JP7105096B2 - 複数組織間の脅威情報共有システム及び方法 - Google Patents
複数組織間の脅威情報共有システム及び方法 Download PDFInfo
- Publication number
- JP7105096B2 JP7105096B2 JP2018080132A JP2018080132A JP7105096B2 JP 7105096 B2 JP7105096 B2 JP 7105096B2 JP 2018080132 A JP2018080132 A JP 2018080132A JP 2018080132 A JP2018080132 A JP 2018080132A JP 7105096 B2 JP7105096 B2 JP 7105096B2
- Authority
- JP
- Japan
- Prior art keywords
- evaluation
- attack
- information
- threat information
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
係るセキュリティ脅威に対して、従来は、各セキュリティベンダが個別に観測したネット攻撃内容について、専門家のセキュリティアナリストによる手作業や自動的な脅威評価技術を用いて攻撃を分析し、各社の脅威情報(セキュリティインテリジェンス情報)を利用者に対してサービスとして提供し、対応している。
つまり、上記従来技術を含め、現状、以下のような課題がある。
(1)攻撃を受けた企業が情報を共有するモチベーションとなるインセンティブが存在しない。
(2)企業は、契約先のセキュリティベンダから攻撃を観測したセキュリティ脅威情報の提供を受けることができるが、様々な攻撃情報を網羅するためには、複数のセキュリティベンダと契約し、脅威情報を購入する必要がある。
セキュリティ脅威情報の報告を受付けるセキュリティ脅威情報受付手段と、
前記セキュリティ脅威情報受付手段により報告を受け付けた前記セキュリティ脅威情報を特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し保管する記憶手段と、
前記セキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する評価実施手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を情報購入者へ提供するセキュリティ脅威情報提供手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段と、
を有する複数組織間の脅威情報共有システムであって、
前記有用度の評価を実施する評価実施手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)~(6)の判定・評価指標の一つ以上、および以下の(7)の判定・評価指標からなる価値・評価部を含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する攻撃内容重要度価値・評価部
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する後続攻撃報告有無価値・評価部
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する攻撃内容確認可否価値・評価部
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する他の報告者によるアップデート有無価値・評価部
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される情報購入者による点数評価のフィードバック価値・評価部
前記評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能とする
ことを特徴とする。
上記以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
複数組織間の脅威情報共有システム3はサーバ30からなる。サーバ30は、脅威情報報告プラットフォーム31、記憶装置32、価値評価装置33、脅威情報提供プラットフォーム34、セキュリティアプライアンス設定ファイル自動生成装置35、を有する。
「評価関数」は、各「指標」を数値化するための関数と、数値化された各「指標」に重みづけした上で採点するための関数の2種類があり、以下のような考え方である。なお、算出のための以下の計算式は一例として提示しているものであり、他の計算方法も可能である。
「指標」数値化のための関数
攻撃の新規性を算出する関数をf1、同一攻撃の報告数をx1と置いて、以下のように表す。
[式1]
f1(x1) = 10 / (log2(x1)+1)
初めて報告された攻撃の場合は、以下のようになる。
[式2]
f1(1) = 10 / (log2(1)+1) = 10
同様に、複数回報告された攻撃の場合(きりが良い結果となるようx1=16)以下のようになる。
[式3]
f1(16) = 10 / (log2(16)+1) = 2
各「指標」に対して、同様にf1(x1), f2(x2), f3(x3), …, fN(xN)として数値化する。
数値化された指標がどの程度脅威情報の有用度に影響があるかに応じて重みw(w1, w2, w3, …, wN)を定義する。
これらの数値化した指標及び重みを用いて、脅威情報の有用度評価関数f(x)を以下のように表す。
[式4]
f(x) = f1(x1) × w1 + f2(x2) × w2 + f3(x3) × w3 + …fN(xN) × wN
有用度の評価は、例えば、以下の(1)~(7)に示す指標のうち一つ以上を用いて、攻撃観測者端末1から報告されるセキュリティ脅威情報に対する評価を行い、攻撃観測者端末1からの報告者(提供者)に対する報酬の算出に利用できるようにする。
セキュリティ脅威情報の各評価は、記憶装置32に記憶した各指標情報(攻撃元アドレス)例えば、攻撃元の新規性、攻撃手段の新規性、攻撃内容の重要度、同一手段による多組織に対する後続攻撃の報告有無、攻撃内容の確認が可能な資料を参照する。価値評価装置33の演算装置(制御装置)331は、内部に格納されたプログラムに従って、価値評価の処理を実行する。
攻撃元を特定できる情報、例えば、IPアドレス、メールアドレス等が、他の攻撃で既に報告されているかを評価する。既に報告されていない場合は、評価価値を高くする。
これまでに報告されていない攻撃手段(攻撃に用いられたマルウェア(malware)、攻撃に利用された正規のソフトウェアやハードウェアに存在する脆弱性、など)が用いられているかを評価する。マルウェアとは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称で、コンピュータウイルスやワームなどである。報告されていない攻撃手段が用いられた場合は、評価価値を高くする。
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか評価する。攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高くする。
同一の手法を用いて他の組織にも攻撃が行われたかを評価する。同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高くする。
攻撃時に発生したログや、マルウェアのハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか評価する。攻撃内容の確認可能な情報が含まれる場合は、評価価値を高くする。
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を評価する。他の報告者からのアップデートが無い場合は、評価価値を高くする。
情報購入者による役に立ったかのフィードバックの評価点数を評価する。フィードバックの評価点数が高い場合は、評価価値を高くする。
具体例を挙げて説明すれば、マルウェアを配布しているIPアドレスの脅威情報を受け取った際、ファイアウォール等のセキュリティアプライアンスで、当該IPアドレスとの通信を行わないようブラックリストに登録するといった動作が考えられる。設定方法としては、コンピュータプログラムとして設定変更の命令が可能なインタフェースを呼び出す、設定内容が記録されたテキスト形式の設定ファイルを生成し、そのファイルをセキュリティアプライアンスに読み込ませて設定変更を行うといった手段がある。
図2のフローチャートに基づく動作は以下のとおりである。
2 情報購入者端末
3 脅威情報共有システム(サーバ)
31 脅威情報報告プラットフォーム
32 記憶装置(セキュリティ脅威情報データベース、他)
33 価値評価装置
331 演算装置(制御装置)
34 脅威情報提供プラットフォーム
35 セキュリティアプライアンス設定ファイル自動生成装置
4 セキュリティアプライアンス
Claims (4)
- セキュリティ脅威情報の報告を受付けるセキュリティ脅威情報受付手段と、
前記セキュリティ脅威情報受付手段により報告を受け付けた前記セキュリティ脅威情報を特定の製品に依存するフォーマットから汎用化されたセキュリティ脅威情報へ変換し保管する記憶手段と、
前記セキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施する評価実施手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を情報購入者へ提供するセキュリティ脅威情報提供手段と、
前記有用度の評価を実施する評価実施手段により評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段と、
を有する 複数組織間の脅威情報共有システムであって、
前記有用度の評価を実施する評価実施手段は、前記セキュリティ脅威情報の価値を評価する価値評価装置からなり、以下(1)~(6)の判定・評価指標の一つ以上、および以下の(7)の判定・評価指標からなる価値・評価部を含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する攻撃元新規性価値・評価部
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する攻撃内容重要度価値・評価部
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する後続攻撃報告有無価値・評価部
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する攻撃内容確認可否価値・評価部
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する他の報告者によるアップデート有無価値・評価部
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される情報購入者による点数評価のフィードバック価値・評価部
前記評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能とする
ことを特徴とする複数組織間の脅威情報共有システム。 - 請求項1に記載された複数組織間の脅威情報共有システムにおいて、
前記セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力する出力手段は、前記セキュリティ脅威情報をもとに、特定セキュリティアプライアンス製品向け設定情報である設定ファイル及び設定コマンドを生成し、チェック・ポイントのセキュリティアプライアンスの設定を更新する生成部を含む、
ことを特徴とする複数組織間の脅威情報共有システム。 - セキュリティ脅威情報の報告を受付けるステップと、
前記セキュリティ脅威情報の報告を受付けるステップにより報告を受け付けたセキュリティ脅威情報に対し、評価関数を用いて有用度の評価を実施するステップと、
前記有用度の評価を実施するステップにより評価された前記セキュリティ脅威情報を情報購入者へ提供するステップと、
前記有用度の評価を実施するステップにより評価された前記セキュリティ脅威情報を用いて、セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力するステップと、
を有する複数組織間の脅威情報共有システムにおける方法であって、
前記有用度の評価を実施するステップは、前記セキュリティ脅威情報の価値を評価し、以下(1)~(6)の価値・評価指標の一つ以上、および以下の(7)の価値・評価指標からなる価値・評価ステップを含み、
(1)攻撃元の新規性:
攻撃元を特定できる情報が、他の攻撃で既に報告されているかを判定し、評価するものであって、既に評価されていない場合は、評価価値を高く評価する価値・評価ステップ
(2)攻撃手段の新規性:
これまでに報告されていない攻撃手段が用いられているかを判定し、評価するものであって、報告されていない攻撃手段が用いられていない場合は、評価価値を高く評価する価値・評価ステップ
(3)攻撃内容の重要度:
攻撃内容が組織内・組織外にどの程度の影響をもたらすものか判定し、評価するものであって、攻撃内容の確認可能な情報が含まれる場合は、評価価値を高く評価する価値・評価ステップ
(4)同一手段による多組織に対する後続攻撃の報告有無:
同一の手法を用いて他の組織にも攻撃が行われたか判定し、評価するものであって、同一の手法を用いて他の組織にも攻撃が行われている場合は、評価価値を高く評価する価値・評価ステップ
(5)攻撃内容の確認が可能な資料:
攻撃時に発生したログや、マルウェア(malware)のハッシュ値(hash values)、検体等、攻撃内容の確認可能な情報が含まれるか判定し、評価するものであって、攻撃内容が組織内・組織外に所定以上の影響をもたらす場合は、評価価値を高く評価する価値・評価ステップ
(6)他の報告者によるアップデート:
提供情報の不足や誤りに対する、他の報告者からのアップデートの有無を判定し、評価するものであって、他の報告者からのアップデートが無い場合は、評価価値を高く評価する価値・評価ステップ
(7)情報購入者による点数評価のフィードバック:
情報購入者による役に立ったかのフィードバックを判定し、評価するものであって、フィードバックを踏まえて随時更新される価値・評価ステップ
前記価値・評価は、セキュリティアナリストによる報告時の一時的なものに加え、その後、他の組織で観測・報告された関連する事象および利用者からのフィードバックを踏まえて随時、更新可能と する
ことを特徴とする複数組織間の脅威情報共有システムにおける方法。 - 請求項3に記載された複数組織間の脅威情報共有システムにおける方法において、
前記セキュリティアプライアンス向けの設定ファイルを自動的に生成し、出力するステップは、前記セキュリティ脅威情報をもとに、特定セキュリティアプライアンス製品向け設定情報である設定ファイル及び設定コマンドを生成し、チェック・ポイントのセキュリティアプライアンスの設定を更新するステップを含む、
ことを特徴とする複数組織間の脅威情報共有システムにおける方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018080132A JP7105096B2 (ja) | 2018-04-18 | 2018-04-18 | 複数組織間の脅威情報共有システム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018080132A JP7105096B2 (ja) | 2018-04-18 | 2018-04-18 | 複数組織間の脅威情報共有システム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019191657A JP2019191657A (ja) | 2019-10-31 |
JP7105096B2 true JP7105096B2 (ja) | 2022-07-22 |
Family
ID=68387831
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018080132A Active JP7105096B2 (ja) | 2018-04-18 | 2018-04-18 | 複数組織間の脅威情報共有システム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7105096B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112785248B (zh) * | 2020-12-30 | 2024-02-20 | 金蝶软件(中国)有限公司 | 人力资源数据跨组织交互方法、装置、设备和存储介质 |
JP2022180094A (ja) * | 2021-05-24 | 2022-12-06 | 株式会社日立製作所 | 計算機システム及びサイバーセキュリティ情報の評価方法 |
JP2023010181A (ja) | 2021-07-09 | 2023-01-20 | 株式会社日立製作所 | 情報管理システム、情報管理方法、及び情報共有システム |
WO2023112493A1 (ja) | 2021-12-17 | 2023-06-22 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 脅威情報展開システム、脅威情報展開方法およびプログラム |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140007238A1 (en) | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
JP2014174678A (ja) | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
US20170142147A1 (en) | 2014-04-18 | 2017-05-18 | Hewlett Packard Enterprise Development Lp | Rating threat submitter |
JP2017162243A (ja) | 2016-03-10 | 2017-09-14 | 株式会社日立製作所 | 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 |
JP2017167695A (ja) | 2016-03-15 | 2017-09-21 | 三菱電機株式会社 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
JP2018508918A (ja) | 2015-01-30 | 2018-03-29 | アノマリ インコーポレイテッド | スペースおよび時間効率のよい脅威検知 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9338175B1 (en) * | 2014-11-24 | 2016-05-10 | At&T Intellectual Property I, L.P. | Methods and systems for providing comprehensive cyber-security protection using an open application programming interface based platform solution |
-
2018
- 2018-04-18 JP JP2018080132A patent/JP7105096B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140007238A1 (en) | 2012-06-29 | 2014-01-02 | Vigilant Inc. | Collective Threat Intelligence Gathering System |
JP2014174678A (ja) | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
US20170142147A1 (en) | 2014-04-18 | 2017-05-18 | Hewlett Packard Enterprise Development Lp | Rating threat submitter |
JP2018508918A (ja) | 2015-01-30 | 2018-03-29 | アノマリ インコーポレイテッド | スペースおよび時間効率のよい脅威検知 |
JP2017162243A (ja) | 2016-03-10 | 2017-09-14 | 株式会社日立製作所 | 情報セキュリティシステム、サーバ装置、及び情報セキュリティ支援方法 |
JP2017167695A (ja) | 2016-03-15 | 2017-09-21 | 三菱電機株式会社 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP2019191657A (ja) | 2019-10-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
de Gusmão et al. | Cybersecurity risk analysis model using fault tree analysis and fuzzy decision theory | |
US20230229772A1 (en) | Methods and apparatus for using machine learning on multiple file fragments to identify malware | |
US11265350B2 (en) | Cyber risk analysis and remediation using network monitored sensors and methods of use | |
US11743294B2 (en) | Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior | |
US11032312B2 (en) | Programmatic discovery, retrieval, and analysis of communications to identify abnormal communication activity | |
US11222111B2 (en) | Techniques for sharing network security event information | |
US20200311630A1 (en) | Adaptive enterprise risk evaluation | |
US20220278997A1 (en) | Multistage analysis of emails to identify security threats | |
JP7105096B2 (ja) | 複数組織間の脅威情報共有システム及び方法 | |
Kara et al. | The rise of ransomware: Forensic analysis for windows based ransomware attacks | |
US9015846B2 (en) | Information system security based on threat vectors | |
JP5702470B2 (ja) | リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム | |
US8332947B1 (en) | Security threat reporting in light of local security tools | |
US11960604B2 (en) | Online assets continuous monitoring and protection | |
CN117769706A (zh) | 在网络中自动检测和解析网络安全的网络风险治理系统及方法 | |
WO2016109608A1 (en) | System for cyber insurance policy including cyber risk assessment/management service | |
US20240333753A1 (en) | Security model utilizing multi-channel data with vulnerability remediation circuitry | |
Tierney | Knowledge discovery in cyber vulnerability databases | |
Kielland | Information Security Performance Evaluation: Building a security metrics library and visualization dashboard | |
Caramancion et al. | Cyber Third-Party Risk Management: A Comparison of Non-Intrusive Risk Scoring Reports | |
JP2010287118A (ja) | Webサイトセキュリティ情報表示システム | |
Mazareanu | Advantages of using a dynamic risk management approach | |
Dambra | Data-driven risk quantification for proactive security | |
Axelrod et al. | Actionable security intelligence from big, midsize and small data | |
Keskin et al. | Cyber Third-Party Risk Management: A Comparison of Non-Intrusive Risk Scoring Reports. Electronics 2021, 10, 1168 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210416 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220128 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220308 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220502 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220614 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220711 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7105096 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |