JP7074188B2 - セキュリティ対処能力測定システム、方法及びプログラム - Google Patents
セキュリティ対処能力測定システム、方法及びプログラム Download PDFInfo
- Publication number
- JP7074188B2 JP7074188B2 JP2020520920A JP2020520920A JP7074188B2 JP 7074188 B2 JP7074188 B2 JP 7074188B2 JP 2020520920 A JP2020520920 A JP 2020520920A JP 2020520920 A JP2020520920 A JP 2020520920A JP 7074188 B2 JP7074188 B2 JP 7074188B2
- Authority
- JP
- Japan
- Prior art keywords
- measurement target
- cyber attack
- simulated
- ability
- measuring device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、セキュリティ対処能力測定システム、能力測定装置、模擬サイバー攻撃装置、能力測定方法、模擬サイバー攻撃方法及びプログラムに関する。
昨今、ICT(Information and Communication Technology)機器やIoT(Internet of Things)機器に対する不正な指令を与えるサイバー攻撃が社会問題となっている。
こうしたサイバー攻撃による被害を抑止するためには、被害を受けることが想定されるICT機器、IoT機器を洗い出し、セキュリティシステムを適切に運用する事前対策の他、サイバー攻撃を受けた後のインシデント対応も求められる。
特許文献1に、ネットワークを模擬したシミュレーション環境または実物のネットワークなどの検査対象の脆弱性を検査することができるという脆弱性検査システムが開示されている。同文献によると、この脆弱性検査システムは、脆弱性の検査プランを作成する脆弱性検査計画用計算機と、前記作成した検査プランに従って検査対象に対して攻撃を加え、攻撃に対して検査対象がとった挙動をもとに検査結果を作成する脆弱性検査用計算機と、を有する。
特許文献2に、専門知識のないユーザであっても、実使用環境でのネットワーク・セキュリティを評価できるという攻撃耐性評価システムが開示されている。同文献によると、この攻撃耐性評価システムは、外部の機器と通信可能な画像形成装置と、ネットワークを介して前記画像形成装置と直接又は間接に接続されて通信する擬似攻撃実行サーバとを備える。そして、前記画像形成装置は、その画像形成装置の識別情報を含む擬似攻撃要求を前記擬似攻撃実行サーバに送る。前記擬似攻撃実行サーバは、前記擬似攻撃要求に応答して前記画像形成装置に対する擬似的な不正アクセス攻撃を実行し、実行した結果を前記画像形成装置に送信する。そして、前記画像形成装置は受領した結果を提示する。
National Institute of Standards and Technology、"Computer Security Incident Handling Guide(NIST SP 800-61 R2)"、[online]、[平成30年4月24日検索]、インターネット〈URL:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf〉
以下の分析は、本発明によって与えられたものである。非特許文献1によれば、インシデント対応のライフサイクルとして(1)準備、(2)検出・分析、(3)封印・根絶・復旧、(4)教訓の4フェーズが定義されている。このうち、(2)検出・分析では、ネットワークトラフィックから検出した攻撃ベクトルを分析し、その内容を文書化することが求められている。
さらに、非特許文献1では、上記インシデント対応を遂行するために、サイバー攻撃による被害が想定されるICT/IoT機器に対し、十分な能力を持ったスタッフを配備し、定期的に能力を測定し、また、訓練することが望ましいとされる(「3.2.4 Incident Analysis」等参照)。
この点、特許文献1がターゲットとしている「検査対象」は、ネットワークを模擬したシミュレーション環境または実物のネットワークであり、インシデント対応スタッフには向けられていない。特許文献2の発明も同様であり、評価の対象は画像形成装置であり、人的なインシデント対応体制の評価を志向するものとはなっていない。
本発明は、上記インシデントに対する対応を行う者等の能力(スキル)の測定方法の提供に貢献できるセキュリティ対処能力測定システム、方法及びプログラムを提供することを目的とする。
第1の視点によれば、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、を備える能力測定装置が提供される。
第2の視点によれば、セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルと、前記測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃部と、前記選択した測定対象と、前記模擬サイバー攻撃に用いる発信(送信元)IP(Internet Protocol)アドレスを、所定の能力測定装置に通知する通知部と、を備える模擬サイバー攻撃装置が提供される。
第3の視点によれば、上記した模擬サイバー攻撃装置と、上記した能力測定装置と、を含むセキュリティ対処能力測定システムが提供される。
第4の視点によれば、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録するステップと、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対するスキルを評価するステップと、を含む能力測定方法が提供される。本方法は、測定対象のサイバー攻撃に対処するスキルを評価する能力測定装置という、特定の機械に結びつけられている。
第5の視点によれば、セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛けるステップと、前記選択した測定対象と、前記模擬サイバー攻撃に用いる発信(送信元)IPアドレスを、所定の能力測定装置に通知するステップと、を含む模擬サイバー攻撃方法が提供される。本方法は、測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃装置という、特定の機械に結びつけられている。
第6の視点によれば、上記した模擬サイバー攻撃装置及び能力測定装置のそれぞれの機能を実現するためのプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジトリーな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
本発明によれば、上記インシデントに対する対応を行う者等の能力(スキル)の測定を実施することが可能となる。
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。
本発明は、その一実施形態において、図1に示すように、行動記録部101Aと、能力測定部102Aと、を備える能力測定装置100Aにて実現できる。より具体的には、行動記録部101Aは、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する。そして、能力測定部102Aは、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する。
例えば、行動記録部101Aは、測定対象として選択されたユーザAと模擬サイバー攻撃元との通信内容を記録する。そして、能力測定部102Aは、ユーザAが模擬サイバー攻撃元に対し探索行動を採っているか否かや、探索行動の内容に基づいて、ユーザAのサイバー攻撃に対処するスキルの程度を評価する。
以上のように、本発明の能力測定装置100Aによれば、インシデントに対する対応を行う者等の能力(スキル)を正確に把握することが可能となる。
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の構成を示す図である。図2を参照すると、測定対象300と、模擬サイバー攻撃装置200と、能力測定装置100とがネットワークを介して接続された構成が示されている。
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の構成を示す図である。図2を参照すると、測定対象300と、模擬サイバー攻撃装置200と、能力測定装置100とがネットワークを介して接続された構成が示されている。
測定対象300は、コンピュータを利用して模擬サイバー攻撃に対応する者やそのような機能を持った機器を示す(以下、これらを「測定対象者」と総称する)。測定対象者としては、例えば、企業内のインシデント対応の担当者や外部の専門家などのセキュリティアナリストと呼ばれる職務に従事する者や同様の機能を果たす機器などが想定される。また、別の視点において、測定対象者として、保護対象の情報システムに対する潜在的な攻撃者や過去にサイバー攻撃を行った者や機器を選択してもよい。
能力測定装置100は、模擬サイバー攻撃装置200と連携して動作して、測定対象300のサイバー攻撃に対処するスキルの程度を評価する。また、模擬サイバー攻撃装置200は、能力測定装置100にパケットキャプチャログを採取させるために、測定対象300に対し、模擬的なサイバー攻撃を実施する装置である。本実施形態のセキュリティ対処能力測定システムは、この能力測定装置100と、模擬サイバー攻撃装置200とを含んで構成される。
図3は、本発明の第1の実施形態の模擬サイバー攻撃装置200の構成を示す図である。図3を参照すると、発信IPアドレス記憶部201と、測定対象記憶部202と、測定対象管理部203と、模擬攻撃生成部204と、模擬攻撃パターン記憶部205と、測定対象300毎に生成される模擬攻撃部206とを含む構成が示されている。
発信IPアドレス記憶部201は、模擬サイバー攻撃装置200による模擬サイバー攻撃の際に発信元として使用するIPアドレスを記憶する。このIPアドレスは複数用意され、測定対象300から模擬のサイバー攻撃であることを悟られないように管理される。
図4は、本実施形態の模擬サイバー攻撃装置200の発信IPアドレス記憶部201に保持される情報の一例を示す図である。図4の例では、模擬サイバー攻撃の際に使用する模擬サイバー攻撃元を示すIPアドレスと、その状態とを対応付けたエントリを複数格納可能なテーブルを用いて、模擬サイバー攻撃の際に使用するIPアドレスを管理する構成が示されている。また、図4の例では、「状態」フィールドには、「使用中」と「未使用」の2状態が示されている。「使用中」状態は、そのIPアドレスが模擬サイバー攻撃に使用されている状態を示す。「未使用」状態は、そのIPアドレスが未使用にあり払い出し可能である状態を示す。
測定対象記憶部202は、模擬サイバー攻撃装置200による模擬サイバー攻撃の対象となる測定対象300の情報を記憶する。
図5は、本実施形態の模擬サイバー攻撃装置200の測定対象記憶部202に保持される情報の一例を示す図である。図5の例では、測定対象300のIPアドレスと、そのスコア情報とを対応付けたエントリを複数格納可能なテーブルを用いて、測定対象を管理する構成が示されている。なお、図5の例では、IPアドレスを用いて測定対象300を管理しているが、測定対象のドメイン名などを併せて管理してもよい。
また、図5の「スコア」フィールドは、その測定対象のサイバー攻撃に対処するスキルの評価値が格納されている。この値の有無により、測定対象300への模擬サイバー攻撃が実施済みであるか否かを識別することが可能となっている。もちろん、「スコア」に代えて、模擬サイバー攻撃が実施済みであることを示すフラグなどを設けて、測定対象300への模擬サイバー攻撃が実施済みであるか否かを識別するようにしてもよい。
測定対象管理部203は、新規の測定対象を受け取り、測定対象記憶部202に、「スコア」フィールドが「評価待ち」である新規のエントリを登録する動作を行う。例えば、新しくセキュリティアナリストが加わった場合、当該セキュリティアナリストが新規の測定対象として追加される。また、別の視点において、潜在的な攻撃者や過去にサイバー攻撃を行った者の情報がもたらされた場合に、これらの者を新規の測定対象として追加してもよい。
模擬攻撃パターン記憶部205は、測定対象300に仕掛ける模擬サイバー攻撃のパターンを記憶する。この模擬サイバー攻撃のパターンは、例えば、IDS(Intrusion Detection System)の性能評価のために用いられる各種の攻撃ツールを用いて作成することができる。これらの攻撃ツールとしては、Stick、snot、IDSwakeupなどが知られているが、その他の攻撃ツールを用いることもできる。
模擬攻撃生成部204は、所定のタイミングで、模擬攻撃部206を生成し、測定対象への模擬サイバー攻撃を実施する。より具体的には、模擬攻撃生成部204は、測定対象記憶部202と発信IPアドレス記憶部201とから、測定対象300と、未使用の発信IPアドレスとをそれぞれ選択する。そして、模擬攻撃生成部204は、模擬攻撃パターン記憶部205から任意の模擬攻撃パターンを読み出して、模擬攻撃部206を構成する。模擬攻撃生成部204は、模擬サイバー攻撃を実施した場合、その攻撃に使用した発信IPアドレスと測定対象300の組を能力測定装置100に通知する。
模擬攻撃部206は、模擬攻撃生成部204により選択された測定対象300とIPアドレスとの組み合わせをそれぞれ宛先、発信元として、指定された模擬攻撃パターンによる攻撃を行う。より具体的には、模擬攻撃部206は、指定された発信IPアドレスを発信元とし、指定された測定対象300を宛先とした模擬サイバー攻撃パケットを生成し、測定対象300に送信する動作を行う。
続いて、上記模擬サイバー攻撃装置200と連携して動作する能力測定装置100の構成について図面を参照して詳細に説明する。図6は、本発明の第1の実施形態の能力測定装置100の構成を示す図である。図6を参照すると、パケットキャプチャ部101と、行動記録部103と、発信IPアドレス記憶部106と、パケットキャプチャログ記憶部107と、能力測定部104と、シグネチャ記憶部108と、スコアテーブル記憶部109とを備えた構成が示されている。また、能力測定装置100は、測定対象300に探索行動を促すコンテンツを提示するためのコンテンツ配信部102と、コンテンツ記憶部105とを備えている。
発信IPアドレス記憶部106は、模擬サイバー攻撃装置200の発信IPアドレス記憶部201と同様に、模擬サイバー攻撃の実施に使用された発信IPアドレスを記憶する。
行動記録部103は、模擬サイバー攻撃装置200から模擬サイバー攻撃の実施に使用した発信IPアドレスを受信すると、発信IPアドレス記憶部106の該当発信IPアドレスを「使用中」に更新する。また、行動記録部103は、該当発信IPアドレスと、測定対象300間の通信をキャプチャするパケットキャプチャ部101を生成する。
パケットキャプチャ部101は、模擬攻撃部206による攻撃に対応して作成され、指定された発信IPアドレスと、測定対象300間の通信をキャプチャし、行動記録部103とコンテンツ配信部102に送る。
行動記録部103は、パケットキャプチャ部101から送られたパケットキャプチャデータをパケットキャプチャログ記憶部107に保存する。
パケットキャプチャログ記憶部107は、発信IPアドレスと、測定対象300間でやり取りされたパケットキャプチャデータを記憶する。図7は、実施形態の能力測定装置のパケットキャプチャログ記憶部に保持される情報の一例を示す図である。ここで例えば、IPアドレス172.19.0.2が測定対象300のIPアドレスであり、172.19.0.3が発信IPアドレスであったものとする。このとき、図7のNo.231、No.234~238のデータは、測定対象300が発信IPアドレスに送信したリクエストメッセージを示している。このうちの探索行動に当たるものが、後記するスキル評価の対象となる。
シグネチャ記憶部108は、スキル評価の際に加点の対象となる探索行動を表す通信内容を正規表現で表したシグネチャを記憶する。図8は、シグネチャ記憶部108に保持される情報の一例を示す図である。図8の例では、いくつかの探索行動の類型(種別)毎に、正規表現で表されたシグネチャが格納するテーブル(第2のテーブルに相当)が用いられている。
スコアテーブル記憶部109は、上記探索行動の類型毎にスキル評価の際に加点するスコアを定めたスコアテーブルを記憶する。図9は、スコアテーブル記憶部109に保持される情報の一例を示す図である。本発明のより望ましい形態において、このスコアはより高度な内容の探索行動に、より高いスコアが設定されていることが望ましい。
能力測定部104は、上記したパケットキャプチャログ記憶部107に記録されたパケットキャプチャログと、シグネチャ記憶部108に記憶されたシグネチャとを照合し、探査行動を表す通信内容を特定する。さらに、能力測定部104は、スコアテーブル記憶部109に記憶されたスコアテーブルを参照して、探索行動ごとのスコアを加算していき、測定対象300のサイバー攻撃に対処するスキルを表す評価値を計算する。
コンテンツ記憶部105は、測定対象300が、所定のサービスを提供するポート番号にて、前記模擬サイバー攻撃元に対し、コンテンツの要求等を行った場合、測定対象300に送信する模擬コンテンツを記憶する。例えば、HTTP(Hypertext Transfer Protocol)を用いてコンテンツ要求に対し返すコンテンツとして、html、jpeg、gif、torrentなどといったファイルのセットが用意される。もちろん、この模擬コンテンツとしては、想定されるサービス(ポート番号)の内容に応じたものが用意されることが好ましい。
そして、コンテンツ配信部102は、パケットキャプチャ部101から送られたパケットキャプチャデータに基づいて、測定対象300が、前記模擬サイバー攻撃元に対し、所定のポート番号にてコンテンツの要求等を行ったか否かを判定する。なお、ここでのポート番号としては、HTTPにて一般的に用いられる80、HTTPSにて一般的に用いられる443などが考えられる。もちろん、Internet Assigned Numbers Authority (IANA)において管理されているその他のポート番号をその判定対象に加えても良い。
前記判定の結果、測定対象300が、所定のポート番号にてコンテンツの要求等を行ったと判定した場合、コンテンツ配信部102は、模擬コンテンツを取り出して、測定対象300に送信する。この模擬コンテンツは、測定対象300にさらなる探索行動を誘引させるコンテンツであることが好ましい。このような模擬コンテンツとしては、WordPressというソフトウェアで作成されたブログ(ウェブログ)や閲覧者がページを更新できるコンテンツであるWikiページなどが想定される。
続いて、本実施形態の動作について図面を参照して詳細に説明する。はじめに、上記模擬サイバー攻撃装置200と、能力測定装置100とを組み合わせて構成されたセキュリティ対処能力測定システム全体の動作について図10を用いて説明する。
図10に示すとおり、所定の契機で、測定対象300に関するデータが、模擬サイバー攻撃装置200に入力される(測定対象データ)。模擬サイバー攻撃装置200は、所定の契機で、測定対象を選択し、測定対象300に欺瞞用の発信IPアドレスを用いて模擬サイバー攻撃を実施する。これと並行して、模擬サイバー攻撃装置200は、上記模擬サイバー攻撃に用いた発信IPアドレスと測定対象300の組み合わせを能力測定装置100に送信する(発信IPアドレスデータ)。能力測定装置100は、発信IPアドレスと測定対象300の組み合わせにて特定される通信をキャプチャし、探索行動がなされているか否かの観点でスキルの評価を行う(測定結果データ)。
続いて、図11、図12を参照して、上記模擬サイバー攻撃装置200及び能力測定装置100の動作について詳細に説明する。図11は、本発明の第1の実施形態の模擬サイバー攻撃装置200の動作を表した流れ図である。図11を参照すると、まず、模擬サイバー攻撃装置200は、外部から取得した測定対象のIPアドレスを測定対象記憶部202に格納する(ステップS001)。
次に、模擬サイバー攻撃装置200は、測定対象記憶部202に記憶されている測定対象を1つ選択して模擬サイバー攻撃を開始する(ステップS002)。まず、模擬サイバー攻撃装置200は、発信IPアドレス記憶部201から現在使用されていないIPアドレスを1つ読み込み、「使用中」状態に変更する(ステップS003)。
次に、模擬サイバー攻撃装置200は、模擬攻撃パターン記憶部205から模擬攻撃パターンをランダムに1つ読み込む(ステップS004)。
次に、模擬サイバー攻撃装置200は、模擬攻撃部206を生成し、測定対象への模擬攻撃の通信を開始する(ステップS005)。模擬サイバー攻撃装置200は、測定対象記憶部202に格納されている測定対象について上記ステップS002~S005の処理を反復して実施する(ステップS006)。
続いて、能力測定装置100の動作について説明する。図12は、本発明の第1の実施形態の能力測定装置100の動作を表した流れ図である。図12を参照すると、まず、能力測定装置100は、測定対象記憶部202に記憶されている発信IPアドレスのうち、模擬サイバー攻撃装置200から通知された発信IPアドレスを「使用中」に更新する(ステップS101)。
能力測定装置100は、発信IPアドレスと測定対象300のIPアドレスにて特定される通信をキャプチャするパケットキャプチャ部を生成し、パケットキャプチャを開始する(ステップS102)。
以降、能力測定装置100は、パケットキャプチャログ記憶部107に、キャプチャした通信内容を記録する(ステップS103)。
次に、能力測定装置100は、パケットキャプチャログ記憶部107に記録した通信内容と、シグネチャ記憶部108に記憶されているシグネチャとを照合する(ステップS104)。
次に、能力測定装置100は、スコアテーブル記憶部109のスコアテーブルを参照し、シグネチャと一致した探索行動を示す通信内容のスコアを特定する(ステップS105)。
次に、能力測定装置100は、探索行動を示す通信内容のスコアを集計して測定対象300のスキルを表す能力評価値として出力する(ステップS106)。
上記スキル評価と並行して、能力測定装置100は、測定対象300が所定のポート番号にて提供されるコンテンツを要求した場合、コンテンツ記憶部105から模擬コンテンツを取り出し、測定対象300に送信する(ステップS107)。
続いて、上記ステップS104~S106の能力測定装置100の動作について詳細に説明する。図13は、能力測定装置100の能力測定部104の動作を説明するための図である。図13に示したとおり、能力測定部104は、パケットキャプチャログ記憶部107に格納されたパケットキャプチャデータと、シグネチャと、スコアを用いて、測定対象のスキルを表す評価値を計算することになる。
例えば、図14の左側に示すパケットキャプチャデータが得られているものとする。能力測定部104は、図8に示すシグネチャと照合(パターンマッチング)を行う。図14の例では、上から8番目のデータ「GET /wp-content/debug.log HTTP/1.1 \r\n」が、デバッグログの探索行動を示すシグネチャ「wp-content/debug.log」と一致する。このとき、能力測定部104は、図9に示すスコアテーブルからデバッグログの探索行動に対応するスコア0.1を特定する。同様に、上から15番目のデータ「GET /wp-config.php.save HTTP/1.1 \r\n」が、ツール(WPscan)を用いた脆弱性の探索行動を示すシグネチャ「wp--config\.php\.save$」と一致する。このとき、能力測定部104は、図9に示すスコアテーブルからツール(WPscan)を用いた脆弱性の探索行動に対応するスコア1.1を特定する。この時点で、パケットキャプチャデータとシグネチャとの照合が完了した場合、測定対象のスキルを示すスコア(総合スコア)は1.2となる。なお、上記スコアの単位や重み付けはあくまで一例であり、例えば、標準的なセキュリティアナリストに求められるスキルを100とし、これに基づいて、探索行動に対するスコアを設定してもよい。
以上説明したように、本実施形態によれば、サイバー攻撃による被害が想定されるICT/IoT機器に配備されるセキュリティアナリストやセキュリティ装置の分析能力を測定することが可能となる。
また、上記した実施形態によれば、模擬のサイバー攻撃であることが察知されにくいように、発信IPアドレスを複数用意して、使用する構成が採用されている。このため、セキュリティアナリストが、外部との情報共有によって既知となっているIPアドレスであることを根拠に、模擬サイバー攻撃の通信を遮断することで、対処を止めてしまう可能性を極力減らすことができる。
また、上記した実施形態によれば、測定対象300が、所定のポート番号にてコンテンツの要求等を行ったと判定した場合、模擬コンテンツを返す構成を採用している。このため、測定対象300にさらなる探索行動を採ることを誘引することができ、一定以上のスキルを持つ測定対象についても、さらに高度なスキルを持つか否かの評価を行うことが可能となっている。
また、上記した実施形態によれば、企業内のインシデント対応の担当者や外部の専門家などのセキュリティアナリストと呼ばれる職務に従事する者や同様の機能を果たす機器などのスキルを測定することが可能となる。さらに、上記した実施形態によれば、測定対象として、保護対象の情報システムに対する潜在的な攻撃者や過去にサイバー攻撃を行った者や機器を追加することもできる。これにより、これらの者のスキルを評価し、インシデントを未然に防ぐためのセキュリティ対策に役立てることも可能となる。
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。また、以下の説明において、「A及び/又はB」は、A及びBの少なくともいずれかという意味で用いる。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。例えば、上記した実施形態では、能力測定装置100に模擬コンテンツの送信機能が備えられているものとして説明したが、模擬コンテンツの送信機能は別装置にて実現してもよい。また、上記した実施形態では、能力測定装置100と模擬サイバー攻撃装置200が別の機器として配置されている例を挙げて説明したが、能力測定装置100と模擬サイバー攻撃装置200とを統合した構成も採用可能である。
また、上記した実施形態では、主として測定対象が人である例を挙げて説明したが、測定対象300は、AI(Artificial Intelligence)等を用いてセキュリティアナリストと同様の探索行動を行うとされている各種のセキュリティ機器の性能の評価にも適用することが可能である。
また、上記した実施形態に示した手順は、模擬サイバー攻撃装置200や能力測定装置100として機能するコンピュータ(図15の9000)に、これらの装置としての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図15のCPU(Central Processing Unit)9010、通信インタフェース9020、メモリ9030、補助記憶装置9040を備える構成に例示される。すなわち、図15のCPU9010にて、行動記録プログラムや能力評価プログラムを実行し、その補助記憶装置9040等に保持された各計算パラメーターの更新処理を実施させればよい。
即ち、上記した実施形態に示した模擬サイバー攻撃装置や能力測定装置の各部(処理手段、機能)は、これらの装置に搭載されたプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点による能力測定装置参照)
[第2の形態]
上記した能力測定装置の能力測定部は、
前記探索行動の種別に対応するスコアを定めたテーブルを参照して、前記測定対象が採った探索行動のスコアを集計して、前記測定対象のサイバー攻撃に対処するスキルを評価する構成を採ることができる。
[第3の形態]
上記した能力測定装置の能力測定部は、
前記通信に含まれるメッセージから、前記測定対象が採った探索行動の種別を特定するための第2のテーブルを備えることが好ましい。
[第4の形態]
上記した能力測定装置は、さらに、
前記測定対象が、前記模擬サイバー攻撃元に対し、所定のポート番号にて、コンテンツの要求を行った場合、前記測定対象に所定の模擬コンテンツを送信するコンテンツ配信部を備えることが好ましい。
[第5の形態]
上記した模擬コンテンツは、前記測定対象に探索行動を誘引させるコンテンツであることが好ましい。
[第6の形態]
上記した能力測定装置の行動記録部は、所定の模擬サイバー攻撃装置からサイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元を表すIPアドレスを受け取る構成を採ることができる。
[第7の形態]
(上記第2の視点による模擬サイバー攻撃装置参照)
[第8の形態]
上記した模擬サイバー攻撃装置の模擬サイバー攻撃部は、予め用意したIPアドレスから前記模擬サイバー攻撃に用いる発信IPアドレスを選択して使用する構成を採ることができる。
[第9の形態]
(上記第3の視点によるセキュリティ対処能力測定システム参照)
[第10の形態]
(上記第4の視点による能力測定方法参照)
[第11の形態]
(上記第5の視点による模擬サイバー攻撃方法参照)
[第12の形態]
(上記第6の視点によるプログラム参照)
なお、上記第9~第12の形態は、第1、第2の形態と同様に、第2~第6、第8の形態にそれぞれ展開することが可能である。
[第1の形態]
(上記第1の視点による能力測定装置参照)
[第2の形態]
上記した能力測定装置の能力測定部は、
前記探索行動の種別に対応するスコアを定めたテーブルを参照して、前記測定対象が採った探索行動のスコアを集計して、前記測定対象のサイバー攻撃に対処するスキルを評価する構成を採ることができる。
[第3の形態]
上記した能力測定装置の能力測定部は、
前記通信に含まれるメッセージから、前記測定対象が採った探索行動の種別を特定するための第2のテーブルを備えることが好ましい。
[第4の形態]
上記した能力測定装置は、さらに、
前記測定対象が、前記模擬サイバー攻撃元に対し、所定のポート番号にて、コンテンツの要求を行った場合、前記測定対象に所定の模擬コンテンツを送信するコンテンツ配信部を備えることが好ましい。
[第5の形態]
上記した模擬コンテンツは、前記測定対象に探索行動を誘引させるコンテンツであることが好ましい。
[第6の形態]
上記した能力測定装置の行動記録部は、所定の模擬サイバー攻撃装置からサイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元を表すIPアドレスを受け取る構成を採ることができる。
[第7の形態]
(上記第2の視点による模擬サイバー攻撃装置参照)
[第8の形態]
上記した模擬サイバー攻撃装置の模擬サイバー攻撃部は、予め用意したIPアドレスから前記模擬サイバー攻撃に用いる発信IPアドレスを選択して使用する構成を採ることができる。
[第9の形態]
(上記第3の視点によるセキュリティ対処能力測定システム参照)
[第10の形態]
(上記第4の視点による能力測定方法参照)
[第11の形態]
(上記第5の視点による模擬サイバー攻撃方法参照)
[第12の形態]
(上記第6の視点によるプログラム参照)
なお、上記第9~第12の形態は、第1、第2の形態と同様に、第2~第6、第8の形態にそれぞれ展開することが可能である。
なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
100、100A 能力測定装置
101 パケットキャプチャ部
101A、103 行動記録部
102 コンテンツ配信部
102A、104 能力測定部
105 コンテンツ記憶部
106 発信IPアドレス記憶部
107 パケットキャプチャログ記憶部
108 シグネチャ記憶部
109 スコアテーブル記憶部
200 模擬サイバー攻撃装置
201 発信IPアドレス記憶部
202 測定対象記憶部
203 測定対象管理部
204 模擬攻撃生成部
205 模擬攻撃パターン記憶部
206 模擬攻撃部
300 測定対象
9000 コンピュータ
9010 CPU
9020 通信インタフェース
9030 メモリ
9040 補助記憶装置
101 パケットキャプチャ部
101A、103 行動記録部
102 コンテンツ配信部
102A、104 能力測定部
105 コンテンツ記憶部
106 発信IPアドレス記憶部
107 パケットキャプチャログ記憶部
108 シグネチャ記憶部
109 スコアテーブル記憶部
200 模擬サイバー攻撃装置
201 発信IPアドレス記憶部
202 測定対象記憶部
203 測定対象管理部
204 模擬攻撃生成部
205 模擬攻撃パターン記憶部
206 模擬攻撃部
300 測定対象
9000 コンピュータ
9010 CPU
9020 通信インタフェース
9030 メモリ
9040 補助記憶装置
Claims (13)
- サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、
前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、
を備える能力測定装置。 - 前記能力測定部は、
前記探索行動の種別に対応するスコアを定めたテーブルを参照して、前記測定対象が採った探索行動のスコアを集計して、前記測定対象のサイバー攻撃に対処するスキルを評価する請求項1の能力測定装置。 - 前記能力測定部は、
前記通信に含まれるメッセージから、前記測定対象が採った探索行動の種別を特定するための第2のテーブルを備える請求項2の能力測定装置。 - さらに、
前記測定対象が、前記模擬サイバー攻撃元に対し、所定のポート番号にて、コンテンツの要求を行った場合、前記測定対象に所定の模擬コンテンツを送信するコンテンツ配信部を備える請求項1から3いずれか一の能力測定装置。 - 前記所定の模擬コンテンツは、前記測定対象に探索行動を誘引させるコンテンツである請求項4の能力測定装置。
- 前記行動記録部は、所定の模擬サイバー攻撃装置からサイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元を表すIPアドレスを受け取る請求項1から5いずれか一の能力測定装置。
- セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルと、
前記測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃部と、
前記選択した測定対象と、前記模擬サイバー攻撃に用いる発信IPアドレスを、所定の能力測定装置に通知する通知部と、
を備える模擬サイバー攻撃装置と、
請求項1から6いずれか一の能力測定装置と、
を有するセキュリティ対処能力測定システム。 - 前記模擬サイバー攻撃部は、予め用意したIPアドレスから前記模擬サイバー攻撃に用いる発信IPアドレスを選択して使用する請求項7のセキュリティ対処能力測定システム。
- セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルと、前記測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃部と、前記選択した測定対象と、前記模擬サイバー攻撃に用いる送信元IPアドレスを、所定の能力測定装置に通知する通知部と、を備える模擬サイバー攻撃装置と、
サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、を備える能力測定装置と、
を含むセキュリティ対処能力測定システム。 - コンピュータに、
サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録するステップと、
前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価するステップと、
を実行させる能力測定方法。 - コンピュータに、請求項10の能力測定方法を実行させると共に、
セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛けるステップと、
前記選択した測定対象と、前記模擬サイバー攻撃に用いる送信元IPアドレスを、所定の能力測定装置に通知するステップと、
を含む模擬サイバー攻撃方法を実行させる、セキュリティ対処能力測定方法。 - コンピュータに、
サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する処理と、
前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する処理と、
を実行させるプログラム。 - コンピュータに、
セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける処理と、
前記選択した測定対象と、前記模擬サイバー攻撃に用いる送信元IPアドレスを、所定の能力測定装置に通知する処理と、
を実行させると共に、
請求項12に記載の処理を実行させる、プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2018/019772 WO2019224932A1 (ja) | 2018-05-23 | 2018-05-23 | セキュリティ対処能力測定システム、方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2019224932A1 JPWO2019224932A1 (ja) | 2021-06-10 |
| JP7074188B2 true JP7074188B2 (ja) | 2022-05-24 |
Family
ID=68616813
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020520920A Active JP7074188B2 (ja) | 2018-05-23 | 2018-05-23 | セキュリティ対処能力測定システム、方法及びプログラム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20210243219A1 (ja) |
| JP (1) | JP7074188B2 (ja) |
| DE (1) | DE112018007640T5 (ja) |
| WO (1) | WO2019224932A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11914719B1 (en) * | 2020-04-15 | 2024-02-27 | Wells Fargo Bank, N.A. | Systems and methods for cyberthreat-risk education and awareness |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013149063A (ja) | 2012-01-19 | 2013-08-01 | Nomura Research Institute Ltd | 標的型メール攻撃シミュレーションシステムおよび標的型メール攻撃シミュレーションプログラム |
| JP2016184264A (ja) | 2015-03-26 | 2016-10-20 | 富士通株式会社 | 評価方法、評価プログラム、及び評価装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8365246B2 (en) * | 2008-03-18 | 2013-01-29 | International Business Machines Corporation | Protecting confidential information on network sites based on security awareness |
| US20140157415A1 (en) * | 2012-12-05 | 2014-06-05 | Ut-Battelle, Llc | Information security analysis using game theory and simulation |
| US20180011918A1 (en) * | 2015-02-23 | 2018-01-11 | Grafton V. Mouen | Taxonomic categorization retrieval system |
| IL248241B (en) * | 2015-10-12 | 2020-04-30 | Verint Systems Ltd | A system and method for evaluating cyber security awareness |
| US10454971B2 (en) * | 2016-09-07 | 2019-10-22 | International Business Machines Corporation | Managing privileged system access based on risk assessment |
| IL252455B (en) * | 2017-05-23 | 2018-04-30 | Gabay Shai | A system and method for cyber training at the client's site |
| US10600335B1 (en) * | 2017-09-18 | 2020-03-24 | Architecture Technology Corporation | Adaptive team training evaluation system and method |
| US10679164B2 (en) * | 2017-12-01 | 2020-06-09 | KnowBe4, Inc. | Systems and methods for using artificial intelligence driven agent to automate assessment of organizational vulnerabilities |
| US11233821B2 (en) * | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| US10673876B2 (en) * | 2018-05-16 | 2020-06-02 | KnowBe4, Inc. | Systems and methods for determining individual and group risk scores |
-
2018
- 2018-05-23 JP JP2020520920A patent/JP7074188B2/ja active Active
- 2018-05-23 DE DE112018007640.7T patent/DE112018007640T5/de active Pending
- 2018-05-23 US US16/972,177 patent/US20210243219A1/en not_active Abandoned
- 2018-05-23 WO PCT/JP2018/019772 patent/WO2019224932A1/ja active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013149063A (ja) | 2012-01-19 | 2013-08-01 | Nomura Research Institute Ltd | 標的型メール攻撃シミュレーションシステムおよび標的型メール攻撃シミュレーションプログラム |
| JP2016184264A (ja) | 2015-03-26 | 2016-10-20 | 富士通株式会社 | 評価方法、評価プログラム、及び評価装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20210243219A1 (en) | 2021-08-05 |
| JPWO2019224932A1 (ja) | 2021-06-10 |
| WO2019224932A1 (ja) | 2019-11-28 |
| DE112018007640T5 (de) | 2021-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104704472B (zh) | 防止侧信道攻击的系统、方法和装置 | |
| ES2813065T3 (es) | Método y aparato para detectar seguridad utilizando un sistema operativo de Internet de la industria | |
| CN109559192A (zh) | 基于关联图谱的风险检测方法、装置、设备及存储介质 | |
| CN106484606A (zh) | 一种代码提交方法和设备 | |
| US10320828B1 (en) | Evaluation of security in a cyber simulator | |
| CN108920965A (zh) | 一种区块链存证方法及装置 | |
| CN106355092B (zh) | 用于优化反病毒测定的系统和方法 | |
| KR102061833B1 (ko) | 사이버 침해 사고 조사 장치 및 방법 | |
| CN110313147A (zh) | 数据处理方法、装置和系统 | |
| CN110035062A (zh) | 一种网络验伤方法及设备 | |
| US10412101B2 (en) | Detection device, detection method, and detection program | |
| CN110287701A (zh) | 一种恶意文件检测方法、装置、系统及相关组件 | |
| CN109298855A (zh) | 一种网络靶场管理系统及其实现方法、装置、存储介质 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| WO2017113948A1 (zh) | 一种实现样本分析的方法、装置及动态引擎设备 | |
| CN109120626A (zh) | 安全威胁处理方法、系统、安全感知服务器及存储介质 | |
| JP7074188B2 (ja) | セキュリティ対処能力測定システム、方法及びプログラム | |
| Ami et al. | Seven phrase penetration testing model | |
| Khan et al. | Development and design strategies of evidence collection framework in cloud environment | |
| US10965693B2 (en) | Method and system for detecting movement of malware and other potential threats | |
| JP5613000B2 (ja) | アプリケーション特性解析装置およびプログラム | |
| Zhang et al. | An empirical study of a vulnerability metric aggregation method | |
| KR101787267B1 (ko) | 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법 | |
| Albanese et al. | Computer-aided human centric cyber situation awareness | |
| JPWO2020065737A1 (ja) | 影響範囲推定装置、影響範囲推定方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201120 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220118 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220311 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220412 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220425 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7074188 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |