JP2019191670A - サイバー攻撃に対する演習制御プログラム - Google Patents

サイバー攻撃に対する演習制御プログラム Download PDF

Info

Publication number
JP2019191670A
JP2019191670A JP2018080257A JP2018080257A JP2019191670A JP 2019191670 A JP2019191670 A JP 2019191670A JP 2018080257 A JP2018080257 A JP 2018080257A JP 2018080257 A JP2018080257 A JP 2018080257A JP 2019191670 A JP2019191670 A JP 2019191670A
Authority
JP
Japan
Prior art keywords
attack
cyber
program
scenario
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018080257A
Other languages
English (en)
Other versions
JP6552135B1 (ja
Inventor
旭 小森
Akira Komori
旭 小森
智也 加賀
Tomoya Kaga
智也 加賀
亮 大場
Akira Oba
亮 大場
田代 雄一
Yuichi Tashiro
雄一 田代
長谷川 弘
Hiroshi Hasegawa
弘 長谷川
亮 阿部
Akira Abe
亮 阿部
貴文 柳川
Takafumi Yanagawa
貴文 柳川
伊藤 賢一
Kenichi Ito
賢一 伊藤
愛 鎌田
Ai Kamata
愛 鎌田
光明 堤
Mitsuaki Tsutsumi
光明 堤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Acquisition Technology and Logistics Agency ATLA
Original Assignee
Fujitsu Ltd
Acquisition Technology and Logistics Agency ATLA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd, Acquisition Technology and Logistics Agency ATLA filed Critical Fujitsu Ltd
Priority to JP2018080257A priority Critical patent/JP6552135B1/ja
Application granted granted Critical
Publication of JP6552135B1 publication Critical patent/JP6552135B1/ja
Publication of JP2019191670A publication Critical patent/JP2019191670A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】サイバー攻撃に対する演習において演習対象者のスキルレベルに合わせた演習を実施するすることができるプログラムを提供する。【解決手段】複数の情報処理装置を含むシステムを用いたサイバー攻撃に対する演習をコンピュータに実行させるプログラムは、複数の情報処理装置のそれぞれに配備され、与えられた攻撃シナリオに従って処理を実行するプログラムのそれぞれに対して、攻撃シナリオに基づいて実行すべきサイバー攻撃を制御する制御信号を送信する処理をコンピュータに実行させる。【選択図】図1

Description

本発明の実施形態は、プログラムに関する。
従来、サイバー攻撃に対する演習は、演習場となる模擬的な演習システムで行われる。この演習システムでは、例えばウイルスに感染させるなどして、実際にサイバー攻撃を行うウイルスを情報処理装置に注入する。そして、演習対象者は、端末装置を操作し、情報処理装置に注入されたウイルスによるサイバー攻撃への対処を演習する。
特表2014−506045号公報 国際公開第2015/029195号 特開2013−149063号公報
しかしながら、上述した従来技術では、演習時におけるサイバー攻撃が情報処理装置に注入したウイルス任せになることから、予定していたシナリオどおりにサイバー攻撃が行われない場合がある。このため、演習対象者のスキルレベルに合わせた内容のサイバー攻撃を意図的に行って、演習対象者に対処させるような演習を実施することは困難であるという問題がある。
また、1つの側面では、サイバー攻撃に対する演習において演習対象者のスキルレベルに合わせた演習を実施することができるプログラムを提供することを目的とする。
第1の案では、プログラムは、複数の情報処理装置を含むシステムに対するサイバー攻撃をコンピュータに実行させる。また、プログラムは、複数の情報処理装置のそれぞれに配備され、与えられた攻撃シナリオに従って処理を実行するプログラムのそれぞれに対して、攻撃シナリオに基づいて実行すべきサイバー攻撃を制御する制御信号を送信する処理をコンピュータに実行させる。
本発明の1実施形態によれば、サイバー攻撃に対する演習において演習対象者のスキルレベルに合わせた演習を実施することができる。
図1は、実施形態にかかる演習システムを説明する説明図である。 図2は、実施形態にかかる演習システムの機能構成を例示するブロック図である。 図3は、実施形態にかかる演習システムの動作例を示すフローチャートである。 図4は、攻撃シナリオ(全体)を説明する説明図である。 図5は、攻撃シナリオ(部分)を説明する説明図である。 図6は、攻撃結果ログ(部分)における攻撃履歴を説明する説明図である。 図7は、対処予定シナリオを説明する説明図である。 図8は、操作結果ログ(部分)における操作履歴を説明する説明図である。 図9は、実施形態にかかる管理装置、情報処理装置および端末装置のハードウエア構成の一例を示すブロック図である。
以下、図面を参照して、実施形態にかかるプログラムを説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明するプログラムは、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
図1は、実施形態にかかる演習システム100を説明する説明図である。図1に示すように、演習システム100は、管理装置1と、情報処理装置2A、2B、2C…と、端末装置3A、3B…とを有する。管理装置1、情報処理装置2A、2B、2C…および端末装置3A、3B…には、例えばPC(パーソナルコンピュータ)、ワークステーションおよびサーバなどのコンピュータを適用できる。
管理装置1は、情報処理装置2A、2B、2C…のサイバー攻撃AT1、AT2を管理する。情報処理装置2A、2B、2C…は、例えばファイルサーバ、メールサーバ、Webサーバなど、端末装置3A、3B…に対して各種サービスを提供するサーバ装置であり、管理装置1の管理のもとでサイバー攻撃AT1、AT2が実施される。端末装置3A、3B…は、情報処理装置2A、2B、2C…が提供する各種サービスを利用する一般ユーザや、情報処理装置2A、2B、2C…のサイバー攻撃に対する演習を行う演習対象者が使用する端末である。
なお、情報処理装置2A、2B、2C…は、1または複数あればよく、その個数は限定しない。同様に、端末装置3A、3B…についても、1または複数あればよく、その個数は限定しない。情報処理装置2A、2B、2C…について、特に区別しない場合は情報処理装置2と呼ぶものとする。同様に、端末装置3A、3B…についても、特に区別しない場合は端末装置3と呼ぶものとする。また、情報処理装置2A、2B、2C…および端末装置3A、3B…の内部構成についても、特に区別しない場合は「A」、「B」、「C」…を省略した形で呼ぶものとする。
情報処理装置2と、端末装置3とは、例えばLAN(Local Area Network)などの通信ネットワークN1を介して互いに通信可能に接続される。また、管理装置1と、情報処理装置2とはLANなどの通信ネットワークN2を介して互いに通信可能に接続される。なお、通信ネットワークN1と、通信ネットワークN2とは、VLAN(Virtual LAN)などで分離して構成されている。このように、演習システム100では、情報処理装置2におけるサイバー攻撃AT1、AT2に対して端末装置3より対処する場合の通信ネットワークN1と、情報処理装置2におけるサイバー攻撃AT1、AT2を管理装置1より管理する場合の通信ネットワークN2とを互いに影響を及ぼさないように異なるネットワークとしてもよい。
管理装置1は、サイバー攻撃制御部101およびシナリオ管理部104を有する。シナリオ管理部104は、攻撃シナリオ(全体)111および対処予定シナリオ114を管理する。攻撃シナリオ(全体)111は、演習システム100における情報処理装置2A、2B、2C…および端末装置3A、3B…のサイバー攻撃AT1、AT2全体のシナリオが記述されたデータである。サイバー攻撃制御部101は、シナリオ管理部104で管理された攻撃シナリオ(全体)111を読み出し、情報処理装置2A、2B、2C…の各々に攻撃シナリオ(部分)211A、211B、211C…を作成し、送信する。また、攻撃シナリオ(全体)111をもとに、端末装置3A、3B…の各々に攻撃シナリオ(部分)311A、311B…を送信する。攻撃シナリオ(全体)111は、演習対象者のサイバー攻撃AT1、AT2への対処能力であるスキルレベルに合わせて、適宜更新することができる。
情報処理装置2A、2B、2C…では、常駐するプログラム(例えばデーモンなど)であるエージェント(親)201A、201B、201C…の処理により、攻撃シナリオ(部分)211A、211B、211C…に従ってエージェント(子)202A、202B、202C…が生成される。エージェント(子)202A、202B、202C…は、様々なサイバー攻撃を実施するプログラムの処理によるウイルスの実体である。
例えば、情報処理装置2Aでは、エージェント(親)201Aによる処理により、管理装置1より送信された攻撃シナリオ(部分)211Aに従ってエージェント(子)202Aが生成される。エージェント(子)202Aは、攻撃シナリオ(部分)211Aの内容(攻撃の種類)に対応して生成され、データ改変などの内部へのサイバー攻撃AT1や、DoS攻撃(Denial of Service attack)などの外部へのサイバー攻撃AT2を行う。
エージェント(親)201A、201B、201C…は、情報処理装置2A、2B、2C…のプロセスを監視し、エージェント(子)202A、202B、202C…の攻撃履歴を攻撃結果ログ(部分)212A、212B、212C…として記録する。エージェント(親)201A、201B、201C…と同様の常駐するプログラムであるエージェント(操作)203A、203B、203C…は、演習対象者がログオンして対処した操作履歴を操作結果ログ(部分)213A、213B、213C…として記録する。
端末装置3A、3B…も情報処理装置2A、2B、2C…と同様の処理が行われる。具体的には、常駐するプログラムであるエージェント(親)301A、301B…の処理により、攻撃シナリオ(部分)311A、311B…に従ってエージェント(子)302A、302B…が生成される。エージェント(子)302A、302B…は、様々なサイバー攻撃を実施するプログラムの処理によるウイルスの実体である。
エージェント(親)301A、301B…は、端末装置3A、3B…のプロセスを監視し、エージェント(子)302A、302B…の攻撃履歴を攻撃結果ログ(部分)312A、312B…として記録する。エージェント(親)301A、301B…と同様の常駐するプログラムであるエージェント(操作)303A、303B…は、演習対象者がログオンして対処した操作履歴を操作結果ログ(部分)313A、313B…として記録して管理装置1に通信ネットワークN2を介して収集し、操作結果ログ(全体)113を作成する。
管理装置1は、情報処理装置2A、2B、2C…に記録された攻撃結果ログ(部分)212A、212B、212C…および端末装置3A、3B…に記録された攻撃結果ログ(部分)312A、312B…を通信ネットワークN2を介して収集して攻撃結果ログ(全体)112を作成する。また、サイバー攻撃への対処操作については、攻撃シナリオ(全体)111の各サイバー攻撃に対して想定される操作内容が対処予定シナリオ114として予め定められている。攻撃結果ログ(全体)112、操作結果ログ(全体)113および対処予定シナリオ114により、管理装置1における演習の監視者は、演習対象者の訓練状況を確認できる。
図2は、実施形態にかかる演習システム100の機能構成を例示するブロック図である。図2に示すように、管理装置1は、制御部10、記憶部11、通信部12、表示部13および操作部14を有する。
制御部10は、各種プログラムや制御データを格納する内部メモリを有し、これらによって種々の処理を実行するものである。一実施形態として、制御部10は、中央処理装置、いわゆるCPU(Central Processing Unit)として実装される。なお、制御部10は、必ずしも中央処理装置として実装されずともよく、MPU(Micro Processing Unit)として実装されることとしてもよい。また、制御部10は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などのハードワイヤードロジックによっても実現できる。
記憶部11は、制御部10で実行される各種プログラムおよび各種プログラムに用いられるデータを記憶する記憶デバイスである。一実施形態として、記憶部11は、装置における主記憶装置として実装される。例えば、記憶部11には、各種の半導体メモリ素子、例えばRAM(Random Access Memory)やフラッシュメモリを採用できる。また、記憶部11は、補助記憶装置として実装することもできる。この場合、HDD(Hard Disk Drive)、光ディスクやSSD(Solid State Drive)などを採用できる。例えば、記憶部11は、攻撃シナリオ(全体)111および攻撃結果ログ(全体)112を格納する。
通信部12は、制御部10の制御のもと、通信ネットワークN2を介して接続する他の装置(例えば情報処理装置2)との間で通信を行うインタフェースである。表示部13は、LCD(Liquid Crystal Display)などの表示デバイスであり、制御部10の制御のもと表示を行う。操作部14は、キーボード、マウス、タッチパネルなどの入力デバイスであり、ユーザ(例えば演習の監視者)からの操作を受け付けて制御部10へ出力する。
情報処理装置2は、制御部20、記憶部21および通信部22を有する。制御部20は、各種プログラムや制御データによって種々の処理を実行するものである。一実施形態として、制御部20は、中央処理装置、いわゆるCPUとして実装される。
記憶部21は、制御部20で実行される各種プログラムおよび各種プログラムに用いられるデータを記憶する記憶デバイスである。一実施形態として、記憶部21は、装置における主記憶装置として実装される。例えば、記憶部21には、各種の半導体メモリ素子、例えばRAMやフラッシュメモリを採用できる。また、記憶部21は、補助記憶装置として実装することもできる。この場合、HDD、光ディスクやSSDなどを採用できる。例えば、記憶部21は、攻撃シナリオ(部分)211および攻撃結果ログ(部分)212を格納する。
通信部22は、制御部20の制御のもと、通信ネットワークN1および通信ネットワークN2を介して接続する他の装置(例えば管理装置1および端末装置3)との間で通信を行うインタフェースである。
端末装置3は、制御部30、記憶部31および通信部32を有する。制御部30は、各種プログラムや制御データによって種々の処理を実行するものである。一実施形態として、制御部30は、中央処理装置、いわゆるCPUとして実装される。
記憶部31は、制御部30で実行される各種プログラムおよび各種プログラムに用いられるデータを記憶する記憶デバイスである。一実施形態として、記憶部31は、装置における主記憶装置として実装される。例えば、記憶部31には、各種の半導体メモリ素子、例えばRAMやフラッシュメモリを採用できる。また、記憶部31は、補助記憶装置として実装することもできる。この場合、HDD、光ディスクやSSDなどを採用できる。例えば、記憶部31は、攻撃シナリオ(部分)311および攻撃結果ログ(部分)312を格納する。
通信部32は、制御部30の制御のもと、通信ネットワークN1および通信ネットワークN2を介して接続する他の装置(例えば管理装置1および端末装置3)との間で通信を行うインタフェースである。
制御部10は、プログラムを実行することで、サイバー攻撃制御部101、ログ収集部102、表示制御部103およびシナリオ管理部104の機能を実現する。また、制御部20および制御部30は、プログラムを実行することで、エージェント(親)201、エージェント(子)202、エージェント(親)301およびエージェント(子)302の機能を実現する。
サイバー攻撃制御部101は、記憶部11に記憶された攻撃シナリオ(全体)111を読み出し、攻撃シナリオ(全体)111に基づいて攻撃すべき情報処理装置2に対して、サイバー攻撃を制御する攻撃シナリオ(部分)211を制御信号として通信部12を介して送信する。具体的には、攻撃シナリオ(全体)111に記述された演習システム100全体のシナリオの中から情報処理装置2の各々(2A、2B、2C…)に対応する記述を抽出し、攻撃シナリオ(部分)211(211A、211B、211C…)として情報処理装置2へ送信する。また、攻撃シナリオ(全体)111に記述された演習システム100全体のシナリオの中から端末装置3の各々(3A、3B…)に対応する記述を抽出し、攻撃シナリオ(部分)311(311A、311B…)として端末装置3へ送信する。
ログ収集部102は、情報処理装置2の各々(2A、2B、2C…)より、記憶部21に記録された攻撃結果ログ(部分)212および端末装置3の各々(3A、3B…)より、記憶部31に記録された攻撃結果ログ(部分)312を通信部12を介して収集する。具体的には、ログ収集部102は、情報処理装置2のエージェント(親)201に対し、攻撃結果ログ(部分)212を要求するコマンドおよび端末装置3のエージェント(親)301に対し、攻撃結果ログ(部分)312を要求するコマンドを通信部12を介して送信する。エージェント(親)201では、管理装置1からの攻撃結果ログ(部分)212を要求するコマンドに応じて記憶部21より攻撃結果ログ(部分)212を読み出し、管理装置1へ送信する。また、エージェント(親)301では、管理装置1からの攻撃結果ログ(部分)312を要求するコマンドに応じて記憶部31より攻撃結果ログ(部分)312を読み出し、管理装置1へ送信する。ログ収集部102は、情報処理装置2の各々(2A、2B、2C…)より送信された攻撃シナリオ(部分)211および端末装置3の各々(3A、3B…)より送信された攻撃シナリオ(部分)311をマージし、演習システム100全体の攻撃結果ログ(全体)112を記憶部11へ記憶する。
表示制御部103は、表示部13の表示画面における表示制御を行う。例えば、表示制御部103は、GUI(Graphical User Interface)におけるアイコン、ボタンなどのグラフィックを表示部13の表示画面に表示させる。制御部10は、表示部13に表示されたGUIにおいて、操作部14による操作指示を受け付けて、操作に対応した処理結果を表示画面に表示させる。
一例として、表示制御部103は、攻撃シナリオ(全体)111の作成を行う表示画面を表示部13に表示させる。制御部10は、表示部13に表示された表示画面において操作部14による操作指示を受け付けて攻撃シナリオ(全体)111を作成し、作成した攻撃シナリオ(全体)111を記憶部11に登録する。また、表示制御部103は、攻撃結果ログ(全体)112を記憶部11より読み出し、演習システム100における訓練状況として表示部13の表示画面上に表示させる。
シナリオ管理部104は、攻撃シナリオ(全体)111および対処予定シナリオ114を管理する。攻撃シナリオ(全体)111は、演習開始以後の演習システム100におけるサイバー攻撃を順に記述したデータである。対処予定シナリオ114は、攻撃シナリオ(全体)111の各サイバー攻撃に対して想定される操作内容(対処操作)が記述されたデータである。
エージェント(親)201は、管理装置1より送信された攻撃シナリオ(部分)211を記憶部21に記憶させる。また、エージェント(親)201は、管理装置1より送信された攻撃シナリオ(部分)211に基づいてサイバー攻撃を実施するエージェント(子)202を生成する。具体的には、エージェント(親)201は、攻撃シナリオ(部分)211に記述されたサイバー攻撃を開始するタイミングで、エージェント(子)202を生成する。エージェント(子)202は、攻撃シナリオ(部分)211に基づいて、攻撃シナリオ(部分)211に記述された内容のサイバー攻撃を実施する。
エージェント(親)201は、例えばコマンドを定時に実行するスケジュール管理を行うクーロンデーモンなどと同様、バックグラウンドで処理されるプロセスである。このエージェント(親)201は、実際にウイルスとして活動するエージェント(子)202を生成するが、演習対象者によるウイルス除去(活動停止)の対象とはならないものとする。これに対し、エージェント(子)202は、実際にウイルスとして活動することから、サイバー攻撃時において演習対象者によるウイルス除去の対象となる。したがって、情報処理装置2では、攻撃シナリオ(部分)211どおりにサイバー攻撃が実施されることとなる。
エージェント(親)201は、情報処理装置2におけるプロセスなどを監視し、攻撃シナリオ(部分)211に基づいたエージェント(子)202のサイバー攻撃の成功/失敗を攻撃履歴として攻撃結果ログ(部分)212に記録する。また、エージェント(操作)203は、攻撃シナリオ(部分)211に基づいたエージェント(子)202のサイバー攻撃に対し、演習対象者が端末装置3よりログオンして対処した操作内容を操作履歴として操作結果ログ(部分)213に記録する。エージェント(親)201は、管理装置1からの要求に応じて記録された攻撃結果ログ(部分)212を記憶部21より読み出し、通信部22を介して管理装置1へ送信し、エージェント(操作)203は、管理装置1からの要求に応じて記録された操作結果ログ(部分)213を記憶部21より読み出し、通信部22を介して管理装置1へ送信する。
エージェント(親)301は、管理装置1より送信された攻撃シナリオ(部分)311を記憶部31に記憶させる。また、エージェント(親)301は、管理装置1より送信された攻撃シナリオ(部分)311に基づいてサイバー攻撃を実施するエージェント(子)302を生成する。具体的には、エージェント(親)301は、攻撃シナリオ(部分)311に記述されたサイバー攻撃を開始するタイミングで、エージェント(子)302を生成する。エージェント(子)302は、攻撃シナリオ(部分)311に基づいて、攻撃シナリオ(部分)311に記述された内容のサイバー攻撃を実施する。
エージェント(親)301は、例えばコマンドを定時に実行するスケジュール管理を行うクーロンデーモンなどと同様、バックグラウンドで処理されるプロセスである。このエージェント(親)301は、実際にウイルスとして活動するエージェント(子)302を生成するが、演習対象者によるウイルス除去(活動停止)の対象とはならないものとする。これに対し、エージェント(子)302は、実際にウイルスとして活動することから、サイバー攻撃時において演習対象者によるウイルス除去の対象となる。したがって、端末装置3では、攻撃シナリオ(部分)311どおりにサイバー攻撃が実施されることとなる。
エージェント(親)301は、端末装置3におけるプロセスなどを監視し、攻撃シナリオ(部分)311に基づいたエージェント(子)302のサイバー攻撃の成功/失敗を攻撃履歴として攻撃結果ログ(部分)312に記録する。エージェント(親)301は、管理装置1からの要求に応じて記録された攻撃結果ログ(部分)312を記憶部31より読み出し、通信部32を介して管理装置1へ送信し、エージェント(操作)303は、管理装置1からの要求に応じて記録された操作結果ログ(部分)313を記憶部31より読み出し、通信部32を介して管理装置1へ送信する。
図3は、実施形態にかかる演習システム100の動作例を示すフローチャートである。図3に示すように、管理装置1では、制御部10の制御のもと、攻撃シナリオ(全体)111の作成を行う表示画面を表示部13に表示させて操作部14による操作指示を受け付けることで攻撃シナリオ(全体)111を作成する(S1)。次いで、制御部10は、作成された攻撃シナリオ(全体)111を記憶部11に登録する(S2)。
図4は、攻撃シナリオ(全体)111を説明する説明図である。図4に示すように、攻撃シナリオ(全体)111は、演習開始以後の演習システム100におけるサイバー攻撃を順に記述したデータである。具体的には、攻撃シナリオ(全体)111は、「No.」で番号付けされたサイバー攻撃の各々について、「攻撃種類」、「開始時刻」、「終了時刻」、「攻撃元」、「攻撃先」および「補足パラメータ」などのパラメータが記述されたデータである。
「攻撃種類」では、「可搬記憶媒体侵入」、「直接型拡散」、「ステルス化」、「トラフィック送信」、「ファイル改ざん」などのサイバー攻撃の種類が示される。「開始時刻」および「終了時刻」では、演習開始後からサイバー攻撃を開始する時刻およびサイバー攻撃を終了する時刻が示される。例えば、各サイバー攻撃における「開始時刻」の時間間隔を短くすることで、サイバー攻撃の攻撃速度を早くすることとなる。逆に、各サイバー攻撃における「開始時刻」の間の時間を長くすることで、サイバー攻撃の攻撃速度を遅くすることとなる。
「攻撃元」および「攻撃先」では、サイバー攻撃の元となる装置および攻撃先となる装置などの攻撃経路を示す情報(例えば「装置A」、「装置B」といったホスト名やネットワークアドレスなど)が示される。「補足パラメータ」では、サイバー攻撃の内容を補足する値が示される。具体的には、「補足パラメータ」において、サイバー攻撃の規模の値が示される。例えば、サイバー攻撃の規模は、サイバー攻撃により占有されるリソースの大小を示すものであり、サイバー攻撃における処理の負荷状態などであってよい。一例として、サイバー攻撃の規模が大きく、通常の処理と比べて多くのリソースが占有される場合は「高負荷」とする。逆に、サイバー攻撃の規模が小さく、通常の処理と比べてもリソースの占有が少ない場合は「低負荷」とする。
S1における攻撃シナリオ(全体)111の作成では、演習対象者のスキルレベルに合わせたパラメータが設定される。例えば、演習対象者のスキルレベルが高くなく、サイバー攻撃への対処に時間を要する場合には、攻撃速度、攻撃規模などのパラメータを低くする。一例として、図4に示すように、演習対象者のスキルレベルが低い場合、各サイバー攻撃間の「開始時刻」の間隔を長くして、当初の攻撃シナリオ(全体)111よりも攻撃速度を抑えた攻撃シナリオ(全体)111Aとする。同様に、攻撃シナリオ(全体)111Aでは、攻撃規模を示す「補足パラメータ」について、攻撃規模が大きくなる「高負荷」から攻撃規模が小さくなる「低負荷」とする。これにより、演習対象者のスキルレベルに合わせたサイバー攻撃を実施する。
このS1、S2における攻撃シナリオ(全体)111の作成・登録は、S3以後の演習中に行ってもよい。具体的には、演習中においては、S1、S2の処理が行われることで、演習以前に登録された攻撃シナリオ(全体)111の変更が行われる。この攻撃シナリオ(全体)111の変更が行われた場合、S3以後のS5において、変更後の攻撃シナリオ(全体)111に基づいた攻撃シナリオ(部分)211が各情報処理装置2に送信されることとなる。このように、演習中の訓練状況に合わせて攻撃シナリオ(全体)111を適宜変更してもよい。
攻撃シナリオ(全体)111を登録後に演習が開始されると(S3)、管理装置1のサイバー攻撃制御部101は、登録された攻撃シナリオ(全体)111のサイバー攻撃の中で、演習開始後に開始時刻となったサイバー攻撃の有無を判定する(S4)。
開始時刻となったサイバー攻撃がある場合(S4:YES)、サイバー攻撃制御部101は、攻撃シナリオ(全体)111より開始時刻となったサイバー攻撃のパラメータを読み出し、読み出したパラメータを含む攻撃シナリオ(部分)211を攻撃元の情報処理装置2へ送信する(S5)。情報処理装置2のエージェント(親)201は、送信された攻撃シナリオ(部分)211を記憶部21へ格納する。
なお、攻撃シナリオ(部分)211の送信については、攻撃シナリオ(全体)111のサイバー攻撃の中で開始時刻となったものより順に攻撃元の情報処理装置2へ送信する方法に限定しない。例えば、サイバー攻撃制御部101は、演習の開始時刻に攻撃シナリオ(全体)111に含まれる各サイバー攻撃を攻撃元ごとに分類し、攻撃元の情報処理装置2のそれぞれに一斉に送信してもよい。
図5は、攻撃シナリオ(部分)211A〜211Dを説明する説明図である。図5に示す攻撃シナリオ(部分)211A〜211Dは、攻撃元が「装置A」〜「装置D」のそれぞれに送信されるものである。図5に示すように、「装置A」〜「装置D」の情報処理装置2に対しては、攻撃シナリオ(全体)111をもとに、「攻撃種類」、「開始時刻」、「終了時刻」、「攻撃先」、「補足パラメータ」を含む攻撃シナリオ(部分)211A〜211Dが送信される。
情報処理装置2のエージェント(親)201では、エージェント(親)201のパラメータに従って行うサイバー攻撃について、演習開始後の最初のサイバー攻撃であるか否かを判定する(S6)。最初のサイバー攻撃である場合(S6:YES)、エージェント(親)201は、サイバー攻撃を行うためのエージェント(子)202を生成する(S7)。具体的には、エージェント(親)201は、「攻撃種類」に対応するエージェント(子)202を生成する。また、最初のサイバー攻撃でない場合(S6:NO)、エージェント(親)201は、サイバー攻撃を行うためのエージェント(子)202を生成済であることから、S7の処理をスキップする。
次いで、エージェント(子)202は、攻撃シナリオ(部分)211のパラメータに従ってサイバー攻撃を実行する(S8)。例えば、攻撃シナリオ(部分)211A(図5参照)に基づいてサイバー攻撃を行うエージェント(子)202Aでは、開始時刻が「00:15:00」に「可搬記憶媒体侵入」のサイバー攻撃を「装置A」、すなわち自装置に行う。また、エージェント(子)202Aは、開始時刻が「00:30:00」に「直接型拡散」のサイバー攻撃を「装置B、C、D」、すなわち他装置に行う。
次いで、エージェント(親)201は、情報処理装置2におけるプロセスなどの監視結果をもとに、攻撃シナリオ(部分)211に基づいたエージェント(子)202のサイバー攻撃の成功/失敗を攻撃結果ログ(部分)212に記録する(S9)。例えば、攻撃シナリオ(部分)211に記述されたシナリオどおりにエージェント(子)202のサイバー攻撃による処理が実行された場合はサイバー攻撃の成功とする。また、攻撃シナリオ(部分)211に記述されたシナリオどおりの処理結果が得られなかった場合や、エージェント(子)202がキル(活動停止)された場合にはサイバー攻撃の失敗とする。
図6は、攻撃結果ログ(部分)212A〜212Dにおける攻撃履歴を説明する説明図である。図6に示す攻撃結果ログ(部分)212A〜212Dは、「装置A」〜「装置D」のそれぞれにおける攻撃結果ログ(部分)を示すものである。図6に示すように、S9では、攻撃シナリオ(部分)211A〜211Dに対応する攻撃履歴が攻撃結果ログ(部分)212A〜212Dに記録される。例えば、各サイバー攻撃ごとに、攻撃の失敗/成功を示す「攻撃結果」、攻撃の開始および終了の時刻を示す「開始時刻(結果)」および「終了時刻(結果)」が記録される。
次いで、エージェント(親)201は、情報処理装置2へログオンした演習対象者による、サイバー攻撃への対処操作の有無を判定する(S10)。このサイバー攻撃への対処操作については、攻撃シナリオ(全体)111の各サイバー攻撃に対して想定される操作内容が対処予定シナリオ114として予め定められている。S10において、エージェント(操作)203は、この対処予定シナリオ114に沿った対処操作の有無を判定する。
図7は、対処予定シナリオ114を説明する説明図である。図7に示すように、対処予定シナリオ114には、各サイバー攻撃に対する「対処予定種類」、「対処カテゴリ」などの操作内容が定められている。
「対処予定種類」は、「異常検知」、「ネットワーク切断」、「プロセス停止」、「ファイル復旧」など、サイバー攻撃に対する操作の種類が定められている。例えば、「異常検知」は、所定の調査コマンドの実行を示す。また、「ネットワーク切断」は、ネットワーク機能を停止するコマンドの実行を示す。また、「プロセス停止」は、キルコマンドによるエージェント(子)202の停止を示す。また、「ファイル復旧」は、復旧コマンドによる改ざんファイルの復旧を示す。
「対処カテゴリ」は、演習対象者による対処操作のカテゴリ(分類)であり、例えば「調査」、「初期対処」、「原因対処」、「復旧」などがある。
サイバー攻撃への対処操作がある場合(S10:YES)、エージェント(操作)203は、サイバー攻撃に対して行われた対処操作を示す操作履歴を操作結果ログ(部分)213に記録する(S11)。サイバー攻撃への対処操作がない場合(S10:NO)、エージェント(操作)203は、S11の処理をスキップする。
図8は、操作結果ログ(部分)213E、213B、213Cにおける操作履歴を説明する説明図である。図8に示す操作結果ログ(部分)213E、213B、213Cは、「装置E」、「装置B」、「装置C」のそれぞれにおける操作結果ログ(部分)を示すものである。
図8に示すように、S11では、「装置E」、「装置B」、「装置C」のサイバー攻撃に対する対処操作を示す操作履歴が操作結果ログ(部分)213E、213B、213Cに記録される。例えば、各サイバー攻撃に対する対処予定シナリオの「対処予定種類」および「対処カテゴリ」とともに、実際に対処した装置を示す「対処装置」、実際の操作内容を示す「対処行動」および操作の時刻を示す「対処時刻」が記録される。
管理装置1のログ収集部102は、S9、S11において記録された攻撃結果ログ(部分)212および操作結果ログ(部分)213を各情報処理装置2より収集し(S12)、攻撃結果ログ(全体)112および操作結果ログ(全体)113を記憶部11に記録する。なお、S12における各情報処理装置2からの攻撃結果ログ(部分)212および操作結果ログ(部分)213の収集は、ログ収集部102が要求して行ってもよい。
なお、S12における攻撃結果ログ(部分)212の収集は、ログ収集部102からの要求に限定しない。例えば、サイバー攻撃への対処操作がある場合(S10:YES)に、エージェント(操作)203が対処操作の操作履歴を含む操作結果ログ213(部分)を管理装置1へ送信してもよい。また、S8でサイバー攻撃が実行された場合に、エージェント(親)201がその攻撃履歴を含む攻撃結果ログ212(部分)を管理装置1へ送信してもよい。
次いで、管理装置1の表示制御部103は、攻撃結果ログ(全体)112を記憶部11より読み出し、演習システム100における演習状況として表示部13の表示画面上に表示させる(S13)。
次いで、管理装置1のサイバー攻撃制御部101は、現在時刻が攻撃シナリオ(全体)111における終了時刻に達したか否かをもとに、演習の終了の有無を判定する(S14)。終了でない場合(S14:NO)、サイバー攻撃制御部101は、S4へ処理を戻す。終了である場合(S14:YES)、サイバー攻撃制御部101は、各情報処理装置2のエージェント(親)201へ終了を通知して演習を終了する。終了が通知されたエージェント(親)201では、自身が生成したエージェント(子)202を停止させて処理を終了する。
以上のように、演習システム100では、複数の情報処理装置2A、2B、2C…において、与えられた攻撃シナリオに従って処理を実行するエージェント(子)202A、202B、202Cが配備されている。また、演習システム100では、管理装置1のサイバー攻撃制御部101が、エージェント(子)202A、202B、202C…のそれぞれに対して、攻撃シナリオ(全体)111に基づいて実行すべきサイバー攻撃を制御する制御信号である攻撃シナリオ(部分)211A、211B、211C…を送信する。したがって、演習システム100では、予定していた攻撃シナリオ(全体)111どおりにサイバー攻撃を実施することができ、演習対象者のスキルレベルに合わせた演習を容易に実施できる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、管理装置1、情報処理装置2および端末装置3で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよい。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図9は、実施形態にかかる管理装置1、情報処理装置2および端末装置3のハードウエア構成の一例を示すブロック図である。なお、図示例では、代表して管理装置1の構成を例示しているが、情報処理装置2および端末装置3の構成も同様である。
図9が示すように、管理装置1は、各種演算処理を実行するCPU501と、データ入力を受け付ける入力装置502と、モニタ503と、スピーカ504とを有する。また、管理装置1は、記憶媒体からプログラム等を読み取る媒体読取装置505と、各種装置と接続するためのインタフェース装置506と、有線または無線により外部機器と通信接続するための通信装置507とを有する。また、管理装置1は、各種情報を一時記憶するRAM508と、ハードディスク装置509とを有する。また、管理装置1内の各部(501〜509)は、バス510に接続される。
ハードディスク装置509には、上記の実施形態で説明した制御部10などで各種の処理を実行するためのプログラム511が記憶される。また、ハードディスク装置509には、プログラム511が参照する各種データ512(攻撃シナリオ(全体)111、攻撃結果ログ(全体)112など)が記憶される。入力装置502は、例えば、管理装置1の操作者から操作情報の入力を受け付ける。モニタ503は、例えば、操作者が操作する各種画面を表示する。インタフェース装置506は、例えば印刷装置等が接続される。通信装置507は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU501は、ハードディスク装置509に記憶されたプログラム511を読み出して、RAM508に展開して実行することで、各種の処理を行う。なお、プログラム511は、ハードディスク装置509に記憶されていなくてもよい。例えば、管理装置1が読み取り可能な記憶媒体に記憶されたプログラム511を、管理装置1が読み出して実行するようにしてもよい。管理装置1が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記憶媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラムを記憶させておき、管理装置1がこれらからプログラムを読み出して実行するようにしてもよい。
1…管理装置
2、2A〜2C…情報処理装置
3、3A、3B…端末装置
10、20、30…制御部
11、21、31…記憶部
12、22、32…通信部
13…表示部
14…操作部
100…演習システム
101…サイバー攻撃制御部
102…ログ収集部
103…表示制御部
111、111A…攻撃シナリオ(全体)
112…攻撃結果ログ(全体)
113…操作結果ログ(全体)
114…対処予定シナリオ
201、201A〜C、301、301A、301B…エージェント(親)
202、202A〜C、302、302A、302B…エージェント(子)
203、203A〜C、303、303A、303B…エージェント(操作)
211、211A〜D、311、311A、311B…攻撃シナリオ(部分)
212、212A〜E、312、312A、312B…攻撃結果ログ(部分)
213、213B〜C、213E、313、313A、313B…操作結果ログ(部分)
501…CPU
511…プログラム
512…各種データ
AT1、AT2…サイバー攻撃
N1、N2…通信ネットワーク

Claims (10)

  1. 複数の情報処理装置を含むシステムを用いたサイバー攻撃に対する演習をコンピュータに実行させるプログラムにおいて、
    前記複数の情報処理装置または端末装置のそれぞれに配備され、与えられた攻撃シナリオに従って処理を実行するプログラムのそれぞれに対して、攻撃シナリオに基づいて実行すべきサイバー攻撃を制御する制御信号を送信する
    処理をコンピュータに実行させることを特徴とするプログラム。
  2. 前記制御信号は、特定のプログラムが配備された特定の情報処理装置の1つまたは複数の情報処理装置または端末装置の1つまたは複数の端末装置に対して、管理装置から送信される前記サイバー攻撃を制御する信号である
    ことを特徴とする請求項1に記載のプログラム。
  3. 前記攻撃シナリオは、攻撃経路、攻撃速度、攻撃時刻および攻撃規模のいずれかのパラメータを含む
    ことを特徴とする請求項1に記載のプログラム。
  4. 前記サイバー攻撃を制御する制御信号を送信する管理装置は、前記攻撃シナリオの変更に基づいて前記パラメータを更新する
    ことを特徴とする請求項3に記載のプログラム。
  5. 前記サイバー攻撃を制御する制御信号を送信する管理装置からの指示に従って、前記プログラムは前記サイバー攻撃を開始または終了する
    ことを特徴とする請求項1に記載のプログラム。
  6. 前記複数の情報処理装置間または前記複数の端末装置間で通信されるサイバー攻撃の信号が送信されるネットワークとは異なる所定の専用ネットワークを介して、前記プログラムは前記制御信号を送信する
    ことを特徴とする請求項1に記載のプログラム。
  7. 前記攻撃シナリオに従ってプログラムが実行した処理に対して、対応する情報処理装置または対応する端末装置において行われた操作の履歴または対応するサイバー攻撃の履歴がログ収集部に送信される
    ことを特徴とする請求項1に記載のプログラム。
  8. 前記サイバー攻撃が実行される毎にまたは前記サイバー攻撃に対する対処操作が行われる毎に、前記対応する情報処理装置または対応する端末装置に配備され、前記プログラムと異なるプログラムが前記操作の履歴または対応するサイバー攻撃の履歴を前記ログ収集部に送信する
    ことを特徴とする請求項7に記載のプログラム。
  9. 前記攻撃シナリオに従ってプログラムが実行した処理に対して、対応する情報処理装置または対応する端末装置において行われた操作の履歴または対応するサイバー攻撃の履歴が、前記複数の情報処理装置間または前記複数の端末装置間で通信されるサイバー攻撃の信号が送信されるネットワークとは異なる所定の専用ネットワークを介して、前記ログ収集部に送信される
    ことを特徴とする請求項7に記載のプログラム。
  10. 前記攻撃シナリオに従って前記プログラムと異なるプログラムが前記プログラムを起動し、当該起動されたプログラムが前記サイバー攻撃を実行する
    ことを特徴とする請求項1に記載のプログラム。
JP2018080257A 2018-04-18 2018-04-18 サイバー攻撃に対する演習制御プログラム Active JP6552135B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018080257A JP6552135B1 (ja) 2018-04-18 2018-04-18 サイバー攻撃に対する演習制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018080257A JP6552135B1 (ja) 2018-04-18 2018-04-18 サイバー攻撃に対する演習制御プログラム

Publications (2)

Publication Number Publication Date
JP6552135B1 JP6552135B1 (ja) 2019-07-31
JP2019191670A true JP2019191670A (ja) 2019-10-31

Family

ID=67473389

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018080257A Active JP6552135B1 (ja) 2018-04-18 2018-04-18 サイバー攻撃に対する演習制御プログラム

Country Status (1)

Country Link
JP (1) JP6552135B1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210154050A (ko) * 2020-06-11 2021-12-20 국방과학연구소 플레이북 형태의 모의공격도구 구현 장치 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090208910A1 (en) * 2008-02-19 2009-08-20 Architecture Technology Corporation Automated execution and evaluation of network-based training exercises
JP2017198836A (ja) * 2016-04-27 2017-11-02 三菱電機株式会社 原子力発電プラントのサイバーテロセキュリティシミュレータ

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090208910A1 (en) * 2008-02-19 2009-08-20 Architecture Technology Corporation Automated execution and evaluation of network-based training exercises
JP2017198836A (ja) * 2016-04-27 2017-11-02 三菱電機株式会社 原子力発電プラントのサイバーテロセキュリティシミュレータ

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
坂下 圭一: "防衛省技術研究本部の研究紹介2015(1)", 防衛技術ジャーナル 第35巻 第4号 DEFENSE TECHNOLOGY JOURNAL, vol. 第35巻, JPN6019022174, 1 April 2015 (2015-04-01), pages 12 - 18, ISSN: 0004055320 *
太田 悟史 SATOSHI OHTA: "次世代サイバー演習環境に向けて", マルチメディア,分散,協調とモバイル(DICOMO2016)シンポジウム論文集 情報処理学会シンポジ, vol. 第2016巻, JPN6019022178, 29 June 2016 (2016-06-29), JP, pages 1776 - 1782, ISSN: 0004055322 *
浅井 健志 TAKESHI ASAI: "サイバー攻撃訓練システムにおける訓練シナリオ生成方法の提案 Scenario Generation Method for Cyber Sec", 情報処理学会 研究報告 マルチメディア通信と分散処理(DPS) 2016−DPS−166 [ONLI, JPN6019022176, 25 February 2016 (2016-02-25), JP, pages 1 - 7, ISSN: 0004055321 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210154050A (ko) * 2020-06-11 2021-12-20 국방과학연구소 플레이북 형태의 모의공격도구 구현 장치 및 방법
KR102395134B1 (ko) * 2020-06-11 2022-05-09 국방과학연구소 플레이북 형태의 모의공격도구 구현 장치 및 방법

Also Published As

Publication number Publication date
JP6552135B1 (ja) 2019-07-31

Similar Documents

Publication Publication Date Title
US11736530B2 (en) Framework for coordination between endpoint security and network security services
US8549639B2 (en) Method and apparatus for diagnosing and mitigating malicious events in a communication network
KR101979363B1 (ko) 애플리케이션 토폴로지 관계의 발견 방법, 장치, 및 시스템
JP2021521528A (ja) タスク処理方法、装置及びシステム
JP2016143299A (ja) リスク評価システムおよびリスク評価方法
RU2005135472A (ru) Управление безопасностью компьютера, например, в виртуальной машине или реальной операционной системе
JP5757325B2 (ja) 仮想デスクトップシステム、ネットワーク処理装置、管理方法、及び管理プログラム
US10362046B1 (en) Runtime behavior of computing resources of a distributed environment
JP6939906B2 (ja) 異常検知装置
US20230231882A1 (en) Honeypot identification method, apparatus, device, and medium based on cyberspace mapping
JP2011175582A (ja) 情報処理装置、仮想計算機接続方法、プログラム及び記録媒体
JP6690469B2 (ja) 制御プログラム、制御方法および情報処理装置
JP6552135B1 (ja) サイバー攻撃に対する演習制御プログラム
US20210042093A1 (en) System and method that support production management
JP6733490B2 (ja) 開発支援システム、開発支援装置、応答制御プログラム、応答制御方法および応答制御装置
CN115828256B (zh) 一种越权与未授权逻辑漏洞检测方法
JP6552136B1 (ja) サイバー攻撃に対する演習表示プログラム
CN113726855B (zh) 服务聚合方法、装置、电子设备以及计算机可读存储介质
JP2003091433A (ja) 監視方法、監視システム、監視装置、被監視装置、コンピュータプログラム、及び記録媒体
US20220237303A1 (en) Attack graph processing device, method, and program
WO2020175031A1 (ja) 制御装置、管理プログラムおよび制御システム
JP4918669B2 (ja) リモートメンテナンスシステムと方法およびプログラム
TWM486082U (zh) 週邊裝置管理系統、週邊裝置使用系統及其共享系統
US11579954B2 (en) Data collecting in issue tracking systems
US11316884B2 (en) Software defined network white box infection detection and isolation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180420

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20180515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190701

R150 Certificate of patent or registration of utility model

Ref document number: 6552135

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250