JP6967721B2 - リスク分析装置及びリスク分析方法 - Google Patents
リスク分析装置及びリスク分析方法 Download PDFInfo
- Publication number
- JP6967721B2 JP6967721B2 JP2021507364A JP2021507364A JP6967721B2 JP 6967721 B2 JP6967721 B2 JP 6967721B2 JP 2021507364 A JP2021507364 A JP 2021507364A JP 2021507364 A JP2021507364 A JP 2021507364A JP 6967721 B2 JP6967721 B2 JP 6967721B2
- Authority
- JP
- Japan
- Prior art keywords
- target
- elements
- risk analysis
- route
- asset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 132
- 238000012502 risk assessment Methods 0.000 title claims description 105
- 230000007123 defense Effects 0.000 claims description 30
- 230000008569 process Effects 0.000 description 58
- 238000004891 communication Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 23
- 238000012545 processing Methods 0.000 description 15
- 230000004048 modification Effects 0.000 description 13
- 238000012986 modification Methods 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 7
- 230000006378 damage Effects 0.000 description 6
- 230000007717 exclusion Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 230000010354 integration Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000001965 increasing effect Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Alarm Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本開示は、リスク分析装置及びリスク分析方法に関する。
近年、製造設備などの産業機器の制御システムに対する不正な攻撃によって、製造設備が停止することが発生している。また、製造物に対して不正なプログラムが製造時に導入されるのを防止するためにも、産業機器の制御システムには高いセキュリティが求められる。これに対して、例えば特許文献1では、制御システムのセキュリティ対策を支援するセキュリティ対策立案支援システムが開示されている。
「制御システムのセキュリティリスク分析ガイド」、IPA 独立行政法人 情報処理推進機構、2017年10月2日
しかしながら、上記従来のセキュリティ対策立案支援システムを利用して、制御システムのセキュリティ対策を行おうとした場合、脅威項目の各々に対する攻撃経路が膨大になる。制御システムを構成する資産間の接続関係は通常、複雑であるので、全ての攻撃経路を網羅することが難しい。したがって、従来のセキュリティ対策立案支援システムでは、十分なセキュリティ対策を支援することができないという問題がある。
そこで、本開示は、守備対象のセキュリティを高めるのに十分な対策を支援することができるリスク分析装置及びリスク分析方法を提供する。
上記課題を解決するため、本開示の一態様に係るリスク分析装置は、互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析装置であって、前記N個の要素の各々のセキュリティ上の脅威に対する安全度と、前記N個の要素の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、前記侵入口から前記守備対象に至る1つ以上の経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が第1閾値より低い経路である対象経路を、前記N個の要素の各々の安全度と前記接続関係とに基づいて特定する特定部と、前記対象経路に関する経路情報を出力する出力部とを備える。
また、本開示の一態様に係るリスク分析方法は、互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析方法であって、前記N個の要素の各々のセキュリティ上の脅威に対する安全度と、前記N個の要素の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付け、前記侵入口から前記守備対象に至る1つ以上の経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が閾値より低い経路である対象経路を、前記N個の要素の各々の安全度と前記接続関係とに基づいて特定し、前記対象経路に関する経路情報を出力する。
また、本開示の一態様は、上記リスク分析方法をコンピュータに実行させるプログラムとして実現することができる。あるいは、当該プログラムを格納したコンピュータ読み取り可能な記録媒体として実現することもできる。
本開示によれば、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
(本開示の概要)
本開示の一態様に係るリスク分析装置は、互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析装置であって、前記N個の要素の各々のセキュリティ上の脅威に対する安全度と、前記N個の要素の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、前記侵入口から前記守備対象に至る1つ以上の経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が第1閾値より低い経路である対象経路を、前記N個の要素の各々の安全度と前記接続関係とに基づいて特定する特定部と、前記対象経路に関する経路情報を出力する出力部とを備える。
本開示の一態様に係るリスク分析装置は、互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析装置であって、前記N個の要素の各々のセキュリティ上の脅威に対する安全度と、前記N個の要素の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、前記侵入口から前記守備対象に至る1つ以上の経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が第1閾値より低い経路である対象経路を、前記N個の要素の各々の安全度と前記接続関係とに基づいて特定する特定部と、前記対象経路に関する経路情報を出力する出力部とを備える。
これにより、セキュリティ上の脅威に対する対策を取るべき対象経路が容易に特定される。したがって、本態様によれば、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記特定部は、最短経路法を用いて前記対象経路を特定してもよい。
これにより、最短経路法を用いることで、少ない演算量で対象経路を特定することができる。したがって、本態様によれば、守備対象のセキュリティを高めるのに十分な対策を少ない演算量で支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記特定部は、さらに、前記N個の要素の中から安全度が第2閾値以上であるM個(Mは自然数)の要素を除外し、除外されなかったN−M個の要素に基づいて、前記対象経路を特定してもよい。
これにより、安全度が高いM個の要素を予め除外しておくことで、対象経路の特定に要する演算量を更に削減することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記システムは、制御システムであり、前記N個の要素は、前記制御システムを構成するN個の資産であってもよい。
これにより、資産の数が多く、かつ、接続関係が複雑な制御システムに対するリスク分析が実行可能になる。また、工場に導入される制御システムでは、OS(Operation System)のサポートが切れた機器、又は、そもそも安全度を高めるための処理を行うことができない機器などが含まれる場合がある。つまり、制御システムに含まれる全ての資産に対してセキュリティ対策が常に行うことができるとは限らない。また、制御システムに求められる可用性の観点から、制御コマンドの送受信の制限などのセキュリティ対策を行うべきでない資産も存在する。
このような場合であっても、本態様によれば、侵入口から守備対象に至る経路のうち、セキュリティ上の脅威に対する対策を取るべき対象経路が特定されるので、特定された対象経路を遮断するように、対象経路上に位置する要素のうち、セキュリティ対策を行うことができる要素を選択することができる。したがって、制御システムに対して守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記システムは、制御システムであり、前記N個の要素は、前記制御システムを構成する複数の資産の各々の攻撃手順に含まれる複数の攻撃工程であってもよい。
これにより、資産間の接続関係だけでなく、資産の内部における攻撃手順も含めたリスク分析が実行可能になる。このため、対象経路がより具体化されるので、守備対象のセキュリティを高めるのに十分な対策を効果的に支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記システムは、制御システムを構成する資産に対する攻撃手順であり、前記N個の要素は、前記攻撃手順に含まれるN個の攻撃工程であってもよい。
これにより、資産の内部における攻撃手順に基づいたリスク分析が実行可能になるので、資産に対して、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記入力部は、複数の前記侵入口及び複数の前記守備対象を入力として受け付け、前記特定部は、前記侵入口と前記守備対象との組み合わせ毎に、前記対象経路を特定してもよい。
これにより、システムに侵入口及び守備対象が複数含まれる場合であっても、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記出力部は、前記特定部によって複数の前記対象経路が特定された場合に、複数の前記対象経路の和集合を示す情報を、前記経路情報として出力してもよい。
これにより、経路情報が複数の対象経路の和集合で示されるので、複数の対象経路の個々でセキュリティ対策を実施すべき要素を決定する場合よりも、セキュリティ対策を実施すべき要素の選択を容易に行うことができる。
また、本開示の一態様に係るリスク分析方法は、互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析方法であって、前記N個の要素の各々のセキュリティ上の脅威に対する安全度と、前記N個の要素の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付け、前記侵入口から前記守備対象に至る1つ以上の経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が閾値より低い経路である対象経路を、前記N個の要素の各々の安全度と前記接続関係とに基づいて特定し、前記対象経路に関する経路情報を出力する。
これにより、セキュリティ上の脅威に対する対策を取るべき対象経路が容易に特定される。したがって、本態様によれば、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析プログラムは、上記リスク分析方法をコンピュータに実行させるためのプログラムである。
以下では、実施の形態について、図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
また、各図は、模式図であり、必ずしも厳密に図示されたものではない。したがって、例えば、各図において縮尺などは必ずしも一致しない。また、各図において、実質的に同一の構成については同一の符号を付しており、重複する説明は省略又は簡略化する。
(実施の形態1)
[リスク分析の対象となるシステムの概要]
まず、実施の形態1に係るリスク分析装置によるリスク分析の対象となるシステムの一例である制御システムの概要について、図1を用いて説明する。図1は、本実施の形態に係る制御システム10の一例を示す図である。
[リスク分析の対象となるシステムの概要]
まず、実施の形態1に係るリスク分析装置によるリスク分析の対象となるシステムの一例である制御システムの概要について、図1を用いて説明する。図1は、本実施の形態に係る制御システム10の一例を示す図である。
制御システム10は、図1に示されるように、互いに接続されたN個の要素20を含んでいる。ここで、Nは、2以上の自然数である。図1では、N個の要素20を、網掛けの付された丸印で表している。N個の要素20の各々は、少なくとも1つの他の要素20に接続されている。
本実施の形態では、要素20は、制御システム10の資産である。資産は、例えば、通信機器、制御機器、製造設備、情報処理装置、センサ、駆動装置、記憶装置などの装置である。資産は、互いに通信可能に接続されている。資産は、接続された他の資産との間で、一方向又は双方向通信が可能であり、情報又は信号を送信又は受信する。
制御システム10は、例えば、産業機器を制御するシステムである。制御システム10は、例えば、電子機器などの製造物を製造する工場に導入されるシステムである。図1に示されるように、制御システム10は、インターネット30に接続されている。N個の要素20には、IT(Information Technology)機器、OT(Operational Technology)機器、及び、IT/OT機器が資産の一例として含まれる。
IT機器は、例えばインターネット30に接続可能な通信機能を有する。なお、制御システム10が備えるIT機器には、インターネット30に接続されていないIT機器が含まれてもよい。OT機器は、物理的な状態に基づいた制御を行う機器である。例えば、OT機器は、温度又は圧力などを検知し、検知結果に基づいてバルブ又はモータなどの制御を行う。IT/OT機器は、IT機器及びOT機器の両方の機能を有する機器である。
図1に示されるように、一般的な工場に導入される制御システム10では、IT機器、OT機器及びIT/OT機器の接続が整理されておらず、各機器が複雑に接続されている。また、既存の機器の除去、及び、新たな機器の追加などによって接続関係が変更されることも起こる。一般的な制御システム10では、可用性が重視されるために、機器の接続関係を整理することが困難な場合が多い。したがって、セキュリティの対策を行うべき機器の特定が難しい。
また、機器の数及び接続関係が増加するにつれて、侵入口となる機器から、攻撃目標となる機器までの経路が爆発的に増加する。このため、全ての機器及び経路に対する対策の要否を判定することは困難である。
以下では、図1に示されるような制御システム10に対して、少ない演算量で守備対象のセキュリティを高めるのに十分な対策を支援することができるリスク分析装置及びリスク分析方法について説明する。
[リスク分析装置]
図2は、本実施の形態に係るリスク分析装置100の構成を示すブロック図である。リスク分析装置100は、互いに接続されたN個の要素を含むシステム(例えば、図1に示される制御システム10)のリスクを分析する。本実施の形態では、リスク分析装置100は、N個の資産を有するシステムにおいて、所定の資産に対する攻撃経路になりうる経路を特定する。リスク分析装置100は、例えばコンピュータ機器である。
図2は、本実施の形態に係るリスク分析装置100の構成を示すブロック図である。リスク分析装置100は、互いに接続されたN個の要素を含むシステム(例えば、図1に示される制御システム10)のリスクを分析する。本実施の形態では、リスク分析装置100は、N個の資産を有するシステムにおいて、所定の資産に対する攻撃経路になりうる経路を特定する。リスク分析装置100は、例えばコンピュータ機器である。
図2に示されるように、リスク分析装置100は、入力部110と、特定部120と、出力部130とを備える。
入力部110は、経路の特定に用いる情報を入力として受け付ける。具体的には、図2に示されるように、入力部110は、N個の要素の各々のセキュリティ上の脅威に対する安全度と、N個の要素の接続関係と、システムへの入口になる要素である侵入口と、システムにおいて守るべき要素である守備対象とを入力として受け付ける。本実施の形態では、Nは、システムを構成する要素の全数である。N個の要素は、制御システムを構成するN個の資産である。
安全度は、資産ベースのリスク分析に基づいて資産毎に決定される値である。例えば、安全度は、DREADモデルに基づいて決定される。安全度は、数値が高い程、セキュリティ上の脅威に対する安全性が高いことを意味する。資産ベースのリスク分析は、例えば、非特許文献1に開示された手法によって行われる。
接続関係は、互いに通信可能に接続された2つの資産のペアの全てを示す情報である。接続関係には、さらに、接続方向が含まれてもよい。例えば、資産Aと資産Bとが接続されている場合において、資産Aから資産Bへの情報の送信が可能であるが、資産Bから資産Aへの情報の送信が不可能であるとき、資産Aと資産Bとの接続関係には、資産Aから資産Bへの接続方向を含んでもよい。
侵入口は、外部からの侵入が可能な資産である。侵入口は、例えば、インターネット30に接続された資産である。あるいは、侵入口は、USB(Universal Serial Bus)メモリなどのメモリデバイス又は他の機器を接続可能なインタフェースを有する資産であってもよい。
守備対象は、事業被害ベースのリスク分析に基づいて決定される資産である。具体的には、守備対象は、攻撃を受けた場合に事業被害が一定の基準よりも大きくなる資産である。事業被害ベースのリスク分析は、例えば、非特許文献1に開示された手法によって行われる。
このように、安全度、接続関係、侵入口及び守備対象はいずれも、予め定められた手法に基づいて客観的に決定される。したがって、人為的な評価が介在しないため、評価者の技能に基づく評価のばらつきが生じない。よって、守備対象のセキュリティを高めるのに十分な対策を安定して支援することができる。
なお、入力部110は、複数の侵入口、又は、複数の守備対象を入力として受け付けてもよい。入力部110が複数の侵入口及び複数の守備対象を入力として受け付けた場合の処理については、実施の形態1の変形例として後で説明する。
本実施の形態では、入力部110は、さらに、第1閾値を取得する。第1閾値は、侵入口から守備対象に至るまでに経由する資産の安全度の総和との比較に用いられる値である。第1閾値は、侵入口から守備対象に至る経路が満たすべき安全基準である。安全度の総和が第1閾値以上である場合、当該経路は安全であり、守備対象である資産のセキュリティが十分に高い、すなわち、セキュリティ上の脅威に対する対策が不要であると判断できる。安全度の総和が第1閾値より低い場合、当該経路は安全とは言えず、守備対象である資産のセキュリティが低い、すなわち、経路に対してセキュリティ上の脅威に対する対策を行うべきであると判断できる。
入力部110は、入力として受け付けることで取得した入力情報を記憶部(図示せず)に記憶する。当該記憶部は、リスク分析装置100に備えられてもよく、リスク分析装置100と通信可能な外部の記憶装置であってもよい。
入力部110は、キーボード、マウス及びタッチパネルなどの少なくとも1つの入力装置である。あるいは、入力部110は、記憶装置などに接続された通信インタフェースであってもよい。
特定部120は、侵入口から守備対象に至る1つ以上の経路の中から、侵入口から守備対象に至るまでに経由する要素の安全度の総和が第1閾値より低い経路である対象経路を、N個の要素の各々の安全度と接続関係とに基づいて特定する。対象経路は、上述したように、セキュリティ上の脅威に対する対策を行うべき経路である。言い換えると、対象経路は、守備対象への攻撃経路である。
本実施の形態では、特定部120は、最短経路法を用いて対象経路を特定する。具体的には、特定部120は、ダイクストラ法、ベルマンフォード法、又は、ワーシャルフロイド法を最短経路法として用いる。例えば、特定部120は、各資産を頂点(ノード)とするグラフにおいて、侵入口を始点とし、守備対象を終点としてk番目に短い経路(すなわちk最短経路)を導出する。k最短経路を導出する具体的なアルゴリズムとしては、優先度付きキューを用いたダイクストラ法、又は、Eppstein、Yen若しくはHershbergerのアルゴリズムを用いることができる。なお、これらの手法は一例に過ぎず、特定部120が対象経路を特定する手段は、これらに限定されない。
特定部120は、プログラムが格納された不揮発性メモリ、プログラムを実行するための一時的な記憶領域である揮発性メモリ、入出力ポート、及び、プログラムを実行するプロセッサなどで実現される。特定部120が有する各機能は、プロセッサで実行されるソフトウェアで実現されてもよく、1つ以上の電子部品を含む電気回路などのハードウェアで実現されてもよい。
出力部130は、特定部120によって特定された対象経路に関する経路情報を出力する。本実施の形態では、出力部130は、特定部120によって複数の対象経路が特定された場合に、複数の対象経路の和集合を示す情報を、経路情報として出力する。
出力部130は、ディスプレイ、プリンタなどの少なくとも1つの出力装置である。あるいは、出力部130は、リスク分析装置100と通信可能な外部機器に対する通信インタフェースであってもよい。
[動作(リスク分析方法)]
続いて、本実施の形態に係るリスク分析装置100の動作、すなわち、リスク分析方法について、図3を用いて説明する。図3は、本実施の形態に係るリスク分析装置100の動作を示すフローチャートである。
続いて、本実施の形態に係るリスク分析装置100の動作、すなわち、リスク分析方法について、図3を用いて説明する。図3は、本実施の形態に係るリスク分析装置100の動作を示すフローチャートである。
図3に示されるように、まず、入力部110は、対象経路の特定に必要な入力情報を取得する(S10)。具体的には、入力部110は、システムを構成する要素の一覧を取得する(S11)。要素の一覧は、システムに含まれる全ての資産を特定する情報の一覧である。次に、入力部110は、要素毎の安全度を取得し(S12)、続いて、要素間の接続関係を取得する(S13)。さらに、入力部110は、侵入口を取得し(S14)、続いて守備対象を取得する(S15)。さらに、入力部110は、安全度の総和の閾値を取得する(S16)。
なお、入力部110が取得する各情報の取得順序は、特に限定されない。例えば、入力部110は、要素毎に、安全度、接続された要素、侵入口か否かを示すフラグ、及び、守備対象か否かを示すフラグが対応付けられた対応表を取得してもよい。入力部110は、対応表を取得することで、要素一覧、安全度、接続関係、侵入口及び守備対象を同時に取得することができる。
続いて、特定部120は、入力部110によって取得された情報に基づいて、最短経路法を用いて対象経路を特定する(S20)。ステップS20で示される処理は、侵入口及び守備対象の両方が1つのみの場合に行われる対象経路の特定処理である。
具体的にはまず、特定部120は、k=1を設定する(S21)。特定部120は、最短経路法を用いて、侵入口から守備対象に至る経路のうちk番目に短い経路を導出し(S22)、導出した経路の安全度の総和を算出する(S23)。
具体的には、特定部120は、入力部110が取得した入力情報に基づいて、N個の資産の各々を頂点とし、かつ、資産の安全度を頂点の重みとする無向グラフを作成する。無向グラフにおける頂点間の辺は、N個の資産の接続関係に基づいて決定される。例えば、特定部120は、図4に示されるような無向グラフを作成する。図4に示される制御システム11は、互いに接続された9つの資産A〜資産Iから構成された制御システムである。資産Aが侵入口である。資産Iが守備対象である。
ここで、図4は、本実施の形態に係るリスク分析装置100に対する入力情報に基づいて作成した、リスク分析の対象となる制御システム11の無向グラフを説明するための図である。図4では、制御システム11を構成する資産(頂点)を白い丸印で表している。白い丸印の中に記載された数値は、資産の安全度である。安全度は、無向グラフの頂点の重みである。2つの資産(丸印)を結ぶ線分(辺)は、2つの資産が通信可能に接続されていることを表している。資産に向かう白抜き矢印は、当該資産が侵入口であることを表している。資産から延びる白抜き矢印は、当該資産が守備対象であることを表している。これらは、後述する図6、図7、図10〜図12についても同様である。
次に、特定部120は、作成した無向グラフを有向グラフに変換した後、有向辺に重みを付与する。ここで、図5は、本実施の形態に係るリスク分析装置100における無向グラフを有向グラフに変換する処理を説明するための図である。例えば、特定部120は、図5の(a)に示される頂点に重みがある無向グラフを、図5の(b)に示される辺に重みがある有向グラフに変換する。
具体的には、まず特定部120は、2つの資産間を接続する辺を、双方向に延びる有向辺に変換する。次に、特定部120は、資産に入力される有向辺の重み、つまり、資産に先端が接続された矢印で表される有向辺の重みに、当該資産の重み(すなわち、安全度)を付与する。
特定部120は、有向グラフに基づいて最短経路法を用いて、侵入口から守備対象に至る全ての経路の中から、経路上に位置する全ての資産の安全度の総和がk番目に小さくなる経路を導出する。ここでは、k=1であるので、特定部120は、侵入口から守備対象に至る全ての経路の中から、最も安全度の総和が小さくなる経路を対象経路として特定する。
図6は、図4に示される制御システム11において特定された対象経路を示す図である。図6では、特定された対象経路は二重線で表されている。ここでは、安全度の総和との比較に用いられる第1閾値が7の場合を示している。
図6の(a)に示されるように、資産A、資産B、資産E、資産F、資産Iの順で示される経路40の安全度の総和は、5である。経路40は、制御システム11の中で最も安全度の総和が小さくなる経路である。図6に示される制御システム11において安全度の総和が5になる経路は、経路40のみである。
安全度の総和が算出された後、図3に示されるように、特定部120は、安全度の総和と第1閾値とを比較する(S24)。具体的には、安全度の総和が第1閾値より低い場合(S24でNo)、特定部120は、導出された経路、すなわち、安全度の総和が第1閾値より低い経路を対象経路として特定する(S25)。そして、特定部120は、kの値を1つ増加させ(S26)、最短経路の導出、安全度の総和の算出、第1閾値との比較を順に行う(S22〜S24)。安全度の総和が第1閾値以上になるまで、kの値を1ずつ増加させてステップS22〜ステップS24を繰り返し行う。これにより、侵入口から守備対象に至る全ての経路の中から、安全度の総和が第1閾値より低い経路の全てを対象経路として特定することができる。
例えば、図6の(a)に示される経路40の安全度の総和は5であり、第1閾値である7より低い。このため、特定部120は、kの値を2に設定し、侵入口から守備対象に至る全ての経路の中から、2番目に短い経路、すなわち、2番目に安全度の総和が小さくなる経路を対象経路として特定する。これにより、図6の(b)に示されるように、資産A、資産B、資産C、資産F、資産Iの順で示される経路41の安全度の総和が6であるので、経路41が対象経路として特定される。
特定部120は、安全度の総和が第1閾値以上になった場合(S24でYes)、出力部130は、安全度の総和が第1閾値より低い経路、すなわち、特定された対象経路の和集合を出力する(S30)。
図7は、図6に示される対象経路の和集合を示す図である。本実施の形態では、出力部130は、図7に示される和集合を示す経路情報を出力する。図7に示されるように、経路情報が対象経路の和集合で示されるので、資産C及び資産Eのいずれか一方のみの安全度を高めたとしても、他の経路が存在するため、守備対象である資産Iに対するセキュリティ対策が十分ではないことが容易に分かる。
なお、出力部130が経路情報を出力する形態は、特に限定されない。例えば、出力部130は、図7に示されるグラフをディスプレイに表示してもよい。あるいは、出力部130は、対象経路の和集合上に位置する資産を特定する情報をテキストで示してもよい。資産を特定する情報は、例えば資産の名称及び設置位置などである。
以上のように、本実施の形態に係るリスク分析装置100では、最短経路法を用いるので、安全度の総和の低い経路を漏れなく対象経路として特定することができる。また、安全度の総和が高い経路の特定を行わなくてよいので、対象経路の特定に要する演算量を少なくすることができる。特定された対象経路に関する経路情報が出力されるので、対象経路上の資産に対して安全度を高める対策を行えばよいことが分かるので、セキュリティ対策を容易に行うことができる。このように、本実施の形態によれば、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
[変形例]
以下では、実施の形態1の変形例について説明する。具体的には、入力部110が複数の侵入口及び複数の守備対象を入力として受け付けた場合について説明する。
以下では、実施の形態1の変形例について説明する。具体的には、入力部110が複数の侵入口及び複数の守備対象を入力として受け付けた場合について説明する。
図8は、本変形例に係るリスク分析装置100の動作を示すフローチャートである。図8に示されるように、まず、入力部110が入力情報を取得する(S10)。具体的には、入力部110は、資産の一覧、安全度、接続関係、侵入口、守備対象及び第1閾値を取得する(図3に示されるS11〜S16)。このとき、本変形例では、ステップS14及びステップS15において、入力部110は、複数の侵入口及び複数の守備対象を取得する点が、実施の形態1とは相違している。
次に、特定部120は、入力部110によって取得された情報に基づいて、最短経路法を用いて対象経路を特定する(S40)。ステップS40で示される処理は、侵入口及び守備対象の少なくとも一方が複数である場合に行われる対象経路の特定処理である。特定部120は、侵入口と守備対象との組み合わせ毎に対象経路を特定する。
具体的にはまず、特定部120は、複数の守備対象の1つを選択する(S41)。さらに、特定部120は、複数の侵入口の1つを選択する(S42)。守備対象の選択と侵入口の選択とは、いずれが先に行われてもよい。守備対象及び侵入口は、未選択の守備対象及び侵入口の中から選択される。
特定部120は、選択した1つの守備対象と1つの侵入口とに基づいて、実施の形態1と同様に、対象経路の特定を行う(S20)。具体的には、特定部120は、図3に示されるステップS21〜ステップS26までの処理を行う。
次に、入力された全ての侵入口に対する対象経路の特定処理が完了するまで(S43でNo)、特定部120は、未選択の侵入口の選択と対象経路の特定とを繰り返し行う(S42、S20)。入力された全ての侵入口に対する対象経路の特定処理が完了した場合(S43でYes)、入力された全ての守備対象に対する対象経路の特定処理が完了するまで(S44でNo)、特定部120は、未選択の守備対象の選択と、未選択の侵入口の選択と、対象経路の特定とを繰り返し行う(S41〜S43)。
全ての守備対象に対する対象経路の特定処理が完了した場合(S44でYes)、出力部130は、特定された対象経路の和集合を示す経路情報を出力する(S30)。
このように、本変形例では、特定部120は、複数の侵入口及び複数の守備対象が入力された場合に、侵入口と守備対象との組み合わせ毎に対象経路を特定する。これにより、侵入口と守備対象との数によらず、対象経路が特定されるので、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
なお、本変形例では、侵入口及び守備対象の両方を複数取得する例について示したが、いずれか一方のみを複数取得してもよい。例えば、複数の侵入口と1つのみの守備対象とを取得した場合、特定部120は、守備対象の選択処理(S41)及び完了の判定処理(S44)を行わなくてよい。1つのみの侵入口と複数の守備対象とを取得した場合、特定部120は、侵入口の選択処理(S42)及び完了の判定処理(S43)を行わなくてもよい。
(実施の形態2)
続いて、実施の形態2について説明する。
続いて、実施の形態2について説明する。
実施の形態1では、入力された全ての要素を頂点とするグラフに基づいて最短経路を導出する例を説明した。これに対して、実施の形態2では、入力された全ての要素のうち、安全度が十分に高い要素を除外する。以下では、実施の形態1との相違点を中心に説明し、共通点の説明を省略又は簡略化する。
本実施の形態に係るリスク分析装置の構成は、実施の形態1に係るリスク分析装置100と同じである。以下の説明は、図2に示されるリスク分析装置100に基づいて説明する。
図9は、本実施の形態に係るリスク分析装置100の動作を示すフローチャートである。図9に示されるように、まず、入力部110が入力情報を取得する(S10)。具体的には、入力部110は、資産の一覧、安全度、接続関係、侵入口、守備対象及び第1閾値を取得する(図3に示されるS11〜S16)。
次に、特定部120は、安全度が十分に高い要素を除外する(S50)。具体的には、特定部120は、N個の要素の中から安全度が第2閾値以上であるM個の要素を除外する。ここで、Mは、自然数である。第2閾値は、資産の安全度との比較に用いられる値であり、資産が満たすべき安全基準である。第2閾値は予め定められた値であるが、入力部110によって取得された値であってもよい。
次に、特定部120は、実施の形態1と同様に、除外されなかったN−M個の要素に基づいて、最短経路法を用いて対象経路の特定を行う(S20)。具体的には、特定部120は、図3に示されるステップS21〜ステップS26までの処理を行う。対象経路が特定された後、出力部130は、対象経路の和集合を示す経路情報を出力する(S30)。
以下では、図10に示される制御システム12が入力された場合を例に挙げて説明する。
図10は、本実施の形態に係るリスク分析装置に対する入力情報に基づいて作成した、リスク分析の対象となるシステムの無向グラフを説明するための図である。図10に示される例では、制御システム12は、互いに接続された12個の資産A〜資産Lから構成された制御システムである。資産Aが侵入口である。資産Kが守備対象である。
図11は、図10に示される制御システム12において、要素の除外処理を行わない場合の対象経路の和集合を示す図である。安全度の総和の比較に用いる第1閾値は9である。この場合、図11に示されるように、資産A、資産B、資産E、資産H、資産Kの順で通る経路の安全度の総和が7であるので、当該経路が対象経路として特定される。
これに対して、資産を除外した場合の対象経路の和集合は、図12に示されるようになる。図12は、図10に示される制御システム12において、要素の除外処理を行った場合の対象経路の和集合を示す図である。ここでは、一例として、資産の安全性の比較に用いる第2閾値を3とする。
第2閾値が3であるので、図12に示される例では、特定部120は、資産Hを除外する。つまり、資産Hは、安全度が十分に高いので、守備対象である資産Kを攻撃する際に経由される資産から除外することができる。特定部120は、除外されなかった残りの8個の資産とこれらの接続関係とに基づいて対象経路を特定する。このため、特定される対象経路は、図12に示されるように、資産Jを経由する経路と資産Lを経由する経路との2つになる。
このように、本実施の形態では、資産を除外することにより、最短経路法に用いるグラフの頂点及び辺の数を減らすことができる。したがって、最短経路法の演算量を削減することができる。
[変形例]
続いて、実施の形態2の変形例について説明する。具体的には、入力部110が複数の侵入口及び複数の守備対象を入力として受け付けた場合について説明する。
続いて、実施の形態2の変形例について説明する。具体的には、入力部110が複数の侵入口及び複数の守備対象を入力として受け付けた場合について説明する。
図13は、本変形例に係るリスク分析装置100の動作を示すフローチャートである。図13に示されるように、まず、入力部110が入力情報を取得する(S10)。具体的には、入力部110は、資産の一覧、安全度、接続関係、侵入口、守備対象及び第1閾値を取得する(図3に示されるS11〜S16)。このとき、本変形例では、ステップS14及びステップS15において、入力部110は、複数の侵入口及び複数の守備対象を取得する点が、実施の形態2とは相違している。
次に、特定部120は、安全度が十分に高いM個の要素を除外する(S50)。この除外処理は、実施の形態2と同じである。M個の要素の除外が行われた後、特定部120は、除外されなかったN−M個の要素に基づいて、複数の侵入口及び複数の守備対象の両方を取得した場合の対象経路の特定処理を行う(S40)。具体的には、特定部120は、図8に示されるステップS41〜ステップS44の処理を行う。対象経路が特定された後、出力部130は、対象経路の和集合を示す経路情報を出力する(S30)。
このように、本変形例では、特定部120は、複数の侵入口及び複数の守備対象が入力された場合に、侵入口と守備対象との組み合わせ毎に対象経路を特定する。これにより、侵入口と守備対象との数によらず、対象経路が特定されるので、守備対象のセキュリティを高めるのに十分な対策を支援することができる。侵入口及び守備対象の数が増える程、演算量が多くなるが、本変形例によれば、要素の数を減らすことができるので、守備対象のセキュリティを高めるのに十分な対策を少ない演算量で支援することができる。
なお、本変形例においても、侵入口及び守備対象の両方を複数取得する例について示したが、いずれか一方のみを複数取得してもよい。
(実施の形態3)
続いて、実施の形態3について説明する。
続いて、実施の形態3について説明する。
実施の形態1及び2では、リスク分析装置100によるリスク分析の対象となるシステムが制御システムであり、制御システムを構成する資産が要素の一例である例を説明した。これに対して、実施の形態3では、リスク分析の対象となるシステムが、資産に対する攻撃手順であり、攻撃手順に含まれるN個の攻撃工程がN個の要素の一例である例を説明する。以下では、実施の形態1との相違点を中心に説明し、共通点の説明を省略又は簡略化する。
本実施の形態に係るリスク分析装置の構成及び動作は、実施の形態1に係るリスク分析装置100の構成及び動作と同じである。上述したように、リスク分析の対象となるシステムが、実施の形態1とは相違する。以下の説明は、図2に示されるリスク分析装置100に基づいて説明する。
図14は、本実施の形態に係るリスク分析装置100によるリスク分析の対象となるシステムの一例を示す図である。具体的には、図14は、制御システムを構成する資産の1つに対する攻撃手順を示す図である。
1つの資産に対する攻撃手順には、複数の攻撃工程が含まれる。攻撃工程は、リスク分析で使用される脅威である。複数の攻撃工程には、例えば、A:不正アクセス、B:物理的侵入、C:不正操作、D:過失操作、E:不正媒体・機器接続、F:プロセス不正実行、G:マルウェア感染、H:情報窃取、I:情報改ざん、J:情報破壊、K:不正送信、L:機能停止、M:高負荷攻撃、N:経路遮断、O:通信輻輳、P:無線妨害、Q:盗聴、R:通信データ改ざん、S:不正機器接続の19の攻撃工程が含まれる。
図14に示されるように、攻撃工程には、他の攻撃工程と関連している。例えば、F:プロセス不正実行の攻撃工程を実行するためには、C:不正操作、D:過失操作及びE:不正媒体・機器接続のいずれかの攻撃工程が行われた後でなければならない。つまり、資産に対してF:プロセス不正実行を起こそうとする場合には、その前に実行しなければならない攻撃工程が存在する。このように、複数の攻撃工程は、順序関係、すなわち、方向性のある接続関係を有する。図14では、順序関係が矢印で表されている。
本実施の形態では、入力部110は、資産に対する攻撃手順に含まれる全ての攻撃工程の安全度、攻撃工程の順序関係、資産への入口になる攻撃工程である侵入口、及び、資産において守るべき攻撃工程である守備対象を入力として受け付ける。安全度、順序関係、侵入口、及び、守備対象はいずれも、予め定められた手法に基づいて客観的に決定される。
本実施の形態に係るリスク分析装置100では、資産のリスク分析を行う場合に、特定部120は、当該資産に対する攻撃手順に含まれる全ての攻撃工程を頂点とし、攻撃工程の順序関係を有向辺とする有向グラフを作成する。有向辺には、攻撃工程の安全度を重みとして割り当てる。具体的には、有向辺の接続先、すなわち、順序関係における後工程の攻撃工程の安全度を割り当てる。例えば、A:不正アクセスからC:不正操作に延びる有向辺に対しては、C:不正操作の安全度を重みとして割り当てる。
有向グラフが生成され、かつ、有向辺に重みが付与された後、特定部120は、実施の形態1と同様に、最短経路法を用いて安全度の総和が第1閾値より低い経路を対象経路として特定する。図14には、侵入口として、3つの攻撃工程(具体的には、A:不正アクセス、B:物理的侵入、D:過失操作)が入力されている。このため、特定部120は、図8に示されるフローチャートに沿って、ステップS41〜ステップS44を実行することで、対象経路を特定する。
以上のように、本実施の形態によれば、制御システムを構成する資産に対する攻撃手順についてのリスク分析を行うことができるので、資産に対して、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
(実施の形態4)
続いて、実施の形態4について説明する。
続いて、実施の形態4について説明する。
実施の形態4は、実施の形態1と実施の形態3との組み合わせに相当する。具体的には、複数の資産間の接続関係を、複数の資産の各々に対する攻撃手順に含まれる攻撃工程の接続関係に基づいて構築する。より具体的には、制御システムを構成する複数の資産の各々の攻撃手順に含まれる複数の攻撃工程がN個の要素の一例である。以下では、実施の形態1及び3との相違点を中心に説明し、共通点の説明を省略又は簡略化する。
本実施の形態に係るリスク分析装置の構成及び動作は、実施の形態1に係るリスク分析装置100の構成及び動作と同じである。上述したように、リスク分析の対象となるシステムが、実施の形態1とは相違する。以下の説明は、図2に示されるリスク分析装置100に基づいて説明する。
図15は、本実施の形態に係るリスク分析装置100によるリスク分析の対象となるシステムの一例を示す図である。具体的には、図15は、制御システム13を構成する4個の資産A〜資産Dと、4個の資産A〜資産Dの各々に対する攻撃手順を示している。図15では、図面が複雑化するのを避けるために図示していないが、4個の資産A〜資産Dの各々の攻撃手順は、図14に示される19個の攻撃工程を含んでいる。
図15に示されるように、資産Aは、資産B及び資産Cの各々に接続されている。資産Dは、資産B及び資産Cの各々に接続されている。資産A〜資産Dの接続関係は、方向性を有している。資産Aが侵入口であり、資産Dが守備対象である。
この場合、図15に示されるように、侵入口である資産Aに対して攻撃手順を考慮に入れた場合、資産Aの攻撃手順に含まれるA:不正アクセス、B:物理的侵入及びD:過失操作の3つの攻撃工程が侵入口になる。また、資産Aに対する攻撃が成功した後に資産Bを攻撃しようとした場合、資産Aの攻撃工程の1つであるK:不正送信を利用して、資産Bの攻撃工程の1つであるA:不正アクセスから攻撃を開始する。このように、資産Aから資産Bへの攻撃手順は、資産A及び資産Bの各々における攻撃工程の組み合わせにおいて決定される。例えば、資産Aに対する攻撃工程であるJ:情報破壊が発生しただけでは、資産Bへの攻撃には至らない。また、資産Aに対する攻撃の後に、資産Bに対してB:物理的侵入の攻撃は行われない。したがって、制御システム13を構成する各資産の接続関係は、各資産に対する攻撃手順に含まれる攻撃工程の接続関係によって表すことができる。
本実施の形態に係るリスク分析装置100では、資産のリスク分析を行う場合に、特定部120は、制御システム13を構成する全ての資産の各々の攻撃手順に含まれる全ての攻撃工程を頂点とし、攻撃工程の順序関係を有向辺とする有向グラフを作成する。例えば、資産A〜資産Dの各々が図14に示される19個の攻撃工程を含む場合、有向グラフの頂点の個数は、76(=19×4)個になる。有向辺には、攻撃工程の安全度を重みとして割り当てる。安全度の割当方法は、実施の形態3と同様である。
有向グラフが生成され、かつ、有向辺に重みが付与された後、特定部120は、実施の形態1と同様に、最短経路法を用いて安全度の総和が第1閾値より低い経路を対象経路として特定する。図15には、侵入口として、資産Aの3つの攻撃工程(具体的には、A:不正アクセス、B:物理的侵入、D:過失操作)が入力されている。また、守備対象として、資産Dの4つの攻撃工程(具体的には、I:情報改ざん、J:情報破壊、L:機能停止、R:通信データ改ざん)が入力されている。このため、特定部120は、図8に示されるフローチャートに沿って、ステップS40を実行することで、対象経路を特定する。
以上のように、本実施の形態によれば、制御システム13を構成する全ての資産に対する攻撃手順についてのリスク分析を行うことができるので、制御システム13に対して、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
なお、本実施の形態では、制御システム13を構成する4個の資産A〜資産Dの各々の攻撃手順に含まれる全ての攻撃工程を要素とする例を説明したが、4個の資産A〜資産Dのうち少なくとも1つの資産のみの攻撃手順に含まれる攻撃工程と、攻撃手順が考慮されない1つ以上の資産とを要素としてもよい。
(他の実施の形態)
以上、1つ又は複数の態様に係るリスク分析装置及びリスク分析方法について、実施の形態に基づいて説明したが、本開示は、これらの実施の形態に限定されるものではない。本開示の主旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したもの、及び、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の範囲内に含まれる。
以上、1つ又は複数の態様に係るリスク分析装置及びリスク分析方法について、実施の形態に基づいて説明したが、本開示は、これらの実施の形態に限定されるものではない。本開示の主旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したもの、及び、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の範囲内に含まれる。
例えば、上記の実施の形態では、安全度は、数値が高い程、セキュリティ上の脅威に対する安全性が高いことを意味する例を示したが、これに限らない。安全度は、数値が高い程、セキュリティ上の脅威に対する安全性が低いことを意味してもよい。この場合、安全度は、リスクの高さを示すリスク度と置き換えることができる。入力部110は、安全度として、セキュリティ上の脅威に対する安全性を間接的に表すリスク度を入力として受け付けてもよい。リスク度は、実施の形態で説明した安全度と負の相関関係を有する。
また、上記実施の形態において、特定の処理部が実行する処理を別の処理部が実行してもよい。また、複数の処理の順序が変更されてもよく、あるいは、複数の処理が並行して実行されてもよい。例えば、リスク分析装置100の入力部110、特定部120及び出力部130の少なくとも1つは、別の装置に備えられてもよい。
この場合において、装置間の通信方法については特に限定されるものではない。装置間で無線通信が行われる場合、無線通信の方式(通信規格)は、例えば、ZigBee(登録商標)、Bluetooth(登録商標)、又は、無線LAN(Local Area Network)などの近距離無線通信である。あるいは、無線通信の方式(通信規格)は、インターネットなどの広域通信ネットワークを介した通信でもよい。また、装置間においては、無線通信に代えて、有線通信が行われてもよい。有線通信は、具体的には、電力線搬送通信(PLC:Power Line Communication)又は有線LANを用いた通信などである。
例えば、上記実施の形態において説明した処理は、単一の装置(システム)を用いて集中処理することによって実現してもよく、又は、複数の装置を用いて分散処理することによって実現してもよい。また、上記プログラムを実行するプロセッサは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、又は分散処理を行ってもよい。
また、上記実施の形態において、装置を構成する構成要素の全部又は一部は、専用のハードウェアで構成されてもよく、あるいは、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPU(Central Processing Unit)又はプロセッサなどのプログラム実行部が、HDD(Hard Disk Drive)又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。
また、装置を構成する構成要素は、1つ又は複数の電子回路で構成されてもよい。1つ又は複数の電子回路は、それぞれ、汎用的な回路でもよいし、専用の回路でもよい。
1つ又は複数の電子回路には、例えば、半導体装置、IC(Integrated Circuit)又はLSI(Large Scale Integration)などが含まれてもよい。IC又はLSIは、1つのチップに集積されてもよく、複数のチップに集積されてもよい。ここでは、IC又はLSIと呼んでいるが、集積の度合いによって呼び方が変わり、システムLSI、VLSI(Very Large Scale Integration)、又は、ULSI(Ultra Large Scale Integration)と呼ばれるかもしれない。また、LSIの製造後にプログラムされるFPGA(Field Programmable Gate Array)も同じ目的で使うことができる。
また、本開示の全般的又は具体的な態様は、システム、装置、方法、集積回路又はコンピュータプログラムで実現されてもよい。あるいは、当該コンピュータプログラムが記憶された光学ディスク、HDD若しくは半導体メモリなどのコンピュータ読み取り可能な非一時的記録媒体で実現されてもよい。また、システム、装置、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
また、上記の各実施の形態は、請求の範囲又はその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。
本開示は、十分なセキュリティ対策を支援することができるリスク分析装置などとして利用でき、例えば、工場の制御システム又は制御システムを構成する資産のセキュリティ対策の支援及びリスク分析などに利用することができる。
10、11、12、13 制御システム
20 要素
30 インターネット
40、41 経路
100 リスク分析装置
110 入力部
120 特定部
130 出力部
20 要素
30 インターネット
40、41 経路
100 リスク分析装置
110 入力部
120 特定部
130 出力部
Claims (10)
- 互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析装置であって、
前記N個の要素の各々のセキュリティ上の脅威に対する安全度と、前記N個の要素の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、
前記侵入口から前記守備対象に至る1つ以上の経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が第1閾値より低い経路である対象経路を、前記N個の要素の各々の安全度と前記接続関係とに基づいて特定する特定部と、
前記対象経路に関する経路情報を出力する出力部とを備える
リスク分析装置。 - 前記特定部は、最短経路法を用いて前記対象経路を特定する
請求項1に記載のリスク分析装置。 - 前記特定部は、さらに、前記N個の要素の中から安全度が第2閾値以上であるM個(Mは自然数)の要素を除外し、除外されなかったN−M個の要素に基づいて、前記対象経路を特定する
請求項1又は2に記載のリスク分析装置。 - 前記システムは、制御システムであり、
前記N個の要素は、前記制御システムを構成するN個の資産である
請求項1〜3のいずれか1項に記載のリスク分析装置。 - 前記システムは、制御システムであり、
前記N個の要素は、前記制御システムを構成する複数の資産の各々の攻撃手順に含まれる複数の攻撃工程である
請求項1〜3のいずれか1項に記載のリスク分析装置。 - 前記システムは、制御システムを構成する資産に対する攻撃手順であり、
前記N個の要素は、前記攻撃手順に含まれるN個の攻撃工程である
請求項1〜3のいずれか1項に記載のリスク分析装置。 - 前記入力部は、複数の前記侵入口及び複数の前記守備対象を入力として受け付け、
前記特定部は、前記侵入口と前記守備対象との組み合わせ毎に、前記対象経路を特定する
請求項1〜6のいずれか1項に記載のリスク分析装置。 - 前記出力部は、前記特定部によって複数の前記対象経路が特定された場合に、複数の前記対象経路の和集合を示す情報を、前記経路情報として出力する
請求項1〜7のいずれか1項に記載のリスク分析装置。 - 互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析装置が実行するリスク分析方法であって、
前記N個の要素の各々のセキュリティ上の脅威に対する安全度と、前記N個の要素の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付け、
前記侵入口から前記守備対象に至る1つ以上の経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が閾値より低い経路である対象経路を、前記N個の要素の各々の安全度と前記接続関係とに基づいて特定し、
前記対象経路に関する経路情報を出力する
リスク分析方法。 - 請求項9に記載のリスク分析方法をコンピュータに実行させるプログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019052294 | 2019-03-20 | ||
| JP2019052294 | 2019-03-20 | ||
| PCT/JP2020/011657 WO2020189668A1 (ja) | 2019-03-20 | 2020-03-17 | リスク分析装置及びリスク分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2020189668A1 JPWO2020189668A1 (ja) | 2021-10-14 |
| JP6967721B2 true JP6967721B2 (ja) | 2021-11-17 |
Family
ID=72520853
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021507364A Active JP6967721B2 (ja) | 2019-03-20 | 2020-03-17 | リスク分析装置及びリスク分析方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20210397702A1 (ja) |
| JP (1) | JP6967721B2 (ja) |
| WO (1) | WO2020189668A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2022107378A1 (ja) * | 2020-11-20 | 2022-05-27 | ||
| JPWO2023089669A1 (ja) * | 2021-11-16 | 2023-05-25 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6677623B2 (ja) * | 2016-11-08 | 2020-04-08 | 株式会社日立製作所 | セキュリティ対策立案支援システムおよび方法 |
-
2020
- 2020-03-17 WO PCT/JP2020/011657 patent/WO2020189668A1/ja active Application Filing
- 2020-03-17 JP JP2021507364A patent/JP6967721B2/ja active Active
-
2021
- 2021-09-03 US US17/466,289 patent/US20210397702A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020189668A1 (ja) | 2020-09-24 |
| JPWO2020189668A1 (ja) | 2021-10-14 |
| US20210397702A1 (en) | 2021-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6967722B2 (ja) | リスク分析装置及びリスク分析方法 | |
| CN103258165B (zh) | 漏洞测评的处理方法和装置 | |
| JP6967721B2 (ja) | リスク分析装置及びリスク分析方法 | |
| US8850582B2 (en) | Security monitoring system and security monitoring method | |
| US20220182406A1 (en) | Analysis apparatus, analysis system, analysis method, and non-transitory computer readable medium storing program | |
| US10587421B2 (en) | Techniques for genuine device assurance by establishing identity and trust using certificates | |
| WO2020046260A1 (en) | Process semantic based causal mapping for security monitoring and assessment of control networks | |
| CN105488393A (zh) | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 | |
| JP7378089B2 (ja) | 不正通信検知装置、不正通信検知方法及び製造システム | |
| JP2019219898A (ja) | セキュリティ対策検討ツール | |
| JP7466197B2 (ja) | 異常解析装置、製造システム、異常解析方法及びプログラム | |
| Gonzalez-Granadillo et al. | Attack graph-based countermeasure selection using a stateful return on investment metric | |
| Lakhno et al. | Development of a support system for managing the cyber security of information and communication environment of transport | |
| CN117081818A (zh) | 基于智能合约防火墙的攻击交易识别与拦截方法及系统 | |
| US20230379356A1 (en) | Analytical attack graph abstraction for resource-efficiencies | |
| US20200036737A1 (en) | Identification of deviant engineering modifications to programmable logic controllers | |
| JP6632777B2 (ja) | セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム | |
| KR102694034B1 (ko) | 원자력시설 사이버공격에 대한 대응 훈련 평가 장치 및 방법 | |
| KR102115734B1 (ko) | 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램 | |
| Ismail et al. | Blockchain-Based Zero Trust Supply Chain Security Integrated with Deep Reinforcement Learning | |
| JP2022165207A (ja) | セキュリティ対策立案支援装置およびセキュリティ対策立案支援方法 | |
| Choi et al. | Vulnerability Risk Score Recalculation for the Devices in Critical Infrastructure | |
| WO2020086390A1 (en) | Cyber security risk model and index | |
| Wallis et al. | QUDOS: quorum-based cloud-edge distributed DNNs for security enhanced industry 4.0 | |
| Adamova et al. | Internet of Things: Security and Privacy standards |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210621 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210621 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210803 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210819 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210914 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211006 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6967721 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| SZ03 | Written request for cancellation of trust registration |
Free format text: JAPANESE INTERMEDIATE CODE: R313Z03 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |