| Item type |
Journal(1) |
| 公開日 |
2022-03-15 |
| タイトル |
|
|
タイトル |
自治体セキュリティモデルのためのリスクアセスメント手法の提案と適用 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Proposal and Application of Risk Assessment Method for Local Government Security Models |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
[一般論文] リスクアセスメント,イベントツリー分析,ディフェンスツリー分析,自治体セキュリティモデル,対策案最適組合せ |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_6501 |
|
資源タイプ |
journal article |
| ID登録 |
|
|
ID登録 |
10.20729/00217491 |
|
ID登録タイプ |
JaLC |
| 著者所属 |
|
|
|
東京電機大学 |
| 著者所属 |
|
|
|
日立製作所 |
| 著者所属 |
|
|
|
日立製作所 |
| 著者所属 |
|
|
|
日立コンサルティング |
| 著者所属(英) |
|
|
|
en |
|
|
Tokyo Denki University |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Hitachi Consulting |
| 著者名 |
佐々木, 良一
千葉, 寛之
甲斐, 賢
木下, 翔太郎
|
| 著者名(英) |
Ryoichi, Sasaki
Hiroyuki, Chiba
Satoshi, Kai
Shotarou, Kinoshita
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
情報システムへの社会の依存度の増大により,情報システムに対するリスクアセスメントの重要性が増大してきている.総務省でも地方自治体のマイナンバー利用事務系,LGWAN接続系,インターネット接続系からなる3階層分離モデルに対し,セキュリティリスク,対策コスト,作業の負担度のバランスのとれた対策案の組合せを求める必要があった.著者らは,標的型攻撃のようにシーケンスが深い攻撃に対する定量的リスクアセスメント手法として,イベントツリー分析法とディフェンスツリー分析法を組み合わせたEDC法(Event tree and Defense tree Combined method)を開発してきた.しかし,EDC法をそのままこのシステムに適用しようとすると,① 従来の評価指標はコストとリスク低減効果だけに対応するものであり,それ以外に作業負担度も考慮に入れる必要がある,② 侵入先が2カ所あり,2段階の侵入を考慮したリスクアセスメントが必要である,③ 対象システムの構成原案がαモデル,βモデル,β'モデルと複数あり,それぞれをベースにした対策案の最適組合せを求めるとともに,全体としての最適な対策の組合せを求める必要があるなどの問題があった.このような問題を解決するために,拡張EDC法とその支援プログラムであるPEEDCを開発し,地方自治体セキュリティモデルに適用した.その結果,拡張EDC法の有効性を確認するとともに,地方自治体のあるべきセキュリティ対策として種々の具体的知見が得られたので報告する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
With the increasing dependence of society on information systems, the importance of risk assessment of information systems is increasing. It is also necessary to request the security model of Japanese local governments in order to determine a combination of countermeasures with a good balance between security risk, countermeasure cost, and work burden. In order to obtain the optimum combination of information system countermeasures for local governments, we have developed an extended event tree and defense tree combined (extended EDC) method, which is an improvement of the previously developed EDC method, and developed a support program for the extended EDC. However, when the EDC method was applied to this system as it was, there were the following three problems. (1) Conventional evaluation indexes correspond only to cost and risk reduction effects, and it is also necessary to take into consideration the degree of work load. (2) There are two intrusion destinations, and a risk assessment that considers two stages of intrusion is required. (3) There are multiple drafts of the configuration of the target system, such as α model, β model, and β' model, and it is necessary to find the optimum combination of countermeasures based on each model and the optimum combination of countermeasures as a whole. In order to solve such problems, we developed the extended EDC method and its support program, PEEDC, and applied them to the local government security model. As a result, we confirmed the effectiveness of the extended EDC method and obtained various useful findings as the ideal security measures for local governments. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN00116647 |
| 書誌情報 |
情報処理学会論文誌
巻 63,
号 3,
p. 899-907,
発行日 2022-03-15
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
1882-7764 |
IPSJ-JNL6303026.pdf (6.4 MB)
