特開 2024-103306 非常時における情報セキュリティ対策の装置および方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】P2024103306

(43)【公開日】2024-08-01

(54)【発明の名称】非常時における情報セキュリティ対策の装置および方法

(51)【国際特許分類】

   G06F 21/50 20130101AFI20240725BHJP

【ＦＩ】

G06F21/50

【審査請求】未請求

【請求項の数】1

【出願形態】ＯＬ

(21)【出願番号】P 2023007572

(22)【出願日】2023-01-20

(71)【出願人】

【識別番号】721001638

【氏名又は名称】谷川 康夫

(72)【発明者】

【氏名】谷川康夫

(72)【発明者】

【氏名】フィリップ アール フォックスウェル

(72)【発明者】

【氏名】山本雄一

(72)【発明者】

【氏名】アイザック ペティット

(57)【要約】

【課題】国家的関与のサイバー攻撃を非常時に受け、複数の脆弱性を同時に狙われたとしても、若干の業務効率は低下するとしても、「最悪の事態」を防ぐことを可能とする。
【解決手段】単独または複数の情報源からの信号を基に、非常事態レベルを決定し、そのレベルに応じたセキュリティレベル設定を行うための設定変更を情報機器に送信する。こうして、非常時信号の受信後、自動で瞬時にセキュリティ製品のポリシーや保護の設定変更を行なう。
【選択図】図１

【特許請求の範囲】

【請求項1】

非常時におけるマルウエア侵入とサイバー攻撃対策を迅速に実施するため、全国瞬時警報システム（Jアラート）情報、及び、公的機関等から発信されるサイバー攻撃技術情報を自動入力し、その入力信号を自動処理して、各ゲートウエイのセキュリティ対策設定を自動で変更すること最も主要な特徴とする情報セキュリティ対策の装置および方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、武力攻撃事態、緊急対処事態、大規模災害事態などの非常時において、マルウエアの侵入、サイバー攻撃に対する情報セキュリティ対策に関するものである。

【背景技術】

【0002】

経済協力開発機構（ＯＥＣＤ）は、コンピューターシステムへのサイバー攻撃が、ほかの災害や惨事と同時に行われた場合、世界的に「最悪の事態」を引き起こす可能性があるとの報告書を発表した。大規模なサイバー攻撃に備えるため、JPCERTなどの公共機関により、サイバー攻撃被害情報の共有が行われており、その情報共有により、他組織において効果的な早期対応がある程度は可能となる。しかしながら、攻撃技術情報の調査を終えてから公表を行うために、即時性に乏しいと言える。

【0003】

比較的近い過去において、ある国が軍事侵攻される前に、国家的関与のサイバー攻撃（国家が政治的、軍事的目的を達成するため、情報窃取や重要インフラの破壊といったサイバー戦能力強化を目的としたサイバー攻撃）の存在が明らかとなり、複数の脆弱性が狙われ、複数の攻撃方法で重要インフラが襲われ、多くの企業が次々と攻撃ソフトに感染した。ある企業では、ほぼ7分間で数千台のサーバーと数万台のパソコンが停止した被害があったと伝えられている。このように、非常時を狙って、人的、設備的な脆弱性を衝いて、国家的関与のサイバー攻撃を受けた場合、何日も要する攻撃技術情報の調査を待っていたのでは、遅きに失する。

【0004】

急速に変化し続けるマルウエアの侵入とサイバー脅威の特性と複雑さは、一組織単独での攻撃技術情報の解析と対処が困難である。その上、マルウエアの侵入とサイバー攻撃被害の解析に多大な工数と時間を要するため、その情報共有における迅速性と正確性とは相反するものとなる。前述のように、サイバー攻撃者が、国家的非常時のタイミングを見計らっているとすれば、平時を基準としたマルウエアの侵入とサイバー攻撃対策や、それらの被害情報共有の技術と仕組みでは、上述の「最悪の事態」を防ぎきれないなどの問題が危惧された。

【0005】

内閣官房内閣サイバーセキュリティセンターが、サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）を作成し、独立行政法人情報処理推進機構においても情報共有の技術提供と運用を行っているが、平時を前提にしているため、非常時におけるマルウエアの侵入とサイバー攻撃被害低減のための技術提供が実現できていない。

【先行技術文献】

【特許文献】

【0006】

【特許文献1】特開２０１９－０４６１２２号公報

【特許文献2】特開２００９－１１１６０３号公報

【非特許文献】

【0007】

【非特許文献1】Peter Sommer／ Ian Brown共著 「Reducing Systemic Cybersecurity Risk」OECD project２０１４年

【発明の概要】

【発明が解決しようとする課題】

【0008】

解決しようとする問題点は、非常時においてこそ、社会全体での情報セキュリティ強化が必要にもかかわらず、有効で迅速な手段が少ない点である。特許文献１では、「検出部によって非常事態の発生が検出された場合に、許可ユーザ以外の他ユーザのアクセスを許可することでアクセス制限を解除する。自然災害等の非常事態が発生した場合において、一刻も早い人命救助を可能とするための技術が提案され、例えば、ユーザによって予め許可された他ユーザに対してかかるユーザの位置情報等を公開する」技術であり、セキュリティ強化ではなく、セキュリティ緩和の方向であり、本発明とは、明らかに目的が異なっている。さらに、特許文献２では、「携帯電話のマルチシステムアクセスにおいて、災害発生の時間状況に応じて、他ネットワーク端末からの受入れを制限し、非常時の輻輳状態を緩和する」技術であって、災害発生時の情報セキュリティ強化とは目的が異なる。さらには、ファイアウォール、IDS/IPSとＷAFなどのセキュリティ対策のポリシーや保護設定の設定変更を行える専門家が常に在籍しているとは限らないので、一度設定したら変更せずに稼働を続けているセキュリティ対策製品がほとんどである。そのため、非常時を自動で検知し、自動で瞬時に非常時信号をセキュリティ対策製品に取り込む技術がなく、さらに非常時信号の受信後、自動で瞬時にセキュリティ製品のポリシーや保護の設定変更を行うことも困難であった。

【課題を解決するための手段】

【0009】

本発明は、非常時におけるマルウエア侵入とサイバー攻撃対策を各組織が迅速に実施するため、全国瞬時警報システム（Jアラート）などと、NISCなどから発信されるサイバー攻撃技術情報を自動入力し、その入力信号を自動処理して、各ゲートウエイのセキュリティ対策設定を短時間に強化変更すること最も主要な特徴とする。

【発明の効果】

【0010】

本発明の非常時を自動検知し、瞬時に非常時信号をセキュリティ対策製品に取り込む技術によれば、国家的関与のサイバー攻撃を非常時に受け、複数の脆弱性を同時に狙われたとしても、若干の業務効率は低下するとしても、「最悪の事態」を防ぎきれる。

【図面の簡単な説明】

【0011】

【図1】図１は非常時にマルウエア侵入とサイバー攻撃防御ポリシー設定を強化するためのシステム概要図である。（実施例１）

【図2】図２は非常時にマルウエア侵入とサイバー攻撃防御ポリシー設定を強化するための設定条件を示すフローダイアグラム図である。（実施例２）

【図3】図３はサイバー攻撃被害に係る情報の共有タイミング決定プロセスを示すフローダイアグラム図である。

【発明を実施するための形態】

【0012】

非常時の検出と国家レベルのマルウエア侵入とサイバー攻撃防止という目的を、比較的簡易な装置と方法で実現した。

【実施例0013】

図１は、本発明装置の１実施例のシステム概要図であって、１～１０は、一般的な事務所における情報機器とネットワークである。ここで、セキュリティレベル設定装置８は、プログラマブルロジックコントローラ（PLC）で構成されていて、受信装置１３からの信号を受け、上述の情報機器に必要な設定信号を出力するためのインターフェイスである。専用ネットワーク１５と設定レベル変更信号１６とは、セキュリティ確保のため、一般のネットワーク１０とは切り離し、専用化しておくことが望ましい。しかし、簡素化のために、すべて同じネットワークとすることも可能である。また、セキュリティレベル設定装置８出力されるから設定レベル変更信号は、ワンショット出力信号ではなく、外部からの攻撃による妨害信号への耐性確保のためステータス出力信号であることが望ましい。情報セキュリティシステムは、ファイアウォール、IDS/IPSとＷAFに替えて、統合脅威管理（UTM）を設置しても、同様な構成ができることは言うまでもない。

【0014】

武力攻撃事態の例としては、着上陸侵攻、弾道ミサイル攻撃、ゲリラ・特殊部隊による攻撃、航空攻撃があり、緊急対処事態の例としては、原子力事業所の破壊、ターミナル駅や列車の爆破、サリンの大量散布、航空機による自爆テロ 等が想定され、それらの事態において、緊急災害対策本部の設置、被害状況の把握、国民に対する周知として、国民保護法に基づく警報の発令（Jアラート等）が内閣官房によって実施され、通信衛星１２を利用し、衛星通信などの防災ネットワーク１４で送信される。また、サイバー攻撃に関する技術情報の迅速な共有がJ-CSPや一般社団法人JPCERTコーディネーションセンターにおいて、インターネットなどを介して実施される可能性もある。それらの信号を受信装置１３で受信し、セキュリティを強化した専用ネットワーク１５を通して、セキュリティレベル設定装置８に送る。ここでは、訓練放送や試験放送などの不要な情報を除外した上、単独または複数の情報源からの信号を基に、非常事態レベルを決定し、そのレベルに応じたセキュリティレベル設定を行うための設定変更を情報機器に送信する。こうして、非常時信号の受信後、自動で瞬時にセキュリティ製品のポリシーや保護の設定変更を行うことが可能となる。

【実施例0015】

セキュリティリスク対策の厳格さと業務効率は相反するものであり、情報セキュリティ対策の縛りが厳しくなればなるほど、組織員の負担は増え、働きにくい環境となり得る。一方、業務効率を優先しすぎるとサイバー攻撃や内部不正が発生するリスクが高まり、外部からの攻撃による情報漏洩やウイルス感染による社内システムの停止など，セキュリティ被害は増える。システム担当者はセキュリティ対策によって，作業負荷の増大に直面することになる。図2は、セキュリティ対策の厳格さを、状況に合わせて設定するフローチャートである。非常のアラートがなく、年末年始でなければ、標準モードであるレベル０にし、年末年始のように要員が少ない時は、ややセキュリティ対策を厳しくしたレベル１が選択される。非常事態であるアラームが発令されたが、まだ深刻なマルウエア侵入とサイバー攻撃が報告されてない間は、厳重モードであるレベル２にし、さらにこの間に深刻なマルウエア侵入とサイバー攻撃が報告されれば、最厳重モードであるレベル３が選択される。

【0016】

ファイアウォール、IPS/IDS、WAFそしてエンドポイントにおけるセキュリティ対策設定を、それぞれのレベルに応じて示したものが表１である。このように、レベル０からレベル3に対応し、各機器のセキュリティ対策の厳格さ度合いを、設定することで、平時は業務効率を妨げることなく、非常時はセキュリティ被害を最小限に抑え込むことができる。例えば、内閣官房内閣サイバーセキュリティセンター（ＮＩＳＣ）において提唱されている「攻撃を受けた被害組織がサイバーセキュリティ関係組織と被害に係る情報共有」では、原因の特定など調査で不明な点がなくなってからの報告が想定されている。平時ならともかく、非常時においては、十分に整理された技術情報ではなくても、極めて迅速な情報共有が必要になる。図３は、本発明により、自動または半自動で、非常時の迅速な情報共有タイミングを決定し得ることを示している。平時のレベル０とレベル1においては、インシデントが発生した後、通常のステップにてCSIRT業務を行うが、非常時のレベル２とレベル3においては、情報の分析を終える前に、被害拡大などに向けた情報共有発信を行うというプロセス選択できるようになることは、本発明の副次効果である。

【0017】

【表1】