JP2022038148A - 配信処理装置、配信処理プログラム及び配信処理方法 - Google Patents
配信処理装置、配信処理プログラム及び配信処理方法 Download PDFInfo
- Publication number
- JP2022038148A JP2022038148A JP2020142481A JP2020142481A JP2022038148A JP 2022038148 A JP2022038148 A JP 2022038148A JP 2020142481 A JP2020142481 A JP 2020142481A JP 2020142481 A JP2020142481 A JP 2020142481A JP 2022038148 A JP2022038148 A JP 2022038148A
- Authority
- JP
- Japan
- Prior art keywords
- information
- incident
- distribution processing
- notification
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
【課題】インシデント検出装置から通知されるインシデント詳細情報とインシデント対応手順とをセキュリティ関係者に連絡する時間を短縮できる配信処理装置を提供する。【解決手段】配信処理装置は、ネットワークに接続された監視対象装置に関係するセキュリティインシデントの通知を出力するインシデント検出装置から受付けた当該通知に基づいて、当該通知の詳細情報である第1情報を生成して、第1情報を音声情報として音声パケットを用いて通信端末装置に通知する第1配信処理部と、第1情報からセキュリティインシデントに対応するための対応手順の情報である第2情報を生成して、第2情報を可視情報として通信端末装置に通知する第2配信処理部と、を有する。【選択図】図1
Description
本発明は、インシデントに対応する手順情報を配信できるインシデント対応手順配信システムの配信処理装置、配信処理プログラム及び配信処理方法に関する。
情報セキュリティインシデントは、事業運営を危うくする確率および情報セキュリティを脅かす確率が高い、望まない又は予期しない単独若しくは一連の情報セキュリティ事象である(ISO/IEC 17799)。情報セキュリティインシデント(ここでは単にインシデント又はセキュリティインシデントともいう)はコンピュータの利用や情報管理、情報システム運用に関して保安(セキュリティ)上の脅威となる事象として知られている。インシデントの例としては、コンピュータウイルス等のマルウェア感染、不正アクセス、アカウント乗っ取り(なりすまし)、Webサイトの改竄、情報漏洩、迷惑メール送信、サービス拒否攻撃(DoS攻撃)、情報機器や記憶媒体の紛失や盗難等が含まれる。さらに、コンピュータの機器やシステムにおけるサービスや施設の停止、システム動作の不良、過負荷等もインシデントに含まれる。
企業内外にて構築されている各種コンピュータシステム等の監視対象装置に対するサイバー攻撃がなされた場合や顧客情報や機密情報を外部に流出させてしまう等のインシデントに対する有効な対策として、インシデントの相関と標準化を行うセキュリティ情報管理(SIM:Security Information Management)の技術や、インシデントの収集と集約を行うセキュリティ事象管理SEM(SEM:Security Event Management)の技術や、これら技術を統合したセキュリティ情報事象管理(SIEM:Security Information and Event Management)の技術がある。
特許文献1には、インシデント検出装置であるセキュリティ情報事象管理用の装置又はシステム(以下、SIEM装置ともいう)と共に使用される、ログデータを処理するためのロギングシステム装置が記載されている。また、SIEM装置が、ログ情報を収集して、インシデントに関わるインシデント検査および報告を行うことを開示している。
一般的に、SIEM装置は、コンピュータシステム内の接続されている種々のネットワーク装置のログデータを一元管理して、ログデータに基づいてリアルタイムに相関分析を実施し、脅威となりうる事象に対してセキュリティインシデント情報を担当者(オペレータ)の情報端末にて表示する。担当者は、表示されたセキュリティインシデント情報に基づいて、関係各所にインシデントの連絡を実施して各セキュリティ担当者がインシデント対応を当該コンピュータシステムに施す。
従来のロギングシステム装置をSIEM装置に導入しても、SIEM装置はリアルタイムに相関分析を実施し、インシデントを通知するけれども、インシデントの通知を知るためには、SIEM装置の管理画面を関係者が見る必要がある。よって、基本的にSIEM装置の管理画面は定期的に確認するため、リアルタイムにインシデントの確認ができない問題があった。さらにインシデントの内容を精査し、関係各所に連絡するまで時間が掛かる問題があった。
本発明は、上記した従来の問題に鑑みなされたものであり、SIEM装置等のインシデント検出装置から通知されるインシデント詳細情報とインシデント対応手順とをセキュリティ関係者に連絡する時間を短縮できるインシデント対応手順配信システムの配信処理装置を提供することを目的とする。
本発明の配信処理装置は、ネットワークに接続された監視対象装置に関係するセキュリティインシデントの通知を出力するインシデント検出装置から受付けた当該通知に基づいて、当該通知の詳細情報である第1情報を生成して、前記第1情報を音声情報として音声パケットを用いて通信端末装置に通知する第1配信処理部と、前記第1情報から前記セキュリティインシデントに対応するための対応手順の情報である第2情報を生成して、前記第2情報を可視情報として前記通信端末装置に通知する第2配信処理部と、を有することを特徴とする。
本発明の配信処理プログラムは、コンピュータを、
ネットワークに接続された監視対象装置に関係するセキュリティインシデントの通知を出力するインシデント検出装置から受付けた当該通知に基づいて、当該通知の詳細情報である第1情報を生成して、前記第1情報を音声情報として音声パケットを用いて通信端末装置に通知する第1配信処理部と、
前記第1情報から前記セキュリティインシデントに対応するための対応手順の情報である第2情報を生成して、前記第2情報を可視情報として前記通信端末装置に通知する第2配信処理部と、
して機能として機能させることを特徴とする。
ネットワークに接続された監視対象装置に関係するセキュリティインシデントの通知を出力するインシデント検出装置から受付けた当該通知に基づいて、当該通知の詳細情報である第1情報を生成して、前記第1情報を音声情報として音声パケットを用いて通信端末装置に通知する第1配信処理部と、
前記第1情報から前記セキュリティインシデントに対応するための対応手順の情報である第2情報を生成して、前記第2情報を可視情報として前記通信端末装置に通知する第2配信処理部と、
して機能として機能させることを特徴とする。
本発明の配信処理装置の配信処理方法は、前記配信処理装置において、ネットワークに接続された監視対象装置に関係するセキュリティインシデントの通知を出力するインシデント検出装置から受付けた当該通知に基づいて、当該通知の詳細情報である第1情報を生成して、前記第1情報を音声情報として音声パケットを用いて通信端末装置に通知する第1配信処理ステップと、前記第1情報から前記セキュリティインシデントに対応するための対応手順の情報である第2情報を生成して、前記第2情報を可視情報として前記通信端末装置に通知する第2配信処理ステップと、を有することを特徴とする。
本発明によれば、SIEM装置からのインシデントの調査に必要な情報をピックアップし、インシデントの詳細情報の作成から該詳細情報を基にしたインシデントの対応手順の作成までを自動化し、それらインシデントの詳細情報と対応手順を自動配信しているので、インシデント対応処理時間を短縮できるインシデント対応手順配信システムを実現できる。
以下、図面を参照しつつ本発明による実施例のインシデント対応手順配信システムの例について説明する。なお、本発明は以下の実施例に限定されるものではない。
[システム構成例]
図1は、ネットワークIPに接続された監視対象装置WDに関係するインシデントに対応する手順情報を配信する本実施例のインシデント対応手順配信システム100を示すシステム構成例の一例の概略説明図である。図2は、当該インシデント対応手順配信システムにおけるSIEM装置101とインシデント可視化装置102とVoIP(Voice over Internet Protocol)装置103の構成を示す。
図1は、ネットワークIPに接続された監視対象装置WDに関係するインシデントに対応する手順情報を配信する本実施例のインシデント対応手順配信システム100を示すシステム構成例の一例の概略説明図である。図2は、当該インシデント対応手順配信システムにおけるSIEM装置101とインシデント可視化装置102とVoIP(Voice over Internet Protocol)装置103の構成を示す。
図2に示すように、このインシデント対応手順配信システム100は、SIEM装置101とインシデント可視化装置102とVoIP装置103を含む。
インシデント対応手順配信システム100は、IPネットワークIPに接続され、このネットワークを介して複数の監視対象装置WDおよびオペレータ端末108と、複数のセキュリティ関係者104、105、106、107の通信端末装置104a、105a、106a、107aに有線又は無線で接続されている。IPネットワークIPの接続形態は、インターネットの他、例えば電話回線網、衛星通信網等の公衆回線網や、各種のLAN(Local Area Network)、WAN(Wide Area Network)、VoPN(Voice over Packet Network)のような専用回線網を含むものであってもよい。IPネットワークIPは、通信端末装置である、固定電話機、携帯電話機、PHS電話機、携帯通信端末およびパーソナルコンピュータに接続可能であるものである。なお、インシデント対応手順配信システム100とIPネットワークIPとの接続には図示しないがファイアウォールを介している。
[SIEM装置]
SIEM装置101は、複数の監視対象装置WDから出力されるログデータを、ネットワークを介して収集し、これらを一元管理する。また、SIEM装置101は、収集したログデータを相関分析してインシデント検査して、ログデータの関分析の結果から脅威がある事象がある場合にインシデント情報のインシデント通知201をインシデント可視化装置102に発出する。インシデント通知201は、SIEM装置101が相関分析を実施した結果から脅威となる事象の警告情報である。SIEM装置101は、オペレータ端末108からのユーザの操作により監視対象装置WDを監視し、保守し、操作する機能を備えている。
SIEM装置101は、複数の監視対象装置WDから出力されるログデータを、ネットワークを介して収集し、これらを一元管理する。また、SIEM装置101は、収集したログデータを相関分析してインシデント検査して、ログデータの関分析の結果から脅威がある事象がある場合にインシデント情報のインシデント通知201をインシデント可視化装置102に発出する。インシデント通知201は、SIEM装置101が相関分析を実施した結果から脅威となる事象の警告情報である。SIEM装置101は、オペレータ端末108からのユーザの操作により監視対象装置WDを監視し、保守し、操作する機能を備えている。
監視対象装置WDは、ログ管理がなされるSIEM装置101の対象機器であり、例えば、ファイアウォールやIPS(Intrusion Prevention System)等のネットワーク機器や認証サーバ、Webプロキシサーバ、システム機器の権限を管理するサーバ(LDAP(Lightweight Directory Access Protocol)サーバ、RADIUS(Remote Authentication Dial-in User Serviceサーバ(ダイヤルアップ接続ユーザ認証))等)、メールサーバ、データベースサーバ、ファイルサーバ、クライアントのPC(Personal Computer)が含まれ、例えばサーバやスイッチやルータ等や侵入防止システム(IPS:Intrusion Prevention System)等も含まれる。
なお、SIEM装置101のハードウエアは、ソフトウエアのオペレーティングシステム(Operating System)で制御されるSIEMプログラムをインストールしたコンピュータ装置で実現することができる。SIEM装置101は、図示しないが、CPU(Central Processing Unit)と、RAM(Random Access Memory)、ハードディスク装置やSSD(solid state drive)等の記憶部を含み、記憶部に格納された所定のプログラムに従い、CPUがRAMを一次記憶用ワークメモリとして利用して、SIEM処理を実行するコンピュータ装置である。SIEM装置101は、キーボード、モニター等の入出力装置や、USB(Universal Serial Bus)や、ネットワーク接続部(NIC:Network Interface Card)をも含む。なお、SIEM装置101は、インシデント可視化装置102に直接接続されていてもよい。
[インシデント可視化装置]
インシデント可視化装置102は、SIEM装置101から通知されたインシデント通知201を受信して受付ける機能(受付部102a)を有する。インシデント可視化装置102は、インシデント情報を受付けてインシデント通知内容を自動分析し、インシデント詳細情報203等を可読な言語情報の結果として出力する通知機能(音声配信部102b)を有する。音声配信部102bは、事前登録してある連絡先に、後述のインシデント詳細情報を、VoIP装置103を介してパケット発信(プッシュ通知)できるように音声データに変換し、インシデント可視化装置102に接続されているVoIP装置103に送信する。VoIP装置103は、音声パケットをネットワークIPに中継するVoIPルータである。
インシデント可視化装置102は、SIEM装置101から通知されたインシデント通知201を受信して受付ける機能(受付部102a)を有する。インシデント可視化装置102は、インシデント情報を受付けてインシデント通知内容を自動分析し、インシデント詳細情報203等を可読な言語情報の結果として出力する通知機能(音声配信部102b)を有する。音声配信部102bは、事前登録してある連絡先に、後述のインシデント詳細情報を、VoIP装置103を介してパケット発信(プッシュ通知)できるように音声データに変換し、インシデント可視化装置102に接続されているVoIP装置103に送信する。VoIP装置103は、音声パケットをネットワークIPに中継するVoIPルータである。
更に、インシデント可視化装置102は、インシデントの詳細情報を生成する詳細化モジュール202と、該インシデントの詳細情報からインシデントに対応する手順(インシデント対応手順情報205)を生成するインシデント対応手順作成モジュール204と、事前登録してある連絡先に電子メールでインシデント対応手順情報205を配信(プッシュ通知)するメール配信モジュール206と、過去にインシデント対応した手順を登録、保管するためのインシデント対応手順登録モジュール208とを有する。
かかるインシデント可視化装置102のハードウエアは、ソフトウエアのオペレーティングシステムで制御されるインシデント可視化プログラムをインストールしたコンピュータ装置で実現することができる。インシデント可視化装置102は、図示しないが、CPUと、RAM、ハードディスク装置やSSD等の記憶部を含み、記憶部に格納された配信処理プログラムに従い、CPUがRAMを一次記憶用ワークメモリとして利用して、インシデント可視化処理を実行するコンピュータ装置である。インシデント可視化装置102は、キーボード、モニター等の入出力装置や、USBや、ネットワーク接続部をも含む。なお、インシデント可視化装置102はVoIP装置103に直接接続されている。
[詳細化モジュール202]
詳細化モジュール202は、入力されたインシデント通知201に記載されている項目から事前に登録しているピックアップ項目を元にインシデント詳細情報203を作成する。
詳細化モジュール202は、入力されたインシデント通知201に記載されている項目から事前に登録しているピックアップ項目を元にインシデント詳細情報203を作成する。
詳細化モジュール202は、SIEM装置101から発報された一次データのインシデント通知201のインシデント情報からインシデント調査に必要な情報をピックアップし解析して二次データのインシデント詳細情報203を作成する。インシデント詳細情報203は、インシデント可視化装置102で調査に必要なインシデント情報をピックアップしたインシデントの詳細情報である。
このように、インシデント情報の詳細化モジュール202は、インシデント詳細情報203にまとめる機能を有する。インシデント詳細情報203は、音声配信部102bとインシデント対応手順作成モジュール204に入力される。
音声配信部102bは、入力されたインシデント情報203を、VoIP装置103を介して発信できるように音声データに変換し、これを連絡先データと共にインシデント可視化装置102に接続されているVoIP装置103に送信する。VoIP装置103は、インシデント情報203を、IPネットワークIPを介して連絡先の通信端末装置104a、105a、106a、107a等へプッシュ通知する。
[VoIPシステム]
このように、VoIP装置103は、インシデント可視化装置102の音声配信部102bから出力されるインシデント詳細情報203を音声データとして音声パケット化して、セキュリティ関係者104、105、106、107に対応する通信端末装置105a、106a、107aにVoIP配信する。すなわち、VoIP装置103は、事前に登録している複数のセキュリティ担当者105、106、107、さらに登録されたインシデント管理者104にインシデント詳細情報203を自動配信する。
このように、VoIP装置103は、インシデント可視化装置102の音声配信部102bから出力されるインシデント詳細情報203を音声データとして音声パケット化して、セキュリティ関係者104、105、106、107に対応する通信端末装置105a、106a、107aにVoIP配信する。すなわち、VoIP装置103は、事前に登録している複数のセキュリティ担当者105、106、107、さらに登録されたインシデント管理者104にインシデント詳細情報203を自動配信する。
詳細化モジュール202と音声配信部102bとVoIP装置103は、インシデント通知201に基づいて、当該通知のインシデント詳細情報203(第1情報)を生成して、インシデント詳細情報203を音声情報として音声パケットを用いて連絡先の通信端末装置104a、105a、106a、107aに通知する第1配信処理部として機能する。
連絡先の複数のセキュリティ関係者は、複数のセキュリティ担当者105、106、107と、システムのインシデントを管理する少なくとも1人のインシデント管理者104とで構成されてもよい。インシデント管理者104は、セキュリティ担当者等を管理する管理者で会って、発生したインシデントに対応処理するだけでなく、インシデントが発生した都度に、インシデント対応手順登録モジュール208に新規インシデント情報、手順の追加やインシデント詳細情報、手順の更新情報を登録する。セキュリティ担当者105、106、107は、発生したインシデントに対応して、問題となった監視対象装置WDに対応手順により復旧等を実施する担当者である。インシデント管理者104を含めキュリティ関係者104、105、106、107全員に音声配信を行う。これにより、インシデント管理者104がインシデント可視化装置102の近くに居なくとも、インシデント知見やインシデント対応できるようになる。
セキュリティ関係者104、105、106、107(通信端末装置104a、105a、106a、107a)の情報は、インシデント可視化装置102において、インシデント対応スキルレベルに応じて事前登録され、該担当者の連絡先も事前登録されている。音声配信部102bとメール配信モジュール206とで共用する記憶部には、担当者情報ファイルが構築されている。セキュリティ担当者情報には、セキュリティ担当者ID、セキュリティ担当者名、担当システムやサーバのID、スキルレベルの程度評価、担当者を追跡できる連絡先として、電話番号、および、E-Mailアドレスが対応づけて登録されている。その他、Twitter(登録商標)、Facebook(登録商標)、Line(登録商標)等のSNS(social networking service)の担当者通知先(プッシュ通知の設定がなされている通信端末装置)が担当者情報ファイルに登録されていてもよい。
[インシデント対応手順作成モジュール204]
インシデント対応手順作成モジュール204は、入力されたインシデント詳細情報203からインシデント対応手順情報205を作成する。インシデント対応手順情報205は、インシデント詳細情報203から作成したインシデントに対応するため対応手順情報である。
インシデント対応手順作成モジュール204は、入力されたインシデント詳細情報203からインシデント対応手順情報205を作成する。インシデント対応手順情報205は、インシデント詳細情報203から作成したインシデントに対応するため対応手順情報である。
インシデント対応手順作成モジュール204は、インシデント詳細情報203を元に後述のインシデント対応手順登録モジュール208に保管されている過去のインシデント対応手順を参照しつつインシデント対応手順情報205を作成する。インシデント対応手順作成モジュール204の参照は、図2の矢印210に示す。
インシデント対応手順作成モジュール204は、インシデント対応手順登録モジュール208を参照し、インシデント詳細情報203(第1情報)に応じて過去のインシデントに対応する過去のインシデント対応項目の有無を判断して、過去のインシデント対応項目があればそれを選択し、選択した過去のインシデント対応項目を含むインシデント対応手順情報205(第2情報)として生成し、これをメール配信モジュール206へ入力する。
[インシデント対応手順登録モジュール208]
インシデント対応手順登録モジュール208は、登録された過去のインシデントおよびこれに対応した過去の対応手順を保持する。インシデント対応手順登録モジュール208への過去データ(過去にインシデントに対応した手順等)の登録は、図2の矢印209に示すように、入出力装置と受付部102aを介して、インシデント管理者104により事前又は事後に行われる。
インシデント対応手順登録モジュール208は、登録された過去のインシデントおよびこれに対応した過去の対応手順を保持する。インシデント対応手順登録モジュール208への過去データ(過去にインシデントに対応した手順等)の登録は、図2の矢印209に示すように、入出力装置と受付部102aを介して、インシデント管理者104により事前又は事後に行われる。
[メール配信モジュール206]
メール配信モジュール206は、入力されたインシデント対応手順情報205を含むメール207を、事前登録してある連絡先の通信端末装置104a、105a、106a、107a(セキュリティ関係者104、105、106、107)に対して自動でメール配信する。
メール配信モジュール206は、入力されたインシデント対応手順情報205を含むメール207を、事前登録してある連絡先の通信端末装置104a、105a、106a、107a(セキュリティ関係者104、105、106、107)に対して自動でメール配信する。
このように、インシデント対応手順作成モジュール204とメール配信モジュール206とインシデント対応手順登録モジュール208は、過去のインシデントおよびこれに対応した過去の対応項目を保持(インシデント対応手順登録モジュール208)し、インシデント詳細情報203(第1情報)に応じて過去のインシデントに対応する過去のインシデント対応項目の有無を判断して、過去のインシデント対応項目があればそれを選択し、選択した過去のインシデント対応項目を含むインシデント対応手順情報205(第2情報)として生成(インシデント対応手順作成モジュール204)して、これを通信端末装置104a、105a、106a、107aに通知する第2配信処理部として機能する。前記第2配信処理部は、VoIP装置を介さないために、これら通信端末装置に対して、第1配信処理部で用いる音声パケットと異なるパケットを用いてインシデント対応手順情報205(第2情報)を通知する。当該メールは、電子メールの他、Twitter(登録商標)、Facebook(登録商標)、Line(登録商標)等の音声パケットと異なるパケットを用い可読、可視情報として配信することもできる。
(動作の説明)
図1、図2の構成図を踏まえて、インシデント対応手順配信システム100の動作を説明する。本実施例のインシデント対応手順配信システムの動作フロー図を図3に示す。
図1、図2の構成図を踏まえて、インシデント対応手順配信システム100の動作を説明する。本実施例のインシデント対応手順配信システムの動作フロー図を図3に示す。
図3に示すように、SIEM装置101は、保持しているログデータから相関分析を実施する(S1)。SIEM装置101は、相関分析で脅威となる事象のインシデントを検知(S2)するとインシデントの通知(インシデント通知201)を実施する(S3)。
インシデント通知201は、インシデント可視化装置102の受付部102aに入力される。受付部102aは、インシデント通知201を受付けて、インシデント通知201を、インシデント可視化装置102の内部にあるインシデント情報の詳細化モジュール202に入力する。
当該詳細化モジュール202は、インシデント情報からインシデント調査に必要な情報をピックアップし、インシデント詳細情報の作成を行う(S4)。ピックアップするインシデント詳細情報は、カスタマイズ可能とする。詳細化モジュール202で作成されたインシデント詳細情報203は、インシデント対応手順作成モジュール204に入力される。
インシデント詳細情報203の一例のイメージを図4に示す。なお、インシデント詳細情報203の項目は、複数のセキュリティ担当者105、106、107、インシデント管理者104がインシデント可視化装置102にアクセスして、SIEM装置101から出力されたインシデント項目からピックアップする項目をカスタマイズ可能とする。
インシデント詳細情報203は、VoIP装置103とインシデント対応手順作成モジュール204に送信される。
VoIP装置103は、インシデント詳細情報203を事前に登録している複数のセキュリティ担当者にメールで自動音声配信する(S5)。
かかる自動音声配信は、例えばプッシュ通知技術を用いてセキュリティ関係者104、105、106、107の通信端末装置104a、105a、106a、107aに直接行う。これら通信端末装置は、スマートフォン、固定電話機、携帯電話機、PHS電話機、携帯通信端末又はパーソナルコンピュータであってもよい。
自動音声配信を受けたインシデント管理者104は、インシデントが発生した都度、インシデント対応手順登録モジュール208に新規インシデント情報、手順の追加やインシデント詳細情報、手順の更新情報を登録する(S6:矢印209)。なお、インシデント対応手順登録モジュール208への各種情報登録は、図4に示すように、インシデント管理者104により、インシデント対応手順配信システムの配信動作の事前(S6a)又は事後(S6b)に行われてもよい。
次に、インシデント対応手順作成モジュール204は、インシデント詳細情報203からインシデント対応手順を作成する(S7)。インシデント対応手順は、インシデント対応手順登録モジュール208に過去のデータとして保管されている。
インシデント対応手順は、図4のインシデント詳細情報203の説明(すなわちインシデント)の項目に対してまとめられているので、インシデント対応手順作成モジュール204は、図4のインシデント詳細情報203の説明の項目を参照し、類似している順に登録されている手順を絞り込む。
その後、インシデント対応手順作成モジュール204は、送信元IPアドレス、宛先IPアドレス、ユーザ名、ホスト名、発生時間等の情報を元に対応手順を決める。
例えば、図4に示しているインシデント詳細情報203の説明(インシデント)の項目に「ログイン失敗」の結果が表示されている場合は、ログイン失敗の関連するインシデント対応手順を検索する。送信元IPアドレス、宛先IPアドレス、ユーザ名、ホスト名が内部ネットワークであれば、ユーザ名に確認する手順になる。もし外部ネットワークであれば、詳細調査の手順になる。
インシデント対応手順作成モジュール204は、インシデント詳細情報203に応じて過去のインシデントに対応する過去のインシデント対応項目の有無を判断して(S8)、過去のインシデント対応項目があれば(S8:Y)、それを選択し(S9)、選択した過去のインシデント対応項目を含むインシデント対応手順情報205として生成し、これをメール配信モジュール206に入力する。
メール配信モジュール206は、入力されたインシデント対応手順情報205を含むメール207を事前に登録している複数のセキュリティ担当者105、106、107に自動配信する(S10)。
インシデント対応手順登録モジュール208に同一又は類似のインシデントの対応手順が登録されていない場合(S8:N)は、インシデント対応手順作成モジュール204からインシデント対応手順が無い情報をメール配信モジュール206に送信する。メール配信モジュール206は、インシデント対応手順が無い情報を受信すると、インシデント対応手順が無い情報を含むメール207を複数のセキュリティ担当者105、106、107に送信する(S11)。
(効果の説明)
このように、本実施例によれば、SIEM装置101から出力されるインシデント通知201をインシデント可視化装置102やVoIP装置103を使用して自動配信することにより、セキュリティ関係者104、105、106、107に連絡するまでの時間と、複数のセキュリティ担当者105、106、107の一次対応時間を大幅に短縮することができる。
このように、本実施例によれば、SIEM装置101から出力されるインシデント通知201をインシデント可視化装置102やVoIP装置103を使用して自動配信することにより、セキュリティ関係者104、105、106、107に連絡するまでの時間と、複数のセキュリティ担当者105、106、107の一次対応時間を大幅に短縮することができる。
以上のように、本実施例により、インシデント発生後に、VoIPシステムでインシデント連絡を行うことでメールより早くセキュリティ関係者がインシデントに気づくことができ、インシデント対応に着手する時間を削減することが可能になる。また、SIEM装置101のインシデントから調査に必要な情報作成と対応手順作成を自動化することで、情報セキュリティ関係者がインシデントを調査する時間を削除できる。なお、本発明は、上記実施例に限定されず、インシデントを出力している全ての装置や、運用監視しているコンピュータシステムに適応可能である。
100 インシデント対応手順配信システム
101 SIEM装置
102 インシデント可視化装置
102a 受付部
102b 音声配信部
103 VoIP装置
104、105、106、107 セキュリティ関係者
104a、105a、106a、107a 通信端末装置
108 ペレータ端末
201 インシデント通知
202 詳細化モジュール
203 インシデント詳細情報
204 インシデント対応手順作成モジュール
205 インシデント対応手順情報
206 メール配信モジュール
207 メール
208 インシデント対応手順登録モジュール
WD 監視対象装置
IP ネットワーク
101 SIEM装置
102 インシデント可視化装置
102a 受付部
102b 音声配信部
103 VoIP装置
104、105、106、107 セキュリティ関係者
104a、105a、106a、107a 通信端末装置
108 ペレータ端末
201 インシデント通知
202 詳細化モジュール
203 インシデント詳細情報
204 インシデント対応手順作成モジュール
205 インシデント対応手順情報
206 メール配信モジュール
207 メール
208 インシデント対応手順登録モジュール
WD 監視対象装置
IP ネットワーク
Claims (8)
- ネットワークに接続された監視対象装置に関係するセキュリティインシデントの通知を出力するインシデント検出装置から受付けた当該通知に基づいて、当該通知の詳細情報である第1情報を生成して、前記第1情報を音声情報として音声パケットを用いて通信端末装置に通知する第1配信処理部と、
前記第1情報から前記セキュリティインシデントに対応するための対応手順の情報である第2情報を生成して、前記第2情報を可視情報として前記通信端末装置に通知する第2配信処理部と、
を有することを特徴とする配信処理装置。 - 前記第2配信処理部は、過去のセキュリティインシデントおよびこれに対応した過去の対応項目を保持し、前記第1情報に応じて前記過去のセキュリティインシデントに対応する前記過去の対応項目の有無を判断して、前記過去の対応項目があればそれを選択し、前記選択した過去の対応項目を含む前記第2情報として生成する対応手順作成部を有する
ことを特徴とする請求項1に記載の配信処理装置。 - 前記第2配信処理部は、前記通信端末装置に対して、音声パケットと異なるパケットを用いて前記第2情報を通知する
ことを特徴とする請求項1又は2に記載の配信処理装置。 - 前記音声パケットと異なるパケットは、電子メールを含むプッシュ通知である
ことを特徴とする請求項3に記載の配信処理装置。 - 前記第1配信処理部は、前記第1情報を前記音声パケットに変換する変換部と、前記音声パケットを前記ネットワークに中継するVoIPルータと、を有する
ことを特徴とする請求項1乃至4のいずれか一項に記載の配信処理装置。 - 前記通信端末装置は、スマートフォン、固定電話機、携帯電話機、PHS電話機、携帯通信端末又はパーソナルコンピュータである
ことを特徴とする請求項1乃至5のいずれか一項に記載の配信処理装置。 - コンピュータを、
ネットワークに接続された監視対象装置に関係するセキュリティインシデントの通知を出力するインシデント検出装置から受付けた当該通知に基づいて、当該通知の詳細情報である第1情報を生成して、前記第1情報を音声情報として音声パケットを用いて通信端末装置に通知する第1配信処理部として、
前記第1情報から前記セキュリティインシデントに対応するための対応手順の情報である第2情報を生成して、前記第2情報を可視情報として前記通信端末装置に通知する第2配信処理部として、
機能させるための配信処理プログラム。 - 配信処理装置の配信処理方法であって、
前記配信処理装置において、ネットワークに接続された監視対象装置に関係するセキュリティインシデントの通知を出力するインシデント検出装置から受付けた当該通知に基づいて、当該通知の詳細情報である第1情報を生成して、前記第1情報を音声情報として音声パケットを用いて通信端末装置に通知する第1配信処理ステップと、
前記第1情報から前記セキュリティインシデントに対応するための対応手順の情報である第2情報を生成して、前記第2情報を可視情報として前記通信端末装置に通知する第2配信処理ステップと、
を有することを特徴とする配信処理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020142481A JP2022038148A (ja) | 2020-08-26 | 2020-08-26 | 配信処理装置、配信処理プログラム及び配信処理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020142481A JP2022038148A (ja) | 2020-08-26 | 2020-08-26 | 配信処理装置、配信処理プログラム及び配信処理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2022038148A true JP2022038148A (ja) | 2022-03-10 |
Family
ID=80497809
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020142481A Pending JP2022038148A (ja) | 2020-08-26 | 2020-08-26 | 配信処理装置、配信処理プログラム及び配信処理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2022038148A (ja) |
-
2020
- 2020-08-26 JP JP2020142481A patent/JP2022038148A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10601844B2 (en) | Non-rule based security risk detection | |
| US10320814B2 (en) | Detection of advanced persistent threat attack on a private computer network | |
| US9038178B1 (en) | Detection of malware beaconing activities | |
| US6775657B1 (en) | Multilayered intrusion detection system and method | |
| CN1656731B (zh) | 基于多方法网关的网络安全系统和方法 | |
| JP2019067398A (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
| US10348754B2 (en) | Data security incident correlation and dissemination system and method | |
| US20100325685A1 (en) | Security Integration System and Device | |
| CN103746956A (zh) | 虚拟蜜罐 | |
| US11729134B2 (en) | In-line detection of algorithmically generated domains | |
| US12003537B2 (en) | Mitigating phishing attempts | |
| Zulkifli et al. | Live Forensics Method for Analysis Denial of Service (DOS) Attack on Routerboard | |
| US20180183819A1 (en) | System to detect machine-initiated events in time series data | |
| CN115917513A (zh) | 使用统计有效载荷指纹自动化iot设备标识 | |
| Caesarano et al. | Network forensics for detecting SQL injection attacks using NIST method | |
| US10135853B2 (en) | Multi-tier aggregation for complex event correlation in streams | |
| CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
| CN109842587B (zh) | 监测系统安全的方法和装置 | |
| KR20050055996A (ko) | 종합 보안 상황 관리 시스템 | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| JP2020161017A (ja) | セキュリティインシデント可視化システム | |
| Jadhav et al. | Detection and mitigation of arp spoofing attack | |
| JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
| JP2022038148A (ja) | 配信処理装置、配信処理プログラム及び配信処理方法 | |
| TWM564751U (zh) | Hacker attack detection system |