[发明专利]评价装置、评价方法以及评价程序

说明书

在评价装置(10)中，档案数据库(31)是存储对于多个人物分别表示个人特征的档案信息的数据库。安全数据库(32)是存储对于多个人物分别表示可能成为安全事故的原因的举止的特征的安全信息的数据库。模型生成部(22)导出存储于档案数据库(31)的档案信息所示的特征与存储于安全数据库(32)的安全信息所示的特征的关系性作为模型。估计部(23)接受表示其他人物的特征的信息的输入，使用由模型生成部(22)导出的模型，对于该其他人物估计可能成为安全事故的原因的举止的特征。

技术领域

本发明涉及评价装置、评价方法以及评价程序。

背景技术

为了保护组织的机密信息和资产，积极地进行针对网络攻击的措施。其中之一是与网络攻击和安全相关的教育和训练。存在如下措施：通过研讨会或E-learning学习与网络攻击及其对策相关的知识。还存在如下措施：通过发送模拟的靶向型攻击邮件训练对靶向型攻击的应对。但是，即使进行这样的措施，安全事故还是不断增加。

非专利文献1是Verizon Business社发表的与企业的信息泄露事件相关的实况调查的报告。

在非专利文献1中报告，信息泄露的企业中的59％虽然确定但是没有执行安全策略和流程。指出如果采取适当的对策则能够防止87％的信息泄露。根据该调查结果可知，无论导入多强的安全对策，安全对策的效果都强烈依存于实施该安全对策的人。

如果站在攻击者的角度可以预想到，攻击者为了使攻击成功而不引起目标组织注意，在事先充分调查该组织信息的基础上，采用攻击的成功率最高的途径。组织信息的例子是组织正在利用的系统及其版本、与外部的窗口、人员的信息、职务、相关组织以及组织的措施内容。人员信息的例子是上司、同事和好友等的交友关系、兴趣爱好以及社交媒体的利用状况。

可认为攻击者会根据这样的信息找到组织中脆弱的人，从此进入组织，慢慢地侵入组织的内部。

以企业为例进行考虑。通常，人事或资材等的工作人员比其他工作人员更多地与组织外的人物交流。组织外的人物的例子是，如果工作人员是人事负责人则为找工作中的学生，如果工作人员是资材负责人则为物品的供应商。人事或资材等的工作人员从此前没有交流过的人物收到邮件的可能性较高。能够预想到，如果是大量收到这样的邮件的工作人员，则即使从不认识的电子邮件地址收到攻击邮件，不小心没多想而打开该邮件的可能性也较高。

可以说，在Twitter(注册商标)或Facebook(注册商标)等社交媒体上非本意地登载组织信息的工作人员的安全意识，特别是针对信息泄露的意识较低。可认为攻击者将这样的工作人员作为最初的目标的可能性较高。可认为除了非本意地登载组织信息以外，还存在大量安全意识较低的人物共同的特征。由此，需要与这样的特征相关的调查。

这样，可认为攻击的容易程度根据组织的工作人员而不同。由此，可认为即使对组织的工作人员全员一律实施相同的安全教育和训练，也不能得到充分的效果。如果强迫全部工作人员进行与安全意识最低的工作人员相符的安全教育和训练，则会增加不必要的作业，业务效率降低。

因此，需要按照每个工作人员对安全意识进行评价。而且，需要通过对容易受到攻击的工作人员实施适当的安全教育和训练，提高安全而不降低组织整体的作业效率。

非专利文献2和非专利文献3是与对安全意识进行评价的技术相关的现有的研究报告。

在非专利文献2记载的技术中，计算关于性格的调查问卷与关于安全意识的调查问卷的相关性，提取性格与安全意识的因果关系。根据提取出的因果关系，提示每个组的最适当的安全对策。

在非专利文献3记载的技术中，导出心理特性与用户使用PC时的行动特性的关系。“PC”是“Personal Computer(个人计算机)”的简称。监视通常使用PC时的行动特性，判定容易受到侵害的心理状态的用户。

现有技术文献

非专利文献