安全性对策功能评估程序的制作方法

专利名称：安全性对策功能评估程序的制作方法
技术领域：
本发明涉及用于评估安全性对策功能的安全性对策功能评估程序，例如，涉及能不依赖于评估者的熟练度地对安全性对策功能进行评估的安全性对策功能评估程序。
背景技术：
在信息处理设备中存在各种用途或种类的OS (Operating System 操作系统)，增加了保存的信息或功能。对于这样的信息处理设备，能够开发并安装从简单、单一的安全性对策功能到多个与广泛的威胁对应的安全性对策功能的各种安全性对策功能。这些安全性对策功能，在开发者或供应商所作出的功能自身或效果的表述中存在不同，难以对效果进行客观评价来相互比较。因此，以能否对粗略把握了威胁或安全性问题的特征的项目进行应对的观点来评估安全性对策功能。在该评估中，如果能用同种的安全性对策功能分别应对，则认为互相具有相同的效果。另外，作为与本申请的发明相关联的现有技术文献信息，有如下技术文献信息。现有技术文献专利文献专利文献1 日本特开2005-25523号公报

发明内容
发明要解决的课题但是，如前所述，以上的安全性对策功能的评估方法处于难以客观地评价安全性对策功能的效果来进行比较的状况。例如，难以评价所安装的安全性对策功能实际上是否具有抑制用户所假想的威胁的效果、或是否比其他同类安全性对策功能具有更高的效果。 因此，根据评估者的熟练程度来客观地评价实际效果或这些比较。这是因为不存在用于不依赖于评估者的熟练度地对安全性对策功能的效果进行评估的方法或基准。本发明的目的在于提供一种安全性对策功能评估程序，其能够不依赖于评估者的熟练度地评估安全性对策功能的效果。用于解决课题的手段本发明的一个方面是一种在安全性对策功能评估装置中使用的、存储在计算机可读取的存储介质中的安全性对策功能评估程序，所述安全性对策功能评估装置能够对存储装置即数据库部进行读出/写入，用于评估安装在信息处理设备中的安全性对策功能，所述安全性对策功能评估程序具备第1程序代码，其用于使所述安全性对策功能评估装置执行如下处理将安全性保护对象资产信息和多个安全性状态信息写入所述数据库部，该安全性保护对象资产信息是对信息处理设备的物理主体、信息处理设备的功能以及保存在信息处理设备中的数据进行个别表示的信息，该多个安全性状态信息由与所述各安全性保护对象资产信息个别地关联的安全性状态ID以及状态信息构成；第2程序代码，其用于使所述安全性对策功能评估装置执行如下处理将包含威胁信息的文档数据写入所述数据库部，该威胁信息包含作为安全性状态从安全的状态迁移到危险的状态或发生损害状态的原因的威胁的实施者以及执行条件的信息；第3程序代码，其用于使所述安全性对策功能评估装置执行如下处理将充分条件评估参数和对策功能评估参数写入所述数据库部，该充分条件评估参数与执行任意的对策方针的充分条件相关，包含功能的有无、时间、效果、通知范围、动作时刻、以及对于起动的依存度的每个项目的选择项以及分数，该对策功能评估参数与任意的安全性对策功能相关，包含功能的有无、时间、效果、通知范围、动作时刻、以及对于起动的依存度的每个项目的选择项以及分数；第4程序代码，其用于使所述安全性对策功能评估装置执行如下处理将包含对策方针区域、选择区域和分数区域的充分条件表雏形信息写入所述数据库部，该对策方针区域是输入用于对在威胁的实施者以及执行条件的信息中记载的执行条件进行抑制的对策方针信息的区域，该选择区域是与该对策方针信息的执行以及用于执行的功能名相关，将功能的有无、时间、效果、通知范围以及对于起动的依存度的每个项目的选择项与所述充分条件评估参数相关联地列举出来的区域，该分数区域是根据所述充分条件评估参数，记载与在所述选择区域中选择的选择项相对应的分数的区域；第5程序代码，其用于使所述安全性对策功能评估装置执行如下处理将包含对策名区域、选择区域以及分数区域的对策雏形信息写入所述数据库部，该对策名区域是用于输入确定所述安全性对策功能的产品的对策名的区域，该选择区域是与由该对策名确定的产品的安全性对策功能的执行以及用于执行的功能名相关，将功能的有无、时间、效果、 通知范围、以及对于起动的依存度的每个项目的选择项与所述对策功能评估参数相关联地列举出来的区域，该分数区域是根据所述对策功能评估参数，记载与在所述选择区域中选择的选择项相对应的分数的区域；第6程序代码，其用于使所述安全性对策功能评估装置执行如下处理在接受包含安全性保护对象资产的指定的安全性保护对象资产的选择命令的输入时，基于该选择命令，选择所述数据库部内的安全性保护对象资产信息；第7程序代码，其用于使所述安全性对策功能评估装置执行如下处理显示所述选择的安全性保护对象资产信息；第8程序代码，其用于使所述安全性对策功能评估装置执行如下处理在所述安全性保护对象资产信息的显示中，当接受安全性状态ID的输入时，根据该安全性状态ID，从所述数据库部提取出与该显示中的安全性保护对象资产信息关联的安全性状态信息；第9程序代码，其用于使所述安全性对策功能评估装置执行如下处理显示所提取出的安全性状态信息的安全性状态ID ；第10程序代码，其用于使所述安全性对策功能评估装置执行如下处理针对显示中的每个安全性状态ID，在接受与安全、危险或发生损害的组相关的指定的输入时，基于该指定，将各安全性状态ID分类到安全、危险或发生损害的某一个组；第11程序代码，其用于使所述安全性对策功能评估装置执行如下处理将与分类后的组相对应的形式的外框信息附加给显示中的安全性状态ID并进行显示；第12程序代码，其用于使所述安全性对策功能评估装置执行如下处理在接受显示中的外框信息的指定的输入时，基于该指定，通过从与所述安全的组相对应的形式的外框信息朝向与所述危险或发生损害的组相对应的外框信息的箭头的形式，在该外框信息之间描绘第1迁移路径信息；第13程序代码，其用于使所述安全性对策功能评估装置执行如下处理在接受显示中的外框信息的指定的输入时，基于该指定，通过从与所述危险的组相对应的的外框信息朝向与所述发生损害的组相对应的外框信息的箭头的形式，在该外框信息之间描绘第2迁移路径信息；第14程序代码，其用于使所述安全性对策功能评估装置执行如下处理在接受显示中的第1或第2迁移路径信息和所述威胁信息的指定的输入时，基于该指定，将该第1或第2迁移路径信息与该威胁信息关联起来；第15程序代码，其用于使所述安全性对策功能评估装置执行如下处理通过删除未与所述威胁信息关联的第1或第2迁移路径信息，生成由相互关联的多个安全性状态信息、外框信息、第1迁移路径信息、第2迁移路径信息以及威胁信息构成的威胁发生模型信息；第16程序代码，其用于使所述安全性对策功能评估装置执行如下处理基于所述威胁发生模型信息，生成将迁移源的安全性状态信息、 迁移目的地的安全性状态信息以及威胁信息相互关联的威胁分析过程中数据并进行显示； 第17程序代码，其用于使所述安全性对策功能评估装置执行如下处理在所述威胁分析过程中数据的显示中，当接受该威胁分析过程中数据内的威胁信息中的威胁的实施者以及执行条件的指定的输入时，基于该指定，从该威胁信息中提取出威胁的实施者以及执行条件的信息；第18程序代码，其用于使所述安全性对策功能评估装置执行如下处理生成将所述威胁分析过程中数据内的迁移源的安全性状态信息、迁移目的地的安全性状态信息、以及所述提取出的威胁的实施者以及执行条件的信息相互关联的威胁分析结果数据；第19 程序代码，其用于使所述安全性对策功能评估装置执行如下处理当接受用于对在所述威胁分析结果数据内的威胁的实施者以及执行条件的信息中记载的执行条件进行抑制的对策方针信息的输入时，将该对策方针信息写入所述充分条件表雏形信息的对策方针区域； 第20程序代码，其用于使所述安全性对策功能评估装置执行如下处理关于写入所述对策方针区域的对策方针信息的执行以及用于执行的功能名，在所述选择区域内的某一个选择项被指定时，在该选择区域内选择该被指定的选择项；第21程序代码，其用于使所述安全性对策功能评估装置执行如下处理基于所述充分条件评估参数，将与所述选择区域内所选择的选择项对应的分数记载在所述分数区域；第22程序代码，其用于使所述安全性对策功能评估装置执行如下处理将充分条件表信息写入所述数据库部，该充分条件表信息包含输入了所述对策方针信息的对策方针区域、选择了所述选择项的选择区域、以及记载了所述分数的分数区域；第23程序代码，其用于使所述安全性对策功能评估装置执行如下处理在接受所述对策名的输入时，将该对策名写入所述对策雏形信息内的对策名区域；第 24程序代码，其用于使所述安全性对策功能评估装置执行如下处理关于写入所述对策名区域的对策名的执行以及用于执行的功能名，在所述对策雏形信息的选择区域内的某一个选择项被指定时，在该选择区域内选择该被指定的选择项；第25程序代码，其用于使所述安全性对策功能评估装置执行如下处理基于所述对策功能评估参数，将与所述对策雏形信息的选择区域内所选择的选择项对应的分数记载在该对策雏形信息的分数区域；第26 程序代码，其用于使所述安全性对策功能评估装置执行如下处理将基于所述对策雏形信息而生成的、包含输入了所述对策名的对策名区域、选择了所述选择项的选择区域、以及记载了所述分数的分数区域的对策信息写入所述数据库部；第27程序代码，其用于使所述安全性对策功能评估装置执行如下处理关于所述对策信息内以及所述充分条件表信息内的互相相同的项目中的分数区域，计算从该对策信息的分数区域的分数中减去该充分条件表信息的分数区域的分数而得的差；第28程序代码，其用于使所述安全性对策功能评估装置执行如下评估结果分数记入处理若所述差是0以上的值则将评估结果设为正值的分数， 若差是负值则将评估结果设为0值的分数，针对所述对策信息内及所述充分条件表信息内的互相相同的每个项目，记入评估结果的分数；第四程序代码，其用于使所述安全性对策功能评估装置执行如下处理针对所述各对策方针信息的每个功能，计算评估结果的分数的平均值；第30程序代码，其用于使所述安全性对策功能评估装置执行如下处理针对每个所述对策方针信息，对全部平均值进行累计来计算评估分数；第31程序代码，其用于使所述安全性对策功能评估装置执行如下处理关于在所述信息处理设备中实施安全性对策功能之前的情形，基于所述威胁分析结果数据，将相同的迁移源的安全性状态信息的个数设为分母的值，将共享该迁移源的相同的迁移目的地的安全性状态信息的个数设为分子的值，通过将该分子的值除以该分母的值，计算对策前迁移概率；第32程序代码，其用于使所述安全性对策功能评估装置执行如下处理关于在所述信息处理设备中实施安全性对策功能之后的情形，从在所述对策前迁移概率的计算中所使用的分子的值减去所述评估分数来修正该分子的值，通过将该修正后的分子的值除以所述分母的值，计算对策后迁移概率；以及第33程序代码，其用于使所述安全性对策功能评估装置执行如下处理显示所述对策前迁移概率和所述对策后迁移概率。根据本发明的一个方面，评估表示安全性对策功能的细节的对策信息的各项目是否满足充分条件表信息的各项目，根据各项目的评估结果计算评估分数，根据评估分数计算迁移概率，通过上述结构，即使是不熟练的评估者，也能针对每个项目详细地评估作为评估对象的安全性对策功能，因此，能够不依赖于评估者的熟练度地评估安全性对策功能的效果。发明效果如上所述，根据本发明，能够不依赖于评估者的熟练度地评估安全性对策功能的效果。


图1是表示本发明的一个实施方式的安全性对策功能评估装置及其周边结构的示意图。图2是表示该实施方式中的安全性保护对象资产信息以及安全性状态信息的一例的示意图。图3是表示该实施方式中的包含充分条件评估参数以及对策功能评估参数的评估参数表的一例的示意图。图4是表示该实施方式中的充分条件表雏形信息的一例的示意图。图5是表示该实施方式中的对策雏形信息的一例的示意图。图6是表示该实施方式中的恢复充分条件雏形信息的一例的示意图。图7是表示该实施方式中的恢复充分条件雏形信息的一例的示意图。图8是表示该实施方式中的恢复对策雏形信息的一例的示意图。图9是用于说明该实施方式中的威胁发生模型信息的生成处理的流程图。图10是用于说明该实施方式中的安全性状态的组的示意图。图11是表示该实施方式中的威胁发生模型信息的一例的示意图。
图12是表示该实施方式中的威胁发生模型信息的一例的示意图。图13是表示该实施方式中的威胁发生模型信息的一例的示意图。图14是表示该实施方式中的威胁分析结果数据的一例的示意图。图15是表示该实施方式中的威胁分析结果数据的一例的示意图。图16是表示该实施方式中的充分条件表信息的一例的示意图。图17是表示该实施方式中的充分条件表信息的一例的示意图。图18是表示该实施方式中的充分条件表信息的一例的示意图。图19是用于说明该实施方式中的安全性对策功能的评估处理的流程图。图20是表示该实施方式中的对策信息的一例的示意图。图21是表示该实施方式中的评估结果的计算表的一例的示意图。图22是表示该实施方式中的评估分数的计算表的一例的示意图。图23是表示该实施方式中的迁移参数的一例的示意图。图M是表示该实施方式中的对策前的迁移概率的计算表的一例的示意图。图25是表示该实施方式中的对策后的迁移概率的计算表的一例的示意图。图沈是用于说明该实施方式中的模拟处理的流程图。图27是表示该实施方式中的对策前的模拟结果的一例的示意图。图观是表示该实施方式中的对策后的模拟结果的一例的示意图。图四是表示该实施方式中的模拟结果的视觉表现的一例的示意图。图30是用于说明该实施方式中的恢复模型信息的生成处理的流程图。图31是表示该实施方式中的恢复模型信息的一例的示意图。图32是表示该实施方式中的恢复模型信息的一例的示意图。图33是表示该实施方式中的恢复模型信息的一例的示意图。图34是表示该实施方式中的恢复充分条件表信息的一例的示意图。图35是表示该实施方式中的恢复充分条件表信息的一例的示意图。图36是表示该实施方式中的恢复对策信息的一例的示意图。图37是表示该实施方式中的评估结果的计算过程的一例的示意图。图38是表示该实施方式中的评估分数的计算表的一例的示意图。图39是表示该实施方式中的评估分数的一例的示意图。图40是表示该实施方式中的模拟结果的视觉表现的一例的示意图。
具体实施例方式以下使用

本发明的一个实施方式。另外，能够以硬件结构、或硬件资源和软件的组合结构的任意一种结构来实施下面的安全性对策功能评估装置。如图1所示，作为组合结构的软件，使用预先从网络或存储介质M安装到成为安全性对策功能评估装置10 的计算机中，用于实现安全性对策功能评估装置10的各功能的安全性对策功能评估程序。图1是表示安装了本发明的一个实施方式的安全性对策功能评估程序的安全性对策功能评估装置及其周边结构的示意图。该安全性对策功能评估装置10具有对安装在信息处理装置中的安全性对策功能进行评估的功能，此外，连接在作为可读写的存储装置的数据库部20上。作为评估对象的安全性对策功能，实现安全性对策功能的产品。具体地，除了软件、硬件、组合了软件和硬件的产品、利用网络的产品以外，任意实现形式的产品都是评估对象。因此，“安全性对策功能”的用语也可以称为“安全性对策产品”。安全性对策功能评估装置10具备输入部11、初始设定部12、存储部13、威胁模型生成部14、评价分数计算部15、迁移概率计算部16、模拟执行部17、恢复模型生成部18以及显示部19。在此，输入部11是用于通过评估者的操作将各种数据或命令等信息输入到安全性对策功能评估装置10内的输入设备。初始设定部12具有在安装包含安全性保护对象资产信息或各种雏形信息等的安全性对策功能评估程序时，将安全性保护对象资产信息或各种雏形信息等写入数据库部20 的功能。具体地，初始设定部12具有将后述的安全性保护对象资产信息、多个安全性状态信息、文档数据、充分条件评估参数、对策功能评估参数、充分条件表雏形信息、对策雏形信息、恢复充分条件表雏形信息以及恢复对策雏形信息写入数据库部20的功能。存储部13是能从各部11、12、14 19进行读出/写入的存储器，例如，适当地存储输入部11输入的数据、各部12、14 18与数据库部20之间进行读出/写入处理的信息、 各部14 18的处理中的数据、计算过程中或计算结果的数据、显示部19显示的信息等。威胁模型生成部14例如具有以下各功能(Π4-1) (f 14-12)。(fl4-l)当通过输入部11的操作，接受包含安全性保护对象资产的指定的安全性保护对象资产的选择命令的输入时，基于该选择命令，选择数据库部20内的安全性保护对象资产信息的功能。(Π4-2)通过显示部19显示所选择的安全性保护对象资产信息的功能；在安全性保护对象资产信息的显示中，在接受安全性状态ID的输入时，基于该安全性状态ID，从数据库部20中提取与该显示中的安全性保护对象资产信息相关联的安全性状态信息的功能。(f 14-3)通过显示部19显示所提取出的安全性状态信息的安全性状态ID的功能。(fl4-4)针对显示中的每个安全性状态ID，在接受与安全、危险或发生损害的组相关的指定的输入时，基于该指定，将该安全性状态ID分类到安全、危险或发生损害的某一组。(fl4-5)将与分类后的组对应的形式的外框信息附加到显示中的安全性状态ID 并在显示部19中显示的功能。(fl4-6)在接受显示中的外框信息的指定的输入时，基于该指定，通过从与安全的组对应的形式的外框信息朝向与危险或发生损害的组对应的外框信息的箭头的形式，在该外框信息之间描绘迁移路径信息的功能。(fl4-7)在接受显示中的外框信息的指定的输入时，基于该指定，通过从与危险的组对应的外框信息朝向与发生损害的组对应的外框信息的箭头的形式，在该外框信息之间描绘其他迁移路径信息的功能。(fl4-8)在接受显示中的各迁移路径信息和威胁信息的指定的输入时，基于该指定，将该迁移路径信息和该威胁信息关联的功能。(fl4-9)通过删除威胁信息未被关联的迁移路径信息，生成由相互关联的多个安全性状态信息、外框信息、第1迁移路径信息、第2迁移路径信息以及威胁信息构成的威胁发生模型信息的功能。(f 14-10)基于威胁发生模型信息，生成将迁移源的安全性状态信息、迁移目的地的安全性状态信息以及威胁信息相互关联而得的威胁分析过程中数据，并在显示部19中显示的功能。(Π4-11)在威胁分析过程中数据的显示中，在接受该威胁分析过程中数据内的威胁信息中的威胁的实施者以及执行条件的指定的输入时，基于该指定，从该威胁信息中提取出威胁的实施者以及执行条件的信息的功能。(f 14-12)生成将威胁分析过程中数据内的迁移源的安全性状态信息、迁移目的地的安全性状态信息、以及提取出的威胁的实施者以及执行条件的信息相互关联而得的威胁分析结果数据的功能。评价分数计算部15例如具有以下各功能(Π5-1) (f 15-12)。(fl5-l)在接受用于对威胁分析结果数据内的威胁的实施者以及执行条件的信息中记载的执行条件进行抑制的对策方针信息的输入时，将该对策方针信息写入充分条件表雏形信息的对策方针区域的功能。(fl5-2)当关于写入到对策方针区域的对策方针信息的执行以及用于执行的功能名，指定选择区域内的某一个选择项时，在该选择区域内选择该指定的选择项的功能。(fl5-3)基于充分条件评估参数，在分数区域中记载与在选择区域内选择的选择项对应的分数的功能。(Π5-4)将充分条件表信息写入数据库部20的功能，该充分条件表信息包含输入了对策方针信息的对策方针区域、选择了选择项的选择区域以及记载了分数的分数区域。(fl5-5)在接受对策名的输入时，将该对策名写入对策雏形信息内的对策名区域的功能。(f 15-6)当关于写入到对策名区域的对策名的执行以及用于执行的功能名，指定对策雏形信息的选择区域内的某一个选择项时，在该选择区域内选择该指定的选择项的功能。(fl5-7)基于对策功能评估参数，在该对策雏形信息的分数区域中记载与对策雏形信息的选择区域内所选择的选择项对应的分数的功能。(Π5-8)将基于对策雏形信息而生成的、包含输入了对策名的对策名区域、选择了选择项的选择区域以及记载了分数的分数区域的对策信息写入数据库部20的功能。(fl5-9)关于对策信息内以及充分条件表信息内的互相相同的项目中的分数区域，计算从该对策信息的分数区域的分数中减去该充分条件表信息的分数区域的分数后的差的功能。(Π5-10)如果差是0以上的值则将评估结果设为正值的分数，如果差是负值则将评估结果设为0值的分数，针对对策信息内以及充分条件表信息内的互相相同的每个项目，记入评估结果的分数的评估结果分数记入功能。另外，在将评估结果设为正值的分数时，评估结果分数记入功能可以包含将预先针对每个项目设定的权重值设为该评估结果的分数的功能。(f 15-11)针对各对策方针信息的每个功能，计算评估结果的分数的平均值的功能。(Π5-12)针对每个对策方针信息，对全部平均值进行累计运算来计算评估分数的功能。此外，评估分数计算部15也可以具有当在信息处理设备中实施多个安全性对策功能时，关于该各安全性对策功能，将对每个对策方针信息计算出的评估分数针对该每个对策方针信息进行相加，计算出最终的评估分数的功能(f 15-13)。此外，评估分数计算部15可以进一步具有例如以下的各功能(Π5-14) (Π5-20)。(Π5-14)在通过恢复模型生成部18生成恢复模型信息之后，在接受日志的种类、 追踪功能的对象、以及备份的每个项目的恢复充分条件信息的输入时，将该恢复充分条件信息写入恢复充分条件表雏形信息的充分条件区域的功能。(Π5-15)将包含恢复对策方针区域和写入了恢复充分条件信息的充分条件区域的恢复充分条件表信息写入数据库部20的功能。(Π5-16)在接受针对恢复对策雏形信息的对策名的输入时，将该对策名写入恢复对策雏形信息内的对策名区域的功能。(Π5-17)在接受作为恢复对策雏形信息内的选择项的恢复充分条件信息的指定时，选择该指定的恢复充分条件信息的功能。(Π5-18)将基于恢复对策雏形信息而生成的、包含输入了对策名的对策名区域和选择了恢复充分条件信息的选择区域的恢复对策信息写入数据库部20的功能。(f 15-19)关于恢复对策信息内以及恢复充分条件表信息内的互相相同的项目，如果该恢复充分条件表信息内的恢复充分条件信息与该恢复对策信息内的恢复充分条件信息一致，则将评估结果设为正值的分数，如果两者不一致则将评估结果设为0值的分数，针对恢复充分条件表信息的恢复对策方针区域内的各恢复功能要件信息中的该相同的每个项目，记入评估结果的分数的恢复评估分数记入功能。另外，恢复评估分数记入功能可以包含在将评估结果设为正值的分数时将预先对每个项目设定的权重值设为该评估结果的分数的功能。(f 15-20)针对每个该恢复功能要件，对全部评估结果的分数进行累计来计算出评估分数的功能。迁移概率计算部16具有以下各功能(Π6-1) (Π6-3)。(fl6-l)关于在信息处理设备中实施安全性对策功能之前的情形，基于威胁分析结果数据，将相同的迁移源的安全性状态信息的个数作为分母值，将共享该迁移源的相同的迁移目的地的安全性状态信息的个数作为分子值，通过将该分子值除以该分母值，计算出对策前迁移概率的功能。(fl6-2)关于在信息处理设备中实施了安全性对策功能之后的情形，从在对策前迁移概率的计算中所使用的分子值中减去评估分数来修正该分子值，通过将该修正后的分子值除以上述分母值来计算对策后迁移概率的功能。(fl6-3)在显示部19中显示对策前迁移概率和对策后迁移概率的功能。此外，迁移概率计算部16可以进一步具有以下各功能(Π6-4) (Π6-6)。(fl6-4)关于在信息处理设备中实施安全性对策功能之前的情形，基于恢复模型信息，将与相同的迁移源的安全性状态信息关联的恢复功能要件信息的个数设为分母值， 将与共享该迁移源的相同的迁移目的地的安全性状态信息相关联的恢复功能要件信息的个数设为分子值，通过将该分子值除以该分母值，来计算对策前迁移概率的功能。(fl6-5)关于在信息处理设备中实施了安全性对策功能之后的情形，在该对策前迁移概率的计算中所使用的分子值上乘以通过上述恢复评估分数记入功能而得到的评估分数来修正该分子值，通过用该修正后的分子值除以作为上述恢复功能要件信息的个数的分母值，计算对策后迁移概率的功能。(fl6-6)基于恢复模型信息以及评估分数，在显示部19中显示对策前迁移概率和对策后迁移概率的功能。模拟执行部17具有基于由迁移概率计算部16计算出的迁移概率来执行模拟的功能、和通过显示部19显示模拟的执行结果的功能。恢复模型生成部18具有以下的各功能(Π8-1) (Π8-5)。(fl8-l)当通过评估者对输入部11的操作而接受包含安全性保护对象资产的指定的安全性保护对象资产的选择命令的输入时，基于该选择命令，从数据库部20选择安全性保护对象资产信息并显示，当在该安全性保护对象资产信息的显示中接受安全性状态ID 的输入时，基于该安全性状态ID，从威胁发生模型信息中提取与该显示中的安全性保护对象资产信息关联的安全性状态信息的功能。(fl8-2)对从威胁发生模型信息中提取出的安全性状态信息的安全性状态ID进行显示，针对每个该安全性状态ID，在接受用于指定安全、危险或发生损害的组的输入时， 基于该指定，将各安全性状态ID分类到安全、危险或发生损害的某一个组中，将与该各组对应的形式的外框信息附加到显示中的安全性状态ID并在显示部19中进行显示的功能。(fl8-3)在接受用于指定该显示中的外框信息的输入时，基于该指定，通过从与危险或发生损害的组对应的形式的外框信息分别朝向与安全的组对应的外框信息的箭头的形式，在该外框信息之间描绘迁移路径信息的功能。(f 18-4)针对每个迁移路径信息，在接受恢复功能要件信息的输入时，将该迁移路径信息和该恢复功能要件信息关联的功能。(fl8-5)生成由相互关联的多个安全性状态信息、外框信息、迁移路径信息以及恢复功能要件信息构成的恢复模型信息的功能。显示部19被各部11、12、14 18控制，是用于对通过各部12、14 18的处理而存储在存储部13中的数据、或从各部12、14 18接收到的数据进行显示的显示设备。数据库部20具备保护对象资产DB21、威胁发生模型DB22、威胁评估指标DB23、安全性对策功能评估指标DBM以及恢复模型DB25。这里，保护对象资产DB21是能够从各部11、12、14 19进行读出/写入的非易失性的存储部，例如适当地存储后述的安全性保护对象资产信息、安全性状态信息等。威胁发生模型DB22是能够从各部11、12、14 19进行读出/写车入的非易失性的存储部，例如适当地存储后述的威胁发生模型信息等。威胁评估指标DB23是能够从各部11、12、14 19进行读出/写入的非易失性的存储部，例如适当地存储后述的文档数据、威胁分析结果数据等。安全性对策功能评估指标DBM是能够从各部11、12、14 19进行读出/写入的非易失性的存储部，例如适当地存储后述的充分条件评估参数、对策功能评估参数、充分条件表雏形信息、对策雏形信息、恢复充分条件表雏形信息、恢复对策雏形信息等。恢复模型DB25是能够从各部11、12、14 19进行读出/写入的非易失性的存储部，例如适当地存储后述的恢复模型信息等。另外，各DB21 25可以是包含全部DB21 25的单一的DB，也可以是由各DB21 25中的任意的组合构成的多个DB。此外，数据库部20不限于处于安全性对策功能评估装置10的外部的存储装置，也可以作为安全性对策功能评估装置10内的存储装置来实现。然后，使用图2至图40说明如上构成的安全性对策功能评估装置的动作。(初始设定)初始设定部12将安全性保护对象资产信息和各种雏形信息写入数据库部20。在安装包含安全性保护对象资产信息、各种雏形信息、评估参数等的安全性对策功能评估程序时执行一次该写入动作。另外，由于各种雏形信息意味着未记入状态的各种信息，所以可以称为未记入状态的该信息。例如，“充分条件表雏形信息”可以称为“未记入状态的充分条件表信息”。然后，具体说明写入动作。初始设定部12如图2所示，将对信息处理设备的物理主体、信息处理设备的功能以及保存在信息处理设备中的数据进行个别地表示的安全性保护对象资产信息、和由与各安全性保护对象资产信息个别地关联的安全性状态ID以及状态信息构成的多个安全性状态信息写入数据库部20的保护对象资产DB21。作为补充，安全性保护对象资产被分类为信息处理设备的物理主体、信息处理设备的功能、保存在信息处理设备中的数据的某一种。这些信息处理设备的物理主体、信息处理设备的功能、以及保存在信息处理设备中的数据相互独立，不存在包含关系。信息处理设备是对电子数据进行信息处理(例如存储处理、加工处理以及/或者运算处理)的设备，例如个人计算机(以下称为PC)、移动PC、便携电话、服务器、家庭电气化产品(以下称为家电产品)、游戏机、智能卡、智能卡发行设备、IC芯片、信息发送设备、网络设备等任意信息处理装置相当于这种设备。信息处理设备的物理主体如图2所示，具有CPU、存储装置、输入输出设备等硬件资源，意味着物理上存在的东西。信息处理设备的功能如图2所示，由OS、BIOS等固件、命令库、各种应用程序等和用于执行它们所必要的设定信息构成，意味着包含能通过信息处理设备的硬件执行的处理步骤以及/或者命令的软件。保存在信息处理设备中的数据如图2所示，意味着个人信息、音乐数据、业务关系信息、收发邮件等数据。此外，初始设定部12将包含威胁信息的文档数据写入数据库部20的威胁评估指标DB23中，该威胁信息包含威胁的实施者以及执行条件的信息，该威胁是安全性状态从安全的状态迁移到危险的状态或发生损害状态的原因。进而，初始设定部12如图3所示，将充分条件评估参数和对策功能评估参数写入数据库部20的安全性对策功能评估指标DB24，该充分条件评估参数关于执行任意的对策方针的充分条件，包含功能的有无、时间、效果、通知范围、动作时刻以及对于起动的依存度的每个项目的选择项以及分数，该对策功能评估参数关于任意的安全性对策功能，包含功能的有无、时间、效果、通知范围、动作时刻以及对于起动的依存度的每个项目的选择项以及分数。另外，在图3中，充分条件评估参数以及对策功能评估参数分别被包含在评估参数表中，但不限于此，可以将充分条件评估参数以及对策功能评估参数分别分开。此外，这里列举的“时间”所指的是例如信息处理设备的起动所需要的时间。此外，初始设定部12如图4所示，将充分条件表雏形信息写入数据库部20的安全性对策评估指标DBM，该充分条件表雏形信息包含对策方针区域、选择区域和分数区域，该对策方针区域输入用于对威胁的实施者以及执行条件的信息中记载的执行条件进行抑制的对策方针信息，该选择区域是关于该对策方针信息的执行以及用于执行的功能名，将功能的有无、时间、效果、通知范围、以及对于起动的依存度的每个项目的选择项与充分条件评估参数关联地进行列举的区域，该分数区域是基于充分条件评估参数来记载与在选择区域中选择出的选择项相对应的分数的区域。进而，初始设定部12如图5所示，将对策雏形信息写入数据库部20的安全性对策功能评估指标DBM，该对策雏形信息包含对策名区域、选择区域和分数区域，该对策名区域输入用于确定安全性对策功能的产品的对策名，该选择区域是关于由该对策名确定的产品的安全性对策功能的执行以及用于执行的功能名，将功能的有无、时间、效果、通知范围、以及对于起动的依存度的每个项目的选择项与对策功能评估参数关联地进行列举的区域，该分数区域是基于对策功能评估参数来记载与在选择区域中选择出的选择项相对应的分数的区域。此外，初始设定部12如图6以及图7所示，将恢复充分条件表雏形信息写入数据库部20的安全性对策功能评估指标DBM，该恢复充分条件表雏形信息包含恢复对策方针区域和充分条件区域，该恢复对策方针区域记载表示恢复对策方针的恢复功能要件信息， 该充分条件区域是关于用于实现该恢复对策方针区域内的恢复功能要件信息的充分条件， 输入日志的种类、追踪功能的对象以及备份的每个项目的恢复充分条件信息的区域。另外， 日志的种类有对象、位置、用户、时间以及保存目的地等。进而，初始设定部12如图8所示，将恢复对策雏形信息写入数据库部20的安全性对策功能评估指标DBM，该恢复对策雏形信息包括对策名区域和选择区域，该对策名区域用于输入确定安全性对策功能的产品的对策名，该选择区域是关于由该对策名确定的产品的安全性对策功能，将日志的种类、追踪功能的对象以及备份的每个项目的恢复充分条件信息作为选择项来进行表示的区域。另外，作为选择项的恢复充分条件信息，使用输入到所述恢复充分条件表雏形信息的恢复充分条件信息。日志的种类与上述同样，存在对象、位置、用户、时间以及保存目的地等。(威胁发生模型信息的生成处理图9)在安全性对策功能评估装置10中，通过评估者操作输入部11，由输入部11接受包含安全性保护对象资产的指定的安全性保护对象资产的选择命令时，基于该选择命令， 威胁模型生成部14从数据库部20的保护对象资产DB21中选择安全性保护对象资产信息 (STll)，将该安全性保护对象资产信息发送到显示部19。显示部19显示该安全性保护对象资产信息。在安全性保护对象资产中，有信息处理设备的物理主体、信息处理设备的功能、保存在信息处理设备中的数据这3种。
在安全性保护对象资产信息的显示中，当通过评估者的操作，由输入部11接受安全性状态ID时，成胁模型生成部14基于该安全性状态ID从数据库部20的保护对象资产 DB21中提取出与该显示中的安全性保护对象资产信息相关联的安全性状态信息(ST12)。在此，各安全性状态的适当性、独立性，是在用于从迁移源的状态迁移到迁移目的地的状态的、具有唯一的特征的威胁存在的条件下进行确认的。威胁模型生成部14将提取出的安全性状态信息的安全性状态ID发送到显示部 19。显示部19显示该安全性状态ID。当通过评估者的操作，针对显示中的每个安全性状态ID，输入部11接受安全、危险或发生损害的组的指定时，威胁模型生成部14根据该指定，将各安全性状态分类到安全、危险或发生损害的某一个组(ST13)。各组互相独立，没有包含关系。在此，“安全”的组如图10所示，是包含下述的至少一个状态的组置于正当的管理者的管理下的状态、在正当的管理者的管理下被废弃的状态、在正当的管理者计划的范围内正常地执行功能的状态、以及保护对象数据存在于信息处理设备内的状态。“危险”的组是包含下述的至少一个状态的组未在正当的管理者的管理下的状态、功能的执行有可能脱离正当的管理者计划的范围的状态(例如，有计算机病毒的状态)、保护对象数据被正当的管理者以外的人阅览的状态、保护对象数据存在于通信线路上的状态、保护对象数据存在于信息处理设备以外的设备的状态、保护对象数据被保存在外部存储介质中的状态、保护对象数据被打印的状态。“发生损害”的组是包含下述的至少一个状态的组安全性保护对象资产是破坏 (无法执行功能的状态)、被盗、丢失、感染了计算机病毒的状态；进行了脱离了正当的管理者所计划的范围的处理的状态；与正当的管理者的计划无关地对其它信息处理设备以及其中包含的他人的资产施加了损害的状态。不管怎样，威胁模型生成部14都将与分类后的组相对应的形式的外框信息附加到安全性状态ID并通过显示部19进行显示。另外，作为与分类后的组对应的形式，例如能够使用实线(安全)、点划线(危险)、虚线(发生损害)等期望的形式。接着，在通过评估者对输入部11进行操作，接受显示中的外框信息的指定的输入时，威胁模型生成部14基于该指定，通过从与安全的组对应的形式的外框信息朝向与危险或发生损害的组对应的外框信息的箭头的形式，在该外框信息之间描绘迁移路径信息(第 1迁移路径信息)(画出箭头)。此外，同样地，在接受显示中的外框信息的指定的输入时，威胁模型生成部14基于该指定，通过从与危险的组对应的外框信息朝向与发生损害的组对应的外框信息的箭头的形式，在该外框信息之间描绘迁移路径信息(第2迁移路径信息)(画出箭头)(ST14)。在步骤ST14中描绘的迁移路径信息仅是从“安全”到“危险”的方向、从“危险”到 “发生损害”的方向、从“安全”到“发生损害”的方向这3种方向的箭头。另外，虽然该迁移路径信息的方向仅有3种，但是箭头的线种类能够使用任意的种类(例如实线、虚线、点划线、粗线等)。通过评估者对输入部11的操作，威胁模型生成部14从威胁评估指标DB23内的文档数据中提取表示有可能存在的威胁的威胁信息(STK)。在此，威胁意味着在从安全状态离开的方向上促使安全性状态间的迁移的力量、即从安全状态离开的方向上的安全性状态间的迁移的原因。威胁信息是记载了威胁的文本数据，以未整理的状态包含威胁的实施者以及执行条件。文档数据是将经验规则或实际发生的安全性问题或攻击例等文档进行了电子化的数据。在通过评估者对输入部11的操作，接受显示中的某个迁移路径信息和威胁信息的指定的输入时，威胁模型生成部14基于该指定，将该迁移路径信息和该威胁信息进行关联(ST16)。之后，威胁模型生成部14删除威胁信息未被关联的迁移路径信息。由此，威胁模型生成部14如图11、图12或图13所示，生成由相互关联的多个安全性状态信息、外框信息、各迁移路径信息以及威胁信息构成的威胁发生模型信息。威胁发生模型信息通过显示部19进行显示。此外，威胁模型生成部14根据该威胁发生模型信息和步骤ST12中提取出的安全性状态信息，生成将迁移源的安全性状态信息、迁移目的地的安全性状态信息以及威胁信息相互关联的威胁分析过程中数据，通过显示部19显示该威胁分析过程中数据。但是，在该阶段中，威胁信息处于未整理的状态。在威胁分析过程中数据的显示中，在通过评估者对输入部11的操作，接受该威胁分析过程中数据内的威胁信息中的威胁的实施者以及执行条件的指定的输入时，威胁模型生成部14根据该指定，如图14以及图15所示，从威胁信息中提取威胁的实施者(谁(Who)) 以及使威胁具有效力的执行条件(怎么做(How))的信息并进行整理(ST17)。由此，威胁模型生成部14生成将威胁分析过程中数据内的迁移源的安全性状态信息、迁移目的地的安全性状态信息、以及提取出的威胁的实施者以及执行条件的信息相互关联的威胁分析结果数据。此外，在信息处理设备的功能的情形下，除了威胁的实施者以及执行条件的信息之外，还整理网络条件，由此，威胁模型生成部14根据威胁分析过程中数据生成威胁分析结果数据。网络条件表示是能够进行收发的网络的情形(ON:接通)、还是与网络的有无无关的情形(any:任意)。这里，“网络的有无”是指“是否连接到网络”。此外，“与网络的有无无关的情形”是指“不依赖于与网络的连接的情形”即“不管连接还是未连接到网络都无所谓的情形”。步骤ST17中的整理意味着不是根据网络条件的指定内容或指定值，而是如果在多个威胁信息之间威胁的实施者和执行条件相同，则将该多个威胁信息看作是相同的威胁信息。威胁分析结果的各迁移路径中的威胁的实施者和执行条件的组合相互独立，没有包含关系。在步骤ST17的整理结束时，威胁模型生成部14如图14以及图15所示，将威胁分析结果数据保存在威胁评估指标DB^中。此外，威胁模型生成部14如图11、图12、以及图13所示，将威胁发生模型信息保存在威胁发生模型DB22中。(安全性对策功能的评估处理)(准备充分条件表信息的生成处理)在安全性对策功能评估装置10中，通过评估者对输入部11的操作，评估分数计算部15如图4所示，从安全性对策功能评估指标DBM中读出对策方针区域、选择区域以及分数区域未记入的充分条件表雏形信息，在显示部19中显示该充分条件表雏形信息。在充分条件表雏形信息的显示过程中，评估分数计算部15在通过评估者对输入部U的操作，接受了用于对在威胁分析结果数据内的威胁的实施者以及执行条件的信息中记载的执行条件进行抑制的对策方针信息的输入时，将该对策方针信息写入充分条件表雏形信息的对策方针区域。此外，评估分数计算部15，在通过评估者对输入部11的操作，关于在对策方针区域中写入的对策方针信息的执行(例如动作时刻、时间、…等条件)以及用于执行的功能名，指定了选择区域内的某一个选择项(例如定期(动作时刻的项目)、无关(时间的项目)、…)时，在该选择区域内选择该指定的选择项。另外，条件和功能名的各项目相互独立，没有包含关系。此外，评估分数计算部15还可以通过评估者对输入部11的操作来变更充分条件表的项目。在对选择项进行选择时，评估分数计算部15基于安全性对策功能评估指标DBM 内的充分条件评估参数，将与该选择区域内选择出的选择项对应的分数记载在分数区域中。由此，作为对抗威胁而将安全性对策功能应满足的功能或条件与其分数相关联的内容，如图16、图17以及图18所示，生成充分条件表信息，该充分条件表信息包含输入了对策方针信息的对策方针区域、选择了选择项的选择区域以及记载了分数的分数区域。充分条件表信息是针对用于抑制威胁分析结果内的执行条件的每个对策方针，关于不特定的安全性对策功能应满足的功能或条件的项目，选择应满足的充分条件来进行了分数化的表形式的信息。评估分数计算部15通过评估者对输入部11的操作，将充分条件表信息保存在安全性对策功能评估指标DBM中。接着，在以下的评估处理中，以与任意的安全性对策功能相关的充分条件表信息为根据，对确定了各产品的安全性对策功能进行评估。(评估处理图19)在安全性对策功能评估装置10中，在通过评估者对输入部11的操作，输入部11 接受指定了对策雏形信息的读出命令时，基于该读出命令，评估分数计算部15从安全性对策功能评估指标DBM读出对策雏形信息，如图5所示，通过显示部19显示将对策名、对象、 各功能的选择结果以及分数设为未记入状态的对策雏形信息。在对策雏形信息的显示过程中，评估分数计算部15在通过评估者对输入部11的操作，接受表示评估对象的安全性对策功能的对策名的输入时，将该对策名写入对策雏形信息内的对策名区域中(ST21)。对象也同样被写入对象区域。此外，评估分数计算部15，关于写入到对策名区域的对策名的执行以及用于执行的功能名，在通过评估者对输入部11的操作，指定对策雏形信息的选择区域内的某一个选择项时，在该选择区域内选择该被指定的选择项(ST2》。该被选择的选择项表示安全性对策功能的特征。评估分数计算部15基于安全性对策功能评估指标DBM内的对策功能评估参数， 将与对策雏形信息的选择区域内选择出的选择项对应的分数记载在该对策雏形信息的分数区域中。由此，对于表示安全性对策功能的对策名以及对象，作为针对功能或条件的每个项目附加了分数的内容，如图20所示，生成包含输入了对策名的对策名区域、选择了选择项的选择区域、以及记载了分数的分数区域的对策信息。评估分数计算部15将该对策信息写入数据库部20内的安全性对策功能评估指标DBM。此外，评估分数计算部15如图21所示，关于对策信息内以及充分条件表信息内互相相同的项目中的分数区域，计算从该对策信息内的分数中减去充分条件表信息内的分数而得的差，并记入计算表的差分栏中。评估分数计算部15，如果该差是0以上的值则将评估结果设为正值的分数，如果差是负值则将评估结果设为0值的分数，针对对策信息内以及充分条件表信息内的互相相同的每个项目，将评估结果的分数记入计算表的评估结果栏(ST2!3)。在该例中，将差为0以上的值的评估结果的正值设为“1”分。即，在该例中，对策方针的充分条件是必须的，但使用如下的评估结果的计算方法当对策功能不满足充分条件时将评估结果设为“0”分，在其它情况下将评估结果设为“1”分。但是，评估结果的正值不限于“1”分，可以是任意的权重值。即，评估分数计算部15在将评估结果设为正值的分数时，可以将预先对每个项目设定的权重值设为该评估结果的分数。进而，评估分数计算部15如图22所示，针对各对策方针信息的每个功能计算评估结果的分数的平均值并记入计算表的平均值栏，累计全部的平均值并计算出评估分数 (STM)，将该评估分数记入计算表的评估分数栏。在平均值的计算过程中，可以对评估结果的分数进行加权，也可以从平均值的计算式中除去期望的评估结果的分数。不管怎样，评估分数计算部15都针对每个对策方针信息计算出安全性对策功能的评估分数。(模拟运算)(准备1:迁移参数的设定)在安全性对策功能评估装置10中，通过评估者对输入部11的操作，迁移概率计算部16在信息处理设备中实施安全性对策功能之前的情形下，基于威胁分析结果数据，将相同迁移源的安全性状态信息的个数设为分母的值，将共享该迁移源的相同的迁移目的地的安全性状态信息的个数设为分子的值，通过将该分子的值除以该分母的值，计算出对策前迁移概率。例如如图14以及图M所示，将相同的迁移源的安全性状态信息“P1”的个数“16” 设为分母的值，将共享该迁移源的相同的迁移目的地的安全性状态信息“P7”的个数“8”设为分子的值，通过将该分子的值“8”除以该分母的值“16”，计算出对策前迁移概率“0.5”。同样地，迁移概率计算部16，通过评估者对输入部11的操作，在信息处理设备中实施了安全性对策功能之后的情形下，从在对策前迁移概率的计算中所使用的分子的值中减去评估分数来修正该分子的值，通过将该修正后的分子的值除以上述分母的值，计算出对策后迁移概率。例如如图23以及图25所示，从在对策前迁移概率的计算中使用的分子的值“8” 中减去评估分数“1”来修正该分子的值，通过将该修正后的分子的值“7”除以上述分母的值“ 16 ”，从而计算出对策后迁移概率“0.4375”。在此，详细论述这样的计算迁移概率的工序。起初，在安全性对策功能评估装置10中，通过评估者对输入部11进行操作，迁移概率计算部16 —面参照威胁发生模型DB22以及安全性对策功能评估指标DBM，一面设定迁移参数。
迁移参数如图23所示，包含如下参数迁移源的安全性状态IDal、迁移目的地的安全性状态IDa2、基于促使迁移的威胁(对策前)的数目(=“威胁的实施者以及执行条件的信息”的个数)的迁移容易度的值a3、基于促使迁移的威胁(对策后)的数目(=“威胁的实施者以及执行条件的信息”的个数)的迁移容易度的值a4、基于促使迁移的威胁(恢复时)的数目的迁移容易度的值a5、评估分数的和a6以及恢复的条数a7。作为迁移容易度的值a3，根据威胁发生模型DB22内的威胁发生模型信息，在不迁移时被设定为“0”，在无条件地迁移时被设定为以“ 1”为单位的“威胁的实施者以及执行条件的信息”的个数。例如，在图23中，当从迁移源的安全性状态ID “P1”迁移到迁移目的地的安全性状态ID “P5”时，迁移容易度的值a3是“2”。这表示如图14等所示，容易以2个 “威胁的实施者以及执行条件的信息”的量进行迁移。在对策后的迁移容易度的值a4中，滞留在安全状态的情况下(迁移源的状态al 和迁移目的地的状态a2都是Pl时)的值(3. 5)，是相对于对策前的a3的值(1)，加上了对评估分数的和a6进行了合计的值(2. 5 = 1+1. 5)而得的值(3. 5 = 1+2. 5)。S卩，在对策后的迁移容易度的值a4中、滞留在安全状态的情况下的值，反映出与对策对威胁的抑制效果相应地增加了滞留在安全状态的概率。在对策后的迁移容易度的值a4中、在进行迁移时的值，是对对策前的值a3减去了评估分数的和a6而得的值。作为迁移容易度的值a5，基于恢复模型DB25内的恢复模型信息，在未迁移时被设定为“0”，在无条件地迁移时被设定为以“ 1”为单位的信息的个数。评估分数的和a6被设定为针对每个对策方针对各个对策名中的评估分数进行合计而得的值。例如在同时使用了具有不同对策名的两个产品时，被设定为将关于两个对策名针对每个对策方针计算出的2个评估分数分别针对每个对策方针进行相加而得的值(两个产品间的每个对策方针的评估分数的合计值)。(准备2迁移概率的计算)在设定了迁移参数之后，迁移概率计算部16根据迁移参数计算迁移概率。图M是表示基于图23的对策前的迁移参数的迁移概率的计算表的示意图。迁移概率的计算表包含迁移源的安全性状态IDbl、迁移目的地的安全性状态IDb2、迁移的比例 b3、迁移概率的分子b4、迁移概率的分母沾、迁移概率M、迁移概率(累计值)b7、路径通过次数b8以及路径通过概率b9。在图M中，虽然现实中不存在，但是假定将仅迁移到安全性状态为安全的状态作为起点状态P0，将该起点状态PO作为模拟的初始状态，设定在迁移源的安全性状态IDbl的部分中。当存在从某迁移源的安全性状态IDbl到一个以上的不同迁移目的地的安全性状态1此2的迁移路径信息时，作为移动到各个迁移目的地的安全性状态1此2的概率，基于各安全性状态IDbl、l32之间的“威胁的实施者以及执行条件的信息”的个数，根据迁移的概率 b3计算出迁移概率M的值。具体地，迁移的比例b3如图23所示，复制了基于威胁(对策前)的数目(=“威胁的实施者以及执行条件的信息”的个数)的迁移容易度的值a3。对迁移概率的分子b4 也同样进行值a3的复制。
迁移概率的分母1^5的值，输入了对迁移源的安全性状态IDbl是相同的值的行中的迁移概率的分子b4的值进行合计而得的合计值。例如，迁移源的安全性状态IDbl是“P0”的行存在2行，它们的迁移概率的分子b4 的值的合计值2作为各自的迁移概率的分母b5的值被输入。在迁移概率M的值中输入将迁移概率的分子b4的值除以迁移概率的分母沾的值而得的除法运算结果。总之，迁移概率M的值是将与某一组的迁移源和迁移目的地的安全性状态ID相关的“威胁的实施者以及执行条件的信息”的个数(一组的b3的值)除以与具有该迁移源的安全性状态ID的多组迁移源和迁移目的地的安全性状态ID相关的“威胁的实施者以及执行条件的信息”的个数(多组的b3的值)的合计值(b4的值)所得的值。对迁移源的安全性状态IDbl为相同值的行的迁移概率M进行累计所得的结果被输入到迁移概率(累计值)b7中。图25是表示基于图23的对策后的迁移参数的迁移概率的计算表的示意图。与图 M相比，各值b3’ b9’成为对策后的值。例如当存在从某迁移源的安全性状态IDbl到一个以上的不同迁移目的地的安全性状态1此2的迁移路径信息时，作为移动到各个移动目的地的安全性状态1此2的概率，与基于各安全性状态IDbl、b2之间的“威胁的实施者以及执行条件的信息”的个数的迁移的比例b3不同，根据迁移的比例b3’而计算出迁移概率MT，所述迁移的比例b3’基于从各安全性状态IDbl、b2之间的“威胁的实施者以及执行条件的信息”的个数减去对策功能的效果(评估分数)而得的值。当对策功能的效果超过了对策前的“威胁的实施者以及执行条件的信息”的个数时，根据未迁移的“0”这样的值的迁移的比例b3’来计算。具体地，对策后的迁移的比例b3’如图23所示，复制了基于威胁(对策后)的数目(=“威胁的实施者以及执行条件的信息”的个数)的迁移容易度的值a4。在迁移概率的分子b4’中也进行值a4的复制。迁移概率的分母沾’、迁移概率b6’以及迁移概率(累计值)b7’，是将前述的对策前的值沾、b6、b7分别作为对策后的值沾，、M，、b7，而得的值。总之，通过迁移概率计算部16来计算迁移概率。然后，迁移概率计算部16通过显示部19显示对策前迁移概率和对策后迁移概率。此外，迁移概率计算部16通过图M以及图25中示出的迁移概率的计算，针对每个迁移路径信息(bl+2之间)对安全性对策前的迁移概率M和安全性对策后的迁移概率 b6’进行比较，能够根据对策前后的迁移概率的减少程度来判定安全性对策功能的效果和有效性。进而，迁移概率计算部16能够通过雷达图(radar chart)或柱状图等任意的视觉表现形式来在显示部19中显示对策前迁移概率和对策后迁移概率，以便针对迁移源的安全性状态信息以及迁移目的地的安全性状态信息的组中的每个互相相同的组进行比较。(模拟处理图沈)在安全性对策功能评估装置10中，通过评估者对输入部11进行操作，模拟执行部 17在存储部13中设定例如1000次的模拟试验次数(ST31)。试验次数越多，通过模拟得出的迁移概率和计算出的迁移概率的误差就越小。
模拟执行部17通过评估者对输入部11的操作，在存储部13中设定例如4次的迁移步骤数的上限值(ST3》。使迁移步骤数的上限值与从起点状态PO迁移到某一个最终到达状态所用的迁移路径信息的数目的最大值(以下称为最大迁移路径信息的数目)一致。 例如，在图11所示的威胁发生模型信息中，当从未图示的起点状态PO经由状态PI、P2、P5 迁移到最终到达状态P6使用4个迁移路径信息时是最大，最大迁移路径信息的数目是4。以后，模拟执行部17反复执行步骤ST33-ST41的模拟处理，直到到达迁移步骤数的上限值。模拟执行部17生成0以上1以下的随机数(ST33)。在第一次试验中，模拟执行部17参照安全性对策功能评估指标DBM内的“对策前的迁移概率的计算表”，将该计算表中的迁移源的安全性状态为起点状态PO时的迁移概率(累计)的值和随机数进行比较，判定迁移概率的值是否不足随机数(ST34)。在第二次以后的试验中，模拟执行部17使用前述的“对策前的迁移概率的计算表”中的迁移源的安全性状态为模拟执行后的迁移目的地的状态时的迁移概率的值。当判定的结果是迁移概率 (累计)的值是随机数以上时，模拟执行部17再次返回步骤ST34的处理。在步骤ST34的判定的结果是迁移概率(累计)的值不足随机数时，模拟执行部17 将该迁移目的地状态确定为下一个迁移目的地状态(ST35)。模拟执行部17对迁移源状态的“路径通过次数”计数一次(ST36)，将前述的计算表中的该迁移目的地状态的路径通过次数b8的值加1。以后，模拟执行部17以模拟实验次数反复进行步骤ST37-ST41的处理。模拟执行部17生成0以上1以下的随机数(ST37)。模拟执行部17对前述的“对策前的迁移概率的计算表”中的当前的迁移源状态的迁移概率(累计)的值和随机数进行比较，判定迁移概率的值是否不足随机数(ST38)。当判定的结果是迁移概率(累计)的值在随机数以上时，再次返回步骤ST38的处理。模拟执行部17，在步骤ST38的判定结果是迁移概率(累计)的值不足随机数时， 将该迁移目的地状态确定为下一个迁移目的地状态(ST39)。模拟执行部17对迁移源状态的“路径通过次数”计数一次(ST40)，使前述的计算表中的该迁移源状态的路径通过次数b8的值加1。模拟执行部17当迁移源状态和迁移目的地状态相同时，对迁移源状态的“自己迁移次数”计数一次(ST41)。模拟执行部17判定在步骤ST36、ST40、ST41中计数而得的次数的合计值是否到达了在步骤ST32中设定的迁移步骤数的上限值(ST42)，在该合计值没有到达迁移步骤数的上限值时返回步骤ST37。当步骤ST42的判定结果为到达了上限值时，模拟执行部17将到达了达到上限值时的状态(最终到达状态)的次数(最终到达状态的最终到达次数)的值加1进行更新， 判定各最终到达状态的最终到达次数的合计值是否达到在步骤ST31中设定的试验次数 (ST43)，当未达到试验次数时返回步骤ST33。当步骤ST43的判定结果为达到了试验次数时，模拟执行部17结束处理。图27是表示对策前的模拟结果的一例的示意图。如图所示，针对每个安全性状态 cl，生成最终到达次数(其状态成为最终到达点的试验的数目)(2、最终到达概率(33、通过了状态cl的通过次数c4、通过概率c5、自己迁移次数c6、自己迁移概率(测量值)c7作为模拟结果。这里，通过概率c5以及自己迁移概率c7分别用如下的式子算出。通过概率c5 =通过次数c4/ (最终到达次数c2的总计值)自己迁移概率c7 =自己迁移次数c6/ (通过次数c4+自己迁移次数c6_最终到达次数W)此外，最终到达次数c2的合计值与在步骤ST31中设定的试验次数相同(最终到达次数c2的合计值=试验次数)。在步骤ST31中设定的试验次数上乘以在步骤ST32中设定的上限值而得的值，是对通过次数c4的合计值和自己迁移次数c6的合计值进行合计而得的值(试验次数X上限值=通过次数c4的合计值+自己迁移次数c6的合计值)。自己迁移概率(理论值)c8是用于比较而复制图M的迁移概率M而得的值，被用作根据与自己迁移概率(测量值)c7的误差来判断模拟试验次数的恰当性的基准。图观是表示对策后的模拟结果的一例的示意图。与图27所示的各值相比，各值 c2， c8’成为对策后的值。例如，自己迁移概率(理论值)c8’是用于比较而复制图25的迁移概率b6’而得的值，被用作根据与自己迁移误差(测量值)c7’的误差来判断模拟试验次数的恰当性的基准。模拟执行部17不限于图27或图28的表形式，而能够通过图四的视觉表现形式在显示部19上显示模拟结果。该模拟结果，根据图观中的最终到达状态Cl、最终到达概率c3 ’、自己迁移概率c7 ’、以及迁移路径的迁移概率M ’，描绘了圆框线内的状态(c 1)和数值(c3’)、圆框线的半径(c3’)、圆框线的种类(c7’ )以及迁移路径的箭头线(c7’)。但是，模拟结果不限于图四这样的显示，也可以通过雷达图或柱状图等任意的视觉表现形式来显示。此外，关于有安全性对策功能的效果的情形和没有效果的情形，模拟执行部17可以使用比较模拟结果而得的值，通过图四这样的显示、雷达图或柱状图等任意的视觉表现形式在显示部19中进行显示。(恢复模型信息的生成处理图30)安全性对策功能评估装置10不限于所述的威胁发生模型信息的生成和以此为基础的迁移概率的计算，还能够执行恢复模型信息的生成和以此为基础的迁移概率的计算。在安全性对策功能评估装置10中，当通过评估者对输入部11进行操作，输入部11 接受了包含安全性保护对象资产的指定的安全性保护对象资产的选择命令时，基于该选择命令，恢复模型生成部18从数据库部21的保护对象资产DB21选择安全性保护对象资产信息(ST51)，通过显示部19显示该安全性保护对象资产信息。在该安全性保护对象资产信息的显示中，恢复模型生成部18，在通过评估者的操作接受了安全性状态ID的输入时，基于该安全性状态ID，从威胁发生模型DB22内的威胁发生模型信息提取与该显示中的安全性保护对象资产信息相关联的安全性状态信息(ST52)。恢复模型生成部18通过显示部19显示提取出的安全性状态信息的安全性状态 ID。在该时刻，在没有外框信息的状态下显示安全性状态ID。恢复模型生成部18，在通过评估者的操作而针对显示中的每个安全性状态ID，输入部11接受安全、危险、或发生损害的组的指定的输入时，基于该指定，将各安全性状态分类到安全、危险、发生损害的某一个组中(ST53)。恢复模型生成部18将与分类后的各组对应的形式的外框信息附加到显示中的安全性状态ID，通过显示部19进行显示。外框信息与前述同样地，能够使用实线(安全)、点划线(危险)、虚线(发生损害)等任意的形式。接着，恢复模型生成部18在通过评估者对输入部11的操作而接受显示中的外框信息的指定的输入时，基于该指定，通过从与危险或发生损害的组相对应的形式的外框信息分别朝向与安全的组对应的外框信息的箭头的形式，在该外框信息之间描绘迁移路径信息(第3迁移路径信息)(画出箭头)(ST54)。该迁移路径信息仅设为从“危险”到“安全”、 从“发生损害”到“安全”这两种方向的箭头。迁移路径信息与恢复功能相对应。恢复功能意味着具有促使安全性状态之间的迁移朝着变成安全状态的方向的效果的安全性对策功能。另外，虽然与恢复功能对应的迁移路径信息的方向仅有2种，但是与前述同样，箭头的线种类可以使用任意的种类(例如，实线、虚线、点划线、粗线等)。在描绘了迁移路径信息之后，恢复模型生成部18，当通过评估者对输入部11的操作，针对显示中的每个迁移路径信息，接受了 “PR1 ；取回信息处理设备”这样的表示恢复对策方针的恢复功能要件信息的输入时，将该迁移路径信息和该恢复功能要件信息相关联 (ST55)。另外，恢复功能要件信息，表示将迁移源的安全性状态信息和迁移目的地的安全性状态信息进行了比较的结果，被认为与迁移源的安全性状态信息对应的安全性保护对象资产中不足的功能要件。换句话说，恢复功能要件信息是执行促使在变成安全状态的方向上迁移的对策方针所必要的功能要件，是通过附加到危险状态或发生损害状态的安全性保护对象资产上，能将该安全性保护对象资产迁移到安全状态的功能要件。恢复功能要件，如果在迁移源和迁移目的地的安全性状态之间，在迁移源的安全性状态中被认为不足的多个恢复功能要件完全相同，则被视为是相同的恢复功能要件(ST56)而被整理。通过评估者对输入部11进行操作，由恢复模型生成部18执行该整理。总之，通过将迁移路径信息和恢复功能要件信息关联起来，恢复模型生成部18如图31、图32或图33所示，生成由相互关联的多个安全性状态信息、外框信息、迁移路径信息以及恢复功能要件信息构成的恢复模型信息。恢复模型信息通过显示部19进行显示。然后，恢复模型生成部18在通过评估者对输入部11的操作如图6所示从数据库部20的安全性对策功能评估指标DBM读出恢复充分条件表雏形信息时，将恢复模型信息内的恢复功能要件信息输入到恢复充分条件表雏形信息的恢复对策方针区域中。此外，恢复模型生成部18在通过评估者对输入部11的操作而接受了日志的种类、 追踪功能的对象以及备份的每个项目的恢复充分条件信息的输入时，将该恢复充分条件信息写入恢复充分条件表雏形信息的充分条件区域。此外，恢复模型生成部18通过评估者对输入部11的操作如图7所示，从数据库部 20的安全性对策功能评估指标DBM读出恢复(探明原因)充分条件表雏形信息并通过显示部19进行显示。恢复模型生成部18在通过评估者对输入部11的操作而接受了用于探明原因的对策方针信息的输入时，将该对策方针信息输入到恢复(探明原因)对策方针区域。
此外，恢复模型生成部18在通过评估者对输入部11的操作而接受了日志的种类、 追踪功能的对象以及备份的每个项目的恢复(探明原因)充分条件信息的输入时，将该恢复(探明原因)充分条件信息写入恢复(探明原因)充分条件表雏形信息的充分条件区域中。恢复(探明原因)充分条件信息是表示威胁的痕迹的信息。如果在多个恢复功能之间表示威胁的痕迹的信息完全相同，则恢复(探明原因)充分条件信息被视为相同的探明原因的条件而被进行整理。如前述一样，通过评估者对输入部11的操作，由恢复模型生成部 18执行该整理。由此，恢复模型生成部18如图34以及图35所示，将包含恢复对策方针区域和被写入了恢复充分条件信息的充分条件区域的恢复充分条件表信息写入数据库部20的安全性对策功能评估指标DBM。此外，恢复模型生成部18将恢复模型信息保存在恢复模型DB25中。接着，在以下的评估处理中，与前述同样地，以任意的安全性对策功能的恢复充分条件表信息为根据，评估确定了各产品的安全性对策功能。(评估处理)在安全性对策功能评估装置10中，在通过评估者对输入部11的操作，输入部11 接受了包含作为评估对象的安全性对策功能的指定的安全性对策功能的选择命令时，基于该选择命令，评估分数计算部15从安全性对策功能评估指标DBM选择恢复对策雏形信息， 如图8所示，通过显示部19显示将对策名、日志的种类的各项目(对象、位置、用户、时间、 保存目的地)、追踪功能的对象、备份的对象、其他功能设为未记入状态的恢复对策雏形信肩、ο在恢复对策雏形信息的显示中，评估分数计算部15在通过评估者对输入部11的操作而接受针对恢复对策雏形信息的对策名的输入时，将该对策名写入恢复对策雏形信息的对策名区域。此外，评估分数计算部15，在通过评估者对输入部11的操作而接受作为恢复对策雏形信息内的各项目的选择项的恢复充分条件信息的指定时，选择该被指定的恢复充分条件信息。该选择项使用安全性对策功能评估指标DBM内的恢复充分条件表信息内的恢复充分条件信息。由此，评估分数计算部15如图36所示，将包含输入了对策名的对策名区域和选择了恢复充分条件信息的选择区域的恢复对策信息写入数据库部20的安全性对策功能评估指标DBM。评估分数计算部15如图37以及图38所示，关于恢复对策信息内以及恢复充分条件表信息内的互相相同的项目，如果该恢复充分条件表信息内的恢复充分条件信息和该恢复对策信息内的恢复充分条件信息一致，则将评估结果设为正值的分数，如果两者不一致， 则将评估结果设为0值的分数，针对恢复充分条件表信息的恢复对策方针区域内的各恢复功能要件信息中的该相同的每个项目，记入评估结果的分数。在该例中，将评估结果的正值设为“1”分。但是，评估结果的正值不限于“1”分，也可以是任意的权重值。即，评估分数计算部15在将评估结果设为正值的分数时，可以将预先针对每个项目设定的权重值设为该评估结果的分数。此外，评估分数计算部15如图39所示，针对每个恢复功能要件信息，对全部评估结果的分数进行累计来计算出评估分数，并记入评估分数区域。另外，在评估分数的计算过程中，可以对各评估结果的分数进行加权，也可以从评估分数的计算式中除去期望的评估结果的分数。总之，评估分数计算部15针对对策方针区域的每个恢复功能要件信息，计算恢复功能以及探明原因条件的评估分数。(模拟运算)迁移概率计算部16，关于恢复功能，能够如前述一样计算对策前后的迁移概率，并基于迁移概率执行模拟运算。即，迁移概率计算部16，关于在信息处理设备中实施安全性对策功能之前的情形，能够基于恢复模型信息，将与相同的迁移源的安全性状态信息相关联的恢复功能要件信息的个数设为分母的值，将与共享该迁移源的相同的迁移目的地的安全性状态信息相关联的恢复功能要件信息的个数设为分子的值，通过将该分子的值除以该分母的值来计算出对策前迁移概率。例如如图31所示，可以将与相同的迁移源的安全性状态信息“P6”相关联的恢复功能要件信息“冊2”的个数“ 1，，设为分母的值，将与共享该迁移源的相同的迁移目的地的安全性状态信息“P1”相关联的恢复功能要件信息“PR2”的个数“ 1，，设为分子的值，通过将该分子的值除以该分母的值，计算出对策前迁移概率“ 1”。同样地，迁移概率计算部16，关于在信息处理设备中实施了安全性对策功能之后的情形，在该对策前迁移概率的计算中所使用的分子的值上乘以评估分数来修正该分子的值，通过将该修正过的分子的值除以作为上述恢复功能要件信息的个数的分母的值，由此可以计算出对策后迁移概率。例如如图31以及图39所示，在该对策前迁移概率的计算中所使用的分子的值“1” 上乘以评估分数“0”来修正该分子的值，通过将该修正后的分子的值“0”除以作为上述恢复功能要件信息的个数的分母的值“1”，就能计算出对策后迁移概率“0”。此外，迁移概率计算部16通过显示部19显示对策前迁移概率和对策后迁移概率。 这里，迁移概率计算部16可以根据恢复模型信息以及评估分数来通过雷达图或柱状图在显示部19中显示对策前迁移概率和对策后迁移概率，以便比较迁移源的安全性状态信息以及迁移目的地的安全性状态信息的组中的每个互相相同的组。此外，模拟执行部17，关于恢复功能，能够基于迁移概率的运算结果与前述同样地执行模拟运算，并且，如图40所示，能够显示模拟结果。如上所述，根据本实施方式，对表示安全性对策功能的细节的对策信息的各项目是否满足充分条件表信息的各项目进行评估，根据各项目的评估结果计算出评估分数，基于评估分数计算出迁移概率，通过这样的构成，即使是不熟练的评估者也能针对每个项目详细地评估作为评估对象的安全性对策功能，所以能够不依赖于评估者的熟练度地评估安全性对策功能的效果。通过针对每个迁移路径信息，计算出对策前后的迁移概率，就能比较对策前后的迁移概率，能够定量地评估安全性对策功能的效果。此外，通过对具有相同效果的安全性对策功能彼此进行比较，就能够支持用于选择具有更高普遍性、更适于信息处理设备的使用目的、更优秀的安全性对策功能。进而，将来可以根据安全性对策功能的进步和威胁的变化来容易地重新进行安全性对策功能的评估，并且，也能实现与过去的安全性对策功能的评估结果的比较。此外，虽然本实施方式是对在信息处理设备中实施一个安全性对策功能的情况进行了说明，但是不限于此，即使是在信息处理设备中实施了多个安全性对策功能的情况下也能实施，能得到同样的效果。若进行补充，当在信息处理设备中实施多个安全性对策功能时，评估分数计算部15，关于该各安全性对策功能，将对每个对策方针信息计算出的评估分数针对该每个对策方针进行相加并计算出最终的评估分数，由此就能同样地实施本实施方式并得到同样的效果。另外，上述实施方式中记载的方法也可以作为能够使计算机执行的程序，存储在磁盘(软盘(注册商标)、硬盘等)、光盘(CD-ROM、DVD等)、光磁盘(MO)、半导体存储器等存储介质中并进行发布。此外，作为该存储介质，只要是能够存储程序并是计算机能够读取的存储介质，则其存储形式可以是任意的形式。此外，根据从存储介质安装到计算机中的程序的指示而在计算机上运行的OS(操作系统)、数据库管理软件、网络软件等MW(中间件)等也可以执行用于实现上述实施方式的各处理的一部分。进而，本发明的存储介质不限于独立于计算机的介质，还包括下载通过LAN或因特网等传送的程序并存储或暂时存储的存储介质。此外，存储介质不限于一个，从多个介质执行上述实施方式中的处理的情形也包含在本发明的存储介质中，介质结构可以是任意的结构。此外，本发明中的计算机根据存储在存储介质中的程序执行上述实施方式中的各处理，可以是一台个人计算机等构成的装置、将多个装置进行网络连接而成的系统等任意结构。此外，本发明中的计算机不限于个人计算机，也包含信息处理设备中含有的运算处理装置、微型计算机等，总称能根据程序执行本发明的功能的设备、装置。另外，本申请的发明不限于上述实施方式本身，在实施阶段可以在不脱离其要旨的范围内对构成要素进行变形并具体化。此外，通过在上述实施方式中公开的多个构成要素的适当的组合，能够形成各种发明。例如，可以从在实施方式中表示的全部构成要素中删除若干构成要素。进而，也可以对跨越不同的实施方式的构成要素进行适当组合。
权利要求
1. 一种在安全性对策功能评估装置(10)中使用的、存储在计算机可读取的存储介质 (M)中的安全性对策功能评估程序，所述安全性对策功能评估装置(10)能够对存储装置即数据库部00)进行读出/写入，用于评估安装在信息处理设备中的安全性对策功能，所述安全性对策功能评估程序的特征在于，具备第1程序代码(12)，其用于使所述安全性对策功能评估装置执行如下处理将安全性保护对象资产信息和多个安全性状态信息写入所述数据库部，该安全性保护对象资产信息是对信息处理设备的物理主体、信息处理设备的功能以及保存在信息处理设备中的数据进行个别表示的信息，该多个安全性状态信息由与所述各安全性保护对象资产信息个别地关联的安全性状态ID以及状态信息构成；第2程序代码(12)，其用于使所述安全性对策功能评估装置执行如下处理将包含威胁信息的文档数据写入所述数据库部，该威胁信息包含作为安全性状态从安全的状态迁移到危险的状态或发生损害状态的原因的威胁的实施者以及执行条件的信息；第3程序代码(12)，其用于使所述安全性对策功能评估装置执行如下处理将充分条件评估参数和对策功能评估参数写入所述数据库部，该充分条件评估参数与执行任意的对策方针的充分条件相关，包含功能的有无、时间、效果、通知范围、动作时刻、以及对于起动的依存度的每个项目的选择项以及分数，该对策功能评估参数与任意的安全性对策功能相关，包含功能的有无、时间、效果、通知范围、动作时刻、以及对于起动的依存度的每个项目的选择项以及分数；第4程序代码(12)，其用于使所述安全性对策功能评估装置执行如下处理将包含对策方针区域、选择区域和分数区域的充分条件表雏形信息写入所述数据库部，该对策方针区域是输入用于对在威胁的实施者以及执行条件的信息中记载的执行条件进行抑制的对策方针信息的区域，该选择区域是与该对策方针信息的执行以及用于执行的功能名相关， 将功能的有无、时间、效果、通知范围以及对于起动的依存度的每个项目的选择项与所述充分条件评估参数相关联地列举出来的区域，该分数区域是根据所述充分条件评估参数，记载与在所述选择区域中选择的选择项相对应的分数的区域；第5程序代码(12)，其用于使所述安全性对策功能评估装置执行如下处理将包含对策名区域、选择区域以及分数区域的对策雏形信息写入所述数据库部，该对策名区域是用于输入确定所述安全性对策功能的产品的对策名的区域，该选择区域是与由该对策名确定的产品的安全性对策功能的执行以及用于执行的功能名相关，将功能的有无、时间、效果、 通知范围、以及对于起动的依存度的每个项目的选择项与所述对策功能评估参数相关联地列举出来的区域，该分数区域是根据所述对策功能评估参数，记载与在所述选择区域中选择的选择项相对应的分数的区域；第6程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理在接受包含安全性保护对象资产的指定的安全性保护对象资产的选择命令的输入时，基于该选择命令，选择所述数据库部内的安全性保护对象资产信息；第7程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理显示所述选择的安全性保护对象资产信息；第8程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理在所述安全性保护对象资产信息的显示中，当接受安全性状态ID的输入时，根据该安全性状态ID，从所述数据库部提取出与该显示中的安全性保护对象资产信息关联的安全性状态信息；第9程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理显示所提取出的安全性状态信息的安全性状态ID ；第10程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理针对显示中的每个安全性状态ID，在接受与安全、危险或发生损害的组相关的指定的输入时，基于该指定，将各安全性状态ID分类到安全、危险或发生损害的某一个组；第11程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理将与分类后的组相对应的形式的外框信息附加给显示中的安全性状态ID并进行显示；第12程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理在接受显示中的外框信息的指定的输入时，基于该指定，通过从与所述安全的组相对应的形式的外框信息朝向与所述危险或发生损害的组相对应的外框信息的箭头的形式，在该外框信息之间描绘第1迁移路径信息；第13程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理在接受显示中的外框信息的指定的输入时，基于该指定，通过从与所述危险的组相对应的的外框信息朝向与所述发生损害的组相对应的外框信息的箭头的形式，在该外框信息之间描绘第2 迁移路径信息；第14程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理在接受显示中的第1或第2迁移路径信息和所述威胁信息的指定的输入时，基于该指定，将该第1或第2迁移路径信息与该威胁信息关联起来；第15程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理通过删除未与所述成胁信息关联的第1或第2迁移路径信息，生成由相互关联的多个安全性状态信息、外框信息、第1迁移路径信息、第2迁移路径信息以及威胁信息构成的威胁发生模型信息；第16程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理基于所述威胁发生模型信息，生成将迁移源的安全性状态信息、迁移目的地的安全性状态信息以及威胁信息相互关联的威胁分析过程中数据并进行显示；第17程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理在所述威胁分析过程中数据的显示中，当接受该威胁分析过程中数据内的威胁信息中的威胁的实施者以及执行条件的指定的输入时，基于该指定，从该威胁信息中提取出威胁的实施者以及执行条件的信息；第18程序代码(14)，其用于使所述安全性对策功能评估装置执行如下处理生成将所述威胁分析过程中数据内的迁移源的安全性状态信息、迁移目的地的安全性状态信息、以及所述提取出的威胁的实施者以及执行条件的信息相互关联的威胁分析结果数据；第19程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理当接受用于对在所述威胁分析结果数据内的威胁的实施者以及执行条件的信息中记载的执行条件进行抑制的对策方针信息的输入时，将该对策方针信息写入所述充分条件表雏形信息的对策方针区域；第20程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理关于写入所述对策方针区域的对策方针信息的执行以及用于执行的功能名，在所述选择区域内的某一个选择项被指定时，在该选择区域内选择该被指定的选择项；第21程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理基于所述充分条件评估参数，将与所述选择区域内所选择的选择项对应的分数记载在所述分数区域；第22程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理将充分条件表信息写入所述数据库部，该充分条件表信息包含输入了所述对策方针信息的对策方针区域、选择了所述选择项的选择区域、以及记载了所述分数的分数区域；第23程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理在接受所述对策名的输入时，将该对策名写入所述对策雏形信息内的对策名区域；第对程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理关于写入所述对策名区域的对策名的执行以及用于执行的功能名，在所述对策雏形信息的选择区域内的某一个选择项被指定时，在该选择区域内选择该被指定的选择项；第25程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理基于所述对策功能评估参数，将与所述对策雏形信息的选择区域内所选择的选择项对应的分数记载在该对策雏形信息的分数区域；第沈程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理将基于所述对策雏形信息而生成的、包含输入了所述对策名的对策名区域、选择了所述选择项的选择区域、以及记载了所述分数的分数区域的对策信息写入所述数据库部；第27程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理关于所述对策信息内以及所述充分条件表信息内的互相相同的项目中的分数区域，计算从该对策信息的分数区域的分数中减去该充分条件表信息的分数区域的分数而得的差；第观程序代码(15)，其用于使所述安全性对策功能评估装置执行如下评估结果分数记入处理若所述差是0以上的值则将评估结果设为正值的分数，若差是负值则将评估结果设为0值的分数，针对所述对策信息内及所述充分条件表信息内的互相相同的每个项目，记入评估结果的分数；第四程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理针对所述各对策方针信息的每个功能，计算评估结果的分数的平均值；第30程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理针对每个所述对策方针信息，对全部平均值进行累计来计算评估分数；第31程序代码(16)，其用于使所述安全性对策功能评估装置执行如下处理关于在所述信息处理设备中实施安全性对策功能之前的情形，基于所述威胁分析结果数据，将相同的迁移源的安全性状态信息的个数设为分母的值，将共享该迁移源的相同的迁移目的地的安全性状态信息的个数设为分子的值，通过将该分子的值除以该分母的值，计算对策前迁移概率；第32程序代码(16)，其用于使所述安全性对策功能评估装置执行如下处理关于在所述信息处理设备中实施安全性对策功能之后的情形，从在所述对策前迁移概率的计算中所使用的分子的值减去所述评估分数来修正该分子的值，通过将该修正后的分子的值除以所述分母的值，计算对策后迁移概率；以及第33程序代码(16)，其用于使所述安全性对策功能评估装置执行如下处理显示所述对策前迁移概率和所述对策后迁移概率。
2.根据权利要求1所述的安全性对策功能评估程序，其特征在于，进一步具备 第34程序代码(12)，其用于使所述安全性对策功能评估装置执行如下处理将包含恢复对策方针区域和充分条件区域的恢复充分条件表雏形信息写入所述数据库部，该恢复对策方针区域用于记载表示恢复对策方针的恢复功能要件信息，该充分条件区域与用于实现该恢复对策方针区域内的恢复功能要件信息的充分条件相关，用于输入日志的种类、追踪功能的对象及备份的每个项目的恢复充分条件信息；第35程序代码(12)，其用于使所述安全性对策功能评估装置执行如下处理将包含对策名区域和选择区域的恢复对策雏形信息写入所述数据库部，该对策名区域用于输入确定安全性对策功能的产品的对策名，该选择区域与由该对策名确定的产品的安全性对策功能相关，将所述日志的种类、追踪功能的对象、及备份的每个项目的所述恢复充分条件作为选择项进行表示；第36程序代码(18)，其用于使所述安全性对策功能评估装置执行如下处理在接受包含安全性保护对象资产的指定的安全性保护对象资产的选择命令的输入时，基于该选择命令，从所述数据库部选择安全性保护对象资产信息并显示，在该安全性保护对象资产信息的显示中，当接受安全性状态ID的输入时，基于该安全性状态ID，从所述威胁发生模型信息中提取出与该显示中的安全性保护对象资产信息相关联的安全性状态信息；第37程序代码(18)，其用于使所述安全性对策功能评估装置执行如下处理对从所述威胁发生模型信息中提取出的安全性状态信息的安全性状态ID进行显示，针对每个该安全性状态ID，在接受安全、危险或发生损害的组的指定的输入时，基于该指定，将各安全性状态ID分类到安全、危险或发生损害的某一个组，并将与该各组相对应的形式的外框信息附加给显示中的安全性状态ID来进行显示；第38程序代码(18)，其用于使所述安全性对策功能评估装置执行如下处理在接受该显示中的外框信息的的指定的输入时，基于该指定，通过从与所述危险或发生损害的组相对应的形式的外框信息分别朝向与所述安全的组相对应的外框信息的箭头的形式，在该外框信息之间描绘第3迁移路径信息；第39程序代码(18)，其用于使所述安全性对策功能评估装置执行如下处理针对每个所述第3迁移路径信息，在接受恢复功能要件信息的输入时，将该第3迁移路径信息和该恢复功能要件信息关联起来；第40程序代码(18)，其用于使所述安全性对策功能评估装置执行如下处理生成由相互关联的多个安全性状态信息、外框信息、第3迁移路径信息以及恢复功能要件信息构成的恢复模型信息；第41程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理在接受所述日志的种类、追踪功能的对象、以及备份的每个项目的恢复充分条件信息的输入时，将该恢复充分条件信息写入所述恢复充分条件表雏形信息的充分条件区域；第42程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理将恢复充分条件表信息写入所述数据库部，该恢复充分条件表信息包含所述恢复对策方针区域和写入了所述恢复充分条件信息的充分条件区域；第43程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理在接受针对所述恢复对策雏形信息的对策名的输入时，将该对策名写入所述恢复对策雏形信息内的对策名区域；第44程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理在接受作为所述恢复对策雏形信息内的选择项的恢复充分条件信息的指定时，选择该被指定的恢复充分条件信息；第45程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理将基于所述恢复对策雏形信息而生成的、包含输入了所述对策名的对策名区域和选择了所述恢复充分条件信息的选择区域的恢复对策信息写入所述数据库部；第46程序代码(15)，其用于使所述安全性对策功能评估装置执行如下恢复评估分数记入处理关于所述恢复对策信息内以及所述恢复充分条件表信息内的互相相同的项目， 如果该恢复充分条件表信息内的恢复充分条件信息和该恢复对策信息内的恢复充分条件信息一致，则将评估结果设为正值的分数，如果两者不一致，则将评估结果设为0值的分数，针对所述恢复充分条件表信息的恢复对策方针区域内的各恢复功能要件信息中的该相同的每个项目，记入评估结果的分数；第47程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理针对每个该恢复功能要件，对全部评估结果的分数进行累计来计算评估分数；第48程序代码(16)，其用于使所述安全性对策功能评估装置执行如下处理关于在所述信息处理设备中实施安全性对策功能之前的情形，基于所述恢复模型信息，将与相同的迁移源的安全性状态信息关联的恢复功能要件信息的个数设为分母的值，将与共享该迁移源的相同的迁移目的地的安全性状态信息关联的恢复功能要件信息的个数设为分子的值， 通过将该分子的值除以该分母的值，来计算对策前迁移概率；第49程序代码(16)，其用于使所述安全性对策功能评估装置执行如下处理关于在所述信息处理设备中实施安全性对策功能之后的情形，在该对策前迁移概率的计算中所使用的分子的值上乘以通过所述恢复评估分数记入处理而得的评估分数来修正该分子的值，通过将该修正后的分子的值除以作为所述恢复功能要件信息的个数的分母的值，来计算对策后迁移概率；以及第50程序代码(16)，其用于使所述安全性对策功能评估装置执行如下处理基于所述恢复模型信息来显示所述对策前迁移概率和所述对策后迁移概率。
3.根据权利要求1所述的安全性对策功能评估程序，其特征在于，所述评估结果分数记入处理包含如下处理在将所述评估结果设为正值的分数时，将预先针对每个项目设定的权重值设为该评估结果的分数。
4.根据权利要求1所述的安全性对策功能评估程序，其特征在于，进一步具备第34程序代码(15)，其用于使所述安全性对策功能评估装置执行如下处理当在所述信息处理设备中实施多个安全性对策功能时，关于该各安全性对策功能，将针对每个所述对策方针信息而计算出的评估分数针对每个该对策方针信息进行相加，来计算最终的评估分数。
5.根据权利要求2所述安全性对策功能评估程序，其特征在于，所述恢复评估分数记入处理包含如下处理在将所述评估结果设为正值的分数时，将预先针对每个项目设定的权重值设为该评估结果的分数。
全文摘要
在安全性对策功能评估装置(10)中，通过评估者对输入部(11)的操作，评估分数计算部(15)评估表示安全性对策功能的细节的对策信息的各项目是否满足充分条件表信息的各项目，根据各项目的评估结果计算评估分数，迁移概率计算部(16)根据评估分数计算迁移概率。由此，即使是不熟练的评估者，也能针对每个项目详细地评估作为评估对象的安全性对策功能，因此，能够不依赖于评估者的熟练度而评估安全性对策功能的效果。
文档编号G06Q50/00GK102282567SQ200980152348
公开日2011年12月14日 申请日期2009年12月22日 优先权日2008年12月24日
发明者小池正修, 斯波万惠, 池上美千代, 高见泽秀久 申请人:东芝解决方案株式会社, 株式会社东芝