知財求人 - 知財ポータルサイト「IP Force」
特許7647929セキュリティ対策立案システム、セキュリティ対策立案方法及び、プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-03-10
(45)【発行日】2025-03-18
(54)【発明の名称】セキュリティ対策立案システム、セキュリティ対策立案方法及び、プログラム
(51)【国際特許分類】
G06F 21/57 20130101AFI20250311BHJP
【FI】
G06F21/57 370
【請求項の数】
9
(21)【出願番号】P 2023565733
(86)(22)【出願日】2021-12-07
(86)【国際出願番号】 JP2021044928
(87)【国際公開番号】W WO2023105629
(87)【国際公開日】2023-06-15
【審査請求日】2024-06-06
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100080816
【弁理士】
【氏名又は名称】加藤 朝道
(74)【代理人】
【識別番号】100098648
【弁理士】
【氏名又は名称】内田 潔人
(72)【発明者】
【氏名】井ノ口 真樹
(72)【発明者】
【氏名】柳生 智彦
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2016-143299(JP,A)
【文献】特開2005-135239(JP,A)
【文献】米国特許出願公開第2021/0110047(US,A1)
【文献】特開2007-316821(JP,A)
【文献】特開2005-234840(JP,A)
【文献】特開2009-110177(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55-57
(57)【特許請求の範囲】
【請求項1】
診断対象のシステムに含まれる一つ以上の資産のリスク値を計算する機能部と、前記機能部の計算する前記資産のリスク値の将来のリスク推定値を推定する、リスク変化推定部と、
リスク変化推定部で推定された前記将来のリスク推定値に基づいて対策案を選択する対策決定部を含む、セキュリティ対策立案システムであって
選択した前記対策案に対して、前記リスク推定値が、決められた閾値以上になると推定される時期を、次回診断時期及び再度リスク分析を行う時期として決定する診断時期決定部をさらに含み、
前記次回診断時期と前記再度リスク分析を行う時期を決定する前記閾値は、異なった値である、セキュリティ対策立案システム。
【請求項2】
前記リスク変化推定部は、事業被害レベル、脅威レベル、脆弱性レベルの少なくとも1つの将来の変化の推定値に基づいて、前記将来のリスク推定値を推定する、請求項1に記載のセキュリティ対策立案システム。
【請求項3】
前記リスク変化推定部は、前記診断対象のシステムの構成変更履歴、ホストの資産種別、前記資産のリスク値の計算時の前記診断対象のシステムの資産の集約状態、前記診断対象のシステムの資産の運用ルール及び、攻撃コード出現確率と脅威予測の少なくとも一つに基づいて、前記脅威レベルの将来の変化の推定値を推定する、請求項2に記載のセキュリティ対策立案システム。
【請求項4】
前記リスク変化推定部は、各対策に対して、適用可能な前記資産の対策個所を抽出し、
前記対策と前記対策個所の組について、対策種別と、対策導入可能時期と、対策の効果の変動情報の少なくとも一つに基づいて、前記対策を導入した場合の前記脆弱性レベルの将来の変化の推定値を推定する、請求項2又は3に記載のセキュリティ対策立案システム。
【請求項5】
前記対策決定部は、前記将来のリスク推定値と、対策ポリシーと、前記対策に要するコストを用いて、前記対策案を決定する、請求項4に記載のセキュリティ対策立案システム。
【請求項6】
前記対策決定部は、前記リスク変化推定部で推定された前記将来のリスク推定値と、入力された前記対策ポリシーと、前記対策に要するコストと、対策コスト及び予算情報とに従って最終的な対策案を決定する、請求項5に記載のセキュリティ対策立案システム。
【請求項7】
選択した前記対策案に対して、前記対策案の前記資産のリスク値が高くなると予想される時期の情報を生成する、注意情報生成部をさらに含む、請求項1から6のいずれか一項に記載のセキュリティ対策立案システム。
【請求項8】
診断対象のシステムに含まれる一つ以上の資産のリスク値を計算するステップと、計算された前記資産のリスク値の将来のリスク推定値を推定する、リスク変化推定ステップと、
推定された前記将来のリスク推定値に基づいて対策案を選択する対策決定ステップを含む、セキュリティ対策立案方法であって、
選択した前記対策案に対して、前記リスク推定値が、決められた閾値以上になると推定される時期を、次回診断時期及び再度リスク分析を行う時期として決定する診断時期決定ステップをさらに含み、
前記次回診断時期と前記再度リスク分析を行う時期を決定する前記閾値は、異なった値である、セキュリティ対策立案方法。
【請求項9】
コンピュータに、診断対象のシステムに含まれる一つ以上の資産のリスク値を計算する処理と、
計算された前記資産のリスク値の将来のリスク推定値を推定する、リスク変化推定処理と、
推定された前記将来のリスク推定値に基づいて対策案を選択する対策決定処理と、
選択した前記対策案に対して、前記リスク推定値が、決められた閾値以上になると推定される時期を、次回診断時期及び再度リスク分析を行う時期として決定する診断時期決定処理、を実行させ、
前記次回診断時期と前記再度リスク分析を行う時期を決定する前記閾値は、異なった値である、プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ対策立案システム、セキュリティ対策立案方法及び、プログラムに関する。
【背景技術】
【0002】
診断対象システムのリスク分析では、分析時点での各種構成情報をもとに、侵入口から攻撃目標に至るまでの攻撃手段や攻撃条件、経由するホストなどの情報を含む攻撃グラフを抽出する。攻撃に対する対策立案では、攻撃ルートに含まれる攻撃手段や攻撃条件が成立しなくなるように対策を導入することでリスクを低減する。
【0003】
特許文献1は、セキュリティ・システムに関して、国際標準(Common Criteria)で規定しているPP(Protection Profile) /ST(Security Target)作成のためのセキュリティ・システムの計画・設計方法に関するものである。
【0004】
特許文献2は、有効的に情報セキュリティマネジメントが行えるよう支援する情報セキュリティマネジメント支援システムに関するものである。
【0005】
特許文献3は、セキュリティやリスクの状態を認識して、対策を講じるのを可能にするセキュリティ監視装置に関するものである。
【0006】
特許文献4は、業務プロセス全体として、矛盾がないリスク対策の計画および実施を支援するリスク管理装置に関するものである。
【0007】
特許文献5は、リスクの評価において、客観的な指標をユーザに提示できるセキュリティリスク分析支援装置に関するものである。
【先行技術文献】
【特許文献】
【0008】
【文献】特開2000-132767号公報
【文献】特開2005-293267号公報
【文献】特開2007-316821号公報
【文献】特開2010-176274号公報
【文献】国際公開第2021/059471号
【発明の概要】
【発明が解決しようとする課題】
【0009】
以下の分析は、本発明によって与えられたものである。
【0010】
しかしながら、対策が、即時導入可能か又は導入までに時間がかかるか、恒久的な対策か又は一時的な対策かのような対策の効果の時間変化や、攻撃コードの出現、診断対象システムの構成変更などの脅威の時間変化等により、対策の効果やシステムに内在する脅威のリスクは時間経過に伴い変化するため、診断対象システムのリスク分析時点のリスクだけを考慮して対策案を構成すると、効果的な対策とならないことも多い。
【0011】
本発明は、システムに内在するセキュリティリスクの時間変化に基づいて、対策を選択することに貢献する、セキュリティ対策立案システム、セキュリティ対策立案方法及び、プログラムを提供することを目的とする。
【課題を解決するための手段】
【0012】
本発明の第1の視点によれば、診断対象のシステムに含まれる一つ以上の資産のリスク値を計算する機能部と、
前記機能部の計算する前記資産のリスク値の将来のリスク推定値を推定する、リスク変化推定部と、
リスク変化推定部で推定された前記将来のリスク推定値に基づいて対策案を選択する対策決定部を含む、セキュリティ対策立案システムを提供することができる。
前記機能部の計算する前記資産のリスク値の将来のリスク推定値を推定する、リスク変化推定部と、
リスク変化推定部で推定された前記将来のリスク推定値に基づいて対策案を選択する対策決定部を含む、セキュリティ対策立案システムを提供することができる。
【0013】
本発明の第2の視点によれば、診断対象のシステムに含まれる一つ以上の資産のリスク値を計算するステップと、
計算された前記資産のリスク値の将来のリスク推定値を推定する、リスク変化推定ステップと、
推定された前記将来のリスク推定値に基づいて対策案を選択する対策決定ステップを含む、セキュリティ対策立案方法を提供できる。
計算された前記資産のリスク値の将来のリスク推定値を推定する、リスク変化推定ステップと、
推定された前記将来のリスク推定値に基づいて対策案を選択する対策決定ステップを含む、セキュリティ対策立案方法を提供できる。
【0014】
本発明の第3の視点によれば、コンピュータに、
診断対象のシステムに含まれる一つ以上の資産のリスク値を計算する処理と、
計算された前記資産のリスク値の将来のリスク推定値を推定する、リスク変化推定処理と、
推定された前記将来のリスク推定値に基づいて対策案を選択する対策決定処理を実行させる、プログラムを提供することができる。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
診断対象のシステムに含まれる一つ以上の資産のリスク値を計算する処理と、
計算された前記資産のリスク値の将来のリスク推定値を推定する、リスク変化推定処理と、
推定された前記将来のリスク推定値に基づいて対策案を選択する対策決定処理を実行させる、プログラムを提供することができる。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
【発明の効果】
【0015】
本発明によれば、システムに内在するセキュリティリスクの時間変化に基づいて、対策を選択することに貢献する、セキュリティ対策立案システム、セキュリティ対策立案方法及び、プログラムを提供することができる。
【図面の簡単な説明】
【0016】
【図1】本発明の一実施形態のセキュリティ対策立案システムの構成の一例を示す図である。
【図2】本発明の一実施形態のセキュリティ対策立案システムの動作内容の概念の一例を示す図である。
【図3】本発明の一実施形態のセキュリティ対策立案システムの動作の一例の概略を示す図である。
【図4】本発明の一実施形態のセキュリティ対策立案システムの動作の一例の概略を示す図である。
【図5】本発明の第1の実施形態のセキュリティ対策立案システムの構成の一例を示す図である。
【図6】本発明の第1の実施形態のセキュリティ対策立案システムのリスク分析部の構成の一例を示す図である。
【図7】本発明の第1の実施形態のセキュリティ対策立案システムの将来リスク推定情報部の格納情報の一例を示す図である。
【図8】本発明の第1の実施形態のセキュリティ対策立案システムの将来リスク推定情報部の格納情報の一例を示す図である。
【図9】本発明の第1の実施形態のセキュリティ対策立案システムの対策候補情報部の格納情報の一例を示す図である。
【図10】本発明の第1の実施形態のセキュリティ対策立案システムのリスク変化推定部の概略構成の一例を示す図である。
【図11】本発明の第1の実施形態のセキュリティ対策立案システムの対策決定部の概略構成の一例を示す図である。
【図12】本発明の第1の実施形態のセキュリティ対策立案システムの対策決定部の動作の一例の概要を示す図である。
【図13】本発明の第1の実施形態のセキュリティ対策立案システムの対策決定部の出力の一例を示す図である。
【図14】本発明の第2の実施形態のセキュリティ対策立案システムの構成一例を示す図である。
【図15】本発明の第3の実施形態のセキュリティ対策立案システムの構成の一例を示す図である。
【図16】本発明の第3の実施形態のセキュリティ対策立案システムの診断時期決定部の構成の一例を示す図である。
【図17】本発明の第3の実施形態のセキュリティ対策立案システムの動作の一例を示す図である。
【図18】本発明の第4の実施形態のセキュリティ対策立案システムの構成の一例を示す図である。
【図19】本発明の第4の実施形態のセキュリティ対策立案システムの注意情報生成部の構成の一例を示す図である。
【図20】本発明の第4の実施形態のセキュリティ対策立案システムの動作の一例を示す図である。
【図21】本発明のセキュリティ対策立案システムを構成するコンピュータの構成を示す図である。
【発明を実施するための形態】
【0017】
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。
【0018】
図1は、本発明の一実施形態のセキュリティ対策立案システムの構成の一例を示す図である。セキュリティリスクは、事業被害レベルと、脅威レベルと、脆弱性レベルの3要素から算出することができる。例えばこれら3要素を数値化しその積をもとにセキュリティリスク値を定めることができる。事業被害レベルとは、脅威が発生したときにどの程度の被害が発生するかということであり、脅威レベルとは、脅威が発生する可能性であり、脆弱性レベルとは、脅威を受容する可能性である。以下に示す本発明の一実施形態のセキュリティ対策立案システムは、事業被害レベル、脅威レベル、脆弱性レベルの変化を推定し、適切な対策を選択することに貢献することができる。
【0019】
図1を参照すると、本発明の一実施形態のセキュリティ対策立案システム100は、リスク分析部110と、リスク変化推定部120と、対策決定部130を含み、診断対象システムの構成情報101を入力とし、セキュリティ対策案102を選択し、出力する。
【0020】
図2は、本発明の一実施形態のセキュリティ対策立案システム100の動作内容の概念の一例を示す図である。セキュリティ対策立案の診断対象システム210から情報収集220を行い、診断対象システムの構成情報101を取得し、取得した構成情報101を推論エンジン230によりリスク分析240を行って、攻撃ルートとリスク値250を抽出する。攻撃ルートとリスク値250に対して、リスク変化推定及び対策決定を行い、対策案102を選択し、出力する。
【0021】
図3及び図4は、本発明の一実施形態のセキュリティ対策立案システム100の動作の一例の概略を示す図である。図3及び図4を用いて、図1の本発明の一実施形態のセキュリティ対策立案システム100の動作を説明する。図3の攻撃者の攻撃ルートと前記攻撃ルートのリスク値250は、図4の導入可能な対策320へ続くものとする。図3及び図4において、図2で記載した参照符号と同一の参照符号は、同一の構成要素を示すものとする。
【0022】
図3は、診断対象システム210の構成の一例と、これに対応する攻撃グラフ310のイメージの一例及び、抽出した攻撃ルートとリスク値を示す図である。図3の一例の診断対象システム210は、パーソナルコンピュータPC1と、PC2と、PC3がネットワーク303で接続され、また、パーソナルコンピュータPC4と、サーバ1と、サーバ2がネットワーク308で接続され、ネットワーク303とネットワーク308がファイアーウォールFWを介して接続されている。図3において、PC1、PC2、PC3からの、サーバ1、PC4、サーバ2へのアクセスは許可される構成である。
【0023】
図3の診断対象システム210から抽出された構成情報101が、図1のリスク分析部110に入力される。リスク分析部110では、診断対象システム210の構成情報101から、攻撃者の攻撃ルートと前記攻撃ルートのリスク値250を抽出するリスク分析を行う。リスク分析においては、リスク分析部110は、対象のシステムの構成情報101を用いて、攻撃グラフ310を抽出し、攻撃グラフ310に基づいて、攻撃者の攻撃ルートと前記攻撃ルートのリスク値250を抽出する。抽出された攻撃ルートとリスク値250には、複数の攻撃ルート(攻撃ルート1、2、3等)と、各攻撃ルートに対応するリスク値(リスク値B、B、A等)が含まれてもよい。
【0024】
ここで、攻撃グラフ310は、診断対象システム210の構成情報101を分析して抽出されたものであり、攻撃グラフ310の攻撃元及び攻撃先のノードPC1、PC2、PC3、PC4、サーバ1,サーバ2は、診断対象システム210内のホストPC1、PC2、PC3、PC4、サーバ1,サーバ2に対応する。攻撃ルートとリスク値250内の、攻撃ルートは、攻撃グラフ310から、攻撃ステップ(辺)をつなげた攻撃ルートを抽出したものであり、ノードを順次に列挙することにより、侵入口から攻撃目標に至る、攻撃グラフ上の各攻撃ルートを示したものである。また、攻撃ルートとリスク値250内の、リスク値(リスクB、リスクA等)は、各攻撃ルートのリスク値を示している。
【0025】
ここに、攻撃グラフとは、各攻撃ステップの可能な組み合わせによる流れ(攻撃ルート)を示すチャートないし、図式表現を言う。また、攻撃手段により別の状態(ノード)に至る各段階を攻撃ステップと呼び、攻撃ルートは、各攻撃ステップ(攻撃手段を示す辺)をつなげたものである。
【0026】
次に、図1のリスク変化推定部120は、リスク分析部110の抽出する攻撃ルートのリスク値の将来のリスク推定値であるリスク時系列変化を推定する。本一実施形態では、例示として、脆弱性レベルの変化を推定して、リスク時系列変化を推定する。脆弱性レベルの変化の推定によるリスク時系列変化の推定において、リスク変化推定部120は、図4に例示されているような導入可能な対策320を抽出する。対策の内容としては、例えば図4に例示されているような、パーソナルコンピュータPC2でオペレーティングシステム(OS)をアップデートする(対策案1)、サーバ室ネットワーク(NW)に侵入防止システム(IPS(Intrusion Prevention System))を導入する(対策案2)、サーバ1にアンチウイルスソフトを導入する(対策案3)、サーバ2にアンチウイルスソフトを導入する(対策案4)等がある。
【0027】
次に、図1のリスク変化推定部120は、各攻撃ルートに対して、各対策案を適用した場合の将来のリスクの推定値であるリスク時系列変化330、335を算出する。例えば、図4に例示されているように、対策案1を適用した場合において、攻撃ルート1のリスク値が、1週間後にE、1か月後にD、半年後にCとなる、リスク時系列変化が推定される(330)。また、対策案2を適用した場合において、攻撃ルート1のリスク値が、1週間後にC、1か月後にC、半年後にCとなる、リスク時系列変化が、推定される(335)。攻撃ルート2、3についても、同様である。
【0028】
次に、図1の対策決定部130は、リスク変化推定部120で推定されたリスク時系列変化330、335に従って対策案102を選択し、出力する。例えば、図4に例示しているように、2か月後以降の平均リスクを最小化するというポリシー340に従う場合には、最終の対策案102として、サーバ室NWにIPSを導入するという、対策案2が選択されて、出力される。
【0029】
以上のように、本発明の一実施形態により、システムに内在するセキュリティリスクの時間変化に基づいて、対策を選択することに貢献する、セキュリティ対策立案システムを提供できる。
【0030】
[第1の実施形態]
次に、本発明の第1の実施形態のセキュリティ対策立案システムの構成について、図面を参照して説明する。図5は、本発明の第1の実施形態のセキュリティ対策立案システム100の構成の一例を示す図である。
次に、本発明の第1の実施形態のセキュリティ対策立案システムの構成について、図面を参照して説明する。図5は、本発明の第1の実施形態のセキュリティ対策立案システム100の構成の一例を示す図である。
【0031】
図5を参照すると、本発明の第1の実施形態のセキュリティ対策立案システム100は、リスク分析部110と、リスク変化推定部120と、対策決定部130と、将来リスク推定情報部140と、対策候補情報部150とを含む。リスク分析部110には、診断対象システムの構成情報101が入力され、対策決定部130は対策ポリシー(ポリシー情報)106に基づいて、対策案102を選択し、出力する。
【0032】
図6は、本発明の第1の実施形態のセキュリティ対策立案システム100のリスク分析部110の構成の一例を示す図である。図6を参照すると、リスク分析部110は、脆弱性情報データベース(DB)111、分析ルール格納部112、推論部113、攻撃グラフ情報出力部114、攻撃ルート抽出部115、リスク計算部116を含む。リスク分析部110は、診断対象システムの構成情報101から、図3に例示するような、攻撃ルート1、2、3と、各攻撃ルートのリスク値を抽出するリスク分析を行う。
【0033】
推論部113は、収集した例えば図3に例示される診断対象システム210の構成情報101をもとに、どのホストからどのホストに対してどのような攻撃が可能かを推論する。構成情報101は、診断対象システム210に含まれるホスト情報、ネットワーク構成、各ホストにインストールされているオペレーティングシステム(OS)やソフトウェア、各OSやソフトウェアの脆弱性情報、データフロー情報などを含む。脆弱性情報DB111は、各脆弱性の攻撃条件や、攻撃結果等を格納している。分析ルール格納部112は、どのような攻撃がどのような条件のもとで実施可能かの情報を記載している分析ルールを格納している。攻撃グラフ情報出力部114で、上記の情報をつなぎ合わせることで、例えば図3に例示される攻撃グラフ310のような、攻撃グラフを出力する。次に、攻撃ルート抽出部115は、攻撃グラフに基づいて、例えば図3に例示される攻撃ルートとリスク値250内の攻撃ルート1、2、3のような、攻撃グラフに含まれる攻撃ルートを抽出する。また、リスク計算部116は、抽出した攻撃ルートごとに、例えば図3に例示される攻撃ルートとリスク値250内のリスク値(リスクB、リスクB、リスクA)のような、リスク値を計算する。以上のように、リスク分析部110は、診断対象システムの構成情報101から、リスク分析を行って、攻撃ルートと、各攻撃ルートのリスク値を抽出する。
【0034】
なお、攻撃ルートのリスク値の計算例としては、攻撃ルートに含まれる攻撃ステップのリスク値の最低値をその攻撃ルートのリスク値とすることができる。また、攻撃ステップのリスク値の計算例としては、攻撃ステップに利用される攻撃手段や攻撃に利用される脆弱性ごとにリスク値を決めることができる。さらに、攻撃手段ごとにリスク値のテーブルを用意して、リスク値を計算してもよい。また、脆弱性のCVSS(Common Vulnerability Scoring System)のスコアを用いてリスク値を決定することもできる。
【0035】
図5に示す本発明の第1の実施形態のセキュリティ対策立案システムのリスク変化推定部120は、将来リスク推定情報部140と対策候補情報部150に格納された情報を利用して、将来のリスク推定値であるリスク時系列変化を推定する。
【0036】
最初に、将来リスク推定情報部140と対策候補情報部150に格納された情報について説明する。
【0037】
【0038】
将来リスク推定情報部140は、図7に例示するように、診断対象システムの構成変更履歴141、ホストの資産種別142、リスク分析時の診断対象のシステムの資産の集約状態143、診断対象のシステムの資産の運用ルール(運用情報)144及び、図8に例示するように、攻撃コード出現確率145と脅威予測146を含む外部要因を格納する。なお、将来リスク推定情報部140は、予め必要な上記に例示されたような情報を手動で入力しておいてもよい。また、資産の集約状態143はリスク分析部110で設定するようにしてもよい。攻撃コード出現確率145や脅威予測146については、ウェブ(Web)上から情報を収集することもできる。さらに、過去のリスク分析で利用した構成情報をもとに構成変更履歴141を作成することも可能である。
【0039】
図9は、本発明の第1の実施形態のセキュリティ対策立案システム100の対策候補情報部150の格納情報の一例を示す図である。対策候補情報部150は、対策種別151と、対策可能な攻撃手段(対策対象)152と、対策のコスト153、対策導入可能時期(対策を導入できるまでの期間)154と対策の効果の変動情報155を含む時期に関する情報156を格納する。
【0040】
図10は、本発明の第1の実施形態のセキュリティ対策立案システム100のリスク変化推定部120の概略構成の一例を示す図である。図10を参照すると、リスク変化推定部120は、対策抽出部121、リスク時系列変化推定部122を含む。
【0041】
図10に例示するリスク変化推定部120は、リスク分析部110の出力する攻撃ルートと各攻撃ルートのリスク値104に対して、事業被害レベル、脅威レベル、脆弱性レベルの少なくとも1つの将来の変化の推定値に基づいて、将来のリスク推定値を決定する。即ち、各攻撃ルートに対して、事業被害レベル、脅威レベル、脆弱性レベルの将来の変化の推定値の少なくとも1つに基づいて、各攻撃ルートのリスク値が将来どのように変化するかを推定する。なお、事業被害レベル、脅威レベル、脆弱性レベルの将来の変化の推定値は、以下のように推定する。
【0042】
[1.脅威レベルの変化の推定]
脅威レベルの変化の推定は、リスク時系列変化推定部122が、リスク分析部110の出力するリスク分析時の攻撃ルートのリスク値104に対して、将来リスク推定情報部140に格納された診断対象システムの構成変更履歴141、ホストの資産種別142、リスク分析時の診断対象のシステムの資産の集約状態143、診断対象システムの資産の運用ルール(運用情報)144及び、攻撃コードの出現確率145と脅威予測146を含む外部要因等の少なくとも1つの情報に基づいて、以下のように推定する。
脅威レベルの変化の推定は、リスク時系列変化推定部122が、リスク分析部110の出力するリスク分析時の攻撃ルートのリスク値104に対して、将来リスク推定情報部140に格納された診断対象システムの構成変更履歴141、ホストの資産種別142、リスク分析時の診断対象のシステムの資産の集約状態143、診断対象システムの資産の運用ルール(運用情報)144及び、攻撃コードの出現確率145と脅威予測146を含む外部要因等の少なくとも1つの情報に基づいて、以下のように推定する。
【0043】
(1-1)診断対象のシステムの構成変更履歴141において、
(1-1a)新しいソフトウェアを頻繁にインストールしている場合には、将来に、脆弱性のあるソフトウェアがインストールされる可能性があるという、脅威レベルの変化が推定される。例えば、構成変更履歴において、予め決められた期間内で予め決められた回数以上ソフトウェアのインストールを行っている場合、新しいソフトウェアを頻繁にインストールしていると判断できる。
(1-1a)新しいソフトウェアを頻繁にインストールしている場合には、将来に、脆弱性のあるソフトウェアがインストールされる可能性があるという、脅威レベルの変化が推定される。例えば、構成変更履歴において、予め決められた期間内で予め決められた回数以上ソフトウェアのインストールを行っている場合、新しいソフトウェアを頻繁にインストールしていると判断できる。
【0044】
(1-1b)ファイアーウォール(FW)のポリシーが頻繁に変更されている場合には、将来、リモートから攻撃できるようになる可能性があるという、脅威レベルの変化が推定される。例えば、構成変更履歴において、予め決められた期間内で予め決められた回数以上FWのポリシーが変更されている場合、FWのポリシーを頻繁に変更していると判断できる。
【0045】
(1-2)ホストの資産種別142
オペレーショナルテクノロジー(OT)機器の場合には、アップデートできないのでリスクが上がりやすいという、脅威レベルの変化が推定される。
オペレーショナルテクノロジー(OT)機器の場合には、アップデートできないのでリスクが上がりやすいという、脅威レベルの変化が推定される。
【0046】
(1-3)リスク分析時の診断対象のシステムの資産の集約状態143
リスク分析時に同じ構成の資産を1台に集約して分析することがあり、このような場合に、沢山のホストを集約している場合には、どれか1台が攻撃できればよいためリスクが上がりやすいという、脅威レベルの変化が推定される。
リスク分析時に同じ構成の資産を1台に集約して分析することがあり、このような場合に、沢山のホストを集約している場合には、どれか1台が攻撃できればよいためリスクが上がりやすいという、脅威レベルの変化が推定される。
【0047】
(1-4)診断対象のシステムの資産の運用ルール(運用情報)144
購入してからN年経過したサーバを廃棄する場合には、将来当該ホストが攻撃されるリスクがなくなるという、脅威レベルの変化が推定される。
購入してからN年経過したサーバを廃棄する場合には、将来当該ホストが攻撃されるリスクがなくなるという、脅威レベルの変化が推定される。
【0048】
(1-5)外部要因の攻撃コードの出現確率145
あるソフトウェアで脆弱性が見つかった後、攻撃コードが発見される確率を過去の統計情報をもとに予測して、脅威レベルを推定する。
あるソフトウェアで脆弱性が見つかった後、攻撃コードが発見される確率を過去の統計情報をもとに予測して、脅威レベルを推定する。
【0049】
(1-6)外部要因の脅威予測146
はやりの攻撃手法の場合には、直近のリスクを高くする。例えば、イベント期間中の場合には、主催者や同じ地域のシステムは狙われやすくなり、脅威レベルは高く推定される。
はやりの攻撃手法の場合には、直近のリスクを高くする。例えば、イベント期間中の場合には、主催者や同じ地域のシステムは狙われやすくなり、脅威レベルは高く推定される。
【0050】
なお、上記(1-1)から(1-6)の情報ごとに、具体的な数値へと変換するテーブルを用いて、リスク分析部110の出力するリスク分析時の攻撃ルートのリスク値104に対して、脅威レベルの将来の変化の推定値を算出するようにしてもよい。
【0051】
[2.脆弱性レベルの変化の推定]
リスク変化推定部120の対策抽出部121が、リスク分析部110の出力した攻撃ルート103に対して、対策候補情報部150に格納された対策可能な攻撃手段(対策対象)152と対策種別151に基づいて、当該対策を適用可能な対策箇所を抽出する。次に、対策と対策箇所の組について、各対策の対策種別151と、対策導入可能時期154と、対策の効果の変動情報155に基づいて、当該対策を導入した場合の将来の脆弱性レベルを計算する。対策抽出部121による脆弱性レベルの推定は、対策種別151と、対策導入可能時期154と、対策の効果の変動情報155の少なくとも一つに基づいて、以下のように行われる。
リスク変化推定部120の対策抽出部121が、リスク分析部110の出力した攻撃ルート103に対して、対策候補情報部150に格納された対策可能な攻撃手段(対策対象)152と対策種別151に基づいて、当該対策を適用可能な対策箇所を抽出する。次に、対策と対策箇所の組について、各対策の対策種別151と、対策導入可能時期154と、対策の効果の変動情報155に基づいて、当該対策を導入した場合の将来の脆弱性レベルを計算する。対策抽出部121による脆弱性レベルの推定は、対策種別151と、対策導入可能時期154と、対策の効果の変動情報155の少なくとも一つに基づいて、以下のように行われる。
【0052】
(2-1)対策種別
対策種別151によって一時的か、恒久的かが決定され、脆弱性レベルの変化が異なって推定される。
対策種別151によって一時的か、恒久的かが決定され、脆弱性レベルの変化が異なって推定される。
【0053】
(2-2)対策を導入できるまでの期間(対策導入可能時期154)
導入可能時期が、即時可能である場合、製品を購入するまで時間がかかる場合、次の構成変更のタイミングまで待つ必要がある場合、予算が取れるまで待つ必要がある場合等によって、脆弱性レベルの変化が異なって推定される。
導入可能時期が、即時可能である場合、製品を購入するまで時間がかかる場合、次の構成変更のタイミングまで待つ必要がある場合、予算が取れるまで待つ必要がある場合等によって、脆弱性レベルの変化が異なって推定される。
【0054】
(2-3)対策種別151内の運用ルール
例えば、Nか月ごとにソフトウェア(SW)またはオペレーティングシステム(OS)のアップデートがなされる場合には、Nか月おきに脆弱性を使った攻撃が実施される確率が下がると推定される。
例えば、Nか月ごとにソフトウェア(SW)またはオペレーティングシステム(OS)のアップデートがなされる場合には、Nか月おきに脆弱性を使った攻撃が実施される確率が下がると推定される。
【0055】
(2-4)対策が効果を発揮するまでの期間(対策の効果の変動情報155)
ホワイトリストを学習する場合に、学習に時間がかかると、対策が効果を発揮するまでの期間が長くなり、その間は、脆弱性レベルが改善されないと推定される。
ホワイトリストを学習する場合に、学習に時間がかかると、対策が効果を発揮するまでの期間が長くなり、その間は、脆弱性レベルが改善されないと推定される。
【0056】
[3.事業被害レベルの変化の推定]
あらかじめ入力された事業被害レベルに関する情報を用いて、事業被害レベルの変化を推定する。例えば、X月~Y月は繁忙期でシステムが停止した場合の影響が大きい場合には、脆弱性レベルが高いことが推定される。
あらかじめ入力された事業被害レベルに関する情報を用いて、事業被害レベルの変化を推定する。例えば、X月~Y月は繁忙期でシステムが停止した場合の影響が大きい場合には、脆弱性レベルが高いことが推定される。
【0057】
リスク変化推定部120では、上記の様に対策抽出部121が、リスク分析部110の出力した攻撃ルート103に対して、対策候補情報部150に格納された各対策案を適用した場合の脆弱性レベルの時間変化の推定値を推定して出力し、リスク時系列変化推定部122が、将来リスク推定情報部140に格納された情報に基づいて、脅威レベルの変化の推定値を推定する。そして、リスク時系列変化推定部122が、リスク分析部110の出力するリスク分析時の攻撃ルートのリスク値104に、対策抽出部121が推定した脆弱性レベルの時間変化の推定値と、リスク時系列変化推定部122が推定した脅威レベルの変化の推定値を乗じて、将来のリスク推定値であるリスク時系列変化105を推定し、出力する。また、あらかじめ入力された事業被害レベルの変化の推定値をさらに乗じて、リスク時系列変化105を推定してもよい。なお、脆弱性レベルの時間変化の推定値と、脅威レベルの変化の推定値と、事業被害レベルの変化の推定値の少なくとも1つに基づいて、将来のリスク推定値であるリスク時系列変化105を推定してもよい。
【0058】
図11は、本発明の第1の実施形態のセキュリティ対策立案システム100の対策決定部130の概略構成の一例を示す図である。図11を参照すると、対策決定部130は、対策効果検証部131と組み合わせ対策案構成部132を含む。
【0059】
図11に示す対策決定部130は、リスク変化推定部120で推定された対策案ごとの攻撃ルートに対する将来のリスク推定値であるリスク時系列変化105に基づいて、対策効果検証部131で、各対策案が、対策候補情報部150に格納された各対策のコストを参照して、与えられた対策ポリシー106を満たすかを、検証する。
【0060】
対策決定部130の対策効果検証部131に入力される対策ポリシー106の一例は、例えば、以下のようである。
(1)対策のコストXX以下で、A週間以内にリスクをα以下にする。
(2)対策のコストYY以下で、できるだけ長い期間リスク値β以下になるようにする。
(3)対策のコストZZ以下で、B月~C月までの間のリスクを最小化する。
(1)対策のコストXX以下で、A週間以内にリスクをα以下にする。
(2)対策のコストYY以下で、できるだけ長い期間リスク値β以下になるようにする。
(3)対策のコストZZ以下で、B月~C月までの間のリスクを最小化する。
【0061】
対策効果検証部131は、対策ポリシー106を満たす対策案が見つかった場合、それを対策案102として選択し、出力する。
【0062】
一方、対策ポリシー106を満たす対策案が見つからない場合、組み合わせ対策案構成部132で対策案を組み合わせて新しい対策案を構成し、再度、対策効果検証部131が、与えられた対策ポリシー106を満たすかを、検証する。例えば、単純な方法ではすべての対策案の組み合わせを構成することができる。また、1回目は2つの対策の組み合わせ、2回目は3つの対策の組み合わせという形で、組み合わせる対策の数を徐々に増やすこともできる。
【0063】
図12は、本発明の第1の実施形態のセキュリティ対策立案システム100の対策決定部130の動作の一例の概要を示す図である。対策決定部130の組み合わせ対策案構成部132は、単純な方法としては、対策ポリシーを満たす、対策を行った攻撃ルートの組み合わせを総当たりで探索することができる。即ち、図12の左側に例示して記載(1201、1202)したように、対策案を適用した対策ポリシー106を満たす対策案1又は対策案2を選択し、出力することができる。なお、図12に記載の例示のリスクは、Aが最も高く、A>B>C>D>Eの順に低くなるものとする。また、図12の右側に例示して記載(1203)したように、対策案を適用した対策ポリシー106を満たす対策案1及び対策案2の組み合わせを選択し、出力することができる。このように組み合わせた対策案の場合には、図12の右側に例示して記載(1203)した網掛け部分のように、リスクの推定値はそれぞれのリスクの推定値の中の最小値を取ることができる。あるいは、コストXX以下でポリシーを満たす対策案、コストYY以下でポリシーを満たす対策案のように、コストごとに対策案を選択し、出力することもできる。
【0064】
図13は、本発明の第1の実施形態のセキュリティ対策立案システム100の対策決定部130の出力例(出力例1及び出力例2)を示す図である。図13に例示して記載したように、対策案の出力に加え、攻撃ルートの時系列的なリスクの推定値を出力に含むことができる。図13の出力例1は、対策なし1301、対策案X1302、対策案Y1303を適用した場合の、各攻撃ルートの平均リスク値の経時変化を示すグラフ1300であり、出力例2は、対策なし1301、対策案X1302、対策案Y1303を適用した場合の各攻撃ルートのリスク値の経時変化を表形式1310で出力したものである。
【0065】
以上のように、本発明の第1の実施形態により、システムに内在するセキュリティリスクの時間変化に基づいて、対策を選択することに貢献する、セキュリティ対策立案システムを提供できる。
【0066】
[第2の実施形態]
次に、本発明の第2の実施形態の本発明のセキュリティ対策立案システム1400について、図面を参照して説明する。図14は、本発明の第2の実施形態のセキュリティ対策立案システム1400の構成一例を示す図である。図14において、図5と同一の参照符号を付した構成要素は、同一の構成要素であるものとし、その説明を省略する。
次に、本発明の第2の実施形態の本発明のセキュリティ対策立案システム1400について、図面を参照して説明する。図14は、本発明の第2の実施形態のセキュリティ対策立案システム1400の構成一例を示す図である。図14において、図5と同一の参照符号を付した構成要素は、同一の構成要素であるものとし、その説明を省略する。
【0067】
図14の本発明の第2の実施形態のセキュリティ対策立案システム1400は、図5に示す本発明の第1の実施形態のセキュリティ対策立案システム100の対策決定部130において、対策ポリシー106に加えて、コスト・予算情報170も入力し、対策決定部130が、リスク変化推定部120で推定された将来のリスク推定値であるリスク時系列変化と、入力された対策ポリシー106及び、コスト及び予算情報170とに従って最終的な対策案102を決定する構成である。
【0068】
対策候補情報部150に格納された各対対策コストは、定期メンテナンスのタイミングであれば少ないコストで導入できる、製品の価格の変化(長期割引など)、人件費の変化というように、時間に従って変化する。一方、年度ごとの予算も、時間に従って変化する。従って、対策決定部130が、入力されたコスト・予算情報170の内のコスト情報に従って、対策候補情報部150に格納され対策決定部130により参照された各対策のコストを変更し、また、入力されたコスト・予算情報170の内の予算情報に従って、対策ポリシー106を変更することにより、対策コスト・予算の時間変化に基づいて対策案102を決定することができる。
【0069】
[第3の実施形態]
次に、本発明の第3の実施形態の本発明のセキュリティ対策立案システムについて、図面を参照して説明する。図15は、本発明の第3の実施形態のセキュリティ対策立案システム1500の構成の一例を示す図である。図15において、図5と同一の参照符号を付した構成要素は、同一の構成要素であるものとし、その説明を省略する。
次に、本発明の第3の実施形態の本発明のセキュリティ対策立案システムについて、図面を参照して説明する。図15は、本発明の第3の実施形態のセキュリティ対策立案システム1500の構成の一例を示す図である。図15において、図5と同一の参照符号を付した構成要素は、同一の構成要素であるものとし、その説明を省略する。
【0070】
図15の本発明の第3の実施形態のセキュリティ対策立案システム1500は、図5に示す本発明の第1の実施形態のセキュリティ対策立案システム100の対策決定部130の出力に、更に診断時期決定部180を付加した構成である。
【0071】
図16は、本発明の第3の実施形態のセキュリティ対策立案システム1500の診断時期決定部180の構成の一例を示す図である。診断時期決定部180は、対策決定部130が選択し、出力した対策案102を採用した場合に、次回の診断時期を提案する機能を備えている。図16を参照すると、診断時期決定部180は、リスク変化計算部181と、次回診断時期決定部182を含む。
【0072】
診断時期決定部180のリスク変化計算部181は、対策案102を使用する場合のリスク値の変化を計算する。例えば、リスク値の変化として、各時期の攻撃ルートのリスク値の平均を算出することができる。また、リスク値の変化として、特定の代表的な攻撃ルートのリスク値の変化を用いることができる。
【0073】
次回診断時期決定部182は、リスク変化計算部181の計算した変化するリスク値が、決められた閾値以上になる時期を次回診断時期108として出力する
【0074】
図17は、本発明の第3の実施形態のセキュリティ対策立案システム1500の動作の一例を示す図である。
【0075】
診断時期決定部180では、攻撃ルートの平均リスク値の将来のリスクの推定値であるリスク時系列変化をもとに、リスクが高くなると予想される次期を次回診断時期108として出力する。例えば、対策案102について、各攻撃ルートの将来のリスク推定値であるリスク時系列変化が図17の左側の表に例示するように経時変化する場合に、図17の右側に例示するように(1701)、攻撃ルートの平均のリスクの推定値1702が閾値を超える時期を次回診断時期108として出力する。なお、次回診断時期108は、再度リスク分析を行う時期とすることもできるし、対策案102の立案を見直す時期とすることもできる。また、次回診断時期108を判断するのに使用する閾値と、再度リスク分析を行う時期を判断するのに使用する閾値は、異なる値としてもよい。
【0076】
[第4の実施形態]
次に、本発明の第4の実施形態の本発明のセキュリティ対策立案システムについて、図面を参照して説明する。図18は、本発明の第4の実施形態のセキュリティ対策立案システム1800の構成一例を示す図である。図18において、図5と同一の参照符号を付した構成要素は、同一の構成要素であるものとし、その説明を省略する。
次に、本発明の第4の実施形態の本発明のセキュリティ対策立案システムについて、図面を参照して説明する。図18は、本発明の第4の実施形態のセキュリティ対策立案システム1800の構成一例を示す図である。図18において、図5と同一の参照符号を付した構成要素は、同一の構成要素であるものとし、その説明を省略する。
【0077】
図18の本発明の第4の実施形態のセキュリティ対策立案システム1800は、図5に示す本発明の第1の実施形態のセキュリティ対策立案システム100の対策決定部130に、注意情報生成部190を加えた構成である。
【0078】
図19は、本発明の第4の実施形態のセキュリティ対策立案システム1800の注意情報生成部190の構成の一例を示す図である。
【0079】
注意情報生成部190は、対策決定部130が選択し、出力した対策案102を採用した場合にリスクが高くなると予想される時期と攻撃ルートの情報を生成する。図19を参照すると、注意情報生成部190は、リスク値変化計算部191と、注意時期決定部192を含む。
【0080】
注意時期決定部192とリスク値変化計算部191は、対策案102を使用する場合のリスク値の変化を計算する。例えば、リスク値の変化として、各時期の攻撃ルートのリスク値の平均を算出することができる。また、リスク値の変化として、特定の代表的な攻撃ルートのリスク値の変化を用いることができる。
【0081】
注意時期決定部192は、リスク値変化計算部191の計算した変化するリスク値が、決められた閾値以上になる時期を注意情報107として出力する。
【0082】
図20は、本発明の第4の実施形態のセキュリティ対策立案システム1800の動作の一例を示す図である。注意情報生成部190では、図20に示すように、攻撃ルート1から3ごとの将来のリスクの推定値をもとに、攻撃ルートのリスクが高くなる時期を抽出し注意情報107を生成する。
【0083】
例えば、図20に記載されている例では、攻撃ルート1(2001)については、5か月後以降に将来のリスク推定値が閾値を越え、攻撃ルート2(2002)については、1か月後~5か月後及び6か月後~10か月後の間に将来のリスク推定値が閾値を越え、攻撃ルート3(2003)については、閾値を越えない。なお、攻撃ルート2(2002)の例については、定期的にOSのアップデートを行う場合などには、攻撃ルート2(2002)のようにリスク値が振動することがある。
【0084】
これに対応して、攻撃ルートのリスク値が閾値を超える期間、即ち、攻撃ルート1(2001)は5か月後以降、攻撃ルート2(2002)は1か月~5か月後及び6か月~10か月を攻撃ルートの要注意期間として抽出し、注意情報107を生成する。なお、攻撃ルート3(2003)については、注意情報は生成されない。
【0085】
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したシステム構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。また、以下の説明において、「A及び/又はB」は、A又はBの少なくともいずれかという意味で用いる。
【0086】
また、上記した第1~第4の実施形態に示した手順は、セキュリティ対策立案システム100、1400,1500、1800として機能するコンピュータ(図21の9000)に、セキュリティ対策立案システム100、1400,1500、1800としての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図21のCPU(Central Processing Unit)9010、通信インタフェース9020、メモリ9030、補助記憶装置9040を備える構成に例示される。すなわち、図21のCPU9010にて、攻撃ルート抽出プログラムを実行し、その補助記憶装置9040等に保持された各計算パラメータの更新処理を実施させればよい。
【0087】
メモリ9030は、RAM(Random Access Memory)、ROM(Read Only Memory)等である。
【0088】
即ち、上記した第1~第4の実施形態に示したセキュリティ対策立案システムの各部(処理手段、機能)は、上記コンピュータのプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。
【0089】
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点による攻撃ルート抽出システム参照)
[第2の形態]
第1の形態に記載のセキュリティ対策立案システムは、前記リスク変化推定部は、事業被害レベル、脅威レベル、脆弱性レベルの少なくとも1つの将来の変化の推定値に基づいて、前記将来のリスク推定値を推定する、ことが好ましい。
[第3の形態]
第2の形態に記載のセキュリティ対策立案システムは、前記リスク変化推定部は、前記診断対象のシステムの構成変更履歴、ホストの資産種別、前記資産のリスク値の計算時の前記診断対象のシステムの資産の集約状態、前記診断対象のシステムの資産の運用ルール及び、攻撃コード出現確率と脅威予測の少なくとも一つに基づいて、前記脅威レベルの将来の変化の推定値を推定する、ことが好ましい。
[第4の形態]
第2又は3の形態に記載のセキュリティ対策立案システムは、前記リスク変化推定部は、
各対策に対して、適用可能な前記資産の対策個所を抽出し、
前記対策と前記対策個所の組について、対策種別と、対策導入可能時期と、対策の効果の変動情報の少なくとも一つに基づいて、前記対策を導入した場合の前記脆弱性レベルの将来の変化の推定値を推定する、ことが好ましい。
[第5の形態]
第2から4の形態に記載のセキュリティ対策立案システムは、前記対策決定部は、前記将来のリスク推定値と、対策ポリシーと、前記対策に要するコストを用いて、前記対策案を決定する、ことが好ましい。
[第6の形態]
第5の形態に記載のセキュリティ対策立案システムは、前記対策決定部は、前記リスク変化推定部で推定された前記将来のリスク推定値と、入力された前記対策ポリシーと、前記対策に要するコストと、対策コスト及び予算情報とに従って最終的な対策案を決定する、ことが好ましい。
[第7の形態]
第1から6の形態に記載のセキュリティ対策立案システムは、選択した前記対策案に対して、次回診断時期を決定する診断時期決定部をさらに含む、ことが好ましい。
[第8の形態]
第1から7の形態に記載のセキュリティ対策立案システムは、選択した前記対策案に対して、前記対策案の前記資産のリスク値が高くなると予想される時期の情報を生成する、注意情報生成部をさらに含む、ことが好ましい。
[第9の形態]
(上記第2の視点による方法参照)
[第10の形態]
(上記第3の視点によるプログラム参照)
なお、上記第9、第10の形態は、第1の形態と同様に、第2~第8の形態に展開することが可能である。
[第1の形態]
(上記第1の視点による攻撃ルート抽出システム参照)
[第2の形態]
第1の形態に記載のセキュリティ対策立案システムは、前記リスク変化推定部は、事業被害レベル、脅威レベル、脆弱性レベルの少なくとも1つの将来の変化の推定値に基づいて、前記将来のリスク推定値を推定する、ことが好ましい。
[第3の形態]
第2の形態に記載のセキュリティ対策立案システムは、前記リスク変化推定部は、前記診断対象のシステムの構成変更履歴、ホストの資産種別、前記資産のリスク値の計算時の前記診断対象のシステムの資産の集約状態、前記診断対象のシステムの資産の運用ルール及び、攻撃コード出現確率と脅威予測の少なくとも一つに基づいて、前記脅威レベルの将来の変化の推定値を推定する、ことが好ましい。
[第4の形態]
第2又は3の形態に記載のセキュリティ対策立案システムは、前記リスク変化推定部は、
各対策に対して、適用可能な前記資産の対策個所を抽出し、
前記対策と前記対策個所の組について、対策種別と、対策導入可能時期と、対策の効果の変動情報の少なくとも一つに基づいて、前記対策を導入した場合の前記脆弱性レベルの将来の変化の推定値を推定する、ことが好ましい。
[第5の形態]
第2から4の形態に記載のセキュリティ対策立案システムは、前記対策決定部は、前記将来のリスク推定値と、対策ポリシーと、前記対策に要するコストを用いて、前記対策案を決定する、ことが好ましい。
[第6の形態]
第5の形態に記載のセキュリティ対策立案システムは、前記対策決定部は、前記リスク変化推定部で推定された前記将来のリスク推定値と、入力された前記対策ポリシーと、前記対策に要するコストと、対策コスト及び予算情報とに従って最終的な対策案を決定する、ことが好ましい。
[第7の形態]
第1から6の形態に記載のセキュリティ対策立案システムは、選択した前記対策案に対して、次回診断時期を決定する診断時期決定部をさらに含む、ことが好ましい。
[第8の形態]
第1から7の形態に記載のセキュリティ対策立案システムは、選択した前記対策案に対して、前記対策案の前記資産のリスク値が高くなると予想される時期の情報を生成する、注意情報生成部をさらに含む、ことが好ましい。
[第9の形態]
(上記第2の視点による方法参照)
[第10の形態]
(上記第3の視点によるプログラム参照)
なお、上記第9、第10の形態は、第1の形態と同様に、第2~第8の形態に展開することが可能である。
【0090】
なお、上記の特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
【符号の説明】
【0091】
100 セキュリティ対策立案システム
101 構成情報
102 対策案
106 対策ポリシー
107 注意情報
108 次回診断時期
110 リスク分析部
111 脆弱性情報データベース(DB)
112 分析ルール格納部
113 推論部
114 攻撃グラフ情報出力部
115 攻撃ルート抽出部
116 リスク値計算部
120 リスク変化推定部
121 対策抽出部
122 リスク時系列変化推定部
130 対策決定部
131 対策効果検証部
132 組み合わせ対策案構成部
140 将来リスク推定情報部
150 対策候補情報部
170 コスト及び予算情報
180 診断時期決定部
181 リスク変化計算部
182 次回診断時期決定部
190 注意情報生成部
191 リスク値変化計算部
192 注意時期決定部
9000 コンピュータ
9010 CPU
9020 通信インタフェース
9030 メモリ
9040 補助記憶装置
101 構成情報
102 対策案
106 対策ポリシー
107 注意情報
108 次回診断時期
110 リスク分析部
111 脆弱性情報データベース(DB)
112 分析ルール格納部
113 推論部
114 攻撃グラフ情報出力部
115 攻撃ルート抽出部
116 リスク値計算部
120 リスク変化推定部
121 対策抽出部
122 リスク時系列変化推定部
130 対策決定部
131 対策効果検証部
132 組み合わせ対策案構成部
140 将来リスク推定情報部
150 対策候補情報部
170 コスト及び予算情報
180 診断時期決定部
181 リスク変化計算部
182 次回診断時期決定部
190 注意情報生成部
191 リスク値変化計算部
192 注意時期決定部
9000 コンピュータ
9010 CPU
9020 通信インタフェース
9030 メモリ
9040 補助記憶装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】