知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-08-26
(45)【発行日】2024-09-03
(54)【発明の名称】シグネチャ管理装置、およびシグネチャ管理方法
(51)【国際特許分類】
G06F 21/56 20130101AFI20240827BHJP
【FI】
G06F21/56 340
【請求項の数】
14
(21)【出願番号】P 2021128138
(22)【出願日】2021-08-04
(65)【公開番号】P2023023000
(43)【公開日】2023-02-16
【審査請求日】2024-02-05
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000176
【氏名又は名称】弁理士法人一色国際特許事務所
(72)【発明者】
【氏名】藤井 翔太
(72)【発明者】
【氏名】川口 信隆
(72)【発明者】
【氏名】小島 将耶
(72)【発明者】
【氏名】鈴木 智也
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2018-137500(JP,A)
【文献】再公表特許第2008/004498(JP,A1)
【文献】特開2017-167695(JP,A)
【文献】特開2006-243878(JP,A)
【文献】特開2020-129166(JP,A)
【文献】重本 倫宏,セキュリティ対処の影響を考慮した自動対処システムの提案,CSS2017 コンピュータセキュリティシンポジウム2017 論文集 合同開催 マルウェア対策研究人材育成ワークショップ2017 プライバシーワークショップ2017 ユーザブルセキュリティワークショップ2017 情報処理学会シンポジウムシリーズ Vol.2017 No.2 [CD-ROM] ,日本,一般社団法人情報処理学会 コンピュータセキュリティ研究会 セキュリティ心理学とトラスト研究会,2017年10月16日,第2017巻,pp.1442~1448
【文献】仲小路博史他,人間行動を用いた自律進化型防御システムの提案,SCIS2016[USB],一般社団法人電子情報通信学会,2016年01月19日,p.1-p.8
【文献】長谷川 皓一 他,標的型攻撃に対するインシデント対応支援システム,情報処理学会論文誌,2016年03月15日,第57巻、第3号,pp.836-848
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
プロセッサおよび記憶装置を有する情報処理装置を用いて構成され、脅威情報を取得する脅威情報取得部と、
前記脅威情報に基づき、業務が行われる現場のセキュリティ管理に適用されるシグネチャの候補である候補シグネチャを生成する候補シグネチャ生成部と、
前記業務に関する情報である業務情報を取得する業務情報取得部と、
前記候補シグネチャを前記セキュリティ管理に適用した場合に前記業務に与える影響の度合いを示す値である影響度を前記業務情報に基づき求める業務影響度評価部と、
前記影響度に基づき前記候補シグネチャの前記セキュリティ管理への適用是非を判定するシグネチャ適用是非判定部と、
前記適用是非の判定結果を出力するシグネチャ情報提供部と、
前記脅威情報を解析する脅威情報解析部と、
を備え、
前記候補シグネチャ生成部は、
前記脅威情報を解析することにより得られる情報であるシグネチャ化対象情報に基づき前記候補シグネチャを生成し、
生成した前記候補シグネチャについて求めた前記影響度が予め設定された閾値を超える場合、前記シグネチャ化対象情報に基づき、当該候補シグネチャの生成方法とは異なる方法により前記候補シグネチャを再生成する、
シグネチャ管理装置。
【請求項2】
請求項1に記載のシグネチャ管理装置であって、前記候補シグネチャ生成部は、
前記脅威情報を解析することによって得られた複数の前記シグネチャ化対象情報をクラスタに分類し、前記クラスタ毎に前記シグネチャ化対象情報の一致部分を抽象化することにより得られた結果を前記候補シグネチャとして生成し、
前記再生成に際し、前記複数の前記シグネチャ化対象情報をクラスタに分類する際の条件を変更して前記候補シグネチャを生成する、
シグネチャ管理装置。
【請求項3】
請求項1に記載のシグネチャ管理装置であって、前記候補シグネチャ生成部は、
複数の前記シグネチャ化対象情報を組み合わせることにより前記候補シグネチャを生成し、
前記再生成に際し、前記組み合せを変更して前記候補シグネチャを生成する、
シグネチャ管理装置。
【請求項4】
請求項1に記載のシグネチャ管理装置であって、前記シグネチャ化対象情報は、マルウェアがアクセスする悪性サイトの所在を示す情報、マルウェアが操作するレジストリ、マルウェアがアクセスするファイルパス、およびマルウェアのバイナリ列、のうちの少なくともいずれかである、
シグネチャ管理装置。
【請求項5】
請求項1に記載のシグネチャ管理装置であって、前記業務情報は、前記候補シグネチャをセキュリティ管理に適用した際に取得されたログ情報である、
シグネチャ管理装置。
【請求項6】
請求項5に記載のシグネチャ管理装置であって、前記業務影響度評価部は、前記ログ情報に基づき取得される、前記候補シグネチャを前記セキュリティ管理に適用した際の、前記現場で運用されている情報処理装置から他の情報処理装置へのアクセスの遮断率、前記現場における通信ネットワークの平均通信速度の低下率、前記現場で利用されているアプリケーションのうちレスポンスが低下したアプリケーションの割合、および前記現場で利用されているアプリケーションのうち利用不可となったアプリケーションの割合、のうちの少なくともいずれかに基づき、前記影響度を求める、
シグネチャ管理装置。
【請求項7】
請求項1に記載のシグネチャ管理装置であって、前記業務情報は、前記業務の性質、前記業務に用いる機器の性質、前記業務が行われる環境、および前記業務を行う組織の規模のうちの少なくともいずれかである、
シグネチャ管理装置。
【請求項8】
請求項1に記載のシグネチャ管理装置であって、前記候補シグネチャによる検出対象である脅威の度合いを示す情報を記憶し、
前記シグネチャ適用是非判定部は、前記脅威の度合いに応じて前記適用是非の判定基準を調整する、
シグネチャ管理装置。
【請求項9】
請求項1に記載のシグネチャ管理装置であって、前記脅威情報はシグネチャそのものを含み、
前記候補シグネチャ生成部は、前記脅威情報に含まれているシグネチャそのものを前記候補シグネチャとして生成する、
シグネチャ管理装置。
【請求項10】
請求項1に記載のシグネチャ管理装置であって、前記シグネチャ情報提供部は、前記候補シグネチャについて求めた前記影響度を記載した画面を生成して出力する、
シグネチャ管理装置。
【請求項11】
請求項10に記載のシグネチャ管理装置であって、前記シグネチャ情報提供部は、前記候補シグネチャの前記適用是非または前記セキュリティ管理への適用状況を更に記載した前記画面を生成して出力する、
シグネチャ管理装置。
【請求項12】
請求項1に記載のシグネチャ管理装置であって、前記シグネチャ適用是非判定部は、
前記影響度を予め設定した閾値と比較することにより前記適用是非を判定し、
前記影響度が前記閾値から所定の範囲内である場合にユーザインタフェースを介して前記適用是非の判定の入力を受け付け、受け付けた内容に基づき前候補シグネチャの前記適用是非を判定する、
シグネチャ管理装置。
【請求項13】
請求項1に記載のシグネチャ管理装置であって、前記セキュリティ管理を行う他の情報処理装置と通信可能に接続し、
前記シグネチャ情報提供部は、前記適用是非の判定結果に応じて、前記セキュリティ管理に用いられる他の情報処理装置に前記候補シグネチャを提供するか否かを判定する、
シグネチャ管理装置。
【請求項14】
プロセッサおよび記憶装置を有する情報処理装置が、脅威情報を取得するステップと、
前記脅威情報に基づき、業務が行われる現場のセキュリティ管理に適用されるシグネチャの候補である候補シグネチャを生成するステップと、
前記業務に関する情報である業務情報を取得するステップと、
前記候補シグネチャを前記セキュリティ管理に適用した場合に前記業務に与える影響の度合いを示す値である影響度を前記業務情報に基づき求めるステップと、
前記影響度に基づき前記候補シグネチャの前記セキュリティ管理への適用是非を判定するステップと、
前記適用是非の判定結果を出力するステップと、
前記脅威情報を解析するステップと、
前記脅威情報を解析することにより得られる情報であるシグネチャ化対象情報に基づき前記候補シグネチャを生成するステップと、
生成した前記候補シグネチャについて求めた前記影響度が予め設定された閾値を超える場合、前記シグネチャ化対象情報に基づき、当該候補シグネチャの生成方法とは異なる方法により前記候補シグネチャを再生成するステップと、
を実行する、シグネチャ管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、シグネチャ管理装置、およびシグネチャ管理方法に関する。
【背景技術】
【0002】
特許文献1には、通信のパケットを分析しシグネチャマッチングにより機器種別や機器名を特定するシステムや、ブラックリストにより通信を制御するファイアウォール等のシステムにおいて、アプリケーションの通信を適切に制御することを目的として構成された通信端末装置について記載されている。通信端末装置は、アプリケーションの通信を取得し、第1の制御条件に基づきアプリケーションの通信を制御し、取得制御部が取得した通信を解析してアプリケーションが通信制御対象であるか否かを判定し、通信制御対象のアプリケーションの正常通信範囲に基づき第1の制御条件を生成し、アプリケーションの識別情報と、第1の制御条件とを含む第1の共有情報の少なくとも一部を、他の通信端末装置に送信する。
【0003】
特許文献2には、ネットワークにおいて発生する通信データを正確に検査し、不正な通信を確実に防止することを目的として構成された不正通信検査装置について記載されている。不正通信検査装置は、制御ネットワークを利用して通信を行う装置が従うべき動作定義である動作定義およびコントローラの設定プログラムをエンジニアリングステーションから通信機能部等を介して取得し、この動作定義に基づいて、正常な通信データを定義する検査定義を生成し、制御ネットワークから取得した通信データを検査し、検査定義により定義された通信データのみを許可するとともに、取得した通信データを記録する。
【0004】
非特許文献1には、マルウェアファミリの既知のインスタンス間で共有される疑わしい共通サブグラフ(コンポーネント間の呼び出し関係とそれらのセマンティックメタデータ(データフロープロパティ等)の観点から、複数のアプリケーション間で共有される機能を記述したもの)を探索し、アプリケーションが特定のマルウェアファミリを特徴付けるセマンティックシグネチャと一致するかを判断することによりマルウェアを検出することが記載されている。
【0005】
非特許文献2には、悪意のあるHTTPトラフィックの痕跡の構造的な類似性を分析することにより、現状ではキャプチャされない可能性のあるマルウェア間の類似性を特定し、それによりマルウェアをネットワークレベルでクラスタリングして質の高いシグネチャを自動生成するシステムに関して記載されている。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2020-135655号公報
【文献】特開2016-201603号公報
【非特許文献】
【0007】
【文献】Yu Feng, Osbert Bastani, Ruben Martins, Isil Dillig, Saswat Anand: Automated Synthesis of Semantic Malware Signatures using Maximum Satisfiability, NDSS 2017, [online], 2021-7-14検索, URL<https://www.ndss-symposium.org/ndss2017/ndss-2017-programme/automated-synthesis-semantic-malware-signatures-using-maximum-satisfiability/>
【文献】Roberto Perdisci, Wenke Lee, and Nick Feamster: Behavioral clustering of HTTP-based malware and signature generation using malicious network traces, OSDI 2010, [online], 2021-7-14検索, URL<https://dl.acm.org/doi/abs/10.5555/1855711.1855737>
【発明の概要】
【発明が解決しようとする課題】
【0008】
特許文献乃至非特許文献に記載されているように、マルウェアや不正アクセス等による悪性挙動(攻撃)に対するセキュリティ管理の仕組みとして、シグネチャ(マルウェア等に含まれる特徴的なデータや不正アクセスに特徴的な通信データを記載した情報)を用いてセキュリティインシデントの検出や対策を講じる方法がある。
【0009】
しかし、シグネチャを用いて機械的に悪性挙動を検出し対策を講じてしまうと、現場の業務に過大な影響を与えてしまうことがある。例えば、良性の挙動を悪性の挙動と誤検出した場合に通信の遮断等の対策を講じると、不必要に現場の業務に影響を与えてしまう。そのため、シグネチャを用いたセキュリティ管理においては、業務に与える影響を考慮しつつ適切な対策を講じることが求められる。一方で、講じようとする対策が業務に与える影響についての評価は、業務や現場の情報処理システムについての十分な知識を有している者が慎重に行う必要があり、人的負荷や属人性が高いといった課題がある。尚、特許文献乃至非特許文献には、シグネチャを用いたセキュリティ管理において業務への影響を考慮することは記載されていない。
【0010】
本発明はこのような背景に鑑みてなされたもので、シグネチャを用いたセキュリティ管理を、業務に与える影響を考慮しつつ適切に行うことが可能な、シグネチャ管理装置、およびシグネチャ管理方法を提供することを目的とする。
【課題を解決するための手段】
【0011】
上記目的を達成するための本発明の一つは、シグネチャ管理装置であって、プロセッサおよび記憶装置を有する情報処理装置を用いて構成され、脅威情報を取得する脅威情報取得部と、前記脅威情報に基づき、業務が行われる現場のセキュリティ管理に適用されるシグネチャの候補である候補シグネチャを生成する候補シグネチャ生成部と、前記業務に関する情報である業務情報を取得する業務情報取得部と、前記候補シグネチャを前記セキュリティ管理に適用した場合に前記業務に与える影響の度合いを示す値である影響度を前記業務情報に基づき求める業務影響度評価部と、前記影響度に基づき前記候補シグネチャの前記セキュリティ管理への適用是非を判定するシグネチャ適用是非判定部と、
前記適用是非の判定結果を出力するシグネチャ情報提供部と、前記脅威情報を解析する脅威情報解析部と、を備え、前記候補シグネチャ生成部は、前記脅威情報を解析することにより得られる情報であるシグネチャ化対象情報に基づき前記候補シグネチャを生成し、生成した前記候補シグネチャについて求めた前記影響度が予め設定された閾値を超える場合、前記シグネチャ化対象情報に基づき、当該候補シグネチャの生成方法とは異なる方法により前記候補シグネチャを再生成する。
前記適用是非の判定結果を出力するシグネチャ情報提供部と、前記脅威情報を解析する脅威情報解析部と、を備え、前記候補シグネチャ生成部は、前記脅威情報を解析することにより得られる情報であるシグネチャ化対象情報に基づき前記候補シグネチャを生成し、生成した前記候補シグネチャについて求めた前記影響度が予め設定された閾値を超える場合、前記シグネチャ化対象情報に基づき、当該候補シグネチャの生成方法とは異なる方法により前記候補シグネチャを再生成する。
【0012】
その他、本願が開示する課題、およびその解決方法は、発明を実施するための形態の欄、および図面により明らかにされる。
【発明の効果】
【0013】
本発明によれば、シグネチャを用いたセキュリティ管理を、業務に与える影響を考慮しつつ適切に行うことができる。
【図面の簡単な説明】
【0014】
【図1】第1実施形態として示す情報処理システムの概略的な構成を示す図である。
【図2】第1実施形態のシグネチャ管理装置が備える主な機能を示す図である。
【図3A】第1実施形態における脅威情報取得先管理表の一例である。
【図3B】第1実施形態における候補シグネチャ情報の一例である。
【図4】シグネチャ管理装置の実現に用いる情報処理装置の構成例である。
【図5A】第1実施形態におけるシグネチャ生成処理を説明するフローチャートである。
【図5B】業務影響度評価処理の詳細を説明するフローチャートである。
【図5C】シグネチャ適用是非判定処理の詳細を説明するフローチャートである。
【図5D】シグネチャ適用処理の詳細を説明するフローチャートである。
【図6】シグネチャ情報提供処理を説明するフローチャートである。
【図7】シグネチャ情報提供画面の一例である。
【図8】第2実施形態のシグネチャ管理装置が備える主な機能を示す図である。
【図9A】第2実施形態における脅威情報取得先管理表の一例である。
【図9B】第2実施形態における脅威情報解析結果の一例である。
【図10A】第2実施形態におけるシグネチャ生成処理を説明するフローチャートである。
【図10B】脅威情報解析処理の詳細を説明するフローチャートである。
【図10C】候補シグネチャ生成処理の詳細を説明するフローチャートである。
【発明を実施するための形態】
【0015】
以下、実施形態について図面を参照しつつ説明する。以下の記載および図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略および簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。とくに限定しない限り、各構成要素は単数でも複数でも構わない。
【0016】
以下の説明において、同一のまたは類似する構成について同一の符号を付して重複した説明を省略することがある。以下の説明において、符号の前に付した「S」の文字は処理ステップを意味する。以下の説明において、「第1」、「第2」等の表記は、構成要素を識別するために付するものであり、必ずしも、数または順序を限定するものではない。以下の説明において、「テーブル」、「情報」等の表現にて各種情報を説明することがあるが、情報はこれら以外のデータ構造で表現されていてもよい。以下の説明において、「アプリケーションソフトウェア」のことを「アプリケーション」と略記する。
【0017】
[第1実施形態]
図1に、第1実施形態として示す情報処理システム1の概略的な構成を示している。情報処理システム1は、企業や官公庁等の組織の内部の通信ネットワークである内部ネットワーク51に接続する複数の情報処理装置(コンピュータ)を含む。また、情報処理システム1は、組織の外部の通信ネットワークである外部ネットワーク52(インターネットを含む。)と内部ネットワーク51との間に介在する通信ネットネットワークであるDMZ53(DMZ:DeMilitarized Zone)に接続する一つ以上の情報処理装置を含む。
図1に、第1実施形態として示す情報処理システム1の概略的な構成を示している。情報処理システム1は、企業や官公庁等の組織の内部の通信ネットワークである内部ネットワーク51に接続する複数の情報処理装置(コンピュータ)を含む。また、情報処理システム1は、組織の外部の通信ネットワークである外部ネットワーク52(インターネットを含む。)と内部ネットワーク51との間に介在する通信ネットネットワークであるDMZ53(DMZ:DeMilitarized Zone)に接続する一つ以上の情報処理装置を含む。
【0018】
内部ネットワーク51およびDMZ53は、有線方式または無線方式の通信ネットワークであり、例えば、LAN(Local Area Network)、WAN(Wide Area Network)等で
ある。同図に示すように、内部ネットワーク51には、多数の内部装置2、侵入検出/防止装置3、およびシグネチャ管理装置100が接続している。また、DMZ53には、プロキシサーバ4が接続している。
ある。同図に示すように、内部ネットワーク51には、多数の内部装置2、侵入検出/防止装置3、およびシグネチャ管理装置100が接続している。また、DMZ53には、プロキシサーバ4が接続している。
【0019】
内部装置2は、いずれも情報処理装置(コンピュータ)であり、例えば、組織の内部者(社員、職員等)が使用する各種端末装置(パーソナルコンピュータ、オフィスコンピュータ、スマートフォン、タブレット等)、各種のサーバ装置(アプリケーションサーバ、データベースサーバ等)である。
【0020】
シグネチャ管理装置100は、シグネチャを用いて内部ネットワーク51等の現場におけるセキュリティ管理(セキュリティインシデントの検出や対策等)を行う情報処理装置である。シグネチャ管理装置100は、外部ネットワーク52を介して、インターネット上のWebサーバ等の情報取得先6からマルウェアのシグネチャを含む情報(以下、「脅
威情報」と称する。)を取得し、取得した脅威情報に基づき、内部ネットワーク51やDMZ53におけるセキュリティインシデントの検出(セキュリティインシデントの兆候の検出を含む。以下同様。)に用いるシグネチャの候補(以下、「候補シグネチャ」と称する。)を生成する。シグネチャ管理装置100は、生成した候補シグネチャを、上記セキュリティ管理に適用した場合における組織の業務への影響度を評価する。シグネチャ管理装置100は、上記影響度に基づき候補シグネチャの適用是非を判定し、当該判定の結果に応じて、候補シグネチャを、現場のセキュリティ管理に用いるシグネチャとして侵入検出/防止装置3やプロキシサーバ4に提供する。
威情報」と称する。)を取得し、取得した脅威情報に基づき、内部ネットワーク51やDMZ53におけるセキュリティインシデントの検出(セキュリティインシデントの兆候の検出を含む。以下同様。)に用いるシグネチャの候補(以下、「候補シグネチャ」と称する。)を生成する。シグネチャ管理装置100は、生成した候補シグネチャを、上記セキュリティ管理に適用した場合における組織の業務への影響度を評価する。シグネチャ管理装置100は、上記影響度に基づき候補シグネチャの適用是非を判定し、当該判定の結果に応じて、候補シグネチャを、現場のセキュリティ管理に用いるシグネチャとして侵入検出/防止装置3やプロキシサーバ4に提供する。
【0021】
侵入検出/防止装置3(IDS:Intrusion Detection System,IPS: Intrusion prevention system)は、内部ネットワーク51における通信をパケットキャプチャ等の方法で取
得して監視することによりセキュリティインシデントを検出し、検出したセキュリティインシデントに関する情報の管理者等への通知、検出したセキュリティインシデントに対する対策(通信の遮断、マルウェアの駆除等)等を行う。侵入検出/防止装置3は、シグネチャ管理装置100から提供されるシグネチャを用いてセキュリティインシデントを検出する。
得して監視することによりセキュリティインシデントを検出し、検出したセキュリティインシデントに関する情報の管理者等への通知、検出したセキュリティインシデントに対する対策(通信の遮断、マルウェアの駆除等)等を行う。侵入検出/防止装置3は、シグネチャ管理装置100から提供されるシグネチャを用いてセキュリティインシデントを検出する。
【0022】
プロキシサーバ4は、例えば、内部ネットワーク51の内部装置2から外部ネットワーク52に接続する情報処理装置へのリクエストを代行するフォワードプロキシ(Forward Proxy)、外部ネットワーク52に接続する情報処理装置から内部ネットワーク51の内
部装置2へのリクエストを代行するリバースプロキシ(Reverse Proxy)として機能する
。プロキシサーバ4は、DMZ53を介して行われる通信を監視することによりセキュリティインシデントを検出し、検出したセキュリティインシデントに関する情報の管理者等への通知、検出したセキュリティインシデントに対する対策(通信の遮断、マルウェアの駆除等)等を行う。プロキシサーバ4は、シグネチャ管理装置100から提供されるシグネチャを用いてセキュリティインシデントを検出する。
部装置2へのリクエストを代行するリバースプロキシ(Reverse Proxy)として機能する
。プロキシサーバ4は、DMZ53を介して行われる通信を監視することによりセキュリティインシデントを検出し、検出したセキュリティインシデントに関する情報の管理者等への通知、検出したセキュリティインシデントに対する対策(通信の遮断、マルウェアの駆除等)等を行う。プロキシサーバ4は、シグネチャ管理装置100から提供されるシグネチャを用いてセキュリティインシデントを検出する。
【0023】
図2は、シグネチャ管理装置100が備える主な機能を示すブロック図である。同図に示すように、シグネチャ管理装置100は、記憶部110、脅威情報取得部120、候補シグネチャ生成部125、業務情報取得部130、業務影響度評価部135、シグネチャ適用是非判定部140、およびシグネチャ情報提供部150の各機能を有する。
【0024】
上記機能のうち、記憶部110は、脅威情報取得先管理表111、脅威情報112、候補シグネチャ情報113、および業務情報114を記憶する。
【0025】
このうち、脅威情報取得先管理表111には、脅威情報の取得先である情報取得先6に関する情報が管理される。脅威情報取得先管理表111の内容は、例えば、シグネチャ管理装置100の管理者等が、シグネチャ管理装置100が提供するユーザインタフェースを介して設定する。本実施形態では、脅威情報取得先管理表111には、シグネチャそのものを含む脅威情報を提供する情報取得先6(セキュリティベンダ等)の情報が管理される。
【0026】
脅威情報112には、脅威情報取得部120が情報取得先6から取得した脅威情報や、管理者等がユーザインタフェース介して登録した脅威情報等が管理される。
【0027】
候補シグネチャ情報113には、脅威情報に基づき生成された候補シグネチャに関する情報が管理される。
【0028】
業務情報114には、候補シグネチャを現場のセキュリティ管理に適用した場合における組織の業務への影響度の評価に用いる情報が管理される。業務情報114は、例えば、
内部ネットワーク51においてキャプチャされた情報(以下、「通信ログ」と称する。)、内部装置2において管理されているシステムログやアプリケーションログ等(以下、「装置ログ」と称する。)である。
内部ネットワーク51においてキャプチャされた情報(以下、「通信ログ」と称する。)、内部装置2において管理されているシステムログやアプリケーションログ等(以下、「装置ログ」と称する。)である。
【0029】
図2に示す機能のうち、脅威情報取得部120は、脅威情報取得先管理表111に管理されている情報取得先6にアクセスして当該情報取得先6が提供する脅威情報を取得し、取得した脅威情報を脅威情報112として管理する。尚、脅威情報取得部120が、ユーザインタフェースを介して管理者等から脅威情報の入力を受け付け、受け付けた脅威情報を脅威情報112として管理してもよい。
【0030】
候補シグネチャ生成部125は、脅威情報112に基づき候補シグネチャを生成し、生成した候補シグネチャを候補シグネチャ情報113として管理する。尚、第1実施形態では、脅威情報112にシグネチャそのものが含まれており、候補シグネチャ生成部125は、当該シグネチャそのものを候補シグネチャとして生成する。
【0031】
業務情報取得部130は、内部装置2等から業務情報を取得し、取得した業務情報を業務情報114として管理する。尚、業務情報取得部130が、ユーザインタフェースを介して管理者等から業務情報の入力を受け付け、受け付けた業務情報を業務情報114として管理してもよい。
【0032】
業務影響度評価部135は、業務情報114に基づき候補シグネチャの影響度を求め、求めた影響度を候補シグネチャ情報113に反映する。例えば、業務影響度評価部135は、過去に候補シグネチャもしくは候補シグネチャに類似するシグネチャの挙動に対する対策(通信の遮断、マルウェアの駆除等)を講じた場合における内部ネットワーク51への影響の大きさを影響度として求める。業務影響度評価部135は、上記影響の大きさを、例えば、業務情報である通信ログや装置ログから取得される、候補シグネチャを現場のセキュリティ管理に適用した際に業務に与えた影響の履歴から求める。上記影響の大きさの具体例として、内部装置2から外部ネットワーク52のWebサーバへのアクセスの遮断率、内部ネットワーク51の平均通信速度の低下率、レスポンスが低下するアプリケーションや利用不可となるアプリケーションの現場で運用されている全てのアプリケーションに対する割合等がある。
【0033】
シグネチャ適用是非判定部140は、候補シグネチャ情報113に管理されている候補シグネチャについて、現場のセキュリティ管理への適用是非を判定し、判定結果を候補シグネチャ情報113に反映する。
【0034】
シグネチャ適用部145は、候補シグネチャ情報113の適用是非1135の内容に応じて、候補シグネチャを侵入検出/防止装置3やプロキシサーバ4に提供するか否かを判定(決定)し、提供する場合は候補シグネチャを侵入検出/防止装置3やプロキシサーバ4に送信する。
【0035】
シグネチャ情報提供部150は、候補シグネチャ情報113の内容を、ユーザインタフェースを介して管理者等のユーザに提供する。
【0036】
<データ例>
図3Aに、脅威情報取得先管理表111の一例を示す。例示する脅威情報取得先管理表111は、取得先ID1111、名称1112、種別1113、所在1114、最終取得日時1115、および取得頻度1116の各項目(フィールド)を有する複数のレコード(エントリ)を含む。脅威情報取得先管理表111のレコードの一つは情報取得先6の一つに対応する。
図3Aに、脅威情報取得先管理表111の一例を示す。例示する脅威情報取得先管理表111は、取得先ID1111、名称1112、種別1113、所在1114、最終取得日時1115、および取得頻度1116の各項目(フィールド)を有する複数のレコード(エントリ)を含む。脅威情報取得先管理表111のレコードの一つは情報取得先6の一つに対応する。
【0037】
上記項目のうち、取得先ID1111には、情報取得先6の識別子(以下、「取得先ID」と称する。本例では、「0」、「1」等)が格納される。
【0038】
名称1112には、当該情報取得先6の名称(本例では、「シグネチャ1」、「シグネチャ2」等)が格納される。
【0039】
種別1113には、当該情報取得先6の種別を示す情報(本例では「シグネチャ配布サイト」)が格納される。
【0040】
所在1114には、当該情報取得先6の所在(本例では、当該情報取得先6のURL(Uniform Resource Locator))が格納される。
【0041】
最終取得日時1115には、当該情報取得先6から情報を取得した直近の日時が格納される。尚、日時のデータ型式は必ずしも限定されず、Unixtime等、日時が判別できるデータ形式であればよい。
【0042】
取得頻度1116には、当該情報取得先6から脅威情報を取得する頻度(3時間毎、48時間毎等)を示す情報が格納される。
【0043】
図3Bに、候補シグネチャ情報113の一例を示す。例示する候補シグネチャ情報113は、シグネチャID1131、生成日時1132、シグネチャ1133、影響度1134、適用是非1135、および適用状況1136の各項目(フィールド)を有する複数のレコード(エントリ)を含む。候補シグネチャ情報113のレコードの一つは候補シグネチャの一つに対応する。
【0044】
上記項目のうち、シグネチャID1131には、候補シグネチャ(シグネチャ)の識別子(以下、「シグネチャID」と称する。)が格納される。
【0045】
生成日時1132には、候補シグネチャ生成部125によって当該候補シグネチャが生成された日時が格納される。尚、日時のデータ型式は必ずしも限定されず、Unixtime等、日時が判別できるデータ形式であればよい。
【0046】
シグネチャ1133には、当該候補シグネチャの内容(実体)(本例では、「.*/mal/index.html」、「rule.example.com」、「example.com/sig」等)が格納される。尚、シグネチャの種類や形式は必ずしも限定されず、攻撃に資するものを検出および遮断できるものであればよい。シグネチャの他の例として、マルウェアがアクセスするパスやレジストリ、マルウェアが生成/削除等を行うファイルのパス、マルウェアそのもののバイナリ列の特徴等がある。
【0047】
影響度1134には、当該候補シグネチャについて業務影響度評価部135が評価した影響度(本例では、「0.1%」、「40.0%」等)が格納される。尚、影響度のデータ形式
は必ずしも限定されない。
は必ずしも限定されない。
【0048】
適用是非1135には、シグネチャ適用是非判定部140による、当該候補シグネチャの現場のセキュリティ管理への適用是非の判定結果を示す情報が設定される。本例では、当該候補シグネチャが、シグネチャ適用是非判定部140により適用可能(是)と判定された場合は「yes」が、また、当該候補シグネチャが、適用すべきでない(非)と判定された場合は「no」が設定される。尚、適用すべきでない(非)と判定される場合は、例えば、その候補シグネチャを現場のセキュリティ管理に適用したときの影響度が著しく
大きく、通常業務を阻害する可能性が高い場合である。
大きく、通常業務を阻害する可能性が高い場合である。
【0049】
適用状況1136には、当該候補シグネチャが現在、現場のセキュリティ管理に適用されているか否かを示す情報が設定される。本例では、当該候補シグネチャが現在、現場のセキュリティ管理に適用されている場合は「yes」が、適用されていない場合は「no」が設定される。
【0050】
<ハードウェア構成例>
図4に、シグネチャ管理装置100の実現に用いる情報処理装置(コンピュータ)のハードウェア構成の一例を示す。
図4に、シグネチャ管理装置100の実現に用いる情報処理装置(コンピュータ)のハードウェア構成の一例を示す。
【0051】
例示する情報処理装置10は、プロセッサ11、主記憶装置12(メモリ)、補助記憶装置13(外部記憶装置)、入力装置14、出力装置15、および通信装置16を備える。これらはバスや通信ケーブル等を介して通信可能に接続されている。情報処理装置10の例として、パーソナルコンピュータ、サーバ装置、スマートフォン、タブレット、汎用機(メインフレーム)等がある。
【0052】
情報処理装置10は、その全部または一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、情報処理装置10によって提供される機能の全部または一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現してもよい。
また、情報処理装置10によって提供される機能の全部または一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)等を利用して実現されるものであってもよい。シグネチャ管理装
置100は、例えば、プロキシサーバ4や侵入検出/防止装置3の機能として実現してもよい。
また、情報処理装置10によって提供される機能の全部または一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)等を利用して実現されるものであってもよい。シグネチャ管理装
置100は、例えば、プロキシサーバ4や侵入検出/防止装置3の機能として実現してもよい。
【0053】
プロセッサ11は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field Programmable
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
【0054】
主記憶装置12は、プログラムやデータを記憶する装置であり、例えば、ROM(Read
Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。シグネチャ管理装置100の構成要素において実現される機能は、プロセッサ11が、主記憶装置12に格納(記憶)されているプログラムを読み出して実行することにより実現される。
Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。シグネチャ管理装置100の構成要素において実現される機能は、プロセッサ11が、主記憶装置12に格納(記憶)されているプログラムを読み出して実行することにより実現される。
【0055】
補助記憶装置13は、例えば、SSD(Solid State Drive)、ハードディスクドライ
ブ、光学式記憶装置(CD(Compact Disc)、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等である。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
ブ、光学式記憶装置(CD(Compact Disc)、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等である。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
【0056】
入力装置14は、外部からの情報の入力を受け付けるインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、ペン入力方式のタブレット、音声入
力装置等である。
力装置等である。
【0057】
出力装置15は、処理経過や処理結果等の各種情報を外部に出力するインタフェースである。出力装置15は、例えば、上記の各種情報を可視化する表示装置(液晶モニタ、LCD(Liquid Crystal Display)、グラフィックカード等)、上記の各種情報を音声化する装置(音声出力装置(スピーカ等))、上記の各種情報を文字化する装置(印字装置等)である。尚、例えば、情報処理装置10が通信装置16を介して他の装置との間で情報の入力や出力を行う構成としてもよい。
【0058】
入力装置14と出力装置15は、ユーザとの間での対話処理(情報の受け付け、情報の提供等)を実現するユーザインタフェースを構成する。
【0059】
通信装置16は、他の装置との間の通信を実現する装置である。通信装置16は、通信媒体5を介して他の装置との間の通信を実現する、有線方式または無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、無線通信モジュール、USBモジュール等である。
【0060】
情報処理装置10には、例えば、オペレーティングシステム、ファイルシステム、DBMS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。
【0061】
続いて、シグネチャ管理装置100が行う処理について説明する。
【0062】
<シグネチャ生成処理>
図5Aは、シグネチャ管理装置100が、脅威情報に基づきシグネチャ(候補シグネチャ)を生成して現場のセキュリティ管理に適用する際に行う処理(以下、「シグネチャ生成処理S500」と称する。)を説明するフローチャートである。シグネチャ管理装置100は、例えば、ユーザインタフェースを介して管理者等のユーザから実行指示を受け付けたこと、予め設定されたタイミング(定期的等)が到来したこと等を契機として、シグネチャ生成処理S500を実行する。以下、同図とともにシグネチャ生成処理S500について説明する。
図5Aは、シグネチャ管理装置100が、脅威情報に基づきシグネチャ(候補シグネチャ)を生成して現場のセキュリティ管理に適用する際に行う処理(以下、「シグネチャ生成処理S500」と称する。)を説明するフローチャートである。シグネチャ管理装置100は、例えば、ユーザインタフェースを介して管理者等のユーザから実行指示を受け付けたこと、予め設定されたタイミング(定期的等)が到来したこと等を契機として、シグネチャ生成処理S500を実行する。以下、同図とともにシグネチャ生成処理S500について説明する。
【0063】
まずシグネチャ管理装置100の脅威情報取得部120が、脅威情報取得先管理表111を参照して情報取得先6にアクセスし、一つ以上の脅威情報を取得する(S511)。尚、脅威情報取得部120は、脅威情報取得先管理表111の最終取得日時1115および取得頻度1116の内容から特定されるタイミングで情報取得先6にアクセスする。
【0064】
続いて、候補シグネチャ生成部125が、S511で取得した脅威情報が新規な情報であるか否かを判定する(S512)。候補シグネチャ生成部125は、例えば、取得した脅威情報に付帯するタイムスタンプが、前回の脅威情報の更新日時よりも後であれば、取得した脅威情報は新規であると判定する。また、候補シグネチャ生成部125は、例えば、毎回のタイミングで取得した脅威情報を蓄積管理しておき、取得した脅威情報が蓄積管理されている脅威情報に含まれていなければ、取得した脅威情報は新規であると判定する。候補シグネチャ生成部125が、S511で取得した脅威情報が新規な情報であると判定した場合(S512:YES)、処理はS513に進む。一方、候補シグネチャ生成部125が、S511で取得した脅威情報が新規な情報でないと判定した場合(S512:NO)、シグネチャ生成処理S500は終了する。
【0065】
S513では、候補シグネチャ生成部125は、S512で新規と判定した脅威情報を脅威情報112として管理(記憶)する。
【0066】
続いて、候補シグネチャ生成部125は、S511で取得した新規な脅威情報に基づき候補シグネチャを生成する(S514)。本実施形態では、候補シグネチャ生成部125は、新規な脅威情報に含まれているシグネチャそのものを候補シグネチャとして生成する。候補シグネチャ生成部125は、生成した候補シグネチャを候補シグネチャ情報113として管理する。
【0067】
続いて、シグネチャ管理装置100は、S511で取得した一つ以上の新規な脅威情報に基づく一つ以上の候補シグネチャを順に選択してS515S~S515Eのループ処理を実行する。
【0068】
まずシグネチャ管理装置100の業務影響度評価部135が、選択中の候補シグネチャと業務情報とを対照することにより候補シグネチャの影響度を求め、求めた影響度を候補シグネチャ情報113に反映する(S520)。尚、当該処理(以下、「業務影響度評価処理S520」と称する。)の詳細については後述する。
【0069】
続いて、シグネチャ適用是非判定部140が、候補シグネチャ情報113に管理されている候補シグネチャについて、現場のセキュリティ管理への適用の是非を判定し、判定結果を候補シグネチャ情報113の適用是非1135に反映する(S530)。尚、当該処理(以下、「シグネチャ適用是非判定処理S530」と称する。)の詳細については後述する。
【0070】
続いて、シグネチャ適用部145が、選択中の候補シグネチャの適用是非1135の内容が「yes」か否かを判定する(S516)。適用是非1135の内容が「yes」であれば(S516:yes)、S540の処理に進み、適用是非1135の内容が「no」であれば(S516:no)、選択中の候補シグネチャについてのループ処理を終了する。
【0071】
S540では、シグネチャ適用部145が、選択中の候補シグネチャを侵入検出/防止装置3やプロキシサーバ4に送信する処理を行う。尚、当該処理(以下、「シグネチャ適用処理S540」と称する。)の詳細については後述する。
【0072】
S515S~S515Eの処理が終了すると、シグネチャ生成処理S500は終了する。
【0073】
【0074】
まず業務影響度評価部135は、選択中の候補シグネチャと業務情報とを対照し、当該候補シグネチャの影響度を求める(S521)。
【0075】
続いて、業務影響度評価部135は、求めた影響度を、候補シグネチャ情報113の当該候補シグネチャの影響度1134に格納する(S522)。
【0076】
【0077】
まずシグネチャ適用是非判定部140が、選択中の候補シグネチャについて、候補シグネチャ情報113の影響度1134に格納されている内容に基づき、現場のセキュリティ
管理への適用是非を判定する(S531)。シグネチャ適用是非判定部140は、例えば、影響度1134に格納されている値が予め設定された閾値以下であれば適用可能(是)と判定し、上記値が上記閾値を超えていれば適用すべきでない(非)と判定する。
管理への適用是非を判定する(S531)。シグネチャ適用是非判定部140は、例えば、影響度1134に格納されている値が予め設定された閾値以下であれば適用可能(是)と判定し、上記値が上記閾値を超えていれば適用すべきでない(非)と判定する。
【0078】
尚、管理者等のユーザが上記閾値を設定するためのユーザインタフェースをシグネチャ管理装置100が提供するようにしてもよい。ユーザは当該機能を利用することで上記閾値を簡便に設定することができ、現場の状況やニーズに適した値に上記閾値を容易に調整することができる。
【0079】
続いて、シグネチャ適用是非判定部140は、上記判定の結果を、候補シグネチャ情報113の適用是非1135に格納する(S532)。
【0080】
図5Dは、図5Aのシグネチャ適用処理S540の詳細を説明するフローチャートである。尚、候補シグネチャ情報113の候補シグネチャの適用状況1136には、予めデフォルト値として「no」が格納されているものとする。以下、同図とともにシグネチャ適用処理S540について説明する。
【0081】
同図に示すように、まずシグネチャ適用部145は、選択中の候補シグネチャを侵入検出/防止装置3やプロキシサーバ4に送信する(S541)。
【0082】
続いて、シグネチャ適用部145が、候補シグネチャ情報113の当該候補シグネチャの適用状況1136に「yes」を格納する。
【0083】
<シグネチャ情報提供処理>
図2に示したシグネチャ管理装置100のシグネチャ情報提供部150は、以上の処理により内容が設定された候補シグネチャ情報113の内容を、ユーザインタフェースを介して管理者等のユーザに提供する。
図2に示したシグネチャ管理装置100のシグネチャ情報提供部150は、以上の処理により内容が設定された候補シグネチャ情報113の内容を、ユーザインタフェースを介して管理者等のユーザに提供する。
【0084】
図6は、シグネチャ情報の提供に際し、シグネチャ情報提供部150が行う処理(以下、「シグネチャ情報提供処理S600」と称する。)を説明するフローチャートである。以下、同図とともにシグネチャ情報提供処理S600について説明する。
【0085】
シグネチャ情報提供部150は、ユーザからシグネチャ情報の提供要求を受け付けたか否かをリアルタイムに監視する(S611)。シグネチャ情報提供部150は、ユーザからシグネチャ情報の提供要求を受け付けると(S611:YES)、S612からの処理を行う。
【0086】
S612では、シグネチャ情報提供部150は、候補シグネチャ情報113の内容を取得する。
【0087】
続いて、シグネチャ情報提供部150は、取得した内容に基づき、当該内容を表示する画面(以下、「シグネチャ情報提供画面700」と称する。)を生成し(S613)、生成したシグネチャ情報提供画面700をユーザインタフェースを介して表示する(S614)。
【0088】
図7に、シグネチャ情報提供画面700の一例を示す。例示するシグネチャ情報提供画面700には、図3Bに例示した候補シグネチャ情報113の内容(シグネチャID、生成日時、シグネチャ、影響度、適用是非、適用状況)が記載されている。ユーザは、シグネチャ情報提供画面700を参照することで、現在どのようなシグネチャが適用されているのか、適用されているシグネチャに基づきセキュリティインシデントが検出されて対策
がされた場合、どの程度の影響が生じるのかといったことを容易に把握することができる。また、ユーザは、シグネチャ情報提供画面700を利用してシグネチャに関する業務の効率向上を図ることができる。尚、シグネチャ情報提供画面700の態様は必ずしも同図に示すものに限定されない。例えば、シグネチャ情報提供画面700にシグネチャに関する他の情報を更に表示してもよい。
がされた場合、どの程度の影響が生じるのかといったことを容易に把握することができる。また、ユーザは、シグネチャ情報提供画面700を利用してシグネチャに関する業務の効率向上を図ることができる。尚、シグネチャ情報提供画面700の態様は必ずしも同図に示すものに限定されない。例えば、シグネチャ情報提供画面700にシグネチャに関する他の情報を更に表示してもよい。
【0089】
以上に説明したように、本実施形態のシグネチャ管理装置100は、候補シグネチャを適用した場合における組織の業務への影響度を評価し、当該影響度に基づき候補シグネチャの現場のセキュリティ管理への適用是非を判定する。また、シグネチャ管理装置100は、当該判定の結果に応じて、候補シグネチャを、内部ネットワーク51についてのセキュリティインシデントの検出に用いるシグネチャとして侵入検出/防止装置3やプロキシサーバ4に提供する。そのため、例えば、現場の業務に大きな影響を与えるシグネチャが不必要にセキュリティ管理に適用されてしまうのを防ぐことができ、シグネチャを用いたセキュリティ管理を業務に与える影響を考慮しつつ適切に行うことができる。また、シグネチャ管理装置100は、候補シグネチャの業務への影響度の評価や適用是非の判定を自動で行うので、人的負荷や属人性といった課題の解消を図ることができる。
【0090】
ところで、以上の例では、影響度を求める際に候補シグネチャと対照する業務情報の例として通信ログや業務ログを示したが、例えば、業務の性質や業務に用いる機器の性質を業務情報として管理しておき、業務影響度評価部135が、業務情報の内容に応じて影響度を求めるようにしてもよい。例えば、IoT環境や工場環境を対象とした脅威情報に基づき生成した候補シグネチャの影響度の評価において、業務影響度評価部135が、業務情報から特定される業務環境がIoT環境や工場環境である場合は影響度を高く判定し、業務情報から特定される業務環境が一般的なオフィスである場合は影響度を低く判定するようにする。また、組織の規模を業務情報として記憶しておき、業務影響度評価部135が、組織の規模に応じて影響度を増減させる(例えば、組織の希望が大きい程、影響度が高くなるようにする等)ようにしてもよい。
【0091】
また、以上の例では、影響度を予め設定した閾値と比較することにより候補シグネチャの適用是非を判定したが、例えば、候補シグネチャに対応する脅威の度合いが高い場合に、影響度がやや高くても安全を優先する観点から候補シグネチャを適用可能(是)と判定するようにする等、業務影響度評価部135が、候補シグネチャに対応する脅威の度合いに応じて適用是非の判定基準を調整するようにしてもよい。
【0092】
また、以上の例では、候補シグネチャの適用是非の判定を予め設定した閾値との比較により機械的に行ったが、例えば、影響度が予め設定した閾値の近傍(閾値から所定の範囲内)であり、機械的に判定することが難しい場合や微妙な場合等、シグネチャ適用是非判定部140が、ユーザインタフェース等を介して分析官等のユーザから候補シグネチャの適用是非の判定の入力を受け付け、受け付けた内容に基づき候補シグネチャの適用是非を判定するようにしてもよい。そのようにすることで、機械的な判定が難しい場合でも、候補シグネチャの適用是非の判定を適切に行うことができ、現場の状況やニーズに即した形でセキュリティ管理の仕組みを実現することができる。
【0093】
[第2実施形態]
第1実施形態のシグネチャ管理装置100は、情報取得先6からシグネチャそのものを含む脅威情報を取得し、当該脅威情報に含まれるシグネチャそのものを候補シグネチャとして生成したが、第2実施形態のシグネチャ管理装置100は、脅威情報を解析することにより候補シグネチャを生成する。第2実施形態の情報処理システム1やシグネチャ管理装置100の基本的な構成は共通するため、以下では、第1実施形態との相違点を中心として説明する。
第1実施形態のシグネチャ管理装置100は、情報取得先6からシグネチャそのものを含む脅威情報を取得し、当該脅威情報に含まれるシグネチャそのものを候補シグネチャとして生成したが、第2実施形態のシグネチャ管理装置100は、脅威情報を解析することにより候補シグネチャを生成する。第2実施形態の情報処理システム1やシグネチャ管理装置100の基本的な構成は共通するため、以下では、第1実施形態との相違点を中心として説明する。
【0094】
図8は、第2実施形態のシグネチャ管理装置100が備える主な機能を示すブロック図である。同図に示すように、第2実施形態のシグネチャ管理装置100は、第1実施形態のシグネチャ管理装置100が備える構成に加え、脅威情報解析部123を更に備える。また、第2実施形態のシグネチャ管理装置100の候補シグネチャ生成部125は、第1実施形態のシグネチャ管理装置100とは異なる機能を更に有する。また、第2実施形態のシグネチャ管理装置100の記憶部110は、第1実施形態のシグネチャ管理装置100の記憶部110が記憶する各情報に加え、更に脅威情報解析結果115を記憶する。
【0095】
図9Aは、第2実施形態のシグネチャ管理装置100の記憶部110が記憶する脅威情報取得先管理表111の一例である。例示する脅威情報取得先管理表111の各項目は第1実施形態の脅威情報取得先管理表111と共通である。例示する脅威情報取得先管理表111には、シグネチャそのものを必ずしも含まない脅威情報を提供する情報取得先6が格納されている。例えば、取得先ID1111が「0」のレコードは、マルウェアの解析結果を提供するサイトであり、取得先ID1111が「1」のレコードは、CTI(Cyber Threat Intelligence)を提供するサイトであり、取得先ID1111が「2」のレコ
ードは、RSSフィードを配信するサイトである。
ードは、RSSフィードを配信するサイトである。
【0096】
第2実施形態のシグネチャ管理装置100が備える脅威情報解析部123は、情報取得先6から取得した脅威情報112を解析し、その結果を脅威情報解析結果115に格納する。
【0097】
図9Bは、第2実施形態のシグネチャ管理装置100の記憶部110が記憶する脅威情報解析結果115の一例である。同図に示すように、例示する脅威情報解析結果115は、脅威情報ID1121、取得日時1122、種別1123、およびシグネチャ化対象情報1124の各項目を有する一つ以上のレコード(エントリ)で構成される。脅威情報解析結果115のレコードの一つは脅威情報の解析結果の一つに対応する。
【0098】
上記項目のうち、脅威情報ID1121には、脅威情報の解析結果毎に付与される識別子(以下、「脅威情報解析結果ID」と称する。)が格納される。
【0099】
取得日1152には、当該解析結果の解析元の脅威情報の取得日時が格納される。尚、日時のデータ型式は必ずしも限定されず、Unixtime等、日時が判別できるデータ形式であればよい。
【0100】
種別1153には、当該解析結果の解析元の脅威情報の種別が格納される。
【0101】
シグネチャ化対象情報1154には、脅威情報解析部123が当該解析結果の解析元の脅威情報から抽出した、シグネチャ化の対象となる情報(以下、「シグネチャ化対象情報」と称する。)が格納される。
【0102】
図10Aは、第2実施形態のシグネチャ管理装置100が、脅威情報を解析し、解析結果に基づき候補シグネチャを生成して現場のセキュリティ管理に適用する際に行う処理(以下、「シグネチャ生成処理S1000」と称する。)を説明するフローチャートである。第1実施形態のシグネチャ生成処理S500と異なり、第2実施形態のシグネチャ生成処理S1000は、第1実施形態のシグネチャ生成処理S500S513~S514の処理に代え、脅威情報解析処理S1020および候補シグネチャ生成処理S1030を順に実行する。第2実施形態のシグネチャ生成処理S1000の他の処理については、第1実施形態のシグネチャ生成処理S500と同様であるので説明を省略する。シグネチャ管理装置100は、例えば、管理者等からユーザインタフェースを介して実行指示を受け付け
たこと、予め設定されたタイミング(定期的等)が到来したこと等を契機として、シグネチャ生成処理S1000を実行する。
たこと、予め設定されたタイミング(定期的等)が到来したこと等を契機として、シグネチャ生成処理S1000を実行する。
【0103】
【0104】
同図に示すS1021S~S1021Eのループ処理は、図10AのS1011で取得した新規の脅威情報の夫々について繰り返し実行される。
【0105】
上記ループ処理において、まずシグネチャ管理装置100の脅威情報解析部123は、選択中の新規の脅威情報から、シグネチャ化対象情報を抽出する(S1022)。例えば、脅威情報解析部123は、マルウェアがアクセスする悪性サイトのURL、マルウェアが操作するレジストリ、マルウェアがアクセスするファイルパス、マルウェアのバイナリ列等をシグネチャ化対象情報として抽出する。尚、脅威情報解析部123は、例えば、新規の脅威情報が構造化されて記述されている場合には、スクリプト等を用いて機械的にシグネチャ化対象情報を抽出する。また、脅威情報解析部123は、例えば、CTIのように新規の脅威情報が構造化されていない場合には、正規表現等を活用してURLやレジストリ等の情報をシグネチャ化対象情報を抽出する。例示したシグネチャ化対象情報は一例に過ぎず、他の種類のものであってもよい。
【0106】
続いて、脅威情報解析部123は、S1022で抽出したシグネチャ化対象情報を、脅威情報解析結果115に格納する(S1023)。
【0107】
【0108】
まず候補シグネチャ生成部125は、脅威情報解析結果115から未処理の脅威情報を取得する(S1031)。
【0109】
続いて、候補シグネチャ生成部125は、S1031で取得した脅威情報解析結果を、夫々のシグネチャ化対象情報の類似度に基づきクラスタリングする(S1032)。例えば、候補シグネチャ生成部125は、シグネチャ化対象情報に含まれている、URLの文字列の類似度や応答文のパケット長、アクセス先のファイルパスの文字列、アクセス先のレジストリ名の文字列等を特徴量として上記のクラスタリングを行う。尚、クラスタリングの方法は必ずしも限定されず、例えば、機械学習の仕組みにより行ってもよい。
【0110】
続くS1033S~S1033Eのループ処理は、S1032でクラスタリングしたクラスタを順次選択して繰り返し実行される。
【0111】
上記ループ処理において、まず候補シグネチャ生成部125は、選択中のクラスタに属する各脅威情報解析結果のシグネチャ化対象情報の一致部分を抽出する(S1034)。例えば、候補シグネチャ生成部125は、シグネチャ化対象情報であるURLの文字列の一致部分を抽出する。
【0112】
続いて、候補シグネチャ生成部125は、抽出した一致部分の抽象化を行う。例えば、候補シグネチャ生成部125は、階層型クラスタリング手法を用いて多段階で上記抽象化を行う(S1035)。
【0113】
続いて、候補シグネチャ生成部125は、抽象化した結果を候補シグネチャとして候補
シグネチャ情報に格納する(S1036)。
シグネチャ情報に格納する(S1036)。
【0114】
以上に説明したように、第2実施形態のシグネチャ管理装置100は、脅威情報に基づき自動的に候補シグネチャを生成するので、シグネチャそのものを必ずしも含んでいない脅威情報に基づき候補シグネチャを自動生成することができる。そのため、例えば、ユーザは、自組織が運用するマルウェアの解析環境において取得されたマルウェア解析結果等の脅威情報や自組織において手動で入力された脅威情報に基づき、シグネチャ管理装置100を利用して候補シグネチャを自前で生成することができる。また、候補シグネチャが自動生成されるので、ユーザは、実施コストや属人性の課題を解決しつつ、効率よく候補シグネチャを生成することができる。
【0115】
ところで、図10Aのシグネチャ生成処理S1000のS1014の適用是非の判定において、候補シグネチャの業務への影響度が高く適用是非1135の内容が「no」である場合(図5CのS531においてシグネチャ適用是非判定部140が適用不可能(非)と判定した場合)、S1030の処理に戻り、クラスタリングの条件やシグネチャ化対象情報の組合せを変更(パラメータを変更)して候補シグネチャを再生成し、再生成した候補シグネチャを対象としてS1013S~S1013Eのループ処理を再実行するようにしてもよい。そのようにすることで、例えば、現場のセキュリティ管理に適用可能な候補シグネチャを生成できる可能性が高まり、業務への影響を抑えつつセキュリティ管理の質を向上させることができる。
【符号の説明】
【0116】
1 情報処理システム、2 内部装置、3 侵入検出/防止装置、4 プロキシサーバ、6 情報取得先、51 内部ネットワーク、52 外部ネットワーク、53 DMZ、100 シグネチャ管理装置、110 記憶部、111 脅威情報取得先管理表、112 脅威情報、113 候補シグネチャ情報、114 業務情報、115 脅威情報解析結果、120 脅威情報取得部、123 脅威情報解析部、125 候補シグネチャ生成部、130 業務情報取得部、135 業務影響度評価部、140 シグネチャ適用是非判定部、145 シグネチャ適用部、150 シグネチャ情報提供部、S500 シグネチャ生成処理、S520 業務影響度評価処理、S530 シグネチャ適用是非判定処理、S540 シグネチャ適用処理、S600 シグネチャ情報提供処理、700 シグネチャ情報提供画面、S1000 シグネチャ生成処理、S1020 脅威情報解析処理、S1030 候補シグネチャ生成処理
【図1】
【図2】
【図3A】
【図3B】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図10A】
【図10B】
【図10C】