知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社東芝の特許一覧 ▶ 東芝ソリューション株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2016-171449(P2016-171449A)
(43)【公開日】2016年9月23日
(54)【発明の名称】ホワイトリスト作成装置
(51)【国際特許分類】
H04L 12/66 20060101AFI20160826BHJP
H04L 12/70 20130101ALI20160826BHJP
【FI】
H04L12/66 B
H04L12/70 100Z
【審査請求】未請求
【請求項の数】5
【出願形態】OL
【全頁数】15
(21)【出願番号】特願2015-49775(P2015-49775)
(22)【出願日】2015年3月12日
(71)【出願人】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(71)【出願人】
【識別番号】301063496
【氏名又は名称】東芝ソリューション株式会社
(74)【代理人】
【識別番号】110001634
【氏名又は名称】特許業務法人 志賀国際特許事務所
(72)【発明者】
【氏名】池上 美千代
(72)【発明者】
【氏名】小島 健司
(72)【発明者】
【氏名】森尻 智昭
(72)【発明者】
【氏名】オソトクラパヌン パキン
(72)【発明者】
【氏名】大矢 章晴
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA14
5K030GA15
5K030HD01
5K030JA10
5K030KA07
5K030LC15
5K030MC07
(57)【要約】
【課題】監視装置の性能と使用環境に応じたホワイトリストを作成することができるホワイトリスト作成装置を提供することである。【解決手段】実施形態のホワイトリスト作成装置は、取得部と、決定部とを持つ。取得部は、監視対象システムからログを取得する。決定部は、前記取得部により取得されたログの内容および数と、データが許可されたものか否かを検知するための検知ルールを定めたホワイトリストを使用して前記監視対象システムの監視を行う監視装置の性能とに基づいて、前記ホワイトリストの内容を決定する。
【選択図】図11
【特許請求の範囲】
【請求項1】
監視対象システムからログデータを取得する取得部と、
前記取得部により取得されたログデータの内容および数と、データが許可されたものか否かを検知するための検知ルールを定めたホワイトリストを使用して前記監視対象システムの監視を行う監視装置の性能とに基づいて、前記ホワイトリストの内容を決定する決定部と、
を備えるホワイトリスト作成装置。
前記取得部により取得されたログデータの内容および数と、データが許可されたものか否かを検知するための検知ルールを定めたホワイトリストを使用して前記監視対象システムの監視を行う監視装置の性能とに基づいて、前記ホワイトリストの内容を決定する決定部と、
を備えるホワイトリスト作成装置。
【請求項2】
前記決定部は、前記取得部により取得されたログデータにおける監視対象項目の全てを監視するホワイトリスト案を作成し、前記ホワイトリスト案を用いて前記監視装置が監視を行った場合の処理性能を示す指標値が、前記取得部により取得されたログデータのピークに基づいて算出される下限値を上回るまで、前記ホワイトリスト案から監視対象項目を徐々に削減することで、前記ホワイトリストの内容を決定する、
請求項1記載のホワイトリスト作成装置。
請求項1記載のホワイトリスト作成装置。
【請求項3】
前記決定部は、予め設定された前記監視対象システムを構成する機器に関する優先順位に従って、前記ホワイトリスト案から監視対象項目を徐々に削減する、
請求項2記載のホワイトリスト作成装置。
請求項2記載のホワイトリスト作成装置。
【請求項4】
前記決定部は、予め設定された監視対象項目に関する優先順位に従って、前記ホワイトリスト案から監視対象項目を徐々に削減する、
請求項2または3記載のホワイトリスト作成装置。
請求項2または3記載のホワイトリスト作成装置。
【請求項5】
前記監視対象項目の数が異なる性能評価用検知ルール群と、サンプルデータを前記監視装置に送信して疑似的に監視を行わせることで、前記監視装置の性能を評価する性能評価部を更に備え、
前記決定部は、前記性能評価部により評価された前記監視装置の性能に基づいて、前記ホワイトリストの内容を決定する、
請求項2から4のうちいずれか1項記載のホワイトリスト作成装置。
前記決定部は、前記性能評価部により評価された前記監視装置の性能に基づいて、前記ホワイトリストの内容を決定する、
請求項2から4のうちいずれか1項記載のホワイトリスト作成装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、ホワイトリスト作成装置に関する。
【背景技術】
【0002】
従来、監視対象箇所を通過するデータを監視し、予め定められたルール(いわゆるブラックリスト)に該当するデータを遮断ないし除外することが行われている。また、このルールを適宜変更する技術が知られている。しかしながら、従来の技術では、データを遮断ないし除外するためのルールではなく、データを許可するためのルール(いわゆるホワイトリスト)を好適に作成することができない場合があった。
【0003】
セキュリティ監視機能を実行するセキュリティ監視用装置は1台あたりの性能があらかじめ想定されており、また、監視対象セグメント一つに対して1つ設置、あるいはルータやサーバに対して1ずつ設置、のように装置の配置場所や台数の制限がある場合が多い。
【0004】
セキュリティ監視機能に求められる要件には、検査対象データの検査処理を全て完了することがある。例えば、1秒当たり10件のデータが検査対象として生じる場合は、1件のデータ処理時間は1/10秒以下であることが求められる。検査対象のデータが処理性能を超えて発生している場合、全てのデータを時間内に検査することができない。そのような場合の対応方法としては、定期的あるいは処理能力を超えた時点で、一部のデータを検査対象から外す、すなわち検査をせずに廃棄することが一般的である。この場合、検査対象から漏れたデータに正しくないデータが含まれていても、検査できないため、監視機能の利用者は、不正なデータに気づくことができない。
【0005】
また、セキュリティ監視機能の性能は、監視機能が実行される監視用装置の性能と、検査ルールの内容と数に依存している。監視用装置の性能を事前に十分なものにして対応することも可能だが、監視対象データ量が想定より多い場合や急な増加などに対応することはできない。検査ルールの内容と数は、現在経験則に基づいて単純化したり減らしたりして対応しているが、この場合、不必要に減らしすぎてしまう問題や、監視強度に偏りが起きてしまう問題がある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−22177号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明が解決しようとする課題は、監視装置の性能と使用環境に応じたホワイトリストを作成することができるホワイトリスト作成装置を提供することである。
【課題を解決するための手段】
【0008】
実施形態のホワイトリスト作成装置は、取得部と、決定部とを持つ。取得部は、監視対象システムからログを取得する。決定部は、前記取得部により取得されたログの内容および数と、データが許可されたものか否かを検知するための検知ルールを定めたホワイトリストを使用して前記監視対象システムの監視を行う監視装置の性能とに基づいて、前記ホワイトリストの内容を決定する。
【図面の簡単な説明】
【0009】
【図1】実施形態のホワイトリスト作成装置1が使用される環境の一例を示す図。
【図2】ホワイトリストWLの内容の一例を示す図。
【図3】セキュリティ監視装置100により実行される処理の流れを示すフローチャート。
【図4】ホワイトリスト作成装置1のハードウェア構成例を示す図。
【図5】ホワイトリスト作成装置1の性能評価段階における機能構成例を示す図。
【図6】セキュリティ監視装置性能評価部20により実行される処理の流れを示すフローチャート。
【図7】パラメータの種類が7種類である場合に適用可能な検知ルールのパターンの一例を示す図。
【図10】セキュリティ監視装置性能データ52として記憶部50に記憶される情報の一例を示す図。
【図11】ホワイトリスト作成装置1のホワイトリスト作成段階における機能構成例を示す図。
【図12】ログデータ最大値算出部22による処理を説明するための図。
【図13】ホワイトリスト作成段階における処理の流れを示すフローチャート。
【発明を実施するための形態】
【0010】
以下、実施形態のホワイトリスト作成装置を、図面を参照して説明する。
【0011】
図1は、実施形態のホワイトリスト作成装置1が使用される環境の一例を示す図である。ホワイトリスト作成装置1は、セキュリティ監視装置100が使用するホワイトリストWLを作成する装置である。セキュリティ監視装置100は、ホワイトリストWLを使用して、監視対象システムTSを監視する。監視対象システムTSは、例えば、複数の通信ノードND(1)、ND(2)、ND(3)、ND(4)と、ネットワークNWと各通信ノードとを接続するルータRTとを含む。セキュリティ監視装置100は、監視対象システムTS上の通信パケットや通信データ、システムログなどの検査対象データを随時取得し、ホワイトリストWLを使用して、これらの検査対象データが正当なものかどうか(許可されたものかどうか)をチェックする。これによって、セキュリティ監視装置100は、サイバー攻撃や、悪意のある振る舞いを検知する。
【0012】
ホワイトリストWLとは、検査対象データが許可されたデータかどうかを検知するための検知ルールを列挙したデータである。この検知ルールは、許可されたアプリケーション起動記録や通信パケット、通信データ等のデータの特徴を示すものであり、複数の構成要素(パラメータ)の値で構成される。以下、検知ルールの形態(いずれのパラメータを要求するものであるか)を、「パターン」と称する。
【0013】
図2は、ホワイトリストWLの内容の一例を示す図である。図2の例では、検知ルール1、2共に、3種類のパラメータ(送信元IP(Internet Protocol)アドレス、受信先IPアドレス、およびプロトコル)が一致することを要求するパターンを備えている。
【0014】
アプリケーション起動記録を検知する場合、検知ルールのパターンは、「実行マシン識別子」と「アプリケーション名」の組や、「実行マシン識別子」と「サービス名や関数名」の組のような、アプリケーションの起動に関係するパラメータを含むように構成される。また、通信パケットや通信データを検知する場合、検知ルールのパターンは、「送信元の識別情報」、「受信先の識別情報」、「受信先のポート番号」、「通信プロトコル」、「データに含まれるキーワード」等のパラメータの組み合わせを含むように構成される。これらのパラメータは、個別の情報でも、グループでも、“any”のような全てを表すものでもよい。例えば、「実行マシン識別子=”A”、アプリケーション名=”B”」のような、特定のマシンと特定のアプリケーションの組み合わせで規定されてもよいし、「実行マシン識別子=”any”、アプリケーション名=”B”」のような、実行するマシンに関係なく、アプリケーションBの実行が正しいというように規定することも可能である。図2における項目が空欄となっているパラメータは、上記”any”に相当する。検知パターンには、事象の発生時刻や発生頻度などのパラメータを追加することも可能である。
【0015】
ここで、検知ルールは、監視対象システムTSの構成に応じてカスタマイズされるものであるため、監視対象システムTS毎に、検知ルール数、パターン、パラメータ数共に異なるものとなる場合がある。この点は、ホワイトリストWLではなく、データを遮断ないし除外するためのルールを定めたブラックリストを使用する場合と相違する。ブラックリストを使用する場合、セキュリティレベルの設定によってルールの適用程度が調整されるものの、監視対象システムTSの構成に応じてルール自体が根本から再構成されるようなことは少ないからである。
【0016】
図3は、セキュリティ監視装置100により実行される処理の流れを示すフローチャートである。まず、セキュリティ監視装置100は、ホワイトリストWLから検知ルールを読み込む(ステップS200)。
【0017】
次に、セキュリティ監視装置100は、ルータRT等から検査対象データを取得し(ステップS202)、検知ルールと検査対象データの内容を、パラメータ毎に照合する(ステップS204)。そして、セキュリティ監視装置100は、検査対象データがいずれか一つの検知ルールと、全てのパラメータで一致したか否かを判定する(ステップS206)。検査対象データがいずれの検知ルールとも、全てのパラメータで一致しなかった場合、セキュリティ監視装置100は、警告通知等、一致しないときの処理を実行する(ステップS208)。セキュリティ監視装置100は、ステップS202からステップS208の処理を繰り返し実行する。
【0018】
図1に示すホワイトリスト作成装置1は、取得ログデータの内容や、セキュリティ監視装置100の性能等に基づいて、ホワイトリストWLの内容を決定する。ホワイトリスト作成装置1は、例えば、WAN(Wide Area Network)やLAN(Local Area Network)等のネットワークNWを介してルータRTやセキュリティ監視装置100と通信する。また、ホワイトリスト作成装置1は、セキュリティ監視装置100に直接、通信ケーブル等を介して接続されてもよい(図1における「1*」)。また、ホワイトリスト作成装置1は、監視対象システムTSを構成するLANに接続されてもよい。
【0019】
図4は、ホワイトリスト作成装置1のハードウェア構成例を示す図である。図示するように、ホワイトリスト作成装置1は、CPU(Central Processing Unit)等のプロセッサ10と、記憶装置11と、ドライブ装置12と、メモリ装置14と、表示装置15と、入力装置16と、インターフェース装置17とを備える。
【0020】
プロセッサ10は、記憶装置11に記憶されたプログラムを実行する。記憶装置11は、例えば、ROMやHDD(Hard Disk Drive)、フラッシュメモリ等である。記憶装置11には、後述する各機能部を実現するための性能評価プログラム、およびホワイトリスト作成プログラム等が記憶されている。ドライブ装置12には、各種可搬型の記憶媒体13が装着され、記憶媒体13からプログラムやデータを読み込む。メモリ装置14は、例えばRAM(Random Access Memory)であり、プロセッサ10が使用するワーキングメモリとして機能する。表示装置15は、LCD(Liquid Crystal Display)や有機EL(Electroluminescence)表示装置等である。入力装置16は、キーボードやマウス、タッチパネル等の入力デバイスを含む。インターフェース装置17は、ネットワークNWに接続するためのネットワークカード等を含む。
【0021】
プロセッサ10が実行するプログラムは、ホワイトリスト作成装置1の出荷時に予め記憶装置11に記憶されていてもよいし、記憶媒体13に記憶されたものがドライブ装置12によって読み込まれ、記憶装置11にインストールされてもよい。また、プロセッサ10が実行するプログラムは、インターフェース装置17によってネットワークNWを介して他のコンピュータ装置からダウンロードされてもよい。
【0022】
<性能評価段階>以下、性能評価段階の処理について説明する。図5は、ホワイトリスト作成装置1の性能評価段階における機能構成例を示す図である。ホワイトリスト作成装置1は、性能評価段階における機能構成として、例えば、セキュリティ監視装置性能評価部20を備える。セキュリティ監視装置性能評価部20は、例えば、記憶装置11に記憶されたプログラムをプロセッサ10が実行することにより機能するソフトウェア機能部である。また、セキュリティ監視装置性能評価部20は、LSI(Large Scale Integration)やASIC(Application Specific Integrated Circuit)等のハードウェア機能部であってもよい。なお、以降では、記憶装置11とメモリ装置14とを総称して記憶部50と表記することがある。なお、記憶部50の一部または全部は、ホワイトリスト作成装置1とネットワークNW等を介して接続される外部装置により実現されてもよい。
【0023】
性能評価段階において、記憶部50には、取得ログデータ51と、セキュリティ監視装置性能データ52とが記憶される。取得ログデータ51は、監視対象システムTSから一定期間、インターフェース装置17を介して取得されたログデータである。このログデータは、例えば、ルータRTにおいてミラーポート機能によって収集されたものである。
【0024】
セキュリティ監視装置性能評価部20は、取得ログデータ51に対して適用可能な全種類の検知ルールを作成する。そして、セキュリティ監視装置性能評価部20は、作成した全種類の検知ルールのパターン毎に、ログ1件を単位時間(例えば1[sec])で処理可能なルール数を算出し、セキュリティ監視装置性能データ52として記憶部50に記憶させる。
【0025】
図6は、セキュリティ監視装置性能評価部20により実行される処理の流れを示すフローチャートである。まず、セキュリティ監視装置性能評価部20は、取得ログデータ51から、適用可能な検知ルールのパターンを全て作成する(ステップS300)。例えば、取得ログデータ51を構成する項目のうち、監視対象項目が7つである場合、適用可能なパターンは、2の7乗マイナス1で127通りとなる。図7は、パラメータの種類が7種類である場合に適用可能な検知ルールのパターンの一例を示す図である。
【0026】
次に、セキュリティ監視装置性能評価部20は、ステップS300において生成された各パターンに対して値を設定し、性能評価用検知ルールを作成する(ステップS302)。図8は、ステップS300において処理対象となる取得ログデータ51の一例を示す図であり、図9は、図8に示す取得ログデータ51から作成される全てのパターンの検知ルールを示す図である。
【0027】
また、セキュリティ監視装置性能評価部20は、取得ログデータ51から適切な数のデータを抽出し、性能評価用のサンプルログデータを作成する(ステップS304)。次に、セキュリティ監視装置性能評価部20は、サンプルログデータをセキュリティ監視装置100に送信する(ステップS306)。
【0028】
次に、セキュリティ監視装置性能評価部20は、ステップS300で生成した検知ルールのパターンから一つのパターンを選択し(ステップS308)、選択したパターンに対してステップS302で値が設定された検知ルールをセキュリティ監視装置100に送信する(ステップS310)。次に、セキュリティ監視装置性能評価部20は、セキュリティ監視装置100に処理を指示し、開始時刻を記憶部50に記録する(ステップS312)。そして、セキュリティ監視装置性能評価部20は、セキュリティ監視装置100から完了通知を受信するまで待機し(ステップS314)、完了通知を受信すると終了時刻を記憶部50に記録する(ステップS316)。
【0029】
そして、セキュリティ監視装置性能評価部20は、サンプルログデータのログ数を、開始時刻から終了時刻までの間の時間で除算して得られる、検知ルールのパターンに対応付けた「ログ1件を単位時間で処理可能なルール数」という内容の情報を、セキュリティ監視装置性能データ52に追加する(ステップS318)。セキュリティ監視装置性能評価部20は、全てのパターンを選択し終えるまで、ステップS308からステップS318の処理を繰り返し実行する(ステップS320)。図10は、セキュリティ監視装置性能データ52として記憶部50に記憶される情報の一例を示す図である。図10におけるRnk(k=1〜N)は、パターンkについてのログ1件を単位時間で処理可能なルール数を示している。
【0030】
<ホワイトリスト作成段階>以下、ホワイトリスト作成段階の処理について説明する。ホワイトリストWLは、(1)登録された検知ルールの数が多い、(2)検知ルールを構成するパラメータの数が多い、(3)検知ルールを構成するパラメータの数が同じ場合は、詳細に値が決まっている程、誤検知の少ない処理が可能となるが、反面、処理時間が長くなるという傾向を有している。従って、必要なパラメータ数を確保しつつ、処理が期待される時間内に完了する程度に簡略化された検知ルールで構成されたホワイトリストが望ましいということになる。ホワイトリスト作成装置1は、このような観点からホワイトリストWLを作成する。
【0031】
図11は、ホワイトリスト作成装置1のホワイトリスト作成段階における機能構成例を示す図である。ホワイトリスト作成装置1は、ホワイトリスト作成段階における機能構成として、ログデータ最大値算出部22と、ログパターンルール化部23と、ホワイトリスト毎処理可能ログ数算出部24と、ログ数比較・ルール有効性検証部25と、ルール再設計部26と、使用ルール決定部27とを備える。これらの機能部は、例えば、記憶装置11に記憶されたプログラムをプロセッサ10が実行することにより機能するソフトウェア機能部である。また、これらの機能部のうち一部または全部は、LSIやASIC等のハードウェア機能部であってもよい。記憶部50には、取得ログデータ51およびセキュリティ監視装置性能データ52の他、監視対象システム情報53、ホワイトリスト案54、ホワイトリストと処理可能ログ数のリスト55等が記憶される。監視対象システム情報53は、後述するようにルール再設計部26によって使用される、監視対象システムTSに含まれる機器の重要度の情報を含む。
【0032】
ホワイトリスト案54は、ログパターンルール化部23により作成され、ルール再設計部26によって修正されるホワイトリスト案である。ホワイトリスト案54は、複数のホワイトリスト案を含む場合がある。これは、ホワイトリスト作成装置1が複数の監視対象システムTSに対するホワイトリストWLを並行して作成する場合に生じ得る。
【0033】
ホワイトリストと処理可能ログ数のリスト55は、ホワイトリスト毎処理可能ログ数算出部24により算出された、ホワイトリスト毎の一定時間あたりの処理可能ログ数のリストである。
【0034】
ログデータ最大値算出部22は、単位時間あたりのログデータ数の最大値Lnを算出する。図12は、ログデータ最大値算出部22による処理を説明するための図である。ログデータ最大値算出部22は、例えば、取得ログデータ51を参照し、取得ログデータ51の収集期間を一定時間tm毎に分割してサンプリング期間を設定し、期間内のログデータ数の積算値が最も多いサンプリング期間を抽出する。そして、抽出した期間内のログデータ数の積算値を一定時間tmで除算した後を、単位時間あたりのログデータ数の最大値Lnとして算出する。以下、この単位時間は1[sec]であるものとする。
【0035】
ログパターンルール化部23は、取得ログデータ51を参照し、ホワイトリスト案54を作成する。ログパターンルール化部23は、例えば、最も詳細な検知ルール、すなわち、使用するパラメータが最も多くなるように定めた検知ルールの集合を、ホワイトリスト案54として記憶部50に記憶させる。この当初作成されるホワイトリスト案54は、取得ログデータ51における監視対象項目の全てを監視するものである。なお、ログパターンルール化部23による処理は、一部または全部において、入力装置16に対してなされた入力操作に従って行われてもよい。
【0036】
ホワイトリスト毎処理可能ログ数算出部24は、ホワイトリスト案54と、セキュリティ監視装置性能データ52とを参照し、対象となるセキュリティ監視装置100が、ホワイトリスト案54を使用した場合に、単位時間あたりに処理可能なログ数を算出する。
【0037】
ログ数比較・ルール有効性検証部25は、ホワイトリスト毎処理可能ログ数算出部24により算出された単位時間あたりに処理可能なログデータ数と、ログデータ最大値算出部22により算出された単位時間あたりのログデータ数の最大値Lnとを比較し、その時点におけるホワイトリスト案54を使用した場合に、対象となるセキュリティ監視装置100が十分に監視を行うことが可能か否かを判定する。
【0038】
ルール再設計部26は、ログ数比較・ルール有効性検証部25により、対象となるセキュリティ監視装置100が十分に監視を行うことができないと判定された場合に、ホワイトリスト案54を修正する。使用ルール決定部27は、ログ数比較・ルール有効性検証部25により、対象となるセキュリティ監視装置100が十分に監視を行うことができると判定された場合に、その時点におけるホワイトリスト案54をホワイトリストWLとして確定する。
【0039】
以下、ホワイトリスト作成段階の処理の流れについて説明する。図13は、ホワイトリスト作成段階における処理の流れを示すフローチャートである。まず、インターフェース装置17がルータRT等からログを取得し、取得ログ51として記憶部50に記憶させる(ステップS400)。
【0040】
次に、ログパターンルール化部23が、他のログと同じ内容のログ(重複ログ)を削除する(ステップS402)。次に、ログパターンルール化部23が、ログデータ1件ずつを、最も詳細なルール、すなわち、構成要素が最も多いパターンでルール化し、その集合をリストとしたものを、検知ルールの初期バージョンとして作成する(ステップS404)。このとき、設計書などの監視対象セグメントの情報からデータを取得して、適宜可能なルールを追加してもよい。
【0041】
次に、ログパターンルール化部23が、初期バージョンの全ての検知ルールについて、MACアドレス情報を使用しないプロトコルの場合は、MACアドレスパラメータ値を削除(“any”に置き換え)し(ステップS406)、同様に、IPアドレス情報を使用しないプロトコルの場合は、IPアドレスパラメータ値を削除(“any”に置き換え)する(ステップS408)。ステップS408の処理が行われたものが、ホワイトリスト案54に相当する。
【0042】
次に、ホワイトリスト毎処理可能ログ数算出部24が、その時点で設定されている検知ルール(ホワイトリストWL)を用いた場合に、単位時間あたりに処理可能なログ数を算出する(ステップS410)。パターンk(k=1〜N)に対して実装するルール数がIRkであるとすると、各パターンを用いた場合にログデータ1件を処理するのに要する時間は、IRk/Rkである。従って、パターンがN個存在する場合、ログ1件を処理するのに要する時間の合計Ttotalは、式(1)で表される。【数1】
【0043】
次に、ホワイトリスト毎処理可能ログ数算出部24が、Ttotalの逆数を求めることにより、単位時間に処理可能なログ数1/Ttotal(処理性能を示す指標値の一例)を求め、ホワイトリストと処理可能ログ数のリスト55として記憶部50に記憶させる(ステップS412)。
【0044】
次に、ログ数比較・ルール有効性検証部25が、単位時間に処理可能なログ数1/Ttotalと、ログデータ最大値算出部22により算出された単位時間あたりのログデータ数の最大値Lnとを比較し(ステップS414)、単位時間に処理可能なログ数1/Ttotalが、単位時間あたりのログデータ数の最大値Ln以上であるか否かを判定する(ステップS416)。
【0045】
単位時間に処理可能なログ数1/Ttotalが、単位時間あたりのログデータ数の最大値Ln以上である場合、使用ルール決定部27が、その時点でホワイトリスト案として設定されているホワイトリストWLを、使用されるホワイトリストWLとして決定する(ステップS418)。一方、単位時間に処理可能なログ数1/Ttotalが、単位時間あたりのログデータ数の最大値Ln未満である場合、ルール再設計部26によるルール再設計が行われる(ステップS420)。
【0046】
ルール再設計では、重要度の低い機器、アプリケーション、サービスに関係するルールを順に対象とする。それらのルールを構成するパラメータの数を減らすことによって、処理速度を上げ処理可能なログ量を増やすという手順を取る。また、ルール再設計においては、ルールを必要以上に緩いものにしないため、ルール再設計対象機器をあらかじめ限定しておき、その機器に関するルールのみを再設計対象としてもよい。すなわち、項目の削除が許可されない機器が存在してもよい。
【0047】
図14は、ルール再設計処理(図13のステップS420の処理)の流れを示すフローチャートである。なお、このフローチャートにおいて使用される変数p、qは、図13に示すフローチャートの処理が開始されるときに初期化され、共に1に設定されているものとする。
【0048】
まず、ルール再設計部26は、変数pを参照し、重要度が低い方からp番目の機器が存在するか否かを判定する(ステップS500)。重要度が低い方からp番目の機器が存在する場合、ルール再設計部26は、重要度が低い方からp番目の機器を受信先とするルールを抽出する(ステップS502)。
【0049】
次に、ルール再設計部26は、ステップS502で抽出したルールについて、既に「データ内容」の項目のパラメータ値が削除済であるか否かを判定する(ステップS504)。ルール再設計部26は、既に「データ内容」の項目のパラメータ値が削除済でない場合、ステップS502で抽出したルールから「データ内容」の項目のパラメータ値を削除して(“any”に置き換え)ホワイトリスト案54を書き換える(ステップS506)。そして、再設計処理が終了し、図13のステップS410以下の処理が実行される。
【0050】
ルール再設計部26は、ステップS502で抽出したルールについて、既に「データ内容」の項目のパラメータ値が削除済である場合、ステップS502で抽出したルールについて、既に「ポート番号」の項目のパラメータ値が削除済であるか否かを判定する(ステップS508)。ルール再設計部26は、既に「ポート番号」の項目のパラメータ値が削除済でない場合、ステップS502で抽出したルールから「ポート番号」の項目のパラメータ値を削除して(“any”に置き換え)ホワイトリスト案54を書き換える(ステップS510)。そして、再設計処理が終了し、図13のステップS410以下の処理が実行される。
【0051】
ルール再設計部26は、ステップS502で抽出したルールについて、既に「ポート番号」の項目が削除済である場合、ステップS502で抽出したルールについて、既に送信元情報を修正済であるか否かを判定する(ステップS512)。ルール再設計部26は、既に送信元情報を修正済でない場合、送信元情報を修正する(ステップS514)。ルール再設計部26は、既に送信元情報を修正済でない場合、すなわち、送信元に関する情報である「送信元MACアドレス」と「送信元IPアドレス」とのうち一方または双方が削除されず、その結果“any”となっていなければ、ルール再設計部26は、これらのうち一方または双方を削除して双方が“any”となるようにし、ホワイトリスト案54を書き換える。そして、再設計処理が終了し、図13のステップS410以下の処理が実行される。
【0052】
ステップS502で抽出したルールについて、既に送信元情報を修正済である場合、ルール再設計部26は、変数pを1インクリメントし(ステップS516)、再設計処理を終了する。そして、図13のステップS410以下の処理が実行される。
【0053】
ステップS500において、重要度が低い方からp番目の機器が存在しないと判定された場合、ルール再設計部26は、変数qを参照し、重要度が低い方からq番目の機器が存在するか否かを判定する(ステップS520)。ここで、「重要度が低い方からp番目の機器が存在しない」場合とは、監視対象システムTSにおける機器がp個である場合の他、監視対象システムTSにおけるp個の機器には重要度が設定され、p+1番目以降の機器には重要度が設定されていない場合も含む。後者の場合、p+1番目以降の機器は、検知ルールの妥協が許可されない、セキュリティ上の重要度の高い機器である。
【0054】
重要度が低い方からq番目の機器が存在する場合、ルール再設計部26は、重要度が低い方からq番目の機器を受信先とするルールを抽出する(ステップS522)。次に、ルール再設計部26は、ステップS522で抽出したルールについて、「プロトコル」の項目のパラメータ値を削除して(“any”に置き換え)ホワイトリスト案54を書き換える(ステップS524)。そして、ルール再設計部26は、変数pを1インクリメントし(ステップS526)、再設計処理を終了する。そして、図13のステップS410以下の処理が実行される。
【0055】
ステップS520において重要度が低い方からq番目の機器が存在しないと判定された場合、再設計は不可能と判断し、エラー終了する(ステップS528)。
【0056】
以上説明した少なくともひとつの実施形態によれば、監視対象システムからログデータを取得し、取得されたログデータの内容および数と、データが許可されたものか否かを検知するための検知ルールを定めたホワイトリストを使用して監視対象システムの監視を行うセキュリティ監視装置の性能とに基づいて、ホワイトリストの内容を決定することにより、セキュリティ監視装置の性能と使用環境に応じたホワイトリストを作成することができる。
【0057】
また、実施形態によれば、ログデータにおける監視対象項目の全てを監視するホワイトリスト案を作成し、ホワイトリスト案を用いてセキュリティ監視装置が監視を行った場合の処理性能を示す指標値が、取得部により取得されたログデータのピークに基づいて算出される下限値を上回るまで、ホワイトリスト案から監視対象項目を徐々に削減することで、ホワイトリストの内容を決定するため、セキュリティ監視装置の性能を十分に発揮可能な範囲内で最適なホワイトリストを作成することができる。
【0058】
また、実施形態によれば、予め設定された監視対象システムを構成する機器に関する優先順位や監視対象項目に関する優先順位に従って、ホワイトリスト案から監視対象項目を徐々に削減するため、セキュリティの低下を抑制しつつ、セキュリティ監視装置の性能を十分に発揮可能な範囲内でホワイトリストを作成することができる。
【0059】
また、実施形態によれば、監視対象項目の数が異なる性能評価用検知ルール群と、サンプルデータをセキュリティ監視装置に送信して疑似的に監視を行わせることで、セキュリティ監視装置の性能を評価し、評価されたセキュリティ監視装置の性能に基づいてホワイトリストの内容を決定するため、種々の性能を有するセキュリティ監視装置に対応したホワイトリストを作成することができる。
【0060】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0061】
1…ホワイトリスト作成装置、20…セキュリティ監視装置性能評価部、22…ログデータ最大値算出部、23…ログパターンルール化部、24…ホワイトリスト毎処理可能ログ数算出部、25…ログ数比較・ルール有効性検証部、26…ルール再設計部、27…使用ルール決定部、50…記憶部、100…セキュリティ監視装置、WL…ホワイトリスト、TS…監視対象システム