JP7111249B2 - 分析システム、方法およびプログラム - Google Patents

分析システム、方法およびプログラム Download PDF

Info

Publication number
JP7111249B2
JP7111249B2 JP2021508199A JP2021508199A JP7111249B2 JP 7111249 B2 JP7111249 B2 JP 7111249B2 JP 2021508199 A JP2021508199 A JP 2021508199A JP 2021508199 A JP2021508199 A JP 2021508199A JP 7111249 B2 JP7111249 B2 JP 7111249B2
Authority
JP
Japan
Prior art keywords
attack
route
attack route
time information
display
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021508199A
Other languages
English (en)
Other versions
JPWO2020195229A1 (ja
Inventor
昇 長谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020195229A1 publication Critical patent/JPWO2020195229A1/ja
Application granted granted Critical
Publication of JP7111249B2 publication Critical patent/JP7111249B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、診断対象システムへの攻撃に対する対処に関する判断材料となる情報を表示する分析システム、分析方法および分析プログラムに関する。
複数のコンピュータ等を含む情報処理システムにおいて、情報資産をサイバー攻撃等から守るためのセキュリティ対策をとることが求められている。セキュリティ対策としては、対象となるシステムの脆弱性等を診断し、必要に応じて脆弱性を取り除くこと等が挙げられる。
特許文献1には、ネットワークに接続された各コンピュータからなるシステムを評価対象として、シミュレータによって、脆弱性の検査を擬似的に評価することが記載されている。
また、特許文献1には、クライアント/サーバの信頼性に基づく脆弱性の伝搬を評価することが記載されている。
特開2003-108521号公報
セキュリティ診断の対象となるシステムを、診断対象システムと記す。また、攻撃ルートは、診断対象システムにおいて、実行可能な攻撃の流れを示すものである。
セキュリティに関する対策をとるために、各脆弱性による影響を評価することが一般的である。
しかし、診断対象システムの構成は、診断対象システム毎にそれぞれ異なるので、脆弱性による影響の評価のみでは、攻撃による診断対象システムへの影響を把握することは困難である。
特に、複数の攻撃ルートが存在する場合に、セキュリティ管理者にとって、攻撃の広がりが分からず、対処すべき箇所の把握が難しい。
そこで、本発明は、攻撃による影響がどのように広がっていくかを分析可能な分析システム、分析方法および分析プログラムを提供することを目的とする。
本発明による分析システムは、診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定部と、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出する検出部と、各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する時間情報特定部と、ネットワークトポロジに重畳させて攻撃ルートをディスプレイ装置上に表示する表示制御部とを備え、表示制御部が、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートをディスプレイ装置上に表示し、表示制御部が、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルート上の機器の表示態様を時間経過に伴い変えることを特徴とする。
また、本発明による分析システムは、診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定部と、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出する検出部と、各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する時間情報特定部と、ネットワークトポロジに重畳させて攻撃ルートをディスプレイ装置上に表示する表示制御部とを備え、表示制御部が、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートをディスプレイ装置上に表示し、表示制御部が、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルートに沿った攻撃がどこまで進んだかを示す矢印を時間経過に伴い伸ばすようにして、各攻撃ルートを表示することを特徴とする。
また、本発明による分析システムは、診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定部と、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出する検出部と、各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する時間情報特定部と、ネットワークトポロジに重畳させて攻撃ルートをディスプレイ装置上に表示する表示制御部とを備え、表示制御部が、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートをディスプレイ装置上に表示し、表示制御部が、攻撃ルート毎に、攻撃ルート上のそれぞれの機器の1つ前の機器からそれぞれの機器までの区間を、それぞれの機器の時間情報に応じた態様でディスプレイ装置上に表示することを特徴とする。
本発明による分析方法は、コンピュータが、診断対象システムに含まれる機器のネットワークトポロジを特定し、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出し、各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定し、ネットワークトポロジに重畳させて攻撃ルートをディスプレイ装置上に表示し、攻撃ルートをディスプレイ装置上に表示するときに、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートをディスプレイ装置上に表示し、各攻撃ルートをディスプレイ装置上に表示するときに、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルート上の機器の表示態様を時間経過に伴い変えることを特徴とする分析方法。
また、本発明による分析方法は、コンピュータが、診断対象システムに含まれる機器のネットワークトポロジを特定し、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出し、各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定し、ネットワークトポロジに重畳させて攻撃ルートをディスプレイ装置上に表示し、攻撃ルートをディスプレイ装置上に表示するときに、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートをディスプレイ装置上に表示し、各攻撃ルートをディスプレイ装置上に表示するときに、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルートに沿った攻撃がどこまで進んだかを示す矢印を時間経過に伴い伸ばすようにして、各攻撃ルートを表示することを特徴とする。
本発明による分析プログラムは、コンピュータに、診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定処理、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出する検出処理、各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する時間情報特定処理、および、ネットワークトポロジに重畳させて攻撃ルートをディスプレイ装置上に表示する表示制御処理を実行させ、コンピュータに、表示制御処理で、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートをディスプレイ装置上に表示させ、コンピュータに、表示制御処理で、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルート上の機器の表示態様を時間経過に伴い変えさせることを特徴とする。また、本発明は、上記の分析プログラムを記録したコンピュータ読み取り可能な記録媒体であってもよい。
本発明によれば、攻撃による影響がどのように広がっていくかを分析することができる。
本発明の第1の実施形態の分析システムの例を示すブロック図である。 トポロジ特定部によって特定されるネットワークトポロジの例を示す模式図である。 「機器と攻撃状態との組合せ」の複数の遷移関係を示す情報の例を示す模式図である。 脆弱性の種類、あるいは、脆弱性の種類、機器および機器の設定に応じて予め定められた時間情報を格納したテーブルの例を示す模式図である。 ソフトウェアと脆弱性との対応関係を示す情報の例を示す模式図である。 時間経過に伴う表示の変化の例を示す模式図である。 時間経過に伴う表示の変化の例を示す模式図である。 時間経過に伴う表示の変化の例を示す模式図である。 これから矢印が伸びる部分を点線で表示する場合の表示例を示す模式図である。 時間経過に伴う表示の変化の例を示す模式図である。 時間経過に伴う表示の変化の例を示す模式図である。 時間経過に伴う表示の変化の例を示す模式図である。 第1の実施形態の分析システムの処理経過の例を示すフローチャートである。 第1の実施形態の変形例における各攻撃ルートの表示例を示す模式図である。 本発明の第2の実施形態の分析システムの例を示すブロック図である。 被害情報記憶部が記憶する情報の例を示す模式図である。 第2の実施形態における時間経過に伴う表示の変化の例を示す模式図である。 第2の実施形態における時間経過に伴う表示の変化の例を示す模式図である。 第2の実施形態における時間経過に伴う表示の変化の例を示す模式図である。 本発明の各実施形態の分析システムに係るコンピュータの構成例を示す概略ブロック図である。 本発明の分析システムの概要を示すブロック図である。
以下、本発明の実施形態を図面を参照して説明する。
実施形態1.
図1は、本発明の第1の実施形態の分析システムの例を示すブロック図である。第1の実施形態の分析システム1は、データ収集部2と、データ記憶部3と、トポロジ特定部4と、検出部5と、時間情報記憶部6と、時間情報特定部7と、表示制御部8と、ディスプレイ装置9とを備える。
本発明の各実施形態における分析システムは、診断対象システムを仮想化し、各機器の情報等に基づいてシミュレーションを行うことによって、診断対象システムの分析を行う分析システムを想定している。
データ収集部2は、診断対象システム(セキュリティ診断の対象となるシステム)に含まれる各機器に関する情報を収集する。
診断対象システムの例として、例えば、企業内のIT(Information Technology)システムや、工場やプラント等を制御するためのいわゆるOT(Operational Technology)システム等が挙げられる。ただし、診断対象システムは、これらのシステムに限られない。複数の機器が通信ネットワークを介して接続されたシステムが、診断対象システムとなり得る。
診断対象システムに含まれる各機器は、通信ネットワークを介して接続されている。診断対象システムに含まれる機器の例として、例えば、パーソナルコンピュータ、サーバ、スイッチ、ルータ、工場に設置される工作機器、工作機器の制御装置等が挙げられる。ただし、機器は、上記の例に限定されない。また、機器は、物理的な機器であっても、仮想的な機器であってもよい。
データ収集部2が収集する情報の例として、例えば、機器に搭載されているOS(Operating System)やそのバージョン情報、機器に搭載されているハードウェアの構成情報、機器に搭載されているソフトウェアやそのバージョン情報、機器が他の機器との間で授受する通信データやその通信データの授受に用いた通信プロトコルの情報、機器のポートの状態を示す情報(どのポートが開いているか)等が挙げられる。通信データには、その通信データの送信元や送信先の情報が含まれている。
データ収集部2は、さらに、機器に関する情報として、攻撃の波及に関連する情報を収集する。攻撃の波及に関連する情報の例として、パスワードの総当たり攻撃に関する情報が挙げられる。この情報は、認証時におけるロックアウト設定の有無、ロックアウトが設定されている場合のロックアウト期間、認証時における認証間隔設定の有無、認証間隔が設定されている場合の認証間隔、および、パスワードポリシ等を含む。
ロックアウト設定とは、認証時に所定回数、認証に失敗した場合に、一定期間、アカウント情報の受け付けを拒否する設定である。この一定期間を、ロックアウト期間と称する。ロックアウト期間の例として、例えば、数分から1時間程度等の期間が挙げられる。
また、認証間隔設定とは、1回認証に失敗した場合に、一定期間経過するまでアカウント情報を受け付けない設定である。この一定期間を、認証間隔と称する。認証間隔の例として、例えば、10秒程度の期間が挙げられる。
パスワードポリシとは、認証時に用いるパスワードに関する規定を定めた情報である。パスワードポリシによって定められるパスワードに関する規定の例として、パスワードの文字数が挙げられる。ただし、パスワードポリシが定める規定は文字数に限定されず、パスワードの文字数に加えて、他の規定が定められていてもよい。
データ収集部2が収集する情報の例は、上記の例に限定されず、データ収集部2は、機器に関する情報として、他の情報を収集してもよい。
データ収集部2は、診断対象システムに含まれる各機器から、直接、機器に関する情報を収集してもよい。この場合、分析システム1は、各機器と通信ネットワークを介して接続されていて、データ収集部2は、通信ネットワークを介して、各機器から情報を収集すればよい。
あるいは、データ収集部2は、各機器の情報を収集する情報収集サーバから、各機器に関する情報を取得してもよい。この場合、分析システム1は、情報収集サーバと通信ネットワークを介して接続されていて、データ収集部2は、通信ネットワークを介して、情報収集サーバから各機器に関する情報を収集すればよい。
また、各機器にエージェントが搭載されている場合には、データ収集部2は、エージェントを介して各機器に関する情報を収集してもよく、エージェントを介して各機器の情報を収集した情報収集サーバから各機器に関する情報を取得してもよい。
各機器に搭載されたエージェントがそれぞれ、機器に関する情報を情報収集サーバに送信し、データ収集部2は、その情報収集サーバから、診断対象システムに含まれる各機器に関する情報を収集してもよい。この場合、例えば、分析システム1は、情報収集サーバと通信ネットワークを介して接続されていて、データ収集部2は、通信ネットワークを介して、その情報収集サーバから各機器に関する情報を収集すればよい。
データ収集部2は、診断対象システムに含まれる各機器に関する情報を収集すると、その情報を、データ記憶部3に記憶させる。
データ記憶部3は、データ収集部2が収集した各機器に関する情報を記憶する記憶装置である。
トポロジ特定部4は、各機器のネットワークトポロジを特定する。具体的には、トポロジ特定部4は、セキュリティ管理者(以下、単に管理者と記す。)から与えられたネットワークトポロジの構成を基に、各機器のネットワークトポロジを特定してもよいし、データ記憶部3に記憶された各機器に関する情報を基に、各機器のネットワークトポロジを特定してもよい。図2は、トポロジ特定部4によって特定されるネットワークトポロジの例を示す模式図である。図2では、複数の機器が通信ネットワークを介して接続されている状況を示している。
検出部5は、データ記憶部3に記憶された各機器に関するセキュリティの情報に基づいて、診断対象システムにおける攻撃ルートを検出する。具体的に、機器に関するセキュリティの情報は、機器に関するセキュリティ対応状況等を含む。
攻撃ルートは、診断対象システムにおいて、実行可能な攻撃の流れを示すものである。具体的には、攻撃ルートは、攻撃の起点となる機器から攻撃の終点となる機器までの、攻撃を受ける機器の順を示すルートである。
検出部5は、各機器に関するセキュリティの情報と、予め定められた分析ルールとに基づいて、攻撃ルートを検出してもよい。
また、例えば、検出部5は、以下に示す方法で攻撃ルートを検出してもよい。
まず、攻撃には複数の種類があり、機器の有する脆弱性に応じて、受ける可能性がある攻撃が異なる。そこで、本発明の各実施形態では、脆弱性によって攻撃を受ける可能性がある機器の状態を攻撃状態と定義する。例えば、攻撃状態として、「コードを実行できる状態(以下、execCodeと記す。)」、「データを改ざんできる状態(以下、dataInjectと記す。)」、「ファイルにアクセスできる状態(以下、accessFileと記す。)」、「アカウント情報を持っている状態(以下、hasAccountと記す。)」、「DoS(Denial of Service )攻撃を行える状態」等が挙げられる。
また、「機器と攻撃状態との組合せ」から別の「機器と攻撃状態との組合せ」への遷移を示す情報を攻撃シナリオと称することとする。「機器と攻撃状態との組合せ」から別の「機器と攻撃状態との組合せ」への遷移とは、ある機器にてある攻撃が可能になることで、その機器または別の機器で別のある攻撃が可能になることを示すものである。検出部5は、各機器に関するセキュリティの情報と、予め定められた分析ルールとに基づいて、診断対象システムで起こり得る攻撃シナリオを検出する。具体的には、検出部5は、各機器に関するセキュリティの情報が、分析ルールが示す条件にマッチするかに応じて、攻撃シナリオを検出する。検出部5は、検出した複数の攻撃シナリオにおいて、「機器と攻撃状態との組合せ」をノードとみなし、共通のノードを繋げることで、「機器と攻撃状態との組合せ」の複数の遷移関係を示す情報を得る。図3は、この情報の例を模式的に示す模式図である。図3において、“A”,“B”,“U”,“W”,“X”,“Y”,“Z”はそれぞれ機器を表わしている。ここでは、図3に示す情報が得られた場合を例にして説明する。
また、検出部5は、ユーザインタフェース(図示略)を介して、管理者から、分析対象の指定を受け付ける。分析対象は、攻撃の起点となる機器、攻撃の終点となる機器、および、それらの組み合わせ等でもよい。また、複数の分析対象の指定があってもよい。検出部5は、管理者から指定された分析対象に関して、「機器と攻撃状態との組合せ」の複数の遷移関係を示す情報(図3参照)に基づいて、攻撃ルートを検出する。
例えば、攻撃の起点となる機器Xと攻撃の終点となる機器Zとが管理者によって指定された場合、検出部5は、図3に模式的に示す情報に基づいて、「X→A→Y→Z」という攻撃ルート(以下、攻撃ルート1と記す。)、および、「X→A→B→Z」という攻撃ルート(以下、攻撃ルート2と記す。)を検出することができる。このように、1つの起点および1つの終点が指定された場合であっても、複数の攻撃ルートが存在することもあり得る。
また、例えば、攻撃の起点となる機器Xと攻撃の終点となる機器Wとが管理者によって指定された場合、検出部5は、図3に模式的に示す情報に基づいて、「X→A→Y→W」という攻撃ルートを検出することができる。
この方法は、検出部5が攻撃ルートを検出する方法の一例である。
上記の方法において、異なる攻撃ルート上に共通の機器が存在する場合であっても、その機器の攻撃状態が同一であるとは限らない。機器が複数の脆弱性を有していたり、1つの脆弱性によって複数の攻撃を受けてしまう可能性もあるため、異なる攻撃ルート上の共通の機器の攻撃状態が異なる場合がある。例えば、上記の攻撃ルート1では、機器Aの攻撃状態は“dataInject”であり、上記の攻撃ルート2では、機器Aの攻撃状態は“hasAccount”である(図3参照)。
また、管理者に指定された分析対象に対して、必ず攻撃ルートが検出されるとは限らない。例えば、攻撃の起点となる機器Zと攻撃の終点となる機器Xとが管理者によって指定された場合、攻撃ルートは検出されない(図3参照)。すなわち、機器Zから機器Xに至る攻撃は存在しないということである。
また、管理者が起点のみを指定する場合、検出部5は、後述する重要機器を終点として設定してもよい。また、管理者が終点のみを指定する場合、検出部5は、起点となりうる可能性の高い所定の端末を起点として設定してもよい。
時間情報特定部7は、機器から収集された情報や、時間情報記憶部6に記憶された情報を参照することによって、各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する。時間情報特定部7が機器毎に時間情報を特定する動作については後述する。
なお、時間情報は、機器への攻撃に要する時間そのものを表わす情報であってもよい。機器への攻撃に要する時間は概算値であってもよい。また、、時間情報は、機器への攻撃に要する時間を相対的に表した情報であってもよい。機器への攻撃に要する時間を相対的に表した情報は、「長時間」、「中程度の時間」、「短時間」等のラベルであってもよい。以下の説明では、時間情報として、機器への攻撃に要する時間を表した数値を用いる場合を例にして説明する。
また、時間情報は、攻撃のスピードの程度を表わしているということもできる。
時間情報記憶部6は、時間情報特定部7が機器毎に時間情報を特定するために用いる情報を記憶する記憶装置である。
時間情報記憶部6は、脆弱性の種類、あるいは、脆弱性の種類、機器および機器の設定(以下に示す例では、認証に関する設定)に応じて定められた時間情報を、例えば、図4に例示するテーブル形式で記憶する。
なお、セキュリティ上の脆弱性は、大きく2つがある。第1は、ソフトウェアや機器(ルータ等)の不具合が原因の脆弱性である。この脆弱性については、様々な機関によって情報が収集、分類され、脆弱性は、適宜、採番される。一例として、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)では、発見された脆弱性に対して“CVE-****-**** ”という形式の識別子が割り当てられる。第2は、プロトコルの仕様が原因の脆弱性である。このような脆弱性の例として、「FTP(File Transfer Protocol)の悪用」、「Telnetの悪用」等が挙げられる。本発明の各実施形態において、脆弱性は、この第1および第2の脆弱性を含む。
図4は、脆弱性の種類、あるいは、脆弱性の種類、機器および機器の設定に応じて予め定められた時間情報を格納したテーブルの例を示す模式図である。時間情報記憶部6は、図4に例示するテーブルを記憶する。なお、前述のように、時間情報として、機器への攻撃に要する時間を表した数値を用いる場合を例にする。
図4に示す例では、ソフトウェアや機器の脆弱性に関しては、「攻撃前の認証要否(Authentication)」、「攻撃ツールの有無」、「攻撃元区分(Access Vector )」、「攻撃複雑性(Access Complexity )」が予め定められている。「攻撃前の認証要否」、「攻撃元区分」および「攻撃複雑性」は、個々の脆弱性に対応するCVSS v3(Common Vulnerability Scoring System v3)によって行った評価から分かる。すなわち、管理者は、脆弱性毎に関するCVSS v3による評価結果を参照することで、「攻撃前の認証要否」、「攻撃元区分」および「攻撃複雑性」を知ることができる。
「攻撃前の認証要否」には、「複数(攻撃する場合、2つ以上の認証が必要である)」、「単数(攻撃前に認証が必要である)」、「不要(攻撃前に認証が不要である)」という3つの区分がある。
また、攻撃ツールとは、脆弱性に対する攻撃に使用されるツールである。攻撃ツールの例として、例えば、ダークウェブで配布されているエクスプロイトキット等のハッキングツールが挙げられる。
また、「攻撃元区分」とは、「どこから攻撃可能か」を示す。例えば、「攻撃元区分」が「ローカル」であるならば、USB(Universal Serial Bus)経由等のローカル環境からの攻撃が必要であることを表わしている。また、例えば、「攻撃元区分」が「ネットワーク」であるならば、リモートからの攻撃が可能であることを表わしている。
「攻撃複雑性」は、攻撃条件の複雑さであり、「高」、「中」、「低」の3つの区分に分けられている。
管理者は、「機器」、「攻撃前の認証要否」、「攻撃ツールの有無」、「攻撃元区分」、「攻撃複雑性」に応じて、ソフトウェアや機器の脆弱性の時間情報(脆弱性に対する攻撃に要する時間の程度)を予め定める。例えば、図4に例示する“CVE-2016-8*88 ”では、「機器」が「ルータ」であり、「攻撃前の認証要否」が「不要」であり、攻撃ツールが存在し、「攻撃元区分」が「ネットワーク」であり、「攻撃複雑性」が「低」である。これらのことから、管理者は、“CVE-2016-8*88 ”の時間情報を予め定めればよい。
さらに、「攻撃前の認証要否」が「単数」または「複数」である脆弱性に関しては、「パスワードの文字数」、「ロックアウト期間」および「認証間隔」といった、管理者によって予め定められた認証に関する種々の設定の組み合わせに応じて、管理者が時間情報を定める。例えば、図4に示す例では、“CVE-2017-9*99 ”については、「機器」が「サーバ」であり、「攻撃前の認証要否」が「単数」であり、攻撃ツールは存在せず、「攻撃元区分」が「ローカル」であり、「攻撃複雑性」が「高」である。ただし、認証に関する設定(本例では、パスワードの文字数、ロックアウト期間、認証間隔)は、個々の機器の設定によって異なる。従って、管理者は、“CVE-2017-9*99 ”については、各機器で設定されるパスワードの文字数、ロックアウト期間、認証間隔の種々の組み合わせを定める。そして、管理者は、「機器」が「サーバ」であり、「攻撃前の認証要否」が「単数」であり、攻撃ツールは存在せず、「攻撃元区分」が「ローカル」であり、「攻撃複雑性」が「高」であることの他に、各機器に応じた認証に関する複数の設定も考慮して、認証に関する設定の組み合わせに応じて、時間情報を予め定めればよい。従って、図4に例示するテーブルでは、機器と認証に関する複数の設定に応じた“CVE-2017-9*99 ”のレコードが複数存在する。
ここで、攻撃時に認証が必要な場合、攻撃者は、総当たり攻撃のような時間のかかる攻撃を行う。そのため、管理者は、攻撃時に認証が必要な場合には、時間情報の値を大きくし、認証が不要な場合には、時間情報の値を小さくしてもよい。
また、パスワードの文字数が多いほど、攻撃者は攻撃に多くの時間を要する。従って、管理者は、パスワードの文字数が多いほど、時間情報の値を大きくし、パスワードの文字数が少ないほど、時間情報の値を小さくしてもよい。
また、ロックアウト期間が長いほど、攻撃者は攻撃に多くの時間を要する。従って、管理者は、ロックアウト期間が長いほど、時間情報の値を大きくし、ロックアウト期間が短いほど、時間情報の値を小さくしてもよい。認証間隔についても同様である。なお、ロックアウト期間が0秒であるということは、ロックアウトが設定されていないことを意味する。同様に、認証間隔が0秒であるということは、認証間隔が設定されていないことを意味する。
また、攻撃ツールが存在している場合には、攻撃者にとって攻撃しやすくなる。従って、管理者は、攻撃ツールが存在している場合には、時間情報の値を小さくし、攻撃ツールが存在していない場合には、時間情報の値を大きくしてもよい。
また、「攻撃元区分」が「ローカル」である場合には、攻撃者にとって攻撃しにくくなる。従って、管理者は、「攻撃元区分」が「ローカル」である場合には、時間情報の値を大きくし、「攻撃元区分」が「ローカル」でない場合には、時間情報の値を小さくしてもよい。
また、管理者は、「攻撃複雑性」が「高」である場合には、時間情報の値を大きくし、「攻撃複雑性」が「中」である場合には、時間情報の値を中程度とし、「攻撃複雑性」が「低」である場合には、時間情報の値を小さくしてもよい。
また、図4に示す例では、プロトコルの仕様が原因の脆弱性に関しては、管理者が、適宜、時間情報を定める場合を例にしている。例えば、図4に示す例では、「FTPの悪用」、「Telnetの悪用」に対して、それぞれ、時間情報として“10”を定めた場合を例にしている。ただし、プロトコルの仕様が原因の脆弱性に対する時間情報は、上記の例に限定されない。
上記のように、管理者は、予め、脆弱性に対する時間情報を定め、脆弱性の種類、あるいは、脆弱性の種類、機器および機器の設定(認証に関する設定)と、時間情報との対応を示すテーブル(例えば、図4に例示するテーブル)を、時間情報記憶部6に記憶させておく。
また、種々のソフトウェアと種々の脆弱性との対応関係は予め定められている。管理者は、ソフトウェアと脆弱性との対応関係を示す情報も、時間情報記憶部6に予め記憶させておく。図5は、ソフトウェアと脆弱性との対応関係を示す情報の例を示す模式図である。管理者は、例えば、図5に例示するテーブル形式で、ソフトウェアと脆弱性との対応関係を示す情報を時間情報記憶部6に記憶させてもよい。以下、図5に示すテーブルを対応関係テーブルと記す。
なお、各機器には複数のソフトウェアが搭載される可能性があり、各ソフトウェアには複数の脆弱性が存在することもある。新たな脆弱性が発見された場合、管理者は、図5に例示する対応関係テーブルや、図4に例示するテーブルをアップデートすればよい。
時間情報特定部7は、各攻撃ルート上の機器毎に時間情報を特定する。時間情報特定部7が1つの攻撃ルート上の1つの機器の時間情報を特定する動作について説明する。
時間情報特定部7は、着目している機器から収集された情報を参照し、その機器に搭載されている各ソフトウェアを確認し、さらに、時間情報記憶部6に記憶されている対応関係テーブル(図5参照)を参照することによって、機器に搭載されている各ソフトウェアに対応する各脆弱性を判定する。さらに、時間情報特定部7は、判定した脆弱性の中から、攻撃ルートに応じた脆弱性を特定する。既に説明したように、異なる攻撃ルート上に共通の機器が存在する場合であっても、その機器の攻撃状態が同一であるとは限らない。従って、上記のように、時間情報特定部7は、着目している機器に関して、攻撃ルートに応じた脆弱性を特定する。
次に、時間情報特定部7は、上記のように特定した脆弱性、着目している機器、および、着目している機器から収集された情報(ロックアウト設定の有無、ロックアウトが設定されている場合のロックアウト期間、認証時における認証間隔設定の有無、認証間隔が設定されている場合の認証間隔、パスワードポリシ)と、時間情報記憶部6に記憶されている図4に例示するテーブルとを照合し、脆弱性、着目している機器、および、着目している機器から収集された情報に応じた時間情報を、図4に例示するテーブルから読み込む。なお、パスワードポリシは、パスワードの文字数等を規定している。また、脆弱性のみから時間情報を特定できる場合には、時間情報特定部7は、着目している機器から収集された情報を参照しなくてもよい。
上記のように、時間情報特定部7は、1つの攻撃ルート上の1つの機器の時間情報を特定する。時間情報特定部7は、この動作を、各攻撃ルートの機器毎に行うことによって、各攻撃ルートの各機器の時間情報を特定する。
表示制御部8は、トポロジ特定部4によって特定されたネットワークトポロジに重畳させて各攻撃ルートをディスプレイ装置9上に表示する。このとき、表示制御部8は、各攻撃ルート上の機器毎に特定された時間情報に基づいて、時間の経過によって、攻撃がどのように進み、どの程度で終点の機器まで攻撃が達するか等の、各攻撃ルートに沿った攻撃の波及度合を管理者が認識可能な態様で各攻撃ルートをディスプレイ装置9上に表示する。以下、この表示例を説明する。
以下の説明では、表示制御部8が、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃がどこまで進んだかを示す情報をディスプレイ装置9上で時間経過に伴い変化させる場合を例にして説明する。ここでは、2つの攻撃ルートを表示する場合を例にして説明する。
また、以下に示す各例では、説明を簡単にするため、各攻撃ルートを表示する時の時間経過における1秒が、時間情報の値“1”に相当するものとして説明する。
まず、表示制御部8が攻撃を受けている機器を強調して表示する場合について説明する。また、1つの攻撃ルートに沿った攻撃を例にして、表示制御部8がディスプレイ装置9上に波及度合を表示する動作について説明する。表示制御部8は、表示開始後、その攻撃ルートの1番目の機器が攻撃を受けている間は(すなわち、1番目の機器の時間情報に相当する時間が経過するまでは)、その1番目の機器を強調表示する。機器の強調表示の例として、例えば、機器を枠で囲って表示したり、機器を点滅させて表示したりすることが挙げられる。以下、機器を枠で囲むことで、機器を強調表示する場合を例にして説明する。1番目の機器の時間情報に相当する時間が経過すると、表示制御部8は、その攻撃ルート上の1番目の機器から2番目の機器に伸びる矢印を表示し、2番目の機器が攻撃を受けていることを示すために、2番目の機器を強調表示する。このとき、表示制御部8は、1番目の機器を、攻撃を受けその攻撃が成功したことを示す表示に変更する。この表示は、通常状態を示す機器の表示や、攻撃を受けていることを示す機器の表示と異なる表示であればよい。以下、機器に対する攻撃が成功したことを示す表示として、機器に×印を重畳させる表示を例にして説明するが、この表示に限定されない。以降、表示制御部8は、攻撃を受けている機器を、順次、強調表示する。
すなわち、表示制御部8は、攻撃ルート上のi番目(iは1以上の整数)の機器が攻撃を受けていることを示すために、i番目の機器の時間情報に相当する時間、そのi番目の機器を強調表示する。そして、i番目の機器の時間情報に相当する時間が経過すると、i番目の機器からi+1番目の機器まで伸びる矢印を表示し、i番目の機器の表示を、攻撃が成功したことを示す表示とする。そして、i+1番目の機器を、そのi+1番目の機器の時間情報に相当する時間、強調表示する。表示制御部8は、この動作を、終点の機器の表示が、攻撃が成功したことを示す表示に変更されるまで繰り返す。
表示制御部8は、各攻撃ルートそれぞれに関して、同様の方法で表示を行う。
また、表示制御部8は、各攻撃ルートの1番目の機器に対する攻撃が同時に開始されるものとして、表示を行う。
図6、図7および図8は、時間経過に伴う表示の変化の例を示す模式図である。図6、図7および図8では、「機器a→機器b→機器c」という攻撃ルート(以下、符号“50”で表し、攻撃ルート50と記す。)、および、「機器d→機器e→機器f」という攻撃ルート(以下、符号“51”で表し、攻撃ルート51と記す。)を例にして説明する。図6、図7および図8において、機器aないし機器fの近傍に示した値は、時間情報特定部7によって特定された各機器の時間情報である。
本例において、攻撃ルート50の1番目の機器aの時間情報は“4”である。従って、表示制御部8は、表示開始から4秒後まで機器aを強調表示する。そして、表示制御部8は、表示開始から4秒後に、機器aから機器b(2番目の機器)に伸びる矢印を表示し、×印を機器aに重畳させて表示し、さらに、機器bを強調表示する。機器bの時間情報は“2”であるので、表示制御部8は、表示開始後における4秒経過時から6秒経過時まで、攻撃ルート50に関して、上記の表示状態にする。そして、表示制御部8は、表示開始から6秒後に、機器bから機器c(終点の機器)に伸びる矢印を表示し、×印を機器bに重畳させて表示し、さらに、機器cを強調表示する。機器cは、攻撃ルート50の終点であり、機器cの時間情報は“2”である。従って、攻撃ルート50に関して、その表示状態を2秒続けた後、表示制御部8は、×印を機器cに重畳させて表示する。
また、本例において、攻撃ルート51の1番目の機器dの時間情報は“3”である。従って、表示制御部8は、表示開始から3秒後まで機器dを強調表示する。そして、表示制御部8は、表示開始から3秒後に、機器dから機器e(2番目の機器)に伸びる矢印を表示し、×印を機器dに重畳させて表示し、さらに、機器eを強調表示する。機器bの時間情報は“3”であるので、表示制御部8は、表示開始後における3秒経過時から6秒経過時まで、攻撃ルート51に関して、上記の表示状態にする。そして、表示制御部8は、表示開始から6秒後に、機器eから機器f(終点の機器)に伸びる矢印を表示し、×印を機器eに重畳させて表示し、さらに、機器fを強調表示する。機器cは、攻撃ルート51の終点であり、機器cの時間情報は“9”である。従って、攻撃ルート51に関して、その表示状態を9秒続けた後、表示制御部8は、×印を機器fに重畳させて表示する。
図6は、上記の例における表示開始から5秒経過後の表示状態を示している。また、図7は、上記の例における表示開始から10秒経過後の表示状態を示している。また、図8は、上記の例における表示開始から15秒経過後の表示状態を示している。
図6に例示するように、表示制御部8は、各攻撃ルート上で、既に攻撃者による攻撃が成功した機器(図6における機器a,d)と、攻撃を受けている最中の機器(図6における機器b,e)と、これから攻撃を受ける機器(図6における機器c,f)とを、それぞれ異なる態様で表示する。
攻撃ルート上の各機器が攻撃されていることを示す表示方法は、管理者等が、機器が攻撃されていることを視覚的に分かる方法であればよい。さらに、どれくらいのスピードで各機器への攻撃が成功するかを管理者が視覚的に分かる態様で表示を行ってもよい。例えば、表示制御部8は、攻撃を受けている機器を表示する際、その機器の時間情報に相当する時間内で、その機器の表示を変化させてもよい。例えば、攻撃を受けている機器の時間情報が“5”であったとする。その場合、表示制御部8は、5秒間の間に、その機器の色を初期状態の色から徐々に変えていってもよい。あるいは、表示制御部8は、5秒間の間に、その機器の色の濃淡を変化させてもよく、または、画面に表示されたその機器の下方から上方に向けて初期状態とは異なる色が広がるように表示を変化させてもよい。また、表示制御部8は、各機器における攻撃の進行状況を示すゲージを表示し、機器の時間情報に応じた速さでゲージの表示を変化させてもよい。例示した表示方法によって、管理者は、どのくらいのスピードで診断対象システムが攻撃の影響を受けていくかを容易に把握することができ、さらに、各機器に対する攻撃のスピードも容易に把握できる。
また、上記の例では、表示制御部8が、各攻撃ルートを表示する時の時間経過における1秒が、時間情報の値“1”に相当するものとして、表示を変化させる場合を示した。表示制御部8は、表示を変化させる速さのパラメータを、ユーザインタフェース(図示略)を介して指定され、指定されたパラメータに応じた変化速度で、表示を変化させてもよい。この場合、いわゆる早送り再生やスロー再生と同様の態様で、表示を変化させることができる。この点については、後述する他の表示例でも同様である。
また、表示制御部8は、各攻撃ルートにおいて、矢印が伸びた箇所までの部分と、これから矢印が伸びる部分との表示態様を変えて、各攻撃ルートを表示してもよい。表示制御部8は、例えば、各攻撃ルートにおいて、矢印が伸びた箇所までの部分を実線で表示し、これから矢印が伸びる部分を点線で表示してもよい。この表示方法を、図6に適用した場合の例を、図9に示す。このように表示することで、管理者は、どのような攻撃ルートに沿って攻撃が波及しているのかを把握することができる。この点については、後述する他の表示例でも同様である。
また、表示制御部8は、管理者に指定された時点における攻撃の波及度合を表示してもよい。例えば、表示制御部8は、ユーザインタフェース(図示略)を介して、時間情報の値の指定を受け付ける。そして、表示制御部8は、表示開始からその時間情報の値に相当する時間が経過した時点の画像をディスプレイ装置9上に表示してもよい。例えば、表示制御部8は、時間情報として“5”が指定された場合、図6に示す状態(5秒経過後の状態)を表示し、時間情報として“10”が指定された場合、図7に示す状態(10秒経過後の状態)を表示し、時間情報として“15”が指定された場合、図8に示す状態(15秒経過後の状態)を表示してもよい。この点については、後述する他の表示例でも同様である。
また、表示制御部8は、表示を連続的に変化させるのでなく、管理者に指定された時間間隔で、攻撃の波及度合を示す表示を切り替えてもよい。例えば、表示制御部8は、ユーザインタフェース(図示略)を介して、時間情報の値の指定を受け付ける。そして、表示制御部8は、その値に相当する時間間隔で、表示を切り替えてもよい。例えば、値として“5”が指定されたとする。この場合、表示制御部8は、図6に示す表示(5秒経過後の状態の表示)、図7に示す表示(10秒経過後の状態の表示)、図8に示す表示(15秒経過後の状態の表示)の順に、表示を切り替えればよい。この点については、後述する他の表示例でも同様である。
次に、表示制御部8による他の表示例を説明する。以下に示す例では、表示制御部8は、各攻撃ルートに沿った攻撃がどこまで進んだかを示す情報を、各攻撃ルートに沿った矢印で表す。すなわち、表示制御部8は、矢印を伸ばすように表示を行うことによって、攻撃ルートに沿った攻撃がどこまで進んだかを表わす。
1つの攻撃ルートに沿った攻撃を例にして、表示制御部8が、その攻撃ルートに沿った矢印を伸ばすように表示を行う例について、より具体的に説明する。表示制御部8は、表示開始後、攻撃ルート上の1番目の機器の時間情報に相当する時間が経過してから、その1番目の機器からその攻撃ルート上の2番目の機器への矢印の表示を開始する。1番目の機器から2番目の機器への矢印の表示が開始されていないということは、1番目の機器への攻撃がまだ成功していない状況を模式的に表している。そして、1番目の機器の時間情報に相当する時間が経過したということは、攻撃者が1番目の機器に対する攻撃が成功したということを意味している。また、表示制御部8は、攻撃ルート上のi番目(iは1以上の整数)の機器までの各機器の時間情報の値の累積値に相当する時間の経過時から、攻撃ルート上のi+1番目の時間情報の値に相当する時間で、矢印がi番目の機器からi+1番目の機器まで徐々に伸びていくように表示を行う。すなわち、本例では、矢印が伸びるスピードによって、次の機器への攻撃が成功するまでのスピードを表わすことになる。また、矢印がi番目の機器からi+1番目の機器に向かって伸びている表示は、i+1番目の機器への攻撃中であることを模式的に表している。
表示制御部8は、各攻撃ルートの1番目の機器に対する攻撃が同時に開始されるものとして、各攻撃ルートに沿った矢印の表示を行う。
前述の例と同様に、本例においても、説明を簡単にするため、矢印を表示している時の時間経過における1秒が、時間情報の値“1”に相当するものとして説明する。
表示制御部8による表示の具体例を、図面を参照して説明する。図10、図11および図12は、時間経過に伴う表示の変化の例を示す模式図である。図10、図11および図12では、「機器a→機器b→機器c」という攻撃ルート50、および、「機器d→機器e→機器f」という攻撃ルート51を例にして説明する。また、図10、図11および図12において、機器aないし機器fの近傍に示した値は、時間情報特定部7によって特定された各機器の時間情報である。図10、図11および図12に示す例では、説明を簡単にするために、機器eの時間情報を“2”とし、機器fの時間情報を“10”とする。機器aないし機器dの時間情報は、図6、図7および図8に示す例と同様である。
攻撃ルート50の1番目の機器aの時間情報は“4”である。従って、表示制御部8は、表示開始から4秒経過後に、機器aから機器bに伸びる矢印の表示を開始する。ここで、機器bの時間情報は“2”であるので、表示制御部8は、2秒の間に、機器aから機器bに矢印が伸びるように矢印の表示を行う。さらに、機器cの時間情報も“2”であるので、表示制御部8は、2秒の間に、機器bから機器cに矢印が伸びるように矢印の表示を行う。
また、攻撃ルート51の1番目の機器dの時間情報は“3”である。従って、表示制御部8は、表示開始から3秒経過後に、機器dから機器eに伸びる矢印の表示を開始する。ここで、機器eの時間情報は“2”であるので、表示制御部8は、2秒の間に、機器dから機器eに矢印が伸びるように矢印の表示を行う。さらに、機器fの時間情報は“10”であり、表示制御部8は、10秒の間に、機器eから機器fに矢印が伸びるように矢印の表示を行う。
図10は、上記のように、表示制御部8が上記のように攻撃ルート50,51に対応する各矢印を表示する場合において、表示開始から5秒経過後の表示状態を示している。また、図11は、表示開始から10秒経過後の表示状態を示している。また、図12は、表示開始から15秒経過後の表示状態を表わしている。管理者は、ディスプレイ装置9でこのような表示を確認することによって、攻撃ルート50に沿った攻撃の方が、終点となる機器への攻撃成功までの時間が短いことを容易に確認できる。これによって、管理者は、どの攻撃ルートに対する対処を優先的に行えばよいかを容易に判断できる。
また、時間情報特定部7は、攻撃ルート毎に、攻撃ルート上の各機器の時間情報の値の和を計算してもよい。そして、表示制御部8は、攻撃ルート毎に、終点となる機器の近傍に、時間情報特定部7によって計算された攻撃ルート上の各機器の時間情報の値の和を表示してもよい。この和は、攻撃ルートの終点となる機器への攻撃成功までの時間である。従って、このように表示を行うことによって、管理者は、それぞれの攻撃ルートにおける終点となる機器への攻撃成功までの時間を比較することができる。攻撃ルート毎に終点となる機器への攻撃成功までの時間を表示するという事項は、図6、図7および図8に例示した表示にも適用可能である。
なお、上記の例では、矢印が徐々に伸びるように表示制御部8が矢印の表示を行う場合を示した。表示制御部8は、それぞれの攻撃ルート上で、i+1番目の機器への攻撃成功のタイミングで、i番目の機器に至る矢印を、i+1番目の機器の機器に至る矢印に切り替えるように矢印を表示してもよい。
また、時間情報は値に限定されず、「長時間」、「中程度の時間」、「短時間」等のラベルを時間情報として用いてもよい。この場合、表示制御部8は、機器毎に特定された「長時間」、「中程度の時間」、「短時間」等のラベルを、例えば、“10”、“5”、“2”等の値に置き換え、前述の各例のように表示を行えばよい。
なお、ディスプレイ装置9は、情報を表示する装置であり、一般的なディスプレイ装置でよい。なお、分析システム1がクラウド上に存在する場合には、ディスプレイ装置7は、クラウドに接続される端末のディスプレイ装置等であってもよい。
データ収集部2は、例えば、分析プログラムに従って動作するコンピュータのCPU(Central
Processing Unit )、および、そのコンピュータの通信インタフェースによって実現される。例えば、CPUが、コンピュータのプログラム記憶装置等のプログラム記録媒体から分析プログラムを読み込み、そのプログラムに従って、通信インタフェースを用いて、データ収集部2として動作すればよい。また、トポロジ特定部4、検出部5、時間情報特定部7および表示制御部8は、例えば、分析プログラムに従って動作するコンピュータのCPUによって実現される。例えば、CPUが上記のようにプログラム記録媒体から分析プログラムを読み込み、そのプログラムに従って、トポロジ特定部4、検出部5、時間情報特定部7および表示制御部8として動作すればよい。データ記憶部3および時間情報記憶部6は、例えば、コンピュータが備える記憶装置によって実現される。
次に、処理経過について説明する。図13は、第1の実施形態の分析システム1の処理経過の例を示すフローチャートである。既に説明した事項については説明を省略する。
まず、データ収集部2が、診断対象システムに含まれる各機器に関する情報を収集する(ステップS1)。データ収集部2は、収集した情報をデータ記憶部3に記憶させる。
次に、トポロジ特定部4が、各機器のネットワークトポロジを特定する(ステップS2)。
次に、検出部5が、各機器に関するセキュリティの情報に基づいて、診断対象システムにおける攻撃ルートを検出する(ステップS3)。
次に、時間情報特定部7が、各攻撃ルートの機器毎に、時間情報を特定する(ステップS4)。
次に、表示制御部8が、ネットワークトポロジに重畳させて各攻撃ルートを表示する。このとき、表示制御部8は、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合を管理者が認識可能な態様で、各攻撃ルートをディスプレイ装置9上に表示する(ステップS5)。表示制御部8は、図6、図7および図8に例示する態様で攻撃ルートを表示してもよい。あるいは、表示制御部8は、図10、図11および図12に例示する態様で攻撃ルートを表示してもよい。
本実施形態によれば、上記のように、表示制御部8が、各攻撃ルートに沿った攻撃の波及度合を管理者が認識可能な態様で、各攻撃ルートをディスプレイ装置9上に表示する。従って、管理者は、各攻撃ルート上の各機器に攻撃が波及していく状況を確認することができる。従って、どの攻撃ルートに対する対処を優先的に行えばよいかを容易に判断することができる。例えば、終点に該当する機器への攻撃成功までの時間が最も短い攻撃ルートが分かり、その攻撃ルートに対する対処を優先的に行う等の判断を容易に行うことができる。
このように、本実施形態によれば、攻撃による影響がどのように広がっていくかを分析可能である。
なお、分析システム1が、終点に該当する機器への攻撃成功までの時間に応じて、ある攻撃ルートを他の攻撃ルートとは異なる態様(例えば、他の攻撃ルートとは異なる太さ、色または線種等)で表示してもよい。例えば、分析システム1は、終点に該当する機器への攻撃成功までの時間が最も短い攻撃ルートを特定して、その攻撃ルートを他の攻撃ルートとは異なる態様で表示してもよい。具体的には、時間情報特定部7が、攻撃ルート毎に、攻撃ルート上の各機器の時間情報の値の和を計算し、時間情報の値の和が最小となる攻撃ルートを、終点に該当する機器への攻撃成功までの時間が最も短い攻撃ルートとして決定してもよい。そして、表示制御部8が、その攻撃ルートを、他の攻撃ルートとは異なる態様で表示してもよい。この点は、次に説明する第1の実施形態の変形例や、後述の第2の実施形態でも同様である。
次に、第1の実施形態の変形例について説明する。上記の説明では、表示制御部8が、各攻撃ルートに沿った攻撃がどこまで進んだかを、攻撃を受ける機器を強調表示したり(図6、図7および図8参照)、あるいは、攻撃の波及度合に応じて矢印を伸ばしたりする(図10、図11および図12参照)ことで表す場合を例示した。
本変形例において、表示制御部8は、各攻撃ルートをディスプレイ装置9上に表示するときに、攻撃の起点となる機器から攻撃の終点となる機器までの攻撃ルート上において、攻撃ルート上に存在する各機器の時間情報の和に対して、各機器の時間情報が示す割合に応じた態様で、機器と機器の間の区間を表示することで、攻撃ルートを表示してもよい。あるいは、表示制御部8は、攻撃ルート毎に、攻撃ルート上のそれぞれの機器の1つ前の機器からそのそれぞれの機器までの区間を、そのそれぞれの機器の時間情報に応じた態様(例えば、色、太さ、線種等)でディスプレイ装置9上に表示してもよい。換言すれば、表示制御部8は、攻撃ルート毎に、攻撃ルート上のi番目(iは1以上の整数)の機器からi+1番目の機器までの区間を、i+1番目の機器の時間情報に応じた色、太さまたは線種等で、ディスプレイ装置9上に表示してもよい。
図14は、第1の実施形態の変形例における各攻撃ルートの表示例を示す模式図である。図14に示す例では、機器e、機器b、機器cの時間情報は、いずれも“2”である。従って、機器dから機器eまでの区間、機器aから機器bまでの区間、機器bから機器cまでの区間は、同じ色で表示されている。また、機器fの時間情報は“10”であるので、機器eから機器fまでの区間は、上記の3つの区間とは別の色で表示されている。
このような表示においても、管理者は、各攻撃ルートにおける攻撃の波及度合を確認することができる。従って、どの攻撃ルートに対する対処を優先的に行えばよいかを容易に判断することができる。
また、表示制御部8は、各攻撃ルートを表示するときに、各攻撃ルート上の各機器を、機器の時間情報に応じた態様で表示してもよい。例えば、表示制御部8は、時間情報の値が大きい機器を赤で表示し、時間情報の値が小さい機器を青で表示してもよい。ただし、上記の赤、青等の色は例示である。このような表示により、管理者は、各機器の耐久性も、攻撃の波及度合とともに確認することができ、どの攻撃ルートに対する対処を優先的に行えばよいかを容易に判断することができる。
この変形例は、後述の第2の実施形態にも適用可能である。
実施形態2.
図15は、本発明の第2の実施形態の分析システムの例を示すブロック図である。第1の実施形態の要素と同様の要素については、図1と同一の符号を付す。第2の実施形態の分析システム1は、データ収集部2と、データ記憶部3と、トポロジ特定部4と、検出部5と、時間情報記憶部6と、時間情報特定部7と、被害情報記憶部11と、被害特定部12と、表示制御部8と、ディスプレイ装置9とを備える。
データ収集部2、データ記憶部3、トポロジ特定部4、検出部5、時間情報記憶部6、時間情報特定部7およびディスプレイ装置9は、第1の実施形態におけるそれらの要素と同様であり、説明を省略する。
被害情報記憶部11は、機器の機能や攻撃種類に応じた被害情報(攻撃された場合に受ける被害内容を示す情報)を記憶する記憶装置である。
図16は、被害情報記憶部11が記憶する情報の例を示す模式図である。被害情報記憶部11は、例えば、図16に例示するように、機器の機能と、攻撃種類と、被害情報とを対応付けたテーブルを記憶する。なお、攻撃種類は、機器の機能に基づいて特定することができる。そして、被害情報は、機器の機能と攻撃種類の両方、あるいは、いずれか一方から特定することができる。図16に例示する情報は、例えば、管理者が予め定めておき、被害情報記憶部11に記憶させておけばよい。
被害特定部12は、攻撃ルート上の機器毎に、被害情報を特定する。被害特定部12は、この処理を、攻撃ルート毎に行う。ただし、攻撃ルート上には、被害情報が特定されない機器が存在していてもよい。
被害特定部12が1つの攻撃ルートの機器毎に被害情報を特定する方法の例を説明する。被害特定部12は、着目している攻撃ルートの機器毎に、機器の機能と、攻撃種類とを特定する。
被害特定部12は、例えば、以下のように各機器の機能を特定する。
予め、機器の機能に応じた条件が定められている。例えば、アカウントサーバには、アカウントサーバ用のソフトウェアが搭載されている。また、アカウントサーバは、所定のプロトコルで他の機器と通信データを授受する。また、例えば、アカウントサーバでは、所定のポートが開いた状態になっている。従って、例えば、「アカウントサーバ機能」に対しては、「アカウントサーバ用のソフトウェアが搭載されている」、「所定のプロトコルで他の機器と通信データを授受する機器である」、あるいは、「所定のポートが開いた状態になっている」という条件のいずれか1つ、あるいは、2つ以上が予め定められている。
また、例えば、「人事情報管理サーバ機能」に対しては、「人事情報管理サーバ用のソフトウェアが搭載されている」という条件が予め定められている。
被害特定部12は、機能を特定しようとしている機器に関する情報を参照し、その情報がどの機能に応じた条件を満たしているのかを判定することによって、その機器の機能を特定すればよい。なお、被害特定部12は、機器に関する情報がどの機能に応じた条件も満たしていないならば、その機器の機能として、「該当する機能なし」という結果を導出してもよい。
上記のような方法で、被害特定部12は、着目している攻撃ルート上の各機器の機能を特定する。
また、前述のように、攻撃種類は、機器の機能に基づいて特定することができる。従って、被害特定部12は、例えば、予め既知となっている機器の機能と攻撃種類との対応関係に基づいて、攻撃種類を特定すればよい。
ただし、被害特定部12は、他の方法で機器の機能を特定してもよい。例えば、被害特定部12は、攻撃ルート上の各機器の機能の指定を、ユーザインタフェース(図示略)を介して管理者から受け付けることによって、攻撃ルート上の各機器の機能を特定してもよい。攻撃種類に関しても同様である。
被害特定部12は、着目している攻撃ルート上の1つの機器に関して、機器の機能および攻撃種類を特定したならば、被害情報記憶部11が記憶しているテーブル(図16参照)を参照して、例えば、機器の機能と攻撃種類の組み合わせに対応する被害情報を特定する。なお、被害情報は、機器の機能と攻撃種類の一方からも特定することができる。従って、被害特定部12は、機器の機能に対応する被害情報を特定したり、攻撃種類に対応する被害情報を特定したりしてもよい。また、被害情報記憶部11が記憶しているテーブル(図16参照)を参照しても、機器の機能と攻撃種類の組み合わせ、または、そのいずれか一方に対応する被害情報を特定できない場合、被害特定部12は、その機器の被害情報はないと判定する。被害特定部12は、着目している攻撃ルート上の各機器に対して、この動作を行う。この結果、着目している攻撃ルート上の各機器の被害情報が定まる。
被害特定部12は、攻撃ルート毎に上記と同様の動作を行い、各攻撃ルート上の各機器の被害情報を特定する。ただし、前述のように、被害情報が特定されない機器が存在していてもよい。
以上の説明では、被害特定部12が機器の機能や攻撃種類に基づいて被害情報を定める場合を示した。被害特定部12は、他の方法で被害情報を定めてもよい。例えば、予め、脆弱性の種類と被害情報とを対応付けることができる。被害特定部12は、各攻撃ルート上の各機器にインストールされているソフトウェアに基づいて脆弱性の種類を特定し、その脆弱性の種類に基づいて被害情報を特定してもよい。
被害特定部12は、上記の処理を、例えば、第1の実施形態におけるステップS4(図13参照)の次に行う。
そして、表示制御部8は、ステップS5(図13参照)において、第1の実施形態、または、第1の実施形態の変形例で説明したように各攻撃ルートを表示するとともに、被害情報が特定された機器の近傍に被害情報(すなわち、攻撃された場合に受ける被害内容を示す情報)を表示する。
第2の実施形態において、図6、図7および図8に例示するように、表示制御部8が、攻撃を受けている機器を強調表示することによって、攻撃の波及度合を表示するとする。この場合、機器への攻撃が成功した時点で、その機器の近傍に被害情報(すなわち、攻撃された場合に受ける被害内容を示す情報)を表示してもよい。このような表示例を、図17、図18および図19に示す。図17ないし図19に示す例において、第1の実施形態で例示した機器e,c,fに関して被害情報が特定されているとする。また、図17は、図6と同様に、表示開始から5秒経過後の表示状態を示している。この時点では、機器e,c,fのいずれにおいても、まだ攻撃が成功していない。従って、図17に示すように、まだ、被害情報は表示されない。図18は、図7と同様に、表示開始から10秒経過後の表示状態を示している。この時点では、機器e,cへの攻撃が成功している。従って、表示制御部8は、図18に例示するように、機器e、機器cそれぞれの近傍に被害情報を表示する。図19は、図8と同様に、表示開始から15秒経過後の表示状態を示している。この時点では、機器e,c,fへの攻撃が成功している。従って、表示制御部8は、図19に例示するように、機器e、機器cおよび機器fそれぞれの近傍に被害情報を表示する。
また、第1の実施形態の変形例と同様に各攻撃経路の全体を表示する場合、表示制御部8は、被害情報が特定された機器の近傍に被害情報を表示すればよい。
なお、表示制御部8は、被害情報が示す被害内容の大きさに応じて文字、ポップアップの大きさ、色を変えてもよい。例えば、予め、被害情報の内容にランクを付しておき、表示制御部8は、被害情報を表示するときに、そのランクに応じて、文字、ポップアップの大きさ、色を定めてもよい。
また、被害情報の表示態様は、上記の例に限定されない。例えば、表示制御部8は、被害情報が特定された機器の近傍に、その機器に関する被害情報があることを表わすアイコンを表示してもよい。そして、表示制御部8は、そのアイコンがマウス等によってクリックされた場合に、その機器に関する被害情報を表示してもよい。あるいは、表示制御部8は、そのアイコンがマウスオーバ状態になったときに、その機器に関する被害情報を表示してもよい(ロールオーバ)。また、表示制御部8は、被害情報をポップアップ表示し、マウス等による操作に応じて、そのポップアップ表示の大きさを変化させてもよい。
被害特定部12は、例えば、分析プログラムに従って動作するコンピュータのCPUによって実現される。例えば、CPUが、プログラム記録媒体から分析プログラムを読み込み、そのプログラムに従って、被害特定部12として動作すればよい。また、被害情報記憶部11は、例えば、コンピュータが備える記憶装置によって実現される。
第2の実施形態でも、第1の実施形態と同様の効果が得られる。また、第2の実施形態では、表示制御部8が、ディスプレイ装置9において、攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報も機器の近傍に表示する。従って、管理者は、想定される被害内容に応じて、どの攻撃ルートに対する対処を優先的に行えばよいかを判断することができるようになる。
図20は、本発明の各実施形態の分析システム1に係るコンピュータの構成例を示す概略ブロック図である。コンピュータ1000は、CPU1001と、主記憶装置1002と、補助記憶装置1003と、インタフェース1004と、ディスプレイ装置1005と、通信インタフェース1006とを備える。
本発明の各実施形態の分析システム1は、コンピュータ1000によって実現される。分析システム1の動作は、分析プログラムの形式で補助記憶装置1003に記憶されている。CPU1001は、その分析プログラムを補助記憶装置1003から読み出して主記憶装置1002に展開し、その分析プログラムに従って、上記の各実施形態で説明した処理を実行する。
補助記憶装置1003は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース1004を介して接続される磁気ディスク、光磁気ディスク、CD-ROM(Compact Disk Read Only Memory )、DVD-ROM(Digital Versatile Disk Read Only Memory )、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ1000に配信される場合、配信を受けたコンピュータ1000がそのプログラムを主記憶装置1002に展開し、そのプログラムに従って上記の各実施形態で説明した処理を実行してもよい。
また、各構成要素の一部または全部は、汎用または専用の回路(circuitry )、プロセッサ等やこれらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
各構成要素の一部または全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。
次に、本発明の概要について説明する。図21は、本発明の分析システムの概要を示すブロック図である。本発明の分析システムは、トポロジ特定部4と、検出部5と、時間情報特定部7と、表示制御部8とを備える。
トポロジ特定部4は、診断対象システムに含まれる機器のネットワークトポロジを特定する。
検出部5は、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出する。
時間情報特定部7は、各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する。
表示制御部8は、ネットワークトポロジに重畳させて攻撃ルートをディスプレイ装置上に表示する。このとき、表示制御部8は、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートをディスプレイ装置上に表示する。
そのような構成によって、攻撃による影響がどのように広がっていくかを分析することができる。
表示制御部8が、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルート上の機器の表示態様を時間経過に伴い変える構成であってもよい。
表示制御部8が、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルート上における、既に攻撃者による攻撃が成功した機器と、攻撃を受けている最中の機器と、これから攻撃を受ける機器とを、それぞれ異なる態様で表示する構成であってもよい。
また、表示制御部8が、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルートに沿った攻撃がどこまで進んだかを示す矢印を時間経過に伴い伸ばすようにして、各攻撃ルートを表示する構成であってもよい。
また、表示制御部8が、攻撃ルート毎に、攻撃ルート上のそれぞれの機器の1つ前の機器からそのそれぞれの機器までの区間を、そのそれぞれの機器の時間情報に応じた態様でディスプレイ装置上に表示する構成であってもよい。
攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する被害特定部(例えば、被害特定部12)を備え、表示制御部8が、攻撃ルート上の機器の近傍に被害情報を表示する構成であってもよい。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記の実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2019年3月28日に出願された日本特許出願2019-063598を基礎とする優先権を主張し、その開示のすべてをここに取り込む。
産業上の利用の可能性
本発明は、攻撃ルートを表示する分析システムに好適に適用される。
1 分析システム
2 データ収集部
3 データ記憶部
4 トポロジ特定部
5 検出部
6 時間情報記憶部
7 時間情報特定部
8 表示制御部
9 ディスプレイ装置
11 被害情報記憶部
12 被害特定部

Claims (8)

  1. 診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定部と、
    機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出する検出部と、
    各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する時間情報特定部と、
    前記ネットワークトポロジに重畳させて前記攻撃ルートをディスプレイ装置上に表示する表示制御部とを備え、
    前記表示制御部は、
    各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートを前記ディスプレイ装置上に表示し、
    前記表示制御部は、
    各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルート上の機器の表示態様を時間経過に伴い変える
    ことを特徴とする分析システム。
  2. 表示制御部は、
    各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルート上における、既に攻撃者による攻撃が成功した機器と、攻撃を受けている最中の機器と、これから攻撃を受ける機器とを、それぞれ異なる態様で表示する
    請求項1に記載の分析システム。
  3. 診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定部と、
    機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出する検出部と、
    各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する時間情報特定部と、
    前記ネットワークトポロジに重畳させて前記攻撃ルートをディスプレイ装置上に表示する表示制御部とを備え、
    前記表示制御部は、
    各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートを前記ディスプレイ装置上に表示し、
    前記表示制御部は、
    各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルートに沿った攻撃がどこまで進んだかを示す矢印を時間経過に伴い伸ばすようにして、各攻撃ルートを表示する
    ことを特徴とする分析システム。
  4. 診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定部と、
    機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出する検出部と、
    各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する時間情報特定部と、
    前記ネットワークトポロジに重畳させて前記攻撃ルートをディスプレイ装置上に表示する表示制御部とを備え、
    前記表示制御部は、
    各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートを前記ディスプレイ装置上に表示し、
    前記表示制御部は、
    攻撃ルート毎に、攻撃ルート上のそれぞれの機器の1つ前の機器から前記それぞれの機器までの区間を、前記それぞれの機器の時間情報に応じた態様で前記ディスプレイ装置上に表示する
    ことを特徴とする分析システム。
  5. 攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する被害特定部を備え、
    表示制御部は、
    攻撃ルート上の機器の近傍に被害情報を表示する
    請求項1から請求項4のうちのいずれか1項に記載の分析システム。
  6. コンピュータが、
    診断対象システムに含まれる機器のネットワークトポロジを特定し、
    機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出し、
    各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定し、
    前記ネットワークトポロジに重畳させて前記攻撃ルートをディスプレイ装置上に表示し、
    攻撃ルートを前記ディスプレイ装置上に表示するときに、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートを前記ディスプレイ装置上に表示し、
    各攻撃ルートを前記ディスプレイ装置上に表示するときに、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルート上の機器の表示態様を時間経過に伴い変える
    ことを特徴とする分析方法。
  7. コンピュータが、
    診断対象システムに含まれる機器のネットワークトポロジを特定し、
    機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出し、
    各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定し、
    前記ネットワークトポロジに重畳させて前記攻撃ルートをディスプレイ装置上に表示し、
    攻撃ルートを前記ディスプレイ装置上に表示するときに、各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートを前記ディスプレイ装置上に表示し、
    各攻撃ルートを前記ディスプレイ装置上に表示するときに、各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルートに沿った攻撃がどこまで進んだかを示す矢印を時間経過に伴い伸ばすようにして、各攻撃ルートを表示する
    ことを特徴とする分析方法。
  8. コンピュータに、
    診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定処理、
    機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す攻撃ルートを検出する検出処理、
    各攻撃ルート上の機器毎に、機器への攻撃に要する時間の程度を表わす時間情報を特定する時間情報特定処理、および、
    前記ネットワークトポロジに重畳させて前記攻撃ルートをディスプレイ装置上に表示する表示制御処理を実行させ、
    前記コンピュータに、
    前記表示制御処理で、
    各攻撃ルート上の機器毎に特定された時間情報に基づいて、各攻撃ルートに沿った攻撃の波及度合をユーザが認識可能な態様で各攻撃ルートを前記ディスプレイ装置上に表示させ
    前記コンピュータに、
    前記表示制御処理で、
    各攻撃ルート上の各機器の時間情報に基づいて、各攻撃ルート上の機器の表示態様を時間経過に伴い変えさせる
    ための分析プログラム。
JP2021508199A 2019-03-28 2020-02-07 分析システム、方法およびプログラム Active JP7111249B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019063598 2019-03-28
JP2019063598 2019-03-28
PCT/JP2020/004815 WO2020195229A1 (ja) 2019-03-28 2020-02-07 分析システム、方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2020195229A1 JPWO2020195229A1 (ja) 2021-12-23
JP7111249B2 true JP7111249B2 (ja) 2022-08-02

Family

ID=72608742

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021508199A Active JP7111249B2 (ja) 2019-03-28 2020-02-07 分析システム、方法およびプログラム

Country Status (3)

Country Link
US (1) US12058164B2 (ja)
JP (1) JP7111249B2 (ja)
WO (1) WO2020195229A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7474679B2 (ja) 2020-11-05 2024-04-25 株式会社日立製作所 セキュリティ検証システムおよび方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341217A (ja) 2004-05-27 2005-12-08 Fujitsu Ltd 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
JP2008257577A (ja) 2007-04-06 2008-10-23 Lac Co Ltd セキュリティ診断システム、方法およびプログラム
JP2015216549A (ja) 2014-05-12 2015-12-03 富士通株式会社 表示方法、表示装置および表示プログラム
JP2016218695A (ja) 2015-05-20 2016-12-22 三菱電機株式会社 リスク分析結果表示装置
US20180337939A1 (en) 2017-05-17 2018-11-22 Anurag Agarwal Threat Model Chaining and Attack Simulation Systems and Methods
WO2019003373A1 (ja) 2017-06-29 2019-01-03 日本電気株式会社 攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7644439B2 (en) * 1999-05-03 2010-01-05 Cisco Technology, Inc. Timing attacks against user logon and network I/O
JP4733885B2 (ja) 2001-09-29 2011-07-27 株式会社東芝 脆弱性評価プログラム、方法及びシステム
US20120023572A1 (en) * 2010-07-23 2012-01-26 Q-Track Corporation Malicious Attack Response System and Associated Method
US7610487B2 (en) * 2003-03-27 2009-10-27 Microsoft Corporation Human input security codes
US9118711B2 (en) * 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US8125898B1 (en) * 2004-03-19 2012-02-28 Verizon Corporate Services Group Inc. Method and system for detecting attack path connections in a computer network using state-space correlation
WO2007143226A2 (en) * 2006-06-09 2007-12-13 Massachusetts Institute Of Technology Generating a multiple-prerequisite attack graph
US8566269B2 (en) * 2006-08-01 2013-10-22 George Mason Intellectual Properties, Inc. Interactive analysis of attack graphs using relational queries
CN101075917B (zh) * 2007-07-16 2010-08-25 华为技术有限公司 一种预测网络攻击行为的方法及装置
WO2010005034A1 (ja) * 2008-07-11 2010-01-14 クラリオン株式会社 音響処理装置
US8881288B1 (en) * 2008-10-28 2014-11-04 Intelligent Automation, Inc. Graphical models for cyber security analysis in enterprise networks
US9049226B1 (en) * 2013-03-12 2015-06-02 Emc Corporation Defending against a cyber attack via asset overlay mapping
US20150281101A1 (en) * 2014-03-31 2015-10-01 Palo Alto Research Center Incorporated Multi-object interest using network names
US10789367B2 (en) * 2014-04-18 2020-09-29 Micro Focus Llc Pre-cognitive security information and event management
US9686156B2 (en) * 2014-05-10 2017-06-20 Cyberrock Inc. Network flow monitoring
US9648036B2 (en) * 2014-12-29 2017-05-09 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9467455B2 (en) * 2014-12-29 2016-10-11 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9100430B1 (en) * 2014-12-29 2015-08-04 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US10185832B2 (en) * 2015-08-12 2019-01-22 The United States Of America As Represented By The Secretary Of The Army Methods and systems for defending cyber attack in real-time
US10313211B1 (en) * 2015-08-25 2019-06-04 Avi Networks Distributed network service risk monitoring and scoring
WO2017053806A1 (en) * 2015-09-25 2017-03-30 Acalvio Technologies, Inc. Dynamic security mechanisms
US10230745B2 (en) * 2016-01-29 2019-03-12 Acalvio Technologies, Inc. Using high-interaction networks for targeted threat intelligence
US11134095B2 (en) * 2016-02-24 2021-09-28 Fireeye, Inc. Systems and methods for attack simulation on a production network
US10931686B1 (en) * 2017-02-01 2021-02-23 Cequence Security, Inc. Detection of automated requests using session identifiers
US11050784B1 (en) * 2017-03-17 2021-06-29 Amazon Technologies, Inc. Mitigating a denial-of-service attack
US10333961B2 (en) * 2017-06-27 2019-06-25 Intel Corporation Malware detection system attack prevention
US10412112B2 (en) * 2017-08-31 2019-09-10 Xm Cyber Ltd. Time-tagged pre-defined scenarios for penetration testing
US10447721B2 (en) * 2017-09-13 2019-10-15 Xm Cyber Ltd. Systems and methods for using multiple lateral movement strategies in penetration testing
US10609068B2 (en) * 2017-10-18 2020-03-31 International Business Machines Corporation Identification of attack flows in a multi-tier network topology
US20220038472A1 (en) * 2018-09-26 2022-02-03 Nec Corporation Information processing device, control method, and program
US11895150B2 (en) * 2021-07-28 2024-02-06 Accenture Global Solutions Limited Discovering cyber-attack process model based on analytical attack graphs

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005341217A (ja) 2004-05-27 2005-12-08 Fujitsu Ltd 不正アクセス検知装置、不正アクセス検知方法、不正アクセス検知プログラムおよび分散型サービス不能化攻撃検知装置
JP2008257577A (ja) 2007-04-06 2008-10-23 Lac Co Ltd セキュリティ診断システム、方法およびプログラム
JP2015216549A (ja) 2014-05-12 2015-12-03 富士通株式会社 表示方法、表示装置および表示プログラム
JP2016218695A (ja) 2015-05-20 2016-12-22 三菱電機株式会社 リスク分析結果表示装置
US20180337939A1 (en) 2017-05-17 2018-11-22 Anurag Agarwal Threat Model Chaining and Attack Simulation Systems and Methods
WO2019003373A1 (ja) 2017-06-29 2019-01-03 日本電気株式会社 攻撃状況可視化装置、攻撃状況可視化方法及び記録媒体

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
草間 好輝,林 正博,和田 章俊,通信ネットワークのセキュリティに関する一検討 A Study of Security Problem on Telecommunications Netw,電子情報通信学会技術研究報告 IEICE Technical Report,日本,一般社団法人電子情報通信学会 The Institute of Ele,2008年08月31日,Vol.118, No.212,pp.1-5,ISSN 0913-5685

Also Published As

Publication number Publication date
US12058164B2 (en) 2024-08-06
US20220174087A1 (en) 2022-06-02
WO2020195229A1 (ja) 2020-10-01
JPWO2020195229A1 (ja) 2021-12-23

Similar Documents

Publication Publication Date Title
EP2988468B1 (en) Apparatus, method, and program
JP6201614B2 (ja) ログ分析装置、方法およびプログラム
WO2014112185A1 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
JP2012104088A (ja) 情報セキュリティ保護ホスト
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
WO2020195228A1 (ja) 分析システム、方法およびプログラム
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
US20230129114A1 (en) Analysis system, method, and program
JP7111249B2 (ja) 分析システム、方法およびプログラム
US10445746B2 (en) Method for checking compliance of payment application in virtualized environment
WO2021059521A1 (ja) 分析システム、方法およびプログラム
WO2020195230A1 (ja) 分析システム、方法およびプログラム
WO2020246011A1 (ja) ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体
CN114143052B (zh) 基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质
US12081395B2 (en) Formal verification of network changes
JP7334794B2 (ja) 分析システム、方法およびプログラム
JP7424395B2 (ja) 分析システム、方法およびプログラム
JP7302665B2 (ja) 分析システム、方法およびプログラム
JP7302666B2 (ja) 分析システム、方法およびプログラム
JP7347521B2 (ja) 分析システム、方法およびプログラム
US20240146757A1 (en) Analysis apparatus, analysis system, analysis method and analysis program
JP7405162B2 (ja) 分析システム、方法およびプログラム
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
KR20240028209A (ko) 공격 체인 기반 공격 탐지 장치 및 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210820

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210820

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220412

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220621

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220704

R151 Written notification of patent or utility model registration

Ref document number: 7111249

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151