JP2018137500A - セキュリティ対処案設計装置、セキュリティ対処案評価装置、セキュリティ対処案設計方法及びセキュリティ対処案評価方法 - Google Patents
セキュリティ対処案設計装置、セキュリティ対処案評価装置、セキュリティ対処案設計方法及びセキュリティ対処案評価方法 Download PDFInfo
- Publication number
- JP2018137500A JP2018137500A JP2017028607A JP2017028607A JP2018137500A JP 2018137500 A JP2018137500 A JP 2018137500A JP 2017028607 A JP2017028607 A JP 2017028607A JP 2017028607 A JP2017028607 A JP 2017028607A JP 2018137500 A JP2018137500 A JP 2018137500A
- Authority
- JP
- Japan
- Prior art keywords
- countermeasure
- security
- attack
- security countermeasure
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】攻撃の検知から攻撃の対処までのオペレーション時間を短縮し、攻撃に対する早期対応を実現する。【解決手段】ネットワーク内で発生した攻撃に対するセキュリティ対処案を設計するセキュリティ対処案設計装置は、攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶する対処テンプレート記憶部と、攻撃を検知する攻撃検知装置から、攻撃の検知情報を受信する受信部と、前記対処テンプレート記憶部から、前記検知情報に対応する対処テンプレートを抽出し、当該抽出された対処テンプレート及び前記検知情報に基づいてセキュリティ対処案を作成し、ネットワーク内の機器情報及びトポロジ情報を参照して、当該作成されたセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出する対処案作成部と、前記抽出されたセキュリティ対処案を出力する対処案出力部とを有する。【選択図】図2
Description
本発明は、セキュリティ対処案設計装置、セキュリティ対処案評価装置、セキュリティ対処案設計方法及びセキュリティ対処案評価方法に関する。特に、本発明は、ネットワーク内で発生した攻撃に対するセキュリティ対処案の選定を支援するための技術に関する。
ネットワークセキュリティ運用では、DDoS(Distributed Denial of Service attack)攻撃等のサイバー攻撃の発生に対して、「1.収集、2.検知、3.対処判断、4.対処実行・確認、5.復旧」というインシデントレスポンスを実施することで、攻撃の無効化を行う。オペレータは、インシデントレスポンスにおいて、収集したログデータや検知ログ、セキュリティ脅威情報を基にどのような対処を行うべきか評価・判断し、対処の実行を行う。特にセキュリティ対処が必要な場合、オペレータによる対処影響調査・対処判断を正確に行うことが重要となる。
小山高明他,"サイバー攻撃から早期回復を図るリジリエント・セキュリティ技術",NTT技術ジャーナル,2014年3月
従来のネットワークセキュリティ運用では、オペレータがセキュリティ対処案を作成し、セキュリティ対処案による影響の調査を行う。そのため、オペレータの負担が増加し、攻撃への対応が長期化するという問題がある。そこで、オペレータが事前に対処方法を記述したシナリオを用意し、攻撃発生時にはシナリオに沿って対処を行うことで対応を自動化することが検討されている(特許文献1、非特許文献1参照)。
図1は、従来のネットワークセキュリティ運用の概要を示す図である。事前準備フェーズにおいて、オペレータが攻撃検知時にどのような対処を行うかをスクリプトで記述したシナリオを複数用意する。対処判断フェーズにおいて、オペレータは、攻撃を検知した場合、攻撃の検知情報を基にシナリオを選定する。例えば、シナリオに記述されたリコメンド優先度の高いものから実際に対処を行ったときの影響を調査する。対処実行フェーズにおいて、オペレータは最も適切なシナリオを選択し、F/W(Firewall)、WAF(Web Application Firewall)、IPS(Intrusion Prevention System)等のセキュリティアプライアンス機器に対して対処内容を設定する。
しかし、ISP(Internet Service Provider)のような多数のユーザを収容する大規模ネットワークでは、セキュリティ対処を行うべき対象が膨大であり、かつ影響範囲が広域であり、ネットワーク構成も刻々と変動することから、それらを網羅するようなスクリプトを事前に作成することは困難である。また、対処を行ったときの影響を評価するときも、スクリプト内に評価用のスクリプトを記述する必要があるが、上記のように網羅的なスクリプトを事前に作成することは困難である。さらに、共通的なサービス影響を評価する指標も存在しないため、サービス影響の調査にはオペレータの関与が必要になる。
本発明は、ネットワーク内で発生した攻撃に対する実施可能なセキュリティ対処案を自動的に生成することにより、攻撃の検知から攻撃の対処までのオペレーション時間を短縮し、攻撃に対する早期対応を実現することを目的とする。また、本発明は、ネットワーク内で発生した攻撃に対するセキュリティ対処案のサービスへの影響を評価することを目的とする。
本発明の一形態に係るセキュリティ対処案設計装置は、
ネットワーク内で発生した攻撃に対するセキュリティ対処案を設計するセキュリティ対処案設計装置であって、
攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶する対処テンプレート記憶部と、
攻撃を検知する攻撃検知装置から、攻撃の検知情報を受信する受信部と、
前記対処テンプレート記憶部から、前記検知情報に対応する対処テンプレートを抽出し、当該抽出された対処テンプレート及び前記検知情報に基づいてセキュリティ対処案を作成し、ネットワーク内の機器情報及びトポロジ情報を参照して、当該作成されたセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出する対処案作成部と、
前記抽出されたセキュリティ対処案を出力する対処案出力部と、
を有することを特徴とする。
ネットワーク内で発生した攻撃に対するセキュリティ対処案を設計するセキュリティ対処案設計装置であって、
攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶する対処テンプレート記憶部と、
攻撃を検知する攻撃検知装置から、攻撃の検知情報を受信する受信部と、
前記対処テンプレート記憶部から、前記検知情報に対応する対処テンプレートを抽出し、当該抽出された対処テンプレート及び前記検知情報に基づいてセキュリティ対処案を作成し、ネットワーク内の機器情報及びトポロジ情報を参照して、当該作成されたセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出する対処案作成部と、
前記抽出されたセキュリティ対処案を出力する対処案出力部と、
を有することを特徴とする。
また、本発明の一形態に係るセキュリティ対処案評価装置は、
ネットワーク内で発生した攻撃に対するセキュリティ対処案を評価するセキュリティ対処案評価装置であって、
ネットワーク内の機器情報及びトポロジ情報を参照して、入力されたセキュリティ対処案がサービスに及ぼす影響を評価する対処案評価部と、
前記セキュリティ対処案の評価結果を出力する評価結果出力部と、
を有することを特徴とする。
ネットワーク内で発生した攻撃に対するセキュリティ対処案を評価するセキュリティ対処案評価装置であって、
ネットワーク内の機器情報及びトポロジ情報を参照して、入力されたセキュリティ対処案がサービスに及ぼす影響を評価する対処案評価部と、
前記セキュリティ対処案の評価結果を出力する評価結果出力部と、
を有することを特徴とする。
また、本発明の一形態に係るセキュリティ対処案設計方法は、
ネットワーク内で発生した攻撃に対するセキュリティ対処案を設計するセキュリティ対処案設計装置におけるセキュリティ対処案設計方法であって、
攻撃を検知する攻撃検知装置から、攻撃の検知情報を受信するステップと、
攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶する対処テンプレート記憶部から、前記検知情報に対応する対処テンプレートを抽出し、当該抽出された対処テンプレート及び前記検知情報に基づいてセキュリティ対処案を作成し、ネットワーク内の機器情報及びトポロジ情報を参照して、当該作成されたセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出するステップと、
前記抽出されたセキュリティ対処案を出力するステップと、
を有することを特徴とする。
ネットワーク内で発生した攻撃に対するセキュリティ対処案を設計するセキュリティ対処案設計装置におけるセキュリティ対処案設計方法であって、
攻撃を検知する攻撃検知装置から、攻撃の検知情報を受信するステップと、
攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶する対処テンプレート記憶部から、前記検知情報に対応する対処テンプレートを抽出し、当該抽出された対処テンプレート及び前記検知情報に基づいてセキュリティ対処案を作成し、ネットワーク内の機器情報及びトポロジ情報を参照して、当該作成されたセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出するステップと、
前記抽出されたセキュリティ対処案を出力するステップと、
を有することを特徴とする。
また、本発明の一形態に係るセキュリティ対処案評価方法は、
ネットワーク内で発生した攻撃に対するセキュリティ対処案を評価するセキュリティ対処案評価装置におけるセキュリティ対処案評価方法であって、
ネットワーク内の機器情報及びトポロジ情報を参照して、入力されたセキュリティ対処案がサービスに及ぼす影響を評価するステップと、
前記セキュリティ対処案の評価結果を出力するステップと、
を有することを特徴とする。
ネットワーク内で発生した攻撃に対するセキュリティ対処案を評価するセキュリティ対処案評価装置におけるセキュリティ対処案評価方法であって、
ネットワーク内の機器情報及びトポロジ情報を参照して、入力されたセキュリティ対処案がサービスに及ぼす影響を評価するステップと、
前記セキュリティ対処案の評価結果を出力するステップと、
を有することを特徴とする。
本発明の一形態によれば、ネットワーク内で発生した攻撃に対する実施可能なセキュリティ対処案を自動的に生成することにより、攻撃の検知から攻撃の対処までのオペレーション時間を短縮し、攻撃に対する早期対応を実現することが可能になる。また、本発明の一形態によれば、ネットワーク内で発生した攻撃に対するセキュリティ対処案のサービスへの影響を評価することが可能になる。
以下、図面を参照して本発明の実施例について説明する。
本発明の実施例では、ネットワーク内で発生した攻撃に対するセキュリティ対処案をテンプレート化し、セキュリティ対処案の作成を自動化する手法を説明する。また、セキュリティ対処案がサービスに及ぼす影響を評価する手法についても説明する。なお、セキュリティ対処案には、どの機器でどのようなセキュリティ対処を実行するかを具体的に記述した内容が含まれる。
図2は、本発明の実施例に係るセキュリティ対処選定支援システムの概略図である。セキュリティ対処選定支援システムは、ログ管理装置10と、セキュリティ対処案設計装置20と、セキュリティ対処案評価装置30とを有する。また、セキュリティ対処選定支援システムが対象とするネットワークは、複数のネットワーク転送機器40で構成されており、ネットワーク内で発生した攻撃を検出するためのセキュリティアプライアンス機器50が配置される。
ネットワーク転送機器40は、パケットを転送するルータ等の装置である。ネットワーク転送機器40を介して、各ユーザ端末から受信したパケットが送信先のサーバ等に転送される。
セキュリティアプライアンス機器50は、ネットワーク内で発生した攻撃を検知する装置である。セキュリティアプライアンス機器50が出力する攻撃の検知情報には、攻撃種類(例えば、DNS amp DDoS攻撃、Volume DDoS攻撃、Layer7 DDoS攻撃、マルウェア感染、ブルートフォース攻撃)、送信元IPアドレス、宛先IPアドレス、ポート番号、プロトコル等が含まれる。セキュリティアプライアンス機器50の例として、F/W、WAF、IPS等がある。セキュリティアプライアンス機器50によっては、不正なパケットに対する遮断、詳細分析等を行うこともできる。
ログ管理装置10は、ネットワーク内の機器情報及びトポロジ情報を管理する。機器情報は、ネットワーク内に存在する機器(ネットワーク転送機器40、セキュリティアプライアンス機器50、サーバ等を含む)の情報、及び各機器が使用できる対処機能の機能コンポーネント情報、リソース情報等を含む。トポロジ情報は、ネットワーク内に存在する機器(ネットワーク転送機器40、セキュリティアプライアンス機器50、サーバ等を含む)の論理・物理接続情報である。また、ログ管理装置10は、セキュリティアプライアンス機器50によって検出された攻撃の検知情報を管理する。さらに、ログ管理装置10は、ネットワーク転送機器40からログを収集し、ネットワーク転送機器40から収集したログに基づいて攻撃を検知することも可能である。ログ管理装置10の例として、SIEM(Security Information and Event Management)等がある。
セキュリティ対処案設計装置20は、セキュリティアプライアンス機器50やログ管理装置10において検知された攻撃の検知情報を受信し、セキュリティ対処案の対処テンプレート及び検知情報に基づいてセキュリティ対処案を作成する。対処テンプレートは、攻撃に対するセキュリティ対処案を作成するためのテンプレートであり、攻撃種類と対処アクションを記述したものである。セキュリティ対処案設計装置20は、検知情報に含まれる攻撃種類から対処テンプレートを絞り込み、検知情報からセキュリティ対処案の実行範囲(IPアドレス、ポート番号、プロトコル等)を割り出す。例えば、送信元IPアドレスから宛先IPアドレスへの特定のプロトコルのパケットの遮断、クリーニング、詳細分析、経路変更、レート制限、退避、関係する機器の再起動等のセキュリティ対処案が生成される。そして、セキュリティ対処案設計装置20は、ログ管理装置10において管理されている機器情報及びトポロジ情報を参照して、ネットワーク内で実施可能なセキュリティ対処案を絞り込む。例えば、セキュリティ対処案の実行範囲の機器に、クリーニング、詳細分析等の機能コンポーネントが存在しない場合、そのようなセキュリティ対処案は実施することができない。また、セキュリティ対処案の実行範囲の機器にクリーニング、詳細分析等のためのリソース(CPU、メモリ等のリソース)が存在しない場合、そのようなセキュリティ対処案は実施することができない。また、セキュリティ対処案の実行範囲の機器に経路変更のためのリソース(回線帯域)が存在しない場合、そのようなセキュリティ対処案は実施することができない。その結果、実施可能なセキュリティ対処案が作成される。
セキュリティ対処案評価装置30は、セキュリティ対処案設計装置20やオペレータ等から入力されたセキュリティ対処案を受け取り、ログ管理装置10において管理されている機器情報及びトポロジ情報を参照して、セキュリティ対処案がサービスに及ぼす影響を評価し、評価結果を出力する。例えば、セキュリティ対処案評価装置30は、セキュリティ対処案が遮断である場合、攻撃ユーザのパケット遮断数、正常ユーザのパケット遮断数等の影響を評価する。また、セキュリティ対処案がクリーニングである場合、通信の遅延時間等の影響を評価する。また、セキュリティ対処案が詳細分析である場合、詳細分析を行う機器の余剰リソース(CPU、メモリ等のリソース)等の影響を評価する。また、セキュリティ対処案が経路変更である場合、回線帯域の使用率等の影響を評価する。他のセキュリティ対処案についても、適切な指標によって影響を評価することができる。
なお、図2にはログ管理装置10と、セキュリティ対処案設計装置20と、セキュリティ対処案評価装置30とが別々の装置として示されているが、これらの装置のいずれかが1つの装置に組み合わされてもよい。
図3は、本発明の実施例に係るセキュリティ対処選定支援システムにおける処理を示すフローチャートである。
ログ管理装置10は、セキュリティアプライアンス機器50によって検出された攻撃の検知情報を受信する(S101)。攻撃の検知情報には、攻撃種類、IPアドレス、ポート番号、プロトコル等が含まれる。図4に、検知情報の例を示す。ここでは、フロー検知及びWAF検知によってVolume DDoS攻撃及びLayer7 DDoSが検知された例が示されている。ログ管理装置10は、攻撃の検知情報をセキュリティ対処案設計装置20に転送する。以下では、図4のフロー検知によって検知されたVolume DDoS攻撃に対するセキュリティ対処案の作成について説明する。
セキュリティ対処案設計装置20は、対処テンプレート及び検知情報に基づいて、取り得る全てのセキュリティ対処案(全対処案)を作成する(S102)。例えば、Volume DDoS攻撃に対して遮断の対処テンプレート、詳細分析のテンプレート、緩和策(Mitigation)の対処テンプレートが存在する場合、検知情報に含まれるIPアドレス、ポート番号、プロトコル等をこれらの対処テンプレートに入力してセキュリティ対処案を作成する。
セキュリティ対処案設計装置20は、検知情報からセキュリティ対処案の実行範囲を割り出し、全対処案の中から、ログ管理装置10において管理されている機器情報及びトポロジ情報を参照して、ネットワーク内で実施可能なセキュリティ対処案を作成する(S103)。例えば、セキュリティ対処案を実施すべき箇所のF/Wがパケットを遮断する機能を有する場合、そのF/WにおいてUDPパケットを遮断するという対処案Aを作成する。また、セキュリティ対処案を実施すべき箇所のルータがパケットを遮断するためのACL(Access Control List)を有する場合、そのルータにおいて送信元IPアドレスがIP Aであるパケットを遮断するという対処案Bを作成する。また、セキュリティ対処案を実施すべき箇所のルータがMitigation装置に接続されている場合、そのルータにおいて宛先IPアドレスがIP BであるパケットをMitigation装置にステアリングするという対処案Cを作成する。一方、セキュリティ対処案を実施すべき箇所のルータが詳細分析を行うことができるセキュリティ装置に接続されていない場合、詳細分析のセキュリティ対処案は作成しない。
セキュリティ対処案評価装置30は、セキュリティ対処案設計装置20において作成されたセキュリティ対処案を受け取り、ログ管理装置10において管理されている機器情報及びトポロジ情報を参照して、セキュリティ対処案がサービスに及ぼす影響を評価する。図5に、評価結果の例を示す。対処案A〜C毎に、予め設定された指標(攻撃ユーザのパケット遮断割合、正常ユーザのパケット誤遮断割合、遅延時間、余剰リソース等)によって影響が評価される。そして、ネットワークごとに優先すべき事項をセキュリティポリシとして設定し、セキュリティポリシを参照してサービスに及ぼす影響を再評価する(S104)。セキュリティポリシの例として、例えば、正常ユーザの通信を誤遮断しない、サービス全体に影響が或る場合は、原因となる攻撃は全て遮断する、社内ネットワークにおいてマルウェアを検知した場合は当該社内ネットワーク内の通信を即遮断する、エンタープライズネットワークにおいて負荷が増加した場合、特定のサービスの提供を優先する等がある。
セキュリティ対処案評価装置30において、対処案A〜Cは、スコアリング、機械学習(決定木等)、強化学習等を用いて定量化され、最適なセキュリティ対処案Cがオペレータに出力される。同時に、選定理由がオペレータに出力されてもよい(S105)。なお、最適なセキュリティ対処案Cは、対処案A〜Cのうち、最も対処の効用が高く、サービスへの負の影響が小さい対処案であるという基準で選定されてもよい。選定理由は、選定された対処案Cが最適である理由を示し、例えば、正常ユーザへのサービスの影響が小さい、サービスの即時復旧が可能等の理由がある。
図6は、本発明の実施例に係るセキュリティ対処選定支援システムの機能構成図である。
ネットワーク転送機器40は、フロー生成部401と、フロー転送部403と、フロー保管部405と、ログ保管部407とを有する。フロー生成部401は、パケットのフロー情報である送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル等を生成してフロー保管部405に保管する。フロー転送部403は、フロー保管部405に保管されているフロー情報に従ってパケットを転送する。ログ保管部407は、フロー毎に計測されたトラヒック情報等のログを保管する。なお、ネットワーク転送機器40は、ログ保管部407に保管されているログをセキュリティアプライアンス機器50及びログ管理装置10に転送するログ転送部を有してもよい。
セキュリティアプライアンス機器50は、攻撃検知部501と、ログ生成部503と、ログ送信部505と、ログ保管部507とを有する。攻撃検知部501は、ネットワーク内で発生した攻撃を検知する。ログ生成部503は、検知された攻撃の検知情報をログ形式に変換してログ保管部507に保管する。ログ送信部505は、ログ保管部507に保管されているログをログ管理装置10に転送する。
ログ管理装置10は、ログ受信部101と、ログ転送部103と、検知情報記憶部105と、機器情報記憶部107と、トポロジ情報記憶部109とを有する。ログ受信部101は、セキュリティアプライアンス機器50から送信されたログを受信し、検知情報記憶部105に記憶する。また、ログ受信部101は、ネットワーク転送機器40からログを収集し、攻撃を検知した場合に検知情報を検知情報記憶部105に記憶する。ログ転送部103は、検知情報記憶部105に記憶されている検知情報をセキュリティ対処案設計装置20に転送する。また、ログ転送部103は、機器情報記憶部107に記憶されている機器情報及びトポロジ情報記憶部109に記憶されているトポロジ情報をセキュリティ対処案設計装置20及びセキュリティ対処案評価装置30に転送することもできる。機器情報記憶部107は、ネットワーク内に存在する機器の情報、各機器が使用できる対処機能の機能コンポーネント情報、リソース情報等を記憶する。このような機器情報は、ネットワーク転送機器40、セキュリティアプライアンス機器50、サーバ等の機器から直接取得されてもよく、これらの機器を管理する別の管理装置から取得されてもよく、オペレータにより入力されてもよい。トポロジ情報記憶部109は、ネットワーク内に存在する機器の論理・物理接続情報を記憶する。このようなトポロジ情報は、ネットワーク転送機器40、セキュリティアプライアンス機器50、サーバ等の機器から取得した情報に基づいて生成されてもよく、これらの機器を管理する別の管理装置から取得されてもよく、オペレータにより入力されてもよい。
セキュリティ対処案設計装置20は、ログ受信部201と、対処案設計部203と、対処案出力部205と、対処テンプレート記憶部207とを有する。ログ受信部201は、ログ管理装置10から転送されたログである攻撃の検知情報を受信する。対処案設計部203は、攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶する対処テンプレート記憶部207から、受信した検知情報に対応する対処テンプレートを抽出し、抽出された対処テンプレート及び検知情報に基づいてセキュリティ対処案を作成する。また、対処案設計部203は、ログ管理装置10に記憶されている機器情報及びトポロジ情報を取得し、作成されたセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出する。対処案出力部205は、実施可能なセキュリティ対処案をオペレータやセキュリティ対処案評価装置30に出力する。
セキュリティ対処案評価装置30は、対処案受信部301と、対処案評価部303と、評価結果出力部305と、サービス影響指標管理部307と、セキュリティポリシ管理部309とを有する。対処案受信部301は、セキュリティ対処案設計装置20が出力した実施可能なセキュリティ対処案を受信する。対処案評価部303は、ログ管理装置10に記憶されている機器情報及びトポロジ情報を取得し、所定のアルゴリズムを用いて、実施可能なセキュリティ対処案がサービスに及ぼす影響を評価する。評価のための指標は予め定義され、サービス影響指標管理部307において管理される。また、対処案評価部303は、セキュリティポリシ管理部309において管理されているセキュリティポリシを参照して、サービスに及ぼす影響を再評価する。評価結果出力部305は、セキュリティ対処案の評価結果を出力する。評価結果出力部305は、最適なセキュリティ対処案とその選定理由を出力することもできる。
それぞれの機能について以下の実施例1〜実施例3において更に詳細に説明する。
<実施例1>
本発明の実施例1では、セキュリティ対処案設計装置20が攻撃検知後にネットワーク内で実施可能なセキュリティ対処案を自動生成し、セキュリティ対処案評価装置30がその中から最適な対処案とその選定理由をオペレータへアウトプットする手順について説明する。図7は、本発明の実施例1に係るセキュリティ対処選定支援システムにおけるシーケンス図である。
本発明の実施例1では、セキュリティ対処案設計装置20が攻撃検知後にネットワーク内で実施可能なセキュリティ対処案を自動生成し、セキュリティ対処案評価装置30がその中から最適な対処案とその選定理由をオペレータへアウトプットする手順について説明する。図7は、本発明の実施例1に係るセキュリティ対処選定支援システムにおけるシーケンス図である。
セキュリティアプライアンス機器50は、ネットワーク内で発生した攻撃を検知し、検知情報をログ管理装置10に送信する(S201)。ログ管理装置10は、検知情報をセキュリティ対処案設計装置20に送信する(S202)。
セキュリティ対処案設計装置20は、対処テンプレート及び検知情報に基づいて、取り得る全てのセキュリティ対処案(全対処案)を作成する(S203)。また、セキュリティ対処案設計装置20は、検知情報からセキュリティ対処案の実行範囲を割り出す(S204)。セキュリティ対処案設計装置20は、ログ管理装置10に対して機器情報及びトポロジ情報を問い合わせ(S205)、その回答を受信する(S206)。セキュリティ対処案設計装置20は、取得した機器情報及びトポロジ情報を参照して、ネットワーク内で実施可能なセキュリティ対処案を作成する(S207)。セキュリティ対処案設計装置20は、実施可能なセキュリティ対処案をセキュリティ対処案評価装置30に送信する(S208)。
セキュリティ対処案評価装置30は、実施可能なセキュリティ対処案を受け取ると、ログ管理装置10に対して機器情報及びトポロジ情報を問い合わせ(S209)、その回答を受信する(S210)。なお、セキュリティ対処案設計装置20がログ管理装置10から取得した機器情報及びトポロジ情報をセキュリティ対処案設計装置20内に保持しておき、セキュリティ対処案評価装置30は、セキュリティ対処案設計装置20に対して機器情報及びトポロジ情報を問い合わせるようにしてもよい。セキュリティ対処案評価装置30は、取得した機器情報及びトポロジ情報を参照して、各セキュリティ対処案がサービスに及ぼす影響を評価する(S211)。セキュリティ対処案評価装置30は、各セキュリティ対処案の評価結果とその選定理由をオペレータに出力する(S212)。その結果、オペレータによるセキュリティ対処の選定支援が可能になり、オペレータが最終的なセキュリティ対処案を適切に選定することできる(S213)。
<実施例2>
本発明の実施例2では、ネットワーク転送機器40からの異常検知に基づいて、ログ管理装置10が攻撃を検知し、セキュリティ対処案設計装置20がネットワーク内で実施可能なセキュリティ対処案を自動生成し、オペレータへアウトプットする手順について説明する。図8は、本発明の実施例2に係るセキュリティ対処選定支援システムにおけるシーケンス図である。
本発明の実施例2では、ネットワーク転送機器40からの異常検知に基づいて、ログ管理装置10が攻撃を検知し、セキュリティ対処案設計装置20がネットワーク内で実施可能なセキュリティ対処案を自動生成し、オペレータへアウトプットする手順について説明する。図8は、本発明の実施例2に係るセキュリティ対処選定支援システムにおけるシーケンス図である。
ネットワーク転送機器40は、計測されたトラヒック情報により異常を検知すると、検知情報をログ管理装置10に送信する(S300)。ログ管理装置10は、ログの相関分析等を実行し(S301)、攻撃を検知する(S302)。ログ管理装置10は、検知情報をセキュリティ対処案設計装置20に送信する。
セキュリティ対処案設計装置20は、対処テンプレート及び検知情報に基づいて、取り得る全てのセキュリティ対処案(全対処案)を作成する(S303)。また、セキュリティ対処案設計装置20は、検知情報からセキュリティ対処案の実行範囲を割り出す(S304)。セキュリティ対処案設計装置20は、ログ管理装置10に対して機器情報及びトポロジ情報を問い合わせ(S305)、その回答を受信する(S306)。セキュリティ対処案設計装置20は、取得した機器情報及びトポロジ情報を参照して、ネットワーク内で実施可能なセキュリティ対処案を作成する(S307)。セキュリティ対処案設計装置20は、実施可能なセキュリティ対処案をオペレータに提示する(S308)。その結果、オペレータの知識不足を補填することが可能になり、オペレータが最終的なセキュリティ対処案を選定することできる(S309)。
<実施例3>
本発明の実施例3では、オペレータがセキュリティ対処案をセキュリティ対処案評価装置30に入力し、セキュリティ対処案評価装置30がセキュリティポリシを考慮して評価結果をオペレータへアウトプットする手順について説明する。図9は、本発明の実施例3に係るセキュリティ対処選定支援システムにおけるシーケンス図である。
本発明の実施例3では、オペレータがセキュリティ対処案をセキュリティ対処案評価装置30に入力し、セキュリティ対処案評価装置30がセキュリティポリシを考慮して評価結果をオペレータへアウトプットする手順について説明する。図9は、本発明の実施例3に係るセキュリティ対処選定支援システムにおけるシーケンス図である。
オペレータはセキュリティ対処案をセキュリティ対処案評価装置30に入力する(S408)。セキュリティ対処案評価装置30は、ログ管理装置10に対して機器情報及びトポロジ情報を問い合わせ(S409)、その回答を受信する(S410)。セキュリティ対処案評価装置30は、取得した機器情報及びトポロジ情報を参照して、各セキュリティ対処案がサービスに及ぼす影響を評価する(S411)。さらに、セキュリティ対処案評価装置30は、セキュリティポリシを参照して、サービスに及ぼす影響を再評価する(S412)。セキュリティ対処案評価装置30は、各セキュリティ対処案の評価結果とその選定理由をオペレータに出力する(S413)。その結果、オペレータによるセキュリティ対処の選定支援が可能になり、オペレータが最終的なセキュリティ対処案を適切に選定することできる(S414)。
<本発明の実施例による効果>
本発明の実施例によれば、ネットワーク内で発生した攻撃に対する実施可能なセキュリティ対処案を自動的に生成することにより、攻撃の検知から攻撃の対処までのオペレーション時間を短縮し、攻撃に対する早期対応を実現することが可能になる。また、ネットワーク内で発生した攻撃に対するセキュリティ対処案のサービスへの影響を評価することが可能になる。
本発明の実施例によれば、ネットワーク内で発生した攻撃に対する実施可能なセキュリティ対処案を自動的に生成することにより、攻撃の検知から攻撃の対処までのオペレーション時間を短縮し、攻撃に対する早期対応を実現することが可能になる。また、ネットワーク内で発生した攻撃に対するセキュリティ対処案のサービスへの影響を評価することが可能になる。
従来技術では、事前準備としてオペレータによる各セキュリティ対処のスクリプト記述が必要であった。一方、本発明の実施例によれば、セキュリティ対処の内容をテンプレート化することで、セキュリティ対処案の作成を一定程度自動化することが可能になる。また、対処アクションごとにサービス影響指標を定義し、セキュリティ対処案のサービス影響評価を行うことで、セキュリティ対処実行によるサービス影響を踏まえた最適なセキュリティ対処案の選定が可能となる。
各セキュリティ対処案のサービス影響評価が可能になることで、特に複数のオペレータ、関連組織が関わるネットワークセキュリティ運用において、オペレーションが効率化する。また、装置構成が異なるネットワークにおいても、機器情報とトポロジ情報を用意することで本システムが適用可能になる。
本発明の実施例では、実施可能なセキュリティ対処案、最適な対処案、サービス影響の情報等がオペレータに提示されるため、オペレータの理解度向上、スキル差の補填が可能となる。
<ハードウェア構成例>
図10に、本発明の実施例に係るセキュリティ対処選定支援システムの各装置(ログ管理装置10、セキュリティ対処案設計装置20、セキュリティ対処案評価装置30、セキュリティアプライアンス機器50)のハードウェア構成例を示す。各装置は、CPU(Central Processing Unit)151等のプロセッサ、RAM(Random Access Memory)やROM(Read Only Memory)等のメモリ装置152、ハードディスク等の記憶装置153等から構成されたコンピュータでもよい。例えば、各装置の機能及び処理は、記憶装置153又はメモリ装置152に格納されているデータやプログラムをCPU151が実行することによって実現される。また、各装置に必要な情報は、入出力インタフェース装置154から入力され、各装置において求められた結果は、入出力インタフェース装置154から出力されてもよい。
図10に、本発明の実施例に係るセキュリティ対処選定支援システムの各装置(ログ管理装置10、セキュリティ対処案設計装置20、セキュリティ対処案評価装置30、セキュリティアプライアンス機器50)のハードウェア構成例を示す。各装置は、CPU(Central Processing Unit)151等のプロセッサ、RAM(Random Access Memory)やROM(Read Only Memory)等のメモリ装置152、ハードディスク等の記憶装置153等から構成されたコンピュータでもよい。例えば、各装置の機能及び処理は、記憶装置153又はメモリ装置152に格納されているデータやプログラムをCPU151が実行することによって実現される。また、各装置に必要な情報は、入出力インタフェース装置154から入力され、各装置において求められた結果は、入出力インタフェース装置154から出力されてもよい。
また、ネットワーク転送機器40はルータなどの通信装置であるが、図10と同様のハードウェアで構成されてもよい。
<補足>
説明の便宜上、本発明の実施例に係るセキュリティ対処選定支援システムの各装置は機能的なブロック図を用いて説明しているが、本発明の実施例に係るセキュリティ対処選定支援システムの各装置は、ハードウェア、ソフトウェア又はそれらの組み合わせで実現されてもよい。例えば、本発明の実施例は、コンピュータに対して本発明の実施例に係るセキュリティ対処選定支援システムの各装置の機能を実現させるプログラム、コンピュータに対して本発明の実施例に係る方法の各手順を実行させるプログラム等により、実現されてもよい。また、各機能部が必要に応じて組み合わせて使用されてもよい。また、本発明の実施例に係る方法は、実施例に示す順序と異なる順序で実施されてもよい。
説明の便宜上、本発明の実施例に係るセキュリティ対処選定支援システムの各装置は機能的なブロック図を用いて説明しているが、本発明の実施例に係るセキュリティ対処選定支援システムの各装置は、ハードウェア、ソフトウェア又はそれらの組み合わせで実現されてもよい。例えば、本発明の実施例は、コンピュータに対して本発明の実施例に係るセキュリティ対処選定支援システムの各装置の機能を実現させるプログラム、コンピュータに対して本発明の実施例に係る方法の各手順を実行させるプログラム等により、実現されてもよい。また、各機能部が必要に応じて組み合わせて使用されてもよい。また、本発明の実施例に係る方法は、実施例に示す順序と異なる順序で実施されてもよい。
以上、ネットワーク内で発生した攻撃に対する実施可能なセキュリティ対処案を自動的に生成することにより、攻撃の検知から攻撃の対処までのオペレーション時間を短縮し、攻撃に対する早期対応を実現するための手法について説明したが、本発明は、上記の実施例に限定されることなく、特許請求の範囲内において、種々の変更・応用が可能である。
10 ログ管理装置
101 ログ受信部
103 ログ転送部
105 検知情報記憶部
107 機器情報記憶部
109 トポロジ情報記憶部
20 セキュリティ対処案設計装置
201 ログ受信部
203 対処案設計部
205 対処案出力部
207 対処テンプレート記憶部
30 セキュリティ対処案評価装置
301 対処案受信部
303 対処案評価部
305 評価結果出力部
307 サービス影響指標管理部
309 セキュリティポリシ管理部
40 ネットワーク転送機器
401 フロー生成部
403 フロー転送部
405 フロー保管部
407 ログ保管部
50 セキュリティアプライアンス機器
501 攻撃検知部
503 ログ生成部
505 ログ送信部
507 ログ保管部
101 ログ受信部
103 ログ転送部
105 検知情報記憶部
107 機器情報記憶部
109 トポロジ情報記憶部
20 セキュリティ対処案設計装置
201 ログ受信部
203 対処案設計部
205 対処案出力部
207 対処テンプレート記憶部
30 セキュリティ対処案評価装置
301 対処案受信部
303 対処案評価部
305 評価結果出力部
307 サービス影響指標管理部
309 セキュリティポリシ管理部
40 ネットワーク転送機器
401 フロー生成部
403 フロー転送部
405 フロー保管部
407 ログ保管部
50 セキュリティアプライアンス機器
501 攻撃検知部
503 ログ生成部
505 ログ送信部
507 ログ保管部
Claims (6)
- ネットワーク内で発生した攻撃に対するセキュリティ対処案を設計するセキュリティ対処案設計装置であって、
攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶する対処テンプレート記憶部と、
攻撃を検知する攻撃検知装置から、攻撃の検知情報を受信する受信部と、
前記対処テンプレート記憶部から、前記検知情報に対応する対処テンプレートを抽出し、当該抽出された対処テンプレート及び前記検知情報に基づいてセキュリティ対処案を作成し、ネットワーク内の機器情報及びトポロジ情報を参照して、当該作成されたセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出する対処案作成部と、
前記抽出されたセキュリティ対処案を出力する対処案出力部と、
を有するセキュリティ対処案設計装置。 - ネットワーク内の機器情報及びトポロジ情報を参照して、セキュリティ対処案がサービスに及ぼす影響を評価する対処案評価部を更に有し、
前記対処案出力部は、前記セキュリティ対処案と共にサービスへの評価結果を出力する、請求項1に記載のセキュリティ対処案設計装置。 - ネットワーク内で発生した攻撃に対するセキュリティ対処案を評価するセキュリティ対処案評価装置であって、
ネットワーク内の機器情報及びトポロジ情報を参照して、入力されたセキュリティ対処案がサービスに及ぼす影響を評価する対処案評価部と、
前記セキュリティ対処案の評価結果を出力する評価結果出力部と、
を有するセキュリティ対処案評価装置。 - 前記対処案評価部は、予め定義されたセキュリティポリシを参照して、サービスへの影響を評価する、請求項3に記載のセキュリティ対処案評価装置。
- ネットワーク内で発生した攻撃に対するセキュリティ対処案を設計するセキュリティ対処案設計装置におけるセキュリティ対処案設計方法であって、
攻撃を検知する攻撃検知装置から、攻撃の検知情報を受信するステップと、
攻撃に対するセキュリティ対処案を作成するための対処テンプレートを記憶する対処テンプレート記憶部から、前記検知情報に対応する対処テンプレートを抽出し、当該抽出された対処テンプレート及び前記検知情報に基づいてセキュリティ対処案を作成し、ネットワーク内の機器情報及びトポロジ情報を参照して、当該作成されたセキュリティ対処案の中から実施可能なセキュリティ対処案を抽出するステップと、
前記抽出されたセキュリティ対処案を出力するステップと、
を有するセキュリティ対処案設計方法。 - ネットワーク内で発生した攻撃に対するセキュリティ対処案を評価するセキュリティ対処案評価装置におけるセキュリティ対処案評価方法であって、
ネットワーク内の機器情報及びトポロジ情報を参照して、入力されたセキュリティ対処案がサービスに及ぼす影響を評価するステップと、
前記セキュリティ対処案の評価結果を出力するステップと、
を有するセキュリティ対処案評価方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017028607A JP6649296B2 (ja) | 2017-02-20 | 2017-02-20 | セキュリティ対処案設計装置及びセキュリティ対処案設計方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017028607A JP6649296B2 (ja) | 2017-02-20 | 2017-02-20 | セキュリティ対処案設計装置及びセキュリティ対処案設計方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018137500A true JP2018137500A (ja) | 2018-08-30 |
| JP6649296B2 JP6649296B2 (ja) | 2020-02-19 |
Family
ID=63365732
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017028607A Active JP6649296B2 (ja) | 2017-02-20 | 2017-02-20 | セキュリティ対処案設計装置及びセキュリティ対処案設計方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6649296B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102175143B1 (ko) * | 2020-02-04 | 2020-11-05 | 주식회사 이글루시큐리티 | 머신 러닝 기반의 대응 지시서 작성 방법 및 그 시스템 |
| WO2024079972A1 (ja) * | 2022-10-11 | 2024-04-18 | 株式会社日立製作所 | サイバー攻撃対処支援システム、サイバー攻撃対処支援方法、及びサイバー攻撃対処支援プログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004304752A (ja) * | 2002-08-20 | 2004-10-28 | Nec Corp | 攻撃防御システムおよび攻撃防御方法 |
| JP2004342072A (ja) * | 2003-04-24 | 2004-12-02 | Nec Corp | セキュリティ管理支援システム、セキュリティ管理支援方法およびプログラム |
| WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
-
2017
- 2017-02-20 JP JP2017028607A patent/JP6649296B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004304752A (ja) * | 2002-08-20 | 2004-10-28 | Nec Corp | 攻撃防御システムおよび攻撃防御方法 |
| JP2004342072A (ja) * | 2003-04-24 | 2004-12-02 | Nec Corp | セキュリティ管理支援システム、セキュリティ管理支援方法およびプログラム |
| WO2016076207A1 (ja) * | 2014-11-10 | 2016-05-19 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
Non-Patent Citations (1)
| Title |
|---|
| 長谷川 皓一 他: "標的型攻撃に対するインシデント対応支援システム", 情報処理学会論文誌, vol. 第57巻、第3号, JPN6019038911, 15 March 2016 (2016-03-15), pages 836 - 848, ISSN: 0004130133 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102175143B1 (ko) * | 2020-02-04 | 2020-11-05 | 주식회사 이글루시큐리티 | 머신 러닝 기반의 대응 지시서 작성 방법 및 그 시스템 |
| WO2024079972A1 (ja) * | 2022-10-11 | 2024-04-18 | 株式会社日立製作所 | サイバー攻撃対処支援システム、サイバー攻撃対処支援方法、及びサイバー攻撃対処支援プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6649296B2 (ja) | 2020-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10305927B2 (en) | Sinkholing bad network domains by registering the bad network domains on the internet | |
| US10992704B2 (en) | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network | |
| US10855718B2 (en) | Management of actions in a computing environment based on asset classification | |
| EP3127301B1 (en) | Using trust profiles for network breach detection | |
| US10135786B2 (en) | Discovering and selecting candidates for sinkholing of network domains | |
| US20190332771A1 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| Varghese et al. | An efficient IDS framework for DDoS attacks in SDN environment | |
| US20170339108A1 (en) | Network Traffic Analysis to Enhance Rule-Based Network Security | |
| AU2017200969A1 (en) | Path scanning for the detection of anomalous subgraphs and use of dns requests and host agents for anomaly/change detection and network situational awareness | |
| JP2016136735A (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| KR101156005B1 (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
| EP3337106B1 (en) | Identification system, identification device and identification method | |
| US9160711B1 (en) | Internet cleaning and edge delivery | |
| Irfan et al. | A framework for cloud forensics evidence collection and analysis using security information and event management | |
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| JP6649296B2 (ja) | セキュリティ対処案設計装置及びセキュリティ対処案設計方法 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| JP2024023875A (ja) | インラインマルウェア検出 | |
| CN113206761A (zh) | 一种应用连接检测方法、装置、电子设备及存储介质 | |
| US20240039893A1 (en) | Beacon and threat intelligence based apt detection | |
| Gad et al. | Hierarchical events for efficient distributed network analysis and surveillance | |
| US20230412564A1 (en) | Fast policy matching with runtime signature update | |
| JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
| US10778708B1 (en) | Method and apparatus for detecting effectiveness of security controls |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181205 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190930 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191008 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191128 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200114 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200116 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6649296 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |