特許ウォッチ

公開番号2025078330
公報種別公開特許公報(A)
公開日2025-05-20
出願番号2023190808
出願日2023-11-08
発明の名称リスク評価システムおよびリスク評価プログラム
出願人JRCモビリティ株式会社
代理人個人
主分類G06F 21/57 20130101AFI20250513BHJP(計算;計数)
要約【課題】サイバー攻撃に対するリスク評価をより適正に行うことを可能にするリスク評価システムおよびリスク評価プログラムを提供する。
【解決手段】サイバー攻撃の対象となる資産に関する資産情報を記憶する資産情報データベース4と、資産の保有者のサイバーセキュリティに関するスキルを所定のスキルと比較した結果であるスキル情報を記憶するスキルデータベース5と、資産情報に基づき、資産ごとの攻撃実現可能性を算出する攻撃実現可能性算出タスク6と、資産情報に基づき、資産ごとのサイバー攻撃による影響度を算出する影響度算出タスク7と、スキル情報に基づいて前記攻撃実現可能性を調整して調整攻撃実現可能性を算出する攻撃実現可能性調整タスク8と、調整攻撃実現可能性と、影響度とに基づいて、資産に対するサイバー攻撃のリスクを評価するリスク評価タスク9と、を備える。
【選択図】図1
特許請求の範囲【請求項１】
サイバー攻撃の対象となる資産に関する資産情報を記憶する資産情報記憶手段と、
前記資産の保有者のサイバーセキュリティに関するスキルを所定のスキルと比較した結果であるスキル情報を記憶するスキル記憶手段と、
前記資産情報に基づき、前記資産ごとの攻撃実現可能性を算出する攻撃実現可能性算出手段と、
前記資産情報に基づき、前記資産ごとのサイバー攻撃による影響度を算出する影響度算出手段と、
前記スキル情報に基づいて前記攻撃実現可能性を調整して調整攻撃実現可能性を算出する攻撃実現可能性調整手段と、
前記調整攻撃実現可能性と、前記影響度とに基づいて、前記資産に対するサイバー攻撃のリスクを評価するリスク評価手段と、
を備えることを特徴とするリスク評価システム。
続きを表示（約 380 文字）【請求項２】
コンピュータを、
サイバー攻撃の対象となる資産に関する資産情報を記憶する資産情報記憶手段と、
前記資産の保有者のサイバーセキュリティに関するスキルを所定のスキルと比較した結果であるスキル情報を記憶するスキル記憶手段と、
前記資産情報に基づき、前記資産ごとの攻撃実現可能性を算出する攻撃実現可能性算出手段と、
前記資産情報に基づき、前記資産ごとのサイバー攻撃による影響度を算出する影響度算出手段と、
前記スキル情報に基づいて前記攻撃実現可能性を調整して調整攻撃実現可能性を算出する攻撃実現可能性調整手段と、
前記調整攻撃実現可能性と、前記影響度とに基づいて、前記資産に対するサイバー攻撃のリスクを評価するリスク評価手段、
として機能させることを特徴とするリスク評価プログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、サイバー攻撃に対するリスクを評価するリスク評価システムおよびリスク評価プログラムに関する。
続きを表示（約 2,000 文字）【背景技術】
【０００２】
多くの自動車にはＥＣＵ（ＥｌｅｃｔｒｏｎｉｃＣｏｎｔｒｏｌＵｎｉｔ）と呼ばれる電子制御装置が多数搭載され、ＥＣＵがＣＡＮ（ＣｏｎｔｒｏｌｌｅｒＡｒｅａＮｅｔｗｏｒｋ）と呼ばれる車両内ネットワークに接続して相互通信することによって、自動車の主要な機能が電子制御されるようになっている。ＣＡＮは、Ｗｉ－Ｆｉ（登録商標）などの外部ネットワークを介して、スマートフォンや外部サーバに接続される。そのため、車両は常に外部からのサーバ攻撃の脅威に曝されている。
【０００３】
近年、国連欧州経済委員会（ＵＮ／ＥＣＥ）から、自動車に対するサイバーセキュリティ対策を義務付ける法規「ＵＮ－Ｒ１５５」が発効され、自動車メーカーや部品メーカーは、サイバーセキュリティ対策を講ずる必要に迫られている。この「ＵＮ－Ｒ１５５」を満たすためには、自動車サイバーセキュリティ規格「ＩＳＯ／ＳＡＥ２１４３４」への準拠が必要になるが、「ＩＳＯ／ＳＡＥ２１４３４」にはサイバーセキュリティ対策の具体的な内容が記載されていないため、各社とも独自の手順を確立する必要がある。
【０００４】
自動車メーカー等にとっては、製品開発時にサイバー攻撃に対する脆弱性分析を行い、リスクが高いところを改善しておくことが重要となる。「ＩＳＯ／ＳＡＥ２１４３４」には、攻撃された場合の影響度（重大さ）と、攻撃実現可能性との２つから、リスクを評価する方法が紹介されており、特許文献１には、その２つの評価基準を用いて脅威分析を行う方法およびシステムが開示されている。
【先行技術文献】
【特許文献】
【０００５】
特開２０２３－０４７５６９号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
ところで、上述のようにサイバーセキュリティのリスクを分析する場合、影響度や攻撃実現可能性をどのように評価するかが分析結果に大きく影響する。しかしながら、サイバーセキュリティに対するスキル（知識）が十分でない場合、影響度や攻撃実現可能性の評価を適切に行うことができないという問題がある。例えば、サイバーセキュリティに関するスキルが低い場合には、攻撃実現可能性を低く評価する傾向があり、その場合、リスクが低めに評価され、サイバー攻撃に対する適切な対策を講ずることができなくなる。
【０００７】
そこで本発明は、サイバー攻撃に対するリスク評価をより適正に行うことを可能にするリスク評価システムおよびリスク評価プログラムを提供することを目的とする。
【課題を解決するための手段】
【０００８】
上記課題を解決するために、請求項１の発明は、サイバー攻撃の対象となる資産に関する資産情報を記憶する資産情報記憶手段と、前記資産の保有者のサイバーセキュリティに関するスキルを所定のスキルと比較した結果であるスキル情報を記憶するスキル記憶手段と、前記資産情報に基づき、前記資産ごとの攻撃実現可能性を算出する攻撃実現可能性算出手段と、前記資産情報に基づき、前記資産ごとのサイバー攻撃による影響度を算出する
影響度算出手段と、前記スキル情報に基づいて前記攻撃実現可能性を調整して調整攻撃実現可能性を算出する攻撃実現可能性調整手段と、前記調整攻撃実現可能性と、前記影響度とに基づいて、前記資産に対するサイバー攻撃のリスクを評価するリスク評価手段と、を備えることを特徴とするリスク評価システムである。
【０００９】
請求項２の発明は、コンピュータを、サイバー攻撃の対象となる資産に関する資産情報を記憶する資産情報記憶手段と、前記資産の保有者のサイバーセキュリティに関するスキルを所定のスキルと比較した結果であるスキル情報を記憶するスキル記憶手段と、前記資産情報に基づき、前記資産ごとの攻撃実現可能性を算出する攻撃実現可能性算出手段と、前記資産情報に基づき、前記資産ごとのサイバー攻撃による影響度を算出する影響度算出手段と、前記スキル情報に基づいて前記攻撃実現可能性を調整して調整攻撃実現可能性を算出する攻撃実現可能性調整手段と、前記調整攻撃実現可能性と、前記影響度とに基づいて、前記資産に対するサイバー攻撃のリスクを評価するリスク評価手段、として機能させることを特徴とするリスク評価プログラムである。
【発明の効果】
【００１０】
請求項１および２の発明によれば、サイバー攻撃の対象となる資産の保有者のスキルを考慮して攻撃実現可能性を調整するので、サイバー攻撃に対するリスク評価をより適正に行うことができ、延いては、サイバー攻撃に対するより適切な措置を講じることが可能となる。
【図面の簡単な説明】
（【００１１】以降は省略されています）

関連特許