JPWO2020065943A1 - セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム - Google Patents

セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム Download PDF

Info

Publication number
JPWO2020065943A1
JPWO2020065943A1 JP2020545813A JP2020545813A JPWO2020065943A1 JP WO2020065943 A1 JPWO2020065943 A1 JP WO2020065943A1 JP 2020545813 A JP2020545813 A JP 2020545813A JP 2020545813 A JP2020545813 A JP 2020545813A JP WO2020065943 A1 JPWO2020065943 A1 JP WO2020065943A1
Authority
JP
Japan
Prior art keywords
evaluation
public
information
target
mail
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020545813A
Other languages
English (en)
Other versions
JP6818957B2 (ja
Inventor
匠 山本
匠 山本
弘毅 西川
弘毅 西川
河内 清人
清人 河内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Application granted granted Critical
Publication of JP6818957B2 publication Critical patent/JP6818957B2/ja
Publication of JPWO2020065943A1 publication Critical patent/JPWO2020065943A1/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Abstract

公開特徴生成部(110)は、公開されている公開情報から、セキュリティリスクを評価する対象である評価対象に関連する情報を公開対象情報として収集し、前記公開対象情報の特徴を表す公開特徴情報(F1)を生成する。メール特徴生成部(120)は、評価対象のメールボックスに含まれる評価対象メールの特徴を表すメール特徴情報F2を生成する。評価部(130)は、公開特徴情報(F1)とメール特徴情報(F2)との類似度を算出する。評価部(130)は、類似度に基づいて、評価対象のセキュリティリスクを評価した評価結果31を出力する。

Description

本発明は、セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラムに関する。特に、個人のセキュリティリスクを評価するセキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラムに関する。
近年、標的型攻撃の被害が増加している。標的型攻撃の多くは、攻撃者からのメールが起点となる。攻撃者は、標的となる組織あるいはそのスタッフの情報を入念に調べ、標的に特化した質の高い攻撃メールを用意する。ここで「質の高い攻撃メール」とは、「標的にとって本物の正規メールと区別がつかない非正規メール」と定義できる。すなわち、標的が受信する正規メールと良く似たメールを作ることができれば、攻撃者は「質の高い攻撃メール」を用意することができたと言える。
また、昨今、ソーシャルネットワークをはじめ、インターネット上のいたるところで個人に関する情報が公開されている。攻撃者は、標的とする組織の名前あるいは人物の名前をキーワードとして、インターネット上に公開された情報を収集することで、標的に特化した「質の高い攻撃メール」を作成する。よって、個人について「質の高い攻撃メール」による攻撃の受け易さを判定することは、セキュリティ対策を行うために有効である。
非特許文献1では、心理特性とユーザのPC(Personal Computer)利用時の行動特性との関係を導き出す。そして、通常のPC利用時の行動特性をモニタリングし、被害に遭い易い心理状態のユーザを判定する。
片山 佳則,寺田 剛陽,鳥居 悟,津田 宏,ユーザ行動特性分析による個人と組織のITリスク見える化の試み,SCIS2015 暗号と情報セキュリティシンポジウム,4D1−3
非特許文献1では、心理状態という定量化の難しい情報を利用するため、得られた因果関係に対する根拠のある解釈が難しいという課題がある。
本発明は、個人のセキュリティリスク、すなわち標的型攻撃メールの受け易さを定量的かつ自動的に評価し、セキュリティリスクの高い人物を早期に特定することを目的とする。
本発明に係るセキュリティ評価装置は、
公開されている公開情報から、セキュリティリスクを評価する対象である評価対象に関連する情報を公開対象情報として収集し、前記公開対象情報の特徴を表す公開特徴情報を生成する公開特徴生成部と、
前記評価対象のメールボックスに含まれる評価対象メールの特徴を表すメール特徴情報を生成するメール特徴生成部と、
前記公開特徴情報と前記メール特徴情報との類似度を算出し、前記類似度に基づいて、前記評価対象のセキュリティリスクを評価した評価結果を出力する評価部とを備えた。
本発明に係るセキュリティ評価装置では、評価対象のメールボックスに含まれる評価対象メールの特徴と、公開情報から得られる評価対象に関連する情報の特徴との類似度に基づいて、評価対象のセキュリティリスクを評価する。よって、本発明に係るセキュリティ評価装置によれば、標的型攻撃メールの受け易さを定量的かつ自動的に評価することができる。
実施の形態1に係るセキュリティ評価装置の構成図。 実施の形態1に係るセキュリティ評価装置の動作のフロー図。 実施の形態1の変形例に係るセキュリティ評価装置の構成図。 実施の形態2に係るセキュリティ評価装置の構成図。 実施の形態2に係るテンプレートの例を示す図。 実施の形態2に係るセキュリティ評価装置の動作のフロー図。 実施の形態2に係るカテゴリごとに分類された公開対象情報の例を示す図。 実施の形態2に係るテンプレートメールの例を示す図。 実施の形態3に係るセキュリティ評価装置の構成図。 実施の形態3に係る脆弱性特定部の動作のフロー図。
以下、本発明の実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。
実施の形態1.
***構成の説明***
図1を用いて、本実施の形態に係るセキュリティ評価装置100の構成を説明する。
セキュリティ評価装置100は、人物あるいは組織といった評価対象について、セキュリティリスクを評価する装置である。本実施の形態では、評価対象は個人を想定している。しかし、評価対象は、組織あるいは地域のようにセキュリティリスクを評価することができる対象であればその他でもよい。
セキュリティ評価装置100は、コンピュータである。セキュリティ評価装置100は、プロセッサ910を備えるとともに、メモリ921、補助記憶装置922、入力インタフェース930、出力インタフェース940、および通信装置950といった他のハードウェアを備える。プロセッサ910は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
セキュリティ評価装置100は、機能要素として、公開特徴生成部110とメール特徴生成部120と評価部130と記憶部140とを備える。記憶部140には、コーパス141が記憶されている。
公開特徴生成部110とメール特徴生成部120と評価部130の機能は、ソフトウェアにより実現される。記憶部140は、メモリ921に備えられる。
プロセッサ910は、セキュリティ評価プログラムを実行する装置である。セキュリティ評価プログラムは、公開特徴生成部110とメール特徴生成部120と評価部130の機能を実現するプログラムである。
プロセッサ910は、演算処理を行うIC(Integrated Circuit)である。プロセッサ910の具体例は、CPU、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)である。
メモリ921は、データを一時的に記憶する記憶装置である。メモリ921の具体例は、SRAM(Static Random Access Memory)、あるいはDRAM(Dynamic Random Access Memory)である。
補助記憶装置922は、データを保管する記憶装置である。補助記憶装置922の具体例は、HDDである。また、補助記憶装置922は、SD(登録商標)メモリカード、CF、NANDフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ(登録商標)ディスク、DVDといった記憶媒体であってもよい。なお、HDDは、Hard Disk Driveの略語である。SD(登録商標)は、Secure Digitalの略語である。CFは、CompactFlash(登録商標)の略語である。DVDは、Digital Versatile Diskの略語である。
入力インタフェース930は、マウス、キーボード、あるいはタッチパネルといった入力装置と接続されるポートである。入力インタフェース930は、具体的には、USB(Universal Serial Bus)端子である。なお、入力インタフェース930は、LAN(Local Area Network)と接続されるポートであってもよい。
出力インタフェース940は、ディスプレイといった出力機器のケーブルが接続されるポートである。出力インタフェース940は、具体的には、USB端子またはHDMI(登録商標)(High Definition Multimedia Interface)端子である。ディスプレイは、具体的には、LCD(Liquid Crystal Display)である。
通信装置950は、レシーバとトランスミッタを有する。通信装置950は、LAN、インターネット、あるいは電話回線といった通信網に接続している。通信装置950は、具体的には、通信チップまたはNIC(Network Interface Card)である。
セキュリティ評価プログラムは、プロセッサ910に読み込まれ、プロセッサ910によって実行される。メモリ921には、セキュリティ評価プログラムだけでなく、OS(Operating System)も記憶されている。プロセッサ910は、OSを実行しながら、セキュリティ評価プログラムを実行する。セキュリティ評価プログラムおよびOSは、補助記憶装置に記憶されていてもよい。補助記憶装置に記憶されているセキュリティ評価プログラムおよびOSは、メモリ921にロードされ、プロセッサ910によって実行される。なお、セキュリティ評価プログラムの一部または全部がOSに組み込まれていてもよい。
セキュリティ評価装置100は、プロセッサ910を代替する複数のプロセッサを備えていてもよい。これら複数のプロセッサは、セキュリティ評価プログラムの実行を分担する。それぞれのプロセッサは、プロセッサ910と同じように、セキュリティ評価プログラムを実行する装置である。
セキュリティ評価プログラムにより利用、処理または出力されるデータ、情報、信号値および変数値は、メモリ921、補助記憶装置922、または、プロセッサ910内のレジスタあるいはキャッシュメモリに記憶される。
公開特徴生成部110とメール特徴生成部120と評価部130の各部の「部」を「処理」、「手順」あるいは「工程」に読み替えてもよい。また公開特徴生成処理とメール特徴生成処理と評価処理の「処理」を「プログラム」、「プログラムプロダクト」、「プログラムを記録したコンピュータ読取可能な記憶媒体」、または「プログラムを記録したコンピュータ読取可能な記録媒体」に読み替えてもよい。
セキュリティ評価プログラムは、上記の各部の「部」を「処理」、「手順」あるいは「工程」に読み替えた各処理、各手順あるいは各工程を、コンピュータに実行させる。また、セキュリティ評価方法は、セキュリティ評価装置100がセキュリティ評価プログラムを実行することにより行われる方法である。
セキュリティ評価プログラムは、コンピュータ読取可能な記録媒体に格納されて提供されてもよい。また、セキュリティ評価プログラムは、プログラムプロダクトとして提供されてもよい。
***動作の説明***
図2を用いて、本実施の形態に係るセキュリティ評価装置100の動作について説明する。
<公開特徴生成処理:ステップS101からステップS103>
公開特徴生成処理において、公開特徴生成部110は、公開されている公開情報から、セキュリティリスクを評価する対象である評価対象に関連する情報を公開対象情報として収集する。そして、公開特徴生成部110は、公開対象情報の特徴を表す公開特徴情報F1を生成する。具体的には、以下の通りである。
ステップS101において、公開特徴生成部110は、セキュリティリスクの評価対象である人物xに関連する情報を公開情報から検索する。ソーシャルネットワークをはじめ、インターネット上に公開されている公開情報から情報を収集する活動をOSINT(Open Source Intelligence)という。公開特徴生成部110は、OSINTを用いて、人物xに関連する情報を公開情報から検索する。公開特徴生成部110は、具体的には、OSINT専用の既存のツール、あるいは、検索エンジンを利用して、評価対象である人物xに関連する公開情報を収集する。OSINT専用の既存のツールの具体例として、MaltegoおよびOnline Internet Search Toolといったツールがある。
ステップS102において、公開特徴生成部110は、公開情報から評価対象に関連する単語を公開対象情報として収集する。具体的には、まず、公開特徴生成部110は、公開情報から人物xに特有のキーワードを抽出する。このとき、公開特徴生成部110は、人物xに関連する公開情報から一般的な文書に良く利用されるような単語は除去する。つまり、TF−IDF値の高い単語を抽出する。このように、TF−IDF値の高い単語を抽出することで、一般的な文書には少なく、重要度の高い単語のみを得ることができる。TF−IDFは、Term Frequency−Inverse Document Frequencyの略である。TF−IDFは、文書中に含まれる単語の重要度を評価する手法の1つである。文書から意味のある情報を抽出する手法には、TF−IDFの他に、Doc2VecあるいはLDA(Latent Dirichlet Allocation)といった手法がある。また、公開特徴生成部110は、特定の品詞、例えば名詞に限って単語を抽出する。このとき、公開特徴生成部110は、一般的な単語および品詞といった情報を含むコーパス141を用いて単語を抽出する。公開特徴生成部110は、Mecabといった形態素解析技術を利用して、特定の品詞に限って単語を抽出する。以上のように、公開特徴生成部110は、重要度の高い特定の品詞の単語のリストを公開対象情報W1として取得する。
ステップS103において、公開特徴生成部110は、公開対象情報W1に含まれる単語の傾向に基づいて、公開対象情報W1の特徴を表す公開特徴情報F1を生成する。具体的には、公開特徴生成部110は、単語のリストである公開対象情報W1の単語の傾向を抽出する。傾向とは、単語の頻度、あるいは、例えばn−gramといった単語間の共起性である。公開特徴生成部110は、これらの単語の傾向を特徴ベクトルに変換することにより、公開特徴情報F1を生成する。
<メール特徴生成処理:ステップS104からステップS106>
メール特徴生成処理において、メール特徴生成部120は、評価対象のメールボックスに含まれる評価対象メールの特徴を表すメール特徴情報を生成する。具体的には、以下の通りである。
ステップS104において、メール特徴生成部120は、評価対象の人物xのメールボックスを分析する。
ステップS105において、メール特徴生成部120は、評価対象のメールボックスに含まれる評価対象メールから、評価対象に関連する単語をメール単語情報として収集する。メール特徴生成部120は、人物xのメールシステムのメールボックスから1つずつ評価対象メールを取り出し、単語を抽出する。メール特徴生成部120は、公開特徴生成部110と同様に、一般的な文書に良く利用されるような単語は除去する。また、メール特徴生成部120は、公開特徴生成部110と同様に、特定の品詞、例えば名詞に限って単語を抽出する。このとき、メール特徴生成部120は、一般的な単語および品詞といった情報を含むコーパス141を用いて単語を抽出する。以上のように、メール特徴生成部120は、重要度の高い特定の品詞の単語のリストをメール単語情報W2として取得する。
ステップS106において、メール特徴生成部120は、メール単語情報W2に含まれる単語の傾向に基づいて、評価対象メールの特徴を表すメール特徴情報F2を生成する。具体的には、メール特徴生成部120は、単語のリストであるメール単語情報W2の単語の傾向を抽出する。傾向とは、単語の頻度、あるいは、例えばn−gramといった単語間の共起性である。メール特徴生成部120は、これらの単語の傾向を特徴ベクトルに変換することにより、メール特徴情報F2を生成する。
<評価処理:ステップS107からステップS108>
評価処理において、評価部130は、公開特徴情報F1とメール特徴情報F2との類似度を算出する。評価部130は、類似度に基づいて、評価対象のセキュリティリスクを評価した評価結果31を出力する。具体的には、以下の通りである。
ステップS107において、評価部130は、公開特徴情報F1とメール特徴情報F2との類似度を求める。具体的には、評価部130は、コサイン類似度あるいは特徴ベクトルのユークリッド距離といった尺度を利用して、公開特徴情報F1とメール特徴情報F2との類似度を求める。
ステップS108において、評価部130は、類似度に基づいて、評価対象におけるセキュリティリスクの存否を判定し、判定結果を評価結果31として出力する。具体的には、評価部130は、類似度が閾値以上であれば、人物xはセキュリティリスクが高い、すなわちセキュリティリスク有りと判定し、人物xについてセキュリティリスク有りとの評価結果31を出力する。評価部130は、類似度が閾値より小さければ、人物xはセキュリティリスクが低い、すなわちセキュリティリスク無しと判定し、人物xについてセキュリティリスク無しとの評価結果31を出力する。
本実施の形態に係るセキュリティ評価処理では、人物xの正規メールにおける単語の傾向に良く似た情報を、公開情報からどの程度精度よく得ることができるかを判定している。言い換えると、本実施の形態に係るセキュリティ評価処理では、攻撃者がOSINTでどの程度、人物xが本物の正規メールと区別がつかない非正規メール、すなわち標的型攻撃メールを作成できるかを判定している。
***他の構成***
<変形例1>
本実施の形態では、メール特徴生成部120は、評価対象の人物xのメールボックス内のメール全体から、メール特徴情報F2を生成している。しかし、メール特徴生成部120は、メールボックス内のメール全体からではなく、メール単位でメール特徴情報を生成してもよい。その場合、メール特徴生成部120は、類似度が閾値以上のメールが、メールボックス全体で一定数以上含まれていたら、評価対象の人物xのセキュリティリスク有りと判定する。
<変形例2>
本実施の形態では、公開特徴生成部110とメール特徴生成部120と評価部130の機能がソフトウェアで実現される。変形例として、公開特徴生成部110とメール特徴生成部120と評価部130の機能がハードウェアで実現されてもよい。
図3は、本実施の形態の変形例に係るセキュリティ評価装置100の構成を示す図である。
セキュリティ評価装置100は、電子回路909、メモリ921、補助記憶装置922、入力インタフェース930、出力インタフェース940、および通信装置950を備える。
電子回路909は、公開特徴生成部110とメール特徴生成部120と評価部130の機能を実現する専用の電子回路である。
電子回路909は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックIC、GA、ASIC、または、FPGAである。GAは、Gate Arrayの略語である。ASICは、Application Specific Integrated Circuitの略語である。FPGAは、Field−Programmable Gate Arrayの略語である。
公開特徴生成部110とメール特徴生成部120と評価部130の機能は、1つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。
別の変形例として、公開特徴生成部110とメール特徴生成部120と評価部130の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。
プロセッサと電子回路の各々は、プロセッシングサーキットリとも呼ばれる。つまり、セキュリティ評価装置100において、公開特徴生成部110とメール特徴生成部120と評価部130の機能は、プロセッシングサーキットリにより実現される。
***本実施の形態の効果の説明***
本実施の形態に係るセキュリティ評価装置100では、評価対象のメールボックスに含まれる評価対象メールの特徴と、公開情報から得られる評価対象に関連する情報の特徴との類似度を算出する。本実施の形態に係るセキュリティ評価装置100では、評価対象の人物に対して、攻撃者がどの程度本物らしい標的型攻撃メールを作り易いかを、この類似度として定量化することができる。よって、本実施の形態に係るセキュリティ評価装置100よれば、この類似度をセキュリティリスクと定義することで、個人のセキュリティリスクを定量的および自動的に算出することができる。
実施の形態2.
本実施の形態では、主に、実施の形態1と異なる点について説明する。なお、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する場合がある。
実施の形態1では、単語の傾向の類似度のみを確認して、本物らしい標的型攻撃メールを作り易いかどうかを判断していた。しかしメールには単語の並び方のパターンが存在する。そこで、本実施の形態に係るセキュリティ評価装置100aでは、標的型攻撃メールのテンプレートを用意し、評価対象の人物に対してOSINTで得られた情報をテンプレートに適用してテンプレートメールを生成する。そして、セキュリティ評価装置100aは、そのテンプレートメールと評価対象のメールボックスの評価対象メールとの類似度を算出する。セキュリティ評価装置100aは、類似度を用いて、本物らしい標的型攻撃メールの作り易さを判定する。
***構成の説明***
図4を用いて、本実施の形態に係るセキュリティ評価装置100aの構成を説明する。
本実施の形態に係るセキュリティ評価装置100aは、実施の形態1で説明したセキュリティ評価装置100の構成に加え、記憶部140にテンプレート142を備える。テンプレート142は、メールのフォーマットを表している。
図5は、本実施の形態に係るテンプレート142の例を示す図である。
図5では、記憶部140に3つのテンプレート142が記憶されている。テンプレート142は、公開されている標的型攻撃メールの事例などを参考にあらかじめ用意される。テンプレート142は、ところどころにカテゴリに対応する変数が設定されたメールである。カテゴリに対応する変数は、具体的には、<組織>、<人名>、<技術>、<ドキュメント>、および<イベント>といった形式で、メールに設定されている。
***動作の説明***
図6を用いて、本実施の形態に係るセキュリティ評価装置100aの動作について説明する。
<公開特徴生成処理:ステップS201からステップS206>
公開特徴生成処理において、公開特徴生成部110は、公開情報から評価対象に関連する単語を公開対象情報として収集する。そして、公開特徴生成部110は、テンプレートに公開対象情報に含まれる単語を適用してテンプレートメールを生成する。公開特徴生成部110は、テンプレートメールの特徴を公開特徴情報F1aとして生成する。具体的には、以下の通りである。
ステップS201において、公開特徴生成部110は、評価対象である人物xに関する情報を公開情報から検索する。ステップS202において、公開特徴生成部110は、公開情報から評価対象に関連する単語を公開対象情報として収集する。ステップS203において、公開特徴生成部110は、特定の品詞、例えば名詞に限って単語を抽出する。ステップS201からステップS203の処理は、実施の形態1のステップS101およびステップS102の処理と同様である。
ステップS204において、公開特徴生成部110は、シソーラスといった単語の辞書を利用して、公開対象情報に含まれる単語をカテゴリごとに分類する。
図7は、本実施の形態に係るカテゴリごとに分類された公開対象情報21aの例である。
例えば名詞を分類する場合、単語は、人名、組織名、地名、イベント、ドキュメント、趣味、および技術といったカテゴリに分類される。名詞のカテゴリ分類については公開されているシソーラスといった単語の辞書を利用する。図7の表中のPe、Or、Pl、Ev、Dc、Hb、およびTeには、実際には具体的な単語が定義される。カテゴリの種類は適宜変更される。
ステップS205において、公開特徴生成部110は、テンプレート142に公開対象情報21aに含まれる単語を適用して複数のテンプレートメール42aを生成する。
図8は、本実施の形態に係るテンプレートメール42aの例である。
公開特徴生成部110は、具体的には、テンプレート142ごと対応するカテゴリの単語の全ての組合せの数だけテンプレートメール42aを生成する。このテンプレートメール42aをGM1,1,GM1,2,…,GM1,N1,…,GM2,1,GM2,2,…,GM2,N2,…,GMT,1,GMT,2,…,GMT,NTとする。このとき、Tはテンプレートの数、N〜Nはテンプレートごと生成されたメールの総数である。
ステップS206において、公開特徴生成部110は、複数のテンプレートメール42aの各々の特徴を表す複数の公開特徴ベクトルを公開特徴情報F1aとして生成する。具体的には、公開特徴生成部110は、テンプレートGM1,1,GM1,2,…,GM1,N1,…,GM2,1,GM2,2,…,GM2,N2,…,GMT,1,GMT,2,…,GMT,NTから特徴ベクトルを公開特徴ベクトルとして抽出する。公開特徴生成部110は、公開特徴ベクトルのそれぞれをFGM1,1,FGM1,2,…,FGM1,N1,…,FGM2,1,FGM2,2,…,FGM2,N2,…,FGMT,1,FGMT,2,…,FGMT,NTとする。公開特徴生成部110は、例えばDoc2Vec文書のベクトル表現、あるいは文書中の単語の傾向などを利用して、公開特徴ベクトルを生成する。文書中の単語の傾向には、例えば、単語の頻度、あるいは単語のn−gramがある。公開特徴生成部110は、文書中の単語のベクトル表現、例えばWord2Vecの平均を利用して、公開特徴ベクトルを生成してもよい。
<メール特徴生成処理:ステップS207>
メール特徴生成処理において、メール特徴生成部120は、評価対象のメールボックスに含まれる評価対象メールの特徴をメール特徴情報F2aとして生成する。具体的には、以下の通りである。
ステップS207において、メール特徴生成部120は、評価対象のメールボックスに含まれる複数の評価対象メールの各々の特徴を表す複数のメール特徴ベクトルをメール特徴情報F2aとして生成する。
Nは評価対象のメールボックスの評価対象メールの総数である。人物xのメールボックスにある正規のメール、すなわち評価対象メールM,…,Mから特徴ベクトルをメール特徴ベクトルとして抽出する。メール特徴生成部120は、メール特徴ベクトルのそれぞれをFM,…,FMとする。メール特徴生成部120は、公開特徴生成部110と同様に、例えばDoc2Vec文書のベクトル表現、あるいは文書中の単語の傾向などを利用して、メール特徴ベクトルを生成する。文書中の単語の傾向には、例えば、単語の頻度、あるいは単語のn−gramがある。メール特徴生成部120は、文書中の単語のベクトル表現、例えばWord2Vecの平均を利用して、メール特徴ベクトルを生成してもよい。
<評価処理:ステップS208およびステップS209>
評価処理において、評価部130は、公開特徴情報F1aとメール特徴情報F2aとの類似度に基づいて評価対象のセキュリティリスクを示すリスク値Rを算出する。そして、評価部130は、リスク値Rを評価結果31として出力する。具体的には、以下の通りである。
ステップS208において、評価部130は、複数の評価対象メールの各々と複数のテンプレートメールの各々との類似度を算出する。具体的には、評価部130は、評価対象メールのメール特徴ベクトルFM,…,FMと、テンプレートメール42aのメール特徴ベクトルFGM1,1,FGM1,2,…,FGM1,N1,…,FGM2,1,FGM2,2,…,FGM2,N2,…,FGMT,1,FGMT,2,…,FGMT,NTを1つずつ比較し、類似度を算出する。評価部130は、コサイン類似度あるいはベクトルのユークリッド距離といった尺度を用いて類似度を算出する。
ステップS209において、評価部130は、類似度が閾値以上となる評価対象メールとテンプレートメールとの組み合わせの数に基づいて、リスク値Rを算出する。具体的には、評価部130は、下記の数1に示す計算式で、セキュリティリスクを示すリスク値Rを算出する。
Figure 2020065943
なお、数1に示す計算式において、mi,jは、i番目のテンプレートTから生成されたj番目のメールとの類似度が閾値以上の正規の評価対象メールの数である。Nは、メールボックス中のメールの総数である。Nは、テンプレートTから生成されたメールの数である。
***本実施の形態の効果の説明***
本実施の形態に係るセキュリティ評価装置100aでは、評価対象の人物に対して、攻撃者がどの程度本物らしい標的型攻撃メールを作り易いかを、より的確に定量化することができる。また、本実施の形態に係るセキュリティ評価装置100aでは、リスク値Rをセキュリティリスクと定義することで、個人のセキュリティリスクを算出することが可能となる。
実施の形態3.
本実施の形態では、主に、実施の形態1および2と異なる点について説明する。なお、実施の形態1および2と同様の構成には同一の符号を付し、その説明を省略する場合がある。
実施の形態1および2は、特定の人物のセキュリティリスクを評価する技術である。本実施の形態では、実施の形態1および2のいずれかの形態を利用しながら、組織の中でセキュリティの弱い人物、すなわち脆弱性のある人物を特定する技術について説明する。
***構成の説明***
図9を用いて、本実施の形態に係るセキュリティ評価装置100bの構成を説明する。
本実施の形態に係るセキュリティ評価装置100bは、複数の評価対象をリスト化した評価対象リスト143を記憶部140に備える。また、本実施の形態に係るセキュリティ評価装置100bは、複数の評価対象の各々の評価結果31に基づいて、複数の評価対象のうち脆弱な評価対象を特定する脆弱性特定部150を備える。
評価対象リスト143は、アドレス帳といったディレクトリ情報から生成される。ディレクトリ情報には、人物名、連絡先、および所属あるいは役職の情報といった連絡先に関する情報が含まれる。
***動作の説明***
図10を用いて、本実施の形態に係るセキュリティ評価装置100bの脆弱性特定部150の動作について説明する。
なお、脆弱性特定部150以外の処理は、実施の形態1あるいは2と同様である。
ステップS301において、脆弱性特定部150は、ディレクトリ情報から、セキュリティリスクを評価したい人物を評価対象リスト143として抽出する。例えば、評価対象リスト143は、会社全体、部、あるいは課といった単位で、人物を抽出したリストである。
ステップS302において、脆弱性特定部150は、評価対象リスト143から1人ずつ人物名を取り出し、実施の形態1および2のいずれかの方法で、セキュリティリスクを評価する。実施の形態1の方法では、評価対象ごとに、セキュリティリスクの存否が評価結果31として得られる。また、実施の形態2の方法では、評価対象ごとに、リスク値が評価結果31として得られる。このとき、ディレクトリ情報からの名前、所属、あるいは役職といった情報を活用してもよい。脆弱性特定部150は、評価対象リスト143の全ての評価対象について、評価結果31を得る。
ステップS303において、脆弱性特定部150は、規定の閾値を超える評価対象をリストアップする。実施の形態1の方法で評価した場合は、セキュリティリスク有りの人物をリストアップする。また、実施の形態2の方法で評価した場合は、リスク値が閾値以上の人物をリストアップする。このように、評価対象リスト143においてセキュリティリスクの高い人物一覧が作成される。よって、この人物達に適切な教育あるいはセキュリティ対策を実施することで、セキュリティリスクを効果的に下げることができる。
***本実施の形態に係る効果の説明***
本実施の形態に係るセキュリティ評価装置100bでは、組織の中でセキュリティリスクの高い、すなわち脆弱な人物を効率よく特定することができる。よって、本実施の形態に係るセキュリティ評価装置100bによれば、セキュリティリスクの高い人物一覧に適切な教育あるいは対策を実施することで、組織全体のセキュリティリスクを下げることが可能となる。
以上の実施の形態1から3では、セキュリティ評価装置の各部を独立した機能ブロックとして説明した。しかし、セキュリティ評価装置の構成は、上述した実施の形態のような構成でなくてもよい。セキュリティ評価装置の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、どのような構成でもよい。また、セキュリティ評価装置は、1つの装置でなく、複数の装置から構成されたシステムでもよい。
また、実施の形態1から3のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、1つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
すなわち、実施の形態1から3では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。
なお、上述した実施の形態は、本質的に好ましい例示であって、本発明の範囲、本発明の適用物の範囲、および本発明の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。
100,100a,100b セキュリティ評価装置、110 公開特徴生成部、21a 公開対象情報、120 メール特徴生成部、130 評価部、31 評価結果、140 記憶部、141 コーパス、142 テンプレート、42a テンプレートメール、143 評価対象リスト、150 脆弱性特定部、909 電子回路、910 プロセッサ、921 メモリ、922 補助記憶装置、930 入力インタフェース、940 出力インタフェース、950 通信装置、R リスク値、F1,F1a 公開特徴情報、F2,F2a メール特徴情報。

Claims (7)

  1. 公開されている公開情報から、セキュリティリスクを評価する対象である評価対象に関連する情報を公開対象情報として収集し、前記公開対象情報の特徴を表す公開特徴情報を生成する公開特徴生成部と、
    前記評価対象のメールボックスに含まれる評価対象メールの特徴を表すメール特徴情報を生成するメール特徴生成部と、
    前記公開特徴情報と前記メール特徴情報との類似度を算出し、前記類似度に基づいて、前記評価対象のセキュリティリスクを評価した評価結果を出力する評価部と
    を備えたセキュリティ評価装置。
  2. 前記公開特徴生成部は、
    前記公開情報から前記評価対象に関連する単語を前記公開対象情報として収集し、前記公開対象情報に含まれる単語の傾向に基づいて前記公開特徴情報を生成し、
    前記メール特徴生成部は、
    前記評価対象のメールボックスに含まれる評価対象メールから、前記評価対象に関連する単語をメール単語情報として収集し、前記メール単語情報に含まれる単語の傾向に基づいて前記メール特徴情報を生成し、
    前記評価部は、
    前記類似度に基づいて、前記評価対象におけるセキュリティリスクの存否を判定し、判定結果を前記評価結果として出力する請求項1に記載のセキュリティ評価装置。
  3. 前記セキュリティ評価装置は、メールのフォーマットを表すテンプレートを備え、
    前記公開特徴生成部は、
    前記公開情報から前記評価対象に関連する単語を前記公開対象情報として収集し、前記テンプレートに前記公開対象情報に含まれる単語を適用してテンプレートメールを生成し、前記テンプレートメールの特徴を前記公開特徴情報として生成し、
    前記メール特徴生成部は、
    前記評価対象のメールボックスに含まれる評価対象メールの特徴を前記メール特徴情報として生成し、
    前記評価部は、
    前記類似度に基づいて前記評価対象のセキュリティリスクを示すリスク値を算出し、前記リスク値を前記評価結果として出力する請求項1に記載のセキュリティ評価装置。
  4. 前記公開特徴生成部は、
    前記テンプレートに前記公開対象情報に含まれる単語を適用して複数のテンプレートメールを生成し、前記複数のテンプレートメールの各々の特徴を表す複数の公開特徴ベクトルを前記公開特徴情報として生成し、
    前記メール特徴生成部は、
    前記評価対象のメールボックスに含まれる複数の評価対象メールの各々の特徴を表す複数のメール特徴ベクトルを前記メール特徴情報として生成し、
    前記評価部は、
    前記複数の評価対象メールの各々と前記複数のテンプレートメールの各々との類似度を算出し、前記類似度が閾値以上の前記複数の評価対象メールと前記複数のテンプレートメールとの組み合わせの数に基づいて、前記リスク値を算出する請求項3に記載のセキュリティ評価装置。
  5. 前記セキュリティ評価装置は、
    複数の評価対象をリスト化した評価対象リストと、
    前記複数の評価対象の各々の評価結果に基づいて、前記複数の評価対象のうち脆弱な評価対象を特定する脆弱性特定部と
    を備えた請求項1から請求項4のいずれか1項に記載のセキュリティ評価装置。
  6. 公開特徴生成部が、公開されている公開情報から、セキュリティリスクを評価する対象である評価対象に関連する情報を公開対象情報として収集し、前記公開対象情報の特徴を表す公開特徴情報を生成し、
    メール特徴生成部が、前記評価対象のメールボックスに含まれる評価対象メールの特徴を表すメール特徴情報を生成し、
    評価部が、前記公開特徴情報と前記メール特徴情報との類似度を算出し、前記類似度に基づいて、前記評価対象のセキュリティリスクを評価した評価結果を出力するセキュリティ評価方法。
  7. 公開されている公開情報から、セキュリティリスクを評価する対象である評価対象に関連する情報を公開対象情報として収集し、前記公開対象情報の特徴を表す公開特徴情報を生成する公開特徴生成処理と、
    前記評価対象のメールボックスに含まれる評価対象メールの特徴を表すメール特徴情報を生成するメール特徴生成処理と、
    前記公開特徴情報と前記メール特徴情報との類似度を算出し、前記類似度に基づいて、前記評価対象のセキュリティリスクを評価した評価結果を出力する評価処理と
    をコンピュータであるセキュリティ評価装置に実行させるセキュリティ評価プログラム。
JP2020545813A 2018-09-28 2018-09-28 セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム Active JP6818957B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/036379 WO2020065943A1 (ja) 2018-09-28 2018-09-28 セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム

Publications (2)

Publication Number Publication Date
JP6818957B2 JP6818957B2 (ja) 2021-01-27
JPWO2020065943A1 true JPWO2020065943A1 (ja) 2021-02-15

Family

ID=69950484

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020545813A Active JP6818957B2 (ja) 2018-09-28 2018-09-28 セキュリティ評価装置、セキュリティ評価方法およびセキュリティ評価プログラム

Country Status (3)

Country Link
US (1) US20210182405A1 (ja)
JP (1) JP6818957B2 (ja)
WO (1) WO2020065943A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11178169B2 (en) * 2018-12-27 2021-11-16 Paypal, Inc. Predicting online electronic attacks based on other attacks
JP7015889B1 (ja) 2020-09-30 2022-02-14 ビジョナル・インキュベーション株式会社 リスク評価支援システム
CN114666148B (zh) * 2022-03-31 2024-02-23 深信服科技股份有限公司 风险评估方法、装置及相关设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014528600A (ja) * 2011-10-03 2014-10-27 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 関係付けられたコンタクトからの漏洩に起因するソーシャル・リスクの評価方法、情報処理システムおよびコンピュータ・プログラム
JP2014206791A (ja) * 2013-04-10 2014-10-30 テンソル・コンサルティング株式会社 ソーシャルネットワーク情報処理装置、処理方法、および処理プログラム
JP2015095159A (ja) * 2013-11-13 2015-05-18 日本電信電話株式会社 評価方法及び評価装置
JP2016170568A (ja) * 2015-03-12 2016-09-23 株式会社日立製作所 ログ管理制御システムおよびログ管理制御方法
JP2017107512A (ja) * 2015-12-11 2017-06-15 富士通株式会社 リスク算定方法、リスク算定プログラムおよびリスク算定装置
JP2018517204A (ja) * 2015-04-14 2018-06-28 フィッシュライン, エルエルシーPhishLine, LLC 特徴付け属性及びテーマに基づくソーシャルエンジニアリングに対するサセプタビリティの分析及びベンチマーキングのためのシステム
WO2018150472A1 (ja) * 2017-02-14 2018-08-23 三菱電機株式会社 やり取り型攻撃シミュレーション装置、やり取り型攻撃シミュレーション方法およびやり取り型攻撃シミュレーションプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090248465A1 (en) * 2008-03-28 2009-10-01 Fortent Americas Inc. Assessment of risk associated with doing business with a party
US9407463B2 (en) * 2011-07-11 2016-08-02 Aol Inc. Systems and methods for providing a spam database and identifying spam communications
US9195777B2 (en) * 2012-03-07 2015-11-24 Avira B.V. System, method and computer program product for normalizing data obtained from a plurality of social networks
US10902468B2 (en) * 2014-06-23 2021-01-26 Board Of Regents, The University Of Texas System Real-time, stream data information integration and analytics system
US20160371618A1 (en) * 2015-06-11 2016-12-22 Thomson Reuters Global Resources Risk identification and risk register generation system and engine

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014528600A (ja) * 2011-10-03 2014-10-27 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 関係付けられたコンタクトからの漏洩に起因するソーシャル・リスクの評価方法、情報処理システムおよびコンピュータ・プログラム
JP2014206791A (ja) * 2013-04-10 2014-10-30 テンソル・コンサルティング株式会社 ソーシャルネットワーク情報処理装置、処理方法、および処理プログラム
JP2015095159A (ja) * 2013-11-13 2015-05-18 日本電信電話株式会社 評価方法及び評価装置
JP2016170568A (ja) * 2015-03-12 2016-09-23 株式会社日立製作所 ログ管理制御システムおよびログ管理制御方法
JP2018517204A (ja) * 2015-04-14 2018-06-28 フィッシュライン, エルエルシーPhishLine, LLC 特徴付け属性及びテーマに基づくソーシャルエンジニアリングに対するサセプタビリティの分析及びベンチマーキングのためのシステム
JP2017107512A (ja) * 2015-12-11 2017-06-15 富士通株式会社 リスク算定方法、リスク算定プログラムおよびリスク算定装置
WO2018150472A1 (ja) * 2017-02-14 2018-08-23 三菱電機株式会社 やり取り型攻撃シミュレーション装置、やり取り型攻撃シミュレーション方法およびやり取り型攻撃シミュレーションプログラム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
相原 遼 RYO AIHARA: "イベントツリーとディフェンスツリーを併用した標的型攻撃に対するリスク分析手法の提案と適用 Proposal a", 情報処理学会 論文誌(ジャーナル) VOL.59 NO.3 [ONLINE], vol. 第59巻, JPN6018049490, 15 March 2018 (2018-03-15), JP, pages 1082 - 1094, ISSN: 0004395663 *

Also Published As

Publication number Publication date
JP6818957B2 (ja) 2021-01-27
WO2020065943A1 (ja) 2020-04-02
US20210182405A1 (en) 2021-06-17

Similar Documents

Publication Publication Date Title
US20210182405A1 (en) Security assessment device, security assessment method, and computer readable medium
JP6042541B2 (ja) セキュリティ情報管理システム、セキュリティ情報管理方法及びセキュリティ情報管理プログラム
US9043247B1 (en) Systems and methods for classifying documents for data loss prevention
US10291629B2 (en) Cognitive detection of malicious documents
US10657186B2 (en) System and method for automatic document classification and grouping based on document topic
US20190080000A1 (en) Entropic classification of objects
US10417285B2 (en) Corpus generation based upon document attributes
US20170011480A1 (en) Data analysis system, data analysis method, and data analysis program
TW201513035A (zh) 相關關係顯示系統、相關關係顯示方法及相關關係顯示程式
US8600985B2 (en) Classifying documents according to readership
TW201820173A (zh) 去識別化資料產生裝置、方法及其電腦程式產品
McDonald et al. A study of SVM kernel functions for sensitivity classification ensembles with POS sequences
Sharma et al. The paradox of choice: investigating selection strategies for android malware datasets using a machine-learning approach
JP6698952B2 (ja) メール検査装置、メール検査方法およびメール検査プログラム
Tuncer et al. Automated malware recognition method based on local neighborhood binary pattern
Kaczmarczyck et al. Spotlight: malware lead generation at scale
CN105354506B (zh) 隐藏文件的方法和装置
CN110222179B (zh) 一种通讯录文本分类方法、装置及电子设备
US9946765B2 (en) Building a domain knowledge and term identity using crowd sourcing
Chen et al. Fraud analysis and detection for real-time messaging communications on social networks
US20210006587A1 (en) Security risk evaluation apparatus, security risk evaluation method, and computer readable medium
EP3261053A1 (en) Information processing device, method, and program
US11501319B2 (en) Control point compliance prediction based on regulation in multi-media
JP2024502081A (ja) 重み付き知識移転装置、方法、及びシステム
JP7003343B2 (ja) ベクトル計算装置、分類装置及び出力プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200902

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20200902

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20201007

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201013

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201228

R150 Certificate of patent or registration of utility model

Ref document number: 6818957

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250