知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-09
(45)【発行日】2024-12-17
(54)【発明の名称】共有システム、共有方法、対策装置及びプログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20241210BHJP
【FI】
G06F21/57 370
【請求項の数】
12
(21)【出願番号】P 2023559200
(86)(22)【出願日】2021-11-09
(86)【国際出願番号】 JP2021041078
(87)【国際公開番号】W WO2023084563
(87)【国際公開日】2023-05-19
【審査請求日】2024-05-07
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】中島 一彰
(72)【発明者】
【氏名】古山 衣緒
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2018-045327(JP,A)
【文献】特開2017-167695(JP,A)
【文献】特開2017-162243(JP,A)
【文献】特開2016-200991(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/50-57
(57)【特許請求の範囲】
【請求項1】
対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける対策受付手段と、受け付けた前記対策情報を前記対象装置に通知する対策通知手段と、
前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける効果受付手段と、
所定の効果情報提供対象に前記効果を表す効果情報を提供する効果情報提供手段と、
を備える共有システム。
【請求項2】
前記効果情報提供手段は、前記効果情報の要求を受け取り、前記効果情報の要求の送信元が前記効果情報提供対象に含まれない場合、前記効果情報を提供しない請求項1に記載の共有システム。
【請求項3】
前記効果情報提供手段は、当該効果情報が効果を表す前記対策の前記対策情報の参照先を示す対策参照先情報を含む前記効果情報を提供し、前記対策参照先情報によって示される前記対策情報の要求を受け取る対策要求受取手段と、
前記対策情報の要求の送信元が所定の対策情報提供対象に含まれる場合、前記対策情報の要求の送信元に前記対策情報を提供する対策情報提供手段と、
を備える請求項1又は2に記載の共有システム。
【請求項4】
前記対策情報は、当該対策情報が秘匿される期間を表す対策秘匿期間を含み、前記対策情報提供手段は、前記対策情報の要求を受け取った時期が当該対策情報の前記対策秘匿期間に含まれる場合、前記対策情報の要求の送信元に、前記対策情報を提供しない、
請求項3に記載の共有システム。
【請求項5】
前記効果情報提供手段は、当該効果情報が示す効果が生じた前記異常状態を示す前記ログ情報の参照先を示すログ参照先情報を含む前記効果情報を提供し、前記ログ参照先情報によって示される前記ログ情報の要求を受け取るログ要求受取手段と、
前記ログ情報の要求の送信元が所定のログ情報提供対象に含まれる場合、前記ログ情報の要求の送信元に前記ログ情報を提供するログ情報提供手段と、
を備える請求項1乃至4のいずれか1項に記載の共有システム。
【請求項6】
前記ログ情報は、当該ログ情報が秘匿される期間を表すログ秘匿期間を含み、前記ログ情報提供手段は、前記ログ情報の要求を受け取った時期が当該ログ情報の前記ログ秘匿期間に含まれる場合、前記ログ情報の要求の送信元に、前記ログ情報を提供しない、
請求項5に記載の共有システム。
【請求項7】
前記対象装置から前記ログ情報を受け付けるログ受付手段と、前記ログ情報を前記対策装置に通知するログ通知手段と、
を備える請求項1乃至6のいずれか1項に記載の共有システム。
【請求項8】
対象装置から出力されたセキュリティの状態を示すログ情報を受け付けるログ受付手段と、前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成する対策生成手段と、
前記対策情報を提供する対策提供手段と、
前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定する効果判定手段と、
前記効果を表す効果情報を出力する効果送出手段と、
を備える対策装置。
【請求項9】
前記効果判定手段は、前記対策後ログ情報が前記異常状態を示さなくなった場合、前記対策の効果として、前記対策が有効であったと判定する請求項8に記載の対策装置。
【請求項10】
前記効果判定手段は、前記対策情報が提供されて位から所定時間が経過した後に前記対策後ログ情報が前記異常状態を示している場合、前記対策の効果として、前記対策が有効でなかったと判定し、前記対策生成手段は、前記対策が有効ではなかったと判定された場合、前記異常状態への他の対策を表す対策情報を生成し、
前記対策提供手段は、前記異常状態への他の対策を表す前記対策情報を提供する
請求項8又は9に記載の対策装置。
【請求項11】
コンピュータが、
対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付け、
受け付けた前記対策情報を前記対象装置に通知し、
前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付け、
所定の効果情報提供対象に前記効果を表す効果情報を提供する、
共有方法。
【請求項12】
対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける対策受付処理と、受け付けた前記対策情報を前記対象装置に通知する対策通知処理と、
前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける効果受付処理と、
所定の効果情報提供対象に前記効果を表す効果情報を提供する効果情報提供処理と、
をコンピュータに実行させるプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、情報を共有する技術に関する。
【背景技術】
【0002】
セキュリティに関する情報の共有に係る技術が、以下の文献によって開示されている。
【0003】
特許文献1には、セキュリティ対策を検索するための抽出条件を受け取り、受け取った抽出条件と相関があるセキュリティ対策情報をセキュリティ対策データベースから抽出するセキュリティ対策検索装置が記載されている。このセキュリティ対策検索装置は、抽出されたセキュリティ対策情報を優先順位順に表示する。また、セキュリティ対策検索装置は、セキュリティ対策の有用性情報を受け取り、受け取った有用性情報をセキュリティ対策データベースに反映させる。
【0004】
特許文献2には、入力された目標の効果指標値である目標指標値と、実施されているセキュリティ対策の効果指標値である実施指標値とを算出し、目標指標値と実施指標値とを対比した対比情報を評価結果として出力するセキュリティ評価装置が記載されている。
【0005】
特許文献3には、複数の自律型システムへの攻撃情報を分析することによって、類似する攻撃を受けている自律型システムを特定し、特定した自律型システムが有するセキュリティ情報の差分を特定する情報セキュリティシステムが記載されている。この情報セキュリティシステムは、特定した自律型システムのうち第1の自律型システムが有し第2の自律型システムが有さないセキュリティ情報の差分に基づく通知情報を、情報共有装置に送信する。情報共有装置は、通知情報を第2の自律型システムに送信する。第2の自律型システムは、通知情報に基づき攻撃に対するセキュリティ対策を実施する。
【0006】
特許文献4には、脅威項目の攻撃経路に含まれるコンポーネントとセキュリティ対策の対象部位とに基づいて、それぞれの脅威項目に対して導入し得るセキュリティ対策を列挙するセキュリティ対策立案支援システムが記載されている。このシステムは、セキュリティ対策の対象ポイントとセキュリティ対策の効果の度合いを示す効果値との関係から、列挙されたセキュリティ対策のそれぞれについて、セキュリティ対策を導入した場合にリスクが軽減される脅威項目の効果値の合計を、そのセキュリティ対策のシステムリスク低減効果として算出する。
【先行技術文献】
【特許文献】
【0007】
【文献】特開2005-259014号公報
【文献】特開2013-025429号公報
【文献】特開2017-162243号公報
【文献】特開2018-077597号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
特許文献1の技術によると、セキュリティ情報の有用性を知ることができる。特許文献2の技術によると、実施されているセキュリティ対策の効果と目標との比較を指標値によって行うことができる。特許文献3の技術によると、同じ攻撃を受けている複数の自律型システムのセキュリティ対策を均一化できる。特許文献4の技術によると、セキュリティ対策によるリスクの低減の効果を比較することができる。しかし、特許文献1乃至4の技術では、セキュリティに係る情報の、公開の迅速性と公開の範囲の調整の容易性とを向上させることはできない。
【0009】
本開示の目的の一例は、セキュリティに係る情報の、公開の迅速性と公開の範囲の調整の容易性とを向上できる共有システムなどを提供することである。
【課題を解決するための手段】
【0010】
本開示の一態様に係る共有システムは、対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける対策受付手段と、受け付けた前記対策情報を前記対象装置に通知する対策通知手段と、前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける効果受付手段と、所定の効果情報提供対象に前記効果を表す効果情報を提供する効果情報提供手段と、を備える。
【0011】
本開示の一態様に係る共有方法は、対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付け、受け付けた前記対策情報を前記対象装置に通知し、前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付け、所定の効果情報提供対象に前記効果を表す効果情報を提供する。
【0012】
本開示の一態様に係る記憶媒体は、対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける対策受付処理と、受け付けた前記対策情報を前記対象装置に通知する対策通知処理と、前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける効果受付処理と、所定の効果情報提供対象に前記効果を表す効果情報を提供する効果情報提供処理と、をコンピュータに実行させるプログラムを記憶する。
【0013】
本開示の一態様に係る対策装置は、対象装置から出力されたセキュリティの状態を示すログ情報を受け付けるログ受付手段と、前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成する対策生成手段と、前記対策情報を提供する対策提供手段と、前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定する効果判定手段と、前記効果を表す効果情報を出力する効果出力手段と、を備える。
【0014】
本開示の一態様に係る分析方法は、対象装置から出力されたセキュリティの状態を示すログ情報を受け付け、前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成し、前記対策情報を提供し、前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定し、前記効果を表す効果情報を出力する。
【0015】
本開示の一態様に係る記憶媒体は、対象装置から出力されたセキュリティの状態を示すログ情報を受け付けるログ受付処理と、前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成する対策生成処理と、前記対策情報を提供する対策提供処理と、前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定する効果判定処理と、前記効果を表す効果情報を出力する効果出力処理と、をコンピュータに実行させる。
【発明の効果】
【0016】
本開示には、セキュリティに係る情報の、公開の迅速性と公開の範囲の調整の容易性とを向上できるという効果がある。
【図面の簡単な説明】
【0017】
【発明を実施するための形態】
【0018】
以下では、本開示の実施形態について、図面を使用しながら詳細に説明する。
【0019】
<第1の実施形態>
まず、本開示の第1の実施形態について、図面を使用しながら詳細に説明する。
まず、本開示の第1の実施形態について、図面を使用しながら詳細に説明する。
【0020】
<構成>
図1は、本開示の第1の実施形態に係る共有システムの構成の例を表すブロック図である。図1に示す例では、本実施形態の共有システム10は、対策受付部121と、対策通知部122と、効果受付部131と、効果情報提供部133と、を備える。対策受付部121は、対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける。対策通知部122は、受け付けた前記対策情報を前記対象装置に通知する。効果受付部131は、前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける。効果情報提供部133は、所定の効果情報提供対象に前記効果を表す効果情報を提供する。
図1は、本開示の第1の実施形態に係る共有システムの構成の例を表すブロック図である。図1に示す例では、本実施形態の共有システム10は、対策受付部121と、対策通知部122と、効果受付部131と、効果情報提供部133と、を備える。対策受付部121は、対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける。対策通知部122は、受け付けた前記対策情報を前記対象装置に通知する。効果受付部131は、前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける。効果情報提供部133は、所定の効果情報提供対象に前記効果を表す効果情報を提供する。
【0021】
上述の対象装置は、例えば、ルータ、スイッチなどのネットワーク装置である。ログ情報は、例えば、セキュリティに関するアラートを含む情報であってよい。本開示の説明において、ログ情報は、ログオブジェクトとも表記される。セキュリティに関するアラートは、対象情報が受けている攻撃に関する情報を示していてよい。攻撃に関する情報は、攻撃によって生じる、対象装置の異常な動作又は異常な状態を示す情報(すなわち、異常状態)を表す情報であってよい。対策情報は、対象装置が解釈可能な、セキュリティに関する対策を表す情報であってよい。言い換えると、対策情報が通知された対象装置は、対策情報を受け取り、対策情報が示す対策を実行する。対策装置は、ログ情報が示す異常状態に対する対策を表す対策情報を、既存の様々な方法のいずれかによって生成する。本開示の説明において、対策情報は、対策オブジェクトとも表記される。効果情報は、対策情報によって生じた、対象装置の状態の変化を表す情報である。効果情報は、例えば、効果情報が対象装置に通知される前のログ情報に対する、効果情報が対象装置に通知された後のログ情報の変化を表していてよい。本開示の説明では、効果情報は、効果オブジェクトとも表記される。効果情報提供対象は、あらかじめ定められた、対象者のリスト(例えば電子メールアドレスのリスト)に含まれる対象者(電子メールアドレス)であってよい。効果情報提供対象は、例えば、あらかじめ定められた装置のリストに含まれる装置であってもよい。
【0022】
<動作>
図2は、本開示の第1の実施形態に係る共有システムの動作の例を表すフローチャートである。図2に示す例では、まず、対策受付部121が、ログ情報他示す異常状態に対する対策を表す対策情報を、対策装置から受け付ける(ステップS10)。次に、対策通知部122が、受け付けた対策情報を対象装置に通知する(ステップS11)。効果受付部131は、対策装置から、対策情報が通知された後のログ情報から判定された、異常状態に対する対策の効果を受け取る(ステップS12)。効果情報提供部133は、効果を表す効果情報を、効果情報提供対象に提供する(ステップS13)。
図2は、本開示の第1の実施形態に係る共有システムの動作の例を表すフローチャートである。図2に示す例では、まず、対策受付部121が、ログ情報他示す異常状態に対する対策を表す対策情報を、対策装置から受け付ける(ステップS10)。次に、対策通知部122が、受け付けた対策情報を対象装置に通知する(ステップS11)。効果受付部131は、対策装置から、対策情報が通知された後のログ情報から判定された、異常状態に対する対策の効果を受け取る(ステップS12)。効果情報提供部133は、効果を表す効果情報を、効果情報提供対象に提供する(ステップS13)。
【0023】
<効果>
本開示には、セキュリティに係る情報の、公開の迅速性と公開の範囲の調整の容易性とを向上できるという効果がある。その理由は、効果情報提供部133が、効果受付部131によって対策装置から受け付けられた、対象装置の異常状態に対する対策の効果を表す効果情報を、所定の効果情報提供対象に提供するからである。所定の効果情報提供先は、上述の、あらかじめ定められている対象者のリストに含まれる対象者、又は、あらかじめ定められている装置のリストに含まれる装置などである。この所定の効果情報提供先を適宜定めることによって、公開の範囲を容易に調整できる。
本開示には、セキュリティに係る情報の、公開の迅速性と公開の範囲の調整の容易性とを向上できるという効果がある。その理由は、効果情報提供部133が、効果受付部131によって対策装置から受け付けられた、対象装置の異常状態に対する対策の効果を表す効果情報を、所定の効果情報提供対象に提供するからである。所定の効果情報提供先は、上述の、あらかじめ定められている対象者のリストに含まれる対象者、又は、あらかじめ定められている装置のリストに含まれる装置などである。この所定の効果情報提供先を適宜定めることによって、公開の範囲を容易に調整できる。
【0024】
<第2の実施形態>
次に、本開示の第2の実施形態に係る共有システムについて、図面を使用しながら詳細に説明する。
次に、本開示の第2の実施形態に係る共有システムについて、図面を使用しながら詳細に説明する。
【0025】
<構成>
図3は、本開示の第2の実施形態に係る共有システムの構成の例を表すブロック図である。図3に示す例では、本実施形態に係る共有システム100は、ログ受付部111と、ログ通知部112と、ログ記憶部113と、ログ情報提供部114とを含む。また、本実施形態に係る共有システム100は、対策受付部121と、対策通知部122と、対策記憶部123と、対策情報提供部124とを含む。さらに、本実施形態に係る共有システム100は、効果受付部131と、効果記憶部132と、効果情報提供部133とを含む。共有システム100は、対象装置200、対策装置300、通知先装置400の各々と、通信可能に接続されている。
図3は、本開示の第2の実施形態に係る共有システムの構成の例を表すブロック図である。図3に示す例では、本実施形態に係る共有システム100は、ログ受付部111と、ログ通知部112と、ログ記憶部113と、ログ情報提供部114とを含む。また、本実施形態に係る共有システム100は、対策受付部121と、対策通知部122と、対策記憶部123と、対策情報提供部124とを含む。さらに、本実施形態に係る共有システム100は、効果受付部131と、効果記憶部132と、効果情報提供部133とを含む。共有システム100は、対象装置200、対策装置300、通知先装置400の各々と、通信可能に接続されている。
【0026】
<対象装置200>
対象装置200は、第1の実施形態の対象装置と同じ機能を備え、第1の実施形態の対象装置の動作と同様の動作を行う。本実施形態の対象装置200は、対象装置200が出力するログ情報に、そのログ情報が秘匿される期間(以下、ログ秘匿期間とも表記)を表すログ秘匿期間情報を付加する。本実施形態の対象装置200は、例えば、ログ秘匿期間情報を含むログ情報を出力する。対象装置200が、例えばあらかじめ定められたログ秘匿期間を決定するためのルールに従って、ログ秘匿期間を設定してよい。ログ秘匿期間は、ログ秘匿期間が終了する日時によって表されていてよい。この場合、ログ秘匿期間情報は、ログ秘匿期間が終了する日時を表す情報である。
対象装置200は、第1の実施形態の対象装置と同じ機能を備え、第1の実施形態の対象装置の動作と同様の動作を行う。本実施形態の対象装置200は、対象装置200が出力するログ情報に、そのログ情報が秘匿される期間(以下、ログ秘匿期間とも表記)を表すログ秘匿期間情報を付加する。本実施形態の対象装置200は、例えば、ログ秘匿期間情報を含むログ情報を出力する。対象装置200が、例えばあらかじめ定められたログ秘匿期間を決定するためのルールに従って、ログ秘匿期間を設定してよい。ログ秘匿期間は、ログ秘匿期間が終了する日時によって表されていてよい。この場合、ログ秘匿期間情報は、ログ秘匿期間が終了する日時を表す情報である。
【0027】
<対策装置300>
対策装置300は、第1の実施形態の対策装置と同じ機能を備え、第1の実施形態の対策装置の動作と同様の動作を行う。以下では、主に、第1の実施形態の対策装置に対する、本実施形態の対策装置300の差異を説明する。
対策装置300は、第1の実施形態の対策装置と同じ機能を備え、第1の実施形態の対策装置の動作と同様の動作を行う。以下では、主に、第1の実施形態の対策装置に対する、本実施形態の対策装置300の差異を説明する。
【0028】
本実施形態の対策装置300は、対策装置300が出力する対策情報に、その対策情報が秘匿される期間(以下、対策秘匿期間とも表記)を表す対策秘匿期間情報を付加する。本実施形態の対策装置300は、例えば、対策秘匿期間情報を含む対策情報を出力する。対策装置300が、例えばあらかじめ定められた対策秘匿期間を決定するためのルールに従って、対策秘匿期間を設定してよい。対策秘匿期間は、対策秘匿期間が終了する日時によって表されていてよい。この場合、対策秘匿期間情報は、対策秘匿期間が終了する日時であってよい。
【0029】
また、対策装置300は、受け取ったログ情報が表す異常状態への対策を表す対策情報に、識別子(以下、対策情報識別子と表記)を付与する。対策装置300は、受け取ったログ情報のログ情報識別子と、そのログ情報が表す異常状態への対策を表す対策情報の対策情報識別子とを、その対策情報に付加する。言い換えると、対策装置300は、受け取ったログ情報が表す異常状態への対策を表し、そのログ情報のログ情報識別子と、対策情報識別子と、を含む、対策情報を生成する。そして、対策装置300は、生成した対策情報を、対策受付部121に送信する。
【0030】
また、対策装置300は、受け取ったログ情報が表す異常状態に対する対策を示す対策情報を送信した後の、ログ情報を受け取る。受け取ったログ情報が表す異常状態に対する対策を示す対策情報を送信した後に受け取ったログ情報を、対策後ログ情報と表記する。対策装置300は、対策が生成された異常状態の、その対策を示す対策情報を送信した後に受け取った対策後ログ情報が示す状態における、軽減の程度を判定する。
【0031】
判定された軽減の程度が第1の基準(以下、有効基準と表記)を満たさない場合、対策装置300は、生成した対策情報が示す対策が有効ではなかったと判定する。この場合、対策装置300は、有効ではなかったと判定された対策を示す対策情報を、無効対策情報に加えてもよい。無効対策情報は、ログ情報が示す異常状態に対して有効ではなかったと判定された対策を示す対策情報を表す。無効対策情報は、例えば、異常状態を示すログ情報のログ情報識別子と、その異常状態に対して有効ではなかったと判定された対策情報の対策情報識別子との組み合わせによって表されていてよい。そして、対策装置300は、ログ情報が示す異常状態への他の対策を表す対策情報を生成し、生成した対策情報を、対策受付部121に送信する。
【0032】
判定された軽減の程度が第1の基準(すなわち、有効基準)を満たす場合、対策装置300は、直前に送信した対策情報が示す対策が有効であると判定する。対策装置300は、有効であると判定された対策を示す対策情報を、有効対策情報に加える。有効対策情報は、ログ情報が表す異常状態に対して有効であると判定された対策を示す対策情報を表す。有効対策情報は、例えば、異常状態を示すログ情報のログ情報識別子と、その異常状態に対して有効であると判定された対策情報の対策情報識別子との組み合わせによって表されていてよい。有効対策情報は、異常状態を示すログ情報のログ情報識別子と、その異常状態に対して有効であると判定された対策情報の対策情報識別子と、その対策情報による異常状態の軽減の程度と、の組み合わせによって表されていてもよい。
【0033】
また、判定された軽減の程度が第2の基準(以下、異常解消基準と表記)を満たさない場合、対策装置300は、対策後ログ情報も異常状態を示している、すなわち、異常状態が解消されていないと判定する。この場合、対策装置300は、対策後ログ情報によって示される異常状態に対する対策を示す対策情報を生成し、生成した対策情報を対策受付部121に送信する。この場合に生成される対策情報は、対策後ログ情報のログ情報識別子をさらに含んでいてよい。
【0034】
このように、対策装置300は、異常状態を示すログ情報を受け取った場合、対策後ログ情報を使用して判定された軽減の程度が異常解消基準を満たすまで、異常状態に対する対策を示す対策情報の生成及び送信と、異常状態の軽減の程度の判定とを繰り返す。
【0035】
判定された軽減の程度が異常解消基準を満たす場合、対策装置300は、有効対策情報と、軽減の程度を表す情報(以下、効果情報と表記)と、を、効果受付部131に送出する。対策装置300は、効果情報が秘匿される期間を表す効果秘匿期間を例えば予め定められた、効果秘匿期間を設定するルールによって設定し、効果秘匿期間を表す効果秘匿期間情報を含む効果情報を生成してもよい。効果秘匿期間は、効果秘匿期間が終了する日時によって表されていてもよい。この場合、効果秘匿期間情報は、効果秘匿期間が終了する日時を表す情報である。
【0036】
<通知先装置400>
通知先装置400は、第1の実施形態の効果情報提供対象に対応する。例えば、効果情報提供対象が装置である場合、通知先装置400は、効果情報提供対象である。効果情報提供対象が電子メールアドレスによって表されている場合、通知先装置400は、効果情報提供対象である電子メールアドレスに宛てた電子メールを受信する装置である。
通知先装置400は、第1の実施形態の効果情報提供対象に対応する。例えば、効果情報提供対象が装置である場合、通知先装置400は、効果情報提供対象である。効果情報提供対象が電子メールアドレスによって表されている場合、通知先装置400は、効果情報提供対象である電子メールアドレスに宛てた電子メールを受信する装置である。
【0037】
<ログ受付部111>
ログ受付部111は、対象装置200から、対象装置200のセキュリティの状態を表すログ情報を受け付ける。本実施形態のログ情報は、第1の実施形態のログ情報と同じ情報を含む。本実施形態では、ログ情報が秘匿される期間を表すログ秘匿期間情報が、対象装置200から送出されるログ情報に付加されている。ログ情報が、ログ秘匿期間情報を含んでいてもよい。ログ受付部111は、受け付けたログ情報に、識別子(以下、ログ情報識別子と表記)を付加してよい。ログ秘匿期間情報は、対象装置200によって定められる。ログ受付部111は、ログ情報を、ログ通知部112に送出する。また、ログ受付部111は、ログ情報を、ログ記憶部113に格納する。ログ受付部111は、受け付けたログ情報のログ情報識別子を、対策受付部121に送出してもよい。
ログ受付部111は、対象装置200から、対象装置200のセキュリティの状態を表すログ情報を受け付ける。本実施形態のログ情報は、第1の実施形態のログ情報と同じ情報を含む。本実施形態では、ログ情報が秘匿される期間を表すログ秘匿期間情報が、対象装置200から送出されるログ情報に付加されている。ログ情報が、ログ秘匿期間情報を含んでいてもよい。ログ受付部111は、受け付けたログ情報に、識別子(以下、ログ情報識別子と表記)を付加してよい。ログ秘匿期間情報は、対象装置200によって定められる。ログ受付部111は、ログ情報を、ログ通知部112に送出する。また、ログ受付部111は、ログ情報を、ログ記憶部113に格納する。ログ受付部111は、受け付けたログ情報のログ情報識別子を、対策受付部121に送出してもよい。
【0038】
<ログ通知部112>
ログ通知部112は、ログ受付部111からログ情報を受け取る。ログ通知部112は、受け取ったログ情報を、対策装置300に通知する。言い換えると、ログ通知部112は、受け取ったログ情報を、対策装置300に送信する。
ログ通知部112は、ログ受付部111からログ情報を受け取る。ログ通知部112は、受け取ったログ情報を、対策装置300に通知する。言い換えると、ログ通知部112は、受け取ったログ情報を、対策装置300に送信する。
【0039】
<ログ記憶部113>
ログ記憶部113によって格納されたログ情報を記憶する。
ログ記憶部113によって格納されたログ情報を記憶する。
【0040】
<対策受付部121>
対策受付部121は、対策装置300から、ログ情報が異常状態を示す場合の異常状態への対策を示す対策情報を受け付ける。対策受付部121は、受け付けた対策情報を、対策通知部122に送出する。また、対策受付部121は、受け付けた対策情報を、対策記憶部123に格納する。
対策受付部121は、対策装置300から、ログ情報が異常状態を示す場合の異常状態への対策を示す対策情報を受け付ける。対策受付部121は、受け付けた対策情報を、対策通知部122に送出する。また、対策受付部121は、受け付けた対策情報を、対策記憶部123に格納する。
【0041】
<対策通知部122>
対策通知部122は、対策受付部121から対策情報を受け取る。対策通知部122は、受け取った対策情報を、対象装置に通知する。言い換えると、対策通知部122は、受け取った対策情報を、対象装置に送信する。
対策通知部122は、対策受付部121から対策情報を受け取る。対策通知部122は、受け取った対策情報を、対象装置に通知する。言い換えると、対策通知部122は、受け取った対策情報を、対象装置に送信する。
【0042】
<対策記憶部123>
対策記憶部123は、対策受付部121によって格納された対策情報を記憶する。
対策記憶部123は、対策受付部121によって格納された対策情報を記憶する。
【0043】
<効果受付部131>
効果受付部131は、対策装置300から、ログ情報が表す異常状態に対する対策の効果を表す、上述の効果情報を受け付ける。
効果受付部131は、対策装置300から、ログ情報が表す異常状態に対する対策の効果を表す、上述の効果情報を受け付ける。
【0044】
上述のように、効果情報は、異常状態を示すログ情報のログ情報識別子と、その異常状態への対策を表す対策情報の対策情報識別子とを含む。効果受付部131は、ログ情報識別子から、そのログ情報識別子が示すログ情報の参照先を示すログ情報参照先情報を生成する。ログ情報識別子が示すログ情報の参照先は、そのログ情報識別子によって特定されるログ情報を読み出すための情報である。ログ情報の参照先は、そのログ情報を読み出すための、リクエスト、コマンド、又は、URI(Uniform Resource Identifier)等を表していてよい。ログ参照先情報が、ログ記憶部113におけるログ情報の格納先の情報を含む場合、効果受付部131は、ログ受付部111から、ログ情報の格納先の情報を取得してよい。効果受付部131は、効果情報識別子から、その効果情報識別子が示す効果情報の参照先を示す効果情報参照先情報を生成する。効果情報識別子が示す効果情報の参照先は、その効果情報識別子によって特定される効果情報を読み出すための情報である。効果情報の参照先は、その効果情報を読み出すための、リクエスト、コマンド、又は、URI等を表していてよい。効果参照先情報が、効果記憶部132における効果情報の格納先の情報を含む場合、効果受付部131は、対策受付部121から、効果情報の格納先の情報を取得してよい。
【0045】
効果受付部131は、受け付けた効果情報に、生成した、ログ情報参照先情報と効果情報参照先情報とを付加する。効果受付部131は、ログ情報参照先情報と効果情報参照先情報とが付加された効果情報を、効果記憶部132に格納する。効果受付部131は、例えば、ログ情報参照先情報と効果情報参照先情報とを含む効果情報を、効果記憶部132に格納してよい。
【0046】
<効果記憶部132>
効果記憶部132は、効果情報を記憶する。
効果記憶部132は、効果情報を記憶する。
【0047】
<効果情報提供部133>
効果情報提供部133は、効果記憶部132に格納されている効果情報を、所定の効果情報提供対象に提供する。効果記憶部132に格納されている効果情報が効果秘匿期間情報を含む場合、効果情報提供部133は、その情報秘匿期間情報が示す秘匿期間が過ぎた場合に、その効果情報を、所定の効果情報提供対象に提供してよい。
効果情報提供部133は、効果記憶部132に格納されている効果情報を、所定の効果情報提供対象に提供する。効果記憶部132に格納されている効果情報が効果秘匿期間情報を含む場合、効果情報提供部133は、その情報秘匿期間情報が示す秘匿期間が過ぎた場合に、その効果情報を、所定の効果情報提供対象に提供してよい。
【0048】
効果情報提供部133は、効果記憶部132に格納されている効果情報のうち、提供可能な効果情報のリストを、通知先装置400に送信してもよい。この場合の効果情報のリストは、例えば、効果情報の参照先を表す情報である効果参照先情報のリストであってもよい。効果情報の参照先は、その効果情報を読み出すための、リクエスト、コマンド、又は、URI(Uniform Resource Identifier)等を表していてよい。そして、効果情報提供部133は、通知先装置400から、例えば効果参照先情報を使用した効果情報の要求を受け取り、受け取った要求によって要求される効果情報を、通知先装置400に送信してもよい。
【0049】
<ログ情報提供部114>
ログ情報提供部114は、通知先装置400から、ログ情報参照先情報によって示されるログ情報の要求を受け取る。ログ情報の要求を受け取った日時が、ログ情報参照先情報によって示されるログ情報のログ情報秘匿期間内ではない場合、ログ情報提供部114は、ログ情報参照先情報によって示されるログ情報を、通知先装置400に提供する。言い換えると、ログ情報の要求を受け取った日時が、ログ情報参照先情報によって示されるログ情報のログ情報秘匿期間が終了する日時よりも後である場合、ログ情報提供部114は、ログ情報参照先情報によって示されるログ情報を、通知先装置400に提供する。ログ情報の要求を受け取った日時が、ログ情報参照先情報によって示されるログ情報のログ情報秘匿期間内である場合、ログ情報提供部114は、ログ情報参照先情報によって示されるログ情報を、通知先装置400に提供しない。言い換えると、ログ情報の要求を受け取った日時が、ログ情報参照先情報によって示されるログ情報のログ情報秘匿期間が終了する日時以前である場合、ログ情報提供部114は、ログ情報参照先情報によって示されるログ情報を、通知先装置400に提供しない。
ログ情報提供部114は、通知先装置400から、ログ情報参照先情報によって示されるログ情報の要求を受け取る。ログ情報の要求を受け取った日時が、ログ情報参照先情報によって示されるログ情報のログ情報秘匿期間内ではない場合、ログ情報提供部114は、ログ情報参照先情報によって示されるログ情報を、通知先装置400に提供する。言い換えると、ログ情報の要求を受け取った日時が、ログ情報参照先情報によって示されるログ情報のログ情報秘匿期間が終了する日時よりも後である場合、ログ情報提供部114は、ログ情報参照先情報によって示されるログ情報を、通知先装置400に提供する。ログ情報の要求を受け取った日時が、ログ情報参照先情報によって示されるログ情報のログ情報秘匿期間内である場合、ログ情報提供部114は、ログ情報参照先情報によって示されるログ情報を、通知先装置400に提供しない。言い換えると、ログ情報の要求を受け取った日時が、ログ情報参照先情報によって示されるログ情報のログ情報秘匿期間が終了する日時以前である場合、ログ情報提供部114は、ログ情報参照先情報によって示されるログ情報を、通知先装置400に提供しない。
【0050】
<対策情報提供部124>
対策情報提供部124は、通知先装置400から、対策情報参照先情報によって示される対策情報の要求を受け取る。対策情報の要求を受け取った日時が、対策情報参照先情報によって示される対策情報の対策情報秘匿期間内ではない場合、対策情報提供部124は、対策情報参照先情報によって示される対策情報を、通知先装置400に提供する。言い換えると、対策情報の要求を受け取った日時が、対策情報参照先情報によって示される対策情報の対策情報秘匿期間が終了する日時よりも後である場合、対策情報提供部124は、対策情報参照先情報によって示される対策情報を、通知先装置400に提供する。対策情報の要求を受け取った日時が、対策情報参照先情報によって示される対策情報の対策情報秘匿期間内である場合、対策情報提供部124は、対策情報参照先情報によって示される対策情報を、通知先装置400に提供しない。言い換えると、対策情報の要求を受け取った日時が、対策情報参照先情報によって示される対策情報の対策情報秘匿期間が終了する日時以前である場合、対策情報提供部124は、対策情報参照先情報によって示される対策情報を、通知先装置400に提供しない。
対策情報提供部124は、通知先装置400から、対策情報参照先情報によって示される対策情報の要求を受け取る。対策情報の要求を受け取った日時が、対策情報参照先情報によって示される対策情報の対策情報秘匿期間内ではない場合、対策情報提供部124は、対策情報参照先情報によって示される対策情報を、通知先装置400に提供する。言い換えると、対策情報の要求を受け取った日時が、対策情報参照先情報によって示される対策情報の対策情報秘匿期間が終了する日時よりも後である場合、対策情報提供部124は、対策情報参照先情報によって示される対策情報を、通知先装置400に提供する。対策情報の要求を受け取った日時が、対策情報参照先情報によって示される対策情報の対策情報秘匿期間内である場合、対策情報提供部124は、対策情報参照先情報によって示される対策情報を、通知先装置400に提供しない。言い換えると、対策情報の要求を受け取った日時が、対策情報参照先情報によって示される対策情報の対策情報秘匿期間が終了する日時以前である場合、対策情報提供部124は、対策情報参照先情報によって示される対策情報を、通知先装置400に提供しない。
【0051】
<通知先装置400>
通知先装置400は、効果情報提供部133から、例えば提供可能な効果情報のリストを受け取り、受け取ったリストに含まれる効果情報の要求を、効果情報提供部133に送信してもよい。
通知先装置400は、効果情報提供部133から、例えば提供可能な効果情報のリストを受け取り、受け取ったリストに含まれる効果情報の要求を、効果情報提供部133に送信してもよい。
【0052】
通知先装置400は、効果情報提供部133から、効果情報を受け取り、受け取った効果情報を表示する。通知先装置400は、通知先装置400のユーザによる指示に従って、受け取った効果情報が含むログ情報参照先情報を使用して、共有システム100のログ情報提供部114に、ログ情報参照先情報によって示されるログ情報の要求を送信する。共有システム100のログ情報提供部114からログ情報を受け取った場合、通知先装置400は、受け取ったログ情報を表示する。通知先装置400は、通知先装置400のユーザによる指示に従って、受け取った効果情報が含む対策情報参照先情報を使用して、共有システム100の対策情報提供部124に、対策情報参照先情報によって示される対策情報の要求を送信する。共有システム100の対策情報提供部124から対策情報を受け取った場合、通知先装置400は、受け取った対策情報を表示する。
【0053】
<動作>
次に、本開示の第2の実施形態に係る共有システムの動作について、図面を使用しながら詳細に説明する。
次に、本開示の第2の実施形態に係る共有システムの動作について、図面を使用しながら詳細に説明する。
【0054】
図4は、本開示の第2の実施形態に係る共有システムの動作の例を表すフローチャートである。図4に示す動作は、ログ情報、対策情報及び効果情報を受け付ける動作である。図4に示す例では、まず、ログ受付部111が、対象装置200からログ情報を受け付ける(ステップS101)。次に、ログ通知部112が、対策装置300にログ情報を通知する(ステップS102)。次に、対策受付部121が、対策装置300から、対策情報を受け付ける(ステップS103)。対策通知部122は、対象装置200に対策情報を通知する(ステップ104)。そして、ログ受付部111は、対象装置200から対策後ログ情報を受け付ける(ステップS105)。ログ通知部112は、対策装置300に対策後ログ情報を通知する(ステップS106)。
【0055】
そして、共有システム100は、対策装置300から情報(対策情報又は効果情報)を受け付ける(ステップS107)。対策装置300は、受け取った対策後ログ情報を使用して、対策情報が表す対策によって、ログ情報が表す異常状態が解消されたか否かを判定する。対策装置300は、ログ情報が表す異常状態が、対策情報が表す対策によって解消されたと判定した場合、ログ情報が表す異常状態に対する、対策情報が表す対策の効果を表す効果情報を、効果受付部131に送信する。この場合、ステップS107において、効果受付部131が効果情報を受け付ける。対策装置300は、ログ情報が表す異常状態が、対策情報が表す対策によって解消されなかったと判定した場合、ログ情報が表す異常状態に対する、他の対策を表す対策情報を、対策受付部121に送信する。この場合、ステップS107において、対策受付部121が対策情報を受け付ける。
【0056】
対策受付部121が対策情報を受け付けた場合(ステップS108において「対策情報」)、共有システム100の動作は、ステップS104に戻る。効果受付部131が効果情報を受け付けた場合(ステップS108において「効果情報」)、共有システム100の動作は、ステップS109に進む。
【0057】
ステップS109において、効果受付部131は、ログ参照先情報と対策参照先情報とを、効果情報に付加する。そして、効果受付部131は、ログ参照先情報と対策参照先情報とが付加された効果情報(例えば、ログ参照先情報と対策参照先情報とを含む効果情報)を、効果記憶部132に格納する。そして、共有システム100は、図4に示す動作を終了する。
【0058】
図5は、本開示の第2の実施形態に係る共有システム100の動作の例を表すフローチャートである。図5は、効果情報、ログ情報又は効果情報を提供する動作を表す。共有システム100は、情報(すなわち、効果情報、ログ情報又は効果情報)の要求を受け付けた場合に図5に示す動作を開始する。
【0059】
図5に示す動作の例では、効果情報提供部133が効果情報の要求を受け付けた場合(ステップS111においてYES)、効果情報提供部133は、効果情報を提供する(ステップS112)。そして、共有システム100は、図5に示す動作を終了する。
【0060】
効果情報提供部133が効果情報の要求を受け付けていない場合(ステップS111においてNO)、共有システム100は、ステップS113からの動作を実行する。この場合、ログ情報提供部114がログ情報の要求を受け付けた場合(ステップS113においてYES)、ログ情報提供部114は、要求が受け付けられたログ情報のログ情報秘匿期間が特定する。そして、ログ情報提供部114は、ログ情報の要求を受け付けた日時がそのログ情報のログ情報秘匿期間内であるかを判定する。ログ情報を受け付けた日時がそのログ情報のログ情報秘匿期間内でない場合(ステップS114においてNO)、ログ情報提供部114は、通知先装置400にログ情報を提供する(ステップS115)。そして、共有システム100は、図5に示す動作を終了する。ログ情報を受け付けた日時がそのログ情報のログ情報秘匿期間内である場合(ステップS114においてYES)、共有システム100は、図5に示す動作を終了する。
【0061】
ステップS113において、ログ情報提供部114がログ情報の要求を受け付けていない場合(ステップS113においてNO)、共有システム100は、ステップS116以降の動作を行う。対策情報提供部124が、対策情報の要求を受け付けた場合(ステップS116においてYES)、対策情報提供部124は、要求が受け付けられた対策情報の対策情報秘匿期間が特定する。そして、対策情報提供部124は、対策情報の要求を受け付けた日時がその対策情報の対策情報秘匿期間内であるかを判定する。対策情報を受け付けた日時がその対策情報の対策情報秘匿期間内でない場合(ステップS117においてNO)、対策情報提供部124は、通知先装置400に対策情報を提供する(ステップS118)。そして、共有システム100は、図5に示す動作を終了する。対策情報を受け付けた日時がその対策情報の対策情報秘匿期間内である場合(ステップS117においてYES)、共有システム100は、図5に示す動作を終了する。
【0062】
ステップS116において、対策情報提供部124が、対策情報の要求を受け付けていない場合(ステップS116においてNO)、共有システム100は、図5に示す動作を終了する。
【0063】
<効果>
以上で説明した本実施形態には、第1の実施形態の効果と同じ効果がある。その理由は、第1の実施形態の効果が生じる理由と同じである。
以上で説明した本実施形態には、第1の実施形態の効果と同じ効果がある。その理由は、第1の実施形態の効果が生じる理由と同じである。
【0064】
<第3の実施形態>
次に、本開示の第3の実施形態について、図面を使用しながら詳細に説明する。
次に、本開示の第3の実施形態について、図面を使用しながら詳細に説明する。
【0065】
<構成>
図6は、本開示の第3の実施形態に係る対策装置の構成の例を表すブロック図である。図6に示す例では、本実施形態に係る対策装置300は、ログ受付部310と、対策生成部320と、対策提供部330と、効果判定部340と、効果出力部350と、を備える。ログ受付部310は、対象装置から出力されたセキュリティの状態を示すログ情報を受け付ける。対策生成部320は、前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成する。対策提供部330は、前記対策情報を提供する。効果判定部340は、前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定する。効果出力部350は、前記効果を表す効果情報を出力する。本実施形態の対策装置300は、第2の実施形態の対策装置300と同様の機能を備え、第2の実施形態の対策装置300の動作と同様の動作を行う。
図6は、本開示の第3の実施形態に係る対策装置の構成の例を表すブロック図である。図6に示す例では、本実施形態に係る対策装置300は、ログ受付部310と、対策生成部320と、対策提供部330と、効果判定部340と、効果出力部350と、を備える。ログ受付部310は、対象装置から出力されたセキュリティの状態を示すログ情報を受け付ける。対策生成部320は、前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成する。対策提供部330は、前記対策情報を提供する。効果判定部340は、前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定する。効果出力部350は、前記効果を表す効果情報を出力する。本実施形態の対策装置300は、第2の実施形態の対策装置300と同様の機能を備え、第2の実施形態の対策装置300の動作と同様の動作を行う。
【0066】
<補足>
本実施形態では、例えば対策提供部330が、対策提供部330が生成した対策情報に、その対策情報が秘匿される期間(以下、対策秘匿期間とも表記)を表す対策秘匿期間情報を付加する。対策提供部330は、例えば、対策秘匿期間情報を含む対策情報を出力する。対策提供部330は、が、例えばあらかじめ定められた対策秘匿期間を決定するためのルールに従って、対策秘匿期間を設定してよい。対策秘匿期間は、第2の実施形態の対策秘匿期間と同じである。
本実施形態では、例えば対策提供部330が、対策提供部330が生成した対策情報に、その対策情報が秘匿される期間(以下、対策秘匿期間とも表記)を表す対策秘匿期間情報を付加する。対策提供部330は、例えば、対策秘匿期間情報を含む対策情報を出力する。対策提供部330は、が、例えばあらかじめ定められた対策秘匿期間を決定するためのルールに従って、対策秘匿期間を設定してよい。対策秘匿期間は、第2の実施形態の対策秘匿期間と同じである。
【0067】
また、例えば対策生成部320が、ログ受付部310が受け取ったログ情報が表す異常状態への対策を表す対策情報に、識別子(以下、対策情報識別子と表記)を付与する。対策生成部320は、受け取ったログ情報のログ情報識別子と、そのログ情報が表す異常状態への対策を表す対策情報の対策情報識別子とを、その対策情報に付加する。言い換えると、対策生成部320は、受け取ったログ情報が表す異常状態への対策を表し、そのログ情報のログ情報識別子と、対策情報識別子と、を含む、対策情報を生成する。そして、対策提供部330が、生成したされた情報を、対策受付部121に送信する。
【0068】
また、ログ受付部310は、受け取ったログ情報が表す異常状態に対する対策を示す対策情報を送信した後の、ログ情報を受け取る。受け取ったログ情報が表す異常状態に対する対策を示す対策情報を送信した後に受け取ったログ情報を、対策後ログ情報と表記する。効果判定部340は、対策が生成された異常状態の、その対策を示す対策情報を送信した後に受け取った対策後ログ情報が示す状態における、軽減の程度を判定する。
【0069】
判定された軽減の程度が第1の基準(以下、有効基準と表記)を満たさない場合、効果判定部340は、生成した対策情報が示す対策が有効ではなかったと判定する。この場合、効果判定部340は、有効ではなかったと判定された対策を示す対策情報を、無効対策情報に加えてもよい。上述のように、無効対策情報は、ログ情報が示す異常状態に対して有効ではなかったと判定された対策を示す対策情報を表す。無効対策情報は、例えば、異常状態を示すログ情報のログ情報識別子と、その異常状態に対して有効ではなかったと判定された対策情報の対策情報識別子との組み合わせによって表されていてよい。そして、効果出力部350は、ログ情報が示す異常状態への他の対策を表す対策情報を生成し、生成した対策情報を、対策受付部121に送信する。
【0070】
判定された軽減の程度が第1の基準(すなわち、有効基準)を満たす場合、効果判定部340は、直前に送信した対策情報が示す対策が有効であると判定する。効果判定部340は、有効であると判定された対策を示す対策情報を、有効対策情報に加える。上述のように、有効対策情報は、ログ情報が表す異常状態に対して有効であると判定された対策を示す対策情報を表す。有効対策情報は、例えば、異常状態を示すログ情報のログ情報識別子と、その異常状態に対して有効であると判定された対策情報の対策情報識別子との組み合わせによって表されていてよい。有効対策情報は、異常状態を示すログ情報のログ情報識別子と、その異常状態に対して有効であると判定された対策情報の対策情報識別子と、その対策情報による異常状態の軽減の程度と、の組み合わせによって表されていてもよい。
【0071】
また、判定された軽減の程度が第2の基準(以下、異常解消基準と表記)を満たさない場合、効果判定部340は、対策後ログ情報も異常状態を示している、すなわち、異常状態が解消されていないと判定する。この場合、対策生成部320は、対策後ログ情報によって示される異常状態に対する対策を示す対策情報を生成する。そして、対策提供部330が、生成した対策情報を対策受付部121に送信する。この場合に生成される対策情報は、対策後ログ情報のログ情報識別子をさらに含んでいてよい。
【0072】
このように、対策装置300は、異常状態を示すログ情報を受け取った場合、対策後ログ情報を使用して判定された軽減の程度が異常解消基準を満たすまで、異常状態に対する対策を示す対策情報の生成及び送信と、異常状態の軽減の程度の判定とを繰り返す。
【0073】
効果判定部340によって判定された軽減の程度が異常解消基準を満たす場合、効果出力部350は、有効対策情報と、軽減の程度を表す情報(以下、効果情報と表記)と、を、効果受付部131に送出する。効果出力部350は、効果情報が秘匿される期間を表す効果秘匿期間を例えば予め定められた、効果秘匿期間を設定するルールによって設定し、効果秘匿期間を表す効果秘匿期間情報を含む効果情報を生成してもよい。効果秘匿期間は、効果秘匿期間が終了する日時によって表されていてもよい。この場合、効果秘匿期間情報は、効果秘匿期間が終了する日時を表す情報である。
【0074】
<動作>
次に、本開示の第3の実施形態に係る対策装置の動作について、図面を使用しながら詳細に説明する。
次に、本開示の第3の実施形態に係る対策装置の動作について、図面を使用しながら詳細に説明する。
【0075】
図7は、本開示の第3の実施形態に係る対策装置の動作の例を表すフローチャートである。図7に示す例では、まず、ログ受付部310が、ログ情報を受け取る(ステップS121)。次に、対策生成部320が、ログ情報が異常状態を示すか否かを判定する(ステップS122)。ログ情報が異常状態を示していない場合(ステップS123においてNO)、対策装置300は、図7に示す動作を終了する。
【0076】
ログ情報が異常状態を示している場合(ステップS123においてYES)、対策生成部320が、対策情報を生成する(ステップS124)。そして、対策提供部330が、共有システム100の対策受付部121に、対策情報を提供する(ステップS125)。
【0077】
次に、ログ受付部310が、対策後ログ情報を受け取る(ステップS126)。そして、効果判定部340が、対策後ログ情報が異常状態を示すか否かを判定する(ステップS127)。ステップS127において、効果判定部340は、対策後ログ情報が異常状態を示すか否かを判定するのに加えて、提供された対策情報が示す対策の効果を判定してよい。
【0078】
対策後ログ情報が異常状態を示す場合(ステップS128においてYES)、対策装置300の動作はステップS124に戻る。対策後ログ情報が異常状態を示さない場合(ステップS128においてNO)、効果判定部340は、効果情報を生成する(ステップS129)。そして、効果出力部350が、効果受付部131に、効果情報を提供する(ステップS130)。
【0079】
<他の実施形態>
共有システム10、共有システム100、対策装置300の各々は、記憶媒体から読み出されたプログラムがロードされたメモリと、そのプログラムを実行するプロセッサとを含むコンピュータによって実現することができる。共有システム10、共有システム100、対策装置300の各々は、回路などの専用のハードウェアによって実現することもできる。共有システム10、共有システム100、対策装置300の各々は、前述のコンピュータと専用のハードウェアとの組み合わせによって実現することもできる。
共有システム10、共有システム100、対策装置300の各々は、記憶媒体から読み出されたプログラムがロードされたメモリと、そのプログラムを実行するプロセッサとを含むコンピュータによって実現することができる。共有システム10、共有システム100、対策装置300の各々は、回路などの専用のハードウェアによって実現することもできる。共有システム10、共有システム100、対策装置300の各々は、前述のコンピュータと専用のハードウェアとの組み合わせによって実現することもできる。
【0080】
図8は、本開示の実施形態に係る共有システム及び対策装置を実現することができる、コンピュータ1000のハードウェア構成の一例を表す図である。図8を参照すると、コンピュータ1000は、プロセッサ1001と、メモリ1002と、記憶装置1003と、I/O(Input/Output)インタフェース1004とを含む。また、コンピュータ1000は、記憶媒体1005にアクセスすることができる。メモリ1002と記憶装置1003は、例えば、RAM(Random Access Memory)、ハードディスクなどの記憶装置である。記憶媒体1005は、例えば、RAM、ハードディスクなどの記憶装置、ROM(Read Only Memory)、可搬記憶媒体である。記憶装置1003が記憶媒体1005であってもよい。プロセッサ1001は、メモリ1002と、記憶装置1003に対して、データやプログラムの読み出しと書き込みを行うことができる。プロセッサ1001は、I/Oインタフェース1004を介して、例えば、他の装置にアクセスすることができる。プロセッサ1001は、記憶媒体1005にアクセスすることができる。記憶媒体1005には、コンピュータ1000を共有システム10として動作させるプログラム、コンピュータ1000を共有システム100として動作させるプログラム、又は、コンピュータ1000を対策装置300として動作させるプログラムが格納される。
【0081】
プロセッサ1001は、記憶媒体1005に格納されている、コンピュータ1000を共有システム10として動作させるプログラムを、メモリ1002にロードする。そして、プロセッサ1001が、メモリ1002にロードされたプログラムを実行することにより、コンピュータ1000は、共有システム10として動作する。
【0082】
プロセッサ1001は、記憶媒体1005に格納されている、コンピュータ1000を共有システム100として動作させるプログラムを、メモリ1002にロードする。そして、プロセッサ1001が、メモリ1002にロードされたプログラムを実行することにより、コンピュータ1000は、共有システム100として動作する。
【0083】
プロセッサ1001は、記憶媒体1005に格納されている、コンピュータ1000を対策装置300として動作させるプログラムを、メモリ1002にロードする。そして、プロセッサ1001が、メモリ1002にロードされたプログラムを実行することにより、コンピュータ1000は、対策装置300として動作する。
【0084】
ログ受付部111、ログ通知部112、ログ情報提供部114、対策受付部121、対策通知部122、対策情報提供部124、効果受付部、効果情報提供部133は、例えば、メモリ1002にロードされたプログラムを実行するプロセッサ1001により実現できる。ログ記憶部113、対策記憶部123、効果記憶部132は、コンピュータ1000が含むメモリ1002やハードディスク装置等の記憶装置1003により実現できる。ログ受付部111、ログ通知部112、ログ情報提供部114、対策受付部121、対策通知部122、対策情報提供部124、効果受付部、効果情報提供部133、ログ記憶部113、対策記憶部123、効果記憶部132の一部又は全部を、各部の機能を実現する専用の回路によって実現できる。
【0085】
また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0086】
(付記1)
対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける対策受付部と、
受け付けた前記対策情報を前記対象装置に通知する対策通知部と、
前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける効果受付部と、
所定の効果情報提供対象に前記効果を表す効果情報を提供する効果情報提供部と、
を備える共有システム。
対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける対策受付部と、
受け付けた前記対策情報を前記対象装置に通知する対策通知部と、
前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける効果受付部と、
所定の効果情報提供対象に前記効果を表す効果情報を提供する効果情報提供部と、
を備える共有システム。
【0087】
(付記2)
前記効果情報提供部は、前記効果情報の要求を受け取り、前記効果情報の要求の送信元が前記効果情報提供対象に含まれない場合、前記効果情報を提供しない
付記1に記載の共有システム。
前記効果情報提供部は、前記効果情報の要求を受け取り、前記効果情報の要求の送信元が前記効果情報提供対象に含まれない場合、前記効果情報を提供しない
付記1に記載の共有システム。
【0088】
(付記3)
前記効果情報提供部は、当該効果情報が効果を表す前記対策の前記対策情報の参照先を示す対策参照先情報を含む前記効果情報を提供し、
前記対策参照先情報によって示される前記対策情報の要求を受け取る対策要求受取部と、
前記対策情報の要求の送信元が所定の対策情報提供対象に含まれる場合、前記対策情報の要求の送信元に前記対策情報を提供する対策情報提供部と、
を備える付記1又は2に記載の共有システム。
前記効果情報提供部は、当該効果情報が効果を表す前記対策の前記対策情報の参照先を示す対策参照先情報を含む前記効果情報を提供し、
前記対策参照先情報によって示される前記対策情報の要求を受け取る対策要求受取部と、
前記対策情報の要求の送信元が所定の対策情報提供対象に含まれる場合、前記対策情報の要求の送信元に前記対策情報を提供する対策情報提供部と、
を備える付記1又は2に記載の共有システム。
【0089】
(付記4)
前記対策情報は、当該対策情報が秘匿される期間を表す対策秘匿期間を含み、
前記対策情報提供部は、前記対策情報の要求を受け取った時期が当該対策情報の前記対策秘匿期間に含まれる場合、前記対策情報の要求の送信元に、前記対策情報を提供しない、
付記3に記載の共有システム。
前記対策情報は、当該対策情報が秘匿される期間を表す対策秘匿期間を含み、
前記対策情報提供部は、前記対策情報の要求を受け取った時期が当該対策情報の前記対策秘匿期間に含まれる場合、前記対策情報の要求の送信元に、前記対策情報を提供しない、
付記3に記載の共有システム。
【0090】
(付記5)
前記効果情報提供部は、当該効果情報が示す効果が生じた前記異常状態を示す前記ログ情報の参照先を示すログ参照先情報を含む前記効果情報を提供し、
前記ログ参照先情報によって示される前記ログ情報の要求を受け取るログ要求受取部と、
前記ログ情報の要求の送信元が所定のログ情報提供対象に含まれる場合、前記ログ情報の要求の送信元に前記ログ情報を提供するログ情報提供部と、
を備える付記1乃至4のいずれか1項に記載の共有システム。
前記効果情報提供部は、当該効果情報が示す効果が生じた前記異常状態を示す前記ログ情報の参照先を示すログ参照先情報を含む前記効果情報を提供し、
前記ログ参照先情報によって示される前記ログ情報の要求を受け取るログ要求受取部と、
前記ログ情報の要求の送信元が所定のログ情報提供対象に含まれる場合、前記ログ情報の要求の送信元に前記ログ情報を提供するログ情報提供部と、
を備える付記1乃至4のいずれか1項に記載の共有システム。
【0091】
(付記6)
前記ログ情報は、当該ログ情報が秘匿される期間を表すログ秘匿期間を含み、
前記ログ情報提供部は、前記ログ情報の要求を受け取った時期が当該ログ情報の前記ログ秘匿期間に含まれる場合、前記ログ情報の要求の送信元に、前記ログ情報を提供しない、
付記5に記載の共有システム。
前記ログ情報は、当該ログ情報が秘匿される期間を表すログ秘匿期間を含み、
前記ログ情報提供部は、前記ログ情報の要求を受け取った時期が当該ログ情報の前記ログ秘匿期間に含まれる場合、前記ログ情報の要求の送信元に、前記ログ情報を提供しない、
付記5に記載の共有システム。
【0092】
(付記7)
前記対象装置から前記ログ情報を受け付けるログ受付部と、
前記ログ情報を前記対策装置に通知するログ通知部と、
を備える付記1乃至6のいずれか1項に記載の共有システム。
前記対象装置から前記ログ情報を受け付けるログ受付部と、
前記ログ情報を前記対策装置に通知するログ通知部と、
を備える付記1乃至6のいずれか1項に記載の共有システム。
【0093】
(付記8)
対象装置から出力されたセキュリティの状態を示すログ情報を受け付けるログ受付部と、
前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成する対策生成部と、
前記対策情報を提供する対策提供部と、
前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定する効果判定部と、
前記効果を表す効果情報を出力する効果送出部と、
を備える対策装置。
対象装置から出力されたセキュリティの状態を示すログ情報を受け付けるログ受付部と、
前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成する対策生成部と、
前記対策情報を提供する対策提供部と、
前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定する効果判定部と、
前記効果を表す効果情報を出力する効果送出部と、
を備える対策装置。
【0094】
(付記9)
前記効果判定部は、前記対策後ログ情報が前記異常状態を示さなくなった場合、前記対策の効果として、前記対策が有効であったと判定する
付記8に記載の対策装置。
前記効果判定部は、前記対策後ログ情報が前記異常状態を示さなくなった場合、前記対策の効果として、前記対策が有効であったと判定する
付記8に記載の対策装置。
【0095】
(付記10)
前記効果判定部は、前記対策情報が提供されて位から所定時間が経過した後に前記対策後ログ情報が前記異常状態を示している場合、前記対策の効果として、前記対策が有効でなかったと判定し、
前記対策生成部は、前記対策が有効ではなかったと判定された場合、前記異常状態への他の対策を表す対策情報を生成し、
前記対策提供部は、前記異常状態への他の対策を表す前記対策情報を提供する
付記8又は9に記載の対策装置。
前記効果判定部は、前記対策情報が提供されて位から所定時間が経過した後に前記対策後ログ情報が前記異常状態を示している場合、前記対策の効果として、前記対策が有効でなかったと判定し、
前記対策生成部は、前記対策が有効ではなかったと判定された場合、前記異常状態への他の対策を表す対策情報を生成し、
前記対策提供部は、前記異常状態への他の対策を表す前記対策情報を提供する
付記8又は9に記載の対策装置。
【0096】
(付記11)
対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付け、
受け付けた前記対策情報を前記対象装置に通知し、
前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付け、
所定の効果情報提供対象に前記効果を表す効果情報を提供する、
共有方法。
対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付け、
受け付けた前記対策情報を前記対象装置に通知し、
前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付け、
所定の効果情報提供対象に前記効果を表す効果情報を提供する、
共有方法。
【0097】
(付記12)
前記効果情報の要求を受け取り、前記効果情報の要求の送信元が前記効果情報提供対象に含まれない場合、前記効果情報を提供しない
付記11に記載の共有方法。
前記効果情報の要求を受け取り、前記効果情報の要求の送信元が前記効果情報提供対象に含まれない場合、前記効果情報を提供しない
付記11に記載の共有方法。
【0098】
(付記13)
当該効果情報が効果を表す前記対策の前記対策情報の参照先を示す対策参照先情報を含む前記効果情報を提供し、
前記対策参照先情報によって示される前記対策情報の要求を受け取、
前記対策情報の要求の送信元が所定の対策情報提供対象に含まれる場合、前記対策情報の要求の送信元に前記対策情報を提供する、
付記11又は12に記載の共有方法。
当該効果情報が効果を表す前記対策の前記対策情報の参照先を示す対策参照先情報を含む前記効果情報を提供し、
前記対策参照先情報によって示される前記対策情報の要求を受け取、
前記対策情報の要求の送信元が所定の対策情報提供対象に含まれる場合、前記対策情報の要求の送信元に前記対策情報を提供する、
付記11又は12に記載の共有方法。
【0099】
(付記14)
前記対策情報は、当該対策情報が秘匿される期間を表す対策秘匿期間を含み、
前記対策情報の要求を受け取った時期が当該対策情報の前記対策秘匿期間に含まれる場合、前記対策情報の要求の送信元に、前記対策情報を提供しない、
付記13に記載の共有方法。
前記対策情報は、当該対策情報が秘匿される期間を表す対策秘匿期間を含み、
前記対策情報の要求を受け取った時期が当該対策情報の前記対策秘匿期間に含まれる場合、前記対策情報の要求の送信元に、前記対策情報を提供しない、
付記13に記載の共有方法。
【0100】
(付記15)
当該効果情報が示す効果が生じた前記異常状態を示す前記ログ情報の参照先を示すログ参照先情報を含む前記効果情報を提供し、
前記ログ参照先情報によって示される前記ログ情報の要求を受け取り、
前記ログ情報の要求の送信元が所定のログ情報提供対象に含まれる場合、前記ログ情報の要求の送信元に前記ログ情報を提供する、
付記11乃至14のいずれか1項に記載の共有方法。
当該効果情報が示す効果が生じた前記異常状態を示す前記ログ情報の参照先を示すログ参照先情報を含む前記効果情報を提供し、
前記ログ参照先情報によって示される前記ログ情報の要求を受け取り、
前記ログ情報の要求の送信元が所定のログ情報提供対象に含まれる場合、前記ログ情報の要求の送信元に前記ログ情報を提供する、
付記11乃至14のいずれか1項に記載の共有方法。
【0101】
(付記16)
前記ログ情報は、当該ログ情報が秘匿される期間を表すログ秘匿期間を含み、
前記ログ情報の要求を受け取った時期が当該ログ情報の前記ログ秘匿期間に含まれる場合、前記ログ情報の要求の送信元に、前記ログ情報を提供しない、
付記15に記載の共有方法。
前記ログ情報は、当該ログ情報が秘匿される期間を表すログ秘匿期間を含み、
前記ログ情報の要求を受け取った時期が当該ログ情報の前記ログ秘匿期間に含まれる場合、前記ログ情報の要求の送信元に、前記ログ情報を提供しない、
付記15に記載の共有方法。
【0102】
(付記17)
前記対象装置から前記ログ情報を受け付け、
前記ログ情報を前記対策装置に通知する、
付記11乃至16のいずれか1項に記載の共有方法。
前記対象装置から前記ログ情報を受け付け、
前記ログ情報を前記対策装置に通知する、
付記11乃至16のいずれか1項に記載の共有方法。
【0103】
(付記18)
対象装置から出力されたセキュリティの状態を示すログ情報を受け付け、
前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成し、
前記対策情報を提供し、
前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定し、
前記効果を表す効果情報を出力する、
分析方法。
対象装置から出力されたセキュリティの状態を示すログ情報を受け付け、
前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成し、
前記対策情報を提供し、
前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定し、
前記効果を表す効果情報を出力する、
分析方法。
【0104】
(付記19)
前記対策後ログ情報が前記異常状態を示さなくなった場合、前記対策の効果として、前記対策が有効であったと判定する
付記18に記載の分析方法。
前記対策後ログ情報が前記異常状態を示さなくなった場合、前記対策の効果として、前記対策が有効であったと判定する
付記18に記載の分析方法。
【0105】
(付記20)
前記対策情報が提供されて位から所定時間が経過した後に前記対策後ログ情報が前記異常状態を示している場合、前記対策の効果として、前記対策が有効でなかったと判定し、
前記対策が有効ではなかったと判定された場合、前記異常状態への他の対策を表す対策情報を生成し、
前記異常状態への他の対策を表す前記対策情報を提供する
付記18又は19に記載の分析方法。
前記対策情報が提供されて位から所定時間が経過した後に前記対策後ログ情報が前記異常状態を示している場合、前記対策の効果として、前記対策が有効でなかったと判定し、
前記対策が有効ではなかったと判定された場合、前記異常状態への他の対策を表す対策情報を生成し、
前記異常状態への他の対策を表す前記対策情報を提供する
付記18又は19に記載の分析方法。
【0106】
(付記21)
対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける対策受付処理と、
受け付けた前記対策情報を前記対象装置に通知する対策通知処理と、
前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける効果受付処理と、
所定の効果情報提供対象に前記効果を表す効果情報を提供する効果情報提供処理と、
をコンピュータに実行させるプログラムを記憶する記憶媒体。
対象装置のセキュリティの状態を表すログ情報が異常状態を示す場合に当該異常状態への対策を表す対策情報を生成する対策装置から、前記対策情報を受け付ける対策受付処理と、
受け付けた前記対策情報を前記対象装置に通知する対策通知処理と、
前記対策情報が通知された後のログ情報から前記異常状態に対する前記対策の効果を判定する前記対策装置から、前記効果を受け付ける効果受付処理と、
所定の効果情報提供対象に前記効果を表す効果情報を提供する効果情報提供処理と、
をコンピュータに実行させるプログラムを記憶する記憶媒体。
【0107】
(付記22)
前記効果情報提供処理は、前記効果情報の要求を受け取り、前記効果情報の要求の送信元が前記効果情報提供対象に含まれない場合、前記効果情報を提供しない
付記21に記載の記憶媒体。
前記効果情報提供処理は、前記効果情報の要求を受け取り、前記効果情報の要求の送信元が前記効果情報提供対象に含まれない場合、前記効果情報を提供しない
付記21に記載の記憶媒体。
【0108】
(付記23)
前記効果情報提供処理は、当該効果情報が効果を表す前記対策の前記対策情報の参照先を示す対策参照先情報を含む前記効果情報を提供し、
前記プログラムは、
前記対策参照先情報によって示される前記対策情報の要求を受け取る対策要求受取処理と、
前記対策情報の要求の送信元が所定の対策情報提供対象に含まれる場合、前記対策情報の要求の送信元に前記対策情報を提供する対策情報提供処理と、
をコンピュータに実行させる付記21又は22に記載の記憶媒体。
前記効果情報提供処理は、当該効果情報が効果を表す前記対策の前記対策情報の参照先を示す対策参照先情報を含む前記効果情報を提供し、
前記プログラムは、
前記対策参照先情報によって示される前記対策情報の要求を受け取る対策要求受取処理と、
前記対策情報の要求の送信元が所定の対策情報提供対象に含まれる場合、前記対策情報の要求の送信元に前記対策情報を提供する対策情報提供処理と、
をコンピュータに実行させる付記21又は22に記載の記憶媒体。
【0109】
(付記24)
前記対策情報は、当該対策情報が秘匿される期間を表す対策秘匿期間を含み、
前記対策情報提供処理は、前記対策情報の要求を受け取った時期が当該対策情報の前記対策秘匿期間に含まれる場合、前記対策情報の要求の送信元に、前記対策情報を提供しない、
付記23に記載の記憶媒体。
前記対策情報は、当該対策情報が秘匿される期間を表す対策秘匿期間を含み、
前記対策情報提供処理は、前記対策情報の要求を受け取った時期が当該対策情報の前記対策秘匿期間に含まれる場合、前記対策情報の要求の送信元に、前記対策情報を提供しない、
付記23に記載の記憶媒体。
【0110】
(付記25)
前記効果情報提供処理は、当該効果情報が示す効果が生じた前記異常状態を示す前記ログ情報の参照先を示すログ参照先情報を含む前記効果情報を提供し、
前記プログラムは、
前記ログ参照先情報によって示される前記ログ情報の要求を受け取るログ要求受取処理と、
前記ログ情報の要求の送信元が所定のログ情報提供対象に含まれる場合、前記ログ情報の要求の送信元に前記ログ情報を提供するログ情報提供処理と、
をコンピュータに実行させる付記21乃至24のいずれか1項に記載の記憶媒体。
前記効果情報提供処理は、当該効果情報が示す効果が生じた前記異常状態を示す前記ログ情報の参照先を示すログ参照先情報を含む前記効果情報を提供し、
前記プログラムは、
前記ログ参照先情報によって示される前記ログ情報の要求を受け取るログ要求受取処理と、
前記ログ情報の要求の送信元が所定のログ情報提供対象に含まれる場合、前記ログ情報の要求の送信元に前記ログ情報を提供するログ情報提供処理と、
をコンピュータに実行させる付記21乃至24のいずれか1項に記載の記憶媒体。
【0111】
(付記26)
前記ログ情報は、当該ログ情報が秘匿される期間を表すログ秘匿期間を含み、
前記ログ情報提供処理は、前記ログ情報の要求を受け取った時期が当該ログ情報の前記ログ秘匿期間に含まれる場合、前記ログ情報の要求の送信元に、前記ログ情報を提供しない、
付記25に記載の記憶媒体。
前記ログ情報は、当該ログ情報が秘匿される期間を表すログ秘匿期間を含み、
前記ログ情報提供処理は、前記ログ情報の要求を受け取った時期が当該ログ情報の前記ログ秘匿期間に含まれる場合、前記ログ情報の要求の送信元に、前記ログ情報を提供しない、
付記25に記載の記憶媒体。
【0112】
(付記27)
前記プログラムは、
前記対象装置から前記ログ情報を受け付けるログ受付処理と、
前記ログ情報を前記対策装置に通知するログ通知処理と、
をコンピュータに実行させる付記21乃至26のいずれか1項に記載の記憶媒体。
前記プログラムは、
前記対象装置から前記ログ情報を受け付けるログ受付処理と、
前記ログ情報を前記対策装置に通知するログ通知処理と、
をコンピュータに実行させる付記21乃至26のいずれか1項に記載の記憶媒体。
【0113】
(付記28)
対象装置から出力されたセキュリティの状態を示すログ情報を受け付けるログ受付処理と、
前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成する対策生成処理と、
前記対策情報を提供する対策提供処理と、
前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定する効果判定処理と、
前記効果を表す効果情報を出力する効果送出処理と、
をコンピュータに実行させるプログラムを記憶する記憶媒体。
対象装置から出力されたセキュリティの状態を示すログ情報を受け付けるログ受付処理と、
前記ログ情報が異常状態を示す場合、当該異常状態への対策を示す対策情報を生成する対策生成処理と、
前記対策情報を提供する対策提供処理と、
前記対策情報を提供した後に受け取ったログ情報である対策後ログ情報から前記対策の効果を判定する効果判定処理と、
前記効果を表す効果情報を出力する効果送出処理と、
をコンピュータに実行させるプログラムを記憶する記憶媒体。
【0114】
(付記29)
前記効果判定処理は、前記対策後ログ情報が前記異常状態を示さなくなった場合、前記対策の効果として、前記対策が有効であったと判定する
付記28に記載の記憶媒体。
前記効果判定処理は、前記対策後ログ情報が前記異常状態を示さなくなった場合、前記対策の効果として、前記対策が有効であったと判定する
付記28に記載の記憶媒体。
【0115】
(付記30)
前記効果判定処理は、前記対策情報が提供されて位から所定時間が経過した後に前記対策後ログ情報が前記異常状態を示している場合、前記対策の効果として、前記対策が有効でなかったと判定し、
前記対策生成処理は、前記対策が有効ではなかったと判定された場合、前記異常状態への他の対策を表す対策情報を生成し、
前記対策提供処理は、前記異常状態への他の対策を表す前記対策情報を提供する
付記28又は29に記載の記憶媒体。
前記効果判定処理は、前記対策情報が提供されて位から所定時間が経過した後に前記対策後ログ情報が前記異常状態を示している場合、前記対策の効果として、前記対策が有効でなかったと判定し、
前記対策生成処理は、前記対策が有効ではなかったと判定された場合、前記異常状態への他の対策を表す対策情報を生成し、
前記対策提供処理は、前記異常状態への他の対策を表す前記対策情報を提供する
付記28又は29に記載の記憶媒体。
【0116】
以上、実施形態を参照して本開示を説明したが、本開示は上記実施形態に限定されるものではない。本開示の構成や詳細には、本開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
【符号の説明】
【0117】
10 共有システム
100 共有システム
104 ステップ
111 ログ受付部
112 ログ通知部
113 ログ記憶部
114 ログ情報提供部
121 対策受付部
122 対策通知部
123 対策記憶部
124 対策情報提供部
131 効果受付部
132 効果記憶部
133 効果情報提供部
200 対象装置
300 対策装置
310 ログ受付部
320 対策生成部
330 対策提供部
340 効果判定部
350 効果出力部
400 通知先装置
1001 プロセッサ
1002 メモリ
1003 記憶装置
1004 I/Oインタフェース
1005 記憶媒体
100 共有システム
104 ステップ
111 ログ受付部
112 ログ通知部
113 ログ記憶部
114 ログ情報提供部
121 対策受付部
122 対策通知部
123 対策記憶部
124 対策情報提供部
131 効果受付部
132 効果記憶部
133 効果情報提供部
200 対象装置
300 対策装置
310 ログ受付部
320 対策生成部
330 対策提供部
340 効果判定部
350 効果出力部
400 通知先装置
1001 プロセッサ
1002 メモリ
1003 記憶装置
1004 I/Oインタフェース
1005 記憶媒体
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】