ホーム > 特許ランキング > 株式会社アシュアード
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024097742
(43)【公開日】2024-07-19
(54)【発明の名称】評価提供装置、評価提供方法及び評価提供プログラム
(51)【国際特許分類】
G06Q 10/00 20230101AFI20240711BHJP
【FI】
G06Q10/00
【審査請求】未請求
【請求項の数】12
【出願形態】OL
(21)【出願番号】P 2023138074
(22)【出願日】2023-08-28
(62)【分割の表示】P 2023001031の分割
【原出願日】2023-01-06
(71)【出願人】
【識別番号】521541734
【氏名又は名称】株式会社アシュアード
(74)【代理人】
【識別番号】110002815
【氏名又は名称】IPTech弁理士法人
(72)【発明者】
【氏名】戸谷 慧
(72)【発明者】
【氏名】鈴木 和幸
【テーマコード(参考)】
5L010
5L049
【Fターム(参考)】
5L010AA20
5L049AA20
(57)【要約】 (修正有)
【課題】様々なサービスに関するセキュリティ評価を取得するユーザエンティティの手間を軽減しつつ、ユーザエンティティの利便性を向上することを可能とする評価提供装置、評価提供方法及び評価提供プログラムを提供する。
【解決手段】評価提供装置30において、通信部31は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信する。制御部33は、チェックリストに対する回答に基づいて、サービスに関するセキュリティ評価をユーザエンティティに対して提供するとともに、セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示する。
【選択図】図2
【解決手段】評価提供装置30において、通信部31は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信する。制御部33は、チェックリストに対する回答に基づいて、サービスに関するセキュリティ評価をユーザエンティティに対して提供するとともに、セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示する。
【選択図】図2
【特許請求の範囲】
【請求項1】
サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信する受信部と、
前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供する提供部と、
前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示する表示部と、を備える、評価提供装置。
前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供する提供部と、
前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示する表示部と、を備える、評価提供装置。
【請求項2】
前記表示部は、前記ユーザエンティティに対する前記セキュリティ評価の提供に関する注意事項を表示する、請求項1に記載の評価提供装置。
【請求項3】
前記注意事項は、前記セキュリティ評価の提供可能性に関する事項及び前記セキュリティ評価の提供にあたって前記ユーザエンティティに課される可能性のある条件に関する事項の少なくともいずれか1つを含む、請求項2に記載の評価提供装置。
【請求項4】
前記表示部は、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となるまでの進捗状況を表示する、請求項1に記載の評価提供装置。
【請求項5】
前記進捗状況は、第1階層に属する第1進捗状況と、前記第1階層よりも下位の第2階層に属する第2進捗状況と、を含む、請求項4に記載の評価提供装置。
【請求項6】
前記第2進捗状況は、前記チェックリストに対する初回の回答と、前記チェックリストに対する初回の回答のレビューと、前記チェックリストに対する2回目以降の再回答と、前記チェックリストに対する2回目以降の回答の再レビューと、を含む、請求項5に記載の評価提供装置。
【請求項7】
前記表示部は、前記セキュリティ評価の提供に関するユーザエンティティの依頼が前記ユーザエンティティによりキャンセルされた理由及び前記提供エンティティが前記セキュリティ評価を提供できない理由の少なくともいずれか1つを表示する、請求項1に記載の評価提供装置。
【請求項8】
前記表示部は、前記セキュリティ評価を閲覧するシステム以外の方法で前記セキュリティ評価が納品された旨を表示する、請求項1に記載の評価提供装置。
【請求項9】
前記サービスに関する過去のセキュリティ評価を前記提供エンティティと対応付けて記憶するデータベースを備え、
前記表示部は、前記過去のセキュリティ評価が前記提供エンティティと対応付けて記憶されている場合に、前記予測納期を表示する、請求項1に記載の評価提供装置。
前記表示部は、前記過去のセキュリティ評価が前記提供エンティティと対応付けて記憶されている場合に、前記予測納期を表示する、請求項1に記載の評価提供装置。
【請求項10】
前記過去のセキュリティ評価を提供可能となるまでに要した実績納期、前記過去のセキュリティ評価で用いた前記チェックリストのバージョン、前記過去のセキュリティ評価で用いた前記チェックリストの回答の充足度、前記過去のセキュリティ評価に関する前記提供エンティティとのコミュニケーションの履歴、及び、前記過去のセキュリティ評価で用いた前記チェックリストに対する前記提供エンティティの回答頻度の少なくともいずれか1つに基づいて、前記予測納期を特定する制御部を備える、請求項9に記載の評価提供装置。
【請求項11】
サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信するステップAと、
前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供するステップBと、
前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示するステップCと、を備える、評価提供方法。
前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供するステップBと、
前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示するステップCと、を備える、評価提供方法。
【請求項12】
サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信するステップAと、
前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供するステップBと、
前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示するステップCと、をコンピュータに実行させる、評価提供プログラム。
前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供するステップBと、
前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示するステップCと、をコンピュータに実行させる、評価提供プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、評価提供装置、評価提供方法及び評価提供プログラムに関する。
【背景技術】
【0002】
近年、サイバー攻撃が増加していることから、サイバー攻撃に対するセキュリティ評価が注目を集めている。例えば、セキュリティに関する質問のリスト(以下、チェックリスト)を管理するシステム、チェックリストに対する回答に基づいてセキュリティ評価を導出するシステムなどが提案されている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003-044658号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、ユーザエンティティがSaaS(Software as a Service)に代表される様々なサービスを利用するケースが想定される。このようなケースにおいて、様々なクラウドサービス等のサービスに関するセキュリティ評価をユーザエンティティ自身が取得する手間が煩雑になる場合がある。
【0005】
ユーザエンティティの手間を軽減する観点から、様々なサービスを提供する提供エンティティからセキュリティに関するチェックリストに対する回答を収集する処理を、ユーザエンティティに代わって実行する評価提供システムが考えられる。
【0006】
しかしながら、チェックリストに対する回答の収集を評価提供システムによって代行する場合には、ユーザエンティティとしては、セキュリティ評価をいつ取得できるのか把握しにくい場合があり、ユーザエンティティの利便性が低下する可能性がある。
【0007】
そこで、本発明は、上述した課題を解決するためになされたものであり、様々なサービスに関するセキュリティ評価を取得するユーザエンティティの手間を軽減しつつ、ユーザエンティティの利便性を向上することを可能とする評価提供装置、評価提供方法及び評価提供プログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本開示の一態様は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信する受信部と、前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供する提供部と、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示する表示部と、を備える、評価提供装置である。
【0009】
本開示の一態様は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信するステップAと、前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供するステップBと、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示するステップCと、を備える、評価提供方法である。
【0010】
本開示の一態様は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信するステップAと、前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供するステップBと、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示するステップCと、をコンピュータに実行させる、評価提供プログラムである。
【発明の効果】
【0011】
本発明によれば、様々なサービスに関するセキュリティ評価を取得するユーザエンティティの手間を軽減しつつ、ユーザエンティティの利便性を向上することを可能とする評価提供装置、評価提供方法及び評価提供プログラムを提供することができる。
【図面の簡単な説明】
【0012】
【発明を実施するための形態】
【0013】
以下において、実施形態について図面を参照しながら説明する。なお、以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。
【0014】
但し、図面は模式的なものであり、各寸法の比率などは現実のものとは異なる場合があることに留意すべきである。従って、具体的な寸法などは以下の説明を参酌して判断すべきである。また、図面相互間においても互いの寸法の関係又は比率が異なる部分が含まれている場合があることは勿論である。
【0015】
[開示の概要]
開示の概要に係る評価提供装置は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信する受信部と、前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供する提供部と、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示する表示部と、を備える。開示の概要では、評価提供装置に対応する評価提供方法及び評価提供プログラムが提供されてもよい。
開示の概要に係る評価提供装置は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信する受信部と、前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供する提供部と、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示する表示部と、を備える。開示の概要では、評価提供装置に対応する評価提供方法及び評価提供プログラムが提供されてもよい。
【0016】
開示の概要では、評価提供装置は、セキュリティに関するチェックリストに対する回答の収集を代行する場合に、セキュリティ評価をユーザエンティティに対して提供可能となる予測納期を表示する。このような構成によれば、ユーザエンティティが予測納期を把握することができるため、ユーザエンティティの利便性が向上する。
【0017】
【0018】
図1に示すように、評価提供システム100は、第1端末10と、第2端末20と、評価提供装置30と、を有する。第1端末10、第2端末20及び評価提供装置30は、ネットワーク110によって接続される。特に限定されるものではないが、ネットワーク110は、インターネットによって構成されてもよい。ネットワーク110は、ローカルエリアネットワークを含んでもよく、移動体通信網を含んでもよく、VPN(Virtual Private Network)を含んでもよい。
【0019】
第1端末10は、ユーザエンティティが用いる端末である。ユーザエンティティは、提供エンティティによって提供されるサービスのリスク評価を要求するエンティティである。ユーザエンティティは、第1端末10を示す用語として用いられてもよい。例えば、第1端末10は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。図1では、第1端末10A及び第1端末10Bが例示されている。
【0020】
第2端末20は、提供エンティティが用いる端末である。提供エンティティは、リスク評価の対象とされるサービスを提供するエンティティである。サービスは、SaaS(Software as a Service)に代表される様々なサービスを含んでもよい。提供エンティティは、第2端末20を示す用語として用いられてもよい。例えば、第2端末20は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。図1では、第2端末20A~第2端末20Cが例示されている。
【0021】
評価提供装置30は、提供エンティティによって提供されるサービスに関するセキュリティ評価を提供する装置である。評価提供装置30を管理するエンティティは、管理エンティティと称されてもよい。管理エンティティは、評価提供装置30を示す用語として用いられてもよい。評価提供装置30は、ネットワーク110上に設けられる1以上のサーバによって構成されてもよい。具体的には、評価提供装置30は、セキュリティに関するチェックリストに対する回答を提供エンティティから収集する。評価提供装置30は、チェックリストに対する回答に基づいて、サービスに関するセキュリティ評価をユーザエンティティに提供する。評価提供装置30の詳細については後述する(図2を参照)。
【0022】
(評価提供装置)
以下において、実施形態に係る評価提供装置について説明する。図2は、実施形態に係る評価提供装置30を示す図である。図2に示すように、評価提供装置30は、通信部31と、管理部32と、制御部33と、を有する。
以下において、実施形態に係る評価提供装置について説明する。図2は、実施形態に係る評価提供装置30を示す図である。図2に示すように、評価提供装置30は、通信部31と、管理部32と、制御部33と、を有する。
【0023】
通信部31は、通信モジュールによって構成される。通信モジュールは、IEEE802.11a/b/g/n、LTE、5Gなどの規格に準拠する無線通信モジュールであってもよく、IEEE802.3などの規格に準拠する有線通信モジュールであってもよい。
【0024】
通信部31は、第2端末20と通信を実行する。例えば、通信部31は、サービスのセキュリティに関するチェックリストを第2端末20に送信する。通信部31は、チェックリストに対する回答を第2端末20から受信する。通信部31は、チェックリストに対する再回答要求を第2端末20に送信してもよい。通信部31は、チェックリストに対する再回答結果を第2端末20から受信してもよい。
【0025】
通信部31は、第1端末10と通信を実行する。通信部31は、第1端末10上で表示する内容(以下、表示内容)に関する表示データを第1端末10に送信する。表示内容に関する表示データの送信は、表示内容の表示と読み替えてもよい。表示内容は、以下に示す内容を含んでもよい。
【0026】
オプション1では、表示内容は、セキュリティ評価を含んでもよい。セキュリティ評価の表示は、セキュリティ評価の提供と読み替えてもよい。セキュリティ評価は、セキュリティ評価を閲覧するシステムによって提供されてもよい。セキュリティ評価を閲覧するシステムは、評価提供装置30によって実現されるシステムと読み替えてもよい。
【0027】
但し、セキュリティ評価は、セキュリティ評価を閲覧するシステム以外の方法で提供されてもよい。セキュリティ評価を閲覧するシステム以外の方法は、電子メール、チャットツール、記録媒体などを用いた方法であってもよい。
【0028】
オプション2では、表示内容は、セキュリティ評価をユーザエンティティに提供可能となる予測納期を含んでもよい。予測納期は、予測納期を確認する時点からセキュリティ評価が提供可能となるまでの期間(例えば、1週間、2週間)などで表されてもよい。予測納期は、セキュリティ評価が提供可能な日付(例えば、yyyy/mm/dd)で表されてもよい。予測納期は、管理エンティティのオペレータによって手動で設定されてもよい。
【0029】
オプション3では、表示内容は、ユーザエンティティに対するセキュリティ評価の提供に関する注意事項を含んでもよい。注意事項は、セキュリティ評価の提供可能性に関する事項及びセキュリティ評価の提供にあたってユーザエンティティに課される可能性のある条件に関する事項の少なくともいずれか1つを含んでもよい。
【0030】
オプション4では、表示内容は、セキュリティ評価をユーザエンティティに対して提供可能となるまでの進捗状況を含んでもよい。進捗状況は、第1階層に属する第1進捗状況と、第1階層よりも下位の第2階層に属する第2進捗状況と、を含んでもよい。第2進捗状況は、チェックリストに対する初回の回答と、チェックリストに対する初回の回答のレビューと、チェックリストに対する2回目以降の再回答と、チェックリストに対する2回目以降の回答の再レビューと、を含んでもよい。
【0031】
オプション1~オプション4の中から選択された2以上のオプションが組み合わされてもよい。
【0032】
管理部32は、不揮発性メモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)、磁気テープなどの記憶媒体によって構成される。
【0033】
例えば、管理部32は、過去のセキュリティ評価を提供エンティティと対応付けて記憶する。管理部32は、過去のセキュリティ評価で用いたチェックリストを提供エンティティと対応付けて記憶してもよく、過去のセキュリティ評価で用いたチェックリストに対する回答を提供エンティティと対応付けて記憶してもよい。管理部32は、過去のセキュリティ評価に関する提供エンティティと管理エンティティとの間のコミュニケーションの履歴を記憶してもよい。管理部32は、過去のセキュリティ評価で用いたチェックリストに対する提供エンティティの回答頻度を記憶してもよい。
【0034】
制御部33は、少なくとも1つのプロセッサを含んでもよい。少なくとも1つのプロセッサは、単一の集積回路によって構成されてもよく、通信可能に接続された複数の回路(集積回路及び又はディスクリート回路(discrete circuits)など)によって構成されてもよい。
【0035】
例えば、制御部33は、表示内容に関する表示データを生成する。表示内容は、上述したオプション1~オプション4の中から選択された1以上のオプションを含んでもよい。ここで、表示データの生成は、表示内容の表示と読み替えてもよい。
【0036】
制御部33は、過去のセキュリティ評価が提供エンティティと対応付けられている場合に、予測納期を表示するための表示データを生成してもよい。
【0037】
実施形態では、通信部31は、サービスのセキュリティに関するチェックリストに対する回答を提供エンティティから受信する受信部を構成する。
【0038】
実施形態では、通信部31は、チェックリストに対する回答に基づいて、サービスに関するセキュリティ評価をユーザエンティティに対して提供する提供部を構成する。
【0039】
実施形態では、通信部31及び制御部33の少なくともいずれか1つは、セキュリティ評価をユーザエンティティに対して提供可能となる予測納期を表示する表示部を構成する。
【0040】
実施形態では、管理部32は、前記サービスに関する過去のセキュリティ評価を前記提供エンティティと対応付けて記憶するデータベースを構成する。
【0041】
(表示内容)
以下において、実施形態に係る表示内容について説明する。以下において、提供エンティティは、ベンダーと称することもある。提供エンティティによって提供されるサービスは、クラウドサービスと称されることもある。
以下において、実施形態に係る表示内容について説明する。以下において、提供エンティティは、ベンダーと称することもある。提供エンティティによって提供されるサービスは、クラウドサービスと称されることもある。
【0042】
【0043】
図3に示すように、表示内容は、ユーザエンティティが利用を予定するクラウドサービス、ユーザエンティティが利用を検討するクラウドサービス又はユーザエンティティが利用中のクラウドサービスの一覧を含む。例えば、サービスの一覧は、クラウドサービスA~クラウドサービスDなどを含む。
【0044】
クラウドサービスに関する過去のセキュリティ評価がベンダーと対応付けて記憶されている場合には、クラウドサービスA~クラウドサービスCに表示されているように、「調査結果を開示」というアイコンとともに予測納期51が表示される。例えば、クラウドサービスAについては約1週間以内という予測納期51が表示され、クラウドサービスBについては約2週間以内という予測納期51が表示され、クラウドサービスCについては約1週間以内という予測納期51が表示される。
【0045】
一方で、クラウドサービスに関する過去のセキュリティ評価がベンダーと対応付けて記憶されていない場合には、クラウドサービスDに表示されているように、「新規調査を依頼」というアイコンが表示される。このようなケースにおいて、過去にセキュリティ評価を調査した実績がないことを示す「調査実績なし」といった情報52がアイコンとともに表示されてもよい。
【0046】
ユーザエンティティに対する前記セキュリティ評価の提供に関する注意事項が存在する場合には、注意事項の存在を示すアイコン53が表示される。図3では、クラウドサービスB~クラウドサービスDには注意事項が存在するケースが例示されている。
【0047】
注意事項は、図4に示すように、「個別調査」、「第三者介在プライバシーポリシー」、「契約プラン」、「利用状況」、「有償対応」、「要NDA」、「競合製品」、「音信不通」、「その他(汎用)」などの種類を含んでもよい。
【0048】
「個別調査」は、提供エンティティがセキュリティ調査を受け付けておらず、チェックリストの送信及びチェックリストに対する回答の受信のスキームに提供エンティティが対応していないため、提供エンティティについて個別に対応する必要がある可能性がある条件である。過去の調査実績に基づき、「個別調査」が注意事項として存在する場合には、アイコン53の選択(クリック)によって「個別調査」と対応付けられた表示文言が表示されてもよい。ここで、表示文言は、注意事項の内容についてユーザエンティティに対して詳細を説明する文言である。また、表示文言は、注意事項に関するユーザエンティティへのアドバイスの文言を含んでもよい。表示文言は、例えば、「ポリシーやリソース・コストの問題からセキュリティ調査を受け付けていないとのことで、調査をお断りされたケースがあります。担当者情報を入力いただくと、開示いただける可能性があります。」であってもよい。
【0049】
「第三者介在プライバシーポリシー」は、評価提供装置30(第三者)の介在を提供エンティティが許容していない可能性がある条件である。「第三者介在プライバシーポリシー」が注意事項として存在する場合には、アイコン53の選択(クリック)によって「第三者介在プライバシーポリシー」と対応付けられた表示文言が表示されてもよい。表示文言は、例えば、「ポリシーなどにより、自社サービスの契約がない第三者へは情報を渡せない決まりとのことで、調査をお断りされたケースがあります。担当者情報を入力いただいたり、貴社から事前にご連絡いただくと、開示いただける可能性があります。」であってもよい。
【0050】
「契約プラン」は、提供エンティティによって提供されるサービスの契約プランや利用規模(アカウント数等)、契約金額等によって提供エンティティがセキュリティ評価の提供を拒否する可能性がある条件である。「契約プラン」が注意事項として存在する場合には、アイコン53の選択(クリック)によって「契約プラン」と対応付けられた表示文言が表示されてもよい。表示文言は、例えば、「事業者様側で契約ブランや利用規模(アカウント数等)、契約金額などで調査対応可否を決められており、調査依頼時にその基準を満たせずにお断りされたケースがあります。こ依頼の際は、ご契約予定/ご契約中のプランを必ずご記入ください。」であってもよい。
【0051】
「利用状況」は、提供エンティティによって提供されるサービスを利用中又は契約中でなければ提供エンティティがセキュリティ評価の提供を拒否する可能性がある条件である。「利用状況」が注意事項として存在する場合には、アイコン53の選択(クリック)によって「利用状況」と対応付けられた表示文言が表示されてもよい。表示文言は、例えば、「サービスの利用・契約がない状態ではセキュリティ調査を受け付けていないとのことで、調査をお断りされたケースがあります。そのためご利用前の導入検討段階での調査ご依頼の場合、お断りされる可能性があります。あらかじめご認識のうえ、ご依頼ください。」であってもよい。
【0052】
「有償対応」は、提供エンティティによって提供されるサービスに関するセキュリティ評価が有償でなければ提供エンティティがセキュリティ評価の提供を拒否する可能性がある条件である。「有償対応」が注意事項として存在する場合には、アイコン53の選択(クリック)によって「有償対応」と対応付けられた表示文言が表示されてもよい。表示文言は、例えば、「セキュリティ調査が有償対応となった事例があります。あらかじめご認識のうえ、ご依穎ください。」であってもよい。
【0053】
「要NDA」は、セキュリティ評価の提供にあたって秘密保持契約が必要とされる可能性がある条件である。「要NDA」が注意事項として存在する場合には、アイコン53の選択(クリック)によって「要NDA」と対応付けられた表示文言が表示されてもよい。表示文言は、例えば、「セキュリティ調査のために秘密保持契約が必要となった事例があります。あらかじめご認識のうえ、ご依頼ください。」であってもよい。
【0054】
「競合製品」は、提供エンティティによって提供されるサービスが管理エンティティによって提供され得るサービスと競合であるため、提供エンティティがセキュリティ評価の提供を拒否する可能性がある条件である。管理エンティティによって提供され得るサービスは、評価提供装置30によって実現されるサービスを含んでもよく、評価提供装置30によって実現されるサービス以外のサービスであって、管理エンティティが提供する他のサービスを含んでもよい。「競合製品」が注意事項として存在する場合には、アイコン53の選択(クリック)によって「競合製品」と対応付けられた表示文言が表示されてもよい。「競合製品」に該当するサービスは、管理エンティティによるセキュリティ評価の取得が困難であるため、サービスの一覧に表示しないようにしてもよい。表示文言は、例えば、「競合サービスのため、調査をお断りされたケースがあります。」であってもよい。
【0055】
「音信不通」は、提供エンティティと連絡が取れない可能性がある条件である。「音信不通」が注意事項として存在する場合には、アイコン53の選択(クリック)によって「音信不通」と対応付けられた表示文言が表示されてもよい。表示文言は、例えば、「依頼受領後何度も連絡したものの、全く連絡がつかずコミュニケーションが取れなかった企業です。担当者情報を入力いただくと、開示いただける可能性があります。」であってもよい。
【0056】
「その他(汎用)」は、上述した条件以外の理由でセキュリティ評価が得られない可能性がある条件である。「その他(汎用)」が注意事項として存在する場合には、アイコン53の選択(クリック)によって「その他(汎用)」と対応付けられた表示文言が表示されてもよい。表示文言は、例えば、「過去、調査できなかった事例があります。」であってもよい。
【0057】
ここで、「個別調査」、「第三者介在プライバシーポリシー」、「競合製品」、「音信不通」、「その他(汎用)」は、セキュリティ評価の提供可能性に関する事項の一例であると考えてもよい。「契約プラン」、「利用状況」、「有償対応」、「要NDA」は、セキュリティ評価の提供にあたってユーザエンティティに課される可能性のある条件に関する事項の一例であると考えてもよい。
【0058】
注意事項は、管理部32が提供エンティティと対応付けて記憶する過去のセキュリティ評価、提供エンティティと管理エンティティとの間のコミュニケーションの履歴及び提供エンティティの回答頻度などに基づいて、条件の種類や表示文言が選択される。
【0059】
【0060】
図5に示すように、表示内容は、ユーザエンティティが調査を依頼したクラウドサービスの一覧を含む。例えば、サービスの一覧は、クラウドサービスA~クラウドサービスDなどを含む。表示内容は、サービス名、依頼日、完了日、調査状況、再調査などの項目を含んでもよい。調査状況は、セキュリティ評価をユーザエンティティに対して提供可能となるまでの進捗状況の一例である。また、サービスの一覧には、過去に調査実績があって調査結果の開示を依頼したクラウドサービス及び過去に調査実績がなく新規に調査依頼したクラウドサービスの両方が含まれてもよい。
【0061】
進捗状況は、第1階層に属する第1進捗状況と、第1階層よりも下位の第2階層に属する第2進捗状況と、を含んでもよい。特に限定されるものではないが、図5に示す調査状況の欄には、第2進捗状況が表示されてもよい。
【0062】
例えば、図6~図10に示すように、第1進捗状況は、「依頼送信」、「先方確認」、「回答」、「完了」などの状況を含んでもよい。「依頼送信」は、ユーザエンティティからセキュリティ評価の調査を依頼され、提供エンティティにセキュリティ評価の調査を依頼するステータスである。「先方確認」は、提供エンティティがセキュリティ評価の調査を受けるか否かを確認するステータスである。「回答」は、提供エンティティにチェックリストを送信し、提供エンティティからチェックリストに対する回答を受信し、チェックリストに対する回答を管理エンティティでレビューするステータスである。「完了」は、セキュリティ評価の調査が完了したステータスである。
【0063】
第2進捗状況は、第1進捗状況の「依頼送信」よりも下位の「依頼送信」を含んでもよい。図6に示すように、第2進捗状況の「依頼送信」は、ユーザエンティティからセキュリティ評価の調査を依頼され、管理エンティティにおいて依頼を確認するステータスである。管理エンティティにおいて依頼の確認が完了して、提供エンティティにセキュリティ評価の調査を依頼すると、第2進捗状況の「依頼送信」が終了(例えば、黒丸)となり、第1進捗状況の「依頼送信」も終了(例えば、チェック)となる。このように、第1進捗状況と第2進捗状況のステータスとは、異なるアイコンによって表示されてもよい。
【0064】
第2進捗状況は、第1進捗状況の「先方確認」よりも下位の「担当者返信」及び「回答交渉」を含んでもよい。図7の左欄に示すように、第2進捗状況の「担当者返信」は、提供エンティティからの返信を待つステータスである。提供エンティティからの返信があると、第2進捗状況の「担当者返信」が終了(例えば、黒丸)となる。図7の右欄に示すように、「回答交渉」は、管理エンティティと提供エンティティとの間でセキュリティ評価の調査の依頼に関する交渉を行うステータスである。交渉が完了すると、第2進捗状況の「回答交渉」が終了(例えば、黒丸)となり、第1進捗状況の「先方確認」も終了(例えば、チェック)となる。
【0065】
第2進捗状況は、第1進捗状況の「回答」よりも下位の「回答開始」、「回答」、「レビュー」を含んでもよい。図8の左上欄に示すように、第2進捗状況の「回答開始」は、提供エンティティにチェックリストを送信し、提供エンティティがチェックリストに対する回答を開始するステータスである。提供エンティティにチェックリストを送信すると、第2進捗状況の「回答開始」が終了(例えば、黒丸)する。図8の右上欄に示すように、第2進捗状況の「回答」は、提供エンティティがチェックリストに対する回答を行っているステータスである。提供エンティティからチェックリストに対する回答を受信すると、第2進捗状況の「回答」が終了(例えば、黒丸)する。図8の左下欄に示すように、第2進捗状況の「レビュー」は、管理エンティティがチェックリストに対する回答をレビューするステータスである。チェックリストに対する回答に不備がなければ、第2進捗状況の「レビュー」が終了(例えば、黒丸)となり、第1進捗状況の「回答」も終了(例えば、チェック)となる。
【0066】
ここで、チェックリストに対する回答に不備がある場合には、図9に示すように、第1進捗状況の「回答」よりも下位の第2進捗状況として、「再回答」及び「再レビュー」の項目が追加される。図9の左欄に示すように、第2進捗状況の「再回答」は、提供エンティティがチェックリストに対する再回答を行っているステータスである。提供エンティティからチェックリストに対する再回答を受信すると、第2進捗状況の「再回答」が終了(例えば、黒丸)する。図9の右欄に示すように、第2進捗状況の「再レビュー」は、管理エンティティがチェックリストに対する再回答を再レビューするステータスである。チェックリストに対する再回答に不備がなければ、第2進捗状況の「再レビュー」が終了(例えば、黒丸)となり、第1進捗状況の「回答」も終了(例えば、チェック)となる。
【0067】
なお、チェックリストに対する再回答に不備がある場合には、第1進捗状況の「回答」よりも下位の第2進捗状況として、「再回答」及び「再レビュー」の項目がさらに追加され、図9と同様の手順で、チェックリストに対する再回答及びチェックリストに対する再回答の再レビューが行われる。チェックリストに対する再回答に不備がなくなるまで、図9と同様の手順が繰り返されてもよい。
【0068】
また、提供エンティティによる再回答や管理エンティティによる再レビューが必要となった場合等に、セキュリティ評価の納期が遅れる場合には、第1進捗状況及び第2進捗状況の表示と合わせて、納期が遅れる旨の文言を表示してもよい。
【0069】
すなわち、図9及び図10に示すように、進捗状況に関する表示内容は、チェックリストに対する初回の回答と、チェックリストに対する初回の回答のレビューと、チェックリストに対する2回目以降の再回答と、チェックリストに対する2回目以降の回答の再レビューと、を含んでもよい。
【0070】
第2進捗状況は、第1進捗状況の「完了」よりも下位の「完了」を含んでもよい。図10に示すように、第2進捗状況の「完了」は、セキュリティ評価の提供が完了したステータスである。セキュリティ評価の提供が完了すると、第2進捗状況の「完了」が終了(例えば、黒丸)となり、第1進捗状況の「完了」も終了(例えば、チェック)となる。
【0071】
ここで、図5では、調査状況の欄に第2進捗状況が表示されるケースについて例示したが、調査状況の欄に第1進捗状況が表示され、第1進捗状況の選択に応じて第2進捗状況が表示されてもよい。或いは、調査状況の欄に、第1進捗状況及び第2進捗状況の双方が表示されてもよい。
【0072】
(作用及び効果)
実施形態では、評価提供装置30は、セキュリティに関するチェックリストに対する回答の収集を代行する場合に、セキュリティ評価をユーザエンティティに対して提供可能となる予測納期を表示する。このような構成によれば、ユーザエンティティが予測納期を把握することができるため、ユーザエンティティの利便性が向上する。
実施形態では、評価提供装置30は、セキュリティに関するチェックリストに対する回答の収集を代行する場合に、セキュリティ評価をユーザエンティティに対して提供可能となる予測納期を表示する。このような構成によれば、ユーザエンティティが予測納期を把握することができるため、ユーザエンティティの利便性が向上する。
【0073】
実施形態では、評価提供装置30は、ユーザエンティティに対するセキュリティ評価の提供に関する注意事項を表示する。このような構成によれば、ユーザエンティティが注意事項を事前に把握することができるため、ユーザエンティティの利便性が向上する。
【0074】
実施形態では、評価提供装置30は、セキュリティ評価をユーザエンティティに対して提供可能となるまでの進捗状況を表示する。このような構成によれば、セキュリティに関するチェックリストに対する回答の収集を代行する場合であっても、ユーザエンティティが管理エンティティと提供エンティティとの間の進捗を把握することができるため、ユーザエンティティの利便性が向上する。
【0075】
[変更例1]
以下において、実施形態の変更例1について説明する。以下においては、実施形態に対する相違点について主として説明する。
以下において、実施形態の変更例1について説明する。以下においては、実施形態に対する相違点について主として説明する。
【0076】
変更例1では、表示内容は、図11の左欄に示すように、セキュリティ評価の提供に関するユーザエンティティの依頼がユーザエンティティによりキャンセルされた理由(図11では、キャンセル理由)を含んでもよい。特に限定されるものではないが、キャンセル理由は、ユーザエンティティにおいて提供エンティティからセキュリティ評価を取得することが難しいと判断したなどの理由であってもよい。ここで、図11の左欄では、第1進捗状況の「依頼送信」の段階で依頼がキャンセルされたケースが例示されているが、他の第1進捗状況又は第2進捗状況において依頼がキャンセルされてもよい。
【0077】
変更例1では、表示内容は、図11の右欄に示すように、提供エンティティがセキュリティ評価を提供できない理由(図11では、NG理由)を含んでもよい。特に限定されるものではないが、NG理由は、セキュリティ評価の個別対応を提供エンティティが受け付けていないなどの理由であってもよい。ここで、図11の右欄では、第1進捗状況の「依頼送信」の段階でセキュリティ評価を提供できない旨が判断されたケースが例示されているが、他の第1進捗状況又は第2進捗状況においてセキュリティ評価を提供できない旨が判断されてもよい。
【0078】
(作用及び効果)
変更例1では、評価提供装置30は、キャンセル理由及びNG理由の少なくともいずれか1つを表示する。このような構成によればセキュリティ評価が得られない理由を、ユーザエンティティが適切に把握することができる。
変更例1では、評価提供装置30は、キャンセル理由及びNG理由の少なくともいずれか1つを表示する。このような構成によればセキュリティ評価が得られない理由を、ユーザエンティティが適切に把握することができる。
【0079】
[変更例2]
以下において、実施形態の変更例2について説明する。以下においては、実施形態に対する相違点について主として説明する。
以下において、実施形態の変更例2について説明する。以下においては、実施形態に対する相違点について主として説明する。
【0080】
変更例2では、表示内容は、図12に示すように、セキュリティ評価を閲覧するシステム以外の方法でセキュリティ評価が納品された旨を含んでもよい。提供エンティティが、管理エンティティ経由での納品を拒否する場合や、電子メール等による納品を希望する場合等には、セキュリティ評価を閲覧するシステム以外の方法で納品する場合がある。セキュリティ評価を閲覧するシステム以外の方法は、電子メール、チャットツール、記録媒体などを用いた方法であってもよい。
【0081】
このようなケースにおいては、管理エンティティが手動で第2進捗状況の「完了」を完了に変更してもよい。第1進捗状況の「完了」は、管理エンティティが手動で完了に変更されてもよく、第2進捗状況の「完了」が完了に変更されると同時に完了に変更されてもよい。
【0082】
(作用及び効果)
変更例2では、評価提供装置30は、セキュリティ評価を閲覧するシステム以外の方法でセキュリティ評価が納品された旨を表示する。このような構成によれば、セキュリティ評価を閲覧するシステム以外の方法で納品された場合であっても、セキュリティ評価が取得されているか否かをユーザエンティティが適切に把握することができる。
変更例2では、評価提供装置30は、セキュリティ評価を閲覧するシステム以外の方法でセキュリティ評価が納品された旨を表示する。このような構成によれば、セキュリティ評価を閲覧するシステム以外の方法で納品された場合であっても、セキュリティ評価が取得されているか否かをユーザエンティティが適切に把握することができる。
【0083】
[変更例3]
以下において、実施形態の変更例3について説明する。以下においては、実施形態に対する相違点について主として説明する。
以下において、実施形態の変更例3について説明する。以下においては、実施形態に対する相違点について主として説明する。
【0084】
実施形態では、予測納期が管理エンティティのオペレータによって手動で設定されるケースについて例示した。これに対して、変更例3では、予測納期は、管理部32によって管理される情報に基づいて制御部33によって特定される。予測納期の特定に用いる情報は、以下に示す通りである。
【0085】
オプション3-1では、制御部33は、過去のセキュリティ評価を提供可能となるまでに要した実績納期に基づいて予測納期を特定する。実績納期は、過去のセキュリティ評価について、セキュリティ評価の依頼を受けてからセキュリティ評価を提供するまでに要した期間である。
【0086】
オプション3-2では、制御部33は、過去のセキュリティ評価で用いたチェックリストのバージョンに基づいて予測納期を特定する。例えば、制御部33は、チェックリストのバージョンが古いほど予測納期として長い納期を特定してもよい。
【0087】
オプション3-3では、制御部33は、過去のセキュリティ評価で用いたチェックリストの回答の充足度に基づいて予測納期を特定する。例えば、制御部33は、過去のセキュリティ評価で用いたチェックリストの回答の充足度が低いほど予測納期として長い納期を特定してもよい。
【0088】
オプション3-4では、制御部33は、過去のセキュリティ評価に関する提供エンティティとのコミュニケーションの履歴に基づいて予測納期を特定する。例えば、制御部33は、提供エンティティへの問合せに対する提供エンティティのレスポンスが遅いほど予測納期として長い納期を特定してもよい。
【0089】
オプション3-5では、制御部33は、過去のセキュリティ評価で用いたチェックリストに対する提供エンティティの回答頻度に基づいて予測納期を特定する。例えば、制御部33は、回答頻度が低いほど予測納期として長い納期を特定してもよい。
【0090】
オプション3-1~オプション3-5の中から選択された2以上のオプションが組み合わされてもよい。また、いずれかのオプションにより、過去の実績納期よりも長い納期が特定された場合は、その旨を注意事項として表示してもよい。
【0091】
(作用及び効果)
変更例3では、評価提供装置30は、オプション3-1~オプション3-5の少なくともいずれか1つに基づいて予測納期を特定する。このような構成によれば、予測納期を適切に特定しつつ、管理エンティティの手間を軽減することができる。
変更例3では、評価提供装置30は、オプション3-1~オプション3-5の少なくともいずれか1つに基づいて予測納期を特定する。このような構成によれば、予測納期を適切に特定しつつ、管理エンティティの手間を軽減することができる。
【0092】
[その他の実施形態]
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
【0093】
特に限定されるものではないが、セキュリティ評価の調査は、セキュリティ調査と読み替えられてもよい。
【0094】
実施形態では特に触れていないが、評価提供装置30が行う各処理をコンピュータに実行させるプログラムが提供されてもよい。また、プログラムは、コンピュータ読取り可能媒体に記録されていてもよい。コンピュータ読取り可能媒体を用いれば、コンピュータにプログラムをインストールすることが可能である。ここで、プログラムが記録されたコンピュータ読取り可能媒体は、非一過性の記録媒体であってもよい。非一過性の記録媒体は、特に限定されるものではないが、例えば、CD-ROMやDVD-ROM等の記録媒体であってもよい。
【0095】
或いは、評価提供装置30が行う各処理を実行するためのプログラムを記憶するメモリ及びメモリに記憶されたプログラムを実行するプロセッサによって構成されるチップが提供されてもよい。
【0096】
[付記]
上述した開示は、以下のように表現されてもよい。
上述した開示は、以下のように表現されてもよい。
【0097】
第1の特徴は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信する受信部と、前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供する提供部と、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示する表示部と、を備える、評価提供装置である。
【0098】
第2の特徴は、第1の特徴において、前記表示部は、前記ユーザエンティティに対する前記セキュリティ評価の提供に関する注意事項を表示する、評価提供装置である。
【0099】
第3の特徴は、第2の特徴において、前記注意事項は、前記セキュリティ評価の提供可能性に関する事項及び前記セキュリティ評価の提供にあたって前記ユーザエンティティに課される可能性のある条件に関する事項の少なくともいずれか1つを含む、評価提供装置である。
【0100】
第4の特徴は、第1の特徴乃至第3の特徴の少なくともいずれか1つにおいて、前記表示部は、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となるまでの進捗状況を表示する、評価提供装置である。
【0101】
第5の特徴は、第4の特徴において、前記進捗状況は、第1階層に属する第1進捗状況と、前記第1階層よりも下位の第2階層に属する第2進捗状況と、を含む、評価提供装置である。
【0102】
第6の特徴は、第5の特徴において、前記第2進捗状況は、前記チェックリストに対する初回の回答と、前記チェックリストに対する初回の回答のレビューと、前記チェックリストに対する2回目以降の再回答と、前記チェックリストに対する2回目以降の回答の再レビューと、を含む、評価提供装置である。
【0103】
第7の特徴は、第1の特徴乃至第6の特徴の少なくともいずれか1つにおいて、前記表示部は、前記セキュリティ評価の提供に関するユーザエンティティの依頼が前記ユーザエンティティによりキャンセルされた理由及び前記セキュリティ評価を提供できない理由の少なくともいずれか1つを表示する、評価提供装置である。
【0104】
第8の特徴は、第1の特徴乃至第7の特徴の少なくともいずれか1つにおいて、前記表示部は、前記セキュリティ評価を閲覧するシステム以外の方法で前記セキュリティ評価が納品された旨を表示する、評価提供装置である。
【0105】
第9の特徴は、第1の特徴乃至第8の特徴の少なくともいずれか1つにおいて、前記サービスに関する過去のセキュリティ評価を前記提供エンティティと対応付けて記憶するデータベースを備え、前記表示部は、前記過去のセキュリティ評価が前記提供エンティティと対応付けて記憶されている場合に、前記予測納期を表示する、評価提供装置である。
【0106】
第10の特徴は、第9の特徴において、前記過去のセキュリティ評価を提供可能となるまでに要した実績納期、前記過去のセキュリティ評価で用いた前記チェックリストのバージョン、前記過去のセキュリティ評価で用いた前記チェックリストの回答の充足度、前記過去のセキュリティ評価に関する前記提供エンティティとのコミュニケーションの履歴、及び、前記過去のセキュリティ評価で用いた前記チェックリストに対する前記提供エンティティの回答頻度の少なくともいずれか1つに基づいて、前記予測納期を特定する制御部を備える、評価提供装置である。
【0107】
第11の特徴は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信するステップAと、前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供するステップBと、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示するステップCと、を備える、評価提供方法である。
【0108】
第12の特徴は、サービスのセキュリティに関するチェックリストに対する回答を、前記サービスを提供する提供エンティティから受信するステップAと、前記チェックリストに対する回答に基づいて、前記サービスに関するセキュリティ評価をユーザエンティティに対して提供するステップBと、前記セキュリティ評価を前記ユーザエンティティに対して提供可能となる予測納期を表示するステップCと、をコンピュータに実行させる、評価提供プログラムである。
【符号の説明】
【0109】
10…第1端末、20…第2端末、30…評価提供装置、31…通信部、32…管理部、33…制御部、100…評価提供システム、110…ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
