知財求人 - 知財ポータルサイト「IP Force」
特開2022-180094計算機システム及びサイバーセキュリティ情報の評価方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022180094
(43)【公開日】2022-12-06
(54)【発明の名称】計算機システム及びサイバーセキュリティ情報の評価方法
(51)【国際特許分類】
G06Q 50/10 20120101AFI20221129BHJP
G06F 21/57 20130101ALI20221129BHJP
【FI】
G06Q50/10
G06F21/57 370
【審査請求】未請求
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2021087011
(22)【出願日】2021-05-24
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110001678
【氏名又は名称】藤央弁理士法人
(72)【発明者】
【氏名】チェン イーウェン
(72)【発明者】
【氏名】粕谷 桃伽
(72)【発明者】
【氏名】山▲崎▼ 裕紀
(72)【発明者】
【氏名】檜垣 宏行
【テーマコード(参考)】
5L049
【Fターム(参考)】
5L049CC11
(57)【要約】
【課題】ターゲット(分野、製品等)を考慮してサイバーセキュリティ情報の内容の充実度を評価し、価値を判定する。
【解決手段】計算機システムは、サイバーセキュリティ情報の鮮度を評価する鮮度評価部と、サイバーセキュリティ情報の情報源の信頼性の高さを評価する信頼性評価部と、サイバーセキュリティ情報の内容の充実度を評価する充実度評価部と、鮮度評価部、信頼性評価部、及び充実度評価部の評価結果に基づいて、サイバーセキュリティ情報の価値を評価する価値評価部と、を備え、充実度評価部は、サイバーセキュリティ情報の対象とするターゲットを特定し、特定されたターゲットにおけるサイバーセキュリティ情報の内容の充実度を評価する。
【選択図】図1
【解決手段】計算機システムは、サイバーセキュリティ情報の鮮度を評価する鮮度評価部と、サイバーセキュリティ情報の情報源の信頼性の高さを評価する信頼性評価部と、サイバーセキュリティ情報の内容の充実度を評価する充実度評価部と、鮮度評価部、信頼性評価部、及び充実度評価部の評価結果に基づいて、サイバーセキュリティ情報の価値を評価する価値評価部と、を備え、充実度評価部は、サイバーセキュリティ情報の対象とするターゲットを特定し、特定されたターゲットにおけるサイバーセキュリティ情報の内容の充実度を評価する。
【選択図】図1
【特許請求の範囲】
【請求項1】
少なくとも一つの計算機を含む計算機システムであって、
サイバーセキュリティ情報の鮮度を評価する鮮度評価部と、
前記サイバーセキュリティ情報の情報源の信頼性の高さを評価する信頼性評価部と、
前記サイバーセキュリティ情報の内容の充実度を評価する充実度評価部と、
前記鮮度評価部、前記信頼性評価部、及び前記充実度評価部の評価結果に基づいて、前記サイバーセキュリティ情報の価値を評価する価値評価部と、を備え、
前記充実度評価部は、
前記サイバーセキュリティ情報の対象とするターゲットを特定し、
前記特定されたターゲットにおける前記サイバーセキュリティ情報の内容の充実度を評価することを特徴とする計算機システム。
サイバーセキュリティ情報の鮮度を評価する鮮度評価部と、
前記サイバーセキュリティ情報の情報源の信頼性の高さを評価する信頼性評価部と、
前記サイバーセキュリティ情報の内容の充実度を評価する充実度評価部と、
前記鮮度評価部、前記信頼性評価部、及び前記充実度評価部の評価結果に基づいて、前記サイバーセキュリティ情報の価値を評価する価値評価部と、を備え、
前記充実度評価部は、
前記サイバーセキュリティ情報の対象とするターゲットを特定し、
前記特定されたターゲットにおける前記サイバーセキュリティ情報の内容の充実度を評価することを特徴とする計算機システム。
【請求項2】
請求項1に記載の計算機システムであって、
前記充実度評価部は、
前記サイバーセキュリティ情報について、複数のターゲットの各々との関連性を表す関連度を算出し、
前記複数のターゲットの各々の前記関連度に基づいて、前記ターゲットを特定することを特徴とする計算機システム。
前記充実度評価部は、
前記サイバーセキュリティ情報について、複数のターゲットの各々との関連性を表す関連度を算出し、
前記複数のターゲットの各々の前記関連度に基づいて、前記ターゲットを特定することを特徴とする計算機システム。
【請求項3】
請求項2に記載の計算機システムであって、
前記複数のターゲットの各々に関連する文字列を格納するデータベースにアクセス可能であって、
前記充実度評価部は、前記データベースを参照し、前記サイバーセキュリティ情報に含まれる前記特定されたターゲットに関連する文字列を抽出することによって、前記特定されたターゲットにおける前記サイバーセキュリティ情報の内容の充実度を評価することを特徴とする計算機システム。
前記複数のターゲットの各々に関連する文字列を格納するデータベースにアクセス可能であって、
前記充実度評価部は、前記データベースを参照し、前記サイバーセキュリティ情報に含まれる前記特定されたターゲットに関連する文字列を抽出することによって、前記特定されたターゲットにおける前記サイバーセキュリティ情報の内容の充実度を評価することを特徴とする計算機システム。
【請求項4】
請求項3に記載の計算機システムであって、
前記価値評価部は、
前記鮮度評価部、前記信頼性評価部、及び前記充実度評価部の評価結果に基づいて、前記サイバーセキュリティ情報の価値を表す総合評価値を算出し、
前記総合評価値に基づいて、ユーザに提示する前記サイバーセキュリティ情報を選択することを特徴とする計算機システム。
前記価値評価部は、
前記鮮度評価部、前記信頼性評価部、及び前記充実度評価部の評価結果に基づいて、前記サイバーセキュリティ情報の価値を表す総合評価値を算出し、
前記総合評価値に基づいて、ユーザに提示する前記サイバーセキュリティ情報を選択することを特徴とする計算機システム。
【請求項5】
少なくとも一つの計算機を含む計算機システムが実行するサイバーセキュリティ情報の評価方法であって、
前記少なくとも一つの計算機が、サイバーセキュリティ情報の鮮度を評価する第1のステップと、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の情報源の信頼性の高さを評価する第2のステップと、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の内容の充実度を評価する第3のステップと、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の鮮度、前記サイバーセキュリティ情報の情報源の信頼性の高さ、及び前記サイバーセキュリティ情報の内容の充実度の評価結果に基づいて、前記サイバーセキュリティ情報の価値を評価する第4のステップと、を含み、
前記第3のステップは、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の対象とするターゲットを特定する第5のステップと、
前記少なくとも一つの計算機が、前記特定されたターゲットにおける前記サイバーセキュリティ情報の内容の充実度を評価する第6のステップと、を含むことを特徴とするサイバーセキュリティ情報の評価方法。
前記少なくとも一つの計算機が、サイバーセキュリティ情報の鮮度を評価する第1のステップと、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の情報源の信頼性の高さを評価する第2のステップと、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の内容の充実度を評価する第3のステップと、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の鮮度、前記サイバーセキュリティ情報の情報源の信頼性の高さ、及び前記サイバーセキュリティ情報の内容の充実度の評価結果に基づいて、前記サイバーセキュリティ情報の価値を評価する第4のステップと、を含み、
前記第3のステップは、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の対象とするターゲットを特定する第5のステップと、
前記少なくとも一つの計算機が、前記特定されたターゲットにおける前記サイバーセキュリティ情報の内容の充実度を評価する第6のステップと、を含むことを特徴とするサイバーセキュリティ情報の評価方法。
【請求項6】
請求項5に記載のサイバーセキュリティ情報の評価方法であって、
前記第5のステップは、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報について、複数のターゲットの各々との関連性を表す関連度を算出するステップと、
前記少なくとも一つの計算機が、前記複数のターゲットの各々の前記関連度に基づいて、前記ターゲットを特定するステップと、を含むことを特徴とするサイバーセキュリティ情報の評価方法。
前記第5のステップは、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報について、複数のターゲットの各々との関連性を表す関連度を算出するステップと、
前記少なくとも一つの計算機が、前記複数のターゲットの各々の前記関連度に基づいて、前記ターゲットを特定するステップと、を含むことを特徴とするサイバーセキュリティ情報の評価方法。
【請求項7】
請求項6に記載のサイバーセキュリティ情報の評価方法であって、
前記計算機システムは、前記複数のターゲットの各々に関連する文字列を格納するデータベースにアクセス可能であって、
前記第3のステップは、前記少なくとも一つの計算機が、前記データベースを参照し、前記サイバーセキュリティ情報に含まれる前記特定されたターゲットに関連する文字列を抽出することによって、前記特定されたターゲットにおける前記サイバーセキュリティ情報の内容の充実度を評価するステップを含むことを特徴とするサイバーセキュリティ情報の評価方法。
前記計算機システムは、前記複数のターゲットの各々に関連する文字列を格納するデータベースにアクセス可能であって、
前記第3のステップは、前記少なくとも一つの計算機が、前記データベースを参照し、前記サイバーセキュリティ情報に含まれる前記特定されたターゲットに関連する文字列を抽出することによって、前記特定されたターゲットにおける前記サイバーセキュリティ情報の内容の充実度を評価するステップを含むことを特徴とするサイバーセキュリティ情報の評価方法。
【請求項8】
請求項7に記載のサイバーセキュリティ情報の評価方法であって、
前記第4のステップは、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の鮮度、前記サイバーセキュリティ情報の情報源の信頼性の高さ、及び前記サイバーセキュリティ情報の内容の充実度の評価結果に基づいて、前記サイバーセキュリティ情報の価値を表す総合評価値を算出するステップと、
前記少なくとも一つの計算機が、前記総合評価値に基づいて、ユーザに提示する前記サイバーセキュリティ情報を選択するステップと、を含むことを特徴とするサイバーセキュリティ情報の評価方法。
前記第4のステップは、
前記少なくとも一つの計算機が、前記サイバーセキュリティ情報の鮮度、前記サイバーセキュリティ情報の情報源の信頼性の高さ、及び前記サイバーセキュリティ情報の内容の充実度の評価結果に基づいて、前記サイバーセキュリティ情報の価値を表す総合評価値を算出するステップと、
前記少なくとも一つの計算機が、前記総合評価値に基づいて、ユーザに提示する前記サイバーセキュリティ情報を選択するステップと、を含むことを特徴とするサイバーセキュリティ情報の評価方法。
【請求項9】
少なくとも一つの計算機を含む計算機システムであって、
サイバーセキュリティ情報の鮮度を表す鮮度評価値を算出する鮮度評価部と、
前記サイバーセキュリティ情報の情報源の信頼性の高さを表す信頼性評価値を算出する信頼性評価部と、
前記サイバーセキュリティ情報の内容の充実度を表す充実度評価値を算出する充実度評価部と、
前記鮮度評価値、前記信頼性評価値、及び前記充実度評価値に基づいて、前記サイバーセキュリティ情報の価値を表す総合評価値を算出する価値評価部と、を備え、
複数の分野の各々に関連する文字列を格納するデータベースにアクセス可能であって、
前記充実度評価部は、
前記サイバーセキュリティ情報の対象とする分野を特定し、
前記データベースを参照して、前記サイバーセキュリティ情報に含まれる前記特定された分野に関連する文字列を抽出し、
前記抽出の結果に基づいて、前記充実度評価値を算出することを特徴とする計算機システム。
サイバーセキュリティ情報の鮮度を表す鮮度評価値を算出する鮮度評価部と、
前記サイバーセキュリティ情報の情報源の信頼性の高さを表す信頼性評価値を算出する信頼性評価部と、
前記サイバーセキュリティ情報の内容の充実度を表す充実度評価値を算出する充実度評価部と、
前記鮮度評価値、前記信頼性評価値、及び前記充実度評価値に基づいて、前記サイバーセキュリティ情報の価値を表す総合評価値を算出する価値評価部と、を備え、
複数の分野の各々に関連する文字列を格納するデータベースにアクセス可能であって、
前記充実度評価部は、
前記サイバーセキュリティ情報の対象とする分野を特定し、
前記データベースを参照して、前記サイバーセキュリティ情報に含まれる前記特定された分野に関連する文字列を抽出し、
前記抽出の結果に基づいて、前記充実度評価値を算出することを特徴とする計算機システム。
【請求項10】
請求項9に記載の計算機システムであって、
前記充実度評価部は、
前記サイバーセキュリティ情報について、前記複数の分野の各々との関連性を表す関連度を算出し、
前記複数の分野の各々の前記関連度に基づいて、前記分野を特定することを特徴とする計算機システム。
前記充実度評価部は、
前記サイバーセキュリティ情報について、前記複数の分野の各々との関連性を表す関連度を算出し、
前記複数の分野の各々の前記関連度に基づいて、前記分野を特定することを特徴とする計算機システム。
【請求項11】
請求項10に記載の計算機システムであって、
前記価値評価部は、前記総合評価値に基づいて、ユーザに提示する前記サイバーセキュリティ情報を選択することを特徴とする計算機システム。
前記価値評価部は、前記総合評価値に基づいて、ユーザに提示する前記サイバーセキュリティ情報を選択することを特徴とする計算機システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サイバーセキュリティ情報の価値を判定するシステム及び方法に関する。
【背景技術】
【0002】
近年、サイバー攻撃への対策の重要性が高まっている。例えば、車両のサイバーセキュリティに関する国際標準規格であるISO21434では、車両の制御システムの電子化の進展に伴って、長期のサイバーセキュリティ対策が求められる。
【0003】
サイバーセキュリティ対策では、脅威及び脆弱性等に関する情報(サイバーセキュリティ情報)の収集、分析が必要となる。情報の収集及び分析は、例えば、PSIRT(Product Security Incident Response Team)によって行われる。
【0004】
近年、サイバーセキュリティ情報を共有する基盤が構築されており、当該基盤よりサイバーセキュリティ情報を自動的に収集するシステム及びツールが存在する。しかし、人が、収集されたサイバーセキュリティ情報の価値を判断する必要があり、確認に要する工数が大きいという課題がある。そのため、サイバーセキュリティ情報を自動的に評価するシステムが求められている。これに対して、特許文献1及び非特許文献1に記載の技術が知られている。
【0005】
特許文献1には、「実施形態のサイバー攻撃情報処理プログラムは、記憶する処理と、更新する処理とをコンピュータに実行させる。記憶する処理は、サイバー攻撃に関する情報を取得した場合、サイバー攻撃に関する情報をサイバー攻撃に関する情報の取得源に基づく信頼度と対応づけて記憶部に記憶する。更新する処理は、サイバー攻撃に関する情報に対応する投稿情報が情報処理端末からアップロードされたことを検知すると、投稿情報にかかる信頼度に応じてサイバー攻撃に関する情報に対応付けられた信頼度を更新する。」ことが記載されている。
【0006】
非特許文献1には、情報源、公開日時及び更新日時等の時間、並びに情報の一致性に基づいて情報の信頼度を算出する方法が記載されている。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2019-101672号公報
【非特許文献】
【0008】
【非特許文献1】Lei Li, Xiaoyong Li, Y. Gao、"MTIV: A Trustworthiness Determination Approach for Threat Intelligence"、Security, Privacy, and Anonymity in Computation, Communication, and Storage pp.5-14
【発明の概要】
【発明が解決しようとする課題】
【0009】
情報源が信頼でき、また、内容が正確であっても、サイバーセキュリティ情報の開示対象の分野及び製品等のターゲットが分析対象の分野及び製品等のターゲットと関係がない場合、サイバーセキュリティ情報の価値は低くなる。例えば、サイバーセキュリティ情報の開示対象は医療分野であり、分析対象が自動車分野である場合、当該サイバーセキュリティ情報の情報源が信頼でき、かつ、正確な内容が記載されていても、価値は低い。また、サイバーセキュリティ情報の開示対象は製品Aであり、分析対象が製品Bである場合も同様である。
【0010】
しかし、従来技術では、サイバーセキュリティ情報の内容の充実度はターゲットを考慮して評価されていないため、前述のような情報の絞り込みができない。
【0011】
本発明は、ターゲットを考慮してサイバーセキュリティ情報の内容の充実度を評価し、価値を自動的に判定するシステム及び方法を提供する。
【課題を解決するための手段】
【0012】
本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、少なくとも一つの計算機を含む計算機システムであって、サイバーセキュリティ情報の鮮度を評価する鮮度評価部と、前記サイバーセキュリティ情報の情報源の信頼性の高さを評価する信頼性評価部と、前記サイバーセキュリティ情報の内容の充実度を評価する充実度評価部と、前記鮮度評価部、前記信頼性評価部、及び前記充実度評価部の評価結果に基づいて、前記サイバーセキュリティ情報の価値を評価する価値評価部と、を備え、前記充実度評価部は、前記サイバーセキュリティ情報の対象とするターゲットを特定し、前記特定されたターゲットにおける前記サイバーセキュリティ情報の内容の充実度を評価する。
【発明の効果】
【0013】
本発明によれば、ターゲットを考慮してサイバーセキュリティ情報の内容の充実度を評価し、価値を自動的に判定できる。上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
【図面の簡単な説明】
【0014】
【図1】実施例1のシステムの構成例を示す図である。
【図2】実施例1のシステムに含まれる計算機の構成例を示す図である。
【図3】実施例1のシステムが実行する構造化DBの登録処理の一例を説明するフローチャートである。
【図4】実施例1のシステムが提示する画面の一例を示す図である。
【図5】実施例1のシステムが実行するサイバーセキュリティ情報評価処理の一例を説明するフローチャートである。
【図6】実施例1のシステムが提示する画面の一例を示す図である。
【図7】実施例1のシステムがサイバーセキュリティ情報評価処理において使用する情報の一例を示す図である。
【図8】実施例1のシステムがサイバーセキュリティ情報評価処理において使用する情報の一例を示す図である。
【図9】実施例1のシステムがサイバーセキュリティ情報評価処理において使用する情報の一例を示す図である。
【発明を実施するための形態】
【0015】
以下、本発明の実施例を、図面を用いて説明する。ただし、本発明は以下に示す実施例の記載内容に限定して解釈されるものではない。本発明の思想ないし趣旨から逸脱しない範囲で、その具体的構成を変更し得ることは当業者であれば容易に理解される。
【0016】
以下に説明する発明の構成において、同一又は類似する構成又は機能には同一の符号を付し、重複する説明は省略する。
【0017】
本明細書等における「第1」、「第2」、「第3」等の表記は、構成要素を識別するために付するものであり、必ずしも、数又は順序を限定するものではない。
【0018】
図面等において示す各構成の位置、大きさ、形状、及び範囲等は、発明の理解を容易にするため、実際の位置、大きさ、形状、及び範囲等を表していない場合がある。したがって、本発明では、図面等に開示された位置、大きさ、形状、及び範囲等に限定されない。
【実施例0019】
【0020】
システム100は、SNS、Web、組織等の情報源(提供元)から収集した情報の価値を評価するシステムであり、少なくとも一つの計算機200から構成される。なお、システム100は、ストレージシステム、ネットワークスイッチ、ゲートウェイ等を備えてもよい。
【0021】
本実施例では、サイバーセキュリティ情報が収集されるものとする。なお、本発明は、収集される情報の種別及び内容に限定されない。
【0022】
計算機200は、図2に示すように、プロセッサ201、ネットワークインタフェース202、主記憶装置203、及び副記憶装置204を備える。なお、計算機200は、キーボード、マウス、及びタッチパネル等の入力装置、並びに、ディスプレイ等の出力装置を備えてもよい。
【0023】
プロセッサ201は、主記憶装置203に格納されるプログラムを実行する演算装置である。プロセッサ201がプログラムにしたがって処理を実行することによって、特定の機能を実現する機能部(モジュール)として動作する。以下の説明では、機能部を主語に処理を説明する場合、プロセッサ201が当該機能部を実現するプログラムを実行していることを示す。
【0024】
ネットワークインタフェース202は、ネットワークを介して外部装置と通信を行うインタフェースである。
【0025】
主記憶装置203は、プロセッサ201が実行するプログラム及びプログラムが実行する情報を格納する記憶装置であり、例えば、DRAM(Dynamic Random Access Memory)である。主記憶装置203はワークエリアとしても用いられる。副記憶装置204は、情報を永続的に格納する記憶装置であり、例えば、HDD(Hard Disk Drive)及びSSD(Solid State Drive)等である。
【0026】
主記憶装置203に格納されるプログラム及び情報は、副記憶装置204に格納されてもよい。この場合、プロセッサ201が副記憶装置204からプログラム及び情報を読み出し、主記憶装置203にロードする。
【0027】
システム100は、入力部110、前処理部111、鮮度評価部112、信頼性評価部113、ターゲット判定部114、充実度評価部115、総合評価値算出部116、価値評価部117、及び出力部118を有する。また、システム100は、情報源DB120、複数の構造化DB121、及び収集情報DB122を保持する。
【0028】
情報源DB120は、情報源に関する情報を管理するデータベースである。情報源DB120には、例えば、情報源の種別、情報源となる組織等の名称等を含むデータが格納される。情報源の種別は、例えば、Auto-ISAC、SNS等である。
【0029】
構造化DB121は、ターゲット(分野、製品等)で扱われる単語を管理するデータベースである。本実施例では、一つのターゲットに対して一つの構造化DB121が存在するものとする。システム100は、ターゲット及び構造化DB121を対応づけて管理する。構造化DB121には、単語及びカテゴリ等を含むデータが格納される。カテゴリは、大カテゴリ、中カテゴリ、小カテゴリ等、階層的な構造でもよい。例えば、セキュリティのカテゴリの場合、大カテゴリが「セキュリティ」であり、中カテゴリが「攻撃元」及び「対策」等である。
【0030】
なお、システム100は、いずれのターゲットにも属さない構造化DB121を保持してもよい。
【0031】
収集情報DB122は、システム100に入力されたサイバーセキュリティ情報を管理するデータベースである。収集情報DB122には、例えば、IDが付与されたサイバーセキュリティ情報が格納される。
【0032】
なお、本実施例のサイバーセキュリティ情報は文字列からなる文書を含むものとする。ただし、サイバーセキュリティ情報には、画像、グラフ等が含まれてもよい。
【0033】
入力部110は、サイバーセキュリティ情報、及び、閾値等の処理に使用する情報の入力を受け付ける。入力部110は、各種設定情報の入力を受け付けるためのインタフェースを提供する。入力部110は、前処理部111にサイバーセキュリティ情報を出力し、また、収集情報DB122にIDを付与したサイバーセキュリティ情報を格納する。入力部110は、閾値等の処理に使用する設定情報を各機能部に出力する。図1では、入力部110は、価値あるサイバーセキュリティ情報を選択するための閾値を価値評価部117に出力している。
【0034】
前処理部111は、サイバーセキュリティ情報に対して前処理を実行する。前処理は、例えば、データの変換、成形、結合、及び正規化等である。
【0035】
鮮度評価部112は、サイバーセキュリティ情報の作成日、更新日、及び更新頻度等に基づいて、サイバーセキュリティ情報の鮮度を評価し、鮮度評価値を算出する。信頼性評価部113は、サイバーセキュリティ情報の情報源等に基づいて、サイバーセキュリティ情報の情報源の信頼性の高さを評価し、信頼性評価値を算出する。
【0036】
ターゲット判定部114は、構造化DB121を用いて、サイバーセキュリティ情報の対象とするターゲットを判定する。充実度評価部115は、任意のターゲットにおけるサイバーセキュリティ情報の内容の充実度を評価し、充実度評価値を算出する。
【0037】
総合評価値算出部116は、鮮度評価値、信頼性評価値、及び充実度評価値を用いて総合評価値を算出する。価値評価部117は、総合評価値を用いて、ターゲット判定部114によって判定されたターゲットに対する価値が高いサイバーセキュリティ情報を選択する。
【0038】
出力部118は、価値評価部117によって選択されたサイバーセキュリティ情報に関する情報を評価情報として出力する。出力部118は、評価情報を表示するためのインタフェースを提供する。
【0039】
なお、システム100が有する各機能部については、複数の機能部を一つの機能部にまとめてもよいし、一つの機能部を機能毎に複数の機能部に分けてもよい。例えば、充実度評価部115がターゲット判定部114の機能を有してもよいし、価値評価部117が総合評価値算出部116の機能を有してもよい。
【0040】
次にシステム100が実行する処理について具体的に説明する。
【0041】
【0042】
ユーザは、端末等を用いてシステム100にアクセスし、構造化DB121の登録開始要求を送信する。システム100の入力部110は、当該登録開始要求を受信した場合、図4に示すような画面400を提示する(ステップS101)。
【0043】
画面400は、ターゲット入力欄401、DB入力欄402、及び登録ボタン403を含む。ターゲット入力欄401は、構造化DB121のターゲットを入力する欄である。DB入力欄402は、構造化DB121を入力する欄である。DB入力欄402には、構造化DB121の実態であるファイル、又は構造化DB121のファイルパス及びURL等が入力される。登録ボタン403は、構造化DB121を登録するための操作ボタンである。ユーザが、ターゲット入力欄401及びDB入力欄402にデータを入力し、登録ボタン403を操作した場合、登録要求がシステム100に送信される。
【0044】
入力部110は、登録要求を受信した場合、ターゲットと対応づけて構造化DB121を登録する(ステップS102)。
【0045】
図5は、実施例1のシステム100が実行するサイバーセキュリティ情報評価処理の一例を説明するフローチャートである。図6は、実施例1のシステム100が提示する画面の一例を示す図である。図7、図8、及び図9は、実施例1のシステム100がサイバーセキュリティ情報評価処理において使用する情報の一例を示す図である。
【0046】
ユーザは、端末等を用いてシステム100にアクセスし、サイバーセキュリティ情報の評価開始要求を送信する。システム100の入力部110は、当該評価開始要求を受信した場合、図6に示すような画面600を提示する(ステップS201)。
【0047】
画面600は、サイバーセキュリティ情報入力欄601、追加ボタン602、及び評価ボタン603を含む。サイバーセキュリティ情報入力欄601は、評価するサイバーセキュリティ情報を入力する欄である。サイバーセキュリティ情報入力欄601には、サイバーセキュリティ情報の実態であるファイル、又はサイバーセキュリティ情報のファイルパス及びURL等が入力される。追加ボタン602は、サイバーセキュリティ情報入力欄601を追加するための操作ボタンである。評価ボタン603は、サイバーセキュリティ情報を評価するための操作ボタンである。ユーザが、サイバーセキュリティ情報入力欄601にデータを入力し、評価ボタン603を操作した場合、評価要求がシステム100に送信される。
【0048】
入力部110は、評価要求を受信した場合、ユーザによって入力されたサイバーセキュリティ情報を収集情報DB122に格納し(ステップS202)、また、前処理部111にサイバーセキュリティ情報を出力する。
【0049】
前処理部111は、サイバーセキュリティ情報に対して前処理を実行する(ステップS203)。本発明は、実行される前処理の内容に限定されない。また、前処理は実行されなくてもよい。
【0050】
次に、サイバーセキュリティ情報のループ処理が開始される(ステップS204)。具体的には、前処理部111は、サイバーセキュリティ情報を一つ選択し、鮮度評価部112、信頼性評価部113、及びターゲット判定部114に出力する。
【0051】
鮮度評価部112は、サイバーセキュリティ情報の作成日、更新日、及び更新回数等に基づいて、サイバーセキュリティ情報の鮮度を表す鮮度評価値C1を算出し(ステップS205)、総合評価値算出部116に鮮度評価値C1を出力する。鮮度の評価方法は公知の技術を用いればよいため詳細な説明は省略する。
【0052】
信頼性評価部113は、サイバーセキュリティ情報の情報源に関する情報及び情報源DB120に基づいて、サイバーセキュリティ情報の情報源の信頼性の高さを表す信頼性評価値C2を算出し(ステップS206)、総合評価値算出部116に信頼性評価値C2を出力する。情報源の信頼性の評価方法は公知の技術を用いればよいため詳細な説明は省略する。
【0053】
ターゲット判定部114は、ターゲット判定処理を実行する(ステップS207)。具体的には、以下のような処理が実行される。
【0054】
(S207-1)ターゲット判定部114は、一つのターゲットを選択し、当該ターゲットに対応する構造化DB121を参照する。このとき、ターゲット判定部114は、中間情報700にエントリを登録する。
【0055】
中間情報700は、情報ID701及び関連度702から構成されるエントリを格納する。情報ID701は、サイバーセキュリティ情報のIDを格納するフィールドである。関連度702は、サイバーセキュリティ情報のターゲットとの関連性を表す関連度を格納するフィールド群である。関連度702は、ターゲットの列を一つ以上含む。
【0056】
この時点では、追加されたエントリの関連度702は空欄である。
【0057】
(S207-2)ターゲット判定部114は、構造化DB121を用いて、サイバーセキュリティ情報に含まれる文書を分析することによって、選択したターゲットに関するトピックを抽出する。ターゲット判定部114は、抽出されたトピックの数及び内容等に基づいて、サイバーセキュリティ情報の選択したターゲットとの関連性を表す関連度を算出する。ターゲット判定部114は、中間情報700に追加されたエントリの関連度702を参照し、選択したターゲットの列に関連度を格納する。
【0058】
なお、関連度の算出方法は一例であってこれに限定されない。機械学習によって生成されたモデルに文書を入力して関連度を算出する方法でもよい。
【0059】
(S207-3)ターゲット判定部114は、すべてのターゲットについて処理が完了したか否かを判定する。すべてのターゲットについて処理が完了していない場合、ターゲット判定部114は、S207-1に戻り、同様の処理を実行する。
【0060】
(S207-4)すべてのターゲットについて処理が完了した場合、ターゲット判定部114は、中間情報700を参照して関連度が最も大きいターゲットを選択し、選択したターゲットの識別情報を充実度評価部115に出力する。その後、ターゲット判定部114はターゲット判定処理を終了する。
【0061】
なお、関連度が大きく、かつ、差異が小さいターゲットが複数存在する場合、ターゲット判定部114は、出力部118を介して、ユーザにターゲットの選択を問い合わせてもよいし、複数のターゲットを選択してもよい。また、ターゲット判定部114は、いずれのターゲットにも属さないことを示す値を充実度評価部115に出力してもよい。
【0062】
なお、ユーザが、あらかじめターゲット判定部114に判定させるターゲットの種別を指定してもよい。
【0063】
以上がステップS207の処理の説明である。
【0064】
充実度評価部115は、ターゲット判定部114によって選択されたターゲットにおけるサイバーセキュリティ情報の内容の充実度を表す充実度評価値C3を算出し(ステップS208)、総合評価値算出部116に充実度評価値C3を出力する。具体的には、以下のような処理が実行される。
【0065】
(S208-1)充実度評価部115は、中間情報800にエントリを追加する。
【0066】
中間情報800は、情報ID801、ターゲット802、及び項目数803から構成されるエントリを格納する。サイバーセキュリティ情報及びターゲットの組み合わせに対して一つのエントリが存在する。情報ID801は、サイバーセキュリティ情報のIDを格納するフィールドである。ターゲット802は、ターゲットの識別情報を格納するフィールドである。ターゲット802には、ターゲットの名称及び識別番号等が格納される。項目数803は、サイバーセキュリティ情報におけるターゲットに関連する項目の数を格納するフィールド群である。項目数803では、カテゴリごとに項目数が管理される。なお、カテゴリが階層的である場合、中カテゴリ単位又は小カテゴリ単位で項目数が管理される。図8の中間情報800では、中カテゴリ単位に項目数が管理されている。
【0067】
この時点では、追加されたエントリの項目数803は空欄である。
【0068】
なお、複数のカテゴリが入力された場合、充実度評価部115は、カテゴリの数と同数のエントリを追加する。
【0069】
(S208-2)充実度評価部115は、選択されたターゲットに対応する構造化DB121を用いて、各カテゴリの項目(単語等の文字列)の数をカウントし、中間情報800のエントリの項目数803に格納する。
【0070】
(S208-3)充実度評価部115は、各カテゴリの項目の数に基づいて、充実度評価値C3を算出する。例えば、式(1)を用いて充実度評価値C3が算出される。
【0071】
【数1】
【0072】
ここで、iはカテゴリの種別を表す文字である。本実施例では、カテゴリごとに整数が割り当てられているものとする。Niは、構造化DB121に登録されているカテゴリiの単語の総数を表し、Aiはサイバーセキュリティ情報に含まれるカテゴリiの単語の数を表し、piはカテゴリiの重みを表す。重みpiはあらかじめ設定されているものとする。ユーザは重みpiを任意の値に設定することができる。重みを調整することによって、着目するカテゴリに関するサイバーセキュリティ情報の内容の充実度を評価することができる。カテゴリが二つの場合、任意のpを用いて、p1=p、p2=1-pと設定してもよい。
【0073】
なお、複数のターゲットが選択された場合、各ターゲットについて、サイバーセキュリティ情報の内容の充実度が算出される。この場合、充実度評価部115は、ターゲットの識別情報とともに、充実度評価値C3を出力する。
【0074】
なお、いずれのターゲットにも属さないこと示す値が入力された場合、充実度評価部115は、いずれのターゲットに依存しない構造化DB121を用いて充実度評価値C3を算出する。
【0075】
以上がステップS208の処理の説明である。
【0076】
総合評価値算出部116は、鮮度評価値C1、信頼性評価値C2、及び充実度評価値C3が入力された場合、総合評価値を算出する(ステップS209)。具体的には、以下のような処理を実行する。
【0077】
(S209-1)総合評価値算出部116は、中間情報900にエントリを追加する。
【0078】
中間情報900は、情報ID901、ターゲット902、鮮度903、信頼性904、充実度905、及び総合評価906から構成されるエントリを格納する。サイバーセキュリティ情報及びターゲットの組み合わせに対して一つのエントリが存在する。情報ID901は、サイバーセキュリティ情報のIDを格納するフィールドである。ターゲット902は、ターゲットの識別情報を格納するフィールドである。鮮度903は、鮮度評価値C1を格納するフィールドである。信頼性904は、信頼性評価値C2を格納するフィールドである。充実度905は、充実度評価値C3を格納するフィールドである。総合評価906は、総合評価値を格納するフィールドである。
【0079】
この時点で、中間情報900の追加されたエントリの総合評価906は空欄である。
【0080】
なお、ターゲットの識別情報と対応付けられた充実度評価値C3が複数入力された場合、ターゲットの数と同数のエントリが追加される。
【0081】
(S209-2)総合評価値算出部116は、例えば、式(2)を用いて総合評価値を算出し、追加されたエントリの総合評価906に総合評価値を格納する。
【0082】
【数2】
【0083】
ここで、qは重みを表す。重みqはあらかじめ設定されているものとする。ユーザは重みqを任意の値に設定することができる。
【0084】
(S209-3)総合評価値算出部116は、前処理部111に処理の完了を通知する。
【0085】
以上がステップS209の処理の説明である。
【0086】
前処理部111は、総合評価値算出部116から通知を受け付けた場合、ユーザが入力したすべてのサイバーセキュリティ情報について処理が完了したか否かを判定する(ステップS210)。
【0087】
ユーザが入力したすべてのサイバーセキュリティ情報について処理が完了していない場合、前処理部111は、ステップS204に戻り、同様の処理を実行する。ユーザが入力したすべてのサイバーセキュリティ情報について処理が完了した場合、前処理部111は、総合評価値算出部116に中間情報900の出力を指示する。当該指示を受け付けた総合評価値算出部116は、価値評価部117に中間情報900を出力する。
【0088】
価値評価部117は、中間情報900が入力された場合、中間情報900に基づいて、評価情報を生成し(ステップS211)、出力部118に評価情報を出力する。具体的には、以下のような処理が実行される。
【0089】
(S211-1)価値評価部117は、ターゲットを一つ選択する。
【0090】
(S211-2)価値評価部117は、中間情報900のターゲット902に選択されたターゲットの識別情報が格納されるエントリを検索する。
【0091】
(S211-3)価値評価部117は、検索されたエントリの総合評価906に格納される総合評価値と閾値とを比較することによって、検索されたエントリに対応するターゲットにおいて、当該エントリに対応するサイバーセキュリティ情報の価値が高いか否かを判定する。例えば、価値評価部117は、総合評価値が閾値より大きい場合、ターゲットにおいて、サイバーセキュリティ情報の価値は高いと判定する。価値評価部117は、価値が低いサイバーセキュリティ情報のエントリを中間情報900から削除する。なお、価値評価部117は、エントリを削除しなくてもよい。あるターゲットについてサイバーセキュリティ情報の価値が低いことを提示することによって、サイバーセキュリティ情報に含まれるデータの見直し等が可能となる。
【0092】
(S211-4)価値評価部117は、すべてのターゲットについて処理が完了したか否かを判定する。
【0093】
すべてのターゲットについて処理が完了していない場合、価値評価部117は、S211-1に戻り、同様の処理を実行する。すべてのターゲットについて処理が完了した場合、価値評価部117は、中間情報900を評価情報として生成する。
【0094】
以上がステップS211の処理の説明である。
【0095】
出力部118は、評価情報が入力された場合、ユーザに対して評価情報を提示する(ステップS212)。
【0096】
なお、ステップS205と、ステップS206と、ステップS207及びステップS208とは、順番が入れ替わってもよいし、並列に実行されてもよい。
【0097】
ユーザは、評価情報を参照することによって、目的のターゲットについての価値が高いサイバーセキュリティ情報を特定することができる。また、ユーザは、評価情報を参照することによって、各サイバーセキュリティ情報がどのようなターゲットについて価値があるのかを把握することができる。
【0098】
例えば、技術分野をターゲットとした場合、ユーザは、各技術分野に対するサイバーセキュリティ情報の価値を把握し、また、特定の技術分野に対する価値が高いサイバーセキュリティ情報を特定できる。例えば、製品をターゲットとした場合、ユーザは、製品に対するサイバーセキュリティ情報の価値を把握し、特定の製品に対する価値が高いサイバーセキュリティ情報を特定できる。
【0099】
本実施例によれば、評価するターゲットを特定し、当該ターゲットにおけるサイバーセキュリティ情報の内容の充実度を評価することによって、より正確にサイバーセキュリティ情報の価値を把握し、分類することができる。
【0100】
分析するサイバーセキュリティ情報を分類するシステムの場合、特待の分野のサイバーセキュリティ情報を絞り込むことができるため、分析に要する工数を削減することができる。
【0101】
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。
【0102】
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した非一時的記憶媒体をコンピュータに提供し、そのコンピュータが備えるプロセッサが非一時的記憶媒体に格納されたプログラムコードを読み出す。この場合、非一時的記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した非一時的記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD-ROM、DVD-ROM、ハードディスク、SSD(Solid State Drive)、光ディスク、光磁気ディスク、CD-R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。
【0103】
また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Python、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。
【0104】
さらに、実施例の機能を実現するソフトウェアのプログラムコードを、非一時的記憶装置を備える計算機からネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD-RW、CD-R等の記憶媒体に格納し、コンピュータが備えるプロセッサが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。
【0105】
上述の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。
【符号の説明】
【0106】
100 システム
110 入力部
111 前処理部
112 鮮度評価部
113 信頼性評価部
114 ターゲット判定部
115 充実度評価部
116 総合評価値算出部
117 価値評価部
118 出力部
120 情報源DB
121 構造化DB
122 収集情報DB
200 計算機
201 プロセッサ
202 ネットワークインタフェース
203 主記憶装置
204 副記憶装置
400、600 画面
700、800、900 中間情報
110 入力部
111 前処理部
112 鮮度評価部
113 信頼性評価部
114 ターゲット判定部
115 充実度評価部
116 総合評価値算出部
117 価値評価部
118 出力部
120 情報源DB
121 構造化DB
122 収集情報DB
200 計算機
201 プロセッサ
202 ネットワークインタフェース
203 主記憶装置
204 副記憶装置
400、600 画面
700、800、900 中間情報
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】