JP7283545B2 - 分析システム、方法およびプログラム - Google Patents

分析システム、方法およびプログラム Download PDF

Info

Publication number
JP7283545B2
JP7283545B2 JP2021532618A JP2021532618A JP7283545B2 JP 7283545 B2 JP7283545 B2 JP 7283545B2 JP 2021532618 A JP2021532618 A JP 2021532618A JP 2021532618 A JP2021532618 A JP 2021532618A JP 7283545 B2 JP7283545 B2 JP 7283545B2
Authority
JP
Japan
Prior art keywords
unit
analysis
configuration information
server
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021532618A
Other languages
English (en)
Other versions
JPWO2021009870A1 (ja
Inventor
峻一 木下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2021009870A1 publication Critical patent/JPWO2021009870A1/ja
Application granted granted Critical
Publication of JP7283545B2 publication Critical patent/JP7283545B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、診断対象システムへの攻撃に対する対処に関する判断材料となる情報を分析する分析システム、分析方法および分析プログラムに関する。
複数のコンピュータ等を含む情報処理システムにおいて、情報資産をサイバー攻撃等から守るためのセキュリティ対策をとることが求められている。セキュリティ対策としては、対象となるシステムの脆弱性等を診断し、必要に応じて脆弱性を取り除くこと等が挙げられる。
セキュリティ診断の対象となるシステムを、診断対象システムと記す。非特許文献1~2には、診断対象システムに対してセキュリティに関する対策をとるために、各脆弱性による影響を評価する資産管理システムがそれぞれ記載されている。
非特許文献1~2に記載されている資産管理システムは、診断対象システムをスキャンすることによって、診断対象システムに含まれる機器の情報を取得する。そして、非特許文献1~2に記載されている資産管理システムは、取得された情報を用いて、各機器のセキュリティに関する状況を管理する。
"NEC Cyber Security Platform "、[online]、日本電気株式会社、[ 平成31年 2月28日検索] 、インターネット<https://jpn.nec.com/ncsp/kinou.html> "SKYSEA Client View"、[online]、Sky 株式会社、[ 平成31年 2月28日検索] 、インターネット<https://www.skyseaclientview.net/product/function/res/>
非特許文献1~2に記載されているように、診断対象システムに含まれる各機器がスキャンされ各機器のセキュリティに関する情報が収集されることによって、機器の各々における脆弱性や、各機器に対して実行される可能性がある攻撃の有無等が特定される。しかしながら、機器毎にセキュリティ上の問題が特定される場合、特定されるセキュリティ上の問題が診断対象システム全体に及ぼす影響が把握されない可能性がある。
そこで、本発明は、診断対象システム全体の構成が考慮されたセキュリティ上の問題を分析できる分析システム、分析方法および分析プログラムを提供することを主たる目的とする。
本発明による分析システムは、診断対象システムに含まれる機器をスキャンして機器の構成情報を収集するエージェントから構成情報を取得する構成情報取得部と、構成情報を基に、診断対象システムまたは機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成する生成部と、1つ以上の初期ファクトを基に、診断対象システムにおいて実行可能な攻撃の流れを分析する分析部と、分析された攻撃の流れに対する対策を計画する対策計画部と、計画された対策を実行するように機器に指示する対策指示部とを備え、対策計画部は、エージェントによる実行が容易な対策を優先的に選択することを特徴とする。
本発明による分析方法は、分析サーバで実行される分析方法であって、分析サーバが、診断対象システムに含まれる機器をスキャンして機器の構成情報を収集するエージェントから構成情報を取得し、構成情報を基に、診断対象システムまたは機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成し、1つ以上の初期ファクトを基に、診断対象システムにおいて実行可能な攻撃の流れを分析し、分析された攻撃の流れに対する対策を計画し、計画された対策を実行するように機器に指示し、エージェントによる実行が容易な対策を優先的に選択することを特徴とする。
本発明による分析プログラムは、コンピュータに、診断対象システムに含まれる機器をスキャンして機器の構成情報を収集するエージェントから構成情報を取得する取得処理、構成情報を基に、診断対象システムまたは機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成する生成処理1つ以上の初期ファクトを基に、診断対象システムにおいて実行可能な攻撃の流れを分析する分析処理、分析された攻撃の流れに対する対策を計画する計画処理、および計画された対策を実行するように機器に指示する指示処理を実行させるための分析プログラムであって、計画処理で、エージェントによる実行が容易な対策を優先的に選択させることを特徴とする。
本発明によれば、診断対象システム全体の構成が考慮されたセキュリティ上の問題を分析できる。
本発明の第1の実施形態の分析サーバの構成例を示すブロック図である。 ファクト生成部122により生成される初期ファクトの例を示す説明図である。 分析部123により生成される攻撃グラフの例を示す説明図である。 第1の実施形態の分析サーバ100による攻撃グラフ表示処理の動作を示すフローチャートである。 本発明の第2の実施形態の構成管理サーバと分析サーバの使用例を示す説明図である。 本発明の第2の実施形態の構成管理サーバと分析サーバの各構成例を示すブロック図である。 第2の実施形態の構成管理サーバ500および分析サーバ600による対策指示処理の動作を示すフローチャートである。 本発明の第2の実施形態の分析サーバの他の構成例を示すブロック図である。 本発明によるサーバのハードウェア構成例を示す説明図である。 本発明による分析システムの概要を示すブロック図である。
以下、本発明の実施形態を図面を参照して説明する。
第1の実施形態.
図1は、本発明の第1の実施形態の分析サーバの構成例を示すブロック図である。第1の実施形態の分析サーバ100は、サーバ通信部110と、サーバ演算部120と、記憶部130と、表示部140とを備える。
本実施形態における分析サーバ100は、診断対象システムのセキュリティに関する状況を分析するためのシステムである。以下の各実施形態において、診断対象システムは、主に企業内のIT(Information Technology)システムであることを想定する。すなわち、診断対象システムでは、複数の機器が通信ネットワークを介して接続されている。なお、診断対象システムは上記の例に限られず、例えば、OT(Operational Technology)システムを制御するためのシステムでもよい。
診断対象システムに含まれる機器として、パーソナルコンピュータ、サーバ、スイッチ、ルータ等が挙げられる。ただし、診断対象システムに含まれる機器は、これらの例に限定されない。診断対象システムには、通信ネットワークに接続される他の種類の機器も含まれる。また、診断対象システムに含まれる機器は、物理的な機器であっても、仮想的な機器であってもよい。
図1に示す機器210、220は、診断対象システムに含まれる機器の一例である。診断対象システムに含まれる機器の数は、図1に示す例に限られず、特に限定されない。また、分析サーバ100は、診断対象システムに含まれる機器の一つであってもよい。また、分析サーバ100は、クラウドコンピューティングのような形態で診断対象システムの外部に設けられ、通信ネットワークを介して診断対象システムと接続されてもよい。
機器210は、機器演算部211と、機器通信部213とを備える。また、機器演算部211は、エージェント212を含む。機器演算部211は、機器210にて必要な処理を実行する機能を有する。機器演算部211は、例えばCPU(Central Processing Unit)で実現される。エージェント212の機能は、後述する。
なお、以下の説明では、説明の都合上、機器220は機器210と同等の機能を有することを想定する。すなわち、機器220が備える機器演算部221、エージェント222、および機器通信部223は、それぞれ、機器210が備える機器演算部211、エージェント212、および機器通信部213と同等の機能を有する。
本実施形態の分析サーバ100は、後述するように、各機器にインストールされたエージェントからそれぞれ構成情報を取得し、取得された各構成情報を攻撃の分析に用いる。
続いて、分析サーバ100の各要素を説明する。図1に示すように、サーバ演算部120は、構成情報取得部121と、ファクト生成部122と、分析部123と、出力部124とを含む。また、記憶部130は、構成情報記憶部131と、初期ファクト記憶部132と、分析結果記憶部133とを含む。
サーバ通信部110は、通信ネットワーク300を介して機器210、220それぞれと通信を行う機能を有する。
構成情報取得部121は、サーバ通信部110を介して機器210、220内のエージェント212、222の各々が収集した各機器の構成情報を取得する。
エージェント212、222は、一例として、予め定められたタイミングで機器210、220の各構成情報を収集し、収集された構成情報を構成情報取得部121に送信する。予め定められたタイミングには、毎日の予め定められた時刻や、機器の起動時等が含まれる。また、予め定められたタイミングには、その他のタイミングが含まれてもよい。
エージェント212、222が各構成情報を収集するタイミングや間隔は、診断対象システムの規模や機器210の具体的な機能等に応じて適宜定められればよい。また、そのように定められたタイミング以外のその他のタイミングで、エージェント212、222が機器210、220の各構成情報を収集してもよい。
また、構成情報取得部121は、機器210、220の各構成情報を収集するようにエージェント212、222それぞれに指示してもよい。エージェント221、222は、指示に応じて機器210、220の各構成情報を収集してもよい。
さらに、各構成情報を収集するタイミングと、収集された構成情報を構成情報取得部121に送信するタイミングは異なっていてもよい。例えば、モバイル端末のように機器210、220が通信ネットワーク300と常には接続されない機器である場合、エージェント211、222は、上述したようなタイミングで各構成情報を収集しておく。その後、機器210、220が通信ネットワーク300に接続されたときに、エージェント211、222は、収集された各構成情報を構成情報取得部121に送信するようにしてもよい。
次に、エージェント212の機能を説明する。エージェント212は、機器210内をスキャンすることによって、機器210の構成情報を収集する。エージェント212は、ソフトウェアで実現されてもよい。ソフトウェアで実現される場合、機器演算部211(例えばCPU )がエージェント212を実現するソフトウェアに従って動作することで、所望の機能が実現される。ここでは便宜的に、エージェント212を実現するソフトウェアに従う機器演算部211の動作をエージェント212の動作として説明する。
エージェント212が収集する構成情報は、機器210に搭載されているOS(Operating System)およびOSのバージョン、機器210に搭載されているハードウェアの構成情報、機器210に搭載されているソフトウェア、ソフトウェアのバージョンおよびソフトウェアの設定等である。
また、エージェント212が収集する構成情報には、ユーザアカウントおよびアカウント権限、接続しているネットワークやIP(Internet Protocol) アドレス、機器210と通信可能に接続されている機器や通信を行っている通信先の機器および通信内容、およびCPU の機種が含まれてもよい。
さらに、エージェント212が収集する構成情報には、機器210の通信先の機器との間で授受する通信データやその通信データの授受に用いられた通信プロトコルの情報、機器210のポートの状態を示す情報(どのポートが開いているか)が含まれてもよい。なお、通信データには、例えばその通信データの送信元や送信先の情報が含まれている。
なお、エージェント212が収集する構成情報の例は、上記の例に限定されない。エージェント212は、機器210の構成情報として、各機器において実行可能な攻撃を分析するために必要となる他の情報を収集してもよい。エージェント212は、収集された構成情報を、機器通信部213を介して分析サーバ100に送信する。なお、エージェント222も同様にして同種の構成情報を収集し、機器通信部223を介して分析サーバ100に構成情報を送信する。
機器通信部213は、通信ネットワーク300を介して分析サーバ100と通信を行う機能を有する。機器通信部213は、エージェント212から入力された構成情報を、分析サーバ100に送信する。
サーバ通信部110は、機器210、220それぞれから送信された各構成情報を受信する。サーバ通信部110は、受信された各構成情報を構成情報取得部121に入力する。
構成情報取得部121は、入力された各構成情報を、構成情報記憶部131に格納する。構成情報記憶部131は、構成情報を記憶する機能を有する。なお、構成情報記憶部131が記憶する構成情報は、構成情報取得部121から入力される情報に限られない。例えば、構成情報記憶部131には、エージェント212の機能を有さない、図示しない機器の情報が予め格納されていてもよい。
図1に示すように、構成情報取得部121および構成情報記憶部131が、上述した診断対象システムの構成を管理する構成管理部に相当する。構成管理部における機器の情報を取得する機能は、非特許文献1等に記載されている資産管理システムが有する機器の情報を取得する機能と類似する機能である。
ファクト生成部122は、構成情報記憶部131に記憶されている構成情報を参照して、1つ以上の初期ファクトを生成する機能を有する。本実施形態において、初期ファクトは、診断対象システムまたは診断対象システムに含まれる機器における主にセキュリティに関連する状態であって、後述する分析部123により参照可能な形式で記述された状態を指す。
図2は、ファクト生成部122により生成される初期ファクトの例を示す説明図である。図2(a)は、本例において想定する診断対象システムを示す。
図2(a)に示すように、本例における診断対象システムは、機器Aと、機器Bと、機器Cとを含むことを想定する。機器Aと機器Cは、インターネットに接続されている。また、機器Bは、機器Aと機器Cにネットワークを介して接続されている。機器A、機器B、機器Cのそれぞれは、図1に示す機器210、220に相当する。
構成情報取得部121は、機器A、B、Cの各々にインストールされたエージェントが収集した構成情報をそれぞれの機器から取得する。次いで、構成情報取得部121は、取得された各構成情報を構成情報記憶部131に格納する。ファクト生成部122は、構成情報記憶部131に記憶されている各機器に関する構成情報を用いて初期ファクトを生成する。
ファクト生成部122は、例えば、ある機器にインストールされているOSおよびOSのバージョンを構成情報から参照して、対象の機器に参照されたバージョンのOSがインストールされている、という状況を表す初期ファクトを生成する。
同様に、ファクト生成部122は、ある機器にインストールされているあるソフトウェアおよびソフトウェアのバージョンを構成情報から参照して、対象の機器に参照されたバージョンのソフトウェアがインストールされている、という状況を表す初期ファクトを生成してもよい。
または、ファクト生成部122は、ある第一の機器と通信可能に接続されている第二の機器を構成情報から参照して、第一の機器と第二の機器が通信可能に接続されている、という状況を表す初期ファクトを生成してもよい。
なお、ファクト生成部122が生成する初期ファクトは、上記の例に限られない。ファクト生成部122は、構成情報に含まれる任意の情報を初期ファクトとして生成してもよい。
図2(b)は、上述した診断対象システムに関して、ファクト生成部122が生成する初期ファクトの例を示す。図2(b)に示す例では、角丸四角形で表される要素の各々が、一つの初期ファクトを表す。
図2(b)に示すように、ファクト生成部122は、初期ファクトとして、「機器Aがインターネットに接続されている」、「機器AにソフトウェアXがインストールされている」等を生成している。なお、生成される初期ファクトは、図2(b)に示す例に限られず、診断対象システムまたは各機器に応じて適宜生成されればよい。
ファクト生成部122は、生成された1つ以上の初期ファクトを、初期ファクト記憶部132に格納する。初期ファクト記憶部132は、初期ファクトを記憶する機能を有する。
分析部123は、記憶されている1つ以上の初期ファクトを基に、攻撃グラフを生成する機能を有する。図3は、分析部123により生成される攻撃グラフの例を示す説明図である。
本実施形態における攻撃グラフは、診断対象システムにおいて実行可能な攻撃の流れを表すことができるグラフである。すなわち、攻撃グラフは、診断対象システムにおける、ある機器の脆弱性の有無等の状態や、ある機器において実行可能な攻撃から他の機器において実行可能になる攻撃の関係を表すことができる。
攻撃グラフは、ファクトをノードとし、ファクト間の関係をエッジとする有向グラフとして表される。有向グラフとして表される攻撃グラフにおいて、ファクトは、上述した初期ファクトであるか、または診断対象システムに含まれる各機器において実行可能な攻撃を表すファクトである。分析部123が攻撃グラフを生成することによって、診断対象システムにおいて発生する可能性がある攻撃が分析可能になる。
生成される攻撃グラフが用いられると、初期ファクトから攻撃の可能性を表すファクトまでの一連の流れを表す攻撃パスが導出可能になる。そして、攻撃パスが用いられると、診断対象システムにおける攻撃の流れや、優先的に対策が求められる機器等、個々の機器をスキャンして脆弱性情報を得るだけでは判断することが困難なセキュリティ上の事象が分析可能になる。
分析部123は、一例として、1つ以上の初期ファクトを基に、分析ルールを用いて攻撃グラフを生成する。分析ルールは、1つ以上のファクトから別のファクトを導き出すためのルールである。分析ルールは、分析サーバ100に予め定められている。
分析部123は、初期ファクトで表されるセキュリティに関連した状態が、分析ルールが示す条件にマッチするか否かを判断する。分析ルールが示す全ての条件に初期ファクトがマッチする場合、分析部123は、新たなファクトを導き出す。新たなファクトは、例えば、診断対象システムに含まれる各機器で実行可能な攻撃の内容を表す。
攻撃が可能であることを表す新たなファクトが導出されることは、診断対象システムに含まれる機器が、新たなファクトの導出に用いられた初期ファクトで表される状態である場合に導出された新たなファクトで表される攻撃が実行可能であることを示している。換言すると、新たなファクトの導出に用いられたファクトは、新たなファクトで表される攻撃が実行可能になるための前提条件である。
また、ある攻撃が実行可能であることを起因として、別の攻撃が実行可能になる場合がある。その場合、分析部123は、初期ファクトに加えて、上述したように新たに導出されたファクトを前提条件として、分析ルールを用いて新たなファクトの導出を繰り返し実行する。
新たなファクトの導出は、例えば新たなファクトが導出されなくなるまで繰り返し実行される。新たなファクトの導出と共に、分析部123は、初期ファクトまたは新たなファクトをノードとし、新たなファクトの前提である初期ファクトを含むファクトから新たなファクトまでをエッジで接続することによって攻撃グラフを生成する。
以下、分析部123による攻撃グラフの生成例を、図3を参照して具体的に説明する。診断対象システムにおいて、図3に示す初期ファクトが生成されていることを想定する。また、「ある機器がインターネットに接続されている」かつ「インターネットに接続されている機器のOSにリモートコード実行可能な脆弱性が存在する」場合に、「攻撃者がインターネットに接続されている機器上でコードを実行可能である」という関係が分析ルールとして予め定められていると想定する。
図3を参照すると、初期ファクトから、機器Aに関して上記の分析ルールの条件が全て満たされることが分かる。よって、分析部123は、「攻撃者が機器Aにおいてコード実行可能」という新たなファクトを導出する。
また、分析部123は、初期ファクトから導出された新たなファクトまでの攻撃パスを表す攻撃グラフを生成する。具体的には、分析部123は、2つの初期ファクトそれぞれから実行可能な攻撃を表すファクトへ向かうエッジで、2つの初期ファクトそれぞれと攻撃を表すファクトとを接続する。
次に、攻撃が実行可能になったために別の攻撃が実行可能になる場合の分析部123による攻撃グラフの生成例を説明する。
図3に示す例で、初期ファクト、および「攻撃者が機器Aにおいてコード実行可能」というファクトが生成されていることを想定する。また、「ある第一の機器にインストールされているソフトウェアYにリモートコード実行可能な脆弱性が存在」かつ、「第一の機器と第二の機器が通信可能に接続されている」かつ、「攻撃者が第二の機器においてコード実行可能」である場合、「攻撃者が第一の機器においてコード実行可能」という関係が分析ルールとして予め定められていると想定する。
図3を参照すると、診断対象システムにおいて、初期ファクトから、「機器BにインストールされているソフトウェアYにリモートコード実行可能な脆弱性が存在」、「機器Aと機器Bが通信可能に接続されている」ことが分かる。また、上述したように「攻撃者が機器Aにおいてコード実行可能」なことが導き出されている。すなわち、分析ルールに含まれる条件が全て満たされることが分かる。換言すると、「攻撃者が機器Bにおいてコード実行可能」であることが分かる。
よって、分析部123は、「攻撃者が機器Bにおいてコード実行可能」という新たなファクトを導出する。また、分析部123は、初期ファクトから導出された新たなファクトまでの攻撃パスを表す攻撃グラフを生成する。
具体的には、分析部123は、2つの初期ファクトそれぞれと、「攻撃者が機器Aにおいてコード実行可能」というファクトから実行可能な攻撃を表すファクトへ向かうエッジで、3つのファクトそれぞれと攻撃を表すファクトとを接続する。
以上の処理により、図3に示す攻撃グラフが生成される。すなわち、初期ファクトから「攻撃者が機器Bにおいてコード実行可能」までの一連の流れが攻撃パスとして表される。
なお、分析部123が攻撃グラフを生成する手順は、上述した手順に限られない。分析部123は、上述した手順以外の手順に従って、初期ファクトを基に攻撃グラフを生成してもよい。また、分析部123は、初期ファクトから診断対象システムにおいて実行可能な攻撃または攻撃の流れを求めるための上記の手法以外の別の手法を用いて分析してもよい。
なお、診断対象システムによっては、分析部123が攻撃パスを含む攻撃グラフを生成できない場合が想定される。例えば、診断対象システムの各機器に対して十分なセキュリティ対策が実行されており、攻撃が実行可能となる前提を表す初期ファクトが存在しない場合、意味のある攻撃パスを含むような攻撃グラフが生成されないことが想定される。
以上のような手順に従って、分析部123は、攻撃グラフを生成する。分析部123は、生成された攻撃グラフを示す情報を分析結果記憶部133に格納する。分析結果記憶部133は、攻撃グラフを示す情報を記憶する機能を有する。
出力部124は、分析結果記憶部133に記憶されている攻撃グラフの情報や、診断対象システムにおけるセキュリティの分析に関して必要なその他の情報を必要に応じて表示部140に出力する機能を有する。また、表示部140は、出力部124から出力された攻撃グラフ等の情報を表示する機能を有する。
なお、表示部140は、診断対象システムとなる企業内のITシステムの管理者が参照するディスプレイ等でもよい。また、表示部140は、出力部124とネットワークを介して接続される他の機器等でもよい。
図1に示すように、ファクト生成部122、分析部123、出力部124、初期ファクト記憶部132、および分析結果記憶部133は、初期ファクトから、診断対象システムにおいて発生する可能性がある攻撃や攻撃への対策を分析するために使用可能な攻撃グラフを生成する攻撃グラフ分析部に相当する。
[動作の説明]
以下、図4を参照して、本実施形態の分析サーバ100の攻撃グラフを表示する動作を説明する。図4は、第1の実施形態の分析サーバ100による攻撃グラフ表示処理の動作を示すフローチャートである。
最初に、構成情報取得部121は、機器210、220の各構成情報を収集するようにエージェント212、222それぞれに指示する(ステップS101)。なお、ステップS101の処理は、省略されてもよい。
次いで、エージェント212、222は、機器210、220内をそれぞれスキャンすることによって、各構成情報をそれぞれ収集する(ステップS102)。次いで、機器通信部213、223は、収集された各構成情報を分析サーバ100にそれぞれ送信する(ステップS103)。
サーバ通信部110は、送信された各構成情報を受信し、受信された各構成情報を構成情報取得部121に入力する。次いで、構成情報取得部121は、入力された各構成情報を構成情報記憶部131に格納する(ステップS104)。
次いで、ファクト生成部122は、構成情報記憶部131に記憶されている構成情報を参照して、初期ファクトを生成する(ステップS105)。次いで、ファクト生成部122は、生成された初期ファクトを、初期ファクト記憶部132に格納する(ステップS106)。
次いで、分析部123は、初期ファクト記憶部132に記憶されている初期ファクトを基に、攻撃グラフを生成する(ステップS107)。次いで、分析部123は、生成された攻撃グラフを、分析結果記憶部133に格納する(ステップS108)。
次いで、出力部124は、分析結果記憶部133に記憶されている攻撃グラフを表示部140に表示する(ステップS109)。攻撃グラフを表示した後、分析サーバ100は、攻撃グラフ表示処理を終了する。
[効果の説明]
本実施形態の分析サーバ100は、構成管理部の各要素がエージェントを用いて収集した情報から得られた初期ファクトに基づいて、攻撃グラフを生成する。攻撃グラフや、攻撃グラフに含まれる攻撃パスを用いることによって、分析サーバ100は、診断対象システムに含まれる機器において攻撃が行われる可能性や、攻撃が行われる場合に他の機器で発生する可能性がある別の攻撃の有無等を分析できる。よって、本実施形態の分析サーバ100は、診断対象システム全体の構成が考慮されたセキュリティ上の問題を分析できる。
診断対象システムが企業のITシステムである場合、システムやシステムに含まれる機器の状態が頻繁に変わることが多い。例えば、新たな機器が診断対象システムであるネットワークに接続されることや、システムに含まれる機器ソフトウェアのインストールやアップデートが行われることによって、システムの状態が変わる可能性がある。
本実施形態の分析サーバ100は、機器に搭載されたエージェントが機器をスキャンすることによって収集された情報を用いて、現実の診断対象システムの状態に即した攻撃グラフを生成できる。よって、本実施形態の分析サーバ100は、現実の診断対象システムの状態と乖離することなく、実際に発生する可能性がある攻撃を分析できる。
なお、第1の実施形態の変形例として、以下に説明する例が考えられる。
上述したように、分析サーバ100の構成管理部における機器の情報を取得する機能は、非特許文献1に記載されている資産管理システム等が有する機器の情報を取得する機能に類似する機能である。よって、診断対象システムにおいて資産管理システムが運用されている場合、分析サーバ100の構成管理部に含まれる各要素は、資産管理システムが有する機器の情報を取得する機能を、資産管理システムと共有してもよい。
機器の情報を取得する機能を資産管理システムと共有する場合、分析サーバ100は、構成管理部に含まれる要素を備えなくてもよい。そして、分析サーバ100は、各機器のエージェントが各機器をスキャンすることによって資産管理システムが収集した機器の情報を、資産管理システムから取得してもよい。
第2の実施形態.
図5は、本発明の第2の実施形態の構成管理サーバと分析サーバの使用例を示す説明図である。図5に示す社内ネットワークである通信ネットワーク300は、例えば企業内のITシステムであり、本実施形態における診断対象システムの一例である。そして、本実施形態の構成管理サーバ500および分析サーバ600が、通信ネットワーク300に接続されている。
なお、通信ネットワーク300に接続される機器の数は特に制限されず、数千台以上の機器が接続されていてもよい。図5は、複数の機器が接続されている場合を一例として示している。
また、図5に示すように、社内ネットワークは、インターネットを介してインテリジェンス配信サーバ400と通信可能に接続されている。なお、社内ネットワークとインターネットとは、ゲートウェイ(図5に示すGW)で接続されている。
インテリジェンス配信サーバ400は、脆弱性の種類、脆弱性の内容、および脆弱性への対策方法等を示すインテリジェンス情報を配信する機能を有する。インテリジェンス配信サーバ400は、例えば、上述した脆弱性の情報や新しく発見された脆弱性、悪用が流行している脆弱性を示すインテリジェンス情報を配信する。
なお、脆弱性はソフトウェアの特定のバージョンに存在する場合があるため、インテリジェンス情報は、脆弱性が存在しないバージョンへの更新を利用者に促すことを示す情報でもよい。
また、ソフトウェアに脆弱性が存在する場合であっても、脆弱性の悪用は、特定の設定が行われているときのみ可能である場合がある。そのような場合のインテリジェンス情報は、脆弱性の悪用が不可能な設定への変更を利用者に促すことを示す情報でもよい。
なお、図5に示す例と異なる使用例も考えられる。例えば、構成管理サーバ500と分析サーバ600のいずれか一方または両方は、社内ネットワークの外部に設けられ、GWを介して社内ネットワークと接続されてもよい。
また、インテリジェンス配信サーバ400は、社内ネットワークの内部に設けられていてもよい。また、社内ネットワークは、さらに複数のセグメントに分割されていてもよい。構成管理サーバ500、分析サーバ600、およびインテリジェンス配信サーバ400の各々のネットワーク上の配置は、種々想定される。
以下、構成管理サーバ500および分析サーバ600の構成、動作をそれぞれ説明する。図6は、本発明の第2の実施形態の構成管理サーバと分析サーバの各構成例を示すブロック図である。図6に示すように、第2の実施形態の構成管理サーバ500は、第1サーバ通信部510と、第1サーバ演算部520と、第1記憶部530とを備える。
また、図6に示すように、第1サーバ演算部520は、インテリジェンス情報収集部521と、構成情報取得部522と、対策指示部523とを含む。また、第1記憶部530は、インテリジェンス情報記憶部531と、構成情報記憶部532とを含む。
なお、第1の実施形態と同様に、機器210、220は、診断対象システムである図5に示す社内ネットワークに含まれる機器の一例である。第1の実施形態と同様に、診断対象システムに含まれる機器の数は、図6に示す例に限られず、特に限定されない。
第1サーバ通信部510は、通信ネットワーク300を介して機器210、220と、インテリジェンス配信サーバ400と、分析サーバ600とそれぞれ通信を行う機能を有する。
インテリジェンス情報収集部521は、インテリジェンス配信サーバ400から配信されたインテリジェンス情報を、第1サーバ通信部510を介して取得する機能を有する。
インテリジェンス情報収集部521は、取得されたインテリジェンス情報を、インテリジェンス情報記憶部531に格納する。インテリジェンス情報記憶部531は、インテリジェンス情報を記憶する機能を有する。なお、インテリジェンス情報収集部521およびインテリジェンス情報記憶部531は、構成管理サーバ500に含まれていなくてもよい。
対策指示部523は、後述する対策計画部624が定めた対策を実行するように、エージェント212、222に指示する機能を有する。対策指示部523は、エージェント212、222に対して、それぞれの機器の状況に応じた対策を送信する。
対策は、例えば「指定されたパッチの適用」、「設定の変更」、「脆弱性が解消されたバージョンへのソフトウェアの更新」、「ファイアウォールの設定」である。
対策を行うように指示が送信されると、エージェント212、222は、例えば共に送信された対策を自動で実行する。また、エージェント212、222は、各機器の利用者が把握できるように、送信された対策の内容をポップアップ等の形式で機器210または機器220が備えるディスプレイに表示させること等によって、機器の利用者に提示してもよい。また、送信された対策は、自動で実行されてもよいし、対策を提示された機器の利用者により手動で実行されてもよい。
構成情報取得部522、および構成情報記憶部532は、第1の実施形態で説明された構成情報取得部121、および構成情報記憶部131のそれぞれと実質的に同等の機能を有する。
また、図6に示すように、第2の実施形態の分析サーバ600は、第2サーバ通信部610と、第2サーバ演算部620と、第2記憶部630と、表示部640とを備える。
また、図6に示すように、第2サーバ演算部620は、ファクト生成部621と、分析部622と、出力部623と、対策計画部624とを含む。また、第2記憶部630は、初期ファクト記憶部631と、分析結果記憶部632とを含む。
第2サーバ通信部610は、通信ネットワーク300を介して構成管理サーバ500と通信を行う機能を有する。
分析部622、初期ファクト記憶部631、および分析結果記憶部632は、第1の実施形態の分析部123、初期ファクト記憶部132、および分析結果記憶部133とそれぞれ実質的に同等の機能を有する。
ファクト生成部621は、第2サーバ通信部610を介して構成管理サーバ500の構成情報記憶部532に記憶されている構成情報を参照し、1つ以上の初期ファクトを生成する機能を有する。さらに、ファクト生成部621は、インテリジェンス情報記憶部531に記憶されているインテリジェンス情報を参照して初期ファクトを生成してもよい。ファクト生成部621は、第1の実施形態のファクト生成部122と同様に1つ以上の初期ファクトを生成する。
対策計画部624は、導出された攻撃グラフを用いて、診断対象システムにおけるセキュリティ対策を計画する。対策計画部624は、構成管理サーバ500のインテリジェンス情報記憶部531に格納されたインテリジェンス情報を用いて対策を計画してもよい 。
攻撃パスにおいて、ある攻撃が実行可能である場合、実行可能な攻撃の前提となるファクトが解消されると攻撃の実行可能性が解消される可能性がある。すなわち、攻撃パスに含まれるファクトに関連する機器の構成が改められると、攻撃の可能性が解消される可能性がある。そこで、対策計画部624は、攻撃パスに含まれるファクトと関連する機器の構成を改めるようにセキュリティ対策を計画する。
以下、図3に示す例を想定する。図3に示す例では、「攻撃達成に寄与するファクト」として表された初期ファクトの全てが存在することによって、「攻撃者が機器Bにおいてコード実行可能」という攻撃が実行可能になっている。換言すると、「攻撃達成に寄与するファクト」として表された初期ファクトのいずれかが存在しないと、「攻撃者が機器Bにおいてコード実行可能」という攻撃が実行される可能性が解消する。
そこで、対策計画部624は、「攻撃者が機器Bにおいてコード実行可能」という攻撃を解消するためのセキュリティ対策として、「攻撃達成に寄与するファクト」として表された初期ファクトと関連する構成の1つ以上を改めるようなセキュリティ対策を計画する。すなわち、対策計画部624は、一例として、「機器Aのインターネット接続を遮断」、「機器Aのリモートコード実行可能な脆弱性を解消」、「機器Aと機器Bとの間の通信を遮断」、「機器Bにインストールされたソフトウェアの脆弱性を解消」等の対策のうちの1つ以上の対策を行うというセキュリティ対策を計画する。
上記のように、攻撃パスを用いて対策を計画することによって、対策計画部624は、診断対象システムにおいて実行可能な攻撃を防ぐための適切な対策を計画できる。
なお、対策計画部624は、攻撃パスに含まれるファクトと関連する構成の全てを改めるようにセキュリティ対策を計画してもよいし、攻撃パスに含まれるファクトと関連する構成のうちの一部の構成を優先して改めるようにセキュリティ対策を計画してもよい。「一部の構成を優先して改める」とは、例えば、対象の構成を他の構成より先に改める、または対象の構成のみを改めることを意味する。
対策計画部624が攻撃パスに含まれるファクトと関連する構成のうちの一部の構成を改めるようにセキュリティ対策を計画する際、選択される構成は、種々想定される。
例えば、対策計画部624は、より多くの攻撃パスに含まれるファクトと関連する機器の構成を優先的に改めるように対策を計画してもよい。また、対策計画部624は、インテリジェンス情報記憶部531に格納されたインテリジェンス情報を適宜参照し、緊急性が高い脆弱性を解消するようにセキュリティ対策を計画してもよい。
また、対策計画部624は、重要な機器に関連する攻撃パスに含まれる構成を優先的に改めるように対策を計画してもよい。
例えば、攻撃パスに含まれるファクトと関連する機器が、企業の機密情報を保持するサーバである場合等のように、何らかの基準で重要な機器であることを想定する。重要な機器である場合、対策計画部624は、攻撃パスに含まれるファクトと関連する構成を、他の構成よりも優先的に改めるようなセキュリティ対策を計画する。
また、対策計画部624は、実行が容易な対策を優先的に行うようなセキュリティ対策を計画してもよい。
図3に示す例で、機器Bが連続的に稼働する重要なサーバであり、ソフトウェアの更新が困難であるが、機器Aとの通信は必要ない機器であると想定する。また、構成情報として、上記の情報が収集されていると想定する。
上記の場合、対策計画部624は、例えば、「機器Aと機器Bとの通信を遮断する」というセキュリティ対策を計画する。
また、機器Aと機器Bの通信の要否が不明である場合、通信の要否を調査する必要があるため、機器Aと機器Bとの通信の遮断を容易に実行することは困難である。通信の要否が不明である場合、対策計画部624は、例えば「機器Aのリモートコード実行可能な脆弱性を解消」という対策を選択してもよい。
または、対策計画部624は、エージェント212、222による実行が容易な対策を優先的に選択するようにセキュリティ対策を計画してもよい。
例えば、OSやソフトウェアの脆弱性の解消は、エージェントによる実行が容易な対策である。しかし、接続するネットワークの変更は、ハードウェア構成の変更を含むシステム全体の改修を伴う場合があるため、エージェントによる実行が困難な対策である。よって、対策計画部624は、接続するネットワークの変更よりもOSやソフトウェアの脆弱性の解消を優先的に選択する。
さらに、対策計画部624は、エージェント212、222が自動で実行可能な対策を優先的に選択するようにセキュリティ対策を計画してもよい。
例えば、あるOSの脆弱性の解消は、機器を再起動する等の手動での作業が利用者に求められる対策である。また、あるソフトウェアの脆弱性の解消は、エージェント212、222が自動で実行できる対策である。よって、対策計画部624は、ソフトウェアの脆弱性の解消を優先的に選択する。なお、脆弱性の解消には、ソフトウェアの更新、ソフトウェアの設定変更、ソフトウェアの削除等が含まれる。
対策計画部624は、対策計画を生成すると、生成された対策計画を、第2サーバ通信部610を介して対策指示部523に送信する。先に説明したように、対策指示部523は、診断対象システムに含まれる機器の各々に対して、対策と共に、対策を実行する旨の指示を送信する。
出力部624は、分析結果記憶部633に記憶されている攻撃グラフの情報や、対策計画部624で計画されたセキュリティ対策、または診断対象システムにおけるセキュリティの分析に関して必要なその他の情報を表示部640に出力する。
表示部640は、表示部140と同様に、出力部624から出力された情報を表示する機能を有する。なお、表示部640は、診断対象システムである企業内のITシステムの管理者が参照するディスプレイ等でもよい。また、表示部640は、出力部624とネットワークを介して接続される他の機器等でもよい。
[動作の説明]
以下、図7を参照して、本実施形態の構成管理サーバ500および分析サーバ600の対策を指示する動作を説明する。図7は、第2の実施形態の構成管理サーバ500および分析サーバ600による対策指示処理の動作を示すフローチャートである。
最初に、インテリジェンス情報収集部521は、インテリジェンス配信サーバ400から配信されたインテリジェンス情報を、第1サーバ通信部510を介して取得する(ステップS201)。
次いで、インテリジェンス情報収集部521は、取得されたインテリジェンス情報をインテリジェンス情報記憶部531に格納する(ステップS202)。
次いで、構成情報取得部522は、機器210、220の各構成情報を収集するようにエージェント212、222にそれぞれ指示する(ステップS203)。なお、ステップS201~S203の処理は、省略されてもよい。
次いで、エージェント212、222は、機器210、220内をそれぞれスキャンすることによって、各構成情報をそれぞれ収集する(ステップS204)。次いで、機器通信部213、223は、収集された各構成情報を構成管理サーバ500にそれぞれ送信する(ステップS205)。
第1サーバ通信部510は、送信された各構成情報を受信し、受信された各構成情報を構成情報取得部522に入力する。次いで、構成情報取得部522は、入力された各構成情報を構成情報記憶部532に格納する(ステップS206)。
次いで、ファクト生成部621は、第2サーバ通信部610を介して構成管理サーバ500の構成情報記憶部532に記憶されている構成情報を参照し、初期ファクトを生成する(ステップS207)。なお、ファクト生成部621は、初期ファクトを生成する際、インテリジェンス情報記憶部531に記憶されているインテリジェンス情報を参照してもよい。
次いで、ファクト生成部621は、生成された初期ファクトを、初期ファクト記憶部631に格納する(ステップS208)。
次いで、分析部622は、初期ファクト記憶部631に記憶されている初期ファクトを基に、攻撃グラフを生成する(ステップS209)。次いで、分析部622は、生成された攻撃グラフを、分析結果記憶部632に格納する(ステップS210)。
次いで、出力部623は、分析結果記憶部632に記憶されている攻撃グラフを表示部640に表示する(ステップS211)。
次いで、対策計画部624は、表示された攻撃グラフに攻撃パスが含まれているか否かを確認する(ステップS212)。攻撃パスが含まれていない場合(ステップS212におけるNo)、構成管理サーバ500および分析サーバ600は、対策指示処理を終了する。
攻撃パスが含まれている場合(ステップS212におけるYes )、対策計画部624は、導出された攻撃パスに基づいて対策を生成する(ステップS213)。次いで、対策計画部624は、生成された対策を、第2サーバ通信部610を介して対策指示部523に送信する。
次いで、対策指示部523は、対策計画部624から送信された対策を実行するように、エージェント212、222にそれぞれ指示する(ステップS214)。エージェント212、222には、対策指示部523から指示と共に対策が送信される。
次いで、エージェント212、222は、送信された対策をそれぞれ実行する(ステップS215)。対策が実行された後、構成管理サーバ500および分析サーバ600は、対策指示処理を終了する。
[効果の説明]
本実施形態の分析サーバ600は、第1の実施形態で説明された分析サーバ100が奏する効果と同様の効果を奏する。さらに、分析サーバ600は、攻撃グラフや攻撃グラフに含まれる攻撃パスに基づいて、診断対象システムにおけるセキュリティ対策を計画できる。
非特許文献1に記載されている構成管理システム等では、一般的に、診断対象システムに含まれる機器毎に脆弱性の有無の判断や対策の計画が行われる。本実施形態の分析サーバ600は、構成管理サーバ500と連携しつつ、上述したように攻撃グラフを用いてセキュリティ対策を計画する。
すなわち、上述したように、本実施形態の分析サーバ600は、診断対象システムに含まれる機器において攻撃が行われる可能性、攻撃が行われる場合に他の機器で発生する可能性がある別の攻撃の有無、ある機器で攻撃が行われる場合の影響範囲等を分析できる。分析サーバ600が用いられると、非特許文献1に記載されている構成管理システム等で生成されるセキュリティ対策に加えて、診断対象システム全体の構成や影響が考慮されたセキュリティ上の対策が生成可能になる。
以下、本実施形態の変形例を説明する。図8は、本発明の第2の実施形態の分析サーバの他の構成例を示すブロック図である。図8に示すように、第2の実施形態の分析サーバ700は、サーバ通信部710と、サーバ演算部720と、記憶部730と、表示部740とを備える。
サーバ通信部710は、通信ネットワーク300を介して、機器210、220、インテリジェンス配信サーバ400とそれぞれ通信を行う機能を有する。
また、図8に示すように、サーバ演算部720は、インテリジェンス情報収集部721と、構成情報取得部722と、ファクト生成部723と、分析部724と、対策計画部725と、対策指示部726と、出力部727とを含む。
インテリジェンス情報収集部721、構成情報取得部722、ファクト生成部723、分析部724、対策計画部725、対策指示部726、および出力部727が有する各機能は、インテリジェンス情報収集部521、構成情報取得部522、ファクト生成部621、分析部622、対策計画部624、対策指示部523、および出力部623が有する各機能とそれぞれ同様である。
また、図8に示すように、記憶部730は、インテリジェンス情報記憶部731と、構成情報記憶部732と、初期ファクト記憶部733と、分析結果記憶部734とを含む。
インテリジェンス情報記憶部731、構成情報記憶部732、初期ファクト記憶部733、および分析結果記憶部734が有する各機能は、インテリジェンス情報記憶部531、構成情報記憶部532、初期ファクト記憶部631、および分析結果記憶部632が有する各機能とそれぞれ同様である。また、表示部740が有する機能は、表示部640が有する機能と同様である。
すなわち、図6に示す構成管理サーバ500と分析サーバ600は、図8に示す分析サーバ700のような1つのシステムで実現されてもよい。
さらに、分析サーバ700は、インテリジェンス配信サーバ400が有する機能を有してもよい。換言すると、インテリジェンス配信サーバ400、構成管理サーバ500、および分析サーバ600が、1つのシステムで実現されてもよい。
いずれの場合においても、分析サーバ700は、診断対象システムであるネットワークの内部に設けられてもよいし、診断対象システムであるネットワークの外部に設けられ、WAN(Wide Area Network)を介して診断対象システムと接続されてもよい。さらに、構成管理サーバ500、分析サーバ600、または分析サーバ700が有する各機能の一部または全てが、クラウドコンピューティングの形態で提供されてもよい。
以下、各実施形態のサーバのハードウェア構成の具体例を説明する。図9は、本発明によるサーバのハードウェア構成例を示す説明図である。図9に示すサーバは、第1の実施形態の分析サーバ100、第2の実施形態の構成管理サーバ500、分析サーバ600、および分析サーバ700のいずれにも相当する。
図9に示すサーバは、CPU 11と、主記憶部12と、通信部13と、補助記憶部14とを備える。また、ユーザが操作するための入力部15や、ユーザに処理結果または処理内容の経過を提示するための出力部16を備える。
分析サーバ100、構成管理サーバ500、分析サーバ600、および分析サーバ700は、一例として、各構成要素が有する機能を提供するプログラムを図9に示すCPU 11が実行することによって、ソフトウェアにより実現される。
すなわち、CPU 11が補助記憶部14に格納されているプログラムを、主記憶部12にロードして実行し、分析サーバ100、構成管理サーバ500、分析サーバ600、または分析サーバ700の動作を制御することによって、各機能がソフトウェアにより実現される。
主記憶部12は、データの作業領域やデータの一時退避領域として用いられる。主記憶部12は、例えばRAM(Random Access Memory) である。記憶部130、第1記憶部530、第2記憶部630、および記憶部730は、主記憶部12で実現される。
通信部13は、有線のネットワークまたは無線のネットワーク(情報通信ネットワーク)を介して、周辺機器との間でデータを入力および出力する機能を有する。サーバ通信部110、第1サーバ通信部510、第2サーバ通信部610、およびサーバ通信部710は、通信部13で実現される。
補助記憶部14は、一時的でない有形の記憶媒体である。一時的でない有形の記憶媒体として、例えば磁気ディスク、光磁気ディスク、CD-ROM(Compact Disk Read Only Memory) 、DVD-ROM(Digital Versatile Disk Read Only Memory)、半導体メモリが挙げられる。
入力部15は、データや処理命令を入力する機能を有する。入力部15は、例えばキーボードやマウス等の入力デバイスである。
出力部16は、データを出力する機能を有する。出力部16は、例えば液晶ディスプレイ装置等の表示装置である。表示部140、表示部640、および表示部740は、出力部16で実現される。
また、図9に示すように、サーバにおいて、各構成要素は、システムバス17に接続されている。
補助記憶部14は、例えば第1の実施形態において、構成情報取得部121、ファクト生成部122、分析部123、および出力部124を実現するためのプログラムを記憶している。
また、補助記憶部14は、例えば第2の実施形態の構成管理サーバ500において、インテリジェンス情報収集部521、構成情報取得部522、および対策指示部523を実現するためのプログラムを記憶している。
また、補助記憶部14は、例えば第2の実施形態の分析サーバ600において、ファクト生成部621、分析部622、出力部623、および対策計画部624を実現するためのプログラムを記憶している。
また、補助記憶部14は、例えば第2の実施形態の変形例において、インテリジェンス情報収集部721、構成情報取得部722、ファクト生成部723、分析部724、対策計画部725、対策指示部726、および出力部727を実現するためのプログラムを記憶している。
上述した各サーバの実現方法には、様々な変形例がある。例えば、各サーバは、構成要素毎にそれぞれ別個の情報処理装置とプログラムとの任意の組み合わせにより実現されてもよい。また、各装置が備える複数の構成要素が、一つの情報処理装置とプログラムとの任意の組み合わせにより実現されてもよい。
また、各構成要素の一部または全部は、汎用の回路(circuitry) または専用の回路、プロセッサ等やこれらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
各構成要素の一部または全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。
次に、本発明の概要を説明する。図10は、本発明による分析システムの概要を示すブロック図である。本発明による分析システム20は、診断対象システムに含まれる機器をスキャンして機器の構成情報を収集するエージェントから構成情報を取得する構成情報取得部21(例えば、構成情報取得部121)と、構成情報を基に、診断対象システムまたは機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成する生成部22(例えば、ファクト生成部122)と、1つ以上の初期ファクトを基に、診断対象システムにおいて実行可能な攻撃の流れを分析する分析部23(例えば、分析部123)とを備える。
そのような構成により、分析システムは、診断対象システム全体の構成が考慮されたセキュリティ上の問題を分析できる。
以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下に限られない。
(付記1)診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得する構成情報取得部と、前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成する生成部と、前記1つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析する分析部とを備えることを特徴とする分析システム。
(付記2)分析部は、初期ファクトと分析ルールとを基に、実行可能な攻撃の流れを分析する付記1記載の分析システム。
(付記3)分析部は、攻撃の流れを表すことができる攻撃グラフを生成することによって、実行可能な攻撃の流れを分析する付記1または付記2記載の分析システム。
(付記4)分析された攻撃の流れに対する対策を計画する対策計画部と、計画された対策を実行するように機器に指示する対策指示部とを備える付記1から付記3のうちのいずれかに記載の分析システム。
(付記5)対策計画部は、機器の構成のうち、初期ファクトと関連する1つ以上の構成を改めるような対策を計画する付記4記載の分析システム。
(付記6)構成情報取得部と、対策指示部とを有する構成管理サーバと、生成部と、分析部と、対策計画部とを有する分析サーバとを含む付記4または付記5記載の分析システム。
(付記7)生成部は、脆弱性に関する情報を基に初期ファクトを生成する付記1から付記6のうちのいずれかに記載の分析システム。
(付記8)分析部は、分析された攻撃の流れに起因する新たな攻撃の流れを分析する付記1から付記7のうちのいずれかに記載の分析システム。
(付記9)診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得し、前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成し、前記1つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析することを特徴とする分析方法。
(付記10)コンピュータに、診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得する取得処理、前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成する生成処理、および前記1つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析する分析処理を実行させるための分析プログラム。
11 CPU
12 主記憶部
13 通信部
14 補助記憶部
15 入力部
16 出力部
17 システムバス
20 分析システム
21、121、522、722 構成情報取得部
22 生成部
23、123、622、724 分析部
100、600、700 分析サーバ
110、710 サーバ通信部
120、720 サーバ演算部
122、621、723 ファクト生成部
124、623、727 出力部
130、730 記憶部
131、532、732 構成情報記憶部
132、631、733 初期ファクト記憶部
133、632、734 分析結果記憶部
140、640、740 表示部
210、220 機器
211、221 機器演算部
212、222 エージェント
213、223 機器通信部
300 通信ネットワーク
400 インテリジェンス配信サーバ
500 構成管理サーバ
510 第1サーバ通信部
520 第1サーバ演算部
521、721 インテリジェンス情報収集部
523、726 対策指示部
530 第1記憶部
531、731 インテリジェンス情報記憶部
610 第2サーバ通信部
620 第2サーバ演算部
624、725 対策計画部
630 第2記憶部

Claims (9)

  1. 診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得する構成情報取得部と、
    前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成する生成部と、
    前記1つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析する分析部と
    分析された攻撃の流れに対する対策を計画する対策計画部と、
    計画された対策を実行するように前記機器に指示する対策指示部とを備え、
    前記対策計画部は、
    前記エージェントによる実行が容易な対策を優先的に選択する
    ことを特徴とする分析システム。
  2. 分析部は、初期ファクトと分析ルールとを基に、実行可能な攻撃の流れを分析する
    請求項1記載の分析システム。
  3. 分析部は、攻撃の流れを表すことができる攻撃グラフを生成することによって、実行可能な攻撃の流れを分析する
    請求項1または請求項2記載の分析システム。
  4. 対策計画部は、機器の構成のうち、初期ファクトと関連する1つ以上の構成を改めるような対策を計画する
    請求項記載の分析システム。
  5. 構成情報取得部と、対策指示部とを有する構成管理サーバと、
    生成部と、分析部と、対策計画部とを有する分析サーバとを含む
    請求項または請求項記載の分析システム。
  6. 生成部は、脆弱性に関する情報を基に初期ファクトを生成する
    請求項1から請求項のうちのいずれか1項に記載の分析システム。
  7. 分析部は、分析された攻撃の流れに起因する新たな攻撃の流れを分析する
    請求項1から請求項のうちのいずれか1項に記載の分析システム。
  8. 分析サーバで実行される分析方法であって、
    前記分析サーバが、
    診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得し、
    前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成し、
    前記1つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析し、
    分析された攻撃の流れに対する対策を計画し、
    計画された対策を実行するように前記機器に指示し、
    前記エージェントによる実行が容易な対策を優先的に選択する
    ことを特徴とする分析方法。
  9. コンピュータに、
    診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得する取得処理、
    前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す1つ以上の初期ファクトを生成する生成処理
    前記1つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析する分析処理
    分析された攻撃の流れに対する対策を計画する計画処理、および
    計画された対策を実行するように前記機器に指示する指示処理を実行させるための分析プログラムであって、
    前記計画処理で、前記エージェントによる実行が容易な対策を優先的に選択させる
    分析プログラム
JP2021532618A 2019-07-17 2019-07-17 分析システム、方法およびプログラム Active JP7283545B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/028085 WO2021009870A1 (ja) 2019-07-17 2019-07-17 分析システム、方法およびプログラム

Publications (2)

Publication Number Publication Date
JPWO2021009870A1 JPWO2021009870A1 (ja) 2021-01-21
JP7283545B2 true JP7283545B2 (ja) 2023-05-30

Family

ID=74210365

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021532618A Active JP7283545B2 (ja) 2019-07-17 2019-07-17 分析システム、方法およびプログラム

Country Status (3)

Country Link
US (1) US20220279007A1 (ja)
JP (1) JP7283545B2 (ja)
WO (1) WO2021009870A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11563765B2 (en) * 2020-04-10 2023-01-24 AttackIQ, Inc. Method for emulating a known attack on a target computer network
GB2627219A (en) * 2023-02-15 2024-08-21 British Telecomm Action prioritisation recommendation

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014191120A (ja) 2013-03-26 2014-10-06 Fujitsu Fsas Inc 構成情報管理装置および構成情報管理方法
JP2015130153A (ja) 2013-12-06 2015-07-16 三菱電機株式会社 リスク分析装置及びリスク分析方法及びリスク分析プログラム
WO2015114791A1 (ja) 2014-01-31 2015-08-06 株式会社日立製作所 セキュリティ管理装置
JP2016538618A (ja) 2013-10-03 2016-12-08 クアルコム,インコーポレイテッド 構成経路に基づく起こり得る悪意のある挙動の事前識別
JP2017224053A (ja) 2016-06-13 2017-12-21 株式会社日立製作所 脆弱性リスク評価システムおよび脆弱性リスク評価方法
US20190052663A1 (en) 2017-08-10 2019-02-14 Electronics And Telecommunications Research Institute Apparatus for enhancing network security and method for the same

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5264470B2 (ja) * 2008-12-26 2013-08-14 三菱電機株式会社 攻撃判定装置及びプログラム
US8909930B2 (en) * 2011-10-31 2014-12-09 L-3 Communications Corporation External reference monitor
JP6298680B2 (ja) * 2014-03-28 2018-03-20 株式会社日立製作所 セキュリティ対処支援システム
US9680855B2 (en) * 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting
JP6016982B1 (ja) * 2015-05-20 2016-10-26 三菱電機株式会社 リスク分析結果表示装置
EP3528458B1 (en) * 2018-02-20 2020-09-23 Darktrace Limited A cyber security appliance for a cloud infrastructure

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014191120A (ja) 2013-03-26 2014-10-06 Fujitsu Fsas Inc 構成情報管理装置および構成情報管理方法
JP2016538618A (ja) 2013-10-03 2016-12-08 クアルコム,インコーポレイテッド 構成経路に基づく起こり得る悪意のある挙動の事前識別
JP2015130153A (ja) 2013-12-06 2015-07-16 三菱電機株式会社 リスク分析装置及びリスク分析方法及びリスク分析プログラム
WO2015114791A1 (ja) 2014-01-31 2015-08-06 株式会社日立製作所 セキュリティ管理装置
JP2017224053A (ja) 2016-06-13 2017-12-21 株式会社日立製作所 脆弱性リスク評価システムおよび脆弱性リスク評価方法
US20190052663A1 (en) 2017-08-10 2019-02-14 Electronics And Telecommunications Research Institute Apparatus for enhancing network security and method for the same

Also Published As

Publication number Publication date
US20220279007A1 (en) 2022-09-01
JPWO2021009870A1 (ja) 2021-01-21
WO2021009870A1 (ja) 2021-01-21

Similar Documents

Publication Publication Date Title
US10333986B2 (en) Conditional declarative policies
EP3131261B1 (en) Computer asset vulnerabilities
JP6307453B2 (ja) リスク評価システムおよびリスク評価方法
EP3646549B1 (en) Firewall configuration manager
JPWO2014112185A1 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
WO2014066500A1 (en) Cyber analysis modeling evaluation for operations (cameo) simulation system
US10063429B2 (en) Systems and methods for optimizing computer network operations
US20230208882A1 (en) Policy - aware vulnerability mapping and attack planning
Ghanem et al. Hierarchical reinforcement learning for efficient and effective automated penetration testing of large networks
JP7283545B2 (ja) 分析システム、方法およびプログラム
Shirazi et al. Tor experimentation tools
JP2016206943A (ja) サイバー攻撃分析装置及びサイバー攻撃分析方法
US11675900B2 (en) Generating suggested courses of actions for incidents based on previous incident handling
JP7298701B2 (ja) 分析システム、方法およびプログラム
US12050694B2 (en) Rule generation apparatus, rule generation method, and computer-readable recording medium
JP7424395B2 (ja) 分析システム、方法およびプログラム
JP7405162B2 (ja) 分析システム、方法およびプログラム
Alhomidi et al. Security risk analysis as a service
WO2021095223A1 (ja) 分析システム、方法およびプログラム
Paul et al. Testbeds, attacks, and dataset generation for big data cluster: A system application for big data platform security analysis
Tommey Implications of Implementing Software Defined Networking to Improve Cybersecurity for Operational Technology Networks
JP7347521B2 (ja) 分析システム、方法およびプログラム
Ergawy et al. Open Source Intelligence Driven Moving Target Defense for Secure Software-defined WAN: a Game Theoretic Approach
WO2022264265A1 (ja) リスク分析装置、仮想モデル生成装置、方法、及びコンピュータ可読媒体
Alghawli et al. Resilient cloud cluster with DevSecOps security model, automates a data analysis, vulnerability search and risk calculation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230418

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230501

R151 Written notification of patent or utility model registration

Ref document number: 7283545

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151