JP6913057B2 - 損害予測方法、損害予測システム及びプログラム - Google Patents

損害予測方法、損害予測システム及びプログラム Download PDF

Info

Publication number
JP6913057B2
JP6913057B2 JP2018109153A JP2018109153A JP6913057B2 JP 6913057 B2 JP6913057 B2 JP 6913057B2 JP 2018109153 A JP2018109153 A JP 2018109153A JP 2018109153 A JP2018109153 A JP 2018109153A JP 6913057 B2 JP6913057 B2 JP 6913057B2
Authority
JP
Japan
Prior art keywords
vulnerability
damage
occurrence
information
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018109153A
Other languages
English (en)
Other versions
JP2019212143A (ja
Inventor
磯部 義明
義明 磯部
昌也 中畑
昌也 中畑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018109153A priority Critical patent/JP6913057B2/ja
Publication of JP2019212143A publication Critical patent/JP2019212143A/ja
Application granted granted Critical
Publication of JP6913057B2 publication Critical patent/JP6913057B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、サイバーインシデントに対する損害予測システムおよび損害予測方法に関する。
様々なシステムや機器がインターネットに接続され、様々なビジネスがIT技術で連携し、これらのログが再利用され、ビジネスのスマート化が進展している一方で、インターネットを介したサイバー攻撃により、ビジネス継続性への影響が深刻となっている。
これらのサイバー攻撃に対するビジネス継続性を確保するためには、サイバーインシデントに対するリスクを識別して適切に対処する必要がある。
しかし、適切にサイバーインシデントに対するリスク評価を行うには、サイバーインシデントが発生する確率を明らかにする必要があるが、サイバーインシデントの因果関係が明確に示された統計情報が整備されていない。これらの統計情報に依らずにそれぞれのビジネス主体のシステムやセキュリティ対策、セキュリティ態勢において、サイバーインシデントの発生確率や損害の期待値を明確にする方法が必要となる。
情報システムの脆弱性を管理して、そのセキュリティリスクを評価する従来技術として、特許文献1が知られている。特許文献1では、評価対象のビジネスシステムの構成に関するシステム構成情報と、情報セキュリティに関する情報とに基づいて、機器の脆弱性を検出する脆弱性検出部と、検出された脆弱性を示す脆弱性ノードと機器を示す機器ノードとを対応付けて配置することで、検出された脆弱性が機器に生じさせうるリスクを評価するための機器リスク評価モデルを生成する機器リスク評価モデル生成部と、所定のビジネスに関する情報処理に含まれるビジネス処理に関するビジネス関連ノードを機器リスク評価モデルに追加配置し、ビジネス関連ノードと機器ノードとを対応付けることで、検出された脆弱性が所定のビジネス処理に生じさせうるリスクを評価するためのビジネス関連リスク評価モデルを生成するビジネス関連リスク評価モデル生成部とを有し、ビジネスリスクを評価する。
特開2017−224053号公報
従来技術では、脆弱性情報と製品情報とを対応付けることで、膨大な脆弱性情報の中から管理対象の情報処理システムに関係する脆弱性情報を選別し、選別した脆弱性情報が示す脆弱性の技術的な特性に基づいて、その脆弱性が情報処理システムにもたらすリスクを評価できる。
また、従来技術では、脆弱性に対処するために情報処理システムを停止させると、業務の円滑な処理に支障を生じたり、売上が低下したりするなどの悪影響を生じるおそれに対し、経営者視点での判断基準に基づいて、脆弱性に対処すべきか否かや、いつ対処すべきかを判断を支援するため、脆弱性の情報処理システムにおける技術的な影響を評価するだけでなく、ビジネスへの影響も評価できる。
しかし、前記従来技術は、ビジネス継続計画の観点では、現状のビジネスシステムにおいて、近い将来、どの程度のサイバーインシデントによる損害が見込まれるのか、妥当な予測を行うことが難しい、という問題があった。
そこで、本発明の目的では、サイバーインシデントの発生と、損害の発生をシミュレーションするシステムおよび損害発生シミュレーション方法を提供することにある。
本発明は、プロセッサとメモリを有する計算機で、所定のビジネスに関する処理を実行する予測対象システムのサイバー攻撃による損害を予測する損害予測方法であって、前記プロセッサが、前記予測対象システムで使用されるソフトウェア毎の脆弱性モデルを読み込んで、脆弱性情報の発生日と脆弱性の特性を生成する第1のステップと、前記プロセッサが、前記予測対象システムを構成する要素のネットワークトポロジ情報に基づいて、前記要素へ前記脆弱性を使った攻撃が到達するリスクを評価する第2のステップと、前記プロセッサが、前記脆弱性情報の発生日からの時間経過に対する発生確率モデルに基づいて、前記脆弱性に対する攻撃の発生を判定する第3のステップと、前記プロセッサが、前記脆弱性に対する攻撃が発生したと判定した場合には、前記リスクの評価の結果と、各要素に対する攻撃による損害の発生を予測する第4のステップと、前記プロセッサが、前記脆弱性に対して前記予測対象システムの対策状況を反映する第5のステップと、前記プロセッサが、乱数を発生して前記第1のステップから前記第5のステップを所定の回数まで繰り返して実行する第6のステップと、を含む。
本発明によれば、ビジネスシステムの各機器の機能をなすソフトウェアの脆弱性情報の発行統計に基づいた脆弱性情報の発生をトリガとして、ビジネスシステムの機器のネットワークトポロジに応じた攻撃到達性に基づいた各機器の損害発生をシミュレーションすることができる。
本発明の実施例を示し、サイバーインシデントに対する損害予測システムおよび損害予測方法の実施形態の一つの例の概要を示すフローチャート図である。 本発明の実施例を示し、計算機の構成の一例示すブロック図である。 本発明の実施例を示し、脆弱性情報の発生タイミングをシミュレーションする処理のフローチャートである。 本発明の実施例を示し、発生させる脆弱性情報の特性をシミュレーションする処理のフローチャートである。 本発明の実施例を示し、発生させる脆弱性情報テーブルの構成の一例を示す図である。 本発明の実施例を示し、データベースの構成の一例を示す図である。 本発明の実施例を示し、ビジネスシステムを構成するネットワーク情報を定義するテーブルの一例を示す図である。 本発明の実施例を示し、ビジネスシステムを構成する機器情報を定義するテーブルの一例を示す図である。 本発明の実施例を示し、ビジネスシステムを構成する機器に検知された脆弱性情報の状況を管理するテーブルの一例を示す図である。 本発明の実施例を示し、損害発生シミュレーションを行う処理のフローチャートの詳細である。 本発明の実施例を示し、超過損害確率カーブあるいは再現期間を算出する処理のフローチャートである。 本発明の実施例を示し、脆弱性発生シミュレータ部の画面構成例である。 本発明の実施例を示し、損害発生シミュレータ部の画面構成例である。 本発明の実施例を示し、攻撃シナリオテーブルの一例を示す図である。
以下、図面に基づいて、本発明の実施の形態を説明する。以下に述べるように、本実施形態の一例を示す実施例は、サイバーインシデントに対する損害予測システムおよび損害予測方法に関するものであり、ビジネスシステムの損害発生を予測し、リスクに対する対処判断を支援する。
<全体の概要>
図1は、本実施例の一つの例の全体概要を示すフローチャートである。図1は本発明の理解および実施に必要な程度で実施例の概要のフローチャートを示している。
本発明のサイバーインシデントに対する損害予測システムおよび損害予測方法は、次のステップで構成されている。
なお、本処理が開始される以前に、ソフトウェアのプロダクト毎の脆弱性情報の発生に関する確率分布モデル112と、予測対象のシステム構成情報及び対策状況113と、予測対象のシステムを構成する機器(要素)ごとの損害見積り114が予め生成されている。また、計算機200は、ループの繰返し回数Nも予め受け付けているものとする。
損害予測システムを構成する計算機200(図2参照)は、ステップ101で処理を開始する。ステップ102では計算機200が、脆弱性情報の発生についてのプロダクト毎の確率分布モデル112に基づき、年間のプロダクト毎の脆弱性情報の発生タイミングのばらつきを乱数でシミュレーションする。また、計算機200は、発生する脆弱性情報の脆弱性特性についての確率分布モデル112に基づき、発生する脆弱性情報の特性のばらつきを乱数でシミュレーションし、1年分の脆弱性情報の発生をシミュレーションする。
ステップ103では、計算機200が、年間の所定のタイミングにおける脆弱性情報を取り込み、システム構成情報および対策状況113を参照して機器ごとのリスク評価を行ってリスク値を算出する。本リスク評価の方法として、前記特許文献1の方法を利用しても良い。なお、以下の説明では、前記特許文献1に開示された脆弱性リスク評価手法を用いるものとする。すなわち、予測対象システムを構成する機器(要素)のネットワークトポロジに応じた攻撃到達性に基づいて脆弱性に対するリスクの評価が行われる。
また、システム構成情報および対策状況113は、前記特許文献1のビジネスプロセスに関するテーブルや、本実施例のネットワーク情報テーブル700や、機器情報テーブル800や脆弱性状況管理テーブル900を含むことができる。
ステップ104では、計算機200が、機器毎の損害見積もり114を読み込み、ステップ103で算出された機器毎のリスク値に応じた損害発生のばらつきを乱数でシミュレーションし、機器毎の損害額を算出し、記録する。
ステップ105では、計算機200が、上記ステップ102〜104の処理を1年分(365日分)繰り返す。繰り返し処理が完了した後に、ステップ106に進む。
ステップ106では、計算機200が、上記ステップ102〜105の処理を所定の回数(N)、繰り返し、所定の回数の年間損害額を算出し、記録する。
ステップ107では計算機200が、各繰り返し回の1年分(365日分)のステップ104の損害算出結果を集計し、年間損害額を算出し、記録する。
ステップ108では、計算機200が、所定の回数(N回)の年間損害額から超過損害確率カーブ(あるいは再現期間カーブ)を算出する。なお、超過損害確率カーブは、超過確率年や超過確率から算出することができる。そして、ステップ109で、計算機200は処理を終了する。
上記処理により予測対象のビジネスシステムの各機器の機能を提供するソフトウェアプロダクトの脆弱性情報の発行統計に基づいた脆弱性情報の発行をトリガイベントとして、ビジネスシステムを構成する機器(要素)とネットワークトポロジに応じた攻撃到達性に基づいて各機器の損害発生をシミュレーションすることができる。したがって、損害予測システムは、年間の損害発生を集計し、モンテカルロ法にて年間損害額を繰り返し評価することで、超過損害確率カーブを算出することができ、ビジネスモデルの損害予測を実現することができる。
<ハードウェア構成>
図2は、本実施例の計算機200の構成の一例示すブロック図である。計算機200は、例えば、CPU201と、メモリ202と、記憶装置203と、入力装置204と、出力装置205と、通信装置206を有する。
CPU201は、メモリ202にロードされたプログラムを実行する。本実施例では、脆弱性情報発生シミュレータ210と、脆弱性リスク評価部220と、損害発生シミュレータ230と、損害予測部240がプログラムとしてメモリ202へロードされている例を示す。なお、各フローチャートの説明では、処理の主体を計算機200としたが、CPU201としてもよい。
記憶装置203は、不揮発性の記憶媒体で構成されて、上記プログラムが利用するデータが格納されている。
本実施例では、データとして、プロダクト毎の確率分布モデル112と、システム構成情報及び対策状況113と、機器ごとの損害見積り114と、脆弱性情報発生日リスト402と、脆弱性特性の発生確率表406と、脆弱性発生日からExploitコードが公開されるまでの経過日数に対する累積確率分布情報1005と、損害額表1030と、損害発生記録1020と、データベース600が格納される。各データの詳細については後述する。なお、確率分布モデル112〜損害発生記録1020等のデータは、メモリ202に格納しても良い。
なお、プロダクト毎の確率分布モデル112と、脆弱性特性の発生確率表406は、プロダクト(ソフトウェア)毎に設定される値であるので、これらを、プロダクト(ソフトウェア)の脆弱性モデルとして扱っても良い。あるいは、プロダクトの種別(例えば、OSやWeb、DB等のミドルウェアなどのソフトウェア機能により区分けした種別)毎に確率分布モデル112と脆弱性特性の発生確率表406を作っても良い。
入力装置204は、キーボードやマウスあるいはタッチパネルで構成されて、ユーザの入力を受け付ける。出力装置205は、ディスプレイなどで構成されて、情報を表示する。通信装置206は、ネットワーク207に接続されて他の計算機などと通信を行う。
CPU201は、各機能部のプログラムに従って処理することによって、所定の機能を提供する機能部として稼働する。例えば、CPU201は、脆弱性情報発生シミュレーションプログラムに従って処理することで脆弱性情報発生シミュレータ210として機能する。他のプログラムについても同様である。さらに、CPU201は、各プログラムが実行する複数の処理のそれぞれの機能を提供する機能部としても稼働する。計算機及び計算機システムは、これらの機能部を含む装置及びシステムである。
計算機200の各機能を実現するプログラム、テーブル等の情報は、記憶装置203や不揮発性半導体メモリ、ハードディスクドライブ、SSD(Solid State Drive)等の記憶デバイス、または、ICカード、SDカード、DVD等の計算機読み取り可能な非一時的データ記憶媒体に格納することができる。
メモリ202にロードされた各プログラムは、次のような処理を行う。脆弱性情報発生シミュレータ210は、プロダクト毎の確率分布モデル112に基づいて、プロダクト毎の脆弱性情報の発生をシミュレートする。脆弱性リスク評価部220は、システム構成に基づいて機器ごとのリスク値を算出してリスクの評価を行う。
損害発生シミュレータ230は、機器毎の損害見積り114に基づいて各年の損害額を見積もる。そして、損害予測部240は、上記各プログラムを制御して超過損害確率カーブ(再現期間)を算出する。
<脆弱性情報発生タイミングシミュレーション>
図3は、脆弱性情報発生シミュレータ210が、脆弱性情報の発生タイミングをシミュレーションする処理のフローチャートである。この処理は、図1に示したステップ102の一部で行われる。
計算機200は、ステップ300でN回目の処理を開始する。なお、Nは図1の処理のループの繰返し回数を示す。計算機200は、ステップ301では、計算機200が、予め設定されたプロダクト毎の確率分布モデル112から関数のパラメータを読み込む。
確率分布モデル112は、図3で示すように、ソフトウェア製品(またはプロダクト)の識別子を格納するプロダクトID1121と、確率分布モデルの種類を格納する関数1122と、パラメータを格納する定数項1123からひとつのエントリが構成される。
確率分布モデル112は、予測対象のビジネスシステムで使用されるソフトウェアのそれぞれについて予め確率分布モデルやパラメータが設定される。
ステップ302では、計算機200が、初期値として、i=1、Tx[0]=0を代入する。なお、iはカウンタの値を示し、Txは1年の間の脆弱性情報の発生タイミングを小数で表した数値であり、例えば、0.1年は365×0.1日のため、2月5日となる。また、計算機200は、ひとつのプロダクトを選択する。
ステップ303では、計算機200が、Txの値の判定を実施し、Tx[i−1]<1ならばステップ304に、それ以外ならばステップ306に進む。換言すれば、Txの値が1年以上になれば、現在選択しているプロダクトについて、365日分の脆弱性情報の発生タイミングが算出されたのでステップ306に進む。
ステップ304では、計算機200が乱数(または擬似乱数)Rを生成する。次に、計算機200は、ステップ305で、前回の発生タイミングCT=Tx[i−1]を取得してから、
Tx[i]=CT−Ln(R)/E(x)
を計算する。
ここで、E(x)は、プロダクト毎の脆弱性情報発生に関する確率分布関数に応じて、設定される。例えば、確率分布がポアソン分布の場合は、年間発生件数の平均値となる。ばらつきが大きい場合は、負の2項分布により、脆弱性発生をモデル化することもできる。また、ここで関数Lnは、定数eを底とする対数(自然対数)を返す関数である。
そして、計算機200は、カウンタ値iをインクリメントしてから、ステップ303に戻って上記処理を繰り返す。
ステップ306では、計算機200が、脆弱性情報の発生タイミングを示す小数(単位年)Txを日付に変換する関数(ChangeDate関数)にて日付に変換し、プロダクト毎に脆弱性情報発生日リスト(図中OccurProductList)402を生成する。脆弱性情報発生日リスト402は、例えば、日付と、プロダクトIDをひとつのエントリに含むテーブルで構成することができる。
ステップ308では、計算機200が、上記確率分布モデル112に設定されたすべてのプロダクトID1121について脆弱性情報発生日リスト402の生成を終了していれば、ステップ308で処理を終了する。
一方、すべてのプロダクトID1121について脆弱性情報発生日リスト402の生成が完了していなければ、次のプロダクトリストの発生タイミングをシミュレーションするため、上記ステップ301〜306を繰り返す。
以上の処理によって、確率分布モデル112に基づいて、1年間の脆弱性情報発生日リスト402がプロダクトID毎に生成される。
<発生脆弱性情報のシミュレーション>
図4は、脆弱性情報発生シミュレータ210が発生させた脆弱性情報の特性をシミュレーションする処理のフローチャートである。この処理は、図1に示したステップ102の一部で実行される。
計算機200は、ステップ400でN回目の処理を開始する。なお、Nは図1の処理のループの繰返し回数を示す。ステップ401では、計算機200が初期値として、Date=1月1日を代入する。
ステップ403では、計算機200が、図3で生成したプロダクト毎の脆弱性情報発生日リスト402を読み込んで、Dateに該当する日付で脆弱性情報の発生があるか否かを判定し、発生があればステップ404に進み、発生が無ければ、ステップ411に進む。
ステップ404では、計算機200が、現在のDateで脆弱性情報を発生する発現プロダクトリスト(図中OccurProductList)をプロダクト毎の脆弱性情報発生日リスト402から生成する。発現プロダクトリストは、脆弱性情報テーブル500を生成するための中間データであり、例えば、発生日付(Date)と、プロダクトID(Pid)を含む。
ステップ405では、計算機200が、乱数Rを生成する。ステップ407では、計算機200が、該当するプロダクトのパラメータをプロダクト毎の脆弱性特性の発生確率表406から読み込み、ステップ405で発生した乱数Rに対応する発生確率から、脆弱性特性を決定する。
ステップ408では、計算機200が、現在のDateで発生する脆弱性情報として、ステップ407で決定した脆弱性特性の脆弱性情報を生成し、Date(日付)と、プロダクトIDと、脆弱性特性と脆弱性情報テーブル500に書き込む。なお、脆弱性情報テーブル500の詳細については、図6で後述する。また、計算機200は、同一の日付に、複数のプロダクトIDの脆弱性情報を書き込むことができる。
ステップ409では、計算機200が、脆弱性情報発生日リスト402を参照して、現在のDateで発生する他のプロダクトの脆弱性情報があれば、ステップ405に戻り、上記ステップ405〜408の処理を繰り返す。ここで、発生パラメータによっては、同一のプロダクトの脆弱性情報の発生もありうる。
ステップ410では、計算機200が、Dateが12月31日となるまで、ステップ411からステップ403に戻って上記処理を繰り返す。ステップ411では、計算機200が、Dateをインクリメントして翌日について上記の処理を繰り返す。ステップ412では、計算機200が、上記の処理を終了する。
上記処理によって、脆弱性情報発生日リスト402の脆弱性情報の発生日について、プロダクトID毎に脆弱性特性を推定した脆弱性情報テーブル500にエントリが追加される。すなわち、1年間分の脆弱性情報の発生日付(タイミング)とその特性が脆弱性情報テーブル500に生成される。
ここで、脆弱性情報の発生の確率分布関数や脆弱性特性の発生確率表406については、IPA(情報処理推進機構)や米国NIST(国立標準技術研究所)にて整備している脆弱性情報データベースの情報から、年間発生件数やそれぞれの脆弱性特性の含有率により、モデル化して予め設定しておく。
また、脆弱性情報の年間発生件数に対しては、ポアソン分布や負の2項分布にて近似して、図3のフローチャートで示したように乱数により発生タイミングのばらつきをシミュレーションする。脆弱性特性については、CVSS(Common Vulnerability Scoring System)のベクトル値の組み合わせについて、統計的な割合に応じて、脆弱性特性が割り当てられるように乱数値により決定して、脆弱性情報を生成する。
本実施例の脆弱性特性の発生確率表406は、図3で示すように、CVSSパターン4061と、プロダクトaの発生確率を格納するPa4062−1と、プロダクトbの発生確率を格納するPb4062−2からひとつのエントリが構成される例を示す。発生確率はプロダクトの数Pnに応じて符号4062−nまで設定することができる。
<データベース構成>
図6は、本実施例の記憶装置203において、処理に必要な情報を記憶するデータベース600の構成の一例を示す図である。
データベース600は、脆弱性情報テーブル500と、ネットワーク情報テーブル700と、機器情報テーブル800と、脆弱性状況管理テーブル900と、攻撃シナリオテーブル610を含む。
図5は、シミュレーションで発生させる脆弱性情報500の構成の一例を示す図である。脆弱性情報500は、脆弱性をユニークに特定する識別子を格納する脆弱性ID501と、脆弱性ID501で特定された脆弱性によって影響を受けるソフトウェア(またはプロダクト)の識別子や名称を格納する影響ソフトウェア502と、脆弱性の攻撃されやすさとしてCVSSのベクトル情報を格納するCVSS(脆弱特性)503と、脆弱性の種別を分類番号CWE(Common Weakness Enumeration)等で格納するCWE(種別)504と、当該脆弱性がExploitコード(攻撃手順)の公開される脆弱性であるか否か、また、Exploitコードが公開されたか否かの状態を格納するExploit状態識別子505と、脆弱性が発生した日時506からひとつのエントリが構成される。生成された脆弱性情報500は記憶装置203に記憶される。
図7は、本実施例において予測対象のビジネスシステムを構成するネットワークの情報を定義するネットワーク情報テーブル700の一例を示す図である。
ネットワーク情報テーブル700は、ネットワークセグメントをユニークに特定する識別子を格納するネットワークセグメントID701と、ネットワークセグメントID701で特定されたネットワークセグメントに関連するネットワークセグメント情報702と、ネットワークセグメントID701で特定されたネットワークセグメントからメッセージが到達可能なセグメントの識別子を格納する可達セグメントIDリスト703と、ネットワークセグメントID701で特定されたネットワークセグメントの外部接続の有無を格納する外部接続性704からひとつのエントリが構成されている。
ネットワーク情報テーブル700は、予測対象のビジネスシステム毎に予め設定されたデータである。
図8は本実施例において予測対象のビジネスシステムを構成する機器情報を定義する機器情報テーブル800の一例を示す図である。
機器情報テーブル800は、機器をユニークに特定する識別子を格納する機器ID801と、機器ID801で特定された機器に関する情報を格納する機器情報802と、機器ID801で特定された機器が所属(接続)しているネットワークセグメントのIDのリストを格納する接続セグメントIDリスト803と、機器ID801で特定された機器の種別を格納する機器種別804と、機器ID801で特定された機器にインストールされたソフトウェア(またはプロダクト)のリストを格納するソフトウェアリスト805でひとつのエントリが構成されている。
機器情報テーブル800は、予測対象のビジネスシステム毎に予め設定されたデータである。
図9は本実施例において予測対象のビジネスシステムを構成する機器について検知された脆弱性情報の状況を管理する脆弱性状況管理テーブル900の一例を示す図である。
脆弱性状況管理テーブル900は、各機器で検知された脆弱性を一意に特定する識別子を格納する検知ID901と、検知ID901で特定された検知脆弱性の脆弱性情報を特定する識別子を格納する脆弱性ID902と、検知ID901で特定された検知脆弱性のある機器を特定する識別子を格納する機器ID903と、検知ID901で特定された検知脆弱性の対策状況を格納する対策状況904と、検知ID901で特定された検知脆弱性の状況が更新された更新日時905からひとつのエントリが構成されている。
ここで検知脆弱性の対策状況904としては、未対策、および、対策済みの2つの状況で定義される。なお、脆弱性状況管理テーブル900は、損害発生シミュレータ230によって生成または更新される。
<損害発生シミュレーション>
図10は本実施例において、損害発生シミュレータ230が、損害発生シミュレーションを行う処理の一例を示すフローチャートである。この処理は、図1に示したステップ104〜105の処理の詳細を示す。
計算機200は、ステップ1000でN回目の処理を開始する。なお、Nは図1の処理のループの繰返し回数を示す。次に、ステップ1001では、計算機200は、初期値として、Date=1月1日を代入する。
ステップ1002では、計算機200が、脆弱性情報テーブル500から、Dateに該当する脆弱性発生日時506と、脆弱性ID501と、影響ソフトウェア502と、Exploit状態識別子505を読み込んで、現在のDateで発生した脆弱性情報を検知する。
ステップ1003では計算機200が、脆弱性状況管理テーブル900の対策状況904を参照して、検知された脆弱性情報に対して対策が講じられたか否かを判定する。対策が講じられていなければ、未対策の検知情報ありと判定してステップ1004に進む。一方、検知された脆弱性情報に対して対策が講じられていれば、ステップ1015に進んで次のDateについて上記処理を繰り返す。
なお、脆弱性情報に対する対策の有無の判定は、例えば、脆弱性状況管理テーブル900の更新日時905が現在のDate以前で、対策状況904が「対策済み」であれば脆弱性に対して対策済みと判定することができる。
ステップ1004では、計算機200が、乱数R1を生成する。ステップ1006では、計算機200がDateと予測対象のビジネスシステムの各機器に内在する脆弱性情報の発生日の差分(つまり、脆弱性情報の発生日からの経過日数)を計算する。
そして、計算機200は、脆弱性発生日からExploitコードが公開されるまでの経過日数に対する累積確率分布情報1005を参照して、Exploitコード公開の発生確率に対して乱数R1が上回っているのであれば、Exploitコード発現として、該当する脆弱性にマークを設定する。
なお、経過日数に対する累積確率分布情報1005は、脆弱性毎に時間の経過に応じて予め設定された損害発生確率モデルである。また、累積確率分布情報1005は、予測対象のビジネスシステムにおけるセキュリティの運用状況によって脆弱性情報の発生日からの経過日数に対する損害発生確率が設定される。
ステップ1007では、計算機200が、新たにExploitコードが発現した脆弱性があれば、ステップ1008へ、無ければ、ステップ1015に進む。
ステップ1008では、計算機200が、Exploitコードが発現した脆弱性のみを対象に、機器毎に攻撃到達の可能性を評価する。
攻撃到達の可能性の評価は、前記特許文献1に記載された手法を用いることができ、ネットワーク情報テーブル700の可達セグメントIDリスト703や、機器情報テーブル800の接続セグメントIDリスト803から、機器間の周辺確率で算出し、攻撃(メッセージ)の到達可能性を評価する。
ステップ1009では、計算機200が、乱数R2を生成する。次に、ステップ1010では、計算機200が、乱数R2を超える攻撃到達可能性の機器を特定する。なお、攻撃到達可能性は、前記特許文献1において、ベイジアンネットワークで計算される各ノード(機器)の周辺確率で表される。
ステップ1011では、計算機200が、乱数R2を超える攻撃到達可能性の機器の有無を判定する。乱数R2を超える機器があった場合にはステップ1012へ進み、ない場合にはステップ1015に進む。
ステップ1012では、計算機200が、機器毎にCIA(機密性:Confidentiality、完全性:Integrity、可用性:Availability)別の損害額表1030に基づき、攻撃到達と特定された機器と脆弱性のインパクトをCVSSベクトルから、CIA別の損害額を算出し、損害を機器毎の損害発生記録1020に記録する。なお、損害額表1030は、予め設定されたテーブルである。
損害額表1030は、機器ID1031と、機密性に関する損害額が設定されたC1032と、完全性に関する損害額が設定されたI1033と、可用性に関する損害額が設定されたA1034を、ひとつのエントリに含む。
ステップ1011では、計算機200が、ステップ1012の損害の露見に対して対策状況を後述するように反映する。ステップ1014では、計算機200が、Dateが12月31日であれば、ステップ1016へ、それ以外であれば、ステップ1015へ進む。
ステップ1015では、計算機200が、Dateをインクリメントし、ステップ1002に戻り、上記処理を繰り返す。ステップ1016では、計算機200が処理を終了する。
ここで、脆弱性情報の発生日からExploitコードが公開されるまでの経過日数に対する確率分布1005は、脆弱性情報の発生からの経過日数に対する、Exploitコードが公開された脆弱性情報の正規化累積ヒストグラムを生成することで、算出することができる。例えば、正規化ヒストグラム情報をテーブルやCSVファイル(経過日数、正規化累積頻度)で保持しておく。
また、ステップ1011の損害発生時の対策状況の反映に対しては、ビジネスシステムを運用する組織毎に事前設定された対応手続きの内容によって異なる。例えば、以下のような事前設定の例が考えられる。
(ア)損害発生の有無に関わらず、公開された脆弱性について、脆弱性パッチや対策を定期的に行う手続きがある場合、対策間隔(定期保守の間隔など)が組織ごとに設定される。
(イ)攻撃の有無を検知する手段を講じており、損害の有無に関わらず、検知後、すみやかに対策を行うことが手続き化されている。検知及び対策手段として、ウィルスワクチンソフトやIDS(侵入検知システム)、WAF(Webアプリケーションファイヤウォール)などがある。
(ウ)損害発生があった場合、対策手続きが決まっており、対策範囲が設定されている。
これらの対策状況に合わせて、計算機200は、上記ステップ1013で脆弱性状況管理テーブル900の対策状況904の内容を更新する。なお、計算機200は、新たな脆弱性IDであれば、脆弱性状況管理テーブル900に新たなエントリを追加することができる。
以上の処理によって、乱数R2を超える攻撃到達可能性を有する機器について、予め設定された損害額表1030に基づいて、インシデントによる損害額が機器ごとの損害発生記録1020として生成される。
図11は本実施例における損害予測部240が超過損害確率カーブあるいは再現期間を算出するフローチャートである。この処理は、図1のステップ107〜108で行われる。
ステップ1100では、計算機200が、処理を開始する。ステップ1101では、計算機200が、初期値として、カウンタnに0を代入する。ステップ1102では、計算機200が、機器毎の損害発生記録1020を読み込んで各繰り返し回(N)のインシデントによる損害額を呼び出して、その総和を算出し、記録する。
ステップ1103では、計算機200が、繰り返し計算を行ったN回分の総和の算出が完了していれば、ステップ1104に進み、完了していなければ、ステップ1107に進む。
ステップ1105では、計算機200が、年間損害額が大きい順に繰り返し回Nを並び替える。ステップ1106では、計算機200が、年間損害額が小さい繰り返し回の順に番号付け(ナンバリング)する。
ステップ1107では、計算機200が、番号付けした番号が示す損害額がその損害が発生する再現期間となる。計算機200は、縦軸を制限期間、横軸を損害額とするグラフを生成する。生成後、ステップ1108に進む。
ステップ1107では、計算機200が、カウンタnをインクリメントし、ステップ1102に戻る。ステップ1108では、処理を終了する。
ここで、上記ステップ1107において、超過損害確率カーブを生成する場合は、番号付けした数値Xとすると、超過確率Pを以下で算出する。
P=(N−X)/N ・・・(数1)
計算機200は、超過確率Pを縦軸に設定し、損害額を横軸とする超過損害確率カーブグラフを生成する。
<画面構成例>
図12は、本実施例の脆弱性発生シミュレータ部1200の画面構成の一例を示す図である。脆弱性情報発生シミュレータ210が生成する脆弱性発生シミュレータ部1200の画面は、脆弱性発生コントローラ1210と、脆弱性発生状況モニタ1220と、脆弱性情報詳細確認部1230にて構成される。
脆弱性発生コントローラ1210は、インシデントの発生対象となるソフトウェアと発生数式モデル、その数式のパラメータを入力することができる。これらの対象ソフトウェアの追加または削除や、年間の脆弱性情報の発生の繰り返し回数の指定を行うことができる。
また、各ソフトウェアの脆弱性特性(CVSSやCWE)に関する発生確率や、Exploitコードの発生確率などの詳細を設定することができる。さらに、これらの条件に従い、脆弱性発生処理を起動することができる。
脆弱性発生状況モニタ1220は、繰り返し回(N)毎に、月毎の脆弱性情報の発生件数のグラフを表示することができる。また、プルダウンメニュー1221により、各ソフトの内訳やCVSS値の分類(High、Middle、Low)や、CWE分類や、Exploitコード発生の有無などの内訳にグラフの表示態様を切り替えることができる。
発生脆弱性情報詳細確認部1230は、発生した脆弱性情報をリスト表示することができる。脆弱性情報の項目として、CVE−ID1231、対象ソフト1232、CVSSベクトル1233、CWE1234、Exploitコード発生の有無1235を表示することができる。
また、発生脆弱性情報詳細確認部1230は、リスト表示の範囲を絞り込むための条件入力フィールド1236を有する。絞込み条件として、繰り返し回、ソフトウェア名、発生月、CVE−ID、脆弱性特性情報などが設定できるものとする。
図13は、本実施例の損害発生シミュレータ部1300の画面構成の一例を示す図である。損害発生シミュレータ230が生成する損害発生シミュレータ部1300は、コントローラ部1310と、BIA(Business Impact Analysis)分析パラメータ設定部1320と、組織対策状況パラメータ設定部1330と、結果モニタ部1340から構成される。
損害発生シミュレータコントローラ部1310は、繰り返し回数を指定し、シミュレーション実行開始を指示することができる。
BIA分析パラメータ設定部1320は、機器毎の損害額へのインパクトをCIA(C:秘匿性侵害、I:完全性侵害、A:可用性侵害)ごとに設定することができる。また、これらの設定をファイルから読み込み、または書き込みすることもできる。
また、機器毎の対策期間を設定できる。例えば、PCはアップデートサービスによる即時対策、WebやDBは、定期保守対策、制御機器は、半年ごとに対策するなどの設定を行う。
組織対策状況パラメータ設定部1330は、定期保守対策の期間や、組織検知能力(攻撃検知の平均時間)、組織防御能力(攻撃防御確率、損害額低減率)などを設定することができる。なお、組織防御能力は、予測対象のビジネスシステムが有するセキュリティ対策に応じて攻撃防御確率(損害の発生確率)を制御するパラメータとしてもよい。
結果モニタ部1340は、損害額の再現期間グラフや超過損害確率カーブグラフなどを選択して表示することができる。また、これらの結果をファイル出力することができる。
このように構成される本実施例によれば、ビジネスシステムの各機器の機能をなすソフトウェアの脆弱性情報の発行統計に基づいた脆弱性情報の発行をトリガとして、ビジネスシステムの機器のネットワークトポロジに応じた攻撃到達性に基づいた各機器の損害発生をシミュレーションすることができる。したがって、本発明により、年間の損害発生をモンテカルロ法にて繰り返し評価することで、超過損害確率カーブを算出することができる。これにより、サイバーインシデントによる損害額の規模とその発生確率を提示することで、ビジネス継続上のリスクとして経営層が的確にハンドリングすることができる。
<実施例の拡張例>
これまでの本実施例において、攻撃者の意図を考慮せず、機器の脆弱性と機器のネットワークトポロジによる攻撃の到達可能性のみで損害をシミュレーションしているが、ビジネスシステムの特性に応じて、攻撃シナリオを設定して、サイバー攻撃による損害発生をシミュレーションしても良い。
例えば、予測対象のビジネスシステムがWebサービスの場合、インターネットからの攻撃については、インターネットからの侵入を攻撃シナリオとして、ビジネスシステムへの侵入による個人データ詐取損害を想定した損害発生をBIA分析結果に反映し、攻撃起点をインターネット境界に設定し、損害発生をシミュレーションする。
なお、攻撃シナリオとしては、図6のデータベース600に格納された攻撃シナリオテーブル610を用いることができる。攻撃シナリオテーブル610は、図14で示すように、攻撃シナリオID611と、攻撃の種別・名前612と、攻撃起点613、攻撃目的614とをひとつのエントリに含む予め設定されたテーブルである。ここで、攻撃起点613で設定された攻撃起点からの攻撃到達可能性を評価し、攻撃目的で示されたCIAへの損害を算定することで、損害発生をシミュレーションする。
また、IIoT(Industrial Internet of Things)の場合は、インターネットからの侵入の他に、作業員PCへのランサムウェア感染によるDoS攻撃を想定した事業継続に関する損害発生をBIA分析結果に反映するとともに、攻撃起点をインターネット境界および作業員PCに設定し、損害発生をシミュレーションする。
<まとめ>
また、これまでの本実施の形態において、機器の脆弱性の有無により攻撃成功の可否を判定していたが、対策の有無により攻撃成功の可否を考慮することも可能である。例えば、ウィルスワクチンソフトの導入の有無とそのパターンファイルの更新ルールにより、脆弱性を利用した攻撃の成功確率を設定することで、損害発生の阻止をシミュレーションする。また、インターネット境界へのFWやIDS、WAFの導入と、それらのシグネチャ更新等に関する運用ルールにより、内部の機器へのインターネットを介した脆弱性攻撃の成功確率を設定することで、インターネットからの攻撃による損害発生をシミュレーションする。
これらの対策状況を本実施の形態では、組織対策状況パラメータ設定部1330では、組織検知能力として攻撃検知できるまでの期間を設定したり、組織防御能力として、攻撃防御に成功する確率として設定することで、損害発生シミュレーションの乱数に重み付けすることで、損害発生をシミュレーションする。
なお、本発明は上述の実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。
実施例の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
200 計算機
201 CPU
202 メモリ
203 記憶装置
204 入力装置
205 出力装置
206 通信装置
210 脆弱性情報発生シミュレータ
220 脆弱性リスク評価部
230 損害発生シミュレータ
240 損害予測部

Claims (15)

  1. プロセッサとメモリを有する計算機で、所定のビジネスに関する処理を実行する予測対象システムのサイバー攻撃による損害を予測する損害予測方法であって、
    前記プロセッサが、前記予測対象システムで使用されるソフトウェア毎の脆弱性モデルを読み込んで、脆弱性情報の発生日と脆弱性の特性を生成する第1のステップと、
    前記プロセッサが、前記予測対象システムを構成する要素のネットワークトポロジ情報に基づいて、前記要素へ前記脆弱性を使った攻撃が到達するリスクを評価する第2のステップと、
    前記プロセッサが、前記脆弱性情報の発生日からの時間経過に対する発生確率モデルに基づいて、前記脆弱性に対する攻撃の発生を判定する第3のステップと、
    前記プロセッサが、前記脆弱性に対する攻撃が発生したと判定した場合には、前記リスクの評価の結果と、各要素に対する攻撃による損害の発生を予測する第4のステップと、
    前記プロセッサが、前記脆弱性に対して前記予測対象システムの対策状況を反映する第5のステップと、
    前記プロセッサが、乱数を生成して前記第1のステップから前記第5のステップを所定の回数まで繰り返して実行する第6のステップと、
    を含むことを特徴とする損害予測方法。
  2. 請求項1に記載の損害予測方法であって、
    前記第3のステップは、
    前記脆弱性情報の特性に応じて前記発生確率モデルが設定されることを特徴とする損害予測方法。
  3. 請求項1に記載の損害予測方法であって、
    前記第4のステップは、
    前記要素の種類と脆弱性の特性に応じて損害額を算出することを特徴とする損害予測方法。
  4. 請求項1に記載の損害予測方法であって、
    前記第1のステップは、
    前記ソフトウェア毎に前記脆弱性が発生する確率分布を予め設定したことを特徴とする損害予測方法。
  5. 請求項1に記載の損害予測方法であって、
    前記第4のステップは、
    前記予測対象システムのセキュリティの有無に応じて損害が発生する確率を制御することを特徴とする損害予測方法。
  6. 請求項1に記載の損害予測方法であって、
    前記第3のステップは、
    前記予測対象システムにおけるセキュリティの運用状況によって脆弱性発生からの経過日数に対する損害発生確率が設定されることを特徴とする損害予測方法。
  7. 請求項1に記載の損害予測方法であって、
    前記プロセッサが、所定の回数までの繰り返し毎の損害額の総和を算出し、前記総和に基づいて超過損害確率を算出する第7のステップをさらに含むことを特徴とする損害予測方法。
  8. プロセッサとメモリを含む計算機で、所定のビジネスに関する処理を実行する予測対象システムのサイバー攻撃による損害を予測する損害予測システムであって、
    前記予測対象システムで使用されるソフトウェア毎の脆弱性モデルを読み込んで、脆弱性情報の発生日と脆弱性の特性を生成する脆弱性情報発生シミュレータと、
    前記予測対象システムを構成する要素のネットワークトポロジ情報に基づいて、前記要素へ前記脆弱性を使った攻撃が到達するリスクを評価する脆弱性リスク評価部と、
    前記脆弱性情報の発生日からの時間経過に対する発生確率モデルに基づいて、前記脆弱性に対する攻撃の発生を判定し、前記脆弱性に対する攻撃が発生したと判定した場合には、前記リスクの評価の結果と、各要素に対する攻撃による損害の発生を予測し、前記脆弱性に対して前記予測対象システムの対策状況を反映する損害発生シミュレータと、
    乱数を生成して前記脆弱性情報発生シミュレータと、前記脆弱性リスク評価部と、前記損害発生シミュレータの処理を所定の回数まで繰り返して実行する損害予測部と、
    を有することを特徴とする損害予測システム。
  9. 請求項8に記載の損害予測システムであって、
    前記損害発生シミュレータは、
    前記脆弱性情報の特性に応じて前記発生確率モデルが設定することを特徴とする損害予測システム。
  10. 請求項8に記載の損害予測システムであって、
    前記損害発生シミュレータは、
    前記要素の種類と脆弱性の特性に応じて損害額を算出することを特徴とする損害予測システム。
  11. 請求項8に記載の損害予測システムであって、
    前記脆弱性情報発生シミュレータは、
    前記ソフトウェア毎に前記脆弱性が発生する確率分布を予め設定することを特徴とする損害予測システム。
  12. 請求項8に記載の損害予測システムであって、
    前記損害発生シミュレータは、
    前記予測対象システムのセキュリティの有無に応じて損害が発生する確率を制御することを特徴とする損害予測システム。
  13. 請求項8に記載の損害予測システムであって、
    前記損害発生シミュレータは、
    前記予測対象システムにおけるセキュリティの運用状況によって脆弱性発生からの経過日数に対する損害発生確率が設定されることを特徴とする損害予測システム。
  14. 請求項8に記載の損害予測システムであって、
    前記損害予測部は、
    所定の回数までの繰り返し毎の損害額の総和を算出し、前記総和に基づいて超過損害確率を算出することを特徴とする損害予測システム。
  15. プロセッサとメモリを有する計算機で、所定のビジネスに関する処理を実行する予測対象システムのサイバー攻撃による損害を予測させるためのプログラムであって、
    前記予測対象システムで使用されるソフトウェア毎の脆弱性モデルを読み込んで、脆弱性情報の発生日と脆弱性の特性を生成する第1のステップと、
    前記予測対象システムを構成する要素のネットワークトポロジ情報に基づいて、前記要素へ前記脆弱性を使った攻撃が到達するリスクを評価する第2のステップと、
    前記脆弱性情報の発生日からの時間経過に対する発生確率モデルに基づいて、前記脆弱性に対する攻撃の発生を判定する第3のステップと、
    前記脆弱性に対する攻撃が発生したと判定した場合には、前記リスクの評価の結果と、各要素に対する攻撃による損害の発生を予測する第4のステップと、
    前記脆弱性に対して前記予測対象システムの対策状況を反映する第5のステップと、
    乱数を生成して前記第1のステップから前記第5のステップを所定の回数まで繰り返して実行する第6のステップと、
    を前記計算機に実行させるためのプログラム。
JP2018109153A 2018-06-07 2018-06-07 損害予測方法、損害予測システム及びプログラム Active JP6913057B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018109153A JP6913057B2 (ja) 2018-06-07 2018-06-07 損害予測方法、損害予測システム及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018109153A JP6913057B2 (ja) 2018-06-07 2018-06-07 損害予測方法、損害予測システム及びプログラム

Publications (2)

Publication Number Publication Date
JP2019212143A JP2019212143A (ja) 2019-12-12
JP6913057B2 true JP6913057B2 (ja) 2021-08-04

Family

ID=68845548

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018109153A Active JP6913057B2 (ja) 2018-06-07 2018-06-07 損害予測方法、損害予測システム及びプログラム

Country Status (1)

Country Link
JP (1) JP6913057B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023000175A (ja) * 2021-06-17 2023-01-04 株式会社日立製作所 リスク管理システムおよび方法
WO2023105590A1 (ja) * 2021-12-06 2023-06-15 日本電信電話株式会社 脆弱性評価装置、脆弱性評価方法、および、脆弱性評価プログラム
CN116305170A (zh) * 2023-05-16 2023-06-23 北京安帝科技有限公司 基于工控系统的模拟测试方法、装置、设备及存储介质
CN116561875B (zh) * 2023-07-07 2023-09-15 合肥工业大学 一种考虑桥梁地震响应相关性的桥梁网络易损性分析方法
CN117155708A (zh) * 2023-10-30 2023-12-01 中国电子信息产业集团有限公司第六研究所 一种网络安全预测方法、装置、电子设备及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6298680B2 (ja) * 2014-03-28 2018-03-20 株式会社日立製作所 セキュリティ対処支援システム
JP6774881B2 (ja) * 2016-05-18 2020-10-28 株式会社日立製作所 業務処理システム監視装置および監視方法
US9537884B1 (en) * 2016-06-01 2017-01-03 Cyberpoint International Llc Assessment of cyber threats

Also Published As

Publication number Publication date
JP2019212143A (ja) 2019-12-12

Similar Documents

Publication Publication Date Title
JP6913057B2 (ja) 損害予測方法、損害予測システム及びプログラム
JP6312578B2 (ja) リスク評価システムおよびリスク評価方法
US8650637B2 (en) Network security risk assessment
JP6307453B2 (ja) リスク評価システムおよびリスク評価方法
US11347867B2 (en) Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful
JP6557774B2 (ja) プロセストレースを用いたグラフベースの侵入検知
US10853487B2 (en) Path-based program lineage inference analysis
US9313222B2 (en) Method, electronic device, and user interface for on-demand detecting malware
JP2017527931A (ja) マルウェア検出の方法及びそのシステム
JP6298680B2 (ja) セキュリティ対処支援システム
TWI482047B (zh) 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體
Singh et al. Information security assessment by quantifying risk level of network vulnerabilities
US9600795B2 (en) Measuring process model performance and enforcing process performance policy
EP3369028B1 (en) Checking a security value calculated for a part of a program code
JP2008243034A (ja) ソフトウェア挙動モデル化装置、ソフトウェア挙動モデル化方法、ソフトウェア挙動検証装置及びソフトウェア挙動検証方法
US20160197943A1 (en) System and Method for Profiling System Attacker
JP7019533B2 (ja) 攻撃検知装置、攻撃検知システム、攻撃検知方法および攻撃検知プログラム
Anand et al. Modeling software fault removal and vulnerability detection and related patch release policy
Kaur et al. Modeling software vulnerability correction/fixation process incorporating time lag
Naghmouchi et al. A new risk assessment framework using graph theory for complex ICT systems
WO2012053041A1 (ja) セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
Beres et al. Optimizing network patching policy decisions
JP2018160170A (ja) 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法
JP6800744B2 (ja) ホワイトリスト作成装置
US20220309171A1 (en) Endpoint Security using an Action Prediction Model

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200828

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210618

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210629

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210709

R150 Certificate of patent or registration of utility model

Ref document number: 6913057

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150