JP2017173940A - セキュリティ対処サーバ及びシステム - Google Patents
セキュリティ対処サーバ及びシステム Download PDFInfo
- Publication number
- JP2017173940A JP2017173940A JP2016056421A JP2016056421A JP2017173940A JP 2017173940 A JP2017173940 A JP 2017173940A JP 2016056421 A JP2016056421 A JP 2016056421A JP 2016056421 A JP2016056421 A JP 2016056421A JP 2017173940 A JP2017173940 A JP 2017173940A
- Authority
- JP
- Japan
- Prior art keywords
- asset
- information
- terminal
- security
- incident
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000010485 coping Effects 0.000 title claims description 7
- 238000000034 method Methods 0.000 claims abstract description 15
- 238000004364 calculation method Methods 0.000 claims description 25
- 230000008859 change Effects 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 9
- 238000000605 extraction Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims 7
- 208000015181 infectious disease Diseases 0.000 abstract description 4
- 230000008520 organization Effects 0.000 description 32
- 238000011156 evaluation Methods 0.000 description 11
- 238000013349 risk mitigation Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000007373 indentation Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】企業などの組織内でインシデント(マルウェアに感染等)を検知した際に、インシデントを検知した端末のセキュリティ対策を施す技術は知られている。しかし、ある端末がマルウェアに感染した場合、他の端末にもそのマルウェアが伝染する可能性が非常に高く、組織内の複数端末全体のセキュリティリスクを低減するための対処方法は考慮されていない。【解決手段】インシデントが発生した際、組織内の複数端末に対して、守るべき資産の分布状況とセキュリティの状態を把握し、それを考慮したセキュリティの状態に変更する。【選択図】図1
Description
本発明は、企業などの組織内でインシデントを検知した際に、当該組織全体のセキュリティレベルを上げるシステムに関するものである。
企業・組織によっては、セキュリティが高すぎると作業性が悪いため、システム部門によって導入された設定を実施せずに、勝手にセキュリティを下げて作業(パスワードを解除、平文の保存、等)している実態があることが報告されている。
しかし、セキュリティを下げたままでは脆弱であり、いざマルウェア等の脅威にさらされたときに被害を受ける可能性が高い。そこで、作業性を良くしたまま、高セキュリティを保つことが求められている。
資産を保持する端末を高セキュリティに保つ技術に関連する公知例として、特許文献1がある。特許文献1は、対象端末の状態(脆弱性の有無、脅威の発生頻度、資産価値など)を基にリスクを分析した上で、リスクを低減するための対処方法を対象端末に対して提示する技術である。
一般に、ある端末がマルウェアに感染した場合、他の端末にもそのマルウェアが伝染する可能性が非常に高い。しかしながら、特許文献1に記載の技術は端末一台のみを対象にするものであり、対象となっていない他の端末についてはリスクを低減できない。よって、特許文献1記載の技術を適用したとしても、マルウェアが組織内の複数端末にも伝染している場合には、これら複数端末についてセキュリティリスクを低減するための対処方法を提示できず、組織全体のセキュリティレベルは改善されない。
インシデントが発生した際、組織内の複数端末に対して、守るべき資産の分布状況とセキュリティの状態を把握し、あるべきセキュリティの状態に変更する。
具体的には、各端末上の資産の属性情報を予め管理しておき、インシデントが発生した際、組織内の端末が保持するすべての資産の属性情報に基づき、守るべき資産の分布状況を把握し、前記資産のセキュリティの状態を把握し、前記セキュリティの状態と前記資産があるべきセキュリティに差があれば、前記差を埋める処理を実施する。
本発明によれば、ある端末にイベントが発生(セキュリティリスクを検知)した際に、当該端末のみならず、当該端末に関係する組織全体のセキュリティレベルを上げることで、組織全体としてのセキュリティ向上を実現する。
以下、本発明の実施形態を、図面に示す実施例を基に説明する。なお、本発明は下記の実施形態に限定されるものではない。
図1を用いて、セキュリティ対処システムの全体構成及び機能構成を説明する。
セキュリティ対処システムは、セキュリティ対処サーバ101と、ひとつ又は複数の端末120と、これらを接続するネットワークとで構成される。セキュリティ対処サーバ101は構成要素として、資産管理記憶部107、端末所属管理記憶部108、リスク値評価記憶部110、セキュリティポリシ記憶部109、対処案記憶部111を有する。セキュリティ対処サーバ101は、通信制御装置206によって実現される検知部102により、複数の端末120に接続することで、これら端末の状態を監視している。ここで、セキュリティ対処サーバは、端末が所属する組織に一つでも複数でも良いし、それとは逆に、ひとつのセキュリティ対処サーバが複数の組織の端末の状態の監視をしてもよい。なお、ここでいう組織とは、例えば、ひとつの会社の場合もあれば、複数の会社が共同でプロジェクトを実行するときの纏まった単位等でもよい。セキュリティ対処サーバ101の検知部が、ネットワークの状態を監視することでクライアント端末への攻撃を検知する、若しくは前記クライアント端末から攻撃を受けた旨の通知をクライアント端末の通信部から受信し、当該クライアント端末におけるインシデント情報(当該端末の端末IDやインシデント種別など)を取得する。ここで、端末IDとは組織内で当該端末を一意に特定する識別情報であり、インデント種別とはインシデント内容が不審メール受信かマルウェア感染かなどを指す。
前記取得したインシデント情報を用いて、資産分布状況計算部103で、当該クライアント端末が有する資産と類似の資産が当該組織のどこに分布しているかを取得する。ここで資産とは、価値のあるデータ(情報資産)を指す。次に、リスク値計算部104で、前記資産分布状況計算部103で取得した各資産のセキュリティに関する状態とリスク値を計算する。次に、対処案計算部105で、前記リスク値計算部104で計算したリスク値を基に対処案を計算する。これら資産分布状況抽出部103、リスク値計算部104、対処案計算部105は、メモリ202に格納された各種プログラムをCPU201が実行することで実現される。最後に前記計算結果の対処案を、通信制御装置206により実現される対処指示部が各クライアント端末120へ送信し、クライアント端末では通信部121を介して受信した対処案の実施、表示部122での表示などを 行う。
図2を用いて、セキュリティ対処サーバを実現するためのハードウエア構成を示す。図示するとおり通常のコンピュータシステムにより実現することができる。具体的には、CPU201、メモリ202、記憶装置203、入力装置204、出力装置205、通信制御装置206、これらを相互に接続するバス207からなる。CPU201は、記憶装置203に記憶され、メモリ202に展開された各種プログラムを実行する。入力装置204は例えばキーボード、マウスなどであり、出力装置205は例えばディスプレイである。通信制御装置206は、例えば無線ネットワークインターフェース、ネットワークインターフェースカードである。これらは、バス207によって相互に接続される。
なお、セキュリティ対処サーバでは端末所属管理記憶部108とセキュリティポリシ記憶部109、リスク値評価記憶部110、対処案記憶部111は、予めインプット情報として記憶装置に保持する。
次に、図1で説明した各記憶部に格納される情報について説明する。
端末所属管理記憶部に格納される端末所属管理情報は、当該組織が保持するすべての端末の所属情報を管理するための情報であって、端末IDと端末の種別、所属情報などがある。
リスク値評価部に格納されるリスク値評価情報は、当該組織においてインシデントを検知した際の、組織内に分布する資産のリスク値を計算するための情報であって、資産の重要度とインシデント種別、当該資産のベースとなるリスク値、当該資産に対して各セキュリティ対処を実施することによるリスク軽減値を定めた情報である。
セキュリティポリシ記憶部に格納されるセキュリティポリシ情報は、各資産の属性に紐づく重要度や、属性の組みに紐づく重要度、当該組織において資産を保持する端末の検索や前記端末へのセキュリティ対処に関する各種ポリシを定めた情報である。
対処案記憶部に格納される対処案情報は、当該組織内において資産のセキュリティレベルを上げるために、組織単位、端末単位で実施可能な対処の方法と、実施に伴う業務への影響の度合いを定めた情報である。
資産管理記憶部に格納される資産管理情報は、当該組織の各端末が保持する資産を管理するための情報であって、更新のタイミングは各端末が保持する資産の状況が変わったタイミングであってもよいし、定期的に一括で更新するタイミングであってもよい。
資産管理情報は資産IDや当該資産の所有端末ID、当該資産のセキュリティの状態、当該資産の内容のメタ情報に関する属性の情報からなる。
以下では、図を用いて、上記の各記憶部の詳細を説明する。
図3を用いて資産管理記憶部301の構成を示す。資産管理記憶部301は、セキュリティ対処サーバが対象とする組織が管理するすべての資産情報を保持する。具体的には、資産管理記憶部301は資産ID302、保持端末ID303、セキュリティの状態304、属性305からなる。資産IDは、当該組織において所有する資産を一意に特定する情報を保持する。保持端末ID303は、当該資産を所有する端末を一意に特定する情報を保持する。セキュリティの状態304は、当該資産に対して実施済みのセキュリティ対処に関する情報を保持する。属性305は、当該資産の内容に関するメタ情報を保持する。たとえば、資産ID302が「0003」の資産について、当該資産を保持する端末の保持端末IDは「SF367886」であり、当該資産のセキュリティの状態304は「暗号化」と「アクセス制限」がなされている状態であり、当該資産の内容は属性305から、「財務情報」「金額」「年月日」に関する情報であることが分かる。
図4を用いてリスク値評価記憶部401の構成を示す。リスク値評価記憶部401は、各端末が保持する資産について、インシデントを検知した際に計算されるリスクの度合いに関する情報を保持する。具体的には、当該資産の重要度402、インシデント種別403、ベースリスク値404、各セキュリティ対処によるリスク軽減値405からなる。重要度402は、当該資産の重要度の度合いに関する情報を保持する。インシデント種別403はインシデントの内容が不審メール受信かマルウェア感染かなどに関する情報を保持する。ベースリスク値404は、前記インシデント種別に際して、当該資産に対するセキュリティ対処が何もなされてなかった際のリスクの度合いに関する情報を保持する。セキュリティ対処によるリスク軽減値405は各対処を実施することによるリスク値の軽減度合いに関する情報を保持する。
図5−1、図5−2、図5−3の各テーブル501、511、521を用いてセキュリティポリシ記憶部の構成を示す。セキュリティポリシ記憶部は、セキュリティ対処サーバがセキュリティ対処に際しての、当該組織で予め定めた各ポリシに関する情報を保持する。
まず、属性テーブル501について説明する。属性テーブル501は、各属性の内容とその重要度に関する情報を保持する。具体的には、属性テーブル501は属性ID502、属性503、重要度504からなる。属性ID502は各属性情報を一意に特定する情報を保持する。属性503は各属性の内容に関する情報を保持する。重要度504は、各属性の重要度の度合いに関する情報を保持する。たとえば、属性ID502の値が「0090」の属性について、属性503の内容は「財務情報」であり、重要度504は「2」であることが分かる。
次に、属性の組みテーブル511について説明する。属性の組みテーブル511は、各属性の組みの内容とその重要度に関する情報を保持する。具体的には、属性の組み512、重要度513からなる。属性の組み512は各属性情報の組みの内容に関する情報を保持する。重要度513は、各属性の組みの重要度の度合いに関する情報を保持する。たとえば、属性の組み512の内容が属性「給与」と「氏名」の組みの場合、属性テーブル501では属性「給与」と「氏名」の重要度はそれぞれ「2」と「1」だが、属性の組みテーブル511で定められたポリシから、重要度513が「3」となることが分かる。
次に、検索・対処関連テーブル521について説明する。検索・対処関連テーブル521は、セキュリティ対処サーバが検索・対処の処理を実行する際に当該組織が定めたポリシに関する情報を保持する。具体的には、検索の優先順序522、対処範囲優先順序523、対処選択順序524、類似度閾値525、ポリシ526からなる。検索の優先順序522は、セキュリティ対処サーバが資産の属性をキーに当該組織内から前記資産の属性を保持する端末を検索する際に、どのような優先順序で検索するかを定めたポリシに関する情報を保持する。対処範囲優先順序523は、セキュリティ対処サーバがセキュリティ対処を実施する際に、どの範囲から優先して前記対処を実施するかを定めたポリシに関する情報を保持する。対処選択順序524は、後述する対処案記憶部111から、セキュリティ対処サーバがセキュリティ対処を選択して実施する際に、どの対処から優先して選択・実施するかを定めたポリシに関する情報を保持する。類似度閾値525は、当該組織内で、インシデント発生した端末が保持する資産と類似の資産を保持する端末を検索する際、インシデント端末が保持する資産の属性のうちどの程度一致した属性を持つ資産であれば、類似の資産とみなすかについて定めたポリシに関する情報を保持する。ポリシ526は、各種ポリシの内容に関する情報を保持する。たとえば、検索の優先順序522のポリシ526が「重要度が3から」とあれば、インシデント発生の際にセキュリティ対処サーバが資産を基点に保持端末を検索する際、重要度が3のものから降順に検索することが分かる。
図6を用いて、対処案記憶部601の構成を示す。対処案記憶部601は、各インシデント種別に対応する対処案の一覧と各対処の対処範囲、当該端末における業務への影響度に関する情報を保持する。具体的には、対処案記憶部601は対処範囲602、インシデント種別603、対処604、業務影響度605からなる。対処範囲602は、セキュリティ対処を実施する対象範囲に関する情報を保持する。インシデント種別603は、インシデントの内容のメタ情報に関する情報を保持する。対処604は、対処の内容に関する情報を保持する。リスク軽減値605は、各対処が当該端末の業務への影響度合いに関する情報を保持する。たとえば、対処範囲602が「組織」に関する対処案について、インシデント種別603が「不審メール」や「改ざん」、「ファイル破壊」などであれば、当該組織において予め定めている対処604は「ネットワーク一部停止」または「ネットワーク停止」であり、それぞれの業務影響度605は「15」と「20」であることが分かる。
以上の各記憶部を基に、セキュリティ対処サーバは当該組織において守るべき資産の分布状況とセキュリティの状態を把握し、前記セキュリティの状態が前記資産のあるべきセキュリティの状態に満たない場合には、前記差を埋める。
図7を用いて、セキュリティ対処サーバ101の全体の処理概要を説明する。なお、本フローチャートは全体処理の概要を説明するものであり、主要なステップ(ステップ702、703、704)については別の図を用いて詳細な説明を行う。
セキュリティ対処サーバの全体概要フローではまず、検知部102でインシデントが発生したクライアント端末の端末IDやインシデント情報を取得する(ステップ701)。次に、前記取得したインシデント情報とインシデントが発生した端末情報を基に、当該組織における、前記インシデント発生端末が保持する資産と類似の資産の分布状況に関する情報を取得する(ステップ702)。次に、前記取得した資産分布状況の情報を基に、リスク値を計算する(ステップ703)。次に、前記計算したリスク値を基に、対処案を計算する(ステップ704)。次に、前記計算した対処案を基に、前記対処を指示する(ステップ705)。最後に、ステップ702で取得した端末リストに対して未対処の端末があるかどうかの判定を行い、未対処の端末があればステップ703へ戻り、未対処の端末がなければ処理を終了する(ステップ706)。
以上がセキュリティ対処サーバにおける全体の処理概要である。
以下では、実施例1〜3を上記処理フローの詳細フローに沿って説明する。実施例1については図8〜10の詳細フローに沿って説明する。
図8を用いて、図7のステップ702(資産分布状況把握)の詳細を説明する。
資産分布状況計算部103では、検知部102で取得したインシデント端末の端末IDをキーに、資産管理記憶部107から該当する行を検索する(ステップ801)。たとえば、検知部102で取得したインシデント端末の端末IDが「JB120001」であるとき、資産分布状況計算部103は、資産管理部301において、該当する行を検索する。前記検索により、資産ID303が「0001」の行がまず該当することが分かる。以降、同様に検索し、当該端末が保持する資産に該当するすべての行と、セキュリティの状態304、当該資産の属性305が取得できる。
上記検索の結果取得した、該当する端末が保持するすべての資産について、セキュリティポリシ記憶部109のポリシ情報を基に、前記各資産の属性情報をキーに資産管理記憶部107から、インシデント端末が保持する資産と類似の資産を保持する他端末を検索する(ステップ802)。たとえばステップ802の検索の結果、資産管理記憶部301において該当する行が資産ID302の行のみであったとき、属性305は「個人情報」と「氏名」、「住所」であることが分かる。そして、セキュリティポリシ記憶部109の属性テーブル501から、上記検索で取得した属性(「個人情報」、「氏名」、「住所」)についてそれぞれ、重要度が「2」、「1」、「1」であることが分かる。また、属性の組みテーブル511のでは、上記取得した属性の組みに関して該当する行がないため、特に追加処理はしない。また、検索・対処関連テーブル521において、各種ポリシの情報を基に検索処理を実施する。具体的には、検索の優先順序522のポリシ526が「重要度が3から」であることから、前記取得した属性「個人情報」「氏名」「住所」のうち、重要度504が「2」の、属性に「個人情報」を持つ資産から検索していく。前記検索の方法については、ステップ801の検索と同様の検索で、検索キーを属性の値とする点のみが異なる。また、検索に際して、類似度閾値525のポリシ526が「5割以上」であることから、属性「個人情報」「氏名」「住所」のうち、少なくとも2つ以上(約6割6分)を持つ他資産を資産管理記憶部301から検索する。本例では、属性「個人情報」と「氏名」が一致する、資産ID302の行が該当することが分かる。
そして、上記検索の結果取得した他端末のリストすべてについて、前記他端末が保持する資産の属性と属性テーブル501を基に、前記他端末が保持する資産の重要度を計算する(ステップ803)。たとえば、前記ステップ802の検索の結果取得した他端末に関して、保持端末ID303が「XD31766」である場合、当該保持端末IDが「XD31766」となっている資産全てを資産管理記憶部107から取得する。続いて、得られた資産全てに対して、設定されている属性情報全てを取得する。ここで得られた属性情報全てに対して、セキュリティポリシ記憶部109の属性テーブルを参照して重要度を取得する。また、セキュリティポリシ記憶部109の属性の組みテーブルを参照し、当該資産に設定されている属性情報の組みに対応する重要度を取得する。このようにして他端末が所有する資産とその重要度を取得する。
図9を用いて、図7のステップ703(リスク値計算)の詳細を説明する。
まず、資産分布状況計算部103のステップ803で計算した、各端末が保持する資産のうち、最も高い重要度の値を取得する(ステップ901)。
次に、インシデント種別情報と前記取得した当該端末が保持する資産の重要度の最大値、当該資産のセキュリティの状態を基に、リスク値計算部104はリスク値評価記憶部110から当該資産のリスク値を計算する(ステップ902)。具体的には、資産管理記憶部107を参照し、当該端末で最大の重要度を持つ資産のセキュリティ状態を取得する。続いて、リスク値評価記憶部を参照し、当該資産の重要度および発生したインシデントの種別に対応したベースリスク値、セキュリティ対処によるリスク軽減値を取得する。取得したリスク軽減値のうち、当該資産のセキュリティ状態に対応するものを抽出し、ベースリスク値から減算することで当該資産のリスク値とする。
たとえば、当該組織に対して「不審メール」に関するインシデントが発生した際、重要度402が「2」の資産について、インシデント種別403は「不審メール」であり、当該資産のベースリスク値404が「20」で、当該資産に対して「暗号化」の対処がなされているとすれば、セキュリティ対処によるリスク軽減値406は「4」となり、ベースリスク値「20」から前記リスク軽減値「4」を引いた値「16」が当該資産に対するリスク値であることが分かる。
図10を用いて、図7のステップ704(対処案計算処理)の詳細を説明する。
まず、セキュリティポリシ記憶部109のポリシ情報を基に、対処案記憶部111から、保持する資産に対して未実施の対処案を検索する(ステップ1001)。具体的には、セキュリティポリシ記憶部109の検索・対処関連テーブル521を参照し、対策範囲優先順序523の値を取得する。取得した値によって、組織単位と端末単位の対策のどちらを優先するかが決まる。続いて対処案記憶部111を参照し、優先される対処範囲、および発生したインシデント種別に対応する対処の一覧を取得する。得られた対処案から、資産管理記憶部110に記録されている当該資産のセキュリティ状態に記載されている対処を除去し、対処案のリストとする。このリストから1つ以上の対処の組み合わせを洗い出して得られた対処案リストを、未実施の対処案とする。
次に、前記検索した対処案を基にリスク値評価記憶部110でリスク軽減値を計算する(ステップ1002)。具体的には、ステップ1001で得られた未実施の対処案全てに対して、当該対処を実施した場合の当該資産のリスク値をステップ902で算出したのと同様の算出法により算出する。ここで、リスク値が0を下回る場合にはリスク値を0とする。得られたリスク値と、ステップ902で算出されたリスク値との差分を取ることによりリスク軽減値とする。
前記ステップ1002の計算の結果、当該端末が保持する資産に対する対処のリスク軽減値がリスク値以下の場合にはステップ1001に戻り、リスク値以上の場合には処理を終了する(ステップ1003)。
以上が、当該組織においてインシデントを検知した際の、実施例1におけるセキュリティ対処の詳細である。これにより、インシデント発生端末が保持する資産と類似の資産を保持する端末を、重要度の高い資産を保持する端末から順に検索し、セキュリティ対処を実施することができる。
次に、実施例2について説明する。
本実施例では、端末所属管理記憶部108と、実施例1で用いたセキュリティポリシ記憶部109の構成を拡張した、図12の密度閾値テーブル1201を利用する。端末所属管理記憶部1101は各端末が所属管理されている事業者や部署に関する情報を保持する。
具体的には、端末所属管理記憶部1101は、端末ID1102、種別1103、所属1104からなる。
また密度閾値テーブル1201は、当該組織のある事業部や部署単位で見たときに、インシデント発生端末が保持する資産と類似の資産を保持する端末の数の割合別に、当該資産に関するベースリスク値の変更値を定めたポリシに関する情報を保持する。
具体的には、密度閾値テーブル1201は、密度閾値1202、ベースリスク値の変更値1203からなる。密度閾値1202は、前記事業部や部署単位で見たときの、インシデント発生端末が保持する資産と類似の資産を保持する端末の数の割合の閾値の情報を保持する。ベースリスク値の変更値1203は、前記密度閾値別に当該資産のベースリスク値をどの程度変更するかに関する情報を保持する。これにより、たとえばある事業部または部署において当該資産を保持する端末の数の割合が大きい(密度が高い)とき、ベースリスク値を下げることで、前記事業部または部署への業務影響度を軽減した上でセキュリティレベルを上げる。
たとえば、密度閾値1202が「0.7以上」の事業部または部署について、前記事業部または部署の端末が保持する資産のベースリスク値を「8下げた」上で、セキュリティ対処を実施することが分かる。
次に、実施例2の処理について説明する。
次に、実施例2の処理について説明する。
図13を用いて実施例2における資産分布状況把握の詳細フローを説明する。
まず、図8のステップ801〜803の検索処理の結果得られた、インシデント発生端末が保持する資産と類似の資産を保持する他の端末の、リスト情報を取得する(ステップ1301)。
次に、前記取得した他の端末のリスト情報の端末IDをキーに、端末所属管理記憶部108から各端末の所属情報を取得する(ステップ1302)。
そして、各端末の所属毎に資産の密度を計算する(ステップ1303)。ここで資産の密度とは、当該所属組織が保持する全端末数のうち、ある資産を保持する端末数の割合を指す。
続いて、密度閾値テーブル1201を参照し、資産の密度ごとのベースリスク値の変更値を取得する。この情報とステップ1303で得られた資産の密度とをつき合わせて、当該資産に対するベースリスク値の変更値を取得する。以降は、当該資産のリスク値算出や対処案導出の際に、当該資産のベースリスク値にここで得られた変更値を加えた値をベースリスク値として処理を行う。以降の処理については実施例1と同様のため、省略する。
以上が、実施例2におけるセキュリティ対処の詳細である。このように、資産の分布の度合い(密度)により対処を変えることで、インシデント発生端末が保持する資産と類似の資産を保持し、普段の業務において利用している事業部や部署に対して、業務への影響度を低減したセキュリティ対処が実施できる。
次に、実施例3について説明する。本実施例では、実施例1で用いたセキュリティポリシ記憶部109の構成を拡張した、時系列での資産のベースリスク値変更テーブル1201を利用する。
図14を用いて、時系列での資産のベースリスク値変更テーブル1401を説明する。テーブル1401は時系列で重要度が変化する資産について、当該資産のセキュリティ状態によって、ベースリスク値の変更の度合いを定めたポリシに関する情報を保持する。これにより時系列で重要度が変化する資産を保持する端末へのセキュリティ対処について、たとえば重要度が徐々に下がる資産のセキュリティ状態を考慮して、ベースリスク値を下げることで、前記資産を保持する端末に対して業務影響度が低減されたセキュリティ対処を実施することができる。たとえば、ニュースリリースに関する情報は、当該リリースが出されるまでは厳密に管理をし、外部に漏えいすることなど内容にしなければならないが、一旦リリースが公開されるとそれは公開情報となり、機密情報ではなくなるため、当該情報に対するセキュリティ対処を緩めても構わなくなる。
時系列での資産のベースリスク値変更テーブル1401は、資産ID1402、およびリスク値の変動1403からなる。資産ID1402は、当該資産を一意に特定するための識別子である。リスク値の変動1403は、当該資産のリスク値の時系列での変動度合いを示した情報である。本実施例においては、資産のリスク値を変動させることで資産価値の変動を表現するようにしているが、この方式に限定するものではなく、資産の重要度を変動させるような方式にしていてもよい。また、本実施例においてはリスク値の変動1403を、時系列グラフの形で表現しているが、その他の表現、たとえば何月何日にリスク値がいくつになる、という情報のリストであってもよい。
当該テーブルの情報は、リスク値を算出する際に用い、リスク値の変動1403に基づいて現在のリスク値の変動を求め、算出結果に反映させる。これ以外の処理については実施例1と同様のため、省略する。
以上が、実施例3におけるセキュリティ対処の詳細である。このように、資産の重要度の時系列変化により処理を変えることで、時系列で重要度が変化する資産を保持する端末へのセキュリティ対処について、前記資産を保持する端末に対して業務影響度を考慮したセキュリティ対処を実施することができる。
101:セキュリティ対処サーバ、 102:検知部、 103:分布状況抽出部、 104:資産管理記憶部、 105:端末所属管理記憶部、 106:リスク値計算部、 107:リスク値評価記憶部、 108:対処案計算部、 109:セキュリティポリシ記憶部、 110:対処案記憶部、 111:対処指示部
Claims (12)
- インシデントへの対処を指示するセキュリティ対処サーバにおいて、
インシデントを検知する検知部と、
前記インシデントが発生した端末が保持する情報資産に類似する情報資産を保有する他の端末に関する情報である資産分布状況情報を抽出する資産分布状況抽出部と、
前記資産分布状況情報に基づき、前記インシデントのリスク値を計算するリスク値計算部と、
前記インシデントの種類と前記リスク値とから、当該インシデントに対する対処案を計算する対処案計算部と、
前記対処案を、前記情報資産を保有する他の端末に送信する対処指示部と、
を備えることを特徴とするセキュリティ対処サーバ。 - 請求項1に記載のセキュリティ対処サーバであって、
端末と当該端末が保有する情報資産とを紐づけた資産管理情報を格納する資産管理記憶部を更に備え、
前記資産分布状況抽出部は、前記インシデントが発生した端末の情報と前記資産管理情報とに基づいて前記資産分布状況情報を抽出することを特徴とするセキュリティ対処サーバ。 - 請求項2に記載のセキュリティ対処サーバであって、
前記資産管理情報は、前記情報資産のIDと、当該情報資産を有する端末のIDと、当該情報資産の属性情報と、を備え、
前記資産分布状況抽出部は、前記インシデントが発生した端末が有する前記情報資産のIDから当該情報資産の属性情報を抽出し、当該属性情報を備える他の情報資産を抽出し、当該他の情報資産を備える端末を特定することで、前記資産分布状況情報を抽出することを特徴とするセキュリティ対処サーバ。 - 請求項3に記載のセキュリティ対処サーバであって、
前記属性情報には予め優先度が決められており、
前記資産分布状況抽出部は、前記優先度に従い、前記他の情報資産を備える端末を特定し前記資産分布状況情報を抽出することを特徴とするセキュリティ対処サーバ。 - 請求項3又は4に記載のセキュリティ対処サーバにおいて、
前記属性情報の組みには予め優先度が決められていて、
前記資産分布状況抽出部は、前記優先度に従い、前記他の情報資産を備える端末を特定し前記資産分布状況情報を抽出することを特徴とするセキュリティ対処サーバ。 - 請求項1乃至5のいずれか一項に記載のセキュリティ対処サーバにおいて、
前記資産分布状況抽出部は、前記インシデントが発生した端末に格納された前記情報資産の前記属性情報の組み合わせと、特定の数以上一致する情報資産を有する他の端末を特定し前記資産分布状況情報を抽出することを特徴とするセキュリティ対処サーバ。 - 請求項3乃至6のいずれか一項に記載のセキュリティ対処サーバにおいて、
前記リスク値計算部は、前記他の情報資産を備える端末が有する前記情報資産の属性情報に基づいて前記リスク値を計算することを特徴とするセキュリティ対処サーバ。 - 請求項7に記載のセキュリティ対処サーバにおいて、
前記リスク値は、時系列で変動することを特徴とするセキュリティ対処サーバ。 - 請求項1乃至8のいずれか一項に記載のセキュリティ対処サーバにおいて、
前記対処案計算部は、前記資産の分布の度合いにより、前記セキュリティ度の変更内容を変化させることを特徴とするセキュリティ対処サーバ。 - 請求項1乃至9のいずれか一項に記載のセキュリティ対処サーバにおいて、
前記検知部は、前記端末が新たに資産を保持する度に当該資産に関する属性情報を当該端末から受信することを特徴とするセキュリティ対処サーバ。 - 請求項1乃至10のいずれか一項に記載のセキュリティ対処サーバと、前記端末と、当該セキュリティ対処サーバと当該端末とを接続するネットワークと、を備えたセキュリティ対処システム。
- インシデントへの対処を指示するセキュリティ対処方法において、
端末でのインシデントを検知する検知ステップと、
前記インシデントが発生した端末が保持する情報資産に類似する情報資産を保有する他の端末に関する情報である資産分布状況情報を抽出する資産分布状況抽出ステップと、
前記資産分布状況情報に基づき、前記インシデントのリスク値を計算するリスク値計算ステップと、
前記インシデントの種類と前記リスク値とから、当該インシデントに対する対処案を計算する対処案計算ステップと、
前記対処案を、前記情報資産を保有する他の端末に送信する対処指示ステップと、
を備えることを特徴とするセキュリティ対処方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016056421A JP6518613B2 (ja) | 2016-03-22 | 2016-03-22 | セキュリティ対処サーバ及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016056421A JP6518613B2 (ja) | 2016-03-22 | 2016-03-22 | セキュリティ対処サーバ及びシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017173940A true JP2017173940A (ja) | 2017-09-28 |
| JP6518613B2 JP6518613B2 (ja) | 2019-05-22 |
Family
ID=59971314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016056421A Active JP6518613B2 (ja) | 2016-03-22 | 2016-03-22 | セキュリティ対処サーバ及びシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6518613B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111080303A (zh) * | 2019-12-06 | 2020-04-28 | 支付宝(杭州)信息技术有限公司 | 终端设备的风险识别方法、装置及设备 |
| WO2020166329A1 (ja) * | 2019-02-14 | 2020-08-20 | オムロン株式会社 | 制御システム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005071087A (ja) * | 2003-08-25 | 2005-03-17 | Nec Soft Ltd | 侵害に対する意思決定装置と方法、及びプログラム |
| JP2005216003A (ja) * | 2004-01-29 | 2005-08-11 | Ricoh Co Ltd | リスク管理支援方法及びリスク管理支援プログラム |
| WO2008004498A1 (fr) * | 2006-07-06 | 2008-01-10 | Nec Corporation | Système, dispositif, procédé et programme de gestion des risques de sécurité |
| JP2009110177A (ja) * | 2007-10-29 | 2009-05-21 | Ntt Data Corp | 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム |
-
2016
- 2016-03-22 JP JP2016056421A patent/JP6518613B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005071087A (ja) * | 2003-08-25 | 2005-03-17 | Nec Soft Ltd | 侵害に対する意思決定装置と方法、及びプログラム |
| JP2005216003A (ja) * | 2004-01-29 | 2005-08-11 | Ricoh Co Ltd | リスク管理支援方法及びリスク管理支援プログラム |
| WO2008004498A1 (fr) * | 2006-07-06 | 2008-01-10 | Nec Corporation | Système, dispositif, procédé et programme de gestion des risques de sécurité |
| JP2009110177A (ja) * | 2007-10-29 | 2009-05-21 | Ntt Data Corp | 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020166329A1 (ja) * | 2019-02-14 | 2020-08-20 | オムロン株式会社 | 制御システム |
| JP2020135100A (ja) * | 2019-02-14 | 2020-08-31 | オムロン株式会社 | 制御システム |
| CN113330381A (zh) * | 2019-02-14 | 2021-08-31 | 欧姆龙株式会社 | 控制系统 |
| JP7099352B2 (ja) | 2019-02-14 | 2022-07-12 | オムロン株式会社 | 制御システム |
| CN111080303A (zh) * | 2019-12-06 | 2020-04-28 | 支付宝(杭州)信息技术有限公司 | 终端设备的风险识别方法、装置及设备 |
| CN111080303B (zh) * | 2019-12-06 | 2022-05-31 | 支付宝(杭州)信息技术有限公司 | 终端设备的风险识别方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6518613B2 (ja) | 2019-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11068588B2 (en) | Detecting irregularities on a device | |
| US20200213348A1 (en) | Modifying incident response time periods based on containment action effectiveness | |
| US9531746B2 (en) | Generating accurate preemptive security device policy tuning recommendations | |
| US10887335B2 (en) | Aggregation of risk scores across ad-hoc entity populations | |
| EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| US8739290B1 (en) | Generating alerts in event management systems | |
| US8904526B2 (en) | Enhanced network security | |
| US10819720B2 (en) | Information processing device, information processing system, information processing method, and storage medium | |
| CN110140125A (zh) | 安全性与合规性环境中的威胁情报管理 | |
| US20160248788A1 (en) | Monitoring apparatus and method | |
| US8635079B2 (en) | System and method for sharing malware analysis results | |
| US10104112B2 (en) | Rating threat submitter | |
| CN113225349A (zh) | 恶意ip地址威胁情报库建立、防止恶意攻击方法及装置 | |
| CN113783845B (zh) | 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质 | |
| Smys et al. | Data elimination on repetition using a blockchain based cyber threat intelligence | |
| EP3038005A1 (en) | Alert transmission program, alert transmission method, and alert transmission apparatus | |
| KR102295488B1 (ko) | 위험 분석을 위한 보안요소 지수화 시스템 및 방법 | |
| US10909198B1 (en) | Systems and methods for categorizing electronic messages for compliance reviews | |
| JP6518613B2 (ja) | セキュリティ対処サーバ及びシステム | |
| CN111542811B (zh) | 增强网络安全的监视 | |
| WO2012053041A1 (ja) | セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム | |
| JP2016181191A (ja) | 管理プログラム、管理装置及び管理方法 | |
| Refsdal et al. | Risk Evaluation | |
| CN112261006B (zh) | 一种用于发现威胁行为间依赖关系的挖掘方法、终端及存储介质 | |
| US11799880B2 (en) | Network adaptive alert prioritization system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180413 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190315 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190326 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190422 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6518613 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |