JP7433551B1 - Risk extraction device, risk extraction method, risk extraction program - Google Patents
Risk extraction device, risk extraction method, risk extraction program Download PDFInfo
- Publication number
- JP7433551B1 JP7433551B1 JP2023560133A JP2023560133A JP7433551B1 JP 7433551 B1 JP7433551 B1 JP 7433551B1 JP 2023560133 A JP2023560133 A JP 2023560133A JP 2023560133 A JP2023560133 A JP 2023560133A JP 7433551 B1 JP7433551 B1 JP 7433551B1
- Authority
- JP
- Japan
- Prior art keywords
- information
- type
- scenario
- attack
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000605 extraction Methods 0.000 title claims abstract description 95
- 238000000034 method Methods 0.000 claims abstract description 27
- 230000001364 causal effect Effects 0.000 claims abstract description 25
- 239000000284 extract Substances 0.000 claims abstract description 12
- 238000001514 detection method Methods 0.000 claims description 46
- 238000004364 calculation method Methods 0.000 claims description 30
- 238000012545 processing Methods 0.000 claims description 8
- 238000010586 diagram Methods 0.000 description 50
- 238000004458 analytical method Methods 0.000 description 12
- 238000013461 design Methods 0.000 description 11
- 238000011161 development Methods 0.000 description 4
- 239000000470 constituent Substances 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
リスク抽出装置(200)は、シナリオ(216)の入力を受け付け、シナリオ(216)に含まれるキーワードに応じたシナリオの種別(220)を付与する。リスク抽出装置(200)は、攻撃の内容(214)を列挙した情報である攻撃方法リスト(211)を予め記憶し、攻撃の内容(214)に含まれるキーワードに応じた攻撃の種別(224)を付与する。リスク抽出装置(200)は、シナリオの種別(220)と攻撃の種別(224)とが予め定めた因果関係に従う組合せをリスク(228)として抽出する。The risk extraction device (200) receives input of a scenario (216), and assigns a scenario type (220) according to a keyword included in the scenario (216). The risk extraction device (200) stores in advance an attack method list (211) that is information listing the details of the attack (214), and identifies the type of attack (224) according to the keyword included in the details of the attack (214). Grant. A risk extraction device (200) extracts a combination of a scenario type (220) and an attack type (224) that follows a predetermined causal relationship as a risk (228).
Description
本開示は、リスク抽出装置、リスク抽出方法、リスク抽出プログラムに関する。 The present disclosure relates to a risk extraction device, a risk extraction method, and a risk extraction program.
複数の機器から構成されるシステムにおいては、各機器が保有するセキュリティ上の脆弱性がシステムを不安全な状態に至らしめることが無いようにする必要がある。そのためには、機器の脆弱性とシステムの不安全な状態との組合せのうち、因果関係が成立し得る組合せの抽出を迅速化することが求められる。 In a system composed of multiple devices, it is necessary to ensure that security vulnerabilities possessed by each device do not lead to an unsafe state of the system. To this end, it is necessary to speed up the extraction of combinations that can establish a causal relationship among the combinations of device vulnerabilities and system unsafe conditions.
従来技術としては、脅威分析対象システムを構成する機器と機器に含まれる脆弱性とが対応付けられた第1情報と、機器と脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第2情報とに基づいて、機器に含まれる脆弱性と脅威分析対象システムにおける脅威とを関連付ける脅威分析処理部と、脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する脅威分析結果出力部とを備える脅威分析システムがある(例えば、特許文献1)。 Conventional technology involves first information that associates the devices that make up the threat analysis target system with the vulnerabilities contained in the devices, and the associated threats from the operator's perspective that are assumed in the devices and the threat analysis target system. a threat analysis processing unit that associates vulnerabilities included in the device with threats in the threat analysis target system based on the second information obtained by the threat analysis processing unit; and outputs a relationship between the vulnerabilities and threats associated by the threat analysis processing unit. There is a threat analysis system that includes a threat analysis result output unit (for example, Patent Document 1).
上記した脅威分析システムでは、ある機器に含まれるセキュリティ上の脆弱性と、脅威分析対象システム(以降、対象システムと呼ぶ)で想定される事業者視点の脅威のうちその機器と関係性のある脅威とを対応付けて出力する。これにより、機器の脆弱性と対象システムの不安全な状態との組合せのうち、因果関係が成立し得る組合せの抽出を迅速化できる。しかし、上記した脅威分析システムは、稼働中の対象システムにアクセスできないと適用できない。具体的には、稼働中の対象システム上で検査コードを実行したり、稼働中の対象システムに対してソフトウェア情報の提供を要求したりする必要がある。このようなアクセスは、システムを本番として運用中の場合、システムの性能低下や不具合発生の可能性を高めるため、好ましくない。上記問題は、特に、リアルタイム性や信頼性が要求されるシステムにおいて重大である。 The above-mentioned threat analysis system analyzes the security vulnerabilities included in a certain device and the threats that are related to that device among the threats assumed from the operator's perspective in the system to be analyzed (hereinafter referred to as the target system). Output in association with. This makes it possible to speed up the extraction of combinations that can establish a causal relationship among the combinations of the vulnerability of the device and the unsafe state of the target system. However, the above-mentioned threat analysis system cannot be applied unless it has access to the target system in operation. Specifically, it is necessary to execute test code on a running target system or request the running target system to provide software information. Such access is undesirable when the system is in production because it increases the possibility of system performance deterioration and malfunctions. The above problem is particularly serious in systems that require real-time performance and reliability.
本開示は上述の課題を解決するためになされたもので、対象システムにおける安全性とセキュリティの両方の観点からのリスク抽出を、対象システムにアクセスすることなく行えるようにすることを目的とする。 The present disclosure has been made in order to solve the above-mentioned problems, and aims to enable risk extraction from both safety and security perspectives in a target system without accessing the target system.
本開示に係るリスク抽出装置は、制御対象の状態を含むシナリオの入力を受け付ける入力部と、攻撃の内容を列挙した情報である攻撃方法リストを予め記憶する記憶部と、前記入力部から前記シナリオを受け取り、前記シナリオに含まれるキーワードに応じたシナリオの種別を前記シナリオに対して付与する第一の種別付与部と、前記攻撃の内容に含まれるキーワードに応じた攻撃の種別を前記攻撃の内容に対して付与する第二の種別付与部と、前記シナリオの種別と前記攻撃の種別との組合せのうち、予め定めた因果関係に従う組合せをリスクとして抽出する抽出部と、前記抽出部が抽出した前記リスクを列挙した情報である出力情報を出力する出力部と、を備える。 A risk extraction device according to the present disclosure includes an input unit that receives input of a scenario including a state of a controlled object, a storage unit that stores in advance an attack method list that is information listing details of an attack, and a a first type assigning unit that receives the scenario and assigns a scenario type to the scenario according to a keyword included in the scenario; a second classification assigning section that assigns a second type to a risk; an extracting section that extracts as a risk a combination of the scenario type and the attack type that follows a predetermined causal relationship; and an output unit that outputs output information that is information listing the risks.
本開示のリスク抽出装置は、シナリオと攻撃の内容それぞれについて、それらに含まれるキーワードに応じて種別を付与し、付与した種別に基づいて予め定めた因果関係に従うか判定する。これにより、シナリオや攻撃の内容といった抽象的な、あるいは自然言語で記述された設計情報を用いてリスクを抽出できる。そのため、対象システムにおける安全性とセキュリティの両方の観点からのリスク抽出を、対象システムにアクセスすることなく行える。 The risk extraction device of the present disclosure assigns a type to each scenario and attack content according to keywords included therein, and determines whether a predetermined causal relationship is followed based on the assigned type. This makes it possible to extract risks using abstract design information such as scenarios and attack details, or design information written in natural language. Therefore, risks in the target system can be extracted from both the safety and security perspectives without accessing the target system.
実施の形態1.
以下、実施の形態1を図面に基づいて詳細に説明する。なお、実施の形態1では、対象システムとして、ADAS(Advanced Driver Assistance Systems)を搭載したシステムを題材として用いるが、本開示は上記題材に限らず、任意の対象システムに対して適用可能である。
まず、対象システムの構成について説明する。 First, the configuration of the target system will be explained.
図1は、実施の形態1に係る対象システムを示す図である。対象システム100は、検知対象110と、車両120と、を備える。
FIG. 1 is a diagram showing a target system according to the first embodiment. The
検知対象は、回避すべき対象である歩行者や障害物、または交通のための情報を提供する道路標識である。 The detection target is a pedestrian or an obstacle to be avoided, or a road sign that provides information for traffic.
車両は、センサ121と、ECU122(Electronic Control Unit)と、駆動系123と、を備える。
The vehicle includes a
センサは、カメラ121aと、レーダ121bと、ライダ121cであり、検知領域130に在る検知対象を検知することで検知情報124を生成しECU122に向けて送信する。検知情報124は、検知対象110が在るまたは無いという情報や、検知された検知対象110が何であるか(例えば歩行者か、障害物か、道路標識か)という情報や、車両120を基準として検知対象110が在る方向や距離を示す情報である。
The sensors include a
ECU122は、センサ121からの検知情報124を用いて駆動系123を制御する。例えば、ECU122は、歩行者が進行方向に居て、かつその距離が近いという検知情報124をセンサ121が生成した場合、車両120が歩行者に衝突することを回避するために、駆動系123に対してブレーキを指示する。
ECU 122 controls drive system 123 using
駆動系123は、ECU122からのブレーキの指示を受けて車輪125を静止させる装置である。なお、駆動系は、図示しない運転手からの操作(アクセル等)を受けて、車輪125の駆動を行う。
The drive system 123 is a device that receives a brake instruction from the ECU 122 and stops the
次に、リスク抽出装置の構成について説明する。 Next, the configuration of the risk extraction device will be explained.
図2は、実施の形態1に係るリスク抽出装置の機能構成図である。リスク抽出装置200は、記憶部201と、入力部202と、第一の種別付与部203と、第二の種別付与部204と、抽出部205と、出力部206と、を備える。
FIG. 2 is a functional configuration diagram of the risk extraction device according to the first embodiment. The
図3は、実施の形態1に係るリスク抽出装置200のハードウェア構成図である。リスク抽出装置200は、演算装置207と、記憶装置208と、入出力装置209と、バス210と、を備える。演算装置207と、記憶装置208と、入出力装置209は、互いにバス210を介して情報の授受を行う。
FIG. 3 is a hardware configuration diagram of the
演算装置207は、例えばCPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphical Processing Unit)、FPGA(Field-Programmable Gated Array)である。第一の種別付与部203と、第二の種別付与部204と、抽出部205は、演算装置207として実装される。
The
記憶装置208は、FLASHメモリ、HDD(Hard Disk Drive)、SSD(Solid State Drive)である。記憶部201は、記憶装置208として実装される。
The
入出力装置209は、例えばキーボード、マウス、ディスプレイである。入力部202と、出力部206は、入出力装置209として実装される。
The input/
図2の説明に戻る。記憶部201は、攻撃方法リスト211と、第一のキーワード情報212と、第二のキーワード情報213と、を予め記憶する。
Returning to the explanation of FIG. 2. The
図4は、実施の形態1に係る攻撃方法リスト211を示す図である。攻撃の内容214は、他の攻撃の内容214と区別するための識別子である攻撃ID215が付与されても良く、「attack」を接頭語とするID値を付与している。攻撃の内容214は、一般的に想定される攻撃の内容であり、自然言語にて記述される。実施の形態1では、攻撃方法リスト211は、攻撃の内容214をM個記憶しているものとする。
FIG. 4 is a diagram showing an
ここで、リスク抽出装置200は、実施の形態1において例示した対象システム100に限らず、任意の制御に対するリスク抽出のために用いられることを想定している。セキュリティの専門家は、図1に示した対象システム100に限らず一般的に想定されるセンサへの攻撃を多数列挙し、対象システムの開発の開始よりも前に記憶部201に記憶させておけば良い。この作業は、例えば対象システム100の開発が企画されるよりも以前に実施しても良い。
Here, it is assumed that the
図5は、実施の形態1に係る第一のキーワード情報212を示す図である。第一のキーワード情報212は、シナリオ216に含まれ得ると想定される各キーワード217に対して、連想される符号218(符号「一:制御開始できず」または符号「二:誤った制御の開始」)を対応付けた情報である。キーワード217は、他のキーワード217と区別するためのキーワードID219が付与されても良く、「scenario_key」を接頭語とするID値を付与している。第一のキーワード情報212は、第一の種別付与部203がシナリオの種別220を生成するために用いられる(詳細については後段で説明する)。実施の形態1では、第一のキーワード情報212は、キーワード217をI個記憶しているものとする。
FIG. 5 is a diagram showing
図6は、実施の形態1に係る第二のキーワード情報213を示す図である。第二のキーワード情報213は、第一のキーワード情報212と基本的に同様であるが、キーワード221の対象がシナリオ216ではなく攻撃の内容214である点、また連想される符号222は「三:検知妨害」または「四:誤検知」である点、キーワードID223のID値は接頭語として「attack_key」を用いている点が異なる。第二のキーワード情報213は、第二の種別付与部204が攻撃の種別224を生成するために用いられる(詳細については後段で説明する)。実施の形態1では、第二のキーワード情報213は、キーワード221をJ個記憶しているものとする。
FIG. 6 is a diagram showing the second keyword information 213 according to the first embodiment. The second keyword information 213 is basically the same as the
入力部202は、シナリオ216の入力を受け付ける。入力部202は、シナリオ216を第一の種別付与部203へと受け渡す。
The
図7は、実施の形態1に係るシナリオ216を示す図である。シナリオ216は、他のシナリオ216と区別するための識別子であるシナリオID225が付与されても良く、「scenario」を接頭語とするID値を付与している。シナリオ216は、制御対象の至る状態とその状態に至る流れについて自然言語にて記述したものである。なお、制御対象とは、実施の形態1における車両120、駆動系123、車輪125などが相当するが、何に相当するかは「制御」が何を指すかという捉え方次第で任意である。シナリオ216は、設計者によって入力される情報であり、制御対象において想定される不安全な事象を記述したものである。実施の形態1では、入力部202は、シナリオ216がN個入力されたものとする。
FIG. 7 is a diagram showing a
第一の種別付与部203は、入力部202からシナリオ216を受け取り、シナリオ216それぞれに含まれるキーワード217に応じてシナリオの種別220を生成し、シナリオ216それぞれに対して付与することで第一の因子情報226とする。
The first
図8は、実施の形態1に係る第一の因子情報226を示す図である。シナリオの種別220は、開始すべき制御を開始できないという第一の符号、または開始すべきでない制御を開始してしまうという第二の符号、のいずれか一方を示す。ここで、符号「一:制御開始できず」は、開始すべき制御を開始できないという種別を示す。また、符号「二:誤った制御の開始」は、開始すべきでない制御を開始してしまうという種別を示す。
FIG. 8 is a diagram showing the
ここで、scenario01を例として、第一の種別付与部203がシナリオの種別220として符号「一:制御開始できず」を生成する仕組みについて説明する。第一の種別付与部203は、第一のキーワード情報212にも対象のシナリオ216にも共通して登場するキーワード217を探す。例えば「伝わらず」というキーワードは、scenario01にも登場すると共に、第一のキーワード情報212においても列挙されている。また、「伝わらず」というキーワードは、第一のキーワード情報212において、連想される符号「一:制御開始できず」と対応付けられている。よって、第一の種別付与部203は、scenario01に対して符号「一:制御開始できず」を付与する。
Here, using scenario01 as an example, a mechanism in which the first
なお、第一のキーワード情報212に列挙されるキーワード217は、図5に示したとおり、「制御を開始できず(開始してしまい)」、「指示されず(指示してしまい)」等のキーワードでも良い。
Note that the
このように、本開示における第一の種別付与部203(後に説明する第二の種別付与部204も同様)は、キーワードから連想して種別を付与するという方法であるため、対象システム100の設計情報(例えば自然言語により記述された技術資料や、モデルベース開発にて作成された対象システムの設計モデル)を本開示におけるシナリオ216や攻撃方法リスト211として活用可能である。つまり、本開示のリスク抽出装置は、対象システム100にアクセスせずとも、設計者やセキュリティの専門家から入力されたシナリオ216や攻撃方法リスト211を用いてリスクを抽出できる。
In this way, the first type assigning unit 203 (the second
また、本開示のリスク抽出装置は、対象システム100の実装が完了していない段階である設計段階においても、対象システム100の設計書をシナリオ216や攻撃方法リスト211として活用可能である。よって、本開示のリスク抽出装置は、対象システム100の設計段階においても、設計者やセキュリティの専門家から入力されたシナリオ216や攻撃方法リスト211を用いてリスクを抽出できる。
Further, the risk extraction device of the present disclosure can utilize the design document of the
図2の説明に戻る。第二の種別付与部204は、記憶部201が記憶する攻撃方法リスト211から攻撃の内容214を読み取り、攻撃の内容214それぞれに含まれるキーワードに応じて攻撃の種別224を生成し、攻撃の内容214それぞれに対して付与することで第二の因子情報227とする。
Returning to the explanation of FIG. 2. The second
図9は、実施の形態1に係る第二の因子情報227を示す図である。攻撃の種別224は、実在する検知対象110を検知させないという第三の符号、または実在しない検知対象110を検知させるという第四の符号、のいずれか一方または両方を示す。ここで、符号「三:検知妨害」は、実在する検知対象110の検知をさせないという種別を示す。また、「四:誤検知」は、実在しない検知対象110を検知させるという種別を示す。
FIG. 9 is a diagram showing the
ここで、attack03を例として、第二の種別付与部204が攻撃の種別224として符号「三:検知妨害」と「四:誤検知」とを生成する仕組みについて説明する。第二の種別付与部204は、第二のキーワード情報213にも対象の攻撃の内容214にも共通して登場するキーワード221を探す。例えば「妨害」というキーワードは、attack03にも登場すると共に、第二のキーワード情報213においても列挙されている。また、「妨害」というキーワード221は、第二のキーワード情報213において、連想される符号「三:検知妨害」と対応付けられている。よって、第二の種別付与部204は、attack03に対して符号「三:検知妨害」を付与する。同様に、attack03は「誤検知」というキーワード221を含んでおり、「誤検知」は第二のキーワード情報213において連想される符号「四:誤検知」と対応付けられているから、attack03には符号「四:誤検知」も併せて付与する。
Here, using attack03 as an example, a mechanism in which the second
なお、第二のキーワード情報213に列挙されるキーワード221は、図6に示したとおり、「遮蔽」、「ジャミング」、「欺瞞」、「誤検出」、「ダミー」、「なりすまし」等のキーワードでも良い。 As shown in FIG. 6, the keywords 221 listed in the second keyword information 213 include keywords such as "shielding," "jamming," "deception," "false detection," "dummy," and "spoofing." But it's okay.
図2の説明に戻る。抽出部205は、第一の因子情報226と第二の因子情報227との組合せのうち、予め定めた因果関係に従う組合せをリスク228として抽出し、出力部206へと送る。本開示では、リスク228とは、シナリオ216と攻撃の内容214との組合せのうち、予め定めた因果関係に従うと判定された組合せを指す。
Returning to the explanation of FIG. 2. The
図10は、実施の形態1に係る抽出部205による抽出結果を示す図である。図10では、シナリオID225と攻撃ID215との対応表という形で、シナリオ216と攻撃の内容214との組合せを列挙している。すべての組合せを列挙するため、総数はN×M個となる。また、組合せ毎に、抽出結果229を付与している。抽出結果229は、TRUEまたはFALSEのいずれかの値を取るフラグであり、TRUEは抽出対象となったこと、FALSEは抽出対象とならなかったことを示す。
FIG. 10 is a diagram showing the extraction results by the
ここで、抽出結果229がTRUEとなっている組合せは、シナリオの種別220が第一の符号を示しかつ攻撃の種別224が第三の符号を示す、またはシナリオの種別220が第二の符号を示しかつ攻撃の種別224が第四の符号を示す、のいずれか一方を満たす組合せである。上述の条件は、抽出部に対して予め設定されているものとする。つまり、予め設定される上述の条件が、予め定めた因果関係に相当する。これにより、抽出部205は、検知を妨害された結果として正しい制御を開始できない、または実在しない検知対象を検知させられた結果として誤った制御を開始してしまう、のいずれか一方が成立し得る組合せを、リスク228として抽出できる。
Here, combinations for which the
図2の説明に戻る。出力部206は、抽出部205により抽出されたリスク228を列挙した情報である出力情報230を出力する。出力情報230は、設計者が閲覧する情報である。
Returning to the explanation of FIG. 2. The
図11は、実施の形態1に係る出力情報230を示す図である。図11では、シナリオID225と攻撃ID215との対応表という形で、抽出された(すなわち図10において抽出結果229がTRUEとなっていた)リスク228のみを列挙している。なお、設計者が閲覧し易いよう、併せてシナリオ216と攻撃の内容214も示している。設計者は、この対応表を閲覧することで、リスク228を把握することができる。具体的には、設計者は、ECU122に対して為され得る攻撃の内容214と、その攻撃の内容214により至り得る事故(すなわちシナリオ216)を把握することができる。特に、攻撃の内容214は、設計者ではなくセキュリティの専門家により列挙されていたものであるから、設計者が自身だけでは発想できなかったリスク228も出力情報230にリストアップされることが期待される。設計者は、リスク228を把握した際には、リスク低減策(例えば設計変更)を講じることができる。
FIG. 11 is a diagram showing
次に、リスク抽出装置200の動作について説明する。
図12は、実施の形態1に係るリスク抽出装置200の動作を示すフローチャートである。ここで、記憶部201は、図12の動作の開始前に、予め攻撃方法リスト211、第一のキーワード情報212、第二のキーワード情報213を記憶しているものとする。
Next, the operation of the
FIG. 12 is a flowchart showing the operation of the
入力部202は、シナリオ216の入力を受け付ける(ステップS101)。第一の種別付与部203は、シナリオ216に含まれるキーワード217に応じてシナリオの種別220を生成し、シナリオ216に対して付与することで第一の因子情報226とする(ステップS102)。第二の種別付与部204は、攻撃の内容214に含まれるキーワード221に応じて攻撃の種別224を生成し、攻撃の内容214に対して付与することで第二の因子情報227とする(ステップS103)。抽出部205は、第一の因子情報226と第二の因子情報227との組合せのうち、シナリオの種別220と攻撃の種別224とが予め定めた因果関係に従う組合せをリスク228として抽出する(ステップS104)。出力部206は、抽出部205により抽出されたリスク228を列挙した情報である出力情報230を出力する(ステップS105)。
The
次に、第一の種別付与部203の動作(ステップS102)の詳細について説明する。なお、第二の種別付与部204の動作(ステップS103)は、シナリオ216が攻撃の内容214に置き換わり、第一のキーワード情報212が第二のキーワード情報213に置き換わる以外は同様であるため、説明を省略する。
Next, details of the operation of the first classification section 203 (step S102) will be explained. Note that the operation of the second type assigning unit 204 (step S103) is the same except that the
図13は、実施の形態1に係る第一の種別付与部203の動作を示すフローチャートである。第一の種別付与部203は、入力部202から入力されたN個のシナリオ216の中から1つを選択する。図13では、1~Nの値を取る変数nにより選択したシナリオ216を示すものとする。第一の種別付与部203は、変数nに1を代入し、図7中のscenario01を選択する(ステップS201)。第一の種別付与部203は、対象のシナリオ216から複数のキーワードを抜き出す(ステップS202)。この処理は、既に世間で知られているような、文章を単語に分割する処理により実現される。図13では、抜き出されたキーワードの個数がK個だと仮定し、また1~Kの値を取る変数kにより抜き出したキーワードのうちのいずれを選択したのか示すものとし、選択されたキーワードを「キーワードk」と呼ぶ。第一の種別付与部203は、変数kに1を代入し、抜き出したキーワードの選択を初期化する(ステップS203)。次に、第一の種別付与部203は、第一のキーワード情報212の中からキーワード217を1つ選択する。ここで、1~Iの値を取る変数iにより第一のキーワード情報212の中から選択したキーワード217を示すものとし、選択されたキーワード217を「キーワードi」と呼ぶ。つまり、変数iに1を代入することにより、図5中のscenario_key01を選択する(ステップS204)。第一の種別判定部203は、キーワードkとキーワードiが一致した場合(ステップS205)、キーワードkから連想される符号218を読み出し(ステップS206)、さらに読み出した連想される符号218が対象のシナリオ216に未だ付与されていない場合(ステップS207)、読み出した連想される符号218を対象のシナリオ216に付与する(ステップS208)。連想される符号218の読み出しは、第一のキーワード情報212を参照することにより実施される。第一の種別付与部203は、変数iがIに達していない場合、変数iに1を加える(ステップS210)と共に、ステップS205へと戻る。変数iがIに達していた場合、変数kがKに達しているか判定し(ステップS211)、達していない場合は変数kに1を加える(ステップS212)と共に、ステップS204へと戻る。変数kがKに達していた場合、変数nがNに達しているか判定し(ステップS213)、達していない場合は変数nに1を加える(ステップS214)と共に、ステップS202へと戻る。変数i、k、nがそれぞれI、K、Nに達していた場合は、図13の動作を終了する。
FIG. 13 is a flowchart showing the operation of the
次に、抽出部205の動作(ステップS104)の詳細について説明する。 Next, details of the operation of the extraction unit 205 (step S104) will be explained.
図14は、実施の形態1に係る抽出部205の動作を示すフローチャートである。抽出部205は、まだ選択されていない第一の因子情報226から1つを選択する。図14では、1~Nの値を取る変数nにより選択したシナリオ216を示すものとする。抽出部205は、変数nに1を代入し、図8中のscenario01を選択する(ステップS301)。次に、まだ選択されていない第二の因子情報227から1つを選択する。図14では、1~Mの値を取る変数mにより選択した攻撃の内容214を示すものとする。第一の抽出部205は、変数mに1を代入し、図9中のattack01を選択する(ステップS302)。次に、選択した第一の因子情報226と第二の因子情報227との組合せについて、シナリオの種別220と攻撃の種別224とを比較することで因果関係に従う組合せであるか判定し(ステップS303)、因果関係に従うと判定された場合には当該組合せを抽出対象のリスク228と見做す(ステップS304)。次に、変数mがMに達していない場合、(ステップS305)、変数mに1を加える(ステップS306)と共に、ステップS303へと戻る。変数mがMに達していた場合、変数nがNに達しているか判定し(ステップS307)、達していた場合には変数nに1を加える(ステップS308)と共に、ステップS302へと戻る。変数m、nがそれぞれM、Nに達していた場合には、図14の動作を終了する。
FIG. 14 is a flowchart showing the operation of the
以上のように、実施の形態1に係るリスク抽出装置200によれば、第一の種別付与部203は、シナリオ216に含まれるキーワード217に応じたシナリオの種別220を付与し、第二の種別付与部204は、攻撃の内容214に含まれるキーワード221に応じた攻撃の種別224を付与し、抽出部205は、シナリオの種別220と攻撃の種別224とが予め定めた因果関係に従う組合せをリスク228として抽出する。これにより、シナリオや攻撃の内容といった抽象的な、あるいは自然言語で記述された設計情報をインプットとし、それらの組合せのうち、予め定めた因果関係(成立し得ると考えられる仮説)に従う組合せをリスクとして抽出できる。よって、対象システム100における安全性とセキュリティの両方の観点からのリスク抽出を、対象システム100にアクセスすることなく行える。
As described above, according to the
また、シナリオの種別220は、開始すべき制御を開始できないという第一の符号、または開始すべきでない制御を開始してしまうという第二の符号、のいずれか一方を示し、攻撃の種別224は、実在する検知対象を検知させないという第三の符号、実在しない検知対象を検知させるという第四の符号、のいずれか一方または両方を示し、抽出部205は、シナリオの種別220が第一の符号を示しかつ攻撃の種別224が第三の符号を示す、またはシナリオの種別220が第二の符号を示しかつ攻撃の種別224が第四の符号を示す、のいずれか一方を満たす組合せを、予め定めた因果関係に従う組合せであると判定する。これにより、実在する検知対象110の検知を妨害された結果として正しい制御を開始できない、または実在しない検知対象110を検知させられた結果として誤った制御を開始してしまう、という具体的な因果関係の仮定に沿ってリスクを抽出できる。
Furthermore, the
実施の形態2.
実施の形態1では、因果関係に従うと判断する基準として、検知対象110の検知を妨害された結果として正しい制御を開始できない、または実際には存在しない検知対象110を検知させられた結果として誤った制御を開始してしまう、のいずれかが成立し得るかという基準を用いる例を示した。実施の形態2では、他の基準として、関係しているセンサ121の種類を基準として用いる例を示す。なお、実施の形態2は、基本的な構成や動作原理は実施の形態1と同一であり、実質的に異なるのは第一のキーワード情報212等の情報の中身であるため、それらの異なる情報の中身についてのみ説明していく。
In
図15は、実施の形態2に係る第一のキーワード情報212を示す図である。列項目としてキーワードID219、キーワード217、連想される符号218が存在する点は実施の形態1と同様であるが、それらの項目の値が異なる。具体的には、実施の形態2では、連想される符号218としてセンサ121の種類(例えばカメラ121a、レーダ121b、ライダ121c)が格納されており、キーワード217としてはそれらセンサ121の種類を連想させるようなキーワードが格納されている。
FIG. 15 is a diagram showing
なお、実施の形態2では、第二のキーワード情報213も図15と同一の内容とする。実装上は、複製した2つの情報それぞれを第一のキーワード情報212と第二のキーワード情報213として扱っても良いし、1つの情報を共通的に参照して第一のキーワード情報212と第二のキーワード情報213を兼ねるようにしても良い。第一の種別付与部203と第二の種別付与部204は、図15に示した情報に基づいて、センサ121の種別を軸とした種別を生成し、それぞれシナリオ216と攻撃の内容214に対して付与する。
Note that in the second embodiment, the second keyword information 213 also has the same content as in FIG. 15 . In terms of implementation, the two pieces of duplicated information may be treated as the
図16は、実施の形態2に係る第一の因子情報226を示す図である。実施の形態1との差異は、シナリオの種別220の値である。例えば、scenario01には「距離」というキーワードが含まれているが、「距離」は図15にて示した第一のキーワード情報212では、連想される符号218の「ライダ」と対応付けられている。よって、第一の種別付与部203は、scenario01に対して「ライダ121c」をシナリオの種別220として生成し付与している。
FIG. 16 is a diagram showing the
図17は、実施の形態2に係る第二の因子情報227を示す図である。第一の因子情報226と同様、実施の形態1との差異は、攻撃の種別224である。例えば、attack07は、「距離」というキーワードが含まれているため、第二の種別付与部204は第一の種別付与部203と同様に図15に示した情報に基づいて、「ライダ121c」という種別の値を生成する。
FIG. 17 is a diagram showing
図18は、実施の形態2に係る抽出結果229を示す図である。例えば、scenario01とattack07は、「ライダ121c」という共通の種別が付与されている。実施の形態2における抽出部205は、このようなセンサ121の種別が共通する組合せについて、因果関係に従う組合せであると判断する。
FIG. 18 is a diagram showing the
図19は、実施の形態2に係る出力情報230を示す図である。図19では、図18にて抽出結果229が「TRUE」となっている組合せのみを列挙している。
FIG. 19 is a diagram showing
以上のように、実施の形態2に係るリスク抽出装置200によれば、シナリオの種別220と攻撃の種別224は、センサ121の種別を示し、抽出部205は、シナリオの種別220と攻撃の種別224との値が同一である組合せを、予め定めた因果関係に従う組合せであると判定する。これにより、同一のセンサ121の種別と関係しているシナリオ216と攻撃の内容214との組合せを、リスク228として抽出することができる。なお、実施の形態1と2では、異なる観点で因果関係に従う組合せであると判定しているが、これらの観点を組み合わせて判定しても良い。例えば、実施の形態1と2の両方の条件を満たす組合せのみ抽出することで、因果関係が成立する可能性がより高い組合せのみを厳選して抽出することができる。
As described above, according to the
実施の形態3.
実施の形態3では、リスク対策の優先度についても算出する例について示す。なお、本開示における優先度とは、設計者がいずれのリスク228について優先して対策を打つべきかを示す指数である。
In the third embodiment, an example will be shown in which the priority of risk countermeasures is also calculated. Note that the priority in the present disclosure is an index indicating which risk 228 the designer should prioritize in taking countermeasures.
図20は、実施の形態3に係るリスク抽出装置を示す図である。実施の形態3では、実施の形態1と比較して、新たに程度情報231、優先度算出テーブル232、優先度算出部233、優先度234が構成要素として増えている。なお、他の構成要素については、基本的に実施の形態1と同一である。入力部202は、程度情報231の入力を受け付け、優先度算出部233へと受け渡す。記憶部201は、優先度算出テーブル232を予め記憶する。優先度算出部233は、程度情報231と優先度算出テーブル232からリスク228の優先度234を算出し、出力部206へと受け渡す。出力部206は、リスク228と優先度234とを対応付けた情報として出力情報230を出力する。
FIG. 20 is a diagram showing a risk extraction device according to the third embodiment. In the third embodiment, compared to the first embodiment,
図21は、実施の形態3に係る程度情報231を示す図である。程度情報231は、設計者によって入力される情報である。図21では、抽出されたリスク228を、シナリオID225と攻撃ID215との対応表で示している。また、図21では、対応表における列項目として程度情報231を設けることで、各リスク228に対する程度情報231を示している。程度情報231は、シナリオ216が起こり得る状況に遭遇する頻度231a、上記状況に遭遇した際にシナリオ216を回避できる可能性231b、至り得る不安全な状態の重大度231c、の少なくともいずれか1つを備える。ここで、遭遇する頻度231aは、E1が最も頻度が少なく、E4が最も頻度が高い。また、回避できる可能性231bは、C1が最も可能性が高く、C3が最も可能性が低い。また、不安全な状態の重大度231cは、S1が最も軽微であり、S3が最も重大である。なお、図21では抽出されたリスク228に対してのみ程度情報231が示されているが、これはリスク抽出装置200が抽出したリスク228を一旦設計者に向けて表示し、抽出されたリスク228それぞれに対して程度情報231を入力するよう設計者に促すことにより実現できる(具体的な手順については図25のフローチャートを参照)。ここで、程度情報231は、リスク228単位ではなく、シナリオ216単位、または攻撃の内容214単位で入力されても良い。例えば、シナリオ216単位で入力された場合、優先度算出部233は、同じシナリオ216を含むリスク228については同じ値の優先度234を算出する。
FIG. 21 is a diagram showing
図22は、実施の形態3に係る優先度算出テーブル232を示す図である。優先度算出テーブル232は、設計者によって予め入力される。ここで、QMが最も優先度が低く、Dが最も優先度が高い(QM、A、B、C、Dの順番である)。優先度算出部233は、程度情報231を用いて優先度算出テーブル232を索引することで優先度234を算出する。なお、優先度算出部233は、優先度算出テーブル232を用いる代わりに、例えば予め定められた数式に対して程度情報231の値を代入することで優先度234を算出しても良い。
FIG. 22 is a diagram showing a priority calculation table 232 according to the third embodiment. The priority calculation table 232 is input in advance by the designer. Here, QM has the lowest priority and D has the highest priority (in the order of QM, A, B, C, and D). The priority calculation unit 233 calculates the
図23は、実施の形態1に係る優先度算出結果を示す図である。図23では、抽出されたリスク228を、シナリオID225と攻撃ID215との対応表で示している。また、図23では、対応表における列項目として優先度234を設けることで、各リスク228について算出された優先度234を示している。例えば、scenario01とattack07との組合せから成るリスク228は、図21で示した通り、遭遇する頻度231aはE2、回避できる可能性231bはC3、不安全な状態の重大度231cはS3であるから、優先度算出部233により図22の優先度算出テーブル232が用いられることにより優先度234はBであると算出され、その結果が図23に示されている。
FIG. 23 is a diagram showing priority calculation results according to the first embodiment. In FIG. 23, extracted
図24は、実施の形態3に係る出力情報230を示す図である。実施の形態1と異なる点は、優先度234が新たに列項目として追加されている点である。このように、出力部206は、抽出部205から受け取ったリスク228と、優先度算出部233から受け取った優先度234とを対応付けて出力する。
FIG. 24 is a diagram showing
次に、リスク抽出装置200の動作について説明する。
Next, the operation of the
図25は、実施の形態3に係るリスク抽出装置200の動作を示すフローチャートである。なお、記憶部201は、図25の動作の開始前に予め優先度算出テーブル232を記憶しているものとする。ここで、実施の形態1から追加されているステップはS401とS402である。ステップS104を終了すると、次に、入力部202は、抽出されたリスク228それぞれについて、程度情報231の入力を受け付ける(ステップS401)。次に、優先度算出部233は、入力部202から程度情報231を受け取り、程度情報231と優先度算出テーブル232を用いてリスク228の優先度234を算出する(ステップS402)。最後に、出力部は、抽出部205から受け取ったリスク228と、優先度算出部233から受け取った優先度234とを対応付けて出力する(ステップS105)。
FIG. 25 is a flowchart showing the operation of the
以上のように、実施の形態3に係るリスク抽出装置200によれば、入力部202は、シナリオ216が起こり得る状況に遭遇する頻度231a、状況に遭遇した際にシナリオ216を回避できる可能性231b、不安全な状態の重大度231c、の少なくともいずれか1つを備える程度情報231の入力を受け付け、リスク抽出装置200は、入力部202から程度情報231を受け取り、程度情報231からリスク228の優先度234を算出する優先度算出部233を備え、出力部206は、優先度算出部233から優先度234を受け取り、優先度234をリスク228それぞれに対応付けて出力する。これにより、設計者は、優先度234の高いリスク228について優先して対策を講じることができる。
As described above, according to the
実施の形態4.
実施の形態4では、対象システム100の開発がモデルベース開発により行われていることを想定し、抽出されたリスク228それぞれが、設計者が作成した設計モデルのいずれの箇所と関係している可能性があるかを示す情報を出力情報230に追加する。
In the fourth embodiment, it is assumed that the
図26は、実施の形態4に係るリスク抽出装置200を示す図である。実施の形態3と比較して、新たに対象システム構成情報235、第三のキーワード情報236、検索部237、関係性情報238が構成要素として増えているが、その他の構成要素については実施の形態3と同一である。なお、他の構成要素については、基本的に実施の形態3と同一である。入力部202は、対象システム構成情報235の入力を受け付け、検索部237へと受け渡す。記憶部201は、第三のキーワード情報236を予め記憶する。検索部237は、対象システム構成情報235と第三のキーワード情報236から、リスク228それぞれに関係する関係性情報238を検索し、出力部206へと受け渡す(関係性情報238については後段で説明する)。出力部206は、リスク228と関係性情報238とを対応付けた情報として出力情報230を出力する。
FIG. 26 is a diagram showing a
図27は、実施の形態4に係る対象システム構成情報235を示す図である。対象システム構成情報235は、対象システム100の構成を示す情報である。対象システム構成情報235は、設計者によって入力される情報であり、例えばSTAMP(Systems-Theoretic Accident Model and Processes)/STPA(System-Theoretic Process Analysis)に従って設計者が安全分析を行う過程で設計者により作成される。対象システム構成情報235は、機械が扱い易い形式、例えばXML(Extensible Markup Language)等で作成されると好適である。対象システム構成情報235は、対象システム100が、検知対象110、カメラ121a、レーダ121b、ライダ121c、ECU122、駆動系123、により構成されることを示しており、またそれらの構成要素間での入出力関係または作用関係を示す情報である関係性情報238を含んでいる。
FIG. 27 is a diagram showing target system configuration information 235 according to the fourth embodiment. The target system configuration information 235 is information indicating the configuration of the
第三のキーワード情報236の内容は、実施の形態2の説明にて示した第一のキーワード情報212(図15)の内容と同一であるものとする。
It is assumed that the content of the
図28は、実施の形態4に係る検索結果を示す図である。図13では、抽出されたリスク228を、シナリオID225と攻撃ID215との対応表で示している。また、抽出されたリスク228それぞれに関係する関係性情報238を示している。検索部237は、抽出されたリスク228と、関係性情報238との間で、共通するキーワードが存在するかを検索する。例えば、scenario01には、図4にて示したとおり、ブレーキ指示というキーワード217が存在する。このキーワード217は、図12に示したとおり、ECU122と駆動系123との間の関係性情報238であるブレーキ指示239と共通する。よって、図13に示した検索結果では、scenario01を含むリスク228すべてに対して、関係する関係性情報238としてブレーキ指示239を示している。
FIG. 28 is a diagram showing search results according to the fourth embodiment. In FIG. 13, the extracted
また、検索部237は、第三のキーワード情報236を用いて、抽出されたリスク228と、関係性情報238との間で、同一のセンサ121の種別と対応付けられたキーワードが存在するかを検索する。例えば、attack03には、図4にて示したとおり、「標示」というキーワード217が存在する。このキーワード217は、図15に示したとおり、連想される符号218の「カメラ121a」と対応付けられている。他に連想される符号の「カメラ121a」と対応付けられているキーワード217としては、例えば、「カメラ」と、「撮影」とが存在する。これらのキーワード217は、図27に示したとおり、カメラ121aとECU122との間の関係性情報であるカメラ情報240と、検知対象110とカメラ121aとの間の関係性情報238である撮影結果241とが含んでいる。よって、図28に示した検索結果では、attack03を含むリスク228に対して、関係する関係性情報としてカメラ情報240と撮影結果241を示している。
Furthermore, the
図29は、実施の形態4に係る出力情報230を示す図である。ここで実施の形態3と比較して新たに追加している列項目として、関係性情報238がある。このように、抽出されたリスク228と関係している可能性が高い関係性情報238を対応付けて出力することで、設計者は対象システム構成情報235内のいずれの箇所がリスク228と関係しているのかを探すためのヒントとできる。
FIG. 29 is a diagram showing
次に、リスク抽出装置200の動作について説明する。
Next, the operation of the
図30は、実施の形態4に係るリスク抽出装置200の動作を示すフローチャートである。実施の形態3と比較して新たに追加されているステップは、ステップS501とステップS502である。ステップS101を終了すると、次に、入力部202は、対象システム構成情報235の入力を受け付け、ステップS102へと進む。対象システム構成情報235は、対象システムの設計書という意味ではシナリオ216と同じであるため、ステップS101の直前または直後に実施されることが好適である。ステップS402を終了すると、検索部237は、リスク228と関係する関係性情報238を検索し(ステップS107)、ステップS105へと進む。
FIG. 30 is a flowchart showing the operation of the
次に、検索部237の動作(ステップS107)の詳細について説明する。 Next, details of the operation of the search unit 237 (step S107) will be explained.
図31は、実施の形態4に係る検索部237の動作を示すフローチャートである。検索部237は、まだ選択されていないリスク228から1つを選択する(ステップS601)。次に、選択したリスク228に含まれているキーワードを抜き出し、そのキーワードが第三のキーワード情報236にていずれの連想する符号と対応付けられているか特定する(ステップS602)。次に、まだ選択されていない関係性情報238から1つを選択する(ステップS603)。次に、選択した関係性情報238に含まれているキーワードを特定し、そのキーワードが第三のキーワード情報236にていずれの連想する符号と対応付けられているか特定する(ステップS604)。次に、選択したリスク228と関係性情報238との間で、共通するキーワードまたは連想する符号が存在するか判定し(ステップS605)、存在すると判定された場合には当該リスク228と当該関係性情報238とが関係していると見做す(ステップS606)。次に、まだ選択されていない関係性情報238が残存しているか判定し(ステップS607),関係性情報238が残存していると判定された場合にはステップS603へと戻る。関係性情報238が残存していないと判定された場合には、まだ選択されていないリスク228が残存しているか判定し(ステップS608)、リスク228が残存していると判定された場合にはステップS601へと戻る。
FIG. 31 is a flowchart showing the operation of the
以上のように、実施の形態4に係るリスク抽出装置200によれば、入力部202は、対象システム100の構成を示す情報である対象システム構成情報235の入力を受け付け、リスク抽出装置200は、入力部202から対象システム構成情報235を受け取り、対象システム構成情報235の中から、構成要素間での入出力関係または作用関係を示す情報である関係性情報238のうち、リスク228と関係する関係性情報238を検索する検索部237を備え、出力部206は、検索部237から関係性情報238を受け取り、関係性情報238をリスク228それぞれに対応付けて出力する。これにより、設計者は、対象システム100のうち、抽出されたリスク228と関係している箇所を迅速に特定することができる。
As described above, according to the
100 対象システム、 110 検知対象、 120 車両、 121 センサ、 121a カメラ、 121b レーダ、 121c ライダ、 122 ECU、 123 駆動系、 124 検知情報、 125 車輪、 130 検知領域、 200 リスク抽出装置、 201 記憶部、 202 入力部、 203 第一の種別付与部、 204 第二の種別付与部、 205 抽出部、 206 出力部、 207 演算装置、 208 記憶装置、 209 入出力装置、 210 バス、 211 攻撃方法リスト、 212 第一のキーワード情報、 213 第二のキーワード情報、 214 攻撃の内容、 215 攻撃ID、 216 シナリオ、 217 キーワード、 218 連想される符号、 219 キーワードID、 220 シナリオの種別、 221 キーワード、 222 連想される符号、 223 キーワードID、 224 攻撃の種別、 225 シナリオID、 226 第一の因子情報、 227 第二の因子情報、 228 リスク、 229 抽出結果、 230 出力情報、 231 程度情報、 231a 遭遇する頻度、 231b 回避できる可能性、 231c 不安全な状態の重大度、 232 優先度算出テーブル、 233 優先度算出部、 234 優先度、 235 対象システム構成情報、 236 第三のキーワード情報、 237 検索部、 238 関係性情報、 239 ブレーキ指示、 240 カメラ情報、 241 撮影結果 100 target system, 110 detection target, 120 vehicle, 121 sensor, 121a camera, 121b radar, 121c lidar, 122 ECU, 123 drive system, 124 detection information, 125 wheel, 130 detection area, 200 risk extraction device, 201 storage unit, 202 input section, 203 first classification section, 204 second classification section, 205 extraction section, 206 output section, 207 arithmetic unit, 208 storage device, 209 input/output device, 210 bus, 211 attack method list, 212 First keyword information, 213 Second keyword information, 214 Attack content, 215 Attack ID, 216 Scenario, 217 Keyword, 218 Associated code, 219 Keyword ID, 220 Scenario type, 221 Keyword, 222 Associated code, 223 keyword ID, 224 attack type, 225 scenario ID, 226 first factor information, 227 second factor information, 228 risk, 229 extraction result, 230 output information, 231 degree information, 231a encounter frequency, 231b possibility of avoidance, 231c severity of unsafe condition, 232 priority calculation table, 233 priority calculation unit, 234 priority, 235 target system configuration information, 236 third keyword information, 237 search unit, 238 relationship Information, 239 Brake instruction, 240 Camera information, 241 Shooting result
Claims (7)
攻撃の内容を列挙した情報である攻撃リストを予め記憶する記憶部と、
前記入力部から前記シナリオを受け取り、前記シナリオに含まれるキーワードに応じたシナリオの種別を前記シナリオに対して付与する第一の種別付与部と、
前記攻撃の内容に含まれるキーワードに応じた攻撃の種別を前記攻撃の内容に対して付与する第二の種別付与部と、
前記シナリオの種別と前記攻撃の種別との組合せのうち、予め定めた因果関係に従う組合せをリスクとして抽出する抽出部と、
前記抽出部が抽出した前記リスクを列挙した情報である出力情報を出力する出力部と、
を備えるリスク抽出装置。 an input unit that receives input of a scenario including the state of the controlled object;
a storage unit that stores in advance an attack list that is information listing details of attacks;
a first type assigning unit that receives the scenario from the input unit and assigns a scenario type to the scenario according to a keyword included in the scenario;
a second type assigning unit that assigns an attack type to the attack content according to a keyword included in the attack content;
an extraction unit that extracts a combination of the scenario type and the attack type that follows a predetermined causal relationship as a risk;
an output unit that outputs output information that is information listing the risks extracted by the extraction unit;
A risk extraction device equipped with
前記攻撃の種別は、実在する検知対象を検知させないという第三の符号、または実在しない検知対象を検知させるという第四の符号、のいずれか一方または両方を示し、
前記抽出部は、前記シナリオの種別が前記第一の符号を示しかつ前記攻撃の種別が前記第三の符号を示す、または前記シナリオの種別が前記第二の符号を示しかつ前記攻撃の種別が前記第四の符号を示す、のいずれか一方を満たす組合せを、前記予め定めた因果関係に従う組合せであると判定する、
ことを特徴とする請求項1に記載のリスク抽出装置。 The type of scenario indicates either a first sign that a control that should be started cannot be started, or a second sign that a control that should not be started is started,
The type of attack indicates either one or both of a third code in which an existing detection target is not detected, or a fourth code in which a non-existent detection target is detected,
The extraction unit is configured such that the type of scenario indicates the first code and the type of attack indicates the third code, or the type of scenario indicates the second code and the type of attack indicates Determining that a combination that satisfies one of the following, indicating the fourth code, is a combination that follows the predetermined causal relationship;
The risk extraction device according to claim 1, characterized in that:
前記抽出部は、前記シナリオの種別と前記攻撃の種別とが同一の値である組合せを、前記予め定めた因果関係に従う組合せであると判定する、
ことを特徴とする請求項1に記載のリスク抽出装置。 The scenario type and the attack type each indicate a sensor type,
The extraction unit determines that a combination in which the scenario type and the attack type have the same value is a combination that follows the predetermined causal relationship;
The risk extraction device according to claim 1, characterized in that:
前記入力部は、前記程度情報の入力を受け付け、
前記出力部は、前記優先度算出部から前記優先度を受け取り、前記優先度を前記リスクそれぞれに対応付けて出力する、
ことを特徴とする請求項1から請求項3のいずれか1項に記載のリスク抽出装置。 Receiving degree information from the input unit including at least one of the frequency with which a situation in which the scenario can occur, the possibility of avoiding the scenario when the situation is encountered, and the severity of the situation; comprising a priority calculation unit that calculates the priority of the risk from the degree information,
The input unit receives input of the degree information,
The output unit receives the priority from the priority calculation unit, and outputs the priority in association with each of the risks.
The risk extraction device according to any one of claims 1 to 3, characterized in that:
前記入力部は、前記対象システム構成情報の入力を受け付け、
前記出力部は、前記検索部から前記関係性情報を受け取り、前記関係性情報を前記リスクそれぞれに対応付けて出力する、
ことを特徴とする請求項1から請求項4のいずれか1項に記載のリスク抽出装置。 Receive target system configuration information, which is information indicating the configuration of a target system, which is a system including the control target, from the input unit, and determine input/output relationships between components of the target system from among the target system configuration information. or a search unit that searches for the relationship information related to the risk among relationship information that is information indicating an operational relationship;
The input unit receives input of the target system configuration information,
The output unit receives the relationship information from the search unit, and outputs the relationship information in association with each of the risks.
The risk extraction device according to any one of claims 1 to 4, characterized in that:
前記入力部が、制御対象の状態を含むシナリオの入力を受け付け、
前記記憶部が、攻撃の内容を列挙した情報である攻撃リストを予め記憶し、
前記第一の種別付与部が、前記シナリオに含まれるキーワードに応じたシナリオの種別を前記シナリオに対して付与し、
前記第二の種別付与部が、前記攻撃の内容に含まれるキーワードに応じた攻撃の種別を前記攻撃の内容に対して付与し、
前記抽出部が、前記シナリオの種別と前記攻撃の種別との組合せのうち、予め定めた因果関係に従う組合せをリスクとして抽出し、
前記出力部が、抽出した前記リスクを列挙した情報である出力情報を出力する、
リスク抽出方法。 A risk extraction method using a risk extraction device comprising an input section, a storage section, a first classification section, a second classification section, an extraction section, and an output section,
the input unit receives input of a scenario including a state of a controlled object;
The storage unit stores in advance an attack list that is information listing details of attacks,
the first type assigning unit assigns a scenario type to the scenario according to a keyword included in the scenario;
the second type assigning unit assigns an attack type to the attack content according to a keyword included in the attack content;
The extraction unit extracts, as a risk, a combination of the scenario type and the attack type that follows a predetermined causal relationship;
the output unit outputs output information that is information listing the extracted risks;
Risk extraction method.
攻撃の内容を列挙した情報である攻撃リストを予め記憶する記憶処理と、
前記シナリオに含まれるキーワードに応じたシナリオの種別を前記シナリオに対して付与することで第一の因子情報とする第一の種別付与処理と、
前記攻撃の内容に含まれるキーワードに応じた攻撃の種別を前記攻撃の内容に対して付与することで第二の因子情報とする第二の種別付与処理と、
前記第一の因子情報と前記第二の因子情報との組合せのうち、前記シナリオの種別と前記攻撃の種別とが予め定めた因果関係に従う組合せをリスクとして抽出する抽出処理と、
前記抽出処理によって抽出された前記リスクを列挙した情報である出力情報を出力する出力処理と、
をコンピュータに実行させるためのリスク抽出プログラム。 Input processing that accepts input of a scenario including the state of the controlled object;
memory processing that stores in advance an attack list that is information listing the details of the attack;
a first type assignment process that assigns a scenario type to the scenario according to a keyword included in the scenario to provide first factor information;
a second type assigning process that assigns an attack type corresponding to a keyword included in the attack content to the attack content as second factor information;
an extraction process of extracting, as a risk, a combination of the first factor information and the second factor information that follows a predetermined causal relationship between the scenario type and the attack type;
an output process that outputs output information that is information listing the risks extracted by the extraction process;
A risk extraction program that allows a computer to execute
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/JP2022/013364 WO2023181145A1 (en) | 2022-03-23 | 2022-03-23 | Risk extraction device, risk extraction method, and risk extraction program |
Publications (3)
Publication Number | Publication Date |
---|---|
JPWO2023181145A1 JPWO2023181145A1 (en) | 2023-09-28 |
JP7433551B1 true JP7433551B1 (en) | 2024-02-19 |
JPWO2023181145A5 JPWO2023181145A5 (en) | 2024-03-01 |
Family
ID=88100225
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023560133A Active JP7433551B1 (en) | 2022-03-23 | 2022-03-23 | Risk extraction device, risk extraction method, risk extraction program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP7433551B1 (en) |
WO (1) | WO2023181145A1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007058514A (en) | 2005-08-24 | 2007-03-08 | Mitsubishi Electric Corp | Information processor, information processing method and program |
WO2014208427A1 (en) | 2013-06-24 | 2014-12-31 | 日本電信電話株式会社 | Security information management system and security information management method |
US20190222593A1 (en) | 2018-01-12 | 2019-07-18 | The Boeing Company | Anticipatory cyber defense |
JP2019192101A (en) | 2018-04-27 | 2019-10-31 | 矢崎総業株式会社 | Brittleness information generator and brittleness evaluation device |
-
2022
- 2022-03-23 WO PCT/JP2022/013364 patent/WO2023181145A1/en active Application Filing
- 2022-03-23 JP JP2023560133A patent/JP7433551B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007058514A (en) | 2005-08-24 | 2007-03-08 | Mitsubishi Electric Corp | Information processor, information processing method and program |
WO2014208427A1 (en) | 2013-06-24 | 2014-12-31 | 日本電信電話株式会社 | Security information management system and security information management method |
US20190222593A1 (en) | 2018-01-12 | 2019-07-18 | The Boeing Company | Anticipatory cyber defense |
JP2019192101A (en) | 2018-04-27 | 2019-10-31 | 矢崎総業株式会社 | Brittleness information generator and brittleness evaluation device |
Also Published As
Publication number | Publication date |
---|---|
WO2023181145A1 (en) | 2023-09-28 |
JPWO2023181145A1 (en) | 2023-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2141598A1 (en) | Software behavior modeling device, software behavior modeling method, software behavior verification device, and software behavior verification method | |
JP5803463B2 (en) | Security event monitoring apparatus, method and program | |
CN105511944A (en) | Anomaly detection method of internal virtual machine of cloud system | |
WO2019072158A1 (en) | Security control method and computer system | |
CN112686036B (en) | Risk text recognition method and device, computer equipment and storage medium | |
US11663105B2 (en) | String pattern matching for multi-string pattern rules in intrusion detection | |
CN101359351A (en) | Multilayer semantic annotation and detection method against malignancy | |
US8813229B2 (en) | Apparatus, system, and method for preventing infection by malicious code | |
CN105260659A (en) | Kernel-level code reuse type attack detection method based on QEMU | |
JP6922072B2 (en) | Abnormality diagnosis system and abnormality diagnosis method | |
US20190260797A1 (en) | Method and system for verifying validity of detection result | |
KR20190070702A (en) | System and method for automatically verifying security events based on text mining | |
CN114598504B (en) | Risk assessment method and device, electronic equipment and readable storage medium | |
CN107194252A (en) | The program control flow completeness protection method and system of a kind of complete context-sensitive | |
WO2009152511A2 (en) | Control flow deviation detection for software security | |
CN112537318A (en) | Method for remotely controlling a motor vehicle | |
Fenzl et al. | Continuous fields: Enhanced in-vehicle anomaly detection using machine learning models | |
CN114490302B (en) | Threat behavior analysis method based on big data analysis and server | |
JP7433551B1 (en) | Risk extraction device, risk extraction method, risk extraction program | |
WO2020137847A1 (en) | Attack tree generation device, attack tree generation method, and attack tree generation program | |
KR20150131592A (en) | Method of handling korean variable message format message for embedded system and device thereof | |
Kashiyama et al. | Study on cyber‐security for IoT edge utilizing pattern match accelerator | |
JP7000271B2 (en) | Vehicle unauthorized access countermeasure device and vehicle unauthorized access countermeasure method | |
WO2019142469A1 (en) | Security design apparatus, security design method, and security design program | |
CN116543240A (en) | Defending method for machine learning against attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230928 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230928 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230928 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240109 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240206 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7433551 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |