JP2021527879A - 情報収集システム、情報収集方法、及びプログラム - Google Patents

情報収集システム、情報収集方法、及びプログラム Download PDF

Info

Publication number
JP2021527879A
JP2021527879A JP2020569209A JP2020569209A JP2021527879A JP 2021527879 A JP2021527879 A JP 2021527879A JP 2020569209 A JP2020569209 A JP 2020569209A JP 2020569209 A JP2020569209 A JP 2020569209A JP 2021527879 A JP2021527879 A JP 2021527879A
Authority
JP
Japan
Prior art keywords
scan
information
permission list
permission
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020569209A
Other languages
English (en)
Other versions
JP7039810B2 (ja
Inventor
祥之 山田
真樹 井ノ口
太田 和伸
ユバル・エロビッチ
アサフ・シャブタイ
ロン・ビットン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JP2021527879A publication Critical patent/JP2021527879A/ja
Application granted granted Critical
Publication of JP7039810B2 publication Critical patent/JP7039810B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/695Types of network addresses using masks or ranges of addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

情報収集システムは、サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するサイドチャネル情報処理部と、前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成する許可リスト生成部と、前記許可リストを記憶する許可リスト記憶部と、を備える。前記対象マシンのアクティブスキャンは、前記許可リスト記憶部に記憶された前記許可リストを参照することにより実行されて、前記対象マシンの資産情報を収集する。

Description

本発明は、情報収集システム、情報収集方法、及び情報収集プログラムに関する。
情報処理システム及び情報処理システムを構成する各装置のセキュリティを向上させることを目的として、セキュリティ評価が行われている。セキュリティ評価では、情報処理システムの各装置を構成するハードウェアやソフトウェアなどの資産情報を取得する必要がある。資産情報を取得するためには、情報を収集する装置が各装置にアクセスする必要がある。関連技術として、特許文献1には、ネットワークを構成する監視対象の動作状態に関するデータを収集する技術が開示されている。
情報処理システム及び情報処理システムを構成する各装置のセキュリティ評価において、上記のように資産情報を取得する場合、評価対象装置の処理負荷や担当者の労働負担が懸念される。
本発明の例示的な目的は、上述した課題を解決することができる情報収集システム、情報収集方法、及び情報収集プログラムを提供することにある。
特開平11−122245号公報
多くの制御システムは汎用PCをインストールしているため、ITシステムと同じアプローチを制御システムに適用して、スキャンツールを使用して資産情報を収集することができる。アクティブスキャンツールはまた、資産情報を収集する方法の一態様として機能することができる。しかしながら、上述したアクティブスキャンは、対象マシンの挙動に影響を与える可能性がある。制御システムでは、安定性への影響、すなわち、制御システム全体の可用性に関する懸念のため、網羅的なアクティブスキャンを行うことができない。制御システムは重要なインフラストラクチャに組み込まれているため、システムの可用性、すなわち、停止することのない安定的な動作を維持することを最優先とする。
同時に、対象システムの状態は時間とともに変化するため、セキュリティ対策の品質を維持するためには、セキュリティ評価を継続的に実施する必要がある。したがって、資産情報を継続的に収集することも重要である。継続的なスキャンを実現するために、典型的には周期的なポーリング動作に基づいて、一定の時間間隔のアクティブスキャンが使用される。ただし、周期的なポーリング動作は、対象マシンの挙動への影響を考慮しない、すなわち、システムの可用性への影響を考慮しないという問題がある。
制御システムが停止することのない継続動作を採用する場合でも、システムの安定性を確保するためにはメンテナンス作業が必要となるため、可用性に影響を与えないタイミングでアクティブスキャンを実行する必要がある。従来の方式では、可用性に影響を与えないタイミングでスキャン範囲を切り替えるなど、アクティブスキャンツールを手動で起動して情報収集を行っていた。アクティブスキャンを許可又は拒否する範囲は、IPアドレス範囲又はサブネットを示すネットワークアドレスを指定することで判定されてもよい。例えば、各対象マシンに対してアクティブスキャンを実行するか否かの決定は、許可アドレスリスト又は拒否アドレスリストが書き込まれたスキャン範囲に基づいて行われている。
スキャン範囲を特定するための手動方式は、時間がかかるという問題がある。このような手動方式で継続的な情報収集を目的とした周期的なアクティブスキャンを行うことは、人的資源の観点から現実的ではない。この問題の考えられる解決策の1つは、スキャンシステムに許可アドレスリスト又は拒否アドレスリストを自動的に更新する機能を持たせることであるが、従来の方式ではそのような機能を持たない。
したがって、本開示の目的は、上述した問題を解決し、制御システムの可用性への影響を推定することにより、アクティブスキャンを実行する各マシンに対するスキャン範囲及びスキャンタイミングの判定に基づいて、アクティブスキャンの許可範囲又は拒否範囲を自動的に生成又は更新する情報収集システムを提供することにある。
本開示の第1の態様として、サイドチャネルデータを用いて対象マシンの可用性への影響を推定する負荷情報を生成するサイドチャネル情報処理部と、前記負荷情報を用いて前記可用性に影響を与えないスキャン範囲及びスキャンタイミングが書き込まれた許可リストを生成する許可リスト生成部と、前記許可リストを保存する許可リスト記憶部と、を備え、情報収集システムが前記許可リスト記憶部に保存された前記許可リストを参照してアクティブスキャンを実行し、対象マシンの資産情報を収集する、情報収集システムが提供される。
本開示の第2の態様として、サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するステップと、前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成するステップと、前記許可リストをメモリに記憶するステップと、を含み、前記対象マシンのアクティブスキャンは、メモリに記憶された前記許可リストを参照することにより実行されて、前記対象マシンの資産情報を収集する、コンピュータにより実施される情報収集方法が提供される。
本開示の第3の態様として、コンピュータに、サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するステップと、前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成するステップと、前記許可リストをメモリに記憶するステップと、を実行させ、前記対象マシンのアクティブスキャンは、メモリに記憶された前記許可リストを参照することにより実行されて、前記対象マシンの資産情報を収集する、情報収集プログラムが提供される。
本開示の第4の態様として、コンピュータに、サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するステップと、前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成するステップと、前記許可リストをメモリに記憶するステップと、を実行させるプログラムを格納し、前記対象マシンのアクティブスキャンは、メモリに記憶された前記許可リストを参照して前記対象マシンの資産情報を収集することにより実行される、非一時的なコンピュータ読み取り可能な記憶媒体が提供される。
本開示によれば、情報収集システムは、安定的な動作、すなわち、制御システム全体の可用性に影響を与えないスキャンを可能にするため、情報収集システムは、制御システムに含まれるマシンの資産情報を収集することができる。
図1は、第1の例示的実施形態に係る情報収集システム1の機能構成の一例を示すブロック図である。 図2は、第1の例示的実施形態に係る許可リスト生成部12によって生成される許可リストのデータ項目の一例を示す説明図である。 図3は、第1の例示的実施形態に係る情報収集システム1の許可リスト生成フェーズにおける動作の一例を示すフローチャートである。 図4は、第1の例示的実施形態に係る情報収集システム1のスキャン実行フェーズにおける動作の一例を示すフローチャートである。 図5は、第2の例示的実施形態に係る情報収集システム2の機能構成の一例を示すブロック図である。 図6は、許可閾値と、第2の例示的実施形態に係る許可リスト生成部22においてスキャンを実行するか否かを判定する基準となるネットワーク負荷情報との関係を示す説明図である。 図7は、第2の例示的実施形態に係る情報収集システム2の許可リスト生成フェーズにおける動作の一例を示すフローチャートである。 図8は、第3の例示的実施形態に係る情報収集システム3の機能構成の一例を示すブロック図である。 図9は、第3の例示的実施形態に係る情報収集システム3の許可リスト生成フェーズにおける動作の一例を示すフローチャートである。 図10は、第4の例示的実施形態に係る情報収集システム4の機能構成の一例を示すブロック図である。 図11は、第4の例示的実施形態に係る許可リスト生成部42においてスキャンを実行するか否かを判定する基準となる動作情報の一例を示す説明図である。 図12は、第4の例示的実施形態に係る情報収集システム4の許可リスト生成フェーズにおける動作の一例を示すフローチャートである。 図13は、第5の例示的実施形態に係る情報収集システム5の機能構成の一例を示すブロック図である。 図14は、第5の例示的実施形態に係る情報収集システム5のスキャン実行フェーズにおける動作の一例を示すフローチャートである。
産業用制御システムへのサイバー攻撃が増加しており、発電所、工場、水道などの重要なインフラストラクチャが標的にされている。中には、物理的なシステムに実害を及ぼす事件も発生している。産業用制御システムのセキュリティ確保は、そのようなシステムの社会に与える影響が大きいので、緊急の課題となっている。効果的なセキュリティ対策を維持するためには可能性のある及び可能性のない攻撃戦術を構成する可能性のある脅威や脆弱性と同等のリスク要因を特定する必要がある。このようなリスク要因を理解することは、保護対象システムのセキュリティ評価を行うことで実現できる。攻撃戦術を理解することは対策ポリシーの意思決定に影響を与えるため、セキュリティ対策の品質を向上させるためには、セキュリティ評価が重要な役割を果たす。
セキュリティ評価を実施する場合、分析活動のためにさまざまな情報を収集する必要がある。収集する必要がある情報には、例えば、対象システムの構成機器に組み込まれているハードウェア、ソフトウェア、ファームウェアに関するコンポーネント情報及び構成情報(以下、資産情報という)、および/または、National Vulnerability Database(NVD)等の脆弱性情報データベースに公開されている脆弱性情報が含まれる。
資産情報を収集する特定の方法には、対象システムの管理者、オペレーター、開発者などの関係者へのインタビュー、調査のためにコンピュータマシンで実行されるスキャンツールの使用、NVDなどのパブリックデータベースの参照などがある。特に、汎用のパーソナルコンピュータ(PC)やコンピュータマシンを用いたオフィスネットワークを含む情報システム(以下、ITシステムという)では、資産情報の収集は、スキャンツールを用いることにより一般的に達成されうる。スキャンツールには、例えば、ネットワークスキャン用のNMAP、パケットキャプチャ用のWireshark、ネットワーク上の対象マシンの資産情報を収集するためのOpenAudIT、対象資産の脆弱性をスキャンするためのOpenVASなどがある。
いくつかのスキャンツールは、対象マシンの挙動に影響を及ぼし得る。例えば、NMAPは、対象マシンにパケットを送信し、対象マシンからの応答パケットに基づいて資産情報を抽出(又は判定)する。対象マシンのネットワークインターフェイスがスキャンツールから送信されたパケットを受信すると、パケットを処理するために対象マシン内にいくつかのプロセスが生成されるため、対象マシンの挙動が影響を受ける。このようなスキャン動作は、アクティブスキャンと呼ばれる。NMAP、OpenAudIT、及びOpenVASは、アクティブスキャンツールとして分類され得る。一般に、アクティブスキャンツールは、汎用PCおよびコンピュータマシンによって支配されるITシステム環境で使用されると想定される。NMAPは、所定のIPアドレスが付与された対象マシンに対して、対象マシンの動作状態を考慮せずに、網羅的にアクティブスキャンを実行する場合がある。
以下、本開示の例示的実施形態について、図面を参照して詳細に説明する。
<例示的実施形態1>
[システム構成]
図1は、本開示の第1の例示的実施形態に対応する情報収集システム1(「セキュリティ管理システム」ともいう)の機能構成の一例を示すブロック図である。図1に示すように、情報収集システム1は、サイドチャネル情報処理部11(サイドチャネルプロセッサ)と、許可リスト生成部12(許可リスト生成器)と、許可リスト記憶部13(許可リストメモリ)と、スキャン結果記憶部14(スキャン結果メモリ)と、スキャン制御部15(スキャンコントローラ)と、スキャン処理部16(スキャンプロセッサ)と、を備える。
サイドチャネル情報処理部11は、サイドチャネルデータ(すなわち、外部からの入力として収集したデータ)を受信し、サイドチャネルデータを処理して対象マシンの負荷情報を導出し、次いで、負荷情報を許可リスト生成部12に出力する。サイドチャネルデータは、対象マシンで送受信されるトラフィックデータであってもよい。サイドチャネルデータは、対象マシンの消費電力の測定値であってもよい。サイドチャネルデータは、対象マシンで送受信されるパケットに含まれる制御メッセージデータ又は制御コマンドデータであってもよい。
負荷情報は、対象マシンの負荷状態を表す情報であってもよい。負荷情報は、対象マシンの動作状態に応じて変化してもよく、サイドチャネルデータから導出されてもよい。サイドチャネルデータがトラフィックデータである場合、負荷情報はネットワーク負荷情報であってもよい。サイドチャネルデータが消費電力の測定値である場合、負荷情報はエネルギー負荷情報であってもよい。サイドチャネルデータが制御メッセージデータ又は制御コマンドデータである場合、負荷情報自体が制御メッセージデータ又は制御コマンドデータであってもよい。
許可リスト生成部12は、サイドチャネル情報処理部11からの入力として負荷情報を受信する。許可リスト生成部12は、所定の条件が満たされた場合に、負荷情報に関連付けられたIPアドレスを有するマシンに対してアクティブスキャンが実行可能であると判定し、次いで、IPアドレス情報が書き込まれた許可リストを生成する。許可リスト生成部12は、生成された許可リストを許可リスト記憶部13に出力する。
所定の条件とは、負荷情報が所定の判定基準を満たすことである。判定基準は、情報収集システム1が受信するサイドチャネルデータのタイプに応じて異なる。サイドチャネルデータがトラフィックデータである場合、判定基準は、ネットワーク負荷情報が所定の基準値よりも低いという条件であってもよい。サイドチャネルデータが消費電力の測定値である場合、判定基準は、エネルギー負荷情報が所定の基準値よりも低いという条件であってもよい。サイドチャネルデータが制御メッセージデータである場合、判定基準は、制御メッセージデータから抽出された動作情報が対象マシンの所定の動作状態と一致するという条件であってもよい。
また、IPアドレス情報は、アクティブスキャンの対象マシンに関連付けられたIPアドレスであってもよい。IPアドレス情報は、サブネットを表すネットワークアドレス、又は、アクティブスキャンの対象マシンに関連付けられたIPアドレスが属するIPアドレス範囲であってもよい。
図2は、許可リスト生成部12によって生成される許可リストのデータ項目の一例を表形式で示す説明図である。図2に示すように、許可リストは、IPアドレス、サブネットを表すネットワークアドレス、及びIPアドレス範囲の少なくとも1つを列項目として含んでもよい。また、許可リストは、許可スキャンの開始時刻及び許可スキャンの終了時刻を列項目として含んでもよい。
例えば、許可リストを参照すると、行番号1は、IPアドレスが192.168.1.5であるマシンへのスキャンが15:00:00(許可スキャンの開始時刻)から15:30:00(許可スキャンの終了時刻)まで実行可能であることを示している。同様に、行番号3は、サブネット192.168.2.0/26で特定されたネットワークアドレスに属するIPアドレスを有するマシンへのスキャンが20:00:00から22:00:00まで実行可能であることを示している。行番号4は、IPアドレス範囲が192.168.10.10−192.168.10.20と特定されており、この範囲内にあるIPアドレスを有するマシンのスキャンは6:20:00から6:50:00まで実行可能であることを示している。しかしながら、許可リストは表形式に限定されず、許可リストは、上述した要素を含む任意のタイプのフォーマットであってもよい。
許可リスト記憶部13は、許可リスト生成部12によって生成された許可リストを受信し、許可リスト記憶部13のデータベースに許可リストを保存又は更新することにより、最新の許可リストを記憶する。また、許可リスト記憶部13は、スキャン制御部15からの要求に応答して、データベースから最新の許可リストを送信し、許可リストをスキャン制御部15に出力する。
スキャン結果記憶部14は、アクティブスキャンを実行して得られたスキャンデータや、スキャンデータから抽出された資産情報をスキャン制御部15から受信する。スキャン結果記憶部14は、スキャン結果記憶部14のデータベースにスキャンデータ又は資産情報を保存又は更新することにより、最新のスキャンデータ又は資産情報を記憶する。資産情報は、対象システムのコンポーネント機器に組み込まれたハードウェア、ソフトウェア、及びファームウェアに関するコンポーネント情報及び構成情報であってもよい。
スキャン制御部15は、許可リスト記憶部13に許可リストの出力を要求し、許可リスト記憶部13が検索した許可リストを受信する。スキャン制御部15は、許可リストに記録された全てのデータ項目、又は許可リストに記録されたデータ項目のサブセットを受信してもよい。例えば、スキャン制御部15が許可リストの出力を要求する際に、図2に示すようなIPアドレス欄に記載された項目が特定された場合、許可リスト記憶部13は、関連するデータ項目のみをスキャン制御部15に出力してもよい。
スキャン制御部15は、許可リスト記憶部13から受信した許可リストを参照し、許可リストに記載されたIPアドレス情報及びスキャンが可能な時間に関する情報に応じたスキャンタイミングでスキャン処理部16にスキャン実行要求を送信する。スキャンタイミングは、許可リストが書き込まれた許可スキャンの開始時刻から許可スキャンの終了時刻までの時間であってもよい。さらに、スキャン制御部15は、許可リストに書き込まれた許可スキャンの開始時刻及び許可スキャンの終了時刻の情報に基づいて、アクティブスキャンを実行する頻度又は速度を判定してもよい。
スキャン制御部15は、スキャン実行要求と組み合わされ、アクティブスキャンの対象マシンに関連付けられているIPアドレス情報をスキャン処理部16に送信してもよい。IPアドレス情報は、図2に示す許可リストのIPアドレス欄に記載されている情報であってもよい。IPアドレス情報は、IPアドレス、サブネットを表すネットワークアドレス、又はIPアドレス範囲であってもよい。
スキャン制御部15は、アクティブスキャンを実行して得られたスキャンデータをスキャン処理部16から入力データとして受信し、スキャンデータをスキャン結果記憶部14に出力してもよい。スキャン制御部15は、スキャンデータから抽出した資産情報をスキャン処理部16から入力データとして受信し、資産情報をスキャン結果記憶部14に出力してもよい。資産情報は、例えば、対象システムのコンポーネント機器に組み込まれたハードウェア、ソフトウェア、及びファームウェアに関するコンポーネント情報及び/又は構成情報であってもよい。
スキャン処理部16は、スキャン制御部15から受信したスキャン実行要求に応答して、アクティブスキャンを実行してもよい。スキャン処理部16は、スキャン制御部15から受信したスキャン実行要求に応答して、スキャン実行要求に添付されたIPアドレス情報に従ったIPアドレスに関連付けられた対象マシンに対してアクティブスキャンを実行してもよい。スキャン処理部16は、スキャン制御部15から受信したスキャン実行要求に応答して、スキャン実行要求に添付されたIPアドレスを宛先アドレスとするスキャンパケットを送信してもよい。
スキャン実行要求に添付されるIPアドレスは、図2に示すような許可リストに記載されている対象マシンに関連付けられたIPアドレスであってもよい。スキャン実行要求に添付されるIPアドレスは、図2に示すような許可リストに記載されているネットワークアドレスに相当するサブネットに属するIPアドレスであってもよい。スキャン実行要求に添付されるIPアドレスは、図2に示すような許可リストに記載されているIPアドレス範囲に含まれるIPアドレスであってもよい。情報収集システム1がアクティブスキャンツールとしてNMAPを採用する場合、スキャンパケットは、アクティブスキャンを実行する際にNMAPによって生成されるスキャンパケットであってもよい。しかしながら、情報収集システム1で採用されるツールは、NMAPに限定されず、OpenAudITやOpenVASであってもよい。
スキャン処理部16は、アクティブスキャンを実行して生成されたスキャンデータを入力データとして情報収集システム1の外部から受信し、スキャンデータをスキャン制御部15に出力する。また、スキャン処理部16は、入力として受信したスキャンデータから資産情報を抽出し、資産情報をスキャン制御部15に出力してもよい。資産情報は、対象システムのコンポーネント機器に組み込まれたハードウェア、ソフトウェア、及びファームウェアに関するコンポーネント情報及び構成情報であってもよい。一方で、スキャン処理部16の代わりにスキャン制御部15が資産情報を抽出してもよい。
次に、本開示に係る第1の例示的実施形態に対応する情報収集システム1の動作について説明する。情報収集システム1の動作は、許可リスト生成フェーズとスキャン実行フェーズとの2つのフェーズから構成される。図3は、情報収集システム1の許可リスト生成フェーズにおける動作の一例を示すフローチャートである。図4は、情報収集システム1のスキャン実行フェーズにおける動作の一例を示すフローチャートである。
情報収集システム1では、オフラインモードで許可リスト生成フェーズとスキャン実行フェーズとを順次実行してもよい。2つの動作は、2つの動作を独立して扱うことにより、オンラインモードで同時に又は並行して実行され得る。本実施形態では、スキャンの対象となる制御システムは、制御システムの挙動が周期的、例えば毎日などであることを想定している。生成された許可リストに基づいて、情報収集システム1は、本実施形態の動作を以降のサイクル(例えば、次のサイクル以降)に適用することにより、制御システムの可用性に影響を与えることなくスキャンを行うことができる。
図3を参照して、情報収集システム1の許可リスト生成フェーズの動作を説明する。図3に示す許可リスト生成フェーズの動作は、スキャンするか否かを判定する必要があるIPアドレス毎に独立して実行される。スキャンするか否かを判定する必要があるIPアドレスが複数ある場合は、IPアドレス毎に図3に示す動作を行う。スキャン対象マシンをサブネットを表すネットワークアドレス又はIPアドレス範囲で特定する場合は、スキャンするか否かを判定する必要があるIPアドレスが複数ある場合に含まれる。
サイドチャネル情報処理部11は、スキャンするか否かを判定するために、入力されたサイドチャネルデータに基づいて、IPアドレスに関する負荷情報を導出する(ステップS101)。許可リスト生成部12は、負荷情報の時刻を示す時刻カウンタをi=0に初期化する(ステップS102)。また、許可リスト生成部12は、スキャンするか否かの判定結果の一時記憶領域である判定状態を「スキャン不可」に設定する(ステップS103)。
許可リスト生成部12は、時刻tにおける負荷情報が、スキャンを実行するか否かを判定するための所定の判定基準を満たしているか否かを確認する(ステップS104)。判定基準を満たしている場合(ステップS104で「Yes」)、許可リスト生成部12は、後述するステップS105の処理を行う。判定基準を満たしていない場合(ステップS104で「No」)、許可リスト生成部12は、後述するステップS109の処理を行う。
許可リスト生成部12は、判定状態が「スキャン不可」であるか否かを確認する(ステップS105)。判定状態が「スキャン不可」である場合(ステップS105で「Yes」)、許可リスト生成部12は、判定状態を「スキャン可能」に変更し、負荷情報に対応する時刻tをtとして一時記憶領域に記録する(ステップS106)。判定状態が「スキャン不可」ではない(したがって「スキャン可能」であり、ステップS105で「No」)場合、許可リスト生成部12は、後述するステップS107の処理を行う。
許可リスト生成部12は、負荷情報の時刻を示す時刻カウンタiをi+1に更新する(ステップS107)。続いて、許可リスト生成部12は、時刻カウンタが更新された時刻tにおける負荷情報の有無を確認する(ステップS108)。時刻tにおける負荷情報がある場合(ステップS108で「Yes」)、許可リスト生成部12は、ステップS104を再度実行する。時刻tにおける負荷情報がない場合(ステップS108で「No」)、情報収集システム1は、許可リスト生成フェーズの動作を終了する。
ステップS104の条件分岐で「No」が選択された場合、許可リスト生成部12は、スキャンするか否かの判定結果の一時記憶領域である判定状態が「スキャン可能」か否かを確認する(ステップS109)。判定状態が「スキャン可能」ではない(したがって、「スキャン不可」であり、ステップS109で「No」)場合、許可リスト生成部12は、具体的な処理を行うことなく、上述した時刻カウンタの更新処理であるステップS107を実行する。
判定状態が「スキャン可能」である場合(ステップS109で「Yes」)、許可リスト生成部12は、判定状態を「スキャン不可」に変更し、負荷情報に対応する時刻ti−1をtとして一時記憶領域に記録する(ステップS110)。
次に、許可リスト生成部12は、一時記憶領域に記録されている時刻情報の2つのデータ項目(t及びt)を比較する(ステップS111)。時刻情報の2つのデータ項目(t及びt)が同じである場合(ステップS111で「No」)、許可リスト生成部12は、許可リストを生成することなく、上述した時刻カウンタの更新処理であるステップS107を実行する。
時刻情報の2つのデータ項目(t及びt)が異なる場合(ステップS111で「Yes」)、許可リスト生成部12は、スキャン対象マシンのIPアドレス情報と時刻情報の2つのデータ項目(t及びt)に基づいて許可リストを生成し、許可リストを許可リスト記憶部13のデータベースに登録する(ステップS112)。許可リストは、図2に示す表形式の行要素であってもよい。続いて、許可リスト生成部12は、上述した時刻カウンタの更新処理であるステップS107を実行する。
次に、図4を参照して、情報収集システム1のスキャン実行フェーズの動作について説明する。図4に示すスキャン実行フェーズの動作は、スキャンの目的が継続的な情報収集である場合、周期的な間隔で繰り返し実行される。
スキャン制御部15は、許可リスト記憶部13のデータベースから許可リストを取得し、許可リストをスキャン制御部15の一時記憶領域に保存する(ステップS11)。スキャン制御部15は、スキャン制御部15の一時記憶領域から、許可スキャンの開始時刻が所定時間後である番号が付されたデータ項目を削除する(ステップS12)。所定時間は、繰り返し実行されるスキャン実行フェーズを実行する次のタイミングであってもよい。例えば、スキャン実行フェーズが30分間隔で繰り返し実行される場合、所定時間は、現在時刻から30分後である。
スキャン制御部15は、上述したステップS12の処理が行われた許可リストから、スキャンを実行可能なタイミングのIPアドレス情報を選択する(ステップS13)。実行可能なタイミングは、現在時刻が、許可スキャンの開始時刻から許可スキャンの終了時刻までの時間であってもよい。IPアドレス情報は、図2に示す許可リストのIPアドレス欄に記載されている情報であってもよい。IPアドレス情報は、IPアドレス、サブネットを表すネットワークアドレス、又はIPアドレス範囲であってもよい。
次に、スキャン処理部16は、上述したステップS13で選択されたIPアドレス情報に基づいてスキャンを実行する(ステップS14)。IPアドレス情報が個別IPアドレスの場合、スキャン処理部16は、個別IPアドレス自体を指定してスキャンを実行する。IPアドレス情報がサブネットを表すネットワークアドレス又はIPアドレス範囲である場合、スキャン処理部16は、ネットワークアドレス又はIPアドレス範囲に含まれる複数のIPアドレスを順次指定してスキャンを実行する。
スキャン制御部15は、ステップS14でアクティブスキャンを実行して得られたスキャンデータをスキャン結果記憶部14のデータベースに保存する(ステップS15)。同じIPアドレスのスキャンデータが既にデータベースに保存されている場合には、スキャン結果記憶部14を最新の情報に更新してもよい。また、スキャン制御部15は、スキャンデータから資産情報を抽出してデータベースに保存してもよい。資産情報は、例えば、対象システムのコンポーネント機器に組み込まれたハードウェア、ソフトウェア、及びファームウェアに関するコンポーネント情報及び/又は構成情報であってもよい。
スキャン制御部15は、スキャン制御部15の一時記憶領域から、ステップS14でスキャン対象とするIPアドレス情報(ステップS13で選択されたIPアドレス情報)を有する番号が付されたデータ項目を削除する(ステップS16)。スキャン制御部15は、許可リストにおける、スキャン対象とするIPアドレス情報を有するデータ項目の有無を確認する(ステップS17)。許可リストに少なくとも1つ以上のデータ項目がある(すなわち、ステップS17で「あり」)場合、スキャン制御部15はステップS13を再度実行する。許可リストにデータ項目がない場合(すなわち、ステップS17で「なし」)、情報収集システム1は、スキャン実行フェーズの動作を終了する。
[本実施形態の効果]
第1の例示的実施形態によれば、情報収集システム1は、サイドチャネル情報処理部11、許可リスト生成部12、及び許可リスト記憶部13で行われる許可リスト生成フェーズの動作により、対象システムの可用性に影響を与えないスキャン範囲及びスキャンタイミングを指定する許可リストを自動的に生成する。したがって、情報収集システム1は、手動操作を行うことなく、スキャンする範囲及びスキャンするタイミングを判定することができる。許可リスト生成部12は、許可リストの生成処理において、サイドチャネルデータから導出される負荷情報を参照して、対象システムの可用性に影響を与えるか否かを判定する。
第1の例示的実施形態によれば、さらに、情報収集システム1は、許可リスト記憶部13、スキャン結果記憶部14、スキャン制御部15、及びスキャン処理部16で行われるスキャン実行フェーズの動作により、許可リスト生成フェーズの動作で生成される許可リストを用いてアクティブスキャンを実行する。したがって、情報収集システム1は、対象システムの可用性に影響を与えないスキャン範囲及びスキャンタイミングでアクティブスキャンを実行することができる。また、情報収集システム1が継続的なスキャンを目的として、周期的なポーリング動作に基づいて、一定時間間隔でスキャン実行フェーズの動作を実行する場合、情報収集システム1は、対象マシンの挙動への影響を考慮したタイミングでアクティブスキャンを実行することができる。
その結果、第1の例示的実施形態によれば、情報収集システム1が可用性に影響を与えないようにスキャン範囲とスキャンタイミングを判定するため、対象マシンの可用性に影響を与えることなく、継続的かつ自動的に、セキュリティ評価のための資産情報を収集することができる。
<例示的実施形態2>
本開示によれば、第2の例示的実施形態は、第1の例示的実施形態におけるサイドチャネルデータを、対象マシンが送受信するトラフィックデータで置き換えたものである。図5は、本開示の第2の例示的実施形態に対応する情報収集システム2の機能構成の一例を示すブロック図である。図5に示すように、情報収集システム2は、トラフィック情報処理部21と、許可リスト生成部22と、許可リスト記憶部13と、スキャン結果記憶部14と、スキャン制御部15と、スキャン処理部16と、を備える。図1に示す第1の例示的実施形態と同じ機能を有する要素には同じ参照番号を使用し、その要素の説明は省略する。
トラフィック情報処理部21は、外部からの入力としてトラフィックデータを受信し、トラフィックデータを処理してネットワーク負荷情報を算出し、次いで、ネットワーク負荷情報を許可リスト生成部22に出力する。トラフィックデータは、対象マシンで送受信されるパケット自体、パケットのヘッダ情報、又はパケットのログ情報であってもよい。トラフィックデータは、ソースアドレス又は宛先アドレスがアクティブスキャンの対象マシンに関連付けられたIPアドレスであるパケットであってもよい。
ネットワーク負荷情報は、ビット毎秒(bps)又はパケット毎秒(pps)で表される値であってもよい。ネットワーク負荷情報は、対象マシンに関連付けられたIPアドレスに関する及び/又はそこから送信されるトラフィックデータから算出された情報であってもよい。ネットワーク負荷情報は、対象マシンに関連付けられたIPアドレスで受信されたトラフィックデータによって算出された情報であってもよい。
許可リスト生成部22は、トラフィック情報処理部21からの入力としてネットワーク負荷情報を受信し、外部からの入力として所定の閾値を受信する。許可リスト生成部22は、所定の条件が満たされた場合に、ネットワーク負荷情報に関連付けられたIPアドレスを有するマシンに対してアクティブスキャンが実行可能であると判定し、次いで、IPアドレス情報が書き込まれた許可リストを生成する。許可リスト生成部22は、生成された許可リストを許可リスト記憶部13に出力する。
所定の閾値は、情報収集システム2の外部からの入力であり、アクティブスキャンが実行可能か否かを判定する判定基準として使用されるパラメータである。閾値の値は、制御システムに組み込まれている対象マシンの動作状態や対象マシンの資産情報に応じて判定されてもよい。閾値の値は、予め固定的なパラメータとして与えられてもよいし、状況に応じて変化するパラメータとして与えられてもよい。所定の条件は、ネットワーク負荷が閾値より低いことである。
IPアドレス情報は、アクティブスキャンの対象マシンに関連付けられたIPアドレスであってもよい。IPアドレス情報は、サブネットを表すネットワークアドレス、又は、アクティブスキャンの対象マシンに関連付けられたIPアドレスが属するIPアドレス範囲であってもよい。
図6のグラフは、時間とともに変動するネットワーク負荷情報を示し、横軸が時間、縦軸がネットワーク負荷を表している。ネットワーク負荷情報は、マシンが送受信するパケットに基づいてグラフ上にプロットされてもよい。横軸は、ネットワーク負荷の値を参照する時刻、t(i=1,…,n)を示す。図6のグラフに示すように、許可リスト生成部22は、tから時刻tまでの間、ネットワーク負荷が閾値未満であるため、ネットワーク負荷情報に関連付けられたIPアドレスを有するマシンに対してアクティブスキャンを実行可能であると判定してもよい。時刻te+1以降、ネットワーク負荷が閾値よりも大きいため、許可リスト生成部22は、アクティブスキャンを実行不可能であると判定してもよい。
図5に示す許可リスト記憶部13、スキャン結果記憶部14、スキャン制御部15、及びスキャン処理部16については、これらの要素が図1に示す第1の例示的実施形態のものと同様の機能を有するため、重複する詳細な説明は省略する。
次に、本開示に係る第2の例示的実施形態に対応する情報収集システム2の動作について説明する。情報収集システム2の動作は、第1の例示的実施形態と同様であり、すなわち、許可リスト生成フェーズとスキャン実行フェーズの2つのフェーズから構成される。第1の例示的実施形態と同じ動作については、図3又は図4に示したものと同じ参照番号を使用し、動作の説明は省略する。第2の例示的実施形態のスキャン実行フェーズは、図4に示す第1の例示的実施形態のスキャン実行フェーズと全く同じであるため、重複する詳細な説明は省略する。
図7は、情報収集システム2の動作における許可リスト生成フェーズの動作を示すフローチャートである。図7に示すステップS102からS103、S105からS107、及びS109からS112は、図3に示す第1の例示的実施形態と同様であり、重複する詳細な説明は省略する。
トラフィック情報処理部21は、スキャンするか否かを判定するために、入力されたトラフィックデータに基づいて、IPアドレスに関するネットワーク負荷情報を算出する(ステップS201)。
許可リスト生成部22は、時刻tにおけるネットワーク負荷情報の値とスキャンするか否かを判定する判定基準として使用される閾値とを比較し、ネットワーク負荷情報の値が閾値よりも低いか否かを判定する(ステップS204)。ネットワーク負荷情報の値が閾値未満である場合(ステップS204で「Yes」)、許可リスト生成部22は、ステップS105の処理を行う。ネットワーク負荷情報の値が閾値以上である場合(ステップS204で「No」)、許可リスト生成部22は、ステップS109の処理を行う。
ステップS107で時刻カウンタiをi+1に更新した後、許可リスト生成部22は、時刻カウンタが更新された時刻tにおけるネットワーク負荷情報の有無を確認する(ステップS208)。時刻tにおけるネットワーク負荷情報がある場合(ステップS208で「Yes」)、許可リスト生成部22は、ステップS204を再度実行する。時刻tにおけるネットワーク負荷情報がない場合(ステップS208で「No」)、情報収集システム2は、許可リスト生成フェーズの動作を終了する。
第2の例示的実施形態によれば、情報収集システム2は、トラフィック情報処理部21が外部から入力されたトラフィックデータを処理してネットワーク負荷情報を算出することを許可し、許可リスト生成部22がネットワーク負荷情報を参照することを許可するため、情報収集システム2は許可リストを生成することができる。したがって、情報収集システム2は、対象マシンが送受信するトラフィックデータを用いて、対象システムの可用性に影響を与えないスキャン範囲及びスキャンタイミングを特定することができる。
<例示的実施形態3>
本開示によれば、第3の例示的実施形態は、第1の例示的実施形態におけるサイドチャネルデータを、対象マシンにおける消費電力データで置き換えたものである。図8は、本開示に係る第3の例示的実施形態に対応する情報収集システム3の機能構成の一例を示すブロック図である。図8に示すように、情報収集システム3は、消費電力負荷情報処理部31(消費電力負荷情報プロセッサ)と、許可リスト生成部32、許可リスト記憶部13と、スキャン結果記憶部14と、スキャン制御部15と、スキャン処理部16と、を備える。図1に示す第1の例示的実施形態と同じ機能を有する要素には同じ参照番号を使用し、その要素の重複する説明は省略する。
消費電力負荷情報処理部31は、外部からの入力として消費電力データを受信し、消費電力データを処理して消費電力負荷情報を導出し、次いで、消費電力負荷情報を許可リスト生成部32に出力する。消費電力データは、市販の測定器を用いた対象マシンの消費電力の測定値であってもよいし、対象マシンがアクティブスキャンのために提供するソフトウェアベースの機能又はハードウェアベースの機能によって測定された消費電力の値であってもよい。
消費電力負荷情報は、対象マシンにおけるワット(W)で表される値であってもよい。消費電力負荷情報は、アンペア(A)で表される電流値又はボルト(V)で表される電圧値など、消費電力に関する物理値であってもよい。第3の例示的実施形態では、対象マシンに関連付けられたIPアドレスが予め与えられていてもよい。対象マシンに関連付けられたIPアドレスに対応する情報は、許可リスト生成部32の一時記憶領域に保存されてもよい。
許可リスト生成部32は、消費電力負荷情報処理部31からの入力として消費電力負荷情報を受信し、外部からの入力として所定の閾値を受信する。許可リスト生成部32は、所定の条件が満たされた場合に、消費電力負荷情報に関連付けられたマシンに対してアクティブスキャンが実行可能であると判定し、次いで、IPアドレス情報が書き込まれた許可リストを生成する。許可リスト生成部32は、生成された許可リストを許可リスト記憶部13に出力する。
所定の閾値は、情報収集システム3の外部からの入力であり、アクティブスキャンが実行可能か否かを判定する判定基準として使用されるパラメータである。閾値の値は、制御システムに組み込まれている対象マシンの動作状態や対象マシンの資産情報に応じて判定されてもよい。閾値の値は、予め固定的なパラメータとして与えられてもよいし、様々な状況に応じて変化するパラメータとして与えられてもよい。所定の条件は、消費電力の値が閾値よりも低いことである。一般的に、対象マシンの負荷が高い場合、消費電力の値が高くなる傾向が観測される。逆に、対象マシンの負荷が低い場合、消費電力の値が低くなる傾向が観測される。
IPアドレス情報は、アクティブスキャンの対象マシンに関連付けられたIPアドレスであってもよい。IPアドレス情報は、サブネットを表すネットワークアドレス、又は、アクティブスキャンの対象マシンに関連付けられたIPアドレスが属するIPアドレス範囲であってもよい。第3の例示的実施形態では、許可リスト生成部32の一時記憶領域に保存されている各対象マシンに関連付けられたIPアドレスの対応情報を参照してIPアドレス情報を取得してもよい。
図8に示す許可リスト記憶部13、スキャン結果記憶部14、スキャン制御部15、及びスキャン処理部16については、これらの要素が図1に示す第1の例示的実施形態のものと同様の機能を有するため、重複する詳細な説明は省略する。
次に、本開示に係る第3の例示的実施形態に対応する情報収集システム3の動作について説明する。情報収集システム3の動作は、第1の例示的実施形態と同様であり、すなわち、許可リスト生成フェーズとスキャン実行フェーズの2つのフェーズから構成される。第1の例示的実施形態と同じ動作については、図3又は図4に示したものと同じ参照番号を使用し、動作の重複する説明は省略する。第3の例示的実施形態のスキャン実行フェーズは、図4に示す第1の例示的実施形態のスキャン実行フェーズと全く同じであるため、重複する詳細な説明は省略する。
図9は、情報収集システム3の動作における許可リスト生成フェーズの動作を示すフローチャートである。図9に示すステップS102からS103、S105からS107、及びS109からS112は、図3に示す第1の例示的実施形態と同様であり、重複する詳細な説明は省略する。
消費電力負荷情報処理部31は、スキャンするか否かを判定するために、入力された消費電力データに基づいて、IPアドレスに関する消費電力負荷情報を導出する(ステップS301)。
許可リスト生成部32は、時刻tにおける消費電力負荷情報の値とスキャンするか否かを判定する判定基準である閾値とを比較し、消費電力負荷情報の値が閾値より小さいか否かを判定する(ステップS304)。許可リスト生成部32は、消費電力負荷情報の値が閾値未満である場合(ステップS304で「Yes」)、ステップS105の処理を行う。消費電力負荷情報の値が閾値以上である場合(ステップS304で「No」)、許可リスト生成部32は、ステップS109の処理を行う。
ステップS107で時刻カウンタiをi+1に更新した後、許可リスト生成部32は、時刻カウンタが更新された時刻tにおける消費電力負荷情報の有無を確認する(ステップS308)。時刻tにおける消費電力負荷情報がある場合(ステップS308で「Yes」)、許可リスト生成部32は、ステップS304を再度実行する。時刻tにおける消費電力負荷情報がない場合(ステップS308で「No」)、情報収集システム3は、許可リスト生成フェーズの動作を終了する。
第3の例示的実施形態によれば、情報収集システム3は、外部から入力された消費電力データを消費電力負荷情報処理部31が処理して消費電力負荷情報を導出することを許可し、許可リスト生成部32が消費電力負荷情報を参照することを許可するため、情報収集システム3は、許可リストを生成することができる。したがって、情報収集システム3は、対象マシンの消費電力データを用いて、対象システムの可用性に影響を与えないスキャン範囲及びスキャンタイミングを特定することができる。
<例示的実施形態4>
本開示によれば、第4の例示的実施形態は、第1の例示的実施形態におけるサイドチャネルデータを、対象マシンが送受信するパケットに含まれる制御メッセージに置き換えたものである。制御メッセージは、制御システムに組み込まれたマシンが送受信する制御コマンド又は制御データであってもよい。図10は、本開示に係る第4の例示的実施形態に対応する情報収集システム4の機能構成の一例を示すブロック図である。図10に示すように、情報収集システム4は、制御メッセージ処理部41(制御メッセージプロセッサ)と、許可リスト生成部42と、許可リスト記憶部13と、スキャン結果記憶部14と、スキャン制御部15と、スキャン処理部16と、を備える。図1に示す第1の例示的実施形態と同じ機能を有する要素には同じ参照番号を使用し、その説明は省略する。
制御メッセージ処理部41は、外部からの入力として制御メッセージデータを受信し、制御メッセージデータを処理して対象マシンに関する動作情報を抽出し、次いで、動作情報を許可リスト生成部42に出力する。制御メッセージデータは、制御システム内のマシン同士が互いに送受信するデータであってもよい。対象マシンに関連付けられたIPアドレスは、予め与えられていてもよいし、制御メッセージに記載されている情報を参照して取得してもよい。
制御メッセージデータは、制御システム内のマシンを制御するための制御コマンドを含んでもよい。制御メッセージデータは、「ON」、「START」など、メッセージの宛先に対応するマシンの動作を開始させる命令を含む制御コマンドを含んでもよい。制御メッセージデータは、「STOP」、「OFF」、「END」など、メッセージの宛先に対応するマシンの動作を終了させる命令を含む制御コマンドを含んでもよい。制御メッセージデータは、「IDLE」、「UNUSED」、「STANDBY」など、メッセージの宛先に対応するマシンを待機状態にする命令を含む制御コマンドを含んでもよい。
制御メッセージデータは、マシンの動作状態を示す制御データを含んでもよい。制御メッセージデータは、「ALARM」、「EMERGENCY」、「OPERATED」など、動作中のマシンの高負荷を表す制御データを含んでもよい。制御メッセージデータは、「IDLE」、「UNUSED」、「STANDBY」など、動作中のマシンの待機状態を表す制御データを含んでもよい。制御メッセージデータは、マシンの動作状態を表すセンサー値である制御データを含んでもよい。センサー値は、温度又は圧力を表す物理値を含んでもよい。
動作情報は、経時的に変化するマシンの動作状態の遷移を表す情報である。動作状態は、「WORKING」、「STANDBY STATE」、「SUSPENDED STATE」などを含んでもよい。「ON」、「OFF」、「IDLE」等の制御メッセージデータに記載された内容を参照することにより、動作情報を有する各動作状態を特定することができる。図11は、動作情報である動作状態の遷移を示す図の一例である。制御メッセージデータに記載されている内容を参照して、ある時刻における動作状態が時間軸上にプロットされている。
許可リスト生成部42は、制御メッセージ処理部41からの入力として動作情報を受信する。許可リスト生成部42は、所定の条件が満たされた場合に、動作情報に関連付けられたIPアドレスを有するマシンに対してアクティブスキャンが実行可能であると判定し、次いで、IPアドレス情報が書き込まれた許可リストを生成する。許可リスト生成部42は、生成された許可リストを許可リスト記憶部13に出力する。
所定の条件は、動作情報の動作状態が、アクティブスキャンが実行可能な動作状態と一致することであってもよい。所定の条件は、制御メッセージデータに記載された内容が、対象マシンの待機状態又は低負荷状態を表す場合、満たされてもよい。一方、所定の条件は、制御メッセージデータに記載されている内容が、対象マシンの作動状態又は高負荷状態を表す場合、満たされなくてもよい。
図11に示すように、横軸に動作情報の時刻t(i=1,…,n)を示している。許可リスト生成部42は、時刻tから時刻tまでの間、動作情報が「STANDBY」であるため、上述したIPアドレスを有するマシンに対してアクティブスキャンが実行可能であると判定してもよい。許可リスト生成部42は、図11に示す時刻te+1以降、動作情報が「WORKING」であるため、アクティブスキャンは実行不可能であると判定する。
IPアドレス情報は、アクティブスキャンの対象マシンに関連付けられたIPアドレスであってもよい。IPアドレス情報は、アクティブスキャンの対象マシンに関連付けられたIPアドレスが属するサブネットを表すネットワークアドレス又はIPアドレス範囲であってもよい。情報収集システム4では、IPアドレス情報は、許可リスト生成部42の一時記憶領域に保存されてもよい。制御メッセージデータからIPアドレス情報を抽出できる場合、許可リスト生成部42は、制御メッセージ処理部41から動作情報付きのIPアドレス情報を受信し、IPアドレス情報を利用してもよい。
図10に示す許可リスト記憶部13、スキャン結果記憶部14、スキャン制御部15、及びスキャン処理部16は、これらの要素が図1に示す第1の例示的実施形態と同様の機能を有するため、重複する詳細な説明は省略する。
次に、本開示に係る第4の例示的実施形態に対応する情報収集システム4の動作について説明する。情報収集システム4の動作は、第1の例示的実施形態と同様にであり、すなわち、許可リスト生成フェーズとスキャン実行フェーズの2つのフェーズから構成される。第1の例示的実施形態と同じ動作については、図3又は図4に示したものと同じ参照番号を使用し、動作の説明は省略する。第4の例示的実施形態のスキャン実行フェーズは、図4に示す第1の例示的実施形態のスキャン実行フェーズと全く同じであるため、重複する詳細な説明は省略する。
図12は、情報収集システム4の動作における許可リスト生成フェーズの動作を示すフローチャートである。図12に示すステップS102からS103、S105からS107、及びS109からS112は、図3に示す第1の例示的実施形態と同様であり、重複する詳細な説明は省略する。
制御メッセージ処理部41は、スキャンするか否かを判定するために、入力された制御メッセージデータに基づいて、IPアドレスに関する動作情報を抽出する(ステップS401)。
許可リスト生成部42は、動作情報の時刻tにおける動作状態が判定基準を満たしているか否かを確認する(ステップS404)。判定基準は、動作状態が、アクティブスキャンが実行可能な動作状態と一致することであってもよい。判定基準は、動作状態が、アクティブスキャンが実行可能な待機状態又は低負荷状態と一致することであってもよい。また、判定基準は、動作状態が、アクティブスキャンが不可能な作業状態又は高負荷状態と一致しないことであってもよい。
判定基準を満たしている場合(ステップS404で「Yes」)、許可リスト生成部42は、ステップS105の処理を実行する。判定基準を満たさない場合(ステップS404で「No」)、許可リスト生成部42は、ステップS109の処理を行う。
許可リスト生成部42は、ステップS107で時刻カウンタiをi+1に更新した後、時刻カウンタが更新された時刻tにおける動作情報の有無を確認する(ステップS408)。時刻tにおける動作情報がある場合(ステップS408において「Yes」)、許可リスト生成部42は、ステップS404を再度実行する。時刻tにおいて動作情報がない場合(ステップS408において「No」)、情報収集システム4は、許可リスト生成フェーズの動作を終了する。
第4の例示的実施形態によれば、情報収集システム4は、外部から入力された制御メッセージデータを制御メッセージ処理部41に処理させて動作情報を導出させ、許可リスト生成部42が動作情報を参照することを許可するため、情報収集システム4は、許可リストを生成することができる。したがって、情報収集システム4は、制御メッセージデータに記述された動作状態に基づいてスキャンするか否かを判定することにより、対象システムの可用性に影響を与えないスキャン範囲及びスキャンタイミングを特定することができる。
<例示的実施形態5>
本開示によれば、第5の例示的実施形態は、第1の例示的実施形態のスキャン実行フェーズにおいて所定の高負荷信号が入力された場合に実行予定又は実行中のスキャン動作を停止する機能を有する。図13は、本開示に係る第5の例示的実施形態に対応する情報収集システム5の機能構成の一例を示すブロック図である。図13に示すように、情報収集システム5は、サイドチャネル情報処理部11と、許可リスト生成部12と、許可リスト記憶部13と、スキャン結果記憶部14と、スキャン制御部55と、スキャン処理部56と、高負荷信号受信部57(高負荷信号受信機)と、を備える。図1に示す第1の例示的実施形態と同じ機能を有する要素には同じ参照番号を使用し、重複する説明は省略する。
スキャン制御部55は、許可リスト記憶部13に許可リストの出力を要求し、許可リスト記憶部13が検索した許可リストを受信する。スキャン制御部55は、許可リストに記録された全てのデータ項目、又は許可リストに記録されたデータ項目のサブセットを受信してもよい。例えば、スキャン制御部55が許可リストの出力を要求する際に図2に示すようなIPアドレスの欄に記載された項目が特定された場合、許可リスト記憶部13は、関連データ項目のみをスキャン制御部55に出力してもよい。
スキャン制御部55は、許可リスト記憶部13から受信した許可リストを参照し、許可リストに記載されたIPアドレス情報及びスキャンが可能な時刻の情報に応じて、スキャン対象のIPアドレス情報及びスキャンタイミングを判定する。スキャンタイミングは、許可リストが書き込まれた許可スキャンの開始時刻から許可スキャンの終了時刻までの時間であってもよい。さらに、スキャン制御部55は、許可リストが書き込まれた許可スキャンの開始時刻及び許可スキャンの終了時刻の情報に基づいて、アクティブスキャンを実行する速度の頻度を判定してもよい。
スキャン制御部55は、スキャンタイミングが判定されると、スキャンタイミングでスキャン実行要求をスキャン処理部56に送信する。スキャン制御部55は、スキャン実行要求と組み合わされたIPアドレス情報をスキャン処理部56に送信してもよい。IPアドレス情報は、図2に示す許可リストのIPアドレス欄に記載されている情報であってもよい。IPアドレス情報は、IPアドレス、サブネットを表すネットワークアドレス、又はIPアドレス範囲であってもよい。
スキャン制御部55は、高負荷信号受信部57から受信した高負荷信号に応答して、高負荷信号を受信した時刻と、高負荷信号を送信したマシンのIPアドレスとをスキャン制御部55の一時記憶領域に保存する。また、スキャン制御部55は、現在時刻と一時記憶領域に保存された高負荷信号の受信時刻との時間差を算出し、時間差が所定の閾値未満であり、かつ、スキャン対象のIPアドレス情報に高負荷信号を送信したマシンのIPアドレスが含まれる場合に、アクティブスキャンを停止すると判定する。
スキャン制御部55は、スキャン制御部55がアクティブスキャンを停止すると判定した場合、スキャン停止要求をスキャン処理部56に直ちに送信する。スキャン制御部55は、高負荷信号を送信したマシンのIPアドレスを停止対象のIPアドレスとして解釈する。スキャン制御部55は、スキャン停止要求とともに、停止対象のIPアドレスをスキャン処理部56に送信してもよい。
スキャン制御部55は、アクティブスキャンを実行して得られたスキャンデータをスキャン処理部56から入力データとして受信し、スキャンデータをスキャン結果記憶部14に出力してもよい。スキャン制御部55は、スキャンデータから抽出した資産情報をスキャン処理部56から入力データとして受信し、資産情報をスキャン結果記憶部14に出力してもよい。資産情報は、対象システムのコンポーネント機器に組み込まれたハードウェア、ソフトウェア、及びファームウェアに関するコンポーネント情報及び構成情報であってもよい。
スキャン処理部56は、スキャン制御部55から受信したスキャン実行要求に応答して、アクティブスキャンを実行してもよい。スキャン処理部56は、スキャン制御部55から受信したスキャン実行要求に応答して、スキャン実行要求に添付されたIPアドレス情報に従ったIPアドレスに関連付けられた対象マシンへのアクティブスキャンを実行してもよい。スキャン処理部56は、スキャン制御部55から受信したスキャン実行要求に応答して、スキャン実行要求に添付されたIPアドレスが宛先アドレスとして設定されたスキャンパケットを送信してもよい。
スキャン処理部56は、スキャン制御部55から受信したスキャン停止要求に応答して、アクティブスキャンを停止してもよい。スキャン処理部56は、スキャン制御部55から受信したスキャン停止要求に応答して、スキャン停止要求に添付されたIPアドレス情報に従ったIPアドレスに関連付けられた対象マシンへのアクティブスキャンを停止してもよい。スキャン処理部56は、スキャン制御部55から受信したスキャン停止要求に応答して、スキャン停止要求に添付されたIPアドレスと宛先アドレスが等しいスキャンパケットの送信を停止してもよい。
スキャン処理部56は、情報収集システム5の外部からアクティブスキャンを実行して生成されたスキャンデータを入力データとして受信し、スキャンデータをスキャン制御部55に出力する。また、スキャン処理部56は、入力として受信したスキャンデータから資産情報を抽出し、資産情報をスキャン制御部55に出力してもよい。資産情報は、対象システムのコンポーネント機器に組み込まれたハードウェア、ソフトウェア、及びファームウェアに関するコンポーネント情報及び構成情報であってもよい。一方、スキャン処理部56の代わりにスキャン制御部55が資産情報を抽出してもよい。
高負荷信号受信部57は、外部からの入力として高負荷信号を受信し、高負荷信号を処理して、高負荷信号の受信時刻と、高負荷信号のIPアドレスを送信したマシンとを抽出し、それらをスキャン制御部55に出力する。高負荷信号は、対象マシンのネットワーク負荷の高負荷状態を表すメッセージ又は値であってもよいし、対象マシンのエネルギー消費が高いことを表すメッセージ又は値であってもよい。高負荷信号は、高負荷状態を表す制御メッセージデータ、例えば、「ALARM」又は「EMERGENCY」であってもよい。
次に、本開示に係る第5の例示的実施形態に対応する情報収集システム5の動作について説明する。情報収集システム5の動作は、第1の例示的実施形態と同様であり、すなわち、許可リスト生成フェーズとスキャン実行フェーズの2つのフェーズから構成される。第1の例示的実施形態と同じ動作については、図3又は図4に示したものと同じ参照番号を使用し、動作の説明は省略する。第5の例示的実施形態の許可リスト生成フェーズは、図3に示す第1の例示的実施形態の許可リスト生成フェーズと全く同じであるため、重複する詳細な説明は省略する。
図14は、情報収集システム5の動作におけるスキャン実行フェーズの動作を示すフローチャートである。図14に示すステップS11からS17は、図4に示す第1の例示的実施形態と同様であり、重複する詳細な説明は省略する。
スキャン制御部55は、スキャン対象として選択されたIPアドレスのマシンから所定時間内に高負荷信号を受信するか否かを確認する(ステップS51)。スキャン制御部55がIPアドレスに関する高負荷信号を受信することを確認すると(ステップS51で「Yes」)、スキャン制御部55は、IPアドレスへのアクティブスキャンを停止する(ステップS52)。スキャン制御部55がIPアドレスに関する高負荷信号を受信したことが確認されない場合(ステップS51で「No」)、ステップS14が実行される。
第5の例示的実施形態によれば、情報収集システム5は、外部から入力された高負荷信号を高負荷信号受信部57が処理して高負荷信号の受信時刻及び高負荷信号のIPアドレスを送信したマシンを導出することを許可し、時刻情報及びIPアドレス情報に基づいてスキャン制御部55がスキャン停止要求を送信することを許可するため、情報収集システム5は、許可リストに記載されたスキャン可能時刻において、対象マシンが異常な挙動によって高負荷状態にある場合に、アクティブスキャンを停止させることができる。情報収集システム5は、リアルタイムの挙動を監視することにより、予期しない高負荷状態でのアクティブスキャンの実行を回避でき、アクティブスキャン中の制御システムの可用性又は安定性の向上につながる。
本実施形態による実施形態は、装置、方法、又はコンピュータプログラム製品として実装され得る。したがって、本実施形態は、ここで「システム」とすべて一般に総称され得る、完全にハードウェアの実施形態、完全にソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)、又はソフトウェア及びハードウェアの態様を組み合わせた実施形態の形態をとり得る。さらには、本実施形態は、媒体に組み込まれた非一時的なコンピュータ使用可能プログラムコードを有する任意の有形の表現媒体に組み込まれたコンピュータプログラム製品の形態をとり得る。「部(ユニット)」という用語は、特定の機能を実行するためのソフトウェアモジュール又は特定の機能を実行するための専用のハードウェア実装部分を意味すると解釈されるべきである。
上述した装置は、コンピュータ、マイクロコントローラ、プログラマブルロジックチップ、又は当業者に知られている他のプロセッサを内部に有していてもよい。また、上述した情報収集装置の処理におけるステップは、プログラムの形式で、非一時的なコンピュータ読み取り可能な記録媒体に記憶され、コンピュータがプログラムを読み出して実行することにより上述した処理が行われる。この場合、非一時的なコンピュータ可読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ装置などをいう。また、このコンピュータプログラムを通信回線を介してコンピュータに送信し、この送信を受信したコンピュータがこのプログラムを実行するようにしてもよい。
上述したプログラムは、上述した機能の一部を実現するためのものであってもよい。上述したプログラムは、上述した機能を実現するために、コンピュータシステムに既に記録されているプログラムと組み合わせて実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
上述した情報収集装置の機能の全て又は一部は、ASIC(特定用途向け集積回路)、PLD(プログラマブルロジック装置)、FPGA(フィールドプログラマブルゲートアレイ)などのハードウェアを利用して実行されてもよい。
その他、上述した例示的な実施形態における特徴は、本発明の趣旨を逸脱しない範囲において、周知の特徴に適宜置き換えてもよい。また、本発明の技術範囲は上述した例示的な実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲において種々の変更を加えてもよい。
また、本発明は、以下の付記1から13のような多数の異なる形態をとり得るが、それらに限定されると考えられるべきではない。
[付記]
[付記1]
サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するサイドチャネル情報処理部と、
前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成する許可リスト生成部と、
前記許可リストを記憶する許可リスト記憶部と、を備え、
前記対象マシンのアクティブスキャンは、前記許可リスト記憶部に記憶された前記許可リストを参照することにより実行されて、前記対象マシンの資産情報を収集する、情報収集システム。
[付記2]
前記スキャン範囲は、IPアドレス情報によって判定され、
前記IPアドレス情報は、前記対象マシンのIPアドレス、前記対象マシンの前記IPアドレスが属するサブネットを表すネットワークアドレス、及び前記対象マシンの前記IPアドレスを含むIPアドレス範囲、のうちの少なくとも1つである、付記1に記載の情報収集システム。
[付記3]
前記許可リスト生成部は、前記負荷情報に基づく時刻情報として許可スキャンの開始時刻及び許可スキャンの終了時刻を取得することにより前記スキャンタイミングを判定し、前記許可スキャンの開始時刻及び前記許可スキャンの終了時刻が互いに異なる場合に前記時刻情報を含む前記許可リストを生成するように構成されている、付記1又は2に記載の情報収集システム。
[付記4]
前記許可リスト記憶部は、前記許可リストの前記データ項目として、前記許可スキャンの開始時刻及び前記許可スキャンの終了時刻を互いに関連付けた前記許可リストを記憶するデータベースをさらに含む、付記1から3のいずれか一つに記載の情報収集システム。
[付記5]
前記許可リストを前記許可リスト記憶部から取得し、スキャン実行要求を送信するように構成されたスキャン制御部と、
前記スキャン実行要求の受信に応答して前記アクティブスキャンを実行するスキャン処理部と、をさらに備え、
前記スキャン制御部は、前記許可リストの前記許可スキャンの開始時刻及び前記許可スキャンの終了時刻に基づいて、前記スキャン実行要求を送信するタイミングを判定する、付記1から4のいずれか一つに記載の情報収集システム。
[付記6]
前記サイドチャネルデータを処理することによりネットワーク負荷情報を算出するトラフィック情報処理部をさらに備え、
前記許可リスト生成部は、前記ネットワーク負荷情報を参照して、前記スキャンタイミング及び前記スキャン範囲を含む前記許可リストを生成し、
前記サイドチャネルデータは、トラフィックデータであり、
前記許可リスト生成部は、前記ネットワーク負荷情報が閾値よりも低い場合、前記アクティブスキャンが前記対象マシンに対して実行可能であると判定する、付記1から5のいずれか一つに記載の情報収集システム。
[付記7]
前記サイドチャネルデータを処理して消費電力負荷情報を導出する消費電力負荷情報処理部をさらに備え、
前記サイドチャネルデータは、消費電力データであり、
前記許可リスト生成部は、前記消費電力負荷情報を参照して、前記スキャンタイミング及び前記スキャン範囲を含む前記許可リストを生成し、
前記許可リスト生成部は、前記消費電力負荷情報が閾値よりも低い場合、前記アクティブスキャンが前記対象マシンに対して実行可能であると判定する、付記1から5のいずれか一つに記載の情報収集システム。
[付記8]
前記制御メッセージデータを処理して動作情報を抽出する制御メッセージ処理部をさらに備え、
前記許可リスト生成部は、前記サイドチャネルデータを参照して、前記スキャンタイミング及び前記スキャン範囲を含む前記許可リストを生成し、
前記サイドチャネルデータは、制御メッセージデータであり、
前記許可リスト生成部は、前記動作情報の動作状態が待機状態又は低負荷状態と一致する場合、前記アクティブスキャンが前記対象マシンに対して実行可能であると判定する、付記1から5のいずれか一つに記載の情報収集システム。
[付記9]
前記時刻情報及び高負荷信号を送信する前記対象マシンの前記IPアドレス情報を抽出する高負荷信号受信部と、
前記高負荷信号の受信に応答して前記スキャン実行要求の送信を停止するように構成されたスキャン制御部と、をさらに備え、
前記スキャン制御部は、現在時刻と前記高負荷信号の受信時刻との時間差が閾値未満である場合、前記許可リストの前記許可スキャンの開始時刻及び前記許可スキャンの終了時刻に基づく前記アクティブスキャンが実行可能な前記タイミングより前に前記スキャン実行要求の送信を停止すると判定する、付記5から8のいずれか一つに記載の情報収集システム。
[付記10]
前記高負荷信号の受信に応答してスキャン停止要求を送信するように構成されたスキャン制御部と、
前記スキャン停止要求に添付された前記IPアドレス情報に関連付けられた前記対象マシンの前記アクティブスキャンを停止するスキャン処理部と、をさらに備え、
前記スキャン制御部は、現在時刻が前記許可リストに記載された前記許可スキャンの開始時刻から前記許可スキャンの終了時刻までの時間と等しい場合、前記スキャン停止要求を送信すると判定する、付記5から9のいずれか一つに記載の情報収集システム。
[付記11]
サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出することと、
前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成することと、
前記許可リストをメモリに記憶することと、を含み
前記対象マシンのアクティブスキャンは、メモリに記憶された前記許可リストを参照することにより実行されて、前記対象マシンの資産情報を収集する、コンピュータにより実施される情報収集方法。
[付記12]
コンピュータに、
サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するステップと、
前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成するステップと、
前記許可リストをメモリに記憶するステップと、を実行させ、
前記対象マシンのアクティブスキャンは、メモリに記憶された前記許可リストを参照することにより実行されて、前記対象マシンの資産情報を収集する、プログラム。
[付記13]
コンピュータに、
サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するステップと、
前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成するステップと、
前記許可リストをメモリに記憶するステップと、を実行させるプログラムを格納し、
前記対象マシンのアクティブスキャンは、メモリに記憶された前記許可リストを参照して前記対象マシンの資産情報を収集することにより実行される、非一時的なコンピュータ読み取り可能な記憶媒体。
本開示は、システムの可用性を維持することを最優先とする重要インフラストクチャの制御システムで主に利用されるセキュリティ評価システムに適用可能であり、停止することなく安定した運用を行うことを意味する。
1 情報収集システム
2 情報収集システム
3 情報収集システム
4 情報収集システム
5 情報収集システム
11 サイドチャネル情報処理部
12 許可リスト生成部
13 許可リスト記憶部
14 スキャン結果記憶部
15 スキャン制御部
16 スキャン処理部
21 トラフィック情報処理部
22 許可リスト生成部
31 消費電力負荷情報処理部
32 許可リスト生成部
41 制御メッセージ処理部
42 許可リスト生成部
55 スキャン制御部
56 スキャン処理部
57 高負荷信号受信部

Claims (13)

  1. サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するサイドチャネル情報処理部と、
    前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成する許可リスト生成部と、
    前記許可リストを記憶する許可リスト記憶部と、を備え、
    前記対象マシンのアクティブスキャンは、前記許可リスト記憶部に記憶された前記許可リストを参照することにより実行されて、前記対象マシンの資産情報を収集する、情報収集システム。
  2. 前記スキャン範囲は、IPアドレス情報によって判定され、
    前記IPアドレス情報は、前記対象マシンのIPアドレス、前記対象マシンの前記IPアドレスが属するサブネットを表すネットワークアドレス、及び前記対象マシンの前記IPアドレスを含むIPアドレス範囲、のうちの少なくとも1つである、請求項1に記載の情報収集システム。
  3. 前記許可リスト生成部は、前記負荷情報に基づく時刻情報として許可スキャンの開始時刻及び許可スキャンの終了時刻を取得することにより前記スキャンタイミングを判定し、前記許可スキャンの開始時刻及び前記許可スキャンの終了時刻が互いに異なる場合に前記時刻情報を含む前記許可リストを生成するように構成されている、請求項1又は2に記載の情報収集システム。
  4. 前記許可リスト記憶部は、前記許可リストの前記データ項目として、前記許可スキャンの開始時刻及び前記許可スキャンの終了時刻を互いに関連付けた前記許可リストを記憶するデータベースをさらに含む、請求項1から3のいずれか一項に記載の情報収集システム。
  5. 前記許可リストを前記許可リスト記憶部から取得し、スキャン実行要求を送信するように構成されたスキャン制御部と、
    前記スキャン実行要求の受信に応答して前記アクティブスキャンを実行するスキャン処理部と、をさらに備え、
    前記スキャン制御部は、前記許可リストの前記許可スキャンの開始時刻及び前記許可スキャンの終了時刻に基づいて、前記スキャン実行要求を送信するタイミングを判定する、請求項1から4のいずれか一項に記載の情報収集システム。
  6. 前記サイドチャネルデータを処理することによりネットワーク負荷情報を算出するトラフィック情報処理部をさらに備え、
    前記許可リスト生成部は、前記ネットワーク負荷情報を参照して、前記スキャンタイミング及び前記スキャン範囲を含む前記許可リストを生成し、
    前記サイドチャネルデータは、トラフィックデータであり、
    前記許可リスト生成部は、前記ネットワーク負荷情報が閾値よりも低い場合、前記アクティブスキャンが前記対象マシンに対して実行可能であると判定する、請求項1から5のいずれか一項に記載の情報収集システム。
  7. 前記サイドチャネルデータを処理して消費電力負荷情報を導出する消費電力負荷情報処理部をさらに備え、
    前記サイドチャネルデータは、消費電力データであり、
    前記許可リスト生成部は、前記消費電力負荷情報を参照して、前記スキャンタイミング及び前記スキャン範囲を含む前記許可リストを生成し、
    前記許可リスト生成部は、前記消費電力負荷情報が閾値よりも低い場合、前記アクティブスキャンが前記対象マシンに対して実行可能であると判定する、請求項1から5のいずれか一項に記載の情報収集システム。
  8. 前記制御メッセージデータを処理して動作情報を抽出する制御メッセージ処理部をさらに備え、
    前記許可リスト生成部は、前記サイドチャネルデータを参照して、前記スキャンタイミング及び前記スキャン範囲を含む前記許可リストを生成し、
    前記サイドチャネルデータは、制御メッセージデータであり、
    前記許可リスト生成部は、前記動作情報の動作状態が待機状態又は低負荷状態と一致する場合、前記アクティブスキャンが前記対象マシンに対して実行可能であると判定する、請求項1から5のいずれか一項に記載の情報収集システム。
  9. 前記時刻情報及び高負荷信号を送信する前記対象マシンの前記IPアドレス情報を抽出する高負荷信号受信部と、
    前記高負荷信号の受信に応答して前記スキャン実行要求の送信を停止するように構成されたスキャン制御部と、をさらに備え、
    前記スキャン制御部は、現在時刻と前記高負荷信号の受信時刻との時間差が閾値未満である場合、前記許可リストの前記許可スキャンの開始時刻及び前記許可スキャンの終了時刻に基づく前記アクティブスキャンが実行可能な前記タイミングより前に前記スキャン実行要求の送信を停止すると判定する、請求項5から8のいずれか一項に記載の情報収集システム。
  10. 前記高負荷信号の受信に応答してスキャン停止要求を送信するように構成されたスキャン制御部と、
    前記スキャン停止要求に添付された前記IPアドレス情報に関連付けられた前記対象マシンの前記アクティブスキャンを停止するスキャン処理部と、をさらに備え、
    前記スキャン制御部は、現在時刻が前記許可リストに記載された前記許可スキャンの開始時刻から前記許可スキャンの終了時刻までの時間と等しい場合、前記スキャン停止要求を送信すると判定する、請求項5から9のいずれか一項に記載の情報収集システム。
  11. サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出することと、
    前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成することと、
    前記許可リストをメモリに記憶することと、を含み
    前記対象マシンのアクティブスキャンは、メモリに記憶された前記許可リストを参照することにより実行されて、前記対象マシンの資産情報を収集する、コンピュータにより実施される情報収集方法。
  12. コンピュータに、
    サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するステップと、
    前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成するステップと、
    前記許可リストをメモリに記憶するステップと、を実行させ、
    前記対象マシンのアクティブスキャンは、メモリに記憶された前記許可リストを参照することにより実行されて、前記対象マシンの資産情報を収集する、プログラム。
  13. コンピュータに、
    サイドチャネルデータを用いて、アクティブスキャンの対象マシンの可用性への影響を推定するための負荷情報を導出するステップと、
    前記負荷情報に基づいて、前記可用性が影響を受けないスキャンタイミング及びスキャン範囲を含む許可リストを生成するステップと、
    前記許可リストをメモリに記憶するステップと、を実行させるプログラムを格納し、
    前記対象マシンのアクティブスキャンは、メモリに記憶された前記許可リストを参照して前記対象マシンの資産情報を収集することにより実行される、非一時的なコンピュータ読み取り可能な記憶媒体。
JP2020569209A 2018-06-12 2018-06-12 情報収集システム、情報収集方法、及びプログラム Active JP7039810B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/023049 WO2019239608A1 (en) 2018-06-12 2018-06-12 Information collection system, information collection method, medium, and information collection program

Publications (2)

Publication Number Publication Date
JP2021527879A true JP2021527879A (ja) 2021-10-14
JP7039810B2 JP7039810B2 (ja) 2022-03-23

Family

ID=68841994

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020569209A Active JP7039810B2 (ja) 2018-06-12 2018-06-12 情報収集システム、情報収集方法、及びプログラム

Country Status (3)

Country Link
US (1) US20210243213A1 (ja)
JP (1) JP7039810B2 (ja)
WO (1) WO2019239608A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021144639A (ja) * 2020-03-13 2021-09-24 株式会社日立製作所 資産情報管理システム、及び資産情報管理方法
JP7485549B2 (ja) 2020-06-10 2024-05-16 株式会社国際電気通信基礎技術研究所 ネットワークスキャン装置、コンピュータに実行させるためのプログラムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体
JP7513251B2 (ja) 2020-06-10 2024-07-09 株式会社国際電気通信基礎技術研究所 ネットワークスキャン装置、コンピュータに実行させるためのプログラムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210243213A1 (en) * 2018-06-12 2021-08-05 Nec Corporation Information collection system, information collection method, medium, and information collection program
US11916950B1 (en) * 2021-04-12 2024-02-27 Vmware, Inc. Coordinating a distributed vulnerability network scan
US11528317B1 (en) 2021-05-05 2022-12-13 Vmware, Inc. Proxy-enabled communication across network boundaries by self-replicating applications

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012044281A (ja) * 2010-08-13 2012-03-01 Nippon Telegr & Teleph Corp <Ntt> セキュリティ装置及びフロー特定方法
US20130095768A1 (en) * 2011-10-12 2013-04-18 Broadcom Corporation System and Method for Scanning Wireless Channels
CN104821950A (zh) * 2015-05-12 2015-08-05 携程计算机技术(上海)有限公司 分布式的主机漏洞扫描方法
US20180013783A1 (en) * 2016-07-07 2018-01-11 CyGlass Inc. Method of protecting a communication network

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8621634B2 (en) * 2011-01-13 2013-12-31 F-Secure Oyj Malware detection based on a predetermined criterion
CN102244964B (zh) * 2011-07-07 2013-09-25 矽力杰半导体技术(杭州)有限公司 一种复合型多输出电源及其调节方法
TWI481979B (zh) * 2011-11-08 2015-04-21 Inst Information Industry Programmable logic controller drive system, method and recording media
US9756070B1 (en) * 2014-11-10 2017-09-05 Amazon Technologies, Inc. Scanning machine images to identify potential risks
US9622161B1 (en) * 2015-10-23 2017-04-11 Belden, Inc. Systems and methods for obtaining available channels for fast channel switching
EP3500968B1 (en) * 2016-08-18 2020-02-12 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus to secure and protect data-centers and generalized utility-based cloud computing environments from uninvited guests in the form of both hardware and software
CN106972933B (zh) * 2017-03-09 2019-08-02 杭州明特科技有限公司 一种用于能源信息网关的数据请求方法
US10885393B1 (en) * 2017-09-28 2021-01-05 Architecture Technology Corporation Scalable incident-response and forensics toolkit
US11223480B2 (en) * 2018-01-02 2022-01-11 Cyberark Software Ltd. Detecting compromised cloud-identity access information
US20190273718A1 (en) * 2018-03-01 2019-09-05 ShieldX Networks, Inc. Intercepting network traffic routed by virtual switches for selective security processing
US10924503B1 (en) * 2018-05-30 2021-02-16 Amazon Technologies, Inc. Identifying false positives in malicious domain data using network traffic data logs
US20210243213A1 (en) * 2018-06-12 2021-08-05 Nec Corporation Information collection system, information collection method, medium, and information collection program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012044281A (ja) * 2010-08-13 2012-03-01 Nippon Telegr & Teleph Corp <Ntt> セキュリティ装置及びフロー特定方法
US20130095768A1 (en) * 2011-10-12 2013-04-18 Broadcom Corporation System and Method for Scanning Wireless Channels
CN104821950A (zh) * 2015-05-12 2015-08-05 携程计算机技术(上海)有限公司 分布式的主机漏洞扫描方法
US20180013783A1 (en) * 2016-07-07 2018-01-11 CyGlass Inc. Method of protecting a communication network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021144639A (ja) * 2020-03-13 2021-09-24 株式会社日立製作所 資産情報管理システム、及び資産情報管理方法
JP7274438B2 (ja) 2020-03-13 2023-05-16 株式会社日立製作所 資産情報管理システム、及び資産情報管理方法
JP7485549B2 (ja) 2020-06-10 2024-05-16 株式会社国際電気通信基礎技術研究所 ネットワークスキャン装置、コンピュータに実行させるためのプログラムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体
JP7513251B2 (ja) 2020-06-10 2024-07-09 株式会社国際電気通信基礎技術研究所 ネットワークスキャン装置、コンピュータに実行させるためのプログラムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体

Also Published As

Publication number Publication date
WO2019239608A1 (en) 2019-12-19
US20210243213A1 (en) 2021-08-05
JP7039810B2 (ja) 2022-03-23

Similar Documents

Publication Publication Date Title
JP7039810B2 (ja) 情報収集システム、情報収集方法、及びプログラム
Cameron et al. Using self-organizing architectures to mitigate the impacts of denial-of-service attacks on voltage control schemes
US9686292B2 (en) System and method for continuous device profiling
US10291630B2 (en) Monitoring apparatus and method
Alcaraz et al. Security aspects of SCADA and DCS environments
US20180124020A1 (en) Feature-based classification of individual domain queries
Agarwal et al. Intrusion detection system for PS-Poll DoS attack in 802.11 networks using real time discrete event system
US9866577B2 (en) Method for detecting intrusions on a set of virtual resources
KR102182045B1 (ko) 제어 장치 및 제어 장치 시스템
Beraud et al. Cyber defense network maneuver commander
US20170024983A1 (en) System and method for tamper detection on distributed utility infrastructure
van der Steeg et al. Real-time DDoS attack detection for Cisco IOS using NetFlow
Khan et al. Resource management based secure trust model for WSN
Appiah-Kubi et al. Decentralized intrusion prevention (DIP) against co-ordinated cyberattacks on distribution automation systems
Kim et al. Intrusion detection and identification using tree-based machine learning algorithms on DCS network in the oil refinery
RU2630415C2 (ru) Способ обнаружения аномальной работы сетевого сервера (варианты)
KR102308814B1 (ko) 사물 인터넷 데이터 분류장치 및 그를 포함하는 사물 인터넷 데이터 전송장치
Bi et al. Observer-based attack detection and mitigation for load frequency control system
Al Baalbaki et al. Autonomic critical infrastructure protection (acip) system
Tahmassebpour Immediate detection of DDoS attacks with using NetFlow on cisco devices IOS
US20210382988A1 (en) Robust monitoring of computer systems and/or control systems
Savola et al. On-Line and Off-Line Security Measurement Framework for Mobile Ad Hoc Networks.
Shen et al. Cross‐layer security design for encrypted CPS based on modified security signalling game
Constante-Flores et al. Stealthy monitoring-control attacks to disrupt power system operations
Shen et al. Blockchain-Assisted Integrity Attestation of Distributed Dependency IoT Services

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201211

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20201211

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220217

R150 Certificate of patent or registration of utility model

Ref document number: 7039810

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150