ホーム > 特許ランキング > 株式会社アシュアード
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2025-01-17
(45)【発行日】2025-01-27
(54)【発明の名称】情報処理装置、情報処理方法及びプログラム
(51)【国際特許分類】
G06Q 50/10 20120101AFI20250120BHJP
【FI】
G06Q50/10
【請求項の数】
12
(21)【出願番号】P 2024086361
(22)【出願日】2024-05-28
【審査請求日】2024-05-28
【早期審査対象出願】
(73)【特許権者】
【識別番号】521541734
【氏名又は名称】株式会社アシュアード
(74)【代理人】
【識別番号】110002815
【氏名又は名称】IPTech弁理士法人
(72)【発明者】
【氏名】真藤 直観
(72)【発明者】
【氏名】早崎 敏寛
(72)【発明者】
【氏名】鈴木 和幸
【審査官】田上 隆一
(56)【参考文献】
【文献】特開2022-057956(JP,A)
【文献】特許第7448293(JP,B1)
(58)【調査した分野】(Int.Cl.,DB名)
G06Q 10/00-99/00
(57)【特許請求の範囲】
【請求項1】
セキュリティに関する質問への回答を対象エンティティから受信する受信部と、前記回答を前記対象エンティティと対応付けて記憶する記憶部と、
前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出する制御部と、
前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する出力部と、を備え、
前記記憶部は、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶し、
前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、
前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアであり、
前記記憶部は、前記対象エンティティとともにサプライチェーンを構成する取引先エンティティを前記対象エンティティと対応付けて記憶し、
前記記憶部は、前記取引先エンティティに関するセキュリティへの対策に関する取引先セキュリティ対策スコア及び前記取引先エンティティに関するセキュリティのリスクに関する取引先セキュリティリスクスコアを前記取引先エンティティと対応付けて記憶し、
前記出力部は、前記セキュリティスコアと対応付けて、前記取引先セキュリティ対策スコア及び前記取引先セキュリティリスクスコアの少なくともいずれか1つに基づいて特定される取引先セキュリティスコアを出力し、
前記取引先セキュリティ対策スコアは、前記対象エンティティによって入力され、又は、前記取引先エンティティから受信する前記セキュリティに関する質問への回答の集計結果に基づいて算出され、
前記取引先セキュリティリスクスコアは、前記対象エンティティによって入力され、又は、前記取引先セキュリティ対策スコアに基づいて算出される、情報処理装置。
【請求項2】
前記セキュリティリスクスコアは、前記セキュリティに関するベーススコアから前記セキュリティ対策スコアを差し引いたスコアであり、前記ベーススコアは、少なくとも、前記対象エンティティで扱うデータに基づいて設定される、請求項1に記載の情報処理装置。
【請求項3】
前記記憶部は、1以上の階層を有する前記取引先エンティティ及び前記対象エンティティによって構成されるサプライチェーンの階層関係を記憶しており、前記制御部は、前記セキュリティスコア、前記取引先セキュリティスコア及び前記階層関係に基づいて、前記サプライチェーンの全体に関するサプライチェーンセキュリティスコアを算出し、
前記出力部は、前記サプライチェーンセキュリティスコアを出力する、請求項1に記載の情報処理装置。
【請求項4】
前記制御部は、前記サプライチェーンを構成するエンティティ間の依存度係数及び前記サプライチェーンを構成するエンティティに設定された重み係数の少なくともいずれか1つに基づいて、前記サプライチェーンセキュリティスコアを算出する、請求項3に記載の情報処理装置。
【請求項5】
前記制御部は、前記セキュリティスコア及び前記取引先セキュリティスコアの少なくともいずれか1つに前記依存度係数及び前記重み係数の少なくともいずれか1つを乗算することによって、前記サプライチェーンセキュリティスコアを算出する、請求項4に記載の情報処理装置。
【請求項6】
前記重み係数は、前記サプライチェーンを構成するエンティティに関する情報であって、個人情報預託、重要情報預託、取り扱いデータ数、契約金額、事業形態、所在国及び利用技術の少なくともいずれか1つの情報に基づいて設定される、請求項4に記載の情報処理装置。
【請求項7】
前記制御部は、前記セキュリティに関する質問への回答として前記取引先エンティティから受信した回答の少なくとも一部を用いて、前記取引先セキュリティスコアを特定する、請求項1に記載の情報処理装置。
【請求項8】
前記出力部は、前記取引先セキュリティスコアに含まれる最もリスクの高いスコアを、前記最もリスクの高いスコアを有する前記取引先エンティティと対応付けて出力する、請求項1に記載の情報処理装置。
【請求項9】
前記出力部は、ユーザエンティティからの要求に応じて、前記セキュリティ対策スコア又は前記セキュリティリスクスコアのいずれか1つを選択する前記ユーザエンティティの選択結果に基づいて算出される前記サプライチェーンセキュリティスコアを出力する、請求項3に記載の情報処理装置。
【請求項10】
前記出力部は、ユーザエンティティからの要求に応じて、非許諾エンティティに対応する前記セキュリティスコア又は前記取引先セキュリティスコアを前記非許諾エンティティと対応付けて出力せずに、許諾エンティティに対応する前記セキュリティスコア又は前記取引先セキュリティスコアを前記許諾エンティティと対応付けて出力し、前記出力部は、前記非許諾エンティティに対応する前記セキュリティスコア又は前記取引先セキュリティスコアを前記非許諾エンティティと対応付けて出力しない場合であっても、前記サプライチェーンセキュリティスコアを出力し、
前記非許諾エンティティは、前記サプライチェーンを構成するエンティティのうち、前記ユーザエンティティに対する情報の提供を許諾していないエンティティであり、
前記許諾エンティティは、前記サプライチェーンを構成するエンティティのうち、前記ユーザエンティティに対する情報の提供を許諾しているエンティティである、請求項3に記載の情報処理装置。
【請求項11】
情報処理装置が、セキュリティに関する質問への回答を対象エンティティから受信するステップAと、情報処理装置が、前記回答を前記対象エンティティと対応付けて記憶するステップBと、
情報処理装置が、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出するステップCと、
情報処理装置が、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力するステップDと、
情報処理装置が、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶するステップEと、を備え、
前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、
前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアであり、
前記ステップBは、前記対象エンティティとともにサプライチェーンを構成する取引先エンティティを前記対象エンティティと対応付けて記憶するステップを含み、
前記ステップBは、前記取引先エンティティに関するセキュリティへの対策に関する取引先セキュリティ対策スコア及び前記取引先エンティティに関するセキュリティのリスクに関する取引先セキュリティリスクスコアを前記取引先エンティティと対応付けて記憶するステップを含み、
前記ステップDは、前記セキュリティスコアと対応付けて、前記取引先セキュリティ対策スコア及び前記取引先セキュリティリスクスコアの少なくともいずれか1つに基づいて特定される取引先セキュリティスコアを出力するステップを含み、
前記取引先セキュリティ対策スコアは、前記対象エンティティによって入力され、又は、前記取引先エンティティから受信する前記セキュリティに関する質問への回答の集計結果に基づいて算出され、
前記取引先セキュリティリスクスコアは、前記対象エンティティによって入力され、又は、前記取引先セキュリティ対策スコアに基づいて算出される、情報処理方法。
【請求項12】
プログラムであって、コンピュータに、
セキュリティに関する質問への回答を対象エンティティから受信するステップAと、
前記回答を前記対象エンティティと対応付けて記憶するステップBと、
前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出するステップCと、
前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力するステップDと、
前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶するステップEと、を実行させ、
前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、
前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアであり、
前記ステップBは、前記対象エンティティとともにサプライチェーンを構成する取引先エンティティを前記対象エンティティと対応付けて記憶するステップを含み、
前記ステップBは、前記取引先エンティティに関するセキュリティへの対策に関する取引先セキュリティ対策スコア及び前記取引先エンティティに関するセキュリティのリスクに関する取引先セキュリティリスクスコアを前記取引先エンティティと対応付けて記憶するステップを含み、
前記ステップDは、前記セキュリティスコアと対応付けて、前記取引先セキュリティ対策スコア及び前記取引先セキュリティリスクスコアの少なくともいずれか1つに基づいて特定される取引先セキュリティスコアを出力するステップを含み、
前記取引先セキュリティ対策スコアは、前記対象エンティティによって入力され、又は、前記取引先エンティティから受信する前記セキュリティに関する質問への回答の集計結果に基づいて算出され、
前記取引先セキュリティリスクスコアは、前記対象エンティティによって入力され、又は、前記取引先セキュリティ対策スコアに基づいて算出される、プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及びプログラムに関する。
【背景技術】
【0002】
従来、ITサービス提供者等に対してセキュリティに関する質問への回答を要求し、セキュリティなどのチェックを行う技術が知られている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0003】
【文献】特許第6969039号
【発明の概要】
【発明が解決しようとする課題】
【0004】
例えば、質問に対する回答に基づき、適切にセキュリティに関する把握することが求められる場合がある。
【0005】
そこで、本発明は、セキュリティに関する情報を適切に把握することを可能とする情報処理装置、情報処理方法及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
開示の態様は、セキュリティに関する質問への回答を対象エンティティから受信する受信部と、前記回答を前記対象エンティティと対応付けて記憶する記憶部と、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出する制御部と、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する出力部と、を備え、前記記憶部は、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶し、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである、情報処理装置である。
【0007】
開示の態様は、セキュリティに関する質問への回答を対象エンティティから受信するステップと、前記回答を前記対象エンティティと対応付けて記憶するステップと、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶するステップと、を備え、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである、情報処理方法である。
【0008】
開示の態様は、セキュリティに関する質問への回答を対象エンティティから受信するステップと、前記回答を前記対象エンティティと対応付けて記憶するステップと、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶するステップと、コンピュータに実行させ、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである、プログラムである。
【発明の効果】
【0009】
本発明によれば、対象エンティティのセキュリティに関するリスクを適切に把握することを可能とする情報処理装置及び情報処理方法を提供することができる。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
以下において、実施形態について図面を参照しながら説明する。なお、以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。
【0012】
但し、図面は模式的なものであり、各寸法の比率などは現実のものとは異なる場合があることに留意すべきである。従って、具体的な寸法などは以下の説明を参酌して判断すべきである。また、図面相互間においても互いの寸法の関係又は比率が異なる部分が含まれている場合があることは勿論である。
【0013】
[開示の概要]
開示の概要に係る情報処理装置は、セキュリティに関する質問への回答を対象エンティティから受信する受信部と、前記回答を前記対象エンティティと対応付けて記憶する記憶部と、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出する制御部と、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する出力部と、を備え、前記記憶部は、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶し、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである。
開示の概要に係る情報処理装置は、セキュリティに関する質問への回答を対象エンティティから受信する受信部と、前記回答を前記対象エンティティと対応付けて記憶する記憶部と、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出する制御部と、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する出力部と、を備え、前記記憶部は、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶し、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである。
【0014】
開示の概要に係る情報処理方法は、セキュリティに関する質問への回答を対象エンティティから受信するステップと、前記回答を前記対象エンティティと対応付けて記憶するステップと、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶するステップと、を備え、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである。
【0015】
開示の概要に係るプログラムは、セキュリティに関する質問への回答を対象エンティティから受信するステップと、前記回答を前記対象エンティティと対応付けて記憶するステップと、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶するステップと、コンピュータに実行させ、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである、プログラムである。
【0016】
開示の概要では、情報処理装置は、回答の集計結果に基づいて、セキュリティへの対策に関するセキュリティ対策スコアを算出する動作に加えて、セキュリティ対策スコアに基づいて、セキュリティの残余リスクに関するセキュリティリスクスコアを算出する動作を実行し、セキュリティ対策スコア及びセキュリティリスクスコアを対象エンティティと対応付けて記憶する。情報処理装置は、セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する。このような構成によれば、セキュリティ対策スコア及びセキュリティリスクスコアを算出することによって、異なる観点のセキュリティスコアを出力することができ、対象エンティティのセキュリティに関するリスクを適切に把握することができる。
【0017】
【0018】
図1に示すように、情報処理システム100は、情報処理装置10と、提供サーバ30と、第1端末40と、第2端末50と、を有する。情報処理装置10、提供サーバ30、第1端末40及び第2端末50は、ネットワーク200によって接続される。特に限定されるものではないが、ネットワーク200は、インターネットによって構成されてもよい。ネットワーク200は、ローカルエリアネットワークを含んでもよく、移動体通信網を含んでもよく、VPN(Virtual Private Network)を含んでもよい。
【0019】
情報処理装置10は、対象エンティティに関するセキュリティを評価してもよい。対象エンティティに関するセキュリティは、対象エンティティがユーザエンティティに提供する商材に関するセキュリティであってもよい。対象エンティティが提供する商材は、対象エンティティとユーザエンティティとの間の取引対象と読み替えられてもよい。対象エンティティが提供する商材は、サービスであってもよく、物であってもよい。この場合、例えば、対象エンティティは、物を製造するメーカーであってもよい。また、サービスは、SaaS(Software as a Service)、IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)などを含んでもよい。この場合、例えば、対象エンティティは、SaaSを提供するSaaSプロバイダーであってもよい。また、対象エンティティが提供する取引対象は、特定の作業や業務であってもよい。情報処理装置10の詳細については後述する(図2を参照)。
【0020】
提供サーバ30は、対象エンティティが提供する商材がサービスである場合に、ネットワーク200を介してサービスを提供する対象エンティティに属するサーバであってもよい。
【0021】
第1端末40は、対象エンティティによって利用される端末である。第1端末40は、表示部41を有してもよい。表示部41は、液晶パネル、有機EL(Electroluminescence)パネル、LED(Light Emitting Diode)などのディスプレイによって構成されてもよい。例えば、第1端末40は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。第1端末40は、対象エンティティと称されることがあってもよい。
【0022】
第2端末50は、対象エンティティとは異なる第三者によって利用される端末である。第三者は、対象エンティティが提供する商材を利用するユーザエンティティを含んでもよい。第2端末50は、表示部51を有してもよい。表示部51は、液晶パネル、有機ELパネル、LEDなどのディスプレイによって構成されてもよい。例えば、第2端末50は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。第2端末50は、ユーザエンティティと称されることがあってもよい。
【0023】
(情報処理装置)
以下において、実施形態に係る情報処理装置10について説明する。図2は、実施形態に係る情報処理装置10を示す図である。
以下において、実施形態に係る情報処理装置10について説明する。図2は、実施形態に係る情報処理装置10を示す図である。
【0024】
図2に示すように、情報処理装置10は、送信部11と、受信部12と、格納部13と、制御部14と、を有する。
【0025】
送信部11は、通信モジュールによって構成されてもよい。通信モジュールは、IEEE802.11a/b/g/n/ac/ax、LTE、5G、6Gなどの規格に準拠する無線通信モジュールであってもよく、IEEE802.3などの規格に準拠する有線通信モジュールであってもよい。
【0026】
送信部11は、第1端末40(対象エンティティ)及び第2端末50(ユーザエンティティ)に対して各種情報を送信してもよい。例えば、送信部11は、セキュリティに関する質問を第1端末40に送信してもよい。質問は、リスト形式で送信されてもよい。例えば、送信部11は、対象エンティティに関するセキュリティスコアを含むセキュリティ応答を第2端末50に送信してもよい。
【0027】
受信部12は、通信モジュールによって構成されてもよい。通信モジュールは、IEEE802.11a/b/g/n/ac/ax、LTE、5G、6Gなどの規格に準拠する無線通信モジュールであってもよく、IEEE802.3などの規格に準拠する有線通信モジュールであってもよい。
【0028】
受信部12は、第1端末40(対象エンティティ)及び第2端末50(ユーザエンティティ)から各種情報を受信してもよい。例えば、受信部12は、セキュリティに関する質問への回答を第1端末40から受信してもよい。回答は、リスト形式で受信されてもよい。例えば、受信部12は、対象エンティティに関するセキュリティスコアを要求するセキュリティ要求を第2端末50から受信してもよい。
【0029】
格納部13は、SSD(Solid State Drive)、HDD(Hard Disk Drive)などの記憶媒体によって構成されており、様々な情報を格納する。
【0030】
格納部13は、セキュリティに関する質問への回答を対象エンティティと対応付けて記憶する。格納部13は、後述する制御部14によって算出されるセキュリティ対策スコアを対象エンティティと対応付けて記憶してもよい。格納部13は、後述する制御部14によって算出されるセキュリティリスクスコアを対象エンティティと対応付けて記憶してもよい。格納部13に記憶されるデータベース(DB)は、エンティティ情報DBと称されてもよい。
【0031】
制御部14は、少なくとも1つのプロセッサを含んでもよい。少なくとも1つのプロセッサは、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、1以上のIntegrated Circuit、1以上のDiscrete Circuit、及び、これらの組合せによって構成されてもよい。
【0032】
制御部14は、対象エンティティに関するセキュリティスコアを算出する。具体的には、制御部14は、セキュリティに関する質問への回答の集計結果に基づいて、セキュリティへの対策に関するセキュリティ対策スコアを算出してもよい。制御部14は、セキュリティ対策スコアに基づいて、セキュリティの残余リスクに関するセキュリティリスクスコアを算出してもよい。制御部14は、セキュリティ対策スコア及びセキュリティリスクスコアの少なくともいずれか1つに基づいて、対象エンティティに関するセキュリティスコアを特定してもよい。制御部14は、特定されたセキュリティスコアの送信(出力)を送信部11に指示してもよい。セキュリティスコアは、セキュリティ対策スコアであってもよく、セキュリティリスクスコアであってもよく、セキュリティ対策スコア及びセキュリティリスクスコアの双方であってもよい。
【0033】
ここで、セキュリティ対策スコアは、セキュリティのリスクが低いほど高くなるスコアである。ここで、セキュリティ対策スコアは、セキュリティの対策のレベルが高いほど高くなるスコアであると読み替えられてもよい。セキュリティリスクスコアは、セキュリティのリスクが高いほど高くなるスコアである。なお、セキュリティ対策スコア及びセキュリティリスクスコアの詳細については後述する(図4を参照)。
【0034】
実施形態では、受信部12は、セキュリティに関する質問への回答を対象エンティティから受信する受信部を構成する。格納部13は、回答を対象エンティティと対応付けて記憶する記憶部を構成する。制御部14は、回答の集計結果に基づいて、セキュリティへの対策に関するセキュリティ対策スコアを算出し、セキュリティ対策スコアに基づいて、セキュリティの残余リスクに関するセキュリティリスクスコアを算出する制御部を構成する。送信部11は、セキュリティ対策スコア及びセキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する出力部を構成する。
【0035】
(適用シーン)
以下において、実施形態に係る適用シーンについて説明する。図3は、実施形態に係る適用シーンを説明するための図である。
以下において、実施形態に係る適用シーンについて説明する。図3は、実施形態に係る適用シーンを説明するための図である。
【0036】
図3に示すように、適用シーンでは、対象エンティティがユーザエンティティに商材(物及びサービスを含む)を提供する場合に、商材の提供において対象エンティティが取引を行う相手(取引先エンティティ)が存在するケースが想定される。ここで、エンティティ(対象エンティティ及び取引先エンティティを含む)は、企業等の組織、団体、部門、個人等であってもよく、例えば、対象エンティティは、対象組織や対象企業と読み替えられてもよく、取引先エンティティは、取引先組織や取引先企業と読み替えられてもよい。
【0037】
例えば、図3に示すように、対象エンティティが取引を行う相手として、取引先エンティティ#1及び取引先エンティティ#2が存在してもよい。取引先エンティティ#1及び取引先エンティティ#2は、1次取引先エンティティと称されてもよい。取引先エンティティ#1が取引を行う相手として、取引先エンティティ#1-1及び取引先エンティティ#1-2が存在してもよい。取引先エンティティ#1-1及び取引先エンティティ#1-2は、2次取引先エンティティと称されてもよい。取引先エンティティとして、n(nは1以上の整数)次取引先エンティティが想定されてもよい。
【0038】
ここで、対象エンティティ、取引先エンティティ#1及び取引先エンティティ#1-1及び取引先エンティティ#1-2は、1つのサプライチェーンを構成すると考えてもよい。同様に、対象エンティティ、取引先エンティティ#2は、1つのサプライチェーンを構成すると考えてもよい。さらに、取引先エンティティ#1及び取引先エンティティ#1-1は、1つのサプライチェーン(サブサプライチェーン)を構成すると考えてよく、取引先エンティティ#1及び取引先エンティティ#1-2は、1つのサプライチェーン(サブサプライチェーン)を構成すると考えてよい。なお、図3に示すサプライチェーンは例示であり、これに限定されるものではない。ここで、サプライチェーンは、モノやサービスなどの流れを1つの供給のチェーンとしたものであってもよく、複数の組織等のエンティティによって構築される。サプライチェーンでは、クラウドサービス事業者等の対象エンティティと、その業務委託先業者等の取引先エンティティとの関係が規定されている。
【0039】
ユーザエンティティは、対象エンティティから商材を利用するエンティティである。ユーザエンティティは、商材がクラウドサービスである場合に、クラウドサービス利用者であってもよい。また、ユーザエンティティは、商材が完成品や部品などの物である場合に、物の購入者であってもよい。また、ユーザエンティティは、商材(取引対象)が業務や作業である場合、業務や作業の依頼元業者や委託元業者であってもよい。ユーザエンティティは、対象エンティティから見た場合に、取引元業者、バイヤー、親会社であってもよい。
【0040】
対象エンティティは、ユーザエンティティに商材を提供するエンティティである。対象エンティティは、商材がクラウドサービスである場合に、クラウドサービス事業者であってもよい。ユーザエンティティから見た場合に、取引先業者、委託先業者(再委託先、再々委託先)、ベンダー、サプライヤーなどであってもよい。対象エンティティは、取引先エンティティから見た場合に、取引先業者、委託先業者、セラー、子会社であってもよい。
【0041】
取引先エンティティは、対象エンティティからユーザエンティティに提供される商材に携わるエンティティである。取引先エンティティは、対象エンティティから見た場合に、取引先業者、委託先業者(再委託先、再々委託先、再々々委託先・・・)、ベンダー、サプライヤーなどであってもよい。
【0042】
ここで、上述した格納部13(エンティティ情報DB)は、対象エンティティと関連する取引先エンティティを対象エンティティと対応付けて記憶する。格納部13(エンティティ情報DB)は、1以上の階層を有する取引先エンティティ及び対象エンティティによって構成されるサプライチェーンの階層関係を記憶する。このようなサプライチェーンに関する情報は、ユーザエンティティまたは対象エンティティによって登録されてもよい。対象エンティティが、自らを含むサプライチェーンに関する情報を全て登録してもよいし、サプライチェーンに含まれる取引先エンティティが、自らより下の階層(下流)にいる他の取引先エンティティを登録してもよい。格納部13(エンティティ情報DB)は、取引先エンティティに関するセキュリティへの対策に関する取引先セキュリティ対策スコアを取引先エンティティと対応付けて記憶する。格納部13(エンティティ情報DB)は、取引先エンティティに関するセキュリティへの対策に関する取引先セキュリティリスクスコアを取引先エンティティと対応付けて記憶する。
【0043】
なお、関連する取引先エンティティは、対象エンティティから見た場合に、上述したような取引関係、委託関係、請負関係、売買関係、グループ会社関係などがある取引先エンティティであってもよい。上述した格納部13(エンティティ情報DB)は、取引先エンティティと関連する他の取引先エンティティを、取引先エンティティと対応付けて記憶してもよい。
【0044】
具体的には、エンティティ情報DBは、サプライチェーンを構成するエンティティに関する情報を記憶してもよい。エンティティに関する情報は、エンティティの識別情報、エンティティの企業情報(資本金、社長、リスク情報、サービス情報、拠点情報など)を含んでもよい。エンティティに関する情報は、サプライチェーンにおいてエンティティが属する取引階層の情報、サプライチェーンにおいてエンティティの上位階層に位置するエンティティに関する情報、サプライチェーンにおいてエンティティの下位階層に位置するエンティティに関する情報を含んでもよい。エンティティに関する情報は、エンティティが提供する商材(サービスや物)の情報、エンティティの取引金額の情報、エンティティのリスク評価情報などを含んでもよい。リスク評価情報は、セキュリティ対策スコア及びセキュリティリスクスコアを含んでもよい。リスク評価情報は、後述する取引先セキュリティ対策スコア及び取引先セキュリティリスクスコアを含んでもよい。
【0045】
(セキュリティスコア)
以下において、実施形態に係るセキュリティスコアについて説明する。図4は、実施形態に係るセキュリティスコアを説明するための図である。図4に示すように、セキュリティスコアについては、いくつかの方式が考えられる。図4では、説明簡略化のために、取引先エンティティが1つであるケースについて例示する。
以下において、実施形態に係るセキュリティスコアについて説明する。図4は、実施形態に係るセキュリティスコアを説明するための図である。図4に示すように、セキュリティスコアについては、いくつかの方式が考えられる。図4では、説明簡略化のために、取引先エンティティが1つであるケースについて例示する。
【0046】
方式1では、情報処理装置10は、セキュリティに関する質問への回答の集計結果に基づいて、セキュリティへの対策に関するセキュリティ対策スコアを算出する。例えば、情報処理装置10は、セキュリティチェックシートに含まれる複数質問に対する回答が、所定の回答(例えば、「はい」「Yes」)である質問の数に応じて、セキュリティ対策スコアを算出してもよい。情報処理装置10は、質問が項目毎に分類されている場合に、項目毎に数を集計してもよい。情報処理装置10は、項目毎の重み付け値を管理しており、重み付け値に基づいて項目毎の数値を修正した上で、セキュリティ対策スコアを算出してもよい。セキュリティ対策スコアは、セキュリティのリスクが低いほど高くなるスコアである。情報処理装置10は、取引先エンティティに関するセキュリティへの対策に関する取引先セキュリティ対策スコアを記憶する。取引先セキュリティ対策スコアは、セキュリティのリスクが低いほど高くなるスコアである。
【0047】
ここで、方式1では、セキュリティ対策スコアは、各エンティティのセキュリティ対策スコアを比較可能なように、各エンティティに共通するベーススコア(例えば、100)が上限となるように数値化又は指標化されてもよい。
【0048】
例えば、情報処理装置10は、対象エンティティのセキュリティ対策スコアとして、70/100を出力してもよい。情報処理装置10は、取引先エンティティの取引先セキュリティ対策スコアとして、40/100を出力してもよい。
【0049】
方式1において、情報処理装置10は、対象エンティティに関するセキュリティスコアとして、対象エンティティのセキュリティ対策スコア(例えば、70)を出力してもよい。情報処理装置10は、取引先エンティティに関する取引先セキュリティスコアとして、取引先エンティティの取引先セキュリティ対策スコア(例えば、40)を出力してもよい。
【0050】
方式1において、情報処理装置10は、サプライチェーンを構成する取引先エンティティの取引先セキュリティスコアに含まれる最もリスクの高いスコアを特定し、最もリスクの高いスコアを有する取引先エンティティと対応付けて出力してもよい。最もリスクの高いスコアは、取引先セキュリティ対策スコアが最も低いスコアである。
【0051】
方式2では、情報処理装置10は、セキュリティ対策スコアに基づいて、セキュリティの残余リスクに関するセキュリティリスクスコアを特定する。セキュリティリスクスコアは、セキュリティのリスクが高いほど高くなるスコアである。情報処理装置10は、取引先エンティティに関するセキュリティのリスクに関する取引先セキュリティリスクスコアを記憶する。取引先セキュリティリスクスコアは、セキュリティのリスクが高いほど高くなるスコアである。
【0052】
ここで、方式2では、セキュリティ対策スコアは、エンティティ毎に異なるベーススコアが上限となるように数値化又は指標化されてもよい。例えば、対象エンティティのベーススコアが150であり、取引先エンティティのベーススコアが100であってもよい。対象エンティティのベーススコアは、少なくとも、対象エンティティで取り扱うデータに基づいて設定されてもよい。取引先エンティティのベーススコアは、少なくとも、取引先エンティティで扱うデータに基づいて設定されてもよい。
【0053】
例えば、個人情報を扱うエンティティのベーススコアは、個人情報を扱わないエンティティのベーススコアよりも大きくてもよい。重要情報を扱うエンティティのベーススコアは、重要情報を扱わないエンティティのベーススコアよりも大きくてもよい。
【0054】
例えば、情報処理装置10は、対象エンティティのセキュリティ対策スコアが110である場合に、対象エンティティのセキュリティリスクスコアとして、ベーススコアからセキュリティ対策スコアを差し引いた40(150-110)を出力してもよい。情報処理装置10は、取引先エンティティの取引先セキュリティリスクスコアとして、60(100-40)を出力してもよい。
【0055】
すなわち、セキュリティリスクスコアは、対象エンティティのベーススコアからセキュリティ対策スコアを差し引いたスコアである。同様に、取引先セキュリティリスクスコアは、取引先エンティティのベーススコアから取引先セキュリティ対策スコアを差し引いたスコアである。エンティティが有するセキュリティに関するリスクの基礎値であるベーススコアから、セキュリティに関する対策の度合いを示すセキュリティ対策スコアを差し引くことで、実際にエンティティが有するセキュリティに関するリスクをスコアで把握することができる。
【0056】
方式2において、情報処理装置10は、対象エンティティに関するセキュリティスコアとして、対象エンティティのセキュリティリスクスコア(例えば、40)を出力してもよい。情報処理装置10は、取引先エンティティに関する取引先セキュリティスコアとして、取引先エンティティの取引先セキュリティリスクスコア(例えば、60)を出力してもよい。
【0057】
方式2において、情報処理装置10は、サプライチェーンを構成する取引先エンティティの取引先セキュリティスコアに含まれる最もリスクの高いスコアを特定し、最もリスクの高いスコアを有する取引先エンティティと対応付けて出力してもよい。最もリスクの高いスコアは、取引先セキュリティリスクスコアが最も高いスコアである。
【0058】
方式3では、情報処理装置10は、セキュリティスコア、取引先セキュリティスコア及び階層関係に基づいて、サプライチェーンの全体に関するサプライチェーンセキュリティスコアを算出する。サプライチェーンは、上述したサブサプライチェーンを含んでもよい。言い換えると、サプライチェーンは、サブサプライチェーンと読み替えてもよい。
【0059】
ここで、方式3では、情報処理装置10は、サプライチェーンを構成するエンティティ間の係数に基づいて、サプライチェーンセキュリティスコアを算出してもよい。例えば、情報処理装置10は、セキュリティスコア及び取引先セキュリティスコアの少なくともいずれか1つに係数を乗算することによって、サプライチェーンセキュリティスコアを算出してもよい。係数としては、以下に示すオプションが考えられる。
【0060】
オプション1では、係数は、サプライチェーンを構成するエンティティ間の依存度係数に基づいて設定されてもよい。依存度係数は、各エンティティが商材の提供に寄与する割合に基づいて設定されてもよい。
【0061】
例えば、エンティティが商材の提供に寄与する割合が高いほど、エンティティの依存度係数として大きな値が設定されてもよい。依存度係数が大きいほど、係数の値として大きな値が設定されてもよい。
【0062】
オプション2では、係数は、サプライチェーンを構成するエンティティに設定された重み係数に基づいて設定されてもよい。重み係数は、サプライチェーンを構成するエンティティに関する情報であって、個人情報預託、重要情報預託、取り扱いデータ数、契約金額、事業形態、所在国及び利用技術の少なくともいずれか1つの情報に基づいて設定される。なお、個人情報預託、重要情報預託、取り扱いデータ数、契約金額、事業形態、所在国及び利用技術は、エンティティに関する情報の一例であってもよい。
【0063】
個人情報預託、重要情報預託、取り扱いデータ数、契約金額、事業形態、所在国及び利用技術などの情報に基づいて設定される重み係数は、情報漏えいなどのセキュリティに関するインシデントが発生した際の被害や損害が大きくなることが想定されるほど、大きくなるように設定されてもよい。
【0064】
例えば、個人情報預託があるエンティティの重み係数は、個人情報預託がないエンティティの重み係数よりも大きくてもよい。
【0065】
例えば、重要情報預託があるエンティティの重み係数は、重要情報預託がないエンティティの重み係数よりも大きくてもよい。
【0066】
例えば、エンティティの取り扱いデータ数が多いほど、エンティティの重み係数として大きな値が設定されてもよい。
【0067】
例えば、エンティティの契約金額が大きいほど、エンティティの重み係数として大きな値が設定されてもよい。
【0068】
例えば、事業形態が法人であるエンティティの重み係数は、事業形態が個人であるエンティティの重み係数よりも大きくてもよい。
【0069】
例えば、地政学的なリスクが相対的に高い所在国に存在するエンティティの重み係数は、地政学的なリスクが相対的に低い所在国に存在するエンティティの重み係数よりも大きくてもよい。
【0070】
例えば、利用技術が安全保障の観点から保護すべき技術や重要である技術(例えば、AI技術、軍事技術など)であるエンティティの重み係数は、利用技術が安全保障の観点から保護すべき技術でないエンティティの重み係数よりも大きくてもよい。
【0071】
オプション3では、オプション1及びオプション2が組み合わされてもよい。
【0072】
方式3において、サプライチェーンセキュリティスコアの算出において、方式1(セキュリティ対策スコア及び取引先セキュリティ対策スコア)が用いられてもよく、方式2(セキュリティリスクスコア及び取引先セキュリティリスクスコア)が用いられてもよい。
【0073】
例えば、方式1が用いられる場合において、セキュリティ対策スコアが70であり、取引先セキュリティ対策スコアが40であり、対象エンティティ及び取引先エンティティの係数の関係が20:80である場合に、情報処理装置10は、サプライチェーンセキュリティスコアとして、46(70*0.2+40*0.8)を出力してもよい。このようなケースにおいて、サプライチェーンセキュリティスコアは、セキュリティのリスクが低いほど高くなるスコアである。
【0074】
例えば、方式2が用いられる場合において、セキュリティリスクスコアが40であり、取引先セキュリティリスクスコアが60であり、対象エンティティ及び取引先エンティティの係数の関係が20:80である場合に、情報処理装置10は、サプライチェーンセキュリティスコアとして、56(40*0.2+40*0.8)を出力してもよい。このようなケースにおいて、サプライチェーンセキュリティスコアは、セキュリティのリスクが高いほど高くなるスコアである。
【0075】
方式3において、情報処理装置10は、サプライチェーンを構成する取引先エンティティの取引先セキュリティスコアに含まれる最もリスクの高いスコアを特定し、最もリスクの高いスコアを有する取引先エンティティと対応付けて出力してもよい。
【0076】
方式3において、情報処理装置10は、サプライチェーンが複数のサブサプライチェーンを含む場合に、サブサプライチェーン毎のサプライチェーンセキュリティスコアに含まれる最もリスクの高いスコアを特定し、最もリスクの高いスコアを有するサブサプライチェーンと対応付けて出力してもよい。
【0077】
(情報処理方法)
以下において、実施形態に係る情報処理方法について説明する。図5は、実施形態に係る情報処理方法を示す図である。
以下において、実施形態に係る情報処理方法について説明する。図5は、実施形態に係る情報処理方法を示す図である。
【0078】
図5に示すように、ステップS10において、情報処理装置10は、セキュリティに関する質問を対象エンティティ(第1端末40)に送信する。
【0079】
ステップS11において、情報処理装置10は、セキュリティに関する質問への回答を対象エンティティ(第1端末40)から受信する。情報処理装置10は、サプライチェーンを構成するエンティティに関する情報を対象エンティティ(第1端末40)から受信してもよい。
【0080】
ステップS12において、情報処理装置10は、セキュリティに関する質問への回答を対象エンティティと対応付けて記憶する。情報処理装置10は、エンティティに関する情報に基づいて、対象エンティティと関連する取引先エンティティを対象エンティティと対応付けて記憶してもよい。情報処理装置10は、エンティティに関する情報に基づいて、1以上の階層を有する取引先エンティティ及び対象エンティティによって構成されるサプライチェーンの階層関係を記憶してもよい。
【0081】
ステップS13において、情報処理装置10は、対象エンティティに関するセキュリティスコアを算出する。例えば、情報処理装置10は、セキュリティ対策スコア及びセキュリティリスクスコアを算出する。
【0082】
情報処理装置10は、対象エンティティと関連する取引先エンティティがある場合には、取引先エンティティに関する取引先セキュリティスコアを記憶してもよい。例えば、情報処理装置10は、取引先セキュリティ対策スコア及び取引先セキュリティリスクスコアを記憶してもよい。
【0083】
情報処理装置10は、セキュリティスコア、取引先セキュリティスコア及び階層関係に基づいて、サプライチェーンの全体に関するサプライチェーンセキュリティスコアを算出してもよい。
【0084】
ステップS21において、情報処理装置10は、スコア要求をユーザエンティティ(第2端末50)から受信する。スコア要求は、ユーザエンティティが要求するスコアの種別を含んでもよい。スコアの種別は、セキュリティ対策スコア及び取引先セキュリティ対策スコア(方式1)、セキュリティリスクスコア及び取引先セキュリティリスクスコア(方式2)、方式1ベースのサプライチェーンセキュリティスコア(方式3)、方式2ベースのサプライチェーンセキュリティスコア(方式3)などの種別を含んでもよい。
【0085】
ステップS22において、情報処理装置10は、スコア要求に対するスコア応答をユーザエンティティ(第2端末50)に送信する。スコア応答は、スコア要求によって要求された種別のスコアを含んでもよい。
【0086】
ステップS23において、ユーザエンティティ(第2端末50)は、情報処理装置10から受信するスコア応答に基づいて、セキュリティに関するスコアを表示する。
【0087】
(動作例)
以下において、上述した実施形態に関する動作例について説明する。
以下において、上述した実施形態に関する動作例について説明する。
【0088】
第1に、情報処理装置10は、対象エンティティよりも下位階層の第1エンティティに関する情報(識別情報、企業名、取り扱い商材など)の入力又は選択に応じて、第1エンティティに対して、第1エンティティよりも下位階層の第2エンティティに関する情報の入力を要求する信号(例えば、入力フォームのURLなど)を送信してもよい。
【0089】
例えば、対象エンティティであるクラウドサービス事業者Aは、1次取引先エンティティである事業者Bの情報を情報処理装置10に入力してもよい。情報処理装置10は、事業者Bに対して、事業者Bよりも下位階層のエンティティ(再委託先、再々委託先など)の情報を入力するように要求する信号を送信してもよい。事業者Bは、サプライチェーンで繋がる事業者D,E,Fの情報を情報処理装置10に入力してもよい。
【0090】
或いは、対象エンティティであるクラウドサービス事業者Aは、サプライチェーンを構成する全てのエンティティに関する情報(事業者B、事業者D,E,F)の情報を情報処理装置10に入力してもよい。
【0091】
第2に、情報処理装置10は、入力・選択されたエンティティのリスク評価情報を呼び出す。リスク評価情報は、エンティティに紐づけて記憶された最新のセキュリティチェックシートやセキュリティに関する質問への回答に基づいて計算されてもよい。
【0092】
第3に、対象エンティティ又は取引先エンティティは、依存度係数又は重み係数などの係数を情報処理装置10に入力する。或いは、情報処理装置10は、サプライチェーンを構成するエンティティに関する情報(個人情報預託、重要情報預託、取り扱いデータ数、契約金額、事業形態、所在国及び利用技術)に基づいて、依存度係数又は重み係数などの係数を設定してもよい。例えば、情報処理装置10は、エンティティに関する情報と重み係数との関係を定めるテーブルを用いて、エンティティに関する情報から重み係数を特定してもよい。テーブルは、格納部13に記憶されてもよい。
【0093】
例えば、サプライチェーンがN個のエンティティから構成されている場合には、格納部13にエンティティ1~エンティティNまでのリスク評価情報が記憶されており、各階層を繋ぐノードに対して、依存度係数又は重み係数などの係数が設定されてもよい。或いは、情報処理装置10は、エンティティ1~エンティティNまでのエンティティに関する情報に基づいて、依存度係数又は重み係数などの係数を設定してもよい。
【0094】
第4に、情報処理装置10は、リスク評価情報及び係数に基づいて、サプライチェーンセキュリティスコアを算出してもよい。情報処理装置10は、サプライチェーンを構成する取引先エンティティの取引先セキュリティスコアに含まれる最もリスクの高いスコアを特定し、最もリスクの高いスコアを有する取引先エンティティと対応付けて出力してもよい。
【0095】
第5に、サプライチェーンにおいて、複数のサブサプライチェーンが含まれる場合に、情報処理装置10は、サブサプライチェーン毎にサプライチェーンセキュリティスコアを算出してもよい。情報処理装置10は、サブサプライチェーン毎のサプライチェーンセキュリティスコアに含まれる最もリスクの高いスコアを特定し、最もリスクの高いスコアを有するサブサプライチェーンと対応付けて出力してもよい。
【0096】
このような構成によれば、最もリスクの高いサブサプライチェーンの利用を停止したり、最もリスクの高いスコアを有する取引先エンティティを見直したりといった対応によって、商材に関するセキュリティリスクを改善することができる。
【0097】
(ユースケース)
以下において、実施形態のユースケースについて説明する。
以下において、実施形態のユースケースについて説明する。
【0098】
例えば、ユースケースは、クラウドサービス利用企業が、クラウドサービス事業者のサプライチェーンのリスクを把握したいケースであってもよい。クラウドサービス利用企業がユーザエンティティの一例であり、クラウドサービス事業者が対象エンティティの一例である。
【0099】
例えば、ユースケースは、親会社が、子会社・孫会社・・・と繋がるグループ会社チェーンのリスクを評価するケースであってもよい。親会社がユーザエンティティの一例であり、子会社・孫会社・・・が対象エンティティ及び取引先エンティティの一例である。
【0100】
例えば、ユースケースは、業務委託元企業が、委託先だけでなく、再委託先・再々委託先・・・のサプライチェーンのリスクを評価するケースであってもよい。業務委託元企業がユーザエンティティの一例であり、委託先が対象エンティティの一例であり、再委託先・再々委託先・・・が取引先エンティティの一例である。このようなケースにおいて、ユーザエンティティは、クラウドサービス利用者であってもよく、対象エンティティは、クラウドサービス事業者(業務委託元が対象エンティティになる)であってもよく、取引先エンティティは、クラウドサービス事業者と取引のある業務委託先企業(1次委託先が取引先エンティティになる)であってもよい。ここで、さらに下位の階層に業務委託先企業がある場合、2次委託先企業、3次委託先企業、・・・n次委託先企業も取引先エンティティとしてもよい。
【0101】
例えば、ユースケースは、1次下請企業が、2次請け、3次請け・・・企業のサプライチェーンのリスクを評価するケースであってもよい。1次下請企業がユーザエンティティの一例であり、2次請け、3次請け・・・企業が対象エンティティ及び取引先エンティティの一例である。このようなケースにおいて、ユーザエンティティは、クラウドサービス利用者であってもよく、対象エンティティは、クラウドサービス事業者であってもよく、取引先エンティティは、クラウドサービス事業者の下請企業(1次下請)、2次下請、3次請け・・・企業であってもよい。
【0102】
例えば、ユーザエンティティは、リスク評価を見る人(例えば、エンティティのIT部門の担当者、責任者など)であってもよい。
【0103】
例えば、サプライチェーンは、サプライヤー~メーカー~卸売~小売のサプライチェーンであってもよく、クラウドサービス事業者~取引先業者~2次取引先業者のサプライチェーンであってもよく、システム開発業者~委託先業者~再委託先業者のサプライチェーンであってもよく、メーカー~下請け業者~孫請け業者のサプライチェーンであってもよい。
【0104】
(表示態様)
以下において、実施形態の表示態様について説明する。表示態様は、第2端末50(ユーザエンティティ)に表示される態様であり、情報処理装置10から送信されるデータに基づいて表示される態様である。
以下において、実施形態の表示態様について説明する。表示態様は、第2端末50(ユーザエンティティ)に表示される態様であり、情報処理装置10から送信されるデータに基づいて表示される態様である。
【0105】
例えば、表示態様は、依存度係数、重み係数、スコアを、サプライチェーン図に表示する態様を含んでもよい。
【0106】
例えば、表示態様は、係数やスコアの大小によって、文字の態様(色、太さ、明るさ)を変える態様を含んでもよい。
【0107】
例えば、表示態様は、サプライチェーン中のリスクの高い企業(セキュリティ対策スコアが低い、セキュリティリスクスコアが高い)は、他と区別できる目立つ態様(色、フォント、大きさなど)で表示される態様を含んでもよい。
【0108】
(その他)
以下において、実施形態のその他のバリエーションについて説明する。
以下において、実施形態のその他のバリエーションについて説明する。
【0109】
例えば、同じ企業でも提供する商材によってリスク評価が変わり得るため、リスク評価は、基本的に商材毎に実行されてもよい。但し、リスク評価は、エンティティ毎に実行されてもよい。例えば、クラウドサービス事業者Aが複数のクラウドサービスを商材として取り扱っている場合に、クラウドサービス毎にリスク評価がされてもよいし、クラウドサービス事業者Aとしてまとめてリスク評価がされてもよい。
【0110】
例えば、サプライチェーン評価(サプライチェーンセキュリティスコア)の算出には、対象エンティティを含めてもよく、対象エンティティを含めず、取引先エンティティのみを含めてもよい。
【0111】
例えば、リスク評価に合わせて、リスクを低減するための対応策を提示してもよい。対応策は、リスクの高いエンティティの見直し(他のエンティティへの代替など)、リスクの高いチェーンの見直し(他のチェーンへの代替など)などを含んでもよい。対応策は、スコアと対応付けてテーブルで記憶されてもよい。対応策は、リスク評価をAIに入力し、AIから出力されてもよい。
【0112】
対応策の生成には、少なくとも1つのリスク評価を入力とし、対応策を出力することが可能なように学習された対応策作成モデルを用いてもよい。この場合、制御部14は、リスク評価(スコアやリスクに関するコメント文など)やその他のエンティティに関する情報を対応策作成モデルに入力し、対応策作成モデルに対応策を出力させてもよい。対応策作成モデルは、エンティティのリスク評価への対応策を出力するための学習モデルである。対応策作成モデルは、学習用のリスク評価と、それに対応する対応策のデータとを教師データとして学習した学習モデルであってもよい。
【0113】
対応策作成モデルは、例えば、GPT(Generative Pretrained Transformer、GPT-1、GPT-2、GPT-3、GPT-4を含む)、BERT(Bidirectional Encoder Representations from Transformers)、BART(Bidirectional and Auto-regressive Transformer)等を含むトランスフォーマ(Transformer)や再帰型ニューラルネットワーク(Recurrent Neural Network(RNN))等の言語モデル等を備えるAI(Artificial Intelligence)であって、大規模言語モデルを含む生成AIであってもよい。つまり、言語モデルは、特定のタスクのために訓練されたものだけでなく、幅広いタスクに対して汎用的に用いることができる汎用モデルであってもよく、人工知能として、膨大なデータを学習した大規模言語モデル(Large Language Models(LLM))のような汎用的な自然言語処理の学習モデルを含む。この場合、制御部は、リスク評価やエンティティの情報等を入力とし、対応策を出力する指示を含むプロンプトを対応策作成モデルに入力し、対応策を対応策作成モデルに出力させてもよい。また、制御部は、対応策の生成・出力指示とリスク評価とに加え、入力及び出力のサンプルとして、例えば、1以上のリスク評価のサンプルと、それに対応する1以上の対応策のサンプルとを挿入したプロンプトを対応策作成モデルに入力してもよい。対応策作成モデルは、入力されたプロンプトにしたがって、リスク評価に基づく対応策を出力してもよい。
【0114】
AIは、提供サーバ30の外部構成であってもよい。その場合、外部構成である人工知能は、例えば、人工知能のサービスサーバによって提供され、提供サーバ30の各機能部から入力を受け付け、人工知能のサービスを実行する要求を受け付け、処理結果として指示された出力を提供サーバ30に返すように構成される。人工知能のサービスサーバは、学習モデルとして言語モデルを用いてサービスを提供するサーバであってもよいし、言語モデルを用いて言語処理タスクを実行するサーバであってもよい。人工知能のサービスサーバは、LLMによって構築されてもよい。人工知能のサービスサーバは、テキスト、画像、音声等によるプロンプトの入力を受け付け、当該プロンプトに対する回答を生成して応答する。
【0115】
例えば、現状のリスク評価と合わせて、対策後のリスク評価を表示してもよい。例えば、重み係数や依存度係数を変更する対策、特定のエンティティをDBに含まれる別のエンティティに変更する対策などを想定して、対策後のリスク評価を特定してもよい。
【0116】
例えば、重み係数及び依存度係数は、それぞれ別の係数として設定されてもよく、重み係数及び依存度係数が反映された1つの係数として設定されてもよい。
【0117】
例えば、情報処理装置10は、セキュリティ対策スコア又は取引先セキュリティ対策スコアが所定値(例えば、30点)以下であるエンティティがサプライチェーン中に含まれる場合に、アラート通知を生成してもよい。或いは、情報処理装置10は、セキュリティリスクスコア又は取引先セキュリティリスクスコアが所定値(例えば、70点)以上であるエンティティがサプライチェーン中に含まれる場合に、アラート通知を生成してもよい。
【0118】
(作用及び効果)
実施形態では、情報処理装置10は、回答の集計結果に基づいて、セキュリティへの対策に関するセキュリティ対策スコアを算出する動作に加えて、セキュリティ対策スコアに基づいて、セキュリティの残余リスクに関するセキュリティリスクスコアを算出する動作を実行し、セキュリティ対策スコア及びセキュリティリスクスコアを対象エンティティと対応付けて記憶する。情報処理装置は、セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する。このような構成によれば、セキュリティ対策スコア及びセキュリティリスクスコアを算出することによって、異なる観点のセキュリティスコアを出力することができ、対象エンティティのセキュリティに関するリスクを適切に把握することができる。
実施形態では、情報処理装置10は、回答の集計結果に基づいて、セキュリティへの対策に関するセキュリティ対策スコアを算出する動作に加えて、セキュリティ対策スコアに基づいて、セキュリティの残余リスクに関するセキュリティリスクスコアを算出する動作を実行し、セキュリティ対策スコア及びセキュリティリスクスコアを対象エンティティと対応付けて記憶する。情報処理装置は、セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する。このような構成によれば、セキュリティ対策スコア及びセキュリティリスクスコアを算出することによって、異なる観点のセキュリティスコアを出力することができ、対象エンティティのセキュリティに関するリスクを適切に把握することができる。
【0119】
実施形態では、情報処理装置10は、対象エンティティに関連する取引先エンティティがある場合に、取引先セキュリティスコア(取引先セキュリティ対策スコア、取引先セキュリティリスクスコア)を出力してもよい。このような構成によれば、取引先セキュリティスコアを把握することができるため、取引先エンティティに起因してサプライチェーンが含み得るリスクを適切に把握することができる。
【0120】
実施形態では、情報処理装置10は、セキュリティスコア、取引先セキュリティスコア及び階層関係に基づいて、サプライチェーンの全体に関するサプライチェーンセキュリティスコアを算出し、算出されたサプライチェーンセキュリティスコアを出力してもよい。このような構成によれば、サプライチェーンの全体のリスクを適切に把握することができる。
【0121】
[変更例1]
以下において、変更例1について説明する。以下においては、実施形態に対する相違点について主として説明する。
以下において、変更例1について説明する。以下においては、実施形態に対する相違点について主として説明する。
【0122】
変更例1では、例えば、あるサプライチェーンにおいて特定エンティティが取引先エンティティである場合において、別のサプライチェーンにおいて特定エンティティが対象エンティティであった場合など、情報処理装置10がセキュリティに関する質問への回答を特定エンティティから既に受信しているケースについて想定する。
【0123】
変更例1では、情報処理装置10は、ある商材のサプライチェーンに関するリスク評価において、取引先エンティティ(別のサプライチェーンにおける対象エンティティ)から受信した回答の少なくとも一部を用いて、取引先セキュリティスコアを算出してもよい。取引先エンティティから受信した回答の少なくとも一部は、ある商材と別の商材とで共通するセキュリティに関する質問への回答を含んでもよい。
【0124】
[変更例2]
以下において、変更例2について説明する。以下においては、実施形態に対する相違点について主として説明する。
以下において、変更例2について説明する。以下においては、実施形態に対する相違点について主として説明する。
【0125】
変更例2では、情報処理装置10は、ユーザエンティティからの要求に応じて、セキュリティ対策スコア又はセキュリティリスクスコアのいずれか1つを選択するユーザエンティティの選択結果に基づいて算出されるサプライチェーンセキュリティスコアを出力してもよい。
【0126】
例えば、情報処理装置10は、スコア要求において方式1のサプライチェーンセキュリティスコアが要求された場合には、セキュリティ対策スコア及び取引先セキュリティ対策スコアに基づいて算出されたサプライチェーンセキュリティスコアを出力してもよい。
【0127】
例えば、情報処理装置10は、スコア要求において方式2のサプライチェーンセキュリティスコアが要求された場合には、セキュリティリスクスコア及び取引先セキュリティリスクスコアに基づいて算出されたサプライチェーンセキュリティスコアを出力してもよい。
【0128】
変更例2によれば、ユーザエンティティの意向に合った方法で算出されたスコアを出力することができる。
【0129】
[変更例3]
以下において、変更例3について説明する。以下においては、実施形態に対する相違点について主として説明する。
以下において、変更例3について説明する。以下においては、実施形態に対する相違点について主として説明する。
【0130】
変更例3では、サプライチェーンを構成するエンティティが、ユーザエンティティに対する情報の提供を許諾していないエンティティ(非許諾エンティティ)及びサプライチェーンを構成するエンティティのうち、ユーザエンティティに対する情報の提供を許諾しているエンティティ(許諾エンティティ)を含むケースを想定する。
【0131】
このようなケースにおいて、情報処理装置10は、ユーザエンティティからの要求に応じて、非許諾エンティティに対応するセキュリティスコアを非許諾エンティティと対応付けて出力せずに、許諾エンティティに対応するセキュリティスコアを許諾エンティティと対応付けて出力してもよい。同様に、情報処理装置10は、ユーザエンティティからの要求に応じて、非許諾エンティティに対応する取引先セキュリティスコアを非許諾エンティティと対応付けて出力せずに、許諾エンティティに対応する取引先セキュリティスコアを許諾エンティティと対応付けて出力してもよい。
【0132】
さらに、情報処理装置10は、非許諾エンティティに対応するセキュリティスコアを非許諾エンティティと対応付けて出力しない場合であっても、サプライチェーンセキュリティスコアを出力してもよい。同様に、情報処理装置10は、非許諾エンティティに対応する取引先セキュリティスコアを非許諾エンティティと対応付けて出力しない場合であっても、サプライチェーンセキュリティスコアを出力してもよい。
【0133】
変更例3によれば、非許諾エンティティが開示を許諾していないユーザエンティティに対し、リスク評価が開示されることを防ぎつつ、サプライチェーン全体のリスクを開示し、ユーザエンティティによるサプライチェーンのリスクの把握を支援することができる。
【0134】
[変更例4]
以下において、変更例4について説明する。以下においては、実施形態に対する相違点について主として説明する。
以下において、変更例4について説明する。以下においては、実施形態に対する相違点について主として説明する。
【0135】
変更例4では、ベーススコアの設定方法について説明する。ベーススコアは、上述した重み係数と同様の観点で設定されてもよい。具体的には、ベーススコアは、個人情報預託、重要情報預託、取り扱いデータ数、契約金額、事業形態、所在国及び利用技術の少なくともいずれか1つの情報に基づいて設定されてもよい。なお、個人情報預託、重要情報預託、取り扱いデータ数、契約金額、事業形態、所在国及び利用技術は、エンティティに関する情報の一例であってもよい。変更例4では、上述したような情報それぞれについて、リスクの高い状況にある方が、ベーススコアが大きくなるように設定されてもよい。
【0136】
例えば、個人情報預託があるエンティティのベーススコアは、個人情報預託がないエンティティのベーススコアよりも大きくてもよい。
【0137】
例えば、重要情報預託があるエンティティのベーススコアは、重要情報預託がないエンティティのベーススコアよりも大きくてもよい。
【0138】
例えば、エンティティの取り扱いデータ数が多いほど、エンティティのベーススコアとして大きな値が設定されてもよい。
【0139】
例えば、エンティティの契約金額が大きいほど、エンティティのベーススコアとして大きな値が設定されてもよい。
【0140】
例えば、事業形態が法人であるエンティティのベーススコアは、事業形態が個人であるエンティティのベーススコアよりも大きくてもよい。
【0141】
例えば、地政学的なリスクが相対的に高い所在国に存在するエンティティのベーススコアは、地政学的なリスクが相対的に低い所在国に存在するエンティティのベーススコアよりも大きくてもよい。
【0142】
例えば、利用技術が安全保障の観点から保護すべき技術(例えば、AI技術、軍事技術など)であるエンティティのベーススコアは、利用技術が安全保障の観点から保護すべき技術でないエンティティのベーススコアよりも大きくてもよい。
【0143】
特に限定されるものではないが、サプライチェーンセキュリティスコアの算出において、エンティティ毎に異なるベーススコアを採用する場合には、上述した重み係数は用いられなくてもよい。或いは、サプライチェーンセキュリティスコアの算出において、上述した重み係数が用いられる場合に、エンティティ毎に共通するベーススコアが採用されてもよい。
【0144】
[実施例]
以下において、実施例について説明する。実施例では、方式1ベースのサプライチェーンセキュリティスコア(方式3)について説明する。実施例では、エンティティが企業であり、係数が上述した依存度係数及び重み係数によって設定されているものとする。
以下において、実施例について説明する。実施例では、方式1ベースのサプライチェーンセキュリティスコア(方式3)について説明する。実施例では、エンティティが企業であり、係数が上述した依存度係数及び重み係数によって設定されているものとする。
【0145】
以下において、構成企業は、サプライチェーンを構成する企業の名称、構成企業数は、サプライチェーンを構成する企業の数、係数は、予め設定された値、セキュリティスコアは、サプライチェーンセキュリティスコア、低スコア企業は、取引先セキュリティ対策スコアが最も低い企業、最低スコアは、サプライチェーンにおいて最も低い取引先セキュリティ対策スコアである。
【0146】
なお、最も低い取引先セキュリティ対策スコアは、最もリスクの高いスコアの一例である。また、自社(単体)のセキュリティスコアは、企業のセキュリティ対策スコア又は取引先セキュリティ対策スコアである。
【0147】
(実施例1)
実施例1では、図6に示すように、対象企業A-1、取引先企業B、取引先企業E、取引先企業F及び取引先企業Hがサプライチェーンに含まれるケースについて例示する。
実施例1では、図6に示すように、対象企業A-1、取引先企業B、取引先企業E、取引先企業F及び取引先企業Hがサプライチェーンに含まれるケースについて例示する。
【0148】
図6に示すように、企業A-1(単体)のスコアが100点であり、企業B(単体)のスコアが95点であり、企業E(単体)のスコアが50点であり、企業F(単体)のスコアが90点であり、企業H(単体)のスコアが30点である。企業A-1と企業Bとの間については、企業A-1の係数が0.1であり、企業Bの係数が0.9である。これは、例えば、企業A-1と企業Bとの間の取引において、企業A-1の自己依存度が0.1で、企業Bへの依存度が0.9であることを示す。企業B、企業E及び企業Fの間については、企業Bの係数が0.2であり、企業Eの係数が0.5であり、企業Fの係数が0.3である。これは、企業Bが、このサプライチェーンにおいて企業Eと企業Fという複数の企業と取引をしていることを示しており、企業Aから見た企業Bヘの依存度0.9を、企業B自身への自己依存度、企業Eへの依存度及び企業Fへの依存度に割り振り分割したものである。なお、企業Bの係数0.2については、0.1が企業Eに割り当てられ、0.1が企業Fに割り当てられているものとし、その合計が0.2となっている。同様に、企業Eと企業Hとの間では、企業Eの係数(例えば、自己依存度など)が0.4であり、企業Hの係数(例えば、依存度など)が0.6である。
【0149】
このような前提下において、企業A-1に関するサプライチェーンは、図7に示すように、A-1,B,E,H,Fのサプライチェーン1-1、B,E,H,Fのサプライチェーン1-2、B,E,Hのサプライチェーン1-3、E,Hのサプライチェーン1-4、Hのサプライチェーン1-5、B,Fのサプライチェーン1-6、Fのサプライチェーン1-7に分解することができる。
【0150】
ここで、企業A-1の自社(単体)のセキュリティ対策スコアについては、セキュリティに関する質問への回答に基づいて算出される。企業B,E,F,Hの自社(単体)の取引先セキュリティ対策スコアについては、企業A-1から取得されてもよく、過去に取得されたセキュリティに関する質問への回答に基づいて算出されてもよい。係数は、上述したように、依存度、作業量、セキュリティリスクの度合いなどに基づき、予め設定されているものとする。
【0151】
このような前提下において、情報処理装置10は、セキュリティ対策スコア、取引先セキュリティ対策スコア及び係数に基づいて、サプライチェーンセキュリティスコアを算出する。具体的には、情報処理装置10は、サプライチェーンの下位の階層から、階層ごとに順に、各エンティティのセキュリティスコアにそれぞれの係数を掛け、その積を合計する(Σ(係数×セキュリティスコア))ことで、サプライチェーンセキュリティスコアを計算する。図7に示す例では、情報処理装置10は、サプライチェーン1-7からサプライチェーンセキュリティスコアを計算する。例えば、サプライチェーン1-7は、企業Fのみを含むため、サプライチェーン1-7のサプライチェーンセキュリティスコアは、1*90点=90点であり、これは、企業F自身のセキュリティスコアと一致している。続いて、情報処理装置10は、サプライチェーン1-6からサプライチェーン1-1の順に、サプライチェーンセキュリティスコアを計算する。このとき、計算した下位のサプライチェーンセキュリティスコアは、上位のサプライチェーンスコアの計算に用いる。各サプライチェーンのサプライチェーンセキュリティスコアの計算方法は図8に示す通りである。なお、Σ(係数×スコア)の数値を係数の合計で除することで、セキュリティスコアの満点(ここでは、100点)を揃えるように計算されてもよい。
【0152】
続いて、情報処理装置10は、図7に示すように、企業A-1に関するサプライチェーンの情報として、各サプライチェーンのサプライチェーンセキュリティスコアを出力するとともに、取引先セキュリティ対策スコアが最も低い企業(実施例1では、企業H)及び最も低い取引先セキュリティ対策スコア(実施例1では、30)を出力する。図7に示す情報は、ユーザエンティティに対して出力される情報の一例であると考えてもよい。
【0153】
このような構成によれば、ユーザエンティティは、企業Hのリスクが最も高いことを把握することができ、企業Hを見直すといった対処によって、商材に関するセキュリティリスクを改善することができる。仮に、企業Hが非許諾エンティティであり、企業Hの情報(例えば、取引先セキュリティ対策スコア)がユーザエンティティに提供されない場合であっても、ユーザエンティティは、サプライチェーン1-2(企業B,E,,H,F)のサプライチェーンセキュリティスコアがサプライチェーン1-6(企業B,F)のサプライチェーンセキュリティスコアよりも低いことを把握することができ、サプライチェーン1-2を見直すといった対処によって、商材に関するセキュリティリスクを改善することができる。
【0154】
(実施例2)
実施例2では、図9に示すように、対象企業A-2、取引先企業B、取引先企業C、取引先企業F、取引先企業G、取引先企業I、取引先企業J、取引先企業K及び取引先企業Lがサプライチェーンに含まれるケースについて例示する。
実施例2では、図9に示すように、対象企業A-2、取引先企業B、取引先企業C、取引先企業F、取引先企業G、取引先企業I、取引先企業J、取引先企業K及び取引先企業Lがサプライチェーンに含まれるケースについて例示する。
【0155】
図9に示すように、企業A-2(単体)のスコアが100点であり、企業B(単体)のスコアが70点であり、企業C(単体)のスコアが60点であり、企業J(単体)のスコアが90点であり、企業F(単体)のスコアが90点であり、企業G(単体)のスコアが60点であり、企業K(単体)のスコアが60点であり、企業I(単体)のスコアが60点であり、企業L(単体)のスコアが60点である。企業A-2と企業Bとの間については、企業A-2の係数が0.1であり、企業Bの係数が0.9である。企業A-2と企業Cとの間については、企業A-2の係数が0.1であり、企業Bの係数が0.9である。企業A-2と企業Jとの間については、企業A-2の係数が0.1であり、企業Bの係数が0.9である。企業Bと企業Fとの間については、企業Bの係数が0.2であり、企業Fの係数が0.8である。企業Cと企業Gとの間については、企業Cの係数が0.1であり、企業Gの係数が0.9である。企業Gと企業Iとの間については、企業Gの係数が0.1であり、企業Iの係数が0.9である。企業Jと企業Kとの間については、企業Jの係数が0.1であり、企業Kの係数が0.9である。企業Kと企業Lとの間については、企業Kの係数が0.7であり、企業Lの係数が0.3である。
【0156】
このような前提下において、企業A-2に関するサプライチェーンは、図10に示すように、A-2,B,Fのサプライチェーン1-1、B,Fのサプライチェーン1-2、Fのサプライチェーン1-3、A-2,C,G,Iのサプライチェーン2-1、C,G,Iのサプライチェーン2-2、G,Iのサプライチェーン2-3、Iのサプライチェーン2-4、A-2,J,K,Lのサプライチェーン3-1、J,K,Lのサプライチェーン3-2、K,Lのサプライチェーン3-3、Lのサプライチェーン3-4に分解することができる。
【0157】
ここで、企業A-2の自社(単体)のセキュリティ対策スコアについては、セキュリティに関する質問への回答に基づいて算出される。企業B,C,F,G,I,J,K,Lの自社(単体)の取引先セキュリティ対策スコアについては、企業A-2から取得されてもよく、過去に取得されたセキュリティに関する質問への回答に基づいて算出されてもよい。係数は、上述したように、予め設定されているものとする。
【0158】
このような前提下において、情報処理装置10は、セキュリティ対策スコア、取引先セキュリティ対策スコア及び係数に基づいて、サプライチェーンセキュリティスコアを算出する。情報処理装置10は、サプライチェーンの下位の階層から、階層ごとに順にΣ(係数×スコア)を計算する。計算方法は実施例1と同様である。各サプライチェーンのサプライチェーンセキュリティスコアの計算方法は図11に示す通りである。
【0159】
続いて、情報処理装置10は、図10に示すように、企業A-2に関するサプライチェーンの情報として、各サプライチェーンのサプライチェーンセキュリティスコアを出力するとともに、引先セキュリティ対策スコアが最も低い企業(実施例2では、企業H)及び最も低い取引先セキュリティ対策スコア(実施例2では、30)を出力する。図11に示す情報は、ユーザエンティティに対して出力される情報の一例であると考えてもよい。
【0160】
このような構成によれば、ユーザエンティティは、企業Lのリスクが最も高いことを把握することができ、企業Lを見直すといった対応によって、商材に関するセキュリティリスクを改善することができる。或いは、ユーザエンティティは、サプライチェーン2-1(企業A2,C(,G,I))のリスクが高いことを把握することができ、サプライチェーン2-1(企業A2,C(,G,I))の利用を停止するといった対応によって、商材に関するセキュリティリスクを改善することができる。さらには、企業L及びサプライチェーン2-1のいずれについて優先的に対処するのかについて判断材料もユーザエンティティに提供される。
【0161】
[その他の実施形態]
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
【0162】
上述した開示において、取引先セキュリティスコアは、取引先セキュリティ対策スコア及び取引先セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されてもよい。取引先セキュリティスコアは、取引先セキュリティ対策スコアであってもよく、取引先セキュリティリスクスコアであってもよく、取引先セキュリティ対策スコア及び取引先セキュリティリスクスコアの双方であってもよい。
【0163】
上述した開示において、取引先エンティティの取引先セキュリティスコア(取引先セキュリティ対策スコア、取引先セキュリティリスクスコア)は、対象エンティティによって入力されて情報処理装置10に記憶されてもよく、取引先エンティティによって入力されて情報処理装置10に記憶されてもよい。或いは、変更例1で説明したように、取引先エンティティの取引先セキュリティスコアは、取引先エンティティ(別の商材のサプライチェーンにおける対象エンティティ)から受信した回答の少なくとも一部を用いて算出されてもよい。
【0164】
上述した開示において、サプライチェーンの階層関係は、対象エンティティによって入力されて情報処理装置10に記憶されてもよく、取引先エンティティによって入力されて情報処理装置10に記憶されてもよい。
【0165】
上述した開示において、依存度係数は、対象エンティティによって入力されて情報処理装置10に記憶されてもよく、取引先エンティティによって入力されて情報処理装置10に記憶されてもよい。
【0166】
上述した開示において、重み係数は、対象エンティティによって入力されて情報処理装置10に記憶されてもよく、取引先エンティティによって入力されて情報処理装置10に記憶されてもよい。或いは、重み係数は、エンティティに関する情報(個人情報預託、重要情報預託、取り扱いデータ数、契約金額、事業形態、所在国及び利用技術の少なくともいずれか1つの情報)に基づいて設定されてもよい。
【0167】
上述した開示では特に触れていないが、情報処理装置10は、リスク評価(セキュリティリスクスコア、取引先セキュリティスコア、サプライチェーンセキュリティスコア)を表示する表示部を有してもよい。表示部は、液晶パネル、有機ELパネル、LEDなどのディスプレイによって構成されてもよい。
【0168】
実施形態では特に触れていないが、情報処理装置10、第1端末40及び第2端末50が行う各処理をコンピュータに実行させるプログラムが提供されてもよい。また、プログラムは、コンピュータ読取り可能媒体に記録されていてもよい。コンピュータ読取り可能媒体を用いれば、コンピュータにプログラムをインストールすることが可能である。ここで、プログラムが記録されたコンピュータ読取り可能媒体は、非一過性の記録媒体であってもよい。非一過性の記録媒体は、特に限定されるものではないが、例えば、CD-ROMやDVD-ROM等の記録媒体であってもよい。
【0169】
或いは、情報処理装置10、第1端末40及び第2端末50が行う各処理を実行するためのプログラムを記憶するメモリ及びメモリに記憶されたプログラムを実行するプロセッサによって構成されるチップが提供されてもよい。
【0170】
[付記]
上述した開示は、以下のように表現されてもよい。
上述した開示は、以下のように表現されてもよい。
【0171】
第1の特徴は、セキュリティに関する質問への回答を対象エンティティから受信する受信部と、前記回答を前記対象エンティティと対応付けて記憶する記憶部と、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出する制御部と、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する出力部と、を備え、前記記憶部は、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶し、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである、情報処理装置である。
【0172】
第2の特徴は、第1の特徴において、前記セキュリティリスクスコアは、前記セキュリティに関するベーススコアから前記セキュリティ対策スコアを差し引いたスコアであり、
前記ベーススコアは、少なくとも、前記対象エンティティで扱うデータに基づいて設定される、情報処理装置である。
前記ベーススコアは、少なくとも、前記対象エンティティで扱うデータに基づいて設定される、情報処理装置である。
【0173】
第3の特徴は、第1の特徴又は第2の特徴において、前記記憶部は、前記対象エンティティと関連する取引先エンティティを前記対象エンティティと対応付けて記憶し、前記記憶部は、前記取引先エンティティに関するセキュリティへの対策に関する取引先セキュリティ対策スコア及び前記取引先エンティティに関するセキュリティのリスクに関する取引先セキュリティリスクスコアを前記取引先エンティティと対応付けて記憶し、
前記出力部は、前記セキュリティスコアと対応付けて、前記取引先セキュリティ対策スコア及び前記取引先セキュリティリスクスコアの少なくともいずれか1つに基づいて特定される取引先セキュリティスコアを出力する、情報処理装置である。
前記出力部は、前記セキュリティスコアと対応付けて、前記取引先セキュリティ対策スコア及び前記取引先セキュリティリスクスコアの少なくともいずれか1つに基づいて特定される取引先セキュリティスコアを出力する、情報処理装置である。
【0174】
第4の特徴は、第3の特徴において、前記記憶部は、1以上の階層を有する前記取引先エンティティ及び前記対象エンティティによって構成されるサプライチェーンの階層関係を記憶しており、前記制御部は、前記セキュリティスコア、前記取引先セキュリティスコア及び前記階層関係に基づいて、前記サプライチェーンの全体に関するサプライチェーンセキュリティスコアを算出し、前記出力部は、前記サプライチェーンセキュリティスコアを出力する、情報処理装置である。
【0175】
第5の特徴は、第4の特徴において、前記制御部は、前記サプライチェーンを構成するエンティティ間の依存度係数及び前記サプライチェーンを構成するエンティティに設定された重み係数の少なくともいずれか1つに基づいて、前記サプライチェーンセキュリティスコアを算出する、情報処理装置である。
【0176】
第6の特徴は、第5の特徴において、前記制御部は、前記セキュリティスコア及び前記取引先セキュリティスコアの少なくともいずれか1つに前記依存度係数及び前記重み係数の少なくともいずれか1つを乗算することによって、前記サプライチェーンセキュリティスコアを算出する、情報処理装置である。
【0177】
第7の特徴は、第5の特徴又は第6の特徴において、前記重み係数は、前記サプライチェーンを構成するエンティティに関する情報であって、個人情報預託、重要情報預託、取り扱いデータ数、契約金額、事業形態、所在国及び利用技術の少なくともいずれか1つの情報に基づいて設定される、情報処理装置である。
【0178】
第8の特徴は、第3の特徴乃至第7の特徴の少なくともいずれか1つにおいて、前記制御部は、前記セキュリティに関する質問への回答として前記取引先エンティティから受信した回答の少なくとも一部を用いて、前記取引先セキュリティスコアを特定する、情報処理装置である。
【0179】
第9の特徴は、第3の特徴乃至第8の特徴の少なくともいずれか1つにおいて、前記出力部は、前記取引先セキュリティスコアに含まれる最もリスクの高いスコアを、前記最もリスクの高いスコアを有する前記取引先エンティティと対応付けて出力する、情報処理装置である。
【0180】
第10の特徴は、第4の特徴乃至第7の特徴の少なくともいずれか1つにおいて、前記出力部は、ユーザエンティティからの要求に応じて、前記セキュリティ対策スコア又は前記セキュリティリスクスコアのいずれか1つを選択する前記ユーザエンティティの選択結果に基づいて算出される前記サプライチェーンセキュリティスコアを出力する、情報処理装置である。
【0181】
第11の特徴は、第4の特徴乃至第7の特徴の少なくともいずれか1つにおいて、前記出力部は、ユーザエンティティからの要求に応じて、非許諾エンティティに対応するセキュリティスコア又は取引先セキュリティスコアを前記非許諾エンティティと対応付けて出力せずに、許諾エンティティに対応するセキュリティスコア又は取引先セキュリティスコアを前記許諾エンティティと対応付けて出力し、前記出力部は、前記非許諾エンティティに対応するセキュリティスコア又は取引先セキュリティスコアを前記非許諾エンティティと対応付けて出力しない場合であっても、前記サプライチェーンセキュリティスコアを出力し、前記非許諾エンティティは、前記サプライチェーンを構成するエンティティのうち、前記ユーザエンティティに対する情報の提供を許諾していないエンティティであり、前記許諾エンティティは、前記サプライチェーンを構成するエンティティのうち、前記ユーザエンティティに対する情報の提供を許諾しているエンティティである、情報処理装置である。
【0182】
第12の特徴は、セキュリティに関する質問への回答を対象エンティティから受信するステップと、前記回答を前記対象エンティティと対応付けて記憶するステップと、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶するステップと、を備え、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである、情報処理方法である。
【0183】
第13の特徴は、セキュリティに関する質問への回答を対象エンティティから受信するステップと、前記回答を前記対象エンティティと対応付けて記憶するステップと、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、前記セキュリティ対策スコアに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力するステップと、前記セキュリティ対策スコア及び前記セキュリティリスクスコアを前記対象エンティティと対応付けて記憶するステップと、コンピュータに実行させ、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである、プログラムである。
【符号の説明】
【0184】
10…情報処理装置、11…送信部、12…受信部、13…格納部、14…制御部、30…提供サーバ、40…第1端末、50…第2端末、100…情報処理システム、200…ネットワーク
【要約】 (修正有)
【課題】対象エンティティのセキュリティに関するリスクを適切に把握することを可能とする情報処理装置、情報処理方法及びプログラムを提供する。
【解決手段】情報処理装置は、セキュリティに関する質問への回答を対象エンティティから受信する受信部と、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、これに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出する制御部と、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する出力部と、を備え、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである。
【選択図】図2
【解決手段】情報処理装置は、セキュリティに関する質問への回答を対象エンティティから受信する受信部と、前記回答の集計結果に基づいて、前記セキュリティへの対策に関するセキュリティ対策スコアを算出し、これに基づいて、前記セキュリティの残余リスクに関するセキュリティリスクスコアを算出する制御部と、前記セキュリティ対策スコア及び前記セキュリティリスクスコアの少なくともいずれか1つに基づいて特定されるセキュリティスコアを出力する出力部と、を備え、前記セキュリティ対策スコアは、前記セキュリティのリスクが低いほど高くなるスコアであり、前記セキュリティリスクスコアは、前記セキュリティのリスクが高いほど高くなるスコアである。
【選択図】図2
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
