JP7465835B2 - セキュリティ対策支援装置、および、セキュリティ対策支援方法 - Google Patents
セキュリティ対策支援装置、および、セキュリティ対策支援方法 Download PDFInfo
- Publication number
- JP7465835B2 JP7465835B2 JP2021035001A JP2021035001A JP7465835B2 JP 7465835 B2 JP7465835 B2 JP 7465835B2 JP 2021035001 A JP2021035001 A JP 2021035001A JP 2021035001 A JP2021035001 A JP 2021035001A JP 7465835 B2 JP7465835 B2 JP 7465835B2
- Authority
- JP
- Japan
- Prior art keywords
- point
- attack
- kill
- countermeasure
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 21
- 238000011156 evaluation Methods 0.000 claims description 38
- 230000002708 enhancing effect Effects 0.000 claims 1
- 238000012544 monitoring process Methods 0.000 description 66
- 238000010586 diagram Methods 0.000 description 25
- 238000012790 confirmation Methods 0.000 description 13
- 238000004519 manufacturing process Methods 0.000 description 12
- 101100454361 Arabidopsis thaliana LCB1 gene Proteins 0.000 description 6
- 101100171146 Oryza sativa subsp. japonica DREB2C gene Proteins 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000008685 targeting Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000007769 metal material Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、セキュリティ対策支援装置、および、セキュリティ対策支援方法に関わる。
近年、サイバー攻撃による脅威が大きなものとなっており、その範囲は従来の情報システムのみでなく、産業分野の自動制御システムも脅威の対象となっており、サイバーセキュリティ(以後、セキュリティ)対策は喫緊の課題である。
一方で、会社ごとに社内システムの構成が異なるので、セキュリティ診断サービスは、専門家が社内システムごとに脅威を分析して、その結果を踏まえたオーダーメイドの対策を提案することが一般的であった。そのため、セキュリティ対策には手間がかかっていた。そこで、セキュリティ対策を支援するシステムが提案されている。
一方で、会社ごとに社内システムの構成が異なるので、セキュリティ診断サービスは、専門家が社内システムごとに脅威を分析して、その結果を踏まえたオーダーメイドの対策を提案することが一般的であった。そのため、セキュリティ対策には手間がかかっていた。そこで、セキュリティ対策を支援するシステムが提案されている。
特許文献1には、社内システムを構成するルータやファイヤーウォールなどの個々の装置について、その属性ごとに脅威一覧表に基づいて脅威を抽出するセキュリティ対策装置が記載されている。
特許文献2には、立案されたセキュリティ対策に対してセキュリティテストを行うことで、セキュリティ対策の費用対効果を検証するリスク評価対策立案システムが記載されている。セキュリティテストでの評価には、どの攻撃起点からどの攻撃経路を経由して攻撃するかの攻撃経路が参照される。
特許文献2には、立案されたセキュリティ対策に対してセキュリティテストを行うことで、セキュリティ対策の費用対効果を検証するリスク評価対策立案システムが記載されている。セキュリティテストでの評価には、どの攻撃起点からどの攻撃経路を経由して攻撃するかの攻撃経路が参照される。
社内の予算が限られていることもあり、セキュリティ対策にも高い費用対効果が求められる。攻撃される機会が少ない装置や、セキュリティで守る資産の価値が低い装置も存在する。それらの装置については、多額の費用をセキュリティ対策に費やすことはセキュリティ強度を高める反面、過剰なコストとなって費用対効果を落としてしまう。
そこで、セキュリティ対策支援システムの重要な役割として、広域の社内システムから、どの装置を重点的に対策するか、また、どの程度の攻撃まで守れればよいかなどのきめ細かな対策度合いの決定を支援することである。
しかし、特許文献1,2などの従来の技術では、脅威事象の洗い出しには効果があるものの、限られた予算内でどの対策を重点的に行うか(またはどの対策は現時点では行わなくてもよいか)という、費用節約の観点での具体的な対策を提案できなかった。
しかし、特許文献1,2などの従来の技術では、脅威事象の洗い出しには効果があるものの、限られた予算内でどの対策を重点的に行うか(またはどの対策は現時点では行わなくてもよいか)という、費用節約の観点での具体的な対策を提案できなかった。
そこで、本発明は、費用対効果の高いセキュリティ対策を提案することを主な課題とする。
上記の課題を解決するため、本発明のセキュリティ対策支援装置は以下の特徴を有する。
本発明は、保護対象である資産ポイントを終点ポイントとし、始点ポイントから前記終点ポイントまでの攻撃パスを生成する攻撃パス生成部と、
前記攻撃パスを構成する各候補ポイントから、攻撃者の攻撃を遮断する箇所であるキルポイントを決定するキルポイント決定部と、
前記キルポイントの保護レベルが事前に設定された攻撃者能力に対処可能か否かを判定するキルポイント評価部と、
前記キルポイント評価部の判定結果として対処不可能な前記攻撃パスについて、前記キルポイントの保護レベルを強化する対策項目を選定する推奨対策選定部と、
前記推奨対策選定部が選定した対策項目を出力する対策内容出力部とを有することを特徴とする。
その他の手段は、後記する。
本発明は、保護対象である資産ポイントを終点ポイントとし、始点ポイントから前記終点ポイントまでの攻撃パスを生成する攻撃パス生成部と、
前記攻撃パスを構成する各候補ポイントから、攻撃者の攻撃を遮断する箇所であるキルポイントを決定するキルポイント決定部と、
前記キルポイントの保護レベルが事前に設定された攻撃者能力に対処可能か否かを判定するキルポイント評価部と、
前記キルポイント評価部の判定結果として対処不可能な前記攻撃パスについて、前記キルポイントの保護レベルを強化する対策項目を選定する推奨対策選定部と、
前記推奨対策選定部が選定した対策項目を出力する対策内容出力部とを有することを特徴とする。
その他の手段は、後記する。
本発明によれば、費用対効果の高いセキュリティ対策を提案することができる。
以下、本発明の一実施形態を、図面を用いて説明する。
図1は、セキュリティ対策が適用されるネットワークシステムの構成図である。
ネットワークシステムは、インターネットなどのUntrustなOA-NW(Network)と、情報NWと、制御NWと、ラインNWとで各機器を接続している。情報NWおよび制御NWは有線LAN(Local Area Network)であり、ラインNWはシリアルのピア接続である。
情報NWには、監視端末と、セキュリティGW(Gateway)と、監視制御サーバと、情報NWスイッチとが接続されている。制御NWには、監視制御サーバと、制御NWスイッチと、PLC(Programmable Logic Controller)とが接続されている。ラインNWは、PLCとローカルHMI(Human Machine Interface)とを接続する。
監視端末は、監視制御サーバおよびPLCを遠隔操作できる。ローカルHMIは、PLCを操作できる。
ネットワークシステムは、インターネットなどのUntrustなOA-NW(Network)と、情報NWと、制御NWと、ラインNWとで各機器を接続している。情報NWおよび制御NWは有線LAN(Local Area Network)であり、ラインNWはシリアルのピア接続である。
情報NWには、監視端末と、セキュリティGW(Gateway)と、監視制御サーバと、情報NWスイッチとが接続されている。制御NWには、監視制御サーバと、制御NWスイッチと、PLC(Programmable Logic Controller)とが接続されている。ラインNWは、PLCとローカルHMI(Human Machine Interface)とを接続する。
監視端末は、監視制御サーバおよびPLCを遠隔操作できる。ローカルHMIは、PLCを操作できる。
図1の波線矢印に示すように、攻撃パスAP11は、セキュリティGW→監視端末→監視制御サーバ→PLCという経路をたどって、PLCを攻撃目標(資産ポイント)とする不正アクセスを示す。このように、攻撃パスは、始点ポイント(セキュリティGW)から終点ポイント(PLC)までの各機器(ポイント、コンポーネントとも呼ばれる)を順に通過する。
また、図1のセキュリティGW[6.44]の「6.44」という各機器に付属する数値は、その機器のポイント重要度を示す。ポイント重要度とは、その数値が高いほど重点的にセキュリティ強度を高める必要があるパラメータであり、事前に機器ごとに管理者が入力しておく。
また、図1のセキュリティGW[6.44]の「6.44」という各機器に付属する数値は、その機器のポイント重要度を示す。ポイント重要度とは、その数値が高いほど重点的にセキュリティ強度を高める必要があるパラメータであり、事前に機器ごとに管理者が入力しておく。
ポイント重要度は、例えば、業務におけるそのポイントの資産としての重要度であり、顧客の個人情報などの重要な機密情報を保管する機器は数値が高くなる。または、ポイント重要度は、ネットワークシステムのレイアウト(接続構成)から導き出せる攻撃者が攻撃しやすい度合いであり、数値が大きいほど攻撃者からのアクセスが容易な場所に設置されている。
攻撃者からの攻撃を守る側の視点では、攻撃パスAP11「セキュリティGW→監視端末→監視制御サーバ→PLC」のうち、経路途中のセキュリティGWか、監視端末か、監視制御サーバかの少なくとも1つのポイントで、攻撃を遮断(キル)する必要がある。
つまり、攻撃パスを構成する候補ポイントの集合から、少なくとも1つのキルポイントを設定することで、その攻撃パスを経由する攻撃を遮断(キルチェーン)できる。
つまり、攻撃パスを構成する候補ポイントの集合から、少なくとも1つのキルポイントを設定することで、その攻撃パスを経由する攻撃を遮断(キルチェーン)できる。
ここで、攻撃パスAP11に着目すれば、例えば始点ポイントのセキュリティGWをキルポイントとして攻撃の遮断に成功すれば、その後段の監視端末や監視制御サーバには不正アクセスは流れないので、過剰なセキュリティ対策を行わなくてもよいことになる。つまり、キルポイントの選別により費用対効果の高いセキュリティ対策を提案できる。なお、攻撃パスからキルポイントを選別する具体的なアルゴリズムは後記する。
さらに、攻撃パスの分類を説明する。攻撃者の攻撃は、不正アクセスなどの計算機上の論理的な攻撃と、攻撃者自身が敷地へ侵入して機器を破壊するなどの物理的な攻撃とに分類される。よって、図1の攻撃パスAP11などの、始点ポイントから終点ポイントまでの攻撃がすべて論理的な攻撃となる攻撃パスを「論理パス」と呼ぶ。
一方、始点ポイントから終点ポイントまでの攻撃がすべて物理的な攻撃となる攻撃パスを「物理パス」と呼び、物理パスと論理パスとを組み合わせた攻撃パスを「論物パス」と呼ぶ。
一方、始点ポイントから終点ポイントまでの攻撃がすべて物理的な攻撃となる攻撃パスを「物理パス」と呼び、物理パスと論理パスとを組み合わせた攻撃パスを「論物パス」と呼ぶ。
図2は、図1のネットワークシステム上の論理パスの説明図である。
同じネットワークシステムでも、重要な資産ポイントが複数個所に分散されていることもある。図2では、監視端末を狙う攻撃パスAP21と、監視制御サーバを狙う攻撃パスAP22と、PLCを狙う攻撃パスAP23とが示される。
同じネットワークシステムでも、重要な資産ポイントが複数個所に分散されていることもある。図2では、監視端末を狙う攻撃パスAP21と、監視制御サーバを狙う攻撃パスAP22と、PLCを狙う攻撃パスAP23とが示される。
ここで、攻撃パスが通過するポイントの「段数」を定義する。
攻撃パスAP21は、OA-NW→セキュリティGW→情報NW→監視端末を順にたどるので、OA-NWより後のポイントは「セキュリティGW、情報NW、監視端末」の合計3つである。よって、攻撃パスAP21の段数は3段である。
攻撃パスAP22は、OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバを順にたどる。しかし、「監視端末→監視制御サーバ」は遠隔操作が可能なので0段とする。よって、攻撃パスAP22の段数は3段である。
攻撃パスAP23は、OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバ→制御NW→PLCを順にたどる。よって、攻撃パスAP23の段数は5段である。このように、段数が多い攻撃パスほど資産ポイントまでの攻撃手順を多く必要とするので、攻撃が困難な攻撃パスである。
攻撃パスAP21は、OA-NW→セキュリティGW→情報NW→監視端末を順にたどるので、OA-NWより後のポイントは「セキュリティGW、情報NW、監視端末」の合計3つである。よって、攻撃パスAP21の段数は3段である。
攻撃パスAP22は、OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバを順にたどる。しかし、「監視端末→監視制御サーバ」は遠隔操作が可能なので0段とする。よって、攻撃パスAP22の段数は3段である。
攻撃パスAP23は、OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバ→制御NW→PLCを順にたどる。よって、攻撃パスAP23の段数は5段である。このように、段数が多い攻撃パスほど資産ポイントまでの攻撃手順を多く必要とするので、攻撃が困難な攻撃パスである。
図3は、図1のネットワークシステム上の論物パスの説明図である。
図1のネットワークシステムは、物理構成として、生産棟320に収容されている。生産棟320は、管理外区域の玄関310との間に、生産棟扉311により守られている。
生産棟320内の機械室330の内部には、ローカルHMIと、PLCと、制御NWスイッチとが収容され、機械室扉331により守られている。
生産棟320内の監視室340の内部には、セキュリティGWと、監視端末と、サーバラック342とが収容され、監視室扉341により守られている。サーバラック342の内部には、監視制御サーバと、情報NWスイッチとが収容され、サーバラック扉343により守られている。
図1のネットワークシステムは、物理構成として、生産棟320に収容されている。生産棟320は、管理外区域の玄関310との間に、生産棟扉311により守られている。
生産棟320内の機械室330の内部には、ローカルHMIと、PLCと、制御NWスイッチとが収容され、機械室扉331により守られている。
生産棟320内の監視室340の内部には、セキュリティGWと、監視端末と、サーバラック342とが収容され、監視室扉341により守られている。サーバラック342の内部には、監視制御サーバと、情報NWスイッチとが収容され、サーバラック扉343により守られている。
攻撃者は、自身で玄関310→監視室340まで出向き、監視端末を手元で操作する(実線矢印の物理パスAP31)。そして、攻撃者は、手元で操作する監視端末を介して、監視制御サーバ→PLCへと不正アクセスを行う(波線矢印の論理パスAP32)。
このように、論物パスは、物理パスAP31と論理パスAP32とを組み合わせて構成される。
このように、論物パスは、物理パスAP31と論理パスAP32とを組み合わせて構成される。
図4は、攻撃パスに沿って行われる攻撃手順を示すテーブルである。
テーブル111は、図1の攻撃パスAP11の詳細な攻撃手順を示す。テーブル112は、図3の論物パス(物理パスAP31+論理パスAP32)の詳細な攻撃手順を示す。
ここで、テーブル111、112の「ID」列は、説明用に各攻撃手順を区別するために付加した。テーブル111、112を比較すると、監視端末[6.44]の乗っ取り(ID=A06)までは、攻撃手順が異なるものの、ID=A06以降の攻撃手順は共通となる。よって、監視端末[6.44]をキルポイントに設定することで、双方の攻撃パスを1か所で同時に遮断でき、費用対効果が高まる。
テーブル111は、図1の攻撃パスAP11の詳細な攻撃手順を示す。テーブル112は、図3の論物パス(物理パスAP31+論理パスAP32)の詳細な攻撃手順を示す。
ここで、テーブル111、112の「ID」列は、説明用に各攻撃手順を区別するために付加した。テーブル111、112を比較すると、監視端末[6.44]の乗っ取り(ID=A06)までは、攻撃手順が異なるものの、ID=A06以降の攻撃手順は共通となる。よって、監視端末[6.44]をキルポイントに設定することで、双方の攻撃パスを1か所で同時に遮断でき、費用対効果が高まる。
このように、費用対効果の高いセキュリティ対策を提案するためには、ネットワークシステムの中から重点的に対策を行うキルポイントを絞り込むことが有効となる。
「パス優先順位」とは、ネットワークシステムで想定される様々な攻撃パスに対して、どの攻撃パスから順に対策すべきかを示す、パス単位での優先順位である。
「ポイント優先順位」とは、攻撃パスを構成する様々な候補ポイントに対して、どの候補ポイントから順にキルポイントとして対策すべきかを示す、ポイント単位での優先順位である。
なお、パス優先順位もポイント優先順位も、第1位、第2位、…の順に数値が小さいほど先に対策されるものとして優先的に選択される。
「パス優先順位」とは、ネットワークシステムで想定される様々な攻撃パスに対して、どの攻撃パスから順に対策すべきかを示す、パス単位での優先順位である。
「ポイント優先順位」とは、攻撃パスを構成する様々な候補ポイントに対して、どの候補ポイントから順にキルポイントとして対策すべきかを示す、ポイント単位での優先順位である。
なお、パス優先順位もポイント優先順位も、第1位、第2位、…の順に数値が小さいほど先に対策されるものとして優先的に選択される。
以下、パス優先順位の計算方法を説明する。パス優先順位は、例えば、以下の(指針1)、(指針2)、(指針3)の順に決定される。
(指針1)「論物パス」よりも「論理パス」を優先させる。物理的な攻撃よりも論理的な攻撃のほうが攻撃者の攻撃コストが低いからである。
(指針2)前記の(指針1)でパス優先順位が同じ場合、その物理パスが通過する経路の物理セキュリティ対策の保護レベルが低いほど、優先させる。物理セキュリティ対策の保護レベルとは、例えばLv.1~3とし、レベルの数値が高いほど現時点ではセキュアであるため、対策を後回しにしてもよい。この保護レベルは、侵入開始位置(図3では生産棟扉311)からの距離が長いほど高くしてもよいし、機械室扉331や監視室扉341などの障壁度合い(扉の素材となる金属の強度や、扉の通過に要する生体認証などの強度)に応じて設定してもよい。
(指針3)前記の(指針1)および(指針2)でパス優先順位が同じ場合、始点ポイントから終点ポイントまでの距離の短さ(段数)が小さいほど、優先させる。段数が小さいほうが攻撃者の攻撃コストが低いからである。
(指針1)「論物パス」よりも「論理パス」を優先させる。物理的な攻撃よりも論理的な攻撃のほうが攻撃者の攻撃コストが低いからである。
(指針2)前記の(指針1)でパス優先順位が同じ場合、その物理パスが通過する経路の物理セキュリティ対策の保護レベルが低いほど、優先させる。物理セキュリティ対策の保護レベルとは、例えばLv.1~3とし、レベルの数値が高いほど現時点ではセキュアであるため、対策を後回しにしてもよい。この保護レベルは、侵入開始位置(図3では生産棟扉311)からの距離が長いほど高くしてもよいし、機械室扉331や監視室扉341などの障壁度合い(扉の素材となる金属の強度や、扉の通過に要する生体認証などの強度)に応じて設定してもよい。
(指針3)前記の(指針1)および(指針2)でパス優先順位が同じ場合、始点ポイントから終点ポイントまでの距離の短さ(段数)が小さいほど、優先させる。段数が小さいほうが攻撃者の攻撃コストが低いからである。
この指針1~3に従い、例えば、図1~図3のネットワークシステムで想定される様々な攻撃パスへのパス優先順位は、以下のように第1位~第8位として順位付けされる。なお、[論理へ]の表記は、この表記より前が物理パスで、この表記より後が論理パスである攻撃の切り替えポイントを示す。まず、同率の第1位は、ともに論理パスであり段数も同じである。
・第1位:[0段(物理)+3段(論理)=計3段]=OA-NW→セキュリティGW(6.44)→情報NW(情報NWスイッチ)→監視制御サーバ(9.54)
・第1位:[0段(物理)+3段(論理)=計3段]=OA-NW→セキュリティGW(6.44)→情報NW(情報NWスイッチ)→監視端末(6.44)=監視制御サーバ(9.54)
・第1位:[0段(物理)+3段(論理)=計3段]=OA-NW→セキュリティGW(6.44)→情報NW(情報NWスイッチ)→監視制御サーバ(9.54)
・第1位:[0段(物理)+3段(論理)=計3段]=OA-NW→セキュリティGW(6.44)→情報NW(情報NWスイッチ)→監視端末(6.44)=監視制御サーバ(9.54)
次に第3位~第6位は、ともに保護レベルLV2の論物パスであり、その段数が少ないほど上位となる。
・第3位:[LV2:4段(物理)+1段(論理)=計5段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→[論理へ]→監視端末(6.44)=監視制御サーバ(9.54)
・第4位:[LV2:4段(物理)+3段(論理)=計7段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→[論理へ]→セキュリティGW(6.44)→情報NW→監視制御サーバ(9.54)
・第4位:[LV2:6段(物理)+1段(論理)=計7段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→ラック扉→サーバラック→[論理へ]→監視制御サーバ(9.54)
・第6位:[LV2:6段(物理)+2段(論理)=計8段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→ラック扉→サーバラック→[論理へ]→情報NWスイッチ(6.44)→監視制御サーバ(9.54)
・第3位:[LV2:4段(物理)+1段(論理)=計5段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→[論理へ]→監視端末(6.44)=監視制御サーバ(9.54)
・第4位:[LV2:4段(物理)+3段(論理)=計7段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→[論理へ]→セキュリティGW(6.44)→情報NW→監視制御サーバ(9.54)
・第4位:[LV2:6段(物理)+1段(論理)=計7段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→ラック扉→サーバラック→[論理へ]→監視制御サーバ(9.54)
・第6位:[LV2:6段(物理)+2段(論理)=計8段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→ラック扉→サーバラック→[論理へ]→情報NWスイッチ(6.44)→監視制御サーバ(9.54)
さらに、第7,8位は、ともに保護レベルLV3の論物パスであり、その段数が少ないほど上位となる。
・第7位:[LV3:4段(物理)+2段(論理)=計6段]=(管理外区域)→玄関→生産棟→機械室扉→機械室→[論理へ]→制御NWスイッチ(9.21)→監視制御サーバ(9.54)
・第8位:[LV3:4段(物理)+4段(論理)=計8段]=(管理外区域)→玄関→生産棟→機械室扉→機械室→[論理へ]→ローカルHMI(4.94)→PLC(9.21)→制御NW→監視制御サーバ(9.54)
・第7位:[LV3:4段(物理)+2段(論理)=計6段]=(管理外区域)→玄関→生産棟→機械室扉→機械室→[論理へ]→制御NWスイッチ(9.21)→監視制御サーバ(9.54)
・第8位:[LV3:4段(物理)+4段(論理)=計8段]=(管理外区域)→玄関→生産棟→機械室扉→機械室→[論理へ]→ローカルHMI(4.94)→PLC(9.21)→制御NW→監視制御サーバ(9.54)
図5は、セキュリティ対策支援システム100の構成図である。
セキュリティ対策支援システム100は、図1~図3に示すようなネットワークシステム上で行われるセキュリティ対策の立案を支援する。
セキュリティ対策支援装置1は、セキュリティ対策支援装置1を中心として、そのセキュリティ対策支援装置1への入出力データ(システムプロファイル21、評価プロファイル22、対策有無確認票23、推奨対策一覧24)を扱う装置(入力装置、出力装置)を有する。
セキュリティ対策支援システム100は、図1~図3に示すようなネットワークシステム上で行われるセキュリティ対策の立案を支援する。
セキュリティ対策支援装置1は、セキュリティ対策支援装置1を中心として、そのセキュリティ対策支援装置1への入出力データ(システムプロファイル21、評価プロファイル22、対策有無確認票23、推奨対策一覧24)を扱う装置(入力装置、出力装置)を有する。
図6は、セキュリティ対策支援装置1のハードウェア構成図である。
セキュリティ対策支援装置1は、CPU901と、RAM902と、ROM903と、HDD904などの記憶部と、通信I/F905と、入出力I/F906と、メディアI/F907とを有するコンピュータ900として構成される。
通信I/F905は、外部の通信装置915と接続される。入出力I/F906は、入出力装置916と接続される。メディアI/F907は、記録媒体917からデータを読み書きする。さらに、CPU901は、RAM902に読み込んだプログラム(アプリケーションや、その略のアプリとも呼ばれる)を実行することにより、各処理部を制御する。そして、このプログラムは、通信回線を介して配布したり、CD-ROM等の記録媒体917に記録して配布したりすることも可能である。
セキュリティ対策支援装置1は、CPU901と、RAM902と、ROM903と、HDD904などの記憶部と、通信I/F905と、入出力I/F906と、メディアI/F907とを有するコンピュータ900として構成される。
通信I/F905は、外部の通信装置915と接続される。入出力I/F906は、入出力装置916と接続される。メディアI/F907は、記録媒体917からデータを読み書きする。さらに、CPU901は、RAM902に読み込んだプログラム(アプリケーションや、その略のアプリとも呼ばれる)を実行することにより、各処理部を制御する。そして、このプログラムは、通信回線を介して配布したり、CD-ROM等の記録媒体917に記録して配布したりすることも可能である。
図5に戻って、セキュリティ対策支援装置1の処理部は、攻撃パス生成部11と、キルポイント決定部12と、キルポイント評価部13と、推奨対策選定部14と、対策内容出力部15とを有する。
セキュリティ対策支援装置1の記憶部には、攻撃パターンDB16と、チェックリストDB17と、推奨対策DB18とが格納される。これらのセキュリティ対策支援装置1の各構成要素は、後記する図9のフローチャートに沿って明らかにする。
セキュリティ対策支援装置1の記憶部には、攻撃パターンDB16と、チェックリストDB17と、推奨対策DB18とが格納される。これらのセキュリティ対策支援装置1の各構成要素は、後記する図9のフローチャートに沿って明らかにする。
図7は、システムプロファイル21のうちのポイント一覧テーブル211の構成図である。
ポイント一覧テーブル211は、攻撃パスのポイント名(通過する機器の名称)ごとの属性として、プラットフォーム(HW:HardWare)、プラットフォーム(SW:SoftWare)、属性情報(用途)、および、ポイント重要度を対応付ける。
ポイント一覧テーブル211は、攻撃パスのポイント名(通過する機器の名称)ごとの属性として、プラットフォーム(HW:HardWare)、プラットフォーム(SW:SoftWare)、属性情報(用途)、および、ポイント重要度を対応付ける。
図8は、システムプロファイル21のうちの論理構成テーブル212および物理構成テーブル213の構成図である。
論理構成テーブル212は、論理ネットワーク名ごとに、ネットワーク種類、NW制御デバイス、および、接続ポイントを対応付ける。
物理構成テーブル213は、物理エリア名ごとに、属性情報、近接する物理エリア、および、エリア内に設置されるポイントを対応付ける。
つまり、セキュリティ対策支援装置1は、システムプロファイル21を参照することで、図1~図3に示すようなネットワークシステムの物理構成および論理構成を把握できる。
論理構成テーブル212は、論理ネットワーク名ごとに、ネットワーク種類、NW制御デバイス、および、接続ポイントを対応付ける。
物理構成テーブル213は、物理エリア名ごとに、属性情報、近接する物理エリア、および、エリア内に設置されるポイントを対応付ける。
つまり、セキュリティ対策支援装置1は、システムプロファイル21を参照することで、図1~図3に示すようなネットワークシステムの物理構成および論理構成を把握できる。
図9は、セキュリティ対策支援装置1の処理を示すフローチャートである。
攻撃パス生成部11は、図7、図8に示したシステムプロファイル21および評価プロファイル22の入力を受け、今回提案するセキュリティ対策の問題を把握する(S101)。評価プロファイル22は、例えば、資産ポイント判定情報、および、攻撃者能力情報である。
攻撃パス生成部11は、図7、図8に示したシステムプロファイル21および評価プロファイル22の入力を受け、今回提案するセキュリティ対策の問題を把握する(S101)。評価プロファイル22は、例えば、資産ポイント判定情報、および、攻撃者能力情報である。
評価プロファイル22の資産ポイント判定情報とは、ポイント重要度を計算するための情報であり、例えば、以下の甚大が最高値で、中程度、軽微の順にポイント重要度が下がる。
・甚大:攻撃成功時に極めて大きな業務影響を与える(人災・大規模な事業損失)。
・中程度:攻撃成功時に中程度の業務影響を与える(小規模の事業損失)。
・軽微:攻撃成功しても大きな業務影響はない。
・甚大:攻撃成功時に極めて大きな業務影響を与える(人災・大規模な事業損失)。
・中程度:攻撃成功時に中程度の業務影響を与える(小規模の事業損失)。
・軽微:攻撃成功しても大きな業務影響はない。
評価プロファイル22の攻撃者能力情報とは、資産ポイントに対して想定される攻撃者の能力を示す。以下では、レベルが高いほど能力が高い攻撃者である。
・レベル3:重度の悪意・高度の攻撃スキルを持つ攻撃者
・レベル2:軽度の悪意・単純な攻撃スキルを持つ攻撃者
・レベル1:誤操作・悪戯レベルの攻撃
例えば、河川などの一般的な地理しか記載されていない地図データの記憶装置を資産ポイントとして守る場合、その資産ポイントをわざわざ攻撃してもメリットが少ないので、レベル3の攻撃者がリスクを冒して攻撃してくる可能性は低い。よって、レベル1の攻撃者だけを防ぐ程度の軽度なセキュリティ対策で済ませることで、対策コストを削減できる。
・レベル3:重度の悪意・高度の攻撃スキルを持つ攻撃者
・レベル2:軽度の悪意・単純な攻撃スキルを持つ攻撃者
・レベル1:誤操作・悪戯レベルの攻撃
例えば、河川などの一般的な地理しか記載されていない地図データの記憶装置を資産ポイントとして守る場合、その資産ポイントをわざわざ攻撃してもメリットが少ないので、レベル3の攻撃者がリスクを冒して攻撃してくる可能性は低い。よって、レベル1の攻撃者だけを防ぐ程度の軽度なセキュリティ対策で済ませることで、対策コストを削減できる。
そして、攻撃パス生成部11は、ネットワークシステム上に点在する各ポイントのうち、どのポイントを資産ポイントとして保護対象とするかを、評価プロファイル22(ポイント重要度、攻撃者能力)に従って指定する(S102)。例えば、ポイント重要度が「甚大」に該当するポイントだけを資産ポイントとすることで、対策コストを大きく削減できる。または、管理者は、ネットワークシステム上から個別のポイントを資産ポイントとして、攻撃パス生成部11に直接入力してもよい。
さらに、攻撃パス生成部11は、指定された各資産ポイントについて、どの程度の攻撃者能力から守れればよいかの指定も行う。例えば、銀行口座情報の記憶装置を資産ポイントとして守る場合、レベル1,2だけでなく、レベル3の攻撃者からも防げる堅牢なセキュリティ対策を行う必要がある。
さらに、攻撃パス生成部11は、指定された各資産ポイントについて、どの程度の攻撃者能力から守れればよいかの指定も行う。例えば、銀行口座情報の記憶装置を資産ポイントとして守る場合、レベル1,2だけでなく、レベル3の攻撃者からも防げる堅牢なセキュリティ対策を行う必要がある。
攻撃パス生成部11は、攻撃パターンDB16を参照し、S102で指定された各資産ポイントまでの攻撃パス(攻撃手順)を生成する(S103)。そのため、攻撃パターンDB16には、図4のテーブル111,112に例示されるような攻撃手順のパターンが事前に登録されている。
このS103の攻撃パスの生成処理は、パス優先順位の順序に従って、S102で指定したすべての資産ポイントを終点ポイントとする攻撃パスを生成するまで(S104,Yes)、資産ポイントごとに実行される。
キルポイント決定部12は、S103で生成した攻撃パスごとに、クリティカルな(効果的に攻撃パスをキルできる)候補ポイントをキルポイントとして決定する(S105)。
このS103の攻撃パスの生成処理は、パス優先順位の順序に従って、S102で指定したすべての資産ポイントを終点ポイントとする攻撃パスを生成するまで(S104,Yes)、資産ポイントごとに実行される。
キルポイント決定部12は、S103で生成した攻撃パスごとに、クリティカルな(効果的に攻撃パスをキルできる)候補ポイントをキルポイントとして決定する(S105)。
以下、S105でのキルポイントの決定アルゴリズムを、(アルゴリズム1)~(アルゴリズム4)として4つ例示する。一方、S106~S110については、図12~図15を参照して後記する。
(アルゴリズム1)として、キルポイント決定部12は、各攻撃パスの攻撃起点に最も近いポイント(始点ポイント)を、キルポイントとする。これにより、不正アクセスが水際対策により社内システムの入り口で適切に遮断されるので、社内システム内の広範囲をセキュアにできる。
(アルゴリズム1)として、キルポイント決定部12は、各攻撃パスの攻撃起点に最も近いポイント(始点ポイント)を、キルポイントとする。これにより、不正アクセスが水際対策により社内システムの入り口で適切に遮断されるので、社内システム内の広範囲をセキュアにできる。
例えば、論理パス「OA-NW→セキュリティGW(6.44)→情報NW(情報NWスイッチ)→監視制御サーバ(9.54)」については、キルポイント決定部12は、始点ポイントから順に、1位のセキュリティGW、2位の情報NW(情報NWスイッチ)、3位の監視制御サーバの順にポイント優先順位を設定する。そして、キルポイント決定部12は、ポイント優先順位が1位のセキュリティGWを、キルポイントとする。
また、物理パス→論理パスを接続する論物パスについては、その論物パスに含まれる物理パスの保護レベルが高いほど、その後に続く論理パスがよりセキュアであるとする。よって、図3では、サーバラック342を開けずにその外側の監視端末からPLCへの論理パスを開始する第1の論物パスを、サーバラック342を開けて監視制御サーバに物理攻撃してからPLCへの論理パスを開始する第2の論物パスよりもパス優先順位を優先させる。
その結果、キルポイント決定部12は、第1の論物パスの始点ポイント(監視端末)を、第2の論物パスの始点ポイント(監視制御サーバ)よりもポイント優先順位を先の順位としてキルポイントに選ばれやすくする。
その結果、キルポイント決定部12は、第1の論物パスの始点ポイント(監視端末)を、第2の論物パスの始点ポイント(監視制御サーバ)よりもポイント優先順位を先の順位としてキルポイントに選ばれやすくする。
(アルゴリズム2)として、キルポイント決定部12は、複数の攻撃パスが集約するポイント(図4では監視端末[6.44]が該当する)を、キルポイントとする。また、集約するポイントが複数個所存在するときには、集約する攻撃パスの数が多いポイントほど優先的にキルポイントとする。これにより、複数の攻撃パスを一か所で一括して遮断してセキュアにできるので、費用対効果が高まる。
例えば、図2では、以下の3つの攻撃パスを示した。
・攻撃パスAP21「OA-NW→セキュリティGW→情報NW→監視端末」
・攻撃パスAP22「OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバ」
・攻撃パスAP23「OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバ→制御NW→PLC」
この場合、ポイント優先順位は、以下の通りである。
[第1位]セキュリティGW,監視端末(攻撃パスAP21,AP22,AP23が使用)
[第2位]監視制御サーバ(攻撃パスAP22,AP23が使用)
[第3位]PLC(攻撃パスAP23が使用)
例えば、図2では、以下の3つの攻撃パスを示した。
・攻撃パスAP21「OA-NW→セキュリティGW→情報NW→監視端末」
・攻撃パスAP22「OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバ」
・攻撃パスAP23「OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバ→制御NW→PLC」
この場合、ポイント優先順位は、以下の通りである。
[第1位]セキュリティGW,監視端末(攻撃パスAP21,AP22,AP23が使用)
[第2位]監視制御サーバ(攻撃パスAP22,AP23が使用)
[第3位]PLC(攻撃パスAP23が使用)
(アルゴリズム3)として、キルポイント決定部12は、1つの攻撃パスを構成する候補ポイントの集合について、複数の候補ポイントに対して同じ種類の対策が可能な場合、それらの複数の候補ポイントをキルポイントとする。
同じ種類の対策とは、例えば、同じ種類のネットワークOSが稼働している複数のルータに対して、同じセキュリティソフトをインストールする対策である。
これにより、1つの攻撃パスに対して複数個所のキルポイントが設定されるので、1つの攻撃パスを重点的にセキュアにできる。また、同じ種類の対策を複数個所に適用しても、それらに要するコストは一か所の適用からさほど増えないので、費用対効果が高い対策を広範囲に実行できる。
同じ種類の対策とは、例えば、同じ種類のネットワークOSが稼働している複数のルータに対して、同じセキュリティソフトをインストールする対策である。
これにより、1つの攻撃パスに対して複数個所のキルポイントが設定されるので、1つの攻撃パスを重点的にセキュアにできる。また、同じ種類の対策を複数個所に適用しても、それらに要するコストは一か所の適用からさほど増えないので、費用対効果が高い対策を広範囲に実行できる。
(アルゴリズム4)として、キルポイント決定部12は、対策有無確認票23にチェック記入された現在の対策状況を考慮して、キルポイントを選定する。例えば、キルポイント決定部12は、対策有無確認票23にチェック記入されたキルポイントの対策状況から攻撃パスごとの保護レベルを求め、保護レベルが低い攻撃パスの候補ポイントから順に、キルポイントとして選択する。
これにより、複数の攻撃パスに対してまんべんなく対策することで、費用対効果を向上させる。
これにより、複数の攻撃パスに対してまんべんなく対策することで、費用対効果を向上させる。
図10は、(アルゴリズム4)で対策前の攻撃パスを示す説明図である。ポイントNSから分岐する3つの攻撃パスAPA,APB,APCについて、太線で囲ったポイントを終点ポイントとする。
各ポイントに付加された数値について、例えば、攻撃パスAPAの始点ポイント「NA1[LV1,2.86]、NP=1」とは、ポイント名「NA1」には保護レベルLV1がすでに対策されており、ポイント重要度は2.86であり、ポイント優先順位=第1位(NP=1)が割り当てられているという意味である。
各ポイントに付加された数値について、例えば、攻撃パスAPAの始点ポイント「NA1[LV1,2.86]、NP=1」とは、ポイント名「NA1」には保護レベルLV1がすでに対策されており、ポイント重要度は2.86であり、ポイント優先順位=第1位(NP=1)が割り当てられているという意味である。
図10では3つの攻撃パスAPA,APB,APCのパス優先順位は、各攻撃パスの終点ポイントのポイント重要度が高い順に、第1位の攻撃パスAPA(10.0)、第2位の攻撃パスAPC(9.21)、第3位の攻撃パスAPB(7.84)とする。
キルポイント決定部12は、(アルゴリズム1)に従い、攻撃パスAPAの始点ポイント「NA1」をポイント優先順位(NP=1)とし、その次に接続される候補ポイント「NA2」をポイント優先順位(NP=2)とする。
キルポイント決定部12は、(アルゴリズム1)に従い、攻撃パスAPAの始点ポイント「NA1」をポイント優先順位(NP=1)とし、その次に接続される候補ポイント「NA2」をポイント優先順位(NP=2)とする。
図11は、図10の説明図において、攻撃パスAPAの対策を行った後の説明図である。
キルポイント決定部12は、第1位の攻撃パスAPAの始点ポイント「NA1」への対策により「NA1」の保護レベルLV1をLV2に上昇させた。その結果、第1位の攻撃パスAPAがセキュアになることで、パス優先順位は、第1位の攻撃パスAPC、第2位の攻撃パスAPB、第3位の攻撃パスAPAというように、順位が入れ替わる。
この順位の入れ替えを反映して、キルポイント決定部12は、第1位の攻撃パスAPCの候補ポイント「NC」をポイント優先順位=第1位(NP=1)とする。一方、攻撃パスAPAはパス優先順位が第3位に降格したので、キルポイント決定部12は、候補ポイント「NA1」をNP=3に降格し、候補ポイント「NA2」をNP=4に降格した。
キルポイント決定部12は、第1位の攻撃パスAPAの始点ポイント「NA1」への対策により「NA1」の保護レベルLV1をLV2に上昇させた。その結果、第1位の攻撃パスAPAがセキュアになることで、パス優先順位は、第1位の攻撃パスAPC、第2位の攻撃パスAPB、第3位の攻撃パスAPAというように、順位が入れ替わる。
この順位の入れ替えを反映して、キルポイント決定部12は、第1位の攻撃パスAPCの候補ポイント「NC」をポイント優先順位=第1位(NP=1)とする。一方、攻撃パスAPAはパス優先順位が第3位に降格したので、キルポイント決定部12は、候補ポイント「NA1」をNP=3に降格し、候補ポイント「NA2」をNP=4に降格した。
このように、パス優先順位やポイント優先順位は、現状の対策度合いに応じて動的に変化する。そのため、キルポイント決定部12は、チェックリストDB17を用いて、現状の対策度合いを示す情報を把握する。
図12は、チェックリストDB17を示すテーブルである。
チェックリストDB17は、対策項目ごとに、その対策で保護できる攻撃者能力(LV)と、その対策が適用される条件(システムプロファイル21に登録されたポイントの特定情報)とを対応付ける。
キルポイント評価部13は、チェックリストDB17から読み取った対策項目のうち、S105で決定したキルポイントに対する今回の評価に必要な対策項目を選別して、対策有無確認票23として出力する(図9のS106)。または、管理者は、システムプロファイル21の入力に併せて、対策有無確認票23の対策項目を直接入力しておいてもよい。
チェックリストDB17は、対策項目ごとに、その対策で保護できる攻撃者能力(LV)と、その対策が適用される条件(システムプロファイル21に登録されたポイントの特定情報)とを対応付ける。
キルポイント評価部13は、チェックリストDB17から読み取った対策項目のうち、S105で決定したキルポイントに対する今回の評価に必要な対策項目を選別して、対策有無確認票23として出力する(図9のS106)。または、管理者は、システムプロファイル21の入力に併せて、対策有無確認票23の対策項目を直接入力しておいてもよい。
例えば、キルポイント評価部13は、評価プロファイル22の攻撃者能力情報にて入力された、今回の対策で想定される攻撃者能力のレベルを超過する対策項目は、過剰な対策なので対策有無確認票23から除外してもよい。
また、キルポイント評価部13は、S105で決定したどのキルポイントについても、チェックリストDB17で「対策が適用される条件」に合致しない対策を対策有無確認票23から除外してもよい。
また、キルポイント評価部13は、S105で決定したどのキルポイントについても、チェックリストDB17で「対策が適用される条件」に合致しない対策を対策有無確認票23から除外してもよい。
図13は、チェック前の対策有無確認票23を示す構成図である。
チェック前の対策有無確認票231は、ネットワークシステムのポイントごとに、そのポイントへの攻撃手順となる攻撃パターンと、その攻撃パターンに対する対策項目とを対応付ける。また、対策項目ごとに、管理者が現時点での対策の有無を入力するためのチェックボックス231Aが、備えられている。
キルポイント評価部13は、チェック前の対策有無確認票231を管理者に提示し(画面出力し)、チェックボックス231Aにクリック入力させることで入力を受け付ける(図9のS107)。
チェック前の対策有無確認票231は、ネットワークシステムのポイントごとに、そのポイントへの攻撃手順となる攻撃パターンと、その攻撃パターンに対する対策項目とを対応付ける。また、対策項目ごとに、管理者が現時点での対策の有無を入力するためのチェックボックス231Aが、備えられている。
キルポイント評価部13は、チェック前の対策有無確認票231を管理者に提示し(画面出力し)、チェックボックス231Aにクリック入力させることで入力を受け付ける(図9のS107)。
図14は、図13からチェック後の対策有無確認票23を示す構成図である。
チェック後の対策有無確認票232は、チェック前の対策有無確認票231から、対策済のチェックボックス232Aにチェックが記入された状態である。そして、キルポイント評価部13は、同じ攻撃パターン内で所定レベルの対策項目がすべてチェックされている場合、所定レベルの攻撃を防御可能(つまり、保護レベル=所定レベル)とする。
例えば、1行目の攻撃パターンには、LV1の未チェックの対策項目が存在するので、キルポイント評価部13は、1行目の攻撃パターンに対しては対策されていない(保護レベル=LV0)と評価する。
一方、3行目の攻撃パターンには、LV2のチェックがすべてなされているので、キルポイント評価部13は、3行目の攻撃パターンに対しては保護レベル=LV2と評価する。
チェック後の対策有無確認票232は、チェック前の対策有無確認票231から、対策済のチェックボックス232Aにチェックが記入された状態である。そして、キルポイント評価部13は、同じ攻撃パターン内で所定レベルの対策項目がすべてチェックされている場合、所定レベルの攻撃を防御可能(つまり、保護レベル=所定レベル)とする。
例えば、1行目の攻撃パターンには、LV1の未チェックの対策項目が存在するので、キルポイント評価部13は、1行目の攻撃パターンに対しては対策されていない(保護レベル=LV0)と評価する。
一方、3行目の攻撃パターンには、LV2のチェックがすべてなされているので、キルポイント評価部13は、3行目の攻撃パターンに対しては保護レベル=LV2と評価する。
図15は、キルポイント評価部13による評価結果の一例を示すテーブルである。
テーブル121は、図4のテーブル111の各攻撃手順について、キルポイント評価部13が対策有無確認票23のチェック結果を参照して評価した現状の保護レベルを示す。キルポイント評価部13は、ID=A01~A11の各攻撃手順の保護レベルを参照して、攻撃パス全体の評価を以下のように行う。
・LV1の攻撃者に対しては、充分な対策がなされている。例えば、LV1以上の対策箇所が7か所存在し、2か所以上なので充分な対策となる。
・LV2の攻撃者に対しては、対策可能である。しかし、LV2以上の対策箇所が1か所しか存在しないので、充分な対策とはいえない。
・LV3の攻撃者に対しては、対策不可である。LV3以上の対策箇所は存在しない。
テーブル121は、図4のテーブル111の各攻撃手順について、キルポイント評価部13が対策有無確認票23のチェック結果を参照して評価した現状の保護レベルを示す。キルポイント評価部13は、ID=A01~A11の各攻撃手順の保護レベルを参照して、攻撃パス全体の評価を以下のように行う。
・LV1の攻撃者に対しては、充分な対策がなされている。例えば、LV1以上の対策箇所が7か所存在し、2か所以上なので充分な対策となる。
・LV2の攻撃者に対しては、対策可能である。しかし、LV2以上の対策箇所が1か所しか存在しないので、充分な対策とはいえない。
・LV3の攻撃者に対しては、対策不可である。LV3以上の対策箇所は存在しない。
キルポイント評価部13は、評価した攻撃パスの保護レベルが、評価プロファイル22で想定した攻撃者能力に対して充分か否かを判定する(図9のS108)。例えば、図15で例示した攻撃パスの保護レベルLV1は、攻撃者能力LV1に対しては、充分な対策がなされているため、S108,Yesと判断される。この場合、今回判断された攻撃パスを対策済として除外し、パス優先順位が次順位の攻撃パスを再生成してこれから対策するために、S103に戻る。
なお、S108の判定は、充分な対策がなされているか否か(キルポイントが2か所以上か否か)、とする代わりに、対策可能であるか否か(キルポイントが1か所以上存在するか否か)を判定してもよい。
なお、S108の判定は、充分な対策がなされているか否か(キルポイントが2か所以上か否か)、とする代わりに、対策可能であるか否か(キルポイントが1か所以上存在するか否か)を判定してもよい。
一方、S108,Noと判断された場合、この攻撃パスの保護レベルを強化する必要がある。そこで、推奨対策選定部14は、対策有無確認票23のチェック結果で未チェックにより不足する対策項目が存在するか否かを判定する(S109)。S109,Noの場合、現状の機器ではこれ以上の保護レベル強化は望めないため、対策内容出力部15は、対策困難な旨を表示して処理を終了する。
S109,Yesの場合、推奨対策選定部14は、対策有無確認票23の不足するキルポイントの対策項目を抽出する。さらに、対策内容出力部15は、各対策項目に対応する実践例を推奨対策DB18から読み込み、対策項目と実践例との組み合わせのリストを推奨対策一覧24として表示する(S110)。
S109,Yesの場合、推奨対策選定部14は、対策有無確認票23の不足するキルポイントの対策項目を抽出する。さらに、対策内容出力部15は、各対策項目に対応する実践例を推奨対策DB18から読み込み、対策項目と実践例との組み合わせのリストを推奨対策一覧24として表示する(S110)。
図16は、推奨対策一覧24を表示する画面図である。
推奨対策一覧24は、図14の対策有無確認票23の未チェックの対策項目を抽出し、その対策項目ごとに実践例241,242を追加したリストである。このリストにより、管理者は、対策漏れが存在するポイントごとに、具体的な対策内容を把握できる。
なお、推奨対策一覧24のリストの表示順番は、ポイント優先順位に従って(第1位を1番上に、第2位を上から2番目に…)、表示することが望ましい。
推奨対策一覧24は、図14の対策有無確認票23の未チェックの対策項目を抽出し、その対策項目ごとに実践例241,242を追加したリストである。このリストにより、管理者は、対策漏れが存在するポイントごとに、具体的な対策内容を把握できる。
なお、推奨対策一覧24のリストの表示順番は、ポイント優先順位に従って(第1位を1番上に、第2位を上から2番目に…)、表示することが望ましい。
図17は、図15のテーブル121に対して、図16の対策を行った後の状態を示すテーブルである。
このテーブル122では、ID=A05,A06の対策項目について、図16で表示されたLV1の対策を管理者が行ったものとする。よって、図15のテーブル121ではID=A05,A06の保護レベル=LV0が、図17のテーブル122では保護レベル=LV1に強化することができた。
このテーブル122では、ID=A05,A06の対策項目について、図16で表示されたLV1の対策を管理者が行ったものとする。よって、図15のテーブル121ではID=A05,A06の保護レベル=LV0が、図17のテーブル122では保護レベル=LV1に強化することができた。
なお、ID=A05,A06の保護レベルをLV0からLV1に強化しても、依然として、攻撃パス全体の評価は変わらない(LV1→充分な対策、LV2→対策可能、LV3→対策不可)。そこで、推奨対策選定部14は、攻撃者能力LV2に対抗するため(LV2→充分な対策とするため)、保護レベル=LV1の候補ポイントのうちのいずれか1つを新たなキルポイントとして、LV2に強化する追加対策を提案してもよい。
以上説明した本実施形態では、(アルゴリズム1)~(アルゴリズム4)で例示したように、攻撃パスを構成する候補ポイントのうち、一部のキルポイントに絞り込んで集中的に対策を行う。これにより、攻撃パスの保護レベルが上昇しないにもかかわらず攻撃パスの候補ポイント全部を網羅的に対策するような、無駄な対策を予防できる。
さらに、本実施形態では、キルポイント評価部13は、評価した攻撃パスの保護レベルが、評価プロファイル22で想定した攻撃者能力に対して充分か否かを判定する(図9のS108)。これにより、想定した攻撃者能力を超えた過剰な対策を行う必要が無くなり、費用対効果の高いセキュリティ対策を提案できる。
さらに、本実施形態では、キルポイント評価部13は、評価した攻撃パスの保護レベルが、評価プロファイル22で想定した攻撃者能力に対して充分か否かを判定する(図9のS108)。これにより、想定した攻撃者能力を超えた過剰な対策を行う必要が無くなり、費用対効果の高いセキュリティ対策を提案できる。
なお、本発明は前記した実施例に限定されるものではなく、さまざまな変形例が含まれる。例えば、前記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。
また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。
また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能、処理部、処理手段などは、それらの一部または全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。
また、前記の各構成、機能などは、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。
また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。
また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能、処理部、処理手段などは、それらの一部または全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。
また、前記の各構成、機能などは、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイルなどの情報は、メモリや、ハードディスク、SSD(Solid State Drive)などの記録装置、または、IC(Integrated Circuit)カード、SDカード、DVD(Digital Versatile Disc)などの記録媒体におくことができる。また、クラウドを活用することもできる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際にはほとんど全ての構成が相互に接続されていると考えてもよい。
さらに、各装置を繋ぐ通信手段は、無線LANに限定せず、有線LANやその他の通信手段に変更してもよい。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際にはほとんど全ての構成が相互に接続されていると考えてもよい。
さらに、各装置を繋ぐ通信手段は、無線LANに限定せず、有線LANやその他の通信手段に変更してもよい。
1 セキュリティ対策支援装置
11 攻撃パス生成部
12 キルポイント決定部
13 キルポイント評価部
14 推奨対策選定部
15 対策内容出力部
16 攻撃パターンDB
17 チェックリストDB
18 推奨対策DB
21 システムプロファイル
22 評価プロファイル
23 対策有無確認票
24 推奨対策一覧
100 セキュリティ対策支援システム
211 ポイント一覧テーブル
212 論理構成テーブル
213 物理構成テーブル
11 攻撃パス生成部
12 キルポイント決定部
13 キルポイント評価部
14 推奨対策選定部
15 対策内容出力部
16 攻撃パターンDB
17 チェックリストDB
18 推奨対策DB
21 システムプロファイル
22 評価プロファイル
23 対策有無確認票
24 推奨対策一覧
100 セキュリティ対策支援システム
211 ポイント一覧テーブル
212 論理構成テーブル
213 物理構成テーブル
Claims (9)
- 保護対象である資産ポイントを終点ポイントとし、始点ポイントから前記終点ポイントまでの攻撃パスを生成する攻撃パス生成部と、
前記攻撃パスを構成する各候補ポイントから、攻撃者の攻撃を遮断する箇所であるキルポイントを決定するキルポイント決定部と、
前記キルポイントの保護レベルが事前に設定された攻撃者能力に対処可能か否かを判定するキルポイント評価部と、
前記キルポイント評価部の判定結果として対処不可能な前記攻撃パスについて、前記キルポイントの保護レベルを強化する対策項目を選定する推奨対策選定部と、
前記推奨対策選定部が選定した対策項目を出力する対策内容出力部とを有することを特徴とする
セキュリティ対策支援装置。 - 前記キルポイント決定部は、前記各攻撃パスの前記始点ポイントを前記キルポイントとすることを特徴とする
請求項1に記載のセキュリティ対策支援装置。 - 前記キルポイント決定部は、複数の前記攻撃パスが集約するポイントを前記キルポイントとすることを特徴とする
請求項1に記載のセキュリティ対策支援装置。 - 前記キルポイント決定部は、1つの前記攻撃パスを構成する前記候補ポイントの集合について、複数の前記候補ポイントに対して同じ種類の対策が可能な場合、それらの複数の前記候補ポイントを前記キルポイントとすることを特徴とする
請求項1に記載のセキュリティ対策支援装置。 - 前記キルポイント決定部は、前記攻撃パスごとの保護レベルを求め、保護レベルが低い前記攻撃パスの前記候補ポイントから順に、前記キルポイントとして選択することを特徴とする
請求項1に記載のセキュリティ対策支援装置。 - 前記攻撃パス生成部は、物理的な攻撃を含む前記攻撃パスよりも、物理的な攻撃を含まない前記攻撃パスを優先して生成することを特徴とする
請求項1に記載のセキュリティ対策支援装置。 - 前記攻撃パス生成部は、物理的な攻撃を含む前記攻撃パスについて、物理的な攻撃に対する保護レベルが低いほど、優先して前記攻撃パスを生成することを特徴とする
請求項1に記載のセキュリティ対策支援装置。 - 前記攻撃パス生成部は、前記攻撃パスが通過するポイントの段数が少ない前記攻撃パスを優先して生成することを特徴とする
請求項1に記載のセキュリティ対策支援装置。 - セキュリティ対策支援装置は、攻撃パス生成部と、キルポイント決定部と、キルポイント評価部と、推奨対策選定部と、対策内容出力部とを有しており、
前記攻撃パス生成部は、保護対象である資産ポイントを終点ポイントとし、始点ポイントから前記終点ポイントまでの攻撃パスを生成し、
前記キルポイント決定部は、前記攻撃パスを構成する各候補ポイントから、攻撃者の攻撃を遮断する箇所であるキルポイントを決定し、
前記キルポイント評価部は、前記キルポイントの保護レベルが事前に設定された攻撃者能力に対処可能か否かを判定し、
前記推奨対策選定部は、前記キルポイント評価部の判定結果として対処不可能な前記攻撃パスについて、前記キルポイントの保護レベルを強化する対策項目を選定し、
前記対策内容出力部は、前記推奨対策選定部が選定した対策項目を出力することを特徴とする
セキュリティ対策支援方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021035001A JP7465835B2 (ja) | 2021-03-05 | 2021-03-05 | セキュリティ対策支援装置、および、セキュリティ対策支援方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021035001A JP7465835B2 (ja) | 2021-03-05 | 2021-03-05 | セキュリティ対策支援装置、および、セキュリティ対策支援方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022135286A JP2022135286A (ja) | 2022-09-15 |
| JP7465835B2 true JP7465835B2 (ja) | 2024-04-11 |
Family
ID=83231350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021035001A Active JP7465835B2 (ja) | 2021-03-05 | 2021-03-05 | セキュリティ対策支援装置、および、セキュリティ対策支援方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7465835B2 (ja) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011192105A (ja) | 2010-03-16 | 2011-09-29 | Mitsubishi Electric Information Systems Corp | セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 |
| JP2015095159A (ja) | 2013-11-13 | 2015-05-18 | 日本電信電話株式会社 | 評価方法及び評価装置 |
| WO2020189669A1 (ja) | 2019-03-20 | 2020-09-24 | パナソニックIpマネジメント株式会社 | リスク分析装置及びリスク分析方法 |
-
2021
- 2021-03-05 JP JP2021035001A patent/JP7465835B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011192105A (ja) | 2010-03-16 | 2011-09-29 | Mitsubishi Electric Information Systems Corp | セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法 |
| JP2015095159A (ja) | 2013-11-13 | 2015-05-18 | 日本電信電話株式会社 | 評価方法及び評価装置 |
| WO2020189669A1 (ja) | 2019-03-20 | 2020-09-24 | パナソニックIpマネジメント株式会社 | リスク分析装置及びリスク分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022135286A (ja) | 2022-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Pandey et al. | Cyber security risks in globalized supply chains: conceptual framework | |
| Jacobs | Engineering information security: The application of systems engineering concepts to achieve information assurance | |
| WO2019026310A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| WO2015160357A1 (en) | Rating threat submitter | |
| JP4338163B2 (ja) | 情報セキュリティ評価装置及び情報セキュリティ評価方法及び情報セキュリティ評価プログラムを記録した記録媒体 | |
| Nickolov | Critical information infrastructure protection: analysis, evaluation and expectations | |
| WO2020195228A1 (ja) | 分析システム、方法およびプログラム | |
| Yue et al. | A cost-based analysis of intrusion detection system configuration under active or passive response | |
| Zadeh et al. | Characterizing cybersecurity threats to organizations in support of risk mitigation decisions | |
| Harry et al. | Effects-Centric Approach to Assessing Cybersecurity Risk | |
| JP7465835B2 (ja) | セキュリティ対策支援装置、および、セキュリティ対策支援方法 | |
| US20220164892A1 (en) | Systems and methods for detecting and mitigating cyber security threats | |
| WO2021059471A1 (ja) | セキュリティリスク分析支援装置、方法、及びコンピュータ可読媒体 | |
| Türpe et al. | Testing production systems safely: Common precautions in penetration testing | |
| WO2024121950A1 (ja) | 配置場所選定装置、配置場所選定方法、及び配置場所選定プログラム | |
| Balakrishnan et al. | Strategies for Improving Cyber Resilience of Data-Intensive Business Information Systems | |
| Sudhakar et al. | Advanced Authentication System: A Secure Authentication Methodology Incorporating Face and Text Passwords, Image Password Grids, Sensitive Information Retrieval, and Login Activity Tracking with Efficient Database Connection | |
| Ekelhart et al. | Automated risk and utility management | |
| Elder et al. | Alternatives to cyber warfare: deterrence and assurance | |
| US12039042B2 (en) | Abnormal cross authorization detection systems | |
| JP2023057655A (ja) | セキュリティ対策支援装置及びセキュリティ対策支援方法 | |
| Weippl et al. | Implementing IT Security for Small and Medium Sized Enterprises | |
| US20230132611A1 (en) | Abnormal classic authorization detection systems | |
| US20230135186A1 (en) | Abnormal cross authorization detection systems | |
| Yee | Measuring privacy protection in Web services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230511 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240214 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240326 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240401 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7465835 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |