知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-08
(45)【発行日】2024-07-17
(54)【発明の名称】リスク分析装置、分析対象要素決定装置、方法、及びプログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20240709BHJP
【FI】
G06F21/57 370
【請求項の数】
25
(21)【出願番号】P 2022558638
(86)(22)【出願日】2020-10-27
(86)【国際出願番号】 JP2020040219
(87)【国際公開番号】W WO2022091207
(87)【国際公開日】2022-05-05
【審査請求日】2023-04-14
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】井ノ口 真樹
(72)【発明者】
【氏名】柳生 智彦
(72)【発明者】
【氏名】木下 峻一
(72)【発明者】
【氏名】植田 啓文
【審査官】行田 悦資
(56)【参考文献】
【文献】国際公開第2020/136837(WO,A1)
【文献】国際公開第2019/186722(WO,A1)
【文献】国際公開第2020/189669(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/57
(57)【特許請求の範囲】
【請求項1】
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化するグループ化手段と、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する仮想分析要素生成手段と、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する分析手段と、
前記分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段とを備える分析対象要素決定装置。
【請求項2】
前記仮想分析要素生成手段は、前記グループに属するホストのうちの1以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する請求項1に記載の分析対象要素決定装置。
【請求項3】
前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする請求項2に記載の分析対象要素決定装置。
【請求項4】
前記仮想分析要素生成手段は、前記グループに属するホストのうち、攻撃され得る要素の数が最も多いホスト、又は攻撃され得る要素の数が所定の値以上の1以上のホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする請求項2又は3に記載の分析対象要素決定装置。
【請求項5】
前記仮想分析要素生成手段は、前記グループに属するホストのうち、他のグループのホストから攻撃可能な攻撃され得る要素を持つホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする請求項2から4何れか1項に記載の分析対象要素決定装置。
【請求項6】
前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する請求項2から5何れか1項に記載の分析対象要素決定装置。
【請求項7】
前記分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析する請求項2から6何れか1項に記載の分析対象要素決定装置。
【請求項8】
前記分析対象要素決定手段は、前記攻撃が行われる経路に含まれない、前記起点となる代表ホストの状態と、前記終点となる代表ホストの状態とを、前記リスク分析の対象から除外する請求項7に記載の分析対象要素決定装置。
【請求項9】
前記リスク分析では、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かが分析され、前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する請求項2に記載の分析対象要素決定装置。
【請求項10】
前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する請求項9に記載の分析対象要素決定装置。
【請求項11】
前記グループ化手段は、前記ホストを、前記ホストが属するサブネットワークごとにグループ分けする請求項1から10何れか1項に記載の分析対象要素決定装置。
【請求項12】
前記グループ化手段は、前記ホストを、所定の境界で区切られた範囲ごとにグループ分けする請求項1から11何れか1項に記載の分析対象要素決定装置。
【請求項13】
前記グループ化手段は、前記ホストを、前記ホストの役割ごとにグループ分けする請求項1から12何れか1項に記載の分析対象要素決定装置。
【請求項14】
前記グループ化手段は、前記ホストを、前記ホストの構成ごとにグループ分けする請求項1から13何れか1項に記載の分析対象要素決定装置。
【請求項15】
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化するグループ化手段と、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する仮想分析要素生成手段と、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する第1の分析手段と、
前記第1の分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段と、
前記分析対象要素決定手段が前記リスク分析の対象として決定したホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する第2の分析手段とを備えるリスク分析装置。
【請求項16】
前記仮想分析要素生成手段は、前記グループに属するホストのうちの1以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する請求項15に記載のリスク分析装置。
【請求項17】
前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする請求項16に記載のリスク分析装置。
【請求項18】
前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する請求項16又は17に記載のリスク分析装置。
【請求項19】
前記第1の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析し、前記第2の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析する請求項16から18何れか1項に記載のリスク分析装置。
【請求項20】
前記第2の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析し、前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する請求項16に記載のリスク分析装置。
【請求項21】
前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する請求項20に記載のリスク分析装置。
【請求項22】
コンピュータが、分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、前記コンピュータが、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記コンピュータが、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記コンピュータが、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定方法。
【請求項23】
コンピュータが、分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、前記コンピュータが、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記コンピュータが、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記コンピュータが、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
前記コンピュータが、前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析するリスク分析方法。
【請求項24】
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する処理をコンピュータに実行させるためのプログラム。
【請求項25】
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する処理をコンピュータに実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、リスク分析装置、分析対象要素決定装置、リスク分析方法、分析対象要素決定方法、及びコンピュータ可読媒体に関する。
【背景技術】
【0002】
関連技術として、特許文献1は、セキュリティ分析システム、最適化装置、及び対処機能制御装置を含むシステムを開示する。特許文献1に記載のシステムにおいて、最適化装置は、セキュリティ分析システムから、サイバー攻撃情報と、システム情報とを収集する。サイバー攻撃情報は、サイバー攻撃の種別、攻撃者の識別子、被害者の識別子、及び有効な対処機能の情報を含む。システム情報は、サイバー攻撃を受けた機器を含むシステム全体に関する情報である。システム情報は、ネットワーク構成情報、ネットワーク上の対処ポイントごとの対処機能情報、及び対処ポイントのリソース利用状況情報を含む。
【0003】
最適化装置は、収集したサイバー攻撃情報及びシステム情報に基づいて、サイバー攻撃の攻撃経路を特定する。より詳細には、最適化装置は、ネットワーク構成情報に基づいて、収集された攻撃者の端末のIP(Internet Protocol)アドレスと被害者の端末のIPアドレスとを探索し、攻撃者の端末から被害者の端末までの経路を攻撃経路として特定する。最適化装置は、攻撃経路上にある機器であって、サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する。最適化装置は、抽出した対処ポイントの候補の中から、対処ポイントを選択する。その後、最適化装置は、選択した対処ポイントと有効な対処機能とを対処機能制御装置に出力し、対処機能制御装置に対処機能を実行させる。
【先行技術文献】
【特許文献】
【0004】
【文献】国際公開第2016/076207号
【発明の概要】
【発明が解決しようとする課題】
【0005】
近年、サイバー攻撃の脅威は、ICT(Information and Communication Technology)分野にとどまらず、制御システムやIoT(Internet of Things)の分野でも被害事例が発生している。特に、制御システムにおいては、電力システムや工場の停止など、重要インフラの稼働を脅かす事案も起こっている。サイバー攻撃の脅威に対しては、システムが持つセキュリティリスクを明確化し、対策を実施し、リスクを下げることが重要である。
【0006】
セキュリティリスクの分析では、いくつかの攻撃シナリオが想定される。攻撃シナリオは、例えば、攻撃に利用される侵入口、最終的な攻撃対象、及び最終攻撃の種別を含む。セキュリティリスク分析装置は、システムの構成情報などを参照し、攻撃シナリオに対して、攻撃条件に基づいて攻撃手順を演繹的に推論し、攻撃経路を探索する。攻撃経路における攻撃手順や各攻撃手順の条件をグラフ形式で表したグラフは、「攻撃グラフ」や「攻撃ツリー」と呼ばれる。
【0007】
上記の場合、分析対象のシステムに含まれるホストの数が多い場合、攻撃グラフの生成に要する計算コストが膨大となるという問題がある。特許文献1では、最適化装置は、単に攻撃者の端末から被害者の端末までの経路を攻撃経路として特定しているだけであり、攻撃手順を推論していない。このため、特許文献1は、上記した問題に対する解決手段を提供しない。システムに多数のホストが含まれる場合でも、計算コストを増大させずにリスク分析が可能であることが要望される。
【0008】
本開示は、上記に鑑み、複雑なシステムについても、計算コストを増大させずにリスク分析を実施できるリスク分析装置及び方法、分析対象要素決定装置及び方法、並びにコンピュータ可読媒体を提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するために、本開示は、第1の態様として、分析対象要素決定装置を提供する。分析対象要素決定装置は、分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化するグループ化手段と、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する仮想分析要素生成手段と、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する分析手段と、前記分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段とを有する。
【0010】
本開示は、第2の態様として、リスク分析装置を提供する。リスク分析装置は、分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化するグループ化手段と、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する仮想分析要素生成手段と、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する第1の分析手段と、前記第1の分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段と、前記分析対象要素決定手段が前記リスク分析の対象として決定したホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する第2の分析手段とを有する。
【0011】
本開示は、第3の態様として、分析対象要素決定方法を提供する。分析対象要素決定方法は、分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定することを含む。
【0012】
本開示は、第4の態様として、リスク分析方法を提供する。リスク分析方法は、分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析することを含む。
【0013】
本開示は、第5の態様として、コンピュータ可読媒体を提供する。コンピュータ可読媒体は、分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する処理をコンピュータに実行させるためのプログラムを格納する。
【0014】
本開示は、第6の態様として、コンピュータ可読媒体を提供する。コンピュータ可読媒体は、分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する処理をコンピュータに実行させるためのプログラムを格納する。
【発明の効果】
【0015】
本開示に係るリスク分析装置及び方法、分析対象要素決定装置及び方法、並びにコンピュータ可読媒体は、複雑なシステムについても、計算コストを増大させずにリスク分析を実施できる。
【図面の簡単な説明】
【0016】
【図1】本開示に係るリスク分析装置の概略的な構成を示すブロック図。
【図2】本開示の一実施形態に係るリスク分析装置を示すブロック図。
【図3】分割分析で分析されるシステムを示すブロック図。
【図4】分割分析で分析される分析対象を示すブロック図。
【図5】分割分析の結果の一例を示す図。
【図6】分析対象のシステムの一例を示すブロック図。
【図7】稼働サービスと終点状態との対応関係を示すテーブルの具体例を示す図。
【図8】分析対象のシステムの一部を示すブロック図。
【図9】各サブネットワークに生成される代表ホストを示すブロック図。
【図10】リスク分析装置における動作手順を示すフローチャート。
【図11】コンピュータ装置の構成例を示すブロック図。
【発明を実施するための形態】
【0017】
本開示の実施の形態の説明に先立って、本開示の概要を説明する。図1は、本開示に係るリスク分析装置の概略的な構成を示す。リスク分析装置10は、グループ化手段11、仮想分析要素生成手段12、分析手段13、分析対象要素決定手段14、及び分析手段15を有する。リスク分析装置10において、グループ化手段11、仮想分析要素生成手段12、分析手段13、及び分析対象要素決定手段14は、分析対象要素決定装置20を構成する。
【0018】
グループ化手段11は、分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化する。仮想分析要素生成手段12は、複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する。分析手段(第1の分析手段)13は、生成された仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの仮想の分析要素から、攻撃の終点となるホストが属するグループの仮想の分析要素に対する攻撃が可能か否かを分析する。
【0019】
分析対象要素決定手段14は、分析手段13の分析結果に基づいて、分析対象のシステムに含まれるホストのうち、攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する。分析手段(第2の分析手段)15は、分析対象要素決定手段14がリスク分析の対象として決定したホストについて、攻撃の始点となるホストから、攻撃の終点となるホストに対する攻撃が可能か否かを分析する。
【0020】
本開示では、仮想分析要素生成手段12は、各グループに、仮想の分析要素を生成する。分析手段13は、仮想の分析要素を用いて、攻撃の始点から攻撃の終点までの攻撃経路を検索する。分析対象要素決定手段14は、攻撃経路に含まれる仮想の分析要素に対応するホストを、分析手段15におけるリスク分析の対象として決定する。このようにすることで、本開示は、システム全体に対してリスク分析を行う場合に比べて、分析手段15における計算コストを軽減することができる。
【0021】
以下、本開示の実施の形態を詳細に説明する。図2は、本開示の一実施形態に係るリスク分析装置を示す。リスク分析装置100は、グループ化部101、代表ホスト生成部102、第1のリスク分析部103、分析対象要素決定部104、及び第2のリスク分析部105を有する。リスク分析装置100において、グループ化部101、代表ホスト生成部102、第1のリスク分析部103、及び分析対象要素決定部104は、分析対象要素決定装置110を構成する。リスク分析装置100は、図1に示されるリスク分析装置10に対応する。分析対象要素決定装置110は、図1に示される分析対象要素決定装置20に対応する。
【0022】
ここで、本実施形態では、リスク分析装置100は、分割分析の手法を用いて、分析対象のシステムにおけるセキュリティリスクを分析するものとする。本実施形態において、分割分析とは、システム全体を所定単位で分割し、各分割単位に対してリスク分析を行い、各分割単位のリスク分割結果を結合することで、システム全体のリスクを分析することを指す。
【0023】
図3は、分割分析で分析されるシステムを示す。このシステムは、ホスト(ホストA)200A、ホスト(ホストB)200B、及びホスト(ホストC)200Cを有する。ここでは、ホスト200Aが攻撃の侵入口のホストであり、ホスト200Cが攻撃目標のホストであるとする。分割分析では、ホスト200Aからホスト200Bへの攻撃が可能であるかが分析され、ホスト200Bからホスト200Cへの攻撃が可能であるかが分析される。リスク分析装置100は、ホスト200A及びホスト200Bの分析結果と、ホスト200B及びホスト200Cの分析結果を結合することで、ホスト200Aからホスト200Cへの攻撃が可能であるかを分析する。
【0024】
図4は、分割分析で分析される分析対象を示す。この例において、ホスト(ホストX)200Xは分割分析の起点となるホストであり、ホスト(ホストY)200Yは分割分析の終点となるホストであるとする。ホスト200X及び200Yは、それぞれ「コード実行可能」、「データ窃取可能」、及び「データ改ざん可能」という3つの状態を有する。分割分析では、起点となるホスト200Xの各状態から、終点となるホスト200Yの各状態に遷移可能か否かが分析される。図4において、ホスト200Xの各状態とホスト200Yの各状態とを結ぶ複数の直線のそれぞれは分析単位(分析対象要素)を表す。なお、起点となるホストと終点となるホストとが同一のホストである場合もある。その場合、例えばホスト200Xの各状態から、ホスト200Xの他の状態へ遷移可能か否かが分析される。
【0025】
図5は、分割分析の結果の一例を示す。リスク分析装置100は、ホスト200Aとホスト200Bとの分割分析では、前提条件として、「ホストAでコード実行可能」と仮定する。リスク分析装置100は、システム構成情報から「ホストBでネットワークサービスXが稼働」、「ホストAからホストBに到達可能」、「及びネットワークサービスXにRCE(Remote code execution)の脆弱性」という情報を取得する。リスク分析装置100は、「ホストAでコード実行可能」という状態と、取得した情報とに基づいて、「ホストBでコード実行可能」という推論結果を導出する。
【0026】
リスク分析装置100は、ホスト200Bとホスト200Cとの分割分析では、前提条件として、「ホストBでコード実行可能」と仮定する。リスク分析装置100は、システム構成情報から「ホストCでネットワークサービスXが稼働」、「ホストBからホストCに到達可能」、「及びネットワークサービスXにRCEの脆弱性」という情報を取得する。リスク分析装置100は、「ホストBでコード実行可能」という状態と、取得した情報とに基づいて、「ホストCでコード実行可能」という推論結果を導出する。2つの分割分析の分析結果をつなげることで、ホスト200Aでコード実行可能の場合、ホスト200Cでコード実行可能であるという分析結果が得られる。
【0027】
分割分析では、分割された範囲で分析が行われるため、システム全体を分析する場合に比べて、1つ1つの分析の負荷を軽くすることができる利点がある。また、複数の分割単位の分析を並列に実施することができる利点がある。一方で、各分割単位の分析では、侵入口ホストから最終攻撃目標のホストまで攻撃がつながるか否かは不明であるため、不要な箇所に対して分析が行われる場合があるというデメリットがある。
【0028】
図6は、分析対象のシステムの一例を示す。この例において、ネットワークは、4つのサブネットワーク(サブネット)を含む。より詳細には、ネットワークは、サブネット(サブネットA)250A、サブネット(サブネットB)250B、サブネット(サブネットC)250C、及びサブネット(サブネットD)250Dを含む。サブネット250Aは侵入口(初期位置)のホストを含み、サブネット250Dは最終攻撃目標のホストを含むものとする。
【0029】
分割分析では、サブネット250A内のホストを起点としサブネット250B内のホストを終点とする分析(A-B間の分析)、サブネット250A内のホストを起点としサブネット250C内のホストを終点とする分析(A-C間の分析)が実施される。また、サブネット250B内のホストを起点としサブネット250C内のホストを終点とする分析(B-C間の分析)が実施される。さらに、サブネット250B内のホストを起点としサブネット250D内のホストを終点とする分析(B-D間の分析)、及びサブネット250C内のホストを起点としサブネット250D内のホストを終点とする分析(C-D間の分析)が実施される。
【0030】
しかしながら、上記ネットワークにおいて、サブネット250Cはサブネット250Dに接続されていない。従って、サブネット250A内のホストに対する攻撃からサブネット250D内のホストへの攻撃経路に、サブネット250C内のホストは含まれないと考えられる。このため、サブネット250C内のホストを起点又は終点とする分割分析は本来不要である。分割分析では、不要な箇所が分析されることで、計算コストが増加する。本実施形態は、一側面において、分割分析における不要な計算コストを削減可能なリスク分析装置100を提供する。
【0031】
図2に戻り、グループ化部101は、システム構成情報150を参照し、システムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化する。システム構成情報は、例えば、ホストに関する情報、及びホスト間の接続に関する情報を含む。ホストに関する情報は、例えばIPアドレス、サブネットマスク、ホストファイアウォール設定、インストールされているソフトウェア、OS(Operating System)(バージョンを含む)、稼働サービス、空きポート番号、USB(Universal Serial Bus)ポートの有無、及び脆弱性情報をなどの情報を含む。ホストに関する情報は、更に、ホスト種別、ユーザ操作の有無、及び保有するクレデンシャル情報などの情報を含む。「ホスト種別」は、例えば一般PC(Personal Computer)、ルータ、ファイアウォール、ファイルサーバ、アクティブディレクトリサーバ、及びDNS(Domain Name Server)サーバを含む。ホスト間の接続に関する情報は、ネットワークファイアウォールの設定、及びデータフロー情報などの情報を含む。「データフロー情報」は、例えば、「ホストA、B間でSMBによるファイル共有を行っている」、「ホストCからDにUSBメモリを利用してファイルを移動させる運用となっている」などの情報を含む。
【0032】
グループ化部101は、例えば、サブネットワークごとに、ホストをグループ分けする。各ホストが属するサブネットワークは、アドレス情報に基づいて判別できる。グループ化部101は、システム構成情報150から、各ホストのIPアドレスを取得し、ネットワークアドレスが一致するホストは同じサブネットワークに属すると判断する。グループ化部101は、同じサブネットワークに属するホストを、同じグループにグループ分けする。
【0033】
あるいは、グループ化部101は、ネットワークにおいて、所定の境界、例えばセキュリティの境界で区切られた範囲ごとに、ホストをグループ分けしてもよい。例えば、グループ化部101は、ファイアウォールを用いて区切られたネットワーク範囲ごとに、ホストをグループ分けしてもよい。例えば、グループ化部101は、システム構成情報150に含まれるIPアドレスとホスト種別とに基づいて、ホストをグループ分けする。グループ化部101は、例えば、IPアドレスのネットワークアドレスが一致するホストは同じサブネットワークに属すると判断する。グループ化部101は、複数のIPアドレスを持つホストを抽出し、ホスト種別がファイアウォールでないホスト、例えばルータや複数のNIC(Network Interface Card)を持つホストによって接続されるサブネットワーク内のホストを、同じグループにグループ分けする。
【0034】
さらに、グループ化部101は、事務用PC、ファイルサーバ、ログサーバ、踏み台サーバ、制御用サーバ、又はHMI(Human Machine Interface)などの、ホストに割り当てられている役割ごとに、ホストをグループ分けしてもよい。例えば、グループ化部101は、システム構成情報150から、各ホストのホスト種別を取得する。グループ化部101は、ホスト種別が同じホストを、同じグループにグループ分けしてもよい。
【0035】
グループ化部101は、各ホストの構成に基づいて、ホストをグループ分けしてもよい。グループ化部101は、例えば、システム構成情報150に含まれる任意の情報の組み合わせに基づいて、ホストをグループ分けしてもよい。例えば、グループ化部101は、インストールされているOS及びソフトウェアが同じ複数のホストを、同じグループにグループ分けしてもよい。グループ化部101は、ユーザが手動で入力した情報に従って、ホストをグループ分けしてもよい。上記グループ分けの手法は、適宜組み合わせられてもよい。グループ化部101は、図1に示されるグループ化手段11に対応する。
【0036】
代表ホスト生成部102は、グループ化部101でグループ化された複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する。本実施形態では、代表ホスト生成部102は、グループに属するホストのうちの1以上のホストに対応する、仮想のホストである代表ホストを、仮想の分析要素として生成する。代表ホスト生成部102は、図1に示される仮想分析要素生成手段12に対応する。
【0037】
代表ホストの生成方法には、いくつかの方法が考えられる。代表ホスト生成部102は、第1の方法として、同じグループに属する1以上のホストのシステム構成情報150に含まれる攻撃され得る要素をマージし、マージされた攻撃され得る要素を代表ホストの攻撃され得る要素としてもよい。システム構成情報150に含まれる攻撃され得る要素は、例えば、稼働サービス(空きポート番号)、USBポートの有無、脆弱性情報、ユーザ操作の有無、保有クレデンシャル情報、及びデータフロー情報を含む。「稼働サービス」は、例えば、SSH(Secure Shell)、FTP(File Transfer Protocol)、telnet(Teletype network)、及びSMB(Server Message Block)などのネットワークサービスを含む。
【0038】
なお、代表ホスト生成部102は、代表ホストの生成では、ホストの情報を代表ホストの情報に適宜書き換えることができる。例えば、代表ホスト生成部102は、データフローの情報において、各ホストを、各ホストが属するグループの代表ホストに書き換えることができる。例えば、「ホストAとBとの間でSMBによるファイル共有を行っている」という情報は、「ホストAが属するグループの代表ホストとホストBが属するグループの代表ホストの間でSMBによるファイル共有を行っている」という情報に書き換えられてもよい。
【0039】
同様に、代表ホスト生成部102は、ホストファイアウォール情報及びネットワークファイアウォール情報において、各ホストの情報を、各ホストが属するグループの代表ホストの情報に書き換えることができる。例えば、ホストAのIPアドレスが「192.168.10.1」であり、ホストBのIPアドレスが「192.168.20.1」であったとする。ファイアウォール情報は、「192.168.10.1から192.168.20.1へのTCPポート22番での通信を許可」という内容であったとする。ホストAが属するグループの代表ホストのIPアドレスは「192.168.10.100」であり、ホストBが属するグループの代表ホストのIPアドレスは「192.168.20.100」であったとする。その場合、代表ホスト生成部102は、上記ファイアウォール情報を、「192.168.10.100から192.168.20.100へのTCPポート22番での通信を許可」と書き換えることができる。
【0040】
代表ホスト生成部102は、IPアドレス及びホスト種別について、同じグループに属する複数のホストから任意に選択されたホストのIPアドレス及びホスト種別を、代表ホストのIPアドレス及びホスト種別としてもよい。あるいは、代表ホスト生成部102は、ダミーの値を代表ホストのIPアドレス及びホスト種別としてもよい。代表ホスト生成部102は、グループ内のホストのIPアドレス及びホスト種別をマージしてもよい。
【0041】
代表ホスト生成部102は、第2の方法として、システム構成情報150から各ホストの攻撃され得る要素を取得し、攻撃され得る要素の数に基づいて代表ホストを生成してもよい。代表ホスト生成部102は、同じグループに属するホストのうち、攻撃され得る要素の数が多いホストを1台以上選択し、選択したホストと同じ構成のホストを代表ホストとして生成してもよい。代表ホスト生成部102は、例えば、各グループにおいて、攻撃され得る要素の数が最も多いホストを選択してもよい。あるいは、代表ホスト生成部102は、各グループにおいて、攻撃され得る要素の数が所定の数以上の1以上のホストを選択してもよい。代表ホスト生成部102は、脆弱性情報の数、或いは稼働しているサービスの数など、特定の攻撃され得る要素の数に基づいて、代表ホストを生成してもよい。
【0042】
代表ホスト生成部102は、第3の方法として、同じグループに属する1以上のホストのうち、他のグループのホストから攻撃され得る要素を持つホストを選択し、選択したホストと同じ構成のホストを代表ホストとして生成してもよい。代表ホスト生成部102は、例えばシステム構成情報150に含まれるデータフロー情報や、ホストファイアウォール情報、及びネットワークファイアウォール情報に基づいて、他のグループのホストから攻撃され得る要素を持つホストを特定することができる。
【0043】
代表ホスト生成部102は、第4の方法として、分割分析の各終点状態に至る攻撃され得る要素を持つホストごとに、代表ホストを生成してもよい。代表ホスト生成部102は、例えば分析要素ごとに、分割分析のどの終点状態に至るかをテーブルとして保持する。代表ホスト生成部102は、保持するテーブルと、システム構成情報150とを参照し、各ホストが、どの終点状態に至る要素を持つかを判断する。
【0044】
図7は、稼働サービスと終点状態との対応関係を示すテーブルの具体例を示す。代表ホスト生成部102は、例えば、サービスで使用されるプロトコルと、そのプロトコルを用いた攻撃で遷移可能な終点状態とを対応付けたテーブルを保持する。代表ホスト生成部102は、例えばあるホストにおいて「telnet」が使用されている場合、そのホストは「コード実行」に至る攻撃され得る要素を持つと判断する。代表ホスト生成部102は、例えばあるホストにおいて「RDP(Remote Desktop Protocol)」が使用されている場合、そのホストは「コード実行」、「データ改ざん」、及び「データ窃取」に至る攻撃され得る要素を持つと判断する。
【0045】
なお、図7では、「コード実行」、「データ改ざん」、及び「データ窃取」の3つの状態が終点状態として考えられているが、終点状態はこれらには限定されない。例えば、分割分析の終点状態として、「認証情報の窃取」、又は「機能停止」などの状態が考えられる場合、代表ホスト生成部102は、それら状態と攻撃され得る要素とを対応付けたテーブルを保持していればよい。
【0046】
代表ホスト生成部102は、脆弱性についても、同様に、脆弱性と、その脆弱性を用いた攻撃で遷移可能な終点状態とを対応付けたテーブルを保持する。代表ホスト生成部102は、データフロー情報については、関連するホストについて、「データ改ざん」又は「データ窃取」の最終状態に至ると判断してもよい。代表ホスト生成部102は、例えば、グループ内のホストのうち、同じ最終状態に至る攻撃され得る要素をマージし、各最終状態に対応した代表ホストを生成してもよい。
【0047】
なお、上記した代表ホストの生成方法は、適宜組み合わせることができる。例えば、代表ホスト生成部102は、第3の方法において複数のホストが選択された場合は、第1の方法又は第2の方法に従って、選択された複数のホストの構成され得る要素をマージしてもよいし、攻撃され得る要素が多いホストを更に選択してもよい。
【0048】
第1のリスク分析部103は、代表ホスト生成部102が生成した代表ホストを使用して、システムに含まれる潜在的なリスクを分析する。第1のリスク分析部103は、想定される、いくつかの攻撃シナリオのそれぞれについて、攻撃手順を演繹的に推論し、攻撃経路を探索する。攻撃シナリオは、攻撃に利用される侵入口、最終的な攻撃対象、及び最終攻撃の種別を含む。第1のリスク分析部103は、攻撃に利用される侵入口のホストが属するグループの代表ホストから攻撃が開始された場合に、攻撃対象のホストが属するグループの代表ホストにおいて最終攻撃の種別が示す攻撃が可能であるか否かを分析する。第1のリスク分析部103は、図1に示される分析手段13に対応する。
【0049】
本実施形態において、第1のリスク分析部103は、分割分析の手法を用いてリスク分析を行う。第1のリスク分析部103は、システム構成情報150を参照し、代表ホスト生成部102が生成した代表ホストのペアに対し、起点となる代表ホストの各状態から、終点となる代表ホストの各状態に遷移可能か否かを分析する。第1のリスク分析部103は、分割分析の結果を結合し、攻撃に利用される侵入口に対応する代表ホストから攻撃が開始された場合に、最終的な攻撃対象に対応する代表ホストにおいて最終攻撃の種別に示される攻撃が可能な否かを分析する。
【0050】
分析対象要素決定部104は、第1のリスク分析部103が実施したリスク分析の結果に基づいて、第2のリスク分析部105で分析される分析対象要素を決定する。分析対象要素決定部104は、第1のリスク分析部103の分析結果に基づいて、分析対象のシステムに含まれるホストのうち、攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する。分析対象要素決定部104は、図1に示される分析対象要素決定手段14に対応する。
【0051】
例えば、分析対象要素決定部104は、代表ホストが攻撃に利用されない場合、その代表ホストのグループ内のホストを分析対象から除外する。あるいは、分析対象要素決定部104は、代表ホストを用いた分割分析で、代表ホストの特定の状態が攻撃起点として又は終点状態として利用されない場合、グループ内のホストについて、その状態を、分割分析での分析対象から除外する。分析対象要素決定部104は、代表ホストが終点状態に対応して生成されている場合、攻撃に利用されない代表ホストがあるか否かを調べる。分析対象要素決定部104は、攻撃に利用されない代表ホストを特定し、グループ内のホストについて、特定した代表ホストに対応する終点状態を、分析対象から除外する。
【0052】
第2のリスク分析部105は、分析対象要素決定部104が決定した分析対象要素について、システム構成情報150を参照し、システムに含まれる潜在的なリスクを分析する。第2のリスク分析部105が行うリスク分析は、分析の対象が各グループの代表ホストから各ホストに変わる点を除けば、第1のリスク分析部103が行うリスク分析と同様であってよい。第2のリスク分析部105は、必ずしも第1のリスク分析部103は別に配置されている必要はなく、第1のリスク分析部103と第2のリスク分析部105とは同一の機能部であってもよい。
【0053】
第2のリスク分析部105は、システム構成情報150を参照し、分析対象のホスト及び状態について、起点となるホストの各状態から、終点となるホストの各状態に遷移可能か否かを分析する。第2のリスク分析部105は、分割分析の結果を結合し、攻撃に利用される侵入口のホストから攻撃が開始された場合に、最終的な攻撃対象のホストにおいて最終攻撃の種別に示される攻撃が可能な否かを分析する。第2のリスク分析部105は、図1に示される分析手段15に対応する。
【0054】
図8は、分析対象のシステムの一部を示す。サブネット(サブネットX)250Xは、ホスト200A、ホスト200B、ホスト200C、ホスト(ホストD)200D、ホスト(ホストE)200E、及びホスト(ホストF)200Fを含む。サブネット(サブネットY)250Yは、ホスト(ホストG)200Gを含む。サブネット250Xは、ファイアウォール(FW:Fire Wall)210を介してサブネット250Yに接続される。ファイアウォール210は、ホスト200Eからホスト200Gへの通信のみを許可するものとする。
【0055】
サブネット250Xのホスト200Aは、「データ改ざん可能」の状態に至る攻撃され得る要素として「FTP」を有する。ホスト200Bは、「コード実行可能」の状態に至る攻撃され得る要素として「RDP Login」を有する。ホスト200Cは、「データ改ざん可能」の状態に至る攻撃され得る要素として、「CVE(Common Vulnerabilities and Exposures)-2020-YYYY」で識別される脆弱性を有する。ホスト200Dは、「データ改ざんに至る攻撃され得る要素として、「CVE-2020-ZZZZ」で識別される脆弱性を有する。ホスト200Eは、「コード実行可能」に至る攻撃され得る要素として、「SSH Login」を有する。ホスト200Fは、「データ改ざん可能」に至る攻撃され得る要素として「SMB」を有する。サブネット250Yのホスト200Gは、「コード実行可能」に至る攻撃され得る要素として、「CVE-2020-XXXX」で識別される脆弱性を有する。
【0056】
図9は、各サブネットワークに生成される代表ホストを示す。代表ホスト生成部102は、各サブネット内のホストについて、状態ごとにホストをまとめる。代表ホスト生成部102は、サブネット250Xについて、「データ改ざん可能」に対応した代表ホスト(代表ホストA)220Aを生成する。代表ホスト220Aは、攻撃され得る要素として、「FTP」、「SMB」、及び「CVE-2020-YYYY」で識別される脆弱性を有する。
【0057】
また、代表ホスト生成部102は、「データ窃取可能」に対応した代表ホスト(代表ホストB)220Bを生成する。代表ホスト220Bは、攻撃され得る要素として「CVE-2020-ZZZZ」で識別される脆弱性を有する。さらに、代表ホスト生成部102は、「コード実行可能」に対応した代表ホスト(代表ホストC)220Cを生成する。代表ホスト220Cは、攻撃され得る要素として、「RDP Login」と「SSH Login」とを有する。代表ホスト生成部102は、サブネット250Yについては、代表ホスト(代表ホストD)220Dを生成する。
【0058】
代表ホスト220Aは、図8に示されるホスト200A、200C、及び200Fに対応した代表ホストである。代表ホスト220Bは、図8に示されるホスト200Dに対応した代表ホストである。代表ホスト220Cは、図8に示されるホスト200B、及び200Eに対応した代表ホストである。代表ホスト220Dは、図8に示されるホスト200Gに対応した代表ホストである。
【0059】
第1のリスク分析部103は、図9に示される代表ホストを用いて、リスク分析を行う。リスク分析の結果、代表ホスト220Cから代表ホスト220Dへの攻撃は可能であることが分析される。一方、代表ホスト220A及び220Bから代表ホスト220Dへの通信はファイアウォール210によって遮断されるため、代表ホスト220A及び220Bから代表ホスト220Dへの攻撃はないことが分析される。その場合、分析対象要素決定部104は、サブネット250Xについて、「データ改ざん可能」及び「データ窃取可能」を分析対象から除外する。第2のリスク分析部105は、サブネット250Xのホストについては、「コード実行可能」についてリスク分析を行う。このようにすることで、分割分析において、不要な箇所の分析を削減できる。
【0060】
続いて、動作手順を説明する。図10は、リスク分析装置100における動作手順(リスク分析方法)を示す。グループ化部101は、システム構成情報150に基づいて、分析対象のシステムに含まれる複数のホストを、複数のグループに分ける(ステップS1)。代表ホスト生成部102は、各グループに1以上の代表ホストを生成する(ステップS2)。
【0061】
第1のリスク分析部103は、ステップS2で生成された代表ホストを用いて、分析対象のシステムにおけるリスクを分析する(ステップS3)。分析対象要素決定部104は、ステップS3のリスクの分析結果に基づいて、分析対象要素(ホスト及びその状態)を決定する(ステップS4)。分析対象要素決定部104は、ステップS4では、例えば代表ホストを用いたリスク分析において、攻撃に利用されない代表ホスト及びその状態に対応するホスト及びその状態を、分析対象要素から除外する。ステップS1からS4は、分析対象要素決定装置110の動作手順(分析対象要素決定方法)に対応する。
【0062】
第2のリスク分析部105は、ステップS4で決定された分析対象要素について、システム構成情報150を参照し、詳細なリスク分析を行う(ステップS5)。ステップS4において、攻撃に利用されない代表ホスト及びその状態に対応するホスト及びその状態が分析対象要素から除外される場合、ステップS5において、不要な箇所が分析されない。このため、分析対象のシステムに含まれる全てのホスト及びその状態に対してリスク分析が行われる場合に比べて、計算コストを軽減できる。
【0063】
本実施形態では、グループ化部101は、複数のホストをいくつかのグループにグループ分けする。代表ホスト生成部102は、グループごとに代表ホストを生成する。第1のリスク分析部103は、グループごとに生成された代表ホストを用いてリスク分析を行う。分析対象要素決定部104は、第1のリスク分析部103にリスク分析の結果に基づいて、攻撃に利用され得る代表ホストを、第2のリスク分析部105で実施されるリスク分析の分析対象要素として決定する。第2のリスク分析部105で実施されるリスク分析において、不要な箇所の分析を抑制することができ、システム全体に対してリスク分析を行う場合に比べて、計算コストを軽減できる。
【0064】
なお、図2では、リスク分析装置100が分析対象要素決定装置110を含む例を説明した。しかしながら、本開示はこれには限定されない。リスク分析装置100と分析対象要素決定装置110とは、必ずしも同一の装置として構成されている必要はなく、これらは別々の装置として構成されていてもよい。また、上記実施形態では、主に分割分析の手法が用いられる例を説明したが、本開示はこれには限定されない。第1のリスク分析部103及び第2のリスク分析部105は、システム全体を所定の分割単位で分割せずに、リスク分析を行ってもよい。その場合でも、攻撃に利用されない箇所を分析対象から除外することで、計算コストを軽減できる。
【0065】
続いて、リスク分析装置の物理構成を説明する。図11は、リスク分析装置100及び分析対象要素決定装置110として用いられ得るコンピュータ装置の構成例を示す。コンピュータ装置500は、制御部(CPU:Central Processing Unit)510、記憶部520、ROM(Read Only Memory)530、RAM(Random Access Memory)540、通信インタフェース(IF:Interface)550、及びユーザインタフェース(IF)560を有する。
【0066】
通信IF550は、有線通信手段又は無線通信手段などを介して、コンピュータ装置500と通信ネットワークとを接続するためのインタフェースである。ユーザIF560は、例えばディスプレイなどの表示部を含む。また、ユーザIF560は、キーボード、マウス、及びタッチパネルなどの入力部を含む。
【0067】
記憶部520は、各種のデータを保持できる補助記憶装置である。記憶部520は、必ずしもコンピュータ装置500の一部である必要はなく、外部記憶装置であってもよいし、ネットワークを介してコンピュータ装置500に接続されたクラウドストレージであってもよい。記憶部520は、例えば図2に示されるシステム構成情報150を記憶する。
【0068】
ROM530は、不揮発性の記憶装置である。ROM530には、例えば比較的容量が少ないフラッシュメモリなどの半導体記憶装置が用いられる。CPU510が実行するプログラムは、記憶部520又はROM530に格納され得る。記憶部520又はROM530は、例えばリスク分析装置100又は分析対象要素決定装置110内の各部の機能を実現するための各種プログラムを記憶する。
【0069】
上記プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータ装置500に供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記憶媒体を含む。非一時的なコンピュータ可読媒体の例は、例えばフレキシブルディスク、磁気テープ、又はハードディスクなどの磁気記録媒体、例えば光磁気ディスクなどの光磁気記録媒体、CD(compact disc)、又はDVD(digital versatile disk)などの光ディスク媒体、及び、マスクROM、PROM(programmable ROM)、EPROM(erasable PROM)、フラッシュROM、又はRAMなどの半導体メモリを含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体を用いてコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバなどの有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【0070】
RAM540は、揮発性の記憶装置である。RAM540には、DRAM(Dynamic Random Access Memory)又はSRAM(Static Random Access Memory)などの各種半導体メモリデバイスが用いられる。RAM540は、データなどを一時的に格納する内部バッファとして用いられ得る。CPU510は、記憶部520又はROM530に格納されたプログラムをRAM540に展開し、実行する。CPU510がプログラムを実行することで、リスク分析装置100又は分析対象要素決定装置110内の各部の機能が実現され得る。CPU510は、データなどを一時的に格納できる内部バッファを有してもよい。
【0071】
以上、本開示の実施形態を詳細に説明したが、本開示は、上記した実施形態に限定されるものではなく、本開示の趣旨を逸脱しない範囲で上記実施形態に対して変更や修正を加えたものも、本開示に含まれる。
【0072】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0073】
[付記1]
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化するグループ化手段と、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する仮想分析要素生成手段と、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する分析手段と、
前記分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段とを備える分析対象要素決定装置。
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化するグループ化手段と、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する仮想分析要素生成手段と、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する分析手段と、
前記分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段とを備える分析対象要素決定装置。
【0074】
[付記2]
前記仮想分析要素生成手段は、前記グループに属するホストのうちの1以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する付記1に記載の分析対象要素決定装置。
前記仮想分析要素生成手段は、前記グループに属するホストのうちの1以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する付記1に記載の分析対象要素決定装置。
【0075】
[付記3]
前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記2に記載の分析対象要素決定装置。
前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記2に記載の分析対象要素決定装置。
【0076】
[付記4]
前記仮想分析要素生成手段は、前記グループに属するホストのうち、攻撃され得る要素の数が最も多いホスト、又は攻撃され得る要素の数が所定の値以上の1以上のホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記2又は3に記載の分析対象要素決定装置。
前記仮想分析要素生成手段は、前記グループに属するホストのうち、攻撃され得る要素の数が最も多いホスト、又は攻撃され得る要素の数が所定の値以上の1以上のホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記2又は3に記載の分析対象要素決定装置。
【0077】
[付記5]
前記仮想分析要素生成手段は、前記グループに属するホストのうち、他のグループのホストから攻撃可能な攻撃され得る要素を持つホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記2から4何れか1つに記載の分析対象要素決定装置。
前記仮想分析要素生成手段は、前記グループに属するホストのうち、他のグループのホストから攻撃可能な攻撃され得る要素を持つホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記2から4何れか1つに記載の分析対象要素決定装置。
【0078】
[付記6]
前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する付記2から5何れか1つに記載の分析対象要素決定装置。
前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する付記2から5何れか1つに記載の分析対象要素決定装置。
【0079】
[付記7]
前記分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析する付記2から6何れか1つに記載の分析対象要素決定装置。
前記分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析する付記2から6何れか1つに記載の分析対象要素決定装置。
【0080】
[付記8]
前記分析対象要素決定手段は、前記攻撃が行われる経路に含まれない、前記起点となる代表ホストの状態と、前記終点となる代表ホストの状態とを、前記リスク分析の対象から除外する付記7に記載の分析対象要素決定装置。
前記分析対象要素決定手段は、前記攻撃が行われる経路に含まれない、前記起点となる代表ホストの状態と、前記終点となる代表ホストの状態とを、前記リスク分析の対象から除外する付記7に記載の分析対象要素決定装置。
【0081】
[付記9]
前記リスク分析では、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かが分析され、
前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する付記2に記載の分析対象要素決定装置。
前記リスク分析では、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かが分析され、
前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する付記2に記載の分析対象要素決定装置。
【0082】
[付記10]
前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する付記9に記載の分析対象要素決定装置。
前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する付記9に記載の分析対象要素決定装置。
【0083】
[付記11]
前記グループ化手段は、前記ホストを、前記ホストが属するサブネットワークごとにグループ分けする付記1から10何れか1つに記載の分析対象要素決定装置。
前記グループ化手段は、前記ホストを、前記ホストが属するサブネットワークごとにグループ分けする付記1から10何れか1つに記載の分析対象要素決定装置。
【0084】
[付記12]
前記グループ化手段は、前記ホストを、所定の境界で区切られた範囲ごとにグループ分けする付記1から11何れか1つに記載の分析対象要素決定装置。
前記グループ化手段は、前記ホストを、所定の境界で区切られた範囲ごとにグループ分けする付記1から11何れか1つに記載の分析対象要素決定装置。
【0085】
[付記13]
前記グループ化手段は、前記ホストを、前記ホストの役割ごとにグループ分けする付記1から12何れか1つに記載の分析対象要素決定装置。
前記グループ化手段は、前記ホストを、前記ホストの役割ごとにグループ分けする付記1から12何れか1つに記載の分析対象要素決定装置。
【0086】
[付記14]
前記グループ化手段は、前記ホストを、前記ホストの構成ごとにグループ分けする付記1から13何れか1つに記載の分析対象要素決定装置。
前記グループ化手段は、前記ホストを、前記ホストの構成ごとにグループ分けする付記1から13何れか1つに記載の分析対象要素決定装置。
【0087】
[付記15]
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化するグループ化手段と、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する仮想分析要素生成手段と、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する第1の分析手段と、
前記第1の分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段と、
前記分析対象要素決定手段が前記リスク分析の対象として決定したホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する第2の分析手段とを備えるリスク分析装置。
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化するグループ化手段と、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成する仮想分析要素生成手段と、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する第1の分析手段と、
前記第1の分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段と、
前記分析対象要素決定手段が前記リスク分析の対象として決定したホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する第2の分析手段とを備えるリスク分析装置。
【0088】
[付記16]
前記仮想分析要素生成手段は、前記グループに属するホストのうちの1以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する付記15に記載のリスク分析装置。
前記仮想分析要素生成手段は、前記グループに属するホストのうちの1以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する付記15に記載のリスク分析装置。
【0089】
[付記17]
前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記16に記載のリスク分析装置。
前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記16に記載のリスク分析装置。
【0090】
[付記18]
前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する付記16又は17に記載のリスク分析装置。
前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する付記16又は17に記載のリスク分析装置。
【0091】
[付記19]
前記第1の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析し、
前記第2の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析する付記16から18何れか1つに記載のリスク分析装置。
前記第1の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析し、
前記第2の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析する付記16から18何れか1つに記載のリスク分析装置。
【0092】
[付記20]
前記第2の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析し、
前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する付記16に記載のリスク分析装置。
前記第2の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析し、
前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する付記16に記載のリスク分析装置。
【0093】
[付記21]
前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する付記20に記載のリスク分析装置。
前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する付記20に記載のリスク分析装置。
【0094】
[付記22]
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定方法。
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定方法。
【0095】
[付記23]
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析するリスク分析方法。
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析するリスク分析方法。
【0096】
[付記24]
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する処理をコンピュータに実行させるためのプログラムを格納する非一時的なコンピュータ可読媒体。
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する処理をコンピュータに実行させるためのプログラムを格納する非一時的なコンピュータ可読媒体。
【0097】
[付記25]
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する処理をコンピュータに実行させるためのプログラムを格納する非一時的なコンピュータ可読媒体。
分析対象のシステムに含まれる複数のホストを、それぞれが1以上のホストを含む複数のグループにグループ化し、
前記複数のグループのそれぞれについて、1以上の仮想の分析要素を生成し、
前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する処理をコンピュータに実行させるためのプログラムを格納する非一時的なコンピュータ可読媒体。
【符号の説明】
【0098】
10:リスク分析装置
11:グループ化手段
12:仮想分析要素生成手段
13:分析手段
14:分析対象要素決定手段
15:分析手段
20:分析対象要素決定装置
100:リスク分析装置
101:グループ化部
102:代表ホスト生成部
103:第1のリスク分析部
104:分析対象要素決定部
105:第2のリスク分析部
110:分析対象要素決定装置
150:システム構成情報
200A-G,X,Y:ホスト
210:ファイアウォール
220A-D:代表ホスト
250A-D,X,Y:サブネット
500:コンピュータ装置
510:CPU
520:記憶部
530:ROM
540:RAM
550:通信IF
560:ユーザIF
11:グループ化手段
12:仮想分析要素生成手段
13:分析手段
14:分析対象要素決定手段
15:分析手段
20:分析対象要素決定装置
100:リスク分析装置
101:グループ化部
102:代表ホスト生成部
103:第1のリスク分析部
104:分析対象要素決定部
105:第2のリスク分析部
110:分析対象要素決定装置
150:システム構成情報
200A-G,X,Y:ホスト
210:ファイアウォール
220A-D:代表ホスト
250A-D,X,Y:サブネット
500:コンピュータ装置
510:CPU
520:記憶部
530:ROM
540:RAM
550:通信IF
560:ユーザIF
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】