特開2020-198027(P2020-198027A)IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 富士通株式会社の特許一覧
<>
  • 特開2020198027-特定プログラム、装置、及び方法 図000003
  • 特開2020198027-特定プログラム、装置、及び方法 図000004
  • 特開2020198027-特定プログラム、装置、及び方法 図000005
  • 特開2020198027-特定プログラム、装置、及び方法 図000006
  • 特開2020198027-特定プログラム、装置、及び方法 図000007
  • 特開2020198027-特定プログラム、装置、及び方法 図000008
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2020-198027(P2020-198027A)
(43)【公開日】2020年12月10日
(54)【発明の名称】特定プログラム、装置、及び方法
(51)【国際特許分類】
   G06F 21/57 20130101AFI20201113BHJP
【FI】
   G06F21/57
【審査請求】未請求
【請求項の数】9
【出願形態】OL
【全頁数】14
(21)【出願番号】特願2019-105198(P2019-105198)
(22)【出願日】2019年6月5日
(71)【出願人】
【識別番号】000005223
【氏名又は名称】富士通株式会社
(74)【代理人】
【識別番号】100079049
【弁理士】
【氏名又は名称】中島 淳
(74)【代理人】
【識別番号】100084995
【弁理士】
【氏名又は名称】加藤 和詳
(74)【代理人】
【識別番号】100099025
【弁理士】
【氏名又は名称】福田 浩志
(72)【発明者】
【氏名】松田 拓也
(72)【発明者】
【氏名】齋藤 孝
(57)【要約】
【課題】導入済みの対策手法に応じて、対策が必要な対策手法を提示する。
【解決手段】対策手法の各々を各行にとり、攻撃手法の各々を各列にとったマトリクスにおいて、導入済みの対策ツールに対応する対策手法と、その対策手法で対策可能な攻撃手法とが交わるマスにマッピングし、マップ上でいずれのマスもマッピングされていない列、又は、マッピングされたマスが所定数以下の列に対応する攻撃手法を、対策が必要な攻撃手法として特定し、攻撃手法と、その攻撃手法に対する対策手法とを対応付けて記憶した対策DBを参照して、特定した対策が必要な攻撃手法に対応付けられた対策手法を特定して出力する。
【選択図】図4
【特許請求の範囲】
【請求項1】
対象システムにおいて導入済みの対策手法に関する情報を受け付け、
複数の対策対象の項目と、前記項目に対する対策手法とを対応付けて記憶した記憶部を参照して、受け付けた前記情報に基づいて、前記対象システムにおいて対策が必要な項目を特定し、
前記記憶部を参照して、特定した前記対策が必要な項目に対する対策手法を特定して出力する
ことを含む処理をコンピュータに実行させるための特定プログラム。
【請求項2】
前記対策手法に関する情報として、前記対策手法を実現するための製品、仕組み、及びルールの少なくとも1つを含む対策ツールの情報を受け付け、
前記記憶部には、前記複数の対策対象の項目と、前記項目に対する対策手法と、前記対策手法に対応する対策ツールとが対応付けて記憶され、
前記対策が必要な項目に対する対策手法を実現するための対策ツールを特定して出力する
請求項1に記載の特定プログラム。
【請求項3】
前記複数の対策対象の項目は、サイバー攻撃の手法に対応した項目であり、
前記サイバー攻撃の進行段階が深いほど、前記サイバー攻撃の手法に対する対策手法の優先度を高くし、前記対策が必要な項目に対する対策手法が複数存在する場合、前記優先度の高い順に前記対策手法を出力する
請求項1又は請求項2に記載の特定プログラム。
【請求項4】
1つの対策手法で対策可能な項目の数が多いほど、前記対策手法の優先度を高くし、前記対策が必要な項目に対する対策手法が複数存在する場合、前記優先度の高い順に前記対策手法を出力する請求項1〜請求項3のいずれか1項に記載の特定プログラム。
【請求項5】
前記複数の対策対象の項目は、サイバー攻撃の手法に対応した項目であり、
特定した前記対策が必要な項目に対する対策手法に第1のスコアを設定し、
前記サイバー攻撃の進行段階が深いほど、前記サイバー攻撃の手法に対する対策手法の優先度が高いことを示す第2のスコアを設定し、
1つの対策手法で対策可能な前記サイバー攻撃の手法の数が多いほど、前記対策手法の優先度が高いことを示す第3のスコアを設定し、
前記対策が必要な項目に対する対策手法が複数存在する場合、前記第1のスコア、前記第2のスコア、及び前記第3のスコアの総合スコアが高い順に前記対策手法を出力する
請求項1〜請求項4のいずれか1項に記載の特定プログラム。
【請求項6】
スコアの値として、前記第1のスコア、前記第2のスコア、前記第3のスコアの順に高い価を設定する請求項5に記載の特定プログラム。
【請求項7】
前記対策対象の項目と、前記項目に対する対策手法とをマトリクスで表現したマップにおいて、前記導入済みの対策手法と、前記対策手法で対策可能な項目とで示されるマスにマッピングすることにより、前記対象システムにおいて対策が必要な項目を特定し、
前記マップ上でマッピングされていない部分に基づいて、前記対策が必要な項目に対する対策手法を特定して出力する
請求項1〜請求項6のいずれか1項に記載の特定プログラム。
【請求項8】
対象システムにおいて導入済みの対策手法に関する情報を受け付ける受付部と、
複数の対策対象の項目と、前記項目に対する対策手法とを対応付けて記憶した記憶部を参照して、前記受付部により受け付けられた前記情報に基づいて、前記対象システムにおいて対策が必要な項目を特定する特定部と、
前記記憶部を参照して、前記特定部により特定された前記対策が必要な項目に対する対策手法を特定して出力する出力部と、
を含む特定装置。
【請求項9】
対象システムにおいて導入済みの対策手法に関する情報を受け付け、
複数の対策対象の項目と、前記項目に対する対策手法とを対応付けて記憶した記憶部を参照して、受け付けた前記情報に基づいて、前記対象システムにおいて対策が必要な項目を特定し、
前記記憶部を参照して、特定した前記対策が必要な項目に対する対策手法を特定して出力する
ことを含む処理をコンピュータが実行する特定方法。
【発明の詳細な説明】
【技術分野】
【0001】
開示の技術は、特定プログラム、特定装置、及び特定方法に関する。
【背景技術】
【0002】
近年、サイバー攻撃は巧妙化しており、ファイヤーウォールやIPS(Intrusion Prevention System)といった一般的なセキュリティ対策製品だけでは十分に防御しきれなくなっている。高度化するサイバー攻撃からシステムを強固にガードすべく、新しいサイバー攻撃に対応した新規製品の導入が必要な状況がある。
【0003】
高度なサイバー攻撃からシステムを保護するセキュリティ対策製品の選定はとても難しく、ノウハウや選定に掛かる時間及び費用との兼ね合いもあり、一朝一夕では決められない状況がある。このような状況から、従来では、セキュリティ対策製品の選定にあたっては、各人の経験や非ドキュメント化されたノウハウに頼りながら、内部の有識者や外部のコンサルタントによって導入検討を行うなど手探り状態で行う実情がある。
【0004】
上記のようなセキュリティ対策製品の選定等を支援するための技術が提案されている。例えば、大規模システム全体として適切なセキュリティ対策を立案するためのセキュリティ対策立案支援システムが提案されている。このシステムでは、情報システムの構成に基づいて脅威項目のそれぞれについて攻撃経路に含まれるコンポーネントを導出する。また、このシステムは、対策データベースに、セキュリティ対策について、セキュリティ対策の対象ポイントとセキュリティ対策の効果の度合いを示す効果値とが対応付けて予め記憶される。そして、このシステムは、それぞれの脅威項目の攻撃経路に含まれるコンポーネントと、セキュリティ対策の対象部位とに基づいて、それぞれの脅威項目に対して導入しうるセキュリティ対策を列挙する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2018−77597号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
セキュリティ対策として効果が見込めるセキュリティ対策製品を選定するには、高度なノウハウが必要である。そのため、有識者やコンサルタントではなく、セキュリティ対策製品に対する知見が無い者が選定を行う場合には、セキュリティ対策として効果をなさない場合があり得る。また、人の手だけで判断する場合には、対策製品の導入やコストを掛けても、セキュリティ対策が穴だらけになる場合もある。
【0007】
上述した従来技術では、システムにより、脅威項目に対して導入しうるセキュリティ対策を列挙している。しかし、例えば、導入済みのセキュリティ対策製品等の対策手法に応じて、新たに対策を検討することは、セキュリティの対策手法について知見が無い者にとって困難である。
【0008】
一つの側面として、開示の技術は、導入済みの対策手法に応じて、対策が必要な対策手法を提示することを目的とする。
【課題を解決するための手段】
【0009】
一つの態様として、開示の技術は、対象システムにおいて導入済みの対策手法に関する情報を受け付ける。また、開示の技術は、複数の対策対象の項目と、前記項目に対する対策手法とを対応付けて記憶した記憶部を参照して、受け付けた前記情報に基づいて、前記対象システムにおいて対策が必要な項目を特定する。そして、開示の技術は、前記記憶部を参照して、特定した前記対策が必要な項目に対する対策手法を特定して出力する。
【発明の効果】
【0010】
一つの側面として、導入済みの対策手法に応じて、対策が必要な対策手法を提示することができる、という効果を有する。
【図面の簡単な説明】
【0011】
図1】本実施形態に係る特定装置の機能ブロック図である。
図2】対策DBの一例を示す図である。
図3】対策手法と攻撃手法とのマトリクスで表現されるマップの一例を示す図である。
図4】対策が必要な攻撃手法の特定を説明するための図である。
図5】本実施形態に係る特定装置として機能するコンピュータの概略構成を示すブロック図である。
図6】本実施形態における特定処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下、図面を参照して、開示の技術に係る実施形態の一例を説明する。本実施形態では、様々な種類のサイバー攻撃に対して対策が必要な攻撃手法を特定し、その対策手法を特定して出力する特定装置に開示の技術を適用した場合について説明する。
【0013】
図1に示すように、本実施形態に係る特定装置10は、機能的には、受付部12と、特定部14と、出力部16とを含む。また、特定装置10の所定の記憶領域には、対策DB(Database)20が記憶される。
【0014】
受付部12は、サイバー攻撃に対する対策を行う対象システムについて、導入済み対策ツール情報を受け付ける。導入済み対策ツール情報とは、対象システムに導入済みの対策手法に関する情報であり、対策手法として既に対象システムに導入されている対策ツールの名称等を含む情報である。対策ツールには、ファイヤーウォール、IPS(Intrusion Prevention System)、サンドボックス等のセキュリティ対策製品が含まれる。また、対策ツールには、システムのOS(Operating System)等が備えるログ取得機能、SIEM(Security Information and Event Management)等のセキュリティソフトウェアで定義されている監視ルールも含まれる。
【0015】
受付部12は、受け付けた導入済み対策ツール情報を特定部14へ受け渡す。
【0016】
対策DB20には、複数の対策対象の項目と、その項目に対する対策手法とが対応付けて記憶される。本実施形態では、複数の対策対象の項目は、サイバー攻撃の手法に対応した項目である。対策DB20に記憶される情報は、何の製品でどのような内容を検知することで、どのようなサイバー攻撃の予兆が検知可能なのか等、アセスメントを通じて培ったノウハウがデータベース化された情報である。また、対策DB20には、IPA(情報処理推進機構)やJPCERT/CCといった公的機関が公布している情報を定期的に収集し、ノウハウと同様にデータベース化された情報も記憶される。
【0017】
図2に、対策DB20の一例を示す。図2の例では、対策DB20は、対策−攻撃対応テーブル20Aと、対策ツールテーブル20Bと、攻撃手法テーブル20Cとが含まれる。
【0018】
対策−攻撃対応テーブル20Aには、対策手法の識別情報である「対策ID」、対策手法の目的又は名称を示す「対策手法」、及び、その対策手法で対策可能な攻撃手法を示す「対象攻撃」の各情報が記憶される。「対象攻撃」欄は、攻撃手法の識別情報である攻撃IDが記憶される。
【0019】
対策ツールテーブル20Bには、「対策ID」と、その対策IDが示す対策手法を実現するための「対策ツール」とが対応付けて記憶される。
【0020】
攻撃手法テーブル20Cには、「攻撃ID」と、その攻撃IDが示す攻撃手法の名称を示す「攻撃手法」とが対応付けて記憶される。
【0021】
特定部14は、対策DB20を参照して、受付部12から受け渡された導入済み対策ツール情報に基づいて、対象システムにおいて対策が必要な項目(本実施形態では、攻撃手法)を特定する。
【0022】
具体的には、特定部14は、複数の攻撃手法の各々と、複数の対策手法の各々とをマトリクスで表現したマップにおいて、対策ツールを導入済みの対策手法と、その対策手法で対策可能な攻撃手法とで示されるマスにマッピングする。
【0023】
より具体的には、特定部14は、例えば、図3に示すように、対策DB20の対策−攻撃対応テーブル20Aに規定された対策手法の各々を各行にとり、攻撃手法テーブル20Cに規定された攻撃手法の各々を各列にとったマトリクスを作成する。本実施形態では、サイバー攻撃の進行段階が浅い順に左から並ぶように、攻撃手法をマップの列に配置する。特定部14は、対策ツールテーブル20Bから、導入済み対策ツール情報が示す対策ツールに対応する対策手法の対策IDを抽出し、対策−攻撃対応テーブル20Aから、抽出した対策IDに対応する対象攻撃の攻撃IDを抽出する。そして、特定部14は、マップ上において、抽出した対策IDと攻撃IDとが交わるマスにマッピングする。図3の例では、マッピングされたマスを網掛けで示している。
【0024】
特定部14は、複数の攻撃手法のうち、導入済みの対策ツールでは対策がとれていない攻撃手法を特定する。具体的には、特定部14は、図4の破線Pに示すように、マップ上でいずれのマスもマッピングされていない列に対応する攻撃手法を、対策が必要な攻撃手法として特定する。図4では、マップの各行及び各列には、対策手法の名称及び攻撃手法の名称を省略して、対策ID及び攻撃IDのみを表記している。
【0025】
なお、対策が全くとれていない攻撃手法だけでなく、例えば、1つの攻撃手法に対する対策手法が2つ以下などのように、導入済みの対策手法が少ない攻撃手法を、対策が必要な攻撃手法として特定してもよい。特定部14は、特定した攻撃手法の攻撃IDを出力部16へ受け渡す。
【0026】
出力部16は、対策DB20を参照して、特定部14から受け渡された攻撃IDが示す攻撃手法に対する対策手法を特定して出力する。また、出力部16は、対策手法に代えて、又は、対策手法と共に、その対策手法を実現するための対策ツールの情報を出力してもよい。また、出力部16は、対策が必要な攻撃手法に対する対策手法が複数存在する場合、それら複数の対策手法を提案候補とし、提案候補を優先度が高い順に出力してもよい。提案候補の優先度としては、例えば、サイバー攻撃の進行段階が深いほど、その攻撃手法に対する提案候補の優先度を高くしたり、1つの提案候補で対策可能な攻撃手法の数が多いほど優先度を高くしたりすることができる。
【0027】
具体的には、出力部16は、対象システムにおいて導入済みの対策ツールで対策がとられていない対策手法の各々を提案候補とし、対策DB20の対策−攻撃対応テーブル20Aから、提案候補の対策IDに対応付けられている攻撃IDの全てを抽出する。出力部16は、図4のQに示すように、各提案候補を示す行をマップに追加し、抽出した攻撃IDに対応するマス、すなわち、各提案候補が対策可能な攻撃手法に対応するマスにマッピングする。
【0028】
また、出力部16は、提案候補のうち、対策が必要な攻撃手法に対して対策可能な提案候補に、第1のスコア(本実施形態では、10点)を付与する。なお、図4の例では、第1のスコアが付与された、対策IDが「9」、「10」、及び「11」の提案候補のみを表示している。
【0029】
また、出力部16は、対象システムにおいて対策が必要な攻撃手法が複数存在する場合、その攻撃手法のうち、サイバー攻撃の進行段階が深い攻撃手法に対して対策可能な提案候補に、第2のスコアを付与する。なお、第2のスコアは、第1のスコアより小さい値(本実施形態では、3点)とすることができる。図4の例では、対策が必要な攻撃手法の攻撃IDは「A」及び「E」であり、「E」の方が攻撃の進行段階が深い。したがって、攻撃IDが「E」の攻撃手法に対して対策可能な、対策IDが「9」及び「10」の提案手法に3点が付与される。
【0030】
また、出力部16は、第2のスコアが付与された提案候補に対して、各提案候補が対策可能な攻撃手法の数に応じた第3のスコアを付与する。なお、攻撃手法1つに付き付与される第3のスコアは、第1のスコアより小さい値(本実施形態では、攻撃手法1つに付き1点)とすることができる。図4の例では、第2のスコアが付与された対策IDが「9」の提案手法は2つの攻撃手法に対策可能であるため、2点が付与される。同様に、対策IDが「10」の提案手法は3つの攻撃手法に対策可能であるため、3点が付与される。
【0031】
なお、第3のスコアは、第2のスコアが付与された提案候補に限定して付与する場合に限らず、第1のスコアが付与された提案候補を対象として付与してもよい。
【0032】
また、上記の各スコアの値は一例であり、第2のスコアよりも、攻撃手法1つに付き付与される第3のスコアを大きくしてもよいし、全ての種類のスコアを同一の値としてもよい。
【0033】
出力部16は、各提案候補に付与された第1のスコア、第2のスコア、及び第3のスコアの合計等の総合スコアが高い順に、対策手法を出力する。例えば、出力部16は、総合スコアが最も高い提案候補である対策手法を出力してもよいし、総合スコアが高い順に所定個の対策手法を出力してもよい。出力部16は、例えば、「Webによる不正コンテンツ対策を提案します。」等のメッセージがディスプレイに表示されるように出力することができる。また、出力部16は、図4に示すようなマップ自体をディスプレイに表示し、マップ上で、該当の対策手法の行が強調表示されるようにしてもよい。
【0034】
また、出力部16は、対策手法に代えて、又は、対策手法と共に対策ツールを特定して出力する場合には、提案候補の対策手法を実現するための対策ツールを対策DB20の対策ツールテーブル20Bから特定する。そして、出力部16は、特定した対策ツールの各々を提案候補として、上記と同様に処理すればよい。この場合、出力部16は、「製品cccの導入を提案します。」等のメッセージを出力することができる。また、顧客の環境や予算に応じて選択の幅が広がるように、複数パターンの提案を出力してもよい。例えば、出力部16は、「梅パターン:製品cccの導入、竹パターン:製品ccc及び製品dddの導入、松パターン:製品ccc、製品ddd、及び製品eeeの導入を提案します。」等のメッセージを出力することができる。
【0035】
特定装置10は、例えば図5に示すコンピュータ40で実現することができる。コンピュータ40は、CPU(Central Processing Unit)41と、一時記憶領域としてのメモリ42と、不揮発性の記憶部43とを備える。また、コンピュータ40は、入力部、表示部等の入出力装置44と、記憶媒体49に対するデータの読み込み及び書き込みを制御するR/W(Read/Write)部45とを備える。また、コンピュータ40は、インターネット等のネットワークに接続される通信I/F(Interface)46を備える。CPU41、メモリ42、記憶部43、入出力装置44、R/W部45、及び通信I/F46は、バス47を介して互いに接続される。
【0036】
記憶部43は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリ等によって実現できる。記憶媒体としての記憶部43には、コンピュータ40を、特定装置10として機能させるための特定プログラム50が記憶される。特定プログラム50は、受付プロセス52と、特定プロセス54と、出力プロセス56とを有する。また、記憶部43は、対策DB20を構成する情報が記憶される情報記憶領域60を有する。
【0037】
CPU41は、特定プログラム50を記憶部43から読み出してメモリ42に展開し、特定プログラム50が有するプロセスを順次実行する。CPU41は、受付プロセス52を実行することで、図1に示す受付部12として動作する。また、CPU41は、特定プロセス54を実行することで、図1に示す特定部14として動作する。また、CPU41は、出力プロセス56を実行することで、図1に示す出力部16として動作する。また、CPU41は、情報記憶領域60から情報を読み出して、対策DB20をメモリ42に展開する。これにより、特定プログラム50を実行したコンピュータ40が、特定装置10として機能することになる。なお、プログラムを実行するCPU41はハードウェアである。
【0038】
なお、特定プログラム50により実現される機能は、例えば半導体集積回路、より詳しくはASIC(Application Specific Integrated Circuit)等で実現することも可能である。
【0039】
次に、本実施形態に係る特定装置10の作用について説明する。特定装置10に導入済み対策ツール情報が入力されると、特定装置10において、図6に示す特定処理が実行される。なお、特定処理は、開示の技術の特定方法の一例である。
【0040】
ステップS12で、受付部12が、特定装置10に入力された導入済み対策ツール情報を受け付け、受け付けた導入済み対策ツール情報を特定部14へ受け渡す。
【0041】
次に、ステップS14で、特定部14が、対策DB20の対策−攻撃対応テーブル20Aに規定された対策手法の各々を各行にとり、攻撃手法テーブル20Cに規定された攻撃手法の各々を各列にとったマトリクスを作成する。また。特定部14が、対策ツールテーブル20Bから、導入済み対策ツール情報が示す対策ツールに対応する対策手法の対策IDを抽出し、対策−攻撃対応テーブル20Aから、抽出した対策IDに対応する対象攻撃の攻撃IDを抽出する。そして、特定部14が、マップ上において、抽出した対策IDと攻撃IDとが交わるマスにマッピングする。このマッピングの有無により、導入済みの対策ツールで対策可能な攻撃手法が特定される。
【0042】
次に、ステップS16で、特定部14が、マップ上でいずれのマスもマッピングされていない列、又は、マッピングされているマスが所定数以下の列に対応する攻撃手法を、対策が必要な攻撃手法、すなわち、未対策の攻撃手法として特定する。そして、特定部14が、未対策の攻撃手法が存在するか否かを判定する。未対策の攻撃手法が存在する場合には、処理はステップS20へ移行し、存在しない場合には、処理はステップS18へ移行する。
【0043】
ステップS18では、出力部16が、例えば、「未対策の攻撃手法はありません。」等のメッセージを出力して、特定処理は終了する。
【0044】
一方、ステップS20では、特定部14が、特定した未対策の攻撃手法の攻撃IDを出力部16へ受け渡す。そして、出力部16が、対象システムにおいて導入済みの対策ツールで対策がとられていない対策手法の各々を提案候補とし、対策DB20の対策−攻撃対応テーブル20Aから、提案候補の対策IDに対応付けられている攻撃IDの全てを抽出する。そして、出力部16が、各提案候補を示す行をマップに追加し、抽出した攻撃IDに対応するマス、すなわち、各提案候補が対策可能な攻撃手法に対応するマスにマッピングする。さらに、出力部16が、提案候補のうち、対策が必要な攻撃手法に対して対策可能な提案候補に、第1のスコアとして10点を付与する。
【0045】
次に、ステップS22で、出力部16が、提案候補が複数存在するか否かを判定する。提案候補が複数存在する場合には、処理はステップS24へ移行し、1つのみの場合には、処理はステップS30へ移行する。
【0046】
ステップS24では、出力部16が、上記ステップS16で特定された未対策の攻撃手法が複数存在するか否かを判定する。未対策の攻撃手法が複数存在する場合には、処理はステップS26へ移行し、1つのみの場合には、処理はステップS30へ移行する。
【0047】
ステップS26では、出力部16が、上記ステップS24で複数存在すると判定した攻撃手法のうち、サイバー攻撃の進行段階が深い攻撃手法に対して対策可能な提案候補に、第2のスコアとして3点を付与する。
【0048】
次に、ステップS28で、出力部16が、第2のスコアが付与された提案候補に対して、第3のスコアとして、各提案候補が対策可能な攻撃手法1つに付き1点を付与する。
【0049】
次に、ステップS30で、出力部16が、各提案候補に付与された第1のスコア、第2のスコア、及び第3のスコアの合計等の総合スコアが最も高い提案候補を、提案する対策手法として出力し、特定処理は終了する。
【0050】
以上説明したように、本実施形態に係る特定装置は、サイバー攻撃の攻撃手法と、その攻撃手法に対する対策手法とを対応付けて記憶した対策DBを参照し、導入済みの対策手法に基づいて、対象システムにおいて対策が必要な攻撃手法を特定する。そして、特定装置は、対策DBを参照して、特定した、対策が必要な攻撃手法に対する対策手法を特定して出力する。これにより、本実施形態に係る特定装置によれば、導入済みの対策手法に応じて、対策が必要な対策手法を提示することができる。
【0051】
また、本実施形態に係る特定装置は、対策手法と攻撃手法とのマトリクスで表されるマップを用いて、対策が必要な攻撃手法を特定したり、提案する対策手法を特定したりする。このようなマップを表示することにより、サイバー攻撃にどの程度対策できているかを可視化し、対策の網羅性の把握が容易になる。また、提案する対策手法が複数ある場合にも、それらの提案候補の比較が容易となる。
【0052】
また、本実施形態に係る特定装置は、提案候補が複数ある場合に、優先度に応じてスコアを付与し、スコアが高い提案候補を、提案する対策手法とする。これにより、より効果のある対策手法を自動選定することができ、有識者やコンサルタント等をアサインしなくとも、導入する対策手法の選定が容易となる。
【0053】
なお、上記実施形態では、対策対象の項目がサイバー攻撃の攻撃手法である場合について説明したが、これに限定されない。例えば、複数の工程を含む作業において、各作業で必要なツールを選定する場合などにも適用可能である。
【0054】
また、上記実施形態では、導入済みの対策手法に関する情報として、導入済み対策ツール情報を受け付ける場合について説明したが、これに限定されない。対象システムにおいて、対策済みの項目(攻撃手法)を、導入済みの対策手法に関する情報として受け付けてもよい。
【0055】
また、上記実施形態では、対策対象の項目が、サイバー攻撃の攻撃手法として予め定めた項目である場合について説明したが、これに限定されない。対策対象の項目は、対象システムのユーザが対策を必要とする項目を入力として受け付けてもよい。
【0056】
また、上記実施形態では、特定プログラムが記憶部に予め記憶(インストール)されている態様を説明したが、これに限定されない。開示の技術に係るプログラムは、CD−ROM、DVD−ROM、USBメモリ等の記憶媒体に記憶された形態で提供することも可能である。
【0057】
以上の実施形態に関し、更に以下の付記を開示する。
【0058】
(付記1)
対象システムにおいて導入済みの対策手法に関する情報を受け付け、
複数の対策対象の項目と、前記項目に対する対策手法とを対応付けて記憶した記憶部を参照して、受け付けた前記情報に基づいて、前記対象システムにおいて対策が必要な項目を特定し、
前記記憶部を参照して、特定した前記対策が必要な項目に対する対策手法を特定して出力する
ことを含む処理をコンピュータに実行させるための特定プログラム。
【0059】
(付記2)
前記対策手法に関する情報として、前記対策手法を実現するための製品、仕組み、及びルールの少なくとも1つを含む対策ツールの情報を受け付け、
前記記憶部には、前記複数の対策対象の項目と、前記項目に対する対策手法と、前記対策手法に対応する対策ツールとが対応付けて記憶され、
前記対策が必要な項目に対する対策手法を実現するための対策ツールを特定して出力する
付記1に記載の特定プログラム。
【0060】
(付記3)
前記複数の対策対象の項目は、サイバー攻撃の手法に対応した項目であり、
前記サイバー攻撃の進行段階が深いほど、前記サイバー攻撃の手法に対する対策手法の優先度を高くし、前記対策が必要な項目に対する対策手法が複数存在する場合、前記優先度の高い順に前記対策手法を出力する
付記1又は付記2に記載の特定プログラム。
【0061】
(付記4)
1つの対策手法で対策可能な項目の数が多いほど、前記対策手法の優先度を高くし、前記対策が必要な項目に対する対策手法が複数存在する場合、前記優先度の高い順に前記対策手法を出力する付記1〜付記3のいずれか1項に記載の特定プログラム。
【0062】
(付記5)
前記複数の対策対象の項目は、サイバー攻撃の手法に対応した項目であり、
特定した前記対策が必要な項目に対する対策手法に第1のスコアを設定し、
前記サイバー攻撃の進行段階が深いほど、前記サイバー攻撃の手法に対する対策手法の優先度が高いことを示す第2のスコアを設定し、
1つの対策手法で対策可能な前記サイバー攻撃の手法の数が多いほど、前記対策手法の優先度が高いことを示す第3のスコアを設定し、
前記対策が必要な項目に対する対策手法が複数存在する場合、前記第1のスコア、前記第2のスコア、及び前記第3のスコアの総合スコアが高い順に前記対策手法を出力する
付記1〜付記4のいずれか1項に記載の特定プログラム。
【0063】
(付記6)
スコアの値として、前記第1のスコア、前記第2のスコア、前記第3のスコアの順に高い価を設定する付記5に記載の特定プログラム。
【0064】
(付記7)
前記対策対象の項目と、前記項目に対する対策手法とをマトリクスで表現したマップにおいて、前記導入済みの対策手法と、前記対策手法で対策可能な項目とで示されるマスにマッピングすることにより、前記対象システムにおいて対策が必要な項目を特定し、
前記マップ上でマッピングされていない部分に基づいて、前記対策が必要な項目に対する対策手法を特定して出力する
付記1〜付記6のいずれか1項に記載の特定プログラム。
【0065】
(付記8)
対象システムにおいて導入済みの対策手法に関する情報を受け付ける受付部と、
複数の対策対象の項目と、前記項目に対する対策手法とを対応付けて記憶した記憶部を参照して、前記受付部により受け付けられた前記情報に基づいて、前記対象システムにおいて対策が必要な項目を特定する特定部と、
前記記憶部を参照して、前記特定部により特定された前記対策が必要な項目に対する対策手法を特定して出力する出力部と、
を含む特定装置。
【0066】
(付記9)
前記受付部は、前記対策手法に関する情報として、前記対策手法を実現するための製品、仕組み、及びルールの少なくとも1つを含む対策ツールの情報を受け付け、
前記記憶部には、前記複数の対策対象の項目と、前記項目に対する対策手法と、前記対策手法に対応する対策ツールとが対応付けて記憶され、
前記出力部は、前記対策が必要な項目に対する対策手法を実現するための対策ツールを特定して出力する
付記8に記載の特定装置。
【0067】
(付記10)
前記複数の対策対象の項目は、サイバー攻撃の手法に対応した項目であり、
前記出力部は、前記サイバー攻撃の進行段階が深いほど、前記サイバー攻撃の手法に対する対策手法の優先度を高くし、前記対策が必要な項目に対する対策手法が複数存在する場合、前記優先度の高い順に前記対策手法を出力する
付記8又は付記9に記載の特定装置。
【0068】
(付記11)
前記出力部は、1つの対策手法で対策可能な項目の数が多いほど、前記対策手法の優先度を高くし、前記対策が必要な項目に対する対策手法が複数存在する場合、前記優先度の高い順に前記対策手法を出力する付記8〜付記10のいずれか1項に記載の特定装置。
【0069】
(付記12)
前記複数の対策対象の項目は、サイバー攻撃の手法に対応した項目であり、
前記出力部は、
特定した前記対策が必要な項目に対する対策手法に第1のスコアを設定し、
前記サイバー攻撃の進行段階が深いほど、前記サイバー攻撃の手法に対する対策手法の優先度が高いことを示す第2のスコアを設定し、
1つの対策手法で対策可能な前記サイバー攻撃の手法の数が多いほど、前記対策手法の優先度が高いことを示す第3のスコアを設定し、
前記対策が必要な項目に対する対策手法が複数存在する場合、前記第1のスコア、前記第2のスコア、及び前記第3のスコアの総合スコアが高い順に前記対策手法を出力する
付記8〜付記11のいずれか1項に記載の特定装置。
【0070】
(付記13)
前記出力部は、スコアの値として、前記第1のスコア、前記第2のスコア、前記第3のスコアの順に高い価を設定する付記12に記載の特定装置。
【0071】
(付記14)
前記特定部は、前記対策対象の項目と、前記項目に対する対策手法とをマトリクスで表現したマップにおいて、前記導入済みの対策手法と、前記対策手法で対策可能な項目とで示されるマスにマッピングすることにより、前記対象システムにおいて対策が必要な項目を特定し、
前記出力部は、前記マップ上でマッピングされていない部分に基づいて、前記対策が必要な項目に対する対策手法を特定して出力する
付記8〜付記13のいずれか1項に記載の特定装置。
【0072】
(付記15)
対象システムにおいて導入済みの対策手法に関する情報を受け付け、
複数の対策対象の項目と、前記項目に対する対策手法とを対応付けて記憶した記憶部を参照して、受け付けた前記情報に基づいて、前記対象システムにおいて対策が必要な項目を特定し、
前記記憶部を参照して、特定した前記対策が必要な項目に対する対策手法を特定して出力する
ことを含む処理をコンピュータが実行する特定方法。
【0073】
(付記16)
前記対策手法に関する情報として、前記対策手法を実現するための製品、仕組み、及びルールの少なくとも1つを含む対策ツールの情報を受け付け、
前記記憶部には、前記複数の対策対象の項目と、前記項目に対する対策手法と、前記対策手法に対応する対策ツールとが対応付けて記憶され、
前記対策が必要な項目に対する対策手法を実現するための対策ツールを特定して出力する
付記15に記載の特定方法。
【0074】
(付記17)
前記複数の対策対象の項目は、サイバー攻撃の手法に対応した項目であり、
前記サイバー攻撃の進行段階が深いほど、前記サイバー攻撃の手法に対する対策手法の優先度を高くし、前記対策が必要な項目に対する対策手法が複数存在する場合、前記優先度の高い順に前記対策手法を出力する
付記15又は付記16に記載の特定方法。
【0075】
(付記18)
1つの対策手法で対策可能な項目の数が多いほど、前記対策手法の優先度を高くし、前記対策が必要な項目に対する対策手法が複数存在する場合、前記優先度の高い順に前記対策手法を出力する付記15〜付記17のいずれか1項に記載の特定方法。
【0076】
(付記19)
前記複数の対策対象の項目は、サイバー攻撃の手法に対応した項目であり、
特定した前記対策が必要な項目に対する対策手法に第1のスコアを設定し、
前記サイバー攻撃の進行段階が深いほど、前記サイバー攻撃の手法に対する対策手法の優先度が高いことを示す第2のスコアを設定し、
1つの対策手法で対策可能な前記サイバー攻撃の手法の数が多いほど、前記対策手法の優先度が高いことを示す第3のスコアを設定し、
前記対策が必要な項目に対する対策手法が複数存在する場合、前記第1のスコア、前記第2のスコア、及び前記第3のスコアの総合スコアが高い順に前記対策手法を出力する
付記15〜付記18のいずれか1項に記載の特定方法。
【0077】
(付記20)
対象システムにおいて導入済みの対策手法に関する情報を受け付け、
複数の対策対象の項目と、前記項目に対する対策手法とを対応付けて記憶した記憶部を参照して、受け付けた前記情報に基づいて、前記対象システムにおいて対策が必要な項目を特定し、
前記記憶部を参照して、特定した前記対策が必要な項目に対する対策手法を特定して出力する
ことを含む処理をコンピュータに実行させるための特定プログラムを記憶した記憶媒体。
【符号の説明】
【0078】
10 特定装置
12 受付部
14 特定部
16 出力部
20 対策DB
20A 対策−攻撃対応テーブル
20B 対策ツールテーブル
20C 攻撃手法テーブル
40 コンピュータ
41 CPU
42 メモリ
43 記憶部
49 記憶媒体
50 特定プログラム
図1
図2
図3
図4
図5
図6