JP2019129337A - セキュリティ装置、セキュリティプログラム及びセキュリティ方法 - Google Patents
セキュリティ装置、セキュリティプログラム及びセキュリティ方法 Download PDFInfo
- Publication number
- JP2019129337A JP2019129337A JP2018008076A JP2018008076A JP2019129337A JP 2019129337 A JP2019129337 A JP 2019129337A JP 2018008076 A JP2018008076 A JP 2018008076A JP 2018008076 A JP2018008076 A JP 2018008076A JP 2019129337 A JP2019129337 A JP 2019129337A
- Authority
- JP
- Japan
- Prior art keywords
- detection index
- warning period
- information
- risk
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【課題】検知指標を重要度に応じて管理することを目的とする。【解決手段】監視対象データベースに登録された検知指標を用いてネットワークにおける通信を監視するセキュリティ装置であって、サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する警戒期間設定部と、前記検知指標と前記警戒期間とを前記監視対象データベースに登録する登録部と、前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する削除部と、を有するセキュリティ装置が提供される。【選択図】図6
Description
本発明は、セキュリティ装置、セキュリティプログラム及びセキュリティ方法に関する。
CTI(Cyber Threat Intelligence、脅威インテリジェンス)を用いたサイバー攻撃対策システムが知られている(例えば、特許文献1参照)。CTIは、サイバー攻撃に使われたIPアドレスやマルウェアのハッシュ値といったIndicatorに加え、攻撃者の手口、攻撃の対象となるシステム・資産・地域・業界のような攻撃者情報をまとめたものである。Indicatorは、サイバー攻撃を検知するための検知指標の一例である。
特許文献1では、サイバー攻撃を検知するための定義情報と有効期限日の組を定義情報データベースに登録しておく。ネットワークにおける通信を監視する際、定義情報データベースに登録された定義情報に基づき、サイバー攻撃に関わる情報を検知する。特許文献1では、一定の有効期限日が過ぎた定義情報は、定義情報データベースから削除され、サイバー攻撃の監視対象から除外される。
しかしながら、サイバー攻撃には、危険度の高い攻撃と危険度の低い攻撃が存在する。よって、危険度の高い攻撃に対しては十分な期間警戒を行い、危険度の低い攻撃に対しては警戒期間を短くして余分な監視処理を省くことが望まれる。
そこで、1つの側面では、本発明は、検知指標を重要度に応じて管理することを目的とする。
1つの実施態様では、監視対象データベースに登録された検知指標を用いてネットワークにおける通信を監視するセキュリティ装置であって、サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する警戒期間設定部と、前記検知指標と前記警戒期間とを前記監視対象データベースに登録する登録部と、前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する削除部と、を有するセキュリティ装置が提供される。
1つの側面では、本発明は、検知指標を重要度に応じて管理することができる。
以下、本発明の実施形態について添付の図面を参照しながら説明する。なお、本明細書及び図面において、実質的に同一の機能構成を有する構成要素については、同一の符号を付することにより重複した説明を省く。
[従来のサイバー攻撃対策システム]
図1に従来のサイバー攻撃対策システム1の一例を示す。従来のサイバー攻撃対策システム1は、ネットワーク3における通信にて発生するサイバー攻撃を監視する。サイバー攻撃対策システム1は、セキュリティ装置2を有する。セキュリティ装置2は、CTI(Cyber Threat Intelligence)から得られるIndicatorを用いて、ネットワーク通信におけるサイバー攻撃に対するアクセス制御やマルウェアの検知を行う。マルウェアは、不正かつ有害な動作を行う意図で作成されたソフトウェア(プログラム)やコードの総称であり、RAT(トロイの木馬)、ボット、ウィルス等が一例として挙げられる。
図1に従来のサイバー攻撃対策システム1の一例を示す。従来のサイバー攻撃対策システム1は、ネットワーク3における通信にて発生するサイバー攻撃を監視する。サイバー攻撃対策システム1は、セキュリティ装置2を有する。セキュリティ装置2は、CTI(Cyber Threat Intelligence)から得られるIndicatorを用いて、ネットワーク通信におけるサイバー攻撃に対するアクセス制御やマルウェアの検知を行う。マルウェアは、不正かつ有害な動作を行う意図で作成されたソフトウェア(プログラム)やコードの総称であり、RAT(トロイの木馬)、ボット、ウィルス等が一例として挙げられる。
CTIは、攻撃に使われるIPアドレス、マルウェアファイルのハッシュ値といったIndicatorや、攻撃の手口、攻撃対象となるシステム・資産・地域といった情報をまとめたものである。CTIは、誰でも作成及び編集が可能な情報であり、サイバー攻撃の分析から得られた知見を組織間で共有し、サイバー攻撃対策で用いられる情報である。
セキュリティ装置2は、CTIに基づき監視リストを作成し、監視リストに定義されたIndicator(通信拒否IPアドレスやマルウェアのハッシュ値)に基づき、ネットワーク3における通信を監視する。例えば、図1の例では、セキュリティ装置2は、PC4に割り当てられたIPアドレス「192.168.11.5」が、監視リストに定義された通信拒否IPアドレスに一致すると判定すると、PC4からのアクセスを拒否する。また、セキュリティ装置2は、メール6の添付ファイルのハッシュ値が監視リストに定義されたマルウェアのハッシュ値に一致すると判定すると、メール6の受信を拒否する。一方、PC5に割り当てられたIPアドレスは、監視リストに定義された通信拒否IPアドレスに含まれないため、PC5からのアクセスは許可される。
従来のサイバー攻撃対策システム1では、セキュリティ装置2は、ネットワーク3における通信が行われるたびに監視リストのデータと通信情報を比較し、その通信が良性な通信であるかどうかをチェックしている。
監視リストに、永続的にIndicatorの情報が蓄積され、サイバー攻撃対策に使用されると、CTIから得たIndicatorの増大に伴い、監視リストのサイズが大きくなる。そうすると、セキュリティ装置2がチェックしなければならないIndicatorの数が増え、処理速度に影響が生じる。
サイバー攻撃は沈静化まで長期間かかるケースが多く、特に危険度の高いサイバー攻撃に対しては十分長い期間サイバー攻撃をチェックし続けることが好ましい。一方、危険度の低いサイバー攻撃に対しては監視期間を短くして余分な監視処理を省くことが好ましい。
そこで、本実施形態に係るセキュリティ装置では、サイバー攻撃を検知するための検知指標の警戒期間を適切な期間にする。そして、警戒期間を過ぎた検知指標は、攻撃対策時にチェックする対象から除外することで、サイバー攻撃のチェックにかかる処理量を低減させる。なお、本実施形態に係るCTIに含まれるIndicatorは、サイバー攻撃、すなわちネットワーク通信に含まれる脅威情報を検知するための検知指標の一例であり、以下では、検知指標と表記する。
<実施形態>
[サイバー攻撃対策システム]
本発明の一実施形態に係るサイバー攻撃対策システム10の一例について、図2を参照しながら説明する。図2は、本実施形態に係るサイバー攻撃対策システム10の全体構成の一例を示す図である。本実施形態に係るサイバー攻撃対策システム10は、セキュリティ装置20を有する。
[サイバー攻撃対策システム]
本発明の一実施形態に係るサイバー攻撃対策システム10の一例について、図2を参照しながら説明する。図2は、本実施形態に係るサイバー攻撃対策システム10の全体構成の一例を示す図である。本実施形態に係るサイバー攻撃対策システム10は、セキュリティ装置20を有する。
セキュリティ装置20は、ネットワーク80における通信を監視する。セキュリティ装置20は、CTIデータベース70から得られる検知指標に基づき、PC40、PC50、他の機器からのデータやメール60等の通信パケットを監視し、サイバー攻撃に対するアクセス制御やマルウェアの検知を行う。
セキュリティ装置20は、セキュリティ機能を有するサーバ、PC等の情報処理装置によって実現できる。例えば、セキュリティ装置20は、ファイアウォール装置、IPS装置(Intrusion Prevention System)装置、Webコンテンツフィルタリング装置であってもよい。セキュリティ装置20は、複数の異なるセキュリティ機能を一つのハードウェアに統合したUTMアプライアンスであってもよい。
[セキュリティ装置のハードウェア構成]
次に、本実施形態に係るセキュリティ装置20のハードウェア構成の一例について、図3を参照しながら説明する。図3(a)は、一実施形態に係るセキュリティ装置20のハードウェア構成の一例を示す図である。
次に、本実施形態に係るセキュリティ装置20のハードウェア構成の一例について、図3を参照しながら説明する。図3(a)は、一実施形態に係るセキュリティ装置20のハードウェア構成の一例を示す図である。
セキュリティ装置20は、CPU21、メモリ22、HDD23及びネットワークIF(インターフェース)24を有し、これらの構成はバスBを介して互いに接続されている。CPU21は、例えば中央演算装置である。CPU21は、ネットワーク80における通信を監視する。メモリ22は、例えば、揮発性メモリであり、主記憶装置として機能する。HDD23は、例えば、ハードディスクドライブ装置であり、不揮発性の記憶装置として、ネットワーク80における通信を監視するセキュリティプログラムやその他のプログラム及びデータファイルを格納する。ネットワークIF24は、通信のためのインターフェースであり、PC40、PC50及び他の機器等との通信を実現する。
[セキュリティ装置の機能構成]
次に、本実施形態に係るセキュリティ装置20の機能構成の一例について、図4を参照しながら説明する。図4は、一実施形態に係るセキュリティ装置20の機能構成の一例を示す図である。
次に、本実施形態に係るセキュリティ装置20の機能構成の一例について、図4を参照しながら説明する。図4は、一実施形態に係るセキュリティ装置20の機能構成の一例を示す図である。
セキュリティ装置20は、解析部25、警戒期間設定部26、登録部27、監視部28、削除部29、記憶部30及び通信部34を有する。記憶部30は、危険度データベース31、監視対象データベース32、セキュリティプログラム33を記憶する。
危険度データベース31は、サイバー攻撃の危険度を示す危険度情報を記憶する。危険度情報の一例としては、サイバー攻撃に対する被害の大きさ、取られたくない情報に対する重要度、攻撃対象の業界、攻撃者の熟練度等を数値化したものが挙げられるが、危険度情報はこれに限らない。
監視対象データベース32は、サイバー攻撃を検知するための検知指標とその警戒期間とを対応させて登録する。
CTIには、検知指標と、検知指標に対応する攻撃者情報が含まれる。CTIの一例を図5に示す。図5のCTI71の例は「医療業界を対象に医療情報を狙ったRAT(Remote Access Trojan)による攻撃」と解釈することができる。
CTI71に含まれるIPアドレス、マルウェアにより引き起こされる不正動作に関連するマルウェアのハッシュ値、ドメイン名は、サイバー攻撃を検知するための検知指標の一例である。
CTI71に含まれるTTP(Tactics, Techniques, and Procedures)に示す攻撃手法、狙う情報、狙う業界及びThreat Actorに示す攻撃者の熟練度は、攻撃者情報の一例である。図5の例では、TTPには、攻撃手法、狙う対象の情報、狙う業界が記憶されている。Threat Actorには、攻撃者の熟練度が記憶されている。CTIのデータフォーマットとしてはXMLやJSONがある。
図4に戻り、解析部25は、CTIを解析し、IPアドレス、マルウェアのハッシュ値、ドメイン名等の検知指標と、TTP、Threat Actor等の攻撃者情報とを取得する。登録部27は、CTIデータベース70から取得した検知情報を、警戒期間設定部26が設定する警戒期間に対応付けて監視対象データベース32に登録する。
警戒期間設定部26は、危険度データベース31を参照して、検知指標の警戒期間を設定する。登録部27は、検知指標と、警戒期間設定部26が設定した警戒期間とを監視対象データベース32に登録する。
監視部28は、監視対象データベース32に登録された検知指標を用いてネットワーク80における通信を監視する。削除部29は、警戒期間を過ぎた検知指標を監視対象データベース32から削除する。通信部34は、PC40、PC50及びその他の機器との通信を制御する。
図4に示す解析部25、警戒期間設定部26、登録部27、監視部28、削除部29の各部の機能は、記憶部30に記憶されたセキュリティプログラム33が、CPU21に実行させる処理により実現可能である。通信部34の機能は、ネットワークIF24により実現可能である。
記憶部30の機能は、例えば、メモリ22及びHDD23により実現可能である。記憶部30に記憶される危険度データベース31及び監視対象データベース32の各情報は、クラウド上の記憶装置に格納されてもよい。
なお、図4は機能に着目したブロック図を描いており、これらの機能ブロックで示した各部のソフトウェアを実行するプロセッサはハードウェアである。
(警戒期間の設定)
警戒期間は、監視対象データベース32に記憶されている検知指標によるネットワーク80における通信の警戒期間であり、本実施形態では警戒期間には警戒日数が設定される。ただし、これに限らず、警戒期間は、月、日、時間の少なくともいずれかにより設定されてもよい。
警戒期間は、監視対象データベース32に記憶されている検知指標によるネットワーク80における通信の警戒期間であり、本実施形態では警戒期間には警戒日数が設定される。ただし、これに限らず、警戒期間は、月、日、時間の少なくともいずれかにより設定されてもよい。
警戒期間設定部26は、危険度データベース31を参照して、CTIデータベース70から得た攻撃者情報に基づき、対応する検知指標の警戒期間を設定する。
図6は、一実施形態に係る警戒期間の算出方法の一例を示す図である。図6には、警戒期間の算出に使用する危険度データベース31の一例が示されている。本例の危険度データベース31に記憶された危険度情報は、危険度情報に対してサイバー攻撃が成功した場合の世間への影響度合いを数値(例えば10段階の点数)で評価する。本例では利用者が持っている情報資産に対する点数付けと、利用者にとって脅威となる攻撃手法に着目して点数付けを行っているが、これに限らない。
攻撃からの防衛対象となる利用者については、自身にとって狙われたくない情報、危険と考える攻撃、利用者が所属する組織が属する業界などが利用者毎に異なる。したがって、危険度データベース31には、利用者毎に危険度情報が記憶されていることが好ましい。ただし、危険度情報は、利用者毎に設定せず、一律に設定してもよい。また、利用者毎とは、一個人に限られず、利用者が属する一組織(官公庁、病院)を単位としてもよいし、利用者が居住する地域を単位としてもよい。
[設定例1]
利用者が病院の場合の危険度データベース31の危険度情報の設定例1について、図6を参照して説明する。図6の危険度データベース31には、攻撃手法131、狙う情報132、狙う業界133、攻撃者の熟練度134のそれぞれに対して、危険度を数値化した点数が予め設定されている。
利用者が病院の場合の危険度データベース31の危険度情報の設定例1について、図6を参照して説明する。図6の危険度データベース31には、攻撃手法131、狙う情報132、狙う業界133、攻撃者の熟練度134のそれぞれに対して、危険度を数値化した点数が予め設定されている。
例えば、攻撃手法131に記載された手法毎に「攻撃の被害の大きさ」を示す点数が設定され、攻撃者が狙う情報132に記載された情報毎に「情報の重要度」を示す点数が設定されている。また、攻撃者が狙う業界133毎に「組織が属する業界」を示す点数が設定され、攻撃者の熟練度134毎に「攻撃者の熟練度」を示す点数が設定される。
病院は、患者の医療データを保持しており、医療データを狙う攻撃によって医療データが流出した場合、信用問題の失墜など被害が非常に大きい。そのため、病院にとって医療データは非常に重要である。よって、組織が属する業界が医療の場合、狙う情報132に含まれる医療情報の点数は10点に設定される。
一方で職員のwebの閲覧履歴などは医療情報と比べると重要度は低いため、狙う情報132に含まれる閲覧履歴の情報は3点に設定される。また、病院ではシステムが24時間稼働しており、万が一障害が発生すると、患者の生命が脅かされる恐れがある。そのため、システムの稼働を脅かすような攻撃、例えば攻撃手法131に含まれるRansomwareなどは、病院にとっては非常に危険である。そのため、Ransomwareによる攻撃の危険度は10点に設定される。
[設定例2]
次に、図示していないが、利用者がある会社の場合の危険度データベース31の危険度情報の設定例2について説明する。ある会社は、顧客情報(名前、銀行口座情報等)を大量に保持しており、その会社にとって個人情報を狙うような攻撃は危険度が高い。そのため、顧客情報は10点に設定される。一方、医療情報を狙う攻撃の対象となる可能性は低いので、その企業にとっての医療情報の重要度は低く1点に設定される。個人情報を狙う攻撃としてRemote Access Trojan(RAT)があり、RATは従業員の気づかないところでデータを盗み出し、漏洩させる。顧客の信用の低下など損失が大きいため、この会社のRAT攻撃に対する危険度の点数は10点に設定される。
次に、図示していないが、利用者がある会社の場合の危険度データベース31の危険度情報の設定例2について説明する。ある会社は、顧客情報(名前、銀行口座情報等)を大量に保持しており、その会社にとって個人情報を狙うような攻撃は危険度が高い。そのため、顧客情報は10点に設定される。一方、医療情報を狙う攻撃の対象となる可能性は低いので、その企業にとっての医療情報の重要度は低く1点に設定される。個人情報を狙う攻撃としてRemote Access Trojan(RAT)があり、RATは従業員の気づかないところでデータを盗み出し、漏洩させる。顧客の信用の低下など損失が大きいため、この会社のRAT攻撃に対する危険度の点数は10点に設定される。
警戒期間設定部26は、危険度データベース31に記憶された危険度情報を参照して、利用者毎の攻撃者情報に応じた危険度を数値化し、警戒期間を設定する。図6の例では、警戒期間設定部26は、CTI71から取得した攻撃者情報と、危険度データベース31との照合を行う。警戒期間設定部26は、攻撃者情報に含まれる攻撃手法が危険度データベース31に存在する場合、その攻撃手法に対する点数を記憶部30に記憶する。この例では攻撃手法がRATであるとCTI71から判断できる。よって、警戒期間設定部26は、危険度データベース31からRATを参照し、RATの攻撃の危険度を示す8点を記憶部30に記憶する。
なお、危険度データベース31に存在しなかった場合、警戒期間設定部26は、未知の攻撃手法と判定し、例えば平均点の5点を記憶部30に記憶する。ただし、危険度データベース31に存在しなかった場合に加算する点数は、所定のデフォルト値であってもよい。そのほかの情報(狙う情報、狙う業界、熟練度)についても同様に危険度データベース31に存在するかの判定を行い、対応する点数を得る。
その結果、警戒期間設定部26は、記憶部30に記憶した攻撃手法、狙う情報、狙う業界、熟練度の4つの点数を加算し、これを警戒期間とする。図6の例では、警戒期間は、8(RAT)+10(医療情報)+10(医療業界)+1(Practitioner)=29日となる。警戒期間設定部26は、算出した警戒期間を、CTI71に含まれる検知指標(IPアドレス、マルウェアのハッシュ値、ドメイン名等)の警戒期間とし、監視対象データベース32に登録する。本実施形態では、単純に点数の加算によって警戒期間を定めているが、算出方法については重みをつけた計算など任意の計算に対応する。
[警戒期間の設定処理]
以上に説明した本実施形態に係る警戒期間の設定処理の一例について図7を参照して説明する。図7は、一実施形態に係る警戒期間の設定処理の一例を示すフローチャートである。本処理が開始されると、通信部34が、CTIデータベース70からCTIを受信し、解析部25は、取得したCTIを解析し、CTIに含まれる検知指標と攻撃者情報を取得する(ステップS10)。
以上に説明した本実施形態に係る警戒期間の設定処理の一例について図7を参照して説明する。図7は、一実施形態に係る警戒期間の設定処理の一例を示すフローチャートである。本処理が開始されると、通信部34が、CTIデータベース70からCTIを受信し、解析部25は、取得したCTIを解析し、CTIに含まれる検知指標と攻撃者情報を取得する(ステップS10)。
次に、警戒期間設定部26は、取得した攻撃者情報の数をNに設定する(ステップS12)。次に、警戒期間設定部26は、変数nに1を設定し(ステップS14)、n番目の攻撃者情報と危険度データベース31とを照合し(ステップS16)、n番目の攻撃者情報が危険度データベース31に存在するかを判定する(ステップS18)。
警戒期間設定部26は、n番目の攻撃者情報が危険度データベース31に存在すると判定すると、危険度データベース31に設定された、n番目の攻撃者情報に対応する点数を警戒期間に加算し(ステップS20)、ステップS24に進む。
警戒期間設定部26は、n番目の攻撃者情報が危険度データベース31に存在しないと判定すると、デフォルト値(例えば、平均点)を加算し(ステップS22)、ステップS24に進む。
ステップS24において、警戒期間設定部26は、変数nに1を加算し(ステップS24)、変数nが攻撃者情報の数Nよりも大きいか否かを判定する。警戒期間設定部26は、変数nが攻撃者情報の数N以下であると判定した場合、ステップS16に戻り、ステップS16〜S26の処理を繰り返し、各攻撃者情報に対応する点数を警戒期間に加算する。
警戒期間設定部26は、変数nが攻撃者情報の総数Nよりも大きいと判定した場合、ステップS28に進み、CTIに含まれる検知指標と算出した警戒期間とを対応付けて監視対象データベース32へ登録し、本処理を終了する。
本処理によれば、取得したCTIの攻撃者情報(攻撃手法、狙う情報、狙う業界、攻撃者の熟練度等)毎に危険度データベース31に設定された危険度を示す数値を加算し、その合計値が警戒期間となる。
警戒期間設定部26は、取得したCTI72の検知指標と対応付けて警戒期間を監視対象データベース32に記憶する。図8の例では、CTI72から取得した検知指標(IPアドレス、マルウェアのハッシュ値)と警戒期間(この例では30日)の組の情報32bが記憶されている。また、CTI71から取得した検知指標と警戒期間の組の情報32aが記憶されている。
監視対象データベース32には、CTI毎に区別して検知指標と警戒期間の組の情報32a、32b・・・が記憶されてもよいし、区別せずに検知指標と警戒期間の組の情報が記憶されてもよい。なお、監視対象データベース32に記憶されている警戒期間は、一日経過すると自動的に一つ減算される。警戒期間が0日になると、対応する検知指標は、監視対象データベース32から削除される。次に、本実施形態に係る警戒期間の削除処理について以下に説明する。
[警戒期間の削除処理]
図9は、一実施形態に係る警戒期間の削除処理の一例を示すフローチャートである。なお、本実施形態では、本処理は一日に一回実行される。
図9は、一実施形態に係る警戒期間の削除処理の一例を示すフローチャートである。なお、本実施形態では、本処理は一日に一回実行される。
本処理が開始されると、削除部29は、監視対象データベース32に記憶された警戒期間を順次探索する(ステップS30)。そして、削除部29は、警戒期間が0日かを判定する(ステップS32)。削除部29は、警戒期間が0日であると判定すると、監視対象データベース32から警戒期間が0日に対応する検知指標を削除(破棄)し(ステップS34)、ステップS38に進む。一方、削除部29は、警戒期間が0日でないと判定すると、一日経過毎に警戒期間を1日減らし、監視対象データベース32を更新し(ステップS36)、ステップS38に進む。
ステップS38において、削除部29は、監視対象データベース32に記憶された全ての警戒期間を探索したかを判定し、全ての警戒期間を探索するまで、ステップS30〜S38の処理を繰り返す。削除部29は、監視対象データベース32に記憶された全ての警戒期間を探索したと判定した場合、本処理を終了する。
本処理では、監視対象データベース32に含まれる警戒期間のそれぞれに対して警戒期間が過ぎているかどうかの判定が、一定の期間(例えば24時間毎)繰り返し行われる。監視対象データベース32内の検知指標と紐づく警戒期間が0日であるかどうか判定を行った結果、警戒期間が0日であれば対応する検知指標と警戒期間とは、監視対象データベース32から破棄される。警戒期間が0日でない場合、警戒期間を1日減らし、監視対象データベース32を更新する。
これによれば、警戒期間を過ぎた検知指標を監視対象データベース32から削除することで、監視対象データベース32の肥大化を抑制し、攻撃対策時にチェックする検知指標の量を減らすことで次に説明する監視処理にかかる処理量を減らすことができる。
[監視処理]
最後に、本実施形態に係る監視処理の一例について図10を参照して説明する。図10は、一実施形態に係るネットワークにおける通信の監視処理の一例を示すフローチャートである。本処理が開始されると、通信部34は、対象となるネットワーク80において送受信される通信パケットを受信したかを判定する(ステップS40)。
最後に、本実施形態に係る監視処理の一例について図10を参照して説明する。図10は、一実施形態に係るネットワークにおける通信の監視処理の一例を示すフローチャートである。本処理が開始されると、通信部34は、対象となるネットワーク80において送受信される通信パケットを受信したかを判定する(ステップS40)。
通信部34が通信パケットを受信しなかったと判定した場合、本処理を終了する。一方、通信部34が通信パケットを受信したと判定した場合、監視部28は、監視対象データベース32に記憶された検知指標に一致する通信パケットかを判定する(ステップS42)。
監視部28は、監視対象データベース32に記憶された検知指標に一致する通信パケットでないと判定した場合、本処理を終了する。一方、監視部28は、監視対象データベース32に記憶された検知指標に一致する通信パケットであると判定すると、当該通信パケットをサイバー攻撃の脅威情報と判定し、通信を遮断し(ステップS44)、本処理を終了する。
以上に説明したように、本実施形態に係るセキュリティ装置20によれば、検知指標の警戒期間を危険度に応じて適切に設定し、検知指標を重要度に応じて管理することができる。つまり、本実施形態に係るセキュリティ装置20によれば、利用者毎にCTIデータベース70から得た攻撃者情報によって警戒期間を柔軟に設定することができ、利用者にとって危険な攻撃に関する検知指標に対して十分な期間警戒を付与し、十分な対策を行うことができる。また、比較的危険性の低い攻撃に対しては、短い期間警戒を設定することで余分な処理を省いた最小限の警戒を行うことができる。
また、警戒期間を過ぎた検知指標を監視対象データベース32から削除することで、監視すべきチェック対象の検知指標を減らし、通信時の検知指標のチェック量を低減することができる。
なお、本実施形態に係るセキュリティ装置20において、警戒期間設定部26が、利用者毎に警戒期間を設定した場合、監視対象データベース32に対する検知指標の登録及び削除は、利用者毎に行われる。
(攻撃者情報)
上記実施形態では、攻撃者情報の一例としてTTP及びThreat Actorを挙げたが、攻撃者情報はこれに限らない。攻撃者情報の一例としては、攻撃手法、攻撃対象の属性情報、攻撃元の地域、インシデントが発生した対象の情報、攻撃対象のシステム、攻撃者情報に対応する検知指標、攻撃者の属性情報、攻撃目的に関する情報及び攻撃に用いられるツールの少なくともいずれかを含む。
上記実施形態では、攻撃者情報の一例としてTTP及びThreat Actorを挙げたが、攻撃者情報はこれに限らない。攻撃者情報の一例としては、攻撃手法、攻撃対象の属性情報、攻撃元の地域、インシデントが発生した対象の情報、攻撃対象のシステム、攻撃者情報に対応する検知指標、攻撃者の属性情報、攻撃目的に関する情報及び攻撃に用いられるツールの少なくともいずれかを含む。
攻撃手法の一例としては、DoS攻撃,フィッシングメールなどが挙げられる。攻撃対象の属性情報としては、攻撃対象の情報の種類(医療情報,研究情報等)及び攻撃対象の業界(政府、医療機関等)が挙げられる。
攻撃元の地域としては、住所等にて特定される位置に限らず、特定のエリアであってもよい。
インシデントが発生した対象の情報としては、例えばブランドイメージの低下等、サイバー攻撃によって発生した被害に関する情報が挙げられる。
攻撃対象のシステムとしては、ソフトウェアかハードウェアの情報が挙げられる。攻撃者情報に対応する検知指標としては、Ransomware、worm等、攻撃者情報が含まれるCTIと同じCTIに含まれる検知指標が挙げられる。
攻撃者の属性情報としては、攻撃者の熟練度、攻撃者のタイプ(どういう攻撃者か)が挙げられる。攻撃目的に関する情報としては、金銭目的や宗教上の目的、攻撃者の意図,攻撃者の動機等の情報が挙げられる。
攻撃に用いられるツールとしてはマルウェア、パスワードクラッキングツール、トラフィックスキャナー等が挙げられる。
以上、セキュリティ装置、セキュリティプログラム及びセキュリティ方法を上記実施形態により説明したが、本発明に係るセキュリティ装置、セキュリティプログラム及びセキュリティ方法は上記実施形態に限定されるものではなく、本発明の範囲内で種々の変形及び改良が可能である。また、上記実施形態及び変形例が複数存在する場合、矛盾しない範囲で組み合わせることができる。
例えば、上記実施形態に係るサイバー攻撃対策システム10の構成は一例であり、本発明の範囲を限定するものではなく、用途や目的に応じて様々なシステム構成例があることは言うまでもない。例えば、PC40,PC50及び他の機器がネットワークを介して互いに接続されているシステム形態は、本実施形態に係るサイバー攻撃対策システム10の一態様であり、これに限定されない。
また、本実施形態に係るサイバー攻撃対策システム10では、PC40,PC50及び他の機器がセキュリティ装置20に接続されるネットワークは、インターネットや専用線等どのようなネットワークであってもよい。
本発明に係るサイバー攻撃対策システム10は、例えば、セキュリティ管理センター(SOC:Security Operation Center)において利用することができる。
以上の説明に関し、更に以下の項を開示する。
(付記1)
監視対象データベースに登録された検知指標を用いてネットワーク通信を監視するセキュリティ装置であって、
サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する警戒期間設定部と、
前記検知指標と前記警戒期間とを前記監視対象データベースに登録する登録部と、
前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する削除部と、
を有するセキュリティ装置。
(付記2)
前記警戒期間設定部は、利用者毎の前記危険度情報を記憶した前記危険度データベースを参照して、利用者毎に前記警戒期間を設定し、
前記登録部は、利用者毎に前記警戒期間と検知指標とを前記監視対象データベースに登録し、
前記削除部は、利用者毎に前記警戒期間を過ぎた検知指標を前記監視対象データベースから削除する、
付記1に記載のセキュリティ装置。
(付記3)
前記警戒期間設定部は、前記危険度データベースを参照して、前記検知指標に対応する攻撃者情報に対する危険度情報に基づき警戒期間を設定する、
付記1又は2に記載のセキュリティ装置。
(付記4)
前記攻撃者情報は、攻撃手法、攻撃対象の属性情報、攻撃元の地域、攻撃者の熟練度、インシデントが発生した対象の情報、攻撃対象のシステム、前記攻撃者情報に対応する検知指標、攻撃者の属性情報、攻撃目的に関する情報及び攻撃に用いられるツールの少なくともいずれかを含む、
付記1〜3のいずれか一項に記載のセキュリティ装置。
(付記5)
監視対象データベースに登録された検知指標を用いてネットワーク通信を監視する処理をコンピュータに実行させるセキュリティプログラムであって、
サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する処理と、
前記検知指標と前記警戒期間とを前記監視対象データベースに登録する処理と、
前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する処理とを含む、セキュリティプログラム。
(付記6)
利用者毎の前記危険度情報を記憶した前記危険度データベースを参照して、利用者毎に前記警戒期間を設定し、
利用者毎に前記警戒期間と検知指標とを前記監視対象データベースに登録し、
前記削除部は、利用者毎に前記警戒期間を過ぎた検知指標を前記監視対象データベースから削除する、
付記5に記載のセキュリティプログラム。
(付記7)
前記危険度データベースを参照して、前記検知指標に対応する攻撃者情報に対する危険度情報に基づき警戒期間を設定する、
付記5又は6に記載のセキュリティプログラム。
(付記8)
前記攻撃者情報は、攻撃手法、攻撃対象の属性情報、攻撃元の地域、攻撃者の熟練度、インシデントが発生した対象の情報、攻撃対象のシステム、前記攻撃者情報に対応する検知指標、攻撃者の属性情報、攻撃目的に関する情報及び攻撃に用いられるツールの少なくともいずれかを含む、
付記5〜7のいずれか一項に記載のセキュリティプログラム。
(付記9)
監視対象データベースに登録された検知指標を用いてネットワーク通信を監視する処理をことをコンピュータが実行するセキュリティ方法であって、
サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する処理と、
前記検知指標と前記警戒期間とを前記監視対象データベースに登録する処理と、
前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する処理とを含む、セキュリティ方法。
(付記10)
利用者毎の前記危険度情報を記憶した前記危険度データベースを参照して、利用者毎に前記警戒期間を設定し、
利用者毎に前記警戒期間と検知指標とを前記監視対象データベースに登録し、
前記削除部は、利用者毎に前記警戒期間を過ぎた検知指標を前記監視対象データベースから削除する、
付記9に記載のセキュリティ方法。
(付記11)
前記危険度データベースを参照して、前記検知指標に対応する攻撃者情報に対する危険度情報に基づき警戒期間を設定する、
付記9又は10に記載のセキュリティ方法。
(付記12)
前記攻撃者情報は、攻撃手法、攻撃対象の属性情報、攻撃元の地域、攻撃者の熟練度、インシデントが発生した対象の情報、攻撃対象のシステム、前記攻撃者情報に対応する検知指標、攻撃者の属性情報、攻撃目的に関する情報及び攻撃に用いられるツールの少なくともいずれかを含む、
付記9〜11のいずれか一項に記載のセキュリティ方法。
(付記1)
監視対象データベースに登録された検知指標を用いてネットワーク通信を監視するセキュリティ装置であって、
サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する警戒期間設定部と、
前記検知指標と前記警戒期間とを前記監視対象データベースに登録する登録部と、
前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する削除部と、
を有するセキュリティ装置。
(付記2)
前記警戒期間設定部は、利用者毎の前記危険度情報を記憶した前記危険度データベースを参照して、利用者毎に前記警戒期間を設定し、
前記登録部は、利用者毎に前記警戒期間と検知指標とを前記監視対象データベースに登録し、
前記削除部は、利用者毎に前記警戒期間を過ぎた検知指標を前記監視対象データベースから削除する、
付記1に記載のセキュリティ装置。
(付記3)
前記警戒期間設定部は、前記危険度データベースを参照して、前記検知指標に対応する攻撃者情報に対する危険度情報に基づき警戒期間を設定する、
付記1又は2に記載のセキュリティ装置。
(付記4)
前記攻撃者情報は、攻撃手法、攻撃対象の属性情報、攻撃元の地域、攻撃者の熟練度、インシデントが発生した対象の情報、攻撃対象のシステム、前記攻撃者情報に対応する検知指標、攻撃者の属性情報、攻撃目的に関する情報及び攻撃に用いられるツールの少なくともいずれかを含む、
付記1〜3のいずれか一項に記載のセキュリティ装置。
(付記5)
監視対象データベースに登録された検知指標を用いてネットワーク通信を監視する処理をコンピュータに実行させるセキュリティプログラムであって、
サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する処理と、
前記検知指標と前記警戒期間とを前記監視対象データベースに登録する処理と、
前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する処理とを含む、セキュリティプログラム。
(付記6)
利用者毎の前記危険度情報を記憶した前記危険度データベースを参照して、利用者毎に前記警戒期間を設定し、
利用者毎に前記警戒期間と検知指標とを前記監視対象データベースに登録し、
前記削除部は、利用者毎に前記警戒期間を過ぎた検知指標を前記監視対象データベースから削除する、
付記5に記載のセキュリティプログラム。
(付記7)
前記危険度データベースを参照して、前記検知指標に対応する攻撃者情報に対する危険度情報に基づき警戒期間を設定する、
付記5又は6に記載のセキュリティプログラム。
(付記8)
前記攻撃者情報は、攻撃手法、攻撃対象の属性情報、攻撃元の地域、攻撃者の熟練度、インシデントが発生した対象の情報、攻撃対象のシステム、前記攻撃者情報に対応する検知指標、攻撃者の属性情報、攻撃目的に関する情報及び攻撃に用いられるツールの少なくともいずれかを含む、
付記5〜7のいずれか一項に記載のセキュリティプログラム。
(付記9)
監視対象データベースに登録された検知指標を用いてネットワーク通信を監視する処理をことをコンピュータが実行するセキュリティ方法であって、
サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する処理と、
前記検知指標と前記警戒期間とを前記監視対象データベースに登録する処理と、
前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する処理とを含む、セキュリティ方法。
(付記10)
利用者毎の前記危険度情報を記憶した前記危険度データベースを参照して、利用者毎に前記警戒期間を設定し、
利用者毎に前記警戒期間と検知指標とを前記監視対象データベースに登録し、
前記削除部は、利用者毎に前記警戒期間を過ぎた検知指標を前記監視対象データベースから削除する、
付記9に記載のセキュリティ方法。
(付記11)
前記危険度データベースを参照して、前記検知指標に対応する攻撃者情報に対する危険度情報に基づき警戒期間を設定する、
付記9又は10に記載のセキュリティ方法。
(付記12)
前記攻撃者情報は、攻撃手法、攻撃対象の属性情報、攻撃元の地域、攻撃者の熟練度、インシデントが発生した対象の情報、攻撃対象のシステム、前記攻撃者情報に対応する検知指標、攻撃者の属性情報、攻撃目的に関する情報及び攻撃に用いられるツールの少なくともいずれかを含む、
付記9〜11のいずれか一項に記載のセキュリティ方法。
10 サイバー攻撃対策システム
20 セキュリティ装置
25 解析部
26 警戒期間設定部
27 登録部
28 監視部
29 削除部
30 記憶部
31 危険度データベース
32 監視対象データベース
33 セキュリティプログラム
34 通信部
80 ネットワーク
20 セキュリティ装置
25 解析部
26 警戒期間設定部
27 登録部
28 監視部
29 削除部
30 記憶部
31 危険度データベース
32 監視対象データベース
33 セキュリティプログラム
34 通信部
80 ネットワーク
Claims (6)
- 監視対象データベースに登録された検知指標を用いてネットワークにおける通信を監視するセキュリティ装置であって、
サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する警戒期間設定部と、
前記検知指標と前記警戒期間とを前記監視対象データベースに登録する登録部と、
前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する削除部と、
を有するセキュリティ装置。 - 前記警戒期間設定部は、利用者毎の前記危険度情報を記憶した前記危険度データベースを参照して、利用者毎に前記警戒期間を設定し、
前記登録部は、利用者毎に前記警戒期間と検知指標とを前記監視対象データベースに登録し、
前記削除部は、利用者毎に前記警戒期間を過ぎた検知指標を前記監視対象データベースから削除する、
請求項1に記載のセキュリティ装置。 - 前記警戒期間設定部は、前記危険度データベースを参照して、前記検知指標に対応する攻撃者情報に対する危険度情報に基づき警戒期間を設定する、
請求項1又は2に記載のセキュリティ装置。 - 前記攻撃者情報は、攻撃手法、攻撃対象の属性情報、攻撃元の地域、インシデントが発生した対象の情報、攻撃対象のシステム、前記攻撃者情報に対応する検知指標、攻撃者の属性情報、攻撃目的に関する情報及び攻撃に用いられるツールの少なくともいずれかを含む、
請求項3に記載のセキュリティ装置。 - 監視対象データベースに登録された検知指標を用いてネットワークにおける通信を監視する処理をコンピュータに実行させるセキュリティプログラムであって、
サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する処理と、
前記検知指標と前記警戒期間とを前記監視対象データベースに登録する処理と、
前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する処理とを含む、セキュリティプログラム。 - 監視対象データベースに登録された検知指標を用いてネットワークにおける通信を監視する処理をことをコンピュータが実行するセキュリティ方法であって、
サイバー攻撃の危険度を示す危険度情報を記憶した危険度データベースを参照して、前記検知指標の警戒期間を設定する処理と、
前記検知指標と前記警戒期間とを前記監視対象データベースに登録する処理と、
前記警戒期間を過ぎた前記検知指標を前記監視対象データベースから削除する処理とを含む、セキュリティ方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018008076A JP6988506B2 (ja) | 2018-01-22 | 2018-01-22 | セキュリティ装置、セキュリティプログラム及びセキュリティ方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018008076A JP6988506B2 (ja) | 2018-01-22 | 2018-01-22 | セキュリティ装置、セキュリティプログラム及びセキュリティ方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019129337A true JP2019129337A (ja) | 2019-08-01 |
| JP6988506B2 JP6988506B2 (ja) | 2022-01-05 |
Family
ID=67471344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018008076A Active JP6988506B2 (ja) | 2018-01-22 | 2018-01-22 | セキュリティ装置、セキュリティプログラム及びセキュリティ方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6988506B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021124485A1 (ja) * | 2019-12-18 | 2021-06-24 | 日本電気株式会社 | 管理装置、管理方法、及びプログラム |
| JP2023527568A (ja) * | 2020-12-21 | 2023-06-29 | 株式会社ギウォンテク | セキュリティレベルに基づく階層的アーキテクチャーを用いた電子メールセキュリティサービスの提供装置及びその動作方法 |
| WO2024127749A1 (ja) * | 2022-12-13 | 2024-06-20 | パナソニックIpマネジメント株式会社 | 情報検索方法、情報検索装置、および、プログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090245235A1 (en) * | 2008-03-25 | 2009-10-01 | Fujitsu Limited | Relay apparatus and memory product |
| JP2017005422A (ja) * | 2015-06-08 | 2017-01-05 | 日本電信電話株式会社 | 検知システム、検知方法および検知プログラム |
| JP2017117224A (ja) * | 2015-12-24 | 2017-06-29 | 株式会社Pfu | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム |
| US20170208083A1 (en) * | 2016-01-14 | 2017-07-20 | Arbor Networks, Inc. | Network management device at network edge |
-
2018
- 2018-01-22 JP JP2018008076A patent/JP6988506B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090245235A1 (en) * | 2008-03-25 | 2009-10-01 | Fujitsu Limited | Relay apparatus and memory product |
| JP2009232430A (ja) * | 2008-03-25 | 2009-10-08 | Fujitsu Ltd | 中継装置及びコンピュータプログラム |
| JP2017005422A (ja) * | 2015-06-08 | 2017-01-05 | 日本電信電話株式会社 | 検知システム、検知方法および検知プログラム |
| JP2017117224A (ja) * | 2015-12-24 | 2017-06-29 | 株式会社Pfu | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム |
| US20170208083A1 (en) * | 2016-01-14 | 2017-07-20 | Arbor Networks, Inc. | Network management device at network edge |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021124485A1 (ja) * | 2019-12-18 | 2021-06-24 | 日本電気株式会社 | 管理装置、管理方法、及びプログラム |
| JPWO2021124485A1 (ja) * | 2019-12-18 | 2021-06-24 | ||
| JP7416089B2 (ja) | 2019-12-18 | 2024-01-17 | 日本電気株式会社 | 管理装置、管理方法、及びプログラム |
| JP2023527568A (ja) * | 2020-12-21 | 2023-06-29 | 株式会社ギウォンテク | セキュリティレベルに基づく階層的アーキテクチャーを用いた電子メールセキュリティサービスの提供装置及びその動作方法 |
| JP7520329B2 (ja) | 2020-12-21 | 2024-07-23 | 株式会社ギウォンテク | セキュリティレベルに基づく階層的アーキテクチャーを用いた電子メールセキュリティサービスの提供装置及びその動作方法 |
| WO2024127749A1 (ja) * | 2022-12-13 | 2024-06-20 | パナソニックIpマネジメント株式会社 | 情報検索方法、情報検索装置、および、プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6988506B2 (ja) | 2022-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7544738B2 (ja) | ロギングによる機密データの暴露の検出 | |
| US11831785B2 (en) | Systems and methods for digital certificate security | |
| JP6863969B2 (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
| EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| EP3461103B1 (en) | Ip reputation | |
| US9344457B2 (en) | Automated feedback for proposed security rules | |
| US11436358B2 (en) | Data based web application firewall | |
| EP3123668B1 (en) | A system to identify machines infected by malware applying linguistic analysis to network requests from endpoints | |
| US20120030767A1 (en) | System and method for performing threat assessments using situational awareness | |
| US11960604B2 (en) | Online assets continuous monitoring and protection | |
| Kumar et al. | A novel approach for security in cloud computing using hidden markov model and clustering | |
| JP6988506B2 (ja) | セキュリティ装置、セキュリティプログラム及びセキュリティ方法 | |
| US20210019235A1 (en) | Leveraging sentiment in data protection systems | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| JP7123488B2 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
| Bell et al. | Catch me (on time) if you can: Understanding the effectiveness of twitter url blacklists | |
| CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
| Brewczyńska et al. | Data privacy laws response to ransomware attacks: A multi-jurisdictional analysis | |
| Al-Aboosi et al. | Cybersecurity Trends in Health Information Systems | |
| Malkawe et al. | Toward an early assessment for Ransomware attack vulnerabilities | |
| Raizada et al. | AN EVIDENCE-BASED INVESTIGATION OF CERT-IN'S REPORTING ON CYBER-THREATS IN HEALTHCARE SECTOR | |
| US12079335B2 (en) | System context database management | |
| Millett et al. | Analysis of Computer Audit Data to Create Indicators of Compromise for Intrusion Detection | |
| KR102449417B1 (ko) | 위치정보 기반의 방화벽 시스템 | |
| US20230269256A1 (en) | Agent prevention augmentation based on organizational learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201008 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210709 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210810 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210910 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211102 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211115 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6988506 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |