知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024092669
(43)【公開日】2024-07-08
(54)【発明の名称】情報処理装置、情報処理方法、及びプログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240701BHJP
【FI】
G06F21/55 320
【審査請求】未請求
【請求項の数】18
【出願形態】OL
(21)【出願番号】P 2022208773
(22)【出願日】2022-12-26
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】110002044
【氏名又は名称】弁理士法人ブライタス
(72)【発明者】
【氏名】細見 格
(72)【発明者】
【氏名】池田 聡
(72)【発明者】
【氏名】高橋 佑典
(72)【発明者】
【氏名】蛭田 将平
(57)【要約】
【課題】サイバー攻撃を受けたマシン群から収集したログの中から、人手によることなく、インシデントの痕跡を特定する。
【解決手段】情報処理装置10は、サイバー攻撃を受けた計算システムからログの集合を取得し、取得したログの集合から、サイバー攻撃の実行履歴を示す履歴データを用いて、サイバー攻撃の結果を示す痕跡を特定する、痕跡特定部11を備えている。
【選択図】図1
【解決手段】情報処理装置10は、サイバー攻撃を受けた計算システムからログの集合を取得し、取得したログの集合から、サイバー攻撃の実行履歴を示す履歴データを用いて、サイバー攻撃の結果を示す痕跡を特定する、痕跡特定部11を備えている。
【選択図】図1
【特許請求の範囲】
【請求項1】
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定部を備えている、
ことを特徴とする情報処理装置。
ことを特徴とする情報処理装置。
【請求項2】
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行部を、
更に備えている、
請求項1に記載の情報処理装置。
更に備えている、
請求項1に記載の情報処理装置。
【請求項3】
前記履歴データが、前記サイバー攻撃の工程毎の攻撃コマンドを含み、
前記痕跡特定部が、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
請求項1または2に記載の情報処理装置。
前記痕跡特定部が、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
請求項1または2に記載の情報処理装置。
【請求項4】
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定部を、
更に備えている、
請求項1に記載の情報処理装置。
更に備えている、
請求項1に記載の情報処理装置。
【請求項5】
前記正解条件が、痕跡のタイプの組合せで表されており、
前記正解判定部は、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
請求項4に記載の情報処理装置。
前記正解判定部は、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
請求項4に記載の情報処理装置。
【請求項6】
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定部によって特定された痕跡、又は前記正解判定部によって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価部を、
更に備えている、
請求項4に記載の情報処理装置。
更に備えている、
請求項4に記載の情報処理装置。
【請求項7】
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを有する、
ことを特徴とする情報処理方法。
ことを特徴とする情報処理方法。
【請求項8】
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行ステップを、
更に有する、
請求項7に記載の情報処理方法。
更に有する、
請求項7に記載の情報処理方法。
【請求項9】
前記履歴データが、前記サイバー攻撃の工程毎の攻撃コマンドを含み、
前記痕跡特定ステップにおいて、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
請求項7または8に記載の情報処理方法。
前記痕跡特定ステップにおいて、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
請求項7または8に記載の情報処理方法。
【請求項10】
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定ステップを、
更に有する、
請求項7に記載の情報処理方法。
更に有する、
請求項7に記載の情報処理方法。
【請求項11】
前記正解条件が、痕跡のタイプの組合せで表されており、
前記正解判定ステップにおいて、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
請求項10に記載の情報処理方法。
前記正解判定ステップにおいて、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
請求項10に記載の情報処理方法。
【請求項12】
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定ステップによって特定された痕跡、又は前記正解判定ステップによって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価ステップを、
更に有する、
請求項10に記載の情報処理方法。
更に有する、
請求項10に記載の情報処理方法。
【請求項13】
コンピュータに、
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを実行させる、
プログラム。
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを実行させる、
プログラム。
【請求項14】
前記コンピュータに、
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行ステップを、
更に実行させる、
請求項13に記載のプログラム。
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行ステップを、
更に実行させる、
請求項13に記載のプログラム。
【請求項15】
前記履歴データが、前記サイバー攻撃の工程毎の攻撃コマンドを含み、
前記痕跡特定ステップにおいて、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
請求項13または14に記載のプログラム。
前記痕跡特定ステップにおいて、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
請求項13または14に記載のプログラム。
【請求項16】
前記コンピュータに、
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定ステップを、
更に実行させる、
請求項13に記載のプログラム。
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定ステップを、
更に実行させる、
請求項13に記載のプログラム。
【請求項17】
前記正解条件が、痕跡のタイプの組合せで表されており、
前記正解判定ステップにおいて、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
請求項16に記載のプログラム。
前記正解判定ステップにおいて、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
請求項16に記載のプログラム。
【請求項18】
前記コンピュータに、
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定ステップによって特定された痕跡、又は前記正解判定ステップによって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価ステップを、更に実行させる、
請求項16に記載のプログラム。
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定ステップによって特定された痕跡、又は前記正解判定ステップによって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価ステップを、更に実行させる、
請求項16に記載のプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、サイバー攻撃に対する訓練の支援を行うための、情報処理装置、及び情報処理方法に関し、更には、これらを実現するためのプログラムに関する。
【背景技術】
【0002】
近年、組織を標的としたサイバー攻撃により、情報漏洩、事業停止といった被害が増加しており、サイバー攻撃に対する対策の強化が求められている。そして、サイバー攻撃に対する対策を強化するためには、システムのセキュリティ担当者のスキルの向上が不可欠となる。
【0003】
このため、従来から、セキュリティ担当者のスキルを向上させるために、サイバーセキュリティ演習が行われている。特許文献1は、サイバーセキュリティ演習を実行するためのシステムを開示している。特許文献1は、受講者のスキルに合わせてサイバーセキュリティ演習を実施するシステムを提案している。
【0004】
特許文献1に開示されたシステムは、まず、攻撃対象となるマシン群において、各マシンに攻撃実行用プログラムを配備する。そして、特許文献1に開示されたシステムは、予め用意されたシナリオに沿って、各攻撃実行用プログラムを制御し、攻撃対象となるマシン群に対して、サイバー攻撃を実行する。サイバー攻撃が実行されると、受講者は、サイバー攻撃の実行を阻止するための操作を実行する。
【0005】
その後、特許文献1に開示されたシステムは、各マシンから、サイバー攻撃の結果(成功/失敗)を示す攻撃結果ログと、サイバー攻撃中に受講者が行った対応操作を示す操作ログとを収集し、収集したログを表示画面に表示する。これにより、受講者は、自身が行った操作が適切であったかどうかを判断することができる。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2019-191670号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
ところで、サイバー攻撃は、セキュリティ担当者に気付かれないように実行されることが多く、サイバー攻撃の実行時に担当者が対応操作を実行できないことがある。このような場合は、各マシンからログを収集し、収集したログに基づいて、インシデントの痕跡となるログ(以下「攻撃ログ」と表記する)を見つけ出すことが重要となる。
【0008】
従って、上述した特許文献1に開示されたシステムによってサイバー攻撃を実行し、その後、各マシンからログを収集し、収集したログを提示すれば、受講者は、インシデントの痕跡となる攻撃ログを見つけ出す訓練も行うことができる。
【0009】
しかしながら、上述した特許文献1に開示されたシステムでは、収集したログを提示するまでしか行えないため、受講者は、自身が攻撃ログとして抽出したログが本当に攻撃ログに該当するかどうかを自らで調査して判断する必要がある。この場合、受講者にとっては大きな負担である。受講者が効率良くスキルを向上させるためには、収集したログのなから、演習の正解となる攻撃ログを自動的に抽出するシステムが必要となる。
【0010】
本開示の目的の一例は、サイバー攻撃を受けたマシン群から収集したログの中から、人手によることなく、インシデントの痕跡を特定することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本開示の一側面における情報処理装置は、
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定部を備えている、
ことを特徴とする。
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定部を備えている、
ことを特徴とする。
【0012】
また、上記目的を達成するため、本開示の一側面における情報処理方法は、
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを有する、
ことを特徴とする。
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを有する、
ことを特徴とする。
【0013】
更に、上記目的を達成するため、本開示の一側面におけるプログラムは、
コンピュータに、
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを実行させる、
ことを特徴とする。
コンピュータに、
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを実行させる、
ことを特徴とする。
【発明の効果】
【0014】
以上のように本開示によれば、サイバー攻撃を受けたマシン群から収集したログの中から、人手によることなく、インシデントの痕跡を特定することができる。
【図面の簡単な説明】
【0015】
【発明を実施するための形態】
【0016】
【0017】
【0018】
図1に示す、実施の形態1における情報処理装置10は、サイバー攻撃に対する訓練の支援を行うための装置、つまり、サイバー攻撃訓練支援装置である。図1に示すように、情報処理装置10は、痕跡特定部11を備えている。
【0019】
痕跡特定部11は、まず、サイバー攻撃を受けた計算システムからログの集合を取得する。そして、痕跡特定部11は、取得したログの集合から、サイバー攻撃の実行履歴を示す履歴データを用いて、サイバー攻撃の結果を示す痕跡を特定する。
【0020】
このように、情報処理装置10は、ログの集合から、サイバー攻撃の結果を示す痕跡を特定できる。情報処理装置10によれば、サイバー攻撃を受けたマシン群から収集したログの中から、人手によることなく、インシデントの痕跡を特定できる。
【0021】
【0022】
図2に示すように、実施の形態1において、情報処理装置10は、ネットワーク等を介して、計算システム100、攻撃コマンドデータベース101、及び解テンプレートデータベース102にデータ通信可能に接続されている。計算システム100は、多数の端末装置とサーバ装置等で構成されたシステムである。攻撃コマンドデータベース101、及び解テンプレートデータベース102については後述する。
【0023】
また、図2に示すように、情報処理装置10は、上述した痕跡特定部11に加えて、攻撃実行部12と、正解判定部13とを備えている。攻撃実行部12は、計算システム100上で、複数の工程で構成されたサイバー攻撃を実行し、履歴データを生成する。
【0024】
具体的には、攻撃実行部12は、まず、複数の工程で構成されたサイバー攻撃のプロセスを生成し、計算システム100上で、生成したプロセスを実行する。このプロセスの実行により、計算システム100に対して、模擬的なサイバー攻撃が行われることになる。また、サイバー攻撃のプロセスの生成は、国際公開第2020/255359号に開示された技術を用いて行うことができる。
【0025】
上述の技術を用いる場合、攻撃実行部12は、まず、工程の設定数を特定する情報と、シナリオが実行される環境の情報(オペレーティングシステムの種類、攻撃対象のIPアドレス、ネットワークトポロジ等)とを取得する。次に、攻撃実行部12は、各工程で実行可能な処理の要素が登録されたデータベースから、工程毎に、その工程で実行される処理を選択して、標的型攻撃のシナリオを生成する。
【0026】
各工程で実行される処理は、その工程における戦術と、その工程で利用される技術と、その工程の処理の実行に必要なソフトウェアとによって定義され、この戦術、技術、ソフトウェアが、上述した要素に該当する。
【0027】
攻撃実行部12によって上述のプロセスが実行されると、実行履歴が生成される。生成された実行履歴が、履歴データとなる。また、実行履歴には、サイバー攻撃の工程毎の攻撃コマンドが含まれる。
【0028】
痕跡特定部11は、実施の形態1では、まず、模擬的なサイバー攻撃を受けた計算システム100の各端末装置から、ログを収集する。ログの収集は、例えば、CDIR-Collector等の既存のツールを用いることによって行うことができる。
【0029】
続いて、痕跡特定部11は、履歴データを、解テンプレートに照合して、履歴データに含まれる攻撃コマンドによる攻撃の痕跡を示す情報(以下「痕跡情報」と表記する。)を特定する。解テンプレートは、攻撃コマンド毎にその攻撃コマンドによる攻撃の痕跡を示す情報を登録するテンプレートである。解テンプレートデータベース102に格納されている。更に、痕跡特定部11は、特定した情報に基づいて、計算システム100から収集したログの集合から、サイバー攻撃の痕跡を特定する。
【0030】
具体的には、痕跡特定部11は、履歴データに含まれる攻撃コマンドを、攻撃コマンド毎に対応する解テンプレートを登録している攻撃コマンドデータベース101に照合する。攻撃コマンドデータベース101は、攻撃コマンド毎に対応する解テンプレートを登録しているため、痕跡特定部11は、照合により、攻撃コマンドに対応する解テンプレートを選択する。そして、痕跡特定部11は、収集したログの集合に、選択した解テンプレートを適用して、サイバー攻撃の痕跡を特定する。
【0031】
正解判定部13は、痕跡特定部11が特定した痕跡を、予め設定された正解条件に照合し、照合結果に基づいて、特定された痕跡が正解であるかどうかを判定する。正解条件は、実施の形態1では、痕跡のタイプの組合せで表されている。このため、正解判定部13は、特定された痕跡のタイプ全てが、正解条件に表されている組合せに含まれている場合に、抽出された痕跡が正解であると判定する。
【0032】
[装置動作]
次に、実施の形態1における情報処理装置10の動作について図3を用いて説明する。図3は、実施の形態1における情報処理装置の動作を示すフロー図である。以下の説明においては、適宜図1及び図2を参照する。また、実施の形態1では、情報処理装置10を動作させることによって、情報処理方法が実施される。よって、実施の形態1における情報処理方法の説明は、以下の情報処理装置10の動作説明に代える。
次に、実施の形態1における情報処理装置10の動作について図3を用いて説明する。図3は、実施の形態1における情報処理装置の動作を示すフロー図である。以下の説明においては、適宜図1及び図2を参照する。また、実施の形態1では、情報処理装置10を動作させることによって、情報処理方法が実施される。よって、実施の形態1における情報処理方法の説明は、以下の情報処理装置10の動作説明に代える。
【0033】
図3に示すように、最初に、攻撃実行部12が、計算システム100上で、複数の工程で構成されたサイバー攻撃を実行し、履歴データを生成する(ステップA1)。
【0034】
次に、痕跡特定部11は、ステップA1による模擬的なサイバー攻撃を受けた計算システム100の各端末装置から、ログを収集する(ステップA2)。
【0035】
次に、痕跡特定部11は、履歴データに含まれる攻撃コマンドを、攻撃コマンドデータベース101に照合して、攻撃コマンドに対応する解テンプレートを選択する(ステップA3)。
【0036】
次に、痕跡特定部11は、ステップA2で収集したログの集合に、ステップA3で選択した解テンプレートを適用して、ステップA1で実行されたサイバー攻撃の痕跡を特定する(ステップA4)。
【0037】
その後、正解判定部13は、ステップA4で特定された痕跡を、予め設定された正解条件に照合し、照合結果に基づいて、特定された痕跡が正解であるかどうかを判定する(ステップA5)。
【0038】
[具体例]
続いて、図4~図9を用いて、実施の形態1において、情報処理装置10によって行われる処理の具体例について説明する。図4は、計算システムの構成及び履歴データの一例を示す図である。図5は、計算システムから収集されたログの一例を示す図である。図6は、攻撃コマンドデータベースの一例を示す図である。図7は、解テンプレートの一例を示す図である。図8は、特定された痕跡の一例を示す図である。図9は、特定された痕跡が当てはめられた解テンプレートの一例を示す図である。
続いて、図4~図9を用いて、実施の形態1において、情報処理装置10によって行われる処理の具体例について説明する。図4は、計算システムの構成及び履歴データの一例を示す図である。図5は、計算システムから収集されたログの一例を示す図である。図6は、攻撃コマンドデータベースの一例を示す図である。図7は、解テンプレートの一例を示す図である。図8は、特定された痕跡の一例を示す図である。図9は、特定された痕跡が当てはめられた解テンプレートの一例を示す図である。
【0039】
[ステップA1]
具体例では、攻撃実行部12は、図4の上図に示す計算システムに対して、模擬的なサイバー攻撃を実行する。これにより、Client-a4がマルウェアに感染し、更に、Client-a4からClient-a5へとマルウェアの内部感染が発生している。攻撃の後、図4の下図に示す履歴データ(攻撃の実行履歴)が生成される。
具体例では、攻撃実行部12は、図4の上図に示す計算システムに対して、模擬的なサイバー攻撃を実行する。これにより、Client-a4がマルウェアに感染し、更に、Client-a4からClient-a5へとマルウェアの内部感染が発生している。攻撃の後、図4の下図に示す履歴データ(攻撃の実行履歴)が生成される。
【0040】
図4に示すように、履歴データには、実行履歴のID、攻撃コマンドのID、攻撃対象マシン名、攻撃の実行時間(開始、終了)、マルウェア名、攻撃実行の引数(操作対象ファイル、アクセス先IPアドレス等)が含まれている。実行履歴のIDは、攻撃の工程毎に付与されているIDである。
【0041】
[ステップA2]
痕跡特定部11は、CDIR-Collectorを用いて、図4に示した計算システムの各端末装置から、図5に示すログを収集する。図5の例では、マルウェアに感染したClient-a4とClient-a5のログが収集されている。
痕跡特定部11は、CDIR-Collectorを用いて、図4に示した計算システムの各端末装置から、図5に示すログを収集する。図5の例では、マルウェアに感染したClient-a4とClient-a5のログが収集されている。
【0042】
【0043】
具体的には、痕跡特定部11は、図4に示す実行履歴のID「H01」にある攻撃コマンドのID「C02」を用いて、図5に示す攻撃コマンドデータベース101の該当箇所から解テンプレートのID「T02」を特定する。同様に、痕跡特定部11は、図4に示す実行履歴のID「H02」にある攻撃コマンドのID「C01」を用いて、攻撃コマンドデータベース101の該当箇所から解テンプレートのID「T01」を特定する。
【0044】
【0045】
具体的には、痕跡特定部11は、選択した解テンプレート中の変数(“#{…}”)を用いて、履歴データから、対応する情報(攻撃対象のホストマシン名、攻撃コマンドの引数、攻撃の実行時間など)を抽出し、抽出した情報をクエリとする。
【0046】
そして、痕跡特定部11は、このクエリを用いて、ログの集合から対応するデータを抽出する。本具体例では、図5における太字のデータが抽出される。また、痕跡特定部11は、選択した解テンプレート中の残りの変数(該当する戦術、痕跡のタイプ等)を抽出し、そして、先にログの集合から抽出したデータから、抽出した変数に対応する値を抽出する。このようにして、抽出された全ての値が、図8に示すサイバー攻撃の痕跡となる。ステップA4で特定された痕跡をステップA3で選択された解テンプレートに当てはめた結果が図9に示す例となる。
【0047】
[ステップA5]
正解判定部13は、ステップA4で特定された痕跡が、予め設定された正解条件のいずれかを満たしているかどうかを判定する。正解条件は、図7及び図9に示された各解テンプレートにおける「condition」の値として定義されている。図7及び図9において、解テンプレート(1)では、正解条件は、痕跡のタイプで表現されている。解テンプレート(2)では、正解条件は、解テンプレートに記載された痕跡のタイプを組み合わせることによって表現されている。
正解判定部13は、ステップA4で特定された痕跡が、予め設定された正解条件のいずれかを満たしているかどうかを判定する。正解条件は、図7及び図9に示された各解テンプレートにおける「condition」の値として定義されている。図7及び図9において、解テンプレート(1)では、正解条件は、痕跡のタイプで表現されている。解テンプレート(2)では、正解条件は、解テンプレートに記載された痕跡のタイプを組み合わせることによって表現されている。
【0048】
そして、正解判定部13は、正解条件を満たす痕跡と攻撃対象となった端末のログとの組を、サイバー攻撃の演習用のコンテンツとして出力する。一方、正解判定部13は、正解条件を満たしていない痕跡については、解を自動で取得できないことから、演習に使えないとして、ログと共に棄却する。
【0049】
このように、情報処理装置10によれば、サイバー攻撃を受けたマシン群から収集したログの中から、人手によることなく、インシデントの痕跡を特定でき、サイバー攻撃の演習用のコンテンツを自動的に生成できる。また、情報処理装置10によれば、演習用のコンテンツの正解も自動的に生成できる。
【0050】
[プログラム]
実施の形態1におけるプログラムは、コンピュータに、図3に示すステップA1~A6を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報処理装置10と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、痕跡特定部11、攻撃実行部12、及び正解判定部13として機能し、処理を行なう。コンピュータとしては、汎用のPCの他に、スマートフォン、タブレット型端末装置が挙げられる。
実施の形態1におけるプログラムは、コンピュータに、図3に示すステップA1~A6を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報処理装置10と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、痕跡特定部11、攻撃実行部12、及び正解判定部13として機能し、処理を行なう。コンピュータとしては、汎用のPCの他に、スマートフォン、タブレット型端末装置が挙げられる。
【0051】
また、実施の形態1におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、痕跡特定部11、攻撃実行部12、及び正解判定部13のいずれかとして機能しても良い。
【0052】
【0053】
【0054】
図10に示す、実施の形態2における情報処理装置20は、図1及び図2に示した実施の形態1における情報処理装置10と同様に、サイバー攻撃に対する訓練の支援を行うための装置、つまり、サイバー攻撃訓練支援装置である。
【0055】
図10に示すように、実施の形態2における情報処理装置20は、痕跡特定部11、攻撃実行部12、及び正解判定部13を備えており、この点で、情報処理装置10と同様に構成されている。但し、実施の形態2においては、情報処理装置20は、更に、外部情報評価部21も備えている。以下、実施の形態1との相違点を中心に説明する。
【0056】
外部情報評価部21は、外部情報として入力された1以上のサイバー攻撃の痕跡と、痕跡特定部11によって特定された痕跡、又は正解判定部13によって正解と判定された痕跡と、を照合する。そして、外部情報評価部21は、照合の結果から、双方の痕跡が整合する割合を算出し、算出した割合をスコアに設定する。なお、実施の形態2では、算出した割合をそのまま用いることでスコアが算出されているが、スコアの算出手法は別の手法であっても良い。
【0057】
具体的には、外部情報評価部21は、外部情報として、受講者のサイバーセキュリティ演習の解答を受け取る。解答には、複数の痕跡が含まれており、各痕跡は、項目として、例えば、受講者が発見した攻撃の痕跡の場所、日時、アーティファクト(痕跡の対象)、痕跡が示す攻撃の内容、攻撃の目的等を含む。また、受講者は、端末装置の画面に表示された解答入力フォームに、自身の解答を入力することができる。この場合、端末装置は、解答入力フォームに入力された解答を、情報処理装置20に送信する。
【0058】
次に、外部情報評価部21は、解答と、痕跡特定部11によって特定された痕跡又は正解判定部13によって正解と判定された痕跡とを、各項目が一致しているかどうかを判定する。そして、外部情報評価部21は、例えば、解答に含まれる痕跡のうち、全項目が一致している痕跡の割合を算出し、算出した割合をスコアとする。
【0059】
[装置動作]
次に、実施の形態2における情報処理装置10の動作について図11を用いて説明する。図11は、実施の形態2における情報処理装置の動作を示すフロー図である。以下の説明においては、適宜図10を参照する。また、実施の形態2では、情報処理装置20を動作させることによって、情報処理方法が実施される。よって、実施の形態2における情報処理方法の説明は、以下の情報処理装置20の動作説明に代える。
次に、実施の形態2における情報処理装置10の動作について図11を用いて説明する。図11は、実施の形態2における情報処理装置の動作を示すフロー図である。以下の説明においては、適宜図10を参照する。また、実施の形態2では、情報処理装置20を動作させることによって、情報処理方法が実施される。よって、実施の形態2における情報処理方法の説明は、以下の情報処理装置20の動作説明に代える。
【0060】
図11に示すように、最初に、攻撃実行部12が、計算システム100上で、複数の工程で構成されたサイバー攻撃を実行し、履歴データを生成する(ステップB1)。
【0061】
次に、痕跡特定部11は、ステップB1による模擬的なサイバー攻撃を受けた計算システム100の各端末装置から、ログを収集する(ステップB2)。
【0062】
次に、痕跡特定部11は、履歴データに含まれる攻撃コマンドを、攻撃コマンドデータベース101に照合して、攻撃コマンドに対応する解テンプレートを選択する(ステップB3)。
【0063】
次に、痕跡特定部11は、ステップB2で収集したログの集合に、ステップB3で選択した解テンプレートを適用して、ステップB1で実行されたサイバー攻撃の痕跡を特定する(ステップB4)。
【0064】
次に、正解判定部13は、ステップB4で特定された痕跡を、予め設定された正解条件に照合し、照合結果に基づいて、特定された痕跡が正解であるかどうかを判定する(ステップB5)。なお、上述したステップB1~B5は、図3に示したステップA1~A5と同様のステップである。
【0065】
次に、外部情報評価部21は、外部情報として、受講者のサイバーセキュリティ演習の解答を受け取る(ステップB6)。具体的には、例えば、受講者の端末装置等が、インターネットを介して、演習の解答を送信するため、ステップB6では、外部情報評価部21は、送信されてきた解答を受け取る。
【0066】
次に、外部情報評価部21は、ステップB6で受け取った演習の解答と、ステップB4で特定された痕跡、又はステップB5で正解と判定された痕跡と、を照合し、スコアとして、双方の痕跡が整合する割合を算出する(ステップB7)。
【0067】
その後、外部情報評価部21は、ステップB7で算出したスコアを、受講者の端末装置等に送信して、受講者にスコアを提示する(ステップB8)。
【0068】
[具体例]
続いて、図12を用いて、実施の形態2において、情報処理装置10によって行われる処理の具体例について説明する。図12は、受講者の解答の一例、特定された痕跡の一例、スコア算出のためのテーブルの一例を示す図である。
また、以下の具体例では、主にステップB6及びB7について説明する。
続いて、図12を用いて、実施の形態2において、情報処理装置10によって行われる処理の具体例について説明する。図12は、受講者の解答の一例、特定された痕跡の一例、スコア算出のためのテーブルの一例を示す図である。
また、以下の具体例では、主にステップB6及びB7について説明する。
【0069】
まず、受講者は、端末装置の画面に表示された解答入力フォームに、自信の解答を入力する。図12の上段は、解答が入力された解答入力フォームの一例を示している。解答入力フォームは、項目として、受講者が発見した攻撃の痕跡の場所、日時、アーティファクト、及び攻撃の目的を含んでいる。
【0070】
また、ステップB4で特定された痕跡は、図12の中段に示す通りとなる。痕跡は、項目として、受講者が発見した攻撃の痕跡の場所、日時、アーティファクト、攻撃の目的、及び攻撃内容を含んでいる。本具体例では、攻撃の目的の値は、正解条件(図9参照)における「tactic」の値を、Tactic-目的対応テーブル(図12の下段)を用いて変換することによって得られている。攻撃内容の値は、特定された痕跡(図8参照)のartifact_group_idの値から得られている。
【0071】
外部情報評価部21は、図12の上段に示す解答入力フォームのレコード毎に、レコードに含まれる各項目の値が、図12の中段に示す痕跡の対応する項目の値と一致しているかどうかを判定し、全ての項目の値が一致するレコードを特定する。判定の結果、3つのレコードのうち2つのレコードでは項目の値が全て一致しているので、外部情報評価部21は、スコアとして、67(≒2/3×100)点を算出する。その後、外部情報評価部21は、算出したスコアを、受講者の端末装置に送信して、受講者にスコアを提示する。
【0072】
このように、情報処理装置20は、演習用のコンテンツに対して受講者が解答をした場合に、解答について評価を行うことができる。情報処理装置20によれば、受講者は、サイバーセキュリティ演習による学習を自身ですすめることができる。
【0073】
[プログラム]
実施の形態2におけるプログラムは、コンピュータに、図11に示すステップB1~B8を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報処理装置20と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、痕跡特定部11、攻撃実行部12、正解判定部13、及び外部情報評価部21として機能し、処理を行なう。コンピュータとしては、汎用のPCの他に、スマートフォン、タブレット型端末装置が挙げられる。
実施の形態2におけるプログラムは、コンピュータに、図11に示すステップB1~B8を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報処理装置20と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、痕跡特定部11、攻撃実行部12、正解判定部13、及び外部情報評価部21として機能し、処理を行なう。コンピュータとしては、汎用のPCの他に、スマートフォン、タブレット型端末装置が挙げられる。
【0074】
また、実施の形態2におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、痕跡特定部11、攻撃実行部12、正解判定部13、及び外部情報評価部21のいずれかとして機能しても良い。
【0075】
(効果)
以上のように、実施の形態1及び2によれば、サイバーセキュリティ演習のための演習問題と正解とを自動的に生成できるので、演習のための準備期間と運用コストとを削減できる。また、演習問題と正解とを作成する際の人的なコストも削減できる。これらの結果、多数の受講者に対して、それぞれ異なる演習コンテンツを提供することが可能となる。
以上のように、実施の形態1及び2によれば、サイバーセキュリティ演習のための演習問題と正解とを自動的に生成できるので、演習のための準備期間と運用コストとを削減できる。また、演習問題と正解とを作成する際の人的なコストも削減できる。これらの結果、多数の受講者に対して、それぞれ異なる演習コンテンツを提供することが可能となる。
【0076】
また、上述したように、コストを削減できるため、同じ受講者に対して、繰り返し演習問題と正解とを提供できる。つまり、新しい演習問題と正解とを、簡単且つ容易に生成できるため、一度演習を受講した受講者に対して、類似の新たな演習を提供できる。よって、受講者は、再受講する形で復習でき、より確実にスキルを習得できる。
【0077】
更に、例えば、定期的に、同じ受講者に対して、毎回異なる演習問題での演習を実施することで、スキルの向上は確実となる。毎回、同じ演習問題であると、受講者は、正解を覚えたり、前回実施時に残したメモを利用できたりするので、受講者の本当の対応能力を測れないという問題が生じる。しかし、実施の形態1及び2によれば、そのような問題は生じない。また、定期的・継続的な演習サービスが低コストで可能になることで、持続的な収益を得られるビジネスが可能になる。
【0078】
また、実施の形態1及び2によれば、以前実行したものと同じ演習問題と正解とにおいて、日時のみを更新して、新たな演習問題及び正解とすることもできる。例えば、過去に実行された模擬的なサイバー攻撃を再度実行し、改めてログを収集して痕跡を生成すれば、演習の実施日に近い日時の最新の演習問題及び正解が自動で生成される。
【0079】
(物理構成)
ここで、実施の形態1及び2におけるプログラムを実行することによって、情報処理装置を実現するコンピュータについて図13を用いて説明する。図13は、実施の形態1及び2における情報処理装置を実現するコンピュータの一例を示すブロック図である。
ここで、実施の形態1及び2におけるプログラムを実行することによって、情報処理装置を実現するコンピュータについて図13を用いて説明する。図13は、実施の形態1及び2における情報処理装置を実現するコンピュータの一例を示すブロック図である。
【0080】
図13に示すように、コンピュータ110は、CPU(Central Processing Unit)111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
【0081】
また、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていても良い。この態様では、GPU又はFPGAが、実施の形態におけるプログラムを実行することができる。
【0082】
CPU111は、記憶装置113に格納された、コード群で構成された実施の形態におけるプログラムをメインメモリ112に展開し、各コードを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。
【0083】
また、実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
【0084】
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
【0085】
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
【0086】
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記録媒体、又はCD-ROM(Compact Disk Read Only Memory)などの光学記録媒体が挙げられる。
【0087】
なお、実施の形態における情報処理装置は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェア、例えば、電子回路を用いることによっても実現可能である。更に、情報処理装置は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。実施の形態において、コンピュータは、図13に示すコンピュータに限定されることはない。
【0088】
上述した実施の形態の一部又は全部は、以下に記載する(付記1)~(付記18)によって表現することができるが、以下の記載に限定されるものではない。
【0089】
(付記1)
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定部を備えている、
ことを特徴とする情報処理装置。
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定部を備えている、
ことを特徴とする情報処理装置。
【0090】
(付記2)
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行部を、
更に備えている、
付記1に記載の情報処理装置。
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行部を、
更に備えている、
付記1に記載の情報処理装置。
【0091】
(付記3)
前記履歴データが、前記サイバー攻撃の工程毎の攻撃コマンドを含み、
前記痕跡特定部が、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
付記1または2に記載の情報処理装置。
前記履歴データが、前記サイバー攻撃の工程毎の攻撃コマンドを含み、
前記痕跡特定部が、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
付記1または2に記載の情報処理装置。
【0092】
(付記4)
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定部を、
更に備えている、
付記1に記載の情報処理装置。
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定部を、
更に備えている、
付記1に記載の情報処理装置。
【0093】
(付記5)
前記正解条件が、痕跡のタイプの組合せで表されており、
前記正解判定部は、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
付記4に記載の情報処理装置。
前記正解条件が、痕跡のタイプの組合せで表されており、
前記正解判定部は、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
付記4に記載の情報処理装置。
【0094】
(付記6)
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定部によって特定された痕跡、又は前記正解判定部によって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価部を、
更に備えている、
付記4に記載の情報処理装置。
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定部によって特定された痕跡、又は前記正解判定部によって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価部を、
更に備えている、
付記4に記載の情報処理装置。
【0095】
(付記7)
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを有する、
ことを特徴とする情報処理方法。
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを有する、
ことを特徴とする情報処理方法。
【0096】
(付記8)
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行ステップを、
更に有する、
付記7に記載の情報処理方法。
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行ステップを、
更に有する、
付記7に記載の情報処理方法。
【0097】
(付記9)
前記履歴データが、前記サイバー攻撃の工程毎の攻撃コマンドを含み、
前記痕跡特定ステップにおいて、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
付記7または8に記載の情報処理方法。
前記履歴データが、前記サイバー攻撃の工程毎の攻撃コマンドを含み、
前記痕跡特定ステップにおいて、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
付記7または8に記載の情報処理方法。
【0098】
(付記10)
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定ステップを、
更に有する、
付記7に記載の情報処理方法。
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定ステップを、
更に有する、
付記7に記載の情報処理方法。
【0099】
(付記11)
前記正解条件が、痕跡のタイプの組合せで表されており、
前記正解判定ステップにおいて、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
付記10に記載の情報処理方法。
前記正解条件が、痕跡のタイプの組合せで表されており、
前記正解判定ステップにおいて、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
付記10に記載の情報処理方法。
【0100】
(付記12)
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定ステップによって特定された痕跡、又は前記正解判定ステップによって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価ステップを、
更に有する、
付記10に記載の情報処理方法。
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定ステップによって特定された痕跡、又は前記正解判定ステップによって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価ステップを、
更に有する、
付記10に記載の情報処理方法。
【0101】
(付記13)
コンピュータに、
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを実行させる、
プログラム。
コンピュータに、
サイバー攻撃を受けた計算システムからログの集合を取得し、取得した前記ログの集合から、前記サイバー攻撃の実行履歴を示す履歴データを用いて、前記サイバー攻撃の結果を示す痕跡を特定する、痕跡特定ステップを実行させる、
プログラム。
【0102】
(付記14)
前記コンピュータに、
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行ステップを、
更に実行させる、
付記13に記載のプログラム。
前記コンピュータに、
前記計算システム上で、複数の工程で構成されたサイバー攻撃を実行し、そして、前記履歴データを生成する、攻撃実行ステップを、
更に実行させる、
付記13に記載のプログラム。
【0103】
(付記15)
前記履歴データが、前記サイバー攻撃の工程毎の攻撃コマンドを含み、
前記痕跡特定ステップにおいて、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
付記13または14に記載のプログラム。
前記履歴データが、前記サイバー攻撃の工程毎の攻撃コマンドを含み、
前記痕跡特定ステップにおいて、
前記履歴データを、攻撃コマンド毎に当該攻撃コマンドによる攻撃の痕跡を示す情報が登録されているテンプレートに照合して、前記履歴データに含まれる前記攻撃コマンドによる攻撃の痕跡を示す情報を特定し、特定した前記情報に基づいて、前記ログの集合から、前記サイバー攻撃の痕跡を特定する、
付記13または14に記載のプログラム。
【0104】
(付記16)
前記コンピュータに、
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定ステップを、
更に実行させる、
付記13に記載のプログラム。
前記コンピュータに、
特定された前記痕跡を予め設定された正解条件に照合し、照合結果に基づいて、特定された前記痕跡が正解であるかどうかを判定する、正解判定ステップを、
更に実行させる、
付記13に記載のプログラム。
【0105】
(付記17)
前記正解条件が、痕跡のタイプの組合せで表されており、
前記正解判定ステップにおいて、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
付記16に記載のプログラム。
前記正解条件が、痕跡のタイプの組合せで表されており、
前記正解判定ステップにおいて、特定された前記痕跡のタイプ全てが、前記正解条件に表されている前記組合せに含まれている場合に、特定された前記痕跡が正解であると判定する、
付記16に記載のプログラム。
【0106】
(付記18)
前記コンピュータに、
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定ステップによって特定された痕跡、又は前記正解判定ステップによって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価ステップを、更に実行させる、
付記16に記載のプログラム。
前記コンピュータに、
外部情報として入力された1以上のサイバー攻撃の痕跡と、前記痕跡特定ステップによって特定された痕跡、又は前記正解判定ステップによって正解と判定された痕跡と、を照合し、双方の痕跡が整合する割合に基づいて、スコアを算出する、外部情報評価ステップを、更に実行させる、
付記16に記載のプログラム。
【産業上の利用可能性】
【0107】
以上のように本開示によれば、サイバー攻撃を受けたマシン群から収集したログの中から、人手によることなく、インシデントの痕跡を特定することができる。本開示は、サイバー攻撃に対する訓練を行うシステムに有用である。
【符号の説明】
【0108】
10 情報処理装置(実施の形態1)
11 痕跡特定部
12 攻撃実行部
13 正解判定部
20 情報処理装置
21 外部情報評価部
100 計算システム
101 攻撃コマンドデータベース
102 解テンプレートデータベース
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
11 痕跡特定部
12 攻撃実行部
13 正解判定部
20 情報処理装置
21 外部情報評価部
100 計算システム
101 攻撃コマンドデータベース
102 解テンプレートデータベース
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】