(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-10
(45)【発行日】2024-09-19
(54)【発明の名称】不正侵害分析支援装置、及び不正侵害分析支援方法
(51)【国際特許分類】
G06F 16/35 20190101AFI20240911BHJP
G06F 21/55 20130101ALI20240911BHJP
【FI】
G06F16/35
G06F21/55
【請求項の数】
5
(21)【出願番号】P 2021032480
(22)【出願日】2021-03-02
(65)【公開番号】P2022133671
(43)【公開日】2022-09-14
【審査請求日】2023-08-01
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000176
【氏名又は名称】弁理士法人一色国際特許事務所
(72)【発明者】
【氏名】鈴木 篤
(72)【発明者】
【氏名】チェン イーウェン
(72)【発明者】
【氏名】山▲崎▼ 裕紀
(72)【発明者】
【氏名】井島 謙吾
【審査官】甲斐 哲雄
(56)【参考文献】
【文献】特開2019-049800(JP,A)
【文献】特開2015-052841(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 16/00-16/958
G06F 21/55
(57)【特許請求の範囲】
【請求項1】
プロセッサ及びメモリを有し、不正侵害に係る分野の入力を受け付ける入力部と、
所定のネットワークに通信可能に接続されている装置に対する不正侵害に関する文章から、当該不正侵害に関する前記入力された分野における単語を抽出するキーワード抽出部と、
前記抽出した単語と、前記入力された分野における不正侵害の態様の単語の情報とに基づき、前記抽出した単語及び前記不正侵害の態様の間の関連度を算出し、算出した関連度が所定の閾値以上である場合に、前記文章が前記入力された分野における不正侵害の文章であると推定する関連度推定部と、
前記文章が前記分野における不正侵害の文章であることを示す情報を出力する出力部と、
を備える、不正侵害分析支援装置。
【請求項2】
前記算出した関連度が所定の閾値を超えた場合に、前記文章における前記入力された分野の各単語に所定の単語が含まれているか否かを判定し、前記各単語のいずれにも前記所定の単語が含まれていない場合にのみ、前記文章が前記入力された分野における不正侵害の文章であると推定する除外処理部を備える、請求項1に記載の不正侵害分析支援装置。
【請求項3】
前記関連度推定部は、前記不正侵害に係る侵害元、侵害方法、被侵害部品、又は通信ネットワークの種類の少なくともいずれかを示す単語の情報を、前記不正侵害の態様の情報とし、
前記抽出した単語と、前記不正侵害の態様を示す単語との一致の数が所定数以上である場合に、前記文章が前記入力された分野における不正侵害の文章であると推定する、
請求項1に記載の不正侵害分析支援装置。
【請求項4】
前記除外処理部は、前記関連度が前記所定の閾値を超えていた場合に、前記文章における前記入力された分野の各単語に、前記入力された分野以外の分野における不正侵害の態様を示す単語が含まれているか否かを判定し、前記各単語のいずれにも前記所定の単語が含まれていない場合にのみ、前記文章が前記入力された分野における不正侵害の文章であると推定する、請求項2に記載の不正侵害分析支援装置。
【請求項5】
情報処理装置が、不正侵害に係る分野の入力を受け付ける入力処理と、
所定のネットワークに通信可能に接続されている装置に対する不正侵害に関する文章から、当該不正侵害に関する前記入力された分野における単語を抽出するキーワード抽出処理と、
前記抽出した単語と、前記入力された分野における不正侵害の態様の単語の情報とに基づき、前記抽出した単語及び前記不正侵害の態様の間の関連度を算出し、算出した関連度が所定の閾値以上である場合に、前記文章が前記入力された分野における不正侵害の文章であると推定する関連度推定処理と、
前記文章が前記分野における不正侵害の文章であることを示す情報を出力する出力処理と、
を実行する、不正侵害分析支援方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正侵害分析支援装置、及び不正侵害分析支援方法に関する。
【背景技術】
【0002】
インターネットと接続可能な製品(IoT(Internet Of Things)製品)が普及するにつれ、これらIoT製品に対する不正侵害(サイバー攻撃)に対応したセキュリティの確保が重要な問題となっている。そこで、法規制等のルールによって、各事業者には、IoT製品の運用時のセキュリティを保証するためにセキュリティ上の脅威又は脆弱性の情報といったサイバー情報をハンドリングすることが求められている。そのため事業者は、サイバー情報を収集してこれらを分類するといった作業が必要となる。しかしながら、サイバー情報の量は膨大であり、それらの分析や分類には時間がかかる。
【0003】
そこで、このような作業を行うのに資する技術として、特許文献1には、セキュリティ情報管理装置が、セキュリティに関する情報であるセキュリティ情報を収集し、セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書を参照して、セキュリティ情報との関連性を比較する元となる参照元セキュリティ情報からキーワードを抽出し、抽出されたキーワードと収集されたセキュリティ情報に含まれるキーワードとを比較して、参照元セキュリティ情報とセキュリティ情報との関連度を算出し、算出された関連度が高いセキュリティ情報ほど優先的に出力することが記載されている。
【先行技術文献】
【特許文献】
【0004】
【文献】国際公開第2014/208427号
【発明の概要】
【発明が解決しようとする課題】
【0005】
IoT装置には様々な分野の製品があるため、そのためサイバー情報もそれに応じて分類されなければならない。ところが、特許文献1では、セキュリティ情報同士の関連性をキーワードで判断しているため、複数分野に横断して用いられるようなキーワードがある場合には、セキュリティ情報の分野が考慮されない分類がなされるおそれがある。特にセキュリティは各分野ごとの専門性が非常に高いため、特許文献1では、各分野の専門家が正しくセキュリティ情報を利用することができない可能性がある。
【0006】
本発明は以上の背景に鑑みてなされたものであり、その目的は、不正侵害に関する情報を分野に応じて分類することが可能な不正侵害分析支援装置、及び不正侵害分析支援方法を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するための本発明の一つは、プロセッサ及びメモリを有し、不正侵害に係る分野の入力を受け付ける入力部と、所定のネットワークに通信可能に接続されている装置に対する不正侵害に関する文章から、当該不正侵害に関する前記入力された分野における単語を抽出するキーワード抽出部と、前記抽出した単語と、前記入力された分野における不正侵害の態様の単語の情報とに基づき、前記抽出した単語及び前記不正侵害の態様の間の関連度を算出し、算出した関連度が所定の閾値以上である場合に、前記文章が前記入力された分野における不正侵害の文章であると推定する関連度推定部と、前記文章が前記分野における不正侵害の文章であることを示す情報を出力する出力部と、を備える、不正侵害分析支援装置、とする。
【0008】
また、上記課題を解決するための本発明の一つは、情報処理装置が、不正侵害に係る分野の入力を受け付ける入力処理と、所定のネットワークに通信可能に接続されている装置に対する不正侵害に関する文章から、当該不正侵害に関する前記入力された分野における単語を抽出するキーワード抽出処理と、前記抽出した単語と、前記入力された分野における不正侵害の態様の単語の情報とに基づき、前記抽出した単語及び前記不正侵害の態様の間の関連度を算出し、算出した関連度が所定の閾値以上である場合に、前記文章が前記入力された分野における不正侵害の文章であると推定する関連度推定処理と、前記文章が前記分野における不正侵害の文章であることを示す情報を出力する出力処理と、を実行する、不正侵害分析支援方法、とする。
【発明の効果】
【0009】
本発明によれば、不正侵害に関する情報を分野に応じて分類することができる。
【0010】
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0011】
【図1】本実施形態に係る不正侵害分析支援システムの構成の一例を示す図である。
【図2】不正侵害分析支援装置の機能の一例を説明する図である。
【図3】分野別キーワードDBの一例を示す図である。
【図4】分野別攻撃事例DBの一例を示す図である。
【図5】除外キーワードDBの一例を示す図である。
【図6】各装置が備えるハードウェアの一例を説明する図である。
【図7】不正侵害分析支援システムにおいて行われる処理の概要を説明するシーケンス図である。
【図8】不正侵害分析支援装置が行う処理の概要を説明するシーケンス図である。
【図9】キーワード抽出処理の一例を説明するフロー図である。
【図10】関連度推定処理の一例を説明するフロー図である。
【図11】除外処理の一例を説明するフロー図である。
【図12】関連性情報を表示した関連性情報表示画面の一例を示す図である。
【図13】不正侵害分析支援装置の他の機能例を説明する図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施形態を、図面に基づき説明する。なお、実施形態は下記に限定されるものではない。
【0013】
--システム構成--
図1は、本実施形態に係る不正侵害分析支援システム10の構成の一例を示す図である。不正侵害分析支援システム10は、ユーザからの入力を受け付ける、キーボード、マウス、タッチパネル等の入力装置6と、次述するセキュリティ情報を、1又は複数のIoT装置7(IOT:Internet Of Things)から取得するセキュリティ情報収集装置1と、セキュリティ識別情報付与装置2と、不正侵害分析支援装置3と、セキュリティ識別情報付与装置2及び不正侵害分析支援装置3から受信した情報と、IoT装置7の仕様の情報等とに基づき、各IoT装置7に対する不正侵害(サイバー攻撃)の脅威に関する情報を生成する影響度分析装置4と、セキュリティ識別情報付与装置2、不正侵害分析支援装置3、及び影響度分析装置4が生成した情報を画面に表示する、モニタ(ディスプレイ)等の出力装置5とを含んで構成される。
図1は、本実施形態に係る不正侵害分析支援システム10の構成の一例を示す図である。不正侵害分析支援システム10は、ユーザからの入力を受け付ける、キーボード、マウス、タッチパネル等の入力装置6と、次述するセキュリティ情報を、1又は複数のIoT装置7(IOT:Internet Of Things)から取得するセキュリティ情報収集装置1と、セキュリティ識別情報付与装置2と、不正侵害分析支援装置3と、セキュリティ識別情報付与装置2及び不正侵害分析支援装置3から受信した情報と、IoT装置7の仕様の情報等とに基づき、各IoT装置7に対する不正侵害(サイバー攻撃)の脅威に関する情報を生成する影響度分析装置4と、セキュリティ識別情報付与装置2、不正侵害分析支援装置3、及び影響度分析装置4が生成した情報を画面に表示する、モニタ(ディスプレイ)等の出力装置5とを含んで構成される。
【0014】
セキュリティ情報は、各IoT装置7が出力した情報又はその情報を加工した情報であって、IoT装置7への不正侵害に関する、複数の文章(以下、セキュリティ文章という
)の情報である。セキュリティ情報は、例えば、IoT装置7が通信ネットワーク8等を介して受けたセキュリティ攻撃の情報、又はセキュリティの脆弱性を表す情報である。各セキュリティ文章は、各IoT装置が属する様々な技術分野の文章から構成されている。
)の情報である。セキュリティ情報は、例えば、IoT装置7が通信ネットワーク8等を介して受けたセキュリティ攻撃の情報、又はセキュリティの脆弱性を表す情報である。各セキュリティ文章は、各IoT装置が属する様々な技術分野の文章から構成されている。
【0015】
セキュリティ識別情報付与装置2は、セキュリティ情報収集装置1が取得したセキュリティ情報(セキュリティ文章)に基づき、IoT装置7に対して行われた不正侵害の種類を示す情報(セキュリティ識別情報)を所定の分類方法に従って作成する。
【0016】
不正侵害分析支援装置3は、セキュリティ情報収集装置1が取得した各セキュリティ情報(複数のセキュリティ文章)から、ユーザが担当する分野に関連するセキュリティ文章を特定し、そのセキュリティ文章に関する情報を作成する。
【0017】
なお、各IoT装置7及びセキュリティ情報収集装置1の間は、例えば、インターネット又はLAN(Local Area Network)等の有線若しくは無線の通信ネットワーク8により通信可能に接続される。
【0018】
また、セキュリティ情報収集装置1、セキュリティ識別情報付与装置3、不正侵害分析支援装置3、及び影響度分析装置4の間は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット、又は専用線等の有線若しくは無線の通信
ネットワーク9により通信可能に接続される。
ネットワーク9により通信可能に接続される。
【0019】
次に、不正侵害分析支援装置3の詳細を説明する。
【0020】
図2は、不正侵害分析支援装置3の機能の一例を説明する図である。
【0021】
不正侵害分析支援装置3は、入力部301、キーワード抽出部303、関連度推定部304、除外処理部305、及び出力部302の各機能部を備える。
【0022】
また、不正侵害分析支援装置3は、分野別キーワードDB306、分野別攻撃事例DB307、及び除外キーワードDB308の各データベースを備える。
【0023】
入力部301は、ユーザからの入力装置6への入力を介して、ユーザが担当する分野の入力を受け付ける。また、入力部301は、セキュリティ情報収集装置1からセキュリティ情報(セキュリティ文章)を取得する。
【0024】
キーワード抽出部303は、分野別キーワードDB306に基づき、IoT装置7に対する不正侵害に関する文章から、その不正侵害に関するユーザ入力された分野(以下、ユーザ分野という)における単語を抽出する。
【0025】
関連度推定部304は、キーワード抽出部303が抽出した単語と、ユーザ入力された分野における不正侵害の態様の情報である分野別攻撃事例DB307とに基づき、抽出した単語及び不正侵害の態様の間の関連度を算出し、算出した関連度が所定の閾値以上である場合に、セキュリティ文章がユーザ入力された分野における不正侵害の文章であると推定する。
【0026】
除外処理部305は、関連度推定部304が算出した関連度が所定の閾値を超えた場合に、セキュリティ文章におけるユーザ入力された分野の各単語に所定の単語(以下、除外キーワードという)が含まれているか否かを判定し、各単語のいずれにも除外キーワードが含まれていない場合にのみ、セキュリティ文章がユーザ入力された分野における不正侵害の文章であると推定する。
【0027】
出力部302は、セキュリティ文章がユーザ入力された分野における不正侵害の文章であることを示す情報(以下、関連性情報という)を出力する。
【0028】
(分野別キーワードDB)
図3は、分野別キーワードDB306の一例を示す図である。分野別キーワードDB306は、分野の種類3061と、その分野におけるクラス3062(不正侵害の態様を表す項目(カテゴリ))と、分野の種類3061及びクラス3062に属する単語3063(キーワード)とを含む単語データベースである。
図3は、分野別キーワードDB306の一例を示す図である。分野別キーワードDB306は、分野の種類3061と、その分野におけるクラス3062(不正侵害の態様を表す項目(カテゴリ))と、分野の種類3061及びクラス3062に属する単語3063(キーワード)とを含む単語データベースである。
【0029】
なお、分野の種類3061には、全ての分野に共通する「セキュリティ」と、それ以外の「分野別」とがある。クラス3062には、不正侵害の攻撃元、不正侵害の攻撃手法といった全ての分野に共通のクラスと、「コンポーネント」、「インタフェース」、「システム」、「プロトコル」といった分野を特徴付けるクラスとが設定される。単語3063には、「ソフトウェア」、「ネットワーク」といった全ての分野に共通する、不正侵害に関する単語と、「ECU」、「無線通信」といった特定の分野における不正侵害に関する単語が設定される。
【0030】
(分野別攻撃事例DB)
図4は、分野別攻撃事例DB307の一例を示す図である。分野別攻撃事例DB307は、攻撃事例(不正侵害の事例)の態様を分野ごとに記憶した1又は複数の分野データベース3070からなる。各分野データベース3070は、その分野の攻撃事例のID3071、その攻撃事例における攻撃元3072、その攻撃事例における攻撃手法3073、その攻撃事例における攻撃対象のコンポーネント3074、及びその攻撃事例に利用されるインタフェース3075の各情報を有する。
図4は、分野別攻撃事例DB307の一例を示す図である。分野別攻撃事例DB307は、攻撃事例(不正侵害の事例)の態様を分野ごとに記憶した1又は複数の分野データベース3070からなる。各分野データベース3070は、その分野の攻撃事例のID3071、その攻撃事例における攻撃元3072、その攻撃事例における攻撃手法3073、その攻撃事例における攻撃対象のコンポーネント3074、及びその攻撃事例に利用されるインタフェース3075の各情報を有する。
【0031】
(除外キーワードDB)
図5は、除外キーワードDB308の一例を示す図である。除外キーワードDB308は、除外キーワードを記憶した各分野ごとの除外キーワードテーブル3080を備える。除外キーワードテーブル3080は、対象のクラス3081、及びそのクラスにおける除外単語3082(除外キーワード)の各情報を有する。除外キーワードは、例えば、その分野では使用されない単語であり、一例としては、対象のセキュリティ文章がユーザ分野と無関係な分野の文章であることを決定づける単語である。
図5は、除外キーワードDB308の一例を示す図である。除外キーワードDB308は、除外キーワードを記憶した各分野ごとの除外キーワードテーブル3080を備える。除外キーワードテーブル3080は、対象のクラス3081、及びそのクラスにおける除外単語3082(除外キーワード)の各情報を有する。除外キーワードは、例えば、その分野では使用されない単語であり、一例としては、対象のセキュリティ文章がユーザ分野と無関係な分野の文章であることを決定づける単語である。
【0032】
ここで、図6は、各装置(セキュリティ情報収集装置1、セキュリティ識別情報付与装置2、不正侵害分析支援装置3、及び影響度分析装置4)が備えるハードウェアの一例を説明する図である。各装置は、CPU(Central Processing Unit)などの処理装置91
と、RAM(Random Access Memory)、ROM(Read Only Memory)等のメモリ92と、HDD(Hard Disk Drive)、SSD(Solid State Drive)等の補助記憶装置93と、無線ネットワークインターフェース又はネットワークインターフェースカード等の通信装置96とを備える。なお、これに加えて各装置は、キーボード、マウス、タッチパネル等の入力装置94、又は、モニタ(ディスプレイ)等の出力装置95を備えていてもよい。これら各装置の機能部は、各装置の処理装置91が、メモリ92に記憶されているプログラムを実行することによって実現される。これらのプログラムは、例えば、二次記憶デバイスや不揮発性半導体メモリ、ハードディスクドライブ、SSDなどの記憶デバイス、又は、ICカード、SDカード、DVDなどの、各ノードで読み取り可能な非一時的データ記憶媒体に格納されてもよい。
と、RAM(Random Access Memory)、ROM(Read Only Memory)等のメモリ92と、HDD(Hard Disk Drive)、SSD(Solid State Drive)等の補助記憶装置93と、無線ネットワークインターフェース又はネットワークインターフェースカード等の通信装置96とを備える。なお、これに加えて各装置は、キーボード、マウス、タッチパネル等の入力装置94、又は、モニタ(ディスプレイ)等の出力装置95を備えていてもよい。これら各装置の機能部は、各装置の処理装置91が、メモリ92に記憶されているプログラムを実行することによって実現される。これらのプログラムは、例えば、二次記憶デバイスや不揮発性半導体メモリ、ハードディスクドライブ、SSDなどの記憶デバイス、又は、ICカード、SDカード、DVDなどの、各ノードで読み取り可能な非一時的データ記憶媒体に格納されてもよい。
【0033】
次に、不正侵害分析支援システム10において行われる処理について説明する。
【0034】
--処理--
図7は、不正侵害分析支援システム10において行われる処理の概要を説明するシーケンス図である。この処理は、例えば、入力装置6にユーザから所定の入力があった場合に開始される。
図7は、不正侵害分析支援システム10において行われる処理の概要を説明するシーケンス図である。この処理は、例えば、入力装置6にユーザから所定の入力があった場合に開始される。
【0035】
まず、入力装置6は、ユーザから、分析を行うIoT装置7のグループを特定する情報(情報源)の入力を受け付ける。そして、入力装置6は、入力された情報源をセキュリティ情報収集装置1に送信する(s1)。
【0036】
セキュリティ情報収集装置1は、通信ネットワーク5を介して、入力装置6から受信した情報源に対応するIoT装置7から、セキュリティ情報(1又は複数のセキュリティ文章)を取得する(s3)。
【0037】
そして、セキュリティ情報収集装置1は、取得したセキュリティ文章を、セキュリティ識別情報付与装置2及び不正侵害分析支援装置3に送信する(s5、s7)。
【0038】
セキュリティ識別情報付与装置2は、受信したセキュリティ文章に基づきセキュリティ識別情報を作成し、作成したセキュリティ識別情報をセキュリティ文章に付帯させてこれを影響度分析装置4に送信する(s9)。また、セキュリティ識別情報付与装置2は、セキュリティ識別情報をセキュリティ文章に付帯させてこれを出力装置5に送信する(s11)。
【0039】
一方、不正侵害分析支援装置3は、受信したセキュリティ文章に基づき関連性情報を作成し、作成した関連性情報を影響度分析装置4に送信する(s13)。また、不正侵害分析支援装置3は、関連性情報をセキュリティ文章に付帯させてこれを出力装置5に送信する(s15)。
【0040】
影響度分析装置4は、セキュリティ識別情報付与装置2及び不正侵害分析支援装置3から受信した情報(セキュリティ識別情報及び関連性情報)に基づき、各IoT装置7に対する不正侵害の影響を示す情報(影響度情報)を作成し、作成した影響度情報を出力装置5に送信する(s17)。
【0041】
出力装置5は、セキュリティ識別情報付与装置2、不正侵害分析支援装置3、及び影響度分析装置4から受信した各情報を画面に表示する(s19)。
【0042】
次に、不正侵害分析支援装置3が行う処理を説明する。
【0043】
-不正侵害分析支援装置の処理-
図8は、不正侵害分析支援装置3が行う処理の概要を説明するシーケンス図である。まず、不正侵害分析支援装置3の入力部301は、セキュリティ情報収集装置1から受信したセキュリティ文章をキーワード抽出部303に送信する。また、入力部301は、ユーザが属する分野の情報(ユーザ分野)を関連度推定部304に送信する(s51)。例えば、入力部301は、ユーザが入力装置6に入力した分野の情報を入力装置6から受信することにより、ユーザ分野を取得する。
図8は、不正侵害分析支援装置3が行う処理の概要を説明するシーケンス図である。まず、不正侵害分析支援装置3の入力部301は、セキュリティ情報収集装置1から受信したセキュリティ文章をキーワード抽出部303に送信する。また、入力部301は、ユーザが属する分野の情報(ユーザ分野)を関連度推定部304に送信する(s51)。例えば、入力部301は、ユーザが入力装置6に入力した分野の情報を入力装置6から受信することにより、ユーザ分野を取得する。
【0044】
キーワード抽出部303は、受信したセキュリティ文章の各単語をその分野と共に分野別キーワードとして抽出するキーワード抽出処理s52を実行し、分野別キーワードを関連度推定部304に送信する(s53)。
【0045】
関連度推定部304は、分野別キーワード及びユーザ分野の情報を受信すると、分野別
攻撃事例DB307を参照することにより、各セキュリティ文章の分野別キーワードと、各分野の不正侵害の態様との関連度をセキュリティ文章ごとに算出する。そして関連度推定部304は、これらの関連度により、ユーザ分野に係るセキュリティ文章(以下、関連セキュリティ文章という)を特定する(以上、関連度推定処理s54)。関連度推定部304は、作成した関連セキュリティ文章の情報を除外処理部305に送信する(s55)。
攻撃事例DB307を参照することにより、各セキュリティ文章の分野別キーワードと、各分野の不正侵害の態様との関連度をセキュリティ文章ごとに算出する。そして関連度推定部304は、これらの関連度により、ユーザ分野に係るセキュリティ文章(以下、関連セキュリティ文章という)を特定する(以上、関連度推定処理s54)。関連度推定部304は、作成した関連セキュリティ文章の情報を除外処理部305に送信する(s55)。
【0046】
除外処理部305は、関連セキュリティ文章のうち除外キーワードを含む文章を除外する除外処理s56を実行し、除外後の関連セキュリティ文章を出力部302に送信する(s57)。その後、出力部302は、関連セキュリティ文章に基づき関連性情報を出力する。関連性情報は、出力装置5等により画面表示され、ユーザに提示される。
【0047】
以下、各処理の詳細を説明する。
【0048】
-キーワード抽出処理-
図9は、キーワード抽出処理s52の一例を説明するフロー図である。キーワード抽出部303は、セキュリティ情報収集装置1から各セキュリティ文章を受信すると(s71)、受信した各セキュリティ文章に含まれる単語を認識する(s73)。例えば、キーワード抽出部303は、セキュリティ文章を構成する各単語をセキュリティ文章のそれぞれについて特定する。
図9は、キーワード抽出処理s52の一例を説明するフロー図である。キーワード抽出部303は、セキュリティ情報収集装置1から各セキュリティ文章を受信すると(s71)、受信した各セキュリティ文章に含まれる単語を認識する(s73)。例えば、キーワード抽出部303は、セキュリティ文章を構成する各単語をセキュリティ文章のそれぞれについて特定する。
【0049】
キーワード抽出部303は、s73で認識した単語が属するクラスを、各単語について特定する(s75)。例えば、キーワード抽出部303は、分野別キーワードDB306から、s73で取得した単語と同じ単語3063が設定されているレコードを取得する。
【0050】
キーワード抽出部303は、s73で特定した各単語をs75で特定した各クラスに対応づけた情報(分野別キーワード)を、セキュリティ文章ごとに作成する。以上で分野別キーワード抽出処理は終了する。
【0051】
-関連度推定処理-
図10は、関連度推定処理の一例を説明するフロー図である。関連度推定部304は、セキュリティ文章のうち一つを選択する(s91)。
図10は、関連度推定処理の一例を説明するフロー図である。関連度推定部304は、セキュリティ文章のうち一つを選択する(s91)。
【0052】
さらに、関連度推定部304は、分野を一つ選択する(s93)。具体的には、分野別攻撃事例DB307から分野データベース3070を一つ選択する。
【0053】
関連度推定部304は、s91で選択したセキュリティ文章の分野別キーワードを取得し、また、s93で選択した分野別攻撃事例DB307の分野データベース3070の内容を取得する(s95)。
【0054】
関連度推定部304は、取得した分野別キーワードと、取得した分野データベース3070が示す攻撃事例の態様(クラス)との関連度を算出する(s97)。
【0055】
例えば、まず、関連度推定部304は、関連度に所定の初期値を設定する。そして、関連度推定部304は、s93で取得した分野データベース3070の各レコード(各攻撃事例)について、そのレコードの攻撃元3072の内容が、s93で取得した分野別キーワードのうちクラス3062が「攻撃元」の分野別キーワードにある場合は、その攻撃事例に係る関連度を1増加させる。また、関連度推定部304は、そのレコードの攻撃手法3073の内容が、s93で取得した分野別キーワードのうちクラス3062が「攻撃手法」の分野別キーワードにある場合は、その攻撃事例に係る関連度を1増加させる。関連
度推定部304は、このような処理をコンポーネント3074及びインタフェース3075等の各クラス(態様)について行う。さらに、関連度推定部304は、以上の処理を、分野データベース3070の全レコード(全攻撃事例)について繰り返す。
度推定部304は、このような処理をコンポーネント3074及びインタフェース3075等の各クラス(態様)について行う。さらに、関連度推定部304は、以上の処理を、分野データベース3070の全レコード(全攻撃事例)について繰り返す。
【0056】
そして、関連度推定部304は、関連度が所定の閾値以上である攻撃事例があるか否かを判定する(s99)。「関連度が所定の閾値以上である攻撃事例がある」とは、例えば、関連度がクラスの数と一致する、すなわち、分野別キーワードと、ある攻撃事例のクラスとが完全に対応することを意味する。なお、関連度がクラスの数と完全に一致しなくても、一定数以上一致すればよいとすることもできる。
【0057】
関連度が所定の閾値以上である攻撃事例がある場合は(s99:Y)、関連度推定部304はs101の処理を実行し、関連度が所定の閾値以上である攻撃事例がない場合は(s99:N)、関連度推定部304はs107の処理を実行する。
【0058】
s103において関連度推定部304は、他にs93で選択されていない分野があるか否かを確認し、選択されていない分野がある場合には(s103:Y)、その分野についてs93以降の処理を繰り返す。選択されていない分野がない場合には(s103:N)、関連度推定部304はs107の処理を行う。
【0059】
s101において関連度推定部304は、s93で選択された分野がユーザ分野と一致するか否かを確認する。s93で選択された分野がユーザ分野と一致する場合は(s101:Y)、関連度推定部304はs105の処理を実行し、s93で選択された分野がユーザ分野と一致しない場合は(s101:N)、関連度推定部304はs107の処理を実行する。
【0060】
s105において関連度推定部304は、s91で選択したセキュリティ文章が、s93で選択した分野(すなわちユーザ分野)に関することを示す関連情報を作成する。例えば、関連度推定部304は、s91で選択したセキュリティ文章と、ユーザ分野と、s97で算出した関連度とを対応づけた情報を作成する。その後は、s107の処理が行われる。
【0061】
s107において関連度推定部304は、他にs91で選択されていないセキュリティ文章があるか否かを確認し、選択されていないセキュリティ文章がある場合には(s107:Y)、そのセキュリティ文章についてs91以降の処理を繰り返す。選択されていないセキュリティ文章がない場合には(s107:N)、関連度推定処理は終了する。
【0062】
なお、(s101:N)又は(s103:N)において関連度推定部304は、関連性情報として、s91で選択したセキュリティ文章がユーザ分野に関連しないことを示す関連情報を作成してもよい。
【0063】
また、s101において、s93で選択された分野がユーザ分野と一致しない場合であっても、その分野に係る関連度が所定値以上である場合は、その分野の情報とセキュリティ文章とその関連度とを関連性情報に含めてもよい。これにより、ユーザ分野以外の分野の文章であるがユーザ分野と密接な関連のあるセキュリティ文章の情報をユーザに提供することができる。
【0064】
-除外処理-
図11は、除外処理の一例を説明するフロー図である。除外処理部305は、関連度推定処理により特定された、ユーザ分野に関連するセキュリティ文章(関連セキュリティ文章)を一つ取得する(s131)。
図11は、除外処理の一例を説明するフロー図である。除外処理部305は、関連度推定処理により特定された、ユーザ分野に関連するセキュリティ文章(関連セキュリティ文章)を一つ取得する(s131)。
【0065】
除外処理部305は、同一クラス内において、関連セキュリティ文章の単語に除外キーワードがあるか否かを判定する(s133)。すなわち、除外処理部305は、関連セキュリティ文章における各単語のクラスを特定し、そのクラスの除外キーワードと同じ単語が関連セキュリティ文章における単語に含まれているか否かを判定する。
【0066】
例えば、除外処理部305は、関連セキュリティ文章における各単語のクラスを、分野別キーワードDB306により特定する。また、除外処理部305は、そのクラスにおける除外キーワードを、除外キーワードDB308における、ユーザ分野に係る除外キーワードテーブル3080の除外単語3082から特定する。除外処理部305は、関連セキュリティ文章における各単語について、その単語が、その単語のクラスにおける除外キーワードのいずれかと同じであるか否かを判定する。
【0067】
除外キーワードに該当する単語が関連セキュリティ文章における単語に含まれている場合は(s133:Y)、除外処理部305はs137の処理を行い、除外キーワードに該当する単語が関連セキュリティ文章における単語に含まれていない場合は(s133:N)、除外処理部305はs135の処理を行う。
【0068】
s135において除外処理部305は、s131で取得した関連セキュリティ文章は、ユーザ分野のセキュリティ文章でないとして、関連性情報からその関連セキュリティ文章に係る情報を削除する。その後は、s137の処理が行われる。なお、除外処理部305は、情報を削除するのではなく、当該関連セキュリティ文章がユーザ分野のセキュリティ文章でないことを示す情報を作成してもよい。
【0069】
s137において、除外処理部305は、他にs131で取得していない関連セキュリティ文章があるか否かを判定する。他にs131で取得していない関連セキュリティ文章がない場合は(s137:N)、除外処理は終了し、他にs131で取得していない関連セキュリティ文章がある場合は(s137:Y)、除外処理部305は、その一つに関してs131以降の処理を繰り返す。
【0070】
-関連性情報-
図12は、関連性情報を表示した関連性情報表示画面200の一例を示す図である。関連性情報表示画面200には、ユーザにより指定された分野(ユーザ分野)の情報201と、関連セキュリティ文章の一覧203と、関連セキュリティ文章でないセキュリティ文章の一覧205とが表示される。
図12は、関連性情報を表示した関連性情報表示画面200の一例を示す図である。関連性情報表示画面200には、ユーザにより指定された分野(ユーザ分野)の情報201と、関連セキュリティ文章の一覧203と、関連セキュリティ文章でないセキュリティ文章の一覧205とが表示される。
【0071】
関連セキュリティ文章の一覧203には、各関連セキュリティ文章を特定する情報207(番号、識別子、又はその文章自体等)と、その関連セキュリティ文章の関連度とが表示される。
【0072】
関連セキュリティ文章でないセキュリティ文章の一覧205には、それらのセキュリティ文章を特定する情報207(番号、識別子、又はその文章自体等)と、そのセキュリティ文章の関連度とが表示される。
【0073】
なお、関連性情報表示画面200は、例えば、不正侵害分析支援装置3又は出力装置5が表示する。
【0074】
最後に、図13は、不正侵害分析支援装置3の他の機能例を説明する図である。この不正侵害分析支援装置3は、除外キーワードであることを示すクラスを設定する。キーワード抽出部303は、除外キーワードDB308に基づき、各セキュリティ文章における各
単語について、その単語が除外キーワードである場合にはその単語に上記クラスを対応づけて分野別キーワードとし、除外処理部305は、そのクラスに基づき除外処理を行う。
単語について、その単語が除外キーワードである場合にはその単語に上記クラスを対応づけて分野別キーワードとし、除外処理部305は、そのクラスに基づき除外処理を行う。
【0075】
以上のように、本実施形態の不正侵害分析支援装置3は、IoT装置7に関するセキュリティ文章から不正侵害に関するユーザ分野の単語し、その各単語と、ユーザ分野に係る分野別攻撃事例DB307とに基づき、抽出した単語及び不正侵害の態様の単語の間の関連度を算出し、関連度が所定の閾値以上である場合に、セキュリティ文章がユーザ分野における不正侵害の文章であると推定し、そのセキュリティ文章がユーザ分野における不正侵害の文章であることを示す情報を出力する。
【0076】
このように、不正侵害分析支援装置3は、不正侵害に関する情報を分野に応じて分類することができる。すなわち、不正侵害分析支援装置3は、セキュリティ文章の単語と不正侵害の態様の単語との関連性を分野別に算出し、関連性が高い場合にセキュリティ文章がその分野の文章であると判定することで、ユーザは、自身が担当する分野のセキュリティ文章を容易に把握することができる。
【0077】
本発明は以上に説明した実施形態に限定されるものではなく、様々な変形例が含まれる。上記した実施形態は本発明のより良い理解のために詳細に説明したものであり、必ずしも説明の全ての構成を備えるものに限定されるものではない。
【0078】
例えば、本実施形態の各装置又は端末が備える各機能の一部は他の装置又は端末に設けてもよいし、別装置又は端末が備える機能を同一の装置又は端末に設けてもよい。
【0079】
また、本実施形態におけるセキュリティ文章は、音声データ、画像又はその他のコンテンツを文章に変換したものであってもよい。
【0080】
また、関連度の算出方法は本実施形態で説明したものに限られない。例えば、本実施形態のようにクラスの一致数だけでなく、クラスごと、単語ごと、又は分野ごとの重み付けの係数を乗算することで関連度を算出してもよい。
【0081】
また、本実施形態ではユーザ分野は一つであることを前提としたが、複数のユーザ分野の入力を受け付けるようにしてもよい。
【0082】
以上の本明細書の記載により少なくとも以下の事項が明らかにされる。すなわち、不正侵害分析支援装置3は、前記算出した関連度が所定の閾値を超えた場合に、前記文章における前記入力された分野の各単語に所定の単語が含まれているか否かを判定し、前記各単語のいずれにも前記所定の単語が含まれていない場合にのみ、前記文章が前記入力された分野における不正侵害の文章であると推定する除外処理部を備える、としてもよい。
【0083】
このように、関連度が大きい場合にさらに、セキュリティ文章におけるユーザ分野の各単語に除外キーワードが含まれていない場合にのみ、セキュリティ文章がユーザ分野における不正侵害の文章であると推定することで、文章全体としては関連性が高くても、特異なキーワードがあるためユーザ分野に該当しないとされるようなセキュリティ文章を確実に除外し、誤判定を防ぐことができる。
【0084】
また、不正侵害分析支援装置3の前記関連度推定部は、前記不正侵害に係る侵害元、侵害方法、被侵害部品、又は通信ネットワークの種類の少なくともいずれかを示す単語の情報を、前記不正侵害の態様の情報とし、前記抽出した単語と、前記不正侵害の態様を示す単語との一致の数が所定数以上である場合に、前記文章が前記入力された分野における不正侵害の文章であると推定する、としてもよい。
【0085】
このように、不正侵害に係る侵害元、侵害方法、被侵害部品、又は通信ネットワークの種類の単語の情報を不正侵害の態様の情報とすることで、IoT装置7に対する、ユーザ分野に係る不正侵害のセキュリティ文章を確実に抽出することができる。
【0086】
また、本実施形態の不正侵害分析支援装置3は、前記関連度が前記所定の閾値を超えていた場合に、前記文章における前記入力された分野の各単語に、前記入力された分野以外の分野における不正侵害の態様を示す単語が含まれているか否かを判定し、前記各単語のいずれにも前記所定の単語が含まれていない場合にのみ、前記文章が前記入力された分野における不正侵害の文章であると推定する、としてもよい。
【0087】
このように、関連度が大きい場合にさらに、セキュリティ文章におけるユーザ分野の各単語に、ユーザ分野外の除外キーワードが含まれていない場合にのみ、セキュリティ文章がユーザ分野における不正侵害の文章であると推定することで、ユーザ分野外のセキュリティ文章を確実に除外することができる。
【符号の説明】
【0088】
10 不正侵害分析支援システム、6 入力装置、7 IoT装置、1 セキュリティ情報収集装置、2 セキュリティ識別情報付与装置、3 不正侵害分析支援装置、4 影響度分析装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】