特許ウォッチ

公開番号2025099461
公報種別公開特許公報(A)
公開日2025-07-03
出願番号2023216140
出願日2023-12-21
発明の名称情報管理システム
出願人株式会社野村総合研究所
代理人弁理士法人大塚国際特許事務所
主分類G06Q 50/10 20120101AFI20250626BHJP(計算;計数)
要約【課題】複数の団体をまたいだ情報セキュリティ対策に関する定量的な評価を柔軟に提供できる仕組みを実現すること。
【解決手段】複数の団体を含むグループについてセキュリティ対策に関する評価情報を管理する情報管理システムであって、各団体のセキュリティ対策に関する評価情報を保持するデータベースと、階層構造を構成する1つ以上のサブグループであって、各サブグループに少なくとも1つの団体が直接的に又は間接的に関連付けられる当該1つ以上のサブグループを、上記グループ内に設定する設定部と、上記1つ以上のサブグループのうちの第1のサブグループがユーザにより選択された場合に、上記第1のサブグループのセキュリティ対策に関する統計情報を上記データベースで保持されている上記評価情報に基づいて生成して、生成した上記統計情報を出力する情報出力部と、含む情報管理システムが提供される。
【選択図】図5
特許請求の範囲【請求項１】
複数の団体を含むグループについてセキュリティ対策に関する評価情報を管理する情報管理システムであって、
各団体のセキュリティ対策に関する評価情報を保持するデータベースと、
階層構造を構成する１つ以上のサブグループであって、各サブグループに少なくとも１つの団体が直接的に又は間接的に関連付けられる当該１つ以上のサブグループを、前記グループ内に設定する設定部と、
前記１つ以上のサブグループのうちの第１のサブグループがユーザにより選択された場合に、前記第１のサブグループのセキュリティ対策に関する統計情報を前記データベースで保持されている前記評価情報に基づいて生成して、生成した前記統計情報を出力する情報出力部と、
含む情報管理システム。
続きを表示（約 1,400 文字）【請求項２】
前記情報管理システムは、セキュリティ関連質問に対して各団体により提出される回答に基づいて、前記評価情報を生成する評価部、をさらに含む、請求項１に記載の情報管理システム。
【請求項３】
前記設定部は、同じ団体を異なる複数のサブグループに関連付けることができる、請求項１に記載の情報管理システム。
【請求項４】
前記データベースは、さらに、特定のサブグループに適用されるべきセキュリティ関連質問のテンプレートを保持し、
前記特定のサブグループに関連付けられる団体についての前記評価情報は、前記テンプレートに基づくセキュリティ関連質問に対する回答に基づいて生成される、
請求項２に記載の情報管理システム。
【請求項５】
前記評価部は、
前記複数の団体のうちの第１の団体へセキュリティ関連質問に対する回答を依頼し、
前記第１の団体から提出される回答について少なくとも１人の承認者による承認を待ち受け、
前記承認が得られた後に、前記第１の団体について前記評価情報を生成し、
前記少なくとも１人の承認者は、前記階層構造に基づいて選択される、
請求項２に記載の情報管理システム。
【請求項６】
前記第１のサブグループのセキュリティ対策に関する前記統計情報は、
前記第１のサブグループに関連付けられる１つ以上の団体について集計されたセキュリティ対策に関するスコアの統計値、
前記第１のサブグループに関連付けられる前記１つ以上の団体とは異なる、前記グループ内の他の団体を含む母集団の中でのセキュリティ対策に関する相対評価、及び、
前記第１のサブグループに関連付けられる前記１つ以上の団体とは異なる、前記グループ外の団体を含む母集団の中でのセキュリティ対策に関する相対評価、
のうちの少なくとも１つを含む、請求項１に記載の情報管理システム。
【請求項７】
前記母集団は、前記第１のサブグループに付与された属性に基づいて選択される、請求項６に記載の情報管理システム。
【請求項８】
前記データベースは、各団体のセキュリティ対策に関するタスク情報をさらに保持し、
前記情報出力部は、
前記第１のサブグループが前記ユーザにより選択され、且つ第１のユーザ操作が行われた場合に、前記評価情報に基づいて生成される前記統計情報を出力し、
前記第１のサブグループが前記ユーザにより選択され、且つ前記第１のユーザ操作と異なる第２のユーザ操作が行われた場合に、前記第１のサブグループに関連付けられている少なくとも１つの団体の前記タスク情報を出力する、
請求項１に記載の情報管理システム。
【請求項９】
各団体のセキュリティ対策に関する前記タスク情報は、セキュリティ関連質問に対して当該団体により提出される回答に基づいて生成されるタスク項目を含む、請求項８に記載の情報管理システム。
【請求項１０】
前記情報管理システムは、
セキュリティ関連質問に対して前記回答が提出された際に、提出された当該回答に基づいて前記タスク項目を自動的に生成する生成部、
をさらに含む、請求項９に記載の情報管理システム。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、情報管理システムに関する。
続きを表示（約 2,100 文字）【背景技術】
【０００２】
企業及び自治体といった団体の多くにおいて、情報セキュリティは、団体運営上の重要な課題の１つであると認識されている。計画され又は実行されているセキュリティ対策が十分であるかを客観的に把握するためは、セキュリティ対策の適否を定量的に示す指標が提供されることが望ましい。しかし、セキュリティ対策は、技術面だけでなく戦略面や制度面からなされる対策も含むため、そうした対策の適否を自動的に評価することは難しい。
【０００３】
特許文献１は、多様な観点でなされるセキュリティ対策が十分であるかの定量的な指標を提供するために、質問・回答（ＱＡ）形式で受け付けた回答情報に基づいて評価スコアを算出するセキュリティ評価システムを開示している。特許文献１のセキュリティ評価システムは、数多くの団体のスコアに対する個々の団体のスコアの相対評価を提供することで、ユーザがセキュリティ対策の改善点を見つけ出すこと及び過剰なセキュリティ投資を回避することを可能にする。
【先行技術文献】
【特許文献】
【０００４】
特許第７０２６４７５号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
昨今、複数の団体が関与するサプライチェーンに対するサイバー攻撃が問題とされている。サプライチェーンの中にセキュリティ対策の脆弱な箇所があると、その箇所へのサイバー攻撃の結果として、サプライチェーンの全体がセキュリティリスクに曝されかねない。特許文献１のセキュリティ評価システムは、団体ごとの個別の評価結果を提供するものであるため、サプライチェーンのような複数の団体の集合についてセキュリティ対策が十分であるかの判断を促進するものではなかった。
【０００６】
セキュリティ対策の妥当性は、事業活動が継続している限り、定期的にモニタリングされることが望ましい。しかし、サプライチェーンにおける団体間の連携のあり方は、事業環境の変化に合わせて動的に変化し得る。そのため、サプライチェーンの全体にわたるセキュリティ対策上の問題点に適時に気付くためには、複数の団体をまたいだ定量的な評価を柔軟に提供できることが求められる。
【０００７】
本発明は、上述した課題に鑑み、複数の団体をまたいだ情報セキュリティ対策に関する定量的な評価を柔軟に提供できる仕組みを実現することを目的とする。
【課題を解決するための手段】
【０００８】
ある観点によれば、複数の団体を含むグループについてセキュリティ対策に関する評価情報を管理する情報管理システムが提供される。上記情報管理システムは、各団体のセキュリティ対策に関する評価情報を保持するデータベースと、階層構造を構成する１つ以上のサブグループであって、各サブグループに少なくとも１つの団体が直接的に又は間接的に関連付けられる当該１つ以上のサブグループを、上記グループ内に設定する設定部と、上記１つ以上のサブグループのうちの第１のサブグループがユーザにより選択された場合に、上記第１のサブグループのセキュリティ対策に関する統計情報を上記データベースで保持されている上記評価情報に基づいて生成して、生成した上記統計情報を出力する情報出力部と、含む。
【発明の効果】
【０００９】
本発明によれば、複数の団体をまたいだ情報セキュリティ対策に関する定量的な評価を柔軟に提供することが可能となる。
【図面の簡単な説明】
【００１０】
一実施形態に係る情報管理システムの概要を示す模式図。
セキュリティ関連質問に対する回答の入力のための画面の構成の一例を示す説明図。
診断結果の表示のための画面の構成の一例を示す説明図。
一実施形態に係る管理サーバの構成の一例を示すブロック図。
一実施形態に係るセキュリティ診断の作業の流れの一例を示すシーケンス図。
一実施形態に係るグループ設定画面の構成の一例を示す説明図。
一実施形態に係る診断ステータス画面の構成の一例を示す説明図。
一実施形態に係る診断選択画面の構成の一例を示す第１の説明図。
一実施形態に係る診断選択画面の構成の一例を示す第２の説明図。
一実施形態に係る統計表示画面の構成の一例を示す第１の説明図。
一実施形態に係る統計表示画面の構成の一例を示す第２の説明図。
一実施形態に係る統計出力処理の流れの一例を示すフローチャート。
第１の変形例に係るセキュリティ診断の作業の流れの一例を示すシーケンス図。
第２の変形例に係る管理サーバの構成の一例を示すブロック図。
第２の変形例に係るテンプレート設定画面の構成の一例を示す説明図。
第２の変形例に係るタスク表示画面の構成の一例を示す説明図。
【発明を実施するための形態】
（【００１１】以降は省略されています）

関連特許