JP6552135B1 - Exercise control program for cyber attacks - Google Patents

Exercise control program for cyber attacks Download PDF

Info

Publication number
JP6552135B1
JP6552135B1 JP2018080257A JP2018080257A JP6552135B1 JP 6552135 B1 JP6552135 B1 JP 6552135B1 JP 2018080257 A JP2018080257 A JP 2018080257A JP 2018080257 A JP2018080257 A JP 2018080257A JP 6552135 B1 JP6552135 B1 JP 6552135B1
Authority
JP
Japan
Prior art keywords
attack
program
cyber
information processing
scenario
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018080257A
Other languages
Japanese (ja)
Other versions
JP2019191670A (en
Inventor
旭 小森
旭 小森
智也 加賀
智也 加賀
亮 大場
亮 大場
田代 雄一
雄一 田代
長谷川 弘
弘 長谷川
亮 阿部
亮 阿部
貴文 柳川
貴文 柳川
伊藤 賢一
賢一 伊藤
愛 鎌田
愛 鎌田
光明 堤
光明 堤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2018080257A priority Critical patent/JP6552135B1/en
Application granted granted Critical
Publication of JP6552135B1 publication Critical patent/JP6552135B1/en
Publication of JP2019191670A publication Critical patent/JP2019191670A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】サイバー攻撃に対する演習において演習対象者のスキルレベルに合わせた演習を実施するすることができるプログラムを提供する。【解決手段】複数の情報処理装置を含むシステムを用いたサイバー攻撃に対する演習をコンピュータに実行させるプログラムは、複数の情報処理装置のそれぞれに配備され、与えられた攻撃シナリオに従って処理を実行するプログラムのそれぞれに対して、攻撃シナリオに基づいて実行すべきサイバー攻撃を制御する制御信号を送信する処理をコンピュータに実行させる。【選択図】図1The present invention provides a program capable of performing an exercise in accordance with a skill level of a person to be exercised in an exercise against a cyber attack. A program for causing a computer to execute an exercise for a cyber attack using a system including a plurality of information processing devices is deployed in each of the plurality of information processing devices and executes a process according to a given attack scenario. For each, the computer is caused to execute a process of transmitting a control signal for controlling a cyber attack to be executed based on the attack scenario. [Selection] Figure 1

Description

本発明の実施形態は、プログラムに関する。   Embodiments described herein relate generally to a program.

従来、サイバー攻撃に対する演習は、演習場となる模擬的な演習システムで行われる。この演習システムでは、例えばウイルスに感染させるなどして、実際にサイバー攻撃を行うウイルスを情報処理装置に注入する。そして、演習対象者は、端末装置を操作し、情報処理装置に注入されたウイルスによるサイバー攻撃への対処を演習する。   Conventionally, exercises for cyber attacks are performed using a simulated exercise system that serves as an exercise ground. In this exercise system, a virus that actually performs a cyber attack, for example, by infecting with a virus, is injected into the information processing apparatus. Then, the exercise target person operates the terminal device to practice dealing with the cyber attack by the virus injected into the information processing apparatus.

特表2014−506045号公報Special table 2014-506045 gazette 国際公開第2015/029195号International Publication No. 2015/029195 特開2013−149063号公報JP 2013-149063 A

しかしながら、上述した従来技術では、演習時におけるサイバー攻撃が情報処理装置に注入したウイルス任せになることから、予定していたシナリオどおりにサイバー攻撃が行われない場合がある。このため、演習対象者のスキルレベルに合わせた内容のサイバー攻撃を意図的に行って、演習対象者に対処させるような演習を実施することは困難であるという問題がある。   However, in the above-described conventional technology, the cyber attack at the time of the exercise is left to the virus injected into the information processing apparatus, so that the cyber attack may not be performed according to the planned scenario. For this reason, there is a problem that it is difficult to carry out an exercise that intentionally conducts a cyber attack having a content that matches the skill level of the exercise subject and causes the exercise subject to cope with it.

また、1つの側面では、サイバー攻撃に対する演習において演習対象者のスキルレベルに合わせた演習を実施することができるプログラムを提供することを目的とする。   Moreover, it aims at providing the program which can implement the exercise | movement according to the skill level of the exercise subject in the exercise | movement with respect to a cyber attack in one side.

第1の案では、プログラムは、複数の情報処理装置を含むシステムに対するサイバー攻撃をコンピュータに実行させる。また、プログラムは、複数の情報処理装置のそれぞれに配備され、与えられた攻撃シナリオに従って処理を実行するプログラムのそれぞれに対して、攻撃シナリオに基づいて実行すべきサイバー攻撃を制御する制御信号を送信する処理をコンピュータに実行させる。   In the first plan, the program causes a computer to execute a cyber attack on a system including a plurality of information processing apparatuses. In addition, the program is installed in each of a plurality of information processing apparatuses, and transmits a control signal for controlling a cyber attack to be executed based on the attack scenario to each of the programs that execute processing according to the given attack scenario. Cause the computer to execute the process.

本発明の1実施形態によれば、サイバー攻撃に対する演習において演習対象者のスキルレベルに合わせた演習を実施することができる。   According to one embodiment of the present invention, it is possible to carry out an exercise according to the skill level of the exercise subject in an exercise against a cyber attack.

図1は、実施形態にかかる演習システムを説明する説明図である。FIG. 1 is an explanatory diagram illustrating an exercise system according to an embodiment. 図2は、実施形態にかかる演習システムの機能構成を例示するブロック図である。FIG. 2 is a block diagram illustrating a functional configuration of the exercise system according to the embodiment. 図3は、実施形態にかかる演習システムの動作例を示すフローチャートである。FIG. 3 is a flowchart illustrating an operation example of the exercise system according to the embodiment. 図4は、攻撃シナリオ(全体)を説明する説明図である。FIG. 4 is an explanatory diagram for explaining an attack scenario (whole). 図5は、攻撃シナリオ(部分)を説明する説明図である。FIG. 5 is an explanatory diagram for explaining an attack scenario (part). 図6は、攻撃結果ログ(部分)における攻撃履歴を説明する説明図である。FIG. 6 is an explanatory diagram illustrating an attack history in the attack result log (part). 図7は、対処予定シナリオを説明する説明図である。FIG. 7 is an explanatory diagram for explaining a scenario to be dealt with. 図8は、操作結果ログ(部分)における操作履歴を説明する説明図である。FIG. 8 is an explanatory diagram illustrating an operation history in the operation result log (part). 図9は、実施形態にかかる管理装置、情報処理装置および端末装置のハードウエア構成の一例を示すブロック図である。FIG. 9 is a block diagram illustrating an example of the hardware configuration of the management device, the information processing device, and the terminal device according to the embodiment.

以下、図面を参照して、実施形態にかかるプログラムを説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明するプログラムは、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。   Hereinafter, a program according to an embodiment will be described with reference to the drawings. In the embodiment, configurations having the same functions are denoted by the same reference numerals, and redundant description is omitted. Note that the programs described in the following embodiments are merely examples, and do not limit the embodiments. In addition, each of the following embodiments may be appropriately combined within the scope of no contradiction.

図1は、実施形態にかかる演習システム100を説明する説明図である。図1に示すように、演習システム100は、管理装置1と、情報処理装置2A、2B、2C…と、端末装置3A、3B…とを有する。管理装置1、情報処理装置2A、2B、2C…および端末装置3A、3B…には、例えばPC(パーソナルコンピュータ)、ワークステーションおよびサーバなどのコンピュータを適用できる。   FIG. 1 is an explanatory diagram illustrating an exercise system 100 according to the embodiment. As shown in FIG. 1, the exercise system 100 includes a management device 1, information processing devices 2A, 2B, 2C, and so on, and terminal devices 3A, 3B, and so on. For example, a computer such as a PC (personal computer), a workstation, and a server can be applied to the management device 1, the information processing devices 2A, 2B, 2C,... And the terminal devices 3A, 3B,.

管理装置1は、情報処理装置2A、2B、2C…のサイバー攻撃AT1、AT2を管理する。情報処理装置2A、2B、2C…は、例えばファイルサーバ、メールサーバ、Webサーバなど、端末装置3A、3B…に対して各種サービスを提供するサーバ装置であり、管理装置1の管理のもとでサイバー攻撃AT1、AT2が実施される。端末装置3A、3B…は、情報処理装置2A、2B、2C…が提供する各種サービスを利用する一般ユーザや、情報処理装置2A、2B、2C…のサイバー攻撃に対する演習を行う演習対象者が使用する端末である。   The management device 1 manages the cyber attacks AT1, AT2 of the information processing devices 2A, 2B, 2C. The information processing devices 2A, 2B, 2C,... Are server devices that provide various services to the terminal devices 3A, 3B, etc., such as file servers, mail servers, Web servers, and the like. Cyber attacks AT1 and AT2 are implemented. The terminal devices 3A, 3B... Are used by general users who use various services provided by the information processing devices 2A, 2B, 2C. Terminal.

なお、情報処理装置2A、2B、2C…は、1または複数あればよく、その個数は限定しない。同様に、端末装置3A、3B…についても、1または複数あればよく、その個数は限定しない。情報処理装置2A、2B、2C…について、特に区別しない場合は情報処理装置2と呼ぶものとする。同様に、端末装置3A、3B…についても、特に区別しない場合は端末装置3と呼ぶものとする。また、情報処理装置2A、2B、2C…および端末装置3A、3B…の内部構成についても、特に区別しない場合は「A」、「B」、「C」…を省略した形で呼ぶものとする。   The number of the information processing devices 2A, 2B, 2C,... May be one or more, and the number is not limited. Similarly, the number of terminal devices 3A, 3B,... May be one or more, and the number is not limited. The information processing devices 2A, 2B, 2C,... Are referred to as the information processing device 2 unless otherwise specified. Similarly, the terminal devices 3A, 3B,... Will be referred to as the terminal device 3 unless otherwise specified. Also, the internal configurations of the information processing devices 2A, 2B, 2C, and the terminal devices 3A, 3B, and so on are referred to by omitting “A”, “B”, “C”. .

情報処理装置2と、端末装置3とは、例えばLAN(Local Area Network)などの通信ネットワークN1を介して互いに通信可能に接続される。また、管理装置1と、情報処理装置2とはLANなどの通信ネットワークN2を介して互いに通信可能に接続される。なお、通信ネットワークN1と、通信ネットワークN2とは、VLAN(Virtual LAN)などで分離して構成されている。このように、演習システム100では、情報処理装置2におけるサイバー攻撃AT1、AT2に対して端末装置3より対処する場合の通信ネットワークN1と、情報処理装置2におけるサイバー攻撃AT1、AT2を管理装置1より管理する場合の通信ネットワークN2とを互いに影響を及ぼさないように異なるネットワークとしてもよい。   The information processing device 2 and the terminal device 3 are connected to be communicable with each other via a communication network N1 such as a LAN (Local Area Network). In addition, the management apparatus 1 and the information processing apparatus 2 are connected to be communicable with each other via a communication network N2 such as a LAN. The communication network N1 and the communication network N2 are separately configured by a VLAN (Virtual LAN) or the like. As described above, in the exercise system 100, the communication network N1 when the terminal device 3 copes with the cyber attacks AT1 and AT2 in the information processing device 2 and the cyber attacks AT1 and AT2 in the information processing device 2 from the management device 1. The communication network N2 for management may be different networks so as not to affect each other.

管理装置1は、サイバー攻撃制御部101およびシナリオ管理部104を有する。シナリオ管理部104は、攻撃シナリオ(全体)111および対処予定シナリオ114を管理する。攻撃シナリオ(全体)111は、演習システム100における情報処理装置2A、2B、2C…および端末装置3A、3B…のサイバー攻撃AT1、AT2全体のシナリオが記述されたデータである。サイバー攻撃制御部101は、シナリオ管理部104で管理された攻撃シナリオ(全体)111を読み出し、情報処理装置2A、2B、2C…の各々に攻撃シナリオ(部分)211A、211B、211C…を作成し、送信する。また、攻撃シナリオ(全体)111をもとに、端末装置3A、3B…の各々に攻撃シナリオ(部分)311A、311B…を送信する。攻撃シナリオ(全体)111は、演習対象者のサイバー攻撃AT1、AT2への対処能力であるスキルレベルに合わせて、適宜更新することができる。   The management device 1 includes a cyber attack control unit 101 and a scenario management unit 104. The scenario management unit 104 manages the attack scenario (whole) 111 and the planned scenario 114. The attack scenario (overall) 111 is data in which the scenario of the entire cyber attacks AT1 and AT2 of the information processing devices 2A, 2B, 2C... And the terminal devices 3A, 3B. The cyber attack control unit 101 reads the attack scenario (entire) 111 managed by the scenario management unit 104 and creates attack scenarios (parts) 211A, 211B, 211C,... For each of the information processing apparatuses 2A, 2B, 2C,. ,Send. Are transmitted to each of the terminal devices 3A, 3B,... Based on the attack scenario (whole) 111. The attack scenario (overall) 111 can be updated as appropriate according to the skill level that is the ability of the exercise subject to cope with the cyber attacks AT1 and AT2.

情報処理装置2A、2B、2C…では、常駐するプログラム(例えばデーモンなど)であるエージェント(親)201A、201B、201C…の処理により、攻撃シナリオ(部分)211A、211B、211C…に従ってエージェント(子)202A、202B、202C…が生成される。エージェント(子)202A、202B、202C…は、様々なサイバー攻撃を実施するプログラムの処理によるウイルスの実体である。   In the information processing apparatuses 2A, 2B, 2C..., Agents (children) according to attack scenarios (parts) 211A, 211B, 211C... ) 202A, 202B, 202C... Are generated. The agents (children) 202A, 202B, 202C,... Are virus entities obtained by processing of programs that perform various cyber attacks.

例えば、情報処理装置2Aでは、エージェント(親)201Aによる処理により、管理装置1より送信された攻撃シナリオ(部分)211Aに従ってエージェント(子)202Aが生成される。エージェント(子)202Aは、攻撃シナリオ(部分)211Aの内容(攻撃の種類)に対応して生成され、データ改変などの内部へのサイバー攻撃AT1や、DoS攻撃(Denial of Service attack)などの外部へのサイバー攻撃AT2を行う。   For example, in the information processing apparatus 2A, the agent (child) 202A is generated according to the attack scenario (part) 211A transmitted from the management apparatus 1 by the processing by the agent (parent) 201A. The agent (child) 202A is generated in response to the contents (attack type) of the attack scenario (part) 211A, and externally such as an internal cyber attack AT1 such as data modification or a DoS attack (Denial of Service attack) Perform cyber attack AT2.

エージェント(親)201A、201B、201C…は、情報処理装置2A、2B、2C…のプロセスを監視し、エージェント(子)202A、202B、202C…の攻撃履歴を攻撃結果ログ(部分)212A、212B、212C…として記録する。エージェント(親)201A、201B、201C…と同様の常駐するプログラムであるエージェント(操作)203A、203B、203C…は、演習対象者がログオンして対処した操作履歴を操作結果ログ(部分)213A、213B、213C…として記録する。   The agents (parents) 201A, 201B, 201C,... Monitor the processes of the information processing apparatuses 2A, 2B, 2C, etc., and the attack histories of the agents (children) 202A, 202B, 202C,. , 212C... Agents (operations) 203A, 203B, 203C,..., Which are resident programs similar to the agents (parents) 201A, 201B, 201C,... Record as 213B, 213C,.

端末装置3A、3B…も情報処理装置2A、2B、2C…と同様の処理が行われる。具体的には、常駐するプログラムであるエージェント(親)301A、301B…の処理により、攻撃シナリオ(部分)311A、311B…に従ってエージェント(子)302A、302B…が生成される。エージェント(子)302A、302B…は、様々なサイバー攻撃を実施するプログラムの処理によるウイルスの実体である。   The terminal devices 3A, 3B,... Perform the same processing as the information processing devices 2A, 2B, 2C,. Specifically, agents (children) 302A, 302B,... Are generated according to attack scenarios (parts) 311A, 311B,... By processing of agents (parents) 301A, 301B,. The agents (children) 302A, 302B,... Are virus entities resulting from the processing of programs that implement various cyber attacks.

エージェント(親)301A、301B…は、端末装置3A、3B…のプロセスを監視し、エージェント(子)302A、302B…の攻撃履歴を攻撃結果ログ(部分)312A、312B…として記録する。エージェント(親)301A、301B…と同様の常駐するプログラムであるエージェント(操作)303A、303B…は、演習対象者がログオンして対処した操作履歴を操作結果ログ(部分)313A、313B…として記録して管理装置1に通信ネットワークN2を介して収集し、操作結果ログ(全体)113を作成する。   The agent (parent) 301A, 301B... Monitors the processes of the terminal devices 3A, 3B... And records the attack history of the agent (child) 302A, 302B. Agents (operations) 303A, 303B,..., Which are resident programs similar to the agents (parents) 301A, 301B,... Record operation histories handled by the exercise target person as logons as operation result logs (parts) 313A, 313B,. Then, it collects in the management apparatus 1 via the communication network N2, and creates the operation result log (whole) 113.

管理装置1は、情報処理装置2A、2B、2C…に記録された攻撃結果ログ(部分)212A、212B、212C…および端末装置3A、3B…に記録された攻撃結果ログ(部分)312A、312B…を通信ネットワークN2を介して収集して攻撃結果ログ(全体)112を作成する。また、サイバー攻撃への対処操作については、攻撃シナリオ(全体)111の各サイバー攻撃に対して想定される操作内容が対処予定シナリオ114として予め定められている。攻撃結果ログ(全体)112、操作結果ログ(全体)113および対処予定シナリオ114により、管理装置1における演習の監視者は、演習対象者の訓練状況を確認できる。   The management device 1 uses the attack result logs (parts) 212A, 212B, 212C,... Recorded in the information processing devices 2A, 2B, 2C... And the attack result logs (parts) 312A, 312B recorded in the terminal devices 3A, 3B. Are collected via the communication network N2, and an attack result log (whole) 112 is created. In addition, regarding the countermeasure operation for the cyber attack, the operation content assumed for each cyber attack of the attack scenario (entire) 111 is predetermined as the countermeasure scheduled scenario 114. By the attack result log (whole) 112, the operation result log (whole) 113, and the scheduled action scenario 114, the exercise supervisor of the management apparatus 1 can confirm the exercise status of the exercise subject.

図2は、実施形態にかかる演習システム100の機能構成を例示するブロック図である。図2に示すように、管理装置1は、制御部10、記憶部11、通信部12、表示部13および操作部14を有する。   FIG. 2 is a block diagram illustrating a functional configuration of the exercise system 100 according to the embodiment. As illustrated in FIG. 2, the management device 1 includes a control unit 10, a storage unit 11, a communication unit 12, a display unit 13, and an operation unit 14.

制御部10は、各種プログラムや制御データを格納する内部メモリを有し、これらによって種々の処理を実行するものである。一実施形態として、制御部10は、中央処理装置、いわゆるCPU(Central Processing Unit)として実装される。なお、制御部10は、必ずしも中央処理装置として実装されずともよく、MPU(Micro Processing Unit)として実装されることとしてもよい。また、制御部10は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などのハードワイヤードロジックによっても実現できる。   The control unit 10 has an internal memory for storing various programs and control data, and executes various processes by these. In one embodiment, the control unit 10 is implemented as a central processing unit, so-called CPU (Central Processing Unit). In addition, the control part 10 does not necessarily need to be mounted as a central processing unit, and may be mounted as a MPU (Micro Processing Unit). The control unit 10 can also be realized by hard wired logic such as an application specific integrated circuit (ASIC) or a field programmable gate array (FPGA).

記憶部11は、制御部10で実行される各種プログラムおよび各種プログラムに用いられるデータを記憶する記憶デバイスである。一実施形態として、記憶部11は、装置における主記憶装置として実装される。例えば、記憶部11には、各種の半導体メモリ素子、例えばRAM(Random Access Memory)やフラッシュメモリを採用できる。また、記憶部11は、補助記憶装置として実装することもできる。この場合、HDD(Hard Disk Drive)、光ディスクやSSD(Solid State Drive)などを採用できる。例えば、記憶部11は、攻撃シナリオ(全体)111および攻撃結果ログ(全体)112を格納する。   The storage unit 11 is a storage device that stores various programs executed by the control unit 10 and data used for the various programs. As one embodiment, the storage unit 11 is implemented as a main storage device in the apparatus. For example, various storage devices such as RAM (Random Access Memory) or flash memory can be adopted as the storage unit 11. The storage unit 11 can also be implemented as an auxiliary storage device. In this case, a hard disk drive (HDD), an optical disk, a solid state drive (SSD), or the like can be employed. For example, the storage unit 11 stores an attack scenario (overall) 111 and an attack result log (overall) 112.

通信部12は、制御部10の制御のもと、通信ネットワークN2を介して接続する他の装置(例えば情報処理装置2)との間で通信を行うインタフェースである。表示部13は、LCD(Liquid Crystal Display)などの表示デバイスであり、制御部10の制御のもと表示を行う。操作部14は、キーボード、マウス、タッチパネルなどの入力デバイスであり、ユーザ(例えば演習の監視者)からの操作を受け付けて制御部10へ出力する。   The communication unit 12 is an interface which communicates with another device (for example, the information processing device 2) connected via the communication network N2 under the control of the control unit 10. The display unit 13 is a display device such as an LCD (Liquid Crystal Display) and performs display under control of the control unit 10. The operation unit 14 is an input device such as a keyboard, a mouse, and a touch panel, and receives an operation from a user (for example, a monitor of an exercise) and outputs the operation to the control unit 10.

情報処理装置2は、制御部20、記憶部21および通信部22を有する。制御部20は、各種プログラムや制御データによって種々の処理を実行するものである。一実施形態として、制御部20は、中央処理装置、いわゆるCPUとして実装される。   The information processing apparatus 2 includes a control unit 20, a storage unit 21, and a communication unit 22. The control unit 20 executes various processes according to various programs and control data. As one embodiment, the control unit 20 is implemented as a central processing unit, a so-called CPU.

記憶部21は、制御部20で実行される各種プログラムおよび各種プログラムに用いられるデータを記憶する記憶デバイスである。一実施形態として、記憶部21は、装置における主記憶装置として実装される。例えば、記憶部21には、各種の半導体メモリ素子、例えばRAMやフラッシュメモリを採用できる。また、記憶部21は、補助記憶装置として実装することもできる。この場合、HDD、光ディスクやSSDなどを採用できる。例えば、記憶部21は、攻撃シナリオ(部分)211および攻撃結果ログ(部分)212を格納する。   The storage unit 21 is a storage device that stores various programs executed by the control unit 20 and data used for the various programs. As one embodiment, the storage unit 21 is implemented as a main storage device in the apparatus. For example, the storage unit 21 can employ various semiconductor memory elements such as RAM and flash memory. The storage unit 21 can also be implemented as an auxiliary storage device. In this case, an HDD, an optical disk, an SSD, or the like can be employed. For example, the storage unit 21 stores an attack scenario (part) 211 and an attack result log (part) 212.

通信部22は、制御部20の制御のもと、通信ネットワークN1および通信ネットワークN2を介して接続する他の装置(例えば管理装置1および端末装置3)との間で通信を行うインタフェースである。   The communication unit 22 is an interface that performs communication with other devices (for example, the management device 1 and the terminal device 3) connected via the communication network N1 and the communication network N2 under the control of the control unit 20.

端末装置3は、制御部30、記憶部31および通信部32を有する。制御部30は、各種プログラムや制御データによって種々の処理を実行するものである。一実施形態として、制御部30は、中央処理装置、いわゆるCPUとして実装される。   The terminal device 3 includes a control unit 30, a storage unit 31, and a communication unit 32. The control unit 30 executes various processes according to various programs and control data. As one embodiment, the control unit 30 is implemented as a central processing unit, a so-called CPU.

記憶部31は、制御部30で実行される各種プログラムおよび各種プログラムに用いられるデータを記憶する記憶デバイスである。一実施形態として、記憶部31は、装置における主記憶装置として実装される。例えば、記憶部31には、各種の半導体メモリ素子、例えばRAMやフラッシュメモリを採用できる。また、記憶部31は、補助記憶装置として実装することもできる。この場合、HDD、光ディスクやSSDなどを採用できる。例えば、記憶部31は、攻撃シナリオ(部分)311および攻撃結果ログ(部分)312を格納する。   The storage unit 31 is a storage device that stores various programs executed by the control unit 30 and data used for the various programs. As one embodiment, the storage unit 31 is implemented as a main storage device in the apparatus. For example, the storage unit 31 can employ various semiconductor memory elements such as RAM and flash memory. The storage unit 31 can also be implemented as an auxiliary storage device. In this case, an HDD, an optical disk, an SSD, or the like can be employed. For example, the storage unit 31 stores an attack scenario (part) 311 and an attack result log (part) 312.

通信部32は、制御部30の制御のもと、通信ネットワークN1および通信ネットワークN2を介して接続する他の装置(例えば管理装置1および端末装置3)との間で通信を行うインタフェースである。   The communication unit 32 is an interface that performs communication with other devices (for example, the management device 1 and the terminal device 3) connected via the communication network N1 and the communication network N2 under the control of the control unit 30.

制御部10は、プログラムを実行することで、サイバー攻撃制御部101、ログ収集部102、表示制御部103およびシナリオ管理部104の機能を実現する。また、制御部20および制御部30は、プログラムを実行することで、エージェント(親)201、エージェント(子)202、エージェント(親)301およびエージェント(子)302の機能を実現する。   The control unit 10 implements the functions of the cyber attack control unit 101, the log collection unit 102, the display control unit 103, and the scenario management unit 104 by executing a program. Further, the control unit 20 and the control unit 30 execute functions of the agent (parent) 201, agent (child) 202, agent (parent) 301, and agent (child) 302 by executing a program.

サイバー攻撃制御部101は、記憶部11に記憶された攻撃シナリオ(全体)111を読み出し、攻撃シナリオ(全体)111に基づいて攻撃すべき情報処理装置2に対して、サイバー攻撃を制御する攻撃シナリオ(部分)211を制御信号として通信部12を介して送信する。具体的には、攻撃シナリオ(全体)111に記述された演習システム100全体のシナリオの中から情報処理装置2の各々(2A、2B、2C…)に対応する記述を抽出し、攻撃シナリオ(部分)211(211A、211B、211C…)として情報処理装置2へ送信する。また、攻撃シナリオ(全体)111に記述された演習システム100全体のシナリオの中から端末装置3の各々(3A、3B…)に対応する記述を抽出し、攻撃シナリオ(部分)311(311A、311B…)として端末装置3へ送信する。   The cyber attack control unit 101 reads the attack scenario (whole) 111 stored in the storage unit 11 and controls the cyber attack against the information processing apparatus 2 to be attacked based on the attack scenario (whole) 111 (Part) 211 is transmitted as a control signal via the communication unit 12. Specifically, a description corresponding to each of the information processing apparatuses 2 (2A, 2B, 2C,...) Is extracted from the scenario of the entire exercise system 100 described in the attack scenario (entire) 111, and the attack scenario (partial). ) 211 (211A, 211B, 211C...) To the information processing apparatus 2. Further, a description corresponding to each of the terminal devices 3 (3A, 3B,...) Is extracted from the scenario of the entire exercise system 100 described in the attack scenario (total) 111, and the attack scenario (part) 311 (311A, 311B) is extracted. ...) is transmitted to the terminal device 3.

ログ収集部102は、情報処理装置2の各々(2A、2B、2C…)より、記憶部21に記録された攻撃結果ログ(部分)212および端末装置3の各々(3A、3B…)より、記憶部31に記録された攻撃結果ログ(部分)312を通信部12を介して収集する。具体的には、ログ収集部102は、情報処理装置2のエージェント(親)201に対し、攻撃結果ログ(部分)212を要求するコマンドおよび端末装置3のエージェント(親)301に対し、攻撃結果ログ(部分)312を要求するコマンドを通信部12を介して送信する。エージェント(親)201では、管理装置1からの攻撃結果ログ(部分)212を要求するコマンドに応じて記憶部21より攻撃結果ログ(部分)212を読み出し、管理装置1へ送信する。また、エージェント(親)301では、管理装置1からの攻撃結果ログ(部分)312を要求するコマンドに応じて記憶部31より攻撃結果ログ(部分)312を読み出し、管理装置1へ送信する。ログ収集部102は、情報処理装置2の各々(2A、2B、2C…)より送信された攻撃シナリオ(部分)211および端末装置3の各々(3A、3B…)より送信された攻撃シナリオ(部分)311をマージし、演習システム100全体の攻撃結果ログ(全体)112を記憶部11へ記憶する。   From each of the information processing devices 2 (2A, 2B, 2C,...), The log collection unit 102 receives an attack result log (part) 212 recorded in the storage unit 21 and each of the terminal devices 3 (3A, 3B,...) The attack result log (part) 312 recorded in the storage unit 31 is collected via the communication unit 12. Specifically, the log collection unit 102 requests the agent (parent) 201 of the information processing device 2 to request an attack result log (part) 212 and the attack result to the agent (parent) 301 of the terminal device 3. A command requesting the log (part) 312 is transmitted via the communication unit 12. The agent (parent) 201 reads the attack result log (part) 212 from the storage unit 21 in response to a command requesting the attack result log (part) 212 from the management apparatus 1 and transmits it to the management apparatus 1. Further, the agent (parent) 301 reads the attack result log (part) 312 from the storage unit 31 in response to a command requesting the attack result log (part) 312 from the management apparatus 1 and transmits it to the management apparatus 1. The log collection unit 102 includes an attack scenario (part) 211 transmitted from each of the information processing apparatuses 2 (2A, 2B, 2C...) And an attack scenario (partial) transmitted from each of the terminal apparatuses 3 (3A, 3B...). ) 311 are merged, and the attack result log (whole) 112 of the entire exercise system 100 is stored in the storage unit 11.

表示制御部103は、表示部13の表示画面における表示制御を行う。例えば、表示制御部103は、GUI(Graphical User Interface)におけるアイコン、ボタンなどのグラフィックを表示部13の表示画面に表示させる。制御部10は、表示部13に表示されたGUIにおいて、操作部14による操作指示を受け付けて、操作に対応した処理結果を表示画面に表示させる。   The display control unit 103 performs display control on the display screen of the display unit 13. For example, the display control unit 103 displays graphics such as icons and buttons in a GUI (Graphical User Interface) on the display screen of the display unit 13. The control unit 10 receives an operation instruction from the operation unit 14 in the GUI displayed on the display unit 13 and displays the processing result corresponding to the operation on the display screen.

一例として、表示制御部103は、攻撃シナリオ(全体)111の作成を行う表示画面を表示部13に表示させる。制御部10は、表示部13に表示された表示画面において操作部14による操作指示を受け付けて攻撃シナリオ(全体)111を作成し、作成した攻撃シナリオ(全体)111を記憶部11に登録する。また、表示制御部103は、攻撃結果ログ(全体)112を記憶部11より読み出し、演習システム100における訓練状況として表示部13の表示画面上に表示させる。   As an example, the display control unit 103 causes the display unit 13 to display a display screen for creating the attack scenario (whole) 111. The control unit 10 receives an operation instruction from the operation unit 14 on the display screen displayed on the display unit 13, creates an attack scenario (whole) 111, and registers the created attack scenario (whole) 111 in the storage unit 11. Further, the display control unit 103 reads the attack result log (entire) 112 from the storage unit 11 and displays it on the display screen of the display unit 13 as a training situation in the exercise system 100.

シナリオ管理部104は、攻撃シナリオ(全体)111および対処予定シナリオ114を管理する。攻撃シナリオ(全体)111は、演習開始以後の演習システム100におけるサイバー攻撃を順に記述したデータである。対処予定シナリオ114は、攻撃シナリオ(全体)111の各サイバー攻撃に対して想定される操作内容(対処操作)が記述されたデータである。   The scenario management unit 104 manages the attack scenario (whole) 111 and the planned scenario 114. The attack scenario (whole) 111 is data that sequentially describes cyber attacks in the exercise system 100 after the exercise starts. The scheduled handling scenario 114 is data in which the operation content (coping operation) assumed for each cyber attack of the attack scenario (whole) 111 is described.

エージェント(親)201は、管理装置1より送信された攻撃シナリオ(部分)211を記憶部21に記憶させる。また、エージェント(親)201は、管理装置1より送信された攻撃シナリオ(部分)211に基づいてサイバー攻撃を実施するエージェント(子)202を生成する。具体的には、エージェント(親)201は、攻撃シナリオ(部分)211に記述されたサイバー攻撃を開始するタイミングで、エージェント(子)202を生成する。エージェント(子)202は、攻撃シナリオ(部分)211に基づいて、攻撃シナリオ(部分)211に記述された内容のサイバー攻撃を実施する。   The agent (parent) 201 causes the storage unit 21 to store the attack scenario (portion) 211 transmitted from the management device 1. Furthermore, the agent (parent) 201 generates an agent (child) 202 that implements a cyber attack based on the attack scenario (part) 211 transmitted from the management device 1. Specifically, the agent (parent) 201 generates the agent (child) 202 at the timing of starting the cyber attack described in the attack scenario (part) 211. The agent (child) 202 carries out a cyber attack of the content described in the attack scenario (part) 211 based on the attack scenario (part) 211.

エージェント(親)201は、例えばコマンドを定時に実行するスケジュール管理を行うクーロンデーモンなどと同様、バックグラウンドで処理されるプロセスである。このエージェント(親)201は、実際にウイルスとして活動するエージェント(子)202を生成するが、演習対象者によるウイルス除去(活動停止)の対象とはならないものとする。これに対し、エージェント(子)202は、実際にウイルスとして活動することから、サイバー攻撃時において演習対象者によるウイルス除去の対象となる。したがって、情報処理装置2では、攻撃シナリオ(部分)211どおりにサイバー攻撃が実施されることとなる。   The agent (parent) 201 is a process that is processed in the background, for example, like a cron daemon that performs schedule management for executing commands on a regular basis. This agent (parent) 201 generates an agent (child) 202 that actually acts as a virus, but is not subject to virus removal (activity stop) by the exercise subject. On the other hand, since the agent (child) 202 actually acts as a virus, it becomes a target of virus removal by the exercise subject during a cyber attack. Therefore, in the information processing apparatus 2, a cyber attack is performed according to the attack scenario (part) 211.

エージェント(親)201は、情報処理装置2におけるプロセスなどを監視し、攻撃シナリオ(部分)211に基づいたエージェント(子)202のサイバー攻撃の成功/失敗を攻撃履歴として攻撃結果ログ(部分)212に記録する。また、エージェント(操作)203は、攻撃シナリオ(部分)211に基づいたエージェント(子)202のサイバー攻撃に対し、演習対象者が端末装置3よりログオンして対処した操作内容を操作履歴として操作結果ログ(部分)213に記録する。エージェント(親)201は、管理装置1からの要求に応じて記録された攻撃結果ログ(部分)212を記憶部21より読み出し、通信部22を介して管理装置1へ送信し、エージェント(操作)203は、管理装置1からの要求に応じて記録された操作結果ログ(部分)213を記憶部21より読み出し、通信部22を介して管理装置1へ送信する。   The agent (parent) 201 monitors a process or the like in the information processing apparatus 2 and uses the success / failure of the cyber attack of the agent (child) 202 based on the attack scenario (part) 211 as an attack history log (part) 212. To record. In addition, the agent (operation) 203 operates as an operation history with the operation content that the subject person logged on from the terminal device 3 responds to the cyber attack of the agent (child) 202 based on the attack scenario (part) 211 as an operation history. Record in the log (part) 213. The agent (parent) 201 reads the attack result log (part) 212 recorded in response to the request from the management device 1 from the storage unit 21 and transmits it to the management device 1 via the communication unit 22, and the agent (operation) An operation result log (part) 213 recorded in response to a request from the management apparatus 1 is read from the storage unit 21 and transmitted to the management apparatus 1 via the communication unit 22.

エージェント(親)301は、管理装置1より送信された攻撃シナリオ(部分)311を記憶部31に記憶させる。また、エージェント(親)301は、管理装置1より送信された攻撃シナリオ(部分)311に基づいてサイバー攻撃を実施するエージェント(子)302を生成する。具体的には、エージェント(親)301は、攻撃シナリオ(部分)311に記述されたサイバー攻撃を開始するタイミングで、エージェント(子)302を生成する。エージェント(子)302は、攻撃シナリオ(部分)311に基づいて、攻撃シナリオ(部分)311に記述された内容のサイバー攻撃を実施する。   The agent (parent) 301 causes the storage unit 31 to store the attack scenario (part) 311 transmitted from the management device 1. In addition, the agent (parent) 301 generates an agent (child) 302 that performs a cyber attack based on the attack scenario (part) 311 transmitted from the management apparatus 1. Specifically, the agent (parent) 301 generates the agent (child) 302 at the timing of starting the cyber attack described in the attack scenario (part) 311. Based on the attack scenario (part) 311, the agent (child) 302 executes a cyber attack having the contents described in the attack scenario (part) 311.

エージェント(親)301は、例えばコマンドを定時に実行するスケジュール管理を行うクーロンデーモンなどと同様、バックグラウンドで処理されるプロセスである。このエージェント(親)301は、実際にウイルスとして活動するエージェント(子)302を生成するが、演習対象者によるウイルス除去(活動停止)の対象とはならないものとする。これに対し、エージェント(子)302は、実際にウイルスとして活動することから、サイバー攻撃時において演習対象者によるウイルス除去の対象となる。したがって、端末装置3では、攻撃シナリオ(部分)311どおりにサイバー攻撃が実施されることとなる。   The agent (parent) 301 is a process that is processed in the background in the same manner as, for example, a coulomb daemon that performs schedule management for executing commands on a regular basis. This agent (parent) 301 generates an agent (child) 302 that actually acts as a virus, but is not subject to virus removal (activity stop) by the exercise subject. On the other hand, since the agent (child) 302 actually acts as a virus, it becomes a target of virus removal by the exercise subject during a cyber attack. Therefore, in the terminal device 3, a cyber attack is performed according to the attack scenario (part) 311.

エージェント(親)301は、端末装置3におけるプロセスなどを監視し、攻撃シナリオ(部分)311に基づいたエージェント(子)302のサイバー攻撃の成功/失敗を攻撃履歴として攻撃結果ログ(部分)312に記録する。エージェント(親)301は、管理装置1からの要求に応じて記録された攻撃結果ログ(部分)312を記憶部31より読み出し、通信部32を介して管理装置1へ送信し、エージェント(操作)303は、管理装置1からの要求に応じて記録された操作結果ログ(部分)313を記憶部31より読み出し、通信部32を介して管理装置1へ送信する。   The agent (parent) 301 monitors a process or the like in the terminal device 3 and stores the success / failure of the cyber attack of the agent (child) 302 based on the attack scenario (part) 311 in the attack result log (part) 312 as an attack history. Record. The agent (parent) 301 reads the attack result log (part) 312 recorded in response to the request from the management device 1 from the storage unit 31 and transmits it to the management device 1 via the communication unit 32, and the agent (operation) An operation result log (part) 313 recorded in response to a request from the management apparatus 1 is read from the storage unit 31 and transmitted to the management apparatus 1 via the communication unit 32.

図3は、実施形態にかかる演習システム100の動作例を示すフローチャートである。図3に示すように、管理装置1では、制御部10の制御のもと、攻撃シナリオ(全体)111の作成を行う表示画面を表示部13に表示させて操作部14による操作指示を受け付けることで攻撃シナリオ(全体)111を作成する(S1)。次いで、制御部10は、作成された攻撃シナリオ(全体)111を記憶部11に登録する(S2)。   FIG. 3 is a flowchart illustrating an operation example of the exercise system 100 according to the embodiment. As shown in FIG. 3, the management device 1 displays a display screen for creating an attack scenario (entire) 111 on the display unit 13 and receives an operation instruction from the operation unit 14 under the control of the control unit 10. Thus, an attack scenario (whole) 111 is created (S1). Next, the control unit 10 registers the created attack scenario (entire) 111 in the storage unit 11 (S2).

図4は、攻撃シナリオ(全体)111を説明する説明図である。図4に示すように、攻撃シナリオ(全体)111は、演習開始以後の演習システム100におけるサイバー攻撃を順に記述したデータである。具体的には、攻撃シナリオ(全体)111は、「No.」で番号付けされたサイバー攻撃の各々について、「攻撃種類」、「開始時刻」、「終了時刻」、「攻撃元」、「攻撃先」および「補足パラメータ」などのパラメータが記述されたデータである。   FIG. 4 is an explanatory diagram for explaining the attack scenario (entire) 111. As shown in FIG. 4, the attack scenario (whole) 111 is data in which cyber attacks in the exercise system 100 after the start of the exercise are sequentially described. Specifically, the attack scenario (entire) 111 includes “attack type”, “start time”, “end time”, “attack source”, “attack” for each cyber attack numbered “No.”. Data in which parameters such as “destination” and “supplement parameter” are described.

「攻撃種類」では、「可搬記憶媒体侵入」、「直接型拡散」、「ステルス化」、「トラフィック送信」、「ファイル改ざん」などのサイバー攻撃の種類が示される。「開始時刻」および「終了時刻」では、演習開始後からサイバー攻撃を開始する時刻およびサイバー攻撃を終了する時刻が示される。例えば、各サイバー攻撃における「開始時刻」の時間間隔を短くすることで、サイバー攻撃の攻撃速度を早くすることとなる。逆に、各サイバー攻撃における「開始時刻」の間の時間を長くすることで、サイバー攻撃の攻撃速度を遅くすることとなる。   The “attack type” indicates the type of cyber attack such as “portable storage medium intrusion”, “direct diffusion”, “stealthization”, “traffic transmission”, “file tampering” and the like. The “start time” and “end time” indicate the time to start a cyber attack and the time to end a cyber attack after the start of the exercise. For example, by shortening the time interval of “start time” in each cyber attack, the attack speed of the cyber attack is increased. Conversely, by increasing the time between “start times” in each cyber attack, the attack speed of the cyber attack is slowed down.

「攻撃元」および「攻撃先」では、サイバー攻撃の元となる装置および攻撃先となる装置などの攻撃経路を示す情報(例えば「装置A」、「装置B」といったホスト名やネットワークアドレスなど)が示される。「補足パラメータ」では、サイバー攻撃の内容を補足する値が示される。具体的には、「補足パラメータ」において、サイバー攻撃の規模の値が示される。例えば、サイバー攻撃の規模は、サイバー攻撃により占有されるリソースの大小を示すものであり、サイバー攻撃における処理の負荷状態などであってよい。一例として、サイバー攻撃の規模が大きく、通常の処理と比べて多くのリソースが占有される場合は「高負荷」とする。逆に、サイバー攻撃の規模が小さく、通常の処理と比べてもリソースの占有が少ない場合は「低負荷」とする。   For “attack source” and “attack destination”, information indicating attack routes such as the device that is the source of cyber attack and the device that is the attack destination (for example, host name or network address such as “device A” or “device B”) Is shown. The “supplementary parameter” indicates a value that supplements the content of the cyber attack. Specifically, the "supplementary parameter" indicates the value of the cyber attack magnitude. For example, the size of the cyber attack indicates the size of the resource occupied by the cyber attack, and may be the processing load condition in the cyber attack. As an example, if the size of a cyber attack is large and more resources are occupied compared to normal processing, it is considered as "high load". Conversely, if the size of the cyber attack is small and resource occupancy is small compared to normal processing, "low load" is used.

S1における攻撃シナリオ(全体)111の作成では、演習対象者のスキルレベルに合わせたパラメータが設定される。例えば、演習対象者のスキルレベルが高くなく、サイバー攻撃への対処に時間を要する場合には、攻撃速度、攻撃規模などのパラメータを低くする。一例として、図4に示すように、演習対象者のスキルレベルが低い場合、各サイバー攻撃間の「開始時刻」の間隔を長くして、当初の攻撃シナリオ(全体)111よりも攻撃速度を抑えた攻撃シナリオ(全体)111Aとする。同様に、攻撃シナリオ(全体)111Aでは、攻撃規模を示す「補足パラメータ」について、攻撃規模が大きくなる「高負荷」から攻撃規模が小さくなる「低負荷」とする。これにより、演習対象者のスキルレベルに合わせたサイバー攻撃を実施する。   In the creation of the attack scenario (overall) 111 in S1, parameters are set according to the skill level of the person being trained. For example, if the skill level of the subject is not high and it takes time to deal with cyber attacks, parameters such as attack speed and attack size should be lowered. As an example, as shown in FIG. 4, when the skill level of the target person is low, the “start time” interval between each cyber attack is lengthened, and the attack speed is lower than the original attack scenario (total) 111. Attack scenario (whole) 111A. Similarly, in the attack scenario (overall) 111A, the “supplemental parameter” indicating the attack scale is changed from “high load” in which the attack scale increases to “low load” in which the attack scale decreases. As a result, a cyber attack tailored to the skill level of the target person is implemented.

このS1、S2における攻撃シナリオ(全体)111の作成・登録は、S3以後の演習中に行ってもよい。具体的には、演習中においては、S1、S2の処理が行われることで、演習以前に登録された攻撃シナリオ(全体)111の変更が行われる。この攻撃シナリオ(全体)111の変更が行われた場合、S3以後のS5において、変更後の攻撃シナリオ(全体)111に基づいた攻撃シナリオ(部分)211が各情報処理装置2に送信されることとなる。このように、演習中の訓練状況に合わせて攻撃シナリオ(全体)111を適宜変更してもよい。   The creation and registration of the attack scenario (overall) 111 in S1 and S2 may be performed during the exercises after S3. Specifically, during the exercise, the processing of S1 and S2 is performed, so that the attack scenario (whole) 111 registered before the exercise is changed. When this attack scenario (whole) 111 is changed, an attack scenario (part) 211 based on the changed attack scenario (whole) 111 is transmitted to each information processing apparatus 2 in S5 after S3. It becomes. In this way, the attack scenario (entire) 111 may be changed as appropriate in accordance with the training situation during the exercise.

攻撃シナリオ(全体)111を登録後に演習が開始されると(S3)、管理装置1のサイバー攻撃制御部101は、登録された攻撃シナリオ(全体)111のサイバー攻撃の中で、演習開始後に開始時刻となったサイバー攻撃の有無を判定する(S4)。   When the exercise is started after registering the attack scenario (total) 111 (S3), the cyber attack control unit 101 of the management apparatus 1 starts after the exercise is started in the cyber attack of the registered attack scenario (total) 111. It is determined whether or not there is a cyber attack at the time (S4).

開始時刻となったサイバー攻撃がある場合(S4:YES)、サイバー攻撃制御部101は、攻撃シナリオ(全体)111より開始時刻となったサイバー攻撃のパラメータを読み出し、読み出したパラメータを含む攻撃シナリオ(部分)211を攻撃元の情報処理装置2へ送信する(S5)。情報処理装置2のエージェント(親)201は、送信された攻撃シナリオ(部分)211を記憶部21へ格納する。   When there is a cyber attack with the start time (S4: YES), the cyber attack control unit 101 reads the parameters of the cyber attack with the start time from the attack scenario (whole) 111, and includes an attack scenario ( (Part) 211 is transmitted to the information processing apparatus 2 that is the attack source (S5). The agent (parent) 201 of the information processing device 2 stores the transmitted attack scenario (portion) 211 in the storage unit 21.

なお、攻撃シナリオ(部分)211の送信については、攻撃シナリオ(全体)111のサイバー攻撃の中で開始時刻となったものより順に攻撃元の情報処理装置2へ送信する方法に限定しない。例えば、サイバー攻撃制御部101は、演習の開始時刻に攻撃シナリオ(全体)111に含まれる各サイバー攻撃を攻撃元ごとに分類し、攻撃元の情報処理装置2のそれぞれに一斉に送信してもよい。   The transmission of the attack scenario (part) 211 is not limited to the method of transmitting the attack scenario (partial) 111 to the attacking information processing apparatus 2 in order from the start of the cyber attack of the attack scenario (entire) 111. For example, even if the cyber attack control unit 101 classifies each cyber attack included in the attack scenario (whole) 111 at the start time of the exercise for each attack source, and simultaneously transmits them to each of the information processing apparatuses 2 that are the attack sources. Good.

図5は、攻撃シナリオ(部分)211A〜211Dを説明する説明図である。図5に示す攻撃シナリオ(部分)211A〜211Dは、攻撃元が「装置A」〜「装置D」のそれぞれに送信されるものである。図5に示すように、「装置A」〜「装置D」の情報処理装置2に対しては、攻撃シナリオ(全体)111をもとに、「攻撃種類」、「開始時刻」、「終了時刻」、「攻撃先」、「補足パラメータ」を含む攻撃シナリオ(部分)211A〜211Dが送信される。   FIG. 5 is an explanatory diagram illustrating attack scenarios (parts) 211A to 211D. The attack scenarios (portions) 211A to 211D illustrated in FIG. 5 are ones in which the attack source is transmitted to each of “apparatus A” to “apparatus D”. As shown in FIG. 5, for the information processing apparatuses 2 of “apparatus A” to “apparatus D”, “attack type”, “start time”, “end time” based on the attack scenario (entire) 111 The attack scenarios (portions) 211A to 211D including the “attack target” and the “supplementary parameter” are transmitted.

情報処理装置2のエージェント(親)201では、エージェント(親)201のパラメータに従って行うサイバー攻撃について、演習開始後の最初のサイバー攻撃であるか否かを判定する(S6)。最初のサイバー攻撃である場合(S6:YES)、エージェント(親)201は、サイバー攻撃を行うためのエージェント(子)202を生成する(S7)。具体的には、エージェント(親)201は、「攻撃種類」に対応するエージェント(子)202を生成する。また、最初のサイバー攻撃でない場合(S6:NO)、エージェント(親)201は、サイバー攻撃を行うためのエージェント(子)202を生成済であることから、S7の処理をスキップする。   The agent (parent) 201 of the information processing apparatus 2 determines whether or not the cyber attack performed according to the parameters of the agent (parent) 201 is the first cyber attack after the exercise is started (S6). If it is the first cyber attack (S6: YES), the agent (parent) 201 generates an agent (child) 202 for performing the cyber attack (S7). Specifically, the agent (parent) 201 generates an agent (child) 202 corresponding to the “attack type”. Further, when it is not the first cyber attack (S6: NO), the agent (parent) 201 has already generated the agent (child) 202 for performing the cyber attack, and therefore skips the processing of S7.

次いで、エージェント(子)202は、攻撃シナリオ(部分)211のパラメータに従ってサイバー攻撃を実行する(S8)。例えば、攻撃シナリオ(部分)211A(図5参照)に基づいてサイバー攻撃を行うエージェント(子)202Aでは、開始時刻が「00:15:00」に「可搬記憶媒体侵入」のサイバー攻撃を「装置A」、すなわち自装置に行う。また、エージェント(子)202Aは、開始時刻が「00:30:00」に「直接型拡散」のサイバー攻撃を「装置B、C、D」、すなわち他装置に行う。   Next, the agent (child) 202 executes a cyber attack according to the parameters of the attack scenario (part) 211 (S8). For example, in the agent (child) 202A that performs a cyber attack based on the attack scenario (partial) 211A (see FIG. 5), the cyber attack “entry of portable storage medium” is started at “00:15:00”. Device A ", that is, the device itself. Further, the agent (child) 202A performs a “direct diffusion” cyber attack on “devices B, C, and D”, that is, other devices at the start time “00:30:30”.

次いで、エージェント(親)201は、情報処理装置2におけるプロセスなどの監視結果をもとに、攻撃シナリオ(部分)211に基づいたエージェント(子)202のサイバー攻撃の成功/失敗を攻撃結果ログ(部分)212に記録する(S9)。例えば、攻撃シナリオ(部分)211に記述されたシナリオどおりにエージェント(子)202のサイバー攻撃による処理が実行された場合はサイバー攻撃の成功とする。また、攻撃シナリオ(部分)211に記述されたシナリオどおりの処理結果が得られなかった場合や、エージェント(子)202がキル(活動停止)された場合にはサイバー攻撃の失敗とする。   Next, the agent (parent) 201, based on the monitoring result of the process in the information processing apparatus 2, indicates the success / failure of the cyber attack of the agent (child) 202 based on the attack scenario (part) 211 (attack result log ( (Part) 212 is recorded (S9). For example, when processing by the cyber attack of the agent (child) 202 is executed according to the scenario described in the attack scenario (part) 211, it is determined that the cyber attack is successful. In addition, if the processing result according to the scenario described in the attack scenario (part) 211 is not obtained, or if the agent (child) 202 is killed (deactivate), it is determined that the cyber attack has failed.

図6は、攻撃結果ログ(部分)212A〜212Dにおける攻撃履歴を説明する説明図である。図6に示す攻撃結果ログ(部分)212A〜212Dは、「装置A」〜「装置D」のそれぞれにおける攻撃結果ログ(部分)を示すものである。図6に示すように、S9では、攻撃シナリオ(部分)211A〜211Dに対応する攻撃履歴が攻撃結果ログ(部分)212A〜212Dに記録される。例えば、各サイバー攻撃ごとに、攻撃の失敗/成功を示す「攻撃結果」、攻撃の開始および終了の時刻を示す「開始時刻(結果)」および「終了時刻(結果)」が記録される。   FIG. 6 is an explanatory diagram illustrating attack histories in the attack result logs (parts) 212A to 212D. The attack result logs (portions) 212A to 212D illustrated in FIG. 6 indicate attack result logs (portions) in each of the “device A” to “device D”. As shown in FIG. 6, in S9, attack histories corresponding to the attack scenarios (parts) 211A to 211D are recorded in the attack result logs (parts) 212A to 212D. For example, for each cyber attack, “attack result” indicating failure / success of the attack, “start time (result)” and “end time (result)” indicating the start and end times of the attack are recorded.

次いで、エージェント(親)201は、情報処理装置2へログオンした演習対象者による、サイバー攻撃への対処操作の有無を判定する(S10)。このサイバー攻撃への対処操作については、攻撃シナリオ(全体)111の各サイバー攻撃に対して想定される操作内容が対処予定シナリオ114として予め定められている。S10において、エージェント(操作)203は、この対処予定シナリオ114に沿った対処操作の有無を判定する。   Next, the agent (parent) 201 determines whether or not an exercise target person who has logged on to the information processing apparatus 2 performs an operation to cope with a cyber attack (S10). Regarding the countermeasure operation for this cyber attack, the operation content assumed for each cyber attack of the attack scenario (entire) 111 is predetermined as the scenario 114 to be countered. In S <b> 10, the agent (operation) 203 determines whether or not there is a handling operation according to the handling schedule scenario 114.

図7は、対処予定シナリオ114を説明する説明図である。図7に示すように、対処予定シナリオ114には、各サイバー攻撃に対する「対処予定種類」、「対処カテゴリ」などの操作内容が定められている。   FIG. 7 is an explanatory diagram for explaining the countermeasure schedule scenario 114. As shown in FIG. 7, in the countermeasure schedule scenario 114, operation contents such as “scheduled countermeasure type” and “response category” for each cyber attack are defined.

「対処予定種類」は、「異常検知」、「ネットワーク切断」、「プロセス停止」、「ファイル復旧」など、サイバー攻撃に対する操作の種類が定められている。例えば、「異常検知」は、所定の調査コマンドの実行を示す。また、「ネットワーク切断」は、ネットワーク機能を停止するコマンドの実行を示す。また、「プロセス停止」は、キルコマンドによるエージェント(子)202の停止を示す。また、「ファイル復旧」は、復旧コマンドによる改ざんファイルの復旧を示す。   In the “planned action type”, the type of operation for cyber attacks such as “error detection”, “network disconnection”, “process stop”, “file recovery”, etc. is defined. For example, "abnormality detection" indicates the execution of a predetermined survey command. Also, "network disconnection" indicates the execution of a command to stop the network function. “Process stop” indicates that the agent (child) 202 is stopped by the kill command. Also, "file recovery" indicates recovery of a tampered file by a recovery command.

「対処カテゴリ」は、演習対象者による対処操作のカテゴリ(分類)であり、例えば「調査」、「初期対処」、「原因対処」、「復旧」などがある。   “Correction category” is a category (classification) of the countermeasure operation performed by the exercise subject, and includes “investigation”, “initial countermeasure”, “cause countermeasure”, “recovery”, and the like.

サイバー攻撃への対処操作がある場合(S10:YES)、エージェント(操作)203は、サイバー攻撃に対して行われた対処操作を示す操作履歴を操作結果ログ(部分)213に記録する(S11)。サイバー攻撃への対処操作がない場合(S10:NO)、エージェント(操作)203は、S11の処理をスキップする。   When there is a response operation to the cyber attack (S10: YES), the agent (operation) 203 records an operation history indicating the response operation performed to the cyber attack in the operation result log (part) 213 (S11). . When there is no countermeasure operation against the cyber attack (S10: NO), the agent (operation) 203 skips the processing of S11.

図8は、操作結果ログ(部分)213E、213B、213Cにおける操作履歴を説明する説明図である。図8に示す操作結果ログ(部分)213E、213B、213Cは、「装置E」、「装置B」、「装置C」のそれぞれにおける操作結果ログ(部分)を示すものである。   FIG. 8 is an explanatory diagram for explaining the operation history in the operation result logs (parts) 213E, 213B, and 213C. The operation result logs (parts) 213E, 213B, and 213C illustrated in FIG. 8 indicate operation result logs (parts) in each of “device E”, “device B”, and “device C”.

図8に示すように、S11では、「装置E」、「装置B」、「装置C」のサイバー攻撃に対する対処操作を示す操作履歴が操作結果ログ(部分)213E、213B、213Cに記録される。例えば、各サイバー攻撃に対する対処予定シナリオの「対処予定種類」および「対処カテゴリ」とともに、実際に対処した装置を示す「対処装置」、実際の操作内容を示す「対処行動」および操作の時刻を示す「対処時刻」が記録される。   As illustrated in FIG. 8, in S11, operation histories indicating operations to cope with cyber attacks of “device E”, “device B”, and “device C” are recorded in operation result logs (parts) 213E, 213B, and 213C. . For example, together with “scheduled response type” and “remedy category” of the scheduled response scenario for each cyber attack, “remedy device” indicating the device actually addressed, “remedial action” indicating the actual operation content, and operation time “Correction time” is recorded.

管理装置1のログ収集部102は、S9、S11において記録された攻撃結果ログ(部分)212および操作結果ログ(部分)213を各情報処理装置2より収集し(S12)、攻撃結果ログ(全体)112および操作結果ログ(全体)113を記憶部11に記録する。なお、S12における各情報処理装置2からの攻撃結果ログ(部分)212および操作結果ログ(部分)213の収集は、ログ収集部102が要求して行ってもよい。   The log collection unit 102 of the management device 1 collects the attack result log (part) 212 and the operation result log (part) 213 recorded in S9 and S11 from each information processing device 2 (S12), and the attack result log (entire) ) 112 and the operation result log (whole) 113 are recorded in the storage unit 11. Note that the log collection unit 102 may collect the attack result log (part) 212 and the operation result log (part) 213 from each information processing apparatus 2 in S12.

なお、S12における攻撃結果ログ(部分)212の収集は、ログ収集部102からの要求に限定しない。例えば、サイバー攻撃への対処操作がある場合(S10:YES)に、エージェント(操作)203が対処操作の操作履歴を含む操作結果ログ213(部分)を管理装置1へ送信してもよい。また、S8でサイバー攻撃が実行された場合に、エージェント(親)201がその攻撃履歴を含む攻撃結果ログ212(部分)を管理装置1へ送信してもよい。   The collection of the attack result log (part) 212 in S12 is not limited to the request from the log collection unit 102. For example, when there is an operation to cope with a cyber attack (S10: YES), the agent (operation) 203 may transmit an operation result log 213 (part) including an operation history of the coping operation to the management apparatus 1. Further, when a cyber attack is executed in S <b> 8, the agent (parent) 201 may transmit an attack result log 212 (part) including the attack history to the management apparatus 1.

次いで、管理装置1の表示制御部103は、攻撃結果ログ(全体)112を記憶部11より読み出し、演習システム100における演習状況として表示部13の表示画面上に表示させる(S13)。   Next, the display control unit 103 of the management device 1 reads the attack result log (entire) 112 from the storage unit 11 and displays it on the display screen of the display unit 13 as an exercise status in the exercise system 100 (S13).

次いで、管理装置1のサイバー攻撃制御部101は、現在時刻が攻撃シナリオ(全体)111における終了時刻に達したか否かをもとに、演習の終了の有無を判定する(S14)。終了でない場合(S14:NO)、サイバー攻撃制御部101は、S4へ処理を戻す。終了である場合(S14:YES)、サイバー攻撃制御部101は、各情報処理装置2のエージェント(親)201へ終了を通知して演習を終了する。終了が通知されたエージェント(親)201では、自身が生成したエージェント(子)202を停止させて処理を終了する。   Next, the cyber attack control unit 101 of the management device 1 determines whether or not the exercise has ended based on whether or not the current time has reached the end time in the attack scenario (whole) 111 (S14). If not completed (S14: NO), the cyber attack control unit 101 returns the process to S4. If it is the end (S14: YES), the cyber attack control unit 101 notifies the agent (parent) 201 of each information processing device 2 of the end and ends the exercise. The agent (parent) 201 notified of the termination stops the agent (child) 202 generated by itself and ends the processing.

以上のように、演習システム100では、複数の情報処理装置2A、2B、2C…において、与えられた攻撃シナリオに従って処理を実行するエージェント(子)202A、202B、202Cが配備されている。また、演習システム100では、管理装置1のサイバー攻撃制御部101が、エージェント(子)202A、202B、202C…のそれぞれに対して、攻撃シナリオ(全体)111に基づいて実行すべきサイバー攻撃を制御する制御信号である攻撃シナリオ(部分)211A、211B、211C…を送信する。したがって、演習システム100では、予定していた攻撃シナリオ(全体)111どおりにサイバー攻撃を実施することができ、演習対象者のスキルレベルに合わせた演習を容易に実施できる。   As described above, in the exercise system 100, the plurality of information processing apparatuses 2A, 2B, 2C,... Are provided with agents (children) 202A, 202B, and 202C that execute processing according to a given attack scenario. In the exercise system 100, the cyber attack control unit 101 of the management device 1 controls cyber attacks to be executed based on the attack scenario (whole) 111 for each of the agents (children) 202A, 202B, 202C. Attack scenarios (parts) 211A, 211B, 211C,..., Which are control signals to be transmitted. Therefore, in the exercise system 100, the cyber attack can be performed according to the planned attack scenario (total) 111, and the exercise according to the skill level of the exercise target person can be easily performed.

なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。   It should be noted that each component of each illustrated apparatus does not necessarily have to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. It can be integrated and configured.

また、管理装置1、情報処理装置2および端末装置3で行われる各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよい。   Various processing functions performed by the management device 1, the information processing device 2, and the terminal device 3 are all or some of the functions performed on the CPU (or a microcomputer such as an MPU or MCU (Micro Controller Unit)). You may make it perform. In addition, various processing functions may be executed in whole or in any part on a program that is analyzed and executed by a CPU (or a microcomputer such as an MPU or MCU) or hardware based on wired logic. Good.

ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施例と同様の機能を有するプログラムを実行するコンピュータ(ハードウエア)の一例を説明する。図9は、実施形態にかかる管理装置1、情報処理装置2および端末装置3のハードウエア構成の一例を示すブロック図である。なお、図示例では、代表して管理装置1の構成を例示しているが、情報処理装置2および端末装置3の構成も同様である。   The various processes described in the above embodiment can be realized by executing a prepared program on a computer. Therefore, in the following, an example of a computer (hardware) that executes a program having the same function as in the above embodiment will be described. FIG. 9 is a block diagram illustrating an example of a hardware configuration of the management device 1, the information processing device 2, and the terminal device 3 according to the embodiment. In the illustrated example, the configuration of the management device 1 is illustrated as an example, but the configurations of the information processing device 2 and the terminal device 3 are also the same.

図9が示すように、管理装置1は、各種演算処理を実行するCPU501と、データ入力を受け付ける入力装置502と、モニタ503と、スピーカ504とを有する。また、管理装置1は、記憶媒体からプログラム等を読み取る媒体読取装置505と、各種装置と接続するためのインタフェース装置506と、有線または無線により外部機器と通信接続するための通信装置507とを有する。また、管理装置1は、各種情報を一時記憶するRAM508と、ハードディスク装置509とを有する。また、管理装置1内の各部(501〜509)は、バス510に接続される。   As illustrated in FIG. 9, the management device 1 includes a CPU 501 that executes various arithmetic processes, an input device 502 that receives data input, a monitor 503, and a speaker 504. In addition, the management apparatus 1 includes a medium reading device 505 that reads a program and the like from a storage medium, an interface device 506 for connecting to various devices, and a communication device 507 for communication connection with an external device by wire or wireless. . The management device 1 also includes a RAM 508 that temporarily stores various types of information and a hard disk device 509. Each unit (501 to 509) in the management apparatus 1 is connected to the bus 510.

ハードディスク装置509には、上記の実施形態で説明した制御部10などで各種の処理を実行するためのプログラム511が記憶される。また、ハードディスク装置509には、プログラム511が参照する各種データ512(攻撃シナリオ(全体)111、攻撃結果ログ(全体)112など)が記憶される。入力装置502は、例えば、管理装置1の操作者から操作情報の入力を受け付ける。モニタ503は、例えば、操作者が操作する各種画面を表示する。インタフェース装置506は、例えば印刷装置等が接続される。通信装置507は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。   The hard disk device 509 stores a program 511 for executing various processes by the control unit 10 described in the above embodiment. Also, the hard disk device 509 stores various data 512 (attack scenario (overall) 111, attack result log (overall) 112, etc.) referred to by the program 511. The input device 502 receives, for example, an input of operation information from the operator of the management device 1. The monitor 503 displays, for example, various screens operated by the operator. For example, a printing device is connected to the interface device 506. The communication device 507 is connected to a communication network such as a LAN (Local Area Network), and exchanges various types of information with an external device via the communication network.

CPU501は、ハードディスク装置509に記憶されたプログラム511を読み出して、RAM508に展開して実行することで、各種の処理を行う。なお、プログラム511は、ハードディスク装置509に記憶されていなくてもよい。例えば、管理装置1が読み取り可能な記憶媒体に記憶されたプログラム511を、管理装置1が読み出して実行するようにしてもよい。管理装置1が読み取り可能な記憶媒体は、例えば、CD−ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記憶媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラムを記憶させておき、管理装置1がこれらからプログラムを読み出して実行するようにしてもよい。   The CPU 501 reads out the program 511 stored in the hard disk device 509, develops it in the RAM 508, and executes it to perform various processes. The program 511 may not be stored in the hard disk device 509. For example, the management apparatus 1 may read and execute the program 511 stored in a storage medium that can be read by the management apparatus 1. The storage medium that can be read by the management apparatus 1 is, for example, a portable storage medium such as a CD-ROM, a DVD disk, or a USB (Universal Serial Bus) memory, a semiconductor memory such as a flash memory, a hard disk drive, or the like. Alternatively, the program may be stored in a device connected to a public line, the Internet, a LAN, or the like, and the management device 1 may read and execute the program from these.

1…管理装置
2、2A〜2C…情報処理装置
3、3A、3B…端末装置
10、20、30…制御部
11、21、31…記憶部
12、22、32…通信部
13…表示部
14…操作部
100…演習システム
101…サイバー攻撃制御部
102…ログ収集部
103…表示制御部
111、111A…攻撃シナリオ(全体)
112…攻撃結果ログ(全体)
113…操作結果ログ(全体)
114…対処予定シナリオ
201、201A〜C、301、301A、301B…エージェント(親)
202、202A〜C、302、302A、302B…エージェント(子)
203、203A〜C、303、303A、303B…エージェント(操作)
211、211A〜D、311、311A、311B…攻撃シナリオ(部分)
212、212A〜E、312、312A、312B…攻撃結果ログ(部分)
213、213B〜C、213E、313、313A、313B…操作結果ログ(部分)
501…CPU
511…プログラム
512…各種データ
AT1、AT2…サイバー攻撃
N1、N2…通信ネットワーク DESCRIPTION OF SYMBOLS 1 ... Management apparatus 2, 2A-2C ... Information processing apparatus 3, 3A, 3B ... Terminal device 10, 20, 30 ... Control part 11, 21, 31 ... Storage part 12, 22, 32 ... Communication part 13 ... Display part 14 ... Operation unit 100 ... Exercise system 101 ... Cyber attack control unit 102 ... Log collection unit 103 ... Display control unit 111, 111A ... Attack scenario (whole)
112 ... Attack result log (whole)
113 ... Operation result log (whole)
114: Measures to be taken scenario 201, 201A to C, 301, 301A, 301B: Agent (parent)
202, 202A-C, 302, 302A, 302B ... agent (child)
203, 203A-C, 303, 303A, 303B ... Agent (operation)
211, 211A-D, 311, 311A, 311B ... attack scenario (part)
212, 212A-E, 312, 312A, 312B ... Attack result log (partial)
213, 213B-C, 213E, 313, 313A, 313B ... Operation result log (part)
501 ... CPU
511 ... program 512 ... various data AT1, AT2 ... cyber attack N1, N2 ... communication network

Claims (10)

複数の情報処理装置を含むシステムを用いたサイバー攻撃に対する演習をコンピュータに実行させるプログラムにおいて、
前記複数の情報処理装置または端末装置のそれぞれに配備され、与えられた攻撃シナリオに従って処理を実行するプログラムのそれぞれに対して、攻撃シナリオに基づいて実行すべきサイバー攻撃を制御する制御信号を送信する
処理をコンピュータに実行させることを特徴とするプログラム。 In a program that causes a computer to execute exercises against cyber attacks using a system including a plurality of information processing devices,
A control signal for controlling a cyber attack to be executed based on an attack scenario is transmitted to each of the plurality of information processing apparatuses or a program deployed in each of the plurality of information processing apparatuses or terminals and executing processing according to a given attack scenario. A program that causes a computer to execute a process. 前記制御信号は、特定のプログラムが配備された特定の情報処理装置の1つまたは複数の情報処理装置または端末装置の1つまたは複数の端末装置に対して、管理装置から送信される前記サイバー攻撃を制御する信号である
ことを特徴とする請求項1に記載のプログラム。 The cyber attack transmitted from the management device to the one or more information processing devices or one or more terminal devices of the specific information processing device in which the specific program is deployed. The program according to claim 1, wherein the signal is a signal that controls the program. 前記攻撃シナリオは、攻撃経路、攻撃速度、攻撃時刻および攻撃規模のいずれかのパラメータを含む
ことを特徴とする請求項1に記載のプログラム。 The program according to claim 1, wherein the attack scenario includes parameters of an attack path, an attack speed, an attack time, and an attack size. 前記サイバー攻撃を制御する制御信号を送信する管理装置は、前記攻撃シナリオの変更に基づいて前記パラメータを更新する
ことを特徴とする請求項3に記載のプログラム。 The program according to claim 3, wherein the management device transmitting a control signal for controlling the cyber attack updates the parameter based on a change in the attack scenario. 前記サイバー攻撃を制御する制御信号を送信する管理装置からの指示に従って、前記プログラムは前記サイバー攻撃を開始または終了する
ことを特徴とする請求項1に記載のプログラム。 The program according to claim 1, wherein the program starts or ends the cyber attack in accordance with an instruction from a management device that transmits a control signal for controlling the cyber attack. 前記複数の情報処理装置間または前記複数の端末装置間で通信されるサイバー攻撃の信号が送信されるネットワークとは異なる所定の専用ネットワークを介して、前記プログラムは前記制御信号を送信する
ことを特徴とする請求項1に記載のプログラム。 The program transmits the control signal via a predetermined dedicated network different from a network to which a signal of a cyber attack communicated between the plurality of information processing devices or the plurality of terminal devices is transmitted. The program according to claim 1. 前記攻撃シナリオに従ってプログラムが実行した処理に対して、対応する情報処理装置または対応する端末装置において行われた操作の履歴または対応するサイバー攻撃の履歴がログ収集部に送信される
ことを特徴とする請求項1に記載のプログラム。 A history of operations performed in a corresponding information processing device or a corresponding terminal device or a corresponding cyber attack history is transmitted to the log collection unit for processing executed by the program according to the attack scenario. The program according to claim 1. 前記サイバー攻撃が実行される毎にまたは前記サイバー攻撃に対する対処操作が行われる毎に、前記対応する情報処理装置または対応する端末装置に配備され、前記プログラムと異なるプログラムが前記操作の履歴または対応するサイバー攻撃の履歴を前記ログ収集部に送信する
ことを特徴とする請求項7に記載のプログラム。 Each time the cyber attack is executed or each time a countermeasure operation against the cyber attack is performed, the program is deployed to the corresponding information processing apparatus or the corresponding terminal device, and a program different from the program has a history or a corresponding program. The program according to claim 7, wherein a history of cyber attacks is transmitted to the log collection unit. 前記攻撃シナリオに従ってプログラムが実行した処理に対して、対応する情報処理装置または対応する端末装置において行われた操作の履歴または対応するサイバー攻撃の履歴が、前記複数の情報処理装置間または前記複数の端末装置間で通信されるサイバー攻撃の信号が送信されるネットワークとは異なる所定の専用ネットワークを介して、前記ログ収集部に送信される
ことを特徴とする請求項7に記載のプログラム。 For processing executed by the program according to the attack scenario, a history of operations performed in a corresponding information processing device or a corresponding terminal device or a corresponding cyber attack history is between the plurality of information processing devices or the plurality of the plurality of information processing devices. The program according to claim 7, wherein the program is transmitted to the log collection unit via a predetermined dedicated network different from a network to which a cyber attack signal communicated between terminal devices is transmitted. 前記攻撃シナリオに従って前記プログラムと異なるプログラムが前記プログラムを起動し、当該起動されたプログラムが前記サイバー攻撃を実行する
ことを特徴とする請求項1に記載のプログラム。 The program according to claim 1, wherein a program different from the program starts the program according to the attack scenario, and the started program executes the cyber attack.
JP2018080257A 2018-04-18 2018-04-18 Exercise control program for cyber attacks Active JP6552135B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018080257A JP6552135B1 (en) 2018-04-18 2018-04-18 Exercise control program for cyber attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018080257A JP6552135B1 (en) 2018-04-18 2018-04-18 Exercise control program for cyber attacks

Publications (2)

Publication Number Publication Date
JP6552135B1 true JP6552135B1 (en) 2019-07-31
JP2019191670A JP2019191670A (en) 2019-10-31

Family

ID=67473389

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018080257A Active JP6552135B1 (en) 2018-04-18 2018-04-18 Exercise control program for cyber attacks

Country Status (1)

Country Link
JP (1) JP6552135B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021229696A1 (en) * 2020-05-12 2021-11-18

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102395134B1 (en) * 2020-06-11 2022-05-09 국방과학연구소 Method and apparatus for implementation of playbook-style penetration simulator
JP2022069989A (en) * 2020-10-26 2022-05-12 株式会社日立製作所 Action evaluation device and method for cyber defense training
WO2024161477A1 (en) * 2023-01-30 2024-08-08 日本電気株式会社 Information processing device, information processing method, and computer-readable recording medium

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9076342B2 (en) * 2008-02-19 2015-07-07 Architecture Technology Corporation Automated execution and evaluation of network-based training exercises
JP2017198836A (en) * 2016-04-27 2017-11-02 三菱電機株式会社 Cyber terrorism security simulator of nuclear power plant

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2021229696A1 (en) * 2020-05-12 2021-11-18
JP7491372B2 (en) 2020-05-12 2024-05-28 日本電気株式会社 Attack reproduction support device, attack reproduction support method, and program

Also Published As

Publication number Publication date
JP2019191670A (en) 2019-10-31

Similar Documents

Publication Publication Date Title
JP6552135B1 (en) Exercise control program for cyber attacks
US10348747B2 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
KR101979363B1 (en) Method, apparatus, and system for discovering application topology relationship
JP6307453B2 (en) Risk assessment system and risk assessment method
JP5031218B2 (en) Failover scope of computer cluster nodes
EP3891953A1 (en) Automatic generation of security rules for network micro and nano segmentation
US10362046B1 (en) Runtime behavior of computing resources of a distributed environment
CN110084039A (en) Frame for the coordination between endpoint security and Network Security Service
CN106294176B (en) The method and system that application failure positions in Mac OS systems
JP6939906B2 (en) Anomaly detection device
US20230231882A1 (en) Honeypot identification method, apparatus, device, and medium based on cyberspace mapping
US20180083849A1 (en) End-to-end tracing providers and session management
WO2016197737A1 (en) Self-check processing method, apparatus and system
US20220321602A1 (en) Frictionless supplementary multi-factor authentication for sensitive transactions within an application session
JP6690469B2 (en) Control program, control method, and information processing apparatus
JP6552136B1 (en) Exercise display program for cyber attacks
US11924112B2 (en) Real-time data transaction configuration of network devices
JP6436705B2 (en) Test execution device, test execution method, and computer program
US11182131B2 (en) System and method that support production management
CN114726789A (en) Method, device, equipment and medium for traffic management and traffic management policy configuration
JP2013218444A (en) Program analysis system and program analysis method
US11579954B2 (en) Data collecting in issue tracking systems
US20230131682A1 (en) Facilitated live analysis of screen content
CN113726855B (en) Service aggregation method, device, electronic equipment and computer-readable storage medium
JP2003091433A (en) Monitoring method, monitoring system, monitoring device, device to be monitored, computer program and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180418

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180420

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20180515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190618

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190701

R150 Certificate of patent or registration of utility model

Ref document number: 6552135

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250