知財求人 - 知財ポータルサイト「IP Force」
特許7484453情報処理プログラム、情報処理装置、情報処理システム及び情報処理方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-08
(45)【発行日】2024-05-16
(54)【発明の名称】情報処理プログラム、情報処理装置、情報処理システム及び情報処理方法
(51)【国際特許分類】
G06F 11/30 20060101AFI20240509BHJP
G06F 11/36 20060101ALI20240509BHJP
G06F 21/57 20130101ALI20240509BHJP
【FI】
G06F11/30 172
G06F11/30 140A
G06F11/36 168
G06F21/57 370
【請求項の数】
6
(21)【出願番号】P 2020099713
(22)【出願日】2020-06-08
(65)【公開番号】P2021193527
(43)【公開日】2021-12-23
【審査請求日】2023-03-09
(73)【特許権者】
【識別番号】000005223
【氏名又は名称】富士通株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】大堀 龍一
(72)【発明者】
【氏名】小久保 博崇
(72)【発明者】
【氏名】古川 和快
(72)【発明者】
【氏名】伊豆 哲也
【審査官】石坂 知樹
(56)【参考文献】
【文献】特開2015-185030(JP,A)
【文献】特開2007-172517(JP,A)
【文献】特開2007-048308(JP,A)
【文献】再公表特許第2017/099062(JP,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 11/30
G06F 11/36
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
テスト対象の機器に対する攻撃の検知に関する情報を受信した場合に、前記機器から前記機器とは異なる他の機器への前記攻撃に関連する感染拡大の通信を受信したか否かを判定し、前記攻撃に関連する感染拡大の通信を受信したと判定した場合には、前記攻撃がテストによるものではないと決定する
処理をコンピュータに実行させることを特徴とする情報処理プログラム。
【請求項2】
該判定する処理は、前記機器に対する攻撃の検知に関する情報を受信してから所定期間内に前記他の機器への前記通信を受信したか否かを判定することにより、前記攻撃に関連する感染拡大の通信を受信したか否かを判定することを特徴とする請求項1に記載の情報処理プログラム。
【請求項3】
前記攻撃に関連する感染拡大の通信は、ラテラルムーブメントであることを特徴とする請求項1または請求項2に記載の情報処理プログラム。
【請求項4】
テスト対象の機器に対する攻撃の検知に関する情報を受信した場合に、前記機器から前記機器とは異なる他の機器への前記攻撃に関連する感染拡大の通信を受信したか否かを判定する判定部と、前記攻撃に関連する感染拡大の通信を受信したと判定した場合には、前記攻撃がテストによるものではないと決定する決定部と、
を有することを特徴とする情報処理装置。
【請求項5】
テスト対象の機器への脆弱性のテストを実施する第1の情報処理装置と、テストを管理する第2の情報処理装置と、を有する情報処理システムであって、
前記第1の情報処理装置は、
テスト対象の機器に対して攻撃に用いられるパケットを送出する送出部と、
前記第2の情報処理装置は、
前記機器に対する攻撃の検知に関する情報を受信した場合に、前記機器から前記機器とは異なる他の機器への前記攻撃に関連する感染拡大の通信を受信したか否かを判定する判定部と、
前記攻撃に関連する感染拡大の通信を受信したと判定した場合には、前記攻撃がテストによるものではないと決定する決定部と、
を有することを特徴とする情報処理システム。
【請求項6】
テスト対象の機器に対する攻撃の検知に関する情報を受信した場合に、前記機器から前記機器とは異なる他の機器への前記攻撃に関連する感染拡大の通信を受信したか否かを判定し、前記攻撃に関連する感染拡大の通信を受信したと判定した場合には、前記攻撃がテストによるものではないと決定する
処理をコンピュータが実行することを特徴とする情報処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理プログラム等に関する。
【背景技術】
【0002】
近年、テスト対象に擬似的に攻撃をしかけることで、テスト対象に脆弱性が残存していないかを確かめるペネトレーションテストが行われている(例えば、特許文献1,2参照)。例えば、テストを行うテスト担当者が、SOC(Security Operation Center)によって監視されている組織内ネットワークを介してテスト対象に攻撃し、テスト対象の脆弱性が残存していないかを確かめる。そして、テスト担当者は、攻撃に成功したならば、テスト対象に脆弱性が残存していると判定する。
【0003】
ここで、SOCでは、ペネトレーションテストによる攻撃と、本当の攻撃との区別がつかないという問題がある。かかる問題に対して、第1の従来例では、テスト担当者とSOCの担当者との間で、テスト開始前に、事前にテストの合意をすることで解決を図ることができる。図7は、事前に合意する場合の参考例を示す図である。図7に示すように、テスト担当者は、テスト開始前に、SOCの担当者に攻撃元IPアドレス、攻撃先IPアドレス及びテスト期間を通知し、SOCの担当者との間でテストの合意をする。SOCの担当者は、合意した攻撃期間中のアラートを無視する。
【0004】
また、第2の従来例では、SOCの担当者は、攻撃を検知した後、テスト担当者へのヒアリング後に対応することで解決を図ることができる。図8は、ヒアリング後に対応する場合の参考例を示す図である。図8に示すように、SOCの担当者は、攻撃を検知した後、テスト担当者にヒアリングを行い、ペネトレーションテストであったかを尋ねる。そして、SOCは、ペネトレーションテストでなかった場合には、攻撃を遮断して、以降の攻撃を止める。
【0005】
また、第3の従来例では、SOCの担当者は、攻撃を検知した後、対応後にテスト担当者へのヒアリングを行うことで解決を図ることができる。図9は、対応後にヒアリングする場合の参考例を示す図である。図9に示すように、SOCの担当者は、攻撃を検知すると即遮断し、テスト担当者にペネトレーションであったかを尋ねる。そして、SOCは、ペネトレーションテストであった場合には、遮断を解除する。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2018-22419号公報
【文献】特開2015-114833号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、第1~第3の従来例では、テスト期間中に本当の攻撃が紛れ込んでいる場合があり、ペネトレーションテストと、本当の攻撃との区別がつかないという問題がある。加えて、第2の従来例では、本当の攻撃だった場合には、遮断まで時間が空いてしまい、被害が拡大してしまう。さらに、第3の従来例では、ペネトレーションテストであった場合には、ペネトレーションテストを阻害するとともに、本来の業務の遅延を招いてしまう。
【0008】
本発明は、1つの側面では、ペネトレーションテストと、本当の攻撃とを区別することを目的とする。
【課題を解決するための手段】
【0009】
第1の案では、情報処理プログラムは、テスト対象の機器に対する攻撃の検知に関する情報を受信した場合に、前記機器から前記機器とは異なる他の機器への前記攻撃に関連する感染拡大の通信を受信したか否かを判定し、前記攻撃に関連する感染拡大の通信を受信したと判定した場合には、前記攻撃がテストによるものではないと決定する、処理をコンピュータに実行させる。
【発明の効果】
【0010】
1実施態様によれば、ペネトレーションテストと、本当の攻撃とを区別することができる。
【図面の簡単な説明】
【0011】
【発明を実施するための形態】
【0012】
以下に、本願の開示する情報処理プログラム、情報処理装置、情報処理システム及び情報処理方法の実施例を図面に基づいて詳細に説明する。なお、実施例によりこの発明が限定されるものではない。
【0013】
[情報処理システム]
図1は、実施例に係る情報処理システムの一例を示す図である。図1に示すように、情報処理システム9は、検査装置1と、テスト管理装置2と、監視装置3,4と、対象機器7,8とを有する。テスト管理装置2及び監視装置3,4は、SOC(Security Operation Center)に含まれる。SOCは、セキュリティの監視を行う拠点であり、例えば、組織内ネットワークへの攻撃を監視する。
図1は、実施例に係る情報処理システムの一例を示す図である。図1に示すように、情報処理システム9は、検査装置1と、テスト管理装置2と、監視装置3,4と、対象機器7,8とを有する。テスト管理装置2及び監視装置3,4は、SOC(Security Operation Center)に含まれる。SOCは、セキュリティの監視を行う拠点であり、例えば、組織内ネットワークへの攻撃を監視する。
【0014】
検査装置1は、対象機器7の脆弱性が残存しているかどうかを検査する。すなわち、検査装置1は、対象機器7に擬似的に攻撃をしかけることで、対象機器7に脆弱性が残存していないかを確かめるペネトレーションテストを行う。ここでいう攻撃とは、例えば、SSHブルートフォース攻撃、SQLインジェクション攻撃、OSコマンドインジェクション攻撃、DoS攻撃、リモートで実行可能な脆弱性攻撃等が想定される。なお、以降では、検査装置1によってペネトレーションテストがされる対象は対象機器7であるとして説明する。
【0015】
監視装置3,4は、対象機器7,8を含む組織内ネットワークに対する攻撃を監視する。監視装置3,4は、組織内ネットワーク内のそれぞれの管轄に対する攻撃の監視を担う。管轄とは、一例として、セグメントを示す。例えば、監視装置3は、自身の管轄内で対象機器7に対する攻撃を検知すると、テスト管理装置2に対して攻撃検知のアラートを送出する。監視装置4は、自身の管轄内で対象機器8に対する攻撃を検知すると、テスト管理装置2に対して攻撃検知のアラートを送出する。なお、監視装置3,4は、2台としたが、これに限定されず、3台であっても良いし、10台であっても良いし、組織内ネットワークの規模や組織内ネットワークに含まれる管轄の数に準じる台数であれば良い。
【0016】
テスト管理装置2は、ペネトレーションテストを管理する。例えば、テスト管理装置2は、対象機器7に対する攻撃検知のアラートを監視装置3から受信した場合に、以下の処理を行う。テスト管理装置2は、対象機器7に対する攻撃検知のアラートの受信後、対象機器7から他の対象機器8への攻撃に関連する感染拡大の通信を受信したか否かに応じて、攻撃がペネトレーションテストによるものであるか否かを判定する。ここでは、対象機器8への攻撃に関連する通信は、監視装置4によって検知される。テスト管理装置2は、対象機器7から他の対象機器8への攻撃に関連する感染拡大の通信を監視装置4から受信したと判定した場合には、攻撃が本当の攻撃によるものであると決定する。テスト管理装置2は、対象機器7から他の対象機器8への攻撃に関連する感染拡大の通信を監視装置4から受信していないと判定した場合には、攻撃がペネトレーションテストによるものであると決定する。このような対象機器から他の対象機器への攻撃に関連する感染拡大の通信は、「ラテラルムーブメント(Lateral Movement)」という。
【0017】
対象機器7及び対象機器8は、それぞれ、ネットワーク経由で通信可能な機器である。対象機器7及び対象機器8は、例えば、IP(Internet Protocol)アドレスを備える機器であれば良い。一例として、対象機器7は、新たに構築した業務システムの機器である。対象機器8は、組織内の重要な情報、例えば認証情報等を管理するサーバである。すなわち、攻撃者は、最終的に対象機器8の重要な情報を攻撃するために、対象機器7を攻撃したうえで攻撃を受けた対象機器7から対象機器8へラテラルムーブメントの通信を行う。
【0018】
[情報処理の流れ]
ここで、実施例に係る情報処理の流れの一例を、図2を参照して説明する。図2は、実施例に係る情報処理の流れの一例を示す図である。なお、図2では、対象Aは、例えば、対象機器7のことをいう。対象Bは、例えば、対象機器8のことをいう。
ここで、実施例に係る情報処理の流れの一例を、図2を参照して説明する。図2は、実施例に係る情報処理の流れの一例を示す図である。なお、図2では、対象Aは、例えば、対象機器7のことをいう。対象Bは、例えば、対象機器8のことをいう。
【0019】
図2に示すように、まず、検査担当者又は攻撃者が、攻撃通信を発生させる(<1>)。例えば、検査担当者の場合には、検査担当者から検査の開始指示を受け付けた検査装置1は、ペネトレーションテストのための攻撃通信用のパケットを対象A(例えば対象機器7)に対して送出する。攻撃者の場合には、攻撃者から攻撃の開始指示を受け付けた攻撃者側の装置は、ラテラルムーブメントのための攻撃通信用のパケットを対象A(例えば対象機器7)に対して送出する。
【0020】
監視装置3は、対象A(対象機器7)に対する攻撃を検知すると、テスト管理装置2に対して攻撃検知のアラートを送出する(<2>)。アラートには、例えば、攻撃された対象AのIPアドレス等が含まれる。
【0021】
テスト管理装置2は、テスト対象の対象A(対象機器7)に対する攻撃の検知に関するアラートを受信した場合に、対象A(対象機器7)が関わる通信に着目すべく、監視装置4からのアラートを監視する(<3>)。つまり、テスト管理装置2は、テスト対象の対象A(対象機器7)に対するアラートを受信したので、対象Aが関わるラテラルムーブメントの通信を検知する可能性がある監視装置4からのアラートを監視する。ここでは、アラートを監視する監視装置は、監視装置4の1台であるが、複数台であっても良い。
【0022】
対象A(対象機器7)は、対象B(対象機器8)へのラテラルムーブメントの通信を発生させる(<4>)。ラテラルムーブメントの通信には、例えば、攻撃通信用のパケットに格納された専用の攻撃ツールが用いられる場合や、対象A(対象機器7)に標準機能として格納されているPsExec等の正規ツールが用いられる場合がある。PsExecは、ネットワーク経由でリモートコンピュータ上のコマンドを実行するためのツールである。攻撃者は、このようなツールを用いて対象Aから対象Bへラテラルムーブメントの通信を送出して、対象Bの重要な情報を攻撃する。
【0023】
監視装置4は、対象B(対象機器8)に対する通信を検知すると、テスト管理装置2に対する通信検知のアラートを送出する(<5>)。アラートには、例えば、攻撃された対象BのIPアドレス等が含まれる。
【0024】
テスト管理装置2は、対象B(対象機器8)に対する通信検知であって感染拡大の通信検知に関するアラートを受信した場合には、対象Aおよび対象Bへの攻撃はラテラルムーブメントによる攻撃と判定する(<6>)。例えば、テスト管理装置2は、対象Aへの攻撃の検知に関するアラートを受信してから一定期間の範囲内に別の対象Bへの通信の検知に関するアラートを受信した場合には、対象Aおよび対象Bへの攻撃はラテラルムーブメントの攻撃と判定する。なお、テスト管理装置2は、攻撃の検知に関するアラートを受信してから一定期間の範囲外に通信の検知に関するアラートを受信した場合には、対象Aおよび対象Bへの攻撃はラテラルムーブメントの攻撃と判定しない。
【0025】
そして、テスト管理装置2は、ラテラルムーブメントが発生していない場合は、テスト対象の対象A(対象機器7)に対する攻撃はペネトレーションテストによるものであると判定する(<7>)。これにより、テスト管理装置2は、ペネトレーションテストと、本当の攻撃とを区別することができる。そして、SOCでは、ラテラルムーブメントによる攻撃と判断した場合には、攻撃を遮断して、以降の攻撃を止める。
【0026】
つまり、実施例に係るテスト管理装置2は、検査担当者と攻撃者との目的の違いに着目して、攻撃がペネトレーションテストによるものか本当の攻撃であるかを判定する。すなわち、検査担当者の目的とは、テスト対象(ここでは、対象A)の脆弱性を見つけることであり、感染を拡大させない。一方、攻撃者の目的とは、組織内に感染を拡大させ、重要な情報を搾取することである。このような目的の違いに着目して、テスト管理装置2は、攻撃が対象Aにとどまる場合には、ペネトレーションテストであると判定する。そして、テスト管理装置2は、攻撃が対象Aにとどまらず対象Aから対象Bにラテラルムーブメントの通信を行った場合には、ペネトレーションテストではなく本当の攻撃であると判定する。
【0027】
【0028】
生成部11は、ペネトレーションテストをするための攻撃に用いられるパケットを生成する。例えば、生成部11は、IPパケットの宛先IPアドレスに対象機器7のIPアドレスを設定する。そして、生成部11は、IPパケットにペネトレーションテストのための攻撃命令を設定する。
【0029】
送出部12は、攻撃に用いられるパケットを対象機器7へ送出する。例えば、送出部12は、生成部11によって生成されたIPパケットを対象機器7に対して送出する。
【0030】
[テスト管理装置の機能構成]
図4は、実施例に係るテスト管理装置の機能構成を示すブロック図である。図4に示すように、テスト管理装置2は、アラート受付部21と、判定部22と、閾値23とを有する。なお、判定部22は、判定部及び決定部の一例である。
図4は、実施例に係るテスト管理装置の機能構成を示すブロック図である。図4に示すように、テスト管理装置2は、アラート受付部21と、判定部22と、閾値23とを有する。なお、判定部22は、判定部及び決定部の一例である。
【0031】
アラート受付部21は、監視装置3,4からアラート受け付ける。例えば、アラート受付部21は、監視装置3から対象機器7に対する攻撃検知のアラートを受信する。アラート受付部21は、監視装置4から対象機器8に対する通信検知のアラートを受信する。
【0032】
また、アラート受付部21は、監視装置3から攻撃検知のアラートを受信すると、攻撃された対象機器7が関わる通信を検知する可能性のある監視装置からのアラートを監視する。例えば、アラート受付部21は、攻撃された対象機器7が関わるラテラルムーブメントの通信を検知する可能性のある監視装置4からのアラートを監視する。すなわち、アラート受付部21は、テスト対象の対象機器7から送出される通信に着目する。
【0033】
なお、アラート受付部21は、監視装置3から攻撃検知のアラートを受信すると、攻撃された対象機器7が関わる通信を検知する可能性のある監視装置からのアラートを監視すると説明したが、これに限定されない。アラート受付部21は、攻撃された対象機器7が関わる通信を検知する可能性のある監視装置に対して、監視を有効化するシグナルを送出しても良い。これにより、シグナルを受け付けた監視装置は、管轄する対象機器に対する攻撃に関わる通信を検知することができ、通信検知のアラートをテスト管理装置2に送出することができる。この結果、アラート受付部21は、通信検知のアラートを受信することができる。
【0034】
判定部22は、対象機器7から対象機器7とは異なる対象機器8への攻撃に関連する感染拡大の通信を受信したか否かを判定する。すなわち、判定部22は、対象機器7から対象機器8へのラテラルムーブメントによる攻撃を受けたか否かを判定する。例えば、判定部22は、対象機器7に対する攻撃検知のアラートを受信してから一定期間(閾値23)内に対象機器8に対する通信検知のアラートを受信したか否かを判定する。判定部22は、対象機器7に対する攻撃検知のアラートを受信してから一定期間(閾値23)内に対象機器8に対する通信検知のアラートを受信したと判定した場合には、攻撃がペネトレーションテストによるものでなく、本当の攻撃であると判定する。すなわち、判定部22は、ラテラルムーブメントによる攻撃であると判定する。これにより、判定部22は、対象機器7に対する攻撃検知のアラートを受信した後一定期間(閾値23)の範囲内の通信に着目することで、ラテラルムーブメントの誤判定を防ぐことができる。
【0035】
なお、判定部22は、ラテラルムーブメントによる攻撃であると判定する条件として、次の条件をさらに加えても良い。判定部22は、対象機器7に対する攻撃検知のアラートに含まれる宛先と、対象機器8に対する通信検知のアラートに含まれる送信元とが一致するか否かを判定し、一致すると判定した場合に、ラテラルムーブメントによる攻撃であると判定しても良い。すなわち、判定部22は、対象機器7に対するアラートに含まれる宛先が対象機器7のIPアドレスであり、対象機器8に対するアラートに含まれる送信元が対象機器7のIPアドレスである場合には、対象機器7から対象機器8へのラテラルムーブメントによる攻撃であると判定する。
【0036】
閾値23は、予め定められた一定期間を示す値である。閾値23は、ラテラルムーブメントであるか否かを判定するために用いられる。閾値23は、攻撃者の能力に依存するものであるが、例えば、1時間とする。しかしながら、閾値23は、これに限定されるものではなく、状況に応じて変更されれば良い。
【0037】
[判定処理のフローチャート]
ここで、テスト管理装置2の判定部22が行う判定処理のフローチャートの一例を、図5を参照して説明する。図5は、実施例に係る判定処理のフローチャートの一例を示す図である。図5に示すように、判定部22は、テスト対象の対象機器7に対するアラートを受信する(ステップS11)。
ここで、テスト管理装置2の判定部22が行う判定処理のフローチャートの一例を、図5を参照して説明する。図5は、実施例に係る判定処理のフローチャートの一例を示す図である。図5に示すように、判定部22は、テスト対象の対象機器7に対するアラートを受信する(ステップS11)。
【0038】
判定部22は、アラートの受信時から閾値23以内の時点に、対象機器7と異なる他の対象機器8に対するアラートを受信したか否かを判定する(ステップS12)。アラートの受信時から閾値23以内の時点に他の対象機器8に対するアラートを受信したと判定した場合には(ステップS12;Yes)、判定部22は、攻撃がペネトレーションテストによるものではなく、本当の攻撃によるものと判定する(ステップS13)。つまり、判定部22は、対象機器7から対象機器8へのラテラルムーブメントによる攻撃であると判定する。そして、判定部22は、判定処理を終了する。
【0039】
一方、アラートの受信時から閾値23以内の時点に他の対象機器8に対するアラートを受信していないと判定した場合には(ステップS12;No)、判定部22は、攻撃がペネトレーションテストによるものと判定する(ステップS14)。そして、判定部22は、判定処理を終了する。
【0040】
この後、攻撃が本当の攻撃によるものと判定された場合には、SOCでは、攻撃を遮断して、以降の攻撃を止める。このようにして、テスト管理装置2は、ペネトレーションテストと、本当の攻撃とを区別することが可能となる。
【0041】
[実施例の効果]
上記実施例によれば、テスト管理装置2は、テスト対象の対象機器7に対する攻撃の検知に関する情報を受信した場合に、対象機器7から対象機器7とは異なる他の対象機器8への攻撃に関連する感染拡大の通信を受信したか否かを判定する。テスト管理装置2は、攻撃に関連する感染拡大の通信を受信したと判定した場合には、攻撃がテストによるものでないと決定する。かかる構成によれば、テスト管理装置2は、テスト対象の対象機器7から別の対象機器8への攻撃通信を探索することで、ペネトレーションテストと、本当の攻撃とを区別することができる。この結果、SOC担当者は、ペネトレーションテストの期間中に、本当の攻撃が紛れ込んでいる場合であっても本当の攻撃に即気付くことができる。そして、SOC担当者は、本当の攻撃だった場合に、即遮断できるので、被害が拡大することを防ぐことができる。加えて、SOC担当者は、ペネトレーションテストの攻撃であった場合には、即遮断することによりペネトレーションテストの阻害および本来の業務の遅延を招いてしまうことを防ぐことができる。
上記実施例によれば、テスト管理装置2は、テスト対象の対象機器7に対する攻撃の検知に関する情報を受信した場合に、対象機器7から対象機器7とは異なる他の対象機器8への攻撃に関連する感染拡大の通信を受信したか否かを判定する。テスト管理装置2は、攻撃に関連する感染拡大の通信を受信したと判定した場合には、攻撃がテストによるものでないと決定する。かかる構成によれば、テスト管理装置2は、テスト対象の対象機器7から別の対象機器8への攻撃通信を探索することで、ペネトレーションテストと、本当の攻撃とを区別することができる。この結果、SOC担当者は、ペネトレーションテストの期間中に、本当の攻撃が紛れ込んでいる場合であっても本当の攻撃に即気付くことができる。そして、SOC担当者は、本当の攻撃だった場合に、即遮断できるので、被害が拡大することを防ぐことができる。加えて、SOC担当者は、ペネトレーションテストの攻撃であった場合には、即遮断することによりペネトレーションテストの阻害および本来の業務の遅延を招いてしまうことを防ぐことができる。
【0042】
また、上記実施例によれば、テスト管理装置2は、対象機器7に対する攻撃の検知に関する情報を受信してから所定期間内に他の対象機器8への通信を受信したか否かを判定することにより、攻撃に関連する感染拡大の通信を受信したか否かを判定する。かかる構成によれば、テスト管理装置2は、攻撃に関連する感染拡大の通信の誤判定を防ぐことができる。
【0043】
また、上記実施例によれば、攻撃に関連する感染拡大の通信は、ラテラルムーブメントである。これにより、テスト管理装置2は、ラテラルムーブメントの通信を探索することで、ペネトレーションテストと、本当の攻撃とを区別することが可能となる。
【0044】
[その他]
なお、実施例では、テスト管理装置2は、対象機器7から対象機器8へのラテラルムーブメントによる攻撃を受けたか否かを判定することで、攻撃が本当の攻撃であるか、ペネトレーションテストによるものかを判定すると説明した。しかしながら、テスト管理装置2は、これに限定されず、重要情報が格納された対象機器7に対する攻撃である場合には、対象機器7から対象機器8へのラテラルムーブメントによる攻撃を受けなくても、攻撃が本当の攻撃であると判定しても良い。かかる場合には、テスト管理装置2は、SOCの監視範囲内の対象機器に、重要な情報が格納されている場合には、対象機器に対するIPアドレスにラベルを付与したラベルDBを記憶する。そして、テスト管理装置2は、対象機器7に対する攻撃検知のアラートを監視装置3から受信した場合に、以下の処理を行う。テスト管理装置2は、ラベルDBを参照して、攻撃を受けた対象機器7のIPアドレスにラベルが付与されているか否かを判定し、ラベルが付与されている場合には、攻撃が本当の攻撃であると判定すれば良い。すなわち、テスト管理装置2は、ラテラルムーブメントによる攻撃がなくても、ペネトレーションテストによる攻撃でなく本当の攻撃であると判定できる。
なお、実施例では、テスト管理装置2は、対象機器7から対象機器8へのラテラルムーブメントによる攻撃を受けたか否かを判定することで、攻撃が本当の攻撃であるか、ペネトレーションテストによるものかを判定すると説明した。しかしながら、テスト管理装置2は、これに限定されず、重要情報が格納された対象機器7に対する攻撃である場合には、対象機器7から対象機器8へのラテラルムーブメントによる攻撃を受けなくても、攻撃が本当の攻撃であると判定しても良い。かかる場合には、テスト管理装置2は、SOCの監視範囲内の対象機器に、重要な情報が格納されている場合には、対象機器に対するIPアドレスにラベルを付与したラベルDBを記憶する。そして、テスト管理装置2は、対象機器7に対する攻撃検知のアラートを監視装置3から受信した場合に、以下の処理を行う。テスト管理装置2は、ラベルDBを参照して、攻撃を受けた対象機器7のIPアドレスにラベルが付与されているか否かを判定し、ラベルが付与されている場合には、攻撃が本当の攻撃であると判定すれば良い。すなわち、テスト管理装置2は、ラテラルムーブメントによる攻撃がなくても、ペネトレーションテストによる攻撃でなく本当の攻撃であると判定できる。
【0045】
また、図示した検査装置1及びテスト管理装置2の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、検査装置1及びテスト管理装置2の分散・統合の具体的態様は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。例えば、テスト管理装置2において、アラート受付部21と判定部22とを1つの部として統合しても良い。また、テスト管理装置2において、判定部22を、判定する判定処理と、決定する決定処理とに分散しても良い。また、閾値23を記憶する図示しない記憶部をテスト管理装置2の外部装置としてネットワーク経由で接続するようにしても良い。
【0046】
また、上記実施例で説明した各種の処理は、予め用意されたプログラムをパーソナルコンピュータやワークステーション等のコンピュータで実行することによって実現することができる。そこで、以下では、図4に示したテスト管理装置2と同様の機能を実現する情報処理を含む情報処理プログラムを実行するコンピュータの一例を説明する。図6は、情報処理プログラムを実行するコンピュータの一例を示す図である。
【0047】
図6に示すように、コンピュータ200は、各種演算処理を実行するCPU203と、ユーザからのデータの入力を受け付ける入力装置215と、表示装置209を制御する表示制御部207とを有する。また、コンピュータ200は、記憶媒体からプログラム等を読取るドライブ装置213と、ネットワークを介して他のコンピュータとの間でデータの授受を行う通信制御部217とを有する。また、コンピュータ200は、各種情報を一時記憶するメモリ201と、HDD205を有する。そして、メモリ201、CPU203、HDD205、表示制御部207、ドライブ装置213、入力装置215、通信制御部217は、バス219で接続されている。
【0048】
ドライブ装置213は、例えばリムーバブルディスク211用の装置である。HDD205は、情報処理プログラム205a及び情報処理関連情報205bを記憶する。
【0049】
CPU203は、情報処理プログラム205aを読み出して、メモリ201に展開し、プロセスとして実行する。かかるプロセスは、テスト管理装置2の各機能部に対応する。情報処理関連情報205bは、閾値23等に対応する。そして、例えばリムーバブルディスク211が、情報処理プログラム205a等の各情報を記憶する。
【0050】
なお、情報処理プログラム205aについては、必ずしも最初からHDD205に記憶させておかなくても良い。例えば、コンピュータ200に挿入されるフレキシブルディスク(FD)、CD-ROM、DVDディスク、光磁気ディスク、ICカード等の「可搬用の物理媒体」に当該プログラムを記憶させておく。そして、コンピュータ200がこれらから情報処理プログラム205aを読み出して実行するようにしても良い。
【符号の説明】
【0051】
1 検査装置
11 生成部
12 送出部
2 テスト管理装置
21 アラート受付部
22 判定部
23 閾値
3,4 監視装置
7,8 対象機器
9 情報処理システム
11 生成部
12 送出部
2 テスト管理装置
21 アラート受付部
22 判定部
23 閾値
3,4 監視装置
7,8 対象機器
9 情報処理システム
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】