ホーム > 特許ランキング > 株式会社アシュアード
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-11-27
(45)【発行日】2024-12-05
(54)【発明の名称】情報処理システム、情報処理方法及びプログラム
(51)【国際特許分類】
G06Q 50/10 20120101AFI20241128BHJP
【FI】
G06Q50/10
【請求項の数】
14
(21)【出願番号】P 2024169732
(22)【出願日】2024-09-30
【審査請求日】2024-09-30
【早期審査対象出願】
(73)【特許権者】
【識別番号】521541734
【氏名又は名称】株式会社アシュアード
(74)【代理人】
【識別番号】100218970
【弁理士】
【氏名又は名称】大杉 肇
(74)【代理人】
【識別番号】100176876
【弁理士】
【氏名又は名称】各務 幸樹
(72)【発明者】
【氏名】大方 知
(72)【発明者】
【氏名】長尾 朋美
(72)【発明者】
【氏名】松本 昂之
【審査官】星野 裕
(56)【参考文献】
【文献】特開2009-157824(JP,A)
【文献】特開2002-056176(JP,A)
【文献】特開2004-295591(JP,A)
【文献】特開2006-178852(JP,A)
【文献】特開2009-003684(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06Q 10/00-99/00
(57)【特許請求の範囲】
【請求項1】
情報処理システムであって、少なくとも1つのプロセッサを備え、
前記プロセッサは、プログラムを読み出すことで次の各ステップを実行するように構成され、
判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、前記判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、前記判定ルールと当該判定ルールに対応付けられた前記リスクメッセージとを組み合わせてデータベースに登録し、ここで、前記リスクメッセージには、前記判定ルールに抵触する事項を説明する文章が含まれ、
回答受付ステップでは、サービス提供者から前記調査における質問項目への回答の入力を受け付け、
判定ステップでは、入力された回答の前記判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対する前記リスクメッセージを表示させ、
評価受付ステップでは、前記調査における前記サービス提供者の回答に対する評価を前記評価者から受け付け、
前記判定ルールは、複数の抵触条件を含み、ここで、前記抵触条件は、1つの質問項目において抵触の充足条件を構成する回答内容を1つずつ規定し、
前記判定ステップでは、複数の前記抵触条件がすべて満たされる場合、又は複数の前記抵触条件のいずれかが満たされる場合に、前記判定ルールへの抵触があると判定する、情報処理システム。
【請求項2】
請求項1に記載の情報処理システムにおいて、前記判定ルールは、他の回答との矛盾を規定する条件、日付に関する矛盾を規定する条件、及び回答の非公開に関する条件の少なくとも1つを含む、情報処理システム。
【請求項3】
請求項2に記載の情報処理システムにおいて、前記他の回答には、他の質問項目における回答と、同一の質問項目内における回答とが含まれる、情報処理システム。
【請求項4】
情報処理システムであって、
少なくとも1つのプロセッサを備え、
前記プロセッサは、プログラムを読み出すことで次の各ステップを実行するように構成され、
判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、前記判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、前記判定ルールと当該判定ルールに対応付けられた前記リスクメッセージとを組み合わせてデータベースに登録し、ここで、前記リスクメッセージには、前記判定ルールに抵触する事項を説明する文章が含まれ、
回答受付ステップでは、サービス提供者から前記調査における質問項目への回答の入力を受け付け、
判定ステップでは、入力された回答の前記判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対する前記リスクメッセージを表示させ、
評価受付ステップでは、前記調査における前記サービス提供者の回答に対する評価を前記評価者から受け付け、
前記リスクメッセージには、当該リスクメッセージに関連する他の質問項目へのリンクが含まれる、情報処理システム。
【請求項5】
請求項1に記載の情報処理システムにおいて、前記判定ステップでは、前記調査における質問項目に対し回答が入力された際に、当該回答の前記判定ルールへの抵触の判定結果に応じて前記リスクメッセージを表示させる、情報処理システム。
【請求項6】
請求項1に記載の情報処理システムにおいて、前記判定ステップでは、前記リスクメッセージの表示対象となった質問項目及び回答を、前記リスクメッセージとともに一覧表示させる、情報処理システム。
【請求項7】
情報処理システムであって、
少なくとも1つのプロセッサを備え、
前記プロセッサは、プログラムを読み出すことで次の各ステップを実行するように構成され、
判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、前記判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、前記判定ルールと当該判定ルールに対応付けられた前記リスクメッセージとを組み合わせてデータベースに登録し、ここで、前記リスクメッセージには、前記判定ルールに抵触する事項を説明する文章が含まれ、
回答受付ステップでは、サービス提供者から前記調査における質問項目への回答の入力を受け付け、
判定ステップでは、入力された回答の前記判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対する前記リスクメッセージを表示させ、
評価受付ステップでは、前記調査における前記サービス提供者の回答に対する評価を前記評価者から受け付け、
前記回答受付ステップでは、前記調査における質問項目に対して入力された回答の送信指示を前記サービス提供者から受け付け、
前記判定ステップでは、前記送信指示の受付時に前記判定ルールに抵触する回答があることを示すアラートを表示させ、
前記アラートには、前記判定ルールに抵触する回答に対応する質問項目へのリンク、又は前記判定ルールに抵触する回答が表示された、当該回答に対応する質問項目への回答入力フォームが含まれる、情報処理システム。
【請求項8】
請求項1に記載の情報処理システムにおいて、前記判定ステップでは、前記リスクメッセージの表示対象となった質問項目及び回答と、前記リスクメッセージに関連する他の質問項目及び回答とを同一画面上に並べて表示させる、情報処理システム。
【請求項9】
情報処理システムであって、
少なくとも1つのプロセッサを備え、
前記プロセッサは、プログラムを読み出すことで次の各ステップを実行するように構成され、
判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、前記判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、前記判定ルールと当該判定ルールに対応付けられた前記リスクメッセージとを組み合わせてデータベースに登録し、ここで、前記リスクメッセージには、前記判定ルールに抵触する事項を説明する文章が含まれ、
回答受付ステップでは、サービス提供者から前記調査における質問項目への回答の入力を受け付け、
判定ステップでは、入力された回答の前記判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対する前記リスクメッセージを表示させ、
評価受付ステップでは、前記調査における前記サービス提供者の回答に対する評価を前記評価者から受け付け、
前記判定ルール登録ステップでは、前記評価者から、前記判定ルールごとに、前記判定ルールに抵触する回答の修正が必須であることを示す修正必須属性の設定を受け付けるとともに、前記判定ルールと前記修正必須属性とを対応付けて前記データベースに登録する、情報処理システム。
【請求項10】
請求項9に記載の情報処理システムにおいて、回答送信ステップでは、前記調査における前記サービス提供者の回答に前記修正必須属性が設定された前記判定ルールへ抵触する修正必須回答が含まれないか判定し、前記修正必須回答が含まれない場合に、前記サービス提供者の回答を前記評価者に送信する、情報処理システム。
【請求項11】
情報処理システムであって、
少なくとも1つのプロセッサを備え、
前記プロセッサは、プログラムを読み出すことで次の各ステップを実行するように構成され、
判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、前記判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、前記判定ルールと当該判定ルールに対応付けられた前記リスクメッセージとを組み合わせてデータベースに登録し、ここで、前記リスクメッセージには、前記判定ルールに抵触する事項を説明する文章が含まれ、
回答受付ステップでは、サービス提供者から前記調査における質問項目への回答の入力を受け付け、
判定ステップでは、入力された回答の前記判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対する前記リスクメッセージを表示させ、
評価受付ステップでは、前記調査における前記サービス提供者の回答に対する評価を前記評価者から受け付け、
回答送信ステップでは、前記調査における前記サービス提供者の回答とともに、前記判定ルールへの抵触が解消されていない回答を示す情報を前記評価者に送信する、情報処理システム。
【請求項12】
請求項11に記載の情報処理システムにおいて、前記回答送信ステップでは、前記サービス提供者の前記リスクメッセージに対する確認操作を受け付け、前記確認操作を受け付けたことを示す情報を前記評価者に送信する、情報処理システム。
【請求項13】
情報処理方法であって、請求項1から請求項12のいずれか1項に記載の情報処理システムが実行する各ステップを備える、情報処理方法。
【請求項14】
プログラムであって、コンピュータに、請求項1から請求項12のいずれか1項に記載の情報処理システムの各ステップを実行させるための、プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理システム、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
特許文献1には、セキュリティに関する質問への回答の入力を受け付け、セキュリティの評価を行う技術が開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2005-234756号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ここで、効率的にセキュリティの評価を行うことが望まれている。
【0005】
本発明では上記事情に鑑み、効率的にセキュリティの評価を行うことができる情報処理システム等を提供することとした。
【課題を解決するための手段】
【0006】
本発明の一態様によれば、情報処理システムであって、少なくとも1つのプロセッサを備え、プロセッサは、プログラムを読み出すことで次の各ステップを実行するように構成され、判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、判定ルールと当該判定ルールに対応付けられたリスクメッセージとを組み合わせてデータベースに登録し、リスクメッセージには、判定ルールに抵触する事項を説明する文章が含まれ、回答受付ステップでは、サービス提供者から調査における質問項目への回答の入力を受け付け、判定ステップでは、入力された回答の判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対するリスクメッセージを表示させ、評価受付ステップでは、調査におけるサービス提供者の回答に対する評価を評価者から受け付ける、情報処理システムが提供される。
【0007】
このような態様によれば、セキュリティ調査における質問への回答入力時に、不備のある回答に表示されるリスクメッセージに基づいて、サービス提供者(回答者)が回答の見直し又は修正をすることができる。その結果、効率的にセキュリティの評価を行うことができる。
【図面の簡単な説明】
【0008】
【図1】情報処理システム1を表す構成図である。
【図2】サーバ装置10及び提供者端末20のハードウェア構成を示すブロック図である。
【図3】評価者端末30及び利用者端末40のハードウェア構成を示すブロック図である。
【図4】サーバ装置10(制御部11)、提供者端末20(制御部21)、評価者端末30(制御部31)及び利用者端末40(制御部41)によって実現される機能を示すブロック図である。
【図5】評価者端末30に表示される判定ルール登録画面RDの一例を示す図である。
【図6】評価者端末30に表示される判定ルール一覧画面LDの一例を示す図である。
【図7】提供者端末20に表示される回答入力画面ADの一例を示す図である。
【図8】提供者端末20に表示される回答入力画面ADの別の例を示す図である。
【図9】提供者端末20に表示される回答入力画面ADのさらに別の例を示す図である。
【図10】提供者端末20に表示される送信確認画面CDの一例を示す図である。
【図11】提供者端末20に表示される送信確認画面CDの別の例を示す図である。
【図12】情報処理システム1によって実行される情報処理(セキュリティ調査処理)の流れの一例を示すアクティビティ図である。
【発明を実施するための形態】
【0009】
以下、図面を用いて本発明の実施形態について説明する。以下に示す実施形態中で示した各種特徴事項は、互いに組み合わせ可能である。
【0010】
ところで、一実施形態に登場するソフトウェアを実現するためのプログラムは、コンピュータが読み取り可能な非一時的な記録媒体(Non-Transitory Computer-Readable Medium)として提供されてもよいし、外部のサーバからダウンロード可能に提供されてもよいし、外部のコンピュータで当該プログラムを起動させてクライアント端末でその機能を実現(いわゆるクラウドコンピューティング)するように提供されてもよい。
【0011】
また、一実施形態に係る種々の情報処理において、入力と、入力に応じた出力とが実現されうる。ここで、入力の結果として出力が得られれば、かかる情報処理において参照される情報(以下、参照情報と称する。)の態様は、限定されない。参照情報は、例えば、データベース、ルックアップテーブル、所定の関数(統計学的手法によって構築された、回帰式等の判定式を含む。)等のルールベースの情報でもよいし、入力と出力との相関を予め学習させた学習済みモデルでもよいし、プロンプトを入力することで所望の結果を出力可能な大規模言語モデルでもよい。
【0012】
また、一実施形態において「部」とは、例えば、広義の回路によって実施されるハードウェア資源と、これらのハードウェア資源によって具体的に実現されうるソフトウェアの情報処理とを合わせたものも含みうる。また、一実施形態においては様々な情報を取り扱うが、これら情報は、例えば電圧・電流を表す信号値の物理的な値、0又は1で構成される2進数のビット集合体としての信号値の高低、又は量子的な重ね合わせ(いわゆる量子ビット)によって表され、広義の回路上で通信・演算が実行されうる。
【0013】
さらに、広義の回路とは、回路(Circuit)、回路類(Circuitry)、プロセッサ(Processor)、及びメモリ(Memory)等を少なくとも適当に組み合わせることによって実現される回路である。また、プロセッサは、汎用プロセッサでもよいし、専用の回路でもよい。すなわち、特定用途向け集積回路(Application Specific Integrated Circuit:ASIC)、プログラマブル論理デバイス(例えば、単純プログラマブル論理デバイス(Simple Programmable Logic Device:SPLD)、複合プログラマブル論理デバイス(Complex Programmable Logic Device:CPLD)、及びフィールドプログラマブルゲートアレイ(Field Programmable Gate Array:FPGA))等を含むものである。
【0014】
1.ハードウェア構成
本節では、ハードウェア構成について説明する。
本節では、ハードウェア構成について説明する。
【0015】
<情報処理システム1>
図1は、情報処理システム1を表す構成図である。情報処理システム1は、通信回線2と、サーバ装置10と、複数の提供者端末20と、少なくとも1つの評価者端末30と、複数の利用者端末40とを備える。サーバ装置10と、提供者端末20と、評価者端末30と、利用者端末40とは、通信回線2を通じて相互に通信可能に構成されている。サーバ装置10、提供者端末20、評価者端末30及び利用者端末40の接続は有線でも無線でもよい。
図1は、情報処理システム1を表す構成図である。情報処理システム1は、通信回線2と、サーバ装置10と、複数の提供者端末20と、少なくとも1つの評価者端末30と、複数の利用者端末40とを備える。サーバ装置10と、提供者端末20と、評価者端末30と、利用者端末40とは、通信回線2を通じて相互に通信可能に構成されている。サーバ装置10、提供者端末20、評価者端末30及び利用者端末40の接続は有線でも無線でもよい。
【0016】
情報処理システム1は、例えば、複数のサービス提供者(第1サービス提供者U1及び第2サービス提供者U2)と、少なくとも一人の評価者U3と、複数のサービス利用者(第1サービス利用者U4及び第2サービス利用者U5)とが利用するインターネットサービスのセキュリティ評価システムの少なくとも一部を構成する。情報処理システム1は、サービス提供者が提供するサービスのセキュリティの評価、セキュリティ調査の評価結果の提供等を主に行うものであり、例えば、情報処理システム1は、評価者によるセキュリティ評価サービスの提供を主に行う。一実施形態において、情報処理システム1とは、1つ又はそれ以上の装置又は構成要素からなるものである。以下、これらの構成要素について説明する。
【0017】
<サーバ装置10>
図2は、サーバ装置10及び提供者端末20のハードウェア構成を示すブロック図である。図2Aに示されるように、サーバ装置10は、制御部11と、記憶部12と、通信部13と、通信バス14とを備える。制御部11、記憶部12、及び通信部13は、サーバ装置10の内部において通信バス14を介して電気的に接続されている。
図2は、サーバ装置10及び提供者端末20のハードウェア構成を示すブロック図である。図2Aに示されるように、サーバ装置10は、制御部11と、記憶部12と、通信部13と、通信バス14とを備える。制御部11、記憶部12、及び通信部13は、サーバ装置10の内部において通信バス14を介して電気的に接続されている。
【0018】
<制御部11>
制御部11は、サーバ装置10に関連する全体動作の処理・制御を行う。制御部11は、例えば中央処理装置(Central Processing Unit:CPU)である。制御部11は、記憶部12に記憶された所定のプログラムを読み出すことによって、サーバ装置10に係る種々の機能を実現する。すなわち、記憶部12に記憶されているソフトウェアによる情報処理が、ハードウェアの一例である制御部11によって具体的に実現されることで、制御部11に含まれる各機能部として実行されうる。これらについては、次節においてさらに詳述する。なお、制御部11は単一であることに限定されず、機能毎に複数の制御部11を有してもよい。また、制御部11は、これらを組み合わせた構成を有してもよい。
制御部11は、サーバ装置10に関連する全体動作の処理・制御を行う。制御部11は、例えば中央処理装置(Central Processing Unit:CPU)である。制御部11は、記憶部12に記憶された所定のプログラムを読み出すことによって、サーバ装置10に係る種々の機能を実現する。すなわち、記憶部12に記憶されているソフトウェアによる情報処理が、ハードウェアの一例である制御部11によって具体的に実現されることで、制御部11に含まれる各機能部として実行されうる。これらについては、次節においてさらに詳述する。なお、制御部11は単一であることに限定されず、機能毎に複数の制御部11を有してもよい。また、制御部11は、これらを組み合わせた構成を有してもよい。
【0019】
<記憶部12>
記憶部12は、前述の記載により定義される様々な情報を記憶する。これは、例えば、制御部11によって実行されるサーバ装置10に係る種々のプログラム等を記憶するソリッドステートドライブ(Solid State Drive:SSD)等のストレージデバイスとして、あるいは、プログラムの演算に係る一時的に必要な情報(引数、配列等)を記憶するランダムアクセスメモリ(Random Access Memory:RAM)等のメモリとして実施されうる。記憶部12は、制御部11によって実行されるサーバ装置10に係る種々のプログラム、変数等を記憶している。
記憶部12は、前述の記載により定義される様々な情報を記憶する。これは、例えば、制御部11によって実行されるサーバ装置10に係る種々のプログラム等を記憶するソリッドステートドライブ(Solid State Drive:SSD)等のストレージデバイスとして、あるいは、プログラムの演算に係る一時的に必要な情報(引数、配列等)を記憶するランダムアクセスメモリ(Random Access Memory:RAM)等のメモリとして実施されうる。記憶部12は、制御部11によって実行されるサーバ装置10に係る種々のプログラム、変数等を記憶している。
【0020】
<通信部13>
通信部13は、USB、IEEE1394、Thunderbolt(登録商標)、有線LANネットワーク通信等といった有線型の通信手段が好ましいものの、無線LANネットワーク通信、3G/LTE/5G等のモバイル通信、BLUETOOTH(登録商標)通信等を必要に応じて含めてもよい。すなわち、これら複数の通信手段の集合として実施することがより好ましい。すなわち、サーバ装置10は、通信部13及びネットワークを介して、外部から種々の情報を通信してもよい。
通信部13は、USB、IEEE1394、Thunderbolt(登録商標)、有線LANネットワーク通信等といった有線型の通信手段が好ましいものの、無線LANネットワーク通信、3G/LTE/5G等のモバイル通信、BLUETOOTH(登録商標)通信等を必要に応じて含めてもよい。すなわち、これら複数の通信手段の集合として実施することがより好ましい。すなわち、サーバ装置10は、通信部13及びネットワークを介して、外部から種々の情報を通信してもよい。
【0021】
サーバ装置10は、オンプレミス形態であってもよく、クラウド形態であってもよい。クラウド形態のサーバ装置10は、例えば、SaaS(Software as a Service)、クラウドコンピューティングという形態で、上述の機能や処理を提供してもよい。
【0022】
<提供者端末20>
提供者端末20は、ITサービスを提供するサービス提供者が使用する情報処理端末である。図2Bに示されるように、提供者端末20は、制御部21と、記憶部22と、通信部23と、入力部24と、出力部25と、通信バス26とを備える。制御部21、記憶部22、通信部23、入力部24、及び出力部25は、提供者端末20の内部において通信バス26を介して電気的に接続されている。制御部21、記憶部22及び通信部23の説明は、サーバ装置10における各部の説明と同様のため省略する。
提供者端末20は、ITサービスを提供するサービス提供者が使用する情報処理端末である。図2Bに示されるように、提供者端末20は、制御部21と、記憶部22と、通信部23と、入力部24と、出力部25と、通信バス26とを備える。制御部21、記憶部22、通信部23、入力部24、及び出力部25は、提供者端末20の内部において通信バス26を介して電気的に接続されている。制御部21、記憶部22及び通信部23の説明は、サーバ装置10における各部の説明と同様のため省略する。
【0023】
<入力部24>
入力部24は、ユーザによってなされた操作入力を受け付ける。操作入力は、命令信号として通信バス26を介して制御部21に転送される。制御部21は、必要に応じて、転送された命令信号に基づいて所定の制御や演算を実行しうる。入力部24は、提供者端末20の筐体に含まれるものであってもよいし、外付けされるものであってもよい。例えば、入力部24は、出力部25と一体となってタッチパネルとして実施されてもよい。入力部24がタッチパネルとして実施される場合、ユーザは、入力部24に対してタップ操作、スワイプ操作等を入力することができる。入力部24としては、タッチパネルに代えて、スイッチボタン、マウス、トラックパッド、QWERTYキーボード等が採用可能である。
入力部24は、ユーザによってなされた操作入力を受け付ける。操作入力は、命令信号として通信バス26を介して制御部21に転送される。制御部21は、必要に応じて、転送された命令信号に基づいて所定の制御や演算を実行しうる。入力部24は、提供者端末20の筐体に含まれるものであってもよいし、外付けされるものであってもよい。例えば、入力部24は、出力部25と一体となってタッチパネルとして実施されてもよい。入力部24がタッチパネルとして実施される場合、ユーザは、入力部24に対してタップ操作、スワイプ操作等を入力することができる。入力部24としては、タッチパネルに代えて、スイッチボタン、マウス、トラックパッド、QWERTYキーボード等が採用可能である。
【0024】
<出力部25>
出力部25は、ユーザが操作可能なグラフィカルユーザインターフェース(Graphical User Interface:GUI)の画面を表示する。出力部25は、提供者端末20の筐体に含まれるものであってもよいし、外付けされるものであってもよい。具体的には、出力部25は、CRTディスプレイ、液晶ディスプレイ、有機ELディスプレイ、プラズマディスプレイ等の表示デバイスとして実施されうる。これらの表示デバイスは、提供者端末20の種類に応じて使い分けて実施されることが好ましい。
出力部25は、ユーザが操作可能なグラフィカルユーザインターフェース(Graphical User Interface:GUI)の画面を表示する。出力部25は、提供者端末20の筐体に含まれるものであってもよいし、外付けされるものであってもよい。具体的には、出力部25は、CRTディスプレイ、液晶ディスプレイ、有機ELディスプレイ、プラズマディスプレイ等の表示デバイスとして実施されうる。これらの表示デバイスは、提供者端末20の種類に応じて使い分けて実施されることが好ましい。
【0025】
<評価者端末30>
評価者端末30は、利用者の回答を評価する評価者が使用する情報処理端末である。評価者は、セキュリティの評価を行う企業等の組織(例えば、クラウドサービス等のサービス、ソフトウェア等のセキュリティ評価を行うセキュリティ評価企業)又はその担当者である。評価者は、例えば、評価者端末30から情報処理システム1を介してサービスの評価を行う。
評価者端末30は、利用者の回答を評価する評価者が使用する情報処理端末である。評価者は、セキュリティの評価を行う企業等の組織(例えば、クラウドサービス等のサービス、ソフトウェア等のセキュリティ評価を行うセキュリティ評価企業)又はその担当者である。評価者は、例えば、評価者端末30から情報処理システム1を介してサービスの評価を行う。
【0026】
図3は、評価者端末30及び利用者端末40のハードウェア構成を示すブロック図である。図3Aに示されるように、評価者端末30は、制御部31と、記憶部32と、通信部33と、入力部34と、出力部35と、通信バス36とを備える。制御部31、記憶部32、通信部33、入力部34、及び出力部35は、評価者端末30の内部において通信バス36を介して電気的に接続されている。評価者端末30の制御部31、記憶部32、通信部33、入力部34及び出力部35の説明は、提供者端末20における各部の説明と同様のため省略する。
【0027】
<利用者端末40>
利用者端末40は、サーバ装置10によって提供されるセキュリティ評価サービスの利用者が使用する情報処理端末である。図3Bに示されるように、利用者端末40は、制御部41と、記憶部42と、通信部43と、入力部44と、出力部45と、通信バス46とを備える。制御部41、記憶部42、通信部43、入力部44、及び出力部45は、利用者端末40の内部において通信バス46を介して電気的に接続されている。利用者端末40の制御部41、記憶部42、通信部43、入力部44及び出力部45の説明は、提供者端末20における各部の説明と同様のため省略する。
利用者端末40は、サーバ装置10によって提供されるセキュリティ評価サービスの利用者が使用する情報処理端末である。図3Bに示されるように、利用者端末40は、制御部41と、記憶部42と、通信部43と、入力部44と、出力部45と、通信バス46とを備える。制御部41、記憶部42、通信部43、入力部44、及び出力部45は、利用者端末40の内部において通信バス46を介して電気的に接続されている。利用者端末40の制御部41、記憶部42、通信部43、入力部44及び出力部45の説明は、提供者端末20における各部の説明と同様のため省略する。
【0028】
2.機能構成
本節では、本実施形態の機能構成について説明する。記憶部12に記憶されているソフトウェアによる情報処理がハードウェアの一例である制御部11によって具体的に実現されることで、制御部11(情報処理システム1が備える少なくとも1つのプロセッサ)に含まれる各機能部として実行されうる。
本節では、本実施形態の機能構成について説明する。記憶部12に記憶されているソフトウェアによる情報処理がハードウェアの一例である制御部11によって具体的に実現されることで、制御部11(情報処理システム1が備える少なくとも1つのプロセッサ)に含まれる各機能部として実行されうる。
【0029】
図4は、サーバ装置10(制御部11)、提供者端末20(制御部21)、評価者端末30(制御部31)及び利用者端末40(制御部41)によって実現される機能を示すブロック図である。
【0030】
図4Aに示されるように、サーバ装置10(制御部11)は、基本表示制御部111と、判定ルール登録部112と、回答受付部113と、判定部114と、回答送信部115と、評価受付部116と、レポート出力部117とを備える。図4Bに示されるように、提供者端末20(制御部21)は、表示部211と、操作取得部212とを備える。図4Cに示されるように、評価者端末30(制御部31)は、表示部311と、操作取得部312とを備える。図4Dに示されるように、利用者端末40(制御部41)は、表示部411と、操作取得部412とを備える。
【0031】
<基本表示制御部111>
基本表示制御部111は、種々の情報を提供者端末20、評価者端末30及び利用者端末40に表示させるように構成される。例えば、基本表示制御部111は、サービス提供者が回答を入力する入力フォーム、サービス提供者が入力した回答、評価者による評価結果等を、提供者端末20の表示部211、評価者端末30の表示部311、又は利用者端末40の表示部411に表示させる。
基本表示制御部111は、種々の情報を提供者端末20、評価者端末30及び利用者端末40に表示させるように構成される。例えば、基本表示制御部111は、サービス提供者が回答を入力する入力フォーム、サービス提供者が入力した回答、評価者による評価結果等を、提供者端末20の表示部211、評価者端末30の表示部311、又は利用者端末40の表示部411に表示させる。
【0032】
<判定ルール登録部112>
判定ルール登録部112は、サービス提供者のセキュリティに関する調査における質問項目への回答に対する判定ルールを登録するように構成される。
判定ルール登録部112は、サービス提供者のセキュリティに関する調査における質問項目への回答に対する判定ルールを登録するように構成される。
【0033】
サービス提供者が提供する「サービス」には、SaaS、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、クラウドサービス等の、インターネットを通じて提供されるサービスが含まれ、「サービス提供者」には、クラウドサービス事業者等が含まれる。また、サービス提供者が提供する「サービス」は、取引相手や顧客等に対して提供する役務であってもよい。
【0034】
「質問項目」は、サービス提供者に回答を要求する事項であり、例えば、サービス提供者自身のセキュリティ、サービス提供者が提供するサービスのセキュリティ等に関する項目が含まれてもよい。また、質問項目には、サービス提供者のサプライチェーンに含まれる他の組織のセキュリティ等に関する項目が含まれてもよい。「他の組織」には、例えば、サービス提供者が自身の業務を委託している組織(委託先業者、再委託先業者、再々委託先・・・等を含む)等の、サービス提供者の取引先組織が含まれる。
【0035】
1つの質問項目には、複数の回答要素(解答欄)が含まれてもよい。また、質問項目は、いわゆるセキュリティチェックシートを含んでもよい。
【0036】
判定ルールは、質問項目の回答に含まれる不備や誤り、矛盾等の有無を判定するためのルールである。回答の不備等は、例えば、そのままではセキュリティの評価ができない、セキュリティの評価の正確性が下がる、又はセキュリティの評価が著しく低下する回答の状態であり、評価者によって、サービス提供者への回答の見直しや再入力等が求められる回答の状態である。
【0037】
判定ルールは、他の回答との矛盾を規定する第1矛盾条件、日付に関する矛盾を規定する第2矛盾条件、及び回答の非公開に関する非公開条件の少なくとも1つを含むとよい。これにより、比較的簡潔な条件設定によって精度の高い抵触有無の判定が可能となるため、サービス提供者による回答の品質が高められる。その結果、評価者による回答の差し戻しの発生が抑制されるとともに、評価者が評価に要する時間を短縮できる。
【0038】
第1矛盾条件は、指定された複数の回答の間に矛盾がある(複数の回答が矛盾の定義条件を満たす)場合に抵触となることを規定する。第1矛盾条件における他の回答には、他の質問項目における回答と、同一の質問項目内における回答とが含まれるとよい。これにより、独立した質問項目間の回答の矛盾と、1つの質問項目における複数の回答要素間の矛盾とを判定できるため、評価者による回答の差し戻しの発生抑制効果が促進される。
【0039】
第2矛盾条件は、例えば、現在の日付と、回答が入力された日付、又は回答として入力された日付とが所定の関係を満たす場合に抵触となることを規定する。これにより、例えば、認証等の有効期限を有する事項に関する質問項目において、有効期限が切れていると判定される場合にリスクメッセージを表示させることができる。
【0040】
非公開条件は、例えば、回答として「非公開」が入力(選択)されている場合に抵触となることを規定する。これにより、回答を非公開とする入力に対しリスクメッセージを表示させることができる。
【0041】
判定ルールは、複数の抵触条件を含んでもよい。抵触条件は、1つの質問項目において抵触の充足条件を構成する回答内容を1つずつ規定したものである。これにより、評価者が質問項目単位、又は回答単位で判定ルールを設定することができるため、セキュリティ調査における判定ルール網を効率的に構築することができる。
【0042】
複数の抵触条件には、複数の回答が入力可能であるか、複数の回答の入力が必須である1つの質問項目における、複数の回答ごとの回答内容を規定したものが含まれてもよい。例えば、1つの判定ルールにおいて、「N番目の質問項目の回答に選択肢Aが含まれる」という抵触条件と、「N番目の質問項目の回答に選択肢Bが含まれないこと」という抵触条件とが含まれてもよい。また、判定ルールには、矛盾が生じうる複数の質問項目の組み合わせと、当該組み合わせに含まれる複数の質問項目それぞれにおける抵触条件とが含まれてもよい。
【0043】
リスクメッセージは、判定ルールに抵触する回答があることを示す通知である。リスクメッセージには、判定ルールに抵触する事項を説明する文章が含まれる。「抵触する事項」には、例えば、判定ルールに抵触する理由、抵触と判定された根拠(日付等)、関連する質問項目と対応する入力済み回答等が含まれる。また、リスクメッセージには、回答の修正方針の示唆等が含まれてもよい。
【0044】
「関連する質問項目」は、判定ルールにおいて矛盾関係が定義されている質問項目であり、換言すれば、抵触する判定ルールにおける「矛盾が生じうる複数の質問項目の組み合わせ」に含まれる質問項目である。
【0045】
リスクメッセージには、当該リスクメッセージに関連する他の質問項目へのリンクが含まれてもよい。これにより、関連する質問項目の確認、関連する質問項目に対する回答の修正等を即時行うことができるため、サービス提供者が効率よく回答を修正できる。
【0046】
他の質問項目へのリンクは、リスクメッセージに含まれる文章中の質問項目を示すキーワード(例えば、質問番号)に付されてもよいし、例えば、ボタン等のオブジェクトとして文章とは独立した形でリスクメッセージに含まれてもよい。提供者端末20においてリンクに対する入力操作が行われると、リンクされた質問項目の回答入力画面(回答入力欄)が提供者端末20に表示される。
【0047】
判定ルール登録部112は、評価者から、複数の判定ルールと、判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、判定ルールと当該判定ルールに対応付けられたリスクメッセージとを組み合わせてルールデータベースに登録する。
【0048】
判定ルール登録部112は、例えば、判定ルールの入力を受け付ける判定ルール入力欄と、当該判定ルールに対応付けるリスクメッセージの入力を受け付けるリスクメッセージ入力欄とを含む、判定ルール登録画面を評価者端末30に表示させる。判定ルール登録部112は、判定ルール入力欄に入力された判定ルールと、リスクメッセージ入力欄に入力されたリスクメッセージとを対応付けて、ルールデータベースに登録する。これにより、後述される判定部114において、1つの判定ルールに回答が抵触するとされる場合には、この判定ルールに対応付けて登録された1つのリスクメッセージが提供者端末20に表示される。つまり、判定ルールとリスクメッセージとは、1対1で対応付けられている。さらに換言すれば、個々のリスクメッセージは、リスクメッセージの表示対象となる質問項目が条件として含まれている判定ルールと紐づけられてルールデータベースに登録されている。
【0049】
判定ルール登録部112は、評価者から、判定ルールごとの属性の設定を受け付けるとともに、判定ルールと属性とを対応付けてルールデータベースに登録してもよい。判定ルールの属性としては、例えば、判定ルールの警告レベル、警告タイミング等が含まれる。判定ルールのリスクメッセージは、例えば、属性に応じた形態(例えば、警告レベルが高いほど強調される形)で表示されてもよい。また、判定ルールのリスクメッセージは、例えば、属性に応じたタイミング(例えば、回答入力直後、回答送信後等)に応じて表示されてもよい。
【0050】
特に、判定ルール登録部112は、評価者から、判定ルールごとに、判定ルールに抵触する回答の修正が必須であることを示す修正必須属性の設定を受け付けるとともに、判定ルールと修正必須属性とを対応付けてルールデータベースに登録してもよい。これにより、評価者が評価できない内容を含む回答が評価者に提出される前に、サービス提供者に当該回答の修正を促すことができる。その結果、効率的にセキュリティの評価を行うことができる。
【0051】
判定ルール登録部112は、例えば、評価者端末30から判定ルール及びリスクメッセージの入力を受け付ける際に、修正必須属性であるか否かの入力をさらに受け付ける。修正必須属性の入力は、修正必須属性であることを示す選択肢の選択によって行われてもよい。判定ルール登録部112は、対応付けて入力された判定ルール及びリスクメッセージとともに、修正必須属性をルールデータベースに登録する。したがって、修正必須属性は、リスクメッセージとも対応付けられる。
【0052】
ルールデータベースに登録された判定ルールは、すべてのサービス提供者に共通して適用される。判定ルール登録部112は、登録された判定ルールの一覧を評価者端末30に表示させてもよい。また、判定ルール登録部112は、登録された判定ルールの編集(修正、削除等)を評価者端末30から受け付けてもよい。
【0053】
なお、サービス提供者及び利用者は、判定ルール及びリスクメッセージを登録することはできない。つまり、判定ルール登録部112は、評価者端末30からのみ、判定ルール及びリスクメッセージの登録を受け付ける。
【0054】
図5は、評価者端末30に表示される判定ルール登録画面RDの一例を示す図である。判定ルール登録画面RDは、ID入力欄IF、ルール名入力欄NF、リスクメッセージ入力欄MF、属性入力欄AF、判定ルール入力欄RFと、登録ボタンB11とを含む。
【0055】
ID入力欄IFは、個々の判定ルールに付与するIDの入力を受け付ける。個々の判定ルール及びリスクメッセージは、このIDによって識別及び管理される。ルール名入力欄NFは、判定ルールの名称の入力を受け付ける。リスクメッセージ入力欄MFは、リスクメッセージの入力を受け付ける。リスクメッセージ入力欄MFに入力されたリスクメッセージは、ID入力欄IFに入力されたIDと紐づけられる。
【0056】
属性入力欄AFは、判定ルールの属性の入力を受け付ける。図5の例では、属性入力欄AFには、修正必須属性(「修正必須」)についての選択肢(チェックボックス)が表示されている。属性入力欄AFにおいて入力(選択)された属性は、ID入力欄IFに入力されたIDと紐づけられる。
【0057】
判定ルール入力欄RFは、判定ルールの具体的な条件の入力を受け付ける。判定ルール入力欄RFにおいて入力(選択)された判定ルールの条件は、ID入力欄IFに入力されたIDと紐づけられる。判定ルール入力欄RFは、全体条件入力欄ACFと、少なくとも1つの項目条件入力欄ICFと、条件グループ追加ボタンB12とを含む。
【0058】
項目条件入力欄ICFは、1つの質問項目における抵触条件の入力を受け付ける。少なくとも1つの項目条件入力欄ICFそれぞれに入力された抵触条件によって、条件グループが構成される。項目条件入力欄ICFは、それぞれ、質問項目入力欄IF1と、回答選択肢入力欄IF2と、補助条件入力欄IF3と、削除ボタンB13と、入力欄追加ボタンB14とを含む。
【0059】
質問項目入力欄IF1は、抵触条件の対象となる質問項目(設問)の入力を受け付ける。図5の例では、質問項目入力欄IF1は、セキュリティ調査(サービス提供者が回答を入力する入力フォーム)に含まれる複数の質問項目をプルダウン式で表示し、質問項目の選択を受け付ける。回答選択肢入力欄IF2は、質問項目入力欄IF1で入力された質問項目に対する回答(選択肢)の入力を受け付ける。図5の例では、回答選択肢入力欄IF2は、質問項目入力欄IF1で入力された質問項目に回答として設定されている複数の選択肢をプルダウン式で表示し、回答(選択肢)の選択を受け付ける。
【0060】
補助条件入力欄IF3は、「回答選択肢入力欄IF2で入力された回答を含むか否か」の判定条件の入力を受け付ける。図5の例では、補助条件入力欄IF3は、複数の判定条件をプルダウン式で表示し、判定条件(「回答を含む」又は「回答を含まない」)の選択を受け付ける。削除ボタンB13は、項目条件入力欄ICFを削除する操作の入力を受け付ける。入力欄追加ボタンB14は、同じ条件グループに、新たな項目条件入力欄ICFを追加する操作の入力を受け付ける。
【0061】
全体条件入力欄ACFは、1つの条件グループに含まれる複数の質問項目における抵触条件(項目条件入力欄ICFに入力された条件)の理論条件(AND条件又はOR条件)の入力を受け付ける。図5の例では、全体条件入力欄ACFは、複数の理論条件をプルダウン式で表示し、理論条件(「かつ」又は「または」)の選択を受け付ける。
【0062】
条件グループ追加ボタンB12は、新たな条件グループ(1つの全体条件入力欄ACF及び少なくとも1つの項目条件入力欄ICFのセット)を追加する操作の入力を受け付ける。
【0063】
登録ボタンB11は、ID入力欄IF、ルール名入力欄NF、リスクメッセージ入力欄MF、属性入力欄AF、及び判定ルール入力欄RFに入力された項目をルールデータベースに登録する操作の入力を受け付ける。この操作により、1つの判定ルールのIDに対し、判定ルール、リスクメッセージ、及び属性が紐づけられて登録される。
【0064】
図6は、評価者端末30に表示される判定ルール一覧画面LDの一例を示す図である。判定ルール一覧画面LDは、クエリ入力欄QFと、検索実行ボタンB21と、一覧表示欄LFとを含む。
【0065】
一覧表示欄LFには、登録済みの判定ルールの一覧が表示される。クエリ入力欄QFは、判定ルールの検索クエリ(一覧表示欄LFに表示される判定ルールの絞り込み条件)の入力を受け付ける。検索実行ボタンB21は、クエリ入力欄QFに入力された検索クエリによる判定ルールの検索(フィルタリング)を実行する操作の入力を受け付ける。
【0066】
<回答受付部113>
回答受付部113は、サービス提供者から調査における質問項目への回答の入力を受け付けるように構成される。
回答受付部113は、サービス提供者から調査における質問項目への回答の入力を受け付けるように構成される。
【0067】
回答受付部113は、例えば、セキュリティに関する質問項目への回答の入力を受け付ける所定の入力フォームを提供者端末20に表示させる。質問項目には、例えば、セキュリティに関する認証又は評価、サービスレベル、責任範囲、サービス提供者内でのセキュリティ対策、サービス利用者が作成したデータの取扱、サービスの開発、保守又は運用方針(アカウントの管理等)を確認するもの(サービス提供者に対して回答を求めるもの)等が含まれる。
【0068】
サービス提供者による回答の入力完了後、回答受付部113は、調査における質問項目に対して入力された回答の送信指示をサービス提供者から受け付ける。具体的には、回答受付部113は、提供者端末20から、入力フォームに入力された回答の送信指示(評価者への提出指示)を受け付ける。
【0069】
<判定部114>
判定部114は、入力された回答の、登録済みの判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対する、登録済みのリスクメッセージを提供者端末20に表示させるように構成される。
判定部114は、入力された回答の、登録済みの判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対する、登録済みのリスクメッセージを提供者端末20に表示させるように構成される。
【0070】
判定部114は、判定ルールに含まれる複数の抵触条件がすべて満たされる場合、又は判定ルールに含まれる複数の抵触条件のいずれかが満たされる場合に、判定ルールへの抵触があると判定するとよい。例えば、判定ルールに含まれる複数の抵触条件に対する理論条件(条件グループにおける理論条件)がAND条件の場合は、入力された回答のうち各抵触条件で言及された回答が、それぞれの抵触条件に規定された回答内容すべてと合致することが抵触の判定条件となる。また、例えば、判定ルールに含まれる複数の抵触条件に対する理論条件がOR条件の場合は、入力された回答のうち各抵触条件に言及された回答の少なくとも1つが、それぞれの抵触条件に規定された回答内容と合致することが抵触の判定条件となる。
【0071】
判定部114による抵触判定のタイミング及びリスクメッセージ表示のタイミングはそれぞれ、判定ルールの属性として評価者が任意に設定することができる。また、リスクメッセージは、必ずしも判定部114によって抵触が判定された直後に表示されなくてもよい。
【0072】
判定部114は、調査における質問項目に対し回答が入力された際に、当該回答の判定ルールへの抵触の判定結果に応じてリスクメッセージを提供者端末20に表示させてもよい。これにより、サービス提供者が質問項目を切り替えることなく即時的に修正をすることができるため、回答の入力効率が上昇する。
【0073】
回答が入力された際にリスクメッセージを表示させる場合、判定部114は、例えば、1つの質問項目に対する少なくとも1つの回答が入力された時点、又は1つの質問項目への回答の入力が確定した時点(例えば、質問項目への回答が保存された時点)で抵触判定を実行し、抵触判定後、リスクメッセージを当該質問項目と関連付けて表示させる。「質問項目と関連付けられた表示」には、入力フォームにおいて質問項目に割り当てられた領域(例えば、回答入力欄)への表示、質問項目と並べての表示、質問項目が表示された状態でのポップアップ表示等が含まれる。
【0074】
図7は、提供者端末20に表示される回答入力画面ADの一例を示す図である。回答入力画面ADには、質問番号QNと、質問内容QCと、回答入力欄AIFと、回答保存ボタンB41と、進行ボタンB42とが含まれる。なお、図7では、回答入力画面ADには1つの質問項目が表示されているが、回答入力画面ADに複数の質問項目が表示され、例えば、スクロール等の操作によって表示される質問項目が切り替えられてもよい。
【0075】
図7の例では、質問番号QNが「AA-1」である質問項目の質問内容QCと回答入力欄AIFとが表示されている。回答入力欄AIFには、複数の回答選択肢AC及び補助選択肢SCが表示されている。回答選択肢ACには、それぞれ、例えば、チェックボックス等の複数選択が可能な入力受付オブジェクトが付される。また、補助選択肢SCには、例えば、ラジオボタン等の排他的に選択が可能な入力受付オブジェクトが付される。補助選択肢SCには、回答選択肢ACと視覚的に区別できるように、回答選択肢ACとは異なる入力受付オブジェクトが付されてもよい。
【0076】
補助選択肢SCには、例えば、提示された回答選択肢ACに回答として適切なもの(該当するもの)が存在しないことを示す選択肢、質問項目への回答をサービス提供者が公開しない(回答しない)ことを示す選択肢等が含まれる。また、補助選択肢SCと、回答選択肢ACとは、排他的選択の関係にある。すなわち、補助選択肢SCのいずれかを選択した場合は、いずれかの回答選択肢AC同時に選択することはできない。例えば、任意の認証名を選択した状態で補助選択肢SCを選択した場合は、回答選択肢ACの選択は解除される。
【0077】
図7の例では、質問内容QCとして「データセンターのリージョン又はエリアについての質問」が表示され、回答選択肢ACとして、リージョン又はエリアを表す選択肢がリスト表示され、「日本」の選択肢が回答として選択されている。また、図7の例では、このケースにおいて、「日本」の回答が判定ルールに抵触することを説明するリスクメッセージRMが回答入力欄AIFの下部に表示されている。具体的には、「日本」の回答が他の質問項目(「DD-1」)の回答と矛盾することを示唆する文章が含まれるリスクメッセージRMが表示されている。また、リスクメッセージRMの他の質問項目を示すキーワード(「DD-1」)には、この質問事項へのリンクが設定されている。提供者端末20において、「DD-1」のリンクに対し入力操作が行われると、「DD-1」の質問項目の質問番号QN、質問内容QC、及び回答入力欄AIFが提供者端末20に表示される。
【0078】
リスクメッセージRMが表示されている質問項目において、サービス提供者による回答の修正(図7の例では、「AA-1」の質問項目の回答の修正、又は「DD-1」の質問項目の回答の修正)によって判定ルールへの抵触が解消されると、リスクメッセージRMの表示は解除される。
【0079】
回答保存ボタンB41は、回答入力欄AIFに入力された回答を保存する操作の入力を受け付ける。入力された回答は、例えば、記憶部12の回答データベースに記憶される。このとき、リスクメッセージRMが表示されている場合は、リスクメッセージが表示されていること、つまり、判定ルールへの抵触が解消されていないことを示す未解消情報が回答と紐づけられて回答データベースに記憶される。
【0080】
進行ボタンB42は、回答入力画面ADに表示される質問項目を切り替える操作の入力を受け付ける。
【0081】
図8は、提供者端末20に表示される回答入力画面ADの別の例を示す図である。図8の例では、質問番号QNが「CC-1」である質問項目の質問内容QCと回答入力欄AIFとが表示されている。具体的には、質問内容QCとして「セキュリティに関する認証又は評価の有無についての質問」が表示され、回答選択肢ACとして、セキュリティに関する認証を表す情報(認証名)を表す選択肢がリスト表示され、「ISO/IEC ○○○」の選択肢が回答として選択されている。
【0082】
また、図8の例では、このケースにおいて、「ISO/IEC ○○○を取得している」との回答が判定ルールに抵触することを説明するリスクメッセージRMが該当する回答(選択済みの選択肢)の直下に表示されている。なお、リスクメッセージRMは、すべての選択肢の下方に表示されてもよい。具体的には、図8の例では、「ISO/IEC ○○○を取得している」の回答が同じ質問項目内の他の回答(「ISO/IEC ×××を取得していない」)と矛盾することを示唆する文章が含まれるリスクメッセージRMが表示されている。図8の例では、「ISO/IEC ○○○」の選択の解除、又は「ISO/IEC ×××」の選択によって判定ルールへの抵触が解消されると、リスクメッセージRMの表示は解除される。
【0083】
判定部114は、リスクメッセージの表示対象となった質問項目及び回答を、リスクメッセージとともに提供者端末20に一覧表示させてもよい。これにより、サービス提供者がリスクメッセージの表示対象となった質問項目及び回答(判定ルールに抵触している回答とその質問項目)を俯瞰し、必要に応じて回答を修正することができる。その結果、サービス提供者による回答の修正効率が上昇する。
【0084】
判定部114は、例えば、一覧表示の対象となる質問項目、回答及びリスクメッセージを、上下方向に連結して提供者端末20に表示させる。また、判定部114は、一覧表示の対象となる質問項目を示す情報(質問番号等)を提供者端末20にリスト表示させてもよい。
【0085】
判定部114は、例えば、提供者端末20に判定ルールに抵触する回答があること又は確認が必要な質問項目があることを示す、通知、メニュー項目等を提供者端末20に表示させ、提供者端末20から一覧表示の指示を受け付けてもよい。例えば、判定部114は、判定ルールに抵触する回答がない場合に、判定ルールに抵触している回答とその質問項目の一覧表示の指示を受け付けるメニュー項目を不活性又は非表示とし、判定ルールに抵触する回答がある場合に当該メニュー項目を活性化又は可視化させてもよい。
【0086】
質問項目及び回答をリスクメッセージとともに一覧表示させる場合、判定部114は、例えば、各質問項目への回答入力時に抵触判定を実行して結果を記憶しておき、提供者端末20からの一覧表示指示を受けた際に、記憶した判定結果に基づいて、質問項目、回答及びリスクメッセージを提供者端末20に一覧表示させてもよい。また、判定部114は、提供者端末20からの一覧表示指示を受けてから、調査に含まれる複数の質問項目のうち回答が入力されている質問項目の回答に対する抵触判定を実行し、抵触判定後、抵触ありと判定された質問項目、回答及びリスクメッセージを提供者端末20に一覧表示させてもよい。
【0087】
判定部114は、リスクメッセージの表示対象となった質問項目及び回答と、リスクメッセージに関連する他の質問項目及び回答を含む関連質問情報とを同一画面上に並べて提供者端末20に表示させてもよい。これにより、サービス提供者が判定ルールへの抵触理由を他の質問項目の回答から確認できる。また、提供者端末20において改めて他の質問項目を表示させることなく、他の質問項目の回答の修正を行うこともできる。
【0088】
判定部114は、判定ルールに抵触する回答が入力された際に、リスクメッセージとともに関連質問情報を提供者端末20に表示させてもよい。また、判定部114は、判定ルールに抵触する複数の質問項目、回答及びリスクメッセージの一覧表示において、質問項目ごとに対応する関連質問情報をあわせて表示させてもよい。
【0089】
図9は、提供者端末20に表示される回答入力画面ADのさらに別の例を示す図である。図9の回答入力画面ADでは、リスクメッセージRMが表示されている質問項目の入力フォームとともに、関連する質問項目の情報が関連質問表示欄CAFに表示される。図9の例では、リスクメッセージRMが表示されている質問項目(「AA-1」)の表示欄の右隣に関連質問表示欄CAFが並べて表示されている。関連質問表示欄CAFには、リスクメッセージRMに含まれる質問項目(「DD-1」)(例えば、「AA-1」の回答と矛盾する回答が入力されている質問項目)の質問番号、質問内容、入力済み回答等が表示される。なお、関連質問表示欄CAFにおいて、回答の修正が受け付けられてもよい。
【0090】
判定部114は、回答受付部113による質問項目への回答の送信指示の受付時に、判定ルールに抵触する回答があることを示すアラートを提供者端末20に表示させてもよい。これにより、回答が評価者に提出される前に、サービス提供者に回答の見直し又は修正を行う機会を与えることができる。その結果、回答の差し戻しの発生が抑制される。
【0091】
アラートには、判定ルールに抵触する回答又はその質問項目を示す抵触質問情報(例えば、質問番号)が含まれてもよい。また、抵触する回答が複数存在する場合は、アラートには、複数の抵触質問情報が含まれてもよい。さらに、アラートには、抵触する判定ルールに対応するリスクメッセージが含まれてもよい。
【0092】
アラートには、判定ルールに抵触する回答に対応する質問項目へのリンク、又は判定ルールに抵触する回答が表示された、当該回答に対応する質問項目への回答入力フォームが含まれてもよい。これにより、サービス提供者が回答の見直し又は修正を行う質問項目にすぐにアクセスできるため、サービス提供者が回答の提出までに要する時間が短縮される。
【0093】
アラートにおける質問項目へのリンクは、抵触質問情報(例えば、質問番号)に付されてもよいし、例えば、ボタン等のオブジェクトとして、抵触質問情報やリスクメッセージ等とは独立した形でアラートに含まれてもよい。提供者端末20においてリンクに対する入力操作が行われると、リンクされた質問項目の回答入力画面(回答入力欄)が提供者端末20に表示される。
【0094】
図10は、提供者端末20に表示される送信確認画面CDの一例を示す図である。送信確認画面CDは、例えば、サービス提供者が評価者への回答の送信指示(評価依頼指示)を入力した際に表示される。送信確認画面CDには、アラートメッセージAMと、コメント入力欄CIFと、キャンセルボタンB51と、送信ボタンB52とが含まれる。
【0095】
アラートメッセージAMには、判定ルールに抵触する回答(リスクメッセージが表示され、抵触が解消されていない回答)が含まれることを表す文章、抵触する回答に対応する質問項目を示すキーワード(質問番号)等が含まれる。また、質問項目を示すキーワードには、この質問項目へのリンクが設定されている。提供者端末20において、例えば、アラートメッセージAM内の「PU-1」のリンクに対し入力操作が行われると、「PU-1」の質問項目及び回答(入力フォーム)が提供者端末20に表示される。なお、送信する回答に、判定ルールに抵触する回答が含まれない場合は、アラートメッセージAMは表示されない。
【0096】
コメント入力欄CIFは、サービス提供者から評価者に対するコメント(申し送り事項)の入力を受け付ける。コメントとしては、例えば、アラートメッセージAMの対象となっている回答の入力理由等が挙げられる。
【0097】
キャンセルボタンB51は、回答の送信を取り消す操作の入力を受け付ける。また、キャンセルボタンB51に対する入力によって、判定ルールに抵触している回答とその質問項目が提供者端末20に一覧表示されてもよい。送信ボタンB52は、回答の送信を実行する操作の入力を受け付ける。送信ボタンB52に対する入力によって、サービス提供者が入力した回答が回答データベースに登録されるとともに、評価者に送信される。
【0098】
図11は、提供者端末20に表示される送信確認画面CDの別の例を示す図である。図10の送信確認画面CDでは、アラートメッセージAMにおいて、図9の回答入力画面ADに例示される抵触する回答に対応する質問項目を示すリンク(「DD-1」)に替えて、質問項目表示欄QIFが表示される。質問項目表示欄QIFには、抵触する回答に対応する質問項目が1つずつ表示される、また、左右の切替オブジェクトCOによって、表示される質問項目の切替が受け付けられる。なお、質問項目表示欄QIFにおいて、回答の修正が直接受け付けられてもよいし、質問項目表示欄QIFに表示された質問項目を選択する(例えば、表示領域のどこかをクリックする)ことで、当該質問項目の入力フォームが提供者端末20に表示されてもよい。
【0099】
判定部114は、リスクメッセージ及びアラートを、質問項目の表記言語(回答の入力言語)を用いて提供者端末20に表示させる。質問項目の表記言語は、例えば、提供者端末20からの選択入力によって変更される。リスクメッセージ、アラート等は、複数の表記言語ごとに(例えば、日本語と英語とで)登録されてもよい。
【0100】
<回答送信部115>
回答送信部115は、回答受付部113が受け付けた、サービス提供者のセキュリティ調査への回答を評価者に送信するように構成される。
回答送信部115は、回答受付部113が受け付けた、サービス提供者のセキュリティ調査への回答を評価者に送信するように構成される。
【0101】
具体的には、回答送信部115は、提供者端末20による回答の送信を受け付ける送信入力オブジェクト(送信ボタン)への入力を受けて、サービス提供者の回答を評価用情報として登録するとともに、評価者に評価用情報又は評価用情報へのアクセス情報(アドレス)を送信する。回答送信部115は、セキュリティ調査における必須の質問項目への回答がすべて入力されていない場合に、送信入力オブジェクトを不活性状態とし、サービス提供者から送信の入力を受け付けないようにしてもよい。反対に、回答送信部115は、セキュリティ調査における必須の質問項目への回答がすべて入力されている場合に、送信入力オブジェクトを活性状態とし、サービス提供者から送信の入力を受け付けるようにしてもよい。
【0102】
「評価用情報」は、サービスのセキュリティ等に関する複数の質問項目それぞれに対する、サービス提供者の回答で構成され、評価者が内容のチェックや評価等を行う対象となる情報である。評価用情報は、1回のみ評価されてもよいし、複数回評価されてもよい。つまり、評価用情報に対する評価は、初期評価(いわゆるレビュー)、中間評価、最終評価等を含んでもよい。初期評価及び中間評価は、評価後に、さらに別の評価が行われる評価である。複数の評価は、同じ評価者によって実行されてもよいし、別の評価者(いわゆるレビュワー等)によって実行されてもよい。最終評価では、サービス利用者に提供されるレポート又は報告書に使用される評価を作成する。また、評価用情報は、サービス提供者によって修正や更新等がなされた際に、再度、評価者によって評価されてもよい。
【0103】
評価者による評価用情報の評価結果は、レポート又は報告書の一部又は参考情報として使用される。なお、情報処理システム1における「サービス利用者」には、評価の対象となるサービスを利用する個人又は組織に加えて、特定のサービスの評価を求める個人又は組織も含まれ、例えば、自社で利用しているクラウドサービス等のセキュリティに関する評価を行いたい企業、当該評価を確認したい企業等が含まれる。
【0104】
評価用情報には、回答とともにその回答に対応する質問項目が含まれていてもよい。また、評価用情報には、サービス属性(対象となるサービスの種類、サービスの提供先、サービスに含まれるプランの種類、又はこれらの組み合わせを示す情報)が含まれてもよい。
【0105】
評価用情報は、例えば、記憶部12の回答データベースに登録される。評価用情報に含まれる、各質問項目への回答は、入力フォームに提示される質問項目ごとにサービス提供者が当該入力フォームに対して入力した回答を、回答データベースに登録したものである。1つの質問項目に対する回答は、階層化されていてもよい。
【0106】
回答送信部115は、セキュリティ調査におけるサービス提供者の回答に修正必須属性が設定された判定ルールへ抵触する修正必須回答が含まれないか判定し、修正必須回答が含まれない場合に、サービス提供者の回答を評価者に送信してもよい。つまり、回答送信部115は、送信対象の回答に修正必須回答が含まれる場合は、サービス提供者の回答を評価者に送信しなくてもよい。これにより、クリティカルな不備が含まれる回答が評価者に送信されることが抑制できるため、評価者の作業効率が向上する。
【0107】
回答送信部115は、送信対象の回答に修正必須回答が含まれる場合に、サービス提供者からの送信指示自体を受け付けなくてもよい。例えば、回答送信部115は、修正必須回答が存在する場合に、回答の送信を受け付ける送信入力オブジェクトを非活性状態にしてもよい。反対に、回答送信部115は、修正必須回答が存在しない場合に、回答の送信を受け付ける送信入力オブジェクトを活性の状態にしてもよい。これと合わせて、回答送信部115は、修正必須回答が存在することを示す情報、又は修正必須回答が含まれる質問項目を示す情報を提供者端末20に表示させてもよい。
【0108】
回答送信部115は、セキュリティ調査におけるサービス提供者の回答とともに、判定ルールへの抵触が解消されていない回答を示す情報を評価者に送信してもよい。つまり、評価用情報には、判定ルールへの抵触状態を示す情報が含まれてもよい。これにより、評価者が判定ルールへの抵触状況を確認しながら、コメント作成、スコアリング等を行うことができるため、評価作業の効率が向上する。さらに、回答送信部115は、判定ルールに抵触している回答の属性を示す情報を評価者に送信してもよい。
【0109】
回答送信部115は、サービス提供者のリスクメッセージに対する確認操作を受け付け、確認操作を受け付けたことを示す情報を評価者に送信してもよい。これにより、評価者が判定ルールに抵触する回答について、サービス提供者がリスクメッセージを確認した上で維持されたものであるか否かを確認することができる。そのため、コメント作成、スコアリング等の作業効率が向上する。
【0110】
「リスクメッセージに対する確認操作」には、例えば、リスクメッセージに付与された確認入力用オブジェクト(例えば、「確認済み」チェックボックス)への入力、判定ルールに抵触している回答とその質問項目を一覧表示させた画面の終端(最下部)までのスクロール、判定ルールへの抵触に対するコメントの記載等が挙げられる。当該コメントには、例えば、回答間に矛盾が生じている場合や、回答が非公開とされている場合においてのサービス提供者による補足的な説明、回答の入力理由等が含まれる。
【0111】
回答送信部115は、確認操作が受け付けられた場合のみに、サービス提供者の回答を評価者に送信してもよい。つまり、回答送信部115は、確認操作が受け付けられなかった場合は、サービス提供者の回答を評価者に送信しなくてもよい。また、回答送信部115は、所定の属性の判定ルールに抵触する回答(例えば、警告レベルが高い判定ルールに抵触する回答)が含まれる場合のみ、リスクメッセージの確認操作を送信の必須条件としてもよい。
【0112】
<評価受付部116>
評価受付部116は、セキュリティ調査におけるサービス提供者の回答に対する評価を評価者から受け付けるように構成される。評価受付部116は、評価された評価用情報を評価結果とともに回答データベース等に登録するように構成される。
評価受付部116は、セキュリティ調査におけるサービス提供者の回答に対する評価を評価者から受け付けるように構成される。評価受付部116は、評価された評価用情報を評価結果とともに回答データベース等に登録するように構成される。
【0113】
「評価」は、評価用情報に含まれる回答における不備の有無の確認、回答の内容に対する指摘事項(コメント)の作成、回答の内容の査定、所定の基準に基づく回答に対するスコアリング等を実施する行為である。上述のように評価は複数の評価者によって行われてもよく、一の評価者から他の評価者に対し、登録された評価用情報に対する評価が依頼されてもよい。その場合、評価受付部116は、一の評価者の評価後に、他の評価者からの評価を受け付けてもよい。
【0114】
例えば、評価が2段階で行われる場合、初期評価(レビュー)では、不備の有無の確認、指摘事項の作成等が行われる。続いて、初期評価後の評価用情報に対し、所定の基準に基づき、その内容(回答)に対する査定やスコアリング、評価用情報全体に対するコメント作成等の評価が最終評価として行われ、その結果を含むレポート又は報告書(例えば、セキュリティレポート)が作成される。レポート又は報告書は、最終評価者、又は制御部11が有する評価部によって作成される。評価部は、入力された評価用情報に基づいてレポート又は報告書の一部又は全体を生成するように構成される。評価用情報の評価結果は、レポート又は報告書の一部又は参考情報として、レポート又は報告書に含まれてもよい。レポート又は報告書は、レポート又は報告書を要求したサービス利用者の利用者端末40に送信される。
【0115】
評価受付部116は、評価者端末30から、評価に用いられる文字、文章等の入力を受け付ける。なお、評価は、典型的には、すべての質問項目へ回答がされている評価用情報に対して行われる。未回答の質問項目(回答が登録されていない質問項目)がある評価用情報は、評価の対象とせず、評価受付部116による評価の受け付けは行われなくてもよい。また、未回答の質問項目(回答が登録されていない質問項目)が含まれる評価用情報であっても、回答済みの質問項目についてのみ、部分的に評価の対象とされてもよい。さらに、判定ルールに抵触していない回答のみ、又は判定ルールに抵触していないか、若しくはリスクメッセージの確認操作が受け付けられた回答のみが評価の対象とされてもよい。
【0116】
<レポート出力部117>
レポート出力部117は、評価受付部116が受け付けた評価に基づいて作成されたレポート又は報告書を利用者端末40に出力するように構成される。レポート又は報告書には、サービス提供者が入力した評価用情報の全体又は一部と、評価者による評価結果(例えば、評価値、コメント等)とを少なくとも含む。
レポート出力部117は、評価受付部116が受け付けた評価に基づいて作成されたレポート又は報告書を利用者端末40に出力するように構成される。レポート又は報告書には、サービス提供者が入力した評価用情報の全体又は一部と、評価者による評価結果(例えば、評価値、コメント等)とを少なくとも含む。
【0117】
<表示部>
提供者端末20の表示部211、評価者端末30の表示部311及び利用者端末40の表示部411は、それぞれ、サーバ装置10から送信されてきた画面データが示す画面を表示する。
提供者端末20の表示部211、評価者端末30の表示部311及び利用者端末40の表示部411は、それぞれ、サーバ装置10から送信されてきた画面データが示す画面を表示する。
【0118】
<操作取得部>
提供者端末20の操作取得部212は、提供者端末20を使用する提供者による操作を受け付ける。評価者端末30の操作取得部312は、評価者端末30を使用する評価者による操作を受け付ける。利用者端末40の操作取得部412は、利用者端末40を使用する利用者による操作を受け付ける。
提供者端末20の操作取得部212は、提供者端末20を使用する提供者による操作を受け付ける。評価者端末30の操作取得部312は、評価者端末30を使用する評価者による操作を受け付ける。利用者端末40の操作取得部412は、利用者端末40を使用する利用者による操作を受け付ける。
【0119】
3.情報処理方法
本節では、サーバ装置10の情報処理方法について説明する。この情報処理方法は、サーバ装置10の各部が、各ステップとしてコンピュータにより実行される。
本節では、サーバ装置10の情報処理方法について説明する。この情報処理方法は、サーバ装置10の各部が、各ステップとしてコンピュータにより実行される。
【0120】
この情報処理は、判定ルール登録ステップと、回答受付ステップと、判定ステップと、評価受付ステップとを備える。判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、判定ルールと当該判定ルールに対応付けられたリスクメッセージとを組み合わせてデータベースに登録する。回答受付ステップでは、サービス提供者から調査における質問項目への回答の入力を受け付ける。判定ステップでは、入力された回答の判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対するリスクメッセージを表示させる。評価受付ステップでは、調査におけるサービス提供者の回答に対する評価を評価者から受け付ける。
【0121】
図12は、情報処理システム1によって実行される情報処理(セキュリティ調査処理)の流れの一例を示すアクティビティ図である。以下では、このアクティビティ図の各アクティビティに沿って、情報処理を説明する。
【0122】
セキュリティ調査処理は、判定ルールの登録から開始される。評価者は、評価者端末30において、判定ルールとリスクメッセージとを対応付けて入力する(アクティビティA101)。サーバ装置10は、評価者端末30から送信された判定ルールとリスクメッセージとを受け付ける(アクティビティA102)。続いて、サーバ装置10は、受け付けた判定ルールとリスクメッセージとを対応付けて登録する(アクティビティA103)。
【0123】
サービス提供者は、判定ルール及びリスクメッセージが登録された状態で、提供者端末20において、回答を入力する(アクティビティA201)。サーバ装置10は、提供者端末20から送信された回答を受け付ける(アクティビティA202)。続いて、サーバ装置10は、受け付けた回答の判定ルールへの抵触を判定する(アクティビティA203)。抵触の判定後、サーバ装置10は、判定結果に応じてリスクメッセージを提供者端末20へ出力する(アクティビティA204)。これにより、提供者端末20にリスクメッセージが表示される(アクティビティA205)。
【0124】
サービス提供者は、リスクメッセージを受けて、提供者端末20において回答の修正、リスクメッセージの確認操作等の対応作業を実行するとともに、回答の送信指示を行う(アクティビティA206)。サーバ装置10は、提供者端末20から送信された回答を登録する(アクティビティA207)。続いて、サーバ装置10は、登録した回答を評価者端末30に送信力する(アクティビティA208)。これにより、評価者端末30にサービス提供者の回答が表示される(アクティビティA209)。評価者は、評価者端末30において回答の評価を行い、結果を送信する(アクティビティA210)。サーバ装置10は、評価者端末30から送信された評価を受け付け、登録する(アクティビティA211)。
【0125】
4.作用
本実施形態の作用をまとめると、次の通りとなる。すなわち、セキュリティ調査における質問への回答入力時に、不備のある回答に表示されるリスクメッセージに基づいて、サービス提供者(回答者)が回答の見直し又は修正をすることができる。その結果、効率的にセキュリティの評価を行うことができる。
本実施形態の作用をまとめると、次の通りとなる。すなわち、セキュリティ調査における質問への回答入力時に、不備のある回答に表示されるリスクメッセージに基づいて、サービス提供者(回答者)が回答の見直し又は修正をすることができる。その結果、効率的にセキュリティの評価を行うことができる。
【0126】
以上、本発明の実施形態について説明したが、本発明はこれに限定されることなく、その発明の技術的思想を逸脱しない範囲で適宜変更可能である。
【0127】
5.その他
上記実施形態では、サーバ装置10が種々の記憶・制御を行ったが、サーバ装置10に代えて、複数の外部装置が用いられてもよい。すなわち、種々の情報やプログラムは、ブロックチェーン技術等を用いて複数の外部装置に分散して記憶されてもよい。
上記実施形態では、サーバ装置10が種々の記憶・制御を行ったが、サーバ装置10に代えて、複数の外部装置が用いられてもよい。すなわち、種々の情報やプログラムは、ブロックチェーン技術等を用いて複数の外部装置に分散して記憶されてもよい。
【0128】
本実施形態の態様は、情報処理システム1に限定されず、情報処理方法であっても、プログラムであってもよい。情報処理方法は、情報処理システム1が実行する各ステップを備える。プログラムは、コンピュータに、情報処理システム1の各ステップを実行させる。
【0129】
次に記載の各態様で提供されてもよい。
【0130】
(1)情報処理システムであって、少なくとも1つのプロセッサを備え、前記プロセッサは、プログラムを読み出すことで次の各ステップを実行するように構成され、判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、前記判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、前記判定ルールと当該判定ルールに対応付けられた前記リスクメッセージとを組み合わせてデータベースに登録し、ここで、前記リスクメッセージには、前記判定ルールに抵触する事項を説明する文章が含まれ、回答受付ステップでは、サービス提供者から前記調査における質問項目への回答の入力を受け付け、判定ステップでは、入力された回答の前記判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対する前記リスクメッセージを表示させ、評価受付ステップでは、前記調査における前記サービス提供者の回答に対する評価を前記評価者から受け付ける、情報処理システム。
【0131】
(2)上記(1)に記載の情報処理システムにおいて、前記判定ルールは、他の回答との矛盾を規定する条件、日付に関する矛盾を規定する条件、及び回答の非公開に関する条件の少なくとも1つを含む、情報処理システム。
【0132】
(3)上記(2)に記載の情報処理システムにおいて、前記他の回答には、他の質問項目における回答と、同一の質問項目内における回答とが含まれる、情報処理システム。
【0133】
(4)上記(1)から(3)のいずれか1つに記載の情報処理システムにおいて、前記判定ルールは、複数の抵触条件を含み、ここで、前記抵触条件は、1つの質問項目において抵触の充足条件を構成する回答内容を1つずつ規定し、前記判定ステップでは、複数の前記抵触条件がすべて満たされる場合、又は複数の前記抵触条件のいずれかが満たされる場合に、前記判定ルールへの抵触があると判定する、情報処理システム。
【0134】
(5)上記(1)から(4)のいずれか1つに記載の情報処理システムにおいて、前記リスクメッセージには、当該リスクメッセージに関連する他の質問項目へのリンクが含まれる、情報処理システム。
【0135】
(6)上記(1)から(5)のいずれか1つに記載の情報処理システムにおいて、前記判定ステップでは、前記調査における質問項目に対し回答が入力された際に、当該回答の前記判定ルールへの抵触の判定結果に応じて前記リスクメッセージを表示させる、情報処理システム。
【0136】
(7)上記(1)から(6)のいずれか1つに記載の情報処理システムにおいて、前記判定ステップでは、前記リスクメッセージの表示対象となった質問項目及び回答を、前記リスクメッセージとともに一覧表示させる、情報処理システム。
【0137】
(8)上記(1)から(7)のいずれか1つに記載の情報処理システムにおいて、前記回答受付ステップでは、前記調査における質問項目に対して入力された回答の送信指示を前記サービス提供者から受け付け、前記判定ステップでは、前記送信指示の受付時に前記判定ルールに抵触する回答があることを示すアラートを表示させる、情報処理システム。
【0138】
(9)上記(8)に記載の情報処理システムにおいて、前記アラートには、前記判定ルールに抵触する回答に対応する質問項目へのリンク、又は前記判定ルールに抵触する回答が表示された、当該回答に対応する質問項目への回答入力フォームが含まれる、情報処理システム。
【0139】
(10)上記(1)から(9)のいずれか1つに記載の情報処理システムにおいて、前記判定ステップでは、前記リスクメッセージの表示対象となった質問項目及び回答と、前記リスクメッセージに関連する他の質問項目及び回答とを同一画面上に並べて表示させる、情報処理システム。
【0140】
(11)上記(1)から(10)のいずれか1つに記載の情報処理システムにおいて、前記判定ルール登録ステップでは、前記評価者から、前記判定ルールごとに、前記判定ルールに抵触する回答の修正が必須であることを示す修正必須属性の設定を受け付けるとともに、前記判定ルールと前記修正必須属性とを対応付けて前記データベースに登録する、情報処理システム。
【0141】
(12)上記(11)に記載の情報処理システムにおいて、回答送信ステップでは、前記調査における前記サービス提供者の回答に前記修正必須属性が設定された前記判定ルールへ抵触する修正必須回答が含まれないか判定し、前記修正必須回答が含まれない場合に、前記サービス提供者の回答を前記評価者に送信する、情報処理システム。
【0142】
(13)上記(1)から(12)のいずれか1つに記載の情報処理システムにおいて、回答送信ステップでは、前記調査における前記サービス提供者の回答とともに、前記判定ルールへの抵触が解消されていない回答を示す情報を前記評価者に送信する、情報処理システム。
【0143】
(14)上記(13)に記載の情報処理システムにおいて、前記回答送信ステップでは、前記サービス提供者の前記リスクメッセージに対する確認操作を受け付け、前記確認操作を受け付けたことを示す情報を前記評価者に送信する、情報処理システム。
【0144】
(15)情報処理方法であって、上記(1)から(14)のいずれか1つに記載の情報処理システムが実行する各ステップを備える、情報処理方法。
【0145】
(16)プログラムであって、コンピュータに、上記(1)から(14)のいずれか1つに記載の情報処理システムの各ステップを実行させるための、プログラム。
もちろん、この限りではない。
もちろん、この限りではない。
【0146】
最後に、本開示に係る種々の実施形態を説明したが、これらは、例として提示したものであり、発明の範囲を限定することは意図していない。当該新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。当該実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0147】
1 :情報処理システム
2 :通信回線
10 :サーバ装置
11 :制御部
12 :記憶部
13 :通信部
14 :通信バス
20 :提供者端末
21 :制御部
22 :記憶部
23 :通信部
24 :入力部
25 :出力部
26 :通信バス
30 :評価者端末
31 :制御部
32 :記憶部
33 :通信部
34 :入力部
35 :出力部
36 :通信バス
40 :利用者端末
41 :制御部
42 :記憶部
43 :通信部
44 :入力部
45 :出力部
46 :通信バス
111 :基本表示制御部
112 :判定ルール登録部
113 :回答受付部
114 :判定部
115 :回答送信部
116 :評価受付部
117 :レポート出力部
211 :表示部
212 :操作取得部
311 :表示部
312 :操作取得部
411 :表示部
412 :操作取得部
AC :回答選択肢
ACF :全体条件入力欄
AD :回答入力画面
AF :属性入力欄
AIF :回答入力欄
AM :アラートメッセージ
B11 :登録ボタン
B12 :条件グループ追加ボタン
B13 :削除ボタン
B14 :入力欄追加ボタン
B21 :検索実行ボタン
B41 :回答保存ボタン
B42 :進行ボタン
B51 :キャンセルボタン
B52 :送信ボタン
CAF :関連質問表示欄
CD :送信確認画面
CIF :コメント入力欄
CO :切替オブジェクト
ICF :項目条件入力欄
IF :ID入力欄
IF1 :質問項目入力欄
IF2 :回答選択肢入力欄
IF3 :補助条件入力欄
LD :判定ルール一覧画面
LF :一覧表示欄
MF :リスクメッセージ入力欄
NF :ルール名入力欄
QC :質問内容
QF :クエリ入力欄
QIF :質問項目表示欄
QN :質問番号
RD :判定ルール登録画面
RF :判定ルール入力欄
RM :リスクメッセージ
SC :補助選択肢
2 :通信回線
10 :サーバ装置
11 :制御部
12 :記憶部
13 :通信部
14 :通信バス
20 :提供者端末
21 :制御部
22 :記憶部
23 :通信部
24 :入力部
25 :出力部
26 :通信バス
30 :評価者端末
31 :制御部
32 :記憶部
33 :通信部
34 :入力部
35 :出力部
36 :通信バス
40 :利用者端末
41 :制御部
42 :記憶部
43 :通信部
44 :入力部
45 :出力部
46 :通信バス
111 :基本表示制御部
112 :判定ルール登録部
113 :回答受付部
114 :判定部
115 :回答送信部
116 :評価受付部
117 :レポート出力部
211 :表示部
212 :操作取得部
311 :表示部
312 :操作取得部
411 :表示部
412 :操作取得部
AC :回答選択肢
ACF :全体条件入力欄
AD :回答入力画面
AF :属性入力欄
AIF :回答入力欄
AM :アラートメッセージ
B11 :登録ボタン
B12 :条件グループ追加ボタン
B13 :削除ボタン
B14 :入力欄追加ボタン
B21 :検索実行ボタン
B41 :回答保存ボタン
B42 :進行ボタン
B51 :キャンセルボタン
B52 :送信ボタン
CAF :関連質問表示欄
CD :送信確認画面
CIF :コメント入力欄
CO :切替オブジェクト
ICF :項目条件入力欄
IF :ID入力欄
IF1 :質問項目入力欄
IF2 :回答選択肢入力欄
IF3 :補助条件入力欄
LD :判定ルール一覧画面
LF :一覧表示欄
MF :リスクメッセージ入力欄
NF :ルール名入力欄
QC :質問内容
QF :クエリ入力欄
QIF :質問項目表示欄
QN :質問番号
RD :判定ルール登録画面
RF :判定ルール入力欄
RM :リスクメッセージ
SC :補助選択肢
【要約】
【課題】効率的にセキュリティの評価を行うことができる情報処理システム等を提供する。
【解決手段】本発明の一態様によれば、情報処理システムであって、少なくとも1つのプロセッサを備え、プロセッサは、プログラムを読み出すことで次の各ステップを実行するように構成され、判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、判定ルールと当該判定ルールに対応付けられたリスクメッセージとを組み合わせてデータベースに登録し、リスクメッセージには、判定ルールに抵触する事項を説明する文章が含まれ、回答受付ステップでは、サービス提供者から調査における質問項目への回答の入力を受け付け、判定ステップでは、入力された回答の判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対するリスクメッセージを表示させ、評価受付ステップでは、調査におけるサービス提供者の回答に対する評価を評価者から受け付ける、情報処理システムが提供される。
【選択図】図1
【解決手段】本発明の一態様によれば、情報処理システムであって、少なくとも1つのプロセッサを備え、プロセッサは、プログラムを読み出すことで次の各ステップを実行するように構成され、判定ルール登録ステップでは、評価者から、セキュリティに関する調査における質問項目への回答に対する複数の判定ルールと、判定ルールそれぞれに対応付けたリスクメッセージとの入力を受け付けるとともに、判定ルールと当該判定ルールに対応付けられたリスクメッセージとを組み合わせてデータベースに登録し、リスクメッセージには、判定ルールに抵触する事項を説明する文章が含まれ、回答受付ステップでは、サービス提供者から調査における質問項目への回答の入力を受け付け、判定ステップでは、入力された回答の判定ルールへの抵触の有無を判定し、抵触がある場合に当該回答に対するリスクメッセージを表示させ、評価受付ステップでは、調査におけるサービス提供者の回答に対する評価を評価者から受け付ける、情報処理システムが提供される。
【選択図】図1
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】