JP2019191657A - 複数組織間の脅威情報共有システム及び方法 - Google Patents
複数組織間の脅威情報共有システム及び方法 Download PDFInfo
- Publication number
- JP2019191657A JP2019191657A JP2018080132A JP2018080132A JP2019191657A JP 2019191657 A JP2019191657 A JP 2019191657A JP 2018080132 A JP2018080132 A JP 2018080132A JP 2018080132 A JP2018080132 A JP 2018080132A JP 2019191657 A JP2019191657 A JP 2019191657A
- Authority
- JP
- Japan
- Prior art keywords
- attack
- evaluation
- threat information
- information
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
係るセキュリティ脅威に対して、従来は、各セキュリティベンダが個別に観測したネット攻撃内容について、専門家のセキュリティアナリストによる手作業や自動的な脅威評価技術を用いて攻撃を分析し、各社の脅威情報(セキュリティインテリジェンス情報)を利用者に対してサービスとして提供し、対応している。
つまり、上記従来技術を含め、現状、以下のような課題がある。
(1)攻撃を受けた企業が情報を共有するモチベーションとなるインセンティブが存在しない。
(2)企業は、契約先のセキュリティベンダから攻撃を観測したセキュリティ脅威情報の提供を受けることができるが、様々な攻撃情報を網羅するためには、複数のセキュリティベンダと契約し、脅威情報を購入する必要がある。
セキュリティ脅威情報の報告を受付ける手段と、
前記セキュリティ脅威情報の報告を受付ける手段により報告を受け付けたセキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する手段と、
前記有用度の評価を実施する手段により評価された前記セキュリティ脅威情報を情報購入者へ提供する手段と、
前記有用度の評価を実施する手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する手段と、
を有することを特徴とする。
上記以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
複数組織間の脅威情報共有システム3はサーバ30からなる。サーバ30は、脅威情報報告プラットフォーム31、記憶装置32、価値評価装置33、脅威情報提供プラットフォーム34、セキュリティアプライアンス設定ファイル自動生成装置35、を有する。
「評価関数」は、各「指標」を数値化するための関数と、数値化された各「指標」に重みづけした上で採点するための関数の2種類があり、以下のような考え方である。なお、算出のための以下の計算式は一例として提示しているものであり、他の計算方法も可能である。
「指標」数値化のための関数
攻撃の新規性を算出する関数をf1、同一攻撃の報告数をx1と置いて、以下のように表す。
[式1]
f1(x1) = 10 / (log2(x1)+1)
初めて報告された攻撃の場合は、以下のようになる。
[式2]
f1(1) = 10 / (log2(1)+1) = 10
同様に、複数回報告された攻撃の場合(きりが良い結果となるようx1=16)以下のようになる。
[式3]
f1(16) = 10 / (log2(16)+1) = 2
各「指標」に対して、同様にf1(x1), f2(x2), f3(x3), …, fN(xN)として数値化する。
数値化された指標がどの程度脅威情報の有用度に影響があるかに応じて重みw(w1, w2, w3, …, wN)を定義する。
これらの数値化した指標及び重みを用いて、脅威情報の有用度評価関数f(x)を以下のように表す。
[式4]
f(x) = f1(x1) × w1 + f2(x2) × w2 + f3(x3) × w3 + …fN(xN) × wN
有用度の評価は、例えば、以下の(1)〜(7)に示す指標のうち一つ以上を用いて、攻撃観測者端末1から報告されるセキュリティ脅威情報に対する評価を行い、攻撃観測者端末1からの報告者(提供者)に対する報酬の算出に利用できるようにする。
セキュリティ脅威情報の各評価は、記憶装置32に記憶した各指標情報(攻撃元アドレス)例えば、攻撃元の新規性、攻撃手段の新規性、攻撃内容の重要度、同一手段による多組織に対する後続攻撃の報告有無、攻撃内容の確認が可能な資料を参照する。価値評価装置33の演算装置(制御装置)331は、内部に格納されたプログラムに従って、価値評価の処理を実行する。
攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを評価する。既に報告されていない場合は、評価価値を高くする。
これまでに報告されていない攻撃手段(攻撃に用いられたマルウェア(malware)、攻撃に利用された正規のソフトウェアやハードウェアに存在する脆弱性、など)が用いられているかを評価する。マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどである。報告されていない攻撃手段が用いられた場合は、評価価値を高くする。
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか評価する。攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高くする。
同一の手法を用いて他の組織にも攻撃が行われたかを評価する。同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高くする。
攻撃時に発生したログや、マルウェアのハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか評価する。攻撃内容の確認可能な情報が含まれる場合は、評価価値を高くする。
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を評価する。他の報告者からのアップデートが無い場合は、評価価値を高くする。
情報購入者による役に立ったかのフィードバックの評価点数を評価する。フィードバックの評価点数が高い場合は、評価価値を高くする。
具体例を挙げて説明すれば、マルウェアを配布しているIPアドレスの脅威情報を受け取った際、ファイアウォール等のセキュリティアプライアンスで、当該IPアドレスとの通信を行わないようブラックリストに登録するといった動作が考えられる。設定方法としては、コンピュータプログラムとして設定変更の命令が可能なインタフェースを呼び出す、設定内容が記録されたテキスト形式の設定ファイルを生成し、そのファイルをセキュリティアプライアンスに読み込ませて設定変更を行うといった手段がある。
図2のフローチャートに基づく動作は以下のとおりである。
2 情報購入者端末
3 脅威情報共有システム(サーバ)
31 脅威情報報告プラットフォーム
32 記憶装置(セキュリティ脅威情報データベース、他)
33 価値評価装置
331 演算装置(制御装置)
34 脅威情報提供プラットフォーム
35 セキュリティアプライアンス設定ファイル自動生成装置
4 セキュリティアプライアンス
Claims (6)
- 複数組織間の脅威情報共有システムにおいて、
セキュリティ脅威情報の報告を受付ける手段と、
前記セキュリティ脅威情報の報告を受付ける手段により報告を受け付けたセキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する手段と、
前記有用度の評価を実施する手段により評価された前記セキュリティ脅威情報を情報購入者へ提供する手段と、
前記有用度の評価を実施する手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する手段と、
を有することを特徴とする複数組織間の脅威情報共有システム。 - 請求項1に記載された複数組織間の脅威情報共有システムにおいて、
前記有用度の評価を実施する手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)〜(7)の判定・評価指標の一つ以上からなる判定・評価部を含む
(1)攻撃元の新規性:
攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを判定し、評価する攻撃元新規性判定・評価部
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価する攻撃元新規性判定・評価部
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価する攻撃内容重要度判定・評価部
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価する後続攻撃報告有無判定・評価部
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価する攻撃内容確認可否判定・評価部
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価する他の報告者によるアップデート有無判定・評価部
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価する情報購入者による点数評価のフィードバック判定・評価部
ことを特徴とする複数組織間の脅威情報共有システム。 - 請求項1又は2に記載された複数組織間の脅威情報共有システムにおいて、
前記セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する手段は、特定セキュリティアプライアンス製品向け設定情報である設定ファイル及び設定コマンドを生成する生成部を含む、
ことを特徴とする複数組織間の脅威情報共有システム。 - 複数組織間の脅威情報共有システムにおける方法において、
セキュリティ脅威情報の報告を受付けるステップと、
前記セキュリティ脅威情報の報告を受付ける手段により報告を受け付けたセキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施するステップと、
前記有用度の評価を実施する手段により評価された前記セキュリティ脅威情報を情報購入者へ提供するステップと、
前記有用度の評価を実施する手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力するステップと、
を有することを特徴とする複数組織間の脅威情報共有システムにおける方法。 - 請求項4に記載された複数組織間の脅威情報共有システムにおける方法において、
前記有用度の評価を実施する手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)〜(7)の判定・評価指標の一つ以上からなる判定・評価ステップを含む
(1)攻撃元の新規性:
攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを判定し、評価するステップ
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価する攻撃元新規性判定・評価する攻撃元新規性判定・評価ステップ
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価する攻撃内容重要度判定・評価ステップ
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価する後続攻撃報告有無判定・評価ステップ
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価する攻撃内容確認可否判定・評価ステップ
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価する他の報告者によるアップデート有無判定・評価ステップ
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価する情報購入者による点数評価のフィードバック判定・評価ステップ
を有することを特徴とする複数組織間の脅威情報共有システムにおける方法。 - 請求項4又は5に記載された複数組織間の脅威情報共有システムにおける方法において、
前記セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力するステップは、特定セキュリティアプライアンス製品向け設定情報である設定ファイル及び設定コマンドを生成するステップを含む、
ことを特徴とする複数組織間の脅威情報共有システムにおける方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018080132A JP7105096B2 (ja) | 2018-04-18 | 2018-04-18 | 複数組織間の脅威情報共有システム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018080132A JP7105096B2 (ja) | 2018-04-18 | 2018-04-18 | 複数組織間の脅威情報共有システム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019191657A true JP2019191657A (ja) | 2019-10-31 |
JP7105096B2 JP7105096B2 (ja) | 2022-07-22 |
Family
ID=68387831
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018080132A Active JP7105096B2 (ja) | 2018-04-18 | 2018-04-18 | 複数組織間の脅威情報共有システム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7105096B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112785248A (zh) * | 2020-12-30 | 2021-05-11 | 金蝶软件(中国)有限公司 | 人力资源数据跨组织交互方法、装置、设备和存储介质 |
WO2022249588A1 (ja) * | 2021-05-24 | 2022-12-01 | 株式会社日立製作所 | 計算機システム及びサイバーセキュリティ情報の評価方法 |
WO2023282148A1 (ja) | 2021-07-09 | 2023-01-12 | 株式会社日立製作所 | 情報管理システム、情報管理方法、及び情報共有システム |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
JP2014174678A (ja) * | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
US9338175B1 (en) * | 2014-11-24 | 2016-05-10 | At&T Intellectual Property I, L.P. | Methods and systems for providing comprehensive cyber-security protection using an open application programming interface based platform solution |
US20170142147A1 (en) * | 2014-04-18 | 2017-05-18 | Hewlett Packard Enterprise Development Lp | Rating threat submitter |
JP2017162243A (ja) * | 2016-03-10 | 2017-09-14 | 株式会社日立製作所 | 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 |
JP2017167695A (ja) * | 2016-03-15 | 2017-09-21 | 三菱電機株式会社 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
JP2018508918A (ja) * | 2015-01-30 | 2018-03-29 | アノマリ インコーポレイテッド | スペースおよび時間効率のよい脅威検知 |
-
2018
- 2018-04-18 JP JP2018080132A patent/JP7105096B2/ja active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140007238A1 (en) * | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
JP2014174678A (ja) * | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
US20170142147A1 (en) * | 2014-04-18 | 2017-05-18 | Hewlett Packard Enterprise Development Lp | Rating threat submitter |
US9338175B1 (en) * | 2014-11-24 | 2016-05-10 | At&T Intellectual Property I, L.P. | Methods and systems for providing comprehensive cyber-security protection using an open application programming interface based platform solution |
JP2018508918A (ja) * | 2015-01-30 | 2018-03-29 | アノマリ インコーポレイテッド | スペースおよび時間効率のよい脅威検知 |
JP2017162243A (ja) * | 2016-03-10 | 2017-09-14 | 株式会社日立製作所 | 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 |
JP2017167695A (ja) * | 2016-03-15 | 2017-09-21 | 三菱電機株式会社 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112785248A (zh) * | 2020-12-30 | 2021-05-11 | 金蝶软件(中国)有限公司 | 人力资源数据跨组织交互方法、装置、设备和存储介质 |
CN112785248B (zh) * | 2020-12-30 | 2024-02-20 | 金蝶软件(中国)有限公司 | 人力资源数据跨组织交互方法、装置、设备和存储介质 |
WO2022249588A1 (ja) * | 2021-05-24 | 2022-12-01 | 株式会社日立製作所 | 計算機システム及びサイバーセキュリティ情報の評価方法 |
WO2023282148A1 (ja) | 2021-07-09 | 2023-01-12 | 株式会社日立製作所 | 情報管理システム、情報管理方法、及び情報共有システム |
Also Published As
Publication number | Publication date |
---|---|
JP7105096B2 (ja) | 2022-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Usman et al. | Intelligent dynamic malware detection using machine learning in IP reputation for forensics data analytics | |
US20210382949A1 (en) | Systems and methods for web content inspection | |
Jacobs et al. | Improving vulnerability remediation through better exploit prediction | |
US11677764B2 (en) | Automated malware family signature generation | |
US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
JP5973017B2 (ja) | リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム | |
JP6621940B2 (ja) | ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置 | |
US8332947B1 (en) | Security threat reporting in light of local security tools | |
US8813235B2 (en) | Expert system for detecting software security threats | |
US8776168B1 (en) | Applying security policy based on behaviorally-derived user risk profiles | |
CN109361711B (zh) | 防火墙配置方法、装置、电子设备及计算机可读介质 | |
US11960604B2 (en) | Online assets continuous monitoring and protection | |
US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
Huber et al. | Appinspect: large-scale evaluation of social networking apps | |
Dobolyi et al. | Phishmonger: A free and open source public archive of real-world phishing websites | |
JP2019191657A (ja) | 複数組織間の脅威情報共有システム及び方法 | |
CN111343154A (zh) | 漏洞检测方法、装置、终端设备以及存储介质 | |
Kim et al. | CyTIME: Cyber Threat Intelligence ManagEment framework for automatically generating security rules | |
Sharma et al. | An improved scoring system for software vulnerability prioritization | |
Laksmiati | Vulnerability assessment with network-based scanner method for improving website security | |
CN105912927B (zh) | 用于生成应用控制规则的系统和方法 | |
Teeraratchakarn et al. | Automated monitoring and behavior analysis for proactive security operations | |
JP7006805B2 (ja) | 算出装置、算出方法及び算出プログラム | |
CN103049698B (zh) | 一种防御网购木马的方法及其装置 | |
El-Hajal et al. | A novel approach to classify vulnerabilities based on authenticated measurements |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210416 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220308 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220502 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220614 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220711 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7105096 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |