JP2016170568A - ログ管理制御システムおよびログ管理制御方法 - Google Patents
ログ管理制御システムおよびログ管理制御方法 Download PDFInfo
- Publication number
- JP2016170568A JP2016170568A JP2015049128A JP2015049128A JP2016170568A JP 2016170568 A JP2016170568 A JP 2016170568A JP 2015049128 A JP2015049128 A JP 2015049128A JP 2015049128 A JP2015049128 A JP 2015049128A JP 2016170568 A JP2016170568 A JP 2016170568A
- Authority
- JP
- Japan
- Prior art keywords
- log
- vulnerability
- information
- predetermined
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 81
- 238000012544 monitoring process Methods 0.000 claims abstract description 33
- 238000003860 storage Methods 0.000 claims description 64
- 238000012502 risk assessment Methods 0.000 claims description 37
- 230000010365 information processing Effects 0.000 claims description 13
- 238000011156 evaluation Methods 0.000 abstract description 75
- 238000012545 processing Methods 0.000 description 84
- 238000004458 analytical method Methods 0.000 description 40
- 230000005540 biological transmission Effects 0.000 description 27
- 230000008520 organization Effects 0.000 description 26
- 230000008569 process Effects 0.000 description 26
- 230000006870 function Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 8
- 230000001174 ascending effect Effects 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000014759 maintenance of location Effects 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Landscapes
- Debugging And Monitoring (AREA)
Abstract
【課題】脆弱性由来のリスクに関する監視にて有効なログ収集を、該当システムの状況に応じて効率的に実行可能とする。【解決手段】ログ管理制御システム10において、管理対象システム20を構成する機器101、ネットワーク、および機器101に関する脆弱性の各情報を互いに関連付けたデータベースを保持するデータベースサーバ105と、データベースサーバ105で保持する機器101、ネットワーク、および脆弱性の各情報に基づいて、ネットワークにおける各機器101の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、リスクの高さが所定基準以上の機器101に対してログ収集を指示するリスク評価サーバ107およびログ収集管理サーバ108を含む構成とする。【選択図】図1
Description
本発明は、ログ管理制御システムおよびログ管理制御方法に関するものであり、具体的には、脆弱性由来のリスクに関する監視にて有効なログ収集を、該当システムの状況に応じて効率的に実行可能とする技術に関する。
情報化社会では、多種多様なソフトウェアが存在し利用されている。一方で、そうしたソフトウェアが、プログラムの不具合や仕様の問題点などに起因するソフトウェア脆弱性を含むことは避けられない。そのため、そうした脆弱性を利用した標的型攻撃によるリスクを、予め全て回避することも難しい。特に近年では、年間約5、000件のソフトウェア脆弱性が発見、公開されており、そうした脆弱性を利用した悪意の攻撃者による攻撃量が、同脆弱性の情報公開直後から著しく増加する傾向にあることが報告されている。
従って、情報システムを運用するシステム管理者は、上述のように発見、公開される膨大な脆弱性情報に関して、効率良く対策を実施していく必要がある。一般的に、脆弱性対策においては、対象となるシステムの情報および脆弱性情報を取得し、両情報の関係性や、脆弱性情報がもたらすリスク等を評価して、これに基づいて有効な対策手段を立案し、実際に対策の適用が行われる。
ここで、脆弱性対策はソフトウェアの問題点を直接修正したプログラムを、部分的、あるいは、全面的に更新することで、根本的な対策が行われる。このようなプログラムの更新は、システムに実装されたアプリケーションの動作に影響を及ぼす可能性がある。そのためレグレッションテスト等が必要であり、常時稼働のシステムでは、迅速に根本的な対策を行うことが困難であった。
そこで、根本的な脆弱性対策が完了するまでの間、対策対象たる脆弱性を利用した攻撃に対し、例えばログ監視を行う必要がある。一方、対象機器で多量に発生するログをそのまま監視対象とすることは、監視用のシステムにおけるログ転送量や記憶容量などの制約から困難であり、非効率である。このため、ログの類似度や結果の有無に従ってサマリログを生成し、情報量の多いサマリログのみを保存・転送する技術(特許文献1参照)などが提案されている。
従来技術によれば、ログを集約したサマリログを転送・保存することで、監視用のコンピューティングリソース負荷の低減を図ることは可能である。しかしながら、ログ監視の本来目的は、システム脆弱性を利用した攻撃の監視であり、従来技術の如く類似度や情報量に依存したログ集約を行う場合、攻撃監視に必要な情報量を確保出来ない恐れがある。
そこで本発明の目的は、脆弱性由来のリスクに関する監視にて有効なログ収集を、該当システムの状況に応じて効率的に実行可能とする技術を提供することにある。
上記課題を解決する本発明のログ管理制御システムは、管理対象システムを構成する機器、ネットワーク、および前記機器に関する脆弱性の各情報を互いに関連付けたデータベースを保持する記憶装置と、前記データベースで保持する前記機器、前記ネットワーク、および前記脆弱性の各情報に基づいて、ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、前記リスクの高さが所定基準以上の機器に対してログ収集を指示する演算装置を備えることを特徴する。
また、本発明のログ管理制御方法は、管理対象システムを構成する機器、ネットワーク、および前記機器に関する脆弱性の各情報を互いに関連付けたデータベースを保持する記憶装置を備えた情報処理システムが、前記データベースで保持する前記機器、前記ネットワーク、および前記脆弱性の各情報に基づいて、ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、前記リスクの高さが所定基準以上の機器に対してログ収集を指示することを特徴する。
本発明によれば、脆弱性由来のリスクに関する監視にて有効なログ収集が、該当システムの状況に応じて効率的に実行可能となる。
−−−システム構成−−−
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態のログ管理制御システム10を含むネットワーク構成図である。図1に示すログ管理制御システム10は、脆弱性個々の技術的な特性に加え、システム構成やトポロジに基づいて脆弱性リスクを評価し、この評価結果に基づいたログ管理制御を行うコンピュータシステムである。ひいては、脆弱性由来のリスクに関する監視にて有効なログ収集を、該当システムの状況に応じて効率的に実行可能とするシステムとなる。
図1に例示する本実施形態のログ管理制御システム10が含まれるネットワーク102には、リスク評価対象のシステムを構成する管理対象機器101の他、情報収集サーバ103、セキュリティナレッジ公開機関サーバ104、データベースサーバ105、クライアント106、リスク評価サーバ107、およびログ収集管理サーバ108が接続されている。こうした装置らのうち、少なくともリスク評価サーバ107およびログ収集管理サーバ108からログ管理制御システム10は構成される。このうち少なくともリスク評価サーバ107はデータベースサーバ105にアクセス可能である。勿論、ログ管理制御システム10がリスク評価サーバ107およびログ収集管理サーバ以外の装置を適宜含んで構成されるとしてもよい。
上述のネットワーク102に接続された装置のうち、管理対象機器101は、システム管理者がリスク評価対象として管理するシステムすなわち管理対象システム20を構成する機器である。図1では複数の管理対象機器101_1〜101_nを例示している。本実施形態において、ログの収集および管理による監視対象となるのは、この管理対象機器101が保有する脆弱性がもたらすリスクに対してである。
また、上述のネットワーク102に接続されている情報収集サーバ103は、管理対象システム20、すなわち上述の管理対象機器101らに関する情報(システム情報、各管理対象機器101の識別情報、所属するネットワークに関する情報など)と、インターネット102_2上でセキュリティナレッジ公開機関サーバ104によって公開されたセキュリティ情報(上述の管理対象機器101に関連する少なくとも脆弱性情報)を収集する機器である。
一方、セキュリティナレッジ公開機関サーバ104は、インターネット102_2上でセキュリティナレッジを公開している所定機関のサーバ装置である。このセキュリティナレッジ公開機関サーバ104の運営機関の例としては、コンピュータウィルスの検知と対処など各種セキュリティ対策サービスを提供する企業や、OS(Operating System)の提供企業などが想定できる。こうした運用機関は、特定の情報処理装置やOS、或いはソフトウェアに関して得ている、情報セキュリティに関する脆弱性情報をこのセキュリティナレッジ公開機関サーバ104によって公開する。
なお、上述の管理対象機器101、情報収集サーバ103、およびログ収集管理サーバ108は、それぞれネットワーク102_1で接続されている。また、情報収集サーバ103とセキュリティナレッジ公開機関サーバ104は、インターネット102_2で接続
されている。
されている。
また、データベースサーバ105は、情報収集サーバ103が収集した上述のシステム情報とセキュリティナレッジを格納するサーバ装置であり、ネットワーク102_3を介して少なくともリスク評価サーバ107と通信可能に結ばれている。或いは、このデータベースサーバ105における格納情報は、リスク評価サーバ107の外部記憶装置704(図7参照)に格納されているとしても好適である。その場合、データベースサーバ105は省略してもよい。
また、ネットワーク102に接続するクライアント106は、システム管理者が直接操作する一般的なコンピュータ端末である。このクライアント106は、リスク評価サーバ107による処理結果、すなわちリスク評価結果、および本実施形態のログ管理制御内容の主たる出力先となる装置となる。
また、ログ管理制御システム10を構成するリスク評価サーバ107は、データベースサーバ105上の情報と、クライアント106を介して受けたシステム管理者の要求とに基づき、管理対象システム20の脆弱性を評価した上で本実施形態のログ管理制御方法に対応する各手順を実行するサーバ装置である。このリスク評価サーバ107は、上述の情報収集サーバ103の機能、構成を含んで構成するとしても良い。
また、ログ収集管理サーバ108は、上述のリスク評価サーバ107と共にログ管理制御システム10を構成するサーバ装置であり、管理対象システム20、すなわち上述の管理対象機器101らが生成するログ情報を収集・管理する装置である。このリスク評価サーバ107は、リスク評価サーバ107で処理された結果と、クライアント106を介して受けたシステム管理者の要求とに基づき、ログ収集、およびログ監視のパラメータを追加・変更する装置である。
なお、本実施形態において、ネットワーク102_1、102_2、102_3はそれぞれ異なるネットワークとして例示しているが、同一のネットワークであっても良い。また、図1のネットワーク構成において符号を付した構成要素は、実施形態に応じて複数であるとしてもよい。
−−−機能構成−−−
−−−機能構成−−−
続いて、本実施形態のログ管理制御システム10が備える機能について説明する。上述したように、以下に説明する機能は、例えばログ管理制御システム10を構成するリスク評価サーバ107およびログ収集管理サーバ108がそれぞれ備えるプログラムを実行することで実装される機能と言える。ここでは、リスク評価サーバ107のみならず、例えばログ管理制御システム10を含む上述のネットワーク構成における各装置が、そのメモリないし外部記憶装置にて備える適宜なプログラムを実行することで実装される機能についてそれぞれ説明するものとする。
図2は、本実施形態の管理対象機器101の機能構成例を示す図である。図2に例示する管理対象機器101は、送受信部201および制御部202から構成されている。このうち送受信部201は、ネットワーク102_1を介し、情報収集サーバ103およびログ収集管理サーバ108との間で情報の送受信を行う処理部である。
一方、制御部202は、システム情報出力部203およびログ情報出力部205から構成されている。このうちシステム情報出力部203は、管理対象機器101の識別情報たる機器ID、機器名、製品ID(プロダクトID)、ネットワークセグメントID、および利用する中継機器といった情報を含むシステム情報を収集し、送受信部201を介して
、情報収集サーバ103に送信する処理部である。システム情報出力部203におけるシステム情報の収集には、管理対象機器101の搭載するOSの標準的な機能を利用すれば良いが、その他の手法を採用してもよく、その形態は限定しない。
、情報収集サーバ103に送信する処理部である。システム情報出力部203におけるシステム情報の収集には、管理対象機器101の搭載するOSの標準的な機能を利用すれば良いが、その他の手法を採用してもよく、その形態は限定しない。
また、ログ情報出力部205は、管理対象機器101が生成・記録するローカルログの記憶部204にアクセスして、ログ収集管理サーバ108から指定された条件のログの情報を抽出し、これを送受信部201を介してログ収集管理サーバ108に送信する処理部である。
図3は、本実施形態の情報収集サーバ103の機能構成例を示す図である。図3に例示する情報収集サーバ103は、送受信部301および制御部302から構成されている。このうち送受信部301は、ネットワーク102_1、102_2、102_3を介して情報の送受信を行う処理部である。
一方、制御部302は、システム情報収集部303およびセキュリティナレッジ収集部304から構成されている。このうちシステム情報収集部303は、送受信部301を介して、管理対象機器101から上述のシステム情報を受信し、これをデータベースサーバ105に格納する。また、セキュリティナレッジ収集部304は、送受信部301を介して、セキュリティナレッジ公開機関サーバ104からセキュリティナレッジを受信し、これをデータベースサーバ105に格納する。
図4は、本実施形態のセキュリティナレッジ公開機関サーバ104の機能構成例を示す図である。図4に例示するセキュリティナレッジ公開機関サーバ104は、送受信部401および制御部402から構成されている。このうち送受信部401は、ネットワーク102_2を介して情報収集サーバ103との間で情報の送受信を行う処理部である。
一方、制御部402は、セキュリティナレッジ出力部403から構成されている。このセキュリティナレッジ出力部403は、上述の送受信部401を介して、情報収集サーバ103に対して、セキュリティナレッジ記憶部404で保持するセキュリティナレッジを送信する。セキュリティナレッジ公開機関サーバ104におけるセキュリティナレッジの収集、管理の手法は、セキュリティナレッジ公開機関サーバ104の仕様や当該セキュリティナレッジ公開機関サーバ104の運営企業により異なるため、ここでは特に限定しない。
図5は、本実施形態のクライアント106の機能構成例を示す図である。図5に例示するクライアント106は、送受信部501、入出力部502、および制御部503から構成されている。このうち送受信部501は、ネットワーク102_3を介して情報の送受信を行う処理部である。また、入出力部502は、キーボード等のインタフェース機器を介してシステム管理者等のユーザからの入力を制御し、モニタ等のインタフェース機器を介してユーザ向けの出力処理を制御する処理部である。
また、上述の制御部503は、画面表示処理部504、画面表示要求部505、脆弱性リスク表示要求部506、ログ管理連携表示要求部507、ログ表示要求部508、およびログ分析表示要求部509から構成されている。
このうち画面表示処理部504は、上述の入出力部502を介して、ユーザに対して画面表示を行う処理部であり、画面表示要求部505、脆弱性リスク表示要求部506、ログ管理連携表示要求部507、ログ表示要求部508、およびログ分析表示要求部509で取得した画面を表示する。
また、画面表示要求部505は、上述の送受信部501を介して、リスク評価サーバ107に対し、当該クライアント106からの接続時にユーザに提示する初期画面のデータを要求し、該当データを受信する処理部である。
また、脆弱性リスク表示要求部506およびログ管理連携表示要求部507は、リスク評価サーバ107が行った脆弱性リスクの評価結果、および、ログ管理連携処理に関する表示リクエストを、送受信部501を介してリスク評価サーバ107に対して送信し、リスク評価サーバ107から得た処理結果の画面データを受信する処理部である。
また、ログ表示要求部508およびログ分析表示要求部509は、上述の入出力部502を介してユーザからのログ収集管理サーバ108関するリクエストを受け付け、これを送受信部501を介してログ収集管理サーバ108に送信し、ログ収集管理サーバ107から得た画面データを受信する処理部である。
図6は、本実施形態のリスク評価サーバ107の機能構成例を示す図である。図6に例示するリスク評価サーバ107は、送受信部601および制御部602から構成されている。このうち送受信部601は、ネットワーク102_3を介して情報の送受信を行う処理部である。
一方、制御部602は、初期画面表示処理部603、脆弱性リスク表示処理部604、ログ管理連携表示処理部605、リスク値計算処理部607、およびログ管理連携処理部608から構成されている。
このうち、画面表示処理部603は、送受信部601を介してクライアント106から画面表示リクエストを受信し、画面表示に必要となる画面データを、例えばデータベースサーバ105(この場合のデータベースサーバ105は、クライアント106での各表示画面の画面データを予め保持している)から取得し、これを返信する処理部である。
また、脆弱性リスク表示処理部604は、送受信部601を介してクライアント106から脆弱性リスク表示リクエストを受信し、リスク値計算処理部607を利用して得た脆弱性リスク評価結果の画面データを返信する処理部である。
また、ログ管理連携表示処理部605は、送受信部601を介して、クライアント106からログ管理連携表示リクエストを受信し、ログ管理連携処理部608を利用して得た、ログ連携処理結果の画面データを返信する処理部である。
また、リスク値計算処理部607は、データベースサーバ105上の情報(管理対象機器101から収集した情報、およびセキュリティナレッジ公開機関サーバ104から収集した情報)に基づいて管理対象システム20のネットワーク構成などを加味したリスク値を計算する処理部である。ここで、リスク値を計算する手法として、以下が知られている。
・M. Schiffman他:"CVSS:A Common Vulnerability Scoring System", National Infrastructure Advisory Council(NIAC), 2004
・O. Sheyner他:"Tools for Generating and Analyzing Attack Graphs", Lecture Notes in Computer Science Volume 3188, 2004, pp 344-371
・杉本他:動的モデリングに基づいたリスク評価システム、CSS2014, pp.100-107
これらの手法に基づいて、管理対象システム20に内在する各脆弱性のリスク値が得られているものとするが、本実施の形態ではリスク値算出方法はこれらに限定するものではない。
また、ログ管理連携処理部608は、データベースサーバ105上の情報(各機器101のログ収集設定、および監視設定のための情報)に基づいて、リスク値に応じたログ収集設定、および監視設定のための処理を行う処理部である。
なお、上述のリスク評価サーバ107における各機能部による処理の詳細については、フロー図に基づいて後述するものとする。
図7は、本実施形態のログ収集管理サーバ108の機能構成例を示す図である。図7に例示するログ収集管理サーバ108は、送受信部701、制御部702および記憶部703から構成されている。このうち送受信部701は、ネットワーク102を介して情報の
送受信を行う処理部である。
送受信を行う処理部である。
一方、制御部702は、ログ収集処理部705、ログ収集設定処理部706、ログ表示処理部707、ログ分析処理部708、ログ分析設定処理部709、およびログ分析表示処理部710から構成されている。
このうち、ログ表示処理部707およびログ分析表示処理部710は、送受信部701を介してクライアント106からログ表示およびログ分析表示リクエストを受信し、ログ画面およびログ分析画面の表示に必要となる画面データを、例えば記憶部704から取得・処理し、これを返信する処理部である。
また、ログ収集処理部705は、記憶部704の設定情報記憶部711の情報に基づき、管理対象機器101からログ情報を収集し、ログ記憶部712に記憶、管理する処理部である。この際、ログ収集処理部705は、後段の分析処理に備えて、日時など各ログに共通する記述事項の書式を定められた形式に標準化して記録・管理する。
また、ログ分析処理部708は、上述の設定情報記憶部711の情報に基づき、ログの分析を行って、設定に応じた監視情報を生成し、これをログ記憶部712に記憶する処理部である。
また、ログ収集設定処理706およびログ分析設定処理部709は、クライアント106からのユーザ要求で指定された設定に設定情報記憶部711の情報を更新するとともに、データベースサーバ105の情報も同期して更新する処理部である。なお、上述の設定情報記憶部711の情報は、後述するデータベースサーバ105におけるログ収集管理設定情報テーブル905の情報と同じものとなる。
−−−ハードウェア構成−−−
−−−ハードウェア構成−−−
続いて、本実施形態のログ管理制御システム10を構成する装置のハードウェア構成について説明する。図8は、本実施形態のログ管理制御システム10を構成するコンピュータ装置801のハードウェア構成例を示す図である。
図にて例示するコンピュータ装置801は、CPU802、RAMなど揮発性記憶素子で構成されるメモリ803、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される外部記憶装置804、ネットワークインターフェイスカード(NIC:Network Interface Card)などの送受信装置805、ディスプレイなどの出力装置806、およびキーボード等の
入力装置807から構成されている。このうち出力装置806および入力装置807については、管理対象機器101、セキュリティナレッジ公開機関サーバ104、情報収集サーバ103、リスク評価サーバ107、およびログ収集管理サーバ108のいずれも備えないとしても良い。
入力装置807から構成されている。このうち出力装置806および入力装置807については、管理対象機器101、セキュリティナレッジ公開機関サーバ104、情報収集サーバ103、リスク評価サーバ107、およびログ収集管理サーバ108のいずれも備えないとしても良い。
上述の図2〜図7で例示した各装置の制御部202、302、402、503、602、702は、CPU802が上述の外部記憶装置804に記憶された適宜なプログラムをメモリ803にロードし実行することで実装される。また、図2〜図7で例示した各装置の送受信部201、301、401、501、601、701は、送受信装置805により実装される。また、図5で例示したクライアント106における入出力部502は、出力装置806、および入力装置807により実装される。 図4、図7で例示した核装置の記憶部404、704は、外部記憶装置804により実装される。
−−−データ構造例−−−
−−−データ構造例−−−
次に、本実施形態のログ管理制御システム10を構成する装置のうち、主にリスク評価サーバ107が利用するデータの構成例について説明する。当該ログ管理制御システム10のリスク評価サーバ107にて利用するデータは、少なくとも、システム管理者のユーザ情報、管理対象システム20のネットワーク情報、機器情報、セキュリティナレッジとして公開されている脆弱性情報、およびログ収集管理サーバ108の設定情報となる。
図9は、本実施形態のデータベースサーバ105上に格納されるデータテーブルの一覧を示す図である。図9に例示するデータベースサーバ105では、ユーザ情報テーブル901、ネットワーク情報テーブル902、機器情報テーブル903、脆弱性情報テーブル904、およびログ収集管理設定情報テーブル905を格納している。これら各テーブル間は、互いのレコードが含む所定のID等により相互に関連付けられている。
こうしたデータベースサーバ105が含むテーブルのうち、ユーザ情報テーブル901の構成例を図10に示す。図10に例示するユーザ情報テーブル901は、ユーザID1001、ユーザ情報1002、およびシステムリスト1003をデータ項目としたレコードを有する。このうちユーザID1001は、当該ログ管理制御システム10において、システム管理者などのユーザに対してユニークに割り当てられたIDである。また、ユーザ情報1002は、上述のユーザID1001に対応するユーザの氏名や連絡先などの情報である。また、システムリスト1003は、ユーザID1001に対応するユーザが管理しているシステム、すなわち管理対象システム20のIDとシステム名の組のリストである。なお本実施形態では、複数のシステム管理者が複数のシステムを管理する状況を想定するため、こうしたユーザ情報テーブル901をデータベースサーバ105にて保持するものとしているが、単一のシステムのみをリスク評価対象とする状況であれば、このユーザ情報テーブル901をデータベースサーバ105で保持せずともよい。このユーザ情報テーブル901は、ログ管理制御システム10の管理者等が予め生成してデータベースサーバ105に格納してあるものとする。
次に、ネットワーク情報テーブル902の構成例について図11に基づき説明する。図11に例示するネットワーク情報テーブル902は、ネットワークセグメントID1101、システムID1102、および可達セグメントIDリスト1103をデータ項目としたレコードを有する。このうちネットワークセグメントID1101は、管理対象システム20が含まれるネットワークセグメントに対してユニークに割り当てられたIDである。また、システムID1102は、上述のネットワークセグメントID1101が関連する管理対象システム20のIDである。また、可達セグメントIDリスト1003は、ネットワークセグメントID1101が示すネットワークセグメントからメッセージが到達可能な隣接するセグメントのIDリストである。
例えば、ネットワークセグメントID1101が"111"のネットワークセグメントからネットワークセグメントID1101が"222"のネットワークセグメントにメッセージが到達する場合、ネットワークセグメントID1101が"111"のレコードの可達セグメントIDリスト1103には、ネットワークセグメントID1001の"222"が格納される。
こうしたネットワーク情報テーブル902は、ログ管理制御システム10の管理者等が予め生成してデータベースサーバ105に格納してあるものとする。
次に、機器情報テーブル903の構成例について図12に基づき説明する。図12に例示する機器情報テーブル903は、上述の情報収集サーバ103が収集して当該テーブルに格納した、機器101の機器ID1201、機器名1202、プロダクトID1103、ネットワークセグメントIDリスト1204、および中継機器IDマップ1205をデータ項目としたレコードを有する。また、ログ収集管理サーバ108における管理対象機器101に対する管理IDを別名1206としてデータ項目としたレコードを有する。
このうち機器ID1201は、情報収集サーバ103が情報収集を行った上述の管理対象機器101に対してユニークに割り当てられたIDである。また、機器名1202は、上述の機器ID1201に対応する管理対象機器101に与えられたマシン名である。また、プロダクトID1203は、機器ID1201に対応する管理対象機器101を構成する製品IDである。また、ネットワークセグメントIDリスト1204は、機器ID1201に対応する管理対象機器101が所属しているネットワークセグメントのIDリストである。また、中継機器IDマップ1205は、システム構成上、管理対象機器101が中継する通信の送信元と送信先の管理対象機器101を示す機器IDのリストである。例えば、管理対象機器である"機器A"から"機器B"への通信が"機器C"を経由する場合、当該機器情報テーブル903の"機器C"に関するレコードにおいて、"機器A"をKEY、"機器B"をVALUEとした連想配列として格納する。また、別名1206は、ログ収集管理サーバ108において管理対象機器を特定する管理IDを格納する。機器ID1201との対応関係は、IPアドレス情報やMACアドレスなどにより、識別しているものとする。
次に、脆弱性情報テーブル904の構成例について図13に基づき説明する。図13に例示する脆弱性情報テーブル904は、上述の情報収集サーバ103がセキュリティナレッジ公開機関サーバ104から収集した情報が含む、脆弱性ID1301、機器ID1302、脆弱性攻撃確率1303、機器影響確率1304、脆弱性種別1305、脆弱性の対象ソフト1306、脆弱性脅威の内容1307、対策予定日1308、および対策ステータス1309をデータ項目としたレコードを有する。
このうち脆弱性ID1301は、脆弱性に対してユニークに割り当てられたIDである。この脆弱性ID1301としては、MITRE社が採番し、国際的に利用されている共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)や、日本国内で利用されているJVN番号(JVN:Japan Vulnerability Notes)、或いはベンダが独自に採番した脆弱性IDなどを想定出来る。
また、機器ID1302は、上述の脆弱性ID1301に対応する脆弱性が存在する管理対象機器101のIDである。また、対象プロダクト1306は、この機器ID1302に対応した機器101を構成するソフトウェア等のプロダクトIDと、上述の脆弱性ID1301に合致するプロダクトを指定する情報である。また、脆弱性攻撃確率1303
は、上述の脆弱性ID1301に対応する脆弱性単体を突いた攻撃の発生確率、あるいはスコアであり、脆弱性の技術的な特性に基づいたスコアである。また、機器影響確率1304は、上述の脆弱性ID1301に対応する脆弱性への攻撃により、該当管理対象機器101(機器ID1302が示す機器)に影響を与える確率であり、脆弱性の技術的な特性に基づいたスコアである。また、脆弱性種別1305は、上述の脆弱性ID1301に対応する脆弱性の種別(クラスタリングされたクラス)である。一般的にセキュリティナレッジ公開機関サーバ104では、CVSS(Common Vulnerability Scoring System)などの標準的なセキュリティ規格に基づき、個々のソフトウェア脆弱性に対して、技術特性の観点から攻撃容易性や機器への影響度などのスコアや脆弱性種別CWE(Common Weakness Enumeration)を付与して、セキュリティ情報を公開している。よって、上述の情報収集サーバ103は、上述の脆弱性攻撃確率1303や機器影響確率1304、脆弱性種別1305として、同スコアや種別をセキュリティナレッジ公開機関サーバ104から取得することが可能である。
は、上述の脆弱性ID1301に対応する脆弱性単体を突いた攻撃の発生確率、あるいはスコアであり、脆弱性の技術的な特性に基づいたスコアである。また、機器影響確率1304は、上述の脆弱性ID1301に対応する脆弱性への攻撃により、該当管理対象機器101(機器ID1302が示す機器)に影響を与える確率であり、脆弱性の技術的な特性に基づいたスコアである。また、脆弱性種別1305は、上述の脆弱性ID1301に対応する脆弱性の種別(クラスタリングされたクラス)である。一般的にセキュリティナレッジ公開機関サーバ104では、CVSS(Common Vulnerability Scoring System)などの標準的なセキュリティ規格に基づき、個々のソフトウェア脆弱性に対して、技術特性の観点から攻撃容易性や機器への影響度などのスコアや脆弱性種別CWE(Common Weakness Enumeration)を付与して、セキュリティ情報を公開している。よって、上述の情報収集サーバ103は、上述の脆弱性攻撃確率1303や機器影響確率1304、脆弱性種別1305として、同スコアや種別をセキュリティナレッジ公開機関サーバ104から取得することが可能である。
また、対策予定日1308および対策ステータス1309は、本実施形態では、システム管理者による、該当脆弱性の対策予定日およびその実施状況の各情報を示すものである。これらの情報は、システム管理者により更新されることを想定している。
次に、ログ収集管理設定情報テーブル905の構成例について図14、図15に基づき説明する。まず、図14に例示する第1のログ収集管理設定情報テーブル905_1は、上述のログ収集管理サーバ108のログ収集設定に関する情報を格納した、収集ログID1401、機器ID1402、機器名1403、プロダクトID1404、ログファイル名1405、および収集レベル1406をデータ項目としたレコードを有する。
このうち収集ログID1401は、管理対象機器101が生成する複数のローカルログ(ローカルログ記憶部204で保持)をファイル毎に一意に特定するIDである。また、機器ID1402、機器名1403、プロダクトID1404、ログファイル名1405は、収集ログID1401を特定する属性情報である。また、収集レベル1406は、機器ID1402で指定される管理対象機器101のローカルログ204からログ収集管理サーバ108に転送する情報量を設定するデータ項目である。この収集レベル1406は、 "0:収集しない"、と"A:すべて収集"の2値の形態や、ログ生成するプロダクトI
D1404ごとの任意レベルの形態など、任意のものを設定できるものとする。例えば、Webサーバなどのアクセスログについては、"0:収集しない"、"1:アクセス成功の
み収集する"、"2:アクセス失敗のみ収集する"、"A:すべて収集する"など、プロダク
トごとに収集レベルを定義して持っておくこととする。
D1404ごとの任意レベルの形態など、任意のものを設定できるものとする。例えば、Webサーバなどのアクセスログについては、"0:収集しない"、"1:アクセス成功の
み収集する"、"2:アクセス失敗のみ収集する"、"A:すべて収集する"など、プロダク
トごとに収集レベルを定義して持っておくこととする。
続いて、図15に例示する第2のログ収集管理設定情報テーブル905_2は、上述のログ収集管理サーバ108の分析設定に関する情報を格納した、分析ログID1501、分析ルール1502、および合致後の処理1503をデータ項目としたレコードを有する。
このうち分析ID1501は、ログ収集管理サーバ108に収集管理するログについての分析ルールを一意に特定するIDである。本実施形態では分析ルールは分析に利用する収集ログのID1401で指定し、指定した収集ログに対する合致条件の複数の組を論理式で定義されたものとするが、この表記方式に限定するものではない。分析ルール1502の論理式にて合致(True)を出力した場合の処理を合致後の処理1503にて定義する。例えば、システム管理者が定義した監視用のテーブルレコードにインサートするなどを本実施形態では想定している。
−−−情報収集、登録のフロー例−−−
−−−情報収集、登録のフロー例−−−
以下、本実施形態におけるログ管理制御方法の実際手順について図に基づき説明する。以下で説明するログ管理制御方法に対応する各種動作は、ログ管理制御システム10を構成する例えばリスク評価サーバ107がメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
なお、以下の説明においては、リスク評価サーバ107が実行する処理のみならず、他の装置が実行する処理についても適宜説明するものとする。
図16は、本実施形態におけるログ管理制御方法の処理手順例1を示すフロー図であり、具体的には、システム情報の収集処理手順例を示すフロー図である。ここではまず、データベースサーバ105の各テーブルの生成処理、すなわち情報収集サーバ103による管理対象機器101のシステム情報およびセキュリ情報の取得と、データベースサーバ105への格納の処理について説明する。
こうした処理は、リスク評価サーバ107において、管理対象機器101の脆弱性がもたらすリスクの評価処理を行う前(少なくとも直前)に、予め実行しておく必要がある。また、上述のシステム情報(管理対象機器101から得られる情報)やセキュリティナレッジ(セキュリティナレッジ公開機関サーバ104から得られる情報)は、管理対象機器101やセキュリティナレッジ公開機関サーバ104にて随時、追加や更新がなされているため、本実施形態のログ管理制御システム10(に含まれる、或いは協働する管理対象機器101、情報収集サーバ103、リスク評価サーバ107またはログ収集管理サーバ108)においては、これら各情報の取得処理をバックグラウンドの処理として実行するとすれば好適である。
この場合まず、管理対象機器101が、自身のOSにおける標準機能が含むスケジューラ機能により、例えば所定時間の到来に応じてシステム情報出力部203を起動する(1601)。
次に、管理対象機器101におけるシステム情報出力部203は、当該管理対象機器101のシステム情報を取得し、これを情報収集サーバ103に送信する(1602)。システム情報出力部203が取得するシステム情報は、機器情報テーブル903やネットワーク情報テーブル902における各レコードが含む項目(例:機器ID、機器名、ネットワークセグメントID等々)に対応する情報となる。
一方、上述の管理対象機器101からシステム情報を受信した情報収集サーバ103は、データベースサーバ105に対して、データの新規追加または更新のリクエストを送信する(1603)。データベースサーバ105は、このリクエストを受けて、リクエストが含むシステム情報のうち、例えば機器IDをキーに機器情報テーブル903を検索し、該当機器IDに関するレコードがなければ新規にレコードを生成し、上述のリクエストが含むシステム情報のうち該当項目の値をセットする。また、機器情報テーブル903にて該当機器IDに関するレコードが既に存在すれば、該当レコードにおいて、上述のリクエストが含むシステム情報のうち該当項目の値でデータ更新を行う。こうした処理はネットワーク情報テーブル902に関しても同様に実行するものとする。
以上の処理、ステップ1601〜ステップ1603は、管理対象機器101毎に実行され、管理対象機器101の数だけ反復されることとなる。本実施形態では、管理対象機器101と情報収集サーバ103との間でクライアントサーバ構成を取っており、上述のシステム情報の取得処理を自動化して運用を効率化している。但し、クライアント106な
どを利用するシステム管理者の手によって、データファイル形式で管理対象機器101のシステム情報を記述し、これを情報収集サーバ103に入力するとしてもよい。このようにシステム管理者の手によりシステム情報の入力を行うことで、管理対象機器101をエージェントレスで動作させることができる利点はある。また本実施形態では、定期的にシステム情報を送信する実施形態としているが、システム情報の変化を検知したタイミング、または、システム構成を更新したタイミングで同システム情報を送信しても良い。
どを利用するシステム管理者の手によって、データファイル形式で管理対象機器101のシステム情報を記述し、これを情報収集サーバ103に入力するとしてもよい。このようにシステム管理者の手によりシステム情報の入力を行うことで、管理対象機器101をエージェントレスで動作させることができる利点はある。また本実施形態では、定期的にシステム情報を送信する実施形態としているが、システム情報の変化を検知したタイミング、または、システム構成を更新したタイミングで同システム情報を送信しても良い。
上述のシステム情報の収集、格納に関する説明に引き続き、情報収集サーバ103が、セキュリティナレッジ公開機関サーバ104からセキュリティ情報を収集し、これをデータベースサーバ105に格納する一連の処理について説明する。
図17は本実施形態におけるログ管理制御方法のセキュリティ情報を収集する手順を示すフロー図であり、具体的には、情報収集サーバ103がバックグラウンド処理として行うセキュリティナレッジの取得処理のフロー例を示す図である。
この場合まず、情報収集サーバ103は、情報収集サーバ103自身のOS等に備わるスケジューラ機能により、所定時間の到来に応じてセキュリティナレッジ収集部304を起動し(1701)、このセキュリティナレッジ収集部304により、セキュリティナレッジ要求をセキュリティナレッジ公開機関サーバ104に送信する(1702)。
一方、上述のセキュリティナレッジ要求を受信したセキュリティナレッジ公開機関サーバ104は、セキュリティナレッジ出力部403により、自身の記憶装置のセキュリティナレッジ記憶部404にて保持するセキュリティナレッジのデータを、情報収集サーバ103に対して返信する(1703)。ここでセキュリティナレッジ公開機関サーバ104が情報収集サーバ103に返信するセキュリティナレッジは、脆弱性情報テーブル904におけるレコードの項目に対応する情報である。
上述のセキュリティナレッジのデータを受信した情報収集サーバ103は、データベースサーバ105に対して、セキュリティナレッジすなわちセキュリティ情報の新規追加または更新のリクエストを送信する(1704)。一方、データベースサーバ105は、このリクエストを受けて、リクエストが含むセキュリティ情報のうち、例えば機器IDないし脆弱性IDをキーに脆弱性情報テーブル904を検索し、該当機器ID等に関するレコードがなければ新規にレコードを生成し、上述のリクエストが含むセキュリティ情報のうち該当項目の値をセットする。また、脆弱性情報テーブル904にて該当機器ID等に関するレコードが既に存在すれば、該当レコードにおいて、上述のリクエストが含むセキュリティ情報のうち該当項目の値でデータ更新を行う。
本実施形態では、セキュリティナレッジ公開機関サーバ104と情報収集サーバ103との間で、上述のセキュリティ情報の取得処理を自動化して運用を効率化している。但し、セキュリティナレッジ公開機関サーバ104と情報収集サーバ103との間での情報授受の手法は、セキュリティナレッジ公開機関サーバ104の仕様に基づくものとする。
さらに引き続き、本実施形態におけるログ管理制御方法のログ情報の収集処理手順例を示すフローを説明する(図18)。ここでは、ログ収集管理サーバ108による管理対象機器101のログ情報の取得について説明する。また、ログ情報は随時、生成されているため、本実施形態のログ管理制御システム10(に含まれる、或いは協働する管理対象機器101、情報収集サーバ103、リスク評価サーバ107またはログ収集管理サーバ108)においては、ログ情報の取得処理をバックグラウンドの処理として実行するとすれば好適である。
この場合まず、管理対象機器101が、自身のOSにおける標準機能が含むスケジューラ機能により、例えば所定時間の到来に応じてログ情報出力部205を起動する(1801)。
次に、管理対象機器101におけるログ情報出力部205は、当該管理対象機器101が生成するローカルログ一覧をログ収集管理サーバ108に転送し、当該ログ収集管理サーバ108が収集するログの設定をログ収集管理サーバ108に要求する(1802)。これにより管理対象機器101は、、ログ収集管理サーバ108に転送すべきログに関する設定情報を得る。続いて、ログ情報出力部205は、上述の設定情報に応じて転送する、管理対象機器101のローカルログ情報を抽出・取得し、これをログ収集管理サーバ108に送信する(1803)。
一方、上述の管理対象機器101からログ情報を受信したログ収集管理サーバ108は、受信したログ情報を記憶装置に格納するとともに、ログ分析設定を検索してログ分析を実施し、入手したログ情報が所定条件に合致するかどうか確認し、合致した場合、定義された処理を実行する。ここで、ログ収集設定やログ分析設定は、後述の処理にてシステム管理者により設定されているものとする。
以上の処理、ステップ1801〜ステップ1803は、管理対象機器101毎に実行され、管理対象機器101の数だけ反復されることとなる。本実施形態では、管理対象機器101とログ収集管理サーバ108との間でクライアントサーバ構成を取っており、上述のログ情報の取得処理を自動化して運用を効率化している。また本実施形態では、定期的にログ情報を送信する実施形態としているが、管理対象機器101のOSや他のソフトが検知した何らかのイベントのタイミング(例えば、マルウェア検知など)で同ログ情報を送信しても良い。
次に、システム管理者の操作によってクライアント106がリスク評価サーバ107に接続された際の、リスク評価サーバ107によるクライアント106に対する画面表示の処理について図に基づき説明する。図19は、本実施形態におけるログ管理制御方法の画面表示処理手順例を示すフロー図である。
この場合まず、システム管理者の指示を、入出力部502を介して受けたクライアント106が、画面表示要求部505を用いて、リスク評価サーバ107に対しリクエストを送信する(1901)。この接続リクエストには、少なくともユーザID1001が含まれる。
一方、リスク評価サーバ107の画面表示処理部603は、上述のクライアント106に対して出力すべき画面表示データを、例えばデータベースサーバ105に要求して取得する(1902)。さらに、リスク評価サーバ107の画面表示処理部603は、ステップ1901で受けたクライアント106のリクエストの必要に応じて、例えば、ログ収集管理サーバ108に要求して、必要なログ情報等を取得する(1903)。この場合、リスク評価サーバ107の外部記憶装置804には、例えば、本実施形態のリスク評価方法の各手順に対応する所定画面の雛形データが予め格納されており、リスク評価サーバ107は、クライアント106からの要求に応じて該当手順に対応する画面の雛形データをこの外部記憶装置804から読み出し、これに、データベースサーバ105およびログ収集管理サーバへの要求に伴って得たデータを設定して出力するものとする。
上述のステップ1902およびステップ1903にてリスク評価サーバ107が、データベースサーバ105およびログ収集管理サーバ108から取得するデータ、すなわち画面の雛形データに設定するデータは、例えば、上述のリクエストが含むユーザID100
1をキーにユーザ情報テーブル901、機器情報テーブル903のそれぞれから得られるデータとなる。そのデータとは、ユーザID1001に関連付けられたユーザ情報1002、システムリスト1003、および、このシステムリスト1003が含むシステムIDに関連付けられた機器ID1201、機器名1202、ネットワークセグメントID1204等である。
1をキーにユーザ情報テーブル901、機器情報テーブル903のそれぞれから得られるデータとなる。そのデータとは、ユーザID1001に関連付けられたユーザ情報1002、システムリスト1003、および、このシステムリスト1003が含むシステムIDに関連付けられた機器ID1201、機器名1202、ネットワークセグメントID1204等である。
なお、本実施形態では、クライアント106からのリクエストにユーザID1001が含まれている例を示しているが、その他にも、リクエストに対する一般的なユーザ認証等の処理(例:ID、パスワードの組の真正性を検証する本人認証等)を行い、その認証処理等を通じてユーザID1001を特定するとしても良い。このユーザ認証等の処理形態については限定するものではない。
リスク評価サーバ107の画面表示処理部603は、上述のように、データベースサーバ105のユーザ情報テーブル901および機器情報テーブル903のそれぞれから得たデータと、クライアント106からのリクエスト内容に応じてログ収集管理サーバ108から得た情報を、所定画面の雛形データにセットして画面データを生成し、これを上述のクライアント106に返す(1904)。このステップ1904の処理の結果、クライアント106の入出力部502にて表示される画面2001の例を図20に示す。
図20で例示する画面2001は、ユーザIDおよびユーザ名の各情報を表示するユーザ情報領域2002と、システム一覧リストの情報を表示するシステムリスト表示領域2003と、システム一覧で選択されたシステムの機器リストと構成を表示するシステム情報表示領域2004とログ連携ボタン2005を含む構成となっている。
このうちシステムリスト表示領域2003は、該当システムを識別するIDとシステム名、システム毎の代表リスク値が表示されている。この図20の例では、システム管理者により登録された最も重要な保護対象機器への攻撃到達可能性をこの代表リスク値として表示している。但しこのリスク値の算出方法は前述した通り、本実施の形態では限定しない。また、システム情報表示領域2004は、システムの構成機器IDと機器名、各機器までの攻撃到達可能性、およびこの際の攻撃可達性経路図を表示している。詳細は後述するが、ログ連携ボタン2005が押下された場合、その時点でチェックボックス2010、2011にチェックが入っているシステムおよび機器に関して、ログ連携表示画面がリクエストされる。
本実施形態のログ連携表示画面2101の例を図21に例示する。図21で例示する画面2101においては、画面2001から引き継いだユーザIDおよびユーザ名の各情報を表示するユーザ情報領域2101と、ログ収集管理サーバ108のログ許容量を表示するログ許容量情報表示領域2103、画面2001のシステムリスト一覧2003のチェックボックス2010で指定されたシステムに関する収集ログ情報を表示する領域2104と、画面2001のシステム情報領域2004の機器リストのチェックボックス2011で指定された機器に関する脆弱性について表示する領域2105を含む構成となっている。
このうちログ許容量情報2103は、図21の例では、「80MBPS」(80 Me
gaByte Per Sec.)などといった単位時間当たりの最大許容平均発生ログ量(単位時間当たり収集ログ量合計の許容値)と、ログ管理制御システム10が指示・設定したログ収集により、単位時間当たりに発生するログ量の見積値(図中では、0.001MBPS)との関係を例示している。上述の最大許容平均発生ログ量の値は、例えば、ログ収集管理サーバ108におけるログ記憶可能容量とログの保存期間と各ログの発生量見積値により事前に算出しておくことを想定している。
gaByte Per Sec.)などといった単位時間当たりの最大許容平均発生ログ量(単位時間当たり収集ログ量合計の許容値)と、ログ管理制御システム10が指示・設定したログ収集により、単位時間当たりに発生するログ量の見積値(図中では、0.001MBPS)との関係を例示している。上述の最大許容平均発生ログ量の値は、例えば、ログ収集管理サーバ108におけるログ記憶可能容量とログの保存期間と各ログの発生量見積値により事前に算出しておくことを想定している。
一例として、ログ収集管理サーバ108における或る時点でのログ記憶可能容量が642テラバイトで、各ログの保存期間が3ヶ月であったとすれば、該当時点から3ヶ月の間に格納出来るログデータ量は、計642テラバイトである。この場合、単位時間当たりの最大許容平均発生ログ量は、642tera/(3month×31days*24hour*60min.*
60sec.)≒80MBPS、と算定出来る。また、過去に各機器の各プロダクトで生じたログの発生履歴(ログ収集管理サーバ108が記憶装置に保持している)などに基づき、管理対象システム20での単位時間当たりのログ発生量の平均値を算出して、その値を単位時間当たりに発生するログ量の見積値とすればよい。
60sec.)≒80MBPS、と算定出来る。また、過去に各機器の各プロダクトで生じたログの発生履歴(ログ収集管理サーバ108が記憶装置に保持している)などに基づき、管理対象システム20での単位時間当たりのログ発生量の平均値を算出して、その値を単位時間当たりに発生するログ量の見積値とすればよい。
また、「○○社人事管理システム」など指定システムに関する収集ログの情報表示領域2104は、該当システムを構成する各機器がローカルで(つまり該当各機器内で)生成しているログがリスト2110として一覧表示されている。図21の例では、画面2001のシステム情報領域2004の機器リストのチェックボックスで指定された機器からネットワークで可達する順で該当各機器を列挙表示している。
また、この表示例における収集ログのリスト2110には、収集ログIDごとに、ログ収集する機器ID、ログを生成するプロダクトを一意に示すソフトID、ログを転送する情報量のレベル、単位時間当たりのログ量、およびログの保存期間が含まれる。この収集ログ情報2104に対して、ログ収集最適化ボタン2105が押下されることにより、ログ収集設定の最適化処理が起動される。この処理に関して詳細は後述する。
また、機器毎の脆弱性情報の表示領域2105は、各機器が含む脆弱性のリスト2111で構成される。脆弱性のリスト2111は、脆弱性を一意に特定する脆弱性IDと、その脆弱性が攻撃に利用される可能性(確率)と、その脆弱性の種別と、その脆弱性への対策予定日、その脆弱性監視のための分析ログIDで構成される。この図21の例では、攻撃利用可能性の値の大きい順で、各脆弱性のレコードを表示する構成としている。また、この脆弱性リスト2111のチェックボックス2112での指定に応じて、指定を受けた該当脆弱性の詳細情報として、脆弱性の概要や対象プロダクト、脅威の内容などを表示するものとする。これらの内容は、クライアント106が、リスク評価サーバ107を介して脆弱性情報テーブル904から該当データを入手し、表示することを想定している。
なお、脆弱性リスト2111における項目のうち対策予定日は、デフォルトでは該当システムの定期保守日とすることを想定している。この定期保守日は、システム管理者により、あらかじめ入力されるものとする。また、分析ログIDは、該当の脆弱性攻撃を監視するために追加するログ分析ルールを指定するIDである。ここでは、分析ログルールが既に登録されていれば該当分析ログID2113が表示され、未登録であれば追加ボタン2114が表示される構成としている。クライアント106は、ユーザによる分析ID2113のクリック、あるいは、追加ボタン2114のクリックに応じて、ログ分析設定・確認画面(図27:後述)を呼び出すことを想定している。なお、ログ分析設定については後述する。
−−−システム情報登録時のログ収集設定の生成フロー−−−
次に、本実施形態のログ管理制御システム10に、管理対象機器101_1〜101_nからなる管理対象システム20のシステム情報を登録した際のリスク評価結果に対するログ収集設定情報の生成フローについて説明する。図22は、本実施形態におけるログ管理制御方法の処理手順例5を示すフロー図である。
この場合、リスク評価サーバ107は、例えばクライアント106からの、新規管理対
象システム20に関する情報登録要求を受けて、この要求が含む各情報と、そのうちの所定情報に基づいて管理対象システム20を構成する管理対象機器101から得た情報を、データベースサーバ105のネットワーク情報テーブル902、機器情報テーブル903にレコードを生成して登録する(2201)。
象システム20に関する情報登録要求を受けて、この要求が含む各情報と、そのうちの所定情報に基づいて管理対象システム20を構成する管理対象機器101から得た情報を、データベースサーバ105のネットワーク情報テーブル902、機器情報テーブル903にレコードを生成して登録する(2201)。
ここでデータベースサーバ105に登録する情報は、クライアント106から得た該当管理対象システム20の名称、ID、所属するネットワークセグメントといった各種属性情報と、該当管理対象システム20を構成する管理対象機器101_1〜101_nのシステム情報出力部203にリスク評価サーバ107又はクライアント106が要求して取得した各機器101のシステム情報(機器ID、機器名、プロダクトID、ネットワークセグメント、中継機器IDマップ、別名)等が含まれる。なお、システムIDについては、リスク評価サーバ107が、該当管理対象システム20に関して所定ルールにて付番するとしてもよい。
次にリスク評価サーバ107は、上述のステップ2201においてシステム管理者により該当管理対象システム20の情報登録が開始された、ネットワーク情報テーブル902および機器情報テーブル903の格納情報と、公開セキュリティナレッジ公開機関サーバ104で保持、蓄積されているた脆弱性情報とに基づいて、脆弱性情報テーブル904の情報を生成し、各管理対象機器101の脆弱性における攻撃利用可能性をリスク値として算出・格納する(2202)。
或る攻撃源が、ネットワークで繋がる各管理対象機器101の持つ脆弱性を利用して(各管理対象機器101に)攻撃を行う確率、すなわち上述の攻撃利用可能性の算出手法は、データベースサーバ105の機器情報テーブル903で保持する管理対象機器101の情報、ネットワーク情報テーブル902で保持するネットワークセグメントおよび可達セグメントIDリストの各情報、および脆弱性情報テーブル904で保持する脆弱性攻撃確率1303、機器影響確率1304、脆弱性種別1305といった各情報に基づいて、該当ネットワークにおける各管理対象機器101の配置に応じた脆弱性の影響関係について所定アルゴリズム(既存のものを適用すればよい)によるリスク評価を行うものを想定する。
このステップ2202での処理結果が、図21で例示したログ連携画面2101に表示されることとなる。このログ連携画面2101においてログ収集最適化ボタン2105が押下されることで、以降の処理が起動される。
次に、リスク評価サーバ107は、既に述べた単位時間当たりの最大許容平均発生ログ量を、上述の手法等で算定するか、或いはクライアント106から取得し、これを記憶する(2203)。
続いてリスク評価サーバ107は、上述の管理対象機器101の情報(当該フロー開始以降、メモリ等での作業用記憶領域で保持。以下同様)を、ステップ2202で算定した攻撃利用可能性の値の昇順(可能性の高い順)でソートし、さらに、管理対象機器101毎の脆弱性の情報についても攻撃利用可能性の昇順でソートし(2204)、例えば図21の画面2101における各リスト2110、2111での各レコードの表示位置も上述のソート結果に応じて更新する。
次にリスク評価サーバ107は、上述のステップ2204で攻撃利用可能性を得た脆弱性のうち、所定テーブルで情報設定がなされていないもので、例えば最も攻撃利用可能性が高い脆弱性について、そのログ収集に関する設定情報を上述の所定テーブルに追加する(2205)。
この所定テーブル2300の例を図23に示す。リスク評価サーバ107は、登録対象の脆弱性に関し、その種別IDをキーとして、該当脆弱性に関する説明、必要な監視内容、該当監視に必要となるログを含むログファイル、および該当脆弱性の監視に必要なログ量を規定した必要レベル(情報量レベル)の各情報を対応付けたレコードを生成し、登録することとなる。このうち、説明、監視内容、ログファイル、および必要レベルの各情報については、ユーザがクライアント106を操作して入力したものを取得したものとなる。
続いてリスク評価サーバ107は、上述のステップ2205でテーブル2300に対する情報設定が追加された脆弱性について、それを含む管理対象機器101のプロダクトにて発生するログ量の見積計算を実行する(2206)。ここでは、図24で例示するテーブル2400を利用した見積計算を想定する。このテーブル2400は、各プロダクトのID、製品名、発生ログの格納先であるログファイル、ログレベル(ログ収集量に応じて大きな値となるもの)ごとの標準ログEPS(Event Per Sec.)および、標準BPE(Byte Per Event)など単位時間当たりの標準的なログ量が対応付いたレコードの集合体となっている。なお、上述のテーブル2300およびテーブル2400とも、リスク評価サーバ107がその外部記憶装置に保持するものとする。
この場合、当該ステップ2206におけるリスク評価サーバ107は、例えば図21の画面2101でユーザが指定した脆弱性「VUL14013」に関する、脆弱性種別「CWE78」と
対象プロダクト「Tomcat」の各情報のうち、まずは脆弱性種別「CWE78」に基づき、テー
ブル2300で該当ログファイル「access_log」と、その必要レベル「2」の各情報を特定する。また、リスク評価サーバ107は、対象プロダクト「Tomcat」のログファイル「access_log」とその必要レベル「2」に関してテーブル2400を検索し、標準ログEPSとして「2.5」、標準BPEとして「500」の各値を取得する。リスク評価サーバ107は、ここで得た標準ログEPS「2.5」を標準BPE「500」に乗算し、ログ量の見積値である見積BPS「1250」を算定する。
対象プロダクト「Tomcat」の各情報のうち、まずは脆弱性種別「CWE78」に基づき、テー
ブル2300で該当ログファイル「access_log」と、その必要レベル「2」の各情報を特定する。また、リスク評価サーバ107は、対象プロダクト「Tomcat」のログファイル「access_log」とその必要レベル「2」に関してテーブル2400を検索し、標準ログEPSとして「2.5」、標準BPEとして「500」の各値を取得する。リスク評価サーバ107は、ここで得た標準ログEPS「2.5」を標準BPE「500」に乗算し、ログ量の見積値である見積BPS「1250」を算定する。
なおこうしたログ量については、システム毎、機器毎に発生量がばらつくことも容易に想定される。このため、各管理対象機器101の各ログ毎に平均の単位時間当たりのログ発生量や、単位時間当たりの最大のログ発生量などの統計値を算出し、この見積もりに反映するとしても良い。
次にリスク評価サーバ107は、上述のステップ2206で算定したログ量の見積値を、既に算定済みの他の脆弱性に関するログ量の見積値(勿論、今回のステップ2205が該当管理対象システム20に関して初回のものであれば、他の脆弱性に関して算定済みのログ量見積値はゼロである)と合計し、その合計値が、上述のステップ2203で得ている単位時間当たりの最大許容平均発生ログ量を超えているか判定する(2207)。この時、リスク評価サーバ107は、今回判定対象としている脆弱性が、上述のステップ2204でソートした脆弱性の情報中で最後の脆弱性であるか否かも併せて判定するものとする。
上述のように今回算定したログ量の見積値が「1250」BPSで、既に得ている他の脆弱性のログ量の見積値が「400」BPSであったとすれば、リスク評価サーバ107は、これらを合計した「1650」BPSを、上述の単位時間当たりの最大許容平均発生ログ量たる「80M」BPSと比較し、合計値「1650」BPSが、単位時間当たりの最大許容平均発生ログ量「80M」BPSを超えていないと判定することとなる。
上述の判定の結果、ログ量の見積値の合計値が単位時間当たりの最大許容平均発生ログ
量を超えた場合か、または今回判定対象としている脆弱性が最後の脆弱性であった場合(2207:Yes)、リスク評価サーバ107は、処理をステップ2208へ進める。それ以外の場合(2207:No)、リスク評価サーバ107は処理を上述のステップ2205に戻し、上述のソートした脆弱性の情報中で未処理のものについてステップ2205〜2207を順次繰り返すこととなる。
量を超えた場合か、または今回判定対象としている脆弱性が最後の脆弱性であった場合(2207:Yes)、リスク評価サーバ107は、処理をステップ2208へ進める。それ以外の場合(2207:No)、リスク評価サーバ107は処理を上述のステップ2205に戻し、上述のソートした脆弱性の情報中で未処理のものについてステップ2205〜2207を順次繰り返すこととなる。
一方、ステップ2208におけるリスク評価サーバ107は、上述のステップ2205〜2207でテーブル2300に追加されたログ収集の設定情報を、クライアント106に対して送信して表示させ、このクライアント106で設定情報を閲覧したシステム管理者の確認指示を受けた上で、ログ収集管理サーバ108に該当設定情報を通知し、設定情報記憶部711の格納情報に反映する(2208)。
このステップ2208でクライアント106で表示させる画面例を図26にて示す。この図26で示すログ収集設定・確認画面2601は、上記処理フローの結果について所定メッセージ2610を表示するメッセージ領域2602、追加された収集ログの設定情報リスト2611の表示領域2603、追加された収集ログの設定情報をログ収集管理サーバ108に反映する処理の実行指示を受け付けるボタン2604、設定情報リスト2611におけるレベル(情報量レベル)をユーザ指示に応じて変更して上述のログ量の見積を再実行する指示を受け付けるボタン2605から構成されている。
ここで上述の設定情報リスト2611は、収集ログごとに、該当ログを生成する機器名、プロダクトID、ログの収集レベル(情報量レベル)、見積BPS(Byte Per
Sec.)、ログの保存期間で構成されている。このうち「収集レベル」欄をユーザがクリックした場合、これを受けたリスク評価サーバ107は、テーブル2400において該当プロダクトの該当ログファイルに関するログレベルを参照し、このログレベルに対応した収集レベル一覧をクライアント106にプルダウン表示させる。ユーザはこの一覧から任意の収集レベルへの変更を選択できる。こうした収集レベルの設定変更を受けたリスク評価サーバ107は上述のボタン2605を活性化させ、該当ボタン2605の押下に応じてログ量の再見積もり計算を実行するものとする。
Sec.)、ログの保存期間で構成されている。このうち「収集レベル」欄をユーザがクリックした場合、これを受けたリスク評価サーバ107は、テーブル2400において該当プロダクトの該当ログファイルに関するログレベルを参照し、このログレベルに対応した収集レベル一覧をクライアント106にプルダウン表示させる。ユーザはこの一覧から任意の収集レベルへの変更を選択できる。こうした収集レベルの設定変更を受けたリスク評価サーバ107は上述のボタン2605を活性化させ、該当ボタン2605の押下に応じてログ量の再見積もり計算を実行するものとする。
なお、上述のステップ2208の実行により、リスク評価サーバ107がログ収集管理サーバ108に対してテーブル2300のデータを通知し、ログ収集の内容について設定する際、図25の示すテーブル2500の内容についても通知、設定するものとする。図25に例示するテーブル2500は、各プロダクトのログファイル毎のログレベルに関する規定を格納したテーブルである。このテーブル2500では、ログを生成するプロダクト毎に、ログファイル名、ログレベル、およびログレベルごとのログ内容の各情報を格納した構造となっている。例えば、Webサーバのアクセスログの場合は、HTTPステータスコードごとに以下のようにログレベルの内容が規定されている。
ログレベル1:HTTPステータスコード2xxコードのみ(成功の場合)
ログレベル2:ログレベル1に加え、4xx、および5xxコード(失敗の場合)
ログレベル3:ログレベル1に加え、3xxコード(Redirectの場合)
ログレベルA:すべて(ALL)
ログレベルA:すべて(ALL)
ログ収集管理サーバ108は、上述のステップ2208の処理を受けて、各管理対象機器101から、そのプロダクトにおける脆弱性を踏まえた内容でのログ収集を実行することとなる。
なお、上述のように収集設定したログについて、分析のルール設定をユーザから受け付けて処理するとしてもよい。この場合の画面2701の例を図27に示す。この画面2701は、脆弱性に基づくリスクの高さに応じて選定された収集ログを表示するリスト表示領域2702、上述の分析ルールの設定を受け付ける領域2703、この分析ルールをログ収集管理サーバ108に反映する処理の実行指示を受け付けるボタン2704から構成されている。また本画面2701は、例えば、ログ連携画面2101の脆弱性一覧表示領域2105で所定のインターフェイスに対するクリック動作を受けて表示されるものとする。
ここで、分析ルール設定領域2703は、分析ルールの設定対処たる収集ログのIDを指定するチェックボックス2710、該当収集ログの分析ルールとして、例えば特定の文字列を含むなどの条件を設定するフィールド2711、このフィールド2711で記述された条件に該当収集ログが合致する場合に実施する処理を設定するフィールド2712で構成されるものとする。
また、フィールド2712で設定する処理として、決められたテーブルにアラート情報を登録する等の処理の他に、中間ログを生成するといった処理も選択可能なインターフェイスを提供するものとする。ここで生成する中間ログについても収集ログIDをつけて、収集ログとして管理・リスト化することで、より複雑な条件での分析・監視ルールの設定を可能とすることをこの例では想定している。このことにより、脆弱性単位で監視ルールを管理することができ、脆弱性対策の状況により、対策完了時に無用の監視ルール設定、および収集ログ設定を解除することができる。また、攻撃可能性確率の順で収集ログを設定することで、収集するログ容量を高い脅威の順に最適化することができる。このことにより、効果的・効率的なログ管理制御が実現できる。
−−−新規脆弱性情報公開時のログ収集フロー−−−
次に、セキュリティナレッジ公開機関サーバ104から新しく脆弱性情報が公開された際のログ収集設定の更新処理について図に基づき説明する。図28は、本実施形態におけるログ管理制御方法の処理手順例6を示すフロー図である。
この場合、情報収集サーバ103は、自身の備えるOS等におけるスケジューラ呼び出し(図17:ステップ1701と同様)により、セキュリティナレッジ公開機関サーバ104にアクセスして、新規公開された脆弱性情報を収集し(2801)、これをリスク評価サーバ107に送信する。
次に、リスク評価サーバ107は、情報収集サーバ103から得た上述の新しい脆弱性情報と、データベースサーバ105のネットワーク情報テーブル902および機器情報テーブル903の各情報とに基づいて、各機器の脆弱性における攻撃利用可能性を図22のステップ2202と同様にリスク値として再度算出し、この攻撃利用可能性の情報を含む所定項目(脆弱性情報テーブル904のレコードが含むもの)の情報からなるレコードを生成して、これをデータベースサーバ105の脆弱性情報テーブル904に格納する(2802)。
続いてリスク評価サーバ107は、単位時間当たりの最大許容平均発生ログ量を、図22のステップ2203と同様に算定するか、或いはクライアント106から取得し、これをメモリ等に記憶する(2803)。
次にリスク評価サーバ107は、上述の管理対象機器101の情報を、ステップ2802で算定した攻撃利用可能性の値の昇順(可能性の高い順)でソートし、さらに、管理対
象機器101毎の脆弱性の情報についても攻撃利用可能性の昇順でソートする(2804)。
象機器101毎の脆弱性の情報についても攻撃利用可能性の昇順でソートする(2804)。
次にリスク評価サーバ107は、ステップ2801で収集された新規の脆弱性を持つプロダクトにおけるログ収集が既に実施されているか、データベースサーバ105のログ収集管理設定情報テーブル905を検索して判定する(2805)。
この判定の結果、該当脆弱性に対応したプロダクトにおけるログ収集が実施済みであれば(2805:No)、リスク評価サーバ107は、ステップ2804でソートした中で次に攻撃利用可能性の高い脆弱性を特定し(28051)、この脆弱性に関して当該ステップ2805を再度実行する。他方、上述の判定の結果、該当脆弱性に対応したプロダクトにおけるログ収集が未実施であれば(2805:Yes)、リスク評価サーバ107は、処理をステップ2806に進める。
以降、リスク評価サーバ107は、図22におけるステップ2205〜2207と同様に、ステップ2806〜2808を実行し、上述の各ステップで更新されたログ収集の設定情報を、クライアント106に対して送信して表示させ、このクライアント106で設定情報を閲覧したシステム管理者の確認指示を受けた上で、ログ収集管理サーバ108に該当設定情報を通知し、設定情報記憶部711の格納情報に反映する。
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
こうした本実施形態によれば、脆弱性由来のリスクに関する監視にて有効なログ収集が、該当システムの状況に応じて効率的に実行可能となる。
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態のログ管理制御システムにおいて、前記演算装置は、前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、前記ログ収集の指示に際し、前記攻撃利用可能性の高さが、機器間で所定順位以上の機器に対してログ収集を指示するものである、としてもよい。
これによれば、ログ収集の必要性について、脆弱性における攻撃利用可能性の観点で順位付けした所定数の機器に対して、そのプロダクトでのログ収集を設定することが可能となる。ひいては、脆弱性由来のリスクに関する監視にて有効なログ収集が、該当システムの状況に応じて効率的に実行可能となる。
また、本実施形態のログ管理制御システムにおいて、前記記憶装置は、脆弱性の種類とログ収集の情報量レベルとの関係を定めたテーブルを更に格納するものであり、前記演算装置は、前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、前記ログ収集の指示に際し、前記攻撃利用可能性の高い順に、該当機器における脆弱性の種類に応じたログ収集の情報量レベルを前記テーブルにて特定し、前記特定した情報量レベルに基づく各機器からの収集ログ量合計が所定許容値を越えない制約で、前記攻撃利用可能性の高さが機器間で所定順位以上の機器を特定し、当該特定した機器に対してログ収集を指示するものであるとしてもよい。
これによれば、脆弱性における攻撃利用可能性の観点で順位付けした機器を、ログ量の
制約で所定数だけ特定し、ログ収集の設定をすることが可能となる。ひいては、脆弱性由来のリスクに関する監視にて有効なログ収集が、該当システムの状況に応じて更に効率的に実行可能となる。
制約で所定数だけ特定し、ログ収集の設定をすることが可能となる。ひいては、脆弱性由来のリスクに関する監視にて有効なログ収集が、該当システムの状況に応じて更に効率的に実行可能となる。
また、本実施形態のログ管理制御システムにおいて、前記記憶装置は、脆弱性の種類とログ収集の情報量レベルとの関係を定めたテーブルを更に格納するものであり、前記演算装置は、前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、前記ログ収集の指示に際し、前記攻撃利用可能性の高い順に、該当機器における脆弱性の種類に応じたログ収集の情報量レベルを前記テーブルにて特定し、前記特定した情報量レベルに応じた各機器での単位時間当たりログ発生量の合計値が、ログ格納先の記憶可能容量に応じた単位時間当たり収集可能な最大ログ発生量を越えない制約で、前記攻撃利用可能性の高さが機器間で所定順位以上の機器を特定し、当該特定した機器に対しログ収集を指示するものであるとしてもよい。
これによれば、脆弱性における攻撃利用可能性の観点で順位付けした機器を、単位時間当たりのログ発生量の制約で所定数だけ特定し、ログ収集の設定をすることが可能となる。ひいては、脆弱性由来のリスクに関する監視にて有効なログ収集が、該当システムの状況に応じて更に効率的に実行可能となる。
また、本実施形態のログ管理制御システムにおいて、前記演算装置は、脆弱性に関するログ生成条件である脆弱性監視内容の設定を入力装置で受け付けて記憶装置に格納し、前記ログ収集の指示に際し、該当機器での脆弱性に関する前記脆弱性監視内容も含めて指示するものであるとしてもよい。
これによれば、例えば、管理対象システムに特有の構成や状況等について知見を備えたユーザから指定を受けて、これにマッチしたログ収集の設定が可能となる。ひいては、脆弱性由来のリスクに関する監視にて有効なログ収集が、該当システムの状況に応じて更に効率的に実行可能となる。
また、本実施形態のログ管理制御システムにおいて、前記演算装置は、前記データベースで脆弱性の情報を保持している所定機器について、所定装置から新たな脆弱性の情報を取得した場合、該当脆弱性の情報を前記所定機器に対応付けて前記データベースに更に格納し、前記新たな脆弱性も含めて、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによる前記リスク評価を再実行し、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、前記ログ収集の指示に際し、前記攻撃利用可能性の高さが、機器間で所定順位以上の機器として、前記新たな脆弱性の攻撃利用可能性に基づくものが含まれる場合、該当機器に対して新たなログ収集を指示するものである、としてもよい。
これによれば、脆弱性情報を公開するインターネット上のサーバ等から新たな脆弱性情報が公開される際に、あらためて必要となるログ収集の設定をすることが可能となる。ひいては、脆弱性由来のリスクに関する監視にて有効なログ収集が、該当システムの状況に応じて更に効率的に実行可能となる。
また、本実施形態のログ管理制御方法において、前記情報処理システムが、前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、前記ログ収集の指示に際し、前記攻撃利用可能性の高
さが、機器間で所定順位以上の機器に対してログ収集を指示するとしてもよい。
さが、機器間で所定順位以上の機器に対してログ収集を指示するとしてもよい。
また、本実施形態のログ管理制御方法において、前記情報処理システムが、前記記憶装置において、脆弱性の種類とログ収集の情報量レベルとの関係を定めたテーブルを更に格納し、前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、前記ログ収集の指示に際し、前記攻撃利用可能性の高い順に、該当機器における脆弱性の種類に応じたログ収集の情報量レベルを前記テーブルにて特定し、前記特定した情報量レベルに基づく各機器からの収集ログ量合計が所定許容値を越えない制約で、前記攻撃利用可能性の高さが機器間で所定順位以上の機器を特定し、当該特定した機器に対してログ収集を指示するとしてもよい。
また、本実施形態のログ管理制御方法において、前記情報処理システムが、前記記憶装置において、脆弱性の種類とログ収集の情報量レベルとの関係を定めたテーブルを更に格納し、前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、前記ログ収集の指示に際し、前記攻撃利用可能性の高い順に、該当機器における脆弱性の種類に応じたログ収集の情報量レベルを前記テーブルにて特定し、前記特定した情報量レベルに応じた各機器での単位時間当たりログ発生量の合計値が、ログ格納先の記憶可能容量に応じた単位時間当たり収集可能な最大ログ発生量を越えない制約で、前記攻撃利用可能性の高さが機器間で所定順位以上の機器を特定し、当該特定した機器に対しログ収集を指示するとしてもよい。
また、本実施形態のログ管理制御方法において、前記情報処理システムが、脆弱性に関するログ生成条件である脆弱性監視内容の設定を入力装置で受け付けて記憶装置に格納し、前記ログ収集の指示に際し、該当機器での脆弱性に関する前記脆弱性監視内容も含めて指示するとしてもよい。
また、本実施形態のログ管理制御方法において、前記情報処理システムが、前記データベースで脆弱性の情報を保持している所定機器について、所定装置から新たな脆弱性の情報を取得した場合、該当脆弱性の情報を前記所定機器に対応付けて前記データベースに更に格納し、前記新たな脆弱性も含めて、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによる前記リスク評価を再実行し、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、前記ログ収集の指示に際し、前記攻撃利用可能性の高さが、機器間で所定順位以上の機器として、前記新たな脆弱性の攻撃利用可能性に基づくものが含まれる場合、該当機器に対して新たなログ収集を指示するとしてもよい。
10 ログ管理制御システム
20 管理対象システム
101 管理対象機器
102 ネットワーク
103 情報収集サーバ
104 セキュリティナレッジ公開機関サーバ
105 データベースサーバ
106 クライアント
107 リスク評価サーバ
108 ログ収集管理サーバ
802 CPU(演算装置)
803 メモリ
804 外部記憶装置
805 送受信装置
806 出力装置
807 入力装置
901 ユーザ情報テーブル
902 ネットワーク情報テーブル
903 機器情報テーブル
904 脆弱性情報テーブル
905 ログ収集管理設定情報テーブル
20 管理対象システム
101 管理対象機器
102 ネットワーク
103 情報収集サーバ
104 セキュリティナレッジ公開機関サーバ
105 データベースサーバ
106 クライアント
107 リスク評価サーバ
108 ログ収集管理サーバ
802 CPU(演算装置)
803 メモリ
804 外部記憶装置
805 送受信装置
806 出力装置
807 入力装置
901 ユーザ情報テーブル
902 ネットワーク情報テーブル
903 機器情報テーブル
904 脆弱性情報テーブル
905 ログ収集管理設定情報テーブル
Claims (12)
- 管理対象システムを構成する機器、ネットワーク、および前記機器に関する脆弱性の各情報を互いに関連付けたデータベースを保持する記憶装置と、
前記データベースで保持する前記機器、前記ネットワーク、および前記脆弱性の各情報に基づいて、ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、前記リスクの高さが所定基準以上の機器に対してログ収集を指示する演算装置と、
を備えることを特徴するログ管理制御システム。 - 前記演算装置は、
前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、
前記ログ収集の指示に際し、前記攻撃利用可能性の高さが、機器間で所定順位以上の機器に対してログ収集を指示するものである、
ことを特徴とする請求項1に記載のログ管理制御システム。 - 前記記憶装置は、
脆弱性の種類とログ収集の情報量レベルとの関係を定めたテーブルを更に格納するものであり、
前記演算装置は、
前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、
前記ログ収集の指示に際し、前記攻撃利用可能性の高い順に、該当機器における脆弱性の種類に応じたログ収集の情報量レベルを前記テーブルにて特定し、前記特定した情報量レベルに基づく各機器からの収集ログ量合計が所定許容値を越えない制約で、前記攻撃利用可能性の高さが機器間で所定順位以上の機器を特定し、当該特定した機器に対してログ収集を指示するものである、
ことを特徴とする請求項1に記載のログ管理制御システム。 - 前記記憶装置は、
脆弱性の種類とログ収集の情報量レベルとの関係を定めたテーブルを更に格納するものであり、
前記演算装置は、
前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、
前記ログ収集の指示に際し、前記攻撃利用可能性の高い順に、該当機器における脆弱性の種類に応じたログ収集の情報量レベルを前記テーブルにて特定し、前記特定した情報量レベルに応じた各機器での単位時間当たりログ発生量の合計値が、ログ格納先の記憶可能容量に応じた単位時間当たり収集可能な最大ログ発生量を越えない制約で、前記攻撃利用可能性の高さが機器間で所定順位以上の機器を特定し、当該特定した機器に対しログ収集を指示するものである、
ことを特徴とする請求項1に記載のログ管理制御システム。 - 前記演算装置は、
脆弱性に関するログ生成条件である脆弱性監視内容の設定を入力装置で受け付けて記憶装置に格納し、
前記ログ収集の指示に際し、該当機器での脆弱性に関する前記脆弱性監視内容も含めて指示するものである、
こと特徴とする請求項1に記載のログ管理制御システム。 - 前記演算装置は、
前記データベースで脆弱性の情報を保持している所定機器について、所定装置から新たな脆弱性の情報を取得した場合、該当脆弱性の情報を前記所定機器に対応付けて前記データベースに更に格納し、
前記新たな脆弱性も含めて、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによる前記リスク評価を再実行し、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、
前記ログ収集の指示に際し、前記攻撃利用可能性の高さが、機器間で所定順位以上の機器として、前記新たな脆弱性の攻撃利用可能性に基づくものが含まれる場合、該当機器に対して新たなログ収集を指示するものである、
ことを特徴とする請求項1に記載のログ管理制御システム。 - 管理対象システムを構成する機器、ネットワーク、および前記機器に関する脆弱性の各情報を互いに関連付けたデータベースを保持する記憶装置を備えた情報処理システムが、
前記データベースで保持する前記機器、前記ネットワーク、および前記脆弱性の各情報に基づいて、ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、前記リスクの高さが所定基準以上の機器に対してログ収集を指示する、
ことを特徴するログ管理制御方法。 - 前記情報処理システムが、
前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、
前記ログ収集の指示に際し、前記攻撃利用可能性の高さが、機器間で所定順位以上の機器に対してログ収集を指示する、
ことを特徴とする請求項7に記載のログ管理制御方法。 - 前記情報処理システムが、
前記記憶装置において、脆弱性の種類とログ収集の情報量レベルとの関係を定めたテーブルを更に格納し、
前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、
前記ログ収集の指示に際し、前記攻撃利用可能性の高い順に、該当機器における脆弱性の種類に応じたログ収集の情報量レベルを前記テーブルにて特定し、前記特定した情報量レベルに基づく各機器からの収集ログ量合計が所定許容値を越えない制約で、前記攻撃利用可能性の高さが機器間で所定順位以上の機器を特定し、当該特定した機器に対してログ収集を指示する、
ことを特徴とする請求項7に記載のログ管理制御方法。 - 前記情報処理システムが、
前記記憶装置において、脆弱性の種類とログ収集の情報量レベルとの関係を定めたテーブルを更に格納し、
前記リスク評価に際し、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによるリスク評価を行い、各機器の脆弱性が所定攻撃源か
らの攻撃に利用される攻撃利用可能性を特定し、
前記ログ収集の指示に際し、前記攻撃利用可能性の高い順に、該当機器における脆弱性の種類に応じたログ収集の情報量レベルを前記テーブルにて特定し、前記特定した情報量レベルに応じた各機器での単位時間当たりログ発生量の合計値が、ログ格納先の記憶可能容量に応じた単位時間当たり収集可能な最大ログ発生量を越えない制約で、前記攻撃利用可能性の高さが機器間で所定順位以上の機器を特定し、当該特定した機器に対しログ収集を指示する、
ことを特徴とする請求項7に記載のログ管理制御方法。 - 前記情報処理システムが、
脆弱性に関するログ生成条件である脆弱性監視内容の設定を入力装置で受け付けて記憶装置に格納し、
前記ログ収集の指示に際し、該当機器での脆弱性に関する前記脆弱性監視内容も含めて指示する、
こと特徴とする請求項7に記載のログ管理制御方法。 - 前記情報処理システムが、
前記データベースで脆弱性の情報を保持している所定機器について、所定装置から新たな脆弱性の情報を取得した場合、該当脆弱性の情報を前記所定機器に対応付けて前記データベースに更に格納し、
前記新たな脆弱性も含めて、前記ネットワークにおける各機器の配置に応じた脆弱性の影響関係について所定アルゴリズムによる前記リスク評価を再実行し、各機器の脆弱性が所定攻撃源からの攻撃に利用される攻撃利用可能性を特定し、
前記ログ収集の指示に際し、前記攻撃利用可能性の高さが、機器間で所定順位以上の機器として、前記新たな脆弱性の攻撃利用可能性に基づくものが含まれる場合、該当機器に対して新たなログ収集を指示する、
ことを特徴とする請求項7に記載のログ管理制御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015049128A JP6294847B2 (ja) | 2015-03-12 | 2015-03-12 | ログ管理制御システムおよびログ管理制御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015049128A JP6294847B2 (ja) | 2015-03-12 | 2015-03-12 | ログ管理制御システムおよびログ管理制御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016170568A true JP2016170568A (ja) | 2016-09-23 |
| JP6294847B2 JP6294847B2 (ja) | 2018-03-14 |
Family
ID=56983839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015049128A Active JP6294847B2 (ja) | 2015-03-12 | 2015-03-12 | ログ管理制御システムおよびログ管理制御方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6294847B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020065943A1 (ja) * | 2018-09-28 | 2020-04-02 | 三菱電機株式会社 | セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム |
| JPWO2021059518A1 (ja) * | 2019-09-27 | 2021-04-01 | ||
| JP2021060872A (ja) * | 2019-10-08 | 2021-04-15 | 富士通株式会社 | 生成方法、生成プログラム、および情報処理装置 |
| WO2022195862A1 (ja) * | 2021-03-19 | 2022-09-22 | 日本電気株式会社 | 分析装置、分析システム、分析方法、及び分析プログラム |
| WO2023084791A1 (ja) | 2021-11-15 | 2023-05-19 | 日本電気株式会社 | 情報管理装置、システム及び方法、並びに、コンピュータ可読媒体 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005323322A (ja) * | 2004-04-08 | 2005-11-17 | Hitachi Ltd | ログ情報の蓄積および解析システム |
| JP2011192105A (ja) * | 2010-03-16 | 2011-09-29 | Mitsubishi Electric Information Systems Corp | セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 |
| JP2013045256A (ja) * | 2011-08-23 | 2013-03-04 | Fujitsu Ltd | サーバ装置、システム、およびログ収集支援方法 |
| JP2013045313A (ja) * | 2011-08-25 | 2013-03-04 | Hitachi Ltd | ログ収集管理装置、システム、および方法 |
| JPWO2014112185A1 (ja) * | 2013-01-21 | 2017-01-19 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
-
2015
- 2015-03-12 JP JP2015049128A patent/JP6294847B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005323322A (ja) * | 2004-04-08 | 2005-11-17 | Hitachi Ltd | ログ情報の蓄積および解析システム |
| JP2011192105A (ja) * | 2010-03-16 | 2011-09-29 | Mitsubishi Electric Information Systems Corp | セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 |
| JP2013045256A (ja) * | 2011-08-23 | 2013-03-04 | Fujitsu Ltd | サーバ装置、システム、およびログ収集支援方法 |
| JP2013045313A (ja) * | 2011-08-25 | 2013-03-04 | Hitachi Ltd | ログ収集管理装置、システム、および方法 |
| JPWO2014112185A1 (ja) * | 2013-01-21 | 2017-01-19 | 三菱電機株式会社 | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム |
Non-Patent Citations (1)
| Title |
|---|
| 杉本暁彦,磯部義明: "動的モデリングに基づいたリスク評価システム", CSS2014 コンピュータセキュリティシンポジウム2014 論文集 合同開催 マルウェア対策研究人, vol. 第2014巻, JPN6018001060, 15 October 2014 (2014-10-15), JP, pages 100 - 107, ISSN: 0003726069 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020065943A1 (ja) * | 2018-09-28 | 2020-04-02 | 三菱電機株式会社 | セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム |
| JPWO2020065943A1 (ja) * | 2018-09-28 | 2021-02-15 | 三菱電機株式会社 | セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム |
| JPWO2021059518A1 (ja) * | 2019-09-27 | 2021-04-01 | ||
| JP7302665B2 (ja) | 2019-09-27 | 2023-07-04 | 日本電気株式会社 | 分析システム、方法およびプログラム |
| JP2021060872A (ja) * | 2019-10-08 | 2021-04-15 | 富士通株式会社 | 生成方法、生成プログラム、および情報処理装置 |
| JP7315843B2 (ja) | 2019-10-08 | 2023-07-27 | 富士通株式会社 | 生成方法、生成プログラム、および情報処理装置 |
| WO2022195862A1 (ja) * | 2021-03-19 | 2022-09-22 | 日本電気株式会社 | 分析装置、分析システム、分析方法、及び分析プログラム |
| WO2023084791A1 (ja) | 2021-11-15 | 2023-05-19 | 日本電気株式会社 | 情報管理装置、システム及び方法、並びに、コンピュータ可読媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6294847B2 (ja) | 2018-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11765198B2 (en) | Selecting actions responsive to computing environment incidents based on severity rating | |
| US10262145B2 (en) | Systems and methods for security and risk assessment and testing of applications | |
| US11297109B2 (en) | System and method for cybersecurity reconnaissance, analysis, and score generation using distributed systems | |
| JP7199775B2 (ja) | スマートコントラクトに基づくデータ処理方法、データ処理装置、ノード機器、及びコンピュータプログラム | |
| JP6307453B2 (ja) | リスク評価システムおよびリスク評価方法 | |
| JP6312578B2 (ja) | リスク評価システムおよびリスク評価方法 | |
| US9973524B2 (en) | Information technology security assessment system | |
| US20190124104A1 (en) | Graph-Based Network Anomaly Detection Across Time and Entities | |
| JP6294847B2 (ja) | ログ管理制御システムおよびログ管理制御方法 | |
| US9372995B2 (en) | Vulnerability countermeasure device and vulnerability countermeasure method | |
| JP6408395B2 (ja) | ブラックリストの管理方法 | |
| JP6298680B2 (ja) | セキュリティ対処支援システム | |
| US11374970B2 (en) | Phishing attempt categorization/aggregation interface | |
| CN109102296B (zh) | 一种节点共识方法及系统 | |
| JP2021027505A (ja) | 監視装置、監視方法、および監視プログラム | |
| JP2007164465A (ja) | クライアントセキュリティ管理システム | |
| JP2016192185A (ja) | なりすまし検出システムおよびなりすまし検出方法 | |
| WO2021243321A1 (en) | A system and methods for score cybersecurity | |
| US11658863B1 (en) | Aggregation of incident data for correlated incidents | |
| Elsabagh et al. | Practical and accurate runtime application protection against dos attacks | |
| JP6707952B2 (ja) | 制御装置、制御方法及びプログラム | |
| US11811587B1 (en) | Generating incident response action flows using anonymized action implementation data | |
| JP2018022248A (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
| US11621883B1 (en) | Monitoring state information for incidents in an IT environment including interactions among analysts responding to other similar incidents | |
| CN113836525A (zh) | 云服务商行为风险的分析方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170315 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171220 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180130 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180216 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6294847 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |