ホーム > 特許ランキング > 株式会社日立システムズ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-07-13
(45)【発行日】2022-07-22
(54)【発明の名称】複数組織間の脅威情報共有システム及び方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20220714BHJP
【FI】
G06F21/57
【請求項の数】
4
(21)【出願番号】P 2018080132
(22)【出願日】2018-04-18
(65)【公開番号】P2019191657
(43)【公開日】2019-10-31
【審査請求日】2021-04-16
(73)【特許権者】
【識別番号】000233491
【氏名又は名称】株式会社日立システムズ
(74)【代理人】
【識別番号】110000062
【氏名又は名称】特許業務法人第一国際特許事務所
(72)【発明者】
【氏名】福島 寛人
【審査官】松崎 孝大
(56)【参考文献】
【文献】特開2014-174678(JP,A)
【文献】特開2017-162243(JP,A)
【文献】特開2017-167695(JP,A)
【文献】特表2018-508918(JP,A)
【文献】米国特許出願公開第2014/0007238(US,A1)
【文献】米国特許出願公開第2017/0142147(US,A1)
【文献】米国特許第09338175(US,B1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
セキュリティ脅威情報の報告を受付けるセキュリティ脅威情報受付手段と、
前記セキュリティ脅威情報受付手段により報告を受け付けた前記セキュリティ脅威情報を特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し保管する記憶手段と、
前記セキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する評価実施手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を情報購入者へ提供するセキュリティ脅威情報提供手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段と、
を有する 複数組織間の脅威情報共有システムであって、
前記有用度の評価を実施する評価実施手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)~(6)の判定・評価指標の一つ以上、および以下の(7)の判定・評価指標からなる価値・評価部を含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する攻撃内容重要度価値・評価部
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する後続攻撃報告有無価値・評価部
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する攻撃内容確認可否価値・評価部
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する他の報告者によるアップデート有無価値・評価部
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される情報購入者による点数評価のフィードバック価値・評価部
前記評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能とする
ことを特徴とする複数組織間の脅威情報共有システム。
【請求項2】
請求項1に記載された複数組織間の脅威情報共有システムにおいて、前記セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段は、前記セキュリティ脅威情報をもとに、特定セキュリティアプライアンス製品向け設定情報である設定ファイル及び設定コマンドを生成し、チェック・ポイントのセキュリティアプライアンスの設定を更新する生成部を含む、
ことを特徴とする複数組織間の脅威情報共有システム。
【請求項3】
セキュリティ脅威情報の報告を受付けるステップと、
前記セキュリティ脅威情報の報告を受付けるステップにより報告を受け付けたセキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施するステップと、
前記有用度の評価を実施するステップにより評価された前記セキュリティ脅威情報を情報購入者へ提供するステップと、
前記有用度の評価を実施するステップにより評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力するステップと、
を有する複数組織間の脅威情報共有システムにおける方法であって、
前記有用度の評価を実施するステップは、前記セキュリティ脅威情報の価値を評価し、以下(1)~(6)の価値・評価指標の一つ以上、および以下の(7)の価値・評価指標からなる価値・評価ステップを含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する価値・評価ステップ
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する価値・評価ステップ
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する価値・評価ステップ
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する価値・評価ステップ
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する価値・評価ステップ
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する価値・評価ステップ
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される価値・評価ステップ
前記価値・評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能と する
ことを特徴とする複数組織間の脅威情報共有システムにおける方法。
【請求項4】
請求項3に記載された複数組織間の脅威情報共有システムにおける方法において、前記セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力するステップは、前記セキュリティ脅威情報をもとに、特定セキュリティアプライアンス製品向け設定情報である設定ファイル及び設定コマンドを生成し、チェック・ポイントのセキュリティアプライアンスの設定を更新するステップを含む、
ことを特徴とする複数組織間の脅威情報共有システムにおける方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータやネットワークのセキュリティを脅かすセキュリティ脅威情報を複数の組織などの間で共有可能な複数組織間の脅威情報共有システム及び方法に関する。
【背景技術】
【0002】
様々なモノがネットワークにつながるデジタル化が進展する中、セキュリティ脅威に対する対応は益々重要度が高まっている。
係るセキュリティ脅威に対して、従来は、各セキュリティベンダが個別に観測したネット攻撃内容について、専門家のセキュリティアナリストによる手作業や自動的な脅威評価技術を用いて攻撃を分析し、各社の脅威情報(セキュリティインテリジェンス情報)を利用者に対してサービスとして提供し、対応している。
係るセキュリティ脅威に対して、従来は、各セキュリティベンダが個別に観測したネット攻撃内容について、専門家のセキュリティアナリストによる手作業や自動的な脅威評価技術を用いて攻撃を分析し、各社の脅威情報(セキュリティインテリジェンス情報)を利用者に対してサービスとして提供し、対応している。
【0003】
また、セキュリティ脅威情報を複数の製品の間で共有するものとして、特表2010-521749号公報(特許文献1)、に記載された技術があり、また、組織を横断したグループなどの間で共有するものとして、特表2015-524585号公報(特許文献2)に記載された技術がある。 この特許文献1には、「企業セキュリティ環境内の複数のエンドポイント間でセキュリティ関連情報を共有可能にするセキュリティ関連情報共有モデルであって、エンドポイントに使用できるセキュリティ関連情報の意味抽象を使用して前記環境内のオブジェクトを説明するステップであって、前記意味抽象はi)タイプ別に分類され、ii)前記エンドポイントによって共通に使用可能であるステップと、公開及び同意モデルを使用するステップであって、その公開及び同意モデルによって、公開する側のエンドポイントは、同意する側のエンドポイントが同意する前記意味抽象を、前記意味抽象タイプに基づく同意に従って公開するステップを含む方法を使用しやすくすることを特徴とするモデル」という記載があり、 特許文献2には、「コンピュータによって実行される方法であって、セキュリティ・サービスが、クライアント・エンティティから成るグループを形成するための1つまたは複数のセキュア機構を提供するステップであって、各クライアント・エンティティは異なるセキュリティ組織に関連付けられている、ステップと、 前記セキュリティ・サービスが、前記グループ内のクライアント・エンティティのセキュリティ情報を前記グループ内の1つまたは複数の他のクライアント・エンティティと自動的に共有するステップと、を含むことを特徴とする方法。」という記載がある。
【先行技術文献】
【特許文献】
【0004】
【文献】特表2010-521749号公報
【文献】特表2015-524585号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1及び特許文献2では、セキュリティ脅威情報を共有しているので、セキュリティ脅威への対処とセキュリティ分野の健全な発展に寄与することができるが、複数のセキュリティ組織、製品間でのセキュリティ脅威情報の共有に留まる。
つまり、上記従来技術を含め、現状、以下のような課題がある。
(1)攻撃を受けた企業が情報を共有するモチベーションとなるインセンティブが存在しない。
(2)企業は、契約先のセキュリティベンダから攻撃を観測したセキュリティ脅威情報の提供を受けることができるが、様々な攻撃情報を網羅するためには、複数のセキュリティベンダと契約し、脅威情報を購入する必要がある。
つまり、上記従来技術を含め、現状、以下のような課題がある。
(1)攻撃を受けた企業が情報を共有するモチベーションとなるインセンティブが存在しない。
(2)企業は、契約先のセキュリティベンダから攻撃を観測したセキュリティ脅威情報の提供を受けることができるが、様々な攻撃情報を網羅するためには、複数のセキュリティベンダと契約し、脅威情報を購入する必要がある。
【0006】
そこで、本発明では、セキュリティ脅威情報の提供者のモチベーション向上につなげることができ、セキュリティ脅威情報の共有をスピーディに進めることができ、インシデント防止に貢献できる技術を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、代表的な本発明の複数組織間の脅威情報共有システム及び方法の一つは、
セキュリティ脅威情報の報告を受付けるセキュリティ脅威情報受付手段と、
前記セキュリティ脅威情報受付手段により報告を受け付けた前記セキュリティ脅威情報を特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し保管する記憶手段と、
前記セキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する評価実施手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を情報購入者へ提供するセキュリティ脅威情報提供手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段と、
を有する複数組織間の脅威情報共有システムであって、
前記有用度の評価を実施する評価実施手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)~(6)の判定・評価指標の一つ以上、および以下の(7)の判定・評価指標からなる価値・評価部を含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する攻撃内容重要度価値・評価部
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する後続攻撃報告有無価値・評価部
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する攻撃内容確認可否価値・評価部
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する他の報告者によるアップデート有無価値・評価部
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される情報購入者による点数評価のフィードバック価値・評価部
前記評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能とする
ことを特徴とする。
セキュリティ脅威情報の報告を受付けるセキュリティ脅威情報受付手段と、
前記セキュリティ脅威情報受付手段により報告を受け付けた前記セキュリティ脅威情報を特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し保管する記憶手段と、
前記セキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する評価実施手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を情報購入者へ提供するセキュリティ脅威情報提供手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段と、
を有する複数組織間の脅威情報共有システムであって、
前記有用度の評価を実施する評価実施手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)~(6)の判定・評価指標の一つ以上、および以下の(7)の判定・評価指標からなる価値・評価部を含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する攻撃内容重要度価値・評価部
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する後続攻撃報告有無価値・評価部
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する攻撃内容確認可否価値・評価部
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する他の報告者によるアップデート有無価値・評価部
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される情報購入者による点数評価のフィードバック価値・評価部
前記評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能とする
ことを特徴とする。
【発明の効果】
【0008】
本発明によれば、セキュリティ脅威情報の提供者のモチベーション向上につなげることができ、セキュリティ脅威情報の共有をスピーディに進めることができ、インシデント防止に貢献できる。
上記以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
上記以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0009】
【図1】複数組織間の脅威情報共有システムの構成例を示すブロック図。
【発明を実施するための形態】
【0010】
図1は、複数組織間の脅威情報共有システム3の構成例を示すブロック図である。
複数組織間の脅威情報共有システム3はサーバ30からなる。サーバ30は、脅威情報報告プラットフォーム31、記憶装置32、価値評価装置33、脅威情報提供プラットフォーム34、セキュリティアプライアンス設定ファイル自動生成装置35、を有する。
複数組織間の脅威情報共有システム3はサーバ30からなる。サーバ30は、脅威情報報告プラットフォーム31、記憶装置32、価値評価装置33、脅威情報提供プラットフォーム34、セキュリティアプライアンス設定ファイル自動生成装置35、を有する。
【0011】
脅威情報報告プラットフォーム31は、攻撃観測者端末1から提供されるセキュリティ脅威情報(例えば、ランサムウェア、標的型メール攻撃、内部不正、ウェブサイト改善)の報告を受け付け、当該報告されたセキュリティ脅威情報を、特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し、記憶装置32のセキュリティ脅威情報データベースに保管する。その変換例としては、例えば、STIX言語、OpenIOCといった標準規格を利用するとよい。STIX言語(データに記録される内容は、例えば、「https://www.ipa.go.jp/security/vuln/STIX.htmlの2. STIX言語」に記載されている。
【0012】
キュリティ脅威情報の報告は、特定のセキュリティ製品により生成された観測結果や、被害環境の調査により発見された痕跡から、攻撃を観測したセキュリティアナリストによりなされるものであり、攻撃観測者端末1を介して脅威情報報告プラットフォーム31に報告される。
【0013】
価値評価装置33は、脅威情報に対する評価を行うものであり、演算装置(制御装置)331(図2参照)を含み、攻撃観測者端末1を介して報告されたセキュリティ脅威情報に対し、所望の評価関数f(x)を用いて、提供された脅威情報に対する有用度の評価を実施し、その結果を脅威情報提供プラットフォーム34へ出力する。
「評価関数」は、各「指標」を数値化するための関数と、数値化された各「指標」に重みづけした上で採点するための関数の2種類があり、以下のような考え方である。なお、算出のための以下の計算式は一例として提示しているものであり、他の計算方法も可能である。
「指標」数値化のための関数
攻撃の新規性を算出する関数をf1、同一攻撃の報告数をx1と置いて、以下のように表す。
[式1]
f1(x1) = 10 / (log2(x1)+1)
初めて報告された攻撃の場合は、以下のようになる。
[式2]
f1(1) = 10 / (log2(1)+1) = 10
同様に、複数回報告された攻撃の場合(きりが良い結果となるようx1=16)以下のようになる。
[式3]
f1(16) = 10 / (log2(16)+1) = 2
各「指標」に対して、同様にf1(x1), f2(x2), f3(x3), …, fN(xN)として数値化する。
数値化された指標がどの程度脅威情報の有用度に影響があるかに応じて重みw(w1, w2, w3, …, wN)を定義する。
これらの数値化した指標及び重みを用いて、脅威情報の有用度評価関数f(x)を以下のように表す。
[式4]
f(x) = f1(x1) × w1 + f2(x2) × w2 + f3(x3) × w3 + …fN(xN) × wN
有用度の評価は、例えば、以下の(1)~(7)に示す指標のうち一つ以上を用いて、攻撃観測者端末1から報告されるセキュリティ脅威情報に対する評価を行い、攻撃観測者端末1からの報告者(提供者)に対する報酬の算出に利用できるようにする。
セキュリティ脅威情報の各評価は、記憶装置32に記憶した各指標情報(攻撃元アドレス)例えば、攻撃元の新規性、攻撃手段の新規性、攻撃内容の重要度、同一手段による多組織に対する後続攻撃の報告有無、攻撃内容の確認が可能な資料を参照する。価値評価装置33の演算装置(制御装置)331は、内部に格納されたプログラムに従って、価値評価の処理を実行する。
「評価関数」は、各「指標」を数値化するための関数と、数値化された各「指標」に重みづけした上で採点するための関数の2種類があり、以下のような考え方である。なお、算出のための以下の計算式は一例として提示しているものであり、他の計算方法も可能である。
「指標」数値化のための関数
攻撃の新規性を算出する関数をf1、同一攻撃の報告数をx1と置いて、以下のように表す。
[式1]
f1(x1) = 10 / (log2(x1)+1)
初めて報告された攻撃の場合は、以下のようになる。
[式2]
f1(1) = 10 / (log2(1)+1) = 10
同様に、複数回報告された攻撃の場合(きりが良い結果となるようx1=16)以下のようになる。
[式3]
f1(16) = 10 / (log2(16)+1) = 2
各「指標」に対して、同様にf1(x1), f2(x2), f3(x3), …, fN(xN)として数値化する。
数値化された指標がどの程度脅威情報の有用度に影響があるかに応じて重みw(w1, w2, w3, …, wN)を定義する。
これらの数値化した指標及び重みを用いて、脅威情報の有用度評価関数f(x)を以下のように表す。
[式4]
f(x) = f1(x1) × w1 + f2(x2) × w2 + f3(x3) × w3 + …fN(xN) × wN
有用度の評価は、例えば、以下の(1)~(7)に示す指標のうち一つ以上を用いて、攻撃観測者端末1から報告されるセキュリティ脅威情報に対する評価を行い、攻撃観測者端末1からの報告者(提供者)に対する報酬の算出に利用できるようにする。
セキュリティ脅威情報の各評価は、記憶装置32に記憶した各指標情報(攻撃元アドレス)例えば、攻撃元の新規性、攻撃手段の新規性、攻撃内容の重要度、同一手段による多組織に対する後続攻撃の報告有無、攻撃内容の確認が可能な資料を参照する。価値評価装置33の演算装置(制御装置)331は、内部に格納されたプログラムに従って、価値評価の処理を実行する。
【0014】
(1)攻撃元の新規性:
攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを評価する。既に報告されていない場合は、評価価値を高くする。
攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを評価する。既に報告されていない場合は、評価価値を高くする。
【0015】
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段(攻撃に用いられたマルウェア(malware)、攻撃に利用された正規のソフトウェアやハードウェアに存在する脆弱性、など)が用いられているかを評価する。マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどである。報告されていない攻撃手段が用いられた場合は、評価価値を高くする。
これまでに報告されていない攻撃手段(攻撃に用いられたマルウェア(malware)、攻撃に利用された正規のソフトウェアやハードウェアに存在する脆弱性、など)が用いられているかを評価する。マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどである。報告されていない攻撃手段が用いられた場合は、評価価値を高くする。
【0016】
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか評価する。攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高くする。
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか評価する。攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高くする。
【0017】
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたかを評価する。同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高くする。
同一の手法を用いて他の組織にも攻撃が行われたかを評価する。同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高くする。
【0018】
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェアのハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか評価する。攻撃内容の確認可能な情報が含まれる場合は、評価価値を高くする。
攻撃時に発生したログや、マルウェアのハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか評価する。攻撃内容の確認可能な情報が含まれる場合は、評価価値を高くする。
【0019】
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を評価する。他の報告者からのアップデートが無い場合は、評価価値を高くする。
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を評価する。他の報告者からのアップデートが無い場合は、評価価値を高くする。
【0020】
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックの評価点数を評価する。フィードバックの評価点数が高い場合は、評価価値を高くする。
情報購入者による役に立ったかのフィードバックの評価点数を評価する。フィードバックの評価点数が高い場合は、評価価値を高くする。
【0021】
これらの評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象、利用者からのフィードバックを踏まえて随時更新される。
【0022】
脅威情報提供プラットフォーム34は、セキュリティアナリストにより報告され、価値評価装置33にて評価されたセキュリティ脅威情報を情報購入者端末2へ提供する。
【0023】
セキュリティアプライアンス設定ファイル自動生成装置35は、図3に示すように特定セキュリティアプライアンス製品向け設定ファイルを生成する設定ファイル生成部351と、特定セキュリティアプライアンス製品向けコマンドを生成するコマンド生成部352を含む。そして、セキュリティアナリストにより報告され、価値評価装置33にて評価されたセキュリティ脅威情報を受信し、当該セキュリティ脅威情報を用いて、所定の手法により、セキュリティアプライアンス向けの設定情報を含む設定ファイル及びコマンドを自動生成し、当該設定ファイル及びコマンドをセキュリティアプライアンスへ出力する機能を有する。セキュリティアプライアンスとは、セキュリティ機能に特化した機器である。
【0024】
すなわち、セキュリティアプライアンス設定ファイル自動生成装置35は、脅威情報提供プラットフォーム34からの情報をもとに、特定のセキュリティアプライアンス製品(ファイアウォール、VPNゲートウェイ、IDS/IPS、アンチウイルス等)向けの設定に用いる情報、つまり、設定ファイル、設定コマンドを自動的に生成する。この情報を用いて、チェック・ポイントのセキュリティアプライアンスの設定を更新することを可能とする。
具体例を挙げて説明すれば、マルウェアを配布しているIPアドレスの脅威情報を受け取った際、ファイアウォール等のセキュリティアプライアンスで、当該IPアドレスとの通信を行わないようブラックリストに登録するといった動作が考えられる。設定方法としては、コンピュータプログラムとして設定変更の命令が可能なインタフェースを呼び出す、設定内容が記録されたテキスト形式の設定ファイルを生成し、そのファイルをセキュリティアプライアンスに読み込ませて設定変更を行うといった手段がある。
具体例を挙げて説明すれば、マルウェアを配布しているIPアドレスの脅威情報を受け取った際、ファイアウォール等のセキュリティアプライアンスで、当該IPアドレスとの通信を行わないようブラックリストに登録するといった動作が考えられる。設定方法としては、コンピュータプログラムとして設定変更の命令が可能なインタフェースを呼び出す、設定内容が記録されたテキスト形式の設定ファイルを生成し、そのファイルをセキュリティアプライアンスに読み込ませて設定変更を行うといった手段がある。
【0025】
【0026】
ステップS3311:価値評価装置33における演算装置(制御装置)331は、まず、脅威情報報告プラットフォームからセキュリティ脅威情報を取得し、記憶装置32に記憶し、保管する。
【0027】
ステップS3312:演算装置(制御装置)331、取得したセキュリティ脅威情報から記憶装置の攻撃元特定情報を検索し、攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを評価する。
【0028】
ステップS3313:演算装置(制御装置)331、記憶装置32の攻撃手段報告情報を検索し、これまでに報告されていない攻撃手段が用いられているかを評価する。
【0029】
ステップS3314:演算装置(制御装置)331、記憶装置32の「重要度評価情報を検索し、攻撃内容が組織内・組織外にどの程度の影響をもたらすものか評価する。
【0030】
ステップS:3314演算装置(制御装置)331、記憶装置の後続攻撃報告有無情報を検索し、同一の手法を用いて他の組織にも攻撃が行われたか評価する。
【0031】
ステップS3315:演算装置(制御装置)331、記憶装置32の攻撃内容確認情報を検索し、攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか評価する。
【0032】
ステップS3316:演算装置(制御装置)331、記憶装置32のセキュリティ脅威情報を検索し、提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を評価する。
【0033】
ステップS3317:演算装置(制御装置)331、記憶装置32のセキュリティ脅威情報を検索し、情報購入者による役に立ったかのフィードバックを評価する。
【0034】
以上述べた実施例によれば、報告されたセキュリティ脅威情報を評価し、評価結果を用いて脅威情報報告者(提供者)の報酬に結び付けることができ、それに対する価値で報酬を支払うことができる。その結果として、提供者のセキュリティ脅威情報の共有に対するモチベーション向上につなげることができ、早期セキュア情報の共有、インシデント防止に貢献できる。
【0035】
なお、本発明は、上述した実施例に限定されるものではなく、本発明に開示される技術的思考の範囲内において当業者による様々な変更および修正が可能であり、様々な変形例が含まれる。また、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
【符号の説明】
【0036】
1 攻撃観測者端末
2 情報購入者端末
3 脅威情報共有システム(サーバ)
31 脅威情報報告プラットフォーム
32 記憶装置(セキュリティ脅威情報データベース、他)
33 価値評価装置
331 演算装置(制御装置)
34 脅威情報提供プラットフォーム
35 セキュリティアプライアンス設定ファイル自動生成装置
4 セキュリティアプライアンス
2 情報購入者端末
3 脅威情報共有システム(サーバ)
31 脅威情報報告プラットフォーム
32 記憶装置(セキュリティ脅威情報データベース、他)
33 価値評価装置
331 演算装置(制御装置)
34 脅威情報提供プラットフォーム
35 セキュリティアプライアンス設定ファイル自動生成装置
4 セキュリティアプライアンス
【図1】
【図2】
【図3】