知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024088567
(43)【公開日】2024-07-02
(54)【発明の名称】セキュリティツールを評価する装置および方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20240625BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2023072121
(22)【出願日】2023-04-26
(31)【優先権主張番号】P 2022203159
(32)【優先日】2022-12-20
(33)【優先権主張国・地域又は機関】JP
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.MySQL
(71)【出願人】
【識別番号】000005234
【氏名又は名称】富士電機株式会社
(74)【代理人】
【識別番号】110004185
【氏名又は名称】インフォート弁理士法人
(74)【代理人】
【識別番号】100121083
【弁理士】
【氏名又は名称】青木 宏義
(74)【代理人】
【識別番号】100138391
【弁理士】
【氏名又は名称】天田 昌行
(74)【代理人】
【識別番号】100132067
【弁理士】
【氏名又は名称】岡田 喜雅
(74)【代理人】
【識別番号】100131521
【弁理士】
【氏名又は名称】堀口 忍
(72)【発明者】
【氏名】藤巻 和輝
(57)【要約】
【課題】パブリッククラウド向けセキュリティツールによる効果を適切に評価する装置および方法を提供する。
【解決手段】セキュリティツール評価装置は、ツール情報収集部、保存部、及び評価部を備え、パブリッククラウドのセキュリティを確認するセキュリティツールを評価する。ツール情報収集部は、セキュリティツールがサポートするセキュリティ要件を表す情報およびセキュリティツールのコストを表す情報を含むツール情報を収集する。保存部は、パブリッククラウドのセキュリティの確認に関連してユーザが要求するセキュリティ要件を表す情報、ユーザが使用するパブリッククラウドのリソースを表す情報、及びパブリッククラウドのセキュリティを確認するために要するコストを表す情報を含むユーザ情報を保存する。評価部は、ツール情報及びユーザ情報に基づいてセキュリティツールを評価する。
【選択図】図1
【解決手段】セキュリティツール評価装置は、ツール情報収集部、保存部、及び評価部を備え、パブリッククラウドのセキュリティを確認するセキュリティツールを評価する。ツール情報収集部は、セキュリティツールがサポートするセキュリティ要件を表す情報およびセキュリティツールのコストを表す情報を含むツール情報を収集する。保存部は、パブリッククラウドのセキュリティの確認に関連してユーザが要求するセキュリティ要件を表す情報、ユーザが使用するパブリッククラウドのリソースを表す情報、及びパブリッククラウドのセキュリティを確認するために要するコストを表す情報を含むユーザ情報を保存する。評価部は、ツール情報及びユーザ情報に基づいてセキュリティツールを評価する。
【選択図】図1
【特許請求の範囲】
【請求項1】
指定されたパブリッククラウドのセキュリティを確認するセキュリティツールを評価するセキュリティツール評価装置であって、
前記セキュリティツールがサポートするセキュリティ要件を表す情報および前記セキュリティツールのコストを表す情報を含むツール情報を収集するツール情報収集部と、
前記パブリッククラウドのセキュリティの確認に関連して前記パブリッククラウドのユーザが要求するセキュリティ要件を表す情報、前記ユーザが使用する前記パブリッククラウドのリソースを表す情報、および前記パブリッククラウドのセキュリティを確認するために要するコストを表す情報を含むユーザ情報を保存する保存部と、
前記ツール情報および前記ユーザ情報に基づいて前記セキュリティツールを評価する評価部と、
を備えるセキュリティツール評価装置。
前記セキュリティツールがサポートするセキュリティ要件を表す情報および前記セキュリティツールのコストを表す情報を含むツール情報を収集するツール情報収集部と、
前記パブリッククラウドのセキュリティの確認に関連して前記パブリッククラウドのユーザが要求するセキュリティ要件を表す情報、前記ユーザが使用する前記パブリッククラウドのリソースを表す情報、および前記パブリッククラウドのセキュリティを確認するために要するコストを表す情報を含むユーザ情報を保存する保存部と、
前記ツール情報および前記ユーザ情報に基づいて前記セキュリティツールを評価する評価部と、
を備えるセキュリティツール評価装置。
【請求項2】
前記評価部は、前記ユーザが要求するセキュリティ要件のうち、前記セキュリティツールによりサポートされるセキュリティ要件の割合を表す情報を出力する
ことを特徴とする請求項1に記載のセキュリティツール評価装置。
ことを特徴とする請求項1に記載のセキュリティツール評価装置。
【請求項3】
前記評価部は、
前記セキュリティツールを導入して前記パブリッククラウドのセキュリティを確認するときに発生する人件費を表す第1のコストを計算し、
前記セキュリティツールを導入せずに前記パブリッククラウドのセキュリティを確認するときに発生する人件費を表す第2のコストを計算し、
前記第1のコストおよび前記第2のコストに基づいて、前記セキュリティツールを導入することにより削減されるコストを表す情報を出力する
ことを特徴とする請求項1に記載のセキュリティツール評価装置。
前記セキュリティツールを導入して前記パブリッククラウドのセキュリティを確認するときに発生する人件費を表す第1のコストを計算し、
前記セキュリティツールを導入せずに前記パブリッククラウドのセキュリティを確認するときに発生する人件費を表す第2のコストを計算し、
前記第1のコストおよび前記第2のコストに基づいて、前記セキュリティツールを導入することにより削減されるコストを表す情報を出力する
ことを特徴とする請求項1に記載のセキュリティツール評価装置。
【請求項4】
前記第1のコストは、前記セキュリティツールがサポートするセキュリティ要件について、前記セキュリティツールを利用して前記パブリッククラウドのセキュリティを確認するときに発生する人件費と、前記セキュリティツールがサポートしないセキュリティ要件について、前記セキュリティツールを利用せずに前記パブリッククラウドのセキュリティを確認するときに発生する人件費との和である
ことを特徴とする請求項3に記載のセキュリティツール評価装置。
ことを特徴とする請求項3に記載のセキュリティツール評価装置。
【請求項5】
前記評価部は、前記第1のコストと前記第2のコストの差分を計算することで、前記セキュリティツールを導入することによる人件費の削減額を計算する
ことを特徴とする請求項3に記載のセキュリティツール評価装置。
ことを特徴とする請求項3に記載のセキュリティツール評価装置。
【請求項6】
前記評価部は、前記人件費の削減額に前記セキュリティツールの使用料を加算することで、前記セキュリティツールを導入することによるコスト削減額を計算する
ことを特徴とする請求項5に記載のセキュリティツール評価装置。
ことを特徴とする請求項5に記載のセキュリティツール評価装置。
【請求項7】
前記ツール情報収集部は、複数の異なるセキュリティツールそれぞれのツール情報を収集し、
前記評価部は、前記複数の異なるセキュリティツールそれぞれについての前記ツール情報および前記ユーザ情報に基づいて、前記複数のセキュリティツールを導入することによる効果を評価する
ことを特徴とする請求項1に記載のセキュリティツール評価装置。
前記評価部は、前記複数の異なるセキュリティツールそれぞれについての前記ツール情報および前記ユーザ情報に基づいて、前記複数のセキュリティツールを導入することによる効果を評価する
ことを特徴とする請求項1に記載のセキュリティツール評価装置。
【請求項8】
指定されたパブリッククラウドのセキュリティを確認するセキュリティツールを評価するセキュリティツール評価方法であって、
前記セキュリティツールがサポートするセキュリティ要件を表す情報および前記セキュリティツールのコストを表す情報を含むツール情報を収集し、
前記パブリッククラウドのユーザからの入力に基づいて、前記パブリッククラウドのセキュリティの確認に関連して前記ユーザが要求するセキュリティ要件を表す情報、前記ユーザが使用する前記パブリッククラウドのリソースを表す情報、および前記パブリッククラウドのセキュリティを確認するために要するコストを表す情報を含むユーザ情報を作成し、
前記ツール情報および前記ユーザ情報に基づいて前記セキュリティツールを評価する
ことを特徴とするセキュリティツール評価方法。
前記セキュリティツールがサポートするセキュリティ要件を表す情報および前記セキュリティツールのコストを表す情報を含むツール情報を収集し、
前記パブリッククラウドのユーザからの入力に基づいて、前記パブリッククラウドのセキュリティの確認に関連して前記ユーザが要求するセキュリティ要件を表す情報、前記ユーザが使用する前記パブリッククラウドのリソースを表す情報、および前記パブリッククラウドのセキュリティを確認するために要するコストを表す情報を含むユーザ情報を作成し、
前記ツール情報および前記ユーザ情報に基づいて前記セキュリティツールを評価する
ことを特徴とするセキュリティツール評価方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パブリッククラウド向けセキュリティツールを評価する装置および方法に係わる。
【背景技術】
【0002】
近年、パブリッククラウドを利用して業務を行う事業形態が増加してきている。これに伴い、パブリッククラウドのセキュリティレベルを確認したいという要望も増加している。このため、パブリッククラウドのセキュリティ対策を示す情報と、自組織のセキュリティポリシを示す情報とを比較し、セキュリティポリシとセキュリティ対策が所定の関係を満たしているかを判定する方法が提案されている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2017-058985号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
パブリッククラウドのセキュリティレベルを確認するセキュリティツールを導入する場合、どの程度の効果が見込めるのかを評価することは容易でない。また、利用しているパブリッククラウドに対して複数のセキュリティツールが提供されている場合、どのツールを選択すべきかの判断も難しい。
【0005】
本発明の1つの側面に係わる目的は、パブリッククラウド向けセキュリティツールによる効果を適切に評価する装置および方法を提供することである。
【課題を解決するための手段】
【0006】
本発明の1つの態様のセキュリティツール評価装置は、指定されたパブリッククラウドのセキュリティを確認するセキュリティツールを評価する。セキュリティツール評価装置は、前記セキュリティツールがサポートするセキュリティ要件を表す情報および前記セキュリティツールのコストを表す情報を含むツール情報を収集するツール情報収集部と、前記パブリッククラウドのセキュリティの確認に関連して前記パブリッククラウドのユーザが要求するセキュリティ要件を表す情報、前記ユーザが使用する前記パブリッククラウドのリソースを表す情報、および前記パブリッククラウドのセキュリティを確認するために要するコストを表す情報を含むユーザ情報を保存する保存部と、前記ツール情報および前記ユーザ情報に基づいて前記セキュリティツールを評価する評価部と、を備える。
【発明の効果】
【0007】
上述の態様によれば、パブリッククラウド向けセキュリティツールによる効果を適切に評価することができる。
【図面の簡単な説明】
【0008】
【図1】本発明の実施形態に係わるセキュリティツール評価装置の一例を示す図である。
【図2】ツール情報(サポート情報およびコスト情報)の一例を示す図である。
【図3】ツール情報(対象リソース情報および適用可能リソース情報)の一例を示す図である。
【図4】ユーザ情報(自社セキュリティ要件情報)の入力および保存の一例を示す図である。
【図5】ユーザ情報(自社コスト情報)の入力および保存の一例を示す図である。
【図6】ユーザ情報(使用リソース情報)の入力および保存の一例を示す図である。
【図7】ツール情報を収集して保存する手順の一例を示すフローチャートである。
【図8】ユーザ情報を作成して保存する手順の一例を示すフローチャートである。
【図9】評価部の処理の一例を示すフローチャートである。
【図10】自社で選択したセキュリティ要件に対する可能率を計算する処理の一例を示すフローチャートである。
【図11】セキュリティツールを導入することによるコスト削減効果を計算する処理の一例を示すフローチャートである。
【図12】ユーザ情報(自社セキュリティ要件情報、自社コスト情報、使用リソース情報)の一例を示す図である。
【図13】ツール情報(サポート情報、コスト情報、対象リソース情報、適用可能リソース情報)の一例を示す図である。
【図14】セキュリティツール評価装置により得られる評価結果の一例を示す図である。
【図15】セキュリティ要件選択画面のバリエーションを示す図である。
【図16】評価結果を表示する評価結果画面の一例を示す図である。
【図17】第2の実施形態において作成されるサポート情報の一例を示す図である。
【図18】第2の実施形態におけるセキュリティツール評価装置の処理の一例を示すフローチャートである。
【図19】セキュリティツールペアに対して作成されるサポート情報の一例を示す図である。
【図20】第2の実施形態において自社要件に対する自動チェックの可能率を計算する処理の一例を示すフローチャートである。
【図21】第2の実施形態において必須要件に対する自動チェックの可能率を計算する処理の一例を示すフローチャートである。
【図22】第2の実施形態においてコスト削減効果を計算する処理の一例を示すフローチャートである。
【図23】第2の実施形態において得られる評価結果の一例を示す図である。
【図24】自動チェックを行うことができないセキュリティ要件一覧の表示例を示す図である。
【図25】ユーザ情報(自社セキュリティ要件情報、自社コスト情報、使用リソース情報)の一例を示す図である。
【図26】ツール情報(サポート情報、コスト情報、対象リソース情報、適用可能リソース情報)の一例を示す図である。
【図27】セキュリティツール評価装置により得られる評価結果の一例を示す図である。
【図28】セキュリティツール評価装置のハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【0009】
図1は、本発明の実施形態に係わるセキュリティツール評価装置の一例を示す。本発明の実施形態に係わるセキュリティツール評価装置1は、ツール情報収集部11、インタフェース部12、データベースDB1、データベースDB2、および評価部13を備える。ただし、セキュリティツール評価装置1は、図1に示していない他の機能をさらに備えてもよい。
【0010】
ユーザは、この実施例では、パブリッククラウドを利用する組織に属するシステム管理者である。ここで、パブリッククラウドは、インターネット等のネットワークを介して情報システムのリソースを提供するサービス形態であり、ユーザは、パブリッククラウド事業者から提供されるサーバ環境を使用できる。
【0011】
パブリッククラウドを利用する際には、そのセキュリティレベルを確認することが好ましい。このため、従来から、パブリッククラウドのセキュリティレベルまたはセキュリティポリシを確認するためのセキュリティツールが提供されている。このようなセキュリティツールとして、例えば、CSMP(Cloud Security Posture Management)ツールが実用化されている。
【0012】
CSPMツールは、クラウドサービスのセキュリティ評価およびコンプライアンスの監視を行い、クラウドセキュリティリスクを事前に特定して修正する。具体的には、CSPMツールは、例えば、下記の機能を提供する。
(1)アクセスの識別
(2)コンプライアンスポリシの評価および監視
(3)オペレーションの監視
(4)インシデント対応
(5)リスクの検出および可視化
(1)アクセスの識別
(2)コンプライアンスポリシの評価および監視
(3)オペレーションの監視
(4)インシデント対応
(5)リスクの検出および可視化
【0013】
セキュリティツール評価装置1は、上述のようなセキュリティツールを評価する。具体的には、セキュリティツール評価装置1は、パブリッククラウドのセキュリティを確認するセキュリティツールの性能およびコストを評価する。
【0014】
ツール情報収集部11は、指定されたパブリッククラウドのセキュリティを確認するためのセキュリティツールに係わる情報を収集する。以下の記載では、指定されたパブリッククラウドのセキュリティを確認するためのセキュリティツールに係わる情報を「ツール情報」と呼ぶことがある。ツール情報は、セキュリティ要件の対象となるパブリッククラウド上のリソースに係わる情報、セキュリティツールのコストに係わる情報、セキュリティツールを提供可能なパブリッククラウド上のリソースを表す情報等を含む。また、ツール情報収集部11は、例えば、使用しているパブリッククラウドまたは所望のパブリッククラウドを指定することにより、Webスクレイピング等により、ツール情報を収集できるものとする。そして、ツール情報収集部11は、収集したツール情報をデータベースDB1に保存する。
【0015】
図2~図3は、データベースDB1に保存されたツール情報の一例を示す。なお、以下の記載では、CSPMツールは、セキュリティツールの一例である。また、この実施例では、複数のセキュリティツール(CSPM-A、CSPM-B、CSPM-C、...)についてのツール情報が収集される。
【0016】
図2(a)は、サポート情報の一例を示す。サポート情報は、セキュリティ要件がCSPMツールによりサポートされているか否かを表す。たとえば、セキュリティ要件「すべての特権ユーザに対して多要素認証が有効になっていることを確認する」は、CSPM-A、CSPM-B、およびCSPM-Cによりサポートされている。これに対して、セキュリティ要件「すべての仮想マシンに対して最新のOSパッチが適用されていることを確認する」は、CSPM-AおよびCSPM-Cによりサポートされているが、CSPM-Bはこのセキュリティ要件をサポートしていない。なお、ツール情報収集部11は、収集した情報の内容を分析することにより、各セキュリティツール(CSPM-A、CSPM-B、CSPM-C、...)が各セキュリティ要件をサポートするか否かを判定できるものとする。
【0017】
図2(b)は、コスト情報の一例を示す。コスト情報は、各セキュリティツールの使用料を表す。この例では、1月当たりの使用料が記録されている。例えば、CSPM-Aの使用料は「20万円/月」であり、CSPM-Bの使用料は「15万円/月」であり、CSPM-Cの使用料は「18万円/月」である。
【0018】
図3(a)は、対象リソース情報の一例を示す。対象リソース情報は、セキュリティ要件が対象とするリソースを表す。例えば、セキュリティ要件「転送中に機密データを暗号化する」は、コンテナおよびMySQLを対象とするが、仮想マシンを対象としない。また、セキュリティ要件「すべての仮想マシンに対して最新のOSパッチが適用されていることを確認する」は、仮想マシンを対象とするが、コンテナおよびMySQLを対象としない。なお、対象リソース情報は、この実施例では、パブリッククラウドまたはセキュリティツールの標準化団体等により決定されるものであり、各セキュリティツール(CSPM-A、CSPM-B、CSPM-C、...)に対して共通であるものとする。この場合、ツール情報収集部11は、その標準化団体のサイトから対象リソース情報を取得してもよい。
【0019】
図3(b)は、適用可能リソース情報の一例を示す。適用可能リソース情報は、セキュリティツール毎に、評価/監視処理を適用可能なクラウド上のリソースを表す。例えば、CSPM-Aは、仮想マシン、コンテナ、MySQL、およびゲートウェイに係わる評価/監視処理をサポートする。CSPM-Bは、仮想マシン、コンテナ、MySQL、FaaS、PostgreSQL、およびゲートウェイに係わる評価/監視処理をサポートする。
【0020】
インタフェース部12は、ユーザからの入力を受け付ける。ユーザは、上述のように、例えば、パブリッククラウドを利用する組織または企業に属するシステム管理者である。ただし、以下の記載では、パブリッククラウドを利用する組織または企業を「ユーザ」と呼ぶことがある。
【0021】
インタフェース部12は、ユーザから、パブリッククラウドのセキュリティの確認に関連してユーザが要求する機能を表す情報、ユーザが使用するパブリッククラウドのリソースを表す情報、およびパブリッククラウドのセキュリティを確認するために要するコストを表す情報などを受け取る。そして、インタフェース部12は、ユーザから入力されるこれらの情報をデータベースDB2に保存する。なお、以下の記載では、インタフェース部12がユーザから受け取ってデータベースDB2に保存する情報を「ユーザ情報」と呼ぶことがある。
【0022】
図4は、ユーザ情報(自社セキュリティ要件情報)の入力および保存の一例を示す。この実施例では、インタフェース部12は、図4(a)に示すセキュリティ要件選択画面21を提供する。セキュリティ要件選択画面21は、パブリッククラウドのセキュリティの確認に関連してユーザが必要とする機能をユーザに選択させるための画面である。ユーザは、このセキュリティ要件選択画面21を利用して、自社が必要とするセキュリティ要件を選択する。そうすると、インタフェース部12は、ユーザの選択に基づいて図4(b)に示す自社セキュリティ要件情報を作成してデータベースDB2に保存する。この実施例では、「すべての特権ユーザに対して多要素認証が有効になっていることを確認する」および「すべての仮想マシンに対して最新のOSパッチが適用されていることを確認する」が選択されている。なお、図4(b)において、「1」はユーザにより選択されたことを表し、「0」はユーザにより選択されなかったことを表す。
【0023】
図5は、ユーザ情報(自社コスト情報)の入力および保存の一例を示す。この実施例では、インタフェース部12は、図5(a)に示すコスト入力画面22を提供する。コスト入力画面22は、各セキュリティ要件に対応する作業を実行することに要するコストをユーザに入力させるための画面である。自社コスト情報における「コスト」は、人件費を表す。手動チェック時のコストは、セキュリティツールを使用することなくネットワーク管理者がセキュリティ要件に対応する作業を実行したときに発生する人件費を意味する。自動チェック時のコストは、セキュリティツールを使用してネットワーク管理者がセキュリティ要件に対応する作業を実行したときに発生する人件費を意味する。
【0024】
ユーザは、このコスト入力画面22を利用して、各セキュリティ要件について手動チェック時のコストおよび自動チェック時のコストを入力する。このとき、ユーザは、たとえば、過去の経験に基づいて、或いは、類似する作業において実際に発生するコストに基づいて、手動チェック時のコストおよび自動チェック時のコストを推定してコスト入力画面22に入力してもよい。そうすると、インタフェース部12は、ユーザの入力に基づいて図5(b)に示す自社コスト情報を作成してデータベースDB2に保存する。この実施例では、例えば、「すべての特権ユーザに対して多要素認証が有効になっていることを確認する」を実行する際に発生する人件費は、手動チェック時には「1万円/月」であり、自動チェック時には「1000円/月」である。
【0025】
図6は、ユーザ情報(使用リソース情報)の入力および保存の一例を示す。この実施例では、インタフェース部12は、図6(a)に示す使用リソース入力画面23を提供する。使用リソース入力画面23は、パブリッククラウド上で自社が使用しているリソースをユーザに入力させるための画面である。したがって、ユーザは、この使用リソース入力画面23を利用して、自社がパブリッククラウド上で使用しているリソースを入力する。この実施例では、自社がパブリッククラウド上で3個の仮想マシン、8個のコンテナ、1個のMySQL、2個のFaaS、1個のゲートウェイを使用している。
【0026】
評価部13は、データベースDB1に保存されているツール情報およびデータベースDB2に保存されているユーザ情報に基づいてセキュリティツールを評価する。このとき、評価部13は、ユーザが要求するセキュリティ要件(機能)のうち、評価対象セキュリティツールにより提供されるセキュリティ要件の割合を表す情報を出力する。また、評価部13は、セキュリティツールを利用して評価対象パブリッククラウドのセキュリティを確認するときに発生するコストを表す第1のコストを計算すると共に、セキュリティツールを利用せずに評価対象パブリッククラウドのセキュリティを確認するときに発生するコストを表す第2のコストを計算する。そして、評価部13は、第1のコストおよび第2のコストに基づいて、セキュリティツールを導入することにより削減されるコストを表す情報を出力する。
【0027】
このように、セキュリティツール評価装置1は、パブリッククラウドのセキュリティを確認するためのセキュリティツールに係わる情報を収集すると共に、そのセキュリティツールに係わるユーザの要求およびコスト情報を取得する。そして、セキュリティツール評価装置1は、これらの情報に基づいて、自社が必要とするセキュリティ要件がどの程度セキュリティツールによりサポートされるのか、及び、セキュリティツールを導入することによるコスト削減効果がどの程度なのか評価する。したがって、パブリッククラウドのユーザは、セキュリティツールを導入すべきか否か、或いは、どのセキュリティツールを導入すべきかについて、具体的な情報を得ることができる。
【0028】
図7は、ツール情報を収集して保存する手順の一例を示すフローチャートである。このフローチャートの処理は、例えば、ユーザからの指示に応じて開始される。このとき、ユーザは、自社が使用しているパブリッククラウドを指定してもよい。また、ユーザは、自社が使用しているパブリッククラウドのセキュリティを確認する1または複数のセキュリティツールを指定してもよい。
【0029】
S1において、ツール情報収集部11は、ユーザからの指示に応じて、セキュリティツールを提供する各ベンダのサイトにアクセスしてツール情報を収集する。ツール情報は、例えば、セキュリティツールについて記載しているカタログ、パンフレット、仕様書、および技術資料などから抽出される。これにより、ツール情報収集部11は、たとえば、図2(a)に示すサポート情報、図2(b)に示すコスト情報、および図3(b)に示す適用可能リソース情報などを取得する。
【0030】
S2において、ツール情報収集部11は、セキュリティツールまたはパブリッククラウドの標準化団体などのサイトにアクセスして、各セキュリティツールに共通するツール情報を収集する。これにより、ツール情報収集部11は、たとえば、図3(a)に示す対象リソース情報などを取得する。この後、S3において、ツール情報収集部11は、S1~S2で収集したツール情報をデータベースDB1に保存する。
【0031】
図8は、ユーザ情報を作成して保存する手順の一例を示すフローチャートである。このフローチャートの処理は、例えば、ユーザからの指示に応じて開始される。なお、破線で示すステップ(S12、S15、S18)は、ユーザによる操作を表す。
【0032】
S11において、インタフェース部12は、ユーザ端末の表示装置に図4(a)に示すセキュリティ要件選択画面21を表示する。S12において、ユーザは、セキュリティ要件選択画面21を利用して提示されるセキュリティ要件の中から、自社が必要とするセキュリティ条件を選択する。S13において、インタフェース部12は、ユーザの選択に基づいて、図4(b)に示す自社セキュリティ要件情報を作成する。
【0033】
S14において、インタフェース部12は、ユーザ端末の表示装置に図5(a)に示すコスト入力画面22を表示する。S15において、ユーザは、コスト入力画面22を利用して、各セキュリティ要件について、手動チェック時のコストおよび自動チェック時のコストを入力する。S16において、インタフェース部12は、ユーザの入力に基づいて、図5(b)に示す自社コスト情報を作成する。
【0034】
S17において、インタフェース部12は、ユーザ端末の表示装置に図6(a)に示す使用リソース入力画面23を表示する。S18において、ユーザは、使用リソース入力画面23を利用して、パブリッククラウド上で自社が使用しているリソースを入力する。S19において、インタフェース部12は、ユーザの入力に基づいて、図6(b)に示す使用リソース情報を作成する。この後、S20において、インタフェース部12は、作成した自社セキュリティ要件情報、自社コスト情報、および使用リソース情報をデータベースDB2に保存する。
【0035】
図9は、評価部13の処理の一例を示すフローチャートである。このフローチャートの処理は、例えば、ユーザからの指示に応じて実行される。なお、このフローチャートの処理が実行される前に、データベースDB1にツール情報が保存されており、且つ、データベースDB2にユーザ情報が保存されているものとする。
【0036】
評価部13は、ツール情報収集部11によりツール情報が収集された各セキュリティツールについて、或いは、ユーザにより指定された各セキュリティツールについて、S30およびS40の処理を実行する。このとき、評価部13は、例えば、1または複数のセキュリティツールのうちから1つずつ順番に処理対象のセキュリティツールを選択してS30およびS40の処理を実行する。なお、以下の記載では、S30およびS40の処理を実行するために選択されたセキュリティツールを「対象セキュリティツール」と呼ぶことがある。
【0037】
S30において、評価部13は、自社で選択したセキュリティ要件に対する可能率を計算する。S40において、評価部13は、セキュリティツールを導入することによるコスト削減効果を計算する。なお、評価部13は、S40の前にS30を実行してもよいし、S30の前にS40を実行してもよい。
【0038】
【0039】
S31において、評価部13は、自社が必要とするセキュリティ要件の個数をカウントする。自社が必要とするセキュリティ要件は、図4を参照して説明したように、セキュリティツール評価装置1が提示するセキュリティ要件の中からユーザにより選択されたセキュリティ要件に相当する。したがって、評価部13は、データベースDB2に保存されている自社セキュリティ要件情報を参照することにより、自社が必要とするセキュリティ要件の個数をカウントできる。
【0040】
S32において、評価部13は、自社が必要とするセキュリティ要件のうちで、対象セキュリティツールがサポートするセキュリティ要件の個数をカウントする。対象セキュリティツールがサポートするセキュリティ要件は、図2(a)に示すサポート情報として表されている。したがって、評価部13は、データベースDB1に保存されているサポート情報を参照することにより、自社が必要とするセキュリティ要件のうちで、対象セキュリティツールがサポートするセキュリティ要件の個数をカウントできる。
【0041】
S33において、評価部13は、S32で得られた個数をS31で得られた個数で除算することにより、対象セキュリティツールの可能率を計算する。この可能率は、自社が必要とするセキュリティ要件のうちで、どの程度のセキュリティ要件が対象セキュリティツールによりサポートされているかの割合を表す。
【0042】
例えば、図4に示す例では、自社が必要とするセキュリティ要件として「すべての特権ユーザに対して多要素認証が有効になっていることを確認する(要件1)」および「すべての仮想マシンに対して最新のOSパッチが適用されていることを確認する(要件2)」が選択されている。ここで、図2(a)に示すサポート情報がデータベースDB1に保存されているものとする。この場合、例えば、対象セキュリティツールがCSPM-Aであれば、評価部13は、S32において、これら2つの要件をカウントする。また、対象セキュリティツールがCSPM-Bであれば、評価部13は、S32において、要件1をカウントするが、要件2はカウントしない。
【0043】
評価部13は、S33で計算した可能率を表す情報を出力する。例えば、自社が必要とするセキュリティ要件の個数が「20」であり、自社が必要とするセキュリティ要件のうちで対象セキュリティツールがサポートするセキュリティ要件の個数が「17」であるものとする。この場合、「可能率:0.85」が出力される。
【0044】
【0045】
S41において、評価部13は、自社が必要とするセキュリティ要件のうちで、対象セキュリティツールを使用してパブリッククラウドのセキュリティの確認作業が行われるセキュリティ要件について、その確認作業に際して発生するコストC1を計算する。S42において、評価部13は、自社が必要とするセキュリティ要件のうちで、対象セキュリティツールなしでパブリッククラウドのセキュリティの確認作業が行われるセキュリティ要件について、その確認作業に際して発生するコストC2を計算する。コストC1およびコストC2は、この実施例では、それぞれ人件費である。S43において、評価部13は、コストC1とコストC2とを足し合わせることで、対象セキュリティツールを導入したケースで発生する人件費Xを計算する。
【0046】
例えば、自社が必要とするセキュリティ要件として、要件R1~R20が選択されているものとする。また、対象セキュリティツールは、要件R1~R17をサポートしているものとする。この場合、評価部13は、S41において、各要件R1~R17について、対象セキュリティツールを使用して確認作業を行う際に発生するコストを求め、その合計を計算する。また、評価部13は、S42において、各要件R18~R20について、対象セキュリティツールなしで確認作業を行う際に発生するコストを求め、その合計を計算する。なお、具体的な計算の例は後で記載する。
【0047】
S44において、評価部13は、現在の人件費Yを計算する。即ち、評価部13は、セキュリティツールを導入していない現在の状況において、自社が必要とする全てのセキュリティ要件を手動で確認する際に発生する人件費Yを計算する。
【0048】
S45において、評価部13は、対象セキュリティツールを導入することによる人件費の削減額MPを計算する。具体的には、S43で得られる人件費XからS44で得られる人件費Yを引算することで、人件費の削減額MPが計算される。
【0049】
S46において、評価部13は、図2(b)に示すコスト情報を参照することで、対象セキュリティツールのコストZを特定する。コストZは、対象セキュリティツールの使用料に相当する。そして、S47において、評価部13は、S45で得られる人件費の削減額MPに、S46で得られる対象セキュリティツールのコストZを加算することで、セキュリティツールを導入することによるコスト削減効果を計算する。
【0050】
<実施例>
以下に記載する実施例では、データベースDB2には、図12に示すユーザ情報が保存されているものとする。また、データベースDB1には、図13に示すツール情報が保存されているものとする。具体的には以下の通りである。
以下に記載する実施例では、データベースDB2には、図12に示すユーザ情報が保存されているものとする。また、データベースDB1には、図13に示すツール情報が保存されているものとする。具体的には以下の通りである。
【0051】
ユーザは、図12(a)に示すように、自社が必要とするセキュリティ要件として、要件1~3を選択している。各セキュリティ要件に係わる確認作業を行うときに発生する人件費(手動チェック時のコストおよび自動チェック時のコスト)は、図12(b)に示す通りである。自社が使用するパブリッククラウド上のリソースは、図12(c)に示す通りである。
【0052】
使用するセキュリティツールの候補として、CSPM-AおよびCSPM-Bが抽出されている。各セキュリティツールは、図13(a)に示すように、1または複数のセキュリティ要件をサポートする。各セキュリティツールの使用料は、図13(b)に示す通りである。各セキュリティ要件は、図13(c)に示すように、1または複数のリソースを対象とする。各セキュリティツールは、図13(d)に示すように、1または複数のリソースに適用可能である。なお、以下の記載では、説明を簡潔にするために、CSPM-AおよびCSPM-Bがそれぞれすべてのリソースに適用可能であり、図13(b)に示す適用可能リソース情報を考慮せずにコストを計算するものとする。
【0053】
CSPM-Aについての評価は以下の通りである。CSPM-Aは、要件1~3をサポートする。よって、評価部13は、S41において、CSPM-Aを用いて各要件1~3に係わる確認作業を行う際の人件費C1を計算する。ここで、要件1は、仮想マシンを対象とする。また、自社は3個の仮想マシンを使用する。さらに、要件1の自動チェック時のコストは1000円/月である。よって、要件1に係わる人件費は以下の通りである。
要件1に係わる人件費=3×1000=3000
要件2は、コンテナおよびMySQLを対象とする。また、自社は、8個のコンテナおよび1個のMySQLを使用する。さらに、要件2の自動チェック時のコストは1000円/月である。よって、要件2に係わる人件費は以下の通りである。
要件2に係わる人件費=8×1000+1×1000=9000
要件3は、仮想マシン、コンテナ、およびMySQLを対象とする。また、自社は、3個の仮想マシン、8個のコンテナ、および1個のMySQLを使用する。さらに、要件3の自動チェック時のコストは500円/月である。よって、要件3に係わる人件費は以下の通りである。
要件3に係わる人件費=3×500+8×500+1×500=6000
要件1に係わる人件費=3×1000=3000
要件2は、コンテナおよびMySQLを対象とする。また、自社は、8個のコンテナおよび1個のMySQLを使用する。さらに、要件2の自動チェック時のコストは1000円/月である。よって、要件2に係わる人件費は以下の通りである。
要件2に係わる人件費=8×1000+1×1000=9000
要件3は、仮想マシン、コンテナ、およびMySQLを対象とする。また、自社は、3個の仮想マシン、8個のコンテナ、および1個のMySQLを使用する。さらに、要件3の自動チェック時のコストは500円/月である。よって、要件3に係わる人件費は以下の通りである。
要件3に係わる人件費=3×500+8×500+1×500=6000
【0054】
続いて、評価部13は、S42の人件費を計算する。ただし、CSPM-Aは、要件1~3のすべてをサポートする。すなわち、要件1~3に対して手動チェックを行う必要はない。よって、S42で得られる人件費C2はゼロであり、S43で得られる合計人件費Xは、18000円/月である。
【0055】
続いて、評価部13は、S44において、セキュリティツールを導入していない現在の状況における人件費Yを計算する。人件費Yを計算する方法は、S41~S42の人件費を計算する方法と実質的に同じである。ただし、「自動チェック時のコスト」の代わりに「手動チェック時のコスト」が使用される。具体的には、以下の通りである。
要件1に係わる人件費=3×10000=30000
要件2に係わる人件費=8×10000+1×10000=90000
要件3に係わる人件費=3×10000+8×10000+1×10000=120000
したがって、S44において計算される、セキュリティツールを導入していないケースでの人件費Yは、240000円/月である。
要件1に係わる人件費=3×10000=30000
要件2に係わる人件費=8×10000+1×10000=90000
要件3に係わる人件費=3×10000+8×10000+1×10000=120000
したがって、S44において計算される、セキュリティツールを導入していないケースでの人件費Yは、240000円/月である。
【0056】
S45で計算される人件費の削減額MPは、人件費Xと人件費Yとの差分に相当する。よって、人件費の削減額MPは222000円/月である。
【0057】
ここで、CSPM-Aの使用料は、図13(b)に示すように、100000円/月である。よって、CSPM-Aを導入することによるコスト削減効果は122000円/月である。なお、CSPM-Aは、要件1~3をすべてサポートする。したがって、自社が必要とするセキュリティ要件に対する可能率は100パーセントである。
【0058】
CSPM-Bについての評価は以下の通りである。CSPM-Bは、要件1~2をサポートする。よって、評価部13は、S41において、CSPM-Bを用いて各要件1~2に係わる確認作業を行う際の人件費を計算する。なお、この人件費の計算は、CSPM-AおよびBCSPM-Bに対して実質的に同じである。したがって、要件1~2に対して下記の計算結果が得られる。
要件1に係わる人件費=3×1000=3000
要件2に係わる人件費=8×1000+1×1000=9000
すなわち、人件費C1は、12000円/月である。
要件1に係わる人件費=3×1000=3000
要件2に係わる人件費=8×1000+1×1000=9000
すなわち、人件費C1は、12000円/月である。
【0059】
続いて、評価部13は、S42の人件費を計算する。ここで、CSPM-Bは、要件3をサポートしない。すなわち、ユーザは、要件3については、手動でチェックを行う必要がある。この場合、下記の人件費が発生する。
要件3に係わる人件費=3×10000+8×10000+1×10000=120000
すなわち、人件費C2は、120000円/月である。したがって、CSPM-Bを導入したケースにおいて要件1~3に係わる合計人件費Xは132000円/月である。
要件3に係わる人件費=3×10000+8×10000+1×10000=120000
すなわち、人件費C2は、120000円/月である。したがって、CSPM-Bを導入したケースにおいて要件1~3に係わる合計人件費Xは132000円/月である。
【0060】
人件費の削減額MPは、人件費Xと人件費Yとの差分に相当する。ここで、セキュリティツールを導入していない現在の状況における人件費を表す人件費Yは、上述した通りであり、240000円/月である。したがって、人件費Xと人件費Yとの差分に相当する人件費の削減額MPは108000円/月である。
【0061】
ここで、CSPM-Bの使用料は、図13(b)に示すように、50000円/月である。よって、CSPM-Bを導入することによるコスト削減効果は58000円/月である。なお、CSPM-Bは、要件1~2をサポートするが要件2をサポートしない。したがって、自社が必要とするセキュリティ要件に対する可能率は67パーセントである。
【0062】
この後、セキュリティツール評価装置1は、評価部13による評価結果を出力する。この実施例では、図14に示す評価結果が出力される。この評価結果によれば、CSPM-Bと比較して、CSPM-Aの方が、ツール自体のコスト(すなわち、使用料)は高いものの、人件費の削減額だけでなく、セキュリティツールを導入することによる総コスト削減額も大きくなることが分かる。これに加えて、CSPM-Bと比較して、CSPM-Aの方が、より多くのセキュリティ要件をサポートしていることが分かる。
【0063】
<バリエーション>
図2~図14に示す実施例では、ユーザが複数のセキュリティ要件の中から「自社が必要とするセキュリティ要件」を選択するが、より柔軟にセキュリティ要件を選択できるようにしてもよい。例えば、セキュリティ要件選択画面21は、図15に示すように、ユーザが「自社要件(自社が必要とするセキュリティ要件)」に加えて「必須要件」を選択できるように構成してもよい。必須要件は、例えば、セキュリティツールを用いて自動チェックを行いたいセキュリティ要件を表す。なお、図15に示す黒丸印は、ユーザが選択した状態を表している。
図2~図14に示す実施例では、ユーザが複数のセキュリティ要件の中から「自社が必要とするセキュリティ要件」を選択するが、より柔軟にセキュリティ要件を選択できるようにしてもよい。例えば、セキュリティ要件選択画面21は、図15に示すように、ユーザが「自社要件(自社が必要とするセキュリティ要件)」に加えて「必須要件」を選択できるように構成してもよい。必須要件は、例えば、セキュリティツールを用いて自動チェックを行いたいセキュリティ要件を表す。なお、図15に示す黒丸印は、ユーザが選択した状態を表している。
【0064】
この場合、自社要件および必須要件それぞれに対して、ツールを用いて自動チェックが可能なセキュリティ要件の割合を表す可能率が計算される。すなわち、図10に示すフローチャートの処理は、自社要件および必須要件それぞれに対して実行される。自社要件に対する可能率は、自社要件として選択されているセキュリティ要件の個数(A1)をカウントし、自社要件として選択されているセキュリティ要件のうちで対象セキュリティツールがサポートするセキュリティ要件の個数(B1)をカウントし、個数B1を個数A1で除算することで算出される。また、必須要件に対する可能率は、必須要件として選択されているセキュリティ要件の個数(A2)をカウントし、必須要件として選択されているセキュリティ要件のうちで対象セキュリティツールがサポートするセキュリティ要件の個数(B2)をカウントし、個数B2を個数A2で除算することで算出される。
【0065】
評価結果を表示する評価結果画面の一例を図16に示す。この例では、評価結果は、各セキュリティツールについて、自社要件の可能率、必須要件の可能率、人件費の削減額、ツールのコスト、および費用削減額を表す。そして、セキュリティツール評価装置1は、ユーザ端末の表示装置に評価結果画面24を表示する。
【0066】
セキュリティツール評価装置1のユーザインタフェースは、並べ替え機能および絞り込み機能を提供する。並べ替え機能は、ユーザの選択に応じて、自社要件の可能率、必須要件の可能率、人件費の削減額、ツールのコスト、または費用削減額に基づく順番で各セキュリティツールを並べて表示する。図16に示す例では、自社要件の可能率が高い順にセキュリティツールが表示されている。絞り込み機能は、評価結果画面24において、所望のセキュリティツールを選択した状態で「ツールでチェックできないセキュリティ要件の確認」をクリックすると呼び出される。この機能により、選択されたセキュリティツールがチェックできないセキュリティ要件が表示される。よって、ユーザは、選択したセキュリティツールではチェックできないセキュリティ要件を容易に認識できる。
【0067】
<第2の実施形態>
図2~図14に示す実施例では、各セキュリティツールの可能率およびコスト削減効果が評価される。ただし、1つのセキュリティツールではユーザが必要とするセキュリティ要件を十分にチェックできないことがある。この場合、ユーザは、複数のセキュリティツールを組み合わせてパブリッククラウドをチェックすることがある。そこで、以下に記載する第2の実施形態では、複数(実施例では、2つ)のセキュリティツールの組合せに対して可能率およびコスト削減効果が評価される。なお、第2の実施形態においても、セキュリティツール評価装置1は、図1に示すように、ツール情報収集部11、インタフェース部12、データベースDB1、データベースDB2、および評価部13を備える。
図2~図14に示す実施例では、各セキュリティツールの可能率およびコスト削減効果が評価される。ただし、1つのセキュリティツールではユーザが必要とするセキュリティ要件を十分にチェックできないことがある。この場合、ユーザは、複数のセキュリティツールを組み合わせてパブリッククラウドをチェックすることがある。そこで、以下に記載する第2の実施形態では、複数(実施例では、2つ)のセキュリティツールの組合せに対して可能率およびコスト削減効果が評価される。なお、第2の実施形態においても、セキュリティツール評価装置1は、図1に示すように、ツール情報収集部11、インタフェース部12、データベースDB1、データベースDB2、および評価部13を備える。
【0068】
図17は、第2の実施形態において作成されるサポート情報の一例を示す。サポート情報は、セキュリティツールが各セキュリティ要件をサポートしているか否か(即ち、チェックできるか否か)を表す。この例では、評価対象としてユーザにより選択された、セキュリティツールT0001~T0010についてのサポート情報が作成されている。具体的には、セキュリティツールT0001~T0010がそれぞれセキュリティ要件S0001~0100をサポートするか否かを表している。すなわち、各セキュリティツールがセキュリティ要件S0001~0100をチェックできるか否かを表している。例えば、セキュリティツールT0001は、セキュリティ要件S0001、S0002、S0100をサポートするが、セキュリティ要件S0003、S0004をサポートしない。セキュリティツールT0002は、セキュリティ要件S0001、S0003、S0004、S0100をサポートするが、セキュリティ要件S0002をサポートしない。なお、サポート情報は、例えば、Webスクレイピング等により、各セキュリティツールのベンダのサイトから収集した情報を解析することで作成される。
【0069】
サポート情報には、図17に示す実施例では、各セキュリティ要件が自社要件または必須要件としてユーザにより選択されている否かを表すユーザ情報が付与されている。このユーザ情報は、図15に示すセキュリティ要件選択画面21を利用してユーザが所望の要件を選択することで作成される。
【0070】
【0071】
S51において、評価部13は、S52~S55の処理が未だ実行されていないセキュリティツールのペアを選択する。以下の記載では、S51において選択された2個のセキュリティツールを「評価対象セキュリティツールペア」と呼ぶことがある。
【0072】
S52において、評価部13は、評価対象セキュリティツールペアを構成する2個のセキュリティツールのサポート情報を結合する。このとき、評価部13は、要件ID毎に、チェック可否の値の論理和を設定する。
【0073】
一例として、図17に示すサポート情報が作成されている状況において、評価対象セキュリティツールペアとしてセキュリティツールT0001およびT0002が選択されるものとする。この場合、S52において、セキュリティ要件S0001~S0100それぞれについて、チェック可否の値の論理和が計算される。例えば、セキュリティ要件S0001については、セキュリティツールT0001のチェック可否の値は「1」であり、セキュリティツールT0002のチェック可否の値も「1」である。よって、その論理和は「1」である。また、セキュリティ要件S0003については、セキュリティツールT0001のチェック可否の値は「0」であるが、セキュリティツールT0002のチェック可否の値は「1」である。したがって、この場合も、論理和は「1」である。
【0074】
図19は、セキュリティツールペアに対して作成されるサポート情報の一例を示す。このサポート情報は、各セキュリティツールペアに対してS52の処理を実行することで得られる。例えば、セキュリティツールT0001およびT0002から構成されるセキュリティツールペアに対してS52の処理を実行すると、図19に示す太線枠内の情報が得られる。
【0075】
なお、このケースでは、図17に示すように、セキュリティツールT0001は、セキュリティ要件S0003をサポートしない。よって、セキュリティツールT0001を使用しても、自社要件および必須要件として選択されているセキュリティ要件S0003の自動チェックを行うことはできない。他方、セキュリティツールT0002は、セキュリティ要件S0002をサポートしない。よって、セキュリティツールT0002を使用しても、自社要件として選択されているセキュリティ要件S0002の自動チェックを行うことはできない。これに対して、セキュリティツールT0001およびT0002を組み合わせれば、図19に示すように、セキュリティ要件S0001~S0003は、少なくとも一方のセキュリティツールによりサポートされる。
【0076】
S53において、評価部13は、評価対象セキュリティツールペアに対して、自社要件についての可能率を計算する。S54において、評価部13は、評価対象セキュリティツールペアに対して、必須要件についての可能率を計算する。S55において、評価部13は、評価対象セキュリティツールペアに対して、コストを計算する。S56は、全てのセキュリティツールペアに対してS52~S55の処理を実行するために設けられている。すなわち、すべてのセキュリティツールの組合せに対して、自社要件についての可能率、必須要件についての可能率、およびコストが計算される。
【0077】
図20は、第2の実施形態において自社要件に対する自動チェックの可能率を計算する処理の一例を示すフローチャートである。このフローチャートの処理は、図18に示すS53に相当する。よって、このフローチャートの処理は、評価対象セキュリティツールペアに対して実行される。
【0078】
S61~S62において、評価部13は、自社要件としてユーザにより選択されているセキュリティ要件の個数(A1)をカウントする。このとき、評価部13は、図19に示すサポート情報/ユーザ情報から、評価対象セキュリティツールペアに対応するレコード取得する。続いて、評価部13は、取得したレコードの中から、自社要件の値が「1」であるレコードを抽出する。そして、評価部13は、抽出したレコードの個数をカウントする。
【0079】
S63において、評価部13は、自社要件としてユーザにより選択されているセキュリティ要件のうちで、評価対象セキュリティツールペアがサポートするセキュリティ要件の個数(B1)をカウントする。このとき、評価部13は、S61で抽出したレコードのうちで、チェック可否の値が「1」であるレコードの個数をカウントする。そして、S64において、評価部13は、B1をA1で除算することで、自社要件がセキュリティツールにより自動チェックされる可能率を計算する。
【0080】
図21は、第2の実施形態において必須要件に対する自動チェックの可能率を計算する処理の一例を示すフローチャートである。このフローチャートの処理は、図18に示すS54に相当する。よって、このフローチャートの処理は、選択されたセキュリティツールペアに対して実行される。
【0081】
S71~S72において、評価部13は、必須要件としてユーザにより選択されているセキュリティ要件の個数(A2)をカウントする。このとき、評価部13は、図19に示すサポート情報/ユーザ情報から、評価対象セキュリティツールペアに対応するレコード取得する。続いて、評価部13は、取得したレコードの中から、必須要件の値が「1」であるレコードを抽出する。そして、評価部13は、抽出したレコードの個数をカウントする。
【0082】
S73において、評価部13は、必須要件としてユーザにより選択されているセキュリティ要件のうちで、評価対象セキュリティツールペアがサポートするセキュリティ要件の個数(B2)をカウントする。このとき、評価部13は、S71で抽出したレコードのうちで、チェック可否の値が「1」であるレコードの個数をカウントする。そして、S74において、評価部13は、B2をA2で除算することで、必須要件がセキュリティツールにより自動チェックされる可能率を計算する。
【0083】
図22は、第2の実施形態においてコスト削減効果を計算する処理の一例を示すフローチャートである。ここで、S81~S87の処理は、図11に示すS41~S47と概ね同じである。但し、S41~S47は、1つのセキュリティツールに対して実行される。これに対して、S81~S87は、1組のセキュリティツール(即ち、セキュリティツールペア)に対して実行される。したがって、S81~S87は、以下の点においてS41~S47と異なる。
【0084】
S81においては、評価部13は、評価対象セキュリティツールペアを構成する2つのセキュリティツールのうちの少なくとも一方のセキュリティツールがサポートするセキュリティ要件について、ツール使用時に発生するコスト(C1)を計算する。S82においては、評価部13は、評価対象セキュリティツールペアのうちのいずれのセキュリティツールもサポートしていないセキュリティ要件について、ツール未使用時に発生するコスト(C2)を計算する。S86においては、評価部13は、評価対象セキュリティツールペアを構成する2つのセキュリティツールのコストの和(Z)を計算する。
【0085】
評価部13は、すべてのセキュリティツールペアに対して図18(即ち、図20~図22)に示すフローチャートの処理を実行する。これにより、各セキュリティツールペアに対して自動チェックの可能率およびコスト削減額が計算される。
【0086】
図23は、第2の実施形態において得られる評価結果の一例を示す。このように、第2の実施形態では、2個のセキュリティツールの組合せ(すなわち、セキュリティツールペア)に対して自社要件に対する自動チェックの可能率、必須要件に対する自動チェックの可能率、人件費の削減額、ツールのコスト、および費用削減額を表す。そして、評価結果を表す評価結果画面がユーザ端末の表示装置に表示される。なお、第2の実施形態においても、図16を参照して説明した並べ替え機能および絞り込み機能が提供されるものとする。
【0087】
なお、いずれのセキュリティツールを用いても自動チェックを行うことができないセキュリティ要件が存在することがある。この場合、セキュリティツール評価装置1は、図24に示すように、いずれのセキュリティツールを用いても自動チェックを行うことができないセキュリティ要件の一覧を表示してもよい。この場合、セキュリティツール評価装置1は、絞り込み機能を提供することが好ましい。例えば、「必須要件」で絞り込みが行われるときは、ユーザにより必須要件として選択されているセキュリティ要件の中で、いずれのセキュリティツールを用いても自動チェックを行うことができないセキュリティ要件が表示される。また、「自社要件」で絞り込みが行われるときは、ユーザにより自社要件として選択されているセキュリティ要件の中で、いずれのセキュリティツールを用いても自動チェックを行うことができないセキュリティ要件が表示される。
【0088】
<第2の実施形態の実施例>
以下に記載する実施例は、2個のセキュリティツールを組み合わせることによる効果を説明するためのものであり、自社要件および必須要件を区別することなく、「ユーザにより選択されたセキュリティ要件」に対して可能率およびコストを計算する。
以下に記載する実施例は、2個のセキュリティツールを組み合わせることによる効果を説明するためのものであり、自社要件および必須要件を区別することなく、「ユーザにより選択されたセキュリティ要件」に対して可能率およびコストを計算する。
【0089】
データベースDB2には、図25(a)~図25(c)に示すユーザ情報が保存されているものとする。また、データベースDB1には、図26(a)~図26(d)に示すツール情報が保存されているものとする。ここで、図25(a)~図25(c)に示すユーザ情報および図26(a)~図26(d)に示すツール情報は、それぞれ図12に示すユーザ情報および図13に示すツール情報とほぼ同じなので、説明を省略する。ただし、図26(a)に示すサポート情報では、CSPM-Aは、要件2をサポートしていない。また、図26(a)に示すサポート情報は、CSPM-AとCSPM-Bとのペアに対して各要件がサポートされているか否かを表す情報を含む。なお、以下の記載では、CSPM-AとCSPM-Bとのペアを「CSPM-AB」と呼ぶことがある。
【0090】
CSPM-ABについての評価は以下の通りである。CSPM-ABは、要件1~3をサポートする。具体的には、図26(a)に示すように、要件1はCSPM-AおよびCSPM-Bによりサポートされ、要件2はCSPM-Bによりサポートされ、要件3はCSPM-Aによりサポートされている。したがって、評価部13は、S81において、セキュリティツールを用いて各要件1~3に係わる確認作業を行う際の人件費C1を計算する。ここで、要件1は、仮想マシンを対象とする。また、自社は3個の仮想マシンを使用する。さらに、要件1の自動チェック時のコストは1000円/月である。よって、要件1に係わる人件費は以下の通りである。
要件1に係わる人件費=3×1000=3000
要件2は、コンテナおよびMySQLを対象とする。また、自社は、8個のコンテナおよび1個のMySQLを使用する。さらに、要件2の自動チェック時のコストは1000円/月である。よって、要件2に係わる人件費は以下の通りである。
要件2に係わる人件費=8×1000+1×1000=9000
要件3は、仮想マシン、コンテナ、およびMySQLを対象とする。また、自社は、3個の仮想マシン、8個のコンテナ、および1個のMySQLを使用する。さらに、要件3の自動チェック時のコストは500円/月である。よって、要件3に係わる人件費は以下の通りである。
要件3に係わる人件費=3×500+8×500+1×500=6000
要件1に係わる人件費=3×1000=3000
要件2は、コンテナおよびMySQLを対象とする。また、自社は、8個のコンテナおよび1個のMySQLを使用する。さらに、要件2の自動チェック時のコストは1000円/月である。よって、要件2に係わる人件費は以下の通りである。
要件2に係わる人件費=8×1000+1×1000=9000
要件3は、仮想マシン、コンテナ、およびMySQLを対象とする。また、自社は、3個の仮想マシン、8個のコンテナ、および1個のMySQLを使用する。さらに、要件3の自動チェック時のコストは500円/月である。よって、要件3に係わる人件費は以下の通りである。
要件3に係わる人件費=3×500+8×500+1×500=6000
【0091】
続いて、評価部13は、S82の人件費を計算する。ただし、CSPM-ABは、要件1~3のすべてをサポートする。すなわち、要件1~3に対して手動チェックを行う必要はない。よって、S82で得られる人件費C2はゼロであり、S83で得られる合計人件費Xは、18000円/月である。
【0092】
続いて、評価部13は、S84において、セキュリティツールを導入していない現在の状況における人件費Yを計算する。人件費Yを計算する方法は、S81~S82の人件費を計算する方法と実質的に同じである。ただし、「自動チェック時のコスト」の代わりに「手動チェック時のコスト」が使用される。具体的には、以下の通りである。
要件1に係わる人件費=3×10000=30000
要件2に係わる人件費=8×10000+1×10000=90000
要件3に係わる人件費=3×10000+8×10000+1×10000=120000
したがって、S84において計算される、セキュリティツールを導入していないケースでの人件費Yは、240000円/月である。
要件1に係わる人件費=3×10000=30000
要件2に係わる人件費=8×10000+1×10000=90000
要件3に係わる人件費=3×10000+8×10000+1×10000=120000
したがって、S84において計算される、セキュリティツールを導入していないケースでの人件費Yは、240000円/月である。
【0093】
S85で計算される人件費の削減額MPは、人件費Xと人件費Yとの差分に相当する。よって、人件費の削減額MPは222000円/月である。
【0094】
ここで、CSPM-AおよびCSPM-Bの使用料は、図26(b)に示すように、それぞれ100000円/月および50000円/月である。よって、CSPM-AおよびSCPM-Bを導入することによるコスト削減効果は72000円/月である。なお、CSPM-ABは、図26(a)に示すように、要件1~3をすべてサポートする。したがって、自社が必要とするセキュリティ要件に対する可能率は100パーセントである。
【0095】
この後、セキュリティツール評価装置1は、評価部13による評価結果を出力する。この実施例では、図27に示す評価結果が出力される。この評価結果によれば、CSPM-AまたはCSPM-Bのいずれか一方を導入するケースと比較して、CSPM-AおよびCSPM-Bの双方を導入することにより、総コスト削減額が大きくなり、かつ、より多くのセキュリティ要件を自動チェックできる。
【0096】
なお、図17~図27に示す実施例では、2個のセキュリティツールを組み合わせるケースについて示したが、本発明の第2の実施形態はこれに限定されるものではない。すなわち、本発明の第2の実施形態は、3個以上のセキュリティツールを組み合わせるケースにも適用可能である。
【0097】
<ハードウェア構成>
図28は、セキュリティツール評価装置1のハードウェア構成の一例を示す。セキュリティツール評価装置1は、プロセッサ101、メモリ102、記憶装置103、入出力デバイス104、記録媒体読取り装置105、および通信インタフェース106を備えるコンピュータ100により実現される。
図28は、セキュリティツール評価装置1のハードウェア構成の一例を示す。セキュリティツール評価装置1は、プロセッサ101、メモリ102、記憶装置103、入出力デバイス104、記録媒体読取り装置105、および通信インタフェース106を備えるコンピュータ100により実現される。
【0098】
プロセッサ101は、記憶装置103に保存されているセキュリティツール評価プログラムを実行することにより、セキュリティツール評価装置1の動作を制御する。ここで、セキュリティツール評価プログラムは、図7~図11に示すフローチャートの手順を記述したプログラムコードを含む。また、第2の実施形態では、セキュリティツール評価プログラムは、図18および図20~図22に示すフローチャートの手順を記述したプログラムコードを含む。したがって、プロセッサ101がこのプログラムを実行することで、図1に示すツール情報収集部11、インタフェース部12、および評価部13の機能が提供される。メモリ102は、プロセッサ101の作業領域として使用される。記憶装置103は、上述したセキュリティツール評価プログラムおよび他のプログラムを保存する。また、データベースDB1およびデータベースDB2は、例えば、記憶装置103に構築される。
【0099】
入出力デバイス104は、キーボード、マウス、タッチパネル、マイクなどの入力デバイスを含む。また、入出力デバイス104は、表示装置、スピーカーなどの出力デバイスを含む。記録媒体読取り装置105は、記録媒体110に記録されているデータおよび情報を取得できる。記録媒体110は、コンピュータ100に着脱可能なリムーバブル記録媒体である。また、記録媒体110は、例えば、半導体メモリ、光学的作用で信号を記録する媒体、または磁気的作用で信号を記録する媒体により実現される。セキュリティツール評価プログラムは、記録媒体110からコンピュータ100に与えられてもよい。通信インタフェース106は、ネットワークに接続する機能を提供する。なお、セキュリティツール評価プログラムがプログラムサーバ120に保存されているときは、コンピュータ100は、プログラムサーバ120からセキュリティツール評価プログラムを取得してもよい。
【符号の説明】
【0100】
1 セキュリティツール評価装置
11 ツール情報収集部
12 インタフェース部
13 評価部
100 コンピュータ
101 プロセッサ
11 ツール情報収集部
12 インタフェース部
13 評価部
100 コンピュータ
101 プロセッサ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】