IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 株式会社東芝

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社東芝の特許一覧

特許7638918制御装置、プログラムおよび制御システム
<>
  • 特許-制御装置、プログラムおよび制御システム 図1
  • 特許-制御装置、プログラムおよび制御システム 図2
  • 特許-制御装置、プログラムおよび制御システム 図3
  • 特許-制御装置、プログラムおよび制御システム 図4
  • 特許-制御装置、プログラムおよび制御システム 図5
  • 特許-制御装置、プログラムおよび制御システム 図6
  • 特許-制御装置、プログラムおよび制御システム 図7
  • 特許-制御装置、プログラムおよび制御システム 図8
  • 特許-制御装置、プログラムおよび制御システム 図9
  • 特許-制御装置、プログラムおよび制御システム 図10
  • 特許-制御装置、プログラムおよび制御システム 図11
  • 特許-制御装置、プログラムおよび制御システム 図12
  • 特許-制御装置、プログラムおよび制御システム 図13
  • 特許-制御装置、プログラムおよび制御システム 図14
  • 特許-制御装置、プログラムおよび制御システム 図15
  • 特許-制御装置、プログラムおよび制御システム 図16
  • 特許-制御装置、プログラムおよび制御システム 図17
  • 特許-制御装置、プログラムおよび制御システム 図18
  • 特許-制御装置、プログラムおよび制御システム 図19
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-02-21
(45)【発行日】2025-03-04
(54)【発明の名称】制御装置、プログラムおよび制御システム
(51)【国際特許分類】
   G06F 21/57 20130101AFI20250225BHJP
   G06F 21/55 20130101ALI20250225BHJP
【FI】
G06F21/57
G06F21/55 320
【請求項の数】 13
(21)【出願番号】P 2022017652
(22)【出願日】2022-02-08
(65)【公開番号】P2023115443
(43)【公開日】2023-08-21
【審査請求日】2024-02-27
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】金井 遵
【審査官】▲柳▼谷 侑
(56)【参考文献】
【文献】特開2021-027505(JP,A)
【文献】特開2016-224480(JP,A)
【文献】特開2018-045327(JP,A)
【文献】国際公開第2020/246011(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/12 - 21/16
G06F 21/50 - 21/57
(57)【特許請求の範囲】
【請求項1】
監視対象システムにおいて発生する1または複数の脅威事象を示す脅威情報を取得する脅威入力部と、
前記1または複数の脅威事象のそれぞれについて、前記監視対象システムに対して行われる複数の攻撃のうちの、前記1または複数の脅威事象を検出するために検出すべき複数の検出対象攻撃を示す攻撃情報を生成する攻撃情報生成部と、
前記攻撃情報に示される前記複数の検出対象攻撃のそれぞれ毎に、前記監視対象システムから取得される複数のログのうちの攻撃を検出することが可能な検出可能ログを示す攻撃-ログテーブルに基づき、それぞれが前記複数の検出対象攻撃の全てを検出可能な1または複数の検出可能ログの組み合わせを示す複数のログセットを生成するログセット生成部と、
前記複数のログセットのそれぞれについて、前記1または複数の検出可能ログのそれぞれを監視するための制約の小ささを表す簡易度を取得し、前記複数のログセットのそれぞれについて、前記1または複数の検出可能ログのそれぞれの前記簡易度に基づき、監視を優先する度合いを表す優先度を算出する優先度算出部と、
前記複数のログセット、および、前記複数のログセットのそれぞれの前記優先度に基づき、前記複数のログセットのうち前記優先度が上位の1または複数のログセットを選択して、選択した前記1または複数のログセットに示される1または複数のログを生成するための複数のデータを記録装置に対して記録させる選択制御部と、
を備える制御装置。
【請求項2】
前記優先度算出部は、
前記複数のログのそれぞれ、および、監視処理の実行に制約を与える複数の制約要因のそれぞれ毎に前記簡易度が予め登録された制約データベースから、前記簡易度を取得し、
前記複数の制約要因のそれぞれの重みを取得し、
前記複数のログセットのそれぞれについて、前記複数の制約要因のそれぞれ毎に前記1または複数の検出可能ログの前記簡易度を加算した加算値に対して、対応する前記重みを乗じて合計した合計値に基づき、前記優先度を算出する
請求項に記載の制御装置。
【請求項3】
前記優先度算出部は、前記複数のログセットのそれぞれについて、前記合計値を前記1または複数の検出可能ログの個数により除算した値を、前記優先度として算出する
請求項に記載の制御装置。
【請求項4】
前記複数の制約要因のそれぞれの前記重みをユーザから受け付ける制約入力部をさらに備え、
前記優先度算出部は、前記ユーザから受け付けた前記複数の制約要因のそれぞれの前記重みを取得する
請求項またはに記載の制御装置。
【請求項5】
前記複数の制約要因は、解析困難性、データ発生量および解析コストの少なくとも1つを含み、
前記解析困難性についての前記簡易度は、解析が困難な程小さく
前記データ発生量についての前記簡易度は、発生する単位時間当たりのデータ量が大きい程小さく、
前記解析コストについての前記簡易度は、解析するコストが高い程小さい
請求項からの何れか1項に記載の制御装置。
【請求項6】
前記攻撃情報生成部は、発生するまでに前記監視対象システムに対して行われる1または複数の攻撃による攻撃手順を示す手順情報に基づき、前記攻撃情報を生成する
請求項1からの何れか1項に記載の制御装置。
【請求項7】
前記攻撃情報生成部は、前記1または複数の脅威事象のそれぞれについて、前記手順情報に示される1または複数の攻撃の全てを、前記攻撃情報に示される前記複数の検出対象攻撃に含める
請求項に記載の制御装置。
【請求項8】
前記攻撃情報生成部は、前記1または複数の脅威事象のそれぞれについて、前記手順情報に示される1または複数の攻撃のうち少なくとも対象の脅威事象を検出可能な1または複数の攻撃を、前記攻撃情報に示される前記複数の検出対象攻撃に含める
請求項に記載の制御装置。
【請求項9】
前記ログセット生成部は、
前記監視対象システムに対して行われる複数の攻撃のそれぞれ毎に前記検出可能ログが予め登録されている攻撃-ログデータベースを参照することにより前記攻撃-ログテーブルを生成する攻撃-ログテーブル生成部と、
前記攻撃-ログテーブルを参照して前記複数の検出対象攻撃の全てを検出可能な前記1または複数の検出可能ログの組み合わせを検出することにより、前記複数のログセットを生成する組合せ部と、
を有する請求項1からの何れか1項に記載の制御装置。
【請求項10】
動作中の前記監視対象システムに対して前記複数の攻撃を実行する攻撃実行部と、
実行した前記複数の攻撃のそれぞれ毎に、前記監視対象システムの動作中に記録される前記複数のログのうちの前記検出可能ログを検出して、前記攻撃-ログテーブルを生成するログ検出部と、
をさらに備える請求項1からの何れか1項に記載の制御装置。
【請求項11】
前記攻撃実行部は、前記複数の攻撃のうちの第1の攻撃について、複数の攻撃手法が存在する場合、前記第1の攻撃を実行する場合、前記複数の攻撃手法を同時に実行し、
前記第1の攻撃を実行した場合、前記ログ検出部は、前記複数のログのうちの、前記複数の攻撃手法による攻撃を検出できるログを前記検出可能ログとして検出する
請求項10に記載の制御装置。
【請求項12】
情報処理装置を制御装置として機能させるためのプログラムであって、
前記情報処理装置を、
監視対象システムにおいて発生する1または複数の脅威事象を示す脅威情報を取得する脅威入力部と、
前記1または複数の脅威事象のそれぞれについて、前記監視対象システムに対して行われる複数の攻撃のうちの、前記1または複数の脅威事象を検出するために検出すべき複数の検出対象攻撃を示す攻撃情報を生成する攻撃情報生成部と、
前記攻撃情報に示される前記複数の検出対象攻撃のそれぞれ毎に、前記監視対象システムから取得される複数のログのうちの攻撃を検出することが可能な検出可能ログを示す攻撃-ログテーブルに基づき、それぞれが前記複数の検出対象攻撃の全てを検出可能な1または複数の検出可能ログの組み合わせを示す複数のログセットを生成するログセット生成部と、
前記複数のログセットのそれぞれについて、前記1または複数の検出可能ログのそれぞれを監視するための制約の小ささを表す簡易度を取得し、前記複数のログセットのそれぞれについて、前記1または複数の検出可能ログのそれぞれの前記簡易度に基づき、監視を優先する度合いを表す優先度を算出する優先度算出部と、
前記複数のログセット、および、前記複数のログセットのそれぞれの前記優先度に基づき、前記複数のログセットのうち前記優先度が上位の1または複数のログセットを選択して、選択した前記1または複数のログセットに示される1または複数のログを生成するための複数のデータを記録装置に対して記録させる選択制御部と、
して機能させるプログラム。
【請求項13】
監視対象システムと、
前記監視対象システムにおけるログを記録する記録装置と、
前記記録装置に記録されたログを監視して、前記監視対象システムにおいて発生する脅威事象を検出する監視装置と、
前記監視装置により監視させるログを推薦する制御装置と、
を備え、
前記制御装置は、
前記監視対象システムにおいて発生する1または複数の脅威事象を示す脅威情報を取得する脅威入力部と、
前記1または複数の脅威事象のそれぞれについて、前記監視対象システムに対して行われる複数の攻撃のうちの、前記1または複数の脅威事象を検出するために検出すべき複数の検出対象攻撃を示す攻撃情報を生成する攻撃情報生成部と、
前記攻撃情報に示される前記複数の検出対象攻撃のそれぞれ毎に、前記監視対象システムから取得される複数のログのうちの攻撃を検出することが可能な検出可能ログを示す攻撃-ログテーブルに基づき、それぞれが前記複数の検出対象攻撃の全てを検出可能な1または複数の検出可能ログの組み合わせを示す複数のログセットを生成するログセット生成部と、
前記複数のログセットのそれぞれについて、前記1または複数の検出可能ログのそれぞれを監視するための制約の小ささを表す簡易度を取得し、前記複数のログセットのそれぞれについて、前記1または複数の検出可能ログのそれぞれの前記簡易度に基づき、監視を優先する度合いを表す優先度を算出する優先度算出部と、
前記複数のログセット、および、前記複数のログセットのそれぞれの前記優先度に基づき、前記複数のログセットのうち前記優先度が上位の1または複数のログセットを選択して、選択した前記1または複数のログセットに示される1または複数のログを生成するための複数のデータを前記記録装置に対して記録させる選択制御部と、
を有する
制御システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、制御装置、プログラムおよび制御システムに関する。
【背景技術】
【0002】
近年、制御システムを狙ったサイバー攻撃が一般化しており、セキュリティ対策が急務である。中でもログの記録および監視をすることが、セキュリティ対策として重要である。このため、制御システムは、様々なログを記録しなければならない。
【0003】
制御システムから得られるログの種類は、膨大である。一方で、ログを記録するためのリソースは有限であるので、記録するログは、少ない方が好ましい。
【0004】
しかしながら、得られるログは、制御システムによって異なる。また、想定されるインシデントおよび検出すべき攻撃も、制御システムによって異なる。従って、記録するべきログは、制御システムによって異なる。
【0005】
また、制御システムにおいて、ログを生成したり、ログを取得したりするための機能は限られている。また、例えば社会インフラシステム等の多くの制御システムは、大幅な機能追加をすることが困難であることが多い。このため、制御システムの固有の制約を考慮して、限られた機能を用いて最大限のセキュリティ対策を実行できることが好ましい。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2021-027505号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明が解決しようとする課題は、脅威事象を効率良く検出させる1または複数のログを示すログセットを機械的に出力することにある。
【課題を解決するための手段】
【0008】
実施形態に係る制御装置は、脅威入力部と、攻撃情報生成部と、ログセット生成部と、優先度算出部と、選択制御部とを備える。前記脅威入力部は、監視対象システムにおいて発生する1または複数の脅威事象を示す脅威情報を取得する。前記攻撃情報生成部は、前記1または複数の脅威事象のそれぞれについて、前記監視対象システムに対して行われる複数の攻撃のうちの、前記1または複数の脅威事象を検出するために検出すべき複数の検出対象攻撃を示す攻撃情報を生成する。前記ログセット生成部は、前記攻撃情報に示される前記複数の検出対象攻撃のそれぞれ毎に、前記監視対象システムから取得される複数のログのうちの攻撃を検出することが可能な検出可能ログを示す攻撃-ログテーブルに基づき、それぞれが前記複数の検出対象攻撃の全てを検出可能な1または複数の検出可能ログの組み合わせを示す複数のログセットを生成する。前記優先度算出部は、前記複数のログセットのそれぞれについて、前記1または複数の検出可能ログのそれぞれを監視するための制約の小ささを表す簡易度を取得し、前記複数のログセットのそれぞれについて、前記1または複数の検出可能ログのそれぞれの前記簡易度に基づき、監視を優先する度合いを表す優先度を算出する。前記選択制御部は、前記複数のログセット、および、前記複数のログセットのそれぞれの前記優先度に基づき、前記複数のログセットのうち前記優先度が上位の1または複数のログセットを選択して、選択した前記1または複数のログセットに示される1または複数のログを生成するための複数のデータを記録装置に対して記録させる
【図面の簡単な説明】
【0009】
図1】第1実施形態に係る制御システムの構成を示す図。
図2】第1実施形態に係るログ推薦装置の構成を示す図。
図3】脅威事象の一例を示す図。
図4】手順情報の一例を示す図。
図5】攻撃情報の第1例を示す図。
図6】攻撃情報の第2例を示す図。
図7】攻撃-ログデータベースの一例を示す図。
図8】攻撃-ログテーブルの一例を示す図。
図9】ログセットの一例を示す図。
図10】簡易度の一例を示す図。
図11】重みの一例を示す図。
図12】簡易度を数値に置き換える例を示す図。
図13】制約要因毎の加算値の算出例を示す図。
図14】優先度の第1の算出例を示す図。
図15】優先度の第2の算出例を示す図。
図16】第1実施形態に係るログ推薦装置の処理の流れを示すフローチャート。
図17】第2実施形態に係るログ推薦装置の構成を示す図。
図18】第2実施形態に係るログ推薦装置の処理の流れを示すフローチャート。
図19】ログ推薦装置のハードウェア構成の一例を示す図。
【発明を実施するための形態】
【0010】
以下、図面を参照しながら本発明の実施形態について説明する。
【0011】
(第1実施形態)
図1は、第1実施形態に係る制御システム10の構成を示す図である。制御システム10は、監視対象システム12と、記録装置14と、監視装置16と、ログ推薦装置20とを備える。
【0012】
監視対象システム12は、例えば、複数の機器を制御および管理をするシステムである。例えば、監視対象システム12は、道路、鉄道、電力網、水道網および通信網等のインフラストラクチャを制御および管理するシステムである。また、監視対象システム12は、発電プラント、化学プラントおよび製造プラントのプラントシステムであってもよい。監視対象システム12は、1または複数の情報処理装置等を含む情報処理システムであってもよい。
【0013】
記録装置14は、監視対象システム12から取得した複数のログを記録する。例えば、記録装置14は、監視対象システム12に入力されるデータ、監視対象システム12から出力されるデータ、監視対象システム12に設けられた機器により測定されたデータ、または、これらの機器に対する制御データ等を取得して、それぞれの時系列データをログとして記録する。
【0014】
監視装置16は、記録装置14に記録された複数のログを監視し、監視対象システム12において発生する脅威事象を検出する。また、監視装置16は、監視対象システム12において脅威事象が発生した場合、記録装置14に記録された複数のログを解析して、脅威事象が発生した要因等を解析してもよい。監視装置16は、監視プログラム等を実行して機械的に脅威事象を検出してもよいし、オペレータとの協働で脅威事象を検出してもよい。
【0015】
ログ推薦装置20は、制御装置の一例である。ログ推薦装置20は、監視装置16に検出させる1または複数の脅威事象を示す脅威情報を取得する。また、ログ推薦装置20は、脅威事象を検出するための監視処理を制約する複数の制約要因のそれぞれに対する重みを示す制約情報を取得する。そして、ログ推薦装置20は、脅威情報および制約情報に基づき、複数のログセットを生成する。複数のログセットのそれぞれは、監視装置16に監視させる1または複数のログの組み合わせを示す。さらに、ログ推薦装置20は、複数のログセットのそれぞれについて、監視を優先する度合いを表す優先度を算出する。優先度は、スコア等の数値であってもよいし、順位であってもよい。ログ推薦装置20は、算出した優先度を、複数のログセットのそれぞれに対応させて出力する。
【0016】
なお、ログ推薦装置20は、複数のログセットのうち、優先度が上位の1または複数のログセットを選択して出力してもよい。優先度が上位の1または複数のログセットを選択して出力する場合、ログ推薦装置20は、優先度を出力しなくてもよい。
【0017】
ログ推薦装置20は、生成した複数のログセット、および、複数のログセットのそれぞれの優先度を、監視対象システム12に与える。この場合、監視対象システム12は、優先度が上位の1または複数のログセットに示される1または複数のログを生成させるための複数のデータを選択して、記録装置14に与える。そして、記録装置14は、監視対象システム12から取得したデータのログを記録する。
【0018】
なお、記録装置14は、監視対象システム12は、生成される複数のデータの全てを記録装置14に与えてもよい。この場合、ログ推薦装置20は、生成した複数のログセット、および、複数のログセットのそれぞれの優先度を、記録装置14に与える。そして、記録装置14は、監視対象システム12において生成される複数のデータの全ての中から、優先度が上位の1または複数のログセットに示される1または複数のログを生成するためのデータを選択し、選択したデータのログを記録する。
【0019】
図2は、第1実施形態に係るログ推薦装置20の構成を示す図である。以下、図2に示すログ推薦装置20の構成を、図3から図15を参照しながら説明する。
【0020】
ログ推薦装置20は、脅威入力部32と、手順データベース記憶部34と、攻撃情報生成部36と、攻撃-ログデータベース記憶部38と、ログセット生成部40と、制約データベース記憶部42と、制約入力部44と、優先度算出部46と、出力部48とを備える。
【0021】
脅威入力部32は、監視対象システム12において発生する1または複数の脅威事象を示す脅威情報を取得する。例えば、脅威入力部32は、システム管理者等のユーザにより入力された脅威情報を取得する。
【0022】
例えば、図3に示すように、脅威事象は、重要データ漏洩、システム停止およびシステム不正制御等である。脅威事象は、例えば、STRIDE等の一般的な脅威分析方法により分析して得られる事象であってよい。
【0023】
手順データベース記憶部34は、脅威が発生するまでに監視対象システム12に対して行われる1または複数の攻撃による攻撃手順を示す手順情報を記憶する。ログ推薦装置20は、手順データベース記憶部34を備えず、サーバ等により提供されるデータベースから手順情報を取得してもよい。
【0024】
例えば、「システム停止」という脅威は、発生に至るまでに、1または複数の攻撃手順により、1または複数の攻撃が監視対象システム12に実行される。例えば、「システム停止」という脅威は、監視対象システム12を探索し、監視対象システム12に侵入し、監視対象システム12を停止するためのプログラムの実行する、といった流れで発生する。また、監視対象システム12へ侵入するためのより具体的な攻撃は、リモートアクセス機能のパスワードを入手し、入手したパスワードで侵入する方法、または、プログラムの脆弱性を利用して侵入する方法等が存在する。手順データベース記憶部34は、このような具体的な攻撃手順および攻撃内容を示す手順情報を記憶する。
【0025】
例えば、図4に示すように、手順データベース記憶部34は、ツリー状に攻撃手順が記述された手順情報を記憶してもよい。図4に示される手順情報は、例えば、脅威♯1が発生する場合、攻撃Aまたは攻撃Bが実行されることが示されている。また、図4に示される手順情報は、攻撃Aが実行される場合、攻撃Aの実行前に攻撃Cが実行されることが示されている。また、図4に示される手順情報は、攻撃Bが実行される場合、攻撃Bの前に攻撃Dまたは攻撃Eが実行されることが示されている。手順情報は、例えば、アタックツリー分析と呼ばれる分析手法により生成される。また、手順情報は、MITRE ATT&CK等の攻撃戦術検討用のフレームワークを利用して生成されてもよいし、BAS(Breach and Attack Simulation)と呼ばれる攻撃シミュレーションの機能を利用して生成されてもよい。
【0026】
攻撃情報生成部36は、手順データベース記憶部34に記憶された手順情報を参照して、監視対象システム12に対して行われる複数の攻撃のうちの、脅威入力部32により入力された1または複数の脅威事象を検出するために検出すべき複数の検出対象攻撃を示す攻撃情報を生成する。攻撃情報は、複数の攻撃の内容を示す一覧である。
【0027】
例えば、攻撃情報生成部36は、脅威入力部32により入力された1または複数の脅威事象のそれぞれについて、手順情報に示される1または複数の攻撃の全てを、攻撃情報に示される複数の検出対象攻撃に含めてもよい。
【0028】
例えば、図4には、脅威#2が発生する場合、攻撃Aと、攻撃Eまたは攻撃Fとが実行されることが示され、脅威#3が発生する場合、攻撃Bまたは攻撃Hと、攻撃Gとが実行されることが示されている。脅威情報に脅威#2および脅威#3が示される場合、攻撃情報生成部36は、図5に示すように、攻撃A、B、E、F、G、Hを含む攻撃情報を生成する。これにより、攻撃情報生成部36は、1または複数の脅威事象のそれぞれについて、手順情報に示される1または複数の攻撃の全てを、攻撃情報に示される複数の検出対象攻撃に含めることができる。
【0029】
また、例えば、攻撃情報生成部36は、脅威入力部32により入力された1または複数の脅威事象のそれぞれについて、手順情報に示される1または複数の攻撃のうち少なくとも対象の脅威事象を検出可能な1または複数の攻撃を、攻撃情報に示される複数の検出対象攻撃に含めてもよい。
【0030】
例えば、図6に示すように、脅威情報に脅威#2および脅威#3が示される場合、攻撃Aを解析することにより脅威♯2を検出し、攻撃Bおよび攻撃Hを解析することにより脅威♯3を検出することができるので、攻撃情報生成部36は、攻撃A、B、Hを含む攻撃情報を生成してもよい。また、攻撃Aを解析することにより脅威♯2を検出し、攻撃Gを解析することにより脅威♯3を検出することができるので、攻撃情報生成部36は、攻撃A、Gを含む攻撃情報を生成してもよい。また、攻撃Eおよび攻撃Fを解析することにより脅威♯2を検出し、攻撃Bおよび攻撃Hを解析することにより脅威♯3を検出することができるので、攻撃情報生成部36は、攻撃E、F、B、Hを含む攻撃情報を生成してもよい。また、監視装置16は、攻撃Eおよび攻撃Fを解析することにより脅威♯2を検出し、攻撃Gを解析することにより脅威♯3を検出することができるので、攻撃情報生成部36は、攻撃E、F、Gを含む攻撃情報を生成してもよい。これにより、攻撃情報生成部36は、1または複数の脅威事象のそれぞれについて、手順情報に示される1または複数の攻撃のうち少なくとも対象の脅威事象を検出可能な1または複数の攻撃を、攻撃情報に示される複数の検出対象攻撃に含めることができる。
【0031】
攻撃-ログデータベース記憶部38は、攻撃-ログデータベースを記憶する。攻撃-ログデータベースは、例えば、図7に示すように、監視対象システム12に対して行われる複数の攻撃のそれぞれ毎に、攻撃を検出することが可能な検出可能ログが予め登録されている。
【0032】
ログセット生成部40は、攻撃情報に示される複数の検出対象攻撃のそれぞれ毎に、攻撃-ログテーブルに基づき、それぞれが複数の検出対象攻撃の全てを検出可能な1または複数の検出可能ログの組み合わせを示す複数のログセットを生成する。攻撃-ログテーブルは、監視対象システム12から取得される複数のログのうちの攻撃を検出することが可能な検出可能ログを示す。例えば、ログセット生成部40は、攻撃-ログテーブル生成部52と、組合せ部54とを有する。
【0033】
攻撃-ログテーブル生成部52は、攻撃-ログデータベース記憶部38に記憶された攻撃-データベースを参照することにより、攻撃-ログテーブルを生成する。例えば、図8に示すように、攻撃情報に攻撃A、B、E、F、GおよびHが検出対象攻撃として含まれる場合、攻撃-ログテーブル生成部52は、攻撃-データベースにおける攻撃A、B、E、F、GおよびHに関する部分を抽出して、攻撃-ログテーブルを生成する。例えば、図8の攻撃-ログテーブルは、攻撃Aについてログ#1、ログ#3およびログ#4が検出可能ログとして示され、攻撃Bについてログ#2が検出可能ログとして示され、攻撃Eについてログ#1およびログ#2が検出可能ログとして示され、攻撃Fについてログ#2が検出可能ログとして示され、攻撃Gについてログ#2、ログ#4が検出可能ログとして示され、攻撃Hについてログ#1、ログ#4が検出可能ログとして示される。
【0034】
組合せ部54は、攻撃-ログテーブルを参照して複数の検出対象攻撃の全てを検出可能な1または複数の検出可能ログの組み合わせを検出して、複数のログセットを生成する。例えば、組合せ部54は、複数の検出対象攻撃の全てを検出するために必要最小限となる1または複数の検出可能ログの組み合わせを含むログセットを少なくとも生成する。
【0035】
図8に示した攻撃-ログテーブルを参照すると、ログ♯1およびログ♯2を解析することにより検出対象攻撃A、B、E、F、GおよびHの全てを検出することができることがわかる。この場合、ログ♯1およびログ♯2以外のログを解析する必要はない。また、図8に示した攻撃-ログテーブルを参照すると、ログ♯2およびログ♯4を解析することによっても検出対象攻撃A、B、E、F、GおよびHの全てを検出することができることがわかる。この場合、ログ♯2およびログ♯4以外のログを解析する必要はない。従って、図8に示した攻撃-ログテーブルを参照することによって、組合せ部54は、図9に示すような、ログ♯1およびログ♯2の組み合わせを示すログセット#1と、ログ♯2およびログ♯4の組み合わせを示すログセット#2とを生成することができる。
【0036】
なお、組合せ部54は、必要最小限となる1または複数の検出可能ログのセットに他のログを加えたログセットも、さらに追加して生成してもよい。例えば、組合せ部54は、ログ♯1およびログ♯2に、さらにログ♯3を加えたログセット♯3をさらに生成してもよい。
【0037】
制約データベース記憶部42は、制約データベースを記憶する。制約データベースは、例えば、図10に示すように、複数のログのそれぞれ、および、監視処理の実行に制約を与える複数の制約要因のそれぞれ毎に、監視するための制約の小ささを表す簡易度が予め設定されている。
【0038】
複数の制約要因は、例えば、解析困難性、データ発生量および解析コストの少なくとも1つを含む。解析困難性は、例えば、対応するログを解析するために、セキュリティの専門家が解析をしなければならない等の制約を表す。また、データ発生量は、対応するログを解析するために、ログ保存のための記憶領域を多く確保する必要がある等の制約を表す。解析コストは、対応するログを解析するために、高価な解析ソフトウェアを導入しなければならなく、多くのコストがかかる等の制約を表す。
【0039】
そして、解析困難性についての簡易度は、ログの解析が容易な程大きく、ログの解析が困難な程小さい。例えば、図10の解析困難性についての簡易度は、ランクAの場合、ログの解析が容易であり、ランクBの場合、ログの解析が普通であり、ランクCの場合、ログの解析が困難なことを示す。
【0040】
また、データ発生量についての簡易度は、発生する単位時間当たりのデータ量が小さい程大きく、データ発生が大きい程小さい。例えば、図10のデータ発生量についての簡易度は、ランクAの場合、単位時間当たりのデータ量が小さく、ランクBの場合、単位時間当たりのデータ量が普通であり、ランクCの場合、単位時間当たりのデータ量が大きいことを示す。
【0041】
また、解析コストについての簡易度は、ログを解析するコストが少ない程大きく、コストが高い程小さい。例えば、図10の解析コストについての簡易度は、ランクAの場合、解析コストが小さく、ランクBの場合、解析コストが普通であり、ランクCの場合、解析コストが大きいことを示す。
【0042】
なお、簡易度は、図10の例では3段階で表されているが、2段階であってもよい。また、簡易度は、4段階以上で表されていてもよい。
【0043】
制約入力部44は、複数の制約要因のそれぞれの重みをユーザから受け付ける。重みは、対応する制約要因を重視する割合を示す値である。例えば、複数の制約要因として、解析困難性、データ発生量および解析コストを含む場合、制約入力部44は、解析困難性、データ発生量および解析コストのそれぞれに対する重みの入力をユーザから受け付ける。
【0044】
また、制約入力部44は、複数の制約要因のそれぞれに対して重みが割り当てられた複数の選択肢が予め登録されていてもよい。この場合、制約入力部44は、ユーザに複数の選択肢のうちの何れか1つを選択させる。
【0045】
例えば、図11に示すように、制約入力部44は、重みの合計が100点となるように、解析困難性、データ発生量および解析コストのそれぞれに重みを割り当てた複数の選択肢が登録されていてもよい。例えば、データ発生量をとても少なくする選択肢は、解析困難性に10点の重みが割り当てられ、データ発生量に80点の重みが割り当てられ、解析コストに10点の重みが割り当てられている。また、例えば、解析コストを若干少なくする選択肢は、解析困難性に30点の重みが割り当てられ、データ発生量に30点の重みが割り当てられ、解析コストに40点の重みが割り当てられている。また、例えば、解析コストをとても少なくする選択肢は、解析困難性に10点の重みが割り当てられ、データ発生量に10点の重みが割り当てられ、解析コストに80点の重みが割り当てられている。複数の選択肢のうちの何れかが選択された場合、制約入力部44は、複数の制約要因のそれぞれについて、選択された選択肢に割り当てられている重みを出力する。
【0046】
優先度算出部46は、ログセット生成部40により生成された複数のログセットを取得する。優先度算出部46は、制約データベースを参照して、複数のログセットのそれぞれについて、1または複数の検出可能ログのそれぞれの簡易度を取得する。この場合において、優先度算出部46は、制約データベースを参照して、1または複数の検出可能ログのそれぞれの簡易度を、複数の制約要因のそれぞれ毎に取得する。そして、優先度算出部46は、取得した簡易度を、対応する数値に置き換える。例えば、図12に示すように、優先度算出部46は、ランクAを5、ランクBを2.5、ランクCを0に置き換える。
【0047】
続いて、優先度算出部46は、複数のログセットのそれぞれについて、複数の制約要因のそれぞれ毎に1または複数の検出可能ログの簡易度を加算した加算値を算出する。
【0048】
例えば、図13に示すように、優先度算出部46は、ログセット#1の解析困難性について、ログ#1のランクAの数値である5と、ログ#2のランクBの数値である2.5とを加算した加算値を算出する。また、優先度算出部46は、ログセット#1のデータ発生量について、ログ#1のランクBの数値である2.5と、ログ#2のランクBの数値である2.5とを加算した加算値を算出する。また、優先度算出部46は、ログセット#1の解析コストについて、ログ#1のランクAの数値である5と、ログ#2のランクAの数値である5とを加算した値を算出する。優先度算出部46は、ログセット#2についても同様に、解析困難性、データ発生量および解析コストのそれぞれについて加算値を算出する。
【0049】
続いて、優先度算出部46は、制約入力部44から、ユーザから受け付けた複数の制約要因のそれぞれの重みを取得する。そして、優先度算出部46は、複数のログセットのそれぞれについて、1または複数の検出可能ログのそれぞれの簡易度に基づき、監視を優先する度合いを表す優先度を算出する。例えば、優先度算出部46は、複数のログセットのそれぞれについて、1または複数の検出可能ログのそれぞれの簡易度を所定の演算式により合成することにより、優先度を算出する。例えば、優先度算出部46は、複数のログセットのそれぞれについて、複数の制約要因のそれぞれ毎の加算値に対して対応する重みを乗じ、重みを乗じた加算値を複数の制約要因の全てについて合計した合計値を算出する。さらに、優先度算出部46は、複数のログセットのそれぞれについて、合計値を、1または複数の検出可能ログの数により除算することにより優先度を算出する。
【0050】
例えば、図14に示すように、データ発生量をとても少なくする選択肢を受け付けた場合、優先度算出部46は、解析困難性の重みとして10点、データ発生量の重みとして80点、および、解析コストの重みとして10点を取得する。この場合、優先度算出部46は、ログセット#1について、解析困難性の加算値である7.5を10で除算した値に解析困難性の重みである10点を乗算した値(7.5)と、データ発生量の加算値である5を10で除算した値にデータ発生量の重みである80点を乗算した値(40)と、解析コストの加算値である10を10で除算した値に解析コストの重みである10点を乗算した値(10)とを合計した合計値(57.5)を算出する。
【0051】
そして、優先度算出部46は、合計値(57.5)を、ログセット#1に含まれるログの個数である2で除算した値(28.75)を、ログセット#1の優先度として算出する。なお、解析をすべきログの数が増えた場合、解析困難性が増し、データ発生量が増え、解析コストが高くなると考えられる。このため、優先度算出部46は、合計値をログの数で除算することにより1つのログ当たりの値に変換することにより、ログセットの数に関わらずログセットとログセットとの間で優先度を比較可能としている。また、優先度算出部46は、データ発生量をとても少なくする選択肢を受け付けた場合、ログセット#2についても、同様に演算を実行して、優先度(33.75)を算出する。
【0052】
また、例えば、図15に示すように、解析コストを若干少なくする選択肢を受け付けた場合、優先度算出部46は、解析困難性の重みとして30点、データ発生量の重みとして30点、および、解析コストの重みとして40点を取得する。この場合、優先度算出部46は、ログセット#1について、解析困難性の加算値である7.5を10で除算した値に解析困難性の重みである30点を乗算した値(22.5)と、データ発生量の加算値である5を10で除算した値にデータ発生量の重みである30点を乗算した値(15)と、解析コストの加算値である10を10で除算した値に解析コストの重みである40点を乗算した値(40)とを合計した合計値(77.5)を算出する。そして、優先度算出部46は、合計値(77.5)を、ログセット#1に含まれるログの個数である2で除算した値(38.75)を、ログセット#1の優先度として算出する。また、優先度算出部46は、解析コストを若干少なくする選択肢を受け付けた場合、ログセット#2についても、同様に演算を実行して、優先度(25)を算出する。
【0053】
なお、優先度算出部46は、他の演算方法により優先度を算出してもよい。また、優先度は、監視を優先する順位であってもよい。例えば、優先度算出部46は、予め学習された機械学習モデルを用意し、機械学習モデルに複数のログセットおよび制約情報を入力して、複数のログセットのそれぞれの優先度を出力させてもよい。また、優先度算出部46は、ログの数が少ない程、優先度が高くなるパラメータを加えた演算をして、優先度を算出してもよい。
【0054】
出力部48は、ログセット生成部40により生成された複数のログセット、および、優先度算出部46により算出された複数のログセットのそれぞれの優先度を出力する。なお、出力部48は、複数のログセットの中から、優先度が上位の1または複数のログセットを選択して出力してもよい。優先度が上位の1または複数のログセットを選択して出力する場合、出力部48は、優先度を出力しなくてもよい。
【0055】
図16は、第1実施形態に係るログ推薦装置20の処理の流れを示すフローチャートである。第1実施形態に係るログ推薦装置20は、図16に示す流れで処理を実行する。
【0056】
まず、S11において、ログ推薦装置20は、1または複数の脅威事象を示す脅威情報を取得する。
【0057】
続いて、S12において、ログ推薦装置20は、脅威情報に示された1または複数の脅威事象のうち、未処理の脅威事象が有るか否かを判断する。未処理の脅威事象が有る場合(S12のYes)、ログ推薦装置20は、処理をS13に進める。
【0058】
S13において、ログ推薦装置20は、脅威情報に示された1または複数の脅威事象のうちの1つを処理対象の脅威事象とし、処理対象の脅威事象について、1または複数の攻撃による攻撃手順を示す手順情報を取得する。続いて、S14において、ログ推薦装置20は、取得した手順情報に示された1または複数の攻撃のうちの、処理対象の脅威事象を検出するために検出すべき1または複数の検出対象攻撃を特定して、攻撃情報に追加する。ログ推薦装置20は、S14の処理を終えると、処理をS12に戻し、未処理の脅威事象が無くなるまで、S13およびS14の処理を繰り返す。未処理の脅威事象が無くなった場合(S12のNo)、ログ推薦装置20は、処理をS15に進める。
【0059】
S15において、ログ推薦装置20は、攻撃-ログデータベースを参照して、攻撃情報に示される複数の検出対象攻撃のそれぞれ毎に、攻撃を検出することが可能な検出可能ログを取得して、攻撃-ログテーブルを生成する。
【0060】
続いて、S16において、ログ推薦装置20は、攻撃-ログテーブルに基づき、それぞれが複数の検出対象攻撃の全てを検出可能な1または複数の検出可能ログの組み合わせを示す複数のログセットを生成する。
【0061】
続いて、S17において、ログ推薦装置20は、複数の制約要因のそれぞれの重みをユーザから受け付ける。この場合、ログ推薦装置20は、複数の制約要因のそれぞれに対して重みが割り当てられた複数の選択肢の中から、ユーザに何れかの1つ選択肢を選択させてもよい。
【0062】
続いて、S18において、ログ推薦装置20は、生成した複数のログセットのうち、未処理のログセットが有るか否かを判断する。未処理のログセットが有る場合(S18のYes)、ログ推薦装置20は、処理をS19に進める。
【0063】
S19において、ログ推薦装置20は、生成した複数のログセットのうちの1つを処理対象のログセットとし、処理対象のログセットについて優先度を算出する。ログ推薦装置20は、S19の処理を終えると、処理をS18に戻し、未処理のログセットが無くなるまで、S19の処理を繰り返す。未処理のログセットが無くなった場合(S18のNo)、ログ推薦装置20は、処理をS20に進める。
【0064】
S20において、ログ推薦装置20は、生成された複数のログセット、および、優先度算出部46により算出された複数のログセットのそれぞれの優先度を、複数のログセットのそれぞれに対応付けて出力する。これに代えて、ログ推薦装置20は、生成された複数のログセットのうち優先度が上位の1または複数のログセットを選択し、選択した1または複数のログセットを出力してもよい。S20の処理を終えると、ログ推薦装置20は、本フローを終了する。
【0065】
以上のような第1実施形態に係るログ推薦装置20によれば、脅威事象を効率良く検出させる1または複数のログを示すログセットを、機械的に出力することができる。さらに、ログ推薦装置20は、監視処理に対して制約を与える複数の制約要因の影響を少なくするログセットを出力することができる。また、さらに、ログ推薦装置20は、複数の制約要因の影響を考慮する重みを、ユーザによる設定に応じて調整することができる。これにより、ログ推薦装置20によれば、解析困難性、データ発生量および解析コスト等のシステム固有の要件を考慮したログセットが出力することができる。従って、ログ推薦装置20は、ログを生成したり追加したりするためのリソース制約が大きく、大幅な機能追加をすることが困難な社会インフラシステム等に対して、限られた機能を用いて最大限のセキュリティ対策を実行させることができる。
【0066】
なお、ログ推薦装置20は、サイバー攻撃等による脅威事象を未然に検出するために限らず、例えば、フォレンジックと呼ばれる攻撃の分析をする場合にも用いることができる。この場合、ログ推薦装置20は、攻撃を検出することが可能な検出可能ログとして、フォレンジックを行う際にログから得られる情報が十分であるログであればよい。また、ログ推薦装置20は、故障による脅威事象を未然に検出したり、故障により発生した脅威事象を分析したりする場合にも用いられてもよい。この場合、ログ推薦装置20は、ログの活用目的に応じて、各データベースおよび優先度の算出アルゴリズムを変更すればよい。
【0067】
(第2実施形態)
つぎに第2実施形態に係る制御システム10について説明をする。第2実施形態に係る制御システム10は、図1から図16を参照して説明した第1実施形態と略同一の機能および構成を有するので、略同一の機能および構成を有する構成要素については同一符号を付けて、相違点を除き詳細な説明を省略する。
【0068】
図17は、第2実施形態に係るログ推薦装置20の構成を示す図である。
【0069】
第2実施形態に係るログ推薦装置20は、攻撃-ログデータベース記憶部38に代えて、攻撃実行部62と、ログ検出部64とを備える。
【0070】
攻撃実行部62は、動作中の監視対象システム12に対して複数の攻撃を実行する。例えば、攻撃実行部62は、データベースに予め登録された攻撃プログラム等を取得して、取得した攻撃プログラムを実行することにより、監視対象システム12に対して攻撃を実行する。また、攻撃実行部62は、複数の攻撃のうちの第1の攻撃について、複数の攻撃手法が存在する場合、第1の攻撃を実行する場合に、複数の攻撃手法を同時に実行してもよい。
【0071】
ログ検出部64は、実行した複数の攻撃のそれぞれ毎に、監視対象システム12の動作中に記録される複数のログのうちの検出可能ログを検出して、攻撃-ログテーブルを生成する。ログ検出部64は、攻撃実行部62による攻撃中において、監視対象システム12から取得された複数のログのそれぞれを解析して、攻撃を検出できたか否かを判断する。例えば、ログ検出部64は、攻撃実行部62による攻撃中において、特定の文字列が検出されたログを検出可能ログとして検出してもよい。また、ログ検出部64は、複数のログのそれぞれについて通常操作時に出力されるデータを学習しておき、攻撃実行部62による攻撃中において、学習されていないデータを出力するログを検出可能ログとして検出してもよい。また、ログ検出部64は、攻撃実行部62が第1の攻撃において複数の攻撃手法を同時に実行した場合、複数の攻撃手法の全てを検出できるログを、検出可能ログとして検出してもよい。
【0072】
図18は、第2実施形態に係るログ推薦装置20の処理の流れを示すフローチャートである。第2実施形態に係るログ推薦装置20は、図18に示す流れで処理を実行する。
【0073】
まず、S11~S14まで、ログ推薦装置20は、図16に示す第1実施形態の処理と同一の処理を実行する。ログ推薦装置20は、未処理の脅威事象が無くなった場合(S12のNo)、処理をS31に進める。
【0074】
S31において、ログ推薦装置20は、攻撃情報に示される複数の検出対象攻撃のうち未実行の検出対象攻撃が有るか否かを判断する。未実行の検出対象攻撃が有る場合(S31のYes)、ログ推薦装置20は、処理をS32に進める。
【0075】
S32において、ログ推薦装置20は、未実行の検出対象攻撃のうちの1つを対象攻撃として、対象攻撃を動作中の監視対象システム12に対して実行する。続いて、S33において、ログ推薦装置20は、対象攻撃を実行中において、監視対象システム12の動作中に記録される複数のログのうちの検出可能ログを検出する。ログ推薦装置20は、検出可能ログが検出できた場合、検出可能ログを攻撃-ログテーブルに登録する。ログ推薦装置20は、S33の処理を終えると、処理をS31に戻し、未実施の検出対象攻撃が無くなるまで、S32およびS33の処理を繰り返す。未実施の検出対象攻撃が無くなった場合(S31のNo)、ログ推薦装置20は、処理をS17に進める。
【0076】
そして、S17からS20まで、ログ推薦装置20は、図16に示す第1実施形態の処理と同一の処理を実行する。S20の処理を終えると、ログ推薦装置20は、本フローを終了する。
【0077】
第1実施形態においては、攻撃-ログデータベースを参照して攻撃-ログテーブルを生成する。しかし、攻撃によっては予め検出可能ログを決定しておくことが困難な場合もある。第2実施形態に係るログ推薦装置20は、予め検出可能ログを決定しておくことが困難な攻撃があっても、確実に、脅威事象を検出させる1または複数のログを示すログセットを、機械的に出力することができる。
【0078】
(ハードウェア構成)
図19は、各実施形態に係るログ推薦装置20のハードウェア構成の一例を示す図である。ログ推薦装置20は、例えば図19に示すようなハードウェア構成のコンピュータにより実現される。ログ推薦装置20は、CPU(Central Processing Unit)301と、RAM(Random Access Memory)302と、ROM(Read Only Memory)303と、操作入力装置304と、表示装置305と、記憶装置306と、通信装置307とを備える。そして、これらの各部は、バスにより接続される。
【0079】
CPU301は、プログラムに従って演算処理および制御処理等を実行するプロセッサである。CPU301は、RAM302の所定領域を作業領域として、ROM303および記憶装置306等に記憶されたプログラムとの協働により各種処理を実行する。
【0080】
RAM302は、SDRAM(Synchronous Dynamic Random Access Memory)等のメモリである。RAM302は、CPU301の作業領域として機能する。ROM303は、プログラムおよび各種情報を書き換え不可能に記憶するメモリである。
【0081】
操作入力装置304は、マウスおよびキーボード等の入力デバイスである。操作入力装置304は、ユーザから操作入力された情報を指示信号として受け付け、指示信号をCPU301に出力する。
【0082】
表示装置305は、LCD(Liquid Crystal Display)等の表示デバイスである。表示装置305は、CPU301からの表示信号に基づいて、各種情報を表示する。
【0083】
記憶装置306は、フラッシュメモリ等の半導体による記憶媒体、または、磁気的若しくは光学的に記録可能な記憶媒体等にデータを書き込みおよび読み出しをする装置である。記憶装置306は、CPU301からの制御に応じて、記憶媒体にデータの書き込みおよび読み出しをする。通信装置307は、CPU301からの制御に応じて外部の機器とネットワークを介して通信する。
【0084】
コンピュータで実行されるプログラムは、脅威入力モジュールと、攻撃情報生成モジュールと、ログセット生成モジュールと、制約入力モジュールと、優先度算出モジュールと、出力モジュールとを含むモジュール構成となっている。さらに、プログラムは、攻撃実行モジュールと、ログ検出モジュールとを含んでもよい。
【0085】
このプログラムは、CPU301(プロセッサ)によりRAM302上に展開して実行されることにより、コンピュータを脅威入力部32、攻撃情報生成部36、ログセット生成部40、制約入力部44、優先度算出部46、および、出力部48として機能させる。さらに、このプログラムは、攻撃実行部62およびログ検出部64としてさらに機能させてもよい。なお、脅威入力部32、攻撃情報生成部36、ログセット生成部40、制約入力部44、優先度算出部46、出力部48、攻撃実行部62およびログ検出部64の一部または全部がハードウェア回路で実現されてもよい。また、RAM302および記憶装置306は、手順データベース記憶部34、攻撃-ログデータベース記憶部38および制約データベース記憶部42として機能する。
【0086】
また、コンピュータで実行されるプログラムは、コンピュータにインストール可能な形式または実行可能な形式のファイルで、CD-ROM、フレキシブルディスク、CD-R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
【0087】
また、このプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、このプログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。また、ログ推薦装置20で実行されるプログラムを、ROM303等に予め組み込んで提供するように構成してもよい。
【0088】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0089】
10 制御システム
12 監視対象システム
14 記録装置
16 監視装置
20 ログ推薦装置
32 脅威入力部
34 手順データベース記憶部
36 攻撃情報生成部
38 攻撃-ログデータベース記憶部
40 ログセット生成部
42 制約データベース記憶部
44 制約入力部
46 優先度算出部
48 出力部
52 攻撃-ログテーブル生成部
54 組合せ部
62 攻撃実行部
64 ログ検出部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.