(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024163229
(43)【公開日】2024-11-21
(54)【発明の名称】分析装置、分析方法、及び分析プログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20241114BHJP
【FI】
G06F21/57 370
【審査請求】有
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2024151498
(22)【出願日】2024-09-03
(62)【分割の表示】P 2023528794の分割
【原出願日】2021-06-15
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】水島 諒
(72)【発明者】
【氏名】柳生 智彦
(57)【要約】
【課題】対策が導入された場合におけるリスク分析を、低コストで実施することを可能とする。
【解決手段】構成情報取得手段(11)は、分析対象のシステムの構成情報を取得する。脅威分析手段(12)は、分析対象のシステムにおいて実施され得る攻撃手法を分析する。攻撃ルート生成手段(13)は、攻撃の始点から終点までの攻撃ルートを生成する。リスク値計算手段(14)は、生成された攻撃ルートのリスク値を計算する。結果出力手段(15)は、計算されたリスク値を含むリスク分析結果を出力する。リスク再分析手段(16)は、立案されたセキュリティ対策に応じて、構成情報取得手段(11)、脅威分析手段(12)、攻撃ルート生成手段(13)、及びリスク値計算手段(14)の何れかから、セキュリティ対策が導入された場合のリスク分析を実施させる。
【選択図】図1
【解決手段】構成情報取得手段(11)は、分析対象のシステムの構成情報を取得する。脅威分析手段(12)は、分析対象のシステムにおいて実施され得る攻撃手法を分析する。攻撃ルート生成手段(13)は、攻撃の始点から終点までの攻撃ルートを生成する。リスク値計算手段(14)は、生成された攻撃ルートのリスク値を計算する。結果出力手段(15)は、計算されたリスク値を含むリスク分析結果を出力する。リスク再分析手段(16)は、立案されたセキュリティ対策に応じて、構成情報取得手段(11)、脅威分析手段(12)、攻撃ルート生成手段(13)、及びリスク値計算手段(14)の何れかから、セキュリティ対策が導入された場合のリスク分析を実施させる。
【選択図】図1
【特許請求の範囲】
【請求項1】
対象システムにおける脅威によるセキュリティリスクを分析し、
前記脅威に対するセキュリティ対策が導入された前記対象システムのセキュリティリスクを再分析し、
前記分析した結果を示す第1情報と、前記再分析した結果を示す第2情報とを出力する分析装置。
前記脅威に対するセキュリティ対策が導入された前記対象システムのセキュリティリスクを再分析し、
前記分析した結果を示す第1情報と、前記再分析した結果を示す第2情報とを出力する分析装置。
【請求項2】
前記対象システムの構成情報と脆弱性情報とに基づいて、前記対象システムに対する攻撃手法を分析する脅威分析手段と、
前記攻撃手法に関するリスク値を計算する計算手段と、
前記再分析を実施する再分析手段と、
前記第1情報と、前記第2情報とを出力する出力手段と
を備える請求項1に記載の分析装置。
前記攻撃手法に関するリスク値を計算する計算手段と、
前記再分析を実施する再分析手段と、
前記第1情報と、前記第2情報とを出力する出力手段と
を備える請求項1に記載の分析装置。
【請求項3】
前記構成情報と、前記攻撃手法とに基づいて、攻撃の始点から終点までの攻撃ルートを生成するルート生成手段
をさらに備え、
前記計算手段は、生成された前記攻撃ルートについての前記リスク値を算出する
請求項2に記載の分析装置。
をさらに備え、
前記計算手段は、生成された前記攻撃ルートについての前記リスク値を算出する
請求項2に記載の分析装置。
【請求項4】
前記対象システムの前記構成情報を取得する情報取得手段
をさらに備える請求項3に記載の分析装置。
をさらに備える請求項3に記載の分析装置。
【請求項5】
前記再分析手段は、前記セキュリティ対策の種別に応じて、前記情報取得手段、前記脅威分析手段と、前記ルート生成手段、及び、前記計算手段の何れかを前記再分析における戻り場所として決定し、該決定した戻り場所から前記再分析を実施させる
請求項4に記載の分析装置。
請求項4に記載の分析装置。
【請求項6】
前記再分析手段は、前記セキュリティ対策の種別と前記戻り場所とを対応付ける対策情報テーブルを用いて、前記対象システムに対して立案されたセキュリティ対策に対応する戻り場所を取得し、該取得した戻り場所から前記再分析を実施させる
請求項5に記載の分析装置。
請求項5に記載の分析装置。
【請求項7】
前記ルート生成手段は、第1のホップ数を上限として前記攻撃ルートを生成し、前
記再分析では、第1のホップ数より多い第2のホップ数を上限として、前記攻撃ルートを生成する
請求項3に記載の分析装置。
記再分析では、第1のホップ数より多い第2のホップ数を上限として、前記攻撃ルートを生成する
請求項3に記載の分析装置。
【請求項8】
前記脆弱性情報及び前記構成情報の少なくとも一方が変化したか否かを判定する差分判定手段
更に有し、
前記再分析手段は、前記脆弱性情報及び前記構成情報の少なくとも一方が変化したと判定された場合、前記脆弱性情報及び前記構成情報の少なくとも一方の変化の内容に応じて、前記情報取得手段、前記脅威分析手段、前記ルート生成手段、及び、記計算手段の何れかから再分析を実施させる
請求項4に記載の分析装置。
更に有し、
前記再分析手段は、前記脆弱性情報及び前記構成情報の少なくとも一方が変化したと判定された場合、前記脆弱性情報及び前記構成情報の少なくとも一方の変化の内容に応じて、前記情報取得手段、前記脅威分析手段、前記ルート生成手段、及び、記計算手段の何れかから再分析を実施させる
請求項4に記載の分析装置。
【請求項9】
前記差分判定手段は、周期的に、前記脆弱性情報及び前記構成情報の少なくとも一方が変化しているか否かを判定する
請求項8に記載の分析装置。
請求項8に記載の分析装置。
【請求項10】
コンピュータが、対象システムにおける脅威によるセキュリティリスクを分析し、
前記コンピュータが、前記脅威に対するセキュリティ対策が導入された前記対象システムのセキュリティリスクを再分析し、
前記コンピュータが、前記分析した結果を示す第1情報と、前記再分析した結果を示す第2情報とを出力する
分析方法。
前記コンピュータが、前記脅威に対するセキュリティ対策が導入された前記対象システムのセキュリティリスクを再分析し、
前記コンピュータが、前記分析した結果を示す第1情報と、前記再分析した結果を示す第2情報とを出力する
分析方法。
【請求項11】
対象システムにおける脅威によるセキュリティリスクを分析する機能と、
前記脅威に対するセキュリティ対策が導入された前記対象システムのセキュリティリスクを再分析する機能と、
分析した結果を示す第1情報と、再分析した結果を示す第2情報とを出力する機能と
をコンピュータに実現させる分析プログラム。
前記脅威に対するセキュリティ対策が導入された前記対象システムのセキュリティリスクを再分析する機能と、
分析した結果を示す第1情報と、再分析した結果を示す第2情報とを出力する機能と
をコンピュータに実現させる分析プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、リスク分析装置、リスク分析方法、及びコンピュータ可読媒体に関する。
【背景技術】
【0002】
近年、サイバー攻撃の脅威は、ICT(Information and Communication Technology)分野にとどまらず、制御システムやIoT(Internet of Things)の分野でも被害事例が発生している。特に、制御システムにおいては、電力システムや工場の停止など、重要インフラの稼働を脅かす事案も起こっている。サイバー攻撃の脅威に対しては、システムが持つセキュリティリスクを明確化し、対策を実施し、リスクを下げることが重要である。
【0003】
関連技術として、特許文献1は、システムに対する攻撃に関する対策、及びセキュリティテストを立案するリスク評価対策立案システムを開示する。特許文献1に記載のリスク評価対策立案システムの処理装置は、設計情報に基づいて、脆弱性を分析し、脆弱性の分析結果に基づいて、システムに対する脅威を分析する。処理装置は、脅威分析結果と脆弱性データベースに格納された脆弱性情報とに基づいて、脆弱性の影響を低減する対策を立案する。処理装置は、対策立案に基づいてセキュリティテストを立案し、セキュリティテストに基づいて評価を行う。
【0004】
処理装置は、セキュリティテストに基づく評価では、システムの複数の構成要素と、複数の構成要素の間の接続関係と、構成要素に関連する脆弱性情報とに基づいて、攻撃の起点から構成要素につながる攻撃経路を生成する。処理装置は、攻撃経路に存在する攻撃手法の順番と、攻撃手法に関連する脆弱性と、セキュリティテストとに基づいて、各構成要素が保持する資産価値と脅威事象を引き起こす発生確率とを生成する。処理装置は、発生確率を資産価値に対する要件以下の発生確率に低減するための追加対策を立案する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2020-166650号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ここで、サイバー攻撃の脅威に対する対策を立案した場合に、システムに対策が導入された場合に、リスクがどのように変化するかを確認するためには、再度リスク分析が必要となる。再度リスク分析を行うには時間及び人手など多くのコストがかかる。また、再度実施されるリスク分析において、リスク値の再計算のみで済むのか、脅威の再検討が必要なのかを判断することが難しい。例えば、攻撃ルートが消えるのか、或いはリスクが下がるだけなのかを判断することは困難である。攻撃ルートが消えたかを判断するためには、リスク分析を再度行う必要がある。
【0007】
特許文献1には、対策立案に基づいてセキュリティテストを立案し、セキュリティテストに基づいて評価を行うことが記載されている。しかしながら、特許文献1において、対策立案に基づいてどのようなセキュリティテストが生成されるかは不明である。また、特許文献1においても、システムに対策が導入された場合に、リスクがどのように変化するかを確認するためには、再度リスク分析が必要となり、時間及び人手など多くのコストがかかる。
【0008】
本開示は、上記事情に鑑み、対策が導入された場合におけるリスク分析を、低コストで実現可能なリスク分析装置、方法、及びコンピュータ可読媒体を提供することを目的の1つとする。
【課題を解決するための手段】
【0009】
上記目的を達成するために、本開示は、第1の態様として、リスク分析装置を提供する。リスク分析装置は、分析対象のシステムの構成情報を取得する構成情報取得手段と、前記構成情報と脆弱性情報とに基づいて、前記システムにおいて実施され得る攻撃手法を分析する脅威分析手段と、前記構成情報と前記攻撃手法とに基づいて、攻撃の始点から終点までの攻撃ルートを生成する攻撃ルート生成手段と、前記攻撃ルートのリスク値を計算するリスク値計算手段と、前記計算したリスク値を含むリスク分析結果を出力する結果出力手段と、前記システムに対して立案されたセキュリティ対策に応じて、前記構成情報取得手段、前記脅威分析手段、前記攻撃ルート生成手段、及び前記リスク値計算手段の何れかから、前記セキュリティ対策が導入された場合のリスク再分析を実施させるリスク再分析手段とを含む。
【0010】
本開示は、第2の態様として、リスク分析方法を提供する。リスク分析方法は、分析対象のシステムに対するリスク分析であって、構成情報を取得する構成情報取得フェーズと、前記構成情報と脆弱性情報とに基づいて、前記システムにおいて実施され得る攻撃手法を分析する脅威分析フェーズと、前記構成情報と前記攻撃手法とに基づいて、攻撃の始点から終点までの攻撃ルートを生成する攻撃ルート生成フェーズと、前記攻撃ルートのリスク値を計算するリスク値計算フェーズとを含むリスク分析を実施し、前記計算されたリスク値を含むリスク分析結果を出力し、前記システムに対して立案されたセキュリティ対策に応じて、前記構成情報取得フェーズ、前記脅威分析フェーズ、前記攻撃ルート生成フェーズ、及びリスク値計算フェーズの何れかから、前記セキュリティ対策が導入された場合のリスク再分析を実施することを含む。
【0011】
本開示は、第3の態様として、コンピュータ可読媒体を提供する。コンピュータ可読媒体は、分析対象のシステムに対するリスク分析であって、構成情報を取得する構成情報取得フェーズと、前記構成情報と脆弱性情報とに基づいて、前記システムにおいて実施され得る攻撃手法を分析する脅威分析フェーズと、前記構成情報と前記攻撃手法とに基づいて、攻撃の始点から終点までの攻撃ルートを生成する攻撃ルート生成フェーズと、前記攻撃ルートのリスク値を計算するリスク値計算フェーズとを含むリスク分析を実施し、前記計算されたリスク値を含むリスク分析結果を出力し、前記システムに対して立案されたセキュリティ対策に応じて、前記構成情報取得フェーズ、前記脅威分析フェーズ、前記攻撃ルート生成フェーズ、及びリスク値計算フェーズの何れかから、前記セキュリティ対策が導入された場合のリスク再分析を実施する処理をコンピュータに実施させるためのプログラムを格納する。
【発明の効果】
【0012】
本開示に係るリスク分析装置、方法、及びコンピュータ可読媒体は、対策が導入された場合におけるリスク分析を、低コストで実施することができる。
【図面の簡単な説明】
【0013】
【図1】本開示に係るリスク分析装置の概略的な構成を示すブロック図。
【図2】本開示の第1実施形態に係るリスク分析装置を示すブロック図。
【図3】対策情報テーブルの一例を示す図。
【図4】リスク分析装置における動作手順を示すフローチャート。
【図5】本開示の第2実施形態に係るリスク分析装置を示すブロック図。
【図6】脆弱性情報の一例を示す図。
【図7】コンピュータ装置の構成例を示すブロック図。
【発明を実施するための形態】
【0014】
本開示の実施の形態の説明に先立って、本開示の概要を説明する。図1は、本開示に係るリスク分析装置の概略的な構成を示す。リスク分析装置10は、構成情報取得手段11、脅威分析手段12、攻撃ルート生成手段13、リスク値計算手段14、結果出力手段15、及びリスク再分析手段16を有する。構成情報取得手段11は、分析対象のシステムの構成情報を取得する。脅威分析手段12は、取得された構成情報と脆弱性情報とに基づいて、分析対象のシステムにおいて実施され得る攻撃手法を分析する。
【0015】
攻撃ルート生成手段13は、取得された構成情報と分析された攻撃手法とに基づいて、攻撃の始点から終点までの攻撃ルートを生成する。リスク値計算手段14は、生成された攻撃ルートのリスク値を計算する。結果出力手段15は、計算されたリスク値を含むリスク分析結果を出力する。リスク再分析手段16は、分析対象のシステムに対して立案されたセキュリティ対策に応じて、構成情報取得手段11、脅威分析手段12、攻撃ルート生成手段13、及びリスク値計算手段14の何れかから、セキュリティ対策が導入された場合のリスク分析を実施させる。
【0016】
本開示では、リスク再分析手段16は、分析対象のシステムに対して立案されたセキュリティ対策に応じて、構成情報取得手段11、脅威分析手段12、攻撃ルート生成手段13、及びリスク値計算手段14の何れかからリスク再分析を実施させる。別の言い方をすると、リスク再分析手段16は、セキュリティ対策に応じて、リスク分析を、どの段階まで戻って実施するかを決定するとも言える。本開示は、決定した段階からリスク分析を再実施することで、セキュリティ対策が導入された場合におけるリスク再分析を、低コストで実施することができる。
【0017】
以下、図面を参照して本開示の実施の形態について説明する。なお、以下の記載及び図面は、説明の明確化のため、適宜、省略及び簡略化がなされている。また、以下の各図面において、同一の要素及び同様な要素には同一の符号が付されており、必要に応じて重複説明は省略されている。
【0018】
図2は、本開示の第1実施形態に係るリスク分析装置を示す。リスク分析装置100は、構成情報取得部101、脅威分析部102、攻撃ルート生成部103、リスク値計算部104、分析結果出力部105、対策入力部106、及び再分析部107を有する。リスク分析装置100内の各部の機能は、例えばコンピュータ装置がプログラムに従って処理を実行することで実現され得る。リスク分析装置100は、図1に示されるリスク分析装置10に対応する。
【0019】
構成情報取得部101は、分析対象システムの構成情報を取得する。構成情報は、例えば、システムを構成する各資産、ネットワーク構成、脆弱性、オープンポート、アカウント情報、及びソフトウェアに関する情報を含む。脅威分析部102は、分析対象システムにおいて想定される脅威を分析する。脅威分析部102は、例えば分析対象システムにおいて、攻撃者が利用することができる攻撃手法を分析する。構成情報取得部101は図1に示される構成情報取得手段11に対応し、脅威分析部102は図1に示される脅威分析部102に対応する。
【0020】
攻撃ルート生成部103は、分析対象システムにおける攻撃ルートを検索する。例えば、セキュリティリスクの分析では、いくつかの攻撃シナリオが想定されている。攻撃シナリオは、例えば、攻撃に利用される侵入口、最終的な攻撃対象、及び最終攻撃の種別を含む。攻撃ルート生成部103は、システムの構成情報などを参照し、攻撃シナリオに対して、攻撃条件に基づいて攻撃ステップを演繹的に推論し、攻撃ルートを探索する。攻撃ルートに含まれる攻撃ステップは、攻撃元と攻撃先と攻撃手法とを含む。攻撃ルートにおける攻撃ステップや各攻撃ステップの条件をグラフ形式で表したグラフは、「攻撃グラフ」や「攻撃ツリー」と呼ばれる。攻撃ルート生成部103は、図1に示される攻撃ルート生成手段13に対応する。
【0021】
リスク値計算部104は、分析対象システムにおけるリスク値を計算する。リスク値計算部104は、例えば、攻撃ルート生成部103が生成した攻撃ルートごとに、リスク値を計算してもよい。リスク値計算部104は、攻撃ルートに含まれる攻撃ステップに対してリスク値を計算してもよい。リスク値計算部104は、図1に示されるリスク値計算手段14に対応する。
【0022】
分析結果出力部105は、分析対象システムのリスク分析結果を出力する。分析結果出力部105は、例えば、リスク値計算部104で攻撃ルートごとに計算されたリスク値を、図示しないディスプレイ装置などに表示する。分析結果出力部105は、例えば、リスク値が高い攻撃ルートを、リスク値が低い攻撃ルートよりも強調して表示してもよい。分析結果出力部105は、図1に示される結果出力手段15に対応する。
【0023】
ユーザは、分析結果出力部105が出力するリスク分析結果を参照し、分析対象システムに存在する脅威を少なくとも軽減するための対策を立案する。対策入力部106は、分析対象システムに存在する脅威に対する対策を入力する。対策入力部106は、例えばキーボード、マウス、及びタッチパネルなどの入力デバイスを含み、ユーザは、入力デバイスを操作して、対策をリスク分析装置100に入力することができる。対策入力部106は、複数の対策を入力することができる。
【0024】
再分析部107は、対策が入力された場合に、その対策が導入された場合の分析対象システムのセキュリティリスクを再分析する。リスク分析は、構成情報収集フェーズ、脅威分析フェーズ、攻撃ルート生成フェーズ、及びリスク値計算フェーズを含む。構成情報収集フェーズ、脅威分析フェーズ、攻撃ルート生成フェーズ、及びリスク値計算フェーズは、構成情報取得部101、脅威分析部102、攻撃ルート生成部103、及びリスク値計算部104に対応する。再分析部107は、再分析では、対策入力部106から入力された対策に応じて、どのフェーズからリスク分析を実施するかを決定する。例えば、再分析部107は、対策の種別と、再分析を実施するフェーズとを対応付ける対策情報テーブルを参照し、入力された対策に応じて、どのフェーズからリスク分析を実施するかを決定する。再分析部107は、図1に示されるリスク再分析手段16に対応する。
【0025】
図3は、対策情報テーブルの一例を示す。対策情報テーブルは、対策名、対策種別、対策内容、戻り場所を含む。対策種別は、対策名で識別されるセキュリティ対策の種別を示す。対策種別は、例えば、緩和策、及び根本策を含む。緩和策は、例えば、分析対象システムにおける脅威を解消することはできないが、脅威の影響を軽減できるセキュリティ対策を示す。根本策は、分析対象システムにおける脅威を、少なくとも部分的に解消できるセキュリティ対策を示す。対策内容は、対策名で識別されるセキュリティ対策の内容を示す。
【0026】
対策情報テーブルにおいて、戻り場所は、再分析において、リスク分析が実施されるフェーズを示す。戻り場所は、例えば、対策名で識別される対策に対応して定義される。例えば、対策が導入されることでシステム構成が大きく変化する対策に対しては、構成情報収集が、戻り場所として定義される。対策が導入されることで脅威の数が大きく変化する対策に対しては、脅威分析が、戻り場所として定義される。対策が導入されることで特定の脅威が減少する変化する対策に対しては、攻撃ルート生成が、戻り場所として定義される。対策が導入されることでリスク値が変化する対策に対しては、リスク値計算が、戻り場所として定義される。
【0027】
再分析部107は、対策情報テーブルを参照し、対策入力部106から入力された対策に対応する戻り場所を取得する。再分析部107は、取得した戻り場所に応じて、再分析を実施するフェーズを決定する。例えば、再分析部107は、対策名が「ログ監視」のセキュリティ対策に対して、リスク値計算からリスク分析を再実施すると決定する。再分析部107は、対策名が「パッチ適用」のセキュリティ対策に対して、攻撃ルート生成からリスク分析を再実施すると決定する。
【0028】
上記では、セキュリティ対策(対策名)ごとに戻り場所が定義される例を説明したが、本実施形態はこれには限定されない。戻り場所は、対策種別に対応して定義されていてもよい。その場合、再分析部107は、対策名と対策種別とを関連付けるテーブル(第1のテーブル)を参照して対策種別を取得し、対策種別と戻り場所とを関連付ける別のテーブル(第2のテーブル)を参照して、戻り場所を取得してもよい。再分析部107は、対策種別以外に、対策内容に応じて戻り場所を決定してもよい。
【0029】
続いて、動作手順を説明する。図4は、リスク分析装置における動作手順(リスク分析方法)を示す。リスク分析装置100は、分析対象システムにおけるリスクを分析する(ステップS1)。ステップS1において、構成情報取得部101は、分析対象システムの構成情報を取得する。攻撃ルート生成部103は、分析対象システムにおける攻撃ルートを検索する。リスク値計算部104は、各攻撃ルートのリスク値を計算する。分析結果出力部105は、分析対象システムのリスク分析結果を出力する。
【0030】
ユーザは、出力されたリスク分析結果を用いて、セキュリティ対策を立案する。対策入力部106は、ユーザが立案した対策を再分析部107に入力する(ステップS2)。再分析部107は、入力された対策に応じて、再分析における戻り場所を決定する(ステップS3)。再分析部107は、ステップS3では、例えば対策情報テーブル(図3を参照)を用いて、入力された対策の対策種別に対応する戻り場所を決定する。再分析部107は、決定された戻り場所に対応するフェーズから、対策が導入された場合のリスク分析を再分析する(ステップS4)。分析結果出力部105は、再分析における、分析対象システムのリスク分析結果を出力する。
【0031】
例えば、緩和策が導入される場合、分析対象システムにおいて利用される得る攻撃手法、及び攻撃ルートに変化はないと考えられる。その場合、再分析においては、リスク値の計算からリスク分析をやり直せばよいと考えられる。再分析部107は、リスク値計算部104にリスク値計算を指示し、リスク値計算から、再分析を実施させる。根本策が導入される場合は、特定の攻撃ステップが利用できなくなり、攻撃ルートが変化すると考えられる。その場合、再分析においては、攻撃ルートの生成からリスク分析をやり直せばよいと考えられる。再分析部107は、攻撃ルート生成部103に攻撃ルート生成を指示し、攻撃ルート生成から、再分析を実施させる。攻撃ルート生成部103は、再分析では、対策されたホスト又は端末における特定の脅威を無効化し、攻撃ルートを生成する。
【0032】
再分析部107は、分析対象のシステムにおける、対策が実施される場所に応じて、戻り場所を決定することもできる。再分析部107は、例えば、侵入口又は攻撃目標のホストに対して、セキュリティ対策が複数行われる場合、攻撃ルートのリスク値が下がるため、リスク値計算を戻り場所として決定してもよい。再分析部107は、経由端末について,セキュリティ対策が行われる場合、経由端末に攻撃ができなくなる可能性があるため、脅威分析を、戻り場所として決定してもよい。再分析部107は、踏み台となるホストに根本策が導入される場合、作業用端末などが乗っ取られなくなる可能性が高いため、リスク値計算を、戻り場所として決定してもよい。再分析部107は、OSのバージョンアップを伴う対策については、脆弱性が大きく変わるため、脅威分析を、戻り場所として決定してもよい。
【0033】
一般に、攻撃ルートの検討では、攻撃ルートを全て列挙すると、数が膨大になる。このため、攻撃ルート生成部103は、通常は、始点から終点に到達するまでのホップ数を制限し、所定ホップ数(第1のホップ数)を上限として攻撃ルートを抽出する。例えばある資産に対して根本策がある数以上導入された場合、その資産を経由する攻撃ができなくなり、攻撃ルートが消滅すると考えられる。そのため、再分析においては、攻撃ルートの検討において、ホップ数を通常のホップ数(第1のホップ数)よりも増やし、攻撃ルートの検討範囲を、前回のリスク分析時の検討範囲よりも広げてもよい。例えば、攻撃ルート生成部103は、通常時のホップ数(第1のホップ数)よりも多い第2のホップ数を上限として、攻撃ルートを生成してもよい。その場合、前回のリスク分析時には検討されなかった、迂回路となる攻撃ルートに対するリスク分析が可能となる。
【0034】
本実施形態では、再分析部107は、対策入力部106に入力された対策に応じて、リスク再分析の戻り場所を決定する。例えば、ある対策について、攻撃手法に変化がない考えられるため、リスク値計算からリスク分析をやり直すことができる。また、他の対策については、攻撃手法が減少すると考えられるため、脅威分析からリスク分析をやり直すことができる。ユーザは、リスク再分析の結果を見ることで、例えば、セキュリティパッチを適用することで脆弱性がなくなり、脆弱性を悪用した攻撃ができなくなることを、確認することができる。
【0035】
本実施形態では、対策に応じて対策された場合のリスク分析を実施するフェーズを決定しているため、立案された対策に対する再度のリスク分析における時間及び人手などコストを低減できる。従って、本実施形態は、立案された対策について、最小限の処理でリスク変化を確認することができる。また、本実施形態では、対策された場合のリスク分析が低コストで実施できるため、複数の対策を立案し、それら複数の対策のそれぞれについてリスクがどれだけ減るかを確認できる。このため、ユーザは、複数の対策のリスク低減効果を比較し、リスク低減効果が高い対策を探すことができる。
【0036】
続いて、本開示の第2実施形態を説明する。図5は、本開示の第2実施形態に係るリスク分析装置を示す。本実施形態に係るリスク分析装置100aは、図2に示されるリスク分析装置100の構成に加えて、差分判定部108を有する。差分判定部(差分判定手段)108は、構成情報、及び脆弱性情報の少なくとも一方が変化したか否かを判定する。差分判定部108は、例えば定期的に、構成情報及び脆弱性情報が変化しているか否かを判定する。
【0037】
本実施形態において、再分析部107は、周期的に、例えば所定時間間隔でリスク分析を実施する。差分判定部108は、例えば、脆弱性情報が、前回のリスク分析における脆弱性情報から変化しているか否かを判定する。再分析部107は、脆弱性情報が変化したと判定された場合、変化の内容に応じて、どのフェーズからリスク分析を実施するかを決定する。
【0038】
図6は、脆弱性情報の一例を示す。脆弱性情報は、脆弱性の識別子、被害事例の有無、攻撃検証コードの有無、及びCVSS(Common Vulnerability Scoring System)を含む。脆弱性の識別子には、CVE(Common Vulnerabilities and Exposures)を用いることができる。CVSSは、脆弱性の深刻度のスコアを示す。
【0039】
差分判定部108は、前回のリスク分析時の脆弱性情報と、今回のリスク分析時の脆弱性情報とを比較する。差分判定部108は、例えば、前回のリスク分析から今回のリスク分析までの間に、例えば新たな脆弱性が追加されていると判定する。新たな脆弱性が発見された場合、その脆弱性を利用した新たな攻撃が可能になる場合がある。再分析部107は、新たな脆弱性が追加されていると判定された場合、脅威分析を、戻り場所として決定する。その場合、再分析部107は、脅威分析部102に脅威分析を指示する。
【0040】
差分判定部108は、前回のリスク分析から今回のリスク分析までの間に、ある脆弱性について、被害事例が「なし」から「あり」に変化したか、又は攻撃検証コードが「なし」から「あり」に変化したと判定する。被害事例が、又は攻撃検証コードが見つかった場合、攻撃手法自体に変化はないが、リスク値が変化すると考えられる。再分析部107は、被害事例又は攻撃検証コードが見つかったと判定された場合、リスク値計算を、戻り場所として決定する。その場合、再分析部107は、リスク値計算部104にリスク値計算を指示する。
【0041】
また、差分判定部108は、前回のリスク分析時の構成情報と、今回のリスク分析時の構成情報とを比較する。差分判定部108は、例えば、ファイヤーウォールの設定が変更された、サブネットワークが追加された、又はネットワーク構成が変更された場合、構成情報が変化したと判定する。再分析部107は、構成情報が変化したと判定された場合、構成情報収集を、戻り場所として決定する。その場合、再分析部107は、構成情報取得部101に構成情報取得を指示する。
【0042】
再分析部107は、ある端末においてOSアップデートが行われた場合、新規端末が設置された場合、又は端末の設置場所が変わった場合、特定のセグメントにおける脅威分析から、リスク再分析を実施させてもよい。その場合、脅威分析部102は、新規端末などの端末への攻撃の可否、及び新規端末などの端末からの攻撃の可否を分析してもよい。本実施形態における、対策入力部106から入力される対策に対する再分析は、第1実施形態における再分析と同様でよい。
【0043】
本実施形態では、差分判定部108は、構成情報及び脆弱性情報の変化を判定する。再分析部107は、構成情報及び脆弱性情報が変化した場合、その内容に応じて、リスク再分析の戻り場所を決定する。例えば、再分析部107は、リスク値計算に使用する脆弱性情報の項目が変化した場合、リスク値計算のフェーズを、戻り場所として決定する。また、再分析部107は、新たな脆弱性が出現した場合、脅威分析のフェーズを、戻り場所として決定する。このようにすることで、分析の前提となる情報が変化したときに、リスクがどのように変化するかを、最小限の処理で確認することができる。他の効果は、第1実施形態において説明した効果と同様である。
【0044】
なお、上記各実施形態では、入力される対策、又は構成情報及び脆弱性情報の変化に応じて再分析を開始するフェーズを決定する例を説明した。しかしながら、本開示はこれには限定されない。例えば、ユーザが最初からリスク分析を実施することを希望する場合、再分析部107は、構成情報収集から再分析を実施させてもよい。
【0045】
上記第2実施形態では、再分析部107は、対策が入力された場合の再分析と、構成情報又は脆弱性情報が変化した場合の再分析とを行う例を説明した。しかしながら、本開示はこれには限定されない。第2実施形態において、対策が入力された場合の再分析を省略し、構成情報又は脆弱性情報が変化した場合の再分析のみを行うこととしてもよい。
【0046】
続いて、リスク分析装置100の物理構成を説明する。図7は、リスク分析装置100として用いられ得るコンピュータ装置の構成例を示す。コンピュータ装置500は、制御部(CPU:Central Processing Unit)510、記憶部520、ROM(Read Only Memory)530、RAM(Random Access Memory)540、通信インタフェース(IF:Interface)550、及びユーザインタフェース560を有する。
【0047】
通信インタフェース550は、有線通信手段又は無線通信手段などを介して、コンピュータ装置500と通信ネットワークとを接続するためのインタフェースである。ユーザインタフェース560は、例えばディスプレイなどの表示部を含む。また、ユーザインタフェース560は、キーボード、マウス、及びタッチパネルなどの入力部を含む。
【0048】
記憶部520は、各種のデータを保持できる補助記憶装置である。記憶部520は、必ずしもコンピュータ装置500の一部である必要はなく、外部記憶装置であってもよいし、ネットワークを介してコンピュータ装置500に接続されたクラウドストレージであってもよい。
【0049】
ROM530は、不揮発性の記憶装置である。ROM530には、例えば比較的容量が少ないフラッシュメモリなどの半導体記憶装置が用いられる。CPU510が実行するプログラムは、記憶部520又はROM530に格納され得る。記憶部520又はROM530は、例えばリスク分析装置100内の各部の機能を実現するための各種プログラムを記憶する。
【0050】
プログラムは、コンピュータに読み込まれた場合に、実施形態で説明された1又はそれ以上の機能をコンピュータに行わせるための命令群(又はソフトウェアコード)を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory(RAM)、read-only memory(ROM)、フラッシュメモリ、solid-state drive(SSD)又はその他のメモリ技術、Compact Disc (CD)、digital versatile disc(DVD)、Blu-ray(登録商標)ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。
【0051】
RAM540は、揮発性の記憶装置である。RAM540には、DRAM(Dynamic Random Access Memory)又はSRAM(Static Random Access Memory)などの各種半導体メモリデバイスが用いられる。RAM540は、データなどを一時的に格納する内部バッファとして用いられ得る。CPU510は、記憶部520又はROM530に格納されたプログラムをRAM540に展開し、実行する。CPU510がプログラムを実行することで、リスク分析装置100内の各部の機能が実現され得る。CPU510は、データなどを一時的に格納できる内部バッファを有してもよい。
【0052】
以上、本開示の実施形態を詳細に説明したが、本開示は、上記した実施形態に限定されるものではなく、本開示の趣旨を逸脱しない範囲で上記実施形態に対して変更や修正を加えたものも、本開示に含まれる。
【符号の説明】
【0053】
10:リスク分析装置
11:構成情報取得手段
12:脅威分析手段
13:攻撃ルート生成手段
14:リスク値計算手段
15:結果出力手段
16:リスク再分析手段
100:リスク分析装置
101:構成情報取得部
102:脅威分析部
103:攻撃ルート生成部
104:リスク値計算部
105:分析結果出力部
106:対策入力部
107:再分析部
108:差分判定部
500:コンピュータ装置
510:CPU
520:記憶部
530:ROM
540:RAM
550:通信IF
560:ユーザIF
11:構成情報取得手段
12:脅威分析手段
13:攻撃ルート生成手段
14:リスク値計算手段
15:結果出力手段
16:リスク再分析手段
100:リスク分析装置
101:構成情報取得部
102:脅威分析部
103:攻撃ルート生成部
104:リスク値計算部
105:分析結果出力部
106:対策入力部
107:再分析部
108:差分判定部
500:コンピュータ装置
510:CPU
520:記憶部
530:ROM
540:RAM
550:通信IF
560:ユーザIF
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】