(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024022321
(43)【公開日】2024-02-16
(54)【発明の名称】セキュリティ対策システム、構築装置、実行管理装置、セキュリティ対策方法、及びプログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20240208BHJP
【FI】
G06F21/57
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022125816
(22)【出願日】2022-08-05
(71)【出願人】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(72)【発明者】
【氏名】西野 卓也
(72)【発明者】
【氏名】八木 洸人
(72)【発明者】
【氏名】志村 正樹
(57)【要約】
【課題】迅速な初動対応を可能とするセキュリティ対策の技術を提供する。
【解決手段】セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムであって、前記構築装置が、サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示し、前記実行管理装置が、前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話に基づいて決定されたセキュリティアクションを、実施担当者に通知し、前記実行管理装置が、前記実施担当者から、セキュリティアクションの実施ステータスを示す情報を受信する。
【選択図】
図1
【特許請求の範囲】
【請求項1】
セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムであって、
前記構築装置が、サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示し、
前記実行管理装置が、前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話に基づいて決定されたセキュリティアクションを、実施担当者に通知し、
前記実行管理装置が、前記実施担当者から、セキュリティアクションの実施ステータスを示す情報を受信する
セキュリティ対策システム。
【請求項2】
前記セキュリティトピックは、前記コミュニケーションツールを用いてなされた会話のログを更に含み、
前記構築装置は、前記会話のログを保存し、保存された前記会話のログに基づいて、前記サイバー脅威によるサービス運用への影響、又は、前記サイバー脅威が鎮静化する時期を予測する
請求項1に記載のセキュリティ対策システム。
【請求項3】
前記実行管理装置は、前記セキュリティトピックに紐づけられたシステムタグに対応する実施担当者にセキュリティアクションを通知する
請求項1又は2に記載のセキュリティ対策システム。
【請求項4】
前記実行管理装置は、前記実施担当者から受信した実施ステータスを示す情報に基づいて、前記実施担当者に対して、評価情報を付与するか否かを判断する
請求項1又は2に記載のセキュリティ対策システム。
【請求項5】
セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムにおける前記構築装置であって、
サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示する表示処理部と、
前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話のログを格納する記憶部と、
前記記憶部に格納された会話のログに基づいて、前記サイバー脅威によるサービス運用への影響、又は、前記サイバー脅威が鎮静化する時期を予測する分析部と
を備える構築装置。
【請求項6】
セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムにおける前記実行管理装置であって、
前記構築装置は、サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示し、
前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話に基づいて決定されたセキュリティアクションを、実施担当者に通知し、前記実施担当者から、セキュリティアクションの実施ステータスを示す情報を受信するセキュリティアクション処理部と、
前記セキュリティアクションの実施ステータスを格納する記憶部と
を備える実行管理装置。
【請求項7】
セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムにおけるセキュリティ対策方法であって、
前記構築装置が、サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示するステップと、
前記実行管理装置が、前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話に基づいて決定されたセキュリティアクションを、実施担当者に通知するステップと、
前記実行管理装置が、前記実施担当者から、セキュリティアクションの実施ステータスを示す情報を受信するステップと
を備えるセキュリティ対策方法。
【請求項8】
コンピュータを、請求項5に記載の構築装置における各部として機能させるためのプログラム。
【請求項9】
コンピュータを、請求項6に記載の実行管理装置における各部として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サイバー脅威に対するセキュリティ対策技術に関連するものである。
【背景技術】
【0002】
近年、マルウェアや脆弱性への攻撃等の様々なサイバー脅威が増加している。このような状況に対応するために、一般的な企業においてセキュリティ専門のチームや組織が存在する場合が多い。このような企業で用いられる従来のセキュリティ対策システムでは、一般に、セキュリティ対策の対象となるシステムを登録し、専門チームによるセキュリティ対策情報に基づいて、各サービス担当者により対象のシステムに対するセキュリティ対策がなされる。
【先行技術文献】
【特許文献】
【0003】
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかし、従来のセキュリティ対策システムを用いる場合、初動対応が遅れることがあるという課題があった。
【0005】
本発明は上記の点に鑑みてなされたものであり、迅速な初動対応を可能とするセキュリティ対策の技術を提供することを目的とする。
【課題を解決するための手段】
【0006】
開示の技術によれば、セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムであって、
前記構築装置が、サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示し、
前記実行管理装置が、前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話に基づいて決定されたセキュリティアクションを、実施担当者に通知し、
前記実行管理装置が、前記実施担当者から、セキュリティアクションの実施ステータスを示す情報を受信する
セキュリティ対策システムが提供される。
【発明の効果】
【0007】
開示の技術によれば、迅速な初動対応を可能とするセキュリティ対策の技術を提供することができる。
【図面の簡単な説明】
【0008】
【
図1】セキュリティ対策システムの全体構成例を示す図である。
【
図2】セキュリティアクション構築装置100の構成例を示す図である。
【
図3】セキュリティアクション実行管理装置200の構成例を示す図である。
【
図4】セキュリティバッジ管理装置300の構成例を示す図である。
【
図5】セキュリティ対策システムの動作を説明するためのシーケンス図である。
【
図6】端末10に表示されるUI画面の構成例を示す図である。
【
図9】セキュリティ対策システムの動作を説明するためのシーケンス図である。
【発明を実施するための形態】
【0009】
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。
【0010】
なお、以下の説明における「サービス担当者」、「セキュリティ専門家」、及び「セキュリティ対策実施責任者」はそれぞれ、特に断らない限り、個人であってもよいし、複数人からなるチームであってもよい。また、「サービス担当者」を「実施担当者」と呼んでもよい。
【0011】
(課題について)
前述したとおり、既存のセキュリティ対策システムでは、初動対応が遅れることがある。その理由は下記のとおりである。なお、以下の説明は、サイバー脅威にさらされる一般的な企業において想定される課題の説明である。また、以下の課題の説明は公知ではない。
【0012】
初動対応が遅れる大きな原因は、情報共有の遅れであると考えられる。すなわち、現場のセキュリティの担当者に対して正確なセキュリティ対策情報の配布を行う必要があるが、正確なセキュリティ対策情報の作成のほうに時間がかかり、情報共有が遅れる。そのため、各組織の初動対応が遅れることが考えられる。
【0013】
一般的な企業で使用される既存のセキュリティ対策システムでは、正確なセキュリティ対策情報が準備されていることを前提とするため、対策情報の準備に関する時間を考慮していない。それが上述した情報共有の遅れの要因となる。
【0014】
一方、一般的な企業内では情報共有を迅速にするため、セキュリティ対策情報の配布にチャットが用いられる場合がある。この場合、サイバー脅威を発見した事実は各組織等に素早く共有される。しかし、チャットを用いるだけでは、セキュリティ対策の管理として不十分である。例えば、チャットでは、複数の情報を共有した場合、セキュリティ対策を実施すべき担当者が、どこまでの情報に基づいてセキュリティ対策を行ったのか判断ができない。そのため、対策の根拠に関する認識が組織の中で不明瞭になる場合がある。
【0015】
(本実施の形態の概要)
本実施の形態では、セキュリティ対策を「サイバー脅威の軽減又は除去を行うためのセキュリティアクションの実施」と定義し、上述した課題を解決するために、セキュリティ対策システムを「セキュリティアクションの構築管理」と「決定されたセキュリティアクションの実施管理」に分けることとしている。これらを分けることで、セキュリティアクションの実施決定前にサイバー脅威の情報共有を行うことが可能になる。
【0016】
従来のセキュリティ対策システムを用いる場合、セキュリティアクションの実施決定と同時にサイバー脅威の影響範囲やアクション手順の議論を開始することが一般的である。それに対して、本実施の形態に係る技術を用いることにより、セキュリティアクションの実施が決定される前に、各サービス担当者はサイバー脅威の影響範囲や議論中のアクション手順を確認できる。これにより各サービス担当者による迅速な初動対応を実現することができる。
【0017】
上述した「セキュリティアクションの構築管理」では、情報共有に基づいてセキュリティアクションの構築を支援するのみならず、チャットメッセージを保存し、それを分析することで、サービス運用への影響の度合(影響の有無)を予測したり、脅威の鎮静化はいつ頃になるのかを予測したりすることが可能になっている。
【0018】
また、「決定されたセキュリティアクションの実施管理」では、セキュリティアクションの実施状況(実施ステータス)を管理することで、セキュリティアクションの実施状況(実行したアクションの数や種類)から、個人やチーム単位でのセキュリティ対処能力の評価を行うことが可能である。また、セキュリティアクションの行動改善提案、登録漏れシステムの検知が可能になっている。
【0019】
以下、本実施の形態におけるセキュリティ対策システムの構成と動作について詳細に説明する。
【0020】
(セキュリティ対策システムの全体構成例)
図1に、本実施の形態におけるセキュリティ対策システムの全体構成例を示す。
図1に示すように、本実施の形態におけるセキュリティ対策システムは、セキュリティアクション構築装置100、セキュリティアクション実行管理装置200、セキュリティバッジ管理装置300、チャットシステム400を有し、これらがネットワーク500に接続されている。
【0021】
また、ネットワーク500には、複数の端末10が接続されており、各端末10から、ネットワーク500を介して、セキュリティアクション構築装置100、セキュリティアクション実行管理装置200、セキュリティバッジ管理装置300、及びチャットシステム400のいずれにもアクセス可能である。
【0022】
なお、セキュリティアクション構築装置100とセキュリティアクション実行管理装置200とを有するシステムをセキュリティ対策システムと呼んでもよい。また、セキュリティアクション構築装置100を「構築装置」と呼び、セキュリティアクション実行管理装置200を「実行管理装置」と呼んでもよい。
【0023】
本実施の形態では、種々のサービス(主にネットワークサービス)を提供するある企業において、本セキュリティ対策システムが使用されることを想定する。また、本セキュリティ対策システムを使用するユーザ(端末10のユーザ)として、セキュリティアクションを構築することができるセキュリティ専門家、及び、各サービスのセキュリティの担当者(サービス担当者と呼ぶ)が存在することを想定する。サービス担当者は、セキュリティ専門家により決定されたセキュリティアクションを実行する。なお、セキュリティ専門家は、あるサービスについてのセキュリティ専門家であってもよいし、サービス全般にわたるセキュリティ専門家であってもよい。また、セキュリティ専門家とサービス担当者が同一人物(同一チーム)である場合があってもよい。
【0024】
例えば、種々のサービスにおいて広く使用されているサーバ上のソフトウェアにおいて発見されたサイバー脅威に対して、セキュリティ専門家が、コミュニケーションツール(ここではチャット)による会話に基づいて、とるべきセキュリティアクションを構築(決定)する。各サービスにおけるサービス担当者は、自身が担当するサービスにおけるサーバのソフトウェアに対して、セキュリティ専門家が決定したセキュリティアクションを実行する。
【0025】
セキュリティアクション構築装置100は、「セキュリティアクションの構築管理」を行う装置である。セキュリティアクション実行管理装置200は、「決定されたセキュリティアクションの実施管理」を行う装置である。また、セキュリティアクション実行管理装置200は、セキュリティアクションの実施状況に応じてサービス担当者にバッジを付与するかどうかを判断する処理等も実行する。セキュリティバッジ管理装置300は、サービス担当者に付与されたバッジを登録し、管理する装置である。なお、セキュリティバッジ管理装置300を「達成管理装置」と呼んでもよい。
【0026】
なお、セキュリティアクションの実施状況に応じてサービス担当者に付与する評価情報として、「バッジ」を使用することは一例である。「バッジ」に代えて、「番号」、「文章」、「記号」、あるいは、その他の情報を付与してもよい。
【0027】
チャットシステム400は、一般的なチャットのシステムである。例えば、チャットシステム400により、組織ごとや議論のテーマごとなどのルームを形成し、ルーム内でユーザ(具体的には端末10)間でのチャットを行うことができる。
【0028】
なお、コミュニケーションツールとしてチャットシステム400を使用することは一例である。本実施の形態において、セキュリティアクション構築のための会話(議論)等のためにチャットシステム400以外のコミュニケーションツール(例:電子メール)を使用してもよい。会話のログを残せるコミュニケーションツールであればどのようなコミュニケーションツールを使用してもよい。各端末10は、例えば、PC、スマートホン、あるいはタブレット等である。
【0029】
ネットワーク500は、インターネット等のパブリックなネットワークであってもよいし、閉域網等のプライベートなネットワークであってもよい。
【0030】
(各装置の詳細)
セキュリティアクション構築装置100、セキュリティアクション実行管理装置200、及びセキュリティバッジ管理装置300それぞれの機能、及び装置構成例を説明する。なお、装置構成の各機能部の動作について、ここでは概要を説明し、詳細については、シーケンス図を用いて後述する。
【0031】
<セキュリティアクション構築装置100>
セキュリティアクション構築装置100は、複数の端末10に対してUI画面(端末10に表示される画面)を提供し、セキュリティ専門家によるセキュリティアクションの決定を支援するとともに、サービス担当者への情報共有を行う。複数の端末10には、セキュリティ専門家の端末10、サービス担当者の端末10が含まれる。
【0032】
セキュリティアクション構築装置100のUI画面が、各サービス担当者の端末10にも提供されるので、各セキュリティ専門家のみならず、各サービス担当者にも、セキュリティアクション決定の前の段階で、サイバー脅威の情報を共有することができる。
【0033】
セキュリティアクション構築装置100において、サイバー脅威と、実行可能なセキュリティアクションはセットで管理及び表示される。このセットを「セキュリティトピック」と呼ぶ。また、セキュリティアクション構築装置100には、本セキュリティトピックについてなされたチャットでの会話(会話のログ)が時系列で保存される。この時系列の会話のログを「タイムライン」と呼んでもよい。「セキュリティトピック」の中に、サイバー脅威とセキュリティアクションに加えて、タイムラインが含められてもよい。
【0034】
セキュリティアクションとは、セキュリティ対策のためのアクション(サイバー脅威をコントロールする行動)であり、その種類をアクションタイプと呼ぶ。アクションタイプとして、例えば、Elimination(脅威の除去)、Mitigation(脅威の緩和)、Detection(脅威の検知)などが存在する。なお、あるサイバー脅威に対して、どのようなアクションタイプのセキュリティアクションをとるかについては、セキュリティ専門家により、例えば他のセキュリティ専門家とのチャットでの会話に基づいて決定される。
【0035】
図2に、セキュリティアクション構築装置100の構成例を示す。
図2に示すように、セキュリティアクション構築装置100は、情報取得部110、表示処理部120、分析部130、及び記憶部140を有する。
【0036】
情報取得部110は、チャットシステム400からチャットメッセージ(会話のログ)を取得する。情報取得部110により取得された情報は記憶部140に格納される。
【0037】
表示処理部120は、記憶部140に格納された情報に基づいて、UI画面(表示画面)を生成し、端末10へUI画面を提供する。また、表示処理部120は、UI画面上で端末10に入力され、端末10から送信された情報を取得し、記憶部140に格納する。
【0038】
分析部130は、記憶部140に格納された情報に基づいて、分析を行う。分析の内容については後述する。
【0039】
<セキュリティアクション実行管理装置200>
セキュリティアクション実行管理装置200は、サービス担当者によるセキュリティアクションの実行(実施)を管理する。
【0040】
本実施の形態では、「システムタグ」を使用する。「システムタグ」は、企業において種々のサービスを提供しているシステムを構成するソフトウェア、ライブラリ、製品等を識別するタグである。また、「システムタグ」はサービス(あるいはサービス担当者)も識別する。
【0041】
例えば、サービスPとサービスQがあり、両サービスでソフトウェアAを使用している場合、それぞれのサービスにはシステムタグとして「ソフトウェアA」が登録される。サービスPにおけるソフトウェアAの脅威レベルは「P-A」で識別され、サービスQにおけるソフトウェアAの脅威レベルは「Q-A」で識別される。
【0042】
例えば、セキュリティ専門家により、あるセキュリティトピックにおいて、ソフトウェアAに対するセキュリティアクションが決定されたとすると、セキュリティ専門家は、セキュリティアクション実行管理装置200に対して、「システムタグ」と、当該セキュリティトピック(具体的にはソフトウェアA)とのマッチング(紐づけ)を指示する。これにより、セキュリティアクション実行管理装置200は、当該セキュリティトピックについてのセキュリティアクションは、「ソフトウェアA」に紐づくシステムタグに対応するサービス担当者が実施すべきと判断できる。
【0043】
上記サービスPとサービスQの例において、セキュリティアクション実行管理装置200は、サービスPとサービスQのそれぞれのサービス担当者へ「ソフトウェアA」に対するセキュリティアクションの内容を通知することができる。
【0044】
動作としては、各サービス担当者は端末10から、事前にセキュリティアクション実行管理装置200に対して、自身のサービスに関するシステムを構成するライブラリや製品を「システムタグ」として登録する。
【0045】
上記のようにセキュリティトピックはシステムタグと紐づけられることで、当該セキュリティトピックにおけるセキュリティアクションが、そのセキュリティトピックに該当するサービス担当者に通知される。
【0046】
また、セキュリティアクション実行管理装置200は、サービス担当者によるセキュリティアクションの実施状況を管理し、その実施状況に応じて、サービス担当者にバッジを付与することができる(あるいはバッジを付与することを判断できる)。このバッジ付与により、貢献の見える化を行うことができる。なお、前述したように、セキュリティアクションの実施状況に応じてサービス担当者に付与する評価情報として、「バッジ」を使用することは一例である。「バッジ」に代えて、「番号」、「文章」、「記号」、あるいは、その他の情報を付与してもよい。
【0047】
すなわち、セキュリティアクション実行管理装置200は、セキュリティアクションの実施を管理しており、誰がどのタイプのアクションをどれだけ実行したのかを管理することができる。また、セキュリティアクション実行管理装置200において、セキュリティ資格や経歴の登録が可能になっている。それによって、セキュリティアクション実行管理装置200は、セキュリティアクションの習熟度を含めた個人単位又はチーム単位でのセキュリティ対処能力を評価することが可能である。この評価の利用によって、セキュリティ対処能力の低いチームあるいは個人とのミスコミュニケーションを防ぐことが可能となる。
【0048】
図3に、セキュリティアクション実行管理装置200の構成例を示す。
図3に示すように、セキュリティアクション実行管理装置200は、情報取得部210、セキュリティアクション処理部220、セキュリティバッジ登録処理部230、記憶部240を備える。
【0049】
情報取得部210は、登録情報の取得、セキュリティトピックの取得等を行う。情報取得部210により取得された情報は記憶部240に格納される。
【0050】
セキュリティアクション処理部220は、セキュリティアクションの通知、セキュリティアクションの実行結果(実施ステータス等)の取得等を行う。セキュリティバッジ登録処理部230は、セキュリティバッジの付与のための処理を行う。
【0051】
<セキュリティバッジ管理装置300>
セキュリティバッジ管理装置300は、セキュリティアクション実行管理装置200により付与すると判断されたバッジを登録し、管理する。また、セキュリティバッジ管理装置300は、セキュリティ運用の詳細を隠しながら、サービス担当者の業績を第三者へ開示することができる。
【0052】
図4に、セキュリティバッジ管理装置300の構成例を示す。
図4に示すように、セキュリティバッジ管理装置300は、セキュリティバッジ登録部310、セキュリティバッジ公開部320、及び記憶部330を有する。セキュリティバッジ登録部310は、セキュリティバッジの情報を記憶部330に格納することにより、セキュリティバッジの登録を行う。セキュリティバッジ公開部320は、登録されたセキュリティバッジの公開を行う。
【0053】
(セキュリティ対策システムの動作)
以下、シーケンス図を参照して、セキュリティ対策システムの動作を説明する。セキュリティ対策システムの動作は、セキュリティアクション構築段階の動作、セキュリティアクション実行段階の動作、セキュリティバッジ付与段階の動作に大きく分けることができるので、それぞれについて説明する。
【0054】
<セキュリティアクション構築段階の動作>
まず、
図5のシーケンス図の手順に沿って、セキュリティアクション構築段階の動作を説明する。なお、
図5のS10~S13については、セキュリティアクション実行段階の動作であると考えてもよい。
【0055】
まず、S1において、各サービス担当者は、端末10からシステムタグを送信することで、システムタグの登録を行う。セキュリティアクション実行管理装置200の情報取得部210は、システムタグを受信し、受信したシステムタグを記憶部240に格納する。前述したように、システムタグにより、サービス(あるいはサービス担当者、あるいはチーム)と、そのサービスを提供するシステムを構成する部分(特定のソフトウェア等)を識別できる。
【0056】
S2において、セキュリティ専門家により、チャットシステム400により提供されるチャットを用いることで、サービスのセキュリティに関する情報収集が行われる。この情報収集に基づき、セキュリティ専門家によりサイバー脅威が発見されたとすると、セキュリティ専門家は、セキュリティアクション構築装置100の表示処理部120により端末10に表示されるUI画面から、セキュリティトピックの入力(作成)を行う。
【0057】
作成されたセキュリティトピックは、表示処理部120により記憶部240に格納される。S4において、セキュリティトピックが作成されたことを示す通知が、セキュリティアクション構築装置100から、チャットシステム400を介して、複数の端末10に送られる。
【0058】
この段階では、セキュリティトピックとして、発見されたサイバー脅威の情報(概要説明等)と、実行可能なセキュリティアクションが作成され、記憶部140に格納される。実行可能なセキュリティアクションとは、前述したElimination(脅威の除去)、Mitigation(脅威の緩和)、Detection(脅威の検知)などであり、それぞれについて、発見されたサイバー脅威に対する具体的なアクションが記述されている。
【0059】
セキュリティトピックの作成が完了した時点で、当該セキュリティトピックに係るサイバー脅威の情報は、サービス担当者を含む関係者全員に共有される。つまり、例えば、セキュリティ専門家ではないサービス担当者は、端末10から、セキュリティアクション構築装置100にアクセスすることで、セキュリティトピックの内容を見ることができる。サイバー脅威の情報の共有は、チャットシステム400によりチャットでなされてもよい。
【0060】
S6において、複数のセキュリティ専門家の間で、今回作成されたセキュリティトピックのサイバー脅威について、チャットを用いた対策方法の議論がなされる。その際、議論におけるチャットメッセージが情報取得部110により取得され、記憶部140に格納される(S5、S7)。
【0061】
また、分析部130は、記憶部140に保存されたチャットメッセージ等に基づき、後述する分析を行って、分析結果をチャットシステム400に通知する。チャットシステム400により、例えば、複数のセキュリティ専門家に対して分析結果が通知される。なお、分析部130から特定の端末10に対して分析結果が通知されてもよい。なお、S8の分析の段階で、実行すべきセキュリティアクションが決定されていてもよい。
【0062】
セキュリティ専門家により、今回のセキュリティアクションに対してとるべきセキュリティアクションが決定されると、その決定されたセキュリティアクションの情報がセキュリティ専門家の端末10からセキュリティアクション構築装置100に通知され、セキュリティアクション構築装置100の記憶部140に、決定されたセキュリティアクションがセキュリティトピックとともに保存される。
【0063】
S10において、セキュリティ専門家は、端末10から、セキュリティアクション実行管理装置200に対してセキュリティトピックを登録する。このセキュリティトピックは、S9まででセキュリティアクションが決定されているセキュリティトピック(名前でもよいしIDでもよい)である。セキュリティアクション実行管理装置200において、情報取得部210が当該セキュリティトピックを取得し、記憶部240に格納する。
【0064】
S11において、情報取得部210は、セキュリティトピックの情報(トピックの概要、決定されたセキュリティアクション等)の要求をセキュリティアクション構築装置100に送信し、S12において、セキュリティトピックの情報(トピックの概要、決定されたセキュリティアクション等)を取得する。取得したセキュリティトピック及びその中のセキュリティアクションにはユニークなIDが付与され、IDとともに記憶部240に格納される。
【0065】
S13において、セキュリティ専門家が、端末10からセキュリティアクション実行管理装置200にアクセスすることで、セキュリティトピックとシステムタグの紐付けを行う。紐付けの情報は記憶部240に格納される。
【0066】
例えば、セキュリティ専門家が、今回のセキュリティトピックは、「ソフトウェアA」に対するアクションが必要なトピックであると判断した場合、当該セキュリティトピックを、「ソフトウェアA」のシステムタグに紐付ける。
【0067】
<UI画面の構成例>
表示処理部120により端末10に表示されるUI画面の構成例を
図6に示す。
図6に示すように、UI画面には、トピックの概要、実行可能なアクションの一覧、及び、アクション決定の経緯が含まれる。
【0068】
トピックの概要として、脅威の対象、影響範囲、原因、及び主な対策などが文章で記載される。実行可能なアクションの一覧は、脅威をコントロール(主に軽減)するアクションの一覧であり、その内容は前述したとおりである。アクション決定の経緯として、脅威の分析・対処に関する会話のタイムライン(時系列の会話のログ)が表示される。このタイムラインを見ることで、セキュリティトピックに対して、どのような議論の経緯により、セキュリティ専門家が、実施すべきセキュリティアクションを決定したのかを把握することができる。
【0069】
また、タイムラインには、各組織に存在する脅威の情報が、複数の組織を横断して集約されるので、組織間あるいはチーム間での分析の重複や認識のずれを防ぐことができる。例えば、組織AのチャットルームAで議論された会話ログと、組織BのチャットルームBで議論された会話ログとがともにタイムラインに表示される。組織Aの人と組織Bの人はともにタイムラインを見ることができるので、分析の重複や認識のずれを把握するこができる。すなわち、従来のチャットを用いたセキュリティ対策では、複数のチーム/チャンネルで同時多発的にある製品についてのサイバー脅威が観測された場合、バラバラに分析と対応をしていることがあったが、それを防ぐことができる。
【0070】
トピックの概要と実行可能なアクションの一覧は、セキュリティ専門家により作成される。アクション決定の経緯については、トピックに関連するキーワードから関連する会話を抽出することで自動的に作成してもよいし、人手(システム管理者、セキュリティ専門家等)により作成してもよい。なお、チャットシステムからメッセージを取得して、取得したメッセージをまとめる等の処理を行う既存のツールがあるので、そのようなツールを用いてもよい。
【0071】
また、実行可能な複数のセキュリティアクションの中で、セキュリティ専門家が推奨するアクションについて、そのことを示すマーク(例えば星印)を該当のセキュリティアクションに付与してもよい。
【0072】
また、
図6に示すUI画面におけるは、トピックの概要、実行可能なアクションの一覧、及び、アクション決定の経緯はいずれも、セキュリティトピックに関する議論の進行に応じて、随時更新される。「アクション決定の経緯」は、アクションが決定される前の会話ログであってもよい。
【0073】
また、上記のように随時更新されていくUI画面の情報(トピックの概要、実行可能なアクションの一覧、及び、アクション決定の経緯)を記憶部140に格納することで、ユーザ(セキュリティ専門家でもよいし、サービス担当者でもよい)が、UI画面の情報(トピックの概要、実行可能なアクションの一覧、及び、アクション決定の経緯)を振り返ることができるようにしてもよい。
【0074】
例えば、時刻1、時刻2、時刻3それぞれのUI画面の情報(トピックの概要、実行可能なアクションの一覧、及び、アクション決定の経緯)が記憶部140に格納されているとする。
【0075】
例えば、時刻3が経過した後に、ユーザが端末10から、時刻1を表示処理部120に対して指定することで、端末10に時刻1のUI画面の情報(トピックの概要、実行可能なアクションの一覧、及び、アクション決定の経緯)を表示させることができる。
【0076】
<分析部130による分析の例>
次に、セキュリティアクション構築装置100における分析部130による分析の例として分析例1と分析例2を説明する。分析例1と分析例2は両方とも実行してもよいし、いずれか1つを実行してもよい。
【0077】
分析例1:
分析例1において、分析部130は、サービス運用への影響の有無を自動で判定する。分析例1の処理イメージを
図7に示す。なお、ここでは、便宜上、サービス運用へ大きな(あるいは深刻な)影響があることを、サービス運用への影響が「有」とし、そうでない場合を「無」とする。
【0078】
サービス運用への影響の有無の自動判定は、主に影響範囲の大きなゼロデイ攻撃を想定したものであり、分析部130は、記憶部140に格納されている情報に基づいて、例えば下記の判定ロジックを用いて判定を行う。
【0079】
「(保存された)チャットのメッセージ数の流量がXメッセージ/時以上である」、かつ、「該当セキュリティトピックに関することに言及されたチャットルームの数がY以上である」、かつ、「決定されたアクションのうちのeliminationのアクションの数が0である」場合に、サービス運用への影響が「有」と判断する。
【0080】
上記のXは例えば20であり、Yは例えば3である。上記のロジックは一例である。例えば、上記は3つの条件のANDをとっているが、3つのうちの少なくともいずれかの1つの条件が満たされれば、サービス運用への影響が「有」であると判断してもよい。
【0081】
分析例2:
分析例2の処理イメージを
図8に示す。分析例2において、分析部130は、現時点(例:セキュリティアクションが決定された時点)から脅威が鎮静化するまでの時間を予測する。ここでは、脅威が鎮静化するまでの時間として、セキュリティトピックについての議論がいつまで続くのか(議論が終わるまでの時間であり、議論継続時間と呼んでもよい)を、当該セキュリティトピックに類似する過去事例における議論継続時間の実績から推定する。なお、議論が終了するとは、例えは、チャットのメッセージ数の流量がZメッセージ/時以下になったことである。Zは予め定めた数であり、例えば、1あるいは2である。なお、過去のセキュリティトピックについての情報も記憶部140に保存されていると想定する。
【0082】
分析部130は、例えば、議論継続時間の予測対象のセキュリティトピック(本セキュリティトピックと呼ぶ)に類似する過去のセキュリティトピックにおける議論継続時間が7日であれば、本セキュリティトピックの議論継続時間を7日と予測する。
【0083】
分析部130は、本セキュリティトピックと、過去セキュリティトピックとが類似するか否かを、例えは、下記のロジックを用いて判断する。
【0084】
「本セキュリティトピックと過去セキュリティトピックとの間において、(保存された)チャットのメッセージの分散パターンの相関係数がX以上である」、かつ、「本セキュリティトピックと過去セキュリティトピックとの間において、言及されたチャットルーム数の相関係数がY以上である」、かつ、「本セキュリティトピックと過去セキュリティトピックとの間において、アクションタイプの相関係数がZ以上である」場合に、本セキュリティトピックと過去セキュリティトピックとが類似すると判断する。
【0085】
なお、セキュリティトピックに関するチャットのメッセージの出現頻度(流量)に関して、常時同じではなく、ある期間において多く出現し、別の期間において少なく出現するといったパターンが繰り返され、次第に流量が減少している。このような出現のしかた(多く出現する期間と少なく出現する期間のパターン)を「分散パターン」と呼んでいる。
【0086】
上記のXは例えば0.7であり、Yは例えば0.9であり、Zは例えば0.7である。上記のロジックは一例である。例えば、上記は3つの条件のANDをとっているが、3つのうちの少なくともいずれか1つの条件が満たされれば、本セキュリティトピックと過去セキュリティトピックとが類似すると判断してもよい。
【0087】
図5のS8において、分析例1では、サービス運用への影響の有無がチャットシステム400に通知され、分析例2では、議論継続時間の推定値がチャットシステム400に通知される。
【0088】
<セキュリティアクション実行段階の動作>
次に、
図9のシーケンス図の手順(S14~S18)に沿って、セキュリティアクション実行段階の動作を説明する。ここでのセキュリティアクション実行の動作は、上述したセキュリティアクション構築段階でセキュリティアクションが決定されたセキュリティトピックについての動作である。セキュリティアクション実行段階では、サービス担当者の他に、セキュリティ対策実施責任者が登場する。
【0089】
S14において、セキュリティアクション実行管理装置200のセキュリティアクション処理部220は、記憶部240を参照することにより、セキュリティトピックに紐づけられている各システムタグを抽出し、抽出した各システムタグにより識別される各サービス担当者に向けて、チャットシステム400に対して通知を行う。
【0090】
この通知の情報は、例えば、「この通知を受けたサービス担当者が担当するサービスに関連するサイバー脅威があり、それに対してセキュリティアクションとらなければならない」ことを示す情報である。
【0091】
この情報は、チャットシステム400により各サービス担当者の端末10へ通知される。なお、この情報は、セキュリティアクション処理部220により、各サービス担当者の端末10に対して直接に通知されてもよい。
【0092】
上記通知の情報の中に、具体的なセキュリティアクションの内容が含まれていてもよい。また、通知を受けたサービス担当者が、端末10からセキュリティアクション実行管理装置200にアクセスすることで、セキュリティアクション実行管理装置200から当該端末10に対して、具体的なセキュリティアクションの内容が表示されることとしてもよい。
【0093】
各サービス担当者は、セキュリティアクションの内容を把握すると、セキュリティアクションを実行する。
【0094】
その後、各サービス担当者は、端末10から、セキュリティアクションを実施したことをセキュリティアクション実行管理装置200に対して登録する。セキュリティアクション実行管理装置200の記憶部240には、アクションの実行がログとして登録(格納)される。このログをアクションログと呼び、アクションログにはアクションログID(Action_Log_ID)が付与される。また、記憶部240には、アクションログIDと紐づけてトピックステータスが格納される。なお、トピックステータスを「ステータス」、「実施ステータス」等と呼んでもよい。S15、S16により例を説明する。
【0095】
S15では、サービスP担当者は端末10から「Status: Completed, 実施者:サービス担当者A, Action_Type: Mitigation, Action_ID:XXX」を送信する。この情報はセキュリティ処理部220が受信する。セキュリティ処理部220は、アクションログIDを発行し、上記の情報に基づいて、アクションログをアクションログIDとともに記憶部240に格納する。ここでは、例えば、下記の情報が格納される。
【0096】
「実施者(アクションの実施者):サービス担当者A, Action_Type: Mitigation, Action_ID:XXX」
続いて、セキュリティ処理部220は、アクションログIDと紐づけてトピックステータスを更新する。記憶部240における更新後のトピックステータスの例は下記のとおりである。
【0097】
「Status: Completed, 実施者(トピックステータスの変更者):サービス担当者A, Action_Log_ID:XXX」
記憶部240におけるトピックステータスが更新される際には、更新の時刻が付与される。あるいは、端末10から送信される上記情報に時刻(タイムスタンプ)が付加され、そのタイムスタンプが更新後のトピックステータスに付与されてもよい。上記の時刻はいずれもアクションを実行した時刻であると見なしてもよい。
【0098】
同様に、S16では、サービスQ担当者は端末10から「Status: Completed, 実施者: サービス担当者B, Action_Type: Elimination, Action_ID:YYY」を送信する。これにより、上記の場合と同様に、アクションログの追加、及び、トピックステータスの更新が行われる。
【0099】
なお、「Status: Completed」は、アクションによる対処が完了したことを示す。また、ステータスとして「Completed」以外にも「Alerted(未対応のセキュリティトピック)」、「Acknowledged(着手開始)」、「Scheduled(計画済み)」などがある。
【0100】
各サービス担当者は、例えば、それぞれのステータスに該当する時点で、該当のステータスを付した情報(例:「Status: Acknowledged, 実施者:サービス担当者A, Action_Type: Mitigation, Action_ID:XXX」)をセキュリティ実行管理装置200に送信する。セキュリティ実行管理装置200のセキュリティアクション処理部220は、受信した情報に基づいて、アクションログの追加、トピックステータスの更新を行う。
【0101】
また、セキュリティアクション処理部220は、S17において、セキュリティ対策実施責任者の端末10から情報取得要求を受けた際には、当該端末10に対して、ステータス付きの情報を提供することができる(S18)。
【0102】
S18の例では、「サービスP:Completed, Mitigation, 実施者: サービス担当者A (脅威の緩和済)」、「サービスQ: Completed, Elimination, 実施者: サービス担当者B(脅威の排除済)」がセキュリティ対策実施責任者の端末10に返されている。
【0103】
上記のようにセキュリティアクションの実施状況を示すステータスを用いることで、セキュリティ対策実施責任者は、対象のセキュリティトピックに関して、セキュリティアクションの実施状況と残存するサイバー脅威を把握することができる。
【0104】
また、セキュリティアクション実行管理装置200のセキュリティアクション処理部220は、着目するサービスのサービス担当者(あるいはチーム)により登録されたシステムタグと、着目するサービスと類似するサービスの他のサービス担当者(あるいはチーム)により登録されたシステムタグとの類似性に基づいて、着目するサービスのサービス担当者(あるいはチーム)により登録が漏れているシステムタグを検知することも可能である。
【0105】
<セキュリティバッジ付与段階の動作>
次に、
図9のシーケンス図の手順(S19~S22)に沿って、セキュリティアバッジ付与段階の動作を説明する。
【0106】
S19において、例えば、セキュリティバッジ登録を要望するサービス担当者(サービス担当者Sとする)が、端末10から、セキュリティバッジ管理装置300へのバッジの登録を依頼する登録依頼をセキュリティアクション実行管理装置200に送信する。セキュリティアクション実行管理装置200のセキュリティバッジ登録処理部230は、上記登録依頼を受信する。
【0107】
セキュリティバッジ登録処理部230は、記憶部240を参照することにより、サービス担当者Sによるセキュリティアクションの実施状況に基づき、サービス担当者Sに対するバッジの登録を推奨するか否かを判断する。「バッジの登録を推奨するか否かを判断する」ことを、「バッジの付与を推奨するか否かを判断する」ことに言い換えてもよい。
【0108】
ここではバッジの登録を推奨するものとし、S20において、セキュリティバッジ登録処理部230は、チャットシステム400に対して、セキュリティ対策実施責任者に向けて、セキュリティバッジの登録承認依頼を送信する。チャットシステム400により、セキュリティバッジの登録承認依頼はセキュリティ対策実施責任者の端末10に送信される。なお、セキュリティバッジ登録処理部230は、セキュリティ対策実施責任者の端末10に対して直接にセキュリティバッジの登録承認依頼を送信してもよい。
【0109】
セキュリティバッジの登録承認依頼を受信したセキュリティ対策実施責任者は、例えば、S17,S18を実行することで、サービス担当者Sのセキュリティ実施状況を確認し、サービス担当者Sに対するセキュリティバッジの登録を承認するか否かを判断する。ここでは承認するものとし、S21において、セキュリティ対策実施責任者は、端末10から、サービス担当者Sに対するセキュリティバッジの登録承認をセキュリティバッジ登録処理部230に送信する。S22において、セキュリティバッジ登録処理部230は、セキュリティバッジ管理装置300に対して、サービス担当者Sに対するセキュリティバッジの登録を行う。これにより、セキュリティバッジ管理装置300のセキュリティバッジ登録部310は、サービス担当者Sに対するセキュリティバッジを記憶部330に登録(格納)する。
【0110】
セキュリティバッジ管理装置300は、公開可能なセキュリティ業績の管理を行うための装置であり、セキュリティバッジ公開部320が、承認をもらったセキュリティの業績をバッジとして外部へ公開する。
【0111】
セキュリティ業務の詳細は場合によって外部発表が難しい場合がある。そこで、本実施の形態では、セキュリティの業績をバッジに紐づけて管理することで外部に公表してよい情報(例:経歴や業績)のみをバッジに係る情報として、公開することができる。なお、バッジの具体的な管理方法としてはどのような方法を使用してもよいが、例えば、譲渡不可のNFTに紐づけてバッジを管理してもよい。
【0112】
上記のS20に関連する、セキュリティバッジ登録処理部230によるバッジ登録推奨の判断に関して、セキュリティバッジ登録処理部230は、例えば、サービス担当者(あるいはサービス担当者のチーム)についてのセキュリティアクションの実施状況のステータスと、ステータスの変化時間を利用することで、どのようなセキュリティバッジの取得推薦を行うかを判断する。例えば、アクションの着手開始から完了までに1時間以上かかった場合、「アクションの実施の1時間以内を目指すことを示すバッジ」の取得を推薦することを決定できる。これにより、セキュリティ対策の行動改善を実現することができる。
【0113】
(ハードウェア構成例)
セキュリティアクション構築装置100、セキュリティアクション実行管理装置200、セキュリティバッジ管理装置300はいずれも、例えば、コンピュータにプログラムを実行させることにより実現できる。このコンピュータは、物理的なコンピュータであってもよいし、クラウド上の仮想マシンであってもよい。以下、セキュリティアクション構築装置100、セキュリティアクション実行管理装置200、セキュリティバッジ管理装置300を総称して「装置」と呼ぶ。
【0114】
すなわち、当該装置は、コンピュータに内蔵されるCPUやメモリ等のハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メール等、ネットワークを通して提供することも可能である。
【0115】
図10は、上記コンピュータのハードウェア構成例を示す図である。
図10のコンピュータは、それぞれバスBSで相互に接続されているドライブ装置1000、補助記憶装置1002、メモリ装置1003、CPU1004、インタフェース装置1005、表示装置1006、入力装置1007、出力装置1008等を有する。なお、これらのうち、一部の装置を備えないこととしてもよい。例えば、表示を行わない場合、表示装置1006を備えなくてもよい。
【0116】
当該コンピュータでの処理を実現するプログラムは、例えば、CD-ROM又はメモリカード等の記録媒体1001によって提供される。プログラムを記憶した記録媒体1001がドライブ装置1000にセットされると、プログラムが記録媒体1001からドライブ装置1000を介して補助記憶装置1002にインストールされる。但し、プログラムのインストールは必ずしも記録媒体1001より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置1002は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
【0117】
メモリ装置1003は、プログラムの起動指示があった場合に、補助記憶装置1002からプログラムを読み出して格納する。CPU1004は、メモリ装置1003に格納されたプログラムに従って、当該装置に係る機能を実現する。インタフェース装置1005は、ネットワークに接続するためのインタフェースとして用いられ、送信部及び受信部として機能する。表示装置1006はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置1007はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。出力装置1008は演算結果を出力する。
【0118】
(実施の形態のまとめ、効果)
以上説明したように、本実施の形態に係る技術では、セキュリティ対策システムを「セキュリティアクションの構築管理」と「決定されたセキュリティアクションの実施管理」に分けることとしたので、セキュリティアクションの実施決定前にサイバー脅威の情報共有を行うことができ、結果として、迅速な初動対応を実現できる。
【0119】
(付記)
本明細書には、少なくとも下記の各項に記載したセキュリティ対策システム、構築装置、実行管理装置、セキュリティ対策方法、及びプログラムが記載されている。
(付記項1)
セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムであって、
前記構築装置が、サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示し、
前記実行管理装置が、前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話に基づいて決定されたセキュリティアクションを、実施担当者に通知し、
前記実行管理装置が、前記実施担当者から、セキュリティアクションの実施ステータスを示す情報を受信する
セキュリティ対策システム。
(付記項2)
前記セキュリティトピックは、前記コミュニケーションツールを用いてなされた会話のログを更に含み、
前記構築装置は、前記会話のログを保存し、保存された前記会話のログに基づいて、前記サイバー脅威によるサービス運用への影響、又は、前記サイバー脅威が鎮静化する時期を予測する
付記項1に記載のセキュリティ対策システム。
(付記項3)
前記実行管理装置は、前記セキュリティトピックに紐づけられたシステムタグに対応する実施担当者にセキュリティアクションを通知する
付記項1又は2に記載のセキュリティ対策システム。
(付記項4)
前記実行管理装置は、前記実施担当者から受信した実施ステータスを示す情報に基づいて、前記実施担当者に対して、評価情報を付与するか否かを判断する
付記項1ないし3のうちいずれか1項に記載のセキュリティ対策システム。
(付記項5)
セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムにおける前記構築装置であって、
サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示する表示処理部と、
前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話のログを格納する記憶部と、
前記記憶部に格納された会話のログに基づいて、前記サイバー脅威によるサービス運用への影響、又は、前記サイバー脅威が鎮静化する時期を予測する分析部と
を備える構築装置。
(付記項6)
セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムにおける前記実行管理装置であって、
前記構築装置は、サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示し、
前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話に基づいて決定されたセキュリティアクションを、実施担当者に通知し、前記実施担当者から、セキュリティアクションの実施ステータスを示す情報を受信するセキュリティアクション処理部と、
前記セキュリティアクションの実施ステータスを格納する記憶部と
を備える実行管理装置。
(付記項7)
セキュリティアクションの構築を支援する構築装置と、セキュリティアクションの実行を管理する実行管理装置とを有するセキュリティ対策システムにおけるセキュリティ対策方法であって、
前記構築装置が、サイバー脅威の情報、及び、実施可能なセキュリティアクションを含むセキュリティトピックを複数の端末に表示するステップと、
前記実行管理装置が、前記セキュリティトピックに対してコミュニケーションツールを用いてなされた会話に基づいて決定されたセキュリティアクションを、実施担当者に通知するステップと、
前記実行管理装置が、前記実施担当者から、セキュリティアクションの実施ステータスを示す情報を受信するステップと
を備えるセキュリティ対策方法。
(付記項8)
コンピュータを、付記項5に記載の構築装置における各部として機能させるためのプログラム。
(付記項9)
コンピュータを、付記項6に記載の実行管理装置における各部として機能させるためのプログラム。
【0120】
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
【符号の説明】
【0121】
10 端末
100 セキュリティアクション構築装置
110 情報取得部
120 表示処理部
130 分析部
140 記憶部
200 セキュリティアクション実行管理装置
210 情報取得部
220 セキュリティアクション処理部
230 セキュリティバッジ登録処理部
240 記憶部
300 セキュリティバッジ管理装置
310 セキュリティバッジ登録部
320 セキュリティバッジ公開部
330 記憶部
400 チャットシステム
500 ネットワーク
1000 ドライブ装置
1001 記録媒体
1002 補助記憶装置
1003 メモリ装置
1004 CPU
1005 インタフェース装置
1006 表示装置
1007 入力装置
1008 出力装置