JP2015026182A - セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム - Google Patents

セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム Download PDF

Info

Publication number
JP2015026182A
JP2015026182A JP2013154578A JP2013154578A JP2015026182A JP 2015026182 A JP2015026182 A JP 2015026182A JP 2013154578 A JP2013154578 A JP 2013154578A JP 2013154578 A JP2013154578 A JP 2013154578A JP 2015026182 A JP2015026182 A JP 2015026182A
Authority
JP
Japan
Prior art keywords
information
attack
security service
log
avoided
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013154578A
Other languages
English (en)
Inventor
竜平 高橋
Ryuhei Takahashi
竜平 高橋
渉 渡辺
Wataru Watanabe
渉 渡辺
造 神谷
Tsukuru Kamiya
造 神谷
郁也 林
Ikuya Hayashi
郁也 林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
NTT Communications Corp
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Communications Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013154578A priority Critical patent/JP2015026182A/ja
Publication of JP2015026182A publication Critical patent/JP2015026182A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】ユーザにセキュリティサービスの効果を目に見える形で提示する技術を提供する。
【解決手段】セキュリティサービスによる効果を表示するためのセキュリティサービス効果表示システムにおいて、ネットワーク上の攻撃に関する情報を収集する攻撃情報収集手段と、前記攻撃情報収集手段により収集された攻撃に関する情報と、所定の複数のセキュリティサービスにおける各セキュリティサービスについての当該攻撃を回避することが可能か否かを示す情報とを対応付けた回避可否情報を生成する生成手段と、前記生成手段により生成された回避可否情報に基づき、特定のセキュリティサービスが適用されることにより回避される攻撃又は回避されない攻撃を含む情報を表示する表示処理手段とを備える。
【選択図】図1

Description

本発明は、ネットワークにおけるセキュリティ技術に関連し、特に、セキュリティサービスにより回避可能な攻撃に関する情報を可視化する技術に関連するものである。
近年、DOS(Denial of Service attack)攻撃、特定のTCPポートを狙った攻撃や、悪意のあるソフトウェアであるマルウェア等によるネットワーク上の攻撃が増加している。
このような攻撃に対応して、各種のセキュリティサービスが提供されている。当該セキュリティサービスとしては、例えば、ルータ、FWによるアクセス制御サービス、IDS(Intrusion Detection System)やDLP(DataLossProtection)といったセキュリティシステムを用いたサービス、ウィルスパターンの自動更新やメールのウィルスチェック、URLフィルタリングといったアプリケーションサービス等がある。例えば、ネットワークのユーザは、通信事業者等により提供される上記セキュリティサービスを利用することにより、自身のネットワークを攻撃から守るようにする。
なお、セキュリティに関連する従来技術として例えば特許文献1に記載された技術がある。
特開2005-227982号公報
しかしながら、セキュリティサービスは実際に攻撃が発生する等の問題が起きるまでその価値を定量化することはできず、セキュリティサービスを受けるユーザとしてもセキュリティに費用を支払うことへの妥当性を感じにくいという問題があった。一方、大きな問題が発生したあとではその損失が大きくなり、取り返しのつかない損害を被ることもある。
本発明は上記の点に鑑みてなされたものであり、ユーザにセキュリティサービスの効果を目に見える形で提示する技術を提供することを目的とする。
上記の課題を解決するために、本発明は、セキュリティサービスによる効果を表示するためのセキュリティサービス効果表示システムであって、
ネットワーク上の攻撃に関する情報を収集する攻撃情報収集手段と、
前記攻撃情報収集手段により収集された攻撃に関する情報と、所定の複数のセキュリティサービスにおける各セキュリティサービスについての当該攻撃を回避することが可能か否かを示す情報とを対応付けた回避可否情報を生成する生成手段と、
前記生成手段により生成された回避可否情報に基づき、特定のセキュリティサービスが適用されることにより回避される攻撃又は回避されない攻撃を含む情報を表示する表示処理手段とを備えることを特徴とするセキュリティサービス効果表示システムとして構成される。
前記表示処理手段は、特定のユーザが使用しているセキュリティサービスを特定する情報を含む加入者情報と、前記回避可否情報とを比較することにより、当該特定のユーザが使用しているセキュリティサービスに関して、回避される攻撃又は回避されない攻撃を含む情報を表示するように構成してもよい。
前記回避可否情報は、攻撃の発生した位置に関する情報を含み、前記表示処理手段は、特定のセキュリティサービスが適用されることにより回避される攻撃又は回避されない攻撃を含む情報として、回避されない攻撃をマッピングしたマップ情報を表示するように構成してもよい。
また、前記表示処理手段は、ユーザからの指示に基づいて、適用されるセキュリティサービスの数を変更し、変更後のセキュリティサービにより回避される攻撃又は回避されない攻撃を含む情報を表示するようにしてもよい。
また、本発明は、セキュリティサービスによる効果を表示するためのセキュリティサービス効果表示システムが実行するセキュリティサービス効果表示方法や、コンピュータを、上記セキュリティサービス効果表示システムにおける各手段として機能させるためのセキュリティサービス効果表示プログラムとして構成することもできる。
本発明によれば、ユーザにセキュリティサービスの効果を目に見える形で提示することが可能となる。これにより、例えば、ユーザはセキュリティサービスに費用を支払うことへの妥当性を的確に把握でき、セキュリティサービスに契約するかどうかを適切に判断することが可能となる。
本発明の実施の形態に係るシステム構成図である。 社会ログ収集サーバ10の機能構成図である。 社会ログ収集サーバ10の記憶部14に格納される社会ログの例を示す図である。 NWログ収集サーバ20の機能構成図である。 NWログ収集サーバ20の記憶部22に格納されるNW情報ログの例を示す図である。 加工済みログの例を示す図である。 分析サーバ30の機能構成図である。 分析サーバ30の動作を説明するための図である。 製品仕様情報の例を示す図である。 更新ログの例を示す図である。 契約者DBに格納されるテーブル情報の例を示す図である。 全体ログデータとある契約ユーザの契約情報を照合した結果を示す図である。 表示サーバの機能構成図である。 全体ログデータとある契約ユーザの契約情報を照合した結果を表示する表示例を示す図である 世界地図にマップした例を示す図である。 グラフ表示の他の例を示す図である。
以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。また、以下では種々のデータ例(テーブル情報)を示すが、これらは実施の形態の内容をわかりやすく説明するための例に過ぎない。
(実施の形態の概要)
本実施の形態では、まず、社会ログ(例:図3)と、ネットワークログ(以下、NWログ)(例:図5)を収集し、そこからマルウェア情報やネットワーク攻撃情報等の攻撃に関する情報を抽出し、攻撃ログ(例:図6)を生成する。そして、製品仕様情報(例:図9)等に基づいて、各種セキュリティサービスにより、攻撃ログに示される攻撃に対応可能かどうかを示す更新ログ(例:図10、回避可否情報の例)を生成し、例えば、更新ログを契約者情報(例:図11)と照合することで、契約ユーザにおけるネットワークや装置が任意の攻撃に対して対応が可能か否かを示す表(例:図12)を作成する。そして、この表や上記の更新ログに基づき、セキュリティサービスの効果を示すための様々な可視化表示(例:図14〜図16)を行う。以下、本実施の形態についてより詳細に説明する。
なお、本実施の形態におけるセキュリティサービスとは、例えば、ルータ、FWによるアクセス制御サービス、IDSやDLPといったセキュリティシステムを用いたサービス、ウィルスパターンの自動更新やメールのウィルスチェック、URLフィルタリングといったアプリケーションサービス等である。以下、セキュリティサービスを単に「サービス」と称する場合がある。
(システム構成)
図1に、本発明の実施の形態に係るセキュリティサービス効果表示システムの構成例を示す。図1を参照して本実施の形態に係るシステム構成について説明する。
図1に示すように、本実施の形態に係るセキュリティサービス効果表示システムは、大きくわけて、ログを収集するサーバ、収集したログを分析するサーバ、分析結果を表示するサーバを有する。
より詳細には、ログを収集するサーバは、社会ログを収集する社会ログ収集サーバ10、ネットワーク上のDOS攻撃や、マルウェアの情報を収集するNWログ収集サーバ20を含む。また、収集したログを分析するサーバとして分析サーバ30が社会ログ収集サーバ10とネットワークログ収集サーバ20とに接続されている。更に、分析結果を表示するサーバとして、表示サーバ40が分析サーバ30に接続されている。
また、社会ログ収集サーバ10には、ネットワーク100が接続され、NWログ収集サーバ20には、ネットワーク200が接続されている。なお、ネットワーク100とネットワーク200は物理的に1つのネットワークである。社会ログ収集サーバ10とNWログ収集サーバ20におけるログの収集対象が異なることから、それを分かりよく示すために、便宜上これらを分けて記載している。
ネットワーク100に接続されている特定のサイト101は、後述するブログ等のサイトである。また、ネットワーク200には、NWログ収集元となる、ユーザNW204を接続するルータ201等が示されている。ネットワーク200に接続されるユーザNW204は、一例として、FW202に接続され、IDS203を備える構成を示している。
また、表示サーバ40配下には図示しないユーザ端末が接続されており、ユーザ端末から表示サーバ40にアクセスすることで当該ユーザのセキュリティ対応状況等がユーザ端末に対して表示される。なお、本実施の形態における「ユーザ」は、セキュリティサービスを提供している事業者(実施の形態に係る可視化サービス提供事業者でもある)の顧客であることを想定しているが、これに限られるわけではない。
また、図1では、本実施の形態に係る処理を実行するためのサーバとして、社会ログ収集サーバ10、NWログ収集サーバ20、分析サーバ30、表示サーバ40が示されているが、これらのうちの全部又はいずれか複数を1つの装置(コンピュータ)で実現してもよい。例えば、表示サーバ40と分析サーバ30を1つの装置として実現することができる。また、表示サーバ40は、必ずしも分析サーバ30と接続されている必要はなく、分析サーバ30により生成されたデータをオフラインで表示サーバ40に格納し、表示サーバ40が当該データに基づき表示処理を行うこととしてもよい。この場合、表示サーバ40は、ユーザ端末であってもよい。
本実施の形態に係る各サーバもしくは複数のサーバからなる装置は、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、当該サーバ又は装置の各機能部は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、各部で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
以下、本実施の形態に係るシステムの構成及び動作をより詳細に説明する。
(1.ログ収集)
まず、社会ログ収集サーバ10及びNWログ収集サーバ20により実行されるログデータの収集について説明する。
<社会ログの収集>
最初に、社会ログの収集処理について説明する。本実施の形態における社会ログとは、インターネット等のネットワーク上に公開されている情報であり、その形態は例えばブログ、Twitter(登録商標)、ニュースサイト等であるが、これらに限られるわけではない。
図2に、本実施の形態に係る社会ログ収集サーバ10の機能構成図を示す。図2に示すように、社会ログ収集サーバ10は、ネットワーク100から社会ログを収集する収集部11、社会ログからネットワーク攻撃等に関する情報を抽出する抽出部12、補完データの補充を行う補完データ補充部13、抽出したデータを格納する記憶部14を有する。以下、各機能部の動作をより詳しく説明する。
まず、収集部11が、社会ログを発生されるサイトから、ネットワークの攻撃に関連しそうな情報(社会ログ)をインターネット上(前述したネットワーク100)をクロールすることによって収集する。
次に、抽出部12が、収集部11により収集したログからネットワークの攻撃に関連しそうな情報を特定する。より具体的には、抽出部12は、サイトの文字列から公知の自然言語処理によって当該情報を選別するようにしてもよいし、予めネットワーク攻撃を類推させる文字列(例えばネットワーク攻撃、DOS、ウィルス等)の言語情報をメモリ等に記憶しておいて、収集情報とそれらの言語情報とのマッチングによって抽出を行うようにしてもよい。
収集したデータのみでは不明な情報は、補完データ補充部13を利用して、他のサイトに問い合わせて補充するようにしてもよい。
例えば、社会ログの構成要素として脆弱性IDを格納する場合において、当該脆弱性IDが空欄で埋まらない場合を想定する。補完データ補充部13には、脆弱性に関する情報を公開している脆弱性公開サイトのURLが予め登録されている。補完データ補充部13は、抽出部12からの補完作業指示に基づき、収集した記事から抽出した攻撃対象地域名、攻撃方法といった情報をキーにして該当URLの脆弱性公開サイトに問い合わせることで、情報のマッチングを行い、脆弱性IDの候補を取得する。なお、このような手段を用いても不明の部分は空欄とする。
上記のようにして抽出された社会ログを記憶部14(データベース)に記憶する。当該社会ログとして、例えば、脆弱性ID、攻撃対象となる対象ソフトウェア、攻撃の詳細情報となるVulnerability情報、パッチの有無、脆弱性をつくプログラムの有無を示すPOCコード、実際の攻撃の有無、攻撃対象となっている産業といった情報が格納される。図3に、記憶部14に格納される社会ログの一例を示す。なお、社会ログのキーとしては、脆弱性IDのかわりにCVE番号を用いても良い。
<NWログの収集>
次に、NWログの収集処理について説明する。ここで、本実施の形態におけるNWログとは、ネットワークを介して収集する攻撃のログのことであり、例えばDOS攻撃のログ、特定のTCPポートを狙った攻撃のログ、あるいはマルウェア情報等である。このような攻撃は、IDS、ファイアウォール、ルータ、ウィルスソフト、ハニーポット等で見つけることができ、NWログ収集サーバ20は、これらの装置から攻撃に関するログを収集する。
ログ収集の対象とする装置は1台でもよいが、攻撃された地域の情報もログとして収集することが望ましいことから、これを実現するため、本実施の形態では、複数地域に設置されたIDS、ファイアウォール、ルータの情報をその装置のIPアドレスとともにネットワークログ収集サーバ20に格納する。
これらの装置に関し、本実施の形態に係る可視化サービスを提供するネットワーク事業者の所有物であればそのままログデータを収集可能であり、仮にユーザ所有の装置であれば契約等によりログデータを収集する許諾を得た上で、ネットワークログ収集サーバ20が当該顧客所有の装置のデータを収集するようにしても良い。
また、他ネットワーク事業者と情報交換してもよい。こうすれば、より広範囲の情報収集が可能である。なお、ネットワークレベルの情報収集は、世界的に見れば個人情報としてのログにあたらないため、国境を越えたデータ収集のハードルも低く、サービス化が容易であるという利点もある。
図4に、ネットワークログ収集サーバ20の機能構成図を示す。図4に示すように、ネットワークログ収集サーバ20は、上記NWログの収集を行う収集部21と、収集されたログを格納する記憶部22を備える。
収集部21は、上述したIDS、ファイアウォール、ルータ等の装置から送信元、送信先のIDS、ファイアウォール、ルータ等のIPアドレス、ポート番号の情報を収集し、記憶部22に格納する。
また、マルウェアに関するログは、ユーザやネットワーク事業者サーバに設置されたウィルス検知ソフトウェアやハニーポットを使って収集することが可能であり、収集部21は、これらの手段により収集されたマルウェアに関するログを取得し、記憶部22に格納する。なお、マルウェアのログの場合は攻撃名としてマルウェアを特定できるシグネチャも記憶する。
上記のハニーポットはネットワーク上におとりとして設置されたコンピュータであり、ウィルスの攻撃対象とすることでウィルスの収集を可能にする装置である。ハニーポットはネットワーク上で1台設置されていればマルウェアログの収集は可能であるが、本実施の形態では、攻撃された地域の情報も収集することを考慮して、複数台のハニーポットが設置されていることが好ましい。
図5に、NWログ収集サーバ20の記憶部22に格納されるNWログの一例を示す。図5の例では、NWログとして、時刻、送信元IPアドレス、宛先IPアドレス、ポート番号、攻撃名(シグネチャ)等が格納されることが示されている。ただし、これは一例である。
<ログの加工について>
次に、収集したログの加工について説明する。
NWログ、社会ログはそのままでは分析に適さないため、社会ログ収集サーバ10、及び、NWログ収集サーバ20は収集したログを分析できる形態に加工する。本実施の形態では、加工はそれぞれの収集サーバで行うこととするが、加工前のログを分析サーバ30に送信した後に分析サーバ30側で加工してもよい。
本実施の形態では、ログの加工として、それぞれのログに攻撃タイプの情報を付加していく。社会ログの場合、攻撃タイプの情報は、キーワードマッチング等の公知の技術を用いて収集した情報より特定する。ここでの攻撃タイプは大分類(DOS攻撃、マルウェア、情報漏えい等)、及び具体的攻撃単位である小分類(UDPフラッディング、MDSハッシュ、Pin of death等)をもって構成される。
NWログの場合、抽出する攻撃タイプの情報はログの時刻や送信元IPアドレスが同じかどうかの情報、及びシグニチャ情報等に基づき、公知の技術を用いて、大まかな攻撃タイプの大分類(DOS、マルウェア、情報漏えい等)、及び具体的攻撃単位である小分類(UDPフラッディング、MDSハッシュ、Pin of death等)を導き出して構成する。
また、NWログは同じ攻撃のログが複数重複するので、これらをまとめて1つの攻撃とする。図6に、加工されたデータの例を示す。図6に示す例は、分析サーバ30に格納された加工済データの例である。図6に示すように、上述した攻撃タイプ(大分類と小分類)が付加されている。ここで加工された加工済ログは、分析サーバ30に格納され、後述する分析がなされる。
なお、加工の段階で、NWログと社会ログを結合してもよい。例えば、図6は、結合後の加工済ログであってもよい。つまり、例えば、図6における1行目、2行目のDOS、マルウェアがNWログから得られたものであり、3行目の情報漏洩の情報は社会ログから得られたものとしてよい。
(2.ログの分析)
次に、上記のようにして収集、加工されたログを分析サーバ30により分析する処理について説明する。
<装置構成、処理概要>
図7に、分析サーバ30の機能構成図を示す。図7に示すように、分析サーバ30は、ログの分析を行う分析部32、加工済ログ、更新社会ログ、更新NWログ(更新社会ログと更新NWログを総称して更新ログと呼ぶ)を格納する記憶部33、契約者情報(加入者情報の一例である)を格納する契約者DB34、及び、更新ログと契約者情報との比較照合を行う比較照合部31を備える。このような構成を備える分析サーバ30の動作概要は以下のとおりである。
分析部32は、記憶部33から加工済のログデータを読み込んで分析を行い、サービスが、各ログデータであらわされる攻撃に対応可能(攻撃を回避可能)か、もしくは対応不可能か、といった情報をサービス単位(より詳細にはサービス実施のための装置の製品やそのバージョン単位)で付加して更新ログとして記憶部32に格納する。そして、比較照合部31が、更新ログと契約者情報との比較を行うことで、契約しているサービスの下、契約者における装置構成等が各ログデータであらわされる攻撃に対応可能か、もしくは対応不可能か、といった情報を生成する。
なお、本実施の形態では、どのサービスが、各攻撃に対応可能か、もしくは対応不可能かを示す情報を、これまでに説明したNWログ情報、及び社会ログ情報を利用して生成するが、利用する情報は、これらに限られるわけではなく、上記対応可能/不可能を示す情報を生成できる情報を含む情報セキュリティのログであれば、NWログ情報、及び社会ログ情報以外のログを用いてもよい。
<分析処理の詳細>
以下、分析処理をより詳細に説明する。
(1) 加工済ログの分析
まず、図8を参照して、分析部32が実行する加工済ログの分析処理について説明する。本実施の形態では、ログから攻撃タイプを抽出し、当該攻撃タイプに関して、サービスによる対応可否を決定し、決定した対応可否情報を更新ログに加えることとしている。
本実施の形態では、サービスによる対応可否の分析方法として、2つのパターンを用いている。パターン1は、擬似的な攻撃によって分析する方法であり、パターン2は外部サーバに問い合わせて、その情報を利用する方法である。なお、2つのパターンを用いることは必須ではない。どちらか1つのみ(例えばパターン2)を用いてもよい。
図8に示すように、パターン1の場合、小分類に分類された攻撃情報(例:UDPフラッディング)をもとに、擬似攻撃生成装置(これ自体は既存技術)を用いて擬似的な攻撃環境(検証環境)を構築する。当該検証環境の下で、対象のサービスに用いる製品(例:FW)に対して擬似的な攻撃を行うことにより、当該製品(つまり、サービス)が当該攻撃に対応可能かどうかを確認する。
より具体的には、擬似的に生成した攻撃情報を用いて、検証環境に設置された複数のOSやバージョンの異なるルータ、FWに攻撃を仕掛け、その反応データを収集することで異なるバージョンの製品毎に攻撃に対する対応が可能かどうかの情報を入手する。
パターン2では、小分類の攻撃情報(例:マルウェアの識別情報)に基づき外部サーバのURLにアクセスし、外部サーバに蓄積された製品仕様情報と攻撃情報とを照合することにより、製品が当該攻撃に対応可能かどうかの情報を入手する。なお、製品仕様情報は、分析サーバ30に予め蓄積しておく情報であるとしてもよい。
上記製品仕様情報の一例を図9に示す。図9に示すように、製品仕様情報は、セキュリティサービスで使用される各社のルータ、FW、ウィルス検知ソフト等の製品型番等と、対応可能な攻撃名(攻撃タイプの大分類、小分類)とを対応付けた情報である。
パターン2において、分析サーバ30の分析部32は、加工済ログの攻撃タイプの大分類、小分類と、製品仕様情報とを照合することで該ログデータの攻撃に対して、それぞれサービス(具体的には製品やソフトウェア)が対応しているかどうかを把握する。また、マルウェア情報の場合は攻撃タイプの情報のほかにシグネチャを用いて外部サーバに問い合わせ、各製品、ソフトウェアが対応可能かどうかの情報を収集する。なお、マルウェア情報への対応状況は日々刻々と更新されるため、この問い合わせは繰り返し行うことが望ましい。
分析部32は、上記のようにして得られた情報(各種サービスで攻撃に対応できるか否かの情報)を、加工済ログに付与することで、更新ログを生成し、記憶部33に格納する。図10に、記憶部33に格納される更新ログの一例を示す。図10に示す例では、各サービスに使用される各製品について、バージョン毎に、攻撃に対して対応可能であるかどうかが記録される(対応可である場合は○、対応不可である場合は×)。図10における「攻撃情報」から左の情報は、加工済のログの情報(例:図6)であり、前述したように、発生時刻、発生元のIPアドレスの情報(地域(地図上の位置)を表す情報でもある)等が含まれる。
例えば、FWアクセス制御サービスで使用されるFW製品の機種(例:図10の製品A等)、バージョン毎に、各攻撃に対応できるかどうかが○、×で記録される。
なお、攻撃は未知の場合もあり、パターン2を用いる場合において、製品仕様情報には小分類の攻撃に対する対応可否が記載されていないことも多い。この場合は、分析部32は大分類の情報を用いて確率的に対応可能かどうかの値を算出するようにしてもよい。
例えば、特定のDOS攻撃(これをDOS−Aとする)への対応を考える。大分類のDOS攻撃に対応するものではない製品Aは即座にDOS―Aには対応できないと判定できる。一方、製品Bは大分類のDOS攻撃に対応している製品であり、既知の攻撃の多くに対応しており、かつ振る舞い解析機能も有している。
このため、DOS−Aは未知の攻撃ではあるが製品Bは一定程度の確率で新たなDOS攻撃に対応できることが期待できる。そこで製品Bは例えば50%の確率でこのDOS−A攻撃に対応可能であるという分析結果を該当の攻撃に対して記載してもよい。この場合、図10に示す表において、該当の欄に、○、×ではなく50%といった数値が記載される。
また、過去の対応可否のデータを履歴として記憶しておき、その対応データの値をもとに確率を算出してもよい。例えば4つのDOS攻撃のうち3つに対応できたという実績があれば、その履歴情報に基づいて3/4=75%の確率で対応可能という評価をしてもよい。
分析部32は、上記のようにして、加工済のログに、サービス(具体的にはサービスに使用する製品、ソフトウェア等)が対応可能かどうか(攻撃を回避できるかどうか)の情報を付加して加工済ログを更新し、更新ログとして記憶部32に格納する。なお、図10において、記録する対象とするセキュリティサービスは、例えば、当該可視化サービスを提供する事業者が提供している全セキュリティサービスとしてもよいし、他社も含めた知り得る全てのセキュリティサービスとしてもよい。
(2)契約情報との照合
次に、比較照合部31により実行される更新ログと契約情報との照合について説明する。図11に、分析サーバ30における契約者DB34に格納されている契約情報の例を示す。
図11に示すように、契約者DB34には、契約者IDをキーとして、会社名、住所等の基本的な契約者情報、契約者の産業(流通、金融、メーカー等)、ネットワーク種別(オープンネットワークか、クローズドネットワークか、ハイブリッド型か)といった契約者特有の情報である契約者種別、契約者におけるシステム構成を表す物理構成情報、契約者が契約している各種セキュリティサービスの情報がそれぞれ格納されている。
攻撃として、類似の産業を狙ったもの、類似のネットワークの性質をもったところを狙ったものがあるので、類似のネットワークの性質情報や契約者産業種別のユーザが攻撃されたという情報は、他の契約者にとって有用である。
比較照合部31は、上記の契約者情報(例:図11)と、前述した更新ログ(例:図10)とを比較照合することで、契約者において契約しているサービスにより、それぞれのログで表現される脅威に対して当該契約者におけるネットワーク装置等が対応可能かどうか(攻撃を回避できるかどうか)を判定する。
比較照合部31による判定は、例えば、表示サーバ40から、特定の契約者についての照合を指示されたときに行い、照合結果を表示サーバ40に送信することとしてもよいし、分析サーバ30において予め各契約者について照合処理を行って、照合結果を記憶部33に格納し、表示サーバ40から、特定の契約者についての照合結果要求を受けたときに、当該照合結果を表示サーバ40に送信することとしてもよい。また、比較照合部31を、後述する表示処理部42の一部として表示サーバ40に備え、表示サーバ40にて比較照合処理を行ってもよい。
ここでの照合処理では、例えば、更新ログ(例:図10)において、「FW1」が攻撃Aに対して対応可である場合、契約者情報に基づき、当該契約者は「FW1」を使用するFWアクセス制御サービスを受けていることを把握し、物理構成情報から把握される当該契約者における当該FW1配下の装置に対して攻撃Aへの対応が可能である(回避が可能である)と判断する。また、図10のログにおいて、「ルータ1」が攻撃Bに対して対応可である場合、契約者情報に基づき、当該契約者は「ルータ1」を使用していることを把握し、当該「ルータ1」が攻撃Bに対して対応が可能であると判断するような判断方法もある。なお、これらの判断は一例に過ぎない。
図12に、比較照合により得られる結果の一例を示す。図12に示すように、各攻撃に対し、該当契約者(A001)において使用されている装置が攻撃を回避できるかどうかの情報(対応可:○、対応不可:×)が得られる。
(3.表示動作)
次に、表示サーバ40により行われる表示の動作例について説明する。図13に、表示サーバ40の機能構成図を示す。図13に示すように、表示サーバ40は、表示に必要なデータを取得するデータ取得部44、取得したデータを記憶する記憶部43、ユーザ端末からの表示指示操作を受信する表示指示受信部41、表示指示に基づいて、表示に必要なデータを記憶部43から読み出し、表示用のデータを作成して、ユーザ端末に送信する表示処理部42を備える。次に、上記構成を備える表示サーバ40が実行する表示処理について説明する。
なお、以下の説明で「表示する」とは、表示サーバ40に接続されているユーザ端末に、表示処理部42が表示用データを送ることにより、ユーザ端末において表示を行うことを想定しているが、表示サーバ40のディスプレイに表示することでもよい。また、以下では、特に説明しないかぎり、表示のために用いるデータは、分析サーバ30等から既に取得され、記憶部43に格納されているものとする。
(1)ログ情報の表示の例1
表示サーバ40は、記憶部43から各種ログデータを読み出し、これを表示する。表示方法としては、例えば単にログデータを表にして時系列に表示する。
また、各ログデータには情報取得送信元装置のIPアドレスから抽出した国、地域、会社情報が含まれるため、これを経度、緯度情報にマップしてドット表記すれば世界地図上に表示することも可能である。更に、ログとして攻撃元のIPアドレスの情報も取得する場合は、攻撃の発信元から発信先までの情報とIPアドレスのジオロケーション情報を利用して世界地図上にベクトル表記することもできる。
表示処理部42が、この表示動作をリアルタイムに行うことで、表示を見るユーザは、世界で発生している攻撃状況を俯瞰することができる。
別の見せ方としてベクトル表記の代わりにヒートマップで表示するようにしても良い。また、世界地図の変わりにIPアドレスやAS番号の地図上に表示しても良い。
更に、大分類単位で棒グラフ状の表記をしてもよい。各サービス、装置は大分類単位で対応是非が決まる傾向がある。したがって、あるサービスの契約の有無で、大分類に分類したログへの対応可否の傾向が変化することがよく理解できる。
また、グラフ状の表記とすることで、企業内の説明用の資料としても用いやすい。ログデータは大量になると俯瞰するのは煩雑になるので、攻撃の量をマップするドットの大きさで表現する。また、ネットワークの攻撃と、アプリケーションの攻撃、といった種別の違いを色の違いとして表現することとしてもよい。こうすることで、どこでどのような攻撃が行われているかを俯瞰することができる。この表現は世界地図の例で説明したが、日本地図、ある特定地域といったように、地域分けをして表現してもよい。
(2)ログ情報の表示の例2
表示サーバ40は、特定の契約者に関する分析結果を表示することができる。ここでは、例えば、契約者(ユーザ)がユーザ端末から表示サーバ40にログインする。表示サーバ40のデータ取得部44は、契約者IDをもとに、分析サーバ30から、例えば図12に示した照合結果を取得する。そして、表示処理部42は、収集した全てのセキュリティの脅威(攻撃ログ)のうち、対応可能なログと対応できないログとを選別して表示する。
図14に、全データを表形式で表示する場合の表示の一例(ユーザ端末の画面に表示される画面)を示す。図14に示すように、全データが表形式で表示される場合、契約者における現状のサービスにて対応可能なログとそうでないログとを色をわけて表示する。図14において、斜線部分と斜線がない部分とで色が異なるとする。
全データを世界地図形式で表示する場合、契約者が契約しているセキュリティサービスにより対応可能なログをもうひとつの別の世界地図を用意して同時に(たとえば横に)マッピングして表示することとしてもよい。この表示は、例えば、データ取得部44が、分析サーバ30から、更新ログと契約者情報を取得し、表示処理部42が、契約者が契約しているサービスに基づき、更新ログにおいて、当該サービスにて対応可能な攻撃ログを把握し、それを地図上に表示することで実現できる。
また、フィルタボタンを用意し、ボタンを押下するか否かで、全データのマップと契約者のサービスで対応できた(できない)データとを切り替えるようにしてもよい。
また、図15に示すように、フィルタをスライドバーとし、基本サービス等で対応可能なものから徐々に高度なサービスまで含めて対応可能なものまで表示データを移していくようにしてもよい。つまり、図15において、例えば、スライドバーが左端にある状態(ユーザ端末からの操作(指示)に基づく状態)は、セキュリティサービスを全く適用していない状態もしくは基本サービス(基本的な製品構成等)が適用された状態であり、この場合、(a)に示すように、収集されたログに基づき、発生した攻撃のほぼ全体がドットで表示される。スライドバーを右にずらすにつれて、適用するセキュリティサービスの数を増やし、セキュリティサービスの適用により、対応が可能になった攻撃ログのプロットを画面上から消すようにする。これにより、当該セキュリティサービスで防げない攻撃のみが表示されることになる。
そして、例えば、スライドバーが所定の位置にきたときに、当該契約者が加入するセキュリティサービスと同じセキュリティサービスの状況になるようにして、(b)に示すように、防げない攻撃のみを表示する。
また、スライドバーを右端にずらしたときには、(c)に示すように、当該事業者により提供可能な全セキュリティサービスを適用した場合の状況が表示される。
上記の表示は、表示処理部42が、図10に示す更新ログの情報と、図11に示す契約者情報を用いることにより行うことができる。例えば、スライドバーの位置と適用するセキュリティサービスの数と種類を対応付けておき、現時点のスライドバーの位置に対応するセキュリティサービスにて対応できない攻撃ログを地図上にプロットすればよい。また、特に、スライドバーが決められた位置に来たときには、契約者情報を参照して、契約者が契約するセキュリティサービスで対応できない攻撃ログを地図上にプロットすればよい。
上記のような表示を行うことで、ユーザは、自身が契約しているかどうかにかかわらず、セキュリティ事業者が提供しているどのセキュリティサービスでリスク回避ができるかどうかを把握することが可能となる。なお、上記の例では、回避できない攻撃のみを表示しているが、回避できる攻撃のみを表示することとしてもよい。
また、サービス単位でチェックボックス形式で選択し、チェックしたサービスで回避できる攻撃を画面に表示しないようにすることで、どのサービスを契約するとどれくらい攻撃を回避できるかの遷移をわかりやすく表示しても良い。
また、攻撃への対応可否を〇×のような2値でなく、確率的に数値で評価する場合には、表示上もドット表示の透明度を薄くすることで、確率的な攻撃対応の度合を視覚的に把握可能にするようにしてもよい。
また、例えば、図16に示すように、横軸を時期、縦軸を攻撃の数としたグラフを表示してもよい。このグラフには、セキュリティサービスを示すチェックボックスが付されており、あるチェックボックスをチェックすることで、該当のセキュリティサービスを適用させ、対応可となった数だけ攻撃数を減少させた表示とすることができる。この表示についても、攻撃時期を含む図10の更新ログから実施可能である。
本実施の形態では契約者の対応可否のログの比較対象をあらゆる世界中のログデータとしたが、比較対象の母集合を特定の事業者の契約者全体としてもよい。特に標的型の攻撃については、契約者全体を母集合とすることのメリットがある。
契約者全体のログを表示する際には、契約者個人のデータが特定できないよう、データの平均化、秘匿化、図示化などの方法で抽象的に表現することが望ましい。
また、契約者によってはデータを共有することを躊躇する可能性もある。そこでデータの共有を許可したユーザにのみ、本サービスの提供を可能とするよう、本サービスへのアクセス権とユーザデータを全データとして取り込むか否かのフラグを対応させて記憶しておくようにしてもよい。
本実施の形態によれば、契約者は、自らが対価を支払っているセキュリティサービスの価値を体感することが可能となり、さらに現在自分には起きていないが将来自らのネットワークに発生するかもしれない脅威に対して予防的により高度なセキュリティサービスを受けなければならないというモチベーションを顧客に与え、高度なセキュリティサービスへの加入意欲の促進につなげることができる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
10 社会ログ収集サーバ
20 NWログ収集サーバ
40 表示サーバ
30 分析サーバ
100 ネットワーク
200 ネットワーク
11 収集部
12 抽出部
13 補完データ補充部
14 記憶部
21 収集部
22 記憶部
32 分析部
33 記憶部
34 契約者DB
31 比較照合部
41 表示指示受信部
42 表示処理部
43 記憶部
44 データ取得部

Claims (6)

  1. セキュリティサービスによる効果を表示するためのセキュリティサービス効果表示システムであって、
    ネットワーク上の攻撃に関する情報を収集する攻撃情報収集手段と、
    前記攻撃情報収集手段により収集された攻撃に関する情報と、所定の複数のセキュリティサービスにおける各セキュリティサービスについての当該攻撃を回避することが可能か否かを示す情報とを対応付けた回避可否情報を生成する生成手段と、
    前記生成手段により生成された回避可否情報に基づき、特定のセキュリティサービスが適用されることにより回避される攻撃又は回避されない攻撃を含む情報を表示する表示処理手段と
    を備えることを特徴とするセキュリティサービス効果表示システム。
  2. 前記表示処理手段は、特定のユーザが使用しているセキュリティサービスを特定する情報を含む加入者情報と、前記回避可否情報とを比較することにより、当該特定のユーザが使用しているセキュリティサービスに関して、回避される攻撃又は回避されない攻撃を含む情報を表示する
    ことを特徴とする請求項1に記載のセキュリティサービス効果表示システム。
  3. 前記回避可否情報は、攻撃の発生した位置に関する情報を含み、前記表示処理手段は、特定のセキュリティサービスが適用されることにより回避される攻撃又は回避されない攻撃を含む情報として、回避されない攻撃をマッピングしたマップ情報を表示する
    ことを特徴とする請求項1又は2に記載のセキュリティサービス効果表示システム。
  4. 前記表示処理手段は、ユーザからの指示に基づいて、適用されるセキュリティサービスの数を変更し、変更後のセキュリティサービにより回避される攻撃又は回避されない攻撃を含む情報を表示する
    ことを特徴とする請求項1ないし3のうちいずれか1項に記載のセキュリティサービス効果表示システム。
  5. セキュリティサービスによる効果を表示するためのセキュリティサービス効果表示システムが実行するセキュリティサービス効果表示方法であって、
    ネットワーク上の攻撃に関する情報を収集する攻撃情報収集ステップと、
    前記攻撃情報収集ステップにより収集された攻撃に関する情報と、所定の複数のセキュリティサービスにおける各セキュリティサービスについての当該攻撃を回避することが可能か否かを示す情報とを対応付けた回避可否情報を生成する生成ステップと、
    前記生成ステップにより生成された回避可否情報に基づき、特定のセキュリティサービスが適用されることにより回避される攻撃又は回避されない攻撃を含む情報を表示する表示処理ステップと
    を備えることを特徴とするセキュリティサービス効果表示方法。
  6. コンピュータを、請求項1ないし4のうちいずれか1項におけるセキュリティサービス効果表示システムにおける各手段として機能させるためのセキュリティサービス効果表示プログラム。
JP2013154578A 2013-07-25 2013-07-25 セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム Pending JP2015026182A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013154578A JP2015026182A (ja) 2013-07-25 2013-07-25 セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013154578A JP2015026182A (ja) 2013-07-25 2013-07-25 セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム

Publications (1)

Publication Number Publication Date
JP2015026182A true JP2015026182A (ja) 2015-02-05

Family

ID=52490806

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013154578A Pending JP2015026182A (ja) 2013-07-25 2013-07-25 セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム

Country Status (1)

Country Link
JP (1) JP2015026182A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017167695A (ja) * 2016-03-15 2017-09-21 三菱電機株式会社 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
JP2017216664A (ja) * 2016-06-02 2017-12-07 アラクサラネットワークス株式会社 パケット中継装置
JPWO2020054818A1 (ja) * 2018-09-14 2021-04-30 株式会社東芝 通信制御装置
JP2021099589A (ja) * 2019-12-20 2021-07-01 株式会社日立製作所 情報セキュリティ支援システム、情報セキュリティ支援方法
US11611575B2 (en) 2017-06-29 2023-03-21 Nec Corporation Attack situation visualization device, attack situation visualization method and recording medium
US12050694B2 (en) 2019-06-06 2024-07-30 Nec Corporation Rule generation apparatus, rule generation method, and computer-readable recording medium
US12126641B2 (en) 2023-02-08 2024-10-22 Nec Corporation Attack situation visualization device, attack situation visualization method and recording medium

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017167695A (ja) * 2016-03-15 2017-09-21 三菱電機株式会社 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
JP2017216664A (ja) * 2016-06-02 2017-12-07 アラクサラネットワークス株式会社 パケット中継装置
US10693890B2 (en) 2016-06-02 2020-06-23 Alaxala Networks Corporation Packet relay apparatus
US11611575B2 (en) 2017-06-29 2023-03-21 Nec Corporation Attack situation visualization device, attack situation visualization method and recording medium
JPWO2020054818A1 (ja) * 2018-09-14 2021-04-30 株式会社東芝 通信制御装置
JP7068482B2 (ja) 2018-09-14 2022-05-16 株式会社東芝 通信制御システム
US12050694B2 (en) 2019-06-06 2024-07-30 Nec Corporation Rule generation apparatus, rule generation method, and computer-readable recording medium
JP2021099589A (ja) * 2019-12-20 2021-07-01 株式会社日立製作所 情報セキュリティ支援システム、情報セキュリティ支援方法
JP7245765B2 (ja) 2019-12-20 2023-03-24 株式会社日立製作所 情報セキュリティ支援システム、情報セキュリティ支援方法
US12126641B2 (en) 2023-02-08 2024-10-22 Nec Corporation Attack situation visualization device, attack situation visualization method and recording medium

Similar Documents

Publication Publication Date Title
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US11765198B2 (en) Selecting actions responsive to computing environment incidents based on severity rating
US11388198B2 (en) Collaborative database and reputation management in adversarial information environments
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US10944795B2 (en) Rating organization cybersecurity using active and passive external reconnaissance
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
US9832213B2 (en) System and method for network intrusion detection of covert channels based on off-line network traffic
US20240267402A1 (en) Detecting kerberos ticket attacks within a domain
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US20220014561A1 (en) System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling
US10129276B1 (en) Methods and apparatus for identifying suspicious domains using common user clustering
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
JP2015026182A (ja) セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム
US10659335B1 (en) Contextual analyses of network traffic
CN110149318B (zh) 邮件元数据的处理方法及装置、存储介质、电子装置
US20240241752A1 (en) Risk profiling and rating of extended relationships using ontological databases
CN104640105A (zh) 手机病毒分析和威胁关联的方法和系统
JP2015130153A (ja) リスク分析装置及びリスク分析方法及びリスク分析プログラム
US11133977B2 (en) Anonymizing action implementation data obtained from incident analysis systems
Kuzuno et al. Detecting advertisement module network behavior with graph modeling
US10757117B1 (en) Contextual analyses of network traffic
US20240195841A1 (en) System and method for manipulation of secure data