安全风险评价装置、安全风险评价方法以及安全风险评价程序

摘要

人物网络检测部(110)根据对象者的公开信息来检测表示所述对象者与关系者群的关联的人物网络。公开风险计算部(120)根据所述对象者的公开信息来计算所述对象者的公开风险，根据与所述关系者群对应的公开信息群来计算与所述关系者群对应的公开风险群。关联风险决定部(130)根据与所述关系者群对应的所述公开风险群，将所述公开风险群的代表值决定为所述对象者的关联风险。安全风险计算部(140)使用所述对象者的所述公开风险和所述对象者的所述关联风险，计算针对网络攻击的所述对象者的安全风险。

说明书

技术领域

本发明涉及评价个人的安全风险的技术。

背景技术

在组织中，为了保护机密信息以及资产，积极地进行针对网络攻击的努力。

其一为与网络攻击以及安全有关的教育或者训练。有通过研讨会或者电子化学习来学习与网络攻击的对策有关的知识的例子或者通过发送模拟的目标型攻击邮件来训练对目标型攻击的应对的例子等。

但是，即使进行这样的努力，安全事故仍不断增加。

在非专利文献1中，记载有如下内容。在与企业的信息外流事件有关的实际情况调查中，报告了信息外流的企业中的59％的企业虽然制定有安全政策以及步骤，但未执行它们。另外，还指出了只要采取适当的对策，87％的信息泄漏是能够防止的。

从该调查结果也可知，不论以何种程度引入安全对策，安全对策的效果都大幅依赖于实施该安全对策的人。

在非专利文献2中，记载有如下内容。取得与性格有关的问卷调查和与安全意识有关的问卷调查的相关性，制作性格与安全意识的因果关系。根据制作出的因果关系，对每个群组提示最佳的安全对策。

然而，为了以问卷调查形式收集信息，需要工夫和时间。另外，由于利用性格这样的难以定量化的信息，所以难以对得到的因果关系做出具有依据性的解释。

在非专利文献3中，记载有如下内容。将心理特性与用户利用计算机时的行动特性的关系导出，监视通常利用计算机时的行动特性，判定处于容易受到伤害的心理状态的用户。

该方法的优点在于无需每次实施问卷调查。但是，由于利用心理状态这样的难以定量化的信息，所以难以针对得到的因果关系做出具有依据的解释。

现有技术文献

非专利文献

非专利文献1：中泽优美子等，“Best Mathch Security－性格と本人認証技術のセキュリティ意識との相関に関する検討－(最佳匹配安全性－与性格和本人认证技术的安全意识的相关性有关的研究－)”，信息处理学会研究报告，Vol.2010－CSEC－48No.21

非专利文献2：片山佳则等，“ユーザー行動特性分析による個人と組織のITリスク見える化の試み(基于用户行动特性分析的个人与组织的IT风险可视化的尝试)”，SCI2015加密和信息安全讨论会，4D1－3

非专利文献3：守屋润一等，“標的型攻撃の被害者となる人を予測することは可能か？(能够预测作为目标型攻击的受害者的人？)”，SCIS2017加密和信息安全讨论会，1F1－2

发明内容

本发明的目的在于能够定量地且自动地评价个人的安全风险。

本发明提供一种安全风险评价装置，具备：

人物网络检测部，根据对象者的公开信息，检测表示关系者群与所述对象者的关联的人物网络，所述关系者群为与所述对象者具有直接的关联或者至少经由一人而与所述对象者具有关联的一个以上的关系者；

公开风险计算部，根据所述对象者的公开信息来计算所述对象者的公开风险，根据与所述关系者群对应的公开信息群来计算与所述关系者群对应的公开风险群；

关联风险决定部，根据与所述关系者群对应的所述公开风险群，将所述公开风险群的代表值决定为所述对象者的关联风险；以及

安全风险计算部，使用所述对象者的所述公开风险和所述对象者的所述关联风险，计算针对网络攻击的所述对象者的安全风险。

根据本发明，能够定量地且自动地评价个人(对象者)的安全风险。

另外，能够评价个人的安全风险，所以能够确定安全风险高的人物。

附图说明

图1是实施方式1中的安全风险评价装置100的结构图。

图2是实施方式1中的人物网络检测部110的结构图。

图3是实施方式1中的存储部190的结构图。

图4是实施方式1中的安全风险评价方法的流程图。

图5是实施方式1中的递归检索处理的流程图。

图6是示出实施方式1中的类别表格191的图。

图7是示出实施方式1中的人物网络图201的图。

图8是示出实施方式3中的人物网络图202的图。

图9是实施方式4中的安全风险评价装置100的结构图。

图10是实施方式4中的存储部190的结构图。

图11是实施方式4中的安全风险评价方法的流程图。

图12是实施方式4中的可信度计算处理(S430)的流程图。

图13是示出实施方式4中的目录图211的图。

图14是实施方式5中的安全风险评价装置100的结构图。

图15是实施方式5中的安全风险评价方法的流程图。

图16是各实施方式中的安全风险评价装置100的硬件结构图。

(符号说明)

100：安全风险评价装置；101：处理器；102：存储器；103：辅助存储装置；104：输入接口；105：通信设备；109：处理电路；110：人物网络检测部；111：收集部；112：分类部；113：递归控制部；120：公开风险计算部；130：关联风险决定部；140：安全风险计算部；150：可信度计算部；160：脆弱性检测部；190：存储部；191：类别表格；192：词典数据；193：目录信息；201、202：人物网络图；211：目录图。

具体实施方式

在实施方式以及附图中，对相同的要素以及对应的要素附加有相同的符号。适当地省略或者简化附加了相同的符号的要素的说明。图中的箭头主要表示数据的流动或者处理的流程。

实施方式1.

根据图1至图7，说明考虑个人的信息公开度和与个人存在关系的人物的信息公开度而定量地且自动地计算个人的安全风险的方式。

***结构的说明***

根据图1，说明安全风险评价装置100的结构。

安全风险评价装置100为具备处理器101、存储器102、辅助存储装置103、输入接口104以及通信设备105这样的硬件的计算机。这些硬件经由信号线相互连接。

处理器101为进行运算处理的IC(Integrated Circuit，集成电路)，控制其它硬件。例如，处理器101为CPU(Central Processing Unit，中央处理单元)、DSP(DigitalSignal Processor，数字信号处理器)、或者GPU(Graphics Processing Unit，图形处理单元)。

存储器102为易失性的存储装置。存储器102还被称为主存储装置或者主存储器。例如，存储器102为RAM(Random Access Memory，随机存取存储器)。存储于存储器102的数据根据需要而保存于辅助存储装置103。

辅助存储装置103为非易失性的存储装置。例如，辅助存储装置103为ROM(ReadOnly Memory，只读存储器)、HDD(Hard Disk Drive，硬盘驱动器)或者闪存存储器。存储于辅助存储装置103的数据根据需要而载入到存储器102。

输入接口104为连接输入装置以及输出装置的端口。例如，输入接口104为USB端子，输入装置为键盘以及鼠标，输出装置为显示器。USB为Universal Serial Bus(通用串行总线)的简称。

通信设备105为接收器以及发送器。例如，通信设备105为通信芯片或者NIC(Network Interface Card，网络接口卡)。

安全风险评价装置100具备人物网络检测部110、公开风险计算部120、关联风险决定部130以及输入接口104这样的要素。这些要素通过软件来实现。

在辅助存储装置103存储有用于使计算机作为人物网络检测部110、公开风险计算部120、关联风险决定部130以及安全风险计算部140发挥功能的安全风险评价程序。安全风险评价程序被载入到存储器102，由处理器101执行。

进而，辅助存储装置103存储有OS(Operating System，操作系统)。OS中的至少一部分被载入到存储器102，由处理器101执行。

也就是说，处理器101一边执行OS，一边执行安全风险评价程序。

执行安全风险评价程序而得到的数据存储于存储器102、辅助存储装置103、处理器101内的寄存器、或者处理器101内的高速缓存存储器这样的存储装置。

存储器102作为存储部190发挥功能。但是，也可以由其它存储装置代替存储器102或者与存储器102一起作为存储部190发挥功能。

安全风险评价装置100也可以具备代替处理器101的多个处理器。由多个处理器分担处理器101的职能。

安全风险评价程序以计算机能够读取的方式记录(储存)于光盘或者闪存存储器等非易失性的记录介质。

安全风险评价装置100经由通信设备105连接于计算机网络。

计算机网络的具体例为因特网。

根据图2，说明人物网络检测部110的结构。

人物网络检测部110具备收集部111、分类部112以及递归控制部113。关于这些要素的功能将在后面叙述。

根据图3，说明存储部190的结构。

存储部190存储类别表格191以及多个词典数据192等。关于这些数据的内容将在后面叙述。

***动作的说明***

安全风险评价装置100的动作相当于安全风险评价方法。另外，安全风险评价方法的步骤相当于安全风险评价程序的步骤。

根据图4，说明安全风险评价方法。

将作为安全风险的评价的对象的人物称为对象者。另外，将与对象者具有关联的人物称为关系者。

在步骤S110中，人物网络检测部110根据对象者的公开信息，检测对象者的人物网络。

公开信息为在计算机网络中公开的信息。

对象者的人物网络表示对象者与关系者群的关联。

关系者群为与对象者具有直接的关联或者至少经由一人而与所述对象者具有关联的一个以上的关系者。

另外，公开风险计算部120根据对象者的公开信息来计算对象者的公开风险。

公开风险为利用了公开信息的网络攻击中的安全风险。

安全风险为表示受到网络攻击的容易度的值。

网络攻击的一个例子为目标型攻击邮件。

进而，公开风险计算部120根据与关系者群对应的公开信息群，计算与关系者群对应的公开风险群。

步骤S110通过递归检索处理来实现。

根据图5，说明递归检索处理。

递归检索处理被递归地执行。

最初的递归检索处理中的处理对象为对象者。

在步骤S111中，收集部111从计算机网络收集处理对象的公开信息。

例如，收集部111根据处理对象的标识符，利用OSINT(Open SourceINTelligence，开源情报)用的现有的工具或者现有的检索引擎，从而收集处理对象的公开信息。处理对象的标识符例如为姓名、邮件地址、隶属或者它们的组合。

在步骤S112中，分类部112按类别而对处理对象的公开信息进行分类。

具体而言，分类部112根据类别表格191和多个词典数据192，对处理对象的公开信息进行分类。

根据图6，说明类别表格191。

类别表格191将多个大类、多个小类以及多个公开风险相互对应起来。

多个小类与1个大类对应起来。

1个公开风险与1个小类对应起来。也就是说，多个公开风险与多个小类对应起来。

大类以及小类表示类别。

公开风险表示分类为该类别的信息被公开的情况下的风险的大小。

接下来，说明多个词典数据192。

各个词典数据192为与特定的类别有关的关键字的列表。

例如，多个词典数据192中的1个词典数据为关于人名的词典数据192。

接下来，说明分类部112的动作。

分类部112按照类别表格191所示的每个类别(小类)，根据与类别对应的词典数据192，从处理对象的公开信息抽取属于类别的公开信息。然后，分类部112将抽取出的公开信息分类为该类别。

具体而言，分类部112计算针对与类别对应的词典数据192所表示的关键字的公开信息的类似度，将公开信息的类似度与类似度阈值进行比较。然后，在公开信息的类似度为类似度阈值以上的情况下，分类部112将公开信息分类为该类别。类似度例如能够通过利用Word2Vec等现有技术而计算。

返回到图5，继续说明步骤S112。

分类部112根据分类结果来生成处理对象用的分类结果数据，将处理对象用的分类结果数据存储于存储部190。

分类结果数据表示每个类别的公开信息。

进而，分类部112根据与关系者有关的类别的分类结果，生成处理对象用的关系者列表。

关系者列表示出一个以上的关系者。具体而言，关系者列表示出关系者各自的姓名、隶属以及联系方式等。

也就是说，分类部112通过将关系者各自的姓名、隶属以及联系方式等登记于关系者列表，从而生成处理对象用的关系者列表。

接下来，说明步骤S113以后的步骤。

在步骤S113中，公开风险计算部120根据处理对象用的分类结果数据，计算处理对象的公开风险。

公开风险计算部120以如下方式计算处理对象的公开风险。

首先，公开风险计算部120根据分类为类别的公开信息，按类别(大类)而计算公开风险。例如，公开风险计算部120计算至少任意一个公开信息被分类的小类的公开风险的总和，作为关于大类的公开风险。

然后，公开风险计算部120使用每个类别的公开风险来计算处理对象的公开风险。

例如，公开风险计算部120通过对式[1－1]进行计算，从而计算处理对象的公开风险IDR。式[1－1]为用于计算处理对象的公开风险IDR的公式的具体例。

[数1]

IDR＝α·CD+β·PD+γ·WD [1-1]

α+β+γ＝1

CD为关于联系方式信息的公开风险。

PD为关于私人信息的公开风险。

WD为关于工作信息的公开风险。

[数2]

c

在分类为联系方式信息的小类i的信息被公开的情况下，x

|C|为联系方式信息的小类的数量。

PR为正实数的集合。

[数3]

p

在分类为私人信息的小类i的信息被公开的情况下，y

|P|为私人信息的小类的数量。

[数4]

w

在分类为工作信息的小类i的信息被公开的情况下，z

在分类为工作信息的小类i的信息未被公开的情况下，z

w

|W|为工作信息的小类的数量。

在步骤S114中，递归控制部113判定递归的深度是否为递归阈值以下。

在递归的深度为递归阈值以下的情况下，处理进入到步骤S115。

在递归的深度比递归阈值大的情况下，处理对象用的递归检索处理结束。

在步骤S115中，递归控制部113判定在处理对象用的关系者列表之中是否还有未选择的关系者。

在还有未选择的关系者的情况下，处理进入到步骤S116。

在已没有未选择的关系者的情况下，处理对象用的递归检索处理结束。

在步骤S116中，递归控制部113从处理对象用的关系者列表选择一个未选择的关系者。

在步骤S117中，递归控制部113为了关系者用而调出递归检索处理。

在步骤S117之后，将关系者作为处理对象而执行递归检索处理。

在关系者用的递归检索处理之后，处理进入到步骤S115。

返回到图4，说明步骤S120。

在步骤S120中，关联风险决定部130根据与关系者群对应的公开列表群，将公开风险群的代表值决定为对象者的关联风险。

具体而言，关联风险决定部130将与关系者群对应的公开风险群之中的最大的公开风险决定为对象者的关联风险。

例如，关联风险决定部130以如下方式决定对象者的关联风险。

在步骤S110中，递归控制部113针对每个递归检索处理而将处理对象的节点追加到人物网络图，从而生成对象者的人物网络图。对象者的人物网络图示出与关系者群对应的公开风险群。

然后，关联风险决定部130参照对象者的人物网络图，从与关系者群对应的公开风险群选择最大的公开风险。选择的公开风险为对象者的关联风险。

根据图7，说明人物网络图201。

人物网络图201为在递归阈值为“2”的情况下的人物网络图的具体例。

人物网络图具有对象者节点和关系者节点群。

对象者节点为表示对象者的节点。

关系者节点群为1个以上的关系者节点，表示关系者群。

1个关系者节点表示1个关系者。

与具有直接的关联的两个人物对应的两个节点用箭头连结。将该箭头称为边。

人物网络图具有以对象者节点为基点的1个以上的路径。

路径为从对象者节点至末端的关系者节点为止的路线。

人物网络图201具有从对象者节点至4个末端节点(1－1－1、1－2－1、1－2－2、1－3)为止的4个路径。

在人物网络图中，从对象者节点至关系者节点为止的距离用从对象者节点至关系者节点为止的跳数表示。

在人物网络图201中，从对象者节点至关系者节点(1－1)为止的距离为“1”，从对象者节点至关系者节点(1－1－1)为止的距离为“2”。

在人物网络图中，对各个节点附加有公开风险IDR。

人物网络图201示出了与6个关系者对应的6个公开风险IDR。其中最大的公开风险IDR为关系者1－1－1的公开风险IDR(＝0.8)。

因而，关联风险决定部130选择关系者1－1－1的公开风险IDR(＝0.8)作为对象者的关联风险。

对象者的关联风险CR能够通过式[1－2]来表示。

CR＝max(IDR(n)) [1－2]

IDR(n)为关系者节点n的公开风险IDR。

关系者节点n满足n∈NODE。NODE为关系者节点n的集合。

返回到图4，说明步骤S130。

在步骤S130中，安全风险计算部140使用对象者的公开风险和对象者的关联风险，计算针对网络攻击的对象者的安全风险。

例如，安全风险计算部140通过对式[1－3]进行计算，从而计算对象者的安全风险SR。

SR＝(ω

ω

ω

***实施方式1的效果***

根据实施方式1，能够考虑个人(对象者)的信息公开度(公开风险)和与个人存在关系的人物(关系者)的信息公开度(关联风险)，定量地且自动地计算个人的安全风险。

实施方式2.

关于考虑对象者与关系者的关系度来计算关联风险的方式，主要说明与实施方式1不同的点。

***结构的说明***

安全风险评价装置100的结构与实施方式1中的结构相同(参照图1至图3)。

***动作的说明***

安全风险评价方法的步骤与实施方式1中的步骤相同(参照图4)。

但是，在步骤S110中，人物网络检测部110生成对象者的人物网络图。

例如，递归控制部113针对每个递归检索处理而将处理对象的节点追加到人物网络图，从而生成对象者的人物网络图。

关于对象者的人物网络图，与在实施方式1中说明的情况相同。

另外，在步骤S120中计算对象者的关联风险的具体的方法与实施方式1中的方法不同。

在步骤S120中，关联风险决定部130根据与关系者群对应的公开列表群，决定对象者的关联风险。

具体而言，关联风险决定部130根据对象者的人物网络图，以如下方式决定对象者的关联风险。

关联风险决定部130根据从对象者节点至关系者节点群的各关系者节点为止的距离和与各关系者节点对应的关系者的公开风险，决定对象者的关联风险。

例如，关联风险决定部130以如下方式决定对象者的关联风险。

首先，关联风险决定部130针对每个关系者节点，使用从对象者节点至该关系者节点为止的距离和与该关系者节点对应的关系者的公开风险，计算该关系者节点的评价值。

然后，关联风险决定部130根据与关系者节点群对应的评价值群，决定对象者的关联风险。例如，关联风险决定部130针对每个路径而从该路径中的1个以上的评价值选择最大评价值。然后，关联风险决定部130使用与所述1个以上的路径对应的1个以上的最大评价值，计算对象者的关联风险。

例如，关联风险决定部130通过对式[2－1]进行计算，从而计算对象者的关联风险CR。

[数5]

IDR(n)为关系者节点n的公开风险IDR。

关系者节点n满足n∈NODE。NODE为关系者节点n的集合。

DIST(n)为从对象者节点至关系者节点n为止的距离(跳数)。

“path”为从对象者节点至末端的关系者节点为止的路径，为路径上的节点的集合。

PATH为人物网络中的路径的集合。

pn为路径所包含的1个关系者节点。关系者节点pn满足pn∈path。

μ为调整距离的影响度的参数。

图4中，步骤S130与在实施方式1中说明的情况相同。

***实施方式2的总结***

在实施方式1中，仅考虑在人物网络中与最大的公开风险对应的关系者节点。

实际上，一般认为在人物网络中位于越远离对象者节点的位置的关系者节点对对象者节点的影响越小。

因而，在实施方式2中，考虑关联的距离来计算关联风险。

***实施方式2的效果***

能够考虑个人(对象者)与和个人存在关系的人物(关系者)的关系度(距离)，计算与个人存在关系的人物的信息公开度(关联风险)。

实施方式3.

关于考虑从所有的关系者节点向对象者节点的攻击来计算关联风险的方式，根据图8，主要说明与实施方式1不同的点。

***结构的说明***

安全风险评价装置100的结构与实施方式1中的结构相同(参照图1至图3)。

***动作的说明***

安全风险评价方法的步骤与实施方式1中的步骤相同(参照图4)。

但是，在步骤S110中，人物网络检测部110生成对象者的人物网络图。

例如，递归控制部113针对每个递归检索处理而将处理对象的节点追加到人物网络图，从而生成临时人物网络图。

临时人物网络图为在实施方式1中说明的人物网络。

然后，人物网络检测部110对临时人物网络图进行变形而生成对象者的人物网络图。

对象者的人物网络图具有与关系者节点群对应的路径群。也就是说，对象者的人物网络图具有与关系者相同的数量的路径。

根据图8，说明人物网络图202。

人物网络图202为对人物网络图201(参照图7)进行变形而得到的人物网络图。

人物网络图202具有关于6个关系者的6个关系者节点(1－1、1－1－1、1－2、1－2－1、1－2－2、1－3)作为末端的关系者节点。而且，人物网络图202具有与6个关系者节点对应的6个路径。

返回到图4，继续说明实施方式3中的安全风险评价方法。

在步骤S120中计算对象者的关联风险的具体的方法与实施方式1中的方法不同。

在步骤S120中，关联风险决定部130根据与关系者群对应的公开列表群，决定对象者的关联风险。

具体而言，关联风险决定部130使用与关系者群对应的公开风险群，计算网络攻击的成功概率作为对象者的关联风险。

例如，关联风险决定部130以如下方式计算对象者的关联风险。

首先，关联风险决定部130针对每个人物网络图的路径，使用该路径中的1个以上的公开风险来计算该路径中的网络攻击的失败概率。

然后，关联风险决定部130使用与1个以上的路径对应的1个以上的失败概率，计算网络攻击的成功概率作为对象者的关联风险。

例如，关联风险决定部130通过对式[3－1]进行计算，从而计算对象者的关联风险CR。

[数6]

“path”为从对象者节点至末端的关系者节点为止的路径，为路径上的节点的集合。

PATH为人物网络中的路径的集合。

pn为路径所包含的1个关系者节点。关系者节点pn满足pn∈path。

IDR(pn)为关系者节点pn的公开风险IDR。

式[3－1]所包含的[3－2]的部分表示对1个路径中的公开风险IDR(pn)求积，表示在该路径中向对象者的攻击成功的概率。

[数7]

式[3－1]所包含的[3－3]的部分表示在所有的路径中攻击都不成功的概率。

[数8]

在某个或某些路径中攻击成功的概率能够用在所有的路径中攻击都不成功的概率[3－3]的互补事件表示。

图4中，步骤S130与在实施方式1中说明的情况一样。

***实施方式3的总结***

在实施方式1以及实施方式2中，并未考虑从人物网络之中的所有的关系者节点向对象者节点的攻击。

实际上，所有的关系者节点都有可能会成为攻击的开始点。

因而，在实施方式3中，将各关系者节点的公开风险作为“从该关系者节点向该关系者节点的母节点的攻击的成功概率”来处理。然后，利用所有的关系者节点的公开风险，计算向对象者节点的攻击的成功概率作为关联风险。

***实施方式3的效果***

根据实施方式3，能够利用所有的关系者节点的公开风险，计算针对对象者节点的攻击的成功概率作为关联风险。

实施方式4.

关于考虑人物网络的可信度来计算对象者的安全风险的方式，根据图9至图13，主要说明与实施方式1至实施方式3不同的点。

***结构的说明***

根据图9，说明安全风险评价装置100的结构。

安全风险评价装置100还具备可信度计算部150这样的要素。可信度计算部150通过软件来实现。

安全风险评价程序还使计算机作为可信度计算部150发挥功能。

根据图10，说明存储部190的结构。

存储部190还存储目录信息193。

目录信息193为对象者所属的组织的目录信息。

目录信息是指所谓的地址簿。也就是说，组织的目录信息表示属于组织的人物各自的姓名、联系方式、隶属以及职务等。

***动作的说明***

根据图11，说明安全风险评价方法。

在步骤S410中，人物网络检测部110检测对象者的人物网络。

然后，公开风险计算部120计算对象者的公开风险与和关系者群对应的公开风险群。

步骤S410与实施方式1至实施方式3中的任意实施方式中的步骤S110相同(参照图4)。

在步骤S420中，关联风险决定部130根据与关系者群对应的公开风险群，决定对象者的关联风险。

步骤S420与实施方式1至实施方式3中的任意实施方式中的步骤S120相同(参照图4)。

在步骤S430中，可信度计算部150根据目录信息193，计算对象者的人物网络的可信度。

例如，可信度计算部150以如下方式计算人物网络的可信度。

首先，可信度计算部150计算人物网络所包含的关系者中的目录信息193所包含的关系者的比例。将计算的比例称为隶属比例。

然后，可信度计算部150使用隶属比例，计算人物网络的可信度。隶属比例越低，人物网络的可信度越低。

例如，可信度计算部150以如下方式计算人物网络的可信度。

首先，可信度计算部150计算人物网络和目录信息193这两方所包含的关系者中的、关系者列表中的隶属与目录信息193中的隶属一致的关系者的比例。将计算的比例称为一致比例。

然后，可信度计算部150使用一致比例来计算人物网络的可信度。一致比例越低，人物网络的可信度越低。

例如，可信度计算部150以如下方式计算人物网络的可信度。

首先，可信度计算部150根据人物网络图，计算从对象者的节点至各关系者的节点为止的距离。将计算的距离称为关系距离。

另外，可信度计算部150根据与目录信息193对应的目录图，计算从对象者的节点至各关系者的节点为止的距离。将计算的距离称为组织距离。

接下来，可信度计算部150计算关系距离与组织距离之差的总和。将计算的值称为总和差。

然后，可信度计算部150使用总和差来计算人物网络的可信度。总和的数越大，则人物网络的可信度越低。

也就是说，可信度计算部150使用隶属比例、一致比例、总和差或者它们的组合，计算人物网络的可信度。

根据图12，说明使用隶属比例、一致比例以及总和差来计算可信度的情况下的可信度计算处理(S430)。

在步骤S431中，可信度计算部150根据关系者列表和目录信息193，计算隶属比例AR。

隶属比例AR通过式[4－1]来表示。

[数9]

NANE＝RP_NAME∩CP_NAME

RP_NAME为人物网络中的关系者的集合，|RP_NAME|为集合的要素数。

CP_NAME为目录信息中的人物的集合，|CP_NAME|为集合的要素数。

在步骤S432中，可信度计算部150根据关系者列表和目录信息193，计算一致比例MR。

一致比例MR通过数[4－2]来表示。

[数10]

AFFILIATION_MATCHED为关系者列表中的隶属与目录信息中的隶属一致的关系者的集合，|AFFILIATION_MATCHED|为其要素数。

在步骤S433中，可信度计算部150根据目录信息193来生成目录图。

目录图为表示对象者所属的组织中的人物网络的图。

根据图13，说明目录图211。

目录图211为目录图的具体例。

在目录图中，从对象者节点至关系者节点为止的距离用从对象者节点至关系者节点为止的跳数表示。

在对象者为公司职员A－1－1、关系者为科长A－1的情况下，从对象者节点至关系者节点为止的距离为“1”。

在对象者为公司职员A－1－1、关系者为科长B－1的情况下，从对象者节点至关系者节点为止的距离为“5”。

在对象者为公司职员A－1－1、关系者为公司职员C－2－1的情况下，从对象者节点至关系者节点为止的距离为“6”。

也可以将对象者节点与关系者节点处于兄弟关系的情况下的距离设为“1”。兄弟关系是指母节点相同的关系。

例如，在目录图211中，科长节点(A－1)的母节点和科长节点(A－2)的母节点这两方都为部长节点B。因而，科长节点(A－1)与科长节点(A－2)处于兄弟关系。因此，还能够将科长节点(A－1)与科长节点(A－2)的距离设为“1”。

返回到图12，继续说明步骤S433。

可信度计算部150通过对式[4－3]进行计算，从而计算总和差diff。

[数11]

cp_dist(x，i)为目录图中的对象者x与人物i的距离。

rp_dist(x，i)为人物网络图中的对象者x与人物i的距离。

在步骤S434中，可信度计算部150通过对式[4－4]进行计算，从而计算可信度RE。

RE＝(τ

τ

τ

返回到图11，说明步骤S440。

在步骤S440中，安全风险计算部140使用对象者的公开风险、对象者的关联风险以及人物网络的可信度，计算对象者的安全风险。

例如，安全风险计算部140通过对式[4－5]进行计算，从而计算对象者的安全风险SR。

SR＝(ω

ω

ω

***实施方式4的总结***

在实施方式1至实施方式3中，未考虑在人物网络中存在何种程度的可信性。

因而，在实施方式4中，比较组织的目录信息和人物网络的信息，从而计算人物网络的可信度。然后，人物网络的可信度被反映到安全风险。

***实施方式4的效果***

根据实施方式4，能够考虑人物网络的可信度来计算对象者的安全风险。

实施方式5.

关于找到针对网络攻击脆弱的人物的方式，根据图14以及图15，主要说明与实施方式1至实施方式4不同的点。

***结构的说明***

根据图14，说明安全风险评价装置100的结构。

安全风险评价装置100还具备脆弱性检测部160这样的要素。脆弱性检测部160通过软件来实现。

安全风险评价程序还使计算机作为脆弱性检测部160功能。

安全风险评价装置100也可以如实施方式4那样具备可信度计算部150。

***动作的说明***

说明安全风险评价方法。

安全风险计算部140计算多个对象者各自的安全风险。

然后，脆弱性检测部160根据与多个对象者对应的多个安全风险，从多个对象者找到针对网络攻击的脆弱者。

针对网络攻击的脆弱者为针对网络攻击脆弱的人物。也就是说，针对网络攻击的脆弱者为针对网络攻击的安全性弱的人物。

根据图15，说明安全风险评价方法的步骤。

在步骤S510中，脆弱性检测部160从对象者列表选择一个未选择的对象者。

对象者列表示出一个以上的对象者。例如，对象者列表示出各个对象者的姓名、隶属以及职务等。

对象者列表预先存储于存储部190。但是，脆弱性检测部160也可以根据目录信息193来生成对象者列表。在该情况下，脆弱性检测部160从目录信息193抽取组织内的人物，将抽取出的人物分别作为对象者而登记于对象者列表。抽取的人物的范围也可以为组织整体、特定的部或者特定的科等任意的范围。

在步骤S520中，安全风险计算部140计算选择出的对象者的安全风险。

具体而言，通过执行实施方式1至实施方式3中的任意实施方式中的步骤S110至步骤S130，从而计算对象者的安全风险(参照图4)。

或者，通过执行实施方式4中的步骤S410至步骤S440，从而计算对象者的安全风险(参照图11)。

在步骤S530中，脆弱性检测部160判定在对象者列表中是否还有未选择的对象者。

在还有未选择的对象者的情况下，处理进入到步骤S510。

在已没有未选择的对象者的情况下，处理进入到步骤S540。

在步骤S540中，脆弱性检测部160将各个对象者的安全风险与风险阈值进行比较，抽取具有比风险阈值高的安全风险的对象者。抽取的对象者为脆弱者。

然后，脆弱性检测部160生成脆弱者列表，将脆弱者列表存储于存储部190。脆弱者列表为脆弱者的列表。

***实施方式5的总结***

在实施方式1至实施方式4中，计算特定的人物(对象者)的安全风险。

在实施方式5中，利用实施方式1至实施方式4中的任意实施方式，从而在组织之中确定安全性弱的人物(具有脆弱性的人物)。

***实施方式5的效果***

根据实施方式5，能够在组织之中效率良好地确定脆弱的人物(安全风险高的人物)。

另外，通过对被确定的人物实施适当的教育或者适当的对策，能够降低组织整体的安全风险。

***实施方式的补充***

类别表格191以及各公式最好在进行关于安全风险的评价的组织中适当地定制。

根据图16，说明安全风险评价装置100的硬件结构。

安全风险评价装置100具备处理电路109。

处理电路109为实现人物网络检测部110、公开风险计算部120、关联风险决定部130、安全风险计算部140、可信度计算部150以及脆弱性检测部160中的全部或者一部分的硬件。

处理电路109既可以为专用的硬件，也可以为执行储存于存储器102的程序的处理器101。

在处理电路109为专用的硬件的情况下，处理电路109例如为单一电路、复合电路、被编程的处理器、并联程序化后的处理器、ASIC、FPGA或者它们的组合。

ASIC为Application Spec

安全风险评价装置100也可以具备代替处理电路109的多个处理电路。由多个处理电路分担处理电路109的职能。

在处理电路109中，也可以通过专用的硬件来实现一部分功能，通过软件或者固件来实现剩余的功能。

这样，处理电路109能够通过硬件、软件、固件或者它们的组合来实现。

实施方式为优选的方式的例示，并未意图限制本发明的技术范围。实施方式既可以部分地实施，也可以与其它方式组合实施。使用流程图等而说明的步骤也可以适当地变更。