以下に、開示する評価方法及び評価装置の実施形態について、図面に基づいて詳細に説明する。なお、本実施形態により開示する発明が限定されるものではない。
(第1の実施形態)
図1は、第1の実施形態に係る評価装置100が適用されるICTシステムの構成例を示す図である。図1に示すように、評価装置100が適用されるICTシステムは、ネットワーク10と、CMDB(Configuration Management Data Base)60と、評価装置100とが含まれる。また、図1に示すように、ネットワーク10は、CMDB60に接続され、評価装置100は、CMDB60に接続される。
ネットワーク10には、例えば、スイッチやルータ、ユーザ端末、メールサーバ等が含まれる。CMDB60は、ネットワーク10上の各機器が有するポート間の接続関係に関する情報をネットワーク10の接続情報として取得する。なお、ネットワーク10上の各機器には、スイッチやルータ、ユーザ端末、メールサーバ等が含まれる。
また、CMDB60は、ネットワーク10上の各機器に実装されているセキュリティ機能及びセキュリティ機能の設定状態を示す設定情報を取得する。ここで言うセキュリティ機能には、「FW(Firewall)」、「WAF(Web Application Firewall)」、「IPS(Intrusion Detection System)」、「NIPS(Network IPS)」、「ACL(Access List)」、「HIPS(Host IPS)」及び「スパムフィルタ」が含まれる。また、セキュリティ機能の設定状態とは、例えば、セキュリティ機能が有する機能が有効に設定されているか否かを示す。CMDB60は、取得した接続情報及び設定情報を管理する。
評価装置100は、ネットワーク10について、接続情報及び設定情報をCMDB60から取得する。そして、評価装置100は、評価対象とするネットワーク10上の端末がマルウェアに一次感染した場合に、マルウェアに一次感染した端末からこのマルウェアに起因するマルウェアが第2の端末に感染するリスクを接続情報と設定情報とを用いて評価する。なお、図1に示すように、第1の実施形態に係る評価装置100は、評価対象とするネットワーク10とは独立に設置される。
次に、第1の実施形態に係る評価装置100が評価対象とするネットワーク10について説明する。図2は、評価装置100が評価対象とするネットワーク10の一例を示す図である。図2では、ネットワーク10の構成と、ネットワーク10上の各機器に実装されるセキュリティ機能とを図示する。
図2に示すように、ネットワーク10には、セグメントとして、ユーザセグメント11、ユーザセグメント12、ユーザセグメント13、内部サーバセグメント14が含まれる。また、ネットワーク10には、各セグメント間で実行される通信を中継する中継網20が含まれる。
ユーザセグメント11、ユーザセグメント12及びユーザセグメント13は、中継網20を介して内部サーバセグメント14に含まれるメールサーバ14aと通信を実行するユーザ端末(ユーザ端末11a、ユーザ端末12a及びユーザ端末13a)をそれぞれ有する。また、各ユーザ端末は、中継網20を介して、他のユーザ端末と通信を実行することも可能である。ユーザ端末11a、ユーザ端末12a及びユーザ端末13aには、セキュリティ機能として「HIPS」が実装されている。
内部サーバセグメント14は、電子メールを配送するメールサーバ14aを有する。メールサーバ14aは、ユーザセグメント11、ユーザセグメント12及びユーザセグメント13に含まれる各ユーザ端末に対して、中継網20を介して電子メールの送受信を行なう。メールサーバ14aには、セキュリティ機能として「HIPS」及び「スパムフィルタ」が実装されている。
中継網20は、例えば、図2に示すように、エッジスイッチ21、エッジスイッチ22、エッジスイッチ23、エッジスイッチ24及びコアスイッチ25を有し、ユーザセグメント11と、ユーザセグメント12と、ユーザセグメント13と、内部サーバセグメント14との間で実行される通信を中継する。エッジスイッチ21、エッジスイッチ22、エッジスイッチ23、エッジスイッチ24及びコアスイッチ25には、セキュリティ機能として「ACL」が実装されている。なお、図2に示す中継網20はあくまでも一例であり、図2に示す例に限定されるものではない。
また、ネットワーク10には、コアスイッチ26及び外部接続ルータ27が含まれる。外部接続ルータ27は、インターネット30を介して他のネットワークと接続され、ネットワーク10と、他のネットワークとの間で実行される通信を中継する。外部接続ルータ27には、セキュリティ機能として「FW」が実装されている。
また、コアスイッチ26は、コアスイッチ25、外部接続ルータ27及び後述するエッジスイッチ15bに接続され、ネットワーク10と他のネットワークとの通信を中継したり、ネットワーク10のセグメントと後述するDMZ(DeMilitarized Zone)15との通信を中継する。コアスイッチ26には、セキュリティ機能として「FW」及び「NIPS(Network IPS)」が実装されている。
また、ネットワーク10には、DMZ15が含まれる。このDMZ15は、外部公開サーバ15aと、エッジスイッチ15bとを有する。DMZ15に含まれる外部公開サーバ15aは、エッジスイッチ15bを介して、コアスイッチ26に接続される。エッジスイッチ15bには、セキュリティ機能として「NIPS」が実装されている。
なお、以下では、ユーザ端末11a、ユーザ端末12a、ユーザ端末13a及びメールサーバ14aを「端末」と称する場合があり、コアスイッチ25、コアスイッチ26、エッジスイッチ21、エッジスイッチ22、エッジスイッチ23、エッジスイッチ24、エッジスイッチ15b及び外部接続ルータ27を「中継装置」或いは「ネットワーク機器」と称する場合がある。なお、評価対象とするネットワーク10の構成は、図2に図示した例に限定されるものではなく、各機器の数は任意に変更可能である。
なお、以下では、説明の便宜上、ユーザ端末11aがマルウェアに一次感染した端末である場合を説明する。かかる場合、評価装置100は、例えば、ネットワーク10上のユーザ端末12a、ユーザ端末13a及びメールサーバ14aについて、マルウェアに起因するマルウェアが二次感染するリスクを評価する。
なお、ここで言う「一次感染」の例には、外部から受け取ったメールにマルウェアを含むファイルが添付されており、ユーザ端末がこの添付ファイルを開封すること、マルウェアを感染させるプログラムが仕組まれた外部ウェブサイトにユーザ端末がブラウザでアクセスすることなどが含まれる。
また、「二次感染」の例として、一次感染した端末からマルウェアを含むファイルが添付されたメールがシステム内部に送信されること、一次感染した端末からマルウェアを含むファイルがファイルサーバにアップロードされて、システム内部のユーザによってダウンロードされることにより、システム内の端末にマルウェアに起因した感染が拡大することなどを含む。なお、端末に一次感染したマルウェアと、このマルウェアに起因するマルウェアとが同一のマルウェアである場合もあるし、異なるマルウェアである場合もある。
図3は、第1の実施形態に係る評価装置100の構成例を示す図である。図3に示すように、評価装置100は、入力部101と、出力部102と、通信制御部103と、記憶部110と、制御部120とを有する。
入力部101は、評価装置100の操作者から各種情報の入力操作を受付ける。例えば、入力部101は、評価対象であるネットワーク10に対して一次感染したと想定される端末の指定や想定される攻撃の手法の指定を受付ける。また、入力部101は、記憶部110に記憶される各種情報を更新、追加、削除などを行うための入力操作を受付ける。出力部102は、各種情報を表示する表示デバイスであり、例えば液晶ディスプレイ等である。通信制御部103は、CMDB60等他の装置との間でやり取りする各種情報に関する通信を制御する。
記憶部110は、図3に示すように、接続情報DB(Data Base)111と、設定情報DB112と、セキュリティ機能DB113とを有する。記憶部110は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
接続情報DB111は、ネットワーク10上の各端末の接続先を示す接続情報を記憶する。言い換えると、接続情報DB111は、ネットワーク10上の各機器のルーティングやVLAN(Virtual LAN)の設定情報から、各機器が論理的にどのようにして接続されているかを示す情報を記憶する。なお、接続情報DB111は、例えば、CMDB60から取得された接続情報に基づいて設定される。
図4は、接続情報DB111が記憶するデータ構造の一例を示す図である。図4では、図2に示すネットワーク10上の各端末の接続先を示す。図4に示すように、接続情報DB111は、機器名に対応付けて、接続先機器名と経路とを記憶する。
ここで、図4に示す「機器名」は、ネットワーク10上の端末を特定する機器名を示す。例えば、「機器名」には、「ユーザ端末11a」、「ユーザ端末12a」などネットワーク10上の端末を特定する機器名が格納される。また、図4に示す「接続先機器名」は、接続先の機器名を示す。例えば、「接続先機器名」には、「メールサーバ14a」、「ユーザ端末12a」などネットワーク10上の各端末を特定する機器名が格納される。また、図4に示す「経路」は、接続先と通信を行う場合の中継経路を示す。例えば、「経路」には、「エッジスイッチ21,コアスイッチ25,エッジスイッチ24」や「エッジスイッチ21,コアスイッチ25,エッジスイッチ22」などの中継装置名が格納される。
一例をあげると、図4に示す接続情報DB111は、ユーザ端末11aは、メールサーバ14aと通信を行う場合、「エッジスイッチ21,コアスイッチ25,エッジスイッチ24」を中継経路とすることを示す。また、図4に示す接続情報DB111は、ユーザ端末11aは、ユーザ端末12aと通信を行う場合、「エッジスイッチ21,コアスイッチ25,エッジスイッチ22」を中継経路とすることを示す。
設定情報DB112は、ネットワーク10上の各端末及び中継装置に備わるセキュリティ機能の設定状態を示す設定情報を記憶する。言い換えると、設定情報DB112は、ネットワーク10上の各機器やアプライアンスとして実装されているセキュリティ機能の情報を示し、どの機器にどのような種類のツールが実装されているのかを示す。なお、設定情報DB112は、例えば、CMDB60から取得された設定情報に基づいて設定される。
図5は、設定情報DB112が記憶するデータ構造の一例を示す図である。図5では、図2に示すネットワーク10上の各機器に備わるセキュリティ機能を示す。図5に示すように、設定情報DB112は、「機器名」に対応付けて、機器に実装された「セキュリティ機能」とセキュリティ機能の「設定状態」を記憶する。
ここで、図5に示す「機器名」は、ネットワーク10上の機器を特定する機器名を示す。例えば、「機器名」には、「ユーザ端末11a」、「ユーザ端末12a」などネットワーク10上の各機器を特定する機器名が格納される。また、図5に示す「セキュリティ機能」は、対応する「機器名」に格納された機器に実装されたセキュリティ機能の名称を示す。例えば、「セキュリティ機能」には、「HIPS」、「スパムフィルタ」、「FW」、「NIPS」などネットワーク10上の各機器に実装されたセキュリティ機能の名称が格納される。
また、図5に示す「設定状態」は、機器に実装されたセキュリティ機能の設定状態を示す。ここで言う設定状態には、例えば、「不審なメールアドレスからのメールを遮断する設定」、「マルウェアを含むメールを検出する設定」、「不審なIP(Internet Protocol)アドレスへのアクセスを遮断する設定」、「不審なIPアドレスへのHTTP(Hypertext Transfer Protocol)アクセスを遮断する設定」、「不審なURLへのHTTPアクセスを遮断する設定」及び「アプリケーションデータ中に含まれるマルウェアを検出する設定」などが有効であるか否かを示す情報が含まれる。
セキュリティ機能DB113は、セキュリティ機能と各レイヤーにおける防御機能との対応関係を示す情報を記憶する。言い換えると、セキュリティ機能DB113は、一般的にセキュリティ防御機能の対象としている範囲及び対象としていない範囲を識別する情報を記憶する。図6は、セキュリティ機能DB113が記憶するデータ構造の一例を示す図である。
図6に示すように、セキュリティ機能DB113は、「セキュリティ機能」に対応付けて、各レイヤーにおける防御機能を有するか否かを示す情報を記憶する。また、ここでは、レイヤーが、「ネットワーク層」、「トランスポート層」、「アプリケーション層」及び「アプリケーションデータ」である場合について説明する。なお、図6では、「セキュリティ機能」がレイヤーにおいて防御機能を有さない場合には、「セキュリティ機能」と「レイヤー」とに対応する項目に「防御機能を持たない」が格納される。また、「セキュリティ機能」がレイヤーにおいて防御機能を有する場合には、「セキュリティ機能」と「レイヤー」とに対応する項目を空欄とする。
図6に示す例では、「セキュリティ機能」が「FW」である場合、「アプリケーション層」及び「アプリケーションデータ」には防御機能を有さないことを示す。また、「セキュリティ機能」が「FW」である場合、「ネットワーク層」及び「トランスポート層」には防御機能を有することを示す。
図3に戻る。制御部120は、図3に示すように、特定部121と、評価部122と、出力制御部123とを有する。制御部120は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
特定部121は、ネットワーク10上の端末のうちマルウェアに感染したと想定される第1の端末から、当該ネットワーク10上の第2の端末にマルウェアに起因するマルウェアが感染する感染経路を、当該ネットワーク10上の各端末の接続先を示す接続情報DB111に基づいて特定する。
評価部122は、ネットワーク10上の各端末及び中継装置に備わるセキュリティ機能を示す設定情報と、感染経路とに基づいて、第1の端末から第2の端末に対する二次感染リスクを評価する。ここで、二次感染リスクを評価するとは、危険度の高低を判定することである。具体的には、評価部122は、後述する防御可否一覧情報において、防御条件を満たす状態に設定されている項目が1つでもある場合に、危険度が低いと判定し、防御条件を満たす状態に設定されている項目が1つもない場合に、危険度が高いと判定することにより、二次感染リスクを評価する。ただし二次感染リスクの評価の手法はこれに限定されるものではない。
出力制御部123は、第2の端末についての感染リスクの評価結果を出力部102に出力させる。
次に、図7を用いて、評価装置100による処理の手順を説明する。図7は、評価装置100による処理の手順を示すフローチャートである。図7に示すように、評価装置100において入力部101は、攻撃の種類及び一次感染端末の指定を操作者から受付ける(ステップS101)。例えば、入力部101は、攻撃の種類として「メールを介したドライブバイ・ダウンロード(drive-by download)」を受付け、一次感染端末として「ユーザ端末11a」を受付ける。なお、ここで言う「一次感染端末」とは、マルウェアに一次感染したと想定されるネットワーク10上の端末を示す。
続いて、入力部101は、標的端末の指定を受付ける(ステップS102)。例えば、入力部101は、標的端末として「ユーザ端末12a」を操作者から受付ける。入力部101は、受付けた攻撃の種類、一次感染端末及び標的端末を特定部121に出力する。なお、ここで言う「標的端末」とは、一次感染端末からマルウェアを感染させられる標的となる端末を示す。
そして、特定部121は、ネットワーク10上の一次感染端末からネットワーク10上の標的端末にマルウェアに起因するマルウェアが感染する感染経路を特定する(ステップS103)。ここで、特定部121は、ネットワーク10上の各端末の接続先を示す接続情報を参照し、攻撃の手法に応じて感染経路を特定する。図8から図10は、第1の実施形態に係る特定部121を説明するための図(その1)から(その3)である。ここでは、攻撃の手法が、メールを介したドライブバイ・ダウンロードである場合の特定部121の動作について説明する。
メールを介したドライブバイ・ダウンロードでは、一次感染したマルウェアによる攻撃は、例えば、以下の2段階で行なわれる。すなわち、段階その1では、マルウェアに感染したユーザ端末11aからユーザ端末12aに悪意のあるURL(Uniform Resource Locator)を含むメールが送信される。そして、段階その2では、ユーザ端末12aが、悪意のあるURLが指定する外部ウェブサーバ40にアクセスすることで、ドライブバイ・ダウンロードが行なわれる。なお、段階その1は、ユーザ端末11aがメールサーバ14aに悪意のあるURLを含むメールを送信する段階その1−1と、ユーザ端末12aがメールサーバ14aから悪意のあるURLを含むメールを受信する段階その1−2とに細分化される。
図8では、段階その1−1における感染経路を示す。図8に示すように、特定部121は、接続情報DB111を参照して、ユーザ端末11aからメールサーバ14aにメールを送信する感染経路を特定する。図8に示す例では、特定部121は、ユーザ端末11aからメールサーバ14aにメールを送信する経路として、「ユーザ端末11a、エッジスイッチ21、コアスイッチ25、エッジスイッチ24、メールサーバ14a」を特定する。
図9では、段階その1−2における感染経路を示す。図9に示すように、特定部121は、接続情報DB111を参照して、ユーザ端末12aがメールサーバ14aから悪意のあるURLを含むメールを受信する感染経路を特定する。図9に示す例では、特定部121は、ユーザ端末12aがメールサーバ14aから悪意のあるURLを含むメールを受信する経路として、「ユーザ端末12a、エッジスイッチ22、コアスイッチ25、エッジスイッチ24、メールサーバ14a、エッジスイッチ24、コアスイッチ25、エッジスイッチ22、ユーザ端末12a」を特定する。
図10では、段階その2における感染経路を示す。図10に示すように、特定部121は、接続情報DB111を参照して、ユーザ端末12aが、悪意のあるURLが指定する外部ウェブサーバ40にアクセスする感染経路を特定する。図9に示す例では、特定部121は、ユーザ端末12aが、悪意のあるURLが指定する外部ウェブサーバ40にアクセスする経路として、「ユーザ端末12a、エッジスイッチ22、コアスイッチ25、コアスイッチ26、外部接続ルータ27、インターネット30、外部ウェブサーバ40、インターネット30、外部接続ルータ27、コアスイッチ26、コアスイッチ25、エッジスイッチ22、ユーザ端末12a」を特定する。
図7に戻る。評価部122は、ネットワーク10上の各機器に実装されているセキュリティ機能の設定状態を示す設定情報DB112を参照して、感染経路上の各機器が想定される攻撃に対して防御機能を有するか否かを示す防御可否一覧情報を生成する(ステップS104)。ここで、評価部122は、第1の処理と、第2の処理とを実行して、防御可否一覧情報を生成する。すなわち、評価部122は、第1の処理として、想定される攻撃に対して各セキュリティ機能が対応可能であるか否かを示す対応可否一覧情報を生成する。そして、評価部122は、第2の処理として、対応可否一覧情報に基づいて、ネットワーク10上の各機器のセキュリティ機能の設定状態が想定される攻撃に対して有効であるか否かを判定して防御可否一覧情報を生成する。図11から図14は、第1の実施形態に係る評価部122を説明するための図(その1)から(その4)である。ここでは、攻撃の手法が、メールを介したドライブバイ・ダウンロードである場合の評価部122の動作について説明する。
評価部122は、図6に示すセキュリティ機能DB113を用いて、各セキュリティ機能について、攻撃の手法に対応した対応可否一覧情報を生成する。すなわち、評価部122は、各機器に実装されているセキュリティ機能が、攻撃に対して防御機能を備えるか否かを示す情報を生成する。言い換えると、評価部122は、各セキュリティ機能に備わる防御機能が、攻撃に対応したものであるか否かを示す情報を生成する。なお、評価部122は、攻撃の手法が、複数の段階に分かれて各段階で別々の攻撃手段を用いる場合、それぞれの段階毎に対応可否一覧情報を生成する。例えば、評価部122は、攻撃の手法が、メールを介したドライブバイ・ダウンロードである場合、攻撃の最初の段階である標的型メール攻撃と、マルウェアの感染段階であるドライブバイ・ダウンロード攻撃それぞれについて、対応可否一覧情報を生成する。
図11では、標的型メール攻撃に対応した対応可否一覧情報の一例を示す。攻撃の手法が標的型メールである場合、「ネットワーク層」及び「トランスポート層」では、例えば、メールにマルウェアを含むファイルが添付されているか否かを判定することができない。このため、セキュリティ機能「FW」、「WAF」、「NIPS」、「ACL」及び「HIPS」は、「ネットワーク層」及び「トランスポート層」への防御機能を有しているが、攻撃の手法が標的型メールである場合には対応することができない。このため、評価部122は、図11に示すように、セキュリティ機能「FW」、「WAF」、「NIPS」、「ACL」及び「HIPS」それぞれの「ネットワーク層」及び「トランスポート層」に対応する項目に、この防御機能では防御不可であることを示す「×」を格納する。
また、セキュリティ機能「WAF」は「アプリケーション層」への防御機能を有しているが、攻撃の手法が標的型メールである場合には対応することができない。このため、評価部122は、図11に示すように、セキュリティ機能「WAF」の「アプリケーション層」に対応する項目に、この防御機能では防御不可であることを示す「×」を格納する。
この一方で、セキュリティ機能「NIPS」、「HIPS」及び「スパムフィルタ」は、不審なメールアドレスからのメールを遮断することで「アプリケーション層」への攻撃を防御することが可能である。かかる場合、評価部122は、図11に示すように、セキュリティ機能「NIPS」、「HIPS」及び「スパムフィルタ」それぞれの「アプリケーション層」に対応する項目に、この防御機能で防御可能であることを示す「○」を格納する。
また、セキュリティ機能「NIPS」、「HIPS」及び「スパムフィルタ」は、マルウェアを含むメールを検出することで「アプリケーションデータ」への攻撃を防御することが可能である。かかる場合、評価部122は、図11に示すように、セキュリティ機能「NIPS」、「HIPS」及び「スパムフィルタ」それぞれの「アプリケーションデータ」に対応する項目に、この防御機能で防御可能であることを示す「○」を格納する。
図12では、ドライブバイ・ダウンロードに対応した対応可否一覧情報の一例を示す。セキュリティ機能「FW」、「WAF」、「NIPS」、「ACL」及び「HIPS」は、不審なIPアドレスへのアクセスを遮断することで「ネットワーク層」への攻撃を防御することが可能である。かかる場合、評価部122は、図12に示すように、セキュリティ機能「FW」、「WAF」、「NIPS」、「ACL」及び「HIPS」それぞれの「ネットワーク層」に対応する項目に、この防御機能で防御可能であることを示す「○」を格納する。
また、セキュリティ機能「FW」、「WAF」、「NIPS」、「ACL」及び「HIPS」は、不審なIPアドレスへのHTTPアクセスを遮断することで「トランスポート層」への攻撃を防御することが可能である。かかる場合、評価部122は、図12に示すように、セキュリティ機能「FW」、「WAF」、「NIPS」、「ACL」及び「HIPS」それぞれの「トランスポート層」に対応する項目に、この防御機能で防御可能であることを示す「○」を格納する。
また、セキュリティ機能「WAF」、「NIPS」及び「HIPS」は、不審なURLへのHTTPアクセスを遮断することで「アプリケーション層」への攻撃を防御することが可能である。かかる場合、評価部122は、図12に示すように、セキュリティ機能「WAF」、「NIPS」及び「HIPS」それぞれの「アプリケーション層」に対応する項目に、この防御機能で防御可能であることを示す「○」を格納する。なお、セキュリティ機能「NIPS」及び「HIPS」は、不審なメールアドレスからのメールを遮断することでも「アプリケーション層」への攻撃を防御することが可能である。一方、セキュリティ機能「スパムフィルタ」は、「アプリケーション層」への防御機能を有しているが、攻撃の手法がドライブバイ・ダウンロードである場合には対応することができない。このため、評価部122は、図12に示すように、セキュリティ機能「スパムフィルタ」の「アプリケーション層」に対応する項目に、この防御機能では防御不可であることを示す「×」を格納する。
また、セキュリティ機能「NIPS」及び「HIPS」は、アプリケーションデータ中に含まれるマルウェアを検出することで「アプリケーションデータ」への攻撃を防御することが可能である。かかる場合、評価部122は、図12に示すように、セキュリティ機能「NIPS」及び「HIPS」それぞれの「アプリケーションデータ」に対応する項目に、この防御機能で防御可能であることを示す「○」を格納する。一方、セキュリティ機能「スパムフィルタ」は、「アプリケーションデータ」への防御機能を有しているが、攻撃の手法がドライブバイ・ダウンロードである場合には対応することができない。このため、評価部122は、図12に示すように、セキュリティ機能「スパムフィルタ」の「アプリケーションデータ」に対応する項目に、この防御機能では防御不可であることを示す「×」を格納する。
なお、図11及び図12に示す攻撃の手法に対応した対応可否一覧情報は、攻撃手法に応じて、一意に決定される情報である。このため、評価部122は、図11及び図12に示す攻撃の手法に対応した対応可否一覧情報を、ネットワーク10の二次感染リスクを評価する前に予め生成するようにしてもよい。
続いて、評価部122は、攻撃の手法に対応した対応可否一覧情報に基づいて、設定情報DB112を参照して、ネットワーク10について防御可否一覧情報を生成する。ここで、評価部122は、設定情報DB112が記憶する各機器に実装されたセキュリティ機能が、攻撃の手法に対応した対応可否一覧情報において防御可能であるとする条件に設定されているか否かを判定する。
例えば、評価部122は、攻撃の手法に対応した対応可否一覧情報のセキュリティ機能が実装された機器を図5に示す設定情報DB112から特定する。そして、評価部122は、「セキュリティ機能」に、特定した機器名を更に対応付ける。
また、評価部122は、特定した機器名に対して、攻撃の手法に対応した対応可否一覧情報において「○」が格納された項目において、条件を満たす状態に設定されているか否かを、図5に示す設定情報DB112を参照して判定する。
より具体的には、評価部122は、攻撃の手法が標的型メールである場合には、図11に示す対応可否一覧情報において、セキュリティ機能「NIPS」、「HIPS」及び「スパムフィルタ」それぞれの「アプリケーション層」について、不審なメールアドレスからのメールを遮断する状態に設定されているか否かを判定する。ここで、評価部122は、不審なメールアドレスからのメールを遮断する状態に設定されていると判定した「セキュリティ機能」について、この「セキュリティ機能」と「アプリケーション層」とに対応する項目に「○」を格納する。一方、評価部122は、不審なメールアドレスからのメールを遮断する状態に設定されていないと判定した「セキュリティ機能」について、この「セキュリティ機能」と「アプリケーション層」とに対応する項目に「×」を格納する。
また、評価部122は、図11に示す対応可否一覧情報において、セキュリティ機能「NIPS」、「HIPS」及び「スパムフィルタ」それぞれの「アプリケーションデータ」について、マルウェアを含むメールを検出する状態に設定されているか否かを判定する。ここで、評価部122は、マルウェアを含むメールを検出する状態に設定されていると判定した「セキュリティ機能」について、この「セキュリティ機能」と「アプリケーションデータ」とに対応する項目に「○」を格納する。一方、評価部122は、マルウェアを含むメールを検出する状態に設定されていないと判定した「セキュリティ機能」について、この「セキュリティ機能」と「アプリケーションデータ」とに対応する項目に「×」を格納する。
図13では、標的型メールに対応したネットワーク10についての防御可否一覧情報の一例を示す。図13に示す防御可否一覧情報は、ユーザ端末13aに実装された「HIPS」が「アプリケーション層」及び「アプリケーションデータ」において、標的型メールに対応した防御条件を満たす状態に設定されていることを示す。なお、「アプリケーション層」において、防御条件を満たす状態とは、例えば、セキュリティツールベンダから提供されるURLのレピュテーション情報を定期的に取得し、不審なURLへのアクセスを遮断できるように設定されている状態を示す。また、「アプリケーションデータ」において、防御条件を満たす状態とは、例えば、セキュリティツールベンダから提供されるマルウェアのシグネチャ情報を定期的に取得し、ダウンロードパケットに含まれるマルウェアを検出できるように設定されている状態を示す。
同様にして、評価部122は、攻撃の手法がドライブバイ・ダウンロードである場合、図12に示す対応可否一覧情報において、セキュリティ機能「FW」、「WAF」、「NIPS」、「ACL」及び「HIPS」それぞれの「ネットワーク層」について、不審なIPアドレスへのアクセスを遮断する状態に設定されているか否かを判定する。また、評価部122は、セキュリティ機能「FW」、「WAF」、「NIPS」、「ACL」及び「HIPS」それぞれの「トランスポート層」について、不審なIPアドレスへのHTTPアクセスを遮断する状態に設定されているか否かを判定する。また、評価部122は、セキュリティ機能「WAF」、「NIPS」及び「HIPS」それぞれの「アプリケーション層」について、不審なURLへのHTTPアクセスを遮断する状態に設定されているか否かを判定する。或いは、評価部122は、セキュリティ機能「NIPS」及び「HIPS」それぞれの「アプリケーション層」について、不審なメールアドレスからのメールを遮断する状態に設定されているか否かを判定する。また、評価部122は、セキュリティ機能「NIPS」及び「HIPS」それぞれの「アプリケーションデータ」について、アプリケーションデータ中に含まれるマルウェアを検出する状態に設定されているか否かを判定する。
図14では、ドライブバイ・ダウンロードに対応したネットワーク10についての防御可否一覧情報の一例を示す。図14に示す防御可否一覧情報は、ユーザ端末13aに実装された「HIPS」が「アプリケーション層」及び「アプリケーションデータ」において、ドライブバイ・ダウンロードに対応した防御条件を満たす状態に設定されていることを示す。なお、「アプリケーション層」において、防御条件を満たす状態とは、例えば、セキュリティツールベンダから提供されるメールアドレスのレピュテーション情報を定期的に取得し、不審なアドレスを検出できるように設定されている状態を示す。また、「アプリケーションデータ」において、防御条件を満たす状態とは、例えば、セキュリティツールベンダから提供されるマルウェアのシグネチャ情報を定期的に取得し、メール内部に含まれるマルウェアを検出できるように設定されている状態を示す。
なお、評価部122は、図11及び図12に示す対応可否一覧情報を既に生成している場合、図13に示す防御可否一覧情報及び図14に示す防御可否一覧情報を、ネットワーク10の二次感染リスクを評価する前に予め生成するようにしてもよい。
図7に戻る。評価部122は、特定した感染経路に基づいて、生成したネットワーク10について防御可否一覧情報を参照して、評価対象の攻撃に対する防御設定を判定する(ステップS105)。ここで、評価部122は、生成した防御可否一覧情報のうち、感染経路上の機器を特定して、評価対象の攻撃に対する防御条件を満たす状態に設定されている機器があるか否かを判定する。図15から図17は、第1の実施形態に係る評価部122を説明するための図(その5)から(その7)である。
図15では、生成した防御可否一覧情報のうち、段階その1−1の感染経路において、防御設定を判定した結果を示す。図15に示す例では、評価部122は、実装されているセキュリティ機能は、いずれの機器においても防御条件を満たす状態に設定されていないと判定する。
図16では、生成した防御可否一覧情報のうち、段階その1−2の感染経路において、防御設定を判定した結果を示す。図16に示す例では、評価部122は、実装されているセキュリティ機能は、いずれの機器においても防御条件を満たす状態に設定されていないと判定する。
図17では、生成した防御可否一覧情報のうち、段階その2の感染経路において、防御設定を判定した結果を示す。図17に示す例では、評価部122は、実装されているセキュリティ機能は、いずれの機器においても防御条件を満たす状態に設定されていないと判定する。
図7に戻る。評価部122は、判定結果に基づいて、標的端末の二次感染リスクを評価する(ステップS106)。ここで、評価部122は、評価対象の端末への感染の際の経路上のセキュリティ機能の設定状態から、評価対象の端末がどの程度二次感染するリスクを有するか評価する。なお、ここでは説明の便宜上、評価部122は、感染経路の各段階の防御可否一覧情報において、防御条件を満たす状態に設定されている項目が1つでもある場合に、危険度が低いと判定し、防御条件を満たす状態に設定されている項目が1つもない場合に、危険度が高いと判定するものとする。
例えば、図15から図17に示す防御設定の例では、段階その1−1の感染経路、段階その1−2の感染経路及び段階その2の感染経路において、防御条件を満たす状態に設定されている項目が1つもないので、評価部122は、ユーザ端末12aへの二次感染の危険度が高いと判定する。
なお、標的端末がユーザ端末13aである場合についての説明を補足する。図13に示すように、ユーザ端末13aに実装された「HIPS」が「アプリケーション層」及び「アプリケーションデータ」において、標的型メールに対応した防御条件を満たす状態に設定されている。このため、評価部122は、標的端末がユーザ端末13aである場合に、段階その1−2の感染経路において、実装されているセキュリティ機能が防御条件を満たす状態に設定されていると判定する。また、図14に示すように、ユーザ端末13aに実装された「HIPS」が「アプリケーション層」及び「アプリケーションデータ」において、ドライブバイ・ダウンロードに対応した防御条件を満たす状態に設定されている。このため、評価部122は、標的端末がユーザ端末13aである場合に、段階その2の感染経路において、実装されているセキュリティ機能が防御条件を満たす状態に設定されていると判定する。かかる場合、評価部122は、ユーザ端末13aへの二次感染の危険度が低いと判定する。
続いて、評価部122は、処理の終了を受付けたか否かを判定する(ステップS107)。ここで、評価部122が、処理の終了を受付けていないと判定した場合(ステップS107、No)、ステップS102に移行する。この結果、入力部101は、端末のうち標的端末として未選択である端末の指定を受付ける。一方、評価部122が、処理の終了を受付けたと判定した場合(ステップS107、Yes)、出力制御部123は、評価結果を出力部102に出力させる(ステップS108)。図18は、第1の実施形態に係る出力制御部123を説明するための図である。
図18では、ユーザ端末11aが一次感染した場合に、ユーザ端末12a、ユーザ端末13a及びメールサーバ14aが二次感染するリスクを評価した結果を示す。なお、図18に示す例では、ユーザ端末12aに対する二次感染リスクが高く、ユーザ端末13a及びメールサーバ14aに対する二次感染リスクが低い評価結果である場合を示す。
図18に示すように、出力制御部123は、ネットワーク10の構成及びネットワーク10上の各機器に実装されたセキュリティ機能に加えて、ユーザ端末12aの近傍に二次感染リスクが高いことを示す「リスク:High」を表示させ、ユーザ端末13aの近傍及びメールサーバ14aの近傍に二次感染リスクが低いことを示す「リスク:Low」を表示させる。なお、出力制御部123は、一次感染したユーザ端末11aの近傍にも「リスク:High」を表示させるようにしてもよい。このように、出力制御部123は、ネットワーク10上の各端末の感染リスクを一覧表示させる。なお、出力制御部123が、評価結果を出力した後、評価装置100は、処理を終了する。
上述したように、第1の実施形態に係る評価装置100は、ネットワーク10上の端末のうちマルウェアに感染したと想定される第1の端末から、当該ネットワーク10上の第2の端末にマルウェアに起因するマルウェアが感染する感染経路を、当該ネットワーク10上の各端末の接続先を示す接続情報に基づいて特定する。そして、評価装置100は、感染経路に基づいて、ネットワーク10上の各機器に備わるセキュリティ機能の設定状態を示す設定情報を参照して、第1の端末から第2の端末に対する感染リスクを評価する。これにより、ネットワーク10の管理者は、自組織のICTシステム内の端末がマルウェアに感染した場合に、どのような感染の拡大のリスクがあるかを評価することができる。
また、この評価結果により、ネットワーク10の管理者は、例えば、限られたリソースで効果の高いセキュリティ対策を実施するために、どのようなツールの導入や設定・構成の変更が必要かを知ることができる。また、ネットワーク10の管理者は、二次感染に対するICTシステムのセキュリティ対策が想定している水準にあるかを評価することができる。
また、ネットワーク10の管理者は、ICTシステムの各ユーザの利便性を別途評価することにより、ユーザの利便性とセキュリティ対策の堅牢さのトレードオフを考慮し、当該組織にとって最適なセキュリティ対策レベルを決定することができる。
なお、上述した実施形態では、評価装置100は、標的端末の指定を操作者から受付けるものとして説明したが、実施形態はこれに限定されるものではない。例えば、評価装置100は、ネットワーク10上の端末を標的端末として所定の順序で選択するようにしてもよい。かかる場合、評価装置100は、図7に示すステップS107において、ネットワーク10上の端末のうち、標的端末として未選択の端末が存在するか否かを判定する。そして、評価装置100は、標的端末として未選択の端末が存在すると判定した場合、図7に示すステップS102に移行して、標的端末として未選択の端末を所定の順序で選択する。
また、上述した実施形態では、評価装置100は、一次感染端末の指定を操作者から受付けるものとして説明したが、実施形態はこれに限定されるものではない。例えば、評価装置100は、ネットワーク10上の端末を一次感染端末として所定の順序で選択するようにしてもよい。かかる場合、評価装置100は、一次感染端末に選択した端末に対して、ネットワーク10上の他の端末を標的端末として所定の順序で選択して二次感染リスクを評価する。そして、全ての標的端末について二次感染リスクを評価した後、一次感染端末を新たに選択して、ネットワーク10上の他の端末を標的端末として所定の順序で選択して二次感染リスクを評価する。さらに、このような評価装置100は、接続情報と、設定情報とが与えられると、ネットワーク10上の端末に対する一次感染端末と二次感染端末との全ての組合せについて、自動的に二次感染のリスクを評価することができる。
また、上述した実施形態では、攻撃の種類として「メールを介したドライブバイ・ダウンロード」を説明したが、実施形態はこれに限定されるものではない。例えば、評価装置100において、既知の攻撃の種類について、マルウェアが被害を拡大させるために取る行動の種類と、攻撃の手順と、各攻撃段階における送信元端末及び宛先端末の情報とを予め記憶部110に記憶するようにしてもよい。また、かかる場合、評価装置100は、攻撃の種類についても選択を受付けることなく、記憶部110において記憶された全ての種類の攻撃について、自動的に二次感染のリスクを評価することができる。
上述した実施形態では、評価装置100は、防御可否一覧情報において、防御条件を満たす状態に設定されている項目が1つでもある場合に、危険度が低いと判定し、防御条件を満たす状態に設定されている項目が1つもない場合に、危険度が高いと判定するものとして説明した。言い換えると、評価装置100は、危険度が「高い」或いは「低い」の2種類で二次感染のリスクを評価する評価法について説明した。しかし、実施形態はこれに限定されるものではない。例えば、複数の機器で防御機能が備わっているほど、危険度を低く評価してもよい。また、感染経路が複数の段階に分かれている場合には、より早い段階で防御できるほど、危険度を低く評価してもよい。
なお、上述した実施形態では、評価装置100は、図18に示すように、評価結果を一覧表示するものとして説明したが、実施形態はこれに限定されるものではない。例えば、評価装置100は、評価結果を評価対象の端末ごとに出力するようにしてもよい。或いは、評価装置100は、標的端末と二次感染リスクの危険度とを対応付けたテーブルを評価結果として出力するようにしてもよい。
なお、上述した実施形態では、評価装置100は、評価対象とするネットワーク10とは独立に設置されるものとして説明したが、実施形態はこれに限定されるものではない。例えば、評価装置100は、評価対象とするネットワーク10と通信可能に接続されていてもよい。かかる場合、通信制御部103は、評価対象とするネットワーク10に含まれる端末や中継装置との間でやり取りする各種情報に関する通信を制御する。例えば、通信制御部103は、ネットワーク10上の各機器が有するポート間の接続関係に関する情報をネットワーク10の接続情報として取得する。また、通信制御部103は、ネットワーク10上の各機器に実装されているセキュリティ機能及びセキュリティ機能の設定状態を示す設定情報を取得する。そして、評価装置100は、取得した接続情報と、設定情報とに基づいて、ネットワーク10上の端末が二次感染するリスクを評価する。これにより、評価装置100は、ネットワーク10に生じた接続情報の変化や設定情報の変化に対応して、ネットワーク10上の端末が二次感染するリスクを動的に評価することが可能となる。
(第2の実施形態)
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、その他の実施形態にて実施されてもよい。そこで、以下では、その他の実施形態を示す。
(システム構成)
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述の文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については(例えば、図1〜図18)、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。
(プログラム)
また、上記第1の実施形態に係る評価装置100が実行する処理をコンピュータが実行可能な言語で記述した評価プログラムを作成することもできる。この場合、コンピュータが評価プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる評価プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された評価プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、図1等に示した評価装置100と同様の機能を実現する評価プログラムを実行するコンピュータの一例を説明する。
図19は、評価プログラムを実行するコンピュータ1000を示す図である。図19に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、図19に示すように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した評価プログラムは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、評価プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した特定部121と同様の情報処理を実行する特定手順と、評価部122と同様の情報処理を実行する評価手順とが記述されたプログラムモジュールが、ハードディスクドライブ1031に記憶される。
また、評価プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、評価プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、評価プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
(その他)
なお、本実施形態で説明した特定プログラムは、インターネットなどのネットワークを介して配布することができる。また、特定プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。