IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > パナソニックオートモーティブシステムズ株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ パナソニックオートモーティブシステムズ株式会社の特許一覧

特許7642143評価支援システム、評価支援方法、およびプログラム
<>
  • 特許-評価支援システム、評価支援方法、およびプログラム 図1
  • 特許-評価支援システム、評価支援方法、およびプログラム 図2
  • 特許-評価支援システム、評価支援方法、およびプログラム 図3
  • 特許-評価支援システム、評価支援方法、およびプログラム 図4
  • 特許-評価支援システム、評価支援方法、およびプログラム 図5
  • 特許-評価支援システム、評価支援方法、およびプログラム 図6
  • 特許-評価支援システム、評価支援方法、およびプログラム 図7
  • 特許-評価支援システム、評価支援方法、およびプログラム 図8
  • 特許-評価支援システム、評価支援方法、およびプログラム 図9
  • 特許-評価支援システム、評価支援方法、およびプログラム 図10
  • 特許-評価支援システム、評価支援方法、およびプログラム 図11
  • 特許-評価支援システム、評価支援方法、およびプログラム 図12
  • 特許-評価支援システム、評価支援方法、およびプログラム 図13
  • 特許-評価支援システム、評価支援方法、およびプログラム 図14
  • 特許-評価支援システム、評価支援方法、およびプログラム 図15
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2025-02-27
(45)【発行日】2025-03-07
(54)【発明の名称】評価支援システム、評価支援方法、およびプログラム
(51)【国際特許分類】
   G06F 21/57 20130101AFI20250228BHJP
【FI】
G06F21/57
【請求項の数】 16
(21)【出願番号】P 2024157078
(22)【出願日】2024-09-11
【審査請求日】2024-09-20
(31)【優先権主張番号】P 2024039465
(32)【優先日】2024-03-13
(33)【優先権主張国・地域又は機関】JP
【早期審査対象出願】
(73)【特許権者】
【識別番号】322003857
【氏名又は名称】パナソニックオートモーティブシステムズ株式会社
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(74)【代理人】
【識別番号】100137235
【弁理士】
【氏名又は名称】寺谷 英作
(74)【代理人】
【識別番号】100131417
【弁理士】
【氏名又は名称】道坂 伸一
(72)【発明者】
【氏名】岡崎 大暉
(72)【発明者】
【氏名】安齋 潤
(72)【発明者】
【氏名】田邉 正人
【審査官】塩澤 如正
(56)【参考文献】
【文献】特開2024-058377(JP,A)
【文献】特許第7403686(JP,B2)
【文献】国際公開第2020/115782(WO,A1)
【文献】特開2019-192101(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/00-21/88
H04L 9/00- 9/40
(57)【特許請求の範囲】
【請求項1】
評価対象機器の評価を支援する評価支援システムであって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行う脅威連結部と、
前記第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行う脆弱性連結部と、
前記第1連携処理および前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力する再定義部と、を備え、
前記再定義部は、
前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脆弱性の識別情報が、前記脆弱性分析情報に存在する場合には、
前記不足評価仕様と、前記不足評価仕様に対応する前記脆弱性の識別情報とを、前記第1連携処理および前記第2連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義する、
評価支援システム。
【請求項2】
前記第1評価仕様情報は、評価項目ごとに、当該評価項目に対応する評価仕様を示し、
前記脅威連結部は、
前記第1評価仕様情報の前記評価項目ごとに、前記脅威分析情報に含まれている、当該評価項目に対応する分析結果として前記脅威への対策を示す情報が、当該評価項目の前記評価仕様に関連付けられるように、前記情報を前記第1評価仕様情報に連結することによって、前記第1連携処理を行う、
請求項1に記載の評価支援システム。
【請求項3】
評価対象機器の評価を支援する評価支援システムであって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行う脅威連結部と、
前記第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行う脆弱性連結部と、
前記第1連携処理および前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力する再定義部と、を備え、
前記第1評価仕様情報は、評価項目ごとに、当該評価項目に対応する評価仕様を示し、
前記脆弱性連結部は、
前記第1評価仕様情報の前記評価項目ごとに、前記脆弱性分析情報に含まれている、当該評価項目に対応する分析結果である前記脆弱性の識別情報が、当該評価項目の前記評価仕様に関連付けられるように、前記識別情報を前記第1評価仕様情報に連結することによって、前記第2連携処理を行う、
価支援システム。
【請求項4】
前記評価支援システムは、さらに、
前記第2評価仕様情報にしたがった評価によって得られる前記評価対象機器の評価結果が示されている前記第2評価仕様情報を、脅威分析部および脆弱性分析部に評価済仕様情報としてフィードバックするフィードバック部を備え、
前記脅威分析部は、前記評価対象機器に対する脅威分析を行うことによって前記脅威分析情報を生成し、
前記脆弱性分析部は、前記評価対象機器に対する脆弱性分析を行うことによって前記脆弱性分析情報を生成する、
請求項1に記載の評価支援システム。
【請求項5】
評価対象機器の評価を支援する評価支援システムであって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行う脅威連結部と、
前記第1連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力する再定義部と、を備え、
前記再定義部は、
前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脅威への対策を示す情報が、前記脅威分析情報に存在する場合には、
前記不足評価仕様と、前記不足評価仕様に対応する前記脅威への対策を示す情報とを、前記第1連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義する、
評価支援システム。
【請求項6】
前記第1評価仕様情報は、評価項目ごとに、当該評価項目に対応する評価仕様を示し、
前記脅威連結部は、
前記第1評価仕様情報の前記評価項目ごとに、前記脅威分析情報に含まれている、当該評価項目に対応する分析結果として前記脅威への対策を示す情報が、当該評価項目の前記評価仕様に関連付けられるように、前記情報を前記第1評価仕様情報に連結することによって、前記第1連携処理を行う、
請求項に記載の評価支援システム。
【請求項7】
前記評価支援システムは、さらに、
前記第2評価仕様情報にしたがった評価によって得られる前記評価対象機器の評価結果が示されている前記第2評価仕様情報を、脅威分析部に評価済仕様情報としてフィードバックするフィードバック部を備え、
前記脅威分析部は、前記評価対象機器に対する脅威分析を行うことによって前記脅威分析情報を生成する、
請求項に記載の評価支援システム。
【請求項8】
評価対象機器の評価を支援する評価支援システムであって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行う脆弱性連結部と、
前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力する再定義部と、を備え、
前記再定義部は、
前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脆弱性の識別情報が、前記脆弱性分析情報に存在する場合には、
前記不足評価仕様と、前記不足評価仕様に対応する前記脆弱性の識別情報とを、前記第2連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義する、
評価支援システム。
【請求項9】
評価対象機器の評価を支援する評価支援システムであって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行う脆弱性連結部と、
前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力する再定義部と、を備え、
前記第1評価仕様情報は、評価項目ごとに、当該評価項目に対応する評価仕様を示し、
前記脆弱性連結部は、
前記第1評価仕様情報の前記評価項目ごとに、前記脆弱性分析情報に含まれている、当該評価項目に対応する分析結果である前記脆弱性の識別情報が、当該評価項目の前記評価仕様に関連付けられるように、前記識別情報を前記第1評価仕様情報に連結することによって、前記第2連携処理を行う、
価支援システム。
【請求項10】
前記評価支援システムは、さらに、
前記第2評価仕様情報にしたがった評価によって得られる前記評価対象機器の評価結果が示されている前記第2評価仕様情報を、脆弱性分析部に評価済仕様情報としてフィードバックするフィードバック部を備え、
前記脆弱性分析部は、前記評価対象機器に対する脆弱性分析を行うことによって前記脆弱性分析情報を生成する、
請求項に記載の評価支援システム。
【請求項11】
コンピュータが評価対象機器の評価を支援する評価支援方法であって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行い、
前記第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行い、
前記第1連携処理および前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力
前記1以上の評価仕様の再定義部では、
前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脆弱性の識別情報が、前記脆弱性分析情報に存在する場合には、
前記不足評価仕様と、前記不足評価仕様に対応する前記脆弱性の識別情報とを、前記第1連携処理および前記第2連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義する、
評価支援方法。
【請求項12】
コンピュータが評価対象機器の評価を支援する評価支援方法であって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行い、
前記第1連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力
前記1以上の評価仕様の再定義では、
前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脅威への対策を示す情報が、前記脅威分析情報に存在する場合には、
前記不足評価仕様と、前記不足評価仕様に対応する前記脅威への対策を示す情報とを、前記第1連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義する、
評価支援方法。
【請求項13】
コンピュータが評価対象機器の評価を支援する評価支援方法であって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行い、
前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力
前記1以上の評価仕様の再定義では、
前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脆弱性の識別情報が、前記脆弱性分析情報に存在する場合には、
前記不足評価仕様と、前記不足評価仕様に対応する前記脆弱性の識別情報とを、前記第2連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義する、
評価支援方法。
【請求項14】
評価対象機器の評価を支援するためのプログラムであって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行い、
前記第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行い、
前記第1連携処理および前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力
前記1以上の評価仕様の再定義では、
前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脆弱性の識別情報が、前記脆弱性分析情報に存在する場合には、
前記不足評価仕様と、前記不足評価仕様に対応する前記脆弱性の識別情報とを、前記第1連携処理および前記第2連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義する、
ことをコンピュータに実行させるプログラム。
【請求項15】
評価対象機器の評価を支援するためのプログラムであって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行い、
前記第1連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力
前記1以上の評価仕様の再定義では、
前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脅威への対策を示す情報が、前記脅威分析情報に存在する場合には、
前記不足評価仕様と、前記不足評価仕様に対応する前記脅威への対策を示す情報とを、前記第1連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義する、
ことをコンピュータに実行させるプログラム。
【請求項16】
評価対象機器の評価を支援するためのプログラムであって、
前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行い、
前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力
前記1以上の評価仕様の再定義では、
前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脆弱性の識別情報が、前記脆弱性分析情報に存在する場合には、
前記不足評価仕様と、前記不足評価仕様に対応する前記脆弱性の識別情報とを、前記第2連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義する、
ことをコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、評価対象機器の評価を支援する評価支援システムなどに関する。
【背景技術】
【0002】
例えば、特許文献1には、評価支援システムとしてリスク評価対策立案システムが開示されている。このリスク評価対策立案システムは、評価対象であるシステムに対する攻撃に関する対策を立案し、セキュリティテストを立案する。なお、セキュリティテストの立案は、評価仕様の定義とも言える。
【先行技術文献】
【特許文献】
【0003】
【文献】国際公開第2020/202934号
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記特許文献1のリスク評価対策立案システムでは、評価対象機器の評価を効果的に支援することができないという課題がある。
【0005】
そこで、本開示は、評価対象機器の評価を効果的に支援することができる評価支援システムなどを提供する。
【課題を解決するための手段】
【0006】
本開示の一態様に係る評価支援システムは、評価対象機器の評価を支援する評価支援システムであって、前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行う脅威連結部と、前記第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行う脆弱性連結部と、前記第1連携処理および前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力する再定義部と、を備える。
【0007】
なお、その包括的または具体的な態様は、装置、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なCD-ROMなどの記録媒体で実現されてもよく、装置、方法、集積回路、コンピュータプログラム、および記録媒体の任意な組み合わせで実現されてもよい。また、記録媒体は、非一時的な記録媒体であってもよい。
【発明の効果】
【0008】
本開示の評価支援システムは、評価対象機器の評価を効果的に支援することができる。
【0009】
なお、本開示の一態様における更なる利点および効果は、明細書および図面から明らかにされる。かかる利点および/または効果は、実施の形態並びに明細書および図面に記載された構成によって提供されるが、必ずしも全ての構成が必要とはされない。
【図面の簡単な説明】
【0010】
図1図1は、実施の形態1における開発システムの構成の一例を示す図である。
図2図2は、実施の形態1における脅威分析部による脅威分析の一部を例示的に説明するための図である。
図3図3は、実施の形態1における脅威分析部によって生成されて出力される脅威分析情報の概略的な一例を示す図である。
図4図4は、実施の形態1における脆弱性分析部によって生成されて出力される脆弱性分析情報の概略的な一例を示す図である。
図5図5は、実施の形態1における評価仕様定義部によって生成されて出力される第1評価仕様情報の概略的な一例を示す図である。
図6図6は、実施の形態1における評価支援システムの処理動作を説明するための図である。
図7図7は、実施の形態1における評価済仕様情報の一例を示す図である。
図8図8は、実施の形態1における脅威分析情報の具体的な一例を示す図である。
図9図9は、実施の形態1における脆弱性分析情報の具体的な一例を示す図である。
図10図10は、実施の形態1における第2評価仕様情報の具体的な一例を示す図である。
図11図11は、実施の形態1における評価済仕様情報の一部の具体的な一例を示す図である。
図12図12は、実施の形態1における開発システムの処理動作の一例を示すシーケンス図である。
図13図13は、実施の形態1における評価支援システムの処理動作の一例を示すフローチャートである。
図14図14は、実施の形態2における開発システムの構成の一例を示す図である。
図15図15は、実施の形態3における開発システムの構成の一例を示す図である。
【発明を実施するための形態】
【0011】
(本開示の基礎となった知見)
本発明者は、「背景技術」の欄において記載した特許文献1のリスク評価対策立案システムに関し、以下の問題が生じることを見いだした。
【0012】
特許文献1のリスク評価対策立案システムでは、製品開発におけるセキュリティへの対応として行われる、脅威分析、脆弱性分析、およびセキュリティテストが連携されていない。したがって、製品となる評価対象機器の評価が適切に行われない可能性があるという課題がある。例えば、必要な評価が行われない可能性がある。
【0013】
そこで、本開示の第1態様に係る評価支援システムは、評価対象機器の評価を支援する評価支援システムであって、前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行う脅威連結部と、前記第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行う脆弱性連結部と、前記第1連携処理および前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力する再定義部と、を備える。
【0014】
これにより、第1連携処理、第2連携処理、および再定義によって、第2評価仕様情報に含まれる1以上の評価仕様は、脅威分析情報と脆弱性分析情報とに連携される。つまり、従来では、評価対象機器のセキュリティの評価と、脅威分析と、脆弱性分析とは、連携されていないが、第1態様では、それらが連携される。その結果、必要な評価の抜けを抑制して評価対象機器の評価を網羅的に行うことができる可能性を高めることができる。つまり、評価対象機器のセキュリティの評価が不完全になってしまう可能性を抑えることができる。そのため、評価対象機器の評価を効果的に支援することができる。
【0015】
また、第2態様に係る評価支援システムでは、前記第1評価仕様情報は、評価項目ごとに、当該評価項目に対応する評価仕様を示し、前記脅威連結部は、前記第1評価仕様情報の前記評価項目ごとに、前記脅威分析情報に含まれている、当該評価項目に対応する分析結果として前記脅威への対策を示す情報が、当該評価項目の前記評価仕様に関連付けられるように、前記情報を前記第1評価仕様情報に連結することによって、前記第1連携処理を行ってもよい。なお、第2態様は第1態様に従属していてもよい。
【0016】
これにより、第1連携処理によって、脅威への対策が評価仕様に関連付けられる。したがって、第1連携処理済みの第1評価仕様情報にしたがった評価では、その対策を参考にすることができ、評価対象機器の評価をより効果的に支援することができる。
【0017】
また、第3態様に係る評価支援システムでは、前記第1評価仕様情報は、評価項目ごとに、当該評価項目に対応する評価仕様を示し、前記脆弱性連結部は、前記第1評価仕様情報の前記評価項目ごとに、前記脆弱性分析情報に含まれている、当該評価項目に対応する分析結果である前記脆弱性の識別情報が、当該評価項目の前記評価仕様に関連付けられるように、前記識別情報を前記第1評価仕様情報に連結することによって、前記第2連携処理を行ってもよい。なお、第3態様は第1態様または第2態様に従属していてもよい。
【0018】
これにより、第2連携処理によって、脆弱性の識別情報が評価仕様に関連付けられる。したがって、第2連携処理済みの第2評価仕様情報にしたがった評価では、その脆弱性を参考にすることができ、評価対象機器の評価をより効果的に支援することができる。
【0019】
また、第4態様に係る評価支援システムでは、前記再定義部は、前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脆弱性の識別情報が、前記脆弱性分析情報に存在する場合には、前記不足評価仕様と、前記不足評価仕様に対応する前記脆弱性の識別情報とを、前記第1連携処理および前記第2連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義してもよい。なお、第4態様は第3態様に従属していてもよい。
【0020】
これにより、再定義によって、第1評価仕様情報が、不足評価仕様と脆弱性の識別情報とを含む第2評価仕様情報に更新される。これにより、必要な評価の抜けを抑制して評価対象機器の評価を網羅的に行うことができる。
【0021】
また、第5態様に係る評価支援システムは、さらに、前記第2評価仕様情報にしたがった評価によって得られる前記評価対象機器の評価結果が示されている前記第2評価仕様情報を、脅威分析部および脆弱性分析部に評価済仕様情報としてフィードバックするフィードバック部を備え、前記脅威分析部は、前記評価対象機器に対する脅威分析を行うことによって前記脅威分析情報を生成し、前記脆弱性分析部は、前記評価対象機器に対する脆弱性分析を行うことによって前記脆弱性分析情報を生成してもよい。なお、第5態様は、第1態様~第4態様のうちの何れか1つに従属していてもよい。
【0022】
これにより、評価済仕様情報が脅威分析部および脆弱性分析部にフィードバックされる。したがって、脅威分析部は、評価仕様に対して良い評価結果が評価済仕様情報に示されていれば、脅威に対する分析結果を保証することができる。例えば、分析結果が脅威への対策であれば、その対策の有効性を保証することができる。一方、脅威分析部は、評価仕様に対して悪い評価結果が評価済仕様情報に示されていれば、脅威分析を改善することができる。例えば、分析結果が脅威への対策であれば、その対策を改善することができる。その結果、対策の立案の精度を高めることができる。また、脆弱性分析部は、評価済仕様情報に示されている評価結果に基づいて、脆弱性分析の精度を高めることができる。つまり、第5態様では、脅威分析および脆弱性分析から評価への一方通行だけでなく、評価結果が脅威分析および脆弱性分析にフィードバックされるため、評価対象機器のリスク管理を効果的に行うことができる。
【0023】
本開示の第6態様に係る評価支援システムは、評価対象機器の評価を支援する評価支援システムであって、前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脅威に対する分析結果を示す脅威分析情報の少なくとも一部を連結する第1連携処理を行う脅威連結部と、前記第1連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力する再定義部と、を備える。
【0024】
これにより、評価対象機器の脅威について、第1態様に係る評価支援システムと同様の作用効果を奏することができる。
【0025】
また、第7態様に係る評価支援システムでは、前記第1評価仕様情報は、評価項目ごとに、当該評価項目に対応する評価仕様を示し、前記脅威連結部は、前記第1評価仕様情報の前記評価項目ごとに、前記脅威分析情報に含まれている、当該評価項目に対応する分析結果として前記脅威への対策を示す情報が、当該評価項目の前記評価仕様に関連付けられるように、前記情報を前記第1評価仕様情報に連結することによって、前記第1連携処理を行ってもよい。なお、第7態様は第6態様に従属していてもよい。
【0026】
これにより、第2態様に係る評価支援システムと同様の作用効果を奏することができる。
【0027】
また、第8態様に係る評価支援システムでは、前記再定義部は、前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脅威への対策を示す情報が、前記脅威分析情報に存在する場合には、前記不足評価仕様と、前記不足評価仕様に対応する前記脅威への対策を示す情報とを、前記第1連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義してもよい。なお、第8態様は第6態様または第7態様に従属していてもよい。
【0028】
これにより、再定義によって、第1評価仕様情報が、不足評価仕様と脅威への対策を示す情報とを含む第2評価仕様情報に更新される。これにより、必要な評価の抜けを抑制して評価対象機器の評価を網羅的に行うことができる。
【0029】
また、第9態様に係る評価支援システムは、さらに、前記第2評価仕様情報にしたがった評価によって得られる前記評価対象機器の評価結果が示されている前記第2評価仕様情報を、脅威分析部に評価済仕様情報としてフィードバックするフィードバック部を備え、前記脅威分析部は、前記評価対象機器に対する脅威分析を行うことによって前記脅威分析情報を生成してもよい。なお、第9態様は第6態様~第8態様のうちの何れか1つに従属していてもよい。
【0030】
これにより、評価対象機器の脅威について、第5態様に係る評価支援システムと同様の作用効果を奏することができる。
【0031】
本開示の第10態様に係る評価支援システムは、評価対象機器の評価を支援する評価支援システムであって、前記評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報に、前記評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報の少なくとも一部を連結する第2連携処理を行う脆弱性連結部と、前記第2連携処理に基づいて、前記第1評価仕様情報に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報を生成して出力する再定義部と、を備える。
【0032】
これにより、評価対象機器の脆弱性について、第1態様に係る評価支援システムと同様の作用効果を奏することができる。
【0033】
また、第11態様に係る評価支援システムでは、前記第1評価仕様情報は、評価項目ごとに、当該評価項目に対応する評価仕様を示し、前記脆弱性連結部は、前記第1評価仕様情報の前記評価項目ごとに、前記脆弱性分析情報に含まれている、当該評価項目に対応する分析結果である前記脆弱性の識別情報が、当該評価項目の前記評価仕様に関連付けられるように、前記識別情報を前記第1評価仕様情報に連結することによって、前記第2連携処理を行ってもよい。なお、第11態様は第10態様に従属していてもよい。
【0034】
これにより、第3態様に係る評価支援システムと同様の作用効果を奏することができる。
【0035】
また、第12態様に係る評価支援システムでは、前記再定義部は、前記第1評価仕様情報に示されていない評価仕様である不足評価仕様に対応する前記脆弱性の識別情報が、前記脆弱性分析情報に存在する場合には、前記不足評価仕様と、前記不足評価仕様に対応する前記脆弱性の識別情報とを、前記第2連携処理が行われた後の前記第1評価仕様情報に追加することによって、前記第1評価仕様情報に示されている1以上の評価仕様を再定義してもよい。なお、第12態様は第10態様または第11態様に従属していてもよい。
【0036】
これにより、第4態様に係る評価支援システムと同様の作用効果を奏することができる。
【0037】
また、第13態様に係る評価支援システムは、さらに、前記第2評価仕様情報にしたがった評価によって得られる前記評価対象機器の評価結果が示されている前記第2評価仕様情報を、脆弱性分析部に評価済仕様情報としてフィードバックするフィードバック部を備え、前記脆弱性分析部は、前記評価対象機器に対する脆弱性分析を行うことによって前記脆弱性分析情報を生成してもよい。なお、第13態様は第10態様~第12態様のうちの何れか1つに従属していてもよい。
【0038】
これにより、評価対象機器の脆弱性について、第5態様に係る評価支援システムと同様の作用効果を奏することができる。
【0039】
以下、実施の形態について、図面を参照しながら具体的に説明する。
【0040】
なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
【0041】
また、各図は、模式図であり、必ずしも厳密に図示されたものではない。また、各図において、同じ構成部材については同じ符号を付している。
【0042】
(実施の形態1)
図1は、本実施の形態における開発システムの構成の一例を示す図である。
【0043】
本実施の形態における開発システム100は、例えば車両に搭載されるECU(Electronic Control Unit)などの評価対象機器(例えば製品)の開発を支援するシステムである。なお、開発システム100は、ISO(International Organization for Standardization)/SAE(Society of Automotive Engineers) 21434の法規に対応するためのシステムであってもよい。この開発システム100は、脅威分析部21、脆弱性分析部22、評価仕様定義部31、評価部32、結果判定部33、判定処理部34、および評価支援システム10を含む。
【0044】
脅威分析部21は、評価対象機器に対する脅威分析を行うことによって脅威分析情報d21を生成する。その脅威分析情報d21は、その評価対象機器における情報セキュリティの脅威に対する分析結果を示す。例えば、脅威分析部21は、その脅威分析によって、脅威への対策を立案し、その対策を示す脅威分析情報d21を生成する。脅威分析部21は、評価対象機器が直面する可能性のある脅威を識別して評価してもよい。その脅威は、悪意のある攻撃者、自然災害など、評価対象機器のセキュリティを妨げる可能性のあるあらゆる要素を含む。
【0045】
脆弱性分析部22は、評価対象機器に対する脆弱性分析を行うことによって脆弱性分析情報d22を生成して出力する。その脆弱性分析情報d22は、評価対象機器における情報セキュリティの脆弱性に対する分析結果を示す。例えば、脆弱性分析部22は、その評価対象機器が各脆弱性を有するか否かを判定することによって、その判定結果を示す脆弱性分析情報d22を生成する。また、脆弱性分析部22は、評価対象機器に存在する脆弱性を特定して評価してもよい。なお、脆弱性は、評価対象機器が攻撃に対して防御できない弱点であるとも言える。また、脆弱性分析部22は、脆弱性の深刻度の特定を脆弱性分析として行ってもよい。その深刻度は、例えばCVSS(Common Vulnerability Scoring System)の値である。
【0046】
評価仕様定義部31は、評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報d31を生成して出力する。例えば、評価仕様定義部31は、評価対象機器のセキュリティ要件1、テストガイドライン2、およびアーキテクチャ仕様3を取得し、それらに基づいて、第1評価仕様情報d31を生成する。第1評価仕様情報d31は、評価項目ごとに、その評価項目に対応する評価仕様を示す。
【0047】
評価部32は、第1評価仕様情報d31に基づいて評価支援システム10によって生成された第2評価仕様情報d13を取得し、その第2評価仕様情報d13にしたがった評価対象機器に対する評価(すなわちテスト)を行う。そして、評価部32は、その評価結果を示す情報を結果情報d32として出力する。その結果情報d32は、例えば、評価項目ごとに、その評価項目に対する評価結果を示す。なお、評価対象機器に対する評価は、セキュリティ状態の評価であって、例えば、ファジングテスト、脆弱性テスト、機能テスト、ペネトレーションテストなどである。評価仕様は、これらの評価を行うための仕様である。
【0048】
結果判定部33は、評価部32から出力される結果情報d32を取得し、その結果情報d32に示されている評価項目ごとの評価結果に対して判定を行うことによって、判定情報d33を生成する。その判定情報d33は、評価項目の評価結果が例えばOKかNGかを示す。なお、NGは、評価結果がOKではないこと、すなわち不可であることを示す。そして、結果判定部33は、その判定情報d33を評価支援システム10および判定処理部34に出力する。
【0049】
判定処理部34は、結果判定部33から出力される判定情報d33を取得し、その判定情報d33に示されているNGの評価項目および評価結果に関するNGレポートを出力する。また、判定処理部34は、NGの評価項目の対策についての改善案を提案してもよい。
【0050】
本実施の形態における評価支援システム10は、評価対象機器の評価を支援する評価支援システムであって、第1評価仕様情報d31に対して再定義などの処理を行うことによって第2評価仕様情報d13を生成する。そして、評価支援システム10は、その第2評価仕様情報d13に上述の判定情報d33が追加されて構成される評価済仕様情報d14を、脅威分析部21および脆弱性分析部22にフィードバックする。
【0051】
このような評価支援システム10は、脅威連結部11、脆弱性連結部12、再定義部13、および評価データベース(評価DBとも表記される)14を備える。
【0052】
脅威連結部11は、脅威分析部21から脅威分析情報d21を取得し、評価仕様定義部31から第1評価仕様情報d31を取得する。そして、脅威連結部11は、脅威分析情報d21を第1評価仕様情報d31に連携させる。つまり、脅威連結部11は、評価対象機器に対する1以上の評価仕様を示す第1評価仕様情報d31に脅威分析情報d21の少なくとも一部を連結する第1連携処理を行う。脅威連結部11は、その第1連携処理の結果を示す脅威連携情報d11を再定義部13に出力する。
【0053】
脆弱性連結部12は、脆弱性分析部22から脆弱性分析情報d22を取得し、評価仕様定義部31から第1評価仕様情報d31を取得する。そして、脆弱性連結部12は、脆弱性分析情報d22を第1評価仕様情報d31に連携させる。つまり、脆弱性連結部12は、第1評価仕様情報d31に脆弱性分析情報d22の少なくとも一部を連結する第2連携処理を行う。脆弱性連結部12は、その第2連携処理の結果を示す脆弱性連携情報d12を再定義部13に出力する。
【0054】
再定義部13は、第1連携処理および第2連携処理に基づいて、第1評価仕様情報d31に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報d13を生成して出力する。つまり、再定義部13は、脅威連結部11から脅威連携情報d11を取得し、脆弱性連結部12から脆弱性連携情報d12を取得し、その脅威連携情報d11および脆弱性連携情報d12に基づいて、第2評価仕様情報d13を生成する。そして、再定義部13は、その第2評価仕様情報d13を評価部32に出力するとともに、評価データベース14に格納する。
【0055】
評価データベース14は、その第2評価仕様情報d13などを格納するための記録媒体である。例えば、評価データベース14は、ハードディスクドライブ、RAM(Random Access Memory)、ROM(Read Only Memory)、または半導体メモリなどである。なお、このような評価データベース14は、揮発性であっても不揮発性であってもよい。
【0056】
また、評価データベース14には、評価済仕様情報d14が格納される。つまり、結果判定部33は、判定情報d33を評価データベース14に格納する。このとき、結果判定部33は、既に評価データベース14に格納されている第2評価仕様情報d13に判定情報d33を追加することによって評価済仕様情報d14を生成する。これにより、その評価済仕様情報d14が評価データベース14に格納される。そして、評価データベース14に格納されている評価済仕様情報d14は、脅威分析部21および脆弱性分析部22にフィードバックされる。つまり、本実施の形態における評価データベース14は、第2評価仕様情報d13にしたがった評価によって得られる評価対象機器の評価結果が示されている第2評価仕様情報d13を、脅威分析部21および脆弱性分析部22に評価済仕様情報d14としてフィードバックするフィードバック部として構成されている。
【0057】
図2は、脅威分析部21による脅威分析の一部を例示的に説明するための図である。
【0058】
脅威分析部21は、図2の(a)に示すように、例えば、評価対象機器40が有する資産A、資産B、および資産Cのそれぞれのリスク値を評価してもよい。資産A、資産B、および資産Cは、評価対象機器40において守られるべきデータまたは機能などである。なお、その機能は例えばプログラムによって実現される。また、評価対象機器40は、例えば車両に搭載されるECUとして構成され、スマホ91およびDiag92などの外部機器と無線または有線を介して通信する。なお、スマホ91は、スマートフォンであり、Diag92は、車両の不備、不具合などを診断する装置、すなわちダイアグノーシスである。このような評価対象機器40は、それぞれ物理構成要素であるBTインターフェース41、USBインターフェース42、CANインターフェース43、Mainマイコン44、およびCANマイコン45を備える。BTインターフェース41は、BT I/Fとも表記され、Bluetooth(登録商標)のためのインターフェースである。USBインターフェース42は、USB I/Fとも表記され、USB(Universal Serial Bus)のためのインターフェースである。CANインターフェース43は、CAN I/Fとも表記され、CAN(Controller Area Network)のためのインターフェースである。Mainマイコン44は、評価対象機器40を制御するマイクロコンピュータである。Mainマイコン44は、上述の資産A、資産B、および資産Cを有する。CANマイコン45は、評価対象機器40のCANに関する制御を行うマイクロコンピュータである。なお、物理構成要素は、ハードウェアの構成要素である。
【0059】
ここで、Mainマイコン44と、BTインターフェース41、USBインターフェース42、およびCANマイコン45のそれぞれとの間には、物理経路がある。また、BTインターフェース41とスマホ91との間にも物理経路がある。また、CANマイコン45とCANインターフェース43との間にも物理経路があり、CANインターフェース43とDiag92との間にも物理経路がある。なお、物理経路は、物理的な接続経路である。
【0060】
また、物理構成要素には、攻撃可能性のレベルが割り当てられている場合がある。例えば、BTインターフェース41には、攻撃可能性のレベルとしてMediumが割り当てられている。また、USBインターフェース42には、攻撃可能性のレベルとしてVery Lowが割り当てられている。
【0061】
また、資産には、その資産への攻撃によって評価対象機器40が受ける影響のレベルが設定されている。例えば、資産Aには、影響のレベルとしてModerateが設定され、資産Bには、影響のレベルとしてSevereが設定され、資産Cには、影響のレベルとしてMajorが設定されている。なお、影響のレベルは、影響度とも呼ばれる。
【0062】
脅威分析部21は、資産A、資産B、および資産Cのそれぞれについて、その資産への攻撃経路を決定する。つまり、脅威分析部21は、資産A、資産B、および資産Cのそれぞれについて、外部機器からその資産に至るまでの1以上の物理構成要素の配列からなる物理経路を決定する。資産への攻撃経路が複数あるときには、脅威分析部21は、それらの複数の攻撃経路から1つの攻撃経路を決定する。なお、攻撃経路は、アタックパスとも呼ばれる。
【0063】
例えば、スマホ91が資産A、資産B、および資産Cに対する攻撃を行う場合、スマホ91は、攻撃可能性のレベル「Medium」が割り当てられているBTインターフェース41を介してMainマイコン44にアクセスする可能性がある。あるいは、スマホ91は、攻撃可能性のレベル「Very Low」が割り当てられているUSBインターフェース42を介してMainマイコン44にアクセスする可能性がある。つまり、資産A、資産B、および資産Cへの攻撃経路には、BTインターフェース41を経由する攻撃経路と、USBインターフェース42を経由する攻撃経路とがある。この場合、脅威分析部21は、最も高い攻撃可能性のレベルが割り当てられている物理構成要素を経由する攻撃経路を決定する。上述の例の場合、最も高い攻撃可能性のレベルは、Mediumである。したがって、脅威分析部21によって決定される攻撃経路は、スマホ91からBTインターフェース41を介してMainマイコン44に至る物理経路を示す。
【0064】
脅威分析部21は、図2の(b)に示すリスクマトリクステーブルを参照しながら、その攻撃可能性のレベル「Medium」と、資産の影響のレベルとを用いて、その資産のリスク値を導出することによって、そのリスク値を評価する。
【0065】
リスクマトリクステーブルは、図2の(b)に示すように、攻撃可能性のレベルと影響のレベルとの組み合わせごとに、その組み合わせに対応するリスク値を示す。攻撃可能性のレベルは、Very Low、Low、Medium、Highによって区別される。
なお、これらのレベルは、低い順に配列されている。また、影響のレベルは、Severe、Major、Moderate、Negligibleによって区別される。なお、これらのレベルは、高い順に配列されている。
【0066】
上述の例では、資産Aの影響のレベルは、Moderateであり、資産Bの影響のレベルは、Severeであり、資産Cの影響のレベルは、Majorである。また、それらの資産への攻撃経路に対する攻撃可能性のレベルは、Mediumである。つまり、攻撃経路、すなわち資産に至る物理経路上において、最も高い攻撃可能性のレベルはMediumである。したがって、脅威分析部21は、リスクマトリクステーブルを参照することによって、資産Aのリスク値として「2」を導出し、資産Bのリスク値として「4」を導出し、資産Cのリスク値として「3」を導出する。これにより、資産A、資産B、および資産Cのそれぞれのリスク値が評価される。なお、影響のレベル、攻撃可能性のレベル、およびリスクマトリクステーブルは、例えばISO21434によって定義されている。
【0067】
図3は、脅威分析部21によって生成されて出力される脅威分析情報d21の概略的な一例を示す図である。
【0068】
脅威分析部21によって生成される脅威分析情報d21は、図3に示すように、例えば、脅威シナリオIDごとに、その脅威シナリオIDと、その脅威シナリオIDによって識別される脅威に対する対策とを関連付けて示す。脅威シナリオIDは、脅威を識別するための情報である。その脅威は、例えば上述の資産Aなどの資産に対する脅威である。具体的な一例では、脅威分析情報d21は、脅威シナリオID「ID-a1」と、その脅威シナリオID「ID-a1」によって識別される脅威に対する対策「A1」とを関連付けて示す。なお、脅威分析情報d21は、その脅威の内容を示していてもよい。脅威の内容には、上述の攻撃経路、影響のレベル、リスク値などが含まれていてもよい。
【0069】
図4は、脆弱性分析部22によって生成されて出力される脆弱性分析情報d22の概略的な一例を示す図である。
【0070】
脆弱性分析部22によって生成される脆弱性分析情報d22は、図4に示すように、例えば、脆弱性IDごとに、その脆弱性IDと、その脆弱性IDによって識別される脆弱性が評価対象機器40に該当するか否かの該非判定結果とを関連付けて示す。脆弱性IDは、脆弱性を識別するための情報(すなわち識別情報)である。該非判定結果は、脆弱性が評価対象機器40にある場合には、「該当」を示し、脆弱性が評価対象機器40にない場合には、「非該当」を示す。つまり、脆弱性判定結果は、脆弱性が評価対象機器40にあるか否かを示す。具体的な一例では、脆弱性分析情報d22は、脆弱性ID「ID-b1」と、その脆弱性ID「ID-b1」によって識別される脆弱性の該非判定結果「該当」とを関連付けて示す。なお、脆弱性分析情報d22は、その脆弱性の内容を示していてもよい。
【0071】
図5は、評価仕様定義部31によって生成されて出力される第1評価仕様情報d31の概略的な一例を示す図である。
【0072】
評価仕様定義部31によって生成される第1評価仕様情報d31は、図5に示すように、例えば、評価IDごとに、その評価IDと、その評価IDによって識別される評価項目に対応する評価仕様とを示す。評価IDは、評価項目を識別するための情報である。具体的な一例では、第1評価仕様情報d31は、評価ID「1」と、その評価ID「1」によって識別される評価項目に対応する評価仕様「C4」とを関連付けて示す。
【0073】
図6は、評価支援システム10の処理動作を説明するための図である。
【0074】
まず、評価支援システム10の脅威連結部11は、第1連携処理を行う。具体的には、第1連携処理では、脅威連結部11は、第1評価仕様情報d31の評価項目ごとに、脅威分析情報d21に含まれている、その評価項目に対応する分析結果として脅威への対策を示す情報が、その評価項目の評価仕様に関連付けられるように、その情報を第1評価仕様情報d31に連結する。
【0075】
このような第1連携処理によって、第1連携処理が行われた後の第1評価仕様情報d31、すなわち、第2評価仕様情報d13では、各評価仕様に対して対策が関連付けて示される。具体的な一例では、評価仕様「C4」に対して対策「A1」が関連付けられ、評価仕様「C6」に対して対策「A6」が関連付けられる。このような、評価仕様に対する対策の関連付けは、各評価仕様と各対策とを予め対応付けて示すテーブルを参照することによって行われてもよく、人の入力操作に応じて行われてもよい。
【0076】
次に、評価支援システム10の脆弱性連結部12は、第2連携処理を行う。具体的には、第2連携処理では、脆弱性連結部12は、第1評価仕様情報d31の評価項目ごとに、脆弱性分析情報d22に含まれている、その評価項目に対応する脆弱性の識別情報が、その評価項目の評価仕様に関連付けられるように、その識別情報を第1評価仕様情報d31に連結する。その脆弱性の識別情報は、脆弱性IDである。
【0077】
具体的には、脆弱性連結部12は、脆弱性分析情報d22のうち、判定結果「該当」に関連付けられている脆弱性IDのみを第1評価仕様情報d31に連結する。このとき、脆弱性連結部12は、脆弱性仕様テーブルを参照する。脆弱性仕様テーブルは、脆弱性IDごとに、その脆弱性IDによって識別される脆弱性を評価するための評価仕様を示す。つまり、脆弱性連結部12は、脆弱性分析情報d22において判定結果「該当」に関連付けられている脆弱性IDを、脆弱性仕様テーブルから検索し、その脆弱性仕様テーブルにおいてその脆弱性IDに関連付けられている評価仕様を特定する。そして、脆弱性連結部12は、その特定された評価仕様を第1評価仕様情報d31から検索し、その検索された評価仕様に上述の脆弱性IDを関連付ける。例えば、脆弱性連結部12は、脆弱性分析情報d22のうち、判定結果「該当」に関連付けられている脆弱性ID「ID-b1」を第1評価仕様情報d31に連結する。このとき、脆弱性連結部12は、脆弱性仕様テーブルから、その脆弱性ID「ID-b1」を検索し、その脆弱性ID「ID-b1」によって識別される脆弱性を評価するための評価仕様「C1」を特定する。そして、脆弱性連結部12は、その特定された評価仕様「C1」を第1評価仕様情報d31から検索し、その検索された評価仕様「C1」に脆弱性ID「ID-b1」を関連付ける。
【0078】
次に、評価支援システム10の再定義部13は、第1評価仕様情報d31に示されている1以上の評価仕様を再定義する。例えば、第1評価仕様情報d31に示されていない評価仕様である不足評価仕様に対応する脆弱性の識別情報(すなわち脆弱性ID)が、脆弱性分析情報d22に存在する場合がある。このような場合、再定義部13は、その不足評価仕様と、その不足評価仕様に対応する脆弱性IDとを、第1連携処理および第2連携処理が行われた後の第1評価仕様情報d31に追加することによって、第1評価仕様情報d31に示されている1以上の評価仕様を再定義する。
【0079】
具体的な一例では、脆弱性分析情報d22には、脆弱性ID「ID-b2」が判定結果「該当」に関連付けて示されている。また、脆弱性仕様テーブルには、その脆弱性ID「ID-b2」に対して評価仕様「C2」が関連付けられている。しかし、その評価仕様「C2」は、図5に示す第1評価仕様情報d31には示されていない。したがって、その評価仕様「C2」は、上述の不足評価仕様である。したがって、再定義部13は、その不足評価仕様である評価仕様「C2」と、その評価仕様「C2」に対応する脆弱性ID「ID-b2」とを、第1評価仕様情報d31に追加する。このとき、再定義部13は、その脆弱性ID「ID-b2」および評価仕様「C2」に新たな評価ID「n+1」を関連付け、さらに、脅威分析情報d21に示されている対策「A2」を評価仕様「C2」に関連付ける。
【0080】
なお、再定義部13は、第1連携処理および第2連携処理が行われた後の第1評価仕様情報d31に示されている評価仕様を、その評価仕様に関連付けられている脅威への対策および脆弱性IDに基づいて変更することによって、上述の再定義を行ってもよい。このような評価仕様の変更は、脅威への対策および脆弱性IDに評価仕様を関連付けて示すテーブルを参照することによって行われてもよい。例えば、評価仕様の変更では、第1評価仕様情報d31において、脅威への対策および脆弱性IDに関連付けて示されている評価仕様が、そのテーブルにおいて、その脅威への対策および脆弱性IDに関連付けて示されている評価仕様に置き換えられてもよい。
【0081】
このような第1連携処理、第2連携処理、および再定義によって、第1評価仕様情報d31が第2評価仕様情報d13に更新される。そして、再定義部13は、その第2評価仕様情報d13を評価データベース14に格納するとともに、評価部32に出力する。評価部32は、その第2評価仕様情報d13にしたがって評価対象機器40の評価を行うことによって、その評価結果を示す結果情報d32を生成して結果判定部33に出力する。結果判定部33は、その結果情報d32を取得し、その結果情報d32に示されている評価結果に対して判定を行うことによって、その判定結果を示す判定情報d33を生成する。そして、結果判定部33は、評価データベース14に格納されている第2評価仕様情報d13にその判定情報d33を結合することによって、評価済仕様情報d14を生成する。
【0082】
図7は、評価済仕様情報d14の一例を示す図である。
【0083】
評価済仕様情報d14は、第2評価仕様情報d13と判定情報d33とを含む。具体的には、評価済仕様情報d14は、第2評価仕様情報d13によって示される評価IDごとに、その評価IDによって識別される評価項目の評価結果に対する判定結果を示す。判定結果は、OK、NG、NT、条件付きOKなどによって示される。評価結果が数値として表現される場合、結果判定部33は、例えば、その数値が閾値以上であれば、その評価結果に対する判定結果としてOKを、評価済仕様情報d14のうちの判定情報d33に書き込む。あるいは、結果判定部33は、評価結果が期待どおりであれば、OKを判定情報d33に書き込む。一方、結果判定部33は、例えば、その数値が閾値未満であれば、その評価結果に対する判定結果としてNGを、評価済仕様情報d14のうちの判定情報d33に書き込む。あるいは、結果判定部33は、評価結果が期待どおりでなければ、NGを判定情報d33に書き込む。なお、NTは、評価が対象外であることを示す。条件付きOKは、所定の条件が満たされていれば評価結果がOKであることを示す。あるいは、条件付きOKは、評価結果がセキュリティ的に問題ではあるが仕様に対する結果としては正しいことを示す。
【0084】
このような評価済仕様情報d14は、評価データベース14に格納され、脅威分析部21および脆弱性分析部22にフィードバックされる。評価済仕様情報d14のフィードバックは、脅威分析部21および脆弱性分析部22が評価データベース14にアクセスして評価済仕様情報d14を取得することによって実現されてもよい。あるいは、評価済仕様情報d14のフィードバックは、評価データベース14に備えられた処理回路が、評価済仕様情報d14を脅威分析部21および脆弱性分析部22に積極的に送信することによって実現されてもよい。
【0085】
図8は、脅威分析情報d21の具体的な一例を示す図である。
【0086】
脅威分析情報d21は、脅威シナリオID、脅威シナリオ、アタックパスID、アタックパス、および設計対策例を示す。図8の例では、脅威シナリオの一例として、第1ユニットのプログラム・データが改ざんされることによって、安全に対してMajorな影響が発生することが、脅威分析情報d21に示されている。そのプログラム・データは、資産の一例であってもよい。アタックパスは、上述の攻撃経路であってもよい。設計対策例は、脅威への対策であって、技術的に要求される対策であるTCRと、ハードウェア的に要求される対策であるHCRと、ソフトウェア的に要求されるSCRとを含む。
【0087】
図9は、脆弱性分析情報d22の具体的な一例を示す図である。
【0088】
脆弱性分析情報d22は、CWE(Common Weakness Enumeration)-ID、カテゴリー、CVE(Common Vulnerabilities and Exposures)-ID、タイトル、説明、および該非判定結果を示す。CWE―IDは、脆弱性のカテゴリーの識別情報である。CVE-IDは、脆弱性の識別情報であって、脆弱性IDに相当する。タイトルは、脆弱性の件名であり、説明は、脆弱性の説明である。
【0089】
図10は、第2評価仕様情報d13の具体的な一例を示す図である。
【0090】
第2評価仕様情報d13は、評価ID、CVE-ID、要件名、テストケース目的、前提条件、確認事項、TCR、SCR、HCR、および操作手順を示す。例えば、要件名、テストケース目的、前提条件、および確認事項によって、評価仕様が構成され、TCR、SCR、およびHCRによって、対策が構成されている。要件名は、評価項目の名称であり、テストケース目的は、評価の目的である。前提条件は、評価の前提とされる条件であり、確認事項は、評価において確認されるべき事項である。操作手順は、評価を行うための手順である。
【0091】
図11は、評価済仕様情報d14の一部の具体的な一例を示す図である。
【0092】
評価済仕様情報d14は、評価仕様、判定結果、および備考を示す。なお、図11の例では、評価仕様を具体的に示すために、評価ID、脆弱性ID、および対策が省かれている。
【0093】
評価仕様は、テストタイプ、要件名、前提条件、確認事項、操作手順、およびクライテリアを含む。なお、評価仕様には、評価の目的が含まれていてもよい。テストタイプは、評価のタイプである。例えば、テストタイプには、ファジングテスト、脆弱性テストなどがある。ファジングテストは、不正なデータの入力に対して未知の脆弱性を見つけるテストである。このファジングテストに含まれる評価項目の数は、例えば、約100である。また、これらの評価項目は、Bluetooth、BLE(Bluetooth Low Energy)、CAN、TCP/IP(Transmission Control Protocol/Internet Protocol)、Dos(Denial of Service attack)攻撃などのカテゴリーに分類されてもよい。脆弱性テストは、ネットワークまたはプラットフォームなどにおける既知の脆弱性を見つけるテストである。この脆弱性テストに含まれる評価項目の数は、例えば、約120である。また、これらの評価項目は、ネットワーク通信解析、車内ネットワーク(例えばCAN)解析、バイナリ解析、アプリケーション解析、プラットフォーム解析などのカテゴリーに分類されてもよい。クリテリアは、例えば、上述の確認事項に相当し、判定処理部34による判定のための条件、基準、閾値などを示す。評価結果がその条件などを満たしていれば、OKの判定結果が評価済仕様情報d14に示される。
【0094】
このような評価済仕様情報d14が、脅威分析部21および脆弱性分析部22にフィードバックされる。脅威分析部21は、そのフィードバックによって評価済仕様情報d14を取得すると、その評価済仕様情報d14に示されている判定結果に基づいて、対策の見直しを行う。例えば、脅威分析部21は、判定結果「NG」に対応する対策の見直しを行う。さらに、脅威分析部21は、判定結果「NG」に対応する複数の脅威のそれぞれに対してリスク値を導出している場合には、その複数の脅威のそれぞれに対する対策の見直しを、それらのリスク値を用いて優先付けしてもよい。つまり、脅威分析部21は、リスク値を用いることによって、複数の対策の見直しに対して優先度を付けること、すなわち複数の対策の見直しの重み付けを行うことができる。例えばインシデントの発生時などには、優先度に応じた分析を行うことができる。一方、脅威分析部21は、判定結果「OK」に対応する対策については、その対策の有効性を保証することができる。また、脆弱性分析部22も、脅威分析部21と同様、フィードバックによって評価済仕様情報d14を取得すると、その評価済仕様情報d14に示されている判定結果に基づいて、脆弱性分析の見直しを行う。例えば、脆弱性分析部22は、脆弱性が評価対象機器40に該当するか否かの該非判定結果の見直しを行ってもよい。あるいは、脆弱性分析部22は、その該非判定結果の有効性を保証してもよい。このように、評価済仕様情報d14に基づいて、分析の効率化を図ることができる。
【0095】
図12は、開発システム100の処理動作の一例を示すシーケンス図である。
【0096】
評価仕様定義部31は、第1評価仕様情報d31を生成して脅威連結部11および脆弱性連結部12に出力する(ステップS1)。脅威分析部21は、脅威分析情報d21を生成して脅威連結部11に出力する(ステップS2)。脆弱性分析部22は、脆弱性分析情報d22を生成して脆弱性連結部12に出力する(ステップS3)。脅威連結部11は、第1評価仕様情報d31および脅威分析情報d21に基づいて、脅威連携情報d11を生成して再定義部13に出力する。さらに、脆弱性連結部12は、第1評価仕様情報d31および脆弱性分析情報d22に基づいて、脆弱性連携情報d12を生成して再定義部13に出力する(ステップS4)。
【0097】
再定義部13は、脅威連携情報d11および脆弱性連携情報d12に基づいて、第2評価仕様情報d13を生成して評価データベース14に出力し(ステップS5)、さらに、その第2評価仕様情報d13を評価部32に出力する(ステップS6)。
【0098】
評価部32は、その第2評価仕様情報d13にしたがって評価対象機器40を評価し、その評価結果を示す結果情報d32を生成して結果判定部33に出力する(ステップS7)。結果判定部33は、結果情報d32に示されている評価結果がOKかNGかなどの判定を、上述のクリテリアなどに基づいて行い、その判定結果を示す判定情報d33を評価データベース14に格納する(ステップS8)。これにより、評価データベース14には、第2評価仕様情報d13と判定情報d33とを含む評価済仕様情報d14が生成されて格納される。
【0099】
このような評価済仕様情報d14は、評価データベース14から脅威分析部21および脆弱性分析部22にフィードバックされる(ステップS9、S10)。
【0100】
図13は、評価支援システム10の処理動作の一例を示すフローチャートである。
【0101】
まず、脅威連結部11および脆弱性連結部12のそれぞれは、評価仕様定義部31から第1評価仕様情報d31を取得する(ステップS21)。そして、脅威連結部11は、脅威分析部21から脅威分析情報d21を取得し(ステップS22)、脆弱性連結部12は、脆弱性分析部22から脆弱性分析情報d22を取得する(ステップS23)。
【0102】
次に、脅威連結部11および脆弱性連結部12は、ループ処理を実行する(ステップS24)。このループ処理では、脅威連結部11は、脅威番号に対応する対策を脅威分析情報d21から見つけて、第1評価仕様情報d31のうちのその対策に対応する評価仕様にその対策を連結する処理、すなわち対策のマッピングを行う(ステップS24a)。脅威番号は、脅威分析情報d21に含まれている各脅威IDに割り当てられている番号である。例えば、脅威分析情報d21に含まれている各脅威IDには、0~h(hは1以上の整数)の範囲で互いに異なる整数が脅威番号として割り当てられている。そして、ステップS24では、脅威連結部11は、その脅威番号についてのマッピング(ステップS24a)を、脅威番号が0からhまでの範囲で、脅威番号をインクリメントしながら繰り返し実行する。
【0103】
同様に、脆弱性連結部12は、そのループ処理では、脆弱性番号に対応する脆弱性IDを脆弱性分析情報d22から見つけて、第1評価仕様情報d31のうちのその脆弱性IDに対応する評価仕様にその脆弱性IDを連結する処理、すなわち脆弱性IDのマッピングを行う(ステップS24a)。なお、第1評価仕様情報d31にその脆弱性IDに対応する評価仕様がなければ、マッピングはスキップされる。脆弱性番号は、脆弱性分析情報d22に含まれている全ての脆弱性IDのうち、該非判定結果「該当」に関連付けられている各脆弱性IDに割り当てられている番号である。例えば、脆弱性分析情報d22に含まれている各脆弱性IDには、0~k(kは1以上の整数)の範囲で互いに異なる整数が脆弱性番号として割り当てられている。そして、ステップS24では、脆弱性連結部12は、その脆弱性番号についてのマッピング(ステップS24a)を、脆弱性番号が0からkまでの範囲で、脆弱性番号をインクリメントしながら繰り返し実行する。
【0104】
次に、再定義部13は、ステップS24のループ処理が行われた後の第1評価仕様情報d31に含まれる1以上の評価仕様に対する再定義を行うことによって、第2評価仕様情報d13を生成して出力する(ステップS25)。つまり、再定義部13は、マッピングがスキップされた脆弱性IDと、その脆弱性IDに対応する評価仕様(すなわち不足評価仕様)とを、ループ処理済みの第1評価仕様情報d31に追加することによって、第2評価仕様情報d13を生成する。この第2評価仕様情報d13は、評価部32に出力されて、評価対象機器40の評価に用いられ、さらに、評価データベース14に格納される。そして、評価対象機器40の評価結果は、結果判定部33によって判定される。これにより、その判定結果を示す判定情報d33は、結果判定部33によって評価データベース14に格納される。
【0105】
結果判定部33による判定情報d33の格納によって、評価データベース14には、判定情報d33が反映された第2評価仕様情報d13が、評価済仕様情報d14として格納される(ステップS26)。そして、評価データベース14(すなわちフィードバック部)は、その評価済仕様情報d14を脅威分析部21にフィードバックし(ステップS27)、さらに、その評価済仕様情報d14を脆弱性分析部22にフィードバックする(ステップS28)。
【0106】
以上のように、本実施の形態における評価支援システム10では、第1連携処理、第2連携処理、および再定義によって、第2評価仕様情報d13に含まれる1以上の評価仕様は、脅威分析情報d21と脆弱性分析情報d22とに連携される。つまり、従来では、評価対象機器40のセキュリティの評価と、脅威分析と、脆弱性分析とは、連携されていないが、本実施の形態では、それらが連携される。その結果、必要な評価の抜けを抑制して評価対象機器40の評価を網羅的に行うことができる可能性を高めることができる。つまり、評価対象機器40のセキュリティの評価が不完全になってしまう可能性を抑えることができる。そのため、評価対象機器40の評価を効果的に支援することができる。
【0107】
また、本実施の形態では、第1連携処理によって、脅威への対策が評価仕様に関連付けられる。したがって、第1連携処理済みの第1評価仕様情報d31にしたがった評価では、その対策を参考にすることができ、評価対象機器40の評価をより効果的に支援することができる。
【0108】
また、本実施の形態では、第2連携処理によって、脆弱性の識別情報が評価仕様に関連付けられる。したがって、第2連携処理済みの第2評価仕様情報d13にしたがった評価では、その脆弱性を参考にすることができ、評価対象機器40の評価をより効果的に支援することができる。
【0109】
また、本実施の形態では、再定義によって、第1評価仕様情報d31が、不足評価仕様と脆弱性の識別情報とを含む第2評価仕様情報d13に更新される。これにより、必要な評価の抜けを抑制して評価対象機器40の評価を網羅的に行うことができる。
【0110】
また、本実施の形態では、評価済仕様情報d14が脅威分析部21および脆弱性分析部22にフィードバックされる。したがって、脅威分析部21は、評価仕様に対して良い評価結果(例えばOK)が評価済仕様情報d14に示されていれば、脅威に対する分析結果を保証することができる。例えば、分析結果が脅威への対策であれば、その対策の有効性を保証することができる。一方、脅威分析部21は、評価仕様に対して悪い評価結果(例えばNG)が評価済仕様情報d14に示されていれば、脅威分析を改善することができる。例えば、分析結果が脅威への対策であれば、その対策を改善することができる。その結果、対策の立案の精度を高めることができる。また、脆弱性分析部22は、評価済仕様情報d14に示されている評価結果に基づいて、脆弱性分析の精度を高めることができる。つまり、本実施の形態では、脅威分析および脆弱性分析から評価への一方通行だけでなく、評価結果が脅威分析および脆弱性分析にフィードバックされるため、評価対象機器40のリスク管理を効果的に行うことができる。
【0111】
(実施の形態2)
実施の形態2と実施の形態1との違いは、脅威分析情報d21および脆弱性分析情報d22のうち、脅威分析情報d21のみを扱うことである。以下、実施の形態2のうち、実施の形態1との違いのみを説明する。
【0112】
図14は、実施の形態2における開発システム100の構成の一例を示す図である。
【0113】
実施の形態2の開発システム100は、脅威分析部21、評価仕様定義部31、評価部32、結果判定部33、判定処理部34、および評価支援システム10を備えている。
【0114】
脅威分析部21,評価仕様定義部31、評価部32、結果判定部33,判定処理部34は実施の形態1との差分はない。
【0115】
評価支援システム10は、脅威連結部11、再定義部13、および評価データベース(評価DBとも表記される)14を備える。脅威連結部11は実施の形態1との差分はない。
【0116】
再定義部13は、第1連携処理に基づいて、第1評価仕様情報d31に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報d13を生成して出力する。つまり、再定義部13は、脅威連結部11から脅威連携情報d11を取得し、その脅威連携情報d11に基づいて、第2評価仕様情報d13を生成する。そして、再定義部13は、その第2評価仕様情報d13を評価部32に出力するとともに、評価データベース14に格納する。なお、再定義部13は、第1連携処理が行われた後の第1評価仕様情報d31に示されている評価仕様を、その評価仕様に関連付けられている脅威への対策に基づいて変更することによって、上述の再定義を行ってもよい。このような評価仕様の変更は、脅威への対策に評価仕様を関連付けて示すテーブルを参照することによって行われてもよい。例えば、評価仕様の変更では、第1評価仕様情報d31において、脅威への対策に関連付けて示されている評価仕様が、そのテーブルにおいて、その脅威への対策に関連付けて示されている評価仕様に置き換えられてもよい。
【0117】
また、評価支援システム10の再定義部13は、第1評価仕様情報d31に示されている1以上の評価仕様を再定義する。例えば、第1評価仕様情報d31に示されていない評価仕様である不足評価仕様に対応する脅威への対策を示す情報(すなわち脅威ID)が、脅威分析情報d21に存在する場合がある。このような場合、再定義部13は、その不足評価仕様と、その不足評価仕様に対応する脅威IDとを、第1連携処理が行われた後の第1評価仕様情報d31に追加することによって、第1評価仕様情報d31に示されている1以上の評価仕様を再定義する。
【0118】
評価データベース14には、評価済仕様情報d14が格納される。評価データベース14に格納されている評価済仕様情報d14は、脅威分析部21にフィードバックされる。つまり、本実施の形態における評価データベース14は、第2評価仕様情報d13にしたがった評価によって得られる評価対象機器の評価結果が示されている第2評価仕様情報d13を、脅威分析部21に評価済仕様情報d14としてフィードバックするフィードバック部として構成されている。
【0119】
図12は、開発システム100の処理動作の一例を示すシーケンス図である。
【0120】
評価仕様定義部31は、第1評価仕様情報d31を生成して脅威連結部11に出力する(ステップS1)。脅威分析部21は、脅威分析情報d21を生成して脅威連結部11に出力する(ステップS2)。脅威連結部11は、第1評価仕様情報d31および脅威分析情報d21に基づいて、脅威連携情報d11を生成して再定義部13に出力する(ステップS4)。
【0121】
再定義部13は、脅威連携情報d11に基づいて、第2評価仕様情報d13を生成して評価データベース14に出力し(ステップS5)、さらに、その第2評価仕様情報d13を評価部32に出力する(ステップS6)。
【0122】
再定義部13および結果判定部33は実施の形態1との差分はない。
【0123】
評価データベース14内に生成された評価済仕様情報d14は、評価データベース14から脅威分析部21にフィードバックされる(ステップS10)。
【0124】
図13は、評価支援システム10の処理動作の一例を示すフローチャートである。
【0125】
まず、脅威連結部11は、評価仕様定義部31から第1評価仕様情報d31を取得する(ステップS21)。そして、脅威連結部11は、脅威分析部21から脅威分析情報d21を取得する(ステップS22)。
【0126】
脅威連結部11、再定義部13および結果判定部33は実施の形態1との差分はない。
【0127】
結果判定部33による判定情報d33の格納によって、評価データベース14には、判定情報d33が反映された第2評価仕様情報d13が、評価済仕様情報d14として格納される(ステップS26)。そして、評価データベース14(すなわちフィードバック部)は、その評価済仕様情報d14を脅威分析部21にフィードバックする(ステップS27)。
【0128】
実施の形態2における評価支援システム10では、第1連携処理、および再定義によって、第2評価仕様情報d13に含まれる1以上の評価仕様は、脅威分析情報d21に連携される。つまり、従来では、評価対象機器40のセキュリティの評価と、脅威分析は、連携されていないが、本実施の形態では、それらが連携される。その結果、必要な評価の抜けを抑制して評価対象機器40の評価を網羅的に行うことができる可能性を高めることができる。つまり、評価対象機器40のセキュリティの評価が不完全になってしまう可能性を抑えることができる。そのため、評価対象機器40の評価を効果的に支援することができる。
【0129】
(実施の形態3)
実施の形態3と実施の形態1との違いは、脅威分析情報d21および脆弱性分析情報d22のうち、脆弱性分析情報d22のみを扱うことである。以下、実施の形態3のうち、実施の形態1との違いのみを説明する。
【0130】
図15は、実施の形態3における開発システム100の構成の一例を示す図である。
【0131】
実施の形態3の開発システム100は、脆弱性分析部22、評価仕様定義部31、評価部32、結果判定部33、判定処理部34、および評価支援システム10を備えている。
【0132】
脆弱性分析部22,評価仕様定義部31、評価部32、結果判定部33,判定処理部34は実施の形態1との差分はない。
【0133】
評価支援システム10は、脆弱性連結部12、再定義部13、および評価データベース(評価DBとも表記される)14を備える。
【0134】
脆弱性連結部12は実施の形態1との差分はない。
【0135】
再定義部13は、第2連携処理に基づいて、第1評価仕様情報d31に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報d13を生成して出力する。つまり、再定義部13は、脆弱性連結部12から脆弱性連携情報d12を取得し、その脆弱性連携情報d12に基づいて、第2評価仕様情報d13を生成する。そして、再定義部13は、その第2評価仕様情報d13を評価部32に出力するとともに、評価データベース14に格納する。なお、再定義部13は、第2連携処理が行われた後の第1評価仕様情報d31に示されている評価仕様を、その評価仕様に関連付けられている脆弱性IDに基づいて変更することによって、上述の再定義を行ってもよい。このような評価仕様の変更は、脆弱性IDに評価仕様を関連付けて示すテーブルを参照することによって行われてもよい。例えば、評価仕様の変更では、第1評価仕様情報d31において、脆弱性IDに関連付けて示されている評価仕様が、そのテーブルにおいて、その脆弱性IDに関連付けて示されている評価仕様に置き換えられてもよい。
【0136】
評価データベース14には、評価済仕様情報d14が格納される。評価データベース14に格納されている評価済仕様情報d14は、脆弱性分析部22にフィードバックされる。つまり、本実施の形態における評価データベース14は、第2評価仕様情報d13にしたがった評価によって得られる評価対象機器の評価結果が示されている第2評価仕様情報d13を、脆弱性分析部22に評価済仕様情報d14としてフィードバックするフィードバック部として構成されている。
【0137】
図12は、開発システム100の処理動作の一例を示すシーケンス図である。
【0138】
評価仕様定義部31は、第1評価仕様情報d31を生成して脆弱性連結部12に出力する(ステップS1)。脆弱性分析部22は、脆弱性分析情報d22を生成して脆弱性連結部12に出力する(ステップS3)。脆弱性連結部12は、第1評価仕様情報d31および脆弱性分析情報d22に基づいて、脆弱性連携情報d12を生成して再定義部13に出力する(ステップS4)。
【0139】
再定義部13は、脆弱性連携情報d12に基づいて、第2評価仕様情報d13を生成して評価データベース14に出力し(ステップS5)、さらに、その第2評価仕様情報d13を評価部32に出力する(ステップS6)。
【0140】
再定義部13および結果判定部33は実施の形態1との差分はない。
【0141】
評価データベース14内に生成された評価済仕様情報d14は、評価データベース14から脆弱性分析部22にフィードバックされる(ステップS9)。
【0142】
図13は、評価支援システム10の処理動作の一例を示すフローチャートである。
【0143】
まず、脆弱性連結部12は、評価仕様定義部31から第1評価仕様情報d31を取得する(ステップS21)。そして、脆弱性連結部12は、脆弱性分析部22から脆弱性分析情報d22を取得する(ステップS23)。
【0144】
脆弱性連結部12、再定義部13および結果判定部33は実施の形態1との差分はない。
【0145】
結果判定部33による判定情報d33の格納によって、評価データベース14には、判定情報d33が反映された第2評価仕様情報d13が、評価済仕様情報d14として格納される(ステップS26)。そして、評価データベース14(すなわちフィードバック部)は、その評価済仕様情報d14を脆弱性分析部22にフィードバックする(ステップS28)。
【0146】
実施の形態3における評価支援システム10では、第2連携処理、および再定義によって、第2評価仕様情報d13に含まれる1以上の評価仕様は、脆弱性分析情報d22に連携される。つまり、従来では、評価対象機器40のセキュリティの評価と、脆弱性分析は、連携されていないが、本実施の形態では、それらが連携される。その結果、必要な評価の抜けを抑制して評価対象機器40の評価を網羅的に行うことができる可能性を高めることができる。つまり、評価対象機器40のセキュリティの評価が不完全になってしまう可能性を抑えることができる。そのため、評価対象機器40の評価を効果的に支援することができる。
【0147】
以上、本開示の1つまたは複数の態様に係る評価支援システム10および評価支援方法について、各実施の形態に基づいて説明したが、本開示は、それらの実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を上記各実施の形態に施したものも本開示に含まれてもよい。
【0148】
例えば、上記各実施の形態では、評価対象機器40はECUであるが、情報処理を行う機器であれば他の機器であってもよい。
【0149】
また、上記各実施の形態では、評価データベース14には評価済仕様情報d14が格納されて、その評価済仕様情報d14がフィードバックされる。ここで、さらに、その評価済仕様情報d14に含まれる判定結果(具体的にはNG)の評価項目に対する新たな対策案が、評価データベース14に格納されてフィードバックされてもよい。その新たな対策案は、人による入力操作によって格納されてもよい。
【0150】
また、評価済仕様情報d14などは、脅威分析部21および脆弱性分析部22だけではなく、他の構成要素にもフィードバックされてもよい。他の構成要素は、セキュリティ実行部であっても、CS(Cyber Security)法規対応部などであってもよい。セキュリティ実行部は、自動車開発V字プロセスにおける最下部で行われる処理であって、評価対象機器40のソフトウェアプログラムのコーディングなどを行う。
【0151】
また、上記各実施の形態では、評価支援システム10は、評価部32および結果判定部33を備えていないが、これらの構成要素を備えていてもよい。
【0152】
また、上記各実施の形態において、評価支援システム10に含まれる各構成要素は、その構成要素に対応する処理を、人による入力操作に応じて行ってもよく、その入力操作を受け付けずに自動的に行ってもよい。また、開発システム100に含まれる各構成要素も、上述と同様、その構成要素に対応する処理を、人による入力操作に応じて行ってもよく、その入力操作を受け付けずに自動的に行ってもよい。また、自動的に行われる処理には、入力と出力との相関関係を示す機械学習モデルなどが用いられてもよい。
【0153】
なお、上記各実施の形態において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPU(Central Processing Unit)またはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記各実施の形態の評価支援システムなどを実現するソフトウェアは、図13に示すフローチャートの各ステップをコンピュータに実行させるコンピュータプログラムである。
【0154】
なお、以下のような場合も本開示に含まれる。
【0155】
(1)上記の少なくとも1つのシステムまたは装置は、具体的には、マイクロプロセッサ、ROM、RAM、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。そのRAMまたはハードディスクユニットには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、上記の少なくとも1つの装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。
【0156】
(2)上記の少なくとも1つのシステムまたは装置を構成する構成要素の一部または全部は、1個のシステムLSI(Large Scale Integration:大規模集積回路)から構成されているとしてもよい。システムLSIは、複数の構成部を1個のチップ上に集積して製造された超多機能LSIであり、具体的には、マイクロプロセッサ、ROM、RAMなどを含んで構成されるコンピュータシステムである。RAMには、コンピュータプログラムが記憶されている。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、システムLSIは、その機能を達成する。
【0157】
(3)上記の少なくとも1つのシステムまたは装置を構成する構成要素の一部または全部は、その装置に脱着可能なICカードまたは単体のモジュールから構成されているとしてもよい。ICカードまたはモジュールは、マイクロプロセッサ、ROM、RAMなどから構成されるコンピュータシステムである。ICカードまたはモジュールは、上記の超多機能LSIを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、ICカードまたはモジュールは、その機能を達成する。このICカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。
【0158】
(4)本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、コンピュータプログラムからなるデジタル信号であるとしてもよい。
【0159】
また、本開示は、コンピュータプログラムまたはデジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、CD(Compact Disc)-ROM、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(登録商標) Disc)、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されているデジタル信号であるとしてもよい。
【0160】
また、本開示は、コンピュータプログラムまたはデジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。
【0161】
また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、またはプログラムまたはデジタル信号をネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。
【産業上の利用可能性】
【0162】
本開示の評価支援システムは、例えば車両などに組み込まれるECUなどの評価を支援する装置またはシステムなどに適用することができる。
【符号の説明】
【0163】
1 セキュリティ要件
2 テストガイドライン
3 アーキテクチャ仕様
10 評価支援システム
11 脅威連結部
12 脆弱性連結部
13 再定義部
14 評価データベース(フィードバック部)
21 脅威分析部
22 脆弱性分析部
31 評価仕様定義部
32 評価部
33 結果判定部
34 判定処理部
40 評価対象機器
41 BTインターフェース
42 USBインターフェース
43 CANインターフェース
44 Mainマイコン
45 CANマイコン
91 スマホ
92 Diag
100 開発システム
d11 脅威連携情報
d12 脆弱性連携情報
d13 第2評価仕様情報
d14 評価済仕様情報
d21 脅威分析情報
d22 脆弱性分析情報
d31 第1評価仕様情報
d32 結果情報
d33 判定情報
【要約】
【課題】評価対象機器の評価を効果的に支援することができ評価支援システムを提供する。
【解決手段】評価支援システム10は、評価対象機器40に対する1以上の評価仕様を示す第1評価仕様情報d31に、評価対象機器40における情報セキュリティの脅威に対する分析結果を示す脅威分析情報d21の少なくとも一部を連結する第1連携処理を行う脅威連結部11と、第1評価仕様情報d31に、評価対象機器40における情報セキュリティの脆弱性に対する分析結果を示す脆弱性分析情報d22の少なくとも一部を連結する第2連携処理を行う脆弱性連結部12と、第1連携処理および第2連携処理に基づいて、第1評価仕様情報d31に示されている1以上の評価仕様を再定義することによって、第2評価仕様情報d13を生成して出力する再定義部13と、を備える。
【選択図】図1
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.