JP6977577B2 - サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 - Google Patents
サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 Download PDFInfo
- Publication number
- JP6977577B2 JP6977577B2 JP2018006752A JP2018006752A JP6977577B2 JP 6977577 B2 JP6977577 B2 JP 6977577B2 JP 2018006752 A JP2018006752 A JP 2018006752A JP 2018006752 A JP2018006752 A JP 2018006752A JP 6977577 B2 JP6977577 B2 JP 6977577B2
- Authority
- JP
- Japan
- Prior art keywords
- cyber
- information
- organization
- threat
- items
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、サイバー脅威評価装置等に関する。
近年のサイバー攻撃は、巧妙且つ高度化している。かかるサイバー攻撃に対して備えるためには、攻撃者の動機、目的、特徴や手口等をより深く理解する必要がある。
サイバー攻撃の分析には、例えば、1つの攻撃パターンを1つのシグネチャとしたシグネチャ分析が知られている。しかしながら、かかるシグネチャ分析に基づく脅威情報のデータ蓄積では、攻撃者に関する情報は得られない。
このため、近年では、セキュリティベンダーが、サイバー攻撃の巧妙且つ高度化に対処するため、サイバースレットインテリジェンス(CTI:Cyber Threat Intelligence)の提供や情報共有を展開し始めている。CTIとは、攻撃者の動機、目的、特徴や手口等を整理した攻撃情報のことをいう。
しかしながら、CTIの処理や分析を各種セキュリティベンダーが進めているが、現状では、CTIの情報が共有化されたに過ぎず、個々のサイバー攻撃に対して比較する指標がない。すなわち、CTIの情報を利用する組織側が個々のインテリジェンス(攻撃情報)を比較する材料が提供されていない。したがって、CTIの情報を利用する組織側は、基本的には、提供される個々のサイバー攻撃のインテリジェンス(攻撃情報)を同じレベルでチェックするしかない。
1つの側面では、組織に応じたインテリジェンス(攻撃情報)の重要度を判別することを目的とする。
1つの案では、サイバー脅威評価装置は、サイバー攻撃の事象ごとに、サイバースレットインテリジェンスとして提供されるサイバー脅威情報を取得する取得部と、前記取得部によって取得されたサイバー脅威情報と、サイバー攻撃を防衛する側の組織の組織情報との共通性を抽出する抽出部と、前記抽出部によって抽出された共通性に基づいて、前記サイバー攻撃の事象についての前記組織への影響度を算出する算出部と、を有する。
1つの態様によれば、組織に応じたインテリジェンス(攻撃情報)の重要度を判別できる。
以下に、本願の開示するサイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法の実施例を図面に基づいて詳細に説明する。なお、実施例によりこの発明が限定されるものではない。
[サイバー脅威評価装置の構成]
図1は、実施例に係るサイバー脅威評価装置の構成を示すブロック図である。図1に示すサイバー脅威評価装置1は、サイバー攻撃の事象ごとに、サイバースレットインテリジェンス(CTI)として提供されるサイバー脅威情報を取得する。そして、サイバー脅威評価装置1は、取得されたサイバー脅威情報と、サイバー攻撃を防衛する側の組織の組織情報21との共通性を抽出し、この共通性に基づいて、サイバー攻撃の事象について組織に与える影響度を算出する。ここでいうサイバー脅威情報とは、サイバー攻撃の攻撃者の動機、目的、特徴や手口等を整理した攻撃情報を示すサイバースレットインテリジェンス(CTI)のことをいう。実施例では、サイバー脅威情報は、複数のサイバー攻撃の事象ごとに生成されるキャンペーン情報を複数含む。また、ここでいう組織情報21とは、組織固有の拠点情報、活動内容、業種情報等を整理した情報のことをいう。
図1は、実施例に係るサイバー脅威評価装置の構成を示すブロック図である。図1に示すサイバー脅威評価装置1は、サイバー攻撃の事象ごとに、サイバースレットインテリジェンス(CTI)として提供されるサイバー脅威情報を取得する。そして、サイバー脅威評価装置1は、取得されたサイバー脅威情報と、サイバー攻撃を防衛する側の組織の組織情報21との共通性を抽出し、この共通性に基づいて、サイバー攻撃の事象について組織に与える影響度を算出する。ここでいうサイバー脅威情報とは、サイバー攻撃の攻撃者の動機、目的、特徴や手口等を整理した攻撃情報を示すサイバースレットインテリジェンス(CTI)のことをいう。実施例では、サイバー脅威情報は、複数のサイバー攻撃の事象ごとに生成されるキャンペーン情報を複数含む。また、ここでいう組織情報21とは、組織固有の拠点情報、活動内容、業種情報等を整理した情報のことをいう。
サイバー脅威評価装置1は、ネットワークを介して、CTI提供側装置2から提供されるキャンペーン情報を取得する。
CTI提供側装置2は、CTI DB31、インテリジェンス解析部32およびキャンペーン情報33を有する。
CTI DB31は、サイバースレットインテリジェンス(CTI)を記憶する。CTIは、サイバー攻撃の事象ごとに、サイバー攻撃の攻撃者の動機、目的、特徴や手口等を整理した攻撃情報を示す。
ここで、CTI情報について、図2を参照して説明する。図2は、CTI情報を説明する図である。図2に示すように、サイバー攻撃がされた場合に、アナリストがサイバー攻撃の攻撃情報を解析し、サイバー脅威情報(CTI情報)に加える。CTI情報は、CTI DB31に対応する。CTI情報には、複数のキャンペーン情報331,332,・・・,33nが設定される。各キャンペーン情報331,332,・・・,33nは、サイバー攻撃の各事象に対するインテリジェンスである。
各キャンペーン情報33には、それぞれインジケータ部分およびインテリジェンス部分が存在する。インジケータ部分には、例えば、IPアドレス、ドメイン、ファイル名、ハッシュ値が含まれる。インテリジェンス部分には、例えば、攻撃地域、攻撃手口、狙い、動機、業界、アクターが含まれる。
図1に戻って、インテリジェンス解析部32は、CTI DB31に記憶されたCTIを解析して、サイバー攻撃の事象ごとにキャンペーン情報33を生成し、図示しない記憶部に格納する。
キャンペーン情報33は、サイバー脅威に関する複数の項目それぞれに対する複数のキーワードを含む情報である。キャンペーン情報33は、サイバー攻撃の事象ごとに生成される。
ここで、キャンペーン情報33について、図3を参照して説明する。図3は、実施例に係るキャンペーン情報の一例を示す図である。図3に示すように、キャンペーン情報33は、No33a、項目33b、キーワード33cおよびキーワード個数33dを対応付けた情報である。No33aは、項目を一意に表す識別子である。
項目33bは、CTI情報における関連項目である。項目33bには、例えば、マルウェア情報(Malware Family)、攻撃者名(Actor)、攻撃対象情報(Targeted Information)、攻撃先(Target Geography)、攻撃元(Source Geography)、攻撃意図(Motivation)が含まれる。加えて、影響される産業(Affected Industry)、戦術、技術と手順(Tactics,Techniques And Procedures(TTPs))等が含まれる。マルウェア情報(Malware Family)は、対象の事象について、サイバー攻撃した悪意のあるソフトウェアを示すマルウェアを識別する情報である。攻撃者名(Actor)は、対象の事象について、サイバー攻撃者の名称である。攻撃対象情報(Targeted Information)は、対象の事象について、サイバー攻撃の攻撃者がターゲットにしている情報である。攻撃先(Target Geography)は、対象の事象について、サイバー攻撃の攻撃先の地域である。攻撃元(Source Geography)は、対象の事象について、サイバー攻撃の攻撃元の地域である。影響される産業(Affected Industry)は、対象の事象について、サイバー攻撃で影響される産業を示す。戦術、技術と手順(Tactics,Techniques And Procedures(TTPs))は、対象の事象について、サイバー攻撃の戦術、技術と手順を示す。
キーワード33cは、対象の事象について、サイバー攻撃側の項目33bに対するキーワードである。キーワード33cは、項目33bに対して1つであっても良いし、複数であっても良い。キーワード個数33dは、キーワードの個数を示す。
一例として、No33aが「1」である場合に、項目33bとして「マルウェア情報」、キーワード33cとして「FOCUSFJORD,WannaCry,Stampado,BlackEnergy,・・・」、キーワード個数33dとして「10」を記憶している。
図1に戻って、サイバー脅威評価装置1は、制御部10および記憶部20を有する。制御部10は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。そして、制御部10は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路の電子回路に対応する。または、制御部10は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等の電子回路に対応する。さらに、制御部10は、第1の取得部11、第2の取得部12、共通キーワード抽出部13、脅威度算出部14、脅威度設定部15および評価部16を有する。
記憶部20は、例えばフラッシュメモリ(Flash Memory)やFRAM(登録商標)(Ferroelectric Random Access Memory)等の不揮発性の半導体メモリ素子等の記憶装置に対応する。また、記憶部20は、例えばRAM(Random Access Memory)等の揮発性の半導体メモリ素子を利用した記憶装置に対応しても良い。この場合、記憶部20は、不揮発性の半導体メモリ素子等の記憶装置からデータを適宜ロードするようにすれば良い。記憶部20は、組織情報21および脅威度付きCTI DB(DataBase)22を含む。
組織情報21は、組織固有の情報である。組織情報21は、サイバー脅威に関する複数の項目それぞれに対する組織固有のキーワードを含む情報である。この複数の項目は、CTI提供側装置2から提供されるCTIを構成する個々の項目と同じものである。また、組織情報21には、複数の項目それぞれに重みが対応付けられる。この重みは、組織がサイバー脅威として重要と思われる項目が高くなるように設定される。一例として、重みは、項目のキーワードの数に基づいて設定されても良い。別の例として、重みは、項目の、組織の過去のサイバー攻撃に関する分布を含む情報に基づいて設定されても良い。なお、組織情報21の一例は、後述する。
ここで、組織情報21について、図4を参照して説明する。図4は、実施例に係る組織情報の一例を示す図である。図4に示すように、組織情報21は、No21a、項目21b、重み21cおよびキーワード21dを対応付けた情報である。No21aは、項目を一意に表す番号である。
項目21bは、CTI情報における関連項目である。項目21bには、キャンペーン情報33における項目33bと同じ項目が設定される。すなわち、項目21bには、例えば、マルウェア情報(Malware Family)、攻撃者名(Actor)、攻撃対象情報(Targeted Information)、攻撃先(Target Geography)、攻撃元(Source Geography)、攻撃意図(Motivation)が含まれる。加えて、影響される産業(Affected Industry)、戦術、技術と手順(Tactics,Techniques And Procedures(TTPs))等が含まれる。組織側からのマルウェア情報(Malware Family)は、過去に攻撃を受けたマルウェアを識別する情報である。攻撃者名(Actor)は、これまでにサイバー攻撃を受けた攻撃者の名称である。攻撃対象情報(Targeted Information)は、ターゲットにされる対象情報であり、例えば、事業方針、事業内容、技術トピックス、プレスリリース、最新情報、製品&サービス情報、イベント情報、IR情報が含まれる。攻撃先(Target Geography)は、これまでにサイバー攻撃がされた地域であり、例えば、海外拠点・海外グループ会社、拠点情報、国内グループ会社、販売パートナーが含まれる。攻撃元(Source Geography)は、これまでのサイバー攻撃の攻撃元の地域である。影響される産業(Affected Industry)は、これまでのサイバー攻撃で影響した産業を示す。戦術、技術と手順(Tactics,Techniques And Procedures(TTPs))は、これまでのサイバー攻撃の戦術、技術と手順を示す。
重み21cは、組織ごとに設定される項目21b間の重みであり、組織がサイバー脅威として重要と思われる項目21bが高くなるように設定される。
キーワード21dは、過去に攻撃を受けた組織側の項目21bに対するキーワードである。キーワード21dは、項目21bに対して1つであっても良いし、複数であっても良い。
一例として、No21aが「1」である場合に、項目21bとして「マルウェア情報」、重み21cとして「2」、キーワード21dとして「xxx,yyy,WannaCry,・・・」を記憶している。
脅威度付きCTI DB22は、キャンペーン情報33ごとに脅威度を付加した情報の集まりである。なお、キャンペーン情報33に付加される脅威度は、後述する脅威度算出部14によって算出される。
第1の取得部11は、取得部の一例であり、サイバー攻撃の事象に対するキャンペーン情報33をCTI提供側装置2から取得する。
第2の取得部12は、サイバー攻撃を防衛する側の組織に対応する組織情報21を記憶部20から取得する。なお、第2の取得部12は、組織情報21を記憶部20から取得すると説明したが、これに限定されず、組織情報21を、ネットワークを介して取得しても良い。
共通キーワード抽出部13は、抽出部の一例であり、第1の取得部11によって取得されたキャンペーン情報33と、第2の取得部12によって取得された組織情報21との共通するキーワードを抽出する。すなわち、共通キーワード抽出部13は、キャンペーン情報33と、組織情報21との共通性を抽出する。例えば、共通キーワード抽出部13は、サイバー攻撃の事象に対するキャンペーン情報33に含まれる、サイバー脅威に関する複数の項目それぞれに対する複数のキーワードを抽出する。共通キーワード抽出部13は、組織情報21に含まれるキャンペーン情報33と同じ複数の項目それぞれに対する複数のキーワードを抽出する。そして、共通キーワード抽出部13は、項目ごとに、キャンペーン情報33のキーワードと、組織情報21のキーワードとを照合し、共通するキーワードを抽出する。なお、共通するキーワードの抽出は、全部一致のみならず、一部一致でも良いし、関連する用語としての一致でも良い。共通するキーワードの抽出は、いかなるキーワード抽出の方法を用いても構わない。
脅威度算出部14は、算出部の一例であり、共通キーワード抽出部13によって抽出された共通性に基づいて、サイバー攻撃の事象についての組織への脅威度を算出する。例えば、脅威度算出部14は、サイバー脅威に関する複数の項目ごとの重みと、共通するキーワードの数とを用いて、サイバー攻撃の事象についての組織への脅威度を算出する。一例として、脅威度算出部14は、複数の項目ごとに、重みと、共通するキーワードの数とを用いて、脅威度を算出し、複数の項目ごとの脅威度を合算して、サイバー攻撃の事象についての組織への脅威度を算出する。これにより、脅威度算出部14は、組織によって設定される重みおよび組織と事象との共通性を用いることで、事象ごとの組織への脅威度を算出することができ、組織に応じたサイバー攻撃事象の重要度を判別することができる。なお、脅威度は、影響度の一例である。
脅威度設定部15は、サイバー攻撃の事象に対応するキャンペーン情報33に、脅威度を付けて、脅威度付きCTI DB22に設定する。
評価部16は、分析部の一例であり、脅威度付きCTI DB22を用いて、組織に対して、複数の事象の中でサイバー脅威に関する重要な事象を評価する。例えば、評価部16は、同じ組織に対して、脅威度が大きい順に事象を並べ替える。評価部16は、脅威度が大きい事象程、サイバー脅威に関する重要な事象と評価する。
[共通キーワード抽出の一例]
次に、共通キーワード抽出の一例を、図5を参照して説明する。図5は、実施例に係る共通キーワード抽出の一例を示す図である。サイバー攻撃の1つの事象におけるキャンペーン情報を符号331で表わす。また、サイバー攻撃の別の事象におけるキャンペーン情報を符号33mで表わす。なお、図5では、共通キーワード抽出部13は、キャンペーン情報331と組織情報21との同じ項目に対する共通するキーワードを抽出する場合を説明する。図5のそれぞれの項目i1〜i6は、図3で示した複数の項目のうちのいずれかの項目であるとする。
次に、共通キーワード抽出の一例を、図5を参照して説明する。図5は、実施例に係る共通キーワード抽出の一例を示す図である。サイバー攻撃の1つの事象におけるキャンペーン情報を符号331で表わす。また、サイバー攻撃の別の事象におけるキャンペーン情報を符号33mで表わす。なお、図5では、共通キーワード抽出部13は、キャンペーン情報331と組織情報21との同じ項目に対する共通するキーワードを抽出する場合を説明する。図5のそれぞれの項目i1〜i6は、図3で示した複数の項目のうちのいずれかの項目であるとする。
図5に示すように、共通キーワード抽出部13は、サイバー攻撃の事象におけるキャンペーン情報331に含まれるサイバー脅威に関する複数の項目それぞれに対する複数のキーワードを抽出する。ここでは、項目i1に対するキーワードとして、値k11、・・・値k110が抽出される。項目i2に対するキーワードとして、値k21、・・・値k26が抽出される。項目i3に対するキーワードとして、値k31、・・・値k33が抽出される。項目i4に対するキーワードとして、値k41、・・・値k44が抽出される。項目i5に対するキーワードとして、値k51、・・・値k56が抽出される。項目i6に対するキーワードとして、値k61、・・・値k65が抽出される。
このような状況の下、共通キーワード抽出部13は、組織情報21に含まれるキャンペーン情報33と同じ複数の項目それぞれに対する複数のキーワードを抽出する。そして、共通キーワード抽出部13は、項目ごとに、キャンペーン情報331のキーワードと、組織情報21のキーワードとを照合し、共通するキーワードを抽出する。ここでは、項目i1について、共通キーワードは、何も抽出されない。項目i2について、共通キーワードとして、k22およびk25が抽出される。項目i3について、共通キーワードとして、k32が抽出される。項目i4について、共通キーワードとして、k42が抽出される。項目i5について、共通キーワードとして、k54が抽出される。項目i6について、共通キーワードは、何も抽出されない。
[共通キーワードの一例]
次に、共通キーワードの一例を、図6を参照して説明する。図6は、実施例に係る共通キーワードの一例を示す図である。図6に示すように、項目ごとの共通キーワードK0が表わされている。ここでは、例えば、項目が「マルウェア情報」である場合には、共通キーワードが「WannaCry」であることが示されている。項目が「攻撃者名」である場合には、共通キーワードが「Menupass Team」であることが示されている。項目が「攻撃先」である場合には、共通キーワードが「Japan、United Kingdom,Singapore」であることが示されている。項目が「攻撃元」である場合には、共通キーワードが「China」であることが示されている。
次に、共通キーワードの一例を、図6を参照して説明する。図6は、実施例に係る共通キーワードの一例を示す図である。図6に示すように、項目ごとの共通キーワードK0が表わされている。ここでは、例えば、項目が「マルウェア情報」である場合には、共通キーワードが「WannaCry」であることが示されている。項目が「攻撃者名」である場合には、共通キーワードが「Menupass Team」であることが示されている。項目が「攻撃先」である場合には、共通キーワードが「Japan、United Kingdom,Singapore」であることが示されている。項目が「攻撃元」である場合には、共通キーワードが「China」であることが示されている。
[脅威度算出の一例]
次に、脅威度算出の一例を、図7を参照して説明する。図7は、実施例に係る脅威度算出の一例を示す図である。図7で示す表は、例えば、1つのキャンペーン情報33である「2017−1079」の、項目に対する項目内個数、値のリストが表わされている。加えて、項目に対する、組織側の重みが表わされている。図7では、1つのキャンペーン情報33である「2017−1079」と防衛側のある組織Aの組織情報21との脅威度の算出について説明する。
次に、脅威度算出の一例を、図7を参照して説明する。図7は、実施例に係る脅威度算出の一例を示す図である。図7で示す表は、例えば、1つのキャンペーン情報33である「2017−1079」の、項目に対する項目内個数、値のリストが表わされている。加えて、項目に対する、組織側の重みが表わされている。図7では、1つのキャンペーン情報33である「2017−1079」と防衛側のある組織Aの組織情報21との脅威度の算出について説明する。
ここで、組織Aの攻撃先(Target Geography)が示す拠点は、例えば、「Japan,United Kingdom,Singapore,Germany」であるとする。組織Aの攻撃意図(Motivation)は、例えば、「Financial,banking,Financial Services,Social Engineering,Financial Data」であるとする。すると、共通キーワード抽出部13は、「2017−1079」のキャンペーン情報33と、組織Aの組織情報21との項目ごとの共通キーワードを抽出する。図7では、キャンペーン情報33と組織Aの組織情報21との項目ごとの共通キーワードが網掛けで表わされている。
脅威度算出部14は、共通キーワードが存在する項目ごとに、組織情報21の重み21cと、共通するキーワードの数とを用いて、組織個別の脅威度を算出する。ここでは、共通キーワードが存在する項目は、攻撃対象情報(Targeted Information)、攻撃先(Target Geography)、攻撃意図(Motivation)、影響される産業(Affected Industry)である。
そして、項目が攻撃対象情報(Targeted Information)である場合に、キャンペーン情報33側の重みは、項目内個数「4」と共通するキーワードの数「1」とから得られる「1/4」であり、組織情報21側の重みは、「1」であるとする。すると、脅威度算出部14は、この項目についての脅威度として、「1×1/4」を算出する。
そして、項目が攻撃先(Target Geography)である場合に、キャンペーン情報33側の重みは、項目内個数「9」と共通するキーワードの数「1」とから得られる「1/9」であり、組織情報21側の重みは、「2」であるとする。すると、脅威度算出部14は、この項目についての脅威度として、「2×1/9」を算出する。
そして、項目が攻撃意図(Motivation)である場合に、キャンペーン情報33側の重みは、項目内個数「6」と共通するキーワードの数「1」とから得られる「1/6」であり、組織情報21側の重みは、「1」であるとする。すると、脅威度算出部14は、この項目についての脅威度として、「1×1/6」を算出する。
そして、項目が影響される産業(Affected Industry)である場合に、キャンペーン情報33側の重みは、項目内個数が「7」であり、共通するキーワードの数が「1」であるが、共通するキーワードが存在するので「1」であり、組織情報21側の重みは、「1」であるとする。すると、脅威度算出部14は、この項目についての脅威度として、「1×1」を算出する。
そして、脅威度算出部14は、項目ごとの脅威度を加算して、組織個別の脅威度を算出する。脅威度算出結果は、「1/4」と、「2/9」と、「1/6」と、「1」とを加算して得られる「1.63888・・・」と算出される。すなわち、キャンペーン情報33「2017−1079」の組織A個別の脅威度は、「1.63888・・・」である。つまり、脅威度算出部14は、防衛側の組織Aに特化した、脅威度を提供することができる。
これにより、評価部16は、項目ごとの、組織個別の重みおよび、キャンペーン側と組織側との共通するキーワードの数を用いることで、サイバー脅威情報(キャンペーン情報33)の脅威を比較する指標として脅威度を使用することができる。このような脅威度があれば、組織側の管理者が、サイバー脅威情報(キャンペーン情報33)ごとの脅威度を用いて、複数のサイバー脅威情報の対策についての優先度や順序付けを行うことができ、サイバー脅威に関する対策検討をスムーズに移行できる。
[サイバー脅威評価処理のフローチャート]
次に、実施例に係るサイバー脅威評価処理のフローチャートを、図8を参照して説明する。図8は、実施例に係るサイバー脅威評価処理のフローチャートの一例を示す図である。なお、個々のキャンペーン情報33は、インテリジェンス解析部32によって生成されたものとする。
次に、実施例に係るサイバー脅威評価処理のフローチャートを、図8を参照して説明する。図8は、実施例に係るサイバー脅威評価処理のフローチャートの一例を示す図である。なお、個々のキャンペーン情報33は、インテリジェンス解析部32によって生成されたものとする。
第1の取得部11は、CTI提供側装置2からキャンペーン情報33を取得する(ステップS11)。そして、第2の取得部12は、記憶部20から組織情報21を取得する(ステップS12)。
そして、共通キーワード抽出部13は、キャンペーン情報33の項目欄33bから項目を選択する(ステップS13)。共通キーワード抽出部13は、キャンペーン情報33の、選択した項目に対応するキーワードを抽出する(ステップS14)。共通キーワード抽出部13は、組織情報21の、選択した項目に対応するキーワードを抽出する(ステップS15)。
そして、共通キーワード抽出部13は、選択した項目について、キャペーン情報33のキーワードと、組織情報21のキーワードとを照合し、共通するキーワードを抽出する(ステップS16)。そして、脅威度算出部14は、選択した項目について、共通するキーワードの数と、項目内個数と、組織情報21側の重みとを用いて、選択した項目の重みを算出する(ステップS17)。
そして、脅威度算出部14は、全ての項目を選択したか否かを判定する(ステップS18)。全ての項目を選択していないと判定した場合には(ステップS18;No)、脅威度算出部14は、次の項目を選択すべく、ステップS13に移行する。
一方、全ての項目を選択したと判定した場合には(ステップS18;Yes)、脅威度算出部14は、キャンペーン情報33における組織への脅威度を算出する(ステップS19)。例えば、脅威度算出部14は、項目ごとに、算出した重みと、組織情報21側の重みとを乗算して、項目ごとの脅威度を算出する。そして、脅威度算出部14は、項目ごとの脅威度を合算して、組織への脅威度を算出する。
そして、脅威度設定部15は、キャンペーン情報33に、算出した脅威度を付けて、脅威度付きCTI DB22に保存する(ステップS20)。そして、サイバー脅威評価処理が終了する。
[評価結果の一例]
図9は、実施例に係る評価結果の一例を示す図である。図9では、自組織とサイバー脅威との活動内容レベルでの関連が評価結果として表されている。ここでは、1つの組織情報21について、キャンペーン情報33である「2017−1679」,「2017−1079」および「2017−1713」と活動内容レベルで関連する項目に対するキーワードが表わされている。図9では、網掛けの右下がり斜線が1つのキャンペーン情報33のIDを示す。網掛けの網点が1つの項目を示す。網掛けの右左下がり斜線が1つのキーワードを示す。
図9は、実施例に係る評価結果の一例を示す図である。図9では、自組織とサイバー脅威との活動内容レベルでの関連が評価結果として表されている。ここでは、1つの組織情報21について、キャンペーン情報33である「2017−1679」,「2017−1079」および「2017−1713」と活動内容レベルで関連する項目に対するキーワードが表わされている。図9では、網掛けの右下がり斜線が1つのキャンペーン情報33のIDを示す。網掛けの網点が1つの項目を示す。網掛けの右左下がり斜線が1つのキーワードを示す。
例えば、活動内容レベルの項目である「Targeted Information(攻撃対象情報)」について、「2017−1679」および「2017−1079」は、「Financial Data」で関連している。また、活動内容レベルの項目である「Affected Industries(影響される産業)」について、「2017−1679」および「2017−1079」は、「Financial Services」、「Civil Society」で関連している。加えて、活動内容レベルの項目である「Affected Industries(影響される産業)」について、「2017−1679」、「2017−1079」および「2017−1713」は、「Governments」で関連している。また、活動内容レベルの項目である「Motivation(攻撃意図)」について、「2017−1679」および「2017−1713」は、「Financial or Economic」で関連している。
このようにして、例えば、評価部16が、防衛側組織とサイバー脅威との活動内容レベルでの関連を評価結果として表示することで、防衛側組織について、活動内容レベルから、対処をすべきサイバー脅威の順序付けを視覚的に行わせることができる。
[評価結果の別の例]
図10は、実施例に係る評価結果の別の例を示す図である。図10では、自組織とサイバー脅威との拠点情報での関連が評価結果として表されている。ここでは、1つの組織情報21について、キャンペーン情報33である「2017−1679」,「2017−1079」および「2017−1713」と拠点情報で関連する項目に対するキーワードが表わされている。図10では、網掛けの右下がり斜線が1つのキャンペーン情報33のIDを示す。網掛けの網点が1つの項目を示す。網掛けの右左下がり斜線が1つのキーワードを示す。
図10は、実施例に係る評価結果の別の例を示す図である。図10では、自組織とサイバー脅威との拠点情報での関連が評価結果として表されている。ここでは、1つの組織情報21について、キャンペーン情報33である「2017−1679」,「2017−1079」および「2017−1713」と拠点情報で関連する項目に対するキーワードが表わされている。図10では、網掛けの右下がり斜線が1つのキャンペーン情報33のIDを示す。網掛けの網点が1つの項目を示す。網掛けの右左下がり斜線が1つのキーワードを示す。
例えば、活動内容レベルの項目である「Targeted Geography(攻撃先)」について、「2017−1679」,「2017−1079」および「2017−1713」は、「United States」,「Germany」で関連している。加えて、活動内容レベルの項目である「Targeted Geography(攻撃先)」について、「2017−1079」および「2017−1713」は、「United Kingdom」で関連している。
このようにして、例えば、評価部16が、防衛側組織とサイバー脅威との拠点情報での関連を評価結果として表示することで、防衛側組織について、拠点情報から、対処をすべきサイバー脅威の順序付けを視覚的に行わせることができる。
[実施例の効果]
上記実施例によれば、サイバー脅威評価装置1は、サイバー攻撃の事象ごとに、サイバースレットインテリジェンスとして提供されるサイバー脅威情報(キャンペーン情報33)を取得する。サイバー脅威評価装置1は、取得されたキャンペーン情報3と、サイバー攻撃を防衛する側の組織の組織情報21との共通性を抽出する。サイバー脅威評価装置1は、抽出された共通性に基づいて、サイバー攻撃の事象についての組織への影響度を算出する。かかる構成によれば、サイバー脅威評価装置1は、サイバー攻撃を防衛する側の組織に応じたサイバー脅威情報の重要度を判別することができる。
上記実施例によれば、サイバー脅威評価装置1は、サイバー攻撃の事象ごとに、サイバースレットインテリジェンスとして提供されるサイバー脅威情報(キャンペーン情報33)を取得する。サイバー脅威評価装置1は、取得されたキャンペーン情報3と、サイバー攻撃を防衛する側の組織の組織情報21との共通性を抽出する。サイバー脅威評価装置1は、抽出された共通性に基づいて、サイバー攻撃の事象についての組織への影響度を算出する。かかる構成によれば、サイバー脅威評価装置1は、サイバー攻撃を防衛する側の組織に応じたサイバー脅威情報の重要度を判別することができる。
また、上記実施例によれば、サイバー脅威評価装置1は、組織について、サイバー攻撃の事象ごとに算出された影響度を用いてサイバー攻撃の重要度を分析する。かかる構成によれば、サイバー脅威評価装置1は、組織に、必要な対策状況の確認や対策検討を迅速に進めさせることができる。
また、上記実施例によれば、サイバー脅威評価装置1は、サイバー攻撃の事象のサイバー脅威に関する複数の項目それぞれに対する複数のキーワードを含むキャンペーン情報33を取得する。そして、サイバー脅威評価装置1は、複数の項目それぞれに対する組織固有のキーワードを含む組織情報21を取得し、複数の項目ごとに、キャンペーン情報33と、組織情報21との共通するキーワードを抽出する。かかる構成によれば、サイバー脅威評価装置1は、複数の項目ごとのキーワードを用いることで、組織情報21とキャンペーン情報33とのキーワードの対応をとることができる。
また、上記実施例によれば、サイバー脅威評価装置1は、複数の項目ごとの、項目間の重みと、共通するキーワードの数とを用いて、サイバー攻撃の事象についての組織への影響度を算出する。かかる構成によれば、サイバー脅威評価装置1は、項目間の重みと、共通するキーワードの数とを用いてサイバー攻撃の事象の組織への影響度を算出することで、組織に特化した影響度を提供できる。
また、上記実施例によれば、重みは、組織ごとに、複数の項目における各項目のキーワードの数および組織の過去のサイバー攻撃に関する分布のいずれか一方または双方を含む情報に基づいて規定される。これにより、サイバー脅威評価装置1は、組織ごとに規定された項目間の重みを用いることで、組織ごとに特化した影響度を提供できる。
[その他]
なお、実施例では、第2の取得部12は、サイバー攻撃を防衛する側の組織に対応する組織情報21を記憶部20から取得すると説明した。しかしながら、組織情報21は、組織に対応する情報に限定されず、組織が属する業界や業種に対応する情報であっても良い。すなわち、第2の取得部12は、サイバー攻撃を防衛する側の組織が属する業界や業種に対応する組織情報21を記憶部20から取得しても良い。これにより、評価部16は、業界や業種単位で、個々の防御側組織の脅威度を集計して整理することが可能となり、業界や業種での脅威度を定めることができる。この結果、個々の防衛側の組織が、個別に脅威度を算出することなく、組織が属する業界や業種等のグループでの脅威度を指標とすることができる。
なお、実施例では、第2の取得部12は、サイバー攻撃を防衛する側の組織に対応する組織情報21を記憶部20から取得すると説明した。しかしながら、組織情報21は、組織に対応する情報に限定されず、組織が属する業界や業種に対応する情報であっても良い。すなわち、第2の取得部12は、サイバー攻撃を防衛する側の組織が属する業界や業種に対応する組織情報21を記憶部20から取得しても良い。これにより、評価部16は、業界や業種単位で、個々の防御側組織の脅威度を集計して整理することが可能となり、業界や業種での脅威度を定めることができる。この結果、個々の防衛側の組織が、個別に脅威度を算出することなく、組織が属する業界や業種等のグループでの脅威度を指標とすることができる。
また、実施例では、組織情報21の重みは、項目の、組織の過去のサイバー攻撃に関する分布を含む情報に基づいて設定されても良いと説明した。ここでは、分布に基づく重みについて説明する。例えば、項目が「Target Geography(攻撃先)」である場合に、攻撃先地域の量をこの項目の重みとして過去の統計量(分布)から算出する。すなわち、サイバー脅威評価装置1は、攻撃先地域について、攻撃先地域の過去の統計量から分布を算出し、算出した分布に応じて段階分類を行い、段階分類を攻撃先地域の量のレベル分けに活用すれば良い。一例として、分布が[0,1]であれば、攻撃先地域の量を1とする。分布が[2,3]であれば、攻撃先地域の量を2とする。分布が[4−5]であれば、攻撃先地域の量を3とする。分布が[6−15]であれば、攻撃先地域の量を4とする。分布が[16以上]であれば、攻撃先地域の量を5とする。なお、段階分類は、分布によって変更すれば良く、3段階であっても良いし、5段階であっても良いし、10段階であっても良い。なお、サイバー脅威評価装置1は、組織の場合だけなく、業界や業種の場合であっても、同様の方法で重みを算出すれば良い。
また、サイバー脅威評価装置1は、既知のパーソナルコンピュータ、ワークステーション等の装置に、上記した共通キーワード抽出部13、脅威度算出部14、脅威度設定部15および評価部16等の各機能を搭載することによって実現することができる。
また、図示した装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、装置の分散・統合の具体的態様は図示のものに限られず、その全部または一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、第1の取得部11と第2の取得部12とをそれぞれ1個の部として統合しても良い。一方、評価部16を、脅威度を用いた評価を行う第1の評価部と、脅威度を用いない評価を行う第2の評価部とに分散しても良い。ここでいう脅威度を用いない評価とは、図9、図10で示した、自組織とサイバー脅威との特定の項目における関連の評価を行うことである。また、記憶部20をサイバー脅威評価装置1の外部装置としてネットワーク経由で接続するようにしても良い。
また、上記実施例で説明した各種の処理は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーション等のコンピュータで実行することによって実現することができる。そこで、以下では、図1に示したサイバー脅威評価装置1と同様の機能を実現するサイバー脅威評価プログラムを実行するコンピュータの一例を説明する。図11は、サイバー脅威評価プログラムを実行するコンピュータの一例を示す図である。
図11に示すように、コンピュータ200は、各種演算処理を実行するCPU(Central Processing Unit)203と、ユーザからのデータの入力を受け付ける入力装置215と、表示装置209を制御する表示制御部207とを有する。また、コンピュータ200は、記憶媒体からプログラム等を読取るドライブ装置213と、ネットワークを介して他のコンピュータとの間でデータの授受を行う通信制御部217とを有する。また、コンピュータ200は、各種情報を一時記憶するメモリ201と、HDD(Hard Disk Drive)205を有する。そして、メモリ201、CPU203、HDD205、表示制御部207、ドライブ装置213、入力装置215、通信制御部217は、バス219で接続されている。
ドライブ装置213は、例えばリムーバブルディスク211用の装置である。HDD205は、サイバー脅威評価プログラム205aおよびサイバー脅威評価関連情報205bを記憶する。
CPU203は、サイバー脅威評価プログラム205aを読み出して、メモリ201に展開し、プロセスとして実行する。かかるプロセスは、サイバー脅威評価装置1の各機能部に対応する。サイバー脅威評価関連情報205bは、組織情報21、脅威度付きCTI DB22に対応する。そして、例えばリムーバブルディスク211が、サイバー脅威評価プログラム205a等の各情報を記憶する。
なお、サイバー脅威評価プログラム205aについては、必ずしも最初からHDD205に記憶させておかなくても良い。例えば、コンピュータ200に挿入されるフレキシブルディスク(FD)、CD−ROM(Compact Disk Read Only Memory)、DVD(Digital Versatile Disk)、光磁気ディスク、IC(Integrated Circuit)カード等の「可搬用の物理媒体」に当該プログラムを記憶させておく。そして、コンピュータ200がこれらからサイバー脅威評価プログラム205aを読み出して実行するようにしても良い。
1 サイバー脅威評価装置
10 制御部
11 第1の取得部
12 第2の取得部
13 共通キーワード抽出部
14 脅威度算出部
15 脅威度設定部
16 評価部
20 記憶部
21 組織情報
22 脅威度付きCTI DB
10 制御部
11 第1の取得部
12 第2の取得部
13 共通キーワード抽出部
14 脅威度算出部
15 脅威度設定部
16 評価部
20 記憶部
21 組織情報
22 脅威度付きCTI DB
Claims (5)
- サイバー攻撃の事象ごとにサイバースレットインテリジェンスとして提供されるサイバー脅威情報であってそれぞれの前記サイバー攻撃の事象に対してサイバー脅威に関する複数の項目それぞれに対する複数のキーワードを含む前記サイバー脅威情報を取得する取得部と、
前記複数の項目それぞれに対する組織の固有のキーワードを含む組織情報を取得し、前記複数の項目ごとに、前記サイバー脅威情報と、前記組織情報との共通するキーワードを抽出する抽出部と、
前記複数の項目ごとの、項目間の重みと、共通するキーワードの数とを用いて、前記サイバー攻撃の事象についての前記組織への影響度を算出する算出部と、
を有することを特徴とするサイバー脅威評価装置。 - 前記組織について、前記サイバー攻撃の事象ごとに算出された影響度を用いて前記サイバー攻撃の重要度を分析する分析部
をさらに有することを特徴とする請求項1に記載のサイバー脅威評価装置。 - 前記重みは、組織ごとに、前記複数の項目における各項目のキーワードの数および前記組織の過去のサイバー攻撃に関する分布のいずれか一方または双方を含む情報に基づいて規定される
ことを特徴とする請求項1に記載のサイバー脅威評価装置。 - サイバー攻撃の事象ごとにサイバースレットインテリジェンスとして提供されるサイバー脅威情報であってそれぞれの前記サイバー攻撃の事象に対してサイバー脅威に関する複数の項目それぞれに対する複数のキーワードを含む前記サイバー脅威情報を取得し、
前記複数の項目それぞれに対する組織の固有のキーワードを含む組織情報を取得し、前記複数の項目ごとに、前記サイバー脅威情報と、前記組織情報との共通するキーワードを抽出し、
前記複数の項目ごとの、項目間の重みと、共通するキーワードの数とを用いて、前記サイバー攻撃の事象についての前記組織への影響度を算出する
処理をコンピュータに実行させることを特徴とするサイバー脅威評価プログラム。 - サイバー攻撃の事象ごとにサイバースレットインテリジェンスとして提供されるサイバー脅威情報であってそれぞれの前記サイバー攻撃の事象に対してサイバー脅威に関する複数の項目それぞれに対する複数のキーワードを含む前記サイバー脅威情報を取得し、
前記複数の項目それぞれに対する組織の固有のキーワードを含む組織情報を取得し、前記複数の項目ごとに、前記サイバー脅威情報と、前記組織情報との共通するキーワードを抽出し、
前記複数の項目ごとの、項目間の重みと、共通するキーワードの数とを用いて、前記サイバー攻撃の事象についての前記組織への影響度を算出する
処理をコンピュータが実行することを特徴とするサイバー脅威評価方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018006752A JP6977577B2 (ja) | 2018-01-18 | 2018-01-18 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018006752A JP6977577B2 (ja) | 2018-01-18 | 2018-01-18 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019125267A JP2019125267A (ja) | 2019-07-25 |
| JP6977577B2 true JP6977577B2 (ja) | 2021-12-08 |
Family
ID=67398981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018006752A Active JP6977577B2 (ja) | 2018-01-18 | 2018-01-18 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6977577B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114006723B (zh) * | 2021-09-14 | 2023-08-18 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
| CN114143060B (zh) * | 2021-11-25 | 2022-07-12 | 北京国信达数据技术有限公司 | 基于人工智能预测的信息安全预测方法及大数据安全系统 |
| CN114757790B (zh) * | 2022-04-06 | 2022-10-11 | 山东新潮信息技术有限公司 | 一种利用神经网络对多源情报风险评估的方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3872689B2 (ja) * | 2001-12-27 | 2007-01-24 | 株式会社日立製作所 | セキュリティポリシーの作成支援システムおよびセキュリティ対策決定支援システム |
| US10789366B2 (en) * | 2013-06-24 | 2020-09-29 | Nippon Telegraph And Telephone Corporation | Security information management system and security information management method |
| US9749344B2 (en) * | 2014-04-03 | 2017-08-29 | Fireeye, Inc. | System and method of cyber threat intensity determination and application to cyber threat mitigation |
| US9749343B2 (en) * | 2014-04-03 | 2017-08-29 | Fireeye, Inc. | System and method of cyber threat structure mapping and application to cyber threat mitigation |
| JP6407184B2 (ja) * | 2016-03-15 | 2018-10-17 | 三菱電機株式会社 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
-
2018
- 2018-01-18 JP JP2018006752A patent/JP6977577B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019125267A (ja) | 2019-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Greitzer et al. | Analysis of unintentional insider threats deriving from social engineering exploits | |
| Fielder et al. | Decision support approaches for cyber security investment | |
| EP3226169A1 (en) | Antivirus signature distribution with distributed ledger | |
| US20130227697A1 (en) | System and method for cyber attacks analysis and decision support | |
| JP6977577B2 (ja) | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 | |
| Shabtai et al. | Behavioral study of users when interacting with active honeytokens | |
| Tschantz et al. | Formal methods for privacy | |
| US20160284035A1 (en) | Crowd-sourced analysis of end user license agreements | |
| Bayuk | Security as a theoretical attribute construct | |
| Butler et al. | REAPER: an automated, scalable solution for mass credential harvesting and OSINT | |
| Nicholson | How ethical hacking can protect organisations from a greater threat | |
| Güven et al. | A novel password policy focusing on altering user password selection habits: a statistical analysis on breached data | |
| Heister et al. | How blockchain and AI enable personal data privacy and support cybersecurity | |
| JP2013164724A (ja) | 情報取引システム | |
| US20230421377A1 (en) | Systems and Methods for Node Facilitation, Communication, and Maintenance | |
| Alyahya et al. | Understanding responses to phishing in Saudi Arabia via the theory of planned behaviour | |
| CN105912927B (zh) | 用于生成应用控制规则的系统和方法 | |
| WO2021059471A1 (ja) | セキュリティリスク分析支援装置、方法、及びコンピュータ可読媒体 | |
| JP2017076170A (ja) | リスク評価装置、リスク評価方法及びリスク評価プログラム | |
| Heng et al. | On the effectiveness of graph matching attacks against privacy-preserving record linkage | |
| Robinette et al. | Benchmark: neural network malware classification | |
| Maahs | Managerial strategies small businesses use to prevent cybercrime | |
| Preuveneers et al. | Privacy-preserving correlation of cross-organizational cyber threat intelligence with private graph intersections | |
| Albakri et al. | Risk assessment of sharing cyber threat intelligence | |
| Hoseini | Ransomware and phishing cyberattacks: analyzing the public’s perception of these attacks in Sweden |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201008 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210714 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210810 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210914 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211012 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211025 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6977577 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |