JPWO2014208427A1 - セキュリティ情報管理システム、セキュリティ情報管理方法及びセキュリティ情報管理プログラム - Google Patents
セキュリティ情報管理システム、セキュリティ情報管理方法及びセキュリティ情報管理プログラム Download PDFInfo
- Publication number
- JPWO2014208427A1 JPWO2014208427A1 JP2015524004A JP2015524004A JPWO2014208427A1 JP WO2014208427 A1 JPWO2014208427 A1 JP WO2014208427A1 JP 2015524004 A JP2015524004 A JP 2015524004A JP 2015524004 A JP2015524004 A JP 2015524004A JP WO2014208427 A1 JPWO2014208427 A1 JP WO2014208427A1
- Authority
- JP
- Japan
- Prior art keywords
- security information
- security
- keyword
- calculation unit
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
セキュリティ情報管理装置(10)では、セキュリティに関する情報であるセキュリティ情報を収集する。そして、セキュリティ情報管理装置(10)は、セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書を参照して、セキュリティ情報との関連性を比較する元となる参照元セキュリティ情報からキーワードを抽出し、該抽出されたキーワードと収集されたセキュリティ情報に含まれるキーワードとを比較して、参照元セキュリティ情報とセキュリティ情報との関連度を算出する。そして、セキュリティ情報管理装置(10)は、算出された関連度が高いセキュリティ情報ほど優先的に出力する。
Description
本発明は、セキュリティ情報管理システム及びセキュリティ情報管理方法に関する。
従来、情報システム資産を有する組織において、安定的な組織活動を継続するために、情報システム資産の管理者(以下、システム管理者と記載する)が、所属組織や管理対象の情報システム資産と関連性の高いセキュリティ情報を収集・把握し、重大な脅威が発見された場合は迅速に対応している。
このようなセキュリティ情報は、セキュリティ研究機関やセキュリティベンダ等により、インターネット上の情報提供サーバ等を通じて、新しい情報が次々に公開されている。インターネット上で公開されているセキュリティ情報としては、例えば、情報システムを構成するソフトウェアやハードウェアのセキュリティ上の欠陥と、その対策方法に関する情報等が知られている。
例えば、セキュリティ情報を収集・提供する手法として、例えば、セキュリティ情報のうち、脆弱性情報について、インターネット上の情報提供サーバで公開されている脆弱性情報を収集する手法が知られている(特許文献1参照)。この手法では、収集した複数の脆弱性情報の参照関係等の関係性に基づく集約、集約した脆弱性情報と、システム管理者が管理する情報システム資産の関連性の判定を行うことにより、システム管理者が優先的に閲覧すべき脆弱性情報を集約して提供する。
しかしながら、上述したセキュリティ情報を収集・提供する手法では、システム管理者に対して、脆弱性情報以外のセキュリティ情報について、関連性を判定し提供することができない。このため、システム管理者が参照元とする参照元セキュリティ情報と関連性の高いセキュリティ情報を、容易に収集することができない場合があるという課題があった。
例えば、あるセキュリティ情報を参照元セキュリティ情報として、該参照元セキュリティ情報に含まれるキーワードを手掛かりに、インターネット上で提供されている検索エンジン等を用いて収集する場合、システム管理者がセキュリティに関する知識を有していないと、適切なキーワードを選択することができず、関連性の高いセキュリティ情報を収集することができない。
また、参照元セキュリティ情報に含まれるキーワードを手掛かりにインターネット上で提供されている検索エンジン等を用いて収集する際に、システム管理者がセキュリティに関する知識を有している場合であっても、検索エンジンに入力したキーワードによっては、関連性の低いセキュリティ情報や、セキュリティ情報以外の一般的な情報が、多数混在した状態で検索結果として提示され、関連性の高いセキュリティ情報を判別することに多大な労力を要する。
そこで、この発明は、参照元セキュリティ情報と関連性の高いセキュリティ情報を、容易に収集することを目的とする。
上述した課題を解決し、目的を達成するため、セキュリティ情報管理システムは、セキュリティに関する情報であるセキュリティ情報を収集する収集部と、前記セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書を参照して、前記セキュリティ情報との関連性を比較する元となる参照元セキュリティ情報からキーワードを抽出し、該抽出されたキーワードと前記収集部によって収集されたセキュリティ情報に含まれるキーワードとを比較して、前記参照元セキュリティ情報と前記セキュリティ情報との関連度を算出する算出部と、前記算出部によって算出された関連度が高いセキュリティ情報ほど優先的に出力する出力部と、を備えたことを特徴とする。
また、セキュリティ情報管理方法は、セキュリティ情報管理装置によって実行されるセキュリティ情報管理方法であって、セキュリティに関する情報であるセキュリティ情報を収集する収集工程と、前記セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書を参照して、前記セキュリティ情報との関連性を比較する元となる参照元セキュリティ情報からキーワードを抽出し、該抽出されたキーワードと前記収集工程によって収集されたセキュリティ情報に含まれるキーワードとを比較して、前記参照元セキュリティ情報と前記セキュリティ情報との関連度を算出する算出工程と、前記算出工程によって算出された関連度が高いセキュリティ情報ほど優先的に出力する出力工程と、を含んだことを特徴とする。
本願に開示するセキュリティ情報管理システム及びセキュリティ情報管理方法は、参照元セキュリティ情報と関連性の高いセキュリティ情報を、容易に収集することが可能である。
以下に添付図面を参照して、この発明に係るセキュリティ情報管理システム及びセキュリティ情報管理方法の実施形態を詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。
[第一の実施形態]
以下の実施形態では、第一の実施形態に係るセキュリティ情報管理システム及びセキュリティ情報管理方法による処理の流れを順に説明し、最後に第一の実施形態による効果を説明する。
以下の実施形態では、第一の実施形態に係るセキュリティ情報管理システム及びセキュリティ情報管理方法による処理の流れを順に説明し、最後に第一の実施形態による効果を説明する。
[システムの構成]
まず、第一の実施形態に係るセキュリティ情報管理装置が適用されるセキュリティ情報管理システム100の構成の一例を説明する。図1は、第一の実施形態に係るセキュリティ情報管理システムの構成の一例を示す図である。図1に示すように、第一の実施形態に係るセキュリティ情報管理装置10が適用されるセキュリティ情報管理システム100は、セキュリティ情報管理装置10と、セキュリティ情報提供サーバ20と、クライアント端末30とを有する。また、セキュリティ情報管理システム100では、セキュリティ情報管理装置10とセキュリティ情報提供サーバ20とは、インターネット40を介して接続される。また、セキュリティ情報管理装置10は、入出力インターフェース部15を介してクライアント端末30と接続される。
まず、第一の実施形態に係るセキュリティ情報管理装置が適用されるセキュリティ情報管理システム100の構成の一例を説明する。図1は、第一の実施形態に係るセキュリティ情報管理システムの構成の一例を示す図である。図1に示すように、第一の実施形態に係るセキュリティ情報管理装置10が適用されるセキュリティ情報管理システム100は、セキュリティ情報管理装置10と、セキュリティ情報提供サーバ20と、クライアント端末30とを有する。また、セキュリティ情報管理システム100では、セキュリティ情報管理装置10とセキュリティ情報提供サーバ20とは、インターネット40を介して接続される。また、セキュリティ情報管理装置10は、入出力インターフェース部15を介してクライアント端末30と接続される。
セキュリティ情報提供サーバ20は、セキュリティ情報を公開するサーバである。例えば、セキュリティ情報提供サーバ20は、セキュリティ情報として、情報システムを構成するソフトウェアやハードウェアのセキュリティ上の欠陥(例えば、『脆弱性』『セキュリティホール』などと表現される場合がある)と、その対策方法に関するテキスト情報(以下、脆弱性情報とする)を公開する。
また、例えば、セキュリティ情報提供サーバ20は、セキュリティ情報として、上記したセキュリティ上の欠陥の悪用技術(『PoC(Proof of Concept)』『エクスプロイト』などと表現される場合がある)と、その対策方法に関するテキスト情報を公開する。
また、例えば、セキュリティ情報提供サーバ20は、セキュリティ情報として、上記の悪用技術を利用して作成された、第三者の情報システムに被害を与えることを目的とした、悪性プログラム(『(コンピュータ)ウイルス』『マルウェア』などと表現される場合がある)と、その対策方法に関するテキスト情報を公開する。
また、例えば、セキュリティ情報提供サーバ20は、セキュリティ情報として、上記した悪性プログラムを利用して実行された、他組織の情報システムへの攻撃(『標的型攻撃』『APT(Advanced Persistent Threat)攻撃』『サイバー攻撃』などと表現される場合がある)のニュースや事例に関するテキスト情報を公開する。
クライアント端末30は、システム管理者がセキュリティ情報管理システム100を利用するために用いる、標準的なWebブラウザを搭載したPC等の情報処理装置である。また、クライアント端末30は、セキュリティ情報管理装置10から、参照元のセキュリティ情報と関連性の高いセキュリティ情報を受信し、該セキュリティ情報を表示する。
[セキュリティ情報管理装置の構成]
次に、図1に示したセキュリティ情報管理装置10の構成を説明する。図1に示すように、セキュリティ情報管理装置10は、セキュリティ情報収集部11、セキュリティ情報蓄積部12、セキュリティ辞書記憶部13、セキュリティ辞書管理部14、入出力インターフェース部15およびセキュリティ情報関連性算出部16を有する。
次に、図1に示したセキュリティ情報管理装置10の構成を説明する。図1に示すように、セキュリティ情報管理装置10は、セキュリティ情報収集部11、セキュリティ情報蓄積部12、セキュリティ辞書記憶部13、セキュリティ辞書管理部14、入出力インターフェース部15およびセキュリティ情報関連性算出部16を有する。
セキュリティ情報収集部11は、セキュリティに関する情報であるセキュリティ情報を収集する。具体的には、セキュリティ情報収集部11は、セキュリティ情報提供サーバ20に対して、所定の時間間隔で定期的にアクセスし、セキュリティ情報を取得する。これらは、HTMLやPDFなどの一般的なドキュメントファイルとして取得する。そして、セキュリティ情報収集部11は、取得したファイルを、所定の形式に加工し、追加情報を付与し、セキュリティ情報蓄積部12に格納する。なお、セキュリティ情報収集部11は、取得したファイルを、所定の形式に加工する際は、セキュリティ辞書記憶部13を参照する。
例えば、セキュリティ情報収集部11は、ドキュメントファイルのタイトルおよび本文を抽出し、セキュリティ辞書記憶部13に記憶されたセキュリティ辞書を参照して、該タイトルおよび本文に含まれるキーワードを抽出する。セキュリティ情報収集部11は、設定情報として、収集対象とするセキュリティ情報提供サーバ20の「URLリスト」と、セキュリティ情報提供サーバ20ごとに異なるフォーマットで提供されるセキュリティ情報からシステム管理者が必要とする「タイトル」および「本文」を抽出するための「切り出し位置情報」と、セキュリティ情報提供サーバ20に対して収集を行うタイミングを示す「時刻や間隔を示す情報」とが設定されている。セキュリティ情報収集部11は、これらの設定情報に基づいて、動作する。なお、「切り出し位置情報」は、URLリストごとに定義される情報である。
例えば、セキュリティ情報収集部11は、設定情報で指定された時刻に、URLリストで指定されたセキュリティ情報提供サーバ20から、セキュリティ情報が記載されたHTMLファイルやPDF等のドキュメントファイルを取得する。そして、セキュリティ情報収集部11は、取得したファイルから、『切り出し位置情報』に基づき、当該セキュリティ情報の「タイトル」および「本文」を抽出する。
続いて、セキュリティ情報収集部11は、抽出した「タイトル」および「本文」に含まれるキーワードを、セキュリティ辞書との比較により抽出し、情報提供サーバのURL、ファイルを収集した時刻、抽出した「タイトル」および「本文」、抽出したすべてのキーワードをセキュリティ情報蓄積部12に格納する(後に、図2を用いて詳述)。その後、セキュリティ情報収集部11は、全てのURLリストについて処理が終了するまで、上記の処理を繰り返し行う。
セキュリティ情報蓄積部12は、セキュリティ情報収集部11から受信したセキュリティ情報および追加情報を保存する。また、セキュリティ情報蓄積部12は、セキュリティ情報関連性算出部16から要求されたセキュリティ情報を、セキュリティ情報関連性算出部16に送信する。また、セキュリティ情報蓄積部12では、セキュリティ情報の属性として、脆弱性の種別、製品またはサービスの種別、製品の提供者またはサービスの提供者の種別、国または組織の種別、もしくは、サイバー攻撃の種別ごとに、セキュリティに関するキーワードが登録されている。
ここで、図3の例を用いて、セキュリティ情報蓄積部12が記憶する情報例について説明する。図3は、第一の実施形態に係るセキュリティ情報蓄積部によって記憶される情報の一例を示す図である。図3に示すように、セキュリティ情報蓄積部12は、セキュリティ情報ごとに、セキュリティ情報収集部11により抽出されたキーワードを、「脆弱性」、「製品/サービス」、「製品/サービス提供者」、「国/組織名」および「サイバー攻撃」のカテゴリ別に記憶する。
セキュリティ辞書記憶部13は、セキュリティ情報の関連性を判定する際に参照する、セキュリティ分野に関するキーワードの集合を記憶する。セキュリティ辞書記憶部13では、セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書を記憶しており、例えば、セキュリティ情報の特徴を表すキーワードの集合として、脆弱性辞書、製品/サービス辞書、製品/サービス提供者辞書、国/組織名辞書、サイバー攻撃辞書を記憶する。
セキュリティ辞書記憶部13は、脆弱性辞書(同義語対応含む)として、例えば、バッファオーバーフロー、クロスサイトスクリプティング等を記憶し、製品/サービス辞書(同義語対応含む)として、例えば、Windows(登録商標) 7、Windows Server 2012、Twitter(登録商標)等を記憶し、製品/サービス提供者辞書(同義語対応含む)として、例えば、Microsoft(登録商標)、Google(登録商標)等を記憶し、国/組織名辞書(同義語対応含む)として、例えば、中国、韓国、衆議院、企業名等を記憶し、サイバー攻撃辞書(同義語対応含む)として、例えば、サイバー攻撃、標的型攻撃、標的型メール、情報漏えい、改ざん等を記憶する。
また、各辞書集合の作成例について説明する。脆弱性辞書は、脆弱性について解説している国内外のサイトに掲載されたキーワードが、専用のクローラ等によって収集され、登録される。また、製品/サービス提供者辞書は、脆弱性情報を提供している国内外のサイトに登録された製品/サービス提供者の名称をキーワードとして、専用のクローラ等によって収集され、登録される。また、製品/サービス辞書は、製品/サービス提供者が運営する製品紹介サイトに登録された、製品/サービスの名称やバージョンをキーワードとして、専用のクローラ等によって収集され、登録される。また、国/組織名辞書は、国内外の官公庁、上場企業等のリストを、専用のクローラ等によって収集され、登録される。また、サイバー攻撃辞書は、サイバー攻撃の各種手口や方法について解説している国内外のサイトに掲載されたキーワードが、専用のクローラ等によって収集され、登録される。上記に加え、システム管理者がセキュリティ辞書管理部14より手動で登録してもよい。
ここで、図2を用いて、セキュリティ辞書記憶部13のセキュリティ辞書によって抽出される情報の例を説明する。図2は、第一の実施形態に係るセキュリティ辞書記憶部のセキュリティ辞書によって抽出される情報の一例を示す図である。図2に例示するように、セキュリティ情報蓄積部12は、セキュリティ情報として、「情報提供サーバ(セキュリティ情報提供サーバ20)から取得したセキュリティ情報のファイルのURL」、「情報提供サーバからセキュリティ情報のファイルを収集した時刻」、「タイトル」、「本文」および「キーワード」を記憶する。「タイトル」、「本文」および「キーワード」は、セキュリティ辞書記憶部13に記憶されたセキュリティ辞書が参照され、セキュリティ情報のファイルから抽出された情報である。また、抽出したすべてのキーワードは、各セキュリティ辞書の分類に基づいて格納される。なお、一つもキーワードが抽出されなかった場合は、キーワードに対応する「内容」は空で格納される。
セキュリティ辞書管理部14は、辞書に含まれる、セキュリティ分野に関するキーワードについて、追加、削除を行う。例えば、セキュリティ辞書管理部14は、システム管理者の操作指示を受け付けて、セキュリティ分野に関するキーワードについて、追加、削除を行う。
入出力インターフェース部15は、クライアント端末30からの要求を受信し、要求に対する応答として、関連性判定の結果をクライアント端末30へ送信する。具体的には、入出力インターフェース部15は、システム管理者のクライアント端末30から、参照元セキュリティ情報、脆弱性スコアの閾値、製品/サービススコアの閾値、製品/サービス提供者スコアの閾値、国/組織名スコアの閾値およびサイバー攻撃スコアの閾値を受け取り、セキュリティ情報関連性算出部16へ送信する。
ここで、脆弱性スコアとは、参照元セキュリティ情報とセキュリティ情報蓄積部12に蓄積された各セキュリティ情報を、「脆弱性辞書」を用いて比較した場合の関連性を表す数値である。製品/サービススコアとは、参照元セキュリティ情報とセキュリティ情報蓄積部12に蓄積された各セキュリティ情報を、「製品/サービス辞書」を用いて比較した場合の関連性を表す数値である。製品/サービス提供者スコアとは、参照元セキュリティ情報とセキュリティ情報蓄積部12に蓄積された各セキュリティ情報を、「製品/サービス提供者辞書」を用いて比較した場合の関連性を表す数値である。国/組織名スコアとは、参照元セキュリティ情報とセキュリティ情報蓄積部12に蓄積された各セキュリティ情報を、「国/組織名辞書」を用いて比較した場合の関連性を表す数値である。サイバー攻撃スコアとは、参照元セキュリティ情報とセキュリティ情報蓄積部12に蓄積された各セキュリティ情報を、「サイバー攻撃辞書」を用いて比較した場合の関連性を表す数値である。
また、脆弱性スコアの閾値、製品/サービススコアの閾値、製品/サービス提供者スコアの閾値、国/組織名スコアの閾値およびサイバー攻撃スコアの閾値は、参照元セキュリティ情報とセキュリティ情報蓄積部12に蓄積された各セキュリティ情報を、上記5種のスコアに基づき関連性を判定するための指標値である。セキュリティ情報蓄積部12に蓄積されたセキュリティ情報のうち、閾値を上回るスコアを持つセキュリティ情報を、「参照元セキュリティ情報との関連性がある」と判断する。また、各閾値は、上記5種のスコアの各々に対して、システム管理者が個別に設定する。例えば、システム管理者が、クライアント端末30から、入出力インターフェース15を通じて、セキュリティ情報関連性算出部16に各閾値を送信する。
参照元セキュリティ情報の入力には、任意のテキストを入力できるテキストボックスを表示しておき、システム管理者に入力させる機能を搭載してもよい。参照元セキュリティ情報の入力には、表示中のセキュリティ情報をワンクリックでセキュリティ情報関連性算出部16に送信する操作を行うボタンをクライアント端末30のブラウザ画面に表示してもよい。各閾値の入力には、スコア計算式でとりえる値を選択肢として表示しておき、システム管理者に選択させる機能を搭載してもよい。
また、各閾値の入力には、あらかじめ標準的な値を設定しておき、システム管理者からの閾値の入力がない場合は、その標準的な値を使用するようにし、システム管理者が、都度、閾値を入力する操作の負担を軽減する機能を搭載してもよい。
また、入出力インターフェース部15は、セキュリティ情報関連性算出部16から、スコア合計値を受け取り、参照元セキュリティ情報との関連性を表す5種のスコアの全てについて送信した閾値を超えているセキュリティ情報を、合計値が高い順にクライアント端末30に表示する。なお、表示する際、セキュリティ情報が持つ「情報提供サーバから取得したセキュリティ情報のファイルのURL」、「情報提供サーバからセキュリティ情報のファイルを収集した時刻」、「セキュリティ情報の『タイトル』および『本文』に含まれるキーワード」を用いたフィルタによって、表示するセキュリティ情報をさらに絞り込む機能を搭載してもよい。参照元セキュリティ情報との関連性の高いセキュリティ情報の表示後、表示された結果を、テキストファイルやPDF等のドキュメントファイルの形式で外部にエクスポートする機能を搭載してもよい。
セキュリティ情報関連性算出部16は、セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書記憶部13を参照して、セキュリティ情報との関連性を比較する元となる参照元セキュリティ情報からキーワードを抽出し、該抽出されたキーワードとセキュリティ情報収集部11によって収集されたセキュリティ情報に含まれるキーワードとを比較して、参照元セキュリティ情報とセキュリティ情報との関連度を算出する。
セキュリティ情報関連性算出部16は、入出力インターフェース部15からの要求に基づき、セキュリティ情報蓄積部12に格納されたセキュリティ情報を取得し、関連性判定を行う。そして、セキュリティ情報関連性算出部16は、関連性判定の結果を入出力インターフェース部15を介してクライアント端末30に送信する。入出力インターフェース部15は、セキュリティ情報関連性算出部16によって算出された関連度が高いセキュリティ情報ほど優先的にクライアント端末30へ出力する。
例えば、セキュリティ情報関連性算出部16は、設定情報として、クライアント端末30から入出力インターフェース部15を介して、セキュリティ情報蓄積部12のセキュリティ情報との関連性を比較する元となる参照元セキュリティ情報、脆弱性スコアの閾値、製品/サービススコアの閾値、製品/サービス提供者スコアの閾値、国/組織名スコアの閾値およびサイバー攻撃スコアの閾値を受信する。
以下では、セキュリティ情報関連性算出部16による具体的な処理の流れを説明する。セキュリティ情報関連性算出部16は、セキュリティ辞書を参照し、脆弱性の種別、製品またはサービスの種別、製品の提供者またはサービスの提供者の種別、国または組織の種別、もしくは、サイバー攻撃の種別ごとに、参照元セキュリティ情報からキーワードをそれぞれ抽出する。
そして、セキュリティ情報関連性算出部16は、参照元セキュリティ情報から抽出したキーワードと、セキュリティ情報蓄積部12に蓄積した各セキュリティ情報の脆弱性キーワードを比較し、脆弱性スコアを計算する。具体的には、セキュリティ情報関連性算出部16は、セキュリティ辞書を参照し、脆弱性の種別、製品またはサービスの種別、製品の提供者またはサービスの提供者の種別、国または組織の種別、もしくは、サイバー攻撃の種別ごとに、参照元セキュリティ情報からキーワードをそれぞれ抽出し、参照元セキュリティ情報から抽出されたキーワードと収集部によって収集されたセキュリティ情報に含まれるキーワードとをそれぞれ比較して、参照元セキュリティ情報とセキュリティ情報との関連度を算出する。
ここで、図4の例を用いて、セキュリティ情報関連性算出部16による脆弱性スコア計算処理の一例について説明する。図4は、セキュリティ情報関連性算出部による脆弱性スコア計算処理の一例について説明する図である。図4に示すように、まず、セキュリティ情報関連性算出部16は、入出力インターフェース部15を介して、テキストおよび本文を含む参照元セキュリティ情報をクライアント端末30から受信する。
そして、セキュリティ情報関連性算出部16は、例えば、参照元セキュリティ情報から、脆弱性辞書に含まれるキーワードとして、「バッファオーバーフロー」を抽出する。そして、セキュリティ情報関連性算出部16は、参照元セキュリティ情報から抽出したキーワード「バッファオーバーフロー」と、セキュリティ情報蓄積部12に蓄積したセキュリティ情報A、Bの脆弱性キーワードを比較し、脆弱性スコアを計算する。
図4の例では、セキュリティ情報Aの脆弱性キーワードが「バッファオーバーフロー」であり、参照元セキュリティ情報から抽出したキーワードと一致しているため、セキュリティ情報Aの脆弱性スコア「a」と計算する。また、セキュリティ情報Bの脆弱性キーワードが「クロスサイトスクリプティング」であり、参照元セキュリティ情報から抽出したキーワードと一致しないため、セキュリティ情報Bの脆弱性スコア「b」と計算する。セキュリティ情報Aの脆弱性スコア「a」の方が、セキュリティ情報Bの脆弱性スコア「b」よりも高いスコアである。例えば、一致したキーワード数に基づいて、スコアを算出してもよい。例えば、セキュリティ情報Aの脆弱性スコアを「1」とし、セキュリティ情報Bの脆弱性スコアを「0」とする。
また、商用/フリーの機械学習ライブラリを用いて、スコアを算出してもよく、それぞれ特徴ベクトル化し、特徴ベクトル間の類似度を、数値で求めることができる。この方法を用いることで、キーワードが完全一致しないような類似のキーワードを持つセキュリティ情報同士の類似度も判定が可能となる。
続いて、セキュリティ情報関連性算出部16は、「製品/サービス辞書」について、同様に、製品/サービススコアを計算する。そして、セキュリティ情報関連性算出部16は、「製品/サービス提供者辞書」について、同様に、製品/サービス提供者スコアを計算する。
その後、セキュリティ情報関連性算出部16は、「国/組織名辞書」について、同様に、国/組織名スコアを計算する。そして、セキュリティ情報関連性算出部16は、「サイバー攻撃辞書」について、同様に、サイバー攻撃スコアを計算する。なお、各スコアについて重み付けを設定してもよい。
そして、セキュリティ情報関連性算出部16は、スコアを合算する。そして、セキュリティ情報関連性算出部16は、スコアの合算値が高い順に、セキュリティ情報蓄積部12のセキュリティ情報をソートする。ただし、ソートする際、上記した5種の閾値を一つでも下回るスコアを持つセキュリティ情報は、ソートの対象から除外する。
そして、セキュリティ情報関連性算出部16は、ソートされた順番で、セキュリティ情報を入出力インターフェース部15に送信する。なお、処理の速度を向上するため、この際に送信されるセキュリティ情報の件数には、システム的な上限を設定してもよい。
[セキュリティ情報管理装置による処理]
次に、図5を用いて、第一の実施形態に係るセキュリティ情報管理装置10による処理を説明する。図5は、第一の実施形態に係るセキュリティ情報管理装置におけるセキュリティ情報提供処理の流れを説明するためのフローチャートである。
次に、図5を用いて、第一の実施形態に係るセキュリティ情報管理装置10による処理を説明する。図5は、第一の実施形態に係るセキュリティ情報管理装置におけるセキュリティ情報提供処理の流れを説明するためのフローチャートである。
まず、図5を用いて、第一の実施形態に係るセキュリティ情報管理装置におけるセキュリティ情報提供処理の流れを説明する。図5に示すように、セキュリティ情報管理装置10のセキュリティ情報関連性算出部16は、クライアント端末30から入出力インターフェース部15を介して、参照元セキュリティ情報を受信すると(ステップS101)、セキュリティ情報関連性算出部16は、参照元セキュリティ情報から、セキュリティ辞書に含まれるキーワードを抽出する(ステップS102)。
そして、セキュリティ情報関連性算出部16は、参照元セキュリティ情報から抽出したキーワードと、セキュリティ情報蓄積部12に蓄積した各セキュリティ情報の脆弱性キーワードを比較し、脆弱性スコアを計算する(ステップS103)。
セキュリティ情報関連性算出部16は、「製品/サービス辞書」について、ステップS103と同様に、製品/サービススコアを計算する(ステップS104)。そして、セキュリティ情報関連性算出部16は、「製品/サービス提供者辞書」について、ステップS103と同様に、製品/サービス提供者スコアを計算する(ステップS105)。
その後、セキュリティ情報関連性算出部16は、「国/組織名辞書」について、ステップS103と同様に、国/組織名スコアを計算する(ステップS106)。そして、セキュリティ情報関連性算出部16は、「サイバー攻撃辞書」について、ステップS103と同様に、サイバー攻撃スコアを計算する(ステップS107)。
そして、セキュリティ情報関連性算出部16は、各スコアを合算する(ステップS108)。そして、セキュリティ情報関連性算出部16は、スコアの合算値が高い順に、セキュリティ情報蓄積部12のセキュリティ情報をソートする(ステップS109)。ただし、ソートする際、上記した5種の閾値を一つでも下回るスコアを持つセキュリティ情報は、ソートの対象から除外する。
そして、セキュリティ情報関連性算出部16は、ソートされた順番で、セキュリティ情報を入出力インターフェース部15に送信する(ステップS110)。
[第一の実施形態の効果]
上述してきたように、第一の実施形態にかかるセキュリティ情報管理装置10では、セキュリティに関する情報であるセキュリティ情報を収集する。そして、セキュリティ情報管理装置10は、セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書を参照して、セキュリティ情報との関連性を比較する元となる参照元セキュリティ情報からキーワードを抽出し、該抽出されたキーワードと収集されたセキュリティ情報に含まれるキーワードとを比較して、参照元セキュリティ情報とセキュリティ情報との関連度を算出する。そして、セキュリティ情報管理装置10は、算出された関連度が高いセキュリティ情報ほど優先的に出力する。これにより、参照元セキュリティ情報と関連性の高いセキュリティ情報を、容易に出力することが可能である。
上述してきたように、第一の実施形態にかかるセキュリティ情報管理装置10では、セキュリティに関する情報であるセキュリティ情報を収集する。そして、セキュリティ情報管理装置10は、セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書を参照して、セキュリティ情報との関連性を比較する元となる参照元セキュリティ情報からキーワードを抽出し、該抽出されたキーワードと収集されたセキュリティ情報に含まれるキーワードとを比較して、参照元セキュリティ情報とセキュリティ情報との関連度を算出する。そして、セキュリティ情報管理装置10は、算出された関連度が高いセキュリティ情報ほど優先的に出力する。これにより、参照元セキュリティ情報と関連性の高いセキュリティ情報を、容易に出力することが可能である。
また、セキュリティ情報管理装置10では、セキュリティ情報提供サーバ20から、所定の時間間隔で、セキュリティ情報を含むファイル情報を収集し、該ファイル情報のタイトルおよび本文を抽出し、該タイトルおよび本文に含まれるキーワードを抽出する。セキュリティ情報管理装置10は、抽出されたタイトルおよび本文に含まれるキーワードと、参照元セキュリティ情報から抽出されたキーワードとを比較して関連度を算出する。このため、セキュリティ情報のタイトルおよび本文に含まれるキーワードと、参照元セキュリティ情報から抽出されたキーワードとを比較して関連度を適切に算出することが可能である。
また、セキュリティ情報管理装置10では、参照元セキュリティ情報から抽出されたキーワードと収集されたセキュリティ情報に含まれるキーワードとが一致するか否かを判定し、一致する場合には、一致しない場合よりも関連度を高く算出する。このため、関連度を容易に算出することが可能である。
また、セキュリティ情報管理装置10では、関連度を算出したセキュリティ情報について、関連度が高い順にソートし、ソートされた順番で、セキュリティ情報を出力する。このため、参照元セキュリティ情報と関連性の高いセキュリティ情報を分かりやすく出力することが可能である。
また、セキュリティ情報管理装置10では、セキュリティ情報の属性として、脆弱性の種別、製品またはサービスの種別、製品の提供者またはサービスの提供者の種別、国または組織の種別、もしくは、サイバー攻撃の種別ごとに、セキュリティに関するキーワードがセキュリティ辞書に登録される。そして、セキュリティ情報管理装置10は、セキュリティ辞書を参照し、脆弱性の種別、製品またはサービスの種別、製品の提供者またはサービスの提供者の種別、国または組織の種別、もしくは、サイバー攻撃の種別ごとに、参照元セキュリティ情報からキーワードをそれぞれ抽出する。このため、キーワードを適切に抽出することが可能である。
また、セキュリティ情報管理装置10では、セキュリティ辞書を参照し、脆弱性の種別、製品またはサービスの種別、製品の提供者またはサービスの提供者の種別、国または組織の種別、もしくは、サイバー攻撃の種別ごとに、参照元セキュリティ情報からキーワードをそれぞれ抽出し、参照元セキュリティ情報から抽出されたキーワードと収集されたセキュリティ情報に含まれるキーワードとをそれぞれ比較して、参照元セキュリティ情報とセキュリティ情報との関連度を算出する。このため、関連度を容易に算出することが可能である。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、セキュリティ情報収集部11とセキュリティ情報関連性算出部16とを統合してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、セキュリティ情報収集部11とセキュリティ情報関連性算出部16とを統合してもよい。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施例において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
また、上記実施形態において説明したセキュリティ情報管理装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第一の実施形態に係るセキュリティ情報管理装置10が実行する処理をコンピュータが実行可能な言語で記述したセキュリティ情報管理プログラムを作成することもできる。この場合、コンピュータがセキュリティ情報管理プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるセキュリティ情報管理プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたセキュリティ情報管理プログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態と同様の処理を実現してもよい。以下に、図1に示したセキュリティ情報管理装置10と同様の機能を実現するセキュリティ情報管理プログラムを実行するコンピュータの一例を説明する。
また、上記実施形態において説明したセキュリティ情報管理装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、第一の実施形態に係るセキュリティ情報管理装置10が実行する処理をコンピュータが実行可能な言語で記述したセキュリティ情報管理プログラムを作成することもできる。この場合、コンピュータがセキュリティ情報管理プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるセキュリティ情報管理プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたセキュリティ情報管理プログラムをコンピュータに読み込ませて実行することにより上記第一の実施形態と同様の処理を実現してもよい。以下に、図1に示したセキュリティ情報管理装置10と同様の機能を実現するセキュリティ情報管理プログラムを実行するコンピュータの一例を説明する。
図6は、セキュリティ情報管理プログラムを実行するコンピュータ1000を示す図である。図6に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインターフェース1030と、ディスクドライブインターフェース1040と、シリアルポートインターフェース1050と、ビデオアダプタ1060と、ネットワークインターフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図6に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインターフェース1030は、図6に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインターフェース1040は、図6に例示するように、ディスクドライブ1041に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1041に挿入される。シリアルポートインターフェース1050は、図6に例示するように、例えばマウス1051、キーボード1052に接続される。ビデオアダプタ1060は、図6に例示するように、例えばディスプレイ1061に接続される。
ここで、図6に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のセキュリティ情報管理プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
なお、セキュリティ情報管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、セキュリティ情報管理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインターフェース1070を介してCPU1020によって読み出されてもよい。
10 セキュリティ情報管理装置
11 セキュリティ情報収集部
12 セキュリティ情報蓄積部
13 セキュリティ辞書記憶部
14 セキュリティ辞書管理部
15 入出力インターフェース部
16 セキュリティ情報関連性算出部
20 セキュリティ情報提供サーバ
30 クライアント端末
40 インターネット
100 セキュリティ情報管理システム
11 セキュリティ情報収集部
12 セキュリティ情報蓄積部
13 セキュリティ辞書記憶部
14 セキュリティ辞書管理部
15 入出力インターフェース部
16 セキュリティ情報関連性算出部
20 セキュリティ情報提供サーバ
30 クライアント端末
40 インターネット
100 セキュリティ情報管理システム
Claims (12)
- セキュリティに関する情報であるセキュリティ情報を収集する収集部と、
前記セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書を参照して、前記セキュリティ情報との関連性を比較する元となる参照元セキュリティ情報からキーワードを抽出し、該抽出されたキーワードと前記収集部によって収集されたセキュリティ情報に含まれるキーワードとを比較して、前記参照元セキュリティ情報と前記セキュリティ情報との関連度を算出する算出部と、
前記算出部によって算出された関連度が高いセキュリティ情報ほど優先的に出力する出力部と、
を備えたことを特徴とするセキュリティ情報管理システム。 - 前記収集部は、外部の装置から、所定の時間間隔で、セキュリティ情報を含むファイル情報を収集し、該ファイル情報のタイトルおよび本文を抽出し、該タイトルおよび本文に含まれるキーワードを抽出し、
前記算出部は、前記収集部によって抽出されたタイトルおよび本文に含まれるキーワードと、前記参照元セキュリティ情報から抽出されたキーワードとを比較して関連度を算出することを特徴とする請求項1に記載のセキュリティ情報管理システム。 - 前記算出部は、前記参照元セキュリティ情報から抽出されたキーワードと前記収集部によって収集されたセキュリティ情報に含まれるキーワードとが一致するか否かを判定し、一致する場合には、一致しない場合よりも関連度を高く算出することを特徴とする請求項1に記載のセキュリティ情報管理システム。
- 前記算出部は、前記参照元セキュリティ情報から抽出されたキーワードと前記収集部によって収集されたセキュリティ情報に含まれるキーワードとが一致するか否かを判定し、一致する場合には、一致しない場合よりも関連度を高く算出することを特徴とする請求項2に記載のセキュリティ情報管理システム。
- 前記算出部は、関連度を算出したセキュリティ情報について、関連度が高い順にソートし、
前記出力部は、前記算出部によってソートされた順番で、前記セキュリティ情報を出力することを特徴とする請求項1に記載のセキュリティ情報管理システム。 - 前記算出部は、関連度を算出したセキュリティ情報について、関連度が高い順にソートし、
前記出力部は、前記算出部によってソートされた順番で、前記セキュリティ情報を出力することを特徴とする請求項2に記載のセキュリティ情報管理システム。 - 前記算出部は、関連度を算出したセキュリティ情報について、関連度が高い順にソートし、
前記出力部は、前記算出部によってソートされた順番で、前記セキュリティ情報を出力することを特徴とする請求項3に記載のセキュリティ情報管理システム。 - 前記算出部は、関連度を算出したセキュリティ情報について、関連度が高い順にソートし、
前記出力部は、前記算出部によってソートされた順番で、前記セキュリティ情報を出力することを特徴とする請求項4に記載のセキュリティ情報管理システム。 - 前記セキュリティ情報の属性として、脆弱性の種別、製品またはサービスの種別、製品の提供者またはサービスの提供者の種別、国または組織の種別、もしくは、サイバー攻撃の種別ごとに、セキュリティに関するキーワードが前記セキュリティ辞書に登録され、
前記算出部は、前記セキュリティ辞書を参照し、前記脆弱性の種別、前記製品またはサービスの種別、前記製品の提供者またはサービスの提供者の種別、前記国または組織の種別、もしくは、前記サイバー攻撃の種別ごとに、前記参照元セキュリティ情報からキーワードをそれぞれ抽出することを特徴とする請求項1〜8のいずれか一つに記載のセキュリティ情報管理システム。 - 前記算出部は、前記セキュリティ辞書を参照し、前記脆弱性の種別、前記製品またはサービスの種別、前記製品の提供者またはサービスの提供者の種別、前記国または組織の種別、もしくは、前記サイバー攻撃の種別ごとに、前記参照元セキュリティ情報からキーワードをそれぞれ抽出し、前記参照元セキュリティ情報から抽出されたキーワードと前記収集部によって収集されたセキュリティ情報に含まれるキーワードとをそれぞれ比較して、前記参照元セキュリティ情報と前記セキュリティ情報との関連度を算出することを特徴とする請求項9に記載のセキュリティ情報管理システム。
- 前記算出部は、前記セキュリティ辞書を参照し、前記脆弱性の種別、前記製品またはサービスの種別、前記製品の提供者またはサービスの提供者の種別、前記国または組織の種別、もしくは、前記サイバー攻撃の種別ごとに、前記参照元セキュリティ情報からキーワードをそれぞれ抽出し、前記参照元セキュリティ情報から抽出されたキーワードと前記収集部によって収集されたセキュリティ情報に含まれるキーワードとをそれぞれ比較して関連度を算出し、各関連度を合算してスコアを算出し、
前記出力部は、前記算出部によって算出されたスコアが高いセキュリティ情報ほど優先的に出力することを特徴とする請求項10に記載のセキュリティ情報管理システム。 - セキュリティ情報管理装置によって実行されるセキュリティ情報管理方法であって、
セキュリティに関する情報であるセキュリティ情報を収集する収集工程と、
前記セキュリティに関するキーワードを属性ごとに記憶するセキュリティ辞書を参照して、前記セキュリティ情報との関連性を比較する元となる参照元セキュリティ情報からキーワードを抽出し、該抽出されたキーワードと前記収集工程によって収集されたセキュリティ情報に含まれるキーワードとを比較して、前記参照元セキュリティ情報と前記セキュリティ情報との関連度を算出する算出工程と、
前記算出工程によって算出された関連度が高いセキュリティ情報ほど優先的に出力する出力工程と、
を含んだことを特徴とするセキュリティ情報管理方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013132057 | 2013-06-24 | ||
| JP2013132057 | 2013-06-24 | ||
| PCT/JP2014/066193 WO2014208427A1 (ja) | 2013-06-24 | 2014-06-18 | セキュリティ情報管理システム及びセキュリティ情報管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6042541B2 JP6042541B2 (ja) | 2016-12-14 |
| JPWO2014208427A1 true JPWO2014208427A1 (ja) | 2017-02-23 |
Family
ID=52141767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015524004A Active JP6042541B2 (ja) | 2013-06-24 | 2014-06-18 | セキュリティ情報管理システム、セキュリティ情報管理方法及びセキュリティ情報管理プログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10789366B2 (ja) |
| EP (1) | EP2998884B1 (ja) |
| JP (1) | JP6042541B2 (ja) |
| CN (1) | CN105359139B (ja) |
| WO (1) | WO2014208427A1 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6838560B2 (ja) * | 2015-12-14 | 2021-03-03 | 日本電気株式会社 | 情報分析システム、情報分析方法、及び、プログラム |
| JP6691240B2 (ja) * | 2017-01-31 | 2020-04-28 | 日本電信電話株式会社 | 判定装置、判定方法、および、判定プログラム |
| DE102017202002A1 (de) | 2017-02-08 | 2018-08-09 | Siemens Aktiengesellschaft | Verfahren und Computer zum kryptografischen Schützen von Steuerungskommunikation in und/oder Service-Zugang zu IT-Systemen, insbesondere im Zusammenhang mit der Diagnose und Konfiguration in einem Automatisierungs-, Steuerungs- oder Kontrollsystem |
| CN107038381A (zh) * | 2017-04-14 | 2017-08-11 | 济南浪潮高新科技投资发展有限公司 | 一种基于绑定机制的管理固件保护方法 |
| GB2563618B (en) * | 2017-06-20 | 2020-09-16 | Arm Ip Ltd | Electronic system vulnerability assessment |
| US10812510B2 (en) * | 2018-01-12 | 2020-10-20 | The Boeing Company | Anticipatory cyber defense |
| JP6977577B2 (ja) * | 2018-01-18 | 2021-12-08 | 富士通株式会社 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
| JP6934838B2 (ja) * | 2018-05-10 | 2021-09-15 | 株式会社日立製作所 | 構造化支援システム及び構造化支援方法 |
| CN110851826B (zh) * | 2018-08-01 | 2023-07-11 | 深信服科技股份有限公司 | 一种篡改页面的检测方法、装置、设备及可读存储介质 |
| JP6883561B2 (ja) * | 2018-09-27 | 2021-06-09 | Kddi株式会社 | 脆弱性推定装置及び脆弱性推定方法 |
| CN112152964A (zh) * | 2019-06-26 | 2020-12-29 | 中兴通讯股份有限公司 | 网络攻击防御方法、装置、接收设备及计算机存储介质 |
| KR20210081156A (ko) * | 2019-12-23 | 2021-07-01 | 삼성전자주식회사 | 전자 장치 및 그 제어 방법 |
| JP7473246B2 (ja) | 2020-01-17 | 2024-04-23 | 日本電気株式会社 | 攻撃情報処理装置、攻撃情報処理方法及び攻撃情報処理プログラム |
| KR102287394B1 (ko) * | 2020-12-21 | 2021-08-06 | 한국인터넷진흥원 | 익스플로잇 공격 유형 분류 방법 및 그 장치 |
| JP2022133671A (ja) | 2021-03-02 | 2022-09-14 | 株式会社日立製作所 | 不正侵害分析支援装置、及び不正侵害分析支援方法 |
| WO2023181145A1 (ja) * | 2022-03-23 | 2023-09-28 | 三菱電機株式会社 | リスク抽出装置、リスク抽出方法、リスク抽出プログラム |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001043236A (ja) * | 1999-07-30 | 2001-02-16 | Matsushita Electric Ind Co Ltd | 類似語抽出方法、文書検索方法及びこれらに用いる装置 |
| US6807569B1 (en) * | 2000-09-12 | 2004-10-19 | Science Applications International Corporation | Trusted and anonymous system and method for sharing threat data to industry assets |
| US20020038430A1 (en) * | 2000-09-13 | 2002-03-28 | Charles Edwards | System and method of data collection, processing, analysis, and annotation for monitoring cyber-threats and the notification thereof to subscribers |
| JP4363868B2 (ja) * | 2002-08-23 | 2009-11-11 | 株式会社東芝 | 検索キーワード分析プログラム及びシステム並びに方法 |
| US7941491B2 (en) * | 2004-06-04 | 2011-05-10 | Messagemind, Inc. | System and method for dynamic adaptive user-based prioritization and display of electronic messages |
| JP4581520B2 (ja) | 2004-07-09 | 2010-11-17 | 富士ゼロックス株式会社 | ドキュメント管理プログラム、ドキュメント管理方法、及びドキュメント管理装置 |
| JP2007058514A (ja) * | 2005-08-24 | 2007-03-08 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
| US8544098B2 (en) * | 2005-09-22 | 2013-09-24 | Alcatel Lucent | Security vulnerability information aggregation |
| US7624103B2 (en) * | 2006-07-21 | 2009-11-24 | Aol Llc | Culturally relevant search results |
| JP4935399B2 (ja) | 2007-02-13 | 2012-05-23 | 日本電気株式会社 | セキュリティ運用管理システム、方法およびプログラム |
| US8302197B2 (en) * | 2007-06-28 | 2012-10-30 | Microsoft Corporation | Identifying data associated with security issue attributes |
| JP2009015570A (ja) * | 2007-07-04 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | 脆弱性情報流通システムおよび方法 |
| US8166551B2 (en) | 2007-07-17 | 2012-04-24 | Oracle International Corporation | Automated security manager |
| CN101911067A (zh) | 2008-01-08 | 2010-12-08 | 三菱电机株式会社 | 信息过滤系统、信息过滤方法以及信息过滤程序 |
| US8886728B2 (en) * | 2008-12-12 | 2014-11-11 | At&T Intellectual Property I, L.P. | Method and apparatus for reclassifying e-mail or modifying a spam filter based on users' input |
| US8041729B2 (en) * | 2009-02-20 | 2011-10-18 | Yahoo! Inc. | Categorizing queries and expanding keywords with a coreference graph |
| JP2011003182A (ja) * | 2009-05-19 | 2011-01-06 | Studio Ousia Inc | キーワード表示方法およびそのシステム |
| JP2011141840A (ja) * | 2010-01-08 | 2011-07-21 | Toshiba Corp | イベント通知装置およびイベント通知方法 |
| JP5776169B2 (ja) * | 2010-11-30 | 2015-09-09 | アイシン・エィ・ダブリュ株式会社 | 交通環境情報辞書作成装置、交通環境情報辞書作成方法、及び交通環境情報辞書作成プログラム |
| JP5460887B2 (ja) | 2011-01-13 | 2014-04-02 | 三菱電機株式会社 | 分類ルール生成装置及び分類ルール生成プログラム |
| JP5854187B2 (ja) * | 2011-05-24 | 2016-02-09 | 日本電気株式会社 | 業務フロー検索装置、業務フロー検索方法、およびプログラム |
| JP5638590B2 (ja) | 2012-11-22 | 2014-12-10 | 株式会社東芝 | コンテンツ出力装置、コンテンツ出力方法及びプログラム |
-
2014
- 2014-06-18 CN CN201480035891.2A patent/CN105359139B/zh active Active
- 2014-06-18 US US14/898,388 patent/US10789366B2/en active Active
- 2014-06-18 EP EP14816872.7A patent/EP2998884B1/en active Active
- 2014-06-18 WO PCT/JP2014/066193 patent/WO2014208427A1/ja active Application Filing
- 2014-06-18 JP JP2015524004A patent/JP6042541B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2998884B1 (en) | 2017-11-01 |
| US10789366B2 (en) | 2020-09-29 |
| EP2998884A1 (en) | 2016-03-23 |
| EP2998884A4 (en) | 2016-12-28 |
| WO2014208427A1 (ja) | 2014-12-31 |
| JP6042541B2 (ja) | 2016-12-14 |
| CN105359139B (zh) | 2019-04-09 |
| US20160140344A1 (en) | 2016-05-19 |
| CN105359139A (zh) | 2016-02-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6042541B2 (ja) | セキュリティ情報管理システム、セキュリティ情報管理方法及びセキュリティ情報管理プログラム | |
| US9614862B2 (en) | System and method for webpage analysis | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| US20140052791A1 (en) | Task Based Filtering of Unwanted Electronic Communications | |
| Mehtab et al. | AdDroid: rule-based machine learning framework for android malware analysis | |
| US20160072833A1 (en) | Apparatus and method for searching for similar malicious code based on malicious code feature information | |
| CN104956376A (zh) | 虚拟化环境中应用和设备控制的方法和技术 | |
| JP7120350B2 (ja) | セキュリティ情報分析方法、セキュリティ情報分析システム、及び、プログラム | |
| US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
| RU2658878C1 (ru) | Способ и сервер для классификации веб-ресурса | |
| US20130198240A1 (en) | Social Network Analysis | |
| Kurogome et al. | EIGER: automated IOC generation for accurate and interpretable endpoint malware detection | |
| EA038063B1 (ru) | Система интеллектуального управления киберугрозами | |
| Jiang et al. | Tracking your browser with high-performance browser fingerprint recognition model | |
| US20140365571A1 (en) | Automatically Determining Veracity of Documents Posted in a Public Forum | |
| CN110417751B (zh) | 一种网络安全预警方法、装置和存储介质 | |
| Negoita et al. | Enhanced security using elasticsearch and machine learning | |
| Bollinger | Analyzing cookies compliance with the GDPR | |
| US11151308B2 (en) | Electronic document processing system | |
| US20200372085A1 (en) | Classification apparatus, classification method, and classification program | |
| Yu et al. | Malicious documents detection for business process management based on multi-layer abstract model | |
| KR102166390B1 (ko) | 비정형 데이터의 모델링 방법 및 시스템 | |
| Liu et al. | A research and analysis method of open source threat intelligence data | |
| JP6823205B2 (ja) | 収集装置、収集方法及び収集プログラム | |
| Michalas et al. | MemTri: A memory forensics triage tool using bayesian network and volatility |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161108 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161109 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6042541 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |