JP6384465B2 - Threat analysis device, threat analysis method, and threat analysis program - Google Patents
Threat analysis device, threat analysis method, and threat analysis program Download PDFInfo
- Publication number
- JP6384465B2 JP6384465B2 JP2015243810A JP2015243810A JP6384465B2 JP 6384465 B2 JP6384465 B2 JP 6384465B2 JP 2015243810 A JP2015243810 A JP 2015243810A JP 2015243810 A JP2015243810 A JP 2015243810A JP 6384465 B2 JP6384465 B2 JP 6384465B2
- Authority
- JP
- Japan
- Prior art keywords
- component
- communication path
- threat
- access source
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、システムを構成するサーバや端末、通信路などの構成要素におけるセキュリティ脅威を分析する脅威分析装置に関する。 The present invention relates to a threat analysis device that analyzes security threats in components such as a server, a terminal, and a communication path that constitute a system.
システムのセキュリティ設計を行なうためには、まず、システムに実装するセキュリティ対策を明らかにする必要がある。そのため、開発するシステム(以下、分析対象システムと呼ぶ)に対して、セキュリティ脅威分析を行ない、分析対象システムを構成するサーバや端末、通信路などの構成要素におけるセキュリティ脅威を明確にする必要がある。 In order to design the security of the system, it is first necessary to clarify the security measures implemented in the system. Therefore, it is necessary to perform security threat analysis on the system to be developed (hereinafter referred to as the analysis target system) and clarify the security threats in the components such as servers, terminals, and communication paths that constitute the analysis target system. .
システムでの脅威は、サーバへの不正アクセスや通信路での盗聴などが考えられる。サーバに対するリモートからの不正アクセスに関する従来の脅威分析については、例えば、特許文献1にセキュリティ脅威分析支援システムが開示されている。特許文献1の従来の脅威分析では、サーバという構成要素に対する脅威を、分析者が手動で特定している。具体的には、ある構成要素への脅威を抽出する際には、その構成要素へアクセス可能な他の構成要素、すなわち脅威の発信元となる構成要素として、サーバや端末などの装置や、不正な端末や装置を接続することができる通信路を、分析者が手作業で特定している。
Possible threats to the system include unauthorized access to the server and wiretapping on the communication path. As for conventional threat analysis related to remote unauthorized access to a server, for example,
従来の脅威分析では、分析者が脅威の発信元を手動で特定しているため、発信元を網羅的に洗い出すことが困難であり、特定すべき脅威の洗い出しに漏れが発生する恐れがあった。特に、大規模システムでは、分析対象システムの構成図から目視で確認するため、発信元を洗い出す作業は工数がかかり、また、脅威の発信元となる構成要素の洗い出しに漏れが発生する恐れがあった。そのため、分析対象システムで考慮すべき全ての脅威を抽出できず、最終的に必要なセキュリティ対策が実装されない恐れがあった。 In the conventional threat analysis, the analyst manually identifies the source of the threat, so it is difficult to exhaustively identify the source of the threat, and there is a possibility that leakage may occur in identifying the threat to be identified. . In particular, in a large-scale system, since it is confirmed visually from the configuration diagram of the analysis target system, it takes a lot of work to identify the sender, and there is a risk of leaks in identifying the components that are the source of the threat. It was. Therefore, all threats that should be considered in the analysis target system cannot be extracted, and there is a possibility that the necessary security measures will not be implemented in the end.
この発明は、上記のような問題点を解決するためになされたもので、分析対象システムの脅威分析において、リモートからの不正アクセスの脅威に関し、脅威の発信元となる構成要素(以下、コンポーネントとも呼ぶ)や通信路を漏れなく自動的に抽出することで、脅威を漏れなく抽出できる脅威分析装置を提供することを目的とする。 The present invention has been made to solve the above-described problems, and in threat analysis of a system to be analyzed, regarding a threat of unauthorized access from a remote location, a component (hereinafter also referred to as a component) that is a source of the threat. It is an object of the present invention to provide a threat analysis device that can extract a threat without omission by automatically extracting a communication channel without omission.
脅威分析の分析対象システムの構成要素と、前記構成要素の種別と、前記構成要素が接続している通信路を示す接続先通信路とを対応付けた構成リストを記憶する分析対象情報記憶部と、前記分析対象システムで想定される脅威と前記構成リストとに基づいて、前記構成リストの前記構成要素に対して前記接続先通信路によりアクセス可能な構成要素をアクセス元として抽出するアクセス元抽出部とを備え、前記アクセス元抽出部は、通信路ではない構成要素を通信路として扱うか否かを判定する透過判定部を備え、前記透過判定部が通信路として扱うと判定した構成要素を透過してアクセス可能な前記アクセス元を抽出する。 And configuration elements of the analyzed system of threat analysis, the a-specific seed components, analyte information storage that the component stores configuration list associating the destination channel indicating a communication path connecting And an access source that extracts, as an access source, a component that can be accessed by the connection destination communication path with respect to the component of the configuration list based on a threat assumed in the analysis target system and the configuration list The access source extraction unit includes a transmission determination unit that determines whether or not a component that is not a communication channel is handled as a communication channel, and the component that the transmission determination unit determines to handle as a communication channel transmitted through that to extract accessible the access source.
また、本発明の脅威分析方法は、脅威分析の分析対象システムの構成要素と、前記構成要素の種別と、前記構成要素が接続している通信路を示す接続先通信路とを対応付けた構成リストを記憶する分析対象情報記憶ステップと、前記分析対象システムで想定される脅威と前記構成リストとに基づいて、前記構成リストの前記構成要素に対して前記接続先通信路によりアクセス可能な構成要素をアクセス元として抽出するアクセス元抽出ステップとを有し、前記アクセス元抽出ステップは、通信路ではない構成要素を通信路として扱うか否かを判定する透過判定ステップを有し、通信路として扱うと判定された構成要素を透過してアクセス可能な前記アクセス元を抽出する。 Also, threat analysis method of the present invention, associates the configuration elements of the analyzed system of threat analysis, and another kind of the component, and a destination communication channel indicating a communication path in which the components are connected an analysis target information storage step of storing the configuration list, before Symbol analyzed based threats envisioned in the target system to said configuration list, accessible by the destination channel to the components of the configuration list An access source extraction step for extracting a component as an access source, and the access source extraction step includes a transmission determination step for determining whether or not a component that is not a communication channel is handled as a communication channel. The access source that can be accessed through a component determined to be treated as a path is extracted .
本発明によれば、探索リストを用いて間接的に接続されている通信路を探索しているので、分析対象システムの構成要素が直接接続されている通信路から、すべてのアクセス元を効率的に抽出することができる。特に大規模な分析対象システムの場合、人手による作業で発生する恐れのあるミスをすることなく、効率的にアクセス元を抽出することができるという効果がある。 According to the present invention, since a communication path that is indirectly connected is searched using a search list, all access sources are efficiently searched from the communication path to which the components of the analysis target system are directly connected. Can be extracted. In particular, in the case of a large-scale analysis target system, there is an effect that an access source can be efficiently extracted without making a mistake that may occur due to manual work.
実施の形態1.
図1は、実施の形態1に係る脅威分析装置の一構成例を示す図である。
以下、図1を参照しながら脅威分析装置の構成を説明する。
FIG. 1 is a diagram illustrating a configuration example of a threat analysis apparatus according to the first embodiment.
The configuration of the threat analysis device will be described below with reference to FIG.
図1において、脅威分析装置1は、入出力部2、共通情報記憶部3、分析対象情報記憶部4、脅威抽出部5、及び制御部6を備える。
In FIG. 1, the
入出力部2は、分析者とのマンマシンインタフェースである。入出力部2は、分析者が分析対象システムを構成するサーバや端末などの構成要素や、その種別を入力する構成リスト入力部7と、分析者が分析対象システムの脅威を選択する脅威選択部8を備える。
The input /
共通情報記憶部3は、脅威分析を行なう上で必要な共通の情報を記憶する。共通情報記憶部3には、共通の情報の一例として、脅威の雛型が複数格納されている脅威データベース9が格納されている。なお、脅威データベース9の詳細は、後述する。
The common
分析対象情報記憶部4は、分析対象システム固有の情報を記憶する。具体的には、分析対象情報記憶部4は、分析者が構成リスト入力部7から入力した構成リスト10と、脅威分析装置1を使用して得られた分析結果11を格納する。分析対象情報記憶部4は、分析対象情報記憶手段の一例である。
The analysis target
脅威抽出部5は、構成リスト10と脅威データベース9から分析対象システムの脅威を抽出する。本実施形態の脅威抽出部5は、構成リスト10から、構成リスト10に記載されている各構成要素へのアクセス元を抽出するアクセス元抽出部12を備える。また、アクセス元抽出部12は、後述するアクセス元を抽出する処理において、端末や機器などのような通信路ではない構成要素を、アクセス元抽出時に通信路として扱うか否かを判定する透過判定部13を備える。アクセス元抽出部12は、アクセス元抽出手段の一例である。
The
制御部6は、脅威分析装置1が備える入出力部2、共通情報記憶部3、分析対象情報記憶部4、脅威抽出部5の動作全体の制御を行なう。
The control unit 6 controls the overall operation of the input /
上記のような脅威分析装置1は、スタンドアロンのPCやクライアントサーバシステム、Web端末とWebサーバからなるWebシステムで構成できる。
The
次に、脅威分析装置1のハードウェア構成について説明する。
図2は、脅威分析装置1のハードウェア構成の一例を示す図である。
Next, the hardware configuration of the
FIG. 2 is a diagram illustrating an example of a hardware configuration of the
脅威分析装置1はコンピュータであり、脅威分析装置1の各構成要素をプログラムで実現することができる。脅威分析装置1のハードウェア構成としては、バスに、演算装置14、外部記憶装置15、主記憶装置16、通信装置17、入出力装置18が接続されている。
The
演算装置14は、プログラムを実行するCPU(Central Processing Unit)等のプロセッサである。外部記憶装置15は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置等である。主記憶装置16は、例えばRAM(Random Access Memory)等である。通信装置17は、データの通信処理を実行する電子回路であり、例えば通信ボード等である。入出力装置18は、脅威分析装置1に対する入出力データを処理するデバイスであり、例えばマウス、キーボード、ディスプレイ装置等である。
The arithmetic device 14 is a processor such as a CPU (Central Processing Unit) that executes a program. The
プログラムは、通常は外部記憶装置15に記憶されており、主記憶装置16にロードされた状態で、順次、演算装置14に読み込まれ、実行される。このプログラムは、脅威分析装置1を構成する入出力部2、共通情報記憶部3、分析対象情報記憶部4、脅威抽出部5、及び制御部6として説明している機能を実現するプログラムである。
The program is normally stored in the
更に、外部記憶装置15には、オペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置16にロードされ、演算装置14は、OSを実行しながら、上記プログラムを実行する。
Furthermore, an operating system (OS) is also stored in the
また、共通情報記憶部3、分析対象情報記憶部4が記憶する情報やデータ、入出力部2、脅威抽出部5の処理の結果を示す情報やデータや信号値や変数値が、主記憶装置16にファイルとして記憶されている。
In addition, information and data stored in the common
なお、図2の構成は、あくまでも脅威分析装置1のハードウェア構成の一例を示すものであり、脅威分析装置1のハードウェア構成は、図2に記載の構成に限らず、他の構成であってもよい。
2 is merely an example of the hardware configuration of the
次に、実施の形態1に係る脅威分析装置1の動作について説明する。
図3は、実施の形態1における脅威分析装置1を用いて脅威分析を行なう分析対象システムの一構成例を示す図である。
Next, the operation of the
FIG. 3 is a diagram illustrating a configuration example of an analysis target system that performs threat analysis using the
図3において、分析対象システムは、サブシステム1(19)、サブシステム2(20)、サブシステム3(21)から構成され、サブシステム1(19)とサブシステム2(20)は内部ネットワーク22で接続され、サブシステム1(19)とサブシステム3(21)は外部ネットワーク23で接続されている。サブシステム1(19)は、内部にサーバX、サーバY、端末Zを含み、サブシステム1内ネットワーク24で接続されている。サブシステム2(20)は、内部にサーバα、端末β、機器γを有し、サブシステム2内ネットワーク25で接続されている。機器γはネットワークスイッチのような通信機器を想定しており、サブシステム1(19)内のサーバや端末、及びサブシステム2内のサーバや端末が、機器γと通信可能である。
In FIG. 3, the analysis target system includes a subsystem 1 (19), a subsystem 2 (20), and a subsystem 3 (21). The subsystem 1 (19) and the subsystem 2 (20) are connected to the
次に、実施の形態1における脅威分析の処理の流れを説明する。
図4は、実施の形態1における脅威分析の処理の流れを示すフローチャートである。
Next, the flow of threat analysis processing in the first embodiment will be described.
FIG. 4 is a flowchart showing a threat analysis process according to the first embodiment.
まず、ステップS100において、分析者は、構成リスト入力部7を用いて、分析対象システムを構成する構成要素やその種別などを入力する。
First, in step S <b> 100, the analyst uses the configuration
図5は、図3の分析対象システムに対する構成リストの一例を示す図である。
本実施の形態1では、構成リスト10は、構成要素名、コンポーネントや通信路などの構成要素種別、透過フラグ、各構成要素が直接接続している通信路を示す接続先通信路からなる。ここで、透過フラグは、種別がコンポーネントの構成要素に対し、このコンポーネントを通過して他のコンポーネントにアクセスできるため、アクセス元抽出時に通信路として扱うことを意味するフラグであり、本実施の形態では「1」が通信路として扱い、「0」は通常のコンポーネントとして扱うことを意味する。
FIG. 5 is a diagram showing an example of a configuration list for the analysis target system of FIG.
In the first embodiment, the
例えば、サーバXは、サーバなので種別がコンポーネント、透過フラグは「0」、直接接続している通信路は、サブシステム1内ネットワークである。また、機器γは、種別はコンポーネント、透過フラグは、この機器を通過して他のコンポーネントにアクセスできるため「1」、直接接続している通信路は、サブシステム2内ネットワークと内部ネットワークである。
For example, since the server X is a server, the type is component, the transparency flag is “0”, and the directly connected communication path is the network within the
なお、本実施の形態では、以上の情報を構成リスト10に記載しているが、別途、各構成要素の存在箇所や脅威を抽出する対象か否かを表す情報などを加えてもよい。また、本実施の形態では、接続先の通信路を分析者が入力する形態を示したが、分析者が入力した構成要素とその種別から、脅威分析装置1が抽出した通信路をリスト形式で表示して、分析者が選択する入力形態でもよい。また、脅威分析装置1が抽出した通信路と構成要素とを表形式で表示して、その表に分析者が接続先通信路として選択的に入力する入力形態でもよい。このような入力形態にすれば、分析者の記載ミスを軽減することができる。
In the present embodiment, the above information is described in the
次に、ステップS101において、脅威抽出部5は、分析者が入力した構成リスト10と、共通情報記憶部3の脅威データベース9とを用いて、構成要素に対するアクセス元と、分析対象システムで想定される脅威を構成要素毎に抽出する。脅威データベース9は、脅威格納手段の一例である。
Next, in step S101, the
図6は、脅威データベース9の一例を示す図である。
図6において、脅威データベース9は、脅威の識別子であるIDと、脅威と、その脅威が対象となる構成要素の種別である脅威対象とから構成されている。脅威の記述中、[ ]の内容は、アクセス元抽出部12により、分析対象システムに合わせて、アクセス可能なコンポーネントや通信路を特定することで、分析対象システム固有の脅威として抽出する。アクセス元抽出部12の処理については後述する。
FIG. 6 is a diagram illustrating an example of the
In FIG. 6, the
最後に、ステップS102において、脅威抽出部5は、上記の処理により脅威が抽出された後、脅威の分析結果を、分析対象情報記憶部4に記録し、脅威分析を終了する。
Finally, in step S102, the
図7は、実施の形態1における脅威抽出部5による脅威の分析結果の一例を示す図である。
図7のサーバXの脅威では、脅威データベース9の脅威の記述中、IDが1の脅威における[コンポーネント]の箇所がサーバYや端末Z等に置き換えられ、また、IDが2の脅威における[通信路]の箇所がサブシステム1内ネットワークに置き換えられて、分析対象システム固有の脅威として抽出される。なお、[ ]が無い盗聴の脅威は、そのまま記載される。
FIG. 7 is a diagram illustrating an example of a threat analysis result by the
In the threat of the server X in FIG. 7, during the description of the threat in the
次に、アクセス元抽出部12の処理について、図8〜図10を用いて説明する。
図8は、実施の形態1におけるアクセス元の抽出処理の流れを示すフローチャート(その1)である。
図9は、実施の形態1におけるアクセス元の抽出処理の流れを示すフローチャート(その2)である。
図10は、実施の形態1におけるアクセス元の抽出処理の流れを示すフローチャート(その3)である。
図8〜図10は、図5に示した構成リスト10において、種別がコンポーネントである1つの構成要素を対象として、そのアクセス元を抽出する処理である。アクセス元として抽出する対象は、前述したように、種別がコンポーネントと通信路の他の構成要素である。
Next, processing of the access
FIG. 8 is a flowchart (part 1) illustrating the flow of access source extraction processing according to the first embodiment.
FIG. 9 is a flowchart (part 2) illustrating the flow of access source extraction processing according to the first embodiment.
FIG. 10 is a flowchart (part 3) illustrating the flow of the access source extraction process according to the first embodiment.
8 to 10 are processes for extracting the access source for one component having the type of component in the
まず、ステップS200において、アクセス元抽出部12は、構成リスト10を参照して、対象の構成要素の接続先通信路をすべて探索リストに格納する。ここで、探索リストは、アクセス元抽出部12によりアクセス元を探索する対象となる接続先通信路を格納するリストである。例えば、図3に示す分析対象システムの構成リスト10である図5において、対象の構成要素をサーバXとした場合、探索リストには、サブシステム1内ネットワークが格納される。
First, in step S200, the access
次に、ステップS201において、アクセス元抽出部12は、探索リスト内の1つの通信路を探索通信路に設定する。図5のサーバXの場合、探索リストには、サブシステム1内ネットワークが格納されているので、サブシステム1内ネットワークが探索通信路に設定される。
Next, in step S201, the access
次に、ステップS202において、アクセス元抽出部12は、構成リスト10に記載されているすべての構成要素について探索するために、構成要素を1つ選択する。
Next, in step S <b> 202, the access
次に、ステップS203において、アクセス元抽出部12は、探索通信路が、選択された構成要素の接続先通信路に含まれているかを判定する。
Next, in step S203, the access
探索通信路が、選択された構成要素の接続先通信路に含まれていない場合、Noの分岐に進み、ステップS212において、すべての構成要素を探索したかどうかを判定する。 If the search communication path is not included in the connection destination communication path of the selected component, the process proceeds to No, and it is determined in step S212 whether all the components have been searched.
探索通信路が、選択された構成要素の接続先通信路に含まれている場合、Yesの分岐に進み、ステップS204において、選択された構成要素の種別が、コンポーネントであるか、通信路であるか、これら以外であるかを判定する。この判定では、図5に示す構成リスト10における種別は、コンポーネントもしくは通信路であるため、これら以外の種別と判定することはないが、例えば、バックアップを保存するための媒体という種別がある場合、コンポーネントと通信路以外と判定される。
When the search communication path is included in the connection destination communication path of the selected component, the process proceeds to a Yes branch. In step S204, the type of the selected component is a component or a communication path. Or other than these. In this determination, since the type in the
次に、S204の判定により選択された構成要素の種別がコンポーネントの場合、ステップS205において、アクセス元抽出部12は、選択された構成要素がアクセス元として抽出済であるかどうかを判定する。選択された構成要素がアクセス元としてまだ抽出済でない場合、Noの分岐に進み、ステップS206において、アクセス元抽出部12は、選択された構成要素は、対象の構成要素へアクセスできると判定して、選択された構成要素をアクセス元として特定する。
Next, when the type of the component selected by the determination in S204 is a component, in step S205, the access
次に、ステップS207において、透過判定部13が、アクセス元として抽出された構成要素を通信路として扱うか否かを、図5の構成リスト10の透過フラグを用いて判定する。
Next, in step S207, the
透過フラグが「0」の場合、ステップS212に進み、S204の処理にて種別がコンポーネントや通信路ではない場合や、S206の処理で抽出済の構成要素の場合と同様に、すべての構成要素を探索したかどうかを判定する。 If the transparency flag is “0”, the process proceeds to step S212, and all components are processed in the same manner as in the case where the type is not a component or communication path in the process of S204, or in the case of the component extracted in the process of S206. Determine if you have searched.
透過フラグが「1」の場合、ステップS208に進み、アクセス元として抽出された構成要素の接続先通信路が、探索リストにあるか否かを判定する。 If the transparency flag is “1”, the process advances to step S208 to determine whether the connection destination communication path of the component extracted as the access source is in the search list.
接続先通信路が探索リストにない場合、ステップS209に進み、アクセス元として抽出された構成要素の接続先通信路を探索リストに追加する。その後、ステップS212に進み、探索リストにある場合と同様に、すべての構成要素を探索したかどうかを判定する。 When the connection destination communication path is not in the search list, the process proceeds to step S209, and the connection destination communication path of the component extracted as the access source is added to the search list. Thereafter, the process proceeds to step S212, and it is determined whether or not all the constituent elements have been searched in the same manner as in the search list.
次に、S204の処理において選択された構成要素の種別が通信路の場合、ステップS210に進み、選択された構成要素の通信路が探索リストにあるかどうかを判定する。 Next, when the type of the component selected in the process of S204 is a communication channel, the process proceeds to step S210, and it is determined whether or not the communication channel of the selected component is in the search list.
選択された構成要素の通信路が探索リストにない場合、ステップS211に進み、選択された構成要素を探索リストに追加する。その後、ステップS212に進み、探索リストにある場合と同様に、すべての構成要素を探索したかどうかを判定する。 If the communication path of the selected component is not in the search list, the process proceeds to step S211 to add the selected component to the search list. Thereafter, the process proceeds to step S212, and it is determined whether or not all the constituent elements have been searched in the same manner as in the search list.
以上の処理を、図5のサーバXのアクセス元を抽出する場合について、具体的に説明する。 The above processing will be specifically described for the case where the access source of the server X in FIG. 5 is extracted.
まず、S202において構成要素を1つ選択する際、サーバXは同一の構成要素であるため、選択対象からはずす。次の構成要素であるサーバYは、その種別がコンポーネントであるため、ステップS205に進む。次に、S205において、サーバYはアクセス元として抽出されていないので、S206にてサーバYがアクセス元として特定される。次に、ステップS207において、サーバYの透過フラグは、図5の構成リスト10から「0」であるため、S212の処理に進む。
First, when selecting one component in S202, since the server X is the same component, it is removed from the selection target. The server Y, which is the next component, proceeds to step S205 because the type is a component. Next, since the server Y is not extracted as the access source in S205, the server Y is specified as the access source in S206. Next, in step S207, since the transparency flag of the server Y is “0” from the
次に、アクセス元抽出部12は、まだすべての構成要素を探索していないので、S202の処理において次の構成要素を選択する。次の構成要素は端末Zであり、アクセス元抽出部12は、ステップS203において、上述した処理を行ない、接続先通信路に探索通信路であるサブシステム1内ネットワークが含まれるため、端末Zがアクセス元として抽出される。
Next, since the access
次の構成要素であるサブシステム1内ネットワークは、探索通信路と同じであるため、S202では選択されない。また、サーバαは、ステップS203において、接続先通信路に探索通信路であるサブシステム1内ネットワークが含まれていないため、アクセス元として抽出されない。
The network within
アクセス元抽出部12は、上記のような処理を繰り返し、外部ネットワークがS202の処理で構成要素として選択された場合、外部ネットワークの接続先通信路には、探索通信路であるサブシステム1内ネットワークが含まれるので、S203の処理にてYesの分岐に進む。次に、S204にて、選択された構成要素である外部ネットワークの種別が通信路であるため、S210において、探索リストに外部ネットワークがあるかどうかを判定し、判定した結果、探索リストに外部ネットワークが無いので、S211において、探索リストに外部ネットワークが追加される。また、内部ネットワークも同様に探索リストに追加される。
The access
以上の処理において、1つの探索通信路について、すべての構成要素を探索したことになるため、S212の処理にてYesの処理に進む。 In the above processing, since all the constituent elements have been searched for one search communication path, the process proceeds to Yes in the processing of S212.
次に、ステップS212において、アクセス元抽出部12は、探索リストに格納されている通信路をすべて探索したかどうかを判定する。
Next, in step S212, the access
探索リストに格納されている通信路をすべて探索していない場合、アクセス元抽出部12は、ステップS201に進み、次の通信路を探索通信路に設定する。
When all the communication paths stored in the search list have not been searched, the access
探索リストに格納されている通信路をすべて探索した場合、アクセス元抽出部12は、ステップS214に進み、探索リストに格納されている通信路をアクセス元とする。
When all the communication paths stored in the search list have been searched, the access
以上の処理により、種別がコンポーネントである1つの構成要素に対し、アクセス元となるコンポーネントと通信路の抽出が完了する。 With the above processing, the extraction of components and communication paths as access sources is completed for one component whose type is a component.
また、図5のサーバXのアクセス元を抽出する場合、S213において、未探索の通信路として外部ネットワーク23と内部ネットワーク22が残っているため、アクセス元抽出部12は、S201から再度同様の処理を行なう。
Further, when the access source of the server X in FIG. 5 is extracted, since the
探索通信路が外部ネットワーク23の場合、外部ネットワーク23に接続されている構成要素はサブシステム3のみであるため、S206でサブシステム3(21)がアクセス元として抽出される。
When the search communication path is the
また、探索通信路が内部ネットワーク22の場合、内部ネットワーク22に接続されている構成要素は機器γであるため、S206で機器γがアクセス元として抽出される。
When the search communication path is the
次に、S207の判断処理において、機器γの透過フラグは「1」であるため、S208に進み、機器γの接続先通信路であるサブシステム2内ネットワーク25は探索リストに無いため、S211においてサブシステム2内ネットワーク25が探索リストに追加される。
Next, in the determination processing of S207, since the transmission flag of the device γ is “1”, the process proceeds to S208, and the
次に、S201において、探索通信路としてサブシステム2内ネットワーク25が設定され、サブシステム2内ネットワーク25を接続先通信路に含むサーバαと端末βがアクセス元として抽出される。
Next, in S201, the
上記のような処理を行なうことで、サーバXのアクセス元となるコンポーネントとして、サーバY、端末Z、サブシステム3(21)、機器γ、サーバα、端末βが抽出される。また、アクセス元となる通信路は、探索リストに格納されているサブシステム1内ネットワーク24、外部ネットワーク23、内部ネットワーク22、サブシステム2内ネットワーク25が抽出される。
By performing the processing as described above, the server Y, the terminal Z, the subsystem 3 (21), the device γ, the server α, and the terminal β are extracted as components that are access sources of the server X. In addition, as the access source communication path, the
なお、本実施の形態1では、分析対象システムの脅威を抽出することに焦点を当てた脅威分析装置1について示したが、脅威を抽出した後、各脅威の発生可能性や影響からリスクを導出するようにしてもよい。リスクを導出する手法は既存のもので可能である。
In the first embodiment, the
また、脅威の内容に、その脅威を引き起こす主体や脅威の対象となる情報などの保護資産を追加してもよい。 Further, a protected asset such as an entity causing the threat or information targeted by the threat may be added to the content of the threat.
さらに、本実施の形態1では、透過判定部13は、透過フラグを用いて判定したが、透過の有無を判別できればよいため、例えば、構成要素種別により透過の有無を区別するようにしてもよい。
Furthermore, in the first embodiment, the
また、本実施の形態1では、分析者が入力した構成リスト10を用いて処理しているが、システム構成図の入力が可能となるユーザインタフェースを用いてもよいし、あるいは特定の言語、例えばXMLで記載された構成リスト10の入力が可能となるインタフェースを用いてもよい。
In the first embodiment, processing is performed using the
以上のように、本実施の形態1の発明では、探索リストを用いて間接的に接続されている通信路を探索しているので、分析対象システムの構成要素が直接接続されている通信路から、すべてのアクセス元を効率的に抽出することができる。特に大規模な分析対象システムの場合、人手による作業で発生する恐れのあるミスをすることなく、効率的にアクセス元を抽出することができるという効果がある。 As described above, in the invention of the first embodiment, since a communication path that is indirectly connected is searched using a search list, a communication path in which components of the analysis target system are directly connected is used. , All access sources can be extracted efficiently. In particular, in the case of a large-scale analysis target system, there is an effect that an access source can be efficiently extracted without making a mistake that may occur due to manual work.
また、1つの通信路にコンポーネントのみが接続されている分析対象システムだけでなく、通信路と通信路が接続されている構成を含む分析対象システムにおいても、脅威を抽出できる。そのため、ファイアウォールなどのセキュリティ対策を含む分析対象システムでも、脅威を抽出できる。透過判定部13により、コンポーネントを通過した他のコンポーネントへのアクセスを判定できるため、ファイアウォールやスイッチなどのネットワーク機器や、計算機で実現したゲートウェイなどを含む様々の形態の分析対象システムに対しても、脅威を抽出できる。
Further, threats can be extracted not only in an analysis target system in which only components are connected to one communication path, but also in an analysis target system including a configuration in which a communication path and a communication path are connected. Therefore, threats can be extracted even in analysis target systems including security measures such as firewalls. Since the
また、構成要素が直接接続されている通信路からすべてのアクセス元を抽出することができるので、分析者は、間接的に接続されている通信路を考慮する必要がなく、構成リスト作成が容易となり、分析者のミスを削減することができる。 In addition, since all access sources can be extracted from the communication path to which the component is directly connected, the analyst does not need to consider the communication path that is indirectly connected, and it is easy to create a configuration list As a result, errors of the analyst can be reduced.
実施の形態2.
以上で説明した実施の形態1では、アクセス元抽出時に、透過フラグを用いて、種別がコンポーネントの構成要素を飛び越えたアクセス元を抽出する実施の形態を示したものであるが、次に、実施の形態2では、通信方向の制御を持つ構成要素を含む分析対象システムに対する脅威分析を行なう実施の形態を示す。
In the first embodiment described above, the access source whose type exceeds the component of the component is extracted using the transparent flag when the access source is extracted.
図11は、実施の形態2に係る脅威分析装置の一構成例を示す図である。
図11では、アクセス元抽出部12は、方向判定部26を備える。方向判定部26以外の構成は、実施の形態1の構成と同じであるので、説明を省略する。
FIG. 11 is a diagram illustrating a configuration example of the threat analysis apparatus according to the second embodiment.
In FIG. 11, the access
次に、実施の形態2に係る脅威分析装置1の動作について説明する。
本実施の形態2における脅威分析装置1を用いて脅威分析を行なう分析対象システムの構成は、図3と同じであるため、説明を省略する。ただし、機器γは、内部ネットワーク22からサブシステム2内ネットワーク25への通信を許可するが、サブシステム2内ネットワーク25から内部ネットワーク22への通信を許可しない設定になっているとする。
Next, the operation of the
The configuration of the analysis target system that performs threat analysis using the
次に、実施の形態2における脅威分析の処理の流れを説明する。
本実施の形態2における脅威分析装置1を用いた脅威分析の処理フローは、基本的には、図4と同じである。以下、実施の形態1と異なる点を中心に脅威分析の処理の流れを説明する。
Next, the threat analysis processing flow in the second embodiment will be described.
The threat analysis processing flow using the
図4のS100において、分析者は、構成リスト入力部7を用いて、分析対象システムを構成する構成要素やその種別などを入力する。
In S100 of FIG. 4, the analyst uses the configuration
図12は、実施の形態2における構成リストの一例を示す図である。
本実施の形態2では、構成リストは、構成要素名、コンポーネントや通信路などの構成要素種別、透過フラグ、各構成要素が直接接続している通信路を示す接続先通信路、接続先通信路に対して可能な通信方向を意味する方向フラグからなる。
FIG. 12 is a diagram illustrating an example of a configuration list according to the second embodiment.
In the second embodiment, the configuration list includes a component name, a component type such as a component and a communication channel, a transparency flag, a connection destination communication channel indicating a communication channel to which each component is directly connected, and a connection destination communication channel. It consists of a direction flag meaning a possible communication direction.
本実施の形態2における方向フラグは、透過フラグが「1」の構成要素に対して設定され、通信元となる接続先通信路において通信が許可される場合には「1」、許可されない場合には「0」としている。図12において、透過フラグが「1」である機器γの接続先通信路は、サブシステム2内ネットワーク25と内部ネットワーク22である。上述したように、機器γは、内部ネットワーク22からサブシステム2内ネットワーク25への通信を許可するが、サブシステム2内ネットワーク25から内部ネットワーク22への通信を許可しない設定になっているので、許可される通信の通信元である内部ネットワーク22の方向フラグが「1」、許可されない通信の通信元であるサブシステム2内ネットワーク25が「0」に設定されている。
The direction flag in the second embodiment is set to “1” when the transparent flag is set for the component of “1” and communication is permitted in the connection destination communication path as the communication source, and when not permitted. Is “0”. In FIG. 12, the connection destination communication path of the device γ whose transparency flag is “1” is the
次に、実施の形態2におけるアクセス元抽出部12の処理について、図13を用いて説明する。
図13は、実施の形態2におけるアクセス元の抽出処理の流れを示すフローチャートである。
図13では、図12に示した構成リストにおいて、種別がコンポーネントである1つの構成要素を対象として、そのアクセス元を抽出する処理の一部を示している。図13に記載されていない処理フローは、図8、図9の処理フローと同じである。つまり、図13の処理フローは、図8において、アクセス元抽出処理が開始され、ステップS201において探索リスト内の1つの通信路を探索通信路と設定し、ステップS202において選択された構成要素の接続先通信路に、探索通信路が含まれるかをステップS203で判定し、判定の結果、探索通信路が含まれている場合に分岐するBの処理である。
Next, the process of the access
FIG. 13 is a flowchart illustrating a flow of access source extraction processing according to the second embodiment.
FIG. 13 shows a part of the process of extracting the access source for one constituent element whose type is a component in the configuration list shown in FIG. The processing flow not described in FIG. 13 is the same as the processing flow in FIGS. That is, the processing flow of FIG. 13 starts the access source extraction process in FIG. 8, sets one communication path in the search list as a search communication path in step S201, and connects the components selected in step S202. In step S203, it is determined whether or not the search communication path is included in the previous communication path. If the result of determination is that the search communication path is included, the process B branches.
まず、S202により選択された構成要素の種別がコンポーネントの場合、ステップS305において、アクセス元抽出部12は、選択された構成要素がアクセス元として抽出済であるかどうかを判定する。選択された構成要素がアクセス元としてまだ抽出済でない場合、Noの分岐に進み、ステップS306において、アクセス元抽出部12は、選択された構成要素は、対象の構成要素へアクセスできると判定して、選択された構成要素をアクセス元として特定する。
First, when the type of the component selected in S202 is a component, in step S305, the access
次に、ステップS307において、透過判定部13が、アクセス元として抽出された構成要素を通信路として扱うか否かを、図12の構成リスト10の透過フラグを用いて判定する。
Next, in step S307, the
透過フラグが「0」の場合、ステップS212に進み、ステップS204の処理にて種別がコンポーネントや通信路ではない場合や、ステップS206の処理で抽出済の構成要素の場合と同様に、すべての構成要素を探索したかどうかを判定する。 If the transparency flag is “0”, the process proceeds to step S212, and all the components are the same as in the case where the type is not a component or communication path in the process of step S204, or in the case of the component extracted in the process of step S206. Determine if the element has been searched.
透過フラグが「1」の場合、ステップS308に進み、図12の構成リストにおいて、探索通信路以外の接続先通信路の方向フラグを用いて、方向判定部26が通信可能かどうかを判定する。 When the transparency flag is “1”, the process proceeds to step S308, and the direction determination unit 26 determines whether communication is possible using the direction flag of the connection destination communication path other than the search communication path in the configuration list of FIG.
方向フラグが「0」の場合、ステップS212に進み、S204の処理にて種別がコンポーネントや通信路ではない場合や、S206の処理で抽出済の構成要素の場合と同様に、すべての構成要素を探索したかどうかを判定する。 If the direction flag is “0”, the process proceeds to step S212, and all components are processed in the same manner as in the case where the type is not a component or a communication path in step S204, or in the case of components extracted in step S206. Determine if you have searched.
方向フラグが「1」の場合、ステップS309に進み、アクセス元として抽出された構成要素の接続先通信路が、探索リストにあるか否かを判定する。 If the direction flag is “1”, the process advances to step S309 to determine whether the connection destination communication path of the component extracted as the access source is in the search list.
接続先通信路が探索リストにない場合、ステップS310に進み、アクセス元として抽出された構成要素の接続先通信路を探索リストに追加する。その後、ステップS212に進み、探索リストにある場合と同様に、すべての構成要素を探索したかどうかを判定する。 When the connection destination communication path is not in the search list, the process proceeds to step S310, and the connection destination communication path of the component extracted as the access source is added to the search list. Thereafter, the process proceeds to step S212, and it is determined whether or not all the constituent elements have been searched in the same manner as in the search list.
以上の処理を、サーバXへのアクセス元を抽出する場合について、具体的に説明する。
例えば、ステップS306では、サーバXへのアクセス元を抽出する処理において、探索通信路が内部ネットワーク22である場合、内部ネットワーク22に接続されている構成要素として機器γがアクセス元として特定される。ここで、機器γは、内部ネットワーク22とサブシステム2内ネットワーク25に接続されている。
The above process will be specifically described for the case where the access source to the server X is extracted.
For example, in step S306, in the process of extracting the access source to the server X, if the search communication path is the
次に、ステップS307において、透過判定部13は、機器γの透過フラグが「1」であるので、機器γを通信路として扱うと判定し、ステップS308に進む。
Next, in step S307, the
次に、ステップS308において、方向判定部26は、内部ネットワーク22以外の接続先通信路であるサブシステム2内ネットワーク25の方向フラグが「0」であることから、通信不可と判断してステップS212に進み、S204の処理にて種別がコンポーネントや通信路ではない場合や、S206の処理で抽出済の構成要素の場合と同様に、すべての構成要素を探索したかどうかを判定する。
Next, in step S308, the direction determination unit 26 determines that communication is not possible because the direction flag of the
また、サーバαへのアクセス元を抽出する処理においては、探索通信路がサブシステム2内ネットワーク25である場合、ステップS306で、サブシステム2内ネットワーク25に接続されている構成要素として機器γがアクセス元として特定される。
In the process of extracting the access source to the server α, if the search communication path is the intra-subsystem 2
次に、ステップS307において、透過判定部13は、機器γの透過フラグが「1」であるので、機器γを通信路として扱うと判定し、ステップS308に進む。
Next, in step S307, the
次に、ステップS308において、方向判定部26は、サブシステム2内ネットワーク25以外の接続先通信路である内部ネットワーク22の方向フラグが「1」であることから、通信可能と判断し、ステップS309において、探索リストに内部ネットワーク22があるかを判定し、無い場合は、内部ネットワーク22を探索リストに追加する。
Next, in step S308, the direction determination unit 26 determines that communication is possible because the direction flag of the
上記のような処理を行なうことで、サーバXのアクセス元として、コンポーネントは、サーバY、端末Z、サブシステム3(21)、機器γが抽出され、通信路としては、サブシステム1内ネットワーク24、外部ネットワーク23、内部ネットワーク22が抽出される。また、サーバαのアクセス元として、コンポーネントは、端末β、機器γ、サーバX、サーバY、端末Z、サブシステム3(21)が抽出され、通信路としては、サブシステム2内ネットワーク25、内部ネットワーク22、サブシステム1内ネットワーク24、外部ネットワーク23が抽出される。
By performing the processing as described above, the server Y, the terminal Z, the subsystem 3 (21), and the device γ are extracted as the access source of the server X, and the
なお、本実施の形態2では、分析対象システムの脅威を抽出することに焦点を当てた脅威分析装置1について示したが、脅威を抽出した後、各脅威の発生可能性や影響からリスクを導出するようにしてもよい。リスクを導出する手法は既存のもので可能である。
In the second embodiment, the
また、脅威の内容に、その脅威を引き起こす主体や脅威の対象となる情報などの保護資産を追加してもよい。 Further, a protected asset such as an entity causing the threat or information targeted by the threat may be added to the content of the threat.
さらに、本実施の形態2では、透過判定部13は、透過フラグを用いて判定したが、透過の有無を判別できればよいため、例えば、構成要素種別により透過の有無を区別するようにしてもよい。
Furthermore, in the second embodiment, the
また、本実施の形態2では、透過フラグが「1」の構成要素に対して方向フラグを設定しているが、種別がコンポーネントである構成要素の接続先通信路すべてに対して方向フラグを設定するようにしてもよい。 In the second embodiment, the direction flag is set for the component whose transparency flag is “1”, but the direction flag is set for all the connection destination communication paths of the component whose type is the component. You may make it do.
また、本実施の形態2では、分析者が入力した構成リスト10を用いて処理しているが、システム構成図の入力が可能となるユーザインタフェースを用いてもよいし、あるいは特定の言語、例えばXMLで記載された構成リスト10の入力が可能となるインタフェースを用いてもよい。
In the second embodiment, processing is performed using the
以上のように、本実施の形態2の発明によれば、実施の形態1で述べた効果に加えて、アクセス可能な通信を方向判定部26にて判定しているため、ファイアウォールやデータダイオードなどによる可能な通信を反映した実施形態で、脅威を抽出することができるという効果が得られる。そのため、未対策の脅威のみ抽出され、セキュリティ対策により対策済の脅威は抽出されないので、効率的に脅威分析を実施することができる。 As described above, according to the invention of the second embodiment, in addition to the effects described in the first embodiment, accessible communication is determined by the direction determination unit 26, so that a firewall, a data diode, etc. In the embodiment reflecting the possible communication according to the above, an effect that a threat can be extracted is obtained. Therefore, only threats that have not been countermeasures are extracted, and threats that have been countermeasures by security countermeasures are not extracted, so that threat analysis can be performed efficiently.
実施の形態3.
以上で説明した実施の形態2では、2方向の通信に関する実施の形態を示したものであるが、次に、実施の形態3では、DMZ(demilitarized zone)が設けられているファイアウォールのような3方向の通信制御を持つ構成要素を含む分析対象システムに対する脅威分析を行なう実施の形態を示す。
In the second embodiment described above, an embodiment related to two-way communication is shown. Next, in the third embodiment, a
図14は、実施の形態3に係る脅威分析装置の一構成例を示す図である。
図14では、アクセス元抽出部12は、第二の方向判定部27を備える。第二の方向判定部27以外の構成は、実施の形態1の構成と同じであるので、説明を省略する。
FIG. 14 is a diagram illustrating a configuration example of the threat analysis apparatus according to the third embodiment.
In FIG. 14, the access
次に、本実施の形態3に係る脅威分析装置1の動作について説明する。
図15は、実施の形態3における脅威分析装置1を用いて脅威分析を行なう分析対象システムの一構成例を示す図である。
Next, the operation of the
FIG. 15 is a diagram illustrating a configuration example of an analysis target system that performs threat analysis using the
図15において、分析対象システムは、サブシステム1(19)と、外部ネットワークを介して接続されているサブシステム2(20)から構成されている。サブシステム1(19)は、内部にサーバX、サーバY、端末Z、機器Wを含む。サーバYと端末Zは、内部ネットワーク1(28)を介して機器Wに接続され、サーバXは、内部ネットワーク2(29)を介して機器Wと接続されている。機器Wが内部ネットワーク3(30)と外部ネットワーク(23)を介してサブシステム2(20)と接続されている。機器Wは、ファイアウォールのような通信機器を想定しており、内部ネットワーク1(28)から内部ネットワーク2(29)、内部ネットワーク3(30)の通信は許可、内部ネットワーク2(29)から内部ネットワーク1(28)と内部ネットワーク3(30)への通信は不許可、内部ネットワーク3から(30)内部ネットワーク1(28)への通信は不許可、内部ネットワーク2(29)への通信は許可されている設定になっているとする。
In FIG. 15, the analysis target system includes a subsystem 1 (19) and a subsystem 2 (20) connected via an external network. The subsystem 1 (19) includes a server X, a server Y, a terminal Z, and a device W inside. The server Y and the terminal Z are connected to the device W via the internal network 1 (28), and the server X is connected to the device W via the internal network 2 (29). The device W is connected to the subsystem 2 (20) via the internal network 3 (30) and the external network (23). The device W is assumed to be a communication device such as a firewall, communication from the internal network 1 (28) to the internal network 2 (29) and the internal network 3 (30) is permitted, and the internal network 2 (29) to the internal network. 1 (28) and communication to internal network 3 (30) are not permitted, communication from
次に、実施の形態3における脅威分析の処理の流れを説明する。
本実施の形態3における脅威分析装置1を用いた脅威分析の処理フローは、基本的には、図4と同じである。以下、実施の形態1と異なる点を中心に脅威分析の処理の流れを説明する。
Next, the threat analysis process flow in the third embodiment will be described.
The threat analysis processing flow using the
図4のS100において、分析者は、構成リスト入力部7を用いて、構成リストと特性表を入力する。
In S100 of FIG. 4, the analyst uses the configuration
図16は、実施の形態3における構成リストの一例を示す図である。
図17は、実施の形態3における特性表の一例を示す図である。
本実施の形態3の構成リストは、構成要素名、コンポーネントや通信路などの構成要素種別、透過フラグ、各構成要素が直接接続している通信路を示す接続先通信路であり、各項目は、実施の形態1と同じである。図17の特性表は、透過フラグが「1」の構成要素における接続先通信路に対して可能な通信方向を意味している。本実施の形態3における特性表は、接続先通信路における通信元から通信先への通信が許可される場合には「1」、許可されない場合には「0」としている。図15において、透過フラグが「1」である機器Wの接続先通信路は、内部ネットワーク1、内部ネットワーク2、内部ネットワーク3である。上述のような設定の機器Wの特性表は、図17のようになる。
FIG. 16 is a diagram illustrating an example of a configuration list according to the third embodiment.
FIG. 17 is a diagram illustrating an example of a characteristic table according to the third embodiment.
The configuration list of the third embodiment includes a component name, a component type such as a component and a communication channel, a transparency flag, and a connection destination communication channel indicating a communication channel to which each component is directly connected. The same as in the first embodiment. The characteristic table of FIG. 17 means possible communication directions for the connection destination communication path in the component whose transparency flag is “1”. The characteristic table in the third embodiment is “1” when communication from the communication source to the communication destination in the connection destination communication path is permitted, and “0” when the communication is not permitted. In FIG. 15, the connection destination communication path of the device W whose transparency flag is “1” is the
次に、実施の形態3におけるアクセス元抽出部12の処理について、図18を用いて説明する。
図18は、実施の形態3におけるアクセス元の抽出処理の流れを示すフローチャートである。
図18では、図16に示した構成リストにおいて、種別がコンポーネントである1つの構成要素を対象として、そのアクセス元を抽出する処理の一部を示している。図18に記載されていない処理フローは、図8、図9の処理フローと同じである。つまり、図18の処理フローは、図8において、アクセス元抽出処理が開始され、ステップS201において探索リスト内の1つの通信路を探索通信路と設定し、ステップS202において選択された構成要素の接続先通信路に、探索通信路が含まれるかをステップS203で判定し、判定の結果、探索通信路が含まれている場合に分岐するBの処理である。
Next, the process of the access
FIG. 18 is a flowchart showing the flow of access source extraction processing in the third embodiment.
FIG. 18 shows a part of the process of extracting the access source for one constituent element whose type is a component in the configuration list shown in FIG. The processing flow not described in FIG. 18 is the same as the processing flow in FIGS. That is, the processing flow of FIG. 18 starts the access source extraction process in FIG. 8, sets one communication path in the search list as a search communication path in step S201, and connects the components selected in step S202. In step S203, it is determined whether or not the search communication path is included in the previous communication path. If the result of determination is that the search communication path is included, the process B branches.
まず、ステップS404において、アクセス元抽出部12は、S202により選択された構成要素の種別を判定する。種別がコンポーネントの場合、ステップS405において、アクセス元抽出部12は、選択された構成要素がアクセス元として抽出済であるかどうかを判定する。選択された構成要素がアクセス元としてまだ抽出済でない場合、Noの分岐に進み、ステップS406において、アクセス元抽出部12は、選択された構成要素は、対象の構成要素へアクセスできると判定して、選択された構成要素をアクセス元として特定する。
First, in step S404, the access
次に、ステップS407において、透過判定部13が、アクセス元として抽出された構成要素を通信路として扱うか否かを、図16の構成リスト10の透過フラグを用いて判定する。
Next, in step S407, the
透過フラグが「0」の場合、ステップS212に進み、S204の処理にて種別がコンポーネントや通信路ではない場合や、S206の処理で抽出済の構成要素の場合と同様に、すべての構成要素を探索したかどうかを判定する。 If the transparency flag is “0”, the process proceeds to step S212, and all components are processed in the same manner as in the case where the type is not a component or communication path in the process of S204, or in the case of the component extracted in the process of S206. Determine if you have searched.
透過フラグが「1」の場合、ステップS408に進み、図17の特性表において、第二の方向判定部27が、探索通信路を通信先として「1」である通信元が特性表にあるか否か、つまり、探索通信路以外の接続先通信路に通信可能かどうかを判定する。 When the transparency flag is “1”, the process proceeds to step S408, and in the characteristic table of FIG. 17, the second direction determination unit 27 has a communication source that is “1” with the search communication path as the communication destination in the characteristic table. No, that is, whether or not communication with a connection destination communication path other than the search communication path is possible.
探索通信路を通信先として「1」である通信元が特性表にある場合、Yesの分岐によりステップS212に進み、ステップS204の処理にて種別がコンポーネントや通信路ではない場合や、ステップS206の処理で抽出済の構成要素の場合と同様に、すべての構成要素を探索したかどうかを判定する。 If the communication source with the search communication path as the communication destination is “1” in the characteristic table, the process proceeds to step S212 due to the branch of Yes. If the type is not a component or communication path in the process of step S204, As in the case of the components already extracted in the process, it is determined whether all the components have been searched.
探索通信路を通信先として「1」である通信元が特性表にない場合、Noの分岐に進み、ステップS409において、アクセス元抽出部12は、その接続先通信路が、探索リストにあるか否かを判定する。
If the communication source with the search communication path as the communication destination is “1” in the characteristic table, the process proceeds to No branch. In step S409, the access
接続先通信路が探索リストにない場合、ステップS410に進み、アクセス元として抽出された構成要素の接続先通信路を探索リストに追加する。その後、ステップS212に進み、探索リストにある場合と同様に、すべての構成要素を探索したかどうかを判定する。 If the connection destination communication path is not in the search list, the process proceeds to step S410, and the connection destination communication path of the component extracted as the access source is added to the search list. Thereafter, the process proceeds to step S212, and it is determined whether or not all the constituent elements have been searched in the same manner as in the search list.
以上の処理を、サーバXへのアクセス元を抽出する場合について、具体的に説明する。
例えば、ステップS406では、サーバXへのアクセス元を抽出する処理において、探索通信路が内部ネットワーク2である場合、内部ネットワーク2に接続されている構成要素として機器Wが選択され、機器Wがアクセス元として特定される。
The above process will be specifically described for the case where the access source to the server X is extracted.
For example, in step S406, when the search communication path is the
次に、ステップS407において、透過判定部13は、機器Wの透過フラグが「1」であるので、機器Wを通信路として扱うと判定し、ステップS408に進む。
Next, in step S407, since the transmission flag of the device W is “1”, the
次に、ステップS408にて、図17の特性表において、通信先が内部ネットワーク2で「1」の通信路は内部ネットワーク1と内部ネットワーク3である。そのため、ステップS409において、アクセス元抽出部12は、これらの通信路が探索リストにあるかを判定して、無い場合にはNoの分岐に進み、ステップS410において、探索リストに追加する。
Next, in step S408, in the characteristic table of FIG. 17, the communication paths whose communication destination is the
また、サーバYへのアクセス元を抽出する処理においては、探索通信路が内部ネットワーク1である場合、内部ネットワーク1に接続されている構成要素として機器Wが選択され、ステップS406で、機器Wがアクセス元として特定される。機器Wは、透過フラグが「1」のため、ステップS407の判断によりステップS408に進む。
In the process of extracting the access source to the server Y, if the search communication path is the
次に、ステップS408において、アクセス元抽出部12は、図17の特性表を参照し、通信先が内部ネットワーク1で「1」の通信路が特性表にあるか否かを判定する。ここで、図17の特性表では、通信先が内部ネットワーク1で「1」の通信路は存在しない。そのため、探索リストには追加されず、Yesの分岐によりステップS212に進み、S204の処理にて種別がコンポーネントや通信路ではない場合や、S206の処理で抽出済の構成要素の場合と同様に、すべての構成要素を探索したかどうかを判定する。
Next, in step S408, the access
上記のような処理を行なうことで、サーバXのアクセス元として、コンポーネントは、サーバY、端末Z、サブシステム2(20)、機器Wが抽出され、通信路として、内部ネットワーク1(28)、内部ネットワーク2(29)、内部ネットワーク3(30)、外部ネットワーク23が抽出される。また、サーバYのアクセス元として、端末Z、機器Wが抽出され、通信路として内部ネットワーク1(28)のみが抽出される。
By performing the processing as described above, the server Y, the terminal Z, the subsystem 2 (20), and the device W are extracted as the access source of the server X, and the internal network 1 (28), The internal network 2 (29), the internal network 3 (30), and the
なお、本実施の形態3では、分析対象システムの脅威を抽出することに焦点を当てた脅威分析装置1について示したが、脅威を抽出した後、各脅威の発生可能性や影響からリスクを導出するようにしてもよい。リスクを導出する手法は既存のもので可能である。
In the third embodiment, the
また、脅威の内容に、その脅威を引き起こす主体や脅威の対象となる情報などの保護資産を追加してもよい。 Further, a protected asset such as an entity causing the threat or information targeted by the threat may be added to the content of the threat.
さらに、本実施の形態3では、透過判定部13は、透過フラグを用いて判定したが、透過の有無を判別できればよいため、例えば、構成要素種別により透過の有無を区別するようにしてもよい。
Furthermore, in the third embodiment, the
また、本実施の形態3では、分析者が入力した構成リスト10を用いて処理しているが、システム構成図の入力が可能となるユーザインタフェースを用いてもよいし、あるいは特定の言語、例えばXMLで記載された構成リスト10の入力が可能となるインタフェースを用いてもよい。
In the third embodiment, processing is performed using the
以上のように、本実施の形態3の発明によれば、実施の形態1で述べた効果に加えて、アクセス可能な通信を第二の方向判定部27により判定しているため、DMZ(demilitarized zone)が設けられているファイアウォールのような3方向の通信制御を持つ構成要素を含む分析対象システムに対する脅威分析を実施することができるという効果がある。そのため、未対策の脅威のみ抽出され、セキュリティ対策により対策済の脅威は抽出されないので、効率的に脅威分析を実施することができる。 As described above, according to the invention of the third embodiment, in addition to the effects described in the first embodiment, accessible communication is determined by the second direction determination unit 27, so that DMZ (demilitized) There is an effect that threat analysis can be performed on an analysis target system including a component having communication control in three directions such as a firewall provided with a zone). Therefore, only threats that have not been countermeasures are extracted, and threats that have been countermeasures by security countermeasures are not extracted, so that threat analysis can be performed efficiently.
1 脅威分析装置、2 入出力部、3 共通情報記憶部、4 分析対象情報記憶部、5 脅威抽出部、6 制御部、7 構成リスト入力部、8 脅威選択部、9 脅威データベース、10 構成リスト、11 分析結果、12 アクセス元抽出部、13 透過判定部、14 演算装置、15 外部記憶装置、16 主記憶装置、17 通信装置、18 入出力装置、19 サブシステム1、20 サブシステム2、21 サブシステム3、22 内部ネットワーク、23 外部ネットワーク、24 サブシステム1内ネットワーク、25 サブシステム2内ネットワーク、26 方向判定部、27 第二の方向判定部、28 内部ネットワーク1、29 内部ネットワーク2、30 内部ネットワーク3。
DESCRIPTION OF
Claims (5)
前記分析対象システムで想定される脅威と前記構成リストとに基づいて、前記構成リストの前記構成要素に対して前記接続先通信路によりアクセス可能な構成要素をアクセス元として抽出するアクセス元抽出部と
を備え、
前記アクセス元抽出部は、
通信路ではない構成要素を通信路として扱うか否かを判定する透過判定部を備え、
前記透過判定部が通信路として扱うと判定した構成要素を透過してアクセス可能な前記アクセス元を抽出する脅威分析装置。 And configuration elements of the analyzed system of threat analysis, the a-specific seed components, analyte information storage that the component stores configuration list associating the destination channel indicating a communication path connecting And
An access source extraction unit that extracts, as an access source, a component that can be accessed by the connection destination communication path with respect to the component of the configuration list based on a threat assumed in the analysis target system and the configuration list; With
The access source extraction unit
A transmission determining unit that determines whether or not a component that is not a communication path is handled as a communication path,
A threat analysis apparatus that extracts an access source that is accessible through a component that the transmission determination unit determines to handle as a communication path .
前記透過判定部が通信路として扱うと判定した前記構成要素が通信可能な方向を判定する方向判定部を備え、
前記方向判定部が判定した通信可能な方向の通信によりアクセス可能な前記アクセス元を抽出する請求項1記載の脅威分析装置。 The access source extraction unit
A direction determining unit that determines a direction in which the component that the transmission determining unit determines to handle as a communication path can communicate;
The direction determining unit threat analyzer according to claim 1 for extracting accessible the access source by communicable way communication was determined.
前記接続先通信路における通信元から通信先への通信が許可されるか否かを判定する第二の方向判定部を備え、
前記第二の方向判定部が判定した通信可能な方向の通信によりアクセス可能な前記アクセス元を抽出する請求項1記載の脅威分析装置。 The access source extraction unit
A second direction determination unit that determines whether communication from the communication source to the communication destination in the connection destination communication path is permitted;
It said second direction determining unit threat analyzer according to claim 1 for extracting accessible the access source by communicable way communication was determined.
前記分析対象システムで想定される脅威と前記構成リストとに基づいて、前記構成リストの前記構成要素に対して前記接続先通信路によりアクセス可能な構成要素をアクセス元として抽出するアクセス元抽出ステップと
を有し、
前記アクセス元抽出ステップは、
通信路ではない構成要素を通信路として扱うか否かを判定する透過判定ステップを有し、
通信路として扱うと判定された構成要素を透過してアクセス可能な前記アクセス元を抽出する脅威分析方法。 And configuration elements of the analyzed system of threat analysis, the a-specific seed components, analyte information storage that the component stores configuration list associating the destination channel indicating a communication path connecting Steps,
Based on the threat the configuration list that is assumed in the previous SL analyte system, access source extracting accessible component by the destination channel as an access source to the components of the configuration list And
The access source extraction step includes:
A transmission determination step for determining whether to treat a component that is not a communication path as a communication path;
A threat analysis method for extracting the access source accessible through a component determined to be handled as a communication path .
脅威分析の分析対象システムで想定される脅威を前記分析対象システムの構成要素の種別と対応付けて格納する脅威格納手段、
前記分析対象システムの前記構成要素と、前記構成要素の前記種別と、前記構成要素が接続している通信路を示す接続先通信路とを対応付けた構成リストを記憶する分析対象情報記憶手段、
前記脅威と前記構成リストとに基づいて、前記構成リストの前記構成要素に対して前記接続先通信路によりアクセス可能な構成要素をアクセス元として抽出するアクセス元抽出手段
として機能させ、
前記アクセス元抽出手段は、
通信路ではない構成要素を通信路として扱うか否かを判定する透過判定手段を有し、
前記透過判定手段が通信路として扱うと判定した構成要素を透過してアクセス可能な前記アクセス元を抽出するための脅威分析プログラム。 Computer
Threat storage means for storing a threat assumed in an analysis target system of threat analysis in association with a type of a component of the analysis target system;
Analysis target information storage means for storing a configuration list in which the component of the analysis target system, the type of the component, and a connection destination communication path indicating a communication path to which the component is connected are stored;
Based on the threat and the configuration list, function as an access source extraction unit that extracts, as an access source, a component that can be accessed by the connection destination communication path with respect to the component of the configuration list ;
The access source extraction means includes
Having a transmission determining means for determining whether to treat a component that is not a communication path as a communication path;
It said transmission determining means because the threat analysis program to extract treated as transmitted through the determined components accessible the access source as the communication path.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015243810A JP6384465B2 (en) | 2015-12-15 | 2015-12-15 | Threat analysis device, threat analysis method, and threat analysis program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015243810A JP6384465B2 (en) | 2015-12-15 | 2015-12-15 | Threat analysis device, threat analysis method, and threat analysis program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017111525A JP2017111525A (en) | 2017-06-22 |
JP6384465B2 true JP6384465B2 (en) | 2018-09-05 |
Family
ID=59081347
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015243810A Active JP6384465B2 (en) | 2015-12-15 | 2015-12-15 | Threat analysis device, threat analysis method, and threat analysis program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6384465B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002094509A (en) * | 2000-09-19 | 2002-03-29 | Toshiba Corp | Diagnosis/monitor policy generator, security diagnosis/ monitor system, method and recording medium |
US20060265324A1 (en) * | 2005-05-18 | 2006-11-23 | Alcatel | Security risk analysis systems and methods |
JP2008257577A (en) * | 2007-04-06 | 2008-10-23 | Lac Co Ltd | Security diagnostic system, method and program |
JP5413010B2 (en) * | 2009-07-17 | 2014-02-12 | 日本電気株式会社 | Analysis apparatus, analysis method, and program |
JP2015130153A (en) * | 2013-12-06 | 2015-07-16 | 三菱電機株式会社 | Risk analyzer, risk analysis method and risk analysis program |
-
2015
- 2015-12-15 JP JP2015243810A patent/JP6384465B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017111525A (en) | 2017-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10515212B1 (en) | Tracking sensitive data in a distributed computing environment | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
RU2637477C1 (en) | System and method for detecting phishing web pages | |
US20210385251A1 (en) | System and methods for integrating datasets and automating transformation workflows using a distributed computational graph | |
US9485268B2 (en) | System, method and apparatus to visually configure an analysis of a program | |
EP3547121B1 (en) | Combining device, combining method and combining program | |
US11431751B2 (en) | Live forensic browsing of URLs | |
US11647032B2 (en) | Apparatus and method for classifying attack groups | |
JP2021507360A (en) | How to de-identify data, systems to de-identify data, and computer programs to identify non-data | |
CN111563015B (en) | Data monitoring method and device, computer readable medium and terminal equipment | |
US9026612B2 (en) | Generating a custom parameter rule based on a comparison of a run-time value to a request URL | |
CN111563257A (en) | Data detection method and device, computer readable medium and terminal equipment | |
US9398041B2 (en) | Identifying stored vulnerabilities in a web service | |
CN115766258B (en) | Multi-stage attack trend prediction method, equipment and storage medium based on causal relationship graph | |
KR102195823B1 (en) | System on vulnerability and management of IT devices | |
JP6384465B2 (en) | Threat analysis device, threat analysis method, and threat analysis program | |
CN109040089B (en) | Network policy auditing method, equipment and computer readable storage medium | |
Gregorio et al. | Forensic analysis of Telegram messenger desktop on macOS | |
CN109791563B (en) | Information collection system, information collection method, and recording medium | |
WO2016147219A1 (en) | Text visualization system, text visualization method, and recording medium | |
CN110851367B (en) | AST-based method and device for evaluating source code leakage risk and electronic equipment | |
JP2015204061A (en) | System security design assist device, system security design assist method, and system security design assist program | |
KR101862178B1 (en) | Method for customized posting and server implementing the same | |
WO2020065778A1 (en) | Information processing device, control method, and program | |
US20170286554A1 (en) | Detecting relevant facets by leveraging diagram identification, social media and statistical analysis software |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170921 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180419 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180508 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180628 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180710 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180723 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6384465 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |