JP2022069989A - Action evaluation device and method for cyber defense training - Google Patents
Action evaluation device and method for cyber defense training Download PDFInfo
- Publication number
- JP2022069989A JP2022069989A JP2020178978A JP2020178978A JP2022069989A JP 2022069989 A JP2022069989 A JP 2022069989A JP 2020178978 A JP2020178978 A JP 2020178978A JP 2020178978 A JP2020178978 A JP 2020178978A JP 2022069989 A JP2022069989 A JP 2022069989A
- Authority
- JP
- Japan
- Prior art keywords
- data
- behavior
- evaluation
- cyber
- implementation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 141
- 230000009471 action Effects 0.000 title claims abstract description 75
- 238000012549 training Methods 0.000 title claims abstract description 73
- 230000007123 defense Effects 0.000 title claims abstract description 32
- 238000000034 method Methods 0.000 title abstract description 53
- 238000012545 processing Methods 0.000 claims abstract description 74
- 230000004044 response Effects 0.000 claims abstract description 19
- 230000000875 corresponding effect Effects 0.000 claims description 59
- 238000013480 data collection Methods 0.000 abstract description 24
- 238000001514 detection method Methods 0.000 abstract description 15
- 230000006399 behavior Effects 0.000 description 86
- 230000008569 process Effects 0.000 description 46
- 230000005540 biological transmission Effects 0.000 description 17
- 230000006870 function Effects 0.000 description 11
- 230000006872 improvement Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 239000000284 extract Substances 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、サイバー防衛訓練を実施するための技術に関する。その中でも、訓練の受講者の行動に対する評価を行うための技術に関する。 The present invention relates to a technique for carrying out cyber defense training. Among them, it is related to the technique for evaluating the behavior of the trainees.
なお、行動とは、訓練での模擬サイバー攻撃に対する受講者が行うことを示し、動作、対応、対処、回答などその表現は問わない。また、評価とは、行動に対する採点などのいわゆる評価の他、行動に関するデータを取得することを含む。 In addition, the action means that the student performs the simulated cyber attack in the training, and the expression such as the action, the response, the coping, and the answer does not matter. In addition to so-called evaluation such as scoring for behavior, evaluation includes acquiring data on behavior.
現在、コンピュータ資源(コンピュータシステム、ネットワークシステムなど)に対するいわゆるサイバー攻撃が発生している。サイバー攻撃を受けると、コンピュータ資源の運用に影響が発生する。この影響としては、誤作動、システム停止などが発生する。このため、設備を制御するコンピュータ資源においては、設備の運用に影響が発生してしまう。特に、工場、発電所といったプラントを含むインフラ設備においては、サイバー攻撃の影響が社会的には広く及んでしまう。例えば、発電所のコンピュータ資源がサイバー攻撃を受けると、停電が発生することもあり得る。このため、インフラ設備のコンピュータ資源(インフラシステム)に対するサイバー攻撃への行動を、インフラシステムの運用者用へ訓練することが必要になる。 Currently, so-called cyber attacks on computer resources (computer systems, network systems, etc.) are occurring. A cyber attack affects the operation of computer resources. As this effect, malfunction, system stop, etc. occur. Therefore, in the computer resources that control the equipment, the operation of the equipment is affected. In particular, the effects of cyber attacks are widespread in society on infrastructure equipment including plants such as factories and power plants. For example, if the computer resources of a power plant are hit by a cyber attack, a power outage may occur. For this reason, it is necessary to train infrastructure system operators in their actions against cyber attacks on the computer resources (infrastructure systems) of infrastructure equipment.
例えば、特許文献1には、エンタープライズネットワークやコンピュータのセキュリティ対策の訓練を実行するセキュリティ対策訓練システムが開示されている。特許文献1では、「サイバー攻撃を模擬した訓練を行い、訓練結果を訓練対象者及びセキュリティ対策装置にフィードバックすることで、ネットワークのセキュリティレベルを向上」させている。
For example,
ここで、特許文献1では、フィードバックを行うために、「訓練結果1132と訓練シナリオC1の達成目標を比較し、訓練の成果を評価する」ことが記載されている(0082段落)。但し、サイバー防衛訓練の評価においては、時間的な要件も考慮することが必要となる。つまり、タイムリーに行動を行っているかを判断する必要がある。
Here, in
但し、特許文献1では、訓練結果1132として、感染率、添付ファイルオープン率、通報率との行動の内容しか用いていない。このため、ある行動を適切なタイミングで行っているかは判断されていない。特許文献1では、訓練結果1132として、ここの行動でなく、複数人数もしくは回数の訓練に対する結果を用いているものであり、個々の訓練の評価を考慮しておらず、訓練における受講者の改善点を導出していない。
However, in
そこで、本発明では、受講者の行動がタイムリーに行われているかを評価し、受講者の改善点を導出してサイバー攻撃のスキル向上に寄与することを目的とする。 Therefore, it is an object of the present invention to evaluate whether the student's behavior is performed in a timely manner, to derive the improvement points of the student, and to contribute to the improvement of the cyber attack skill.
上記課題を解決するために、本発明では、コンピュータ資源である攻撃対象システムへのサイバー攻撃のシミュレーションに対する行動の予測時刻と実施時刻の差分に基づいて、当該行動に対する評価のための処理を実行する。 In order to solve the above problems, in the present invention, a process for evaluating the behavior is executed based on the difference between the predicted time and the execution time of the behavior for the simulation of the cyber attack on the attack target system, which is a computer resource. ..
より具体的な代表的な本発明の一態様は、サイバー攻撃への防衛訓練における受講者の行動を評価するためのサイバー防衛訓練の行動評価装置において、前記サイバー攻撃の予定時刻およびその内容を示す複数のインシデントを含むシナリオデータを取得し、前記サイバー攻撃の各インシデントに対して前記受講者が行うべき対応行動および前記予定時刻に基づく予想時刻を含む理想行動データを作成する理想行動データ作成処理部と、前記受講者の前記サイバー攻撃の各インシデントに対する行動および当該行動の実施時刻を含む実施行動データを作成する実施行動データ作成処理部と、前記理想行動データと前記実施行動データを比較して、前記予想時刻と前記実施時刻の差分に基づく評価データを作成する評価データ作成処理部を有する行動評価装置である。また、本発明には、サイバー防衛訓練の行動評価装置におけるサイバー防衛訓練の行動評価方法や、サイバー防衛訓練の行動評価装置をコンピュータとして機能させるためのコンピュータプログラム並びにこのコンピュータプログラムを格納した記憶媒体も含まれる。 A more specific embodiment of the present invention shows the scheduled time and content of the cyber attack in the behavior evaluation device of the cyber defense training for evaluating the behavior of the student in the defense training against the cyber attack. Ideal behavior data creation processing unit that acquires scenario data including multiple incidents and creates ideal behavior data including the response behavior that the student should take for each incident of the cyber attack and the expected time based on the scheduled time. And, the action data creation processing unit that creates the action action data including the action of the student for each incident of the cyber attack and the action time of the action, and the action action data are compared with the action action data. It is a behavior evaluation device having an evaluation data creation processing unit that creates evaluation data based on the difference between the expected time and the implementation time. Further, the present invention also includes a method for evaluating the behavior of cyber defense training in the behavior evaluation device for cyber defense training, a computer program for making the behavior evaluation device for cyber defense training function as a computer, and a storage medium containing the computer program. included.
さらに、本発明には、サイバー防衛訓練の行動評価装置と他の装置を含むシステムやこのシステムを用いた方法並びに、他の各装置も含まれる。 Further, the present invention also includes a system including a behavior evaluation device for cyber defense training and other devices, a method using this system, and other devices.
本発明によれば、訓練中に受講者がタイムリーに適切な行動を行ったかを評価し、訓練における受講者の改善点を導出することが可能になり、受講者の改善点を導出してサイバー攻撃のスキル向上に寄与できる。なお、上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。 According to the present invention, it is possible to evaluate whether or not the student has performed appropriate actions in a timely manner during the training, and to derive the improvement points of the student in the training, and to derive the improvement points of the student. It can contribute to improving the skills of cyber attacks. Issues, configurations and effects other than those described above will be clarified by the following description of the embodiments.
以下、本発明の各実施例を、図面を用いて説明する。 Hereinafter, each embodiment of the present invention will be described with reference to the drawings.
図1は、実施例1における構成要件とその処理内容を示す図である。実施例1のシステム構成は、サイバー防衛訓練の行動評価装置の一例である評価データ収集機器116、サーバ・端末117、行動検知装置118、情報共有装置119からなる。これらは、いわゆるコンピュータで実現される。つまり、それぞれは、媒体に格納されたコンピュータプログラムに従って、CPUのような演算装置が後述する各種処理を実行する。なお、この各種処理はハードウエアで実現してもよい。このため、以降説明する各種処理の主体は、各部で実行すると表現できる。つまり、各実施例の処理主体は、プログラム(ソフトウエア)とハードウエアのいずれで実現してもよい。また、各構成要件は、コンピュータで実現できるため、記憶装置ないし記憶媒体を有している。
FIG. 1 is a diagram showing the configuration requirements and the processing contents thereof in the first embodiment. The system configuration of the first embodiment includes an evaluation
また、サーバ・端末117は、複数のサーバや端末であり、後述するサイバー防衛訓練シミュレータ12(以下、単に、シミュレータ12と称する)を構成する。つまり、サーバ・端末117はシミュレータ12として、受講者から訓練用のサイバー攻撃に対する行動を受け付ける。なお、シミュレータ12については、図2を用いて説明する。
Further, the server /
また、行動検知装置118は、画像、音声などで受講者の行動を検知する。例えば、行動検知装置118を、受講者を撮影する撮影装置で実現してもよいし、この撮影装置と接続する構成としてもよい。また、行動検知装置118を、受講者の声を検知し音声認識を装置で実現してもよい。また、これらの機能を組み合わせて実現してもよい。つまり、行動検知装置118は行動として、物理的な動作を検知できる機能を備える。このことで、受講者が、口頭、電話、メモなどで他の受講者などに対する報告、連絡、相談等を検知することになる。
In addition, the
さらに、情報共有装置119は、チャット、SNS、メールなどの情報共有機能を備えるものであり、これら機能でやり取りされる各種情報を収集する機能を有する。このため、例えば、メールサーバのような装置で実現できる。このように、情報共有装置119は、上述したような情報共有機能での受講者の報告等を取得することできる。また、情報共有装置119は、訓練中に受講者が使用して、受講者間で連絡を取り合うことも可能である。
Further, the
なお、本実施例の行動検知装置118や情報共有装置119は必須の構成でなく、これらを設けない構成を採用してもよい。
The
次に、図1における各種処理の内容について、説明する。 Next, the contents of various processes in FIG. 1 will be described.
まず、評価データ収集機器116は、対応フローデータ101を自身の記憶装置に有している。対応フローデータ101とは、事前に設定した受講者が行うべき対応のフローを示すデータである。この対応フローデータ101は、サイバー攻撃のインシデント内容を示す。具体的には、そのレコード毎に想定時間、対応行動、行動者、対象、パラメータを有する。
First, the evaluation
また、評価データ収集機器116は、シナリオデータ102を自身の記憶装置に有している。このシナリオデータ102は、訓練で実行されるサイバー攻撃(模擬攻撃)のシナリオを示し、起こるインシデントを定義したデータである。具体的には、シナリオデータは、予定時刻、インシデント、対象機器を有する。
Further, the evaluation
そして、評価データ収集機器116の理想行動データ作成処理部は、理想行動データ作成処理を実行する(103)。この理想行動データ作成処理103では、シナリオデータのインシデントに応じて、対応フローデータの配列から理想行動データを作成する処理である。この処理の詳細については、図3および図4を用いて、後述する。
Then, the ideal behavior data creation processing unit of the evaluation
次に、評価データ収集機器116は、理想行動データ作成処理103の結果である理想行動データ104を記憶装置に記憶する。この理想行動データ104の内容を、図7に示す。図7に示すように、理想行動データ104は、予想時刻、対応行動、行動者、対象、パラメータを有する。ここで、予想時刻は、サイバー攻撃に対して受講者が行動を行うべき時刻である。また、対応行動は、受講者が行うべき行動の内容を示す。行動者は、行動を行うべき行動者を示す。対象は報告先など行動を行うべき相手を示す。パラメータは当該行動に関するもので実施の状況、有無などを含む。
Next, the evaluation
また、サーバ・端末117の対応データ作成処理部は、受講者がサーバ・端末117へ行動として入力する内容から対応データ作成処理を実行する(105)。
Further, the corresponding data creation processing unit of the server /
また、行動検知装置118の対応データ作成処理部が、対応データ作成処理を実行する(107)。この行動データ作成処理107は、行動検知装置118もしくはこれと接続した撮影装置で撮影したデータから、受講者の行動を解析して対応データを作成する処理である。
Further, the corresponding data creation processing unit of the
また、情報共有装置119の対応データ作成処理部は、情報共有データ作成処理を実行する(109)。この対応データ作成処理は、受講者が行ったチャット等での情報共有した内容から対応データを作成する。
Further, the corresponding data creation processing unit of the
そして、サーバ・端末117の対応データ送信処理部は、作成された対応データを送信する対応データ送信処理を実行する(106)。また、行動検知装置118は、作成された行動データを送信する行動データ送信処理を実行する(108)。さらに、情報共有装置119は、作成された情報共有データを送信する情報共有データ送信処理を実行する(110)。これら各送信処理は、作成された各データを、評価データ収集機器116に送信する処理である。
Then, the corresponding data transmission processing unit of the server /
以上のように作成、送信された対応データ、行動データおよび情報共有データは、実施行動データを構成するデータである。つまり、これらは、実施行動データと同様の構成をし、実施行動データとして作成される。この実施行動データの作成および送信の詳細については、対応データをその一例として、図5を用いて後述する。 The correspondence data, action data, and information sharing data created and transmitted as described above are data constituting the implementation action data. That is, these have the same structure as the implementation behavior data and are created as implementation behavior data. The details of the creation and transmission of the implementation behavior data will be described later with reference to FIG. 5, using the corresponding data as an example.
なお、実施行動データとしては、対応データ、行動データおよび情報共有データは少なくともその1つが含まれていればよい。そのうち、特に、行動データを用いることが好適である。 The implementation action data may include at least one of the corresponding data, the action data, and the information sharing data. Of these, it is particularly preferable to use behavioral data.
さらに、これら実施行動データである対応データ、行動データおよび情報共有データの作成は、評価データ収集機器116の実施行動データ作成処理部が行ってもよい。
Further, the implementation behavior data creation processing unit of the evaluation
次に、評価データ収集機器116は、処理106、108、110で送信された各データを受け付ける。そして、評価データ収集機器116の実施行動データ作成処理部は、送信されたこれら対応データ、行動データ、情報共有データをマージして最終的な実施行動データ111を作成する。この実施行動データ111は、実施時刻、対応行動、行動者、対象、パラメータを有する。このため、実施行動データ111の作成は、対応データ、行動データ、情報共有データが有する実施時刻、対応行動、行動者、対象、パラメータを利用することで、実現できる。ここで、実施時刻は受講者が行った行動の時刻、対応行動は行動を特定する情報、行動者はその行動を行った受講者、対象は報告先など行動を行った相手、パラメータは当該行動に関するもので実施の状況、有無などを含む。
Next, the evaluation
そして、評価データ収集機器116の評価データ作成処理部が、理想行動データと実施行動データを用いて、評価データ作成処理を実行する(112)を実行する。この処理で、評価データ作成処理部は、理想行動データの対象機器と対応行動の組み合わせが、適切な時刻に実施されているかを、実施行動データから判断する。そして、評価データ作成処理部は、判断結果に基づき、実施行動データに評価を追加して評価データを作成する。この詳細は、図6を用いて説明する。
Then, the evaluation data creation processing unit of the evaluation
ここで、作成された評価データ113について、説明する。評価データ113は、予想時刻、実施時刻、対応行動、行動者、対象、パラメータ、評価を有する。評価データ113は訓練中の受講者の対応行動を含むため、対応フローデータ101のフィードバックに使用される。
Here, the created
そして、評価データ収集機器116は、作成された評価データ113を、記憶装置の評価データベース114に記憶する。この評価で^他ベースは、評価データ113を訓練毎に記憶している。また、評価データ収集機器116は、作成された評価データ113に基づき、報告書115を作成し、報告書115を出力する。この出力は、画面への表示、印刷、ネットワークを介しての送信が含まれる。また、報告書115は、訓練後に受講者に対して発行される報告書であり、評価データ113の内容が含まれる。
Then, the evaluation
次に、図2を用いて、シミュレータ12について、説明する。上述のように、サーバ・端末117で実現される。そして、シミュレータ12は、評価データ収集ネットワーク11を介して、評価データ収集機器116、行動検知装置118および情報共有装置119と接続している。
Next, the simulator 12 will be described with reference to FIG. As described above, it is realized by the server /
そして、シミュレータ12は、情報系ネットワーク15に接続された情報系サーバ13と情報系端末14、制御系ネットワーク19に接続された制御系サーバ17と制御系端末18を有する。さらに、シミュレータ12は、情報系ネットワークと制御系ネットワークの境界にあるFW16(ファイアウォール)を有する。ここで、情報系サーバ13、情報系端末14、制御系サーバ17、制御系端末18が、図1のサーバ・端末117に該当する。これら各サーバ、各端末と評価データ収集ネットワーク11を介して通信を行う。また、各装置は、それぞれ複数設置されていてもよい。
The simulator 12 has an information system server 13 and an information system terminal 14 connected to the
本実施例では、サイバー攻撃の対象として、インフラ設備を想定しているため、この運転を制御するための制御系サーバ17、制御系端末18および制御系ネットワーク19を設けている。したがって、制御系ネットワーク19にインフラ設備が接続されていてもよい。また、インフラ設備のような制御対象がない場合、制御系サーバ17、制御系端末18および制御系ネットワーク19を設けなくともよい。そして、受講者は、情報系端末14や制御系端末18を利用する。この利用には、サイバー攻撃に対する行動が含まれる。この際、メール等で連絡を行った内藤は、情報共有装置119に格納される。
In this embodiment, since infrastructure equipment is assumed as a target of a cyber attack, a
また、シミュレータ12をリモート化ないしクラウド化して、これと広域ネットワークを介して接続される構成を採用してもよい。これらの構成を図8および図9に示す。図8は、本実施例のシミュレータ12をリモート化した構成を示す図である。本実施例でのリモート化とは、シミュレータ12に対し、遠隔地からのリモートアクセスを可能とすること指す。このため、図8に示すように、シミュレータ12は、図2の構成に加え、FW21、22をさらに有する。また、FW21、22のそれぞれは、外部のネットワーク23(例えば、インターネット)と接続される。そして、リモート端末A24-1が、ネットワーク23を介して、情報系端末14にリモートアクセスすることが可能である。つまり、受講者は、リモート端末A24-1を情報系端末14として利用可能となる。同様に、リモート端末B24-2が、ネットワーク23を介して、制御系端末18にリモートアクセスすることが可能である。つまり、受講者は、リモート端末B24-2を制御系端末18として利用可能となる。ここで、リモート端末A24-1やリモート端末B24-2は、いわゆるPC、タブレット等の情報処理装置(コンピュータ)で実現可能である。
Further, the simulator 12 may be remotened or made into a cloud, and a configuration in which the simulator 12 is connected to the simulator 12 via a wide area network may be adopted. These configurations are shown in FIGS. 8 and 9. FIG. 8 is a diagram showing a remote configuration of the simulator 12 of this embodiment. Remoteization in this embodiment means enabling remote access to the simulator 12 from a remote location. Therefore, as shown in FIG. 8, the simulator 12 further includes FWs 21 and 22 in addition to the configuration of FIG. Further, each of the
なお、リモート端末A24-1やリモート端末B24-2を使った訓練では、評価データ収集機器116や情報共有装置119は、図2と同様の構成、機能である。また、行動検知装置118については、リモート端末A24-1やリモート端末B24-2を設置する領域(オフィス等)に設けることが望ましい。なお、図2の説明で記載のとおり、行動検知装置118や情報共有装置119は必須の構成でなく、これらを設けない構成を採用してもよい。
In the training using the remote terminal A24-1 and the remote terminal B24-2, the evaluation
次に、図9は、本実施例のシミュレータ12をクラウド化した構成を示す図である。図9に示すように、シミュレータ12の代わりに、クラウドサーバ26を設け、ネットワーク23を介して接続されるクラウド端末25を設ける。クラウドサーバ26は、いわゆる情報処理装置(コンピュータ)で実現可能であり、クラウド端末25での処理を可能する各種ソフトウエアを記憶する記憶部261を有する。その他図示しない、処理部、メモリ、他の装置やネットワークと接続するための接続部を有する。記憶部261は、クラウド端末25に表示画面を表示させるための画面UI2611、訓練のシナリオとおり進めるためのシナリオ進行管理プログラム2612および訓結果を分析するための訓練結果管理分析プログラム1613を記憶する。このうち、訓練結果管理分析プログラム1613は、評価データ収集機器116の機能と重複するので、一方を省略して構成してもよい。訓練結果管理分析プログラム1613を省略する場合、クラウドサーバ26は、評価データ収集機器116と連携して、評価結果を分析する。
Next, FIG. 9 is a diagram showing a configuration in which the simulator 12 of this embodiment is made into a cloud. As shown in FIG. 9, instead of the simulator 12, a
また、図2の情報系端末14および制御系端末18を外出し、つまり、これらを、ネットワーク23を介して、シミュレータ12と接続する構成により、クラウド化して実現してもよい。さらにクラウド端末25は複数設けてもよい。
Further, the information system terminal 14 and the control system terminal 18 in FIG. 2 may be taken out, that is, they may be realized in the cloud by a configuration in which they are connected to the simulator 12 via the
次に、図3および図4を用いて、評価データ収集機器116における理想行動データ作成処理103について、説明する。図3は、理想行動データ作成処理103を示すフローチャートである。図4は、理想行動データ作成処理103の考え方を、データ構成を用いて説明する図である。
Next, the ideal behavior data creation process 103 in the evaluation
以下、図3に従って、理想行動データ作成処理103の詳細を説明する。 Hereinafter, the details of the ideal behavior data creation process 103 will be described with reference to FIG.
まず、ステップ31において、理想行動データ作成処理部は、シナリオデータ102から予定時刻、インシデント、対象を抽出する。次に、ステップ32において、理想行動データ作成処理部は、対応フローデータ101からインシデントに対応する想定時間、対応行動、行動者、対象、パラメータを抽出するする。
First, in step 31, the ideal behavior data creation processing unit extracts the scheduled time, the incident, and the target from the
次に、ステップ33において、理想行動データ作成処理部は、ステップ31で抽出した予定時間とステップ32で抽出したと想定時間から予想時刻を特定する。具体的には、理想行動データ作成処理部は、予定時間に想定時間を加えて、予想時刻を算出する。これは、対応フローデータ101の想定時間が、訓練内容であるサイバー攻撃での所要時間を示すもので、これに時刻情報である予定時間を加えることで、予想時刻を算出できる。
Next, in
この結果、ステップ34において、理想行動データ作成処理部は、シナリオデータ102に、予想時刻、対応行動、行動者、対象、パラメータを追加することで、理想行動データ104を作成する。ここで、理想行動データ作成処理部は、予測時刻はステップ33で算出したものを用いる。また、理想行動データ作成処理部は、理想行動データ104として、図4に図示した項目を設ければよく、シナリオデータ102を基礎に作成しなくともよい。
As a result, in step 34, the ideal behavior data creation processing unit creates the
次に、図5は、上述の実施行動データの一例である対応データ作成処理105および対応データ送信処理106のフローチャートである。また、本フローチャートでは、これらに加え、終了判定処理についても言及する。なお、これらの処理は、サーバ・端末117、つまり、情報系サーバ13、情報系端末14、制御系サーバ17、制御系端末18で実行される。以下、その詳細を説明する。
(対応データ作成処理105)
ステップ41において、受講者が利用する情報系端末14、制御系端末18における対応データ作成処理部は、対象となるNIC(ネットワークカード)を監視し、NICがネットワークに接続されているかをチェックする。
Next, FIG. 5 is a flowchart of the corresponding data creation process 105 and the corresponding data transmission process 106, which are examples of the above-mentioned implementation action data. In addition to these, this flowchart also refers to the end determination process. These processes are executed by the server /
(Corresponding data creation process 105)
In step 41, the corresponding data creation processing unit in the information system terminal 14 and the control system terminal 18 used by the student monitors the target NIC (network card) and checks whether the NIC is connected to the network.
次に、ステップ42において、当該対応データ作成処理部は、対象となるNICにネットワークが接続されていない場合、対応データ中の対象のNIC切断行動をONとし、この時間を実施時刻として記録する。 Next, in step 42, when the network is not connected to the target NIC, the corresponding data creation processing unit turns on the target NIC disconnection action in the corresponding data, and records this time as the implementation time.
また、ステップ43において、当該対応データ作成処理部は、対象のマルウェアのプロセスを監視し、このプロセスが実行されたか、つまり、起動済かをチェックする。プロセスが起動済の場合は、ステップ44へ遷移する。ステップ44において、対応データ作成処理部は、起動済のマルウェアのプロセスを監視し、マルウェアが削除されたかをチェックする。この結果、削除されていればステップ45に遷移し、削除されていなければ、ステップ46へ遷移する。 Further, in step 43, the corresponding data creation processing unit monitors the process of the target malware and checks whether this process has been executed, that is, whether it has been started. If the process has already been started, the process proceeds to step 44. In step 44, the corresponding data creation processing unit monitors the started malware process and checks whether the malware has been deleted. As a result, if it is deleted, the process proceeds to step 45, and if it is not deleted, the process proceeds to step 46.
ステップ45において、対応データ作成処理部は、対応データ中の対象のマルウェア削除行動をONとし、対応データ中の実施時刻として、削除行動を行った時刻を記録する。以上で、対応データ作成処理105の説明を終わり、ステップ46から開始される対応データ送信処理106について、説明する。
(対応データ送信処理106)
まず、ステップ46において、対応データ送信処理部は、対応データが更新(変更)されたかをチェックする。この結果、変更がある場合、ステップ47に遷移する。変更がない場合は、ステップ48に遷移する。ここで、図6に示すフローでは、対応データ送信処理部は、ステップ44やステップ45を経由した場合、変更されたと判断してもよい。このため、ステップ44やステップ45から直接ステップ47に遷移してもよい。
In
(Corresponding data transmission process 106)
First, in step 46, the corresponding data transmission processing unit checks whether the corresponding data has been updated (changed). As a result, if there is a change, the process proceeds to step 47. If there is no change, the process proceeds to step 48. Here, in the flow shown in FIG. 6, the corresponding data transmission processing unit may determine that it has been changed when it goes through step 44 or
次に、ステップ47において、対応データ送信処理部は、更新された実施行動データ111を、評価データ収集機器116に送信する。以上で対応データ送信処理106の説明を終了し、以下終了判定処理に(ステップ48)について説明する。
(終了判定処理)
ステップ48において、対応データ作成処理部は、訓練が終了したかを確認し、訓練が終了している場合は処理を終了する。また、継続している場合はステップ31に戻り、定期的に監視を繰り返す。以上で、図5の説明を終了する。
Next, in
(End judgment processing)
In step 48, the corresponding data creation processing unit confirms whether the training is completed, and if the training is completed, ends the processing. If it continues, the process returns to step 31 and the monitoring is repeated periodically. This is the end of the description of FIG.
次に、図6および図7を用いて、評価データ作成処理112の詳細を説明する。 Next, the details of the evaluation data creation process 112 will be described with reference to FIGS. 6 and 7.
図6は、本実施例の評価データ収集機器116で動作する評価データ作成処理112のフローチャートである。図7は、本実施例の評価データ作成処理112で用いるデータのデータ構成図である。以下、図6のフローチャートに従って、評価データ作成処理112の詳細を説明する。
FIG. 6 is a flowchart of the evaluation data creation process 112 operated by the evaluation
まず、ステップ51において、評価データ作成処理部は、理想行動データ104の各レコードのデータ項目である予想時刻、対応行動、行動者、対象、パラメータを抽出する。図7に示す理想行動データ104の例では、No.1のレコードの場合、予想時刻「12:00」、対応行動「連絡」、行動者「受講者1」、対象「受講者2」、パラメータ「1」が抽出される。なお、この理想行動データ104は、図4に示すように、評価データ作成処理部が、対応フローデータ101とシナリオデータ102に対し、突合せ処理を実行し作成している。
First, in step 51, the evaluation data creation processing unit extracts the expected time, the corresponding action, the actor, the target, and the parameters, which are the data items of each record of the
また、ステップ52において、評価データ作成処理部は、ステップ51で抽出したデータ項目に対応する実施時刻を実施行動データ111から抽出する。より具体的な処理は、以下のとおりである。評価データ作成処理部は、まず、ステップ51で抽出したデータのうち予想時刻以外のデータのそれぞれを有するレコードを、実施行動データ111から特定する。例えば、理想行動データ104の対応行動をキーに、実施行動データ111を検索する。上述した例(理想行動データ104のNo.1レコード)場合、評価データ作成処理部は、実施行動データ111のレコードNo.1)を検索する。
Further, in
そして、検索されたレコード(No.1)の実施時刻(12:11)を抽出する。なお、理想行動データ104と実施行動データ111をそれぞれ予想時刻、実施時刻でソートして記録しておき、特定の際、ソート順に検索することで対応するレコードを特定すると処理の高速化が図れる。
Then, the execution time (12:11) of the searched record (No. 1) is extracted. It should be noted that the
なお、評価データ作成処理部は、レコードの特定において、予想時刻以外のうち、対応処理、行動者、対象、パラメータのうち、少なくとも1つが一致するレコードを対応するレコードとして特定してもよいし、これらが完全一致したレコードを特定してもよい。 In specifying the record, the evaluation data creation processing unit may specify a record in which at least one of the corresponding processing, the actor, the target, and the parameter matches other than the expected time as the corresponding record. You may identify a record in which these are exactly the same.
次に、ステップ53において、評価データ作成処理部は、ステップ51で抽出した予想時刻とステップ52で抽出した実施時刻を比較して、その差分(偏差)を評価として算出する。上述の例では、評価データ作成処理部は、予想時刻「12:00」と実施時刻「12:11」の差分として、「+1分」を算出する。
Next, in
また、ステップ52で対応するレコードが特定されない場合、行うべき行動を、行動者(受講者)が行っていないこと示す。そこで、ステップ53において、評価データ作成処理部は、評価を「未実施」と特定する。
Further, when the corresponding record is not specified in
次に、ステップ54において、評価データ作成処理部は、ステップ51、ステップ52で抽出したデータおよびステップ53で算出した評価をマージして、評価データ113を作成する。つまり、各レコードとして、No.、予想時刻、実施時刻、行動者、対象、パラメータおよび評価を有する評価データ113が作成される。
Next, in step 54, the evaluation data creation processing unit merges the data extracted in
なお、本実施例では、理想行動データ104の対応行動ごとに評価を算出するが、訓練全体(理想行動データ104全体)として、評価を算出してもよい。例えば、評価データ作成処理部は、各対応行動の実施有無に応じて、評価を行う。この場合、有の数が多いほど高評価とすることが望ましい。
In this embodiment, the evaluation is calculated for each corresponding action of the
さらに、本実施例では、評価データ113に、受講者の改善点を追加してもよい。このために、評価データ作成処理部が、受講者の改善点を導出し、これを含む評価データ113を作成してもよいし、採点を行う講師などが導出し、人手でこれを評価データ113に追加してもよい。ここで、評価データ作成処理部は、改善点として、例えば、実施されていない対応行動を導出してもよい。また、評価データ作成処理部は、改善点として、予想時刻と実施時刻の差が所定条件を満たす対応行動を導出してもよい。
Further, in this embodiment, the improvement points of the students may be added to the
この結果、評価データ作成処理部は、評価データベース114に、作成した評価データ113を記憶する。以上で、実施例1の説明を終了する。
As a result, the evaluation data creation processing unit stores the created
本実施例は、実施例1における評価データ収集ネットワーク11の代わりに、無線LAN装置で訓練中に、例えばリアルタイムに実施行動データ111を評価データ収集機器116に送信するものである。ここでは、評価データ収集ネットワーク11を通して通信することとしたが、有線ネットワークの代わりに、無線ネットワークで通信する方法でもよい。
In this embodiment, instead of the evaluation data collection network 11 in the first embodiment, the implementation behavior data 111 is transmitted to the evaluation
本実施例は、実施例1における評価データ収集ネットワーク11を有せず、訓練中にリアルタイムに実施行動データ111を評価データ収集機器116への送信を省略し、訓練終了後にコピーするように構成するものである。このため、実施例1と比較して、図5におけるフローチャートのうち、ステップ46~48が変更される。そこで、実施例1から変更があるステップのみ、以下に示す。
This embodiment does not have the evaluation data collection network 11 in the first embodiment, and is configured to omit the transmission of the implementation behavior data 111 to the evaluation
ステップ46およびステップ47については、評価データ収集ネットワーク11を有しないためスキップされる。 Step 46 and step 47 are skipped because they do not have the evaluation data collection network 11.
そして、ステップ43、ステップ44やステップ45からステップ48に、その処理が遷移する。このステップ48において、訓練終了後に、対応データ作成処理部が、作成された対応データを、可搬可能な記憶媒体に保存する。そして、訓練の関連者などが、記憶媒体を移動し、評価データ収集機器116がこの内容を読出し、記憶装置に記憶する。
Then, the process transitions from step 43, step 44, and step 45 to step 48. In this step 48, after the training is completed, the corresponding data creation processing unit stores the created corresponding data in a portable storage medium. Then, a person related to the training moves the storage medium, and the evaluation
本実施例は、実施例1におけるシミュレータ12と評価データ収集機器116を、仮想化技術を用いて、仮想環境に構築するものである。上述の実施例1では評価データ収集ネットワーク11を通してシミュレータ12と評価データ収集機器116の間で通信することとしたが、実ネットワークの代わりに、仮想ネットワークで通信する方法でもよい。
In this embodiment, the simulator 12 and the evaluation
以上で、各実施例の説明を終了する。以上の各実施例では、サイバー防衛訓練シミュレータを例にとり説明したが、各種訓練シミュレータへ応用することができる。例えば、実施行動データ作成送信処理を使用して取得する実施行動データを、特定の運転操作に対応すれば、運転訓練シミュレータを用いた訓練の行動評価に適用できる。 This is the end of the description of each embodiment. In each of the above embodiments, the cyber defense training simulator has been described as an example, but it can be applied to various training simulators. For example, if the implementation behavior data acquired by using the implementation behavior data creation transmission process corresponds to a specific driving operation, it can be applied to the behavior evaluation of training using the driving training simulator.
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば仮想環境で実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。 The present invention is not limited to the above-described embodiment, and includes various modifications. For example, the above-described embodiment has been described in detail in order to explain the present invention in an easy-to-understand manner, and is not necessarily limited to the one including all the described configurations. Further, it is possible to replace a part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. Further, it is possible to add / delete / replace a part of the configuration of each embodiment with another configuration. Moreover, each of the above-mentioned configurations, functions, processing units, processing means and the like may be realized in a part or all of them in a virtual environment, for example. Information such as programs, tables, and files that realize each function can be placed in a memory, a hard disk, a recording device such as an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD.
11・・・評価データ収集ネットワーク、12・・・シミュレータ、13・・・情報系サーバ、14・・・情報系端末、15・・・情報系ネットワーク、16・・・FW、17・・・制御系サーバ、18・・・制御系端末、19・・・制御系ネットワーク、116・・・評価データ収集機器、117・・・サーバ・端末、118・・・行動検知装置、119・・・情報共有装置。 11 ... Evaluation data collection network, 12 ... Simulator, 13 ... Information server, 14 ... Information terminal, 15 ... Information network, 16 ... FW, 17 ... Control System server, 18 ... control system terminal, 19 ... control system network, 116 ... evaluation data collection device, 117 ... server / terminal, 118 ... behavior detection device, 119 ... information sharing Device.
Claims (10)
前記サイバー攻撃の予定時刻およびその内容を示す複数のインシデントを含むシナリオデータを取得し、前記サイバー攻撃の各インシデントに対して前記受講者が行うべき対応行動および前記予定時刻に基づく予想時刻を含む理想行動データを作成する理想行動データ作成処理部と、
前記受講者の前記サイバー攻撃の各インシデントに対する行動および当該行動の実施時刻を含む実施行動データを作成する実施行動データ作成処理部と、
前記理想行動データと前記実施行動データを比較して、前記予想時刻と前記実施時刻の差分に基づく評価データを作成する評価データ作成処理部を有することを特徴とするサイバー防衛訓練の行動評価装置。 In the behavior evaluation device of cyber defense training for evaluating the behavior of students in cyber defense training against cyber attacks
Ideal to acquire scenario data including the scheduled time of the cyber attack and a plurality of incidents showing the contents thereof, and to include the response action to be taken by the student for each incident of the cyber attack and the estimated time based on the scheduled time. The ideal behavior data creation processing unit that creates behavior data,
The implementation behavior data creation processing unit that creates implementation behavior data including the behavior of the student for each incident of the cyber attack and the implementation time of the behavior.
A cyber defense training behavior evaluation device comprising an evaluation data creation processing unit that compares the ideal behavior data with the implementation behavior data and creates evaluation data based on the difference between the expected time and the implementation time.
理想行動データ作成処理部は、前記サイバー攻撃のインシデント内容を示す対応フローデータと受講者が行うべき対応のフローを示すシナリオデータを用いて、前記理想行動データを作成することを特徴とするサイバー防衛訓練の行動評価装置。 In the behavior evaluation device for cyber defense training according to claim 1,
The ideal behavior data creation processing unit creates the ideal behavior data by using the response flow data indicating the incident content of the cyber attack and the scenario data indicating the response flow to be performed by the student. Training behavior evaluation device.
前記評価データ作成処理部は、前記理想行動データを構成するレコードに含まれるデータ項目をキーに、前記実施行動データのレコードを検索して、前記実施時刻を特定することを特徴とするサイバー防衛訓練の行動評価装置。 In the behavior evaluation device for cyber defense training according to claim 1,
The evaluation data creation processing unit uses the data items included in the records constituting the ideal behavior data as a key to search the execution behavior data record and specify the execution time. Behavior evaluation device.
前記評価データ作成処理部は、前記実施行動データのレコードが検索されない場合には、未実施と評価し、検索された場合には、前記評価データを作成することを特徴とするサイバー防衛訓練の行動評価装置。 In the behavior evaluation device for cyber defense training according to claim 3,
If the record of the implementation action data is not searched, the evaluation data creation processing unit evaluates that the record has not been executed, and if it is searched, the evaluation data creation processing unit creates the evaluation data. Evaluation device.
前記評価データ作成処理部は、前記理想行動データに含まれる対応行動ごとの評価データもしくは前記理想行動データ全体に対する評価データのいずれかを作成することを特徴とするサイバー防衛訓練の行動評価装置。 In the behavior evaluation device for cyber defense training according to claim 1,
The evaluation data creation processing unit is a behavior evaluation device for cyber defense training, characterized in that it creates either evaluation data for each corresponding action included in the ideal behavior data or evaluation data for the entire ideal behavior data.
前記サイバー攻撃の予定時刻およびその内容を示す複数のインシデントを含むシナリオデータを取得し、前記サイバー攻撃の各インシデントに対して前記受講者が行うべき対応行動および前記予定時刻に基づく予想時刻を含む理想行動データを作成し、
前記受講者の前記サイバー攻撃の各インシデントに対する行動および当該行動の実施時刻を含む実施行動データを作成し、
前記理想行動データと前記実施行動データを比較して、前記予想時刻と前記実施時刻の差分に基づく評価データを作成することを特徴とするサイバー防衛訓練の行動評価方法。 In the behavior evaluation method of cyber defense training for evaluating the behavior of students in cyber defense training against cyber attacks
Ideal to acquire scenario data including the scheduled time of the cyber attack and a plurality of incidents showing the contents thereof, and to include the response action to be taken by the student for each incident of the cyber attack and the estimated time based on the scheduled time. Create behavior data and
Created implementation behavior data including the behavior of the student for each incident of the cyber attack and the implementation time of the behavior.
A behavior evaluation method for cyber defense training, which comprises comparing the ideal behavior data with the implementation behavior data and creating evaluation data based on the difference between the expected time and the implementation time.
前記サイバー攻撃のインシデント内容を示す対応フローデータと受講者が行うべき対応のフローを示すシナリオデータを用いて、前記理想行動データを作成することを特徴とするサイバー防衛訓練の行動評価方法。 In the behavior evaluation method of cyber defense training according to claim 6,
A behavior evaluation method for cyber defense training, characterized in that the ideal behavior data is created using the response flow data indicating the incident content of the cyber attack and the scenario data indicating the response flow to be performed by the student.
前記理想行動データを構成するレコードに含まれるデータ項目をキーに、前記実施行動データのレコードを検索して、前記実施時刻を特定することを特徴とするサイバー防衛訓練の行動評価方法。 In the behavior evaluation method of cyber defense training according to claim 6,
A behavior evaluation method for cyber defense training, characterized in that a record of the implementation behavior data is searched and the implementation time is specified by using a data item included in a record constituting the ideal behavior data as a key.
前記実施行動データのレコードが検索されない場合には、未実施と評価し、検索された場合には、前記評価データを作成することを特徴とするサイバー防衛訓練の行動評価方法。 In the behavior evaluation method of cyber defense training according to claim 8,
A behavior evaluation method for cyber defense training, characterized in that if a record of the implementation behavior data is not searched, it is evaluated as not implemented, and if it is searched, the evaluation data is created.
前記理想行動データに含まれる対応行動ごとの評価データもしくは前記理想行動データ全体に対する評価データのいずれかを作成することを特徴とするサイバー防衛訓練の行動評価方法。 In the behavior evaluation method of cyber defense training according to claim 6,
A behavior evaluation method for cyber defense training, which comprises creating either evaluation data for each corresponding behavior included in the ideal behavior data or evaluation data for the entire ideal behavior data.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020178978A JP2022069989A (en) | 2020-10-26 | 2020-10-26 | Action evaluation device and method for cyber defense training |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020178978A JP2022069989A (en) | 2020-10-26 | 2020-10-26 | Action evaluation device and method for cyber defense training |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022069989A true JP2022069989A (en) | 2022-05-12 |
Family
ID=81534406
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020178978A Ceased JP2022069989A (en) | 2020-10-26 | 2020-10-26 | Action evaluation device and method for cyber defense training |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2022069989A (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002230235A (en) * | 2001-02-01 | 2002-08-16 | Hitachi Ltd | Disaster countermeasure support system |
JP2019191670A (en) * | 2018-04-18 | 2019-10-31 | 防衛装備庁長官 | Exercise control program for cyber-attack |
-
2020
- 2020-10-26 JP JP2020178978A patent/JP2022069989A/en not_active Ceased
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002230235A (en) * | 2001-02-01 | 2002-08-16 | Hitachi Ltd | Disaster countermeasure support system |
JP2019191670A (en) * | 2018-04-18 | 2019-10-31 | 防衛装備庁長官 | Exercise control program for cyber-attack |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11631340B2 (en) | Adaptive team training evaluation system and method | |
CN105704400B (en) | A kind of learning system and its operation method based on multi-platform terminal and cloud service | |
Dietz et al. | Unleashing the digital twin's potential for ics security | |
JP6587330B2 (en) | Random forest model training method, electronic apparatus, and storage medium | |
US20180131716A1 (en) | Biology Based Techniques with Cognitive System Analysis for Handling Information Security and Privacy | |
Sahlabadi et al. | Detecting abnormal behavior in social network websites by using a process mining technique | |
Ani et al. | Design considerations for building credible security testbeds: Perspectives from industrial control system use cases | |
WO2018216000A1 (en) | A system and method for on-premise cyber training | |
Nguyen et al. | Batc: a benchmark for aggregation techniques in crowdsourcing | |
US20230135660A1 (en) | Educational Tool for Business and Enterprise Risk Management | |
WO2022151815A1 (en) | Method and apparatus for determining security state of terminal device | |
US20210382816A1 (en) | Requirements to test system and method | |
WO2021061221A1 (en) | Service issue prioritisation based on impact using software telemetry | |
CN109086594A (en) | A kind of method, apparatus and system for realizing the verifying of sliding-type identifying code | |
Estévez-Ayres et al. | Lostrego: A distributed stream-based infrastructure for the real-time gathering and analysis of heterogeneous educational data | |
CN107678931A (en) | Reading behavior evaluation method and device, storage medium and electronic equipment | |
US11290486B1 (en) | Allocating defective computing resources for honeypot services | |
RU2669172C2 (en) | Method and monitoring system of web-site consistency | |
JP2022069989A (en) | Action evaluation device and method for cyber defense training | |
US11909754B2 (en) | Security assessment system | |
Pohl et al. | Artificial Social Media Campaign Creation for Benchmarking and Challenging Detection Approaches. | |
Yoshinov et al. | Specifications for Centralized DataCenter serving the educational cloud for Bulgaria | |
US20220311790A1 (en) | Anomaly determining system, anomaly determining method and program | |
CN117121441A (en) | Electronic messaging method using image-based noisy content | |
CN114338248A (en) | User abnormal behavior detection method and device based on machine learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220824 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230718 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230815 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231004 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231128 |
|
A045 | Written measure of dismissal of application [lapsed due to lack of payment] |
Free format text: JAPANESE INTERMEDIATE CODE: A045 Effective date: 20240326 |