ホーム > 特許ランキング > 株式会社日立ソリューションズ
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-21
(45)【発行日】2024-03-01
(54)【発明の名称】インシデント情報分析装置、分析方法、および分析プログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20240222BHJP
G06F 21/55 20130101ALI20240222BHJP
【FI】
G06F21/57 370
G06F21/55 340
【請求項の数】
10
(21)【出願番号】P 2020083133
(22)【出願日】2020-05-11
(65)【公開番号】P2021179660
(43)【公開日】2021-11-18
【審査請求日】2023-01-27
(73)【特許権者】
【識別番号】000233055
【氏名又は名称】株式会社日立ソリューションズ
(74)【代理人】
【識別番号】110000279
【氏名又は名称】弁理士法人ウィルフォート国際特許事務所
(72)【発明者】
【氏名】チェン イーウェン
(72)【発明者】
【氏名】山▲崎▼ 裕紀
(72)【発明者】
【氏名】岡田 健一
(72)【発明者】
【氏名】鈴木 則夫
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2018-077598(JP,A)
【文献】特開2019-168869(JP,A)
【文献】特開2007-122749(JP,A)
【文献】特開2020-160611(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
インシデント情報の文章から単語を抽出し、該単語に対応する情報処理装置の要素を識別する要素識別部と、前記インシデント情報から抽出された単語に対応する前記要素の組み合わせに基づいて、当該インシデント情報に示された攻撃が辿る攻撃経路を特定する攻撃経路特定部と、
前記識別された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定する構成推定部と、を有するインシデント情報分析装置。
【請求項2】
前記攻撃経路は、複数の要素とその順序により示され、前記攻撃経路特定部は、前記インシデント情報における前記要素の登場順序を、前記攻撃経路における前記要素の順序とする、
請求項1に記載のインシデント情報分析装置。
【請求項3】
前記構成推定部は、情報処理装置のシステム構成と攻撃経路とを対応付けるシステム構成攻撃経路対応付け情報を管理し、前記特定された攻撃経路が前記システム構成攻撃経路対応付け情報に含まれていれば、当該攻撃経路に対応するシステム構成を前記情報処理装置のシステム構成と推定し、前記特定された攻撃経路が前記システム構成攻撃経路対応付け情報に含まれていなければ、当該攻撃経路に対応するシステム構成を前記システム構成攻撃経路対応付け情報に登録することを分析者に促す、請求項1に記載のインシデント情報分析装置。
【請求項4】
前記システム構成攻撃経路対応付け情報に含まれているシステム構成と、管理対象装置のシステム構成との類似度を算出する構成比較部と、攻撃経路と該攻撃経路の攻撃に対する対策とを対応付けた対策情報を管理し、前記システム構成攻撃経路対応付け情報において、前記管理対象装置のシステム構成と所定の類似度を有するシステム構成に対応する攻撃経路の、前記対策情報において対応する対策を提示する対策提示部と、を更に有する、
請求項3に記載のインシデント情報分析装置。
【請求項5】
システム構成は、各階層に存在する要素が定められた階層構造を有する情報であり、前記構成比較部は、システム構成における各階層の要素同士の類似度を合成して前記類似度を算出する、
請求項4に記載のインシデント情報分析装置。
【請求項6】
前記対策情報には、攻撃経路と対策とに加え、前記対策による効果が対応付けられており、前記対策提示部は、前記類似度と、前記対策情報において前記対策に対応する効果とに基づいて、前記対策の前記管理対象装置に対する効果を算出し、前記対策と共に提示する、
請求項4に記載のインシデント情報分析装置。
【請求項7】
前記インシデント情報と、前記インシデント情報に対応する前記攻撃経路および前記システム構成と、を画面に表示する出力部を更に有する、請求項1に記載のインシデント情報分析装置。
【請求項8】
提示された前記対策と前記対策の前記管理対象装置に対する効果とを対応付けて画面に表示する出力部を更に有する、請求項6に記載のインシデント情報分析装置。
【請求項9】
インシデント情報に含まれる、情報処理装置の要素の記載を抽出し、前記インシデント情報から抽出された前記要素の組合せに基づいて、前記インシデント情報に示された攻撃が辿る攻撃経路を特定し、
前記抽出された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定することを、
前記情報処理装置のインシデント情報を分析するためのコンピュータが実行するインシデント情報分析方法。
【請求項10】
インシデント情報に含まれる、情報処理装置の要素の記載を抽出し、前記インシデント情報から抽出された前記要素の組合せに基づいて、前記インシデント情報に示された攻撃が辿る攻撃経路を特定し、
前記抽出された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定することを、
前記情報処理装置のインシデント情報を分析するためのコンピュータに実行させるためのインシデント情報分析プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インシデント情報を分析する技術に関する。
【背景技術】
【0002】
近年、情報化社会の進展に伴って様々な情報処理装置が利用されている。これらの情報処理装置は、日々様々な攻撃の脅威に晒されている。近年の情報化社会の多くはこのような情報処理装置によって制御されているため、企業の情報処理システムや社会インフラシステムが攻撃を受けるとその被害の影響は大きい。
【0003】
しかし、攻撃対象となりうる情報処理装置の構成に応じて、攻撃を受ける前にあるいは攻撃を受けたときに適切な対策を適用すれば、攻撃を未然に防いだり、被害を最小限に抑えたりできる場合も多い。
【0004】
特許文献1には、脅威項目の攻撃経路に含まれるコンポーネントの情報とセキュリティ対策の効果値とから、各セキュリティ対策が大規模システム全体に対してどの程度の効果があるのかを算出することが開示されている。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2018-77597号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
情報処理装置への攻撃に関連する情報(インシデント情報)は、インターネットやSNS(Social Networking Service)に存在することがある。このようなインシデント情報を活用することで情報処理装置の弱点や有効な対策が見つかることもある。そのため、例えば、企業等の組織内では、PSIRT(Product Cequrity Incident Response Team)によって、インターネットやSNSから、情報処理装置への攻撃に関連するインシデント情報を収集し、それを分析し、情報処理装置のセキュリティ維持に役立てるといったことが行われる。
【0007】
しかし、攻撃対象とされる情報処理装置の構成は様々であり、またインシデント情報の内容や表現も様々であることから、インシデント情報を分析して有益な情報を得るには分析者に専門知識が求められ、その作業には長時間を要する。
【0008】
本開示のひとつの目的は、インシデント情報の分析を支援する技術を提供することである。
【課題を解決するための手段】
【0009】
本開示のひとつの態様によるインシデント情報分析装置は、インシデント情報の文章から単語を抽出し、該単語に対応する情報処理装置の要素を識別する要素識別部と、前記インシデント情報から抽出された単語に対応する前記要素の組み合わせに基づいて、当該インシデント情報に示された攻撃が辿る攻撃経路を特定する攻撃経路特定部と、前記識別された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定する構成推定部と、を有する。
【発明の効果】
【0010】
本開示のひとつの態様によれば、インシデント情報の分析を支援することが可能となる。
【図面の簡単な説明】
【0011】
【図1】実施形態によるインシデント情報分析システムのブロック図である。
【図12】構成推定部から出力部を介して出力される構成特定結果出力画面を示す図である。
【図18】対策提示部から出力部を介して出力される影響判定結果出力画面を示す図である。
【発明を実施するための形態】
【0012】
以下に、本発明の実施形態について図面を参照して説明する。なお、以下の本願明細書においては、要素とは、情報処理装置に含まれる、コンポーネント部品やインタフェースや通信路など各部のハードウェア、アプリケーションやツールなどのソフトウェア、個人情報や演算結果などのデータなどを示す。また、攻撃経路は、情報処理装置における攻撃が辿った経路であり、要素およびその順序で示される。例えば、サーバにアクセスしてサーバのメモリ上の個人情報を摂取あるいは改ざんするという攻撃であれば、最初のアクセス先の要素からいくつかの要素を経由してターゲットである個人情報に到達する。その場合、アクセス先の要素からターゲットの要素(個人情報)までに存在する要素およびその順序が攻撃経路を示す。また、構成情報とは、情報処理装置に含まれる要素およびその要素の相互関係が示す構成であり、要素およびその要素同士の接続により示される。
【0013】
図1は、実施形態によるインシデント情報分析システムのブロック図である。本実施形態によるインシデント情報分析システムは図1に示すように、入力装置11と、出力装置12と、インシデント情報分析装置13とを有し、入力装置11及び出力装置12がユーザ90からアクセス可能に構成されている。入力装置11は、ユーザ90がインシデント情報分析装置13にインシデント情報や自社製品構成情報を入力するためのものである。出力装置12は、インシデント情報分析装置13からの構成特定結果や影響判定結果をユーザ90に提示出力するためのものである。
【0014】
図2は、図1に示したインシデント情報分析装置13の構成を示すブロック図である。図1に示したインシデント情報分析装置13は、図2に示すように、入力部301と、出力部302と、要素識別部303と、攻撃経路特定部304と、構成推定部305と、構成比較部306と、対策提示部307と、セキュリティ要素データベース308と、攻撃経路定義データベース309と、製品構成データベース310と、自社製品データベース311と、対策データベース312とを有している。
【0015】
入力部301は、ユーザ90が入力装置11を介して入力したインシデント情報や自社製品構成情報を受け付ける。
【0016】
出力部302は、構成特定結果や影響判定結果を出力装置302に出力する。
【0017】
要素識別部303は、入力部301にて受け付けたインシデント情報の文章から単語を抽出し、抽出した単語に対応する情報処理装置の要素を識別する。
【0018】
攻撃経路特定部304は、要素識別部303にて識別された要素の組み合わせに基づいて、その要素に対応する単語が抽出されたインシデント情報に示された攻撃が辿る攻撃経路を特定する。
【0019】
構成推定部305は、要素識別部303にて識別された要素と、攻撃経路特定部304にて特定された攻撃経路とに基づいて、情報処理装置のシステム構成に関する構成情報を推定する。また、構成推定部305は、情報処理装置のシステム構成と攻撃経路とを対応付けるシステム構成攻撃経路対応付け情報を製品構成データベース310として管理する。そして、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていれば、その攻撃経路に対応するシステム構成を情報処理装置のシステム構成と推定し、また、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていなければ、その攻撃経路に対応するシステム構成をシステム構成攻撃経路対応付け情報として製品構成データベース310に登録することを分析者に促す。
【0020】
構成比較部306は、製品構成データベース310として管理されるシステム構成攻撃経路対応付け情報に含まれているシステム構成と、管理対象装置のシステム構成との類似度を算出する。
【0021】
対策提示部307は、攻撃経路とその攻撃経路の攻撃に対する対策とを対応付けた対策情報を対策データベース312として管理し、製品構成データベース310として管理されるシステム構成攻撃経路対応付け情報において、管理対象装置のシステム構成と所定の類似度を有するシステム構成に対応する攻撃経路の、対策情報において対応する対策を提示する。
【0022】
以下に、上記のように構成されたインシデント情報分析システムにおけるインシデント情報分析方法について説明する。
【0023】
図3は、図1及び図2に示したインシデント情報分析システム全体の処理を示すシーケンス図である。図4は、図1及び図2に示したインシデント情報分析システムにおけるインシデント情報分析方法を説明するためのフローチャートである。
【0024】
図1及び図2に示したインシデント情報分析システムにおいてユーザ90がインシデント情報の分析を行うために、インシデント情報の文章を入力装置11に入力すると、入力されたインシデント情報の文章はインシデント情報分析装置13の入力部310を介して要素識別部303に入力される。すると、要素識別部303において、入力されたインシデント情報から要素が識別される(ステップ401)。
【0025】
【0026】
図1に示した入力装置11に表示されるインシデント情報入力画面としては例えば、図5に示すように、インシデント情報を入力するためのインシデント情報入力領域D01と、執行項目を指定するための執行項目指定領域D02と、インシデント情報の分析の実行を開始するための実行ボタンD03とが設けられたものが考えられる。
【0027】
ユーザ90は、執行項目指定領域D02にて執行項目を指定するとともに、インシデント情報入力領域D01にインシデント情報を入力し、実行ボタンD03を押下することになる。なお、インシデント情報入力領域D01へのインシデント情報の入力は、インシデント情報の文章をそのまま入力してもよいし、インシデント情報のURL等を指定してもよい。
【0028】
【0029】
要素識別部303においては、インシデント情報が入力部310を介して入力されるとまず、入力されたインシデント情報からシステムの種類が識別される(ステップ4011)。
【0030】
次に、要素識別部303においては、インシデント情報の文章から単語が抽出される(ステップ4012)。
【0031】
次に、要素識別部303においては、セキュリティ要素データベース308が参照され、抽出された単語のそれぞれについて対応する要素が識別される(ステップ4013)。
【0032】
【0033】
図7に示すように、図2に示したセキュリティ要素データベース308には、システムの種別毎に、単語に対応する要素が登録されている。そのため、要素識別部303においては、インシデント情報から単語が抽出されると、抽出された単語のそれぞれについて対応する要素を識別することができる。
【0034】
そして、入力されたインシデント情報に新たな単語が存在しない場合は(ステップ4014)、要素識別部303における要素識別処理を終了する。
【0035】
一方、入力されたインシデント情報に新たな単語が存在する場合は、その新たな単語と対応する要素がセキュリティ要素データベース308に登録され(ステップ4015)、ステップ4011の処理に戻る。
【0036】
要素識別部303における要素識別処理が終了すると次に、攻撃経路特定部304において、攻撃経路が特定される(ステップ402)。
【0037】
【0038】
攻撃経路特定部304においては、要素識別部303にて要素が識別されると、攻撃経路定義データベース309が参照され、識別された要素の組み合わせに基づいて、その要素に対応する単語が抽出されたインシデント情報に示された攻撃が辿る攻撃経路が特定される(ステップ4021)。
【0039】
【0040】
図9に示すように、図2に示した攻撃経路定義データベース309には、システムの種類に応じて種別や詳細などからなる要素が対応づけられて要素識別番号によって識別可能に登録されているとともに、要素識別番号によって識別される要素に対する攻撃の経路がその要素と順序により示され、攻撃経路識別番号によって識別可能に登録されている。そのため、攻撃経路特定部304においては、要素識別部303にて識別された要素の組み合わせに基づいて、その要素に対応する単語が抽出されたインシデント情報に示された攻撃が辿る攻撃経路を特定することができる。その際、上述したように、攻撃経路が複数の要素とその順序により示されているため、攻撃経路特定部304は、インシデント情報における要素の登場順序を、攻撃経路における要素の順序とすることができる。このように、インシデント情報の文章構造における要素の登場順序を、攻撃経路にて要素を辿る順序とすることで、分析者は攻撃経路を容易に推定することができる。
【0041】
なお、本例においては、要素識別番号によって識別される要素に対する攻撃の経路がその要素と順序により示されているが、攻撃の順序が示されていなくてもよい。
【0042】
攻撃経路特定部304における攻撃経路特定処理が終了すると次に、構成推定部305において、要素識別部303にて識別された要素と、攻撃経路特定部304にて特定された攻撃経路とに基づいて、情報処理装置のシステム構成に関する構成情報が推定される(ステップ403)。
【0043】
【0044】
構成推定部305においては、攻撃経路特定部304にて攻撃経路が特定されると、製品構成データベース310が参照され、特定された攻撃経路が製品構成データベース310に登録されているかどうかが確認される(ステップ4031)。
【0045】
【0046】
図11に示すように、図2に示した製品構成データベース310には、攻撃経路に対応するシステム構成が製品番号によって識別可能に登録されている。攻撃経路は、図9に示した攻撃経路識別番号がその要素の組み合わせとともに登録されている。これらの情報は、自社製品ではなく、インターネットやSNSから収集されたインシデント情報から推定されたシステム構成に関する情報である。
【0047】
構成推定部305においては、このような構成の製品構成データベース310が参照され、攻撃経路特定部304にて特定された攻撃経路が製品構成データベース310に登録されている場合は、特定された攻撃経路に対応するシステム構成が推定される(ステップ4032)。
【0048】
一方、攻撃経路特定部304にて特定された攻撃経路が製品構成データベース310に登録されていない場合は、特定された攻撃経路とそのシステム構成が製品構成データベース310に登録される(ステップ4033)。
【0049】
このように、構成推定部305は、情報処理装置のシステム構成と攻撃経路とを対応付けるシステム構成攻撃経路対応付け情報を製品構成データベース310として管理しておき、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていれば、その攻撃経路に対応するシステム構成を情報処理装置のシステム構成と推定し、また、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていなければ、その攻撃経路に対応するシステム構成をシステム構成攻撃経路対応付け情報として製品構成データベース310に登録することを分析者に促すことになる。それにより、インシデント情報にて攻撃対象となった情報処理装置のシステム構成を容易に推定することができる。また、製品構成データベース310のシステム構成攻撃経路対応付け情報に含まれていない情報の追加を分析者に促すことにより、システム構成攻撃経路対応付け情報を拡張することができる。
【0050】
また、インシデント情報分析装置12が、インシデント情報に基づいて要素を識別し、その要素の組合せに基づいて攻撃経路を特定し、その攻撃経路から情報処理装置のシステム構成を推定するので、分析者はインシデント情報を容易に分析することができる。
【0051】
このようにして構成推定部305にてシステム構成が推定されると、推定されたシステム構成が出力部302を介して出力装置12に出力され、ユーザ90に提示される(ステップ404)。
【0052】
図12は、構成推定部305から出力部302を介して出力される構成特定結果出力画面を示す図である。
【0053】
図12に示すように、構成推定部305から出力部302を介して出力され、出力装置12にて表示出力される構成特定結果出力画面には、対応するインシデント情報D04と、インシデント情報に対応する攻撃経路およびシステム構成D05とが表示されるとともに、分析をやり直すためのやり直しボタンD06と、結果を印刷するための印刷ボタンD07と、終了ボタンD08とが設けられている。
【0054】
このように、出力部302から、対応するインシデント情報と、インシデント情報に対応する攻撃経路およびシステム構成とが出力され、画面に表示されるので、分析者は容易に分析結果を知得することができる。
【0055】
構成推定部305におけるシステム構成推定処理が終了すると次に、構成比較部306において、製品構成データベース310として管理されるシステム構成攻撃経路対応付け情報に含まれているシステム構成と、管理対象装置のシステム構成との類似度が算出される(ステップ405)。
【0056】
【0057】
構成比較部306においては、製品構成データベース310に登録されたシステム構成が構成推定部305を介して取得されるとともに(ステップ4051)、自社製品データベース311から自社製品のシステム構成が取得されると(ステップ4052)、まず、これらのシステム構成の入力があるかどうかが確認される(ステップ4053)。
【0058】
【0059】
図14に示すように、図2に示した自社製品データベース311には、ユーザ90の属する企業などの組織の製品のそれぞれについて、その種類毎に、コンポーネントやソフトウェアの名称と、メーカー名と、そのバージョンと、ライセンス、さらには、連接あるいは実装されるコンポーネントの数とが、番号によって識別可能に登録されている。
【0060】
構成比較部306においては、製品構成データベース310に登録されたシステム構成と、自社製品データベース311に登録された自社製品のシステム構成とのいずれの入力もない場合は、入力装置11を介したユーザ90の入力により、自社製品のシステム構成が取得される(ステップ4054)。
【0061】
【0062】
図15に示すように、図2に示した自社製品データベース311に自社製品のシステム構成を登録する際の自社製品構成入力画面には、入力された自社製品のシステム構成が表示されるシステム構成表示領域D09と、影響判定を行う際に押下される影響判定実行ボタンD10とが設けられている。
【0063】
ユーザ90は、図15に示した自社製品構成入力画面を用いて、自社製品のシステム構成を入力装置11を介して入力することになる。
【0064】
入力装置11を介して入力された自社製品のシステム構成は、入力部301を介して構成比較部306にて取得され、自社製品データベース311に登録され(ステップ4055)、ステップ4052における処理に戻る。
【0065】
一方、製品構成データベース310に登録されたシステム構成と、自社製品データベース311に登録された自社製品のシステム構成とのいずれの入力がある場合は、構成比較部306においては、これらのシステム構成について、インタフェースの一番近い層から一番遠い層まで、順次類似度が算出されていく(ステップ4056A,4057,4058,4056B)。
【0066】
全ての階層について類似度が算出されると、構成比較部306においては、各階層の評価結果に基づいてシステム全体の類似度が算出される(ステップ4059)。具体的には、情報処理装置Aのシステム構成において、階層xがxa、階層yがya、階層zがzaであるとし、情報処理装置Bのシステム構成において、階層xがxb、階層yがyb、階層zがzbであるとした場合、情報処理装置Aと情報処理装置Bのシステム構成の類似度は、(類似度(xa,xb))×(類似度(ya,yb))×(類似度(za,zb))となる。なお、類似度(xa,xa)は要素の種別毎に予め定めておけばよい。例えば、物理的なコンポーネント部品であれば、規格、メーカー、バージョンなどの項目の一致の度合いにより類似度を定めてもよい。
【0067】
このように、システム構成が、各階層に存在する要素が定められた階層構造を有する情報である場合、構成比較部306においてシステム構成における各階層の要素同士の類似度を合成して類似度が算出されて定量評価されるので、分析者は容易に所定の類似度を有する情報処理装置への対策を得ることができる。
【0068】
構成比較部306における構成比較処理が終了すると、次に、対策提示部307においいて、インシデントへの対策および効果が算出されて提示される(ステップ406)。
【0069】
【0070】
対策提示部307においてはまず、自社製品と類似度の高い製品が特定され(ステップ4061)、類似製品のシステム構成に有効な対策が特定される(ステップ4062)。
【0071】
次に、対策提示部307において、対策データベース312が参照され、特定された対策の効果が算出される(ステップ4063)。
【0072】
【0073】
図17に示すように、図2に示した対策データベース312には、攻撃経路と、その攻撃経路に有効な対策と、その効果とが対応づけて登録されている。そのため、対策提示部307においては、特定された対策の効果を算出することができる。このように、図2に示した対策データベース312には、対策情報として、攻撃経路と対策とに加え、対策による効果が対応付けられている。
【0074】
その後、対策提示部307において、算出された効果が、特定された対策とともに提示される(ステップ4063)。具体的には、対策提示部にて算出された効果が特定された対策とともに出力部302によって出力装置12にて表示出力されることになる。
【0075】
図18は、対策提示部307から出力部302を介して出力される影響判定結果出力画面を示す図である。
【0076】
図18に示すように、対策提示部307から出力部302を介して出力され、出力装置12にて表示出力される影響判定結果出力画面には、自社製品への影響の有無を示す影響判定D11と、その対応の緊急度D120と、構成比較部306にて算出された類似度D14と、システム構成並びにその推奨対策及びそれによる効果D14とが表示されるとともに、対策と効果の算出をやり直すためのやり直しボタンD15と、結果を印刷するための印刷ボタンD16と、終了ボタンD17とが設けられている。
【0077】
このように、システム構成の類似度に基づいて選択された管理対象装置への対策が提示されるので、分析者は管理対象装置への攻撃に対する有効な対策を容易に推定することができる。
【0078】
また、対策提示部307において、構成比較部306にて算出された類似度と、対策データベース312に登録された対策情報においてその対策に対応する効果とに基づいて、対策の管理対象装置に対する効果が算出され、対策と共に提示されることにより、分析者は、提示された対策を自身の管理する情報処理装置に適用した場合に期待される効果を知ることができる。その際、提示された対策とその対策の管理対策装置に対する効果とが、出力部302によって対応付けて画面に表示されることで、分析者は容易に対策とその効果を知得することができる。
【0079】
なお、本形態におけるインシデント情報分析装置13は、CPU、メモリ等を有し、CPUがメモリを利用して、ソフトウェアプログラムを実行するコンピュータによるものである。
【0080】
上述した実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の範囲を逸脱することなしに、他の様々な態様で本発明を実施することができる。
【符号の説明】
【0081】
10…インシデント情報分析システム、11…入力装置、12…出力装置、13…インシデント情報分析装置、90…ユーザ、301…入力部、302…出力部、303…要素識別部、304…攻撃経路特定部、305…構成推定部、306…構成比較部、307…対策提示部、308…セキュリティ要素データベース、309…攻撃経路定義データベース、310…製品構成データベース、311…自社製品データベース、312…対策データベース
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】