JP7441719B2 - Incident information analysis device, analysis method, and analysis program - Google Patents

Incident information analysis device, analysis method, and analysis program Download PDF

Info

Publication number
JP7441719B2
JP7441719B2 JP2020083133A JP2020083133A JP7441719B2 JP 7441719 B2 JP7441719 B2 JP 7441719B2 JP 2020083133 A JP2020083133 A JP 2020083133A JP 2020083133 A JP2020083133 A JP 2020083133A JP 7441719 B2 JP7441719 B2 JP 7441719B2
Authority
JP
Japan
Prior art keywords
information
attack
system configuration
configuration
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020083133A
Other languages
Japanese (ja)
Other versions
JP2021179660A (en
Inventor
イーウェン チェン
裕紀 山▲崎▼
健一 岡田
則夫 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2020083133A priority Critical patent/JP7441719B2/en
Priority to PCT/JP2021/010250 priority patent/WO2021229910A1/en
Publication of JP2021179660A publication Critical patent/JP2021179660A/en
Application granted granted Critical
Publication of JP7441719B2 publication Critical patent/JP7441719B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、インシデント情報を分析する技術に関する。 The present invention relates to a technique for analyzing incident information.

近年、情報化社会の進展に伴って様々な情報処理装置が利用されている。これらの情報処理装置は、日々様々な攻撃の脅威に晒されている。近年の情報化社会の多くはこのような情報処理装置によって制御されているため、企業の情報処理システムや社会インフラシステムが攻撃を受けるとその被害の影響は大きい。 In recent years, various information processing devices have been used as the information society progresses. These information processing devices are exposed to the threat of various attacks every day. Since much of the recent information society is controlled by such information processing devices, attacks on corporate information processing systems and social infrastructure systems can have a large impact.

しかし、攻撃対象となりうる情報処理装置の構成に応じて、攻撃を受ける前にあるいは攻撃を受けたときに適切な対策を適用すれば、攻撃を未然に防いだり、被害を最小限に抑えたりできる場合も多い。 However, if appropriate countermeasures are applied before or during an attack, depending on the configuration of the information processing device that may be the target of the attack, it is possible to prevent the attack or minimize the damage. There are many cases.

特許文献1には、脅威項目の攻撃経路に含まれるコンポーネントの情報とセキュリティ対策の効果値とから、各セキュリティ対策が大規模システム全体に対してどの程度の効果があるのかを算出することが開示されている。 Patent Document 1 discloses that the effectiveness of each security measure on the entire large-scale system is calculated from information on components included in the attack path of a threat item and the effectiveness value of the security measure. has been done.

特開2018-77597号公報Japanese Patent Application Publication No. 2018-77597

情報処理装置への攻撃に関連する情報(インシデント情報)は、インターネットやSNS(Social Networking Service)に存在することがある。このようなインシデント情報を活用することで情報処理装置の弱点や有効な対策が見つかることもある。そのため、例えば、企業等の組織内では、PSIRT(Product Cequrity Incident Response Team)によって、インターネットやSNSから、情報処理装置への攻撃に関連するインシデント情報を収集し、それを分析し、情報処理装置のセキュリティ維持に役立てるといったことが行われる。 Information related to attacks on information processing devices (incident information) may exist on the Internet or SNS (Social Networking Service). By utilizing such incident information, weaknesses in information processing equipment and effective countermeasures may be discovered. Therefore, for example, within organizations such as companies, PSIRT (Product Security Incident Response Team) collects incident information related to attacks on information processing equipment from the Internet and SNS, analyzes it, and uses it to improve information processing equipment. It is used to help maintain security.

しかし、攻撃対象とされる情報処理装置の構成は様々であり、またインシデント情報の内容や表現も様々であることから、インシデント情報を分析して有益な情報を得るには分析者に専門知識が求められ、その作業には長時間を要する。 However, because the configurations of information processing devices targeted by attacks vary, and the content and expression of incident information also vary, analysts need specialized knowledge to analyze incident information and obtain useful information. It is demanding and the work takes a long time.

本開示のひとつの目的は、インシデント情報の分析を支援する技術を提供することである。 One purpose of the present disclosure is to provide technology that supports analysis of incident information.

本開示のひとつの態様によるインシデント情報分析装置は、インシデント情報の文章から単語を抽出し、該単語に対応する情報処理装置の要素を識別する要素識別部と、前記インシデント情報から抽出された単語に対応する前記要素の組み合わせに基づいて、当該インシデント情報に示された攻撃が辿る攻撃経路を特定する攻撃経路特定部と、前記識別された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定する構成推定部と、を有する。 An incident information analysis device according to one aspect of the present disclosure includes an element identification unit that extracts a word from a sentence of incident information and identifies an element of an information processing device corresponding to the word; an attack route identification unit that identifies an attack route followed by the attack indicated in the incident information based on a combination of the corresponding elements; and a configuration estimation unit that estimates configuration information regarding a system configuration of the processing device.

本開示のひとつの態様によれば、インシデント情報の分析を支援することが可能となる。 According to one aspect of the present disclosure, it is possible to support analysis of incident information.

実施形態によるインシデント情報分析システムのブロック図である。FIG. 1 is a block diagram of an incident information analysis system according to an embodiment. 図1に示したインシデント情報分析装置の構成を示すブロック図である。FIG. 2 is a block diagram showing the configuration of the incident information analysis device shown in FIG. 1. FIG. 図1及び図2に示したインシデント情報分析システム全体の処理を示すシーケンス図である。FIG. 3 is a sequence diagram showing the overall processing of the incident information analysis system shown in FIGS. 1 and 2. FIG. 図1及び図2に示したインシデント情報分析システムにおけるインシデント情報分析方法を説明するためのフローチャートである。3 is a flowchart for explaining an incident information analysis method in the incident information analysis system shown in FIGS. 1 and 2. FIG. 図1に示した入力装置に表示されるインシデント情報入力画面の一例を示す図である。2 is a diagram showing an example of an incident information input screen displayed on the input device shown in FIG. 1. FIG. 図4に示した要素識別部における要素識別処理を説明するためのフローチャートである。5 is a flowchart for explaining element identification processing in the element identification unit shown in FIG. 4. FIG. 図2に示したセキュリティ要素データベースの一例を示す図である。3 is a diagram showing an example of the security element database shown in FIG. 2. FIG. 図4に示した攻撃経路特定部における攻撃経路特定処理を説明するためのフローチャートである。5 is a flowchart for explaining attack route identification processing in the attack route identification unit shown in FIG. 4. FIG. 図2に示した攻撃経路定義データベースの一例を示す図である。3 is a diagram showing an example of the attack path definition database shown in FIG. 2. FIG. 図4に示した構成推定部における構成推定処理を説明するためのフローチャートである。5 is a flowchart for explaining configuration estimation processing in the configuration estimation section shown in FIG. 4. FIG. 図2に示した製品構成データベースの一例を示す図である。3 is a diagram showing an example of the product configuration database shown in FIG. 2. FIG. 構成推定部から出力部を介して出力される構成特定結果出力画面を示す図である。FIG. 3 is a diagram showing a configuration identification result output screen output from the configuration estimation unit via the output unit. 図4に示した構成比較部における構成比較処理を説明するためのフローチャートである。5 is a flowchart for explaining configuration comparison processing in the configuration comparison section shown in FIG. 4. FIG. 図2に示した自社製品データベースの一例を示す図である。FIG. 3 is a diagram showing an example of the in-house product database shown in FIG. 2; 図2に示した自社製品データベースに自社製品のシステム構成を登録する際の自社製品構成入力画面の一例を示す図である。3 is a diagram showing an example of an in-house product configuration input screen when registering the system configuration of an in-house product in the in-house product database shown in FIG. 2. FIG. 図2に示した対策提示部における対策提示処理を説明するためのフローチャートである。3 is a flowchart for explaining countermeasure presentation processing in the countermeasure presentation unit shown in FIG. 2. FIG. 図2に示した対策データベースの一例を示す図である。3 is a diagram showing an example of the countermeasure database shown in FIG. 2. FIG. 対策提示部から出力部を介して出力される影響判定結果出力画面を示す図である。It is a figure which shows the impact determination result output screen outputted from a countermeasure presentation part via an output part.

以下に、本発明の実施形態について図面を参照して説明する。なお、以下の本願明細書においては、要素とは、情報処理装置に含まれる、コンポーネント部品やインタフェースや通信路など各部のハードウェア、アプリケーションやツールなどのソフトウェア、個人情報や演算結果などのデータなどを示す。また、攻撃経路は、情報処理装置における攻撃が辿った経路であり、要素およびその順序で示される。例えば、サーバにアクセスしてサーバのメモリ上の個人情報を摂取あるいは改ざんするという攻撃であれば、最初のアクセス先の要素からいくつかの要素を経由してターゲットである個人情報に到達する。その場合、アクセス先の要素からターゲットの要素(個人情報)までに存在する要素およびその順序が攻撃経路を示す。また、構成情報とは、情報処理装置に含まれる要素およびその要素の相互関係が示す構成であり、要素およびその要素同士の接続により示される。 Embodiments of the present invention will be described below with reference to the drawings. Note that in the following specification of this application, elements include hardware such as component parts, interfaces, and communication channels included in the information processing device, software such as applications and tools, data such as personal information and calculation results, etc. shows. Further, the attack route is a route followed by an attack on the information processing device, and is indicated by elements and their order. For example, in an attack that accesses a server and ingests or alters personal information on the server's memory, the target personal information is reached through several elements from the first accessed element. In that case, the elements existing from the access destination element to the target element (personal information) and their order indicate the attack route. Further, the configuration information is a configuration indicating the elements included in the information processing device and the mutual relationships among the elements, and is indicated by the elements and the connections between the elements.

図1は、実施形態によるインシデント情報分析システムのブロック図である。本実施形態によるインシデント情報分析システムは図1に示すように、入力装置11と、出力装置12と、インシデント情報分析装置13とを有し、入力装置11及び出力装置12がユーザ90からアクセス可能に構成されている。入力装置11は、ユーザ90がインシデント情報分析装置13にインシデント情報や自社製品構成情報を入力するためのものである。出力装置12は、インシデント情報分析装置13からの構成特定結果や影響判定結果をユーザ90に提示出力するためのものである。 FIG. 1 is a block diagram of an incident information analysis system according to an embodiment. As shown in FIG. 1, the incident information analysis system according to this embodiment includes an input device 11, an output device 12, and an incident information analysis device 13, and the input device 11 and the output device 12 are accessible by a user 90. It is configured. The input device 11 is used by the user 90 to input incident information and company product configuration information into the incident information analysis device 13. The output device 12 is for presenting and outputting the configuration identification results and impact determination results from the incident information analysis device 13 to the user 90.

図2は、図1に示したインシデント情報分析装置13の構成を示すブロック図である。図1に示したインシデント情報分析装置13は、図2に示すように、入力部301と、出力部302と、要素識別部303と、攻撃経路特定部304と、構成推定部305と、構成比較部306と、対策提示部307と、セキュリティ要素データベース308と、攻撃経路定義データベース309と、製品構成データベース310と、自社製品データベース311と、対策データベース312とを有している。 FIG. 2 is a block diagram showing the configuration of the incident information analysis device 13 shown in FIG. 1. As shown in FIG. As shown in FIG. 2, the incident information analysis device 13 shown in FIG. 306, a countermeasure presentation section 307, a security element database 308, an attack path definition database 309, a product configuration database 310, an in-house product database 311, and a countermeasure database 312.

入力部301は、ユーザ90が入力装置11を介して入力したインシデント情報や自社製品構成情報を受け付ける。 The input unit 301 receives incident information and in-house product configuration information input by the user 90 via the input device 11.

出力部302は、構成特定結果や影響判定結果を出力装置302に出力する。 The output unit 302 outputs the configuration identification results and the influence determination results to the output device 302.

要素識別部303は、入力部301にて受け付けたインシデント情報の文章から単語を抽出し、抽出した単語に対応する情報処理装置の要素を識別する。 The element identification unit 303 extracts words from the text of the incident information received by the input unit 301, and identifies the element of the information processing device corresponding to the extracted word.

攻撃経路特定部304は、要素識別部303にて識別された要素の組み合わせに基づいて、その要素に対応する単語が抽出されたインシデント情報に示された攻撃が辿る攻撃経路を特定する。 Based on the combination of elements identified by the element identification unit 303, the attack route identification unit 304 identifies the attack route followed by the attack indicated in the incident information from which words corresponding to the elements have been extracted.

構成推定部305は、要素識別部303にて識別された要素と、攻撃経路特定部304にて特定された攻撃経路とに基づいて、情報処理装置のシステム構成に関する構成情報を推定する。また、構成推定部305は、情報処理装置のシステム構成と攻撃経路とを対応付けるシステム構成攻撃経路対応付け情報を製品構成データベース310として管理する。そして、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていれば、その攻撃経路に対応するシステム構成を情報処理装置のシステム構成と推定し、また、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていなければ、その攻撃経路に対応するシステム構成をシステム構成攻撃経路対応付け情報として製品構成データベース310に登録することを分析者に促す。 The configuration estimating unit 305 estimates configuration information regarding the system configuration of the information processing device based on the elements identified by the element identifying unit 303 and the attack route identified by the attack route identifying unit 304. Furthermore, the configuration estimating unit 305 manages system configuration attack path association information that associates the system configuration of the information processing device with attack paths as a product configuration database 310. If the identified attack route is included in the system configuration attack route mapping information, the system configuration corresponding to the attack route is estimated to be the system configuration of the information processing device, and the identified attack route is If it is not included in the configuration attack path mapping information, the analyst is prompted to register the system configuration corresponding to the attack path in the product configuration database 310 as system configuration attack path mapping information.

構成比較部306は、製品構成データベース310として管理されるシステム構成攻撃経路対応付け情報に含まれているシステム構成と、管理対象装置のシステム構成との類似度を算出する。 The configuration comparison unit 306 calculates the degree of similarity between the system configuration included in the system configuration attack path association information managed as the product configuration database 310 and the system configuration of the managed device.

対策提示部307は、攻撃経路とその攻撃経路の攻撃に対する対策とを対応付けた対策情報を対策データベース312として管理し、製品構成データベース310として管理されるシステム構成攻撃経路対応付け情報において、管理対象装置のシステム構成と所定の類似度を有するシステム構成に対応する攻撃経路の、対策情報において対応する対策を提示する。 The countermeasure presentation unit 307 manages countermeasure information that associates attack routes and countermeasures against attacks of the attack routes as a countermeasure database 312, and in the system configuration attack route mapping information managed as the product configuration database 310, management targets are A corresponding countermeasure is presented in the countermeasure information for an attack path corresponding to a system configuration having a predetermined degree of similarity to the system configuration of the device.

以下に、上記のように構成されたインシデント情報分析システムにおけるインシデント情報分析方法について説明する。 An incident information analysis method in the incident information analysis system configured as described above will be described below.

図3は、図1及び図2に示したインシデント情報分析システム全体の処理を示すシーケンス図である。図4は、図1及び図2に示したインシデント情報分析システムにおけるインシデント情報分析方法を説明するためのフローチャートである。 FIG. 3 is a sequence diagram showing the overall processing of the incident information analysis system shown in FIGS. 1 and 2. FIG. 4 is a flowchart for explaining an incident information analysis method in the incident information analysis system shown in FIGS. 1 and 2.

図1及び図2に示したインシデント情報分析システムにおいてユーザ90がインシデント情報の分析を行うために、インシデント情報の文章を入力装置11に入力すると、入力されたインシデント情報の文章はインシデント情報分析装置13の入力部310を介して要素識別部303に入力される。すると、要素識別部303において、入力されたインシデント情報から要素が識別される(ステップ401)。 In the incident information analysis system shown in FIGS. 1 and 2, when the user 90 inputs text of incident information into the input device 11 in order to analyze incident information, the text of the input incident information is sent to the incident information analysis device 13. is inputted to the element identification section 303 via the input section 310 of. Then, the element identification unit 303 identifies the element from the input incident information (step 401).

図5は、図1に示した入力装置11に表示されるインシデント情報入力画面の一例を示す図である。 FIG. 5 is a diagram showing an example of an incident information input screen displayed on the input device 11 shown in FIG. 1.

図1に示した入力装置11に表示されるインシデント情報入力画面としては例えば、図5に示すように、インシデント情報を入力するためのインシデント情報入力領域D01と、執行項目を指定するための執行項目指定領域D02と、インシデント情報の分析の実行を開始するための実行ボタンD03とが設けられたものが考えられる。 For example, as shown in FIG. 5, the incident information input screen displayed on the input device 11 shown in FIG. 1 includes an incident information input area D01 for inputting incident information, and an execution item for specifying execution items. It is conceivable that a designated area D02 and an execution button D03 for starting analysis of incident information are provided.

ユーザ90は、執行項目指定領域D02にて執行項目を指定するとともに、インシデント情報入力領域D01にインシデント情報を入力し、実行ボタンD03を押下することになる。なお、インシデント情報入力領域D01へのインシデント情報の入力は、インシデント情報の文章をそのまま入力してもよいし、インシデント情報のURL等を指定してもよい。 The user 90 specifies an execution item in the execution item specification area D02, inputs incident information in the incident information input area D01, and presses the execution button D03. Incident information may be entered into the incident information input area D01 by inputting the text of the incident information as is, or by specifying the URL of the incident information.

図6は、図4に示した要素識別部303における要素識別処理を説明するためのフローチャートである。 FIG. 6 is a flowchart for explaining element identification processing in the element identification unit 303 shown in FIG.

要素識別部303においては、インシデント情報が入力部310を介して入力されるとまず、入力されたインシデント情報からシステムの種類が識別される(ステップ4011)。 When incident information is input through the input unit 310, the element identification unit 303 first identifies the type of system from the input incident information (step 4011).

次に、要素識別部303においては、インシデント情報の文章から単語が抽出される(ステップ4012)。 Next, the element identification unit 303 extracts words from the text of the incident information (step 4012).

次に、要素識別部303においては、セキュリティ要素データベース308が参照され、抽出された単語のそれぞれについて対応する要素が識別される(ステップ4013)。 Next, the element identification unit 303 refers to the security element database 308 and identifies the corresponding element for each extracted word (step 4013).

図7は、図2に示したセキュリティ要素データベース308の一例を示す図である。 FIG. 7 is a diagram showing an example of the security element database 308 shown in FIG. 2.

図7に示すように、図2に示したセキュリティ要素データベース308には、システムの種別毎に、単語に対応する要素が登録されている。そのため、要素識別部303においては、インシデント情報から単語が抽出されると、抽出された単語のそれぞれについて対応する要素を識別することができる。 As shown in FIG. 7, elements corresponding to words are registered in the security element database 308 shown in FIG. 2 for each type of system. Therefore, when words are extracted from the incident information, the element identification unit 303 can identify the corresponding element for each extracted word.

そして、入力されたインシデント情報に新たな単語が存在しない場合は(ステップ4014)、要素識別部303における要素識別処理を終了する。 If there is no new word in the input incident information (step 4014), the element identification process in the element identification unit 303 ends.

一方、入力されたインシデント情報に新たな単語が存在する場合は、その新たな単語と対応する要素がセキュリティ要素データベース308に登録され(ステップ4015)、ステップ4011の処理に戻る。 On the other hand, if a new word exists in the input incident information, an element corresponding to the new word is registered in the security element database 308 (step 4015), and the process returns to step 4011.

要素識別部303における要素識別処理が終了すると次に、攻撃経路特定部304において、攻撃経路が特定される(ステップ402)。 When the element identification process in the element identification unit 303 is completed, the attack route identification unit 304 identifies the attack route (step 402).

図8は、図4に示した攻撃経路特定部304における攻撃経路特定処理を説明するためのフローチャートである。 FIG. 8 is a flowchart for explaining attack route identification processing in the attack route identification unit 304 shown in FIG.

攻撃経路特定部304においては、要素識別部303にて要素が識別されると、攻撃経路定義データベース309が参照され、識別された要素の組み合わせに基づいて、その要素に対応する単語が抽出されたインシデント情報に示された攻撃が辿る攻撃経路が特定される(ステップ4021)。 In the attack route identification unit 304, when an element is identified by the element identification unit 303, the attack route definition database 309 is referred to, and a word corresponding to the element is extracted based on the combination of identified elements. The attack route followed by the attack indicated in the incident information is identified (step 4021).

図9は、図2に示した攻撃経路定義データベース309の一例を示す図である。 FIG. 9 is a diagram showing an example of the attack path definition database 309 shown in FIG. 2. As shown in FIG.

図9に示すように、図2に示した攻撃経路定義データベース309には、システムの種類に応じて種別や詳細などからなる要素が対応づけられて要素識別番号によって識別可能に登録されているとともに、要素識別番号によって識別される要素に対する攻撃の経路がその要素と順序により示され、攻撃経路識別番号によって識別可能に登録されている。そのため、攻撃経路特定部304においては、要素識別部303にて識別された要素の組み合わせに基づいて、その要素に対応する単語が抽出されたインシデント情報に示された攻撃が辿る攻撃経路を特定することができる。その際、上述したように、攻撃経路が複数の要素とその順序により示されているため、攻撃経路特定部304は、インシデント情報における要素の登場順序を、攻撃経路における要素の順序とすることができる。このように、インシデント情報の文章構造における要素の登場順序を、攻撃経路にて要素を辿る順序とすることで、分析者は攻撃経路を容易に推定することができる。 As shown in FIG. 9, in the attack route definition database 309 shown in FIG. 2, elements such as types and details are registered in correspondence with each other depending on the type of system and can be identified by element identification numbers. , the attack route against the element identified by the element identification number is indicated by the element and its order, and is registered so as to be identifiable by the attack route identification number. Therefore, based on the combination of elements identified by the element identification unit 303, the attack route identification unit 304 identifies the attack route followed by the attack indicated in the incident information from which words corresponding to the elements have been extracted. be able to. At this time, as described above, since the attack route is indicated by a plurality of elements and their order, the attack route identification unit 304 may set the order of appearance of the elements in the incident information to the order of the elements in the attack route. can. In this way, by setting the order of appearance of elements in the sentence structure of incident information as the order in which the elements are traced along the attack route, the analyst can easily estimate the attack route.

なお、本例においては、要素識別番号によって識別される要素に対する攻撃の経路がその要素と順序により示されているが、攻撃の順序が示されていなくてもよい。 Note that in this example, the attack route against the element identified by the element identification number is shown by the element and the order, but the attack order does not need to be shown.

攻撃経路特定部304における攻撃経路特定処理が終了すると次に、構成推定部305において、要素識別部303にて識別された要素と、攻撃経路特定部304にて特定された攻撃経路とに基づいて、情報処理装置のシステム構成に関する構成情報が推定される(ステップ403)。 When the attack route identification process in the attack route identification unit 304 is completed, the configuration estimation unit 305 then performs a process based on the elements identified by the element identification unit 303 and the attack route identified by the attack route identification unit 304. , configuration information regarding the system configuration of the information processing device is estimated (step 403).

図10は、図4に示した構成推定部305における構成推定処理を説明するためのフローチャートである。 FIG. 10 is a flowchart for explaining the configuration estimation process in the configuration estimation unit 305 shown in FIG. 4.

構成推定部305においては、攻撃経路特定部304にて攻撃経路が特定されると、製品構成データベース310が参照され、特定された攻撃経路が製品構成データベース310に登録されているかどうかが確認される(ステップ4031)。 In the configuration estimation unit 305 , when the attack route is identified by the attack route identification unit 304 , the product configuration database 310 is referred to, and it is confirmed whether the identified attack route is registered in the product configuration database 310 . (Step 4031).

図11は、図2に示した製品構成データベース310の一例を示す図である。 FIG. 11 is a diagram showing an example of the product configuration database 310 shown in FIG. 2. As shown in FIG.

図11に示すように、図2に示した製品構成データベース310には、攻撃経路に対応するシステム構成が製品番号によって識別可能に登録されている。攻撃経路は、図9に示した攻撃経路識別番号がその要素の組み合わせとともに登録されている。これらの情報は、自社製品ではなく、インターネットやSNSから収集されたインシデント情報から推定されたシステム構成に関する情報である。 As shown in FIG. 11, in the product configuration database 310 shown in FIG. 2, system configurations corresponding to attack routes are registered so as to be identifiable by product numbers. For the attack route, the attack route identification number shown in FIG. 9 is registered together with the combination of its elements. This information is not about our own products, but about the system configuration estimated from incident information collected from the Internet and SNS.

構成推定部305においては、このような構成の製品構成データベース310が参照され、攻撃経路特定部304にて特定された攻撃経路が製品構成データベース310に登録されている場合は、特定された攻撃経路に対応するシステム構成が推定される(ステップ4032)。 The configuration estimation unit 305 refers to the product configuration database 310 with such a configuration, and if the attack route identified by the attack route identification unit 304 is registered in the product configuration database 310, the identified attack route is A system configuration corresponding to is estimated (step 4032).

一方、攻撃経路特定部304にて特定された攻撃経路が製品構成データベース310に登録されていない場合は、特定された攻撃経路とそのシステム構成が製品構成データベース310に登録される(ステップ4033)。 On the other hand, if the attack route identified by the attack route identification unit 304 is not registered in the product configuration database 310, the identified attack route and its system configuration are registered in the product configuration database 310 (step 4033).

このように、構成推定部305は、情報処理装置のシステム構成と攻撃経路とを対応付けるシステム構成攻撃経路対応付け情報を製品構成データベース310として管理しておき、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていれば、その攻撃経路に対応するシステム構成を情報処理装置のシステム構成と推定し、また、特定された攻撃経路がシステム構成攻撃経路対応付け情報に含まれていなければ、その攻撃経路に対応するシステム構成をシステム構成攻撃経路対応付け情報として製品構成データベース310に登録することを分析者に促すことになる。それにより、インシデント情報にて攻撃対象となった情報処理装置のシステム構成を容易に推定することができる。また、製品構成データベース310のシステム構成攻撃経路対応付け情報に含まれていない情報の追加を分析者に促すことにより、システム構成攻撃経路対応付け情報を拡張することができる。 In this way, the configuration estimating unit 305 manages system configuration attack route association information that associates the system configuration of the information processing device with the attack route as the product configuration database 310, and the identified attack route is the system configuration attack route. If it is included in the mapping information, the system configuration corresponding to that attack route is presumed to be the system configuration of the information processing device, and if the identified attack route is not included in the system configuration attack route mapping information. , the analyst is prompted to register the system configuration corresponding to the attack route in the product configuration database 310 as system configuration attack route correspondence information. Thereby, the system configuration of the information processing device targeted by the attack can be easily estimated based on the incident information. Furthermore, by prompting the analyst to add information that is not included in the system configuration attack path mapping information in the product configuration database 310, the system configuration attack path mapping information can be expanded.

また、インシデント情報分析装置12が、インシデント情報に基づいて要素を識別し、その要素の組合せに基づいて攻撃経路を特定し、その攻撃経路から情報処理装置のシステム構成を推定するので、分析者はインシデント情報を容易に分析することができる。 In addition, the incident information analysis device 12 identifies elements based on the incident information, specifies the attack route based on the combination of the elements, and estimates the system configuration of the information processing device from the attack route. Incident information can be easily analyzed.

このようにして構成推定部305にてシステム構成が推定されると、推定されたシステム構成が出力部302を介して出力装置12に出力され、ユーザ90に提示される(ステップ404)。 When the system configuration is estimated by the configuration estimation unit 305 in this manner, the estimated system configuration is output to the output device 12 via the output unit 302 and presented to the user 90 (step 404).

図12は、構成推定部305から出力部302を介して出力される構成特定結果出力画面を示す図である。 FIG. 12 is a diagram showing a configuration identification result output screen output from the configuration estimation unit 305 via the output unit 302.

図12に示すように、構成推定部305から出力部302を介して出力され、出力装置12にて表示出力される構成特定結果出力画面には、対応するインシデント情報D04と、インシデント情報に対応する攻撃経路およびシステム構成D05とが表示されるとともに、分析をやり直すためのやり直しボタンD06と、結果を印刷するための印刷ボタンD07と、終了ボタンD08とが設けられている。 As shown in FIG. 12, the configuration identification result output screen outputted from the configuration estimation unit 305 via the output unit 302 and displayed on the output device 12 includes the corresponding incident information D04 and the information corresponding to the incident information. The attack route and system configuration D05 are displayed, and a redo button D06 for redoing the analysis, a print button D07 for printing the results, and an end button D08 are provided.

このように、出力部302から、対応するインシデント情報と、インシデント情報に対応する攻撃経路およびシステム構成とが出力され、画面に表示されるので、分析者は容易に分析結果を知得することができる。 In this way, the corresponding incident information and the attack route and system configuration corresponding to the incident information are outputted from the output unit 302 and displayed on the screen, so that the analyst can easily learn the analysis results. .

構成推定部305におけるシステム構成推定処理が終了すると次に、構成比較部306において、製品構成データベース310として管理されるシステム構成攻撃経路対応付け情報に含まれているシステム構成と、管理対象装置のシステム構成との類似度が算出される(ステップ405)。 When the system configuration estimation process in the configuration estimation unit 305 is completed, the configuration comparison unit 306 compares the system configuration included in the system configuration attack route correspondence information managed as the product configuration database 310 and the system of the managed device. The degree of similarity with the configuration is calculated (step 405).

図13は、図4に示した構成比較部306における構成比較処理を説明するためのフローチャートである。 FIG. 13 is a flowchart for explaining the configuration comparison process in the configuration comparison unit 306 shown in FIG. 4.

構成比較部306においては、製品構成データベース310に登録されたシステム構成が構成推定部305を介して取得されるとともに(ステップ4051)、自社製品データベース311から自社製品のシステム構成が取得されると(ステップ4052)、まず、これらのシステム構成の入力があるかどうかが確認される(ステップ4053)。 In the configuration comparison unit 306, the system configuration registered in the product configuration database 310 is acquired via the configuration estimation unit 305 (step 4051), and when the system configuration of the company's product is acquired from the company's product database 311 ( Step 4052), first, it is checked whether these system configurations have been input (Step 4053).

図14は、図2に示した自社製品データベース311の一例を示す図である。 FIG. 14 is a diagram showing an example of the company product database 311 shown in FIG. 2.

図14に示すように、図2に示した自社製品データベース311には、ユーザ90の属する企業などの組織の製品のそれぞれについて、その種類毎に、コンポーネントやソフトウェアの名称と、メーカー名と、そのバージョンと、ライセンス、さらには、連接あるいは実装されるコンポーネントの数とが、番号によって識別可能に登録されている。 As shown in FIG. 14, the in-house product database 311 shown in FIG. The version, license, and number of connected or implemented components are registered so that they can be identified by numbers.

構成比較部306においては、製品構成データベース310に登録されたシステム構成と、自社製品データベース311に登録された自社製品のシステム構成とのいずれの入力もない場合は、入力装置11を介したユーザ90の入力により、自社製品のシステム構成が取得される(ステップ4054)。 In the configuration comparison unit 306, if there is no input of either the system configuration registered in the product configuration database 310 or the system configuration of the company's product registered in the company product database 311, the user 90 via the input device 11 By inputting this, the system configuration of the company's product is acquired (step 4054).

図15は、図2に示した自社製品データベース311に自社製品のシステム構成を登録する際の自社製品構成入力画面の一例を示す図である。 FIG. 15 is a diagram showing an example of an in-house product configuration input screen when registering the system configuration of an in-house product in the in-house product database 311 shown in FIG. 2.

図15に示すように、図2に示した自社製品データベース311に自社製品のシステム構成を登録する際の自社製品構成入力画面には、入力された自社製品のシステム構成が表示されるシステム構成表示領域D09と、影響判定を行う際に押下される影響判定実行ボタンD10とが設けられている。 As shown in FIG. 15, when registering the system configuration of a company's product in the company's product database 311 shown in FIG. An area D09 and an influence determination execution button D10 that is pressed when performing influence determination are provided.

ユーザ90は、図15に示した自社製品構成入力画面を用いて、自社製品のシステム構成を入力装置11を介して入力することになる。 The user 90 inputs the system configuration of the company's product via the input device 11 using the company's product structure input screen shown in FIG.

入力装置11を介して入力された自社製品のシステム構成は、入力部301を介して構成比較部306にて取得され、自社製品データベース311に登録され(ステップ4055)、ステップ4052における処理に戻る。 The system configuration of the company's product input via the input device 11 is acquired by the configuration comparison unit 306 via the input unit 301 and registered in the company's product database 311 (step 4055), and the process returns to step 4052.

一方、製品構成データベース310に登録されたシステム構成と、自社製品データベース311に登録された自社製品のシステム構成とのいずれの入力がある場合は、構成比較部306においては、これらのシステム構成について、インタフェースの一番近い層から一番遠い層まで、順次類似度が算出されていく(ステップ4056A,4057,4058,4056B)。 On the other hand, if either the system configuration registered in the product configuration database 310 or the system configuration of the company's product registered in the company's product database 311 is input, the configuration comparison unit 306 compares the system configurations with respect to these system configurations. Similarities are calculated in order from the layer closest to the interface to the layer farthest away (steps 4056A, 4057, 4058, 4056B).

全ての階層について類似度が算出されると、構成比較部306においては、各階層の評価結果に基づいてシステム全体の類似度が算出される(ステップ4059)。具体的には、情報処理装置Aのシステム構成において、階層xがxa、階層yがya、階層zがzaであるとし、情報処理装置Bのシステム構成において、階層xがxb、階層yがyb、階層zがzbであるとした場合、情報処理装置Aと情報処理装置Bのシステム構成の類似度は、(類似度(xa,xb))×(類似度(ya,yb))×(類似度(za,zb))となる。なお、類似度(xa,xa)は要素の種別毎に予め定めておけばよい。例えば、物理的なコンポーネント部品であれば、規格、メーカー、バージョンなどの項目の一致の度合いにより類似度を定めてもよい。 Once the similarity is calculated for all the layers, the configuration comparison unit 306 calculates the similarity of the entire system based on the evaluation results for each layer (step 4059). Specifically, in the system configuration of information processing device A, layer x is xa, layer y is ya, and layer z is za. In the system configuration of information processing device B, layer x is xb, layer y is yb. , when layer z is zb, the similarity of the system configurations of information processing device A and information processing device B is (similarity (xa, xb)) x (similarity (ya, yb)) x (similarity degree (za, zb)). Note that the degree of similarity (xa, xa) may be determined in advance for each type of element. For example, in the case of physical component parts, the degree of similarity may be determined based on the degree of agreement between items such as standards, manufacturers, and versions.

このように、システム構成が、各階層に存在する要素が定められた階層構造を有する情報である場合、構成比較部306においてシステム構成における各階層の要素同士の類似度を合成して類似度が算出されて定量評価されるので、分析者は容易に所定の類似度を有する情報処理装置への対策を得ることができる。 In this way, when the system configuration is information having a hierarchical structure in which elements existing in each hierarchy are determined, the configuration comparison unit 306 synthesizes the similarities between the elements in each hierarchy in the system configuration and calculates the similarity. Since it is calculated and quantitatively evaluated, the analyst can easily obtain countermeasures for information processing devices having a predetermined degree of similarity.

構成比較部306における構成比較処理が終了すると、次に、対策提示部307においいて、インシデントへの対策および効果が算出されて提示される(ステップ406)。 When the configuration comparison process in the configuration comparison unit 306 is completed, the countermeasure presentation unit 307 calculates and presents countermeasures and effects for the incident (step 406).

図16は、図2に示した対策提示部307における対策提示処理を説明するためのフローチャートである。 FIG. 16 is a flowchart for explaining the countermeasure presentation process in the countermeasure presentation unit 307 shown in FIG.

対策提示部307においてはまず、自社製品と類似度の高い製品が特定され(ステップ4061)、類似製品のシステム構成に有効な対策が特定される(ステップ4062)。 The countermeasure presentation unit 307 first identifies products that are highly similar to the company's products (step 4061), and identifies countermeasures that are effective for the system configuration of similar products (step 4062).

次に、対策提示部307において、対策データベース312が参照され、特定された対策の効果が算出される(ステップ4063)。 Next, the countermeasure presentation unit 307 refers to the countermeasure database 312 and calculates the effectiveness of the specified countermeasure (step 4063).

図17は、図2に示した対策データベース312の一例を示す図である。 FIG. 17 is a diagram showing an example of the countermeasure database 312 shown in FIG. 2.

図17に示すように、図2に示した対策データベース312には、攻撃経路と、その攻撃経路に有効な対策と、その効果とが対応づけて登録されている。そのため、対策提示部307においては、特定された対策の効果を算出することができる。このように、図2に示した対策データベース312には、対策情報として、攻撃経路と対策とに加え、対策による効果が対応付けられている。 As shown in FIG. 17, in the countermeasure database 312 shown in FIG. 2, attack routes, effective countermeasures for the attack routes, and their effects are registered in association with each other. Therefore, the countermeasure presentation unit 307 can calculate the effectiveness of the identified countermeasure. In this way, in the countermeasure database 312 shown in FIG. 2, in addition to attack routes and countermeasures, the effects of the countermeasures are associated as countermeasure information.

その後、対策提示部307において、算出された効果が、特定された対策とともに提示される(ステップ4063)。具体的には、対策提示部にて算出された効果が特定された対策とともに出力部302によって出力装置12にて表示出力されることになる。 Thereafter, the countermeasure presentation unit 307 presents the calculated effect together with the specified countermeasure (step 4063). Specifically, the effect calculated by the countermeasure presentation section is displayed on the output device 12 by the output section 302 together with the specified countermeasure.

図18は、対策提示部307から出力部302を介して出力される影響判定結果出力画面を示す図である。 FIG. 18 is a diagram showing an impact determination result output screen output from the countermeasure presentation unit 307 via the output unit 302.

図18に示すように、対策提示部307から出力部302を介して出力され、出力装置12にて表示出力される影響判定結果出力画面には、自社製品への影響の有無を示す影響判定D11と、その対応の緊急度D120と、構成比較部306にて算出された類似度D14と、システム構成並びにその推奨対策及びそれによる効果D14とが表示されるとともに、対策と効果の算出をやり直すためのやり直しボタンD15と、結果を印刷するための印刷ボタンD16と、終了ボタンD17とが設けられている。 As shown in FIG. 18, the impact determination result output screen outputted from the countermeasure presentation unit 307 via the output unit 302 and displayed on the output device 12 includes an impact determination D11 indicating whether or not there is an impact on the company's products. , the degree of urgency D120 of the response, the degree of similarity D14 calculated by the configuration comparison unit 306, the system configuration, its recommended countermeasures, and the resulting effects D14, as well as the recalculation of countermeasures and effects. A redo button D15, a print button D16 for printing the results, and an end button D17 are provided.

このように、システム構成の類似度に基づいて選択された管理対象装置への対策が提示されるので、分析者は管理対象装置への攻撃に対する有効な対策を容易に推定することができる。 In this way, countermeasures for the managed device selected based on the similarity of the system configuration are presented, so the analyst can easily estimate effective countermeasures against attacks on the managed device.

また、対策提示部307において、構成比較部306にて算出された類似度と、対策データベース312に登録された対策情報においてその対策に対応する効果とに基づいて、対策の管理対象装置に対する効果が算出され、対策と共に提示されることにより、分析者は、提示された対策を自身の管理する情報処理装置に適用した場合に期待される効果を知ることができる。その際、提示された対策とその対策の管理対策装置に対する効果とが、出力部302によって対応付けて画面に表示されることで、分析者は容易に対策とその効果を知得することができる。 In addition, the countermeasure presentation unit 307 determines the effect of the countermeasure on the managed device based on the similarity calculated by the configuration comparison unit 306 and the effect corresponding to the countermeasure in the countermeasure information registered in the countermeasure database 312. By being calculated and presented together with the countermeasures, the analyst can know the expected effect when the presented countermeasures are applied to the information processing device that he or she manages. At this time, the presented countermeasure and the effect of the countermeasure on the management countermeasure device are displayed on the screen in association with each other by the output unit 302, so that the analyst can easily learn the countermeasure and its effect.

なお、本形態におけるインシデント情報分析装置13は、CPU、メモリ等を有し、CPUがメモリを利用して、ソフトウェアプログラムを実行するコンピュータによるものである。 Incident information analysis device 13 in this embodiment is a computer having a CPU, memory, etc., and the CPU executes a software program using the memory.

上述した実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の範囲を逸脱することなしに、他の様々な態様で本発明を実施することができる。 The embodiments described above are illustrative examples of the present invention, and are not intended to limit the scope of the present invention only to those embodiments. Those skilled in the art can implement the invention in various other ways without departing from the scope of the invention.

10…インシデント情報分析システム、11…入力装置、12…出力装置、13…インシデント情報分析装置、90…ユーザ、301…入力部、302…出力部、303…要素識別部、304…攻撃経路特定部、305…構成推定部、306…構成比較部、307…対策提示部、308…セキュリティ要素データベース、309…攻撃経路定義データベース、310…製品構成データベース、311…自社製品データベース、312…対策データベース DESCRIPTION OF SYMBOLS 10... Incident information analysis system, 11... Input device, 12... Output device, 13... Incident information analysis device, 90... User, 301... Input section, 302... Output section, 303... Element identification section, 304... Attack route identification section , 305...Configuration estimation section, 306...Configuration comparison section, 307...Countermeasure presentation section, 308...Security element database, 309...Attack route definition database, 310...Product configuration database, 311...In-house product database, 312...Countermeasure database

Claims (10)

インシデント情報の文章から単語を抽出し、該単語に対応する情報処理装置の要素を識別する要素識別部と、
前記インシデント情報から抽出された単語に対応する前記要素の組み合わせに基づいて、当該インシデント情報に示された攻撃が辿る攻撃経路を特定する攻撃経路特定部と、
前記識別された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定する構成推定部と、を有するインシデント情報分析装置。 an element identification unit that extracts a word from a sentence of incident information and identifies an element of the information processing device corresponding to the word;
an attack route identification unit that identifies an attack route followed by an attack indicated in the incident information based on a combination of the elements corresponding to the words extracted from the incident information;
An incident information analysis device comprising: a configuration estimation unit that estimates configuration information regarding a system configuration of the information processing device based on the identified element and the identified attack route. 前記攻撃経路は、複数の要素とその順序により示され、
前記攻撃経路特定部は、前記インシデント情報における前記要素の登場順序を、前記攻撃経路における前記要素の順序とする、
請求項1に記載のインシデント情報分析装置。 The attack path is indicated by a plurality of elements and their order,
The attack route identification unit sets the order of appearance of the elements in the incident information as the order of the elements in the attack route.
The incident information analysis device according to claim 1. 前記構成推定部は、情報処理装置のシステム構成と攻撃経路とを対応付けるシステム構成攻撃経路対応付け情報を管理し、前記特定された攻撃経路が前記システム構成攻撃経路対応付け情報に含まれていれば、当該攻撃経路に対応するシステム構成を前記情報処理装置のシステム構成と推定し、前記特定された攻撃経路が前記システム構成攻撃経路対応付け情報に含まれていなければ、当該攻撃経路に対応するシステム構成を前記システム構成攻撃経路対応付け情報に登録することを分析者に促す、
請求項1に記載のインシデント情報分析装置。 The configuration estimating unit manages system configuration attack route association information that associates the system configuration of the information processing device with attack routes, and if the identified attack route is included in the system configuration attack route association information, , the system configuration corresponding to the attack route is estimated to be the system configuration of the information processing device, and if the identified attack route is not included in the system configuration attack route mapping information, the system configuration corresponding to the attack route is estimated to be the system configuration of the information processing device. prompting the analyst to register the configuration in the system configuration attack path mapping information;
The incident information analysis device according to claim 1. 前記システム構成攻撃経路対応付け情報に含まれているシステム構成と、管理対象装置のシステム構成との類似度を算出する構成比較部と、
攻撃経路と該攻撃経路の攻撃に対する対策とを対応付けた対策情報を管理し、前記システム構成攻撃経路対応付け情報において、前記管理対象装置のシステム構成と所定の類似度を有するシステム構成に対応する攻撃経路の、前記対策情報において対応する対策を提示する対策提示部と、を更に有する、
請求項3に記載のインシデント情報分析装置。 a configuration comparison unit that calculates the degree of similarity between the system configuration included in the system configuration attack route mapping information and the system configuration of the managed device;
Managing countermeasure information that associates attack routes with countermeasures against attacks of the attack routes, and in the system configuration attack route association information, corresponds to a system configuration that has a predetermined degree of similarity with the system configuration of the managed device. further comprising a countermeasure presentation unit that presents countermeasures corresponding to the countermeasure information of the attack route;
The incident information analysis device according to claim 3. システム構成は、各階層に存在する要素が定められた階層構造を有する情報であり、
前記構成比較部は、システム構成における各階層の要素同士の類似度を合成して前記類似度を算出する、
請求項4に記載のインシデント情報分析装置。 The system configuration is information that has a hierarchical structure in which the elements that exist in each hierarchy are defined,
The configuration comparison unit calculates the similarity by combining similarities between elements of each hierarchy in the system configuration.
The incident information analysis device according to claim 4. 前記対策情報には、攻撃経路と対策とに加え、前記対策による効果が対応付けられており、
前記対策提示部は、前記類似度と、前記対策情報において前記対策に対応する効果とに基づいて、前記対策の前記管理対象装置に対する効果を算出し、前記対策と共に提示する、
請求項4に記載のインシデント情報分析装置。 In addition to the attack route and the countermeasure, the countermeasure information is associated with the effect of the countermeasure,
The countermeasure presentation unit calculates an effect of the countermeasure on the managed device based on the similarity and an effect corresponding to the countermeasure in the countermeasure information, and presents the countermeasure together with the countermeasure.
The incident information analysis device according to claim 4. 前記インシデント情報と、前記インシデント情報に対応する前記攻撃経路および前記システム構成と、を画面に表示する出力部を更に有する、
請求項1に記載のインシデント情報分析装置。 further comprising an output unit that displays the incident information, the attack route and the system configuration corresponding to the incident information on a screen;
The incident information analysis device according to claim 1. 提示された前記対策と前記対策の前記管理対象装置に対する効果とを対応付けて画面に表示する出力部を更に有する、
請求項6に記載のインシデント情報分析装置。 further comprising an output unit that displays the proposed countermeasure and the effect of the countermeasure on the managed device in association with each other on a screen;
The incident information analysis device according to claim 6. インシデント情報に含まれる、情報処理装置の要素の記載を抽出し、
前記インシデント情報から抽出された前記要素の組合せに基づいて、前記インシデント情報に示された攻撃が辿る攻撃経路を特定し、
前記抽出された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定することを、
前記情報処理装置のインシデント情報を分析するためのコンピュータが実行するインシデント情報分析方法。 Extracts the description of the information processing device elements included in the incident information,
identifying an attack route followed by an attack indicated in the incident information based on the combination of the elements extracted from the incident information;
estimating configuration information regarding a system configuration of the information processing device based on the extracted element and the identified attack route;
An incident information analysis method executed by a computer for analyzing incident information of the information processing device . インシデント情報に含まれる、情報処理装置の要素の記載を抽出し、
前記インシデント情報から抽出された前記要素の組合せに基づいて、前記インシデント情報に示された攻撃が辿る攻撃経路を特定し、
前記抽出された要素と前記特定された攻撃経路とに基づいて、前記情報処理装置のシステム構成に関する構成情報を推定することを、
前記情報処理装置のインシデント情報を分析するためのコンピュータに実行させるためのインシデント情報分析プログラム。 Extracts the description of the information processing device elements included in the incident information,
identifying an attack route followed by an attack indicated in the incident information based on the combination of the elements extracted from the incident information;
estimating configuration information regarding a system configuration of the information processing device based on the extracted element and the identified attack route;
An incident information analysis program to be executed by a computer for analyzing incident information of the information processing device .
JP2020083133A 2020-05-11 2020-05-11 Incident information analysis device, analysis method, and analysis program Active JP7441719B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020083133A JP7441719B2 (en) 2020-05-11 2020-05-11 Incident information analysis device, analysis method, and analysis program
PCT/JP2021/010250 WO2021229910A1 (en) 2020-05-11 2021-03-12 Incident information analysis device, analysis method, and analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020083133A JP7441719B2 (en) 2020-05-11 2020-05-11 Incident information analysis device, analysis method, and analysis program

Publications (2)

Publication Number Publication Date
JP2021179660A JP2021179660A (en) 2021-11-18
JP7441719B2 true JP7441719B2 (en) 2024-03-01

Family

ID=78511469

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020083133A Active JP7441719B2 (en) 2020-05-11 2020-05-11 Incident information analysis device, analysis method, and analysis program

Country Status (2)

Country Link
JP (1) JP7441719B2 (en)
WO (1) WO2021229910A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007122749A (en) 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd Warning system, illegal access track method, illegal access detection system, security management method and attack protection method
JP2018077598A (en) 2016-11-08 2018-05-17 京セラドキュメントソリューションズ株式会社 Electronic device, program and information processing system
JP2019168869A (en) 2018-03-22 2019-10-03 株式会社日立製作所 Incident detection system and method thereof
JP2020160611A (en) 2019-03-25 2020-10-01 クラリオン株式会社 Test scenario generation device and test scenario generation method and test scenario generation program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6677623B2 (en) * 2016-11-08 2020-04-08 株式会社日立製作所 Security measure planning support system and method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007122749A (en) 2002-06-28 2007-05-17 Oki Electric Ind Co Ltd Warning system, illegal access track method, illegal access detection system, security management method and attack protection method
JP2018077598A (en) 2016-11-08 2018-05-17 京セラドキュメントソリューションズ株式会社 Electronic device, program and information processing system
JP2019168869A (en) 2018-03-22 2019-10-03 株式会社日立製作所 Incident detection system and method thereof
JP2020160611A (en) 2019-03-25 2020-10-01 クラリオン株式会社 Test scenario generation device and test scenario generation method and test scenario generation program

Also Published As

Publication number Publication date
JP2021179660A (en) 2021-11-18
WO2021229910A1 (en) 2021-11-18

Similar Documents

Publication Publication Date Title
US7958189B2 (en) Systems and methods for mapping user experiences in network navigation
US8032591B2 (en) Systems and methods for mapping event changes in network navigation
US9692778B1 (en) Method and system to prioritize vulnerabilities based on contextual correlation
US9734508B2 (en) Click fraud monitoring based on advertising traffic
US8217945B1 (en) Social annotation of a single evolving visual representation of a changing dataset
Jiang et al. Spatiotemporal surveillance methods in the presence of spatial correlation
US20070011742A1 (en) Communication information monitoring apparatus
WO2020204144A1 (en) Job analysis method
WO2015025694A1 (en) Scoring device and method for scoring security threat
US11303658B2 (en) System and method for data analysis and detection of threat
JPWO2015063905A1 (en) Data analysis system
WO2021036455A1 (en) Link-based risk user identification method and device
JP2019145053A (en) Threat analysis system and analysis method
Mukherjee Attributed metagraph modelling to design business process security management
Hwang et al. Identifying customer priority for new products in target marketing: Using RFM model and TextRank
US20060218106A1 (en) Systems and methods for analyzing web site search terms
KR20110139896A (en) Method for recommendation the financial goods
JP7441719B2 (en) Incident information analysis device, analysis method, and analysis program
JP7067612B2 (en) Analytical equipment, analytical methods, and programs
Abe et al. Business monitoring framework for process discovery with real-life logs
Latvala et al. Security risk visualization with semantic risk model
Hofbauer et al. On the Cost of Security Compliance in Information Systems
EP3402153A1 (en) Cloud infrastructure vulnerabilities assessment background
Johnstone Threat modelling with STRIDE and UML
US20220043668A1 (en) System and methods for implementing a computer process automation tool

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210618

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240123

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240219

R150 Certificate of patent or registration of utility model

Ref document number: 7441719

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150