足事項を第1記憶部6から読み込み、ステップS32において読み込んだ第1評価点が基準点以上である第1質問、第1選択肢、第1アドバイス及び補足事項をセキュリティ対策プラス要因として、第1評価点が基準点未満である第1質問、第1選択肢、第1アドバイス及び補足事項をセキュリティ対策マイナス要因として振り分ける。そして、制御部4は、演算部32により算出された算出結果である第1セキュリティ達成度、セキュリティプラス要因である第1質問、第1選択肢、第1アドバイス及び補足事項のプラス要因一覧、並びにセキュリティマイナス要因である第1質問、第1選択肢、第1アドバイス及び補足事項のマイナス要因一覧を含むパソコン端末に関するセキュリティ診断結果報告を作成し、診断結果記憶部28に記憶させる。 The control unit 4 sorts all the first questions into first questions that are positive factors for security measures and first questions that are negative factors for security measures. Specifically, when the first evaluation score of the first option selected as an answer is equal to or higher than the reference score, the control unit 4 determines that the first question is the first question that is a security measure plus factor. On the other hand, if the first evaluation score of the first option selected as an answer is less than the reference score, the control unit 4 determines that the first question is a first question that is a negative factor for security measures. The reference point is set in advance and stored in the memory 30 or the like, and can be changed. In this embodiment, the reference point is set to zero. Specifically, the control unit 4 stores all first questions A, B, C..., their answers (first choices), all first advice A, B, C... and all supplementary matters in the first memory. The first question, the first option, the first advice, and the supplementary information read from part 6 and read in step S32 are above the reference point, and the first evaluation point is less than the reference point. A certain first question, first option, first advice, and supplementary matters are classified as negative factors for security measures. Then, the control unit 4 calculates the first security achievement degree which is the calculation result calculated by the calculation unit 32, the first question which is the security positive factor, the first option, the first advice and the list of positive factors such as supplementary matters, and the security A security diagnosis result report regarding the personal computer terminal including a list of negative factors including the first question, first option, first advice, and supplementary items, which are negative factors, is created and stored in the diagnosis result storage unit 28.

次に、制御部4は、第2セキュリティ達成度を算出し、携帯電話端末に関するセキュリティ診断結果報告を作成する(ステップS13)。即ち、演算部32は、ステップS12における処理と同様の処理を実行する。具体的には、演算部32は、第2質問に対する回答(入力部26より入力された第2選択肢)を取得し、第2選択肢が「該当なし(N/A)」でない場合、第2選択肢の第2評価点及び最高第2評価点を第2記憶部8から読み込み、第2選択肢が「該当なし(N/A)」である場合、第2質問の第2評価点及び最高第2評価点を共に0点とする。演算部32は、これをすべての第2質問に対する回答(入力部26より入力された第2選択肢)について繰り返すことにより、すべての第2評価点及び最高第2評価点を取得した後、すべての第2評価点を合計した第2評価点合計と、すべての最高第2評価点を合計した最高第2評価点合計との比、即ち達成率=(第2評価点合計/最高第2評価点合計)×100=を求め、100点満点に対する点数として第2セキュリティ達成度を算出する。 Next, the control unit 4 calculates the second security achievement level and creates a security diagnosis result report regarding the mobile phone terminal (step S13). That is, the calculation unit 32 executes the same process as the process in step S12. Specifically, the calculation unit 32 obtains the answer to the second question (the second option input from the input unit 26), and if the second option is not “Not applicable (N/A)”, the calculation unit 32 selects the second option. The second evaluation point and the highest second evaluation point of the second question are read from the second storage unit 8, and if the second option is "Not applicable (N/A)", the second evaluation point and the highest second evaluation point of the second question are read from the second storage unit 8. Both points are set as 0 points. By repeating this for all the answers to the second questions (the second choices input from the input unit 26), the calculation unit 32 acquires all the second evaluation points and the highest second evaluation points, and then calculates all the second evaluation points. The ratio of the total second evaluation points, which is the sum of the second evaluation points, and the highest total second evaluation point, which is the sum of all the highest second evaluation points, that is, the achievement rate = (total second evaluation points / highest second evaluation point) total)×100=, and calculate the second security achievement level as a score out of 100 points.

制御部4は、すべての第2質問、その回答(第2選択肢)、すべての第2アドバイス及びすべての補足事項を第2記憶部8から読み込み、第2評価点が基準点以上である第2質問、第2選択肢、第2アドバイス及び補足事項をセキュリティ対策プラス要因として、第2評価点が基準点未満である第2質問、第2選択肢、第2アドバイス及び補足事項をセキュリティ対策マイナス要因として振り分ける。そして、制御部4は、演算部32により算出された算出結果である第2セキュリティ達成度、セキュリティプラス要因である第2質問、第2選択肢、第2アドバイス及び補足事項のプラス要因一覧、並びにセキュリティマイナス要因である第2質問、第2選択肢、第2アドバイス及び補足事項のマイナス要因一覧を含む携帯電話端末に関するセキュリティ診断結果報告を作成し、診断結果記憶部28に記憶させる。 The control unit 4 reads all the second questions, their answers (second choices), all the second advice, and all the supplementary matters from the second storage unit 8, and selects the second question whose second evaluation score is equal to or higher than the reference score. Questions, second options, second advice, and supplementary matters are classified as positive factors for security measures, and second questions, second choices, second advice, and supplementary matters for which the second evaluation score is less than the standard score are classified as negative factors for security measures. . Then, the control unit 4 calculates the second security achievement degree which is the calculation result calculated by the calculation unit 32, the second question which is the security positive factor, the second option, the second advice, and the list of positive factors such as the supplementary matters, and the security A security diagnosis result report regarding the mobile phone terminal including a list of negative factors such as the second question, second option, second advice, and supplementary items, which are negative factors, is created and stored in the diagnosis result storage unit 28.

次に、制御部4は、第3セキュリティ達成度を算出し、サーバに関するセキュリティ診断結果報告を作成する(ステップS14)。即ち、演算部32は、ステップS12における処理と同様の処理を実行する。具体的には、演算部32は、第3質問に対する回答(入力部26より入力された第3選択肢)を取得し、第3選択肢が「該当なし(N/A)」でない場合、第3選択肢の第3評価点及び最高第3評価点を第3記憶部10から読み込み、第3選択肢が「該当なし(N/A)」である場合、第3質問の第3評価点及び最高第3評価点を共に0点とする。演算部32は、これをすべての第3質問に対する回答(入力部26より入力された第3選択肢)について繰り返すことにより、すべての第3評価点及び最高第3評価点を取得した後、すべての第3評価点を合計した第3評価点合計と、すべての最高第3評価点を合計した最高第3評価点合計との比、即ち達成率=(第3評価点合計/最高第3評価点合計)×100=を求め、100点満点に対する点数として第3セキュリティ達成度を算出する。 Next, the control unit 4 calculates the third security achievement level and creates a security diagnosis result report regarding the server (step S14). That is, the calculation unit 32 executes the same process as the process in step S12. Specifically, the calculation unit 32 obtains the answer to the third question (the third option input from the input unit 26), and if the third option is not “Not applicable (N/A)”, the calculation unit 32 The third evaluation point and the highest third evaluation point of the third question are read from the third storage unit 10, and if the third option is "Not applicable (N/A)", the third evaluation point and the highest third evaluation point of the third question are read from the third storage unit 10. Both points are set as 0 points. By repeating this for all the answers to the third questions (the third choices input from the input unit 26), the calculation unit 32 obtains all the third evaluation points and the highest third evaluation points, and then calculates all the answers to the third questions. The ratio of the total 3rd evaluation points, which is the sum of the 3rd evaluation points, and the maximum 3rd evaluation point, which is the sum of all the highest 3rd evaluation points, that is, the achievement rate = (total 3rd evaluation points / highest 3rd evaluation point) total)×100=, and calculate the third security achievement level as a score out of 100 points.

制御部4は、すべての第3質問、その回答(第3選択肢)、すべての第3アドバイス及びすべての補足事項を第3記憶部10から読み込み、第3評価点が基準点以上である第3質問、第3選択肢、第3アドバイス及び補足事項をセキュリティ対策プラス要因として、第3評価点が基準点未満である第3質問、第3選択肢、第3アドバイス及び補足事項をセキュリティ対策マイナス要因として振り分ける。そして、制御部4は、演算部32により算出された算出結果である第3セキュリティ達成度、セキュリティプラス要因である第3質問、第3選択肢、第3アドバイス及び補足事項のプラス要因一覧、並びにセキュリティマイナス要因である第3質問、第3選択肢、第3アドバイス及び補足事項のマイナス要因一覧を含むサーバに関するセキュリティ診断結果報告を作成し、診断結果記憶部28に記憶させる。 The control unit 4 reads all the third questions, their answers (third choices), all the third advice, and all the supplementary matters from the third storage unit 10, and reads the third questions whose third evaluation points are equal to or higher than the reference points. Questions, third options, third advice, and supplementary matters are classified as positive factors for security measures, and third questions, third options, third advice, and supplementary matters for which the third evaluation score is less than the standard score are classified as negative factors for security measures. . The control unit 4 then outputs the third security achievement degree which is the calculation result calculated by the calculation unit 32, the third question which is the security plus factor, the third option, the third advice and the list of plus factors such as the supplementary matters, and the security A security diagnosis result report regarding the server including a list of negative factors including the third question, third option, third advice, and supplementary matters, which are negative factors, is created and stored in the diagnosis result storage unit 28.

次に、制御部4は、第4セキュリティ達成度を算出し、ネットワークに関するセキュリティ診断結果報告を作成する(ステップS15)。即ち、演算部32は、ステップS12における処理と同様の処理を実行する。具体的には、演算部32は、第4質問に対する回答(入力部26より入力された第4選択肢)を取得し、第4選択肢が「該当なし(N/A)」でない場合、第4選択肢の第4評価点及び最高第4評価点を第4記憶部12から読み込み、第4選択肢が「該当なし(N/A)」である場合、第4質問の第4評価点及び最高第4評価点を共に0点とする。演算部32は、これをすべての第4質問に対する回答(入力部26より入力された第4選択肢)について繰り返すことにより、すべての第4評価点及び最高第4評価点を取得した後、すべての第4評価点を合計した第4評価点合計と、すべての最高第4評価点を合計した最高第4評価点合計との比、即ち達成率=(第4評価点合計/最高第4評価点合計)×100=を求め、100点満点に対する点数として第4セキュリティ達成度を算出する。 Next, the control unit 4 calculates the fourth security achievement level and creates a security diagnosis result report regarding the network (step S15). That is, the calculation unit 32 executes the same process as the process in step S12. Specifically, the calculation unit 32 obtains the answer to the fourth question (the fourth option input from the input unit 26), and if the fourth option is not “Not applicable (N/A)”, the calculation unit 32 selects the answer to the fourth question. The fourth evaluation point and the highest fourth evaluation point of the fourth question are read from the fourth storage unit 12, and if the fourth option is "Not applicable (N/A)", the fourth evaluation point and the highest fourth evaluation point of the fourth question are read. Both points are set as 0 points. The calculation unit 32 repeats this for all the answers to the fourth question (the fourth choice input from the input unit 26), and after acquiring all the fourth evaluation points and the highest fourth evaluation point, The ratio of the total 4th evaluation points, which is the sum of the 4th evaluation points, to the maximum 4th evaluation point, which is the sum of all the highest 4th evaluation points, that is, the achievement rate = (4th evaluation point total / highest 4th evaluation point) Total) x 100 = is calculated, and the fourth security achievement level is calculated as the score out of 100 points.

制御部4は、すべての第4質問、その回答(第4選択肢)、すべての第4アドバイス及びすべての補足事項を第4記憶部12から読み込み、第4評価点が基準点以上である第4質問、第4選択肢、第4アドバイス及び補足事項をセキュリティ対策プラス要因として、第4評価点が基準点未満である第4質問、第4選択肢、第4アドバイス及び補足事項をセキュリティ対策マイナス要因として振り分ける。そして、制御部4は、演算部32により算出された算出結果である第4セキュリティ達成度、セキュリティプラス要因である第4質問、第4選択肢、第4アドバイス及び補足事項のプラス要因一覧、並びにセキュリティマイナス要因である第4質問、第4選択肢、第4アドバイス及び補足事項のマイナス要因一覧を含むネットワークに関するセキュリティ診断結果報告を作成し、診断結果記憶部28に記憶させる。 The control unit 4 reads all the fourth questions, their answers (fourth choices), all the fourth advice, and all supplementary matters from the fourth storage unit 12, and selects the fourth question whose fourth evaluation score is equal to or higher than the reference score. The question, 4th option, 4th advice, and supplementary matters are classified as positive factors for security measures, and the 4th question, 4th choice, 4th advice, and supplementary matters for which the 4th evaluation score is less than the standard score are classified as negative factors for security measures. . The control unit 4 then outputs the fourth security achievement level which is the calculation result calculated by the calculation unit 32, the fourth question which is the security plus factor, the fourth option, the fourth advice and the list of plus factors including the supplementary matters, and the security A security diagnosis result report regarding the network including a list of negative factors including the fourth question, fourth option, fourth advice, and supplementary matters, which are negative factors, is created and stored in the diagnosis result storage unit 28.

次に、制御部4は、第5セキュリティ達成度を算出し、ウェブサイトに関するセキュリティ診断結果報告を作成する(ステップS16)。即ち、演算部32は、ステップS12における処理と同様の処理を実行する。具体的には、演算部32は、第5質問に対する回答(入力部26より入力された第5選択肢)を取得し、第5選択肢が「該当なし(N/A)」でない場合、第5選択肢の第5評価点及び最高第5評価点を第5記憶部14から読み込み、第5選択肢が「該当なし(N/A)」である場合、第5質問の第5評価点及び最高第5評価点を共に0点とする。演算部32は、これをすべての第5質問に対する回答(入力部26より入力された第5選択肢)について繰り返すことにより、すべての第5評価点及び最高第5評価点を取得した後、すべての第5評価点を合計した第5評価点合計と、すべての最高第5評価点を合計した最高第5評価点合計との比、即ち達成率=(第5評価点合計/最高第5評価点合計)×100=を求め、100点満点に対する点数として第5セキュリティ達成度を算出する。 Next, the control unit 4 calculates the fifth security achievement level and creates a security diagnosis result report regarding the website (step S16). That is, the calculation unit 32 executes the same process as the process in step S12. Specifically, the calculation unit 32 obtains the answer to the fifth question (the fifth option input from the input unit 26), and if the fifth option is not “Not applicable (N/A)”, the calculation unit 32 selects the answer to the fifth question. The fifth evaluation point and the highest fifth evaluation point of the fifth question are read from the fifth storage unit 14, and if the fifth option is "Not applicable (N/A)", the fifth evaluation point and the highest fifth evaluation point of the fifth question are read from the fifth storage unit 14. Both points are set as 0 points. The calculation unit 32 repeats this for all the answers to the fifth question (fifth choices input from the input unit 26), and after acquiring all the fifth evaluation points and the highest fifth evaluation point, The ratio of the total 5th evaluation points, which is the sum of the 5th evaluation points, and the maximum 5th evaluation point total, which is the summation of all the highest 5th evaluation points, that is, the achievement rate = (total 5th evaluation points / maximum 5th evaluation point Total) x 100 = is calculated, and the fifth security achievement level is calculated as the score out of 100 points.

制御部4は、すべての第5質問、その回答(第5選択肢)、すべての第5アドバイス及びすべての補足事項を第5記憶部14から読み込み、第5評価点が基準点以上である第5質問、第5選択肢、第5アドバイス及び補足事項をセキュリティ対策プラス要因として、第5評価点が基準点未満である第5質問、第5選択肢、第5アドバイス及び補足事項をセキュリティ対策マイナス要因として振り分ける。そして、制御部4は、演算部32により算出された算出結果である第5セキュリティ達成度、セキュリティプラス要因である第5質問、第5選択肢、第5アドバイス及び補足事項のプラス要因一覧、並びにセキュリティマイナス要因である第5質問、第5選択肢、第5アドバイス及び補足事項のマイナス要因一覧を含むウェブサイトに関するセキュリティ診断結果報告を作成し、診断結果記憶部28に記憶させる。 The control unit 4 reads all the fifth questions, their answers (fifth choices), all the fifth advice, and all the supplementary matters from the fifth storage unit 14, and selects the fifth question whose fifth evaluation score is equal to or higher than the reference score. The question, the 5th option, the 5th advice, and the supplementary matters are classified as positive factors for security measures, and the 5th question, 5th option, 5th advice, and supplementary matters for which the 5th evaluation score is less than the standard score are classified as negative factors for security measures. . Then, the control unit 4 calculates the fifth security achievement degree which is the calculation result calculated by the calculation unit 32, the fifth question which is the security positive factor, the fifth option, the fifth advice and the list of positive factors such as supplementary matters, and the security A security diagnosis result report regarding the website including a list of negative factors such as the fifth question, fifth option, fifth advice, and supplementary matters, which are negative factors, is created and stored in the diagnosis result storage unit 28.

次に、制御部4は、第6セキュリティ達成度を算出し、物理的情報に関するセキュリティ診断結果報告を作成する(ステップS17)。即ち、演算部32は、ステップS12における処理と同様の処理を実行する。具体的には、演算部32は、第6質問に対する回答(入力部26より入力された第6選択肢)を取得し、第6選択肢が「該当なし(N/A)」でない場合、第6選択肢の第6評価点及び最高第6評価点を第6記憶部16から読み込み、第6選択肢が「該当なし(N/A)」である場合、第6質問の第6評価点及び最高第6評価点を共に0点とする。演算部32は、これをすべての第6質問に対する回答(入力部26より入力された第6選択肢)について繰り返すことにより、すべての第6評価点及び最高第6評価点を取得した後、すべての第6評価点を合計した第6評価点合計と、すべての最高第6評価点を合計した最高第6評価点合計との比、即ち達成率=(第6評価点合計/最高第6評価点合計)×100=を求め、100点満点に対する点数として第6セキュリティ達成度を算出する。 Next, the control unit 4 calculates the sixth security achievement level and creates a security diagnosis result report regarding the physical information (step S17). That is, the calculation unit 32 executes the same process as the process in step S12. Specifically, the calculation unit 32 obtains the answer to the sixth question (the sixth option input from the input unit 26), and if the sixth option is not “Not applicable (N/A)”, The sixth evaluation point and the highest sixth evaluation point of the sixth question are read from the sixth storage unit 16, and if the sixth option is "Not applicable (N/A)", the sixth evaluation point and the highest sixth evaluation point of the sixth question are read from the sixth storage section 16. Both points are set as 0 points. By repeating this for all the answers to the sixth question (sixth choices input from the input unit 26), the calculation unit 32 acquires all the sixth evaluation points and the highest sixth evaluation point, and then calculates all the answers to the sixth question. The ratio of the total 6th evaluation points, which is the sum of the 6th evaluation points, and the maximum 6th evaluation point, which is the sum of all the highest 6th evaluation points, that is, the achievement rate = (total 6th evaluation points / highest 6th evaluation point) Total) x 100 = is calculated, and the sixth security achievement level is calculated as the score out of 100 points.

制御部4は、すべての第6質問、その回答(第6選択肢)、すべての第6アドバイス及びすべての補足事項を第6記憶部16から読み込み、第6評価点が基準点以上である第6質問、第6選択肢、第6アドバイス及び補足事項をセキュリティ対策プラス要因として、第6評価点が基準点未満である第6質問、第6選択肢、第6アドバイス及び補足事項をセキュリティ対策マイナス要因として振り分ける。そして、制御部4は、演算部32により算出された算出結果である第6セキュリティ達成度、セキュリティプラス要因である第6質問、第6選択肢、第6アドバイス及び補足事項のプラス要因一覧、並びにセキュリティマイナス要因である第6質問、第6選択肢、第6アドバイス及び補足事項のマイナス要因一覧を含む物理的情報に関するセキュリティ診断結果報告を作成し、診断結果記憶部28に記憶させる。 The control unit 4 reads all the sixth questions, their answers (sixth choices), all the sixth advice, and all the supplementary matters from the sixth storage unit 16, and reads the sixth questions whose sixth evaluation points are equal to or higher than the reference points. The question, the 6th option, the 6th advice, and the supplementary matters are classified as security measures positive factors, and the 6th question, 6th option, 6th advice, and supplementary matters whose 6th evaluation score is less than the standard score are classified as security measures negative factors. . Then, the control unit 4 calculates the sixth security achievement degree which is the calculation result calculated by the calculation unit 32, the sixth question which is the security positive factor, the sixth option, the sixth advice and the list of positive factors such as supplementary matters, and the security A security diagnosis result report regarding physical information including a list of negative factors such as the sixth question, sixth option, sixth advice, and supplementary matters, which are negative factors, is created and stored in the diagnosis result storage unit 28.

次に、制御部4は、第7セキュリティ達成度を算出し、社内ルール・規則・教育に関するセキュリティ診断結果報告を作成する(ステップS18)。即ち、演算部32は、ステップS12における処理と同様の処理を実行する。具体的には、演算部32は、第7質問に対する回答(入力部26より入力された第7選択肢)を取得し、第7選択肢が「該当なし(N/A)」でない場合、第7選択肢の第7評価点及び最高第7評価点を第7記憶部18から読み込み、第7選択肢が「該当なし(N/A)」である場合、第7質問の第7評価点及び最高第7評価点を共に0点とする。演算部32は、これをすべての第7質問に対する回答(入力部26より入力された第7選択肢)について繰り返すことにより、すべての第7評価点及び最高第7評価点を取得した後、すべての第7評価点を合計した第7評価点合計と、すべての最高第7評価点を合計した最高第7評価点合計との比、即ち達成率=(第7評価点合計/最高第7評価点合計)×100=を求め、100点満点に対する点数として第7セキュリティ達成度を算出する。 Next, the control unit 4 calculates the seventh security achievement level and creates a security diagnosis result report regarding internal rules, regulations, and education (step S18). That is, the calculation unit 32 executes the same process as the process in step S12. Specifically, the calculation unit 32 obtains the answer to the seventh question (the seventh option input from the input unit 26), and if the seventh option is not “Not applicable (N/A)”, the calculation unit 32 selects the answer to the seventh question. The seventh evaluation point and the highest seventh evaluation point of the seventh question are read from the seventh storage unit 18, and if the seventh option is "Not applicable (N/A)", the seventh evaluation point and the highest seventh evaluation point of the seventh question are read from the seventh storage unit 18. Both points are set as 0 points. By repeating this for all the answers to the seventh question (seventh choices input from the input unit 26), the calculation unit 32 acquires all the seventh evaluation points and the highest seventh evaluation point, and then calculates all the answers to the seventh question. The ratio of the total of the 7th evaluation points, which is the sum of the 7th evaluation points, and the maximum 7th evaluation point, which is the sum of all the highest 7th evaluation points, that is, the achievement rate = (7th evaluation point total / the highest 7th evaluation point) Total) x 100 = is calculated, and the seventh security achievement level is calculated as the score out of 100 points.

制御部4は、すべての第7質問、その回答(第7選択肢)、すべての第7アドバイス及びすべての補足事項を第7記憶部18から読み込み、第7評価点が基準点以上である第7質問、第7選択肢、第7アドバイス及び補足事項をセキュリティ対策プラス要因として、第7評価点が基準点未満である第7質問、第7選択肢、第7アドバイス及び補足事項をセキュリティ対策マイナス要因として振り分ける。そして、制御部4は、演算部32により算出された算出結果である第7セキュリティ達成度、セキュリティプラス要因である第7質問、第7選択肢、第7アドバイス及び補足事項のプラス要因一覧、並びにセキュリティマイナス要因である第7質問、第7選択肢、第7アドバイス及び補足事項のマイナス要因一覧を含む社内ルール・規則・教育に関するセキュリティ診断結果報告を作成し、診断結果記憶部28に記憶させる。 The control unit 4 reads all the seventh questions, their answers (seventh choices), all the seventh advice, and all the supplementary matters from the seventh storage unit 18, and selects the seventh question whose seventh evaluation score is equal to or higher than the reference score. The question, the 7th option, the 7th advice, and the supplementary matter are classified as positive factors for security measures, and the 7th question, the 7th option, the 7th advice, and the supplementary matters for which the 7th evaluation score is less than the standard score are classified as negative factors for security measures. . Then, the control unit 4 calculates the seventh security achievement degree which is the calculation result calculated by the calculation unit 32, the seventh question which is the security positive factor, the seventh option, the seventh advice and the list of positive factors such as supplementary matters, and the security A security diagnosis result report regarding in-house rules, regulations, and education including a list of negative factors such as the seventh question, seventh option, seventh advice, and supplementary matters, which are negative factors, is created and stored in the diagnosis result storage unit 28.

次に、制御部4は、ステップS12~S18において算出した第1セキュリティ達成度~第7セキュリティ達成度から全体セキュリティ達成度を算出し、企業のセキュリティ診断結果報告を作成する(ステップS19)。具体的には、演算部32は、第1評価点合計~第7評価点合計を合計した全体評価点合計と、最高第1評価点合計~最高第7評価点合計を合計した全体最高評価点合計との比、即ち全体達成率=(全体評価点合計/全体最高評価点合計)×100=を求め、100点満点に対する点数として全体セキュリティ達成度を算出する。制御部4は、第1セキュリティ達成度~第7セキュリティ達成度及び全体セキュリティ達成度を含む企業セキュリティ診断結果報告を作成し、診断結果記憶部28に記憶させる。なお、ステップS12において作成したパソコン端末に関するセキュリティ診断結果報告、ステップS13において作成した携帯電話端末に関するセキュリティ診断結果報告、ステップS14において作成したサーバに関するセキュリティ診断結果報告、ステップS15において作成したネットワークに関するセキュリティ診断結果報告、ステップS16において作成したウェブサイトに関するセキュリティ診断結果報告、ステップS17において作成した物理的情報に関するセキュリティ診断結果報告、及びステップS18において作成した社内ルール・規則・教育に関するセキュリティ診断結果報告を、ステップS19において企業セキュリティ診断結果報告と共に作成してもよい。 Next, the control unit 4 calculates the overall security achievement degree from the first security achievement degree to the seventh security achievement degree calculated in steps S12 to S18, and creates a security diagnosis result report for the company (step S19). Specifically, the arithmetic unit 32 calculates an overall evaluation point total that is the sum of the first evaluation point total to the seventh evaluation point total, and an overall highest evaluation point that is the total of the highest first evaluation point total to the highest seventh evaluation point total. The ratio to the total, that is, the overall achievement rate=(total of overall evaluation points/total of overall highest evaluation points)×100=is calculated, and the overall security achievement level is calculated as a score out of 100 points. The control unit 4 creates a corporate security diagnosis result report including the first to seventh security achievement levels and the overall security achievement level, and stores it in the diagnosis result storage unit 28. Note that the security diagnosis result report regarding the personal computer terminal created in step S12, the security diagnosis result report regarding the mobile phone terminal created in step S13, the security diagnosis result report regarding the server created in step S14, and the security diagnosis result report regarding the network created in step S15. The result report, the security diagnosis result report regarding the website created in step S16, the security diagnosis result report regarding physical information created in step S17, and the security diagnosis result report regarding internal rules, regulations, and education created in step S18, It may be created together with the corporate security diagnosis result report in S19.

制御部4は、入力部26を介したユーザまたは診断士からの求めに応じて、診断結果記憶部28に記憶されているパソコン端末に関するセキュリティ診断結果報告、携帯電話端末に関するセキュリティ診断結果報告、サーバに関するセキュリティ診断結果報告、ネットワークに関するセキュリティ診断結果報告、ウェブサイトイ関するセキュリティ診断結果報告、物理的情報に関するセキュリティ診断結果報告、社内ルール・規則・教育に関するセキュリティ診断結果報告、及び企業セキュリティ診断結果報告を出力部20に対して出力し、出力部20は、制御部4からの指示に従い、上記報告を表示部22に表示し、及び/または印刷部24において印刷する。 In response to a request from a user or a diagnostician via the input unit 26, the control unit 4 outputs a security diagnosis result report regarding the personal computer terminal, a security diagnosis result report regarding the mobile phone terminal, and a server stored in the diagnosis result storage unit 28, in response to a request from a user or a diagnostician via the input unit 26. Report on security diagnosis results regarding network, report on security diagnosis on website, report on security diagnosis on physical information, report on internal rules, regulations, and training, and report on corporate security diagnosis. The report is output to the output section 20, and the output section 20 displays the report on the display section 22 and/or prints it on the printing section 24 according to instructions from the control section 4.

第1の実施の形態に係るセキュリティ診断システムによれば、セキュリティリスクの実態を7つの項目に分類し診断するため、企業に内包するセキュリティリスクを網羅的に把握することができる。また、マイナス点を含む第1評価点~第7評価点、これら評価点を用いて算出される第1セキュリティ達成度~第7セキュリティ達成度及び全体セキュリティ達成度などセキュリティリスクを数値化するため、企業がセキュリティリスクを実感しやすい。また、第1アドバイス~第7アドバイスをセキュリティ診断結果報告に含めるため、実際に何をするべきか具体的且つ明確に示され、企業が取り組むべきこと及び目指すべきものを容易に理解することができる。 According to the security diagnosis system according to the first embodiment, the actual state of security risks is classified into seven items and diagnosed, so it is possible to comprehensively understand the security risks inherent in a company. In addition, in order to quantify security risks, such as 1st to 7th evaluation points including negative points, 1st security achievement degree to 7th security achievement degree calculated using these evaluation points, and overall security achievement degree, It is easier for companies to realize security risks. In addition, since Advice 1 to 7 are included in the security diagnosis report, what should actually be done is clearly and concretely shown, making it easy to understand what companies should be working on and aiming for. .

次に、図面を参照して本発明の第2の実施の形態に係るセキュリティ診断システムについて説明する。なお、この第2の実施の形態に係るセキュリティ診断システムについては、図1に示すセキュリティ診断システム2の構成と同一の構成には同一の符号を用い、その図示及び説明を省略する。図6は、第2の実施の形態に係るセキュリティ診断システムの構成について説明するためのブロック図である。 Next, a security diagnosis system according to a second embodiment of the present invention will be described with reference to the drawings. In the security diagnosis system according to the second embodiment, the same components as those of the security diagnosis system 2 shown in FIG. 1 are denoted by the same reference numerals, and illustration and description thereof will be omitted. FIG. 6 is a block diagram for explaining the configuration of a security diagnosis system according to the second embodiment.

この第2の実施の形態に係るセキュリティ診断システム38は、図6に示すように、第1の実施の形態に係るセキュリティ診断システム2の構成(図1参照)に追加して、抽出部40及び選出部42を備えている。 As shown in FIG. 6, the security diagnosis system 38 according to the second embodiment has an extraction unit 40 and A selection section 42 is provided.

第1記憶部6は、図2に示すパソコン端末用データベースに代えて例えば図7に示すようなパソコン端末用データベースを有する。第1の実施の形態においては図2に示すように第1質問A,B,C…毎に第1アドバイスA,B,C…が設定されていたのに対し、第2の実施の形態においては図7に示すように第1選択肢毎に第1アドバイスが設定されている。即ち、第2の実施の形態に係る第1記憶部6は、図7に示すように、第1選択肢A-1,A-2,A-3,N/A(該当なし);第1選択肢B-1,B-2,B-3,B-4,N/A(該当なし);第1選択肢C-1,C-2,C-3,N/A(該当なし)…毎にあるべき姿及び助言等を含む第1アドバイスA-1,A-2,A-3,A-4;B-1,B-2,B-3,B-4,B-5;C-1,C-2,C-3,C-4…を記憶している。第1アドバイスA-1,A-2,A-3,A-4;B-1,B-2,B-3,B-4,B-5;C-1,C-2,C-3,C-4…は、それぞれ異なるアドバイスであって、第1アドバイスA-1,A-2…の例としては、図2に示す第1アドバイスA,B…と同様に「…の状態にしておきましょう。…を管理しましょう。」等の各選択肢に関連する事項のセキュリティ対策においてあるべき姿や助言が挙げられる。また、第1選択肢N/A(該当なし)に設定される第1アドバイスA-4,B-5,C-4は、対応する第1質問に関連する事項のセキュリティ対策においてあるべき姿や助言である。なお、この実施の形態では、第1選択肢N/A(該当なし)に第1アドバイスA-4,B-5,C-4を設定しているが、第1アドバイスを設定しない構成であってもよい。 The first storage unit 6 has a personal computer terminal database as shown in FIG. 7, for example, instead of the personal computer terminal database shown in FIG. In the first embodiment, the first advices A, B, C, etc. are set for each of the first questions A, B, C, etc., as shown in FIG. 2, whereas in the second embodiment, As shown in FIG. 7, the first advice is set for each first option. That is, as shown in FIG. 7, the first storage unit 6 according to the second embodiment stores the first options A-1, A-2, A-3, N/A (not applicable); B-1, B-2, B-3, B-4, N/A (not applicable); 1st option C-1, C-2, C-3, N/A (not applicable)... First advice including ideal situation and advice etc. A-1, A-2, A-3, A-4; B-1, B-2, B-3, B-4, B-5; C-1, C-2, C-3, C-4... are stored. First advice A-1, A-2, A-3, A-4; B-1, B-2, B-3, B-4, B-5; C-1, C-2, C-3 , C-4... are different pieces of advice, and an example of the first advice A-1, A-2... is, similar to the first advice A, B... shown in FIG. ``Let's manage...'', etc., etc., etc., etc., etc., etc., etc.). In addition, the first advice A-4, B-5, and C-4, which are set to the first option N/A (not applicable), are the ideal form and advice for security measures related to the corresponding first question. It is. In this embodiment, the first advice A-4, B-5, and C-4 are set for the first option N/A (not applicable), but the configuration is such that the first advice is not set. Good too.

また、第1の実施の形態においては第2質問~第7質問毎に第2アドバイス~第7アドバイスがそれぞれ設定されていたのに対し、第2の実施の形態においては第2選択肢~第7選択肢毎に第2アドバイス~第7アドバイスがそれぞれ設定されている。即ち、第2の実施の形態に係る第2記憶部8~第7記憶部18も、図7に示す第1記憶部6と同様に、第2選択肢~第7選択肢毎に異なるアドバイスであって該第2選択肢~第7選択肢毎にあるべき姿及び助言等を含む第2アドバイス~第7アドバイスを記憶している。 Further, in the first embodiment, the second advice to the seventh advice were set for each of the second to seventh questions, whereas in the second embodiment, the second advice to the seventh advice were set for each of the second to seventh questions. Second to seventh advice are set for each option. That is, the second storage unit 8 to seventh storage unit 18 according to the second embodiment also provide different advice for each of the second to seventh options, similar to the first storage unit 6 shown in FIG. Second to seventh advice, including the ideal state and advice, etc., are stored for each of the second to seventh options.

所定の質問(第1所定質問という)は、第1所定質問と異なる項目における質問(第2所定質問という)と同一の質問である。更に、第1所定質問の複数の選択肢(第1所定選択肢という)は、第2所定質問の複数の選択肢(第2所定選択肢という)と同一の選択肢である。但し、第1所定選択肢の評価点(第1所定評価点という)は、第2所定選択肢の評価点(第2所定評価点)と異なる。なお、第1所定選択肢のアドバイスは、第2所定選択肢のアドバイスと同一でもよく、異なっていてもよい。 The predetermined question (referred to as the first predetermined question) is the same question as the question in the item different from the first predetermined question (referred to as the second predetermined question). Furthermore, the plurality of options for the first predetermined question (referred to as first predetermined options) are the same options as the plurality of options for the second predetermined question (referred to as second predetermined options). However, the evaluation score for the first predetermined option (referred to as a first predetermined evaluation point) is different from the evaluation score for the second predetermined option (second predetermined evaluation point). Note that the advice for the first predetermined option may be the same as or different from the advice for the second predetermined option.

即ち、第1質問A,B,C…~第7質問の中の第1所定質問は、第1所定質問と異なる項目における第1質問A,B,C…~第7質問の中の少なくとも1つの第2所定質問と同一の質問であって、データベース間で紐付けられている。例えば第1所定質問が第1質問Cの場合、第2所定質問は第1質問ではない第2質問~第7質問の中の何れかである。例えば第1所定質問が第1質問C、第2所定質問が第3質問Q(第2所定質問は2つ以上であってもよい)の場合、第1質問C及び第2質問Qは同一の質問であって、図8に示すように、第1質問C及び第3質問Qは紐付けされている。即ち、第1質問C(第3質問Q)は、パソコン端末の運用におけるセキュリティ評価に関する質問であると同時にサーバ及びクラウドサービス利用時のセキュリティ評価に関する質問でもある。 That is, the first predetermined question among the first questions A, B, C... to the seventh question is at least one of the first questions A, B, C... to the seventh question in an item different from the first predetermined question. This question is the same as the second predetermined question, and is linked between the databases. For example, when the first predetermined question is the first question C, the second predetermined question is any one of the second to seventh questions other than the first question. For example, if the first predetermined question is the first question C and the second predetermined question is the third question Q (there may be two or more second predetermined questions), the first question C and the second question Q are the same As shown in FIG. 8, the first question C and the third question Q are linked. That is, the first question C (third question Q) is a question regarding security evaluation in the operation of a personal computer terminal, and is also a question regarding security evaluation when using a server and a cloud service.

第1所定質問が第1質問C、第2所定質問が第3質問Qの場合、図8に示すように、第1所定選択肢C-1,C-2,C-3,N/Aは第2所定選択肢Q-1,Q-2,Q-3,N/Aと同一の選択肢であって、第1所定評価点0,3,1は、第2所定評価点1,5,3と異なる。なお、第1所定質問に紐付けされる第2所定質問は1つに限らず複数あってもよい。図8において、第1アドバイスC-1,C-2,C-3,C-4及び第3アドバイスQ-1,Q-2,Q-3,Q-4は、同一のアドバイスであっても異なるアドバイスであってもよい。 When the first predetermined question is the first question C and the second predetermined question is the third question Q, the first predetermined options C-1, C-2, C-3, and N/A are 2 The same options as the predetermined options Q-1, Q-2, Q-3, and N/A, but the first predetermined evaluation points 0, 3, and 1 are different from the second predetermined evaluation points 1, 5, and 3. . Note that the number of second predetermined questions linked to the first predetermined question is not limited to one, and there may be a plurality of second predetermined questions. In Figure 8, the first advice C-1, C-2, C-3, C-4 and the third advice Q-1, Q-2, Q-3, Q-4 may be the same advice. The advice may be different.

読込部31は、入力部26から入力された選択肢(第1選択肢~第7選択肢)のアドバイス(第1アドバイス~第7アドバイス)を第1記憶部6、第2記憶部8、第3記憶部10、第4記憶部12、第5記憶部14、第6記憶部16及び第7記憶部18のそれぞれから読み込む。 The reading unit 31 reads the advice (first advice to seventh advice) of the choices (first option to seventh option) input from the input unit 26 to the first storage unit 6, second storage unit 8, and third storage unit. 10, the fourth storage section 12, the fifth storage section 14, the sixth storage section 16, and the seventh storage section 18, respectively.

演算部32は、入力部26に入力された第1所定選択肢に設定された第1所定評価点を読み込むと共に、入力部26に入力された第1所定選択肢と同一の第2所定選択肢に設定された第2所定評価点を読み込む。即ち、例えば第1所定質問が第1質問C、第2所定質問が第3質問Qの場合、演算部32は、第1所定選択肢C-1,C-2,C-3,N/Aに設定された第1所定評価点0,3,1を読み込むと共に、第2所定選択肢Q-1,Q-2,Q-3,N/Aに設定され第2所定評価点1,3,2を読み込む。 The calculation unit 32 reads the first predetermined evaluation point set to the first predetermined option input to the input unit 26, and also reads the first predetermined evaluation point set to the same second predetermined option as the first predetermined option input to the input unit 26. The second predetermined evaluation points are read. That is, for example, when the first predetermined question is the first question C and the second predetermined question is the third question Q, the calculation unit 32 selects the first predetermined options C-1, C-2, C-3, N/A. At the same time as reading the set first predetermined evaluation points 0, 3, 1, the second predetermined evaluation points 1, 3, 2 set in the second predetermined options Q-1, Q-2, Q-3, N/A are read. Load.

抽出部40は、入力部26により補足事項入力欄22b(図3参照)に補足事項が入力された場合、補足事項入力欄22bに入力された補足事項の文字列から、AI(人口知能)等でキーワード抽出するために予め学習させメモリ30等に記憶されている学習モデルを用いてキーワードを抽出する。キーワードは、補足事項に係る質問及び選択肢に関連し且つ質問の項目のセキュリティに関するワードであって、キーワードにはセキュリティ評価としてプラス要因となるキーワード及びマイナス要因となるキーワードの双方が含まれる。 When a supplementary matter is input into the supplementary matter input field 22b (see FIG. 3) by the input section 26, the extraction section 40 extracts AI (artificial intelligence), etc. from the character string of the supplementary matter inputted in the supplementary matter input field 22b. In order to extract keywords, a learning model trained in advance and stored in the memory 30 or the like is used to extract keywords. Keywords are words related to questions and options related to supplementary matters and related to the security of question items, and keywords include both keywords that are a positive factor and keywords that are a negative factor in security evaluation.

演算部32は、抽出部40により抽出されたキーワードに基づいて、読み込まれた第1評価点~第7評価点を加算または減算する。例えば第1質問Aの回答としてユーザが第1選択肢A-2を選択し、ユーザ及び/または診断士が補足事項入力欄22bに補足事項を入力した場合、抽出部40は、入力された補足事項の文字列からキーワードを抽出する。演算部32は、抽出されたキーワードが第1質問Aに係るセキュリティ評価としてプラス要因となるワードであれば第1選択肢A-2の第1評価点である2点にプラス要因の度合いに応じて加点する。一方、演算部32は、抽出されたキーワードが第1質問Aに係るセキュリティ評価としてマイナス要因となるワードであれば第1選択肢A-2の第1評価点である2点からマイナス要因の度合いに応じて減点する。抽出部40が2つ以上のキーワードを抽出した場合、演算部32は、抽出されたすべてのキーワードに基づいて第1評価点の加算または減算を行う。キーワードは上述したように予め設定されメモリ30等に予め記憶されており、各キーワードに係る加算点または減算点についても予め設定されメモリ30等に記憶されている。 The calculation unit 32 adds or subtracts the read first to seventh evaluation points based on the keyword extracted by the extraction unit 40. For example, when the user selects the first option A-2 as an answer to the first question A, and the user and/or the diagnostician input supplementary information into the supplementary information input field 22b, the extraction unit 40 extracts the input supplementary information from Extract keywords from the string. If the extracted keyword is a word that has a positive factor in the security evaluation related to the first question A, the calculation unit 32 adds 2 points, which is the first evaluation point of the first option A-2, according to the degree of the positive factor. Add points. On the other hand, if the extracted keyword is a word that causes a negative factor in the security evaluation related to the first question A, the calculation unit 32 changes the degree of the negative factor from 2 points, which is the first evaluation point of the first option A-2. Points will be deducted accordingly. When the extraction unit 40 extracts two or more keywords, the calculation unit 32 adds or subtracts the first evaluation score based on all the extracted keywords. As described above, the keywords are set in advance and stored in the memory 30, etc., and the addition points or subtraction points related to each keyword are also set in advance and stored in the memory 30, etc.

選出部42は、第1質問~第7質問の回答として選択された第1選択肢~第7選択肢の第1評価点~第7評価点であって、第1評価点の中で低い第1評価点(第1質問Aにおいては第1選択肢A-3の0点;低第1評価点という)、第2評価点の中で低い低第2評価点、第3評価点の中で低い低第3評価点(第3質問Qにおいては第3選択肢Q-1の1点)、第4評価点の中で低い低第4評価点、第5評価点の中で低い低第5評価点、第6評価点の中で低い低第6評価点、及び第7評価点の中で低い低第7評価点の中で、企業の業種及び規模からセキュリティリスクが特に高い低第1評価点~低第7評価点を少なくとも1つ(第2の実施の形態では3つ)選出する。 The selection unit 42 selects the first to seventh evaluation points of the first to seventh options selected as answers to the first to seventh questions, and selects the lowest first evaluation among the first evaluation points. (0 points for the first option A-3 in the first question A; referred to as a low first evaluation point), a low second evaluation point that is low among the second evaluation points, and a low low evaluation point that is low among the third evaluation points. 3 evaluation points (for the 3rd question Q, 1 point for the 3rd option Q-1), the lowest of the 4th evaluation points, the lower of the 4th evaluation points, the lower of the 5th evaluation points, the lower of the 5th evaluation points, the lower of the 5th evaluation points; Among the low 6th evaluation point, which is the lowest among the 6 evaluation points, and the low 7th evaluation point, which is the lowest among the 7th evaluation points, the low 1st evaluation point to low At least one (three in the second embodiment) seven evaluation points are selected.

具体的には、第1質問~第7質問の全質問において、企業の業種別及び規模別にセキュリティ重要度の順位(セキュリティ対策における優先順位)が予め設定されており、選出部42は、第1質問~第7質問の全質問において、セキュリティ重要度の順位が高い質問であって、評価点(低第1評価点~低第7評価点)が最も低い3つを選出する。制御部4は、企業のセキュリティ診断結果報告を作成する際に、第1セキュリティ達成度~第7セキュリティ達成度及び全体セキュリティ達成度と共に、セキュリティ対策に取り組むべき最優先事項として、選出部42により選出された3つの質問(第1質問~第7質問)及び該質問のアドバイス(第1アドバイス~第7アドバイス)を特に強調した総括を含む企業のセキュリティ診断結果報告を作成する。 Specifically, for all questions from the first question to the seventh question, the ranking of security importance (priority in security measures) is set in advance by industry and size of the company, and the selection unit 42 selects the first Among all the questions from Question to Seventh Question, the three questions with the highest ranking of security importance and the lowest evaluation points (low 1st evaluation point to low 7th evaluation point) are selected. When the control unit 4 creates a security diagnosis result report for the company, the selection unit 42 selects the security measures as the top priority items to be addressed, along with the first security achievement level to the seventh security achievement level and the overall security achievement level. A company security diagnosis report is created that includes a summary that particularly emphasizes the three questions (1st to 7th questions) asked and the advice for the questions (1st to 7th advice).

第2の実施の形態に係るセキュリティ診断システムによれば、第1の実施の形態に係るセキュリティ診断システムの効果に加え、選択した選択肢(第1選択肢~第7選択肢)毎にアドバイス(第1アドバイス~第7アドバイス)が設定されているため、実際に何をするべきか更に具体的且つ明確に示され、企業が取り組むべきこと及び目指すべきものを更に容易に理解することができる。また、ユーザ及び/または診断士が入力した補足事項からキーワード抽出し、評価点に反映させることができるため、企業に内包するセキュリティリスクを更に網羅的に把握することができる。また、1つの質問に回答することで複数の項目に関するセキュリティ評価を得ることができるため、効率性且つ評価性の向上を図ることができる。 According to the security diagnosis system according to the second embodiment, in addition to the effects of the security diagnosis system according to the first embodiment, advice (first advice) is provided for each selected option (first option to seventh option). Advice No. 7 to Advice 7) is set, so what should actually be done is shown more concretely and clearly, and it is easier to understand what companies should be working on and aiming for. Further, since keywords can be extracted from supplementary information input by the user and/or the diagnostician and reflected in the evaluation score, it is possible to more comprehensively understand the security risks inherent in the company. Moreover, since security evaluations regarding a plurality of items can be obtained by answering one question, efficiency and evaluation performance can be improved.

なお、上述の各実施の形態においては、アドバイス(第1アドバイス~第7アドバイス)が質問毎にまたは選択肢毎に記憶されているが、セキュリティ診断に関連する時事情報を参考情報として例えばインターネット等を介して取得する取得部を更に備え、取得部により取得した時事情報をセキュリティ診断結果報告に追加してもよい。 In each of the embodiments described above, advice (first advice to seventh advice) is stored for each question or for each option. The current event information acquired by the acquisition unit may be added to the security diagnosis result report.

また、上述の各実施の形態においては、セキュリティ診断結果を記憶する診断結果記憶部28を備えているため、企業のセキュリティ診断結果報告のデータが蓄積される。したがって、多数蓄積された該データを、企業の業種・規模に応じて分析する分析部を更に備え、セキュリティにおける業界基準の照らし出し、照らし出した業界基準に基づくアドバイスを含む企業セキュリティ診断結果報告を作成するようにしてもよい。 Further, each of the above-described embodiments includes a diagnosis result storage section 28 that stores security diagnosis results, so that data of corporate security diagnosis result reports is accumulated. Therefore, we are further equipped with an analysis department that analyzes a large amount of accumulated data according to the industry and size of the company, and provides a report on the results of a corporate security diagnosis that includes the identification of industry standards in security and advice based on the identified industry standards. You may also create one.

2,38…セキュリティ診断システム、4…制御部、6…第1記憶部、8…第2記憶部、10…第3記憶部、12…第4記憶部、14…第5記憶部、16…第6記憶部、18…第7記憶部、20…出力部、22…表示部、24…印刷部、26…入力部、28…診断結果記憶部、30…メモリ、31…読込部、32…演算部、34…演算処理テーブル、36…演算処理プログラム。 2, 38...Security diagnosis system, 4...Control unit, 6...First storage unit, 8...Second storage unit, 10...Third storage unit, 12...Fourth storage unit, 14...Fifth storage unit, 16... 6th storage unit, 18...7th storage unit, 20...output unit, 22...display unit, 24...printing unit, 26...input unit, 28...diagnosis result storage unit, 30...memory, 31...reading unit, 32... Arithmetic unit, 34... Arithmetic processing table, 36... Arithmetic processing program.

Claims (7)

パソコン端末、携帯電話端末、サーバ、ネットワーク、ウェブサイト、事業継続計画を含む物理的情報、及び社内ルール・規則・教育の7つの項目を用いて企業のセキュリティリスクを診断するセキュリティ診断システムであって、
前記パソコン端末に関する複数の第1質問、前記第1質問毎に設定される複数の第1選択肢、及び前記第1選択肢毎に前記パソコン端末におけるセキュリティ評価の度合に応じて設定される第1評価点を記憶する第1記憶部と、
前記携帯電話端末に関する複数の第2質問、前記第2質問毎に設定される複数の第2選択肢、及び前記第2選択肢毎に前記携帯電話端末におけるセキュリティ評価の度合に応じて設定される第2評価点を記憶する第2記憶部と、
前記サーバに関する複数の第3質問、前記第3質問毎に設定される複数の第3選択肢、及び前記第3選択肢毎に前記サーバにおけるセキュリティ評価の度合に応じて設定される第3評価点を記憶する第3記憶部と、
前記ネットワークに関する複数の第4質問、前記第4質問毎に設定される複数の第4選択肢、及び前記第4選択肢毎に前記ネットワークにおけるセキュリティ評価の度合に応じて設定される第4評価点を記憶する第4記憶部と、
前記ウェブサイトに関する複数の第5質問、前記第5質問毎に設定される複数の第5選択肢、及び前記第5選択肢毎に前記ウェブサイトにおけるセキュリティ評価の度合に応じて設定される第5評価点を記憶する第5記憶部と、
前記物理的情報に関する複数の第6質問、前記第6質問毎に設定される複数の第6選択肢、及び前記第6選択肢毎に前記物理的情報におけるセキュリティ評価の度合に応じて設定される第6評価点を記憶する第6記憶部と、
前記社内ルール・規則・教育に関する複数の第7質問、前記第7質問毎に設定される複数の第7選択肢、及び前記第7選択肢毎に前記社内ルール・規則・教育におけるセキュリティ評価の度合に応じて設定される第7評価点を記憶する第7記憶部と、
前記第1記憶部に記憶されている前記複数の第1質問及び前記複数の第1選択肢、前記第2記憶部に記憶されている前記複数の第2質問及び前記複数の第2選択肢、前記第3記憶部に記憶されている前記複数の第3質問及び前記複数の第3選択肢、前記第4記憶部に記憶されている前記複数の第4質問及び前記複数の第4選択肢、前記第5記憶部に記憶されている前記複数の第5質問及び前記複数の第5選択肢、前記第6記憶部に記憶されている前記複数の第6質問及び前記複数の第6選択肢、及び前記第7記憶部に記憶されている前記複数の第7質問及び前記複数の第7選択肢を順次表示する表示部と、
前記第1質問毎に前記複数の第1選択肢の中からユーザが選択する第1選択肢を入力し、前記第2質問毎に前記複数の第2選択肢の中から前記ユーザが選択する第2選択肢を入力し、前記第3質問毎に前記複数の第3選択肢の中から前記ユーザが選択する第3選択肢を入力し、前記第4質問毎に前記複数の第4選択肢の中から前記ユーザが選択する第4選択肢を入力し、前記第5質問毎に前記複数の前記第5選択肢の中から前記ユーザが選択する第5選択肢を入力し、前記第6質問毎に前記複数の前記第6選択肢の中から前記ユーザが選択する前記第6選択肢を入力し、及び前記第7質問毎に前記複数の第7選択肢の中から前記ユーザが選択する前記第7選択肢を入力する入力部と、
前記第1質問毎に前記複数の第1選択肢に設定された前記第1評価点の中で最も高い最高第1評価点及び前記入力部から入力された前記第1選択肢に設定された前記第1評価点を前記第1記憶部から読み込み、前記第2質問毎に前記複数の第2選択肢に設定された前記第2評価点の中で最も高い最高第2評価点及び前記入力部から入力された前記第2選択肢に設定された前記第2評価点を前記第2記憶部から読み込み、前記第3質問毎に前記複数の第3選択肢に設定された前記第3評価点の中で最も高い最高第3評価点及び前記入力部から入力された前記第3選択肢に設定された前記第3評価点を前記第3記憶部から読み込み、前記第4質問毎に前記複数の第4選択肢に設定された前記第4評価点の中で最も高い最高第4評価点及び前記入力部から入力された前記第4選択肢に設定された前記第4評価点を前記第4記憶部から読み込み、前記第5質問毎に前記複数の第5選択肢に設定された前記第5評価点の中で最も高い最高第5評価点及び前記入力部から入力された前記第5選択肢に設定された前記第5評価点を前記第5記憶部から読み込み、前記第6質問毎に前記複数の第6選択肢に設定された前記第6評価点の中で最も高い最高第6評価点及び前記入力部から入力された前記第6選択肢に設定された前記第6評価点を前記第6記憶部から読み込み、前記第7質問毎に前記複数の第7選択肢に設定された前記第7評価点の中で最も高い最高第7評価点及び前記入力部から入力された前記第7選択肢に設定された前記第7評価点を前記第7記憶部から読み込む読込部と、
前記読込部により読み込まれた前記最高第1評価点の合計である最高第1評価点合計と前記第1評価点の合計である第1評価点合計との比である第1セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第2評価点の合計である最高第2評価点合計と前記第2評価点の合計である第2評価点合計との比である第2セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第3評価点の合計である最高第3評価点合計と前記第3評価点の合計である第3評価点合計との比である第3セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第4評価点の合計である最高第4評価点合計と前記第4評価点の合計である第4評価点合計との比である第4セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第5評価点の合計である最高第5評価点合計と前記第5評価点の合計である第5評価点合計との比である第5セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第6評価点の合計である最高第6評価点合計と前記第6評価点の合計である第6評価点合計との比である第6セキュリティ達成度を算出し、前記読込部により読み込まれた前記最高第7評価点の合計である最高第7評価点合計と前記第7評価点の合計である第7評価点合計との比である第7セキュリティ達成度を算出する第1算出部と、
前記最高第1評価点合計~前記最高第7評価点合計の合計と、前記第1評価点合計~前記第7評価点合計の合計との比である全体セキュリティ達成度を算出する第2算出部と、
前記第1算出部及び前記第2算出部により算出された算出結果を出力する出力部と、
を備えるセキュリティ診断システム。
A security diagnosis system that diagnoses corporate security risks using seven items: computer terminals, mobile phone terminals, servers, networks, websites, physical information including business continuity plans, and internal rules, regulations, and education. ,
A plurality of first questions regarding the personal computer terminal, a plurality of first choices set for each of the first questions, and a first evaluation point set for each of the first choices according to the degree of security evaluation on the personal computer terminal. a first storage unit that stores;
A plurality of second questions regarding the mobile phone terminal, a plurality of second choices set for each second question, and a second set according to the degree of security evaluation of the mobile phone terminal for each second choice. a second storage unit that stores evaluation points;
Storing a plurality of third questions regarding the server, a plurality of third options set for each third question, and a third evaluation point set according to the degree of security evaluation on the server for each third option. a third storage unit to
Storing a plurality of fourth questions regarding the network, a plurality of fourth options set for each of the fourth questions, and a fourth evaluation point set for each of the fourth options according to the degree of security evaluation in the network. a fourth storage unit to
A plurality of fifth questions regarding the website, a plurality of fifth choices set for each of the fifth questions, and a fifth evaluation point set for each of the fifth choices according to the degree of security evaluation of the website. a fifth storage unit that stores
A plurality of sixth questions regarding the physical information, a plurality of sixth options set for each of the sixth questions, and a sixth option set for each of the sixth options according to the degree of security evaluation of the physical information. a sixth storage unit that stores evaluation points;
A plurality of seventh questions regarding the company rules, regulations, and education, a plurality of seventh choices set for each of the seventh questions, and a plurality of seventh choices set for each of the seventh choices, and each seventh choice according to the degree of security evaluation in the company rules, regulations, and education. a seventh storage unit that stores a seventh evaluation point set by
The plurality of first questions and the plurality of first options stored in the first storage unit, the plurality of second questions and the plurality of second options stored in the second storage unit, and the plurality of second options stored in the second storage unit. 3. The plurality of third questions and the plurality of third options stored in the third storage section, the plurality of fourth questions and the plurality of fourth options stored in the fourth storage section, and the fifth storage section. the plurality of fifth questions and the plurality of fifth choices stored in the storage section, the plurality of sixth questions and the plurality of sixth choices stored in the sixth storage section, and the seventh storage section. a display unit that sequentially displays the plurality of seventh questions and the plurality of seventh choices stored in the display unit;
The user inputs a first option selected from among the plurality of first options for each of the first questions, and inputs a second option selected by the user from the plurality of second options for each second question. a third option selected by the user from among the plurality of third options for each third question; and a third option selected by the user from among the plurality of fourth options for each fourth question. inputting a fourth option, inputting a fifth option to be selected by the user from among the plurality of fifth options for each fifth question, and inputting a fifth option selected by the user from among the plurality of sixth options for each sixth question; an input unit for inputting the sixth option selected by the user from the list, and inputting the seventh option selected by the user from among the plurality of seventh options for each seventh question;
The highest first evaluation point among the first evaluation points set for the plurality of first options for each first question and the first evaluation point set for the first option input from the input section. The evaluation points are read from the first storage section, and for each of the second questions, the highest second evaluation point among the second evaluation points set for the plurality of second choices and the maximum second evaluation point input from the input section are read. The second evaluation score set for the second option is read from the second storage unit, and for each third question, the highest highest score among the third evaluation points set for the plurality of third options is read. 3 evaluation points and the third evaluation points set for the third choices inputted from the input section are read from the third storage section, and for each of the fourth questions, the third evaluation points set for the plurality of fourth choices input from the input section are read from the third storage section. The highest fourth evaluation point among the fourth evaluation points and the fourth evaluation point set for the fourth option input from the input section are read from the fourth storage section, and for each fifth question. The highest fifth evaluation point among the fifth evaluation points set for the plurality of fifth options and the fifth evaluation point set for the fifth option input from the input section are Read from the storage unit and set to the highest sixth evaluation point among the sixth evaluation points set for the plurality of sixth options for each sixth question and the sixth option input from the input unit. read the sixth evaluation point from the sixth storage unit, and calculate the highest seventh evaluation point among the seventh evaluation points set for the plurality of seventh options for each seventh question and the input. a reading unit that reads the seventh evaluation point set for the seventh option input from the seventh storage unit;
Calculate a first security achievement level that is a ratio between the highest total first evaluation point that is the total of the highest first evaluation points read by the reading unit and the total first evaluation point that is the total of the first evaluation points. and a second security achievement level that is the ratio of the maximum second evaluation point total that is the sum of the maximum second evaluation points read by the reading unit and the second evaluation point total that is the sum of the second evaluation points. and a third security that is the ratio of the maximum third evaluation point total, which is the sum of the maximum third evaluation points read by the reading unit, and the third evaluation point total, which is the sum of the third evaluation points. Achievement level is calculated, and the ratio of the highest fourth evaluation point total, which is the sum of the highest fourth evaluation points read by the reading unit, and the fourth evaluation point total, which is the sum of the fourth evaluation points, is calculated. 4. Calculate the security achievement level, and calculate the ratio between the maximum 5th evaluation point total, which is the sum of the maximum 5th evaluation points read by the reading unit, and the 5th evaluation point total, which is the sum of the 5th evaluation points. A certain 5th security achievement level is calculated, and the maximum 6th evaluation point total which is the sum of the maximum 6th evaluation points read by the reading unit and the 6th evaluation point total which is the sum of the 6th evaluation points are calculated. calculate the sixth security achievement level which is the ratio, and calculate the maximum seventh evaluation point total which is the sum of the maximum seventh evaluation points read by the reading unit and the seventh evaluation point total which is the sum of the seventh evaluation points. a first calculation unit that calculates a seventh security achievement level that is a ratio of
a second calculating unit that calculates an overall security achievement level that is a ratio of the sum of the highest first evaluation point total to the highest seventh evaluation point total and the total of the first evaluation point total to the seventh evaluation point total; and,
an output unit that outputs calculation results calculated by the first calculation unit and the second calculation unit;
A security diagnostic system equipped with
前記第1評価点~前記第7評価点はマイナス点を含む請求項1記載のセキュリティ診断システム。 The security diagnosis system according to claim 1, wherein the first to seventh evaluation points include negative points. 前記第1質問~前記第7質問の中の1つの質問である第1所定質問は、前記第1所定質問と異なる前記項目における前記第1質問~前記第7質問の中の少なくとも1つの質問である第2所定質問と同一の質問であり、
前記第1所定質問に設定される複数の選択肢である第1所定選択肢は、前記第2所定質問に設定される複数の選択肢である第2所定選択肢と同一の選択肢であり、
前記第1所定選択肢に設定される第1所定評価点は、前記第2所定選択肢に設定される第2所定評価点と異なり、
前記読込部は、前記入力部に入力された前記第1所定選択肢に設定された前記第1所定評価点を読み込むと共に、前記入力部に入力された前記第1所定選択肢と同一の前記第2所定選択肢に設定された前記第2所定評価点を読み込む請求項1または2記載のセキュリティ診断システム。
The first predetermined question, which is one of the first question to the seventh question, is at least one question among the first question to the seventh question in the item different from the first predetermined question. It is the same question as a certain second prescribed question,
The first predetermined option, which is a plurality of options set for the first predetermined question, is the same option as the second predetermined option, which is a plurality of options set for the second predetermined question,
The first predetermined evaluation point set for the first predetermined option is different from the second predetermined evaluation point set for the second predetermined option,
The reading unit reads the first predetermined evaluation point set to the first predetermined option input to the input unit, and reads the second predetermined evaluation score that is the same as the first predetermined option input to the input unit. The security diagnosis system according to claim 1 or 2, wherein the second predetermined evaluation point set as an option is read.
前記第1質問~前記第7質問に対する補足事項を入力する入力欄を前記表示部に表示させる表示制御部と、
前記入力部により前記入力欄に入力される前記補足事項の文字列から予め設定されているキーワードを抽出する抽出部と、を更に備え、
前記第1算出部は、前記抽出部により抽出された前記キーワードに基づいて、前記読込部により読み込まれた前記第1評価点~前記第7評価点を加算または減算する請求項1~3の何れか一項に記載のセキュリティ診断システム。
a display control unit that causes the display unit to display an input field for inputting supplementary information for the first question to the seventh question;
further comprising: an extraction unit that extracts a preset keyword from a character string of the supplementary information input into the input field by the input unit;
Any one of claims 1 to 3, wherein the first calculation unit adds or subtracts the first to seventh evaluation points read by the reading unit based on the keyword extracted by the extraction unit. The security diagnostic system described in item (1) above.
前記第1記憶部は、前記第1質問毎に設定される前記パソコン端末に関するセキュリティ評価についてのアドバイスを含む第1アドバイスを更に記憶し、
前記第2記憶部は、前記第2質問毎に設定される前記携帯電話端末に関するセキュリティ評価についてのアドバイスを含む第2アドバイスを更に記憶し、
前記第3記憶部は、前記第3質問毎に設定される前記サーバに関するセキュリティ評価についてのアドバイスを含む第3アドバイスを更に記憶し、
前記第4記憶部は、前記第4質問毎に設定される前記ネットワークに関するセキュリティ評価についてのアドバイスを含む第4アドバイスを更に記憶し、
前記第5記憶部は、前記第5質問毎に設定される前記ウェブサイトに関するセキュリティ評価についてのアドバイスを含む第5アドバイスを更に記憶し、
前記第6記憶部は、前記第6質問毎に設定される前記物理的情報に関するセキュリティ評価についてのアドバイスを含む第6アドバイスを更に記憶し、
前記第7記憶部は、前記第7質問毎に設定される前記社内ルール・規則・教育に関するセキュリティ評価についてのアドバイスを含む第7アドバイスを更に記憶し、
前記出力部は、前記算出結果と共に前記第1アドバイス~前記第7アドバイスを出力する請求項1~4の何れか一項に記載のセキュリティ診断システム。
The first storage unit further stores first advice including advice about security evaluation regarding the personal computer terminal set for each first question,
The second storage unit further stores second advice including advice regarding security evaluation regarding the mobile phone terminal set for each second question,
The third storage unit further stores third advice including advice regarding security evaluation regarding the server set for each third question,
The fourth storage unit further stores fourth advice including advice about security evaluation regarding the network set for each fourth question,
The fifth storage unit further stores fifth advice including advice regarding security evaluation regarding the website set for each fifth question,
The sixth storage unit further stores sixth advice including advice regarding security evaluation regarding the physical information set for each sixth question,
The seventh storage unit further stores seventh advice including advice about security evaluation regarding the internal rules, regulations, and education set for each seventh question,
The security diagnosis system according to any one of claims 1 to 4, wherein the output unit outputs the first advice to the seventh advice together with the calculation result.
前記第1アドバイスは、前記第1選択肢毎に前記パソコン端末に関するセキュリティ評価についての異なるアドバイスを含み、
前記第2アドバイスは、前記第2選択肢毎に前記携帯電話端末に関するセキュリティ評価についての異なるアドバイスを含み、
前記第3アドバイスは、前記第3選択肢毎に前記サーバに関するセキュリティ評価についての異なるアドバイスを含み、
前記第4アドバイスは、前記第4選択肢毎に前記ネットワークに関するセキュリティ評価についての異なるアドバイスを含み、
前記第5アドバイスは、前記第5選択肢毎に前記ウェブサイトに関するセキュリティ評価についての異なるアドバイスを含み、
前記第6アドバイスは、前記第6選択肢毎に前記物理的情報に関するセキュリティ評価についての異なるアドバイスを含み、
前記第7アドバイスは、前記第7選択肢毎に前記社内ルール・規則・教育に関するセキュリティ評価についての異なるアドバイスを含み、
前記読込部は、前記入力部から入力された前記第1選択肢の前記第1アドバイスを前記第1記憶部から読み込み、前記入力部から入力された前記第2選択肢の前記第2アドバイスを前記第2記憶部から読み込み、前記入力部から入力された前記第3選択肢の前記第3アドバイスを前記第3記憶部から読み込み、前記入力部から入力された前記第4選択肢の前記第4アドバイスを前記第4記憶部から読み込み、前記入力部から入力された前記第5選択肢の前記第5アドバイスを前記第5記憶部から読み込み、前記入力部から入力された前記第6選択肢の前記第6アドバイスを前記第6記憶部から読み込み、前記入力部から入力された前記第7選択肢の前記第7アドバイスを前記第7記憶部から読み込み、
前記出力部は、前記算出結果と共に、前記読込部により読み込まれた前記第1アドバイス~前記第7アドバイスを出力する請求項5記載のセキュリティ診断システム。
The first advice includes different advice regarding security evaluation regarding the personal computer terminal for each of the first options,
The second advice includes different advice regarding security evaluation regarding the mobile phone terminal for each of the second options,
The third advice includes different advice regarding security evaluation regarding the server for each third option,
The fourth advice includes different advice regarding security evaluation regarding the network for each of the fourth options,
The fifth advice includes different advice regarding security evaluation regarding the website for each of the fifth options,
The sixth advice includes different advice regarding security evaluation regarding the physical information for each of the sixth options,
The seventh advice includes different advice regarding security evaluation regarding the internal rules, regulations, and education for each of the seventh options,
The reading unit reads the first advice of the first option input from the input unit from the first storage unit, and reads the second advice of the second option input from the input unit from the second advice. The third advice of the third option input from the input unit is read from the storage unit, and the fourth advice of the fourth option input from the input unit is read from the third storage unit, and the fourth advice of the fourth option input from the input unit is read from the third storage unit. The fifth advice of the fifth option input from the input unit is read from the storage unit, and the sixth advice of the sixth option input from the input unit is read from the sixth advice input from the input unit. reading from a storage unit, reading the seventh advice of the seventh option input from the input unit from the seventh storage unit;
6. The security diagnosis system according to claim 5, wherein the output unit outputs the first advice to the seventh advice read by the reading unit together with the calculation result.
前記読込部により読み込まれた前記第1評価点の中で低い低第1評価点、前記第2評価点の中で低い低第2評価点、前記第3評価点の中で低い低第3評価点、前記第4評価点の中で低い低第4評価点、前記第5評価点の中で低い低第5評価点、前記第6評価点の中で低い低第6評価点、及び前記第7評価点の中で低い低第7評価点の中で、前記企業の業種及び規模から前記セキュリティリスクが高い前記低第1評価点~前記低第7評価点を少なくとも1つ選出する選出部を更に備え、
前記出力部は、前記算出結果と共に、前記選出部により選出された選出結果を出力する請求項1~請求項6の何れか一項に記載のセキュリティ診断システム。
A low first evaluation point that is low among the first evaluation points read by the reading unit, a low second evaluation point that is low among the second evaluation points, and a low third evaluation point that is low among the third evaluation points. a low fourth evaluation point that is low among the fourth evaluation points, a low fifth evaluation point that is low among the fifth evaluation points, a low sixth evaluation point that is low among the sixth evaluation points, and a low sixth evaluation point that is low among the sixth evaluation points. A selection unit that selects at least one of the low first evaluation points to the low seventh evaluation points with the high security risk based on the industry and size of the company from among the low seventh evaluation points among the seven evaluation points. Further prepare,
The security diagnosis system according to any one of claims 1 to 6, wherein the output unit outputs the selection result selected by the selection unit together with the calculation result.
JP2022004819A 2022-01-17 2022-01-17 security diagnostic system Active JP7360101B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022004819A JP7360101B2 (en) 2022-01-17 2022-01-17 security diagnostic system
PCT/JP2022/044846 WO2023135979A1 (en) 2022-01-17 2022-12-06 Security diagnostic system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022004819A JP7360101B2 (en) 2022-01-17 2022-01-17 security diagnostic system

Publications (2)

Publication Number Publication Date
JP2023104058A JP2023104058A (en) 2023-07-28
JP7360101B2 true JP7360101B2 (en) 2023-10-12

Family

ID=87278804

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022004819A Active JP7360101B2 (en) 2022-01-17 2022-01-17 security diagnostic system

Country Status (2)

Country Link
JP (1) JP7360101B2 (en)
WO (1) WO2023135979A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7448293B1 (en) 2023-08-16 2024-03-12 株式会社アシュアード Information processing system and information processing method
JP2025044208A (en) * 2023-09-19 2025-04-01 ソフトバンクグループ株式会社 system

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005135239A (en) 2003-10-31 2005-05-26 Fujitsu Social Science Laboratory Ltd Information security management program, device and method
JP2006185196A (en) 2004-12-27 2006-07-13 Metlogy Inc Diagnostic tool of information security management system
JP2006331383A (en) 2005-04-25 2006-12-07 Hitachi Ltd System security design / evaluation support tool, system security design / evaluation support method, and system security design / evaluation support program
JP2008009819A (en) 2006-06-30 2008-01-17 Uchida Yoko Co Ltd Security diagnostic system
JP2012155758A (en) 2012-05-10 2012-08-16 Document House Co Ltd Enterprise risk sensitivity evaluation system
JP2013080299A (en) 2011-09-30 2013-05-02 Fujitsu Social Science Laboratory Ltd Information process system, information processing method and information processing program
JP2020524870A (en) 2017-06-23 2020-08-20 ガノール、イド Corporate cyber security risk management and resource planning

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005135239A (en) 2003-10-31 2005-05-26 Fujitsu Social Science Laboratory Ltd Information security management program, device and method
JP2006185196A (en) 2004-12-27 2006-07-13 Metlogy Inc Diagnostic tool of information security management system
JP2006331383A (en) 2005-04-25 2006-12-07 Hitachi Ltd System security design / evaluation support tool, system security design / evaluation support method, and system security design / evaluation support program
JP2008009819A (en) 2006-06-30 2008-01-17 Uchida Yoko Co Ltd Security diagnostic system
JP2013080299A (en) 2011-09-30 2013-05-02 Fujitsu Social Science Laboratory Ltd Information process system, information processing method and information processing program
JP2012155758A (en) 2012-05-10 2012-08-16 Document House Co Ltd Enterprise risk sensitivity evaluation system
JP2020524870A (en) 2017-06-23 2020-08-20 ガノール、イド Corporate cyber security risk management and resource planning

Also Published As

Publication number Publication date
WO2023135979A1 (en) 2023-07-20
JP2023104058A (en) 2023-07-28

Similar Documents

Publication Publication Date Title
Davis Technology acceptance model: TAM
Parikh et al. The effectiveness of decisional guidance: an empirical evaluation
Hunter et al. Implications of direct and indirect range restriction for meta-analysis methods and findings.
Benbasat et al. An evaluation of empirical research in managerial support systems
Meister Methods of predicting human reliability in man–machine systems
Ant Ozok et al. Measuring consistency of web page design and its effects on performance and satisfaction
JP7360101B2 (en) security diagnostic system
US20080071746A1 (en) Method For Interactive Employment Searching, Rating, And Selecting of Employment Listing
She et al. User-defined information sharing for team situation awareness and teamwork
CN114997741A (en) Maintenance plan risk assessment method, system and equipment
CN114218290B (en) Selection method for equipment man-machine interaction interface usability evaluation
Albers Goal-driven task analysis: improving situation awareness for complex problem-solving
Filippi et al. Generation, adoption, and tuning of usability evaluation multimethods
JP2000076329A (en) Metier evaluating device
CN116521986B (en) Test question recommending method, device, equipment and storage medium based on behavior sequence
Peace et al. The evaluation of user interaction with computer-based management information systems
Sanz Sat-it: the interactive sat tracer
Crowe et al. Selecting BPR projects based on strategic objectives
Attia et al. USER-FIT: A framework to evaluate the usability of building performance simulation tools in the architectural design process
Lenz et al. Statistical Power, Reliability, and Model Assumptions in Multiple Linear Regression: Assessing and Addressing Common Issues
EP1959382A1 (en) Organisation representational system
Bharosa et al. Designing and evaluating dashboards for multi-agency crisis preparation: A living lab
RU2212844C2 (en) Method for estimating knowledge and intellectual capabilities
Kothiyal et al. Disciplinary Model-Based Reasoning and Metacognition Underlies Good Estimation Performance by Engineering Undergraduates
Belinski et al. Using Open-Sourced Programming Tools to Develop Economical Statistical Software

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220606

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230829

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230915

R150 Certificate of patent or registration of utility model

Ref document number: 7360101

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150