特許 6847460 情報セキュリティ攻撃および防御計画を管理するシステム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6847460

(24)【登録日】2021年3月5日

(45)【発行日】2021年3月24日

(54)【発明の名称】情報セキュリティ攻撃および防御計画を管理するシステム

(51)【国際特許分類】

   G06Q 50/10 20120101AFI20210315BHJP

   G06F 21/57 20130101ALI20210315BHJP

【ＦＩ】

   G06Q50/10

   G06F21/57 370

【請求項の数】7

【全頁数】8

(21)【出願番号】特願2019-98503(P2019-98503)

(22)【出願日】2019年5月27日

(65)【公開番号】特開2020-194265(P2020-194265A)

(43)【公開日】2020年12月3日

【審査請求日】2019年5月28日

(73)【特許権者】

【識別番号】519190791

【氏名又は名称】可立可資安股▲分▼有限公司

(74)【代理人】

【識別番号】100082418

【弁理士】

【氏名又は名称】山口 朔生

(74)【代理人】

【識別番号】100167601

【弁理士】

【氏名又は名称】大島 信之

(74)【代理人】

【識別番号】100201329

【弁理士】

【氏名又は名称】山口 真二郎

(72)【発明者】

【氏名】徐千洋

(72)【発明者】

【氏名】陳仁偉

(72)【発明者】

【氏名】林逸

【審査官】 塩澤 如正

(56)【参考文献】

【文献】 特表２０１５−５３４１５５（ＪＰ，Ａ）

【文献】 米国特許出願公開第２０１４／０１３７２５７（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｑ １０／００ − ９９／００

Ｇ０６Ｆ ２１／５７

(57)【特許請求の範囲】

【請求項1】

情報セキュリティ攻撃および防御計画を管理するシステムであって、
対象の団体によって用意される対象ウェブサイトに通信接続される監視制御サーバと、
第１のコンピュータで構成され、前記監視制御サーバに通信接続され、現実世界でのハッキング行動を実行して前記対象ウェブサイトにハッキングするハッカー側と、
第２のコンピュータで構成され、前記ハッカー側に通信接続される監視者側と、
第３のコンピュータで構成され、前記監視者側に通信接続され、解析プラットフォームおよび前記監視制御サーバを用意する管理者側であって、前記解析プラットフォームは前記監視者側および前記監視制御サーバに通信接続される、管理者側と、を備えるシステムにおいて、
前記ハッカー側および前記監視者側は、前記現実世界でのハッキング行動中にロギングされた情報にしたがって第１の個別報告および第２の個別報告をそれぞれ作成して前記第１の個別報告および前記第２の個別報告を前記対象の団体に送信し、
前記対象の団体は記録情報を作成して前記第１の個別報告、前記第２の個別報告および前記記録情報を、前記管理者側によって用意される前記解析プラットフォームに渡し、
前記解析プラットフォームは解析モジュールをさらに有し、当該解析モジュールは、前記対象の団体から送信される前記第１の個別報告、前記第２の個別報告および前記記録情報にしたがって、情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して前記対象の団体に送信することを特徴とする、
システム。

【請求項2】

前記監視者側は安全なプロトコルの情報にしたがってパケットロギングを実行して前記第２の個別報告を作成することを特徴とする請求項１に記載のシステム。

【請求項3】

前記対象ウェブサイトがＳＳＬ（セキュア・ソケット・レイヤ）暗号機能を有する場合、前記ハッカー側と前記対象ウェブサイトとの間のＳＳＬ接続を用いたＳＳＬトラフィックを前記監視制御サーバが解読できないようにする動的鍵を用いるように前記暗号機能を予め構成し、前記管理者側は静的鍵を生成して前記静的鍵を前記ハッカー側および前記監視制御サーバに与えて、前記ハッカー側は前記静的鍵を用いて前記ハッカー側と前記対象ウェブサイトとの間の前記ＳＳＬ接続を用いたＳＳＬトラフィックを解読しかつ前記監視制御サーバは前記ハッカー側と前記対象ウェブサイトとの間の前記ＳＳＬ接続を用いた前記ＳＳＬトラフィックを暗号化して記録することを特徴とする請求項１に記載のシステム。

【請求項4】

前記管理者側は前記現実世界でのハッキング行動中に生成される情報をロギングし、前記現実世界でのハッキング行動を実行した結果にしたがってアフター・アクション・レビュー（ＡＡＲ）処理を実行することを特徴とする請求項１に記載のシステム。

【請求項5】

前記記録情報は、セキュリティ情報イベント管理（ＳＩＥＭ）、侵入防止システム（ＩＰＳ）、侵入検知システム（ＩＤＳ）、ウェブ・アプリケーション・ファイアウォール（ＷＡＦ）またはウェブアクセスログに関連する情報を含むことを特徴とする請求項３に記載のシステム。

【請求項6】

前記第１の個別報告、前記第２の個別報告および前記記録情報を得ると、前記解析プラットフォームの前記解析モジュールは情報セキュリティにおける前記欠陥および脆弱性を含む前記概要報告の生成の際にクロスケース分析（ｃｒｏｓｓ−ｃａｓｅ ａｎａｌｙｓｉｓ）処理を実行することを特徴とする請求項１に記載のシステム。

【請求項7】

前記クロスケース分析処理はハッキング法解析および情報漏えい解析を含むことを特徴とする請求項６に記載のシステム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は管理システムに関し、特に、情報セキュリティ攻撃および防御計画を管理するシステムに関する。

【背景技術】

【0002】

現在、市販の一般的な情報セキュリティ管理システムでは、ほとんどの場合、テストおよび／またはプロダクトセキュリティ検査を通じてウェブサイトセキュリティリスクを評価している。これらの大半は手動で行なわれるか、情報ロギングしか行なわないツールによって行なわれる。
情報セキュリティ管理システムの提供業者によってはハッキング攻撃のために実際のハッカーを雇い、ハッキング結果をハッカーから得る場合がある。しかし、ほとんどの場合で、ハッカーの接近およびハッキング結果は情報セキュリティ管理の分野の提供業者にとっては信用に足るものではない。

【0003】

名称が「情報セキュリティ監視および防御のためのコンピュータプログラムプロダクトおよび方法」である台湾特許第Ｉ５１５５９９号（以下、先行技術Ａと称する）に開示されているように、先行技術Ａは、仮想レイヤおよび仮想マシンに適合し、情報比較ステップおよび正常シーケンスステップを実行し、シーケンスが正常シーケンスステップをパスできない場合にシーケンスを異常シーケンスと判定するためにクラウド仮想プラットフォームを設けるのに用いられるコンピュータデバイスに関する。
さらに、名称が「情報セキュリティリスクホストの高速スクリーニングのための方法およびシステム」である台湾特許第Ｉ５６０５６９号（以下、先行技術Ｂと称する）に開示されているように、先行技術Ｂの方法は、ホスト情報収集、疑わしいファイルと悪意のあるファイルデータベース中のファイルとの比較、リスク値の計算、リスクの高いホストのスクリーニング、および評価報告の生成を主に含む。

【0004】

前述の説明から分かるように、先行技術Ａも先行技術Ｂもハッキングの発生前の防止手段に注目しており、予防対策にすぎず、したがって、ハッカーの実際のハッキング行為および接近を対象として、効果的で信用度が高くきわめて安全性が高い解析結果は得られない。情報セキュリティ管理システムの当該提供業者によって雇われるハッカーによって策定される従来の技術の予防対策から生じる、信用できず疑わしいという課題に鑑みて、課題に取り組むのにより優れた解決手段を提供する必要がある。

【先行技術文献】

【特許文献】

【0005】

【特許文献1】台湾特許第Ｉ５１５５９９号公報

【特許文献2】台湾特許第Ｉ５６０５６９号公報

【発明の概要】

【発明が解決しようとする課題】

【0006】

本発明の目的は、客観的かつ効果的に概要報告を作成するためのハッカー、監視者および第三者による監視監査対策に関し、概要報告の評価結果の信用度および安全性を確実に改善する、情報セキュリティ攻撃および防御計画を管理するシステムを提供することである。

【課題を解決するための手段】

【0007】

前述の目的を達成するために、情報セキュリティ攻撃および防御計画を管理するシステムは監視制御サーバ、ハッカー側、監視者側および管理者側を含む。

【0008】

監視制御サーバは対象の団体によって用意される対象ウェブサイトに通信接続される。

【0009】

ハッカー側は監視制御サーバに通信接続され、現実世界でのハッキング行動を実行して対象ウェブサイトにハッキングする。

【0010】

監視者側はハッカー側に通信接続される。

【0011】

管理者側は監視者側に通信接続され、解析プラットフォームおよび監視制御サーバを用意する。解析プラットフォームは監視者側および監視制御サーバに通信接続される。

【0012】

ハッカー側および監視者側は、現実世界でのハッキング行動中にロギングされた情報にしたがって第１の個別報告および第２の個別報告をそれぞれ作成して第１の個別報告および第２の個別報告を対象の団体に送信し、対象の団体は記録情報を作成して第１の個別報告、第２の個別報告および記録情報を、管理者側によって用意される解析プラットフォームに渡して、管理者側は情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して概要報告を対象の団体に送信する。

【発明の効果】

【0013】

前述のシステムに基づけば、ハッカー側が現実世界でのハッキング行動を実行して監視制御サーバを通じて対象ウェブサイトにハッキングし、同時に監視者側がハッカー側を監視し、管理者側が解析プラットフォームおよび監視制御サーバを用意する。解析プラットフォームが監視者側および監視制御サーバに通信接続される。ハッカー側および監視者側が、現実世界でのハッキング行動中にロギングされた情報にしたがって第１の個別報告および第２の個別報告をそれぞれ作成する。第１の個別報告および第２の個別報告が対象の団体を通じて解析のために解析プラットフォームに送られる。したがって、その後、管理者側が情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して概要報告を対象の団体に送信できる。したがって、概要報告を客観的かつ効果的に評価でき、評価された結果の信用度および安全性を改善できる。

【0014】

添付の図面とあわせて参照すれば、以下の詳細な説明から、本発明の他の目的、効果および新規の特徴がより明確になる。

【図面の簡単な説明】

【0015】

【図1】本発明に係る情報セキュリティ攻撃および防御計画を管理するシステムのシステムアーキテクチャを示す機能ブロック図である。

【図2】図１のシステムの適用を示す機能ブロック図である。

【図3】図１のシステムに関与する者を示す機能ブロック図である。

【図4】図１のシステムの監視制御サーバに関連するネットワーキング環境を示す機能ブロック図である。

【発明を実施するための形態】

【0016】

図１を参照して、本発明に係る情報セキュリティ攻撃および防御計画を管理するシステムは、ハッカー側１０、監視者側２０、管理者側３０、対象ウェブサイト４０、監視制御サーバ５０および解析プラットフォーム６０を含む。
対象ウェブサイト４０は対象の団体によって用意される。監視制御サーバ５０は対象ウェブサイト４０に通信接続される。ハッカー側１０は現実世界でのハッキング行動を実行して、監視制御サーバ５０を通じて対象ウェブサイト４０にハッキングする。監視者側２０はハッカー側１０を監視する。管理者側３０はハッカー側１０および監視者側２０を監査する。管理者側３０は解析プラットフォーム６０および監視制御サーバ５０を用意する。解析プラットフォーム６０は監視者側２０および監視制御サーバ５０に通信接続される。

【0017】

ハッカー側１０および監視者側２０が現実世界でのハッキング行動中にロギングされた情報にしたがって第１の個別報告および第２の個別報告をそれぞれ作成して、第１の個別報告および第２の個別報告を解析のために対象の団体を介して解析プラットフォーム６０にそれぞれ送信する。これにより、管理者側３０が情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して概要報告を対象の団体に送信し、対象の団体が客観的かつ効果的に概要報告を評価することが可能になる。これにより得られる利点は、関与する行動集団に対するより高い信用度、より高い安全性、最小限のリソース消費、より効果的な統括管理、対象ウェブサイトドメインに対する侵入テスト、およびハッカーを完全に再現したサイバー攻撃を含むことができる。

【0018】

図２および図３を参照する。ハッカー側１０（ハッカー１、行動集団Ａ）は第１のハッカーによって操作される第１のコンピュータによって構成されて、監視制御サーバ５０に通信接続されており、監視者側２０（ハッカー２、行動集団Ｂ）は第２のハッカーによって操作される第２のコンピュータによって構成されて、ハッカー側１０に通信接続されており、管理者側３０（行動集団Ｃ）は管理員によって操作される第３のコンピュータで構成されて、監視者側２０に通信接続される。管理者側３０は、現実世界でのハッキング行動中に生成される情報をロギングするだけでなく、現実世界でのハッキング行動を実行した結果にしたがってアフター・アクション・レビュー（ＡＡＲ）処理も実行する。

【0019】

本実施の形態では、監視者側２０がＳＳＬ（セキュア・ソケット・レイヤ）アクセスログなどの安全なプロトコルの情報にしたがってパケットロギングを実行し、ロギングされたパケットを解析した後に第２の個別報告を作成する。ハッカー側１０および監視者側２０が第１の個別報告および第２の個別報告を対象の団体にそれぞれ送信する。その後、対象の団体が記録情報を作成して、管理者側３０によって用意された解析プラットフォーム６０に第１の個別報告、第２の個別報告および記録情報を解析のために渡す。これらの個別報告および記録情報は、管理者側３０が情報セキュリティにおける欠陥および脆弱性を含む概要報告を作成して概要報告を対象の団体に送ることがなされるように設けられるものである。
対象ウェブサイト４０がＳＳＬ暗号機能を有する場合、特定のＳＳＬ接続から別のＳＳＬ接続になるのに応じて変更され、ハッカー側１０と対象ウェブサイト４０との間にある中間の監視制御サーバ５０には利用不可である動的鍵（鍵Ａ）を用いるようにＳＳＬ暗号機能を予め構成することで、監視制御サーバ５０はハッカー側１０と対象ウェブサイト４０との間のＳＳＬ接続を用いたＳＳＬトラフィックを解読できない。動的鍵の問題に対処するために、管理者側３０は静的鍵（鍵Ｂ）を生成して静的鍵をハッカー側１０および監視制御サーバ５０に与える。したがって、ハッカー側１０は静的鍵を用いてハッカー側１０と対象ウェブサイト４０との間のＳＳＬ接続を用いたＳＳＬトラフィックを暗号化できる。この結果、監視制御サーバ５０はハッカー側１０と対象ウェブサイト４０との間のＳＳＬ接続を用いたＳＳＬトラフィックを完全に解読して記録できる。前述の記録情報は、セキュリティ情報イベント管理（Ｓｅｃｕｒｉｔｙ Ｉｎｆｏｒｍａｔｉｏｎ ａｎｄ Ｅｖｅｎｔ Ｍａｎａｇｅｍｅｎｔ）（ＳＩＥＭ）、侵入防止システム（Ｉｎｔｒｕｓｉｏｎ Ｐｒｅｖｅｎｔｉｏｎ Ｓｙｓｔｅｍ）（ＩＰＳ）、侵入検知システム（Ｉｎｔｒｕｓｉｏｎ Ｄｅｔｅｃｔｉｏｎ Ｓｙｓｔｅｍ）（ＩＤＳ）、ウェブ・アプリケーション・ファイアウォール（Ｗｅｂ Ａｐｐｌｉｃａｔｉｏｎ Ｆｉｒｅｗａｌｌ）（ＷＡＦ）またはウェブアクセスログに関連する情報を含む。

【0020】

解析プラットフォーム６０は解析モジュール６１をさらに有する。対象の団体は第１の個別報告、第２の個別報告および記録情報を解析モジュール６１に送信する。その後、解析モジュール６１は第１の個別報告、第２の個別報告および記録情報にしたがって概要報告を作成して概要報告を対象の団体に送信する。

【0021】

さらに、第１の個別報告、第２の個別報告および記録情報を得ると、解析プラットフォーム６０の解析モジュール６１は情報セキュリティにおける欠陥および脆弱性を含む概要報告の生成の際にクロスケース分析（ｃｒｏｓｓ−ｃａｓｅ ａｎａｌｙｓｉｓ）処理を実行する。本実施の形態では、クロスケース分析処理はハッキング法解析および情報漏えい解析を含む。したがって、管理者側３０が概要報告を作成し、記録情報群を記録し、概要報告および記録情報にしたがってＡＡＲ処理を実行することが可能になる。

【0022】

本実施の形態では、管理者側３０によって監視制御サーバ５０が用意される。図４を参照して、監視制御サーバ５０はルータ５１を介して複数のネットワークデバイス５２に通信接続される。複数のネットワークデバイス５２はＶＰＮ（Ｖｉｒｔｕａｌ Ｐｒｉｖａｔｅ Ｎｅｔｗｏｒｋ）、ＳＳＬ ＶＰＮなどの、各ローカルエリアネットワーク（ＬＡＮ）および各ワイドエリアネットワーク（ＷＡＮ）中のネットワーキング装置を含む。

【0023】

本実施の形態を適用することで、ハッカー側１０が現実世界でのハッキング行動を実行して、監視制御サーバ５０を通じて対象ウェブサイト４０にハッキングすることが可能になる。一方で、監視者側２０はハッカー側１０を監視でき、管理者側３０はハッカー側１０および監視者側２０を監査する。管理者側３０が解析プラットフォーム６０および監視制御サーバ５０を用意するものであるので、概要報告を客観的な手法で評価できる。解析プラットフォーム６０は監視者側２０および監視制御サーバ５０に接続される。
現実世界でのハッキング行動中に得られる記録情報にしたがってハッカー側１０および監視者側２０が第１の個別報告および第２の個別報告をそれぞれさらに作成する。対象の団体が第１の個別報告および第２の個別報告を解析プラットフォーム６０に送って、解析プラットフォーム６０がこれらに対して客観的な解析を実行した後、管理者側３０が概要報告を作成する。これにより、概要報告に対して客観的かつ効果的な解析が確実に遂行され、また、関与する行動集団に対するより高い信用度、より高い安全性、最小限のリソース消費、より効果的な統括管理、対象ウェブサイトドメインに対する侵入テスト、およびハッカーを完全に再現したサイバー攻撃を含む利点が得られる。

【0024】

本発明の多数の特徴および効果が本発明の構成および機能の詳細とともに前述の説明に示されているが、本開示は例示的にすぎない。本発明の原理の範囲内で、添付の請求項に表現されている用語の広義の一般的な意味によって示される最大範囲まで、細部、特に、形状、寸法および部品の配置に関して変更を行なってもよい。

【図1】

【図2】

【図3】

【図4】