JP7105096B2 - 複数組織間の脅威情報共有システム及び方法 - Google Patents
複数組織間の脅威情報共有システム及び方法 Download PDFInfo
- Publication number
- JP7105096B2 JP7105096B2 JP2018080132A JP2018080132A JP7105096B2 JP 7105096 B2 JP7105096 B2 JP 7105096B2 JP 2018080132 A JP2018080132 A JP 2018080132A JP 2018080132 A JP2018080132 A JP 2018080132A JP 7105096 B2 JP7105096 B2 JP 7105096B2
- Authority
- JP
- Japan
- Prior art keywords
- evaluation
- attack
- information
- threat information
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、コンピュータやネットワークのセキュリティを脅かすセキュリティ脅威情報を複数の組織などの間で共有可能な複数組織間の脅威情報共有システム及び方法に関する。
様々なモノがネットワークにつながるデジタル化が進展する中、セキュリティ脅威に対する対応は益々重要度が高まっている。
係るセキュリティ脅威に対して、従来は、各セキュリティベンダが個別に観測したネット攻撃内容について、専門家のセキュリティアナリストによる手作業や自動的な脅威評価技術を用いて攻撃を分析し、各社の脅威情報(セキュリティインテリジェンス情報)を利用者に対してサービスとして提供し、対応している。
係るセキュリティ脅威に対して、従来は、各セキュリティベンダが個別に観測したネット攻撃内容について、専門家のセキュリティアナリストによる手作業や自動的な脅威評価技術を用いて攻撃を分析し、各社の脅威情報(セキュリティインテリジェンス情報)を利用者に対してサービスとして提供し、対応している。
また、セキュリティ脅威情報を複数の製品の間で共有するものとして、特表2010-521749号公報(特許文献1)、に記載された技術があり、また、組織を横断したグループなどの間で共有するものとして、特表2015-524585号公報(特許文献2)に記載された技術がある。 この特許文献1には、「企業セキュリティ環境内の複数のエンドポイント間でセキュリティ関連情報を共有可能にするセキュリティ関連情報共有モデルであって、エンドポイントに使用できるセキュリティ関連情報の意味抽象を使用して前記環境内のオブジェクトを説明するステップであって、前記意味抽象はi)タイプ別に分類され、ii)前記エンドポイントによって共通に使用可能であるステップと、公開及び同意モデルを使用するステップであって、その公開及び同意モデルによって、公開する側のエンドポイントは、同意する側のエンドポイントが同意する前記意味抽象を、前記意味抽象タイプに基づく同意に従って公開するステップを含む方法を使用しやすくすることを特徴とするモデル」という記載があり、 特許文献2には、「コンピュータによって実行される方法であって、セキュリティ・サービスが、クライアント・エンティティから成るグループを形成するための1つまたは複数のセキュア機構を提供するステップであって、各クライアント・エンティティは異なるセキュリティ組織に関連付けられている、ステップと、 前記セキュリティ・サービスが、前記グループ内のクライアント・エンティティのセキュリティ情報を前記グループ内の1つまたは複数の他のクライアント・エンティティと自動的に共有するステップと、を含むことを特徴とする方法。」という記載がある。
特許文献1及び特許文献2では、セキュリティ脅威情報を共有しているので、セキュリティ脅威への対処とセキュリティ分野の健全な発展に寄与することができるが、複数のセキュリティ組織、製品間でのセキュリティ脅威情報の共有に留まる。
つまり、上記従来技術を含め、現状、以下のような課題がある。
(1)攻撃を受けた企業が情報を共有するモチベーションとなるインセンティブが存在しない。
(2)企業は、契約先のセキュリティベンダから攻撃を観測したセキュリティ脅威情報の提供を受けることができるが、様々な攻撃情報を網羅するためには、複数のセキュリティベンダと契約し、脅威情報を購入する必要がある。
つまり、上記従来技術を含め、現状、以下のような課題がある。
(1)攻撃を受けた企業が情報を共有するモチベーションとなるインセンティブが存在しない。
(2)企業は、契約先のセキュリティベンダから攻撃を観測したセキュリティ脅威情報の提供を受けることができるが、様々な攻撃情報を網羅するためには、複数のセキュリティベンダと契約し、脅威情報を購入する必要がある。
そこで、本発明では、セキュリティ脅威情報の提供者のモチベーション向上につなげることができ、セキュリティ脅威情報の共有をスピーディに進めることができ、インシデント防止に貢献できる技術を提供することにある。
上記課題を解決するために、代表的な本発明の複数組織間の脅威情報共有システム及び方法の一つは、
セキュリティ脅威情報の報告を受付けるセキュリティ脅威情報受付手段と、
前記セキュリティ脅威情報受付手段により報告を受け付けた前記セキュリティ脅威情報を特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し保管する記憶手段と、
前記セキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する評価実施手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を情報購入者へ提供するセキュリティ脅威情報提供手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段と、
を有する複数組織間の脅威情報共有システムであって、
前記有用度の評価を実施する評価実施手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)~(6)の判定・評価指標の一つ以上、および以下の(7)の判定・評価指標からなる価値・評価部を含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する攻撃内容重要度価値・評価部
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する後続攻撃報告有無価値・評価部
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する攻撃内容確認可否価値・評価部
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する他の報告者によるアップデート有無価値・評価部
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される情報購入者による点数評価のフィードバック価値・評価部
前記評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能とする
ことを特徴とする。
セキュリティ脅威情報の報告を受付けるセキュリティ脅威情報受付手段と、
前記セキュリティ脅威情報受付手段により報告を受け付けた前記セキュリティ脅威情報を特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し保管する記憶手段と、
前記セキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する評価実施手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を情報購入者へ提供するセキュリティ脅威情報提供手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段と、
を有する複数組織間の脅威情報共有システムであって、
前記有用度の評価を実施する評価実施手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)~(6)の判定・評価指標の一つ以上、および以下の(7)の判定・評価指標からなる価値・評価部を含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する攻撃内容重要度価値・評価部
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する後続攻撃報告有無価値・評価部
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する攻撃内容確認可否価値・評価部
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する他の報告者によるアップデート有無価値・評価部
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される情報購入者による点数評価のフィードバック価値・評価部
前記評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能とする
ことを特徴とする。
本発明によれば、セキュリティ脅威情報の提供者のモチベーション向上につなげることができ、セキュリティ脅威情報の共有をスピーディに進めることができ、インシデント防止に貢献できる。
上記以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
上記以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
図1は、複数組織間の脅威情報共有システム3の構成例を示すブロック図である。
複数組織間の脅威情報共有システム3はサーバ30からなる。サーバ30は、脅威情報報告プラットフォーム31、記憶装置32、価値評価装置33、脅威情報提供プラットフォーム34、セキュリティアプライアンス設定ファイル自動生成装置35、を有する。
複数組織間の脅威情報共有システム3はサーバ30からなる。サーバ30は、脅威情報報告プラットフォーム31、記憶装置32、価値評価装置33、脅威情報提供プラットフォーム34、セキュリティアプライアンス設定ファイル自動生成装置35、を有する。
脅威情報報告プラットフォーム31は、攻撃観測者端末1から提供されるセキュリティ脅威情報(例えば、ランサムウェア、標的型メール攻撃、内部不正、ウェブサイト改善)の報告を受け付け、当該報告されたセキュリティ脅威情報を、特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し、記憶装置32のセキュリティ脅威情報データベースに保管する。その変換例としては、例えば、STIX言語、OpenIOCといった標準規格を利用するとよい。STIX言語(データに記録される内容は、例えば、「https://www.ipa.go.jp/security/vuln/STIX.htmlの2. STIX言語」に記載されている。
キュリティ脅威情報の報告は、特定のセキュリティ製品により生成された観測結果や、被害環境の調査により発見された痕跡から、攻撃を観測したセキュリティアナリストによりなされるものであり、攻撃観測者端末1を介して脅威情報報告プラットフォーム31に報告される。
価値評価装置33は、脅威情報に対する評価を行うものであり、演算装置(制御装置)331(図2参照)を含み、攻撃観測者端末1を介して報告されたセキュリティ脅威情報に対し、所望の評価関数f(x)を用いて、提供された脅威情報に対する有用度の評価を実施し、その結果を脅威情報提供プラットフォーム34へ出力する。
「評価関数」は、各「指標」を数値化するための関数と、数値化された各「指標」に重みづけした上で採点するための関数の2種類があり、以下のような考え方である。なお、算出のための以下の計算式は一例として提示しているものであり、他の計算方法も可能である。
「指標」数値化のための関数
攻撃の新規性を算出する関数をf1、同一攻撃の報告数をx1と置いて、以下のように表す。
[式1]
f1(x1) = 10 / (log2(x1)+1)
初めて報告された攻撃の場合は、以下のようになる。
[式2]
f1(1) = 10 / (log2(1)+1) = 10
同様に、複数回報告された攻撃の場合(きりが良い結果となるようx1=16)以下のようになる。
[式3]
f1(16) = 10 / (log2(16)+1) = 2
各「指標」に対して、同様にf1(x1), f2(x2), f3(x3), …, fN(xN)として数値化する。
数値化された指標がどの程度脅威情報の有用度に影響があるかに応じて重みw(w1, w2, w3, …, wN)を定義する。
これらの数値化した指標及び重みを用いて、脅威情報の有用度評価関数f(x)を以下のように表す。
[式4]
f(x) = f1(x1) × w1 + f2(x2) × w2 + f3(x3) × w3 + …fN(xN) × wN
有用度の評価は、例えば、以下の(1)~(7)に示す指標のうち一つ以上を用いて、攻撃観測者端末1から報告されるセキュリティ脅威情報に対する評価を行い、攻撃観測者端末1からの報告者(提供者)に対する報酬の算出に利用できるようにする。
セキュリティ脅威情報の各評価は、記憶装置32に記憶した各指標情報(攻撃元アドレス)例えば、攻撃元の新規性、攻撃手段の新規性、攻撃内容の重要度、同一手段による多組織に対する後続攻撃の報告有無、攻撃内容の確認が可能な資料を参照する。価値評価装置33の演算装置(制御装置)331は、内部に格納されたプログラムに従って、価値評価の処理を実行する。
「評価関数」は、各「指標」を数値化するための関数と、数値化された各「指標」に重みづけした上で採点するための関数の2種類があり、以下のような考え方である。なお、算出のための以下の計算式は一例として提示しているものであり、他の計算方法も可能である。
「指標」数値化のための関数
攻撃の新規性を算出する関数をf1、同一攻撃の報告数をx1と置いて、以下のように表す。
[式1]
f1(x1) = 10 / (log2(x1)+1)
初めて報告された攻撃の場合は、以下のようになる。
[式2]
f1(1) = 10 / (log2(1)+1) = 10
同様に、複数回報告された攻撃の場合(きりが良い結果となるようx1=16)以下のようになる。
[式3]
f1(16) = 10 / (log2(16)+1) = 2
各「指標」に対して、同様にf1(x1), f2(x2), f3(x3), …, fN(xN)として数値化する。
数値化された指標がどの程度脅威情報の有用度に影響があるかに応じて重みw(w1, w2, w3, …, wN)を定義する。
これらの数値化した指標及び重みを用いて、脅威情報の有用度評価関数f(x)を以下のように表す。
[式4]
f(x) = f1(x1) × w1 + f2(x2) × w2 + f3(x3) × w3 + …fN(xN) × wN
有用度の評価は、例えば、以下の(1)~(7)に示す指標のうち一つ以上を用いて、攻撃観測者端末1から報告されるセキュリティ脅威情報に対する評価を行い、攻撃観測者端末1からの報告者(提供者)に対する報酬の算出に利用できるようにする。
セキュリティ脅威情報の各評価は、記憶装置32に記憶した各指標情報(攻撃元アドレス)例えば、攻撃元の新規性、攻撃手段の新規性、攻撃内容の重要度、同一手段による多組織に対する後続攻撃の報告有無、攻撃内容の確認が可能な資料を参照する。価値評価装置33の演算装置(制御装置)331は、内部に格納されたプログラムに従って、価値評価の処理を実行する。
(1)攻撃元の新規性:
攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを評価する。既に報告されていない場合は、評価価値を高くする。
攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを評価する。既に報告されていない場合は、評価価値を高くする。
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段(攻撃に用いられたマルウェア(malware)、攻撃に利用された正規のソフトウェアやハードウェアに存在する脆弱性、など)が用いられているかを評価する。マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどである。報告されていない攻撃手段が用いられた場合は、評価価値を高くする。
これまでに報告されていない攻撃手段(攻撃に用いられたマルウェア(malware)、攻撃に利用された正規のソフトウェアやハードウェアに存在する脆弱性、など)が用いられているかを評価する。マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどである。報告されていない攻撃手段が用いられた場合は、評価価値を高くする。
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか評価する。攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高くする。
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか評価する。攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高くする。
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたかを評価する。同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高くする。
同一の手法を用いて他の組織にも攻撃が行われたかを評価する。同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高くする。
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェアのハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか評価する。攻撃内容の確認可能な情報が含まれる場合は、評価価値を高くする。
攻撃時に発生したログや、マルウェアのハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか評価する。攻撃内容の確認可能な情報が含まれる場合は、評価価値を高くする。
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を評価する。他の報告者からのアップデートが無い場合は、評価価値を高くする。
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を評価する。他の報告者からのアップデートが無い場合は、評価価値を高くする。
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックの評価点数を評価する。フィードバックの評価点数が高い場合は、評価価値を高くする。
情報購入者による役に立ったかのフィードバックの評価点数を評価する。フィードバックの評価点数が高い場合は、評価価値を高くする。
これらの評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象、利用者からのフィードバックを踏まえて随時更新される。
脅威情報提供プラットフォーム34は、セキュリティアナリストにより報告され、価値評価装置33にて評価されたセキュリティ脅威情報を情報購入者端末2へ提供する。
セキュリティアプライアンス設定ファイル自動生成装置35は、図3に示すように特定セキュリティアプライアンス製品向け設定ファイルを生成する設定ファイル生成部351と、特定セキュリティアプライアンス製品向けコマンドを生成するコマンド生成部352を含む。そして、セキュリティアナリストにより報告され、価値評価装置33にて評価されたセキュリティ脅威情報を受信し、当該セキュリティ脅威情報を用いて、所定の手法により、セキュリティアプライアンス向けの設定情報を含む設定ファイル及びコマンドを自動生成し、当該設定ファイル及びコマンドをセキュリティアプライアンスへ出力する機能を有する。セキュリティアプライアンスとは、セキュリティ機能に特化した機器である。
すなわち、セキュリティアプライアンス設定ファイル自動生成装置35は、脅威情報提供プラットフォーム34からの情報をもとに、特定のセキュリティアプライアンス製品(ファイアウォール、VPNゲートウェイ、IDS/IPS、アンチウイルス等)向けの設定に用いる情報、つまり、設定ファイル、設定コマンドを自動的に生成する。この情報を用いて、チェック・ポイントのセキュリティアプライアンスの設定を更新することを可能とする。
具体例を挙げて説明すれば、マルウェアを配布しているIPアドレスの脅威情報を受け取った際、ファイアウォール等のセキュリティアプライアンスで、当該IPアドレスとの通信を行わないようブラックリストに登録するといった動作が考えられる。設定方法としては、コンピュータプログラムとして設定変更の命令が可能なインタフェースを呼び出す、設定内容が記録されたテキスト形式の設定ファイルを生成し、そのファイルをセキュリティアプライアンスに読み込ませて設定変更を行うといった手段がある。
具体例を挙げて説明すれば、マルウェアを配布しているIPアドレスの脅威情報を受け取った際、ファイアウォール等のセキュリティアプライアンスで、当該IPアドレスとの通信を行わないようブラックリストに登録するといった動作が考えられる。設定方法としては、コンピュータプログラムとして設定変更の命令が可能なインタフェースを呼び出す、設定内容が記録されたテキスト形式の設定ファイルを生成し、そのファイルをセキュリティアプライアンスに読み込ませて設定変更を行うといった手段がある。
図2は、図1の脅威情報の価値評価装置33における演算装置(制御装置)331の処理手順の実施の形態を示すフローチャートである。
図2のフローチャートに基づく動作は以下のとおりである。
図2のフローチャートに基づく動作は以下のとおりである。
ステップS3311:価値評価装置33における演算装置(制御装置)331は、まず、脅威情報報告プラットフォームからセキュリティ脅威情報を取得し、記憶装置32に記憶し、保管する。
ステップS3312:演算装置(制御装置)331、取得したセキュリティ脅威情報から記憶装置の攻撃元特定情報を検索し、攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを評価する。
ステップS3313:演算装置(制御装置)331、記憶装置32の攻撃手段報告情報を検索し、これまでに報告されていない攻撃手段が用いられているかを評価する。
ステップS3314:演算装置(制御装置)331、記憶装置32の「重要度評価情報を検索し、攻撃内容が組織内・組織外にどの程度の影響をもたらすものか評価する。
ステップS:3314演算装置(制御装置)331、記憶装置の後続攻撃報告有無情報を検索し、同一の手法を用いて他の組織にも攻撃が行われたか評価する。
ステップS3315:演算装置(制御装置)331、記憶装置32の攻撃内容確認情報を検索し、攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか評価する。
ステップS3316:演算装置(制御装置)331、記憶装置32のセキュリティ脅威情報を検索し、提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を評価する。
ステップS3317:演算装置(制御装置)331、記憶装置32のセキュリティ脅威情報を検索し、情報購入者による役に立ったかのフィードバックを評価する。
以上述べた実施例によれば、報告されたセキュリティ脅威情報を評価し、評価結果を用いて脅威情報報告者(提供者)の報酬に結び付けることができ、それに対する価値で報酬を支払うことができる。その結果として、提供者のセキュリティ脅威情報の共有に対するモチベーション向上につなげることができ、早期セキュア情報の共有、インシデント防止に貢献できる。
なお、本発明は、上述した実施例に限定されるものではなく、本発明に開示される技術的思考の範囲内において当業者による様々な変更および修正が可能であり、様々な変形例が含まれる。また、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
1 攻撃観測者端末
2 情報購入者端末
3 脅威情報共有システム(サーバ)
31 脅威情報報告プラットフォーム
32 記憶装置(セキュリティ脅威情報データベース、他)
33 価値評価装置
331 演算装置(制御装置)
34 脅威情報提供プラットフォーム
35 セキュリティアプライアンス設定ファイル自動生成装置
4 セキュリティアプライアンス
2 情報購入者端末
3 脅威情報共有システム(サーバ)
31 脅威情報報告プラットフォーム
32 記憶装置(セキュリティ脅威情報データベース、他)
33 価値評価装置
331 演算装置(制御装置)
34 脅威情報提供プラットフォーム
35 セキュリティアプライアンス設定ファイル自動生成装置
4 セキュリティアプライアンス
Claims (4)
- セキュリティ脅威情報の報告を受付けるセキュリティ脅威情報受付手段と、
前記セキュリティ脅威情報受付手段により報告を受け付けた前記セキュリティ脅威情報を特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し保管する記憶手段と、
前記セキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する評価実施手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を情報購入者へ提供するセキュリティ脅威情報提供手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段と、
を有する 複数組織間の脅威情報共有システムであって、
前記有用度の評価を実施する評価実施手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)~(6)の判定・評価指標の一つ以上、および以下の(7)の判定・評価指標からなる価値・評価部を含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する攻撃内容重要度価値・評価部
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する後続攻撃報告有無価値・評価部
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する攻撃内容確認可否価値・評価部
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する他の報告者によるアップデート有無価値・評価部
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される情報購入者による点数評価のフィードバック価値・評価部
前記評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能とする
ことを特徴とする複数組織間の脅威情報共有システム。 - 請求項1に記載された複数組織間の脅威情報共有システムにおいて、
前記セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段は、前記セキュリティ脅威情報をもとに、特定セキュリティアプライアンス製品向け設定情報である設定ファイル及び設定コマンドを生成し、チェック・ポイントのセキュリティアプライアンスの設定を更新する生成部を含む、
ことを特徴とする複数組織間の脅威情報共有システム。 - セキュリティ脅威情報の報告を受付けるステップと、
前記セキュリティ脅威情報の報告を受付けるステップにより報告を受け付けたセキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施するステップと、
前記有用度の評価を実施するステップにより評価された前記セキュリティ脅威情報を情報購入者へ提供するステップと、
前記有用度の評価を実施するステップにより評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力するステップと、
を有する複数組織間の脅威情報共有システムにおける方法であって、
前記有用度の評価を実施するステップは、前記セキュリティ脅威情報の価値を評価し、以下(1)~(6)の価値・評価指標の一つ以上、および以下の(7)の価値・評価指標からなる価値・評価ステップを含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する価値・評価ステップ
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する価値・評価ステップ
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する価値・評価ステップ
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する価値・評価ステップ
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する価値・評価ステップ
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する価値・評価ステップ
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される価値・評価ステップ
前記価値・評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能と する
ことを特徴とする複数組織間の脅威情報共有システムにおける方法。 - 請求項3に記載された複数組織間の脅威情報共有システムにおける方法において、
前記セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力するステップは、前記セキュリティ脅威情報をもとに、特定セキュリティアプライアンス製品向け設定情報である設定ファイル及び設定コマンドを生成し、チェック・ポイントのセキュリティアプライアンスの設定を更新するステップを含む、
ことを特徴とする複数組織間の脅威情報共有システムにおける方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018080132A JP7105096B2 (ja) | 2018-04-18 | 2018-04-18 | 複数組織間の脅威情報共有システム及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018080132A JP7105096B2 (ja) | 2018-04-18 | 2018-04-18 | 複数組織間の脅威情報共有システム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019191657A JP2019191657A (ja) | 2019-10-31 |
| JP7105096B2 true JP7105096B2 (ja) | 2022-07-22 |
Family
ID=68387831
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018080132A Active JP7105096B2 (ja) | 2018-04-18 | 2018-04-18 | 複数組織間の脅威情報共有システム及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7105096B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112785248B (zh) * | 2020-12-30 | 2024-02-20 | 金蝶软件(中国)有限公司 | 人力资源数据跨组织交互方法、装置、设备和存储介质 |
| JP2022180094A (ja) * | 2021-05-24 | 2022-12-06 | 株式会社日立製作所 | 計算機システム及びサイバーセキュリティ情報の評価方法 |
| JP2023010181A (ja) | 2021-07-09 | 2023-01-20 | 株式会社日立製作所 | 情報管理システム、情報管理方法、及び情報共有システム |
| WO2023112493A1 (ja) | 2021-12-17 | 2023-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 脅威情報展開システム、脅威情報展開方法およびプログラム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140007238A1 (en) | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| JP2014174678A (ja) | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
| US20170142147A1 (en) | 2014-04-18 | 2017-05-18 | Hewlett Packard Enterprise Development Lp | Rating threat submitter |
| JP2017162243A (ja) | 2016-03-10 | 2017-09-14 | 株式会社日立製作所 | 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 |
| JP2017167695A (ja) | 2016-03-15 | 2017-09-21 | 三菱電機株式会社 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
| JP2018508918A (ja) | 2015-01-30 | 2018-03-29 | アノマリ インコーポレイテッド | スペースおよび時間効率のよい脅威検知 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9338175B1 (en) * | 2014-11-24 | 2016-05-10 | At&T Intellectual Property I, L.P. | Methods and systems for providing comprehensive cyber-security protection using an open application programming interface based platform solution |
-
2018
- 2018-04-18 JP JP2018080132A patent/JP7105096B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140007238A1 (en) | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
| JP2014174678A (ja) | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
| US20170142147A1 (en) | 2014-04-18 | 2017-05-18 | Hewlett Packard Enterprise Development Lp | Rating threat submitter |
| JP2018508918A (ja) | 2015-01-30 | 2018-03-29 | アノマリ インコーポレイテッド | スペースおよび時間効率のよい脅威検知 |
| JP2017162243A (ja) | 2016-03-10 | 2017-09-14 | 株式会社日立製作所 | 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 |
| JP2017167695A (ja) | 2016-03-15 | 2017-09-21 | 三菱電機株式会社 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019191657A (ja) | 2019-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| de Gusmão et al. | Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory | |
| US20230229772A1 (en) | Methods and apparatus for using machine learning on multiple file fragments to identify malware | |
| US11265350B2 (en) | Cyber risk analysis and remediation using network monitored sensors and methods of use | |
| US11743294B2 (en) | Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior | |
| US11032312B2 (en) | Programmatic discovery, retrieval, and analysis of communications to identify abnormal communication activity | |
| US11222111B2 (en) | Techniques for sharing network security event information | |
| US20200311630A1 (en) | Adaptive enterprise risk evaluation | |
| US20220278997A1 (en) | Multistage analysis of emails to identify security threats | |
| JP7105096B2 (ja) | 複数組織間の脅威情報共有システム及び方法 | |
| Kara et al. | The rise of ransomware: Forensic analysis for windows based ransomware attacks | |
| US9015846B2 (en) | Information system security based on threat vectors | |
| JP5702470B2 (ja) | リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム | |
| US8332947B1 (en) | Security threat reporting in light of local security tools | |
| US11960604B2 (en) | Online assets continuous monitoring and protection | |
| CN117769706A (zh) | 在网络中自动检测和解析网络安全的网络风险治理系统及方法 | |
| WO2016109608A1 (en) | System for cyber insurance policy including cyber risk assessment/management service | |
| US20240333753A1 (en) | Security model utilizing multi-channel data with vulnerability remediation circuitry | |
| Tierney | Knowledge discovery in cyber vulnerability databases | |
| Kielland | Information Security Performance Evaluation: Building a security metrics library and visualization dashboard | |
| Caramancion et al. | Cyber Third-Party Risk Management: A Comparison of Non-Intrusive Risk Scoring Reports | |
| JP2010287118A (ja) | Webサイトセキュリティ情報表示システム | |
| Mazareanu | Advantages of using a dynamic risk management approach | |
| Dambra | Data-driven risk quantification for proactive security | |
| Axelrod et al. | Actionable security intelligence from big, midsize and small data | |
| Keskin et al. | Cyber Third-Party Risk Management: A Comparison of Non-Intrusive Risk Scoring Reports. Electronics 2021, 10, 1168 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210416 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220128 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220308 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220502 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220614 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220711 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7105096 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |