JP7036193B2 - ヒアリングシステム、脅威対応システム、方法およびプログラム - Google Patents

ヒアリングシステム、脅威対応システム、方法およびプログラム Download PDF

Info

Publication number
JP7036193B2
JP7036193B2 JP2020507299A JP2020507299A JP7036193B2 JP 7036193 B2 JP7036193 B2 JP 7036193B2 JP 2020507299 A JP2020507299 A JP 2020507299A JP 2020507299 A JP2020507299 A JP 2020507299A JP 7036193 B2 JP7036193 B2 JP 7036193B2
Authority
JP
Japan
Prior art keywords
threat
response
user
question
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020507299A
Other languages
English (en)
Other versions
JPWO2019180989A1 (ja
Inventor
貴洋 角丸
直樹 笹村
圭 高井
大陸 大園
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019180989A1 publication Critical patent/JPWO2019180989A1/ja
Application granted granted Critical
Publication of JP7036193B2 publication Critical patent/JP7036193B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Description

本発明は、ユーザ端末に生じた脅威に応じて対応を実行するヒアリングシステム、脅威対応システム、脅威対応方法および脅威対応プログラムに関する。
サイバー攻撃による被害の増加に伴い、サイバー攻撃を受ける企業等では、セキュリティ検知機やセキュリティ監視者を設置し、外部脅威の侵入や実行がないか監視することが行われている。
CSIRT(Computer Security Incident Response Team)とも呼ばれるセキュリティ監視者は、セキュリティ検知機を用いて、そのような脅威の侵入や実行を監視する。実際に脅威が検知されると、セキュリティ監視者は、脅威が検知された端末の隔離や遮断などの対処を行い、併せて、必要なログ等の調査、解析を行う。調査や解析には、例えば、フォレンジックツール等が用いられる。
脅威が検知された端末の隔離は、例えば、SDN(Software Defined Network)技術を用いて行われる。一般に、端末の隔離は、セキュリティ監視者の指示により端末管理者(利用者)や端末管理部門のセキュリティ管理者の手動で行われるが、標的型攻撃対策機器等と連携することで、自動で行われる場合やEDR(Endpoint Detection and Response )の機能によってセキュリティ監視者が端末を隔離する場合もある。なお、どのような脅威に対して遮断を行うかは、企業が定めるセキュリティポリシ(例えば、脅威に厳しく対応する、従業員の利便性を重視する、など)によって定まることが多い。
また、端末を隔離した後、セキュリティ監視者は、検出した脅威への対処を確認し、端末を接続状態に戻す処理も行う。確認内容として、例えば、脅威を検出したが実際には影響がなかったか、脅威に対する対処済みかどうか(脅威に対してアンチウィルスソフトでウィルスを除去した、クリアインストールをしたなど)、などが挙げられる。また、対処したか否かの確認は、例えば、ログ等で管理する方法や、ユーザに確認する方法などが挙げられる。
脅威の検出には、いくつかの段階が考えられる。攻撃の内容を階層化した考え方として、サイバー・キル・チェーンが知られている。サイバー・キル・チェーンは、攻撃者の行動を分解した考え方である。階層化には、例えば、情報を収集する偵察段階や、攻撃コードを実行させる攻撃段階などが挙げられる。
セキュリティ監視者は、脅威が検出されると、検出された脅威の種類を把握するとともに、その種類に基づく攻撃のシナリオを想定する。セキュリティ監視者は、想定したシナリオに基づいて、例えば、上述するサイバー・キル・チェーンにおける段階を検出ログ等から確認する。
また、特許文献1には、大規模システムでの効率的なセキュリティ設計を支援する装置が記載されている。特許文献1に記載された装置は、脅威分析結果を入力とし、過去に実施したセキュリティ設計に伴う分析結果(実績)から、高頻度で導出される対策方針のパターンを対策方針候補として出力する。
特開2016-045736号公報
しかし、企業の規模や業態によっては、セキュリティ検知ツールが完備されていない場合も存在する。例えば、ユーザ端末がウィルス検知ツールを備えていたとしても、EDRの仕組みなどを備えておらず、監視者にその脅威が通知されない場合、上述するサイバー・キル・チェーンにおける段階を把握することは困難である。また、脅威の検出だけでは、必ずしもこの段階を把握できるとは限らない。
また、一部の検知に見落としがあった場合、段階の把握が困難になる場合も多い。さらに、検知された脅威がユーザの意図的な行動によるもの(例えば、業務上の対応)である場合、確認等によるセキュリティ監視者の作業工数が増大してしまう可能性もある。
また、特許文献1に記載された装置は、各脅威と特徴が類似する類似脅威群を特定して政策方針を特定する。しかし、特許文献1に記載された装置を用いたとしても、検知される内容によっては、脅威が特定できない場合も存在するため、セキュリティ監視者の作業工数が必要になる。また、特許文献1に記載された装置を用いたとしても、上述するような、ユーザの意図的な行動による状況を特定できず、やはりセキュリティ監視者の作業工数が増大してしまうという問題もある。
そこで、本発明は、セキュリティ監視者の作業工数を抑制しつつ、脅威に対する安全性を確保する対応をとることができるヒアリングシステム、脅威対応システム、脅威対応方法および脅威対応プログラムを提供することを目的とする。
本発明によるヒアリングシステムは、ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定手段と、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザがユーザ端末に生じさせた事象、または、脅威によりユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成手段と、特定されたユーザの通知先に生成された質問を送信し、その質問に対するユーザの回答を受信する質問送受信手段と、脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおけるその段階を、回答に基づいて特定する攻撃特定手段と、特定された段階に応じて、攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行手段と、脅威事象が検知されたときに、その脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行手段とを備え、質問送受信手段が、第二の対応を実行した後に質問を送信することを特徴とする。
本発明による脅威対応システムは、ユーザ端末に生じた脅威事象を検知する脅威事象検知手段と、ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定手段と、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザがユーザ端末に生じさせた事象、または、脅威によりユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成手段と、特定されたユーザの通知先に生成された質問を送信し、その質問に対するユーザの回答を受信する質問送受信手段と、脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおけるその段階を、回答に基づいて特定する攻撃特定手段と、特定された段階に応じて、攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行手段と、脅威事象が検知されたときに、その脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行手段とを備え、質問送受信手段が、第二の対応を実行した後に質問を送信することを特徴とする。
本発明による脅威対応方法は、ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定し、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザがユーザ端末に生じさせた事象、または、脅威によりユーザ端末に生じた事象の特定に用いられる1以上の質問を生成し、特定されたユーザの通知先に生成された質問を送信し、質問に対するユーザの回答を受信し、脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおけるその段階を、回答に基づいて特定し、特定された段階に応じて、攻撃モデルが示す脅威に対する第一の対応を実行し、脅威事象が検知されたときに、その脅威事象が示す脅威を回避する第二の対応を実行し、第二の対応を実行した後に質問を送信することを特徴とする。
本発明による脅威対応プログラムは、コンピュータに、ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定処理、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザがユーザ端末に生じさせた事象、または、脅威によりユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成処理、特定されたユーザの通知先に生成された質問を送信し、その質問に対するユーザの回答を受信する質問送受信処理、脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおけるその段階を、回答に基づいて特定する攻撃特定処理、特定された段階に応じて、攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行処理、および、脅威事象が検知されたときに、その脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行処理を実行させ、質問送受信処理で、第二の対応を実行した後に質問を送信させることを特徴とする。
本発明によれば、セキュリティ監視者の作業工数を抑制しつつ、脅威に対する安全性を確保する対応をとることができる。
本発明による脅威対応システムの第1の実施形態の構成例を示すブロック図である。 監視ログの例を示す説明図である。 脅威対応履歴の例を示す説明図である。 第1の実施形態の脅威対応システムの動作例を示すフローチャートである。 本発明による脅威対応システムの第2の実施形態の構成例を示すブロック図である。 ポリシテーブルの例を示す説明図である。 第2の実施形態の脅威対応システムの動作例を示すフローチャートである。 質問テーブルおよび脅威に対する対応の例を示す説明図である。 質問テーブルおよび脅威に対する対応の例を示す説明図である。 質問テーブルおよび脅威に対する対応の例を示す説明図である。 質問テーブルおよび脅威に対する対応の例を示す説明図である。 質問テーブルおよび脅威に対する対応の例を示す説明図である。 通知された質問を表示する処理の例を示す説明図である。 攻撃が特定できなかった場合の通知例を示す説明図である。 本発明によるヒアリングシステムの概要を示すブロック図である。 本発明による脅威対応システムの概要を示すブロック図である。
以下、本発明の実施形態を図面を参照して説明する。
実施形態1.
図1は、本発明による脅威対応システムの第1の実施形態の構成例を示すブロック図である。本実施形態の脅威対応システム1は、検知機10と、監視ログ記憶手段20と、ヒアリングシステム100とを備えている。検知機10およびヒアリングシステム100は、検知対象とするユーザ端末30と通信可能に接続される。
検知機10は、ユーザ端末30に生じた脅威事象を検知する。そして、検知機10は、検知した脅威事象を表す監視ログを監視ログ記憶手段20に登録する。なお、検知機10が脅威事象を検出する方法は任意であり、一般的な方法が用いられれば良い。
例えば、上述するサイバー・キル・チェーンの段階として、攻撃者が「配送」を行う段階では、企業側(被攻撃者)は、「アクセス」が行われることになる。「アクセス」の具体例として、ユーザ端末が攻撃コードやマルウェアが添付されたメールを受信することや、マルウェアが仕込まれているWebページにアクセスすることで、マルウェアをダウンロードすることなどが挙げられる。
他にも、例えば、攻撃者が「インストール」を行う段階では、企業側は、「感染」してしまうことになる。「感染」の具体例として、攻撃コードが実行されたり、マルウェアが仕込まれたファイルを実行することでインストールされたりすることなどが挙げられる。さらに、攻撃者が「遠隔操作」を行う段階になると、企業側の端末が、例えば、特定サイトに通信し始める(「外部への通信」を行う)ため、いわゆる発症状態になってしまったと言える。さらに、攻撃者が「目的実行」を行う段階になると、例えば、企業側の端末内の目的の情報が探索され、HTTP(Hypertext Transfer Protocol )/FTP(File Transfer Protocol)などの手段で外部にその情報が送信されるため、この状態もいわゆる発症状態と言える。
検知機10は、サンドボックスやEDRの機能を備えていてもよい。例えば、「アクセス」が行われたことを検知するため、検知機10は、標的型攻撃対策機器のサンドボックスでマルウェアのダウンロード通信を検出したり、マルウェア付のメールを検出したりしてもよい。他にも、例えば、「遠隔操作」が行われたことを検知するため、検知機10は、標的型攻撃対策機器が保持しているマルウェア感染時の通信先情報とマッチした通信を検出してもよい。また、検知機10は、EDRの機能によって端末の不審な挙動や不審なプロセスの起動などを検出してもよい。
監視ログ記憶手段20は、検知機10による検知結果を監視ログとして記憶する。また、監視ログ記憶手段20は、他の検知機10やユーザ端末30自身が検知した結果を監視ログとして記憶してもよい。監視ログ記憶手段20は、例えば、磁気ディスク装置により実現される。
図2は、監視ログの例を示す説明図である。図2に例示する監視ログLは、ランサムウェアによるコールバックを検出した監視ログの例である。例えば、図2に例示する監視ログを解析することで、どのユーザ端末30にどのような脅威事象が発生したか検出することが可能になる。
ヒアリングシステム100は、ユーザ情報記憶手段110と、通知先特定手段120と、質問生成手段130と、質問送受信手段140と、攻撃特定手段150と、対応実行手段160と、対応履歴記憶手段170とを含む。
ユーザ情報記憶手段110は、ユーザ端末30とユーザの通知先とが対応付けられたデータベースを記憶する。なお、ユーザの通知先は1つに限られず、複数であってもよい。また、ユーザ情報記憶手段110は、ユーザに関連する他の人物(例えば、ユーザの上司や、ユーザの所属する部門を担当するセキュリティ監視者など)の通知先を対応付けて記憶していてもよい。これにより、ユーザ端末30を利用するユーザや、そのユーザの関係者に、必要な情報を通知することが可能になる。
通知先特定手段120は、ユーザ情報記憶手段110に記憶されたデータベースを用いて、脅威事象が検知されたユーザ端末30のユーザの通知先を特定する。特定された通知先は、後述する質問送受信手段140が質問を送信する通知先として利用される。
質問生成手段130は、検知された脅威事象に基づく質問を生成する。具体的には、質問生成手段130は、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザがユーザ端末30に生じさせた事象、または、脅威によりユーザ端末30に生じた事象の特定に用いられる質問を生成する。なお、質問生成手段130が生成する質問は、1つに限られず、2つ以上であってもよい。ユーザがユーザ端末30に生じさせた事象の特定に用いられる質問として、例えば、特定サイトへのアクセスを確認する質問が挙げられる。また、脅威によりユーザ端末30に生じた事象の特定に用いられる質問として、例えば、ユーザ端末30の動作状況を確認する質問が挙げられる。
本実施形態では、上述するサイバー・キル・チェーンのように、脅威の種類に応じて特定される一連の攻撃の段階を、攻撃モデルと記す。例えば、上述する検知機10で示す例では、攻撃モデルは、一連の攻撃を示す各段階「アクセス」、「感染」、「外部への通信」および「目的実行」で表される。ただし、本実施形態の攻撃モデルは、上述する4つの段階に限定されず、また、サイバー・キル・チェーンにも限定されない。攻撃モデルは、脅威の種類に応じて一連の攻撃の段階が特定できる情報であればよい。
質問生成手段130は、検知された脅威事象に基づいて、少なくとも、上述する攻撃モデルにおいて、どの段階の脅威事象であるかを特定できるような質問を生成する。さらに、好ましくは、質問生成手段130は、検知された脅威事象が、どの脅威の種類におけるどの段階の脅威事象であるかを特定できるような質問を生成する。質問生成手段130は、1つの脅威事象に基づいて質問を生成してもよく、複数の脅威事象に基づいて質問を生成してもよい。脅威事象を組み合わせることで、脅威の種類を絞り込むことが可能になる。
具体的には、脅威の種類および段階に応じた適否を判断する質問を規定した質問テーブルを予め設定しておき、質問生成手段130は、その質問テーブルから質問を生成する。なお、質問テーブルは、脅威事象ごとに設定される構造であってもよく、脅威事象に応じて質問を取捨選択できる(質問が限定される)構造であってもよい。すなわち、検知された脅威事象だけでは脅威の種類および段階を特定できない場合に、検知された脅威事象を用いて、必要な質問が生成されることになる。
また、質問テーブルに設定する質問の一部に、脅威事象の情報を設定可能な変数が含まれていてもよい。この場合、質問生成手段130は、例えば、監視ログから情報を抽出し、抽出した情報を変数に設定して質問を生成してもよい。変数の例として、例えば、アクセス先のURLや、感染ファイル名などが挙げられる。
例えば、脅威事象として外部への通信を行う「CallBack」が検出されたとする。この場合、質問生成手段130は、「外部への通信」であることを特定できるような質問や脅威の種類を特定できるような質問を生成してもよい。なお、この脅威事象からは、マルウェアに感染して通信が発生した場合、ユーザが意図してアクセスした場合、ユーザは意図していないが誤操作でアクセスした場合、などの原因が想定される。そこで、質問生成手段130は、これらの原因を特定するための質問をさらに生成してもよい。なお、具体的な質問の内容については後述される。
また、質問テーブルには、回答に応じた処理が対応付けられていてもよい。また、質問テーブルには、その回答に応じた段階や脅威の種類の尤もらしさが対応付けられていてもよい。例えば、ある質問に対して「Yes」と回答した場合、その回答に対応する段階や脅威の種類の尤もらしさが特定されるようにしてもよい。
質問送受信手段140は、通知先特定手段120によって特定されたユーザの通知先に、生成された質問を送信し、その質問に対するユーザの回答を受信する。質問送受信手段140は、例えば、メールやチャット、SMS(ショートメールサービス)などで、質問を送信してもよい。この場合、質問送受信手段140は、メールやチャット、SMSの返信として回答を受信してもよい。
また、質問送受信手段140は、質問回答用のアプリケーションを添付したメールや、回答用のWebページを示すURL(Uniform Resource Locator)を記載したメールを送信してもよい。この場合、質問送受信手段140は、添付したアプリケーションの機能や、Webページへの入力機能を用いて、回答を受信してもよい。
また、質問送受信手段140は、受信する回答に応じて順次質問を送信してもよく、質問をまとめて送信し、回答もまとめて受信してもよい。また、質問送受信手段140は、セキュリティ監視者が後に利用し得る情報を収集するための質問を送信してもよい。
さらに、質問送受信手段140は、受信したユーザからの回答の適否を示す質問を、そのユーザとは異なる他のユーザ(例えば、そのユーザの上司やそのユーザの属する部門のセキュリティ管理者等、そのユーザの関係者)に送信し、その関係者からの回答を受信してもよい。使用している端末に脅威事象が発生した場合、その端末のユーザは、自身の行動を隠蔽しようとする可能性もある。また、ユーザが行動を意識していない場合、その行動自体の適否を本人が判断できない可能性もある。このような場合を考慮し、質問送受信手段140が他のユーザへ回答の適否を問い合わせることで、回答内容の信憑性を高めることが可能になる。
例えば、ユーザ情報記憶手段110が、ユーザ端末30のユーザとその上司とを対応付けたデータベースを記憶している場合、質問送受信手段140は、そのユーザからの回答の適否を示す質問を、その上司に送信して回答を受信してもよい。
攻撃特定手段150は、受信した回答に基づいて攻撃モデルにおける段階を特定する。さらに、攻撃特定手段150は、受信した回答に基づいて脅威の種類を特定してもよい。具体的には、攻撃特定手段150は、質問テーブルを参照して、質問に対するユーザの回答から、攻撃モデルにおける段階を特定する。
例えば、質問テーブルに、回答に応じた段階や脅威の種類の尤もらしさが対応付けられている場合、攻撃特定手段150は、その回答に対応付けられた尤もらしさに応じて攻撃モデルにおける段階を特定してもよい。
また、攻撃特定手段150は、各質問に対するユーザの回答に基づいて、特定した段階の尤もらしさを評価してもよい。例えば、本人が意識せずに行った行動の場合、自身が気付いておらず回答できない場合もある。また、例えば、本人が意図的に行った行動の場合、回答を歪曲してしまう場合もある。そこで、攻撃特定手段150は、特定する段階を示す回答の一致度合いに基づいて、段階ごと、または、脅威の種類ごと、または、その組み合わせごとに、回答の尤もらしさを評価してもよい。その際、攻撃特定手段150は、特定の質問に対する回答の有無に応じて、尤もらしさを変化させてもよい。攻撃特定手段150は、例えば、クリティカルな質問(必ず、YES/NOが決定されるはずの質問や、矛盾を確認するための質問など)の回答に応じて、尤もらしさを高く(低く)算出してもよい。なお、クリティカルな質問か否かを、例えば、質問テーブルに予め設定しておいてもよい。
対応実行手段160は、特定された段階に応じて、攻撃モデルが示す脅威に対する対応を実行する。また、脅威の種類が特定されている場合、対応実行手段160は、特定された段階および脅威の種類に応じて、脅威に対する対応を実行する
脅威に対する対応は、段階、脅威の種類、および、これらの組合せに応じて予め定められ、対応実行手段160は、定められた対応を実行する。以下、質問の回答に応じて実行される対応を、第一の対応と記す。すなわち、本実施形態の対応実行手段160は、特定された段階、脅威の種類、または、これらの組合せに応じて予め定められた第一の対応を実行する。
第一の対応の具体的内容は、ユーザ端末30の通信遮断や、特別なネットワーク(検疫ネットワーク)への隔離である。ここで、検疫ネットワークとは、正常な外部との接続や内部サーバとの接続が遮断されたネットワーク(以下、通常ネットワークと記すこともある)であり、最小限のサーバとの接続のみ可能なネットワークを意味する。本実施形態の場合、検疫ネットワークは、例えば、ヒアリングシステム100や、ワクチンデータをダウンロードするサイトのみに接続されたネットワークである。このように、脅威が検知されたときに、対応実行手段160がユーザ端末30を通常ネットワークから自動的に遮断するため、他の端末等への影響を防ぎ、脅威に対する安全性を確保することが可能になる。
ただし、第一の対応の内容は、これらのいわゆるネットワーク隔離に限定されない。脅威事象が検知された場合、対応実行手段160は、機器やサービス、システムへのアクセスやサービスやアプリケーションの実行を制御する仕組み(例えば、SDN、アクセス制御システム、アプリケーション制御システムなど)を起動してもよい。または、対応実行手段160は、ユーザ情報記憶手段110からユーザのIDを読み取り、そのユーザIDによるアプリケーションサービスの実行を一部に制限する、またはすべて停止するように制御を行ってもよい。このような仕組みを起動できるようにすることで、例えば、ネットワーク隔離が適切な対応にならないようなクラウド環境(Application as a service、Desktop as a serviceなど)に対しても、より適切な対応をとることが可能になる。
他にも、第一の対応として、フォレンジック用のログ取得ツールの実行、脅威を示すアプリケーションの削除(例えば、アドウェアの削除)や、OS(Operating System)の再インストールなどが挙げられる。
また、対応実行手段160は、他のユーザから受信した回答に基づいて第一の対応を実行してもよい。例えば、他のユーザから受信した回答が、「ユーザの回答が適切ではない」旨の回答だったとする。この場合、対応実行手段160は、ユーザからの回答が適切でないと判断し、ユーザの回答に応じて特定される第一の対応とは異なる対応(例えば、ネットワークからの遮断、他のユーザ(上司等)に対する通知、セキュリティ監視者へのアラート通知など)を行ってもよい。
また、例えば、攻撃特定手段150が、特定した段階の尤もらしさを評価していた場合、対応実行手段160は、評価された尤もらしさに応じて実行する第一の対応を決定してもよい。例えば、脅威の種類や段階の候補が複数存在したとする。この場合、対応実行手段160は、予め定めた閾値よりも大きく、尤もらしさが最大の候補に対する対応を実行してもよい。
また、対応実行手段160は、脅威への対応履歴(以下、脅威対応履歴と記す。)をユーザごとに対応履歴記憶手段170に登録する。そこで、対応実行手段160は、過去の脅威対応履歴に基づいてユーザの信頼性を評価し、評価された信頼性に応じて第一の対応を決定してもよい。
対応実行手段160は、例えば、ユーザ端末30に生じた脅威事象を検知したときに、ユーザ端末30のユーザを特定して、脅威対応履歴を検索する。そして、対応実行手段160は、そのユーザの過去の脅威発生回数や対応内容に基づいて、ユーザ回答の信頼性を推定し、脅威に対する対応を決定する。
例えば、そのユーザが予め定めた閾値(以下、第一の閾値と記す。)よりも多い回数の脅威を過去に検知されている場合、対応実行手段160は、「不注意な人物で信頼できない」と推定して、評価を低く算出してもよい。また、例えば、そのユーザが過去に同じ内容または種別の脅威を予め定めた閾値(以下、第二の閾値と記す。)よりも多い回数検知されている場合、対応実行手段160は、「不注意な人物で信頼できない」と推定して、評価を低く算出してもよい。このとき、第二の閾値は、第一の閾値よりも厳しい値に設定されてもよい。
対応履歴記憶手段170は、対応実行手段160によって実行された脅威への対応に関する履歴(すなわち、脅威対応履歴)を記憶する。図3は、脅威対応履歴の例を示す説明図である。図3に示す例では、ユーザを識別するユーザIDごとに、対応した脅威内容とその脅威の種類、および、対処結果、対処日時を対応付けて記憶していることを示す。この脅威対応履歴を参照することで、それぞれの発生回数(頻度)を把握することが可能になる。対応履歴記憶手段170は、例えば、磁気ディスク等により実現される。
通知先特定手段120と、質問生成手段130と、質問送受信手段140と、攻撃特定手段150と、対応実行手段160とは、プログラム(脅威対応プログラム)に従って動作するコンピュータのCPUによって実現される。例えば、プログラムは、ヒアリングシステム100の記憶部(図示せず)に記憶され、CPUは、そのプログラムを読み込み、プログラムに従って、通知先特定手段120、質問生成手段130、質問送受信手段140、攻撃特定手段150および対応実行手段160として動作してもよい。
また、通知先特定手段120と、質問生成手段130と、質問送受信手段140と、攻撃特定手段150と、対応実行手段160とは、それぞれが専用のハードウェアで実現されていてもよい。
次に、本実施形態の脅威対応システムの動作を説明する。図4は、本実施形態の脅威対応システムの動作例を示すフローチャートである。
まず、検知機10が、ユーザ端末30に生じた脅威事象を検知する(ステップS11)。脅威事象が検知されると、通知先特定手段120は、ユーザ情報記憶手段110に記憶されたデータベースを用いて、脅威事象が検知されたユーザ端末30のユーザの通知先を特定する(ステップS12)。
一方、質問生成手段130は、ユーザ端末30に生じた脅威の段階、脅威の種別、または、これらの組合せを特定するための質問を生成する(ステップS13)。具体的には、質問生成手段130は、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザがユーザ端末30に生じさせた事象、または、脅威によりユーザ端末30に生じた事象の特定に用いられる質問を生成する。
質問送受信手段140は、特定されたユーザの通知先に生成された質問を送信する(ステップS14)。そして、質問送受信手段140は、送信した質問に対するユーザの回答を受信する(ステップS15)。攻撃特定手段150は、受信した回答に基づいて攻撃モデルにおける段階を特定する(ステップS16)。なお、攻撃特定手段150は、併せて、脅威の種類を特定してもよい。そして、対応実行手段160は、特定された段階に応じて、攻撃モデルが示す脅威に対する対応(第一の対応)を実行する(ステップS17)。
以上のように、本実施形態では、通知先特定手段120が、脅威事象が検知されたユーザ端末30のユーザの通知先を特定する。また、質問生成手段130が、検知された脅威事象に基づいてユーザ端末の事象の特定に用いられる質問を生成し、質問送受信手段140が、特定されたユーザの通知先に生成された質問を送信して回答を受信する。そして、攻撃特定手段150が回答に基づいて攻撃モデルにおける段階を特定し、対応実行手段160が、特定された段階に応じて第一の対応を実行する。よって、セキュリティ監視者の作業工数を抑制しつつ、脅威に対する安全性を確保する対応をとることができる。
実施形態2.
次に、本発明による脅威対応システムの第2の実施形態を説明する。本実施形態では、検知機10によって脅威事象が検知された場合、ユーザに対して質問を行う前に、脅威事象が示す脅威を回避する対応を実行する方法を説明する。なお、質問を行う前に実行する対応を、第二の対応と記すこともある。
図5は、本発明による脅威対応システムの第2の実施形態の構成例を示すブロック図である。本実施形態の脅威対応システム2は、検知機10と、監視ログ記憶手段20と、ヒアリングシステム200とを備えている。本実施形態の検知機10および監視ログ記憶手段20の構成は、第1の実施形態と同様である。
ヒアリングシステム200は、ユーザ情報記憶手段110と、通知先特定手段120と、質問生成手段130と、質問送受信手段140と、攻撃特定手段150と、対応実行手段260と、対応履歴記憶手段170とを含む。すなわち、本実施形態のヒアリングシステム200は、第1の実施形態の対応実行手段160の代わりに対応実行手段260を含む。ユーザ情報記憶手段110、通知先特定手段120、質問生成手段130、質問送受信手段140、攻撃特定手段150および対応履歴記憶手段170の構成は、第1の実施形態と同様である。
なお、本実施形態では、第一の対応および第二の対応を、いずれも対応実行手段260が実行する場合について説明する。ただし、第一の対応および第二の対応を、それぞれ別の手段が実行する構成であってもよい。例えば、第1の実施形態の対応実行手段160が第一の対応を実行し、本実施形態の対応実行手段260が第二の対応を実行する構成であってもよい。
対応実行手段260は、検知機10によって脅威事象が検知されたときに、その脅威事象が示す脅威を回避する対応(すなわち、第二の対応)を実行する。したがって、質問送受信手段140は、第二の対応を実行した後に質問を送信する。
第二の対応の具体的内容は、ユーザ端末30の通信遮断や、特別なネットワーク(すなわち、検疫ネットワーク)への隔離である。このように、脅威が検知されたときに、対応実行手段260がユーザ端末30を通常ネットワークから自動的に遮断するため、他の端末等への影響を防ぎ、脅威に対する安全性を確保することが可能になる。
ただし、第二の対応の内容は、これらのいわゆるネットワーク隔離に限定されない。脅威事象が検知された場合、対応実行手段260は、機器やサービス、システムへのアクセスやサービスやアプリケーションの実行を制御する仕組み(例えば、SDN、アクセス制御システム、アプリケーション制御システムなど)を起動してもよい。または、対応実行手段260は、ユーザ情報記憶手段110からユーザのIDを読み取り、そのユーザIDによるアプリケーションサービスの実行を一部に制限する、またはすべて停止するように制御を行ってもよい。このような仕組みを起動できるようにすることで、例えば、ネットワーク隔離が適切な対応にならないようなクラウド環境(Application as a service、Desktop as a serviceなど)に対しても、より適切な対応をとることが可能になる。
また、対応実行手段260は、検知された脅威事象の内容に基づいて、第二の対応を実行するか否か判断してもよい。具体的には、対応実行手段260は、検知された脅威事象の内容に基づいて攻撃モデルの段階、脅威の種類、またはこれらの組合せを特定し、特定された状況に応じて、第二の対応を実行するか否か判断してもよい。また、脅威事象の内容からはこれらの状況を特定できない場合、対応実行手段260は、予め定めた対応(例えば、通信遮断や、検疫ネットワークへの隔離など)を実行してもよい。
対応実行手段260は、例えば、状況に応じたポリシテーブルを定めておき、そのポリシテーブルに従って、第二の対応を実行するか否か判断してもよい。図6は、ポリシテーブルの例を示す説明図である。例えば、図6に例示するポリシテーブルのように、攻撃モデルの段階に応じて実行する第二の対応を定めておいてもよい。図6に例示するポリシテーブルPT1は、脅威事象から「アクセス」または「感染」のいずれかの段階が特定できた場合に、遮断処理が実行されることを示す。また、例えば、図6のポリシテーブルPT2に例示するように、攻撃モデルの段階および脅威の種類ごとに第二の対応を定めておいてもよい。図6に例示するポリシテーブルPT2は、脅威事象から「アクセス」の段階および脅威の種類Cが特定できた場合、または、脅威事象から「感染」の段階および脅威の種類Aまたは種類Cが特定できた場合に遮断処理が実行されることを示す。
その後、対応実行手段260は、質問の回答に基づいて、実行する対応を決定する。例えば、第二の対応として、ユーザ端末30が接続していた通常ネットワークから遮断されていた場合、対応実行手段260は、質問の回答に基づいて、通常ネットワークからの遮断を解除するか、遮断を継続するか判断し、判断結果に基づいて対応を実行してもよい。また、例えば、第二の対応として、ユーザ端末30が検疫ネットワークに隔離されている場合、対応実行手段260は、質問の回答に基づいて、通常ネットワークへ復旧させるか、隔離を継続するか判断し、判断結果に基づいて対応を実行してもよい。
例えば、質問の回答からは、攻撃特定手段150が攻撃モデルにおける段階や脅威の種類が特定できない場合、対応実行手段260は、遮断の継続や隔離の継続を選択してもよい。また、例えば、過去のユーザの対応履歴が適切でないと判断される場合、対応実行手段260は、遮断の継続や隔離の継続を選択してもよい。対応が適切でない例として、ユーザが過去に予め定めた閾値を超える回数で「ユーザ判断で再接続」している場合などが挙げられる。
さらに、対応実行手段260は、特定された段階、脅威の種類、またはこれらの組合せに応じた対応を実行する。なお、特定された段階等に応じた対応を実行する方法は、第1の実施形態で対応実行手段160が実行する方法と同様である。また、第1の実施形態の対応実行手段160が図6に例示するポリシテーブルに基づいて第一の対応を決定してもよい。
このように、対応実行手段260が質問の回答に基づいて実行する対応を決定することで、適切な回答であればユーザの利便性が損なわれることを最小限に抑えることが可能になる。また、ユーザの回答が遅れると、遮断や隔離が継続されることになるため、ユーザからの迅速な回答を得ることも可能になる。
通知先特定手段120と、質問生成手段130と、質問送受信手段140と、攻撃特定手段150と、対応実行手段260とは、プログラム(脅威対応プログラム)に従って動作するコンピュータのCPUによって実現される。
次に、本実施形態の脅威対応システムの動作を説明する。図7は、本実施形態の脅威対応システムの動作例を示すフローチャートである。
図4に例示するステップS11と同様、まず、検知機10が、ユーザ端末30に生じた脅威事象を検知する(ステップS11)。脅威事象が検知されると、対応実行手段260は、脅威事象が示す脅威を回避する第二の対応を実行する(ステップS21)。なお、対応実行手段260は、脅威事象から特定される状況(段階、脅威の種類、または、これらの組合せ)に応じて、第二の対応を実行するか否か判断してもよい。
その後、図4に例示するステップS12からステップS16と同様に、ユーザ端末30のユーザの通知先に送信する質問を生成し、生成された質問に対する回答に基づいて攻撃モデルにおける段階を特定する。
対応実行手段260は、質問の回答に基づいて、実行された第二の対応への対応を実行する(ステップS22)。例えば、第二の対応として通常ネットワークからの遮断が行われていた場合、対応実行手段260は、質問の回答に基づいて、通常ネットワークへの復旧または遮断の継続を実行してもよい。併せて、対応実行手段260は、特定された段階に応じて、攻撃モデルが示す脅威に対する対応(第一の対応)を実行する(ステップS17)。
以上のように、本実施形態では、対応実行手段260が、検知機10によって脅威事象が検知されたときに、脅威事象が示す脅威を回避する第二の対応を実行する。そのため、第1の実施形態の効果に加え、脅威に対する安全性を確保することが可能になる。
なお、第2の実施形態で説明した自動遮断を行うか否かは、ユーザのポリシに応じて定めておけばよい。これは、第1の実施形態で第一の対応として自動遮断を実行する場合も同様である。上述する攻撃モデルの段階において、「アクセス」、「感染」、「外部への通信」、「目的実行」の順に、検知される脅威の件数は少なくなると考えられる。ただし、脅威事象の検知は必ずしも完全ではないため、どの段階で自動遮断するかを明確に定義することは困難である。そのため、「疑わしきは隔離」とのポリシが設定されている場合、件数が多くても「アクセス」寄りに自動遮断を行うタイミングを設定することができる。一方、「確実なものを隔離」とのポリシが設定されている場合、件数が少ない「目的実行」寄りに自動遮断を行うタイミングを設定することができる。
「疑わしきは隔離」とのポリシを設定することで、より安全性を高めることが可能になる。一方、「確実なものを隔離」とのポリシを設定することで、従業員の利便性を維持しつつ、セキュリティ監視者の作業工数を抑制することが可能になる。
以下、本発明の具体例を説明する。以下では、脅威の種類としてマルウェアであるアドウェア/PUA(Potentially Unwanted Application)およびランサムウェアを例に、本発明の脅威対応システムの動作を説明する。なお、本具体例では、ユーザ端末30のユーザの通知先はすでに特定されているものとする。
アドウェア/PUAは、ユーザが目的としない機能を有するアプリケーションであり、ユーザに知られずインストールされる。アドウェア/PUAには、広告などがポップアップ表示されるものや、不要なソフトウェアやばら撒き型のマルウェアがインストールされるものなどが存在する。また、ランサムウェアは、感染された端末でアクセス可能なファイルを暗号化することで、身代金(ランサム)要求を行うタイプのものである。ランサムウェアには、他にも、脆弱性を利用して他の端末へ感染を拡大するものもある。
図8から図12は、質問テーブルおよび脅威に対する対応の例を示す説明図である。具体的には、図8に示す例は、「アクセス」段階における脅威事象の検出有無に応じた質問および対応の例である。同様に、図9に示す例は、「感染」段階における脅威事象の検出有無に応じた質問および対応の例であり、図10に示す例は、「外部への通信」段階における脅威事象の検出有無に応じた質問および対応の例である。また、図11に示す例は、「目的実行」段階においてランサムウェアの内容に関する質問および対応の例であり、図12に示す例は、「目的実行」段階においてアドウェア/PUAの内容に関する質問および対応の例である。
例えば、図10に示す例では、「外部への通信」に関する脅威事象が検知された場合の質問として、質問c1および質問c2が準備されており、質問の回答(Yes/No)に応じて、対応が定義されていることを示す。なお、対応の中には、さらなる質問を行うことも含まれる。また、例えば、図8に示す例では、「アクセス」に関する脅威事象が検知されていない場合でも、他の段階での脅威事象の検知に応じて行われる質問a4、質問a5および質問a6が準備されていることを示す。
本具体例では、検知機10が脅威事象として外部への通信を行う「CallBack」を検出した場合の動作例を説明する。質問生成手段130は、検知された脅威事象に基づいて、図10に例示する質問c1を選択する。質問送受信手段140は、生成した質問をユーザの通知先に送信する。なお、質問を生成する前に、対応実行手段260が通信遮断や、検疫ネットワークへの隔離を行ってもよい。
その後、質問送受信手段140が質問に対する回答を受信する。例えば、質問c1に対する回答が「Yes」の場合、質問生成手段130は、さらに、質問c2を選択する。そして、質問送受信手段140が生成した質問をユーザの通知先に送信する。一方、質問c1に対する回答が「No」の場合、質問生成手段130は、さらに、質問a2またはa4を選択する。具体的には、検知機10がアクセス段階における脅威事象を検知している場合、質問生成手段130は、さらに、質問a2を選択する。一方、検知機10がアクセス段階における脅威事象を検知していない場合、質問生成手段130は、さらに、質問a4を選択する。そして、質問送受信手段140が生成した質問をユーザの通知先に送信する。
ここでは、質問送受信手段140が質問c2に対する回答を受信したとする。質問c2に対する回答が「Yes」であっても「No」であっても、攻撃特定手段150は、「外部への通信」段階の攻撃がされたと特定し、対応実行手段160(対応実行手段260)は、遮断の継続を実行する。併せて、対応実行手段160は、脅威に対する情報収集を行う。さらに、質問c2の中で一つも「Yes」の回答がなかった場合、さらに情報を収集するため、質問生成手段130は、さらに、質問a2またはa4を選択する。以降、質問送受信手段140が質問をユーザの通知先に送信し、回答を得ることで情報収集が行われる。
図13は、通知された質問を表示する処理の例を示す説明図である。ユーザは、通知された質問にYesまたはNoで回答し、回答結果をヒアリングシステムに通知する。質問生成手段130は、図13に例示する2種類の質問について、1種類ずつ質問を送信してもよく、2種類とも送信してもよい。
なお、攻撃特定手段150によって攻撃が特定できなかった場合、対応実行手段260は、攻撃が特定できなかった旨をユーザに通知し、後続の対応を選択させるようにしてもよい。図14は、攻撃が特定できなかった場合の通知例を示す説明図である。図14に例示するように、対応実行手段260は、後続の対応を直接ユーザに入力させてもよいし、脅威に対応する部署(例えば、セキュリティ監視者)等の連絡先の情報を通知してもよい。
以上、具体例を用いて本発明のヒアリングシステム(脅威対応システム)を説明したが、本発明によるヒアリングシステム(脅威対応システム)は、上述する具体例に限定されない。他にも、脅威への対応として、様々なポリシが考えられる。
例えば、検知した内容およびユーザからの回答が、マルウェア種別ごとの攻撃モデルに合致していれば、ヒアリングシステムは、遮断を継続し再接続しないようにしてもよい。特に、「感染」および「目的実行」の段階はクリティカルなため、これらのいずれかが特定されている状態の場合、ヒアリングシステムは、遮断を継続し再接続しないようにしてもよい。一方で、マルウェア種別ごとの攻撃モデルに合致してないならば、再接続する。
また、例えば、「アクセス」や「外部への通信」を示す脅威事象を検知し、感染の有無を確認する質問を送信したときに、ユーザが感染なしと回答してきたとする。ここで、検知した内容およびユーザの回答から、攻撃モデルの段階が判断できない場合、ヒアリングシステムは、ユーザ自身に状況を判断してもらい、回答に応じて対応を変えてもよい。
また、ユーザの判断により再接続を希望してきた場合、ヒアリングシステムは、再接続を行いつつ、セキュリティ監視者は、監視を一定期間強化するようにしてもよい。また、ユーザがセキュリティ監視者への連絡を希望している場合、ヒアリングシステムは、遮断を継続してもよい。そして、セキュリティ監視者自身が、監視ログおよび回答に基づいて再度ユーザに状況を質問し、遮断を継続するか再接続するかを判断してもよい。
次に、本発明の概要を説明する。図15は、本発明によるヒアリングシステムの概要を示すブロック図である。本発明によるヒアリングシステム80(例えば、ヒアリングシステム100、ヒアリングシステム200)は、ユーザ端末(例えば、ユーザ端末30)とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定手段81(例えば、通知先特定手段120)と、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザがユーザ端末に生じさせた事象、または、脅威によりユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成手段82(例えば、質問生成手段130)と、特定されたユーザの通知先に生成された質問を送信し、その質問に対するユーザの回答を受信する質問送受信手段83(質問送受信手段140)と、脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける段階を、回答に基づいて特定する攻撃特定手段84(攻撃特定手段150)と、特定された段階に応じて、攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行手段85(例えば、対応実行手段160)とを備えている。
そのような構成により、セキュリティ監視者の作業工数を抑制しつつ、脅威に対する安全性を確保する対応をとることができる。
また、攻撃特定手段84は、ユーザの回答に基づいて、攻撃モデルにおける段階および脅威の種類を特定してもよい。そして、第一対応実行手段85は、特定された段階および脅威の種類に応じて、第一の対応を実行してもよい。そのような構成によれば、虚位の種類に応じて、より適切な対応を実行できる。
また、ヒアリングシステム80(例えば、ヒアリングシステム200)は、脅威事象が検知されたときに、その脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行手段(例えば、対応実行手段260)を備えていてもよい。そして、質問送受信手段83は、第二の対応を実行した後に質問を送信してもよい。そのような構成によれば、脅威に対する安全性をより確保することが可能になる。
また、第二対応実行手段は、第二の対応として、ユーザ端末をそのユーザ端末が接続しているネットワークである通常ネットワークから遮断する対応、または、ユーザ端末を検疫ネットワークに隔離する対応を実行してもよい。
さらに、第一対応実行手段は、質問の回答に基づいて、通常ネットワークからの遮断の解除もしくは通常ネットワークへの復旧、または、遮断の継続もしくは隔離の継続のいずれかの対応を実行してもよい。
また、質問生成手段82は、脅威事象に応じて特定される、脅威の種類と段階とに応じた質問を規定した質問テーブルから質問を生成してもよい。そして、攻撃特定手段84は、質問に対するユーザの回答から、質問テーブルを参照して、段階を特定してもよい。
また、質問送受信手段83は、受信したユーザからの回答の適否を示す質問をそのユーザとは異なる他のユーザ(例えば、上司等)に送信し、他のユーザからの回答を受信し、第一対応実行手段85は、受信した他のユーザからの回答に基づいて、第一の対応を実行してもよい。そのような構成によれば、回答の信憑性を高めることが可能になる。
また、攻撃特定手段84は、各質問に対するユーザの回答に基づいて、特定した段階の尤もらしさを評価してもよい。そして、第一対応実行手段85は、評価された尤もらしさに応じて実行する第一の対応を決定してもよい。
また、ヒアリングシステム80は、ユーザごとの脅威対応履歴を記憶する対応履歴記憶手段(例えば、対応履歴記憶手段170)を備えていてもよい。そして、第一対応実行手段85は、対応脅威対応履歴に基づいてユーザの信頼性を評価し、評価された信頼性に応じて第一の対応を決定してもよい。
図16は、本発明による脅威対応システムの概要を示すブロック図である。本発明による脅威対応システム90(例えば、脅威対応システム1、脅威対応システム2)は、ユーザ端末(例えば、ユーザ端末30)に生じた脅威事象を検知する脅威事象検知手段91と、通知先特定手段81と、質問生成手段82と、質問送受信手段83と、攻撃特定手段84と、第一対応実行手段85とを備えている。通知先特定手段81、質問生成手段82、質問送受信手段83、攻撃特定手段84および第一対応実行手段85の構成は、図15に例示するヒアリングシステム80の構成と同様である。
そのような構成によっても、セキュリティ監視者の作業工数を抑制しつつ、脅威に対する安全性を確保する対応をとることができる。
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定手段と、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成手段と、特定されたユーザの通知先に生成された質問を送信し、当該質問に対するユーザの回答を受信する質問送受信手段と、脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定する攻撃特定手段と、特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行手段とを備えたことを特徴とするヒアリングシステム。
(付記2)攻撃特定手段は、ユーザの回答に基づいて、攻撃モデルにおける段階および脅威の種類を特定し、第一対応実行手段は、特定された段階および脅威の種類に応じて、第一の対応を実行する付記1記載のヒアリングシステム。
(付記3)脅威事象が検知されたときに、当該脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行手段を備え、質問送受信手段は、前記第二の対応を実行した後に質問を送信する付記1または付記2記載のヒアリングシステム。
(付記4)第二対応実行手段は、第二の対応として、ユーザ端末を当該ユーザ端末が接続しているネットワークである通常ネットワークから遮断する対応、または、ユーザ端末を検疫ネットワークに隔離する対応を実行する付記3記載のヒアリングシステム。
(付記5)第一対応実行手段は、質問の回答に基づいて、通常ネットワークからの遮断の解除もしくは通常ネットワークへの復旧、または、遮断の継続もしくは隔離の継続のいずれかの対応を実行する付記4記載のヒアリングシステム。
(付記6)質問生成手段は、脅威事象に応じて特定される、脅威の種類と段階とに応じた質問を規定した質問テーブルから質問を生成し、攻撃特定手段は、前記質問に対するユーザの回答から、前記質問テーブルを参照して、段階を特定する付記1から付記5のうちのいずれか1つに記載のヒアリングシステム。
(付記7)質問送受信手段は、受信したユーザからの回答の適否を示す質問を当該ユーザとは異なる他のユーザに送信し、当該他のユーザからの回答を受信し、第一対応実行手段は、受信した前記他のユーザからの回答に基づいて、第一の対応を実行する付記1から付記6のうちのいずれか1つに記載のヒアリングシステム。
(付記8)攻撃特定手段は、各質問に対するユーザの回答に基づいて、特定した段階の尤もらしさを評価し、第一対応実行手段は、評価された尤もらしさに応じて実行する第一の対応を決定する付記1から付記7のうちのいずれか1つに記載のヒアリングシステム。
(付記9)ユーザごとの脅威対応履歴を記憶する対応履歴記憶手段を備え、第一対応実行手段は、前記脅威対応履歴に基づいてユーザの信頼性を評価し、評価された信頼性に応じて第一の対応を決定する付記1から付記8のうちのいずれか1つに記載のヒアリングシステム。
(付記10)ユーザ端末に生じた脅威事象を検知する脅威事象検知手段と、前記ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、前記脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定手段と、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成手段と、特定されたユーザの通知先に生成された質問を送信し、当該質問に対するユーザの回答を受信する質問送受信手段と、脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定する攻撃特定手段と、特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行手段とを備えたことを特徴とする脅威対応システム。
(付記11)ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定し、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成し、特定されたユーザの通知先に生成された質問を送信し、前記質問に対するユーザの回答を受信し、脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定し、特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行することを特徴とする脅威対応方法。
(付記12)コンピュータに、ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定処理、検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成処理、特定されたユーザの通知先に生成された質問を送信し、当該質問に対するユーザの回答を受信する質問送受信処理、脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定する攻撃特定処理、および、特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行処理を実行させるための脅威対応プログラム。
以上、実施形態及び実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2018年3月20日に出願された日本特許出願2018-052077を基礎とする優先権を主張し、その開示の全てをここに取り込む。
1,2 脅威対応システム
10 検知機
20 監視ログ記憶手段
30 ユーザ端末
100,200 ヒアリングシステム
110 ユーザ情報記憶手段
120 通知先特定手段
130 質問生成手段
140 質問送受信手段
150 攻撃特定手段
160,260 対応実行手段
170 対応履歴記憶手段

Claims (11)

  1. ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定手段と、
    検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成手段と、
    特定されたユーザの通知先に生成された質問を送信し、当該質問に対するユーザの回答を受信する質問送受信手段と、
    脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定する攻撃特定手段と、
    特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行手段と
    脅威事象が検知されたときに、当該脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行手段とを備え
    前記質問送受信手段は、前記第二の対応を実行した後に質問を送信する
    ことを特徴とするヒアリングシステム。
  2. 攻撃特定手段は、ユーザの回答に基づいて、攻撃モデルにおける段階および脅威の種類を特定し、
    第一対応実行手段は、特定された段階および脅威の種類に応じて、第一の対応を実行する
    請求項1記載のヒアリングシステム。
  3. 第二対応実行手段は、第二の対応として、ユーザ端末を当該ユーザ端末が接続しているネットワークである通常ネットワークから遮断する対応、または、ユーザ端末を検疫ネットワークに隔離する対応を実行する
    請求項1または請求項2記載のヒアリングシステム。
  4. 第一対応実行手段は、質問の回答に基づいて、通常ネットワークからの遮断の解除もしくは通常ネットワークへの復旧、または、遮断の継続もしくは隔離の継続のいずれかの対応を実行する
    請求項記載のヒアリングシステム。
  5. 質問生成手段は、脅威事象に応じて特定される、脅威の種類と段階とに応じた質問を規定した質問テーブルから質問を生成し、
    攻撃特定手段は、前記質問に対するユーザの回答から、前記質問テーブルを参照して、段階を特定する
    請求項1から請求項のうちのいずれか1項に記載のヒアリングシステム。
  6. 質問送受信手段は、受信したユーザからの回答の適否を示す質問を当該ユーザとは異なる他のユーザに送信し、当該他のユーザからの回答を受信し、
    第一対応実行手段は、受信した前記他のユーザからの回答に基づいて、第一の対応を実行する
    請求項1から請求項のうちのいずれか1項に記載のヒアリングシステム。
  7. 攻撃特定手段は、各質問に対するユーザの回答に基づいて、特定した段階の尤もらしさを評価し、
    第一対応実行手段は、評価された尤もらしさに応じて実行する第一の対応を決定する
    請求項1から請求項のうちのいずれか1項に記載のヒアリングシステム。
  8. ユーザごとの脅威対応履歴を記憶する対応履歴記憶手段を備え、
    第一対応実行手段は、前記脅威対応履歴に基づいてユーザの信頼性を評価し、評価された信頼性に応じて第一の対応を決定する
    請求項1から請求項のうちのいずれか1項に記載のヒアリングシステム。
  9. ユーザ端末に生じた脅威事象を検知する脅威事象検知手段と、
    前記ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、前記脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定手段と、
    検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成手段と、
    特定されたユーザの通知先に生成された質問を送信し、当該質問に対するユーザの回答を受信する質問送受信手段と、
    脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定する攻撃特定手段と、
    特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行手段と
    脅威事象が検知されたときに、当該脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行手段とを備え
    前記質問送受信手段は、前記第二の対応を実行した後に質問を送信する
    ことを特徴とする脅威対応システム。
  10. ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定し、
    検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成し、
    特定されたユーザの通知先に生成された質問を送信し、
    前記質問に対するユーザの回答を受信し、
    脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定し、
    特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行し、
    脅威事象が検知されたときに、当該脅威事象が示す脅威を回避する第二の対応を実行し、
    前記第二の対応を実行した後に質問を送信する
    ことを特徴とする脅威対応方法。
  11. コンピュータに、
    ユーザ端末とユーザの通知先とが対応付けられたデータベースを用いて、脅威事象が検知されたユーザ端末のユーザの通知先を特定する通知先特定処理、
    検知された脅威事象に基づいて、ユーザが気付き得る事象のうち、脅威を生じさせる原因としてユーザが前記ユーザ端末に生じさせた事象、または、脅威により前記ユーザ端末に生じた事象の特定に用いられる1以上の質問を生成する質問生成処理、
    特定されたユーザの通知先に生成された質問を送信し、当該質問に対するユーザの回答を受信する質問送受信処理、
    脅威の種類に応じて特定される一連の攻撃の段階を示す攻撃モデルにおける当該段階を、前記回答に基づいて特定する攻撃特定処理
    特定された段階に応じて、前記攻撃モデルが示す脅威に対する第一の対応を実行する第一対応実行処理、および、
    脅威事象が検知されたときに、当該脅威事象が示す脅威を回避する第二の対応を実行する第二対応実行処理を実行させ
    前記質問送受信処理で、前記第二の対応を実行した後に質問を送信させる
    ための脅威対応プログラム。
JP2020507299A 2018-03-20 2018-08-27 ヒアリングシステム、脅威対応システム、方法およびプログラム Active JP7036193B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018052077 2018-03-20
JP2018052077 2018-03-20
PCT/JP2018/031514 WO2019180989A1 (ja) 2018-03-20 2018-08-27 ヒアリングシステム、脅威対応システム、方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2019180989A1 JPWO2019180989A1 (ja) 2021-02-18
JP7036193B2 true JP7036193B2 (ja) 2022-03-15

Family

ID=67986821

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020507299A Active JP7036193B2 (ja) 2018-03-20 2018-08-27 ヒアリングシステム、脅威対応システム、方法およびプログラム

Country Status (3)

Country Link
US (1) US20210064750A1 (ja)
JP (1) JP7036193B2 (ja)
WO (1) WO2019180989A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11902306B1 (en) * 2020-04-30 2024-02-13 Splunk Inc. Advanced persistent threat detection by an information technology and security operations application

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002328894A (ja) 2001-05-01 2002-11-15 Ntt Data Corp マニュアルの自動生成および動作確認システムならびにその方法
JP2003085139A (ja) 2001-09-10 2003-03-20 Mitsubishi Electric Corp 侵入検知管理システム
JP2004086301A (ja) 2002-08-23 2004-03-18 Nec Fielding Ltd ユーザ端末トラブル通知・遠隔操作システム,方法,プログラムおよびサービス提供サーバ
JP2005044277A (ja) 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2008167099A (ja) 2006-12-28 2008-07-17 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9882929B1 (en) * 2014-09-30 2018-01-30 Palo Alto Networks, Inc. Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network
US20170223030A1 (en) * 2016-01-29 2017-08-03 Splunk Inc. Detection of security transactions
US10372910B2 (en) * 2016-06-20 2019-08-06 Jask Labs Inc. Method for predicting and characterizing cyber attacks
US20170366571A1 (en) * 2016-06-21 2017-12-21 Ntt Innovation Institute, Inc. Asset protection apparatus, system and method
US10262132B2 (en) * 2016-07-01 2019-04-16 Entit Software Llc Model-based computer attack analytics orchestration

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002328894A (ja) 2001-05-01 2002-11-15 Ntt Data Corp マニュアルの自動生成および動作確認システムならびにその方法
JP2003085139A (ja) 2001-09-10 2003-03-20 Mitsubishi Electric Corp 侵入検知管理システム
JP2004086301A (ja) 2002-08-23 2004-03-18 Nec Fielding Ltd ユーザ端末トラブル通知・遠隔操作システム,方法,プログラムおよびサービス提供サーバ
JP2005044277A (ja) 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
JP2008167099A (ja) 2006-12-28 2008-07-17 Mitsubishi Electric Corp セキュリティ管理装置及びセキュリティ管理方法及びプログラム

Also Published As

Publication number Publication date
US20210064750A1 (en) 2021-03-04
JPWO2019180989A1 (ja) 2021-02-18
WO2019180989A1 (ja) 2019-09-26

Similar Documents

Publication Publication Date Title
US10095866B2 (en) System and method for threat risk scoring of security threats
US10467411B1 (en) System and method for generating a malware identifier
US10893059B1 (en) Verification and enhancement using detection systems located at the network periphery and endpoint devices
US7752668B2 (en) Network virus activity detecting system, method, and program, and storage medium storing said program
US10354072B2 (en) System and method for detection of malicious hypertext transfer protocol chains
US10225280B2 (en) System and method for verifying and detecting malware
US8650647B1 (en) Web site computer security using client hygiene scores
US11381578B1 (en) Network-based binary file extraction and analysis for malware detection
US20190014141A1 (en) Locally Detecting Phishing Weakness
US8805995B1 (en) Capturing data relating to a threat
JP6104149B2 (ja) ログ分析装置及びログ分析方法及びログ分析プログラム
US8832835B1 (en) Detecting and remediating malware dropped by files
US8595282B2 (en) Simplified communication of a reputation score for an entity
WO2015127472A2 (en) Systems and methods for malware detection and mitigation
WO2013063474A1 (en) Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
JPWO2014112185A1 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
EP3374870B1 (en) Threat risk scoring of security threats
EP2835948A1 (en) Method for processing a signature rule, server and intrusion prevention system
US20210194915A1 (en) Identification of potential network vulnerability and security responses in light of real-time network risk assessment
JP7036193B2 (ja) ヒアリングシステム、脅威対応システム、方法およびプログラム
US10250625B2 (en) Information processing device, communication history analysis method, and medium
Kono et al. An unknown malware detection using execution registry access
CN110784471A (zh) 黑名单采集管理方法、装置、计算机设备及存储介质
JP6900328B2 (ja) 攻撃種別判定装置、攻撃種別判定方法、及びプログラム
JP2019101448A (ja) セキュリティ管理システム及びセキュリティ管理方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200907

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220214

R151 Written notification of patent or utility model registration

Ref document number: 7036193

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151