JP2019070912A - Security evaluation system and method for the same - Google Patents

Security evaluation system and method for the same Download PDF

Info

Publication number
JP2019070912A
JP2019070912A JP2017196023A JP2017196023A JP2019070912A JP 2019070912 A JP2019070912 A JP 2019070912A JP 2017196023 A JP2017196023 A JP 2017196023A JP 2017196023 A JP2017196023 A JP 2017196023A JP 2019070912 A JP2019070912 A JP 2019070912A
Authority
JP
Japan
Prior art keywords
input
evaluation
security
unit
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017196023A
Other languages
Japanese (ja)
Other versions
JP7026475B2 (en
Inventor
茉莉香 森
Marika Mori
茉莉香 森
高木 大輔
Daisuke Takagi
大輔 高木
聡太 川崎
Sota Kawasaki
聡太 川崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2017196023A priority Critical patent/JP7026475B2/en
Publication of JP2019070912A publication Critical patent/JP2019070912A/en
Application granted granted Critical
Publication of JP7026475B2 publication Critical patent/JP7026475B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】適切な回答を用いてセキュリティ対策の相対評価を提供する、セキュリティ評価システムおよびセキュリティ評価方法を提供する。
【解決手段】セキュリティ評価サーバ10は、入力受付部11が、各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付け、判断部12が、情報入力の適正を判断して、評価部13が、判断部12によって適正と判断された回答を統計処理して相対評価を行う。
【効果】不正回答または、不正なユーザからの入力内容を除去し、適切な回答を用いてセキュリティ対策の相対評価を提供できる。
【選択図】図1The present invention provides a security evaluation system and a security evaluation method that provide relative evaluation of security measures using appropriate answers.
A security evaluation server receives an information input including an answer to a question on security measures of each group, and a judging unit judges an appropriateness of the information input. The relative evaluation is performed by statistically processing the answers determined to be appropriate by the determination unit 12.
[Effect] It is possible to remove an incorrect response or an input from an incorrect user and provide a relative evaluation of security measures using an appropriate response.
[Selected figure] Figure 1

Description

本発明は、セキュリティ対策について評価する技術に関し、特に、セキュリティ対策状況の相対評価をするシステムおよびセキュリティ評価方法に適用して有効な技術に関するものである。   The present invention relates to a technology for evaluating security measures, and in particular, to a technology effectively applied to a system and a security evaluation method for performing a relative evaluation of security measures.

近年、IT技術の急速な発展に伴いその重要性が高まる一方、障害や情報漏洩等が発生した場合の影響度も大きくなっており、企業において適切な情報セキュリティ対策を講じることは重要な課題となっている。   In recent years, with the rapid development of IT technology, its importance has increased, but the degree of influence in the event of failure or information leakage has also increased, and it is important to take appropriate information security measures in companies. It has become.

このような、状況下において、例えば、特許文献1には、セキュリティアセスメント項目の設問に対する回答を入力し、診断対象システムのセキュリティ診断を実行した結果(診断結果ログ)と回答とを関連付けてセキュリティ分析を行うことが記載されている。   Under such circumstances, for example, in Patent Document 1, security analysis is performed by inputting an answer to a question of a security assessment item and executing security diagnosis of a system to be diagnosed (diagnosis result log) and the answer in association with each other. It is stated to do.

特開2005−234756号公報JP 2005-234756 A

上記のように、セキュリティアセスメント項目の設問の回答と、診断対象システムのセキュリティ診断を実行した結果とを関連付けてセキュリティ分析することで、正確なセキュリティの分析を行うことができる。   As described above, accurate security analysis can be performed by correlating the question answer of the security assessment item with the result of execution of the security diagnosis of the system to be diagnosed and performing security analysis.

しかしながら、特許文献1に記載の技術のように、予め設定されているセキュリティアセスメント項目に適合させることだけに注力すると、セキュリティ対策に対して過剰投資となる場合も生じ得る。例えば、同一業種の他の企業のセキュリティ対策状況と比べた指標等の相対的な評価が得られれば、自社のセキュリティ対策が十分であるかどうか判断することができる。   However, as in the case of the technology described in Patent Document 1, when focusing only on adapting to the security assessment item set in advance, an over-investment in security measures may occur. For example, if relative evaluations such as indexes compared with the security measures of other companies in the same industry can be obtained, it can be judged whether or not the security measures of the company are sufficient.

このような、相対的な評価を得る方法として、複数企業からセキュリティ対策状況についての回答を取得し、これらの回答について統計処理することが考えられる。しかしながら、一部の回答が適切でない場合(例えば、適切でないユーザから回答を得た場合)、適切でない回答も含めて相対評価してしまうことになり、正確な評価が得られない可能性がある。   As a method of obtaining such a relative evaluation, it is conceivable to obtain an answer about security countermeasure status from plural companies and statistically process the answer. However, if some answers are not appropriate (for example, when an answer is obtained from an inappropriate user), relative evaluation may be performed including the inappropriate answers, and an accurate evaluation may not be obtained. .

そこで本発明の目的は、適切な回答を用いてセキュリティ対策の相対評価を提供することにある。   It is an object of the present invention to provide a relative assessment of security measures using appropriate answers.

本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。   The above and other objects and novel features of the present invention will be apparent from the description of the present specification and the accompanying drawings.

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。   The outline of typical ones of the inventions disclosed in the present application will be briefly described as follows.

本発明の代表的な実施の形態によるセキュリティ評価システムは、セキュリティ対策に関する相対評価をするセキュリティ評価システムであって、各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける入力受付部と、入力受付部による情報入力の適正を判断する判断部と、判断部により適正と判断された情報入力における複数の団体の回答を統計処理して、各団体におけるセキュリティ対策に関する相対評価をする評価部と、評価部による相対評価を出力する出力部と、を備える。   A security evaluation system according to a representative embodiment of the present invention is a security evaluation system that performs relative evaluation on security measures, and an input reception unit that receives information input including answers to questions on security measures of each group, and an input A determination unit that determines the appropriateness of the information input by the reception unit, and an evaluation unit that statistically processes the responses of a plurality of groups in the information input determined to be appropriate by the determination unit and performs a relative evaluation on security measures in each group; And an output unit that outputs the relative evaluation by the evaluation unit.

本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。   The effects obtained by typical ones of the inventions disclosed in the present application will be briefly described as follows.

すなわち、本発明の代表的な実施の形態によれば、適切な回答を用いてセキュリティ対策の相対評価を提供することが可能となる。   That is, according to a representative embodiment of the present invention, it is possible to provide a relative assessment of security measures using appropriate answers.

本発明の一実施の形態であるセキュリティ評価システムの構成例について概要を示した図である。BRIEF DESCRIPTION OF THE DRAWINGS It is the figure which showed the outline | summary about the structural example of the security evaluation system which is one embodiment of this invention. 本発明の一実施の形態における評価画面の例について概要を示した図である。It is the figure which showed the outline | summary about the example of the evaluation screen in one embodiment of this invention. 本発明の一実施の形態におけるサービス受付画面例について概要を示した図である。It is the figure which showed the outline | summary about the service reception screen example in one embodiment of this invention. 本発明の一実施の形態における団体属性入力画面例について概要を示した図である。It is the figure which showed the outline | summary about the example of the group attribute input screen in one embodiment of this invention. 本発明の一実施の形態における対策回答画面の例について概要を示した図である。It is the figure which showed the outline | summary about the example of the countermeasure response screen in one embodiment of this invention. 本発明の一実施の形態におけるセキュリティ評価装置により提供される修正用画面と、セキュリティ評価装置により提供される修正結果画面の例について概要を示した図である。It is the figure which showed the outline about the example of the screen for a correction provided by the security evaluation device in one embodiment of the present invention, and the correction result screen provided by a security evaluation device. 本発明の一実施の形態における設問DBが記憶しているデータのデータ構造の概要を示す図である。It is a figure which shows the outline | summary of the data structure of the data which question DB memorize | stored in one embodiment of this invention. 本発明の一実施の形態における属性チェック方法について概要を示した図である。It is the figure which showed the outline about the attribute check method in one embodiment of this invention. 本発明の一実施の形態における回答の内容に基づいて判断するロジックの例について概要を示した図である。It is the figure which showed the outline | summary about the example of the logic judged based on the content of the answer in one embodiment of this invention. 本発明の一実施の形態における各設問のスコアを算出する方法について概要を示した図である。It is the figure which showed the outline | summary about the method of calculating the score of each question in one embodiment of this invention. 本発明の一実施の形態における、端末から入力された情報の適正を判断し、相対評価を提供する処理の流れの例について概要を示した図である。It is the figure which showed the outline about the example of the flow of the process which judges the appropriateness of the information input from the terminal in one embodiment of this invention, and provides relative evaluation. 本発明の一実施の形態におけるユーザの自己申告とシステム証跡の結果との比較例について概要を示した図である。It is the figure which showed the outline about the comparative example of the user's self-report and the result of a system trail in one embodiment of this invention.

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。一方で、ある図において符号を付して説明した部位について、他の図の説明の際に再度の図示はしないが同一の符号を付して言及する場合がある。   Hereinafter, embodiments of the present invention will be described in detail based on the drawings. Note that, in all the drawings for describing the embodiments, the same reference numeral is attached to the same part in principle, and the repetitive description thereof will be omitted. On the other hand, the parts described with reference to the reference numerals in a certain drawing may be referred to by the same reference numeral although not shown again in the description of the other drawings.

本発明の一実施の形態であるセキュリティ評価システムは、各団体(例えば、企業、学校、役所等)のセキュリティ対策の回答を取得して、この回答を統計処理して、各団体のセキュリティ対策に関する相対評価(例えば、偏差値、他ユーザの実施状況に基づいたスコア)を提供するシステムである。   The security evaluation system which is one embodiment of the present invention acquires the response of security measures of each group (for example, company, school, government office etc.), statistically processes this response, and relates to the security measures of each group. It is a system which provides relative evaluation (for example, a deviation value, a score based on the execution situation of other users).

セキュリティ評価システムが、セキュリティ対策に関する相対評価を提供するので、各ユーザ(例えば、企業の情報セキュリティ担当者)は、他の企業と比較してセキュリティ対策が十分であるか否かを判断することができる。   Since the security assessment system provides a relative assessment of security measures, each user (for example, a company's information security officer) may decide whether the security measures are sufficient compared to other companies. it can.

<システム構成(概要)>
図1は、本発明の一実施の形態であるセキュリティ評価システムの構成例について概要を示した図である。セキュリティ評価システム1は、例えば、セキュリティ評価サーバ10と、インターネット等のネットワーク30を介してセキュリティ評価サーバ10(セキュリティ評価装置)に接続可能な、企業の情報セキュリティ担当者であるユーザ4が保持するパーソナルコンピュータ等の端末40とを有する。 <System Configuration (Overview)>
FIG. 1 is a diagram showing an outline of a configuration example of a security evaluation system according to an embodiment of the present invention. The security evaluation system 1 is, for example, a personal information held by a user 4 who is a person in charge of corporate information security who can connect to the security evaluation server 10 (security evaluation apparatus) via the security evaluation server 10 and the network 30 such as the Internet. And a terminal 40 such as a computer.

セキュリティ評価サーバ10は、例えば、サーバ機器やクラウドコンピューティングサービス上に構築された仮想サーバ等からなるサーバシステムであり、ユーザ4が所属する団体(例えば、会社、学校)のセキュリティ対策状況の情報を収集して記録・蓄積して、ユーザ毎のセキュリティ対策の相対評価を提供する。   The security evaluation server 10 is, for example, a server system consisting of a server device and a virtual server built on a cloud computing service, and the information on the security countermeasure status of the group (for example, company, school) to which the user 4 belongs Collect, record and accumulate to provide a relative assessment of security measures for each user.

セキュリティ評価サーバ10は、図2に示すような評価画面を提供し、相対評価の情報を提供する。図2は、評価画面の例について概要を示した図である。図2に示す評価画面は、ある団体(図2の例では、株式会社A社)のセキュリティ対策状況の相対評価を示す画面である。この評価画面では、相対評価として、他社の実施状況を考慮して算出されたセキュリティ対策状況のスコア(815点)と、偏差値(64.5)とが出力されている。このように、相対評価を提供することにより、ユーザ4は、他の企業と比較して十分なセキュリティ対策を行っているか否かを判断することができる。   The security evaluation server 10 provides an evaluation screen as shown in FIG. 2 and provides information on relative evaluation. FIG. 2 is a diagram schematically showing an example of the evaluation screen. The evaluation screen shown in FIG. 2 is a screen showing a relative evaluation of the security countermeasure status of a certain group (in the example of FIG. 2, company A). In this evaluation screen, as a relative evaluation, the score (815 points) of the security countermeasure status calculated in consideration of the implementation status of the other company and the deviation value (64.5) are output. As described above, by providing the relative evaluation, the user 4 can determine whether or not sufficient security measures are taken as compared with other companies.

端末40は、ユーザ4による入力操作に応じて、セキュリティ評価サーバ10に対して、上記評価を得るためのサービス要求をする。また、端末40は、上記サービス要求に応じて、セキュリティ評価サーバ10から設問を取得し、当該設問の回答をセキュリティ評価サーバ10へ送信する。また、端末40は、上記回答に基づいた相対評価を取得したり、上記回答の更新をしたりする。   The terminal 40 makes a service request for obtaining the above evaluation to the security evaluation server 10 in response to the input operation by the user 4. Further, the terminal 40 acquires a question from the security evaluation server 10 in response to the service request, and transmits an answer of the question to the security evaluation server 10. In addition, the terminal 40 acquires a relative evaluation based on the above answer, or updates the above answer.

<画面遷移>
ここで、セキュリティ評価サーバ10が、端末40からの要求に応じて提供する画面遷移を説明する。まず、セキュリティ評価サーバ10は、各ユーザの端末40からサービス要求を受け付けると、サービス受付画面を端末40へ送信する。ここで、図3を用いて、サービス受付画面を説明する。図3は、出力部14により提供されるサービス受付画面例について概要を示した図である。図3に示すように、サービス受付画面は、メールアドレスを入力する領域であるメールアドレス入力領域300、確認メール送信ボタン301、ログイン要求ボタン302を含む。ユーザ4の操作により、メールアドレス入力領域300が入力され、確認メール送信ボタン301が押下入力されると、端末40は、当該メールアドレスをセキュリティ評価サーバ10へ送信する。 <Screen transition>
Here, the screen transition provided by the security evaluation server 10 in response to a request from the terminal 40 will be described. First, upon receiving a service request from the terminal 40 of each user, the security evaluation server 10 transmits a service acceptance screen to the terminal 40. Here, the service acceptance screen will be described with reference to FIG. FIG. 3 is a diagram showing an outline of an example of the service acceptance screen provided by the output unit 14. As shown in FIG. 3, the service acceptance screen includes a mail address input area 300 which is an area for inputting a mail address, a confirmation mail transmission button 301, and a login request button 302. When the mail address input area 300 is input by the operation of the user 4 and the confirmation mail transmission button 301 is pressed, the terminal 40 transmits the mail address to the security evaluation server 10.

セキュリティ評価サーバ10は、これに応じて、当該メールアドレス宛てに、団体属性登録先のURLを含むメールを送信する。端末40が当該URLにアクセスすると、セキュリティ評価サーバ10は、団体属性入力画面を端末40へ送信する。   In response to this, the security evaluation server 10 transmits an email including the URL of the group attribute registration destination to the email address. When the terminal 40 accesses the URL, the security evaluation server 10 transmits a group attribute input screen to the terminal 40.

ここで、図4を用いて、団体属性入力画面を説明する。図4は、団体属性入力画面例について概要を示した図である。図4に示すように、団体属性入力画面は、企業名、企業代表者名等の団体属性を入力する領域と、入力登録へ進む「入力確認画面へ」ボタンを有する。   Here, the group attribute input screen will be described with reference to FIG. FIG. 4 is a diagram schematically showing an example of the group attribute input screen. As shown in FIG. 4, the group attribute input screen has an area for inputting group attributes such as a company name and a company representative name, and a “go to input confirmation screen” button for proceeding to input registration.

端末40は、ユーザ4の操作により、団体属性を入力する領域に団体属性が入力され、「入力確認画面へ」ボタンが押下入力され、図示しない入力確認画面で入力確認した旨の指示が入力されると、団体属性を示す情報をセキュリティ評価サーバ10へ送信する。   In the terminal 40, the group attribute is input in the area for inputting the group attribute by the operation of the user 4, the "Go to input confirmation screen" button is pressed and input, and an instruction to confirm the input is input on the input confirmation screen not shown. Then, information indicating the group attribute is transmitted to the security evaluation server 10.

セキュリティ評価サーバ10は、団体属性を示す情報を取得した後に、上記メールアドレス宛てに、対策回答画面へのURLを含むメールを送信する。端末40が当該URLにアクセスすると、セキュリティ評価サーバ10は、対策回答画面を端末40へ送信する。   After acquiring the information indicating the group attribute, the security evaluation server 10 sends an e-mail including the URL to the countermeasure response screen to the e-mail address. When the terminal 40 accesses the URL, the security evaluation server 10 transmits a countermeasure response screen to the terminal 40.

ここで、図5を用いて、対策回答画面を説明する。図5は、対策回答画面の例について概要を示した図である。図5に示すように、対策回答画面は、設問と、当該設問の回答の入力部分と、保存要求を示す「現在の内容を保存」ボタンとを含む。図5に示すように、設問の例として、「自社のビジネス特性を把握したうえで、情報セキュリティリスクを特定」等がある。また、当該設問の回答(「いいえ」、「はい」等)を選択する部分がある。なお、回答の選択肢は、予め任意に設定することができ、例えば、後述する図7に示すとおり、「実施/一部実施/未実施/該当なし」、「未実施/定義した/文書化した/実施した/見直しした/該当なし」等のように設定することができる。また、図5に示す対策回答画面は、カテゴリ毎に設問を含む。図5の例では、「戦略」のカテゴリを示す設問を示している。   Here, the countermeasure response screen will be described with reference to FIG. FIG. 5 is a diagram schematically showing an example of the countermeasure response screen. As shown in FIG. 5, the countermeasure response screen includes a question, an input portion of a reply to the question, and a “save current content” button indicating a storage request. As shown in FIG. 5, an example of the question is “specify the information security risk after grasping the business characteristic of the company”. In addition, there is a part to select the answer (“No”, “Yes”, etc.) of the question. In addition, the option of an answer can be set arbitrarily beforehand, for example, as shown in FIG. 7 mentioned later, "implemented / partially implemented / not implemented / not applicable", "not implemented / defined / documented It can be set as / implemented / reviewed / not applicable. The countermeasure response screen shown in FIG. 5 includes questions for each category. In the example of FIG. 5, the question which shows the category of "strategy" is shown.

端末40は、ユーザ4による入力操作により、対策回答画面において回答が入力され、「現在の内容を保存」ボタンが選択されると、各設問の回答をセキュリティ評価サーバ10へ送信する。   The terminal 40 transmits an answer of each question to the security evaluation server 10 when an answer is inputted on the countermeasure answer screen by the input operation by the user 4 and a “save current content” button is selected.

セキュリティ評価サーバ10は、当該回答を受け付けると、当該回答に基づいた相対評価結果を含む評価画面(図2)を端末40へ送信する。   When the security evaluation server 10 receives the response, the security evaluation server 10 transmits, to the terminal 40, an evaluation screen (FIG. 2) including a relative evaluation result based on the response.

また、図3に示したサービス受付画面において、ログイン要求ボタン302が押下されると、図示しないログイン画面を端末40へ送信し、当該ログイン画面でログイン情報が入力されると、端末40は、当該ログイン情報をセキュリティ評価サーバ10へ送信する。セキュリティ評価サーバ10は、これに応じて修正用画面を端末40へ送信する。   Further, when the login request button 302 is pressed on the service acceptance screen shown in FIG. 3, the login screen (not shown) is transmitted to the terminal 40, and when the login information is input on the login screen, the terminal 40 The login information is sent to the security evaluation server 10. The security evaluation server 10 transmits a correction screen to the terminal 40 in response to this.

ここで、図6を用いて、修正用画面と修正結果画面について説明する。図6は、セキュリティ評価サーバ10により提供される修正用画面310と、セキュリティ評価サーバ10により提供される修正結果画面320との例について概要を示した図である。   Here, the correction screen and the correction result screen will be described with reference to FIG. FIG. 6 is a diagram schematically showing an example of the correction screen 310 provided by the security evaluation server 10 and the correction result screen 320 provided by the security evaluation server 10.

修正用画面310は、カテゴリごとのスコア(戦略カテゴリ 184点/250点等)、設問、現状の回答、チェックボックス311、シミュレーション要求ボタン312を含む。現状の回答が、「未実施」である設問に対応するチェックボックス311にチェックを入力した状態で、シミュレーション要求ボタン312が押下されると、端末40は、チェックした設問を示す情報(例えば、設問の識別情報)等を含む更新箇所を送信すると共に、セキュリティ評価サーバ10へ更新要求をする。   The correction screen 310 includes a score for each category (strategy category: 184 points / 250 points, etc.), a question, a current answer, a check box 311, and a simulation request button 312. When the simulation request button 312 is pressed in a state in which a check is input to the check box 311 corresponding to a question whose answer is “not performed” at present, the terminal 40 displays information indicating the checked question (for example, a question , And transmits an update request to the security evaluation server 10.

セキュリティ評価サーバ10は、当該更新要求に応じて、修正結果画面320(修正結果画面320A〜320C)を端末40へ提供する。修正結果画面320は、現在のスコアと、修正内容を反映した場合のスコア(実施後のスコア)を含む。   In response to the update request, the security evaluation server 10 provides the correction result screen 320 (correction result screens 320A to 320C) to the terminal 40. The correction result screen 320 includes a current score and a score (correction score) when the correction content is reflected.

<セキュリティ評価サーバの機能説明>
図1に戻り、セキュリティ評価サーバ10の機能説明をする。セキュリティ評価サーバ10は、図示しないCPU(Central Processing Unit)により、メモリ上に展開されたOS(Operating System)やDBMS(DataBase Management System)、Webサーバプログラム等のミドルウェアや、この上で稼働するソフトウェアを実行することにより、後述する各部の機能を実現する。本実施の形態では、図示するように、例えば、ソフトウェアとして実装された入力受付部11、判断部12、評価部13、および出力部14等の各部を有する。また、図示しないHDD(Hard Disk Drive)等の記憶装置に記録された企業関係DB15、正解DB16(正解情報記憶部)、顧客DB17、設問DB18、配点DB19、回答DB20、および評価結果DB21等の各データストアを有する。 <Functional Description of Security Evaluation Server>
Returning to FIG. 1, the function of the security evaluation server 10 will be described. The security evaluation server 10 includes middleware (OS (Operating System), DBMS (DataBase Management System), Web server program, etc.) developed on the memory by a CPU (Central Processing Unit) (not shown), and software operated thereon. By executing the functions, the functions of the respective units described later are realized. In the present embodiment, as illustrated, for example, each unit such as an input reception unit 11 implemented as software, a determination unit 12, an evaluation unit 13, and an output unit 14 is included. Further, each of the company relationship DB 15, the correct answer DB 16 (correct answer information storage unit), the customer DB 17, the question DB 18, the point allocation DB 19, the answer DB 20, the evaluation result DB 21 and the like recorded in a storage device such as HDD (Hard Disk Drive) not shown. It has a data store.

入力受付部11は、各ユーザ4のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける部分である。入力受付部11は、各ユーザ4の端末40からサービス要求を受け付ける。入力受付部11は、当該サービス要求を受け付けると、出力部14にサービス要求を通知する。   The input receiving unit 11 is a part that receives an information input including an answer to a question regarding security measures of each user 4. The input receiving unit 11 receives a service request from the terminal 40 of each user 4. When receiving the service request, the input reception unit 11 notifies the output unit 14 of the service request.

また、入力受付部11は、端末40からメールアドレスの入力を受け付ける。入力受付部11は、当該メールアドレスを記憶して、出力部14に対してメールアドレスを送出し、当該メールアドレス宛てに団体属性登録先のURLを含むメールの送信要求をする。入力受付部11は、端末40から上記メールに含まれるURLへのアクセス要求を受け付けると、出力部14へ団体属性入力画面の出力要求を送出する。   Further, the input receiving unit 11 receives an input of an e-mail address from the terminal 40. The input reception unit 11 stores the e-mail address, sends the e-mail address to the output unit 14, and makes a transmission request of the e-mail including the URL of the group attribute registration destination addressed to the e-mail address. When receiving the access request to the URL included in the mail from the terminal 40, the input receiving unit 11 sends the output request of the group attribute input screen to the output unit 14.

また、入力受付部11は、端末40から団体属性を示す情報を受け付ける。入力受付部11は、この団体属性を示す情報およびメールアドレスを判断部12へ送出し、属性チェック要求をする。入力受付部11は、属性チェック要求に応じて、判断部12から属性が適切である旨の回答を受け付けた場合、出力部14に対して、記憶していたメールアドレス宛てに対策回答画面のURLを含むメールの送信要求をする。   Further, the input reception unit 11 receives information indicating a group attribute from the terminal 40. The input reception unit 11 sends the information indicating the group attribute and the e-mail address to the determination unit 12, and makes an attribute check request. When the input acceptance unit 11 receives an answer indicating that the attribute is appropriate from the determination unit 12 in response to the attribute check request, the URL of the countermeasure response screen addressed to the stored mail address for the output unit 14 Make a request to send an email containing.

入力受付部11は、端末40が当該メールに含まれるURLへアクセスした旨を受け付けると、出力部14に対して、対策回答画面の送信要求をする。   When the input reception unit 11 receives that the terminal 40 has accessed the URL included in the mail, the input reception unit 11 requests the output unit 14 to transmit the countermeasure response screen.

なお、出力部14は、設問DB18を参照して、対策回答画面を生成して、当該対策回答画面を送信する。ここで、図7を用いて設問DB18が記憶している情報を説明する。図7は、設問DB18が記憶しているデータのデータ構造の概要を示す図である。図7に示すように、設問の識別番号(#)、設問、回答選択肢の各項目を有する。設問の識別番号は、各設問を識別するための番号である。設問は、設問の内容である。回答選択肢は、対応する設問の選択肢である。選択肢の例として、「実施(はい)/一部実施/未実施(いいえ)/(n/a)」、「定義した/文書化した/実施した/見直しした/該当なし」がある。なお、選択肢が定義した、文書化した等である設問をA群の設問という。また、選択肢が、実施、一部実施、未実施等である設問をB群の設問という。また、設問DB18は、各設問のカテゴリ(大カテゴリ、中カテゴリ)、各設問の難易度、各設問の関連性を示す情報を含む。   The output unit 14 generates a measure response screen with reference to the question DB 18 and transmits the measure response screen. Here, the information stored in the question DB 18 will be described using FIG. 7. FIG. 7 is a diagram showing an outline of a data structure of data stored in the question DB 18. As shown in FIG. 7, it has each item of the question identification number (#), the question, and the answer option. The question identification number is a number for identifying each question. The question is the content of the question. The answer options are the corresponding question options. Examples of options include "Activated (Yes) / Partially implemented / Not implemented (No) / (n / a)" and "Defined / Documented / Implemented / Reviewed / Not applicable". Questions that are defined, documented, etc. are referred to as questions in group A. In addition, questions whose options are implemented, partially implemented, not implemented, etc. are referred to as group B questions. Further, the question DB 18 includes information indicating the category (large category, medium category) of each question, the degree of difficulty of each question, and the relevance of each question.

入力受付部11は、端末40から送信された回答を受け付けて、当該回答を判断部12へ送出する。また、入力受付部11は、対策回答画面を端末40へ送信した時刻および回答を受け付けた時刻も判断部12へ送出する。   The input reception unit 11 receives the response transmitted from the terminal 40 and sends the response to the determination unit 12. Further, the input reception unit 11 also sends the time when the countermeasure response screen was sent to the terminal 40 and the time when the response was received to the determination unit 12.

入力受付部11は、既に回答を受付済みの団体からログインを受け付けた場合、出力部14に対して、ログインに用いられたユーザIDを送出すると共に、回答を修正するための画面である修正用画面の送信要求をする。   When the input receiving unit 11 receives a log-in from a group that has already received a response, the input receiving unit 11 sends out the user ID used for the log-in to the output unit 14 and is a screen for correcting the response. Make a screen transmission request.

入力受付部11は、端末40から更新箇所と共に更新要求(更新入力)を受け付けると、判断部12へ当該更新箇所と、当該端末40に対応するユーザIDと、更新要求である旨を送出する。   When the input reception unit 11 receives an update request (update input) together with the update location from the terminal 40, the input reception unit 11 sends the update location, the user ID corresponding to the terminal 40, and an update request to the determination unit 12.

判断部12は、入力受付部11による情報入力の適正を判断する部分である。判断部12は、入力受付部11により受け付けられた団体属性を示す情報と、予め記憶している正解属性情報とを比較した結果に基づいて、入力受付部11により入力された内容の適正を判断する。   The determination unit 12 is a portion that determines the appropriateness of the information input by the input reception unit 11. Determination unit 12 determines the appropriateness of the content input by input accepting unit 11 based on the result of comparing the information indicating the group attribute accepted by input accepting unit 11 with the correct attribute information stored in advance. Do.

具体的に、判断部12は、入力受付部11により、メールアドレスを含む団体属性を取得すると、正解DB16を参照する。ここで、図8を用いて団体属性のチェックについて説明する。図8は、属性チェック方法について概要を説明する図である。まず、図8(a)を用いて、正解DB16が記憶している情報を説明する。図8(a)は、正解DB16が記憶しているデータのデータ構造の概要を示す図である。図8(a)に示すように、「企業」、「勤め人」、「メールドメイン」の各項目を有する。   Specifically, the determination unit 12 refers to the correct solution DB 16 when the input reception unit 11 acquires the group attribute including the mail address. Here, the check of the group attribute will be described with reference to FIG. FIG. 8 is a diagram for explaining the outline of the attribute check method. First, the information stored in the correct answer DB 16 will be described using FIG. 8 (a). FIG. 8A shows an outline of the data structure of data stored in the correct answer DB 16. As shown in FIG. 8A, each item of “company”, “worker”, and “mail domain” is included.

「企業」は、企業名である。「勤め人」は、企業に勤める社員の名前である。「メールドメイン」は、企業のメールアドレスのドメイン部分である。判断部12は、入力受付部11により取得した属性のうち、登録企業名と同一の正解DB16の企業名に対応するメールドメインが、入力受付部11により取得したメールアドレスのドメイン部分と一致するか否かを判断する。判断部12は、当該判断の結果、一致する場合において、同一企業で最初に登録要求した担当者であれば、適正な属性入力であると判断する。   "Company" is the name of a company. "Worker" is the name of an employee who works for a company. "Email domain" is the domain part of a corporate email address. Whether the mail domain corresponding to the company name of the correct answer DB 16 identical to the registered company name among the attributes acquired by the input reception unit 11 matches the domain portion of the mail address acquired by the input reception unit 11 among the attributes acquired by the input reception unit 11 Decide whether or not. The determination unit 12 determines that the attribute input is appropriate if the person in charge is the first person in the same company who has made a registration request when the determination results in a match.

一方、判断部12は、入力受付部11から取得したメールアドレスのドメイン部分と、正解データDB12のメールドメインとが一致していないと判断した場合、適正な属性入力でないと判断する。また、判断部12は、入力受付部11から取得したメールアドレスのドメイン部分と、正解データDB12のメールドメインとが一致したとしても、既に同一企業に所属する別の担当者から登録要求がなされている場合、適正な属性入力でないと判断する。   On the other hand, when judging that the domain part of the mail address acquired from the input reception unit 11 and the mail domain of the correct answer data DB 12 do not match, the judgment unit 12 judges that the attribute input is not appropriate. In addition, even if the determination unit 12 determines that the domain part of the email address acquired from the input acceptance unit 11 matches the email domain of the correct answer data DB 12, a registration request is made from another person in charge already belonging to the same company. If yes, it is determined that the attribute input is not appropriate.

判断部12による判断例について図8(b)を用いて説明する。図8(b)は、正解データを用いて属性入力が適切か否かを判断した結果の例である。この例では、登録順と、分析パターン(判断結果)と、登録企業名と、担当者のメールアドレスと、確認の要否とを有する。なお、確認の要否とは、エラーメッセージを出力する要否を示す。   An example of determination by the determination unit 12 will be described with reference to FIG. FIG. 8B is an example of the result of using the correct answer data to determine whether the attribute input is appropriate. In this example, the registration order, the analysis pattern (determination result), the registered company name, the e-mail address of the person in charge, and the necessity of confirmation are included. The necessity of confirmation indicates the necessity of outputting an error message.

登録順1番目のケースは、B社と登録されたにも関わらず、メールアドレスのドメインがA社のものであるので、「なりすまし?」という判断結果となっている。この場合、判断部12は、属性入力が適正でないと判断する。登録順2番目のケースは、登録企業名がA社であり、メールアドレスのドメインがA社のものであり、且つ、A社で最初に登録しているので、適正な属性入力という判断結果となっている。   In the first case of registration order, the domain of the e-mail address is that of company A, even though it is registered with company B, so the judgment result is "spoofing?". In this case, the determination unit 12 determines that the attribute input is not appropriate. In the second case, the registered company name is company A, the domain of the e-mail address is that of company A, and since company A registers for the first time, it is judged that the attribute input is appropriate. It has become.

登録順3番目のケースは、登録企業名がA社であり、メールアドレスのドメインがA社のものであるが、A社で2人目になるため、「同一社名ドメイン2人目」という判断結果になっている。この場合、判断部12は、属性入力が適正でないと判断する。これは、一の団体から複数の回答を許容して、そのような回答を用いて相対評価してしまうと、適切な相対評価が得られないためである。   In the third case of registration order, the registered company name is company A, and the domain of the e-mail address is that of company A, but since company A is the second person, the judgment result "the same company name domain second person" It has become. In this case, the determination unit 12 determines that the attribute input is not appropriate. This is because if one group accepts a plurality of answers and if such an answer is used for relative evaluation, an appropriate relative evaluation can not be obtained.

判断部12は、適正な属性が入力されていると判断した場合、入力受付部11へ適正である旨の回答をする。また、判断部12は、適正な属性が入力されていると判断した場合、入力された属性を顧客DB17へ登録する。なお、判断部12は、属性の識別情報(ユーザID等ログインに必要な情報)を生成し、上記属性と対応付けて顧客DB17へ登録する。また、判断部12は、企業間の関係性を定義したデータベースである企業関係DB15を参照し、上記属性の企業名に対応する企業グループ情報(当該企業が属する企業グループを示す情報)、業種情報(当該企業の業種を示す情報)を取得する。判断部12は、これらの情報も上記属性と対応付けて顧客DB17へ登録する。   If the determination unit 12 determines that the appropriate attribute is input, the determination unit 12 replies to the input reception unit 11 that the attribute is appropriate. If the determination unit 12 determines that the appropriate attribute is input, the determination unit 12 registers the input attribute in the customer DB 17. The determination unit 12 generates identification information of the attribute (information necessary for login such as a user ID), and registers the identification information in the customer DB 17 in association with the attribute. Further, the determination unit 12 refers to the company relationship DB 15 which is a database defining the relationship between companies, company group information (information indicating the company group to which the company belongs) corresponding to the company name of the attribute, business type information Acquire (information indicating the type of business of the company). The determination unit 12 registers these pieces of information in the customer DB 17 in association with the above attributes.

また、判断部12は、適正な属性が入力されていないと判断した場合、入力受付部11へ適正でない旨の回答をする。入力受付部11は、これに応じて、出力部14に端末40へ属性エラーメッセージを出力する。なお、ユーザが使用する端末40へ属性エラーメッセージを出力するかわりに、適正でないと判断されたユーザの情報を、図示しない本セキュリティ評価システムの管理者ユーザあるいは、オペレータが使用する端末等へ送信するようにしてもよく、例えば、オペレータから電話やメール等の手段によって個別に対象ユーザへ連絡するようにしてもよい。また、端末40へ属性エラーメッセージを出力する処理と、適正でないと判断されたユーザの情報を管理者ユーザあるいはオペレータが使用する端末等へ送信する処理を同時に行うようにしてもよい。   If the determination unit 12 determines that the appropriate attribute is not input, the determination unit 12 replies to the input reception unit 11 that the attribute is not appropriate. In response to this, the input reception unit 11 outputs an attribute error message to the terminal 40 to the output unit 14. Instead of outputting the attribute error message to the terminal 40 used by the user, the information of the user determined not to be appropriate is transmitted to the administrator user of the security evaluation system (not shown) or the terminal used by the operator, etc. For example, the operator may contact the target user individually by means of a telephone, an e-mail, or the like. Further, the process of outputting the attribute error message to the terminal 40 and the process of transmitting the information of the user who is determined not to be appropriate to the administrator user or the terminal used by the operator may be performed simultaneously.

また、判断部12は、入力受付部11により受け付けられた回答の内容に基づいて、入力受付部11による入力の適正を判断する。判断部12は、入力受付部11から入力日時と、回答取得日時と、回答の内容とを取得すると、回答に基づいた判断(回答チェック)をする。   Further, the determination unit 12 determines the appropriateness of the input by the input receiving unit 11 based on the content of the answer received by the input receiving unit 11. When acquiring the input date and time, the response acquisition date and time, and the content of the response from the input reception unit 11, the determination unit 12 makes a determination (response check) based on the response.

ここで、図9に、判断部12が、回答の内容に基づいて判断するロジックの例を示す。図9に記載のように、判断部12は、5つの観点で回答の内容に基づいて入力の適正を判断する。判断部12は、1番目の観点である「全ての回答を右端/左端を選択」について判断する。具体的に、判断部12は、回答全体を参照し、回答画面の回答部分の右端の選択肢または左端の選択肢のみ選択されていると判断した場合、入力が適正でないと判断する。   Here, FIG. 9 illustrates an example of logic that the determination unit 12 makes a determination based on the content of the answer. As described in FIG. 9, the determination unit 12 determines the appropriateness of the input based on the contents of the answer from five viewpoints. The determination unit 12 determines the first viewpoint "select all the answers as the right end / left end". Specifically, the determination unit 12 determines that the input is not appropriate when it refers to the entire answer and determines that only the option at the right end or the option at the left end of the answer portion of the answer screen is selected.

また、判断部12は、2番目の観点である「回答をジグザグに選択」について判断する。具体的に、判断部12は、回答全体を参照し、回答が上の設問から下の設問に向けて一つずつずれるように回答しているか否かを判断する。判断部12は、この判断に基づき、回答をジグザグに選択していると判断した場合、入力が適正でないと判断する。このように、判断部12は、1番目および2番目の観点に基づき、所定のパターンに属するか否かに基づいて入力が適正か否か判断する。   In addition, the determination unit 12 determines the second point of view “select answers in zigzag”. Specifically, the determination unit 12 refers to the entire answer and determines whether the answer is shifted one by one from the upper question to the lower question. When judging that the answer is selected in a zigzag manner based on this judgment, the judgment unit 12 judges that the input is not appropriate. Thus, based on the first and second viewpoints, the determination unit 12 determines whether the input is appropriate based on whether or not it belongs to the predetermined pattern.

また、判断部12は、3番目の観点である「回答にかける時間が極端に短い」について判断する。具体的に、判断部12は、入力受付部11から入力日時と、回答取得日時とに基づいて回答時間を算出する。判断部12は、当該回答時間が、予め定めている閾値より短い場合、回答にかける時間が極端に短いと判断する。このように、判断部12は、入力速度に基づいて、入力が適正か否か判断する。   In addition, the determination unit 12 determines the third point of view, "the time taken to answer is extremely short". Specifically, the determination unit 12 calculates the response time based on the input date and time from the input reception unit 11 and the response acquisition date and time. When the response time is shorter than a predetermined threshold, the determination unit 12 determines that the time taken for the response is extremely short. Thus, the determination unit 12 determines whether the input is appropriate based on the input speed.

また、判断部12は、4番目の観点である「似た設問で回答が異なる」について判断する。具体的に、判断部12は、設問DB18で定義されている互いに関連する設問の回答が一致しない場合、入力が適切でないと判断する。   Further, the determination unit 12 makes a determination regarding the fourth viewpoint “the answer is different for similar questions”. Specifically, when the answers of the mutually related questions defined in the question DB 18 do not match, the determination unit 12 determines that the input is not appropriate.

また、判断部12は、5番目の観点である「簡易な対策は未実施なのに、高度な対策は実施していると選択」について判断する。具体的に、判断部12は、設問DB18で定義されている各設問の難易度を参照し、未実施と選択されている設問より難易度が高い設問が実施と選択されている場合、入力が適切でないと判断する。このように、判断部12は、4番目および5番目の観点に基づき、回答に矛盾があるか否かに基づいて入力が適正か否か判断する。   In addition, the determination unit 12 determines the fifth point of "selecting that a simple countermeasure is not implemented but a sophisticated countermeasure is implemented". Specifically, the judgment unit 12 refers to the degree of difficulty of each question defined in the question DB 18, and when a question whose degree of difficulty is higher than the question which is selected to be unexecuted is selected to be performed, the input is I judge that it is not appropriate. Thus, based on the fourth and fifth viewpoints, the determination unit 12 determines whether the input is appropriate based on whether or not there is a contradiction in the answer.

判断部12は、1〜5番目の観点の何れかについて、入力が適正でないと判断した場合、回答が適正でない旨の情報を付加して回答を回答DB20に登録する。また、判断部12は、適正な入力されていないと判断した場合、入力受付部11へ入力が適正でない旨の回答をする。入力受付部11は、これに応じて、出力部14に端末40へ回答エラーメッセージを出力する。   When determining that the input is not appropriate for any of the first to fifth viewpoints, the determination unit 12 adds information indicating that the response is not appropriate and registers the response in the response DB 20. If the determination unit 12 determines that the input is not proper, the determination unit 12 responds to the input reception unit 11 that the input is not proper. In response to this, the input reception unit 11 outputs an answer error message to the terminal 40 to the output unit 14.

また、判断部12は、1〜5番目の観点の何れについても、入力が適正でないと判断していない場合、入力が適正であると判断し、入力が適正でない旨の情報を付加することなく、回答を回答DB20に登録し、評価部13にユーザIDと、回答を送出する。   Further, if the determination unit 12 does not determine that the input is not appropriate for any of the first to fifth viewpoints, it determines that the input is appropriate and does not add information indicating that the input is not appropriate. , The answer is registered in the answer DB 20, and the user ID and the answer are sent to the evaluation unit 13.

なお、判断部12は、回答を回答DB20に登録する場合、ユーザIDおよび当該ユーザが属する企業を示す情報を対応付けて回答を登録する。   When registering the response in the response DB 20, the determination unit 12 registers the response in association with the user ID and the information indicating the company to which the user belongs.

また、判断部12は、入力受付部11によって受け付けられた更新入力(更新要求)の頻度に基づいて入力の適正を判断する。判断部12は、ユーザIDと、更新箇所と、更新である旨(更新要求)を取得する。   Further, the determination unit 12 determines the appropriateness of the input based on the frequency of the update input (update request) accepted by the input acceptance unit 11. The determination unit 12 acquires the user ID, the update location, and the update (update request).

判断部12は、更新である旨を取得する度に、ユーザIDと、更新要求時刻とを対応付けた情報を記憶している。判断部12は、当該情報を参照して、直近の所定期間内において、更新頻度(例えば、1日に更新100回)が高い場合、入力が適正ではないと判断する。   The determination unit 12 stores information in which the user ID and the update request time are associated each time it acquires that the update is performed. The determination unit 12 refers to the information and determines that the input is not appropriate when the update frequency (for example, 100 times of update per day) is high within the latest predetermined period.

また、判断部12は、回答DB20を参照して、当該ユーザIDに対応する回答を取得して、当該回答に更新箇所を適用した場合における、図9の1、2、4、5の観点について判断して、入力の適正を判断してもよい。判断部12は、入力が適正でないと判断した場合、回答DB20におけるデータに対して、当該ユーザIDに対応する回答に入力が適正でない旨の情報を付加する。また、判断部12は、適正な入力されていないと判断した場合、入力受付部11へ入力が適正でない旨の回答をする。入力受付部11は、これに応じて、出力部14に端末40へ回答エラーメッセージを出力する。一方、判断部12は、上記更新頻度が高くない場合(すなわち入力が適正であると判断した場合)、ユーザIDと、更新箇所とを評価部13へ送出する。   Further, the determination unit 12 refers to the response DB 20, acquires a response corresponding to the user ID, and applies the updated portion to the response, with respect to the viewpoints of 1, 2, 4 and 5 in FIG. It may be determined to determine the appropriateness of the input. If the determination unit 12 determines that the input is not appropriate, the determination unit 12 adds information indicating that the input is not appropriate to the response corresponding to the user ID, with respect to the data in the response DB 20. If the determination unit 12 determines that the input is not proper, the determination unit 12 responds to the input reception unit 11 that the input is not proper. In response to this, the input reception unit 11 outputs an answer error message to the terminal 40 to the output unit 14. On the other hand, when the update frequency is not high (that is, when it is determined that the input is appropriate), the determination unit 12 sends the user ID and the update location to the evaluation unit 13.

評価部13は、判断部12により適正と判断された情報入力の回答を統計処理して、各企業のセキュリティ対策に関する相対評価をする部分である。評価部13は、判断部12からユーザIDと、回答とを取得すると、当該回答に基づいて相対評価を開始する。   The evaluation unit 13 is a part that statistically processes the responses to the information input determined to be appropriate by the determination unit 12 and performs a relative evaluation on the security measures of each company. When the evaluation unit 13 acquires the user ID and the response from the determination unit 12, the evaluation unit 13 starts relative evaluation based on the response.

評価部13は、相対評価として、他社の実施値を加味した当該回答のスコアを算出する。評価部13は、回答の設問ごとに設定されている配点と、大カテゴリごとに設定されている調整係数と、各設問の回答内容に対応する値とを乗算した値が、各設問のスコアである。調整係数および配点は、配点DB19に予め記憶されている。   The evaluation unit 13 calculates, as a relative evaluation, a score of the response in consideration of the other company's implementation value. The evaluation unit 13 calculates the score of each question by multiplying the point allocation set for each question of the answer, the adjustment coefficient set for each large category, and the value corresponding to the answer contents of each question. is there. The adjustment coefficient and the point allocation are stored in advance in the point allocation DB 19.

図10を用いて、各設問のスコアを算出する方法について説明する。図10は、各設問のスコアを算出する方法について概要を示した図である。前提として1000点満点とする。大カテゴリごとで配点を分ける。例えば、大カテゴリが、「戦略」、「人・組織」、「技術」、「有事」の4つの場合、各大カテゴリのスコアは、1000/4=250点となる。続いて、調整係数について説明する。調整係数は、各大カテゴリのスコアを各大カテゴリに属するエレメンツ(設問)の数で除算した値になる。ある大カテゴリの設問が10ある場合、調整係数は、250/10=25となる。   A method of calculating the score of each question will be described with reference to FIG. FIG. 10 is a diagram showing an outline of a method of calculating the score of each question. As a premise, a score of 1000 is given. Divide points into each large category. For example, in the case where the major categories are “strategy”, “people / organization”, “technology”, and “emergency”, the score for each major category is 1000/4 = 250 points. Subsequently, the adjustment factor will be described. The adjustment factor is a value obtained by dividing the score of each large category by the number of elements (questions) belonging to each large category. If there are 10 major category questions, the adjustment factor is 250/10 = 25.

また、各設問の回答内容に対応する値(各社結果)は、回答内容に基づいて定められている。具体的には、A群の設問の場合、「未実施」は、0点、「定義した」は、0.25点、「文書化した」は、0.5点、「実施した」は、0.75点、「見直しした」は、1点となる。B群の設問の場合、該当なしを示す「未実施」は、0点、「一部実施」は、0.5点、「実施済み」は1点となる。また、A群・B群どちらにおいても自組織に対策が当てはまらないことを示す「該当なし」は、1点となる。   In addition, values (company results) corresponding to the answer contents of each question are determined based on the answer contents. Specifically, in the case of questions in group A, "not implemented" is 0 points, "defined" is 0.25 points, "documented" is 0.5 points, "implemented" is 0.75 points, "reconsidered" is 1 point. In the case of questions in group B, “Not implemented” indicating no is 0, “partially implemented” is 0.5, and “implemented” is 1. In addition, “Not applicable”, which indicates that the measures do not apply to its own organization in either group A or B, is one point.

続いて、配点について説明する。まず、図10に記載の「他社実施値」について説明する。「他社実施値」は、回答DB20に記憶されている回答のうち、入力が適正でない旨の情報が付加されていない回答(有効な回答)における、設問毎の各社結果の平均値である(Si_1等)。また、Sは、大カテゴリの下位カテゴリである中カテゴリに属する設問の他社実施値の合計である。このように、評価部13は、複数の企業の回答の内容を統計処理した結果(他社実施値)を用いて相対評価する。 Subsequently, the point allocation will be described. First, the “other companies implementation value” described in FIG. 10 will be described. The “other company implementation value” is an average value of each company's result for each question in an answer (valid answer) to which information indicating that the input is not appropriate is not added among the answers stored in the answer DB 20 (S i_1 etc.). Also, S i is the sum of competitor's implementation values of questions belonging to the middle category which is a low category of the large category. As described above, the evaluation unit 13 performs a relative evaluation using the result of statistically processing the contents of the answers of a plurality of companies (other-company implementation values).

「システム重み」は、セキュリティ評価する事業者が、設問毎に設定した値である(例えば、Ti_1)。また、Tは、中カテゴリに属する設問のシステム重みの合計である。 The “system weight” is a value set by the security evaluation provider for each question (for example, Ti_1 ). Also, T i is the sum of system weights of questions belonging to the middle category.

「配点」は、上記他社実施値、システム重みに基づいた値である。具体的に、設問Cの他社実施値がSi_kであり、設問Cのシステム重みがTi_kである場合、設問Cの配点は、{s(Si_k/S)+t(Ti_k/T)}*100となる。なお、ここで、sおよびtは、係数であり、例えば、sが0.3、tが0.7である(sおよびtの値を合計すると1.0となる)。 The “allocation” is a value based on the other company implementation value and the system weight. Specifically, a third embodiment value S i_k the questions C k, if the system weights the questions C k is T i_k, Scoring of question C k is, {s (S i_k / S i) + t (T i_k / T i )} * 100. Here, s and t are coefficients, and for example, s is 0.3 and t is 0.7 (the sum of s and t is 1.0).

なお、配点および調整係数は、予め配点DB19に記憶されており、配点DB19に記憶された配点および調整係数は、他社実施値の変化等に応じて自動的に更新されるようにしてもよく、本セキュリティ評価システムの管理者によって任意のタイミングで更新できるようにしてもよい。評価部13は、評価する度に、配点DB19から配点および調整係数を取得する。なお、評価部13は、一定時間毎(例えば、1週間毎)、回答DB20に記憶されている回答(適正でない旨の情報が付されていない回答)を参照して、配点を計算して、計算した結果を配点DB19へ記憶する。   The distribution points and the adjustment coefficients are stored in advance in the distribution point DB 19, and the distribution points and the adjustment coefficients stored in the distribution point DB 19 may be automatically updated according to changes in the other company implementation values, etc. It may be possible to update at an arbitrary timing by the administrator of the security evaluation system. The evaluation unit 13 acquires allocation points and adjustment coefficients from the allocation point DB 19 each time the evaluation is performed. In addition, the evaluation unit 13 calculates allocation points by referring to the answers stored in the answer DB 20 (answers to which the information indicating that the information is not appropriate is not attached) every predetermined time (for example, every week). The calculated result is stored in the point allocation DB 19.

「点数」は、上記「配点」と同値である(例えば、設問Cの点数は、U)。評価部13は、設問Cのスコアとして、各社結果Xと点数Uと調整係数とを乗算する。また、評価部13は、大カテゴリ毎に、当該大カテゴリに属する設問のスコアを集計する。この集計結果が、大カテゴリのスコアとなる。 The “score” is equivalent to the above “allocation” (for example, the score of the question C k is U k ). The evaluation unit 13 multiplies each company result X k , the score U k, and the adjustment coefficient as the score of the question C k . Further, the evaluation unit 13 counts, for each large category, the scores of the questions belonging to the large category. This tabulation result is the score of the large category.

また、評価部13は、評価結果DB21を参照して、各ユーザの大カテゴリ毎のスコアを取得して、これらのスコアを用いて、大カテゴリ毎の偏差値を算出する。評価部13は、当該大カテゴリ毎のスコアと、偏差値とを出力部14へ送出する。また、評価部13は、ユーザIDと、大カテゴリ毎のスコアと、偏差値とを含む評価情報を評価結果DB21へ登録する。   Further, the evaluation unit 13 refers to the evaluation result DB 21 to acquire the score for each large category of each user, and calculates the deviation value for each large category using these scores. The evaluation unit 13 sends the score for each of the large categories and the deviation value to the output unit 14. Further, the evaluation unit 13 registers, in the evaluation result DB 21, evaluation information including the user ID, the score for each large category, and the deviation value.

また、評価部13は、判断部12からユーザIDと共に更新箇所(更新対象の設問、更新後の回答)を取得した場合、当該ユーザIDに対応する回答を回答DB20から取得する。また、評価部13は、評価情報を評価結果DB21から取得する。また、評価部13は、配点DB19から配点、調整係数を取得する。評価部13は、更新箇所の設問について、当該更新後の回答と、配点と、調整係数とを用いて更新後のスコアを大カテゴリ毎に算出する。また、当該更新後のスコアに基づいて、大カテゴリ毎の偏差値を算出する。   Further, when the evaluation unit 13 acquires an update part (a question to be updated, an updated answer) together with the user ID from the determination unit 12, the evaluation unit 13 acquires an answer corresponding to the user ID from the answer DB 20. Further, the evaluation unit 13 acquires evaluation information from the evaluation result DB 21. Further, the evaluation unit 13 acquires the distribution point and the adjustment coefficient from the distribution point DB 19. The evaluation unit 13 calculates, for each of the large categories, the updated score, using the answer after the update, the point allocation, and the adjustment coefficient, for the question in the updated portion. Moreover, the deviation value for each large category is calculated based on the score after the update.

評価部13は、大カテゴリ毎の更新前のスコアと、更新後のスコアと、更新前の偏差値と、更新後の偏差値とを出力部14へ送出する。また、評価部13は、当該更新箇所に基づいて、回答DB20を更新する。また、評価部13は、更新後のスコアおよび偏差値に基づいて、評価結果DB21を更新する。   The evaluation unit 13 sends the score before update for each large category, the score after update, the deviation value before update, and the deviation value after update to the output unit 14. Further, the evaluation unit 13 updates the response DB 20 based on the updated portion. Further, the evaluation unit 13 updates the evaluation result DB 21 based on the updated score and the deviation value.

出力部14は、端末40へ情報出力する部分である。出力部14は、入力受付部11からサービス要求を受け付けると、サービス受付画面を端末40へ出力する。   The output unit 14 is a part that outputs information to the terminal 40. When receiving the service request from the input reception unit 11, the output unit 14 outputs a service reception screen to the terminal 40.

出力部14は、入力受付部11からメールアドレスを取得し、団体属性登録先のURLを含むメールの送信要求を受け付けると、上記メールアドレス宛てに当該メールを生成し、送信する。   The output unit 14 acquires an e-mail address from the input reception unit 11, and upon receiving a transmission request for an e-mail including the URL of the group attribute registration destination, generates and transmits the e-mail addressed to the e-mail address.

出力部14は、入力受付部11から団体属性入力画面の出力要求を受け付けると、当該団体属性入力画面を端末40へ出力する。   When the output unit 14 receives an output request for the group attribute input screen from the input reception unit 11, the output unit 14 outputs the group attribute input screen to the terminal 40.

出力部14は、入力受付部11からメールアドレスを取得し、対策回答画面のURLを含むメールの送信要求を受け付けると、上記メールアドレス宛てに当該メールを生成し、送信する。   The output unit 14 acquires an e-mail address from the input reception unit 11, and upon receiving a transmission request for an e-mail including the URL of the countermeasure response screen, generates and transmits the e-mail addressed to the e-mail address.

出力部14は、入力受付部11から対策回答画面の送信要求を受け付けると、対策回答画面を端末40へ送信する。   When the output unit 14 receives the transmission request for the countermeasure response screen from the input reception unit 11, the output unit 14 transmits the countermeasure response screen to the terminal 40.

出力部14は、入力受付部11から要求元のユーザIDを受信すると共に、修正用画面の送信要求を受け付けると、回答DB20を参照し、当該ユーザIDに対応する回答を取得する。また、出力部14は、評価結果DB21を参照して、ユーザIDに対応する評価情報を出力する。出力部14は、当該回答と評価を含めた更新画面を生成し、当該更新画面を端末40へ出力する。   When the output unit 14 receives the user ID of the request source from the input reception unit 11 and receives the transmission request for the correction screen, the output unit 14 refers to the response DB 20 and acquires a response corresponding to the user ID. Further, the output unit 14 outputs the evaluation information corresponding to the user ID with reference to the evaluation result DB 21. The output unit 14 generates an update screen including the response and the evaluation, and outputs the update screen to the terminal 40.

また、出力部14は、評価部13から大カテゴリ毎のスコアと、偏差値とを取得した場合、当該大カテゴリ毎のスコアと、偏差値とを含む評価画面を生成し、当該評価画面を端末40へ出力する。   In addition, when the output unit 14 acquires the score for each large category and the deviation value from the evaluation unit 13, the output unit 14 generates an evaluation screen including the score for each large category and the deviation value, and the terminal displays the evaluation screen Output to 40

また、出力部14は、評価部13から大カテゴリ毎の更新前のスコアと、更新後のスコアと、更新前の偏差値と、更新後の偏差値とを取得すると、これらの情報を含む修正結果画面320を生成し、当該修正結果画面320を端末40へ送出する。   In addition, when the output unit 14 acquires from the evaluation unit 13 the score before update for each large category, the score after update, the deviation value before update, and the deviation value after update, the correction including the above information is performed. A result screen 320 is generated, and the correction result screen 320 is sent to the terminal 40.

<処理の流れ>
図11は、本実施の形態における、端末40から入力された情報の適正を判断し、相対評価を提供する処理の流れの例について概要を示した図である。 <Flow of processing>
FIG. 11 is a diagram showing an outline of an example of a process flow of determining the appropriateness of the information input from the terminal 40 and providing relative evaluation in the present embodiment.

まず、ユーザ4の入力操作により、端末40は、メールアドレスや企業名等の属性(団体属性)をセキュリティ評価サーバ10へ送信する(S01)。セキュリティ評価サーバ10では、入力された属性と、正解情報とを比較して、属性チェックをする(S02)。   First, the terminal 40 transmits an attribute (group attribute) such as an e-mail address or a company name to the security evaluation server 10 by the input operation of the user 4 (S01). The security evaluation server 10 compares the input attribute with the correct answer information to check the attribute (S02).

セキュリティ評価サーバ10は、属性チェックの結果、入力が適正であれば、対策回答画面を端末40へ送信する(S03)。端末40は、当該対策回答画面に入力された回答をセキュリティ評価サーバ10へ送信する(S04)。セキュリティ評価サーバ10は、当該回答について、回答チェックする(S05)。セキュリティ評価サーバ10は、回答チェックの結果、入力が適切であれば、相対評価をして、評価結果画面を端末40へ送信する(S06)。端末40は、当該評価画面を表示して、一連の処理を終了する(S07)。   The security evaluation server 10 transmits a countermeasure response screen to the terminal 40 if the input is correct as a result of the attribute check (S03). The terminal 40 transmits the response input on the countermeasure response screen to the security evaluation server 10 (S04). The security evaluation server 10 checks the response for the response (S05). If the input is appropriate as a result of the response check, the security evaluation server 10 performs a relative evaluation, and transmits an evaluation result screen to the terminal 40 (S06). The terminal 40 displays the evaluation screen and ends the series of processes (S07).

上述の実施形態では、判断部12が、回答内容に基づいて入力が適切か否かを判断する場合について述べたが、システム証跡監査ツールの結果をさらに取得し、当該システム証跡監査ツールの結果と、回答とを比較して、この比較した結果に基づいて、入力が適切か否かを判断するようにしてもよい。   In the above embodiment, the determination unit 12 described the case of determining whether the input is appropriate or not based on the content of the answer, but further acquires the result of the system trail audit tool, and the result of the system trail audit tool , And the answers may be compared to determine whether the input is appropriate based on the comparison result.

ここで、図12に、ユーザの自己申告とシステム証跡の結果との比較例を示す。設問「SOC等によるセキュリティログの監視」は、ユーザの自己申告(回答)、システム証跡(システム証跡監査ツールの結果)共に実施済みであるので、適切に回答されていると判断できる。設問「標的型メール訓練実施」は、ユーザの自己申告が未実施になっているにも関わらず、システム証跡が実施済みである。これは、回答ミス(回答漏れ)の可能性がある。設問「外部委託先管理・監査」は、ユーザの自己申告が見直ししたになっており、システム証跡が実施したになっている。これは、自己申告が誤っている可能性がある。   Here, FIG. 12 shows a comparison example of the user's self-report and the system trail result. Since the question "monitoring of the security log by SOC etc." has already been implemented for both the user's self-report (answer) and the system trail (result of the system trail audit tool), it can be determined that the answer is appropriate. In the question “targeted email training implementation”, the system trail has been implemented even though the user's self-report has not been implemented. This has the possibility of an answer mistake (an answer omission). The question “outsourcee management / audit” is that the user's self-report has been reviewed and the system trail has been implemented. This may be wrong with self-reporting.

上記のような、回答ミスや自己申告が誤っている回答が、予め設定されている閾値と比較して多い場合、判断部12は、入力が適正でないと判断してもよい。これにより、セキュリティ評価サーバ10が、信用性の乏しい回答を用いて相対評価してしまうことを回避することができる。   If the number of answers with incorrect answer or self-report as described above is larger than the threshold set in advance, the determination unit 12 may determine that the input is not appropriate. This makes it possible to prevent the security evaluation server 10 from performing a relative evaluation using an unreliable response.

また、上述の実施形態では、判断部12が、入力日時と、回答取得日時とに基づいた回答時間により、回答にかける時間が極端に短いか否かを判断する場合について述べたが、設問単位の回答時間を取得し、当該回答時間に基づき回答にかける時間が極端に短いか否かを判断するようにしてもよい。   Moreover, in the above-mentioned embodiment, although judgment part 12 described the case where it was judged whether the time concerning an answer was extremely short by answering time based on an input date and an answer acquisition date, it is a question unit The response time may be acquired, and it may be determined whether the time taken for the response is extremely short based on the response time.

また、評価画面において、各団体における設問またはカテゴリ毎のヒートマップを表示するようにしてもよい。   In addition, a heat map for each question or category in each group may be displayed on the evaluation screen.

また、企業グループ毎、業種毎に他社実施値を算出し、企業グループ毎、業種毎に当該他社実施値を有する配点を配点DB19で記憶しておいてもよい。この場合、評価部13は、この配点を用いることにより、企業グループ単位、業種単位で相対評価をすることができる。   Alternatively, another company implementation value may be calculated for each company group or industry type, and a point allocation having the other company implementation value may be stored in the point allocation database 19 for each company group or industry type. In this case, the evaluation unit 13 can perform relative evaluation on a company group basis or a business sector basis by using this point allocation.

以上説明したように、入力受付部11が、各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付け、判断部12が、情報入力の適正を判断して、評価部13が、判断部12によって適正と判断された回答を統計処理して相対評価を行う。これにより、不正回答または、不正なユーザからの入力内容を除去して相対評価することができる。すなわち、セキュリティ評価サーバ10は、適切な回答を用いてセキュリティ対策の相対評価を提供できる。   As described above, the input receiving unit 11 receives an information input including an answer to a question regarding security measures of each group, and the judging unit 12 judges the appropriateness of the information input, and the evaluating unit 13 judges the judging unit 12. Statistically process the responses that are judged to be appropriate by In this way, it is possible to eliminate the fraudulent response or the input content from the fraudulent user and to make a relative evaluation. That is, the security evaluation server 10 can provide a relative evaluation of security measures using an appropriate answer.

また、判断部12は、入力受付部11により受け付けられた団体に関する属性を示す情報(メールアドレス、企業名等)と、正解属性情報とを比較した結果に基づいて、入力の適正を判断する。これによれば、セキュリティ評価サーバ10は、なりすましの入力等、適切に属性が入力されていないユーザからの設問の回答を受け付けないようにすることができるので、そのような回答を除去して相対評価することができる。すなわち、セキュリティ評価サーバ10は、適切にセキュリティ対策の相対評価をすることができる。   Further, the determination unit 12 determines the appropriateness of the input based on the result of comparing the information (e-mail address, company name, etc.) regarding the group received by the input reception unit 11 with the correct answer attribute information. According to this, since the security evaluation server 10 can not accept the answer of the question from the user whose attribute is not properly input such as the input of impersonation, such an answer is removed and the relative It can be evaluated. That is, the security evaluation server 10 can appropriately perform the relative evaluation of the security measures.

また、判断部12は、回答の内容に基づいて、入力の適正を判断するので、不正回答を用いて相対評価してしまうことを回避することができる。具体的に、判断部12は、回答内容が予め定められたパターン(左端のみの回答等)に属するか否かに基づいて、入力の適正を判断する。これにより、セキュリティ評価サーバ10は、不正回答の蓋然性が高い、単純パターンの回答を適切に特定でき、そのような回答を除去して相対評価することができる。   In addition, since the determination unit 12 determines the appropriateness of the input based on the contents of the answer, it is possible to avoid performing the relative evaluation using the incorrect answer. Specifically, the determination unit 12 determines the appropriateness of the input based on whether or not the answer content belongs to a predetermined pattern (an answer or the like of only the left end). As a result, the security evaluation server 10 can appropriately identify simple pattern answers that have a high probability of fraudulent answers, and can remove such answers and perform relative evaluation.

また、判断部12は、互いに関連する設問のそれぞれの回答に矛盾があるか否かに基づいて入力の適正を判断する。これにより、セキュリティ評価サーバ10は、不正回答の蓋然性が高い、回答に矛盾がある回答を特定することができ、そのような回答を除去して相対評価することができる。   Further, the determination unit 12 determines the appropriateness of the input based on whether or not there is a contradiction in the respective answers of the questions related to each other. As a result, the security evaluation server 10 can identify an answer having a high probability of an incorrect answer and an answer that is inconsistent, and can remove such an answer and perform a relative evaluation.

また、判断部12は、回答の入力速度に基づいて入力の適正を判断するので、雑に回答している回答(不正回答の蓋然性が高い回答)を特定することができる。   In addition, since the determination unit 12 determines the appropriateness of the input based on the input speed of the response, it is possible to identify the response that has been loosely answered (a response having a high probability of the fraudulent response).

また、判断部12は、更新入力の頻度に基づいて、入力の適正を判断するので、ロジック解析を目的とするユーザや、適切に検証せずに入力しているユーザによる回答を特定することができる。この結果、セキュリティ評価サーバ10は、上記のような回答を除去して相対評価することができる。   In addition, since the determination unit 12 determines the appropriateness of the input based on the frequency of the update input, it is possible to specify an answer from the user who is the object of the logic analysis or the user who is not properly verified. it can. As a result, the security evaluation server 10 can remove the above answers and perform relative evaluation.

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は上記の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。例えば、上記の実施の形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、上記の実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。   As mentioned above, although the invention made by the present inventor was concretely explained based on an embodiment, the present invention is not limited to the above-mentioned embodiment, and can be variously changed in the range which does not deviate from the summary. It goes without saying. For example, the above embodiments have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the described configurations. Moreover, it is possible to add, delete, and replace other configurations with respect to a part of the configurations of the above-described embodiment.

また、上記の各構成、機能、処理部、処理手段等は、それらの一部または全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記録装置、またはICカード、SDカード、DVD等の記録媒体に置くことができる。   In addition, each of the configurations, functions, processing units, processing means, etc. described above may be realized by hardware, for example, by designing part or all of them with an integrated circuit. Further, each configuration, function, etc. described above may be realized by software by the processor interpreting and executing a program that realizes each function. Information such as a program, a table, and a file for realizing each function can be placed in a memory, a hard disk, a recording device such as a solid state drive (SSD), or a recording medium such as an IC card, an SD card, or a DVD.

また、上記の各図において、制御線や情報線は説明上必要と考えられるものを示しており、必ずしも実装上の全ての制御線や情報線を示しているとは限らない。実際にはほとんど全ての構成が相互に接続されていると考えてもよい。   Further, in each of the above-mentioned drawings, control lines and information lines indicate what is considered to be necessary for explanation, and not all control lines and information lines on mounting are necessarily shown. In practice, almost all configurations may be considered to be mutually connected.

本発明は、情報処理システムにより各団体のセキュリティ対策に関する設問の回答を統計処理するセキュリティ評価システムおよびセキュリティ評価方法に利用可能である。   INDUSTRIAL APPLICABILITY The present invention is applicable to a security evaluation system and a security evaluation method that statistically processes answers of questions concerning security measures of each group by an information processing system.

1…セキュリティ評価システム、
10…セキュリティ評価サーバ、11…入力受付部、12…判断部、13…評価部、14…出力部、15…企業関係DB、16…正解DB、17…顧客DB、18…設問DB、19…配点DB、20…回答DB、21…評価結果DB、
30…ネットワーク、
40…端末。 1 ... Security evaluation system,
DESCRIPTION OF SYMBOLS 10 ... Security evaluation server, 11 ... Input reception part, 12 ... Judgment part, 13 ... Evaluation part, 14 ... Output part, 15 ... Corporate relationship DB, 16 ... Correct answer DB, 17 ... Customer DB, 18 ... Question DB, 19 ... Allocation point DB, 20 ... answer DB, 21 ... evaluation result DB,
30 ... network,
40 ... terminal.

Claims (5)

セキュリティ対策に関する相対評価をするセキュリティ評価システムであって、
各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける入力受付部と、
前記入力受付部による情報入力の適正を判断する判断部と、
前記判断部により適正と判断された情報入力における複数の団体の回答を統計処理して、各団体におけるセキュリティ対策に関する相対評価をする評価部と、
前記評価部による相対評価を出力する出力部と、
を備える、セキュリティ評価システム。 It is a security evaluation system that performs relative evaluation on security measures.
An input reception unit that receives information input including answers to questions about security measures of each group;
A determination unit that determines the appropriateness of the information input by the input reception unit;
An evaluation unit that statistically processes the responses of a plurality of groups in the information input determined to be appropriate by the determination unit, and performs a relative evaluation on security measures in each group;
An output unit that outputs a relative evaluation by the evaluation unit;
, A security assessment system. 請求項1に記載のセキュリティ評価システムにおいて、
団体に関する属性の正解情報を記憶する正解情報記憶部をさらに備え、
前記入力受付部は、団体に関する属性を示す情報の入力を受け付け、
前記判断部は、前記入力受付部により受け付けられた団体に関する属性を示す情報と、前記正解情報記憶部により記憶された正解属性情報とを比較した結果に基づいて、前記入力受付部による情報入力の適正を判断する、セキュリティ評価システム。 In the security evaluation system according to claim 1,
The information processing apparatus further comprises a correct answer information storage unit that stores correct answer information of the attribute regarding the group,
The input receiving unit receives an input of information indicating an attribute related to a group.
The determination unit is configured to input information by the input reception unit based on a result of comparing information indicating the attribute regarding the group received by the input reception unit with the correct attribute information stored by the correct information storage unit. Security evaluation system that determines appropriateness. 請求項1または2に記載のセキュリティ評価システムにおいて、
前記設問の関連性が予め定義されており、
前記入力受付部は、互いに関連する設問のそれぞれの回答の情報入力を受け付け、
前記判断部は、前記入力受付部が受け付けた、前記互いに関連する設問のそれぞれの回答に矛盾があるか否かに基づいて、前記入力受付部による入力の適正を判断する、セキュリティ評価システム。 In the security evaluation system according to claim 1 or 2,
The relevance of the question is pre-defined,
The input receiving unit receives information input of answers of respective questions related to each other,
The security evaluation system, wherein the determination unit determines the appropriateness of the input by the input reception unit, based on whether or not there is a contradiction in each answer of the related questions received by the input reception unit. 請求項1から3のいずれか一項に記載のセキュリティ評価システムにおいて、
前記入力受付部は、前記回答の更新入力を受け付け、
前記判断部は、前記更新入力の頻度に基づいて、前記入力受付部による入力の適正を判断する、セキュリティ評価システム。 The security evaluation system according to any one of claims 1 to 3.
The input receiving unit receives an update input of the answer,
The security evaluation system, wherein the determination unit determines the appropriateness of the input by the input reception unit based on the frequency of the update input. セキュリティ対策に関する相対評価をするセキュリティ評価システムが実行するセキュリティ評価方法であって、
各団体のセキュリティ対策に関する設問の回答を含む情報入力を受け付ける入力受付ステップと、
前記入力受付ステップで受け付けた情報入力の適正を判断する判断ステップと、
前記判断ステップで適正と判断された情報入力における複数の団体の回答を統計処理して、各団体におけるセキュリティ対策に関する相対評価をする評価ステップと、
前記評価ステップによる相対評価を出力する出力部と、
を含む、セキュリティ評価方法。 A security evaluation method implemented by a security evaluation system that performs a relative evaluation on security measures,
An input receiving step of receiving information input including answers to questions on security measures of each group;
A judgment step of judging the appropriateness of the information input received in the input reception step;
An evaluation step of statistically processing the responses of a plurality of groups in the information input determined to be appropriate in the determination step and performing a relative evaluation on security measures in each group;
An output unit for outputting a relative evaluation by the evaluation step;
Security assessment methods, including:
JP2017196023A 2017-10-06 2017-10-06 Security evaluation system and security evaluation method Active JP7026475B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017196023A JP7026475B2 (en) 2017-10-06 2017-10-06 Security evaluation system and security evaluation method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017196023A JP7026475B2 (en) 2017-10-06 2017-10-06 Security evaluation system and security evaluation method

Publications (2)

Publication Number Publication Date
JP2019070912A true JP2019070912A (en) 2019-05-09
JP7026475B2 JP7026475B2 (en) 2022-02-28

Family

ID=66441177

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017196023A Active JP7026475B2 (en) 2017-10-06 2017-10-06 Security evaluation system and security evaluation method

Country Status (1)

Country Link
JP (1) JP7026475B2 (en)

Cited By (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020168157A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168150A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168155A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168162A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168160A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168151A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168148A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168147A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168156A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168158A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168154A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168161A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168153A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168159A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168163A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168149A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020178801A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178799A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178874A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2020178873A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2020178802A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178870A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2020178872A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2020178800A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178798A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178871A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2021003410A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003403A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003405A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003402A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003406A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003409A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003408A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003407A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003404A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021029498A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029497A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029561A (en) * 2019-08-23 2021-03-01 株式会社三洋物産 Game machine
JP2021029495A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029560A (en) * 2019-08-23 2021-03-01 株式会社三洋物産 Game machine
JP2021029496A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029492A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029493A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029491A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029494A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021058268A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058267A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058269A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058264A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058265A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058266A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
WO2021075577A1 (en) * 2019-10-18 2021-04-22 ソフトバンク株式会社 Generating device, program, and generating method
JP2022054183A (en) * 2020-09-25 2022-04-06 三菱電機インフォメーションネットワーク株式会社 Assessment point correction device and assessment point correction program
JP2022189429A (en) * 2021-06-11 2022-12-22 株式会社リクルート Program, method, and information processing apparatus
JP7663774B1 (en) * 2024-12-24 2025-04-16 株式会社アシュアード Information processing system, information processing method, and program

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007665A (en) * 2000-06-22 2002-01-11 Ricoh Co Ltd Questionnaire survey method, questionnaire system and recording medium
JP2003150748A (en) * 2001-11-09 2003-05-23 Asgent Inc Risk assessment method
US20050102534A1 (en) * 2003-11-12 2005-05-12 Wong Joseph D. System and method for auditing the security of an enterprise
JP4469910B1 (en) * 2008-12-24 2010-06-02 株式会社東芝 Security measure function evaluation program
JP2010165099A (en) * 2009-01-14 2010-07-29 Mitsubishi Electric Corp Security management device, security management method, and program
JP2010266966A (en) * 2009-05-12 2010-11-25 Soriton Syst:Kk Security measure evaluation method and apparatus
JP2011192105A (en) * 2010-03-16 2011-09-29 Mitsubishi Electric Information Systems Corp System for support of creating security countermeasure standard, program, and security countermeasure standard creation support method

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007665A (en) * 2000-06-22 2002-01-11 Ricoh Co Ltd Questionnaire survey method, questionnaire system and recording medium
JP2003150748A (en) * 2001-11-09 2003-05-23 Asgent Inc Risk assessment method
US20050102534A1 (en) * 2003-11-12 2005-05-12 Wong Joseph D. System and method for auditing the security of an enterprise
JP4469910B1 (en) * 2008-12-24 2010-06-02 株式会社東芝 Security measure function evaluation program
JP2010165099A (en) * 2009-01-14 2010-07-29 Mitsubishi Electric Corp Security management device, security management method, and program
JP2010266966A (en) * 2009-05-12 2010-11-25 Soriton Syst:Kk Security measure evaluation method and apparatus
JP2011192105A (en) * 2010-03-16 2011-09-29 Mitsubishi Electric Information Systems Corp System for support of creating security countermeasure standard, program, and security countermeasure standard creation support method

Cited By (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020168157A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168150A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168155A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168162A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168160A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168151A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168148A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168147A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168156A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168158A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168154A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168161A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168153A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168159A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168163A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020168149A (en) * 2019-04-02 2020-10-15 株式会社三洋物産 Game machine
JP2020178801A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178799A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178802A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178800A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178798A (en) * 2019-04-24 2020-11-05 株式会社三洋物産 Game machine
JP2020178874A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2020178873A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2020178870A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2020178872A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2020178871A (en) * 2019-04-25 2020-11-05 株式会社三洋物産 Game machine
JP2021003405A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003403A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003410A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003402A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003406A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003409A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003408A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003407A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021003404A (en) * 2019-06-27 2021-01-14 株式会社三洋物産 Game machine
JP2021029493A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029497A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029495A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029496A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029492A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029498A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029491A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029494A (en) * 2019-08-22 2021-03-01 株式会社三洋物産 Game machine
JP2021029561A (en) * 2019-08-23 2021-03-01 株式会社三洋物産 Game machine
JP2021029560A (en) * 2019-08-23 2021-03-01 株式会社三洋物産 Game machine
JP2021058267A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058268A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058269A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058264A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058265A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
JP2021058266A (en) * 2019-10-03 2021-04-15 株式会社三洋物産 Game machine
WO2021075577A1 (en) * 2019-10-18 2021-04-22 ソフトバンク株式会社 Generating device, program, and generating method
JP2022054183A (en) * 2020-09-25 2022-04-06 三菱電機インフォメーションネットワーク株式会社 Assessment point correction device and assessment point correction program
JP7071462B2 (en) 2020-09-25 2022-05-19 三菱電機インフォメーションネットワーク株式会社 Evaluation point correction device and evaluation point correction program
JP2022189429A (en) * 2021-06-11 2022-12-22 株式会社リクルート Program, method, and information processing apparatus
JP7702278B2 (en) 2021-06-11 2025-07-03 株式会社リクルート Program, method, and information processing device
JP7663774B1 (en) * 2024-12-24 2025-04-16 株式会社アシュアード Information processing system, information processing method, and program

Also Published As

Publication number Publication date
JP7026475B2 (en) 2022-02-28

Similar Documents

Publication Publication Date Title
JP2019070912A (en) Security evaluation system and method for the same
US12361135B2 (en) Inquiry response mapping for determining a cybersecurity risk level of an entity
US20230098818A1 (en) Systems and methods for conducting more reliable assessments with connectivity statistics
US11665072B2 (en) Parallel computational framework and application server for determining path connectivity
US8255273B2 (en) Evaluating online marketing efficiency
US20130166601A1 (en) Systems and methods for conducting reliable assessments with connectivity information
US20130004933A1 (en) Increasing confidence in responses to electronic surveys
WO2020248658A1 (en) Abnormal account detection method and apparatus
IL246744A (en) Systems and methods for social graph data analytics to determine connectivity within a community
US20140358605A1 (en) Methods and systems for crowdsourcing a task
CN111770086B (en) Fishing user simulation collection method, device, system and computer readable storage medium
US10341323B1 (en) Automated method for on demand multifactor authentication
KR101868421B1 (en) False determination support apparatus for contents on the web and operating method thereof
CN109582581B (en) Result determining method based on crowdsourcing task and related equipment
CN112801458B (en) Video conference application evaluation method, device, equipment and storage medium
US20140180765A1 (en) Web-based survey verification
CN108804501B (en) A method and device for detecting valid information
CN111241821B (en) Method and device for determining behavior characteristics of user
JP2013050793A (en) Q&amp;a system, answer evaluation method of q&amp;a system, and answer evaluation program of q&amp;a system
US10158659B1 (en) Phony profiles detector
US20160371695A1 (en) System and method for identity and character verification of parties to electronic transactions
US10764283B1 (en) Monitoring to trigger on demand multifactor authentication
JP2021077271A (en) Cloud service use management apparatus and method
US20250307430A1 (en) Inquiry response mapping for determining a cybersecurity risk level of an entity
CN114004456B (en) Data tag calculation method, device, computer equipment and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200824

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210713

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210720

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220215

R150 Certificate of patent or registration of utility model

Ref document number: 7026475

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250