知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023010181
(43)【公開日】2023-01-20
(54)【発明の名称】情報管理システム、情報管理方法、及び情報共有システム
(51)【国際特許分類】
G06F 21/57 20130101AFI20230113BHJP
【FI】
G06F21/57 370
G06F21/57
【審査請求】未請求
【請求項の数】10
【出願形態】OL
(21)【出願番号】P 2021114135
(22)【出願日】2021-07-09
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000176
【氏名又は名称】弁理士法人一色国際特許事務所
(72)【発明者】
【氏名】西嶋 克哉
(72)【発明者】
【氏名】重本 倫宏
(72)【発明者】
【氏名】川口 信隆
(72)【発明者】
【氏名】植木 優輝
(57)【要約】 (修正有)
【課題】他者から得た情報に基づき有効な処理を行う可能性を高めることが可能な情報管理システム、情報管理方法及び情報共有システムを提供する。
【解決手段】複数の情報管理システムがネットワークを介して通信可能に接続される情報共有システムにおいて、情報管理システム10は、他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、その他者に対する信頼度を算出し、受信した情報及び算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理部121と、算出した信用度に基づいて、情報が示す内容に対する対応処理の内容を決定する対応処理設定部124と、対応処理の内容に基づき、信頼度を変更する信頼度更新部122と、を備える。
【選択図】図2
【解決手段】複数の情報管理システムがネットワークを介して通信可能に接続される情報共有システムにおいて、情報管理システム10は、他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、その他者に対する信頼度を算出し、受信した情報及び算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理部121と、算出した信用度に基づいて、情報が示す内容に対する対応処理の内容を決定する対応処理設定部124と、対応処理の内容に基づき、信頼度を変更する信頼度更新部122と、を備える。
【選択図】図2
【特許請求の範囲】
【請求項1】
プロセッサ及びメモリを有し、
他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、前記他者に対する信頼度を算出し、前記受信した情報及び前記算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理部と、
前記算出した信用度に基づいて、前記情報が示す内容に対する対応処理の内容を決定する対応処理設定部と、
前記対応処理の内容に基づき、前記信頼度を変更する信頼度更新部と、
を備える、情報管理システム。
他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、前記他者に対する信頼度を算出し、前記受信した情報及び前記算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理部と、
前記算出した信用度に基づいて、前記情報が示す内容に対する対応処理の内容を決定する対応処理設定部と、
前記対応処理の内容に基づき、前記信頼度を変更する信頼度更新部と、
を備える、情報管理システム。
【請求項2】
前記他者に係る情報処理装置からの前記情報の送信要求を受信した場合に、前記他者に対する信頼度に基づき、前記送信要求に対して送信する前記情報の内容又は範囲を決定し、決定した内容又は範囲の情報を前記他者に係る情報処理装置に送信するアクセス制御部をさらに備える、
請求項1に記載の情報管理システム。
請求項1に記載の情報管理システム。
【請求項3】
前記アクセス制御部は、前記他者に係る情報処理装置からの前記情報の送信要求を受信した場合に、前記他者に係る情報処理装置に対する信頼度と、前記情報の機密度とに基づき、前記送信要求に対して送信する前記情報の内容又は範囲を決定する、
請求項2に記載の情報管理システム。
請求項2に記載の情報管理システム。
【請求項4】
前記対応処理設定部は、前記情報に対する対応処理として、前記情報が不正の存在を示す情報であるか否かを判定する処理を行い、
前記信頼度更新部は、前記情報が不正の存在を示す情報であると判定した場合に、前記信頼度を増加させ、前記情報が不正の存在を示す情報でなかったと判定した場合に、前記信頼度を減少させる、
請求項1に記載の情報管理システム。
前記信頼度更新部は、前記情報が不正の存在を示す情報であると判定した場合に、前記信頼度を増加させ、前記情報が不正の存在を示す情報でなかったと判定した場合に、前記信頼度を減少させる、
請求項1に記載の情報管理システム。
【請求項5】
前記信頼度更新部は、前記情報が不正の存在を示す情報であると判定した場合に、前記他者が前記情報が実際に不正な情報であると確信した程度を示すパラメータである確信度に応じて前記信頼度を増加させ、前記情報が不正の存在を示す情報でなかったと判定した場合に、前記確信度に応じて前記信頼度を減少させる、
請求項4に記載の情報管理システム。
請求項4に記載の情報管理システム。
【請求項6】
前記アクセス制御部は、前記他者に係る情報処理装置からの前記情報の送信要求を受信した場合に、前記他者に対する信頼度に基づき、前記送信要求に対して送信する前記情報の内容又は範囲として、前記情報を加工せずに前記他者に係る情報処理装置に送信するか、前記情報を加工して前記他者に係る情報処理装置に送信するか、前記情報に基づき実行された所定処理の結果を前記他者に係る情報処理装置に送信するか、又は、前記他者に係る情報処理装置が過去に送信してきた情報の範囲内の情報を前記他者に係る情報処理装置に送信するか、の少なくともいずれかを決定する、
請求項1に記載の情報管理システム。
請求項1に記載の情報管理システム。
【請求項7】
前記送信要求を受信した場合に前記他者に係る情報処理装置に対して送信可能な前記情報の内容又は範囲の情報、又は、前記他者に係る情報処理装置に対して送信要求を送信した場合に前記他者に係る情報処理装置から受信可能な前記情報の内容又は範囲の少なくともいずれかを表示する表示部を備える、請求項2に記載の情報管理システム。
【請求項8】
前記表示部は、前記送信要求の送受信の履歴、又は、前記送信要求の送受信により決定
された、前記送信要求に対して送受信された情報の内容又は範囲の履歴の少なくともいずれかを表示する、請求項2に記載の情報管理システム。
された、前記送信要求に対して送受信された情報の内容又は範囲の履歴の少なくともいずれかを表示する、請求項2に記載の情報管理システム。
【請求項9】
情報処理装置が、
他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、前記他者に対する信頼度を算出し、前記受信した情報及び前記算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理と、
前記算出した信用度に基づいて、前記情報が示す内容に対する対応処理の内容を決定する対応処理設定処理と、
前記対応処理の内容に基づき、前記信頼度を変更する信頼度更新処理と、
を実行する、情報管理方法。
他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、前記他者に対する信頼度を算出し、前記受信した情報及び前記算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理と、
前記算出した信用度に基づいて、前記情報が示す内容に対する対応処理の内容を決定する対応処理設定処理と、
前記対応処理の内容に基づき、前記信頼度を変更する信頼度更新処理と、
を実行する、情報管理方法。
【請求項10】
プロセッサ及びメモリを有し、
他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、前記他者に対する信頼度を算出し、前記受信した情報及び前記算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理部と、
前記算出した信用度に基づいて、前記情報が示す内容に対する対応処理の内容を決定する対応処理設定部と、
前記対応処理の内容に基づき、前記信頼度を変更する信頼度更新部と、
を備える情報管理システムを複数含んで構成される、情報共有システム。
他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、前記他者に対する信頼度を算出し、前記受信した情報及び前記算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理部と、
前記算出した信用度に基づいて、前記情報が示す内容に対する対応処理の内容を決定する対応処理設定部と、
前記対応処理の内容に基づき、前記信頼度を変更する信頼度更新部と、
を備える情報管理システムを複数含んで構成される、情報共有システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報管理システム、情報管理方法、及び情報共有システムに関する。
【背景技術】
【0002】
複数組織で情報の共有を行い、この共有情報に基づき、様々な処理を行うことで、より有益な効果が得られることが考えられる。例えば、突発的に起こるサイバー攻撃からネットワークやシステムを守ることは,セキュリティオペレーションにとって不可欠の要件である。しかし、大規模化し巧妙になるサイバー攻撃を、自組織だけで守り抜くのは困難である。サイバー攻撃に対する対策の一つとして、複数組織でサイバー攻撃に関連する情報の共有を行い、この共有情報に基づき、サイバー攻撃に対する事前対策を行うことが考えられる。
【0003】
例えば、内閣サイバーセキュリティセンターのサイバーセキュリティ協議会や、様々な業界における情報共有組織であるISAC(Information Sharing and Analysis Center
)等により、情報共有の取組が行われている。しかしながら、情報共有を円滑に進めるためには課題がある。例えば、情報提供者がサイバー攻撃を受けたという事実を知られることを望まないことがある。また、共有情報に機微情報が含まれること、情報共有を行うメリットが見いだせないこと等により、情報共有が阻害されることが挙げられる。
)等により、情報共有の取組が行われている。しかしながら、情報共有を円滑に進めるためには課題がある。例えば、情報提供者がサイバー攻撃を受けたという事実を知られることを望まないことがある。また、共有情報に機微情報が含まれること、情報共有を行うメリットが見いだせないこと等により、情報共有が阻害されることが挙げられる。
【0004】
組織間の情報共有に関する技術として、特開2019-191657号公報(特許文献1)がある。特許文献1には「報告されたセキュリティ脅威情報を評価し、評価結果を用いて脅威情報報告者(提供者)の報酬に結び付けることができ、それに対する価値で報酬を支払うことができる。その結果として、提供者のセキュリティ脅威情報の共有に対するモチベーション向上につなげることができ、早期セキュア情報の共有、インシデント防止に貢献できる」と記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2019-191657号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1は、報告された情報を評価し、その評価結果を用いて情報報告者(提供者)の報酬に結び付けることで、情報共有を促進することを開示している。しかし、情報報告者に対する評価は考慮されていないため、期待した結果が得られない(得られた情報に対する有効な対策ができないなど)ことがあり得る。
【0007】
そこで、本発明は、他者から得た情報に基づき有効な処理を行う可能性を高めることが可能な情報管理システム、情報管理方法、及び情報共有システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記課題を解決するための本発明の一つは、プロセッサ及びメモリを有し、他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、前記他者に対する信頼度を算出し、前記受信した情報及び前記算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理部と、前記算出した信用度に基づいて、前記情報が示す内容に対する対応処理の内容を決定する対応処理設定部と、前記対応処理の内容に基づき、前記信頼度
を変更する信頼度更新部と、を備える、情報管理システム、とする。
を変更する信頼度更新部と、を備える、情報管理システム、とする。
【0009】
また、上記課題を解決するための本発明の一つは、情報処理装置が、他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、前記他者に対する信頼度を算出し、前記受信した情報及び前記算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理と、前記算出した信用度に基づいて、前記情報が示す内容に対する対応処理の内容を決定する対応処理設定処理と、前記対応処理の内容に基づき、前記信頼度を変更する信頼度更新処理と、を実行する、情報管理方法、とする。
【0010】
また、上記課題を解決するための本発明の一つは、プロセッサ及びメモリを有し、他者に係る情報処理装置から当該他者が管理する情報を受信すると共に、前記他者に対する信頼度を算出し、前記受信した情報及び前記算出した信頼度に基づき、前記情報に対する信用度を算出するデータ処理部と、前記算出した信用度に基づいて、前記情報が示す内容に対する対応処理の内容を決定する対応処理設定部と、前記対応処理の内容に基づき、前記信頼度を変更する信頼度更新部と、を備える情報管理システムを複数含んで構成される、情報共有システム、とする。
【発明の効果】
【0011】
本発明によれば、他者から得た情報に基づき有効な処理を行う可能性を高めることができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0012】
【図1】実施例1に係る情報共有システムの構成の一例を示す図である。
【図2】受信装置、送信装置、及びセキュリティアプライアンスが備える構成の一例を説明する図である。
【図3】機密度テーブルの一例を示す図である。
【図4】アクセスコントロールリストテーブルの一例を示す図である。
【図5】脅威情報テーブルの一例を示す図である。
【図6】脅威情報共有処理の概要を説明するシーケンス図である。
【図7】統合テーブルのデータ内容の一例を示す図である。
【図8】判定結果テーブルの一例を示す図である。
【図9】信頼度テーブルの一例を示す図である。
【図10】セキュリティアプライアンス設定処理の詳細を説明するフロー図である。
【図11】信頼度更新処理の一例を説明するフロー図である。
【図12】共有状況情報表示画面の一例を示す図である。
【図13】共有状況詳細情報表示画面の一例を示す図である。
【図14】実施例2に係る情報共有システムの構成の一例を説明する図である。
【発明を実施するための形態】
【0013】
以下、本発明の実施形態を図面に基づいて詳細に説明する。本実施形態において、同一の構成には原則として同一の符号を付け、繰り返しの説明は省略する。なお、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではない。
【0014】
以下の実施例では、システムが管理する情報の一例として脅威情報を対象に、その情報提供者又は情報提供組織への信頼度により脅威情報を評価し、脅威情報が示す内容に応じた処理としてセキュリティアプライアンスへの設定内容を制御する場合を説明する。
[実施例1]
図1は、実施例1に係る情報共有システム1の構成の一例を示す図である。この情報共有システム1は、複数の組織(本実施形態では、組織A、組織B、及び組織C)がそれぞ
れ管理する複数の情報管理システム10を含んで構成される。
[実施例1]
図1は、実施例1に係る情報共有システム1の構成の一例を示す図である。この情報共有システム1は、複数の組織(本実施形態では、組織A、組織B、及び組織C)がそれぞ
れ管理する複数の情報管理システム10を含んで構成される。
【0015】
情報管理システム10は、情報管理システム10を管理する組織の種々の装置に対する不正なサイバー攻撃(例えば、データの不正な変更若しくは削除、又は不正なデータの追加)に関する情報(以下、脅威情報という)を管理する情報処理システムである。
【0016】
情報共有システム1は、他者(他の組織又は人等。以下、他組織という。)が管理する各情報管理システム10から提供された脅威情報を収集及び統合してセキュリティオペレーションを行う。そして、情報共有システム1は、脅威情報を提供してきた各情報管理システム10に対し、その脅威情報の正確性に応じた、脅威に対応するための情報を提供する。このような仕組みにより、各組織は、より有益な脅威情報を提供するほど、より有益な対処情報を受け取ることができる。
なお、他組織が一つの場合は、情報共有システム1は、その情報管理システム10から提供された脅威情報を信頼度(ここでは正確性)に基づき評価し、脅威に対応するための情報を当該情報管理システム10に提供する。
なお、他組織が一つの場合は、情報共有システム1は、その情報管理システム10から提供された脅威情報を信頼度(ここでは正確性)に基づき評価し、脅威に対応するための情報を当該情報管理システム10に提供する。
【0017】
具体的には、情報管理システム10は、脅威情報等を受信する受信装置101、脅威情報等を送信する送信装置102、及び、脅威情報に関する防御等を行うセキュリティアプライアンス103(セキュリティ監視サーバ)の各情報処理装置を備え、これらの間はネットワーク104を介して通信可能に接続される。また、情報管理システム10の間も、ネットワーク105を介して通信可能に接続される。なお、受信装置101と送信装置102は、異なる情報処理装置としてもよいし、一体的な情報処理装置(情報共有管理装置)として構成されてもよい。
【0018】
なお、ネットワーク104、105は、例えば、有線LAN(Local Area Network)、無線LAN、インターネット、又は専用線等である。
【0019】
次に、図2は、受信装置101、送信装置102、及びセキュリティアプライアンス103が備える構成の一例を説明する図である。
まず、受信装置101は、ハードウェアとして、通信IF111(通信インターフェース)、処理装置112、メインメモリ113、記憶装置114、及びこれらを接続する通信路115を備える。
まず、受信装置101は、ハードウェアとして、通信IF111(通信インターフェース)、処理装置112、メインメモリ113、記憶装置114、及びこれらを接続する通信路115を備える。
【0020】
通信IF111は、ネットワークインタフェースカード(Network Interface Card: NIC)、無線通信モジュール、USB(Universal Serial Interface)モジュール、又はシ
リアル通信モジュール等である。処理装置112は、CPU(Central Processing Unit
)、MPU(Micro Processing Unit)、又はGPU(Graphics Processing Unit)等で
ある。メインメモリ113は、ROM(Read Only Memory)、又はRAM(Random Access Memory)等の半導体記憶装置である。記憶装置114は、ハードディスクドライブ(Hard Disk Drive)、フラッシュメモリ(Flash Memory)、又はSSD(Solid State Drive)等の磁気記憶装置又は半導体記憶装置等である。通信路115は、例えば、バスやケーブルなどの情報伝達媒体である。
リアル通信モジュール等である。処理装置112は、CPU(Central Processing Unit
)、MPU(Micro Processing Unit)、又はGPU(Graphics Processing Unit)等で
ある。メインメモリ113は、ROM(Read Only Memory)、又はRAM(Random Access Memory)等の半導体記憶装置である。記憶装置114は、ハードディスクドライブ(Hard Disk Drive)、フラッシュメモリ(Flash Memory)、又はSSD(Solid State Drive)等の磁気記憶装置又は半導体記憶装置等である。通信路115は、例えば、バスやケーブルなどの情報伝達媒体である。
【0021】
受信装置101は、データ処理部121、信頼度更新部122、アクセスコントロールリスト更新部123、対応処理設定部124、及び表示部125の各機能部(プログラム)を備える。
【0022】
データ処理部121は、複数の他組織の送信装置102から得られたデータを処理又は統合し、後述する統合テーブル131を作成又は更新するプログラムである。
【0023】
信頼度更新部122は、セキュリティアプライアンス103を運用した結果得られた判定結果と、後述する統合テーブル131を用いて、後述する信頼度テーブル133を作成又は更新するプログラムである。
【0024】
アクセスコントロールリスト更新部123は、後述する信頼度テーブル133を用いて、後述するアクセスコントロールリストテーブル162を作成又は更新するプログラムである。
【0025】
対応処理設定部124は、後述する統合テーブル131を用いて、セキュリティアプライアンスの設定を行うプログラムである。
【0026】
表示部125は、後述する画面表示及び当該画面に対する入力の処理等を行うプログラムである。
【0027】
また、受信装置101は、統合テーブル131、判定結果テーブル132、及び信頼度テーブル133の各データを記憶する。
【0028】
統合テーブル131は、他の情報管理システム10から取得した脅威情報(具体的には、後述する脅威情報テーブル163)を統合した情報を記憶する。
【0029】
判定結果テーブル132は、統合テーブル131の各脅威情報が示す脅威が実際に脅威であったか否か(脅威情報が実際に不正の存在を示す情報であるか否か。以下、真陽性という。)に関する情報を記憶する。
【0030】
信頼度テーブル133は、自組織の他組織に対する信頼性の高さ(以下、信頼度という)に関する情報を記憶する。統合テーブル131、判定結果テーブル132、及び信頼度テーブル133の詳細は後述する。
【0031】
なお、詳細は後述するが、自組織の他組織に対する信頼度は、当該他組織から自組織に提供された情報が有益だった場合にその値が上昇し、当該情報が誤った情報であった場合にその値が下降するパラメータである。信頼度は、自組織から他組織に提供する情報の範囲を決める際に用いられる。すなわち、自組織は、信頼度の高い他組織に対してはより多くの情報をより簡単な方法で提供し、信頼度の低い他組織に対してはより少ない情報を、暗号化や匿名化等の加工処理を用いたより複雑な方法で提供する。また、信頼度は、セキュリティアプライアンス103が行う処理内容を設定するためにも利用される。すなわち、情報管理システム10は、他組織から提供された脅威情報の信頼度が高かった場合には、その他組織を信頼し、その脅威情報に対しては通信の遮断やデータ削除といったセキュリティレベルの高い設定を行う。他方、情報管理システム10は、他組織から提供された脅威情報の信頼度が低かった場合には、その他組織を信頼せず(当該他組織は誤検知が多いとみなし)、その信頼度に応じたセキュリティレベルの低い設定、例えば脅威の検知の実行の設定を行う。
【0032】
受信装置101の以上の機能は、受信装置101のハードウェアによって、又は、処理装置112がメインメモリ113若しくは記憶装置114に格納されているプログラムを読み出して実行することにより実現される。また上記のプログラムやデータの一部または全ては、例えば、非一時的な記憶装置を備えた他の装置からネットワーク104を介して、又は、読み取り可能な非一時的記録媒体から、メインメモリ113若しくは記憶装置114に格納することができる。
【0033】
次に、送信装置102は、受信装置101の通信IF141、処理装置142、メイン
メモリ143、記憶装置144、及びこれらを接続する通信路145をそれぞれハードウェアとして備える。また、送信装置102は、入出力IF146を備える。入出力IF146は、キーボード、ディスプレイなどの入出力を行うための入出力装置147と接続され、入出力装置147とのデータの入出力を仲介する。
メモリ143、記憶装置144、及びこれらを接続する通信路145をそれぞれハードウェアとして備える。また、送信装置102は、入出力IF146を備える。入出力IF146は、キーボード、ディスプレイなどの入出力を行うための入出力装置147と接続され、入出力装置147とのデータの入出力を仲介する。
【0034】
そして、送信装置102は、アクセス制御部151及び表示部152の各機能部(プログラム)を備える。アクセス制御部151は、他の情報管理システム10の受信装置101からデータ取得要求を受信した場合に、後述するアクセスコントロールリストテーブル162が示すポリシーに従った処理を行う。
【0035】
表示部152は、後述する画面表示及び当該画面に対する入力の処理等を行うプログラムである。
【0036】
また、送信装置102は、機密度テーブル161、アクセスコントロールリストテーブル162、及び脅威情報テーブル163の各データを記憶している。
【0037】
(機密度テーブル)
図3は、機密度テーブル161の一例を示す図である。機密度テーブル161は、レコードのID301、自組織が管理又は保有する保有データの名称が設定されるデータ名302、及び、データ名302に係るデータの機密度が設定される機密度303の各データ項目を有する。なお、機密度303は、管理者が手動で設定してもよいし、例えば保有データが個人情報を含む場合は機密度を高くする等、保有データの内容に基づき自動的に設定されてもよい。機密度テーブル161は、後述するアクセスコントロールリストテーブル162を生成及び更新する処理で利用される。
図3は、機密度テーブル161の一例を示す図である。機密度テーブル161は、レコードのID301、自組織が管理又は保有する保有データの名称が設定されるデータ名302、及び、データ名302に係るデータの機密度が設定される機密度303の各データ項目を有する。なお、機密度303は、管理者が手動で設定してもよいし、例えば保有データが個人情報を含む場合は機密度を高くする等、保有データの内容に基づき自動的に設定されてもよい。機密度テーブル161は、後述するアクセスコントロールリストテーブル162を生成及び更新する処理で利用される。
【0038】
(アクセスコントロールリストテーブル)
図4は、アクセスコントロールリストテーブル162の一例を示す図である。アクセスコントロールリストテーブル162は、自組織が他の各組織1621に自組織の脅威情報に関する各保有データ1622を提供する場合の、その情報提供方法1623を記憶している。この情報提供方法1623は、脅威情報を提供する内容及び範囲の情報である。
図4は、アクセスコントロールリストテーブル162の一例を示す図である。アクセスコントロールリストテーブル162は、自組織が他の各組織1621に自組織の脅威情報に関する各保有データ1622を提供する場合の、その情報提供方法1623を記憶している。この情報提供方法1623は、脅威情報を提供する内容及び範囲の情報である。
【0039】
例えば、同図に示すように、自組織が「組織B」に脅威に関する「マルウェアデータ」を提供する場合には、生データ(加工しないデータ)であるマルウェア検体を共有する(生データ共有1623a)。自組織が「組織C」に脅威に関する「マルウェアデータ」を提供する場合には、生データをハッシュ化、暗号化又は匿名化等により加工し、その加工したデータを共有する(暗号化共有1623b)。一方、「組織C」に「不審接続先リスト」を提供する場合には、「組織A」が「組織C」から問い合わせを受けた不審な接続先リスト等の脅威情報と、「組織A」が保有する不審な接続先リストとの共通のデータのみを提供する(共通部分のみ共有1623c)。
【0040】
また、情報提供方法1623における「判定結果のみ共有」は、自組織の保有データを用いた所定処理を行った上で、その処理結果のみを他組織に提供することを示す(判定結果のみ共有1623d)。同図の例では、自組織は自組織の「Webアクセスログ」に基づきWebアクセス傾向モデルを作成し、その結果得られたアクセスログの傾向と、他組織「組織C」が提示した「Webアクセスログ」との乖離度を算出する処理を行う。自組織は、「組織C」にその乖離度のみを提供する。
【0041】
なお、アクセスコントロールリストテーブル162は、管理者が機密度テーブル161の内容を参照しつつ設定してもよいし、自動的にその内容が設定されてもよい。その場合は、例えば、情報提供方法1623に設定しうる各情報について予めセキュリティレベル
を設定し(例えば、生データ共有、共通部分のみ共有、暗号化共有、判定結果のみ共有、非共有の順にセキュリティレベルを高くする)。
を設定し(例えば、生データ共有、共通部分のみ共有、暗号化共有、判定結果のみ共有、非共有の順にセキュリティレベルを高くする)。
【0042】
(脅威情報テーブル)
図5は、脅威情報テーブル163の一例を示す図である。脅威情報テーブル163は、組織(情報管理システム10)が保有する、当該組織が検知した脅威情報と、その組織が、その脅威情報が脅威(サイバー攻撃)の事実を実際示しているかの確信の程度に関する情報(以下、確信度という)とを記憶している。
図5は、脅威情報テーブル163の一例を示す図である。脅威情報テーブル163は、組織(情報管理システム10)が保有する、当該組織が検知した脅威情報と、その組織が、その脅威情報が脅威(サイバー攻撃)の事実を実際示しているかの確信の程度に関する情報(以下、確信度という)とを記憶している。
【0043】
脅威情報テーブル163は、レコードのID501、情報管理システム10が検知した脅威情報が設定される脅威の痕跡502、及び、その脅威情報に対する確信度が設定される確信度503の各データ項目を有する。
【0044】
脅威の痕跡502には、本実施形態では、サイバー攻撃が行われたと疑わせるデータ又はそのデータが存在する場所が設定される。脅威の痕跡502には、例えば、IoC(Indicator of Compromise)等が設定される。具体的には、脅威の痕跡502には、不審な
接続先ドメイン、IPアドレス、URL(Uniform Resource Locator)、攻撃によって変更されるレジストリ、使用されるプロセスの名称、eメールの情報等である。なお、脅威の痕跡502には、脅威の根拠を示す情報であれば、その他の情報が設定されてもよい。また、確信度503には、ユーザが確信度の値を設定してもよいし、自動的に設定されても良い。
接続先ドメイン、IPアドレス、URL(Uniform Resource Locator)、攻撃によって変更されるレジストリ、使用されるプロセスの名称、eメールの情報等である。なお、脅威の痕跡502には、脅威の根拠を示す情報であれば、その他の情報が設定されてもよい。また、確信度503には、ユーザが確信度の値を設定してもよいし、自動的に設定されても良い。
【0045】
送信装置102の以上の機能は、送信装置102のハードウェアによって、又は、処理装置142がメインメモリ143若しくは記憶装置144に格納されているプログラムを読み出して実行することにより実現される。また上記のプログラムやデータの一部又は全ては、例えば、非一時的な記憶装置を備えた他の装置からネットワーク104を介して、又は、読み取り可能な非一時的記録媒体から、メインメモリ143若しくは記憶装置144に格納することができる。
【0046】
なお、ここで説明した受信装置101と送信装置102は、異なる情報処理装置としてもよいし、一体的に構成されてもよい。
【0047】
次に、セキュリティアプライアンス103は、サイバー攻撃に対する対応処理を行う。例えば、セキュリティアプライアンス103は、FW(Fire Wall)やIPS(Intrusion
Prevent System)、EDR(Endpoint Detection and Response)といった、規定されていない通信及び危険な通信の遮断や、不審なプロセスの停止を行う。また、セキュリティアプライアンス103は、IDS(Intrusion Detection System)やSIEM(Security
Information Event Management)といった、規定されていない通信及び危険な通信、並
びに不審なプロセスを検知する。
Prevent System)、EDR(Endpoint Detection and Response)といった、規定されていない通信及び危険な通信の遮断や、不審なプロセスの停止を行う。また、セキュリティアプライアンス103は、IDS(Intrusion Detection System)やSIEM(Security
Information Event Management)といった、規定されていない通信及び危険な通信、並
びに不審なプロセスを検知する。
【0048】
セキュリティアプライアンス103は、後述する統合テーブル131、信頼度テーブル133、又は予め定めた閾値に基づき、脅威に対する対応処理を行う。例えば、セキュリティアプライアンス103は、特定のドメインへの接続を遮断若しくは検知し、又は特定のプロセスを停止若しくは検知する。そして、セキュリティアプライアンス103は、それらの結果を記憶する。これらの結果は、後述する判定結果テーブル132の作成及び更新に利用される。
次に、情報共有システム1で行われる処理について説明する。
次に、情報共有システム1で行われる処理について説明する。
【0049】
<処理の概要>
図6は、情報共有システム1で行われる脅威情報共有処理の概要を説明するシーケンス
図である。脅威情報共有処理は、例えば、ユーザから指定されたタイミング、又は所定のタイミング(例えば、所定の時間間隔、所定の時刻)に開始される。
図6は、情報共有システム1で行われる脅威情報共有処理の概要を説明するシーケンス
図である。脅威情報共有処理は、例えば、ユーザから指定されたタイミング、又は所定のタイミング(例えば、所定の時間間隔、所定の時刻)に開始される。
【0050】
まず、各組織の受信装置101は、他の各組織の送信装置102に対し、脅威情報の提供を要求する(S901:S902~S904)。
【0051】
すなわち、各組織の受信装置101は、他の各組織の送信装置102に、脅威情報のデータ取得要求を送信する。(S902)。
【0052】
データ取得要求には、例えば、取得を要求するデータの内容及び/又はデータの提供方法に関する指定が含まれる。指定がデータの内容の場合は、例えば、不審接続先リストの指定である。指定がデータの提供方法の場合は、例えば、「共通部分のみ共有」である。この場合は、データ取得要求に、共通部分を特定するための情報(例えば、接続先リスト)を含めてもよい。
【0053】
各組織の送信装置102のアクセス制御部151は、データ取得要求を受信すると、アクセスコントロールリストテーブル162を参照し、受信したデータ取得要求が示すデータの開示内容を決定する(S903)。具体的には、アクセス制御部151は、受信したデータ取得要求が示すデータ内容及びデータ提供方法により特定される脅威情報を、アクセスコントロールリストテーブル162から検索する。
【0054】
データの開示を行う場合は、各送信装置102は、S903で決定した開示内容のデータ(脅威情報及びその確信度)を脅威情報テーブル163から取得し、取得したデータを、アクセスコントロールリストテーブル162が示す方法により、データ取得要求の送信元の受信装置101に送信する(S904)。
【0055】
その後、各組織の受信装置101のデータ処理部121は、S904で受信した各組織のデータを統合することで、統合テーブル131の作成又は更新を行う(S905)。
【0056】
(統合テーブル)
図7は、統合テーブル131のデータ内容の一例を示す図である。統合テーブル131は、複数の他組織から受信した脅威情報テーブル163の情報を結合したテーブルである。
図7は、統合テーブル131のデータ内容の一例を示す図である。統合テーブル131は、複数の他組織から受信した脅威情報テーブル163の情報を結合したテーブルである。
【0057】
統合テーブル131は、各組織が、各脅威情報1311に関して、その脅威情報の痕跡があるか否かを示す情報である痕跡情報1312と、その脅威情報に対する確信度1313とを記憶している。脅威情報があるか否かの痕跡情報1312に関しては、例えば、脅威情報がある場合は1が、脅威情報がない場合は0が設定される。
【0058】
同図の例では、自組織である「組織A」の受信装置101に対して、「組織B」の送信装置102が「aaa.com」、「bbb.com」、「ccc.com」の脅威情報を送信し、「組織C」の送信装置102が「bbb.com」、「ccc.com」、「ddd.com」の脅威情報を送信した場合を示している。
【0059】
続いて、図6に示すように、各組織の受信装置101の対応処理設定部124は、S905で生成した統合テーブル131を参照し、セキュリティアプライアンスの設定を生成するセキュリティアプライアンス設定処理を実行する(S906)。セキュリティアプライアンス設定処理S906の詳細は後述する。
【0060】
そして、各組織の受信装置101の対応処理設定部124は、セキュリティアプライア
ンス103に対して、セキュリティアプライアンスの設定の指示情報を送信する(S907)。
ンス103に対して、セキュリティアプライアンスの設定の指示情報を送信する(S907)。
【0061】
指示情報を受信したセキュリティアプライアンス103は、指示情報が示す条件に従い脅威情報に対する対応処理(モニタリング等)を行う(S908)。
【0062】
モニタリングの例としては、例えば、セキュリティアプライアンス103は、不審な接続先ドメインである「aaa.com」の検知を行う。セキュリティアプライアンス103は、外部の装置からの「aaa.com」への接続を所定期間検知できなかった場合には、実際には脅威が存在しないと記憶し、これを判定結果とする。一方、セキュリティアプライアンス103は、外部の装置からの「aaa.com」への接続を検知した場合は、この接続は不審な接続である(実際に脅威である)と記憶し、これを判定結果とする。この際、セキュリティアプライアンス103は、「aaa.com」への接続が実際にサイバー攻撃に関する脅威であるか、又は通常の処理(すなわち、誤検知)であるかの判定を行う。なお、セキュリティアプライアンス103は、実際のセキュリティオペレーションの結果ではなく、予め用意した検知されるべき悪性データと、検知されるべきではない良性データとを、上記外部からの接続との比較データとして用いることで、判定結果を得てもよい。
【0063】
セキュリティアプライアンス103は、S908のモニタリングの結果得られた判定結果を、指示情報の送信元の受信装置101に送信する(S909)。そして、受信装置101は、受信した判定結果を判定結果テーブル132に記録する。
【0064】
(判定結果テーブル)
図8は、判定結果テーブル132の一例を示す図である。判定結果テーブル132は、レコードのID701、脅威情報が設定される脅威の痕跡702、及び、その脅威情報が示す脅威が実際に脅威(サイバー攻撃等の不正な情報処理)であったか否かを示す真陽性の情報が設定される真陽性703の各データ項目を有する。
図8は、判定結果テーブル132の一例を示す図である。判定結果テーブル132は、レコードのID701、脅威情報が設定される脅威の痕跡702、及び、その脅威情報が示す脅威が実際に脅威(サイバー攻撃等の不正な情報処理)であったか否かを示す真陽性の情報が設定される真陽性703の各データ項目を有する。
【0065】
脅威の痕跡702には、統合テーブル131に記録されている脅威情報のうち、セキュリティアプライアンス103によって検知されたものが格納される。また、真陽性703には、セキュリティアプライアンス103による検知結果に基づき真陽性の情報が設定される。すなわち、検知の結果が実際に脅威であった場合には「1」が設定され、検知の結果が実際には脅威でなかった場合には「0」が設定される。
【0066】
続いて、図6に示すように、各組織の受信装置101の信頼度更新部122は、セキュリティアプライアンス103から取得した判定結果に基づき、信頼度テーブル133を作成又は更新する信頼度テーブル更新処理を行う(S910)。この信頼度テーブル更新処理S910において信頼度更新部122は、S909で生成した判定結果テーブル132に基づき、信頼度テーブル133を作成又は更新する。信頼度テーブル更新処理S910の詳細は後述する。
【0067】
(信頼度テーブル)
図9は、信頼度テーブル133の一例を示す図である。信頼度テーブル133は、各レコードのID801、信頼度の対象となる組織の情報が設定される組織名802、組織名802に係る組織から提供された脅威情報の正確性の程度に関する情報(以下、正誤スコアという)が設定される正誤スコア803、及び、自組織の、組織名802に係る他組織に対する信頼度が設定される信頼度804の各データ項目を有する。信頼度804には、正誤スコア803を正規化した値が設定される。なお、正誤スコアの値が0未満の場合は、正誤スコア803のデータ項目には0が設定されるようにしてもよい。
図9は、信頼度テーブル133の一例を示す図である。信頼度テーブル133は、各レコードのID801、信頼度の対象となる組織の情報が設定される組織名802、組織名802に係る組織から提供された脅威情報の正確性の程度に関する情報(以下、正誤スコアという)が設定される正誤スコア803、及び、自組織の、組織名802に係る他組織に対する信頼度が設定される信頼度804の各データ項目を有する。信頼度804には、正誤スコア803を正規化した値が設定される。なお、正誤スコアの値が0未満の場合は、正誤スコア803のデータ項目には0が設定されるようにしてもよい。
【0068】
また、図6に示すように、各組織の受信装置101のアクセスコントロールリスト更新部123は、機密度テーブル161、及び信頼度テーブル133に基づき、当該各組織の送信装置102のアクセスコントロールリストテーブル162を更新する(S911)。
【0069】
例えば、アクセスコントロールリスト更新部123は、機密度テーブル162、及び信頼度テーブル133の内容を表示し、ユーザから、アクセスコントロールリストテーブル162の修正を受け付ける。
【0070】
また、アクセスコントロールリスト更新部123は、アクセスコントロールリストテーブル162を自動的に修正してもよい。例えば、アクセスコントロールリスト更新部123は、各他組織に対する信頼度と、自組織の機密度(機密度テーブル161に格納されている機密度)とを当該各他組織について乗算することにより情報共有範囲の広さ又は内容のレベル(機密度等)を示す指標値を算出する。アクセスコントロールリスト更新部123は、この指標値と、情報提供方法1623に設定しうる各情報(例えば、生データ共有、共通部分のみ共有、暗号化共有、判定結果のみ共有、非共有)に対応づけられたセキュリティ値とを比較することで、指標値に対応するセキュリティ値を有する情報提供方法1623の内容を特定する。
【0071】
なお、ここで説明した算出方法は一例であり、アクセスコントロールリスト更新部123は、機密度テーブル161が示す機密度及び信頼度テーブル133が示す信頼度に基づき、適切な範囲及び内容の情報提供情報を有するアクセスコントロールリストテーブル162を更新することができる。
以上で脅威情報共有処理は終了する。
以上で脅威情報共有処理は終了する。
【0072】
<セキュリティアプライアンス設定処理>
図10は、セキュリティアプライアンス設定処理S906の詳細を説明するフロー図である。
図10は、セキュリティアプライアンス設定処理S906の詳細を説明するフロー図である。
【0073】
対応処理設定部124は、統合テーブル131に設定されているそれぞれの脅威情報に対して、S1002~S1005を繰り返す。
【0074】
すなわち、まず、対応処理設定部124は、統合テーブル131に格納されている脅威情報の一つを選択し(具体的には、統合テーブル131から一つのレコードを選択し)、選択した脅威情報(以下、選択脅威情報という)に対する、各組織の確信度及び各組織への信頼度を取得する。対応処理設定部124は、取得した各組織の確信度及び各組織への信頼度に基づき、選択脅威情報が示す脅威の大きさを示すパラメータである脅威度(脅威情報に対する信頼度。以下、信用度ともいう。)を算出する(S1002)。本実施形態では、対応処理設定部124は、以下の加重平均を用いた式により脅威度(信用度)を算出する。
【数1】
【0075】
ここで、Eiは(他の)組織iの痕跡情報(痕跡があった場合は1、痕跡がなかった場
合は0)、Ciは(他の)組織iが有する確信度、Tiは(他の)組織iに対する信頼度である。
合は0)、Ciは(他の)組織iが有する確信度、Tiは(他の)組織iに対する信頼度である。
【0076】
【0077】
なお、ここでは、信頼度Tを重みとした加重平均により脅威度(信用度)を算出したが、その他の方法でもよい。
【0078】
対応処理設定部124は、S1002で算出した脅威度が、予め定めた閾値を超えているか否かを判定する(S1003)。脅威度が閾値以下である場合(S1003:No)には、対応処理設定部124はS1005の処理を実行する。一方、脅威度が閾値を超える場合(S1003:Yes)には、対応処理設定部124はS1004の処理を実行する。
【0079】
S1004において対応処理設定部124は、選択脅威情報が示す場所へのアクセスを防止するための、セキュリティアプライアンス103に対する設定を追加する。なお、対応処理設定部124は、この際、この設定の追加を行うか否かをユーザに確認させるようにしてもよい。
【0080】
例えば、対応処理設定部124は、選択脅威情報が「不審な接続先ドメイン」の場合は、当該接続先ドメインへのアクセスを遮断する設定情報を生成する。また、対応処理設定部124は、選択脅威情報が「不審なファイル名」の場合は、当該ファイルを削除する設定情報を生成する。その後は、S1005の処理が行われる。
【0081】
S1005において対応処理設定部124は、選択脅威情報が示す場所へのアクセスを検知する設定をセキュリティアプライアンス103に対して行う。
【0082】
対応処理設定部124は、以上の処理を、統合テーブル131に設定されている全ての脅威情報について繰り返す(S1006)。
【0083】
なお、以上の例では、対応処理設定部124は、脅威情報に対する防止及び検知の対応処理を説明したが(S1004、S1005)、その他の任意の対応処理(通知、ログの出力)等を行ってもよい。
【0084】
<信頼度更新処理>
図11は、信頼度更新処理S910の一例を説明するフロー図である。
図11は、信頼度更新処理S910の一例を説明するフロー図である。
【0085】
信頼度更新部122は、判定結果テーブル132に記録されている脅威情報のうち、信頼度を算出していない脅威情報を一つ選択する(S1101)。
【0086】
また、信頼度更新部122は、統合テーブル132に記録されている各組織のうち一つを選択する(S1102)。
【0087】
信頼度更新部122は、S1102で選択した組織(以下、選択組織という)が、S1101で選択した脅威情報(以下、選択脅威情報という)が示す脅威を受けた可能性があるか否かを判定する(S1103)。具体的には、信頼度更新部122は、統合テーブル131のうち、選択脅威情報に係るレコードの、選択組織に係るデータ項目の痕跡情報1312の値が1又は0であるかを確認する。
【0088】
選択組織が、選択脅威情報が示す脅威を受けた可能性がない場合は(S1103:Yes)、信頼度更新部122は、S1107の処理を実行し、選択組織が、選択脅威情報が示す脅威を受けた可能性がある場合は(S1103:No)、信頼度更新部122は、S1104の処理を実行する。
【0089】
S1104において信頼度更新部122は、選択組織が、選択脅威情報が示す脅威を不正な情報処理として実際に受けたか否かを確認する。具体的には、信頼度更新部122は、選択脅威情報に係るレコードの真陽性703が1又は0であるかを確認する。
【0090】
選択組織が、選択脅威情報が示す脅威を不正な情報処理として実際に受けた場合は(S1104:Yes)、信頼度更新部122は、S1105の処理を実行し、選択組織が、選択脅威情報が示す脅威を不正な情報処理として実際に受けていない場合は(S1104:No)、信頼度更新部122は、S1106の処理を実行する。
【0091】
S1105において信頼度更新部122は、選択脅威情報に関する選択組織の正誤スコアを算出又は更新する。具体的には、信頼度更新部122は、統合テーブル131の選択脅威情報に係るレコードの脅威情報1311と選択組織の確信度との積を計算し、その値を、選択組織の現在の正誤スコアに加算する。なお、信頼度更新部122は、選択脅威情報が示す脅威の深刻度を上記積に対してさらに乗算してもよい。
その後はS1107の処理が行われる。
その後はS1107の処理が行われる。
【0092】
S1106において信頼度更新部122は、選択脅威情報に関する選択組織の正誤スコアを算出又は更新する。具体的には、信頼度更新部122は、統合テーブル131の選択脅威情報に係るレコードの脅威情報1311と選択組織の確信度との積を計算し、その値を、選択組織の現在の正誤スコアから減算する。その後はS1107の処理が行われる。
【0093】
信頼度更新部122は、S1102~S1106までの処理を、選択脅威情報について、全ての組織について繰り返す(S1107)。
【0094】
また、信頼度更新部122は、S1101~S1107までの処理を、全ての脅威情報について繰り返す(S1108)。
【0095】
信頼度更新部122は、S1101~S1108までの処理により算出された各他組織の正誤スコアを、全組織の正誤スコアの合計値で除算することで、各他組織の信頼度を算出する。信頼度更新部122は、算出した各信頼度の値を信頼度テーブル133の各組織に係るレコードの信頼度804に設定することにより、信頼度テーブル133を更新する(S1109)。
【0096】
ここで、図8、図9の例に基づき信頼度の計算の具体例を示す。まず、S1101で選択脅威情報として「aaa.com」が選択される。次に、S1102で選択組織として「組織B」が選択される。統合テーブル131より、「組織B」が「aaa.com」の脅威の痕跡を有する(S1103:No)ことから、S1104が実行される。判定結果テーブル132が参照され、「aaa.com」に対する真陽性703は1である(S1104:Yes)ことから、統合テーブル131における痕跡情報と確信度の積、すなわち「1×1.0」の結果が、信頼度テーブル133の「組織B」に係るレコードの正誤スコア803の既存値に加算される。次に、S1102で「組織C」が選択される。統合テーブル131より、「組織C」が「aaa.com」の脅威の痕跡を有しない(S1103:Yes)ことから、正誤スコアの更新は行われない。以後、S1101で「bbb.com」、「ccc.com」、及び「ddd.com」が順次選択され、「組織C」の正誤スコアに、0.5及び0.3がそれぞれ加算され、結果的に、図9で示すように、「組織B」の正誤スコアは1.8となる。一方、「組織C」の正誤スコアについては、0.5、0.8がそれぞれ加算され、1.0が減算されるため、結果的に図9で示すように、「組織C」の正誤スコアは0.3となる。「組織B」及び「組織C」以外の正誤スコアの合計が0.4と仮定すると、全組織の正誤スコアの合計値は2.5となる。従って、組織Bの信頼度は、1.8を2.5で除算して0.72となる。また、組織Cの信頼度は、0
.3を2.5で除算して0.12となる。
.3を2.5で除算して0.12となる。
【0097】
次に、情報管理システム10が表示する画面について説明する。なお、以下に説明する各画面は、情報管理システム10のいずれの装置が表示してもよい。
<共有状況情報表示画面>
<共有状況情報表示画面>
【0098】
図12は、自組織が他組織に送信可能な内容及び範囲のデータ(開示可能データ)及び自組織が他組織から受信可能な内容及び範囲のデータ(取得可能データ)を表示する共有状況情報表示画面1201の一例を示す図である。
【0099】
共有状況情報表示画面1201は、開示可能データ表示欄1202及び取得可能データ表示欄1203を有する。
【0100】
開示可能データ表示欄1202には、自組織のアクセスコントロールリストテーブル162の内容が表示される。取得可能データ表示欄1203には、他組織から取得したアクセスコントロールリストテーブル162の内容に基づき、自組織へのデータ開示状態が表示される。
【0101】
共有状況情報表示画面1201により、各組織のユーザは、脅威情報に関する他の組織との情報共有の範囲を容易に確認することが可能となる。
【0102】
<共有状況詳細情報表示画面>
図13は、開示可能データ及び取得可能データの詳細を表示する共有状況詳細情報表示画面1301の一例を示す図である。
図13は、開示可能データ及び取得可能データの詳細を表示する共有状況詳細情報表示画面1301の一例を示す図である。
【0103】
共有状況詳細情報表示画面1301は、情報を表示する組織の選択をユーザから受け付ける組織選択欄1302と、表示するデータを選択するデータ選択欄1303と、分析表示欄1304と、共有履歴表示欄1305とを備える。
【0104】
組織選択欄1302は、共有状況情報表示画面1201の開示可能データ表示欄1202及び取得可能データ表示欄1203に表示されている組織からユーザが組織を選択するための選択欄である。なお、組織選択欄1302は、プルダウン方式により組織を選択する選択欄であってもよい。
【0105】
データ選択欄1303は、各脅威情報からユーザが脅威情報を選択するための選択欄である。なお、データ選択欄1303は、プルダウン方式により脅威情報を選択する選択欄であってもよいし、脅威情報を一覧表示した選択欄であってもよい。
【0106】
分析表示欄1304には、組織選択欄1302及びデータ選択欄1303により特定される脅威情報のアクセスに関する分析結果が表される。例えば、分析表示欄1304には、データ選択欄1303で選択した脅威情報に対して、組織選択欄1302で選択された他組織が自組織にアクセス(データ取得要求の送受信)を行った回数の、日ごとの推移(履歴)が表示される。なお、他組織が自組織にアクセスを行った回数ではなく、自組織が他組織に対して実際に情報提供を行った回数やデータ量を表示してもよい。
【0107】
共有履歴表示欄1305には、データ選択欄1303により特定される脅威情報の、他の組織との共有範囲又は共有内容(非共有、生データ共有、暗号化共有、判定結果のみ共有、等)の推移(履歴)が表示される。
【0108】
なお、共有状況詳細情報表示画面1301には、以上に説明した情報以外の情報が表示
されてもよく、例えば、他組織の自組織に対する信頼度の情報が表示されてもよい。
されてもよく、例えば、他組織の自組織に対する信頼度の情報が表示されてもよい。
【0109】
以上のような共有状況詳細情報表示画面1301により、各組織のユーザは、他組織との情報共有の状況の詳細を知ることができる。
【0110】
[実施例2]
図14は、実施例2に係る情報共有システム2の構成の一例を説明する図である。この情報共有システム2は、実施例1と異なり、実施例1の各情報管理システム10の受信装置101及び送信装置102と同様の構成を備える共有管理装置1402を有する。共有管理装置1402は、実施例1の各情報管理システム10の受信装置101及び送信装置102が行う処理に対応する処理を統括して行う。
図14は、実施例2に係る情報共有システム2の構成の一例を説明する図である。この情報共有システム2は、実施例1と異なり、実施例1の各情報管理システム10の受信装置101及び送信装置102と同様の構成を備える共有管理装置1402を有する。共有管理装置1402は、実施例1の各情報管理システム10の受信装置101及び送信装置102が行う処理に対応する処理を統括して行う。
【0111】
また、この情報共有システム2における各情報管理システム10は、参加者端末1401を備える。参加者端末1401は、受信装置101及び送信装置102が有しない機能を実現する。すなわち、参加者端末1401は、共有管理装置1402に移管しないプログラムの実行及びデータの保管を行う。
以上の構成によっても、実施例1の情報共有システム1と同様の効果を得ることができる。
以上の構成によっても、実施例1の情報共有システム1と同様の効果を得ることができる。
【0112】
以上のように、本実施形態の情報管理システム10は、他者の情報管理システム10からその情報管理システム10が検知した脅威情報を受信すると共に、その他者に対する信頼度を算出し、脅威情報及び信頼度に基づき脅威情報の信用度を算出し、算出した信用度に基づき、脅威情報が示す脅威に対する対応処理(脅威に対する防止措置、検知)を決定し、その結果に基づき信頼度を変更する。
【0113】
すなわち、情報管理システム10は、脅威情報を提供してきた他組織(他者)に対する信頼度に基づき、その脅威情報の信用度を算出して脅威への対処を行うことができる。そして、その結果に基づき他組織への信頼度を変更する。すなわち、情報管理システム10は、他者から提供された脅威情報に対して行った対応処理の結果に応じて、当該他組織にフィードバックを行うことができる。
【0114】
このように、本実施形態の情報管理システム10によれば、他者から得た情報に基づき有効な処理を行う可能性を高めることができる。
【0115】
なお、本実施形態では、複数の情報管理システム10を備える情報共有システム1として構成されていることにより、独立した各組織間で、協働して脅威に対して対抗することができる。
【0116】
すなわち、本実施形態の情報管理システム10は、複数の組織から収集した情報を統合する仕組みを有する。これにより、複数の組織の当該情報に対する判断が区々となり、各情報を有効に活用できないといった従来の問題を解決することができる。例えば、ある脅威に関して、あるWebサイトが不審なサイトであるという情報を提供する組織もあれば、正常なサイトであるという情報を提供する組織もあるが、このような場合に判断が区々となり脅威に対する有効な対処ができないという問題を解決することができる。
【0117】
また、本実施形態の情報管理システム10は、他者(他組織)の情報管理システム10から脅威情報の送信要求を受信した場合に、その他組織に対する信頼度に基づき、その送信要求に対して送信する脅威情報の内容又は範囲を決定し、その脅威情報をその他組織に送信する。
【0118】
このように、他組織に対する信頼度に応じて脅威情報の提供範囲及び内容を変えることで、適切な脅威情報のみを他組織に与えることができる。例えば、有益な脅威情報を提供した、信頼できるような他組織に対しては、より多くの脅威情報を提供することができる。
【0119】
また、本実施形態の情報管理システム10は、他者(他組織)の情報管理システム10から脅威情報の送信要求を受信した場合に、自組織が管理する脅威情報の機密度に基づき、脅威情報の提供範囲及び内容を変えることで、自組織の状況に応じた脅威情報を柔軟に当該他組織に提供することができる。
【0120】
また、本実施形態の情報管理システム10は、他者(他組織)が提供した脅威情報が示す脅威が実際に不正な情報処理である場合(当該情報が不正の存在を示す情報である場合)に、当該他組織に対する信頼度を増加させ、脅威情報が示す脅威が実際には不正な情報処理でない場合に、当該他組織に対する信頼度を減少させる。これにより、客観的かつ公平なフィードバックを他組織に与えることができる。
【0121】
また、本実施形態の情報管理システム10は、他者(他組織)が提供した脅威情報が示す脅威が実際に不正な情報処理であった場合には、その他組織の確信度に応じて信頼度を増加させ、実際には不正な情報処理でなかった場合には、確信度に応じて信頼度を減少させる。このように、他組織の主観的判断に応じて信頼度の増減の程度を変更することで、他組織に効果的なフィードバックを他組織に与えることができる。
【0122】
また、本実施形態の情報管理システム10は、他組織に対する信頼度に応じて、「生データ共有」、「暗号化データ共有」、「判定結果のみ共有」、又は「共通部分のみ共有」といった形態でその他組織への脅威情報の提供を行う。このようにすることで、脅威情報の性質に応じた適切な脅威情報を他組織に提供することができる。
【0123】
また、本実施形態の情報管理システム10は、他組織に対して送信可能な脅威情報の内容又は範囲の情報(提供可能データ)、又は、他組織から受信可能な脅威情報の内容又は範囲の情報(取得可能データ)を表示することで、各組織のユーザは、脅威情報の共有可能範囲を知ることができる。
【0124】
また、本実施形態の情報管理システム10は、脅威情報に関する他の情報管理システム10とのアクセス履歴、又は、これによる脅威情報の共有内容又は範囲の履歴を表示することで、ユーザは、脅威情報の共有の詳細を知ることができる。
【0125】
本発明は上記実施形態に限定されるものではなく、その要旨を逸脱しない範囲内で、任意の構成要素を用いて実施可能である。以上説明した実施形態や変形例はあくまで一例であり、発明の特徴が損なわれない限り、本発明はこれらの内容に限定されるものではない。また、上記では種々の実施形態や変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。
【0126】
例えば、本実施形態で説明した各機能部の構成は一例であり、例えば、ある機能部の一部の機能を他の機能部に設けてもよいし、ある機能部を複数の機能部に分けても良い。複数の機能部を一つの機能部に統合してもよい。一つの装置内の一つ以上の機能部を複数の装置に分散し連携して処理させても良い。
【0127】
また、本実施形態では、情報管理システム10により管理される情報は脅威情報であることを前提としたが、組織間で共有される事業の重要情報といったその他の種類の情報で
もよい。この場合、真陽性の情報は、本実施形態のように情報が実際に不正の存在を示す情報であることではなく、例えば、情報が適切である又は重要であるといったことを示す情報としてもよい。
もよい。この場合、真陽性の情報は、本実施形態のように情報が実際に不正の存在を示す情報であることではなく、例えば、情報が適切である又は重要であるといったことを示す情報としてもよい。
【0128】
または、情報管理システム10により管理される情報は、環境に関する情報など、その他の分野の情報であっても良い。例えば、他組織が有するセンサが検知した情報であっても良い。一つ以上の組織から得たセンサ情報を信頼度に基づき評価して、複数組織から得られた情報であればそれらを統合して対応処理を決定しても良い。
【符号の説明】
【0129】
1 情報共有システム、10 情報管理システム、121 データ処理部、122 信頼度更新部、124 セキュリティアプライアンス設定部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】