特許 6987406 ペネトレーションテスト監視サーバ及びシステム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6987406

(24)【登録日】2021年12月3日

(45)【発行日】2022年1月5日

(54)【発明の名称】ペネトレーションテスト監視サーバ及びシステム

(51)【国際特許分類】

   G06F 21/57 20130101AFI20211220BHJP

   H04L 43/00 20220101ALI20211220BHJP

【ＦＩ】

   G06F21/57 370

   H04L12/70 100Z

【請求項の数】9

【全頁数】8

(21)【出願番号】特願2020-30091(P2020-30091)

(22)【出願日】2020年2月26日

(65)【公開番号】特開2021-135632(P2021-135632A)

(43)【公開日】2021年9月13日

【審査請求日】2020年2月26日

(73)【特許権者】

【識別番号】519190791

【氏名又は名称】可立可資安股▲分▼有限公司

(74)【代理人】

【識別番号】100120329

【弁理士】

【氏名又は名称】天野 一規

(72)【発明者】

【氏名】徐 千洋

(72)【発明者】

【氏名】陳 仁偉

(72)【発明者】

【氏名】林 逸

【審査官】 桜井 茂行

(56)【参考文献】

【文献】 特開２０１４−０２１９５９（ＪＰ，Ａ）

【文献】 特開２０１３−２３６６８７（ＪＰ，Ａ）

【文献】 特開２００１−２８５２７５（ＪＰ，Ａ）

【文献】 米国特許出願公開第２００１／０００９５８２（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／５７

Ｈ０４Ｌ １２／７０

(57)【特許請求の範囲】

【請求項1】

対象ウェブサイトに対して攻撃を加えるハッキング演習を行い、前記対象ウェブサイトへの前記攻撃の結果に基づいて第１の攻撃レポートを作成するための攻撃ホストと、
前記対象ウェブサイト及び前記攻撃ホストに電気的に接続され、仮想プラットフォーム及び分析プラットフォームを有する監視サーバと、
前記監視サーバ及び前記攻撃ホストに電気的に接続され、前記攻撃ホストを監視し、前記対象ウェブサイトへの前記攻撃の結果に基づいて第２の攻撃レポートを作成し、前記第２の攻撃レポートを前記分析プラットフォームに送信する監視ホストを有するペネトレーションテスト監視システムであって、
前記仮想プラットフォームが、前記ハッキング演習を行うために前記攻撃ホストが使用するソフトウェアツールを備え、ログイン後に前記仮想プラットフォームを介して前記対象ウェブサイトに対し前記ハッキング演習を行うため、前記攻撃ホストに仮想アカウントを付与し、
前記分析プラットフォームが、前記仮想プラットフォームに電気的に接続され、前記攻撃ホストにより前記仮想プラットフォーム上で実行される前記ハッキング演習を記録し、前記第１の攻撃レポートを受け取るペネトレーションテスト監視システム。

【請求項2】

前記仮想プラットフォームが１つ以上の仮想マシンを有し、前記攻撃ホストが前記仮想アカウントを介して前記１つ以上の仮想マシンにログイン後に、前記対象ウェブサイトに対し前記ハッキング演習を行う請求項１に記載のペネトレーションテスト監視システム。

【請求項3】

前記監視ホストに電気的に接続され、前記第１の攻撃レポート、前記第２の攻撃レポート及び前記ハッキング演習の結果に従ってアフター・アクション・レビュー（Ａｆｔｅｒ Ａｃｔｉｏｎ Ｒｅｖｉｅｗ；ＡＡＲ）を行い、前記ＡＡＲの結果に基づいて総括セキュリティレポートを作成するリスク評価ホストをさらに有する請求項２に記載のペネトレーションテスト監視システム。

【請求項4】

前記総括セキュリティレポートが、前記第１の攻撃レポート、前記第２の攻撃レポート及び記録情報に従って前記リスク評価ホストにより作成され、
前記記録情報が、前記ハッキング演習中にネットワーク配信コンテンツに従って前記仮想プラットフォームにより作成される請求項２に記載のペネトレーションテスト監視システム。

【請求項5】

前記監視ホストが、前記監視サーバに設置される請求項４に記載のペネトレーションテスト監視システム。

【請求項6】

前記第２の攻撃レポートが、セキュリティプロトコルに従ったポートミラーリング及び分析後に、前記監視ホストにより作成される請求項５に記載のペネトレーションテスト監視システム。

【請求項7】

対象ウェブサイト並びに攻撃ホスト及び監視ホストに電気的に接続されたペネトレーションテスト監視サーバであって、
ハッキング演習を行うために前記攻撃ホストが使用するソフトウェアツールを備え、ログイン後に前記仮想プラットフォームを介して前記対象ウェブサイトに対し前記ハッキング演習を行うため、前記攻撃ホストに仮想アカウントを付与する仮想プラットフォームと、
前記仮想プラットフォームに電気的に接続され、前記攻撃ホストにより前記仮想プラットフォーム上で実行される前記ハッキング演習を記録し、第１の攻撃レポートを受け取るための分析プラットフォームを有し、
前記監視ホストを介してリスク評価ホストに接続され、前記リスク評価ホストが前記第１の攻撃レポート、第２の攻撃レポート及び前記ハッキング演習の結果に従ってアフター・アクション・レビュー（Ａｆｔｅｒ Ａｃｔｉｏｎ Ｒｅｖｉｅｗ；ＡＡＲ）を行い、前記ＡＡＲの結果に基づいて総括セキュリティレポートを作成するペネトレーションテスト監視サーバ。

【請求項8】

前記仮想プラットフォームが１つ以上の仮想マシンを有し、前記攻撃ホストが前記仮想アカウントを介して前記１つ以上の仮想マシンにログイン後に、前記対象ウェブサイトに対し前記ハッキング演習を行う請求項７に記載のペネトレーションテスト監視サーバ。

【請求項9】

前記ＡＡＲが、
前記攻撃ホスト、前記監視ホスト及び前記対象ウェブサイトによりそれぞれ作成される前記レポートに記録された成功した攻撃が互いに異なっているか判断し、前記攻撃ホストが攻撃するセキュリティ上の弱点を記録し、前記対象ウェブサイトが前記セキュリティ上の弱点について攻撃されるリスクがあるかを比較するステップ１と、
ステップ１のデータに従って、前記対象ウェブサイトのセキュリティに関する情報、セキュリティ情報イベント管理及びセキュリティ監視センターが十分かつ効果的かをチェックするステップ２を含む請求項７に記載のペネトレーションテスト監視サーバ。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ペネトレーションテスト監視サーバ及びシステムに関し、特にセキュリティテスト中に攻撃ホストの攻撃行為を監視可能なサーバ及びシステムに関する。

【背景技術】

【0002】

図３は、従来のセキュリティテストアーキテクチャの模式図を示す。従来、対象ウェブサイト９０のセキュリティ保護に抜け穴があるか検知する場合、対象ウェブサイト９０の所有者は通常、セキュリティ会社に依頼してセキュリティテストを行う。セキュリティ会社は、対象ウェブサイト９０を攻撃するため、ハッカーとして攻撃ホスト８０を提供し、ファイアウォールなど対象ウェブサイト９０のセキュリティ保護対策が万全かを試験して、さらにテスト結果を含むセキュリティレポート８１を作成する。セキュリティレポート８１には、対象ウェブサイト９０のセキュリティ保護対策に弱点があるかや、セキュリティ保護対策がどのような種類の攻撃に対してより脆弱かが記録される。

【0003】

しかしながら、テスト中、対象ウェブサイト９０の所有者は通例、セキュリティ会社が実施する様々な攻撃シミュレーションの詳細を知ることはできない。それゆえ、セキュリティ会社は、テスト中に秘密裏にトロイの木馬のようなスパイウェア又はコンピュータウィルスを対象ウェブサイト９０に埋め込めば、対象ウェブサイト９０を密かに監視したり、現在または将来的に対象ウェブサイト９０を攻撃したりすることができる。そのため、対象ウェブサイト９０の所有者は、テスト中、対象ウェブサイト９０に任意にマルウェアが埋め込まれることを防ぐことはできない。

【発明の概要】

【発明が解決しようとする課題】

【0004】

テスト中にセキュリティ会社により、対象ウェブサイトが妨害されることを防ぐため、又は対象ウェブサイトに任意にマルウェアが埋め込まれることを防ぐため、本発明は、ペネトレーションテスト監視システム及びペネトレーションテスト監視サーバを提供する。監視サーバは、仮想プラットフォームにログイン権限を付与する。セキュリティ会社は、セキュリティテスト中に擬似攻撃を行うには、仮想プラットフォームにログインしなければならず、仮想プラットフォームはセキュリティ会社のすべての攻撃命令を記録できる。それゆえ、信頼される第三者がマルウェアが埋め込まれていないか監視又はチェックしたり、後で検査の責任及び信頼性を明確にできるよう、セキュリティ会社の完全な実施履歴を記録したりすることができる。

【課題を解決するための手段】

【0005】

ペネトレーションテスト監視システムは、対象ウェブサイトに対しハッキング演習を行い、対象ウェブサイトへの攻撃の結果に基づいて第１の攻撃レポートを作成するための攻撃ホストと、対象ウェブサイト及び攻撃ホストに電気的に接続され、仮想プラットフォーム及び分析プラットフォームを有する監視サーバと、監視サーバ及び攻撃ホストに電気的に接続され、攻撃ホストを監視し、対象ウェブサイトへの攻撃の結果に基づいて第２の攻撃レポートを作成し、第２の攻撃レポートを分析プラットフォームに送信するための監視ホストを有し、仮想プラットフォームは、ハッキング演習を行うために攻撃ホストが使用するソフトウェアツールを備え、ログイン後に仮想プラットフォームを介して対象ウェブサイトに対しハッキング演習を行うため、攻撃ホストに仮想アカウントを付与し、分析プラットフォームは、仮想プラットフォームに電気的に接続され、攻撃ホストにより仮想プラットフォーム上で実行されるハッキング演習を記録し、第１の攻撃レポートを受け取る。

【0006】

対象ウェブサイト並びに攻撃ホスト及び監視ホストに電気的に接続されたペネトレーションテスト監視サーバは、ハッキング演習を行うために攻撃ホストが使用するソフトウェアツールを備え、ログイン後に仮想プラットフォームを介して対象ウェブサイトに対しハッキング演習を行うため、攻撃ホストに仮想アカウントを付与する仮想プラットフォームと、仮想プラットフォームに電気的に接続され、攻撃ホストにより仮想プラットフォーム上で実行されるハッキング演習を記録し、第１の攻撃レポートを受け取るための分析プラットフォームを有する。

【発明の効果】

【0007】

本発明の監視サーバは１つ以上の仮想マシンで構成され、攻撃ホストはセキュリティテストを行う際には擬似攻撃用の仮想マシンにログインしなければならず、仮想マシンは攻撃ホストにより行われるすべての攻撃行為を記録できるため、攻撃ホストが対象ウェブサイトに任意にマルウェアを埋め込むことを防ぎ、セキュリティテスト中に埋め込まれたマルウェアに対象ウェブサイトが攻撃されるリスクを減らすことができる。

【図面の簡単な説明】

【0008】

【図1】本発明の第１の好ましい実施形態に係る回路のブロック図である。

【図2】本発明の第２の好ましい実施形態に係る回路のブロック図である。

【図3】従来のセキュリティテストアーキテクチャの模式図である。

【発明を実施するための形態】

【0009】

図１を参照すると、本発明のペネトレーションテスト監視システムは、攻撃ホスト１０、監視サーバ２０及び監視ホスト３０を有する。本発明において、攻撃ホスト１０及び監視ホスト３０はセキュリティ会社により提供されることができ、監視サーバ２０は対象ウェブサイトのプロバイダにより提供されることができる。セキュリティ会社において、攻撃ホスト１０がハッカーの攻撃を擬似し、監視ホスト３０がセキュリティ維持技術者を擬似している。別の実施形態において、攻撃ホスト１０は、ハッカーの攻撃を擬似するため、上記セキュリティ会社により提供されることができ、監視ホスト３０は信頼性の高い他のセキュリティ会社により提供される。攻撃ホスト１０が対象ウェブサイトを攻撃するとき、監視ホスト３０は攻撃データを見張っており、対象ウェブサイトのセキュリティレポートを作成する。監視サーバ２０は、攻撃ホスト１０により実行される攻撃行為を常時監視することにより、攻撃ホスト１０がペネトレーションテスト中に、情報セキュリティを脅かす恐れのあるトロイの木馬ウィルスなどを埋め込むことを効果的に防ぐ。

【0010】

攻撃ホスト１０は、対象ウェブサイト４０に対しハッキング演習を行うよう構成され、対象ウェブサイト４０への攻撃の結果に従って第１の攻撃レポートを作成する。攻撃ホスト１０は、ハッカー又は第１のセキュリティ会社とすることができる。ハッキング演習は例えば、ペネトレーションテスト（ＰＴ）又はレッドチームとすることができる。

【0011】

監視サーバ２０は、対象ウェブサイト４０及び攻撃ホスト１０に電気的に接続され、仮想プラットフォーム２１及び分析プラットフォーム２２を有する。仮想プラットフォーム２１は、ハッキング演習中に攻撃ホスト１０が使用するソフトウェアツールを備え、仮想アカウントを付与する。攻撃ホスト１０は、仮想プラットフォーム２１を介して対象ウェブサイト４０に対しハッキング演習を行うには、仮想アカウントにログインする必要がある。ソフトウェアツールは、ＩＢＭのＡＰＰＳＣＡＮ（登録商標）、Ｎｅｔｓｐａｒｋｅｒ、Ａｃｕｎｅｔｉｘ、Ｐｒｏｂｅｌｙ、ＩｍｍｕｎｉＷｅｂ、Ｉｎｄｕｓｆａｃｅ、ＴｅｎａｂｌｅのＮＥＳＳＵＳ（登録商標）、Ｃｏｒｅ Ｉｍｐａｃｔ、Ｃａｎｖａｓ、ｗ３ａｆ、ＺＡＰ、Ｓｑｌｎｉｎｊａ及びＯｐｅｎＶＡＳを含んでいてもよいが、これに限定されない。実際の運用において、仮想プラットフォーム２１は、どのソフトウェアが現在１つ以上の攻撃により使用されているかを特定するため、フィンガープリント特徴分析を行う。

【0012】

図２を参照すると、好ましい実施形態において、仮想プラットフォーム２１は１つ以上の仮想マシン２１１を含み、対象ウェブサイト４０に対しハッキング演習を行うために、攻撃ホスト１０は仮想アカウントを介して上記１つ以上の仮想マシンにログインする。分析プラットフォーム２２は、仮想プラットフォーム２１に電気的に接続され、仮想プラットフォーム２１上で攻撃ホスト１０により行われるハッキング演習を記録し、第１の攻撃レポートを受け取る役割がある。具体的には、第１の攻撃レポートは、限定はされないが、以下の２種類を含んでいてもよい。１）成功した攻撃はあらかじめ規定された攻撃項目に従って分類され、攻撃項目は攻撃の詳細、攻撃時間、攻撃方法、攻撃の効果及び攻撃後の重症度を含んでいてもよい。２）失敗した攻撃はあらかじめ規定された攻撃項目に従って分類され、攻撃項目は対象ウェブサイト４０が曝されたリスクを含んでいてもよいが、攻撃の詳細は含まない。仮想プラットフォーム２１は、ハッキング演習を行うために攻撃ホスト１０が使用するソフトウェアツールを備えているので、対象ウェブサイト４０の所有者または第三者セキュリティ会社は、仮想プラットフォーム２１内のソフトウェアツールが不正に細工されているか又はウィルスが埋め込まれているかをセキュリティテスト前にチェックすることができ、セキュリティテストでの攻撃を回避できる。

【0013】

また、仮想プラットフォーム２１が複数の仮想マシン２１１を含むことができるため、攻撃ホスト１０は、複数の仮想マシン２１１を介して対象ウェブサイト４０に対して１つ以上のハッキング演習を行うことができることにより、セキュリティテストのレベルを向上させ、対象ウェブサイトがどこまでの強度のハッキング攻撃に耐えうるかを試験することができる。

【0014】

監視ホスト３０は、監視サーバ２０及び攻撃ホスト１０に電気的に接続され、攻撃ホスト１０を監視し、第２の攻撃レポートを作成するため対象ウェブサイト４０への攻撃の結果を収集し、第２の攻撃レポートを分析プラットフォーム２２に送信する役割がある。監視ホスト３０は、第１のセキュリティ会社によって提供されてもよいし、客観的な第三者セキュリティ会社によって提供されてもよい。具体的に、第２の攻撃レポートは、効果がなく（リスクがなく）失敗となった攻撃の試み、攻撃により使用されたソフトウェア、攻撃が脅威を与えたか、どの脅威が安全であるかなどを含んでいてもよい。

【0015】

本発明の仮想プラットフォーム２１は、攻撃ホスト１０がハッキング演習において対象ウェブサイト４０に対して行うすべての攻撃を監視できるので、攻撃ホスト１０が対象ウェブサイト４０を攻撃する際にトロイの木馬のようなスパイウェア又はウィルスを秘密裏にインストールすることを防ぎ、対象ウェブサイト４０にセキュリティ分析を行う際に対象ウェブサイト４０を攻撃ホスト１０によるハッキングから保護することができる。具体的には、仮想プラットフォーム２１は以下の２つの手法で攻撃行為を監視することができる。１）仮想プラットフォーム２１は、下層のネットワークサービスを介してすべての攻撃行為を記録として得るため、物理ハードウェア上に構築することができる。２）仮想プラットフォーム２１は、送信パケット及び受診パケットのコンテンツを分析するため、対象ウェブサイト４０のネットワーク行動トラフィック分析を行う。

【0016】

本発明はさらにリスク評価ホスト５０を有し、リスク評価ホスト５０は監視ホスト３０に電気的に接続され、分析プラットフォーム２２の第１の攻撃レポート、第２の攻撃レポート及びハッキング演習の結果に従ってアフター・アクション・レビュー（Ａｆｔｅｒ Ａｃｔｉｏｎ Ｒｅｖｉｅｗ；ＡＡＲ）を行う役割がある。リスク評価ホスト５０は、ＡＡＲの結果に基づいて総括セキュリティレポートを作成し、総括セキュリティレポートを対象ウェブサイト４０の所有者に送信する。総括セキュリティレポートには、対象ウェブサイト４０のセキュリティシステムに欠陥があるか、ファイアウォールの完全性、ファイアウォールの脆弱さなどといったデータが含まれている。これにより、本発明は、客観的かつ効果的に総括レポートを評価することができ、チームの信頼性、セキュリティ、最小限の資源消費、効果的な監督、ドメインに対する潜入攻撃の強化及びハッキング技術の徹底的なシミュレーションといった有益な効果を発揮することができる。

【0017】

また、ＡＡＲは、下記のステップを有する。

【0018】

第１のステップ：上で規定された攻撃項目に基づいて、攻撃ホスト１０、監視ホスト３０及び対象ウェブサイト４０により別々に作成された成功した攻撃に関するレポートの部分が互いに異なっていることを確認した後、攻撃ホスト１０がどのセキュリティ上の弱点を攻撃したかを記録し、対象ウェブサイト４０がセキュリティ上の弱点について攻撃されるリスクがあるか及びどのセキュリティ区域において安全であるかを比較する。このプロセスにより、攻撃ホスト１０が成功した攻撃を隠ぺいしていないことも証明される。それゆえ、第１の攻撃レポートは、第２の攻撃レポートよりも詳細な開示をしなければならない。

【0019】

第２のステップ：第１のステップのデータに従って、対象ウェブサイトのセキュリティに関する情報、セキュリティ情報イベント管理（ＳＩＥＭ）及びセキュリティ監視センター（ＳＯＣ）が十分かつ効果的であるかをチェックすることにより、対象ウェブサイト４０の日常の自己記録・防御機構が健全かつ効果的であるかを検証する。

【0020】

具体的には、総括セキュリティレポートは、第１の攻撃レポート、第２の攻撃レポート及び記録情報を含む。記録情報は、攻撃中にネットワーク配信コンテンツのサマリに従って仮想プラットフォームにより作成され、送信コンテンツは、セキュリティ上のインシデントの観察、発見、早期警戒、検出、妨害、遮断、確立、補足処理、関連記録レポートなどを含んでいてもよい。

【0021】

具体的には、本発明の好ましい実施形態において、監視ホスト３０はセキュリティプロトコル情報（ＳＳＬアクセスログなど）に従ってポートミラーリングを行い、分析後に第２の攻撃レポートを作成する。対象ウェブサイト４０の所有者は、第１の攻撃レポート、第２の攻撃レポート及び記録情報をリスク評価ホスト５０に送信する。リスク評価ホスト５０は、総括セキュリティレポートを作成し、総括セキュリティレポートを対象ウェブサイト４０の所有者に送る。例えば、対象ウェブサイト４０がＳＳＬ暗号化機能を有する場合、ＳＳＬはデフォルトで動的キーを使用するため、監視サーバ２０はＳＳＬを解読できない。それゆえ、リスク評価ホスト５０は攻撃ホスト１０の静的キーを生成することができ、攻撃ホスト１０は静的キーをＳＳＬ解読に使用し、監視サーバ２０は攻撃ホスト１０と対象ウェブサイト４０の間の暗号化された関係全体をプレーンテキストで記録できる。記録情報は、セキュリティ情報イベント管理（ＳＩＥＭ）、侵入防止システム（ＩＰＳ）、侵入検知システム（ＩＤＳ）及びウェブアプリケーションファイアウォール（ＷＡＦ）またはウェブアクセスログなどを含む。

【0022】

さらに、監視ホスト３０は、セキュリティ会社により提供されることができる（例えば図１）、又は、ハッキング演習を行う攻撃ホスト１０を見張るため、監視サーバ２０内に配置することができる（例えば図２）。

【0023】

本発明において、攻撃ホスト１０が監視サーバ２０を介して対象ウェブサイト４０に対しハッキング演習を行い、攻撃ホスト１０は監視ホスト３０により監視される。攻撃ホスト１０及び監視ホスト３０はハッキング演習に従って第１の攻撃レポート及び第２の攻撃レポートを作成し、対象ウェブサイト４０は客観分析のため第１の攻撃レポート及び第２の攻撃レポートを分析プラットフォーム２２に送り、リスク評価ホスト５０は総括セキュリティレポートを作成する。本発明は、総括セキュリティレポートを客観的かつ効果的な立場で分析することができ、チームの信頼性、セキュリティ、最小限の資源消費、効果的な監督、ドメインに対する侵入攻撃の強化及びハッキング技術の徹底的なシミュレーションといった利点を有する。

【符号の説明】

【0024】

１０ 攻撃ホスト
２０ 監視サーバ
２１ 仮想プラットフォーム
２２ 分析プラットフォーム
３０ 監視ホスト
４０ 対象ウェブサイト
５０ リスク評価ホスト
８０ 攻撃ホスト
８１ セキュリティレポート
９０ 対象ウェブサイト
２１１ 仮想マシン

【図1】

【図2】

【図3】