JP6475654B2 - 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 - Google Patents

情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 Download PDF

Info

Publication number
JP6475654B2
JP6475654B2 JP2016046752A JP2016046752A JP6475654B2 JP 6475654 B2 JP6475654 B2 JP 6475654B2 JP 2016046752 A JP2016046752 A JP 2016046752A JP 2016046752 A JP2016046752 A JP 2016046752A JP 6475654 B2 JP6475654 B2 JP 6475654B2
Authority
JP
Japan
Prior art keywords
information
attack
autonomous
countermeasure
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016046752A
Other languages
English (en)
Other versions
JP2017162243A5 (ja
JP2017162243A (ja
Inventor
甲斐 賢
賢 甲斐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2016046752A priority Critical patent/JP6475654B2/ja
Publication of JP2017162243A publication Critical patent/JP2017162243A/ja
Publication of JP2017162243A5 publication Critical patent/JP2017162243A5/ja
Application granted granted Critical
Publication of JP6475654B2 publication Critical patent/JP6475654B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は、情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法に関する。
特許文献1には、セキュリティログを分析することでサイバー攻撃の検知を行うセキュリティログ分析装置に関して記載されている。セキュリティログ分析装置は、攻撃を検知する検知装置が備えられたコンピュータシステムのログを記憶するログデータベースと、コンピュータシステムを対象とする複数の攻撃と当該複数の攻撃の順番とを定義する攻撃シナリオを記憶する攻撃シナリオデータベースと、攻撃シナリオデータベースに記憶された攻撃シナリオで定義されている複数の攻撃のうち、検知装置により未だ検知されておらず、当該攻撃シナリオで定義されている順番が検知装置により既に検知されている少なくとも1つの攻撃よりも前の攻撃を抽出する関連攻撃抽出部と、ログデータベースに記憶されたログを分析し、コンピュータシステムが関連攻撃抽出部により抽出された攻撃を受けていたかどうかを判定し、受けていたと判定した場合に、攻撃の検知漏れが発生したと判断する攻撃判定部とを備える。
特開2015−121968号公報
昨今、官公庁や企業等の組織を狙ったサイバー攻撃が後を絶たず、手口も大変巧妙になってきている。とくに標的型攻撃と称される、明確な目的を持って組織内の情報を狙う攻撃は、組織の通信ネットワークの奥深くに侵入し、新しい攻撃手法を執拗に繰り返す。このため、官公庁や企業等の組織においては、新しい攻撃手法について迅速にセキュリティ情報を入手し有効なセキュリティ対策を講じることが求められている。尚、特許文献1では攻撃シナリオの定義方法については触れておらず、日々進化する新しい攻撃手法に対して必ずしも迅速かつ有効に対処することができない。
本発明は、こうした背景に鑑みて成されたもので、通信ネットワークを介して行われる攻撃に対して迅速かつ効果的に対処することが可能な、情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法を提供することを目的としている。
上記課題を解決するための本発明のうちの一つは、情報セキュリティシステムであって、通信ネットワークに接続され、前記通信ネットワークを介して受けた攻撃に関する情報である攻撃情報を含むセキュリティ情報を有する複数の自律型システムと、前記自律型システムの夫々に設けられ、夫々対応する前記自律型システムと通信可能に接続する複数の情報共有装置と、前記情報共有装置の夫々と通信可能に接続するサーバ装置と、を含み、前記情報共有装置は、夫々に対応する前記自律型システムが有している前記攻撃情報を取得し、取得した前記攻撃情報を前記サーバ装置に送信し、前記サーバ装置は、前記自律型システムの夫々の前記攻撃情報を分析することにより、類似する攻撃を受けている前記自律型システムを特定し、類似すると特定した前記自律型システムの一方である第1の前記自律型システムに対応する第1の前記情報共有装置が有している前記セキュリティ情報のうち、類似すると特定した前記自律型システムの他方である第2の前記自律型システムに
対応する第2の前記情報共有装置が有していないセキュリティ情報である差分の情報を特定し、特定した前記差分の情報に基づく情報である通知情報を、前記第2の情報共有装置に送信し、前記第2の前記情報共有装置が、前記通知情報を受信し、受信した前記通知情報を前記第2の自律型システムに送信し、前記第2の自律型システムが、前記通知情報を受信し、受信した前記通知情報に基づき攻撃に対するセキュリティ対策を実施する。
その他、本願が開示する課題、及びその解決方法は、発明を実施するための形態の欄、及び図面により明らかにされる。
本発明によれば、通信ネットワークを介して行われる攻撃に対して迅速かつ効果的に対処することができる。
情報セキュリティシステム1の概略的な構成を示す図である。 情報セキュリティシステム1を構成する各種装置のハードウェアの一例として示す情報処理装置100のブロック図である。 対策情報テーブル1310の一例である。 攻撃情報テーブル1510の一例である。 共有ルール情報テーブル1610の一例である。 共有ルール情報テーブル1610の一例である。 収集対策情報テーブル2210の一例である。 収集攻撃情報テーブル2310の一例である。 情報セキュリティ支援処理S800を説明するフローチャートである。 前処理テーブル500の一例である。 セキュリティ情報共有画面600の一例である。 前処理テーブル700の一例である。 セキュリティ情報共有画面800の一例である。
以下、実施形態につき図面を参照しつつ説明する。尚、以下の説明並びに図面において、同一の又は類似する構成に共通の符号を付して説明を省略することがある。また「自律型システム30A,30B,30C,・・・」を「自律型システム30」と表記する等、符号の添字部分(A,B,C等)を省略して同一の又は類似する構成を総称することがある。また「データベース」のことを「DB」と略記することがある。
図1に、実施形態として説明する情報セキュリティシステム1の概略的な構成を示している。同図に示すように、情報セキュリティシステム1は、複数の自律型システム30A,30B,30C,・・・、複数の情報共有装置10A,10B,10C,・・・、サーバ装置20、及び対策DB3を含む。
自律型システム30は、いずれもインターネット等の不特定多数の者が利用する通信ネットワーク5に接続する情報処理システムである。自律型システム30は、通信ネットワーク5を介して行われる攻撃に対して所定の対処(予防、防御等)を実施するためのリソース(情報、資源、構成、仕組み)を備えている。自律型システム30は、上記リソースとしてセキュリティに関する情報(後述する攻撃情報、後述する対策情報等。以下、セキュリティ情報とも称する。)を管理する。尚、「自律的」とは、他の情報処理システムにリソースを依存することなく、夫々に備えられたリソースを利用して攻撃に対処することができる、という意味である。
自律型システム30は、一つ以上の要素(コンポーネント)を備えて構成されている。以下では、自律型システム30Aが複数の要素からなる生産システムである場合を例として説明するが、自律型システム30は他の種類の情報処理システムであってもよい。
同図に示すように、自律型システム30Aは、要素として、制御装置31、MES32(MES:Manufacturing Execution System、製造実行システム)、セキュリティ機能部33、ERPシステム34(ERP:Enterprise Resource Planning、企業資源計画)、ファイアウォール35を備える。これらの要素は、例えば、自律型システム30Aに備えられたLAN(Local Area Network)、WAN(Wide Area Network)等の有線又は無線の通信手
段を介して互いに通信可能に接続されている。同図に示すように、MES32は、セキュリティ機能部33を備える。セキュリティ機能部33は、前述した「自律的」な機能を実現するリソースとして、例えば、マルウェアの対策機能、ホワイトリスト型のアプリケーションの起動制御機能等を有する。
情報共有装置10は、LAN、WAN、インターネット等の有線又は無線の通信手段を介して、夫々、対応する自律型システム30と通信可能に接続している。本例では、自律型システム30Aには情報共有装置10Aが、自律型システム30Bには情報共有装置10Bが、自律型システム30Cには情報共有装置10Cが、夫々接続しているものとする。また情報共有装置10は、いずれもLAN、WAN、インターネット等の有線又は無線の通信手段を介してサーバ装置20と通信可能に接続している。
同図に示すように、情報共有装置10は、情報取得部11、対策適用処理部12、対策情報DB13、ログ情報DB14、攻撃情報DB15、及び共有ルール情報DB16を備える。
情報取得部11は、自律型システム30から、自律型システム30が通信ネットワーク5を介して受けた攻撃に関する情報である攻撃情報を含むログ情報を取得する。情報取得部11は、例えば、自律型システム30の各要素が管理する「Syslog」等の履歴情報をログ情報として取得する。情報取得部11は、取得したログ情報をログ情報DB14に管理する。
情報取得部11は、自律型システム30から、自律型システム30において設定されている、通信ネットワーク5を通じて行われる攻撃に対する対策(以下、セキュリティ対策とも称する)に関する情報である対策情報を取得する。対策情報は、例えば、セキュリティに関する各種設定に関する情報、修正プログラム(セキュリティパッチ(security patch))の配布に関する情報等である。情報取得部11は、対策情報を、例えば、API(Application Programming Interface)、アドインソフトウェア、コマンドラインツール
等を介して、自律型システム30の各要素から取得する。
対策適用処理部12は、自律型システム30への対策情報の適用や更新を行う。
サーバ装置20は、情報共有装置10及び対策DB3と、LAN、WAN、インターネット等の通信手段を介して通信可能に接続している。サーバ装置20は、例えば、クラウドサービスによって提供されるクラウドサーバとして実現されるものであってもよい。
同図に示すように、サーバ装置20は、通信処理部21、収集対策情報DB22、収集攻撃情報DB23、前処理部24、協調フィルタリング処理部25、対策通知処理部26、及び攻撃予測部27を備える。
通信処理部21は、サーバ装置20の、情報共有装置10や対策DB3との間の通信を
実現する。
収集対策情報DB22には、情報共有装置10から送られてくる対策情報が管理される。
収集攻撃情報DB23には、情報共有装置10から送られてくる攻撃情報が管理される。
前処理部24は、後述する協調フィルタリングのための前処理(事前準備処理)を行う。前処理の詳細については後述する。
協調フィルタリング処理部25は、後述する協調フィルタリングを行う。尚、例えば、「特許庁、標準技術集、協調フィルタリングによるリコメンデーションhttps://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijutsu/net_koukoku/134.html(2016年3月4日
検索)」には、上記協調フィルタリングの事例(相関係数法)記載されている。
対策通知処理部26は、後述する協調フィルタリングにより得られる類似度を、該当する自律型システム30ごとに設定される共有ルール情報DB16の類似度範囲222と対照してセキュリティ情報のユーザ(管理者等)への通知方法223(後述)を取得し、取得した上記通知方法とともに対策情報等の後述する差分の情報を情報共有装置10に通知(送信)する。
攻撃予測部27は、後述する協調フィルタリングにより得られる類似度を、該当する自律型システム30ごとに設定される共有ルール情報DB16の類似度範囲222と対照してセキュリティ情報のユーザ(管理者等)への通知方法223(後述)を取得する。また攻撃予測部27は、自律型システム30が次に受ける攻撃を予測し、予測した内容(攻撃の種類や予測日時等)を、取得した上記通知方法とともに情報共有装置10に通知する。
対策DB3は、自律型システム30の要素に導入されているソフトウェアやオペレーティングシステムの開発元、セキュリティ情報の提供を行っている情報セキュリティに関する組織等によって公表もしくは提供されるセキュリティ情報を管理する。対策DB3の内容は、例えば、インターネットを経由して取得される情報によって随時更新される。
情報セキュリティシステム1においては、自律型システム30間(情報共有装置10間)で夫々が有しているセキュリティ情報が共有され、自律型システム30間(情報共有装置10間)で協調して情報セキュリティが確保される。例えば、攻撃者2が自律型システム30A〜30Cを標的としている場合、サーバ装置20は、情報共有装置10から提供される自律型システム30A〜30Cの攻撃情報を分析することにより、類似した攻撃を受けている複数の自律型システム30を特定し、特定した自律型システム30間(情報共有装置10間)で上記類似した攻撃に対する夫々の対策情報が共有される。即ち各自律型システム30間でセキュリティ情報を補完し合うことができる。そして日々進化するサイバー攻撃に対して自律型システム30間でセキュリティ情報が迅速に共有され、各自律型システム30において迅速に効果的な対処を行うことができる。またある自律型システム30における攻撃情報に基づき、他の自律型システム30に対して行われる攻撃を予測することができ、他の自律型システム30や当該自律型システム30の情報共有装置10において、事前に適切な対策を講じることができる。
図2は、自律型システム30の各要素、情報共有装置10、サーバ装置20、及び対策DB3を実現するハードウェアの一例として示す情報処理装置100のブロック図である。情報処理装置100は、例えば、パーソナルコンピュータ、サーバコンピュータ、ワー
クステーション、ファクトリーコンピュータ、メインフレーム、クラウドシステムが提供するクラウドサーバ等である。
同図に示すように、情報処理装置100は、プロセッサ101、メモリ102、記憶装置103、入力装置104、出力装置105、及び通信装置106を備える。これらは図示しないバス等の通信手段を介して互いに通信可能に接続されている。
プロセッサ101は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)を用いて構成されている。プロセッサ101が、メモリ102に格納されているプログラムを読み出して実行することにより、情報処理装置100の様々な機能が実現される。メモリ102は、プログラムやデータを記憶する装置であり、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、不揮発性半導体メモリ(NVRAM(Non Volatile RAM))等である。記憶装置103は、例えば、ハードディスクドライブ、SSD(Solid State Drive)、光学式記憶装置(CD(Compact Disc)、
DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDメモリカード等の記録媒体の読取/書込装置等である。記憶装置103に格納されているプログラムやデータはメモリ102に随時ロードされる。
入力装置104は、例えば、キーボード、マウス、タッチパネル、カードリーダ、音声入力装置等である。出力装置105は、ユーザにフィードバックや演算結果等を提供するユーザインタフェースであり、例えば、画面表示装置(液晶モニタ、LCD(Liquid Crystal Display)、グラフィックカード)、音声出力装置(スピーカ)、印字装置等である。尚、入力装置104や出力装置105は必ずしも必須の構成ではなく、例えば、情報処理装置100が通信装置106を介して他の装置との間で情報の入力や出力を行う構成としてもよい。
通信装置106は、他の装置との間やインターネットを介した通信を実現する、有線方式又は無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、各種無線通信モジュール、USB(Universal Serial Interface)モジュール、シリアル通信(RS−232C、RS−422、RS485等)モジュールである。
図1に示した、情報共有装置10、サーバ装置20、及び自律型システム30の夫々が備える各種機能部や各種処理部は、例えば、情報処理装置100のプロセッサ101が、メモリ102や記憶装置103に格納されているプログラムを読み出して実行することにより、もしくは、情報処理装置100が備えるハードウェアにより実現される。また図1に示した各種データベースは、例えば、情報処理装置100において動作するDBMS(DataBase Management System)により実現される。尚、データベースに格納される情報は、例えば、メモリ102や記憶装置103に格納されていてもよい。
情報共有装置10、サーバ装置20、及び自律型システム30は、夫々、独立したハードウェアで実現してもよいし、これらのうちの少なくともいずれか(例えば、情報共有装置10と自律型システム30)を共通のハードウェアで実現してもよい。また負荷分散や可用性の向上等を目的として、情報共有装置10、サーバ装置20、及び自律型システム30の少なくともいずれかを、協調して動作する複数のハードウェアで構成してもよい。
図3に対策情報DB13のテーブル(以下、対策情報テーブル1310と称する。)の一例を示している。同図に示すように、対策情報テーブル1310は、システムID201、要素ID202、対策ID203、及び対策内容204の各項目からなる一つ以上のレコード(エントリ)を含む。一つのレコードは一つの対策情報に対応している。
システムID201には、個々の自律型システム30を特定する識別子(以下、システムIDと称する。)が設定される。例えば、システムID201には、自律型システム30AのシステムIDである「A」、自律型システム30BのシステムIDである「B」、自律型システム30CのシステムIDである「C」等が設定される。同図に示す対策情報テーブル1310の内容は、情報共有装置10Aが自律型システム30Aから取得した情報であるので、システムID201には、自律型システム30AのシステムIDである「A」が設定されている。
要素ID202には、自律型システム30の要素を特定する識別子(以下、要素IDと称する。)が設定される。例えば、要素ID202には、MES32の要素IDである「MES」、制御装置31の要素IDである「制御装置」、ファイアウォール35の要素IDである「ファイアウォール」等が設定される。同図に示す対策情報テーブル1310の内容は、情報共有装置10Aが自律型システム30Aから取得した情報であるので、要素ID202には、自律型システム30Aが備える要素の要素IDが設定されている。
対策ID203には、対策情報の内容を識別する業界標準の識別子である対策IDが設定される。本実施形態では、対策IDとして、セキュリティ設定項目ごとに付与されるCCE(Common Configuration Enumeration)の設定項目識別子を用いる。このように、対策情報を業界標準の識別子を用いて管理することで、例えば、異なる自律型システム30の夫々において実施されているセキュリティ対策が同一か否かを容易に判定することができる。同図に示す対策情報テーブル1310の内容は、情報共有装置10Aが自律型システム30Aから取得した情報であるので、対策ID203には、自律型システム30Aにおいて取られている対策の対策IDが設定されている。
対策内容204には、対策情報の内容を示す情報が設定される。同図に示す対策情報テーブル1310の内容は、情報共有装置10Aが自律型システム30Aから取得した情報であるので、対策内容204には、自律型システム30Aにおいて取られている対策の内容が設定されている。
図4に攻撃情報DB15のテーブル(以下、攻撃情報テーブル1510と称する。)の一例を示している。攻撃情報DB15の内容は、情報共有装置10が、ログ情報DB14に基づき生成する。
同図に示すように、攻撃情報テーブル1510は、日時211、システムID212、要素ID213、攻撃ID214、及び攻撃内容215の各項目からなる一つ以上のレコード(エントリ)を含む。一つのレコードは一つの攻撃情報に対応しており、攻撃情報テーブル1510のレコード数は、当該情報共有装置10に対応する自律型システム30が受けた攻撃の数に対応している。
日時211には、システムID212と要素ID213とで特定される自律型システム30が攻撃を受けた日時が設定される。同図に示す攻撃情報テーブル1510の内容は、情報共有装置10Aが自律型システム30Aから取得した情報であるので、日時211には、自律型システム30Aが攻撃を受けた日時が設定される。
システムID212には、前述したシステムIDが設定される。同図に示す攻撃情報テーブル1510の内容は、情報共有装置10Aが自律型システム30Aから取得した情報であるので、システムID212には、自律型システム30AのシステムIDである「A」が設定されている。
要素ID213には、前述した要素IDが設定される。同図に示す攻撃情報テーブル1
510の内容は、情報共有装置10Aが自律型システム30Aから取得した情報であるので、要素ID213には、要素ID202と同様に、自律型システム30Aが備える要素の要素IDが設定されている。
攻撃ID214には、攻撃情報の内容を識別する業界標準の識別子である攻撃IDが設定される。本実施形態では、攻撃IDとして、CAPEC(Common Attack Pattern Enumeration)が攻撃パターンごとに付与している識別子を攻撃IDに用いる。情報共有装置
10は、自律型システム30から取得したログ情報に攻撃IDを付与(補完)する。このように、攻撃情報を業界標準の識別子を用いて管理することで、例えば、異なる自律型システム30の夫々が受けた攻撃が同一か否かを容易に判定することができる。同図に示す攻撃情報テーブル1510の内容は、情報共有装置10Aが自律型システム30Aから取得した情報であるので、攻撃ID214には、自律型システム30Aが受けた攻撃の攻撃IDが設定されている。
攻撃内容215には、攻撃の具体的な内容を示す情報が設定される。同図に示す攻撃情報テーブル1510の内容は、情報共有装置10Aが自律型システム30Aから取得した情報であるので、攻撃内容215には、自律型システム30Aが受けた攻撃の具体的な内容を示す情報が設定される。
図5A、図5Bに共有ルール情報DB16のテーブル(以下、共有ルール情報テーブル1610と称する。)の一例を示している。共有ルール情報テーブル1610は、共有範囲221、類似度範囲222、及び通知方法223の各項目からなる一つ以上のレコード(エントリ)を含む。一つのレコードは一つのルール(以下、通知方法とも称する。)に対応している。共有ルール情報テーブル1610の内容は、例えば、人間系により設定される。サーバ装置20は、例えば、情報共有装置10と通信することにより、共有ルール情報テーブル1610の内容を適宜取得する。
共有範囲221には、自律型システム30が他の自律型システム30とセキュリティ情報を共有する範囲を特定する情報(以下、共有範囲とも称する。)が設定される。例えば、サーバ装置20の管理対象である全ての自律型システム30間でセキュリティ情報を共有する場合、図5Aに示すように、共有範囲221には「協調場全体」が設定される。
またサーバ装置20の管理対象である自律型システム30のうちの一部の自律型システム30で構成されるグループ内でセキュリティ情報を共有する場合、図5Bに示すように、共有範囲221には、例えば、上記グループを特定する識別子(「グループa」、「グループb」等。以下、グループIDと称する。)を設定する。尚、この場合、サーバ装置20は、共有範囲221に同じグループIDが設定されている自律型システム30間でセキュリティ情報を共有するように動作する。例えば、自律型システム30A,30B,30Cの夫々の共有範囲221に「グループa」が設定されている場合、サーバ装置20は自律型システム30A,30B,30C間でのみセキュリティ情報が共有されるように動作する。このように、セキュリティ情報を共有する範囲をグループ内に制限することで、例えば、対策情報や攻撃情報をグループ外部に知らせたくないといったニーズにも対応することができる。また互いに信頼しているグループ内の自律型システム30間で安全にセキュリティ情報を共有することができる。
類似度範囲222には、後述する協調フィルタリングにより求められた2つの自律型システム30間の攻撃情報の類似度に基づき、セキュリティ情報のユーザへの通知方法223を選択する際の判定基準(以下、類似度範囲と称する。)が設定される。通知方法223には、類似度範囲222に対応する通知方法を示す情報(「ポップアップ」、「電子メール」、「通知しない」等)が設定される。
図5A又は図5Bに示す共有ルール情報テーブル1610の例では、2つの自律型システム30の類似度が80%以上である場合、少なくともいずれか一方の自律型システム30のユーザにその旨をポップアップで知らせる旨が設定されている。また2つの自律型システム30の類似度が50%以上である場合、少なくともいずれか一方の自律型システム30のユーザにその旨を電子メールで知らせる旨が設定されている。また2つの自律型システム30の類似度が50%未満である場合、とくに通知を行わない旨が設定されている。
図6にサーバ装置20の収集対策情報DB22のテーブル(以下、収集対策情報テーブル2210と称する。)の一例を示している。収集対策情報テーブル2210には、サーバ装置20が、情報共有装置10から受信(収集)した対策情報及び共有範囲が管理される。サーバ装置20は、随時(毎日、毎週、毎月等)の頻度で情報共有装置10Bから対策情報及び共有範囲を受信する。またサーバ装置20は、例えば、情報共有装置10において対策情報又は共有範囲が更新されたことを契機として情報共有装置10から対策情報及び共有範囲を受信する。
同図に示すように、収集対策情報テーブル2210は、システムID301、要素ID302、対策ID303、及び共有範囲304の各項目からなる一つ以上のレコード(エントリ)を含む。一つのレコードは一つの対策情報に対応している。システムID301には、前述したシステムIDが設定される。要素ID302には、前述した要素IDが設定される。対策ID303には、前述した対策IDが設定される。共有範囲304には、前述した共有範囲が設定される。
図7にサーバ装置20の収集攻撃情報DB23のテーブル(以下、収集攻撃情報テーブル2310と称する。)の一例を示している。収集攻撃情報テーブル2310には、サーバ装置20が、情報共有装置10から受信(収集)した攻撃情報及び共有範囲が管理される。サーバ装置20は、例えば、リアルタイム(分毎等)に情報共有装置10Bから攻撃情報及び共有範囲を受信する。またサーバ装置20は、例えば、情報共有装置10において攻撃情報又は共有範囲が更新されたことを契機として情報共有装置10から攻撃情報及び共有範囲を受信する。
同図に示すように、収集攻撃情報テーブル2310は、日時321、システムID322、要素ID323、攻撃ID324、及び共有範囲325の各項目からなる一つ以上のレコード(エントリ)を含む。一つのレコードは一つの攻撃に対応している。日時321には、攻撃を受けた日時が設定される。システムID322には、前述したシステムIDが設定される。要素ID323には、前述した要素IDが設定される。攻撃ID324には、前述した攻撃IDが設定される。共有範囲325には、前述した共有範囲が設定される。
[処理説明]
続いて、図8に示すフローチャートとともに、情報セキュリティシステム1において行われる処理(以下、情報セキュリティ支援処理S800と称する。)について説明する。尚、以下、サーバ装置20が、情報共有装置10Aのセキュリティ情報を利用して、情報共有装置10Bにセキュリティ情報を提供する場合を例として説明する。
サーバ装置20は、情報共有装置10A,10B,10C,・・・の夫々から、自律型システム30A,30B,30C,・・・の共有範囲を受信する(S811,S831,S851)。尚、情報共有装置10A,10B,10C,・・・からサーバ装置20への共有範囲の通知(送信)は、例えば、共有ルール情報テーブル1610の共有範囲221
の内容が更新されたタイミングで行うようにしてもよい。以下、自律型システム30A,30B,30C,・・・のいずれについても共有範囲(共有範囲221)として「協調場全体」が設定されているものとする。
サーバ装置20は、情報共有装置10A,10B,10C,・・・の夫々から対策情報を受信し、受信した対策情報をS831で取得した共有範囲とともに、収集対策情報DB22に格納する(S812,S832,S852)。尚、情報共有装置10A,10B,10C,・・・の夫々が、対策IDのみをサーバ装置20に送信する構成としてもよい。自律型システム30のユーザによっては、対策内容の詳細をなるべく外部に出したくないと考えている場合もあり、そのような場合はこのように対策IDのみをサーバ装置20に送信する構成とすることでユーザニーズに応えることができる。またこのように対策IDのみをサーバ装置20に送信するようにすることで、サーバ装置20と情報共有装置10との間の通信量を軽減する効果も期待できる。
同図に示すように、サーバ装置20は、情報共有装置10A,10B,10C,・・・の夫々から攻撃情報を受信し、受信した攻撃情報をS831で取得した共有範囲とともに、収集攻撃情報DB23に格納する(S814,S833,S854)。尚、前述したように、情報共有装置10A,10B,10C,・・・の夫々は、自律型システム30A,30B,30C,・・・から取得してログ情報DB14に格納したログ情報に攻撃IDを付与(補完)して攻撃情報を生成し、生成した攻撃情報を攻撃情報DB15に格納する(S813,S853)。尚、情報共有装置10A,10B,10C,・・・の夫々が、攻撃IDのみをサーバ装置20に送信する構成としてもよい。自律型システム30のユーザによっては、攻撃内容の詳細なるべく外部に出したくないと考えている場合もあり、そのような場合はこのように攻撃IDのみをサーバ装置20に送信する構成とすることでユーザニーズに応えることができる。またこのように攻撃IDのみをサーバ装置20に送信するようにすることで、サーバ装置20と情報共有装置10との間の通信量を軽減する効果も期待できる。
続いて、サーバ装置20の前処理部24が、後述する協調フィルタリング(S835)のための前処理を行う(S834)。
まず前処理部24は、図9に示す前処理テーブル500をメモリ102上に生成する。同図に示すように、前処理テーブル500は、システムID501、要素ID502、受けた攻撃503、及び実施済み対策504の各項目からなる(システムIDと要素IDの組み合わせ毎の)一つ以上のレコード(エントリ)で構成される。
同図において、受けた攻撃503の各攻撃IDに対応する欄(符号511〜513等で示す欄)には、前処理部24が、収集攻撃情報DB23の内容に基づき所定期間内に受けた攻撃の数を、攻撃(攻撃IDで特定される攻撃)ごとに計数した値が設定される。また実施済み対策504の各対策IDに対応する欄(符号521〜524等で示す欄)には、前処理部24が、収集攻撃情報DB23の内容に基づき、各攻撃(攻撃IDで特定される各攻撃)について、実施済みのセキュリティ対策がある場合は「1」を、実施済みのセキュリティ対策が無い場合は「0」を設定する。
図8に戻り、続いて、サーバ装置20の協調フィルタリング処理部25は、前処理テーブル500に基づき協調フィルタリングを行う(S835)。具体的には、協調フィルタリング処理部25は、前処理テーブル500の各行(システムID501と要素ID502の組み合わせの夫々)について、受けた攻撃503の各攻撃IDの欄の内容を対照することにより類似度を求める。ここでは、一例として、符号531で示す行と符号532で示す行との類似度Sが予め設定された閾値を超えており、両者(自律型システム30Aの
制御装置31と自律型システム30Bの制御装置31)が受けた攻撃が類似していると判定されたとする。
続いて、協調フィルタリング処理部25は、符号531で示す行と同じ行の符号541で示す実施済み対策504の行と、符号532で示す行と同じ行の符号542で示す実施済み対策504の行とを対照し、両者の差分を抽出する。この例では、協調フィルタリング処理部25は、自律型システム30Bの制御装置31において、自律型システム30Aにおいて講じられている対策523「CCE−3229−2」が実施されていないことを差分の情報として抽出する。
図8に戻り、続いて、サーバ装置20の対策通知処理部26は、情報共有装置10Bの共有ルール情報テーブル1610から類似度範囲222と通知方法223を取得し、S835で求めた類似度Sを取得した類似度範囲222と比較してユーザへの通知方法223を取得する(S836)。対策通知処理部26が、通知方法として「ポップアップ」又は「電子メール」を取得した場合(S836:Yes)、処理はS837に進む。対策通知処理部26が、通知方法として「通知しない」を取得した場合(S836:No)、処理はS831に戻る。
続いて、対策通知処理部26は、S835で抽出した差分の情報を、S836で取得した通知方法とともに情報共有装置10Bに送信する(S837)。尚、対策通知処理部26は、上記差分の情報に、対策DB3や自律型システム30Aの対策情報DB13から収集した情報(後述するS855においてユーザに提示する情報等)を適宜付加して情報共有装置10Bに送信する。
情報共有装置10Bは、差分の情報や付加された情報及び通知方法等を受信すると、受信した情報等を、上記通知方法によりユーザに提示する(S855)。
図10は、S836で対策通知処理部26が通知方法として「ポップアップ」を取得した場合に、上記提示に際して情報共有装置10Bが提供するユーザインタフェース(ポップアップ)の一例(以下、セキュリティ情報共有画面600と称する。)である。情報共有装置10Bは、対策通知処理部26から通知された情報や自身が保持している情報(対策情報DB13、ログ情報DB14、攻撃情報DB15等)、自律型システム30Bから取得される情報等に基づき、セキュリティ情報共有画面600の表示内容を生成する。尚、S836で対策通知処理部26が通知方法として「電子メール」を取得した場合、情報共有装置10Bは、例えば、セキュリティ情報共有画面600に表示される内容と同様の内容を記載した電子メールを自律型システムBのユーザ(管理者等)宛てに送信する。
同図に示すように、セキュリティ情報共有画面600には、自律型システム30Bが受けた攻撃の内容を示すテーブル601、類似する攻撃を受けている他の自律型システム30の個数602、自律型システム30Aで実施済みの対策で自律型システム30Bで未実施の対策の一覧を示すテーブル603、対策を適用するか否かを選択するチェックボックス604、適用を承認するボタン605、キャンセルボタン606等が表示される。
ユーザが、対策を適用するか否かを選択するチェックボックス604をチェックし、適用を承認するボタン605を押下すると、情報共有装置10Bの対策適用処理部12は、自律型システム30Bのチェックされた要素に対して該当する対策(自律型システム30Aで実施済みで自律型システム30Bでは未実施の対策)を適用する。
このように、情報セキュリティシステム1は、異なる自律型システム30間で夫々が受けている攻撃情報を交換し合うので、見落としていたかもしれない対策情報を効果的に補
完し合うことができる。
図8に戻り、S841では、サーバ装置20の前処理部24が、後述する協調フィルタリング(S842)のための前処理を行う。
まず前処理部24は、図11に示す前処理テーブル700をメモリ102上に生成する。同図に示すように、前処理テーブル700は、所定の期間内における、第1の攻撃と第2の攻撃の組み合わせの夫々に対応する項目を有する一つ以上のレコード(エントリ)で構成される。
前処理部24は、例えば、攻撃IDが「CAPEC−10」である攻撃を起点として上記組み合わせ(例えば、自律型システム30が受ける可能性のある攻撃の全ての組み合わせ)を生成する。一つのレコードは一つの自律型システム30に対応している。上記項目に対応する各欄(符号701〜710で示す欄等)には、第1の攻撃を受けてから第2の攻撃を受けるまでの時間間隔が設定される。前処理部24は、例えば、収集攻撃情報DB23の日時321から上記時間間隔を求める。上記項目に「−」が設定されている場合は、自律型システム30が上記所定の期間内にその組み合わせに相当する攻撃を受けていないことを示す。
図8に戻り、続いて、サーバ装置20の協調フィルタリング処理部25は、前処理テーブル700に基づき協調フィルタリングを行う(S842)。具体的には、協調フィルタリング処理部25は、異なる自律型システム30間(システムID間)で各項目の内容(時間間隔)を比較することにより類似度を求める。ここでは、自律型システム30Aと自律型システム30Bの類似度Tが予め設定された閾値を超えており、両者(自律型システム30Aと自律型システム30B)が所定の期間内に受けた攻撃が類似していると判定されたとする。
続いて、サーバ装置20の攻撃予測部27が、情報共有装置10Bから共有ルール情報テーブル1610の内容(類似度範囲222と通知方法223)を取得し、類似度Tを類似度範囲222と対照してユーザへの通知方法223を取得する(S843)。攻撃予測部27が、通知方法として「ポップアップ」又は「電子メール」を取得した場合(S843:Yes)、処理はS844に進む。攻撃予測部27が、通知方法として「通知しない」を取得した場合(S843:No)、処理はS831に戻る。
続いて、攻撃予測部27は、自律型システム30Aと自律型システム30Bの夫々の上記項目の欄の差分に基づき、自律型システム30Bが次に受ける攻撃を予測する(S844)。図11の例では、攻撃予測部27が、「CAPEC−20→CAPEC−30」の内容(符号751)が「60」であり、自律型システム30Bが「CAPEC−20」に後続して「CAPEC−30」の攻撃を未だ受けていないことから、自律型システム30Bが60分後に「CAPEC−30」の攻撃を受けると予測する。
続いて、攻撃予測部27は、予測した内容(攻撃の種類や予測日時等)を、S843で取得した通知方法とともに情報共有装置10Bに送信する(S845)。尚、攻撃予測部27は、上記予測した内容に、対策DB3や自律型システム30Aの対策情報DB13から収集した情報(後述するS857においてユーザに提示する情報等)を適宜付加して情報共有装置10Bに送信する。
情報共有装置10Bは、上記予測した内容及び通知方法等を受信すると(S856)、上記予測した内容等を、上記通知方法によりユーザに提示する(S857)。
図12は、S843で攻撃予測部27が通知方法として「ポップアップ」を取得した場合に、上記提示に際して情報共有装置10Bが提供するユーザインタフェース(ポップアップ)の一例(以下、セキュリティ情報共有画面800と称する。)である。情報共有装置10Bは、攻撃予測部27から通知された情報や自身が保持している情報(対策情報DB13、ログ情報DB14、攻撃情報DB15等)、自律型システム30Bから取得される情報等に基づき、セキュリティ情報共有画面800の表示内容を生成する。尚、S843で攻撃予測部27が通知方法として「電子メール」を取得した場合、情報共有装置10Bは、例えば、セキュリティ情報共有画面800に表示される内容と同様の内容を記載した電子メールを自律型システムBのユーザ(管理者等)宛てに送信する。
同図に示すように、セキュリティ情報共有画面800には、受けた攻撃内容一覧を示すテーブル801、類似する攻撃を受けているほかの自律型システム30の個数802、これから受けることが予想される攻撃の内容と攻撃の予測日時903、推奨される対策804、業務計画変更ボタン805、適用有無を選択するチェックボックス806、適用を承認するボタン807、キャンセルボタン808等が表示される。
ユーザは、セキュリティ情報共有画面800から、自身が受けた攻撃、類似する攻撃を受けているほかの自律型システム30の個数、これから受けることが予想される攻撃の内容と攻撃の予測日時、推奨される対策等の情報を得ることができる。
またユーザは、業務計画変更ボタン805を押下することで、自律型システム30Bの業務計画を変更することができる。ユーザは、業務計画変更ボタン805を押下して業務計画変更のためのソフトウェアを起動し、当該ソフトウェアを利用して、例えば、これから受けることが予想される攻撃の予測日時を含む時間帯に自律型システム30Bが行う処理の全部又は一部を停止(例えば、メンテナンス状態とする)する指示を自律型システム30に送信する。これにより上記時間帯に自律型システム30Bの全部又は一部が停止し(もしくはメンテナンス状態となり)、通信ネットワーク5から自律型システム30Bへのアクセスが遮断され、自律型システム30Bはこれから受けることが予想される攻撃を回避することができる。
以上に説明したように,本実施形態の情報セキュリティシステム1によれば、進化するサイバー攻撃に対して、自律型システム30同士で攻撃情報と対策情報とを共有することで、協調して効率よく対処することができ、例えば、同じ攻撃を受けている自律型システム30同士でセキュリティ情報を共有することで、自律型システム30間でセキュリティ対策を補完し合うことができる。
また標的型攻撃のようなサイバー攻撃は組織の通信ネットワークに奥深く侵入し、数多くのステップを踏むため、例えば、複数の自律型システム30の攻撃情報を横断的に収集し分析することで、攻撃者が辿った攻撃手法が把握されることも少なくない。本実施形態の情報セキュリティシステム1によれば、複数の自律型システム30のセキュリティ情報が共有されるので、こうしたサイバー攻撃に対しても迅速かつ効果的に対処することができる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は上記の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。例えば、上記の実施の形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、上記実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能部、処理部、処理手段等は、それらの一部または全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記録装置、
またはICカード、SDカード、DVD等の記録媒体に置くことができる。
また、上記の各図において、制御線や情報線は説明上必要と考えられるものを示しており、必ずしも実装上の全ての制御線や情報線を示しているとは限らない。例えば、実際にはほとんど全ての構成が相互に接続されていると考えてもよい。
また、以上に説明した情報セキュリティシステム1における各種機能部、各種処理部、各種データベースの配置形態は一例に過ぎない。各種機能部、各種処理部、各種データベースの配置形態は、情報セキュリティシステム1が備えるハードウェアやソフトウェアの性能、処理効率、通信効率等の観点から最適な配置形態に変更し得る。
また、前述した各種データベース(対策情報DB13、ログ情報DB14、攻撃情報DB15、収集対策情報DB22、収集攻撃情報DB23、対策DB3等)の構成(スキーマ(Schema)等)は、リソースの効率的な利用、処理効率向上、アクセス効率向上、検索効率向上等の観点から柔軟に変更し得る。
1 情報セキュリティシステム、2 攻撃者、3 対策DB、5 通信ネットワーク、10 情報共有装置、11 情報取得部、12 対策適用処理部、13 対策情報DB、14 ログ情報DB、15 攻撃情報DB、16 共有ルール情報DB、20 サーバ装置、21 通信処理部、22 収集対策情報DB、23 収集攻撃情報DB、24 前処理部、25 協調フィルタリング処理部、26 対策通知処理部、27 攻撃予測部、30
自律型システム、31 制御装置、32 MES、33 セキュリティ機能部、34 ERPシステム、35 ファイアウォール、500 前処理テーブル、600 セキュリティ情報共有画面、700 前処理テーブル、800 セキュリティ情報共有画面、1310 対策情報テーブル、1510 攻撃情報テーブル、1610 共有ルール情報テーブル、2210 収集対策情報テーブル、2310 収集攻撃情報テーブル

Claims (15)

  1. 通信ネットワークに接続され、前記通信ネットワークを介して受けた攻撃に関する情報である攻撃情報を含むセキュリティ情報を有する複数の自律型システムと、
    前記自律型システムの夫々に設けられ、夫々対応する前記自律型システムと通信可能に接続する複数の情報共有装置と、
    前記情報共有装置の夫々と通信可能に接続するサーバ装置と、
    を含み、
    前記情報共有装置は、夫々に対応する前記自律型システムが有している前記攻撃情報を取得し、取得した前記攻撃情報を前記サーバ装置に送信し、
    前記サーバ装置は、
    前記自律型システムの夫々の前記攻撃情報を分析することにより、類似する攻撃を受けている前記自律型システムを特定し、
    類似すると特定した前記自律型システムの一方である第1の前記自律型システムに対応する第1の前記情報共有装置が有している前記セキュリティ情報のうち、類似すると特定した前記自律型システムの他方である第2の前記自律型システムに対応する第2の前記情報共有装置が有していないセキュリティ情報である差分の情報を特定し、
    特定した前記差分の情報に基づく情報である通知情報を、前記第2の情報共有装置に送信し、
    前記第2の前記情報共有装置が、前記通知情報を受信し、受信した前記通知情報を前記第2の自律型システムに送信し、
    前記第2の自律型システムが、前記通知情報を受信し、受信した前記通知情報に基づき攻撃に対するセキュリティ対策を実施する、
    情報セキュリティシステム。
  2. 請求項1に記載の情報セキュリティシステムであって、
    前記自律型システムは、前記通信ネットワークを通じて行われる攻撃に対するセキュリティ対策に関する情報である対策情報を前記セキュリティ情報として有し、
    前記情報共有装置は、夫々に対応する前記自律型システムが有している前記対策情報を取得し、取得した前記対策情報を前記サーバ装置に送信し、
    前記サーバ装置は、
    類似すると特定した前記自律型システムの一方である第1の前記自律型システムに対応する第1の前記情報共有装置が有している前記類似する攻撃についての前記対策情報のうち、類似すると特定した前記自律型システムの他方である第2の前記自律型システムに対応する第2の前記情報共有装置が有していない前記対策情報である差分の対策情報を特定し、
    特定した前記差分の対策情報を、前記通知情報として前記第2の情報共有装置に送信し、
    前記第2の前記情報共有装置が、前記通知情報を受信し、受信した前記通知情報を前記第2の自律型システムに送信し、
    前記第2の自律型システムが、前記通知情報を受信し、受信した前記通知情報に基づき攻撃に対する対策を実施する、
    情報セキュリティシステム。
  3. 請求項1又は2に記載の情報セキュリティシステムであって、
    前記情報共有装置が前記サーバ装置に送信する前記攻撃情報には、前記攻撃情報の内容を識別する業界標準の識別子である攻撃IDが付与されており、
    前記サーバ装置は、前記第1の情報共有装置が有している前記攻撃情報の前記攻撃IDと、前記第2の情報共有装置が有している前記攻撃情報の前記攻撃IDとを比較することにより、類似する攻撃を受けている前記自律型システムを特定する、
    情報セキュリティシステム。
  4. 請求項2に記載の情報セキュリティシステムであって、
    前記情報共有装置が前記サーバ装置に送信する前記対策情報には、前記対策情報の内容を識別する業界標準の識別子である対策IDが付与されており、
    前記サーバ装置は、前記第1の情報共有装置が有している前記対策情報の前記対策IDと、前記第2の情報共有装置が有している前記対策情報の前記対策IDとを比較することにより、前記差分の対策情報を特定する、
    情報セキュリティシステム。
  5. 請求項1又は2に記載の情報セキュリティシステムであって、
    前記サーバ装置は、
    前記類似する攻撃を受けている前記自律型システムを特定する際の対象とする前記自律型システムの範囲を指定する情報である共有範囲を記憶し、
    前記共有範囲で指定された範囲の前記自律型システムを対象として、前記類似する攻撃を受けている前記自律型システムを特定する、
    情報セキュリティシステム。
  6. 請求項1又は2に記載の情報セキュリティシステムであって、
    前記サーバ装置は、前記自律型システムが所定の期間内に受けた攻撃の内容を比較の対象として、異なる前記自律型システム間で協調フィルタリングを行うことにより、類似する攻撃を受けている前記自律型システムを特定する、
    情報セキュリティシステム。
  7. 請求項1に記載の情報セキュリティシステムであって、
    前記サーバ装置は、前記自律型システムが所定の期間内に受けた、第1の攻撃の内容と前記第1の攻撃に後続して受けた第2の攻撃の内容との組み合せについて、前記第1の攻撃を受けてから前記第2の攻撃を受けるまでの時間間隔を比較の対象として、異なる前記自律型システム間で協調フィルタリングを行うことにより、類似する攻撃を受けている前記自律型システムを特定する、
    情報セキュリティシステム。
  8. 請求項7に記載の情報セキュリティシステムであって、
    前記サーバ装置は、類似する攻撃を受けていると特定した一方の前記自律型システムの前記組み合わせと前記時間間隔とに基づき、類似する攻撃を受けていると特定した他方の前記自律型システムが前記第2の攻撃を受ける時刻を予測し、予測した時刻に前記第2の攻撃を受ける可能性がある旨を前記通知情報として前記第2の情報共有装置に送信し、
    前記第2の前記情報共有装置が、前記通知情報を受信し、受信した前記通知情報を前記第2の自律型システムに送信し、
    前記第2の自律型システムが、前記通知情報を受信し、受信した前記通知情報に基づき前記第2の攻撃に対するセキュリティ対策を実施する、
    情報セキュリティシステム。
  9. 請求項8に記載の情報セキュリティシステムであって、
    前記第2の前記情報共有装置が、前記予測した時刻を含む期間に前記第2の自律型システムが行う処理の全部又は一部を停止させる指示を前記第2の自律型システムに送信し、
    前記第2の自律型システムは、前記期間に前記処理の全部又は一部を停止させる、
    情報セキュリティシステム。
  10. 請求項1に記載の前記情報セキュリティシステムにおける前記サーバ装置であって、
    前記自律型システムの夫々の前記攻撃情報を分析することにより、類似する攻撃を受けている前記自律型システムを特定し、
    類似すると特定した前記自律型システムの一方である第1の前記自律型システムに対応する第1の前記情報共有装置が有している前記セキュリティ情報のうち、類似すると特定した前記自律型システムの他方である第2の前記自律型システムに対応する第2の前記情報共有装置が有していないセキュリティ情報である差分の情報を特定し、
    特定した前記差分の情報に基づく情報である通知情報を、前記第2の情報共有装置に送信する、
    サーバ装置。
  11. 請求項2に記載の前記情報セキュリティシステムにおける前記サーバ装置であって、
    前記自律型システムの夫々の前記攻撃情報を分析することにより、類似する攻撃を受けている前記自律型システムを特定し、
    類似すると特定した前記自律型システムの一方である第1の前記自律型システムに対応する第1の前記情報共有装置が有している前記類似する攻撃についての前記対策情報のうち、類似すると特定した前記自律型システムの他方である第2の前記自律型システムに対応する第2の前記情報共有装置が有していない前記対策情報である差分の対策情報を特定し、
    特定した前記差分の対策情報を、前記通知情報として前記第2の情報共有装置に送信する、
    サーバ装置。
  12. 通信ネットワークに接続され、前記通信ネットワークを介して受けた攻撃に関する情報である攻撃情報を含むセキュリティ情報を有する複数の自律型システムと、
    前記自律型システムの夫々に設けられ、夫々対応する前記自律型システムと通信可能に接続する複数の情報共有装置と、
    前記情報共有装置の夫々と通信可能に接続するサーバ装置と、
    を含んで構成される情報セキュリティシステムにおいて行われる情報セキュリティ支援方法であって、
    前記情報共有装置が、夫々に対応する前記自律型システムが有している前記攻撃情報を取得し、取得した前記攻撃情報を前記サーバ装置に送信するステップ、
    前記サーバ装置が、
    前記自律型システムの夫々の前記攻撃情報を分析することにより、類似する攻撃を受けている前記自律型システムを特定し、
    類似すると特定した前記自律型システムの一方である第1の前記自律型システムに対応する第1の前記情報共有装置が有している前記セキュリティ情報のうち、類似すると特定した前記自律型システムの他方である第2の前記自律型システムに対応する第2の前記情報共有装置が有していないセキュリティ情報である差分の情報を特定し、
    特定した前記差分の情報に基づく情報である通知情報を、前記第2の情報共有装置に送信するステップ、
    前記第2の前記情報共有装置が、前記通知情報を受信し、受信した前記通知情報を前記第2の自律型システムに送信するステップ、
    前記第2の自律型システムが、前記通知情報を受信し、受信した前記通知情報に基づき攻撃に対するセキュリティ対策を実施するステップ、
    を含む、情報セキュリティ支援方法。
  13. 請求項12に記載の情報セキュリティ支援方法であって、
    前記自律型システムが、前記通信ネットワークを通じて行われる攻撃に対するセキュリティ対策に関する情報である対策情報を前記セキュリティ情報として有するステップ、
    前記情報共有装置が、夫々に対応する前記自律型システムが有している前記対策情報を取得し、取得した前記対策情報を前記サーバ装置に送信するステップ、
    前記サーバ装置が、
    類似すると特定した前記自律型システムの一方である第1の前記自律型システムに対応する第1の前記情報共有装置が有している前記類似する攻撃についての前記対策情報のうち、類似すると特定した前記自律型システムの他方である第2の前記自律型システムに対応する第2の前記情報共有装置が有していない前記対策情報である差分の対策情報を特定し、
    特定した前記差分の対策情報を、前記通知情報として前記第2の情報共有装置に送信し、
    前記第2の前記情報共有装置が、前記通知情報を受信し、受信した前記通知情報を前記第2の自律型システムに送信し、
    前記第2の自律型システムが、前記通知情報を受信し、受信した前記通知情報に基づき攻撃に対する対策を実施するステップ、
    を更に含む、情報セキュリティ支援方法。
  14. 請求項12又は13に記載の情報セキュリティ支援方法であって、
    前記情報共有装置が前記サーバ装置に送信する前記攻撃情報には、前記攻撃情報の内容を識別する業界標準の識別子である攻撃IDが付与されており、
    前記サーバ装置が、前記第1の情報共有装置が有している前記攻撃情報の前記攻撃IDと、前記第2の情報共有装置が有している前記攻撃情報の前記攻撃IDとを比較することにより、類似する攻撃を受けている前記自律型システムを特定するステップ、
    を更に含む、情報セキュリティ支援方法。
  15. 請求項13に記載の情報セキュリティ支援方法であって、
    前記情報共有装置が前記サーバ装置に送信する前記対策情報には、前記対策情報の内容を識別する業界標準の識別子である対策IDが付与されており、
    前記サーバ装置が、前記第1の情報共有装置が有している前記対策情報の前記対策IDと、前記第2の情報共有装置が有している前記対策情報の前記対策IDとを比較することにより、前記差分の対策情報を特定するステップ、
    を更に含む、情報セキュリティ支援方法。
JP2016046752A 2016-03-10 2016-03-10 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 Active JP6475654B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016046752A JP6475654B2 (ja) 2016-03-10 2016-03-10 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016046752A JP6475654B2 (ja) 2016-03-10 2016-03-10 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法

Publications (3)

Publication Number Publication Date
JP2017162243A JP2017162243A (ja) 2017-09-14
JP2017162243A5 JP2017162243A5 (ja) 2018-04-05
JP6475654B2 true JP6475654B2 (ja) 2019-02-27

Family

ID=59856985

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016046752A Active JP6475654B2 (ja) 2016-03-10 2016-03-10 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法

Country Status (1)

Country Link
JP (1) JP6475654B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7105096B2 (ja) * 2018-04-18 2022-07-22 株式会社日立システムズ 複数組織間の脅威情報共有システム及び方法
WO2023084563A1 (ja) * 2021-11-09 2023-05-19 日本電気株式会社 共有システム、共有方法、対策装置、対策方法及び記憶媒体

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4400868B2 (ja) * 2004-04-05 2010-01-20 日本電信電話株式会社 不正通信の自動設定侵入検知装置、方法および記録媒体
JP2008083751A (ja) * 2006-09-25 2008-04-10 Hitachi Information Systems Ltd 不正アクセス対応ネットワークシステム
US9710644B2 (en) * 2012-02-01 2017-07-18 Servicenow, Inc. Techniques for sharing network security event information
JP5640166B1 (ja) * 2014-03-31 2014-12-10 株式会社ラック ログ分析システム

Also Published As

Publication number Publication date
JP2017162243A (ja) 2017-09-14

Similar Documents

Publication Publication Date Title
US10986120B2 (en) Selecting actions responsive to computing environment incidents based on action impact information
US10404741B2 (en) Anonymized network data collection and network threat assessment and monitoring systems and methods
US9710868B2 (en) System and methods for identifying compromised personally identifiable information on the internet
US9129257B2 (en) Method and system for monitoring high risk users
US8739290B1 (en) Generating alerts in event management systems
US9537879B2 (en) Cyber security monitoring system and method for data center components
US20120047581A1 (en) Event-driven auto-restoration of websites
US9172720B2 (en) Detecting malware using revision control logs
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
CN113783845B (zh) 确定云服务器上实例风险等级的方法、装置、电子设备及存储介质
WO2018211827A1 (ja) 評価プログラム、評価方法および情報処理装置
EP3038005A1 (en) Alert transmission program, alert transmission method, and alert transmission apparatus
US20230104176A1 (en) Using a Machine Learning System to Process a Corpus of Documents Associated With a User to Determine a User-Specific and/or Process-Specific Consequence Index
US20170068892A1 (en) System and method for generation of a heuristic
JP6475654B2 (ja) 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法
US20210012014A1 (en) Vulnerability checking system, distribution server, vulnerability checking method and program
KR102516819B1 (ko) 빅데이터를 기반으로 위협 이벤트를 분석하고 대응하도록 지원하는 방법 및 이를 이용한 서버
Safarzadeh et al. A novel and comprehensive evaluation methodology for SIEM
Kuehn et al. The Notion of Relevance in Cybersecurity: A Categorization of Security Tools and Deduction of Relevance Notions
KR102022984B1 (ko) 웹 기반의 sso 서비스 방법
JP2016181191A (ja) 管理プログラム、管理装置及び管理方法
US20160103930A1 (en) System and method for providing analytics respective of contextual data
Patgiri et al. Big Data Security Analytics: Key Challenges
US11979417B2 (en) Systems and methods for emergency shutdown and restore of access entitlements responsive to security breach
Jegatheswarn et al. The impact of data analytics in cyber security

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180214

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181127

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181217

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190201

R150 Certificate of patent or registration of utility model

Ref document number: 6475654

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150