JP2017107405A - セキュリティ対策立案支援方式 - Google Patents

セキュリティ対策立案支援方式 Download PDF

Info

Publication number
JP2017107405A
JP2017107405A JP2015240712A JP2015240712A JP2017107405A JP 2017107405 A JP2017107405 A JP 2017107405A JP 2015240712 A JP2015240712 A JP 2015240712A JP 2015240712 A JP2015240712 A JP 2015240712A JP 2017107405 A JP2017107405 A JP 2017107405A
Authority
JP
Japan
Prior art keywords
countermeasure
security
measure
threat
countermeasures
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015240712A
Other languages
English (en)
Other versions
JP6663700B2 (ja
Inventor
千秋 太田原
Chiaki Otawara
千秋 太田原
宏樹 内山
Hiroki Uchiyama
宏樹 内山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2015240712A priority Critical patent/JP6663700B2/ja
Publication of JP2017107405A publication Critical patent/JP2017107405A/ja
Application granted granted Critical
Publication of JP6663700B2 publication Critical patent/JP6663700B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】構成要素が多数存在するシステムのセキュリティ設計におけるセキュリティ対策立案を支援する。【解決手段】セキュリティ対策立案支援装置は、ユーザから情報の入力を受け付ける入力受付部101と、セキュリティ対策を表示する出力部104と、脅威と対策とを対応付けて格納する脅威‐対策DB201と、セキュリティ対策同士の従属関係を格納する従属対策DB202と、脅威-対策DBから脅威に対応付く複数のセキュリティ対策を抽出し、当該抽出された複数のセキュリティ対策間の従属関係を従属対策DBから抽出する対策立案部102と、セキュリティ対策同士の代替関係を格納する代替対策DB203と、対策立案部が提示した複数のセキュリティ対策を、代替関係と、入力部から入力されるコンポーネントの制約条件と、に基づき組み合わせ、出力部に出力する対策精査部103と、を備える。【選択図】図2

Description

本発明は、社会インフラシステムをはじめとする構成要素が多数存在するシステムのセキュリティ設計におけるセキュリティ対策立案を支援する方式に関する。
社会インフラシステムの構成要素である制御システムは従来、独自OS・ネットワークから構成されており外部システムと接続しないため、ウイルス等による攻撃からセキュリティ脅威にさらされることはないと考えられていた。しかし、制御システムのIT化による汎用OS・標準プロトコルの採用がすすんでいる(オープン化)。こういった背景から、これまで安全とされていた制御システムを対象としたサイバー攻撃報告数も年々増加傾向にある。これを受け、制御システム分野でもセキュリティに関するIEC62443をはじめとする標準規格・ガイドラインなどの策定が開始されている。これらの標準規格・ガイドラインでは、セキュリティ設計の実施を要求していることから制御システム分野でもセキュリティ設計の重要性が高まっている。
セキュリティ設計とは、セキュアなシステムを構築するため、分析対象システムにおいて価値があるもの(以降、資産と表記する)に対して、発生しうる脅威を洗い出し、各脅威に対して許容リスクになるまで適切なセキュリティ対策をシステムに講じるまでの一連のプロセスである。
情報システム分野では、90年代後半よりインターネットの発展に伴い脆弱性を狙ったサイバー攻撃が年々増加したことをうけ、90年代後半から効果的かつ効率的に攻撃を防ぐためセキュリティ設計が重要視されていた。また、情報システム分野の標準規格であるIEC27000でもセキュリティ設計の実施を要求している。こういった背景から、情報システム分野ではセキュリティ設計に関する様々な技術や対策のベストプラクティスが確立されている。そのため、通常セキュリティ設計では発生しうる脅威から適切な対策を抽出するが、特許文献1では、製品の設置箇所の特徴(抽出条件)を入力として、過去の事例から作成した対策DBを参照することで効果的な対策立案を支援している。さらに本対策DBは過去事例をフィードバックすることで、より精度の高い対策立案の支援を実現している。
特開2005−259014号公報
現在、社会インフラシステムでは、電力システムにおけるスマートグリッドシステムをはじめとしたシステム改革が急速に発展しており、この改革に伴いシステム規模の拡大、様々な特性を持つコンポーネントの接続等が発生している。
特許文献1は、分析対象コンポーネントの設置箇所の情報(抽出条件)を入力として、過去事例を蓄積した対策DBから効果的な対策立案を実現している。特許文献1における対策DBでは、抽出条件に応じて各対策に優先度が付与されている。優先度とは、実際に適用した事例(以降、過去事例とする)の抽出条件に応じた対策の情報をフィードバックすることで、数値を設定しており、実際に適用した対策ほど優先度は高くなる。よって、効果的な対策を抽出するには、過去事例の情報を構築する必要があるため、これまで適用したことのない抽出条件に適切な結果が出力されない場合がある。そのため、社会インフラシステムを構成するコンポーネントの中には、新規抽出条件のコンポーネントが存在する可能性もあり、対策立案に適用するのは困難であるといえる。また、社会インフラシステムを構成するコンポーネントには制約(ネットワーク帯域が狭い,CPUリソースが低い等)があるものが存在するため、セキュリティ機能に割けるリソースが潤沢ではないものも存在する。よって、抽出条件からその条件に合った効果的な対策を抽出できたとしても、その対策に対応できないことがある。以上より、社会インフラシステムを対象としたセキュリティ設計の際、抽出条件から効果的な対策を抽出するのは困難である。
ユーザから情報の入力を受け付ける入力部と、セキュリティ対策を表示する出力部と、脅威と対策とを対応付けて格納する脅威‐対策DBと、セキュリティ対策同士の従属関係を格納する従属対策DBと、脅威-対策DBから脅威に対応付く複数のセキュリティ対策を抽出し、当該抽出された複数のセキュリティ対策間の従属関係を従属対策DBから抽出する対策立案部と、セキュリティ対策同士の代替関係を格納する代替対策DBと、対策立案部が提示した複数のセキュリティ対策を、代替関係と、入力部から入力されるコンポーネントの制約条件と、に基づき組み合わせ、出力部に出力する対策精査部と、を備えるセキュリティ対策立案支援装置。
本発明では、社会インフラシステムの業務において多数のコンポーネントが連携し合う特徴に着目し、両者のコンポーネントが備えることで実現する対策に関しては、各コンポーネントの連携先の対策と発生しうる脅威を考慮することで、過不足なく効果的な対策立案を可能とする。
装置全体の物理構成を示す図。 処理工程の概要と入出力を示す図。 対策の選別方針を入力する画面例を示す図。 システム構成情報を入力する画面例を示す図。 コンポーネント連携情報を入力する画面例を示す図。 脅威分析結果を入力する画面例を示す図。 制約条件を入力する画面例を示す図。 入力である脅威分析結果例を示す図。 脅威‐対策DBの一例を示す図。 従属対策DBの一例を示す図。 代替対策DBの一例を示す図。 対策一覧の一例を示す図。 推奨対策一覧の一例を示す図。 対策立案部のフローチャートを示す図。 対策精査部のフローチャートを示す図。 連携関係の考慮例を示す図。 対策精査の一例を示す図。
図1は、本発明を実施するためのセキュリティ対策立案支援装置全体の物理構成を示す図である。本装置のハードウェア構成は、例えば、メモリ100、外部記憶装置200、CPU300、入出力装置400、インターフェース500を備えており、例えば1つ以上の公知のパーソナルコンピュータやワークステーションなどの電子計算機により構成される。
メモリ100は、分析者からの入力用のユーザーインターフェースを表示する入力受付部101、入力された脅威分析結果と分析対象システムを構成するコンポーネント連携情報から対策を立案する対策立案部102、抽出した対策の精査を行う対策精査部103、推奨対策一覧をユーザに表示する出力部104から構成される。
外部記憶装置200は、HDD(HARD DISK DRIVE)などの記憶媒体から構成され、脅威‐対策DB201、従属対策DB202、代替対策DB203を格納する。これらの情報の具体的内容については後述する。
CPU300は処置を実行するための演算装置である。メモリ100はCPU300で実行する命令のセットがプログラムとして記述されたデータを含む記憶媒体である。
入出力装置400は、設計者によるデータの入出力を行うための装置である。入出力装置の一例としては、キーボードやマウス、ディスプレイがある。具体的な出力内容については後述する。
インターフェース500は、セキュリティ設計装置が外部と通信をするための通信装置である。LANカードなどの通信機器がこれに対応する。インターフェース500は、図中においてIFと記述することがある。
また、図示は省略したが、電子計算機上には、ネットワークを介して他装置と相互に通信するための通信制御部なども構築される。
図2に、セキュリティ対策立案支援装置における処理工程と概要と入出力を示す。各部の詳細な処理工程は後述する。
本装置は、システム構成情報601、コンポーネント連携情報602、脅威分析結果603、制約条件604を入力とする。処理の概要は以下で説明する。
入力受付部101は、対策の選別方針600、システム構成情報601、コンポーネント連携情報602、制約条件604を入力してもらうためのユーザーインターフェースを表示し、分析者に入力された対策の選別方針600、システム構成情報601、コンポーネント連携情報602と、受信した脅威分析結果603、制約条件604を対策立案部102に送信する。なお、脅威分析結果603もシステム構成情報601と同様にユーザーインターフェースから入力してもらう形式でも良い。対策の選別方針600を入力するためのユーザーインターフェースは図3にて後述する。システム構成情報601を入力するためのユーザーインターフェースは図4にて後述する。コンポーネント連携情報602を入力するためのユーザーインターフェースは図5にて後述する。脅威分析結果603を入力するためのユーザーインターフェースは図6にて後述する。
対策立案部102は、入力受付部101より受信した、システム構成情報601、コンポーネント連携情報602、脅威分析・リスク評価結果603を受信した後、脅威‐対策DB201を参照する。各コンポーネントで発生しうる脅威を防ぐための対策を脅威‐対策DB201より抽出する。本DBから抽出した対策を以降、脅威ベース対策とする。抽出した脅威ベース対策に従属する対策を抽出するため、各脅威ベース対策に紐付く従属対策を従属対策DB202より抽出する。抽出した対策一覧を対策精査部103に送信する。対策立案部102が出力する対策一覧を以降では主対策[従属]とする。また主対策[従属]に紐づく対策を従属対策とする。対策立案部102の詳細は図14にて後述する。対策立案部102が参照する脅威‐対策DB201の詳細は図9に、従属対策DB202の詳細は図10に後述する。
対策精査部103は、対策立案部102より受信した対策一覧605に記載された各従属関係考慮対策の充足性を確認し、過剰な対策が存在する場合精査する。精査する際、入力部101で分析者が選択した対策の選別方針に基づいて、脅威に対応する主対策一覧が記載された代替対策DB203を参照し、対策を精査する。精査の際、例えば各コンポーネントで起こりうる脅威と従属関係考慮対策の関係から、同等の脅威に対応する対策が複数存在している場合、より効果的な方を採用し残りは削除する等をして精査する。対策精査部103の出力である推奨対策一覧606を出力部104へ送信する。対策精査部103の詳細は図15にて後述する。対策精査部103が参照する代替対策DB203は図11にて後述する。
出力部104は、受信した推奨対策一覧606を入出力装置400のモニタ等に出力等をする。
図3では、入力部が分析者に表示する分析対象システムの名称と対策の選別方針に関する入力フォーマットについて説明する。
分析対象システム名称1101の入力では、分析対象システムの名称を分析者が記述する。具体的には、分析対象システム名称1102に「○○電力システム」と記述する。対策の選別方針1103の入力では、分析対象システムの対策を選別する際の方針を選択する。具体的には、「全脅威をカバーできる最小数の対策の組合せ」を選択する。その他の選択肢としては、「多層防御可能な対策を選別」「選別しない」等の複数の選択肢が存在する。編集ボタン1103を押下する場合、本入力フォーマットの編集が開始し、次へボタン1104を押下する場合、図4を表示する。
図4では、入力部が分析者に表示するシステム構成情報の入力フォーマットについて説明する。
システム構成情報1201の入力では、コンポーネントの情報を分析者が記述する。具体的には、分析対象システムを構成するコンポーネント数1202を分析者に選択させる。そして選択したコンポーネント数1202に応じて、コンポーネント名称1203を分析者が記述する。編集ボタン1207を押下する場合、本入力フォーマットの編集が開始する。戻るボタン1208を押下する場合、図3の分析システム名称1101入力フォーマットが表示される。次へボタン1209を押下する場合、図5のコンポーネント連携情報1301の入力フォーマットが表示される。なお、本例ではコンポーネントへの対策立案を取り扱っているが、脅威‐対策DB201や従属対策DB202や代替対策DB203をコンポーネントとネットワーク毎に作成し、本入力フォーマットにコンポーネント間のネットワーク情報を入力させることで、ネットワークへの脅威への対策立案も可能である。
図5では、入力部が分析者に表示するコンポーネント連携情報の入力フォーマットについて説明する。コンポーネント連携情報1301の入力では、分析対象システムに登場するコンポーネント間の連携情報を分析者が記述する。具体的には、コンポーネント連携情報1302を星取り表で表現し、直接やりとりする(連携している)コンポーネントには「○」を、直接やりとりしていない(連携していない)コンポーネントには「×」を分析者は記述する。なお、コンポーネントの連携情報は表形式の入力ではなく、テキストベースの入力でも構わない。編集ボタン1303を押下する場合、本入力フォーマットの編集が開始する。戻るボタン1304を押下する場合、図4のシステム構成情報1201入力フォーマットが表示される。次へボタン1305を押下する場合、図5のコンポーネント連携情報1301の入力フォーマットが表示される。
図6では、入力部が分析者に表示する脅威分析結果の入力フォーマットについて説明する。脅威分析・リスク評価結果1401の入力では、分析対象システムの脅威分析・リスク評価結果を入力する。具体的には、脅威分析・リスク評価結果のファイルを読み込ませるため、ファイル参照1402し登録する。なお、入力フォーマットを表示し、各コンポーネントで発生しうる脅威を入力する形式でも構わない。編集ボタン1403を押下する場合、本入力フォーマットの編集が開始する。戻るボタン1404を押下する場合、図5のコンポーネント連携情報1301入力フォーマットが表示される。終了ボタン1405を押下する場合、対策立案に必要な情報の入力が完了したことになり、分析者が入力した情報が対策立案部へ送信される。
図7では、入力部が分析者に表示する制約条件の入力フォーマットについて説明する。制約条件1501の入力では、分析対象システムを構成するコンポーネントの制約条件を入力してもらう。具体的には、コンポーネント名称1502は、システム構成情報1201で分析者が入力したコンポーネントを選択し全コンポーネントに対して制約条件があるのかないのかを含め選択させる。選択したコンポーネントに制約条件がある場合は、制約条件1503(例えば、CPUリソースが低い、ネットワーク帯域が狭いなど)を選択させる。編集ボタン1503を押下する場合、本入力フォーマットの編集が開始する。戻るボタン1504を押下する場合、図5のコンポーネント連携情報1401入力フォーマットが表示される。終了ボタン1505を押下する場合、対策立案に必要な情報の入力が完了したことになり、分析者が入力した情報が対策立案部と対策精査部へ送信される。
図8では、入力される脅威分析・リスク評価結果603の一例を示す。資産名称列6301には、分析対象システムの資産が記述されている。具体的には、分析対象システムの資産となりうる業務「遠隔地からの検針」が記述されている。攻撃経路6302には、資産6301に対する攻撃が生じる可能性のある経路が記述される。攻撃経路6302では、攻撃元列6303と攻撃先列6304により表現される。具体的には攻撃経路として6302「コンポーネントAからコンポーネントB」と記述されている。資産6301に対する攻撃を起こしうる攻撃者列6305が記述される。具体的には「外部者」などが記述されている。脅威事象列6306には、資産6301と攻撃経路6302と攻撃者6305の組合せから発生しうる脅威事象6306が記述される。具体的には、「不正機器接続し攻撃先へ不正なパケットを大量送信する」等が記述されている。
図9では、脅威‐対策DB201の一例を示す。脅威列2101では、脅威分析・リスク評価結果603に記載された脅威に関連する脅威行2101を記載している。本例では、脅威事象2102と脅威イベント2103の総称として脅威2101という用語を用いる。脅威事象2102には、どのような脅威が発生するか記載される。具体的には「不正機器接続し、攻撃先へ不正パケットを大量送信」等と記載されている。脅威イベント2103では、脅威事象2102を攻撃元と攻撃先で起こりうる脅威イベントに細分化したものが記載される。具体的には、脅威事象2102「不正機器接続し、攻撃先へ不正パケットを大量送信」を細分化した脅威イベントとして、攻撃元で発生する脅威イベント2103には「不正機器接続」、攻撃先で発生する脅威イベント2103には「DoS攻撃」が記載されている。そして、これらの脅威イベント2103を防ぎうる対策2104が判断可能となるよう、脅威行2101に対応する対策列2104には「○」と記載されている。具体的には、攻撃元で発生する脅威2102「不正機器接続」に対する対策として挙げられる「システム境界の保護」と「デバイスの認証と識別」の対策列に「○」を記載している。これにより、各コンポーネントで発生しうる脅威事象を防ぐための対策が抽出可能となる。さらに、コンポーネント同士の連携要行2105では、コンポーネント同士で連携することで実現する対策に関して「○」を記載している。脅威‐対策DB201を参照する手順等の詳細は、対策立案部の処理部の説明(図14)にて後述する。
制約条件2106では、制約条件によっては選択できない対策に「×」が記載される。具体的には、CPUリソースが低いコンポーネントに対して、「保存情報の暗号化」と「通信路の暗号化」は実施できないことが判断可能となる。
なお、本実施例では脅威発生箇所をコンポーネントのみとしているため、上記のような構造になっているが、コンポーネント間を接続するネットワークも脅威発生箇所と見なす場合、脅威‐対策DB201もコンポーネントとネットワークで分けることで対応が可能となる。さらに、本例では扱う脅威を具体的な事象を描写した脅威事象2102と、脅威事象2102を細分化した脅威イベント2103で記載しているが、どちらか一方でも構わない。
図10では、従属対策DB202の一例として制約条件がないコンポーネントが参照する従属対策DB202を示す。なお、点線で示す矢印(2204、2205、2207、2208、2210)は、「参照」という処理を示したものである。
従属対策DB202では、各対策の従属関係にある対策が判断可能なDBである。従属DB202を参照することにより、脅威に対応する対策だけではなく、それに紐づく実施すべき対策の抽出が可能となる。このような従属関係(AND)を判断するため、本例の従属対策DB202は主対策[従属]の実施にあたり従属して実施する必要がある対策(つまり主対策[従属]から一方向の関係性にあたる対策に関して判断可能な形式をしている。以下で本例に基づいた具体例を記載する。
主対策2201と従属対策2202には、脅威‐対策DB201と同じ対策を記載している。主対策2201の各列の対策に従属する対策には「○」を記載している。具体的には、主対策2201のうち、「対策:ユーザ認証と識別」2203を参照2204、2205すると「対策:ユーザID/デバイスID管理」2206に「○」が記載されている。よって、「対策:ユーザ認証と識別」2203を参照2204に従属する対策は「対策:ユーザID/デバイスID管理」2206だと判る。さらに従属する対策が存在するか調べるため、「対策:ユーザID/デバイスID管理」2206を参照2207、2208すると、「対策:強固なパスワード/パスワードの定期的な変更」2209に「○」が記載されている。同様の処理を繰り返し、「対策:強固なパスワード/パスワードの定期的な変更」2209に従属する対策が存在するか調べるため、参照2210する。すると「○」が記載されている行が存在しないため、ここで「対策:ユーザ認証と識別」2203をキーとした従属対策の検索は終了となる。従属対策DB202を参照する対策立案部102の処理説明(図14)にて後述する。なお、従属対策DB202は、可視化できるグラフ表現でも構わない。また、本例では制約条件がない例をあげた。制約条件毎に従属対策DB202を作成する必要がある。
図11では、代替対策DB203の一例として制約条件がないコンポーネントが参照する代替対策DB203を示す。
代替対策DB203は、各対策の代替案となりうる対策が判断可能なDBである。代替対策DB203を参照することにより、代替関係(OR)にある対策が抽出可能となる。このような代替関係の対策を抽出するため、対策同士(ここでは主対策、従属対策は問わない)同じ脅威に対応する(効果が同じ)対策同士のものが判断できるよう記載する。以下、具体例を説明する。
主対策2301と代替対策2302には、従属対策DB202と同様に脅威‐対策DB201と同じ対策を記載している。主対策2301の各列の対策の代替対策にあたる対策には「○」を記載している。具体的には、主対策2301のうち、「対策:通信フィルタリング」2303を参照2304すると、「対策:ネットワークの分離(DMZの構築)」2305に「○」が記載されている。よって、「対策:通信フィルタリング」2303の変わりとなりうる対策は「対策:ネットワークの分離(DMZの構築)」2305だと判断可能である。
代替対策DB203は、対策精査部103が、OR関係にある対策の中から入力部101が分析者に選択させた分析対象システム・対策の選別方針600における対策の選別方針1103に沿って対策を精査する際に参照するDBとなる。なお、代替対策DB203も従属対策DB202と同様に、可視化できるグラフ表現のDBでも構わない。また、本例では制約条件なない例をあげた。制約条件毎に代替対策DB203を作成する必要がある。
図12では、対策一覧605の一例を示す。対策一覧605は対策立案部103の出力である。よって、脅威発生箇所となりうるコンポーネントで発生しうる脅威に対応した対策が記載される。
対策箇所列6401には、脅威発生箇所であり対策をうたねばならないコンポーネント名が記入される。
脅威事象6402には、対策箇所6401に記載されているコンポーネントで起こりうる脅威が記述されている。本例では文章で表現した脅威事象6403と、文章化した脅威事象6403を攻撃元と攻撃先で起こりうるものに細分化した脅威640が記述されるが、どちらか一方の記述でも構わない。
主対策[従属]6405には、対象箇所6401と脅威事象6402に応じた主対策[従属]が記述されている。具体的には「脅威:[攻撃元]不正機器接続」に対抗するための対策「デバイス認証と識別」「ネットワークの分離(DMZの構築)」が記述される。
従属対策6406、6407には、主対策[従属]6405の従属関係にある対策が記述される。具体的には「主対策[従属]:デバイス認証と識別」の従属関係にある「ユーザID/デバイスIDの管理」「強固なパスワード/パスワードの定期的な変更」が記述される。
なお、対策一覧605は、各コンポーネントで実施すべき対策が記載されていれば良い。脅威事象6402の記述があることで対策を選択した理由が判断できるため、ある方が望ましいが、脅威事象6402の記述は省略し、下記コンポーネントで実施すべき対策のみの記述でも構わない。
図13では、推奨対策一覧606の一例を示す。推奨対策一覧606は、対策精査部103の出力であり、本装置の最終的な出力である。
対策箇所列6501には、対策一覧605と同様、脅威発生箇所であり対策をうたねばならないコンポーネント名が記入される。
脅威事象6502には、対策箇所6501に記載されているコンポーネントで起こりうる脅威が記述されている。本例では文章で表現した脅威事象6503と、文章化した脅威事象6503を攻撃元と攻撃先で起こりうるものに細分化した脅威6504が記述されるが、どちらか一方の記述でも構わない。
主対策[代替]6505には、対策一覧605に記載された対策の代替関係を考慮し、さらに入力部101で分析者が選択した対策選別方法1103に応じて代替対策DB203を参照し、精査した結果が記述される。具体的には「脅威:[攻撃元]不正機器接続」に対抗するための対策「デバイス認証と識別」が記述される。
従属対策6506、6507には、主対策[代替]6505に記載された対策の代替対策が記述される。具体的には、「主対策[代替]:デバイス認証と識別」の従属関係にある「ユーザID/デバイスIDの管理」「強固なパスワード/パスワードの定期的な変更」が記述される。
なお、推奨対策一覧606は、対策一覧605と同様に、各コンポーネントで実施すべき対策が記載されていれば良い。脅威事象6502の記述があることで対策を選択した理由が判断できるため、ある方が望ましいが、脅威事象6502の記述は省略し、下記コンポーネントで実施すべき対策のみの記述でも構わない。
図14では、対策立案部102の処理について説明する。
処理S5201では、入力受付部101から、分析者が入力した分析対象システム名称1101と、システム構成情報1201と、コンポーネント連携情報1301と、脅威分析結果1401、制約条件1501を受信する。
処理S5202では、対策抽出のループL521が開始される。
処理S5203では、脅威発生箇所となるコンポーネントを1つ選択する。具体的には「コンポーネントA」を選択する。
処理S5204では、処理S5203で選択されたコンポーネントで発生する脅威を確認する。そして、これらの脅威に対応する対策を脅威‐対策DB201から抽出する作業を実行する。なお、脅威‐対策DB201を参照する際、制約条件604を加味する。
処理S5205では、全てのコンポーネントに対して、処理S5203と処置S5204が完了した際にループが停止する。
処理S5206では、対策の整合性確認のループL522が開始される。ここでは、コンポーネント同士で連携することで実現する対策に着目する。
処理S5207では、脅威発生箇所となるコンポーネントを1つ選択する。例えば、ここではコンポーネントAを選択する。
処理S5208では、対策の中に「コンポーネント同士の連携要」に「○」が記載された対策が含まれている確認する。もしも含まれていた場合は処理S5209へ、含まれていない場合は処理S5206へ分岐する。
処理S5209では、受信したコンポーネント連携情報601を参照し、現在選択しているコンポーネントがどのコンポーネントと連携し合うかを確認する。そして連携先のコンポーネントの脅威ベース対策の情報を取得する。例えば、ここではコンポーネントAの連携先を取得するためコンポーネント連携情報入力フォーム1301を参照し、「コンポーネントAの連携先はコンポーネントBとコンポーネントDである」という情報を取得する。次に連携先であるコンポーネントBとコンポーネントDの対策を取得する。なお、対策の整合性確認方法の詳細は従属対策202の説明に記述する。
処理S5210では、連携先の対策を考慮した結果、コンポーネント同士の連携要の対策が存在するか確認する。もし存在する場合は処理S5211へ、存在しない場合は処理S5206へと分岐する。
処理S5211では、処理S5210で確認した不足している対策を追加する。具体的には、コンポーネントAには脅威から抽出した対策の中に「通信路の暗号化」が含まれておらず、連携先であるコンポーネントBに対策「通信路の暗号化」が含まれていた場合、コンポーネントAの対策に「通信路の暗号化」を追加する。
処理S5212では、全てのコンポーネントに対して、処理S5207〜処理S5211が完了した際にループが停止する。
処理S5213では、従属対策の抽出ループL523が開始する。これまでの処理で抽出した対策の従属対策を抽出し、さらに処理S5212の出力である対策に関しても従属関係で整理する。
処理S5214では、脅威発生箇所となるコンポーネントを選択する。例えば、ここではコンポーネントAを選択する。
処理S5215では、従属対策DB202を参照し、選択したコンポーネントで実施すべき対策に従属する対策(従属対策とする)を取得する。なお、従属対策DB202を参照する際、制約条件604を考慮する。詳細については図13にて記述する。
処理S5216では、全てのコンポーネントに対して、処理S5214〜処理S5215が完了した際にループが停止する。
処理S5217では、対策一覧605を対策精査部103へと送信する。
図15では、対策精査部103の処理の一例を示す。対策精査部103は過剰な対策立案を防ぐため、発生しうる脅威に対応する対策を精査する。その際、分析者が選択した対策の選別方針1103に則って精査する。
処理S5301では、入力部から制約条件604、対策立案部102から対策一覧605を受信する。
処理S5302では、対策の精査を行うループL531が開始する。
処理S5303では、入力部101から送信された分析者が選択した対策の選別方針1103を参照する。
処理S5304では、コンポーネントを選択する。例えば、ここではコンポーネントAを選択する。
処理S5305では、選択したコンポーネントで実施すべき対策を基に代替対策DB203を参照する。なお、代替対策DB203を参照する際、制約条件604を考慮する。例えば、選択したコンポーネントAの対策一覧605を参照する。対策一覧605に記載されている各対策に関して代替対策DBを参照する。
処理S5306では、過剰な対策があるかどうかを確認する。過剰な対策がある場合には処理S5307へ、過剰な対策がない場合には処理S5302へ分岐する。ここで、過剰な対策が存在するかの判断は分析者が選択した対策の選別方針1103に依存する。例えば、本例では「全脅威をカバーできる最小数の対策の組合せ」という対策の選別方針であるため、1つの対策で対応可能な脅威が多いものを優先して残し、各脅威に対して1つの対策を選出することとなる。
処理S5307では、分析者が選択した対策の選別方針1103に則って、対策を抽出/削除する。例えば、本例で分析者が選択した対策の選別方針1103に則って、コンポーネントAで発生しうる脅威毎に抽出した対策を確認する。1つ以上の対策が紐づいているものに関しては、それらの中から1つに絞る。その際、対策可能な脅威数が多い対策を優先的に選択することで対策の絞り込みを行う。本例では、「全脅威をカバーできる最小数の対策の組合せ」という選別方針に則り、対策の絞り込みを実施した。セキュリティ分野では多重防御が重要視されていることから、各脅威に対して様々な観点(例えば、予防系対策、検知系対策、拡大防止系対策、復旧系対策など)から対策を絞り込むことも可能である。また、絞り込み(と削除)はせずに、全ての対策を出力することも可能である。
処理S5308では、すべてのコンポーネントに対して、分析者が選択した対策の選別方針1103に則って対策の精査が完了したらループを完了する。
処理S5309では、上記の処理結果である推奨対策一覧606を出力部104へと送信する。
図16では、コンポーネント同士が連携することで実現する対策を抽出する一例を図示した。なお、本処理は対策立案部102の対策の整合性確認L522にあたる。
具体的に以下で説明する。本例の入力であるコンポーネント連携情報601をベースに、コンポーネント同士の連携関係6001を図示した。ここで、コンポーネントAでは、コンポーネント同士の連携が必要となる対策「通信路の暗号化」が抽出されたとする(6002)。しかし、コンポーネントAの連携先であるコンポーネントBでは、発生しうる脅威から対策「通信路の暗号化」が抽出されたとする(6003)。そうなるとコンポーネントBにだけ対策「通信路の暗号化」をしても機能が発揮されない。そこで、連携先であるコンポーネントAに新たに対策「通信路の暗号化」を追加する(6004)。
図17では、従属対策抽出ループL523の一例について説明する。本ループでは、コンポーネント上で発生しうる脅威から実施すべき対策を立案していた。しかし、対策の中には複数の脅威に対応するものも存在する。実際のシステム設計ではコストという制約が存在する。そのため、本処理では必要最小限の対策立案が求められる。そこで、従属対策抽出ループL523では、コンポーネントで起こりうる全脅威イベント6102と対策6103を網羅的にみて、分析者が選択した対策の選出条件1103に基づいて対策を精査することを目的としている。具体的には、対策実施箇所6101であるコンポーネントAで発生しうる脅威イベント6102と各脅威イベント6102に対応する対策6103を全て抽出する。そして対策6103に着目すると1つの対策6103で複数の脅威イベント6102に対応するものが存在する。本例では、分析者が対策の選別方針1103として「全脅威をカバーできる最小数の対策の組合せ」を選択していることから、これら6個の推奨対策6103のうち一番少ない組合せで4つの脅威イベント6102を防止することが可能な対策を抽出する(6104)。本例では、推奨対策6105「デバイス認証と識別」「ユーザ権限の設定」の2つの対策を行うことで4つの脅威イベント6102を防ぐことが可能となる。本例では、2つのコンポーネントの連携状況しか考慮していないが、全コンポーネントの連携状況を考慮した上で対策の追加/削除を行う。なお、前述の通り、分析者が選択した対策の選別方針1103に応じて選別方法は異なる。また、今回は各脅威に対して1つの対策を抽出しているが、セキュリティの脅威を防ぐためには多層防御という考えを導入することが望ましいとされている。そのため多層防御の考えを導入し、対策を抽出する場合には、脅威‐対策DB201と従属対策DB202と代替対策DB203を構成する際に各対策は予防系対策、検知系対策、拡大防止系対策、復旧系対策のどれに分類されるのかを考慮する必要がある。
[変更例1]
実施例1に加え、本支援装置の出力結果をフィードバックするフィードバック部を備える構成について説明する。この場合、新たにフィードバック部と代替対策DBに「優先度」項目を設ける必要がある。フィードバック部は実際に用いた対策に関する情報を入力として、入力された対策に該当するものに関しては優先度を付与する。これにより、実際に過去に導入された実績のある対策が抽出可能となる。また、各DBの精度向上へとつながる。
[変更例2]
実施例1において、複数の対策群の選択肢を表示する構成について説明する。本支援装置では対策精査部において、対策を精査して対策の絞り込みをしている。実システム設計の現場において複数の対策候補が欲しい場合、対策立案部が抽出した結果を出力する形式でも構わない。
[変更例3]
実施例1において、準拠すべき規格・ガイドラインに則った対策立案を行う構成について説明する。脅威‐対策DB201、従属対策DB202、代替対策DB203において、各種規格・ガイドラインの情報を付与する。その場合、対策のマスターデータを用意し、各種規格・ガイドラインに記載されている対策が判断できるようDB構造を変更する(例えば星取表形式など)。これにより、各種規格・ガイドラインに準拠した対策の抽出が可能となる。
100:メモリ 200:外部記憶装置 300:CPU 400:入出力装置 500:インターフェース 101:入力受付部 102:対策立案部 103:対策精査部、104 出力部、201 脅威‐対策DB、202 従属対策DB、203 包含対策DB、600 対策の選別方針、601 システム構成情報、602 コンポーネント連携情報、603 脅威分析結果、604 制約条件、605 対策一覧、606 推奨対策一覧、1101 対策の選別方針入力フォーム、1102 分析対象システム名称、1103 対策の選別方針、1104 編集ボタン、1105 次へボタン、1201 システム構成情報入力フォーム、1202 コンポーネント数、1203 コンポーネント名称、1301 コンポーネント連携情報入力フォーム、1302 コンポーネント連携情報、1303 編集ボタン、1304 戻るボタン、1305 次へボタン、1401 脅威分析結果入力フォーム、1402 参照ボタン、1403 編集ボタン、1404 戻るボタン、1405 次へボタン、1501 制約条件入力フォーム、1502 コンポーネント名称、1503 制約条件、1504 編集ボタン、1505 戻るボタン、1506 終了ボタン、

Claims (5)

  1. 複数のコンポーネントから構成される情報システムのセキュリティ対策立案を支援するセキュリティ対策立案支援装置において、
    ユーザから情報の入力を受け付ける入力部と、
    セキュリティ対策を表示する出力部と、
    脅威と対策とを対応付けて格納する脅威‐対策DBと、
    セキュリティ対策同士の従属関係を格納する従属対策DBと、
    前記脅威-対策DBから脅威に対応付く複数のセキュリティ対策を抽出し、当該抽出された複数のセキュリティ対策間の従属関係を前記従属対策DBから抽出する対策立案部と、
    セキュリティ対策同士の代替関係を格納する代替対策DBと、
    前記対策立案部が提示した複数のセキュリティ対策を、前記代替関係と、前記入力部から入力されるコンポーネントの制約条件と、に基づき組み合わせ、前記出力部に出力する対策精査部と、を備えるセキュリティ対策立案支援装置。
  2. 請求項1に記載のセキュリティ対策立案支援装置において、
    前記対策立案部は、キーとなるセキュリティ対策に対して一方的な依存関係となっているセキュリティ対策を従属対策DBから抽出する、セキュリティ対策立案支援装置。
  3. 請求項2に記載のセキュリティ対策立案支援装置において、
    前記対策精査部は、前記脅威-対策DBから抽出した対策に関して、前記複数のセキュリティ対策を組み合わせる処理を複数回実施し、複数の組み合わせを前記出力部に出力する、セキュリティ対策支援装置。
  4. 請求項1乃至3に記載のセキュリティ対策立案支援装置において、
    前記対策精査部は、キーとなるセキュリティ対策と相互に依存し合うセキュリティ対策を前記代替対策DBから抽出する、セキュリティ対策立案支援装置。
  5. 請求項4に記載のセキュリティ対策立案支援装置において、
    前記対策立案部は、コンポーネント間の連携情報に基づき複数のセキュリティ対策を抽出する、対策立案支援装置。
JP2015240712A 2015-12-10 2015-12-10 セキュリティ対策立案支援方式 Active JP6663700B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015240712A JP6663700B2 (ja) 2015-12-10 2015-12-10 セキュリティ対策立案支援方式

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015240712A JP6663700B2 (ja) 2015-12-10 2015-12-10 セキュリティ対策立案支援方式

Publications (2)

Publication Number Publication Date
JP2017107405A true JP2017107405A (ja) 2017-06-15
JP6663700B2 JP6663700B2 (ja) 2020-03-13

Family

ID=59059832

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015240712A Active JP6663700B2 (ja) 2015-12-10 2015-12-10 セキュリティ対策立案支援方式

Country Status (1)

Country Link
JP (1) JP6663700B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019193958A1 (ja) * 2018-04-04 2019-10-10 日本電信電話株式会社 情報処理装置及び情報処理方法
JP2019219898A (ja) * 2018-06-20 2019-12-26 三菱電機株式会社 セキュリティ対策検討ツール
WO2022162821A1 (ja) * 2021-01-28 2022-08-04 日本電気株式会社 表示装置、表示システム、表示方法及び非一時的なコンピュータ可読媒体

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006350708A (ja) * 2005-06-16 2006-12-28 Hitachi Ltd セキュリティ設計支援方法及び支援装置
WO2008004498A1 (fr) * 2006-07-06 2008-01-10 Nec Corporation Système, dispositif, procédé et programme de gestion des risques de sécurité
JP2015204061A (ja) * 2014-04-16 2015-11-16 株式会社日立製作所 システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006350708A (ja) * 2005-06-16 2006-12-28 Hitachi Ltd セキュリティ設計支援方法及び支援装置
WO2008004498A1 (fr) * 2006-07-06 2008-01-10 Nec Corporation Système, dispositif, procédé et programme de gestion des risques de sécurité
JP2015204061A (ja) * 2014-04-16 2015-11-16 株式会社日立製作所 システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019193958A1 (ja) * 2018-04-04 2019-10-10 日本電信電話株式会社 情報処理装置及び情報処理方法
JP2019185223A (ja) * 2018-04-04 2019-10-24 日本電信電話株式会社 情報処理装置及び情報処理方法
JP2019219898A (ja) * 2018-06-20 2019-12-26 三菱電機株式会社 セキュリティ対策検討ツール
JP7213626B2 (ja) 2018-06-20 2023-01-27 三菱電機株式会社 セキュリティ対策検討ツール
WO2022162821A1 (ja) * 2021-01-28 2022-08-04 日本電気株式会社 表示装置、表示システム、表示方法及び非一時的なコンピュータ可読媒体

Also Published As

Publication number Publication date
JP6663700B2 (ja) 2020-03-13

Similar Documents

Publication Publication Date Title
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
JP6677623B2 (ja) セキュリティ対策立案支援システムおよび方法
US11409911B2 (en) Methods and systems for obfuscating sensitive information in computer systems
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
Ab Rahman et al. A survey of information security incident handling in the cloud
US9697352B1 (en) Incident response management system and method
Spanakis et al. Cyber-attacks and threats for healthcare–a multi-layer thread analysis
US20150205956A1 (en) Information processing apparatus, information processing method, and program
Prakash et al. Cloud and edge computing-based computer forensics: Challenges and open problems
Tariq Towards information security metrics framework for cloud computing
Papastergiou et al. Handling of advanced persistent threats and complex incidents in healthcare, transportation and energy ICT infrastructures
JP6663700B2 (ja) セキュリティ対策立案支援方式
JP6636226B2 (ja) 対策立案支援装置、対策立案支援方法及び対策立案支援プログラム
Zavou et al. Cloudopsy: An autopsy of data flows in the cloud
AU2022205946A1 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
WO2022150513A1 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
JP2018196054A (ja) 評価プログラム、評価方法および情報処理装置
Wortman et al. SMART: security model adversarial risk-based tool for systems security design evaluation
JP7384208B2 (ja) セキュリティリスク分析支援装置、方法、及びプログラム
JP7078562B2 (ja) 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置
JP2015204061A (ja) システムセキュリティ設計支援装置、システムセキュリティ設計支援方法、及びシステムセキュリティ設計支援プログラム
Lee et al. K-FFRaaS: A Generic Model for Financial Forensic Readiness as a Service in Korea
WO2019142469A1 (ja) セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム
WO2018163274A1 (ja) リスク分析装置、リスク分析方法及びリスク分析プログラム
Taqafi et al. A maturity capability framework for security operation center

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170111

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170113

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190326

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190723

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190913

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200217

R150 Certificate of patent or registration of utility model

Ref document number: 6663700

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150