ホーム > 特許ランキング > 日立Astemo株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024013374
(43)【公開日】2024-02-01
(54)【発明の名称】情報処理装置
(51)【国際特許分類】
G06F 21/55 20130101AFI20240125BHJP
【FI】
G06F21/55
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2022115422
(22)【出願日】2022-07-20
(71)【出願人】
【識別番号】509186579
【氏名又は名称】日立Astemo株式会社
(74)【代理人】
【識別番号】110002572
【氏名又は名称】弁理士法人平木国際特許事務所
(72)【発明者】
【氏名】笹 晋也
(72)【発明者】
【氏名】井手口 恒太
(72)【発明者】
【氏名】山口 隆
(72)【発明者】
【氏名】藤井 康広
(57)【要約】
【課題】インシデントが発生した場合に、その原因となったソフトウェアコンポーネントや担当組織を迅速に特定し、インシデント対策を迅速に実施するための情報処理装置を提供することを目的とする。
【解決手段】情報処理装置は、アラート情報を取得するアラート取得部と、アラート情報に基づき対策が必要なソフトウェアコンポーネントを抽出するコンポーネント抽出部と、ソフトウェアコンポーネントに対策が可能な組織に関する情報を含む通知情報を判定する通知先判定部と、通知情報の確度を設定する確度設定部と、確度が所定の閾値以上の場合に組織へソフトウェアコンポーネントを通知する通知部と、を備える。
【選択図】図2
【解決手段】情報処理装置は、アラート情報を取得するアラート取得部と、アラート情報に基づき対策が必要なソフトウェアコンポーネントを抽出するコンポーネント抽出部と、ソフトウェアコンポーネントに対策が可能な組織に関する情報を含む通知情報を判定する通知先判定部と、通知情報の確度を設定する確度設定部と、確度が所定の閾値以上の場合に組織へソフトウェアコンポーネントを通知する通知部と、を備える。
【選択図】図2
【特許請求の範囲】
【請求項1】
アラート情報を取得するアラート取得部と、
前記アラート情報に基づき対策が必要なソフトウェアコンポーネントを抽出するコンポーネント抽出部と、
前記ソフトウェアコンポーネントに対する前記対策が可能な組織を判定し、前記組織に通知する通知情報を決定する通知先判定部と、
前記通知情報の確度を設定する確度設定部と、
前記確度が所定の閾値以上の場合に前記組織へ前記ソフトウェアコンポーネントを通知する通知部と、を備える、
ことを特徴とする情報処理装置。
前記アラート情報に基づき対策が必要なソフトウェアコンポーネントを抽出するコンポーネント抽出部と、
前記ソフトウェアコンポーネントに対する前記対策が可能な組織を判定し、前記組織に通知する通知情報を決定する通知先判定部と、
前記通知情報の確度を設定する確度設定部と、
前記確度が所定の閾値以上の場合に前記組織へ前記ソフトウェアコンポーネントを通知する通知部と、を備える、
ことを特徴とする情報処理装置。
【請求項2】
請求項1に記載の情報処理装置であって、
前記アラート情報に対して、該アラート情報に関連する脅威の情報を示す脅威情報および該脅威情報に対応する対策情報を付与するマッピング部をさらに備え、
前記コンポーネント抽出部は、前記マッピング部の付与結果に基づき前記ソフトウェアコンポーネントを抽出する、
ことを特徴とする情報処理装置。
前記アラート情報に対して、該アラート情報に関連する脅威の情報を示す脅威情報および該脅威情報に対応する対策情報を付与するマッピング部をさらに備え、
前記コンポーネント抽出部は、前記マッピング部の付与結果に基づき前記ソフトウェアコンポーネントを抽出する、
ことを特徴とする情報処理装置。
【請求項3】
請求項2に記載の情報処理装置であって、
前記通知部は、前記通知情報の前記確度が前記閾値未満の場合に、該通知情報を分析組織に通知するとともに、前記分析組織から変更情報を受信したときに、前記変更情報に基づき前記組織へ前記ソフトウェアコンポーネントと前記対策情報とを通知する、
ことを特徴とする情報処理装置。
前記通知部は、前記通知情報の前記確度が前記閾値未満の場合に、該通知情報を分析組織に通知するとともに、前記分析組織から変更情報を受信したときに、前記変更情報に基づき前記組織へ前記ソフトウェアコンポーネントと前記対策情報とを通知する、
ことを特徴とする情報処理装置。
【請求項4】
請求項3に記載の情報処理装置であって、
前記通知部は、前記通知情報の前記確度が前記閾値以上の場合に、該通知情報を前記分析組織に通知せずに前記組織へ前記ソフトウェアコンポーネントと前記対策情報とを通知する、
ことを特徴とする情報処理装置。
前記通知部は、前記通知情報の前記確度が前記閾値以上の場合に、該通知情報を前記分析組織に通知せずに前記組織へ前記ソフトウェアコンポーネントと前記対策情報とを通知する、
ことを特徴とする情報処理装置。
【請求項5】
請求項1に記載の情報処理装置であって、
前記組織から取得するフィードバック情報に基づき、前記通知情報を更新するフィードバック反映部をさらに備える、
ことを特徴とする情報処理装置。
前記組織から取得するフィードバック情報に基づき、前記通知情報を更新するフィードバック反映部をさらに備える、
ことを特徴とする情報処理装置。
【請求項6】
請求項5に記載の情報処理装置であって、
前記アラート情報の種別と該種別に関連する脅威の情報を示す脅威情報とを対応付けて格納するアラート脅威データベースと、
前記脅威情報と前記対策とを対応付けて格納する対策データベースと、
前記対策と前記ソフトウェアコンポーネントとを対応付けて格納する対策ソフトウェアデータベースと、
前記対策と前記ソフトウェアコンポーネントとの組に対して担当組織を対応付けて格納する担当組織データベースと、
前記フィードバック情報と前記通知情報の変更情報とを格納するフィードバックデータベースと、を備える、
ことを特徴とする情報処理装置。
前記アラート情報の種別と該種別に関連する脅威の情報を示す脅威情報とを対応付けて格納するアラート脅威データベースと、
前記脅威情報と前記対策とを対応付けて格納する対策データベースと、
前記対策と前記ソフトウェアコンポーネントとを対応付けて格納する対策ソフトウェアデータベースと、
前記対策と前記ソフトウェアコンポーネントとの組に対して担当組織を対応付けて格納する担当組織データベースと、
前記フィードバック情報と前記通知情報の変更情報とを格納するフィードバックデータベースと、を備える、
ことを特徴とする情報処理装置。
【請求項7】
請求項6に記載の情報処理装置であって、
前記フィードバック情報と前記変更情報とに基づき、前記アラート脅威データベース、前記対策データベース、前記対策ソフトウェアデータベース、前記担当組織データベース、及び前記フィードバックデータベースを更新するデータベース更新部をさらに備える、
ことを特徴とする情報処理装置。
前記フィードバック情報と前記変更情報とに基づき、前記アラート脅威データベース、前記対策データベース、前記対策ソフトウェアデータベース、前記担当組織データベース、及び前記フィードバックデータベースを更新するデータベース更新部をさらに備える、
ことを特徴とする情報処理装置。
【請求項8】
請求項2に記載の情報処理装置であって、
前記通知部は、前記ソフトウェアコンポーネント及び前記対策情報の通知元組織の情報を前記組織へ通知する、
ことを特徴とする情報処理装置。
前記通知部は、前記ソフトウェアコンポーネント及び前記対策情報の通知元組織の情報を前記組織へ通知する、
ことを特徴とする情報処理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は情報処理装置に関し、特にアラートが発生した際に、該アラートの要因となったソフトウェアコンポーネントを特定し、迅速に対策を行うことが可能な情報処理装置に関する。
【背景技術】
【0002】
あらゆるモノがインターネットに繋がるIoT化が進む中、IoT機器のセキュリティを担保することが重要な社会課題の一つとなっている。特にIoT機器がコネクテッドカーや自動運転車などの自動車である場合、自動車がセキュリティ上の攻撃を受けることで、人の安全性を脅かす場合があり、そのような安全性上の被害を最小限に抑える技術が求められている。
【0003】
そのために近年では、車両の出荷後における運用中のセキュリティを管理するために、自動車向けSOC(VSOC:Vehicle Security Operation Center)が検討されている。VSOCでは、インシデントの発生を示すアラートに対し、原因となったソフトウェアコンポーネントの是正まで自社で対応する必要がある。この原因の特定と是正には、開発部署やサプライヤーなどの担当組織と情報を共有し、適切に調査・対応を依頼する必要がある。
【0004】
しかし、ソフトウェア単位での担当組織の選定と、その組織が必要とする情報を正確に共有することには多大な工数がかかる。また、コネクテッドカーは益々増加しており、VSOCが監視する車両の台数は大規模になってくる。そして、自動車に対する攻撃方法も多岐に亘っていくことが考えられる。このような環境では、新たなアラートが検知された場合に、分析に時間を要し、オペレータや分析官の作業負荷が増大してしまう。
【0005】
特許文献1では、ソフトウェアに対するバグ報告などの問題の報告を受け取り、対応する開発者組織から登録されたソフトウェア開発者に対して問題に関する報告を送るシステムが開示されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2016-173844号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1で開示されている技術では、報告内容の修正や確度の確認、報告先からのフィードバック情報の取り扱いに対応できず、やはりオペレータ及び分析官の作業負荷が十分に低減できてはいない。
【0008】
本発明は、上記の点を鑑みてなされたものであり、インシデントが発生した場合に、その原因となったソフトウェアコンポーネントや担当組織を迅速に特定し、インシデント対策を迅速に実施するための情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係る情報処理装置の一例は、アラート情報を取得するアラート取得部と、アラート情報に基づき対策が必要なソフトウェアコンポーネントを抽出するコンポーネント抽出部と、ソフトウェアコンポーネントに対する対策が可能な組織を判定し、組織に通知する通知情報を決定する通知先判定部と、通知情報の確度を設定する確度設定部と、確度が所定の閾値以上の場合に組織へソフトウェアコンポーネントを通知する通知部と、を備える。
【発明の効果】
【0010】
本発明によれば、インシデントが発生した場合に、その原因となったソフトウェアコンポーネントや担当組織を迅速に特定し、インシデント対策を迅速に実施することが可能になる。
本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
【図面の簡単な説明】
【0011】
【図1】本発明の一実施例に係る情報処理装置の機能構成を示す機能ブロック図。
【図2】本発明の一実施例に係る情報処理装置が、アラートを受信した場合に外部エンティティと連携して実行する処理全体の概要を示す図。
【図3】マッピング部がマッピング済アラートを生成する処理を示す図。
【図4】コンポーネント抽出部がコンポーネント抽出済アラートを生成する処理を示す図。
【図5】通知先判定部が通知情報を生成する処理を示す図。
【図6】確度設定部が確度設定済通知情報を生成する処理を示す図。
【図7】通知部が確度設定済通知情報に対して実施する処理フローを示す図。
【図8】DB更新部が各データベースを更新する処理を示す図。
【発明を実施するための形態】
【0012】
以下、本発明の実施例について、実施例を用い、図面を参照しながら詳細に説明する。
【0013】
まず、本発明の一実施例に係る情報処理装置1の機能構成を説明する。なお、情報処理装置1は、ハードウェア構成としては例えばメモリ及びプロセッサを備えたコンピュータであってもよく、サーバ上に実装されたクラウドであってもよい。
【0014】
情報処理装置1は、アラート取得部11、マッピング部12、コンポーネント抽出部13、通知先判定部14、確度設定部15、通知部16、フィードバック反映部17、DB(データベース)更新部18、及び記憶部100を備える。記憶部100内にはまた、アラート脅威DB101、対策DB102、対策ソフトウェアDB103、担当組織DB104、及びフィードバックDB105が格納されている。これらの機能部やデータベースの詳細については後述する。
【0015】
情報処理装置1はまた、情報処理装置1の不図示の通信インターフェースに接続された通信路2を介して複数の外部エンティティ3へと接続されている。通信路2は、物理的には複数の通信バスを含んでもよく、各通信バスの規格はすべて同一でもよいし異なっていてもよい。外部エンティティ3は通信路2を介して情報処理装置1からのメッセージを受信するとともに、通信路2を介して情報処理装置1に対してメッセージを送信する。なお、本実施例において「外部エンティティ」とは、後述する、情報処理装置1との間に情報の受渡しを行う、SIEMを含む外部/内部システムや、PSIRT分析官等を含む外部/内部組織のことを指す。
【0016】
図1に示す機能ブロック図は例示であり、機能の単位および名称はこれに限らない。たとえば、本実施例においてコンポーネント抽出部13が実現する機能は、図1に示す他の機能部によって実現されてもよく、図1に示さない機能部によって実現されてもよい。また、アラート取得部11が上述の通信インターフェースの機能を有してもよい。
【0017】
図2は、本発明の一実施例に係る情報処理装置が、アラートを受信した場合に外部エンティティと連携して実行する処理全体の概要を示す図である。ここで、アラートとは、インシデントの発生あるいはその可能性を示す警告であり、またインシデントとは、例えばある車両に搭載された電子機器が誤作動したり起動しなくなったりする等の、電子機器に生じる何らかのトラブルのことをいう。なお、図中点線矢印は、メモリ等のハードウェアまたはクラウド上のソフトウェア上に格納されたデータ集合体である各データベースに対する情報の参照を表し、実線矢印は、情報の送信を表す。
【0018】
図2に示す処理は、情報処理装置1の各機能部が、記憶部100内の各データベースを参照しながらCPUによって実行される処理である。ここで、データベースのうち、アラート脅威DB101、対策DB102、対策ソフトウェアDB103、及び担当組織DB104内の情報は、予めPSIRT分析官32により生成されたものである。
【0019】
上述したPSIRTとは、Product Security Incident Response Teamの略称であり、自社で製造・開発する製品やサービスを対象に、セキュリティレベルの向上やインシデント発生時の対応を行う組織のことをいう。すなわち、PSIRTは、インシデントを生じさせる可能性のある製品(機器・ソフトウェアコンポーネント等)に起こり得るエラーやエラーへの対策等を詳細に把握しており、これらをデータベース的に整理・構築することが可能である。
【0020】
PSIRT分析官32は、各製品の詳細設計(仕様)19、ソフトウェアコンポーネントの仕様を示すSBOM(Software Bill of Materials)20、各製品に対して実施されるリスクアセスメントの結果21、及びアラートを生成するルール22を適宜参照し、上述した各データベースを作成することが可能である。
【0021】
続いて、これらのデータベースを参照しながら実施される処理について説明する。いずれかの機器等からアラートが発出されると、アラートは、外部エンティティ3の1つであるSIEM31から情報処理装置1のアラート取得部11へと送信される。ここで、SIEMとは、Security Information and Event Managementの略称で、ネットワーク製品やセキュリティ製品を含むあらゆるIT機器のログを一元管理・解析し、インシデントにつながる脅威を検知するセキュリティ製品のことをいう。
【0022】
アラート取得部11がアラートを取得すると、マッピング部12へと転送される。マッピング部12は、アラート脅威DB101及び対策DB102を参照して当該アラートに対して脅威ID及び対策IDを付与することによってマッピングする。マッピング結果は、コンポーネント抽出部13へと転送される。
【0023】
コンポーネント抽出部13は、マッピング結果を受け取ると、対策ソフトウェアDB103を参照して、対策IDに関連するソフトウェアコンポーネントを抽出する。抽出結果は通知先判定部14へと転送される。
【0024】
通知先判定部14は、担当組織DB104を参照して、抽出されたソフトウェアコンポーネントに対する対策を実施可能な組織を判定し、また、当該組織に通知する情報を決定する。そして、判定の結果選択された組織及び通知する内容を含む通知情報を生成する。通知情報は確度設定部15へ転送される。
【0025】
確度設定部15は、受信した通知情報に対して、フィードバックDB105を参照することによって確度を設定する。ここで、確度とは、通知情報に含まれる通知先及び通知内容が、アラート取得部11が取得したアラートに正しく対応しているか否かを示す確からしさのことをいう。確度が設定された通知情報は通知部16へ転送される。
【0026】
通知部16は、受信した通知情報の確度を所定の閾値と比較する。確度が所定の閾値以上であればそのまま通知先である組織へと転送する。確度が所定の閾値未満の場合は、外部エンティティ3の一つである分析官33へと送信する。ここで、分析官33とは、通常は24時間365日体制でサイバーセキュリティインシデントを監視、検出、分析して対応する専門家(専門の分析組織)のことであり、確度の低い通知情報を分析し、アラートに正しく対応していると判断すればその通知情報を承認して通知部16に送信する。通知情報がアラートに正しく対応するものでなければ、アラートに正しく対応した情報に変更・修正して通知部16に送信する。
【0027】
そして、通知部16は、分析官33から受信した承認済・変更済通知情報を、通知情報として通知先34へと送信する。また、分析官33から受信した通知情報が変更されたものである場合は、変更情報をDB更新部18へ転送する。
【0028】
通知先34は、通知部16から通知情報を受信すると、その通知情報が、アラートに正しく対応しているものかどうか最終決定する。そして、その結果をフィードバック反映部17へと送信する。
【0029】
フィードバック反映部17は、通知先34から受信したフィードバック情報を通知部16及びDB更新部18へと転送する。このフィードバックはすなわち、通知部16が通知先34へと送信した通知情報が正しくアラートに対応していたか否かを正確に示すものである。
【0030】
フィードバック情報を受信した通知部16は通知情報を修正する。DB更新部18は、受信した変更情報およびフィードバック情報をフィードバックDB105に格納する。
【0031】
次に、各機能部が実行する処理のさらなる詳細について図3~8を用いて説明する。
【0032】
図3は、マッピング部12がマッピング済アラートを生成する処理の詳細を示す図である。アラート脅威DB101は、発せられたアラートに関連する脅威の情報(攻撃対象のモジュール、攻撃対象の保護資産、攻撃元、攻撃理由、脅威事象)を記憶するデータベースである。対策DB102は、アラート脅威DBに記憶されている脅威のそれぞれに対して、講じられるべき対策の一覧を記憶するデータベースである。
【0033】
まず、アラート取得部11から転送されてきたアラートは、アラートタイプがIVI-Navi-Error123であり、アラートIDとしてA123が付与されているとする。
【0034】
マッピング部12は、アラート脅威DB101を参照し、受信したアラートに関連する脅威を検索する。本実施例においては、図3に示すアラート脅威DB101から、受信したアラートは、IVI(In-Vehicle Infotainment system)内のカーナビに対し、NW(NetWork)1から故意に機能の不正動作を引き起こす、という脅威ID:T1の脅威に関連することがわかる。
【0035】
そして、対策DB102を参照し、脅威ID:T1に対して実施されるべき対策を検索する。本実施例においては、脅威ID:T1に対しては、対策ID:M1、M2が付与された2種類の対策が設定されていることがわかる。
【0036】
上記の処理に基づいて、マッピング部12は、アラートに脅威IDと対策IDを付与した、マッピング済アラートを生成し、コンポーネント抽出部13へと転送する。
【0037】
図4は、マッピング部12からマッピング済アラートを受信したコンポーネント抽出部13が実施する、コンポーネント抽出済アラートを生成する処理を示す図である。対策ソフトウェアDB103は、対策DB102に記憶されている対策のそれぞれに対応したソフトウェアコンポーネントを記憶する。すなわち、対策を実行可能なソフトウェアコンポーネントを記憶する。
【0038】
マッピング済アラートを受信したコンポーネント抽出部13は、対策ソフトウェアDB103を参照して、マッピング済アラートに付与された対策IDに対応するソフトウェアコンポーネントを検索する。本実施例においては、対策ID:M1が付与された対策内容についてはソフトウェアコンポーネントSW1が対応しており、対策ID:M2が付与された対策内容についてはソフトウェアコンポーネントSW2が対応していることがわかる。
【0039】
そして、コンポーネント抽出部13は、マッピング済アラートにコンポーネント情報を付与して、コンポーネント抽出済アラートを生成する。生成したコンポーネント抽出済アラートは、通知先判定部14へと転送する。
【0040】
図5は、コンポーネント抽出部13からコンポーネント抽出済アラートを受信した通知先判定部14が実施する、通知情報を生成する処理を示す図である。担当組織DB104は、対策ソフトウェアDB103に記憶されているソフトウェアコンポーネントのそれぞれに関連付けられた組織を記憶する。ソフトウェアコンポーネントに関連付けられた組織とは、自社の場合であれば例えば当該ソフトウェアコンポーネントを開発した部署や、保守担当の部署が挙げられる。また、他社の場合は、当該他社内の担当部署が挙げられる。これらの組織は、1つとは限られず、例えばソフトウェアコンポーネントが共同開発された場合や、開発と保守とが別々の組織によって行われる場合には複数存在し得る。また、担当組織DB104には、その組織に通知すべき情報の内容も記憶されている。この通知内容についても、上記と同様に組織の役割等によって複数存在し得る。
【0041】
通知先判定部14は、この担当組織DB104を参照し、ソフトウェアコンポーネントのそれぞれに関する組織を検索する。本実施例においては、ソフトウェアコンポーネントSW1については組織O1及びO2に、ソフトウェアコンポーネントSW2については組織O3に、それぞれ図示した通知内容を通知すべきことがわかる。
【0042】
上述の処理によって、通知先判定部14は、アラート内容に通知先及び通知内容を付与して通知情報を生成する。なお、図5に示すように、同一のアラートタイプを有するアラートについては1つの通知にまとめてもよい。生成した通知情報は、確度設定部15へ転送する。
【0043】
図6は、通知先判定部14から通知情報を受信した確度設定部15が実施する、確度設定済通知情報を生成する処理を示す図である。フィードバックDB105は、それまでに実施された一連の処理を経て得られた変更情報及びフィードバック情報を記憶するデータベースである。通知番号を有するアラート情報は全てアラートタイプ、対策ID、抽出されたソフトウェアコンポーネント、通知先、及び通知内容を有している。一連の処理が実施されると、図2の処理概要で説明したように、分析官33または通知先34からフィードバックが得られる。すなわち、通知部16が生成した通知情報が最終的に正しいものであったか否かのフィードバックが記憶されている。
【0044】
確度設定部15は、このフィードバックDB105を参照して、通知情報の確度を設定する。具体的には、図6の通知No.45の通知情報の場合、脅威ID:1、対策ID:M1、かつ抽出されたソフトウェアコンポーネントがSW1の場合、通知先の1つがO1と設定されていた。この場合、フィードバックDB105には同様の通知が12件記憶されており、そのうちの83%である10件において通知先がO1で正しかったことを示す。同様に、通知先がO2であることに関しては12件中66%である8件がO2で正しかったことを示す。これは換言すると、12件中4件は通知先としてO2が正しくなかったことを示す。
【0045】
通知内容についても同様に、フィードバックDB105に蓄積されたフィードバックと照合させて、どれだけの通知内容が正しかったかを確度として設定する。このようにして、確度設定部15は確度設定済通知情報を生成する。生成した確度設定済通知情報は通知部16へと転送する。
【0046】
図7は、確度設定部15から確度設定済通知情報を受信した通知部16が実施する処理を示す図である。
【0047】
確度設定済通知情報を受信した通知部16は、通知情報に含まれる通知先及び通知内容の確度を判定する。ここで、通知部16は確度に関する閾値を記憶しており、通知先または通知内容いずれかの確度が閾値未満の場合には、その通知先または通知内容が誤っている可能性が比較的高いと判断し、詳細に分析するために通知情報を分析官(分析組織)33に送信する。確度が閾値以上の場合には、詳細な分析までは不要であると判断し、直接通知先(対策が可能な組織)34に送信する。確度に関する閾値とは、例えば確度に関しては75%、フィードバック数については5個など、適宜設定できる。この閾値はアラートタイプ毎に異なっていてよく、日常的に更新されてもよい。
【0048】
このように、本実施例においては通知情報に確度を設定することで、その通知情報の確度が比較的高い場合には分析官による詳細な分析を割愛して直接通知先へ送信できるため、アラート内容について迅速に共有できるようになり、アラートに対して対策を実施するまでの時間を大幅に削減することが可能になる。
【0049】
通知情報の確度が低く、通知情報が分析官33に送信されると、分析官33はその通知情報を詳細に分析し、変更すべき箇所がある場合には当該変更内容を含む変更情報を通知部16へと返信する。変更情報を受信した通知部16は、変更情報に基づいて通知情報を修正し、通知先34へと送信する。同時に、当該変更情報をDB更新部18に送信する。
【0050】
通知情報を受信した通知先34は、当該通知情報が正しいか否かの最終判断を行い、フィードバック情報としてフィードバック反映部17へと送信する。フィードバック反映部17は、受信したフィードバック情報を基に最終的なフィードバック情報を生成し、通知部16及びDB更新部18へと送信する。
【0051】
なお、通知部16は、上記の通知情報だけではなく、通知情報に含まれるソフトウェアコンポーネントや対策情報の通知元に関する情報も通知先34に通知してもよい。通知先34は、それらの情報を用いて分析精度を向上させることが可能になる。
【0052】
DB更新部18は、受信した変更情報及びフィードバック情報をフィードバックDB105に格納する。変更情報及びフィードバック情報の双方を格納する理由は、変更情報は分析官33の分析による変更内容であり、フィードバック情報は通知先34による最終的なフィードバックであり、したがって、これらの相違点を明らかにすることによって分析官による分析精度の向上が期待できるからである。
【0053】
このようにして、本実施例によれば当初に生成した通知情報に対して、送信先から得た最終的なフィードバックに基づいてデータベースを更新していくため、アラートの発出時に生成される初期情報についての精度の向上が期待できる。
【0054】
図8は、DB更新部18が実施する、各データベースを更新する処理を示す図である。DB更新部18は、通知先34から受信した最終的なフィードバック情報と、処理前のデータベースに記憶された情報とを比較し、更新すべきデータベース及びその内容の案を生成する。
【0055】
本実施例においては、例えば、図7等に示された、通知No.45の通知情報に関して、通知情報生成時の対策ソフトウェアDB103には、対策ID:M2に対してソフトウェアコンポーネントSW2が対応すると記憶されていたが、これはソフトウェアコンポーネントSW3の誤りであったと判断され、その変更を案として含んでいる。また、対策ソフトウェアDB103の更新に伴い、担当組織DB104についても、ソフトウェアコンポーネントSW3に対応する担当組織及び通知内容に変更することを案として含んでいる。
【0056】
DB更新部18は、上述の処理によって得られたDB更新案をPSIRT分析官35に送信し、その承認またはさらなる変更を要求する。そして、PSIRT分析官35から返信されてきた更新案を最終案として、各データベースを更新する。
【0057】
このようにして、得られたフィードバック情報を基に各データベースを更新していくため、通知情報生成の精度を向上させることが可能になり、分析官による詳細な分析を要する通知情報を削減し、情報の共有、対策実施までの時間の短縮化が期待できる。
【0058】
以上で説明した本発明の実施例によれば、以下の作用効果を奏する。
(1)本発明の一実施例に係る情報処理装置は、アラート情報を取得するアラート取得部と、アラート情報に基づき対策が必要なソフトウェアコンポーネントを抽出するコンポーネント抽出部と、ソフトウェアコンポーネントに対する対策が可能な組織を判定し、組織に通知する通知情報を決定する通知先判定部と、通知情報の確度を設定する確度設定部と、確度が所定の閾値以上の場合に組織へソフトウェアコンポーネントを通知する通知部と、を備える。
(1)本発明の一実施例に係る情報処理装置は、アラート情報を取得するアラート取得部と、アラート情報に基づき対策が必要なソフトウェアコンポーネントを抽出するコンポーネント抽出部と、ソフトウェアコンポーネントに対する対策が可能な組織を判定し、組織に通知する通知情報を決定する通知先判定部と、通知情報の確度を設定する確度設定部と、確度が所定の閾値以上の場合に組織へソフトウェアコンポーネントを通知する通知部と、を備える。
【0059】
上記構成により、インシデントが発生した場合に、その原因となったソフトウェアコンポーネントや担当組織を迅速に特定し、インシデント対策を迅速に実施することが可能になる。
【0060】
(2)アラート情報に対して、該アラート情報に関連する脅威の情報を示す脅威情報および該脅威情報に対応する対策情報を付与するマッピング部をさらに備え、コンポーネント抽出部は、マッピング部の付与結果に基づきソフトウェアコンポーネントを抽出する。これにより、ソフトウェアコンポーネント抽出に際しより多くの情報を利用できるため、ソフトウェアコンポーネント抽出の精度向上が期待できる。
【0061】
(3)通知部は、通知情報の確度が閾値未満の場合に、該通知情報を分析組織に通知するとともに、分析組織から変更情報を受信したときに、変更情報に基づき組織へソフトウェアコンポーネントと対策情報とを通知する。これにより、確度の低い通知情報については分析組織による分析が行われるため、確度の低い情報を通知先の組織に送信し、組織内における分析に余計な時間がかかってしまうという問題を回避できる。
【0062】
(4)通知部は、通知情報の確度が閾値以上の場合に、該通知情報を分析組織に通知せずに組織へソフトウェアコンポーネントと対策情報とを通知する。これにより、確度の比較的高い情報については、迅速に通知先の組織に送信し、対策を実施するまでの時間を削減することが可能になる。
【0063】
(5)組織から取得するフィードバック情報に基づき、通知情報を更新するフィードバック反映部をさらに備える。これにより、通知先である組織によって最終決定された正しい情報を通知情報に反映させることができるので、その後の分析の精度向上が期待できる。
【0064】
(6)アラート情報の種別と該種別に関連する脅威の情報を示す脅威情報とを対応付けて格納するアラート脅威データベースと、脅威情報と対策とを対応付けて格納する対策データベースと、対策とソフトウェアコンポーネントとを対応付けて格納する対策ソフトウェアデータベースと、対策とソフトウェアコンポーネントとの組に対して担当組織を対応付けて格納する担当組織データベースと、フィードバック情報と通知情報の変更情報とを格納するフィードバックデータベースと、を備える。このような構成要素を備えることにより、本発明の利便性を向上させることが期待できる。
【0065】
(7)フィードバック情報と変更情報とに基づき、アラート脅威データベース、対策データベース、対策ソフトウェアデータベース、担当組織データベース、及びフィードバックデータベースを更新するDB更新部をさらに備える。これにより、各データベースの情報が正しい情報に更新されるので、各処理の精度向上が期待できる。
【0066】
(8)通知部は、ソフトウェアコンポーネント及び対策情報の通知元組織の情報を組織へ通知する。これにより、通知情報を受け取った組織は、通知元組織に関する情報を参照し、より適切に通知情報を分析することが可能になる。
【0067】
なお、本発明は、上記の実施例に限定されるものではなく、様々な変形が可能である。例えば、上記の実施例は、本発明を分かりやすく説明するために詳細に説明したものであり、本発明は、必ずしも説明した全ての構成を備える態様に限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能である。また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、削除したり、他の構成を追加・置換したりすることが可能である。
【符号の説明】
【0068】
1 情報処理装置、3 外部エンティティ、11 アラート取得部、12 マッピング部、13 コンポーネント抽出部、14 通知先判定部、15 確度設定部、16 通知部、17 フィードバック反映部、18 DB更新部、34 通知先、101 アラート脅威DB、102 対策DB、103 対策ソフトウェアDB、104 担当組織DB、105 フィードバックDB
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】