JP2015130153A - リスク分析装置及びリスク分析方法及びリスク分析プログラム - Google Patents

リスク分析装置及びリスク分析方法及びリスク分析プログラム Download PDF

Info

Publication number
JP2015130153A
JP2015130153A JP2014238984A JP2014238984A JP2015130153A JP 2015130153 A JP2015130153 A JP 2015130153A JP 2014238984 A JP2014238984 A JP 2014238984A JP 2014238984 A JP2014238984 A JP 2014238984A JP 2015130153 A JP2015130153 A JP 2015130153A
Authority
JP
Japan
Prior art keywords
information
information asset
route
risk
asset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014238984A
Other languages
English (en)
Inventor
武 植田
Takeshi Ueda
武 植田
泉 幸雄
Yukio Izumi
幸雄 泉
純子 中嶋
Junko Nakajima
純子 中嶋
鐘治 桜井
Shoji Sakurai
鐘治 桜井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2014238984A priority Critical patent/JP2015130153A/ja
Publication of JP2015130153A publication Critical patent/JP2015130153A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】リスク分析の精度向上を図る。【解決手段】リスク分析装置100において、システム構成記憶部102は、分析対象システムの構成を示す情報を記憶する。情報資産存在箇所特定部105は、システム構成記憶部102に記憶された情報に基づいて、分析対象システムで情報資産が送受信される経路を算出する。リスク値算出部110は、分析対象システムを構成する複数の要素のうち、情報資産存在箇所特定部105で算出された経路上の要素ごとに、情報資産に対して存在するセキュリティ上のリスクを表すリスク値を算出する。【選択図】図1

Description

本発明は、リスク分析装置及びリスク分析方法及びリスク分析プログラムに関するものである。
近年、機密情報や個人情報の漏洩事件の発生や個人情報保護法の施行等により、情報保護への関心が高まっている。企業が運用するシステムはもとより開発を行うシステムや製品についても、情報漏洩等のセキュリティ事故が発生することがないように、対策すべきセキュリティ脅威やそのリスクを明確にする必要がある。IT(情報技術)システムでリスクを明確にするには、分析する対象のシステムや製品で扱われる情報資産とそのセキュリティ対策を洗い出して、それぞれの情報資産のセキュリティが侵害されるリスクを評価する必要がある。しかし、この作業は、人手で行う必要があり、管理者やシステムの利用者に多大な負荷となっていた。
従来、情報システムのリスクを分析するための装置が提案されている。従来の装置は、セキュリティ対策の達成程度、情報資産の価値及びカテゴリをユーザに入力させ、データベースで事前に定義したセキュリティ対策とそれに関連する脆弱性、その脆弱性が関連する資産のカテゴリ及びその脆弱性が関連する脅威の情報に基づいて、脆弱性と脅威とを抽出する。そして、ユーザが入力したセキュリティ対策の達成程度を表す値と資産の価値、さらに、抽出した脆弱性の大きさを表す脆弱性値、抽出した脅威の大きさを表す脅威値に基づいて、脆弱性ごとのリスク値を算出する(例えば、特許文献1参照)。
特開2005−135239号公報
従来の装置では、資産が利用されるシステムの構成等が考慮されていないため、存在し得ない脆弱性、発生し得ない脅威が抽出されるという課題があった。また、システム構成を考慮せずに、脆弱性値や脅威値が算出されるため、正しいリスク値が算出されないという課題もあった。
本発明は、例えば、リスク分析の精度向上を図ることを目的とする。
本発明の一の態様に係るリスク分析装置は、
情報資産を利用する機器を含む複数の要素から構成されたシステムで前記情報資産に対して存在するセキュリティ上のリスクを分析するリスク分析装置であり、
前記システムの構成を示す情報を記憶するシステム構成記憶部と、
前記システム構成記憶部に記憶された情報に基づいて、前記システムで前記情報資産が送受信される経路を算出する経路算出部と、
前記複数の要素のうち、前記経路算出部で算出された経路上の要素ごとに、前記情報資産に対して存在するセキュリティ上のリスクを表すリスク値を算出するリスク値算出部とを備える。
本発明では、システム構成に応じたリスク分析を行うため、精度の高いリスク値を算出できる。
実施の形態1に係るリスク分析装置の構成を示すブロック図。 実施の形態1に係るリスク分析装置の動作の概要を示すフローチャート。 分析対象システムの一例を示す図。 システム構成に関する情報の一例を示す表。 情報資産に関する情報の一例を示す表。 図2のステップS130の詳細を示すフローチャート。 システム構成を表すグラフの一例を示す図。 情報資産の利用形態がマッピングされたグラフの一例を示す図。 情報資産の利用形態がマッピングされたグラフの一例を示す図。 情報資産の利用形態がマッピングされたグラフの一例を示す図。 情報資産が通過する経路の一例を示す図。 情報資産が通過する経路の一例を示す図。 情報資産が通過する経路の一例を示す図。 情報資産の存在箇所を算出した結果の一例を示す表。 脆弱性及び脅威の定義の一例を示す表。 実施の形態2に係るリスク分析装置の構成を示すブロック図。 アクセス制御の有無に関する情報の一例を示す表。 実施の形態3に係るリスク分析装置の構成を示すブロック図。 分析対象システムの一例を示す図。 システム構成に関する情報の一例を示す表。 情報資産に関する情報の一例を示す表。 システム構成を表すグラフの一例を示す図。 情報資産の利用形態がマッピングされたグラフの一例を示す図。 情報資産の利用形態がマッピングされたグラフの一例を示す図。 情報資産が通過する経路の一例を示す図。 情報資産が通過する経路の一例を示す図。 情報資産の存在箇所を算出した結果の一例を示す表。 実施の形態5に係るリスク分析装置の構成を示すブロック図。 システム構成を表すグラフの一例を示す図。 アクセス制御の有無に関する情報の一例を示す表。 有向グラフの一例を示す図。 実施の形態1〜5に係るリスク分析装置のハードウェア構成の一例を示す図。
以下、本発明の実施の形態について、図を用いて説明する。
実施の形態1.
図1は、本実施の形態に係るリスク分析装置100の構成を示すブロック図である。
リスク分析装置100は、情報資産を利用(例えば、入力、出力、保存)する機器を含む複数の要素(以下、「構成要素」ともいう)から構成されたシステムで情報資産に対して存在するセキュリティ上のリスクを分析する装置である。後述するように、情報資産としては、文書ファイル、認証情報、権限情報等がある。情報資産を利用する機器としては、端末、サーバ等がある。システムを構成する要素としては、情報資産を利用する機器のほか、情報資産を単に転送する(転送のための受信、送信、一時的な記憶の動作は「利用」に該当しないものとする)通信機器等がある。1つのシステムを構成する複数の要素に、情報資産を利用する機器が少なくとも1つ含まれていれば、本実施の形態を適用することができるが、以下では、便宜的に、情報資産を利用する機器が複数含まれているものとする。また、必須ではないが、情報資産を利用せずに伝送する通信路も1つの要素として扱うものとする。
図1に示すように、リスク分析装置100は、システム構成入力部101、システム構成記憶部102、情報資産入力部103、情報資産記憶部104、情報資産存在箇所特定部105(経路算出部の例)、脆弱性/脅威抽出部106(データ抽出部の例)、脆弱性/脅威データベース107(データベースの例)、発生可能性入力部108、発生可能性記憶部109、リスク値算出部110、リスク値出力部111を備える。
図2は、リスク分析装置100の動作(本実施の形態に係るリスク分析方法、本実施の形態に係るリスク分析プログラムの処理手順)の概要を示すフローチャートである。
まず、図2のステップS110において、システム構成入力部101は、リスク分析の対象となるシステム(以下、「分析対象システム」という)のシステム構成に関する情報を入力する。入力されたシステム構成に関する情報は、システム構成記憶部102に記憶される。
システム構成入力部101は、情報の入力形態として、ユーザから情報の入力を受け付ける形態をとってもよいし、外部から情報を受信する形態をとってもよいし、その他の形態をとってもよい。
例えば、図3に示すシステムが分析対象システムであれば、システム構成入力部101が入力するシステム構成に関する情報は、図4に示すような形式でシステム構成記憶部102に記憶される。
システム構成に関する情報には、少なくとも分析対象システムの構成要素の名称、構成要素の種別(サーバ、端末、通信機器、通信路等の分類を表す)、構成要素がネットワーク上で直接接続される他の構成要素を示す情報が含まれている。
次に、図2のステップS120において、情報資産入力部103は、情報資産に関する情報を入力する。入力された情報資産に関する情報は、情報資産記憶部104に記憶される。
情報資産入力部103は、情報の入力形態として、ユーザから情報の入力を受け付ける形態をとってもよいし、外部から情報を受信する形態をとってもよいし、その他の形態をとってもよい。
例えば、図3に示すシステムが分析対象システムであれば、情報資産入力部103が入力する情報資産に関する情報は、図5に示すような形式で情報資産記憶部104に記憶される。
情報資産に関する情報には、少なくとも分析対象システムで扱われる情報資産の名称、情報資産の価値、情報資産を利用する構成要素の名称、その構成要素上での利用形態を示す情報が含まれている。情報資産の価値としては、該当する情報資産のセキュリティが侵害された場合に、分析対象システムに及ぶ影響の度合を定性的に評価し、その評価に基づいて導き出した値が設定される。図5に示した例では、情報資産の価値には、情報セキュリティの基本的な要素である機密性(C)、完全性(I)、可用性(A)の観点で影響の度合を評価した値が、「0」、「1」、「2」、「3」の4段階で設定される。「0」は、該当する情報資産に対してセキュリティ侵害が発生しても、該当する情報セキュリティの要素(以下、「セキュリティ要素」という)に対する影響がないことを示す。「1」〜「3」は、セキュリティ侵害が発生した場合に、該当するセキュリティ要素に影響が生じることを示し、その値が大きいほど影響の度合が大きいことを示す。構成要素上での利用形態としては、本例では「保存」、「入力」、「出力」の3つの分類が存在する。利用形態が「保存」の場合は、該当する構成要素において、該当する情報資産がその構成要素上の記憶装置に長い間記憶されることを意味する。利用形態が「入力」の場合には、該当する構成要素において、該当する情報資産が入力されるが、その構成要素上の記憶装置には永続的に記憶されないことを意味する。例えば、端末にパスワードを入力すること等が該当する。利用形態が「出力」の場合には、該当する構成要素において、該当する情報資産が出力されるが、その構成要素上の記憶装置には永続的に記憶されないことを意味する。例えば、ファイルの内容を端末のディスプレイに表示すること等が該当する。
次に、図2のステップS130において、情報資産存在箇所特定部105は、ステップS110でシステム構成記憶部102に記憶されたシステム構成に関する情報とステップS120で情報資産記憶部104に記憶された情報資産に関する情報とを利用して、情報資産が一時でも存在する構成要素を特定する。
ここで、ステップS130の詳細を図6に示す。
まず、図6のステップS131において、情報資産存在箇所特定部105は、システム構成記憶部102に記憶されたシステム構成に関する情報に基づいて、各構成要素をノード(頂点)とし、構成要素間の接続関係をエッジ(辺)とする集合で構成するグラフを作成する。例えば、図4に示したシステム構成に関する情報を使った場合には、図7に示すようなグラフが作成される。
次に、図6のステップS132において、情報資産存在箇所特定部105は、情報資産記憶部104に記憶された情報資産に関する情報に基づき、各情報資産について、どの構成要素で情報資産がどのように利用されるかという情報を、ステップS131で作成したグラフにマッピングする。例えば、図5に示した情報資産に関する情報を使って図7に示したグラフに情報資産の利用形態をマッピングした場合には、図8〜10に示すような3つのグラフが作成される。図8は、文書ファイルの利用形態がマッピングされたグラフ、図9は、認証情報の利用形態がマッピングされたグラフ、図10は、権限情報の利用形態がマッピングされたグラフを例示している。
次に、図6のステップS133,S134において、情報資産存在箇所特定部105は、各情報資産が存在する構成要素を求める。まず、情報資産存在箇所特定部105は、ステップS132で情報資産の利用形態をマッピングしたグラフを使って、情報資産が通過する構成要素を情報資産ごとに算出する。情報資産が通過する構成要素の算出は、その情報資産の利用形態がマッピングされた構成要素間の経路を求めることで行う。情報資産が通過する経路が算出できたら、その経路上に存在する構成要素(利用形態がマッピングされた構成要素を含む)を、情報資産が存在する構成要素として抽出できる。
ステップS133では、情報資産存在箇所特定部105が、情報資産が通過する経路を算出する。本実施の形態では、始点とする構成要素での利用形態と、終点とする構成要素での利用形態との組み合わせを、保存→保存、保存→出力、入力→保存、入力→出力に限定し、これらの組み合わせの経路のみを算出する。なお、ある構成要素から他の構成要素までの経路が複数存在する場合には、最短経路のみを情報資産が構成要素を通過する経路として抽出する。2つのノード間の最短経路は、グラフ理論の二頂点対最短経路問題を解くことで求められる。本実施の形態で求める最短経路は、特定のノードから他のノードに対する最短経路を求める単一始点最短経路問題を解き、その結果を限定することで得ることができる。よって、単一始点最短経路問題を解くアルゴリズムである「ダイクストラ法」もしくは「ベルマン−フォード法」を使って、始点とした構成要素から他の全ての構成要素への最短経路を求めた後に、始点とした構成要素(即ち、「保存」又は「入力」がマッピングされた構成要素)と、終点とした構成要素(即ち、「保存」又は「出力」がマッピングされた構成要素)との組み合わせの経路だけを選択することで、情報資産が構成要素を通過する経路を算出できる。このとき、構成要素間の接続関係を表すエッジは、それぞれを通過するコストが全て同じ値であるとして算出を行う。算出した経路の結果から、その経路上に存在する構成要素を情報資産が通過する構成要素として算出する。例えば、図8〜10に示したグラフに対して、最短経路を求めた結果をそれぞれ図11〜13に示す。図11は、文書ファイルが通過する経路、図12は、認証情報が通過する経路、図13は、権限情報が通過する経路を例示している。
ステップS134では、情報資産存在箇所特定部105が、ステップS133で求めた情報資産が通過する経路の結果を使って、情報資産の存在箇所を算出する。情報資産の存在箇所としては、情報資産が通過する経路上にある構成要素を算出する。本実施の形態では、情報資産が存在する場所を求めるとともに、その利用形態の違いにより、攻撃を受ける可能性の高低を区別する。ある構成要素上でその情報資産の利用形態が保存又は出力である場合には、その構成要素に情報資産が比較的長い期間存在するため、攻撃を受ける可能性が高いものとして扱う。逆に、ある構成要素上でその情報資産の利用形態が入力であるか又はその情報資産が利用されず単に通過する場合には、その構成要素に情報資産が存在する期間は短いため、攻撃を受ける可能性が低いものとして扱う。例えば、図11〜13に示した経路に対して、情報資産の存在箇所を算出した結果を図14に示す。図14に示した例では、「H」もしくは「L」が付いている構成要素が、情報資産が存在する箇所である。情報資産が保存又は出力される構成要素には「H」を付け、情報資産が入力されるか又は単に通過する構成要素には「L」を付けて区別している。
次に、図2のステップS140において、脆弱性/脅威抽出部106は、脆弱性/脅威データベース107から、各情報資産が関連する脆弱性及び脅威を各構成要素について抽出する。脆弱性/脅威データベース107は、例えば、図15に示すような形式で脆弱性及び脅威の定義を示すデータを記憶する。図15に示した例では、脆弱性又は脅威を識別するための脆弱性/脅威ID、脆弱性又は脅威の内容、その脆弱性が存在する場合又はその脅威が発生した場合に情報資産のどのセキュリティ要素(C:機密性、I:完全性、A:可用性)に影響するかを示すフラグ情報、その脆弱性がどの構成要素に存在し得るか又はその脅威がどの構成要素に発生し得るか(即ち、構成要素の種別に脆弱性又は脅威が関連するか否か)を示すフラグ情報等が設定されている。
ステップS140では、脆弱性/脅威抽出部106が、分析対象システム上の全ての情報資産について、ステップS134の結果に基づき、該当する情報資産が存在すると判定された構成要素で存在する可能性がある脆弱性、発生する可能性がある脅威を抽出する。このとき、脆弱性/脅威抽出部106は、ステップS110で入力されたシステム構成に関する情報に基づき、分析対象システムの各構成要素について、脆弱性/脅威データベース107で該当する構成要素の種別にフラグがたっている脆弱性及び脅威を抽出する。例えば、ファイルサーバは構成要素の種別がサーバであるため、図15を参照すると、脆弱性/脅威IDが「VT01−01」、「VT02−01」、「VT02−02」の脆弱性又は脅威が関係することになる。即ち、ファイルサーバに存在する可能性のある脆弱性、発生する可能性のある脅威は、「VT01−01」、「VT02−01」、「VT02−02」によって識別されるものとなる。
なお、脆弱性/脅威抽出部106は、抽出を行う際に、情報資産の利用形態が入力である構成要素と、情報資産が単に通過する構成要素については、構成要素の種別を通信路として扱ってもよい。例えば、認証情報に関しては、利用形態が入力である業務端末Aを通信路として扱い、業務端末Aに関係する脆弱性及び脅威を「VT01−02」、「VT02−01」とする。通信路ではデータが保存されることがないため、関係する脆弱性及び脅威の種類は少なくなると考えられる。
次に、図2のステップS150において、発生可能性入力部108は、ステップS140で抽出された脆弱性が存在する可能性、ステップS140で抽出された脅威が発生する可能性を、それぞれ相対的な値で表す発生可能性を入力する。入力された発生可能性は、発生可能性記憶部109に記憶される。例えば、発生可能性は、「1」、「2」、「3」の3段階で設定され、その値が大きいほど可能性が高いことを示す。
発生可能性入力部108は、発生可能性の入力形態として、ユーザから発生可能性の入力を受け付ける形態をとってもよいし、外部から発生可能性を受信する形態をとってもよいし、その他の形態をとってもよい。
次に、図2のステップS160において、リスク値算出部110は、分析対象システム上の全ての情報資産について、ステップS130で該当する情報資産が存在する(即ち、利用されるか、あるいは、通過する)と判定された構成要素における脆弱性及び脅威のセキュリティ要素(機密性、完全性、可用性)ごとのリスク値を算出する。リスク値の算出は、ステップS120で入力された情報資産の価値と、ステップS150で入力された脆弱性及び脅威の発生可能性に基づいて行う。例えば、リスク値は、情報資産の価値と脆弱性及び脅威の発生可能性との積とする。
図5に示した例では、ステップS120で入力された、機密性、完全性、可用性に関する文書ファイルの価値が「3」、機密性、完全性に関する認証情報及び権限情報の価値が「3」、可用性に関する認証情報及び権限情報の価値が「2」となっている。ここで、ステップS150で入力された、ファイルサーバにおける「VT01−01」の不正アクセスの発生可能性が「3」であったとする。この場合、文書ファイルに関して、ファイルサーバで「VT01−01」の不正アクセスが発生することの機密性、完全性、可用性に対するリスク値は、価値「3」×発生可能性「3」=「9」となる。認証情報及び権限情報に関して、ファイルサーバで「VT01−01」の不正アクセスが発生することの機密性、完全性のリスク値も、価値「3」×発生可能性「3」=「9」となる。一方、認証情報及び権限情報に関して、ファイルサーバで「VT01−01」の不正アクセスが発生することの可用性のリスク値は、価値「2」×発生可能性「3」=「6」となる。
最後に、図2のステップS170において、リスク値出力部111は、分析対象システム上の全ての情報資産について、ステップS160で算出された各構成要素における脆弱性及び脅威のセキュリティ要素ごとのリスク値を出力する。
以上のように、本実施の形態において、システム構成記憶部102は、分析対象システムの構成を示す情報(例えば、図4に示した情報)を記憶する。情報資産存在箇所特定部105は、システム構成記憶部102に記憶された情報に基づいて、分析対象システムで情報資産が送受信される経路(例えば、図11〜13に示した経路)を算出する。リスク値算出部110は、分析対象システムを構成する複数の要素のうち、情報資産存在箇所特定部105で算出された経路上の要素ごとに、情報資産に対して存在するセキュリティ上のリスクを表すリスク値を算出する。このように、本実施の形態では、分析対象システムの構成に応じたリスク分析を行うため、精度の高いリスク値を算出できる。
また、本実施の形態において、情報資産記憶部104は、情報資産を利用する機器の各々における情報資産の利用形態を示す情報(例えば、図5に示した情報)を記憶する。情報資産存在箇所特定部105は、システム構成記憶部102に記憶された情報と情報資産記憶部104に記憶された情報とに基づいて、経路を算出する。このように、本実施の形態では、分析対象システムの構成だけでなく、各構成要素での情報資産の利用形態に応じたリスク分析を行うため、より精度の高いリスク値を算出できる。つまり、本実施の形態では、入力したシステム構成の情報と情報資産の利用形態の情報とに基づいて、情報資産が通過する構成要素を特定することで、情報資産が存在する箇所を特定することができ、情報資産が存在しない箇所をリスク分析の対象から除外して、リスク分析の精度を高めることができる。
例えば、情報資産存在箇所特定部105は、情報資産記憶部104に記憶された情報が、情報資産を利用する機器のうち1つの機器における情報資産の利用形態として、当該1つの機器が情報資産を入力することを示すとともに、他の1つの機器における情報資産の利用形態として、当該他の1つの機器が情報資産を保存又は出力することを示す情報である場合、当該1つの機器を始点、当該他の1つの機器を終点として経路を算出する。
また、例えば、情報資産存在箇所特定部105は、情報資産記憶部104に記憶された情報が、情報資産を利用する機器のうち1つの機器における情報資産の利用形態として、当該1つの機器が情報資産を入力又は保存することを示すとともに、情報資産を利用する機器のうち他の1つの機器における情報資産の利用形態として、当該他の1つの機器が情報資産を出力することを示す情報である場合、当該1つの機器を始点、当該他の1つの機器を終点として経路を算出する。
なお、情報資産存在箇所特定部105は、上記以外の利用形態に応じて、どの機器を始点とし、どの機器を終点とするかを決定してもよい。
例えば、情報資産存在箇所特定部105は、最短経路を算出する。これにより、特にシステム構成が複雑な場合に、存在箇所の特定にかかる手間の削減と誤りの防止を図ることができる。
本実施の形態において、脆弱性/脅威データベース107は、分析対象システムを構成する複数の要素の種別ごとに、各要素における脆弱性の種類と各要素に対する脅威の種類とを示すデータ(例えば、図15に示した定義)を記憶する。脆弱性/脅威抽出部106は、脆弱性/脅威データベース107を参照して、情報資産存在箇所特定部105で算出された経路上の要素における脆弱性の種類と当該要素に対する脅威の種類とを抽出する。リスク値算出部110は、情報資産存在箇所特定部105で算出された経路上の要素ごとに、脆弱性/脅威抽出部106で抽出された脆弱性の種類と脅威の種類とに応じて、リスク値を算出する。このように、本実施の形態では、分析対象システムの各構成要素の種別ごとに、脆弱性の種類と脅威の種類とを抽出した上でリスク分析を行うため、より精度の高いリスク値を算出できる。つまり、本実施の形態では、情報資産が存在する箇所の構成要素の種類に基づいて、脆弱性及び脅威の選定を行うことで、存在し得ない脆弱性、発生し得ない脅威をリスク分析の対象から除外して、リスク分析の精度を高めることができる。
例えば、脆弱性/脅威抽出部106は、情報資産存在箇所特定部105で算出された経路上の要素のうち、情報資産を入力又は転送する要素の種別を通信路として扱う。これにより、情報資産を利用する期間が長い箇所について、相対的にリスクを高く評価する仕組みを容易に実現することができる。
本実施の形態において、発生可能性入力部108は、情報資産存在箇所特定部105で算出された経路上の要素ごとに、脆弱性/脅威抽出部106で抽出された脆弱性の種類と脅威の種類とによってセキュリティの侵害が発生する可能性を示す情報を入力する。リスク値算出部110は、情報資産存在箇所特定部105で算出された経路上の要素ごとに、発生可能性入力部108で入力された情報に基づいて、リスク値を算出する。このように、本実施の形態では、脆弱性が存在する可能性と脅威が発生する可能性とを考慮してリスク分析を行うため、より精度の高いリスク値を算出できる。
実施の形態2.
本実施の形態について、主に実施の形態1との差異を説明する。
図16は、本実施の形態に係るリスク分析装置100の構成を示すブロック図である。
図16に示すように、リスク分析装置100は、図1に示した各部に加えて、アクセス制御入力部112、アクセス制御記憶部113を備える。
以下では、リスク分析装置100の実施の形態1に対する差分の動作について説明する。
アクセス制御入力部112は、少なくとも図2のステップS110でシステム構成に関する情報が入力された後に、アクセス制御に関する情報を入力する。入力されたアクセス制御に関する情報は、アクセス制御記憶部113に記憶される。
アクセス制御入力部112は、情報の入力形態として、ユーザから情報の入力を受け付ける形態をとってもよいし、外部から情報を受信する形態をとってもよいし、その他の形態をとってもよい。
アクセス制御に関する情報は、分析対象システムの構成要素間の接続関係ごとに設定することができる。例えば、アクセス制御に関する情報は、図17に示すような形式でアクセス制御記憶部113に記憶される。図17に示した例では、インターネット(ネットワークの例)と、インターネットに直接接続しているFW(ファイヤウォール)との間の接続関係について、通信方向を区別してアクセス制御の有無を指定している。
アクセス制御記憶部113に記憶されたアクセス制御に関する情報は、図6のステップS133において、情報資産が通過する経路の算出時に利用される。具体的には、アクセス制御の有無が構成要素間の接続関係を表すエッジを通過する際のコストの増減に使われる。アクセス制御がある場合には、その通過コストを高くすることで選択される経路に影響を及ぼすことができる。
以上のように、本実施の形態において、情報資産存在箇所特定部105は、分析対象システムを構成する複数の要素のうち、アクセス制御が行われる要素間の距離(物理的な距離に限らず、任意に設定できる)を他の要素間の距離より長くして経路を算出する。このように、本実施の形態では、入力したアクセス制御の有無に関する情報を、情報資産が通過する経路の算出で利用されるグラフ上のエッジ間のコスト増減に活用することで、情報資産が存在する構成要素の抽出精度が向上し、ひいては脆弱性及び脅威の抽出結果の精度を向上させることができる。
実施の形態3.
本実施の形態について、主に実施の形態2との差異を説明する。
図18は、本実施の形態に係るリスク分析装置100の構成を示すブロック図である。
図18に示すように、リスク分析装置100は、図2に示した各部に加えて、対策入力部114、対策記憶部115を備える。
以下では、リスク分析装置100の実施の形態2に対する差分の動作について説明する。
対策入力部114は、少なくとも図2のステップS110でシステム構成に関する情報が入力された後に、分析対象システムで実施されている対策機能に関する情報を入力する。入力された対策機能に関する情報は、対策記憶部115に記憶される。
対策入力部114は、情報の入力形態として、ユーザから情報の入力を受け付ける形態をとってもよいし、外部から情報を受信する形態をとってもよいし、その他の形態をとってもよい。
対策機能に関する情報には、少なくとも対策機能が実施されている構成要素、その構成要素を情報資産が通過した場合の発生可能性への影響度、対策機能が関連する情報資産に関する情報が含まれている。発生可能性への影響度は、情報資産の価値と同様に、セキュリティ要素である機密性(C)、完全性(I)、可用性(A)の観点で設定される。本実施の形態では、影響度として、セキュリティ要素に対する影響の有無のみが指定されるものとするが、セキュリティ要素に対する影響の大きさを相対的に評価した値が指定されてもよい。
対策記憶部115に記憶された対策機能に関する情報は、図2のステップS160において、図2のステップS150で入力された発生可能性の値の補正を行うために利用される。具体的には、発生可能性への影響がある対策機能が実施されている構成要素に関係する脆弱性及び脅威について一律で発生可能性が下方修正される。なお、補正の際に、情報資産が入力されるか又は通過するだけであるか、保存又は出力されかによって、影響の有無を変更してもよい。
以上のように、本実施の形態において、リスク値算出部110は、分析対象システムを構成する複数の要素のうち、セキュリティ対策が施されている要素について、発生可能性入力部108で入力された情報を補正する。これにより、リスク分析の精度をより一層高めることができる。
実施の形態4.
本実施の形態について、主に実施の形態1との差異を説明する。
本実施の形態では、情報資産の利用形態として、「保存」、「入力」、「出力」の3つの分類のほかに、「中継」という別の分類が存在するものとする。ある構成要素での情報資産の利用形態が「中継」である場合には、その構成要素において、その情報資産が受信されると、即座に送信され、その構成要素上の記憶装置には永続的に記憶されないことを意味する。例えば、サーバでパスワードが転送されること等が該当する。
情報資産が通過する経路としては、実施の形態1と同様に、始点とする構成要素での利用形態と、終点とする構成要素での利用形態との組み合わせが、保存→保存、保存→出力、入力→保存、入力→出力のいずれかとなる経路が算出される。このとき、本実施の形態では、利用形態が「中継」である構成要素を中継点とし、始点とした構成要素(即ち、利用形態が「保存」又は「入力」である構成要素)から中継点とした構成要素までの経路を算出し、その後、さらに、中継点とした構成要素から終点とした構成要素(即ち、利用形態が「保存」又は「出力」である構成要素)までの経路を算出する。算出した経路をつなげたものが全体の経路となる。利用形態が「中継」である構成要素が複数存在する場合は、それらの構成要素を中継点とし、全ての中継点を通過する経路を全体の経路として算出する。
本実施の形態に係るリスク分析装置100の構成は、図1に示した実施の形態1のものと同じである。
以下では、図2を用いて、リスク分析装置100の動作(本実施の形態に係るリスク分析方法、本実施の形態に係るリスク分析プログラムの処理手順)について説明する。
まず、図2のステップS110において、システム構成入力部101は、実施の形態1と同様に、分析対象システムのシステム構成に関する情報を入力する。入力されたシステム構成に関する情報は、システム構成記憶部102に記憶される。
例えば、図19に示すシステムが分析対象システムであれば、システム構成入力部101が入力するシステム構成に関する情報は、図20に示すような形式でシステム構成記憶部102に記憶される。ここで、図19に示したシステムは、DMZ(DeMilitarized・Zone)に設置されたWebサーバでユーザ認証が成功した後にのみ、事業所の内外から、DB(データベース)サーバに格納された機密情報を閲覧することが許可されるシステムである。
次に、図2のステップS120において、情報資産入力部103は、実施の形態1と同様に、情報資産に関する情報を入力する。入力された情報資産に関する情報は、情報資産記憶部104に記憶される。
例えば、図19に示すシステムが分析対象システムであれば、情報資産入力部103が入力する情報資産に関する情報は、図21に示すような形式で情報資産記憶部104に記憶される。
図21に示した例では、情報資産の価値には、図5に示した例と同様に、情報セキュリティの基本的な要素である機密性(C)、完全性(I)、可用性(A)の観点で影響の度合を評価した値が、「0」、「1」、「2」、「3」の4段階で設定される。構成要素上での利用形態としては、本例では「保存」、「入力」、「出力」、「中継」の4つの分類が存在する。「保存」、「入力」、「出力」については、図5に示した例と同じ意味である。「中継」については、該当する構成要素を、該当する情報資産が必ず通過することを意味する。
次に、図2のステップS130において、情報資産存在箇所特定部105は、ステップS110でシステム構成記憶部102に記憶されたシステム構成に関する情報とステップS120で情報資産記憶部104に記憶された情報資産に関する情報とを利用して、情報資産が一時でも存在する構成要素を特定する。
ここで、図6を用いて、ステップS130の詳細について説明する。
まず、図6のステップS131において、情報資産存在箇所特定部105は、実施の形態1と同様に、システム構成記憶部102に記憶されたシステム構成に関する情報に基づいて、各構成要素をノードとし、構成要素間の接続関係をエッジとする集合で構成するグラフを作成する。例えば、図20に示したシステム構成に関する情報を使った場合には、図22に示すようなグラフが作成される。
次に、図6のステップS132において、情報資産存在箇所特定部105は、実施の形態1と同様に、情報資産記憶部104に記憶された情報資産に関する情報に基づき、各情報資産について、どの構成要素で情報資産がどのように利用されるかという情報を、ステップS131で作成したグラフにマッピングする。例えば、図21に示した情報資産に関する情報を使って図22に示したグラフに情報資産の利用形態をマッピングした場合には、図23,24に示すような2つのグラフが作成される。図23は、機密情報の利用形態がマッピングされたグラフ、図24は、認証情報の利用形態がマッピングされたグラフを例示している。
次に、図6のステップS133において、情報資産存在箇所特定部105は、ステップS132で情報資産の利用形態をマッピングしたグラフを使って、情報資産が通過する経路を情報資産ごとに算出する。本実施の形態では、始点とする構成要素での利用形態と、終点とする構成要素での利用形態との組み合わせを、保存→保存、保存→出力、入力→保存、入力→出力に限定し、始点とする構成要素から中継点とする構成要素までの経路を算出した後に、中継点とする構成要素から終点とする構成要素までの経路を算出することで、全体の経路を算出する。なお、ある構成要素から他の構成要素までの経路が複数存在する場合には、実施の形態1と同様に、最短経路のみを情報資産が構成要素を通過する経路として抽出する。つまり、始点から中継点までの最短経路を算出した後に、中継点から終点までの経路を算出することで、全体の経路を算出する。そして、算出した全体の経路の結果から、その経路上に存在する構成要素を情報資産が通過する構成要素として算出する。例えば、図23,24に示したグラフに対して、最短経路を求めた結果をそれぞれ図25,26に示す。図25は、機密情報が通過する経路、図26は、認証情報が通過する経路を例示している。なお、本例では、中継点が1つしかないが、中継点は複数存在しても構わない。その場合には、まず、始点から最も近い中継点までの経路を求め、次に、複数ある中継点同士を結ぶ最短経路を求め、その後、最後の中継点から終点までの経路を求め、これらの経路を結んで全体の経路とする。
次に、図6のステップS134において、情報資産存在箇所特定部105は、ステップS133で求めた情報資産が通過する経路の結果を使って、情報資産の存在箇所を求めるとともに、その利用形態の違いにより、攻撃を受ける可能性の高低を区別する。情報資産の存在箇所としては、実施の形態1と同様に、情報資産が通過する経路上にある構成要素を算出する。ある構成要素上でその情報資産の利用形態が保存又は出力である場合には、その構成要素に情報資産が比較的長い期間存在するため、攻撃を受ける可能性が高いものとして扱う。逆に、ある構成要素上でその情報資産の利用形態が入力もしくは中継であるか又はその情報資産が利用されず単に通過する場合には、その構成要素に情報資産が存在する期間は短いため、攻撃を受ける可能性が低いものとして扱う。例えば、図25,26に示した経路に対して、情報資産の存在箇所を算出した結果を図27に示す。図27に示した例では、図14に示した例と同様に、「H」もしくは「L」が付いている構成要素が、情報資産が存在する箇所である。情報資産が保存又は出力される構成要素には「H」を付け、情報資産が入力もしくは中継されるか又は単に通過する構成要素には「L」を付けて区別している。なお、本実施の形態では、情報資産が中継されることと、情報資産が単に通過することとを一定の基準により分けている。その基準については、任意に設定することができるが、本実施の形態では、情報資産の受け渡しが、TCP/IP(Transmission・Control・Protocol/Internet・Protocol)より上位のレイヤであるアプリケーション層で行われるかどうかを基準としている。即ち、本実施の形態では、ある構成要素でTCP/IPより上位のレイヤの処理によって情報資産が転送される場合は、その構成要素で情報資産が中継されるものとして扱う。例えば、Webサーバでは、HTTPの処理によって認証情報がDBサーバに転送されるため、認証情報の利用形態は「中継」となる。一方、インターネットでは、TCP/IP及びTCP/IPよりも下位のプロトコルの処理のみによって認証情報がWebサーバに転送されるため、認証情報が単に通過するだけで、利用されていないことになる。
図2のステップS140において、脆弱性/脅威抽出部106は、実施の形態1と同様に、脆弱性/脅威データベース107から、各情報資産が関連する脆弱性及び脅威を各構成要素について抽出する。なお、脆弱性/脅威抽出部106は、抽出を行う際に、情報資産の利用形態が入力又は中継である構成要素と、情報資産が単に通過する構成要素については、構成要素の種別を通信路として扱ってもよい。
図2のステップS150〜S170については、実施の形態1のものと同じである。
以上のように、本実施の形態において、情報資産存在箇所特定部105は、情報資産記憶部104に記憶された情報が、情報資産を利用する機器のうち1つの機器における情報資産の利用形態として、当該1つの機器が情報資産を入力することを示すとともに、他の1つの機器における情報資産の利用形態として、当該他の1つの機器が情報資産を保存又は出力することを示し、さらに、機器のうち当該1つの機器及び当該他の1つの機器とは別の機器における情報資産の利用形態として、当該別の機器が情報資産を中継することを示す情報である場合、当該1つの機器を始点、当該別の機器を中継点、当該他の1つの機器を終点として経路を算出する。情報資産存在箇所特定部105は、当該別の機器が複数ある場合、当該別の機器の全てを中継点として経路を算出する。
情報資産存在箇所特定部105は、経路の全体を算出するために、始点とした機器から中継点とした機器までの経路と、中継点とした機器から終点とした機器までの経路とを別々に算出する。これにより、効率的に経路を算出することができる。
本実施の形態では、「中継」が利用形態として指定された構成要素を中継点として、始点となる構成要素から、全ての中継点となる構成要素を通過して、終点となる構成要素に到達する最短経路を求める。そして、算出した経路の結果から、その経路上に存在する構成要素を情報資産が通過する構成要素として算出する。例えば、単純に始点となる構成要素と終点となる構成要素との2点間の最短経路を算出することでは正しく求められない経路があるときに、本実施の形態では、中継点となる構成要素を通る経路を算出することで、正しい経路を算出することができる。したがって、情報資産が存在する箇所を高精度に特定することができ、ひいては脆弱性及び脅威の抽出結果の精度を向上させることができる。
実施の形態5.
本実施の形態について、主に実施の形態2との差異を説明する。
本実施の形態では、各情報資産が関連する脆弱性の項目が、その脆弱性をつく攻撃を行う攻撃元になり得る構成要素の種別によって細分化される。同様に、各情報資産が関連する脅威の項目が、その脅威となる攻撃を行う攻撃元になり得る構成要素の種別によって細分化される。
図28は、本実施の形態に係るリスク分析装置100の構成を示すブロック図である。
図28に示すように、リスク分析装置100は、図16に示した各部に加えて、攻撃元抽出部116を備える。
攻撃元抽出部116は、脅威が発生した際に攻撃を行った可能性がある構成要素又は脆弱性をつく攻撃が可能な構成要素である攻撃元を、システム構成入力部101で入力された情報、アクセス制御入力部112で入力された情報に基づいて抽出する。脆弱性/脅威抽出部106が脆弱性/脅威データベース107から抽出する、各情報資産が関連する脆弱性及び脅威の項目は、攻撃元抽出部116で抽出された攻撃元の種別ごとに細分化される。
例えば、図15に示した例のように、脆弱性/脅威IDが「VT01−01」、脆弱性/脅威の内容が「正当な利用者になりすました不正アクセス」の項目が脆弱性/脅威データベース107にあるとする。このとき、攻撃元抽出部116が攻撃元としてインターネット及びLANを抽出した場合には、「VT01−01」の項目が「インターネットからの正当な利用者になりすました不正アクセス」及び「LANからの正当な利用者になりすました不正アクセス」に展開される。
以下では、図2を用いて、リスク分析装置100の動作(本実施の形態に係るリスク分析方法、本実施の形態に係るリスク分析プログラムの処理手順)について説明する。
図2のステップS110,S120については、実施の形態2のものと同様である。
図2のステップS130において、情報資産存在箇所特定部105は、ステップS110でシステム構成記憶部102に記憶されたシステム構成に関する情報とステップS120で情報資産記憶部104に記憶された情報資産に関する情報とを利用して、情報資産が一時でも存在する構成要素を特定する。
アクセス制御入力部112は、実施の形態2と同様に、少なくともステップS110でシステム構成に関する情報が入力された後に、アクセス制御に関する情報を入力する。入力されたアクセス制御に関する情報は、アクセス制御記憶部113に記憶される。
アクセス制御に関する情報は、通信に対して何らかの制限がかかることを設定するものであり、各構成要素を表すノード及び構成要素間の接続関係を表すエッジが接続する点を接点と呼んだときに、その接点を使って設定することができる。例えば、図22に示したグラフの接点を記号で表した例を図29に示す。図29の例において、接点はa〜lである。アクセス制御に関する情報は、a→bのような2つの構成要素間の通信の可否や、b→cのような1つの構成要素に属する接点間の通信の可否を方向付きで設定したものである。例えば、アクセス制御に関する情報は、図30に示すような形式でアクセス制御記憶部113に記憶される。図30に示した例では、FWにおいてアクセス制御がなされており、インターネットからDBサーバへの通信であるd→f、インターネットからLANへの通信であるd→g、LANからDBサーバへの通信であるg→fが不可となるように設定されている。また、図30に示した例では、アクセス制御が影響する情報資産を指定する項目も存在する。この項目が特定の情報資産の場合には、その情報資産が通過する場合にのみアクセス制御の影響が生じて、通信が遮断される。即ち、アクセス制御がある箇所の特定の通信方向に対して指定された情報資産がある場合は、その情報資産は当該箇所を当該通信方向に沿って通過することができない。
アクセス制御記憶部113に記憶されたアクセス制御に関する情報は、図6のステップS133において、情報資産が通過する経路の算出時に利用されるとともに、攻撃元抽出部116で利用される。攻撃元抽出部116では、各接点をノード、接点間の接続関係をエッジとした有向グラフを作成して、脆弱性が存在するか又は脅威が発生する各構成要素にある接点に到達可能なノードを算出することで攻撃元を割り出す。このとき、アクセス制御記憶部113に記憶されたアクセス制御に関する情報は、グラフにおける各エッジの向きを決定するために利用される。なお、アクセス制御に関する情報において、各構成要素に属する接点間の通信の可否が設定されていない場合には、構成要素をノードとして表してもよい。例えば、図29に示したグラフと図30に示した情報とに基づいて作成される、攻撃元を抽出する有向グラフを図31に示す。攻撃元抽出部116は、図31に示したグラフを使って、脆弱性が存在するか又は脅威が発生する各構成要素に到達可能な他の構成要素を算出することで攻撃元を割り出す。そのための手法としては、任意の手法を用いることができるが、本実施の形態では、重み付き有向グラフの全ペアの最短経路問題を解く「ワーシャル−フロイド法」を使って、経路の長さが無限大となる結果を除くこと等により攻撃元を抽出することが可能である。なお、情報資産ごとにアクセス制御の有無が異なる場合には、攻撃元抽出部116は、情報資産ごとにグラフを作成して、攻撃元を抽出する。
図2のステップS140については、実施の形態2のものと同様である。
図2のステップS150において、発生可能性入力部108は、攻撃元抽出部116で抽出された攻撃元の種別ごとに、図2のステップS140で抽出された脆弱性が存在する可能性、ステップS140で抽出された脅威が発生する可能性を、それぞれ相対的な値で表す発生可能性を入力する。入力された発生可能性は、発生可能性記憶部109に記憶される。
図2のステップS160において、リスク値算出部110は、分析対象システム上の全ての情報資産について、ステップS130で該当する情報資産が存在すると判定された構成要素における脆弱性及び脅威のセキュリティ要素ごとのリスク値を算出する。リスク値の算出は、ステップS120で入力された情報資産の価値と、ステップS150で入力された攻撃元の種別ごとの脆弱性及び脅威の発生可能性に基づいて行う。
図2のステップS170については、実施の形態2のものと同様である。
以上のように、本実施の形態において、攻撃元抽出部116は、システム構成記憶部102に記憶された情報に基づいて、情報資産存在箇所特定部105で算出された経路上の要素ごとに、分析対象システムを構成する複数の要素に含まれる他の要素からのアクセス可否を判定する。攻撃元抽出部116は、アクセス可能であると判定した他の要素を攻撃元として抽出する。リスク値算出部110は、情報資産存在箇所特定部105で算出された経路上の要素ごとに、攻撃元抽出部116で抽出された攻撃元の種別に応じて、リスク値を算出する。本実施の形態では、攻撃元となり得る要素の種別を考慮してリスク分析を行うことで、リスク分析の精度をより一層高めることができる。
本実施の形態では、算出した攻撃元の情報が、脆弱性/脅威抽出部106が抽出した各情報資産が関連する脆弱性及び脅威の項目を、関連する攻撃元ごとに展開するために利用される。
なお、情報資産存在箇所特定部105で算出された経路と一致する経路上の構成要素が攻撃元として抽出された場合、その構成要素は正当なアクセス元であると考えられるため、攻撃元から除外してもよい。
本実施の形態では、攻撃元抽出部116が、分析対象システムを構成する複数の要素について、アクセス制御に関する情報を反映した有向グラフを作成し、脆弱性が存在するか又は脅威が発生する構成要素に到達可能な構成要素を調べることで、存在する脆弱性及び発生し得る脅威の内容をより正確に把握することができ、ひいては脆弱性及び脅威の抽出結果の精度を向上させることができる。
図32は、実施の形態1〜5に係るリスク分析装置100のハードウェア構成の一例を示す図である。
図32において、リスク分析装置100は、コンピュータであり、出力装置910、入力装置920、記憶装置930、処理装置940といったハードウェアを備える。ハードウェアは、リスク分析装置100の各部(本発明の実施の形態の説明において「〜部」として説明するもの)によって利用される。
出力装置910は、例えば、LCD(Liquid・Crystal・Display)等の表示装置、プリンタ、通信モジュール(通信回路等)である。出力装置910は、各部(「〜部」)によってデータ、情報、信号の出力(送信)のために利用される。
入力装置920は、例えば、キーボード、マウス、タッチパネル、通信モジュール(通信回路等)である。入力装置920は、各部(「〜部」)によってデータ、情報、信号の入力(受信)のために利用される。
記憶装置930は、例えば、ROM(Read・Only・Memory)、RAM(Random・Access・Memory)、HDD(Hard・Disk・Drive)、SSD(Solid・State・Drive)である。記憶装置930には、プログラム931、ファイル932が記憶される。プログラム931には、各部(「〜部」)の処理(機能)を実行するプログラムが含まれる。ファイル932には、各部(「〜部」)によって演算、加工、読み取り、書き込み、利用、入力、出力等が行われるデータ、情報、信号(値)等が含まれる。
処理装置940は、例えば、CPU(Central・Processing・Unit)である。処理装置940は、バス等を介して他のハードウェアデバイスと接続され、それらのハードウェアデバイスを制御する。処理装置940は、記憶装置930からプログラム931を読み出し、プログラム931を実行する。処理装置940は、各部(「〜部」)によって演算、加工、読み取り、書き込み、利用、入力、出力等を行うために利用される。
本発明の実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」として説明するものは、ソフトウェアのみ、ハードウェアのみ、あるいは、ソフトウェアとハードウェアとの組み合わせで実現される。ソフトウェアは、プログラム931として、記憶装置930に記憶される。プログラム931は、本発明の実施の形態の説明で述べる「〜部」としてコンピュータを機能させるものである。あるいは、プログラム931は、本発明の実施の形態の説明で述べる「〜部」の処理をコンピュータに実行させるものである。
以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、2つ以上を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つを部分的に実施しても構わない。あるいは、これらの実施の形態のうち、2つ以上を部分的に組み合わせて実施しても構わない。例えば、これらの実施の形態の説明において「〜部」として説明するもののうち、いずれか1つのみを採用してもよいし、いずれか2つ以上の任意の組み合わせを採用してもよい。なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。
100 リスク分析装置、101 システム構成入力部、102 システム構成記憶部、103 情報資産入力部、104 情報資産記憶部、105 情報資産存在箇所特定部、106 脆弱性/脅威抽出部、107 脆弱性/脅威データベース、108 発生可能性入力部、109 発生可能性記憶部、110 リスク値算出部、111 リスク値出力部、112 アクセス制御入力部、113 アクセス制御記憶部、114 対策入力部、115 対策記憶部、116 攻撃元抽出部、910 出力装置、920 入力装置、930 記憶装置、931 プログラム、932 ファイル、940 処理装置。

Claims (16)

  1. 情報資産を利用する機器を含む複数の要素から構成されたシステムで前記情報資産に対して存在するセキュリティ上のリスクを分析するリスク分析装置において、
    前記システムの構成を示す情報を記憶するシステム構成記憶部と、
    前記システム構成記憶部に記憶された情報に基づいて、前記システムで前記情報資産が送受信される経路を算出する経路算出部と、
    前記複数の要素のうち、前記経路算出部で算出された経路上の要素ごとに、前記情報資産に対して存在するセキュリティ上のリスクを表すリスク値を算出するリスク値算出部とを備えることを特徴とするリスク分析装置。
  2. 前記機器における前記情報資産の利用形態を示す情報を記憶する情報資産記憶部
    をさらに備え、
    前記経路算出部は、前記システム構成記憶部に記憶された情報と前記情報資産記憶部に記憶された情報とに基づいて、前記経路を算出することを特徴とする請求項1のリスク分析装置。
  3. 前記複数の要素には、前記機器が複数含まれており、
    前記情報資産記憶部は、前記機器の各々における前記情報資産の利用形態を示す情報を記憶し、
    前記経路算出部は、前記情報資産記憶部に記憶された情報が、前記機器のうち1つの機器における前記情報資産の利用形態として、当該1つの機器が前記情報資産を入力することを示すとともに、前記機器のうち他の1つの機器における前記情報資産の利用形態として、当該他の1つの機器が前記情報資産を保存又は出力することを示す情報である場合、当該1つの機器を始点、当該他の1つの機器を終点として前記経路を算出することを特徴とする請求項2のリスク分析装置。
  4. 前記複数の要素には、前記機器が複数含まれており、
    前記情報資産記憶部は、前記機器の各々における前記情報資産の利用形態を示す情報を記憶し、
    前記経路算出部は、前記情報資産記憶部に記憶された情報が、前記機器のうち1つの機器における前記情報資産の利用形態として、当該1つの機器が前記情報資産を入力又は保存することを示すとともに、前記機器のうち他の1つの機器における前記情報資産の利用形態として、当該他の1つの機器が前記情報資産を出力することを示す情報である場合、当該1つの機器を始点、当該他の1つの機器を終点として前記経路を算出することを特徴とする請求項2のリスク分析装置。
  5. 前記経路算出部は、前記経路として、前記システムで前記情報資産が送受信される最短経路を算出することを特徴とする請求項1から4のいずれかのリスク分析装置。
  6. 前記経路算出部は、前記複数の要素のうち、アクセス制御が行われる要素間の距離を他の要素間の距離より長くして、前記経路を算出することを特徴とする請求項5のリスク分析装置。
  7. 前記複数の要素の種別ごとに、各要素における脆弱性の種類と各要素に対する脅威の種類とを示すデータを記憶するデータベースと、
    前記データベースを参照して、前記経路算出部で算出された経路上の要素における脆弱性の種類と当該要素に対する脅威の種類とを抽出するデータ抽出部と
    をさらに備え、
    前記リスク値算出部は、前記経路算出部で算出された経路上の要素ごとに、前記データ抽出部で抽出された脆弱性の種類と脅威の種類とに応じて、前記リスク値を算出することを特徴とする請求項1から6のいずれかのリスク分析装置。
  8. 前記複数の要素には、前記情報資産を利用せずに伝送する通信路が含まれており、
    前記データ抽出部は、前記経路算出部で算出された経路上の要素のうち、前記情報資産を入力又は転送する要素の種別を通信路として扱うことを特徴とする請求項7のリスク分析装置。
  9. 前記経路算出部で算出された経路上の要素ごとに、前記データ抽出部で抽出された脆弱性の種類と脅威の種類とによってセキュリティの侵害が発生する可能性を示す情報を入力する発生可能性入力部
    をさらに備え、
    前記リスク値算出部は、前記経路算出部で算出された経路上の要素ごとに、前記発生可能性入力部で入力された情報に基づいて、前記リスク値を算出することを特徴とする請求項7又は8のリスク分析装置。
  10. 前記リスク値算出部は、前記複数の要素のうち、セキュリティ対策が施されている要素について、前記発生可能性入力部で入力された情報を補正することを特徴とする請求項9のリスク分析装置。
  11. 前記経路算出部は、前記情報資産記憶部に記憶された情報が、前記機器のうち前記1つの機器及び前記他の1つの機器とは別の機器における前記情報資産の利用形態として、当該別の機器が前記情報資産を中継することを示す情報である場合、前記1つの機器を始点、当該別の機器を中継点、前記他の1つの機器を終点として前記経路を算出することを特徴とする請求項3又は4のリスク分析装置。
  12. 前記経路算出部は、前記別の機器が複数ある場合、前記別の機器の全てを中継点として前記経路を算出することを特徴とする請求項11のリスク分析装置。
  13. 前記経路算出部は、前記経路の全体を算出するために、始点とした機器から中継点とした機器までの経路と、中継点とした機器から終点とした機器までの経路とを別々に算出することを特徴とする請求項11又は12のリスク分析装置。
  14. 前記システム構成記憶部に記憶された情報に基づいて、前記経路算出部で算出された経路上の要素ごとに、前記複数の要素に含まれる他の要素からのアクセス可否を判定し、アクセス可能であると判定した他の要素を攻撃元として抽出する攻撃元抽出部
    をさらに備え、
    前記リスク値算出部は、前記経路算出部で算出された経路上の要素ごとに、前記攻撃元抽出部で抽出された攻撃元の種別に応じて、前記リスク値を算出することを特徴とする請求項1から13のいずれかのリスク分析装置。
  15. 情報資産を利用する機器を含む複数の要素から構成されたシステムで前記情報資産に対して存在するセキュリティ上のリスクを分析するリスク分析方法において、
    前記システムの構成を示す情報を記憶するシステム構成記憶部を備えるコンピュータが、前記システム構成記憶部に記憶された情報に基づいて、前記システムで前記情報資産が送受信される経路を算出し、
    前記コンピュータが、前記複数の要素のうち、算出した経路上の要素ごとに、前記情報資産に対して存在するセキュリティ上のリスクを表すリスク値を算出することを特徴とするリスク分析方法。
  16. 情報資産を利用する機器を含む複数の要素から構成されたシステムで前記情報資産に対して存在するセキュリティ上のリスクを分析するリスク分析プログラムにおいて、
    前記システムの構成を示す情報を記憶するシステム構成記憶部を備えるコンピュータに、
    前記システム構成記憶部に記憶された情報に基づいて、前記システムで前記情報資産が送受信される経路を算出する経路算出処理と、
    前記複数の要素のうち、前記経路算出処理で算出された経路上の要素ごとに、前記情報資産に対して存在するセキュリティ上のリスクを表すリスク値を算出するリスク値算出処理と
    を実行させることを特徴とするリスク分析プログラム。
JP2014238984A 2013-12-06 2014-11-26 リスク分析装置及びリスク分析方法及びリスク分析プログラム Pending JP2015130153A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014238984A JP2015130153A (ja) 2013-12-06 2014-11-26 リスク分析装置及びリスク分析方法及びリスク分析プログラム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2013252967 2013-12-06
JP2013252967 2013-12-06
JP2014238984A JP2015130153A (ja) 2013-12-06 2014-11-26 リスク分析装置及びリスク分析方法及びリスク分析プログラム

Publications (1)

Publication Number Publication Date
JP2015130153A true JP2015130153A (ja) 2015-07-16

Family

ID=53760806

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014238984A Pending JP2015130153A (ja) 2013-12-06 2014-11-26 リスク分析装置及びリスク分析方法及びリスク分析プログラム

Country Status (1)

Country Link
JP (1) JP2015130153A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017111525A (ja) * 2015-12-15 2017-06-22 三菱電機株式会社 脅威分析装置、脅威分析方法、及び脅威分析プログラム
WO2018163274A1 (ja) * 2017-03-07 2018-09-13 三菱電機株式会社 リスク分析装置、リスク分析方法及びリスク分析プログラム
WO2020255185A1 (ja) * 2019-06-17 2020-12-24 日本電気株式会社 攻撃グラフ加工装置、方法およびプログラム
JPWO2021009870A1 (ja) * 2019-07-17 2021-01-21
JPWO2021059516A1 (ja) * 2019-09-27 2021-04-01
US11252179B2 (en) 2019-03-20 2022-02-15 Panasonic Intellectual Property Management Co., Ltd. Risk analyzer and risk analysis method

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017111525A (ja) * 2015-12-15 2017-06-22 三菱電機株式会社 脅威分析装置、脅威分析方法、及び脅威分析プログラム
WO2018163274A1 (ja) * 2017-03-07 2018-09-13 三菱電機株式会社 リスク分析装置、リスク分析方法及びリスク分析プログラム
JP6425865B1 (ja) * 2017-03-07 2018-11-21 三菱電機株式会社 リスク分析装置、リスク分析方法及びリスク分析プログラム
US11252179B2 (en) 2019-03-20 2022-02-15 Panasonic Intellectual Property Management Co., Ltd. Risk analyzer and risk analysis method
WO2020255185A1 (ja) * 2019-06-17 2020-12-24 日本電気株式会社 攻撃グラフ加工装置、方法およびプログラム
JPWO2020255185A1 (ja) * 2019-06-17 2020-12-24
JP7255679B2 (ja) 2019-06-17 2023-04-11 日本電気株式会社 攻撃グラフ加工装置、方法およびプログラム
JPWO2021009870A1 (ja) * 2019-07-17 2021-01-21
WO2021009870A1 (ja) * 2019-07-17 2021-01-21 日本電気株式会社 分析システム、方法およびプログラム
JP7283545B2 (ja) 2019-07-17 2023-05-30 日本電気株式会社 分析システム、方法およびプログラム
JPWO2021059516A1 (ja) * 2019-09-27 2021-04-01
JP7272447B2 (ja) 2019-09-27 2023-05-12 日本電気株式会社 リスク分析結果表示装置、方法、及びプログラム

Similar Documents

Publication Publication Date Title
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US12003534B2 (en) Detecting and mitigating forged authentication attacks within a domain
US11799900B2 (en) Detecting and mitigating golden ticket attacks within a domain
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20220377093A1 (en) System and method for data compliance and prevention with threat detection and response
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
JP2015130153A (ja) リスク分析装置及びリスク分析方法及びリスク分析プログラム
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US20220394061A1 (en) System and Method for Monitoring Data Disclosures
US20230388278A1 (en) Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation
Ansar et al. A phase-wise review of software security metrics
Chang et al. Security implications of redirection trail in popular websites worldwide
US20230308459A1 (en) Authentication attack detection and mitigation with embedded authentication and delegation
JP5413010B2 (ja) 分析装置、分析方法およびプログラム
JP2015026182A (ja) セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム
WO2020196549A1 (ja) 誤り判定装置、誤り判定方法、及びプログラム
Yan et al. Graph mining for cybersecurity: A survey
US20210390519A1 (en) Storage medium, detection method, and detection device
KR101725450B1 (ko) 웹 페이지에 안전성을 제공하기 위한 평판관리 시스템 및 방법
US20240163261A1 (en) Dynamic authentication attack detection and enforcement at network, application, and host level
Şenyapar Digital Marketing in the Age of Cyber Threats: A Comprehensive Guide to Cybersecurity Practices