JP6425865B1 - リスク分析装置、リスク分析方法及びリスク分析プログラム - Google Patents
リスク分析装置、リスク分析方法及びリスク分析プログラム Download PDFInfo
- Publication number
- JP6425865B1 JP6425865B1 JP2018541441A JP2018541441A JP6425865B1 JP 6425865 B1 JP6425865 B1 JP 6425865B1 JP 2018541441 A JP2018541441 A JP 2018541441A JP 2018541441 A JP2018541441 A JP 2018541441A JP 6425865 B1 JP6425865 B1 JP 6425865B1
- Authority
- JP
- Japan
- Prior art keywords
- threat
- possibility
- occurrence
- risk
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
リスク分析装置(10)では、脅威抽出部(22)は、分析対象システムに対して発生する可能性のある脅威を抽出する。可能性特定部(23)は、脅威抽出部(22)によって抽出された脅威の発生可能性を、脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて特定する。リスク値計算部(24)は、可能性特定部(23)によって特定された発生可能性から、分析対象システムの脅威に対するリスクの大きさを示すリスク値を計算する。
Description
この発明は、システムのセキュリティリスクを分析する技術に関する。
分析対象システムのセキュリティ設計を行うためには、まず、システムに実装するセキュリティ対策を明らかにする必要がある。そのため、分析対象システムに対して、セキュリティリスクの分析が行われる。これにより、分析対象システムを構成するサーバと端末と通信路といった構成要素における対策が必要なセキュリティ脅威(以下、脅威と呼ぶ)が明確にされる。
セキュリティリスクの分析では、分析対象システムの構成要素に対する脅威が特定される。特定された脅威に対し、脅威の発生可能性と脅威発生による影響とが設定される。脅威発生による影響は、脅威が発生する構成要素の資産価値等によって表される。設定された発生可能性と脅威発生による影響とから、特定された脅威のリスク値が導出される。そして、リスクの高い脅威に対して対策が定められる。
セキュリティリスクの分析では、分析対象システムの構成要素に対する脅威が特定される。特定された脅威に対し、脅威の発生可能性と脅威発生による影響とが設定される。脅威発生による影響は、脅威が発生する構成要素の資産価値等によって表される。設定された発生可能性と脅威発生による影響とから、特定された脅威のリスク値が導出される。そして、リスクの高い脅威に対して対策が定められる。
特許文献1では、脅威の発生可能性を人手で設定することが記載されている。また、特許文献2では、脅威の発生可能性を予め設定された固定値とすることが記載されている。
特許文献1では、脅威の発生可能性を人手で設定しているため、分析にかかる工数が大きくなるとともに、人為的なミスが発生するという課題があった。また、特許文献2では、脅威の発生可能性として予め設定した固定値を用いているため、発生可能性が適切な値にならず、脅威のリスク値を正確に計算できないという課題があった。その結果、特許文献1,2では、最終的に対策の過不足を導く恐れがあった。
この発明は、分析対象システムのセキュリティリスクを適切に分析可能にすることを目的とする。
この発明は、分析対象システムのセキュリティリスクを適切に分析可能にすることを目的とする。
この発明に係るリスク分析装置は、
分析対象システムに対して発生する可能性のある脅威の発生可能性を、前記脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて特定する可能性特定部と、
前記可能性特定部によって特定された前記発生可能性から、前記分析対象システムの脅威に対するリスクの大きさを示すリスク値を計算するリスク値計算部と
を備える。
分析対象システムに対して発生する可能性のある脅威の発生可能性を、前記脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて特定する可能性特定部と、
前記可能性特定部によって特定された前記発生可能性から、前記分析対象システムの脅威に対するリスクの大きさを示すリスク値を計算するリスク値計算部と
を備える。
この発明では、脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて、発生可能性が特定される。これにより、分析対象システムのセキュリティリスクを適切に分析可能である。
実施の形態1.
***構成の説明***
図1を参照して、実施の形態1に係るリスク分析装置10の構成を説明する。
リスク分析装置10は、コンピュータである。
リスク分析装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
***構成の説明***
図1を参照して、実施の形態1に係るリスク分析装置10の構成を説明する。
リスク分析装置10は、コンピュータである。
リスク分析装置10は、プロセッサ11と、メモリ12と、ストレージ13と、通信インタフェース14とのハードウェアを備える。プロセッサ11は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
プロセッサ11は、プロセッシングを行うIC(Integrated Circuit)であり、リスク分析装置10全体の制御を行う装置である。プロセッサ11は、具体例としては、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
メモリ12は、データを一時的に記憶する記憶装置である。メモリ12は、具体例としては、SRAM(Static Random Access Memory)、DRAM(Dynamic Random Access Memory)である。
ストレージ13は、データを保管する記憶装置である。ストレージ13は、具体例としては、HDD(Hard Disk Drive)、又は、SSD(Solid State Drive)である。また、ストレージ13は、SD(登録商標,Secure Digital)メモリカード、CF(CompactFlash)、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVD(Digital Versatile Disk)といった可搬記憶媒体であってもよい。
通信インタフェース14は、入力装置と表示装置といった外部の装置と通信するためのインタフェースである。通信インタフェース14は、具体例としては、Ethernet(登録商標)、USB(Universal Serial Bus)、HDMI(登録商標,High−Definition Multimedia Interface)のポートである。
リスク分析装置10は、機能構成要素として、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24とを備える。可能性特定部23は、ルール抽出部25と、条件判定部26とを備える。情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能はソフトウェアにより実現される。
ストレージ13には、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能を実現するプログラムが記憶されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能が実現される。
ストレージ13には、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能を実現するプログラムが記憶されている。このプログラムは、プロセッサ11によりメモリ12に読み込まれ、プロセッサ11によって実行される。これにより、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能が実現される。
ストレージ13は、共通情報記憶部31と、分析対象記憶部32との機能を実現する。共通情報記憶部31は、脅威データ311と、可能性設定情報312とを記憶する。分析対象記憶部32は、脅威抽出結果321と、構成情報322と、発生可能性情報323と、リスク分析情報324とを記憶する。
図1では、プロセッサ11は、1つだけ示されている。しかし、リスク分析装置10は、プロセッサ11を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、オペレーティングシステム20が備える機能構成要素の実行を分担する。それぞれのプロセッサは、プロセッサ11と同じように、プロセッシングを行うICである。
図2を参照して、実施の形態1で説明に用いる分析対象システム50の構成を説明する。
分析対象システム50は、サーバ_01と、サーバ_02と、ファイアウォールであるFW_01と、ネットワークであるNW_01と、ネットワークであるNW_02と、ネットワークであるNW_03と、外部ネットワークと、端末_01と、端末_02とを備える。
サーバ_01は、NW_01を介してサーバ_02と接続され、NW_02を介してFW_01と接続され、NW_03を介して端末_01及び端末_02と接続されている。また、サーバ_01は、FW_01と外部ネットワークとを介して外部と接続されている。FW_01は、サーバ_01から外部ネットワークへのデータは通すが、外部ネットワークからサーバ_01へのデータは通さないように通信制御を行う。
分析対象システム50は、サーバ_01と、サーバ_02と、ファイアウォールであるFW_01と、ネットワークであるNW_01と、ネットワークであるNW_02と、ネットワークであるNW_03と、外部ネットワークと、端末_01と、端末_02とを備える。
サーバ_01は、NW_01を介してサーバ_02と接続され、NW_02を介してFW_01と接続され、NW_03を介して端末_01及び端末_02と接続されている。また、サーバ_01は、FW_01と外部ネットワークとを介して外部と接続されている。FW_01は、サーバ_01から外部ネットワークへのデータは通すが、外部ネットワークからサーバ_01へのデータは通さないように通信制御を行う。
***動作の説明***
図3から図9を参照して、実施の形態1に係るリスク分析装置10の動作を説明する。
実施の形態1に係るリスク分析装置10の動作は、実施の形態1に係るリスク分析方法に相当する。また、実施の形態1に係るリスク分析装置10の動作は、実施の形態1に係るリスク分析プログラムの処理に相当する。
図3から図9を参照して、実施の形態1に係るリスク分析装置10の動作を説明する。
実施の形態1に係るリスク分析装置10の動作は、実施の形態1に係るリスク分析方法に相当する。また、実施の形態1に係るリスク分析装置10の動作は、実施の形態1に係るリスク分析プログラムの処理に相当する。
図3を参照して、実施の形態1に係るリスク分析装置10の全体的な動作を説明する。
(図3のステップS1:情報取得処理)
情報取得部21は、通信インタフェース14を介して、可能性設定情報312及び構成情報322を取得する。情報取得部21は、可能性設定情報312を共通情報記憶部31に書き込み、構成情報322を分析対象記憶部32に書き込む。
(図3のステップS1:情報取得処理)
情報取得部21は、通信インタフェース14を介して、可能性設定情報312及び構成情報322を取得する。情報取得部21は、可能性設定情報312を共通情報記憶部31に書き込み、構成情報322を分析対象記憶部32に書き込む。
可能性設定情報312は、脅威の識別子と、脅威の発生場所となる構成要素に対して実施されているセキュリティ対策との組合せ毎に、発生可能性が定義された情報である。
図4に示すように、実施の形態1では、可能性設定情報312は、ルールNo毎に、脅威IDと、1つ以上の条件と、発生可能性とを示す。ルールNoは、ルールの識別子である。脅威IDは、そのルールが適用される脅威の識別子である。条件は、そのルールが適用される条件である。実施の形態1では、脅威の発生場所である構成要素に対して実施されているセキュリティ対策を含む条件が定められている。発生可能性は、そのルールが適用された場合の脅威の発生可能性である。
実施の形態1では、条件が「項目:内容」という構成で示される。図4では、脅威ID10に適用されるルールは3個の条件であり、脅威ID20に適用されるルールは2個の条件である。実施の形態1では、発生可能性は3段階が想定されており、発生する可能性が低い場合に1、中である場合に2、高い場合に3の値が用いられる。なお、発生可能性の段階数及び値は、これに限定されるものではない。
図4に示すように、実施の形態1では、可能性設定情報312は、ルールNo毎に、脅威IDと、1つ以上の条件と、発生可能性とを示す。ルールNoは、ルールの識別子である。脅威IDは、そのルールが適用される脅威の識別子である。条件は、そのルールが適用される条件である。実施の形態1では、脅威の発生場所である構成要素に対して実施されているセキュリティ対策を含む条件が定められている。発生可能性は、そのルールが適用された場合の脅威の発生可能性である。
実施の形態1では、条件が「項目:内容」という構成で示される。図4では、脅威ID10に適用されるルールは3個の条件であり、脅威ID20に適用されるルールは2個の条件である。実施の形態1では、発生可能性は3段階が想定されており、発生する可能性が低い場合に1、中である場合に2、高い場合に3の値が用いられる。なお、発生可能性の段階数及び値は、これに限定されるものではない。
構成情報322は、分析対象システム50の各構成要素の情報を示す。
図5に示すように、実施の形態1では、構成情報322は、要素名毎に、種別と、物理アクセスの可否と、セキュリティ対策と、暗号対策と、資産価値とを示す。要素名は、構成要素の名称である。種別は、構成要素の分類である。物理アクセスの可否は、構成要素に対して物理アクセス可能か否かである。暗号対策は、暗号化通信が可能であるか否かである。資産価値は、構成要素の価値である。
なお、構成情報322は、他にも、利用者認証の有無と、使用しているOSの種別といったセキュリティ対策に関する情報を示してもよい。
図5に示すように、実施の形態1では、構成情報322は、要素名毎に、種別と、物理アクセスの可否と、セキュリティ対策と、暗号対策と、資産価値とを示す。要素名は、構成要素の名称である。種別は、構成要素の分類である。物理アクセスの可否は、構成要素に対して物理アクセス可能か否かである。暗号対策は、暗号化通信が可能であるか否かである。資産価値は、構成要素の価値である。
なお、構成情報322は、他にも、利用者認証の有無と、使用しているOSの種別といったセキュリティ対策に関する情報を示してもよい。
(図3のステップS2:脅威抽出処理)
脅威抽出部22は、共通情報記憶部31に記憶された脅威データ311に基づき、分析対象システム50に対して発生する可能性のある脅威を抽出する。脅威データ311は、脅威の雛形である。具体的な脅威を抽出する方法については、特開2016−105233号公報に記載された方法等により実現すればよい。脅威抽出部22は、抽出された脅威を脅威抽出結果321として、分析対象記憶部32に書き込む。
脅威抽出部22は、共通情報記憶部31に記憶された脅威データ311に基づき、分析対象システム50に対して発生する可能性のある脅威を抽出する。脅威データ311は、脅威の雛形である。具体的な脅威を抽出する方法については、特開2016−105233号公報に記載された方法等により実現すればよい。脅威抽出部22は、抽出された脅威を脅威抽出結果321として、分析対象記憶部32に書き込む。
図6に示すように、実施の形態1では、脅威抽出結果321は、No毎に、要素名と、脅威IDと、アクセス元と、脅威の内容とを示す。Noは、抽出された脅威に一意に割り当てられる番号である。要素名は、脅威の発生場所となる構成要素の名称である。脅威IDは、抽出された脅威の識別子である。アクセス元は、脅威がネットワークを介したリモートアクセスに関するものである場合に、アクセスの元となる構成要素の名称が示される。例えば、図6では、端末_01を悪用したサーバ_01への不正アクセスという脅威のアクセス元として、端末_01が示されている。脅威の内容は、抽出された脅威の内容である。
なお、脅威抽出結果321は、他にも、各構成要素の存在箇所と、構成要素の種別とを表す情報とを示してもよい。また、本実施の形態では、No1の脅威とNo2の脅威とは、悪用する端末は異なるが同じ内容の脅威であるため、同じ脅威IDで表している。しかし、これらの脅威を区別する脅威IDを用いてもよい。
なお、脅威抽出結果321は、他にも、各構成要素の存在箇所と、構成要素の種別とを表す情報とを示してもよい。また、本実施の形態では、No1の脅威とNo2の脅威とは、悪用する端末は異なるが同じ内容の脅威であるため、同じ脅威IDで表している。しかし、これらの脅威を区別する脅威IDを用いてもよい。
(図3のステップS3:可能性特定処理)
可能性特定部23は、ステップS2で抽出された脅威それぞれについて、その脅威の識別子と、その脅威の発生場所となる構成要素に対して実施されているセキュリティ対策との組合せに応じて、その脅威が発生する発生可能性を特定する。
可能性特定部23は、ステップS2で抽出された脅威それぞれについて、その脅威の識別子と、その脅威の発生場所となる構成要素に対して実施されているセキュリティ対策との組合せに応じて、その脅威が発生する発生可能性を特定する。
図7を参照して、実施の形態1に係るステップS3の可能性特定処理を説明する。
(図7のステップS11:結果読出処理)
可能性特定部23は、分析対象記憶部32の脅威抽出結果321から1つの脅威についての情報を読み出し、メモリ12に書き込む。つまり、可能性特定部23は、脅威抽出結果321の1つのレコードを読み出し、メモリ12に書き込む。
(図7のステップS11:結果読出処理)
可能性特定部23は、分析対象記憶部32の脅威抽出結果321から1つの脅威についての情報を読み出し、メモリ12に書き込む。つまり、可能性特定部23は、脅威抽出結果321の1つのレコードを読み出し、メモリ12に書き込む。
(図7のステップS12:ルール抽出処理)
ルール抽出部25は、共通情報記憶部31の可能性設定情報312から、ステップS11で読み出された情報に含まれる脅威IDを持つルールを抽出する。
例えば、図6のNo1の脅威は、脅威IDが10である。そのため、ルール抽出部25は、図4のルールNo1とルールNo2との2つのルールを抽出する。
ルール抽出部25は、共通情報記憶部31の可能性設定情報312から、ステップS11で読み出された情報に含まれる脅威IDを持つルールを抽出する。
例えば、図6のNo1の脅威は、脅威IDが10である。そのため、ルール抽出部25は、図4のルールNo1とルールNo2との2つのルールを抽出する。
(図7のステップS13:第1ルール判定処理)
ルール抽出部25は、ステップS12でルールが抽出されたか否かを判定する。
ルール抽出部25は、ルールが抽出された場合には、処理をステップS14に進める。一方、ルール抽出部25は、ルールが抽出されなかった場合には、発生可能性を特定できないので、処理をステップS17に進める。
ルール抽出部25は、ステップS12でルールが抽出されたか否かを判定する。
ルール抽出部25は、ルールが抽出された場合には、処理をステップS14に進める。一方、ルール抽出部25は、ルールが抽出されなかった場合には、発生可能性を特定できないので、処理をステップS17に進める。
(図7のステップS14:条件判定処理)
条件判定部26は、ステップS12で抽出された各ルールについて、ステップS11で読み出されたレコードが、そのルールの各条件に合致するか否かを判定する。具体的には、条件判定部26は、ステップS11で読み出された要素名が示す構成要素についての構成情報322を参照して、各条件に合致するか否かを判定する。
例えば、図6のNo1の脅威は、図4のルールNo1については、条件1及び条件2は合致するものの、条件3が合致しない。一方、図6のNo1の脅威は、図4のルールNo2については、条件1〜3の全てが合致する。
条件判定部26は、ステップS12で抽出された各ルールについて、ステップS11で読み出されたレコードが、そのルールの各条件に合致するか否かを判定する。具体的には、条件判定部26は、ステップS11で読み出された要素名が示す構成要素についての構成情報322を参照して、各条件に合致するか否かを判定する。
例えば、図6のNo1の脅威は、図4のルールNo1については、条件1及び条件2は合致するものの、条件3が合致しない。一方、図6のNo1の脅威は、図4のルールNo2については、条件1〜3の全てが合致する。
(図7のステップS15:第2ルール判定処理)
条件判定部26は、ステップS14で構成要素が全ての条件に合致するルールがあったか否かを判定する。
条件判定部26は、合致するルールがあった場合には、処理をステップS16に進める。一方、条件判定部26は、合致するルールがなかった場合には、発生可能性を特定できないので、処理をステップS17に進める。
条件判定部26は、ステップS14で構成要素が全ての条件に合致するルールがあったか否かを判定する。
条件判定部26は、合致するルールがあった場合には、処理をステップS16に進める。一方、条件判定部26は、合致するルールがなかった場合には、発生可能性を特定できないので、処理をステップS17に進める。
(図7のステップS16:可能性読出処理)
条件判定部26は、ステップS14で構成要素が全ての条件に合致するルールの発生可能性を読み出し、発生可能性情報323として分析対象記憶部32に書き込む。
条件判定部26は、ステップS14で構成要素が全ての条件に合致するルールの発生可能性を読み出し、発生可能性情報323として分析対象記憶部32に書き込む。
図8に示すように、実施の形態1では、発生可能性情報323は、脅威抽出結果321のアクセス元の情報がなくなり、発生可能性が追加されている。なお、発生可能性情報323は、アクセス元の情報を示してもよいし、さらに他の情報を示してもよい。
条件判定部26は、読み出された発生可能性を、対応する脅威のレコードに書き込む。つまり、ステップS11で図6のNo1のレコードが読み出された場合には、条件判定部26は、読み出された発生可能性を、図8のNo1のレコードに書き込む。
条件判定部26は、読み出された発生可能性を、対応する脅威のレコードに書き込む。つまり、ステップS11で図6のNo1のレコードが読み出された場合には、条件判定部26は、読み出された発生可能性を、図8のNo1のレコードに書き込む。
(図7のステップS17:終了判定処理)
ルール抽出部25は、ステップS11で脅威抽出結果321から全ての脅威についての情報が読み出し済であるか否かを判定する。
ルール抽出部25は、全ての脅威についての情報が読み出し済である場合には、処理を終了する。一方、ルール抽出部25は、全ての脅威についての情報が読み出し済でない場合には、処理をステップS11に戻して、次の脅威についての情報を読み出す。
ルール抽出部25は、ステップS11で脅威抽出結果321から全ての脅威についての情報が読み出し済であるか否かを判定する。
ルール抽出部25は、全ての脅威についての情報が読み出し済である場合には、処理を終了する。一方、ルール抽出部25は、全ての脅威についての情報が読み出し済でない場合には、処理をステップS11に戻して、次の脅威についての情報を読み出す。
(図3のステップS4:リスク値計算処理)
リスク値計算部24は、ステップS2で抽出された脅威それぞれについて、ステップS3で特定された発生可能性から、分析対象システム50のその脅威に対するリスクの大きさを示すリスク値を計算する。具体的には、リスク値計算部24は、ステップS2で抽出された脅威それぞれについて、その脅威の発生可能性と、その脅威の発生場所となる構成要素の資産価値との積を、リスク値として計算する。リスク値計算部24は、計算されたリスク値を示すリスク分析情報324を分析対象記憶部32に書き込む。
図9に示すように、実施の形態1では、リスク分析情報324は、発生可能性情報323に、構成要素の資産価値と、リスク値とが追加されている。例えば、図9のNo1の脅威のリスク値は、発生可能性“3”と、構成要素であるサーバ_01の資産価値“3”との積“9”となっている。
リスク値計算部24は、ステップS2で抽出された脅威それぞれについて、ステップS3で特定された発生可能性から、分析対象システム50のその脅威に対するリスクの大きさを示すリスク値を計算する。具体的には、リスク値計算部24は、ステップS2で抽出された脅威それぞれについて、その脅威の発生可能性と、その脅威の発生場所となる構成要素の資産価値との積を、リスク値として計算する。リスク値計算部24は、計算されたリスク値を示すリスク分析情報324を分析対象記憶部32に書き込む。
図9に示すように、実施の形態1では、リスク分析情報324は、発生可能性情報323に、構成要素の資産価値と、リスク値とが追加されている。例えば、図9のNo1の脅威のリスク値は、発生可能性“3”と、構成要素であるサーバ_01の資産価値“3”との積“9”となっている。
なお、上記説明では、脅威抽出結果321と発生可能性情報323とリスク分析情報324とを別々の情報として扱った。しかし、脅威抽出結果321と発生可能性情報323とリスク分析情報324との全ての情報を示す1つのフォーマットを用意しておいてもよい。そして、処理の経過に応じて、そのフォーマットに順次情報が追加されてもよい。
***実施の形態1の効果***
以上のように、実施の形態1に係るリスク分析装置10は、脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて、脅威の発生可能性を特定する。これにより、脅威の発生可能性を適切に特定可能である。その結果、分析対象システムのセキュリティリスクを適切に分析可能である。
以上のように、実施の形態1に係るリスク分析装置10は、脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて、脅威の発生可能性を特定する。これにより、脅威の発生可能性を適切に特定可能である。その結果、分析対象システムのセキュリティリスクを適切に分析可能である。
特に、実施の形態1に係るリスク分析装置10では、可能性設定情報312に基づき発生可能性が特定されるため、脅威の発生可能性に分析者に恣意が含まれることがない。そのため、脅威の発生可能性を適切に特定可能である。
また、脅威の発生可能性を人手で設定する必要がないため、作業ミスが発生することがない。また、分析対象システム50が大規模なシステムであっても、効率的に分析が可能である。
***他の構成***
<変形例1>
実施の形態1では、共通情報記憶部31には1つの可能性設定情報312が記憶されていた。しかし、共通情報記憶部31に、システムの種別毎の可能性設定情報312が記憶されていてもよい。例えば、情報システムと、車載機器システムと、FA(Factory Automation)システムといった種別毎に、可能性設定情報312が記憶されてもよい。
この場合、可能性特定部23は、分析対象システム50の種別に対応する可能性設定情報312を用いて、脅威の発生可能性を特定する。これにより、より適切に脅威の発生可能性を特定することが可能になる。
<変形例1>
実施の形態1では、共通情報記憶部31には1つの可能性設定情報312が記憶されていた。しかし、共通情報記憶部31に、システムの種別毎の可能性設定情報312が記憶されていてもよい。例えば、情報システムと、車載機器システムと、FA(Factory Automation)システムといった種別毎に、可能性設定情報312が記憶されてもよい。
この場合、可能性特定部23は、分析対象システム50の種別に対応する可能性設定情報312を用いて、脅威の発生可能性を特定する。これにより、より適切に脅威の発生可能性を特定することが可能になる。
また、共通情報記憶部31に、システム管理者と保守員といった役割毎の可能性設定情報312が記憶されてもよい。
この場合、可能性特定部23は、各役割に対応する可能性設定情報312を用いて、役割毎に発生可能性を特定する。そして、リスク値計算部24は、役割毎に脅威のリスク値を計算する。これにより、役割毎のリスク値を知ることができる。
この場合、可能性特定部23は、各役割に対応する可能性設定情報312を用いて、役割毎に発生可能性を特定する。そして、リスク値計算部24は、役割毎に脅威のリスク値を計算する。これにより、役割毎のリスク値を知ることができる。
<変形例2>
実施の形態1では、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能がソフトウェアで実現された。しかし、変形例2として、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能はハードウェアで実現されてもよい。この変形例2について、実施の形態1と異なる点を説明する。
実施の形態1では、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能がソフトウェアで実現された。しかし、変形例2として、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能はハードウェアで実現されてもよい。この変形例2について、実施の形態1と異なる点を説明する。
図10を参照して、変形例2に係るリスク分析装置10の構成を説明する。
情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能がハードウェアで実現される場合、リスク分析装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、処理回路15を備える。処理回路15は情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能と、メモリ12とストレージ13との機能とを実現する専用の電子回路である。
情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能がハードウェアで実現される場合、リスク分析装置10は、プロセッサ11とメモリ12とストレージ13とに代えて、処理回路15を備える。処理回路15は情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能と、メモリ12とストレージ13との機能とを実現する専用の電子回路である。
処理回路15は、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA(Gate Array)、ASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)が想定される。
情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能を1つの処理回路15で実現してもよいし、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能を複数の処理回路15に分散させて実現してもよい。
情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能を1つの処理回路15で実現してもよいし、情報取得部21と、脅威抽出部22と、可能性特定部23と、リスク値計算部24と、ルール抽出部25と、条件判定部26との機能を複数の処理回路15に分散させて実現してもよい。
<変形例3>
変形例3として、一部の機能がハードウェアで実現され、他の機能がソフトウェアで実現されてもよい。つまり、情報取得部21と、脅威抽出部22と、可能性特定部23と、ルール抽出部25と、条件判定部26と、リスク値計算部24とのうち、一部の機能がハードウェアで実現され、他の機能がソフトウェアで実現されてもよい。
変形例3として、一部の機能がハードウェアで実現され、他の機能がソフトウェアで実現されてもよい。つまり、情報取得部21と、脅威抽出部22と、可能性特定部23と、ルール抽出部25と、条件判定部26と、リスク値計算部24とのうち、一部の機能がハードウェアで実現され、他の機能がソフトウェアで実現されてもよい。
プロセッサ11とメモリ12とストレージ13と処理回路15とを、総称して「プロセッシングサーキットリー」という。つまり、各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
実施の形態2.
実施の形態2は、発生場所となる構成要素への分析対象システム50における通信経路の通信制御に応じて、発生可能性を特定する点が実施の形態1と異なる。実施の形態2では、この異なる点を説明し、同一の点については説明を省略する。
実施の形態2は、発生場所となる構成要素への分析対象システム50における通信経路の通信制御に応じて、発生可能性を特定する点が実施の形態1と異なる。実施の形態2では、この異なる点を説明し、同一の点については説明を省略する。
***構成の説明***
図11を参照して、実施の形態2に係るリスク分析装置10の構成を説明する。
リスク分析装置10は、機能構成要素として、通信判定部27を備える点と、分析対象記憶部32が接続先情報325と通信制御情報326とを記憶する点とが図1に示されたリスク分析装置10と異なる。
通信判定部27は、他の機能構成要素と同様にソフトウェアにより実現される。また、通信判定部27は、他の機能構成要素と同様にハードウェアで実現されてもよい。
図11を参照して、実施の形態2に係るリスク分析装置10の構成を説明する。
リスク分析装置10は、機能構成要素として、通信判定部27を備える点と、分析対象記憶部32が接続先情報325と通信制御情報326とを記憶する点とが図1に示されたリスク分析装置10と異なる。
通信判定部27は、他の機能構成要素と同様にソフトウェアにより実現される。また、通信判定部27は、他の機能構成要素と同様にハードウェアで実現されてもよい。
***動作の説明***
図3と図12から図18とを参照して、実施の形態2に係るリスク分析装置10の動作を説明する。
実施の形態2に係るリスク分析装置10の動作は、実施の形態2に係るリスク分析方法に相当する。また、実施の形態2に係るリスク分析装置10の動作は、実施の形態2に係るリスク分析プログラムの処理に相当する。
図3と図12から図18とを参照して、実施の形態2に係るリスク分析装置10の動作を説明する。
実施の形態2に係るリスク分析装置10の動作は、実施の形態2に係るリスク分析方法に相当する。また、実施の形態2に係るリスク分析装置10の動作は、実施の形態2に係るリスク分析プログラムの処理に相当する。
図3を参照して、実施の形態2に係るリスク分析装置10の全体的な動作を説明する。
ステップS2とステップS4の処理は、実施の形態1と同じである。
ステップS2とステップS4の処理は、実施の形態1と同じである。
(図3のステップS1:情報取得処理)
情報取得部21は、通信インタフェース14を介して、可能性設定情報312と構成情報322と接続先情報325と通信制御情報326とを取得する。情報取得部21は、可能性設定情報312を共通情報記憶部31に書き込み、構成情報322と接続先情報325と通信制御情報326とを分析対象記憶部32に書き込む。
情報取得部21は、通信インタフェース14を介して、可能性設定情報312と構成情報322と接続先情報325と通信制御情報326とを取得する。情報取得部21は、可能性設定情報312を共通情報記憶部31に書き込み、構成情報322と接続先情報325と通信制御情報326とを分析対象記憶部32に書き込む。
接続先情報325は、分析対象システム50の構成要素間の接続関係を示す。
図12に示すように、実施の形態2では、接続先情報325は、要素名毎に、種別と、通信制御の有無と、通信路とを示す。図2に示されたように、分析対象システム50の通信路は、NW_01と、NW_02と、NW_03と、外部ネットワークとである。図12では、○は、その構成要素がその通信路に接続されていることを示す。
図12に示すように、実施の形態2では、接続先情報325は、要素名毎に、種別と、通信制御の有無と、通信路とを示す。図2に示されたように、分析対象システム50の通信路は、NW_01と、NW_02と、NW_03と、外部ネットワークとである。図12では、○は、その構成要素がその通信路に接続されていることを示す。
通信制御情報326は、通信制御の内容を示す。
図13に示すように、実施の形態2では、通信制御情報326は、アクセス元(FROM)からアクセス先(TO)へのデータの流れが許されているか否かを示す。図13では、FW_01によって、NW_02から外部ネットワークへデータを流すことは許可され、外部ネットワークからNW_02へデータを流すことは許可されていないことが示されている。
図13に示すように、実施の形態2では、通信制御情報326は、アクセス元(FROM)からアクセス先(TO)へのデータの流れが許されているか否かを示す。図13では、FW_01によって、NW_02から外部ネットワークへデータを流すことは許可され、外部ネットワークからNW_02へデータを流すことは許可されていないことが示されている。
図14を参照して、実施の形態2に係るステップS3の可能性特定処理を説明する。
ステップS21からステップS23の処理は、図7のステップS11からステップS13の処理と同じである。また、ステップS26からステップS29の処理は、図7のステップS14からステップS17の処理と同じである。
ステップS21からステップS23の処理は、図7のステップS11からステップS13の処理と同じである。また、ステップS26からステップS29の処理は、図7のステップS14からステップS17の処理と同じである。
(図14のステップS24:通信項目判定処理)
通信判定部27は、ステップS22で抽出された各ルールについて、条件の項目として通信制御があるか否かを判定する。
通信判定部27は、通信制御がある場合には、処理をステップS25に進める。一方、通信判定部27は、通信制御がない場合には、処理をステップS26に進める。
通信判定部27は、ステップS22で抽出された各ルールについて、条件の項目として通信制御があるか否かを判定する。
通信判定部27は、通信制御がある場合には、処理をステップS25に進める。一方、通信判定部27は、通信制御がない場合には、処理をステップS26に進める。
具体例としては、可能性設定情報312が図15に示す通りであり、脅威抽出結果321が図16に示す通りであるとする。ステップS21で脅威抽出結果321のNo1のレコードが読み出されたとする。
この場合、ステップS22では、脅威IDが10であるので、図16のルールNo1〜ルールNo3の3つのルールが抽出される。すると、ルールNo1〜ルールNo3の3つのルールには、条件1の項目として通信制御がある。そのため、処理がステップS25に進められる。
この場合、ステップS22では、脅威IDが10であるので、図16のルールNo1〜ルールNo3の3つのルールが抽出される。すると、ルールNo1〜ルールNo3の3つのルールには、条件1の項目として通信制御がある。そのため、処理がステップS25に進められる。
(図14のステップS25:通信制御判定処理)
通信判定部27は、ステップS22で抽出されたルールから、脅威の発生場所となる構成要素への分析対象システム50における通信経路の通信制御の有無に対応するルールを抽出する。
通信判定部27は、ステップS22で抽出されたルールから、脅威の発生場所となる構成要素への分析対象システム50における通信経路の通信制御の有無に対応するルールを抽出する。
図17を参照して、実施の形態2に係るステップS25の通信制御判定処理を説明する。
(図17のステップS31:経路特定処理)
通信判定部27は、接続先情報325を参照して、ステップS21で読み出されたレコードのアクセス元から要素名が示す構成要素への通信経路を特定する。
例えば、図15の脅威抽出結果321のNo1のレコードであれば、アクセス元の端末_01から構成要素であるサーバ_01までの通信経路は、NW_03であると特定される。また、図15の脅威抽出結果321のNo3のレコードであれば、アクセス元の外部から構成要素であるサーバ_01までの通信経路は、外部ネットワークとFW_01とNW02とであると特定される。
(図17のステップS31:経路特定処理)
通信判定部27は、接続先情報325を参照して、ステップS21で読み出されたレコードのアクセス元から要素名が示す構成要素への通信経路を特定する。
例えば、図15の脅威抽出結果321のNo1のレコードであれば、アクセス元の端末_01から構成要素であるサーバ_01までの通信経路は、NW_03であると特定される。また、図15の脅威抽出結果321のNo3のレコードであれば、アクセス元の外部から構成要素であるサーバ_01までの通信経路は、外部ネットワークとFW_01とNW02とであると特定される。
(図17のステップS32:制御要素処理)
通信判定部27は、ステップS31で特定された通信経路上に、通信制御を行う構成要素が存在するか否かを判定する。
通信判定部27は、通信制御を行う構成要素が存在する場合には、処理をステップS33に進める。一方、通信判定部27は、通信制御を行う構成要素が存在しない場合には、通信制御可と設定する。
例えば、図15の脅威抽出結果321のNo1のレコードの場合には、通信経路はNW_03であるため、通信制御を行う構成要素が存在しないと判定される。したがって、通信制御可と設定される。また、図15の脅威抽出結果321のNo3のレコードの場合には、通信経路は外部ネットワークとFW_01とNW02とであり、FW_01が通信制御をするので、通信制御を行う構成要素が存在すると判定される。したがって、処理がステップS33に進められる。
通信判定部27は、ステップS31で特定された通信経路上に、通信制御を行う構成要素が存在するか否かを判定する。
通信判定部27は、通信制御を行う構成要素が存在する場合には、処理をステップS33に進める。一方、通信判定部27は、通信制御を行う構成要素が存在しない場合には、通信制御可と設定する。
例えば、図15の脅威抽出結果321のNo1のレコードの場合には、通信経路はNW_03であるため、通信制御を行う構成要素が存在しないと判定される。したがって、通信制御可と設定される。また、図15の脅威抽出結果321のNo3のレコードの場合には、通信経路は外部ネットワークとFW_01とNW02とであり、FW_01が通信制御をするので、通信制御を行う構成要素が存在すると判定される。したがって、処理がステップS33に進められる。
(図17のステップS33:制御要素処理)
通信判定部27は、ステップS21で読み出されたレコードのアクセス元から要素名が示す構成要素へデータを流すことが許可されるか否かを判定する。
通信判定部27は、データを流すことが許可される場合には、通信制御可と設定する。一方、通信判定部27は、データを流すことが許可されない場合には、通信制御不可と設定する。
例えば、図15の脅威抽出結果321のNo3のレコードの場合には、FW_01により、アクセス元の外部から構成要素であるサーバ_01への方向にはデータを流すことが許可されていない。そのため、通信制御不可と設定される。
通信判定部27は、ステップS21で読み出されたレコードのアクセス元から要素名が示す構成要素へデータを流すことが許可されるか否かを判定する。
通信判定部27は、データを流すことが許可される場合には、通信制御可と設定する。一方、通信判定部27は、データを流すことが許可されない場合には、通信制御不可と設定する。
例えば、図15の脅威抽出結果321のNo3のレコードの場合には、FW_01により、アクセス元の外部から構成要素であるサーバ_01への方向にはデータを流すことが許可されていない。そのため、通信制御不可と設定される。
(図17のステップS34:対応ルール抽出処理)
通信判定部27は、ステップS32からステップS33で設定された通信制御可又は通信制御不可に対応するルールを抽出する。
例えば、図15の脅威抽出結果321のNo1のレコードの場合には、通信制御可と設定されたため、図16の条件1で通信制御:可となっているルールNo1とルールNo2とが抽出される。また、図15の脅威抽出結果321のNo3のレコードの場合には、通信制御不可と設定されたため、図16の条件1で通信制御:不可となっているルールNo3が抽出される。
通信判定部27は、ステップS32からステップS33で設定された通信制御可又は通信制御不可に対応するルールを抽出する。
例えば、図15の脅威抽出結果321のNo1のレコードの場合には、通信制御可と設定されたため、図16の条件1で通信制御:可となっているルールNo1とルールNo2とが抽出される。また、図15の脅威抽出結果321のNo3のレコードの場合には、通信制御不可と設定されたため、図16の条件1で通信制御:不可となっているルールNo3が抽出される。
その結果、発生可能性情報323として、図18に示すように、各Noに対応した発生可能性が特定される。
***実施の形態2の効果***
以上のように、実施の形態2に係るリスク分析装置10は、脅威の発生場所となる構成要素へのアクセス元からの通信経路で通信制御がされているか否かに応じて、脅威の発生可能性を特定する。これにより、分析対象システム50のデータの流れを考慮して脅威の発生可能性を特定することが可能である。
以上のように、実施の形態2に係るリスク分析装置10は、脅威の発生場所となる構成要素へのアクセス元からの通信経路で通信制御がされているか否かに応じて、脅威の発生可能性を特定する。これにより、分析対象システム50のデータの流れを考慮して脅威の発生可能性を特定することが可能である。
***他の構成***
<変形例4>
実施の形態2では、ステップS22で抽出されたルールに項目として通信制御があることが判定された後に、通信制御の内容を判定した。しかし、脅威抽出結果321として抽出された脅威のうち、アクセス元が存在している脅威に対して、通信制御の内容を判定するように処理の流れを変えてもよい。
<変形例4>
実施の形態2では、ステップS22で抽出されたルールに項目として通信制御があることが判定された後に、通信制御の内容を判定した。しかし、脅威抽出結果321として抽出された脅威のうち、アクセス元が存在している脅威に対して、通信制御の内容を判定するように処理の流れを変えてもよい。
<変形例5>
実施の形態2では、通信制御を行う構成要素が1つであった。通信制御を行う構成要素が複数ある場合には、各構成要素を識別できるように識別情報を付与した通信制御情報を用いればよい。
また、この場合、単に通信経路で通信制御がされているか否かに応じて脅威の発生可能性を特定するのではなく、通信経路でいくつの通信制御がされているかに応じて脅威の発生可能性を特定してもよい。
実施の形態2では、通信制御を行う構成要素が1つであった。通信制御を行う構成要素が複数ある場合には、各構成要素を識別できるように識別情報を付与した通信制御情報を用いればよい。
また、この場合、単に通信経路で通信制御がされているか否かに応じて脅威の発生可能性を特定するのではなく、通信経路でいくつの通信制御がされているかに応じて脅威の発生可能性を特定してもよい。
実施の形態3.
実施の形態3は、脅威の発生場所となる構成要素に対して発生する可能性のある別の脅威の発生可能性に応じて、脅威の発生可能性を特定する点が実施の形態1と異なる。実施の形態3では、この異なる点を説明し、同一の点については説明を省略する。
なお、実施の形態3を実施の形態2と組み合わせることも可能である。
実施の形態3は、脅威の発生場所となる構成要素に対して発生する可能性のある別の脅威の発生可能性に応じて、脅威の発生可能性を特定する点が実施の形態1と異なる。実施の形態3では、この異なる点を説明し、同一の点については説明を省略する。
なお、実施の形態3を実施の形態2と組み合わせることも可能である。
***構成の説明***
図19を参照して、実施の形態3に係るリスク分析装置10の構成を説明する。
リスク分析装置10は、共通情報記憶部31が対応情報313を記憶する点が、図1に示されたリスク分析装置10と異なる。
図19を参照して、実施の形態3に係るリスク分析装置10の構成を説明する。
リスク分析装置10は、共通情報記憶部31が対応情報313を記憶する点が、図1に示されたリスク分析装置10と異なる。
***動作の説明***
図3と図20から図25とを参照して、実施の形態3に係るリスク分析装置10の動作を説明する。
実施の形態3に係るリスク分析装置10の動作は、実施の形態3に係るリスク分析方法に相当する。また、実施の形態3に係るリスク分析装置10の動作は、実施の形態3に係るリスク分析プログラムの処理に相当する。
図3と図20から図25とを参照して、実施の形態3に係るリスク分析装置10の動作を説明する。
実施の形態3に係るリスク分析装置10の動作は、実施の形態3に係るリスク分析方法に相当する。また、実施の形態3に係るリスク分析装置10の動作は、実施の形態3に係るリスク分析プログラムの処理に相当する。
図3を参照して、実施の形態3に係るリスク分析装置10の全体的な動作を説明する。
ステップS2とステップS4の処理は、実施の形態1と同じである。
ステップS2とステップS4の処理は、実施の形態1と同じである。
(図3のステップS1:情報取得処理)
情報取得部21は、通信インタフェース14を介して、可能性設定情報312と対応情報313と構成情報322とを取得する。情報取得部21は、可能性設定情報312と対応情報313とを共通情報記憶部31に書き込み、構成情報322を分析対象記憶部32に書き込む。
情報取得部21は、通信インタフェース14を介して、可能性設定情報312と対応情報313と構成情報322とを取得する。情報取得部21は、可能性設定情報312と対応情報313とを共通情報記憶部31に書き込み、構成情報322を分析対象記憶部32に書き込む。
対応情報313は、セキュリティ対策と脅威IDとを対応付けた情報である。
図20に示すように、実施の形態3では、対応情報313は、セキュリティ対策の条件項目毎に、脅威IDを示す。
図20に示すように、実施の形態3では、対応情報313は、セキュリティ対策の条件項目毎に、脅威IDを示す。
図21を参照して、実施の形態3に係るステップS3の可能性特定処理を説明する。
ステップS41からステップS47の処理は、図7のステップS11からステップS17の処理と同じである。但し、ステップS45では、条件判定部26は、合致するルールがなかった場合には、処理をステップS48に進める。
ステップS41からステップS47の処理は、図7のステップS11からステップS17の処理と同じである。但し、ステップS45では、条件判定部26は、合致するルールがなかった場合には、処理をステップS48に進める。
(ステップS48:対応情報判定処理)
条件判定部26は、ステップS42で抽出された各ルールについて、そのルールに含まれる条件項目が対応情報313に含まれているか否かを判定する。具体的には、条件判定部26は、各ルールに含まれる各条件項目をキーワードとして、対応情報313を検索して、レコードが抽出されるか否かを判定する。
条件判定部26は、条件項目が対応情報313に含まれている場合には、処理をステップS49に進める。一方、条件判定部26は、条件項目が対応情報313に含まれていない場合には、発生可能性を特定できないので、処理をステップS47に進める。
条件判定部26は、ステップS42で抽出された各ルールについて、そのルールに含まれる条件項目が対応情報313に含まれているか否かを判定する。具体的には、条件判定部26は、各ルールに含まれる各条件項目をキーワードとして、対応情報313を検索して、レコードが抽出されるか否かを判定する。
条件判定部26は、条件項目が対応情報313に含まれている場合には、処理をステップS49に進める。一方、条件判定部26は、条件項目が対応情報313に含まれていない場合には、発生可能性を特定できないので、処理をステップS47に進める。
具体例としては、脅威抽出結果321が図22に示す通りであり、可能性設定情報312が図23に示す通りであり、構成情報322が図24に示す通りであるとする。ステップS41で脅威抽出結果321のNo5のレコードが読み出されたとする。
この場合、ステップS42では、脅威IDが11であるので、図23のルールNo50とルールNo51との2つのルールが抽出される。
ルールNo50とルールNo51とには、条件3の条件項目として、アクセス元のマルウェア感染がある。しかし、構成情報322には、マルウェア感染という項目がなく、ルールNo50とルールNo51とのどちらの条件3にも合致しない。そのため、処理がステップS28に進められる。
条件判定部26は、条件3の条件項目であるマルウェア感染をキーワードとして、対応情報313を検索する。すると、図20に示すレコードが抽出される。したがって、処理がステップS49に進められる。
この場合、ステップS42では、脅威IDが11であるので、図23のルールNo50とルールNo51との2つのルールが抽出される。
ルールNo50とルールNo51とには、条件3の条件項目として、アクセス元のマルウェア感染がある。しかし、構成情報322には、マルウェア感染という項目がなく、ルールNo50とルールNo51とのどちらの条件3にも合致しない。そのため、処理がステップS28に進められる。
条件判定部26は、条件3の条件項目であるマルウェア感染をキーワードとして、対応情報313を検索する。すると、図20に示すレコードが抽出される。したがって、処理がステップS49に進められる。
(ステップS49:ルール再抽出処理)
条件判定部26は、共通情報記憶部31の可能性設定情報312から、ステップS48で抽出されたレコードの脅威IDを持ち、かつ、ステップS41で読み出されたレコードが全ての条件に合致するルールを抽出する。
条件判定部26は、ルールが抽出された場合には、処理をステップS50に進める。一方、条件判定部26は、ルールが抽出されなかった場合には、処理をステップS47に進める。
条件判定部26は、共通情報記憶部31の可能性設定情報312から、ステップS48で抽出されたレコードの脅威IDを持ち、かつ、ステップS41で読み出されたレコードが全ての条件に合致するルールを抽出する。
条件判定部26は、ルールが抽出された場合には、処理をステップS50に進める。一方、条件判定部26は、ルールが抽出されなかった場合には、処理をステップS47に進める。
上述した例であれば、図20に示すレコードの脅威IDは30である。そのため、ルールNo80とルールNo81との2つのルールが該当する。図24に示すように、端末_02はマルウェア対策ありのため、ステップS44でルール80の条件に合致する。その結果、ルール80が抽出される。
(ステップS50:条件特定処理)
条件判定部26は、ステップS49で抽出されたルールの発生可能性を読み出す。そして、処理をステップS44に戻して、読み出された発生可能性を用いて、再びステップS42で抽出された各ルールについて、ステップS41で読み出されたレコードが、そのルールの各条件に合致するか否かを判定する。
条件判定部26は、ステップS49で抽出されたルールの発生可能性を読み出す。そして、処理をステップS44に戻して、読み出された発生可能性を用いて、再びステップS42で抽出された各ルールについて、ステップS41で読み出されたレコードが、そのルールの各条件に合致するか否かを判定する。
上述した例であれば、発生可能性として1が読み出される。つまり、マルウェア感染の発生可能性は1となる。この情報に基づき、再びルールNo50とルールNo51とについて、各条件に合致するか否かが判定される。すると、図22のNo5の脅威は、ルールNo50については、条件1〜3の全てが合致する。
その結果、図25に示すように、図22のNo5の脅威の発生可能性は1と特定される。
その結果、図25に示すように、図22のNo5の脅威の発生可能性は1と特定される。
以上のように、実施の形態3に係るリスク分析装置10は、脅威の発生場所となる構成要素に対して発生する可能性のある別の脅威の発生可能性に応じて、脅威の発生可能性を特定する。これにより、脅威の発生源となる別の脅威の発生可能性を利用して、脅威の発生可能性を特定することが可能である。
10 リスク分析装置、11 プロセッサ、12 メモリ、13 ストレージ、14 通信インタフェース、15 処理回路、21 情報取得部、22 脅威抽出部、23 可能性特定部、24 リスク値計算部、25 ルール抽出部、26 条件判定部、27 通信判定部、31 共通情報記憶部、311 脅威データ、312 可能性設定情報、313 対応情報、32 分析対象記憶部、321 脅威抽出結果、322 構成情報、323 発生可能性情報、324 リスク分析情報、325 接続先情報、326 通信制御情報、50 分析対象システム。
Claims (8)
- 分析対象システムに対する脅威の発生可能性を、前記脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて特定する可能性特定部であって、前記脅威を対象脅威として、前記対象脅威の発生場所となる構成要素に対する別の脅威の発生可能性に応じて、前記対象脅威の発生可能性を特定する可能性特定部と、
前記可能性特定部によって特定された前記発生可能性から、前記分析対象システムの前記脅威に対するリスクの大きさを示すリスク値を計算するリスク値計算部と
を備えるリスク分析装置。 - 前記可能性特定部は、前記脅威の識別子と、前記セキュリティ対策との組合せに応じて、前記発生可能性を特定する
請求項1に記載のリスク分析装置。 - 前記可能性特定部は、システムの種別毎に用意された可能性設定情報であって、前記脅威の識別子と、実施されているセキュリティ対策との組合せ毎に、前記発生可能性が定義された可能性設定情報のうち、前記分析対象システムの種別に対応する可能性設定情報を用いて、前記発生可能性を特定する
請求項2に記載のリスク分析装置。 - 前記リスク値計算部は、前記発生可能性と、前記発生場所となる構成要素の資産価値とから、前記リスク値を計算する
請求項1から3までのいずれか1項に記載のリスク分析装置。 - 前記可能性特定部は、前記発生場所となる構成要素への前記分析対象システムにおける通信経路の通信制御に応じて、前記発生可能性を特定する
請求項1から4までのいずれか1項に記載のリスク分析装置。 - 前記可能性特定部は、前記別の脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて、前記別の脅威の前記発生可能性を特定した上で、特定された前記別の脅威の前記発生可能性に応じて、前記対象脅威の発生可能性を特定する
請求項1から5までのいずれか1項に記載のリスク分析装置。 - コンピュータが、分析対象システムに対する脅威の発生可能性を、前記脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて特定するとともに、前記脅威を対象脅威として、前記対象脅威の発生場所となる構成要素に対する別の脅威の発生可能性に応じて、前記対象脅威の発生可能性を特定し、
コンピュータが、特定された前記発生可能性から、前記分析対象システムの前記脅威に対するリスクの大きさを示すリスク値を計算するリスク分析方法。 - 分析対象システムに対する脅威の発生可能性を、前記脅威の発生場所となる構成要素に対して実施されているセキュリティ対策に応じて特定する可能性特定処理であって、前記脅威を対象脅威として、前記対象脅威の発生場所となる構成要素に対する別の脅威の発生可能性に応じて、前記対象脅威の発生可能性を特定する可能性特定処理と、
前記可能性特定処理によって特定された前記発生可能性から、前記分析対象システムの前記脅威に対するリスクの大きさを示すリスク値を計算するリスク値計算処理と
をコンピュータに実行させるリスク分析プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/008945 WO2018163274A1 (ja) | 2017-03-07 | 2017-03-07 | リスク分析装置、リスク分析方法及びリスク分析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6425865B1 true JP6425865B1 (ja) | 2018-11-21 |
| JPWO2018163274A1 JPWO2018163274A1 (ja) | 2019-03-22 |
Family
ID=63449041
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018541441A Active JP6425865B1 (ja) | 2017-03-07 | 2017-03-07 | リスク分析装置、リスク分析方法及びリスク分析プログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP6425865B1 (ja) |
| WO (1) | WO2018163274A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6995726B2 (ja) * | 2018-09-26 | 2022-01-17 | フォルシアクラリオン・エレクトロニクス株式会社 | 脆弱性評価装置、脆弱性評価システム及びその方法 |
| JP6952090B2 (ja) * | 2019-10-18 | 2021-10-20 | ソフトバンク株式会社 | 生成装置、プログラム、及び生成方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007156816A (ja) * | 2005-12-05 | 2007-06-21 | Nec Corp | リスク分析装置、リスク分析方法およびリスク分析用プログラム |
| JP2008129648A (ja) * | 2006-11-16 | 2008-06-05 | Nec Corp | セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム |
| JP2012093804A (ja) * | 2010-10-22 | 2012-05-17 | Hitachi Ltd | セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム |
| US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
| JP2015095159A (ja) * | 2013-11-13 | 2015-05-18 | 日本電信電話株式会社 | 評価方法及び評価装置 |
| JP2015130153A (ja) * | 2013-12-06 | 2015-07-16 | 三菱電機株式会社 | リスク分析装置及びリスク分析方法及びリスク分析プログラム |
-
2017
- 2017-03-07 JP JP2018541441A patent/JP6425865B1/ja active Active
- 2017-03-07 WO PCT/JP2017/008945 patent/WO2018163274A1/ja active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007156816A (ja) * | 2005-12-05 | 2007-06-21 | Nec Corp | リスク分析装置、リスク分析方法およびリスク分析用プログラム |
| JP2008129648A (ja) * | 2006-11-16 | 2008-06-05 | Nec Corp | セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム |
| JP2012093804A (ja) * | 2010-10-22 | 2012-05-17 | Hitachi Ltd | セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム |
| US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
| JP2015095159A (ja) * | 2013-11-13 | 2015-05-18 | 日本電信電話株式会社 | 評価方法及び評価装置 |
| JP2015130153A (ja) * | 2013-12-06 | 2015-07-16 | 三菱電機株式会社 | リスク分析装置及びリスク分析方法及びリスク分析プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018163274A1 (ja) | 2018-09-13 |
| JPWO2018163274A1 (ja) | 2019-03-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR20120078018A (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
| US11601443B2 (en) | System and method for generating and storing forensics-specific metadata | |
| GB2527323A (en) | Runtime protection of web services | |
| US20210157909A1 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
| JPWO2019224911A1 (ja) | 設置場所選定支援装置、設置場所選定支援方法及び設置場所選定支援プログラム | |
| US9026612B2 (en) | Generating a custom parameter rule based on a comparison of a run-time value to a request URL | |
| US20180165452A1 (en) | Electronic device and method for detecting malicious file | |
| US20210117536A1 (en) | Information processing device and information processing method | |
| JP6425865B1 (ja) | リスク分析装置、リスク分析方法及びリスク分析プログラム | |
| US20130124846A1 (en) | External boot device, program product, external boot method, and network communication system | |
| US11366902B2 (en) | System and method of detecting malicious files based on file fragments | |
| US11140186B2 (en) | Identification of deviant engineering modifications to programmable logic controllers | |
| CN111368128A (zh) | 目标图片的识别方法、装置和计算机可读存储介质 | |
| CN109446054B (zh) | 基于大数据的越权操作请求的处理方法及终端设备 | |
| JP6018344B2 (ja) | 動的読み込みコード解析装置、動的読み込みコード解析方法及び動的読み込みコード解析プログラム | |
| CN111212153A (zh) | Ip地址核查方法、装置、终端设备及存储介质 | |
| JP6579995B2 (ja) | 静観候補特定装置、静観候補特定方法及び静観候補特定プログラム | |
| EP3848835B1 (en) | Systems and methods for protecting against unauthorized memory dump modification | |
| US20200274901A1 (en) | Security design planning support device | |
| CN114021131A (zh) | 一种获取数据分析图谱的方法、装置及电子设备 | |
| CN106911678B (zh) | 一种病毒检测方法及装置 | |
| JP6599053B1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| JP7195384B1 (ja) | 導入支援装置、導入支援方法及び導入支援プログラム | |
| KR20190070583A (ko) | 사이버 위협 정보에 대한 통합 표현 규격 데이터 생성 방법 및 장치 | |
| EP3767510A1 (en) | System and method of detecting malicious files based on file fragments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180808 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180808 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20180808 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20180918 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180925 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181023 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6425865 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |