JP2018169643A - セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 - Google Patents

セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 Download PDF

Info

Publication number
JP2018169643A
JP2018169643A JP2017064226A JP2017064226A JP2018169643A JP 2018169643 A JP2018169643 A JP 2018169643A JP 2017064226 A JP2017064226 A JP 2017064226A JP 2017064226 A JP2017064226 A JP 2017064226A JP 2018169643 A JP2018169643 A JP 2018169643A
Authority
JP
Japan
Prior art keywords
security operation
subsystem
alert
operation management
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2017064226A
Other languages
English (en)
Inventor
和 三村
Kazu Mimura
和 三村
松原 大典
Daisuke Matsubara
大典 松原
大 明石
Dai Akashi
大 明石
雄次 對馬
Yuji Tsushima
雄次 對馬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2017064226A priority Critical patent/JP2018169643A/ja
Publication of JP2018169643A publication Critical patent/JP2018169643A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】攻撃による影響が同サブシステム内の他の機器だけでなく、他サブシステムの機器にも拡散している可能性を迅速に発見する。【解決手段】セキュリティ運用管理装置と複数のサブシステムとを有し、サブシステムの各々は、一つ以上の機器と当該サブシステム内の監視を担当する現場監視装置とを有し、各々のサブシステムにおいて、現場監視装置は、担当するサブシステム内の一つ以上の機器に係る単位時間当たりの振舞い特徴量を、繰り返し算出し、第一のサブシステムにおいて、第一の現場監視装置は、当該サブシステム内のいずれかの機器に関して、攻撃によるアラート発行を検知した際には、アラート情報をセキュリティ運用管理装置に送信し、セキュリティ運用管理装置は、受信したアラート情報に基づき、第二のサブシステムを選択し、第二のサブシステムを担当する第二の現場監視装置へ、攻撃に対する対処指示を送信するセキュリティ運用システム。【選択図】 図1

Description

本発明は、セキュリティ攻撃に対処するセキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法に関する。
今後セキュリティ脅威が爆発的に増加することが予測される一方で、各企業と機関では、情報システムを守るセキュリティ専門家の不足に危機感を募らせている。この問題の解決に向けて、セキュリティインシデントを引き起こすセキュリティ攻撃の検知から対処までを行うSOC(Security Operation Center)業務を自動化していくことで、セキュリティ専門家の作業を支援していき、業務効率を向上させることが求められる。
特に規模の大きい企業や機関では、情報システムとして、複数のサブシステムを有することが多い。サブシステムとは、大きな情報システムの一部を構成する、より小さな単位の情報システムのことである。これは、例えば、組織内の各拠点や子会社などが運用する情報システムに相当する。サブシステムは、内部の構成要素を組み合わせて、それ自体が1つのシステムとして運用可能である。同時により大きな情報システムの一部でもあり、ルータ等を介してネットワーク接続された他のサブシステムと相互に情報連携しながら、全体としての仕組みを提供する。SOC業務を効率化する観点では、これら複数のサブシステムを束ねて統合的にセキュリティ監視の対象とする必要となる。
マルウェアの混入や機器乗っ取りなどのセキュリティ攻撃が発生した場合には、その攻撃被害が同サブシステム内の他の機器だけでなく、他サブシステムの機器にも拡散していたり、当該インシデントを引き起こす、同じ手口の攻撃を受けていたりする可能性がある。SOC業務では、そのような機器を迅速に発見し、対処する必要がある。この発見には現状では人手で機器ログやネットワークログを解析しており、非常に時間を要する。そのため、セキュリティ専門家が不足する状況では対処が後手に回る可能性が高くなる。また、サブシステムごとに機器やネットワークの構成が異なる状況では、ログの解析がより複雑になり、更に時間を要する。さらには、サブシステムが増えれば、監視対象とする機器の数も膨大になり、ログ解析には多大な時間を要する。
特許文献1では、資産(機器)と脅威の組合せ一覧から対策(対処)リストを作成することを開示している。特許文献2では、ある機器に対して異常を検知した際に、構成管理データベースを参照し、その機器が関わる一連の機器に対して対処を自動的に実施することを開示している。また特許文献3では、通常状態での端末の振る舞いからグループを作成し、セキュリティ攻撃が発生した際には、そのグループ内の端末に対して警告を送信することを開示している。
特開2005−25523号公報 特開2012−168686号公報 特開2016−122273号公報
特許文献1では、セキュリティ攻撃に対する対処が他機器に対して実施済みかを検査するのには使えるが、対処リストの抜けまたは漏れがあったり、未対処であったりした場合には、全機器に対して人手でのログ解析が必要になる。そのため、その攻撃の拡散や同じ手口の攻撃の迅速な発見は難しい。
特許文献2では、セキュリティ攻撃の拡散は事前に定義された機器間の依存関係とは必ずしも一致せず、依存関係にない機器や他サブシステムに対する検査は、人手でのログ解析が必要になる。そのため、セキュリティ攻撃の拡散や同じ手口の攻撃の迅速な発見は難しい。
特許文献3では、セキュリティ攻撃発生時の端末振る舞いは考慮されておらず、人手でのログ解析が必要になる。また、グループ内端末が多いときには結局警告として機能しない。そのため、セキュリティ攻撃の拡散や同じ手口の攻撃の迅速な発見は難しい。
開示されるのは、セキュリティ攻撃の発生時に、その攻撃被害が他サブシステムの機器にも拡散したり、他サブシステムの機器も同じ手口の攻撃を受けていたりする可能性を迅速に発見するセキュリティ運用システム、セキュリティ運用管理装置またはサブシステム内で用いる現場監視装置である。
開示される一態様は、セキュリティ運用管理装置と複数のサブシステムとを有するセキュリティ運用システムであって、
サブシステムの各々は、一つ以上の機器と当該サブシステム内の監視を担当する現場監視装置とを有し、
各々のサブシステムにおいて、
現場監視装置は、担当するサブシステム内の一つ以上の機器に係る単位時間当たりの振舞いを示す振舞い特徴量を、繰り返し算出し、第一のサブシステムにおいて、第一の現場監視装置は、当該サブシステム内のいずれかの機器に関して攻撃によるアラート発行を検知した場合には、アラートに係るアラート情報をセキュリティ運用管理装置に送信し、
セキュリティ運用管理装置は、受信したアラート情報に基づき、第二のサブシステムを選択し、第二のサブシステムを担当する第二の現場監視装置へ、攻撃に対する対処指示を送信する、ことを特徴とする。
上記態様によれば、セキュリティ攻撃が拡散していたり、同じ手口攻撃を受けていたりする可能性のある潜在的脅威度の高い機器から優先してセキュリティ攻撃対策を実施することで、少ない人員でも迅速にセキュリティインシデントの収拾に繋げることができる。
開示する内容によれば、攻撃の拡散や同じ手口の攻撃の迅速な発見が可能になる。
本実施形態に係るセキュリティ運用システムの構成例。 セキュリティ運用管理装置のハードウェア構成例。 現場監視装置のハードウェア構成例。 セキュリティ運用システムの運用方法を例示する概念図。 ログ情報収集におけるシーケンス図の例。 機器ログ情報テーブルの構成例。 ネットワークログ情報テーブルの構成例。 現場監視装置が保持する機器振舞い特徴量テーブルの構成例。 現場監視装置が保持する機器相関情報テーブルの構成例。 セキュリティ運用管理装置が保持する代表機器振舞い特徴量テーブルの構成例。 セキュリティ運用管理装置が保持する代表機器相関情報テーブルの構成例。 アラート発行時のシーケンス図の例。 アラート情報テーブルの構成例。 アラート発行された機器に関するアラート直前の機器振舞い特徴量情報の構成例。 拡散防止対処指示の構成例。 現場監視装置の画面表示の例。 現場監視装置のログ収集処理を示すフローチャート図の例。 セキュリティ運用管理装置のログ収集処理を示すフローチャート図の例。 現場監視装置のアラート発行時処理を示すフローチャート図の例。 セキュリティ運用管理装置のアラート発行時処理を示すフローチャート図の例。 現場監視装置の拡散防止対処処理を示すフローチャート図の例。
以下、一実施例を説明する。
図1は、本実施形態に係るセキュリティ運用システムの構成例を示す。セキュリティ運用システムでは、複数のサブシステム101、111をセキュリティ監視対象とする。サブシステム101は、パソコンやプリンタなどの機器102a、102b、サブシステムのネットワーク内を流れるパケットを調査するネットワーク監視装置103、外部との接続を検査かつ防御するFW(Firewall)/IPS(Intrusion Prevent System)104、外部との接続を仲介するプロキシ105を有する。また、サブシステム101内には、機器102a、102bの故障やセキュリティを監視する現場監視室106が存在する。現場監視室106には、サブシステム内の各装置からログ情報やアラート情報を収集かつ格納するログ収集装置107と、集められたログ情報から各機器の振舞い特徴量を算出したり、アラート情報を処理したり、現場監視者にセキュリティに関する情報を提示したりする現場監視装置108が存在する。サブシステム111も同様である。
各サブシステムは、インターネットなどの外部ネットワーク121に接続される。また、複数のサブシステム群の間で情報連携するために、ルータ122を介して連携ネットワークを構成する。さらに、複数のサブシステム群を統合的にセキュリティ監視するための統合SOC(Security Operation Center)123も接続される。統合SOC123は、セキュリティ運用管理装置124によって構成される。
図2は、セキュリティ運用管理装置124のハードウェア構成例を示す。セキュリティ運用管理装置124は、CPU201、メモリ202、ストレージ203、ネットワークインタフェース204を備える。これらは、双方向通信可能な内部バスで接続されている。
CPU201は、メモリ202からプログラム及びデータを読み出して処理することにより、セキュリティ運用管理装置124の有する各種機能を実現する。メモリ202は、セキュリティ運用管理装置124の有する各種機能を実現するためのプログラム及びデータを格納する。メモリ202の例は、DRAM(Dynamic Random Access Memory)、MRAM(Magnetoresistive Random Access Memory)、FeRAM(Ferroelectric Random Access Memory)等である。ストレージ203は、セキュリティ運用管理装置124の有する各種機能を実現するためのプログラム及びデータを格納する。ストレージ203の例は、HDD(Hard Disk Drive)、SSD(Solid State Drive)等である。ネットワークインタフェース204は、セキュリティ運用管理装置124をネットワークに接続し、他の装置との間でデータを送受信するためのインタフェースである。ネットワークインタフェース204の例は、Ethernet(登録商標)アダプタ、ファイバチャネルアダプタなどである。
図3は、現場監視装置108のハードウェア構成例を示す。現場監視装置108は、CPU301、メモリ302、ストレージ303、ネットワークインタフェース304を備える。これらは、双方向通信可能な内部バスで接続されている。
CPU301は、メモリ302からプログラム及びデータを読み出して処理することにより、現場監視装置108の有する各種機能を実現する。メモリ302は、現場監視装置108の有する各種機能を実現するためのプログラム及びデータを格納する。メモリ302の例は、DRAM、MRAM、FeRAM等である。ストレージ303は、現場監視装置108の有する各種機能を実現するためのプログラム及びデータを格納する。ストレージ303の例は、HDD、SSD等である。ネットワークインタフェース304は、現場監視装置108をネットワークに接続し、他の装置との間でデータを送受信するためのインタフェースである。ネットワークインタフェース304の例は、Ethernet(登録商標)アダプタ、ファイバチャネルアダプタなどである。
図4は、セキュリティ運用システムの運用方法を示す概念図である。サブシステム101において、現場監視装置108は、サブシステム108内に存在する機器群のログ情報から、各機器の振舞い特徴量を繰り返し、例えば定期的に算出している。また、現場監視装置108は、サブシステム108内に存在する機器群に対して、ある成分軸に基づいてクラスタを算出する。クラスタとは、所定の基準、例えば、ある成分軸によって分類された機器群で構成される仮想的なグループのことである。具体的なクラスタの算出方法の例は、後述の図9の説明の中で述べる。このようにサブシステム内で算出する機器群のクラスタのことを下位クラスタと呼ぶ。図4では、3つの下位クラスタA11、A12、A13(401、402、403)が算出されている。
各下位クラスタの中では、クラスタの中心点に最も近い機器を代表機器として選出する。ここでクラスタの中心点とは、機器をクラスタに分類した成分軸上における、同一クラスタ内機器の成分値の平均値である。図4では、下位クラスタA11、A12、A13(401、402、403)に関して、それぞれ代表機器404、405、406が選出されている。
現場監視装置108は、各代表機器だけについて、その振舞い特徴量を統合SOC123のセキュリティ運用管理装置124に送信する(421)。
サブシステム111の現場監視装置118についても同様である。
このように下位クラスタを算出し、各クラスタの代表機器を抽出し、その代表機器だけの振舞い特徴量を送信することで、サブシステム101、111と統合SOC123の間のネットワークリソースの消費を抑えることができる。
一方、統合SOC123のセキュリティ運用管理装置124では、下位クラスタの代表機器群に対して、サブシステムの区切りを横断して、ある成分軸に基づいてクラスタを算出する。具体的なクラスタの算出方法の例は、後述の図11の説明の中で述べる。このように統合SOC123側において算出する代表機器群のクラスタのことを上位クラスタと呼ぶ。図4では、3つの上位クラスタB1、B2、B3(422、423、424)が算出されている。また、例えば、上位クラスタB3(424)は、下位クラスタA12の代表機器405と下位クラスタA23の代表機器416を含むものとして算出されている。このとき、下位クラスタA12(402)と下位クラスタA23(413)に属する機器群は、同様の性質を持つものとして捉える。
このように全サブシステムの機器群に対してではなく、代表機器群に対してだけクラスタを算出することで、機器数が膨大になった場合でもクラスタ算出の組合せ数爆発を抑える効果がある。
ここで、サブシステム101の下位クラスタA12(402)に分類されたある機器に対してセキュリティ攻撃のアラートが発生したとする(425)。現場監視装置108は、セキュリティ攻撃が発生したことを、攻撃発生したときの機器の振舞い特徴量と共に、セキュリティ運用管理装置124に通知する(426)。セキュリティ運用管理装置124は、下位クラスタA12(402)内の機器でセキュリティ攻撃が発生したことを認識して、同じ上位クラスタB3(424)に属する下位クラスタA12(402)と下位クラスタA23(413)の機器群に対しても、攻撃の拡散や同じ攻撃を受けていないかを発見するように、攻撃発生したときの機器の振舞い特徴量の通知と共に、現場監視装置108と現場監視装置118に指示する(427)。
現場監視装置108、118は、指示427を受けて、攻撃の拡散や同じ攻撃を受けている機器を調査する。
上記運用方法によって、セキュリティ攻撃発生時に、その攻撃被害が同サブシステム内の他の機器だけでなく、他サブシステムの機器にも拡散していたり、同じ手口の攻撃を受けていたりする可能性を迅速に発見できる。
以下では、セキュリティ運用システム、およびセキュリティ運用方法の具体的手順例について説明する。
図5は、ログ情報収集におけるシーケンス図の例を示す。機器102a、102bは、内部でプログラムの実行監視やシステムログを記録し(ステップ501)、ログ収集装置107に機器ログ情報を通知する(ステップ502)。また、ネットワーク監視装置103は、ネットワークキャプチャを行い(ステップ503)、ログ収集装置107にネットワークログ情報を通知する(ステップ504)。ログ収集装置107は、この通知された機器ログ情報を機器ログ情報テーブルに、ネットワークログ情報をネットワークログ情報テーブルにそれぞれ格納する(ステップ505)。
図6は、ログ収集装置107が持つ機器ログ情報テーブル600の構成例を示す。機器ログ情報テーブル600の各エントリは、エントリを表す管理番号601、機器ログの通知元である機器のIP(Internet Protocol)アドレス602、機器ログが記録された記録日時603、機器内部で実行された実行プログラムまたは実行コマンド604の項目を含んで構成される。機器ログ情報テーブル600の1つのエントリは、機器ログ情報が通知されるごとに追加されていく。
図7は、ログ収集装置107が持つネットワークログ情報テーブル700の構成例を示す。ネットワークログ情報テーブル700の各エントリは、エントリを表す管理番号701、ネットワークログの記録対象となる機器のIPアドレス702、ネットワークログが記録された記録日時、通信相手のIPアドレス704、通信に用いたプロトコル705、通信のサービス名706、送信元ポート番号707、通信に要した通信時間708、通信で送受信したバイト数709、通信で送受信したパケット数710の項目を含んで構成される。ネットワークログ情報テーブル700の1つのエントリは1回の通信セッションでのネットワークログを表し、ネットワークログが通知されるごとに追加されていく。
図5に戻る。現場監視装置108は、ログ収集装置107に対して、サブシステム内に存在する機器群のログ情報を繰り返し、例えば定期的に要求し、取得する(ステップ506、507)。現場監視装置108は、取得したログ情報を元に、各機器の振舞い特徴量を算出し、機器振舞い特徴量テーブルに格納する(ステップ508)。
図8は、現場監視装置108が保持する機器振舞い特徴量テーブル800の構成例を示す。機器振舞い特徴量テーブル800の各エントリは、エントリを表す管理番号801、対象とする機器のIPアドレス802、ログ情報を取得した集計日時803、機器ログ情報から算出した単位時間当たりの振舞い特徴量である機器ログ特徴量811、ネットワークログ情報から算出した単位時間当たりの振舞い特徴量であるネットワークログ特徴量821の項目を含んで構成される。機器ログ特徴量811とネットワークログ特徴量821は、セキュリティ攻撃発生の調査に用いられる指標を算出したものである。
機器ログ特徴量811は、例えば、攻撃者によってよく用いられるプログラムやコマンド(at、dir、ipconfigなど)の実行回数集計値(812、813、814)の項目を含んで構成される。また、ネットワークログ特徴量812は、例えば、攻撃時に差異として見えてくるネットワークパラメータ(通信相手数、通信回数、サービス数、通信時間合計、バイト数合計、パケット数合計など)の集計値(822、823、824、825、826)の項目を含んで構成される。機器振舞い特徴量テーブル800の1つのエントリは、各機器に対する単位時間当たりの機器振舞い特徴量を表し、繰り返し、例えば定期的に機器振舞い特徴量を算出するごとに追加されていく。
図5に戻る。現場監視装置108は、機器群の下位クラスタを算出していない場合には、機器群の下位クラスタを算出し、機器相関情報テーブルに格納する(ステップ509)。算出のタイミングは、クラスタ算出に用いる情報が集まった時点や、新たな機器がサブシステムに追加された時点で良い。
図9は、現場監視装置108が保持する機器相関情報テーブル900の構成例を示す。機器相関情報テーブル900の各エントリは、エントリを表す管理番号901、機器のIPアドレス902、機器が属する下位クラスタの番号903、その機器が下位クラスタ内の代表機器であるかを表す代表機器フラグ904、クラスタに分類するための成分軸を表す第一主成分905、第二主成分906の項目を含んで構成される。機器相関情報テーブル900の1つのエントリは、サブシステム内に存在する機器ごとに作成される。
第一主成分905、第二主成分906は、例えば、一般的な統計手法である主成分分析から求めることができる。主成分分析に入力する情報としては、ここでは、図8の機器振舞い特徴量テーブル800に格納されている機器振舞い特徴量を用いることを想定する。この第一主成分905、第二主成分906を指標として、例えば、一般的なクラスタ化手法であるK−means法を用いて下位クラスタを算出することができる。上記以外にも、機器の製造元やOS(Operation System)、機器の管理元部署や管理ユーザ職位など、多様な情報を用いて下位クラスタを算出しても良い。また、下位クラスタ内の代表機器には、例えば、クラスタ内各機器の主成分の平均値に最も近い機器を選出することができる。
図5に戻る。現場監視装置108は再び、ログ収集装置107に対して、サブシステム内に存在する機器群のログ情報を要求し、取得する(ステップ510、511)。そして、現場監視装置108は、取得したログ情報を元に、各機器の振舞い特徴量を算出し、機器振舞い特徴量テーブルに格納する(ステップ512)。現場監視装置108は、代表機器に関しては、算出した機器振舞い特徴量をセキュリティ運用管理装置124に通知する(ステップ513)。セキュリティ運用管理装置124は、この通知を代表機器振舞い特徴量テーブルに格納する。
現場監視装置108は、上記ステップ510〜514を繰り返し、例えば定期的に実施する。
図10は、セキュリティ運用管理装置124が保持する代表機器振舞い特徴量テーブル1000の構成例を示す。代表機器振舞い特徴量テーブル1000の各エントリは、エントリを表す管理番号1001、代表機器が属するサブシステムの番号1002、代表機器が属する下位クラスタの番号1003、代表機器のIPアドレス1004、代表機器の振舞い特徴量が算出された集計日時1005、代表機器の振舞い特徴量である機器ログ特徴量1006とネットワークログ特徴量1007の項目を含んで構成される。代表機器振舞い特徴量テーブル1000の1つのエントリは、現場監視装置から通知される度に、代表機器ごとに追加される。
図5に戻る。セキュリティ運用管理装置124は、代表機器群の上位クラスタを算出していない場合には、代表機器群の上位クラスタを算出し、代表機器相関情報テーブルに格納する(ステップ514)。算出のタイミングは、クラスタ算出に用いる情報が集まった時点や、新たな代表機器が通知された時点で良い。
図11は、セキュリティ運用管理装置124が保持する代表機器相関情報テーブル1100の構成例を示す。代表機器相関情報テーブル1100の各エントリは、エントリを表す管理番号1101、代表機器のIPアドレス1102、代表機器が属する上位クラスタの番号1103、代表機器が属する下位クラスタの番号1104、上位クラスタに分類するための成分軸を表す第一主成分1105、第二主成分1106の項目を含んで構成される。代表機器相関情報テーブル1100の1つのエントリは、現場監視装置から通知される代表機器ごとに作成される。
第一主成分1105、第二主成分1106は、例えば、一般的な統計手法である主成分分析から求めることができる。主成分分析に入力する情報としては、ここでは、図10の代表機器振舞い特徴量テーブル1000に格納されている代表機器振舞い特徴量を用いることを想定する。この第一主成分1105、第二主成分1106を指標として、例えば、一般的なクラスタ化手法であるK−means法を用いて下位クラスタを算出することができる。上記以外にも、代表機器の製造元やOS、代表機器の管理元部署や管理ユーザ職位など、多様な情報を用いて上位クラスタを算出しても良い。
以上の手順により、セキュリティ運用システム内でのログ収集処理が実行される。
図12は、アラート発行時のシーケンス図の例を示す。機器102a、102b、ネットワーク監視装置103、FW/IPS104、プロキシ105では、セキュリティ攻撃の監視を行っている。
例えば、機器102a、102bがウィルスを検知したとき(ステップ1201)、ネットワーク監視装置103がネットワーク内を流れるパケットの異常を検知したとき(ステップ1202)、FW/IPS104やプロキシ105が外部ネットワークへ流れるパケットを遮断したとき(ステップ1203)、などのいずれか一つ以上の攻撃検知に続き、それぞれからアラートが発行され、ログ収集装置107にアラート情報が通知される(ステップ1204)。ログ収集装置107は、通知されたアラート情報をアラート情報テーブルに格納する(ステップ1205)。
図13は、アラート情報テーブル1300の構成例を示す。アラート情報テーブル1300の各エントリは、エントリを表す管理番号1301、アラート発行の対象となった機器のIPアドレス1302、アラート発行の日時1303、アラート発行元のセキュリティ装置1304、危険度を表すアラートレベル1305、アラート発行時のアクション1306、アラート発行の理由1307の項目を含んで構成される。アラート情報テーブル1300の1つのエントリは、1回のアラート情報を表し、アラートが発行されるごとに追加されていく。
図12に戻る。
アラートが発生すると、アラート情報テーブル1300の発行されたアラートに係るエントリが、現場監視装置108に通知される(ステップ1206)。アラート情報テーブル1300のアラートレベル1305が高に設定されるアラート情報が通知された場合には、現場監視装置108は現場監視者に対して、音や表示の出力により、セキュリティ攻撃への対処を促すことが望ましい。
現場監視装置108は、現場監視者が行った作業内容(例えば、パッチを当てる、機器を停止する、ネットワークから隔離する、など)を、セキュリティ対処内容として取得し、記録する(ステップ1207)。
現場監視装置108は、セキュリティ運用管理装置124に、セキュリティ対処を行ったアラート情報と対処内容を通知する(ステップ1208)。さらに、現場監視装置108は、図8の機器振舞い特徴量テーブル800から抽出した、アラート発行された機器に係る、検知した攻撃の影響を受けた、例えばアラート直前の、振舞い特徴量のエントリと、図9の機器相関情報テーブル900からその機器が属する下位クラスタ番号903と、を抽出し、セキュリティ運用管理装置124に対して、アラート直前の機器振舞い特徴量情報として通知する(ステップ1209)。
図14は、アラート発行された機器に関するアラート直前の機器振舞い特徴量情報1400の構成例を示す。アラート直前の機器振舞い特徴量情報1400の各エントリは、アラート発行された機器のIPアドレス1401、その機器が属するサブシステムの番号1402、その機器が属する下位クラスタの番号1403、機器振舞い特徴量を算出した集計日時1404、機器振舞い特徴量である機器ログ特徴量1405とネットワークログ特徴量1406の項目を含んで構成される。
図12に戻る。セキュリティ運用管理装置124は、図11の代表機器相関情報テーブル1100を参照し、アラート発行された機器が属する下位クラスタ番号と、上位クラスタ番号が同一である下位クラスタ番号を選択する(ステップ1210)。セキュリティ運用管理装置124は、図10の代表機器振舞い特徴量テーブル1000を参照し、選択した下位クラスタ番号からサブシステム番号を特定する。そして、セキュリティ運用管理装置124は、特定したサブシステムを担当する現場監視装置(ここでは現場監視装置118)に、検知した攻撃に連なる手口と同種の手口のいずれか一方または両方による攻撃への対処指示を送信する(ステップ1211)。
図15は、拡散防止対処指示1500の構成例を示す。拡散防止対処指示1500の各エントリは、ステップ1210で選択した上位クラスタ番号1501と下位クラスタ番号1502、ステップ1209で受信したアラート直前の機器振舞い特徴量1511、ステップ1208で受信したアラート情報および対処内容1521の項目を含んで構成される。アラート直前の機器振舞い特徴量1511は、特徴量が算出された集計日時1512、機器ログ特徴量1513、ネットワークログ特徴量1514を含む。また、アラート情報および対処内容1521は、アラート発行された日時1522、アラート内容を表すアラート情報1523、アラート発行された機器に対して実施された対処内容1524を含む。
図12に戻る。現場監視装置118は、ステップ1211で拡散防止対処指示1500を受信すると、図9と同様の機器相関情報テーブルを参照し、拡散防止対処指示1500の中に記された下位クラスタ番号1502に属する機器を、受信した対処指示の対象機器として抽出する。そして、現場監視装置118は、上記抽出した機器群に関して、図8と同様の機器振舞い特徴量テーブルを参照し、拡散防止対処指示1500の中に記されたアラート直前の機器振舞い特徴量1511と相関度の高い機器振舞い特徴量のエントリがあるかを過去に遡って検索し、検索ヒットした場合にはそのエントリの機器を要対処機器として抽出する(ステップ1212)。ここで相関度の算出には、例えば、ベクトル空間においてベクトル特徴量同士を比較する際に一般的に用いられる類似度計算手法であるコサイン類似度を用いることができる。この算出される値が、設定された閾値以上であれば、相関度が高い機器振舞い特徴量として扱う。
現場監視装置118は、ステップ1212で抽出された要対処機器のリストと、拡散防止対処指示1500に記されたアラート情報および対処内容1521を元に、現場監視者に対してそれらの情報を画面表示する(ステップ1213)。
図16は、現場監視装置118の画面表示の例を示す。画面には、機器監視ダッシュボード1601内のセキュリティ監視に関するタブ1602が表示されている。その中に要対処機器リスト1603として、表示した日時1604、要対処機器のIPアドレス1605、アラート情報および対処内容1521を元に作成された検出理由1606、アラート情報および対処内容1521を元に作成された対処案1607が表示されている。対処案1607には、他サブシステムで実施された対処の内容が記されている。
図12に戻る。セキュリティ運用管理装置124は、ステップ1210で選択した他の下位クラスタを監視する現場管理装置や、アラート発行元となる現場管理装置108に対しても同様に、拡散防止対処指示を送信し(ステップ1214)、セキュリティ攻撃被害の拡散や、同じ手口の攻撃を受けている可能性の発見を促す。
以上の手順により、セキュリティ運用システム内でのアラート発行時の処理が実行される。
次に、現場監視装置108、118、およびセキュリティ監視装置124が実施する処理のフローチャートを説明する。
図17は、現場監視装置のログ収集処理を示すフローチャート図の例を示す。本処理は、図5のステップ506〜513に相当する。また、本処理は繰り返し、例えば定期的に一定間隔で実行されるものである。本処理が開始されると(ステップ1701)、まずサブシステムに属する全機器群に対して以下の処理が実施される(ステップ1702)。対象の機器に対して、ログ収集装置から対象機器のログ情報を取得する(ステップ1703)。取得したログ情報から、単位時間当たりの機器振舞い特徴量を算出し、図8に示した機器振舞い特徴量テーブルに格納する(ステップ1704)。次に、機器群の下位クラスタを算出し、図9に示した機器相関情報テーブルを作成済みか調べる(ステップ1705)。下位クラスタを未算出である場合は、対象機器に対する一連の処理を完了し、次のループ処理を実施する(ステップ1708)。
ステップ1705に戻り、下位クラスタを算出済みである場合は、図9に示した機器相関情報テーブルを参照し、対象としている機器が代表機器であるかを調べる(ステップ1706)。代表機器でない場合、対象機器に対する一連の処理を完了し、次のループ処理を実施する(ステップ1708)。
ステップ1706に戻り、対象機器が代表機器である場合、ステップ1704で算出した振舞い特徴量を、代表機器の振舞い特徴量としてセキュリティ運用管理装置に通知する(ステップ1707)。対象機器に対する一連の処理を完了し、次のループ処理を実施する(ステップ1708)。サブシステムに属する全機器分に対してステップ1702〜1708の処理が完了すると、機器群の下位クラスタを算出するタイミングか調べる(ステップ1709)。このタイミングは、クラスタ算出に用いる情報が集まった時点や、新たな機器がサブ室エムに追加された時点など、あらかじめ設定された情報である。算出タイミングでない場合は、本処理は終了する(ステップ1711)。
ステップ1709に戻り、算出タイミングである場合は、一般的なクラスタ化手法であるK−means法などを用いて機器群の下位クラスタを算出して、図9に示した機器相関情報テーブルを作成し(ステップ1710)、本処理を終了する(ステップ1711)。
図18は、セキュリティ運用管理装置のログ収集処理を示すフローチャート図の例を示す。本処理は、図5のステップ513〜514に相当する。本処理が開始されると(ステップ1801)、まず現場管理装置から代表機器の振舞い特徴量通知を受信し、図10に示した代表機器振舞い特徴量テーブルに格納する(ステップ1802)。次に、代表機器群の上位クラスタを算出するタイミングか調べる(ステップ1803)。このタイミングは、クラスタ算出に用いる情報が集まった時点や、新たな機器がサブ室エムに追加された時点など、あらかじめ設定された情報である。算出タイミングでない場合は、本処理を終了する(ステップ1805)。
ステップ1803に戻り、算出タイミングである場合は、一般的なクラスタ化手法であるK−means法などを用いて代表機器群の上位クラスタを算出して、図11に示した代表機器相関情報テーブルを作成し(ステップ1804)、本処理を終了する(ステップ1805)。
図19は、現場監視装置のアラート発行時処理を示すフローチャート図の例を示す。本処理は、図12のステップ1206〜1209に相当する。本処理が開始されると(ステップ1901)、ログ収集装置からアラート情報通知を受信する(ステップ1902)。この通知を受けて、現場監視者がアラート発行された機器に対してセキュリティ対処を実施、その対処内容を現場監視装置において記録する(ステップ1903)。次に、セキュリティ運用管理装置に対して、ステップ1902で受信したアラート情報と、ステップ1903で記録された対処内容を通知する(ステップ1904)。さらに、アラート発行された機器に関して、図8に示した機器振舞い特徴量テーブルからアラート直前の機器特徴量のエントリを抽出し、かつ図9に示した機器相関情報テーブルからその機器が属する下位クラスタ番号を抽出し、セキュリティ運用管理装置に対してアラート直前の機器振舞い特徴量情報として通知する(ステップ1905)。以上で本処理を終了する(ステップ1906)。
図20は、セキュリティ運用管理装置のアラート発行時処理を示すフローチャート図の例を示す。本処理は、図12のステップ1208〜1211に相当する。本処理が開始されると(ステップ2001)、現場監視装置からアラート情報および対処内容を受信する(ステップ2002)。また、現場監視装置から、アラート発行された機器に関して、アラート直前の機器振舞い特徴量情報を受信する(ステップ2003)。次に、図11に示した代表機器相関情報テーブルを参照し、アラート発行された機器が属する下位クラスタと、上位クラスタが同一である下位クラスタを選択する(ステップ2004)。図10に示した代表機器振舞い特徴量テーブルを参照し、選択した下位クラスタからサブシステムを特定する。そして、特定したサブシステムに属する全現場監視装置に対して、以下の処理が実施される(ステップ2005)。対象の現場監視装置に対して、図15に示した拡散防止対処指示を送信し(ステップ2006)、次のループ処理を実施する(ステップ2007)。特定したサブシステムに属する全現場監視装置に対して、ステップ2005〜2007の処理が完了すると、本処理を終了する(ステップ2008)。
図21は、現場監視装置の拡散防止対処処理を示すフローチャート図の例を示す。本処理は、図12のステップ1211〜1213に相当する。本処理が開始されると(ステップ2101)、セキュリティ運用管理装置から、図15に示した拡散防止対処指示を受信する(ステップ2102)。図9と同様の機器相関情報テーブルを参照し、拡散防止対処指示の中に記された下位クラスタに属する機器群を抽出する。抽出した機器群に関して、図8と同様の機器振舞い特徴量テーブルを参照し、拡散防止対処指示の中に記されたアラート直前の機器振舞い特徴量と相関度の高い機器振舞い特徴量のエントリがあるかを過去に遡って検索し、検索ヒットした場合にはそのエントリの機器を要対処機器として抽出する(ステップ2103)。ここで相関度の算出には、例えば、ベクトル空間においてベクトル特徴量同士を比較する際に一般的に用いられる類似度計算手法であるコサイン類似度を用いることができる。この算出される値が、設定された閾値以上であれば、相関度が高い機器振舞い特徴量として扱う。その後、抽出された要対処機器のリストと、拡散防止対処指示に記されたアラート情報および対処内容を元に、現場監視者に対してそれらの情報を画面表示する(ステップ2104)。以上で、本処理を終了する(ステップ2105)。
上記で述べた手順を実施することで、セキュリティ攻撃発生時に、その攻撃被害が同サブシステム内の他の機器だけでなく、他サブシステムの機器にも拡散していたり、同じ手口の攻撃を受けていたりする可能性を迅速に発見できる。これにより、セキュリティ攻撃が拡散していたり、同じ手口の攻撃を受けていたりする可能性のある潜在的脅威度の高い機器から優先してセキュリティ攻撃対策を実施することで、少ない人員でも迅速にセキュリティインシデントの収拾に繋げることができる。
101、111:サブシステム
102a、102b:機器
103:ネットワーク監視装置
104:FW/IPS
105:プロキシ
107:ログ収集装置
108、118:現場監視装置
123:統合SOC
124:セキュリティ運用管理装置
600:機器ログ情報テーブル
700:ネットワークログ情報テーブル
800:機器振舞い特徴量テーブル
900:機器相関情報テーブル
1000:代表機器振舞い特徴量テーブル
1100:代表機器相関情報テーブル
1300:アラート情報テーブル
1400:アラート直前の機器振舞い特徴量情報
1500:拡散防止対処指示

Claims (20)

  1. セキュリティ運用管理装置と複数のサブシステムとを有するセキュリティ運用システムであって、
    前記サブシステムの各々は、一つ以上の機器と、当該サブシステム内の監視を担当する現場監視装置と、を有し、
    各々の前記サブシステムにおいて、
    前記現場監視装置は、担当する前記サブシステム内の一つ以上の前記機器に係る単位時間当たりの振舞いを示す振舞い特徴量を、繰り返し算出し、
    第一の前記サブシステムにおいて、
    第一の前記現場監視装置は、当該サブシステム内のいずれかの前記機器に関して攻撃によるアラート発行を検知した場合には、前記アラートに係るアラート情報を前記セキュリティ運用管理装置に送信し、
    前記セキュリティ運用管理装置は、
    受信した前記アラート情報に基づき、第二の前記サブシステムを選択し、
    前記第二のサブシステムを担当する第二の前記現場監視装置へ、前記攻撃に対する対処指示を送信する
    ことを特徴とするセキュリティ運用システム。
  2. 請求項1に記載のセキュリティ運用システムであって、
    前記対処指示は、対象となる機器を特定する情報と、前記攻撃に対する対処内容と、を含み、
    前記第二の現場監視装置は、受信した前記対処指示に基づき、
    対象となる前記機器を抽出し、
    抽出した前記機器を特定する情報と、前記対処内容と、を提示する
    ことを特徴とするセキュリティ運用システム。
  3. 請求項1または2に記載のセキュリティ運用システムであって、
    前記アラートに係る情報と、前記対処内容と、は、前記アラートの情報と、前記アラートに対する対処内容と、を含む
    ことを特徴とするセキュリティ運用システム。
  4. 請求項1から3のいずれか一に記載のセキュリティ運用システムであって、
    前記現場監視装置は、
    前記サブシステム内に存在する前記機器に係る前記振舞い特徴量に基づき、前記機器を一つ以上のクラスタに分類し、
    前記クラスタごとに代表機器を選出し、
    前記代表機器の前記振舞い特徴量を前記セキュリティ運用管理装置へ送信する
    ことを特徴とするセキュリティ運用システム。
  5. 請求項4に記載のセキュリティ運用システムであって、
    前記セキュリティ運用管理装置は、
    各々の前記現場監視装置から受信した前記代表機器に係る前記振舞い特徴量に基づき、前記代表機器を一つ以上の上位クラスタに分類しておき、
    前記第一の現場監視装置から前記アラート情報を受信した場合は、前記アラート情報が特定する前記代表機器と同一の前記上位クラスタに属する他の前記代表機器が属する前記第二のサブシステムを選択する
    ことを特徴とするセキュリティ運用システム。
  6. 請求項4または5に記載のセキュリティ運用システムであって、
    前記第一の現場監視装置と第二の現場監視装置は、それぞれが担当する前記サブシステム内で収集されたログ情報から、攻撃調査に用いられる指標を、前記サブシステム内の各前記機器に対する単位時間当たりの振舞い特徴量として算出する
    ことを特徴とするセキュリティ運用システム。
  7. 請求項4から6のいずれか一に記載のセキュリティ運用システムであって、
    前記アラートに係る情報と、前記対処内容と、は、前記攻撃の影響を受けた前記機器、または、前記攻撃の影響を受けた前記機器が属するクラスタの前記代表機器の振舞い特徴量と、を含む
    ことを特徴とするセキュリティ運用システム。
  8. 請求項4から7のいずれか一に記載のセキュリティ運用システムであって、
    前記現場監視装置と、前記セキュリティ運用管理装置と、は、
    前記振舞い特徴量の一つ以上の成分の相関度に基づき、前記クラスタ、または、前記上位クラスタへの分類を行う
    ことを特徴とするセキュリティ運用システム。
  9. 複数のサブシステムを有するシステムにおけるセキュリティ運用管理装置であって、
    前記サブシステムの各々は、一つ以上の機器と、当該サブシステム内の監視を担当する現場監視装置と、を有しており、
    前記セキュリティ運用管理装置は、
    担当する第一の前記サブシステム内のいずれかの前記機器に関して攻撃によるアラート発行を検知した第一の前記現場監視装置から、前記アラートに係るアラート情報を受信した場合、
    受信した前記アラート情報に基づき、第二の前記サブシステムを選択し、
    前記第二のサブシステムを担当する第二の前記現場監視装置へ、前記攻撃に対する対処指示を送信する
    ことを特徴とするセキュリティ運用管理装置。
  10. 請求項9に記載のセキュリティ運用管理装置であって、
    前記対処指示は、対象となる機器を特定する情報と、前記攻撃に対する対処内容と、を含む
    ことを特徴とするセキュリティ運用管理装置。
  11. 請求項9または10に記載のセキュリティ運用管理装置であって、
    前記アラートに係る情報と、前記対処内容と、は、前記アラートの情報と、前記アラートに対する対処内容と、を含む
    ことを特徴とするセキュリティ運用管理装置。
  12. 請求項9から11のいずれか一に記載のセキュリティ運用管理装置であって、
    各々の前記サブシステム内において、
    前記現場監視装置が、
    前記サブシステム内に存在する前記機器に係る単位時間当たりの振舞いを示す振舞い特徴量に基づき、前記機器を一つ以上のクラスタに分類し、
    前記クラスタごとに代表機器を選出している場合、
    前記セキュリティ運用管理装置は、前記現場監視装置から、前記代表機器の前記振舞い特徴量を受信する
    ことを特徴とするセキュリティ運用管理装置。
  13. 請求項12に記載のセキュリティ運用管理装置であって、
    各々の前記現場監視装置から受信した前記代表機器に係る前記振舞い特徴量に基づき、前記代表機器を一つ以上の上位クラスタに分類しておき、
    前記第一の現場監視装置から前記アラート情報を受信した場合は、前記アラート情報が特定する前記代表機器と同一の前記上位クラスタに属する他の前記代表機器が属する前記第二のサブシステムを選択する
    ことを特徴とするセキュリティ運用管理装置。
  14. 請求項12または13に記載のセキュリティ運用管理装置であって、
    前記アラートに係る情報と、前記対処内容と、は、前記攻撃の影響を受けた前記機器、または、前記攻撃の影響を受けた前記機器が属するクラスタの前記代表機器の振舞い特徴量と、を含む
    ことを特徴とするセキュリティ運用管理装置。
  15. セキュリティ運用管理装置と複数のサブシステムとを有するシステムの、前記サブシステムの各々において、一つ以上の機器を有する当該サブシステム内の監視を担当する現場監視装置であって、
    前記サブシステム内の一つ以上の前記機器に係る単位時間当たりの振舞いを示す振舞い特徴量を、繰り返し算出し、
    前記サブシステム内のいずれかの前記機器に関して攻撃によるアラート発行を検知した場合には、前記アラートに係るアラート情報を前記セキュリティ運用管理装置に送信し、
    前記セキュリティ運用管理装置から、いずれかの前記サブシステムにおいて検知された攻撃に対する対処指示を送信されたら、これを受信する
    ことを特徴とする現場監視装置。
  16. 請求項15に記載の現場監視装置であって、
    前記対処指示は、対象となる機器を特定する情報と、前記攻撃に対する対処内容と、を含み、
    前記現場監視装置は、受信した前記対処指示に基づき、
    対象となる前記機器を抽出し、
    抽出した前記機器を特定する情報と、前記対処内容と、を提示する
    ことを特徴とする現場監視装置。
  17. 請求項15または16記載の現場監視装置であって、
    前記アラートに係る情報と、前記対処内容と、は、前記アラートの情報と、前記アラートに対する対処内容と、を含む
    ことを特徴とする現場監視装置。
  18. 請求項15から17いずれか一に記載の現場監視装置であって、
    前記サブシステム内に存在する前記機器に係る前記振舞い特徴量に基づき、前記機器を一つ以上のクラスタに分類し、
    前記クラスタごとに代表機器を選出し、
    前記代表機器の前記振舞い特徴量を前記セキュリティ運用管理装置へ送信する
    ことを特徴とする現場監視装置。
  19. 請求項18に記載の現場監視装置であって、
    担当する前記サブシステム内で収集されたログ情報から、攻撃調査に用いられる指標を、前記サブシステム内の各前記機器に対する単位時間当たりの振舞い特徴量として算出する
    ことを特徴とする現場監視装置。
  20. 請求項15から19のいずれか一に記載の現場監視装置であって、
    前記アラートに係る情報と、前記対処内容と、は、前記攻撃の影響を受けた前記機器、または、前記攻撃の影響を受けた前記機器が属するクラスタの前記代表機器の振舞い特徴量と、を含む
    ことを特徴とする現場監視装置。
JP2017064226A 2017-03-29 2017-03-29 セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法 Pending JP2018169643A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017064226A JP2018169643A (ja) 2017-03-29 2017-03-29 セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017064226A JP2018169643A (ja) 2017-03-29 2017-03-29 セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法

Publications (1)

Publication Number Publication Date
JP2018169643A true JP2018169643A (ja) 2018-11-01

Family

ID=64020333

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017064226A Pending JP2018169643A (ja) 2017-03-29 2017-03-29 セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法

Country Status (1)

Country Link
JP (1) JP2018169643A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111565203A (zh) * 2020-07-16 2020-08-21 腾讯科技(深圳)有限公司 业务请求的防护方法、装置、系统和计算机设备
JP2020149390A (ja) * 2019-03-14 2020-09-17 三菱電機株式会社 サイバー攻撃検知装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020149390A (ja) * 2019-03-14 2020-09-17 三菱電機株式会社 サイバー攻撃検知装置
JP7202932B2 (ja) 2019-03-14 2023-01-12 三菱電機株式会社 サイバー攻撃検知装置
CN111565203A (zh) * 2020-07-16 2020-08-21 腾讯科技(深圳)有限公司 业务请求的防护方法、装置、系统和计算机设备
CN111565203B (zh) * 2020-07-16 2020-10-23 腾讯科技(深圳)有限公司 业务请求的防护方法、装置、系统和计算机设备

Similar Documents

Publication Publication Date Title
CN114584405B (zh) 一种电力终端安全防护方法及系统
US11089045B2 (en) User and entity behavioral analysis with network topology enhancements
US10594714B2 (en) User and entity behavioral analysis using an advanced cyber decision platform
US10728264B2 (en) Characterizing behavior anomaly analysis performance based on threat intelligence
Nikolai et al. Hypervisor-based cloud intrusion detection system
JP6656211B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US11074652B2 (en) System and method for model-based prediction using a distributed computational graph workflow
US20220309171A1 (en) Endpoint Security using an Action Prediction Model
CN111316272A (zh) 使用行为和深度分析的先进网络安全威胁减缓
JP2021027505A (ja) 監視装置、監視方法、および監視プログラム
CN107332802B (zh) 一种防火墙策略监控方法及装置
CN108073499A (zh) 应用程序的测试方法及装置
JP2018169643A (ja) セキュリティ運用システム、セキュリティ運用管理装置およびセキュリティ運用方法
US11444966B2 (en) Automatic detection of network strain using response time metrics
JP5752020B2 (ja) 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム
Luo et al. Security of HPC systems: From a log-analyzing perspective
JP2006295232A (ja) セキュリティ監視装置、セキュリティ監視方法、及びプログラム
CN111316268A (zh) 用于银行间金融交易的高级网络安全威胁抑制
CN115277472A (zh) 一种多维工控系统网络安全风险预警系统及方法
JP6972735B2 (ja) 表示制御プログラム、表示制御方法及び表示制御装置
WO2021055964A1 (en) System and method for crowd-sourced refinement of natural phenomenon for risk management and contract validation
CN112565000A (zh) 网络安全设备日志集中处理的评估方法与装置
JP5679347B2 (ja) 障害検知装置、障害検知方法、及びプログラム
CN110933066A (zh) 网络终端非法接入局域网的监控系统及方法
JP2011002916A (ja) 感染活動検知装置、感染活動検知方法、及びプログラム