特許7550026 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社日立製作所の特許一覧

特許7550026サイバー攻撃シナリオ生成方法、および装置

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3A
3B
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-09-04

(45)【発行日】2024-09-12

(54)【発明の名称】サイバー攻撃シナリオ生成方法、および装置

(51)【国際特許分類】

G06F 21/57 20130101AFI20240905BHJP

【ＦＩ】

G06F21/57 370

【請求項の数】 10

(21)【出願番号】P 2020186445

(22)【出願日】2020-11-09

(65)【公開番号】P2022076159

(43)【公開日】2022-05-19

【審査請求日】2023-05-24

(73)【特許権者】

【識別番号】000005108

【氏名又は名称】株式会社日立製作所

(74)【代理人】

【識別番号】110000350

【氏名又は名称】ポレール弁理士法人

(72)【発明者】

【氏名】小倉貴志

(72)【発明者】

【氏名】藤田淳也

(72)【発明者】

【氏名】山田勉

【審査官】行田悦資

(56)【参考文献】

【文献】国際公開第２０２０／２０２８０９（ＷＯ，Ａ１）

【文献】国際公開第２０２１／０５１０４７（ＷＯ，Ａ１）

【文献】高橋佑典ほか，擬似的な標的型攻撃の実行に向けた攻撃シナリオ生成方式のアプローチ，電子情報通信学会技術研究報告，日本，一般社団法人電子情報通信学会，2019年07月16日，vol. 119, no. 140，pp.7-14

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ２１／５７

(57)【特許請求の範囲】

【請求項1】

コンピュータシステムに対するサイバー攻撃のシナリオを生成するシナリオ生成装置を用いたサイバー攻撃シナリオ生成方法において、
記憶装置から、前記コンピュータシステムの構成情報を読込み、
前記記憶装置から、前記サイバー攻撃を実行するための行動を示す攻撃戦術および当該攻撃戦術を実現する方法を示す攻撃技術が対応付けられた複数の攻撃戦術／技術情報を読込み、
読込まれた前記コンピュータシステムの構成情報に含まれる前記コンピュータシステムの構成要素のそれぞれに対して、前記記憶装置に記憶された前記サイバー攻撃における攻撃者の最終目標を示す脅威を評価し、
前記脅威に対する評価結果に基づき、前記構成要素および脅威を選択し、
前記コンピュータシステムの構成要素から前記サイバー攻撃の攻撃開始の構成要素を選択し、
前記複数の攻撃戦術／技術情報のそれぞれにおけるサイバー攻撃の有効性を評価し、前記攻撃戦術／技術情報に対する評価結果を特定し、
前記攻撃戦術／技術情報に対する評価結果に基づき、前記攻撃戦術／技術情報の組合せを特定し、
特定された組合せで構成される生成中の攻撃シナリオが選択された前記脅威の実現まで達したかを判定し、
前記生成中の攻撃シナリオが前記脅威の実現まで達した場合、想定されるすべての攻撃開始の構成要素に対する攻撃シナリオを生成するサイバー攻撃シナリオ生成方法。

【請求項2】

請求項１に記載のサイバー攻撃シナリオ生成方法において、
前記脅威に対する評価結果を示す脅威評価点を算出し、
前記攻撃戦術／技術情報に対する評価結果を示す技術評価点および戦術評価点に基づく評価点を算出し、
前記攻撃戦術／技術情報の組合せを、前記評価点に応じて特定し、
さらに、生成された前記攻撃シナリオを、当該攻撃シナリオに含まれる構成要素の技術評価点の合算で示される評価点合計を降順に並び替えて表示するサイバー攻撃シナリオ生成方法。

【請求項3】

請求項２に記載のサイバー攻撃シナリオ生成方法において、
前記サイバー攻撃の動向を解析し、
前記攻撃戦術／技術情報に対する評価および前記脅威に対する評価において、前記動向の解析結果を用いるサイバー攻撃シナリオ生成方法。

【請求項4】

請求項１に記載のサイバー攻撃シナリオ生成方法において、
前記攻撃戦術／技術情報を所定の基準により絞り込み処理を実行し、
前記攻撃戦術／技術情報の評価を、前記絞り込み処理を実行した前記攻撃戦術／技術情報に対して実行するサイバー攻撃シナリオ生成方法。

【請求項5】

請求項１に記載のサイバー攻撃シナリオ生成方法において、
複数の攻撃シナリオを生成し、
生成された複数のシナリオを、前記評価の結果に応じて出力するサイバー攻撃シナリオ生成方法。

【請求項6】

コンピュータシステムに対するサイバー攻撃のシナリオを生成するシナリオ生成装置において、
記憶装置から、前記コンピュータシステムの構成情報を読込み、前記サイバー攻撃を実行するための行動を示す攻撃戦術および当該攻撃戦術を実現する方法を示す攻撃技術が対応付けられた複数の攻撃戦術／技術情報を読込む情報入力部と、
読込まれた前記コンピュータシステムの構成情報に含まれる前記コンピュータシステムの構成要素のそれぞれに対して、前記記憶装置に記憶された前記サイバー攻撃における攻撃者の最終目標を示す脅威を評価し、
前記脅威に対する評価結果に基づき、前記構成要素および脅威を選択するする脅威評価部と、
前記コンピュータシステムの構成要素から前記サイバー攻撃の攻撃開始の構成要素を選択し、
前記複数の攻撃戦術／技術情報のそれぞれにおけるサイバー攻撃の有効性を評価し、前記攻撃戦術／技術情報に対する評価結果を特定する攻撃戦術／技術評価部と、
前記攻撃戦術／技術情報に対する評価結果に基づき、前記攻撃戦術／技術情報の組合せを特定し、
特定された組合せで構成される生成中の攻撃シナリオが選択された前記脅威の実現まで達したかを判定し、
前記生成中の攻撃シナリオが前記脅威の実現まで達した場合、想定されるすべての攻撃開始の構成要素に対する攻撃シナリオを生成する攻撃戦術／技術組み合わせ決定部とを有するシナリオ生成装置。

【請求項7】

請求項６に記載のシナリオ生成装置において、
前記脅威評価部は、前記脅威に対する評価結果を示す脅威評価点を算出し、
前記攻撃戦術／技術評価部は、前記攻撃戦術／技術情報に対する評価結果を示す技術評価点および戦術評価点に基づく評価点を算出し、
前記攻撃戦術／技術組み合わせ決定部は、前記攻撃戦術／技術情報の組合せを、前記評価点に応じて特定し、
さらに、生成された前記攻撃シナリオを、当該攻撃シナリオに含まれる構成要素の技術評価点の合算で示される評価点合計を降順に並び替えて表示する攻撃シナリオ出力部を有するシナリオ生成装置。

【請求項8】

請求項７に記載のシナリオ生成装置において、
前記サイバー攻撃の動向を解析し、
前記攻撃戦術／技術情報に対する評価および前記脅威に対する評価において、前記動向の解析結果を用いるシナリオ生成装置。

【請求項9】

請求項６に記載のシナリオ生成装置において、
さらに、前記攻撃戦術／技術情報を所定の基準により絞り込み処理を実行する絞り込み部を有し、
前記攻撃戦術／技術組み合わせ決定部は、前記攻撃戦術／技術情報の評価を、前記絞り込み処理を実行した前記攻撃戦術／技術情報に対して実行するシナリオ生成装置。

【請求項10】

請求項６に記載のシナリオ生成装置において、
前記攻撃戦術／技術組み合わせ決定部は、複数の攻撃シナリオを生成し、
さらに、生成された複数のシナリオを、前記評価の結果に応じて出力する出力部を有するシナリオ生成装置。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、サイバー攻撃シナリオを生成するための技術に関する。

【背景技術】

【0002】

現在、不正アクセスなどのコンピュータシステム（以下、単にシステム）に対するサイバー攻撃は深刻な問題となっており、システムを安全に運用するうえでサイバー攻撃への対策は必須である。この対策を立案する際、攻撃者の動きを模擬したサイバー攻撃シナリオをベースとした対策の立案は、対策内容の洗い出しが可能である点や対策の優先順位付けが可能である点から有用である。

【0003】

このサイバー攻撃シナリオをベースとした対策立案を具体的な対策技術のレベルで行うためには、攻撃者の目的である「脅威」を与えるための攻撃者が使用する「攻撃戦術」や「攻撃技術」といった攻撃者の詳細な行動までを規定した攻撃シナリオが必要となる。この詳細なシナリオにより、攻撃戦術や攻撃技術に対応する具体的な対策技術レベルでの立案が可能となる。そのため、脅威を実現するための攻撃戦術や攻撃技術までを規定した攻撃シナリオを生成する方法、および、装置が必要である。

【0004】

上記の攻撃シナリオの生成方法に関する技術である特許文献１では、脅威についてシステム構成や脅威による被害等に基づき評価し、評価の高い脅威について攻撃戦術や攻撃技術までを規定した攻撃シナリオの生成を行っている。

【先行技術文献】

【特許文献】

【0005】

【文献】特開２０２０－２１９８９８９号公報

【発明の概要】

【発明が解決しようとする課題】

【0006】

しかしながら、特許文献1の他の攻撃シナリオの生成方法では、脅威を実現するための攻撃者の戦術や技術の組み合わせは固定されており、対象システムや攻撃者の特性を考慮したより効果的な攻撃シナリオの生成が行えていない課題がある。

【0007】

そこで、本発明は、対象システムや攻撃者の特性により攻撃戦術や攻撃技術を評価し、その評価に基づき攻撃戦術や技術の組み合わせることで攻撃シナリオを生成することを目的とする。

【課題を解決するための手段】

【0008】

上記課題を解決するために、本発明は、対象とするシステムに対し脅威を与える攻撃に関し、システム構成情報に基づき、複数の攻撃戦術および攻撃技術の組み合わせである「攻撃シナリオ」を生成する。この際、攻撃戦術および攻撃技術の評価点に基づき、これらの組み合わせ、つまり、「攻撃シナリオ」を決定する。

【0009】

より詳細な本発明の構成は、コンピュータシステムに対するサイバー攻撃のシナリオを
生成するシナリオ生成装置を用いたサイバー攻撃シナリオ生成方法において、記憶装置から、前記コンピュータシステムの構成情報を読込み、前記記憶装置から、前記サイバー攻撃を実行するための行動を示す攻撃戦術および当該攻撃戦術を実現する方法を示す攻撃技術が対応付けられた複数の攻撃戦術／技術情報を読込み、読込まれた前記コンピュータシステムの構成情報に含まれる前記コンピュータシステムの構成要素のそれぞれに対して、前記記憶装置に記憶された前記サイバー攻撃における攻撃者の最終目標を示す脅威を評価し、前記脅威に対する評価結果に基づき、前記構成要素および脅威を選択し、前記コンピュータシステムの構成要素から前記サイバー攻撃の攻撃開始の構成要素を選択し、前記複数の攻撃戦術／技術情報のそれぞれにおけるサイバー攻撃の有効性を評価し、前記攻撃戦術／技術情報に対する評価結果を特定し、前記攻撃戦術／技術情報に対する評価結果に基づき、前記攻撃戦術／技術情報の組合せを特定し、特定された組合せで構成される生成中の攻撃シナリオが選択された前記脅威の実現まで達したかを判定し、前記生成中の攻撃シナリオが前記脅威の実現まで達した場合、想定されるすべての攻撃開始の構成要素に対する攻撃シナリオを生成するサイバー攻撃シナリオ生成方法である。

【0010】

また、本発明には、このサイバー攻撃シナリオ生成方法を実行するシナリオ生成装置が含まれる。さらに、サイバー攻撃シナリオ生成方法をコンピュータに実行させるためのコンピュータプログラムやこのコンピュータプログラムを格納した記憶媒体も含まれる。

【発明の効果】

【0011】

本発明によれば、対象のシステムや攻撃者の特性等に応じて攻撃戦術と攻撃技術レベルでの攻撃シナリオを柔軟に生成することが可能となる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。

【図面の簡単な説明】

【0012】

【図1】実施例１に係るシナリオ生成装置の機能構成の例を示す機能ブロック図である。

【図2】実施例１～３に係るシナリオ生成装置のシステム構成図である。

【図3A】実施例１～３で用いられるシステム構成情報の例を示す図である。

【図3B】実施例１～３で用いられる経路情報の例を示す図である。

【図4】実施例１～３で用いられる脅威情報例を示す図である。

【図5】実施例１、２で用いられる攻撃戦術／技術情報の一例を示す図である。

【図6】実施例１～３に係る攻撃シナリオ生成方法を説明するフローチャートの一例である。

【図7】実施例１～３に係る図６のステップＳ６０４の詳細を示すフローチャートの一例である。

【図8】実施例１～３に係る攻撃対象のシステム構成の例を表す図である。

【図9】実施例１～３に係る攻撃対象のシステム構成を抽象化したグラフ図の例である。

【図10】実施例１、３に係る脅威情報の評価の一例を示す図である。

【図11】実施例１に係る攻撃戦術／技術情報の評価の一例を示す図である。

【図12】実施例１～３に係る攻撃シナリオ生成結果の表示の一例を示す図である。

【図13】実施例１～３に係る生成した複数の攻撃シナリオの一例を示す図である。

【図14】実施例１～３に係る生成した攻撃シナリオの画面表示の例を示す図である。

【図15】実施例２に係るシナリオ生成装置の機能構成の例を示す機能ブロック図である。

【図16】実施例２に係る動向解析情報の一例を示す図である。

【図17】実施例２に係るに係る脅威評価情報の一例を示す図である。

【図18】実施例２に係る攻撃戦術／技術評価情報の一例を示す図である。

【図19】実施例２に係る生成された攻撃シナリオ生成結果の一例を示す図である。

【図20】実施例３に係るシナリオ生成装置の機能構成の例を示す機能ブロック図である。

【図21】実施例３で用いられる攻撃戦術／技術情報の一例を示す図である。

【図22】実施例１～３における攻撃シナリオの概念を示す図である。

【発明を実施するための形態】

【0013】

以下、本発明の各実施例を、図面を用いて説明する。各実施例においては、図８に示すような構成要素がそれぞれ接続されているシステムに対するサイバー攻撃の攻撃シナリオを生成する。なお、構成要素としては、ノートPC８０２等が挙げられるが、具体的なシステムの構成については、後述する。

【実施例1】

【0014】

以下、本発明の実施例１について図面を用いて説明する。

【0015】

図１は、本実施例態の攻撃シナリオを生成するシナリオ生成装置２０の機能構成を示す機能ブロック図である。以下、各ブロック（機能）について説明する。攻撃対象のシステム構成記憶部１０２には、攻撃対象のシステム構成情報３００が記憶されている。脅威情報記憶部１０３には、サイバー攻撃の脅威情報４００が記憶されている。攻撃戦術／技術記憶部１０４には、脅威を実現するための攻撃戦術／技術情報５００が記憶されている。これらシステム構成情報３００、脅威情報４００および攻撃戦術／技術情報５００は情報入力部１０１から入力される。脅威評価部１０５では、攻撃対象のシステム構成記憶部１０２のシステム構成情報３００と脅威情報記憶部１０３の脅威情報４００を基に、各システム構成要素について各脅威にどれほどリスクがあるのかを評価する。このために、脅威評価部１０５では、例えばリスクを示す評価点を算出する。なお、本明細書では、評価点との表現を用いるが、評価の指標であればよく、評価値、評価指標などその表現は問わない。

【0016】

攻撃戦術／技術評価部１０６では、システム構成記憶部１０２、攻撃戦術／技術記憶部１０４および攻撃シナリオ生成の途中状態が記憶された攻撃戦術／技術組み合わせ記憶部１０８の情報を基に、評価点を算出する。この評価点は、各攻撃戦術／技術情報５００における攻撃の有効性を示す。攻撃戦術／技術組み合わせ決定部１０７では、攻撃戦術／技術評価部１０６で算出した評価点に用い、攻撃シナリオを構成する攻撃戦術、および、技術の組み合わせを決定する。

【0017】

攻撃戦術／技術組み合わせ記憶部１０８では、攻撃シナリオ生成の途中状態、および、生成完了した攻撃シナリオが記憶されている。そして、攻撃シナリオ出力部１０９では、攻撃戦術／技術組み合わせ記憶部１０８に記憶された生成完了した攻撃シナリオを出力、および、表示する。なお、各記憶部や演算部は、CPUやPCそのものであることもある。

【0018】

以上のシナリオ生成装置２０の機能構成をコンピュータで実現したシステム構成図を、図２に示す。シナリオ生成装置２０は、バスなどで互いに接続されたCPUのような処理部２１、メモリ２２、入出力I/F２３で構成される。ここで、処理部２１は、脅威評価部１０５、攻撃戦術／技術評価部１０６、攻撃戦術／技術組み合わせ決定部１０７、攻撃シナリオ出力部１０９、動向解析部１５１０を有しており、これらはプログラムで実現可能である。つまり、本実施例では、プログラムをメモリ２２に展開し、これらの各機能、演算を処理部２１で実行する。

【0019】

また、シナリオ生成装置２０は、入出力I/F２３を介して記憶装置２４と接続する。記憶装置２４は、システム構成情報３００、脅威情報４００、脅威評価情報１０００、攻撃戦術／技術情報５００、攻撃戦術／技術評価情報１１００、攻撃戦術／技術組み合わせ情報１３００、動向解析情報１６００を記憶する。つまり、記憶装置２４は、図１のシステム構成記憶部１０２、脅威情報記憶部１０３、攻撃戦術／技術記憶部１０４として機能する。また、記憶装置２４は、シナリオ生成装置２０内部に設けてもよい。

【0020】

なお、動向解析部１５１０や動向解析情報１６００は、実施例２で用いられる情報であり、本実施例では記憶装置２４に格納されていなくともよい。さらに、後述する実施例２においては、記憶装置２４に、攻撃戦術／技術評価情報１１００の代わりに、脅威評価情報１７００が記憶され、攻撃戦術／技術組み合わせ情報１３００の代わりに、攻撃戦術／技術評価情報１８００である。また、絞り込み部２００１は、実施例３で用いられ、本実施例では使用されなくともよい。実施例３では、記憶装置２４に、攻撃戦術／技術情報５００の代わりに、攻撃戦術／技術情報２１００が記憶される。

【0021】

また、シナリオ生成装置２０は、入出力I/F２３を介して、各種の端末装置２６－１、２と接続する。端末装置２６－１、２は、それぞれコンピュータで実現され、利用者からの入力を受け付けたり、シナリオ生成装置２０の処理結果を表示したりする機能を有する。つまり、端末装置２６－１、２は、図１の情報入力部１０１、攻撃シナリオ出力部１０９として機能する。また、端末装置２６－２は、ネットワーク２５を介して、シナリオ生成装置２０と接続する。なお、端末装置２６－１、２は、シナリオ生成装置２０と一体化してもよい。つまり、シナリオ生成装置２０に表示装置や入出力装置を設けてもよい。本システムの一構成要素として構成する場合、ノートPC８０１、デスクトップPC８０２ないしデータサーバ８０３に、シナリオ生成装置２０の機能を持たせる。
また、シナリオ生成装置２０は、インターネット２７と接続し、外部の情報を取得することも可能である。この一例として、検証対象のシステムがインターネット２７を介して接続され、システムからシステム構成情報３００を受信してもよい。

【0022】

図３Ａは、システム構成記憶部１０２に記憶されているシステム構成情報３００を示す図である。システム構成情報３００は、攻撃対象のシステムを構成する各構成要素についての各種情報が含まれる。システム構成情報３００は、構成要素ごとに、構成要素番号３１０、機器名称３２０、機器種類３３０、機器役割３４０、接続ネットワーク３５０、搭載OS３６５０、マルウェア対策３７０、権限管理３８０、物理アクセス３９０を対応付けた情報である。

【0023】

要素番号３１０は、システムの構成要素を一意に表す識別子である。機器名称３２０は、機器、つまり、構成要素の名称であり、図３Ａに示す例であれば、ノートPC１、デスクトップPC１、データサーバ１などがある。この他、機器には、スマートフォン、タブレット端末な度も含まれる。機器種類３３０は、機器、つまり、システムを構成する構成要素の種類を示す。図３Ａの例であれば、ノートPC、デスクトップPC、データサーバである。機器役割３４０は、機器が担う役割を示し、図３Ａの例であれば、データ閲覧、データ入力／編集、データ保存などである。接続ネットワーク３５０は、各構成要素が接続されているネットワークであり、図３Ａの例であれば、ネットワーク１、ネットワーク２の二つのネットワークがある。

【0024】

OS（基本ソフト）３６０は、各構成要素が搭載するOS（基本ソフト）の種類およびそのバージョンであり、図３Ａの例であれば、OS1 ver．1、OS1 ver.2、OS3などがある。マルウェア対策３７０は、各構成要素におけるマルウェアの対策の有無を示す。つまり、図３Ａの例であれば、ありの場合はそのシステムの構成要素は対策が施されている、なしの場合はその構成要素は未対策であることを示している。権限管理３８０は、各構成要素内での権限管理の有無を示し、図３Ａの例であれば、ありの場合は管理がされている、なしの場合は管理されていないことを示している。物理アクセス３９０は、該当危機に攻撃者が物理的に接触可能かを示し、図３Ａの例であれば、ノートPC１およびデスクトップPC１は接触可能であるが、データサーバ１は不可能であることを示している。

【0025】

ここで、機器役割３４０、OS（基本ソフト）３６０、マルウェア対策３７０、権限管理３８０および物理アクセス３９０は、サイバー攻撃に対する対策状況を示す情報である。このため、後述するように、脅威評価部１０５および攻撃戦術／技術評価部１０６は、各評価を行うステップS６０２やステップS７０３で、対策状況を示す情報を用いることになる。

【0026】

図４は、脅威情報記憶部１０３に記憶されている脅威情報４００を示す図である。脅威情報４００は、脅威ごとに境域死別番号４１０、脅威内容４２０を対応付けた情報である。脅威内容４１０は、攻撃者の目的を示すものである。図４の例の場合、脅威内容４１０として、データを改ざんされる、データを盗取される、データ編集を不可能にされる、機器を破壊されるが含まれる。

【0027】

図５は、攻撃戦術／技術記憶部１０４に記憶されている攻撃戦術／技術情報５００を示す図である。攻撃戦術／技術情報５００は、攻撃戦術識別番号５１０、攻撃戦術名５２０、攻撃技術識別番号５３０、攻撃技術名５４０を情報である。攻撃戦術名は、想定する攻撃戦術、図５の例の場合、初期侵入、攻撃コードの実行、権限昇格、他要素への移動、認証情報アクセス、情報収集、データ持出がある。攻撃技術名５４０は、攻撃戦術を実現する技術である。図３Ａの例の場合、以下の項目を有する。
・フィッシングメール。
・物理機器の接続。
・コマンドラインの利用やApplication Programing Interface(API)の利用
・バッファエラーの利用
・権限管理のバイパス。
・管理共有。
・遠隔ファイルコピー。
・総当たり攻撃やアカウントの操作。
・キーロギング。
・ローカルシステムのデータ。
・標準プロトコルでの通信利用。
・物理機器による持出。

【0028】

なお、システム構成情報３００の代わりに、図３Ｂに示す経路情報３０００を用いてもよい。つまり、サイバー攻撃の侵入ルートを示す経路情報３０００を用いることも可能である。経路情報３０００は、この侵入ルート、つまり、経路を識別する経路番号３１００ごとに、以下の項目を有する。つまり、侵入ルートの名称である経路名称３２００および当該侵入ルートに存在する機器を特定する経路機器名３３００を有する。このような経路情報３０００を用いて、脅威評価部１０５や攻撃戦術／技術評価部１０６での評価処理を実行する。また、これらの評価処理では、システム構成情報３００および経路情報３０００の双方を用いてもよい。

【0029】

図６は、本実施例における攻撃シナリオ生成方法の全体フローである。以下、全体フリーについて、図１に示す機能ブロックを用いて説明する。

【0030】

まず、ステップS６０１において、脅威評価部１０５は、システム構成記憶部１０２よりシステム構成情報３００を読み込む。また、ステップS６０２において、脅威評価部１０５は、脅威情報記憶部１０３より脅威情報４００を読み込み、各構成要素に対して各脅威情報４００を評価する。この評価の際には、システム構成情報３００の機器役割３４０等を基に、各脅威情報４００のリスクを評価点として付与する。そして、ステップS６０３において、ステップS６０２での評価点に基づき、攻撃シナリオを生成する攻撃目標の構成要素と脅威情報４００の組み合わせを選択する。

【0031】

このステップS６０３の選択方法としては、評価点の昇順に選択する方法や、評価点の閾値を定め閾値以上の評価点を持つ構成要素と脅威情報４００の組み合わせを選択する方法などがある。後述の図１２に示す生成した攻撃シナリオ例では、評価点閾値を４と定めた例を示している。そして、ステップS６０４において、攻撃戦術／技術組み合わせ決定部１０７および攻撃戦術／技術評価部１０６は、ステップS６０３で選択した脅威情報４００の脅威内容４２０を実現する攻撃戦術／技術情報５００の組み合わせである攻撃シナリオを生成する。つまり、攻撃戦術／技術組み合わせ決定部１０７および攻撃戦術／技術評価部１０６が、攻撃シナリオ生成部として、機能できる。

【0032】

ここで、この攻撃シナリオの概念を、図２２に示す。図２２に示すように、攻撃シナリオは、複数の攻撃戦術／技術情報５００、つまり、これらの組合せで構成される（図２２中では、攻撃戦術／技術情報５００を攻撃戦術／技術と記載）。また、攻撃戦術／技術情報５００は、攻撃戦術と攻撃技術が対応付けられた情報であって、その具体的な内容は図５に示すとおりである。

【0033】

なお、攻撃シナリオの具体的な生成方法については、図７を用いて後述する。最後に、ステップS６０５において、攻撃シナリオ出力部１０９は、生成されたシナリオを出力および表示する。

【0034】

図７は、ステップS６０４の詳細を示すフローチャートである。
まず、ステップS７０１において、攻撃戦術／技術評価部１０６は、攻撃戦術／技術記憶部１０４より、攻撃戦術／技術情報５００を読み込む。そして、ステップS７０２において、攻撃開始の構成要素を選択する。そして、ステップS７０３において、読み込んだ攻撃戦術／技術情報５００に対する評価点を算出する。

【0035】

次に、ステップS７０４において、攻撃戦術／技術組み合わせ決定部１０７は、評価点に基づき、攻撃戦術／技術情報５００を選択する。例えば、評価点が所定値以上や評価点の所定数の上位のものを選択することが可能である。

【0036】

そして、ステップS７０５において、選択された攻撃戦術／技術情報５００を攻撃戦術／技術組み合わせ記憶部１０８へ記憶する。なお、本ステップは省略し、ステップS７０４で選択された攻撃戦術／技術情報５００を以降の処理で用いてもよい。

【0037】

次に、ステップS７０６において、生成中の攻撃シナリオが該当の脅威内容４２０の実現まで達したかを判定する。実現まで達していないと判定した場合には（ステップＳ７０６：Ｎｏ）、続く攻撃戦術／技術情報５００を選択すべくステップＳ７０３に移行する。一方、脅威内容４２０の実現まで達したと場合には（ステップＳ６０４：Ｙｅｓ）、ステップS７０７へ移行する。そして、ステップS７０７において、ステップS６０３において選択された攻撃目標の構成要素と脅威情報４００の組み合わせに対して、想定される各攻撃開始の構成要素に対して攻撃シナリオを生成したかを判定する。これまでに生成されたシナリオ群が、すべての攻撃開始の構成要素を含んでいない場合には（ステップＳ７０７：Ｎｏ）、ステップＳ７０２に移行し、生成されていない攻撃開始の構成要素を選択する。一方、すべて生成されていた場合（ステップＳ７０７：Ｙｅｓ）、攻撃シナリオの生成は終了する。

【0038】

次に、本実施例によるシナリオ生成方法の内容を、具体例を用いて説明する。まず、攻撃対象、つまり、危険度の評価対象となるシステム構成の具体例を、図８に示す。このシステムは、構成要素として、ノートPC８０１、デスクトップPC８０２とデータサーバ８０３で構成されている。

【0039】

そして、各構成要素は、他の構成要素と、以下のように接続されている。ノートPC４０１は、デスクトップPC８０２とデータサーバ８０３と接続されている。デスクトップPC８０２は、ノートPC８０１とデータサーバ８０３と接続されている。データサーバ８０３は、ノートPC８０１とデスクトップPC８０２と接続されている。なお、以上の４０１から４０３は、図３の要素番号３１０の１から５に対応している。

【0040】

また、シナリオ生成装置２０は、本システムと接続してもよいし、本システムの一構成要素として実現してもよい。本システムの一構成要素として構成する場合、ノートPC８０１、デスクトップPC８０２ないしデータサーバ８０３に、シナリオ生成装置２０の機能を持たせる。

【0041】

図９は、図８の攻撃対象のシステム構成を抽象化したグラフ図である。つまり、図９では、対象のシステムの各構成要素の接続状況を示すトポロジーを示している。

【0042】

図９において、構成要素番号１のノード９０１は、図８のノートPC８０１に対応している。構成要素番号２のノード９０２は、図８のノートPC８０２に対応している。構成要素番号３のノード９０３は、図８のデータサーバ８０３に対応している。以降、図９のグラフ図を用いて、本実施例のシナリオ生成方法の内容について説明する。

【0043】

図１０は、ステップS６０２において、脅威評価部１０５で評価された脅威評価情報１０００の一例を示している。図１０は、脅威識別番号１０１０、脅威内容１０２０、脅威評価点１０３０を対応付ける例である。図１０の例としては、評価対象の構成要素に、図９におけるノード９０３のデータサーバ８０３を選択している。データサーバ８０３は、機器役割３４０としてデータ保存を担っているため、「データを改ざんされる」や「データを盗取される」リスクが高く、それらの脅威情報１０１０に高評価(高リスク)が付与されている。つまり、評価点が比較的高得点となっている。

【0044】

以下、ステップS６０４および図７のフローを説明するため、ステップS６０３では、攻撃目標の構成要素を図９におけるノード９０３、脅威情報１０１０の脅威内容１０２０として、脅威識別番号２「データを盗取される」を選択したとして説明する。

【0045】

図１１は、上述の条件でステップS７０２において攻撃開始の構成要素が構成要素番号１のノートPCが選択された場合のステップS７０３における、攻撃戦術／技術評価部１０６で付与された攻撃戦術／技術評価情報１１００を示す。図１１における、攻撃戦術／技術評価情報１１００は、攻撃戦術識別番号１１１０、戦術評価点１１２０、攻撃技術識別番号１１３０、技術評価点１１４０を対応付けた例である。図１１は、本実施例において、攻撃シナリオの初期段階として行う攻撃戦術／技術情報５００の選択を行う際の評価の例である。技術評価点の算出は、システム構成情報３００や攻撃の段階に基づき行う。

【0046】

図１１では、攻撃戦術「初期侵入」の攻撃技術「物理機器の接続」に最も高評価点が付いている。これは、攻撃の初期段階であり攻撃者の特性としてまず侵入(初期侵入)を試みる特性がある点、また、対象の構成要素がノートPCであるため物理機器の接続が容易である点に基づいている。本実施例では、戦術評価点１１２０は、対応する攻撃戦術の戦術評価点１１２０の合算によって付与しているが、本発明はこれに限定されるものではなく、対応する攻撃戦術の技術評価点１１４０の乗算や差分により付与することも可能である。または、技術評価点とは独立して付与することも可能である。この評価点を基に、攻撃戦術／技術情報５００を選択し、組み合わせていくことで攻撃シナリオを生成する。本実施例では、選択の方法として該当段階における評価点の中で最大のものを選択する。図１１の例では、攻撃戦術「初期侵入」の攻撃技術「物理機器の接続」を選択する。

【0047】

ただし、攻撃戦術／技術情報５００の選択方法は、本実施例で示す最大値の選択のみでなく、閾値以上の評価点を持つ攻撃戦術／技術情報５００を選択する方法もある。この方法の場合には、同一の攻撃開始および目標構成要素に対する同一の脅威情報１０１０に関する攻撃シナリオであったとしても、攻撃戦術／技術情報５００が異なる攻撃シナリオが生成されることとなる。

【0048】

また、評価点の算出を前段階までの評価点との加算や乗算、差分、または、平均値や中央値、相乗平均、対数平均などの代表値により算出する方法もある。戦術評価点１１２０が、技術評価点１１４０と独立して付与されていた場合には、まず、戦術評価点１１２０から攻撃戦術を選択し、選択された攻撃戦術中の攻撃技術から技術評価点１１４０を用いて、攻撃技術を選択する方法もある。

【0049】

図１２は、攻撃シナリオ生成結果１２００の一例を示す。図１２における、攻撃シナリオ生成結果１２００は、生成した攻撃シナリオに対応する脅威情報を識別する脅威識別番号１２１０、攻撃される構成要素を示す攻撃構成要素１２２０、攻撃戦術１２３０、攻撃技術１２４０、技術評価点１２５０を対応付ける例である。本実施例では、各攻撃段階における攻撃戦術／技術評価情報１１００から、最大の評価点を持つ攻撃戦術／技術情報５００を選択している。

【0050】

図１３は、生成した複数の攻撃シナリオの一例を示す。図１３は、攻撃シナリオとして、以下の項目を有する例である。
・攻撃シナリオが対応する脅威情報を識別する脅威識別番号１３１０。
・生成した攻撃シナリオを識別する攻撃シナリオ番号１３２０。
・攻撃される構成要素を示す攻撃構成要素１３３０。
・攻撃シナリオ中で使用される攻撃技術を示す攻撃技術１３４０。
・各シナリオの評価点の攻撃を示す評価点合計１３５０。
本実施例においては、図１３には評価点合計１３５０を示しており、シナリオＤの評価点合計は、図１２の技術評価点１２５０を合算したものを示している。なお、図１３は評価点合計１３５０に限定されるものではなく、乗算値や平均値や中央値、相乗平均、対数平均などの代表値を用いてもよい。

【0051】

図１４に、生成した攻撃シナリオの画面表示例１４００を示す。この攻撃シナリオの画面表示例１４００は、表１４５０を含む。そして、表１４５０は、脅威識別番号１４１０、シナリオ番号１４２０、攻撃構成要素１４３０、評価点合計１４４０を含む。また、攻撃シナリオを並べ替える、並べ替えボタン１４０１、画面に表示する攻撃シナリオを調整する、表示範囲切替ボタン１４０２、表１４５０をファイルとして出力する、ファイル出力ボタン１４０３を持つ。図１４の例では、評価点合計を降順に並び替え、表示範囲を攻撃構成要素１４３０に構成要素番号２を含まないものとしている。なお、並び替えの基準として、評価点合計だけでなく、脅威識別番号１４１０、シナリオ番号１４２０、攻撃構成要素１４３０の数などでも可能である。また、表１４５０に対応付けられていない、脅威評価点１０３０、各シナリオで使用されている攻撃技術１３４０の数によっても並べ替え可能である。表示範囲切替においても、脅威識別番号１４１０、シナリオ番号１４２０、評価点合計１４４０によっても範囲を切り替えることが可能である。また、表１４５０に対応付けられていない、各シナリオで使用されている攻撃戦術１２３０や攻撃技術１２４０によっても表示する攻撃シナリオの範囲を切り替えることが可能である。なお、本実施例では、図１４の表１４００には評価点合計を示しているが、合計に限定されるものではなく、乗算値や平均値や中央値、相乗平均、対数平均などの代表値を用い、並べ替えや表示切替してもよい。

【0052】

以上で、本実施例の説明を完了する。本実施例の攻撃シナリオ生成方法によれば、構成要素危険度評価点の合算値を用いることで過程に対する攻撃が仕掛けられる可能性の高さを評価し、通過構成要素数による除算で攻撃の効率を評価する。このため、攻撃者の行動習癖に基づく攻撃シナリオの危険度評価が可能になる。

【実施例2】

【0053】

以下、本発明の実施例２について図面を用いて説明する。サイバー攻撃の戦術や技術は日進月歩であり、それらに対応した攻撃シナリオの生成方法が必要ある。また、対象とするシステムが関連する産業分野によっては攻撃者、または、攻撃グループがある程度特定されており、より効率的に対策を施策する上で、それらの情報を反映した攻撃シナリオの生成方法が必要となる。そのため、本実施例では、実施例１で述べた方法に、サイバー攻撃の動向解析の機能を追加した攻撃シナリオの生成方法について説明する。

【0054】

本実施例では、実施例１で述べた図１の攻撃シナリオの生成装置に動向解析部１５１０と動向解析記憶部１５０２を追加した点が異なる。この本実施例におけるシナリオ生成装置２０の機能構成の例を示す機能ブロック図を図１５に示す。図１５において、符号１０１～１０４、１０７～１０９は、図１と同一のものである。動向解析部１５１０は図２におけるシナリオ生成装置２０に、動向解析記憶部１５０２は図２における記憶装置２４内の動向解析情報１６００を有する。動向解析情報１６００は、脅威評価部１５２０と攻撃戦術／技術評価部１５３０へ入力され、脅威情報ならびに攻撃戦術／技術情報５００の評価に用いられる。

【0055】

図１６は、動向解析情報１６００の一例を示す図である。動向解析情報１６００は、攻撃対象分野１６１０、攻撃グループ１６２０、脅威内容１６３０、使用攻撃技術１６４０、危険度１６５０を対応付けた情報である。脅威内容１６３０は、各グループが目的とする脅威の内容を示し、データを改ざんされる、データを盗取される、データ編集を不可能にされる、機器を破壊されるがあり。図４の脅威内容４２０と対応付けられる。攻撃対象分野には、サイバー攻撃を受ける産業分野であり、金融や食品、製造がある。

【0056】

また、使用攻撃技術１６４０には、各グループが過去の攻撃で使用した実績のある攻撃技術である。そして、フィッシングメール、遠隔ファイルコピー、アカウント操作、標準プロトコルの通信利用、物理機器の接続、管理共有、ＡＰＩの利用、コマンドライン利用、総当たり攻撃、キーロギングがあり、これらは図５の攻撃技術名５４０と対応付けられる。危険度１６５０は、各攻撃グループがどれほどの技術を持ち、どれほどの影響を与えるかを高、中、低の三段階で評価したものである。
これらの情報は、過去の攻撃事例や最新の攻撃事例を解析することで得る。事例の情報の得る方法としては、インターネットからの情報の入手がある。または、これまでのセキュリティ対策の事例を用いることで得ることもできる。解析の方法としては、単純な統計処理を用いる方法から、機械学習・ＡＩを用いる方法もある。

【0057】

本実施例における、攻撃シナリオ生成の全体フローは実施例１と同様で図７に示す全体フローである。以下、動向解析情報１６００からグループＡを反映動向として選択した際の例を用いて、本実施例を説明する。

【0058】

図１７に本実施例におけるステップＳ６０２において、脅威評価部１５２０で評価された脅威評価情報１７００の一例を示す。図１７は、脅威識別番号１７１０、脅威内容１７２０、脅威評価点１７３０を対応付ける例である。図１７の例としては、評価対象の構成要素に、図９におけるノード９０３のデータサーバ８０３を選択し、実施例１との違いとして、動向解析情報１６００からグループＡを脅威動向として選択している。データサーバ８０３は、機器役割３４０としてデータ保存を担っているため、「データを改ざんされる」や「データを盗取される」リスクが高く、それらの脅威情報に高評価(高リスク)が付与されている。さらに、動向解析情報１６００において、グループＡは「データを改ざんされる」脅威情報と対応付けられている、危険度１６５０が「高」のグループである。このために、脅威評価点１７３０では、元の４を３倍した１２を脅威識別番号１の「データを改ざんされる」の脅威評価点としている。以下、ステップS６０４および図７のフローを説明するため、ステップS６０３では、攻撃目標の構成要素を図９におけるノード９０３、脅威情報４００として脅威識別番号２「データが改ざんされる」を選択したとして説明する。なお、本実施例では、危険度１６５０が「高」であるため、３倍の評価を与える例を示したが、この倍数により動向の反映度を調整が可能である。また、乗算でなく加算や平均値、中央値、相乗平均、対数平均などの代表値により動向を反映する方法もある。

【0059】

図１８は、上述の条件でステップS７０２において攻撃開始の構成要素が構成要素番号１のノートPCが選択された場合のステップS７０３における、攻撃戦術／技術評価部１５３０で付与された攻撃戦術／技術評価情報１８００を示す。図１８における、攻撃戦術／技術評価情報１８００は、攻撃戦術識別番号１８１０、戦術評価点１８２０、攻撃技術識別番号１８３０、技術評価点１８４０を対応付ける例である。

【0060】

図１８は、本実施例において、攻撃シナリオの初期段階としての攻撃戦術／技術情報５００の選択を行う際の評価の例である。技術評価点の算出は、システム構成情報３００や攻撃の段階、および動向解析情報に基づき行う。図１８に示す例では、攻撃戦術「初期侵入」の攻撃技術「物理機器の接続」に最も高評価点が付いている。これは、攻撃の初期段階であり攻撃者の特性としてまず侵入(初期侵入)を試みる特性がある点、また、対象の構成要素がノートPCであるため物理機器の接続が容易である点に基づいている。

【0061】

さらに、動向解析情報１６００において、選択されたグループＡが使用攻撃技術１６４０で「フィッシングメール」、「遠隔ファイルコピー」を使用する危険度１６５０「高」のグループである。このため、実施例１と異なり技術評価点３倍している。なお、本実施例では、危険度１６５０が「高」であるため、３倍の評価を与える例を示したが、この倍数により動向の反映度を調整が可能である。また、乗算でなく加算や平均値、中央値、相乗平均、対数平均などの代表値により動向を反映する方法もある。

【0062】

本実施例においても、戦術評価点１８２０は、対応する攻撃戦術の戦術評価点１８２０の合算によって算出しているが、本発明はこれに限定されるものではなく、対応する攻撃戦術の技術評価点１８４０の乗算や差分により付与することも可能である。または、技術評価点とは独立して付与することも可能である。この評価点を基に、攻撃戦術／技術情報５００を選択し、組み合わせていくことで攻撃シナリオを生成する。本実施例では、選択の方法として該当段階における評価点の中で最大のものを選択する。図１８の例では、攻撃戦術「初期侵入」の攻撃技術「物理機器の接続」を選択する。

【0063】

ただし、攻撃戦術／技術情報５００の選択方法は、本実施例で示す最大値の選択のみでなく、閾値以上の評価点を持つ攻撃戦術／技術情報５００を選択する方法もある。この方法の場合には、同一の攻撃開始および目標構成要素に対する同一の脅威に関する攻撃シナリオであったとしても、要素として含まれる攻撃戦術／技術情報５００が異なる攻撃シナリオが生成されることとなる。また、評価点の算出を前段階までの評価点の加算や乗算、差分、または、平均値や中央値、相乗平均、対数平均などの代表値により算出する方法もある。戦術評価点１８２０が、技術評価点１８４０と独立して付与されていた場合には、まず、戦術評価点１８２０から攻撃戦術を選択し、選択された攻撃戦術中の攻撃技術から技術評価点１８４０を用いて、攻撃技術を選択する方法もある。

【0064】

図１９は、攻撃シナリオ生成結果１９００の一例を示す。図１９における、攻撃シナリオ生成結果１９００は、生成した攻撃シナリオに対応する脅威を識別する脅威識別番号１９１０、攻撃される構成要素を示す攻撃構成要素１９２０、攻撃戦術１９３０、攻撃技術１９４０、技術評価点１９５０を対応付ける例である。本実施例では、各攻撃段階における攻撃戦術／技術評価情報１８００から、最大の評価点を持つ攻撃戦術／技術情報５００を選択している。

【0065】

本実施例における攻撃シナリオ出力部１０９の画面表示例は、実施例１の図１４と同様である。しかし、並べ替えや表示切替において、動向を反映した並べ替えや切替が可能となる。具体的な例では、並べ替えにおいて、複数のグループの動向を反映した攻撃シナリオを出力した際に、危険度１６５０によって攻撃シナリオを並べ替えることもできる。また、表示切替においても攻撃グループ１６２０や危険度１６５０を用いて表示内容を切り替えることが可能となる。

【実施例3】

【0066】

以下、本発明の実施例３について図面を用いて説明する。

【0067】

実施例１、２では攻撃技術を１４個に絞って説明を行った。しかし、実際の攻撃技術の数は多量で、米国ＭＩＴＲＥ社が開発する攻撃技術をまとめたナレッジベースAdversarial Tactics、 Techniques、 and Common Knowledge：ATT&CK（Ｒ）（米国登録商標）には260以上の攻撃戦術が存在する。このため、今後の技術発展によりさらに攻撃技術の数が増大することは容易に想像できる。本発明では、攻撃技術の組み合わせによって攻撃シナリオを生成するため組合せ数、生成可能な攻撃シナリオ数の爆発が懸念される。そのため、組合せ数の爆発を低減するため、本実施例では、攻撃戦術／技術記憶部１０４に入力する時点で攻撃戦術／技術情報５００を絞り込む機能を追加した攻撃シナリオ生成方法について説明する。

【0068】

本実施例では、実施例１で述べた図１の攻撃シナリオの生成装置に情報入力部１０１からの情報を絞り込み部２００１で絞り込み、攻撃戦術／技術記憶部１０４へ記憶させる点が異なる。図２０に、本実施例のシナリオ生成装置２０の機能構成の例を示す機能ブロック図を示す。図２０において、符号１０１～１０９は、図１と同一のものである。
絞り込みの具体的な方法について、図２１を用いて説明する。図２１は、システム構成情報３００を基に、図８におけるデータサーバ１に対して絞り込みを行った際の、攻撃戦術／技術記憶部１０４に記憶されている攻撃戦術／技術情報２１００を示す図である。攻撃戦術／技術情報２１００は、攻撃戦術識別番号２１１０、攻撃戦術名２１２０、攻撃技術識別番号２１３０、攻撃技術名２１４０を情報である。攻撃戦術名は、想定する攻撃戦術であり、図２１の例の場合、初期侵入、攻撃コードの実行、権限昇格、他要素への移動、認証情報アクセス、情報収集、データ持出がある。攻撃技術名２１４０は、攻撃戦術を実現する技術であり、図３の例の場合、攻撃技術名２１４０として、以下の項目が含まれる。
・フィッシングメール。
・コマンドラインの利用やApplication Programing Interface(API)の利用。
・バッファエラーの利用。
・権限管理のバイパス。
・管理共有。
・遠隔ファイルコピー。
・総当たり攻撃やアカウントの操作。
・キーロギング。
・ローカルシステムのデータ
・標準プロトコルでの通信利用。

【0069】

図５の攻撃戦術／技術情報５００と異なる点は、攻撃技術に「物理機器の接続」、「物理機器による持出」が含まれていない点である。これは、図３のシステム構成情報３００の物理アクセス３９０を参照し、データサーバ１は物理アクセスが不可能である。このため、物理的な機器の接続が必要な「物理機器の接続」、「物理機器による持出」は実現不可能な攻撃技術であると判断し、攻撃戦術／技術記憶部１０４には記憶しない絞り込みを行った例である。このように、攻撃シナリオを生成する際の候補となる攻撃技術を絞り込むことで、評価に必要な時間、組合せ数を現状させることができる。なお、本実施例では、データサーバ１と単一の構成要素に対する絞り込みについて説明したが、システム全体の特徴を抽出し、その特徴から絞り込みを図る方法もある。具体的なシステム全体の特徴としては、OS（基本ソフト）３６０が同一や物理アクセス３９０がすべての構成要素で困難または容易であるなどがある。また、システム構成情報のみでなく、実施例２で示した動向解析の結果を用いて絞り込んでもよい。具体的には、攻撃対象分野１６１０や危険度１６５０により単一または複数の攻撃グループを選択し、それらの使用攻撃技術１６４０での絞り込みを行ってもよい。このように、本実施例では、所定の基準に従って絞り込みを行う。

【0070】

以上で、本発明の実施形態についての説明を終了する。なお、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。上記の実施形態は本発明を分かりやすく説明するために詳細に説明したものである。このため、例えば、各記憶部に記憶されている情報の内容、構成要素毎の構成要素危険度評価点の付与処理、攻撃シナリオの抽出結果、評価結果等、必ずしも説明した全ての構成、処理、情報、数値、に限定されるものではない。

【0071】

また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、図１９に示すように処理部１１がそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD（Solid State Drive）等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に記憶することができる。

【符号の説明】

【0072】

１０２…システム構成記憶部
１０３…脅威情報記憶部
１０４…攻撃戦術／技術記憶部
１０５…脅威評価部
１０６…攻撃戦術／技術評価部
１０７…攻撃戦術／技術組み合わせ決定部
１０８…攻撃戦術／技術組み合わせ記憶部
１０９…攻撃シナリオ出力部
３００…システム構成情報
４００…脅威情報
５００…攻撃戦術／技術情報
１２００…攻撃シナリオ生成結果
１４００…攻撃シナリオ生成結果の表示例

【図1】