知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-23
(45)【発行日】2024-10-31
(54)【発明の名称】セキュリティ管理システム、及びセキュリティ管理方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20241024BHJP
G06Q 10/06 20230101ALI20241024BHJP
【FI】
G06F21/55
G06Q10/06
【請求項の数】
9
(21)【出願番号】P 2021207853
(22)【出願日】2021-12-22
(65)【公開番号】P2023092689
(43)【公開日】2023-07-04
【審査請求日】2024-02-21
(73)【特許権者】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000176
【氏名又は名称】弁理士法人一色国際特許事務所
(72)【発明者】
【氏名】下田 睦
(72)【発明者】
【氏名】河内 尚
(72)【発明者】
【氏名】熊谷 洋子
(72)【発明者】
【氏名】仲小路 博史
【審査官】三森 雄介
(56)【参考文献】
【文献】特開2018-077597(JP,A)
【文献】国際公開第2020/137847(WO,A1)
【文献】特開2000-132767(JP,A)
【文献】車載システム向けリスク評価支援システム,電気学会研究会資料 The Papers of Technical Meeting on "Information Systems",IEE Japan,日本,一般社団法人電気学会,2017年05月29日,17~22
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/12-21/16
G06F 21/50-21/57
G06Q 10/00-10/30
(57)【特許請求の範囲】
【請求項1】
プロセッサ及びメモリを有する情報処理装置を用いて構成されるセキュリティ管理システムであって、情報処理システムを構成する資産の夫々に対する攻撃に関する情報と、前記攻撃に対する対策に関する情報とを含む、脅威/対策情報と、
セキュリティ対策の評価対象となる情報処理システムである評価対象システムの構成を特定する情報を含む評価対象モデルと、
前記評価対象モデルにおいて想定される脅威の攻撃経路を示す情報である攻撃経路情報と、
を記憶し、
前記攻撃経路における前記各資産における攻撃手順を示す情報を前記脅威/対策情報に基づき生成し、
生成した前記各資産における前記攻撃手順を示す情報に基づき、前記攻撃経路における攻撃手順を示す情報を一つ以上生成し、
生成した前記攻撃経路における攻撃手順を示す情報を論理的に接続することにより前記脅威を事象とするFT(Fault Tree)を生成し、
前記脅威/対策情報における前記攻撃に関する情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とを含み、
前記攻撃経路における攻撃手順を示す情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とに基づき生成され、
生成した前記攻撃経路における攻撃手順を示す情報を和(OR)の論理関係で接続し、
接続した前記攻撃手順を示す情報の夫々の下位に、夫々の前記攻撃の技術を示す情報を積(AND)の論理関係で接続することにより前記FT(Fault Tree)を生成する、
セキュリティ管理システム。
【請求項2】
請求項1に記載のセキュリティ管理システムであって、前記FT(Fault Tree)に基づき、前記攻撃が成立するための条件を前記攻撃の技術の組合せにより特定し、
特定した前記組合せを構成する前記攻撃の技術の夫々についての対策を前記脅威/対策情報から取得し、
取得した対策を示す情報を生成する、
セキュリティ管理システム。
【請求項3】
請求項2に記載のセキュリティ管理システムであって、前記脅威/対策情報は、前記対策に要するコストを示す情報を含み、
取得した対策を示す前記情報とともに前記対策に要するコストを示す情報を出力する、
セキュリティ管理システム。
【請求項4】
請求項3に記載のセキュリティ管理システムであって、前記コストの少ない前記対策を優先して出力する、
セキュリティ管理システム。
【請求項5】
請求項2に記載のセキュリティ管理システムであって、取得した対策を示す前記情報とともに前記脅威のリスクを示す情報を出力する、
セキュリティ管理システム。
【請求項6】
請求項1に記載のセキュリティ管理システムであって、前記評価対象モデルにおいて想定される脅威の攻撃経路は、前記評価対象モデルにおける攻撃の侵入口の資産と攻撃対象の資産を結ぶ経路について予め設定された制約条件を課すことにより抽出される経路である、
セキュリティ管理システム。
【請求項7】
請求項1に記載のセキュリティ管理システムであって、前記脅威/対策情報は、インターネットを介して通信可能に接続する外部サーバから取得した情報である、
セキュリティ管理システム。
【請求項8】
プロセッサ及びメモリを有する情報処理装置が、情報処理システムを構成する資産の夫々に対する攻撃に関する情報と、前記攻撃に対する対策に関する情報とを含む、脅威/対策情報と、
セキュリティ対策の評価対象となる情報処理システムである評価対象システムの構成を特定する情報を含む評価対象モデルと、
前記評価対象モデルにおいて想定される脅威の攻撃経路を示す情報である攻撃経路情報と、
を記憶するステップ、
前記攻撃経路における前記各資産における攻撃手順を示す情報を前記脅威/対策情報に基づき生成するステップ、
生成した前記各資産における前記攻撃手順を示す情報に基づき、前記攻撃経路における攻撃手順を示す情報を一つ以上生成するステップ、及び、
生成した前記攻撃経路における攻撃手順を示す情報を論理的に接続することにより前記脅威を事象とするFT(Fault Tree)を生成するステップ、
を実行し、
前記脅威/対策情報における前記攻撃に関する情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とを含み、
前記攻撃経路における攻撃手順を示す情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とに基づき生成され、
生成した前記攻撃経路における攻撃手順を示す情報を和(OR)の論理関係で接続するステップ、及び、
接続した前記攻撃手順を示す情報の夫々の下位に、夫々の前記攻撃の技術を示す情報を積(AND)の論理関係で接続することにより前記FT(Fault Tree)を生成するステップ、
を更に実行する、セキュリティ管理方法。
【請求項9】
請求項8に記載のセキュリティ管理方法であって、前記情報処理装置が、
前記FT(Fault Tree)に基づき、前記攻撃が成立するための条件を前記攻撃の技術の組合せにより特定するステップ、
特定した前記組合せを構成する前記攻撃の技術の夫々についての対策を前記脅威/対策情報から取得するステップ、及び、
取得した対策を示す情報を生成するステップ、
を更に実行する、セキュリティ管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ管理システム、及びセキュリティ管理方法に関する。
【背景技術】
【0002】
サイバー攻撃等の脅威に対する対策の立案を支援する仕組みとして、例えば、特許文献1には、脆弱性を低減するための対策やセキュリティテストを判断することを目的として構成されたリスク評価対策立案システムについて記載されている。リスク評価対策立案システムは、脆弱性分析部の分析結果に基づきシステムに対する脅威を分析して脅威分析結果を出力する脅威分析処理部、脅威分析結果と脆弱性情報に基づいて脆弱性の影響を低減する対策立案を立案する対策立案部、対策立案に基づいてセキュリティテストを立案するセキュリティテスト立案部、及びセキュリティテストに基づいて評価を行って評価結果を出力する評価演算部、評価結果を処理してセキュリティ対策を生成する結果処理部を有する。
【先行技術文献】
【特許文献】
【0003】
【文献】国際公開第2020/202934号
【発明の概要】
【発明が解決しようとする課題】
【0004】
近年、セキュリティ管理の対象となるシステムの構成が複雑化し、多様な脅威に対する適切な対策の選出や、対策に漏れがないことの確認に要する労力や時間の削減が課題となっている。また、コストを抑制しつつ対策を適切に実施するために、対策の立案に際しては脅威に対する対策の有効性や優先順位を判断する必要もある。
【0005】
本発明は、このような背景に鑑みてなされたものであり、多様な脅威に対する有効かつ適切な対策の立案にかかる作業を支援することが可能な、セキュリティ管理システム及びセキュリティ管理方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するための本発明のうちの一つは、プロセッサ及びメモリを有する情報処理装置を用いて構成されるセキュリティ管理システムであって、情報処理システムを構成する資産の夫々に対する攻撃に関する情報と、前記攻撃に対する対策に関する情報とを含む、脅威/対策情報と、セキュリティ対策の評価対象となる情報処理システムである評価対象システムの構成を特定する情報を含む評価対象モデルと、前記評価対象モデルにおいて想定される脅威の攻撃経路を示す情報である攻撃経路情報と、を記憶し、前記攻撃経路における前記各資産における攻撃手順を示す情報を前記脅威/対策情報に基づき生成し、生成した前記各資産における前記攻撃手順を示す情報に基づき、前記攻撃経路における攻撃手順を示す情報を一つ以上生成し、生成した前記攻撃経路における攻撃手順を示す情報を論理的に接続することにより前記脅威を事象とするFT(Fault Tree)を生成し、前記脅威/対策情報における前記攻撃に関する情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とを含み、前記攻撃経路における攻撃手順を示す情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とに基づき生成され、生成した前記攻撃経路における攻撃手順を示す情報を和(OR)の論理関係で接続し、接続した前記攻撃手順を示す情報の夫々の下位に、夫々の前記攻撃の技術を示す情報を積(AND)の論理関係で接続することにより前記FT(Fault Tree)を生成する。
【0007】
その他、本願が開示する課題、及びその解決方法は、発明を実施するための形態の欄、及び図面により明らかにされる。
【発明の効果】
【0008】
本発明によれば、多様な脅威に対する有効かつ適切な対策の立案にかかる作業を支援することができる。
【図面の簡単な説明】
【0009】
【図1】セキュリティ管理システムの一例を示す図である。
【図2】脅威分析手法の一例を説明する図である。
【図3】本実施形態の脅威分析手法を説明する図である。
【図4】セキュリティ設計支援装置の機能の一例を示す図である。
【図5】ユーザ端末の機能の一例を示す図である。
【図6】セキュリティ管理システムの構成に用いる情報処理装置の一例を示す図である。
【図7】対策立案処理を説明するフローチャートである。
【図8】評価対象情報の一例である。
【図9】評価対象モデルの一例である。
【図10】攻撃経路情報の一例である。
【図11】脅威一覧情報の一例である。
【図12A】FT生成分析処理の一例を説明するフローチャートである。
【図12B】FT生成分析処理の一例を説明するフローチャートである。
【図13】脅威/対策情報の一例である。
【図14A】順列組合せの一例である。
【図14B】評価対象モデルの一例である。
【図15】攻撃経路生成時制約条件の一例である。
【図16】攻撃手順(戦略レベル)の一例である。
【図17】攻撃手順(技術レベル)の一例である。
【図18】FTの一例である。
【図19】FT分析結果の一例である。
【図20】対策立案結果の一例である。
【図21】対策立案結果提示画面の一例である。
【発明を実施するための形態】
【0010】
以下、図面を参照しつつ本発明の実施形態について説明する。以下の記載及び図面は、本発明を説明するための例示であり、説明の明確化のため、適宜、省略及び簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。とくに限定しない限り、各構成要素は単数でも複数でも構わない。
【0011】
以下の説明において、識別情報について説明する際に、「識別子」、「名」、「ID」、「番号」等の表現を用いるが、これらについてはお互いに置換することが可能である。また、以下の説明において、「テーブル」、「情報」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。また、データ構造に依存しないことを示すために「XXテーブル」等を「XX情報」と称することがある。
【0012】
以下の説明において、「通信ネットワーク」のことを「通信NW」と表記することがある。また、以下の説明において、「通信インタフェース」のことを「通信IF」と表記することがある。また、以下の説明において、同一の又は類似する構成について重複した説明を省略することがある。また、以下の説明において、符号の前に付した「S」の文字は処理ステップの意味である。
【0013】
図1に、一実施形態として説明する情報処理システム(以下、「セキュリティ管理システム1」と称する。)の概略的な構成を示している。同図に示すように、セキュリティ管理システム1は、セキュリティ設計支援装置(以下、「支援装置100」と称する。)と、支援装置100を利用するユーザが操作する一つ以上のユーザ端末200とを含む。
【0014】
支援装置100は、ユーザ端末200と第1通信NW51を介して通信可能に接続されている。また、支援装置100は、分野別のセキュリティ知識(以下、「分野別セキュリティ知識」と称する。)を提供する外部サーバ300と第2通信NW52を介して通信可能に接続されている。
【0015】
第1通信NW51と第2通信NW52とは、有線方式又は無線方式の通信ネットワークであり、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、イン
ターネット、各種公衆無線通信網、専用線等である。第1通信NW51と第2通信NW52は、互いに接続されていてもよいし共通でもよい。
ターネット、各種公衆無線通信網、専用線等である。第1通信NW51と第2通信NW52は、互いに接続されていてもよいし共通でもよい。
【0016】
支援装置100は、例えば、SOCサービス(SOC:Security Operation Center)を提供する事業者等によって管理される情報処理装置であり、セキュリティ関連情報を利用して脅威や脅威に対する対策等の情報を生成し、生成した情報をユーザ端末200を介してユーザに提供する。
【0017】
ユーザ端末200は、支援装置100から提供される上記情報を利用するユーザが利用する情報処理装置である。ユーザは、例えば、セキュリティ管理の対象となる情報処理システムについて想定される脅威の特定(脅威の洗出し)や脅威に対する対策の立案を行う分析者である。また、ユーザは、例えば、顧客の情報処理システムについてセキュリティ管理のためのコンサルティング業務を行うセキュリティアドバイザである。
【0018】
外部サーバ300は、支援装置100にセキュリティ関連情報を第2通信NW52を介して提供する情報処理装置である。外部サーバ300は、例えば、攻撃者が情報処理システムにおいて標的とする目的に至る戦略(Tactics)、技術(Techniques)、及び手順(Procedures)をマトリックスとして整理/体系化した情報や、攻撃者が行う可能性のある
具体的な攻撃手法に対応づけられた対策(緩和策、検出方法)に関するフレームワーク等の情報(以下、「脅威/対策情報」と称する。))を支援装置100に提供する。外部サーバ300が提供する脅威/対策情報の例として、「MITRE(登録商標)」社が提供する
「ATT&CK for Enterprise」(登録商標)、「Lockheed Martin(登録商標)」社(登録商標)が開発した「Cyber Kill Chain」(登録商標)等のインターネットを介して提供される情報がある。本実施形態では、外部サーバ300が提供する脅威/対策情報が「MITRE
(登録商標)」社が提供する「ATT&CK for Enterprise」(登録商標)である場合を例と
して説明する。
具体的な攻撃手法に対応づけられた対策(緩和策、検出方法)に関するフレームワーク等の情報(以下、「脅威/対策情報」と称する。))を支援装置100に提供する。外部サーバ300が提供する脅威/対策情報の例として、「MITRE(登録商標)」社が提供する
「ATT&CK for Enterprise」(登録商標)、「Lockheed Martin(登録商標)」社(登録商標)が開発した「Cyber Kill Chain」(登録商標)等のインターネットを介して提供される情報がある。本実施形態では、外部サーバ300が提供する脅威/対策情報が「MITRE
(登録商標)」社が提供する「ATT&CK for Enterprise」(登録商標)である場合を例と
して説明する。
【0019】
図2は、セキュリティ管理の対象となる情報処理システム(以下、「評価対象システム」と称する。)についての脅威の分析(以下、「脅威分析」と称する。)に際して分析者が行う手法(以下、「脅威分析手法S20」と称する。)の一例を説明する図である。脅威分析手法S20は、評価対象システムにおける脅威の特定やリスクアセスメント、対策の立案等の工程を含む。
【0020】
同図に示すように、まず、分析者は、評価対象システム(TOE:Target of Evaluation)の定義を行う。具体的には、分析者は、評価対象システムをモデル化した情報(データ)である評価対象モデルを作成する(S21)。
【0021】
続いて、分析者は、5W法等を用いて評価対象モデルについて想定される脅威を特定し(S22)、特定した各脅威についてリスクアセスメントを行うことにより各脅威のリスク値を求める(S23)。分析者は、例えば、共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)を用いてリスク値を求める。
【0022】
続いて、分析者は、対策の立案対象とする脅威を選出する(S24)。分析者は、例えば、リスク値の高い脅威から順に所定数の脅威を立案対象として選出する。
【0023】
続いて、分析者は、評価対象システムが属する分野(ドメイン)の専門家の知識(以下、「ドメイン知識」と称する。)に基づき、S24で選出した脅威に対する対策をベストプラクティス方式で立案する(S25)。
【0024】
尚、以上に示した脅威分析手法S20における作業や処理は、例えば、手作業の他、適宜各種の支援ツール(アプリケーションソフトウェア等)を用いて行われる。
【0025】
ところで、以上の処理を行うためには、対策を立案するためのルールの作成や立案に必要な情報の準備や管理が必要である。また、ベストプライティス方式による方法では、脅威と対策との関係を必ずしも明確に把握することができないため、個々の脅威に対する対策の選出や対策に漏れがないことの確認に多大な労力と時間が必要である。また、脅威に対する対策の有効性や優先順位の判断が難しく、必要以上に対策が講じられてしまう可能性もある。
【0026】
そこで本実施形態のセキュリティ管理システム1は、図2のS24で選出した脅威に対して具体的にどのような手順や条件によって脅威(攻撃)が発生し得るのかをFT分析(FT:Fault Tree)の手法を用いて論理的に解析することにより対策を立案する。また、外部サーバ300から提供される脅威/対策情報(TTPs(Tactics Techniques and Procedures)等)を用いることにより、最新の情報に基づく適切かつ有効な対策の立案を可能とし
、対策の立案に必要な情報の収集/管理のための負荷軽減を図る。
、対策の立案に必要な情報の収集/管理のための負荷軽減を図る。
【0027】
図3に本実施形態のセキュリティ管理システム1による脅威分析の手法(以下、「脅威分析手法S30」と称する。)の概要を示している。尚、同図において、S31~S34の手順については、図2の脅威分析手法S20のS21~S24の手順と同様であるので説明を省略する。
【0028】
S34において対策の立案対象とする脅威を選出すると、支援装置100は、選出された脅威について、脅威/対策情報から取得される当該脅威を引き起こす具体的な方法(戦略(Tactics)や技術(Techniques))を事象として展開(論理的に接続)することによ
りFTを生成する(S35)。
りFTを生成する(S35)。
【0029】
より具体的には、支援装置100は、例えば、選出した脅威を親事象とし、脅威/対策情報から取得される、当該脅威を引き起こす具体的な手順(脅威/対策情報の戦略(Tactics)や技術(Techniques)から特定される手法)を子事象として展開することによりF
Tを生成する。尚、上記の展開に際し、支援装置100は、例えば、全ての子事象が成立しなければ親事象が成り立たない場合は各手法を積(AND)の論理関係で結合し、いずれかの子事象が成立すれば親事象が成り立つ場合は各方法を和(OR)の論理関係で結合することによりFTを生成する。
Tを生成する。尚、上記の展開に際し、支援装置100は、例えば、全ての子事象が成立しなければ親事象が成り立たない場合は各手法を積(AND)の論理関係で結合し、いずれかの子事象が成立すれば親事象が成り立つ場合は各方法を和(OR)の論理関係で結合することによりFTを生成する。
【0030】
続いて、支援装置100は、例えば、ユーザ端末200を介して分析者等のユーザと対話処理を行いつつ、選出した脅威について、生成したFTを用いて対策を立案する(S36)。
【0031】
このように、本実施形態では、対策の立案にFT分析の結果を用いるため、分析者等のユーザは、脅威と対策との対応を容易かつ正確にとることができる。例えば、一つの脅威に対して複数の対策が存在する場合、ユーザは脅威と対策の論理的な関係から、いずれかの対策を実施することで足りるのか、全ての対策を実施する必要があるのかといったこと
を容易に判断することできる。そのため、ユーザは、有効な対策を必要十分な範囲で効率よく立案することができる。
を容易に判断することできる。そのため、ユーザは、有効な対策を必要十分な範囲で効率よく立案することができる。
【0032】
また、外部サーバ300から提供される脅威/対策情報は随時更新されるため、ユーザは最新の情報に基づき適切な対策を立案することができる。また、提供される脅威/対策情報が対応する分野は、エンタープライズ、モバイル、産業用制御システム(ICS:Industrial Control System)、自動車、ヘルスケア等、広範に亘るため、分野(ドメイン)毎の専門家を動員することなく、多様な評価対象システムに柔軟に対応して個々のシステムに必要な対策を立案することができる。
【0033】
また、本実施形態では脅威/対策情報(シナリオフレームワーク等)を活用するので、ユーザは一貫したセキュリティ管理(脅威分析、リスクアセスメント、脆弱性分析、脆弱性管理、対策立案等)を行うことができる。
【0034】
続いて、セキュリティ管理システム1の構成について具体的に説明する。
【0035】
図4に、支援装置100が備える主な機能を示す。同図に示すように、支援装置100は、記憶部110、情報取得管理部130、評価対象モデル生成部132、脅威一覧生成部134、リスク評価部136、脅威選出部138、FT生成分析部140、及び対策立案部150の各機能を備える。
【0036】
上記機能のうち、記憶部110は、評価対象情報111、評価対象モデル112、攻撃経路情報113、脅威一覧情報114、脅威/対策情報115、攻撃経路生成時制約条件116、戦略/技術一覧117、攻撃手順(戦略レベル)118、攻撃手順(技術レベル)119、FT120、FT分析結果121、及び対策立案結果122を記憶する。これらの情報の詳細については後述する。
【0037】
情報取得管理部130は、ユーザ端末200から評価対象システムに関する情報を取得し、取得した情報を評価対象情報111として管理する。また、情報取得管理部130は、外部サーバ300から脅威と脅威に対する対策が記載された情報である脅威/対策情報を随時取得し、取得した脅威/対策情報を脅威/対策情報115として管理する。
【0038】
評価対象モデル生成部132は、評価対象情報111に基づき評価対象モデルを生成し、生成した評価対象モデルを評価対象モデル112として管理する。
【0039】
脅威一覧生成部134は、評価対象モデル112について想定される脅威を脅威/対策情報115から抽出し、抽出した脅威に関する情報を脅威一覧情報114に管理する。
【0040】
リスク評価部136は、脅威一覧情報114の各脅威のリスク値を求め(リスクアセスメント)、求めたリスク値を脅威一覧情報114に反映する。尚、リスク評価部136は、例えば、前述した共通脆弱性評価システムを用いてリスク値を求める。
【0041】
FT生成分析部140は、評価対象モデル112についてFTを生成する。同図に示すように、FT生成分析部140は、攻撃経路特定部141、攻撃手順(戦略レベル)生成部142、攻撃手順(技術レベル)生成部143、FT生成部144、及びFT分析部145を有する。
【0042】
攻撃経路特定部141は、評価対象モデル112における脅威一覧情報114の各脅威の攻撃経路を特定し、特定した攻撃経路を示す情報を攻撃経路情報113として管理する。尚、攻撃経路情報113は、例えば、STIX(Structured Threat Information eXpressio
n)等のサイバー攻撃活動を記述するための仕様に従って記述される。
n)等のサイバー攻撃活動を記述するための仕様に従って記述される。
【0043】
攻撃手順(戦略レベル)生成部142は、攻撃経路特定部141が特定した攻撃経路について、脅威/対策情報115に基づき攻撃手順を示す情報を戦略(Tactics)レベルで
生成し、生成した情報を攻撃手順(戦略レベル)118として管理する。
生成し、生成した情報を攻撃手順(戦略レベル)118として管理する。
【0044】
攻撃手順(技術レベル)生成部143は、攻撃手順(戦略レベル)生成部142が生成した攻撃手順(戦略レベル)118の各攻撃手順について、更に脅威/対策情報115に基づき技術(Techniques)レベルで攻撃手順を生成し、生成した情報を攻撃手順(技術レベル)119として管理する。
【0045】
FT生成部144は、攻撃手順(技術レベル)119に基づきFTを生成し、生成したFTをFT120として管理する。
【0046】
FT分析部145は、FT120の内容を分析し、分析結果をFT分析結果121として管理する。FT分析結果121は、例えば、脅威(攻撃)が成立する条件(以下、「攻撃成立条件」と称する。)や脅威(攻撃)が成立しない条件(以下、「攻撃不成立条件」と称する。)を示す情報を含む。
【0047】
対策立案部150は、FT120に基づき評価対象モデル112の各脅威(脅威/対策情報115の各脅威)について対策を立案し、立案した結果を出力する。例えば、対策立案部150は、FT120やFT分析結果121の内容と、脅威/対策情報115において戦略や技術に対応づけられている対策から取得される対策の内容とをユーザ(分析者や分析者の顧客等)に提示しつつ、脅威に対する対策の立案を行う。対策立案部150は、立案の結果を対策立案結果122として管理する。また、対策立案部150は、対策立案結果122に基づく情報をユーザ端末200を介してユーザ(分析者や分析者の顧客等)に提示する。
【0048】
図5は、ユーザ端末200が備える主な機能を説明するブロック図である。同図に示すように、ユーザ端末200は、記憶部210、対話処理部220、評価対象情報受付部230、評価対象情報送信部235、対策立案結果受信部240、及び対策立案結果出力部245の各機能を備える。
【0049】
上記機能のうち、記憶部210は、評価対象情報111及び対策立案結果122を記憶する。
【0050】
対話処理部220は、ユーザから情報の入力を受け付ける機能や、ユーザに情報を提示する機能を提供する。
【0051】
評価対象情報受付部230は、対話処理部220を介して評価対象情報111を受け付ける。評価対象情報送信部235は、評価対象情報受付部230が受け付けた評価対象情報111を第1通信NW51を介して支援装置100に送信する。
【0052】
対策立案結果受信部240は、第1通信NW51を介して支援装置100から対策立案結果122を受信する。対策立案結果出力部245は、対話処理部220を介して対策立案結果122をユーザに提示する。
【0053】
図6は、支援装置100やユーザ端末200の実現に用いる情報処理装置(コンピュータ)のハードウェア構成の一例である。
【0054】
例示する情報処理装置10は、プロセッサ11、主記憶装置12(メモリ)、補助記憶装置13(外部記憶装置)、入力装置14、出力装置15、及び通信装置16を備える。これらはバスや通信ケーブル等を介して通信可能に接続されている。情報処理装置10の例として、パーソナルコンピュータ、サーバ装置、スマートフォン、タブレット、オフィスコンピュータ、汎用機(メインフレーム)等がある。
【0055】
情報処理装置10は、その全部又は一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、情報処理装置10によって提供される機能の全部又は一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現してもよい。また
、情報処理装置10によって提供される機能の全部又は一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure
as a Service)等を利用して実現されるものであってもよい。
、情報処理装置10によって提供される機能の全部又は一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure
as a Service)等を利用して実現されるものであってもよい。
【0056】
プロセッサ11は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field Programmable
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
【0057】
主記憶装置12は、プロセッサ11がプログラムを実行する際に利用する装置であり、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。支援装置100やユーザ端末200において実現される各種の機能は、夫々のプロセッサ11が、補助記憶装置13に格納(記憶)されているプログラムやデータを主記憶装置12に読み出して実行することにより実現される。
【0058】
補助記憶装置13は、プログラムやデータを記憶する装置であり、例えば、SSD(Solid State Drive)、ハードディスクドライブ、光学式記憶装置(CD(Compact Disc)
、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等で構成することができる。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等で構成することができる。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
【0059】
入力装置14は、外部からの情報の入力を受け付けるインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、ペン入力方式のタブレット、音声入力装置等である。
【0060】
出力装置15は、処理経過や処理結果等の各種情報を外部に出力するインタフェースである。出力装置15は、例えば、上記の各種情報を可視化する表示装置(液晶モニタ、LCD(Liquid Crystal Display)、グラフィックカード等)、上記の各種情報を音声化する装置(音声出力装置(スピーカ等))、上記の各種情報を文字化する装置(印字装置等)である。尚、例えば、情報処理装置10が通信装置16を介して他の装置との間で情報の入力や出力を行う構成としてもよい。
【0061】
入力装置14と出力装置15は、ユーザとの間での対話処理(情報の受け付け、情報の提供等)を実現するユーザインタフェースを構成する。
【0062】
通信装置16は、他の装置との間の通信を実現する装置である。通信装置16は、通信ネットワークを介して他の装置との間の通信を実現する、有線方式又は無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、無線通信モジュール、USBモジュール等である。
【0063】
尚、情報処理装置10には、例えば、オペレーティングシステム、ファイルシステム、DBMS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。
【0064】
【0065】
情報取得管理部130は、第1通信NW51を介してユーザ端末200から評価対象システムに関する情報を取得し、取得した情報を評価対象情報111として管理する。また、情報取得管理部130は、第2通信NW52を介して外部サーバ300と通信することにより最新の脅威/対策情報を取得し脅威/対策情報115を更新する(S711)。
【0066】
評価対象モデル生成部132は、評価対象情報111に基づき評価対象モデル112を生成する(S712)。
【0067】
図8は、評価対象情報111の一例である。同図には評価対象システムが車載ネットワークシステムである場合における評価対象情報111の例を示している。評価対象情報111には、評価対象システムを構成する資産に関する情報が管理される。資産は、評価対象システムの構成要素(物理的な構成要素やソフトウェア的な構成要素)を所定の基準で分解した単位である。
【0068】
同図に示すように、評価対象情報800は、ノードID1111、資産1112、資産要件1113、及びリンクID1114の各項目を有する複数のレコードで構成される。上記項目のうち、ノードID1111には、評価対象システムを構成する資産毎に付与される識別子であるノードIDが格納される。資産1112には、資産の名称(資産の内容や資産が提供する機能を示す情報)が格納される。資産要件1113には、当該資産について要求される安全性を示す情報(SIL(Safety Integrity Level)規格における安全度水準等)が格納される。リンクID1114には、当該資産とリンクしている(通信する)他の資産のノードIDが格納される。
【0069】
尚、評価対象情報111は、評価対象モデル112の生成に用いるため情報や脅威に対する対策の立案に用いる他の様々な情報を更に含んでいてもよい。
【0070】
図9は、評価対象モデル112の一例を示す模式図である。評価対象モデル112は、評価対象情報111に基づき生成される。評価対象モデル112は、評価対象システムを構成する資産の間に存在する、攻撃経路となり得る通信(有線通信、無線通信)の経路を示す情報を含む。評価対象モデル112は、例えば、DFD(Data Flow Diagram)を用
いて表される。
いて表される。
【0071】
図7に戻り、続いて、脅威一覧生成部134は、評価対象モデル112と攻撃経路情報113とに基づき脅威一覧情報114を生成する(S713)。尚、攻撃経路情報113の内容は、例えば、外部サーバ300から提供される脅威/対策情報115に基づき生成される。また、攻撃経路情報113の内容は、例えば、ユーザ端末200を介してユーザが設定してもよい。
【0072】
図10は、攻撃経路情報113の一例である。攻撃経路情報113には、評価対象モデル112において想定される攻撃経路の一覧が管理される。同図に示すように、攻撃経路情報113は、ToノードID1131、Toノード名1132、FromノードID/Fromノード名1133、及び攻撃経路1134の各項目からなる複数のレコードで構成される。攻撃経路情報113の一つのレコードは一つの攻撃経路に対応している。
【0073】
上記項目のうち、ToノードID1131には、攻撃の対象となる資産のノードIDが格納される。Toノード名1132には、当該資産の名称(資産の内容や機能を示す情報)が格納される。FromノードID/Fromノード名1133には、当該資産を対象とした攻撃の侵入口となる資産(例えば、5W法における「Where」で特定されるノード)のノードIDと名称が格納される。攻撃経路1134には、当該資産に対する侵入口からの攻撃経路を示す情報が格納される。
【0074】
図11は、脅威一覧情報114の一例である。同図に示すように、脅威一覧情報114は、脅威ID1141、資産1142、FromノードID1143、ToノードID1144、脅威事象1145、及びリスク値1146の各項目を有する複数のレコードで構成される。脅威一覧情報114の一つのレコードは一つの脅威に対応している。
【0075】
上記項目のうち、脅威ID1141には、脅威の識別子である脅威IDが格納される。資産1142には、当該脅威の対象となる資産の名称(資産の内容や機能を示す情報)が格納される。FromノードID1143には、当該資産に対する攻撃を行う資産のノードIDが格納される。ToノードID1144には、攻撃の対象となる資産(もしくは機能)のノードIDが格納される。脅威事象1145には、当該脅威の内容を示す情報が格納される。リスク値1146には、当該脅威のリスク値が格納される。
【0076】
図7に戻り、続いて、脅威一覧生成部134は、生成した脅威一覧情報114における各脅威のリスク値を求め、求めたリスク値を脅威一覧情報114に反映する(S714)。
【0077】
続いて、脅威選出部138が、脅威一覧情報114から対策の立案対象とする脅威を選出する(S715)。脅威選出部138は、例えば、リスク値の高いものから所定数の脅威を立案対象として選出する。
【0078】
続いて、FT生成分析部140が、立案対象として選出した脅威について、FTを生成し分析する処理(以下、この処理のことを「FT生成分析処理S716」と称する。)を行う(S716)。
【0079】
図12Aは、FT生成分析処理S716の詳細を説明するフローチャートである。以下、同図とともにFT生成分析処理S716について説明する。
【0080】
まず、攻撃経路特定部が、脅威選出部138が選出した脅威について、FROMノードからTOノードまでの攻撃経路を攻撃経路情報113に基づき特定する(S1211)。
【0081】
続いて、攻撃手順(戦略レベル)生成部142が、攻撃経路特定部141が特定した攻撃経路について、脅威/対策情報115に基づき、当該攻撃経路を構成する各ノード内(各資産内)の攻撃手順(攻撃手順の順序付きの組合せ(以下、「順列組合せ」と称する。)を生成する(S1212)。
【0082】
図13に、脅威/対策情報115の一例を示す。同図に示すように、例示する脅威/対
策情報115は、攻撃手法ID1151、攻撃手法(戦略)1152、及び、攻撃手法(技術)1153と対策/コスト1154の一つ以上の組合せを有する、複数のレコードで構成される。
策情報115は、攻撃手法ID1151、攻撃手法(戦略)1152、及び、攻撃手法(技術)1153と対策/コスト1154の一つ以上の組合せを有する、複数のレコードで構成される。
【0083】
上記項目のうち、攻撃手法ID1151には、攻撃手法毎に付与される識別子である攻撃手法IDが格納される。攻撃手法(戦略)1152には、戦略に関する攻撃手法を示す情報が格納される。攻撃手法(技術)1153には、技術に関する攻撃手法を示す情報が格納される。対策/コスト1154には、当該攻撃手法に対する対策を示す情報とコストを示す情報とが格納される。
【0084】
図14Aに、S1212で攻撃手順(戦略レベル)生成部142が生成する順列組合せの一例(以下、「順列組合せ1400」と称する。)を示す。尚、同図は評価対象モデル112が図14Bに示す構成である場合の順列組合せの一例である。同図に示すように、例示する順列組合せ1400は、ノード1401、戦略レベル順列組合せID1402、技術レベル順列組合せID1403、戦略(1)1404、戦略(2)1405、技術(1)1406、技術(2)1407の各項目を有する複数のレコードで構成される。順列組合せ1400の一つのレコードは一つの順列組合せに対応している。
【0085】
同図において、ノード1401には、ノードの識別子であるノードIDが、戦略レベル順列組合せID1402には、戦略レベルの順列組合せの識別子である戦略レベル順列組合せIDが、技術レベル順列組合せID1403には、技術レベルの順列組合せの識別子である技術レベル順列組合せIDが、戦略(1)1404及び戦略(2)1405には、戦略の内容が、技術(1)1406及び技術(2)1407には技術の内容が、夫々格納される。
【0086】
図12Aに戻り、続いて、攻撃手順(戦略レベル)生成部142が、順列組合せ1400に基づき、S1211で特定した攻撃経路における攻撃手順を戦略(Tactics)レベル
で生成し、生成した攻撃手順を攻撃手順(戦略レベル)118として管理する(S1213)。尚、攻撃手順(戦略レベル)生成部142は、攻撃経路生成時制約条件116に規定される制約条件を満たすように攻撃手順を生成する。
で生成し、生成した攻撃手順を攻撃手順(戦略レベル)118として管理する(S1213)。尚、攻撃手順(戦略レベル)生成部142は、攻撃経路生成時制約条件116に規定される制約条件を満たすように攻撃手順を生成する。
【0087】
図15に、攻撃経路生成時制約条件116の一例を示す。同図に示すように、攻撃経路生成時制約条件116は、制約条件ID1161、ノード条件1162、及び制約条件1163の各項目を有する一つ以上のレコードで構成される。攻撃経路生成時制約条件116の一つのレコードは一つの制約条件に対応している。
【0088】
上記項目のうち、制約条件ID1161には、制約条件毎に付与される識別子である制約条件IDが格納される。ノード条件1162には、当該制約条件の適用対象となるノードを特定する情報が格納される。制約条件1163には、制約条件の内容を示す情報が格納される。
【0089】
図16に、攻撃手順(戦略レベル)118の一例を示す。攻撃手順(戦略レベル)118は、S1212で生成した順列組合せから、攻撃経路生成時制約条件116の制約条件を満たす戦略レベルの順列組合せを抽出した結果を攻撃経路のノード順に並べた内容を含む。
【0090】
同図に示すように、攻撃手順(戦略レベル)118は、戦略レベル攻撃経路ID1181、攻撃経路1182、第1ノード:戦略レベル順列組合せID1183、第2ノード:戦略レベル順列組合せID1184、第3ノード:戦略レベル順列組合せID1185の各項目を有する一つ以上のレコードで構成される。攻撃手順(戦略レベル)118の一つ
のレコードは一つの攻撃手順に対応している。
のレコードは一つの攻撃手順に対応している。
【0091】
上記項目のうち、戦略レベル攻撃経路ID1181には、戦略レベルの攻撃経路毎に付与される識別子である戦略レベル攻撃経路IDが格納される。攻撃経路1182には、攻撃経路を示す情報が格納される。第1ノード:戦略レベル順列組合せID1183、第2ノード:戦略レベル順列組合せID1184、及び第3ノード:戦略レベル順列組合せID1185には、攻撃経路を構成するノード間の戦略レベル順列組合せIDの組合せが格納される。
【0092】
図12Aに戻り、続いて、攻撃手順(技術レベル)生成部143が、S1212で生成した順列組合せ1400とS1213で生成した攻撃手順(戦略レベル)118とに基づき、S1211で特定した攻撃経路における攻撃手順を技術(Techniques)レベルで生成し、生成した攻撃手順を攻撃手順(技術レベル)119として管理する(S1214)。
【0093】
図17に、攻撃手順(技術レベル)119の一例を示す。攻撃手順(技術レベル)119は、S1213で生成した攻撃手順(戦略レベル)118について、S1212で生成した順列組合せ1400から取得される技術レベルの順列組合せを抽出した結果を攻撃経路のノード順に並べた内容を含む。
【0094】
同図に示すように、攻撃手順(技術レベル)119は、技術レベル攻撃経路ID1191、攻撃経路1192、第1ノード:技術レベル順列組合せID1193、第2ノード:技術レベル順列組合せID1194、第3ノード:技術レベル順列組合せID1195の各項目を有する一つ以上のレコードで構成される。攻撃手順(技術レベル)119の一つのレコードは一つの攻撃手順に対応している。
【0095】
上記項目のうち、技術レベル攻撃経路ID1191には、技術レベルの攻撃経路毎に付与される識別子である技術レベル攻撃経路IDが格納される。攻撃経路1192には、攻撃経路を示す情報が格納される。第1ノード:技術レベル順列組合せID1193、第2ノード:技術レベル順列組合せID1194、及び第3ノード:技術レベル順列組合せID1195には、攻撃経路を構成するノード間の技術レベル順列組合せIDの組合せが格納される。
【0096】
尚、図12Aに示したS1212~S1214の処理は、例えば、図12Bに示すS1222~S1224に示すようにしてもよい。図12Bの例では、図12AのS1213のように攻撃手順(戦略レベル)118を生成してから攻撃手順(技術レベル)119を生成するのではなく、S1211で特定した攻撃経路のノード内での攻撃手順を脅威/対策情報に基づき技術レベルで生成し(S1223)、生成した攻撃手順を用いて攻撃手順(技術レベル)119を生成している(S1224)。
【0097】
図12Aに戻り、続いて、FT生成部144が、S1214で生成した攻撃手順(技術レベル)119に基づきFTを生成し、生成したFTをFT120として管理する(S1215)。具体的には、FT生成部144は、評価対象システムにおける攻撃の侵入口から最終的な攻撃対象の資産(以下、「攻撃対象資産」と称する。)までの複数の攻撃手順を和(OR)の論理関係で接続し、更に、和の論理関係で接続した各攻撃手順について、夫々の要素(攻撃対象資産への攻撃の技術(Technique))を積(AND)の論理関係で
接続することによりFTを生成する。
接続することによりFTを生成する。
【0098】
図18にFT120の一例を示す。この例では、選出した脅威1811に、侵入口から攻撃対象資産までの複数の攻撃手順1822(「技術レベル攻撃手順1」~「技術レベル攻撃手順15」)を和(OR)の論理関係1820で接続している。また、和(OR)の
論理関係1820で接続した各攻撃手順1813について、夫々の要素1814(攻撃対象資産への攻撃の技術1815)を積(AND)の論理関係1830で接続している。尚、例えば、支援装置100が、ユーザ端末200を介してFT120の内容をユーザに随時提示するようにしてもよい。
論理関係1820で接続した各攻撃手順1813について、夫々の要素1814(攻撃対象資産への攻撃の技術1815)を積(AND)の論理関係1830で接続している。尚、例えば、支援装置100が、ユーザ端末200を介してFT120の内容をユーザに随時提示するようにしてもよい。
【0099】
図12Aに戻り、続いて、FT分析部145が、FT120の内容を分析し、分析結果をFT分析結果121として管理する(S1216)。例えば、FT分析部145は、
脅威(攻撃)が成立する条件(攻撃成立条件)や、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121を生成し、ユーザ端末200を介してユーザに提示する。
脅威(攻撃)が成立する条件(攻撃成立条件)や、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121を生成し、ユーザ端末200を介してユーザに提示する。
【0100】
図19に、攻撃成立条件を含むFT分析結果121の一例を示す。同図に示すように、例示するFT分析結果121は、攻撃成立条件ID1211、攻撃対象資産1212、及び攻撃技術レベル1213の各項目を有する一つ以上のレコードで構成される。例示するFT分析結果121の一つのレコードは一つの攻撃成立条件に対応している。
【0101】
上記項目のうち、攻撃成立条件ID1211には、攻撃成立条件毎の識別子である攻撃成立条件IDが格納される。攻撃対象資産1212には、攻撃対象資産を示す情報が格納される。攻撃技術レベル1213には、当該攻撃成立条件を成立させる攻撃の技術レベルの組合せが格納される。
【0102】
生成されたFT120について、和(OR)と積(AND)を入れ替えることで、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121を生成することができる。例えば、攻撃成立条件が「(α-1 AND B-2 AND A-3)OR(α-1 AND
B-2 AND A-3')」で表される場合、和(OR)と積(AND)を入れ替えた「(α-1 OR B-2 OR A-3)AND(α-1 OR B-2 OR A-3')」は攻撃不成立条件を表す。
B-2 AND A-3')」で表される場合、和(OR)と積(AND)を入れ替えた「(α-1 OR B-2 OR A-3)AND(α-1 OR B-2 OR A-3')」は攻撃不成立条件を表す。
【0103】
分析者等のユーザは、FT分析結果121を参照することで、攻撃の技術レベルのどのような組合せが攻撃対象資産に対する攻撃を成立させるのかを容易に把握することができる。
【0104】
図7に戻り、続いて、対策立案部150が、FT分析結果121を用いて脅威に対する対策を立案し、立案した結果を対策立案結果122として管理するとともに、対策立案結果122の内容をユーザに提示する(S717)。
【0105】
対策立案部150は、例えば、脅威(攻撃)が成立する条件(攻撃成立条件)や、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121をユーザ端末200を介してユーザに提示しつつ、ユーザとの対話処理により脅威に対する対策を立案する。例えば、攻撃不成立条件が「(α-1 OR B-2 OR A-3)AND(α-1 OR B-2 OR A-3')」で表される場合、対策立案部150は、脅威に対する対策として、例えば、「α-1への対策」、「B-2への対策」、「A-3への対策 AND α-1への対策」、「A-3への対
策 AND B-2への対策」、「A-3への対策 AND A-3'への対策」、「A-3'への対策 AND α-1への対策」、「A-3'への対策 AND B-2への対策」を導出する。
策 AND B-2への対策」、「A-3への対策 AND A-3'への対策」、「A-3'への対策 AND α-1への対策」、「A-3'への対策 AND B-2への対策」を導出する。
【0106】
図20に、対策立案結果122の一例を示す。例示する対策立案結果122は、ノードID1221、対策ID1222、コスト(費用)1223、及びコスト(時間)1224の各項目を有する一つ以上のレコードで構成される。
【0107】
上記項目のうちノードID1221には、攻撃経路を構成するノードの識別子であるノードIDが格納される。対策ID1222には、対策毎に付与される識別子である対策I
Dが格納される。コスト(費用)1223には、当該対策を講ずることにより生じる金銭的なコストを示す情報が格納される。コスト(時間)1224には、当該対策を講ずることにより生じる時間的なコストを示す情報が格納される。尚、対策立案部150は、コスト(費用)1223、及びコスト(時間)1224の内容を、例えば、脅威/対策情報115から取得する。
Dが格納される。コスト(費用)1223には、当該対策を講ずることにより生じる金銭的なコストを示す情報が格納される。コスト(時間)1224には、当該対策を講ずることにより生じる時間的なコストを示す情報が格納される。尚、対策立案部150は、コスト(費用)1223、及びコスト(時間)1224の内容を、例えば、脅威/対策情報115から取得する。
【0108】
図21は、対策立案部150がユーザに対策立案結果122の内容を提示する際にユーザ端末200に表示される画面(以下、「対策立案結果提示画面2100」と称する。)の一例である。例示する対策立案結果提示画面2100は、攻撃成立条件ID2111、攻撃対象資産2112、対策2113、最小コスト(費用)2114、最小コスト(時間)2115、及び最大脅威リスク2116の各表示欄を有する。
【0109】
攻撃成立条件ID2111には、攻撃成立条件毎の識別子である攻撃成立条件IDが表示される。攻撃対象資産2112には、攻撃対象資産を示す情報が表示される。対策2113には、当該資産について立案された対策を示す情報が表示される。最小コスト(費用)2114には、対策2113に表示されている対策のうち金銭的なコストが最小になる対策のコスト(費用)が表示される。最小コスト(時間)2115には、対策2113に表示されている対策のうち時間的なコストが最小となる対策のコスト(時間)が表示される。最大脅威リスク2116には、図3のS715で選出された脅威のリスク値が表示される。
【0110】
ユーザは、対策立案結果提示画面2100を参照することで、どのような攻撃に対してどのような対策もしくは対策の組合せが有効であるのか、どのような対策もしくは対策の組合せがコスト的に有利であるか、どのような脅威がリスクの高い脅威であるか、といったことを容易に把握することができる。
【0111】
以上、本実施形態のセキュリティ管理システム1について説明したが、同システムによれば、分析者等のユーザは、FT分析結果121に基づき脅威(攻撃)と対策の関係を容易に把握することができる。また、セキュリティ管理システム1は、攻撃成立条件に対応する対策の一つ以上の組合せを生成するので、ユーザは提示された複数の対策の組合せから、コストを考慮しつつ、適切な対策立案を効率よく選出することができる。このように、本実施形態のセキュリティ管理システム1によれば、脅威に対する有効かつ適切な対策の立案を支援することができる。
【0112】
以上、実施形態について説明したが、本発明は上記の実施形態に限定されるものではなく、様々な変形例が含まれ、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることや、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加、削除、置換をすることが可能である。
【符号の説明】
【0113】
1 セキュリティ管理システム、51 第1通信NW、52 第2通信NW、100 支援装置、110 記憶部、111 評価対象情報、112 評価対象モデル、113 攻撃経路情報、114 脅威一覧情報、115 脅威/対策情報、116 攻撃経路生成時制約条件、117 戦略/技術一覧、118 攻撃手順(戦略レベル)、119 攻撃手順(技術レベル)、120 FT、121 FT分析結果、122 対策立案結果、130 情報取得管理部、132 評価対象モデル生成部、134 脅威一覧生成部、138
脅威選出部、140 FT生成分析部、141 攻撃経路特定部、142 攻撃手順(戦略レベル)生成部、143 攻撃手順(技術レベル)生成部、144 FT生成部、145 FT分析部、150 対策立案部、200 ユーザ端末、210 記憶部、220
対話処理部、230 評価対象情報受付部、235 評価対象情報送信部、240 対策立案結果受信部、245 対策立案結果出力部、300 外部サーバ、S700 対策立案処理、S716 FT生成分析処理、2100 対策立案結果提示画面
脅威選出部、140 FT生成分析部、141 攻撃経路特定部、142 攻撃手順(戦略レベル)生成部、143 攻撃手順(技術レベル)生成部、144 FT生成部、145 FT分析部、150 対策立案部、200 ユーザ端末、210 記憶部、220
対話処理部、230 評価対象情報受付部、235 評価対象情報送信部、240 対策立案結果受信部、245 対策立案結果出力部、300 外部サーバ、S700 対策立案処理、S716 FT生成分析処理、2100 対策立案結果提示画面
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12A】
【図12B】
【図13】
【図14A】
【図14B】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】