知財求人 - 知財ポータルサイト「IP Force」
特開2024-165201セキュリティ分析システム、セキュリティ分析方法およびセキュリティ分析プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024165201
(43)【公開日】2024-11-28
(54)【発明の名称】セキュリティ分析システム、セキュリティ分析方法およびセキュリティ分析プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20241121BHJP
G06F 21/57 20130101ALI20241121BHJP
【FI】
G06F21/55
G06F21/57
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2023081134
(22)【出願日】2023-05-16
(71)【出願人】
【識別番号】000006013
【氏名又は名称】三菱電機株式会社
(74)【代理人】
【識別番号】110002491
【氏名又は名称】弁理士法人クロスボーダー特許事務所
(72)【発明者】
【氏名】島邉 遼佑
(57)【要約】
【課題】保存されている攻撃活動情報の再利用性を効率化させて攻撃シナリオを生成できるようにする。
【解決手段】同一性判定部133は、攻撃目標情報ごとに、攻撃目標と特徴が一致する同様対象への攻撃活動を示す攻撃活動情報である該当活動情報が攻撃活動データベースに登録されているか判定する。攻撃活動抽出部134は、前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記攻撃目標への攻撃活動情報である適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報を用いて前記適用活動情報を生成する。攻撃活動結合部135は、生成された前記適用活動情報を結合して攻撃シナリオを生成する。
【選択図】図4
【解決手段】同一性判定部133は、攻撃目標情報ごとに、攻撃目標と特徴が一致する同様対象への攻撃活動を示す攻撃活動情報である該当活動情報が攻撃活動データベースに登録されているか判定する。攻撃活動抽出部134は、前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記攻撃目標への攻撃活動情報である適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報を用いて前記適用活動情報を生成する。攻撃活動結合部135は、生成された前記適用活動情報を結合して攻撃シナリオを生成する。
【選択図】図4
【特許請求の範囲】
【請求項1】
攻撃シナリオを生成するセキュリティ分析システムであり、
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定部と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出部と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合部と、
を備えるセキュリティ分析システム。
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定部と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出部と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合部と、
を備えるセキュリティ分析システム。
【請求項2】
前記同一性判定部は、前記攻撃目標情報ごとに、複数の攻撃手法のそれぞれの攻撃手法情報が登録された攻撃手法データベースから、前記攻撃目標情報が満たす攻撃発生条件を示す攻撃手法情報を前記該当手法情報として抽出する
請求項1に記載のセキュリティ分析システム。
請求項1に記載のセキュリティ分析システム。
【請求項3】
前記攻撃活動データベースは、抽象化された1つ以上の攻撃活動情報である1つ以上の抽象化活動情報と複数の攻撃活動情報を階層的に管理する
請求項1に記載のセキュリティ分析システム。
請求項1に記載のセキュリティ分析システム。
【請求項4】
前記攻撃活動抽出部は、前記該当活動情報が登録されていない場合に生成した前記適用活動情報を前記攻撃活動データベースに登録する
請求項1に記載のセキュリティ分析システム。
請求項1に記載のセキュリティ分析システム。
【請求項5】
今回の対象システムに対する攻撃シナリオが生成される前に、前回の対象システムに対する前記攻撃シナリオが生成された後の前記攻撃活動データベースを前記今回の対象システムに対して引き継ぐか判定し、前記攻撃活動データベースを引き継ぐ場合に前記攻撃活動データベースを初期化せず、前記攻撃活動データベースを引き継がない場合に前記攻撃活動データベースを初期化する準備部を備える
請求項4に記載のセキュリティ分析システム。
請求項4に記載のセキュリティ分析システム。
【請求項6】
前記攻撃活動データベースは、特徴の一部が互いに一致する攻撃対象組ごとに一致部分を示す情報である判定結果が保存され、
前記同一性判定部は、前記攻撃活動データベースに登録されている前記攻撃活動情報ごとに、前記攻撃目標と前記攻撃活動情報の前記攻撃対象の組を前記攻撃対象組とする前記判定結果を該当判定結果として、前記該当判定結果が前記攻撃活動データベースに保存されている場合に前記該当判定結果に示される前記一致部分を除いて前記攻撃目標の特徴と前記攻撃活動情報の前記攻撃対象の特徴を比較して前記攻撃活動情報の前記攻撃対象が前記同様対象であるか判定し、前記該当判定結果が前記攻撃活動データベースに保存されていない場合に前記攻撃目標の前記特徴の全てと前記攻撃活動情報の前記攻撃対象の前記特徴の全てを比較して前記攻撃活動情報の前記攻撃対象が前記同様対象であるか判定すると共に前記該当判定結果を生成して前記攻撃活動データベースに保存する
請求項1に記載のセキュリティ分析システム。
前記同一性判定部は、前記攻撃活動データベースに登録されている前記攻撃活動情報ごとに、前記攻撃目標と前記攻撃活動情報の前記攻撃対象の組を前記攻撃対象組とする前記判定結果を該当判定結果として、前記該当判定結果が前記攻撃活動データベースに保存されている場合に前記該当判定結果に示される前記一致部分を除いて前記攻撃目標の特徴と前記攻撃活動情報の前記攻撃対象の特徴を比較して前記攻撃活動情報の前記攻撃対象が前記同様対象であるか判定し、前記該当判定結果が前記攻撃活動データベースに保存されていない場合に前記攻撃目標の前記特徴の全てと前記攻撃活動情報の前記攻撃対象の前記特徴の全てを比較して前記攻撃活動情報の前記攻撃対象が前記同様対象であるか判定すると共に前記該当判定結果を生成して前記攻撃活動データベースに保存する
請求項1に記載のセキュリティ分析システム。
【請求項7】
攻撃シナリオを生成するセキュリティ分析方法であり、
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定し、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成し、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する
セキュリティ分析方法。
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定し、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成し、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する
セキュリティ分析方法。
【請求項8】
攻撃シナリオを生成するためのセキュリティ分析プログラムであり、
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定処理と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出処理と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合処理と、
コンピュータに実行させるためのセキュリティ分析プログラム。
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定処理と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出処理と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合処理と、
コンピュータに実行させるためのセキュリティ分析プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、攻撃シナリオを生成する技術に関するものである。
【背景技術】
【0002】
開発の初期段階でセキュリティに対する脅威への対策を組み込むことで、安全性の向上と開発コストの削減が見込める。そのため、安全なIT/OTシステムを構築する上で、企画・設計段階でのセキュリティ分析の実施が望まれる。このような考え方をセキュリティ・バイ・デザインという。
ITは、Information Technologyの略称である。
OTは、Operational Technologyの略称である。
ITは、Information Technologyの略称である。
OTは、Operational Technologyの略称である。
【0003】
セキュリティ分析には、様々な手法があり、手法の1つにシナリオベース分析がある。
シナリオベース分析は、事業に影響を及ぼす脅威に対して攻撃シナリオを導出する手法である。攻撃シナリオは、脅威を発生させるサイバー攻撃の過程を示す。攻撃シナリオの効果は、脅威に至るまでのすべての攻撃活動への対策の検討を可能にすることにある。このため、シナリオベース分析は、他の手法よりも詳細な対策検討に優れている。
シナリオベース分析は、事業に影響を及ぼす脅威に対して攻撃シナリオを導出する手法である。攻撃シナリオは、脅威を発生させるサイバー攻撃の過程を示す。攻撃シナリオの効果は、脅威に至るまでのすべての攻撃活動への対策の検討を可能にすることにある。このため、シナリオベース分析は、他の手法よりも詳細な対策検討に優れている。
【0004】
特許文献1では、設計対象のシステムに対する脅威および攻撃方法を効率的に特定できる技術が提案されている。本技術では、部品、資産、脅威および攻撃方法などに関する様々なテンプレートが用意され、システムの定義から脅威・攻撃方法の特定までテンプレートを利用または再利用(キャッシュ)することで効率的に攻撃シナリオが導出されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009-070084号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
攻撃シナリオを生成する技術およびツールは数多く提案されている。しかし、提案の多くが組み合わせ爆発による計算時間の課題を抱えている。
この理由は、セキュリティ分析の要件の1つとなる網羅性に起因する。網羅性とは、発生しうる攻撃シナリオを分析時に取りこぼさないことである。網羅性を担保した分析は、非常に計算コストが高い。
この理由は、セキュリティ分析の要件の1つとなる網羅性に起因する。網羅性とは、発生しうる攻撃シナリオを分析時に取りこぼさないことである。網羅性を担保した分析は、非常に計算コストが高い。
【0007】
実世界のIT/OTシステムでは、複雑なネットワークが構成されている。そのため、網羅性を担保するには、構成上考えうる全ての侵入経路について攻撃シナリオを計算する必要がある。
小規模なネットワークであっても、グラフ理論的に経路の組み合わせ爆発が起こる。さらに、組み合わせ爆発が起こる経路に対して攻撃手法のパターンを考えれば、さらなる組み合わせ爆発が起こる。
小規模なネットワークであっても、グラフ理論的に経路の組み合わせ爆発が起こる。さらに、組み合わせ爆発が起こる経路に対して攻撃手法のパターンを考えれば、さらなる組み合わせ爆発が起こる。
【0008】
従来技術では、以下のアプローチで計算量の削減を図っている。しかし、それぞれのアプローチには課題がある。
(1)侵入経路を刈り取ることによって、分析される脅威と攻撃手法のパターンとを絞る。しかし、このアプローチでは網羅性が低下する。
(2)生成された攻撃シナリオをキャッシュし再利用する(特許文献1を参照)。しかし、生成される攻撃シナリオのパターンが多様であり、単なるキャッシュでは再利用性が低い。
(1)侵入経路を刈り取ることによって、分析される脅威と攻撃手法のパターンとを絞る。しかし、このアプローチでは網羅性が低下する。
(2)生成された攻撃シナリオをキャッシュし再利用する(特許文献1を参照)。しかし、生成される攻撃シナリオのパターンが多様であり、単なるキャッシュでは再利用性が低い。
【0009】
本開示は、保存されている攻撃活動情報の再利用性を効率化させて攻撃シナリオを生成できるようにすることを目的とする。
【課題を解決するための手段】
【0010】
本開示のセキュリティ分析システムは攻撃シナリオを生成する。
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含む。
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報である。
該当手法は、前記該当手法情報の前記攻撃手法である。
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象である。
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報である。
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報である。
前記セキュリティ分析システムは、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定部と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出部と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合部と、を備える。
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含む。
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報である。
該当手法は、前記該当手法情報の前記攻撃手法である。
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象である。
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報である。
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報である。
前記セキュリティ分析システムは、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定部と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出部と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合部と、を備える。
【発明の効果】
【0011】
本開示によれば、保存されている攻撃活動情報の再利用性を効率化させて攻撃シナリオを生成することが可能となる。
【図面の簡単な説明】
【0012】
【図1】実施の形態1におけるセキュリティ分析システム100の構成図。
【図2】実施の形態1における脅威特定部120の構成図。
【図3】実施の形態1における攻撃シナリオ生成部130の構成図。
【図4】実施の形態1におけるセキュリティ分析システム100の機能構成図。
【図5】実施の形態1におけるセキュリティ分析方法の概要図。
【図6】実施の形態1におけるルールベースシステムの処理手順を示す図。
【図7】実施の形態1における攻撃シナリオの生成の仕組みを示す図。
【図8】実施の形態1におけるセキュリティ分析方法のフローチャート。
【図9】実施の形態1におけるステップS120のフローチャート。
【図10】実施の形態1における脅威データベース191の例を示す図。
【図11】実施の形態1におけるステップS130のフローチャート。
【図12】実施の形態1における攻撃手法データベース192の例を示す図。
【図13】実施の形態1におけるステップS200のフローチャート。
【図14】実施の形態1における同一性判定の手順を示す図。
【図15】実施の形態1における攻撃活動データベース193の構成の例を示す図。
【図16】実施の形態1における攻撃活動情報の抽象化を示す図。
【図17】実施の形態2の概要を示す図。
【図18】実施の形態2におけるセキュリティ分析システム100の構成図。
【図19】実施の形態3における攻撃活動データベース193の構成の例を示す図。
【図20】実施の形態3におけるステップS200のフローチャート。
【図21】実施の形態3における同一性判定の例を示す図。
【発明を実施するための形態】
【0013】
実施の形態および図面において、同じ要素または対応する要素には同じ符号を付している。説明した要素と同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
【0014】
【0015】
***構成の説明***
【0016】
図1に基づいて、セキュリティ分析システム100の構成を説明する。
セキュリティ分析システム100は、プロセッサ101とメモリ102と補助記憶装置103と入出力インタフェース104といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
コンピュータの形態は、デスクトップ型またはノート型などである。
セキュリティ分析システム100は、プロセッサ101とメモリ102と補助記憶装置103と入出力インタフェース104といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
コンピュータの形態は、デスクトップ型またはノート型などである。
【0017】
プロセッサ101は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ101はCPUまたはGPUである。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
GPUは、Graphics Processing Unitの略称である。
ICは、Integrated Circuitの略称である。
CPUは、Central Processing Unitの略称である。
GPUは、Graphics Processing Unitの略称である。
【0018】
メモリ102は揮発性または不揮発性の記憶装置である。メモリ102は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ102はRAMである。メモリ102に記憶されたデータは必要に応じて補助記憶装置103に保存される。
RAMは、Random Access Memoryの略称である。
RAMは、Random Access Memoryの略称である。
【0019】
補助記憶装置103は不揮発性の記憶装置である。例えば、補助記憶装置103は、ROM、HDD、フラッシュメモリまたはこれらの組み合わせである。補助記憶装置103に記憶されたデータは必要に応じてメモリ102にロードされる。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
ROMは、Read Only Memoryの略称である。
HDDは、Hard Disk Driveの略称である。
【0020】
入出力インタフェース104は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース104はUSB端子であり、入力装置はキーボードおよびマウス(またはトラックパッドなど)であり、出力装置はディスプレイ(モニター)である。セキュリティ分析システム100の入出力は入出力インタフェース104を用いて行われる。キーボードとマウスとディスプレイの代わりにタッチパネルが入出力インタフェース104に接続されてもよい。
USBは、Universal Serial Busの略称である。
USBは、Universal Serial Busの略称である。
【0021】
セキュリティ分析システム100は、受付部110と脅威特定部120と攻撃シナリオ生成部130と出力部140といった要素を備える。これらの要素はソフトウェアで実現される。
【0022】
補助記憶装置103には、受付部110と脅威特定部120と攻撃シナリオ生成部130と出力部140としてコンピュータを機能させるためのセキュリティ分析プログラムが記憶されている。セキュリティ分析プログラムは、メモリ102にロードされて、プロセッサ101によって実行される。
補助記憶装置103には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。OSの種類は問わない。
プロセッサ101は、OSを実行しながら、セキュリティ分析プログラムを実行する。
OSは、Operating Systemの略称である。
補助記憶装置103には、さらに、OSが記憶されている。OSの少なくとも一部は、メモリ102にロードされて、プロセッサ101によって実行される。OSの種類は問わない。
プロセッサ101は、OSを実行しながら、セキュリティ分析プログラムを実行する。
OSは、Operating Systemの略称である。
【0023】
セキュリティ分析プログラムの入出力データは記憶部190に記憶される。
補助記憶装置103は記憶部190として機能する。但し、メモリ102、プロセッサ101内のレジスタおよびプロセッサ101内のキャッシュメモリなどの記憶装置が、補助記憶装置103の代わりに、又は、補助記憶装置103と共に、記憶部190として機能してもよい。
補助記憶装置103は記憶部190として機能する。但し、メモリ102、プロセッサ101内のレジスタおよびプロセッサ101内のキャッシュメモリなどの記憶装置が、補助記憶装置103の代わりに、又は、補助記憶装置103と共に、記憶部190として機能してもよい。
【0024】
セキュリティ分析システム100は、プロセッサ101を代替する複数のプロセッサを備えてもよい。
【0025】
セキュリティ分析プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録(格納)することができる。
【0026】
図2に基づいて、脅威特定部120の構成を説明する。
脅威特定部120は、情報取得部121と最終目標抽出部122と脅威抽出部123といった要素を備える。
脅威特定部120は、情報取得部121と最終目標抽出部122と脅威抽出部123といった要素を備える。
【0027】
図3に基づいて、攻撃シナリオ生成部130の構成を説明する。
攻撃シナリオ生成部130は、初期目標抽出部131と侵入経路抽出部132と同一性判定部133と攻撃活動抽出部134と攻撃活動結合部135といった要素を備える。
攻撃シナリオ生成部130は、初期目標抽出部131と侵入経路抽出部132と同一性判定部133と攻撃活動抽出部134と攻撃活動結合部135といった要素を備える。
【0028】
図4に、セキュリティ分析システム100の機能構成図を示す。DBはデータベースを意味する。
脅威データベース191、攻撃手法データベース192および攻撃活動データベース193は、例えば記憶部190に格納される。
脅威データベース191、攻撃手法データベース192および攻撃活動データベース193は、例えば記憶部190に格納される。
【0029】
***動作の説明***
セキュリティ分析システム100の動作の手順はセキュリティ分析方法に相当する。また、セキュリティ分析システム100の動作の手順はセキュリティ分析プログラムによる処理の手順に相当する。
セキュリティ分析システム100の動作の手順はセキュリティ分析方法に相当する。また、セキュリティ分析システム100の動作の手順はセキュリティ分析プログラムによる処理の手順に相当する。
【0030】
【0031】
実施の形態1におけるセキュリティ分析方法は、シナリオベースのセキュリティ分析に関する。
シナリオベースのセキュリティ分析は、セキュリティの分析対象として想定される脅威に対して、脅威が発生までの過程(攻撃シナリオ)を特定する手法である。
脅威は、対象システムにとって好ましくない状態および事象であり、攻撃者の最終目標となる。脅威は、攻撃対象と脅威種類と情報資産によって特定される。
攻撃シナリオは、セキュリティ脅威を達成するための攻撃活動を時系列に並べて示す。攻撃活動は、攻撃手法と攻撃対象によって特定される。攻撃対象は、装置、通信路または情報資産などである。
シナリオベースのセキュリティ分析は、セキュリティの分析対象として想定される脅威に対して、脅威が発生までの過程(攻撃シナリオ)を特定する手法である。
脅威は、対象システムにとって好ましくない状態および事象であり、攻撃者の最終目標となる。脅威は、攻撃対象と脅威種類と情報資産によって特定される。
攻撃シナリオは、セキュリティ脅威を達成するための攻撃活動を時系列に並べて示す。攻撃活動は、攻撃手法と攻撃対象によって特定される。攻撃対象は、装置、通信路または情報資産などである。
【0032】
セキュリティ分析システム100は、ルールベースシステムの機能を有する。
ルールベースシステムは、事前に用意したルールに従って脅威、攻撃活動および攻撃シナリオを推論する分析システムである。
ルールベースシステムは、事前に用意したルールに従って脅威、攻撃活動および攻撃シナリオを推論する分析システムである。
【0033】
ルールベースシステムを説明する。
ルールベースシステムは、事実情報と規則情報と質問情報といった要素を有する。各要素は述語と引数を含み、述語(引数1、引数2、…)といった形式で表現される。
以下に、事実情報、規則情報および質問情報の例を示す。大文字で始まる引数(X)は変数を表し、小文字の定数(例えば“socrates”)が引数(X)に入る。
事実情報の例は“human(socrates).”である。これは、ソクラテスは人間である、という事実を示す。
規則情報の例は“die(X):-human(X).”である。これは、Xならば死ぬ、という規則を示す。
質問情報の例は“?-die(socrates).”である。これは、ソクラテスは死ぬか?という質問を示す。
ルールベースシステムは、事実情報と規則情報と質問情報といった要素を有する。各要素は述語と引数を含み、述語(引数1、引数2、…)といった形式で表現される。
以下に、事実情報、規則情報および質問情報の例を示す。大文字で始まる引数(X)は変数を表し、小文字の定数(例えば“socrates”)が引数(X)に入る。
事実情報の例は“human(socrates).”である。これは、ソクラテスは人間である、という事実を示す。
規則情報の例は“die(X):-human(X).”である。これは、Xならば死ぬ、という規則を示す。
質問情報の例は“?-die(socrates).”である。これは、ソクラテスは死ぬか?という質問を示す。
【0034】
事実情報と規則情報は、事前に定義される。
ルールベースシステムは、質問情報が与えられると、質問情報に対する解を返す。例えば、prologが利用される。
図6に基づいて、質問情報に対する解を返す手順を説明する。
(1)“?-die(socrates).”という質問情報が与えられる。
(2)質問情報の述語“die”と同じ述語を持つ規則情報が検索される。
(3)質問の定数“socrates”が規則情報の変数(X)に代入される。
(4)代入後の規則情報の要素“human(socrates).”と同じ事実情報が検索される。該当する事実情報が存在する場合、質問情報が成立することを示す解が返される。
ルールベースシステムは、質問情報が与えられると、質問情報に対する解を返す。例えば、prologが利用される。
図6に基づいて、質問情報に対する解を返す手順を説明する。
(1)“?-die(socrates).”という質問情報が与えられる。
(2)質問情報の述語“die”と同じ述語を持つ規則情報が検索される。
(3)質問の定数“socrates”が規則情報の変数(X)に代入される。
(4)代入後の規則情報の要素“human(socrates).”と同じ事実情報が検索される。該当する事実情報が存在する場合、質問情報が成立することを示す解が返される。
【0035】
以下に、セキュリティ分析における質問情報、規則情報および事実情報の例を示す。
セキュリティ分析における質問情報は、セキュリティの脅威を示す。質問情報の例は以下の通りである。
“informationTampering(pc1,plan22).”
この質問情報は、装置pc1のファイルplan22を改ざんする、という脅威を示す。
セキュリティ分析における質問情報は、セキュリティの脅威を示す。質問情報の例は以下の通りである。
“informationTampering(pc1,plan22).”
この質問情報は、装置pc1のファイルplan22を改ざんする、という脅威を示す。
【0036】
セキュリティ分析における規則情報は、脅威と攻撃手法の発生条件と依存関係を示す。規則情報の例は以下の通りである。
“informationTampering(Machine,File)
:-fileLocation(Machine,File),
fileManipulation(Attacker,Machine,File).
この例は、マシンの中のファイルを改ざんするための規則情報を示し、マシンの中にファイルがあるという規則とマシンの中のファイルを攻撃するという規則を含んでいる。
“informationTampering(Machine,File)
:-fileLocation(Machine,File),
fileManipulation(Attacker,Machine,File).
この例は、マシンの中のファイルを改ざんするための規則情報を示し、マシンの中にファイルがあるという規則とマシンの中のファイルを攻撃するという規則を含んでいる。
【0037】
セキュリティ分析における事実情報は、分析対象システムの構成情報を示す。事実情報の例は以下の通りである。“wifi”は登録商標である。
“machineClass(pc1,pc).”これは、装置pc1の種別はpcである、という事実を示す。
“fileLocation(pc1,plan22).”これは、装置pc1にファイルplan22がある、という事実を示す。
“networkAccess(pc1,nw1,pc2).”これは、装置pc1と装置pc2はネットワークnw1で接続される、という事実を示す。
“networkClass(nw1,wifi).”これは、ネットワークnw1の種別はwifiである、という事実を示す。
“machineClass(pc1,pc).”これは、装置pc1の種別はpcである、という事実を示す。
“fileLocation(pc1,plan22).”これは、装置pc1にファイルplan22がある、という事実を示す。
“networkAccess(pc1,nw1,pc2).”これは、装置pc1と装置pc2はネットワークnw1で接続される、という事実を示す。
“networkClass(nw1,wifi).”これは、ネットワークnw1の種別はwifiである、という事実を示す。
【0038】
図7に基づいて、ルールベースシステムを利用した際の攻撃シナリオの生成の仕組みを説明する。
(1)まず、最終目標PC1と初期目標PC2とが決定される。最終目標は質問で与えられる構成要素(脅威の対象)である。
(2)次に、初期目標PC2から最終目標PC1までの侵入経路(PC2→通信路1→PC1)が特定される。
(3)侵入経路を攻撃活動の時系列順とは逆順(分析順)に参照しながら、侵入経路の各構成要素において必要な攻撃が実行可能か否かを規則および事実に基づいて推論する。
侵入経路を分析順の逆に辿ることで、攻撃活動の時系列(すなわち攻撃シナリオ)が得られる。
(1)まず、最終目標PC1と初期目標PC2とが決定される。最終目標は質問で与えられる構成要素(脅威の対象)である。
(2)次に、初期目標PC2から最終目標PC1までの侵入経路(PC2→通信路1→PC1)が特定される。
(3)侵入経路を攻撃活動の時系列順とは逆順(分析順)に参照しながら、侵入経路の各構成要素において必要な攻撃が実行可能か否かを規則および事実に基づいて推論する。
侵入経路を分析順の逆に辿ることで、攻撃活動の時系列(すなわち攻撃シナリオ)が得られる。
【0039】
図8に基づいて、セキュリティ分析方法の手順を説明する。
ステップS110において、受付部110は、対象システムのシステム構成情報を受け取る。
対象システムは、セキュリティ分析の対象となるシステムである。
ステップS110において、受付部110は、対象システムのシステム構成情報を受け取る。
対象システムは、セキュリティ分析の対象となるシステムである。
【0040】
具体的には、利用者が実行命令と共に対象システムの各種定義をセキュリティ分析システム100に入力する。
そして、受付部110は、入力された各種定義を受け取り、受け取った各種定義を示すデータを生成する。生成されるデータがシステム構成情報である。
そして、受付部110は、入力された各種定義を受け取り、受け取った各種定義を示すデータを生成する。生成されるデータがシステム構成情報である。
【0041】
対象システムの各種定義は、構成装置情報、設置場所情報、通信路情報、情報資産情報および登録人物情報などを示す。
構成装置情報は、1つ以上の構成装置と各構成装置のセキュリティ情報を示す。構成装置は、対象システムに備わる要素(構成要素)である。構成装置の例はPC、サーバ、PLCまたはセンサなどである。構成装置のセキュリティ情報は、構成装置に対するセキュリティ分析に関する情報である。例えば、構成装置のセキュリティ情報はOS種別、搭載SWおよび対策機能などを示す。PCはパーソナルコンピュータの略称である。PLCはプログラマブルロジックコントローラの略称である。SWはソフトウェアの略称である。
設置場所情報は、各構成装置の設置場所と各設置場所のセキュリティ情報を示す。構成装置の設置場所は、構成装置が設置されている物理的な場所を意味する。構成装置の設置場所の例は、区画、部屋またはラックなどである。設置場所のセキュリティ情報は、設置場所に対するセキュリティ分析に関する情報である。例えば、設置場所のセキュリティ情報は対策を示す。
通信路情報は、構成装置間ごとの通信路と各通信路のセキュリティ情報を示す。通信路は対象システムの構成要素である。通信路のセキュリティ情報は、通信路に対するセキュリティ対策に関する情報である。例えば、通信路のセキュリティ情報は回線種別、通信プロトコルおよび対策機能などを示す。
情報資産情報は、各通信路に流れる情報資産と情報資産のセキュリティ情報を示す。情報資産の例は顧客情報または操作命令などである。情報資産のセキュリティ情報は、情報資産に対するセキュリティ分析に関する情報である。例えば、情報資産のセキュリティ情報は資産価値および対策などを示す。
登録人物情報は、対象システムの一人以上の関係者と各関係者のセキュリティ情報を示す。対象システムの関係者は、対象システムに関係する登場人物であり、対象システムに対する攻撃が可能である。対象システムの関係者の例は、正規社員、委託先の保守員および第三者などである。関係者のセキュリティ情報は、関係者に対するセキュリティ分析に関する情報である。例えば、関係者のセキュリティ情報は役割、アクセス可能場所、ITスキル、悪意の有無などである。アクセス可能場所はアクセスが許可されている場所である。ITは情報技術の略称である。
構成装置情報は、1つ以上の構成装置と各構成装置のセキュリティ情報を示す。構成装置は、対象システムに備わる要素(構成要素)である。構成装置の例はPC、サーバ、PLCまたはセンサなどである。構成装置のセキュリティ情報は、構成装置に対するセキュリティ分析に関する情報である。例えば、構成装置のセキュリティ情報はOS種別、搭載SWおよび対策機能などを示す。PCはパーソナルコンピュータの略称である。PLCはプログラマブルロジックコントローラの略称である。SWはソフトウェアの略称である。
設置場所情報は、各構成装置の設置場所と各設置場所のセキュリティ情報を示す。構成装置の設置場所は、構成装置が設置されている物理的な場所を意味する。構成装置の設置場所の例は、区画、部屋またはラックなどである。設置場所のセキュリティ情報は、設置場所に対するセキュリティ分析に関する情報である。例えば、設置場所のセキュリティ情報は対策を示す。
通信路情報は、構成装置間ごとの通信路と各通信路のセキュリティ情報を示す。通信路は対象システムの構成要素である。通信路のセキュリティ情報は、通信路に対するセキュリティ対策に関する情報である。例えば、通信路のセキュリティ情報は回線種別、通信プロトコルおよび対策機能などを示す。
情報資産情報は、各通信路に流れる情報資産と情報資産のセキュリティ情報を示す。情報資産の例は顧客情報または操作命令などである。情報資産のセキュリティ情報は、情報資産に対するセキュリティ分析に関する情報である。例えば、情報資産のセキュリティ情報は資産価値および対策などを示す。
登録人物情報は、対象システムの一人以上の関係者と各関係者のセキュリティ情報を示す。対象システムの関係者は、対象システムに関係する登場人物であり、対象システムに対する攻撃が可能である。対象システムの関係者の例は、正規社員、委託先の保守員および第三者などである。関係者のセキュリティ情報は、関係者に対するセキュリティ分析に関する情報である。例えば、関係者のセキュリティ情報は役割、アクセス可能場所、ITスキル、悪意の有無などである。アクセス可能場所はアクセスが許可されている場所である。ITは情報技術の略称である。
【0042】
ステップS120において、脅威特定部120は、対象システムのシステム構成情報に基づいて、対象システムのセキュリティの脅威を特定する。
【0043】
図9に基づいて、ステップS120の手順を説明する。
ステップS121において、情報取得部121は、対象システムのシステム構成情報を取得する。
具体的には、情報取得部121は、対象システムのシステム構成情報を受付部110から受け取る。
ステップS121において、情報取得部121は、対象システムのシステム構成情報を取得する。
具体的には、情報取得部121は、対象システムのシステム構成情報を受付部110から受け取る。
【0044】
システム構成情報は、1つ以上の構成要素情報と1つ以上の登録人物情報を含む。
【0045】
ステップS122において、最終目標抽出部122は、システム構成情報から最終目標情報を抽出する。
最終目標情報は、最終目標になり得る構成要素の構成要素情報である。
最終目標は、セキュリティの脅威が発生する構成要素である。例えば、対象システムのそれぞれの構成要素が最終目標になり得る。
最終目標情報は、最終目標になり得る構成要素の構成要素情報である。
最終目標は、セキュリティの脅威が発生する構成要素である。例えば、対象システムのそれぞれの構成要素が最終目標になり得る。
【0046】
ステップS123からステップS125は、ステップS122で抽出された最終目標情報ごとに実行される。
【0047】
ステップS123において、脅威抽出部123は、最終目標情報に示される構成要素種別と同じ発生要素種別を示す1つ以上の脅威情報を脅威データベース191から抽出する。本ステップにおいて、前記ルールベースシステムが活用される。
【0048】
脅威データベース191は、1つ以上の脅威のそれぞれの情報(脅威情報)が登録されている。
脅威情報は、脅威名称と発生要素種別と発生条件を示す。
発生要素種別は、脅威が発生する構成要素(発生要素)の種別である。
発生条件は、脅威が発生するための条件である。
脅威情報は、脅威名称と発生要素種別と発生条件を示す。
発生要素種別は、脅威が発生する構成要素(発生要素)の種別である。
発生条件は、脅威が発生するための条件である。
【0049】
図10は、脅威データベース191の例を示す。
「名称」の欄は、脅威の名称を示す。
「要素種別」の欄は、発生要素種別を示す。
「発生条件」の欄は、脅威の発生条件を示す。
例えば、「情報漏洩」は、「装置」で発生し、「通信路」で発生しない。但し、「情報漏洩」は、パソコンまたはサーバなどの「装置」で発生し、コントローラまたはセンサなどの「装置」では発生しない。
「名称」の欄は、脅威の名称を示す。
「要素種別」の欄は、発生要素種別を示す。
「発生条件」の欄は、脅威の発生条件を示す。
例えば、「情報漏洩」は、「装置」で発生し、「通信路」で発生しない。但し、「情報漏洩」は、パソコンまたはサーバなどの「装置」で発生し、コントローラまたはセンサなどの「装置」では発生しない。
【0050】
図9に戻り、説明を続ける。
ステップS123で抽出された脅威情報を、脅威候補情報と称する。
ステップS123で抽出された脅威情報を、脅威候補情報と称する。
【0051】
ステップS124において、脅威抽出部123は、1つ以上の脅威候補情報から最終目標情報が満たす発生条件を示す脅威候補情報を選択する。
選択された脅威候補情報を、該当脅威情報と称する。
選択された脅威候補情報を、該当脅威情報と称する。
【0052】
ステップS125において、脅威抽出部123は、該当脅威情報ごとに、最終目標情報と該当脅威情報を使って対象脅威情報を生成する。
対象脅威情報は、最終目標で発生する脅威(対象脅威)に関する情報である。具体的には、対象脅威情報は、関係者と最終目標と対象脅威を示す。
ステップS125の後、ステップS120は終了する。
対象脅威情報は、最終目標で発生する脅威(対象脅威)に関する情報である。具体的には、対象脅威情報は、関係者と最終目標と対象脅威を示す。
ステップS125の後、ステップS120は終了する。
【0053】
ステップS120を補足する。
ステップS123で脅威候補情報が無かった場合、ステップS124以降は実行されずステップS120は終了する。
ステップS124で該当脅威情報が無かった場合。ステップS125は実行されずステップS120は終了する。
これら場合、出力部140は脅威無しという結果を利用者に知らせるための情報を出力する。そして、攻撃シナリオが生成されずにセキュリティ分析方法は終了する。
ステップS123で脅威候補情報が無かった場合、ステップS124以降は実行されずステップS120は終了する。
ステップS124で該当脅威情報が無かった場合。ステップS125は実行されずステップS120は終了する。
これら場合、出力部140は脅威無しという結果を利用者に知らせるための情報を出力する。そして、攻撃シナリオが生成されずにセキュリティ分析方法は終了する。
【0054】
図8に戻り、ステップS130から説明を続ける。
ステップS130において、攻撃シナリオ生成部130は、システム構成情報と対象脅威情報に基づいて、攻撃シナリオを生成する。
ステップS130において、攻撃シナリオ生成部130は、システム構成情報と対象脅威情報に基づいて、攻撃シナリオを生成する。
【0055】
ステップS130で使用される対象脅威情報は、ステップS125で生成された対象脅威情報である。
ステップS125で脅威が抽出されることで、攻撃シナリオのゴールが確定する。そして、対象脅威情報が発生するまでの攻撃のシナリオをシステムによって算出することが可能になる。
ステップS125で脅威が抽出されることで、攻撃シナリオのゴールが確定する。そして、対象脅威情報が発生するまでの攻撃のシナリオをシステムによって算出することが可能になる。
【0056】
図11に基づいて、ステップS130の手順を説明する。
システム構成情報は、情報取得部121から初期目標抽出部131に渡される。
システム構成情報は、情報取得部121から初期目標抽出部131に渡される。
【0057】
ステップS131において、初期目標抽出部131は、システム構成情報から初期目標情報を抽出する。
初期目標情報は、初期目標になり得る構成要素の構成要素情報である。
初期目標は、最終目標で脅威を発生させるために最初に攻撃される構成要素である。例えば、対象システムの構成要素のうちの最終目標以外のそれぞれの構成要素が初期目標になり得る。
初期目標が最終目標と一致するケースも許容される。そのようなケースは、攻撃者が1手目で最終目標を攻撃できてしまうような状況で発生する。
初期目標情報は、初期目標になり得る構成要素の構成要素情報である。
初期目標は、最終目標で脅威を発生させるために最初に攻撃される構成要素である。例えば、対象システムの構成要素のうちの最終目標以外のそれぞれの構成要素が初期目標になり得る。
初期目標が最終目標と一致するケースも許容される。そのようなケースは、攻撃者が1手目で最終目標を攻撃できてしまうような状況で発生する。
【0058】
ステップS132は、ステップS131で抽出された初期目標情報ごとに実行される。
【0059】
ステップS132において、侵入経路抽出部132は、初期目標情報と最終目標情報に基づいて、システム構成情報から侵入経路情報を抽出する。
侵入経路情報は、初期目標から最終目標への経路(侵入経路)を示す情報である。
侵入経路情報は、侵入経路の1つ以上の構成要素(攻撃目標)のそれぞれの構成要素情報(攻撃目標情報)を含む。
侵入経路情報は、初期目標から最終目標への経路(侵入経路)を示す情報である。
侵入経路情報は、侵入経路の1つ以上の構成要素(攻撃目標)のそれぞれの構成要素情報(攻撃目標情報)を含む。
【0060】
ステップS133およびステップS200は、ステップS132で抽出された侵入経路情報ごとに実行される。
【0061】
ステップS133において、同一性判定部133は、侵入経路情報に含まれる攻撃目標情報ごとに、攻撃手法データベース192から該当手法情報を抽出する。
該当手法情報は、該当手法の情報(攻撃手法情報)である。該当手法情報は、攻撃目標情報が満たす発生条件を示す。
該当手法は、攻撃目標を攻撃するための攻撃手法である。
該当手法情報は、該当手法の情報(攻撃手法情報)である。該当手法情報は、攻撃目標情報が満たす発生条件を示す。
該当手法は、攻撃目標を攻撃するための攻撃手法である。
【0062】
攻撃手法データベース192は、1つ以上の攻撃手法のそれぞれの情報(攻撃手法情報)が登録されている。
攻撃手法情報は、手法名称と発生条件を示す。
発生条件は、攻撃が発生するための条件である。
攻撃手法情報は、手法名称と発生条件を示す。
発生条件は、攻撃が発生するための条件である。
【0063】
図12は、攻撃手法データベース192の例を示す。
「名称」の欄は、攻撃手法の名称を示す。
「発生条件」の欄は、攻撃の発生条件を示す。発生条件は、ルールベースシステムの述語で記述される。
例えば、装置(攻撃目標)がPCであり、装置のOSがw系であり、装置にメールクライアント(ソフトウェア)がインストールされている場合、不審メール型のマルウェア感染が発生し得る。
「名称」の欄は、攻撃手法の名称を示す。
「発生条件」の欄は、攻撃の発生条件を示す。発生条件は、ルールベースシステムの述語で記述される。
例えば、装置(攻撃目標)がPCであり、装置のOSがw系であり、装置にメールクライアント(ソフトウェア)がインストールされている場合、不審メール型のマルウェア感染が発生し得る。
【0064】
図11に戻り、ステップS200から説明を続ける。
ステップS200において、攻撃活動抽出部134は、攻撃目標情報ごとに適用活動情報を生成する。本ステップにおいて、前記ルールベースシステムが活用される。
適用活動情報は、該当手法による攻撃目標への攻撃活動の攻撃活動情報である。
ステップS200において、攻撃活動抽出部134は、攻撃目標情報ごとに適用活動情報を生成する。本ステップにおいて、前記ルールベースシステムが活用される。
適用活動情報は、該当手法による攻撃目標への攻撃活動の攻撃活動情報である。
【0065】
図13に基づいて、ステップS200の手順を説明する。
ステップS200は、攻撃目標情報ごとに実行される。攻撃目標情報に対して複数の該当手法情報が抽出された場合、ステップS200は該当手法情報ごとに実行される。
ステップS200は、攻撃目標情報ごとに実行される。攻撃目標情報に対して複数の該当手法情報が抽出された場合、ステップS200は該当手法情報ごとに実行される。
【0066】
ステップS211において、同一性判定部133は、該当活動情報が攻撃活動データベース193に登録されているか判定する。
該当活動情報は、該当手法による同様対象への攻撃活動の攻撃活動情報である。
同様対象は、判定したい攻撃手法において攻撃目標と特徴が一致する攻撃対象である。言い換えると、同様対象は攻撃目標と実質的に同一の攻撃対象である。つまり、同様対象は攻撃目標と同一または攻撃目標と類似の攻撃対象である。
該当活動情報は、該当手法による同様対象への攻撃活動の攻撃活動情報である。
同様対象は、判定したい攻撃手法において攻撃目標と特徴が一致する攻撃対象である。言い換えると、同様対象は攻撃目標と実質的に同一の攻撃対象である。つまり、同様対象は攻撃目標と同一または攻撃目標と類似の攻撃対象である。
【0067】
攻撃活動データベース193は、1つ以上の攻撃活動のそれぞれの情報(攻撃活動情報)が登録されている。
攻撃活動情報は、攻撃対象情報と攻撃手法形態を示す。
攻撃活動情報は、攻撃対象情報と攻撃手法形態を示す。
【0068】
図14に基づいて、攻撃対象が攻撃目標と実質的に同一か判定する手順を説明する。攻撃対象は装置PC2であり、攻撃目標は装置PC4である。
(1)同一性判定部133は、攻撃対象の事実情報セットと攻撃目標の事実情報セットを取得する。事実情報セットは1つ以上の事実情報である。事実情報は構成要素の特徴を示す。
(2)同一性判定部133は、該当手法情報から事実情報の述語を抽出する。図14において該当手法は「不正アクセス」であり、「OS情報」と「OS設定」という述語が抽出される。
(3)同一性判定部133は、抽出した述語を同じ述語を持つ事実情報を、攻撃対象の事実情報セットと攻撃目標の事実情報セットのそれぞれから抽出する。
そして、同一性判定部133は、攻撃対象の抽出した事実情報と攻撃目標の抽出した事実情報を比較する。このとき、それぞれの事実情報に含まれる固有名詞は無視される。
両方の事実情報が一致した場合、攻撃対象は攻撃目標と実質的に同一である。
図14において、装置PC2の抽出された事実情報と装置PC4の抽出された事実情報は、固有名詞(PC2、PC4)を除いて一致する。そのため、装置PC2は装置PC4と実質的に同一である。
(1)同一性判定部133は、攻撃対象の事実情報セットと攻撃目標の事実情報セットを取得する。事実情報セットは1つ以上の事実情報である。事実情報は構成要素の特徴を示す。
(2)同一性判定部133は、該当手法情報から事実情報の述語を抽出する。図14において該当手法は「不正アクセス」であり、「OS情報」と「OS設定」という述語が抽出される。
(3)同一性判定部133は、抽出した述語を同じ述語を持つ事実情報を、攻撃対象の事実情報セットと攻撃目標の事実情報セットのそれぞれから抽出する。
そして、同一性判定部133は、攻撃対象の抽出した事実情報と攻撃目標の抽出した事実情報を比較する。このとき、それぞれの事実情報に含まれる固有名詞は無視される。
両方の事実情報が一致した場合、攻撃対象は攻撃目標と実質的に同一である。
図14において、装置PC2の抽出された事実情報と装置PC4の抽出された事実情報は、固有名詞(PC2、PC4)を除いて一致する。そのため、装置PC2は装置PC4と実質的に同一である。
【0069】
図13に戻り、ステップS211の説明を続ける。
該当活動情報が攻撃活動データベース193に登録されている場合、同一性判定部133は該当活動情報を攻撃活動データベース193から抽出し、処理はステップS212へ進む。
該当活動情報が攻撃活動データベース193に登録されていない場合、処理はステップS213へ進む。
該当活動情報が攻撃活動データベース193に登録されている場合、同一性判定部133は該当活動情報を攻撃活動データベース193から抽出し、処理はステップS212へ進む。
該当活動情報が攻撃活動データベース193に登録されていない場合、処理はステップS213へ進む。
【0070】
ステップS212において、攻撃活動抽出部134は、該当活動情報を用いて適用活動情報を生成する。
具体的には、攻撃活動抽出部134は、該当活動情報の中の攻撃対象名称を攻撃目標名称に置き換える。置換後の該当活動情報が対象活動情報となる。
ステップS212の後、ステップS200は終了する。
具体的には、攻撃活動抽出部134は、該当活動情報の中の攻撃対象名称を攻撃目標名称に置き換える。置換後の該当活動情報が対象活動情報となる。
ステップS212の後、ステップS200は終了する。
【0071】
ステップS213において、攻撃活動抽出部134は、攻撃目標情報が該当手法情報に示される発生条件を満たすか判定する。
攻撃目標情報が該当手法情報に示される発生条件を満たす場合、処理はステップS214へ進む。
攻撃目標情報が該当手法情報に示される発生条件を満たさない場合、ステップS120は終了する。この場合、出力部140は攻撃シナリオ無しという結果を利用者に知らせるための情報を出力する。そして、攻撃シナリオが生成されずにセキュリティ分析方法は終了する。
攻撃目標情報が該当手法情報に示される発生条件を満たす場合、処理はステップS214へ進む。
攻撃目標情報が該当手法情報に示される発生条件を満たさない場合、ステップS120は終了する。この場合、出力部140は攻撃シナリオ無しという結果を利用者に知らせるための情報を出力する。そして、攻撃シナリオが生成されずにセキュリティ分析方法は終了する。
【0072】
ステップS214において、攻撃活動抽出部134は、攻撃目標情報と該当手法情報を用いて適用活動情報を生成する。
適用活動情報は、関係者と攻撃目標と該当手法を示す。
適用活動情報は、関係者と攻撃目標と該当手法を示す。
【0073】
ステップS215において、攻撃活動抽出部134は、生成した適用活動情報を攻撃活動情報として攻撃活動データベース193に登録する。
ステップS215の後、ステップS200は終了する。
ステップS215の後、ステップS200は終了する。
【0074】
図11に戻り、ステップS134を説明する。
ステップS134において、攻撃活動結合部135は、生成された適用活動情報を結合して攻撃シナリオを生成する。
具体的には、攻撃活動結合部135は、侵入経路における攻撃活動の時系列順に適用活動情報を結合する。
ステップS134において、攻撃活動結合部135は、生成された適用活動情報を結合して攻撃シナリオを生成する。
具体的には、攻撃活動結合部135は、侵入経路における攻撃活動の時系列順に適用活動情報を結合する。
【0075】
【0076】
***実施例の説明***
攻撃活動データベース193は、複数の攻撃活動情報をリストで管理する。
但し、攻撃活動データベース193は、1つ以上の抽象化活動情報と複数の攻撃活動情報を階層的に管理してもよい。抽象化活動情報は、抽象化された攻撃活動情報である。
攻撃活動データベース193は、複数の攻撃活動情報をリストで管理する。
但し、攻撃活動データベース193は、1つ以上の抽象化活動情報と複数の攻撃活動情報を階層的に管理してもよい。抽象化活動情報は、抽象化された攻撃活動情報である。
【0077】
図15に、攻撃活動データベース193の構成の例を示す。
攻撃活動データベース193は、5つの抽象化活動情報と4つの攻撃活動情報を3階層で管理している。
第3階層では、4つの攻撃活動情報が管理されている。それぞれの攻撃活動情報は攻撃対象の固有名詞を示している。
第2階層では、第3階層の攻撃活動情報を抽象化して得られる3つの抽象化活動情報が管理されている。それぞれの抽象化活動情報は、攻撃対象を固有名詞ではなく種別で示している。
第1階層では、第2階層の攻撃活動情報を抽象化して得られる2つの抽象化活動情報が管理されている。それぞれの抽象化情報は、攻撃を手法ではなく形態で示している。
1つ以上の抽象化活動情報と複数の攻撃活動情報が階層的に管理されることで、攻撃活動データベース193の検索性が向上する。
攻撃活動データベース193は、5つの抽象化活動情報と4つの攻撃活動情報を3階層で管理している。
第3階層では、4つの攻撃活動情報が管理されている。それぞれの攻撃活動情報は攻撃対象の固有名詞を示している。
第2階層では、第3階層の攻撃活動情報を抽象化して得られる3つの抽象化活動情報が管理されている。それぞれの抽象化活動情報は、攻撃対象を固有名詞ではなく種別で示している。
第1階層では、第2階層の攻撃活動情報を抽象化して得られる2つの抽象化活動情報が管理されている。それぞれの抽象化情報は、攻撃を手法ではなく形態で示している。
1つ以上の抽象化活動情報と複数の攻撃活動情報が階層的に管理されることで、攻撃活動データベース193の検索性が向上する。
【0078】
階層的な管理による検索方法の例を次に示す。
まず、該当活動情報の特徴が攻撃活動データベース193の中で最も抽象的なレイヤー(最上位レイヤー)の各活動情報の特徴と一致するか判定する。
そして、特徴が該当活動情報と一致しない活動情報(不一致活動情報)がある場合、不一致活動情報に対する下位レイヤーの活動情報(不一致活動情報より具体的な活動情報)は検索から除外される。例えば、該当活動情報がIT機器に対する活動情報である場合、OT機器に対する活動情報(不一致活動情報)、及び、OT機器に対する活動情報を具体化した下位の活動情報を検索する必要はない。
このように、抽象層(上位レイヤー)から検索を始め、探索の枝を刈り取ることで検索範囲を狭めていき、具体層(下位レイヤー)で同一と判定できる攻撃活動がないか検索する。
この例は最も素朴な例であり、階層化されたデータベースを検索する既存の効率的なアルゴリズムを採用してもよい。
まず、該当活動情報の特徴が攻撃活動データベース193の中で最も抽象的なレイヤー(最上位レイヤー)の各活動情報の特徴と一致するか判定する。
そして、特徴が該当活動情報と一致しない活動情報(不一致活動情報)がある場合、不一致活動情報に対する下位レイヤーの活動情報(不一致活動情報より具体的な活動情報)は検索から除外される。例えば、該当活動情報がIT機器に対する活動情報である場合、OT機器に対する活動情報(不一致活動情報)、及び、OT機器に対する活動情報を具体化した下位の活動情報を検索する必要はない。
このように、抽象層(上位レイヤー)から検索を始め、探索の枝を刈り取ることで検索範囲を狭めていき、具体層(下位レイヤー)で同一と判定できる攻撃活動がないか検索する。
この例は最も素朴な例であり、階層化されたデータベースを検索する既存の効率的なアルゴリズムを採用してもよい。
【0079】
階層化されていない攻撃活動データベースは、階層化された攻撃活動データベース193の最も具体的なレイヤー(最下位レイヤー)の活動情報が1次元的にリスト化されている状態である。
階層的な管理による検索方法は、階層化されていない攻撃活動データベースに登録された活動情報をナイーブに検索する方法に比べて検索ステップの削減が期待できる。
階層的な管理による検索方法は、階層化されていない攻撃活動データベースに登録された活動情報をナイーブに検索する方法に比べて検索ステップの削減が期待できる。
【0080】
図16に基づいて、攻撃活動情報の抽象化を説明する。
(1)抽象化オントロジーが予め用意される。抽象化オントロジーは、例えば開発者によって用意される。用意された抽象化オントロジーは、例えば攻撃活動データベース193に保存される。
(2)攻撃活動情報が抽象化オントロジーに従って抽象化される。攻撃活動情報は、例えばツールによって抽象化される。例えば、攻撃活動抽出部134が、攻撃活動情報と抽象化オントロジーを入力にしてツールを実行することによって攻撃活動情報を抽象化する。
図16では、固有名詞“PC1”が種別“PC”に抽象化され、種別“PC”が“IT装置”に抽象化されている。
(1)抽象化オントロジーが予め用意される。抽象化オントロジーは、例えば開発者によって用意される。用意された抽象化オントロジーは、例えば攻撃活動データベース193に保存される。
(2)攻撃活動情報が抽象化オントロジーに従って抽象化される。攻撃活動情報は、例えばツールによって抽象化される。例えば、攻撃活動抽出部134が、攻撃活動情報と抽象化オントロジーを入力にしてツールを実行することによって攻撃活動情報を抽象化する。
図16では、固有名詞“PC1”が種別“PC”に抽象化され、種別“PC”が“IT装置”に抽象化されている。
【0081】
***実施の形態1の効果***
実施の形態1は、攻撃シナリオの網羅性は担保したまま、計算結果の再利用性が高く、より効率的な計算が可能な技術を提案する。
実施の形態1は、攻撃シナリオの網羅性は担保したまま、計算結果の再利用性が高く、より効率的な計算が可能な技術を提案する。
【0082】
同一性判定部133は、攻撃活動データベース193を使って、侵入経路に対して攻撃手法を分析する必要がある対象(装置/通信路)の情報を、過去に計算された攻撃対象と照合する。照合は、分析する攻撃手法の判定に必要な特徴だけに絞って行われる。
一致する攻撃対象があった場合、攻撃活動抽出部134は、文字列置換操作で攻撃活動情報を生成する。つまり、攻撃活動抽出部134は、過去の攻撃活動情報を転用する。
これにより、必要な攻撃活動情報が過去の計算結果(攻撃活動情報)と完全に一致していなくとも過去の計算結果の再利用が可能になり、分析をスキップして文字列置換で攻撃活動情報を生成することが実現される。
転用できる過去の攻撃活動情報が存在しない場合、前記ルールベースシステムを利用した攻撃シナリオ生成が実施される。
一致する攻撃対象があった場合、攻撃活動抽出部134は、文字列置換操作で攻撃活動情報を生成する。つまり、攻撃活動抽出部134は、過去の攻撃活動情報を転用する。
これにより、必要な攻撃活動情報が過去の計算結果(攻撃活動情報)と完全に一致していなくとも過去の計算結果の再利用が可能になり、分析をスキップして文字列置換で攻撃活動情報を生成することが実現される。
転用できる過去の攻撃活動情報が存在しない場合、前記ルールベースシステムを利用した攻撃シナリオ生成が実施される。
【0083】
攻撃活動データベース193には、分析された攻撃活動情報が攻撃対象の特徴をベースに抽象化され階層的に保存される。
これにより、計算結果(攻撃活動情報)の検索性が高まり、同一性判定部133の処理が軽減される。
これにより、計算結果(攻撃活動情報)の検索性が高まり、同一性判定部133の処理が軽減される。
【0084】
実施の形態1により、過去の計算結果(攻撃活動情報)を再利用して攻撃シナリオを生成する際に、必要な攻撃活動情報と完全一致していなくとも過去の計算結果を再利用することが可能になる。そのため、過去の計算結果を再利用できる機会が増え、従来技術よりも効率的に攻撃シナリオを生成することができる。
実施の形態1は、再利用(転用)の可否を文字列比較操作で判定できるため、計算コストが低い。
実施の形態1は、再利用(転用)を文字列置換操作で行えるため、処理コストが低い。
実施の形態1は、再利用される計算結果(過去の攻撃活動情報)をデータベースによって階層的に保存するため、検索性が高い。
実施の形態1は、再利用(転用)の可否を文字列比較操作で判定できるため、計算コストが低い。
実施の形態1は、再利用(転用)を文字列置換操作で行えるため、処理コストが低い。
実施の形態1は、再利用される計算結果(過去の攻撃活動情報)をデータベースによって階層的に保存するため、検索性が高い。
【0085】
【0086】
***概要の説明***
図17に基づいて、実施の形態2の概要を説明する。
実施の形態2は、対象システムに対するセキュリティ分析方法で構築された攻撃活動データベース193を、更新後の対象システム(対象システムとの共通部分を持つ別システム)に対するセキュリティ分析方法で活用する。これにより、共通部分についての分析を省略することが可能になる。
図17では、システムAとシステムBではPC4とPC5を除いた部分が共通している。そのため、システムAに対するセキュリティ分析方法で構築された攻撃活動データベース193をシステムBに対するセキュリティ分析方法に適用すれば、システムAとシステムBの共通部分に対する計算を省略することが可能となる。但し、システムAに対するセキュリティ分析方法とシステムBに対するセキュリティ分析方法で脅威データベース191と攻撃手法データベース192が同一であることが前提条件となる、という制約がある。
図17に基づいて、実施の形態2の概要を説明する。
実施の形態2は、対象システムに対するセキュリティ分析方法で構築された攻撃活動データベース193を、更新後の対象システム(対象システムとの共通部分を持つ別システム)に対するセキュリティ分析方法で活用する。これにより、共通部分についての分析を省略することが可能になる。
図17では、システムAとシステムBではPC4とPC5を除いた部分が共通している。そのため、システムAに対するセキュリティ分析方法で構築された攻撃活動データベース193をシステムBに対するセキュリティ分析方法に適用すれば、システムAとシステムBの共通部分に対する計算を省略することが可能となる。但し、システムAに対するセキュリティ分析方法とシステムBに対するセキュリティ分析方法で脅威データベース191と攻撃手法データベース192が同一であることが前提条件となる、という制約がある。
【0087】
***構成の説明***
図18に基づいて、セキュリティ分析システム100の構成を備える。
セキュリティ分析システム100は、さらに、準備部150という要素を備える。
セキュリティ分析プログラムは、さらに、準備部150としてコンピュータを機能させる。
図18に基づいて、セキュリティ分析システム100の構成を備える。
セキュリティ分析システム100は、さらに、準備部150という要素を備える。
セキュリティ分析プログラムは、さらに、準備部150としてコンピュータを機能させる。
【0088】
***動作の説明***
セキュリティ分析システム100(準備部150を除く)の動作は、実施の形態1における動作と同じである。
セキュリティ分析システム100(準備部150を除く)の動作は、実施の形態1における動作と同じである。
【0089】
準備部150は以下のように動作する。
ステップS130が実行される前に、準備部150は、前回の対象システムに対する攻撃活動データベース193を今回の対象システムに対して引き継ぐか判定する。
例えば、利用者が攻撃活動データベース193を引き継ぐか否かをセキュリティ分析システム100に対して指定し、準備部150は利用者の指定に従って判定する。
攻撃活動データベース193を引き継ぐ場合、準備部150は、攻撃活動データベース193を初期化しない。
攻撃活動データベース193を引き継がない場合、準備部150は、攻撃活動データベース193を初期化する。
ステップS130が実行される前に、準備部150は、前回の対象システムに対する攻撃活動データベース193を今回の対象システムに対して引き継ぐか判定する。
例えば、利用者が攻撃活動データベース193を引き継ぐか否かをセキュリティ分析システム100に対して指定し、準備部150は利用者の指定に従って判定する。
攻撃活動データベース193を引き継ぐ場合、準備部150は、攻撃活動データベース193を初期化しない。
攻撃活動データベース193を引き継がない場合、準備部150は、攻撃活動データベース193を初期化する。
【0090】
***実施の形態2の効果***
実施の形態2により、新たなシステムを分析する際に過去に分析されたシステムの攻撃活動情報を転用(再利用)することが可能となり、計算の省略が見込める。
実施の形態2により、新たなシステムを分析する際に過去に分析されたシステムの攻撃活動情報を転用(再利用)することが可能となり、計算の省略が見込める。
【0091】
***実施の形態2の補足***
攻撃活動データベース193のデータ量が多くなると空間計算量が増大して同一性判定部133の処理が重くなる、と予想される。そのため、むやみにデータを蓄積するのは好ましくない。
そこで、なるべく転用(再利用)が発生するような似たシステムのデータを蓄積した攻撃活動データベース193を引き継ぐとよい。具体的には、ITシステムAを分析した後の攻撃活動データベース193を更新されたITシステムAもしくは類似するITシステムBのために活用すると効果が大きいと考えられる。
攻撃活動データベース193のデータ量が多くなると空間計算量が増大して同一性判定部133の処理が重くなる、と予想される。そのため、むやみにデータを蓄積するのは好ましくない。
そこで、なるべく転用(再利用)が発生するような似たシステムのデータを蓄積した攻撃活動データベース193を引き継ぐとよい。具体的には、ITシステムAを分析した後の攻撃活動データベース193を更新されたITシステムAもしくは類似するITシステムBのために活用すると効果が大きいと考えられる。
【0092】
実施の形態2は、特定の同じシステムを繰り返し分析するようなケースに対して特に有効である。例えば、実施の形態2は、アジャイル開発中の分析に対して特に有効である。また、実施の形態2は、更新され続けるシステムが長期で分析される場合において特に有効である。
【0093】
【0094】
***構成の説明***
セキュリティ分析システム100の構成は、実施の形態1における構成と同様である。
但し、攻撃活動データベース193の一部が実施の形態1における構成と異なる。
セキュリティ分析システム100の構成は、実施の形態1における構成と同様である。
但し、攻撃活動データベース193の一部が実施の形態1における構成と異なる。
【0095】
図19に基づいて、攻撃活動データベース193の構成を説明する。
攻撃活動データベース193は、攻撃活動情報の他に、同一性判定部133の過去の判定結果が保存される。
具体的には、攻撃活動データベース193は、特徴の一部が互いに一致する攻撃対象組ごとに一致部分を示す情報(判定結果)が保存される。
攻撃活動データベース193は、攻撃活動情報の他に、同一性判定部133の過去の判定結果が保存される。
具体的には、攻撃活動データベース193は、特徴の一部が互いに一致する攻撃対象組ごとに一致部分を示す情報(判定結果)が保存される。
【0096】
***動作の説明***
セキュリティ分析方法の手順は、実施の形態1における手順と同様である。
但し、ステップS200の一部が実施の形態1における手順と異なる。
セキュリティ分析方法の手順は、実施の形態1における手順と同様である。
但し、ステップS200の一部が実施の形態1における手順と異なる。
【0097】
図20に基づいて、ステップS200の手順を説明する。
ステップS231において、同一性判定部133は、該当活動情報が攻撃活動データベース193に登録されているか判定する。
このとき、同一性判定部133は、攻撃活動データベース193に保存されている判定結果を活用する。
ステップS231において、同一性判定部133は、該当活動情報が攻撃活動データベース193に登録されているか判定する。
このとき、同一性判定部133は、攻撃活動データベース193に保存されている判定結果を活用する。
【0098】
具体的には、同一性判定部133は判定結果を以下のように活用する。
同一性判定部133は、攻撃活動データベース193に登録されている攻撃活動情報ごとに、該当判定結果が攻撃活動データベース193に保存されているか判定する。該当判定結果は、攻撃目標と攻撃活動情報の攻撃対象の組を攻撃対象組とする判定結果である。
該当判定結果が保存されている場合、同一性判定部133は、該当判定結果に示される一致部分を除いて攻撃目標の特徴と攻撃活動情報の攻撃対象の特徴を比較し、攻撃活動情報の攻撃対象が同様対象であるか判定する。
該当判定結果が攻撃活動データベース193に保存されていない場合、同一性判定部133は、攻撃目標の特徴の全てと攻撃活動情報の攻撃対象の特徴の全てを比較し、攻撃活動情報の攻撃対象が同様対象であるか判定する。
同一性判定部133は、攻撃活動データベース193に登録されている攻撃活動情報ごとに、該当判定結果が攻撃活動データベース193に保存されているか判定する。該当判定結果は、攻撃目標と攻撃活動情報の攻撃対象の組を攻撃対象組とする判定結果である。
該当判定結果が保存されている場合、同一性判定部133は、該当判定結果に示される一致部分を除いて攻撃目標の特徴と攻撃活動情報の攻撃対象の特徴を比較し、攻撃活動情報の攻撃対象が同様対象であるか判定する。
該当判定結果が攻撃活動データベース193に保存されていない場合、同一性判定部133は、攻撃目標の特徴の全てと攻撃活動情報の攻撃対象の特徴の全てを比較し、攻撃活動情報の攻撃対象が同様対象であるか判定する。
【0099】
該当活動情報が攻撃活動データベース193に登録されている場合、同一性判定部133は該当活動情報を攻撃活動データベース193から抽出し、処理はステップS232へ進む。
該当活動情報が攻撃活動データベース193に登録されていない場合、処理はステップS233へ進む。
該当活動情報が攻撃活動データベース193に登録されていない場合、処理はステップS233へ進む。
【0100】
ステップS232において、攻撃活動抽出部134は、該当活動情報を用いて対象活動情報を生成する。
ステップS232は、実施の形態1のステップS212と同じである。
ステップS232の後、ステップS200は終了する。
ステップS232は、実施の形態1のステップS212と同じである。
ステップS232の後、ステップS200は終了する。
【0101】
ステップS233において、同一性判定部133は、ステップS231で得られた判定結果を攻撃活動データベース193に登録する。
【0102】
具体的には、同一性判定部133は、ステップS231での比較結果に基づいて該当判定結果を生成し、生成した該当判定結果を攻撃活動データベース193に保存する。
【0103】
図21に基づいて、同一性判定の例を説明する。
(1)攻撃対象は「pc2」である。攻撃目標は「pc4」である。該当手法は「不正端末接続」である。
(2)攻撃対象情報は「pc2」の特徴を示す。攻撃目標情報は「pc4」の特徴を示す。同一性判定において攻撃対象情報が攻撃目標情報と一致しなかったため、判定結果が攻撃活動データベース193に保存される。判定結果は、「OS情報」と「外部インタフェース」については「pc2」と「pc4」が一致することを示す。
(3)次回以降の同一性判定では、判定結果が攻撃活動データベース193に保存されているため、「OS情報」と「外部インタフェース」のそれぞれについての比較が省略される。これにより、次回以降の同一性判定の処理コストが削減される。
(1)攻撃対象は「pc2」である。攻撃目標は「pc4」である。該当手法は「不正端末接続」である。
(2)攻撃対象情報は「pc2」の特徴を示す。攻撃目標情報は「pc4」の特徴を示す。同一性判定において攻撃対象情報が攻撃目標情報と一致しなかったため、判定結果が攻撃活動データベース193に保存される。判定結果は、「OS情報」と「外部インタフェース」については「pc2」と「pc4」が一致することを示す。
(3)次回以降の同一性判定では、判定結果が攻撃活動データベース193に保存されているため、「OS情報」と「外部インタフェース」のそれぞれについての比較が省略される。これにより、次回以降の同一性判定の処理コストが削減される。
【0104】
【0105】
***実施の形態3の効果***
実施の形態3により、別の攻撃手法について攻撃対象Aと攻撃目標Bの同一性が判定される際に一致していると判明している特徴については比較する必要がなくなり、同一性判定処理の軽量化が見込める。セキュリティ分析が終盤に行くにつれて判定結果が蓄積され、更なる軽量化が見込める。
実施の形態3により、別の攻撃手法について攻撃対象Aと攻撃目標Bの同一性が判定される際に一致していると判明している特徴については比較する必要がなくなり、同一性判定処理の軽量化が見込める。セキュリティ分析が終盤に行くにつれて判定結果が蓄積され、更なる軽量化が見込める。
【0106】
***実施の形態3の補足***
実施の形態3は、実施の形態2と組み合わせて実施されてもよい。つまり、実施の形態3において、セキュリティ分析システム100が準備部150を備え、攻撃活動データベース193を引き継いでセキュリティ分析方法が実施されてもよい。
実施の形態3は、実施の形態2と組み合わせて実施されてもよい。つまり、実施の形態3において、セキュリティ分析システム100が準備部150を備え、攻撃活動データベース193を引き継いでセキュリティ分析方法が実施されてもよい。
【0107】
***実施の形態の補足***
各実施の形態は、好ましい形態の例示であり、本開示の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
各実施の形態は、好ましい形態の例示であり、本開示の技術的範囲を制限することを意図するものではない。各実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
【0108】
セキュリティ分析システム100は、複数のコンピュータで実現されてもよい。
セキュリティ分析システム100の各機能は、ソフトウェア、ハードウェア、ファームウェアまたはこれらの組み合わせのいずれで実現されてもよい。
セキュリティ分析システム100の各要素の「部」は、「処理」、「工程」、「回路」または「サーキットリ」と読み替えてもよい。
セキュリティ分析システム100の各機能は、ソフトウェア、ハードウェア、ファームウェアまたはこれらの組み合わせのいずれで実現されてもよい。
セキュリティ分析システム100の各要素の「部」は、「処理」、「工程」、「回路」または「サーキットリ」と読み替えてもよい。
【0109】
以下に、本開示の諸態様を付記として記載する。
(付記1)
攻撃シナリオを生成するセキュリティ分析システムであり、
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定部と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出部と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合部と、
を備えるセキュリティ分析システム。
(付記1)
攻撃シナリオを生成するセキュリティ分析システムであり、
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定部と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出部と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合部と、
を備えるセキュリティ分析システム。
【0110】
(付記2)
前記同一性判定部は、前記攻撃目標情報ごとに、複数の攻撃手法のそれぞれの攻撃手法情報が登録された攻撃手法データベースから、前記攻撃目標情報が満たす攻撃発生条件を示す攻撃手法情報を前記該当手法情報として抽出する
付記1に記載のセキュリティ分析システム。
前記同一性判定部は、前記攻撃目標情報ごとに、複数の攻撃手法のそれぞれの攻撃手法情報が登録された攻撃手法データベースから、前記攻撃目標情報が満たす攻撃発生条件を示す攻撃手法情報を前記該当手法情報として抽出する
付記1に記載のセキュリティ分析システム。
【0111】
(付記3)
前記攻撃活動データベースは、抽象化された1つ以上の攻撃活動情報である1つ以上の抽象化活動情報と複数の攻撃活動情報を階層的に管理する
付記1または付記2に記載のセキュリティ分析システム。
前記攻撃活動データベースは、抽象化された1つ以上の攻撃活動情報である1つ以上の抽象化活動情報と複数の攻撃活動情報を階層的に管理する
付記1または付記2に記載のセキュリティ分析システム。
【0112】
(付記4)
前記攻撃活動抽出部は、前記該当活動情報が登録されていない場合に生成した前記適用活動情報を前記攻撃活動データベースに登録する
付記1から付記3のいずれか1つに記載のセキュリティ分析システム。
前記攻撃活動抽出部は、前記該当活動情報が登録されていない場合に生成した前記適用活動情報を前記攻撃活動データベースに登録する
付記1から付記3のいずれか1つに記載のセキュリティ分析システム。
【0113】
(付記5)
今回の対象システムに対する攻撃シナリオが生成される前に、前回の対象システムに対する前記攻撃シナリオが生成された後の前記攻撃活動データベースを前記今回の対象システムに対して引き継ぐか判定し、前記攻撃活動データベースを引き継ぐ場合に前記攻撃活動データベースを初期化せず、前記攻撃活動データベースを引き継がない場合に前記攻撃活動データベースを初期化する準備部を備える
付記4に記載のセキュリティ分析システム。
今回の対象システムに対する攻撃シナリオが生成される前に、前回の対象システムに対する前記攻撃シナリオが生成された後の前記攻撃活動データベースを前記今回の対象システムに対して引き継ぐか判定し、前記攻撃活動データベースを引き継ぐ場合に前記攻撃活動データベースを初期化せず、前記攻撃活動データベースを引き継がない場合に前記攻撃活動データベースを初期化する準備部を備える
付記4に記載のセキュリティ分析システム。
【0114】
(付記6)
前記攻撃活動データベースは、特徴の一部が互いに一致する攻撃対象組ごとに一致部分を示す情報である判定結果が保存され、
前記同一性判定部は、前記攻撃活動データベースに登録されている前記攻撃活動情報ごとに、前記攻撃目標と前記攻撃活動情報の前記攻撃対象の組を前記攻撃対象組とする前記判定結果を該当判定結果として、前記該当判定結果が前記攻撃活動データベースに保存されている場合に前記該当判定結果に示される前記一致部分を除いて前記攻撃目標の特徴と前記攻撃活動情報の前記攻撃対象の特徴を比較して前記攻撃活動情報の前記攻撃対象が前記同様対象であるか判定し、前記該当判定結果が前記攻撃活動データベースに保存されていない場合に前記攻撃目標の前記特徴の全てと前記攻撃活動情報の前記攻撃対象の前記特徴の全てを比較して前記攻撃活動情報の前記攻撃対象が前記同様対象であるか判定すると共に前記該当判定結果を生成して前記攻撃活動データベースに保存する
付記1から付記5のいずれか1つに記載のセキュリティ分析システム。
前記攻撃活動データベースは、特徴の一部が互いに一致する攻撃対象組ごとに一致部分を示す情報である判定結果が保存され、
前記同一性判定部は、前記攻撃活動データベースに登録されている前記攻撃活動情報ごとに、前記攻撃目標と前記攻撃活動情報の前記攻撃対象の組を前記攻撃対象組とする前記判定結果を該当判定結果として、前記該当判定結果が前記攻撃活動データベースに保存されている場合に前記該当判定結果に示される前記一致部分を除いて前記攻撃目標の特徴と前記攻撃活動情報の前記攻撃対象の特徴を比較して前記攻撃活動情報の前記攻撃対象が前記同様対象であるか判定し、前記該当判定結果が前記攻撃活動データベースに保存されていない場合に前記攻撃目標の前記特徴の全てと前記攻撃活動情報の前記攻撃対象の前記特徴の全てを比較して前記攻撃活動情報の前記攻撃対象が前記同様対象であるか判定すると共に前記該当判定結果を生成して前記攻撃活動データベースに保存する
付記1から付記5のいずれか1つに記載のセキュリティ分析システム。
【0115】
(付記7)
攻撃シナリオを生成するセキュリティ分析方法であり、
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定し、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成し、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する
セキュリティ分析方法。
攻撃シナリオを生成するセキュリティ分析方法であり、
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定し、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成し、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する
セキュリティ分析方法。
【0116】
(付記8)
攻撃シナリオを生成するためのセキュリティ分析プログラムであり、
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定処理と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出処理と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合処理と、
コンピュータに実行させるためのセキュリティ分析プログラム。
攻撃シナリオを生成するためのセキュリティ分析プログラムであり、
侵入経路情報は、1つ以上の攻撃目標のそれぞれの攻撃目標情報を含み、
該当手法情報は、前記攻撃目標を攻撃するための攻撃手法の攻撃手法情報であり、
該当手法は、前記該当手法情報の前記攻撃手法であり、
同様対象は、前記攻撃目標情報の前記攻撃目標と特徴が一致する攻撃対象であり、
該当活動情報は、前記該当手法による前記同様対象への攻撃活動の攻撃活動情報であり、
適用活動情報は、前記該当手法による前記攻撃目標への攻撃活動の攻撃活動情報であり、
前記攻撃目標情報ごとに、複数の攻撃活動のそれぞれの攻撃活動情報が登録された攻撃活動データベースに前記該当活動情報が登録されているか判定する同一性判定処理と、
前記攻撃目標情報ごとに、前記該当活動情報が登録されている場合に前記該当活動情報を用いて前記適用活動情報を生成し、前記該当活動情報が登録されていない場合に前記攻撃目標情報と前記該当手法情報を用いて前記適用活動情報を生成する攻撃活動抽出処理と、
生成された前記適用活動情報を結合して前記攻撃シナリオを生成する攻撃活動結合処理と、
コンピュータに実行させるためのセキュリティ分析プログラム。
【符号の説明】
【0117】
100 セキュリティ分析システム、101 プロセッサ、102 メモリ、103 補助記憶装置、104 入出力インタフェース、110 受付部、120 脅威特定部、121 情報取得部、122 最終目標抽出部、123 脅威抽出部、130 攻撃シナリオ生成部、131 初期目標抽出部、132 侵入経路抽出部、133 同一性判定部、134 攻撃活動抽出部、135 攻撃活動結合部、140 出力部、150 準備部、190 記憶部、191 脅威データベース、192 攻撃手法データベース、193 攻撃活動データベース。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】