JP2002328893A - ネットワークセキュリティに関する被害評価システムおよびその方法 - Google Patents
ネットワークセキュリティに関する被害評価システムおよびその方法Info
- Publication number
- JP2002328893A JP2002328893A JP2001134710A JP2001134710A JP2002328893A JP 2002328893 A JP2002328893 A JP 2002328893A JP 2001134710 A JP2001134710 A JP 2001134710A JP 2001134710 A JP2001134710 A JP 2001134710A JP 2002328893 A JP2002328893 A JP 2002328893A
- Authority
- JP
- Japan
- Prior art keywords
- damage
- network
- information
- network service
- damage evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 広い範囲に渡って迅速かつ客観的な評価を実
現するネットワークセキュリティに関する被害評価シス
テムおよびその方法を提供する。 【解決手段】 監視対象ネットワーク2に対する不正侵
入や攻撃をセンサ系23により感知し、不正侵入や攻撃
により停止したあるネットワーク要素を起点に、当該ネ
ットワーク要素毎関係情報が定義されたネットワークサ
ービス管理情報データベース11を検索することによ
り、被害関連範囲における被害評価を行なう。被害評価
装置14は、被害が及ぶ関連範囲を関連範囲における各
ネットワーク要素をノードとした依存関係に基づく被害
グラフの形態で表現し、この被害グラフに示される依存
関係を辿ることにより、各ノードに定義された被害関係
ルールに従いあらかじめ定義された想定被害数値を累積
演算する。
現するネットワークセキュリティに関する被害評価シス
テムおよびその方法を提供する。 【解決手段】 監視対象ネットワーク2に対する不正侵
入や攻撃をセンサ系23により感知し、不正侵入や攻撃
により停止したあるネットワーク要素を起点に、当該ネ
ットワーク要素毎関係情報が定義されたネットワークサ
ービス管理情報データベース11を検索することによ
り、被害関連範囲における被害評価を行なう。被害評価
装置14は、被害が及ぶ関連範囲を関連範囲における各
ネットワーク要素をノードとした依存関係に基づく被害
グラフの形態で表現し、この被害グラフに示される依存
関係を辿ることにより、各ノードに定義された被害関係
ルールに従いあらかじめ定義された想定被害数値を累積
演算する。
Description
【0001】
【発明の属する技術分野】本発明は、イントラネット等
のネットワーク上にセキュリティに起因する障害が発生
した場合、迅速にその障害を把握してその対応を支援す
ることのできる、ネットワークセキュリティに関する被
害評価システムおよびその方法に関する。
のネットワーク上にセキュリティに起因する障害が発生
した場合、迅速にその障害を把握してその対応を支援す
ることのできる、ネットワークセキュリティに関する被
害評価システムおよびその方法に関する。
【0002】
【従来の技術】インターネットを活用した企業間取引や
顧客へのサービス提供は、戦略的なビジネス展開を模索
する企業にとっては最重要課題になっている。しかしな
がらインターネットの通信環境は、ハッカーによる不正
侵入やウイルス感染といった様々な脅威にさらされてい
る。ところで、ファイヤウォールは、企業内ネットワー
クとインターネットの中間に接続し、インターネットか
らの不正なアクセスを遮断するセンサとして機能する。
ファイヤウォールを設置したネットワークシステムで
は、内部から外部へのゲートウェイ的なアクセスを可能
にし、インターネットの各種サービスを安全に利用でき
るようになる。但し、ハッカーによる不正侵入では、フ
ァイヤウォール本体のセキュリティホールを突いた攻撃
やポートスキャンによる攻撃、アクセスを妨害する使用
不能攻撃等、さまざまな攻撃を受ける危険性がある。
顧客へのサービス提供は、戦略的なビジネス展開を模索
する企業にとっては最重要課題になっている。しかしな
がらインターネットの通信環境は、ハッカーによる不正
侵入やウイルス感染といった様々な脅威にさらされてい
る。ところで、ファイヤウォールは、企業内ネットワー
クとインターネットの中間に接続し、インターネットか
らの不正なアクセスを遮断するセンサとして機能する。
ファイヤウォールを設置したネットワークシステムで
は、内部から外部へのゲートウェイ的なアクセスを可能
にし、インターネットの各種サービスを安全に利用でき
るようになる。但し、ハッカーによる不正侵入では、フ
ァイヤウォール本体のセキュリティホールを突いた攻撃
やポートスキャンによる攻撃、アクセスを妨害する使用
不能攻撃等、さまざまな攻撃を受ける危険性がある。
【0003】
【発明が解決しようとする課題】上記したネットワーク
システムにおいて、不正侵入や攻撃を受けて、ある一部
分のサービスが停止した場合、その影響が及ぶハードウ
ェアおよびソフトウェアの範囲を迅速に特定することは
比較的困難である。また、関連して業務に対してもどの
程度の被害を及ぼすかについての把握も困難であった。
現状、これら全ての関係を記述し、把握できる仕組みは
存在しない。上記したように、現状、不正侵入や攻撃に
よる被害評価に関し、被害額等の数値を用いて客観的に
明示することは困難であり、特に、ハードウェアから業
務レベルに至る広い範囲に渡る客観的な評価をできなか
った。また、不正侵入や攻撃によって複数のサービス停
止が発生した場合、複数のうちいずれの被害が大きい
か、あるいは復旧はどちらを優先すべきか等についての
評価を迅速に行なうことができず、従って、対応方針の
意思決定および復旧の作業に手間と時間がかかり、被害
を拡大させているのが現状であった。
システムにおいて、不正侵入や攻撃を受けて、ある一部
分のサービスが停止した場合、その影響が及ぶハードウ
ェアおよびソフトウェアの範囲を迅速に特定することは
比較的困難である。また、関連して業務に対してもどの
程度の被害を及ぼすかについての把握も困難であった。
現状、これら全ての関係を記述し、把握できる仕組みは
存在しない。上記したように、現状、不正侵入や攻撃に
よる被害評価に関し、被害額等の数値を用いて客観的に
明示することは困難であり、特に、ハードウェアから業
務レベルに至る広い範囲に渡る客観的な評価をできなか
った。また、不正侵入や攻撃によって複数のサービス停
止が発生した場合、複数のうちいずれの被害が大きい
か、あるいは復旧はどちらを優先すべきか等についての
評価を迅速に行なうことができず、従って、対応方針の
意思決定および復旧の作業に手間と時間がかかり、被害
を拡大させているのが現状であった。
【0004】本発明は上記事情に鑑みてなされたもので
あり、ハードウェアから業務レベルに至る各ネットワー
ク要素の関連性に関し、全ての業務にわたってデータベ
ースを構築し、不正侵入や攻撃により停止したあるネッ
トワーク要素を起点にデータベース検索により被害関連
範囲における被害評価を行なうことで、広い範囲に渡っ
て迅速かつ客観的な評価を実現した、ネットワークセキ
ュリティに関する被害評価システムおよびその方法を提
供することを目的とする。
あり、ハードウェアから業務レベルに至る各ネットワー
ク要素の関連性に関し、全ての業務にわたってデータベ
ースを構築し、不正侵入や攻撃により停止したあるネッ
トワーク要素を起点にデータベース検索により被害関連
範囲における被害評価を行なうことで、広い範囲に渡っ
て迅速かつ客観的な評価を実現した、ネットワークセキ
ュリティに関する被害評価システムおよびその方法を提
供することを目的とする。
【0005】
【課題を解決するための手段】上記した課題を解決する
ために本発明は、ハードウェアから業務レベルに至る全
業務に関する各ネットワーク要素の関連性を統一したフ
ォーマットに基づき電子的に記述したネットワークサー
ビス管理情報データベースと、前記ネットワークに対す
る不正侵入や攻撃を受けて停止した前記あるネットワー
ク要素を起点に前記ネットワークサービス管理情報デー
タベースを検索することにより被害が及ぶ関連範囲を特
定し、前記関連範囲におけるネットワーク要素毎あらか
しめ定義された被害数値を累算する被害評価装置とを備
えたことを特徴とする。
ために本発明は、ハードウェアから業務レベルに至る全
業務に関する各ネットワーク要素の関連性を統一したフ
ォーマットに基づき電子的に記述したネットワークサー
ビス管理情報データベースと、前記ネットワークに対す
る不正侵入や攻撃を受けて停止した前記あるネットワー
ク要素を起点に前記ネットワークサービス管理情報デー
タベースを検索することにより被害が及ぶ関連範囲を特
定し、前記関連範囲におけるネットワーク要素毎あらか
しめ定義された被害数値を累算する被害評価装置とを備
えたことを特徴とする。
【0006】また、本発明において、ネットワークスキ
ャンおよびパケット監視により、ネットワーク機器およ
びそのネットワーク機器上におけるネットワークサービ
スを特定し、その依存関係を自動収集するネットワーク
サービス情報収集装置と、前記自動収集されたネットワ
ークサービス情報、およびその関連情報を手動で補間し
て前記ネットワークサービス管理情報データベースに入
力するネットワークサービス情報入力支援装置とを備え
たことを特徴とする。
ャンおよびパケット監視により、ネットワーク機器およ
びそのネットワーク機器上におけるネットワークサービ
スを特定し、その依存関係を自動収集するネットワーク
サービス情報収集装置と、前記自動収集されたネットワ
ークサービス情報、およびその関連情報を手動で補間し
て前記ネットワークサービス管理情報データベースに入
力するネットワークサービス情報入力支援装置とを備え
たことを特徴とする。
【0007】また、本発明において、前記ネットワーク
サービス情報収集装置は、ネットワークスキャンとパケ
ット監視により関係情報を取得し、前記ネットワークサ
ービス毎に定義されたポート番号、プロトコル、パケッ
トの構造に基づき作成される解析ルールに従い、前記ネ
ットワークサービスの依存関係を収集することを特徴と
する。
サービス情報収集装置は、ネットワークスキャンとパケ
ット監視により関係情報を取得し、前記ネットワークサ
ービス毎に定義されたポート番号、プロトコル、パケッ
トの構造に基づき作成される解析ルールに従い、前記ネ
ットワークサービスの依存関係を収集することを特徴と
する。
【0008】また、本発明において、前記被害評価装置
は、前記被害が及ぶ関連範囲を、前記関連範囲における
各ネットワーク要素をノードとした依存関係に基づく被
害グラフの形態で表現し、前記被害グラフに示された依
存関係を辿ることにより前記各ノードに定義された想定
被害数値を累積演算することを特徴とする。
は、前記被害が及ぶ関連範囲を、前記関連範囲における
各ネットワーク要素をノードとした依存関係に基づく被
害グラフの形態で表現し、前記被害グラフに示された依
存関係を辿ることにより前記各ノードに定義された想定
被害数値を累積演算することを特徴とする。
【0009】また、本発明において、前記被害評価装置
は、前記累積演算に際し、前記ノード毎にあらかじめ定
義されたノード間の関係ルールに従い、被害の及ぶ範囲
と被害数値を、被害の影響度合いを考慮して算出するこ
とを特徴とする。
は、前記累積演算に際し、前記ノード毎にあらかじめ定
義されたノード間の関係ルールに従い、被害の及ぶ範囲
と被害数値を、被害の影響度合いを考慮して算出するこ
とを特徴とする。
【0010】上記構成において、監視対象ネットワーク
に対する不正侵入や攻撃をセンサにより感知し、前記不
正侵入や攻撃により停止したあるネットワーク要素を起
点に、当該ネットワーク要素毎関係情報が定義されたネ
ットワークサービス管理情報データベースを検索するこ
とにより、被害関連範囲における被害評価を行なう。評
価にあたり、被害が及ぶ関連範囲を関連範囲における各
ネットワーク要素をノードとした依存関係に基づく被害
グラフの形態で表現し、この被害グラフに示される依存
関係を辿ることにより、各ノードに定義された被害関係
ルールに従いあらかじめ定義された想定被害数値を累積
演算する。このことにより、ネットワーク機器およびサ
ービスの重要度につき定量的に示すことができ、業務の
広い範囲に渡って迅速かつ客観的な評価を実現すること
ができる。また、被害グラフにより要素間の関連性を視
覚的に捉えることができ、ネットワークの弱点等が明ら
かになり、システムの多重化等の対策を重点的な投資が
可能になる。また、シミュレーションにより仮想的に被
害評価を行なうことも可能である。
に対する不正侵入や攻撃をセンサにより感知し、前記不
正侵入や攻撃により停止したあるネットワーク要素を起
点に、当該ネットワーク要素毎関係情報が定義されたネ
ットワークサービス管理情報データベースを検索するこ
とにより、被害関連範囲における被害評価を行なう。評
価にあたり、被害が及ぶ関連範囲を関連範囲における各
ネットワーク要素をノードとした依存関係に基づく被害
グラフの形態で表現し、この被害グラフに示される依存
関係を辿ることにより、各ノードに定義された被害関係
ルールに従いあらかじめ定義された想定被害数値を累積
演算する。このことにより、ネットワーク機器およびサ
ービスの重要度につき定量的に示すことができ、業務の
広い範囲に渡って迅速かつ客観的な評価を実現すること
ができる。また、被害グラフにより要素間の関連性を視
覚的に捉えることができ、ネットワークの弱点等が明ら
かになり、システムの多重化等の対策を重点的な投資が
可能になる。また、シミュレーションにより仮想的に被
害評価を行なうことも可能である。
【0011】上記した課題を解決するために本発明は、
センサを備えた監視対象ネットワークのネットワークセ
キュリティに関する被害評価システムに用いられる被害
評価方法であって、前記監視対象ネットワークに対する
不正侵入や攻撃を前記センサにより感知し、前記不正侵
入や攻撃により停止したあるネットワーク要素を起点
に、当該ネットワーク要素毎関係情報が定義されたネッ
トワークサービス管理情報データベースを検索すること
により、被害関連範囲における被害評価を行なうことを
特徴とする。
センサを備えた監視対象ネットワークのネットワークセ
キュリティに関する被害評価システムに用いられる被害
評価方法であって、前記監視対象ネットワークに対する
不正侵入や攻撃を前記センサにより感知し、前記不正侵
入や攻撃により停止したあるネットワーク要素を起点
に、当該ネットワーク要素毎関係情報が定義されたネッ
トワークサービス管理情報データベースを検索すること
により、被害関連範囲における被害評価を行なうことを
特徴とする。
【0012】また、本発明において、前記ネットワーク
サービス管理情報データベースに定義される関係情報の
記述フォーマットは、少なくとも、前記ネットワーク要
素をオブジェクトとするオブジェク名、オブジェクトの
情報、関係オブジェクト、オブジェクト間の関係ルー
ル、想定被害数値とすることを特徴とする。
サービス管理情報データベースに定義される関係情報の
記述フォーマットは、少なくとも、前記ネットワーク要
素をオブジェクトとするオブジェク名、オブジェクトの
情報、関係オブジェクト、オブジェクト間の関係ルー
ル、想定被害数値とすることを特徴とする。
【0013】
【発明の実施の形態】図1は本発明におけるネットワー
クセキュリティに関する被害評価システムが接続される
ネットワークシステムの全体構成を示す図である。図1
において、符号1は被害評価システムであって、監視対
象ネットワーク2(イントラネット)に接続される。監
視対象ネットワーク2は、各種サービス提供サーバ群2
1、社員用等の端末群22の他にファイヤウォールやI
DS(ネットワーク侵入検知装置)等のセンサ系23を
備えている。
クセキュリティに関する被害評価システムが接続される
ネットワークシステムの全体構成を示す図である。図1
において、符号1は被害評価システムであって、監視対
象ネットワーク2(イントラネット)に接続される。監
視対象ネットワーク2は、各種サービス提供サーバ群2
1、社員用等の端末群22の他にファイヤウォールやI
DS(ネットワーク侵入検知装置)等のセンサ系23を
備えている。
【0014】被害評価システム1は、ネットワークサー
ビス管理情報データベース(以下、「NSA−DB」と
称す)11、ネットワークサービス情報自動収集装置1
2、ネットワークサービス情報入力支援装置13、被害
評価装置14で構成される。NSA−DB11は、ハー
ドウェアから業務レベルに至る全業務に関する各ネット
ワーク要素の関連性を統一したフォーマットに基づき電
子的に記述したデータヘースであり、例えば図5に示す
リスト形式で記述される。詳細は後述する。ネットワー
クサービス情報自動収集装置12は、ネットワークスキ
ャンおよびパケット監視によりネットワーク機器および
そのネットワーク機器上におけるネットワークサービス
を特定し、その依存関係を自動収集する機能を持つ装置
であり、また、ネットワークサービス情報入力支援装置
13は、ネットワークサービス情報自動収集装置12に
より自動収集されたネットワークサービス情報、および
その関連情報を手動で補間してNSA−DB11に入力
する機能を持つ装置である。
ビス管理情報データベース(以下、「NSA−DB」と
称す)11、ネットワークサービス情報自動収集装置1
2、ネットワークサービス情報入力支援装置13、被害
評価装置14で構成される。NSA−DB11は、ハー
ドウェアから業務レベルに至る全業務に関する各ネット
ワーク要素の関連性を統一したフォーマットに基づき電
子的に記述したデータヘースであり、例えば図5に示す
リスト形式で記述される。詳細は後述する。ネットワー
クサービス情報自動収集装置12は、ネットワークスキ
ャンおよびパケット監視によりネットワーク機器および
そのネットワーク機器上におけるネットワークサービス
を特定し、その依存関係を自動収集する機能を持つ装置
であり、また、ネットワークサービス情報入力支援装置
13は、ネットワークサービス情報自動収集装置12に
より自動収集されたネットワークサービス情報、および
その関連情報を手動で補間してNSA−DB11に入力
する機能を持つ装置である。
【0015】被害評価装置14は、ネットワークに対す
る不正侵入や攻撃を受けて停止したあるネットワーク要
素を起点にNSA−DB11を検索することにより被害
が及ぶ関連範囲を特定し、関連範囲におけるネットワー
ク要素毎あらかじめ定義された想定被害数値を累積演算
する機能を持つ装置である。被害評価装置14は、被害
数値の他に、被害者、被害端末等から成る被害リストま
たは被害グラフを出力する。
る不正侵入や攻撃を受けて停止したあるネットワーク要
素を起点にNSA−DB11を検索することにより被害
が及ぶ関連範囲を特定し、関連範囲におけるネットワー
ク要素毎あらかじめ定義された想定被害数値を累積演算
する機能を持つ装置である。被害評価装置14は、被害
数値の他に、被害者、被害端末等から成る被害リストま
たは被害グラフを出力する。
【0016】図2は、図1に示す本発明実施形態の一連
の概略動作をフローチャートで示した図である。本発明
は、イントラネットと人間による業務が密接に関連して
いるような業務運営形態において、ネットワーク上にセ
キュリティに起因する障害が発生した場合、決定権者が
より迅速に被害を把握し、対応指示を行なうように支援
することができる被害評価システムである。図2に示す
フローチャートを参照しながら図1に示す本発明実施形
態の概略動作の流れおよび操作手順について説明する。
の概略動作をフローチャートで示した図である。本発明
は、イントラネットと人間による業務が密接に関連して
いるような業務運営形態において、ネットワーク上にセ
キュリティに起因する障害が発生した場合、決定権者が
より迅速に被害を把握し、対応指示を行なうように支援
することができる被害評価システムである。図2に示す
フローチャートを参照しながら図1に示す本発明実施形
態の概略動作の流れおよび操作手順について説明する。
【0017】まず、被害評価のためにNSA−DB11
を構築する(ステップS20)。NSA−DB11の構
築にあたり、最初にネットワークサービス情報を自動収
集する。具体的に、ネットワークサービス情報自動収集
装置12は、監視ネットワーク2のネットワークスキャ
ンにより、監視対象ネットワーク2上の機器および提供
サービスの情報を取得する。ここでいう監視対象ネット
ワーク2上の機器および提供サービスの情報には、ネッ
トワークの構成情報のような物理的な情報とサーバとク
ライアントの関係のような論理的な情報の2種類に分け
られる。物理的な情報としては、製品名、CPU(中央
処理装置)、HD(ハードディスク装置)、メモリ、I
Pアドレス、OS、インストールされているソフトウェ
アの情報他から成る各ハードウェア情報、名前、ID、
性別、所属、使用ハードウェア他からなる個人情報、名
称、子組織他から成る組織情報がある。また、論理的な
情報としては、アプリケーション名、当該サーバが使用
する他のサーバのアドレス、バージョン、サーバの設定
情報他から成るサーバアプリケーションの情報、アプリ
ケーション名、当該クライアントが使用するサーバのア
ドレス他から成るクライアントアプリケーションの情
報、業務名、派生業務、担当者名他からなる業務情報が
ある。
を構築する(ステップS20)。NSA−DB11の構
築にあたり、最初にネットワークサービス情報を自動収
集する。具体的に、ネットワークサービス情報自動収集
装置12は、監視ネットワーク2のネットワークスキャ
ンにより、監視対象ネットワーク2上の機器および提供
サービスの情報を取得する。ここでいう監視対象ネット
ワーク2上の機器および提供サービスの情報には、ネッ
トワークの構成情報のような物理的な情報とサーバとク
ライアントの関係のような論理的な情報の2種類に分け
られる。物理的な情報としては、製品名、CPU(中央
処理装置)、HD(ハードディスク装置)、メモリ、I
Pアドレス、OS、インストールされているソフトウェ
アの情報他から成る各ハードウェア情報、名前、ID、
性別、所属、使用ハードウェア他からなる個人情報、名
称、子組織他から成る組織情報がある。また、論理的な
情報としては、アプリケーション名、当該サーバが使用
する他のサーバのアドレス、バージョン、サーバの設定
情報他から成るサーバアプリケーションの情報、アプリ
ケーション名、当該クライアントが使用するサーバのア
ドレス他から成るクライアントアプリケーションの情
報、業務名、派生業務、担当者名他からなる業務情報が
ある。
【0018】図8にネットワークサービス関連情報の構
成イメージを概念的に示す。ここでは、ハードウェアか
ら業務レベルに至る広い範囲に至る各要素を層展開して
示している。すなわち、ネットワークサービス関連情報
を、サーバ機器トポロジ層、サーバアプリトポロジ層、
クライアントアプリトポロジ層、組織トポロジ&クライ
アント機器トポロジ層、業務トポロジ層に展開し、それ
ぞれの層に位置するサーバ機器、サーバアプリケーショ
ン、クライアントアプリケーション、組織&クライアン
ト機器、業務間の依存関係を示している。
成イメージを概念的に示す。ここでは、ハードウェアか
ら業務レベルに至る広い範囲に至る各要素を層展開して
示している。すなわち、ネットワークサービス関連情報
を、サーバ機器トポロジ層、サーバアプリトポロジ層、
クライアントアプリトポロジ層、組織トポロジ&クライ
アント機器トポロジ層、業務トポロジ層に展開し、それ
ぞれの層に位置するサーバ機器、サーバアプリケーショ
ン、クライアントアプリケーション、組織&クライアン
ト機器、業務間の依存関係を示している。
【0019】図9(a)に業務内容(スケジュール表入
力/参照業務)の記述例が、図9(b)に人員情報(社
員A)の記述例が、図9(c)にクライアント機器(端
末West)の記述例が、図9(d)にクライアントアプリ
ケーション(West:Application_A_S)の記述例が示さ
れている。また、図10(a)にサーバアプリケーショ
ン(Exchange-A)の記述例が、図10(b)にサーバア
プリケーション(Exchange-B)の記述例が、図10
(c)にサーバアプリケーション(DNS-1)の記述例が、
図10(d)にサーバ機器(Exchange-A)の記述例がそ
れぞれ示されている。ここではいずれもXML(eXtens
ible Markup Language)で記述され、ハードウェアレ
ベルから業務レベルに至る各要素は全て同じフォーマッ
トに基づいて記述される。具体的に、図5に示されるよ
うに、オブジェクト名<Name>、オブジェクトの情報<
Application>、関係のあるオブジェクト<Relation
>、オブジェクト間の関係ルール<Relation Rule>お
よび想定被害値<Damage>の各タグから構成される。
力/参照業務)の記述例が、図9(b)に人員情報(社
員A)の記述例が、図9(c)にクライアント機器(端
末West)の記述例が、図9(d)にクライアントアプリ
ケーション(West:Application_A_S)の記述例が示さ
れている。また、図10(a)にサーバアプリケーショ
ン(Exchange-A)の記述例が、図10(b)にサーバア
プリケーション(Exchange-B)の記述例が、図10
(c)にサーバアプリケーション(DNS-1)の記述例が、
図10(d)にサーバ機器(Exchange-A)の記述例がそ
れぞれ示されている。ここではいずれもXML(eXtens
ible Markup Language)で記述され、ハードウェアレ
ベルから業務レベルに至る各要素は全て同じフォーマッ
トに基づいて記述される。具体的に、図5に示されるよ
うに、オブジェクト名<Name>、オブジェクトの情報<
Application>、関係のあるオブジェクト<Relation
>、オブジェクト間の関係ルール<Relation Rule>お
よび想定被害値<Damage>の各タグから構成される。
【0020】説明を図2に示すフローチャートに戻す。
次に、監視ネットワーク2上を伝播するパケットを取得
し、解析してネットワークサービスの依存関係を取得す
る(ステップS21)。主なネットワーク上のサービス
は、そのサービス毎に使用するポート番号、プロトコ
ル、パケットの構造が国際的に決められている。従っ
て、その仕様に沿って判定ルールを定義することによっ
て自動的にネットワークサービスの依存関係を取得する
ことができる。
次に、監視ネットワーク2上を伝播するパケットを取得
し、解析してネットワークサービスの依存関係を取得す
る(ステップS21)。主なネットワーク上のサービス
は、そのサービス毎に使用するポート番号、プロトコ
ル、パケットの構造が国際的に決められている。従っ
て、その仕様に沿って判定ルールを定義することによっ
て自動的にネットワークサービスの依存関係を取得する
ことができる。
【0021】図3に示す<表1>は、ネットワーク上で
頻繁に使用されるサービスに関してパケットからネット
ワークサービスの依存関係を解析する場合の判定ルール
を記述したものである。図3に示す<表1>に合致した
パケットから、例えば、送信元のFTPアプリケーショ
ンは宛先のサーバを使用する(ルール1)、送信元のT
ELNETアプリケーションは宛先のサーバを使用する
(ルール2)、送信元のMail送信(SMTP)アプ
リケーションは宛先のサーバを使用する(ルール3)、
送信元のFTTPアプリケーションは宛先のサーバを使
用する(ルール4)、送信元のメイル受信(POP3)
アプリケーションは宛先のサーバを使用する(ルール
5)、送信元のネットニュース(NNTP)アプリケー
ションは宛先のサーバを使用する(ルール6)、送信元
のウェッブブラウザ(HTTP)アプリケーションは宛
先のサーバを使用する(ルール7)ことがわかる。
頻繁に使用されるサービスに関してパケットからネット
ワークサービスの依存関係を解析する場合の判定ルール
を記述したものである。図3に示す<表1>に合致した
パケットから、例えば、送信元のFTPアプリケーショ
ンは宛先のサーバを使用する(ルール1)、送信元のT
ELNETアプリケーションは宛先のサーバを使用する
(ルール2)、送信元のMail送信(SMTP)アプ
リケーションは宛先のサーバを使用する(ルール3)、
送信元のFTTPアプリケーションは宛先のサーバを使
用する(ルール4)、送信元のメイル受信(POP3)
アプリケーションは宛先のサーバを使用する(ルール
5)、送信元のネットニュース(NNTP)アプリケー
ションは宛先のサーバを使用する(ルール6)、送信元
のウェッブブラウザ(HTTP)アプリケーションは宛
先のサーバを使用する(ルール7)ことがわかる。
【0022】例えば、あるパケット[宛先:10.2.
190.1][送出元:10.2.190.2][TC
P/IP][Port:21]…[データ内容:”US
ERootani”CRLF]を図3に<表1>として
示す判定ルールに基づき処理した場合、ルール1と一致
しているため、送信元(10.2.190.2)のFT
Pアプリケーションは、宛先(10.2.190.1)
のサーバを使用することがわかる。従って、「ホスト:
10.2.190.1、FTPサーバ」と、「ホスト:
10.2.190.2、FTPクライアント」に依存関
係のあることがわかり、これをNSA−DB11へ入力
するためには、図4にリスト表示した情報を自動生成す
ることができる。なお、NSA−DB11へ入力前の関
係情報の記述フォーマットは、図5にリスト表示される
ように、人、コンピュータ、サーバ、クライアントの如
何なるオブジェクトであっても、オブジェクト名、オブ
ジェクトの情報、関係のあるオブジェクト、オブジェク
ト間の関係ルールおよび想定被害値の各要素から構成さ
れる。
190.1][送出元:10.2.190.2][TC
P/IP][Port:21]…[データ内容:”US
ERootani”CRLF]を図3に<表1>として
示す判定ルールに基づき処理した場合、ルール1と一致
しているため、送信元(10.2.190.2)のFT
Pアプリケーションは、宛先(10.2.190.1)
のサーバを使用することがわかる。従って、「ホスト:
10.2.190.1、FTPサーバ」と、「ホスト:
10.2.190.2、FTPクライアント」に依存関
係のあることがわかり、これをNSA−DB11へ入力
するためには、図4にリスト表示した情報を自動生成す
ることができる。なお、NSA−DB11へ入力前の関
係情報の記述フォーマットは、図5にリスト表示される
ように、人、コンピュータ、サーバ、クライアントの如
何なるオブジェクトであっても、オブジェクト名、オブ
ジェクトの情報、関係のあるオブジェクト、オブジェク
ト間の関係ルールおよび想定被害値の各要素から構成さ
れる。
【0023】そして、上記により収集される情報を整理
してNSA−DB11に蓄積する。ここで、整理とは、
ネットワークスキャンとパケット監視の2つの方法によ
りサーバとクライアントの関係情報を取得するために、
重複、あるいは間違いが発生することがある。そこで、
この収集した情報をNSA−DB11へ入力する前にこ
の矛盾を手作業で解決する。整理は、そのネットワーク
を熟知しているネットワーク管理者が手動で行なうこと
になり、従って、ここでは、誤って検出されたサービス
やプロセスの情報を削除したり、不足している情報を追
加したりすることになる。次に、ネットワークサービス
支援装置13により、手動でネットワークサービス情報
を入力、あるいは修正する(ステップS22)。ここで
は、ネットワークサービス情報自動収集装置12で収集
された情報を利用して更に必要な情報を手動で入力す
る。ネットワークスキャンとパケット監視によるネット
ワークサービス情報の自動収集は、限られた方法と情報
を用いて機械的に行なわれるため、そのネットワーク上
にある全ての情報を取得することはできない。そこで、
ネットワーク管理者が足りないサーバプリケーションの
情報等につき入力する必要が生じる。以上の手順により
ネハードウェアレベルから業務レベルに至る広い範囲で
全ての業務に及ぶNSA−DB11が作成され、構築さ
れる(ステップS23)。
してNSA−DB11に蓄積する。ここで、整理とは、
ネットワークスキャンとパケット監視の2つの方法によ
りサーバとクライアントの関係情報を取得するために、
重複、あるいは間違いが発生することがある。そこで、
この収集した情報をNSA−DB11へ入力する前にこ
の矛盾を手作業で解決する。整理は、そのネットワーク
を熟知しているネットワーク管理者が手動で行なうこと
になり、従って、ここでは、誤って検出されたサービス
やプロセスの情報を削除したり、不足している情報を追
加したりすることになる。次に、ネットワークサービス
支援装置13により、手動でネットワークサービス情報
を入力、あるいは修正する(ステップS22)。ここで
は、ネットワークサービス情報自動収集装置12で収集
された情報を利用して更に必要な情報を手動で入力す
る。ネットワークスキャンとパケット監視によるネット
ワークサービス情報の自動収集は、限られた方法と情報
を用いて機械的に行なわれるため、そのネットワーク上
にある全ての情報を取得することはできない。そこで、
ネットワーク管理者が足りないサーバプリケーションの
情報等につき入力する必要が生じる。以上の手順により
ネハードウェアレベルから業務レベルに至る広い範囲で
全ての業務に及ぶNSA−DB11が作成され、構築さ
れる(ステップS23)。
【0024】一方、ファイヤウォールやIDS等センサ
系23が侵入、攻撃等を検出することにより被害評価装
置14へ通知する(ステップS30)。ここでは、セン
サ系23は、侵入、攻撃等を検出したときに(ステップ
S31)、影響するハードウェア、サーバプリケーショ
ンを特定し、特定した攻撃箇所(ホスト名やサービス
名)を被害評価装置14へ通知する(ステップS3
2)。次に、被害評価装置14は、NSA−DB11を
用い、攻撃箇所にリンクのあるものを検索する。そして
その検索結果から被害範囲を被害リストと被害地図によ
り出力する(ステップS41)。更に、その被害範囲か
ら被害依存関係に基づく被害グラフとして生成出力し
(ステップS42)、この被害依存グラフを辿ることに
より各ノードに定義された想定被害数値を累積演算する
(ステップS43)。但し、この累積演算処理において
は、各ノードに定義された依存グラフの関係ルール(当
該ノードの停止が他のノードに及ぼす条件:AND、O
R、XOR)に従う。
系23が侵入、攻撃等を検出することにより被害評価装
置14へ通知する(ステップS30)。ここでは、セン
サ系23は、侵入、攻撃等を検出したときに(ステップ
S31)、影響するハードウェア、サーバプリケーショ
ンを特定し、特定した攻撃箇所(ホスト名やサービス
名)を被害評価装置14へ通知する(ステップS3
2)。次に、被害評価装置14は、NSA−DB11を
用い、攻撃箇所にリンクのあるものを検索する。そして
その検索結果から被害範囲を被害リストと被害地図によ
り出力する(ステップS41)。更に、その被害範囲か
ら被害依存関係に基づく被害グラフとして生成出力し
(ステップS42)、この被害依存グラフを辿ることに
より各ノードに定義された想定被害数値を累積演算する
(ステップS43)。但し、この累積演算処理において
は、各ノードに定義された依存グラフの関係ルール(当
該ノードの停止が他のノードに及ぼす条件:AND、O
R、XOR)に従う。
【0025】なお、侵入、攻撃の内容に応じて、直接被
害を受けるハードウェア、サーバアプリケーションを特
定する処理は、被害評価装置14の持つ機能とせず、セ
ンサ系23が持つ機能として説明した。被害評価装置1
4は、NSA−DB11を参照することによって、この
侵入、攻撃により間接的に影響を受ける箇所を特定する
ことができる。従って、図1に示すネットワークサービ
ス情報入力支援装置13を用いてNSA−DB11に情
報を蓄積することにより、被害評価装置14は、侵入、
攻撃により間接的に影響を受ける箇所をより正確にかつ
詳細に特定することができる。
害を受けるハードウェア、サーバアプリケーションを特
定する処理は、被害評価装置14の持つ機能とせず、セ
ンサ系23が持つ機能として説明した。被害評価装置1
4は、NSA−DB11を参照することによって、この
侵入、攻撃により間接的に影響を受ける箇所を特定する
ことができる。従って、図1に示すネットワークサービ
ス情報入力支援装置13を用いてNSA−DB11に情
報を蓄積することにより、被害評価装置14は、侵入、
攻撃により間接的に影響を受ける箇所をより正確にかつ
詳細に特定することができる。
【0026】上記した被害評価装置14によるステップ
S41からS43の処理について、図6に示すネットワ
ークサービス管理情報を持つ電子決済システムを例示し
て詳細に説明する。ここでは、電子決済システムCのリ
スニング(Listening)ポートに対し被害が出る可能性
がある攻撃を検出した場合を仮定し、瞬時にその被害評
価を行い、提示することを目的に以下に動作説明を行な
う。
S41からS43の処理について、図6に示すネットワ
ークサービス管理情報を持つ電子決済システムを例示し
て詳細に説明する。ここでは、電子決済システムCのリ
スニング(Listening)ポートに対し被害が出る可能性
がある攻撃を検出した場合を仮定し、瞬時にその被害評
価を行い、提示することを目的に以下に動作説明を行な
う。
【0027】まず、センサ系23は、マシン「ES0
4」のあるポートに対する攻撃を検出し、この攻撃によ
り「電子決済システムC」が停止する可能性があること
を検出する。次にセンサ系23は、マシン「ES04」
の「電子決済システムC」が停止する可能性があること
を、被害評価装置14へ通知する。被害評価装置14
は、NSA−DB11を検索し、「電子決済システム
C」の情報を取得する。また、NSA−DB11を検索
し、「電子決済システムC」に対するリンクを持つクラ
イアントアプリケーションの情報を取得する。更に、そ
のクライアントアプリケーションが稼動している端末の
情報を検索することにより取得、そのクライアントアプ
リケーションを利用するユーザの情報も検索して取得す
る。そして、被害評価装置14は、上記した各検索結果
から、被害範囲情報を出力する。ここでは、被害リスト
(被害者、被害端末、被害クライアントアプリケーショ
ンなど)、被害地図(物理的な範囲、被害端末地図、被
害者マップ)の形態で出力し、被害範囲情報に依存関係
を追加し、被害依存グラフを生成出力する。被害依存グ
ラフの情報を視覚化した場合のイメージ図を図7に示
す。
4」のあるポートに対する攻撃を検出し、この攻撃によ
り「電子決済システムC」が停止する可能性があること
を検出する。次にセンサ系23は、マシン「ES04」
の「電子決済システムC」が停止する可能性があること
を、被害評価装置14へ通知する。被害評価装置14
は、NSA−DB11を検索し、「電子決済システム
C」の情報を取得する。また、NSA−DB11を検索
し、「電子決済システムC」に対するリンクを持つクラ
イアントアプリケーションの情報を取得する。更に、そ
のクライアントアプリケーションが稼動している端末の
情報を検索することにより取得、そのクライアントアプ
リケーションを利用するユーザの情報も検索して取得す
る。そして、被害評価装置14は、上記した各検索結果
から、被害範囲情報を出力する。ここでは、被害リスト
(被害者、被害端末、被害クライアントアプリケーショ
ンなど)、被害地図(物理的な範囲、被害端末地図、被
害者マップ)の形態で出力し、被害範囲情報に依存関係
を追加し、被害依存グラフを生成出力する。被害依存グ
ラフの情報を視覚化した場合のイメージ図を図7に示
す。
【0028】次に被害評価装置14は、図7に示す被害
依存グラフを辿り、その各ノードに定義された想定被害
数値を累積演算しておく。具体的には、被害評価装置1
4は、まず、「電子決済システムC」からリンクを辿
り、「決裁承認、Client[for North]」の情報を取得す
る。次に、「決裁承認Client[for North]」の情報から
「電子決済システムC」のみを利用している(AND条
件)というグラフの関係ルールを得る。従って、ここで
は、「電子決済システムC」の想定被害数値「Q」を
「決裁承認Client[for North]」の想定被害数値「O」
にそのまま加算する。但し、想定被害数値「O」は、想
定被害数値合計の単位系に統一する。被害評価装置14
は、また、「決裁承認Client[for North]」からリンク
を辿り「端末“North”」の情報を取得する。「端末“N
orth”」の情報から、「決裁承認Client[for North]」
はOR条件(「決裁承認Client[for North]」アプリケ
ーションが停止しても、「端末“North”」が全く使え
なくなるとは限らない)というグラフの関係ルールを得
る。従って、「端末“North”」に定義された想定被害
数値[P]は、想定被害数値合計に単純に加算しない。
想定被害数値[P]は、想定被害数値合計の単位系に統
一したうえで、想定被害マージン数値として保持する。
依存グラフを辿り、その各ノードに定義された想定被害
数値を累積演算しておく。具体的には、被害評価装置1
4は、まず、「電子決済システムC」からリンクを辿
り、「決裁承認、Client[for North]」の情報を取得す
る。次に、「決裁承認Client[for North]」の情報から
「電子決済システムC」のみを利用している(AND条
件)というグラフの関係ルールを得る。従って、ここで
は、「電子決済システムC」の想定被害数値「Q」を
「決裁承認Client[for North]」の想定被害数値「O」
にそのまま加算する。但し、想定被害数値「O」は、想
定被害数値合計の単位系に統一する。被害評価装置14
は、また、「決裁承認Client[for North]」からリンク
を辿り「端末“North”」の情報を取得する。「端末“N
orth”」の情報から、「決裁承認Client[for North]」
はOR条件(「決裁承認Client[for North]」アプリケ
ーションが停止しても、「端末“North”」が全く使え
なくなるとは限らない)というグラフの関係ルールを得
る。従って、「端末“North”」に定義された想定被害
数値[P]は、想定被害数値合計に単純に加算しない。
想定被害数値[P]は、想定被害数値合計の単位系に統
一したうえで、想定被害マージン数値として保持する。
【0029】同様にして、「管理職D」の想定被害数値
[R]も、想定被害マージン数値として保持する。更
に、「電子決済システムC」から、リンクを辿り、「決
裁承認Client[for East]」の情報を取得する。そし
て、「決裁承認Client[for North]」の情報から「電子
決済システムC」と他の電子決済システムの両方を利用
できる(OR条件)というグラフの関係ルールを得る。
従って、「決裁承認Client[for East]」に定義された
想定被害数値[S]は、想定被害数値合計に単純に加算し
ない。想定被害数値[S]は、想定被害数値合計の単位系
に統一したうえで、想定被害マージン数値として保持す
る。同様にして「端末“East”」の想定被害数値[T]
も想定被害マージン数値として、「管理職C」の想定被
害数値[U]も想定被害マージン数値として、「決済業
務」の想定被害数値[V]も想定被害マージン数値とし
て保持する。
[R]も、想定被害マージン数値として保持する。更
に、「電子決済システムC」から、リンクを辿り、「決
裁承認Client[for East]」の情報を取得する。そし
て、「決裁承認Client[for North]」の情報から「電子
決済システムC」と他の電子決済システムの両方を利用
できる(OR条件)というグラフの関係ルールを得る。
従って、「決裁承認Client[for East]」に定義された
想定被害数値[S]は、想定被害数値合計に単純に加算し
ない。想定被害数値[S]は、想定被害数値合計の単位系
に統一したうえで、想定被害マージン数値として保持す
る。同様にして「端末“East”」の想定被害数値[T]
も想定被害マージン数値として、「管理職C」の想定被
害数値[U]も想定被害マージン数値として、「決済業
務」の想定被害数値[V]も想定被害マージン数値とし
て保持する。
【0030】以上の累積演算により、想定被害数値合計
は「O+Q」である。これは、最小限発生する想定被害
数値をあらわす。また、想定被害マージン数値は、「P
+R+S+T+U+V」となり、想定被害数値合計「O
+Q」と加算した、総合計「O+Q+P+R+S+T+
U+V」は、最悪の場合の想定被害数値を示す。図7に
示すノード毎の想定被害数値および関係ルールを纏める
と以下のようになる。 「電子決済システムC」 :想定被害数値=O(OR条件) 「決済承認Client[for North]」:想定被害数値=Q(AND条件) 「端末”North”」 :想定被害数値=P(OR条件) 「決済承認Client[for East]」 :想定被害数値=S(OR条件) 「端末”East”」 :想定被害数値=T(OR条件) 「管理職C」 :想定被害数値=U(OR条件) 「決済業務」 :想定被害数値=V(OR条件)
は「O+Q」である。これは、最小限発生する想定被害
数値をあらわす。また、想定被害マージン数値は、「P
+R+S+T+U+V」となり、想定被害数値合計「O
+Q」と加算した、総合計「O+Q+P+R+S+T+
U+V」は、最悪の場合の想定被害数値を示す。図7に
示すノード毎の想定被害数値および関係ルールを纏める
と以下のようになる。 「電子決済システムC」 :想定被害数値=O(OR条件) 「決済承認Client[for North]」:想定被害数値=Q(AND条件) 「端末”North”」 :想定被害数値=P(OR条件) 「決済承認Client[for East]」 :想定被害数値=S(OR条件) 「端末”East”」 :想定被害数値=T(OR条件) 「管理職C」 :想定被害数値=U(OR条件) 「決済業務」 :想定被害数値=V(OR条件)
【0031】以上説明のように本発明は、ハードウェア
から業務レベルに至る各ネットワーク要素の関連性に関
し、全ての業務にわたってデータベースを構築し、不正
侵入や攻撃により停止したあるネットワーク要素を起点
にデータベース検索により被害関連範囲における被害評
価を行なうことで、広い範囲に渡って迅速かつ客観的な
評価を実現した、ネットワークセキュリティに関する被
害評価システムおよびその方法を提供するものである。
から業務レベルに至る各ネットワーク要素の関連性に関
し、全ての業務にわたってデータベースを構築し、不正
侵入や攻撃により停止したあるネットワーク要素を起点
にデータベース検索により被害関連範囲における被害評
価を行なうことで、広い範囲に渡って迅速かつ客観的な
評価を実現した、ネットワークセキュリティに関する被
害評価システムおよびその方法を提供するものである。
【0032】なお、上記したネットワークセキュリティ
に関する被害評価システム1を構成するネットワークサ
ービス情報自動収集装置12と、ネットワークサービス
情報入力支援装置13と、被害評価装置14のそれぞれ
で実行される手順をコンピュータ読み取り可能な記録媒
体に記録して、この記録媒体に記録されたプログラムを
コンピュータシステムに読み込ませ、実行することによ
り上述した各装置における機能を実行してもよい。ここ
でいうコンピュータシステムとは、OSや周辺機器等の
ハードウアを含むものとする。
に関する被害評価システム1を構成するネットワークサ
ービス情報自動収集装置12と、ネットワークサービス
情報入力支援装置13と、被害評価装置14のそれぞれ
で実行される手順をコンピュータ読み取り可能な記録媒
体に記録して、この記録媒体に記録されたプログラムを
コンピュータシステムに読み込ませ、実行することによ
り上述した各装置における機能を実行してもよい。ここ
でいうコンピュータシステムとは、OSや周辺機器等の
ハードウアを含むものとする。
【0033】また、「コンピュータシステム」は、WW
Wシステムを利用している場合であれば、ホームページ
提供環境(あるいは表示環境)も含むものとする。ま
た、「コンピュータ読み取り可能な記録媒体」とは、フ
レキシブルディスク、光磁気ディスク、ROM、CD−
ROM等の可搬媒体、コンピュータシステムに内蔵され
るハードディスク等の記憶装置のことをいう。さらに
「コンピュータ読み取り可能な記録媒体」とは、インタ
ーネット等のネットワークや電話回線等の通信回線を介
してプログラムが送信された場合のサーバやクライアン
トとなるコンピュータシステム内部の揮発性メモリ(R
AM)のように、一定時間プログラムを保持しているも
のも含むものとする。
Wシステムを利用している場合であれば、ホームページ
提供環境(あるいは表示環境)も含むものとする。ま
た、「コンピュータ読み取り可能な記録媒体」とは、フ
レキシブルディスク、光磁気ディスク、ROM、CD−
ROM等の可搬媒体、コンピュータシステムに内蔵され
るハードディスク等の記憶装置のことをいう。さらに
「コンピュータ読み取り可能な記録媒体」とは、インタ
ーネット等のネットワークや電話回線等の通信回線を介
してプログラムが送信された場合のサーバやクライアン
トとなるコンピュータシステム内部の揮発性メモリ(R
AM)のように、一定時間プログラムを保持しているも
のも含むものとする。
【0034】また、上記プログラムは、このプログラム
を記憶装置等に格納したコンピュータシステムから、伝
送媒体を介して、あるいは、伝送媒体中の伝送波により
他のコンピュータシステムに伝送されてもよい。ここ
で、プログラムを伝送する「伝送媒体」は、インターネ
ット等のネットワーク(通信網)や電話回線等の通信回
線(通信線)のように情報を伝送する機能を有する媒体
のことをいう。また、上記プログラムは、前述した機能
の一部を実現するためのものであっても良い。さらに、
前述した機能をコンピュータシステムにすでに記録され
ているプログラムとの組み合わせで実現できるもの、い
わゆる差分ファイル(差分プログラム)であっても良
い。
を記憶装置等に格納したコンピュータシステムから、伝
送媒体を介して、あるいは、伝送媒体中の伝送波により
他のコンピュータシステムに伝送されてもよい。ここ
で、プログラムを伝送する「伝送媒体」は、インターネ
ット等のネットワーク(通信網)や電話回線等の通信回
線(通信線)のように情報を伝送する機能を有する媒体
のことをいう。また、上記プログラムは、前述した機能
の一部を実現するためのものであっても良い。さらに、
前述した機能をコンピュータシステムにすでに記録され
ているプログラムとの組み合わせで実現できるもの、い
わゆる差分ファイル(差分プログラム)であっても良
い。
【0035】以上、この発明の実施形態を図面を参照し
て詳述してきたが、具体的な構成はこの実施形態に限ら
れるものではなく、この発明の要旨を逸脱しない範囲の
設計等も含まれる。
て詳述してきたが、具体的な構成はこの実施形態に限ら
れるものではなく、この発明の要旨を逸脱しない範囲の
設計等も含まれる。
【0036】
【発明の効果】以上説明のように本発明は、ハードウェ
アから業務レベルに至る各ネットワーク要素の関連性に
関し、全ての業務にわたってデータベースを構築し、不
正侵入や攻撃により停止したあるネットワーク要素を起
点にデータベース検索により被害関連範囲における被害
評価を行なうことで、広い範囲に渡って迅速かつ客観的
な評価を実現することができる。また、データベースが
組織毎に複数存在する場合、それらの間で情報を交換す
ることによって、より大きな組織を記述したデータベー
スとして情報を蓄積させることができ、このことによ
り、侵入、攻撃等による被害評価予測をダイナミックに
行うことができる。また、この被害評価機能を応用する
ことにより、被害規模という観点から、ネットワークの
脆弱な部分を洗い出すことができる。その結果、連続稼
働性が求められるシステムの二重化などの対策を効率的
に行うことができる。
アから業務レベルに至る各ネットワーク要素の関連性に
関し、全ての業務にわたってデータベースを構築し、不
正侵入や攻撃により停止したあるネットワーク要素を起
点にデータベース検索により被害関連範囲における被害
評価を行なうことで、広い範囲に渡って迅速かつ客観的
な評価を実現することができる。また、データベースが
組織毎に複数存在する場合、それらの間で情報を交換す
ることによって、より大きな組織を記述したデータベー
スとして情報を蓄積させることができ、このことによ
り、侵入、攻撃等による被害評価予測をダイナミックに
行うことができる。また、この被害評価機能を応用する
ことにより、被害規模という観点から、ネットワークの
脆弱な部分を洗い出すことができる。その結果、連続稼
働性が求められるシステムの二重化などの対策を効率的
に行うことができる。
【0037】更に本発明によれば、以下に列挙する効果
も得られる。 (1)ネットワークスキャンおよびパケット監視による
ネットワーク上の機器および提供サービスの情報、ネッ
トワークサービスの依存関係を取得することができる。
また、手動入力のための入力支援を備えたGUI(Grap
hical User Interface)を備え、より詳細な情報の追
加や情報の変更を行なうことができる。従って、データ
ベース構築の自動化と、誰でも扱えるインターフェイス
によって、ネットワーク管理に一極集中しがちな情報作
成作業が、軽減される。 (2)センサ系からの通知により、リアルタイムに被害
評価を行なうことができる。従って、利用者は、迅速に
被害情報を知ることができ、被害対応のためのすばやい
意思決定が行える。 (3)被害者リスト、被害端末リスト等により、ある原
因による業務全体に及ぼす被害範囲を明確に得ることが
できる。このことにより、利用者は、被害範囲を把握す
ることができ、被害者等に対して、被害報告などの情報
提供を行うことができる。また、被害依存グラフ(依存
関係に基くグラフ)を生成出力し、依存関係を解析する
ことにより、依存が集中して高可用性が必要な箇所や、
トラブル時の回避設定を行うべきクライアントアプリケ
ーションなどを見つけることが容易に可能となる。 (4)被害範囲の評価を行う時、依存グラフの関係ルー
ルに従って計算することによって影響先と原因元の依存
関係の度合いに応じた柔軟な評価計算が行える。このこ
とにより、被害の影響度が高い部分と低い部分が区別で
き、対応箇所の優先順位付け、すなわち被害を最小限に
抑えるための対応計算が立てやすい。
も得られる。 (1)ネットワークスキャンおよびパケット監視による
ネットワーク上の機器および提供サービスの情報、ネッ
トワークサービスの依存関係を取得することができる。
また、手動入力のための入力支援を備えたGUI(Grap
hical User Interface)を備え、より詳細な情報の追
加や情報の変更を行なうことができる。従って、データ
ベース構築の自動化と、誰でも扱えるインターフェイス
によって、ネットワーク管理に一極集中しがちな情報作
成作業が、軽減される。 (2)センサ系からの通知により、リアルタイムに被害
評価を行なうことができる。従って、利用者は、迅速に
被害情報を知ることができ、被害対応のためのすばやい
意思決定が行える。 (3)被害者リスト、被害端末リスト等により、ある原
因による業務全体に及ぼす被害範囲を明確に得ることが
できる。このことにより、利用者は、被害範囲を把握す
ることができ、被害者等に対して、被害報告などの情報
提供を行うことができる。また、被害依存グラフ(依存
関係に基くグラフ)を生成出力し、依存関係を解析する
ことにより、依存が集中して高可用性が必要な箇所や、
トラブル時の回避設定を行うべきクライアントアプリケ
ーションなどを見つけることが容易に可能となる。 (4)被害範囲の評価を行う時、依存グラフの関係ルー
ルに従って計算することによって影響先と原因元の依存
関係の度合いに応じた柔軟な評価計算が行える。このこ
とにより、被害の影響度が高い部分と低い部分が区別で
き、対応箇所の優先順位付け、すなわち被害を最小限に
抑えるための対応計算が立てやすい。
【図1】 本発明におけるネットワークセキュリティに
関する被害評価システムが接続されるネットワークシス
テムの全体構成を示す図である。
関する被害評価システムが接続されるネットワークシス
テムの全体構成を示す図である。
【図2】 図1に示す本発明実施形態の一連の概略動作
をフローチャートで示した図である。
をフローチャートで示した図である。
【図3】 監視パケットからネットワークサービスの依
存関係を解析する場合に使用される判定ルールを表形式
で記述した図である。
存関係を解析する場合に使用される判定ルールを表形式
で記述した図である。
【図4】 ネットワークサービス管理情報データベース
に蓄積される関係情報の記述フォーマットの一例を示す
図である。
に蓄積される関係情報の記述フォーマットの一例を示す
図である。
【図5】 ネットワークサービス管理情報データベース
に蓄積される関係情報の基本構成を説明するために引用
した図である。
に蓄積される関係情報の基本構成を説明するために引用
した図である。
【図6】 被害評価装置の動作を説明するために引用し
た図であり、ネットワークサービス管理情報を持つ電子
決済システムが例示されている。
た図であり、ネットワークサービス管理情報を持つ電子
決済システムが例示されている。
【図7】 図6に示した電子決済システムにおける被害
依存グラフの情報を視覚化した場合のイメージ図を示す
図である。
依存グラフの情報を視覚化した場合のイメージ図を示す
図である。
【図8】 本発明において使用されるネットワークサー
ビス関連情報の構成イメージを概念的に示した図であ
る。
ビス関連情報の構成イメージを概念的に示した図であ
る。
【図9】 図8に示される各層に位置するハードウェア
から業務レベルに至る各要素の記述フォーマットの一例
を示す図である。
から業務レベルに至る各要素の記述フォーマットの一例
を示す図である。
【図10】 図8に示される各層に位置するハードウェ
アから業務レベルに至る各要素の記述フォーマットの一
例を示す図である。
アから業務レベルに至る各要素の記述フォーマットの一
例を示す図である。
1…被害評価システム、2…監視対象ネットワーク(イ
ントラネット)、11…ネットワークサービス管理情報
データベース(NSA−DB)、12…ネットワークサ
ービス情報自動収集装置、13…ネットワークサービス
情報入力支援装置、14…被害評価装置、21…各種サ
ービス提供サーバ群、22…社員用等の端末群、23…
センサ系
ントラネット)、11…ネットワークサービス管理情報
データベース(NSA−DB)、12…ネットワークサ
ービス情報自動収集装置、13…ネットワークサービス
情報入力支援装置、14…被害評価装置、21…各種サ
ービス提供サーバ群、22…社員用等の端末群、23…
センサ系
───────────────────────────────────────────────────── フロントページの続き (72)発明者 深水 智雄 東京都江東区豊洲三丁目3番3号 株式会 社エヌ・ティ・ティ・データ内 Fターム(参考) 5B085 AA08 AC13 AC14
Claims (7)
- 【請求項1】 ハードウェアから業務レベルに至る全業
務に関する各ネットワーク要素の関連性を統一したフォ
ーマットに基づき電子的に記述したネットワークサービ
ス管理情報データベースと、 前記ネットワークに対する不正侵入や攻撃を受けて停止
した前記あるネットワーク要素を起点に前記ネットワー
クサービス管理情報データベースを検索することにより
被害が及ぶ関連範囲を特定し、前記関連範囲におけるネ
ットワーク要素毎あらかしめ定義された想定被害数値を
累積演算する被害評価装置とを備えたことを特徴とする
ネットワークセキュリティに関する被害評価システム。 - 【請求項2】 ネットワークスキャンおよびパケット監
視によりネットワーク機器およびそのネットワーク機器
上におけるネットワークサービスを特定し、その依存関
係を自動収集するネットワークサービス情報収集装置
と、 前記自動収集されたネットワークサービス情報、および
その関連情報を手動で補間して前記ネットワークサービ
ス管理情報データベースに入力するネットワークサービ
ス情報入力支援装置とを備えたことを特徴とする請求項
1に記載のネットワークセキュリティに関する被害評価
システム。 - 【請求項3】 前記ネットワークサービス情報収集装置
は、前記ネットワークサービス毎に定義されたポート番
号、プロトコル、パケットの構造に基づき作成される解
析ルールに従い、前記ネットワークサービスの依存関係
を収集することを特徴とする請求項2に記載のネットワ
ークセキュリティに関する被害評価システム。 - 【請求項4】 前記被害評価装置は、前記被害が及ぶ関
連範囲を、前記関連範囲における各ネットワーク要素を
ノードとした依存関係に基づく被害グラフの形態で表現
し、前記被害グラフに示される依存関係を辿ることによ
りあらかじめ定義された想定被害数値を累積演算するこ
とを特徴とする請求項1に記載のネットワークセキュリ
ティに関する被害評価システム。 - 【請求項5】 前記被害評価装置は、前記累積演算に際
し、前記ノード毎にあらかじめ定義されたノード間の関
係ルールに従い、被害の及ぶ範囲と被害数値を、被害の
影響度合いを考慮して算出することを特徴とする請求項
4に記載のネットワークセキュリティに関する被害評価
システム。 - 【請求項6】 センサを備えた監視対象ネットワーク
のネットワークセキュリティに関する被害評価システム
に用いられる被害評価方法であって、 前記監視対象ネットワークに対する不正侵入や攻撃を前
記センサにより感知し、 前記不正侵入や攻撃により停止した、あるいは停止した
と想定されるあるネットワーク要素を起点に、当該ネッ
トワーク要素毎関係情報が定義されたネットワークサー
ビス管理情報データベースを検索することにより、被害
関連範囲における被害評価を行なうことを特徴とするネ
ットワークセキュリティに関する被害評価方法。 - 【請求項7】 前記ネットワークサービス管理情報デー
タベースに定義される関係情報の記述フォーマットは、
少なくとも、前記ネットワーク要素をオブジェクトとす
るオブジェク名、当該オブジェクトの情報、関係するオ
ブジェクト名、オブジェクト間の関係ルール、想定被害
数値とすることを特徴とする請求項6に記載のネットワ
ークセキュリティに関する被害評価方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001134710A JP3618681B2 (ja) | 2001-05-01 | 2001-05-01 | ネットワークセキュリティに関する被害評価システムおよびその方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001134710A JP3618681B2 (ja) | 2001-05-01 | 2001-05-01 | ネットワークセキュリティに関する被害評価システムおよびその方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002328893A true JP2002328893A (ja) | 2002-11-15 |
| JP3618681B2 JP3618681B2 (ja) | 2005-02-09 |
Family
ID=18982344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001134710A Expired - Lifetime JP3618681B2 (ja) | 2001-05-01 | 2001-05-01 | ネットワークセキュリティに関する被害評価システムおよびその方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3618681B2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006178834A (ja) * | 2004-12-24 | 2006-07-06 | Mitsubishi Electric Corp | 依存関係情報収集システム及び依存関係情報収集方法 |
| CN103748996B (zh) * | 2009-08-20 | 2011-01-12 | 北京理工大学 | 一种攻防对抗环境下的网络安全态势评估方法 |
| JP2015005274A (ja) * | 2013-06-20 | 2015-01-08 | ザ・ボーイング・カンパニーTheBoeing Company | 航空プラットフォームにおけるサイバーセキュリティ脅威の分析に使用する方法及びシステム |
| JP2016081518A (ja) * | 2014-10-21 | 2016-05-16 | 富士通株式会社 | ソフトウェアのアタックサーフェイスの決定 |
| JP2016528656A (ja) * | 2013-09-10 | 2016-09-15 | シマンテック コーポレーションSymantec Corporation | イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 |
| JP2018518001A (ja) * | 2015-06-02 | 2018-07-05 | シー3, アイオーティー, インコーポレイテッド | 運用技術および情報技術に基づくサイバーセキュリティ分析を提供するためのシステムおよび方法 |
| JP2019501436A (ja) * | 2015-10-06 | 2019-01-17 | ネットフリックス,インコーポレイティド | アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法 |
| US11729199B2 (en) | 2018-03-27 | 2023-08-15 | Nec Corporation | Security evaluation system, security evaluation method, and program |
-
2001
- 2001-05-01 JP JP2001134710A patent/JP3618681B2/ja not_active Expired - Lifetime
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006178834A (ja) * | 2004-12-24 | 2006-07-06 | Mitsubishi Electric Corp | 依存関係情報収集システム及び依存関係情報収集方法 |
| CN103748996B (zh) * | 2009-08-20 | 2011-01-12 | 北京理工大学 | 一种攻防对抗环境下的网络安全态势评估方法 |
| JP2015005274A (ja) * | 2013-06-20 | 2015-01-08 | ザ・ボーイング・カンパニーTheBoeing Company | 航空プラットフォームにおけるサイバーセキュリティ脅威の分析に使用する方法及びシステム |
| JP2016528656A (ja) * | 2013-09-10 | 2016-09-15 | シマンテック コーポレーションSymantec Corporation | イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法 |
| JP2016081518A (ja) * | 2014-10-21 | 2016-05-16 | 富士通株式会社 | ソフトウェアのアタックサーフェイスの決定 |
| JP2018518001A (ja) * | 2015-06-02 | 2018-07-05 | シー3, アイオーティー, インコーポレイテッド | 運用技術および情報技術に基づくサイバーセキュリティ分析を提供するためのシステムおよび方法 |
| US11411977B2 (en) | 2015-06-02 | 2022-08-09 | C3.Ai, Inc. | Systems and methods for providing cybersecurity analysis based on operational technologies and information technologies |
| JP2019501436A (ja) * | 2015-10-06 | 2019-01-17 | ネットフリックス,インコーポレイティド | アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法 |
| US11729199B2 (en) | 2018-03-27 | 2023-08-15 | Nec Corporation | Security evaluation system, security evaluation method, and program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3618681B2 (ja) | 2005-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10958672B2 (en) | Cognitive offense analysis using contextual data and knowledge graphs | |
| US11343268B2 (en) | Detection of network anomalies based on relationship graphs | |
| US20200327223A1 (en) | Affectedness scoring engine for cyber threat intelligence services | |
| Maloof et al. | Elicit: A system for detecting insiders who violate need-to-know | |
| US7805510B2 (en) | Hierarchy for characterizing interactions with an application | |
| US8051028B2 (en) | Method and apparatus for generating configuration rules for computing entities within a computing environment using association rule mining | |
| US8656006B2 (en) | Integrating traffic monitoring data and application runtime data | |
| US8504679B2 (en) | Methods, systems and computer program products for managing execution of information technology (IT) processes | |
| US8191149B2 (en) | System and method for predicting cyber threat | |
| US20170272344A1 (en) | Real-Time Detection of Abnormal Network Connections in Streaming Data | |
| US20090126022A1 (en) | Method and System for Generating Data for Security Assessment | |
| JP2022527511A (ja) | サイバーセキュリティ・イベントについての時間関係を推測すること | |
| JP2006518080A (ja) | ネットワーク監査及びポリシー保証システム | |
| CN106534146A (zh) | 一种安全监测系统及方法 | |
| CN110035062A (zh) | 一种网络验伤方法及设备 | |
| Kijsanayothin et al. | Analytical approach to attack graph analysis for network security | |
| JP2004054706A (ja) | セキュリティリスク管理システム、そのプログラムおよび記録媒体 | |
| Goseva-Popstojanova et al. | Empirical study of session-based workload and reliability for web servers | |
| JP2002328893A (ja) | ネットワークセキュリティに関する被害評価システムおよびその方法 | |
| Baumann et al. | Vulnerability against internet disruptions–a graph-based perspective | |
| Moore | Richard C. Linger | |
| Zhong et al. | Can cyber operations be made autonomous? an answer from the situational awareness viewpoint | |
| JP2001229052A (ja) | ログ処理装置、ログ処理方法、及びログ処理プログラム | |
| Kobayashi et al. | amulog: A general log analysis framework for comparison and combination of diverse template generation methods | |
| Kuehn et al. | The Notion of Relevance in Cybersecurity: A Categorization of Security Tools and Deduction of Relevance Notions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040803 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041004 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20041102 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20041110 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3618681 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071119 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081119 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091119 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091119 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101119 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111119 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121119 Year of fee payment: 8 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121119 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131119 Year of fee payment: 9 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |