知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022100815
(43)【公開日】2022-07-06
(54)【発明の名称】セキュリティ対策支援装置
(51)【国際特許分類】
G06F 21/57 20130101AFI20220629BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2020215021
(22)【出願日】2020-12-24
(71)【出願人】
【識別番号】000001487
【氏名又は名称】フォルシアクラリオン・エレクトロニクス株式会社
(74)【代理人】
【識別番号】110002365
【氏名又は名称】特許業務法人サンネクスト国際特許事務所
(72)【発明者】
【氏名】庄司 賢一
(72)【発明者】
【氏名】矢島 孝行
(72)【発明者】
【氏名】永井 靖
(72)【発明者】
【氏名】河内 尚
(57)【要約】
【課題】サイバーセキュリティの知識を熟知した者に頼らず、外部装置と通信する情報処理機器に対して定量的にセキュリティ対策の実施可否を適切に判定する。
【解決手段】外部装置と通信する情報処理機器に対するセキュリティ対策を支援するセキュリティ対策支援装置が、脆弱性判定部と評価部とを備える。脆弱性判定部は、情報処理機器の一つ又は複数の仕様書項目を表す仕様書情報を取得し、当該仕様書情報と、二つ以上の仕様書項目の各々について一つ以上の脆弱性を表す項目-脆弱性情報とを比較し、情報処理機器の一つ又は複数の仕様書項目の各々について脆弱性の有無を判定する。評価部は、脆弱性があると判定された一つ以上の仕様書項目の各々について、当該仕様書項目について脆弱性の修正緊急性を判定し、当該一つ以上の仕様書項目のうちの少なくとも一つについての脆弱性修正の緊急性の判定結果を出力する。
【選択図】図3
【解決手段】外部装置と通信する情報処理機器に対するセキュリティ対策を支援するセキュリティ対策支援装置が、脆弱性判定部と評価部とを備える。脆弱性判定部は、情報処理機器の一つ又は複数の仕様書項目を表す仕様書情報を取得し、当該仕様書情報と、二つ以上の仕様書項目の各々について一つ以上の脆弱性を表す項目-脆弱性情報とを比較し、情報処理機器の一つ又は複数の仕様書項目の各々について脆弱性の有無を判定する。評価部は、脆弱性があると判定された一つ以上の仕様書項目の各々について、当該仕様書項目について脆弱性の修正緊急性を判定し、当該一つ以上の仕様書項目のうちの少なくとも一つについての脆弱性修正の緊急性の判定結果を出力する。
【選択図】図3
【特許請求の範囲】
【請求項1】
外部装置と通信する情報処理機器に対するセキュリティ対策を支援するセキュリティ対策支援装置であって、
前記情報処理機器の一つ又は複数の仕様書項目を表す仕様書情報を取得し、前記仕様書情報と、二つ以上の仕様書項目の各々について一つ以上の脆弱性を表す項目-脆弱性情報とを比較し、前記情報処理機器の前記一つ又は複数の仕様書項目の各々について脆弱性の有無を判定する脆弱性判定部と、
脆弱性があると判定された一つ以上の仕様書項目の各々について、当該仕様書項目について脆弱性の修正緊急性を判定し、当該一つ以上の仕様書項目のうちの少なくとも一つについての脆弱性の修正緊急性の判定結果を出力する評価部と
を備えることを特徴とするセキュリティ対策支援装置。
前記情報処理機器の一つ又は複数の仕様書項目を表す仕様書情報を取得し、前記仕様書情報と、二つ以上の仕様書項目の各々について一つ以上の脆弱性を表す項目-脆弱性情報とを比較し、前記情報処理機器の前記一つ又は複数の仕様書項目の各々について脆弱性の有無を判定する脆弱性判定部と、
脆弱性があると判定された一つ以上の仕様書項目の各々について、当該仕様書項目について脆弱性の修正緊急性を判定し、当該一つ以上の仕様書項目のうちの少なくとも一つについての脆弱性の修正緊急性の判定結果を出力する評価部と
を備えることを特徴とするセキュリティ対策支援装置。
【請求項2】
前記情報処理機器の外部装置に対する一つ又は複数のインターフェース以外に前記一つ又は複数の仕様書項目があり、
前記仕様書情報が、前記情報処理機器における、インターフェースと仕様書項目との接続と仕様書項目間の接続とを表す情報を含み、
前記評価部が、管理情報を基に、前記一つ以上の仕様書項目の各々について、下記(A)乃至(D)のうちの少なくとも一つの判定を行い、当該判定の結果を基に、当該仕様書項目について脆弱性の修正緊急性を判定し、
(A)当該仕様書項目への外部からの攻撃経路があるか否か、
(B)当該仕様書項目への攻撃手法に対する対策の効果の高さが一定の高さ以上か否か、
(C)当該仕様書項目への攻撃手法の難易度の高さが一定の高さ以上か否か、及び、
(D)当該仕様書項目への攻撃手法の攻撃段階の高さが一定の高さ以下か否か、
前記管理情報は、下記(a)乃至(d)のうちの少なくとも一つを、前記二つ以上の仕様書項目の各々について表す情報である、
(a)インターフェースを侵入口とし0個以上の仕様書項目を通じた当該仕様書項目への攻撃経路、
(b)当該仕様書項目への攻撃経路を利用した一つ以上の攻撃手法の各々について当該攻撃手法に対する対策の効果の高さ、
(c)当該仕様書項目への攻撃経路を利用した一つ以上の攻撃手法の各々について当該攻撃手法の難易度の高さ、及び、
(d)当該仕様書項目への攻撃経路を利用した一つ以上の攻撃手法の各々について当該攻撃手法の攻撃段階の高さ、
ことを特徴とする請求項1に記載のセキュリティ対策支援装置。
前記仕様書情報が、前記情報処理機器における、インターフェースと仕様書項目との接続と仕様書項目間の接続とを表す情報を含み、
前記評価部が、管理情報を基に、前記一つ以上の仕様書項目の各々について、下記(A)乃至(D)のうちの少なくとも一つの判定を行い、当該判定の結果を基に、当該仕様書項目について脆弱性の修正緊急性を判定し、
(A)当該仕様書項目への外部からの攻撃経路があるか否か、
(B)当該仕様書項目への攻撃手法に対する対策の効果の高さが一定の高さ以上か否か、
(C)当該仕様書項目への攻撃手法の難易度の高さが一定の高さ以上か否か、及び、
(D)当該仕様書項目への攻撃手法の攻撃段階の高さが一定の高さ以下か否か、
前記管理情報は、下記(a)乃至(d)のうちの少なくとも一つを、前記二つ以上の仕様書項目の各々について表す情報である、
(a)インターフェースを侵入口とし0個以上の仕様書項目を通じた当該仕様書項目への攻撃経路、
(b)当該仕様書項目への攻撃経路を利用した一つ以上の攻撃手法の各々について当該攻撃手法に対する対策の効果の高さ、
(c)当該仕様書項目への攻撃経路を利用した一つ以上の攻撃手法の各々について当該攻撃手法の難易度の高さ、及び、
(d)当該仕様書項目への攻撃経路を利用した一つ以上の攻撃手法の各々について当該攻撃手法の攻撃段階の高さ、
ことを特徴とする請求項1に記載のセキュリティ対策支援装置。
【請求項3】
前記管理情報が、(a)と、(b)乃至(d)のうちの少なくとも一つとを含み、
前記評価部は、前記一つ以上の仕様書項目の各々について、(A)の判定を行い、攻撃経路があると判定された仕様書項目について、(B)乃至(D)のうちの少なくとも一つの判定を行う、
ことを特徴とする請求項2に記載のセキュリティ対策支援装置。
前記評価部は、前記一つ以上の仕様書項目の各々について、(A)の判定を行い、攻撃経路があると判定された仕様書項目について、(B)乃至(D)のうちの少なくとも一つの判定を行う、
ことを特徴とする請求項2に記載のセキュリティ対策支援装置。
【請求項4】
前記評価部は、(B)乃至(D)のうちの少なくとも一つの判定結果が真である仕様書項目について、脆弱性の修正緊急性を、修正緊急性が相対的に低いことを意味する第1の緊急性とする、
ことを特徴とする請求項3に記載のセキュリティ対策支援装置。
ことを特徴とする請求項3に記載のセキュリティ対策支援装置。
【請求項5】
前記評価部は、前記一つ以上の仕様書項目の各々について、(A)の判定を行い、攻撃経路が無いと判定された仕様書項目について、脆弱性の修正緊急性を、修正緊急性が相対的に低いことを意味する第1の緊急性とする、
ことを特徴とする請求項2乃至4のうちのいずれか1項に記載のセキュリティ対策支援装置。
ことを特徴とする請求項2乃至4のうちのいずれか1項に記載のセキュリティ対策支援装置。
【請求項6】
前記一つ又は複数の仕様書項目の各々について、それぞれが機能又は情報である一つ以上の資産が属しており、
前記仕様書情報が、前記一つ又は複数の仕様書項目の各々について、当該仕様書項目に属する資産毎に資産価値の高さを表す情報を含み、
前記評価部は、前記一つ以上の仕様書項目のうち、(A)乃至(D)のうちの少なくとも一つの判定結果に従い修正緊急性が相対的に低いことを意味する第1の緊急性が判定されなかった仕様書項目について、前記仕様書情報を参照して、当該仕様書項目に資産毎の資産価値に基づき、脆弱性の修正緊急性を、前記第1の緊急性よりも修正緊急性が高いことを意味する第2の緊急性か、第2の緊急性よりも修正緊急性が高いことを意味する第3の緊急性とする、
請求項2乃至5のうちのいずれか1項に記載のセキュリティ対策支援装置。
前記仕様書情報が、前記一つ又は複数の仕様書項目の各々について、当該仕様書項目に属する資産毎に資産価値の高さを表す情報を含み、
前記評価部は、前記一つ以上の仕様書項目のうち、(A)乃至(D)のうちの少なくとも一つの判定結果に従い修正緊急性が相対的に低いことを意味する第1の緊急性が判定されなかった仕様書項目について、前記仕様書情報を参照して、当該仕様書項目に資産毎の資産価値に基づき、脆弱性の修正緊急性を、前記第1の緊急性よりも修正緊急性が高いことを意味する第2の緊急性か、第2の緊急性よりも修正緊急性が高いことを意味する第3の緊急性とする、
請求項2乃至5のうちのいずれか1項に記載のセキュリティ対策支援装置。
【請求項7】
前記項目-脆弱性情報が格納された外部記憶装置に接続されたインターフェース装置と、
前記仕様書情報の入力を受け付ける入出力装置と、
一つ以上のコンピュータプログラムを格納した記憶装置と、
前記インターフェース装置、前記入出力装置及び前記記憶装置に接続されており前記一つ以上のプログラムを実行することで前記脆弱性判定部と前記評価部とを実現するプロセッサと
を備えたことを特徴とする請求項1乃至6のうちのいずれか1項に記載のセキュリティ対策支援装置。
前記仕様書情報の入力を受け付ける入出力装置と、
一つ以上のコンピュータプログラムを格納した記憶装置と、
前記インターフェース装置、前記入出力装置及び前記記憶装置に接続されており前記一つ以上のプログラムを実行することで前記脆弱性判定部と前記評価部とを実現するプロセッサと
を備えたことを特徴とする請求項1乃至6のうちのいずれか1項に記載のセキュリティ対策支援装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、概して、外部装置と通信する情報処理機器に対するセキュリティ対策の支援に関する。
【背景技術】
【0002】
近年、外部から情報を取得する通信装置を工場や自動車などの制御システムに接続することで、制御システムの効率をあげるサービスや、ソフトウェアや情報を適宜更新するサービスを実現する技術が普及し始めており、この情報通信技術の活用は車載情報機器にも活用されるようにもなってきている。同時に、このような車載情報機器では、機器外からのサイバー攻撃を受ける危険性が高まっており、セキュリティ性能の向上が求められている。更に、車載情報機器で実行されるソフトウェアは、コンピュ-タプログラム上の不具合や仕様上の問題点などの「ソフトウェア脆弱性」(以下、脆弱性)と呼ばれる欠陥を有していることがある。
【0003】
そのため、車載情報機器の提供者は、設計段階から開発段階においては、製品又はサービスへのセキュリティ対策の追加やセキュリティテストを実施したり、セキュリティテストで発覚した脆弱性を修正したりすることによって、セキュリティ攻撃による製品又はサービスへの悪影響が生じる可能性を低減することが、サービス提供者(車載情報機器を通じてサービスを提供する者)やユーザ(車載情報機器のユーザ(典型的にはエンドユーザ))から求められている。
【0004】
更に、製品出荷後に新規の脆弱性が発見され、製品又はサービスへの悪影響が生じる可能性がある場合は、ソフトウェア更新等の対応が求められる。
【0005】
しかし、対策を行うかどうかはサイバーセキュリティの知識を熟知した者(有識者)の知見に頼らざるを得ず、また有識者によっても意見が異なるという課題があった。
【0006】
この問題を解決するため、システムの一部ずつを制御する制御ゾーンにおける異常検知時に、それぞれの状態毎に適切な対処プロセスを実行する技術が知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2012-226680号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
特許文献1においては、各対策先機能の重要度に基づく対策優先度などを評価者に理解させるための支援という点に改善の余地があった。
【0009】
以上を鑑み、本発明ではサイバーセキュリティの知識を熟知した者に頼らず、外部装置と通信する情報処理機器に対して定量的にセキュリティ対策の実施可否を適切に判定することが可能とするセキュリティ対策支援装置の提供を目的とする。
【課題を解決するための手段】
【0010】
外部装置と通信する情報処理機器に対するセキュリティ対策を支援するセキュリティ対策支援装置が、脆弱性判定部と評価部とを備える。脆弱性判定部は、情報処理機器の一つ又は複数の仕様書項目を表す仕様書情報を取得し、当該仕様書情報と、二つ以上の仕様書項目の各々について一つ以上の脆弱性を表す項目-脆弱性情報とを比較し、情報処理機器の一つ又は複数の仕様書項目の各々について脆弱性の有無を判定する。評価部は、脆弱性があると判定された一つ以上の仕様書項目の各々について、当該仕様書項目について脆弱性の修正緊急性を判定し、当該一つ以上の仕様書項目のうちの少なくとも一つについての脆弱性修正の緊急性の判定結果を出力する。
【発明の効果】
【0011】
本発明によれば、サイバーセキュリティの知識を熟知した者に頼らず、外部装置と通信する情報処理機器に対して定量的にセキュリティ対策の実施可否を適切に判定することが可能となる。
【図面の簡単な説明】
【0012】
【図1】本発明の一実施例に係るセキュリティ対策支援装置のハードウェア構成例を示す。
【図2A】プロセッサの機能構成例を示す。
【図2B】記憶装置内のDBの例を示す。
【図3】セキュリティ対策支援装置全体の機能構成例を示す。
【図4A】評価対象の車載情報機器の構成例の一部を示す。
【図4B】評価対象の車載情報機器の構成例の残りを示す。
【図5A】仕様書テーブルの構成例の一部を示す。
【図5B】仕様書テーブルの構成例の残りを示す。
【図6】脅威-資産テーブルの構成例を示す。
【図7】脅威-対策テーブルの構成例を示す。
【図8】脅威分析テーブルの構成例を示す。
【図9】攻撃経路テーブルの構成例を示す。
【図10】対策テーブルの構成例を示す。
【図11】攻撃手法テーブルの構成例を示す。
【図12A】項目-脆弱性テーブルの構成例の一部を示す。
【図12B】項目-脆弱性テーブルの構成例の残りを示す。
【図13】脆弱性の修正緊急性判定のフローを示す。
【図14】項目-脆弱性テーブルの更新のフローを示す。
【図15】入力画面例を示す。
【図16】出力画面例を示す。
【発明を実施するための形態】
【0013】
以下の説明では、「インターフェース装置」は、一つ以上のインターフェースデバイス(典型的には通信インターフェースデバイス)でよい。
【0014】
また、以下の説明では、「メモリ」は、一つ以上のメモリデバイスであり、揮発性メモリデバイスであってもよいし不揮発性メモリデバイスであってもよい。
【0015】
また、以下の説明では、「永続記憶装置」は、一つ以上の不揮発性の記憶デバイス(例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive))でよい。
【0016】
また、以下の説明では、「記憶装置」は、メモリと永続記憶装置の少なくともメモリでよい。
【0017】
また、以下の説明では、「プロセッサ」は、一つ以上のプロセッサデバイスでよい。少なくとも一つのプロセッサデバイスは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサデバイスでよいが、GPU(Graphics Processing Unit)のような他種のプロセッサデバイスでもよい。少なくとも一つのプロセッサデバイスは、処理の一部または全部を行うハードウェアといった広義のプロセッサデバイスでもよい。
【0018】
また、以下の説明では、「xxxテーブル」といった表現にて、入力に対して出力が得られる情報を説明することがあるが、当該情報は、どのような構造のデータでもよいし、入力に対する出力を発生する学習モデルでもよい。従って、「xxxテーブル」を「xxx情報」と言うことができる。一つのテーブルは、二つ以上のテーブルに分割されてもよいし、二つ以上のテーブルの全部又は一部が一つのテーブルであってもよい。また、以下の説明では、「DB」は、データベースの略である。
【0019】
また、以下の説明では、「yyy部」の表現にて機能を説明することがあるが、機能は、一つ以上のコンピュータプログラムがプロセッサによって実行されることで実現されてもよいし、一つ以上のハードウェア回路(例えばFPGAまたはASIC)によって実現されてもよいし、それらの組合せによって実現されてもよい。機能を主語として説明された処理は、プロセッサあるいはそのプロセッサを有する装置が行う処理としてもよい。複数の機能が一つの機能にまとめられたり、一つの機能が複数の機能に分割されたりしてもよい。
【0020】
また、セキュリティ対策支援装置は、一つ以上の物理的な計算機で構成されたシステムでもよいし、物理的な計算リソース群(例えば、クラウド基盤)上に実現されたシステム(例えば、クラウドコンピューティングシステム)でもよい。セキュリティ対策支援装置が表示用情報を「表示する」ことは、計算機が有する表示デバイスに表示用情報を表示することでもよいし、計算機が表示用計算機に表示用情報を送信することでもよい。
【0021】
【0022】
本実施例では、セキュリティ対策支援装置1とユーザ108が使用する入出力装置106とが直接接続されているが、必ずしもセキュリティ対策支援装置1が入出力装置106と直接接続されていなくてもよい。例えば、入出力装置が、ユーザ108が保持するタブレット端末のような情報処理機器であり、セキュリティ対策支援装置1が有する通信装置104を介してユーザ108からの入力を受け付けたり表示対象の情報が出力されたりするようにしてもよい。
【0023】
以降は、本実施例における攻撃対象となり得る「資産」とは、攻撃者から情報搾取などの攻撃を受け得る「情報資産」(典型的には、車載情報機器が保持するデータ)と、攻撃者からDoS(Denial of Services)などの機能停止攻撃を受け得る「機能資産」(典型的には、車載情報機器の所定な処理を実施する機能)の二つのいずれかを指す。
【0024】
図1は、本実施例に係るセキュリティ対策支援装置1のハードウェア構成例を示す。
【0025】
セキュリティ対策支援装置(以下、支援装置)1は、プロセッサ101、記憶装置102、通信装置104(インターフェース装置の一例)、電源装置105、入出力装置106、及びそれらが接続されたバス107で構成される。入出力装置106は、入力装置(例えば、キーボードやポインティングデバイス)と出力装置(例えば表示装置)とでよく、入力装置と出力装置は一体(例えば、タッチパネル)でもよい。電源装置105は、二次電池でもよいし外部から電力供給を受けてもよい。電源装置105からプロセッサ101、記憶装置102、通信装置104及び入出力装置106に電力が供給される。支援装置1は、通信装置104を介して、外部の記憶装置(図示せず)における脆弱性DB15を、例えばネットワーク経由で参照する。脆弱性DB15は、後述するように、新規の脆弱性と既知の脆弱性を表す情報を保持している。
【0026】
図2Aは、プロセッサ101の機能構成例を示す。プロセッサ101が記憶装置102に格納されている一つ以上のプログラムを実行することで、プロセッサ101が、入出力部2、脅威分析部3、対策立案部4、脆弱性判定部5、評価部7及び項目-脆弱性更新部8といった機能を有する。
【0027】
図2Bは、記憶装置102が格納しているDBの例を示す。DBとして、例えば、項目-脆弱性管理DB10、製品管理DB11、攻撃手法管理DB12、脅威-対策管理DB13及び脅威-資産管理DB14といったDBがある。
【0028】
各機能やDBの詳細な説明は後述する。
【0029】
図3は、支援装置1全体の機能構成例を示す。
【0030】
製品設計段階において使用される機能及びDBは点線Aで囲われた範囲に示されており、出荷後脆弱性対応段階において使用される機能及びDBは点線Bで囲われた範囲に示されている。
【0031】
入出力部2は、支援装置1が有する構成の入出力処理を担う。
【0032】
脅威分析部3は、後述の仕様書テーブル200及び攻撃経路テーブル600がユーザ108によって支援装置1に入力されると、それらのテーブル200及び600に基づき、資産に起こり得るサイバー攻撃の影響である脅威群を抽出する。脅威分析部3は、抽出された脅威群を表す情報を含んだ後述の脅威分析テーブル500を作成し、そのテーブル500を、入出力部2を介して対策立案部4に出力する。なお、脅威分析テーブル500は、仕様書テーブル200に記された各機能番号に対応する仕様書項目及び資産に対して、どの攻撃起点(エントリ機能番号(FROM)504)から攻撃されて、攻撃により車載情報機器に対してどういう影響(脅威事象)があるかを網羅的に記したテーブルである(図8参照)。
【0033】
対策立案部4は、脅威分析部3から入力された脅威分析テーブル500を基に、対策番号が示す車載情報機器の対策が対策場所に実装されていることを示す対策テーブル700を作成し、当該テーブル700を、入出力部2を介して製品管理DB11に格納する。なお、対策テーブル700は、脅威分析テーブル500に記される脅威に対する対策701と対策場所703を対策番号702と対応付けたテーブルである(図10参照)。
【0034】
脆弱性判定部5は、入出力部2を介して脆弱性管理DB15から新規の脆弱性情報が入力されると、製品管理DB11に格納される仕様書テーブル200と、項目-脆弱性管理DB10に格納される後述の項目-脆弱性テーブル900との入力を受け付け、仕様書テーブル200に記されている仕様書項目に該当する脆弱性が発見されているか否かを分析する。
【0035】
評価部7は、仕様書テーブル200に記されている仕様書項目に該当する脆弱性が発見されていると脆弱性判定部5によって分析された場合に、発見された脆弱性が製品に影響するかを判定し、脆弱性を修正する緊急性の高さ(緊急度)を評価する。詳細は図13を参照して後に説明する。
【0036】
項目-脆弱性更新部8は、項目-脆弱性管理DB10に格納される項目-脆弱性テーブル900の更新処理を実行する。詳細は図14を参照して後に説明する。
【0037】
項目-脆弱性管理DB10は、車載情報機器が有する仕様書項目と脆弱性との関連付けを示す項目-脆弱性テーブル900を格納する。なお、項目-脆弱性テーブル900は、仕様書テーブル200に記される各機能番号の仕様書項目に対して、攻撃者がどのように攻撃を行い、どの脆弱性を攻撃するかを記したテーブルである。
【0038】
製品管理DB11は、仕様書テーブル200と、攻撃経路テーブル600と、対策テーブル700とを格納する。
【0039】
攻撃手法管理DB12は、攻撃手法に関する資産と対策との関連付けを示す攻撃手法テーブル810を格納する。
【0040】
脅威-対策管理DB13は、脅威と対策との関連付けを示す脅威-対策テーブル410を格納する。なお、脅威-対策テーブル410は、後述の脅威-資産テーブル310に記される脅威を防止する対策を記したテーブルである。
【0041】
脅威-資産管理DB14は、脅威と資産との関連付けを示す脅威-資産テーブル310を格納する。
【0042】
脆弱性管理DB15は、新規脆弱性情報(新規の脆弱性を表す情報)と既知脆弱性情報(既知の脆弱性を表す情報)を保持している。なお、新規脆弱性情報と既知脆弱性情報とを特段区別しない場合は、単に「脆弱性情報」と記す。
【0043】
【0044】
図4A及び図4Bが示す例によれば「9.USB IF」、「10.無線LAN IF」、「11.携帯通信 IF」、「12.制御NW IF」といったIF(インターフェース)が、車載情報機器に接続される外部機器とのIFに該当し、それらのIFが車載情報機器内部に有る複数の機能に接続される。IFと仕様書項目との接続、及び、仕様書項目間の接続がある。具体的には、例えば、車載情報機器は、複数の仕様書項目をそれぞれノードとし接続をエッジとしたグラフ構造を持つ。図示の番号1~8の各々について、楕円枠内に記載の名称は、仕様書項目の名称であり、吹出し内の名称は、資産(機能資産及び情報資産)の名称である。
【0045】
【0046】
仕様書テーブル200は、車載情報機器の仕様書に関する情報を保持する。仕様書テーブル200は、車載情報機器が有する資産毎に、以下の情報201~205を保持する。一つの資産を例に取る(図5A及び図5Bの説明において「対象資産」)。
【0047】
機能番号201は、対象資産が属する機能要素(仕様書項目)を一意に特定する情報の一例としての番号である。仕様書項目202は、対象資産が属する機能要素の名称を示している。資産203は、対象資産の名称を示している。資産価値204は、対象資産の重要性(例えば、“高”、“中”及び“低”の3段階)を示している。リンク機能番号205は、対象資産が属する機能要素が接続される一つ以上の機能要素の各々の機能番号を示している。
【0048】
図6は、脅威-資産テーブル310の構成例を示す。
【0049】
脅威-資産テーブル310は、資産にとっての脅威(例えば、車載情報機器のネットワークにおいて想定されるセキュリティ上の脅威)毎に、以下の情報301~314を保持する。一つの脅威を例に取る(図6の説明において「対象脅威」)。
【0050】
脅威番号311は、脅威(の種類)を一意に特定する情報の一例としての番号である。脅威312は、対象脅威の名称を示している。関連機能313は、対象脅威が発生したときに対象脅威が影響を及ぼす機能要素(仕様書項目)の名称を示している。関連資産314は、対象脅威が発生したときに対象脅威が影響を及ぼす資産の種類を示している。
【0051】
図6が示す例によれば、例えば、脅威番号「A-1」の脅威は、「なりすまし」という脅威であり、仕様書項目「無線LAN機能」と「携帯通信機能」の機能資産に影響が及ぶ。
【0052】
図7は、脅威-対策テーブル410の構成例を示す。
【0053】
脅威-対策テーブル410は、脅威に対する対策毎に、エントリを有する。各エントリは、脅威(脅威番号)401、対策412及び対策番号413といった情報を保持する。一つの対策を例に取る(図7の説明において「対象対策」)。
【0054】
脅威(脅威番号)411は、前述の脅威-資産テーブル310の脅威番号311及び脅威312と同じ情報であり、対象対策が有効と考えられる脅威の識別番号及び名称を表す。対策412は、対象対策の種類を表す。対策番号413は、対象対策の種類を一意に特定する情報の一例としての番号である。
【0055】
図7が示す例によれば、例えば、「車載情報機器本体上のDoS、権限昇格、なりすまし、漏えい及び改ざん」の脅威は、A-2、B-2、C-2、D-2、E-2、F-2、G-2の脅威番号に該当し、「ソフトウェアに対するセキュリティパッチの適用対策」、「不必要なサービス・モジュールの停止、削除」、「異常動作時の汎用サービスの停止、異常範囲の切断」、「アクセス制限により動作可能範囲を限定する」、「認証機能の利用(ユーザID/パスワード設定、デフォルト設定の排除、機器認証)」、「ログを利用したSOC(Security Operation Center)サービス、IRT(Incident Response Team)サービスによる監視」の対策で防止することができ、それらの対策の対策番号は、a-1、a-2、a-3、a-4、a-5、a-6である。
【0056】
図8は、脅威分析テーブル500の構成例を示す。
【0057】
脅威分析テーブル500は、車載情報機器が有する資産毎に、以下の情報501~506を保持する。一つの資産を例に取る(図8の説明において「対象資産」)。
【0058】
機能番号501、仕様書項目502及び資産503は、それぞれ前述の仕様書テーブル200に記される機能番号201、仕様書項目202及び資産203と同じである。
【0059】
エントリ機能番号(FROM)504は、対象資産についての攻撃対象(攻撃対象機能番号(TO)505が表す機能要素(仕様書項目))に対する脅威の侵入口(基本的には、外部機器とのIF)が該当する機能要素(仕様書項目)の機能番号である。攻撃対象機能番号(TO)505は、エントリ機能番号(FROM)504が表す侵入口から侵入した脅威が行き着く先の攻撃対象(機能要素(仕様書項目))に該当する機能要素(仕様書項目)の機能番号である。脅威事象506は、対象資産についての攻撃対象に対する脅威の事象を表す。
【0060】
図8が示す例によれば、例えば、機能番号「1」の機能要素(仕様書項目)「USB機能」が保持する資産は「USB機能」と「地図情報」である。そして、資産「USB機能」はエントリ機能番号(FROM)が「9」の「USB IF」から機能番号「1」の「USB機能」に対して大量のデータでアクセスされた場合、機能が阻害されるという脅威事象が想定されていることを示している。同様に、資産「地図情報」は、エントリ機能番号(FROM)が「9」の「USB IF」から機能番号「1」の「USB機能」に対して改ざんされた地図情報が送信されるという脅威事象が想定されていることを示している。
【0061】
それぞれの脅威事象については、攻撃手法テーブル810に基づき、脆弱性を修正するか否かの対応の優先度が決定される。
【0062】
図9は、攻撃経路テーブル600の構成例を示す。
【0063】
攻撃経路テーブル600は、脅威の侵入口から攻撃対象までの攻撃経路に関する情報を保持する。攻撃経路テーブル600は、脅威の侵入口毎に、以下の情報601~604を保持する。一つの侵入口を例に取る(図9の説明において「対象侵入口」)。
【0064】
機能番号601及び仕様書項目602は、それぞれ前述の仕様書テーブル200に記される機能番号201及び仕様書項目202と同じである。エントリ機能(FROM)603は、前述の脅威分析テーブル500に記されているエントリ機能番号(FROM)504と同じであり、対象侵入口が属する機能要素(仕様書項目)を表す。攻撃経路604は、脅威が対象侵入口から侵入してから攻撃対象となる機能要素(仕様書項目)に到達するまでの経路を示している。
【0065】
図9が示す例によれば、例えば、機能番号「8」の「運転支援HMI機能」が保持する資産に対して次の4つの攻撃経路がある。すなわち、機能番号「9」の「USB IF」からは「9→1→6→8」の攻撃経路で資産が攻撃される可能性がある。同様に、機能番号「10」の「無線LAN IF」からは「10→2→5→6→8」の攻撃経路で資産が攻撃される可能性がある。同様に、機能番号「11」の「携帯通信 IF」からは「11→3→5→6→8」の攻撃経路で資産が攻撃される可能性がある。同様に、機能番号「12」の「制御NW IF」からは「12→4→8」の攻撃経路で資産が攻撃される可能性がある。このように、攻撃経路の要素は、グラフ構造におけるノード及びエッジであり、攻撃経路は、二つ以上のノードのシーケンシャルな順序に従う。
【0066】
一つの攻撃経路を例に取ると、例えば次の通りである。すなわち、攻撃者は、攻撃経路テーブル600が表す攻撃経路に沿って、攻撃手法テーブル810(図11参照)を基に当該攻撃経路における機能順に攻撃を繰り返すことにより、当該攻撃経路が属する機能要素(仕様書項目)について、図8で示す脅威事象506が表す事象を引き起こす。当該攻撃経路における各機能について、当該機能は、当該機能を表す関連機能813に対応した関連脆弱性815が表す脆弱性を有し、当該脆弱性に対して攻撃が攻撃者により行われることが想定される。
【0067】
図10は、対策テーブル700の構成例を示す。
【0068】
対策テーブル700は、脅威の対策毎に、以下の情報701~703を保持する。一つの対策を例に取る(図10の説明において「対象対策」)。
【0069】
対策701と対策番号702は、それぞれ前述の脅威-対策テーブル410に記されている対策412と対策番号413と同じである。対策場所703は、対象対策が実装されている場所(例えば、機能要素(仕様書項目))を示す。
【0070】
図11は、攻撃手法テーブル810の構成例を示す。
【0071】
攻撃手法テーブル810は、攻撃手法毎、以下の情報811~821を保持する。一つの攻撃手法を例に取る(図11の説明において「対象攻撃手法」)。
【0072】
攻撃手法番号811は、対象攻撃手法の種類を一意に特定する情報の一例としての番号である。攻撃手法812は、対象攻撃手法(攻撃者が行う脆弱性への攻撃の手法)を示している。関連機能813は、対象攻撃手法が影響する可能性のある機能を示しており、前述の脅威-資産テーブル310の関連機能313と同じである。関連資産814は、対象攻撃手法が影響する可能性のある資産を示しており、前述の脅威-資産テーブル310の関連資産314と同じである。関連脆弱性815は、対象攻撃手法により攻撃される脆弱性(例えば、ソフトウェアの脆弱性)を示している。攻撃段階816は、対象攻撃手法が最終的な脅威を引き起こすまでに進んでいる段階としての番号を示している。本実施形態では、例えば、段階「4」が最終段階を意味する。関連脅威817は、対象攻撃手法が起こす脅威を示しており、前述の脅威-資産テーブル310の脅威番号311と同じである。攻撃難易度818は、対象攻撃手法の実施難易度を示している。関連対策819は、対象攻撃手法を防止する対策を示しており、前述の対策テーブル700に記される対策701と同じである。対策番号820は、対象攻撃手法に対応した関連対策819が表す対策の種類を一意に特定する情報の一例として番号であり、前述の対策テーブル700に記される対策番号702と同じである。対策効果821は、対策が対象攻撃手法を防止する効果の高さ(例えば、“高”、“中”及び“低”の3段階)を示している。
【0073】
図11が示す例によれば、例えば、攻撃者が車載情報機器の無線LAN機能や携帯通信機能に対して不正接続を試みる際に、「接続パスワードの不正利用による接続」という攻撃手法番号「50」の攻撃手法を試みる。そのときの関連資産は「無線LAN機能」と「携帯通信機能」であり、関連脆弱性は、脆弱性番号「522」の「容易類推可能なパスワード」、もしくは脆弱性番号「640」の「パスワードを忘れた際の再パスワード取得の悪用」である。攻撃段階は「1」であり、脅威を起こすまでにはまだ複数の段階を踏む必要がある。この攻撃手法によって影響が及ぼされる脅威は「A-1」の「なりすまし」(図6参照)であり、攻撃難易度は「低」である。攻撃手法を防ぐ関連対策は、「ログを利用したSOCサービス、IRTサービスによる監視」という対策番号「a-6」の対策であり、この対策の効果は「低」である。
【0074】
通常、攻撃者が単体の攻撃手法を利用して、車載情報機器の資産に影響を与えようとすることは少なく、複数の攻撃手法を組み合わせて車載情報機器の資産に脅威を引き起こして影響を与える。例えば攻撃手法の攻撃段階が「4」であった場合、脅威を引き起こすまでに、この攻撃手法を含む複数の攻撃手法(例えば、攻撃段階「1」~「4」の攻撃手法)を組み合わせて脅威が引き起されることが想定される。
【0075】
支援装置1は、脆弱性判定部5の分析結果に基づき、車載情報機器の資産構成と経路から、攻撃手法の組み合わせを分析して分析結果を出力し、その分析結果に基づいて、各機能に存在する可能性のある脆弱性を特定する。攻撃手法テーブル810は外部から取得されしてもよいし、実装した機能毎に対する攻撃手法を分析者や実装者自身が想定して分析者や実装者により攻撃手法テーブル810が作成されてもよい。
【0076】
攻撃手法テーブル810は、過去に影響があったサイバー攻撃事例を分析した結果から特定された攻撃手法及び脆弱性を表してもよいし、攻撃手法のテーブルと脆弱性のテーブルとがそれぞれ別に存在してもよい。なお、脆弱性や攻撃手法が新たに発見されるたびに攻撃手法テーブル810は更新される(例えば、新たに発見された脆弱性や攻撃手法を表すエントリが追加される)ものとする。
【0077】
【0078】
項目-脆弱性テーブル900は、機能要素(仕様書項目)毎に、以下の情報901~905を保持する。
【0079】
機能番号901及び仕様書項目902は、それぞれ前述の仕様書テーブル200に記される機能番号201及び仕様書項目202と同じである。攻撃手法番号903、関連攻撃手法904及び関連脆弱性905は、図11に示した攻撃手法テーブル810に記した攻撃手法番号811、攻撃手法812及び関連脆弱性815とそれぞれ同じである。
【0080】
図13は、脆弱性の修正緊急性判定のフローを示す。
【0081】
ステップ101:ユーザ108は、入出力部2または通信装置104を介し支援装置1に対して、仕様書テーブル200と項目-脆弱性テーブル900を入力し、支援装置1の脆弱性判定部5が、それらのテーブル200及び900を基に、当該仕様書テーブル200の仕様書項目202に対応した脆弱性が発見されているかを判定する。
【0082】
テーブル200及び900の入力の仕方は限定しないが、例えば次の通りでよい。すなわち、脆弱性判定部5が、ユーザ108から、入出力装置106を介して、製品管理DB11におけるテーブルのうちの、脆弱性の修正緊急性判定の対象とする仕様書テーブル200の選択を受け付ける。その後、脆弱性判定部5が、選択された仕様書テーブル200を取得し、且つ、項目-脆弱性管理DB10から最新の項目-脆弱性テーブル900を取得する(項目-脆弱性管理DB10は、一つ以上の時点の各々における項目-脆弱性テーブル900を格納していてよい)。
【0083】
ステップ101の判定の具体的な処理内容は、例えば次の通りでよい。脆弱性判定部5が、仕様書テーブル200における仕様書項目202毎に、当該仕様書項目202と一致する仕様書項目902を特定し、当該仕様書項目902について少なくとも一つの関連脆弱性905があるか否か判定する。各仕様書項目202について、少なくとも一つの関連脆弱性905があれば、当該仕様書項目202について、脆弱性が発見されている、ということである。脆弱性が発見されている仕様書項目202について、ステップ102に処理が移行する。
【0084】
ステップ102:評価部7は、攻撃経路テーブル600を参照し、脆弱性ありが判定された各仕様書項目202について、当該仕様書項目202と一致する仕様書項目602を特定し、当該仕様書項目602について少なくとも一つの攻撃経路604があるか否か判定する。各仕様書項目202について、少なくとも一つの攻撃経路604があれば、当該仕様書項目202について、攻撃経路がある、ということである。
【0085】
攻撃経路がない仕様書項目202について、評価部7は、当該仕様書項目202に対応した脆弱性の修正緊急性を「低」と設定し、入出力部2を介してその旨を入出力装置106から出力する。攻撃経路がある仕様書項目202について、ステップ103に処理が移行する。
【0086】
ステップ103:評価部7は、攻撃経路テーブル600と攻撃手法テーブル810とを参照し、攻撃経路がある仕様書項目について、全ての攻撃経路について攻撃手法を防止する効果の高い関連対策があるか否かを判定する。具体的には、例えば、攻撃経路がある仕様書項目602と一致する関連機能813に対応した対策効果821が、一定の閾値(例えば「高」)以上の場合、攻撃手法を防止する効果の高い関連対策がある、ということである。
【0087】
全ての攻撃手法に効果の高い関連対策がある仕様書項目602について、評価部7は、当該仕様書項目602に対応した脆弱性の修正緊急性を「低」と設定し、入出力部2を介してその旨を入出力装置106から出力する。少なくとも一つの攻撃手法について効果の高い関連対策がない仕様書項目602について、ステップ104に処理が移行する。
【0088】
ステップ104:評価部7は、攻撃経路テーブル600と攻撃手法テーブル810とを参照し、少なくとも一つの攻撃手法について効果の高い関連対策がない仕様書項目602について、攻撃難易度の高い攻撃手法が有るか否かを判定する。具体的には、例えば、少なくとも一つの攻撃手法について効果の高い関連対策がない仕様書項目602と一致する関連機能813に対応した攻撃難易度818が、一定の閾値(例えば「高」)以上の場合、攻撃難易度の高い攻撃手法がある、ということである。
【0089】
効果の高い関連対策がない全ての攻撃手法の攻撃難易度が高い仕様書項目602について、評価部7は、当該仕様書項目602に対応した脆弱性の修正緊急性を「低」と設定し、入出力部2を介してその旨を入出力装置106から出力する。効果の高い関連対策がない少なくとも一つの攻撃手法の攻撃難易度が低い仕様書項目602について、ステップ105に処理が移行する。
【0090】
ステップ105:評価部7は、攻撃経路テーブル600と攻撃手法テーブル810とを参照し、攻撃難易度の低い攻撃手法がある仕様書項目602について、攻撃難易度の低い全ての攻撃手法の攻撃段階が一定値(例えば「3」)以下か否かを判定する。具体的には、例えば、攻撃難易度の低い攻撃手法がある仕様書項目602と一致する関連機能813に対応した攻撃段階816が、全て「3」以下の場合、攻撃段階が一定値より高い攻撃手法がない、ということである。
【0091】
攻撃難易度の低い全ての攻撃手法について攻撃段階が一定値以下である仕様書項目602について、評価部7は、当該仕様書項目602に対応した脆弱性の修正緊急性を「低」と設定し、入出力部2を介してその旨を入出力装置106から出力する。攻撃難易度の低い少なくとも一つの攻撃手法の攻撃段階が「4」である仕様書項目602について、ステップ106に処理が移行する。
【0092】
ステップ106:評価部7は、仕様書テーブル200、攻撃経路テーブル600及び攻撃手法テーブル810を参照し、攻撃段階「4」の攻撃手法がある仕様書項目について、資産価値が高い資産があるか否かを判定する。具体的には、例えば、攻撃段階「4」の攻撃手法がある仕様書項目202に対応した資産価値204が、一定の閾値(ここでは「高」)以上の場合、資産価値が高い、ということである。
【0093】
少なくとも一つの資産の資産価値204が「低」もしくは「中」の仕様書項目202について、評価部7は、当該仕様書項目202に対応した脆弱性の修正緊急性を「中」と設定し、入出力部2を介してその旨を入出力装置106から出力する。全ての資産の資産価値204が「高」の仕様書項目202について、評価部7は、当該仕様書項目202に対応した脆弱性の修正緊急性を「高」と設定し、入出力部2を介してその旨を入出力装置106から出力する。修正緊急性を「高」であるか「中」であるかは、資産価値204「低」もしくは「中」の資産と、資産価値204「高」の資産との比率に基づいてもよい。
【0094】
上記処理を行うことで、ユーザ108は脆弱性分析を行いたい対象となる仕様書テーブル200を支援装置1に入力することで、仕様書項目に対応する脆弱性が発見されているか否か、及び脆弱性が発見された場合に、発見された脆弱性を修正する緊急性の高さ(緊急度)の評価結果を容易に得ることができる。
【0095】
また、ステップ102~105のうちの少なくとも一つの判定によれば、脆弱性があると判定された仕様書項目の中から修正緊急性が低い仕様書項目を効率的に探すことができ、以って、脆弱性の修正対象の仕様書項目を効率的に絞り込むことができる。
【0096】
また、ステップ102~105のうちステップ102が最初に行われることで、攻撃経路が無い仕様書項目について攻撃手法の観点での評価という無駄な評価を行うことを回避でき、以って、支援装置1のリソースの消費を節約できる。これは、攻撃経路が無ければ攻撃されず故に攻撃手法の観点での評価は不要との考え方に基づく。このため、攻撃経路が無い仕様書項目については、脆弱性の修正緊急性が低いと判定される。
【0097】
また、ステップ103~105のうちの少なくとも一つの判定結果が真であることが、該当する全ての攻撃経路(攻撃手法)について得られた仕様書項目を、修正緊急性が低い仕様書項目と判定できる。つまり、いずれの攻撃経路(攻撃手法)も、効果の高い対策がある、攻撃難易度が高い、及び、攻撃段階が低いのうちの少なくとも一つに該当すれば、修正緊急性が低いと判定される。
【0098】
また、ステップ102~105のいずれの判定でも、緊急性「低」(第1の緊急性の一例)が設定されなかった仕様書項目について、評価部7が、当該仕様書項目に属する資産毎の資産価値204を基に、緊急性「中」(第2の緊急性の一例)又は緊急性「高」(第3の緊急性の一例)を設定することができる。これにより、脆弱性の修正緊急性が比較的高い仕様書項目については、資産の資産価値の高さに応じて、修正緊急性がより高い仕様書項目を絞り込むことができる。
【0099】
なお、評価部7は、ステップ101~106の少なくとも一つについて、Yesの判定が得られた仕様書項目について、その旨を入出力装置106から出力してから次のステップに処理を進めてもよいし、その出力に対してユーザ108から入出力装置106を介して承認を受けてから次のステップに処理を進めてもよい。また、ステップ102~106の判定の順序は、図13に例示の順序に限られず、任意の順序が採用されてもよい。また、ステップ102~106のうちの一部の判定が無くてもよいし、ステップ102~106一部の判定に代えて別の判定が採用されてもよい。また、評価部7は、脆弱性の修正緊急性の判定結果を、緊急性の設定がされる都度に表示してもよいし、評価対象の車載情報機器の全ての仕様書項目について脆弱性の修正緊急性が判定された場合に表示してもよい。つまり、修正緊急性の判定結果の表示単位(仕様書項目の単位)は、任意の単位でよい。
【0100】
図14は、項目-脆弱性テーブル900の更新のフローを示す。更新処理は定期的に実施される。
【0101】
ステップ201:項目-脆弱性更新部8は、定期的(例えば1日に一回)に入出力部2及び通信装置104を介して脆弱性管理DB15にアクセスし、新規脆弱性情報(新規の脆弱性を表す情報)の有無を判定する。脆弱性管理DB15は、例えば、外部のサイトのDBでよい。
【0102】
新規の脆弱性情報がなかった場合は、項目-脆弱性更新部8は、入出力部2を介してその旨を入出力装置106から出力する。新規の脆弱性があった場合は、項目-脆弱性更新部8は、脆弱性管理DB15から入出力部2を介して新規脆弱性情報を取得し、ステップ202に処理が移行する。
【0103】
ステップ202:項目-脆弱性更新部8は、新規脆弱性情報に対する新たな攻撃手法が登録されているか否かを判定する。具体的には、例えば、項目-脆弱性更新部8は、攻撃手法テーブル810と新規脆弱性情報とを比較し、新規脆弱性情報が攻撃手法テーブル810に登録されていない攻撃手法を表す情報を有するか否か判定する。
【0104】
新規の攻撃手法があった場合は、ステップ203に処理が移行する。新規の攻撃処理がなかった場合は、ステップ204に処理が移行する。
【0105】
ステップ203:項目-脆弱性更新部8は、攻撃手法テーブル810に対して、ステップ202で見つけた新規の攻撃手法を表す情報を登録する。
【0106】
ステップ204:項目-脆弱性更新部8は、新規の脆弱性に関連する仕様書項目の有無を判定する。関連する仕様書項目がなかった場合は、項目-脆弱性更新部8は、入出力部2を介してその旨を入出力装置106から出力する。関連する仕様書項目があった場合は、ステップ205に処理が移行する。
【0107】
ステップ205:項目-脆弱性更新部8は、関連する仕様書項目に関連する新規の脆弱性(関連脆弱性)と攻撃手法(攻撃手法番号)を項目-脆弱性テーブル900に追加する。
【0108】
ステップ206:項目-脆弱性更新部8は、更新した項目-脆弱性テーブル900を、項目-脆弱性管理DB10に格納されている旧い(更新前の)項目-脆弱性テーブル900と差し替えることで、項目-脆弱性管理DB10を更新する。
【0109】
【0110】
図16は、支援装置1が各種分析又は評価をした結果の出力画面の例を示す。
【0111】
分析又は評価によって得られた緊急性、保護資産項目、資産価値、攻撃経路が表示される。なお、変形例としては、これに限らず緊急性の優先順位をつけて表示させてもよい。緊急性の優先順位を付けられる方法であれば、その具体的な算出方法については限定しない。また、緊急性の算出方法を複数用意することで管理者が選択できるようにし、選択した算出方法によるそれぞれの緊急性を比較評価できるようにしてもよい。分析又は評価の結果を画面906のように出力することにより、製品出荷後の修正の対応可否や、修正の優先順位を顧客への説明時に利用することも可能である。
【0112】
上記実施例では、外部装置と通信する情報処理機器の例として車載情報機器が採用されたが、外部装置と通信する情報処理機器は、車載情報機器に限られない。
【符号の説明】
【0113】
1…セキュリティ対策支援装置
【図1】
【図2A】
【図2B】
【図3】
【図4A】
【図4B】
【図5A】
【図5B】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12A】
【図12B】
【図13】
【図14】
【図15】
【図16】