IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧

(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-12-04
(45)【発行日】2023-12-12
(54)【発明の名称】分析装置、分析方法及び分析プログラム
(51)【国際特許分類】
   G06F 21/57 20130101AFI20231205BHJP
【FI】
G06F21/57 370
【請求項の数】 22
(21)【出願番号】P 2021566634
(86)(22)【出願日】2019-12-25
(86)【国際出願番号】 JP2019050821
(87)【国際公開番号】W WO2021130897
(87)【国際公開日】2021-07-01
【審査請求日】2022-06-10
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】植田 啓文
(72)【発明者】
【氏名】水島 諒
(72)【発明者】
【氏名】柳生 智彦
【審査官】金沢 史明
(56)【参考文献】
【文献】国際公開第2015/114791(WO,A1)
【文献】米国特許出願公開第2014/0215629(US,A1)
【文献】杉本 暁彦, 他,サイバー攻撃の侵入経路を考慮したセキュリティリスク評価技術,情報処理学会論文誌,日本,情報処理学会,2016年09月15日,Vol. 57, No. 9,pp. 2077-2087
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSS(Common Vulnerability Scoring System)の環境評価基準を評価する環境評価手段と、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価する基本評価手段と、
前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断する判断手段と、
を備え
前記環境評価手段は、前記環境評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記環境評価手段は、前記情報システムにおける前記脆弱性を有する重要資産の有無と、前記重要資産の外部接続の有無とに応じて、前記攻撃経路を抽出する、
分析装置。
【請求項2】
前記環境評価手段は、前記脆弱性を適用した情報システムに基づいた攻撃グラフを生成し、前記生成した攻撃グラフから前記攻撃経路を抽出する、
請求項に記載の分析装置。
【請求項3】
前記環境評価手段は、前記攻撃グラフから前記攻撃経路を抽出できた場合、前記脆弱性の対応要と判断する、
請求項に記載の分析装置。
【請求項4】
前記環境評価手段は、前記情報システムにおいて前記脆弱性を有する重要資産が無い場合、または、前記重要資産に外部接続が無い場合、前記攻撃経路を抽出する、
請求項1乃至3のいずれか一項に記載の分析装置。
【請求項5】
前記環境評価手段は、前記情報システムにおいて前記脆弱性を有する重要資産が有り、かつ、前記重要資産に外部接続が有る場合、前記脆弱性の対応要と判断する、
請求項1乃至4のいずれか一項に記載の分析装置。
【請求項6】
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSS(Common Vulnerability Scoring System)の環境評価基準を評価する環境評価手段と、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価する基本評価手段と、
取得される前記脆弱性のCVSS現状値情報と前記情報システムの所定の現状値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの現状評価基準を評価する現状評価手段
前記環境評価基準の評価結果と前記基本評価基準の評価結果と前記現状評価基準に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断する判断手段と
を備え、
前記現状評価手段は、前記現状評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記現状値対応判断条件は、前記CVSS現状値情報の現状値算出要素と前記情報システムにおける前記脆弱性の対応要否とを関連付けた条件である、
分析装置。
【請求項7】
前記現状値算出要素は、攻撃方法の有無、攻撃事例の有無、または緩和策の有無を含む、
請求項に記載の分析装置。
【請求項8】
前記現状評価手段は、前記CVSS現状値情報の前記攻撃事例が有り、かつ、前記CVSS現状値情報の前記緩和策が有りの場合、前記脆弱性の対応要と判断する、
請求項に記載の分析装置。
【請求項9】
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSS(Common Vulnerability Scoring System)の環境評価基準を評価する環境評価手段と、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価する基本評価手段と、
前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断する判断手段と、
を備え、
前記基本評価手段は、前記基本評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断
前記基本値対応判断条件は、前記CVSS基本値情報の基本値算出要素ごとに前記情報システムにおけるシステム特性を関連付けた条件である、
分析装置。
【請求項10】
前記基本評価手段は、前記CVSS基本値情報の基本値算出要素の情報と、前記基本値対応判断条件の前記システム特性とが対応している場合、前記脆弱性の対応要と判断する、
請求項に記載の分析装置。
【請求項11】
前記基本値算出要素は、攻撃条件の複雑さ、特権レベル、または利用者の関与を含む、
請求項または10に記載の分析装置。
【請求項12】
前記基本値対応判断条件は、さらに、対策情報の有無、攻撃検知方法の有無を含む、
請求項乃至11のいずれか一項に記載の分析装置。
【請求項13】
前記脆弱性の対応要否の判断結果に応じて、前記環境評価基準の評価結果と前記基本評価基準の評価結果を出力する出力手段をさらに備える、
請求項1乃至12のいずれか一項に記載の分析装置。
【請求項14】
前記出力手段は、前記環境評価基準の評価結果として、前記抽出された攻撃経路を出力する、
請求項13に記載の分析装置。
【請求項15】
前記出力手段は、前記基本評価基準の評価結果として、前記基本値対応判断条件との対応が示された前記脆弱性のCVSS基本値情報を出力する、
請求項13または14に記載の分析装置。
【請求項16】
前記出力手段は、前記基本評価基準の評価結果として、前記情報システムにおいて前記脆弱性の確認事項を示すチェックリストを出力する、
請求項15に記載の分析装置。
【請求項17】
分析装置によって実行される分析方法であって、
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの環境評価基準を評価し、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、
前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断
前記環境評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記情報システムにおける前記脆弱性を有する重要資産の有無と、前記重要資産の外部接続の有無とに応じて、前記攻撃経路を抽出する、
分析方法。
【請求項18】
分析装置によって実行される分析方法であって、
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSS(Common Vulnerability Scoring System)の環境評価基準を評価し、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、
取得される前記脆弱性のCVSS現状値情報と前記情報システムの所定の現状値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの現状評価基準を評価し、
前記環境評価基準の評価結果と前記基本評価基準の評価結果と前記現状評価基準に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記現状評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記現状値対応判断条件は、前記CVSS現状値情報の現状値算出要素と前記情報システムにおける前記脆弱性の対応要否とを関連付けた条件である、
分析方法。
【請求項19】
分析装置によって実行される分析方法であって、
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSS(Common Vulnerability Scoring System)の環境評価基準を評価し、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、
前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記基本評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記基本値対応判断条件は、前記CVSS基本値情報の基本値算出要素ごとに前記情報システムにおけるシステム特性を関連付けた条件である、
分析方法。
【請求項20】
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの環境評価基準を評価し、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、
前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断
前記環境評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記情報システムにおける前記脆弱性を有する重要資産の有無と、前記重要資産の外部接続の有無とに応じて、前記攻撃経路を抽出する、
処理をコンピュータに実行させるための分析プログラム。
【請求項21】
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSS(Common Vulnerability Scoring System)の環境評価基準を評価し、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、
取得される前記脆弱性のCVSS現状値情報と前記情報システムの所定の現状値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの現状評価基準を評価し、
前記環境評価基準の評価結果と前記基本評価基準の評価結果と前記現状評価基準に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記現状評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記現状値対応判断条件は、前記CVSS現状値情報の現状値算出要素と前記情報システムにおける前記脆弱性の対応要否とを関連付けた条件である、
処理をコンピュータに実行させるための分析プログラム。
【請求項22】
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSS(Common Vulnerability Scoring System)の環境評価基準を評価し、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、
前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記基本評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断し、
前記基本値対応判断条件は、前記CVSS基本値情報の基本値算出要素ごとに前記情報システムにおけるシステム特性を関連付けた条件である、
処理をコンピュータに実行させるための分析プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体に関する。
【背景技術】
【0002】
近年、情報システムの脆弱性を攻撃するサイバー攻撃が著しく増加しており、サイバーセキュリティへの脅威が高まっている。そのため、制御システムやIoT(Internet of Things)など含む情報システムの多様化、複雑化が進む中で、脆弱性の適切な評価や対応が大きな課題となっている。
【0003】
脆弱性の評価手法としてCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)が利用されている。関連する技術として、例えば、特許文献1や2が知られている。特許文献1には、脆弱性分析装置において、脆弱性の影響度としてCVSSの基本値を取得し、取得した基本値に応じた画面表示を行うことが記載されている。特許文献2には、情報システムの攻撃グラフを生成し、攻撃の影響を評価することが記載されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2014-130502号公報
【文献】特表2013-525927号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1や2などの関連する技術では、CVSSの基本値や攻撃グラフを利用しているものの、脆弱性への対応要否を判断することが困難であるという問題がある。
【0006】
本開示は、このような課題に鑑み、脆弱性への対応要否を判断することが可能な分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体を提供することを目的とする。
【課題を解決するための手段】
【0007】
本開示に係る分析装置は、分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSS(Common Vulnerability Scoring System)の環境評価基準を評価する環境評価手段と、取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価する基本評価手段と、前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断する判断手段と、を備えるものである。
【0008】
本開示に係る分析方法は、分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの環境評価基準を評価し、取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断するものである。
【0009】
本開示に係る分析プログラムが格納された非一時的なコンピュータ可読媒体は、分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの環境評価基準を評価し、取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断する、処理をコンピュータに実行させるための分析プログラムが格納された非一時的なコンピュータ可読媒体である。
【発明の効果】
【0010】
本開示によれば、脆弱性への対応要否を判断することが可能な分析装置、分析方法及び分析プログラムが格納された非一時的なコンピュータ可読媒体を提供することができる。
【図面の簡単な説明】
【0011】
図1】関連する脆弱性管理方法を示すフローチャートである。
図2】実施の形態に係る分析装置の概要を示す構成図である。
図3】実施の形態に係る分析装置の概要を示す構成図である。
図4】実施の形態に係る分析装置の概要を示す構成図である。
図5】実施の形態1に係る分析システムの構成例を示す構成図である。
図6】実施の形態1に係る現状値判断部の構成例を示す構成図である。
図7】実施の形態1に係る対応判断表の例を示す図である。
図8】実施の形態1に係る環境値判断部の構成例を示す構成図である。
図9】実施の形態1に係る基本値判断部の構成例を示す構成図である。
図10】実施の形態1に係るポリシー判定表の例を示す図である。
図11】実施の形態1に係るポリシー判定表の例を示す図である。
図12】実施の形態1に係る分析システムの動作例を示すフローチャートである。
図13】実施の形態1に係る脆弱性情報収集処理を示すフローチャートである。
図14】実施の形態1に係る現状値判断処理を示すフローチャートである。
図15】実施の形態1に係る環境値判断処理を示すフローチャートである。
図16】実施の形態1に係る基本値判断処理を示すフローチャートである。
図17】実施の形態1に係る判断結果出力処理を示すフローチャートである。
図18】実施の形態1に係る分析システムが分析する情報システムの構成例を示す図である。
図19】実施の形態1に係る攻撃経路の分析要素の例を示す図である。
図20】実施の形態1に係る環境値判断処理を説明するための図である。
図21】実施の形態1に係る環境値判断処理を説明するための図である。
図22】実施の形態1に係る基本値情報の例を示す図である。
図23】実施の形態1に係るインテリジェンス情報の例を示す図である。
図24】実施の形態1に係る判断結果の出力例を示す図である。
図25】実施の形態1に係る判断結果の出力例を示す図である。
図26】実施の形態1に係る判断結果の出力例を示す図である。
図27】実施の形態に係るコンピュータのハードウェアの概要を示す構成図である。
【発明を実施するための形態】
【0012】
以下、図面を参照して実施の形態について説明する。各図面においては、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略される。
【0013】
(実施の形態に至る検討)
まず、情報システムにおける脆弱性の管理について検討する。図1は、関連する脆弱性管理方法を示している。この方法は、主に管理者により実施される。
【0014】
図1に示すように、関連する脆弱性管理方法では、まず、対象となる情報システムの脆弱性を認定し(S110)、認定した脆弱性への対応を実施する(S120)。
【0015】
脆弱性の認定(S110)では、情報システムの構成を把握する(S101)。情報システムの詳細設計書を参照したり、情報システムのシステム構成情報を取得することで、情報システムに含まれるソフトウェア及びハードウェアを把握する。
【0016】
続いて、情報システムの脆弱性情報を収集する(S102)。把握されたソフトウェア及びハードウェアの脆弱性情報を、IPA(Information-technology Promotion Agency:情報処理推進機構)によるアラート情報、CVE(Common Vulnerabilities and Exposures)やNVD(National Vulnerability Database)など脆弱性情報の公開データベース等から収集する。
【0017】
続いて、脆弱性に対する対応要否を判断する(S103)。収集された脆弱性情報に基づいて、そのソフトウェア及びハードウェアの脆弱性が、情報システムにおいて対処すべきものか否か判断する。
【0018】
対応が必要であると判断された場合、脆弱性への対応(S120)として、脆弱性を悪用した攻撃の検知および分析を行う(S104)。情報システムのログを参照等することで、対応する脆弱性を悪用した攻撃による痕跡の有無を確認する。脆弱性を悪用した攻撃の検知結果や脆弱性の内容に応じて、予防(緩和策)(S105)、封じ込め/根絶/復旧(S106)、予防(恒久策)(S107)など必要な対応を実施する。予防(緩和策)(S105)では、情報システムにIP(Internet Protocol)アドレスやURL(Uniform Resource Locator)のフィルタリング等を設定する。封じ込め/根絶/復旧(S106)では、インシデントハンドリングを行う。予防(恒久策)(S107)では、情報システムにパッチの適用等を行う。
【0019】
このような管理方法により、例えば新たな脆弱性が発見された際、情報システムに対する影響を評価し、管理者が脆弱性の対応要否を判断する。新たに発見される脆弱性へ対処することで、情報システムの安全性を維持することが可能となる。
【0020】
しかしながら、脆弱性に対する対応要否の判断が困難であるという問題がある。すなわち、脆弱性を評価する手法としてCVSSが提案されているものの、CVSSのそれぞれの評価値を適切に判断することが困難となっている。
【0021】
具体的には、CVSSでは、基本評価基準、現状評価基準、環境評価基準により脆弱性を評価する。基本評価基準は、脆弱性そのものの特性を評価する基準であり、機密性、完全性、可用性への影響等の観点から基本値が算出される。基本値は固定であり、脆弱性情報の公開データベースやベンダー等から公開されている。
【0022】
現状評価基準は、脆弱性の現在の深刻度を評価する基準であり、攻撃される可能性や対策の利用可能性等の観点から、現状値が算出される。現状値は、状況に応じて変化し、脆弱性情報の公開データベースやベンダー等から公開されている。
【0023】
環境評価基準は、製品利用者の利用環境を含めた最終的な脆弱性の深刻度を評価する基準であり、二次的被害の可能性や影響を受けるシステム範囲等の観点から環境値が算出される。環境値は、製品利用者ごとに変化するため、製品利用者が算出する。
【0024】
脆弱性への対応要否について、CVSSではこれらの3つの評価基準により判断する必要がある。しかし、CVSSでは、基本値、現状値及び環境値の数値により定量化されてしまうため、リスクの具体性に欠け、対応要否の判断が困難である。例えば、CVSSを使わずに、熟練者が、その都度総合的に判断する場合もある。また、実際には、算出の複雑さ等から現状値及び環境値を使用せずに、基本値のみで判断されることが多い。しかし、基本値のみでは、現状と乖離するため適切に評価することはできない。
【0025】
そこで、以下の実施の形態では、脆弱性への対応要否を情報システムに合わせて自動的に判断することを可能とする。
【0026】
(実施の形態の概要)
図2は、実施の形態に係る分析装置の概要を示している。図2に示すように、実施の形態に係る分析装置10は、環境評価部11、基本評価部12、判断部13を備えている。
【0027】
環境評価部11は、分析対象の脆弱性を適用した情報システムから攻撃グラフ生成技術等を用いて抽出される攻撃経路に基づいて、情報システムにおける脆弱性に対するCVSSの環境評価基準を評価する。基本評価部12は、取得される脆弱性のCVSS基本値情報と情報システムの所定の基本値対応判断条件(基本値対応ポリシー)に基づいて、情報システムにおける脆弱性に対するCVSSの基本評価基準を評価する。判断部13は、環境評価部11による環境評価基準の評価結果と基本評価部12による基本評価基準の評価結果に基づいて、情報システムにおける脆弱性への対応要否を判断する。
【0028】
なお、分析装置10は、少なくとも図3または図4に示す構成でもよい。例えば、図3のように、分析装置10は、環境評価部11と判断部13とを備え、判断部13が、環境評価部11の評価結果に基づいて、情報システムにおける脆弱性への対応要否を判断してもよい。また、図4のように、分析装置10は、基本評価部12と判断部13とを備え、判断部13が、基本評価部12による基本評価基準の評価結果に基づいて、情報システムにおける脆弱性への対応要否を判断してもよい。また、さらに、取得される脆弱性のCVSS現状値情報と情報システムの所定の現状値対応判断条件(対応判断表)に基づいて、情報システムにおける脆弱性に対するCVSSの現状評価基準を評価する現状評価部を備えていてもよい。
【0029】
このように、攻撃グラフ生成技術等を用いることで脆弱性を適用した情報システムから攻撃経路を抽出し、抽出される攻撃経路に基づくことで、情報システムにおける環境評価基準を適切に評価することができ、また、例えば公開されている脆弱性のCVSS基本値情報を取得し、取得されるCVSS基本値情報と情報システムの基本値に対する対応を定義した対応ポリシーとに基づくことで、情報システムにおける基本評価基準を適切に評価することができる。さらに、これらの評価結果を用いることで、脆弱性への対応要否を情報システムに合わせて自動的に判断することができる。
【0030】
(実施の形態1)
以下、図面を参照して実施の形態1について説明する。
【0031】
<システムの構成>
図5は、本実施の形態に係る分析システム1の構成例を示している。本実施の形態に係る分析システム1は、新たに発見された脆弱性を分析し、情報システムにおける対応要否を判断するシステムである。
【0032】
図5に示すように分析システム(分析装置)1は、判断装置100、システム構成情報DB(データベース)200、脆弱性情報DB300を備えている。システム構成情報DB200及び脆弱性情報DB300は、判断装置100とインターネット等のネットワークを介して接続されていてもよいし、直接接続されていてもよい。また、システム構成情報DB200及び脆弱性情報DB300は、判断装置100に内蔵された記憶装置としてもよい。
【0033】
システム構成情報DB200は、脆弱性の対応要否を判断する情報システムのシステム構成情報を予め記憶するデータベースである。システム構成情報は、情報システムを構成するノード装置(端末)のハードウェア情報、ソフトウェア情報、ネットワーク情報、各種設定情報等である。また、必要に応じて、どのノード装置が重要資産であるかを示す情報等を有する。
【0034】
脆弱性情報DB300は、発見(公開)されている脆弱性情報を記憶するデータベースである。脆弱性情報は、例えば、脆弱性ごとに対象製品や脆弱性内容、CVSSの基本値情報及び現状値情報等が含まれている。脆弱性情報DB300は、その他、脆弱性に関するインテリジェンス情報(対策情報等)を記憶してもよい。脆弱性情報DB300は、IPAやCVEやNVD、JVN(Japan Vulnerability Notes)のように公の組織が公開する脆弱性情報等の他、セキュリティベンダーやその他のベンダー等が公開する脆弱性情報等を記憶してもよい。また、公開されている脆弱性情報等が取得できればよいため、データベースに限らず任意の構成でよく、例えばブログ等でもよい。
【0035】
判断装置100は、セキュリティ情報収集部110、現状値判断部120、環境値判断部130、基本値判断部140、出力部150を備える。なお、後述の動作が可能であれば、その他の構成でもよい。
【0036】
セキュリティ情報収集部110は、脆弱性やシステムに関連するセキュリティ情報を収集する。例えば、セキュリティ情報収集部110は、システム構成情報DB200から情報システムのシステム情報を取得し、また、脆弱性情報DB300から脆弱性情報を取得する。
【0037】
現状値判断部120は、情報システムにおける脆弱性の現状評価基準を評価する現状評価部であり、現状評価基準の評価として、公開されている脆弱性の現状値情報に基づいて、情報システムにおける脆弱性の対応要否を判断する。現状値判断部120は、公開されている脆弱性の現状値情報と情報システムの対応判断表とに基づいて、脆弱性の対応要否を判断する。
【0038】
図6は、現状値判断部120の構成例を示している。図6に示すように、現状値判断部120は、対応判断表記憶部121、現状値取得部122、現状値対応判断部123を備えている。
【0039】
対応判断表記憶部121は、現状値情報と情報システムにおける対応要否を関連付ける対応判断表(現状値対応判断条件を示す現状値対応判断表)を予め記憶する。対応判断表は、情報システムごとの表としてもよいし、全ての情報システムに共通の表としてもよい。
図7は、記憶される対応判断表の具体例を示している。図7の例では、対応判断表(現状値対応判断条件)は、現状値情報に含まれる「攻撃方法の有無」、「攻撃事例の有無」及び「緩和策の有無」と、情報システムの対応要否(Yes/No)とを関連付けている。「攻撃方法の有無」、「攻撃事例の有無」及び「緩和策の有無」は、現状値の算出要素の一例であり、その他の要素を含んでいてもよい。なお、対応判断表と同様の関連付け(現状値対応判断条件)により対応要否が判断できれば、対応判断表の形式に限られない。
【0040】
現状値取得部122は、脆弱性情報DB300等から分析対象の脆弱性の現状値情報を取得する。現状値取得部122は、脆弱性情報DB300やベンダー等の脆弱性情報やインテリジェンス情報から、脆弱性の現状値情報に含まれる「攻撃方法の有無」、「攻撃事例の有無」及び「緩和策の有無」を取得する。
現状値対応判断部123は、取得された「攻撃方法の有無」、「攻撃事例の有無」及び「緩和策の有無」に基づき、対応判断表を参照して、情報システムの対応要否を判断する。例えば、現状値対応判断部123は、現状値情報の攻撃事例が有り、かつ、現状値情報の緩和策が有りの場合、脆弱性の対応要と判断する。
【0041】
環境値判断部130は、情報システムにおける脆弱性の環境評価基準を評価する環境評価部であり、環境評価基準の評価として、脆弱性を適用した情報システムの攻撃経路に基づいて、情報システムにおける脆弱性の対応要否を判断する。環境値判断部130は、脆弱性を適用した情報システムの攻撃グラフから抽出される攻撃経路に基づいて、脆弱性の対応要否を判断する。
【0042】
図8は、環境値判断部130の構成例を示している。図8に示すように、環境値判断部130は、分析要素設定部131、攻撃経路分析部132、攻撃経路抽出部133、環境値対応判断部134を備えている。
【0043】
分析要素設定部131は、攻撃グラフを生成するため、情報システムにおける攻撃経路の侵入口及び攻撃目標などの分析要素を設定する。例えば、分析要素は予め設定されていてもよいし、ユーザの操作等により設定されてもよい。攻撃経路分析部132は、設定された侵入口及び攻撃目標などの分析要素に基づき攻撃経路(攻撃パス)を分析する。
【0044】
攻撃経路抽出部133は、分析結果に基づき、攻撃グラフ生成技術(攻撃グラフ生成ツール)を用いて攻撃グラフを生成し、生成した攻撃グラスから分析対象の脆弱性を含む攻撃経路を抽出する。攻撃グラフは、分析対象の脆弱性が適用された情報システムに対して想定される攻撃ステップを表すグラフであり、侵入口から攻撃目標まで攻撃ステップの順に経由されるノードが結ばれている。攻撃グラフにおける侵入口から攻撃目標までのノードの接続経路が攻撃経路となる。例えば、攻撃経路の分析は、事前に侵入口及び攻撃対象(重要資産等)を設定しておき、新たな脆弱性が発見された場合など、脆弱性情報が更新される度に実施する。
【0045】
環境値対応判断部134は、脆弱性が適用された情報システムにおいて、侵入口から攻撃目標までの攻撃経路が抽出されたか否かに応じて、情報システムの対応要否を判断する。すなわち、本実施の形態では、環境値の評価は、CVSSで定められた数値算出の代わりに、攻撃グラフ分析等を用いて攻撃経路を導出し、侵入口から重要資産(目標)に至る攻撃経路が存在するか否かにより行う。例えば、環境値対応判断部134は、攻撃グラフから攻撃経路を抽出できた場合、脆弱性の対応要と判断する。
【0046】
基本値判断部140は、情報システムにおける脆弱性の基本評価基準を評価する基本評価部であり、基本評価基準の評価として、公開されている脆弱性の基本値情報に基づいて、情報システムにおける脆弱性の対応要否を判断する。基本値判断部140は、公開されている脆弱性の基本値情報と情報システムのポリシー判定表とに基づいて、脆弱性の対応要否を判断する。
【0047】
図9は、基本値判断部140の構成例を示している。図9に示すように、基本値判断部140は、ポリシー判定表記憶部141、基本値取得部142、基本値対応判断部143を備えている。
【0048】
ポリシー判定表記憶部141は、基本値情報と情報システムにおける対応要否を関連付けるポリシー判定表(基本値対応判断条件を示す基本値対応判断表)を予め記憶する。ポリシー判定表には、脆弱性の詳細情報と情報システムの特性とが記載されている。ポリシー判定表は、情報システムごとの表としてもよいし、重要資産ごとの表としてもよい。
【0049】
図10及び図11は、記憶されるポリシー判定表の具体例を示している。図10の例では、ポリシー判定表(基本値対応判断条件)は、重要資産(資産名)ごとに、基本値情報に含まれる「攻撃条件の複雑さ」、「特権レベル」及び「利用者の関与」ごとに対応条件(システム特性)が設定されている。「攻撃条件の複雑さ」、「特権レベル」及び「利用者の関与」は、基本値の算出要素の一例であり、その他の要素を含んでいてもよい。
また、図11の例では、ポリシー判定表は、重要資産(資産名)ごとに、「攻撃条件の複雑さ」、「特権レベル」及び「ユーザの関与」の対応条件に加えて、「対策」情報の有無が設定されている。図11のように、CVSSの基本値情報に含まれないが、インテリジェンス情報に含まれている対策情報や攻撃検知方法等をポリシー判定表に入れても良い。なお、ポリシー判定表と同様の関連付け(基本値対応判断条件)により対応要否が判断できれば、ポリシー判定表の形式に限られない。
【0050】
基本値取得部142は、脆弱性情報DB300等から分析対象の脆弱性の基本値情報を取得する。基本値取得部142は、脆弱性情報DB300やベンダー等の脆弱性情報やインテリジェンス情報から、脆弱性の基本値情報に含まれる「攻撃条件の複雑さ」、「特権レベル」及び「ユーザの関与」や、その他「対策」等の情報を取得する。
基本値対応判断部143は、取得された「攻撃条件の複雑さ」、「特権レベル」及び「ユーザの関与」や、その他「対策」等の情報に基づき、ポリシー判定表を参照して、情報システムの対応要否を判断する。ポリシー判定表に設定された基本値に関する判断内容に基づき、脆弱性情報に合わせて、対応要否を判別する。例えば、基本値対応判断部143は、基本値情報の「攻撃条件の複雑さ」等の情報と、ポリシー判定表の「攻撃条件の複雑さ」等とが対応している場合、脆弱性の対応要と判断する。
【0051】
出力部150は、現状値判断部120、環境値判断部130及び基本値判断部140の判断結果に基づき、情報システムにおける脆弱性の対応要否を出力する。出力部150は、現状値判断部120、環境値判断部130及び基本値判断部140のそれぞれの判断結果を出力する。出力部150は、現状値判断部120、環境値判断部130及び基本値判断部140の判断結果に基づき、脆弱性の対応要否を判断する判断部でもある。出力部150は、例えば、現状値判断部120、環境値判断部130及び基本値判断部140の全ての判断結果が対応要の場合に全ての結果を出力するが、いずれかの判断結果が対応要の場合に対応要とした結果のみを出力してもよい。出力方法は限定されず、表示部(表示装置)にGUI(Graphical User Interface)により判断結果を表示してもよいし、判断結果示す任意の形式のデータをユーザに通知してもよい。
【0052】
<システムの動作>
図12は、本実施の形態に係る分析システム1の動作例(分析方法)を示している。図13は、図12における脆弱性情報収集処理(S201)の流れを示し、図14は、図12における現状値判断処理(S202)の流れを示し、図15は、図12における環境値判断処理(S203)の流れを示し、図16は、図12における基本値判断処理(S204)の流れを示し、図17は、図12における判断結果出力処理(S205)の流れを示している。なお、ここでは、現状値判断処理、環境値判断処理、基本値判断処理の順番に処理を行うが、これに限らず、任意の順番に処理を行ってもよい。
【0053】
図12に示すように、判断装置100は、脆弱性情報収集処理を行う(S201)。図13に示すように、脆弱性情報収集処理では、セキュリティ情報収集部110は、公開データベース等の脆弱性情報DB300から脆弱性情報を取得し(S211)、新たな脆弱性が発見されたか否か判定する(S212)。セキュリティ情報収集部110は、定期的に脆弱性情報DB300を参照してもよいし、IPA等から新たな脆弱性情報のアラート通知を取得してもよい
【0054】
セキュリティ情報収集部110は、新たな脆弱性が発見されると、ユーザの情報システムにおける新たな脆弱性の対応要否を分析するため、システム構成情報DB200のシステム構成情報を取得する(S213)。また、セキュリティ情報収集部110は、その他、脆弱性情報DB300やベンダー等から脆弱性に関するインテリジェンス情報等を取得する。
【0055】
続いて、判断装置100は、現状値判断処理を行う(S202)。図14に示すように、現状値判断処理では、現状値取得部122は、分析対象の脆弱性の現状値(現状値情報)を取得する(S221)。例えば、セキュリティ情報収集処理で取得された脆弱性情報の中から現状値情報(「攻撃方法の有無」、「攻撃事例の有無」及び「緩和策の有無」等)を抽出する。
【0056】
次に、現状値対応判断部123は、取得した現状値に基づいた対応要否を判断する(S222)。現状値対応判断部123は、図7に示したような対応判断表を参照し、取得した現状値情報に基づいて対応要否を判断する。例えば、対応判断表を参照し、取得した脆弱性の現状値情報に含まれる攻撃事例が「有」かつ緩和策が「有」の場合、すぐに対策が必要であるため、現状値の観点から対応要であると判断する。その他の場合、現状値の観点からは対応不要であると判断する。さらに、現状値対応判断部123は、以降の処理で参照可能とするため、判断装置100の記憶部等に、判断した現状値に基づく対応要否を設定する(S223)。
【0057】
続いて、判断装置100は、環境値判断処理を行う(S203)。図15に示すように、環境値判断処理では、現状値に基づく対応要否に応じて(S231)、攻撃グラフを分析する。
【0058】
現状値に基づいて対応不要と判断された場合、すなわち、攻撃事例が「無」または緩和策が「無」の場合、定期メンテナンス対応とするか否か判断するため、攻撃グラフを分析する(S232)。例えば、分析要素設定部131は、攻撃経路の侵入口及び攻撃目標などの分析要素を設定し、攻撃経路分析部132は、設定された分析要素に基づき攻撃経路を分析する。
【0059】
例えば、図18のような情報システム400のシステム構成において、予め侵入口及び攻撃目標などの分析要素を設定する。または、ユーザがノードを選択して侵入口及び攻撃目標などの分析要素を設定してもよい。図18の例では、情報システム400は、情報ネットワーク410、制御ネットワーク420、フィールドネットワーク430を備えた生産管理システムである。情報ネットワーク410は、ファイヤーウォールFW1を介してインターネット401に接続され、OA端末411を有する。制御ネットワーク420は、ファイヤーウォールFW2を介して情報ネットワーク410に接続され、ログサーバ421、保守サーバ422、監視制御サーバ423、HMI(Human Machine Interface)424を有する。フィールドネットワーク430は、プログラマブルロジックコントローラPLC1及びPLC2を介して制御ネットワーク420に接続され、IoT機器431及びFA(Factory Automation)機器432等を有する。例えば、情報システム400において、インターネット401を攻撃の侵入口に設定し、監視制御サーバ423とHMI424とを攻撃目標に設定する。
【0060】
攻撃経路分析部132は、設定された侵入口及び攻撃目標から攻撃経路を分析してもよいし、任意に指定された攻撃経路を分析しても良い。例えば、分析要素として、図19に示すように、侵入口や攻撃目標のほか、最終攻撃(攻撃結果)、ノード間の想定攻撃パス(攻撃経路)等を設定し、攻撃経路を分析する。
【0061】
さらに、攻撃経路抽出部133は、攻撃経路を抽出する(S233)。攻撃経路抽出部133は、設定及び分析された情報をもとに、攻撃グラフ生成技術を用いて攻撃グラフを生成し、分析対象の脆弱性を含む情報システムの攻撃経路を抽出する。すなわち、攻撃グラフ生成技術に、既存の脆弱性に加え新たに発見された分析対象の脆弱性を適用したシステム構成情報と、侵入口及び攻撃目標等とを入力することで、各ノードの脆弱性を介した、侵入口から攻撃目標までの攻撃グラフを生成する。
【0062】
そうすると、環境値対応判断部134は、S233において攻撃グラフから攻撃経路が抽出されたか否か判定し(S234)、攻撃経路が抽出された場合(重要資産に関係なく対策が急務である場合)、環境値の観点から対応不要、かつ、対策情報に注視が必要であると判断し、判断した環境値に基づく対応要否を設定する(S235)。また、環境値対応判断部134は、攻撃経路が抽出されない場合(脆弱性の緩和策もリスクもない場合)、現状値及び環境値の観点から対応不要、かつ、定期メンテナンスで対応と判断し、判断した環境値に基づく対応要否を設定する(S236)。
【0063】
一方、現状値に基づいて対応要と判断された場合、すなわち、攻撃事例が「有」かつ緩和策が「有」の場合、情報システムに重要資産及び外部接続の有無に応じて(S237)、攻撃グラフを分析する。
【0064】
システム構成情報を参照し、情報システムに脆弱性を有する重要資産が無い、または重要資産に外部接続が無い場合、環境値に基づいた対応要否を判断するため、攻撃グラフを分析する(S238)。S232及びS233と同様、分析要素設定部131は、分析要素を設定し、攻撃経路分析部132は、設定された分析要素に基づき攻撃経路を分析する。さらに、攻撃経路抽出部133は、設定及び分析された情報をもとに、分析対象の脆弱性を含む情報システムの攻撃経路を抽出する(S239)。
【0065】
そうすると、環境値対応判断部134は、S239において攻撃経路が抽出されたか否か判定し(S240)、攻撃経路が抽出された場合(脆弱性のリスクがある場合)、環境値(及び現状値)の観点から対応要であると判断し、判断した環境値に基づく対応要否を設定する(S242)。また、環境値対応判断部134は、攻撃経路が抽出されない場合(脆弱性のリスクがない場合)、環境値の観点から対応不要、かつ、定期メンテナンスで対応と判断し、判断した環境値に基づく対応要否を設定する(S241)。
【0066】
また、情報システムに脆弱性を有する重要資産が有り、かつ、重要資産に外部接続が有る場合も、環境値対応判断部134は、環境値(及び現状値)の観点から対応要であると判断し、判断した環境値に基づく対応要否を設定する(S242)。
【0067】
図20及び図21は、攻撃経路を用いた環境値評価の具体例を示している。例えば、図20に示すように、情報システム400において、保守サーバ422、監視制御サーバ423、HMI424が重要資産である場合に、監視制御サーバ423に脆弱性が存在するとする。監視制御サーバ423は、重要資産であるものの、FW2によりOA端末411から直接アクセス不可であり、外部接続されていない。そうすると、攻撃グラフを分析し、インターネット401から監視制御サーバ423までの攻撃経路が抽出されないため、脆弱性の対応は不要と判断する(S241)。すなわち、この場合、監視制御サーバ423は、FW2により隔離されているため対応を保留する。
【0068】
一方、図21に示すように、その後新たに脆弱性が発見され、非重要資産のログサーバ421に脆弱性が存在することになったとする。そうすると、攻撃グラフを分析し、インターネット401から監視制御サーバ423までの攻撃経路が抽出されるため、脆弱性の対応要と判断する(S242)。すなわち、非重要資産のログサーバ421に脆弱性が発見されたことにより、重要資産である監視制御サーバ423に至る攻撃経路が検出され、ログサーバ421への一次被害に加えて、重要資産へ二次被害があると判断する。
【0069】
続いて、判断装置100は、基本値判断処理を行う(S204)。図16に示すように、基本値判断処理では、環境値(及び現状値)に基づく対応要否に応じて(S251)、基本値情報を分析する。
【0070】
環境値に基づいて対応要と判断された場合、基本値取得部142は、分析対象の脆弱性の基本値(基本値情報)等を取得する(S252)。例えば、セキュリティ情報収集処理で取得された脆弱性情報の中から基本値情報を抽出し、また、インテリジェンス情報から必要な情報を抽出する。図22は、取得する脆弱性の基本値情報の具体例を示している。図22の例では、脆弱性情報(CVE-ID)ごとに、脆弱性の「説明」、「攻撃区分」、「攻撃条件の複雑さ」、「特権レベル」、「利用者の関与」、「機密性への影響」、「完全性への影響」、「可用性への影響」が含まれている。図23は、取得する脆弱性のインテリジェンス情報の具体例を示している。図23の例では、脆弱性情報(CVE-ID)ごとに、「影響を受けるシステム」、「攻撃コードの有無」、「対策」が含まれている。
【0071】
次に、基本値対応判断部143は、取得した基本値等に基づいた対応要否を判断する(S252~S257)。基本値対応判断部143は、図10及び図11に示したようなポリシー判定表を参照し、取得した基本値情報等に基づいて対応要否を判断する。図16では、一例として、特権レベル(S253)、利用者の関与(S254)、攻撃条件の複雑さ(S255)、セキュリティ対策状況(S256)、攻撃検知方法(S257)に基づいて判断する。なお、これらの処理の順番は特に限定されず、任意の順番で処理を行ってもよいし、平行して複数の処理を行ってもよい。また、取得された基本値情報等に含まれるその他の情報を含めて判断してもよい。例えば、基本値情報に含まれる「機密性への影響」、「完全性への影響」、「可用性への影響」等を用いてもよい。
【0072】
特権レベルの判断では(S253)、脆弱性の基本値情報の「特権レベル」とポリシー判定表の「特権レベル」の一致/不一致(ポリシーに含まれるか否か)により対応要否を判断する。特権レベルの判断により、脆弱性の基本値と情報システムのポリシーとの間で、認証や管理者権限(秘密情報へのアクセスが必要等)の要否が一致するか否か(ポリシーに含まれるか否か)確認する。例えば、情報システムのポリシーでは、脆弱性の攻撃に必要となる特権レベルが得られない状況であれば、即時対応は不要と判断する。例えば、特権レベルには、不要、低、中、高のように複数のレベルが含まれる。図22の脆弱性情報では、特権レベルが「不要」であり、図10のポリシー判定表では、ログサーバ及び制御管理サーバの特権レベルが「低以下」で「不要」含むため、対応不要と判断する。
【0073】
利用者の関与の判断では(S254)、脆弱性の基本値情報の「利用者の関与」とポリシー対応表の「利用者の関与」の一致/不一致により対応要否を判断する。利用者の関与の判断により、脆弱性の基本値と情報システムのポリシーとの間で、リンクのクリック、ファイル閲覧、設定の変更などユーザ動作の要否が一致するか否か確認する。例えば、脆弱性の基本値で利用者の操作が必要とされ、情報システムのポリシーで利用者の操作が可能である場合、リスクを伝えるため対応要とする。脆弱性の基本値で利用者の操作が必要とされ、情報システムのポリシーで利用者の操作が不可の場合、即時対応は不要と判断する。図22の脆弱性情報では、利用者の関与が「必要」であり、図10のポリシー判定表では、ログサーバの利用者の関与が「不要」、制御管理サーバの利用者の関与が「すべて」(要、不要どちらも含む)であるため、管理制御サーバについて対応要と判断する。
【0074】
攻撃条件の複雑さの判断では(S255)、脆弱性の基本値情報の「攻撃条件の複雑さ」とポリシー対応表の「攻撃条件の複雑さ」の一致/不一致(ポリシーに含まれるか否か)により対応要否を判断する。攻撃条件の複雑さの判断により、脆弱性の基本値と情報システムのポリシーとの間で、攻撃を成功させるために必要な情報(設定情報、シーケンス番号、共有鍵等)が一致するか否か(ポリシーに含まれるか否か)確認する。例えば、脆弱性の基本値で攻撃成功に必要な情報の入手が困難であり、情報システムのポリシーで攻撃成功に必要な情報が要求される場合、即時対応は不要と判断する。例えば、攻撃条件の複雑さには、無、低、中、高のように複数の段階が含まれる。図22の脆弱性情報では、攻撃条件の複雑さが「高」であり、図10のポリシー判定表では、ログサーバ及び制御管理サーバの攻撃条件の複雑さが「低以下」であるため、対応不要と判断する。
【0075】
セキュリティ対策状況の判断では(S256)、脆弱性のインテリジェンス情報の「対策」とポリシー対応表の「対策」の一致/不一致により対応要否を判断する。セキュリティ対策状況の判断により、脆弱性のインテリジェンス情報と情報システムのポリシーとの間で、仮想パッチなどの対策の要否が一致するか否か確認する。例えば、脆弱性のインテリジェンス情報で攻撃に悪用される脆弱性に対する対策(IDS/IPS、仮想パッチ)が存在し、情報システムのポリシーで対策が要求されていない場合、即時対応は不要であると判断する。図23の脆弱性情報では、対策が「公開」されており、図11のポリシー判定表では、ログサーバ及び制御管理サーバの攻撃条件の対策が「無」であるため、対応不要と判断する。
【0076】
攻撃検知方法の判断では(S257)、脆弱性のインテリジェンス情報の「攻撃コードの有無」とポリシー対応表の「攻撃コードの有無」の一致/不一致により対応要否を判断する。攻撃検知方法の判断により、脆弱性のインテリジェンス情報と情報システムのポリシーとの間で、脆弱性悪用時に発生する攻撃コードのログなどの攻撃の検知方法の要否が一致するか否か確認する。例えば、脆弱性のインテリジェンス情報でログが有りとされ、情報システムのポリシーで該当ログを収集ありとされている場合、ログを監視として暫定対処する(対応要と判断する)。
【0077】
基本値の各情報に基づいて対応要否を判断すると、基本値対応判断部143は、判断した基本値に基づく対応要否を設定する(S258)。例えば、S253~S257のそれぞれの判断結果を設定する。なお。環境値に基づいて対応不要と判断された場合、基本値の対応も不要であると判断する。
【0078】
続いて、判断装置100は、判断結果出力処理を行う(S205)。図17に示すように、判断結果出力処理では、基本値(現状値及び環境値)に基づく対応要否に応じて(S261)、判断結果を出力する。
【0079】
基本値に基づいて対応要と判断された場合(基準値のいずれかの情報で判断された場合)、すなわち、現状値判断処理、環境値判断処理及び基本値判断処理の全てで対応要と判断された場合、出力部150は、全ての判断結果を出力する。この例では、現状値の判断結果(S262)、環境値の判断結果(S263)、基本値の判断結果(S264)に加えて、脆弱性のチェックリスト(S265)を出力する。なお、出力する順番は、これに限らず、任意の順番に出力してもよいし、複数の情報をまとめて出力してもよい。
【0080】
チェックリストは、脆弱性について確認すべき項目のチェックリストである。例えば、確認項目には、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)、仮想パッチ等のシグネチャ、該当要否確認の詳細条件(サービス起動の有無等、確実に該当しているか判断に必要な情報)等が含まれる。
【0081】
図24は、環境値及び現状値の判断結果の出力例である。出力部150は、例えば、図24に示すように、表示画面501に環境値及び現状値の判断結果を表示する。なお、表示画面501のイメージを示すレポートを通知してもよい。図24の例では、表示画面501は、システム情報表示領域501a、攻撃経路情報表示領域501b、参考情報表示領域501cを有する。システム情報表示領域501a及び攻撃経路情報表示領域501bに、環境値の情報(抽出した攻撃経路)を表示し、参考情報表示領域501cに、現状値の情報(現状の対策情報等)を表示する。
【0082】
システム情報表示領域501aには、脆弱性を分析した情報システム400のシステム構成を表示し、設定された侵入口と攻撃目標を表示し、抽出した侵入口から攻撃目標までの攻撃経路を表示する。すなわち、システム情報表示領域501aには、環境値により対応要と判断した攻撃経路を表示する。また、分析した攻撃経路の攻撃ステップ(攻撃手順)を表示する。例えば、攻撃ステップA1では、OA端末411がメールで感染すること、攻撃ステップA2では、ログサーバ421に侵入される恐れがあること、攻撃ステップA3では、監視制御サーバ423で脆弱性の悪用の恐れがあることを表示する。
【0083】
攻撃経路情報表示領域501bには、システム情報表示領域501aに表示した攻撃経路に対する詳細情報(危険性等)を表示する。システム情報表示領域501aに表示した攻撃経路の攻撃ステップに対応して表示する。例えば、攻撃ステップA1の表示では、OA端末411が攻撃される危険性があることを説明する。また、攻撃ステップA2の表示では、ログサーバ421に侵入される危険性があることを説明する。攻撃ステップA3の表示では、攻撃ステップA2の後、攻撃目標と設定した監視制御サーバ423に侵入される危険性があることを説明する。
【0084】
参考情報表示領域501cには、攻撃経路情報表示領域501bに表示した攻撃経路の詳細情報に対する参考情報を表示する。攻撃経路情報表示領域501bと同様、攻撃経路の攻撃ステップに対応して表示する。すなわち、参考情報表示領域501cには、現状値及び環境値により対応要と判断した脆弱性の現状値情報を表示する。例えば、現状値の情報として、その脆弱性を公開しているWebサイトのリンク情報(情報源)、攻撃方法、攻撃事例、緩和策等を表示する。例えば、攻撃ステップA1の表示では、OA端末411への攻撃のために悪用される可能性のある脆弱性の情報を表示し、攻撃ステップA2の表示では、ログサーバ421への侵入のために悪用される可能性のある脆弱性の情報を表示し、攻撃ステップA3の表示では、監視制御サーバ423への侵入のために悪用される可能性のある脆弱性の情報を表示する。
【0085】
図25は、基本値の判断結果の出力例である。出力部150は、例えば、図25に示すように、基本値の判断結果として、対応要と判断した脆弱性の基本値情報を任意の形式で出力する。出力する基本値情報は、図22に示した基本値情報と同様であり、例えば、ポリシー判定表に該当する部分を区別して(例えば太文字や赤字等)表示する。
【0086】
図26は、チェックリストの出力例である。出力部150は、例えば、図26に示すように、基本値の判断として収集した脆弱性の基本値情報やインテリジェンス情報を任意の形式で出力する。図26の例では、チェックリストには、脆弱性ごとに「内容」、「攻撃コード」、「確認事項」が含まれる。「内容」は、基本値情報の「説明」の情報である。「攻撃コード」は、インテリジェンス情報の「攻撃コードの有無」の情報である。「確認事項」は、インテリジェンス情報の「影響を受けるシステム」に対応した情報である。
【0087】
<効果>
以上のように、本実施の形態では、CVSSの評価基準を用いた脆弱性の対応要否の判断において、環境値については、攻撃グラフ技術を用いて攻撃経路を抽出することで評価を行って、対応要否を判断する。また、現状値及び基本値については、現状値及び基本値と情報システムの対応を定めた対応判断表及びポリシー判定表を用いることで評価を行って、対応要否を判断する。さらに、環境値、現状値及び基本値の判断結果に基づいて、例えば対応要の場合に、その判断結果を出力し、可視化可能とした。
【0088】
これにより、日々新たに発見される脆弱性の対応要否を自動的に判断することができる。環境値、現状値及び基本値の数値ではなく、対応要否を判断し、その結果を出力することで、ユーザは対応が必要な脆弱性を具体的に把握することができる。例えば、環境値については、攻撃経路の有無により対応要否を決め、その攻撃経路を出力するため、攻撃による被害度合いを可視化することができ、ユーザは影響のある範囲や対応が必要となる根拠を明確に把握することができる。
【0089】
また、情報システムの対応を定めた対応判断表やポリシー判定表を用いることで、情報システムに合わせて基本値や現状値を評価することができる。対応が必要な脆弱性の情報として、現状値の参考情報や基本値情報を出力することで、ユーザは必要な情報をまとめて取得することができる。さらに、脆弱性のチェックリストを出力することで、ユーザが確認すべき項目を把握することができる。
【0090】
例えば、基本値のみで評価すると、現状の情報システムに合った評価をすることは困難であるが、基本値の評価に加えて、環境値や現状値を評価することで、適切に対応要否を判断することができる。基本値、環境値及び現状値の判断結果を組み合わせることで、不要な脆弱性の情報が出力されることを抑え、必要な脆弱性の情報のみを出力することができる。
【0091】
なお、上述の実施形態における各構成は、ハードウェア又はソフトウェア、もしくはその両方によって構成され、1つのハードウェア又はソフトウェアから構成してもよいし、複数のハードウェア又はソフトウェアから構成してもよい。各装置及び各機能(処理)を、図27に示すような、CPU(Central Processing Unit)等のプロセッサ21及び記憶装置であるメモリ22を有するコンピュータ20により実現してもよい。例えば、メモリ22に実施形態における方法を行うためのプログラム(分析プログラム)を格納し、各機能を、メモリ22に格納されたプログラムをプロセッサ21で実行することにより実現してもよい。
【0092】
これらのプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【0093】
また、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
【0094】
以上、実施の形態を参照して本開示を説明したが、本開示は上記実施の形態に限定されるものではない。本開示の構成や詳細には、本開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
【0095】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSS(Common Vulnerability Scoring System)の環境評価基準を評価する環境評価手段と、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価する基本評価手段と、
前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断する判断手段と、
を備える分析装置。
(付記2)
前記環境評価手段は、前記環境評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断する、
付記1に記載の分析装置。
(付記3)
前記環境評価手段は、前記脆弱性を適用した情報システムに基づいた攻撃グラフを生成し、前記生成した攻撃グラフから前記攻撃経路を抽出する、
付記2に記載の分析装置。
(付記4)
前記環境評価手段は、前記攻撃グラフから前記攻撃経路を抽出できた場合、前記脆弱性の対応要と判断する、
付記3に記載の分析装置。
(付記5)
前記環境評価手段は、前記情報システムにおける前記脆弱性を有する重要資産の有無と、前記重要資産の外部接続の有無とに応じて、前記攻撃経路を抽出する、
付記2乃至4のいずれかに記載の分析装置。
(付記6)
前記環境評価手段は、前記情報システムにおいて前記脆弱性を有する重要資産が無い場合、または、前記重要資産に外部接続が無い場合、前記攻撃経路を抽出する、
付記5に記載の分析装置。
(付記7)
前記環境評価手段は、前記情報システムにおいて前記脆弱性を有する重要資産が有り、かつ、前記重要資産に外部接続が有る場合、前記脆弱性の対応要と判断する、
付記5又は6に記載の分析装置。
(付記8)
取得される前記脆弱性のCVSS現状値情報と前記情報システムの所定の現状値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの現状評価基準を評価する現状評価手段を、さらに備え、
前記判断手段は、前記環境評価基準の評価結果と前記基本評価基準の評価結果と前記現状評価基準に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断する、
付記1乃至7のいずれかに記載の分析装置。
(付記9)
前記現状評価手段は、前記現状評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断する、
付記8に記載の分析装置。
(付記10)
前記現状値対応判断条件は、前記CVSS現状値情報の現状値算出要素と前記情報システムにおける前記脆弱性の対応要否とを関連付けた条件である、
付記9に記載の分析装置。
(付記11)
前記現状値算出要素は、攻撃方法の有無、攻撃事例の有無、または緩和策の有無を含む、
付記10に記載の分析装置。
(付記12)
前記現状評価手段は、前記CVSS現状値情報の前記攻撃事例が有り、かつ、前記CVSS現状値情報の前記緩和策が有りの場合、前記脆弱性の対応要と判断する、
付記11に記載の分析装置。
(付記13)
前記基本評価手段は、前記基本評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断する、
付記1乃至12のいずれかに記載の分析装置。
(付記14)
前記基本値対応判断条件は、前記CVSS基本値情報の基本値算出要素ごとに前記情報システムにおけるシステム特性を関連付けた条件である、
付記13に記載の分析装置。
(付記15)
前記基本評価手段は、前記CVSS基本値情報の基本値算出要素の情報と、前記基本値対応判断条件の前記システム特性とが対応している場合、前記脆弱性の対応要と判断する、
付記14に記載の分析装置。
(付記16)
前記基本値算出要素は、攻撃条件の複雑さ、特権レベル、または利用者の関与を含む、
付記14または15に記載の分析装置。
(付記17)
前記基本値対応判断条件は、さらに、対策情報の有無、攻撃検知方法の有無を含む、
付記14乃至15のいずれかに記載の分析装置。
(付記18)
前記脆弱性の対応要否の判断結果に応じて、前記環境評価基準の評価結果と前記基本評価基準の評価結果を出力する出力手段をさらに備える、
付記1乃至17のいずれかに記載の分析装置。
(付記19)
前記出力手段は、前記環境評価基準の評価結果として、前記抽出された攻撃経路を出力する、
付記18に記載の分析装置。
(付記20)
前記出力手段は、前記基本評価基準の評価結果として、前記基本値対応判断条件との対応が示された前記脆弱性のCVSS基本値情報を出力する、
付記18または19に記載の分析装置。
(付記21)
前記出力手段は、前記基本評価基準の評価結果として、前記情報システムにおいて前記脆弱性の確認事項を示すチェックリストを出力する、
付記20に記載の分析装置。
(付記22)
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの環境評価基準を評価し、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、
前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断する、
分析方法。
(付記23)
前記環境評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断する、
付記22に記載の分析方法。
(付記24)
分析対象の脆弱性を適用した情報システムから抽出される攻撃経路に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの環境評価基準を評価し、
取得される前記脆弱性のCVSS基本値情報と前記情報システムの所定の基本値対応判断条件に基づいて、前記情報システムにおける前記脆弱性に対するCVSSの基本評価基準を評価し、
前記環境評価基準の評価結果と前記基本評価基準の評価結果に基づいて、前記情報システムにおける前記脆弱性の対応要否を判断する、
処理をコンピュータに実行させるための分析プログラム。
(付記25)
前記環境評価基準の評価として、前記情報システムにおける前記脆弱性の対応要否を判断する、
付記24に記載の分析プログラム。
【符号の説明】
【0096】
1 分析システム
10 分析装置
11 環境評価部
12 基本評価部
13 判断部
20 コンピュータ
21 プロセッサ
22 メモリ
100 判断装置
110 セキュリティ情報収集部
120 現状値判断部
121 対応判断表記憶部
122 現状値取得部
123 現状値対応判断部
130 環境値判断部
131 分析要素設定部
132 攻撃経路分析部
133 攻撃経路抽出部
134 環境値対応判断部
140 基本値判断部
141 ポリシー判定表記憶部
142 基本値取得部
143 基本値対応判断部
150 出力部
200 システム構成情報DB
300 脆弱性情報DB
400 情報システム
401 インターネット
410 情報ネットワーク
411 OA端末
420 制御ネットワーク
421 ログサーバ
422 保守サーバ
423 監視制御サーバ
424 HMI
430 フィールドネットワーク
431 IoT機器
432 FA機器
501 表示画面
501a システム情報表示領域
501b 攻撃経路情報表示領域
501c 参考情報表示領域
FW1、FW2 ファイヤーウォール
PLC1、PLC2 プログラマブルロジックコントローラ
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
図20
図21
図22
図23
図24
図25
図26
図27