wavefront-banner

トップページ > 機能安全



サイバー時代のリスク解析・自動評価ツール
「Blade Risk Manager/Blade TOIF」

製品の概要

開発元:KDM Analytics(CANADA)

Blade Risk Manager/Blade TOIF(以下 BRM)は、NISTのRisk Management Framework Assessment workflow に則り、NIST 800-53/171 に準拠したセキュリティ管理と緩和策を提案します。

BRMはモデルベースシステムズエンジニアリングにも対応します。


モデルベースシステムズエンジニアリングへのBRMの適用例
(クリックで拡大)

BRMによるセキュリティリスクの解析・評価及び対策の流れ

1. EA、MagicDraw等のモデリングツールで描いたUMLモデルをツールに読み込む
(SysMLは2020年に対応する予定)

2. 読み込んだモデルをNIST 800-53のデータベースに基づき、自動で評価を実行し脆弱を見つけ出す

3. 評価結果に基づいて出されたリスクアセスメントレポートをもとにツールが提示するリスク緩和策一覧からユーザが対策を選ぶ

4. モデルを修正して再度BRMに読み込んで評価を実施

5. リスクランク、リスクアセスメントレポートを確認し、必要に応じて繰り返し評価を実施


※オプションの利用でUML、SysML以外の形式でも読み込みが可能

主な機能

  • 脆弱性が発見されたアタックパスから同定されたリスクまでトレースが可能
  • システムズモデルに基づきアタックツリーを自動生成
  • DoD 5×5 のリスクマトリクスの自動生成が可能
  • 定量的なリスク評価が可能
  • 充実なレポート機能

  • アタックパスから同定されたリスクまでのトレースのイメージ
    (クリックで拡大)

    ツールの特徴

  • ISO15408に記載のアタックパターンに沿った分析と評価を実施
  • BRMは経験に基づくデータベースによる自動評価のため、 評価を実施する人の知見や思い込み、人的エラーやなどの属人性の問題を回避できる
  • 脅威の重要性について優先順位を決定するための手段を示してくれるので、 場当たり的な対応を無くし、最もインパクトが大きな領域にリソースを注力するための判断ができる
  • トップダウンのリスク解析、ボトムアップの脆弱性解析が可能
  • データベースのカスタマイズが可能
  • 本ツールの適用分野

  • 車載機器
  • 鉄道システム
  • 航空機システム
  • 船舶
  • 通信設備
  • 製造業
  • プラントの制御システム
  • 防衛装備
  • その他の参考記事・参考文献

  • NIST SP800-171とは
    米国政府機関が調達する製品や技術などを開発・製造する企業に対して、 一定のセキュリティ基準に準拠するように求めるガイドラインのこと。
    しかし、米国政府はNIST SP800-171というガイドラインを示しながらも、 政府と同等水準のセキュリティレベルを持つNIST SP800-53への対応を求めているのが実態のよう。

  • NIST SP800-53とは
    連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策のこと。

  • NIST SP800-171、NIST SP800-53の関連記事はこちら https://cloud.watch.impress.co.jp/docs/event/1143350.html

  • 日本の新たな防衛調達基準(NIST SP 800-171と同程度)の考え方はこちら https://www.techdevicetv.com/pdf/hp_180914security_atla.pdf

  • 製品のお問い合わせ

    本ソフトウェアに関するご質問や、導入に関するご相談などは、こちらまでお気軽にどうぞ。
    電話番号
    045-682-7070
    メールアドレス
    sales@wavefront.co.jp - 株式会社ウェーブフロント 営業部