JP6274090B2 - 脅威分析装置、及び脅威分析方法 - Google Patents
脅威分析装置、及び脅威分析方法 Download PDFInfo
- Publication number
- JP6274090B2 JP6274090B2 JP2014242981A JP2014242981A JP6274090B2 JP 6274090 B2 JP6274090 B2 JP 6274090B2 JP 2014242981 A JP2014242981 A JP 2014242981A JP 2014242981 A JP2014242981 A JP 2014242981A JP 6274090 B2 JP6274090 B2 JP 6274090B2
- Authority
- JP
- Japan
- Prior art keywords
- threat
- analysis
- component
- level
- threats
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004458 analytical method Methods 0.000 title claims description 250
- 238000000605 extraction Methods 0.000 claims description 41
- 239000000284 extract Substances 0.000 claims description 11
- 238000004891 communication Methods 0.000 description 32
- 238000000034 method Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 15
- 238000012545 processing Methods 0.000 description 13
- 239000000470 constituent Substances 0.000 description 7
- 244000144985 peep Species 0.000 description 4
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
- 208000008918 voyeurism Diseases 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、システムを構成するサーバや端末、通信路などの構成要素におけるセキュリティ脅威を分析する脅威分析装置に関する。
システムのセキュリティ設計を行なうためには、まず、システムに実装するセキュリティ対策を明らかにする必要がある。そのため、セキュリティ脅威分析を行ない、想定されるシステムを構成するサーバや端末、通信路などの構成要素におけるセキュリティ脅威を明確にする必要がある。
従来の脅威分析装置では、保護対象である資産へ許可されている操作権限など、分析対象システムの詳細仕様に関する情報を用いて、分析対象システムの脅威を抽出していた(例えば、特許文献1)。
従来の脅威分析装置では、保護対象である資産へ許可されている操作権限など、分析対象システムの詳細仕様に関する情報を用いて、分析対象システムの脅威を抽出していた(例えば、特許文献1)。
従来の脅威分析装置は、設計上流段階で脅威分析を行なう場合、システムの詳細仕様が未確定な場合がありうる。そのため、詳細仕様が決まっていない段階で分析(上位分析)を行ない、さらに詳細仕様が決定した後に、再度、分析(下位分析)をしなおす必要があるため、分析工数がかかり効率的でないという課題があった。また、下位分析時には上位分析時に抽出した脅威が欠ける恐れがあり、必要な対策が実装されない可能性があるという課題があった。
この発明は上記のような課題を解決するためになされたもので、下位分析を効率良く、かつ上位分析結果と整合性良く実施できる脅威分析装置を提供することを目的とする。
上記で述べた課題を解決するため、本発明の脅威分析装置は、脅威分析の分析対象システムで想定される脅威を格納する脅威データベースと、前記分析対象システムの上位構成要素と前記上位構成要素の下位構成要素とを対応付けて記憶する分析対象情報記憶部と、前記脅威を用いて前記上位構成要素を脅威分析した上位分析結果の上位脅威を前記下位構成要素に割り振って前記下位構成要素に対する下位分析を行ない、前記下位構成要素の下位脅威を抽出する脅威抽出部とを備える。
また、本発明の脅威分析方法は、脅威分析の分析対象システムで想定される脅威を格納する脅威データベースと分析対象情報記憶部と脅威抽出部とを備える脅威分析装置の脅威分析方法であって、前記分析対象情報記憶部が、前記分析対象システムの上位構成要素と前記上位構成要素の下位構成要素とを対応付けて記憶する分析対象情報記憶ステップと、前記脅威抽出部が、前記脅威を用いて前記上位構成要素を脅威分析した上位分析結果の上位脅威を前記下位構成要素に割り振って前記下位構成要素に対する下位分析を行ない、前記下位構成要素の下位脅威を抽出する脅威抽出ステップとを備える。
本発明によれば、脅威をその特徴に合わせて分類し、その分類に合わせて分析結果を活用しているので、効率的に脅威分析を行なうことができ、また、上位分析結果と整合した下位分析結果を得ることができる。これにより、仕様の詳細度に合わせた脅威分析が行なえるという効果がある。
実施の形態1.
図1は、本発明の実施の形態1に係る脅威分析装置の一構成例を示す図である。
以下、図1を参照しながら脅威分析装置の構成を説明する。
図1は、本発明の実施の形態1に係る脅威分析装置の一構成例を示す図である。
以下、図1を参照しながら脅威分析装置の構成を説明する。
図1において、脅威分析装置1は、入出力部2、共通情報記憶部3、分析対象情報記憶部4、制御部5、脅威抽出部6を備える。
入出力部2は、分析者とのマンマシンインタフェースである。入出力部2は、分析者が分析対象システムを構成するサーバや端末などの構成要素を入力する構成要素入力部7、分析者が上位分析や下位分析などの分析レベルを入力する分析レベル入力部8、分析者が分析対象システムの脅威を入力する脅威入力部9を備える。なお、分析レベル入力部8は、分析者が分析レベルを直接入力しても良いし、あるいは、過去に分析した結果を用いるか否かを分析者に確認し、過去に分析した結果を用いる場合には、用いる分析結果を分析者が指定するようにしても良い。
共通情報記憶部3は、脅威分析を行なう上で共通の情報が記憶されており、共通の情報の一例として、脅威の雛型が複数格納されている脅威データベース10を備えている。
分析対象情報記憶部4は、分析対象システム固有の情報を記憶する。分析対象情報記憶部4には、分析者が上位分析時に構成要素入力部7から入力した上位構成要素一覧表11、下位分析時に入力した下位構成要素一覧表12、また、脅威分析装置1を使用して得られた上位分析結果13と下位分析結果14が格納されている。
制御部5は、脅威分析装置1全体の制御を行なう制御部である。
脅威抽出部6は、分析対象システムで想定される脅威を脅威データベース10から抽出する。
上記で説明した脅威分析装置1は、スタンドアロンのPCやクライアントサーバシステム、Web端末とWebサーバからなるWebシステムで構成することができる。
次に、実施の形態1に係る脅威分析装置の動作について説明する。
図2は、実施の形態1における脅威分析の対象システムの一例を示す図である。
図2において、15aは、詳細仕様が決まっていない段階で行なう上位分析の対象であり、3つのサブシステム(図中、SS1、SS2、SS3と略す)から構成される。サブシステム1(SS1)とサブシステム2(SS2)は、内部ネットワーク(図中、内部NWと略す)を介して接続され、サブシステム1(SS1)とサブシステム3(SS3)は、インターネットなどの外部ネットワーク(図中、外部NWと略す)を介して接続されている。なお、15aの上位分析の段階では、サブシステム1、サブシステム2、サブシステム3の詳細は決まっていない。
15bは、サブシステム1のみの詳細仕様が決まった後の下位分析の対象であり、二つのサーバ(サーバX、サーバY)と一つの端末(端末Z)から構成されている。
図2は、実施の形態1における脅威分析の対象システムの一例を示す図である。
図2において、15aは、詳細仕様が決まっていない段階で行なう上位分析の対象であり、3つのサブシステム(図中、SS1、SS2、SS3と略す)から構成される。サブシステム1(SS1)とサブシステム2(SS2)は、内部ネットワーク(図中、内部NWと略す)を介して接続され、サブシステム1(SS1)とサブシステム3(SS3)は、インターネットなどの外部ネットワーク(図中、外部NWと略す)を介して接続されている。なお、15aの上位分析の段階では、サブシステム1、サブシステム2、サブシステム3の詳細は決まっていない。
15bは、サブシステム1のみの詳細仕様が決まった後の下位分析の対象であり、二つのサーバ(サーバX、サーバY)と一つの端末(端末Z)から構成されている。
このように、本実施の形態1では、上位分析の対象の内、1つのサブシステムの詳細が決定された形態を示す。これは、既存のシステムに対して1つのサブシステムが開発の対象というケースを想定している。
まず、上位分析について図3を用いて説明する。
図3は、実施の形態1における上位分析の処理の流れを示すフローチャートである。
図3のフローチャートでは、分析者が、図2の15aで示した構成に対して、上位分析を開始する。
まず、ステップS100において、分析者は、分析レベルとして上位分析であることを分析レベル入力部8から入力する。
図3は、実施の形態1における上位分析の処理の流れを示すフローチャートである。
図3のフローチャートでは、分析者が、図2の15aで示した構成に対して、上位分析を開始する。
まず、ステップS100において、分析者は、分析レベルとして上位分析であることを分析レベル入力部8から入力する。
次に、ステップS101において、分析者は、上位分析の対象となる構成要素を構成要素入力部7から入力する。入力した結果は、上位構成要素一覧表11として分析対象情報記憶部4に記録される。
図4は、上位分析の対象15aに対する上位構成要素一覧表11の一例を示す図である。
図4において、上位構成要素名は、サブシステム(SS1、SS2、SS3)やネットワーク(内部NW、外部NW)等の構成要素の識別名である。上位構成要素種別は、入力した上位構成要素名の種別を表すもので、図4の例では、サブシステムの種別はコンポーネント、ネットワークの種別は通信路としている。なお、上位構成要素種別は、サブシステムやサーバ、端末、ネットワークなど別の種別でもよく、分析対象システムで扱う情報を処理するコンポーネントと、情報が通過する通信路とを区別できればよい。
図4において、上位構成要素名は、サブシステム(SS1、SS2、SS3)やネットワーク(内部NW、外部NW)等の構成要素の識別名である。上位構成要素種別は、入力した上位構成要素名の種別を表すもので、図4の例では、サブシステムの種別はコンポーネント、ネットワークの種別は通信路としている。なお、上位構成要素種別は、サブシステムやサーバ、端末、ネットワークなど別の種別でもよく、分析対象システムで扱う情報を処理するコンポーネントと、情報が通過する通信路とを区別できればよい。
次に、ステップS102において、分析者は、脅威入力部9から脅威を入力し、対象システムに応じてカスタマイズを行なう。ここでは、脅威を入力する方法として、共通情報記憶部3の脅威データベース10を用いる例を説明する。
図5は、実施の形態1における脅威データベース10の一例を示す図である。
図5において、脅威データベース10には、脅威No.と脅威の内容、脅威分類が格納されている。脅威No.は、脅威データベース10内の脅威の識別子である。また、本実施の形態1での脅威分類は、まず、脅威を検討するコンポーネントに対して、その内部で発生する脅威と外部で発生する脅威に区別している。コンポーネント内部で発生する脅威の脅威分類は、脅威Aとし、これらは覗き見、マルウェア感染、不正持出し、故障等の脅威である。コンポーネント外部で発生する脅威の脅威分類は、脅威Bと脅威Cの2つに分類している。脅威Bは、構成要素種別がコンポーネントもしくは通信路である構成要素から、対象のコンポーネントにアクセスする脅威であり、すなわち対象のコンポーネントの外部から対象のコンポーネントへの不正アクセスに関する脅威である。脅威Cは、通信路における盗聴などコンポーネント間の通信路で発生する脅威である。
図5は、実施の形態1における脅威データベース10の一例を示す図である。
図5において、脅威データベース10には、脅威No.と脅威の内容、脅威分類が格納されている。脅威No.は、脅威データベース10内の脅威の識別子である。また、本実施の形態1での脅威分類は、まず、脅威を検討するコンポーネントに対して、その内部で発生する脅威と外部で発生する脅威に区別している。コンポーネント内部で発生する脅威の脅威分類は、脅威Aとし、これらは覗き見、マルウェア感染、不正持出し、故障等の脅威である。コンポーネント外部で発生する脅威の脅威分類は、脅威Bと脅威Cの2つに分類している。脅威Bは、構成要素種別がコンポーネントもしくは通信路である構成要素から、対象のコンポーネントにアクセスする脅威であり、すなわち対象のコンポーネントの外部から対象のコンポーネントへの不正アクセスに関する脅威である。脅威Cは、通信路における盗聴などコンポーネント間の通信路で発生する脅威である。
また、脅威の内容において、[コンポーネント]や[通信路]などの[ ]で示した内容は、対象システムに応じて[ ]内を編集してカスタマイズすることを意味している。
分析者は、上記で説明した脅威データベース10に格納されている脅威から、上位分析の対象となる構成要素に対する脅威を選択して、対象システムに応じてカスタマイズし、また、不要と思われる脅威は削除して、上位分析における脅威を抽出する。
次に、ステップS103において、分析者は、ステップS102で抽出した脅威の結果を上位分析結果13として分析対象情報記憶部4に記録し、上位分析を終了する。
図6は、実施の形態1における上位分析の対象15aの上位分析結果の例を示す図である。
図6では、構成要素毎に、図5の脅威データベース10の脅威から選択・編集し、サブシステム1に焦点を当てて図示しているため、サブシステム2とサブシステム3に関する上位分析結果を省略している。また、図6の例では、サブシステム3を悪用した不正アクセスは、脅威として想定されないとして、分析結果に含まれていない。図6に示すように、構成要素種別がコンポーネントの場合は、脅威分類A、Bの脅威が抽出され、構成要素種別が通信路の場合には、脅威分類Cの脅威が抽出される。
図6は、実施の形態1における上位分析の対象15aの上位分析結果の例を示す図である。
図6では、構成要素毎に、図5の脅威データベース10の脅威から選択・編集し、サブシステム1に焦点を当てて図示しているため、サブシステム2とサブシステム3に関する上位分析結果を省略している。また、図6の例では、サブシステム3を悪用した不正アクセスは、脅威として想定されないとして、分析結果に含まれていない。図6に示すように、構成要素種別がコンポーネントの場合は、脅威分類A、Bの脅威が抽出され、構成要素種別が通信路の場合には、脅威分類Cの脅威が抽出される。
なお、本実施の形態1では、脅威データベース10を用いて脅威を抽出したが、脅威データベース10を用いずに、分析者が脅威入力部9から脅威とその脅威分類を入力するようにしてもよい。
次に、下位分析について図7を用いて説明する。
図7は、実施の形態1における下位分析の処理の流れを示すフローチャートである。
図7のフローチャートでは、分析者が、図2の15bで示した構成に対して、下位分析を開始する。
まず、ステップS200において、分析者は、分析レベルとして下位分析であることを分析レベル入力部8から入力する。
図7は、実施の形態1における下位分析の処理の流れを示すフローチャートである。
図7のフローチャートでは、分析者が、図2の15bで示した構成に対して、下位分析を開始する。
まず、ステップS200において、分析者は、分析レベルとして下位分析であることを分析レベル入力部8から入力する。
次に、ステップS201において、分析者は、下位分析の対象と、その対象の構成要素を構成要素入力部7から入力する。入力した結果は、下位構成要素一覧表12として分析対象情報記憶部4に記録される。
図8は、下位分析の対象15bに対する下位構成要素一覧表12の一例を示す図である。
図8は、基本的に図4と同じように、構成要素とその種別から成る。図8は、図2の15bでのサブシステム1が対象であるので、サブシステム1のみに対して詳細な構成が記載されている。サブシステム2などは上位構成要素と同じである。
図8は、基本的に図4と同じように、構成要素とその種別から成る。図8は、図2の15bでのサブシステム1が対象であるので、サブシステム1のみに対して詳細な構成が記載されている。サブシステム2などは上位構成要素と同じである。
次に、ステップS202において、脅威抽出部6は、分析対象情報記憶部4の上位分析結果13を用いて、脅威の抽出を行なう。なお、本実施の形態1では、上位分析結果13の脅威と下位分析結果14の脅威との間で対応関係を明確にするために、上位分析結果13の脅威IDを利用して下位分析結果14の脅威IDを設定するようにしている。以下、脅威抽出の処理について、上位分析結果13の図6と下位分析結果14である図9を用いて、その詳細を説明する。
図9は、図2の上位分析の対象15bにおける下位分析結果14の例を示す図である。
図9は、図2の上位分析の対象15bにおける下位分析結果14の例を示す図である。
まず、ステップS203において、脅威抽出部6は、上位分析結果13での対象の構成要素の脅威について、その脅威分類を判定する。下位分析の対象はサブシステム1の構成要素であるため、脅威分類はAまたはBのいずれかである。また、脅威分類の判定後の処理では、図8に示した下位構成要素一覧表12を用いる。
次に、判定結果で脅威分類がAの場合、ステップS204において、脅威抽出部6は、上位分析結果13での脅威を、下位の構成要素で構成要素種別がコンポーネントである構成要素に割り振り、脅威として抽出する。例えば、図6のサブシステム1での脅威である「覗き見(図6中、脅威IDがA1)」の場合、図8より、構成要素種別がコンポーネントの構成要素はサーバX、サーバY、端末Zであるので、これら3つの構成要素に対する脅威として、「覗き見」を割り振る。その結果、抽出された脅威が、図9中、脅威IDがA1−X,A1−Y,A1−Zの脅威である。
また、判定結果で脅威分類がBの場合、ステップS205において、脅威抽出部6は、上記ステップS204と同様に、その脅威を下位の構成要素で構成要素種別がコンポーネントである構成要素に割り振り、脅威として抽出する。例えば、図6のサブシステム1での脅威である「サブシステム2を悪用した不正アクセス(図6中、脅威IDがB1)」の場合、図8より、種別がコンポーネントの構成要素はサーバX、サーバY、端末Zであるので、これら3つの構成要素に対する脅威として、「サブシステム2を悪用した不正アクセス」を割り振る。その結果、図9中、脅威IDがB1−Xの脅威が抽出される。なお、図9中、サーバYに対するB1−Yと、端末Zに対するB1−Zの脅威は、その記述を省略している。同様に、図6中の脅威IDがB2とB3の脅威も、図9中、B2−X,B3−Xの脅威として抽出される。
その後、ステップS206において、脅威抽出部6は、脅威データベース10において、脅威分類がBの脅威を作成する。具体的には、下位の構成要素種別がコンポーネントもしくは通信路である構成要素から、構成要素種別がコンポーネントの構成要素に対する脅威を作成する。例えば、図9中、サーバXに対しては、「サーバYを悪用した不正アクセス(脅威IDがB4−X)」、「端末Zを悪用した不正アクセス(脅威IDがB5−X)」、「サブシステム1内部ネットワークに接続した不正な装置からの不正アクセス(脅威IDがB6−X)」の脅威を作成する。
次に、ステップS207において、脅威抽出部6は、上位分析結果13における対象の構成要素の脅威を全て実施したかを判定する。判定した結果、上位分析結果13の中に未実施の脅威がまだ残っている場合は、Noの分岐に進み、ステップS203から再度同様の処理を行なう。また、上位分析結果13の脅威を全て実施した場合、Yesの分岐に進み、ステップS208において、脅威抽出部6は、コンポーネント内の下位の構成要素で、構成要素種別が通信路の構成要素に対して、脅威Cを新たに作成する。例えば、図9中、脅威IDがC3である脅威Cを作成する。
脅威抽出部6は、以上の処理を行ない、図9に示した下位分析結果14が得られる。なお、図9で示したように、上位分析結果13に想定されないとして含まれていない「サブシステム3を悪用した不正アクセス」は、下位分析結果14にも含まれていない。脅威抽出部6は、得られた結果を下位分析結果14として分析対象情報記憶部4に記録し、下位分析を終了する。
なお、本実施の形態1では、図7において、ステップS205の後にステップS206を実施するような処理フローを示したが、ステップS206は、ステップS208と同じタイミングで作成してもよい。
また、本実施の形態1では、分析対象システムの脅威を抽出することに焦点を当てた脅威分析装置1について示したが、脅威を抽出した後、各脅威の発生可能性やシステムに及ぼす影響の情報から、セキュリティ上のリスクを導出するようにしてもよい。この場合、各脅威の発生可能性やシステムに及ぼす影響の情報は、脅威データベース10に格納しておき、脅威抽出部6がセキュリティ上のリスクを導出するようにする。なお、セキュリティ上のリスクを導出する手法は、既存のもので可能である。
さらに、脅威の内容に、その脅威を引き起こす主体や、脅威の対象となる情報などの保護資産を追加してもよい。
また、本実施の形態1では、上位分析を行なった後、下位分析を行なう例を示したが、上位分析を行なった後、セキュリティ上の対策を検討し、下位分析にて対策済の脅威を下位分析の対象からはずすようにしてもよい。
また、本実施の形態1では、脅威分類をコンポーネント内部で発生する脅威、対象のコンポーネントにコンポーネント外部からアクセスする脅威、コンポーネント間の通信路で発生する脅威に区別したが、対象のコンポーネントにコンポーネント外部からアクセスする脅威を、対象のコンポーネントにコンポーネント外部のコンポーネントからアクセスする脅威と、対象のコンポーネントにコンポーネント外部の通信路からアクセスする脅威に区別するなど、より細かくしてもよい。
以上のように、本実施の形態1の発明では、脅威をその特徴に合わせて分類し、その分類に合わせて分析結果を活用しているので、効率的に脅威分析を行なうことができ、また、上位分析結果と整合した下位分析結果を得ることができる。これにより、仕様の詳細度に合わせた脅威分析が行なえるという効果がある。
実施の形態2.
以上で説明した実施の形態1では、上位分析の対象の内、1つのサブシステムの詳細が決定され、その1つのサブシステムを対象に下位分析を行なう形態を示したものであるが、次に、実施の形態2では、複数のサブシステムを対象に下位分析を行なう実施の形態を示す。
以上で説明した実施の形態1では、上位分析の対象の内、1つのサブシステムの詳細が決定され、その1つのサブシステムを対象に下位分析を行なう形態を示したものであるが、次に、実施の形態2では、複数のサブシステムを対象に下位分析を行なう実施の形態を示す。
本実施の形態2での脅威分析装置1の構成は、実施の形態1の構成と同じであるので、説明を省略する。
次に、本実施の形態2での脅威分析装置1の動作について説明する。
図10は、実施の形態2における脅威分析の対象システムの一例を示す図である。
図10において、15aは、詳細仕様が決まっていない段階で行なう上位分析の対象であり、実施の形態1と同じである。15cは、全てのサブシステム(SS1、SS2)の詳細仕様が決まった後の下位分析の対象であり、サブシステム1(SS1)は、実施の形態1と同じように二つのサーバと一つの端末から構成されている。サブシステム2(SS2)は、一つのサーバ(サーバα)と一つの端末(端末β)から構成されている。なお、図10では、サブシステム3の記述を省略している。
図10は、実施の形態2における脅威分析の対象システムの一例を示す図である。
図10において、15aは、詳細仕様が決まっていない段階で行なう上位分析の対象であり、実施の形態1と同じである。15cは、全てのサブシステム(SS1、SS2)の詳細仕様が決まった後の下位分析の対象であり、サブシステム1(SS1)は、実施の形態1と同じように二つのサーバと一つの端末から構成されている。サブシステム2(SS2)は、一つのサーバ(サーバα)と一つの端末(端末β)から構成されている。なお、図10では、サブシステム3の記述を省略している。
まず、上位分析について説明する。上位分析の処理フローは、実施の形態1の図3と同様であるので、ここでは実施の形態1と異なる点のみ説明する。
図3において、ステップS102の脅威入力部9から脅威を入力し、対象システムに応じてカスタマイズを行なう処理で用いる脅威データベースについて説明する。
図11は、実施の形態2における脅威データベース10の一例を示す図である。
図11において、脅威データベース10に脅威No、脅威の内容とその分類が格納されている点は実施の形態1の図5と同じであるが、本実施の形態2では、脅威分類が異なる。図11では、実施の形態1における脅威Bについて、脅威Dと脅威Eの二つに区別している。脅威Dは、構成要素種別がコンポーネントである構成要素から対象のコンポーネントにアクセスする脅威であり、すなわち対象のコンポーネントの外部コンポーネントから対象のコンポーネントへの不正アクセスに関する脅威である。脅威Eは、構成要素種別が通信路である構成要素から対象のコンポーネントにアクセスする脅威であり、すなわち、コンポーネント間の通信路から対象のコンポーネントにアクセスする脅威である。
図11は、実施の形態2における脅威データベース10の一例を示す図である。
図11において、脅威データベース10に脅威No、脅威の内容とその分類が格納されている点は実施の形態1の図5と同じであるが、本実施の形態2では、脅威分類が異なる。図11では、実施の形態1における脅威Bについて、脅威Dと脅威Eの二つに区別している。脅威Dは、構成要素種別がコンポーネントである構成要素から対象のコンポーネントにアクセスする脅威であり、すなわち対象のコンポーネントの外部コンポーネントから対象のコンポーネントへの不正アクセスに関する脅威である。脅威Eは、構成要素種別が通信路である構成要素から対象のコンポーネントにアクセスする脅威であり、すなわち、コンポーネント間の通信路から対象のコンポーネントにアクセスする脅威である。
図12は、実施の形態2における上位分析の対象15aの上位分析結果の例を示す図である。
図12では、サブシステム1に焦点を当て、サブシステム2とサブシステム3に関する結果を省略している。また、図12の例では、サブシステム3を悪用した不正アクセスは、脅威として想定されないとして、分析結果に含まれていない。図12に示すように、構成要素種別がコンポーネントの場合は、脅威分類A、D、Eの脅威が抽出され、構成要素種別が通信路の場合には、脅威分類Cの脅威が抽出される。
図12では、サブシステム1に焦点を当て、サブシステム2とサブシステム3に関する結果を省略している。また、図12の例では、サブシステム3を悪用した不正アクセスは、脅威として想定されないとして、分析結果に含まれていない。図12に示すように、構成要素種別がコンポーネントの場合は、脅威分類A、D、Eの脅威が抽出され、構成要素種別が通信路の場合には、脅威分類Cの脅威が抽出される。
なお、本実施の形態2では、脅威データベース10を用いて脅威を抽出したが、脅威データベース10を用いずに、分析者が脅威入力部9から脅威とその脅威分類を入力するようにしてもよい。
次に、下位分析について図13を用いて説明する。
図13は、実施の形態2における下位分析の処理の流れ(その1)を示すフローチャートである。
図14は、実施の形態2における下位分析の処理の流れ(その2)を示すフローチャートである。
図13、図14のフローチャートでは、分析者が、図10の15cで示した構成に対して、下位分析を開始する。
まず、ステップS300において、分析者は、分析レベルとして下位分析であることを分析レベル入力部8から入力し、上位分析結果を指定する。
図13は、実施の形態2における下位分析の処理の流れ(その1)を示すフローチャートである。
図14は、実施の形態2における下位分析の処理の流れ(その2)を示すフローチャートである。
図13、図14のフローチャートでは、分析者が、図10の15cで示した構成に対して、下位分析を開始する。
まず、ステップS300において、分析者は、分析レベルとして下位分析であることを分析レベル入力部8から入力し、上位分析結果を指定する。
次に、ステップS301において、分析者は、下位分析の対象と、その対象の構成要素を構成要素入力部7から入力する。入力した結果は、下位構成要素一覧表12として分析対象情報記憶部4に記録される。
図15は、下位分析の対象15cに対する下位構成要素一覧表12の一例を示す図である。
図15は、構成要素とその種別、接続先通信路から成る。構成要素とその種別は、実施の形態1と同じである。接続先通信路は、各構成要素が接続している通信路を入力する。サーバXはサブシステム1内部ネットワーク(SS1内部NW)に接続されており、サブシステム1内部ネットワークと入力する。また、サブシステム1内部ネットワークは外部ネットワーク(外部NW)と内部ネットワーク(内部NW)に接続されているので、両方の通信路を入力する。
図15は、構成要素とその種別、接続先通信路から成る。構成要素とその種別は、実施の形態1と同じである。接続先通信路は、各構成要素が接続している通信路を入力する。サーバXはサブシステム1内部ネットワーク(SS1内部NW)に接続されており、サブシステム1内部ネットワークと入力する。また、サブシステム1内部ネットワークは外部ネットワーク(外部NW)と内部ネットワーク(内部NW)に接続されているので、両方の通信路を入力する。
次に、ステップ302において、脅威抽出部6は、分析対象情報記憶部4の上位分析結果13を用いて、脅威の抽出を行なう。以下、脅威抽出の処理について、上位分析結果13の図12と下位分析結果14である図16を用いて、その詳細を説明する。
図16は、図10の上位分析の対象15cにおける下位分析結果14の例を示す図である。
図16は、図10の上位分析の対象15cにおける下位分析結果14の例を示す図である。
まず、ステップS303において、脅威抽出部6は、上位分析結果13での対象の構成要素の脅威について、その脅威分類を判定する。判定する脅威分類は、脅威Bを脅威Dと脅威Eの二つに区別しているため、A、C、D、Eのいずれかである。また、脅威分類の判定後の処理では、図15に示した下位構成要素一覧表12を用いる。
次に、判定結果で脅威分類がAの場合、ステップS304において、脅威抽出部6は、上位分析結果13での脅威を、下位の構成要素で構成要素種別がコンポーネントである構成要素に割り振り、脅威として抽出する。例えば、図12のサブシステム1での脅威である「覗き見(図12中、脅威IDがA1)」の場合、図15より、構成要素種別がコンポーネントの構成要素はサーバX、サーバY、端末Zであるので、これら3つの構成要素に対する脅威として、「覗き見」を割り振る。その結果、図16中、脅威IDがA1−X,A1−Y,A1−Zの脅威が抽出される。
また、判定結果で脅威分類がD、E、Cの場合は、図14に示すように処理が分岐する。
まず、判定結果で脅威分類がDの場合、ステップS305において、脅威抽出部6は、その脅威を下位の構成要素で構成要素種別がコンポーネントである構成要素に割り振り、その後、その脅威のアクセス元の上位のコンポーネントを下位のコンポーネントに割り振ったものを脅威として抽出する。例えば、図12のサブシステム1での脅威である「サブシステム2を悪用した不正アクセス(図12中、脅威IDがD1)」の場合、図15より、構成要素種別がコンポーネントの構成要素はサーバX、サーバY、端末Zであるので、これら3つの構成要素に対する脅威として、「サブシステム2を悪用した不正アクセス」を割り振る。また、図15より、アクセス元であるサブシステム2はサーバαと端末βから構成されるので、前記サーバX、サーバY、端末Zに対する各脅威をサーバαと端末βからの脅威として割り振る。その結果、図16中、脅威IDがD1−α−XとD1−β−Xの脅威が抽出される。なお、図16中、サーバαと端末βからサーバYに対する不正アクセスの脅威と、サーバαと端末βから端末Zに対する不正アクセスの脅威は省略している。
まず、判定結果で脅威分類がDの場合、ステップS305において、脅威抽出部6は、その脅威を下位の構成要素で構成要素種別がコンポーネントである構成要素に割り振り、その後、その脅威のアクセス元の上位のコンポーネントを下位のコンポーネントに割り振ったものを脅威として抽出する。例えば、図12のサブシステム1での脅威である「サブシステム2を悪用した不正アクセス(図12中、脅威IDがD1)」の場合、図15より、構成要素種別がコンポーネントの構成要素はサーバX、サーバY、端末Zであるので、これら3つの構成要素に対する脅威として、「サブシステム2を悪用した不正アクセス」を割り振る。また、図15より、アクセス元であるサブシステム2はサーバαと端末βから構成されるので、前記サーバX、サーバY、端末Zに対する各脅威をサーバαと端末βからの脅威として割り振る。その結果、図16中、脅威IDがD1−α−XとD1−β−Xの脅威が抽出される。なお、図16中、サーバαと端末βからサーバYに対する不正アクセスの脅威と、サーバαと端末βから端末Zに対する不正アクセスの脅威は省略している。
その後、ステップS306において、脅威抽出部6は、下位の構成要素種別がコンポーネントである構成要素からの脅威を新たに作成する。例えば、図16中、サーバXに対しては、脅威IDがD4−XとD5−Xである脅威を作成する。
また、判定結果で脅威分類がEの場合、ステップS307において、脅威抽出部6は、脅威分類がAの場合と同様に、その脅威を下位の構成要素で構成要素種別がコンポーネントの構成要素に割り振り、脅威として抽出する。例えば、図12のサブシステム1での脅威である「外部ネットワークに接続した不正な装置からの不正アクセス(図12中、脅威IDがE1)」の場合、図15より、構成要素種別がコンポーネントの構成要素はサーバX、サーバY、端末Zであるので、これら3つの構成要素に対する脅威として割り振る。その結果、図16中、脅威IDがE1−Xの脅威が抽出される。なお、図16中、外部ネットワークに接続した不正な装置からのサーバYや端末Zへの不正アクセスの脅威は省略している。
その後、ステップS308において、脅威抽出部6は、下位の構成要素種別が通信路である構成要素からの脅威を新たに作成する。例えば、図16中、サーバXに対しては、サブシステム1内ネットワークに接続した不正な装置からの不正アクセス(脅威IDがE3−X)である脅威を作成する。また、図15において、サーバXの接続先通信路やその通信路の接続先から、サーバXに対するサブシステム2内ネットワークに接続した不正な装置からの不正アクセス(脅威IDがE4−X)である脅威を作成する。
また、判定結果で脅威分類がCの場合、ステップS309において、脅威抽出部6は、上位分析結果の脅威をそのまま脅威として抽出する。例えば、図12中、外部ネットワークにおける盗聴(脅威IDがC1)は、図16でも同じ脅威として抽出している。
その後、ステップS310において、脅威抽出部6は、下位の構成要素種別が通信路の構成要素における脅威を作成する。例えば、図16中、サブシステム1内部ネットワークにおける盗聴(脅威IDはC3)を作成する。
上記のように脅威分類がA、D、E、Cの各処理を行なった後に、図13のステップS311に処理が進む。
ステップS311において、脅威抽出部6は、上位分析結果13における対象の構成要素の脅威を全て実施したかを判定する。判定した結果、上位分析結果13の中に未実施の脅威がまだ残っている場合は、Noの分岐に進み、ステップS303から再度同様の処理を行なう。
ステップS311において、脅威抽出部6は、上位分析結果13における対象の構成要素の脅威を全て実施したかを判定する。判定した結果、上位分析結果13の中に未実施の脅威がまだ残っている場合は、Noの分岐に進み、ステップS303から再度同様の処理を行なう。
脅威抽出部6は、以上の処理を行ない、図16に示した下位分析結果14が得られる。なお、図16に示したように、上位分析結果13に想定されないとして含まれていない「サブシステム3を悪用した不正アクセス」は、下位分析結果14にも含まれていない。脅威抽出部6は、得られた結果を下位分析結果14として分析対象情報記憶部4に記録し、下位分析を終了する。
なお、本実施の形態2では、図14にてステップS305の後にステップS306を、ステップS307の後にステップS308を、ステップS309の後にステップS310を実施するような処理フローを示したが、ステップS306、ステップS308、ステップS310は、図13のステップS311以降で作成してもよい。
また、本実施の形態2では、分析対象システムの脅威を抽出することに焦点を当てた脅威分析装置1について示したが、脅威を抽出した後、各脅威の発生可能性や影響からリスクを導出するようにしてもよい。リスクを導出する手法は既存のもので可能である。
さらに、脅威の内容に、その脅威を引き起こす主体や脅威の対象となる情報などの保護資産を追加してもよい。
また、本実施の形態2では、上位分析を行なった後、下位分析を行なう例を示したが、上位分析を行なった後、対策を検討し、下位分析にて対策済脅威を下位分析の対象からはずすようにしてもよい。
また、本実施の形態2では、脅威分類として、コンポーネント内部で発生する脅威、他のコンポーネントから対象のコンポーネントにアクセスする脅威、コンポーネント間の通信路から対象のコンポーネントにアクセスする脅威、コンポーネント間の通信路で発生する脅威の4種類に分類したが、実施の形態1で示したように、コンポーネント内部で発生する脅威、コンポーネント外部から対象のコンポーネントにアクセスする脅威、コンポーネント間の通信路で発生する脅威の3種類に分類としてもよい。すなわち、実施の形態2における脅威分類DとEの区別を無くしてもよい。その場合、図13、14の下位分析の処理フローにおいて、上位分析結果13の脅威を下位の構成要素で構成要素種別がコンポーネントの構成要素に割り振るステップと、その脅威の内、アクセス元の構成要素種別がコンポーネントの脅威は、上位のコンポーネントに含まれる下位のコンポーネントに割り振るステップと、下位の構成要素の内、構成要素種別がコンポーネントと通信路の構成要素からの脅威を新たに作成するステップとすればよい。
以上のように、本実施の形態2の発明では、複数のサブシステムを対象に下位分析を行なうことができるため、効率的に脅威分析を行なうことができ、また、上位分析結果と整合した下位分析結果を得ることができる。これにより、仕様の詳細度に合わせた脅威分析が行なえるという効果がある。
次に、実施の形態1〜2に示した脅威分析装置1のハードウェア構成について説明する。
図17は、実施の形態1〜2に示した脅威分析装置1のハードウェア構成の例を示す図である。
図17は、実施の形態1〜2に示した脅威分析装置1のハードウェア構成の例を示す図である。
脅威分析装置1はコンピュータであり、脅威分析装置1の各要素をプログラムで実現することができる。脅威分析装置1のハードウェア構成としては、バスに、演算装置16、外部記憶装置17、主記憶装置18、通信装置19、入出力装置20が接続されている。
演算装置16は、プログラムを実行するCPU(Central Processing Unit)等である。外部記憶装置17は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置等である。主記憶装置18は、例えばRAM(Random Access Memory)等である。通信装置19は、例えば通信ボード等である。入出力装置20は、例えばマウス、キーボード、ディスプレイ装置等である。
プログラムは、通常は外部記憶装置17に記憶されており、主記憶装置18にロードされた状態で、順次、演算装置16に読み込まれ、実行される。このプログラムは、脅威分析装置1を構成する入出力部2、共通情報記憶部3、分析対象情報記憶部4、制御部5、脅威抽出部6として説明している機能を実現するプログラムである。
更に、外部記憶装置17には、オペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置18にロードされ、演算装置16は、OSを実行しながら、上記プログラムを実行する。
また、実施の形態1〜2の説明において、共通情報記憶部3、分析対象情報記憶部4が記憶する情報やデータ、入出力部2、脅威抽出部6の処理の結果を示す情報やデータや信号値や変数値が、主記憶装置18にファイルとして記憶されている。
なお、図17の構成は、あくまでも各装置のハードウェア構成の一例を示すものであり、各装置のハードウェア構成は図17に記載の構成に限らず、他の構成であってもよい。
1 脅威分析装置、2 入出力部、3 共通情報記憶部、4 分析対象情報記憶部、5 制御部、6 脅威抽出部、7 構成要素入力部、8 分析レベル入力部、9 脅威入力部、10 脅威データベース、11 上位構成要素一覧表、12 下位構成要素一覧表、13 上位分析結果、14 下位分析結果、15a 上位分析の対象、15b 下位分析の対象、15c 下位分析の対象(複数のサブシステム)、16 演算装置、17 外部記憶装置、18 主記憶装置、19 通信装置、20 入出力装置。
Claims (6)
- 脅威分析の分析対象システムで想定される脅威を格納する脅威データベースと、
前記分析対象システムの上位構成要素と前記上位構成要素の下位構成要素とを対応付けて記憶する分析対象情報記憶部と、
前記脅威を用いて前記上位構成要素を脅威分析した上位分析結果の上位脅威を前記下位構成要素に割り振って前記下位構成要素に対する下位分析を行ない、前記下位構成要素の下位脅威を抽出する脅威抽出部と
を備える脅威分析装置。 - 前記脅威データベースは、前記脅威を分類した脅威分類を前記脅威に対応付けて格納し、
前記脅威抽出部は、前記脅威分類に基づいて前記上位脅威を前記下位構成要素に割り振る請求項1記載の脅威分析装置。 - 前記脅威データベースが格納する前記脅威分類は、前記分析対象システムの構成要素種別に応じて前記脅威が分類され、
前記脅威抽出部は、前記脅威分類が示す前記構成要素種別に応じて前記上位脅威を前記下位構成要素に割り振る請求項2記載の脅威分析装置。 - 前記脅威データベースは、前記脅威の発生可能性または前記分析対象システムに与える影響の情報を前記脅威に対応付けて格納し、
前記脅威抽出部は、前記脅威の発生可能性または前記分析対象システムに与える影響の情報に基づいて、前記脅威分析により抽出した前記脅威のセキュリティ上のリスクを導出する請求項1記載の脅威分析装置。 - 前記脅威抽出部は、前記上位分析結果の前記上位脅威のうち、セキュリティ上の対策済みの前記上位脅威を前記下位分析の対象からはずす請求項1記載の脅威分析装置。
- 脅威分析の分析対象システムで想定される脅威を格納する脅威データベースと分析対象情報記憶部と脅威抽出部とを備える脅威分析装置の脅威分析方法であって、
前記分析対象情報記憶部が、前記分析対象システムの上位構成要素と前記上位構成要素の下位構成要素とを対応付けて記憶する分析対象情報記憶ステップと、
前記脅威抽出部が、前記脅威を用いて前記上位構成要素を脅威分析した上位分析結果の上位脅威を前記下位構成要素に割り振って前記下位構成要素に対する下位分析を行ない、前記下位構成要素の下位脅威を抽出する脅威抽出ステップと
を備える脅威分析方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014242981A JP6274090B2 (ja) | 2014-12-01 | 2014-12-01 | 脅威分析装置、及び脅威分析方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014242981A JP6274090B2 (ja) | 2014-12-01 | 2014-12-01 | 脅威分析装置、及び脅威分析方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016105233A JP2016105233A (ja) | 2016-06-09 |
JP6274090B2 true JP6274090B2 (ja) | 2018-02-07 |
Family
ID=56102485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014242981A Expired - Fee Related JP6274090B2 (ja) | 2014-12-01 | 2014-12-01 | 脅威分析装置、及び脅威分析方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6274090B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6780326B2 (ja) * | 2016-07-04 | 2020-11-04 | 富士ゼロックス株式会社 | 情報処理装置及びプログラム |
JP6584737B1 (ja) * | 2018-01-12 | 2019-10-02 | 三菱電機株式会社 | 脅威特定装置、脅威特定方法及び脅威特定プログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004220459A (ja) * | 2003-01-17 | 2004-08-05 | Hitachi Ltd | セキュリティ設計支援装置 |
JP2010198194A (ja) * | 2009-02-24 | 2010-09-09 | Nomura Research Institute Ltd | セキュリティ管理支援システム |
JP5405921B2 (ja) * | 2009-06-29 | 2014-02-05 | 株式会社野村総合研究所 | タスク管理システムおよびセキュリティ管理支援システム |
-
2014
- 2014-12-01 JP JP2014242981A patent/JP6274090B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2016105233A (ja) | 2016-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7073343B2 (ja) | 難読化されたウェブサイトコンテンツ内のセキュリティ脆弱性及び侵入検出及び修復 | |
Han et al. | Malware analysis using visualized image matrices | |
CN116506217B (zh) | 业务数据流安全风险的分析方法、系统、存储介质及终端 | |
CN109361711B (zh) | 防火墙配置方法、装置、电子设备及计算机可读介质 | |
CN106796635A (zh) | 确定装置、确定方法及确定程序 | |
CN109344611B (zh) | 应用的访问控制方法、终端设备及介质 | |
EP3051767A1 (en) | Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation | |
Shrivastava et al. | SensDroid: analysis for malicious activity risk of Android application | |
JP6674036B2 (ja) | 分類装置、分類方法及び分類プログラム | |
CN111222137A (zh) | 一种程序分类模型训练方法、程序分类方法及装置 | |
US11792178B2 (en) | Techniques for mitigating leakage of user credentials | |
JPWO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
JPWO2017094377A1 (ja) | 分類方法、分類装置および分類プログラム | |
JP6274090B2 (ja) | 脅威分析装置、及び脅威分析方法 | |
CN114024761A (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
CN112840598A (zh) | 虚拟化网络功能 | |
JP6632777B2 (ja) | セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム | |
Khan et al. | Op2Vec: An Opcode Embedding Technique and Dataset Design for End‐to‐End Detection of Android Malware | |
JP7424395B2 (ja) | 分析システム、方法およびプログラム | |
Xin et al. | Obfuscated computer virus detection using machine learning algorithm | |
CN105279434A (zh) | 恶意程序样本家族命名方法及装置 | |
JP6952090B2 (ja) | 生成装置、プログラム、及び生成方法 | |
Robinette et al. | Benchmark: neural network malware classification | |
JP7427146B1 (ja) | 攻撃分析装置、攻撃分析方法、及び攻撃分析プログラム | |
JP7229443B2 (ja) | ログ生成装置、ログ生成方法、及び、ログ生成プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170130 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171212 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171225 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6274090 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
LAPS | Cancellation because of no payment of annual fees |