JP2023023000A - Apparatus and method for managing signature - Google Patents
Apparatus and method for managing signature Download PDFInfo
- Publication number
- JP2023023000A JP2023023000A JP2021128138A JP2021128138A JP2023023000A JP 2023023000 A JP2023023000 A JP 2023023000A JP 2021128138 A JP2021128138 A JP 2021128138A JP 2021128138 A JP2021128138 A JP 2021128138A JP 2023023000 A JP2023023000 A JP 2023023000A
- Authority
- JP
- Japan
- Prior art keywords
- signature
- information
- candidate
- business
- management device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 25
- 238000007726 management method Methods 0.000 claims description 138
- 238000004891 communication Methods 0.000 claims description 49
- 238000004458 analytical method Methods 0.000 claims description 39
- 230000010365 information processing Effects 0.000 claims description 31
- 238000011156 evaluation Methods 0.000 claims description 20
- 230000008520 organization Effects 0.000 claims description 10
- 230000007423 decrease Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 3
- 230000003247 decreasing effect Effects 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 4
- 238000012545 processing Methods 0.000 description 56
- 230000008569 process Effects 0.000 description 20
- 230000006870 function Effects 0.000 description 15
- 238000001514 detection method Methods 0.000 description 13
- 230000002265 prevention Effects 0.000 description 11
- 239000000284 extract Substances 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000007689 inspection Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012854 evaluation process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000003786 synthesis reaction Methods 0.000 description 2
- 125000000349 (Z)-3-carboxyprop-2-enoyl group Chemical group O=C([*])/C([H])=C([H])\C(O[H])=O 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、シグネチャ管理装置、およびシグネチャ管理方法に関する。 The present invention relates to a signature management device and a signature management method.
特許文献1には、通信のパケットを分析しシグネチャマッチングにより機器種別や機器名を特定するシステムや、ブラックリストにより通信を制御するファイアウォール等のシステムにおいて、アプリケーションの通信を適切に制御することを目的として構成された通信端末装置について記載されている。通信端末装置は、アプリケーションの通信を取得し、第1の制御条件に基づきアプリケーションの通信を制御し、取得制御部が取得した通信を解析してアプリケーションが通信制御対象であるか否かを判定し、通信制御対象のアプリケーションの正常通信範囲に基づき第1の制御条件を生成し、アプリケーションの識別情報と、第1の制御条件とを含む第1の共有情報の少なくとも一部を、他の通信端末装置に送信する。
特許文献2には、ネットワークにおいて発生する通信データを正確に検査し、不正な通信を確実に防止することを目的として構成された不正通信検査装置について記載されている。不正通信検査装置は、制御ネットワークを利用して通信を行う装置が従うべき動作定義である動作定義およびコントローラの設定プログラムをエンジニアリングステーションから通信機能部等を介して取得し、この動作定義に基づいて、正常な通信データを定義する検査定義を生成し、制御ネットワークから取得した通信データを検査し、検査定義により定義された通信データのみを許可するとともに、取得した通信データを記録する。
非特許文献1には、マルウェアファミリの既知のインスタンス間で共有される疑わしい共通サブグラフ(コンポーネント間の呼び出し関係とそれらのセマンティックメタデータ(データフロープロパティ等)の観点から、複数のアプリケーション間で共有される機能を記述したもの)を探索し、アプリケーションが特定のマルウェアファミリを特徴付けるセマンティックシグネチャと一致するかを判断することによりマルウェアを検出することが記載されている。
Non-Patent
非特許文献2には、悪意のあるHTTPトラフィックの痕跡の構造的な類似性を分析することにより、現状ではキャプチャされない可能性のあるマルウェア間の類似性を特定し、それによりマルウェアをネットワークレベルでクラスタリングして質の高いシグネチャを自動生成するシステムに関して記載されている。
In
特許文献乃至非特許文献に記載されているように、マルウェアや不正アクセス等による悪性挙動(攻撃)に対するセキュリティ管理の仕組みとして、シグネチャ(マルウェア等に含まれる特徴的なデータや不正アクセスに特徴的な通信データを記載した情報)を用いてセキュリティインシデントの検出や対策を講じる方法がある。 As described in patent documents and non-patent documents, as a mechanism for security management against malicious behavior (attacks) caused by malware and unauthorized access, signatures (characteristic data contained in information describing communication data) to detect security incidents and take countermeasures.
しかし、シグネチャを用いて機械的に悪性挙動を検出し対策を講じてしまうと、現場の業務に過大な影響を与えてしまうことがある。例えば、良性の挙動を悪性の挙動と誤検出した場合に通信の遮断等の対策を講じると、不必要に現場の業務に影響を与えてしまう。そのため、シグネチャを用いたセキュリティ管理においては、業務に与える影響を考慮しつつ適切な対策を講じることが求められる。一方で、講じようとする対策が業務に与える影響についての評価は、業務や現場の情報処理システムについての十分な知識を有している者が慎重に行う必要があり、人的負荷や属人性が高いといった課題がある。尚、特許文献乃至非特許文献には、シグネチャを用いたセキュリティ管理において業務への影響を考慮することは記載されていない。 However, if signatures are used to mechanically detect malicious behavior and countermeasures are taken, it may have an excessive impact on on-site operations. For example, when a benign behavior is erroneously detected as a malignant behavior, taking countermeasures such as blocking communication unnecessarily affects on-site operations. Therefore, in security management using signatures, it is required to take appropriate measures while considering the impact on business. On the other hand, the evaluation of the impact of the measures to be taken on the business needs to be done carefully by a person who has sufficient knowledge of the business and the information processing system at the site. is high. It should be noted that none of the patent documents and non-patent documents mention consideration of the impact on business in security management using signatures.
本発明はこのような背景に鑑みてなされたもので、シグネチャを用いたセキュリティ管理を、業務に与える影響を考慮しつつ適切に行うことが可能な、シグネチャ管理装置、およびシグネチャ管理方法を提供することを目的とする。 SUMMARY OF THE INVENTION The present invention has been made in view of such a background, and provides a signature management apparatus and signature management method capable of appropriately performing security management using signatures while considering the impact on business. for the purpose.
上記目的を達成するための本発明の一つは、シグネチャ管理装置であって、プロセッサおよび記憶装置を有する情報処理装置を用いて構成され、脅威情報を取得する脅威情報取得部と、前記脅威情報に基づき、業務が行われる現場のセキュリティ管理に適用されるシグネチャの候補である候補シグネチャを生成する候補シグネチャ生成部と、前記業務に関する情報である業務情報を取得する業務情報取得部と、前記候補シグネチャを前記セキュリティ管理に適用した場合に前記業務に与える影響の度合いを示す値である影響度を前記業務情報に基づき求める業務影響度評価部と、前記影響度に基づき前記候補シグネチャの前記セキュリティ管理への適用是非を判定するシグネチャ適用是非判定部と、前記適用是非の判定結果を出力するシグネチャ情報提供部と、を備える。 One of the present inventions for achieving the above object is a signature management device, which is configured using an information processing device having a processor and a storage device, and includes a threat information acquisition unit for acquiring threat information; a candidate signature generation unit that generates a candidate signature that is a candidate for a signature applied to security management at a site where work is performed, a business information acquisition unit that acquires business information that is information related to the business, and the candidate a business impact evaluation unit that obtains, based on the business information, an impact, which is a value indicating the degree of impact on the business when the signature is applied to the security management, and the security management of the candidate signature based on the impact. and a signature information providing unit for outputting the determination result of whether or not to apply the signature.
その他、本願が開示する課題、およびその解決方法は、発明を実施するための形態の欄、および図面により明らかにされる。 In addition, the problems disclosed by the present application and their solutions will be clarified by the description of the mode for carrying out the invention and the drawings.
本発明によれば、シグネチャを用いたセキュリティ管理を、業務に与える影響を考慮しつつ適切に行うことができる。 Advantageous Effects of Invention According to the present invention, security management using signatures can be appropriately performed while considering the impact on business.
以下、実施形態について図面を参照しつつ説明する。以下の記載および図面は、本発明を説明するための例示であって、説明の明確化のため、適宜、省略および簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。とくに限定しない限り、各構成要素は単数でも複数でも構わない。 Hereinafter, embodiments will be described with reference to the drawings. The following description and drawings are examples for explaining the present invention, and are appropriately omitted and simplified for clarity of explanation. The present invention can also be implemented in various other forms. Unless otherwise specified, each component may be singular or plural.
以下の説明において、同一のまたは類似する構成について同一の符号を付して重複した説明を省略することがある。以下の説明において、符号の前に付した「S」の文字は処理ステップを意味する。以下の説明において、「第1」、「第2」等の表記は、構成要素を識別するために付するものであり、必ずしも、数または順序を限定するものではない。以下の説明において、「テーブル」、「情報」等の表現にて各種情報を説明することがあるが、情報はこれら以外のデータ構造で表現されていてもよい。以下の説明において、「アプリケーションソフトウェア」のことを「アプリケーション」と略記する。 In the following description, the same or similar configurations may be denoted by the same reference numerals, and redundant description may be omitted. In the following description, the letter "S" attached before the reference sign means a processing step. In the following description, notations such as "first" and "second" are used to identify constituent elements, and do not necessarily limit the number or order. In the following description, various types of information may be described using expressions such as “table” and “information”, but the information may be expressed in a data structure other than these. In the following description, "application software" is abbreviated as "application".
[第1実施形態]
図1に、第1実施形態として示す情報処理システム1の概略的な構成を示している。情報処理システム1は、企業や官公庁等の組織の内部の通信ネットワークである内部ネットワーク51に接続する複数の情報処理装置(コンピュータ)を含む。また、情報処理システム1は、組織の外部の通信ネットワークである外部ネットワーク52(インターネットを含む。)と内部ネットワーク51との間に介在する通信ネットネットワークであるDMZ53(DMZ:DeMilitarized Zone)に接続する一つ以上の情報処理装置を含む。
[First embodiment]
FIG. 1 shows a schematic configuration of an
内部ネットワーク51およびDMZ53は、有線方式または無線方式の通信ネットワークであり、例えば、LAN(Local Area Network)、WAN(Wide Area Network)等で
ある。同図に示すように、内部ネットワーク51には、多数の内部装置2、侵入検出/防止装置3、およびシグネチャ管理装置100が接続している。また、DMZ53には、プロキシサーバ4が接続している。
The
内部装置2は、いずれも情報処理装置(コンピュータ)であり、例えば、組織の内部者(社員、職員等)が使用する各種端末装置(パーソナルコンピュータ、オフィスコンピュータ、スマートフォン、タブレット等)、各種のサーバ装置(アプリケーションサーバ、データベースサーバ等)である。
Each of the
シグネチャ管理装置100は、シグネチャを用いて内部ネットワーク51等の現場におけるセキュリティ管理(セキュリティインシデントの検出や対策等)を行う情報処理装置である。シグネチャ管理装置100は、外部ネットワーク52を介して、インターネット上のWebサーバ等の情報取得先6からマルウェアのシグネチャを含む情報(以下、「脅
威情報」と称する。)を取得し、取得した脅威情報に基づき、内部ネットワーク51やDMZ53におけるセキュリティインシデントの検出(セキュリティインシデントの兆候の検出を含む。以下同様。)に用いるシグネチャの候補(以下、「候補シグネチャ」と称する。)を生成する。シグネチャ管理装置100は、生成した候補シグネチャを、上記セキュリティ管理に適用した場合における組織の業務への影響度を評価する。シグネチャ管理装置100は、上記影響度に基づき候補シグネチャの適用是非を判定し、当該判定の結果に応じて、候補シグネチャを、現場のセキュリティ管理に用いるシグネチャとして侵入検出/防止装置3やプロキシサーバ4に提供する。
The
侵入検出/防止装置3(IDS:Intrusion Detection System,IPS: Intrusion prevention system)は、内部ネットワーク51における通信をパケットキャプチャ等の方法で取
得して監視することによりセキュリティインシデントを検出し、検出したセキュリティインシデントに関する情報の管理者等への通知、検出したセキュリティインシデントに対する対策(通信の遮断、マルウェアの駆除等)等を行う。侵入検出/防止装置3は、シグネチャ管理装置100から提供されるシグネチャを用いてセキュリティインシデントを検出する。
The intrusion detection/prevention system 3 (IDS: Intrusion Detection System, IPS: Intrusion prevention system) acquires and monitors communications in the
プロキシサーバ4は、例えば、内部ネットワーク51の内部装置2から外部ネットワーク52に接続する情報処理装置へのリクエストを代行するフォワードプロキシ(Forward Proxy)、外部ネットワーク52に接続する情報処理装置から内部ネットワーク51の内
部装置2へのリクエストを代行するリバースプロキシ(Reverse Proxy)として機能する
。プロキシサーバ4は、DMZ53を介して行われる通信を監視することによりセキュリティインシデントを検出し、検出したセキュリティインシデントに関する情報の管理者等への通知、検出したセキュリティインシデントに対する対策(通信の遮断、マルウェアの駆除等)等を行う。プロキシサーバ4は、シグネチャ管理装置100から提供されるシグネチャを用いてセキュリティインシデントを検出する。
The
図2は、シグネチャ管理装置100が備える主な機能を示すブロック図である。同図に示すように、シグネチャ管理装置100は、記憶部110、脅威情報取得部120、候補シグネチャ生成部125、業務情報取得部130、業務影響度評価部135、シグネチャ適用是非判定部140、およびシグネチャ情報提供部150の各機能を有する。
FIG. 2 is a block diagram showing main functions of the
上記機能のうち、記憶部110は、脅威情報取得先管理表111、脅威情報112、候補シグネチャ情報113、および業務情報114を記憶する。
Among the functions described above, the
このうち、脅威情報取得先管理表111には、脅威情報の取得先である情報取得先6に関する情報が管理される。脅威情報取得先管理表111の内容は、例えば、シグネチャ管理装置100の管理者等が、シグネチャ管理装置100が提供するユーザインタフェースを介して設定する。本実施形態では、脅威情報取得先管理表111には、シグネチャそのものを含む脅威情報を提供する情報取得先6(セキュリティベンダ等)の情報が管理される。
Of these, the threat information acquisition source management table 111 manages information related to the
脅威情報112には、脅威情報取得部120が情報取得先6から取得した脅威情報や、管理者等がユーザインタフェース介して登録した脅威情報等が管理される。
The
候補シグネチャ情報113には、脅威情報に基づき生成された候補シグネチャに関する情報が管理される。
The
業務情報114には、候補シグネチャを現場のセキュリティ管理に適用した場合における組織の業務への影響度の評価に用いる情報が管理される。業務情報114は、例えば、
内部ネットワーク51においてキャプチャされた情報(以下、「通信ログ」と称する。)、内部装置2において管理されているシステムログやアプリケーションログ等(以下、「装置ログ」と称する。)である。
The
They are information captured in the internal network 51 (hereinafter referred to as "communication log"), system logs and application logs managed in the internal device 2 (hereinafter referred to as "apparatus log").
図2に示す機能のうち、脅威情報取得部120は、脅威情報取得先管理表111に管理されている情報取得先6にアクセスして当該情報取得先6が提供する脅威情報を取得し、取得した脅威情報を脅威情報112として管理する。尚、脅威情報取得部120が、ユーザインタフェースを介して管理者等から脅威情報の入力を受け付け、受け付けた脅威情報を脅威情報112として管理してもよい。
Among the functions shown in FIG. 2, the threat
候補シグネチャ生成部125は、脅威情報112に基づき候補シグネチャを生成し、生成した候補シグネチャを候補シグネチャ情報113として管理する。尚、第1実施形態では、脅威情報112にシグネチャそのものが含まれており、候補シグネチャ生成部125は、当該シグネチャそのものを候補シグネチャとして生成する。
業務情報取得部130は、内部装置2等から業務情報を取得し、取得した業務情報を業務情報114として管理する。尚、業務情報取得部130が、ユーザインタフェースを介して管理者等から業務情報の入力を受け付け、受け付けた業務情報を業務情報114として管理してもよい。
The business
業務影響度評価部135は、業務情報114に基づき候補シグネチャの影響度を求め、求めた影響度を候補シグネチャ情報113に反映する。例えば、業務影響度評価部135は、過去に候補シグネチャもしくは候補シグネチャに類似するシグネチャの挙動に対する対策(通信の遮断、マルウェアの駆除等)を講じた場合における内部ネットワーク51への影響の大きさを影響度として求める。業務影響度評価部135は、上記影響の大きさを、例えば、業務情報である通信ログや装置ログから取得される、候補シグネチャを現場のセキュリティ管理に適用した際に業務に与えた影響の履歴から求める。上記影響の大きさの具体例として、内部装置2から外部ネットワーク52のWebサーバへのアクセスの遮断率、内部ネットワーク51の平均通信速度の低下率、レスポンスが低下するアプリケーションや利用不可となるアプリケーションの現場で運用されている全てのアプリケーションに対する割合等がある。
The business
シグネチャ適用是非判定部140は、候補シグネチャ情報113に管理されている候補シグネチャについて、現場のセキュリティ管理への適用是非を判定し、判定結果を候補シグネチャ情報113に反映する。
The signature
シグネチャ適用部145は、候補シグネチャ情報113の適用是非1135の内容に応じて、候補シグネチャを侵入検出/防止装置3やプロキシサーバ4に提供するか否かを判定(決定)し、提供する場合は候補シグネチャを侵入検出/防止装置3やプロキシサーバ4に送信する。
The
シグネチャ情報提供部150は、候補シグネチャ情報113の内容を、ユーザインタフェースを介して管理者等のユーザに提供する。
The signature
<データ例>
図3Aに、脅威情報取得先管理表111の一例を示す。例示する脅威情報取得先管理表111は、取得先ID1111、名称1112、種別1113、所在1114、最終取得日時1115、および取得頻度1116の各項目(フィールド)を有する複数のレコード(エントリ)を含む。脅威情報取得先管理表111のレコードの一つは情報取得先6の一つに対応する。
<Data example>
FIG. 3A shows an example of the threat information acquisition source management table 111. As shown in FIG. The illustrated threat information acquisition source management table 111 includes a plurality of records (entries) having respective items (fields) of
上記項目のうち、取得先ID1111には、情報取得先6の識別子(以下、「取得先ID」と称する。本例では、「0」、「1」等)が格納される。
Of the above items, the
名称1112には、当該情報取得先6の名称(本例では、「シグネチャ1」、「シグネチャ2」等)が格納される。
The
種別1113には、当該情報取得先6の種別を示す情報(本例では「シグネチャ配布サイト」)が格納される。
The
所在1114には、当該情報取得先6の所在(本例では、当該情報取得先6のURL(Uniform Resource Locator))が格納される。
The
最終取得日時1115には、当該情報取得先6から情報を取得した直近の日時が格納される。尚、日時のデータ型式は必ずしも限定されず、Unixtime等、日時が判別できるデータ形式であればよい。
The most recent date and time when the information was acquired from the
取得頻度1116には、当該情報取得先6から脅威情報を取得する頻度(3時間毎、48時間毎等)を示す情報が格納される。
The
図3Bに、候補シグネチャ情報113の一例を示す。例示する候補シグネチャ情報113は、シグネチャID1131、生成日時1132、シグネチャ1133、影響度1134、適用是非1135、および適用状況1136の各項目(フィールド)を有する複数のレコード(エントリ)を含む。候補シグネチャ情報113のレコードの一つは候補シグネチャの一つに対応する。
An example of
上記項目のうち、シグネチャID1131には、候補シグネチャ(シグネチャ)の識別子(以下、「シグネチャID」と称する。)が格納される。
Among the above items, the
生成日時1132には、候補シグネチャ生成部125によって当該候補シグネチャが生成された日時が格納される。尚、日時のデータ型式は必ずしも限定されず、Unixtime等、日時が判別できるデータ形式であればよい。
The date and time of
シグネチャ1133には、当該候補シグネチャの内容(実体)(本例では、「.*/mal/index.html」、「rule.example.com」、「example.com/sig」等)が格納される。尚、シグネチャの種類や形式は必ずしも限定されず、攻撃に資するものを検出および遮断できるものであればよい。シグネチャの他の例として、マルウェアがアクセスするパスやレジストリ、マルウェアが生成/削除等を行うファイルのパス、マルウェアそのもののバイナリ列の特徴等がある。
The
影響度1134には、当該候補シグネチャについて業務影響度評価部135が評価した影響度(本例では、「0.1%」、「40.0%」等)が格納される。尚、影響度のデータ形式
は必ずしも限定されない。
The
適用是非1135には、シグネチャ適用是非判定部140による、当該候補シグネチャの現場のセキュリティ管理への適用是非の判定結果を示す情報が設定される。本例では、当該候補シグネチャが、シグネチャ適用是非判定部140により適用可能(是)と判定された場合は「yes」が、また、当該候補シグネチャが、適用すべきでない(非)と判定された場合は「no」が設定される。尚、適用すべきでない(非)と判定される場合は、例えば、その候補シグネチャを現場のセキュリティ管理に適用したときの影響度が著しく
大きく、通常業務を阻害する可能性が高い場合である。
In the
適用状況1136には、当該候補シグネチャが現在、現場のセキュリティ管理に適用されているか否かを示す情報が設定される。本例では、当該候補シグネチャが現在、現場のセキュリティ管理に適用されている場合は「yes」が、適用されていない場合は「no」が設定される。
The
<ハードウェア構成例>
図4に、シグネチャ管理装置100の実現に用いる情報処理装置(コンピュータ)のハードウェア構成の一例を示す。
<Hardware configuration example>
FIG. 4 shows an example of the hardware configuration of an information processing device (computer) used to implement the
例示する情報処理装置10は、プロセッサ11、主記憶装置12(メモリ)、補助記憶装置13(外部記憶装置)、入力装置14、出力装置15、および通信装置16を備える。これらはバスや通信ケーブル等を介して通信可能に接続されている。情報処理装置10の例として、パーソナルコンピュータ、サーバ装置、スマートフォン、タブレット、汎用機(メインフレーム)等がある。
The illustrated
情報処理装置10は、その全部または一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、情報処理装置10によって提供される機能の全部または一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現してもよい。
また、情報処理装置10によって提供される機能の全部または一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)等を利用して実現されるものであってもよい。シグネチャ管理装
置100は、例えば、プロキシサーバ4や侵入検出/防止装置3の機能として実現してもよい。
The
Further, all or part of the functions provided by the
プロセッサ11は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field Programmable
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
The
Gate Array), ASIC (Application Specific Integrated Circuit), AI (Artificial Intelligence) chip, and the like.
主記憶装置12は、プログラムやデータを記憶する装置であり、例えば、ROM(Read
Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。シグネチャ管理装置100の構成要素において実現される機能は、プロセッサ11が、主記憶装置12に格納(記憶)されているプログラムを読み出して実行することにより実現される。
The
Only Memory), RAM (Random Access Memory), nonvolatile memory (NVRAM (Non Volatile RAM)), and the like. The functions realized by the constituent elements of the
補助記憶装置13は、例えば、SSD(Solid State Drive)、ハードディスクドライ
ブ、光学式記憶装置(CD(Compact Disc)、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等である。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
The
入力装置14は、外部からの情報の入力を受け付けるインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、ペン入力方式のタブレット、音声入
力装置等である。
The
出力装置15は、処理経過や処理結果等の各種情報を外部に出力するインタフェースである。出力装置15は、例えば、上記の各種情報を可視化する表示装置(液晶モニタ、LCD(Liquid Crystal Display)、グラフィックカード等)、上記の各種情報を音声化する装置(音声出力装置(スピーカ等))、上記の各種情報を文字化する装置(印字装置等)である。尚、例えば、情報処理装置10が通信装置16を介して他の装置との間で情報の入力や出力を行う構成としてもよい。
The
入力装置14と出力装置15は、ユーザとの間での対話処理(情報の受け付け、情報の提供等)を実現するユーザインタフェースを構成する。
The
通信装置16は、他の装置との間の通信を実現する装置である。通信装置16は、通信媒体5を介して他の装置との間の通信を実現する、有線方式または無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、無線通信モジュール、USBモジュール等である。
The
情報処理装置10には、例えば、オペレーティングシステム、ファイルシステム、DBMS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。
For example, an operating system, a file system, a DBMS (DataBase Management System) (relational database, NoSQL, etc.), a KVS (Key-Value Store), etc. may be installed in the
続いて、シグネチャ管理装置100が行う処理について説明する。
Next, processing performed by the
<シグネチャ生成処理>
図5Aは、シグネチャ管理装置100が、脅威情報に基づきシグネチャ(候補シグネチャ)を生成して現場のセキュリティ管理に適用する際に行う処理(以下、「シグネチャ生成処理S500」と称する。)を説明するフローチャートである。シグネチャ管理装置100は、例えば、ユーザインタフェースを介して管理者等のユーザから実行指示を受け付けたこと、予め設定されたタイミング(定期的等)が到来したこと等を契機として、シグネチャ生成処理S500を実行する。以下、同図とともにシグネチャ生成処理S500について説明する。
<Signature generation processing>
FIG. 5A illustrates a process performed by the
まずシグネチャ管理装置100の脅威情報取得部120が、脅威情報取得先管理表111を参照して情報取得先6にアクセスし、一つ以上の脅威情報を取得する(S511)。尚、脅威情報取得部120は、脅威情報取得先管理表111の最終取得日時1115および取得頻度1116の内容から特定されるタイミングで情報取得先6にアクセスする。
First, the threat
続いて、候補シグネチャ生成部125が、S511で取得した脅威情報が新規な情報であるか否かを判定する(S512)。候補シグネチャ生成部125は、例えば、取得した脅威情報に付帯するタイムスタンプが、前回の脅威情報の更新日時よりも後であれば、取得した脅威情報は新規であると判定する。また、候補シグネチャ生成部125は、例えば、毎回のタイミングで取得した脅威情報を蓄積管理しておき、取得した脅威情報が蓄積管理されている脅威情報に含まれていなければ、取得した脅威情報は新規であると判定する。候補シグネチャ生成部125が、S511で取得した脅威情報が新規な情報であると判定した場合(S512:YES)、処理はS513に進む。一方、候補シグネチャ生成部125が、S511で取得した脅威情報が新規な情報でないと判定した場合(S512:NO)、シグネチャ生成処理S500は終了する。
Subsequently, the candidate
S513では、候補シグネチャ生成部125は、S512で新規と判定した脅威情報を脅威情報112として管理(記憶)する。
In S<b>513 , the candidate
続いて、候補シグネチャ生成部125は、S511で取得した新規な脅威情報に基づき候補シグネチャを生成する(S514)。本実施形態では、候補シグネチャ生成部125は、新規な脅威情報に含まれているシグネチャそのものを候補シグネチャとして生成する。候補シグネチャ生成部125は、生成した候補シグネチャを候補シグネチャ情報113として管理する。
Subsequently, the candidate
続いて、シグネチャ管理装置100は、S511で取得した一つ以上の新規な脅威情報に基づく一つ以上の候補シグネチャを順に選択してS515S~S515Eのループ処理を実行する。
Subsequently, the
まずシグネチャ管理装置100の業務影響度評価部135が、選択中の候補シグネチャと業務情報とを対照することにより候補シグネチャの影響度を求め、求めた影響度を候補シグネチャ情報113に反映する(S520)。尚、当該処理(以下、「業務影響度評価処理S520」と称する。)の詳細については後述する。
First, the business
続いて、シグネチャ適用是非判定部140が、候補シグネチャ情報113に管理されている候補シグネチャについて、現場のセキュリティ管理への適用の是非を判定し、判定結果を候補シグネチャ情報113の適用是非1135に反映する(S530)。尚、当該処理(以下、「シグネチャ適用是非判定処理S530」と称する。)の詳細については後述する。
Subsequently, the signature
続いて、シグネチャ適用部145が、選択中の候補シグネチャの適用是非1135の内容が「yes」か否かを判定する(S516)。適用是非1135の内容が「yes」であれば(S516:yes)、S540の処理に進み、適用是非1135の内容が「no」であれば(S516:no)、選択中の候補シグネチャについてのループ処理を終了する。
Subsequently, the
S540では、シグネチャ適用部145が、選択中の候補シグネチャを侵入検出/防止装置3やプロキシサーバ4に送信する処理を行う。尚、当該処理(以下、「シグネチャ適用処理S540」と称する。)の詳細については後述する。
In S<b>540 , the
S515S~S515Eの処理が終了すると、シグネチャ生成処理S500は終了する。 When the processing of S515S to S515E ends, the signature generation processing S500 ends.
図5Bは、図5Aの業務影響度評価処理S520の詳細を説明するフローチャートである。以下、同図とともに業務影響度評価処理S520について説明する。 FIG. 5B is a flowchart for explaining the details of the business impact level evaluation process S520 in FIG. 5A. The business impact degree evaluation processing S520 will be described below with reference to FIG.
まず業務影響度評価部135は、選択中の候補シグネチャと業務情報とを対照し、当該候補シグネチャの影響度を求める(S521)。
First, the business
続いて、業務影響度評価部135は、求めた影響度を、候補シグネチャ情報113の当該候補シグネチャの影響度1134に格納する(S522)。
Subsequently, the business
図5Cは、図5Aのシグネチャ適用是非判定処理S530の詳細を説明するフローチャートである。以下、同図とともにシグネチャ適用是非判定処理S530について説明する。 FIG. 5C is a flowchart for explaining the details of the signature application propriety determination process S530 in FIG. 5A. The signature application propriety determination processing S530 will be described below with reference to FIG.
まずシグネチャ適用是非判定部140が、選択中の候補シグネチャについて、候補シグネチャ情報113の影響度1134に格納されている内容に基づき、現場のセキュリティ
管理への適用是非を判定する(S531)。シグネチャ適用是非判定部140は、例えば、影響度1134に格納されている値が予め設定された閾値以下であれば適用可能(是)と判定し、上記値が上記閾値を超えていれば適用すべきでない(非)と判定する。
First, the signature application
尚、管理者等のユーザが上記閾値を設定するためのユーザインタフェースをシグネチャ管理装置100が提供するようにしてもよい。ユーザは当該機能を利用することで上記閾値を簡便に設定することができ、現場の状況やニーズに適した値に上記閾値を容易に調整することができる。
Note that the
続いて、シグネチャ適用是非判定部140は、上記判定の結果を、候補シグネチャ情報113の適用是非1135に格納する(S532)。
Subsequently, the signature application
図5Dは、図5Aのシグネチャ適用処理S540の詳細を説明するフローチャートである。尚、候補シグネチャ情報113の候補シグネチャの適用状況1136には、予めデフォルト値として「no」が格納されているものとする。以下、同図とともにシグネチャ適用処理S540について説明する。
FIG. 5D is a flowchart illustrating details of the signature application process S540 of FIG. 5A. It is assumed that the candidate
同図に示すように、まずシグネチャ適用部145は、選択中の候補シグネチャを侵入検出/防止装置3やプロキシサーバ4に送信する(S541)。
As shown in the figure, the
続いて、シグネチャ適用部145が、候補シグネチャ情報113の当該候補シグネチャの適用状況1136に「yes」を格納する。
Subsequently, the
<シグネチャ情報提供処理>
図2に示したシグネチャ管理装置100のシグネチャ情報提供部150は、以上の処理により内容が設定された候補シグネチャ情報113の内容を、ユーザインタフェースを介して管理者等のユーザに提供する。
<Signature information provision processing>
The signature
図6は、シグネチャ情報の提供に際し、シグネチャ情報提供部150が行う処理(以下、「シグネチャ情報提供処理S600」と称する。)を説明するフローチャートである。以下、同図とともにシグネチャ情報提供処理S600について説明する。
FIG. 6 is a flowchart for explaining the processing (hereinafter referred to as "signature information providing processing S600") performed by the signature
シグネチャ情報提供部150は、ユーザからシグネチャ情報の提供要求を受け付けたか否かをリアルタイムに監視する(S611)。シグネチャ情報提供部150は、ユーザからシグネチャ情報の提供要求を受け付けると(S611:YES)、S612からの処理を行う。
The signature
S612では、シグネチャ情報提供部150は、候補シグネチャ情報113の内容を取得する。
At S<b>612 , the signature
続いて、シグネチャ情報提供部150は、取得した内容に基づき、当該内容を表示する画面(以下、「シグネチャ情報提供画面700」と称する。)を生成し(S613)、生成したシグネチャ情報提供画面700をユーザインタフェースを介して表示する(S614)。
Subsequently, the signature
図7に、シグネチャ情報提供画面700の一例を示す。例示するシグネチャ情報提供画面700には、図3Bに例示した候補シグネチャ情報113の内容(シグネチャID、生成日時、シグネチャ、影響度、適用是非、適用状況)が記載されている。ユーザは、シグネチャ情報提供画面700を参照することで、現在どのようなシグネチャが適用されているのか、適用されているシグネチャに基づきセキュリティインシデントが検出されて対策
がされた場合、どの程度の影響が生じるのかといったことを容易に把握することができる。また、ユーザは、シグネチャ情報提供画面700を利用してシグネチャに関する業務の効率向上を図ることができる。尚、シグネチャ情報提供画面700の態様は必ずしも同図に示すものに限定されない。例えば、シグネチャ情報提供画面700にシグネチャに関する他の情報を更に表示してもよい。
FIG. 7 shows an example of a signature
以上に説明したように、本実施形態のシグネチャ管理装置100は、候補シグネチャを適用した場合における組織の業務への影響度を評価し、当該影響度に基づき候補シグネチャの現場のセキュリティ管理への適用是非を判定する。また、シグネチャ管理装置100は、当該判定の結果に応じて、候補シグネチャを、内部ネットワーク51についてのセキュリティインシデントの検出に用いるシグネチャとして侵入検出/防止装置3やプロキシサーバ4に提供する。そのため、例えば、現場の業務に大きな影響を与えるシグネチャが不必要にセキュリティ管理に適用されてしまうのを防ぐことができ、シグネチャを用いたセキュリティ管理を業務に与える影響を考慮しつつ適切に行うことができる。また、シグネチャ管理装置100は、候補シグネチャの業務への影響度の評価や適用是非の判定を自動で行うので、人的負荷や属人性といった課題の解消を図ることができる。
As described above, the
ところで、以上の例では、影響度を求める際に候補シグネチャと対照する業務情報の例として通信ログや業務ログを示したが、例えば、業務の性質や業務に用いる機器の性質を業務情報として管理しておき、業務影響度評価部135が、業務情報の内容に応じて影響度を求めるようにしてもよい。例えば、IoT環境や工場環境を対象とした脅威情報に基づき生成した候補シグネチャの影響度の評価において、業務影響度評価部135が、業務情報から特定される業務環境がIoT環境や工場環境である場合は影響度を高く判定し、業務情報から特定される業務環境が一般的なオフィスである場合は影響度を低く判定するようにする。また、組織の規模を業務情報として記憶しておき、業務影響度評価部135が、組織の規模に応じて影響度を増減させる(例えば、組織の希望が大きい程、影響度が高くなるようにする等)ようにしてもよい。
By the way, in the above examples, communication logs and business logs were shown as examples of business information to be compared with candidate signatures when determining the degree of impact. The business impact
また、以上の例では、影響度を予め設定した閾値と比較することにより候補シグネチャの適用是非を判定したが、例えば、候補シグネチャに対応する脅威の度合いが高い場合に、影響度がやや高くても安全を優先する観点から候補シグネチャを適用可能(是)と判定するようにする等、業務影響度評価部135が、候補シグネチャに対応する脅威の度合いに応じて適用是非の判定基準を調整するようにしてもよい。
In the above example, whether or not to apply a candidate signature is determined by comparing the degree of impact with a preset threshold. The business
また、以上の例では、候補シグネチャの適用是非の判定を予め設定した閾値との比較により機械的に行ったが、例えば、影響度が予め設定した閾値の近傍(閾値から所定の範囲内)であり、機械的に判定することが難しい場合や微妙な場合等、シグネチャ適用是非判定部140が、ユーザインタフェース等を介して分析官等のユーザから候補シグネチャの適用是非の判定の入力を受け付け、受け付けた内容に基づき候補シグネチャの適用是非を判定するようにしてもよい。そのようにすることで、機械的な判定が難しい場合でも、候補シグネチャの適用是非の判定を適切に行うことができ、現場の状況やニーズに即した形でセキュリティ管理の仕組みを実現することができる。
Further, in the above example, the determination of whether or not to apply the candidate signature is mechanically performed by comparison with a preset threshold. In such cases, the signature
[第2実施形態]
第1実施形態のシグネチャ管理装置100は、情報取得先6からシグネチャそのものを含む脅威情報を取得し、当該脅威情報に含まれるシグネチャそのものを候補シグネチャとして生成したが、第2実施形態のシグネチャ管理装置100は、脅威情報を解析することにより候補シグネチャを生成する。第2実施形態の情報処理システム1やシグネチャ管理装置100の基本的な構成は共通するため、以下では、第1実施形態との相違点を中心として説明する。
[Second embodiment]
Although the
図8は、第2実施形態のシグネチャ管理装置100が備える主な機能を示すブロック図である。同図に示すように、第2実施形態のシグネチャ管理装置100は、第1実施形態のシグネチャ管理装置100が備える構成に加え、脅威情報解析部123を更に備える。また、第2実施形態のシグネチャ管理装置100の候補シグネチャ生成部125は、第1実施形態のシグネチャ管理装置100とは異なる機能を更に有する。また、第2実施形態のシグネチャ管理装置100の記憶部110は、第1実施形態のシグネチャ管理装置100の記憶部110が記憶する各情報に加え、更に脅威情報解析結果115を記憶する。
FIG. 8 is a block diagram showing main functions of the
図9Aは、第2実施形態のシグネチャ管理装置100の記憶部110が記憶する脅威情報取得先管理表111の一例である。例示する脅威情報取得先管理表111の各項目は第1実施形態の脅威情報取得先管理表111と共通である。例示する脅威情報取得先管理表111には、シグネチャそのものを必ずしも含まない脅威情報を提供する情報取得先6が格納されている。例えば、取得先ID1111が「0」のレコードは、マルウェアの解析結果を提供するサイトであり、取得先ID1111が「1」のレコードは、CTI(Cyber Threat Intelligence)を提供するサイトであり、取得先ID1111が「2」のレコ
ードは、RSSフィードを配信するサイトである。
FIG. 9A is an example of the threat information acquisition destination management table 111 stored in the
第2実施形態のシグネチャ管理装置100が備える脅威情報解析部123は、情報取得先6から取得した脅威情報112を解析し、その結果を脅威情報解析結果115に格納する。
The threat
図9Bは、第2実施形態のシグネチャ管理装置100の記憶部110が記憶する脅威情報解析結果115の一例である。同図に示すように、例示する脅威情報解析結果115は、脅威情報ID1121、取得日時1122、種別1123、およびシグネチャ化対象情報1124の各項目を有する一つ以上のレコード(エントリ)で構成される。脅威情報解析結果115のレコードの一つは脅威情報の解析結果の一つに対応する。
FIG. 9B is an example of the threat
上記項目のうち、脅威情報ID1121には、脅威情報の解析結果毎に付与される識別子(以下、「脅威情報解析結果ID」と称する。)が格納される。 Among the above items, the threat information ID 1121 stores an identifier assigned to each threat information analysis result (hereinafter referred to as “threat information analysis result ID”).
取得日1152には、当該解析結果の解析元の脅威情報の取得日時が格納される。尚、日時のデータ型式は必ずしも限定されず、Unixtime等、日時が判別できるデータ形式であればよい。
種別1153には、当該解析結果の解析元の脅威情報の種別が格納される。
The
シグネチャ化対象情報1154には、脅威情報解析部123が当該解析結果の解析元の脅威情報から抽出した、シグネチャ化の対象となる情報(以下、「シグネチャ化対象情報」と称する。)が格納される。
The
図10Aは、第2実施形態のシグネチャ管理装置100が、脅威情報を解析し、解析結果に基づき候補シグネチャを生成して現場のセキュリティ管理に適用する際に行う処理(以下、「シグネチャ生成処理S1000」と称する。)を説明するフローチャートである。第1実施形態のシグネチャ生成処理S500と異なり、第2実施形態のシグネチャ生成処理S1000は、第1実施形態のシグネチャ生成処理S500S513~S514の処理に代え、脅威情報解析処理S1020および候補シグネチャ生成処理S1030を順に実行する。第2実施形態のシグネチャ生成処理S1000の他の処理については、第1実施形態のシグネチャ生成処理S500と同様であるので説明を省略する。シグネチャ管理装置100は、例えば、管理者等からユーザインタフェースを介して実行指示を受け付け
たこと、予め設定されたタイミング(定期的等)が到来したこと等を契機として、シグネチャ生成処理S1000を実行する。
FIG. 10A shows processing performed by the
図10Bは、図10Aの脅威情報解析処理S1020の詳細を説明するフローチャートである。以下、同図とともに脅威情報解析処理S1020について説明する。 FIG. 10B is a flow chart explaining details of the threat information analysis processing S1020 of FIG. 10A. The threat information analysis processing S1020 will be described below with reference to FIG.
同図に示すS1021S~S1021Eのループ処理は、図10AのS1011で取得した新規の脅威情報の夫々について繰り返し実行される。 The loop processing of S1021S to S1021E shown in FIG. 10A is repeatedly executed for each piece of new threat information acquired in S1011 of FIG. 10A.
上記ループ処理において、まずシグネチャ管理装置100の脅威情報解析部123は、選択中の新規の脅威情報から、シグネチャ化対象情報を抽出する(S1022)。例えば、脅威情報解析部123は、マルウェアがアクセスする悪性サイトのURL、マルウェアが操作するレジストリ、マルウェアがアクセスするファイルパス、マルウェアのバイナリ列等をシグネチャ化対象情報として抽出する。尚、脅威情報解析部123は、例えば、新規の脅威情報が構造化されて記述されている場合には、スクリプト等を用いて機械的にシグネチャ化対象情報を抽出する。また、脅威情報解析部123は、例えば、CTIのように新規の脅威情報が構造化されていない場合には、正規表現等を活用してURLやレジストリ等の情報をシグネチャ化対象情報を抽出する。例示したシグネチャ化対象情報は一例に過ぎず、他の種類のものであってもよい。
In the above loop processing, first, the threat
続いて、脅威情報解析部123は、S1022で抽出したシグネチャ化対象情報を、脅威情報解析結果115に格納する(S1023)。
Subsequently, the threat
図10Cは、図10Aの候補シグネチャ生成処理S1030の詳細を説明するフローチャートである。以下、同図とともに候補シグネチャ生成処理S1030について説明する。 FIG. 10C is a flowchart illustrating details of the candidate signature generation process S1030 of FIG. 10A. The candidate signature generation processing S1030 will be described below with reference to FIG.
まず候補シグネチャ生成部125は、脅威情報解析結果115から未処理の脅威情報を取得する(S1031)。
First, the
続いて、候補シグネチャ生成部125は、S1031で取得した脅威情報解析結果を、夫々のシグネチャ化対象情報の類似度に基づきクラスタリングする(S1032)。例えば、候補シグネチャ生成部125は、シグネチャ化対象情報に含まれている、URLの文字列の類似度や応答文のパケット長、アクセス先のファイルパスの文字列、アクセス先のレジストリ名の文字列等を特徴量として上記のクラスタリングを行う。尚、クラスタリングの方法は必ずしも限定されず、例えば、機械学習の仕組みにより行ってもよい。
Subsequently, the candidate
続くS1033S~S1033Eのループ処理は、S1032でクラスタリングしたクラスタを順次選択して繰り返し実行される。 The subsequent loop processing from S1033S to S1033E is repeated by sequentially selecting the clusters clustered at S1032.
上記ループ処理において、まず候補シグネチャ生成部125は、選択中のクラスタに属する各脅威情報解析結果のシグネチャ化対象情報の一致部分を抽出する(S1034)。例えば、候補シグネチャ生成部125は、シグネチャ化対象情報であるURLの文字列の一致部分を抽出する。
In the loop process described above, the candidate
続いて、候補シグネチャ生成部125は、抽出した一致部分の抽象化を行う。例えば、候補シグネチャ生成部125は、階層型クラスタリング手法を用いて多段階で上記抽象化を行う(S1035)。
Subsequently, the
続いて、候補シグネチャ生成部125は、抽象化した結果を候補シグネチャとして候補
シグネチャ情報に格納する(S1036)。
Subsequently, the candidate
以上に説明したように、第2実施形態のシグネチャ管理装置100は、脅威情報に基づき自動的に候補シグネチャを生成するので、シグネチャそのものを必ずしも含んでいない脅威情報に基づき候補シグネチャを自動生成することができる。そのため、例えば、ユーザは、自組織が運用するマルウェアの解析環境において取得されたマルウェア解析結果等の脅威情報や自組織において手動で入力された脅威情報に基づき、シグネチャ管理装置100を利用して候補シグネチャを自前で生成することができる。また、候補シグネチャが自動生成されるので、ユーザは、実施コストや属人性の課題を解決しつつ、効率よく候補シグネチャを生成することができる。
As described above, the
ところで、図10Aのシグネチャ生成処理S1000のS1014の適用是非の判定において、候補シグネチャの業務への影響度が高く適用是非1135の内容が「no」である場合(図5CのS531においてシグネチャ適用是非判定部140が適用不可能(非)と判定した場合)、S1030の処理に戻り、クラスタリングの条件やシグネチャ化対象情報の組合せを変更(パラメータを変更)して候補シグネチャを再生成し、再生成した候補シグネチャを対象としてS1013S~S1013Eのループ処理を再実行するようにしてもよい。そのようにすることで、例えば、現場のセキュリティ管理に適用可能な候補シグネチャを生成できる可能性が高まり、業務への影響を抑えつつセキュリティ管理の質を向上させることができる。
By the way, in the determination of whether or not to apply S1014 of the signature generation processing S1000 of FIG. If the
1 情報処理システム、2 内部装置、3 侵入検出/防止装置、4 プロキシサーバ、6 情報取得先、51 内部ネットワーク、52 外部ネットワーク、53 DMZ、100 シグネチャ管理装置、110 記憶部、111 脅威情報取得先管理表、112 脅威情報、113 候補シグネチャ情報、114 業務情報、115 脅威情報解析結果、120 脅威情報取得部、123 脅威情報解析部、125 候補シグネチャ生成部、130 業務情報取得部、135 業務影響度評価部、140 シグネチャ適用是非判定部、145 シグネチャ適用部、150 シグネチャ情報提供部、S500 シグネチャ生成処理、S520 業務影響度評価処理、S530 シグネチャ適用是非判定処理、S540 シグネチャ適用処理、S600 シグネチャ情報提供処理、700 シグネチャ情報提供画面、S1000 シグネチャ生成処理、S1020 脅威情報解析処理、S1030 候補シグネチャ生成処理
1
Claims (15)
脅威情報を取得する脅威情報取得部と、
前記脅威情報に基づき、業務が行われる現場のセキュリティ管理に適用されるシグネチャの候補である候補シグネチャを生成する候補シグネチャ生成部と、
前記業務に関する情報である業務情報を取得する業務情報取得部と、
前記候補シグネチャを前記セキュリティ管理に適用した場合に前記業務に与える影響の度合いを示す値である影響度を前記業務情報に基づき求める業務影響度評価部と、
前記影響度に基づき前記候補シグネチャの前記セキュリティ管理への適用是非を判定するシグネチャ適用是非判定部と、
前記適用是非の判定結果を出力するシグネチャ情報提供部と、
を備える、シグネチャ管理装置。 configured using an information processing device having a processor and a storage device,
a threat information acquisition unit that acquires threat information;
a candidate signature generation unit that generates candidate signatures, which are candidates for signatures applied to security management at a site where business is performed, based on the threat information;
a business information acquisition unit that acquires business information that is information about the business;
a business impact evaluation unit that obtains, based on the business information, an impact, which is a value indicating the degree of impact on the business when the candidate signature is applied to the security management;
a signature application propriety determination unit that determines whether or not to apply the candidate signature to the security management based on the degree of impact;
a signature information providing unit that outputs the determination result of whether or not to apply;
A signature management device, comprising:
前記業務情報は、前記候補シグネチャをセキュリティ管理に適用した際に取得されたログ情報である、
シグネチャ管理装置。 The signature management device of claim 1, comprising:
The business information is log information acquired when the candidate signature is applied to security management,
Signature management device.
前記業務影響度評価部は、前記ログ情報に基づき取得される、前記候補シグネチャを前記セキュリティ管理に適用した際の、前記現場で運用されている情報処理装置から他の情報処理装置へのアクセスの遮断率、前記現場における通信ネットワークの平均通信速度の低下率、前記現場で利用されているアプリケーションのうちレスポンスが低下したアプリケーションの割合、および前記現場で利用されているアプリケーションのうち利用不可となったアプリケーションの割合、のうちの少なくともいずれかに基づき、前記影響度を求める、
シグネチャ管理装置。 A signature management device according to claim 2, wherein
The business impact evaluation unit determines whether the information processing device operated on site accesses another information processing device when the candidate signature acquired based on the log information is applied to the security management. Blockage rate, rate of decrease in average communication speed of the communication network at the site, percentage of applications used at the site whose response has decreased, and out of the applications used at the site, which have become unusable determining the degree of impact based on at least one of: proportion of applications;
Signature management device.
前記業務情報は、前記業務の性質、前記業務に用いる機器の性質、前記業務が行われる環境、および前記業務を行う組織の規模のうちの少なくともいずれかである、
シグネチャ管理装置。 The signature management device of claim 1, comprising:
The business information is at least one of the nature of the business, the nature of equipment used for the business, the environment in which the business is performed, and the size of the organization that performs the business.
Signature management device.
前記候補シグネチャによる検出対象である脅威の度合いを示す情報を記憶し、
前記シグネチャ適用是非判定部は、前記脅威の度合いに応じて前記適用是非の判定基準を調整する、
シグネチャ管理装置。 The signature management device of claim 1, comprising:
storing information indicating the degree of threat to be detected by the candidate signature;
The signature application suitability determination unit adjusts the application suitability determination criteria according to the degree of threat.
Signature management device.
前記脅威情報はシグネチャそのものを含み、
前記候補シグネチャ生成部は、前記脅威情報に含まれているシグネチャそのものを前記候補シグネチャとして生成する、
シグネチャ管理装置。 The signature management device of claim 1, comprising:
the threat information includes the signature itself;
wherein the candidate signature generation unit generates the signature itself included in the threat information as the candidate signature;
Signature management device.
前記脅威情報を解析する脅威情報解析部を更に備え、
前記候補シグネチャ生成部は、前記脅威情報を解析することにより得られる情報であるシグネチャ化対象情報に基づき前記候補シグネチャを生成する、
シグネチャ管理装置。 The signature management device of claim 1, comprising:
Further comprising a threat information analysis unit that analyzes the threat information,
The candidate signature generation unit generates the candidate signatures based on signature target information, which is information obtained by analyzing the threat information.
Signature management device.
前記候補シグネチャ生成部は、生成した前記候補シグネチャについて求めた前記影響度が予め設定された閾値を超える場合、前記シグネチャ化対象情報に基づき、当該候補シグネチャの生成方法とは異なる方法により前記候補シグネチャを再生成する、
シグネチャ管理装置。 A signature management device according to claim 7, comprising:
When the degree of influence obtained for the generated candidate signature exceeds a preset threshold value, the candidate signature generation unit generates the candidate signature by a method different from the generation method of the candidate signature, based on the signature target information. to regenerate the
Signature management device.
前記候補シグネチャ生成部は、前記脅威情報を解析することによって得られた複数の前記シグネチャ化対象情報をクラスタに分類し、前記クラスタ毎に前記シグネチャ化対象情報の一致部分を抽象化することにより得られた結果を前記候補シグネチャとして生成する、
シグネチャ管理装置。 A signature management device according to claim 7, comprising:
The candidate signature generation unit classifies a plurality of pieces of the signature target information obtained by analyzing the threat information into clusters, and abstracts a matching portion of the signature target information for each cluster. generating the obtained result as the candidate signature;
Signature management device.
前記シグネチャ化対象情報は、マルウェアがアクセスする悪性サイトの所在を示す情報、マルウェアが操作するレジストリ、マルウェアがアクセスするファイルパス、およびマルウェアのバイナリ列、のうちの少なくともいずれかである、
シグネチャ管理装置。 A signature management device according to claim 7, comprising:
The signature target information is at least one of information indicating the location of a malicious site accessed by malware, a registry operated by malware, a file path accessed by malware, and a binary string of malware.
Signature management device.
前記シグネチャ情報提供部は、前記候補シグネチャについて求めた前記影響度を記載した画面を生成して出力する、
シグネチャ管理装置。 The signature management device of claim 1, comprising:
The signature information providing unit generates and outputs a screen that describes the degree of influence obtained for the candidate signature;
Signature management device.
前記シグネチャ情報提供部は、前記候補シグネチャの前記適用是非または前記セキュリティ管理への適用状況を更に記載した前記画面を生成して出力する、
シグネチャ管理装置。 A signature management device according to claim 11, comprising:
The signature information providing unit generates and outputs the screen further describing whether or not the candidate signature is applied or the application status of the candidate signature to the security management.
Signature management device.
前記シグネチャ適用是非判定部は、
前記影響度を予め設定した閾値と比較することにより前記適用是非を判定し、
前記影響度が前記閾値から所定の範囲内である場合にユーザインタフェースを介して前記適用是非の判定の入力を受け付け、受け付けた内容に基づき前候補シグネチャの前記適用是非を判定する、
シグネチャ管理装置。 The signature management device of claim 1, comprising:
The signature application propriety determination unit
Determine whether the application is appropriate by comparing the degree of influence with a preset threshold,
Receiving an input to determine whether or not to apply the previous candidate signature via a user interface when the degree of influence is within a predetermined range from the threshold, and determining whether or not to apply the previous candidate signature based on the received content;
Signature management device.
前記セキュリティ管理を行う他の情報処理装置と通信可能に接続し、
前記シグネチャ情報提供部は、前記適用是非の判定結果に応じて、前記セキュリティ管理に用いられる他の情報処理装置に前記候補シグネチャを提供するか否かを判定する、
シグネチャ管理装置。 The signature management device of claim 1, comprising:
communicably connected to another information processing device that performs security management;
The signature information providing unit determines whether or not to provide the candidate signature to another information processing device used for the security management according to the determination result of whether or not to apply it.
Signature management device.
脅威情報を取得するステップと、
前記脅威情報に基づき、業務が行われる現場のセキュリティ管理に適用されるシグネチャの候補である候補シグネチャを生成するステップと、
前記業務に関する情報である業務情報を取得するステップと、
前記候補シグネチャを前記セキュリティ管理に適用した場合に前記業務に与える影響の度合いを示す値である影響度を前記業務情報に基づき求めるステップと、
前記影響度に基づき前記候補シグネチャの前記セキュリティ管理への適用是非を判定するステップと、
前記適用是非の判定結果を出力するステップと、
を実行する、シグネチャ管理方法。 An information processing device having a processor and a storage device,
obtaining threat information;
a step of generating candidate signatures, which are candidates for signatures to be applied to security management at the site where business is conducted, based on the threat information;
a step of acquiring business information that is information about the business;
obtaining, based on the business information, an impact level, which is a value indicating the degree of impact on the business when the candidate signature is applied to the security management;
determining whether to apply the candidate signature to the security management based on the degree of impact;
a step of outputting the determination result of whether or not to apply;
A signature management method that implements
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021128138A JP7544670B2 (en) | 2021-08-04 | 2021-08-04 | Signature management device and signature management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021128138A JP7544670B2 (en) | 2021-08-04 | 2021-08-04 | Signature management device and signature management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023023000A true JP2023023000A (en) | 2023-02-16 |
JP7544670B2 JP7544670B2 (en) | 2024-09-03 |
Family
ID=85203512
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021128138A Active JP7544670B2 (en) | 2021-08-04 | 2021-08-04 | Signature management device and signature management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7544670B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006243878A (en) | 2005-03-01 | 2006-09-14 | Matsushita Electric Ind Co Ltd | Unauthorized access detection system |
JP2008004498A (en) | 2006-06-26 | 2008-01-10 | Mitsubishi Materials Corp | Composite layer-covered metal plate with less ncreases in contact resistance even if exposed to oxidative environment for long period |
JP6407184B2 (en) | 2016-03-15 | 2018-10-17 | 三菱電機株式会社 | Attack countermeasure determination system, attack countermeasure determination method, and attack countermeasure determination program |
JP6649296B2 (en) | 2017-02-20 | 2020-02-19 | 日本電信電話株式会社 | Security countermeasure design apparatus and security countermeasure design method |
JP7078562B2 (en) | 2019-02-07 | 2022-05-31 | 株式会社日立製作所 | Computer system, analysis method of impact of incident on business system, and analysis equipment |
-
2021
- 2021-08-04 JP JP2021128138A patent/JP7544670B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP7544670B2 (en) | 2024-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Alsaheel et al. | {ATLAS}: A sequence-based learning approach for attack investigation | |
NL2024003B1 (en) | Method and computing device for identifying suspicious users in message exchange systems | |
US10972495B2 (en) | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space | |
US11381598B2 (en) | Phishing detection using certificates associated with uniform resource locators | |
US11671448B2 (en) | Phishing detection using uniform resource locators | |
RU2589310C2 (en) | System and method of calculating interval of repeated determination of categories of network resource | |
US9215240B2 (en) | Investigative and dynamic detection of potential security-threat indicators from events in big data | |
US11032304B2 (en) | Ontology based persistent attack campaign detection | |
JP5878560B2 (en) | System and method for detecting malicious PDF network content | |
CN112567367A (en) | Similarity-based method for clustering and accelerating multiple accident surveys | |
US20100192222A1 (en) | Malware detection using multiple classifiers | |
US20190306178A1 (en) | Distributed System for Adaptive Protection Against Web-Service-Targeted Vulnerability Scanners | |
US12021894B2 (en) | Phishing detection based on modeling of web page content | |
US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
US11533323B2 (en) | Computer security system for ingesting and analyzing network traffic | |
US11470114B2 (en) | Malware and phishing detection and mediation platform | |
US10742668B2 (en) | Network attack pattern determination apparatus, determination method, and non-transitory computer readable storage medium thereof | |
EP3965362A1 (en) | Machine learning to determine domain reputation, content classification, phishing sites, and command and control sites | |
CN113196265A (en) | Security detection assay | |
CN110955890A (en) | Method and device for detecting malicious batch access behaviors and computer storage medium | |
CN116738369A (en) | Traffic data classification method, device, equipment and storage medium | |
JP7544670B2 (en) | Signature management device and signature management method | |
WO2021133592A1 (en) | Malware and phishing detection and mediation platform | |
Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
Alnajjar et al. | The Enhanced Forensic Examination and Analysis for Mobile Cloud Platform by Applying Data Mining Methods. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240628 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240702 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240801 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240820 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240822 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7544670 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |