特開2022-191649サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022191649
(43)【公開日】2022-12-28
(54)【発明の名称】サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム
(51)【国際特許分類】
G06F 21/55 20130101AFI20221221BHJP
【FI】
G06F21/55
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2021099991
(22)【出願日】2021-06-16
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000062
【氏名又は名称】特許業務法人第一国際特許事務所
(72)【発明者】
【氏名】ヒーレ サルベッシュ スディル
(72)【発明者】
【氏名】熊谷 洋子
(72)【発明者】
【氏名】内山 宏樹
(57)【要約】 (修正有)
【課題】リアルタイムで進化するサイバー攻撃の状況を踏まえて、サイバー攻撃の優先度をリアルタイムで判定し、サイバー攻撃の被害を最小限に抑えるための最適な対策の判断を容易にする。
【解決手段】サイバーセキュリティ管理システム200において、サイバーセキュリティ管理装置250は、サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する情報取得部252と、攻撃評価情報に基づいて、サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定するパラメータ判定部254と、時間依存パラメータと、非時間依存パラメータとに基づいて、サイバー攻撃に関する優先度を判定する優先度判定部256と、を含む。
【選択図】図2
【解決手段】サイバーセキュリティ管理システム200において、サイバーセキュリティ管理装置250は、サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する情報取得部252と、攻撃評価情報に基づいて、サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定するパラメータ判定部254と、時間依存パラメータと、非時間依存パラメータとに基づいて、サイバー攻撃に関する優先度を判定する優先度判定部256と、を含む。
【選択図】図2
【特許請求の範囲】
【請求項1】
サイバーセキュリティ管理装置であって、
サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する情報取得部と、
前記攻撃評価情報に基づいて、前記サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定するパラメータ判定部と、
前記時間依存パラメータと、前記非時間依存パラメータとに基づいて、前記サイバー攻撃に関する優先度を判定する優先度判定部と、
を含むことを特徴とするサイバーセキュリティ管理装置。
サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する情報取得部と、
前記攻撃評価情報に基づいて、前記サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定するパラメータ判定部と、
前記時間依存パラメータと、前記非時間依存パラメータとに基づいて、前記サイバー攻撃に関する優先度を判定する優先度判定部と、
を含むことを特徴とするサイバーセキュリティ管理装置。
【請求項2】
前記情報取得部は、
前記攻撃評価情報として、
前記攻撃対象に対する前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報と、
前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報と、
を取得することを特徴とする、請求項1に記載のサイバーセキュリティ管理装置。
前記攻撃評価情報として、
前記攻撃対象に対する前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報と、
前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報と、
を取得することを特徴とする、請求項1に記載のサイバーセキュリティ管理装置。
【請求項3】
前記パラメータ判定部は、
前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算し、
前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを、前記時間依存パラメータとして判定する、
ことを特徴とする、請求項2に記載のサイバーセキュリティ管理装置。
前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算し、
前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを、前記時間依存パラメータとして判定する、
ことを特徴とする、請求項2に記載のサイバーセキュリティ管理装置。
【請求項4】
前記パラメータ判定部は、
前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定し、
判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを、前記時間依存パラメータとして判定する、
ことを特徴とする、請求項3に記載のサイバーセキュリティ管理装置。
前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定し、
判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを、前記時間依存パラメータとして判定する、
ことを特徴とする、請求項3に記載のサイバーセキュリティ管理装置。
【請求項5】
前記パラメータ判定部は、
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定し、
判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを前記非時間依存パラメータとして判定する、
ことを特徴とする、請求項4に記載のサイバーセキュリティ管理装置。
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定し、
判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを前記非時間依存パラメータとして判定する、
ことを特徴とする、請求項4に記載のサイバーセキュリティ管理装置。
【請求項6】
前記サイバーセキュリティ管理装置は、
前記サイバー攻撃の進行速度と、前記サイバー攻撃の進行の度合いと、前記攻撃対象の重要度とを、前記サイバー攻撃の優先度に対応付ける優先度評価テーブルを格納する記憶部を更に含み、
前記優先度判定部は、
前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとを、前記優先度評価テーブルに比較することで、前記サイバー攻撃の優先度を判定する、
ことを特徴とする、請求項5に記載のサイバーセキュリティ管理装置。
前記サイバー攻撃の進行速度と、前記サイバー攻撃の進行の度合いと、前記攻撃対象の重要度とを、前記サイバー攻撃の優先度に対応付ける優先度評価テーブルを格納する記憶部を更に含み、
前記優先度判定部は、
前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとを、前記優先度評価テーブルに比較することで、前記サイバー攻撃の優先度を判定する、
ことを特徴とする、請求項5に記載のサイバーセキュリティ管理装置。
【請求項7】
前記優先度判定部は、
前記サイバー攻撃の優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、出力する、
ことを特徴とする、請求項1に記載のサイバーセキュリティ管理装置。
前記サイバー攻撃の優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、出力する、
ことを特徴とする、請求項1に記載のサイバーセキュリティ管理装置。
【請求項8】
サイバーセキュリティ管理方法であって、
サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報として、前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報と、前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とを取得する工程と、
前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算する工程と、
前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを判定する工程と、
前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定する工程と、
判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを判定する工程と、
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定する工程と、
判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを判定する工程と、
前記サイバー攻撃の進行速度、前記サイバー攻撃の進行の度合い及び前記攻撃対象の重要度を前記サイバー攻撃の優先度に対応付ける優先度評価テーブルと、前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとに基づいて、前記サイバー攻撃の優先度を判定する工程と、
判定した前記優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、出力する工程と、
を含むことを特徴とするサイバーセキュリティ管理方法。
サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報として、前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報と、前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とを取得する工程と、
前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算する工程と、
前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを判定する工程と、
前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定する工程と、
判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを判定する工程と、
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定する工程と、
判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを判定する工程と、
前記サイバー攻撃の進行速度、前記サイバー攻撃の進行の度合い及び前記攻撃対象の重要度を前記サイバー攻撃の優先度に対応付ける優先度評価テーブルと、前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとに基づいて、前記サイバー攻撃の優先度を判定する工程と、
判定した前記優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、出力する工程と、
を含むことを特徴とするサイバーセキュリティ管理方法。
【請求項9】
サイバーセキュリティ管理システムであって、
サイバー攻撃に対抗するための情報を提供するセキュリティ機関サーバ装置と、
サイバー攻撃の攻撃対象となるクライアント装置と、
サイバー攻撃の優先度を判定するためのサイバーセキュリティ管理装置と、
を含み、
前記サイバーセキュリティ管理装置は、
サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報として、前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報を前記クライアント装置から取得し、
前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報を前記セキュリティ機関サーバ装置から取得し、
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報と前記クライアント装置から取得する情報取得部と、
前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算し、前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを判定し、
前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定し、判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを判定し、
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定し、判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを判定するパラメータ判定部と、
前記サイバー攻撃の進行速度、前記サイバー攻撃の進行の度合い及び前記攻撃対象の重要度を前記サイバー攻撃の優先度に対応付ける優先度評価テーブルと、前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとに基づいて、前記サイバー攻撃の優先度を判定し、
判定した前記優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、前記クライアント装置に送信する優先度判定部と、
を含むことを特徴とするサイバーセキュリティ管理システム。
サイバー攻撃に対抗するための情報を提供するセキュリティ機関サーバ装置と、
サイバー攻撃の攻撃対象となるクライアント装置と、
サイバー攻撃の優先度を判定するためのサイバーセキュリティ管理装置と、
を含み、
前記サイバーセキュリティ管理装置は、
サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報として、前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報を前記クライアント装置から取得し、
前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報を前記セキュリティ機関サーバ装置から取得し、
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報と前記クライアント装置から取得する情報取得部と、
前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算し、前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを判定し、
前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定し、判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを判定し、
前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定し、判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを判定するパラメータ判定部と、
前記サイバー攻撃の進行速度、前記サイバー攻撃の進行の度合い及び前記攻撃対象の重要度を前記サイバー攻撃の優先度に対応付ける優先度評価テーブルと、前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとに基づいて、前記サイバー攻撃の優先度を判定し、
判定した前記優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、前記クライアント装置に送信する優先度判定部と、
を含むことを特徴とするサイバーセキュリティ管理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システムに関する。
【背景技術】
【0002】
近年、新たな脆弱性の発見や新たな攻撃手法の出現などにより、サイバー攻撃は年々進化し続けている。このような状況の下、情報システムがサイバー攻撃に対する防御機能を備えているか、サイバー攻撃を受けた際に被害がどこまで広がるか、という問題は社会や組織において重要な関心事項となっている。
【0003】
サイバー攻撃の被害を抑制するために、まずサイバー攻撃の深刻度を評価し、この深刻度に応じた対策を実行する手段が知られている。
【0004】
例えば、米国特許出願公開第2020/0007574号明細書(特許文献1)には、「本明細書で説明されるシステム、方法、およびソフトウェアは、コンピューティング環境でセキュリティアクションを実施するための拡張機能を提供する。一例では、コンピューティング環境でアクションを推奨するためのアドバイスシステムを操作する方法は、コンピューティング環境でのセキュリティインシデントを識別すること、資産の重要度を識別すること、及び1つ又は複数の内部又は外部ソースからセキュリティインシデントに関するエンリッチメント情報を取得することを含む。この方法はまた、エンリッチメント情報に基づいてセキュリティインシデントの深刻度を識別すること、エンリッチメント情報に基づいて1つまたは複数のセキュリティアクションを決定することを提供する。更に、この方法は、重要度及び深刻度に基づいてコンピューティング環境の動作に対する1つまたは複数のセキュリティアクションの効果を識別し、この効果に基づいてセキュリティインシデントに対応するための1つまたは複数のセキュリティアクションのサブセットを識別することを含む。」技術が記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】米国特許出願公開第2020/0007574号明細書
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1には、サイバー攻撃の攻撃対象となる資産の重要度と、サイバー攻撃の種類に基づいた深刻度とに応じて、サイバー攻撃に対応するためのセキュリティアクションを決定する手段が記載されている。
しかし、特許文献1の手段では、サイバー攻撃に対応するためのセキュリティアクションは、攻撃対象となる資産の重要度やサイバー攻撃の種類等が時間の経過によって変化しない静的な情報(以下、「非時間依存のパラメータ」という)のみに基づいて決定されるため、リアルタイムで進化するサイバー攻撃の状況を踏まえたサイバー攻撃対策を講じることが困難である。このため、サイバー攻撃を抑制するための対策の実行が遅れ、サイバー攻撃の被害が大きくなってしまうことがある。
しかし、特許文献1の手段では、サイバー攻撃に対応するためのセキュリティアクションは、攻撃対象となる資産の重要度やサイバー攻撃の種類等が時間の経過によって変化しない静的な情報(以下、「非時間依存のパラメータ」という)のみに基づいて決定されるため、リアルタイムで進化するサイバー攻撃の状況を踏まえたサイバー攻撃対策を講じることが困難である。このため、サイバー攻撃を抑制するための対策の実行が遅れ、サイバー攻撃の被害が大きくなってしまうことがある。
【0007】
そこで、本開示は、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行状況を示す時間依存パラメータを用いてサイバー攻撃の優先度を判定することで、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断を容易にするサイバーセキュリティ管理手段を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記の課題を解決するために、代表的な本開示のサイバーセキュリティ管理装置の一つは、サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する情報取得部と、前記攻撃評価情報に基づいて、前記サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定するパラメータ判定部と、前記時間依存パラメータと、前記非時間依存パラメータとに基づいて、前記サイバー攻撃に関する優先度を計算する優先度計算部とを含む。
【発明の効果】
【0009】
本開示によれば、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いてサイバー攻撃の優先度を判定することで、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断を容易にするサイバーセキュリティ管理手段を提供することができる。
上記以外の課題、構成及び効果は、以下の発明を実施するための形態における説明により明らかにされる。
上記以外の課題、構成及び効果は、以下の発明を実施するための形態における説明により明らかにされる。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
上述したように、近年、新たな脆弱性の発見や新たな攻撃手法の出現などにより、サイバー攻撃は年々進化し続けている。このような状況の下、情報システムがサイバー攻撃に対する防御機能を備えているか、サイバー攻撃を受けた際に被害がどこまで広がるか、という問題は社会や組織において重要な関心事項となっている。
なお、ここでのサイバー攻撃とは、データを抜き取る、改ざんする、システムを破壊すること等を意味し、無差別攻撃や、特定の資産を狙った標的型攻撃を含んでもよい。
なお、ここでのサイバー攻撃とは、データを抜き取る、改ざんする、システムを破壊すること等を意味し、無差別攻撃や、特定の資産を狙った標的型攻撃を含んでもよい。
【0012】
従来のサイバー攻撃に対する対応策の多くは、サイバー攻撃を予防する手段や、サイバー攻撃の終了後に被害を抑える手段に向けられている。サイバー攻撃の最中に、当該サイバー攻撃の深刻度を評価する手段として、上述した特許文献1が存在するが、特許文献1では、攻撃対象となる資産の重要度やサイバー攻撃の種類等の、時間の経過に変動しないしない非時間依存のパラメータのみに基づいて深刻度の評価が行われる。このため、リアルタイムで進化するサイバー攻撃の状況を踏まえたサイバー攻撃対策を講じることが困難であり、サイバー攻撃を抑えるための対策の実行が遅れてしまい、サイバー攻撃の被害が大きくなってしまうことがある。
【0013】
そこで、本開示は、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いてサイバー攻撃の優先度を判定する。例えば、本開示のある実施形態では、攻撃対象の重要度を示す資産重要度パラメータのような非時間依存のパラメータに加えて、サイバー攻撃の進行の度合いを示す攻撃進行パラメータや、サイバー攻撃の進行速度を示すセキュリティイベント速度パラメータのような時間依存のパラメータを用いてサイバー攻撃の優先度を判定してもよい。この優先度の判定は、例えばサイバー攻撃が終了する前にリアルタイムで行われてもよい。
これにより、サイバー攻撃の被害を最小限に抑えるための最適な対策をリアルタイムで判断することが可能となる。
これにより、サイバー攻撃の被害を最小限に抑えるための最適な対策をリアルタイムで判断することが可能となる。
【0014】
以下、図面を参照して、本発明の実施形態について説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
【0015】
まず、図1を参照して、本開示の実施形態を実施するためのコンピュータシステム100について説明する。本明細書で開示される様々な実施形態の機構及び装置は、任意の適切なコンピューティングシステムに適用されてもよい。コンピュータシステム100の主要コンポーネントは、1つ以上のプロセッサ102、メモリ104、端末インターフェース112、ストレージインタフェース113、I/O(入出力)デバイスインタフェース114、及びネットワークインターフェース115を含む。これらのコンポーネントは、メモリバス106、I/Oバス108、バスインターフェースユニット109、及びI/Oバスインターフェースユニット110を介して、相互的に接続されてもよい。
【0016】
コンピュータシステム100は、プロセッサ102と総称される1つ又は複数の汎用プログラマブル中央処理装置(CPU)102A及び102Bを含んでもよい。ある実施形態では、コンピュータシステム100は複数のプロセッサを備えてもよく、また別の実施形態では、コンピュータシステム100は単一のCPUシステムであってもよい。各プロセッサ102は、メモリ104に格納された命令を実行し、オンボードキャッシュを含んでもよい。
【0017】
ある実施形態では、メモリ104は、データ及びプログラムを記憶するためのランダムアクセス半導体メモリ、記憶装置、又は記憶媒体(揮発性又は不揮発性のいずれか)を含んでもよい。メモリ104は、本明細書で説明する機能を実施するプログラム、モジュール、及びデータ構造のすべて又は一部を格納してもよい。例えば、メモリ104は、サイバーセキュリティ管理アプリケーション150を格納していてもよい。ある実施形態では、サイバーセキュリティ管理アプリケーション150は、後述する機能をプロセッサ102上で実行する命令又は記述を含んでもよい。
【0018】
ある実施形態では、サイバーセキュリティ管理アプリケーション150は、プロセッサベースのシステムの代わりに、またはプロセッサベースのシステムに加えて、半導体デバイス、チップ、論理ゲート、回路、回路カード、および/または他の物理ハードウェアデバイスを介してハードウェアで実施されてもよい。ある実施形態では、サイバーセキュリティ管理アプリケーション150は、命令又は記述以外のデータを含んでもよい。ある実施形態では、カメラ、センサ、または他のデータ入力デバイス(図示せず)が、バスインターフェースユニット109、プロセッサ102、またはコンピュータシステム100の他のハードウェアと直接通信するように提供されてもよい。
【0019】
コンピュータシステム100は、プロセッサ102、メモリ104、表示システム124、及びI/Oバスインターフェースユニット110間の通信を行うバスインターフェースユニット109を含んでもよい。I/Oバスインターフェースユニット110は、様々なI/Oユニットとの間でデータを転送するためのI/Oバス108と連結していてもよい。I/Oバスインターフェースユニット110は、I/Oバス108を介して、I/Oプロセッサ(IOP)又はI/Oアダプタ(IOA)としても知られる複数のI/Oインタフェースユニット112,113,114、及び115と通信してもよい。
【0020】
表示システム124は、表示コントローラ、表示メモリ、又はその両方を含んでもよい。表示コントローラは、ビデオ、オーディオ、又はその両方のデータを表示装置126に提供することができる。また、コンピュータシステム100は、データを収集し、プロセッサ102に当該データを提供するように構成された1つまたは複数のセンサ等のデバイスを含んでもよい。
【0021】
例えば、コンピュータシステム100は、心拍数データやストレスレベルデータ等を収集するバイオメトリックセンサ、湿度データ、温度データ、圧力データ等を収集する環境センサ、及び加速度データ、運動データ等を収集するモーションセンサ等を含んでもよい。これ以外のタイプのセンサも使用可能である。表示システム124は、単独のディスプレイ画面、テレビ、タブレット、又は携帯型デバイスなどの表示装置126に接続されてもよい。
【0022】
I/Oインタフェースユニットは、様々なストレージ又はI/Oデバイスと通信する機能を備える。例えば、端末インタフェースユニット112は、ビデオ表示装置、スピーカテレビ等のユーザ出力デバイスや、キーボード、マウス、キーパッド、タッチパッド、トラックボール、ボタン、ライトペン、又は他のポインティングデバイス等のユーザ入力デバイスのようなユーザI/Oデバイス116の取り付けが可能である。ユーザは、ユーザインターフェースを使用して、ユーザ入力デバイスを操作することで、ユーザI/Oデバイス116及びコンピュータシステム100に対して入力データや指示を入力し、コンピュータシステム100からの出力データを受け取ってもよい。ユーザインターフェースは例えば、ユーザI/Oデバイス116を介して、表示装置に表示されたり、スピーカによって再生されたり、プリンタを介して印刷されたりしてもよい。
【0023】
ストレージインタフェース113は、1つ又は複数のディスクドライブや直接アクセスストレージ装置117(通常は磁気ディスクドライブストレージ装置であるが、単一のディスクドライブとして見えるように構成されたディスクドライブのアレイ又は他のストレージ装置であってもよい)の取り付けが可能である。ある実施形態では、ストレージ装置117は、任意の二次記憶装置として実装されてもよい。メモリ104の内容は、ストレージ装置117に記憶され、必要に応じてストレージ装置117から読み出されてもよい。I/Oデバイスインタフェース114は、プリンタ、ファックスマシン等の他のI/Oデバイスに対するインターフェースを提供してもよい。ネットワークインターフェース115は、コンピュータシステム100と他のデバイスが相互的に通信できるように、通信経路を提供してもよい。この通信経路は、例えば、ネットワーク130であってもよい。
【0024】
ある実施形態では、コンピュータシステム100は、マルチユーザメインフレームコンピュータシステム、シングルユーザシステム、又はサーバコンピュータ等の、直接的ユーザインターフェースを有しない、他のコンピュータシステム(クライアント)からの要求を受信するデバイスであってもよい。他の実施形態では、コンピュータシステム100は、デスクトップコンピュータ、携帯型コンピュータ、ノートパソコン、タブレットコンピュータ、ポケットコンピュータ、電話、スマートフォン、又は任意の他の適切な電子機器であってもよい。
【0025】
次に、図2を参照して、本開示の実施形態に係るサイバーセキュリティ管理システムの構成について説明する。
【0026】
図2は、本開示の実施形態に係るサイバーセキュリティ管理システム200の構成の一例を示す図である。図2に示すように、サイバーセキュリティ管理システム200は、セキュリティ機関210、複数のクライアント装置221~223を含むクライアント環境220、通信ネットワーク230及びサイバーセキュリティ管理装置250を含む。セキュリティ機関210、クライアント環境220及びサイバーセキュリティ管理装置250は、通信ネットワーク230を介して相互的に接続される。ここでの通信ネットワーク230は、例えばインターネット、LAN(Local Area Network)、MAN(Metropolitan Area Network)、WAN(Wide Area Network)等を含んでもよい。
【0027】
セキュリティ機関210は、サイバーセキュリティを推進することを目的とする第三者組織である。セキュリティ機関210は、サイバー攻撃に対抗する戦略を講じたり、サイバー攻撃を識別し、抑制する様々な情報やツールを提供したりする政府又は民間の組織であってもよい。例えば、セキュリティ機関210は、サイバー攻撃の攻撃手法を特定するための攻撃手法情報を作成し、提供してもよい。
図2に示すように、セキュリティ機関210は、サーバ装置212を含んでもよい。サーバ装置212は、通信ネットワーク230を介して、セキュリティ機関210、クライアント環境220、及びサイバーセキュリティ管理装置250間の情報通信を行うための装置である。例えば、セキュリティ機関210は、サイバー攻撃の攻撃手法を特定するための攻撃手法情報を、通信ネットワーク230を介してサイバーセキュリティ管理装置250に送信してもよい。
図2に示すように、セキュリティ機関210は、サーバ装置212を含んでもよい。サーバ装置212は、通信ネットワーク230を介して、セキュリティ機関210、クライアント環境220、及びサイバーセキュリティ管理装置250間の情報通信を行うための装置である。例えば、セキュリティ機関210は、サイバー攻撃の攻撃手法を特定するための攻撃手法情報を、通信ネットワーク230を介してサイバーセキュリティ管理装置250に送信してもよい。
【0028】
クライアント環境220は、サイバー攻撃の攻撃対象となるコンピューティング資産(computing asset)を含むプライベートネットワークである。ここでの「攻撃対象」とは、サイバー攻撃の影響を受けるデバイス、ネットワーク、又はデータを意味する。
図2に示すように、クライアント環境220は、コンピューティング資産として、複数のクライアント装置221~223を含む。これらのクライアント装置221~223は、クライアント環境220のプライベートネットワークに含まれるコンピューティングデバイスであり、例えばサーバ、パソコン、ストレージ部、スマートフォン等、任意のコンピューティングデバイスを含んでもよい。また、本開示では、クライアント環境220に含まれるクライアント装置221~223の一部又は全てがサイバー攻撃の攻撃対象となった場合を例として説明する。
なお、説明の便宜上、クライアント装置を3つ含むクライアント環境220を一例として示しているが、本開示はこれに限定されず、クライアント装置の数や、クライアント環境220のネットワーク構成は任意である。
図2に示すように、クライアント環境220は、コンピューティング資産として、複数のクライアント装置221~223を含む。これらのクライアント装置221~223は、クライアント環境220のプライベートネットワークに含まれるコンピューティングデバイスであり、例えばサーバ、パソコン、ストレージ部、スマートフォン等、任意のコンピューティングデバイスを含んでもよい。また、本開示では、クライアント環境220に含まれるクライアント装置221~223の一部又は全てがサイバー攻撃の攻撃対象となった場合を例として説明する。
なお、説明の便宜上、クライアント装置を3つ含むクライアント環境220を一例として示しているが、本開示はこれに限定されず、クライアント装置の数や、クライアント環境220のネットワーク構成は任意である。
【0029】
サイバーセキュリティ管理装置250は、サイバー攻撃(例えば、クライアント環境220に対するサイバー攻撃)の優先度を判定するための装置である。図2に示すように、サイバーセキュリティ管理装置250は情報取得部252、パラメータ判定部254、優先度判定部256及び記憶部258を含む。
【0030】
情報取得部252は、クライアント環境220の攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する機能部である。例えば、情報取得部252は、攻撃対象に関するセキュリティイベントを示すデータログ情報と、サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、攻撃対象に関する攻撃対象情報と、攻撃対象を含むネットワーク構造を示すネットワーク構造情報とを攻撃評価情報として取得してもよい。後述するように、これらの情報は、例えばセキュリティ機関210や、攻撃対象となるクライアント環境220から取得されてもよい。
【0031】
パラメータ判定部254は、情報取得部252によって取得された攻撃評価情報に基づいて、サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定する機能部である。ここでは、時間依存パラメータとは、サイバー攻撃が実行されている期間において、時間と共に変化する情報を意味する。一方、非時間依存パラメータとは、サイバー攻撃が実行されている期間において、時間と共に変化しない情報を意味する。
【0032】
例えば、パラメータ判定部254は、攻撃対象の重要度を示す資産重要度パラメータを非時間依存のパラメータとして判定してもよい。本開示の実施形態に係る攻撃対象の重要度は、当該攻撃対象のネットワーク構造における階級に応じて定められ、攻撃の最中には変化しないため、非時間依存のパラメータの1つである。
また、パラメータ判定部254は、サイバー攻撃の進行の度合いを示す進行パラメータや、サイバー攻撃の進行速度を示す速度パラメータを時間依存のパラメータとして判定してもよい。サイバー攻撃の進行の度合いや速度は、攻撃の最中にリアルタイムで変動し得るため、時間依存のパラメータである。
また、パラメータ判定部254は、サイバー攻撃の進行の度合いを示す進行パラメータや、サイバー攻撃の進行速度を示す速度パラメータを時間依存のパラメータとして判定してもよい。サイバー攻撃の進行の度合いや速度は、攻撃の最中にリアルタイムで変動し得るため、時間依存のパラメータである。
【0033】
なお、本開示では、攻撃対象の重要度を示す資産重要度パラメータを非時間依存のパラメータとし、サイバー攻撃の進行の度合いを示す進行パラメータや、サイバー攻撃の進行速度を示す速度パラメータを時間依存のパラメータとした場合を一例として説明するが、本開示はこれに限定されず、非時間依存のパラメータ及び時間依存のパラメータは、攻撃対象の構成やサイバー攻撃の性質等に基づいて適宜に選択されてもよい。
【0034】
優先度判定部256は、パラメータ判定部254によって判定された時間依存パラメータと、非時間依存パラメータとに基づいて、サイバー攻撃に関する優先度を計算する機能部である。この優先度とは、サイバー攻撃の相対的な重要度を示す指標である。この優先度は、例えば「高」、「中」、「低」等の3段階の内の一つとして表現してもよく、例えば「0~10」等の数字の範囲から選択した値として表現してもよい。
本開示では、説明の便宜上、優先度を「高」、「中」、「低」等の3段階で表現する場合を一例として説明する。
本開示では、説明の便宜上、優先度を「高」、「中」、「低」等の3段階で表現する場合を一例として説明する。
【0035】
優先度判定部256は、サイバー攻撃を判定するためには、パラメータ判定部254によって判定された時間依存パラメータと、非時間依存パラメータと、後述する優先度評価テーブル260を用いる。例えば、優先度判定部256は、速度パラメータと、進行パラメータと、資産重要度パラメータとを、優先度評価テーブル260に比較することで、サイバー攻撃に関する優先度を判定することができる。
【0036】
記憶部258は、サイバーセキュリティ管理装置250に用いられる各種情報を格納するためのストレージ部である。この記憶部258は、例えばフラッシュメモリ、ハードディスクドライブ等、任意の記憶媒体であってもよい。
図2に示すように、記憶部258は、優先度評価テーブル260を格納する。この優先度評価テーブル260は、それぞれの非時間依存のパラメータ及び時間依存パラメータを所定の優先度に対応付けるテーブルであり、特定のサイバー攻撃の優先度を判定するために用いられる。優先度評価テーブル260は、例えば事前に作成され、記憶部258に格納されてもよい。
図2に示すように、記憶部258は、優先度評価テーブル260を格納する。この優先度評価テーブル260は、それぞれの非時間依存のパラメータ及び時間依存パラメータを所定の優先度に対応付けるテーブルであり、特定のサイバー攻撃の優先度を判定するために用いられる。優先度評価テーブル260は、例えば事前に作成され、記憶部258に格納されてもよい。
【0037】
上述したサイバーセキュリティ管理装置250の機能部は、独立したハードウェアで実現されてもよく、例えば図1に示すサイバーセキュリティ管理アプリケーション150におけるソフトウェアモジュールとして実現されてもよい。
【0038】
以上説明したサイバーセキュリティ管理システム200によれば、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いてサイバー攻撃の優先度を判定することで、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断を容易にすることができる。
【0039】
次に、図3を参照して、本開示の実施形態に係るサイバーセキュリティ管理システムにおけるデータの流れについて説明する。
【0040】
図3は、本開示の実施形態に係るサイバーセキュリティ管理システム200におけるデータの流れ300を示すフローチャートである。図3に示すように、サイバーセキュリティ管理システム200において、情報がクライアント環境220、サイバーセキュリティ管理装置250及びセキュリティ機関210の間で通信される。
なお、図3に示すデータの流れ300は、サイバー攻撃の最中に行われてもよい。これにより、サイバー攻撃がリアルタイムで進行するにつれて、優先度を動的に判定することができる。
なお、図3に示すデータの流れ300は、サイバー攻撃の最中に行われてもよい。これにより、サイバー攻撃がリアルタイムで進行するにつれて、優先度を動的に判定することができる。
【0041】
まず、ステップS302では、クライアント環境220は、攻撃対象情報、ネットワーク構造情報、及びデータログ情報をサイバーセキュリティ管理装置250に送信する。ここでの攻撃対象情報、ネットワーク構造情報、及びデータログ情報は、クライアント環境220におけるクライアント装置221、222、223のいずれかから送信されてもよい。
ある実施形態では、クライアント環境220は、サイバー攻撃を検出した際に攻撃対象情報、ネットワーク構造情報、及びデータログ情報をサイバーセキュリティ管理装置250に送信してもよい。また、ある実施形態では、サイバーセキュリティ管理装置250は、ネットワーク構造情報、及びデータログ情報をクライアント環境220から要求してもよい。
ある実施形態では、クライアント環境220は、サイバー攻撃を検出した際に攻撃対象情報、ネットワーク構造情報、及びデータログ情報をサイバーセキュリティ管理装置250に送信してもよい。また、ある実施形態では、サイバーセキュリティ管理装置250は、ネットワーク構造情報、及びデータログ情報をクライアント環境220から要求してもよい。
【0042】
攻撃対象情報は、クライアント環境220において、サイバー攻撃の影響を受けるデバイス、ネットワーク、又はデータ等のコンピューティング資産を攻撃対象として指定する情報である。例えば、この攻撃対象情報は、クライアント装置221、222、223の一部又は全部を攻撃対象として指定してもよい。
【0043】
ネットワーク構造情報は、クライアント環境220のネットワーク構成を示す情報である。例えば、このネットワーク構造情報は、クライアント環境220のネットワーク上の各ノード(例えば、クライアント装置221、222、223等のコンピューティングデバイス)及びノード間の接続経路を示す情報(いわゆるネットワークトポロジー)であってもよい。また、このネットワーク構造情報は、クライアント環境220のネットワーク上の各ノードの役割を示す情報を含んでもよい。例えば、ある実施形態では、このネットワーク構造情報は、クライアント環境220のネットワークにおけるセンサ装置の役割が「生データ収集」、「生データの前処理」、「データ集積」、又は「データ解析」であることを示してもよい。
【0044】
データログ情報は、サイバー攻撃の攻撃対象に関するセキュリティイベントを示す情報である。例えば、データログ情報は、各セキュリティイベントの検出時刻、影響を受けたコンピューティング資産、種類、深刻度等を含んでもよい。
ここでのセキュリティイベントとは、ネットワーク侵入、データ収集、システム変更等といったサイバー攻撃の目的を達成するための工程である。一般に、一つのサイバー攻撃は、1つ又は複数のセキュリティイベントからなる。例えば、サイバー攻撃がDDoS攻撃の場合、サーバの過剰負荷を引き起こすために送信される各データは異なる「セキュリティイベント」として検出され、データログ情報に記録される。
ここでのセキュリティイベントとは、ネットワーク侵入、データ収集、システム変更等といったサイバー攻撃の目的を達成するための工程である。一般に、一つのサイバー攻撃は、1つ又は複数のセキュリティイベントからなる。例えば、サイバー攻撃がDDoS攻撃の場合、サーバの過剰負荷を引き起こすために送信される各データは異なる「セキュリティイベント」として検出され、データログ情報に記録される。
【0045】
次に、ステップS304では、セキュリティ機関210は、攻撃手法情報をサイバーセキュリティ管理装置250に送信する。ここでの攻撃手法情報は、セキュリティ機関210のサーバ装置212から送信されてもよい。
ある実施形態では、セキュリティ機関210は、サイバーセキュリティ管理装置250からの要求に応じて攻撃手法情報をサイバーセキュリティ管理装置250に送信してもよい。
ある実施形態では、セキュリティ機関210は、サイバーセキュリティ管理装置250からの要求に応じて攻撃手法情報をサイバーセキュリティ管理装置250に送信してもよい。
【0046】
ここでの攻撃手法情報は、サイバー攻撃の攻撃手法を特定するための情報である。より具体的には、この攻撃手法情報は、特定の種類のサイバー攻撃の各段階において、攻撃者が用いる可能性がある攻撃手法を示す。一例として、この攻撃手法情報は、サイバー攻撃が「Reconnaissance」段階(偵察段階)の場合、攻撃者が用いる可能性がある攻撃手法として、「Active Scanning, Gather Victim Host Information, Gather Victim Identity, Gather Victim Network Information」を示してもよい。この攻撃手法情報及び攻撃対象のデータログ情報を用いることで、サイバー攻撃の攻撃手法を特定することができる。
【0047】
次に、ステップS306では、サイバーセキュリティ管理装置250の情報取得部は、クライアント環境220から送信された攻撃対象情報、ネットワーク構造情報及びデータログ情報を受信すると共に、セキュリティ機関210から送信された攻撃手法情報を受信する。
なお、ここでは、各種情報がサイバーセキュリティ管理装置250に対して送信される場合を一例として説明しているが、本開示はこれに限定されず、サイバーセキュリティ管理装置250は各種情報を自発的に取得してもよい。
なお、ここでは、各種情報がサイバーセキュリティ管理装置250に対して送信される場合を一例として説明しているが、本開示はこれに限定されず、サイバーセキュリティ管理装置250は各種情報を自発的に取得してもよい。
【0048】
次に、ステップS308では、サイバーセキュリティ管理装置250のパラメータ判定部は、ステップS306で受信した各種情報に基づいて、サイバー攻撃の優先度を判定する際に用いられる各テーブルを作成する。例えば、ここでは、サイバーセキュリティのパラメータ判定部は、攻撃手法テーブル(図4参照)、攻撃速度テーブル(図6参照)、資産情報テーブル(図8参照)、及び優先度評価テーブル(図9参照)を作成してもよい。
なお、ここで作成される各テーブルの詳細については後述する。
なお、ここで作成される各テーブルの詳細については後述する。
【0049】
次に、ステップS310では、サイバーセキュリティ管理装置250のパラメータ判定部は、ステップS308で作成した各テーブルに基づいて、サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定する。例えば、ここでは、サイバーセキュリティのパラメータ判定部は、資産情報テーブルに基づいて、攻撃対象の重要度を示す資産重要度パラメータを非時間依存のパラメータとして判定してもよい。また、サイバーセキュリティのパラメータ判定部は、攻撃手法テーブルに基づいて、サイバー攻撃の進行の度合いを示す進行パラメータを時間依存のパラメータとして作成してもよい。また、サイバーセキュリティのパラメータ判定部は、攻撃速度テーブルに基づいて、サイバー攻撃の進行速度を示す速度パラメータを時間依存のパラメータとして作成してもよい。
【0050】
次に、ステップS312では、サイバーセキュリティ管理装置250の優先度判定部は、ステップS310で判定した時間依存パラメータと、非時間依存パラメータとに基づいて、サイバー攻撃の優先度を計算する。より具体的には、サイバーセキュリティ管理装置250は、速度パラメータと、進行パラメータと、資産重要度パラメータとを、優先度評価テーブルに比較することで、サイバー攻撃の優先度を計算してもよい。
【0051】
次に、ステップS314では、サイバーセキュリティ管理装置250の優先度判定部は、ステップS312で計算したサイバー攻撃の優先度を示す優先度情報をクライアント環境220に送信する。この優先度情報は、例えばサイバー攻撃が終了する前にリアルタイムで送信されてもよい。これにより、サイバー攻撃がリアルタイムで進行するにつれて、最適なサイバー攻撃対策を判断し、実行することができる。
【0052】
次に、ステップS316では、サイバーセキュリティ管理装置250の情報取得部が追加の情報(例えば、最新のデータログ情報、更新した攻撃対象情報、ネットワーク構造情報又は攻撃手法情報)を受信した場合、本処理はステップS306へ戻り、追加の情報がステップS308~S312で処理される。
【0053】
以上説明したデータの流れによれば、サイバーセキュリティ管理装置250は、サイバー攻撃の優先度を判定するための各種情報を取得することができる。これにより、サイバー攻撃がリアルタイムで進行するにつれて、優先度を動的に判定することが可能となる。
【0054】
次に、図4を参照して、本開示の実施形態に係る攻撃手法テーブルについて説明する。
【0055】
上述したように、本開示では、サイバー攻撃の優先度を判定するための時間依存パラメータの1つとして、サイバー攻撃の進行の度合い(つまり、サイバー攻撃が現時点でどこまで進んでいるか)を示す進行パラメータを用いる。この進行パラメータは、サイバー攻撃におけるセキュリティイベントで用いられている攻撃手法に基づいて判定される。また、この攻撃手法は、セキュリティ機関から取得した攻撃手法情報に基づいて作成された攻撃手法テーブル400と、クライアント環境から取得したデータログ情報とに基づいて識別される。
原則として、サイバー攻撃が進むにつれて、サイバー攻撃の目的及び攻撃手法が予測可能なパターン(ネットワーク侵入、データ収集、システム変更)に従って変化するため、最も最近のセキュリティイベントで用いられた攻撃手法を識別することで、サイバー攻撃の現時点での進行の度合いを推定することができる。
原則として、サイバー攻撃が進むにつれて、サイバー攻撃の目的及び攻撃手法が予測可能なパターン(ネットワーク侵入、データ収集、システム変更)に従って変化するため、最も最近のセキュリティイベントで用いられた攻撃手法を識別することで、サイバー攻撃の現時点での進行の度合いを推定することができる。
【0056】
図4は、本開示の実施形態に係る攻撃手法テーブル400の一例を示す図である。上述したように、この攻撃手法テーブル400は、セキュリティ機関から取得した攻撃手法情報に基づいて作成される。図4に示すように、攻撃手法テーブル400は、進行パラメータ410、攻撃手法の目的412及び攻撃手法414の情報を格納する。それぞれの攻撃手法414は、目的毎に分類されている。例えば、「Reconnaissance」や「Defense Evasion」はネットワーク侵入との目的のための攻撃手法であるため、同一のカテゴリーに分類される。
なお、図4では、攻撃手法テーブル400の一例を示しているが、本開示はこれに限定されず、攻撃手法テーブル400の構成(攻撃手法の目的や攻撃手法の情報等)は、適宜に変更されてもよい。
なお、図4では、攻撃手法テーブル400の一例を示しているが、本開示はこれに限定されず、攻撃手法テーブル400の構成(攻撃手法の目的や攻撃手法の情報等)は、適宜に変更されてもよい。
【0057】
一般に、サイバー攻撃におけるセキュリティイベントの目的は、ネットワーク侵入、データ収集、システム変更の順番で変化する。従って、目的がネットワーク侵入の攻撃手法は、サイバー攻撃の序盤、つまり、サイバー攻撃の進行の度合いが低い時に行われるため、「低」との進行パラメータに対応付けられている。また、目的がデータ収集の攻撃手法は、サイバー攻撃の中盤、つまり、サイバー攻撃が中程度に進んでいる時に行われるため、「中」との進行パラメータに対応付けられている。また、目的がシステムの変更の攻撃手法は、サイバー攻撃の終盤、つまり、サイバー攻撃が高程度に進んでいる時に行われるため、「高」との進行パラメータに対応付けられている。
【0058】
サイバーセキュリティ管理装置のパラメータ判定部は、クライアント環境から取得したデータログ情報と、図4に示す攻撃手法テーブル400とを用いて、サイバー攻撃における特定のセキュリティイベントの攻撃手法を識別すると共に、当該攻撃手法に対応付けられている進行パラメータを判定することができる。より具体的には、パラメータ判定部は、クライアント環境から取得したデータログ情報の特定のセキュリティイベントの攻撃手法を識別する。ここでの特定のセキュリティイベントは、検出されているセキュリティイベントの内、任意のセキュリティイベントであってもよいが、サイバー攻撃の現時点での進行の度合いを判定するためには、最も最近のセキュリティイベントを用いることが望ましい。ここで、セキュリティイベントの攻撃手法を特定するためには、既存の手段を使用してもよく、本開示では特定に限定されない。
セキュリティイベントの攻撃手法が識別された後、パラメータ判定部は、攻撃手法テーブル400を参照することで、識別した攻撃手法に対応付けられている進行パラメータを判定する。一例として、セキュリティイベントの攻撃手法が「Exfiltration」の場合、パラメータ判定部は、サイバー攻撃の目的がシステム変更の段階まで進んでいるため、進行の度合いが高く、「高」との進行パラメータを判定する。
セキュリティイベントの攻撃手法が識別された後、パラメータ判定部は、攻撃手法テーブル400を参照することで、識別した攻撃手法に対応付けられている進行パラメータを判定する。一例として、セキュリティイベントの攻撃手法が「Exfiltration」の場合、パラメータ判定部は、サイバー攻撃の目的がシステム変更の段階まで進んでいるため、進行の度合いが高く、「高」との進行パラメータを判定する。
【0059】
以上説明したように、クライアント環境から取得したデータログ情報と、セキュリティ機関から取得した攻撃手法情報に基づいて作成された攻撃手法テーブル400とを用いることで、サイバー攻撃の現時点での進行の度合いを示す進行パラメータを判定することができる。この進行パラメータを用いることにより、サイバー攻撃の現時点での進行の度合いを考慮した優先度判定が可能となり、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断が容易となる。
【0060】
【0061】
上述したように、本開示では、サイバー攻撃の優先度を判定するための時間依存パラメータの1つとして、サイバー攻撃の進行速度を示す速度パラメータを用いる。この速度パラメータは、サイバー攻撃において検出された各セキュリティイベント間の時間間隔に基づいて判定される。
まず、パラメータ判定部は、クライアント環境から取得したデータログ情報に記録されている各セキュリティイベントの検出時刻に基づいて、セキュリティイベント間の時間間隔を計算する。ここで、パラメータ判定部は、データログ情報に記録されている全てのセキュリティイベント間の時間間隔を計算してもよく、特定の期間内のセキュリティイベント間の時間間隔を計算してもよい。
まず、パラメータ判定部は、クライアント環境から取得したデータログ情報に記録されている各セキュリティイベントの検出時刻に基づいて、セキュリティイベント間の時間間隔を計算する。ここで、パラメータ判定部は、データログ情報に記録されている全てのセキュリティイベント間の時間間隔を計算してもよく、特定の期間内のセキュリティイベント間の時間間隔を計算してもよい。
【0062】
次に、パラメータ判定部は、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均を計算する。このように計算したセキュリティイベント間の時間間隔の加重平均を、予め作成された攻撃速度テーブルに比較することで、サイバー攻撃の進行速度を示す速度パラメータを判定することができる。
【0063】
図5は、サイバー攻撃におけるセキュリティイベント間の時間間隔の計算の一例を示す図である。図5には、特定のサイバー攻撃における各セキュリティイベントを時系列に並べたタイムライン500が示される。図5に示すように、このタイムライン500には、イベント0,イベント1,イベント2、イベント3、イベント4及びイベント5との5つのセキュリティイベントが示されている。上述したように、これらのセキュリティイベントは、サイバー攻撃の目的(ネットワーク侵入、データ収集、システム変更等)を達成するための工程である。各セキュリティイベントは、同じ又は異なる攻撃手法によって行われる。
【0064】
まず、パラメータ判定部は、対象のセキュリティイベントを含む解析対象期間ATWを規定する。この解析対象期間ATWは、例えばサイバー攻撃が検出された時間等に基づいて適宜に規定されてもよい。例えば、図5に示すように、解析対象期間ATWは、イベント0を除き、イベント1からイベント5までを含む期間として規定されてもよい。
【0065】
次に、パラメータ判定部は、解析対象期間ATWにおける各セキュリティイベントの時間間隔(Time Between Incidents;TBI)を計算する。例えば、パラメータ判定部は、イベント1とイベント2の時間間隔TBI12、イベント2とイベント3の時間間隔TBI23、イベント3とイベント4の時間間隔TBI34、及びイベント4とイベント5の時間間隔TBI45を計算してもよい。
【0066】
その後、パラメータ判定部は、以下の数式1を用いて、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均WMTBI(Weighted Mean Time Between Incidents)を計算する。
【数1】
【0067】
なお、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均WMTBIの計算に用いられる重み付けwは、いわゆるMCDM(Multiple-criteria decision analysis)アルゴリズムによって定められてもよく、本開示では特に限定されない。
【0068】
図6は、本開示の実施形態に係る攻撃速度テーブル600の一例を示す図である。攻撃速度テーブル600は、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均WMTBIに基づいて、サイバー攻撃の速度パラメータを判定するためのテーブルである。
【0069】
図6に示すように、攻撃速度テーブル600では、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均WMTBIについて、3つの異なる範囲が最小値及び最大値によって規定されている。また、各範囲は、異なる速度パラメータに対応付けられている。
より具体的には、「0」~「ATW/3-MTBI」の範囲は、「高」との速度パラメータに対応付けられている。また、「ATW/3-MTBI」~「ATW/3+MTBI」の範囲は、「中」との速度パラメータに対応付けられている。また、「ATW/3+MTBI」~「ATW」の範囲は、「低」との速度パラメータに対応付けられている。ここでは、「高」との速度パラメータは、サイバー攻撃の速度が比較的に速いことを意味し、「低」との速度パラメータは比較的に襲いことを意味する。
ここでの「ATW」は、上述した解析対象期間であり、MTBI(Mean Time Between Incidents)は、サイバー攻撃における各セキュリティイベント間の時間間隔の平均である。このMTBIは、例えば数式1において、重み付けwを1とすることで求められる。
より具体的には、「0」~「ATW/3-MTBI」の範囲は、「高」との速度パラメータに対応付けられている。また、「ATW/3-MTBI」~「ATW/3+MTBI」の範囲は、「中」との速度パラメータに対応付けられている。また、「ATW/3+MTBI」~「ATW」の範囲は、「低」との速度パラメータに対応付けられている。ここでは、「高」との速度パラメータは、サイバー攻撃の速度が比較的に速いことを意味し、「低」との速度パラメータは比較的に襲いことを意味する。
ここでの「ATW」は、上述した解析対象期間であり、MTBI(Mean Time Between Incidents)は、サイバー攻撃における各セキュリティイベント間の時間間隔の平均である。このMTBIは、例えば数式1において、重み付けwを1とすることで求められる。
【0070】
数式1によって計算したサイバー攻撃における各セキュリティイベント間の時間間隔の加重平均WMTBIの値を、攻撃速度テーブル600において規定されている範囲に比較し、どの範囲に属するかを判定することで、当該サイバー攻撃の速度パラメータを判定することができる。
【0071】
図7は、本開示の実施形態に係る攻撃速度テーブル700の具体例を示す図である。図7に示すように、攻撃速度テーブル700では、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均WMTBIについて、3つの異なる範囲が最小値及び最大値によって規定されている。
より具体的には、「0」~「24時間」の範囲は、「高」との速度パラメータに対応付けられている。また、「24時間」~「48時間」の範囲は、「中」との速度パラメータに対応付けられている。また、「48時間」~「72時間」の範囲は、「低」との速度パラメータに対応付けられている。
数式1によって計算したサイバー攻撃における各セキュリティイベント間の時間間隔の加重平均WMTBIの値が「0」~「24時間」の範囲内の場合、当該サイバー攻撃の速度パラメータが「高」と判定される。WMTBIの値が「24」~「48時間」の範囲内の場合、当該サイバー攻撃の速度パラメータが「中」と判定される。WMTBIの値が「48」~「72時間」の範囲内の場合、当該サイバー攻撃の速度パラメータが「低」と判定される。
より具体的には、「0」~「24時間」の範囲は、「高」との速度パラメータに対応付けられている。また、「24時間」~「48時間」の範囲は、「中」との速度パラメータに対応付けられている。また、「48時間」~「72時間」の範囲は、「低」との速度パラメータに対応付けられている。
数式1によって計算したサイバー攻撃における各セキュリティイベント間の時間間隔の加重平均WMTBIの値が「0」~「24時間」の範囲内の場合、当該サイバー攻撃の速度パラメータが「高」と判定される。WMTBIの値が「24」~「48時間」の範囲内の場合、当該サイバー攻撃の速度パラメータが「中」と判定される。WMTBIの値が「48」~「72時間」の範囲内の場合、当該サイバー攻撃の速度パラメータが「低」と判定される。
【0072】
以上説明したように、クライアント環境から取得したデータログ情報に記録されている各セキュリティイベントの検出時刻に基づいてセキュリティイベント間の時間間隔を計算し、計算したセキュリティイベント間の時間間隔を攻撃速度テーブルに比較することで、サイバー攻撃の進行速度を示す速度パラメータを判定することができる。この速度パラメータを用いることにより、サイバー攻撃が進んでいる速さを考慮した優先度判定が可能となり、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断が容易となる。
【0073】
次に、図8を参照して、本開示の実施形態に係る資産情報テーブルについて説明する。
【0074】
上述したように、本開示では、サイバー攻撃の優先度を判定するための非時間依存パラメータの1つとして、攻撃対象の重要度を示す資産重要度パラメータを用いる。この資産重要度パラメータは、クライアント環境から取得したネットワーク構造情報から作成された資産情報テーブル800に基づいて判定される。図8は、本開示の実施形態に係る資産情報テーブル800の一例を示す図である。
【0075】
上述したように、資産情報テーブル800は、クライアント環境から取得したネットワーク構造情報に基づいて作成され、図8に示すように、ネットワークを構成する各コンピューティング資産(コンピューティングデバイス、記憶装置等)について、コンピューティング資産の名所を示す資産名802、コンピューティング資産の識別子を示す資産ID804、コンピューティング資産のIPアドレスを示すIPアドレス806、コンピューティング資産のMACアドレスを示すMACアドレス808、コンピューティング資産のゲートウェイアドレスを示すゲートウェイ810及びコンピューティング資産のネットワーク階級を示すネットワーク階級812を含んでもよい。
【0076】
このネットワーク階級812は、特定のコンピューティング資産のネットワークにおける論理的な地位を示す情報であり、例えば当該コンピューティング資産の役割に基づいて定められる。ある実施形態では、コンピューティング資産のネットワーク階級は、以下のように、5つのレベルに分けられてもよい。
レベル0:センサ、リレー、コネクター等のような物理的なインターフェースを有するデバイス
レベル1:RTU(Remote Terminal Unit)、PLC(Programmable Logic Controller)等のような、レベル1のデバイスを制御するためのデバイス
レベル2:HMI(Human Machine Interface)、Supervisory Control Unit、Communication Processor、Real Time Database等のような、レベル2のデバイスを制御するためのデバイス
レベル3:ウエブサービスサーバ、ファイアウォール、アプリケーションデータベースのような、IT管理、オペレーション管理、システム管理を行うためのデバイス
レベル4:ICS(Integrated Computer Solutions)ウエブクライアント、ICSビジネスアプリケーションクライアント等の、アプリケーション事業計画やロジスティクスの情報を管理するためのデバイス
レベル0:センサ、リレー、コネクター等のような物理的なインターフェースを有するデバイス
レベル1:RTU(Remote Terminal Unit)、PLC(Programmable Logic Controller)等のような、レベル1のデバイスを制御するためのデバイス
レベル2:HMI(Human Machine Interface)、Supervisory Control Unit、Communication Processor、Real Time Database等のような、レベル2のデバイスを制御するためのデバイス
レベル3:ウエブサービスサーバ、ファイアウォール、アプリケーションデータベースのような、IT管理、オペレーション管理、システム管理を行うためのデバイス
レベル4:ICS(Integrated Computer Solutions)ウエブクライアント、ICSビジネスアプリケーションクライアント等の、アプリケーション事業計画やロジスティクスの情報を管理するためのデバイス
【0077】
原則として、ネットワーク階級のレベルが高ければ高い程、コンピューティング資産のネットワークにおける重要度が高くなる。従って、本開示では、パラメータ判定部は、攻撃対象となったコンピューティング資産のネットワーク階級に基づいて、当該攻撃対象の重要度を示す重要度パラメータを判定することができる。
【0078】
より具体的には、パラメータ判定部は、クライアント環境から取得した攻撃対象情報を、クライアント環境から取得したネットワーク構造情報に基づいて作成された資産情報テーブル800に比較することで、攻撃対象となったコンピューティング資産のネットワーク階級を判定する。その後、パラメータ判定部は、予め定めた基準に基づいて、攻撃対象となったコンピューティング資産のネットワーク階級が、「高」、「中」、「低」の3つの重要度パラメータのレベルの内、どれに対応するかを判定する。
一例として、ある実施形態では、ネットワーク階級がレベル1の攻撃対象を「低」との資産重要度パラメータとし、ネットワーク階級がレベル2又は3の攻撃対象を「中」との資産重要度パラメータとし、ネットワーク階級がレベル4の攻撃対象を「高」との資産重要度パラメータとしてもよい。ここでは、「低」との資産重要度パラメータは、当該コンピューティング資産のネットワークにおける重要度が比較的に低いことを意味し、「高」との資産重要度パラメータは、当該コンピューティング資産のネットワークにおける重要度が比較的に高いことを意味する。
一例として、ある実施形態では、ネットワーク階級がレベル1の攻撃対象を「低」との資産重要度パラメータとし、ネットワーク階級がレベル2又は3の攻撃対象を「中」との資産重要度パラメータとし、ネットワーク階級がレベル4の攻撃対象を「高」との資産重要度パラメータとしてもよい。ここでは、「低」との資産重要度パラメータは、当該コンピューティング資産のネットワークにおける重要度が比較的に低いことを意味し、「高」との資産重要度パラメータは、当該コンピューティング資産のネットワークにおける重要度が比較的に高いことを意味する。
【0079】
以上説明したように、クライアント環境から取得した攻撃対象情報を、クライアント環境から取得したネットワーク構造情報に基づいて作成された資産情報テーブル800に比較することで、攻撃対象となったコンピューティング資産のネットワーク階級に応じて、当該ネットワーク資産の重要度を示す重要度パラメータを判定することができる。この資産重要度パラメータを用いることにより、攻撃対象となったコンピューティング資産のネットワークにおける重要性を考慮した優先度判定が可能となり、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断が容易となる。
【0080】
次に、図9を参照して、本開示の実施形態に係る優先度評価テーブルについて説明する。
【0081】
上述したように、本開示の実施形態では、サイバー攻撃の優先度は、上述したパラメータ判定部によって判定された速度パラメータと、進行パラメータと、資産重要度パラメータと、優先度評価テーブル260とに基づいて判定される。この優先度評価テーブル260は、速度パラメータと、進行パラメータと、資産重要度パラメータとをサイバー攻撃の優先度に対応付けるテーブルであり、特定のサイバー攻撃の優先度を判定するために用いられる。優先度評価テーブル260は、例えばクライアント環境の管理者の基準等に基づいて事前に作成され、サイバーセキュリティ管理装置の記憶部に格納されてもよい。
【0082】
図9は、本開示の実施形態に係る優先度評価テーブル260の一例を示す図である。図9に示すように、優先度評価テーブル260は、進行パラメータ262、速度パラメータ264、資産重要度パラメータ266及び優先度268の情報を格納する。より具体的には、優先度評価テーブル260において、進行パラメータ262、速度パラメータ264、資産重要度パラメータ266の各パラメータの「高い」、「中」、「低」の3つの段階について、対応する優先度268を示している。
なお、図9では、優先度評価テーブル260の一例を示しているが、本開示はこれに限定されず、優先度評価テーブル260の構成(各種パラメータや優先度の段階の対応関係等)は、適宜に変更されてもよい。
なお、図9では、優先度評価テーブル260の一例を示しているが、本開示はこれに限定されず、優先度評価テーブル260の構成(各種パラメータや優先度の段階の対応関係等)は、適宜に変更されてもよい。
【0083】
特定のサイバー攻撃について、速度パラメータ、進行パラメータ及び資産重要度パラメータが全て判定された後、サイバーセキュリティ管理装置の優先度判定部は、これらのパラメータと、優先度評価テーブル260とを用いることで、当該サイバー攻撃の優先度を判定することができる。より具体的には、優先度判定部は、優先度評価テーブル260において、判定した速度パラメータ、進行パラメータ及び資産重要度パラメータの値に対応する要素を特定し、特定した要素に記載の値をサイバー攻撃の優先度として判定する。
一例として、特定のサイバー攻撃について、進行パラメータ262が「中」、速度パラメータ264が「低」、資産重要度パラメータ266が「高い」と判定された場合、当該サイバー攻撃の優先度268が「中」と判定される。
一例として、特定のサイバー攻撃について、進行パラメータ262が「中」、速度パラメータ264が「低」、資産重要度パラメータ266が「高い」と判定された場合、当該サイバー攻撃の優先度268が「中」と判定される。
【0084】
このように、速度パラメータと、進行パラメータと、資産重要度パラメータと、優先度評価テーブルとを用いることで、サイバー攻撃の優先度は、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いて判定される。速度パラメータと、進行パラメータと、資産重要度パラメータとを用いることにより、サイバー攻撃の現時点での進行の度合い、サイバー攻撃が進んでいる速さ及び攻撃対象となったコンピューティング資産のネットワークにおける重要性を考慮した優先度判定が可能となり、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断が容易となる。
【0085】
次に、図10を参照して、本開示の実施形態に係る優先度判定処理の流れについて説明する。
【0086】
図10は、本開示の実施形態に係る優先度判定処理1000の流れを示すフローチャートである。優先度判定処理1000は、サイバー攻撃の優先度を判定するための処理であり、例えば図2に示すサイバーセキュリティ管理装置の各機能部によって行われる。
【0087】
まず、ステップS1004では、サイバーセキュリティ管理装置の情報取得部(例えば、図2に示す情報取得部252)は、データログ情報を受信する。ここでは、情報取得部は、
データログ情報を上述したクライアント環境から取得してもよい。このデータログ情報は、
サイバー攻撃の攻撃対象に関するセキュリティイベントを示す情報である。例えば、データログ情報は、各セキュリティイベントの検出時刻、影響を受けたコンピューティングデバイス、種類、重要度等を含んでもよい。
データログ情報を上述したクライアント環境から取得してもよい。このデータログ情報は、
サイバー攻撃の攻撃対象に関するセキュリティイベントを示す情報である。例えば、データログ情報は、各セキュリティイベントの検出時刻、影響を受けたコンピューティングデバイス、種類、重要度等を含んでもよい。
【0088】
次に、ステップS1006では、サイバーセキュリティ管理装置のパラメータ判定部(例えば、図2に示すパラメータ判定部254)は、ステップS1004で受信したデータログ情報を解析し、サイバー攻撃に対応するセキュリティイベントを検出する。上述したように、ここでのセキュリティイベントとは、サイバー攻撃の目的を達成するための工程である。一般に、一つのサイバー攻撃は、1つ又は複数のセキュリティイベントからなる。例えば、サイバー攻撃がDDoS攻撃の場合、サーバの過剰負荷を引き起こすために送信される各データは異なる「セキュリティイベント」として検出され、データログ情報に記録される。
【0089】
次に、ステップS1008では、パラメータ判定部は、クライアント環境から取得したデータログ情報と、セキュリティ機関から取得した攻撃手法情報1005に基づいて作成された攻撃手法テーブルとを用いることで、サイバー攻撃の現時点での進行の度合いを示す進行パラメータを判定する。
なお、進行パラメータを判定する場合の詳細は図4を参照して説明したため、ここではその説明を省略する。
なお、進行パラメータを判定する場合の詳細は図4を参照して説明したため、ここではその説明を省略する。
【0090】
次に、ステップS1010では、パラメータ判定部は、クライアント環境から取得した攻撃対象情報及びネットワーク構造情報1015に基づいて、攻撃対象の重要度を示す重要度パラメータを判定する。
なお、重要度パラメータを判定する場合の詳細は図8を参照して説明したため、ここではその説明を省略する。
なお、重要度パラメータを判定する場合の詳細は図8を参照して説明したため、ここではその説明を省略する。
【0091】
次に、ステップS1012では、パラメータ判定部は、ステップS1004でクライアント環境から取得したデータログ情報に記録されている各セキュリティイベントの検出時刻に基づいてセキュリティイベント間の時間間隔を計算する。
なお、このセキュリティイベント間の時間間隔を計算する場合の詳細は図5を参照して説明したため、ここではその説明を省略する。
なお、このセキュリティイベント間の時間間隔を計算する場合の詳細は図5を参照して説明したため、ここではその説明を省略する。
【0092】
次に、ステップS1014では、パラメータ判定部は、ステップS1012で計算したセキュリティイベント間の時間間隔と、攻撃速度テーブル600とに基づいて、サイバー攻撃の速度を示す速度パラメータを判定する。
なお、速度パラメータを判定する場合の詳細は既に図6~図7を参照して説明したため、ここではその説明を省略する。
なお、速度パラメータを判定する場合の詳細は既に図6~図7を参照して説明したため、ここではその説明を省略する。
【0093】
次に、ステップS1016では、サイバーセキュリティ管理装置の優先度判定部(例えば、図2に示す優先度判定部256)は、ステップS1008で判定した進行パラメータと、ステップS1010で判定した資産重要度パラメータと、ステップS1014で判定した速度パラメータと、事前に作成された優先度評価テーブル260とを用いて、サイバー攻撃の優先度を判定する。
なお、進行パラメータと、資産重要度パラメータと、速度パラメータと、優先度評価テーブル260とを用いてサイバー攻撃の優先度を判定する場合の詳細は、図9を参照して説明したため、ここではその説明を省略する。
なお、進行パラメータと、資産重要度パラメータと、速度パラメータと、優先度評価テーブル260とを用いてサイバー攻撃の優先度を判定する場合の詳細は、図9を参照して説明したため、ここではその説明を省略する。
【0094】
次に、ステップS1018では、優先度判定部は、ステップS1016で計算したサイバー攻撃の優先度を示す優先度情報をクライアント環境に送信する。この優先度情報は、例えばサイバー攻撃が終了する前にリアルタイムで送信されてもよい。これにより、サイバー攻撃がリアルタイムで進行するにつれて、最適なサイバー攻撃対策を判断し、実行することができる。
【0095】
次に、ステップS1020では、情報取得部が追加の情報(例えば、最新のデータログ情報、更新した攻撃対象情報、ネットワーク構造情報又は攻撃手法情報)を受信した場合、本処理はステップS1004へ戻り、追加の情報がステップS1006~S1016で処理される。
【0096】
以上説明した優先度判定処理1000によれば、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いてサイバー攻撃の優先度を判定することで、サイバー攻撃の被害を最小限に抑えるための最適な対策の判断を容易にすることができる。
【0097】
次に、図11~図14を参照して、本開示の実施形態に係るユーザインターフェースについて説明する。図11~図14に示す画面のそれぞれは、サイバーセキュリティ管理装置250又はクライアント環境220に接続されているディスプレイ(図2に図示せず)等に表示されてもよい。
【0098】
図11は、本開示の実施形態に係る資産重要度を確認するための資産重要度確認画面1100を示す図である。図11に示すように、資産重要度確認画面1100は、ネットワーク構成ウインドウ1110と、画面切り替えウインドウ1120と、データログ情報テーブル1130とを含む。
【0099】
ネットワーク構成ウインドウ1110では、サイバー攻撃の攻撃対象となったコンピューティング資産を含むネットワーク(例えば、図2に示すクライアント環境220)のネットワーク構成が表示される。上述したように、ある実施形態では、このネットワークのネットワーク構成は、相対的な重要度が異なるネットワーク階級に分けられて表示される。一例として、このネットワークのネットワーク構成は、重要度が「高」、「中」、「低」との3つの階級に分けられてもよい。そして、攻撃対象となった資産は、この重要度毎に分けられたネットワーク構成において、強調表示されてもよい。これにより、資産重要度確認画面1100を閲覧するユーザは、攻撃対象となったコンピューティング資産の重要度を容易に確認することができる。
【0100】
画面切り替えウインドウ1120では、資産重要度確認画面、攻撃速度確認画面、攻撃進行確認画面及び攻撃優先度確認画面のそれぞれの画面に切り替えるためのボタンが表示される。ユーザは、いずれかのボタンを押すことにより、所望の確認画面に切り替えることができる。
【0101】
データログ情報テーブル1130では、サイバー攻撃の攻撃対象となったコンピューティング資産について取得されたデータログ情報が表示される。例えば、図11に示すように、このデータログ情報テーブル1130は、サイバー攻撃における各セキュリティイベントの検出時刻、対象となった装置、データログの種類、攻撃手法、及び攻撃対象となったコンピューティング資産の重要度等の情報を含んでもよい。データログ情報テーブル1130によれば、ユーザは、現在進行中のサイバー攻撃に関する情報をリアルタイムで確認することができる。
【0102】
図12は、本開示の実施形態に係るサイバー攻撃の進行の度合いを確認するための攻撃進行確認画面1200を示す図である。図12に示すように、攻撃進行確認画面1200は、攻撃手法情報表示ウインドウ1210と、画面切り替えウインドウ1120と、データログ情報テーブル1130とを含む。
【0103】
攻撃手法情報表示ウインドウ1210では、サイバー攻撃の攻撃手法を特定するための攻撃手法情報が表示される。この攻撃手法情報表示ウインドウ1210で表示される攻撃手法情報は、例えば上述したセキュリティ機関(例えば、図2に示すセキュリティ機関210)から取得した情報であり、図4に示す攻撃手法テーブル400と実質的に同様の情報であってもよい。図12に示すように、攻撃手法情報表示ウインドウ1210では、現在進行中のサイバー攻撃において使用された攻撃手法は、強調表示されてもよい。上述したように、これらの攻撃手法は、サイバー攻撃の進行の度合いを示す指標の一つである。従って、このように、攻撃進行確認画面1200を閲覧するユーザは、サイバー攻撃の進行の度合いを容易に確認することができる。
【0104】
図13は、本開示の実施形態に係るサイバー攻撃の速度を確認するための攻撃速度確認画面1300を示す図である。図13に示すように、攻撃速度確認画面1300は、サイバー攻撃速度ウインドウ1310と、画面切り替えウインドウ1120と、データログ情報テーブル1130とを含む。
【0105】
サイバー攻撃速度ウインドウ1310では、サイバー攻撃におけるセキュリティイベントの時間間隔の推移がグラフ形式で表示される。上述したように、サイバー攻撃におけるセキュリティイベントの時間間隔は、サイバー攻撃の進行の速度を示す指標の一つである。ある実施形態では、サイバー攻撃速度ウインドウ1310に表示されるグラフは、サイバー攻撃の速度が「高」、「中」、「低」との3つの階級に分けられてもよい。これらの段階は色別に分けられてもよい。このように、攻撃速度確認画面1300を閲覧するユーザは、サイバー攻撃の速度を容易に確認することができる。
【0106】
図14は、本開示の実施形態に係るサイバー攻撃の優先度を確認するための優先度確認画面1400を示す図である。図14に示すように、優先度確認画面1400は、優先度評価テーブルを示す優先度評価ウインドウ1410と、画面切り替えウインドウ1120と、データログ情報テーブル1130とを含む。
【0107】
優先度評価ウインドウ1410では、優先度評価テーブルが表示される。この優先度評価テーブルは、例えば、上述したように、サイバー攻撃の優先度を判定するために用いられたテーブルである。図14に示すように、ある実施形態では、サイバー攻撃の評価結果(つまり、優先度を示す優先度情報)は、優先度評価テーブルにおいて反映されてもよい。これにより、優先度確認画面1400を閲覧するユーザは、それぞれの時間依存パラメータ及び非時間依存のパラメータについて、優先度の判定結果を確認することができる。
【0108】
【0109】
本発明の態様は、装置、方法、システム、プログラム等、任意の形態で実施されてもよい。ある実施形態では、本発明は、外部装置の記憶媒体から通信ネットワーク経由、又は可搬型記憶媒体経由で任意のコンピューティング環境において導入されるプログラムとして実施されてもよい。
この場合、本発明の一態様は、サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報として、前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報と、前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とを取得する工程と、前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算する工程と、前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを判定する工程と、前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定する工程と、判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを判定する工程と、前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定する工程と、判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを判定する工程と、前記サイバー攻撃の進行速度、前記サイバー攻撃の進行の度合い及び前記攻撃対象の重要度を前記サイバー攻撃の優先度に対応付ける優先度評価テーブルと、前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとに基づいて、前記サイバー攻撃の優先度を判定する工程と、判定した前記優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、出力する工程とをコンピュータに実施させるためのコンピュータープログラムを記憶した記憶媒体を含んでもよい。
この場合、本発明の一態様は、サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報として、前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報と、前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とを取得する工程と、前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算する工程と、前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを判定する工程と、前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定する工程と、判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを判定する工程と、前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定する工程と、判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを判定する工程と、前記サイバー攻撃の進行速度、前記サイバー攻撃の進行の度合い及び前記攻撃対象の重要度を前記サイバー攻撃の優先度に対応付ける優先度評価テーブルと、前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとに基づいて、前記サイバー攻撃の優先度を判定する工程と、判定した前記優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、出力する工程とをコンピュータに実施させるためのコンピュータープログラムを記憶した記憶媒体を含んでもよい。
【0110】
以上、本発明の実施の形態について説明したが、本発明は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。
【符号の説明】
【0111】
200 サイバーセキュリティ管理システム
210 セキュリティ機関
212 サーバ装置
220 クライアント環境
221、222、223 クライアント装置
230 通信ネットワーク
250 サイバーセキュリティ管理装置
252 情報取得部
254 パラメータ判定部
256 優先度判定部
258 記憶部
260 優先度評価テーブル
210 セキュリティ機関
212 サーバ装置
220 クライアント環境
221、222、223 クライアント装置
230 通信ネットワーク
250 サイバーセキュリティ管理装置
252 情報取得部
254 パラメータ判定部
256 優先度判定部
258 記憶部
260 優先度評価テーブル
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】