知財求人 - 知財ポータルサイト「IP Force」
特開2024-134293セキュリティ対策案選定支援システム及びセキュリティ対策案選定支援方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024134293
(43)【公開日】2024-10-03
(54)【発明の名称】セキュリティ対策案選定支援システム及びセキュリティ対策案選定支援方法
(51)【国際特許分類】
G06Q 10/08 20240101AFI20240926BHJP
【FI】
G06Q50/28
【審査請求】未請求
【請求項の数】15
【出願形態】OL
(21)【出願番号】P 2023044520
(22)【出願日】2023-03-20
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110001689
【氏名又は名称】青稜弁理士法人
(72)【発明者】
【氏名】櫻井 壮希
(72)【発明者】
【氏名】浦脇 浩二
(72)【発明者】
【氏名】池田 貴広
【テーマコード(参考)】
5L010
5L049
【Fターム(参考)】
5L010AA16
5L049CC51
(57)【要約】
【課題】セキュリティ及びセーフティの観点を考慮した適切な対策案の選定を支援することができるセキュリティ対策案選定支援システム及びセキュリティ対策案選定支援方法を提供する。
【解決手段】リスク許容可否判定部は、侵入リスクが許容セキュリティリスクレベル以下であり、且つ、許容セーフティリスクリスクレベルを超える端末を抽出する。安全機能抽出部は、抽出された端末について端末が担う安全機能を抽出する。総合対策コスト・生産性評価部は、抽出された安全機能について安全機能代替策案を取得する。総合対策コスト・生産性評価部は、セキュリティ対策案及び安全機能代替策案の組み合わせである対策パターンを評価する。
【選択図】図1A
【解決手段】リスク許容可否判定部は、侵入リスクが許容セキュリティリスクレベル以下であり、且つ、許容セーフティリスクリスクレベルを超える端末を抽出する。安全機能抽出部は、抽出された端末について端末が担う安全機能を抽出する。総合対策コスト・生産性評価部は、抽出された安全機能について安全機能代替策案を取得する。総合対策コスト・生産性評価部は、セキュリティ対策案及び安全機能代替策案の組み合わせである対策パターンを評価する。
【選択図】図1A
【特許請求の範囲】
【請求項1】
情報を処理する情報処理装置を含むセキュリティ対策案選定支援システムであって、
前記情報処理装置には、
端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、
複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、
前記端末の安全機能に関する情報を含む安全機能情報と、
が入力され、
前記情報処理装置は、
前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、
前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、
前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力する、
ように構成された、
セキュリティ対策案選定支援システム。
前記情報処理装置には、
端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、
複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、
前記端末の安全機能に関する情報を含む安全機能情報と、
が入力され、
前記情報処理装置は、
前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、
前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、
前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力する、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項2】
請求項1に記載のセキュリティ対策案選定支援システムにおいて、
前記情報処理装置には、前記対策選定要件として、前記セキュリティ要件及び前記対象システムの安全性に関するセーフティ要件が入力され、
前記情報処理装置は、
前記セキュリティ要件を満たし、且つ、前記セーフティ要件を満たさない前記セキュリティ対策候補を、前記対応策の設定対象とする、
ように構成された、
セキュリティ対策案選定支援システム。
前記情報処理装置には、前記対策選定要件として、前記セキュリティ要件及び前記対象システムの安全性に関するセーフティ要件が入力され、
前記情報処理装置は、
前記セキュリティ要件を満たし、且つ、前記セーフティ要件を満たさない前記セキュリティ対策候補を、前記対応策の設定対象とする、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項3】
請求項2に記載のセキュリティ対策案選定支援システムにおいて、
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記対象システムを構成する前記端末についての侵入リスクを含み、
前記安全機能情報は、前記端末が担う安全機能を示す端末別安全機能情報と、前記安全機能に対する予備対策案を示す安全機能代替策情報とを含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、前記セーフティ要件として、許容セーフティリスクレベルが入力され、
前記情報処理装置は、
前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、前記許容セーフティリスクレベルを超える前記端末を特定し、
前記端末別安全機能情報に基づき、特定した前記端末から前記端末が担う安全機能を特定し、
前記安全機能代替策情報に基づき、特定した前記安全機能から前記予備対策案を取得し、取得した前記予備対策案を前記対応策として設定する、
ように構成された、
セキュリティ対策案選定支援システム。
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記対象システムを構成する前記端末についての侵入リスクを含み、
前記安全機能情報は、前記端末が担う安全機能を示す端末別安全機能情報と、前記安全機能に対する予備対策案を示す安全機能代替策情報とを含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、前記セーフティ要件として、許容セーフティリスクレベルが入力され、
前記情報処理装置は、
前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、前記許容セーフティリスクレベルを超える前記端末を特定し、
前記端末別安全機能情報に基づき、特定した前記端末から前記端末が担う安全機能を特定し、
前記安全機能代替策情報に基づき、特定した前記安全機能から前記予備対策案を取得し、取得した前記予備対策案を前記対応策として設定する、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項4】
請求項2に記載のセキュリティ対策案選定支援システムにおいて、
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記対象システムを構成する前記端末についての侵入リスクと、前記セキュリティ対策候補の実行にかかる対策コストと、前記セキュリティ対策候補を実行した場合の生産性と、を含み、
前記安全機能情報は、前記端末が担う安全機能を示す端末別安全機能情報と、前記安全機能に対する予備対策案と前記予備対策案を実行にかかるコストと前記予備対策案を実行した場合の生産性とを含む安全機能代替策情報と、を含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、前記セーフティ要件として、許容セーフティリスクレベルが入力され、生産性に関する条件及び予算に関する条件が入力され、
前記情報処理装置は、
前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、前記許容セーフティリスクレベルを超える端末を特定し、
前記端末別安全機能情報に基づき、特定した前記端末から特定した前記端末が担う安全機能を特定し、
前記安全機能代替策情報に基づき、特定した前記端末が担う安全機能から前記予備対策案を前記対応策として設定し、
前記安全機能代替策情報及び前記セキュリティ対策案リストに基づいて、前記対策パターンを実行した場合の対策コスト及び生産性を計算し、
計算した前記対策パターンの前記対策コスト及び前記生産性のそれぞれが、前記生産性に関する条件及び前記予算に関する条件のそれぞれを満たすか否かを判定することにより、求めた前記対策パターンの中から優先的な対策パターンを選定し、選定した前記優先的な対策パターンを出力する、
ように構成された、
セキュリティ対策案選定支援システム。
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記対象システムを構成する前記端末についての侵入リスクと、前記セキュリティ対策候補の実行にかかる対策コストと、前記セキュリティ対策候補を実行した場合の生産性と、を含み、
前記安全機能情報は、前記端末が担う安全機能を示す端末別安全機能情報と、前記安全機能に対する予備対策案と前記予備対策案を実行にかかるコストと前記予備対策案を実行した場合の生産性とを含む安全機能代替策情報と、を含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、前記セーフティ要件として、許容セーフティリスクレベルが入力され、生産性に関する条件及び予算に関する条件が入力され、
前記情報処理装置は、
前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、前記許容セーフティリスクレベルを超える端末を特定し、
前記端末別安全機能情報に基づき、特定した前記端末から特定した前記端末が担う安全機能を特定し、
前記安全機能代替策情報に基づき、特定した前記端末が担う安全機能から前記予備対策案を前記対応策として設定し、
前記安全機能代替策情報及び前記セキュリティ対策案リストに基づいて、前記対策パターンを実行した場合の対策コスト及び生産性を計算し、
計算した前記対策パターンの前記対策コスト及び前記生産性のそれぞれが、前記生産性に関する条件及び前記予算に関する条件のそれぞれを満たすか否かを判定することにより、求めた前記対策パターンの中から優先的な対策パターンを選定し、選定した前記優先的な対策パターンを出力する、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項5】
請求項4に記載のセキュリティ対策案選定支援システムにおいて、
画像を表示可能な表示装置を備え、
前記情報処理装置は、
前記優先的な対策パターンを示す情報と、前記優先的な対策パターンの前記対策コスト及び前記生産性とを含む情報を前記表示装置に出力し、出力した前記情報を前記表示装置に表示させる、
ように構成された、
セキュリティ対策案選定支援システム。
画像を表示可能な表示装置を備え、
前記情報処理装置は、
前記優先的な対策パターンを示す情報と、前記優先的な対策パターンの前記対策コスト及び前記生産性とを含む情報を前記表示装置に出力し、出力した前記情報を前記表示装置に表示させる、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項6】
請求項4に記載のセキュリティ対策案選定支援システムにおいて、
前記セキュリティ対策案リスト、前記端末別安全機能情報及び前記安全機能代替策情報が格納された記憶装置を備える、
セキュリティ対策案選定支援システム。
前記セキュリティ対策案リスト、前記端末別安全機能情報及び前記安全機能代替策情報が格納された記憶装置を備える、
セキュリティ対策案選定支援システム。
【請求項7】
請求項4に記載のセキュリティ対策案選定支援システムにおいて、
ユーザによって操作され、且つ、前記情報処理装置に対して当該ユーザによる操作に基づく情報を入力可能な情報入力装置を備え、
前記情報入力装置によって、前記許容セキュリティリスクレベル、前記許容セーフティリスクレベル、並びに、前記生産性に関する条件及び前記予算に関する条件が前記情報処理装置に入力される、
セキュリティ対策案選定支援システム。
ユーザによって操作され、且つ、前記情報処理装置に対して当該ユーザによる操作に基づく情報を入力可能な情報入力装置を備え、
前記情報入力装置によって、前記許容セキュリティリスクレベル、前記許容セーフティリスクレベル、並びに、前記生産性に関する条件及び前記予算に関する条件が前記情報処理装置に入力される、
セキュリティ対策案選定支援システム。
【請求項8】
請求項1に記載のセキュリティ対策案選定支援システムにおいて、
前記対象システムは前記端末として情報端末及び制御端末を含み、
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記情報端末についての対策案適用前後の侵入リスクを含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、
前記情報処理装置には、前記安全機能情報として、ハザードとハザードに対応する前記制御端末、頻度、深刻度、要求安全水準及びPFHとを含む端末要求安全水準情報と、前記頻度と前記深刻度と安全水準と安全水準に対応するPFH範囲とが対応付けられた要求安全水準対応情報と、が入力され、
前記情報処理装置には、前記情報端末及び前記制御端末間の接続関係を示す情報を含むシステム生産情報が入力され、
前記情報処理装置は、
対策案適用後の前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、対策案適用後の侵入リスクが対策案適用前から上昇する前記情報端末を特定し、
前記システム生産情報に基づいて、特定した前記情報端末に接続されている前記制御端末を特定し、
前記安全機能情報に基づいて、特定した前記制御端末に対応するハザード及びPFHを特定し、特定した前記ハザードの前記頻度が前記侵入リスクの上昇分だけ上昇したとみなし、その場合の前記頻度及び前記深刻度に基づき、前記安全水準及び前記安全水準に対応するPFH範囲を前記要求安全水準対応情報から取得し、
特定した前記PFHが、取得した前記PFH範囲外である場合、特定した前記制御端末の停止を、前記対応策として設定する、
ように構成された、
セキュリティ対策案選定支援システム。
前記対象システムは前記端末として情報端末及び制御端末を含み、
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記情報端末についての対策案適用前後の侵入リスクを含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、
前記情報処理装置には、前記安全機能情報として、ハザードとハザードに対応する前記制御端末、頻度、深刻度、要求安全水準及びPFHとを含む端末要求安全水準情報と、前記頻度と前記深刻度と安全水準と安全水準に対応するPFH範囲とが対応付けられた要求安全水準対応情報と、が入力され、
前記情報処理装置には、前記情報端末及び前記制御端末間の接続関係を示す情報を含むシステム生産情報が入力され、
前記情報処理装置は、
対策案適用後の前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、対策案適用後の侵入リスクが対策案適用前から上昇する前記情報端末を特定し、
前記システム生産情報に基づいて、特定した前記情報端末に接続されている前記制御端末を特定し、
前記安全機能情報に基づいて、特定した前記制御端末に対応するハザード及びPFHを特定し、特定した前記ハザードの前記頻度が前記侵入リスクの上昇分だけ上昇したとみなし、その場合の前記頻度及び前記深刻度に基づき、前記安全水準及び前記安全水準に対応するPFH範囲を前記要求安全水準対応情報から取得し、
特定した前記PFHが、取得した前記PFH範囲外である場合、特定した前記制御端末の停止を、前記対応策として設定する、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項9】
請求項8に記載のセキュリティ対策案選定支援システムにおいて、
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記セキュリティ対策候補の実行にかかる対策コストを更に含み、
前記情報処理装置には、予算に関する条件が入力され、
前記情報処理装置は、
前記セキュリティ対策案リストに基づいて、前記対策パターンを実行した場合の対策コストを計算し、
計算した前記対策パターンの対策コストが、前記予算に関する条件を満たすか否か判定することにより、求めた前記対策パターンの中から優先的な対策パターンを選定し、選定した前記優先的な対策パターンを出力する、
ように構成された、
セキュリティ対策案選定支援システム。
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記セキュリティ対策候補の実行にかかる対策コストを更に含み、
前記情報処理装置には、予算に関する条件が入力され、
前記情報処理装置は、
前記セキュリティ対策案リストに基づいて、前記対策パターンを実行した場合の対策コストを計算し、
計算した前記対策パターンの対策コストが、前記予算に関する条件を満たすか否か判定することにより、求めた前記対策パターンの中から優先的な対策パターンを選定し、選定した前記優先的な対策パターンを出力する、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項10】
請求項9に記載のセキュリティ対策案選定支援システムにおいて、
前記システム生産情報は、前記対象システムの生産性に関する情報を含み、
前記情報処理装置には、前記対象システムの生産実績を示す生産実績情報が入力され、
前記情報処理装置は、
前記システム生産情報及び前記生産実績情報に基づいて、前記対応策として特定した前記制御端末の停止を実行した場合の機会損失額を計算する、
ように構成された、
セキュリティ対策案選定支援システム。
前記システム生産情報は、前記対象システムの生産性に関する情報を含み、
前記情報処理装置には、前記対象システムの生産実績を示す生産実績情報が入力され、
前記情報処理装置は、
前記システム生産情報及び前記生産実績情報に基づいて、前記対応策として特定した前記制御端末の停止を実行した場合の機会損失額を計算する、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項11】
請求項10に記載のセキュリティ対策案選定支援システムにおいて、
前記対応策として特定した前記制御端末の停止を実行した場合の前記対象システムの合計した生産性が、前記生産実績情報の過去の稼働実績を下回る期間において、過去の稼働実績に対して不足する生産量の分に単価を乗じることにより、前記機会損失額を計算する、
ように構成された、
セキュリティ対策案選定支援システム。
前記対応策として特定した前記制御端末の停止を実行した場合の前記対象システムの合計した生産性が、前記生産実績情報の過去の稼働実績を下回る期間において、過去の稼働実績に対して不足する生産量の分に単価を乗じることにより、前記機会損失額を計算する、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項12】
請求項11に記載のセキュリティ対策案選定支援システムにおいて、
画像を表示可能な表示装置を備え、
前記情報処理装置は、
前記優先的な対策パターン、前記対策コスト及び前記機会損失額を含む情報を前記表示装置に出力し、出力した前記情報を前記表示装置に表示させる、
ように構成された、
セキュリティ対策案選定支援システム。
画像を表示可能な表示装置を備え、
前記情報処理装置は、
前記優先的な対策パターン、前記対策コスト及び前記機会損失額を含む情報を前記表示装置に出力し、出力した前記情報を前記表示装置に表示させる、
ように構成された、
セキュリティ対策案選定支援システム。
【請求項13】
請求項10に記載のセキュリティ対策案選定支援システムにおいて、
前記セキュリティ対策案リスト、前記端末要求安全水準情報、前記要求安全水準対応情報、前記システム生産情報及び前記生産実績情報が格納された記憶装置を備える、
セキュリティ対策案選定支援システム。
前記セキュリティ対策案リスト、前記端末要求安全水準情報、前記要求安全水準対応情報、前記システム生産情報及び前記生産実績情報が格納された記憶装置を備える、
セキュリティ対策案選定支援システム。
【請求項14】
請求項9に記載のセキュリティ対策案選定支援システムにおいて、
ユーザによって操作され、且つ、前記情報処理装置に対して当該ユーザによる操作に基づく情報を入力可能な情報入力装置を備え、
前記情報入力装置によって、前記許容セキュリティリスクレベル、及び、前記予算に関する条件が入力される、
セキュリティ対策案選定支援システム。
ユーザによって操作され、且つ、前記情報処理装置に対して当該ユーザによる操作に基づく情報を入力可能な情報入力装置を備え、
前記情報入力装置によって、前記許容セキュリティリスクレベル、及び、前記予算に関する条件が入力される、
セキュリティ対策案選定支援システム。
【請求項15】
情報を処理する情報処理装置を用いたセキュリティ対策案選定支援方法であって、
前記情報処理装置には、
端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、
複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、
前記端末の安全機能に関する情報を含む安全機能情報と、
が入力され、
前記情報処理装置によって、
前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、
前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、
前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力する、
セキュリティ対策案選定支援方法。
前記情報処理装置には、
端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、
複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、
前記端末の安全機能に関する情報を含む安全機能情報と、
が入力され、
前記情報処理装置によって、
前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、
前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、
前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力する、
セキュリティ対策案選定支援方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、リスク分析の技術に関し、典型的にはセキュリティ対策案選定支援システム及びセキュリティ対策案選定支援方法に関する。
【背景技術】
【0002】
IoT(Internet of Things)を活用したスマートファクトリーや物流システム等の様々な制御システムにおいては、機器類をインターネット等のネットワークに接続することで、状態監視や遠隔制御等が実現される。このような制御システムはサイバー攻撃の対象となるリスクも有ることから、常に最新のセキュリティ対策を講じておく必要があるが、一般に対策にはコストを要し、システムの性能など他の特性にも影響し得ることから、対策の選定には総合的な判断が必要となる。
【0003】
更には、セーフティクリティカルなシステムの場合は、悪意ある第三者の侵入時やウィルス感染時にも安全性を担保する必要が有るため、セキュリティ対策に加えてセーフティの対策も併せて考慮しておく必要がある。
【0004】
このようなセキュリティ対策の選定に関し、例えば特許文献1で開示されているシステムは、複数のセキュリティ対策候補が単独または組合せで適用し得る場合に、与えられた要件を満足できる対策の様々な組合せを考慮し、最小のコストで実現できる組合せを見出すことを特徴とする。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2018-180595号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
セキュリティ対策を選定する際には、対策コストや生産性(性能)への影響など様々な評価指標が有り得る。特許文献1のシステムにおいては、対策を組み合わせた場合の合計コストの最小化を考慮している。
【0007】
他方、セーフティクリティカルな制御システムにおいてセキュリティの対策案を検討する際には、対策コストや生産性だけではなく、セキュリティ対策を適用した場合、もしくは適用しない場合の安全性への影響も併せて考慮する必要がある。例えば、セキュリティ観点では許容されたリスクによりセーフティ上の許容不可なリスクを顕在化する可能性も有る。
【0008】
しかし、特許文献1のシステムにおいては、セキュリティ及びセーフティ(安全性)の両方の観点を考慮したセキュリティ対策の選定は行われていない。
【0009】
本発明は上記課題を解決するためになされた。即ち、本発明の目的の一つは、セキュリティ及びセーフティの観点を考慮した適切な対策案の選定を支援することができるセキュリティ対策案選定支援システム及びセキュリティ対策案選定支援方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明のセキュリティ対策選定支援システムは、情報を処理する情報処理装置を含むセキュリティ対策案選定支援システムであって、前記情報処理装置には、端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、前記端末の安全機能に関する情報を含む安全機能情報と、が入力され、前記情報処理装置は、前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力するように構成されている。
【0011】
本発明のセキュリティ対策案選定支援方法は、情報を処理する情報処理装置を用いたセキュリティ対策案選定支援方法であって、前記情報処理装置には、端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、前記端末の安全機能に関する情報を含む安全機能情報と、が入力され、前記情報処理装置によって、前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力する。
【発明の効果】
【0012】
本発明によれば、セキュリティ及びセーフティの観点を考慮した適切な対策案の選定を支援することができる。なお、ここに記載された効果は必ずしも限定されるものではなく、本開示中に記載された何れかの効果であってもよい。
【図面の簡単な説明】
【0013】
【発明を実施するための形態】
【0014】
<本発明の概要>
まず本発明の理解を容易にするため、本発明の概要について説明する。セキュリティ対策を選定する際には、対策コストや生産性(性能)への影響など様々な評価指標が有り得る。上述した特許文献1のシステムにおいては、対策を組み合わせた場合の合計コストの最小化を考慮している。他方、セーフティクリティカルな制御システムにおいてセキュリティの対策案を検討する際には、対策コストや生産性だけではなく、セキュリティ対策を適用した場合、もしくは適用しない場合の安全性への影響も併せて考慮する必要がある。例えば、セキュリティ観点では許容されたリスクによりセーフティ上の許容不可なリスクを顕在化する可能性も有る。その他の可能性として、セキュリティ上許容可能な範囲であれば、安全性担保の為に高コストなセキュリティ対策を講じる代わりに、物理的な安全対策等を行う方が、総合的なコストや生産性の観点で望ましい場合も有り得る。このように、セキュリティとセーフティ及び生産性やコストとの観点で、経営視点の要件(生産目標、予算及び許容リスク)を満たす最適なセキュリティ対策とセーフティ対策との組合せを見出せるよう、様々なパターンを考慮する必要が有る。
まず本発明の理解を容易にするため、本発明の概要について説明する。セキュリティ対策を選定する際には、対策コストや生産性(性能)への影響など様々な評価指標が有り得る。上述した特許文献1のシステムにおいては、対策を組み合わせた場合の合計コストの最小化を考慮している。他方、セーフティクリティカルな制御システムにおいてセキュリティの対策案を検討する際には、対策コストや生産性だけではなく、セキュリティ対策を適用した場合、もしくは適用しない場合の安全性への影響も併せて考慮する必要がある。例えば、セキュリティ観点では許容されたリスクによりセーフティ上の許容不可なリスクを顕在化する可能性も有る。その他の可能性として、セキュリティ上許容可能な範囲であれば、安全性担保の為に高コストなセキュリティ対策を講じる代わりに、物理的な安全対策等を行う方が、総合的なコストや生産性の観点で望ましい場合も有り得る。このように、セキュリティとセーフティ及び生産性やコストとの観点で、経営視点の要件(生産目標、予算及び許容リスク)を満たす最適なセキュリティ対策とセーフティ対策との組合せを見出せるよう、様々なパターンを考慮する必要が有る。
【0015】
そこで本発明では、制御システムにおけるセキュリティ対策及びセーフティ対策の選定を支援するシステムにおいて、セキュリティ侵害リスクの有る制御端末が有れば、同端末が担保する安全機能を特定する。それら安全機能については、物理的な保護や多様化等の予備対策を講じる前提とし、元のセキュリティ対策とそれら予備対策との組合せを一つの対策パターンとみなす。
【0016】
更に、セキュリティ対策のコスト及び生産性と、付随する各セーフティ予備対策のコスト合計と生産性合計を加味することで、同対策パターンの総合的なコスト及び生産性を算出する。
【0017】
全対策パターンについて、コストや生産性の観点で経営関連要件(予算、生産目標)を満足するものを抽出し、ユーザ(対策決定者)に提示し、ユーザはそれら要件や許容リスクを調整しながら、試行錯誤の上で最適な対策を決定する。
【0018】
本発明によれば、セキュリティ上の脅威等が判明した際、制御システムに講じるべき対策案が複数有る場合に、セキュリティ観点やセーフティ観点、及びその他経営観点も考慮した対策パターンを提示することで、ユーザが最適(妥協可能)な対策パターンを見出す為の支援を提供することができる。
【0019】
<<実施形態>>
以下、本発明の各実施形態について図面を参照しながら説明する。なお、実施形態の全図において、同一又は対応する部分には同一の符号を付す場合がある。
以下、本発明の各実施形態について図面を参照しながら説明する。なお、実施形態の全図において、同一又は対応する部分には同一の符号を付す場合がある。
【0020】
以下の説明では、「リスト」、「表」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されてもよい。「XXXリスト」、「XXX表」及び「XXXデータベース」のそれぞれは、「XXX情報」と読み替えてもよい。識別情報について説明する際、「名称」等の表現を用いるが、これらについてはお互いに置換が可能である。以下の説明では、プログラムを主語として処理を説明する場合があるが、処理の主語が、CPU又は装置とされてもよい。プログラムはプログラム配布サーバや、計算機(情報処理装置)が読み取り可能な記憶メディアによって各計算機(情報処理装置)にインストールされてもよい。また、プログラムは、ハイパーバイザ型又はコンテナ型といった仮想化環境上で実行されてもよい。
【0021】
<<第1実施形態>>
図1Aは、本発明の第1実施形態に係るセキュリティ対策案選定支援システム(総合対策案選定支援システム100)及びその入出力の構成図である。
図1Aは、本発明の第1実施形態に係るセキュリティ対策案選定支援システム(総合対策案選定支援システム100)及びその入出力の構成図である。
【0022】
図1Aに示すように、総合対策案選定支援システム100は、セキュリティ対策案DB103と、安全機能情報DB105と、対策案組合せ評価部108と、対策選定要件充足判断・提示部113と、ユーザインタフェース部115とを含む。
【0023】
ユーザ101は、総合対策案選定支援システム100の出力を参考として、対象システム(本例では、図1Bに示す対象システムSy1(対象制御システムSy1))に対するセキュリティ及びセーフティの観点を考慮した対策案を選定する。対象システムSy1は、情報端末1及び情報端末2と、制御端末1乃至制御端末3とを含む。情報端末1及び情報端末2は通信可能に接続される。情報端末1は制御端末1に通信可能に接続される。情報端末2は、制御端末2及び制御端末3に通信可能に接続される。対象システムSy1としては、例えば、物流センタにおける倉庫管理システム及び倉庫管理システムと連携する倉庫制御システムである。倉庫内の搬送では、作業員と倉庫制御システム(制御端末等)によって制御される搬送ロボット、ピックアップロボット等とが、倉庫管理システム(情報端末等)と連携しながら、荷物のピッキング、運搬及び出荷等を行う。
【0024】
対策選定要件102は、ユーザ101がユーザインタフェース部115を介して総合対策案選定支援システム100へ入力する対策選定要件を示す情報である。
【0025】
セキュリティ対策案DB103は様々なセキュリティ対策案を保持するデータベース(DB)であり、対象システムSy1におけるセキュリティ対策案リスト104を出力する。安全機能情報DB105は、対象システムSy1における安全性関連の設計情報を保持するデータベースであり、対象システムSy1における端末別安全機能リスト106及び安全機能代替策リスト107を出力する。
【0026】
対策案組合せ評価部108は、対策案組合せ(対策パターン)を評価する処理を実行する。対策案組合せ評価部108は、リスク許容可否判定部109、安全機能抽出部110及び総合対策コスト・生産性評価部111により構成される。対策案組合せ評価部108は、対策選定要件102、セキュリティ対策案リスト104、端末別安全機能リスト106及び安全機能代替策リスト107の情報に基づき、セキュリティ対策からなる対策パターン、及び/又は、セキュリティ対策とセーフティ対策とを組み合わせた対策パターンを含む対策案組合せ候補リスト112を出力する。
【0027】
対策選定要件充足判断・提示部113は、対策案組合せ評価部108により出力された対策案組合せ候補リスト112を入力とし、対策選定要件102の条件を満たす対策案組合せを抽出して対策案組合せ優先候補リスト114を作成し、ユーザインタフェース部115を介してユーザ101へ提示する。
【0028】
図2は、本発明のハードウェア構成の一例を示したものである。処理装置200は、CPU201、メモリ202、ストレージ装置203及び画面操作インタフェース204を含む。これらはバスを介して接続されている。処理装置200は、ネットワーク205に接続され、外部装置とネットワーク205を介して情報を送受信可能に接続される。処理装置200が複数ある場合、これらの処理装置200はネットワーク205を介して情報を送受信可能に接続される。
【0029】
CPU201は、ストレージ装置203(例えば、データの読み出し及び書き込み可能な不揮発性の記憶装置)に格納されたプログラムをメモリ202にロードし、メモリ202にロードされたプログラムを実行する。
【0030】
図1Aに示したシステムは1台以上の処理装置200で構成され、総合対策案選定支援システム100の処理はCPU201上で1つ以上のプログラムとして実行することにより、対策案組合せ評価部108及び対策選定要件充足判断・提示部113等の各機能を実現する。対策案組合せ評価部108及び対策選定要件充足判断・提示部113は、例えば、プログラムにより構成される。処理装置200は、便宜上、「情報処理装置」とも称呼される。情報処理装置は、クラウド上に構築される仮想的な情報処理装置であってもよい。
【0031】
セキュリティ対策案DB103及び安全機能情報DB105の情報はストレージ装置203に記録(格納、保存)される。なお、これらの情報は、ネットワーク205を経由して、処理装置200の外部に存在する別のストレージ装置に記録することも可能である。
【0032】
ユーザインタフェース部115における画面への表示や入力処理は、画面操作インタフェース204を介して行われる。なお、ユーザインタフェース部115は、画像を表示可能な表示装置を含み、画面操作インタフェース204は、例えば、マウス、キーボード、タッチパネル等の入力装置(情報入力装置)を含む。
【0033】
図3は、ユーザ101がユーザインタフェース部115を介して総合対策案選定支援システム100へ入力する、対策選定要件102の例である。対策選定要件102は対策案選定観点300及びそれらの条件301で構成される。この例においては、対策案選定観点300は生産目標、対策予算、許容セキュリティリスクレベル、及び許容セーフティリスクレベルの四つが指定されている。
【0034】
具体的に述べると、生産目標は85%以上であることが指定されている。対策予算は、10M(ミリオン)¥以内であることが指定されている。許容セキュリティリスクレベルは、R_Mid以下であることが指定されている。許容セーフティリスクレベルは、R_Low以下であることが指定されている。なお、本例において、リスクレベルは、3段階のR_Low、R_Mid及びR_Highにより示し、R_MidはR_Lowよりリスクレベルが高いことを示し、R_HighはR_Midよりリスクレベルが高いことを示す。
【0035】
図4は、セキュリティ対策案DB103に記録されている、対象システムSy1に対するセキュリティ対策案リスト104の例である。セキュリティ対策案リスト104では、各対策案400において、対象システムSy1の各端末における侵入リスク401と、対策案の対策コスト402及び対策を講じた場合の生産性403が示されている。この例における生産性403は、対象システムSy1における現在の最大の生産性値に対する割合を示している。
【0036】
この例のセキュリティ対策案1では、情報端末1、情報端末2、制御端末1、制御端末2及び制御端末3の侵入リスクがR_Lowであり、対策コストが2M¥かかり、生産性が80%になることが示されている。セキュリティ対策案2では、情報端末2、制御端末2及び制御端末3の侵入リスクがR_Lowであり、情報端末1及び制御端末1の侵入リスクがR_Midであり、対策コストが1M¥かかり、生産性が100%であることが示されている。セキュリティ対策案3では、情報端末1、制御端末1及び制御端末3の侵入リスクがR_Lowであり、情報端末2及び制御端末2の侵入リスクがR_Midであり、対策コストが3M¥かかり、生産性が100%であることが示されている。
【0037】
図5は、安全機能情報DB105に記録されている端末別安全機能リスト106の例である。端末別安全機能リスト106では、対象システムSy1における各端末500が担う安全機能が担当安全機能501に示されている。安全機能の例としては、例えば、人物が所定の領域に入ったら制御対象の動作を停止するなどが挙げられる。この端末別安全機能リスト106の例によれば、制御端末1が担う安全機能は、安全機能1及び安全機能2であることが示されており、制御端末2が担う安全機能は、安全機能3であることが示されている。情報端末1、情報端末2、制御端末2及び制御端末3が担う安全機能はないことが示されている。
【0038】
図6は、安全機能情報DB105に記録されている安全機能代替策リスト107の例である。安全機能代替策リスト107では、対象システムSy1における各安全機能600について、端末への侵入により安全機能が無効となった場合に安全性を担保する為に必要な予備対策、及び、その予備対策を講じた場合の追加コストと生産性が示されている。安全機能代替策リスト107には、これらの予備対策、追加コスト及び生産性が、それぞれ、予備対策601、予備対策コスト602及び予備対策時生産性603として記録(格納)されている。安全機能代替策リスト107の例によれば、安全機能1に対する予備対策が安全機能1予備対策であり、予備対策コストが0.8M¥であり、予備対策時生産性が100%であることが示されている。安全機能2に対する予備対策が安全機能2予備対策であり、予備対策コストが0.5M¥であり、予備対策時生産性が90%であることが示されている。安全機能3に対する予備対策が安全機能3予備対策であり、予備対策コストが2M¥であり、予備対策時生産性が100%であることが示されている。
【0039】
図7は、対策案組合せ評価部108の処理フローチャートを示したものである。対策案組合せ評価部108は、まずセキュリティ対策案DB103よりセキュリティ対策案リスト104を取得し(ステップ700)する。次に、対策案組合せ評価部108は、ステップ701とステップ702との間の各リスク許容可否判定部109、安全機能抽出部110及び総合対策コスト・生産性評価部111の処理を、取得したセキュリティ対策案リスト104の全てのセキュリティ対策案について行うまで繰り返し行う。
【0040】
図8は、対策案組合せ評価部108内のリスク許容可否判定部109の処理フローチャートを示したものである。リスク許容可否判定部109は、まずユーザインタフェース部115を介してユーザ101が入力した対策選定要件102を取得し(ステップ800)、セキュリティ対策案リスト104内で選択されたセキュリティ対策案において侵入リスクが許容セキュリティリスクレベルを超える端末は有るかを判断する(ステップ801)。もし該当の端末が存在する場合(ステップ801にて「Yes」)、リスク許容可否判定部109は、ユーザ101の要件を満たさないと判断し、同セキュリティ対策案をスキップし(ステップ802)、次のセキュリティ対策案へ進む(ステップ701)。全ての端末の侵入リスクが許容セキュリティリスクの範囲内である場合(ステップ801にて「No」)、リスク許容可否判定部109は、許容セーフティリスクレベルを超える端末を抽出し(ステップ803)、安全機能抽出部110へ進む。
【0041】
図9は、リスク許容可否判定部109の次に行われる安全機能抽出部110の処理フローチャートを示したものである。安全機能抽出部110は、まず安全機能情報DB105より端末別安全機能リスト106を取得する(ステップ900)。その後、安全機能抽出部110は、リスク許容可否判定部109において抽出された、許容セーフティリスクレベルを超える各端末について、端末別安全機能リスト106に基づき、それら端末が担う安全機能を抽出する(ステップ901)。
【0042】
図10は、対策案組合せ評価部108の最後に実施される、総合対策コスト・生産性評価部111の処理フローチャートである。総合対策コスト・生産性評価部111は、初めに安全機能情報DB105より安全機能代替策リスト107を取得する(ステップ1000)。総合対策コスト・生産性評価部111は、安全機能抽出部110において抽出された各安全機能の予備対策(安全機能代替策)を特定し(ステップ1001)、それら予備対策の予備対策コスト602の総和及び予備対策時生産性603の積を計算する(ステップ1002)。その後、総合対策コスト・生産性評価部111は、選択されたセキュリティ対策案の対策コスト402と予備対策コスト602の総和の合計を計算し(ステップ1003)、また同セキュリティ対策案の生産性403と予備対策時生産性603の積を乗算する(ステップ1004)。最後に、総合対策コスト・生産性評価部111は、選択されたセキュリティ対策案と安全機能代替策を合わせて一つの対策パターンとみなし、ステップ1003及びステップ1004で算出した総合コスト及び総合生産性とともに、対策案組合せ候補リスト112へ追加する。
【0043】
図11は、対策案組合せ評価部108によって生成される対策案組合せ候補リスト112の例である。対策案組合せ候補リスト112では、各対策組合せ1100を構成するセキュリティ対策1101とセーフティ対策1102の情報と、総合対策コスト・生産性評価部111において算出された総合対策コスト1103と総合生産性1104とが記録されている。
【0044】
対策案組合せ候補リスト112の例によれば、対策パターン1は、セキュリティ対策がセキュリティ対策案1であり、総合対策コストが2M¥であり、総合生産性が80%であることが示されている。対策パターン2は、セキュリティ対策がセキュリティ対策案2であり、セーフティ対策が安全機能1予備対策及び安全機能2予備対策であり、総合対策コストが2.3M¥であり、総合生産性が90%であることが示されている。対策パターン3は、セキュリティ対策がセキュリティ対策案3であり、セーフティ対策が安全機能3予備対策であり、総合対策コストが5M¥であり、総合生産性が100%であることが示されている。
【0045】
図12は、対策選定要件充足判断・提示部113の処理フローチャートを示したものである。対策選定要件充足判断・提示部113は、初めにユーザ101の入力した対策選定要件102を取得(ステップ1200)する。次に、対策選定要件充足判断・提示部113は、対策案組合せ評価部108より対策案組合せ候補リスト112を受け取った後(ステップ1201)、対策案組合せ候補リスト112内の対策案組合せ候補毎に要件充足の判断を行う(ステップ1202~ステップ1206)。対策選定要件充足判断・提示部113は、各対策案組合せ候補について、総合対策コスト1103が対策選定要件102に示された対策予算の条件301を満たすかを確認し(ステップ1203)、満たさない場合(ステップ1203にて「No」)は次の対策組合せ候補へと進む(ステップ1202)。
【0046】
対策選定要件充足判断・提示部113は、対策予算の条件301を充足する場合(ステップ1203にて「Yes」)、次の判断として総合生産性1104が生産目標の条件301を満たすかを確認する(ステップ1204)。もし満たさない場合(ステップ1204にて「No」)、対策選定要件充足判断・提示部113は次の対策組合せ候補へと進むが(ステップ1202)、満たす場合(ステップ1204にて「Yes」)、対策選定要件充足判断・提示部113は同対策案組合せ候補を対策案組合せ優先候補リスト114へ追加する(ステップ1205)。各対策案組合せ候補に対する処理(ステップ1202~ステップ1206)を終えた後、対策選定要件充足判断・提示部113は対策案組合せ優先候補リスト114を、ユーザインタフェース部115を介してユーザ101へ提示する(ステップ1207)。
【0047】
図13は、対策選定要件充足判断・提示部113によりユーザ101へ提示される、対策案組合せ優先候補リスト114の例を示したものである。対策案組合せ優先候補リスト114の形式は対策案組合せ候補リスト112と同様であり、対策選定要件充足判断・提示部113により選定された各対策組合せ1300について、セキュリティ対策1301、セーフティ対策1302、総合対策コスト1303及び総合生産性1304が示されている。なお、この対策案組合せ優先候補リスト114の例によれば、対策パターン1は、条件301の生産目標を満たさないため対策選定要件充足判断・提示部113により選定されないことが示されている。
【0048】
図14は、ユーザインタフェース部115の例を示したものである。ユーザインタフェース部115は、対策選定要件入力部1400と対策案組合せ優先候補表示部1401とから構成される。
【0049】
対策選定要件入力部1400は、対策選定要件102を生成する為に必要な、各対策案選定観点300の条件301の入力を受け付けるテキストフォームやグラフィカルユーザインタフェースと、それら条件を元に総合対策案選定支援システム100の処理を開始する為のボタンを備えている。
【0050】
ユーザによって、対策選定要件入力部1400が操作されることにより、対策選定要件102が、総合対策案選定支援システム100へ入力される。
【0051】
処理が完了した後は、対策案組合せ優先候補リスト114が対策案組合せ優先候補表示部1401に表示される。これにより、ユーザは、セキュリティ及びセーフティを満たし、コスト及び生産性の観点からどの対策パターンが優れているかなどを確認できる。
【0052】
<効果>
以上説明したように、本発明の第1実施形態に係るセキュリティ対策案選定システム(総合対策案選定支援システム100)は、セキュリティ上の脅威等が判明した際、制御システムに講じるべき対策案が複数有る場合に、セキュリティ観点やセーフティ観点、及びその他経営観点も考慮した対策パターンを提示することで、ユーザが最適(妥協可能)な対策パターンを見出す為の支援を提供することができる。
以上説明したように、本発明の第1実施形態に係るセキュリティ対策案選定システム(総合対策案選定支援システム100)は、セキュリティ上の脅威等が判明した際、制御システムに講じるべき対策案が複数有る場合に、セキュリティ観点やセーフティ観点、及びその他経営観点も考慮した対策パターンを提示することで、ユーザが最適(妥協可能)な対策パターンを見出す為の支援を提供することができる。
【0053】
<<第2実施形態>>
本発明の第2実施形態に係るセキュリティ対策案選定支援システム(総合対策案選定支援システム100)について説明する。
本発明の第2実施形態に係るセキュリティ対策案選定支援システム(総合対策案選定支援システム100)について説明する。
【0054】
第1実施形態の対策案組合せ評価部108においては、ユーザ101の与える対策選定要件102の許容セーフティリスクレベルを超える制御端末について、それら端末の担う安全機能の予備対策を講じる想定で、総合的なコスト及び生産性の評価を行った。第2実施形態においては、セキュリティリスク上昇を制御端末のハザードリスク上昇と見做した上で、要求安全水準を満たさなくなる場合には端末停止を想定し、その場合の生産性を評価する。また、対策案組合せをユーザ101に提示する際には、生産性そのものの値ではなく、過去の生産実績を踏まえた機会損失額として、コストと同様に金額として提示する。
【0055】
図15Aは、第2実施形態に係る総合対策案選定支援システム100及びその入出力の構成図である。第1実施形態との主な差異として、対策案組合せ評価部108の構成が変更され、リスク上昇情報端末抽出部1506、リスク上昇制御端末推定部1507、要求安全水準充足可否推定部1508及び総合対策コスト・機会損失額評価部1509により対策案組合せ候補リスト112が生成される。これらに加え、対策案組合せ評価部108が使用する情報として、端末別安全機能リスト106及び安全機能代替策リスト107に代わる端末要求安全水準表1500及び要求安全水準対応表1501と、システム設計情報DB1502及びシステム生産フロー1503と、生産実績DB1504及び生産実績データ1505とが追加されている。なお、第2実施形態においては、図15Bに示す対象システムSy2(対象制御システムSy2)に対するセキュリティ及びセーフティの観点を考慮した対策案を選定する例について説明する。対象システムSy2は、情報端末1及び情報端末2と、制御端末1乃至制御端末3とを含む。情報端末1は、制御端末1及び制御端末2に通信可能に接続される。情報端末2は、制御端末2に通信可能に接続される。
【0056】
図16は、第2実施形態においてユーザ101がユーザインタフェース部115を介して総合対策案選定支援システム100へ入力する、対策選定要件102の例である。第1実施形態とは異なり、対策案選定観点300としては対策予算と許容セキュリティリスクレベルのみが指定されている。具体的に述べると、対策選定要件102の例では、対策予算は、30M(ミリオン)¥以内であることが指定されている。許容セキュリティリスクレベルは、R_Mid以下であることが指定されている。
【0057】
図17は、第2実施形態におけるセキュリティ対策案リスト104の例である。侵入リスク401では、想定脅威に対して各対策案400を講じる前後の情報端末への侵入リスクが示されている。情報端末に対する新たな脅威が無い、または脅威に対して十分な保護が講じられる対策案の場合には、リスクは不変または減少となる。一方、対策案において想定脅威に対する情報端末保護が十分でない場合には、端末の侵入リスクは上昇する可能性が有る。
【0058】
この例のセキュリティ対策案1では、情報端末1の対策案を講じる前後の情報端末への侵入リスクが、対策前:R_Low→対策後:R_Lowであり、情報端末2の対策案を講じる前後の情報端末への侵入リスクが、対策前:R_Low→対策後:R_Lowであり、対策コストが50M¥かかることが示されている。セキュリティ対策案2では、情報端末1の対策案を講じる前後の情報端末への侵入リスクが、対策前:R_Low→対策後:R_Lowであり、情報端末2の対策案を講じる前後の情報端末への侵入リスクが、対策前:R_Low→対策後:R_Midであり、対策コストが30M¥かかることが示されている。セキュリティ対策案3では、情報端末1の対策案を講じる前後の情報端末への侵入リスクが、対策前:R_Low→対策後:R_Highであり、情報端末2の対策案を講じる前後の情報端末への侵入リスクが、対策前:R_Low→対策後:R_Lowであり、対策コストが10M¥かかることが示されている。
【0059】
図18は、第2実施形態において安全機能情報DB105に記録されている、端末要求安全水準表1500の例である。端末要求安全水準表1500では、各ハザード1800に対応している制御端末が対応制御端末1801に示されると共に、同ハザードの頻度1802、深刻度1803、要求安全水準1804及びPFH値1805が示されている。要求安全水準1804と頻度1802と深刻度1803との関係は、図19の要求安全水準対応表1501の内容に従う。
【0060】
端末要求安全水準表1500の例によれば、ハザード1は、対応制御端末が制御端末1であり、ハザード1の頻度がLであり、ハザード1の深刻度がHであり、ハザード1に対して制御端末1が要求される要求安全水準がSIL2であり、ハザード1に対する制御端末1のPFH値が2e-8であることを示す。なお、頻度は、L、M及びHの3段階で示しており、L<M<Hの順で頻度が高くなる。深刻度は、L、M及びHの3段階で示しており、L<M<Hの順で深刻度が高くなる。SILは、Safety Integrity Levelの略語である。
【0061】
ハザード2は、対応制御端末が制御端末2であり、ハザード2の頻度がMであり、ハザード2の深刻度がMであり、ハザード2に対して制御端末2が要求される要求安全水準がSIL2であり、ハザード2に対する制御端末2のPFH値が3e-7であることを示す。なお、かっこ内は、侵入リスク上昇分だけ同じように上昇するとみなされた後の頻度及び要求安全水準を示す。
【0062】
ハザード3は、対応制御端末が制御端末3であり、ハザード3の頻度がLであり、ハザード3の深刻度がLであり、ハザード3に対して制御端末3が要求される要求安全水準がSIL3であり、ハザード3に対する制御端末3のPFH値が5e-8であることを示す。
【0063】
図19は、第2実施形態において安全機能情報DB105に記録されている、要求安全水準対応表1501の例である。要求安全水準対応表1501では、ハザードの深刻度と頻度に対応する要求安全水準が安全水準表1900に示され、各安全水準に対応するPFH(Probability of dangerous Failure per Hour)値がPFH対応表1901に定義されている。
【0064】
図20Aは、第2実施形態においてシステム設計情報DB1502に記録されている、システム生産フロー1503の例である。システム生産フロー1503においては、対象システムSy2における生産または運搬を担う端末や作業員等と、それらの時間当たりの処理量(スループット)が定義されている。また、情報端末や制御端末間の接続関係も示されている。システム生産フロー1503は、「システム生産情報」とも称呼される場合がある。
【0065】
このシステム生産フロー1503の例によれば、制御端末1乃至制御端末3の全てが稼働時のスループットは最大30pkg/h(21,600pkg/月)を示し、制御端末2のみ停止後は、最大25pkg/h(18,000pkg/月)を示し、制御端末1及び制御端末2の停止後は、最大20pkg/h(14,400pkg/月)を示す。
【0066】
図20Bは、第2実施形態において生産実績DB1504に記録されている、生産実績データ1505の例である。生産実績データ1505では、対象システムSy2の生産実績に関する情報が示されている。生産実績データ1505では、対象システムSy2による生産月としての年/月2000、対象システムSy2の生産量(pkg/月)2001及び対象システムSy2による生産単価としての単価(千円/pkg)2002が示されている。
【0067】
図21は、第2実施形態における対策案組合せ評価部108の処理フローチャートである。対策案組合せ評価部108は、まず第1実施形態と同様にセキュリティ対策案DB103よりセキュリティ対策案リスト104を取得し(ステップ2100)、各セキュリティ対策案に対してリスク上昇情報端末抽出部1506、リスク上昇制御端末推定部1507、要求安全水準充足可否推定部1508及び総合対策コスト・機会損失額評価部1509の処理を行う(ステップ2101~ステップ2102)。
【0068】
図22は、第2実施形態におけるリスク上昇情報端末抽出部1506の処理フローチャートである。リスク上昇情報端末抽出部1506では、まず対策選定要件102を取得し(ステップ2200)、セキュリティ対策案リスト104内で選択されたセキュリティ対策案において対策適用後の侵入リスクが許容セキュリティリスクレベルを超える端末が有るかを判断する(ステップ2201)。もし該当の端末が存在する場合は(ステップ2201にて「Yes」)、ユーザ101の要件を満たさないと判断し、同セキュリティ対策案をスキップし(ステップ2202)、次のセキュリティ対策案へ進む(図21のステップ2101)。全ての端末において対策適用後侵入リスクが許容セキュリティリスクの範囲内である場合は(ステップ2201にて「No」)、対策適用後侵入リスクが対策前侵入リスクから上昇する端末を抽出し(ステップ2203)、リスク上昇制御端末推定部(ステップ1507)へ進む。
【0069】
図23は、リスク上昇制御端末推定部1507の処理フローチャートを示したものである。リスク上昇制御端末推定部1507では、システム設計情報DB1502よりシステム生産フロー1503を取得し(ステップ2300)、リスク上昇情報端末抽出部1506によって抽出された情報端末と接続されている制御端末を同フローから特定する(ステップ2301)。
【0070】
図24は、要求安全水準充足可否推定部1508の処理フローチャートである。要求安全水準充足可否推定部1508は、まず安全機能情報DB105より端末要求安全水準表1500及び要求安全水準対応表1501を取得する(ステップ2400)。次に、要求安全水準充足可否推定部1508は、端末要求安全水準表1500上において、リスク上昇制御端末推定部1507により抽出された制御端末が対応するハザードを特定する(ステップ2401)。その上で、要求安全水準充足可否推定部1508は、各ハザードの頻度レベルが、リスク上昇情報端末抽出部1506で抽出した侵入リスク上昇分だけ同じく上昇するとみなし、その場合の要求安全水準及びPFH範囲を、要求安全水準対応表1501より取得する(ステップ2402)。
【0071】
そして、要求安全水準充足可否推定部1508は、各ハザードのPFH値1805が、変更後の要求安全水準におけるPFH範囲内であるかを確認し(ステップ2403)、範囲内であれば(ステップ2403にて「Yes」)対応する端末は要求安全水準を満たすものと判断する。他方、PFH範囲を超えてしまう場合(ステップ2403にて「No」)、要求安全水準充足可否推定部1508は、同端末はシステム生産フロー上停止するものとみなした上で以後の総合対策コスト・機会損失額評価部1509の評価を行う。
【0072】
図25は、対策案組合せ評価部108の最後に実施される、総合対策コスト・機会損失額評価部1509の処理フローチャートである。総合対策コスト・機会損失額評価部1509は、まずシステム設計情報DB1502よりシステム生産フロー1503を取得し(ステップ2500)、また生産実績DB1504より生産実績データ1505を取得する(ステップ2501)。
【0073】
総合対策コスト・機会損失額評価部1509は、システム生産フロー1503上において、要求安全水準充足可否推定部1508で停止と判断された制御端末の処理量をゼロと仮定して、システム全体の最大の生産性(処理量)を算出し(ステップ2502)、その値が対策適用後の最大値であるとみなす。
【0074】
総合対策コスト・機会損失額評価部1509は、その上で、過去の生産実績データ1505を元に過去と同様の生産計画を実行すると仮定した場合に、対策適用後の最大処理量では未達となる期間が有れば、その未達生産量の合計を算出する(ステップ2503)。総合対策コスト・機会損失額評価部1509は、算出した未達生産量に単価を掛け合わせることで、対策適用時の機会損失額を算出する(ステップ2504)。
【0075】
最後に、総合対策コスト・機会損失額評価部1509は、選択されたセキュリティ対策案と、要求安全水準充足可否判断部1508で判断された端末停止を合わせて一つの新規対策パターンとして、算出した機会損失額とセキュリティ対策案の対策コスト402とともに、対策案組合せ候補リスト112へ追加する(ステップ2505)。
【0076】
図26は、第2実施形態において対策案組合せ評価部108によって生成される対策案組合せ候補リスト112の例である。第2実施形態の対策案組合せ候補リスト112では、各対策組合せ2600を構成するセキュリティ対策2601と、停止端末を示したセーフティ対策2602、対策コスト2603、及び総合対策コスト・機会損失額評価部1509にて算出された機会損失額2604が記録されている。
【0077】
この対策案組合せ候補リスト112の例によれば、対策パターン1がセキュリティ対策案1であり、対策コストが50M¥であることを示し、機会損失額が0M¥であること示す。対策パターン2がセキュリティ対策案2及び制御端末2停止の組合せであることを示し、対策コストが30M¥であることを示し、機会損失額が10M¥/年であることを示す。
【0078】
機会損失額30M¥は、次のように計算された結果である。即ち、既述の処理により、システム生産フロー1503に基づいて、制御端末2のみ停止後の対象システムSy2のスループットが最大25kg/h(18000pkg/月)が計算される。生産実績データ1505に基づいて、12月の生産量20000pkgだけが、最大スループット18000pkg/月を超えているので、その超過分(2000pkg)に単価(5千円)を乗じた額(機会損失額(10M¥/年))が機会損失額(10M¥/年)として計算される。
【0079】
対策パターン3がセキュリティ対策案3、制御端末1停止及び制御端末2停止の組合せであることを示し、対策コストが10M¥であることを示し、機会損失額が41M¥/年であることを示す。
【0080】
機会損失額41M¥は、次のように計算された結果である。即ち、既述した処理が実行された結果、システム生産フロー1503に基づいて、制御端末1及び制御端末2のみ停止後の対象システムSy2のスループットが最大20kg/h(14400pkg/月)が計算される。生産実績データ1505に基づいて、3月の生産量17000pkg及び12月の生産量20000pkgだけが、最大スループット14400pkg/月を超えているので、3月の超過分(2600pkg)に単価(5千円)を乗じた額と、12月の超過分(5600pkg)に単価(5千円)を乗じた額との合計額(41M¥/年)が、機会損失額(41M¥/年)として計算される。
【0081】
図27は、対策選定要件充足判断・提示部113の処理フローチャートを示したものである。対策選定要件充足判断・提示部113は、初めにユーザ101の入力した対策選定要件102を取得(ステップ2700)する。次に、対策選定要件充足判断・提示部113は、対策案組合せ評価部108より対策案組合せ候補リスト112を受け取った後(ステップ2701)、対策案組合せ候補リスト112内の対策案組合せ候補毎に要件充足の判断を行う(ステップ2702~ステップ2705)。対策選定要件充足判断・提示部113は、各対策案組合せ候補について、総合対策コスト1103が対策選定要件102に示された対策予算の条件301を満たすかを確認し(ステップ2703)、満たさない場合(ステップ2703にて「No」)は次の対策組合せ候補へと進む(ステップ2702)。
【0082】
対策選定要件充足判断・提示部113は、対策予算の条件301を充足する場合(ステップ2703にて「Yes」)、対策選定要件充足判断・提示部113は同対策案組合せ候補を対策案組合せ優先候補リスト114へ追加する(ステップ2704)。
【0083】
各対策案組合せ候補に対する処理(ステップ2702~ステップ2705)を終えた後、対策選定要件充足判断・提示部113は対策案組合せ優先候補リスト114を、ユーザインタフェース部115を介してユーザ101へ提示する(ステップ2706)。
【0084】
図28は、第2実施形態において対策選定要件充足判断・提示部113によりユーザ101へ提示される、対策案組合せ優先候補リスト114の例を示したものである。第1実施形態と同じく、対策案組合せ優先候補リスト114の形式は対策案組合せ候補リスト112と同様であり、対策選定要件充足判断・提示部113により選定された各対策組合せ2700について、セキュリティ対策2701とセーフティ対策2702、対策コスト2603、及び機会損失額2604が示されている。なお、この対策案組合せ優先候補リスト114の例によれば、対策パターン1は、条件301の対策予算を満たさないため対策選定要件充足判断・提示部113により選定されないことが示されている。
【0085】
<効果>
以上説明したように、本発明の第2実施形態に係るセキュリティ対策案選定システム(総合対策案選定支援システム100)は、セキュリティ上の脅威等が判明した際、制御システムに講じるべき対策案が複数有る場合に、セキュリティ観点やセーフティ観点、及びその他経営観点も考慮した対策パターンを提示することで、ユーザが最適(妥協可能)な対策パターンを見出す為の支援を提供することができる。
以上説明したように、本発明の第2実施形態に係るセキュリティ対策案選定システム(総合対策案選定支援システム100)は、セキュリティ上の脅威等が判明した際、制御システムに講じるべき対策案が複数有る場合に、セキュリティ観点やセーフティ観点、及びその他経営観点も考慮した対策パターンを提示することで、ユーザが最適(妥協可能)な対策パターンを見出す為の支援を提供することができる。
【0086】
<<変形例>>
本発明は上記各実施形態に限定されることなく、本発明の範囲内において種々の変形例を採用することができる。更に、上記各実施形態は、本発明の範囲を逸脱しない限り、互いに組み合わせることが可能である。
本発明は上記各実施形態に限定されることなく、本発明の範囲内において種々の変形例を採用することができる。更に、上記各実施形態は、本発明の範囲を逸脱しない限り、互いに組み合わせることが可能である。
【0087】
上記第1実施形態において、セキュリティ対策案DB103及び安全機能情報DB105の少なくとも一つが省略され、省略されたこれらの少なくとも一つから対策案組合せ評価部108に入力される情報が、総合対策案選定支援システム100の外部から対策案組合せ評価部108に入力されてもよい。
【0088】
上記第2実施形態において、セキュリティ対策案DB103、安全機能情報DB105、システム設計情報DB1502及び生産実績DB1504の少なくとも一つが省略され、省略されたこれらの少なくとも一つから対策案組合せ評価部108に入力される情報が、総合対策案選定支援システム100の外部から対策案組合せ評価部108に入力されてもよい。
【0089】
本発明は、以下の構成をとることもできる。
【0090】
[1]
情報を処理する情報処理装置を含むセキュリティ対策案選定支援システムであって、
前記情報処理装置には、
端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、
複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、
前記端末の安全機能に関する情報を含む安全機能情報と、
が入力され、
前記情報処理装置は、
前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、
前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、
前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力する、
ように構成された、
セキュリティ対策案選定支援システム。
情報を処理する情報処理装置を含むセキュリティ対策案選定支援システムであって、
前記情報処理装置には、
端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、
複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、
前記端末の安全機能に関する情報を含む安全機能情報と、
が入力され、
前記情報処理装置は、
前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、
前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、
前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力する、
ように構成された、
セキュリティ対策案選定支援システム。
【0091】
[2]
[1]に記載のセキュリティ対策案選定支援システムにおいて、
前記情報処理装置には、前記対策選定要件として、前記セキュリティ要件及び前記対象システムの安全性に関するセーフティ要件が入力され、
前記情報処理装置は、
前記セキュリティ要件を満たし、且つ、前記セーフティ要件を満たさない前記セキュリティ対策候補を、前記対応策の設定対象とする、
ように構成された、
セキュリティ対策案選定支援システム。
[1]に記載のセキュリティ対策案選定支援システムにおいて、
前記情報処理装置には、前記対策選定要件として、前記セキュリティ要件及び前記対象システムの安全性に関するセーフティ要件が入力され、
前記情報処理装置は、
前記セキュリティ要件を満たし、且つ、前記セーフティ要件を満たさない前記セキュリティ対策候補を、前記対応策の設定対象とする、
ように構成された、
セキュリティ対策案選定支援システム。
【0092】
[3]
[2]に記載のセキュリティ対策案選定支援システムにおいて、
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記対象システムを構成する前記端末についての侵入リスクを含み、
前記安全機能情報は、前記端末が担う安全機能を示す端末別安全機能情報と、前記安全機能に対する予備対策案を示す安全機能代替策情報とを含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、前記セーフティ要件として、許容セーフティリスクレベルが入力され、
前記情報処理装置は、
前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、前記許容セーフティリスクレベルを超える前記端末を特定し、
前記端末別安全機能情報に基づき、特定した前記端末から前記端末が担う安全機能を特定し、
前記安全機能代替策情報に基づき、特定した前記安全機能から前記予備対策案を取得し、取得した前記予備対策案を前記対応策として設定する、
ように構成された、
セキュリティ対策案選定支援システム。
[2]に記載のセキュリティ対策案選定支援システムにおいて、
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記対象システムを構成する前記端末についての侵入リスクを含み、
前記安全機能情報は、前記端末が担う安全機能を示す端末別安全機能情報と、前記安全機能に対する予備対策案を示す安全機能代替策情報とを含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、前記セーフティ要件として、許容セーフティリスクレベルが入力され、
前記情報処理装置は、
前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、前記許容セーフティリスクレベルを超える前記端末を特定し、
前記端末別安全機能情報に基づき、特定した前記端末から前記端末が担う安全機能を特定し、
前記安全機能代替策情報に基づき、特定した前記安全機能から前記予備対策案を取得し、取得した前記予備対策案を前記対応策として設定する、
ように構成された、
セキュリティ対策案選定支援システム。
【0093】
[4]
[1]に記載のセキュリティ対策案選定支援システムにおいて、
前記対象システムは前記端末として情報端末及び制御端末を含み、
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記情報端末についての対策案適用前後の侵入リスクを含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、
前記情報処理装置には、前記安全機能情報として、ハザードとハザードに対応する前記制御端末、頻度、深刻度、要求安全水準及びPFHとを含む端末要求安全水準情報と、前記頻度と前記深刻度と安全水準と安全水準に対応するPFH範囲とが対応付けられた要求安全水準対応情報と、が入力され、
前記情報処理装置には、前記情報端末及び前記制御端末間の接続関係を示す情報を含むシステム生産情報が入力され、
前記情報処理装置は、
対策案適用後の前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、対策案適用後の侵入リスクが対策案適用前から上昇する前記情報端末を特定し、
前記システム生産情報に基づいて、特定した前記情報端末に接続されている前記制御端末を特定し、
前記安全機能情報に基づいて、特定した前記制御端末に対応するハザード及びPFHを特定し、特定した前記ハザードの前記頻度が前記侵入リスクの上昇分だけ上昇したとみなし、その場合の前記頻度及び前記深刻度に基づき、前記安全水準及び前記安全水準に対応するPFH範囲を前記要求安全水準対応情報から取得し、
特定した前記PFHが、取得した前記PFH範囲外である場合、特定した前記制御端末の停止を、前記対応策として設定する、
ように構成された、
セキュリティ対策案選定支援システム。
[1]に記載のセキュリティ対策案選定支援システムにおいて、
前記対象システムは前記端末として情報端末及び制御端末を含み、
前記セキュリティ対策案リストは、前記セキュリティ対策候補に関する情報として、前記情報端末についての対策案適用前後の侵入リスクを含み、
前記情報処理装置には、前記セキュリティ要件として、許容セキュリティリスクレベルが入力され、
前記情報処理装置には、前記安全機能情報として、ハザードとハザードに対応する前記制御端末、頻度、深刻度、要求安全水準及びPFHとを含む端末要求安全水準情報と、前記頻度と前記深刻度と安全水準と安全水準に対応するPFH範囲とが対応付けられた要求安全水準対応情報と、が入力され、
前記情報処理装置には、前記情報端末及び前記制御端末間の接続関係を示す情報を含むシステム生産情報が入力され、
前記情報処理装置は、
対策案適用後の前記侵入リスクが前記許容セキュリティリスクレベル以下であり、且つ、対策案適用後の侵入リスクが対策案適用前から上昇する前記情報端末を特定し、
前記システム生産情報に基づいて、特定した前記情報端末に接続されている前記制御端末を特定し、
前記安全機能情報に基づいて、特定した前記制御端末に対応するハザード及びPFHを特定し、特定した前記ハザードの前記頻度が前記侵入リスクの上昇分だけ上昇したとみなし、その場合の前記頻度及び前記深刻度に基づき、前記安全水準及び前記安全水準に対応するPFH範囲を前記要求安全水準対応情報から取得し、
特定した前記PFHが、取得した前記PFH範囲外である場合、特定した前記制御端末の停止を、前記対応策として設定する、
ように構成された、
セキュリティ対策案選定支援システム。
【0094】
[5]
情報を処理する情報処理装置を用いたセキュリティ対策案選定支援方法であって、
前記情報処理装置には、
端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、
複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、
前記端末の安全機能に関する情報を含む安全機能情報と、
が入力され、
前記情報処理装置によって、
前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、
前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、
前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力する、
セキュリティ対策案選定支援方法。
情報を処理する情報処理装置を用いたセキュリティ対策案選定支援方法であって、
前記情報処理装置には、
端末を含む対象システムのセキュリティに関するセキュリティ要件を少なくとも含む対策選定要件と、
複数のセキュリティ対策候補及び当該セキュリティ対策候補に関する情報を含むセキュリティ対策案リストと、
前記端末の安全機能に関する情報を含む安全機能情報と、
が入力され、
前記情報処理装置によって、
前記対策選定要件と、前記セキュリティ対策案リストと、前記安全機能情報とに基づいて、
前記セキュリティ要件を満たし、且つ、安全性に関する要件を満たさない前記セキュリティ対策候補を対象として、対応策を設定し、
前記セキュリティ要件を満たす前記セキュリティ対策候補と、設定した前記対応策との組み合わせを、対策パターンとして出力する、
セキュリティ対策案選定支援方法。
【0095】
[1]乃至[5]によれば、セキュリティ及びセーフティの観点を考慮した適切な対策案を選定できる(対策案の選定を支援することができる。)。
【符号の説明】
【0096】
100…総合対策選定支援システム、103…セキュリティ対策案DB、105…安全機能情報DB、108…対策案組合せ評価部、109…リスク許容可否判定部、110…安全機能抽出部、111…総合対策コスト・生産性評価部、115…ユーザインタフェース部
【図1A】
【図1B】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15A】
【図15B】
【図16】
【図17】
【図18】
【図19】
【図20A】
【図20B】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】