JP2020129166A - Computer system, method for analyzing influence of incident to business system, and analysis device - Google Patents
Computer system, method for analyzing influence of incident to business system, and analysis device Download PDFInfo
- Publication number
- JP2020129166A JP2020129166A JP2019020335A JP2019020335A JP2020129166A JP 2020129166 A JP2020129166 A JP 2020129166A JP 2019020335 A JP2019020335 A JP 2019020335A JP 2019020335 A JP2019020335 A JP 2019020335A JP 2020129166 A JP2020129166 A JP 2020129166A
- Authority
- JP
- Japan
- Prior art keywords
- business system
- incident
- evaluation
- business
- influence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、インシデントが業務システムに与える影響を防止するためのセキュリティ対策を立案する技術に関する。 The present invention relates to a technique for designing security measures for preventing the influence of an incident on a business system.
近年、民間企業、防衛関連企業、及び公的機関等を狙ったサイバ攻撃が顕在化しており、個人、企業、及び国家の利益及び安全性を損なうリスクが高まっている。また、攻撃手法の巧妙化しており、高度なマルウェアを巧みに活用して特定の官庁、企業、及び組織のネットワークに侵入し、機密情報の窃取及びシステム破壊を行う標的型攻撃は、セキュリティ上の大きな脅威となっている。このような背景から、迅速な脅威の解析と、解析結果に基づく対策の立案が重要となる。 In recent years, cyber attacks targeting private companies, defense-related companies, public institutions, etc. have become apparent, and the risk of damaging the interests and safety of individuals, companies, and the nation is increasing. In addition, the attack method has become more sophisticated, and targeted attacks that steal confidential information and destroy systems by leveraging sophisticated malware to infiltrate networks of specific government agencies, companies, and organizations are It is a big threat. Against this background, it is important to analyze threats promptly and formulate countermeasures based on the analysis results.
例えば、特許文献1には、FW(FireWall)からマルウェア候補サンプルを受信し、マルウェア候補サンプルがマルウェアであるか否かを判定するために仮想マシンを用いてマルウェア候補サンプルを解析し、マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャを自動的に生成するシステムが開示されている。
For example, in
特許文献1の技術を用いることによって、一般的なウィルス対策ソフトでは防ぐことができない未知のマルウェアによる攻撃を防ぐことができる。
By using the technique of
しかし、特許文献1の技術は、複数の業務システムへの影響を評価する技術ではない。そのため、他の業務システム(例えば、ある企業が運用する業務システム)で発生したインシデントに関する情報を活用して、当該インシデントが評価対象の業務システム(例えば、自社が運用する業務システム)に与える影響の有無を判定し、当該影響を防止するための対策を立案することができない。例えば、他の業務システムで検出されたマルウェアが評価対象の業務システムに影響を与えないにもかかわらずシグネチャが生成され、生成されたシグネチャが業務システムに悪影響を与えてしまう可能性がある。
However, the technique of
本発明は、他の業務システムで発生したインシデントに関する情報を活用して、当該インシデントが評価対象の業務システムへ与える影響を分析することを目的とする。 An object of the present invention is to analyze the influence of the incident on the business system to be evaluated by utilizing the information on the incident generated in another business system.
本発明の代表的な一例は、以下の通りである。すなわち、複数の計算機を備える計算機システムであって、前記複数の計算機の各々は、プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有し、前記計算機システムは、業務を実行する複数の業務システムと接続し、第1の業務システムにおいて発生したインシデントに関する情報を含むインシデントデータを取得し、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築し、前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析し、前記分析の結果を出力する。 A typical example of the present invention is as follows. That is, in a computer system including a plurality of computers, each of the plurality of computers has a processor, a storage device connected to the processor, and an interface connected to the processor. Is a business system that is connected to a plurality of business systems that execute, acquires incident data including information about an incident that has occurred in the first business system, and that is connected to the computer system, and that is connected to the first business system. Constructs an evaluation business system simulating a different business system, reproduces an incident occurring in the first business system on the evaluation business system based on the incident data, and influences the evaluation business system by the incident. Is analyzed and the result of the analysis is output.
本発明の一形態によれば、他の業務システムで発生したインシデントに関する情報を活用して、インシデントが評価対象の業務システムへ与える影響を分析できる。上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。 According to one aspect of the present invention, it is possible to analyze the influence of an incident on a business system that is an evaluation target by utilizing information about the incident that has occurred in another business system. Problems, configurations, and effects other than those described above will be clarified by the following description of the embodiments.
まず、実発明の概要について説明する。 First, the outline of the actual invention will be described.
本明細書では、業務システムを運用する個人、企業、及び国等を区別しない場合、組織と記載する。 In the present specification, when no distinction is made between individuals, companies, countries, etc. operating business systems, they are referred to as organizations.
インシデント(セキュリティインシデント)が発生した業務システムを運用する組織では、組織の中に存在するSOC(Security Operation Center)及びCSIRT(Computer Security Incident Response Team)等でインシデントの原因である脅威の特定、脅威の検出方法の確立、脅威への対策が行われる。 In an organization that operates a business system in which an incident (security incident) has occurred, the identification of the threat that is the cause of the incident and the threat caused by SOC (Security Operation Center) and CSIRT (Computer Security Incident Response Team) that exist in the organization. Detecting methods are established and countermeasures against threats are taken.
本発明では、インシデント再現装置110(図1を参照)が、ある組織で特定された脅威、脅威の検出方法、及び脅威による影響を解消するために行われた対処に関する情報を含むインシデントデータを取得し、評価対象の組織が運用する業務システム上でインシデントを再現する。インシデント再現装置110は、当該インシデントによる業務システムへの影響がある場合、当該影響を防止するための対策を立案する。
In the present invention, the incident reproduction device 110 (see FIG. 1) acquires incident data including information on a threat identified by an organization, a threat detection method, and countermeasures taken to eliminate the influence of the threat. Then, the incident is reproduced on the business system operated by the evaluated organization. When the
以上のような処理が実行されることによって、ある業務システムで発生したインシデントが評価対象の業務システムに与える影響を防止する対策を立案することができる。これによって、複数の業務システムにおいて同様のインシデントの発生を予防することが可能となる。 By executing the above-described processing, it is possible to plan a measure for preventing the influence of an incident occurring in a certain business system on the business system to be evaluated. This makes it possible to prevent the occurrence of similar incidents in a plurality of business systems.
以下、本発明の実施例を、図面を用いて説明する。ただし、本発明は以下に示す実施例の記載内容に限定して解釈されるものではない。本発明の思想ないし趣旨から逸脱しない範囲で、その具体的構成を変更し得ることは当業者であれば容易に理解される。 Embodiments of the present invention will be described below with reference to the drawings. However, the present invention should not be construed as being limited to the description of the examples below. It is easily understood by those skilled in the art that the specific configuration can be changed without departing from the spirit or gist of the present invention.
以下に説明する発明の構成において、同一又は類似する構成又は機能には同一の符号を付し、重複する説明は省略する。 In the configurations of the invention described below, the same or similar configurations or functions are designated by the same reference numerals, and overlapping description will be omitted.
本明細書等における「第1」、「第2」、「第3」等の表記は、構成要素を識別するために付するものであり、必ずしも、数又は順序を限定するものではない。 The notations such as “first”, “second”, and “third” in this specification and the like are given to identify components, and do not necessarily limit the number or order.
図面等において示す各構成の位置、大きさ、形状、及び範囲等は、発明の理解を容易にするため、実際の位置、大きさ、形状、及び範囲等を表していない場合がある。したがって、本発明では、図面等に開示された位置、大きさ、形状、及び範囲等に限定されない。 The position, size, shape, range, etc. of each configuration shown in the drawings and the like may not represent the actual position, size, shape, range, etc. for easy understanding of the invention. Therefore, the present invention is not limited to the position, size, shape, range, etc. disclosed in the drawings and the like.
図1は、実施例1に係る計算機システムの構成例を示す図である。 FIG. 1 is a diagram illustrating a configuration example of a computer system according to the first embodiment.
計算機システムは、異なる組織が運用するシステム100から構成される。図1では、組織A、B、C、Dが運用するシステム100A、100B、100C、100Dから構成される。なお、本発明は計算機システムを構成するシステム100の数に限定されない。
The computer system is composed of systems 100 operated by different organizations. In FIG. 1, it is composed of
各システム100A、100B、100C、100Dは、ネットワーク101を介して互いに接続される。ネットワーク101は、例えば、WAN(Wide Area Network)等である。ネットワーク101の接続方式は有線及び無線のいずれでもよい。
The
システム100Aは、インシデント再現装置110、評価環境140、及び本番環境150から構成される。なお、一つのシステム100にのみインシデント再現装置110が存在する構成でもよい。
The
本番環境150は、実際に業務を行う業務システム(図示省略)を構築するための環境である。例えば、ファイルサーバ、WEBサーバ、DNS(Domain Name System)サーバ等が業務システムとして挙げられる。本番環境150には、複数の計算機及びネットワーク装置、並びに、各種ソフトウェアが含まれる。
The
評価環境140は、インシデントの影響を分析する業務システムを模擬する評価業務システム141を構築するための環境である。図1の評価環境140には、評価業務システムA141A、評価業務システムB141B、評価業務システムC141Cが構築される。各評価業務システム141は、ネットワーク142を介してインシデント再現装置110と接続する。ネットワーク142は、例えば、LAN(Local Area Network)等である。ネットワーク142の接続方式は有線及び無線のいずれでもよい。
The
実施例1では、自システム100A内で稼働する業務システムを模擬した評価業務システム141が評価環境140に構築される。なお、他のシステム100B、100C、100Dで稼働する業務システムを模擬した評価業務システム141が構築されてよい。
In the first embodiment, the evaluation business system 141 simulating the business system operating in the
インシデント再現装置110は、評価環境140に評価業務システム141を構築し、評価業務システム141上でインシデントを再現し、当該インシデントによる評価業務システム141への影響を分析する。
The
インシデント再現装置110は、CPU(Central Processing Unit)113、メインメモリ114、記憶装置115、インタフェース112、及び入出力装置116を有する計算機である。各ハードウェアは通信路117を介して互いに接続される。通信路117は、例えば、バス及びケーブル等の情報伝達媒体である。
The
CPU113は、メインメモリ114に格納されたプログラムを実行する。CPU113がプログラムにしたがって処理を実行することによって、特定の機能を実現する機能部(モジュール)として動作する。
The
メインメモリ114は、CPU113が実行するプログラム及び当該プログラムの実行時に使用するデータを格納する。また、メインメモリ114は、プログラムが一時的に使用するワークエリアを含む。メインメモリ114に格納されるプログラムの詳細は後述する。
The
記憶装置115は大量のデータを永続的に格納する。記憶装置115は、例えば、HDD(Hard Disk Drive)及びフラッシュメモリ等である。記憶装置115に格納されるデータの詳細は後述する。
The
インタフェース112は、他の装置と通信するためのインタフェースである。インタフェース112は、例えば、NIC(Network Interface Card)である。図1では、インシデント再現装置110は、インタフェース112Aを介して他のシステム100B、100C、100Dと通信し、また、インタフェース112Bを介して、評価環境140及び本番環境150と通信する。
The interface 112 is an interface for communicating with another device. The interface 112 is, for example, a NIC (Network Interface Card). In FIG. 1, the
入出力装置116は、インシデント再現装置110にデータを入力し、インシデント再現装置110からデータを出力するための装置である。入出力装置116は、例えば、キーボード、マウス、タッチパネル、及びディスプレイ等から構成される。
The input/
ここで、メインメモリ114に格納されるプログラムについて説明する。メインメモリ114は、インシデントデータ受信プログラム121、業務システム構築プログラム122、インシデント再現プログラム123、影響分析プログラム124、対策適用プログラム125、及び提示プログラム126を格納する。
Here, the programs stored in the
メインメモリ114に格納されるプログラムは、記憶装置115に格納されていてもよいし、外部の装置に格納されてもよい。記憶装置115にプログラムが格納されている場合、CPU113は、記憶装置115からプログラムを読み出し、メインメモリ114にロードする。外部の装置にプログラムが格納されている場合、CPU113は、入出力装置116又はインタフェース112を介して外部装置からプログラムを取得し、メインメモリ114にインストール(ロード)する。
The program stored in the
インシデントデータ受信プログラム121は、他組織のシステム100上で稼働する業務システムで発生したインシデントに関連する情報を含むインシデントデータを受信するために実行されるプログラムである。
The incident
業務システム構築プログラム122は、評価環境140に評価業務システム141を構築するために実行されるプログラムである。
The business
インシデント再現プログラム123は、評価業務システム141上でインシデントを再現するために実行されるプログラムである。 The incident reproduction program 123 is a program executed to reproduce an incident on the evaluation business system 141.
影響分析プログラム124は、再現されたインシデントによる評価業務システム141への影響を分析するために実行されるプログラムである。
The
対策適用プログラム125は、評価業務システム141に対策を適用するために実行されるプログラムである。
The
提示プログラム126は、ユーザに分析の結果をインシデント再現結果として提示するために実行されるプログラムである。例えば、提示プログラム126が実行されることによって、情報の可視化(画面の表示)又は音声の再生等が行われる。
The
なお、メインメモリ114に格納されるプログラムは、複数のプログラムを一つのプログラムにまとめてもよいし、一つのプログラムを複数のプログラムに分けてもよい。例えば、インシデント再現プログラム123及び影響分析プログラム124を一つのプログラムにしてよい。
The programs stored in the
次に、記憶装置115に格納されるデータについて説明する。記憶装置115は、インシデントデータ管理情報131、業務システム管理情報132、及びインシデント再現結果管理情報133を格納する。
Next, the data stored in the
インシデントデータ管理情報131は、インシデントデータを管理するための情報である。インシデントデータ管理情報131のデータ構造の詳細は図2を用いて説明する。
The incident
業務システム管理情報132は、業務システムの構成及び影響の確認方法等を管理するための情報である。業務システム管理情報132のデータ構造の詳細は図3を用いて説明する。
The business
インシデント再現結果管理情報133は、インシデント再現結果を管理するための情報である。インシデント再現結果管理情報133のデータ構造の詳細は図4を用いて説明する。
The incident reproduction
図2は、実施例1のインシデントデータ管理情報131のデータ構造の一例を示す図である。
FIG. 2 is a diagram illustrating an example of the data structure of the incident
インシデントデータ管理情報131は、ID201、日時202、組織203、脅威204、検出方法205、及び対処手段206から構成されるエントリを格納する。一つのエントリが一つのインシデントデータに対応する。
The incident
ID201は、インシデントデータ(エントリ)を一意に識別するための識別情報を格納するフィールドである。
The
日時202は、インシデントが発生した日時を格納するフィールドである。各システム100が管理する時刻は同期が行われているものとする。
The date and
組織203は、インシデントが発生したシステム100、すなわち、インシデントデータの送信元の組織を識別するための識別情報を格納するフィールドである。
The
脅威204は、インシデントの原因である脅威を示す情報を格納するフィールドである。本明細書では、業務システムに対する攻撃を行う主体(プログラム)及び業務システムに対する攻撃の契機となる行為を「脅威」と定義する。 The threat 204 is a field that stores information indicating the threat that is the cause of the incident. In this specification, an entity (program) that attacks the business system and an action that triggers the attack on the business system are defined as a “threat”.
検出方法205は、脅威を検出する方法を格納するフィールドである。複数の検出方法が存在する場合、検出方法205には複数の検出方法が格納される。また、検出方法が不明の場合、検出方法205は空欄となる。
The
対処手段206は、検出された脅威に対して行われた処理及び行動等の対処に関する情報を格納するフィールドである。インシデントに対して複数の対処が行われた場合、対処手段206には複数の対処を示す情報が格納される。また、対処が不明の場合、対処手段206は空欄となる。
The
ID201が「1」に対応するインシデントデータは、組織B(システム100B)において、2018/1/1の00:00:00に、マルウェアAが脅威として検出されたこと、マルウェアAの感染により、サイトAへの通信及びa.exeの生成が観測されたこと、サイトAへの通信の遮断及びパッチAの適用が対処として行われたことを表す。
The incident data corresponding to the
ID201が「4」に対応するインシデントデータは、組織D(システム100D)において、2018/1/1の00:00:30に、マルウェアCが脅威として特定されたこと、検出方法及び対処が不明であることを表す。
The incident data corresponding to the
なお、インシデントデータは、説明の都合上、実際に組織(システム100)で発生したインシデントに関連する情報を含むものと説明しているが、必ずしもインシデントが発生している必要はない。インシデントデータ管理情報131には、既知の脅威に関する情報を含むインシデントデータが格納されてもよい。
It should be noted that although the incident data is described as including information related to an incident actually occurred in the organization (system 100) for convenience of explanation, the incident does not necessarily need to occur. The incident
インシデントデータ管理情報131は、インシデントデータ受信プログラム121を実行するCPU113によって生成される。また、インシデントデータ管理情報131は、業務システム上でのインシデントの再現、インシデントが業務システムへ与える影響の分析、及び業務システムへの対策の適用を行う場合、並びに、インシデント再現結果を提示する場合に用いられる。
The incident
図3は、実施例1の業務システム管理情報132のデータ構造の一例を示す図である。
FIG. 3 is a diagram illustrating an example of a data structure of the business
業務システム管理情報132は、ID301、システム名302、OS303、アプリケーション304、及び判定基準305から構成されるエントリを格納する。一つのエントリが一つの業務システムに対応する。
The business
ID301は、業務システム(エントリ)を一意に識別するための識別情報を格納するフィールドである。
The
システム名302は、業務システムの名前を格納するフィールドである。OS303は、業務システムで用いられるOS(Operating System)を示す情報を格納するフィールドである。アプリケーション304は、業務システムで用いられるアプリケーションを示す情報を格納するフィールドである。
The
判定基準305は、インシデントによる業務システムへの影響の有無を判定するための基準に関する情報を格納するフィールドである。判定基準305には、複数の判定基準を示す情報が格納されてもよい。この場合、インシデント再現装置110は、いずれかの判定基準を満たす場合、インシデントによる業務システムへの影響があると判定する。
The
ID301が「1」に対応する業務システムは、OSAを利用すること、OSA上で業務アプリケーションA及びデータベースAがインストールされること、業務アプリケーションAの停止、データの改ざん、又はマルウェアの感染が判定基準として設定されていることを表す。
The business system corresponding to the
業務システム管理情報132は、予め設定されているものとする。ただし、計算機システムの管理者等が必要に応じて、エントリの追加、削除、及び更新を行ってもよい。業務システム管理情報132は、評価環境140に評価業務システム141を構築する場合に用いられる。
The business
図4は、実施例1のインシデント再現結果管理情報133のデータ構造の一例を示す図である。
FIG. 4 is a diagram illustrating an example of a data structure of the incident reproduction
インシデント再現結果管理情報133は、ID401、インシデントID402、業務システムID403、影響404、対策405、及び適用後影響406から構成されるエントリを格納する。一つのエントリが一つのインシデント再現結果に対応する。
The incident reproduction
ID401は、インシデント再現結果を一意に識別するための識別情報を格納するフィールドである。
The
インシデントID402は、再現したインシデントの識別情報を格納するフィールドである。インシデントID402はID201に対応する。
The
業務システムID403は、インシデントの再現が行われた評価業務システム141の識別情報を格納するフィールドである。業務システムID403はID301に対応する。
The business system ID 403 is a field for storing identification information of the evaluation business system 141 in which the incident has been reproduced. The business system ID 403 corresponds to the
影響404は、再現されたインシデントによる評価業務システム141への影響の有無を示す情報を格納する。影響404には「あり」又は「なし」のいずれかが格納される。「あり」は影響があることを示し、「なし」は影響がないことを示す。 The influence 404 stores information indicating whether or not the reproduced incident has an influence on the evaluation business system 141. The influence 404 stores either “present” or “not present”. “Yes” indicates that there is an effect, and “none” indicates that there is no effect.
対策405は、業務システムに対して適用した対策を示す情報を格納する。
The
適用後影響406は、再現されたインシデントによる、対策が適用された後の業務システムへの影響の有無を示す情報を格納する。適用後影響406には「あり」又は「なし」のいずれかが格納される。
The
ID401が「1」に対応するインシデント再現結果は、業務システムAがID201が「1」のインシデントによる影響を受けること、また、「サイトA遮断」の対策を適用した業務システムAも当該インシデントの影響を受けることを表す。
The incident reproduction result corresponding to the
インシデント再現結果管理情報133は、影響分析プログラム124を実行するCPU113によって生成される。インシデント再現結果管理情報133は、インシデント再現結果を提示する場合に用いられる。
The incident reproduction
次に、インシデント再現装置110が実行する処理の詳細について説明する。
Next, details of the processing executed by the
図5は、実施例1のインシデント再現装置110が実行する処理の一例を説明するフローチャートである。
FIG. 5 is a flowchart illustrating an example of processing executed by the
インシデント再現装置110は、インタフェース112Aを介して、任意のシステム100からインシデントデータを受信した場合(ステップS501)、当該インシデントデータに対応するインシデントが未知の脅威に起因するインシデントであるか否かを判定する(ステップS502)。
When the
具体的には、インシデントデータ受信プログラム121を実行するCPU113は、受信したインシデントから脅威に関する情報を取得する。CPU113は、インシデントデータ管理情報131を参照し、脅威204が取得した脅威に関する情報と一致するエントリが存在するか否かを判定する。前述の条件を満たすエントリが存在しない場合、CPU113は、受信したインシデントデータに対応するインシデントが未知の脅威に起因するインシデントであると判定する。
Specifically, the
受信したインシデントデータに対応するインシデントが未知の脅威に起因するインシデントでないと判定された場合、インシデント再現装置110は処理を終了する。この場合、インシデントデータ受信プログラム121を実行するCPU113は、受信したインシデントデータをインシデントデータ管理情報131に登録せずに、処理を終了する。
When it is determined that the incident corresponding to the received incident data is not the incident caused by the unknown threat, the
受信したインシデントデータに対応するインシデントが未知の脅威に起因するインシデントであると判定された場合、インシデント再現装置110は業務システムのループ処理を開始する(ステップS503)。
When it is determined that the incident corresponding to the received incident data is an incident caused by an unknown threat, the
具体的には、インシデントデータ受信プログラム121を実行するCPU113は、インシデントデータ管理情報131に受信したインシデントデータを登録し、業務システム構築プログラム122を起動する。業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132に格納されるエントリから一つのエントリを選択する。以下では、選択されたエントリに対応する業務システムをターゲット業務システムと記載する。
Specifically, the
次に、インシデント再現装置110は、評価環境140に、ターゲット業務システムに対応する評価業務システム141を構築する(ステップS504)。
Next, the
具体的には、業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132から選択されたエントリのOS303及びアプリケーション304に基づいて、評価環境140に評価業務システム141を構築する。その後、CPU113は、インシデント再現プログラム123を起動する。
Specifically, the
次に、インシデント再現装置110は、構築された評価業務システム141に対してインシデント再現処理を実行する(ステップS505)。インシデント再現処理の詳細は図6を用いて説明する。
Next, the
次に、インシデント再現装置110は、全ての業務システムについて処理が完了したか否かを判定する(ステップS506)。
Next, the
全ての業務システムについて処理が完了していないと判定された場合、インシデント再現装置110は、ステップS503に戻り、同様の処理を実行する。
When it is determined that the processing has not been completed for all business systems, the
具体的には、影響分析プログラム124を実行するCPU113は、業務システム構築プログラム122を起動する。
Specifically, the
全ての業務システムについて処理が完了したと判定された場合、インシデント再現装置110は、インシデント再現結果を提示し(ステップS507)、その後、処理を終了する。
When it is determined that the processing has been completed for all business systems, the
具体的には、影響分析プログラム124を実行するCPU113は、提示プログラム126を起動する。提示プログラム126を実行するCPU113は、インシデント再現結果を提示するための情報(表示情報及び音声情報等)を生成し、出力する。表示情報に基づいて表示される画面については図7を用いて説明する。
Specifically, the
図6は、実施例1のインシデント再現装置110が実行するインシデント再現処理の一例を説明するフローチャートである。
FIG. 6 is a flowchart illustrating an example of incident reproduction processing executed by the
インシデント再現装置110は、構築された評価業務システム141上で、受信したインシデントデータに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS601)。具体的には、以下のような処理が実行される。
The
インシデント再現プログラム123を実行するCPU113は、インシデントデータに基づいて、評価業務システム141上でインシデントを再現する。例えば、脅威204に対応するプログラム(マルウェア)を実行し、又は、脅威204に対する行為(サイトへのアクセス)を実行する。インシデント再現プログラム123を実行するCPU113は、影響分析プログラム124を起動する。
The
影響分析プログラム124を実行するCPU113は、インシデントが再現された評価業務システム141の挙動を監視し、ステップS503において選択されたエントリの判定基準305に設定された判定基準を満たすか否かを判定する。このとき、CPU113は、予め設定されたポリシ、又は、受信したインシデントデータの検出方法205を用いて評価業務システム141の挙動を監視する。予め設定されたポリシに基づく評価業務システム141の挙動の監視には、稼働するプロセス、CPU113の使用率、データ改ざんの有無等を確認するためのプログラムを評価業務システム141にインストールし、利用してもよい。
The
以上がステップS601の処理の説明である。 The above is the description of the process of step S601.
次に、インシデント再現装置110は、再現されたインシデントによる評価業務システム141への影響があるか否かを判定する(ステップS602)。
Next, the
具体的には、影響分析プログラム124を実行するCPU113は、判定基準305に設定された判定基準を満たすか否かが判定される。判定基準305に設定された判定基準を満たす場合、CPU113は、再現されたインシデントによる評価業務システム141への影響があると判定する。
Specifically, the
再現されたインシデントによる評価業務システム141への影響がないと判定された場合、インシデント再現装置110は、インシデント再現結果管理情報133を更新し(ステップS603)、その後、インシデント再現処理を終了する。
When it is determined that the reproduced incident does not affect the evaluation business system 141, the
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「なし」を格納する。この場合、対策405及び適用後影響406は空欄となる。
Specifically, the
再現されたインシデントによる評価業務システム141への影響があると判定された場合、インシデント再現装置110は、対処のループ処理を開始する(ステップS604)。具体的には、以下のような処理が実行される。
When it is determined that the reproduced incident has an effect on the evaluation business system 141, the
影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。
The
対策適用プログラム125を実行するCPU113は、インシデントデータ管理情報131を参照し、受信したインシデントデータに対応するエントリを検索する。CPU113は、検索されたエントリの対処手段206に設定された対処の中から一つの対処を選択する。
The
以上がステップS604の処理の説明である。 The above is the description of the process of step S604.
次に、インシデント再現装置110は、選択された対処を対策として評価業務システム141に適用する(ステップS605)。
Next, the
具体的には、対策適用プログラム125を実行するCPU113は、選択された対処を対策として評価業務システム141に適用する。CPU113は、インシデント再現プログラム123を起動する。
Specifically, the
次に、インシデント再現装置110は、対策が適用された評価業務システム141上で、受信したインシデントデータに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS606)。ステップS606の処理はステップS601の処理と同一である。
Next, the
次に、インシデント再現装置110は、インシデント再現結果管理情報133を更新する(ステップS607)。
Next, the
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、また、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「あり」を格納する。CPU113は、追加されたエントリの対策405にステップS604で選択された対処を示す情報を格納し、適用後影響406に分析結果を格納する。分析結果は「あり」又は「なし」のいずれかである。
Specifically, the
次に、インシデント再現装置110は、全ての対処について処理が完了したか否かを判定する(ステップS608)。
Next, the
全ての対処について処理が完了していないと判定された場合、インシデント再現装置110は、ステップS604に戻り、同様の処理を実行する。
When it is determined that the processing has not been completed for all the measures, the
具体的には、影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。
Specifically, the
全ての対処について処理が完了したと判定された場合、インシデント再現装置110は、インシデント再現処理を終了する。
When it is determined that the processing has been completed for all the measures, the
複数の対処を検証することにより、適用しやすい対策又はコストの低い対策の抽出等、適用可能な対策の選択の幅を広げることができる。 By verifying a plurality of measures, it is possible to broaden the range of selection of applicable measures, such as extraction of easily applicable measures or low cost measures.
図7は、実施例1のインシデント再現結果を表示する表示画面の一例を示す図である。 FIG. 7 is a diagram illustrating an example of a display screen that displays the incident reproduction result of the first embodiment.
表示画面700は、例えば、入出力装置116に表示される画面であり、パス欄701、インシデント情報欄702、対策欄703、及びインシデント再現結果欄704を含む。なお、図7に示す表示画面700は一例であり、これに限定されない。図示しない欄を含んでもよいし、また、いずれかの欄を含まなくてもよい。
The
パス欄701は、インシデント再現結果管理情報133が格納されるパスを表示する欄である。
The
インシデント情報欄702は、他組織で発生したインシデントに関する情報を表示する欄である。インシデント情報欄702には、受信したインシデントデータに含まれる情報が表示される。例えば、インシデント情報欄702には、インシデントが発生した日時、インシデントが発生した組織、特定された脅威等が表示される。
The
対策欄703は、業務システム毎に推奨される対策を表示する欄である。対策欄703には、影響404が「あり」かつ適用後影響406が「なし」であるエントリの対策405が表示される。
The
なお、一つの業務システムについて、前述の条件を満たすエントリが複数存在する場合、全てのエントリの対策405を表示してもよいし、また、一部のエントリの対策405を表示してもよい。
When there are a plurality of entries that satisfy the above-mentioned conditions for one business system, the
なお、一つの業務システムについて、影響404が「あり」かつ適用後影響406が「あり」であるエントリしか存在しない場合、管理者に注意喚起を行うために、「不明」が表示される。
If there is only an entry with the influence 404 being “present” and the
インシデント再現結果欄704は、各業務システムのインシデントの再現結果を表示する欄である。
The incident
インシデント再現結果欄704には、インシデント再現結果管理情報133に設定された情報が表示される。
Information set in the incident reproduction
ここで、具体例を用いて、インシデント再現装置110が実行する処理について説明する。なお、説明の都合上、インシデントデータ管理情報131及びインシデント再現結果管理情報133にはエントリが存在しないものとする。また、業務システム管理情報132には、業務システムA及び業務システムBのエントリのみが存在するものとする。
Here, the processing executed by the
この例では、次のようなインシデントを想定する。組織Bのシステム100Bにおいて、2018/1/1の00:00:00にインシデントが発生した。組織BのSOCチームは、マルウェアAを脅威として特定し、マルウェアAに感染した端末がサイトAに通信し、またa.exeを生成することを特定した。これに対して、組織BのSOCチームは、感染端末に対して、サイトAの遮断及びパッチAの適用を対処として行った。 In this example, the following incident is assumed. In the system 100B of organization B, an incident occurred at 00:00:00 on 1/1/1/2018. The SOC team of organization B identifies malware A as a threat, terminals infected with malware A communicate with site A, and a. It was specified to generate exe. On the other hand, the SOC team of the organization B carried out the blocking of the site A and the application of the patch A to the infected terminal.
インシデント再現装置110は、上記のインシデントに関する情報を含むインシデントデータを受信する(ステップS501)。
The
ステップS502において、インシデントデータ受信プログラム121を実行するCPU113は、インシデントデータ管理情報131が空であるため、未知の脅威に起因するインシデントであると判定する。このとき、CPU113は、インシデントデータ管理情報131にエントリを追加し、追加されたエントリのID201に「1」を格納し、日時202に「2018/1/1 00:00:00」を格納し、組織203に「組織B」を格納し、脅威204に「マルウェアA」を格納し、検出方法205に「サイトAへの通信」及び「a.exeの生成」を格納し、対処手段206に「サイトA遮断」及び「パッチA適用」を格納する。
In step S502, the
業務システムA及び業務システムBのそれぞれについて、ステップS504及びステップS505の処理が実行される。 The processes of steps S504 and S505 are executed for each of the business system A and the business system B.
まず、業務システム構築プログラム122を実行するCPU113は、ID301が「1」のエントリを選択し(ステップS503)、評価環境140に業務システムAに対応する評価業務システムA141Aを構築する(ステップS504)。
First, the
インシデント再現プログラム123を実行するCPU113は、評価業務システムA141A上でマルウェアAを実行させる(ステップS601)。
The
影響分析プログラム124を実行するCPU113は、業務システム管理情報132から選択したエントリの判定基準305を取得し、業務アプリAの停止、データ改ざん、及びマルウェア感染の発生を監視する。マルウェア感染については、インシデントデータの検出方法205に基づいて監視が行われる。「サイトAへの通信」及び「a.exeの生成」の少なくともいずれか検出された場合、CPU113はマルウェアAの感染と判定する。
The
この例では、「サイトAへの通信」及び「a.exeの生成」のいずれもが検出されたものとする。すなわち、マルウェアAの感染が検出されたものとする。この場合、影響分析プログラム124を実行するCPU113は、再現されたインシデントによる評価業務システムA141Aへの影響があると判定し(ステップS602がYes)、対策適用プログラム125を起動する。
In this example, it is assumed that both "communication to site A" and "generation of a.exe" have been detected. That is, it is assumed that the infection of the malware A is detected. In this case, the
対策適用プログラム125を実行するCPU113は、対処手段206に格納される「サイトA遮断」及び「パッチA適用」のいずれかを選択する(ステップS604)。ここでは、「サイトA遮断」が選択されたものとする。
The
対策適用プログラム125を実行するCPU113は、「サイトA遮断」を実現するための設定及び変更等を評価業務システムA141Aに適用する(ステップS605)。例えば、評価業務システムA141A上でサイトAへの通信を遮断するように設定を変更し、又は、ネットワーク142にサイトAへの通信を遮断するためのFireWallを設置する。
The
インシデント再現プログラム123を実行するCPU113は、「サイトA遮断」の対策が適用された評価業務システムA141A上でマルウェアAを実行させる(ステップS606)。ここでは、a.exeの生成が検出されたものとする。
The
影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「1」を格納し、インシデントID402に「1」を格納し、業務システムID403に「1」を格納し、影響404に「あり」を格納し、対策405に「サイトA遮断」を格納し、適用後影響406に「あり」を設定する。
The
ステップS608では、未処理の対処が存在するため、影響分析プログラム124を実行するCPU113は、ステップS604に戻り、対策適用プログラム125を起動する。対策適用プログラム125を実行するCPU113は、「パッチA適用」を選択する。
In step S608, since there is an unprocessed countermeasure, the
対策適用プログラム125を実行するCPU113は、パッチAを評価業務システムA141Aに適用する(ステップS605)。
The
インシデント再現プログラム123を実行するCPU113は、「パッチA適用」の対策が適用された評価業務システムA141A上でマルウェアAを実行させる(ステップS606)。ここでは、業務アプリAの停止、データ改ざん、及びマルウェア感染のいずれも検出されなかったものとする。
The
影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「2」を格納し、インシデントID402に「1」を格納し、業務システムID403に「1」を格納し、影響404に「あり」を格納し、対策405に「パッチA適用」を格納し、適用後影響406に「なし」を設定する。
The
ステップS608では、全ての対処の処理が完了したため、インシデント再現装置110はインシデント再現処理を終了する。
In step S608, since all the handling processes have been completed, the
ステップS506において、未処理の業務システムが存在するため、影響分析プログラム124を実行するCPU113は、ステップS503に戻り、業務システム構築プログラム122を起動する。業務システム構築プログラム122を実行するCPU113は、ID301が「2」のエントリを選択し(ステップS503)、評価環境140に業務システムBに対応する評価業務システムB141Bを構築する(ステップS504)。
In step S506, since there is an unprocessed business system, the
インシデント再現プログラム123を実行するCPU113は、評価業務システムB141B上でマルウェアAを実行させる(ステップS601)。
The
影響分析プログラム124を実行するCPU113は、業務システム管理情報132から選択したエントリの判定基準305を取得し、業務アプリBの停止及びデータ漏洩の発生を監視する。
The
この例では、データ漏洩が検出されたものとする。この場合、影響分析プログラム124を実行するCPU113は、再現されたインシデントによる評価業務システムB141Bへの影響があると判定し(ステップS602がYes)、対策適用プログラム125を起動する。
In this example, it is assumed that data leakage has been detected. In this case, the
対策適用プログラム125を実行するCPU113は、対処手段206に格納される「サイトA遮断」及び「パッチA適用」のいずれかを選択する(ステップS604)。ここでは、「サイトA遮断」が選択されたものとする。
The
対策適用プログラム125を実行するCPU113は、「サイトA遮断」を実現するための設定及び変更等を評価業務システムB141Bに適用する(ステップS605)。例えば、評価業務システムB141B上でサイトAへの通信を遮断するように設定を変更し、又は、ネットワーク142にサイトAへの通信を遮断するためのFireWallを設置する。
The
インシデント再現プログラム123を実行するCPU113は、「サイトA遮断」の対策が適用された評価業務システムB141B上でマルウェアAを実行させる(ステップS606)。ここでは、データ漏洩が検出されたものとする。
The
影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「3」を格納し、インシデントID402に「1」を格納し、業務システムID403に「2」を格納し、影響404に「あり」を格納し、対策405に「サイトA遮断」を格納し、適用後影響406に「あり」を設定する。
The
ステップS608では、未処理の対処が存在するため、影響分析プログラム124を実行するCPU113は、ステップS604に戻り、対策適用プログラム125を起動する。対策適用プログラム125を実行するCPU113は、「パッチA適用」を選択する。
In step S608, since there is an unprocessed countermeasure, the
対策適用プログラム125を実行するCPU113は、パッチAを評価業務システムB141Bに適用する(ステップS605)。
The
インシデント再現プログラム123を実行するCPU113は、「パッチA適用」の対策が適用された評価業務システムB141B上でマルウェアAを実行させる(ステップS606)。ここでは、業務アプリBの停止が検出されたものとする。
The
影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「4」を格納し、インシデントID402に「1」を格納し、業務システムID403に「2」を格納し、影響404に「あり」を格納し、対策405に「パッチA適用」を格納し、適用後影響406に「あり」を設定する。
The
ステップS608では、全ての対処の処理が完了したため、インシデント再現装置110はインシデント再現処理を終了する。
In step S608, since all the handling processes have been completed, the
ステップS506において、全ての業務システムの処理が完了したため、影響分析プログラム124を実行するCPU113は、提示プログラム126を起動する。提示プログラム126を実行するCPU113は、インシデント再現結果を提示するための情報を生成し、出力する(ステップS507)。この結果、図7に示すような表示画面700がユーザに対して提示される。
In step S506, since the processing of all the business systems is completed, the
なお、実施例1は以下のような変形例も考えられる。 Note that the following modified examples of the first embodiment can be considered.
(変形例1)インシデント再現装置110は、業務システムの構成の変化に伴って業務システム管理情報132を更新した後、インシデントデータ管理情報131に格納されるインシデントデータを用いて処理を実行してもよい。これによって、最新の業務システムに対するインシデントの影響を分析できる。
(Modification 1) Even if the
(変形例2)インシデント再現装置110は、推薦された対策を業務システムに自動的に適用してもよい。例えば、ある業務システムに適用した対策により、インシデントの影響がないと判定された場合、インシデント再現装置110は、全て、又は、特定の業務システムに対して当該対策を自動的に適用する。これによって、迅速に対策を業務システムに適用できる。
(Modification 2) The
(変形例3)判定基準305に影響のレベルを追加する。例えば、影響が小、中、大の各々の判定基準を定義し、影響レベル及び対策と、分析結果とを提示する。これによって、対策の適用による影響が小さい場合に対策を適用する等、柔軟な対策の適用処理を実現できる。
(Modification 3) A level of influence is added to the
(変形例4)対策適用プログラム125を実行するCPU113は、受信したインシデントデータに含まれる対処とは異なる対処を選択してもよい。例えば、CPU113は、インシデントデータ管理情報131に格納されるインシデントデータに含まれる対処を選択してもよい。これによって、例えば、亜種のウィルスの出現等、対策が明らかになっていない脅威に対しても対策を講じることができる。
(Modification 4) The
(変形例5)業務システム構築プログラム122を実行するCPU113は、予め評価環境140に評価業務システム141を構築してもよい。これによって、インシデントの再現及び分析に要する時間を短縮できる。
(Modification 5) The
(変形例6)影響分析プログラム124を実行するCPU113は、業務システムに対するインシデントの影響がない対策が特定された場合に、ステップS604からステップS608までのループ処理を終了してよい。これによって、迅速に対策を適用できる。
(Modification 6) The
(変形例7)対策適用プログラム125を実行するCPU113は、複数の対処を組み合わせた対策を適用してもよい。これによって、適用しやすい対策又はコストの低い対策の抽出等、適用可能な対策の選択の幅を広げることができる。
(Modification 7) The
以上で説明したように、実施例1によれば、他の組織で発生したインシデントに関する情報を活用し、当該インシデントが自組織の業務システムに与える影響を分析できる。また、分析結果を用いて有効な対策を立案し、未然に同様のインシデントの発生を防止することができる。 As described above, according to the first embodiment, it is possible to analyze the influence of the incident on the business system of the own organization by utilizing the information about the incident that occurred in another organization. In addition, it is possible to prevent the occurrence of similar incidents by planning effective countermeasures using the analysis results.
実施例2では、インシデント再現装置110は未知の攻撃に起因するインシデントを再現する。実施例1では、他の組織で実際に発生したインシデントを業務システム上で再現し、その影響の分析が行われていた。しかし、攻撃手法は日々進化しており、未知の脅威に起因するインシデントの発生を未然に防ぐことが望ましい。
In the second embodiment, the
以下、実施例1との差異を中心に実施例2について説明する。 Hereinafter, the second embodiment will be described focusing on the differences from the first embodiment.
実施例2の計算機システムの構成は実施例1と同一である。実施例2では、インシデント再現装置110の構成が一部異なる。
The configuration of the computer system of the second embodiment is the same as that of the first embodiment. In the second embodiment, the configuration of the
図8は、実施例2のインシデント再現装置110の構成例を示す図である。
FIG. 8 is a diagram illustrating a configuration example of the
実施例2のインシデント再現装置110のハードウェア構成は実施例1と同一である。また、実施例2のメインメモリ114に格納されるプログラムも実施例1と同一である。
The hardware configuration of the
実施例2では、記憶装置115に格納される情報が一部異なる。具体的には、実施例2の記憶装置115は、インシデントデータ管理情報131、業務システム管理情報132、及びインシデント再現結果管理情報133に加えて、攻撃手法管理情報800を格納する。攻撃手法管理情報800のデータ構造の詳細は図9を用いて説明する。
In the second embodiment, the information stored in the
実施例2では、インシデントデータは、脅威として攻撃シナリオを含む。ここで、攻撃シナリオとは、特定の目的を達成するための攻撃手法群であり、複数の攻撃手法から構成されるシナリオである。 In the second embodiment, the incident data includes an attack scenario as a threat. Here, the attack scenario is a group of attack methods for achieving a specific purpose, and is a scenario composed of a plurality of attack methods.
例えば、標的型攻撃では、添付メール又は水飲み場攻撃等を用いて組織に侵入したマルウェアが、攻撃者が運用するC&C(Command&Control)サーバと通信することによって新たなマルウェア及び攻撃ツールをダウンロードし、組織内の偵察し、攻撃基盤の確立し、破壊及び情報窃取等の最終目的を達成する。 For example, in a targeted attack, malware that has invaded an organization using attached mail or a drinking fountain attack, etc. downloads new malware and attack tools by communicating with a C&C (Command & Control) server operated by the attacker. Scout inside, establish attack base, destroy and steal information and achieve the final purpose.
ここで、攻撃者が、OS調査プログラムAを用いてOSの調査を行い、マルウェアAを用いて組織に侵入し、認証窃取プログラムAを用いて認証情報の窃取を行い、リモート実行プログラムAを用いて感染を拡大し、情報窃取プログラムAを用いて情報を窃取する攻撃を想定する。この場合、攻撃シナリオは、「OS調査(OS調査プログラムA)、マルウェア実行(マルウェアA)、認証窃取(認証窃取プログラムA)、リモート実行(リモート実行プログラムA)、情報窃取(情報窃取プログラムA)」となる。攻撃手法の順番は実行順を表す。 Here, the attacker uses the OS investigation program A to investigate the OS, uses the malware A to invade the organization, uses the authentication theft program A to steal the authentication information, and uses the remote execution program A. Assume an attack that spreads the infection and steals information using the information stealing program A. In this case, the attack scenario is "OS investigation (OS investigation program A), malware execution (malware A), authentication theft (authentication theft program A), remote execution (remote execution program A), information theft (information theft program A). It will be. The order of attack methods represents the order of execution.
実施例2では、インシデントデータには、攻撃シナリオと共に、攻撃シナリオに対応する攻撃に使用する攻撃コード(OS調査プログラムA、マルウェアA、認証窃取プログラムA、リモート実行プログラムA、情報窃取プログラムA等)も含まれるものとする。 In the second embodiment, the incident data is included in the incident data and the attack code used for the attack corresponding to the attack scenario (OS investigation program A, malware A, authentication stealing program A, remote execution program A, information stealing program A, etc.). Shall also be included.
図9は、実施例2の攻撃手法管理情報800のデータ構造の一例を示す図である。
FIG. 9 is a diagram illustrating an example of the data structure of the attack
攻撃手法管理情報800は、ID901、攻撃分類902、攻撃手法903、前提条件904、及び攻撃コード905から構成されるエントリを含む。一つのエントリが一つの攻撃手法に対応する。
The attack
ID901は、攻撃手法(エントリ)を一意に識別するための識別情報を格納するフィールドである。
The
攻撃分類902は、攻撃手法の大まかな分類を示す情報を格納するフィールドである。
The
攻撃手法903は、攻撃手法を示す情報を格納するフィールドである。
The
前提条件904は、攻撃手法903に対応する攻撃手法を実行するための前提条件を示す情報を格納するフィールドである。
The
攻撃コード905は、攻撃手法903に対応する攻撃手法を実現するための攻撃コードを格納するフィールドである。
The
ID901が「1」に対応する攻撃手法は、OS調査プログラムAを用いて、OSの調査を目的とした偵察行動を行うことを表す。
The attack method in which the
実施例2では、攻撃手法管理情報800は予め設定されているものとする。なお、管理者等が必要に応じて、攻撃手法管理情報800のエントリの追加、削除、及び更新を行ってもよい。
In the second embodiment, the attack
攻撃手法管理情報800は、インシデントを再現する場合に用いられる。
The attack
図10は、実施例2のインシデント再現装置110が実行する処理の一例を説明するフローチャートである。
FIG. 10 is a flowchart illustrating an example of processing executed by the
インシデント再現装置110は、インタフェース112Aを介して、インシデントデータを受信した場合(ステップS1001)、業務システムのループ処理を開始する(ステップS1002)。
When the
具体的には、インシデントデータ受信プログラム121を実行するCPU113は、インシデントデータ管理情報131に受信したインシデントデータを登録し、業務システム構築プログラム122を起動する。業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132に格納されるエントリから一つのエントリを選択する。以下では、選択されたエントリに対応する業務システムをターゲット業務システムと記載する。
Specifically, the
次に、インシデント再現装置110は、ターゲット業務システムに対応する評価業務システム141を構築する(ステップS1003)。
Next, the
具体的には、業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132から選択されたエントリのOS303及びアプリケーション304に基づいて、評価環境140に評価業務システム141を構築する。その後、CPU113は、インシデント再現プログラム123を起動する。
Specifically, the
次に、インシデント再現装置110は、構築された評価業務システム141に対してインシデント再現処理を実行する(ステップS1004)。インシデント再現処理の詳細は図11を用いて説明する。
Next, the
次に、インシデント再現装置110は、全ての業務システムについて処理が完了したか否かを判定する(ステップS1005)。
Next, the
全ての業務システムについて処理が完了していないと判定された場合、インシデント再現装置110は、ステップS1002に戻り、同様の処理を実行する。
If it is determined that the processing has not been completed for all business systems, the
具体的には、影響分析プログラム124を実行するCPU113は、業務システム構築プログラム122を起動する。
Specifically, the
全ての業務システムについて処理が完了したと判定された場合、インシデント再現装置110は、インシデント再現結果を提示し(ステップS1006)、その後、処理を終了する。
When it is determined that the processing has been completed for all business systems, the
具体的には、影響分析プログラム124を実行するCPU113は、提示プログラム126を起動する。提示プログラム126を実行するCPU113は、インシデント再現結果を提示するための情報を生成し、出力する。
Specifically, the
図11は、実施例2のインシデント再現装置110が実行するインシデント再現処理の一例を説明するフローチャートである。
FIG. 11 is a flowchart illustrating an example of incident reproduction processing executed by the
インシデント再現装置110は、攻撃シナリオのループを開始する(ステップS1101)。具体的には、以下のような処理が実行される。
The
インシデント再現プログラム123を実行するCPU113は、攻撃手法管理情報800を参照し、インシデントデータに含まれる攻撃シナリオを構成する攻撃手法を変更することによって、新たな攻撃シナリオ(検証用攻撃シナリオ)を生成する。
The
インシデント再現プログラム123を実行するCPU113は、生成された攻撃シナリオの中から一つの攻撃シナリオを選択する。
The
例えば、インシデントデータに含まれる攻撃シナリオが「OS調査(OS調査プログラムA)、マルウェア実行(マルウェアA)、認証窃取(認証窃取プログラムA)、リモート実行(リモート実行プログラムA)、情報窃取(情報窃取プログラムA)」である場合、以下のような処理が実行される。 For example, the attack scenario included in the incident data is “OS investigation (OS investigation program A), malware execution (malware A), authentication theft (authentication theft program A), remote execution (remote execution program A), information theft (information theft). In the case of the program A)”, the following processing is executed.
「OS調査(OS調査プログラムA)」を変更対象の攻撃手法として選択した場合、インシデント再現プログラム123を実行するCPU113は、攻撃分類902が「偵察」であるエントリを検索する。CPU113は、攻撃シナリオの「OS調査(OS調査プログラムA)」を、「脆弱性調査(脆弱性調査プログラムA)」に置き換えた攻撃シナリオと、「脆弱性調査(脆弱性調査プログラムB)」に置き換えた攻撃シナリオとを生成する。
When “OS investigation (OS investigation program A)” is selected as the attack method to be changed, the
「マルウェア実行(マルウェアA)」を変更対象の攻撃手法として選択した場合、インシデント再現プログラム123を実行するCPU113は、攻撃分類902が「初期侵入」であるエントリを検索する。CPU113は、攻撃シナリオの「マルウェア実行(マルウェアA)」を、「マルウェア実行(マルウェアB)」に置き換えた攻撃シナリオと、「脆弱性利用(エクスプロイトA)」に置き換えた攻撃シナリオとを生成する。
When “malware execution (malware A)” is selected as the attack method to be changed, the
同様の処理を実行することによって、複数の攻撃シナリオが生成される。なお、前提条件904が設定されている場合には、前提条件を満たす場合に攻撃手法が置き換えられる。
By executing the same processing, a plurality of attack scenarios are generated. When the
なお、受信したインシデントデータに含まれる攻撃シナリオも検証用攻撃シナリオとして出力されてもよい。以上がステップS1101の処理の説明である。 The attack scenario included in the received incident data may also be output as the verification attack scenario. The above is the description of the process of step S1101.
次に、インシデント再現装置110は、構築された評価業務システム141上で、選択された攻撃シナリオに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS1102)。具体的には、以下のような処理が実行される。
Next, the
インシデント再現プログラム123を実行するCPU113は、選択された攻撃シナリオに基づいて、評価業務システム141上でインシデントを再現する。インシデント再現プログラム123を実行するCPU113は、影響分析プログラム124を起動する。
The
影響分析プログラム124を実行するCPU113は、インシデントが再現された評価業務システム141の挙動を監視し、ステップS1002において選択されたエントリの判定基準305に設定された判定基準を満たすか否かを判定する。このとき、CPU113は、予め設定されたポリシ、又は、受信したインシデントデータの検出方法205を用いて評価業務システム141の挙動を監視する。予め設定されたポリシに基づく評価業務システム141の挙動の監視には、稼働するプロセス、CPU113の使用率、データ改ざんの有無等を確認するためのプログラムを利用してもよい。
The
以上がステップS1102の処理の説明である。 The above is the description of the process of step S1102.
次に、インシデント再現装置110は、再現されたインシデントによる評価業務システム141への影響があるか否かを判定する(ステップS1103)。
Next, the
具体的には、影響分析プログラム124を実行するCPU113は、判定基準305に設定された判定基準を満たすか否かが判定される。判定基準305に設定された判定基準を満たす場合、CPU113は、再現されたインシデントによる評価業務システム141への影響があると判定する。
Specifically, the
再現されたインシデントによる評価業務システム141への影響がないと判定された場合、インシデント再現装置110は、インシデント再現結果管理情報133を更新し(ステップS1104)、その後、インシデント再現処理を終了する。
When it is determined that the reproduced incident does not affect the evaluation business system 141, the
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「なし」を格納する。この場合、対策405及び適用後影響406は空欄となる。
Specifically, the
再現されたインシデントによる評価業務システム141への影響があると判定された場合、インシデント再現装置110は、対処のループ処理を開始する(ステップS1105)。具体的には、以下のような処理が実行される。
When it is determined that the reproduced incident has an influence on the evaluation business system 141, the
影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。
The
対策適用プログラム125を実行するCPU113は、インシデントデータ管理情報131を参照し、受信したインシデントデータに対応するエントリを検索する。CPU113は、検索されたエントリの対処手段206に設定された対処の中から一つの対処を選択する。
The
以上がステップS1105の処理の説明である。 The above is the description of the process of step S1105.
次に、インシデント再現装置110は、選択された対処を対策として評価業務システム141に適用する(ステップS1106)。
Next, the
具体的には、対策適用プログラム125を実行するCPU113は、選択された対処を対策として評価業務システム141に適用する。CPU113は、インシデント再現プログラム123を起動する。
Specifically, the
次に、インシデント再現装置110は、対策が適用された評価業務システム141上で、受信したインシデントデータに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS1107)。ステップS1107の処理はステップS1102の処理と同一である。
Next, the
次に、インシデント再現装置110は、インシデント再現結果管理情報133を更新する(ステップS1108)。
Next, the
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、また、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「あり」を格納する。CPU113は、追加されたエントリの対策405にステップS604で選択された対処を示す情報を格納し、適用後影響406に分析結果を格納する。分析結果は「あり」又は「なし」のいずれかである。
Specifically, the
次に、インシデント再現装置110は、全ての対処について処理が完了したか否かを判定する(ステップS1109)。
Next, the
全ての対処について処理が完了していないと判定された場合、インシデント再現装置110は、ステップS1105に戻り、同様の処理を実行する。
When it is determined that the processing has not been completed for all the measures, the
具体的には、影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。
Specifically, the
全ての対処について処理が完了したと判定された場合、インシデント再現装置110は、全ての攻撃シナリオについて処理が完了したか否かを判定する(ステップS1110)。
When it is determined that the processing has been completed for all measures, the
全ての攻撃シナリオについて処理が完了していないと判定された場合、インシデント再現装置110は、ステップS1101に戻り、同様の処理を実行する。
When it is determined that the processing has not been completed for all attack scenarios, the
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現プログラム123を起動する。インシデント再現プログラム123を実行するCPU113は、生成された攻撃シナリオの中から未処理の攻撃シナリオを選択する。
Specifically, the
全ての攻撃シナリオについて処理が完了したと判定された場合、インシデント再現装置110はインシデント再現処理を終了する。
When it is determined that the processing has been completed for all attack scenarios, the
なお、実施例2は以下のような変形例も考えられる。 It should be noted that the following modified examples of the second embodiment can be considered.
(変形例1)インシデント再現装置110は、インターネット等で公開された攻撃コードを収集し、攻撃手法管理情報800を生成又は更新してもよい。これによって、最新の攻撃手法を含む攻撃シナリオを生成できる。
(Modification 1) The
(変形例2)インシデント再現装置110は、インシデントデータに含まれる攻撃シナリオから新たな攻撃シナリオを生成する代わりに、インターネット等で公開された攻撃シナリオを用いる。これによって、多様な攻撃シナリオに起因するインシデントを再現することができ、適用可能な対策の選択の幅を広げることができる。
(Modification 2) The
以上で説明したように、実施例2によれば、いずれの組織でも発生していない攻撃シナリオに起因するインシデントを再現し、その影響を分析できる。これによって、今後発生する可能性がある攻撃に対する対策を講じることができる。 As described above, according to the second embodiment, it is possible to reproduce an incident caused by an attack scenario that has not occurred in any organization and analyze its influence. This makes it possible to take measures against attacks that may occur in the future.
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。 It should be noted that the present invention is not limited to the above-described embodiments, but includes various modifications. In addition, for example, the above-described embodiment is a detailed description of the configuration in order to explain the present invention in an easy-to-understand manner, and is not necessarily limited to one having all the configurations described. Moreover, a part of the configuration of each embodiment can be added, deleted, or replaced with another configuration.
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるプロセッサが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、SSD(Solid State Drive)、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。 Further, each of the above-described configurations, functions, processing units, processing means, etc. may be realized in hardware by designing a part or all of them with, for example, an integrated circuit. The present invention can also be realized by a program code of software that realizes the functions of the embodiments. In this case, a storage medium recording the program code is provided to the computer, and the processor included in the computer reads the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the function of the above-described embodiment, and the program code itself and the storage medium storing the program code constitute the present invention. As a storage medium for supplying such a program code, for example, a flexible disk, a CD-ROM, a DVD-ROM, a hard disk, an SSD (Solid State Drive), an optical disk, a magneto-optical disk, a CD-R, a magnetic tape, A non-volatile memory card, ROM or the like is used.
また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Python、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。 The program code that implements the functions described in this embodiment can be implemented in a wide range of programs or script languages such as assembler, C/C++, perl, Shell, PHP, Python, and Java (registered trademark).
さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納し、コンピュータが備えるプロセッサが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。 Furthermore, by distributing the program code of the software that realizes the functions of the embodiments via a network, the program code is stored in a storage means such as a hard disk or a memory of a computer or a storage medium such as a CD-RW or a CD-R. Alternatively, the processor included in the computer may read and execute the program code stored in the storage unit or the storage medium.
上述の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。 In the above-mentioned embodiments, the control lines and information lines are shown to be necessary for explanation, and not all the control lines and information lines in the product are necessarily shown. All configurations may be connected to each other.
100 システム
101、142 ネットワーク
110 インシデント再現装置
112 インタフェース
113 CPU
114 メインメモリ
115 記憶装置
116 入出力装置
117 通信路
121 インシデントデータ受信プログラム
122 業務システム構築プログラム
123 インシデント再現プログラム
124 影響分析プログラム
125 対策適用プログラム
126 提示プログラム
131 インシデントデータ管理情報
132 業務システム管理情報
133 インシデント再現結果管理情報
140 評価環境
141 評価業務システム
150 本番環境
700 表示画面
800 攻撃手法管理情報
100
114
Claims (12)
前記複数の計算機の各々は、プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有し、
前記計算機システムは、
業務を実行する複数の業務システムと接続し、
第1の業務システムにおいて発生したインシデントに関する情報を含むインシデントデータを取得し、
前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築し、
前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析し、
前記分析の結果を出力することを特徴とする計算機システム。 A computer system comprising a plurality of computers,
Each of the plurality of computers has a processor, a storage device connected to the processor, and an interface connected to the processor,
The computer system is
Connect to multiple business systems that perform business,
Acquire incident data including information on incidents that occurred in the first business system,
Constructing an evaluation business system which is a business system connected to the computer system and which simulates a business system different from the first business system;
Based on the incident data, reproduce the incident that occurred in the first business system on the evaluation business system, analyze the impact of the evaluation business system by the incident,
A computer system which outputs the result of the analysis.
前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定された場合、前記評価業務システムに対して当該インシデントによる影響を防止するための対策を適用し、
前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析することを特徴とする計算機システム。 The computer system according to claim 1, wherein
If it is determined that an incident that has occurred in the first business system has an effect on the evaluation business system, apply measures to prevent the effect of the incident on the evaluation business system,
A computer system, which reproduces an incident that has occurred in the first business system on an evaluation business system to which the countermeasure is applied, and analyzes the influence of the incident on the evaluation business system.
前記インシデントデータは、前記第1の業務システムにおける影響の検出方法に関する情報及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含み、
前記計算機システムは、
前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を管理し、
前記業務システム管理情報に基づいて、前記評価業務システムを構築し、
前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定し、
前記評価業務システムの判定基準を満たすと判定された場合、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、
前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用することを特徴とする計算機システム。 The computer system according to claim 2, wherein
The incident data includes information about a method of detecting an influence in the first business system and information about a countermeasure taken to eliminate the influence in the first business system,
The computer system is
Managing the business system management information defining the judgment criteria for judging the configuration and influence of each of the plurality of business systems,
Based on the business system management information, build the evaluation business system,
Based on the influence detection method in the first business system, it is determined whether or not the determination criterion of the evaluation business system is satisfied,
When it is determined that the evaluation criteria of the evaluation business system is satisfied, it is determined that an incident occurring in the first business system has an effect on the evaluation business system,
A computer system, wherein a measure corresponding to a measure taken to eliminate the influence of the first business system is applied to the evaluation business system.
前記インシデントデータは、前記第1の業務システムに対する複数の攻撃の組み合わせとして定義された攻撃シナリオを含み、
前記計算機システムは、
前記攻撃シナリオを構成する前記複数の攻撃の少なくとも一つを変更することによって、検証用攻撃シナリオを生成し、
前記検証用攻撃シナリオに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現することを特徴とする計算機システム。 The computer system according to claim 1, wherein
The incident data includes an attack scenario defined as a combination of a plurality of attacks on the first business system,
The computer system is
A verification attack scenario is generated by changing at least one of the plurality of attacks constituting the attack scenario,
A computer system characterized by reproducing an incident generated in the first business system on the evaluation business system based on the verification attack scenario.
前記計算機システムは、
プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有する複数の計算機を含み、
業務を実行する複数の業務システムと接続し、
前記分析方法は、
少なくとも一つの計算機が、第1の業務システムにおいて発生したインシデントに関する情報を含むインシデントデータを取得する第1のステップと、
前記少なくとも一つの計算機が、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する第2のステップと、
前記少なくとも一つの計算機が、前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第3のステップと、
前記少なくとも一つの計算機が、前記分析の結果を出力する第4のステップと、を含むことを特徴とする分析方法。 A method for analyzing the impact of an incident executed by a computer system on a business system,
The computer system is
A plurality of computers having a processor, a storage device connected to the processor, and an interface connected to the processor;
Connect to multiple business systems that perform business,
The analysis method is
A first step in which at least one computer obtains incident data including information about an incident that has occurred in the first business system;
A second step of constructing an evaluation business system in which the at least one computer is a business system connected to the computer system and which simulates a business system different from the first business system;
A third step in which the at least one computer reproduces an incident that has occurred in the first business system on the evaluation business system based on the incident data, and analyzes the influence of the incident on the evaluation business system. When,
The at least one computer further comprises a fourth step of outputting the result of the analysis.
前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定された場合、前記少なくとも一つの計算機が、前記評価業務システムに対して当該インシデントによる影響を防止するための対策を適用する第5のステップと、
前記少なくとも一つの計算機が、前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第6のステップと、を含むことを特徴とする分析方法。 The analysis method according to claim 5, wherein
When it is determined that the incident that has occurred in the first business system has an effect on the evaluation business system, the at least one computer prevents the evaluation business system from being affected by the incident. A fifth step of applying
A sixth step in which the at least one computer reproduces an incident that has occurred in the first business system on the evaluation business system to which the countermeasure is applied, and analyzes the influence of the incident on the evaluation business system; An analysis method comprising:
前記インシデントデータは、前記第1の業務システムにおける影響の検出方法に関する情報及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含み、
前記計算機システムは、前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を管理し、
前記第2のステップは、前記少なくとも一つの計算機が、前記業務システム管理情報に基づいて、前記評価業務システムを構築するステップを含み、
前記第3のステップ及び前記第6のステップは、
前記少なくとも一つの計算機が、前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定するステップと、
前記少なくとも一つの計算機が、前記評価業務システムの判定基準を満たすと判定された場合、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定するステップと、を含み、
前記第5のステップは、前記少なくとも一つの計算機が、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用するステップを含むことことを特徴とする分析方法。 The analysis method according to claim 6, wherein
The incident data includes information about a method of detecting an influence in the first business system and information about a countermeasure taken to eliminate the influence in the first business system,
The computer system manages business system management information that defines a determination criterion for determining the configuration and influence of each of the plurality of business systems,
The second step includes a step in which the at least one computer constructs the evaluation business system based on the business system management information,
The third step and the sixth step are
A step of determining whether or not the at least one computer satisfies the determination criterion of the evaluation business system based on a method of detecting an influence in the first business system;
When the at least one computer is determined to meet the evaluation criteria of the evaluation business system, it is determined that an incident occurring in the first business system has an effect on the evaluation business system. ,
The fifth step includes a step in which the at least one computer applies, to the evaluation business system, a measure corresponding to a countermeasure taken to eliminate an influence in the first business system. An analysis method characterized by the above.
前記インシデントデータは、前記第1の業務システムに対する複数の攻撃の組み合わせとして定義された攻撃シナリオを含み、
前記第3のステップは、
前記少なくとも一つの計算機が、前記攻撃シナリオを構成する前記複数の攻撃の少なくとも一つを変更することによって、検証用攻撃シナリオを生成するステップと、
前記少なくとも一つの計算機が、前記検証用攻撃シナリオに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現するステップと、を含むことを特徴とする分析方法。 The analysis method according to claim 5, wherein
The incident data includes an attack scenario defined as a combination of a plurality of attacks on the first business system,
The third step is
The at least one computer generates a verification attack scenario by changing at least one of the plurality of attacks constituting the attack scenario;
The at least one computer reproduces an incident that has occurred in the first business system on the evaluation business system based on the verification attack scenario.
業務を実行する複数の業務システムと接続し、
第1の業務システムにおいて発生したインシデントに関する情報を含むインシデントデータを取得する受信部と、
前記分析装置と接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する構築部と、
前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する分析部と、
前記分析の結果を出力する提示部と、を備えることを特徴とする分析装置。 An analysis device having a processor, a storage device connected to the processor, and an interface connected to the processor,
Connect to multiple business systems that perform business,
A reception unit that acquires incident data including information about an incident that has occurred in the first business system;
A construction unit that constructs an evaluation business system that is a business system connected to the analysis device and that simulates a business system different from the first business system,
An analysis unit that reproduces an incident that has occurred in the first business system on the evaluation business system based on the incident data, and analyzes the influence of the incident on the evaluation business system;
An analysis device, comprising: a presentation unit that outputs a result of the analysis.
前記分析部によって、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定された場合、前記評価業務システムに対して当該インシデントによる影響を防止するための対策を適用する対策適用部を含み、
前記分析部は、前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析することを特徴とする分析装置。 The analysis device according to claim 9, wherein
When the analysis unit determines that an incident that has occurred in the first business system has an influence on the evaluation business system, a measure for preventing the influence of the incident on the evaluation business system is applied. Including a countermeasure application section
The analysis apparatus, wherein the analysis unit reproduces an incident that has occurred in the first business system on the evaluation business system to which the countermeasure is applied, and analyzes the influence of the incident on the evaluation business system.
前記インシデントデータは、前記第1の業務システムにおける影響の検出方法に関する情報及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含み、
前記分析装置は、前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を保持し、
前記構築部は、前記業務システム管理情報に基づいて、前記評価業務システムを構築し、
前記分析部は、
前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定し、
前記評価業務システムの判定基準を満たすと判定された場合、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、
前記対策適用部は、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用することを特徴とする分析装置。 The analysis device according to claim 10, wherein
The incident data includes information about a method of detecting an influence in the first business system and information about a countermeasure taken to eliminate the influence in the first business system,
The analysis device holds business system management information that defines a determination criterion for determining the configuration and influence of each of the plurality of business systems,
The construction unit constructs the evaluation business system based on the business system management information,
The analysis unit is
Based on the influence detection method in the first business system, it is determined whether or not the determination criterion of the evaluation business system is satisfied,
When it is determined that the evaluation criteria of the evaluation business system is satisfied, it is determined that an incident occurring in the first business system has an effect on the evaluation business system,
The analysis apparatus, wherein the measure application unit applies a measure corresponding to a countermeasure taken to eliminate the influence in the first business system to the evaluation business system.
前記インシデントデータは、前記第1の業務システムに対する複数の攻撃の組み合わせとして定義された攻撃シナリオを含み、
前記分析部は、
前記攻撃シナリオを構成する前記複数の攻撃の少なくとも一つを変更することによって、検証用攻撃シナリオを生成し、
前記検証用攻撃シナリオに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現することを特徴とする分析装置。 The analysis device according to claim 9, wherein
The incident data includes an attack scenario defined as a combination of a plurality of attacks on the first business system,
The analysis unit is
A verification attack scenario is generated by changing at least one of the plurality of attacks constituting the attack scenario,
An analyzer that reproduces an incident that has occurred in the first business system on the evaluation business system based on the verification attack scenario.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019020335A JP7078562B2 (en) | 2019-02-07 | 2019-02-07 | Computer system, analysis method of impact of incident on business system, and analysis equipment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019020335A JP7078562B2 (en) | 2019-02-07 | 2019-02-07 | Computer system, analysis method of impact of incident on business system, and analysis equipment |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020129166A true JP2020129166A (en) | 2020-08-27 |
JP7078562B2 JP7078562B2 (en) | 2022-05-31 |
Family
ID=72174593
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019020335A Active JP7078562B2 (en) | 2019-02-07 | 2019-02-07 | Computer system, analysis method of impact of incident on business system, and analysis equipment |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7078562B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022085150A1 (en) * | 2020-10-22 | 2022-04-28 | 日本電気株式会社 | Attack scenario generation device, risk analysis device, method, and computer-readable medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3404032B1 (en) * | 2002-04-09 | 2003-05-06 | さくら情報システム株式会社 | Computer virus countermeasure system and computer virus countermeasure method |
JP2016099857A (en) * | 2014-11-25 | 2016-05-30 | 株式会社日立システムズ | Fraudulent program handling system and fraudulent program handling method |
JP2018045327A (en) * | 2016-09-12 | 2018-03-22 | 株式会社日立アドバンストシステムズ | Security device |
-
2019
- 2019-02-07 JP JP2019020335A patent/JP7078562B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3404032B1 (en) * | 2002-04-09 | 2003-05-06 | さくら情報システム株式会社 | Computer virus countermeasure system and computer virus countermeasure method |
JP2016099857A (en) * | 2014-11-25 | 2016-05-30 | 株式会社日立システムズ | Fraudulent program handling system and fraudulent program handling method |
JP2018045327A (en) * | 2016-09-12 | 2018-03-22 | 株式会社日立アドバンストシステムズ | Security device |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022085150A1 (en) * | 2020-10-22 | 2022-04-28 | 日本電気株式会社 | Attack scenario generation device, risk analysis device, method, and computer-readable medium |
Also Published As
Publication number | Publication date |
---|---|
JP7078562B2 (en) | 2022-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6680840B2 (en) | Automatic detection of fraudulent digital certificates | |
US10834108B2 (en) | Data protection in a networked computing environment | |
US20200153852A1 (en) | Locally Detecting Phishing Weakness | |
US11831785B2 (en) | Systems and methods for digital certificate security | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US20170026401A1 (en) | System and method for threat visualization and risk correlation of connected software applications | |
US11856015B2 (en) | Anomalous action security assessor | |
Fagan et al. | IoT device cybersecurity capability core baseline | |
US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US20180034780A1 (en) | Generation of asset data used in creating testing events | |
US20210092162A1 (en) | System and method for the secure evaluation of cyber detection products | |
CN103065091A (en) | Extension of system restoration by using malware detection | |
JP5413010B2 (en) | Analysis apparatus, analysis method, and program | |
JPWO2015121923A1 (en) | Log analysis device, unauthorized access audit system, log analysis program, and log analysis method | |
JP7078562B2 (en) | Computer system, analysis method of impact of incident on business system, and analysis equipment | |
JP7384208B2 (en) | Security risk analysis support device, method, and program | |
US11295031B2 (en) | Event log tamper resistance | |
US20210218763A1 (en) | Correlation-based network security | |
WO2022047415A1 (en) | System and method for secure evaluation of cyber detection products | |
US20200389471A1 (en) | Attack signature generation | |
Algamdi | An assessment of Cloud models against security vulnerabilities using a semi-automated vulnerability test model | |
Burchett | Quantifying Computer Network Security | |
Steele | Ontological lockdown assessment: a thesis presented in partial fulfilment of the requirements for the degree of Master of Science in Information Technology at Massey University, Palmerston North, New Zealand |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210302 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211221 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211222 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220216 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220517 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220519 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7078562 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |