知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023176817
(43)【公開日】2023-12-13
(54)【発明の名称】対処支援装置および対処支援方法
(51)【国際特許分類】
G06Q 10/00 20230101AFI20231206BHJP
【FI】
G06Q10/00
【審査請求】未請求
【請求項の数】12
【出願形態】OL
(21)【出願番号】P 2022089309
(22)【出願日】2022-05-31
【国等の委託研究の成果に係る記載事項】(出願人による申告)2018年度、国立研究開発法人新エネルギー・産業技術総合開発機構、「戦略的イノベーション創造プログラム(SIP)第2期/IoT社会に対応したサイバー・フィジカル・セキュリティ/(C2)信頼チェーンの維持技術の研究開発事業」委託研究、産業技術力強化法第17条の適用を受ける特許出願
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110001689
【氏名又は名称】青稜弁理士法人
(72)【発明者】
【氏名】下間 直樹
(72)【発明者】
【氏名】田中 真愉子
(72)【発明者】
【氏名】重本 倫宏
(72)【発明者】
【氏名】川口 信隆
(72)【発明者】
【氏名】西嶋 克哉
【テーマコード(参考)】
5L049
【Fターム(参考)】
5L049AA01
(57)【要約】
【課題】
業務への影響を出来るだけ少なくして、業務の継続と迅速な対処が可能な対処支援技術を実現する。
【解決手段】
監視対象に発生したインシデントの状況に応じて実行される対処の支援を行う対処支援装置は、インシデントが監視対象へ及ぼす影響、および該インシデントへの対処の緊急度を評価するインシデント評価部103と、インシデントへの対処について、業務への影響度、および該インシデントへの有効度を評価する対処評価部104と、インシデント評価部による評価と対処評価部による評価を基に対処の優先順位を判定する優先順位判定部105と、優先順位判定部により判定された対処の優先順位を含む画面を表示する表示部106と、を有する。
【選択図】図1
業務への影響を出来るだけ少なくして、業務の継続と迅速な対処が可能な対処支援技術を実現する。
【解決手段】
監視対象に発生したインシデントの状況に応じて実行される対処の支援を行う対処支援装置は、インシデントが監視対象へ及ぼす影響、および該インシデントへの対処の緊急度を評価するインシデント評価部103と、インシデントへの対処について、業務への影響度、および該インシデントへの有効度を評価する対処評価部104と、インシデント評価部による評価と対処評価部による評価を基に対処の優先順位を判定する優先順位判定部105と、優先順位判定部により判定された対処の優先順位を含む画面を表示する表示部106と、を有する。
【選択図】図1
【特許請求の範囲】
【請求項1】
監視対象に発生したインシデントの状況に応じて実行される対処の支援を行う対処支援装置であって、
インシデントが監視対象へ及ぼす影響、および該インシデントへの対処の緊急度を評価するインシデント評価部と、
インシデントへの対処について、業務への影響度、および該インシデントへの有効度を評価する対処評価部と、
前記インシデント評価部による評価と、前記対処評価部による評価を基に、対処の優先順位を判定する優先順位判定部と、
前記優先順位判定部により判定された対処の優先順位を含む画面を表示する表示部と、
を有する対処支援装置。
インシデントが監視対象へ及ぼす影響、および該インシデントへの対処の緊急度を評価するインシデント評価部と、
インシデントへの対処について、業務への影響度、および該インシデントへの有効度を評価する対処評価部と、
前記インシデント評価部による評価と、前記対処評価部による評価を基に、対処の優先順位を判定する優先順位判定部と、
前記優先順位判定部により判定された対処の優先順位を含む画面を表示する表示部と、
を有する対処支援装置。
【請求項2】
前記監視対象は、複数の装置が稼働して業務が行われるシステム(監視対象システム)であり、
前記監視対象システムのシステム状態情報を取得する取得部を有し、
前記取得部は、前記インシデント評価部と、前記対処評価部と、前記優先順位判定部が実行している期間に前記システム状態情報を取得し続けて、
前記インシデント評価部および前記対処評価部は、前記取得部により取得された前記システム状態情報に含まれる稼働中の業務を考慮して、それぞれ評価する
請求項1記載の対処支援装置。
前記監視対象システムのシステム状態情報を取得する取得部を有し、
前記取得部は、前記インシデント評価部と、前記対処評価部と、前記優先順位判定部が実行している期間に前記システム状態情報を取得し続けて、
前記インシデント評価部および前記対処評価部は、前記取得部により取得された前記システム状態情報に含まれる稼働中の業務を考慮して、それぞれ評価する
請求項1記載の対処支援装置。
【請求項3】
前記監視対象は、複数の装置が稼働して業務が行われるシステム(監視対象システム)であり、
該監視対象システムを構成する各装置に関する情報および該監視対象システムで実行される業務の情報と、監視装置が検知したインシデントの脅威情報と、対処の内容に関する情報を予め保管する記憶部を有し、
前記インシデント評価部と、前記対処評価部と、前記優先順位判定部は、前記記憶部に保管された前記情報を用いて、評価および判定を行う
請求項1記載の対処支援装置。
該監視対象システムを構成する各装置に関する情報および該監視対象システムで実行される業務の情報と、監視装置が検知したインシデントの脅威情報と、対処の内容に関する情報を予め保管する記憶部を有し、
前記インシデント評価部と、前記対処評価部と、前記優先順位判定部は、前記記憶部に保管された前記情報を用いて、評価および判定を行う
請求項1記載の対処支援装置。
【請求項4】
前記記憶部は、
監視対象システムを構成する各装置に関する情報を管理する装置情報テーブルと、
監視対象システムで実行される業務の情報を管理する業務情報テーブルと、
監視装置が検知したインシデントの脅威情報を管理する脅威情報テーブルと、
対処の内容を管理する対処情報テーブルと、を保管し、
前記インシデント評価部と、前記対処評価部と、前記優先順位判定部は、前記各情報テーブルを参照して、評価および判定を行う
請求項3記載の対処支援装置。
監視対象システムを構成する各装置に関する情報を管理する装置情報テーブルと、
監視対象システムで実行される業務の情報を管理する業務情報テーブルと、
監視装置が検知したインシデントの脅威情報を管理する脅威情報テーブルと、
対処の内容を管理する対処情報テーブルと、を保管し、
前記インシデント評価部と、前記対処評価部と、前記優先順位判定部は、前記各情報テーブルを参照して、評価および判定を行う
請求項3記載の対処支援装置。
【請求項5】
前記表示部は、
オペレータが対処を選択することができる対処選択欄と、インシデントへの対処を一覧表示する対処一覧と、対処の優先順位を示す優先順位と、対処の優先順位付けの観点とその適用を選択する評価観点とを含む画面を表示する、
請求項1記載の対処支援装置。
オペレータが対処を選択することができる対処選択欄と、インシデントへの対処を一覧表示する対処一覧と、対処の優先順位を示す優先順位と、対処の優先順位付けの観点とその適用を選択する評価観点とを含む画面を表示する、
請求項1記載の対処支援装置。
【請求項6】
前記画面は、オペレータにより操作される対処指示ボタンを有し、
オペレータが、前記対処選択欄における対処を選択して、前記前記対処指示ボタンを操作したときに、対処指示部が、選択された前記対処を対処実行装置へ送信する
請求項5記載の対処支援装置。
オペレータが、前記対処選択欄における対処を選択して、前記前記対処指示ボタンを操作したときに、対処指示部が、選択された前記対処を対処実行装置へ送信する
請求項5記載の対処支援装置。
【請求項7】
前記画面は、リアルタイムで優先順位付けが変動する際に対処一覧の内容を再読み込みして表示する更新ボタンを有し、
前記表示部は、オペレータが前記更新ボタンを操作したときまたは一定時間毎に自動で前記対処一覧を含む画面を表示する、
請求項6記載の対処支援装置。
前記表示部は、オペレータが前記更新ボタンを操作したときまたは一定時間毎に自動で前記対処一覧を含む画面を表示する、
請求項6記載の対処支援装置。
【請求項8】
監視対象に発生したインシデントの状況に応じて、コンピュータにより実行される対処の支援を行う対処支援方法であって、
インシデントが監視対象へ及ぼす影響、および該インシデントへの対処の緊急度を評価するインシデント評価ステップと、
インシデントへの対処について、業務への影響度、および該インシデントへの有効度を評価する対処評価ステップと、
前記インシデント評価ステップによる評価と、前記対処評価ステップによる評価を基に、対処の優先順位を判定する優先順位判定ステップと、
前記優先順位判定ステップにより判定された対処の優先順位を含む画面を表示部に表示する表示ステップと、
を有する対処支援装置。
インシデントが監視対象へ及ぼす影響、および該インシデントへの対処の緊急度を評価するインシデント評価ステップと、
インシデントへの対処について、業務への影響度、および該インシデントへの有効度を評価する対処評価ステップと、
前記インシデント評価ステップによる評価と、前記対処評価ステップによる評価を基に、対処の優先順位を判定する優先順位判定ステップと、
前記優先順位判定ステップにより判定された対処の優先順位を含む画面を表示部に表示する表示ステップと、
を有する対処支援装置。
【請求項9】
前記監視対象は、複数の装置が稼働して業務が行われるシステム(監視対象システム)であり、
前記監視対象システムのシステム状態情報を取得する取得ステップを有し、
前記取得ステップは、前記インシデント評価ステップと、前記対処評価ステップと、前記優先順位判定ステップが実行している期間に前記システム状態情報を取得し続けて、
前記インシデント評価ステップおよび前記対処評価ステップは、前記取得ステップにより取得された前記システム状態情報に含まれる稼働中の業務を考慮して、それぞれ評価する
請求項8記載の対処支援方法。
前記監視対象システムのシステム状態情報を取得する取得ステップを有し、
前記取得ステップは、前記インシデント評価ステップと、前記対処評価ステップと、前記優先順位判定ステップが実行している期間に前記システム状態情報を取得し続けて、
前記インシデント評価ステップおよび前記対処評価ステップは、前記取得ステップにより取得された前記システム状態情報に含まれる稼働中の業務を考慮して、それぞれ評価する
請求項8記載の対処支援方法。
【請求項10】
前記監視対象は、複数の装置が稼働して業務が行われるシステム(監視対象システム)であり、
該監視対象システムを構成する各装置に関する情報および該監視対象システムで実行される業務の情報と、監視装置が検知したインシデントの脅威情報と、対処の内容に関する情報を予め記憶部に保管するステップを有し、
前記インシデント評価ステップと、前記対処評価ステップと、前記優先順位判定ステップは、前記記憶部に保管された前記情報を用いて、評価および判定を行う
請求項8記載の対処支援方法。
該監視対象システムを構成する各装置に関する情報および該監視対象システムで実行される業務の情報と、監視装置が検知したインシデントの脅威情報と、対処の内容に関する情報を予め記憶部に保管するステップを有し、
前記インシデント評価ステップと、前記対処評価ステップと、前記優先順位判定ステップは、前記記憶部に保管された前記情報を用いて、評価および判定を行う
請求項8記載の対処支援方法。
【請求項11】
前記表示部は、オペレータが対処を選択することができる対処選択欄と、インシデントへの対処を一覧表示する対処一覧と、対処の優先順位を示す優先順位と、対処の優先順位付けの観点とその適用を選択する評価観点と、オペレータにより操作される対処指示ボタンを有する画面を表示し、
オペレータが、前記対処選択欄における対処を選択して、前記前記対処指示ボタンを操作したときに、対処指示部が、選択された前記対処を対処実行装置へ送信する
請求項8記載の対処支援方法。
オペレータが、前記対処選択欄における対処を選択して、前記前記対処指示ボタンを操作したときに、対処指示部が、選択された前記対処を対処実行装置へ送信する
請求項8記載の対処支援方法。
【請求項12】
一定時間経過後に、前記インシデント評価ステップと、前記対処評価ステップと、前記優先順位判定ステップを繰り返して実行する
請求項11記載の対処支援方法。
請求項11記載の対処支援方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、対処支援装置および対処支援方法に係り、例えばセキュリティ侵害事象等のインシデントに対して迅速に対処することが好適な対処判断の支援に関するものである。
【背景技術】
【0002】
サイバー攻撃により事業の継続性に影響が出る事例が報告されている。例えば、自動車製造業に対するサイバー攻撃では、生産管理システムに影響が及んだためグローバル拠点で生産停止して、生産全面再開まで4日を要した、との事例が報告されている。また、SANSの調査によれば、約6割が一次対処まで6時間以上要していると報告されている。これらの報告から、サイバー攻撃による被害の拡大を抑制し、事業継続性を維持するためには、一次対処時間を短縮することが重要である。
【0003】
対象の装置やシステムにおけるインシデントを監視して、適切に対処する種々の技術が提案されている。例えば、特許文献1には、分類したカテゴリ毎に事象情報に含まれる単語毎の発生頻度を算出し、新たな事象の受け付けに応じて、新たな事象の事象情報に含まれる単語と、算出した単語毎の発生頻度とに基づき、新たな事象が含まれるカテゴリを推定する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2017-97781号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
OT、IoTシステムでは、被害拡大による社会的影響が大きいため、迅速な対処が必要である。さらに、業務の継続性や可用性も考慮して対応することが重要ある。例えば、従来では、異常事象と対処の対応が予め定められるため、異常検知された装置や対処実行する装置の情報処理装置(CPU)リソース等の逼迫などのシステムの稼働状況によっては、業務への影響度が高い割に、実際の対処実行までに時間を要してしまうことがある。
【0006】
特許文献1の技術は、新たな事象の受け付けに応じて、新たな事象の事象情報に含まれる単語と、算出した単語毎の発生頻度とに基づき、新たな事象が含まれるカテゴリを推定しているので、対処が限定的である。このため、業務への影響や、インシデントによるリスク状況やシステムの状態等、状況によって変化するような、インシデント発生時の業務やシステムの状況を反映した対処が難しい。
【0007】
そこで、本発明の目的は、業務への影響が出来るだけ小さく、業務の継続と迅速な対処が可能な対処支援技術を実現することにある。
【課題を解決するための手段】
【0008】
本発明に係る対処支援装置の好ましい一例は、監視対象に発生したインシデントの状況に応じて実行される対処の支援を行う対処支援装置であって、インシデントが監視対象へ及ぼす影響、および該インシデントへの対処の緊急度を評価するインシデント評価部と、インシデントへの対処について、業務への影響度、および該インシデントへの有効度を評価する対処評価部と、前記インシデント評価部による評価と、前記対処評価部による評価を基に、対処の優先順位を判定する優先順位判定部と、前記優先順位判定部により判定された対処の優先順位を含む画面を表示する表示部と、を有する対処支援装置、である。
【0009】
本発明はまた、上記対処支援装置が行う対処支援方法、として把握される。
本発明はまた、コンピュータの実行により上記対処支援装置の機能を実現する対処支援プログラムおよびそれを記憶する媒体、として把握される。
本発明はまた、コンピュータの実行により上記対処支援装置の機能を実現する対処支援プログラムおよびそれを記憶する媒体、として把握される。
【発明の効果】
【0010】
本発明によれば、業務への影響が出来るだけ小さく、業務の継続と迅速な対処が可能な対処支援技術を実現することができる。
【図面の簡単な説明】
【0011】
【図1】一実施例による対処支援装置の例を示す図である。
【図2】対処支援装置のハードウェアの例を示す図である。
【図3】装置情報テーブルの例を示す図である。
【図4】業務情報テーブルの例を示す図である。
【図5】脅威情報テーブルの例を示す図である。
【図6】対処情報テーブルの例を示す図である。
【図7】対処表示画面の例を示す図である。
【図8】対処支援装置の全体処理フローを示す図である。
【図9】対処支援装置の全体処理のシーケンスを示す図である。
【図10】インシデント評価(ステップ805)の詳細な処理フローを示す図である。
【図11】対処評価(ステップ806)の詳細な処理フローを示す図である。
【図12】対処の優先順位判定(ステップ807)の詳細な処理フローを示す図である。
【発明を実施するための形態】
【0012】
以下、図面を参照して、本発明の好ましい実施形態を説明する。
【0013】
図1は、一実施例による対処支援装置を含むシステムの全体の図を示す。
対処支援装置100が、ネットワークを介して、監視対象システム191、監視装置192,対処実行装置193に接続されて、システムを構成する。このシステムにおいて、監視装置192は、監視対象システム191において発生するイベントを監視し、監視したイベントの状況に応じて対処実行装置193が対処を行う。対処支援装置100は、対処実行装置193が実行する対処の支援を行う。
対処支援装置100が、ネットワークを介して、監視対象システム191、監視装置192,対処実行装置193に接続されて、システムを構成する。このシステムにおいて、監視装置192は、監視対象システム191において発生するイベントを監視し、監視したイベントの状況に応じて対処実行装置193が対処を行う。対処支援装置100は、対処実行装置193が実行する対処の支援を行う。
【0014】
まず、これらの装置191~193について簡単に説明しておく。監視対象システム191は、例えば、コンピュータやプリンタ、プロキシやルータなどのIT装置や、温度センサーや加速度センサーなどのIoT装置から構成されるシステムであり、特に可用性が重視される。監視装置192は、監視対象システム191内の各装置のリソースモニター装置やアンチウィルス装置などであり、各装置のCPU使用率や電源の起動有無、ネットワーク応答の有無や、マルウェア感染(インシデント)の有無を監視する。対処実行装置193は、例えばIDS/IPSであり、監視装置192が監視対象システム191における異常を検知した場合、自動またはオペレータからの指示に従って、異常検知箇所がある装置や周辺装置のネットワーク隔離や、マルウェア感染ファイル削除等の処理を実行する。
【0015】
対処支援装置100は、受信部101、システム状態取得部102、インシデント評価部103、対処評価部104、対処の優先順位判定部105、表示部106、対処指示部107、装置情報テーブル110、業務情報テーブル111、脅威テーブル112、対処情報テーブル113、を有して構成される(テーブルを「TB」と図示)。
【0016】
受信部101は種々の情報を受信する。とりわけ本実施例では、監視対象システム191のシステム状態情報や、監視装置192が送信したアラート情報を受信する。アラート情報は、監視対象システム191において例えばマルウェア感染や故障などのインシデントが発生したことを監視装置192が検知した場合に発せられる。システム状態取得部102は、監視対象システム191のシステム状態情報を取得する。システム状態情報は、例えば、監視対象システム191を構成する、リソースとなる装置、そのアドレス、装置における業務の処理状況、等であり、これらの状態情報は対処支援装置100が対処の優先順位を判定するために利用される。インシデント評価部103は、受信部101が受信したアラート情報を基にインシデントが監視対象システム191へ及ぼす影響やインシデント対処の緊急度を判定する。対処評価部104は、インシデントへの各対処について、対処の所要時間や業務への影響度、当該インシデントへの有効度を判定する。優先順位判定部105は、インシデント評価部103による評価結果と、対処評価部104による評価結果を基に、各対処の優先順位を計算する。表示部106は、表示部205(図2)に対する表示情報の処理や画面表示を行う。本実施例では、オペレータによる迅速な対処判断の決定を支援するために、各対処の対処内容や優先順位、優先順位付けの観点の選択項目や、対処の優先順位付け情報の更新ボタン、対処指示ボタン等を含む画面の処理およびその表示制御を行う。対処指示部107は、オペレータが表示部106に表示される画面で決定した対処内容を対処実行装置193へ送信する。
【0017】
上記の各部101~107の機能は、プログラムが図2のCPU201で実行されることで、それぞれ実現される。また、各テーブル110~113は、図2のメモリ202または記憶部203に保管される。各テーブルの構成については、図3~図6を参照して後述する。
【0018】
図2は、対処支援装置100に適用されるコンピュータのハードウェアの構成例を示す。
コンピュータは、処理部201、メモリ202、記憶部203、入力部204、表示部205、通信制御部206が、バス207により接続して構成される。処理部201は、プログラムを実行して、図1に示す各機能部を実現する。メモリ202や記憶部203は、受信部101が取得したデータや、処理部201で使用される種々のデータ、および上記各機能部を実現するプログラムを含む種々のプログラムを記憶する。入力部204は例えばキーボード、マウスなどの情報入力器である。表示部205は例えば液晶ディスプレイ等の表示器である。通信制御部206は、例えば無線ネットワークインターフェース、ネットワークインターフェースカード等と通信を行う通信制御手段である。
コンピュータは、処理部201、メモリ202、記憶部203、入力部204、表示部205、通信制御部206が、バス207により接続して構成される。処理部201は、プログラムを実行して、図1に示す各機能部を実現する。メモリ202や記憶部203は、受信部101が取得したデータや、処理部201で使用される種々のデータ、および上記各機能部を実現するプログラムを含む種々のプログラムを記憶する。入力部204は例えばキーボード、マウスなどの情報入力器である。表示部205は例えば液晶ディスプレイ等の表示器である。通信制御部206は、例えば無線ネットワークインターフェース、ネットワークインターフェースカード等と通信を行う通信制御手段である。
【0019】
【0020】
図3は、装置情報テーブル110の例を示す。
装置情報テーブル110は、監視対象システム191を構成する各装置に関する情報を管理する。具体的には、各装置を一意に区別する装置ID301、装置のIPアドレス302、装置名303、装置が業務において関連する関連業務ID304、装置の重要度305、等を保持する。例えば、装置ID301が「00001」の装置は、IPアドレス302が「192.168.0.5」で、装置名303が「machine-A」、関連業務ID304は「0002」と「0003」、当該装置の重要度305は例えば1~10の昇順で重要度が管理されている場合の「5」である。
装置情報テーブル110は、監視対象システム191を構成する各装置に関する情報を管理する。具体的には、各装置を一意に区別する装置ID301、装置のIPアドレス302、装置名303、装置が業務において関連する関連業務ID304、装置の重要度305、等を保持する。例えば、装置ID301が「00001」の装置は、IPアドレス302が「192.168.0.5」で、装置名303が「machine-A」、関連業務ID304は「0002」と「0003」、当該装置の重要度305は例えば1~10の昇順で重要度が管理されている場合の「5」である。
【0021】
ここで、装置の重要度305とは、装置が関連業務を実行するにあたっての重要度合をいう。当該装置が保持する情報の計算を重要度合に含めてもよい。例えば、ある工場組み立て業務の処理において、machineAがmachineB~Dへ指示を出して、machineB~DはmachineAからの指示通りに部品を所定の位置へ取り付ける、同様の動作をするmachineである場合、machineCとmachineAが異常動作した時に、machineCはその他のmachineB、Dで補完が効くが、machineAが異常動作してしまうと、machineB、DではmachineAの処理を補完することができない。また、machineAには、machineB~Dへ悪意ある動作を指示することも可能な指示命令情報も含まれることから、machineAはmachineB~Dと比べて重要度が高いとする想定することができる。
【0022】
図4は、業務情報テーブル111の例を示す。
業務情報テーブル111は、監視対象システム191で実行される業務の情報を管理する。具体的には、各業務を一意に区別する業務ID401、業務名402、一連の業務処理の装置間通信や装置内処理内容を表す業務シーケンス403、業務シーケンス403の処理に要する単位業務時間404、業務が実行され得る時間帯である業務時間405、業務の重要度406、等を保持する。
業務情報テーブル111は、監視対象システム191で実行される業務の情報を管理する。具体的には、各業務を一意に区別する業務ID401、業務名402、一連の業務処理の装置間通信や装置内処理内容を表す業務シーケンス403、業務シーケンス403の処理に要する単位業務時間404、業務が実行され得る時間帯である業務時間405、業務の重要度406、等を保持する。
【0023】
例えば、業務ID401が「00001」の業務は、業務名402が「gyoumu-A」、業務シーケンス403が「192.168.0.5:3000→192.168.0.7:3010, 192.168.0.8:3005→192.168.0.6:3012」であることから、IP、Portが192.168.0.5:3000から192.168.0.7:3010への通信と192.168.0.8:3005から192.168.0.6:3012への通信が一連の単位業務となる業務シーケンスで、単位業務時間404は「5」分、当該業務が発生する可能性のある業務時間405は「10:00から17:00」までの時間帯で、当該業務の重要度406は例えば1~10の昇順で重要度が管理されている際の「5」である。
【0024】
ここで、業務の重要度とは、例えば化学工場の処理において、薬品Aと薬品Bを混合させて化学反応を起こし、薬品Xを生成する業務1と、薬品Cを希釈して薬品C’を生成する業務2がある化学工場を想定する。この場合、薬品Aと薬品Bの混合の割合は厳密さが求められており、この混合の動作によって単価の高い薬品Xの生成が無駄になってしまい、損害コストが高い処理があるとする。また、薬品Cの希釈処理は多少の割合の誤差があっても薬品C’の生成自体にはあまり影響が出ず(リカバリできる)、かつ仮に薬品C’の生成が一定数上手くいかなくても損害コストは薬品Xほどではない処理であるとする。この場合、薬品Xの生成処理業務の方が、重要度が「高い」とする。
【0025】
なお、装置情報テーブル110および業務情報テーブル111は、例えば、システム管理者が装置導入や廃棄、およびそれに伴う新規業務情報の追加や削除等のタイミングで、各テーブルの情報を登録、更新、削除する。
【0026】
図5は、脅威情報テーブル112の例を示す。
脅威情報テーブル112は、監視装置192が検知したインシデントの脅威情報を管理する。具体的には、各脅威情報を一意に区別する脅威ID501、脅威の種別を分類する脅威分類502、脅威名503、脅威の業務やシステムへの影響度合いを表す脅威レベル504、脅威が他装置などへ伝搬する速度の度合いを表す脅威拡大速度(分)505、脅威のインパクトや脅威拡大速度等から予め定義される緊急度506、等を保持する。
脅威情報テーブル112は、監視装置192が検知したインシデントの脅威情報を管理する。具体的には、各脅威情報を一意に区別する脅威ID501、脅威の種別を分類する脅威分類502、脅威名503、脅威の業務やシステムへの影響度合いを表す脅威レベル504、脅威が他装置などへ伝搬する速度の度合いを表す脅威拡大速度(分)505、脅威のインパクトや脅威拡大速度等から予め定義される緊急度506、等を保持する。
【0027】
例えば、脅威ID501が「00001」の脅威は、脅威分類502が「マルウェア」でかつ「ワーム」であり、脅威名503は「warm-1」、脅威レベル504は1~10の昇順で重要度が管理されている際の「5」であり、脅威拡大速度505は「5」分、緊急度は例えば1~10の昇順で重要度が管理されている際の「5」である。
【0028】
なお、脅威ID501については、本実施例では、監視装置192が予め定めたIDをアラート情報に含めて送信し、受信部101がそれを受信して、脅威情報テーブルに保持するものとする。ただし、複数事業者が提供する監視装置192と連携する場合においては、複数事業者によってアラート情報と脅威IDの対応関係が相違することがあるので、監視装置192と受信部101との間に、監視装置192が出力するアラート情報と、脅威IDを含む脅威情報テーブルの各要素との対応付け部を用意する場合がある。
【0029】
図6は、対処情報テーブル113の例を示す。
対処情報テーブル113は、インシデントに対する対処の内容を管理する。具体的には、各対処を一意に区別する対処ID601、対処の対象となる脅威を特定する対処対象の脅威ID602、対処の種別を分類する対処分類603、対処名604、対処の実行とインシデントに対する効果が見込まれる所要時間の目安を表す所要時間605、インシデントに対する当該対処の有効度合いを表す有効度606、等を保持する。
対処情報テーブル113は、インシデントに対する対処の内容を管理する。具体的には、各対処を一意に区別する対処ID601、対処の対象となる脅威を特定する対処対象の脅威ID602、対処の種別を分類する対処分類603、対処名604、対処の実行とインシデントに対する効果が見込まれる所要時間の目安を表す所要時間605、インシデントに対する当該対処の有効度合いを表す有効度606、等を保持する。
【0030】
例えば、対処ID601が「00001」の対処は、当該対処の対処対象となる脅威ID602が「00001」と「00003」であり、対処分類は「停止」で、対処名は「stop-1」、対処を実行してインシデントに対する効果が見込まれるまでの所要時間の目安は「5」分であり、当該対処の有効度合いは例えば1~10の昇順で重要度が管理されている際の「5」である。
【0031】
以上の各テーブルを基に、対処支援装置100は、監視装置192から受信したアラート情報を基にインシデント評価や対処評価を行い、対処の優先順位付けを行う。
【0032】
なお、脅威情報テーブル112および対処情報テーブル113は、例えば、本実施例に係る対処支援装置の製造業者、または対処支援装置のユーザであるセキュリティ管理者がセキュリティ脅威情報の更新のタイミングで、各テーブル情報を登録、更新、削除する。
【0033】
次に、図7を参照して、対処表示画面の例について説明する。
表示部205は、優先順位付けしたインシデントへの対処内容を有する対処表示画面700を表示する。対処表示画面700は、具体的には、オペレータが対処を選択することができる対処選択欄701、インシデントへの対処を一覧表示する対処一覧702、各対処の優先順位を示す優先順位707、対処の優先順位付けの観点とその適用を選択する評価観点708、リアルタイムで優先順位付けが変動する際に対処一覧内容を再読み込みして表示する更新ボタン711、対処指示ボタン712を有する。この例によれば、1つのインシデントに対して複数の対処を提供することができ、オペレータは最適と判断した対処を選択することができる。すなわち、オペレータが対処選択701で「対処」を選択して、対処指示ボタン712を押下すると、選択された当該対処が対処実行装置193へ送信される。
表示部205は、優先順位付けしたインシデントへの対処内容を有する対処表示画面700を表示する。対処表示画面700は、具体的には、オペレータが対処を選択することができる対処選択欄701、インシデントへの対処を一覧表示する対処一覧702、各対処の優先順位を示す優先順位707、対処の優先順位付けの観点とその適用を選択する評価観点708、リアルタイムで優先順位付けが変動する際に対処一覧内容を再読み込みして表示する更新ボタン711、対処指示ボタン712を有する。この例によれば、1つのインシデントに対して複数の対処を提供することができ、オペレータは最適と判断した対処を選択することができる。すなわち、オペレータが対処選択701で「対処」を選択して、対処指示ボタン712を押下すると、選択された当該対処が対処実行装置193へ送信される。
【0034】
さらに、対処一覧702は、対処ID703と、対処名704、オペレータに向けて対処分類や概要を説明する対処概要705、対処先装置を表す対処先装置706を有する。ここで、対処ID703や対処名704は、対処テーブル113における対処ID601や対処名604と同じである。また、評価観点708は、業務影響709と、迅速度合い710を有する。業務影響709はさらに、業務影響を評価観点項目に含めて対処の優先順位付けを計算するか否かの選択ボックスと、業務影響の度合いを表す業務影響度の表示を有する。迅速度合い710はさらに、迅速度合いを評価観点項目に含めて対処の優先順位付けを計算するか否かの選択ボックスと、当該対処による脅威への有効性が観測されると期待する所要時間の度合いを表す迅速度合いの表示を有する。
本実施例に係る対処支援装置は、上記表示画面を用いて、オペレータの対処判断を支援する。
本実施例に係る対処支援装置は、上記表示画面を用いて、オペレータの対処判断を支援する。
【0035】
次に、図8乃至図9を参照して、対処支援装置100の全体の処理について説明する。
図8は対処支援処理の全体動作を示し、図9はインシデント発生時の処理のシーケンスを示す。
図8を参照するに、まず、監視装置192が監視対象システム191でインシデントが発生したか否かを判定する(ステップ801)。監視装置192が、監視対象システム191におけるインシデントを検知しなければ、表示部106には対処一覧の内容を表示せず(すなわち対処一覧は空欄のまま)、処理が終了する(ステップ802)。
図8は対処支援処理の全体動作を示し、図9はインシデント発生時の処理のシーケンスを示す。
図8を参照するに、まず、監視装置192が監視対象システム191でインシデントが発生したか否かを判定する(ステップ801)。監視装置192が、監視対象システム191におけるインシデントを検知しなければ、表示部106には対処一覧の内容を表示せず(すなわち対処一覧は空欄のまま)、処理が終了する(ステップ802)。
【0036】
一方、監視装置192が、監視対象システム191におけるインシデントを検知した場合、監視装置192はアラート情報を送信し、対処支援装置100がこれを受信する(ステップ803)。以降、ステップ804~ステップ810の処理を続ける。これは、図9のシーケンスにおける、監視装置192から対処支援装置100内の受信部101へのアラート通知に相当する。
【0037】
次に、対処支援装置100のシステム状態取得部102が監視装置192へ問合せして、監視対象システム191のシステム状態情報を取得する(ステップ804)。システム状態情報には、監視対象システム191の業務通信状況やインシデント検知した装置や周辺機器の起動停止状況、CPU負荷やメモリ負荷等のリソース状況などが含まれる。システム状態取得部102は、表示部106が対処一覧画面を表示し、対処選択から対処実行が行われる間、システム状態情報を取得し続ける。これは、図9のシーケンスの、監視装置192からシステム状態取得部102へのシステム状態情報問合せとシステム状態情報の送信に相当する。
【0038】
次に、ステップ803で取得されたアラート情報や、ステップ804で取得されたシステム状態情報、各テーブル110~113の情報を基に、対処の優先順位を判定する(ステップ805~ステップ807)。
【0039】
ステップ805では、アラート情報やシステム状態情報、装置記憶テーブル110、業務情報テーブル111、脅威情報テーブル112などの情報を基に、インシデントによる業務への影響度や対処の緊急度を計算する。これは、図9のシーケンスの、対処の優先順位判定部から各種テーブルへ問合せし、インシデント評価するブロック部分に相当する。この処理の詳細については図10のインシデント評価の処理フローを参照して、後述する。
【0040】
ステップ806では、アラート情報やシステム状態情報、装置記憶テーブル110、業務情報テーブル111、脅威情報テーブル112、対処情報テーブル113などの情報を基に、対処の有効度や業務影響度、迅速度などを計算する。これは、図9のシーケンスの、対処の優先順位判定部から各種テーブルへ問合せし、対処評価するブロック部分に相当する。この処理の詳細については図11の対処評価の処理フローを参照して、後述する。
【0041】
ステップ807では、ステップ805、ステップ806で計算した結果と、対処表示画面700でオペレータが選択、または対処支援装置100によって予め設定してある、対処の評価観点708の情報を基に、対処の優先順位を計算する。これは、図9のシーケンスの、対処の優先順位判定部の最下部のブロック部分に相当する。この処理の詳細については図12の対処の優先順位判定の処理フローを参照して、後述する。
【0042】
次に、表示部106は、優先順位判定部105が算出した優先順位付きの対処一覧を表示する(ステップ808)。なお、オペレータが対処の決定の検討に時間を要していて一定時間を経過した場合、インシデントによる業務の影響や対処先装置のリソース状況、対処によって影響が及ぶ可能性のある業務などの状態も変化するため、例えば一定時間経過後に再度ステップ804~808の処理を実行する(ステップ809)。
【0043】
次に、表示部106に表示された対処一覧画面からオペレータが実際に実行する対処を選択して(701)、対処指示712を押下すると、対処指示部107が対処実行装置193へ対処指示情報を送信する(ステップ810)。対処実行装置193は、受信した対処内容にしたがって対処実行して、一連の対処処理が終了する。
【0044】
図10は、インシデント評価(ステップ805)の詳細な処理フローの例を示す。
この処理は、対処の優先順位付けに際して、まずはインシデントのインパクト、すなわち業務影響度や、対処の緊急度に準じた対処を抽出して処理を進めるために、業務影響度や緊急度などを算出することを目的とする。
この処理は、対処の優先順位付けに際して、まずはインシデントのインパクト、すなわち業務影響度や、対処の緊急度に準じた対処を抽出して処理を進めるために、業務影響度や緊急度などを算出することを目的とする。
【0045】
インシデント評価部103はまず、インシデント評価の計算の構成要素となる、異常検出された機器の重要度を取得しステップ1001)、異常検出された機器の関連業務の重要度を取得し(ステップ1002)、脅威特性情報を取得し(ステップ1003)、システム状態情報を取得する(ステップ1004)。
【0046】
具体的には、アラート情報から受け取った異常検出機器IDが「00001」であった場合、装置情報テーブル110を参照し、異常検出機器ID301が「00001」に対応する当該機器の重要度305が「5」であることが分かる。また、当該機器の関連業務304が「0001, 0002」であることから、業務情報テーブル111を参照し、異常検出機器の関連業務ID401の「0001」「0002」に対応する、当該業務の重要度406が「5」と「3」であることが分かる。また、アラート情報から受け取った脅威IDが「00001」であった場合、脅威情報テーブル112を参照し、脅威ID501の「00001」に対応する、脅威レベル504が「5」、緊急度506が「5」であることが分かる。また、アラート情報に含まれる異常検出時刻や、システム状態情報から受け取った異常検出機器の稼働状態、業務通信情報などから、異常検出した時刻は「11:00」で業務ID401の「00001」「00002」どちらの業務時間405内であり、異常検出機器はシステムダウンせずに稼働状態にあり、業務通信状況として「192.168.0.5:3000→192.168.0.7:3010」「192.168.0.5(shori.sh)」の通信が発生しており、該当する業務ID401の各行の業務シーケンス403中で、それぞれ業務シーケンスの開始直後の通信状況にあることが分かる。
【0047】
次に、ステップ1001~ステップ1004で取得した各情報を基に、インシデントによる業務への影響度を計算する(ステップ1005)。業務への影響度は例えば、異常検出機器の重要度と、異常検出機器に関連し、かつ稼働中である業務の重要度、検出した脅威の脅威レベルを加算した結果とする。なお、機器の重要度や業務の重要度、脅威レベルの値それぞれに重み付けした上で加算する方法もあるが、本実施例では説明の簡便化のために重み付けはすべて「1」として加算する。具体的には、異常検出機器IDが「00001」の場合、当該機器の重要度305が「5」で、異常検出した時刻が「11:00」であることから、関連業務ID「0001」「0002」の業務時間405内であり、各業務の重要度406の「5」と「3」を加算して「8」、アラーム情報から取得した脅威情報により脅威ID501が「0001」であるため脅威レベル504「5」と緊急度506「5」、以上の資産の重要度「5」と業務の重要度「8」と脅威レベル「5」を加算し、「18」という結果を得る。
【0048】
次に、ステップ1001~ステップ1004で取得した各情報を基に、インシデントへの対処の緊急度を計算する(ステップ1006)。インシデントへの対処の緊急度は例えば、異常検出機器の重要度と、異常検出機器に関連し、かつ稼働中である業務の重要度、検出した脅威の緊急度を加算した結果とする。具体的には、異常検出機器IDが「00001」で、異常検出した時刻が「11:00」、脅威IDが「0001」の場合、ステップ1005と同様に資産の重要度「5」と業務の重要度「8」、さらに検出した脅威の緊急度506「5」を加算し、「18」という結果を得る。
【0049】
最後に、インシデントに対する許容度を計算する(ステップ1007)。インシデントへの許容度は、例えば、ステップ1005やステップ1006で計算した業務への影響度やインシデントへの対処の緊急度が予め設定された許容度の閾値以下にあるかを判定するための値である。また、ステップ1005やステップ1006で計算した業務への影響度やインシデントへの対処の緊急度が予め設定された許容度の閾値を上回る場合、一刻も早く対処が必要であるため、以降の対処の優先順付けでは業務影響度の重み付けを「0」として計算する。具体的には、業務への影響度が「18」で、インシデントへの対処の緊急度が「18」で、予め設定された許容度の閾値が、業務への影響度合いについては「20」、インシデントへの対処の緊急度合いについては「15」の場合、業務への影響度とインシデントの救急度はどちらも、影響度合いの許容度、インシデントへの対処の緊急度合いの許容度の閾値を下回っているため、以降の対処の優先順位付けでもそのまま計算するものとする。また、脅威ID501「00001」のインシデントが装置ID301「00003」で時刻「11:30」に検出された場合、当該脅威ID501「00001」の脅威レベル504は「5」で、検出した装置ID301「00003」の重要度が「10」、稼働中の関連業務である業務ID401「0003」の重要度406が「6」であることから、それぞれを加算した結果が「21」となる。これは業務影響度の許容度「20」を上回るため、以降の対処の優先順付けでは業務影響度の重み付けを「0」として、業務影響度の高低とは関係なく、迅速度がより高い対処候補の方が、優先順位が高い、として計算する。
以上により、インシデント評価部103の処理を終了する。
以上により、インシデント評価部103の処理を終了する。
【0050】
図11は、対処評価(ステップ806)の詳細な処理フローの例を示す。
この処理は、対処の優先順位付けにあたり、対処の優先順位付けの評価観点の対象となる対処の有効度や迅速度などを算出することを目的とする。
この処理は、対処の優先順位付けにあたり、対処の優先順位付けの評価観点の対象となる対処の有効度や迅速度などを算出することを目的とする。
【0051】
対処評価部104はまず、インシデントの脅威ID602に対応する対処の一覧を抽出する(ステップ1101)。アラート情報に含まれる脅威IDの情報と対処情報テーブル113を参照して、対処対象脅威ID602に対応する項目を抽出する。具体的には、脅威IDが「00001」の対処対象脅威ID602の列に含まれている行を抽出し、対処ID601の値が「00001」と「00002」の対処などを抽出する。
【0052】
次に、抽出したそれぞれの対処候補について、対処実行した際の業務への影響度を計算する(ステップ1102)。対処実行した際の業務への影響度は、例えば、装置情報テーブル110と、業務情報テーブル111と、対処情報テーブル113を参照して、対処候補の対処分類毎に予め割り当てられた業務影響の度合いと、当該異常検出機器及び対処指示先機器に関連し、かつ稼働中である業務の重要度を加算した結果とする。なお、この加算の各要素に重み付けした上で加算してもよい。本実施例では説明の簡便化のために重み付けは全て「1」として加算する。具体的には、対処候補の一つである対処ID601「00001」対処名604「stop-1」の対処について、対処分類603が「停止」であることから、予め割り当てられた業務影響の度合いが「5」であり、異常検出機器及び対処指示先機器は同じく装置ID301は「00001」であり、当該装置の重要度305は「5」、関連業務ID304が「0001, 0002」であり、異常検出した時刻が「11:00」であることから、関連業務ID「0001」「0002」の業務時間405内であり、各業務の重要度406の「5」と「3」それぞれに対処分類603「停止」に予め割り当てられた業務の影響度合い「5」を加算して「18」という結果を得る。同様に、対処候補の一つである対処ID601「00002」対処名604「syukutai-1」の対処について計算する。対処ID601「00002」対処名604「syukutai-1」の対処について、対処分類603が「縮退」であることから、予め割り当てられた業務影響の度合いが「3」であり、「14」という結果を得る。
【0053】
次に、抽出した対処候補それぞれについて、対処実行した際のインシデントへの対処の有効度を計算する(ステップ1103)。対処の有効度は例えば、対処情報テーブル113から抽出した対処候補に該当する行をそれぞれ参照し、有効度606の値から得た結果とする。具体的には、対処候補の一つである対処ID601「00001」対処名604「stop-1」の対処について、有効度606を参照し「5」という結果を得る。同様に対処候補の一つである対処ID601「00002」対処名604「syukutai-1」の対処について有効度606を参照し「2」という結果を得る。
【0054】
次に、抽出した対処候補それぞれについて、対処実行した際のインシデントへの対処の迅速度を計算する(ステップ1104)。対処の迅速度は例えば、対処情報テーブル113から抽出した対処候補に該当する行をそれぞれ参照し、所要時間605の値と、対処指示先機器に関連し、かつ稼働中である業務の業務シーケンスの進行状況と単位業務時間から算出した、対処実行待機時間とを加算し、10分毎に10段階のうち値「10」から降順した結果とする。具体的には、対処候補の一つである対処ID601「00001」対処名604「stop-1」の対処について、対処指示先機器である装置ID「00001」に関連し、かつ稼働中である業務ID401「0001」と「0002」が稼働中であるか否かを判定し、稼働中であった場合、対処実行を待機するか否かの判定の閾値となる、予め割り当てられた閾値「4」以上の重要度の業務があれば当該業務の業務シーケンスの終了後、すなわち、最大で単位業務時間分の時間と、当該対処ID601「00001」対処名604「stop-1」の所要時間(分)605である「5」を加算した「10」という値を得て、これは10分毎に10段階のうち値「10」から降順したうちの値「10」という結果を得る。
【0055】
最後に、抽出したそれぞれの対処候補について、インシデントへの対処の影響度合いや緊急度合いの許容度に収まっているかを計算する(ステップ1105)。例えば、抽出したそれぞれの対処候補について、ステップ1102、ステップ1104の処理で算出した対処実行した際の業務への影響度や対処の迅速度が、予め割り当てられた各業務への影響度を上回る場合にはその差分のマイナスポイントを得て、緊急度よりも迅速度が下回った場合にはその差分のマイナスポイントを得る。上記以外の場合には、当該インシデントへの対処の影響度合いや緊急度合いが許容度に収まっているとして、ステップ1102、ステップ1104の処理で算出した対処実行した際の業務への影響度や対処の迅速度の値をそのまま、以降の処理で説明する対処の優先順位付けに使用する。具体的には、対処候補の一つである対処ID601「00001」対処名604「stop-1」の対処について、ステップ1102で算出した業務の影響度合い「18」が、予め割り当てられた業務への影響度の閾値「20」よりも下回っているため、そのままの値「18」という結果を得る。続いて、ステップ1104で算出したインシデントへの対処の迅速度「10」が、各脅威の緊急度のうち最大値の「5」よりも上回っているため、そのままの値「10」という結果を得る。同様に、対処候補の一つである対処ID601「00002」対処名604「syukutai-1」の対処について計算したとき、業務の影響度合いはステップ1102で算出した「14」のままで、インシデントへの対処の迅速度は前記ステップ1104で算出した「4」が、各脅威の緊急度のうち最大値の「5」よりも上回っているため、ステップ1104で算出した「4」からマイナス1ポイントした「3」という結果を得る。
【0056】
図12は、対処の優先順位判定(ステップ807)の詳細な処理フローの例を示す。
優先順位判定部105は、まず、対処表示画面700でオペレータが選択、または対処支援装置100によって予め設定してある、対処の評価観点708の情報を参照する(ステップ1201)。例えば、評価観点として業務影響と対処の迅速度合いや、その他観点で選択されている項目があれば、それらを対処の優先順位付けの評価観点の基となる項目として参照する。なお、対処の有効度については当該脅威に対して抽出した対処はいずれも対処の有効性が担保されているものとして、評価観点項目の選択肢には含んでいない。具体的には、対処表示画面700の評価観点708において、業務影響709と迅速度合い710のチェックボックスにチェックが入っていることから(図7の例示)、これら2つの観点を対処の優先順位付けの評価観点の基となる項目として参照する。
優先順位判定部105は、まず、対処表示画面700でオペレータが選択、または対処支援装置100によって予め設定してある、対処の評価観点708の情報を参照する(ステップ1201)。例えば、評価観点として業務影響と対処の迅速度合いや、その他観点で選択されている項目があれば、それらを対処の優先順位付けの評価観点の基となる項目として参照する。なお、対処の有効度については当該脅威に対して抽出した対処はいずれも対処の有効性が担保されているものとして、評価観点項目の選択肢には含んでいない。具体的には、対処表示画面700の評価観点708において、業務影響709と迅速度合い710のチェックボックスにチェックが入っていることから(図7の例示)、これら2つの観点を対処の優先順位付けの評価観点の基となる項目として参照する。
【0057】
次に、対処の優先順位を計算して処理を終了する(ステップ1202)。すなわち、対処の評価観点708の情報を基に、対処の優先順位を計算する(ステップ1201)。例えば、評価観点として業務影響と対処の迅速度合いが選択されているとして、インシデント評価(ステップ805)と、対処評価(ステップ806)の処理で算出した評価値を基に対処の優先順位を付ける。具体的には、対処候補の一つである対処ID601「00001」対処名604「stop-1」の対処について、選択された評価観点項目である評価観点として業務影響と対処の迅速度合いを基に、インシデント評価(ステップ805)と、対処評価(ステップ806)の処理で算出した評価値を参照すると業務の影響度合いが「18」、インシデントへの対処の迅速度は「10」という結果を得る。また、対処候補の一つである対処ID601「00002」対処名604「syukutai-1」の対処について、同様に評価値を参照すると業務の影響度合いが「14」、インシデントへの対処の迅速度は「3」という結果を得る。ここで、対処評価(ステップ806)の処理の説明(図11)で述べた通り、対処名604「stop-1」および「syukutai-1」はどちらも、予め割り当てられた業務への影響度の閾値「20」よりも下回っており、業務への影響の許容範囲内であり、インシデントへの対処の迅速度としては対処「stop-1」の方が評価値が高く、また対処の有効度しても「syukutai-1」よりも上回っているため、対処の優先順位は「stop-1」、続いて「syukutai-1」となる。同様に、他の対処候補についても計算した結果、図7の対処表示画面700に示すように、優先順位付けた対処候補の一覧を表示することができる。
【0058】
以上説明したように、本実施例によれば、システム状態情報と検知事象の分析結果を基に、業務への影響度や迅速度合い、有効度合い、必要リソースを統合的に計算し、対処の優先順位付けしてオペレータに提示することができる。これにより、業務への影響が小さく、対処の迅速性と業務の継続性を実現することができる。また、オペレータがシステムの異常への対処判断に要する時間を短縮することができる。
【0059】
また、本実施例によれば、リアルタイムに変化するシステムの稼働状況等のシステム状態情報を考慮して、実際の対処実行時間が短く、業務への影響度がより低い対処候補を選択できる機会を対処支援に反映することができる。
【0060】
本発明は上記実施例に限定されずに、色々と変形、代替して実施し得る。
例えば、上記実施例では、対処支援装置100の各機能部101~107は、図2に示すコンピュータのプログラムの実行により実現される、とした。他の例によれば、各機能部101~107の一部の1または複数機能は、1または複数のコンピュータでプログラムの実行により実現してもよい。また、上記各機能部の全てを、1のプログラムで実行により実現させる必要はない。上記各機能部をそれぞれ別々のプログラムにより実現してもよいし、幾つかの機能部を纏めて1のプログラムで実現してもよい。例えば、本実施例で特徴的な、インシデント評価部103、対処評価部104、優先順位判定部105を纏めた、1のプログラムで実現してもよい。
例えば、上記実施例では、対処支援装置100の各機能部101~107は、図2に示すコンピュータのプログラムの実行により実現される、とした。他の例によれば、各機能部101~107の一部の1または複数機能は、1または複数のコンピュータでプログラムの実行により実現してもよい。また、上記各機能部の全てを、1のプログラムで実行により実現させる必要はない。上記各機能部をそれぞれ別々のプログラムにより実現してもよいし、幾つかの機能部を纏めて1のプログラムで実現してもよい。例えば、本実施例で特徴的な、インシデント評価部103、対処評価部104、優先順位判定部105を纏めた、1のプログラムで実現してもよい。
【0061】
また、本実施例の対処支援装置有する諸機能部を対処実行装置に統合して、両方の装置を一体的に構成してもよい。この場合、一体的に構成したものを対処実行装置と呼んでもよい。
【0062】
また、本実施例のように、各情報テーブル110~113をテーブルと呼ばずに、これらをデータベース(DB)、または単にそれらの情報若しくは情報構造、あるいはそれらの記憶部と呼んでもよい。
【0063】
なお、監視対象は、複数の機器を含むような監視対象システムに限らず、センサーそのものであってもよい。
【符号の説明】
【0064】
100:対処支援装置
101:受信部
102:システム状態取得部
103:インシデント評価部
104:対処評価部
105:優先順位判定部
106:表示部
700:対処表示画面
107:対処指示部
110:装置情報テーブル
111:業務情報テーブル
112:脅威情報テーブル
113:対処情報テーブル
191:監視対象システム
192:監視装置
193:対処実行装置
101:受信部
102:システム状態取得部
103:インシデント評価部
104:対処評価部
105:優先順位判定部
106:表示部
700:対処表示画面
107:対処指示部
110:装置情報テーブル
111:業務情報テーブル
112:脅威情報テーブル
113:対処情報テーブル
191:監視対象システム
192:監視装置
193:対処実行装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】