ホーム > 特許ランキング > 株式会社日立システムズ
知財求人 - 知財ポータルサイト「IP Force」
特開2024-32210セキュリティ対策支援装置およびセキュリティ対策支援方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024032210
(43)【公開日】2024-03-12
(54)【発明の名称】セキュリティ対策支援装置およびセキュリティ対策支援方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240305BHJP
H04L 43/062 20220101ALI20240305BHJP
【FI】
G06F21/55
H04L43/062
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2022135747
(22)【出願日】2022-08-29
(71)【出願人】
【識別番号】000233491
【氏名又は名称】株式会社日立システムズ
(74)【代理人】
【識別番号】110003694
【氏名又は名称】弁理士法人有我国際特許事務所
(72)【発明者】
【氏名】高橋 健治
(57)【要約】
【課題】既存のナレッジベースに基づいて構築した新たなセキュリティ対策モデルを利用して制御システムを監視するとともに、制御システムの可用性を優先してセキュリティ対策を行う。
【解決手段】アラート受信部410は、制御システムで送受信されるパケットを傍受してアラートを出力するように構成されたネットワーク監視装置からアラートを受信する。脅威情報特定部422は、ネットワーク監視装置から受信し得るアラートの種別情報に対して、脅威情報およびIR情報が紐付けられた情報を格納する脅威情報データベース390の脅威情報テーブル392を参照し、アラートの種別情報に対応する脅威情報を特定する。IR情報特定部423は、脅威情報データベース390のIR情報テーブル393を参照し、脅威情報に対応するIR情報を特定する。支援情報作成部425は、脅威情報およびIR情報を含む支援情報を作成し、支援情報出力部430が出力する。
【選択図】図5
【解決手段】アラート受信部410は、制御システムで送受信されるパケットを傍受してアラートを出力するように構成されたネットワーク監視装置からアラートを受信する。脅威情報特定部422は、ネットワーク監視装置から受信し得るアラートの種別情報に対して、脅威情報およびIR情報が紐付けられた情報を格納する脅威情報データベース390の脅威情報テーブル392を参照し、アラートの種別情報に対応する脅威情報を特定する。IR情報特定部423は、脅威情報データベース390のIR情報テーブル393を参照し、脅威情報に対応するIR情報を特定する。支援情報作成部425は、脅威情報およびIR情報を含む支援情報を作成し、支援情報出力部430が出力する。
【選択図】図5
【特許請求の範囲】
【請求項1】
制御システムのセキュリティ対策を支援するセキュリティ対策支援装置であって、
前記制御システムで送受信されるパケットを傍受して解析し、前記制御システムで発生した異常を検出して前記異常を通知するアラートを出力するように構成されたネットワーク監視装置から前記アラートを受信するアラート受信部と、
前記ネットワーク監視装置から受信し得るアラートの種別情報に対して、前記アラートに関連する脅威情報およびインシデントレスポンス情報が紐付けられた情報を格納する脅威情報データベースと、
前記脅威情報データベースを参照し、前記アラート受信部で受信した前記アラートの種別情報に対応する脅威情報を特定する脅威情報特定部と、
前記脅威情報データベースを参照し、前記脅威情報特定部で特定した前記脅威情報に対応するインシデントレスポンス情報を特定するインシデントレスポンス情報特定部と、
前記脅威情報特定部で特定した前記脅威情報、および前記インシデントレスポンス情報特定部で特定した前記インシデントレスポンス情報を含む、前記制御システムのセキュリティ対策の支援情報を作成する支援情報作成部と、
前記支援情報作成部で作成した前記支援情報を出力する支援情報出力部と、
を有することを特徴とするセキュリティ対策支援装置。
前記制御システムで送受信されるパケットを傍受して解析し、前記制御システムで発生した異常を検出して前記異常を通知するアラートを出力するように構成されたネットワーク監視装置から前記アラートを受信するアラート受信部と、
前記ネットワーク監視装置から受信し得るアラートの種別情報に対して、前記アラートに関連する脅威情報およびインシデントレスポンス情報が紐付けられた情報を格納する脅威情報データベースと、
前記脅威情報データベースを参照し、前記アラート受信部で受信した前記アラートの種別情報に対応する脅威情報を特定する脅威情報特定部と、
前記脅威情報データベースを参照し、前記脅威情報特定部で特定した前記脅威情報に対応するインシデントレスポンス情報を特定するインシデントレスポンス情報特定部と、
前記脅威情報特定部で特定した前記脅威情報、および前記インシデントレスポンス情報特定部で特定した前記インシデントレスポンス情報を含む、前記制御システムのセキュリティ対策の支援情報を作成する支援情報作成部と、
前記支援情報作成部で作成した前記支援情報を出力する支援情報出力部と、
を有することを特徴とするセキュリティ対策支援装置。
【請求項2】
前記脅威情報データベースが、攻撃の戦略および戦術が纏められている既存のナレッジベースから前記制御システムのセキュリティ対策に必要な項目を絞り込むとともに、当該絞り込んだ各項目を新たにグループ化することで構築されたセキュリティ対策モデルに基づいて作成されていることを特徴とする請求項1に記載のセキュリティ対策支援装置。
【請求項3】
前記脅威情報データベースにおいて、前記アラートの種別情報に対して複数の脅威情報が紐づけられており、
前記脅威情報特定部が、前記脅威情報データベースを参照して、前記アラート受信部で受信した前記アラートの種別情報に対応する複数の脅威情報を特定し、
前記支援情報作成部が、前記脅威情報特定部で特定した前記複数の脅威情報を含む前記支援情報を作成することを特徴とする請求項1または2に記載のセキュリティ対策支援装置。
前記脅威情報特定部が、前記脅威情報データベースを参照して、前記アラート受信部で受信した前記アラートの種別情報に対応する複数の脅威情報を特定し、
前記支援情報作成部が、前記脅威情報特定部で特定した前記複数の脅威情報を含む前記支援情報を作成することを特徴とする請求項1または2に記載のセキュリティ対策支援装置。
【請求項4】
前記脅威情報データベースにおいて、前記脅威情報に対して複数のインシデントレスポンス情報が紐づけられており、
前記インシデントレスポンス情報特定部が、前記脅威情報特定部で特定した前記脅威情報に対応する複数のインシデントレスポンス情報を特定し、
前記支援情報作成部が、前記インシデントレスポンス情報特定部で特定した前記複数のインシデントレスポンス情報を含む前記支援情報を作成することを特徴とする請求項1または2に記載のセキュリティ対策支援装置。
前記インシデントレスポンス情報特定部が、前記脅威情報特定部で特定した前記脅威情報に対応する複数のインシデントレスポンス情報を特定し、
前記支援情報作成部が、前記インシデントレスポンス情報特定部で特定した前記複数のインシデントレスポンス情報を含む前記支援情報を作成することを特徴とする請求項1または2に記載のセキュリティ対策支援装置。
【請求項5】
前記脅威情報データベースにおいて、前記ネットワーク監視装置から受信し得るアラートの種別情報に対して、誤検知情報がさらに紐付けられており、
前記脅威情報データベースを参照して前記アラート受信部で受信した前記アラートの種別情報に対応する誤検知情報を特定する誤検知情報特定部を有し、
前記支援情報作成部が、前記誤検知情報特定部で特定した前記誤検知情報を含む前記支援情報を作成することを特徴とする請求項1または2に記載のセキュリティ対策支援装置。
前記脅威情報データベースを参照して前記アラート受信部で受信した前記アラートの種別情報に対応する誤検知情報を特定する誤検知情報特定部を有し、
前記支援情報作成部が、前記誤検知情報特定部で特定した前記誤検知情報を含む前記支援情報を作成することを特徴とする請求項1または2に記載のセキュリティ対策支援装置。
【請求項6】
制御システムのセキュリティ対策を支援するセキュリティ対策支援装置で実行されるセキュリティ対策支援方法であって、
前記制御システムで送受信されるパケットを傍受して解析し、前記制御システムで発生した異常を検出して前記異常を通知するアラートを出力するように構成されたネットワーク監視装置から前記アラートを受信するアラート受信ステップと、
前記ネットワーク監視装置から受信し得るアラートの種別情報に対して、前記アラートに関連する脅威情報およびインシデントレスポンス情報が紐付けられた情報を格納する脅威情報データベースを参照し、前記アラート受信ステップで受信した前記アラートの種別情報に対応する脅威情報を特定する脅威情報特定ステップと、
前記脅威情報データベースを参照し、前記脅威情報特定ステップで特定した前記脅威情報に対応するインシデントレスポンス情報を特定するインシデントレスポンス情報特定ステップと、
前記脅威情報特定ステップで特定した前記脅威情報、および前記インシデントレスポンス情報特定ステップで特定した前記インシデントレスポンス情報を含む、前記制御システムのセキュリティ対策の支援情報を作成する支援情報作成ステップと、
前記支援情報作成ステップで作成した前記支援情報を出力する支援情報出力ステップと、
を有することを特徴とするセキュリティ対策支援方法。
前記制御システムで送受信されるパケットを傍受して解析し、前記制御システムで発生した異常を検出して前記異常を通知するアラートを出力するように構成されたネットワーク監視装置から前記アラートを受信するアラート受信ステップと、
前記ネットワーク監視装置から受信し得るアラートの種別情報に対して、前記アラートに関連する脅威情報およびインシデントレスポンス情報が紐付けられた情報を格納する脅威情報データベースを参照し、前記アラート受信ステップで受信した前記アラートの種別情報に対応する脅威情報を特定する脅威情報特定ステップと、
前記脅威情報データベースを参照し、前記脅威情報特定ステップで特定した前記脅威情報に対応するインシデントレスポンス情報を特定するインシデントレスポンス情報特定ステップと、
前記脅威情報特定ステップで特定した前記脅威情報、および前記インシデントレスポンス情報特定ステップで特定した前記インシデントレスポンス情報を含む、前記制御システムのセキュリティ対策の支援情報を作成する支援情報作成ステップと、
前記支援情報作成ステップで作成した前記支援情報を出力する支援情報出力ステップと、
を有することを特徴とするセキュリティ対策支援方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、制御システムのセキュリティ対策を支援するセキュリティ対策支援装置およびセキュリティ対策支援方法に関する。
【背景技術】
【0002】
従来、社会インフラシステムや工場・プラント等の生産設備を制御する制御システム等のICS(産業用制御システム:Industrial Control System)は、外部のシステムと接続しない閉鎖的(クローズド)な構成であったため、外部からの攻撃等による脅威に曝されることはないと考えられていた。しかしながら、近年ではICSのオープン化が進められており、外部からの攻撃等の脅威に曝される可能性が高くなってきている。
【0003】
インターネット等の開放的(オープン)な環境で情報を取り扱う技術は、IT(情報技術:Information Technology)と呼ばれるのに対し、ICS等の制御系の監視・運用技術は、OT(運用技術:Operational Technology)と呼ばれている。IT系とOT系とは、その考え方に大きな違いがあり、IT系のセキュリティ対策をICS等のOTシステムに適用することが望ましくない場合が存在する。例えば、IT系とOT系との顕著な違いの1つとして、IT系では、情報の価値を重視してデータの機密性を優先にしたセキュリティ対策が行われるのに対し、OT系では、安全かつ安定した稼働を重視して制御システムの可用性を優先にしたセキュリティ対策が行われる点が挙げられる。なお、本明細書では、ICSを含むOT系のシステムを「制御システム」と記載する。
【0004】
セキュリティに関しては、NIST(米国国立標準技術研究所:National Institute of Standards and Technology)やIPA(独立行政法人情報処理推進機構:Information-technology Promotion Agency)等の各団体がセキュリティ対策の推奨・参考としてガイドラインを公開しており、各企業がガイドラインを参考にしてセキュリティ対策を行うことが一般的である。OT系のセキュリティについても、上記の団体からガイドラインが公開されているが、IT系に比べてガイドラインへの認知度が低く、有識者も少ないため、ガイドラインに従ったセキュリティ対策が進んでいないのが現状である。
【0005】
また、米国MITRE社が提供するATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)(米国登録商標、以下同)には、実際に起こり得る攻撃の戦略(tactics)および戦術(technique)が纏められている。ATT&CKにはICSに関する攻撃の戦略および戦術も纏められているが、ATT&CKは、数多の攻撃を包括的に分類したナレッジベースとして纏めることを目的としているため、OT系のセキュリティ対策に適用するためには、必ずしも実用的ではないという課題がある。なお、本明細書では、特定の団体が公開または提供するガイドラインおよびナレッジベースを纏めて「ナレッジベース(KB:Knowledge Base)」または「既存のナレッジベース」と記載することがある。
【0006】
さらに、OT系の制御システムでは可用性が優先され、ログの収集による制御システムへの負荷を嫌う傾向があるため、IT系のシステムと比べて、外部からの攻撃による被害実態の調査を実施しにくいことも課題となっている。
【0007】
OT系の制御システムにおけるセキュリティ対策に係る技術としては、例えば下記の特許文献1に開示されている技術が知られている。特許文献1には、対象とするシステムに対し脅威を実現する複数の攻撃戦術と攻撃技術で構成される攻撃戦術/技術情報に対する評価点を算出し、この評価点に基づき、攻撃者の動きを模擬したサイバー攻撃シナリオを生成する技術が開示されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2022-76159号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
セキュリティ対策のナレッジベースは、煩雑で理解しにくいものであり、制御システムのセキュリティ対策を行うためのシステムを構築および開発する際に大きなハードルとなっている。このため、煩雑で理解しにくいナレッジベースを容易に理解できるようにすることが望まれている。さらに、既存のナレッジベースには様々な攻撃戦術が包括的に含まれているものの実用性に欠けるため、外部からの攻撃を実際に検出した際に、既存のナレッジベースの知見を活用して外部からの攻撃に対するIR(インシデントレスポンス:Incident Response)を適切に提示できる実用的なシステムの開発が望まれている。
【0010】
本発明は、上記の課題に鑑みてなされたものであり、制御システムのセキュリティ対策を行うために、既存のナレッジベースに基づいて構築した新たなセキュリティ対策モデルを利用して制御システムを監視するとともに、制御システムの可用性を優先してセキュリティ対策を行うことを可能にするセキュリティ対策支援装置およびセキュリティ対策支援方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記の目的を達成するため、本発明のセキュリティ対策支援装置は、制御システムのセキュリティ対策を支援するセキュリティ対策支援装置であって、前記制御システムで送受信されるパケットを傍受して解析し、前記制御システムで発生した異常を検出して前記異常を通知するアラートを出力するように構成されたネットワーク監視装置から前記アラートを受信するアラート受信部と、前記ネットワーク監視装置から受信し得るアラートの種別情報に対して、前記アラートに関連する脅威情報およびインシデントレスポンス情報が紐付けられた情報を格納する脅威情報データベースと、前記脅威情報データベースを参照し、前記アラート受信部で受信した前記アラートの種別情報に対応する脅威情報を特定する脅威情報特定部と、前記脅威情報データベースを参照し、前記脅威情報特定部で特定した前記脅威情報に対応するインシデントレスポンス情報を特定するインシデントレスポンス情報特定部と、前記脅威情報特定部で特定した前記脅威情報、および前記インシデントレスポンス情報特定部で特定した前記インシデントレスポンス情報を含む、前記制御システムのセキュリティ対策の支援情報を作成する支援情報作成部と、前記支援情報作成部で作成した前記支援情報を出力する支援情報出力部と、を有することを特徴とする。
【0012】
上記の構成によれば、制御システムで送受信されるパケットを傍受することで、制御システムの可用性を優先して制御システムの異常を検出し、異常発生の原因となった外部からの攻撃等の脅威を特定して、当該脅威に関する脅威情報、およびその対応策であるインシデントレスポンス情報を含む支援情報を作成して出力することができるようになる。
【0013】
本発明のセキュリティ対策支援装置は、上記の構成に加えて、前記脅威情報データベースが、攻撃の戦略および戦術が纏められている既存のナレッジベースから前記制御システムのセキュリティ対策に必要な項目を絞り込むとともに、当該絞り込んだ各項目を新たにグループ化することで構築されたセキュリティ対策モデルに基づいて作成されていてもよい。
【0014】
上記の構成によれば、煩雑で理解しにくい既存のナレッジベースを簡素化して、容易に理解可能な簡素化したセキュリティ対策モデルを構築することで、実際の制御システムの環境に応じて適切かつ実用的なセキュリティ対策システムを構築することができるようになる。また、本発明に係る独自のセキュリティ対策モデルの戦略および戦術を、ネットワークベースのセキュリティ対策に必要な範囲で既存のナレッジベースから限定的に抽出した戦略および戦術とマッピングすることで、理解が容易ではなく煩雑な既存のナレッジベースに対する理解の促進や、脅威に係る戦略、戦術、手順の基本的な知識の向上を支援し、担当者およびシステム開発者のスキル向上および人材育成、セキュリティ対策に係る技術開発の促進および品質向上に繋げることができるようになる。
【0015】
本発明のセキュリティ対策支援装置は、上記の構成に加えて、前記脅威情報データベースにおいて、前記アラートの種別情報に対して複数の脅威情報が紐づけられており、前記脅威情報特定部が、前記脅威情報データベースを参照して、前記アラート受信部で受信した前記アラートの種別情報に対応する複数の脅威情報を特定し、前記支援情報作成部が、前記脅威情報特定部で特定した前記複数の脅威情報を含む前記支援情報を作成してもよい。
【0016】
上記の構成によれば、アラートに対応して複数の脅威情報が存在する可能性がある場合であっても、当該複数の脅威情報を含む支援情報を作成することができ、制御システムに対して、複数の脅威情報を考慮したセキュリティ対策を適切に実施することができるようになる。
【0017】
本発明のセキュリティ対策支援装置は、上記の構成に加えて、前記脅威情報データベースにおいて、前記脅威情報に対して複数のインシデントレスポンス情報が紐づけられており、前記インシデントレスポンス情報特定部が、前記脅威情報特定部で特定した前記脅威情報に対応する複数のインシデントレスポンス情報を特定し、前記支援情報作成部が、前記インシデントレスポンス情報特定部で特定した前記複数のインシデントレスポンス情報を含む前記支援情報を作成してもよい。
【0018】
上記の構成によれば、外部からの攻撃等の脅威に対応して複数のインシデントレスポンス情報が存在する可能性がある場合であっても、当該複数のインシデントレスポンス情報を含む支援情報を作成することができ、制御システムに対して、複数のインシデントレスポンス情報を考慮したセキュリティ対策を適切に実施することができるようになる。
【0019】
本発明のセキュリティ対策支援装置は、上記の構成に加えて、前記脅威情報データベースにおいて、前記ネットワーク監視装置から受信し得るアラートの種別情報に対して、誤検知情報がさらに紐付けられており、前記脅威情報データベースを参照して前記アラート受信部で受信した前記アラートの種別情報に対応する誤検知情報を特定する誤検知情報特定部を有し、前記支援情報作成部が、前記誤検知情報特定部で特定した前記誤検知情報を含む前記支援情報を作成してもよい。
【0020】
上記の構成によれば、ネットワーク監視装置200が外部からの攻撃等の脅威ではない制御システムの動作を当該脅威として誤検知する可能性がある場合であっても、当該誤検知に関する誤検知情報を含む支援情報を作成することができ、制御システム10に対して、誤検知によるアラートの発報も考慮したセキュリティ対策を適切に実施することができるようになる。
【0021】
また、上記の目的を達成するため、本発明のセキュリティ対策支援方法は、制御システムのセキュリティ対策を支援するセキュリティ対策支援装置で実行されるセキュリティ対策支援方法であって、前記制御システムで送受信されるパケットを傍受して解析し、前記制御システムで発生した異常を検出して前記異常を通知するアラートを出力するように構成されたネットワーク監視装置から前記アラートを受信するアラート受信ステップと、前記ネットワーク監視装置から受信し得るアラートの種別情報に対して、前記アラートに関連する脅威情報およびインシデントレスポンス情報が紐付けられた情報を格納する脅威情報データベースを参照し、前記アラート受信ステップで受信した前記アラートの種別情報に対応する脅威情報を特定する脅威情報特定ステップと、前記脅威情報データベースを参照し、前記脅威情報特定ステップで特定した前記脅威情報に対応するインシデントレスポンス情報を特定するインシデントレスポンス情報特定ステップと、前記脅威情報特定ステップで特定した前記脅威情報、および前記インシデントレスポンス情報特定ステップで特定した前記インシデントレスポンス情報を含む、前記制御システムのセキュリティ対策の支援情報を作成する支援情報作成ステップと、前記支援情報作成ステップで作成した前記支援情報を出力する支援情報出力ステップと、を有することを特徴とする。
【0022】
上記の処理によれば、制御システムで送受信されるパケットを傍受することで、制御システムの可用性を優先して制御システムの異常を検出し、異常発生の原因となった外部からの攻撃等の脅威を特定して、当該脅威に関する脅威情報、およびその対応策であるインシデントレスポンス情報を含む支援情報を作成して出力することができるようになる。
【発明の効果】
【0023】
本発明によれば、制御システムで送受信されるパケットを傍受することで、制御システムの可用性を優先して制御システムの異常を検出し、異常発生の原因となった外部からの攻撃を特定して、当該攻撃に関する脅威情報およびインシデントレスポンス情報を出力することが可能なセキュリティ対策支援装置およびセキュリティ対策支援方法を提供することができる。
【図面の簡単な説明】
【0024】
【図1】本発明の実施形態で新たに構築されるキルチェーンモデルの概要を説明するための図である。
【図2】本発明の実施形態において、外部からの攻撃の監視対象となる制御システムの一例を示す図である。
【図4】本発明の実施形態におけるセキュリティ対策支援装置のハードウェア構成の一例を示す図である。
【図5】本発明の実施形態におけるセキュリティ対策支援装置の機能の一例を示す機能ブロック図である。
【図6】本発明の実施形態におけるセキュリティ対策支援装置が参照するアラート情報テーブルの一例を示す図である。
【図7】本発明の実施形態におけるセキュリティ対策支援装置が参照する脅威情報テーブルの一例を示す図である。
【図8】本発明の実施形態におけるセキュリティ対策支援装置が参照するIR情報テーブルの一例を示す図である。
【図9】本発明の実施形態におけるセキュリティ対策支援装置が参照する誤検知情報テーブルの一例を示す図である。
【図10】本発明の実施形態におけるセキュリティ対策支援装置で実行されるセキュリティ対策の支援情報を作成する処理の一例を示すフローチャートである。
【図11】本発明の実施形態において作成されるセキュリティ対策の支援情報の第1の例を示す図である。
【図12】本発明の実施形態において作成されるセキュリティ対策の支援情報の第2の例を示す図である。
【図13】本発明の実施形態において作成されるセキュリティ対策の支援情報の第3の例を示す図である。
【図14】本発明の実施形態において作成されるセキュリティ対策の支援情報の第4の例を示す図である。
【図15】本発明の実施形態におけるセキュリティ対策支援装置で実行されるセキュリティ対策の支援情報を作成する処理の別例を示すフローチャートである。
【図16】本発明の実施形態において作成されるセキュリティ対策の支援情報(誤検知情報を含む)の一例を示す図である。
【発明を実施するための形態】
【0025】
以下、図面を参照しながら、本発明の実施形態におけるセキュリティ対策支援装置およびセキュリティ対策支援方法について説明する。
【0026】
(本発明に係る独自のセキュリティ対策モデル)
まず、図1を参照しながら、本発明の実施形態で新たに構築されるセキュリティ対策モデルの概要について説明する。図1は、本発明の実施形態で新たに構築されるセキュリティ対策モデルの概要を説明するための図である。なお、図1に示すセキュリティ対策モデルは一例であり、本発明において新たに構築されるセキュリティ対策モデルはこれに限定されるものではない。
まず、図1を参照しながら、本発明の実施形態で新たに構築されるセキュリティ対策モデルの概要について説明する。図1は、本発明の実施形態で新たに構築されるセキュリティ対策モデルの概要を説明するための図である。なお、図1に示すセキュリティ対策モデルは一例であり、本発明において新たに構築されるセキュリティ対策モデルはこれに限定されるものではない。
【0027】
図1には、本実施形態において用いられるセキュリティ対策モデルの一例として、外部からの攻撃(脅威)の構造をモデル化したネットワークベースのキルチェーンモデルが図示されている。
【0028】
図1の左側には、本実施形態において用いられるセキュリティ対策モデルとして、ネットワークベースのキルチェーンモデルが図示されている。このキルチェーンモデルは、制御システムに対する攻撃に適用可能なように構築された新たなセキュリティ対策モデルであり、攻撃の戦略フェーズを「Access to ICS」、「Persistence&C2」、「Discovery&Collection」、「Lateral Movement」、「ICS Attack」の5個のフェーズに分類してモデル化したものである。
【0029】
各戦略フェーズは、攻撃の戦略を大まかに分類したものであり、各戦略フェーズには、詳細な戦術が属するように設定されている。具体的には、戦略フェーズ「Access to ICS」には、戦術「リモートサービス悪用」等が含まれている。戦略フェーズ「Persistence&C2」には、戦術「ファームウェアインストール」等が含まれている。戦略フェーズ「Discovery&Collection」には、戦術「デバイス・タグの特定」等が含まれている。戦略フェーズ「Lateral Movement」には、戦術「デフォルトクレデンシャル」が含まれている。戦略フェーズ「ICS Attack」には、戦術「サービス拒否(DoS)攻撃」が含まれている。
【0030】
各戦略フェーズに属する戦術は、ICSに関する攻撃の戦術と戦略を纏めた既存のナレッジベース(例えば、ATT&CK for ICS)の戦略の一部とマッピングするように定義されている。具体的には、戦略フェーズ「Access to ICS」には、既存のナレッジベースの戦略フェーズ「Initial Access」がマッピングされている。戦略フェーズ「Persistence&C2」には、既存のナレッジベースの戦略フェーズ「Persistence」および「Command and Control」がマッピングされている。戦略フェーズ「Discovery&Collection」には、既存のナレッジベースの戦略フェーズ「Discovery」および「Collection」がマッピングされている。戦略フェーズ「Lateral Movement」には、既存のナレッジベースの戦略フェーズ「Lateral Movement」がマッピングされている。戦略フェーズ「ICS Attack」には、既存のナレッジベースの戦略フェーズ「Inhibit Response Function」および「Impair Process Control」がマッピングされている。
【0031】
既存のナレッジベースであるATT&CK for ICSでは、12個の戦略フェーズと各戦略フェーズに属する複数の戦術が定義されている。当該既存のナレッジベースは、あらゆる攻撃の戦略および戦術を包括的に整理することを目的としているため、実際の制御システムへの適用が容易ではない膨大かつ煩雑なものとなっている。
【0032】
一方、本実施形態において用いられるセキュリティ対策モデルは、上記の問題点を考慮して構築されたものであり、既存のナレッジベースで纏められた知見を活用して、既存のナレッジベースから必要な項目を絞り込むとともに、当該絞り込んだ各項目を新たにグループ化することで構築されたものである。
【0033】
制御システムに対する負荷軽減および制御システムの可用性を重視した場合、ネットワークのトラフィックを監視対象として制御システムの異常を検出するパッシブ型のネットワーク監視を行うことが好ましい。そのため、本実施形態において用いられるセキュリティ対策モデルは、膨大な情報を有する既存のナレッジベースの中からパッシブ型のネットワーク監視によるセキュリティ対策にとって必要な項目を絞り込んで構築されており、図1に示すように、既存のナレッジベースを構成する7個の戦略フェーズを絞り込んでマッピングを行っている。
【0034】
また、既存のナレッジベースは、戦略-戦術の組み合わせの精度が必ずしも十分なものではなく、特に実際の制御システムに適用するのは容易ではない状態となっている。このため、本実施形態において用いられるセキュリティ対策モデルでは、図1に示すように、既存のナレッジベースから絞り込んだ7個の戦略フェーズをさらに新たにグループ化することで、実際の制御システムへの適用に適したものとなるように再構成されている。例えば、既存のナレッジベースの戦略フェーズ「Inhibit Response Fuction」および「Impair Process Control」は、新たにグループ化したうえで戦略フェーズ「ICS Attack」にマッピングされている。
【0035】
上記のように、既存のナレッジベースをそのまま使用せず、本発明に係る独自のセキュリティ対策モデルを構築して、実際の制御システムへの適用に適したセキュリティ対策モデルを構築することで、制御システムのセキュリティ対策を行うことが可能となる。さらに、本発明に係る独自のセキュリティ対策モデルの戦略および戦術を、ネットワークベースのセキュリティ対策に必要な範囲で既存のナレッジベースから限定的に抽出した戦略および戦術とマッピングすることで、理解が容易ではなく煩雑な既存のナレッジベースに対する理解の促進や、脅威に係る戦略、戦術、手順の基本的な知識の向上を支援し、担当者およびシステム開発者のスキル向上および人材育成、セキュリティ対策に係る技術開発の促進および品質向上に繋げることが可能となる。
【0036】
(本発明に係る監視対象の制御システム)
本発明の実施形態において、外部からの攻撃の監視対象となる制御システムについて説明する。図2は、本発明の実施形態において、外部からの攻撃の監視対象となる制御システム10の一例を示す図である。なお、図2に示す制御システム10は一例であり、外部からの攻撃の監視対象となる制御システムの構成はこれに限定されるものではない。
本発明の実施形態において、外部からの攻撃の監視対象となる制御システムについて説明する。図2は、本発明の実施形態において、外部からの攻撃の監視対象となる制御システム10の一例を示す図である。なお、図2に示す制御システム10は一例であり、外部からの攻撃の監視対象となる制御システムの構成はこれに限定されるものではない。
【0037】
図2に示す制御システム10には、フィールドデバイス20が設けられている。フィールドデバイス20は、工場等の生産設備において多数の場所に導入されている機器であり、例えばセンサおよびアクチュエータ等が含まれる。フィールドデバイス20は、当該フィールドデバイス20の監視、分析および制御を行うPLC(プログラマブルロジックコントローラ:Programmable Logic Controller)30、RTU(遠隔端末装置:Remote Terminal Unit)40等に接続されている。
【0038】
さらにPLC30、RTU40等は、SCADA(スキャダ:Supervisory Control And Data Acquisition)50に接続されている。SCADA50は、システム監視およびプロセス制御を行うコンピュータである。SCADA50にはHMI(ヒューマンマシンインタフェース:Human Machine Interface)が接続され、HMIにおいてSCADA50によって処理されたデータを表示し、オペレータがPLC30、RTU40等を監視および制御できるように構成されていてもよい。SCADA50は、各作業システム(作業単位)の監視および制御を行うために各作業システムに設けられていてもよい。また、DCS(分散制御システム:Distributed Control System)によって各作業システムの監視および制御が行われてもよい。
【0039】
図2に示す制御システム10には、SCADA50とITネットワーク100との境界にファイアウォール60が設けられている。図2では図示簡略化しているが、ファイアウォール60の上位または下位に制御系情報ネットワークや制御系DMZ(非武装地帯:DeMilitarized Zone)が配置されていてもよい。図2に示すファイアウォール60は、制御システム10内のOT系のネットワークと制御システム10外のITネットワーク100との境界に位置している。
【0040】
図2に示す制御システム10には、ネットワーク監視装置200が設けられている。ネットワーク監視装置200は、制御システム10のトラフィックを監視して、制御システム10において送受信されるパケット(フレームを含む)を傍受し、傍受したパケットから制御システム10の異常を検出した場合には、アラートを発報(送信)するように構成されている。ネットワーク監視装置200は、制御システム10内で送受信されるパケット、または外部のITネットワーク100と制御システム10との間で送受信されるパケットを傍受できるように配置される。
【0041】
ネットワーク監視装置200の配置位置は特に限定されず、制御システム10に配置された任意の機器(ノード)間を繋ぐ通信回線(リンク)に接続して、当該通信回線を流れるパケットを傍受できるようになっていればよい。また、ネットワーク監視装置200の台数も特に限定されず、1台であってもよく、複数台であってもよい。図2に示す制御システム10では、一例として、PLC30またはRTU40とSCADA50との間で送受信されるパケットを傍受できる位置、およびファイアウォール60を通過するパケットを傍受できる位置に配置されている。
【0042】
図2に示す制御システム10には、セキュリティ対策支援装置300が設けられている。セキュリティ対策支援装置300は、1台または複数台のネットワーク監視装置200が発報したアラートを受信できるように構成されている。ネットワーク監視装置200とセキュリティ対策支援装置300とは直接接続されていてもよく、制御システム10内のOT系のネットワークまたは制御システム10外のITネットワーク100を介して接続されていてもよい。また、制御システム10に配置されたコントローラが、ネットワーク監視装置200が発報したアラートを受信し、受信したアラートをセキュリティ対策支援装置300に転送してもよい。
【0043】
(ネットワーク監視装置)
制御システム10に配置されるネットワーク監視装置200について説明する。図3は、図2に示す制御システム10に配置されるネットワーク監視装置200の機能の一例を示す機能ブロック図である。なお、本発明で用いるネットワーク監視装置200は、制御システム10の異常を検出してアラートを発報する既存のネットワーク監視装置であってよく、図3に示す構成に限定されるものではない。
制御システム10に配置されるネットワーク監視装置200について説明する。図3は、図2に示す制御システム10に配置されるネットワーク監視装置200の機能の一例を示す機能ブロック図である。なお、本発明で用いるネットワーク監視装置200は、制御システム10の異常を検出してアラートを発報する既存のネットワーク監視装置であってよく、図3に示す構成に限定されるものではない。
【0044】
図3に示すネットワーク監視装置200は、通信部210、ネットワークアナライザ220、異常検出部230を備えて構成されている。
【0045】
通信部210は、制御システム10の所望の通信回線に接続可能なように構成されており、通信回線を流れるパケットを傍受できるようになっている。また、通信部210は、アラート生成部234で生成されたアラートを特定の装置(本実施形態ではセキュリティ対策支援装置300)に対して送信できるようになっている。
【0046】
ネットワークアナライザ220は、通信部210で傍受したパケットを解析する機能を有する。ネットワークアナライザ220は、傍受したパケットのヘッダ部およびデータ部のみならず、カプセル化されたパケットに含まれるヘッダ部およびデータ部も解析し、すべてのプロトコルに含まれる各フィールドの属性から情報を抽出できるように構成されている。
【0047】
異常検出部230は、ネットワークアナライザ220によりパケットから抽出した情報に基づいて、制御システム10において発生した異常を検出し、異常を検出した場合にアラートを発報する機能を有する。
【0048】
異常検出部230は、一例として、学習部231、リンク情報格納部232、比較部233、アラート生成部234を備えて構成されている。
【0049】
学習部231は、ネットワークアナライザ220によりパケットから抽出した情報に基づいて、制御システム10における動作を学習する機能を有する。学習部231は、制御システム10の正常時の動作を事前に学習し、その学習結果をリンク情報として出力する。
【0050】
リンク情報格納部232は、学習部231が出力したリンク情報を格納するための記憶媒体である。リンク情報は、学習部231による学習結果を含んだ情報であり、制御システム10の正常時の動作を規定するものである。リンク情報には、制御システム10において送受信される各パケットによって定義されるリンク(ノードおよびアーク)、および各リンク間で送受信されるすべてのプロトコルに含まれる各フィールドの属性に関連する情報が含まれている。
【0051】
比較部233は、ネットワークアナライザ220によりパケットから抽出した情報と、リンク情報格納部232に格納されているリンク情報とを比較し、制御システム10において異常な動作が発生しているか否かを検出する機能を有する。比較部233は、例えば、傍受したパケットのすべてのプロトコルに含まれる各フィールドの属性に関連する情報をリンク情報と比較して、正常時には見られない情報が含まれている場合や、通信の頻度が所定の閾値を超えた場合等に、制御システム10において異常な動作が発生していると判断する。比較部233は、制御システム10において異常な動作が発生していることを検出した場合には、その旨をアラート生成部234に通知する。
【0052】
アラート生成部234は、比較部233から制御システム10において異常な動作が発生している旨の通知を受けた場合に、アラートを生成する機能を有する。アラート生成部234は、検出した異常に対応した識別子が含まれるようにアラートを生成することができる。すなわち、アラート生成部234が生成したアラートには、制御システム10において発生した異常な動作を識別するための識別子が含まれ、アラートに含まれる識別子を参照することで、どのような異常が検出されたかを特定することができるようになっている。また、アラート生成部234は、制御システム10において発生した異常な動作のリスクの程度を示すセキュリティプロファイル情報(例えば「高」、「中」、「低」等)をアラートに含ませることができるようになっていてもよい。
【0053】
(セキュリティ対策支援装置のハードウェア構成)
図2に示す制御システム10に配置されるセキュリティ対策支援装置300について説明する。図4は、本発明の実施形態におけるセキュリティ対策支援装置300のハードウェア構成の一例を示す図である。本発明に係るセキュリティ対策支援装置のハードウェア構成は、図4に示す構成に限定されるものではない。
図2に示す制御システム10に配置されるセキュリティ対策支援装置300について説明する。図4は、本発明の実施形態におけるセキュリティ対策支援装置300のハードウェア構成の一例を示す図である。本発明に係るセキュリティ対策支援装置のハードウェア構成は、図4に示す構成に限定されるものではない。
【0054】
図4に示すように、セキュリティ対策支援装置300は、一例として、プロセッサ310、メモリ320、通信部330、操作入力部340、モニタ350、ストレージ360を有しており、各構成要素がバス305を介して接続された構成となっている。
【0055】
プロセッサ310は、データの演算や処理制御を行う機能を有する。プロセッサ310は、例えばCPU(中央演算処理装置:Central Processing Unit)、特定の目的に特化したデータ処理を行うDSP(デジタル信号プロセッサ:Digital Signal Processor)またはGPU(グラフィックスプロセッシングユニット:Graphics Processing Unit)等により構成されていてもよい。
【0056】
メモリ320は、セキュリティ対策支援装置300で実行されるプログラムや処理対象データを一時的に記憶する揮発性メモリである。メモリ320は、例えばRAM(ランダムアクセスメモリ:Random Access Memory)等の主記憶装置である。
【0057】
通信部330は、セキュリティ対策支援装置300が他の装置と通信を行うための機能を有する。図2に示す制御システム10では、セキュリティ対策支援装置300は、ネットワーク監視装置200が発報したアラートを通信部330により受信できるように構成されている。また、セキュリティ対策支援装置300は、通信部330を介して、セキュリティ対策支援情報を所定の装置へ送信できるように構成されていてもよい。
【0058】
操作入力部340は、ユーザからの情報の入力を受け付ける機能を有しており、例えばマウスおよびキーボード等の入力デバイスを表している。また、モニタ350は、ユーザに対して視覚的な情報の出力を行う機能を有しており、表示画面を備えている。セキュリティ対策支援装置300は、操作入力部340を用いてユーザから入力された情報に基づいて、セキュリティ対策支援装置300に係る様々な設定を行うことができるようになっている。また、セキュリティ対策支援装置300は、アラートの受信によって作成されたセキュリティ対策の支援情報を表示画面に表示できるように構成されていてもよい。なお、操作入力部340およびモニタ350は、それぞれの機能が一体化したタッチパネル型ディスプレイであってもよい。また、セキュリティ対策支援装置300は、モニタ350を通じて情報を視覚的に表示出力するだけでなく、図示せぬプリンタ等を通じて、紙媒体に情報を印刷出力できるように構成されていてもよい。
【0059】
ストレージ360は、例えば、HDD(ハードディスクドライブ:Hard Disk Drive)等の磁気ディスク、SSD(ソリッドステートドライブ:Solid State Drive)等の半導体メモリ、光磁気ディスクならびに光ディスク等により実現される補助記憶装置である。
【0060】
ストレージ360は、例えばセキュリティ対策支援装置300とは別体のネットワークストレージ装置やデータベース管理装置に配置されていてもよい。本実施形態におけるストレージ360は、セキュリティ対策支援装置300がアクセス可能な任意のデータ記憶装置を包含するものである。
【0061】
ストレージ360は、所望の処理手順がプログラム命令として記述されたプログラムやデータを記憶することができるようになっている。例えば図4に示すように、ストレージ360には、セキュリティ対策に係る支援情報を作成するアラート処理プログラム370、支援情報を出力する支援情報出力プログラム380等の各種プログラムが格納されている。プロセッサ310は、ストレージ360から各種プログラムを適宜読み出してメモリ320上に展開し、プログラム命令を実行することで、各プログラムに対応する機能をセキュリティ対策支援装置300において実現できるようになっている。
【0062】
本発明に係る各種プログラムは、それぞれ独立して存在してもよく、各種プログラムが連携または一体化したプログラムとして存在してもよい。図4では、アラート処理プログラム370が、ネットワーク監視装置200から受信したアラートを解析して当該アラートを特定するアラート解析プログラム371、アラートに対応した脅威情報を特定する脅威情報特定プログラム372、脅威情報に対応したIR情報を特定するIR情報特定プログラム373、アラートに対応した誤検知情報を特定する誤検知情報特定プログラム374、出力するデータの整形および加工を行う支援情報作成プログラム375を一体に包含したプログラムとして表されている。
【0063】
さらに、ストレージ360には、セキュリティ対策の支援情報を作成する際に参照される脅威情報データベース390が格納されている。脅威情報データベース390は、例えばデータをテーブル形式で格納および管理しており、アラート情報テーブル391、脅威情報テーブル392、IR情報テーブル393、誤検知情報テーブル394により構成されている。脅威情報データベース390の各種テーブルの詳細については後述する。
【0064】
また、ストレージ360には、上記以外の様々なプログラムや様々なデータが格納されてもよい。一例として、ストレージ360には、セキュリティ対策支援装置300の動作に必要なオペレーションシステムプログラム等の様々なプログラムや、セキュリティ対策支援装置300の通信設定または動作設定を定義する設定情報等が格納されていてもよい。
【0065】
(セキュリティ対策支援装置の機能)
図4に示すセキュリティ対策支援装置300の機能について説明する。図5は、本実施形態におけるセキュリティ対策支援装置300の機能の一例を示す機能ブロック図である。本発明に係るセキュリティ対策支援装置の機能は、図5に示す構成に限定されるものではない。
図4に示すセキュリティ対策支援装置300の機能について説明する。図5は、本実施形態におけるセキュリティ対策支援装置300の機能の一例を示す機能ブロック図である。本発明に係るセキュリティ対策支援装置の機能は、図5に示す構成に限定されるものではない。
【0066】
図5に示すセキュリティ対策支援装置300は、アラート受信部410、アラート処理部420、支援情報出力部430、脅威情報データベース390を備えて構成されている。
【0067】
アラート受信部410は、ネットワーク監視装置200が発報したアラートを受信する機能を有する。アラート受信部410は、図4に示す通信部330に対応する。
【0068】
アラート処理部420は、アラート受信部410で受信したアラートに基づいて、セキュリティ対策の支援情報を作成する機能を有する。アラート処理部420は、プロセッサ310がストレージ360からアラート処理プログラム370を適宜読み出してメモリ320上に展開し、プログラム命令を実行することで実現される。
【0069】
アラート処理部420は、アラート解析部421、脅威情報特定部422、IR情報特定部423、誤検知情報特定部424、支援情報作成部425を備えて構成されている。
【0070】
アラート解析部421は、アラート受信部410で受信したアラートを解析し、事前に設定されているアラートに含まれている識別子とアラートの種別の対応表等を参照して、アラートの種別を特定する機能を有する。また、アラート解析部421は、アラート情報テーブル391を参照して、特定したアラートの種別に対応するレコードを読み出してメモリ320に格納するとともに、アラート情報テーブル391から読み出したレコードに紐づけられている脅威識別情報を脅威情報特定部422に通知する機能を有する。なお、また、制御システム10において発生した異常な動作のリスクの程度を示すセキュリティプロファイル情報がアラートに含まれている場合には、所定の程度以上のリスク(例えば「高」)のみを示すアラートに限定して処理を行うようにしてもよい。
【0071】
さらに、アラート解析部421は、アラート情報テーブル391から読み出したレコードに紐づけられている誤検知識別情報を誤検知情報特定部424に通知する機能を有していてもよい。アラート解析部421は、プロセッサ310がストレージ360からアラート解析プログラム371を適宜読み出してメモリ320上に展開し、プログラム命令を実行することで実現される。
【0072】
脅威情報特定部422は、脅威情報テーブル392を参照して、アラート解析部421から通知された脅威識別情報に対応するレコードを読み出してメモリ320に格納するとともに、脅威情報テーブル392から読み出したレコードに紐づけられているIR識別情報をIR情報特定部423に通知する機能を有する。脅威情報特定部422は、プロセッサ310がストレージ360から脅威情報特定プログラム372を適宜読み出してメモリ320上に展開し、プログラム命令を実行することで実現される。
【0073】
IR情報特定部423は、IR情報テーブル393を参照して、脅威情報特定部422から通知されたIR識別情報に対応するレコードを読み出してメモリ320に格納する機能を有する。IR情報特定部423は、プロセッサ310がストレージ360からIR情報特定プログラム373を適宜読み出してメモリ320上に展開し、プログラム命令を実行することで実現される。
【0074】
誤検知情報特定部424は、誤検知情報テーブル394を参照して、アラート解析部421から通知された誤検知識別情報に対応するレコードを読み出してメモリ320に格納する機能を有する。誤検知情報特定部424は、プロセッサ310がストレージ360から誤検知情報特定プログラム374を適宜読み出してメモリ320上に展開し、プログラム命令を実行することで実現される。
【0075】
支援情報作成部425は、アラート解析部421がアラート情報テーブル391から読み出したレコード、脅威情報特定部422が脅威情報テーブル392から読み出したレコード、IR情報特定部423がIR情報テーブル393から読み出したレコードをメモリ320から取得し、必要な情報を適宜抽出して整形および加工して、セキュリティ対策の支援情報を作成する機能を有する。また、支援情報作成部425は、誤検知情報特定部424が誤検知情報テーブル394から読み出したレコードをメモリ320から取得し、必要な情報を適宜抽出してセキュリティ対策の支援情報に含ませてもよい。支援情報作成部425は、プロセッサ310がストレージ360から支援情報作成プログラム375を適宜読み出してメモリ320上に展開し、プログラム命令を実行することで実現される。
【0076】
支援情報出力部430は、支援情報作成部425で作成された支援情報を出力する機能を有する。支援情報出力部430は、例えばセキュリティ対策支援装置300のモニタ350に支援情報を表示出力してもよく、セキュリティ対策支援装置300に接続されたプリンタ等から紙媒体として支援情報を印刷出力してもよく、あるいは、通信部330を介して他の装置に支援情報を送信してもよい。支援情報出力部430は、プロセッサ310がストレージ360から支援情報出力プログラム380を適宜読み出してメモリ320上に展開し、プログラム命令を実行することで実現される。
【0077】
次に、本実施形態におけるセキュリティ対策支援装置300が参照するアラート情報テーブル391、脅威情報テーブル392、IR情報テーブル393、誤検知情報テーブル394について説明する。
【0078】
(アラート情報テーブル)
図6は、本実施形態におけるセキュリティ対策支援装置300が参照するアラート情報テーブル391の一例を示す図である。図6に示すアラート情報テーブル391は、各アラートに対応したアラート情報を各レコード(行)に含み、各アラートに関する各種情報を各カラム(列)に含むテーブルにより構成されている。図6には、アラート情報テーブル391のレコードの一部のみが図示されている。
図6は、本実施形態におけるセキュリティ対策支援装置300が参照するアラート情報テーブル391の一例を示す図である。図6に示すアラート情報テーブル391は、各アラートに対応したアラート情報を各レコード(行)に含み、各アラートに関する各種情報を各カラム(列)に含むテーブルにより構成されている。図6には、アラート情報テーブル391のレコードの一部のみが図示されている。
【0079】
アラート情報テーブル391には、一例として、アラート種別カラム391a(図6中のType_ID)、アラート名称カラム391b(図6中のName)、アラート詳細カラム391c(図6中のDetail)、誤検知識別カラム391d(図6中のFalse_Positive)、脅威識別カラム391e(図6中のThreat)が設定されている。ただし、図6に示すアラート情報テーブル391に設定されたカラムは一例であり、これに限定されるものではない。
【0080】
アラート種別カラム391aは、アラートの種別を示すアラート種別情報を格納するための欄である。アラート種別情報は、アラートの種別に対応づけられており、アラートの種別を一意に識別可能とする識別情報である。
【0081】
ネットワーク監視装置200は、外部からの攻撃と判断し得る制御システム10の異常な動作を検出すると、当該攻撃を識別する識別子を含むアラートを発報する。アラート種別情報はアラートに含まれる識別子に対応しており、アラート解析部421は、受信したアラートに含まれる識別子からアラートの種別を特定して、当該受信したアラートに関するアラート種別情報を含むレコードを特定できるようになっている。なお、アラート情報テーブル391に、アラート種別情報とともにアラートに含まれる識別子が格納されており、受信したアラートに含まれる識別子から当該受信したアラートに関する情報を含むレコード(行)を特定できるようになっていてもよい。
【0082】
アラート名称カラム391bは、アラートの名称を示す情報を格納するための欄であり、アラート詳細カラム391cは、アラートの具体的な内容を示すアラートの詳細情報を格納するための欄である。アラート名称情報およびアラート詳細情報は、アラートがどのような名称で表されるものであり、具体的にどのような攻撃が検出された際に送信されるものであるかを示す情報である。
【0083】
誤検知識別カラム391dは、誤検知識別情報を格納するための欄である。誤検知識別情報は、外部からの攻撃に起因しない制御システム10の動作を、外部からの攻撃として誤って検知した場合(誤検知)に対応づけられており、誤検知を一意に識別可能とする識別情報である。これにより、誤検知情報特定部424は、誤検知情報テーブル394内のレコード(行)を特定できるようになっている。ここでは、誤検知識別情報は、メイン識別情報およびサブ識別情報により構成されており、「メイン識別情報」-「サブ識別情報」の形式で表記されている。なお、1つの誤検知識別情報が格納されてもよく。複数の誤検知識別情報が格納されてもよい。
【0084】
ネットワーク監視装置200は、制御システム10で発生した異常な動作を外部からの攻撃等の脅威として特定してアラートを発報するようになっているが、制御システム10で発生した異常な動作が実際には外部からの攻撃に起因するものではない場合であっても、これを脅威として誤検出しアラートを発報してしまう場合がある。ネットワーク監視装置200が、どのような事象を脅威として誤検知してしまうかはある程度パターン化されているため、各アラートと、各アラートが発報されてしまう可能性のある誤検知とを紐づけることができる。
【0085】
脅威識別カラム391eは、アラート発報のトリガーとなった外部からの攻撃に対応づけられた脅威識別情報を格納するための欄である。脅威識別情報は、外部からの攻撃に対応づけられており、当該攻撃を一意に識別可能とする識別情報であり、これにより、脅威情報特定部422は、脅威情報テーブル392内のレコード(行)を特定できるようになっている。ここでは、脅威識別情報は、メイン識別情報およびサブ識別情報により構成されており、「メイン識別情報」-「サブ識別情報」の形式で表記されている。なお、1つの脅威識別情報が格納されてもよく。複数の脅威識別情報が格納されてもよい。
【0086】
(脅威情報テーブル)
図7は、本実施形態におけるセキュリティ対策支援装置300が参照する脅威情報テーブル392の一例を示す図である。図7に示す脅威情報テーブル392は、各攻撃に対応した脅威情報を各レコード(行)に含み、各攻撃に関する各種情報を各カラム(列)に含むテーブルにより構成されている。図7には、脅威情報テーブル392のレコードの一部のみが図示されている。
図7は、本実施形態におけるセキュリティ対策支援装置300が参照する脅威情報テーブル392の一例を示す図である。図7に示す脅威情報テーブル392は、各攻撃に対応した脅威情報を各レコード(行)に含み、各攻撃に関する各種情報を各カラム(列)に含むテーブルにより構成されている。図7には、脅威情報テーブル392のレコードの一部のみが図示されている。
【0087】
脅威情報テーブル392には、一例として、脅威分類カラム392a(図7中のCategory)、脅威識別カラム392b(図7中のMain_ID、Sub_ID)、ナレッジベース識別カラム392c(図7中のKB_ID)、ナレッジベース名称カラム392d(図7中のName)、脅威内容カラム392e(図7中のContents)、リンクカラム392f(図7中のURL)、IR識別カラム392g(図7中のIR_ID)が設定されている。ただし、図7に示す脅威情報テーブル392に設定されたカラムは一例であり、これに限定されるものではない。
【0088】
脅威分類カラム392aは、外部からの攻撃の分類を示す脅威分類情報を格納するための欄である。脅威分類情報は、外部からの攻撃が新たに構築されたキルチェーンモデルのどの戦略フェーズに対応しているかを示す情報であり、脅威分類情報として、当該キルチェーンモデルの戦略フェーズの名称情報を用いることができる。
【0089】
脅威識別カラム392bは、アラート発報のトリガーとなった外部からの攻撃を分類するための脅威識別情報を格納するための欄である。脅威識別情報は、外部からの攻撃に対応づけられており、当該攻撃を一意に識別可能とする識別情報である。ここでは、脅威識別情報は、メイン識別情報およびサブ識別情報により構成されている。脅威識別情報は、アラート情報テーブル391の脅威識別カラム391eにも格納されており、アラート情報テーブル391内のアラート情報から、脅威情報特定部422が、脅威情報テーブル392内のレコード(行)を特定できるようになっている。
【0090】
ナレッジベース識別カラム392cは、既存のナレッジベースの戦術を識別するナレッジベース識別情報を格納するための欄である。ナレッジベース識別情報は、外部からの攻撃が既存のナレッジベースのどの戦術に対応しているかを示す情報である。また、ナレッジベース名称カラム392dは、対応する既存のナレッジベースの戦術の具体的な名称情報を格納するための欄であり、リンクカラム392fは、対応する既存のナレッジベースの戦術の詳細が記載されたウェブページへのリンク情報を格納するための欄である。新たに構築されたキルチェーンモデルの脅威分類情報と、ナレッジベース識別情報、ナレッジベースの戦術の名称情報およびリンク情報が同一のレコードに関連付けられて格納されていることで、新たに構築されたキルチェーンモデルの戦略および戦術と、既存のナレッジベースの戦略および戦術との対応関係が把握できるようになっている。
【0091】
脅威内容カラム392eは、外部からの攻撃の具体的な内容を示す脅威内容情報を格納するための欄である。脅威内容情報は、外部からの攻撃が具体的にどのようなものであるかを示す情報である。
【0092】
IR識別カラム392gは、外部からの攻撃への対策であるIR(インシデントレスポンス)を示すIR識別情報を格納するための欄である。IR識別情報は、IRに対応付けられており、当該IRを一意に識別可能とする識別情報であり、これにより、IR情報特定部423は、IR情報テーブル393内のレコード(行)を特定できるようになっている。ここでは、IR識別情報は、メイン識別情報およびサブ識別情報により構成されており、「メイン識別情報」-「サブ識別情報」の形式で表記されている。なお、1つのIR識別情報が格納されてもよく。複数のIR識別情報が格納されてもよい。
【0093】
(IR情報テーブル)
図8は、本実施形態におけるセキュリティ対策支援装置300が参照するIR情報テーブル393の一例を示す図である。図8に示すIR情報テーブル393は、各攻撃に対応したIR情報を各レコード(行)に含み、各IRに関する各種情報を各カラム(列)に含むテーブルにより構成されている。図8には、IR情報テーブル393のレコードの一部のみが図示されている。
図8は、本実施形態におけるセキュリティ対策支援装置300が参照するIR情報テーブル393の一例を示す図である。図8に示すIR情報テーブル393は、各攻撃に対応したIR情報を各レコード(行)に含み、各IRに関する各種情報を各カラム(列)に含むテーブルにより構成されている。図8には、IR情報テーブル393のレコードの一部のみが図示されている。
【0094】
IR情報テーブル393には、一例として、IR分類カラム393a(図8中のCategory)、IR識別カラム393b(図8中のMain_ID、Sub_ID)、IR技術カラム393c(図8中のTechnique)、IR手順カラム393d(図8中のProcedure)が設定されている。ただし、図8に示すIR情報テーブル393に設定されたカラムは一例であり、これに限定されるものではない。
【0095】
IR分類カラム393aは、IRの分類を示すIR分類情報を格納するための欄である。IR分類情報は、例えばIRの概要を示す情報である。
【0096】
IR識別カラム393bは、外部からの攻撃に対して実施するIRに対応付けられており、当該IRを一意に識別可能とするIR識別情報を格納するための欄である。ここでは、IR識別情報は、メイン識別情報およびサブ識別情報により構成されている。IR識別情報は、脅威情報テーブル392のIR識別カラム392gにも格納されており、脅威情報テーブル392内の脅威情報から、IR情報テーブル393内のレコード(行)を特定できるようになっている。
【0097】
IR技術カラム393cは、外部からの攻撃に対応するための技術に関するIR技術情報を格納するための欄である。IR手順カラム393dは、外部からの攻撃に対応するための具体的なIR手順情報を格納するための欄である。IR技術情報およびIR手順情報は、外部からの攻撃に対応するための具体的な技術および手順に関する情報である。
【0098】
(誤検知情報テーブル)
図9は、本実施形態におけるセキュリティ対策支援装置300が参照する誤検知情報テーブル394の一例を示す図である。図9に示す誤検知情報テーブル394は、各誤検知に対応した誤検知情報を各レコード(行)に含み、各誤検知に関する各種情報を各カラム(列)に含むテーブルにより構成されている。図9には、誤検知情報テーブル394のレコードの一部のみが図示されている。
図9は、本実施形態におけるセキュリティ対策支援装置300が参照する誤検知情報テーブル394の一例を示す図である。図9に示す誤検知情報テーブル394は、各誤検知に対応した誤検知情報を各レコード(行)に含み、各誤検知に関する各種情報を各カラム(列)に含むテーブルにより構成されている。図9には、誤検知情報テーブル394のレコードの一部のみが図示されている。
【0099】
誤検知情報テーブル394には、一例として、誤検知分類カラム394a(図9中のCategory)、誤検知識別カラム394b(図9中のMain_ID、Sub_ID)、誤検知内容カラム394c(図9中のContents)が設定されている。ただし、図9に示す誤検知情報テーブル394に設定されたカラムは一例であり、これに限定されるものではない。
【0100】
誤検知分類カラム394aは、誤検知の分類を示す誤検知分類情報を格納するための欄である。誤検知分類情報は、例えば、誤検知のトリガーとなった動作(誤設定、誤動作、メンテナンス等)に関する情報である。
【0101】
誤検知識別カラム394bは、誤検知に対応づけられており、誤検知を一意に識別可能とする誤検知識別情報を格納するための欄である。ここでは、誤検知識別情報は、メイン識別情報およびサブ識別情報により構成されている。誤検知識別情報は、アラート情報テーブル391の誤検知識別カラム391dにも格納されており、アラート情報テーブル391内の誤検知識別情報から、誤検知情報テーブル394内のレコード(行)を特定できるようになっている。
【0102】
誤検知内容カラム394cは、誤検知の具体的な内容を示す誤検知内容情報を格納するための欄である。誤検知内容情報は、誤検知が具体的にどのようなものであるかを示す情報である。
【0103】
(セキュリティ対策の支援情報の作成処理)
以下、本実施形態におけるセキュリティ対策支援装置300で実行されるセキュリティ対策の支援情報を作成する処理について説明する。図10は、本実施形態におけるセキュリティ対策支援装置300で実行されるセキュリティ対策の支援情報を作成する処理の一例を示すフローチャートである。
以下、本実施形態におけるセキュリティ対策支援装置300で実行されるセキュリティ対策の支援情報を作成する処理について説明する。図10は、本実施形態におけるセキュリティ対策支援装置300で実行されるセキュリティ対策の支援情報を作成する処理の一例を示すフローチャートである。
【0104】
セキュリティ対策支援装置300のアラート受信部410は、ネットワーク監視装置200からアラートを受信すると、受信したアラートをアラート解析部421に供給する。図10において、アラート解析部421は、ネットワーク監視装置200が発報したアラートに含まれる識別子からアラートの種別情報を特定する(ステップS101)。
【0105】
アラート解析部421は、アラート情報テーブル391を参照して、ステップS101で特定したアラート種別情報に係るレコードを特定し、そのレコードの情報を読み出す(ステップS103)。アラート解析部421は、読み出したレコードの情報をメモリ320に保存する。
【0106】
アラート解析部421は、ステップS101で特定したアラート種別情報に係るレコードの脅威識別カラム391eから脅威識別情報を特定し(ステップS105)、脅威識別情報を脅威情報特定部422に通知する。なお、アラート情報テーブル391のレコードの脅威識別カラム391eには、複数の脅威識別情報を格納することができるようになっている。複数の脅威識別情報が格納されている場合には、アラート解析部421は、脅威情報特定部422に対して複数の脅威識別情報を通知する。
【0107】
脅威情報特定部422は、脅威情報テーブル392を参照して、アラート解析部421から通知された脅威識別情報に係るレコードを特定し、レコード内の情報を読み出す(ステップS107)。脅威情報特定部422は、読み出したレコードの情報をメモリ320に保存する。
【0108】
脅威情報特定部422は、アラート解析部421から通知された脅威識別情報に係るレコードのIR識別カラム392gからIR識別情報を特定する(ステップS109)。なお、脅威情報テーブル392のIR識別カラム392gには、複数のIR識別情報を格納することができるようになっている。複数のIR識別情報が格納されている場合には、脅威情報特定部422は、IR情報特定部423に対して複数のIR識別情報を通知する。
【0109】
アラート情報テーブル391のレコードの脅威識別カラム391eには、複数の脅威識別情報を格納することができるようになっていることから、アラート解析部421から脅威情報特定部422に対して複数の脅威識別情報が通知される場合がある。脅威情報特定部422は、アラート解析部421から複数の脅威識別情報が通知されているか否かを判断し(ステップS111)、複数の脅威識別情報が通知されている場合には、各脅威識別情報について上記のステップS107、S109の処理を実行する。
【0110】
すべての脅威識別情報に対する処理が完了すると、IR情報特定部423は、IR情報テーブル393を参照して、脅威情報特定部422から通知されたIR識別情報に係るレコードを特定し、レコード内の情報を読み出す(ステップS113)。脅威特定情報部422は、読み出したレコードの情報をメモリ320に保存する。
【0111】
アラート情報テーブル391のレコードの脅威識別カラム391eには、複数の脅威識別情報を格納できるようになっていることに加えて、脅威情報テーブル392のIR識別カラム392gには、複数のIR識別情報を格納できるようになっていることから、脅威情報特定部422からIR情報特定部423に対して複数のIR識別情報が通知される場合がある。IR情報特定部423は、脅威情報特定部422から複数のIR識別情報が通知されているか否かを判断し(ステップS115)、複数のIR識別情報が通知されている場合には、各IR識別情報について上記のステップS113の処理を実行する。
【0112】
すべてのIR識別情報に対する処理が完了すると、支援情報作成部425は、ステップS103でアラート情報テーブル391から読み出した情報、ステップS107で脅威情報テーブル392から読み出した情報、ステップS113でIR情報テーブル393から読み出した情報を参照し、事前に設定されている項目の情報を抽出して整形し、さらに所定のデータ形式に加工することで、セキュリティ対策の支援情報を作成する(ステップS117)。支援情報作成部425は、作成した支援情報を支援情報出力部430に供給して、セキュリティ対策の支援情報の作成処理が完了となる。
【0113】
上述したセキュリティ対策の支援情報を作成する処理をより具体的に説明する。
【0114】
一例として、ネットワーク監視装置200が制御システム10における異常を検出し、種別「SIGN:ARP:DUP」のアラートを発報したとする。
【0115】
セキュリティ対策支援装置300のアラート受信部410は、ネットワーク監視装置200が発報したアラートを受信すると、受信したアラートをアラート解析部421に供給する。アラート解析部421は、アラート受信部410が受信したアラートのアラート種別情報「SIGN:ARP:DUP」を特定し(ステップS101)、アラート情報テーブル391を参照して、アラート種別情報「SIGN:ARP:DUP」に係るレコード(図6に示すアラート情報テーブル391の1行目)の情報を読み出す(ステップS103)。
【0116】
アラート解析部421は、アラート種別情報「SIGN:ARP:DUP」に係るレコードの脅威識別カラム391eから脅威識別情報「5-1」を特定し(ステップS105)、脅威情報特定部422に通知する。
【0117】
脅威情報特定部422は、脅威情報テーブル392を参照して、アラート解析部421から通知された脅威識別情報「5-1」に係るレコード(図7に示す脅威情報テーブル392の5行目)を特定し、レコード内の情報を読み出す(ステップS107)。脅威情報特定部422は、特定した脅威識別情報「5-1」に係るレコードのIR識別カラム392gからIR識別情報「1-1」を特定し(ステップS109)、IR情報特定部423に通知する。
【0118】
ここでは、脅威情報特定部422は、アラート解析部421から脅威識別情報「5-1」のみが通知されており、脅威情報テーブル392から読み出すレコードは、脅威識別情報「5-1」に係るレコードのみである。
【0119】
次いで、IR情報特定部423は、IR情報テーブル393を参照して、脅威情報特定部422から通知されたIR識別情報「1-1」に係るレコード(図8に示すIR情報テーブル393の1行目)を特定し、レコード内の情報を読み出す(ステップS113)。ここでは、IR情報特定部423は、脅威情報特定部422からIR識別情報「1-1」のみが通知されており、IR情報テーブル393から読み出すレコードは、IR識別情報「1-1」に係るレコードのみである。
【0120】
上述した動作により、アラート情報テーブル391内のアラート種別情報「SIGN:ARP:DUP」に係るレコード(図6に示すアラート情報テーブル391の1行目)の情報、脅威情報テーブル392内の脅威識別情報「5-1」に係るレコード(図7に示す脅威情報テーブル392の5行目)の情報、IR情報テーブル393内のIR識別情報「1-1」に係るレコード(図8に示すIR情報テーブル393の1行目)の情報が読み出されてメモリ320に保存される。支援情報作成部425は、これらの情報を参照し、事前に設定されている項目の情報を用いて、セキュリティ対策の支援情報を作成する(ステップS117)。支援情報作成部425は、一部の情報のみを用いて支援情報を作成してもよく、すべての情報を用いて支援情報を作成してもよい。
【0121】
アラート種別情報「SIGN:ARP:DUP」のアラートを受信した場合に支援情報作成部425が作成するセキュリティ対策の支援情報の一例を図11に示す。支援情報作成部425は、一例として、アラート情報として、アラート種別、アラート名称、アラート詳細を含み、脅威情報として、脅威種別、KB_ID(ナレッジベースの識別情報)、KB名称(ナレッジベースにおける戦術の名称)、脅威の内容を含み、IR情報として、IR種別、手法、手順を含む支援情報を作成する。
【0122】
アラート種別、アラート名称、アラート詳細には、それぞれアラート情報テーブル391から読み出したアラート種別カラム391a内の情報、アラート名称カラム391b内の情報、アラート詳細カラム391c内の情報が含まれる。
【0123】
脅威種別、KB_ID、KB名称、脅威の内容には、それぞれ脅威情報テーブル392から読み出した脅威分類カラム392a内の情報、ナレッジベース識別カラム392c内の情報、脅威内容カラム392e内の情報が含まれる。なお、支援情報にリンクカラム392f内の情報を含ませて、例えば支援情報がモニタ350に表示された際に、そのリンクから既存のナレッジベースの戦術の詳細が記載されたウェブページにアクセスできるようになっていてもよい。
【0124】
IR種別、手法、手順には、それぞれIR情報テーブル393から読み出したIR分類カラム393a内の情報、IR技術カラム393c内の情報、IR手順カラム393d内の情報が含まれる。
【0125】
また、別例として、ネットワーク監視装置200が制御システム10における異常を検出し、種別「SIGN:PROC:MISSING-VAR」のアラートを発報したとする。
【0126】
セキュリティ対策支援装置300のアラート受信部410は、ネットワーク監視装置200が発報したアラートを受信すると、受信したアラートをアラート解析部421に供給する。アラート解析部421は、アラート受信部410が受信したアラートのアラート種別情報「SIGN:PROC:MISSING-VAR」を特定し(ステップS101)、アラート情報テーブル391を参照して、アラート種別情報「SIGN:PROC:MISSING-VAR」に係るレコード(図6に示すアラート情報テーブル391の2行目)の情報を読み出す(ステップS103)。
【0127】
アラート解析部421は、アラート種別情報「SIGN:PROC:MISSING-VAR」に係るレコードの脅威識別カラム391eから脅威識別情報「3-1」、「3-3」、「3-4」を特定し(ステップS105)、脅威情報特定部422に通知する。
【0128】
脅威情報特定部422は、アラート解析部421から通知された複数の脅威識別情報「3-1」、「3-3」、「3-4」のすべてについて処理を行う。
【0129】
脅威情報特定部422は、脅威情報テーブル392を参照して、アラート解析部421から通知された脅威識別情報「3-1」に係るレコード(図7に示す脅威情報テーブル392の1行目)を特定し、レコード内の情報を読み出す(ステップS107)。また、脅威情報特定部422は、アラート解析部421から通知された脅威識別情報「3-1」に係るレコードのIR識別カラム392gからIR識別情報「6-1」、「6-2」を特定し(ステップS109)、IR情報特定部423に通知する。
【0130】
脅威情報特定部422は、脅威情報テーブル392を参照して、アラート解析部421から通知された脅威識別情報「3-3」に係るレコード(図7に示す脅威情報テーブル392の3行目)を特定し、レコード内の情報を読み出す(ステップS107)。また、脅威情報特定部422は、アラート解析部421から通知された脅威識別情報「3-3」に係るレコードのIR識別カラム392gからIR識別情報「1-1」を特定し(ステップS109)、IR情報特定部423に通知する。
【0131】
脅威情報特定部422は、脅威情報テーブル392を参照して、アラート解析部421から通知された脅威識別情報「3-4」に係るレコード(図7に示す脅威情報テーブル392の4行目)を特定し、レコード内の情報を読み出す(ステップS107)。また、脅威情報特定部422は、アラート解析部421から通知された脅威識別情報「3-4」に係るレコードのIR識別カラム392gからIR識別情報「1-1」を特定し(ステップS109)、IR情報特定部423に通知する。
【0132】
IR情報特定部423は、アラート解析部421から、脅威識別情報「3-1」に紐づけられたIR識別情報「6-1」、「6-2」、脅威識別情報「3-3」に紐づけられたIR識別情報「1-1」、脅威識別情報「3-4」に紐づけられたIR識別情報「1-1」の通知を受けており、これら複数のIR識別情報「1-1」、「6-1」、「6-2」のすべてについて処理を行う。
【0133】
IR情報特定部423は、IR情報テーブル393を参照して、脅威情報特定部422から通知されたIR識別情報「1-1」に係るレコード(図8に示すIR情報テーブル393の1行目)を特定し、レコード内の情報を読み出す(ステップS113)。
【0134】
IR情報特定部423は、IR情報テーブル393を参照して、脅威情報特定部422から通知されたIR識別情報「6-1」に係るレコード(図8に示すIR情報テーブル393の2行目)を特定し、レコード内の情報を読み出す(ステップS113)。
【0135】
IR情報特定部423は、IR情報テーブル393を参照して、脅威情報特定部422から通知されたIR識別情報「6-2」に係るレコード(図8に示すIR情報テーブル393の3行目)を特定し、レコード内の情報を読み出す(ステップS113)。
【0136】
上述した動作により、アラート情報テーブル391内のアラート種別情報「SIGN:PROC:MISSING-VAR」に係るレコード(図6に示すアラート情報テーブル391の2行目)の情報、脅威情報テーブル392内の脅威識別情報「3-1」、「3-3」、「3-4」に係るレコード(図7に示す脅威情報テーブル392の1、3、4行目)の情報、IR情報テーブル393内のIR識別情報「1-1」、「6-1」、「6-2」に係るレコード(図8に示すIR情報テーブル393の1~3行目)の情報が読み出されてメモリ320に保存される。支援情報作成部425は、これらの情報を参照し、事前に設定されている項目の情報を用いて、セキュリティ対策の支援情報を作成する(ステップS117)。この場合も、支援情報作成部425は、一部の情報のみを用いて支援情報を作成してもよく、すべての情報を用いて支援情報を作成してもよい。
【0137】
アラート種別情報「SIGN:PROC:MISSING-VAR」のアラートを受信した場合に支援情報作成部425が作成するセキュリティ対策の支援情報の一例を図12~14に示す。
【0138】
図12~図14に示す支援情報は、図11と同様の情報を含んで構成されている。ただし、図11に示す支援情報は、1つのアラート種別情報(1レコード)に対して1つの脅威情報(1レコード)が紐づけられており、当該脅威情報に対して1つのIR情報(1レコード)が紐づけられているのに対し、図12~図14に示す支援情報は、1つのアラート種別情報(1レコード)に対して複数の脅威情報(ここでは、脅威識別情報「3-1」、「3-3」、「3-4」で特定される3レコード)が紐づけられており、当該3つの脅威情報のうちの1つの脅威情報(脅威識別情報「3-1」で特定される1レコード)に対して複数のIR情報(ここでは、IR識別情報「6-1」、「6-2」で特定される2レコード)が紐づけられている点で異なっている。
【0139】
上述したように、本実施形態では、アラートに対して脅威情報を紐づけ、脅威情報に対してIR情報を紐づけている。これにより、本実施形態におけるセキュリティ対策支援装置300は、ネットワーク監視装置200が発報したアラートに基づいて、脅威情報およびIR情報を特定し、これらの脅威情報およびIR情報を含む支援情報を作成および出力できるようになっている。
【0140】
また、本実施形態では、アラート発報のトリガーとなる複数の脅威が存在し、さらに各脅威に対して複数のIRが存在し得ることを考慮して、1つのアラートに対して複数の脅威情報を紐づけ、1つの脅威情報に対して複数のIR情報を紐づけることができるようになっている。これにより、アラート発報のトリガーとなる様々な脅威および様々な対応策が存在し得ることを考慮した支援情報を提供することができる。
【0141】
支援情報出力部430は、上記のように支援情報作成部425により作成された支援情報を、モニタ350に表示出力してもよく、プリンタ等から紙媒体として印刷出力してもよく、あるいは、通信部330を介して他の装置に送信してもよい。モニタ350に表示出力する場合には、図12~図14に示す支援情報が1つの表示画面上に表示されてもよく、あるいはスクロールまたは画面遷移により表示されてもよい。
【0142】
このように支援情報を出力することで、例えばセキュリティオペレーションセンターの担当者等が支援情報を確認できるようになる。当該担当者は、ネットワーク監視装置200からアラートが発報されたことだけではなく、アラートのトリガーとなった攻撃に関する情報や、その攻撃に対して実施すべきIRに関する情報を適切に把握して、制御システム10を検査して特定したIoC(侵害痕跡:Indicator of Comromise)に基づいて、外部からの攻撃を封じ込める対策を講じることができる。
【0143】
さらに、支援情報によれば、新たに構築されたキルチェーンモデルの戦略および戦術と、既存のナレッジベースの戦略および戦術との対応関係を容易に把握できるようになっており、既存のナレッジベースに対する理解の促進や脅威に係るTTPの基本的な知識の向上を支援し、担当者およびシステム開発者のスキル向上および人材育成、セキュリティ対策に係る技術開発の促進および品質向上に繋げることが可能となる。
【0144】
(誤検知情報を含むセキュリティ対策の支援情報の作成処理)
図10に示す処理では、セキュリティ対策支援装置300は、脅威情報およびIR情報を含む支援情報を作成および出力しているが、さらに誤検知情報を含む支援情報を作成および出力してもよい。図15は、本実施形態におけるセキュリティ対策支援装置300で実行されるセキュリティ対策の支援情報を作成する処理の別例を示すフローチャートである。なお、以下では、図10に示す処理と同様の処理については、説明を簡略化または省略する。
図10に示す処理では、セキュリティ対策支援装置300は、脅威情報およびIR情報を含む支援情報を作成および出力しているが、さらに誤検知情報を含む支援情報を作成および出力してもよい。図15は、本実施形態におけるセキュリティ対策支援装置300で実行されるセキュリティ対策の支援情報を作成する処理の別例を示すフローチャートである。なお、以下では、図10に示す処理と同様の処理については、説明を簡略化または省略する。
【0145】
図10に示すステップS101~S105と同様に、アラート解析部421は、ネットワーク監視装置200が発報したアラートに含まれる識別子からアラートの種別情報を特定すると、アラート情報テーブル391を参照して、特定したアラート種別情報に係るレコードを特定し、そのレコードの情報を読み出す。そして、アラート解析部421は、特定したレコードの脅威識別カラム391eから脅威識別情報を特定し、脅威識別情報を脅威情報特定部422に通知する。
【0146】
次いで、アラート解析部421は、特定したレコードの誤検知識別カラム391dから誤検知識別情報を特定し(ステップS106)、誤検知識別情報を誤検知情報特定部424に通知する。
【0147】
図10に示すステップS107~S115と同様に、脅威情報特定部422は、脅威情報テーブル392を参照して、アラート解析部421から通知された脅威識別情報に係るレコードを特定し、レコード内の情報を読み出すとともに、特定した脅威識別情報に係るレコードのIR識別カラム392gからIR識別情報を特定する。また、IR情報特定部423は、IR情報テーブル393を参照して、脅威情報特定部422から通知されたIR識別情報に係るレコードを特定し、レコード内の情報を読み出す。
【0148】
次いで、誤検知情報特定部424は、誤検知情報テーブル394を参照して、アラート解析部421から通知された誤検知識別情報に係るレコードを特定し、レコード内の情報を読み出す(ステップS116a)。誤検知特定情報部424は、読み出したレコードの情報をメモリ320に保存する。なお、アラート情報テーブル391のレコードの誤検知識別カラム391dにおいても、複数の誤検知識別情報を格納することができるようになっており、アラート解析部421から誤検知情報特定部424に対して複数の誤検知識別情報が通知される場合がある。誤検知情報特定部424は、アラート解析部421から複数の誤検知識別情報が通知されているか否かを判断し(ステップS116b)、複数の誤検知識別情報が通知されている場合には、各誤検知識別情報について上記のステップS116aの処理を実行する。
【0149】
すべての誤検知識別情報に対する処理が完了すると、支援情報作成部425は、ステップS103でアラート情報テーブル391から読み出した情報、ステップS107で脅威情報テーブル392から読み出した情報、ステップS113でIR情報テーブル393から読み出した情報、さらにステップS116aで誤検知情報テーブル394から読み出した情報を参照し、事前に設定されている項目の情報を抽出して整形し、さらに所定のデータ形式に加工することで、セキュリティ対策の支援情報を作成する(ステップS117a)。支援情報作成部425は、作成した支援情報を支援情報出力部430に供給して支援情報の作成処理が完了となる。
【0150】
アラート種別情報「SIGN:ARP:DUP」のアラートを受信した場合に支援情報作成部425が作成する誤検知情報を含む支援情報の一例を図16に示す。図16に示す支援情報は、図11に示す支援情報に対して誤検知情報がさらに追加されたものである。
【0151】
図16に示す支援情報は、アラート情報テーブル391から読み出したアラート種別、アラート名称、アラート詳細、脅威情報テーブル392から読み出した脅威種別、IR情報テーブル393から読み出したIR種別、手法、手順の各種情報に加えて、誤検知情報テーブル394から読み出した誤検知分類カラム394a内の情報、誤検知内容カラム394c内の情報を含んでいる。
【0152】
図16には、一例として、種別「SIGN:ARP:DUP」のアラートに関する支援情報が示されている。ここでは、アラート解析部421が、アラート種別情報「SIGN:PROC:MISSING-VAR」に係るレコードの誤検知識別カラム391dから誤検知識別情報「1-2」を特定し、誤検知情報特定部424が、誤検知情報テーブル394を参照して、誤検知識別情報「1-2」に係るレコード(図9に示す誤検知情報テーブル394の2行目)を読み出す。支援情報作成部425は、誤検知識別情報「1-2」に係るレコードの誤検知分類カラム394a内の情報、誤検知内容カラム394c内の情報を抽出して、図16に示すような誤検知情報を含む支援情報を作成することができる。
【0153】
なお、図示省略するが、図12~図14に示す支援情報(複数の脅威情報および複数のIR情報)と同様、複数の誤検知情報が存在する場合には、これら複数の誤検知情報を含むように適宜整形・加工して支援情報を作成してもよい。
【0154】
このように、支援情報に誤検知情報を含ませることで、例えばセキュリティオペレーションセンターの担当者等は、外部からの攻撃が検出された可能性とともに、ネットワーク監視装置200による誤検知の可能性を考慮して、制御システム10を検査し、外部からの攻撃または誤検知に対する対策を講じることができる。特に、制御システム10のセキュリティを維持するためには、ネットワーク監視装置200が誤検知を行うことはある程度やむを得ないが、本実施形態のように、仮に誤検知の場合にはどのような動作が行われている可能性があるかを支援情報によって示すことで、誤検知に係る動作を効率良く把握できるようになる。
【0155】
なお、上述したように、本実施形態において用いられるセキュリティ対策モデルは、膨大な情報を有する既存のナレッジベースの中からパッシブ型のネットワーク監視によるセキュリティ対策にとって必要な項目を絞り込んで構築されている。本実施形態におけるセキュリティ対策支援装置300は、ネットワーク監視を行うことで、セキュリティ対策モデルに基づいて、発生する可能性が高い脅威をふるい分けして導出し、当該導出した脅威を特定するために必要な追加の調査(エンドポイントのログ取得等)をIR情報によって提案することで、発生した攻撃の特定および絞り込みをサポートすることができるようになっている。このように、セキュリティ対策モデルによって、発生する可能性が高い脅威をグループ化して絞り込みが可能な状態とし、脅威に紐づけられたIR情報によって追加調査を提案することで、ITシステムと比べて課題の多い制御システムに係るセキュリティへの対応を適切に支援することが可能となる。
【0156】
本実施形態の作用について説明する。
【0157】
本実施形態におけるセキュリティ対策支援装置300は、制御システム10のセキュリティ対策を支援するものであり、アラート受信部410、脅威情報データベース390、脅威情報特定部422、IR情報特定部423、支援情報作成部425、支援情報出力部430を概略備えて構成されている。
【0158】
アラート受信部410は、制御システム10で送受信されるパケットを傍受して解析し、制御システム10で発生した異常を検出して異常を通知するアラートを出力するように構成されたネットワーク監視装置200からアラートを受信するように構成されている。
【0159】
脅威情報データベース390は、ネットワーク監視装置200から受信し得るアラートの種別情報に対して、アラートに関連する脅威情報およびIR情報が紐付けられた情報を格納するように構成されている。
【0160】
脅威情報特定部422は、脅威情報データベース390を参照し、アラート受信部410で受信したアラートの種別情報に対応する脅威情報を特定するように構成されている。
【0161】
IR情報特定部423は、脅威情報データベース390を参照し、脅威情報特定部422で特定した脅威情報に対応するIR情報を特定するように構成されている。
【0162】
支援情報作成部425は、脅威情報特定部422で特定した脅威情報、およびIR情報特定部423で特定したIR情報を含む、制御システム10のセキュリティ対策の支援情報を作成するように構成されている。
【0163】
支援情報作成部430は、支援情報作成部425で作成した支援情報を出力するように構成されている。
【0164】
上記の構成によれば、制御システム10で送受信されるパケットを傍受することで、制御システム10の可用性を優先して制御システム10の異常を検出し、異常発生の原因となった外部からの攻撃等の脅威を特定して、当該脅威に関する脅威情報、およびその対応策であるIR情報を含む支援情報を作成して出力することができるようになる。
【0165】
本実施形態におけるセキュリティ対策支援装置300は、脅威情報データベース390が、攻撃の戦略および戦術が纏められている既存のナレッジベースから制御システム10のセキュリティ対策に必要な項目を絞り込むとともに、当該絞り込んだ各項目を新たにグループ化することで構築されたセキュリティ対策モデル(図1参照)に基づいて作成されていてもよい。
【0166】
上記の構成によれば、煩雑で理解しにくい既存のナレッジベースを簡素化して、容易に理解可能な簡素化したセキュリティ対策モデルを構築することで、実際の制御システム10の環境に応じて適切かつ実用的なセキュリティ対策システムを構築することができるようになる。また、本発明に係る独自のセキュリティ対策モデルの戦略および戦術を、ネットワークベースのセキュリティ対策に必要な範囲で既存のナレッジベースから限定的に抽出した戦略および戦術とマッピングすることで、理解が容易ではなく煩雑な既存のナレッジベースに対する理解の促進や、脅威に係る戦略、戦術、手順の基本的な知識の向上を支援し、担当者およびシステム開発者のスキル向上および人材育成、セキュリティ対策に係る技術開発の促進および品質向上に繋げることができるようになる。
【0167】
本実施形態におけるセキュリティ対策支援装置300は、脅威情報データベース390において、アラートの種別情報に対して複数の脅威情報が紐づけられており、脅威情報特定部422が、脅威情報データベース390を参照して、アラート受信部410で受信したアラートの種別情報に対応する複数の脅威情報を特定し、支援情報作成部425が、脅威情報特定部422で特定した複数の脅威情報を含む支援情報を作成してもよい。
【0168】
上記の構成によれば、アラートに対応して複数の脅威情報が存在する可能性がある場合であっても、当該複数の脅威情報を含む支援情報を作成することができ、制御システム10に対して、複数の脅威情報を考慮したセキュリティ対策を適切に実施することができるようになる。
【0169】
本実施形態におけるセキュリティ対策支援装置300は、脅威情報データベース390において、脅威情報に対して複数のIR情報が紐づけられており、IR情報特定部423が、脅威情報特定部422で特定した脅威情報に対応する複数のIR情報を特定し、支援情報作成部425が、IR情報特定部423で特定した複数のIR情報を含む支援情報を作成してもよい。
【0170】
上記の構成によれば、外部からの攻撃等の脅威に対応して複数のIR情報が存在する可能性がある場合であっても、当該複数のIR情報を含む支援情報を作成することができ、制御システム10に対して、複数のIR情報を考慮したセキュリティ対策を適切に実施することができるようになる。
【0171】
本実施形態におけるセキュリティ対策支援装置300は、脅威情報データベース390において、ネットワーク監視装置200から受信し得るアラートの種別情報に対して、誤検知情報がさらに紐付けられており、脅威情報データベース390を参照してアラート受信部410で受信したアラートの種別情報に対応する誤検知情報を特定する誤検知情報特定部424を有し、支援情報作成部425が、誤検知情報特定部424で特定した誤検知情報を含む支援情報を作成してもよい。
【0172】
上記の構成によれば、ネットワーク監視装置200が外部からの攻撃等の脅威ではない制御システム10の動作を当該脅威として誤検知する可能性がある場合であっても、当該誤検知に関する誤検知情報を含む支援情報を作成することができ、制御システム10に対して、誤検知によるアラートの発報も考慮したセキュリティ対策を適切に実施することができるようになる。
【0173】
また、本実施形態におけるセキュリティ対策支援方法は、制御システム10のセキュリティ対策を支援するセキュリティ対策支援装置300で実行される方法である。本実施形態におけるセキュリティ対策支援方法は、制御システム10で送受信されるパケットを傍受して解析し、制御システム10で発生した異常を検出して異常を通知するアラートを出力するように構成されたネットワーク監視装置200からアラートを受信するアラート受信ステップと、ネットワーク監視装置200から受信し得るアラートの種別情報に対して、アラートに関連する脅威情報およびIR情報が紐付けられた情報を格納する脅威情報データベース390を参照し、アラート受信ステップで受信したアラートの種別情報に対応する脅威情報を特定する脅威情報特定ステップ(図10中のステップS107)と、脅威情報データベース390を参照し、脅威情報特定ステップで特定した脅威情報に対応するIR情報を特定するIR情報特定ステップ(図10中のステップS113)と、脅威情報特定ステップで特定した脅威情報、およびIR情報特定ステップで特定したIR情報を含む、制御システム10のセキュリティ対策の支援情報を作成する支援情報作成ステップ(図10中のステップS117)と、支援情報作成ステップで作成した支援情報を出力するステップと、を有することを特徴とする。
【0174】
上記の処理によれば、制御システム10で送受信されるパケットを傍受することで、制御システム10の可用性を優先して制御システム10の異常を検出し、異常発生の原因となった外部からの攻撃等の脅威を特定して、当該脅威に関する脅威情報、およびその対応策であるIR情報を含む支援情報を作成して出力することができるようになる。
【0175】
本発明は、上記の実施形態に限定されるものではなく、本発明の技術的思想を逸脱しない範囲における種々の変形例および設計変更等をその技術的範囲に包含するものである。
【符号の説明】
【0176】
10 制御システム
20 フィールドデバイス
30 PLC
40 RTU
50 SCADA
60 ファイアウォール
100 ITネットワーク
200 ネットワーク監視装置
210、330 通信部
220 ネットワークアナライザ
230 異常検出部
231 学習部
232 リンク情報格納部
233 比較部
234 アラート生成部
300 セキュリティ対策支援装置
305 バス
310 プロセッサ
320 メモリ
340 操作入力部
350 モニタ
360 ストレージ
370 アラート処理プログラム
371 アラート解析プログラム
372 脅威情報特定プログラム
373 IR情報特定プログラム
374 誤検知情報特定プログラム
375 支援情報作成プログラム
380 支援情報出力プログラム
390 脅威情報データベース
391 アラート情報テーブル
391a アラート種別カラム
391b アラート名称カラム
391c アラート詳細カラム
391d、394b 誤検知識別カラム
391e、392b 脅威識別カラム
392 脅威情報テーブル
392a 脅威分類カラム
392c ナレッジベース識別カラム
392d ナレッジベース名称カラム
392e 脅威内容カラム
392f リンクカラム
392g、393b IR識別カラム
393 IR情報テーブル
393a IR分類カラム
393c IR技術カラム
393d IR手順カラム
394 誤検知情報テーブル
394a 誤検知分類カラム
394c 誤検知内容カラム
410 アラート受信部
420 アラート処理部
421 アラート解析部
422 脅威情報特定部
423 IR情報特定部
424 誤検知情報特定部
425 支援情報作成部
430 支援情報出力部
20 フィールドデバイス
30 PLC
40 RTU
50 SCADA
60 ファイアウォール
100 ITネットワーク
200 ネットワーク監視装置
210、330 通信部
220 ネットワークアナライザ
230 異常検出部
231 学習部
232 リンク情報格納部
233 比較部
234 アラート生成部
300 セキュリティ対策支援装置
305 バス
310 プロセッサ
320 メモリ
340 操作入力部
350 モニタ
360 ストレージ
370 アラート処理プログラム
371 アラート解析プログラム
372 脅威情報特定プログラム
373 IR情報特定プログラム
374 誤検知情報特定プログラム
375 支援情報作成プログラム
380 支援情報出力プログラム
390 脅威情報データベース
391 アラート情報テーブル
391a アラート種別カラム
391b アラート名称カラム
391c アラート詳細カラム
391d、394b 誤検知識別カラム
391e、392b 脅威識別カラム
392 脅威情報テーブル
392a 脅威分類カラム
392c ナレッジベース識別カラム
392d ナレッジベース名称カラム
392e 脅威内容カラム
392f リンクカラム
392g、393b IR識別カラム
393 IR情報テーブル
393a IR分類カラム
393c IR技術カラム
393d IR手順カラム
394 誤検知情報テーブル
394a 誤検知分類カラム
394c 誤検知内容カラム
410 アラート受信部
420 アラート処理部
421 アラート解析部
422 脅威情報特定部
423 IR情報特定部
424 誤検知情報特定部
425 支援情報作成部
430 支援情報出力部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】