JP6407184B2 - 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム - Google Patents

攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム Download PDF

Info

Publication number
JP6407184B2
JP6407184B2 JP2016050471A JP2016050471A JP6407184B2 JP 6407184 B2 JP6407184 B2 JP 6407184B2 JP 2016050471 A JP2016050471 A JP 2016050471A JP 2016050471 A JP2016050471 A JP 2016050471A JP 6407184 B2 JP6407184 B2 JP 6407184B2
Authority
JP
Japan
Prior art keywords
attack
detection
countermeasure
information
organization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016050471A
Other languages
English (en)
Other versions
JP2017167695A (ja
Inventor
裕之 榊原
裕之 榊原
滋男 森
滋男 森
貢士 福田
貢士 福田
田中 学
学 田中
亮二 伊串
亮二 伊串
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Mitsubishi Electric Information Systems Corp
Original Assignee
Mitsubishi Electric Corp
Mitsubishi Electric Information Systems Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Mitsubishi Electric Information Systems Corp filed Critical Mitsubishi Electric Corp
Priority to JP2016050471A priority Critical patent/JP6407184B2/ja
Publication of JP2017167695A publication Critical patent/JP2017167695A/ja
Application granted granted Critical
Publication of JP6407184B2 publication Critical patent/JP6407184B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、組織の情報システムに対するサイバー攻撃対策における不足や補強を判定する攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラムに関する。
近年、マルウェアが機密情報を組織外に漏洩させる事故が問題となっている。マルウェアを用いたサイバー攻撃は高度化されつつあり、具体例として、非特許文献1に示されるAPT(高度かつ継続的な脅威:Advanced・Persistent・Threat)と呼ばれる攻撃等がある。
APTでは、添付メールなどで組織に侵入したマルウェアが、計算機に感染し、さらに、攻撃者が運用するインターネット上のC&C(Command&Control)サーバと通信し、新しいマルウェアや攻撃ツールをダウンロードしたり自身をアップデートする。そして、マルウェアはC&Cサーバから命令を受信して、組織内を偵察し、ファイルサーバを見つけ、機密ファイルをC&Cサーバへ通信で漏洩する。これらの各活動を、攻撃とみなした場合、各攻撃は、長時間かけて段階的に行われる。具体例として、計算機に感染したマルウェアは、感染後、1ヶ月は活動せず身を潜め、1ヵ月後にC&Cサーバと通信を開始する。
APT対策の既存技術として、不審なHTTP(Hypertext・Transfer・Protocol)通信を検知する技術、パターンファイルによるウィルス検知技術など様々なものがある。この様なAPT対策の例として非特許文献1がある。
また、サイバー攻撃対策を行うにあたり、対策する攻撃手段は多数あり、情報システムを安全に守るためには、網羅的な攻撃手段の情報に対して、どの攻撃手段を対策すべきか調べた上で、攻撃を検知・対策するセキュリティ施策を行う必要がある。網羅的な攻撃手段の情報の例として非特許文献2がある。この文献に示される攻撃手段のリストには、攻撃手段の概要、攻撃方法、影響、検知や対策の方法が示されている。
また、サイバー攻撃について、どの様な攻撃が発生したかを情報共有するためのフォーマットとして、非特許文献3がある。
また、特許文献1には、セキュリティ監視サービスにおいて、サービス利用者が契約しているセキュリティサービスメニューや対策を変更することにより、現在起きている攻撃手段を回避可能か表示する機能が開示されている。
特開2015−026182号公報
「新しいタイプの攻撃」の対策に向けた設計・運用ガイド改訂第2版、IPA、2011年11月、https://www.ipa.go.jp/files/000017308.pdf 攻撃手段のリストの例、CAPEC:Common Attack Pattern Enumeration and Classification,https://capec.mitre.org/ 攻撃手段のリストの例、STIX:Structured Threat Information eXpression,https://stix.mitre.org/
サイバー攻撃は様々な攻撃手段を用いて行われるため、情報システムにおけるサイバー攻撃対策を確実に行うためには、CAPEC(Common・Attack・Pattern・Enumeration・and・Classification:共通攻撃パターン一覧)などで示される網羅的な攻撃手段のリストを参照し、1つ1つの攻撃手段についてどの様な検知・対策を行うか検討する必要がある。
ここで、検知と対策について説明する。
検知は攻撃手段を見つけることである。具体例として、攻撃パケットをIDS(Intrusion・Detection・System)で検知することが該当する。
対策は、実施することでその攻撃手段が実行されても被害を受けない施策である。具体例として、ソフトウェアの脆弱性修正パッチを適用することで、その脆弱性への攻撃が発生しても影響を受けないような、パッチ適用が該当する。
また、マルウェアについては、アンチマルウェアソフトで検知して駆除する場合がある。この施策は検知と対策の両方を含んだものである。
以後、検知、対策という文言は、上記の様な意味で使用するものとする。
また、検知・対策の導入に伴う費用や運用負荷の増加などの理由で、全ての攻撃手段について検知・対策を行うことができない場合があり、優先的に対策する攻撃手段を抽出する必要がある。
さらに、ある攻撃手段について、その攻撃手段を検知する機能があるセキュリティ製品や検知技術を検知・対策として適用したとしても、その方法によっては、検知漏れが発生する場合がある。具体例として、プログラムの不審な振る舞いを検知することでウィルスなどの不正プログラムを検知する製品があったとしても、不正プログラムが正常なプログラムに似た振る舞いの範囲で不正な活動をすれば検知漏れすることがある。また、誤検知が多い製品の場合は、一定時間内に同じ検知アラートが閾値回数以上発生した場合にのみ、攻撃を検知したと判断する運用があり、この条件を満たさない攻撃は検知漏れすることになる。従って、攻撃手段について、検知・対策を実施していても、検知漏れする場合があるため、検知を強化する必要がある。
しかし、従来は、攻撃手段に対し実施済の検知・対策について、他の検知・対策による強化をすべきか、強化する場合はどの様に実施したらよいかを示す技術が無かった。
特許文献1では、現在発生している攻撃手段について、契約している検知・対策サービスメニューを、予め用意された別の検知・対策サービスメニューの中から適切なものに変更することで、対応することが示されている。しかし、用意している検知・対策サービスメニューについて、検知漏れや誤検知を考慮したうえでこれらを強化する方式については示されていない。
本発明は、検知手段の検知漏れや誤検知を考慮した検知精度に基づいて、攻撃手段に対する組織の対策をより的確に判定することができる攻撃対策判定システムを提供することを目的とする。
本発明に係る攻撃対策判定システムは、
サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成部と、
前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定部と
を備えた。
本発明に係る攻撃対策判定システムでは、検知情報生成部が、攻撃手段に対する検知手段の検知精度を含む攻撃検知情報を生成し、対策状況判定部が、攻撃検知情報と、組織において攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、検知精度と組織対策情報とに基づいて、組織における対策の効果の程度を表す効果度を判定する。このように、本発明に係る攻撃対策判定システムによれば、検知精度に基づいて攻撃手段に対する組織の対策を判定することができ、より的確に組織の対策を判定することができるという効果を奏する。
実施の形態1に係る対策状況生成装置1、攻撃事例判定装置2、対策候補抽出装置3の関係を示す図。 実施の形態1に係る対策状況生成装置1の構成図。 実施の形態1に係る攻撃対策判定方法510及び攻撃対策判定プログラム520の攻撃対策判定処理S100のフロー図。 実施の形態1に係る攻撃情報生成処理S110の入出力の構成図。 実施の形態1に係る攻撃情報生成処理S110のフロー図。 実施の形態1に係る検知情報生成処理S120の入出力の構成図。 実施の形態1に係る検知対策手段情報12の例を示す図。 実施の形態1に係る検知対策手段情報12の別例を示す図。 実施の形態1に係るキーワード変換表の例を示す図。 実施の形態1に係る検知情報生成処理S120のフロー図。 実施の形態1に係る検知情報生成処理S120で用いる判定表1201を示す図。 実施の形態1に係る危険度判定処理S130の入出力の構成図。 実施の形態1に係る攻撃事例情報13の一例を示す図。 実施の形態1に係る重みづけ情報14の一例を示す図。 実施の形態1に係る危険度判定処理S130のフロー図。 実施の形態1に係る攻撃対策状況判定処理S140の入出力の構成図。 実施の形態1に係る組織対策情報15の一例を示す図。 実施の形態1に係る攻撃対策状況判定処理S140のフロー図。 実施の形態1の変形例に係る対策状況生成装置1の構成図。 実施の形態2に係る攻撃事例判定装置2の構成及び入出力を示す図。 実施の形態2に係る攻撃事例判定部201による攻撃事例判定処理S200のフロー図。 実施の形態3に係る対策候補抽出装置3の構成及び入出力を示す図。 実施の形態3に係る対策候補抽出装置3の構成及び入出力の別例を示す図。 実施の形態3に係る対策候補抽出処理S300のフロー図。 実施の形態4に係る対策候補抽出装置3の構成及び入出力を示す図。 実施の形態10に係る組織対策情報15aの構成図。
実施の形態1.
***構成の説明***
図1を用いて、本実施の形態に係る対策状況生成装置1、攻撃事例判定装置2、対策候補抽出装置3の関係について説明する。
対策状況生成装置1は、攻撃情報11に対して、検知対策手段情報12、組織対策情報15、攻撃事例情報13、及び重みづけ情報14を用いて、対策状況情報16を出力する。攻撃情報11は、攻撃手段に関する情報である。検知対策手段情報12は、検知漏れ、誤検知可能性の情報を含む検知・対策の情報である。組織対策情報15は、対策状況生成装置1により攻撃への対策状況を調査する対象の組織における実施済の対策情報である。攻撃事例情報13は、サイバー攻撃の事例情報である。重みづけ情報14は、危険度を判定するための情報である。対策状況情報16は、攻撃情報11に含まれる攻撃手段に対する組織の対策状況に対する評価判定を含む情報である。
攻撃事例判定装置2は、対策状況情報16を用いて、ある攻撃事例情報13aに対して対策できているかを判定し、攻撃事例対応情報17を出力する。
対策候補抽出装置3は、攻撃事例対応情報17において、誤検知あり、あるいは回避可能として判定された攻撃手段について対策を強化するための情報である強化対策情報18を出力する。
図2を用いて、本実施の形態に係る対策状況生成装置1の構成について説明する。
本実施の形態において、対策状況生成装置1は、コンピュータである。対策状況生成装置1は、プロセッサ910、記憶装置920、入力インタフェース930、出力インタフェース940といったハードウェアを備える。
また、対策状況生成装置1は、機能構成として、攻撃情報生成部101と、検知情報生成部102と、危険度判定部103と、対策状況判定部104と、対策状況出力部105、記憶部150とを備える。以下の説明では、対策状況生成装置1における攻撃情報生成部101と、検知情報生成部102と、危険度判定部103と、対策状況判定部104と、対策状況出力部105との機能を、対策状況生成装置1の「部」の機能という。対策状況生成装置1の「部」の機能は、ソフトウェアで実現される。
また、記憶部150は、記憶装置920で実現される。記憶部150には、攻撃手段情報111と、攻撃検知情報121と、攻撃検知危険度情報131とが記憶される。対策状況出力部105により出力される対策状況情報16が記憶されていてもよい。
プロセッサ910は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
プロセッサ910は、プロセッシングを行うIC(Integrated・Circuit)である。プロセッサ910は、具体的には、CPU(Central・Processing・Unit)である。
記憶装置920は、補助記憶装置921及びメモリ922を含む。補助記憶装置921は、具体的には、ROM(Read・Only・Memory)、フラッシュメモリ、又は、HDD(Hard・Disk・Drive)である。メモリ922は、具体的には、RAM(Random・Access・Memory)である。記憶部150は、メモリ922により実現される。なお、記憶部150は、補助記憶装置921により実現されていてもよいし、補助記憶装置921とメモリ922の両方により実現されてもよい。
入力インタフェース930は、マウス、キーボード、タッチパネルといった入力装置と接続されるポートである。入力インタフェース930は、攻撃情報11、検知対策手段情報12、攻撃事例情報13、重みづけ情報14、組織対策情報15を対策状況生成装置1に取り込む。入力インタフェース930は、具体的には、USB(Universal・Serial・Bus)端子、RS−232Cといったシリアルインタフェースである。なお、入力インタフェース930は、LAN(Local・Area・Network)と接続されるポートであってもよい。
出力インタフェース940は、ディスプレイといった表示機器のケーブルが接続されるポートである。出力インタフェース940は、具体例として、USB端子、HDMI(登録商標)(High・Definition・Multimedia・Interface)端子、RS−232Cといったシリアルインタフェースである。ディスプレイは、具体的には、LCD(Liquid・Crystal・Display)である。
補助記憶装置921には、「部」の機能を実現するプログラムが記憶されている。このプログラムは、メモリ922にロードされ、プロセッサ910に読み込まれ、プロセッサ910によって実行される。補助記憶装置921には、OS(Operating・System)も記憶されている。OSの少なくとも一部がメモリ922にロードされ、プロセッサ910はOSを実行しながら、「部」の機能を実現するプログラムを実行する。
対策状況生成装置1は、1つのプロセッサ910のみを備えていてもよいし、複数のプロセッサ910を備えていてもよい。複数のプロセッサ910が「部」の機能を実現するプログラムを連携して実行してもよい。
「部」の機能による処理の結果を示す情報、データ、信号値、及び、変数値は、補助記憶装置921、メモリ922、又は、プロセッサ910内のレジスタ又はキャッシュメモリに記憶される。なお、図2において、「部」の各部と記憶部150とを結ぶ矢印は、各部による処理の結果を記憶部150に記憶する、あるいは、記憶部150から情報を各部が読み出すことを表している。また、各部同士を結ぶ矢印は、制御の流れを表している。なお、情報が各部同士でメモリ922を介して授受されることを表すメモリ922と各部間の矢印については省略する。
「部」の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital・Versatile・Disc)といった可搬記録媒体に記憶されてもよい。
なお、「部」の機能を実現するプログラムを攻撃対策判定プログラム520ともいう。攻撃対策判定プログラムは、「部」として説明している機能を実現するプログラムである。また、攻撃対策判定プログラムプロダクトと称されるものは、攻撃対策判定プログラムが記録された記憶媒体及び記憶装置であり、見た目の形式に関わらず、コンピュータ読み取り可能なプログラムをロードしているものである。
***動作の説明***
図3は、本実施の形態に係る攻撃対策判定方法510及び攻撃対策判定プログラム520の攻撃対策判定処理S100のフロー図である。
図3に示すように、攻撃対策判定処理S100は、攻撃情報生成処理S110と、検知情報生成処理S120と、危険度判定処理S130と、対策状況判定処理S140と、対策状況出力処理S150とを有する。
<攻撃情報生成処理S110>
図4を用いて、本実施の形態に係る攻撃情報生成処理S110の入出力の構成について説明する。
攻撃情報生成部101は、サイバー攻撃の攻撃手段を表現したCAPECなどの複数の攻撃情報11を入力とし、攻撃手段情報111を出力する。攻撃情報11は、攻撃手段ID、攻撃名称、説明文、重大度、検知・対策、影響を受けるソフトウェア名の情報などで構成される。本実施の形態では、攻撃情報生成部101は、1つの攻撃情報11から、攻撃手段ID、攻撃名称、説明文を抽出して、攻撃手段情報111において1行の情報として記録する。1行の情報をエントリともいう。この処理を全ての攻撃情報11について行う。この結果、攻撃情報生成部101は図4に示す攻撃手段情報111を出力する。図4では、攻撃手段情報111を表として表現している。なお、少なくとも攻撃手段ID或いは攻撃名称のいずれかからサイバー攻撃の攻撃手段21が特定されるものとする。説明文は単に説明ともいう。
次に、図5を用いて、本実施の形態に係る攻撃情報生成処理S110の流れについて説明する。
ステップS111において、攻撃情報生成部101は、aという変数に攻撃情報11の数、すなわち幾つの攻撃情報11が存在するかを設定する。さらに、攻撃情報生成部101は、攻撃情報11から、攻撃情報iを選択する。ここで、iは1から攻撃情報11の数までの自然数をとる。
ステップS112において、攻撃情報生成部101は、i>aである場合は、処理を終わる。i>aで無い場合は、ステップS113へ進む。
ステップS113において、攻撃情報生成部101は、攻撃情報iから、攻撃手段ID、攻撃名称、説明を抽出して、攻撃手段情報111に1行の情報として加える。
ステップS114において、攻撃情報生成部101は、iをインクリメントする。
以上で、攻撃情報生成処理S110についての説明を終わる。
<検知情報生成処理S120>
図6を用いて、本実施の形態に係る検知情報生成処理S120の入出力の構成について説明する。
検知情報生成部102は、サイバー攻撃の攻撃手段21と、攻撃手段21を検知する検知手段22と、攻撃手段21に対する検知手段22の検知精度23とを含む攻撃検知情報121を生成する。
具体的には、検知情報生成部102は、攻撃手段21を含む攻撃手段情報111と、検知・対策の技術・製品に関する検知対策手段情報12とを入力し、攻撃検知情報121を出力する。ここで、検知・対策の技術・製品を攻撃手段21に対して検知・対策する検知手段22とする。検知手段22は、検知・対策、あるいは検知・対策手段ともいう。攻撃検知情報121は、攻撃手段情報111における、攻撃手段IDで識別される攻撃手段21について、検知手段22の情報をマッピングしたものである。また、攻撃検知情報121には、検知手段22が攻撃手段21に対し、どの程度有効であるかを示す検知精度23が設定される。攻撃検知情報121は、攻撃手段・検知対策手段情報ともいう。
具体例として、検知対策手段情報12は、IDS/FW(FireWall)/メールフィルタなどの検知・対策の技術や製品の情報と、プロキシログを分析/FWログを分析などのログ分析の情報との検知手段22から構成される。この場合、検知精度23とは、どの検知・対策の技術や製品/ログ分析が、攻撃手段21への対策として有効かを、○:検知可能、×:検知不可能、△:誤検知の可能性あり、□:検知漏れの可能性あり、◇:検知可能・検知不可能・誤検知ありという表現で表したものである。すなわち、検知精度23は、検知手段22が攻撃手段21を検知できない第1検知精度(×:検知不可能)と、検知手段22による攻撃手段21の検知漏れの場合がある第2検知精度(□:検知漏れの可能性あり)と、検知手段22が攻撃手段21を誤検知する場合がある第3検知精度(△:誤検知の可能性あり)と、検知手段22が攻撃手段21を誤検知せず、かつ、検知手段22による攻撃手段21の検知漏れがない第4検知精度(○:検知可能)と、検知手段22が攻撃手段21を検知できる場合と、検知手段22が攻撃手段21を検知できない場合と、検知手段22が攻撃手段21を誤検知する場合とがある第5検知精度(◇:検知可能・検知不可能・誤検知あり)とを有する。なお、検知精度23は、第1検知精度(×:検知不可能)と、第2検知精度(□:検知漏れの可能性あり)と、第3検知精度(△:誤検知の可能性あり)と、第4検知精度(○:検知可能)と、第5検知精度(◇:検知可能・検知不可能・誤検知あり)との少なくともいずれかを有していてもよい。
ここで、「検知手段22が、攻撃手段21を誤検知する」とは、検知手段22が攻撃手段21以外の正常な通信/処理、攻撃手段21以外の攻撃を誤って攻撃手段21として検知してしまうことを意味する。
図7は、本実施の形態に係る検知対策手段情報12の例を示す図である。図7では、検知対策手段情報12にセキュリティ製品が示される例を示している。また、図7では、検知対策手段情報12を表として表現する。以下に、表のカラムの意味を説明する。
「CM_ID」は、1つの検知・対策情報を区別するためのIDである。
「製品カテゴリ」は、FW、振る舞い検知などの、セキュリティ製品のカテゴリを示す。ここで、製品カテゴリには、ハードウェア、ソフトウェア、システムなどの製品のカテゴリ、無償で公開されているハードウェア、ソフトウェア、システムなどのカテゴリ、セキュリティ技術のカテゴリなどが含まれる。
「検知可能」は、当製品で検知できる攻撃手段を示す。
「検知不可能」は、当製品で検知できない攻撃手段を示す。
「誤検知」は、当製品で誤って検知する処理や通信を示す。
具体例として、図7の検知対策手段情報12の1行目を用いて説明する。
「CM_ID」がCM_ID_1のセキュリティ製品である。
「製品カテゴリ」は次世代FWであり、「製品カテゴリ」を示す名称“次世代FW”と、この「製品カテゴリ」を示すキーワードとして、[NGFW](Next・Generation・Fire・Wall)が設定される。当製品は、レピュテーション機能と、大量のHTTP通信量が発生した場合に不審なHTTP通信として検知する製品である。ここで、レピュテーション機能とは、様々なWebサイトについて悪性か否かを判定した情報を蓄積したデータベースを用いて、HTTP通信しているWebサイトが不正か否か判断し、不正であると判断した場合は、不審なHTTP通信が行われていると検知する機能である。
「検知可能」は、“不審なHTTP通信”であり、当製品に備わっているレピュテーション機能や大量のHTTP通信の検知機能により不審なHTTP通信として検知可能、という意味である。“不審なHTTP通信”を示すキーワードとして[URL,Suspicious,HTTP]が設定される。
「検知不可能」は、“改ざんされた正規サイトとのHTTP通信”である。レピュテーション機能は、改ざんされた正規サイトについて、改ざんされてすぐの場合は、データベースに「改ざんされており悪性のWebサイトである」という情報が反映されない場合があり、その場合このWebサイトとの通信を不審として検知しない。“改ざんされた正規サイトとのHTTP通信”を示すキーワードとして[URL,legitimate,HTTP]が設定される。
「誤検知」は、“正規の大量のHTTP通信”である。正規Webサイトとの通信が、偶然に大量に発生した場合に、不審な通信として誤検知する。“正規の大量のHTTP通信”を示すキーワードとして[URL,Legitimate,HTTP]が設定される。
なお、2行目のCM_ID_2は振る舞い検知(AP:Appliance)、3行目のCM_ID_3はIDS(シグネチャ型)についての例である。なお、CM_ID_3の誤検知の様に該当する事項が無い場合は無と記述している。
また、キーワードについては、後で使い方を詳しく説明する。
以上のように、図7の検知対策手段情報12では、セキュリティ製品の種類ごとに、検知可能、検知不可能、誤検知可能性の情報を格納する。
図8は、本実施の形態に係る検知対策手段情報12の別例を示す図である。図8では、検知対策手段情報12に、ログ分析が示される例を示している。以下に図8の表のカラムの意味を説明する。
「CM_ID」は、1つの検知・対策を区別するためのIDである。
「ログ種類」は、攻撃手段を検知するために分析するログの種類を示す。
「検知可能」は、当ログ分析で検知できる攻撃手段を示す。
「検知不可能」は、当ログ分析で検知できない攻撃手段を示す。
「誤検知」は、当ログ分析で誤って検知する処理や通信を示す。
具体例として、図8の検知対策手段情報12の1行目を用いて説明する。
「CM_ID」がCM_ID_11のログ分析である。
「ログ種類」はプロキシログであり、「ログ種類」を示す名称“プロキシログ”と、この「製品カテゴリ」を示すキーワードとして、[PROXY]が設定される。
当ログ分析は、1つのWebサイトと1つの端末が、単位時間あたりに通信する回数が閾値以上である場合にであって定期的(Periodic)に通信している場合に攻撃(不審な通信)として検知する。
「検知可能」は、“定期的なC&C通信”であり、1つのWebサイト(C&Cサーバ)と1つの端末が、単位時間あたりに通信する回数が閾値以上である場合、C&Cサーバと通信していると検知する。“定期的なC&C通信”を示すキーワードとして[HTTP,Periodic]が設定される。
「検知不可能」は、“不定期なC&C通信”である。具体例として、1つのWebサイト(C&Cサーバ)と1つの端末がランダムな間隔で通信した場合、1つのWebサイトと1つの端末が、単位時間あたりに通信する回数が閾値以上にならないことがあり、この場合は検知できない。“不定期なC&C通信”を示すキーワードとして[HTTP,unperiodic]が設定される。
「誤検知」は、“正規のHTTP通信”である。1つの正規Webサイトと1つの端末が、単位時間あたりに通信する回数が閾値以上であった場合に誤検知する。“正規のHTTP通信”を示すキーワードとして[HTTP,unintentional,periodic]が設定される。
なお、2行目のCM_ID_12はOSなどの監査ログで認証エラーなどのイベントが記録されるものであり、3行目のCM_ID_13はFW(Fire・Wall)で、ポリシー違反の通信などが記録される例である。
以上のように、図8の検知対策手段情報12では、分析するログと分析内容ごとに、検知可能、検知不可能、誤検知可能性の情報を格納する。
上記のようなキーワードは、予め、攻撃情報11、攻撃事例情報13において共通に現れる文言を使用する。攻撃情報11、攻撃事例情報13について、公開情報を利用する場合、これらの間で、攻撃手段を表現する文言や、検知手段(製品カテゴリ、ログ種類などの検知・対策)を示す文言は同じになる可能性が高いので、まず、これらに共通の文言を抽出する。次に、検知対策手段情報12を生成する際に、抽出した文言をキーワードとして設定することで、攻撃情報11、検知対策手段情報12、攻撃事例情報13において攻撃手段、検知手段(検知・対策)を表す文言を共有できる。
検知対策手段情報12は、製品カテゴリ、技術カテゴリから、上記のような手法を用いて、対策状況生成装置1の外で予め作成される。なお、検知対策手段情報12は、製品カテゴリ、技術カテゴリから、上記のような手法を用いて予め手動で作成されてもよい。
図9は、本実施の形態に係るキーワード変換表の例を示す図である。
もし、攻撃情報11、攻撃事例情報13、検知対策手段情報12において、攻撃手段を表現する文言、検知手段(製品カテゴリ、ログ種類などの検知・対策)を共通化できない場合は、これらの文言間でキーワード変換表を作成し、対策状況生成装置1に保存する。
図9のキーワード変換表の例では、No1の行において、検知対策手段情報12における“Virus”というキーワードは、攻撃情報11における「説明文」内の該当する文言である“Malware”と同一とみなす。攻撃情報11は複数の攻撃情報11を含むが、これらの「説明文」においては一般的に用語が統一されているため、この様な1つの変換を定義すればよい。同様にNo2において、検知対策手段情報12おける“Web”は、攻撃事例情報13における「説明文」では“URL”、又は、“Web site”と変換される。No3では、“Malicious”は“Suspicious”に変換される。No4では、“HTTP”は同一の“HTTP”に変換される。No5では、攻撃情報11における「説明文」内の該当する文言には存在する“HTTPS”は、検知対策手段情報12では該当するキーワードは無いため斜線で表している。
同じようなキーワード変換表を、攻撃情報11と攻撃事例情報13間、検知対策手段情報12と攻撃事例情報13間で作成しても良い。
この様なキーワード変換表の作成は、対策状況生成装置1の外で行う。
次に、図10を用いて、本実施の形態に係る検知情報生成処理S120の流れについて説明する。
まず、以下に、検知情報生成処理S120の概要について説明する。
検知情報生成部102は、サイバー攻撃の攻撃手段21と、攻撃手段21を検知する検知手段22と、攻撃手段21に対する検知手段22の検知精度23とを含む攻撃検知情報121を生成する。検知情報生成部102は、攻撃手段21を説明する説明文を含む攻撃手段情報111と、検知手段22が検知する攻撃手段21を検知精度23に応じて取得するためのキーワードを含む検知対策手段情報12とを取得する。そして、検知情報生成部102は、キーワードを用いて攻撃手段情報111に含まれる説明文を検索し、検知手段22が検知する攻撃手段21を検知精度23に応じて検出する。そして、検知情報生成部102は、検知精度23に応じて検出した攻撃手段21の情報を用いて攻撃検知情報121を生成する。
以下に、図10を用いて検知情報生成処理S120について詳しく説明する。
検知情報生成部102は、入力された攻撃手段情報111の1つの行を抽出する。抽出した行に対応する攻撃手段IDを攻撃手段ID_jで示す。ここで、jは1から攻撃手段IDの数(すなわち攻撃手段情報111の行の数)までの自然数をとる。検知対策手段情報12は、CM_ID_iで構成されるとする。ここで、iは1から検知対策手段情報12の行の数までの自然数をとる。ここで、検知対策手段情報12の行の数をnとする。
ステップS121において、検知情報生成部102は、変数に、初期値を設定する。検知情報生成部102は、i=1、detect_flag=False、undetect_flag=False、falsedetect_flag=Falseを設定する。
ステップS122において、検知情報生成部102は、攻撃手段ID_jに該当する、攻撃手段情報111のエントリにおける「説明文」を抽出する。具体例として、「説明文」が「A malware maliciously accesses data files on an infected computer, then leaks
them to a C&C server by HTTP. URLs of the C&C server could be suspicious.」という記述であったとする。
ステップS123において、検知情報生成部102は、i>nか否かを判定する。「はい」の場合、処理を終了する。「いいえ」の場合、ステップS124に進む。
ステップS124において、検知情報生成部102は、検知対策手段情報12から、CM_ID_iのエントリを取り出す。
ステップS125において、検知情報生成部102は、CM_ID_iのエントリにおける「検知可能」のキーワードが、攻撃手段ID_jに該当する「説明文」に含まれるか検索する。「説明文」=「A malware maliciously accesses data files on an infected computer, then leaks them to a C&C server by HTTP. URLs of the C&C server could be suspicious.」である。図7のCM_ID_1が現在参照しているCM_ID_i(i=1)であったとすると、「検知可能」のキーワードは、“URL”、“suspicious”、“HTTP”であり、これらは、「説明文」に含まれる。
また、検知対策手段情報12のキーワードと、攻撃情報11の「説明文」における文言を共通にできない場合は、キーワード変換表を用いる。この場合、CM_ID_iのエントリにおける「検知可能」のキーワードについて、キーワード変換表を用いて文言を変換して、変換した文言が、「説明文」に含まれるか検索する。
また、キーワード変換表を用いない場合は、「検知可能」のキーワードと「説明文」に含まれる文言間の類似度を、既存の技術を使用して調べ、類似している場合に、「検知可能」のキーワードが含まれると判定することで、「検知可能」のキーワードが含まれるかの検索処理としても良い。ここで、文言間の類似度を調べる既存の技術とは、文字列の類似度、長さなどから同じ意味を持つキーワードを特定してマッピングする技術である。具体例としては、レーベンシュタイン距離を利用する技術がある。
ステップS126において、検知情報生成部102は、ステップS125における検索結果が、「含まれる」の場合は、ステップS127に進み、「含まれる」でない場合は、ステップS128に進む。
ステップS127において、検知情報生成部102は、攻撃手段ID_jで識別される攻撃手段について、CM_ID_iで検知可能と判定し、detect_flag=Trueに設定する。
ステップS128において、検知情報生成部102は、CM_ID_iのエントリにおける「検知不可能」を参照する。
ステップS129において、検知情報生成部102は、「検知不可能」が空の場合、ステップS1211に進む。ステップS129において、検知情報生成部102は、「検知不可能」が空ではない場合、「検知不可能」となることがあるので、ステップS1210において、undetect_flag=Trueに設定する。
なお、図7において、「検知不可能」にもキーワードが設定されているが、本実施の形態では、このキーワードが「説明文」に有るかを調べずに、フラグをTrueに設定している。これは、「検知不可能」がある、と製品カテゴリやログ分析の機能の制限が図7で示されているためである。一方、ステップS125における「検知可能」については、攻撃手段に対し、検知対策手段情報12に列挙された検知対策の手段が該当するかは必ず調べなくてはならないため、キーワードによる検索は必須となる。つまり、「検知可能」のキーワードが「説明文」に含まれるかを調べて、検知対策の手段が攻撃手段への検知・対策として該当するか判断する。その後、場合によって検知不可能であったり(誤検知であったり)の制限があるかを調べる。
ステップS1211において、検知情報生成部102は、CM_ID_iのエントリにおける「誤検知」を参照する。
ステップS1212において、検知情報生成部102は、「誤検知」が空の場合、ステップS1214に進む。ステップS1212において、検知情報生成部102は、「誤検知」が空ではない場合、「誤検知」となることがあるので、ステップS1213において、検知情報生成部102は、falsedetect_flag=Trueに設定する。
なお、図7において、「誤検知」にもキーワードが設定されているが、本実施の形態では、このキーワードが「説明文」に有るかを調べずに、フラグをTrueに設定している。これは、「誤検知」がある、と製品カテゴリやログ分析の機能の制限が図7で示されているためである。
図11は、本実施の形態に係る検知情報生成処理S120で用いる判定表1201を示す図である。
ステップS1214において、検知情報生成部102は、図11の判定表1201を参照し、detect_flag、undetect_flag、falsedetect_flagの値から、CM_ID_iで識別される検知・対策の効果において、○、△、□、◇、×を判定する。これらの記号は以下の意味である。
○:検知可能
×:検知不可能
△:誤検知の可能性あり
□:検知漏れの可能性あり
◇:検知可能・検知不可能・誤検知あり
検知漏れについては、CM_ID_iで識別される検知・対策を用いた場合、この攻撃手段を検知可能であるが、その検知・対策の方法の機能や性能の制限により検知・対策を回避されてしまい、検知漏れが生じる可能性があることを示す。
ステップS1215において、検知情報生成部102は、攻撃手段ID_jに対して、CM_ID_iによる対策の可否について、ステップS1214で取得した判定結果を割り当てる。この結果、図6における、攻撃検知情報121における、1つの攻撃手段IDに対する1つの検知・対策手段情報について、対応の可否が割り当てられる。具体的には、攻撃手段ID_jがAdd_0001、CM_ID_iが製品カテゴリ=IDSであれば、攻撃手段IDがAdd_0001の行における、列がIDSの検知手段情報162のマスにおいて、ステップS1214の判定結果が割り当てられる。図6においては×が割り当てられている。
ステップS1216において、検知情報生成部102は、iをインクリメントし、S123に戻る。
検知対策手段情報12が、図8のようなログ分析であった場合も、図10と同じ処理を行うことで、図6の検知手段情報162のログ分析の列の様に検知・対策の効果について、○、△、□、◇、×の判定結果を設定できる。
図4に示す攻撃手段情報111について、全ての攻撃手段IDごとに、図7、図8に示すような1つ以上の検知対策手段情報12の対策の可否を、図10に従い判定することで図6の攻撃検知情報121の様な情報を作成できる。図6における攻撃検知情報121は、攻撃手段情報111に対し、図10による検知対策手段情報12の対策可否の判定を対応づけ表として表現したものである。すなわち、攻撃検知情報121は、サイバー攻撃の攻撃手段21と、攻撃手段を検知する検知手段22と、攻撃手段21に対する検知手段22の検知精度23とを含む情報である。攻撃検知情報121において、攻撃手段情報111は攻撃手段情報161として、検知対策手段情報12は検知手段情報162として表現される。
また、図6には図示していないが、攻撃検知情報121における検知手段情報162の要素(IDSやFWなど)には、該当するCM_ID_iが紐づけられている。
<危険度判定処理S130>
図12を用いて、本実施の形態に係る危険度判定処理S130の入出力の構成について説明する。
危険度判定部103は、攻撃検知情報121と、攻撃事例情報13と、重みづけ情報14とを入力とし、攻撃検知危険度情報131を出力する。危険度判定部103は、検知手段22の検知精度23に基づいて、攻撃手段21の危険度163を判定する。また、危険度判定部103は、検知手段22の検知精度23と、攻撃手段21が実施されるサイバー攻撃における攻撃フェーズとに基づいて、危険度163を判定する。
図12において、攻撃事例情報13は、サイバー攻撃の事例を表現したデータであり、どの様な攻撃手段がどの様な順番で、すなわち、どの攻撃フェーズで活動したかを示した情報である。
図13は、本実施の形態に係る攻撃事例情報13の一例を示す図である。
サイバー攻撃は複数の攻撃フェーズで行われるが、一般的には、攻撃相手を調査してメールアドレスを入手するなどの“事前調査”フェーズ、マルウェアを添付したメールなどで侵入する“侵入”フェーズ、攻撃者がマルウェアと通信しながら攻撃を送受信して活動を行う“バックドア通信”フェーズ、侵入した組織内にどの様なサーバが存在するかを調べる“内部偵察”フェーズ、情報漏えいを行う“情報漏えい”フェーズで構成される。この様な複数の攻撃フェーズ31で構成された一連の流れをキルチェーンという。また、各々の攻撃フェーズを実現するために、各攻撃フェーズにおいて1つ以上の攻撃手段を用いて攻撃が行われる。攻撃事例情報13は、エントリを識別するNoと、キルチェーンにおける攻撃フェーズと、各攻撃フェーズで実施される攻撃手段の攻撃手段ID及び攻撃名称で構成される。
具体的には、図13において、“事前調査”フェーズでは、攻撃手段ID=405・攻撃名称=Social Information Gathering via Researchで識別される攻撃が行われる。“侵入”フェーズでは、攻撃手段ID=163・攻撃名称=Spear Phishing、攻撃手段ID=542・攻撃名称=Targeted Malwareで攻撃される。この場合、Spear Phisingは狙った相手に絞ったメール送付などの詐欺行為を意味し、Targeted Malwareは標的に特化したマルウェアを用いることを意味する。つまり、標的に特化したマルウェアを、標的のみに添付メール(詐欺メール)で送付したり、Webアクセス(詐欺で誘導)により標的のみにダウンロードさせることを意味する。
図13における以降の攻撃フェーズについては、同様の情報構成なので説明を省略する。
図12において、重みづけ情報14は、危険度判定を行うための情報である。
図14は、本実施の形態に係る重みづけ情報14の一例を示す図である。
上述したように、危険度判定部103は、検知手段22の検知精度23と、攻撃手段21が実施されるサイバー攻撃における攻撃フェーズとに基づいて、危険度163を判定する。本実施の形態における重みづけ情報14は、攻撃手段21がどの攻撃フェーズで使用されるかにより、重みを定義したものである。図14は、事前調査に用いられる攻撃手段の場合、事前調査自体は未だ攻撃が始まってないため、重みは5と低いが、情報漏えいは最も被害が大きくなるため100と高くなっており、攻撃フェーズが進むにつれて重みが大きくなる例である。図14における重みの値の設定は一例であり、侵入やバックドア通信などの攻撃フェーズの初期から中期について重みを大きくしてもよい。各々のエントリには通し番号がNoとして付与される。
次に、図15を用いて、本実施の形態に係る危険度判定処理S130の流れについて説明する。
ステップS131において、危険度判定部103は、攻撃検知情報121の攻撃手段情報161における攻撃手段IDを1つ選択し攻撃手段ID_iとする。ここで、iは1から攻撃手段情報161における攻撃手段IDの数までの自然数をとる。
ステップS132において、危険度判定部103は、攻撃事例情報13におけるNoをjとして参照するため、j=1とする。ここで、jは1からnまでの自然数をとる。nは、攻撃事例情報13におけるNoの最大値とする。
ステップS133において、危険度判定部103は、j>nか調べる。j>nであれば、処理を終わる。j>nでなければ、ステップS134に進む。
ステップS134において、危険度判定部103は、攻撃事例情報13からNo=jに該当するエントリを取り出す。
ステップS135において、危険度判定部103は、攻撃事例情報13のNo=jのエントリにおける攻撃手段ID、すなわち攻撃手段ID_jを取り出す。
ステップS136において、危険度判定部103は、攻撃手段ID_iと攻撃手段ID_jとが同じか調べる。同じであれば、ステップS137に進み、同じでなければ、ステップS1313に進む。
ステップS137において、危険度判定部103は、重みづけ情報14におけるNoをkとして参照するためk=1とする。ここで、kは1からmまでの自然数をとる。mは、重みづけ情報14におけるNoの最大値とする。
ステップS138において、危険度判定部103は、k>mか調べる。k>mであれば、ステップS1313に進み、k>mでなければ、ステップS139に進む。
ステップS139において、危険度判定部103は、攻撃事例情報13のNo=jのエントリにおける「攻撃フェーズ」が、重みづけ情報14のNo=kのエントリにおける「攻撃手段が用いられるキルチェーンの攻撃フェーズ」と同じかを調べる。ステップS1310において、危険度判定部103は、同じであればS1311に進み、同じでなければS1314に進む。
ステップS1311において、危険度判定部103は、重みづけ情報14のNo=kのエントリにおける「重み」を取得する。
ステップS1312において、危険度判定部103は、攻撃手段ID_iの危険度を、取得した「重み」に設定し、ステップS1313に進む。
ステップS1313において、危険度判定部103は、jをインクリメントし、ステップS133へ進む。
ステップS1314において、危険度判定部103は、kをインクリメントし、ステップS138へ進む。
以上のように、ステップS1312において、攻撃手段ID_iに危険度163が付与される。攻撃手段情報161の攻撃手段ID全てについて、図15の危険度判定処理S130を行うことで、攻撃手段情報161に危険度163を付与する。この結果、図12に示す攻撃検知危険度情報131が生成される。
<攻撃対策状況判定処理S140>
図16を用いて、本実施の形態に係る攻撃対策状況判定処理S140の入出力の構成について説明する。
図16に示すように、対策状況判定部104は、危険度判定部103により生成された攻撃検知危険度情報131と組織対策情報15とを入力とし、攻撃手段に対する組織の対策の効果度を含む対策状況情報16を出力する。
図17は、本実施の形態に係る組織対策情報15の一例を示す図である。
組織対策情報15では、各エントリ(各行)を識別するIDとしてCMA_IDが付与され、各エントリにおける検知手段のIDに該当する情報を「対応するCM_ID」とする。さらに、各エントリに対して「運用上の制限」の情報が付与される。「運用上の制限」は、「閾値抑制(回数)」と、「閾値抑制(重大度)」と、「ホワイトリスト」とにより構成される。「閾値抑制(回数)」は、同じ検知が閾値回数以上発生した場合に検知として通報する運用を示す。「閾値抑制(重大度)」は、一定の重大度以上の検知のみを通報する運用を示す。「ホワイトリスト」は、検知が発生してもホワイトリストに記載されたプログラムの処理であれば通報しない運用を示す。或いは、「ホワイトリスト」は、ホワイトリストに記載された端末からの通信は検知しても通報しないなどの運用でもよい。組織対策情報15において、組織において対応する運用を適用している場合は「適用」、組織において対応する運用を適用していない場合は「未適用」が設定される。
次に、図18を用いて、本実施の形態に係る攻撃対策状況判定処理S140の流れについて説明する。攻撃検知危険度情報131を、表で表現された情報として処理を説明する。
ステップS141において、対策状況判定部104は、攻撃検知危険度情報131において、検知手段情報162と同様の表を危険度163の列の隣に追加する。対策状況判定部104は、追加した表において、検知手段22以外の内容、すなわち検知精度23の欄をクリアにすると共に、検知精度23の情報はメモリに一時記憶しておく。ここで、メモリに記憶する検知精度23の情報には、攻撃手段21と検知手段22とが紐付られているものとする。この追加した表を組織対策状況情報164とする。図16に示すように、組織対策状況情報164は、検知手段情報162の表と同様に、IDS、FW,メールフィルタ、・・・、振る舞い検知(端末)、振舞い検知(AP)、各種ログ分析などの検知手段22から構成される。
ステップS142において、対策状況判定部104は、攻撃検知危険度情報131のエントリ、すなわち行を1つ選択し、該当する攻撃手段情報161の攻撃手段ID_iと、組織対策状況情報164_iを取得する。ここで、iは1から攻撃手段情報161の攻撃手段IDの数までの自然数をとる。
ステップS143において、対策状況判定部104は、組織対策情報15におけるCMA_IDを1つ選択し、CMA_ID_jとする。また、CMA_ID_jに「対応するCM_ID」を、CM_ID_jとする。ここで、jは、1からpまでの自然数をとる。pは、組織対策情報15におけるCMA_IDの数、すなわち組織対策情報15のエントリ数である。
ステップS144において、対策状況判定部104は、j>pか確認し、j>pである場合、処理を終了する。また、j>pでない場合、S145に進む。
ステップS145において、対策状況判定部104は、k=1とする。
ステップS146において、対策状況判定部104は、組織対策状況情報164_iを構成する要素に紐づけられたCM_IDを、CM_ID_i_kとする。組織対策状況情報164はステップS141において、検知手段情報162のコピーとして生成されており、検知手段情報162に紐づいているCM_IDも同様にコピーされている。具体的には、組織対策状況情報164_iは、図16においてはIDS(k=1)やFW(k=2)などの要素で構成されており、各々に識別子であるCM_IDが付与されている。なお、iが変化しても、kが同じであれば同じCM_IDである。つまり、組織対策状況情報164の1つの列(kで参照)で見た場合、攻撃手段ID(iで参照)が何であっても、同じCM_IDである。具体的には、図16の組織対策状況情報164のk=1はIDSであり、攻撃手段IDが何であっても、列として見るのでIDSのCM_IDが参照される。また、上述したように、組織対策状況情報164では、検知手段情報162の攻撃手段IDごとの○△□◇×の判定、すなわち検知精度23は、メモリに記憶されている。したがって、検知手段情報162の攻撃手段IDごとの○△□◇×の判定は、メモリに記憶されている情報から取得するものとする。
ステップS147において、対策状況判定部104は、組織対策状況情報164_iの構成要素数(IDSやFWなどの要素数)をqとし、k>qか確認する。k>qである場合、対策状況判定部104は、ステップS1411へ進む。k>qでない場合、対策状況判定部104は、ステップS148へ進む。
ステップS148において、対策状況判定部104は、CM_ID_i_kはCM_ID_jと同じかを調べる。同じ場合、対策状況判定部104は、ステップS149に進み、CM_ID_i_kに該当する組織対策状況情報164_iのマスに値を設定する。同じでない場合、対策状況判定部104は、ステップS1410に進む。
ステップS149において、対策状況判定部104は、CM_ID_i_kに該当する検知手段情報162の要素が、○△□◇であればCM_ID_i_kに該当する組織対策状況情報164_iの欄に「済」を設定する。×の場合は「−(ハイフン)」を設定する。具体的には、攻撃手段ID=542の行において、組織対策状況情報164のIDSは「済」である。これは、該当する検知手段情報162のIDSが□だからである。同様に、同行の組織対策状況情報164のFWは、「−」であるが、これは、該当する検知手段情報162のFWが×だからである。
ステップS1410において、対策状況判定部104は、kをインクリメントしてS147へ進む。
ステップS1411において、対策状況判定部104は、組織対策状況情報164_iにおいて、「済」か「−」に設定されていないマスを「未」に設定する。これは、検知対策手段情報12においては、○△□◇の何れかであるが、組織において実施されていない検知手段22であることを示す。対策状況判定部104は、jをインクリメントしてステップS144に進む。
以上のように、対策状況判定部104は、攻撃手段ID_iの全てについて図18の処理を実行することで、図16の組織対策状況情報164に示すように、組織における対策について「済」「未」「−」を設定する。この結果、各攻撃手段IDに対する組織の対策状況がどの様な状態であるかを図16に示す対策状況情報16の様に示すことができる。
対策状況判定部104は、図16に示す対策状況情報16の組織対策状況情報164の設定が完了すると、対策状況情報16の判定情報165に判定結果を設定する。判定情報165は、効果度1651と優先的対策項目1652とから構成される。
以上のように、対策状況判定部104は、攻撃検知情報121と、サイバー攻撃の対象となる組織においてサイバー攻撃に対する対策として実施されている検知手段22を組織検知手段として含む組織対策情報15とを取得し、攻撃検知情報121に含まれる検知精度23と組織対策情報15とに基づいて、組織における対策の効果の程度を表す効果度1651を判定する。また、対策状況判定部104は、検知手段22の検知精度23と、検知手段22が組織において実施されているか否かを示す情報(組織対策状況情報164)とに基づいて、効果度1651を判定する。
以下に、対策状況判定部104による効果度1651を設定する処理について説明する。
対策状況判定部104は、図16の対策状況情報16における1つの攻撃手段IDについて、組織対策状況情報164が「済」である構成要素に該当する検知手段情報162の値を全て抽出する。対策状況判定部104は、抽出した値に基づいて以下(a1)から(a5)のように「効果度1651」を設定する。
(a1)抽出した値の中に○が含まれていれば効果度1651に○を設定する。
(a2)(a1)に当てはまらない場合、抽出した値の中に△が含まれていれば△を効果度1651に設定する。
(a3)(a2)に当てはまらない場合、抽出した値の中に□が含まれていれば□を効果度1651に設定する。
(a4)(a3)に当てはまらない場合、抽出した値の中に◇が含まれていれば◇を効果度1651に設定する。
(a5)(a4)に当てはまらない場合、×を効果度1651に設定する。
図16の対策状況情報16では、組織対策状況情報164が「済」である構成要素が複数ある場合は、該当する検知手段情報162も複数になる。従って、複数の検知手段情報162において、全て○であったり、○、△、□、◇が混在することがありうるが、上記の処理(a1)から(a5)に従えば、「効果度1651」は1つに決定される。
具体例として、図16の攻撃手段ID=542においては、IDS、メールフィルタ、振る舞い検知(端末)が「済」であり、上記の処理に従えば、振る舞い検知(端末)が△なので、効果度1651は△が設定される。
次に、対策状況判定部104による「優先的対策項目1652」を設定する処理について説明する。
図16の対策状況情報16における1つの攻撃手段IDについて、「効果度1651」が○以外の項目を、「優先的対策項目1652」として判定し、「該当」を設定する。
<対策状況出力処理S150>
対策状況出力処理S150において、対策状況出力部105は、攻撃検知情報121(攻撃手段情報161及び検知手段情報162)と効果度1651とを含む対策状況情報16を出力する。対策状況情報16には、危険度163が含まれる。
対策状況出力部105は、出力インタフェース940を介して対策状況情報16を表示装置などに表示する。
以上で、本実施の形態に係る攻撃対策判定処理S100についての説明を終わる。
***他の構成***
本実施の形態では、対策状況生成装置1は、入力インタフェース930を介して情報を取得し、出力インタフェース940を介して情報を出力する構成であった。しかし、対策状況生成装置1が通信装置を備え、通信装置を介して情報を受信してもよい。また、対策状況生成装置1は、通信装置を介して情報を送信してもよい。この場合、通信装置はレシーバとトランスミッタとを備える。具体的には、通信装置は通信チップまたはNIC(Network・Interface・Card)である。通信装置はデータを通信する通信部として機能する。レシーバはデータを受信する受信部として機能し、トランスミッタはデータを送信する送信部として機能する。
本実施の形態では、対策状況出力部105は、図16に示す対策状況情報16を出力するものとしたが、その他の構成の対策状況情報16を出力してもよい。具体例を以下に示す。
第1に、対策状況出力部105は、攻撃手段21と効果度163とからなる対策状況情報16を出力する。すなわち、図16に示す攻撃手段情報161と効果度1651とを対策状況情報16として出力してもよい。
第2に、対策状況出力部105は、攻撃手段21と効果度163とからなる対策状況情報16に、攻撃手段21を検知する検知手段22と、検知手段22の検知精度23とを含めて出力する。すなわち、図16に示す攻撃手段情報161と検知手段情報162と効果度1651とを対策状況情報16として出力してもよい。
第3に、対策状況出力部105は、攻撃手段21と効果度163と検知手段22と検知精度23とからなる対策状況情報16に、組織対策状況情報164を含めて出力する。すなわち、図16に示す攻撃手段情報161と検知手段情報162と組織対策状況情報164と効果度1651とを対策状況情報16として出力してもよい。
また、本実施の形態では、対策状況生成装置1の「部」の機能がソフトウェアで実現されるが、変形例として、対策状況生成装置1の「部」の機能がハードウェアで実現されてもよい。
図19を用いて、本実施の形態の変形例に係る対策状況生成装置1の構成について説明する。
図19に示すように、変形例の対策状況生成装置1では、図2のプロセッサ910及び記憶装置920に替えて、処理回路909を備える。
処理回路909は、前述した「部」の機能及び記憶部150を実現する専用の電子回路である。処理回路909は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate・Array)、ASIC(Application・Specific・Integrated・Circuit)、又は、FPGA(Field−Programmable・Gate・Array)である。
「部」の機能は、1つの処理回路909で実現されてもよいし、複数の処理回路909に分散して実現されてもよい。
別の変形例として、対策状況生成装置1の機能がソフトウェアとハードウェアとの組合せで実現されてもよい。すなわち、対策状況生成装置1の一部の機能が専用のハードウェアで実現され、残りの機能がソフトウェアで実現されてもよい。
プロセッサ910、記憶装置920、及び、処理回路909を、総称して「プロセッシングサーキットリ」という。つまり、対策状況生成装置1の構成が図2及び図19のいずれに示した構成であっても、「部」の機能及び記憶部150は、プロセッシングサーキットリにより実現される。
「部」を「工程」又は「手順」又は「処理」に読み替えてもよい。また、「部」の機能をファームウェアで実現してもよい。
***本実施の形態の効果の説明***
以上の様にして、対策状況生成装置1の対策状況判定部104は、図16に示す対策状況情報16を生成し、表示装置に表示する。
本実施の形態における対策状況生成装置1は、攻撃情報に対して、検知・対策情報のマッピングを示し、さらに、攻撃事例情報から危険度を付与し、さらに、組織の攻撃対策実施の状況から攻撃情報への対策状況を図示できる効果がある。さらに、検知・対策手段情報から効果度1651を判定するとともに、優先的対策項目1652を図示できる効果がある。
本実施の形態における対策状況生成装置1の利用者は、自組織のセキュリティ対策が、様々な攻撃情報(手段)に対して有効であるか無効であるか効果度1651で確認でき、さらに、対策を強化すべき攻撃手段について優先的対策項目1652を確認できる。
実施の形態2.
本実施の形態では、主に、実施の形態1に追加する部分あるいは実施の形態1と異なる部分について説明する。本実施の形態において、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1と同様の機能についてもその説明を省略する。
本実施の形態では、図1に示す攻撃事例判定装置2が、個別の攻撃事例情報13aを用いて、組織の対策状況の判定を行う処理について説明する。
***構成の説明***
図20を用いて、本実施の形態に係る攻撃事例判定装置2の構成及び入出力について説明する。
攻撃事例判定装置2は、コンピュータであり、図示はないが実施の形態1の図1で説明した対策状況生成装置1と同様のハードウェアを備える。また、攻撃事例判定装置2は、機能構成として攻撃事例判定部201を備える。すなわち、攻撃事例判定装置2の「部」の機能とは、攻撃事例判定部201の機能である。対策状況生成装置1と同様に、「部」の機能は、ソフトウェアで実現される。また、対策状況生成装置1と同様に、「部」の機能が処理回路909等のハードウェアで実現されていてもよい。
攻撃事例判定装置2は、対策状況情報16と攻撃事例情報13aとを入力とし、攻撃事例対応情報17を出力する。
本実施の形態では、攻撃事例判定装置2は、対策状況情報16を用いて、攻撃事例情報13aへの対策状況を攻撃事例対応情報17として出力する。本実施の形態では攻撃事例対応情報17を表で表現する。
***動作の説明***
図21を用いて、本実施の形態に係る攻撃事例判定部201による攻撃事例判定処理S200について説明する。
攻撃事例判定処理S200において、攻撃事例判定部201は、対策状況情報16と、攻撃事例情報13aとを入力とし、図21に示す以下の処理を行う。攻撃事例情報13aは、図13の攻撃事例情報13の1つの例である。
攻撃事例判定部201は、サイバー攻撃の攻撃フェーズと攻撃フェーズにおいて実施される攻撃手段とを含む攻撃事例情報13aと、対策状況情報16とを取得し、対策状況情報16を用いて、攻撃事例情報13aについて攻撃フェーズの攻撃手段ごとに組織の対策状況を判定する。また、攻撃事例判定部201は、攻撃事例情報13aと、判定した組織の対策状況とを攻撃事例対応情報17として出力する。
ステップS211において、攻撃事例判定部201は、攻撃事例情報13aにおける最初の攻撃手段IDを参照する。この攻撃手段IDは、攻撃事例情報13aにおいて、一番初めの攻撃フェーズの先頭(一連の攻撃の最初の攻撃)を示すものである。
ステップS212において、攻撃事例判定部201は、攻撃事例情報13aの一連の攻撃における最後の攻撃手段IDまで参照した場合は、S2111に進む。そうで無い場合はS213に進む。
ステップS213において、攻撃事例判定部201は、攻撃事例情報13aにおける攻撃フェーズに含まれる攻撃手段IDを抽出する。これを、参照攻撃手段IDとする。
ステップS214において、攻撃事例判定部201は、参照攻撃手段IDを、対策状況情報16から検索する。
ステップS215において、攻撃事例判定部201は、対策状況情報16における検索された攻撃手段ID、すなわち参照攻撃手段IDについて、その行の情報を参照する。この行には、検知手段情報162の情報などが含まれる。
ステップS216において、攻撃事例判定部201は、対策状況情報16における、参照攻撃手段IDに該当する検知手段情報162において、「×」が付いている構成要素(FWやIDSなどの検知・対策)以外を選択し、名称を抽出する。つまり、攻撃事例判定部201は、何かしらの効果がある構成要素の名称を抽出する。
ステップS217において、攻撃事例判定部201は、攻撃事例情報13aにおいて、参照攻撃手段IDに該当する行に「検知・対策の手段」(列)を追加し、ステップS216で抽出した構成要素の名称を設定する。ステップS216において複数抽出されている場合はそれらを全て設定する。
具体例を用いて説明する。図20に示すように、攻撃手段ID=163であれば、メールフィルタが該当する。また、攻撃手段ID=542であれば、IDS、メールフィルタ、振る舞い検知(端末)、振る舞い検知(AP)、ログ分析(端末)が該当する。検知手段情報162で「×」しかない場合は、「無」を設定する。
ステップS218において、攻撃事例判定部201は、対策状況情報16において、参照攻撃手段IDの「効果度1651」を抽出する。
ステップS219において、攻撃事例判定部201は、攻撃事例情報13aにおける参照攻撃手段IDについて「組織の対策状況」(列)を追加し、ステップS218で抽出した「効果度1651」を設定する。具体例として、攻撃手段ID=542であれば、図16及び図20に示すように△が該当する。上述したように、この「効果度1651」(□や△など)の意味は、図11の判定表1201のとおりである。
ステップS2110において、攻撃事例判定部201は、攻撃事例情報13aにおける次の攻撃手段IDを参照し、ステップS212に戻る。
ステップS2111において、攻撃事例判定部201は、攻撃事例情報13aについて「総合判定」(列)を追加して、以下の様に値を設定する。
侵入など、初期の攻撃フェーズについて、組織の対策状況が○であれば、「優」とする。
バックドア通信など、初期の次の攻撃フェーズについて組織の対策状況が○であれば、「良」とする。これは、侵入は許すが次の段階で検知できるためである。
さらに後続の攻撃フェーズについて組織の対策状況が○であれば、「可」とする。
初期や、初期の次の攻撃フェーズについて組織の対策状況が△であれば、「可」とする。
これらに当てはまらなければ、「不可」とする。
なお、「総合判定」は、攻撃事例情報13aに付与するもので、攻撃手段IDごとに付与するものではない。
また、本実施の形態における総合判定の方法(優、良、可、不可の判定方法)は、上記に限らない。具体例として、初期と初期の次の攻撃フェーズの何れかに○が付かなければ全て不可、としても良いし、情報漏えいの攻撃フェーズに○が付いていれば、良、としても良い。
以上で、本実施の形態に係る攻撃事例判定処理S200についての説明を終わる。
この様に、攻撃事例判定部201は、攻撃事例情報13aに対して、対策状況情報16を用いて組織の対策状況を判定し、総合判定の情報を付与した攻撃事例対応情報17を出力する。
***本実施の形態の効果の説明***
以上のように、本実施の形態に係る攻撃事例判定装置2によれば、攻撃事例対応情報17を参照することで、攻撃事例情報13aにおける攻撃手段IDごとの組織の対策状況を確認できる。具体例として、組織の対策状況が□や◇の攻撃手段IDについては、対策しているが検知漏れ(回避)が発生する場合があることを意味し、△や◇の攻撃手段IDについては、対策しているが誤検知が発生する場合があることを意味する。また、この攻撃事例情報に対する総合判定も確認できる。
また、本実施の形態に係る攻撃事例判定装置2によれば、攻撃事例情報13aに対して、対策状況情報16を用いて組織の対策状況を攻撃事例対応情報17として図示できる効果がある。本実施の形態に係る攻撃事例判定装置2の利用者は、攻撃事例対応情報17の総合判定を確認することで、優・良であれば組織の対策はできていると判断し、可・不可であれば追加対策を検討する、といった判断が可能である。
実施の形態3.
本実施の形態では、主に、実施の形態1及び2に追加する部分あるいは実施の形態1及び2と異なる部分について説明する。本実施の形態において、実施の形態1及び2と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1及び2と同様の機能についてその説明を省略する。
本実施の形態では、図1に示す対策候補抽出装置3が、追加対策を判定する処理について説明する。
***構成の説明***
図22及び図23を用いて、本実施の形態に係る対策候補抽出装置3の構成及び入出力について説明する。
対策候補抽出装置3は、コンピュータであり、図示はないが実施の形態1の対策状況生成装置1及び実施の形態2の攻撃事例判定装置2と同様のハードウェアを備える。また、対策候補抽出装置3は、機能構成として対策候補抽出部301を備える。すなわち、対策候補抽出装置3の「部」の機能とは、対策候補抽出部301の機能である。対策状況生成装置1及び攻撃事例判定装置2と同様に、「部」の機能は、ソフトウェアで実現される。また、対策状況生成装置1及び攻撃事例判定装置2と同様に、「部」の機能が処理回路909等のハードウェアで実現されていてもよい。
対策候補抽出部301は、組織の対策状況に基づいて選択された選択攻撃手段171と、選択攻撃手段171以外の攻撃手段と含む攻撃事例情報133を取得し、選択攻撃手段171と組み合わせて使用される攻撃手段を攻撃事例情報133から判定する。また、対策候補抽出部301は、選択攻撃手段171と組み合わせて使用される攻撃手段を強化対策情報18として出力する。このとき、攻撃事例情報133は、少なくとも選択攻撃手段171と、選択攻撃手段171以外の攻撃手段とを含む。また、攻撃事例情報133は1つでもよく、複数あってもよい。
具体的には、対策候補抽出装置3は、1つ又は複数の攻撃事例情報133と、攻撃事例対応情報17において組織の対策状況で△か◇がついた誤検知の多い攻撃手段X(選択攻撃手段171)とを入力とする。具体例としては、図22の(a)に示す攻撃手段Xである。攻撃手段Xは、攻撃事例対応情報17において組織の対策状況で誤検知の多いと判定された攻撃手段である。対策候補抽出装置3は、攻撃手段Xの誤検知を低減するために、併せて検知すべき攻撃手段Yを抽出する。
なお、「誤検知の多い攻撃手段X」とは、攻撃手段Xに対する組織の対策では、攻撃手段X以外を誤って攻撃手段Xとして検知してしまうことが多い、という意味である。
***動作の説明***
対策候補抽出装置3による対策候補抽出処理S300を以下に説明する。
まず、対策候補抽出装置3は、攻撃手段Xの攻撃手段ID_Xを抽出する。
次に、対策候補抽出装置3は、攻撃手段ID_Xを含む攻撃事例情報13を、1つ又は複数の攻撃事例情報133から抽出する。ここで、対策候補抽出装置3は、攻撃事例情報13を1つ以上抽出する。抽出結果を、攻撃事例情報13_iとする。
次に、対策候補抽出装置3は、攻撃事例情報13_iにおいて、攻撃手段ID_X以外に、共通する攻撃手段IDを抽出し、その数を数える。具体例として、攻撃事例情報13_iが、以下であったとする。ここで、i=1,2,3とする。
攻撃事例情報13_1={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_f、攻撃手段ID_g}
攻撃事例情報13_2={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_g、攻撃手段ID_h}
攻撃事例情報13_3={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_i、攻撃手段ID_j}
この時、攻撃手段ID_eは攻撃事例情報13_1、攻撃事例情報13_2、攻撃事例情報13_3の全てに含まれるため、出現数は3である。同様に、攻撃手段ID_gの出現数は2、攻撃手段ID_f、攻撃手段ID_h、攻撃手段ID_i、攻撃手段ID_jの出現数は1である。
すなわち、攻撃手段ID_Xが含まれる上記3つの攻撃事例情報13_iでは、攻撃手段ID_X以外に、攻撃手段ID_eが全てに含まれ、攻撃手段ID_gが2つに含まれている。従って、これらの攻撃事例情報13においては、攻撃手段ID_Xと攻撃手段ID_eは常に併用されており、次に、攻撃手段ID_gが併用されていることが分かる。
対策候補抽出装置3は、この様に抽出した攻撃手段ID_e、攻撃手段ID_gを攻撃手段ID_Xと組み合わせて検知すべき攻撃手段Yを強化対策情報18として出力する。
図24を用いて、本実施の形態に係る対策候補抽出処理S300について説明する。
ステップS311において、対策候補抽出部301は、攻撃事例情報13_iから攻撃手段ID_Xを含むものを抽出する。ここで、iは1からrまでの自然数とする。rは攻撃事例情報13の数である。
ステップS312において、対策候補抽出部301は、続く処理のために、抽出した攻撃事例情報を、抽出攻撃事例情報jとする。ここで、jは1からsまでの自然数とする。sは、ステップS311において抽出された攻撃事例情報13の数である。
ステップS313において、対策候補抽出部301は、変数jを1に設定し、空の攻撃手段IDリストを用意する。
ステップS314において、対策候補抽出部301は、j>sか調べ、j>sである場合は処理を終了し、j>sでない場合はステップS315へ進む。
ステップS315において、対策候補抽出部301は、抽出攻撃事例情報jに含まれる攻撃手段IDの数をtとする。
ステップS316において、対策候補抽出部301は、変数kを1に設定する。
ステップS317において、対策候補抽出部301は、k>tか調べ、k>tである場合はステップS3113へ進み、k>tでない場合はステップS318へ進む。
ステップS318において、対策候補抽出部301は、抽出攻撃事例情報jに含まれる攻撃手段IDの1つである攻撃手段ID_kを取得する。
ステップS319において、対策候補抽出部301は、攻撃手段ID_kが、攻撃手段IDリストに存在するか調べ、存在すればステップS3111に進み、存在しなければ、ステップS3110へ進む。
ステップS3110において、対策候補抽出部301は、攻撃手段IDリストの末尾に攻撃手段ID_kを追加し、そのcountを1に設定する。ここで、攻撃手段IDリストは以下のような構造の情報である。
攻撃手段IDリスト={(攻撃手段ID_1、count_1)、(攻撃手段ID_2、count_2)、…}
ここで、中カッコは情報の並びである。小カッコの中は攻撃手段IDの値と、その攻撃手段IDが複数の攻撃事例情報に渡って出現した回数を表している。
ステップS3111において、対策候補抽出部301は、攻撃手段IDリスト上の攻撃手段ID_kの要素のcount(count_k)をインクリメントする。
ステップS3112において、対策候補抽出部301は、kをインクリメントする。
ステップS3113において、対策候補抽出部301は、jをインクリメントする。
以上で、本実施の形態に係る対策候補抽出処理S300についての説明を終わる。
***他の構成***
また、図22の(b)に示すように、対策候補抽出装置3は、攻撃事例情報133と、攻撃事例対応情報17における組織の対策状況で□か◇のついた攻撃手段(攻撃手段X1)(選択攻撃手段171)とを入力としてもよい。□か◇のついた攻撃手段(攻撃手段X1)とは、検知漏れ(回避)する可能性がある攻撃手段(攻撃手段X1)である。そして、対策候補抽出装置3は、攻撃手段X1の検知漏れを低減するために、併せて検知すべき攻撃手段を抽出する。
ここで、対策候補抽出装置3の処理は、攻撃手段Xの場合(図22の(a))と同じである。処理の結果、対策候補抽出装置3は、この様に抽出した攻撃手段ID_e、攻撃手段ID_gを攻撃手段ID_X1と組み合わせて検知すべき攻撃手段攻Y1として出力する。
また、図23に示すように、対策候補抽出装置3は、攻撃事例情報133と、対策状況情報16における優先的対策項目1652が「該当」である攻撃手段U(選択攻撃手段171)とを入力としてもよい。そして、対策候補抽出装置3は、攻撃手段Uと組み合わせて検知すべき攻撃手段を抽出し、攻撃手段Vとして出力してもよい。この場合も対策候補抽出装置3の処理は攻撃手段Xの場合(図22の(a))と同様の処理である。
***本実施の形態の効果の説明***
本実施の形態に係る対策候補抽出装置3は、誤検知や検知漏れがある攻撃手段について、攻撃事例情報からの統計により、併用して使用される頻度の高い攻撃手段を抽出する。そして、抽出した攻撃手段を、誤検知や検知漏れがある攻撃手段と併せて検知を試みる候補となる攻撃手段として提示することができる。この結果、本実施の形態に係る対策候補抽出装置3によれば、提示された攻撃手段と、誤検知や検知漏れがある攻撃手段とを併せて検知することで、誤検知や検知漏れを低減することが可能となる効果がある。
実施の形態4.
本実施の形態では、主に、実施の形態3と異なる点について説明する。本実施の形態において、実施の形態1から3と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から3と同様の機能についてその説明を省略する。
本実施の形態では、実施の形態3で説明した対策候補抽出装置3による追加対策を提示する処理が実施の形態3と異なる。
図25は、本実施の形態に係る対策候補抽出装置3の構成及び入出力を示す図である。
図25に示すように、対策候補抽出装置3は、1つ又は複数の攻撃事例情報133と、攻撃事例対応情報17における組織の対策状況で△か◇のついた、誤検知の多い攻撃手段X、又は、攻撃事例対応情報17における組織の対策状況で□か◇のついた、検知漏れする可能性がある攻撃手段X1、又は、対策状況情報16における優先的対策項目1652が「該当」である攻撃手段Uを入力とする。さらに、対策状況情報16を入力する。
誤検知の多い攻撃手段X、又は、検知漏れする可能性がある攻撃手段X1、又は、対策状況情報16における優先的対策項目1652が「該当」である攻撃手段Uに対して、組み合わせて検知すべき攻撃手段を抽出する方法は、実施の形態3と同じである。
本実施の形態では、組み合わせて検知すべき攻撃手段のうち、対策状況情報16を利用して既に組織で対策しているものに絞り提示する。
具体例として、組み合わせて検知すべき攻撃手段が、図16の対策状況情報16における攻撃手段ID=542であった場合、組織対策状況情報164において「済」になっているIDS/メールフィルタ/振る舞い検知(端末)を抽出し、この攻撃手段ID=542の情報に加えて攻撃手段Wを強化対策情報18として出力する。
もし、組み合わせて検知すべき攻撃手段について、対策状況情報16において、組織対策状況情報164に「済」が付くものが無い場合は、該当する攻撃手段Wは無い。よって、攻撃手段Wを出力しない、あるいは、強化対策情報18がないとの警告を出力してもよい。
***本実施の形態の効果の説明***
本実施の形態における対策候補抽出装置3は、実施の形態3の、入力された攻撃手段と組み合わせて検知すべき攻撃手段について、組織対策状況情報164を参照して既に組織で対策済みの攻撃手段に限定して提示することで、組織で既に適用している対策を利用し、検知を強化することが可能となる効果がある。
実施の形態5.
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から4と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から4と同様の機能についてその説明を省略する。
実施の形態1では、検知情報生成部102は、図10のS125において、攻撃手段ID_jの「説明文」に、検知対策手段情報12のCM_ID_iのエントリにおける「検知可能」のキーワードが含まれるかを調べることで、CM_ID_iの「検知可能」な攻撃を攻撃手段ID_jを紐づけていた。
本実施の形態では、検知対策手段情報12のCM_ID_iのエントリにおける「検知可能」において、キーワードの代わりに「検知可能」な攻撃手段IDが含まれているものについて説明する。「検知不可能」「誤検知」の項目についても同様である。すなわち、検知情報生成部102は、検知手段により検知される攻撃手段であって検知手段の検知精度に応じた攻撃手段を含む検知対策手段情報12を取得し、この検知対策手段情報12に基づいて、検知手段が検知する攻撃手段を検知精度に応じて検出する。
上記の検知対策手段情報12を用いる場合、ステップS125の処理を、「CM_ID_iのエントリにおける「検知可能」の攻撃手段IDが、攻撃手段ID_jに一致するかを確認する」と置き換えればよい。ステップS126は、この確認が、一致する場合にステップS127へ進み、一致しない場合はステップS128へ進むように変更すればよい。
本実施の形態においては、上記の検知対策手段情報12を生成する際に、キーワードの代わりに攻撃手段IDを設定することを前提としている。なお、実施の形態1で説明したように、キーワードの代わりに攻撃手段IDを含む検知対策手段情報12の生成は、対策状況生成装置1の外で行う。
***本実施の形態の効果の説明***
本実施の形態における対策状況生成装置1は、実施の形態1に係る検知対策手段情報12の「検知可能」において、キーワードを用いる代わりに、攻撃手段IDを用いることにより、実施の形態1と同じ効果が得られる。
実施の形態6.
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から5と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から5と同様の機能についてその説明を省略する。
実施の形態1では、危険度判定部103は、攻撃事例情報13と重みづけ情報14とを用いて危険度163を攻撃手段IDに付与していた。攻撃情報11には、図3で図示していないが、危険度レベル=1、2、3、4、5(大きいほど危険)などの、危険度の情報が含まれる場合がある。その場合、本実施の形態では、危険度判定部103は、攻撃事例情報13と重みづけ情報14とを用いずに、攻撃情報11において攻撃手段IDごとに付与されている危険度レベルを参照し、その危険度レベルの値を、対策状況情報16における攻撃手段IDの危険度163に設定する。すなわち、危険度判定部103は、攻撃手段の危険度(危険度レベル)を含む攻撃手段情報111を取得し、対策状況出力部105は、攻撃手段の危険度(危険度レベル)を含む対策状況情報16を出力する。
***本実施の形態の効果の説明***
本実施の形態における対策状況生成装置1は、攻撃情報11に危険度(危険度レベル)の情報が含まれる場合、これを、対策状況情報16における、危険度163に設定できる効果がある。
実施の形態7.
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から6と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から6と同様の機能についてその説明を省略する。
実施の形態1では、対策状況生成装置1は、対策状況情報16において、対策済の組織対策状況情報164の要素において、「済」「未」「−」の3種類しか設定しなかった。本実施の形態では、検知対策手段情報12に記載されている「検知不可能」「誤検知」の情報を、対策状況情報16における組織対策状況情報164の情報として、追加設定する。
本実施の形態では、検知情報生成部102は、図10のステップS1210において、undetect_flag=Trueの設定に加えて、参照しているCM_ID_iの「検知不可能」の情報を、攻撃手段ID_jに紐づける。さらに、ステップS1213において、参照しているCM_ID_iの「誤検知」の情報を、攻撃手段ID_jに紐づける。さらに、ステップS1215において、攻撃手段ID_jに対して、CM_ID_iによる対策可否を設定することに加えて、攻撃手段ID_jに紐づけたCM_ID_iの「検知不可能」「誤検知」の情報を、追加設定する。
さらに、本実施の形態では、対策状況判定部104の処理を示した図18のステップS149において、CM_ID_i_kに該当する組織対策状況情報164_iの欄に「済」を設定する処理に加えて、CM_ID_i_kのIDに上記の様に紐づけて設定された「検知不可能」「誤検知」を設定する。具体例として、同欄に「済」を設定することに加えて、以下の様に紐づいた「検知不可能」「誤検知」を設定する。
対策状況情報16の攻撃手段ID=Add_0001における組織対策状況情報164のログ分析・プロキシログのマスの設定例を以下に示す。
・済
・検知不可能:改ざんされた正規サイトとのHTTP通信
・誤検知:正規のHTTP通信
***本実施の形態の効果の説明***
本実施の形態における対策状況生成装置1は、対策状況情報16において、攻撃手段の対策状況を確認できるとともに、対策済みであった場合の、検知不可能(検知漏れ)や誤検知の発生の可能性について含めることができる。このため、対策状況生成装置1の利用者は、ある攻撃手段が対策済みであっても、検知不可能(検知漏れ)や誤検知のリスクについて把握することが可能となる。
実施の形態8.
本実施の形態では、主に、実施の形態3及び4と異なる点について説明する。本実施の形態において、実施の形態1から7と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から7と同様の機能についてその説明を省略する。
本実施の形態では、対策候補抽出装置3は、追加対策の提示の処理において、実施の形態3及び4と異なる処理を行う。実施の形態3では、対策候補抽出装置3は、攻撃事例情報13において、攻撃手段Xや攻撃手段X1や攻撃手段Uと併用される攻撃手段の統計を取り、例えば、攻撃手段Xと最も多く併用される攻撃手段Yを抽出し、強化対策情報18として出力した。
本実施の形態では、さらに、攻撃手段Xや攻撃手段X1と併用される攻撃手段の統計を取り、さらに、対策状況情報16を参照して、併用されることが多い攻撃手段について有効な検知手段情報162を併せて出力する。
実施の形態3で説明した以下の3つの攻撃事例情報を用いて説明する。ここでは攻撃手段Xについて併せて検知する他の攻撃手段を抽出する場合を挙げる。
攻撃事例情報13_1={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_f、攻撃手段ID_g}
攻撃事例情報13_2={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_g、攻撃手段ID_h}
攻撃事例情報13_3={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_i、攻撃手段ID_j}
これらの攻撃事例情報に対して図18の処理を実行すると、攻撃手段IDリスト={(攻撃手段ID_e、count_e=3)、(攻撃手段ID_g、count_g=2)}となる。
この結果、攻撃手段ID_e、又は攻撃手段ID_eと攻撃手段ID_gとの両方を攻撃手段Yとして出力する。本実施の形態では、この出力において、以下の(b1)から(b3)の判定を行う。
(b1)攻撃手段IDリストに記録された攻撃手段IDで、対策状況情報16の検知手段情報162において、○がつく検知・対策手段情報があるものを抽出し、この様に抽出された攻撃手段IDを攻撃手段Yとして出力する。攻撃手段IDリスト上にこの条件に該当する攻撃手段IDが複数あれば、これらを攻撃手段Yとして出力する。具体例として、攻撃手段ID_eについて、対策状況情報16の検知手段情報162において振る舞い検知(端末)に○が設定されていた場合は、攻撃手段ID_eを攻撃手段Yとして出力する。(b2)(b1)の処理において○が付く攻撃手段が無い場合は、対策状況情報16の検知手段情報162において△がつく攻撃手段IDを抽出する。抽出された攻撃手段IDを攻撃手段Yとして出力する。
(b3)(b2)の処理において△が付く攻撃手段が無い場合は、対策状況情報16の検知手段情報162において□がつく攻撃手段IDを抽出する。抽出された攻撃手段IDを攻撃手段Yとして出力する。
なお、(b1)のみを処理しても良いし、(b1)と(b2)のみを処理しても良いし、(b1)と(b2)と(b3)とを処理してもよい。
さらに、(b1)の処理で抽出した攻撃手段IDについて、○が示される検知手段情報162(具体例として、IDS)を、攻撃手段IDと併せて攻撃手段Yとして出力しても良い。同様に(b2)では△である検知手段情報162を、(b3)では□である検知手段情報162を攻撃手段IDと併せて攻撃手段Yとして出力しても良い。
対策候補抽出装置3は、攻撃手段X1についても同様の処理で、同様の攻撃手段Y1を出力できる。
実施の形態4では、攻撃手段Xや攻撃手段X1や攻撃手段Uについて、組み合わせて検知すべき攻撃手段のうち、対策状況情報16を利用して既に組織で検知手段を実施しているものに絞り提示した。本実施の形態では、さらに、これらについて、(b1)(b2)(b3)の様に、○がつくもの、△がつくもの、□が付くものを抽出して、攻撃手段W1として出力する。
***本実施の形態の効果の説明***
本実施の形態における対策候補抽出装置3は、実施の形態3及び4の効果に加えて、併せて対策すべき攻撃手段について、具体的にどのような検知手段を適用すればよいか判断できる効果がある。
実施の形態9.
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から8と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から8と同様の機能についてもその説明を省略する。
本実施の形態は、実施の形態1において、組織対策情報15における、運用上の制限を参照して、図18のステップS149の処理を変更したものである。
実施の形態1のステップS149のでは、実施の形態1においてCM_ID_i_kに該当する組織対策状況情報164_iの欄の設定について「済」と判定した場合、さらに、CM_ID_j(CM_ID_i_kに等しい)に該当する組織対策情報15のエントリを参照し、該当する運用上の制限を参照する。この運用上の制限において、閾値抑制(回数)、閾値抑制(重大度)、ホワイトリストにおいて適用がある場合は、組織対策状況情報164_iの欄に「済」の代わりに「済・回避」を設定する。
併せて、閾値抑制(回数)、閾値抑制(重大度)、ホワイトリストなど運用上の抑制措置について、その内容(組織対策情報15上の項目名)を追加情報として設定しても良い。対策状況生成装置1の利用者は、この追加情報を参照することで、検知手段は行っているが回避可能である理由を知ることができる(例:閾値抑制(回数))。
対策状況判定部104が、対策状況情報16に効果度1651を付与する処理について説明する。図6の対策状況情報16における1つの攻撃手段IDについて、組織対策状況情報164が「済」の場合は、該当する検知手段情報162の構成要素の設定値(○△□◇×)をそのまま抽出して、実施検知手段情報1621として対策状況判定部104に保存する。
組織対策状況情報164が「済・回避」の場合は、該当する検知手段情報162の構成要素の設定値(○△□◇×)を抽出し、○は□に、△は□に変換して実施検知手段情報1621として対策状況判定部104に保存する。対策状況判定部104は、この様に抽出・変換した、実施検知手段情報1621について以下の様に処理する。
(c1)実施検知手段情報1621に○が含まれていれば効果度1651に○を設定する。
(c2)(c1)に当てはまらない場合、△が含まれていれば△を効果度1651に設定する。
(c3)(c2)に当てはまらない場合、□が含まれていれば□を効果度1651に設定する。
(c4)(c3)に当てはまらない場合、◇が含まれていれば◇を効果度1651に設定する。
(c5)(c4)に当てはまらない場合、×を効果度1651に設定する。
具体例として、ある攻撃手段IDについて、組織対策状況情報164の振る舞い検知(AP)が「済・回避」であり、検知手段情報162の振る舞い検知(AP)が△であったとする。この場合は、振る舞い検知(AP)の検知手段情報162を△から□にして、実施検知手段情報1621に保存する。同じ攻撃手段IDについて、組織対策状況情報164のIDSが「済」であり、検知手段情報162のIDSが□であったとする。この場合は、IDSの検知手段情報162は変換せず□として実施検知手段情報1621に保存する。このとき、実施検知手段情報1621は□(振る舞い検知(AP))、□(IDS)であり、上記(c3)に該当するので、効果度1651に□を設定する。
この様に、組織において検知・対策に運用制限をかけている場合、その検知・対策の製品やログ分析が攻撃手段を検知できるとしても、運用制限によってその検知能力が下がる可能性があるため、効果度1651については、検知漏れ(回避)の可能性がある評価を付与する。(c3)(c4)についてはもともと検知漏れ(回避)があるという評価であるが、(c3)については、□+、◇+として効果度1651に設定しても良い。この“+”は、通常の□、◇よりも検知漏れ(回避)が起こる可能性があるという意味である。
***本実施の形態の効果の説明***
本実施の形態における対策状況生成装置1は、組織対策情報15を参照することで、攻撃手段への対策として実施している検知・対策が、運用上の制限により、検知漏れ(回避)を起こすことを、対策状況情報16に示すことが可能となり、利用者は、運用制限による検知漏れのリスクを認識できる。
実施の形態10.
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から9と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から9と同様の機能についてもその説明を省略する。
実施の形態1において、検知対策手段情報12と組織対策情報15を分けて処理したが、本実施の形態においては、組織対策情報15に検知対策手段情報12の該当する検知手段をマージして、組織対策情報15aとして使用する。
本実施の形態において、対策状況生成装置1における、攻撃情報生成部101の処理は、実施の形態1と同じである。
本実施の形態において、検知情報生成部102における処理は、検知対策手段情報12の代わりに組織対策情報15aを使用する。それ以外の処理は、実施の形態1に同じである。この結果、攻撃検知情報121の検知手段情報162には、組織対策情報15aにおけるCM_IDで区別される検知手段が設定される。
本実施の形態において、危険度判定部103の処理は、実施の形態1と同じである。
本実施の形態において、対策状況判定部104の処理では、組織対策情報15の代わりに組織対策情報15aを参照する。本実施の形態では、まず、図18のS141の処理を実施する。次に、対策状況情報16において、攻撃手段IDごとに検知手段情報162を参照し、○△□◇が設定されている構成要素について、組織対策状況情報164の同じ構成要素について「済」を設定する。最後に、全ての攻撃手段IDごとに、組織対策状況情報164において「済」が設定されていない箇所は「−」を設定する。本実施の形態では、検知手段情報162は全て実施済みであり、攻撃手段について検知手段が可能な場合に○△□◇が付与される。それ以外の場合は付与されない。
その他の対策状況生成装置1の処理は実施の形態1に同じである。
図26は、本実施の形態に係る組織対策情報15aの構成の一例を示す図である。組織対策情報15aの各行は、組織で実施済の検知手段の情報と、その運用上の制限で構成される。
***本実施の形態の効果の説明***
本実施の形態における対策状況生成装置1は、検知対策手段情報12に代わりに、実施済の検知・対策手段情報と運用上の制限の情報を組み合わせた組織対策情報15aを参照することで、実施済の検知・対策について、効果の状況を出力することができる。
以上、実施の形態1から10では、対策状況生成装置1と、攻撃事例判定装置2と、対策候補抽出装置3とを別装置として説明したが、1つのコンピュータに対策状況生成装置1と、攻撃事例判定装置2と、対策候補抽出装置3との機能が搭載されていてもよい。また、攻撃対策判定システム500は、図1に示した装置構成でなくてもよく、上述した機能を実現することができればどのような装置構成でも構わない。
また、実施の形態1から10の説明において「部」として説明するもののうち、いずれか1つのみを採用してもよいし、いくつかの任意の組合せを採用してもよい。つまり、対策状況生成装置1と攻撃事例判定装置2と対策候補抽出装置3との各々の機能構成は、上記の実施の形態で説明した機能を実現することができれば、任意である。機能構成を、どのような組合せ、あるいは任意の機能構成で攻撃対策判定システム500を構成しても構わない。
また、これらの実施の形態1から10のうち、複数を部分的に組合せて実施しても構わない。あるいは、これらの実施の形態のうち、1つの実施の形態を部分的に実施しても構わない。その他、これらの実施の形態を、全体としてあるいは部分的に、どの様に組合せて実施しても構わない。
なお、上記の実施の形態は、本質的に好ましい例示であって、本発明、その適用物や用途の範囲を制限することを意図するものではなく、必要に応じて種々の変更が可能である。
1 対策状況生成装置、11 攻撃情報、12 検知対策手段情報、13,13a 攻撃事例情報、14 重みづけ情報、15,15a 組織対策情報、16 対策状況情報、17 攻撃事例対応情報、18 強化対策情報、21,X,X1,U 攻撃手段、22 検知手段、23 検知精度、24 説明文、31 攻撃フェーズ、101 攻撃情報生成部、102 検知情報生成部、103 危険度判定部、104 対策状況判定部、105
対策状況出力部、150 記憶部、111,161 攻撃手段情報、121 攻撃検知情報、131 攻撃検知危険度情報、133 攻撃事例情報、162 検知手段情報、1621 実施検知手段情報、163 危険度、164 組織対策状況情報、165 判定情報、1651 効果度、1652 優先的対策項目、171 選択攻撃手段、2 攻撃事例判定装置、201 攻撃事例判定部、3 対策候補抽出装置、301 対策候補抽出部、500 攻撃対策判定システム、510 攻撃対策判定方法、520 攻撃対策判定プログラム、909 処理回路、910 プロセッサ、920 記憶装置、921 補助記憶装置、922 メモリ、930 入力インタフェース、940 出力インタフェース、S100 攻撃対策判定処理、S110 攻撃情報生成処理、S120 検知情報生成処理、S130 危険度判定処理、S140 対策状況判定処理、S150 対策状況出力処理。

Claims (17)

  1. サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成部と、
    前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定部と、
    前記検知手段の前記検知精度と前記攻撃手段が実施される前記サイバー攻撃における攻撃フェーズとに基づいて、前記攻撃手段の危険度を判定する危険度判定部と
    を備えた攻撃対策判定システム。
  2. 前記攻撃対策判定システムは、さらに、
    前記攻撃手段と前記効果度とを対策状況情報として出力する対策状況出力部を備えた請求項1に記載の攻撃対策判定システム。
  3. 前記対策状況出力部は、
    前記攻撃手段を検知する前記検知手段と、前記検知手段の前記検知精度とを前記対策状況情報に含める請求項2に記載の攻撃対策判定システム。
  4. 前記対策状況判定部は、
    前記検知精度と前記組織対策情報とに基づいて、前記検知手段が前記組織において実施されているか否かを示す組織対策状況情報を生成し、前記組織対策状況情報に基づいて前記効果度を判定する請求項2又は3に記載の攻撃対策判定システム。
  5. 前記対策状況出力部は、
    前記組織対策状況情報を前記対策状況情報に含める請求項4に記載の攻撃対策判定システム。
  6. 前記対策状況出力部は、
    前記攻撃手段の危険度を前記対策状況情報に含める請求項から5のいずれか1項に記載の攻撃対策判定システム。
  7. 前記検知情報生成部は、
    前記攻撃手段を説明する説明文を含む攻撃手段情報と、前記検知手段が検知する攻撃手段を前記検知精度に応じて取得するためのキーワードを含む検知対策手段情報とを取得し、前記キーワードを用いて前記攻撃手段情報に含まれる前記説明文を検索し、前記検知手段が検知する攻撃手段を前記検知精度に応じて検出する請求項1からのいずれか1項に記載の攻撃対策判定システム。
  8. 前記検知情報生成部は、
    前記検知手段により検知される攻撃手段であって前記検知手段の前記検知精度に応じた攻撃手段を含む検知対策手段情報を取得し、前記検知対策手段情報に基づいて、前記検知手段が検知する攻撃手段を前記検知精度に応じて検出する請求項1からのいずれか1項に記載の攻撃対策判定システム。
  9. 前記検知情報生成部は、
    前記検知精度として、前記検知手段が前記攻撃手段を検知できない第1検知精度と、前記検知手段による前記攻撃手段の検知漏れの場合がある第2検知精度と、前記検知手段が前記攻撃手段を誤検知する場合がある第3検知精度と、前記検知手段が前記攻撃手段を誤検知せず、かつ、前記検知手段による前記攻撃手段の検知漏れがない第4検知精度と、前記検知手段が前記攻撃手段を検知できる場合と、前記検知手段が前記攻撃手段を検知できない場合と、前記検知手段が前記攻撃手段を誤検知する場合とがある第5検知精度との少なくともいずれかを有する請求項1からのいずれか1項に記載の攻撃対策判定システム。
  10. サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成部と、
    前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定部と
    を備え、
    前記検知情報生成部は、
    前記攻撃手段を説明する説明文を含む攻撃手段情報と、前記検知手段が検知する攻撃手段を前記検知精度に応じて取得するためのキーワードを含む検知対策手段情報とを取得し、前記キーワードを用いて前記攻撃手段情報に含まれる前記説明文を検索し、前記検知手段が検知する攻撃手段を前記検知精度に応じて検出する攻撃対策判定システム。
  11. 前記検知情報生成部は、
    前記検知精度として、前記検知手段が前記攻撃手段を検知できない第1検知精度と、前記検知手段による前記攻撃手段の検知漏れの場合がある第2検知精度と、前記検知手段が前記攻撃手段を誤検知する場合がある第3検知精度と、前記検知手段が前記攻撃手段を誤検知せず、かつ、前記検知手段による前記攻撃手段の検知漏れがない第4検知精度と、前記検知手段が前記攻撃手段を検知できる場合と、前記検知手段が前記攻撃手段を検知できない場合と、前記検知手段が前記攻撃手段を誤検知する場合とがある第5検知精度との少なくともいずれかを有する請求項10に記載の攻撃対策判定システム。
  12. サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成部と、
    前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定部と、
    前記攻撃手段と前記効果度とを対策状況情報として出力する対策状況出力部と、
    前記サイバー攻撃の攻撃フェーズと前記攻撃フェーズにおいて実施される攻撃手段とを含む攻撃事例情報と、前記対策状況情報とを取得し、前記対策状況情報を用いて、前記攻撃事例情報について前記攻撃フェーズの攻撃手段ごとに前記組織の対策状況を判定する攻撃事例判定部
    備えた攻撃対策判定システム。
  13. 前記攻撃事例判定部は、
    前記攻撃事例情報と前記組織の対策状況とを攻撃事例対応情報として出力する請求項12に記載の攻撃対策判定システム。
  14. 前記攻撃対策判定システムは、さらに、
    前記組織の対策状況に基づいて選択された選択攻撃手段と前記選択攻撃手段以外の攻撃手段とを含む前記攻撃事例情報を取得し、前記選択攻撃手段と組み合わせて使用される攻撃手段を前記攻撃事例情報から判定する対策候補抽出部を備えた請求項12または13に記載の攻撃対策判定システム。
  15. 前記対策候補抽出部は、
    前記選択攻撃手段と組み合わせて使用される攻撃手段を強化対策情報として出力する請求項14に記載の攻撃対策判定システム。
  16. 検知情報生成部が、サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成し、
    対策状況判定部が、前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定し、
    危険度判定部が、前記検知手段の前記検知精度と前記攻撃手段が実施される前記サイバー攻撃における攻撃フェーズとに基づいて、前記攻撃手段の危険度を判定する攻撃対策判定方法。
  17. サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成処理と、
    前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定処理と、
    前記検知手段の前記検知精度と前記攻撃手段が実施される前記サイバー攻撃における攻撃フェーズとに基づいて、前記攻撃手段の危険度を判定する危険度判定処理とをコンピュータに実行させる攻撃対策判定プログラム。
JP2016050471A 2016-03-15 2016-03-15 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム Active JP6407184B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016050471A JP6407184B2 (ja) 2016-03-15 2016-03-15 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016050471A JP6407184B2 (ja) 2016-03-15 2016-03-15 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム

Publications (2)

Publication Number Publication Date
JP2017167695A JP2017167695A (ja) 2017-09-21
JP6407184B2 true JP6407184B2 (ja) 2018-10-17

Family

ID=59913975

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016050471A Active JP6407184B2 (ja) 2016-03-15 2016-03-15 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム

Country Status (1)

Country Link
JP (1) JP6407184B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6977577B2 (ja) * 2018-01-18 2021-12-08 富士通株式会社 サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法
JP7105096B2 (ja) * 2018-04-18 2022-07-22 株式会社日立システムズ 複数組織間の脅威情報共有システム及び方法
JP7186637B2 (ja) * 2019-02-21 2022-12-09 三菱電機株式会社 検知ルール群調整装置および検知ルール群調整プログラム
WO2023084563A1 (ja) * 2021-11-09 2023-05-19 日本電気株式会社 共有システム、共有方法、対策装置、対策方法及び記憶媒体

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005202664A (ja) * 2004-01-15 2005-07-28 Mitsubishi Electric Corp 不正アクセス統合対応システム
JP5020776B2 (ja) * 2007-10-29 2012-09-05 株式会社エヌ・ティ・ティ・データ 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム
EP2385676B1 (en) * 2010-05-07 2019-06-26 Alcatel Lucent Method for adapting security policies of an information system infrastructure
JP2015026182A (ja) * 2013-07-25 2015-02-05 エヌ・ティ・ティ・コミュニケーションズ株式会社 セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム

Also Published As

Publication number Publication date
JP2017167695A (ja) 2017-09-21

Similar Documents

Publication Publication Date Title
US9853997B2 (en) Multi-channel change-point malware detection
US8312536B2 (en) Hygiene-based computer security
JP6104149B2 (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
JP5510937B2 (ja) エンティティのレピュテーションスコアの簡易化された伝達
JP5265061B1 (ja) 悪意のあるファイル検査装置及び方法
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
Wang et al. NetSpy: Automatic generation of spyware signatures for NIDS
WO2008067371A2 (en) System for automatic detection of spyware
US10505986B1 (en) Sensor based rules for responding to malicious activity
JP6407184B2 (ja) 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
JP5326063B1 (ja) デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法
AlSabeh et al. Exploiting ransomware paranoia for execution prevention
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
US8516100B1 (en) Method and apparatus for detecting system message misrepresentation using a keyword analysis
Khan et al. A dynamic method of detecting malicious scripts using classifiers
US9075991B1 (en) Looting detection and remediation
JP2016525750A (ja) 合法的オブジェクトの誤用の識別
Khan et al. Malware detection and analysis
Kono et al. An unknown malware detection using execution registry access
Kaur Network Security: Anti-virus.
US11436326B2 (en) False alarm detection for malware scanning
JP7023433B2 (ja) インシデント対応効率化システム、インシデント対応効率化方法およびインシデント対応効率化プログラム
US20230177144A1 (en) Malware Deterrence Using Computer Environment Indicators
Shevchenko Malicious code detection technologies
CN106372509A (zh) 一种查杀未知可疑应用程序的方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170907

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180419

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180605

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180821

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180918

R150 Certificate of patent or registration of utility model

Ref document number: 6407184

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250