JP7441719B2 - Incident information analysis device, analysis method, and analysis program - Google Patents
Incident information analysis device, analysis method, and analysis program Download PDFInfo
- Publication number
- JP7441719B2 JP7441719B2 JP2020083133A JP2020083133A JP7441719B2 JP 7441719 B2 JP7441719 B2 JP 7441719B2 JP 2020083133 A JP2020083133 A JP 2020083133A JP 2020083133 A JP2020083133 A JP 2020083133A JP 7441719 B2 JP7441719 B2 JP 7441719B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- attack
- system configuration
- configuration
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 40
- 230000010365 information processing Effects 0.000 claims description 40
- 230000000694 effects Effects 0.000 claims description 15
- 238000013507 mapping Methods 0.000 claims description 11
- 239000000284 extract Substances 0.000 claims description 6
- 239000000047 product Substances 0.000 description 54
- 238000010586 diagram Methods 0.000 description 23
- 238000000034 method Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 10
- 238000007639 printing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000006227 byproduct Substances 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000003631 expected effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、インシデント情報を分析する技術に関する。 The present invention relates to a technique for analyzing incident information.
近年、情報化社会の進展に伴って様々な情報処理装置が利用されている。これらの情報処理装置は、日々様々な攻撃の脅威に晒されている。近年の情報化社会の多くはこのような情報処理装置によって制御されているため、企業の情報処理システムや社会インフラシステムが攻撃を受けるとその被害の影響は大きい。 In recent years, various information processing devices have been used as the information society progresses. These information processing devices are exposed to the threat of various attacks every day. Since much of the recent information society is controlled by such information processing devices, attacks on corporate information processing systems and social infrastructure systems can have a large impact.
しかし、攻撃対象となりうる情報処理装置の構成に応じて、攻撃を受ける前にあるいは攻撃を受けたときに適切な対策を適用すれば、攻撃を未然に防いだり、被害を最小限に抑えたりできる場合も多い。 However, if appropriate countermeasures are applied before or during an attack, depending on the configuration of the information processing device that may be the target of the attack, it is possible to prevent the attack or minimize the damage. There are many cases.
特許文献1には、脅威項目の攻撃経路に含まれるコンポーネントの情報とセキュリティ対策の効果値とから、各セキュリティ対策が大規模システム全体に対してどの程度の効果があるのかを算出することが開示されている。
情報処理装置への攻撃に関連する情報(インシデント情報)は、インターネットやSNS(Social Networking Service)に存在することがある。このようなインシデント情報を活用することで情報処理装置の弱点や有効な対策が見つかることもある。そのため、例えば、企業等の組織内では、PSIRT(Product Cequrity Incident Response Team)によって、インターネットやSNSから、情報処理装置への攻撃に関連するインシデント情報を収集し、それを分析し、情報処理装置のセキュリティ維持に役立てるといったことが行われる。 Information related to attacks on information processing devices (incident information) may exist on the Internet or SNS (Social Networking Service). By utilizing such incident information, weaknesses in information processing equipment and effective countermeasures may be discovered. Therefore, for example, within organizations such as companies, PSIRT (Product Security Incident Response Team) collects incident information related to attacks on information processing equipment from the Internet and SNS, analyzes it, and uses it to improve information processing equipment. It is used to help maintain security.
しかし、攻撃対象とされる情報処理装置の構成は様々であり、またインシデント情報の内容や表現も様々であることから、インシデント情報を分析して有益な情報を得るには分析者に専門知識が求められ、その作業には長時間を要する。 However, because the configurations of information processing devices targeted by attacks vary, and the content and expression of incident information also vary, analysts need specialized knowledge to analyze incident information and obtain useful information. It is demanding and the work takes a long time.
本開示のひとつの目的は、インシデント情報の分析を支援する技術を提供することである。 One purpose of the present disclosure is to provide technology that supports analysis of incident information.
本開示のひとつの態様によるインシデント情報分析装置は、インシデント情報の文章から単語を抽出し、該単語に対応する情報処理装置の要素を識別する要素識別部と、前記インシデント情報から抽出された単語に対応する前記要素の組み合わせに基づいて、当該インシデント情報に示された攻撃が辿る攻撃経路を特定する攻撃経路特定部と、前記識別された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定する構成推定部と、を有する。 An incident information analysis device according to one aspect of the present disclosure includes an element identification unit that extracts a word from a sentence of incident information and identifies an element of an information processing device corresponding to the word; an attack route identification unit that identifies an attack route followed by the attack indicated in the incident information based on a combination of the corresponding elements; and a configuration estimation unit that estimates configuration information regarding a system configuration of the processing device.
本開示のひとつの態様によれば、インシデント情報の分析を支援することが可能となる。 According to one aspect of the present disclosure, it is possible to support analysis of incident information.
以下に、本発明の実施形態について図面を参照して説明する。なお、以下の本願明細書においては、要素とは、情報処理装置に含まれる、コンポーネント部品やインタフェースや通信路など各部のハードウェア、アプリケーションやツールなどのソフトウェア、個人情報や演算結果などのデータなどを示す。また、攻撃経路は、情報処理装置における攻撃が辿った経路であり、要素およびその順序で示される。例えば、サーバにアクセスしてサーバのメモリ上の個人情報を摂取あるいは改ざんするという攻撃であれば、最初のアクセス先の要素からいくつかの要素を経由してターゲットである個人情報に到達する。その場合、アクセス先の要素からターゲットの要素(個人情報)までに存在する要素およびその順序が攻撃経路を示す。また、構成情報とは、情報処理装置に含まれる要素およびその要素の相互関係が示す構成であり、要素およびその要素同士の接続により示される。 Embodiments of the present invention will be described below with reference to the drawings. Note that in the following specification of this application, elements include hardware such as component parts, interfaces, and communication channels included in the information processing device, software such as applications and tools, data such as personal information and calculation results, etc. shows. Further, the attack route is a route followed by an attack on the information processing device, and is indicated by elements and their order. For example, in an attack that accesses a server and ingests or alters personal information on the server's memory, the target personal information is reached through several elements from the first accessed element. In that case, the elements existing from the access destination element to the target element (personal information) and their order indicate the attack route. Further, the configuration information is a configuration indicating the elements included in the information processing device and the mutual relationships among the elements, and is indicated by the elements and the connections between the elements.
図1は、実施形態によるインシデント情報分析システムのブロック図である。本実施形態によるインシデント情報分析システムは図1に示すように、入力装置11と、出力装置12と、インシデント情報分析装置13とを有し、入力装置11及び出力装置12がユーザ90からアクセス可能に構成されている。入力装置11は、ユーザ90がインシデント情報分析装置13にインシデント情報や自社製品構成情報を入力するためのものである。出力装置12は、インシデント情報分析装置13からの構成特定結果や影響判定結果をユーザ90に提示出力するためのものである。
FIG. 1 is a block diagram of an incident information analysis system according to an embodiment. As shown in FIG. 1, the incident information analysis system according to this embodiment includes an
図2は、図1に示したインシデント情報分析装置13の構成を示すブロック図である。図1に示したインシデント情報分析装置13は、図2に示すように、入力部301と、出力部302と、要素識別部303と、攻撃経路特定部304と、構成推定部305と、構成比較部306と、対策提示部307と、セキュリティ要素データベース308と、攻撃経路定義データベース309と、製品構成データベース310と、自社製品データベース311と、対策データベース312とを有している。
FIG. 2 is a block diagram showing the configuration of the incident
入力部301は、ユーザ90が入力装置11を介して入力したインシデント情報や自社製品構成情報を受け付ける。
The
出力部302は、構成特定結果や影響判定結果を出力装置302に出力する。
The
要素識別部303は、入力部301にて受け付けたインシデント情報の文章から単語を抽出し、抽出した単語に対応する情報処理装置の要素を識別する。
The
攻撃経路特定部304は、要素識別部303にて識別された要素の組み合わせに基づいて、その要素に対応する単語が抽出されたインシデント情報に示された攻撃が辿る攻撃経路を特定する。
Based on the combination of elements identified by the
構成推定部305は、要素識別部303にて識別された要素と、攻撃経路特定部304にて特定された攻撃経路とに基づいて、情報処理装置のシステム構成に関する構成情報を推定する。また、構成推定部305は、情報処理装置のシステム構成と攻撃経路とを対応付けるシステム構成攻撃経路対応付け情報を製品構成データベース310として管理する。そして、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていれば、その攻撃経路に対応するシステム構成を情報処理装置のシステム構成と推定し、また、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていなければ、その攻撃経路に対応するシステム構成をシステム構成攻撃経路対応付け情報として製品構成データベース310に登録することを分析者に促す。
The configuration estimating
構成比較部306は、製品構成データベース310として管理されるシステム構成攻撃経路対応付け情報に含まれているシステム構成と、管理対象装置のシステム構成との類似度を算出する。
The
対策提示部307は、攻撃経路とその攻撃経路の攻撃に対する対策とを対応付けた対策情報を対策データベース312として管理し、製品構成データベース310として管理されるシステム構成攻撃経路対応付け情報において、管理対象装置のシステム構成と所定の類似度を有するシステム構成に対応する攻撃経路の、対策情報において対応する対策を提示する。
The
以下に、上記のように構成されたインシデント情報分析システムにおけるインシデント情報分析方法について説明する。 An incident information analysis method in the incident information analysis system configured as described above will be described below.
図3は、図1及び図2に示したインシデント情報分析システム全体の処理を示すシーケンス図である。図4は、図1及び図2に示したインシデント情報分析システムにおけるインシデント情報分析方法を説明するためのフローチャートである。 FIG. 3 is a sequence diagram showing the overall processing of the incident information analysis system shown in FIGS. 1 and 2. FIG. 4 is a flowchart for explaining an incident information analysis method in the incident information analysis system shown in FIGS. 1 and 2.
図1及び図2に示したインシデント情報分析システムにおいてユーザ90がインシデント情報の分析を行うために、インシデント情報の文章を入力装置11に入力すると、入力されたインシデント情報の文章はインシデント情報分析装置13の入力部310を介して要素識別部303に入力される。すると、要素識別部303において、入力されたインシデント情報から要素が識別される(ステップ401)。
In the incident information analysis system shown in FIGS. 1 and 2, when the
図5は、図1に示した入力装置11に表示されるインシデント情報入力画面の一例を示す図である。
FIG. 5 is a diagram showing an example of an incident information input screen displayed on the
図1に示した入力装置11に表示されるインシデント情報入力画面としては例えば、図5に示すように、インシデント情報を入力するためのインシデント情報入力領域D01と、執行項目を指定するための執行項目指定領域D02と、インシデント情報の分析の実行を開始するための実行ボタンD03とが設けられたものが考えられる。
For example, as shown in FIG. 5, the incident information input screen displayed on the
ユーザ90は、執行項目指定領域D02にて執行項目を指定するとともに、インシデント情報入力領域D01にインシデント情報を入力し、実行ボタンD03を押下することになる。なお、インシデント情報入力領域D01へのインシデント情報の入力は、インシデント情報の文章をそのまま入力してもよいし、インシデント情報のURL等を指定してもよい。
The
図6は、図4に示した要素識別部303における要素識別処理を説明するためのフローチャートである。
FIG. 6 is a flowchart for explaining element identification processing in the
要素識別部303においては、インシデント情報が入力部310を介して入力されるとまず、入力されたインシデント情報からシステムの種類が識別される(ステップ4011)。
When incident information is input through the
次に、要素識別部303においては、インシデント情報の文章から単語が抽出される(ステップ4012)。
Next, the
次に、要素識別部303においては、セキュリティ要素データベース308が参照され、抽出された単語のそれぞれについて対応する要素が識別される(ステップ4013)。
Next, the
図7は、図2に示したセキュリティ要素データベース308の一例を示す図である。
FIG. 7 is a diagram showing an example of the
図7に示すように、図2に示したセキュリティ要素データベース308には、システムの種別毎に、単語に対応する要素が登録されている。そのため、要素識別部303においては、インシデント情報から単語が抽出されると、抽出された単語のそれぞれについて対応する要素を識別することができる。
As shown in FIG. 7, elements corresponding to words are registered in the
そして、入力されたインシデント情報に新たな単語が存在しない場合は(ステップ4014)、要素識別部303における要素識別処理を終了する。
If there is no new word in the input incident information (step 4014), the element identification process in the
一方、入力されたインシデント情報に新たな単語が存在する場合は、その新たな単語と対応する要素がセキュリティ要素データベース308に登録され(ステップ4015)、ステップ4011の処理に戻る。 On the other hand, if a new word exists in the input incident information, an element corresponding to the new word is registered in the security element database 308 (step 4015), and the process returns to step 4011.
要素識別部303における要素識別処理が終了すると次に、攻撃経路特定部304において、攻撃経路が特定される(ステップ402)。
When the element identification process in the
図8は、図4に示した攻撃経路特定部304における攻撃経路特定処理を説明するためのフローチャートである。
FIG. 8 is a flowchart for explaining attack route identification processing in the attack
攻撃経路特定部304においては、要素識別部303にて要素が識別されると、攻撃経路定義データベース309が参照され、識別された要素の組み合わせに基づいて、その要素に対応する単語が抽出されたインシデント情報に示された攻撃が辿る攻撃経路が特定される(ステップ4021)。
In the attack
図9は、図2に示した攻撃経路定義データベース309の一例を示す図である。
FIG. 9 is a diagram showing an example of the attack
図9に示すように、図2に示した攻撃経路定義データベース309には、システムの種類に応じて種別や詳細などからなる要素が対応づけられて要素識別番号によって識別可能に登録されているとともに、要素識別番号によって識別される要素に対する攻撃の経路がその要素と順序により示され、攻撃経路識別番号によって識別可能に登録されている。そのため、攻撃経路特定部304においては、要素識別部303にて識別された要素の組み合わせに基づいて、その要素に対応する単語が抽出されたインシデント情報に示された攻撃が辿る攻撃経路を特定することができる。その際、上述したように、攻撃経路が複数の要素とその順序により示されているため、攻撃経路特定部304は、インシデント情報における要素の登場順序を、攻撃経路における要素の順序とすることができる。このように、インシデント情報の文章構造における要素の登場順序を、攻撃経路にて要素を辿る順序とすることで、分析者は攻撃経路を容易に推定することができる。
As shown in FIG. 9, in the attack
なお、本例においては、要素識別番号によって識別される要素に対する攻撃の経路がその要素と順序により示されているが、攻撃の順序が示されていなくてもよい。 Note that in this example, the attack route against the element identified by the element identification number is shown by the element and the order, but the attack order does not need to be shown.
攻撃経路特定部304における攻撃経路特定処理が終了すると次に、構成推定部305において、要素識別部303にて識別された要素と、攻撃経路特定部304にて特定された攻撃経路とに基づいて、情報処理装置のシステム構成に関する構成情報が推定される(ステップ403)。
When the attack route identification process in the attack
図10は、図4に示した構成推定部305における構成推定処理を説明するためのフローチャートである。
FIG. 10 is a flowchart for explaining the configuration estimation process in the
構成推定部305においては、攻撃経路特定部304にて攻撃経路が特定されると、製品構成データベース310が参照され、特定された攻撃経路が製品構成データベース310に登録されているかどうかが確認される(ステップ4031)。
In the
図11は、図2に示した製品構成データベース310の一例を示す図である。
FIG. 11 is a diagram showing an example of the
図11に示すように、図2に示した製品構成データベース310には、攻撃経路に対応するシステム構成が製品番号によって識別可能に登録されている。攻撃経路は、図9に示した攻撃経路識別番号がその要素の組み合わせとともに登録されている。これらの情報は、自社製品ではなく、インターネットやSNSから収集されたインシデント情報から推定されたシステム構成に関する情報である。
As shown in FIG. 11, in the
構成推定部305においては、このような構成の製品構成データベース310が参照され、攻撃経路特定部304にて特定された攻撃経路が製品構成データベース310に登録されている場合は、特定された攻撃経路に対応するシステム構成が推定される(ステップ4032)。
The
一方、攻撃経路特定部304にて特定された攻撃経路が製品構成データベース310に登録されていない場合は、特定された攻撃経路とそのシステム構成が製品構成データベース310に登録される(ステップ4033)。
On the other hand, if the attack route identified by the attack
このように、構成推定部305は、情報処理装置のシステム構成と攻撃経路とを対応付けるシステム構成攻撃経路対応付け情報を製品構成データベース310として管理しておき、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていれば、その攻撃経路に対応するシステム構成を情報処理装置のシステム構成と推定し、また、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていなければ、その攻撃経路に対応するシステム構成をシステム構成攻撃経路対応付け情報として製品構成データベース310に登録することを分析者に促すことになる。それにより、インシデント情報にて攻撃対象となった情報処理装置のシステム構成を容易に推定することができる。また、製品構成データベース310のシステム構成攻撃経路対応付け情報に含まれていない情報の追加を分析者に促すことにより、システム構成攻撃経路対応付け情報を拡張することができる。
In this way, the
また、インシデント情報分析装置12が、インシデント情報に基づいて要素を識別し、その要素の組合せに基づいて攻撃経路を特定し、その攻撃経路から情報処理装置のシステム構成を推定するので、分析者はインシデント情報を容易に分析することができる。
In addition, the incident
このようにして構成推定部305にてシステム構成が推定されると、推定されたシステム構成が出力部302を介して出力装置12に出力され、ユーザ90に提示される(ステップ404)。
When the system configuration is estimated by the
図12は、構成推定部305から出力部302を介して出力される構成特定結果出力画面を示す図である。
FIG. 12 is a diagram showing a configuration identification result output screen output from the
図12に示すように、構成推定部305から出力部302を介して出力され、出力装置12にて表示出力される構成特定結果出力画面には、対応するインシデント情報D04と、インシデント情報に対応する攻撃経路およびシステム構成D05とが表示されるとともに、分析をやり直すためのやり直しボタンD06と、結果を印刷するための印刷ボタンD07と、終了ボタンD08とが設けられている。
As shown in FIG. 12, the configuration identification result output screen outputted from the
このように、出力部302から、対応するインシデント情報と、インシデント情報に対応する攻撃経路およびシステム構成とが出力され、画面に表示されるので、分析者は容易に分析結果を知得することができる。
In this way, the corresponding incident information and the attack route and system configuration corresponding to the incident information are outputted from the
構成推定部305におけるシステム構成推定処理が終了すると次に、構成比較部306において、製品構成データベース310として管理されるシステム構成攻撃経路対応付け情報に含まれているシステム構成と、管理対象装置のシステム構成との類似度が算出される(ステップ405)。
When the system configuration estimation process in the
図13は、図4に示した構成比較部306における構成比較処理を説明するためのフローチャートである。
FIG. 13 is a flowchart for explaining the configuration comparison process in the
構成比較部306においては、製品構成データベース310に登録されたシステム構成が構成推定部305を介して取得されるとともに(ステップ4051)、自社製品データベース311から自社製品のシステム構成が取得されると(ステップ4052)、まず、これらのシステム構成の入力があるかどうかが確認される(ステップ4053)。
In the
図14は、図2に示した自社製品データベース311の一例を示す図である。
FIG. 14 is a diagram showing an example of the
図14に示すように、図2に示した自社製品データベース311には、ユーザ90の属する企業などの組織の製品のそれぞれについて、その種類毎に、コンポーネントやソフトウェアの名称と、メーカー名と、そのバージョンと、ライセンス、さらには、連接あるいは実装されるコンポーネントの数とが、番号によって識別可能に登録されている。
As shown in FIG. 14, the in-
構成比較部306においては、製品構成データベース310に登録されたシステム構成と、自社製品データベース311に登録された自社製品のシステム構成とのいずれの入力もない場合は、入力装置11を介したユーザ90の入力により、自社製品のシステム構成が取得される(ステップ4054)。
In the
図15は、図2に示した自社製品データベース311に自社製品のシステム構成を登録する際の自社製品構成入力画面の一例を示す図である。
FIG. 15 is a diagram showing an example of an in-house product configuration input screen when registering the system configuration of an in-house product in the in-
図15に示すように、図2に示した自社製品データベース311に自社製品のシステム構成を登録する際の自社製品構成入力画面には、入力された自社製品のシステム構成が表示されるシステム構成表示領域D09と、影響判定を行う際に押下される影響判定実行ボタンD10とが設けられている。
As shown in FIG. 15, when registering the system configuration of a company's product in the company's
ユーザ90は、図15に示した自社製品構成入力画面を用いて、自社製品のシステム構成を入力装置11を介して入力することになる。
The
入力装置11を介して入力された自社製品のシステム構成は、入力部301を介して構成比較部306にて取得され、自社製品データベース311に登録され(ステップ4055)、ステップ4052における処理に戻る。
The system configuration of the company's product input via the
一方、製品構成データベース310に登録されたシステム構成と、自社製品データベース311に登録された自社製品のシステム構成とのいずれの入力がある場合は、構成比較部306においては、これらのシステム構成について、インタフェースの一番近い層から一番遠い層まで、順次類似度が算出されていく(ステップ4056A,4057,4058,4056B)。
On the other hand, if either the system configuration registered in the
全ての階層について類似度が算出されると、構成比較部306においては、各階層の評価結果に基づいてシステム全体の類似度が算出される(ステップ4059)。具体的には、情報処理装置Aのシステム構成において、階層xがxa、階層yがya、階層zがzaであるとし、情報処理装置Bのシステム構成において、階層xがxb、階層yがyb、階層zがzbであるとした場合、情報処理装置Aと情報処理装置Bのシステム構成の類似度は、(類似度(xa,xb))×(類似度(ya,yb))×(類似度(za,zb))となる。なお、類似度(xa,xa)は要素の種別毎に予め定めておけばよい。例えば、物理的なコンポーネント部品であれば、規格、メーカー、バージョンなどの項目の一致の度合いにより類似度を定めてもよい。
Once the similarity is calculated for all the layers, the
このように、システム構成が、各階層に存在する要素が定められた階層構造を有する情報である場合、構成比較部306においてシステム構成における各階層の要素同士の類似度を合成して類似度が算出されて定量評価されるので、分析者は容易に所定の類似度を有する情報処理装置への対策を得ることができる。
In this way, when the system configuration is information having a hierarchical structure in which elements existing in each hierarchy are determined, the
構成比較部306における構成比較処理が終了すると、次に、対策提示部307においいて、インシデントへの対策および効果が算出されて提示される(ステップ406)。
When the configuration comparison process in the
図16は、図2に示した対策提示部307における対策提示処理を説明するためのフローチャートである。
FIG. 16 is a flowchart for explaining the countermeasure presentation process in the
対策提示部307においてはまず、自社製品と類似度の高い製品が特定され(ステップ4061)、類似製品のシステム構成に有効な対策が特定される(ステップ4062)。
The
次に、対策提示部307において、対策データベース312が参照され、特定された対策の効果が算出される(ステップ4063)。
Next, the
図17は、図2に示した対策データベース312の一例を示す図である。
FIG. 17 is a diagram showing an example of the
図17に示すように、図2に示した対策データベース312には、攻撃経路と、その攻撃経路に有効な対策と、その効果とが対応づけて登録されている。そのため、対策提示部307においては、特定された対策の効果を算出することができる。このように、図2に示した対策データベース312には、対策情報として、攻撃経路と対策とに加え、対策による効果が対応付けられている。
As shown in FIG. 17, in the
その後、対策提示部307において、算出された効果が、特定された対策とともに提示される(ステップ4063)。具体的には、対策提示部にて算出された効果が特定された対策とともに出力部302によって出力装置12にて表示出力されることになる。
Thereafter, the
図18は、対策提示部307から出力部302を介して出力される影響判定結果出力画面を示す図である。
FIG. 18 is a diagram showing an impact determination result output screen output from the
図18に示すように、対策提示部307から出力部302を介して出力され、出力装置12にて表示出力される影響判定結果出力画面には、自社製品への影響の有無を示す影響判定D11と、その対応の緊急度D120と、構成比較部306にて算出された類似度D14と、システム構成並びにその推奨対策及びそれによる効果D14とが表示されるとともに、対策と効果の算出をやり直すためのやり直しボタンD15と、結果を印刷するための印刷ボタンD16と、終了ボタンD17とが設けられている。
As shown in FIG. 18, the impact determination result output screen outputted from the
このように、システム構成の類似度に基づいて選択された管理対象装置への対策が提示されるので、分析者は管理対象装置への攻撃に対する有効な対策を容易に推定することができる。 In this way, countermeasures for the managed device selected based on the similarity of the system configuration are presented, so the analyst can easily estimate effective countermeasures against attacks on the managed device.
また、対策提示部307において、構成比較部306にて算出された類似度と、対策データベース312に登録された対策情報においてその対策に対応する効果とに基づいて、対策の管理対象装置に対する効果が算出され、対策と共に提示されることにより、分析者は、提示された対策を自身の管理する情報処理装置に適用した場合に期待される効果を知ることができる。その際、提示された対策とその対策の管理対策装置に対する効果とが、出力部302によって対応付けて画面に表示されることで、分析者は容易に対策とその効果を知得することができる。
In addition, the
なお、本形態におけるインシデント情報分析装置13は、CPU、メモリ等を有し、CPUがメモリを利用して、ソフトウェアプログラムを実行するコンピュータによるものである。
Incident
上述した実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の範囲を逸脱することなしに、他の様々な態様で本発明を実施することができる。 The embodiments described above are illustrative examples of the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the invention in various other ways without departing from the scope of the invention.
10…インシデント情報分析システム、11…入力装置、12…出力装置、13…インシデント情報分析装置、90…ユーザ、301…入力部、302…出力部、303…要素識別部、304…攻撃経路特定部、305…構成推定部、306…構成比較部、307…対策提示部、308…セキュリティ要素データベース、309…攻撃経路定義データベース、310…製品構成データベース、311…自社製品データベース、312…対策データベース DESCRIPTION OF SYMBOLS 10... Incident information analysis system, 11... Input device, 12... Output device, 13... Incident information analysis device, 90... User, 301... Input section, 302... Output section, 303... Element identification section, 304... Attack route identification section , 305...Configuration estimation section, 306...Configuration comparison section, 307...Countermeasure presentation section, 308...Security element database, 309...Attack route definition database, 310...Product configuration database, 311...In-house product database, 312...Countermeasure database
Claims (10)
前記インシデント情報から抽出された単語に対応する前記要素の組み合わせに基づいて、当該インシデント情報に示された攻撃が辿る攻撃経路を特定する攻撃経路特定部と、
前記識別された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定する構成推定部と、を有するインシデント情報分析装置。 an element identification unit that extracts a word from a sentence of incident information and identifies an element of the information processing device corresponding to the word;
an attack route identification unit that identifies an attack route followed by an attack indicated in the incident information based on a combination of the elements corresponding to the words extracted from the incident information;
An incident information analysis device comprising: a configuration estimation unit that estimates configuration information regarding a system configuration of the information processing device based on the identified element and the identified attack route.
前記攻撃経路特定部は、前記インシデント情報における前記要素の登場順序を、前記攻撃経路における前記要素の順序とする、
請求項1に記載のインシデント情報分析装置。 The attack path is indicated by a plurality of elements and their order,
The attack route identification unit sets the order of appearance of the elements in the incident information as the order of the elements in the attack route.
The incident information analysis device according to claim 1.
請求項1に記載のインシデント情報分析装置。 The configuration estimating unit manages system configuration attack route association information that associates the system configuration of the information processing device with attack routes, and if the identified attack route is included in the system configuration attack route association information, , the system configuration corresponding to the attack route is estimated to be the system configuration of the information processing device, and if the identified attack route is not included in the system configuration attack route mapping information, the system configuration corresponding to the attack route is estimated to be the system configuration of the information processing device. prompting the analyst to register the configuration in the system configuration attack path mapping information;
The incident information analysis device according to claim 1.
攻撃経路と該攻撃経路の攻撃に対する対策とを対応付けた対策情報を管理し、前記システム構成攻撃経路対応付け情報において、前記管理対象装置のシステム構成と所定の類似度を有するシステム構成に対応する攻撃経路の、前記対策情報において対応する対策を提示する対策提示部と、を更に有する、
請求項3に記載のインシデント情報分析装置。 a configuration comparison unit that calculates the degree of similarity between the system configuration included in the system configuration attack route mapping information and the system configuration of the managed device;
Managing countermeasure information that associates attack routes with countermeasures against attacks of the attack routes, and in the system configuration attack route association information, corresponds to a system configuration that has a predetermined degree of similarity with the system configuration of the managed device. further comprising a countermeasure presentation unit that presents countermeasures corresponding to the countermeasure information of the attack route;
The incident information analysis device according to claim 3.
前記構成比較部は、システム構成における各階層の要素同士の類似度を合成して前記類似度を算出する、
請求項4に記載のインシデント情報分析装置。 The system configuration is information that has a hierarchical structure in which the elements that exist in each hierarchy are defined,
The configuration comparison unit calculates the similarity by combining similarities between elements of each hierarchy in the system configuration.
The incident information analysis device according to claim 4.
前記対策提示部は、前記類似度と、前記対策情報において前記対策に対応する効果とに基づいて、前記対策の前記管理対象装置に対する効果を算出し、前記対策と共に提示する、
請求項4に記載のインシデント情報分析装置。 In addition to the attack route and the countermeasure, the countermeasure information is associated with the effect of the countermeasure,
The countermeasure presentation unit calculates an effect of the countermeasure on the managed device based on the similarity and an effect corresponding to the countermeasure in the countermeasure information, and presents the countermeasure together with the countermeasure.
The incident information analysis device according to claim 4.
請求項1に記載のインシデント情報分析装置。 further comprising an output unit that displays the incident information, the attack route and the system configuration corresponding to the incident information on a screen;
The incident information analysis device according to claim 1.
請求項6に記載のインシデント情報分析装置。 further comprising an output unit that displays the proposed countermeasure and the effect of the countermeasure on the managed device in association with each other on a screen;
The incident information analysis device according to claim 6.
前記インシデント情報から抽出された前記要素の組合せに基づいて、前記インシデント情報に示された攻撃が辿る攻撃経路を特定し、
前記抽出された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定することを、
前記情報処理装置のインシデント情報を分析するためのコンピュータが実行するインシデント情報分析方法。 Extracts the description of the information processing device elements included in the incident information,
identifying an attack route followed by an attack indicated in the incident information based on the combination of the elements extracted from the incident information;
estimating configuration information regarding a system configuration of the information processing device based on the extracted element and the identified attack route;
An incident information analysis method executed by a computer for analyzing incident information of the information processing device .
前記インシデント情報から抽出された前記要素の組合せに基づいて、前記インシデント情報に示された攻撃が辿る攻撃経路を特定し、
前記抽出された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定することを、
前記情報処理装置のインシデント情報を分析するためのコンピュータに実行させるためのインシデント情報分析プログラム。 Extracts the description of the information processing device elements included in the incident information,
identifying an attack route followed by an attack indicated in the incident information based on the combination of the elements extracted from the incident information;
estimating configuration information regarding a system configuration of the information processing device based on the extracted element and the identified attack route;
An incident information analysis program to be executed by a computer for analyzing incident information of the information processing device .
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020083133A JP7441719B2 (en) | 2020-05-11 | 2020-05-11 | Incident information analysis device, analysis method, and analysis program |
PCT/JP2021/010250 WO2021229910A1 (en) | 2020-05-11 | 2021-03-12 | Incident information analysis device, analysis method, and analysis program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020083133A JP7441719B2 (en) | 2020-05-11 | 2020-05-11 | Incident information analysis device, analysis method, and analysis program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021179660A JP2021179660A (en) | 2021-11-18 |
JP7441719B2 true JP7441719B2 (en) | 2024-03-01 |
Family
ID=78511469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020083133A Active JP7441719B2 (en) | 2020-05-11 | 2020-05-11 | Incident information analysis device, analysis method, and analysis program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7441719B2 (en) |
WO (1) | WO2021229910A1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007122749A (en) | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | Warning system, illegal access track method, illegal access detection system, security management method and attack protection method |
JP2018077598A (en) | 2016-11-08 | 2018-05-17 | 京セラドキュメントソリューションズ株式会社 | Electronic device, program and information processing system |
JP2019168869A (en) | 2018-03-22 | 2019-10-03 | 株式会社日立製作所 | Incident detection system and method thereof |
JP2020160611A (en) | 2019-03-25 | 2020-10-01 | クラリオン株式会社 | Test scenario generation device and test scenario generation method and test scenario generation program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6677623B2 (en) * | 2016-11-08 | 2020-04-08 | 株式会社日立製作所 | Security measure planning support system and method |
-
2020
- 2020-05-11 JP JP2020083133A patent/JP7441719B2/en active Active
-
2021
- 2021-03-12 WO PCT/JP2021/010250 patent/WO2021229910A1/en active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007122749A (en) | 2002-06-28 | 2007-05-17 | Oki Electric Ind Co Ltd | Warning system, illegal access track method, illegal access detection system, security management method and attack protection method |
JP2018077598A (en) | 2016-11-08 | 2018-05-17 | 京セラドキュメントソリューションズ株式会社 | Electronic device, program and information processing system |
JP2019168869A (en) | 2018-03-22 | 2019-10-03 | 株式会社日立製作所 | Incident detection system and method thereof |
JP2020160611A (en) | 2019-03-25 | 2020-10-01 | クラリオン株式会社 | Test scenario generation device and test scenario generation method and test scenario generation program |
Also Published As
Publication number | Publication date |
---|---|
JP2021179660A (en) | 2021-11-18 |
WO2021229910A1 (en) | 2021-11-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7958189B2 (en) | Systems and methods for mapping user experiences in network navigation | |
US8032591B2 (en) | Systems and methods for mapping event changes in network navigation | |
US9692778B1 (en) | Method and system to prioritize vulnerabilities based on contextual correlation | |
US9734508B2 (en) | Click fraud monitoring based on advertising traffic | |
US8217945B1 (en) | Social annotation of a single evolving visual representation of a changing dataset | |
Jiang et al. | Spatiotemporal surveillance methods in the presence of spatial correlation | |
US20070011742A1 (en) | Communication information monitoring apparatus | |
WO2020204144A1 (en) | Job analysis method | |
WO2015025694A1 (en) | Scoring device and method for scoring security threat | |
US11303658B2 (en) | System and method for data analysis and detection of threat | |
JPWO2015063905A1 (en) | Data analysis system | |
WO2021036455A1 (en) | Link-based risk user identification method and device | |
JP2019145053A (en) | Threat analysis system and analysis method | |
Mukherjee | Attributed metagraph modelling to design business process security management | |
Hwang et al. | Identifying customer priority for new products in target marketing: Using RFM model and TextRank | |
US20060218106A1 (en) | Systems and methods for analyzing web site search terms | |
KR20110139896A (en) | Method for recommendation the financial goods | |
JP7441719B2 (en) | Incident information analysis device, analysis method, and analysis program | |
JP7067612B2 (en) | Analytical equipment, analytical methods, and programs | |
Abe et al. | Business monitoring framework for process discovery with real-life logs | |
Latvala et al. | Security risk visualization with semantic risk model | |
Hofbauer et al. | On the Cost of Security Compliance in Information Systems | |
EP3402153A1 (en) | Cloud infrastructure vulnerabilities assessment background | |
Johnstone | Threat modelling with STRIDE and UML | |
US20220043668A1 (en) | System and methods for implementing a computer process automation tool |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210618 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240115 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240123 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240219 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7441719 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |