ホーム > 特許ランキング > Kyndryl Inc.
特表2023-550270リソース制約のあるデバイスのための適応型セキュリティ
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-12-01
(54)【発明の名称】リソース制約のあるデバイスのための適応型セキュリティ
(51)【国際特許分類】
G06F 21/57 20130101AFI20231124BHJP
G06F 21/55 20130101ALI20231124BHJP
【FI】
G06F21/57 370
G06F21/55
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023526177
(86)(22)【出願日】2021-10-07
(85)【翻訳文提出日】2023-06-02
(86)【国際出願番号】 IB2021059206
(87)【国際公開番号】W WO2022090840
(87)【国際公開日】2022-05-05
(31)【優先権主張番号】17/082,348
(32)【優先日】2020-10-28
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.MySQL
(71)【出願人】
【識別番号】521555742
【氏名又は名称】キンドリル・インク
【氏名又は名称原語表記】Kyndryl Inc.
【住所又は居所原語表記】One Vanderbilt Avenue,15th Floor,New York,New York 10017,USA
(74)【代理人】
【識別番号】110000420
【氏名又は名称】弁理士法人MIP
(72)【発明者】
【氏名】シャイデラー,ティム
(72)【発明者】
【氏名】スル,マティアス
(72)【発明者】
【氏名】ウドゥピ ラガヴェンドラ,アルジュン
(72)【発明者】
【氏名】ジョバンニーニ,アンドレア
(57)【要約】
サイバー攻撃に対するコンピューティングリソース制約のあるデバイスの保護を提供するための方法は、侵害指標(IoC)の形態で脅威インテリジェンスデータを収集することを含む。指標は、サイバー攻撃チェーンに関するデータを含む。方法は、また、デバイスについてサイバー攻撃チェーンの関連性を決定することと、IoCのそれらの検出および複数のIoCに対するそれらのそれぞれの対応に関してセキュリティ対策の利用量を測定することと、セキュリティ対策のリソース消費量を測定することと、その利用量およびそれを用いて検出された複数のIoCの関連性の値によって表現される、少なくとも1つのセキュリティ対策についての利益値を決定することとを含む。
【特許請求の範囲】
【請求項1】
サイバー攻撃に対するリソース制約のあるデバイスを保護するための方法であって、脅威インテリジェンスデータを収集することであって、前記脅威インテリジェンスデータは、侵害指標(IoC)を含み、前記IoCは、サイバー攻撃チェーンに関するデータを含む、収集することと、
前記デバイスについて前記IoCの関連性を決定することと、
前記IoCのそれらの検出および前記IoCに対するそれらのそれぞれの対応に関してセキュリティ対策の利用量を測定することと、
前記セキュリティ対策のリソース消費量を測定することと、
前記セキュリティ対策について利益値を決定することであって、前記利益値は、少なくとも部分的に前記利用量に基づき、また、前記セキュリティ対策を用いて検出された前記IoCの前記関連性に基づく、決定することと
を含む、方法。
【請求項2】
前記サイバー攻撃チェーンの各々に対し感受性値を割り当てることをさらに含み、前記感受性値は、前記サイバー攻撃チェーンの阻止に寄与する前記セキュリティ対策の前記利益値に基づく、請求項1に記載の方法。
【請求項3】
前記感受性値に少なくとも部分的に基づいて、前記デバイスに対する保護として、前記サイバー攻撃チェーンの各々の阻止に対する寄与を合計することによって、各セキュリティ対策について有効性の値を決定することをさらに含む、請求項2に記載の方法。
【請求項4】
選択的に前記セキュリティ対策を有効化および無効化して、有効化されたセキュリティ対策の有効性の値が、前記有効化されたセキュリティ対策のリソース消費量を満たすのに十分な量の使用可能なコンピューティングリソースを使用して前記サイバー攻撃チェーンの阻止に向けて最適化されるようにすることをさらに含む、請求項1~3のいずれか1項に記載の方法。
【請求項5】
セキュリティ対策についての前記利益値の前記決定は、攻撃タイプの外部評価、
インストールされたハードウェアおよび/またはソフトウェア、および
インスタレーション特有の構成
から選択される要因に基づく、請求項1~4のいずれか1項に記載の方法。
【請求項6】
前記セキュリティ対策に割り当てられた前記利益値は、前記セキュリティ対策がIoCを検出した回数に、対応する前記IoCの関連性の値を乗算することによって決定される、請求項1~5のいずれか1項に記載の方法。
【請求項7】
前記セキュリティ対策が前記IoCを検出した回数が、事前定義された最小回数よりも多い、請求項6に記載の方法。
【請求項8】
所定の時間に前記利益値を再決定することをさらに含む、請求項1~7のいずれか1項に記載の方法。
【請求項9】
前記再決定することは、デバイスのグループの選択されたものに対しセキュリティ対策を選択的に適用することを含む、請求項8に記載の方法。
【請求項10】
前記デバイスにおける利用可能なリソースの量が変化した場合、または、前記サイバー攻撃チェーンの事前定義された重要セットが変化した場合に、前記利益値を再決定することをさらに含む、請求項1~9のいずれか1項に記載の方法。
【請求項11】
サイバー攻撃に対するコンピューティングリソース制約のあるデバイスの保護を提供するためのセキュリティシステムであって、プロセッサに動作可能に結合されたメモリを含み、前記プロセッサは、前記メモリに格納されたプログラムコードを使用して、脅威インテリジェンスデータを収集することであって、前記脅威インテリジェンスデータは、侵害指標(IoC)を含み、前記IoCは、サイバー攻撃チェーンに関するデータを含む、収集することと、
前記デバイスについて前記IoCの関連性を決定することと、
前記IoCのそれらの検出および前記IoCに対するそれらのそれぞれの対応に関してセキュリティ対策の利用量を測定することと、
前記セキュリティ対策のリソース消費量を測定することと、
前記セキュリティ対策について利益値を決定することであって、前記利益値は、少なくとも部分的に前記利用量に基づき、また、前記セキュリティ対策を用いて検出された前記IoCの前記関連性に基づく、決定することと
を実行するよう構成される、セキュリティシステム。
【請求項12】
前記プロセッサは、前記メモリに格納されたプログラムコードを使用して、前記サイバー攻撃チェーンの各々に対し感受性値を割り当てるようにさらに構成され、前記感受性値は、前記サイバー攻撃チェーンの阻止に寄与する前記セキュリティ対策の前記利益値に基づく、請求項11に記載のセキュリティシステム。
【請求項13】
前記プロセッサは、前記メモリに格納されたプログラムコードを使用して、前記感受性値に基づいて、前記デバイスに対する保護として、前記サイバー攻撃チェーンの各々の阻止に対する寄与を合計することによって、各セキュリティ対策について有効性の値を決定するようにさらに構成される、請求項12に記載のセキュリティシステム。
【請求項14】
前記プロセッサは、前記メモリに格納されたプログラムコードを使用して、選択的に前記セキュリティ対策を有効化および無効化して、有効化されたセキュリティ対策の有効性の値が、前記有効化されたセキュリティ対策のリソース消費量を満たすのに十分な量の使用可能なコンピューティングリソースを使用して前記サイバー攻撃チェーンの阻止に向けて最適化されるようにするようにさらに構成される、請求項11~13のいずれか1項に記載のセキュリティシステム。
【請求項15】
セキュリティ対策についての前記利益値の前記決定は、攻撃タイプの外部評価、
インストールされたハードウェアおよび/またはソフトウェア、および
インスタレーション特有の構成
から選択される要因に基づく、請求項11~14のいずれか1項に記載のセキュリティシステム。
【請求項16】
前記セキュリティ対策に割り当てられた前記利益値は、前記セキュリティ対策がIoCを検出した回数に、対応する前記IoCの関連性の値を乗算することによって決定される、請求項11~15のいずれか1項に記載のセキュリティシステム。
【請求項17】
前記セキュリティ対策が前記IoCを検出した回数が、事前定義された最小回数よりも多い、請求項16に記載のセキュリティシステム。
【請求項18】
前記プロセッサは、前記メモリに格納されたプログラムコードを使用して、定期的に前記利益値を再決定するように構成される、請求項11~17のいずれか1項に記載のセキュリティシステム。
【請求項19】
前記プロセッサは、前記メモリに格納されたプログラムコードを使用して、前記デバイスにおける利用可能なリソースの量が変化した場合、または、前記サイバー攻撃チェーンの事前定義された重要セットが変化した場合に、前記利益値を再決定するように構成される、請求項11~18のいずれか1項に記載のセキュリティシステム。
【請求項20】
サイバー攻撃に対するコンピューティングリソース制約のあるデバイスの保護を提供するためのコンピュータプログラム製品であって、前記コンピュータプログラム製品は、具現化されるプログラム命令を有する1以上のコンピュータ可読記憶媒体を含み、前記プログラム命令は、1以上のコンピューティングシステムまたはコントローラによって実行可能であり、前記1以上のコンピューティングシステムまたはコントローラに、前記1以上のコンピューティングシステムまたはコントローラによって、侵害指標(IoC)を包含するサイバー攻撃チェーンの形態で、脅威インテリジェンスデータを収集することであって、前記脅威インテリジェンスデータは、侵害指標(IoC)を含み、前記IoCは、サイバー攻撃チェーンに関するデータを含む、収集することと、
前記1以上のコンピューティングシステムまたはコントローラによって、前記デバイスについて前記IoCの関連性を決定することと、
前記1以上のコンピューティングシステムまたはコントローラによって、前記IoCのそれらの検出および前記IoCに対するそれらのそれぞれの対応に関してセキュリティ対策の利用量を測定することと、
前記1以上のコンピューティングシステムまたはコントローラによって、前記セキュリティ対策のリソース消費量を測定することと、
前記1以上のコンピューティングシステムまたはコントローラによって、前記セキュリティ対策について利益値を決定することであって、前記利益値は、少なくとも部分的に前記利用量に基づき、また、前記セキュリティ対策を用いて検出された前記IoCの前記関連性に基づく、決定することと
を実行させる、コンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、一般に、セキュリティ方法に関し、より具体的には、サイバー攻撃に対するコンピューティングリソース制約のあるデバイスを保護する方法に関する。本開示は、さらに、サイバー攻撃に対するコンピューティングリソース制約のあるデバイスを保護するためのセキュリティシステムおよびコンピュータプログラム製品に関する。
【背景技術】
【0002】
1948年におけるEDVACシステムの開発は、コンピュータ時代の始まりとしてしばしば引用される。それ以来、コンピュータシステムは極めて複雑なデバイスに発展してきた。今日のコンピュータシステムは、典型的には、高度なハードウェアおよびソフトウェアコンポーネント、アプリケーションプログラム、オペレーティングシステム、プロセッサ、バス、メモリ、入力/出力デバイスなどの組み合わせを含む。半導体処理およびコンピュータアーキテクチャの進展により性能がより高くより高く押し上げられ、より高度なコンピュータソフトウェアは、それらの能力のより高い性能を利用するために発展し、結果として、たった数年前に比べてもはるかに強力な今日のコンピュータシステムをもたらした。
【0003】
ビッグデータは、これらの新しい能力の1つの応用である。ビッグデータは、印象的な結果を生み出し、以前には管理不能であった量のデータ(例えば、いわゆる物のインターネット(IoT)デバイスによって生成されるデータ)の初めから終わりまで読み進めて到達するために新しい驚くべき洞察を導出することを可能にし、それによって、他の方法では理解できないパターンから結論を出すことを可能にする。
【0004】
しかしながら、ビッグデータソリューションのコストは、ITセキュリティにおける洞察ベースのポリシー決定の利益が、必要なハードウェアを配備する手段を有する企業および組織に限定され、それらに他者よりも優位性および保護を与えることを意味する。ビッグデータソリューションは、また、セキュリティインフラストラクチャを動かすために増加する量のリソース(例えば、電力、ハードウェア)を結びつける。より多くのビッグデータ分析を可能にするためにITセンター内のデータレイクを満たすべくより多くのIoTデバイスを取り付けるという現在の傾向を考えると、このギャップは、拡大し続ける可能性がある。
【発明の概要】
【0005】
一側面によれば、サイバー攻撃に対するコンピューティングリソース制約のあるデバイスの保護を提供するための方法が提供され得る。本方法は、侵害指標(Indicator of Compromise,IoC)の形態の脅威インテリジェンスデータを収集することを含んでもよい。指標は、サイバー攻撃チェーンに関連するデータを含む。本方法は、また、デバイスについてサイバー攻撃チェーンの関連性を決定することと、それぞれのIoCのそれらの検出およびIoCに対するそれらのそれぞれの対応に関してセキュリティ対策の利用量を測定することと、セキュリティ対策の少なくとも1つのリソース消費量を測定することとを含む。加えて、本方法は、その利用量およびそれを用いて検出されたIoCの関連性の値により表現される、セキュリティ対策の少なくとも1つについての利益値を決定することを含む。
【0006】
別の側面によれば、サイバー攻撃に対してコンピューティングリソース制約のあるデバイスの保護を提供するためのセキュリティシステムが提供され得る。セキュリティシステムは、プロセッサに動作可能に結合されたメモリを含んでもよく、プロセッサは、メモリに格納されたプログラムコードを使用して、侵害指標(IoC)を包含するサイバー攻撃チェーンの形態の脅威インテリジェンスデータを収集し、デバイスについてサイバー攻撃チェーンの関連性を決定し、それぞれのIoCのそれらの検出およびIoCに対するそれらのそれぞれの対応に関して、セキュリティ対策の利用量を測定するように構成されてもよい。さらに、セキュリティシステムのプロセッサは、メモリに格納されたプログラムコードを使用して、セキュリティ対策のうちの少なくとも1つのリソース消費量を測定し、その利用量およびそれによって検出されたIoCの関連性の値によって表現される、セキュリティ対策の少なくとも1つの利益値を決定するように構成されてもよい。
【0007】
さらに、実施形態は、コンピュータまたは任意の命令実行システムによって、または、それに関係して使用するためのプログラムコードを提供する、コンピュータ使用可能またはコンピュータ可読媒体からアクセス可能な、関連のコンピュータプログラム製品の形態をとってもよい。本明細書の目的のために、コンピュータ使用可能またはコンピュータ可読媒体は、命令実行システム、装置、またはデバイスによって、または、関連して使用するために、プログラムを格納し、通信し、伝播し、または輸送するための要素を包含し得る任意の装置であってもよい。
【0008】
本出願に含まれる図面は、本明細書の一部に組み込まれ、また、その一部を構成する。これらは、本開示の実施形態を示し、明細書とともに、本開示の原理を説明する役割を果たす。図面は、特定の実施形態の例示のみであり、本開示を限定しない。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
本発明は、種々の修正および代替の形態を受け入れるが、その詳細は、一例として図面に示されており、詳細に説明されるであろう。しかしながら、その意図は、本発明を説明された特定の実施形態に限定することではないことを理解されたい。むしろ、その意図は、本発明の精神および範囲内にあるすべての修正、均等物および代替物を保護することである。
【0011】
本開示の側面は、セキュリティ方法に関し、より特定的な側面は、サイバー攻撃に対してコンピューティングリソース制約のあるデバイスを保護することに関する。本開示は、必ずしもこのような用途に限定されるものではないが、本開示の種々の側面は、この文脈を用いて、様々な具体例の議論を通して把握され得る。
【0012】
本開示の文脈では、以下の慣例、用語および/または表現を使用する可能性がある:
【0013】
・用語「コンピューティングリソース制約のあるデバイス(computing resource constrained device)」は、例えば、コンピューティングネットワーク環境における、エッジデバイスを示してもよい。デバイスは、例えば、省エネルギー技術が使用されるように電池を備えてもよい。それはまた、コンピューティング電力を低減することなど、または、未使用の周辺コンポーネントをシャットダウンすることを含んでもよい。エッジデバイスは、非常によく、目下のタスクで必要とされる計算能力の最低量のみを供給する価格-効果的なハードウェアを含む。よって、このようなデバイスは、そのデバイスの専らの目的を満たすためのコンピューティングリソース量だけを有するように構成される可能性がある。予備のリソースは、典型的には導入されない。したがって、そのようなデバイスの計算能力には制約がある。
【0014】
・用語「セキュリティ脅威(security threat)」は、情報技術システムのセキュリティを侵害するために悪用され得る、考えられる危険性を表す可能性があり、したがって、考えられる危害を引き起こす可能性がある。この用語は、コンピュータセキュリティの技術分野に関し、侵入者または侵入者システムによるコンピュータまたは記憶システムにおけるデータへの潜在的な攻撃、許可されていないアクセス、潜在的な破壊または操作、または、コンピュータ、ストレージまたは通信システムの制御の乗っ取りを説明する可能性がある。セキュリティ脅威は、サイバー攻撃に由来する可能性がある。
【0015】
・用語「サイバー攻撃(cyberattack)」は、データネットワークに接続されたコンピューティングデバイス、例えば、IoTまたはエッジデバイス(または任意の他のコンピューティングデバイス)にアクセスしようとする試みを表す可能性がある。サイバー攻撃は、単一のセキュリティ脅威、すなわち、単一のサイバー攻撃として、または、一連のそのような単一のサイバー攻撃として起こる可能性があり、その大部分は、特定のデバイスに対する現実の危険を表すものではない。
【0016】
・用語「サイバー攻撃チェーン(cyberattack chain)」は、しばしば、サイバーキルチェーン(cyber kill chain)とも表されるが、コンピュータまたは類似のシステムへのサブ攻撃のシーケンスを表す可能性がある。シーケンスの各ステージは、前のステージに基づいて構築される。例えば、サイバー攻撃のシーケンスまたはチェーンのそれぞれ7段および18段を有する理論モデルが存在する。本開示の過程では、用語「部分的なサイバー攻撃のシーケンス(sequence of partial cyberattacks)」、「サイバー攻撃チェーン」および「サイバーキルチェーン」は同義的に使用される可能性がある。このようなサイバー攻撃チェーンは、コンピューティング能力が制約されるデバイスにとって特に危険である可能性があり、これは、そのようなデバイスが、部分的な攻撃のシーケンスに追従するためのコンピューティング能力または必要なメモリを有していない可能性があるからである。
【0017】
・用語「脅威インテリジェンスデータ(threat intelligence data)」または「サイバー脅威インテリジェンスデータ(cyber threat intelligence data)」は、のサイバー脅威インテリジェンスシステムからの、サイバー空間内の有害事象を軽減するのに役立つ脅威および脅威アクタについて情報を表す可能性がある。サイバー脅威インテリジェンスのソースは、オープンソースインテリジェンス、ソーシャルメディアインテリジェンス、人的インテリジェンス、技術的インテリジェンス、またはディープおよびダークウェブからのインテリジェンスを含んでもよい。サイバー脅威インテリジェンスデータの提供者は、ITベンダおよび政府機関を含んでもよく、これらは、協働し、セキュリティ攻撃からITシステムを保護するためにサイバーリスクに関する情報の侵入データを交換してもよい。
【0018】
・用語「侵害指標(indicator of compromise,IoC)は、コンピュータフォレンジックおよびITセキュリティにおいて、例えば、ネットワーク上で、またはオペレーティングシステム内で観測される、コンピュータ侵入を示す信頼性の高いアーティファクト(artifact)を表す可能性がある。典型的なIoCは、ウイルス署名およびIPアドレス、マルウェアファイルのMD5ハッシュ、および/または、ボットネットコマンドおよび制御サーバのURLまたはドメイン名を含み得る。インシデント対応およびコンピュータフォレンジックのプロセスにおいてIoCが識別された後、これらは、侵入検出システムおよびアンチウィルスソフトウェアを使用して将来の攻撃を早期発見するために使用され得る。既知の指標は、業界内で交換され得る。IoCは、早期にサイバー攻撃を検出するために使用され得る。それらはまた、例えば、チェーンの第1波または第2波の間などの早い時期に、部分的なサイバー攻撃チェーンを特定するために使用することができる。
【0019】
・用語「サイバー攻撃チェーンの関連性(relevance of the cyberattack chain)」は、例えば、所与のリソース制約のあるデバイスに対する、特に、サイバー攻撃チェーンの特定のサイバー攻撃またはセキュリティ脅威の重要性を表す可能性があり、例えば、デバイスがSQLデータベースに、または対して動作的にアクティブではない場合、SQLデータベースの完全性を弱体化することを目的としたサイバー攻撃チェーン、例えばSQLインジェクション、の関連性は、低いか、またはほとんど存在しないものと見なすことができる。
【0020】
・用語「セキュリティ対策(security measure)」は、サイバー攻撃に対抗するための、または、そのようなサイバー攻撃または攻撃の試みを検出するためのアクションまたは機能を表す可能性がある。さらに、セキュリティ対策が、原理的に脅威に対し脆弱なデバイスのアセットへの既知の脅威を軽減する場合、そのセキュリティ対策は、関連するものとして定義され得る。新たに発見されたセキュリティ問題に対する関連性は、現在までにヒット/発見が記録されていない場合であっても、極めて高いであろう。この場合、所与のセキュリティ対策の値は、差し迫った考えられる攻撃を予期して非常に高い可能性がある。セキュリティ対策の値の計算に対する依存関係のより詳細は、図2の文脈で説明される。
【0021】
・用語「IoCに対する対応(response to the IoC)」は、デバイスおよび/またはそのオペレーティングソフトウェアがセキュリティ脅威に対抗するために引き受け得るアクティビティを参照する可能性がある。これは、受信されたデータまたは信号の削除、または少なくとも分離または抑制を含んでもよい。
【0022】
・用語「リソース消費量(resource consumption)」は、特定の、典型的には事前定義されたタスクを実行するために必要とされるコンピューティングリソースおよび/またはエネルギーの量を表す可能性がある。
【0023】
・用語「利益値(benefit value)」は、すべてのIoCにわたる値の合計を表す可能性がある。これは、脅威インテリジェンスフィードに含まれていない全てのIoCについて基本関連性(例えば、=1)を必要とする可能性がある。例えば、IoCとしてリスト化されていないインターネットプロトコル(IP)アドレスから由来されるファイアウォールによって検出されてブロックされた各ポートスキャンは、セキュリティ対策ファイアウォールに基本値を加算する。
【0024】
・用語「感受性値(susceptibility value)」は、環境のコンポーネントを含むことにより、サイバー攻撃チェーンの環境に対する適用可能性を格付けする値を表す可能性があり、それは、サイバー攻撃に関連するIoCの検出によって表現される可能性がある。
【0025】
サイバーセキュリティ攻撃は、中でも、IT(情報技術)部門、企業および政府機関の最大の懸念である。一般データセキュリティ規則(General and Data Security Regulation,GDPR)のような新たな規制が、企業が顧客のデータを適切に保護していない場合に、企業に高い金銭的料金および罰則を課し得るため、この懸念は、さらに増加しそうである。その結果、最高情報セキュリティ責任者(chief information security officer ,CISO)の役割がますます重要になってきている。
【0026】
CISOの重要な業務の1つは、組織のセキュリティ情報およびイベント監視(SIEM)ソリューションを管理することである。今日、市場で利用可能なSIEMソリューションの大部分は、セキュリティインシデントにつながる可能性がある潜在的なセキュリティ脅威を識別して検出するために、高度なスキルを持つ人材によって監視および調整されなければならない複雑な相関ルールのセットを利用する。これらのSIEM相関ルールエンジンは、(例えば、CPU時間およびメモリ要件の形態で)比較可能に高いシステムリソースを要求し、これは、条件および交差依存性のセットにマッチさせために、相関ワードが正規表現(regex)フィルタおよび閾値に基づいて設計され、条件および交差依存性のセットは、ひいては、同時に膨大な量のセキュリティ事象が受信されてログファイルに書き込まれながらリアルタイムにチェックされ、見積もられ、または評価されることを必要とするからである。例えば、典型的なIT環境において生成され、並びに、セキュリティソリューションの末端デバイスによって生成される、セキュリティ事象およびログは、1k EPS(events per second)~100k EPSの間で変動する可能性があり、平均的に約150~400個の別個のルールのセットを横断して相関付けられなければならない可能性がある。よって、大部分のSIEMシステムは、コンピュータシステムリソースに対して非常に高い需要を有する。
【0027】
デプロイされる情報技術デバイスの数およびネットワークがますます大きくなるにつれて、これらの困難性は、さらに増加しそうである。より悪いことに、デバイス当たりの平均的に利用可能なコンピューティング能力は、同じ速度では増大せず、その理由の一部は、多数のいわゆるインターネットオブシングス(Internet-of-Things)デバイスがデータネットワークに接続されているからである。これらのIoTデバイスにおいては、典型的には、非常に特定的なタスクのための可能な限り低い電力消費に焦点が当てられる。よって、そのようなデバイスにおける利用可能なコンピューティングリソースは、設計目標(すなわち、それらが開発を目的とする特定のタスク)を満たすためだけには充分である可能性があるが、増加するセキュリティ要件ではそうではない可能性がある。
【0028】
制限されたリソースを有するデバイスにおける、サイバー攻撃またはサイバー攻撃チェーンのリスクまたはその一部と、利用可能なリソースとの間のギャップは、有利には埋められる可能性がある。したがって、本開示のいくつかの実施形態は、サイバー攻撃に対するコンピューティングリソース制約のあるデバイスの保護を提供して、サイバー攻撃を理由とした計画にない計算要件を取り扱うための限定された予備の能力のみを有するデバイスに適したサイバー脅威に対する保護を有効化することを含む、複数の利点、寄与および技術的効果を実施形態が提供するようにすることができる。いくつかの実施形態においては、そのデバイスに関連するこれらの潜在的な脅威のみに対応するために少数の利用可能なリソースが知的に使用されてもよい。これは、いくつかの実施形態においては、IoCに基づいて関連性レベル値および利益値を決定することによって達成され得る。このようにして、低コストおよび低消費電力が成功要因であるが、またサイバー脅威のターゲットとなり得るコンピューティング環境において、特に、コンピューティング能力に関して投資されたリソースと、「充分に良好な(good enough)」保護との間の恒久的なバランスが達成され得る。これは、低コスト、低電力、およびリーンエンドポイントデバイス(例えば、現代の製造業、物流、スマートシティまたはスマートホーム環境に大量に配備されたIoTデバイス)にとって特に有益である可能性がある。いくつかの実施形態は、例えば、自動運転自動車などのスマート車両、または、監視インフラストラクチャにおいて、有利に使用されてもよい。
【0029】
さらに、セキュリティまたは保護対策を共有することによって、一群つまり複数の低コストおよび/または低電力デバイスが、各単一デバイスを保護するために必要とされるリソースおよび/または計算結果を共有することによって、保護の負荷を分担することができる。
【0030】
また、典型的にはサイバー保護のために無制限のリソースが利用可能であると仮定される計算上設備が整ったITシステムにおいてさえも、新たに提案される概念は、有益に使用される可能性がある。ここで、低消費電力は、そのようなITシステムにおいて、提案された概念を実装した結果である可能性がある。これは、環境保護への有用な貢献である可能性がある。
【0031】
1つの考えられる実施形態によれば、方法は、サイバー攻撃チェーンの阻止に寄与するセキュリティ対策の利益値に基づいて、サイバー攻撃チェーンの各々に感受性値を割り当てることを含んでもよい。感受性値は、次に、(例えば、その環境のコンポーネントを評価することによって)環境に対するサイバー攻撃チェーンの適用可能性を格付けすることができ、それは、サイバー攻撃に関連したIoCの検出によって表現されてもよい。
【0032】
別の考えられる実施形態によれば、方法は、また、感受性値に基づいて、デバイスに対する保護として、攻撃チェーンの各々を阻止することへの特定のセキュリティ対策の寄与を合計することによって、各セキュリティ対策に対する有効性の値を決定することを含んでもよい。有効性の値は、次に、サイバー攻撃に対する、特に波状に来るそれに対するデバイスの保護が成功する見込みの表現である可能性がある。最後のものから離れた各波は、それのみではデバイスのデータおよび/または機能性への脅威とはならない可能性がある。しかしながら、有効性の値は、波のうちの1つを(攻撃者側から見て)、結果として全体の攻撃チェーンを無効にする有効性を表現する可能性がある。
【0033】
いくつかの実施形態によれば、方法は、また、選択的にセキュリティ対策を有効化および/または無効化して、有効化されたセキュリティ対策すべての有効性の値が、有効化されたセキュリティ対策のリソース消費量を満たすのに十分な量の使用可能なコンピューティングリソースを使用してサイバー攻撃チェーンの阻止に向けて最適化されるようにすることをさらに含んでもよい。これは、また、デバイスの中断されない機能と、入来する実用的な信号に対するデバイスの応答時間と、入来する攻撃信号との間のチェックアンドバランス機能として見ることができる。セキュリティ対策(例えば、特定のセキュリティ機能)は、現在の状況において有効ではないと判定された場合、および/または、その使用が、計算負荷が重すぎると判定された場合は、無効化されてもよい。
【0034】
本方法のいくつかの実施形態によれば、セキュリティ対策についての関連性の値の決定は、攻撃タイプの外部評価、常に考慮された攻撃タイプ、インストールされたハードウェアおよび/またはソフトウェア、およびインスタレーション特有の構成から選択される少なくとも1つファクタに基づいてもよい。「常に考慮される攻撃タイプ(attack types which have always be taken into account)」の代表的な例は、限定なく、SQL(Structured Query Language)インジェクション、クロスサイトスクリプティング、中間者攻撃などを含み得る。これは、例えば、不正なデータを収集するために、データベースの機能を再度攻撃する典型的な攻撃である可能性がある。対照的に、データベースがインストールされていない場合、いくつかの実施形態は、SQLインジェクションに対して機能するセキュリティ対策に関連する関連性が、このシナリオでは脅威がないであろうことから、選択されたセキュリティ対策を使用しないことを示すことを可能してもよい。このような有効化および無効化は、また、デバイスに取り付けられおよび/またはデバイスにインストールされた、インストール済みハードウェアおよびソフトウェアの合計を使用して、他のセキュリティ対策について可能であってもよい。
【0035】
加えて、特定の産業には特定の政府規制が課せられ、どのような場合にも所定のセキュリティ対策を使用する必要がある場合がある。このような産業の例としては、軍事セクタ、保険セクタ、ヘルスケア産業および銀行セクタがある。
【0036】
本開示のいくつかの実施形態によれば、セキュリティ対策に割り当てられた利益値は、セキュリティ対策がIoCを検出した回数に、対応するIoCの関連性の値を乗算することによって決定されてもよい。いくつかの実施形態においては、利益値は、より具体的には、
であってよい。
【数1】
【0037】
いくつかの実施形態においては、デバイスを保護するために履歴データがまた使用されてもよい。加えて、寄与する、受信された指標の品質は、重要な役割を果たす可能性がある。指標の値の品質が高いほど、より高いヒット数が登録される可能性がある。これは、次に、開示されたセキュリティ方法およびシステムの一部であるかまたはサポートする構成要素の集合的なメモリとして解釈され得る。
【0038】
いくつかの実施形態によれば、セキュリティ対策がIoCを検出し得る回数は、最小回数を超える必要があってもよい。これらの実施形態の一部においては、セキュリティ対策に割り当てられた利益値は、式の利益値によって決定されてもよい。
例えば、基本閾値が4に設定され得る場合、これらの実施形態における、値への寄与は、複数のヒット、すなわち、5以上のヒットに対してのみ与えられる。このようにして、利益値に対する結果の微調整が決定されてもよく、セキュリティ対策、デバイスの環境およびサイバー攻撃チェーンの確率の細粒度の最適化を可能にする。
【数2】
【0039】
いくつかの実施形態によれば、本方法は、また、所定の時間での利益値を定期的に再決定することを含んでもよい。したがって、脅威レベルに関する評価が、必要な場合いつでも実行されてもよい。これは、デバイスが取り付けられるネットワークの他の保護、デバイスのタイプについて既知の脅威の数、所与の産業およびその規制などのために要求されるセキュリティレベルなどの種々の環境パラメータに依存して変わり得る。
【0040】
いくつかの実施形態によれば、再決定することは、デバイスのグループのうちの選択されたものに対しセキュリティ対策を選択的に適用することを含んでもよい。複数のコンピューティング能力制約デバイスが、例えば、同一のネットワークに接続されているか、または、同一または類似の産業コンテキストでデプロイされている場合、複数のうちの選択されたものだけが、事前定義されたセキュリティ対策を適用する一方、同一グループ内の他のデバイスが、選択された他のセキュリティ対策を適用してもよいことを仮定してもよい。これは、複数のデバイスのうちの1つがサイバー攻撃に対して脆弱である可能性がある場合、同一グループ内の他のものもまた脆弱であり得ると仮定することができる。よって、保護的アクティビティ(例えば、セキュリティ対策)は、グループ内のデバイス間で共有されてもよい。その結果、デバイスが、それらのすべてを保護するために必要とされる計算能力を共有することができるので、個々のデバイスに対して適用する必要があるセキュリティ対策の数をはるかに少なくすることができる。グループの1つが特定のサイバー攻撃を検出した場合、関連する信号を送信することによって他のものに通知することができる。複数のコンピューティングリソース制約のあるデバイスに接続されたセキュリティ調整システムは、セキュリティ対策の個別のデバイスの使用を調整してもよい。代表的な例として、ウイルススキャナは、グループ内のデバイスのうちの1つに対するデプロイされたセキュリティ対策である一方、グループ内の別のデバイスがファイアウォールをデプロイしてもよい。
【0041】
いくつかの実施形態によれば、本方法は、また、デバイス内の利用可能なリソース量が変化した場合、または、サイバー攻撃チェーンの事前定義された重要セット(a predefined significant set of the cyberattack chains)が有意に変化した場合に、利益値を再決定することを含んでもよい。これらの実施形態は、利用可能なリソースを考慮しつつ総合的なリスクを可能な限り減少させるようにデバイスのセキュリティレベルを事前定義されたレベルに維持するのを支援することができる。
【0042】
以下の段落には、図面に示された実施形態の詳細な説明が記載される。図中のすべての指示は、概略的である。まず、いくつかの実施形態と一致する、サイバー攻撃に対するコンピューティングリソース制約のあるデバイスの保護を提供するための方法のブロック図が与えられる。その後、いくつかの実施形態と一致する、サイバー攻撃に対してコンピューティングリソース制約のあるデバイスの保護を提供するためのセキュリティシステムについて説明されるであろう。
【0043】
図1は、サイバー攻撃に対するコンピューティングリソース制約のあるデバイスの保護を提供するための方法100の実施形態のブロック図を示す。方法100は、侵害指標(IoC)の形態で脅威インテリジェンスデータを収集すること102を含むことができる。指標(indicator)は、サイバー攻撃チェーンに関連するデータを含んでもよい。
【0044】
方法100は、また、(例えば、IoCを使用して)デバイスについてサイバー攻撃チェーンの関連性を決定すること104と、それぞれのIoCの検出およびIoCに対するそれぞれの対応に関してセキュリティ対策の利用量を測定すること106と、これに基づいて、セキュリティ対策のリソース消費量を測定すること108とを含むことができる。次いで、方法100は、その利用量およびそれにより検出されたIoCのこれらの関連性の値により表現される、セキュリティ対策の少なくとも1つについての利益値を決定すること110を含んでもよい。
【0045】
加えて、方法100は、有効化されたセキュリティ対策の有効性の値が、有効化されたセキュリティ対策のリソース消費量を満たすのに十分な量の使用可能なコンピューティングリソースを使用してサイバー攻撃チェーンの阻止に向けて最適化されるように、選択的にセキュリティ対策を有効化および無効化すること112をさらに含んでもよい。
【0046】
図2は、いくつかの実施形態と一致する、提案された方法を実行し、また提案されたセキュリティシステムをサポートする一部のコンポーネントを示すブロック図200を示す。この文脈で議論されるユニットおよびモジュールは、開示された方法によって達成された計算コストおよび値に焦点を当てる。図示の実施形態においては、これらの測定は、各デバイス上で実行される必要はない。むしろ、デバイスは、タイプおよび脅威の状況への暴露によってグループ化されてもよい。さらに、機能の有効化および無効化は、必ずしも機能がオフ/オンされることを意味するものではなく、いくつかの実施形態においては、有効化/無効化は、高い/低い(LINUX(登録商標)用語における)niceファクタを、または、WINDOWS(登録商標)オペレーティングシステムにおける比較的低いプロセス優先度を割り当てることによって行われ得る(LINUX(登録商標)は、合衆国、他の国またはその両方におけるLinus Torvaldsの商標であり、WINDOWS(登録商標)は、合衆国、他の国またはその両方におけるマイクロソフト社の登録商標である)。
【0047】
図2の実施形態は、リソースモニタ202と、脅威インテリジェンスコネクタ204と、セキュリティコネクタ206と、セキュリティ対策マネージャ208と含んでもよい。リソースモニタ202は、ホストシステム上、並びに、分散アーキテクチャが使用される場合に遠隔的にデプロイされたシステム上の利用可能なネット(net)リソース210(すなわち、オペレーティングシステムまたは任意のアプリケーションによって現在使用されていないリソース)を決定するために使用されてもよい。リソースモニタ202は、既存のシステムプロファイリングおよびベンチマーキングソフトウェア(例えば、Primate Labs Incから入手可能なGreekBench(登録商標))で構築されて、システムの能力(例えば、利用可能なCPU(複数可)、RAM、ディスクI/O、ネットワーク能力などの形態のシステムのリソース214)に対する所与の「スコア」を決定することができる。しかしながら、いくつかの実施形態においては、コンピュータハードウェア刊行物などによって行われるテストで一般的に使用されるような、システム性能を測定するための他のアプローチが使用されてもよい。達成されたスコアは、そのまま取り扱われてもよいし、セキュリティ対策マネージャ208によって使用されるべき性能ポイントに変換されてもよい。
【0048】
代表的な例として、1秒あたりの利用される所与の基準のCPUが1CPUポイントに等しく、1秒間の使用される1GBのRAMが1RAMポイント、100ディスクI/O動作/秒が1ディスクポイント、1MB/秒のデータ転送が1ネットワークポイントに等しい。リソースモニタ202は、独立した性能ポイントのベクトル、例えば、(CPU,RAM,ディスクI/O,ネットワーク)=(42,2,0.5,4)性能ポイントを決定してもよい。異なるセキュリティ対策が、異なるリソースの組み合わせを消費し、多くの場合、別のものを利用することによって補償することができない1つのリソースを欠いているため、性能ポイントは、ベクトルとして取り扱われ得る。
【0049】
再び図2を参照すると、脅威インテリジェンスコネクタ(TIC)204は、脅威インテリジェンスデータベース212のような脅威管理ソースからのデータを提供することができる。脅威インテリジェンスデータベース212は、次いで、脅威インテリジェンスコネクタ204に定期的にフィードされるデータを提供してもよい。ここでは、脅威インテリジェンスデータが、各セキュリティ対策の値を計算するためにセキュリティ対策マネージャ208にフィードされてもよい。TICは、公表されたオープンソースインテリジェンスフィード(オープンソースインテリジェンス、またはOSINT)、商業的API(例えば、ニューヨーク州アーモンクから入手可能なIBM X-Force Exchange(登録商標))および組織が配備したカスタム知インテリジェンスソース(例えば、内部セキュリティオペレーションセンター(COS))に接続してもよい。
【0050】
セキュリティコネクタ206は、いくつかの実施形態においては、セキュリティシステム218のアプリケーションプログラミングインタフェース(API)に対するメインインタフェースとしてはたらき、エンドポイント/デバイスにセキュリティ対策を提供する。セキュリティコネクタは、利用可能なセキュリティ対策を照会するために(例えば、特別に作成されたパケット、ペイロードまたは要求のシーケンスを識別するために使用されるパターンを検出するために);、値/コスト(使用の頻度、発見の数)として表される、要求される性能あたりのセキュリティ対策の使用量およびそれらの利益を測定するために;脅威インテリジェンスコネクタ204によって提供される既存の脅威インテリジェンスを利用することによって関連するメタデータ(例えば、エクスプロイト、(例えばセキュリティ攻撃)キャンペーンへの繋がり、戦術・技術・手順(Tactics, Techniques and Procedures,TTP)に対して保護される共通脆弱性識別子(例えば共通脆弱性識別子(common vulnerabilities and exposures,CVE))の数)を識別するために、APIを使用することができる。
【0051】
加えて、セキュリティコネクタ206は、I/Oサイクル、消費されたCPU時間、メモリ使用量などのシステム性能メトリックを使用して、オープンソース「dstat」ツールなどの既成のツールを用いて、各セキュリティ対策のリソース消費量216を測定することができる。
【0052】
セキュリティ対策の比 値/コストは、いくつかの実施形態においては、(例えば、ベンダ―スのデータベースから検索される)特定のCVEを識別したシグネチャの数、(例えば、脅威インテリジェンスから検索される)既存のCEVのセットを有するエンドポイントに危害を与える可能性があると定義された苦情の数、ホストの侵入保護システムにより拒否された接続の数などによって定義されてもよい。
【0053】
セキュリティコネクタ206は、また、機能を有効/無効にするために既存のAPIを使用して、それらの機能内で、特定の規則または製品の特徴を有効/無効化し、また、システムのルールセットを動的に管理するためにルールを作成/削除することができる。
【0054】
セキュリティ対策マネージャ208は、所与のセキュリティ対策の現在の値(例えば、使用の頻度、発見の数、現在の関連性)および実際のコストの両方を、所与のセキュリティ対策を稼働するリソース消費量の観点から見ることができる。
【0055】
リソース消費量(すなわち、コスト)の計算のために、リソース消費量は、オンザフライ測定によって、低スループット時間で行われるスタンドアローン測定によって、またはこれらの両方の組み合わせによって決定されてもよい。オンザフライ評価は、例えば、関連するベイズモジュールが現在のトラフィック状況において実行される度に、特定のセキュリティ対策の比 性能/リソース消費量を見ることができ、それは、5.79%のCPU負荷を生成し、130MBのRAMを用いて、ディスクI/Oなしで、完了まで150msかかる。コスト決定は、一度の測定が不正確な評価につながる可能性があるため、連続的に実行されてもよく、実際のシステムにおけるプロセスの消費に関する統計が収集されて、それはログファイルに格納されてもよい。この履歴データのログは、関心があるプロセスごとに平均ランタイムおよびその標準偏差を更新するセキュリティ関連プロセスをマップするために使用されてもよい。デバイス上の構成が時間経過とともに変化し得る(例えば、大きなディスクI/O消費量を伴う他のプロセスが開始される)ので、履歴ログの最新のエントリに大きな重みが与えられてもよい。いくつかの実施形態においては、加重平均を計算するに際しての重み関数は、図4に示されるように、指数関数的な成長を示すことができる。
【0056】
スタンドアローン評価は、ベンチマークに到達するために、所与のセキュリティ対策に、標準化されたコンテンツのテストセットを受けさせることができる。これらのスタンドアローン評価は、セキュリティシステムのベンダによって行われてもよく、次いで、配備される場合に提案された概念によって特に静的に取り扱われてもよく、または、ユーザ提供の追加のためのベンチマークを生成するために定期的に行われてもよい(例えば、RegEXマッチ)。後者の場合、履歴ログデータは不要であるが、しかしながら、ベンチマークのマッピングが利用可能なリソースに依存するので、現在のデバイス消費量が測定可能であるべきである。しかしながら、部分的な動作条件のみがベンチマークとして使用される場合、オンザフライ方法を用いて残りのデータが動的に拡張されてもよい。
【0057】
これらの測定は、システム特有の性能監視を使用することによって、例えば、特定の脅威に取り付けられ、脅威がアクティブであるとして、性能データを収集して、あるいは、懸案の製品がこれらに暴露される場合に、製品特有の測定方法を用いることによって実行されてもよい。例えば、いくつかのセキュリティツールは、カウンタを提供したり、または個々のセキュリティ技術のリソース消費量を測定し(measure)たりする。
【0058】
続けて図2を参照すると、セキュリティシステム218は、例えば、アンチウイルス、アンチマルウェア、ネットワーク侵入防止、行動分析の使用、ウェブプロキシデータ、セキュリティ情報およびイベント監視(SIEM)などのセキュリティ対策を有効化することができる(すべて符号220として示される)。セキュリティ対策の値の決定は、いくつかの実施形態では、決定されたセキュリティ対策の値、直接メトリック(使用量、発見の数、多いほどよい)および/または間接メトリック(例えば関連性)を使用して計算されてもよい。
【0059】
原理的にその脅威に対して脆弱であるコンピューティング環境内のアセットに対する既知の脅威を軽減する場合、セキュリティ対策は、関連するものとしてマークされてもよい。新たに発見されたセキュリティ問題に対する関連性の値は、現時点でヒット/発見が記録されない場合であっても、極めて高くなる可能性がある。この場合、所与のセキュリティ対策の値は、その後の差し迫った考えられる攻撃を見越して非常に高い可能性がある。
【0060】
いくつかの実施形態においては、セキュリティ対策の値の計算に対する依存関係は、以下を含む:
【0061】
外部評価(インストール時に行われ、また、定期的に更新される):関連性ベクトルを決定するために、いくつかの実施形態は、所与のセキュリティ対策のメタデータ(例えば、CVE、攻撃タイプなど)をリンクし、例えばOSNINTおよび商用のセキュリティインテリジェンスから収集された現在のセキュリティ動向とマッチすることができる。新しいエクスプロイトに対し保護する対策は、よって、それが以前の使用で見られなくても、とても価値がある(valuable)ものとして格付けされる。また、サイバー攻撃が一般化している場合、その値は、再評価されてもよい。長期間にわたって使用される特定の攻撃(例えば、コードSQLインジェクション)は、「エバーグリーン(evergreen)」として考慮することができ、よって、現在の使用にかかわらず、常に少なくとも中間の程度に価値がある(valuable)と考えられる。
【0062】
・インストールされたソフトウェア:この値は、実際に組織が開発したものまたは暴露されたものにセキュリティ対策が適用可能であるかどうかを考慮することができる。例えば、組織が、配備されたMySQLサーバを有さない場合、MySQLシステムを特に保護する対策は、非常に低い値であるとみなされる。いくつかの実施形態は、インベントリスキャナおよび/または脆弱性スキャナから収集されたデータを利用して、組織の開発構造に関する知識を得ることができる。
【0063】
・カスタム構成:この値は、また、組織の必要性から導出されてもよく、いくつかの実施形態を使用した組織は、セキュリティ暴露およびその帰結に依存して、特定の選好を重み付けしてもよい。例えば、いくつかの組織は、所与のオペレーティングシステムに対する攻撃に対する保護を好むかもしれない。この情報は、事前定義されたパラメータとして、および/または、ハードウェア/ソフトウェアのインベントリスキャンを使用して自動的に提供されてもよい。
【0064】
一例として、既知のSTIX(Structured Threat Information eXpression)フォーマットにおける脅威インテリジェンスは、公開日、信頼性、影響度、確率、重症度、検出動機(偶発的1から復讐9までの格付けする)、産業セクタ(保険、鉱業、小売…)など、セキュリティ対策の関連性の値を評価するための属性の豊富なセットを提供する。具体的な実装では、属性の(サブ)セットが、乗算ファクタを作成するために選択される。例えば、IoCに対する関連性は、以下のように計算することができる。
一実施態様では、IoCを見つける(sporting)場合にセキュリティ対策に割り当てられる値は、次のように決定される。
これにより、未だ観測されていない脅威の寄与を含めるための基本値として1が選択される。別の実装形態では、IoCを見つける(spotting)際のセキュリティ対策に割り当てられる値は、以下のように計算される。
いくつかの実施形態においては、値の寄与は、基本ファクタより上の複数のビットについてのみ与えられてもよい。
【数3】
【数4】
【数5】
【0065】
セキュリティ対策の総合値は、これにより、すべてのIoCにわたる値の合計として定義され得る。これは、脅威インテリジェンスのフィードに含まれていないすべてのIoCについて、基本の関連性(例えば、=1)に対して正規化されてもよい。例えば、IoCとしてリストされていないIPアドレスを由来とする、ファイアウォールによって検出されてブロックされた各ポートスキャンは、セキュリティ対策 ファイアウォールに基本値を加算することができる。
【0066】
以下の代表的な例は、「セキュリティサイバー攻撃チェーン(security cyberattack chains)」としても知られている、サイバー攻撃チェーンに、より焦点を当てる。コスト/値およびリソースデータが提供されている一方で、システムは、ここで、保護値を最大化し、利用可能なリソースを最も効率的に使用する、有効なセキュリティ対策の最適な組み合わせを発見するというタスクを負う。
【0067】
セキュリティ対策当たりの値/コストの知識を利用するための1つのアプローチは、コストあたりの高い値の対策に焦点を当て、他の対策を絞ることである。しかしながら、このアプローチは、攻撃者のアプローチの変化に脆弱である可能性がある。最良の保護のために、いくつかの実施形態は、後ろ向きアプローチ(すなわち、過去に観測されたデータを使用する)ではなく、前向きな方法(すなわち、予想される攻撃)を含む。そのために、スコアリングモデルは、個々の方法の有効性を考慮するためだけでなく、サイバー攻撃チェーンを見るために拡張されてもよい。サイバー攻撃チェーンは、個々の攻撃のシーケンスであり、攻撃キャンペーンの一部として使用される、戦術・技術・手順(Tactics, Techniques, and Procedures,TTP)とも呼称される。サイバー攻撃チェーンへ視野を拡大することにより、いくつかの実施形態が、組み合わせることでより大きなリスクの何かを生じる可能性のある、いくつかの比較的小さな低リスクの攻撃を取り扱えるようにすることができる。
【0068】
以下の代表的な例が考慮される:脅威インテリジェンスについて、TICは、対応する侵害指標(IoC)および共通脆弱性識別子(CVE)を含んでいる、2つのサイバー攻撃チェーンの形態の2つの進行中のキャンペーンについての情報を提供する。セキュリティシステムは、以下の対策(アンチウイルス/アンチマルウェア(AV/AM)、ネットワーク侵入防止システム(NIPS)、ユーザ行動分析(UBA)、ウェブプロキシ(WP))を考慮することができる。
【0069】
以下の表は、各サイバー攻撃チェーンの過程において、提供されるセキュリティ対策の各々が、どのように発揮し得るかを示す:
【0070】
【表1】
【0071】
一般に、TICによって提供される、n個のサイバー攻撃チェーンまたはサイバー攻撃
のそれぞれについて、対策のリストが対応するIoCとともに格納されてもよい。
観測されたアクティビティおよび利用されたセキュリティ対策に基づいて、各サイバー攻撃チェーンCACiの値/コストは、絶えず評価されてもよく、経時的に変化する可能性がある。いくつかの実施形態は、この値/コストを使用して、最良の値/コストを提供する最も危険なサイバー攻撃チェーンにリソースを割り当てる。
【数6】
【数7】
【0072】
いくつかの実施形態におけるスコアリングモデルの1つの特徴および利点は、利用される対策、それらの完全性/発生、およびそれらの指示強度によって、個々のサイバー攻撃チェーンを査定することである。サイバー攻撃チェーンが、異なるステップ(TPP,上記参照)から構成されるので、第1のステップは、識別し、ステップの普及率を格付けすることであってもよい。その結果、図5は、そのような一実施形態のうちの実施形態のステップの拡張フローチャート500を示す。しかしながら、図5を参照する前に、図3および図4が考慮されるべきである。
【0073】
図3は、いくつかの実施形態と一致する、十分な結果を得るためのリソースの効率的な使用を示すグラフ300である。図3にグラフ化された実施形態は、(例えば、計算コストなどのコストを考慮せずに)最大限可能なセキュリティとして定義され、むしろセキュリティ上制約がある環境のための最適なセキュリティレベルを目指すものである、静的なセキュリティ制御のセットを使用する代わりに、結果重視のやり方で厳格に制限されたシステムリソースを管理することができるシステムを提供することを目的する。
【0074】
いくつかの実施形態においては、システムは、所与のシステムリソース(例えば、CPU、能力、メモリ、ディスク空間、IO、ネットワークスループットなど)を、管理され、最も効果的なセキュリティ対策のために「消費される」(すなわち、利用される)るべき「バジェット」として取り扱うことができる。言い換えれば、利用可能なリソースは、セキュリティ対策の効率を最適化するために使用され得る。
【0075】
各セキュリティ対策(例えば、パターンスキャン、深層パケット分析、サンドボックス化など)は、過去の性能を実行する際に要求されたリソース、見積もられた現在の関連性、脅威インテリジェンスソースに従う見積もられた将来の関連性および性能アラインメントによって測定されてもよい。システムは、次いで、受信された測定結果に基づいて、利用可能なリソースのバジェットを消費することによって、利用されるセキュリティ対策を積極的に管理することができる。このようにして、いくつかの実施形態は、制限されたバジェットを、セキュリティ上の成功および事前定義された要件および所有する組織の必要性について最適化することができる。
【0076】
結果として、いくつかの実施形態は、リソースバジェットに依存し、また、より低い電力デバイス(例えば、ルータ、ネットワークスイッチ、エンドユーザハードウェア(例えば、携帯電話)、および/またはIoTデバイスなど)が追加されるにつれ、時間とともに増大する可能性のある、入来する攻撃タイプの現在の推定される危険性に依存して、効率的で適応型のセキュリティブランケットの配備を可能にすることができる。結果として得られる保護の強度は、高性能の無制限なバジェットを有するシステムの品質および範囲に一致し得ない可能性があるが、動的に最適化されたシステムは、静的なアプローチが提供するよりも良好な保護を提供するのに十分に近づけることができる。
【0077】
この最適化は、図3において、投資されたリソース(x軸)に対する測定された結果(y軸)を用いて図式的に示される。最小限の投資されたリソースなしでは測定された結果を許容しないであろう静的なアプローチが利用可能である可能性がある。しかしながら、他方の側では、制限されたリソースを効率的に使用することで、適応的なセキュリティが達成され得る。これにより、静的アプローチおよび適応的アプローチの両方のアプローチが、高いリソース利用量で完全なセキュリティカバレッジに収束する。
【0078】
図4は、いくつかの実施形態と一致する、オンザフライ評価のためのセキュリティ関連プロセスプロファイリングの重み関数効果を示す図400を示すグラフである。この図400において、重み係数(Y軸)は、時間(X軸)にわたって増加し、放物曲線402になり、現在時間について特定の値404に到達する。
【0079】
図5は、本開示のいくつかの実施形態と一致する動作のシーケンスを示す。図5において、TICは、第1に、サイバー攻撃チェーン情報の形態での脅威インテリジェンスデータをセキュリティ対策マネージャ(SMM)502に読み込む。第2に、実装において基本値>0(上記参照)が選択される場合、サイバー攻撃チェーンは、以下によりそれについての値が決定される各IoCについて事前用意されて504もよい。
【数8】
【0080】
第3に、攻撃者がTTPを適用する場合、セキュリティ対策は、実行506してもよい。第4に、上述したように、各セキュリティ対策についての値/コスト比が決定されてもよい508。いくつかの実施形態においては、値/コスト比は、個々のIoCレベルではなく、対策ごとに決定されてもよい。第5に、IoCに関する情報を用いて、各サイバー攻撃チェーンにおける個々のステップが識別されてもよく510、それらを用いて、IoCを検出した個々のセキュリティ対策が、それぞれのサイバー攻撃チェーンに割り当てられる。
【0081】
第6のアクティビティとして、値/コスト比は、サイバー攻撃チェーンごとに決定されてもよい512。これは、以下のサブアクティビティにおいて生じ得る:
(a)第1の対策は、サイバー攻撃チェーンに含まれる第1のIoCを検出することができる。
(b)第1の対策の値/コスト比をサイバー攻撃チェーンに割り当てることができる。
(c)同一の対策が別のサイバー攻撃チェーンにおける同一のIoCを識別した場合、ボーナスファクタが対策に割り当てられ得る。例えば、いくつかの実施形態は、IoCを含むサイバー攻撃チェーンの数の平方根を使用することができ、すなわち、IoCがこのサイバー攻撃チェーンにおいてのみ検出されると、次いで、ファクタは、1(すなわち、ボーナスなし)であり、IoCがこれのサイバー攻撃チェーンと他の3つのサイバー攻撃チェーンで検出されると、ファクタは、sqrt(4)=2である。
(d)第1の対策が、同一のサイバー攻撃チェーン内で、(例えば、同じフェーズまたは異なるフェーズのいずれかにおいて)、同一のIoCを繰り返し検出するか、または、他のIoCを検出した場合は、値が加算されてもよく、しかし、(例えば、セキュリティ対策の全体的なリソース消費量が観測され、IoCあたりの消費ではないため)コストは、変化しない。他のIoC(複数可)がサイバー攻撃チェーンを横断して発見される場合、サイバー攻撃チェーンの数あたり、ボーナスファクタがIoCごとに適用されてもよい。
(e)第2の対策がサイバー攻撃チェーンにおける1以上のIoCを識別する場合、各対策の値が加算されてもよく、コストが加算されてもよい。いくつかの実施形態においては、ここでは比が使用されない。このようにして、サイバー攻撃チェーンが進行するにつれて、つまり攻撃者が優勢になるにつれ、追加的な注意(例えば、リソースの形態で)がこのサイバー攻撃チェーン向けられてもよい。これは、上記と同様なボーナスファクタによって表現され、例えば、値のボーナスファクタは、サイバー攻撃チェーンにより引き起こされた対策の数である。
(a)第1の対策は、サイバー攻撃チェーンに含まれる第1のIoCを検出することができる。
(b)第1の対策の値/コスト比をサイバー攻撃チェーンに割り当てることができる。
(c)同一の対策が別のサイバー攻撃チェーンにおける同一のIoCを識別した場合、ボーナスファクタが対策に割り当てられ得る。例えば、いくつかの実施形態は、IoCを含むサイバー攻撃チェーンの数の平方根を使用することができ、すなわち、IoCがこのサイバー攻撃チェーンにおいてのみ検出されると、次いで、ファクタは、1(すなわち、ボーナスなし)であり、IoCがこれのサイバー攻撃チェーンと他の3つのサイバー攻撃チェーンで検出されると、ファクタは、sqrt(4)=2である。
(d)第1の対策が、同一のサイバー攻撃チェーン内で、(例えば、同じフェーズまたは異なるフェーズのいずれかにおいて)、同一のIoCを繰り返し検出するか、または、他のIoCを検出した場合は、値が加算されてもよく、しかし、(例えば、セキュリティ対策の全体的なリソース消費量が観測され、IoCあたりの消費ではないため)コストは、変化しない。他のIoC(複数可)がサイバー攻撃チェーンを横断して発見される場合、サイバー攻撃チェーンの数あたり、ボーナスファクタがIoCごとに適用されてもよい。
(e)第2の対策がサイバー攻撃チェーンにおける1以上のIoCを識別する場合、各対策の値が加算されてもよく、コストが加算されてもよい。いくつかの実施形態においては、ここでは比が使用されない。このようにして、サイバー攻撃チェーンが進行するにつれて、つまり攻撃者が優勢になるにつれ、追加的な注意(例えば、リソースの形態で)がこのサイバー攻撃チェーン向けられてもよい。これは、上記と同様なボーナスファクタによって表現され、例えば、値のボーナスファクタは、サイバー攻撃チェーンにより引き起こされた対策の数である。
【0082】
第7に、所定のインターバルの後、セキュリティ対策あたりの値/コストの決定を終わらせてもよい514。
【0083】
第8に、サイバー攻撃チェーンが評価されてもよい。各サイバー攻撃チェーンは、各フェーズについての値と、計算されたコストとを有してもよい。セキュリティ対策を無効化/有効化516することによって、各サイバー攻撃チェーンの値/コストが変化し、総合的な値/コストが変化する。セキュリティ対策を無効化/有効化することによって、現在与えられている限られた利用可能なリソースについて総合的な値が最適化される(以下の例を参照)。
【0084】
第9に、インターバルの後、全体的な状況が再評価されてもよい516。(a)所定の時間(例えば、n日)後に、(b)TICによって提供されるサイバー攻撃チェーンのセットが大きく変化した後に、例えば、サイバー攻撃チェーンのあるパーセンテージが新しいサイバー攻撃チェーンで置き換えられた、および/または、既存のサイバー攻撃チェーンのIoCのあるパーセンテージが変化したことなど、および/または(c)利用可能なリソースの量(時間スパンにわたる平均)が変化した場合に、この再評価がトリガ518されてもよい。判定は、プロセスアクティビティ520において発生する。再評価が必要ない場合は、-Yの場合-、プロセスは、最初に戻る-ケース(N)。
【0085】
再評価のために、以前に無効化されたセキュリティ対策は、再有効化されるべきであるが、必ずしも同時であることを要せず、必ずしも全てのデバイス上であることを要するものではない。値/コストの測定がリソース制約のあるデバイス上で行われる場合(この章の第1文を参照)、現在のリソース状況に依存して、新しいセキュリティ対策を有効化することは、現在実行されているセキュリティ対策を無効化すること、および/またはそれらのリソース消費を制限することを必要とする可能性がある。再評価が、第9(c)変更された利用可能なリソースの量によってトリガされ、第9(a)および第9(b)の条件が満たされていない場合、つまり、セキュリティ対策についての値/コスト比が、同一であると仮定した場合、方法は、”第8”の下に説明したアクティビティを継続することができる。そうでなければ、方法は、第1のアクティビティ502を継続してもよい。
【0086】
上述したステップごとのアプローチの文脈において、以下の考察もまた考慮されるべきである。第6(c)の意図は、いくつかの実施形態においては、多数のサイバー攻撃チェーン内に存在するIoCを検出する同一の対策は、検出(および保護動作、例えばウイルスを包含する添付ファイルを除去)のために一度だけリソースを消費し得るが、種々の攻撃シナリオを妨害し、したがってより価値が高いことを強調することである可能性がある。この付加的な値は、ボーナスファクタ(例えば、ここで「n」が0・5(緩やかな増幅)から1(高い増幅)の間であるとして、IoCを含むサイバー攻撃チェーンの数のn乗)で表現され得る。
【0087】
第6(d)についての例として、コストは、(CPU,RAM、I/O)性能ポイントとして定義されてもよい。アンチマルウェアスキャナは、(10,5,1)を消費する可能性がある。IOC1は、7の関連性を有し、このサイバー攻撃チェーンのみで発見される可能性があり、一方で、IoC2は、5の関連性を有し、3つの他のサイバー攻撃チェーンにおいて発見される可能性がある。この例では、
である。
【数9】
【0088】
アクティビティ第6(e)においては、ボーナスファクタは、ここで、nが0.5と2の間でnを変化させることによって調整され得るとして、サイバー攻撃チェーンによって呼び出された異なるセキュリティ対策の数のn乗であってよい。例として、サイバー攻撃チェーン「マルウェア(malware)」を検討する。早期の段階でサイバー攻撃チェーンを妨害するために対策が適切であったにもかかわらず、サイバー攻撃チェーンの後のフェーズで対抗するために追加のおよび/または他の対策が必要とされる可能性がある。この例では、従業員が、私的な電子メールアカウントを介して悪意のあるリンクを受信(これにより、保護された組織のメールシステムを迂回する)する可能性があり、ウェブプロキシは、ウェブサイトをブロックする可能性がある。しかしながら、攻撃者が新しいウェブサイト名/IPアドレスを作成した場合、ウェブプロキシが、アクセスをブロックしない可能性があり、アンチウイルス対策が、マルウェアのインストールを妨害する可能性がある。この例を表2に示す:
【0089】
【表2】
【0090】
同一のセキュリティ対策AV/AMが、フェーズ1および3において、IoCを識別しているので、フェーズ1およびフェーズ3の値が、加算される(120+10)が、リソース消費が1回しか発生しないので、コストではさらない。AV/AMを無効化することにより、この例における値/コストは、20/(3,4,0)に落ちる。ウェブプロキシを無効にすることによって、この例における値/コストは、このサイバー攻撃チェーンについて130/(10,5,1)に落ちる。
【0091】
典型的な環境では、いくつかの実施形態は、n=5のセキュリティ対策について3次元または4次元のコストベクトルを有し、脅威インテリジェンスによって提供される数百個のサイバー攻撃チェーンを有する可能性がある。セキュリティ対策の現在の組み合わせを発見する労力を軽減するために、以下を考慮することができる:
【0092】
・n個のセキュリティ対策のコストを加算する場合、各エリアの総リソース消費量を利用可能なリソースと比較することができる。多くの環境において、リソースの1つ(例えば、CPU)がボトルネックである。そうである場合、最適化プロセスは、このリソースに大きく焦点を当てる。
【0093】
・どのように各サイバー攻撃チェーンにおいて、対策当たりの値が考慮され、すなわち、どれだけ多く各対策が各サイバー攻撃チェーンに寄与するか。表3は、例示的な一例を示す:
【0094】
【表3】
【0095】
表3における値0は、サイバー攻撃チェーン内のIoCを検出するために利用されないので、対策が寄与していないことを意味する。各対策について、コストは、サイバー攻撃チェーンへの寄与とは無関係であってもよいが、しかしながら、値は、脅威インテリジェンスによって提供される(これらの異なる値のファクタとともに)IoCおよび実際に検出されたIoCに依存する可能性がある。利用可能な空きリソースに依存して、対策が、有効化/無効化されてもよい。例えば、CPUリソースが利用可能であるが、I/Oが使用上限に達する場合、対策1 AV/AMは、有効化さてもよく、Windows(登録商標)システム上で高い優先度(またはUNIX(登録商標)システム上で高いniceファクタ)で実行されてもよい。
【0096】
図6は、いくつかの実施形態と一致する、提案されたセキュリティデバイス600の要素のブロック図を示す。図6におけるセキュリティシステムの実施形態は、プロセッサ604に動作可能に結合されたメモリ602を含む。プロセッサ604は、メモリに格納されたプログラムコードを使用して、以下のように構成され得る:
・例えば、収集ユニット606により、脅威インテリジェンスデータを、侵害指標(IoC)を包含するサイバー攻撃チェーンの形態で収集すること;
・決定ユニット608により、デバイスについてサイバー攻撃チェーンの関連性を決定すること;および
・第1のまたは利用測定モジュール610aによって、それぞれのIoCのこれらの検出およびIoCに対するそれぞれのそれらの対応に関して、セキュリティ対策の利用量を測定すること。セキュリティデバイス600は、プロセッサ604およびメモリに格納されたプログラムコードを使用して、第2のまたはリソース消費測定モジュール612(第1および第2の測定モジュールは、同一であってもよく、あるいは統合されてもよい)によって、セキュリティ対策のリソース消費量を測定するよう構成されてもよく、および、
・利益値決定ユニット614により、その利用量およびそれで検出されたIoCのそれらの関連性の値により表現された各セキュリティ対策に対する利益値を決定すること。
・例えば、収集ユニット606により、脅威インテリジェンスデータを、侵害指標(IoC)を包含するサイバー攻撃チェーンの形態で収集すること;
・決定ユニット608により、デバイスについてサイバー攻撃チェーンの関連性を決定すること;および
・第1のまたは利用測定モジュール610aによって、それぞれのIoCのこれらの検出およびIoCに対するそれぞれのそれらの対応に関して、セキュリティ対策の利用量を測定すること。セキュリティデバイス600は、プロセッサ604およびメモリに格納されたプログラムコードを使用して、第2のまたはリソース消費測定モジュール612(第1および第2の測定モジュールは、同一であってもよく、あるいは統合されてもよい)によって、セキュリティ対策のリソース消費量を測定するよう構成されてもよく、および、
・利益値決定ユニット614により、その利用量およびそれで検出されたIoCのそれらの関連性の値により表現された各セキュリティ対策に対する利益値を決定すること。
【0097】
ユニットおよびモジュールは、通信可能におよび/または動作可能に結合されてもよい。これは、特に、メモリ602、プロセッサ604、収集ユニット606、決定ユニット608、利用測定モジュール610およびリソース消費測定モジュール612に適用される。あるいは、いくつかまたは全ては、セキュリティシステムの内部バスシステム616に接続されてもよい。
【0098】
本開示の実施形態は、プラットフォームが、プログラムコードを格納するおよび/または実行するのに適しているかにかかわらず、実質的に任意のタイプのコンピュータを用いて実装されてもよい。図7は、一例として、提案された方法に関連するプログラムコードを実行するのに適したコンピュータシステム700を示す。
【0099】
コンピュータシステム700は、適切なコンピュータシステムの一例であり、コンピュータシステム700が、以下に説明する機能性のいずれかを実装可能であるかおよび/または実行することが可能であるかに関わらず、本明細書で説明される開示の実施形態の使用または機能性の範囲についてのいかなる限定を示唆することを意図するものではない。コンピュータシステム700においては、コンポーネントがあり、コンポーネントは、多数の他の汎用または特定用途のコンピューティングシステム環境または構成で動作可能である。コンピュータシステム/サーバ700と使用するのに適した周知のコンピューティングシステム、環境および/または構成の例は、これらに限定されないが、パーソナル・コンピュータシステム、サーバコンピュータシステム、シンクライアント、シッククライアント、ハンドヘルドまたはラップトップデバイス、マルチプロセッサシステム、マイクロプロセッサベースシステム、セットトップボックス、プログラマブルコンシューマエレクトロニクス、ネットワークPC、ミニコンピュータシステム、メインフレームコンピュータシステム、上述したシステムまたはデバイスなどの任意のものを含む分散型クラウドコンピューティング環境などを含む。
【0100】
コンピュータシステム/サーバ700は、コンピュータシステム700によって実行される、プログラムモジュールのようなコンピュータシステム実行可能命令の一般的な文脈で説明されてもよい。概して、プログラムモジュールは、特定のタスクを実行するか、または特定の抽象的なデータタイプを実装する、ルーチン、プログラム、オブジェクト、コンポーネント、ロジック、データ構造などを含んでもよい。コンピュータシステム/サーバ700は、通信ネットワークを介してリンクされたリモート処理デバイスによってタスクが実行され得る分散型クラウドコンピューティング環境で実装してもよい。分散型クラウドコンピューティング環境では、プログラムモジュールは、メモリ記憶デバイスを含むローカルおよびリモートの両方のコンピュータシステム記憶媒体に配置されてもよい。
【0101】
図7に示すように、コンピュータシステム/サーバ700は、汎用コンピューティングデバイスの形態であってもよい。コンピュータシステム/サーバ700のコンポーネントは、これらに限定されないが、1以上のプロセッサまたは処理ユニット702と、システムメモリ704と、システムメモリ704を含む様々なシステムコンポーネントをプロセッサ702に結合するバス706とを含む。バス706は、メモリバスまたはメモリコントローラ、周辺バス、アクセラレーテッドグラフィックスポート、および種々のバスアーキテクチャの任意のものを使用するプロセッサまたはローカルバスを含む、いくつかのタイプのバス構造のうちの1または複数を表す可能性がある。例として、また、限定なく、このようなアーキテクチャには、インダストリスタンダードアーキテクチャ(ISA)バス、マイクロチャネルアーキテクチャ(MCA)バス、拡張ISA(EISA)バス、ビデオエレクトロニクススタンダーズアソシエーション(VESA)ローカルバスおよびペリフェラル・コンポーネント・インターコネクト(PCI)バスが含まれる。コンピュータシステム/サーバ700は、いくつかの実施形態では、また、種々のコンピュータシステム可読媒体を含んでもよい。そのような媒体は、コンピュータシステム/サーバ700によりアクセス可能である任意の利用可能な媒体であってもよく、揮発性および不揮発性の両方の媒体、リムーバブルおよび非リムーバブルの両方の媒体を含んでもよい。
【0102】
システムメモリ704は、ランダムアクセスメモリ(RAM)708および/またはキャッシュ・メモリ710などの揮発性メモリの形態でコンピュータシステム可読媒体を含んでもよい。コンピュータシステム/サーバ700は、さらに、他のリムーバブル/非リムーバブル揮発性/不揮発性コンピュータシステム記憶媒体を含んでもよい。単なる例として、記憶システム712は、非リムーバブル不揮発性磁気媒体(図示せず、典型的には「ハードドライブ」と参照される)からの読み出しおよび非リムーバブル不揮発性磁気媒体への書き込みのために提供されてもよい。図示されていないが、リムーバブル不揮発性磁気ディスク(例えば、フロッピーディスク(登録商標))からの読み出しおよびリムーバブル不揮発性磁気ディスクへの書き込みのための磁気ディスクドライブ、並びに、CD-ROM、DVD-ROMまたは他の光学媒体のようなリムーバブル不揮発性光学ディスクからの読み出しまたはリムーバブル不揮発性光学ディスクへの書き込みを行うための光学ディスクドライブが提供されてもよい。そのような例では、各々は、1以上のデータメディアインタフェースによってバス706に接続されてもよい。後ろで描き、また説明するように、メモリ704は、本開示の実施形態の機能を実行するよう構成されるプログラムモジュールのセット(例えば、少なくとも1つ)を有する少なくとも1つのプログラム製品を含んでもよい。
【0103】
プログラム/ユーティリティは、プログラムモジュール716のセット(少なくとも1つ)を有し、一例として、メモリ704に格納されてもよく、限定されないが、オペレーティングシステム、1以上のアプリケーションプログラム、他のプログラムモジュールおよびプログラムデータも同様である。オペレーティングシステム、1以上のアプリケーションプログラム、他のプログラムモジュールおよびプログラムデータまたはこれらのいくつかの組み合わせは、次いで、ネットワーキング環境の実装を含んでもよい。プログラムモジュール716は、本明細書で説明されるように、本開示の実施形態の機能および/または方法論を実行することができる。
【0104】
コンピュータシステム/サーバ700は、また、キーボード、ポインティング・デバイス、ディスプレイ720などの1以上の外部装置718と、ユーザがコンピュータシステム/サーバ700と対話することを可能にする1以上のデバイス、および/またはコンピュータシステム/サーバ700が1以上の他のコンピューティングデバイスと通信することを可能にする任意のデバイス(例えば、ネットワーク・カード、モデムなど)と通信してもよい。このような通信は、入力/出力(I/O)インタフェース714を介して生じ得る。さらに、コンピュータシステム/サーバ700は、ネットワークアダプタ722を介して、ローカルエリアネットワーク(LAN)、一般ワイドエリアネットワーク(WAN)、および/または公衆ネットワーク(例えば、インターネット)などの1以上のネットワークと通信することができる。図示されるように、ネットワークアダプタ722は、バス706を介してコンピュータシステム/サーバ700の他のコンポーネントと通信することができる。図示されていないが、他のハードウェアおよび/またはソフトウェアコンポーネントを、コンピュータシステム/サーバ700と組み合わせて使用することができる。例としては、これらに限定されないが、マイクロコード、デバイスドライバ、冗長処理ユニット、外部ディスクドライブアレイ、RAIDシステム、テープドライブ、およびデータアーカイブ記憶システムなどを挙げることができる。
【0105】
加えて、サイバー攻撃に対するコンピューティングリソース制約のあるデバイスの保護を提供するためのセキュリティシステム600は、バスシステム706に取り付けられてもよい。あるいは、セキュリティシステム600は、コンピュータシステム/サーバ700を用いて実装されてもよい。
【0106】
本開示の様々な実施形態の説明は、例示のために提示されたが、しかしながら、網羅的であることあるいは開示された実施形態に限定することを意図するものではない。当業者には、説明される実施形態の範囲および精神から逸脱することなく、多くの修正および変形が明らかになるであろう。本明細書で使用される用語は、実施形態の原理、実用的な応用または市場に見られる技術に対する技術的改善を説明するのを助けるために、および/または当業者が本明細書に開示される実施形態を理解することを可能にするために選択されたものである。
【0107】
本開示は、システム、方法および/またはコンピュータプログラム製品として具現化されてもよい。コンピュータプログラム製品は、プロセッサに本開示の側面を実行させるためのコンピュータ可読プログラム命令をその上に有するコンピュータ可読記憶媒体を含んでもよい。
【0108】
媒体は、電子的、磁気的、光学的、電磁的、赤外線、または伝搬媒体のための半導体システムであってもよい。コンピュータ可読媒体の例には、半導体またはソリッドステートメモリ、磁気テープ、リムーバブルコンピュータディスケット、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、剛性磁気ディスク、および光学ディスクが含まれ得る。光学ディスクの現在の例としては、コンパクトディスクリードオンリーメモリ(CD-ROM)、コンパクトディスクリード/ライト(CD-R/W)、DVD、Blue-Ray Diskなどが挙げられる。
【0109】
コンピュータ可読記憶媒体は、処理ユニットなどの命令実行デバイスによって使用するための命令を保持し格納する有形のデバイスであってよい。コンピュータ可読記憶媒体は、これに限定されるものではないが、電子的記憶デバイス、磁気記憶デバイス、光学記憶デバイス、電磁気記憶デバイス、半導体記憶デバイスまたは上記の任意の適切な組み合わせであってよい。コンピュータ可読記憶媒体のより具体的な例示の例示列挙としては、限定なく、ポータブルコンピュータディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、消去可能プログラマブルリードオンリーメモリ(EPROMまたはフラッシュメモリ)、スタティックランダムアクセスメモリ(SRAM)、ポータブルコンパクトディスクリードオンリーメモリ(CD-ROM)、デジタルバーサタイルディスク(DVD)、メモリースティック(登録商標)、フロッピーディスク(登録商標)、パンチカードまたは記録された命令を有する溝内の隆起構造のような機械的エンコードされたデバイス、および上記の任意の適切な組み合わせが含まれる。コンピュータ可読記憶媒体は、本明細書で使用されるように、電波、自由伝搬する電磁波、導波路または他の伝送媒体を伝搬する電磁波(たとえば、ファイバ光ケーブルを通過する光パルス)または、ワイヤを通して伝送される電気信号のような、それ自体が一時的な信号として解釈されるものではない。
【0110】
本明細書で説明されるコンピュータ可読プログラム命令は、コンピュータ可読記憶媒体からそれぞれのコンピュータ/処理デバイスに、または、例えばインターネット、ローカルエリアネットワーク、ワイドエリアネットワークおよび/または無線ネットワークまたはこれらの組み合わせといったネットワークを介して外部コンピュータまたは外部記憶デバイスにダウンロードすることができる。ネットワークは、銅伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータおよび/またはエッジサーバまたはこれらの組み合わせを含んでもよい。コンピュータ/処理デバイス(複数可)におけるネットワークアダプタカードまたはネットワークインタフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、コンピュータ可読プログラム命令を、それぞれのコンピューティング/処理デバイス内のコンピュータ可読記憶媒体に格納するために転送することができる。
【0111】
本開示の動作を実行するためのコンピュータ可読プログラム命令は、限定なく、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、機械語命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、または、1以上のプログラミング言語の任意の組み合わせで書かれたソースコードあるいはオブジェクトコードであってよく、1以上のプログラミング言語は、Smalltalk(登録商標)、C++またはこれらに類するもなどのオブジェクト指向言語、Cプログラミング言語または類似のプログラミング言語などの従来の手続型言語を含む。コンピュータ可読プログラム命令は、スタンドアローンのソフトウェアパッケージとして、全体としてユーザのコンピュータ上で、部分的にユーザのコンピュータ上で、部分的にユーザのコンピュータ上かつ部分的に遠隔のコンピュータ上で、または、完全に遠隔のコンピュータまたはサーバ上で実行されてもよい。後者のシナリオでは、遠隔のコンピュータは、ユーザのコンピュータに、ローカルエリアネットワーク(LAN)またはワイドエリアネットワーク(WAN)を含む任意のタイプのネットワークを通じて接続されてもよく、あるいは接続は、(例えば、インターネットサービスプロバイダを用いてインターネットを通じて)外部コンピュータになされてもよい。いくつかの実施形態においては、電気的回路は、本開示の側面を実行するために、コンピュータ可読プログラム命令の状態情報を利用して、電気的回路を適応することによって、コンピュータ可読プログラム命令を実行してもよく、この電気的回路は、例えば、プログラマブルロジック回路、フィールドプログラマブルゲートアレイ(FPGA)、またはプログラマブルロジックアレイ(PLA)を含む。
【0112】
本開示の側面は、本明細書において、本開示の実施形態に従った方法、装置(システム)およびコンピュータプログラム製品のフローチャート図および/またはブロック図を参照しながら、説明される。フローチャート図および/またはブロック図の各ブロック、および、フローチャート図および/またはブロック図における複数のブロックの組み合わせは、コンピュータ可読プログラム命令によって実装されてもよいことが理解されよう。これらのコンピュータ可読プログラム命令は、汎用コンピュータ、特定用途向けコンピュータのプロセッサまたは他のプログラマブルデータ処理装置に提供されてマシンを生成し、命令が、コンピュータのプロセッサまたは他のプログラマブルデータ処理装置を介して実行されて、フローチャート図および/またはブロックまたはその両方のブロックまたは複数のブロックにおいて特定される機能/作用を実装するための手段を実装するようにする。これらのコンピュータ可読プログラム命令は、また、コンピュータ、プログラマブルデータ処理装置および/または他のデバイスに特定のやり方で機能するよう指示できるコンピュータ可読記憶媒体に格納され、それに格納された命令を有するコンピュータ可読記憶媒体に、フローチャートおよび/またはブロックのブロックまたは複数のブロックで特定される機能/作用の側面を実装する命令を含む製品が含まれるようにする。
【0113】
コンピュータ可読プログラム命令は、また、コンピュータ、別のプログラマブルデータ処理装置、または他のデバイスにロードされ、コンピュータ、他のプログラマブルデータ処理装置または他のデバイス上で一連の動作ステップを実行させて、コンピュータ、他のプログラマブルデータ処理装置または別のデバイス上で実行される命令が、フローチャートおよび/またはブロックのブロックまたは複数のブロックで特定される機能/作用の側面を実装するように、コンピュータ実装処理を生成することもできる。
【0114】
図面におけるフローチャートおよび/またはブロック図は、本開示の様々な実施形態に従ったシステム、方法およびコンピュータプログラム製品の可能な実装のアーキテクチャ、機能性および動作を示す。この点に関して、フローチャートまたはブロック図の各ブロックは、特定の論理機能(複数可)を実装するための1以上の実行可能な命令を含む、モジュール、セグメントまたは命令の部分を表し得る。いくつかの代替の実装では、ブロックにおいて言及された機能は、図面に示された順序から外れて生じる可能性がある。例えば、連続して示される2つのブロックは、実際には、実質的に同時に実行されてもよく、あるいは、複数のブロックは、関与する機能性に応じて逆の順序で実行されてもよい。ブロック図および/またはフローチャート図の両方の各ブロックおよびブロック図および/またはフローチャート図の複数のブロックの組み合わせが、特定の機能または作用を実行し、または、特別な目的のハードウェアおよびコンピュータ命令の組み合わせを実施する、特定目的ハードウェアベースのシステムによって実装されてもよいことに留意されたい。
【0115】
本明細書で使用される用語は、ただ特定の実施形態を説明するためのものであり、本開示を限定することは意図するものではない。本明細書で使用される場合、単数形「a」、「an」および「the」は、文脈が明確に別の場合を示す場合を除き、複数の形も含むことを意図する。さらに、本明細書で使用される場合、「含む(comprise)」および/または「comprising(含んでいる)」という用語は、述べた特徴、整数、ステップ、操作、要素、および/またはコンポーネントの存在を特定するが、1または複数の他の特徴、整数、ステップ、操作、要素、コンポーネント、および/またはそれらのグループの存在または追加を排除するものではないことを理解されたい。
【0116】
対応する構造、材料、行為、および以下の特許請求の範囲におけるミーンズまたはステッププラスファンクション要素すべての等価物が、特に特許請求されるように、他の特許請求される要素と組み合わせて機能を実行するための任意の構造、材料、または行為を含ませることを意図する。本開示の説明は、描写および説明の目的のために提示されたものであり、しかし、網羅的であること、または開示された形態の開示に限定することを意図するものではない。当業者には、本開示の範囲および精神から逸脱することなく、多くの修正および変形が明らかになるであろう。実施形態は、本開示の原理および実際上の応用を説明するために、また、当業者が、種々の変形とともに種々の実施形態の開示を特定の企図される用途に適しているものとして理解することを可能にするために、選択され、説明されたものである。
【0117】
したがって、本開示の種々の実施形態の説明が、説明のために提示されるが、しかし、網羅的であること、または、開示される実施形態に限定することを意図するものではない。説明される実施形態の範囲および精神を逸脱することなく、多くの変更および変形が当業者にとって明らかであろう。本明細書で使用される用語は、実施形態の原理、実際の応用または市場で発見される技術に対する技術的改善を説明するために、あるいは、他の当業者が、本明細書で開示される実施形態を理解できるように選ばれたものである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【国際調査報告】