JPWO2020189669A1 - リスク分析装置及びリスク分析方法 - Google Patents

リスク分析装置及びリスク分析方法 Download PDF

Info

Publication number
JPWO2020189669A1
JPWO2020189669A1 JP2021507365A JP2021507365A JPWO2020189669A1 JP WO2020189669 A1 JPWO2020189669 A1 JP WO2020189669A1 JP 2021507365 A JP2021507365 A JP 2021507365A JP 2021507365 A JP2021507365 A JP 2021507365A JP WO2020189669 A1 JPWO2020189669 A1 JP WO2020189669A1
Authority
JP
Japan
Prior art keywords
target
elements
asset
defensive
cost
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021507365A
Other languages
English (en)
Other versions
JP6967722B2 (ja
Inventor
博史 天野
根本 祐輔
峰久 永田
多鹿 陽介
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of JPWO2020189669A1 publication Critical patent/JPWO2020189669A1/ja
Application granted granted Critical
Publication of JP6967722B2 publication Critical patent/JP6967722B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Mathematical Physics (AREA)
  • Alarm Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析装置(100)は、N個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、N個の要素の少なくとも一部の接続関係と、システムへの入口になる要素である侵入口と、システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部(110)と、侵入口から守備対象に至る対象経路を、当該対象経路上の1以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる1以上の要素である対象要素を、N個の要素の各々のコストと接続関係とに基づいて特定する特定部(120)と、対象要素を示す要素情報を出力する出力部(130)とを備える。

Description

本開示は、リスク分析装置及びリスク分析方法に関する。
近年、製造設備などの産業機器の制御システムに対する不正な攻撃によって、製造設備が停止することが発生している。また、製造物に対して不正なプログラムが製造時に導入されるのを防止するためにも、産業機器の制御システムには高いセキュリティが求められる。これに対して、例えば特許文献1では、制御システムのセキュリティ対策を支援するセキュリティ対策立案支援システムが開示されている。
特開2018−77597号公報
「制御システムのセキュリティリスク分析ガイド」、IPA 独立行政法人 情報処理推進機構、2017年10月2日
しかしながら、上記従来のセキュリティ対策立案支援システムを利用して、制御システムのセキュリティ対策を行おうとした場合、脅威項目の各々に対する攻撃経路が膨大になる。制御システムを構成する資産間の接続関係は通常、複雑であるので、全ての攻撃経路を網羅することが難しい。したがって、従来のセキュリティ対策立案支援システムでは、十分なセキュリティ対策を支援することができないという問題がある。
そこで、本開示は、守備対象のセキュリティを高めるのに十分な対策を支援することができるリスク分析装置及びリスク分析方法を提供する。
上記課題を解決するため、本開示の一態様に係るリスク分析装置は、互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析装置であって、前記N個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記N個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の1以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記1以上の要素である対象要素を、前記N個の要素の各々のコストと前記接続関係とに基づいて特定する特定部と、前記対象要素を示す要素情報を出力する出力部とを備える。
また、本開示の一態様に係るリスク分析方法は、互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析方法であって、前記N個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記N個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付け、前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の1以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記1以上の要素である対象要素を、前記N個の要素の各々のコストと前記接続関係とに基づいて特定し、前記対象要素を示す要素情報を出力する。
また、本開示の一態様は、上記リスク分析方法をコンピュータに実行させるプログラムとして実現することができる。あるいは、当該プログラムを格納したコンピュータ読み取り可能な記録媒体として実現することもできる。
本開示によれば、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
図1は、実施の形態1に係るリスク分析装置によるリスク分析の対象となる制御システムの一例を示す図である。 図2は、実施の形態1に係るリスク分析装置の構成を示すブロック図である。 図3は、実施の形態1に係るリスク分析装置の動作を示すフローチャートである。 図4は、実施の形態1に係るリスク分析装置において、入力情報に基づいて作成した、リスク分析の対象となるシステムの無向グラフを説明するための図である。 図5は、実施の形態1に係るリスク分析装置において、無向グラフを有向グラフに変換する処理を説明するための図である。 図6は、図4に示される無向グラフを変換した有向グラフを示す図である。 図7は、図6に示される有向グラフに基づいて算出した最小カットを説明するための図である。 図8は、実施の形態2に係るリスク分析装置の動作を示すフローチャートである。 図9は、実施の形態2に係るリスク分析装置において、入力情報に基づいて作成した、リスク分析の対象となるシステムの有向グラフを説明するための図である。 図10は、実施の形態2に係るリスク分析装置において、有向グラフの頂点の重みを有向辺の重みに変換する処理を説明するための図である。 図11は、図9に示される有向グラフに基づいて頂点の重みを辺の重みに変換した有向グラフを示す図である。 図12は、実施の形態2の変形例に係るリスク分析装置において、有向グラフの頂点の重みを有向辺の重みに変換する処理を説明するための図である。 図13は、実施の形態3に係るリスク分析装置の動作を示すフローチャートである。 図14は、複数の侵入口を有するシステムの有向グラフを説明するための図である。 図15は、図14に示される有向グラフに対して、開始頂点を追加する方法を説明するための図である。 図16は、複数の守備対象を有するシステムの有向グラフを説明するための図である。 図17は、図16に示される有向グラフに対して、目標頂点を追加する方法を説明するための図である。 図18は、実施の形態4に係るリスク分析装置の動作を示すフローチャートである。 図19は、対策困難な要素を有するシステムの有向グラフを説明するための図である。 図20は、図19に示される有向グラフに対して、対策困難な要素に接続される有向辺の重みの更新処理を説明するための図である。 図21は、実施の形態5に係るリスク分析装置の動作を示すフローチャートである。 図22は、実施の形態5に係るリスク分析装置において、入力情報に基づいて作成した、リスク分析の対象となるシステムの有向グラフを説明するための図である。 図23は、図22に示されるシステムに基づいて、要素の安全度の更新処理を説明するための図である。 図24は、実施の形態5に係るリスク分析装置の動作のうち、対象経路を特定する処理を示すフローチャートである。 図25は、図23に示されるシステムにおいて特定された対象経路を示す図である。 図26は、実施の形態6に係るリスク分析装置によるリスク分析の対象となるシステムの一例を示す図である。 図27は、実施の形態7に係るリスク分析装置によるリスク分析の対象となるシステムの一例を示す図である。
(本開示の概要)
上記課題を解決するために、本開示の一態様に係るリスク分析装置は、互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析装置であって、前記N個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記N個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の1以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記1以上の要素である対象要素を、前記N個の要素の各々のコストと前記接続関係とに基づいて特定する特定部と、前記対象要素を示す要素情報を出力する出力部とを備える。
これにより、守備対象のセキュリティを高めるために対策を行うべき対象要素が容易に特定される。したがって、本態様によれば、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記特定部は、最小カットを算出することで、前記対象要素を特定してもよい。
これにより、最小カットを算出することで、少ない演算量で対象要素を特定することができる。したがって、本態様によれば、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を少ない演算量で支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記特定部は、前記N個の要素の中から、安全度を高めるのが困難なM個(Mは自然数)の要素のコストを、残りのN−M個の要素の各々のコストのいずれよりも大きい所定の値に更新し、更新後のコストを用いて前記対象要素を特定してもよい。
これにより、安全度を高めるための対策が困難な又は不可能な要素が、対象要素として特定されないようにすることができる。したがって、確実に実行可能なセキュリティ対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記入力部は、複数の前記侵入口を入力として受け付け、前記特定部は、前記入力部が複数の前記侵入口を受け付けた場合に、複数の前記侵入口の各々のみに接続された第1追加要素から前記対象経路を含み、前記守備対象に至る経路の全てを分断するのに要する合計コストが最小となる1以上の要素を、前記対象要素として特定してもよい。
これにより、複数の侵入口が存在するシステムに対しても、少ない演算量で対象要素を特定することができる。したがって、本態様によれば、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を少ない演算量で支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記入力部は、複数の前記守備対象を入力として受け付け、前記特定部は、前記入力部が複数の前記守備対象を受け付けた場合に、複数の前記守備対象の各々のみに接続された第2追加要素のコストを前記N個の要素の各々のコスト以上の値に設定し、前記侵入口から前記対象経路を含み、前記第2追加要素に至る経路の全てを分断するのに要する合計コストが最小になる1以上の要素を、前記対象要素として特定してもよい。
これにより、複数の守備対象が存在するシステムに対しても、少ない演算量で対象要素を特定することができる。したがって、本態様によれば、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を少ない演算量で支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記入力部は、前記N個の要素の全ての接続関係を入力として受け付け、前記特定部は、さらに、前記全ての接続関係に基づいて前記対象経路を決定してもよい。
これにより、攻撃経路になりうる対象経路が不明な場合であっても、要素の接続関係が入力されることで、対象経路を特定することができる。したがって、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記少なくとも一部の接続関係は、前記対象経路であってもよい。
これにより、攻撃経路になりうる対象経路が予め判明している場合、対象経路が入力されることで、対象経路を特定する処理を行わなくてよい。したがって、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策をより少ない演算量で支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記入力部は、さらに、前記N個の要素の各々の、セキュリティ上の脅威に対する安全度を入力として受け付け、前記特定部は、さらに、前記侵入口から前記守備対象に至る経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が閾値より低い経路を、前記対象経路として、前記N個の要素の各々の安全度と前記接続関係とに基づいて特定してもよい。
これにより、例えば最短経路法などを用いて対象経路を容易に特定することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記特定部は、さらに、前記要素情報が示す1以上の要素の安全度を、対応する要素のコストをかけることで高めた安全度に更新し、前記侵入口から前記守備対象に至る経路の中から前記対象経路を、更新後の前記N個の要素の各々の安全度と前記接続関係とに基づいて特定し、前記対象要素の特定と、前記安全度の更新と、前記対象経路の特定とを、前記対象経路が特定されなくなるまで繰り返してもよい。
これにより、コストをかけた場合の安全度の高まりの程度(すなわち、費用対効果)に合わせて、コストをかけるべき対象要素を特定することができる。このため、低コストで効果の高いセキュリティ対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記システムは、制御システムであり、前記N個の要素は、前記制御システムを構成するN個の資産であってもよい。
これにより、資産の数が多く、かつ、接続関係が複雑な制御システムに対するリスク分析が実行可能になる。また、工場に導入される制御システムでは、OS(Operation System)のサポートが切れた機器、又は、そもそも安全度を高めるための処理を行うことができない機器などが含まれる場合がある。つまり、制御システムに含まれる全ての資産に対してセキュリティ対策が常に行うことができるとは限らない。また、制御システムに求められる可用性の観点から、制御コマンドの送受信の制限などのセキュリティ対策を行うべきでない資産も存在する。
このような場合であっても、本態様によれば、侵入口から守備対象に至る経路のうち、セキュリティ上の脅威に対する対策を取るべき対象経路において、安全度を高める対策を行うべき対象要素が特定される。したがって、制御システムに対して守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記システムは、制御システムであり、前記N個の要素は、前記制御システムを構成する複数の資産の各々の攻撃手順に含まれる複数の攻撃工程であってもよい。
これにより、資産間の接続関係だけでなく、資産の内部における攻撃手順も含めたリスク分析が実行可能になる。このため、対象要素がより具体化されるので、守備対象のセキュリティを高めるのに十分な対策を効果的に支援することができる。
また、例えば、本開示の一態様に係るリスク分析装置では、前記システムは、制御システムを構成する資産に対する攻撃手順であり、前記N個の要素は、前記攻撃手順に含まれるN個の攻撃工程であってもよい。
これにより、資産の内部における攻撃手順に基づいたリスク分析が実行可能になるので、資産に対して、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析方法は、互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析方法であって、前記N個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記N個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付け、前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の1以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記1以上の要素である対象要素を、前記N個の要素の各々のコストと前記接続関係とに基づいて特定し、前記対象要素を示す要素情報を出力する。
これにより、守備対象のセキュリティを高めるために対策を行うべき対象要素が容易に特定される。したがって、本態様によれば、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
また、例えば、本開示の一態様に係るリスク分析プログラムは、上記リスク分析方法をコンピュータに実行させるためのプログラムである。
以下では、実施の形態について、図面を参照しながら具体的に説明する。
なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。
また、各図は、模式図であり、必ずしも厳密に図示されたものではない。したがって、例えば、各図において縮尺などは必ずしも一致しない。また、各図において、実質的に同一の構成については同一の符号を付しており、重複する説明は省略又は簡略化する。
(実施の形態1)
[リスク分析の対象となるシステムの概要]
まず、実施の形態1に係るリスク分析装置によるリスク分析の対象となるシステムの一例である制御システムの概要について、図1を用いて説明する。図1は、本実施の形態に係る制御システム10の一例を示す図である。
制御システム10は、図1に示されるように、互いに接続されたN個の要素20を含んでいる。ここで、Nは、2以上の自然数である。図1では、N個の要素20を、網掛けの付された丸印で表している。N個の要素20の各々は、少なくとも1つの他の要素20に接続されている。
本実施の形態では、要素20は、制御システム10の資産である。資産は、例えば、通信機器、制御機器、製造設備、情報処理装置、センサ、駆動装置、記憶装置などの装置である。資産は、互いに通信可能に接続されている。資産は、接続された他の資産との間で、一方向又は双方向通信が可能であり、情報又は信号を送信又は受信する。
制御システム10は、例えば、産業機器を制御するシステムである。制御システム10は、例えば、電子機器などの製造物を製造する工場に導入されるシステムである。図1に示されるように、制御システム10は、インターネット30に接続されている。N個の要素20には、IT(Information Technology)機器、OT(Operational Technology)機器、及び、IT/OT機器が資産の一例として含まれる。
IT機器は、例えばインターネット30に接続可能な通信機能を有する。なお、制御システム10が備えるIT機器には、インターネット30に接続されていないIT機器が含まれてもよい。OT機器は、物理的な状態に基づいた制御を行う機器である。例えば、OT機器は、温度又は圧力などを検知し、検知結果に基づいてバルブ又はモータなどの制御を行う。IT/OT機器は、IT機器及びOT機器の両方の機能を有する機器である。
図1に示されるように、一般的な工場に導入される制御システム10では、IT機器、OT機器及びIT/OT機器の接続が整理されておらず、各機器が複雑に接続されている。また、既存の機器の除去、及び、新たな機器の追加などによって接続関係が変更されることも起こる。一般的な制御システム10では、可用性が重視されるために、機器の接続関係を整理することが困難な場合が多い。したがって、セキュリティの対策を行うべき機器の特定が難しい。
また、機器の数及び接続関係が増加するにつれて、侵入口となる機器から、攻撃目標となる機器までの経路が爆発的に増加する。このため、全ての機器及び経路に対する対策の要否を判定することは困難である。
以下では、図1に示されるような制御システム10に対して、少ない演算量で守備対象のセキュリティを高めるのに十分な対策を支援することができるリスク分析装置及びリスク分析方法について説明する。
[リスク分析装置]
図2は、本実施の形態に係るリスク分析装置100の構成を示すブロック図である。リスク分析装置100は、互いに接続されたN個の要素を含むシステム(例えば、図1に示される制御システム10)のリスクを分析する。本実施の形態では、リスク分析装置100は、N個の資産を有するシステムにおいて、所定の資産に対する攻撃経路を通る攻撃を遮断するための対策を採るべき資産を特定する。リスク分析装置100は、例えばコンピュータ機器である。
図2に示されるように、リスク分析装置100は、入力部110と、特定部120と、出力部130とを備える。
入力部110は、セキュリティ対策を行うべき要素の特定に用いる情報を入力として受け付ける。具体的には、図2に示されるように、入力部110は、N個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、N個の要素の少なくとも一部の接続関係と、システムへの入口になる資産である侵入口と、システムにおいて守るべき資産である守備対象とを入力として受け付ける。本実施の形態ではNは、システムを構成する要素の全数である。N個の要素は、制御システムを構成するN個の資産である。
安全度は、資産ベースのリスク分析に基づいて資産毎に決定される値である。例えば、安全度は、DREADモデルに基づいて決定される。安全度は、数値が高い程、セキュリティ上の脅威に対する安全性が高いことを意味する。資産ベースのリスク分析は、例えば、非特許文献1に開示された手法によって行われる。
コストは、例えば、安全度を第1閾値以上に高くするのに要する対策コストであり、予め定められた値である。第1閾値は、例えば、資産の安全性が十分に高い状態として満たすべき基準であって、経路を分断するのに必要とされる安全度の閾値である第2閾値以下の値である。本実施の形態では、第1閾値と第2閾値とは等しい。このため、資産に対してコストがかけられた場合、当該資産の安全性が第1閾値(第2閾値)以上になって十分に高くなり、当該資産を通る攻撃経路が分断される。攻撃経路上でコストをかけるべき要素が対象要素である。
少なくとも一部の接続関係は、例えば、N個の要素の全ての接続関係である。例えば、接続関係は、互いに通信可能に接続された2つの資産のペアの全てを示す情報である。接続関係には、さらに、接続方向が含まれてもよい。例えば、資産Aと資産Bとが接続されている場合において、資産Aから資産Bへの情報の送信が可能であるが、資産Bから資産Aへの情報の送信が不可能であるとき、資産Aと資産Bとの接続関係には、資産Aから資産Bへの接続方向を含んでもよい。
侵入口は、外部からの侵入が可能な資産である。侵入口は、例えば、インターネット30に接続された資産である。あるいは、侵入口は、USB(Universal Serial Bus)メモリなどのメモリデバイス又は他の機器を接続可能なインタフェースを有する資産であってもよい。
守備対象は、事業被害ベースのリスク分析に基づいて決定される資産である。具体的には、守備対象は、攻撃を受けた場合に事業被害が一定の基準よりも大きくなる資産である。事業被害ベースのリスク分析は、例えば、非特許文献1に開示された手法によって行われる。
このように、安全度、コスト、接続関係、侵入口及び守備対象はいずれも、予め定められた手法に基づいて客観的に決定される。したがって、人為的な評価が介在しないため、評価者の技能に基づく評価のばらつきが生じない。よって、守備対象のセキュリティを高めるのに十分な対策を安定して支援することができる。
なお、入力部110は、複数の侵入口、又は、複数の守備対象を入力として受け付けてもよい。入力部110が複数の侵入口及び複数の守備対象を入力として受け付けた場合の処理については、実施の形態3において後で説明する。
また、入力部110は、複数の要素の各々の安全度の初期値を入力として受け付けてもよい。安全度の初期値とは、セキュリティ上の脅威に対する対策を、対応する要素に対して行う前の安全度である。コストをかけた場合の安全度、すなわち、対策後の安全度は、安全度の初期値と、コストをかけることにより安全度が向上する量との和で表される。
入力部110は、入力として受け付けることで取得した入力情報を記憶部(図示せず)に記憶する。当該記憶部は、リスク分析装置100に備えられてもよく、リスク分析装置100と通信可能な外部の記憶装置であってもよい。
入力部110は、キーボード、マウス及びタッチパネルなどの少なくとも1つの入力装置である。あるいは、入力部110は、記憶装置などに接続された通信インタフェースであってもよい。
特定部120は、侵入口から守備対象に至る対象経路を、当該対象経路上の1以上の要素の安全度を第2閾値以上に高めることで分断するのに要する合計コストが最小になる1以上の要素である対象要素を、N個の要素の各々のコストと接続関係とに基づいて特定する。対象要素は、対象経路上でコストをかけるべき要素である。
本実施の形態では、特定部120は、最小カットを算出することで、対象要素を特定する。具体的には、特定部120は、Dinic法、フォードファルカーソン(Ford-Fulkerson)のアルゴリズム、又は、エドモンスカープ(Edmonds-Karp)のアルゴリズムを用いて最小カットを算出する。なお、これらの手法は一例に過ぎず、特定部120が最小カットを算出する手段は、これらに限定されない。例えば、特定部120は、各資産を頂点(ノード)とし、かつ、資産間を結ぶ有向辺の重みとしてコストが付与された有向グラフにおいて、侵入口を始点とし、守備対象を終点とする対象経路を遮断するのに最もコストが小さくなる有向辺(最小カット)を特定し、特定した有向辺の接続先である資産を対象要素として特定する。
特定部120は、プログラムが格納された不揮発性メモリ、及び、プログラムを実行するための一時的な記憶領域である揮発性メモリ、入出力ポート、プログラムを実行するプロセッサなどで実現される。特定部120が有する各機能は、プロセッサで実行されるソフトウェアで実現されてもよく、1つ以上の電子部品を含む電気回路などのハードウェアで実現されてもよい。
出力部130は、特定部120によって特定された対象要素を示す要素情報を出力する。出力部130は、ディスプレイ、プリンタなどの少なくとも1つの出力装置である。あるいは、出力部130は、リスク分析装置100と通信可能な外部機器に対する通信インタフェースであってもよい。
[動作(リスク分析方法)]
続いて、本実施の形態に係るリスク分析装置100の動作、すなわち、リスク分析方法について、図3を用いて説明する。図3は、本実施の形態に係るリスク分析装置100の動作を示すフローチャートである。
図3に示されるように、まず、入力部110は、対象要素の特定に必要な入力情報を取得する(S10)。具体的には、入力部110は、システムを構成する要素の一覧を取得する(S11)。要素の一覧は、システムに含まれる全ての資産を特定する情報の一覧である。次に、入力部110は、要素毎のコストを取得し(S12)、続いて、要素間の接続関係を取得する(S13)。さらに、入力部110は、侵入口を取得し(S14)、続いて守備対象を取得する(S15)。
なお、入力部110が取得する各情報の取得順序は、特に限定されない。例えば、入力部110は、要素毎に、コスト、接続された要素、侵入口か否かを示すフラグ、及び、守備対象か否かを示すフラグが対応付けられた対応表を取得してもよい。入力部110は、対応表を取得することで、要素一覧、コスト、接続関係、侵入口及び守備対象を同時に取得することができる。
続いて、特定部120は、入力部110によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する(S20)。例えば、特定部120は、入力された全ての要素の接続関係に基づいて、侵入口から守備対象に至る全ての経路を対象経路として対象要素を特定する。
具体的にはまず、特定部120は、N個の要素の各々を頂点(ノード)とする無向グラフを作成する(S21)。無向グラフにおける頂点間の辺は、N個の要素の接続関係に基づいて決定される。例えば、特定部120は、図4に示されるような無向グラフを作成する。図4に示される例では、制御システム11は、互いに接続された6つの資産A〜資産Fから構成された制御システムである。資産Aが侵入口である。資産Fが守備対象である。
ここで、図4は、本実施の形態に係るリスク分析装置100に対する入力情報に基づいて作成した、リスク分析の対象となる制御システム11の無向グラフを説明するための図である。図4では、制御システム11を構成する資産(頂点)を白い丸印で表している。白い丸印の中に記載された数値は、資産の安全度を高めるのに要するコストである。コストは、無向グラフの頂点の重みである。2つの資産(丸印)を結ぶ線分(辺)は、2つの資産が通信可能に接続されていることを表している。資産に向かう白抜き矢印は、当該資産が侵入口であることを表している。資産から延びる白抜き矢印は、当該資産が守備対象であることを表している。これらは、後述する図6、図7、図9、図11、図14〜図17、図19、図20、図22、図23及び図25についても同様である。
次に、図3に示されるように、特定部120は、作成した無向グラフを有向グラフに変換し(S22)、有向辺の重みにコストを付与する(S23)。ここで、図5は、本実施の形態に係るリスク分析装置100における無向グラフを有向グラフに変換する処理を説明するための図である。例えば、特定部120は、図5の(a)に示される頂点に重みがある無向グラフを、図5の(b)に示される辺に重みがある有向グラフに変換する。
具体的にはまず、特定部120は、2つの資産間を接続する辺を、双方向に延びる有向辺に変換する。次に、特定部120は、資産に入力される有向辺の重み、つまり、資産に先端が接続された矢印で表される有向辺の重みに、矢印の接続先の資産の重み(すなわち、コスト)を付与する。
図4に示される制御システム11の無向グラフは、図6に示されるような有向グラフに変換される。なお、図6は、図4に示される無向グラフを変換した有向グラフを示す図である。
次に、図3に示されるように、特定部120は、最小カットを算出することで、全ての対象経路を分断するのに要する合計コストが最小となる対象要素を特定する(S24)。例えば、特定部120は、図6に示される有向グラフに基づいて、侵入口から守備対象に至る対象経路として、資産A、資産B、資産C、資産E及び資産Fの順で通る第1の経路と、資産A、資産B、資産D、資産E及び資産Fの順で通る第2の経路とを特定する。なお、対象経路の特定では、1つの資産は経路上で1回のみ通過が許可されるという条件下で行われる。
図7は、図6に示される有向グラフに基づいて算出した最小カットを説明するための図である。説明を分かりやすくするため、図7では、上記2つの経路に属する有向辺のみを示している。なお、図7では、有向辺を斜めに横切る線分が最小カットの位置を示している。これは、図15、図17及び図20においても同様である。
特定部120は、侵入口である資産Aから守備対象である資産Fに至る対象経路を分断するのに必要な最小カットを算出することで、資産Bから資産Cに至る有向辺と、資産Bから資産Dに至る有向辺との2つの切断箇所を特定し、その合計コストが3であって最小値であることを特定することができる。つまり、特定部120は、資産Cと資産Dとを、安全度を高めるためのコストをかけるべき対象資産として特定する。
最後に、図3に示されるように、出力部130は、特定部120によって特定された対象要素を示す要素情報を出力する(S30)。出力部130が要素情報を出力する形態は、特に限定されない。例えば、出力部130は、図7に示されるように、カット位置を示すグラフをディスプレイに表示してもよい。あるいは、出力部130は、対象要素を特定する情報をテキストで示してもよい。対象要素を特定する情報は、例えば資産の名称及び設置位置などである。出力部130は、資産にかけるべきコストを出力してもよい。
なお、合計コストが最小になる要素の組み合わせが複数特定された場合には、出力部130は、複数の組み合わせの全てを示す要素情報を出力する。あるいは、出力部130は、複数の組み合わせのうちの1つのみを示す要素情報を出力してもよい。
以上のように、本実施の形態に係るリスク分析装置100では、侵入口から守備対象に至る対象経路の中で、セキュリティ対策のためにコストをかけるべき要素であって、コストが低くて済む要素を対象要素として特定することができる。このように、本実施の形態によれば、低コストで実行可能で十分なセキュリティ対策を支援することができる。
(実施の形態2)
続いて、実施の形態2について説明する。
実施の形態1では、システムを構成する要素の接続関係を入力部が入力として受け付ける例を示した。これに対して、実施の形態2では、侵入口から守備対象に至る対象経路を入力部が入力として受け付ける。以下では、実施の形態1との相違点を中心に説明し、共通点の説明を省略又は簡略化する。
本実施の形態に係るリスク分析装置の構成は、実施の形態1に係るリスク分析装置100と同じである。以下の説明は、図2に示されるリスク分析装置100に基づいて説明する。
図8は、本実施の形態に係るリスク分析装置100の動作を示すフローチャートである。
図8に示されるように、まず、入力部110は、対象要素の特定に必要な入力情報を取得する(S40)。具体的には、入力部110は、システムを構成する要素の一覧を取得する(S11)。次に、入力部110は、要素毎のコストを取得し(S12)、続いて、攻撃経路を取得する(S43)。さらに、入力部110は、侵入口を取得し(S14)、続いて守備対象を取得する(S15)。実施の形態1と同様に、入力部110が取得する各情報の取得順序は、特に限定されない。
次に、特定部120は、入力部110によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する(S50)。具体的にはまず、特定部120は、攻撃経路に基づいて、N個の要素の各々を頂点とする有向グラフを作成する(S52)。頂点同士を結ぶ有向辺は、攻撃経路に基づいて決定される。
例えば、特定部120は、図9に示されるような有向グラフを作成する。入力情報では要素毎にコストが対応付けられているので、特定部120は、頂点に重み(コスト)が付された有向グラフを作成する。
ここで、図9は、本実施の形態に係るリスク分析装置100において、入力情報に基づいて作成した、リスク分析の対象となるシステムの有向グラフを説明するための図である。図9に示される例では、制御システム12は、互いに接続された6つの資産A〜資産Fから構成された制御システムである。資産Aが侵入口である。資産Fが守備対象である。攻撃経路は、資産A、資産B、資産C、資産E及び資産Fの順で通る第1の経路と、資産A、資産B、資産D、資産E及び資産Fの順で通る第2の経路とである。
次に、図8に示されるように、特定部120は、有向辺の重みにコストを付与する(S53)。ここで、図10は、本実施の形態に係るリスク分析装置100において、有向グラフの頂点の重みを有向辺の重みに変換する処理を説明するための図である。例えば、特定部120は、図10の(a)に示される頂点(ノード)に重みのある有向グラフを、図10の(b)に示される辺(エッジ)に重みがある有向グラフに変換する。具体的には、特定部120は、資産に入力される有向辺の重み、つまり、資産に先端が接続された矢印で表される有向辺の重みに、矢印の接続先の資産の重み(すなわち、コスト)を付与する。
これにより、図9に示される制御システム12の有向グラフは、図11に示されるような有向グラフに変換される。なお、図11は、図9に示される有向グラフに基づいて頂点の重みを辺の重みに変換した有向グラフを示す図である。
以降の処理は、実施の形態1と同じである。特定部120が対象要素を特定し(S24)、特定された対象要素を示す要素情報を出力部130が出力する(S30)。図11に示される有向グラフの場合、資産C及び資産Dが対象要素として特定される。
以上のように、本実施の形態に係るリスク分析装置100では、N個の要素の少なくとも一部の接続関係の一例として攻撃経路を入力として受け付けることにより、侵入口から守備対象に至る対象経路を示す有向グラフを容易に作成することができる。このため、対象要素の特定に要する演算量を削減することができるので、低コストで実行可能で十分なセキュリティ対策を少ない演算量で支援することができる。
[変形例]
ここで、実施の形態2の変形例について説明する。具体的には、有向グラフの頂点の重みを有向辺の重みに変換する処理の別の例について、図12を用いて説明する。
なお、図10では説明を簡単にするために、変形例2で説明する方法とは異なる方法で正確に最小カットを算出することができる場合を示した。しかしながら、図10に示される方法では、1つの資産に複数の資産からの有向辺が接続(入力)されている場合は、対策すべき資産を正確に導出できない場合がある。本変形例では、1つの資産に複数の資産からの有向辺が接続されている場合についても、対策すべき資産を正確に導出することができる処理例を示す。
図12は、本変形例に係るリスク分析装置100において、有向グラフの頂点の重みを有向辺の重みに変換する処理を説明するための図である。本変形例では、特定部120は、図12の(a)に示される頂点に重みのある有向グラフを、図12の(b)に示される辺に重みがある有向グラフに変更する。
図12の(a)には、4つの資産A〜資産Dを有するシステムが示されている。資産Cには、資産Aと資産Bとの各々から有向辺が接続されている。本変形例に係る有向グラフの変換方法は、1つの資産に複数の資産が接続されている場合に、特に有用である。
具体的には、特定部120は、システムを構成する複数の要素の各々を、2つの頂点に分割する。例えば、図12の(b)に示されるように、資産Aを資産A1と資産A2とに分割する。資産B、資産C及び資産Dについても同様に、資産B1及び資産B2と、資産C1及び資産C2と、資産D1及び資産D2とにそれぞれ分割される。
特定部120は、他の資産から資産Cに延びる有向辺を、全て資産C1に接続する。つまり、資産C1は、他の資産から資産Cに延びる有向辺が接続される頂点である。例えば、図12の(b)に示されるように、資産C1には、資産A(資産A2)及び資産B(資産B2)の各々から延びる有向辺が接続される。
また、特定部120は、資産Cから他の資産へ延びる有向辺を、全て資産C2から延びる辺とする。つまり、資産C2は、資産Cから他の資産へ延びる有向辺が接続される頂点である。例えば、図12の(b)に示されるように、資産C2からは、資産D(資産D1)に向けて延びる有向辺が接続される。
さらに、特定部120は、資産C1と資産C2とを、資産C1から資産C2に延びる有向辺で接続する。資産A1、資産A2、資産B1、資産B2、資産D1及び資産D2についても同様である。
さらに、特定部120は、各有向辺に頂点の重みを付与する。例えば、特定部120は、資産C1に接続される有向辺に、資産Cの頂点の重みであるコストを付与する。図12の(b)に示される例では、資産A2及び資産B2の各々から資産C1に接続される有向辺には、接続先である資産Cのコストである1.5が付与される。
また、特定部120は、資産C2から延びる有向辺に、接続先の資産の重みであるコストを付与する。図12の(b)に示される例では、資産C2から資産D1に接続される有向辺には、接続先である資産Dのコストである2が付与される。
また、特定部120は、資産C内の有向辺、すなわち、資産C1から資産C2に接続される有向辺には、資産Cのコストである1.5を付与する。資産A、資産B及び資産Dについても同様である。
これにより、1つの資産に複数の資産からの有向辺が接続されている場合であっても最小カットを正確に導出することができる。なお、図10で示した例では、頂点及び有向辺の数が本変形例より少ないので、演算量が少ないという利点がある。
(実施の形態3)
続いて、実施の形態3について説明する。
実施の形態1及び2では、侵入口及び守備対象がいずれも1つのみである場合について説明した。これに対して、実施の形態3では、入力部が複数の侵入口及び複数の守備対象を入力として受け付ける。以下では、実施の形態1及び2との相違点を中心に説明し、共通点の説明を省略又は簡略化する。
本実施の形態に係るリスク分析装置の構成は、実施の形態1に係るリスク分析装置100と同じである。以下の説明は、図2に示されるリスク分析装置100に基づいて説明する。
図13は、本実施の形態に係るリスク分析装置100の動作を示すフローチャートである。図13に示されるように、まず、入力部110が、対象要素の特定に必要な入力情報を取得する(S60)。具体的には、入力部110は、システムを構成する要素の一覧を取得する(S11)。次に、入力部110は、要素毎のコストを取得し(S12)、続いて、攻撃経路を取得する(S43)。さらに、入力部110は、複数の侵入口を取得し(S64)、続いて複数の守備対象を取得する(S65)。実施の形態1と同様に、入力部110が取得する各情報の取得順序は、特に限定されない。
次に、特定部120は、入力部110によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する(S70)。具体的にはまず、実施の形態2と同様に、特定部120は、攻撃経路に基づいて、N個の要素の各々を頂点とする有向グラフを作成する(S52)。
次に、特定部120は、取得された全ての侵入口に延びる有向辺を有する開始頂点を追加する(S71)。開始頂点は、全ての侵入口の各々のみに接続された第1追加要素の一例である。
図14は、複数の侵入口を有するシステムの有向グラフを説明するための図である。図14に示される制御システム13は、互いに接続された8つの資産A〜資産Hから構成された制御システムである。資産Aと資産Gとがそれぞれ侵入口である。資産Hが守備対象である。
図15は、図14に示される有向グラフに対して、開始頂点Yを追加する方法を説明するための図である。図15に示されるように、特定部120は、制御システム13の複数の侵入口の各々のみに接続された開始頂点Yを追加する。開始頂点Yは、侵入口である資産A及び資産Gの各々のみに接続されている。
次に、図13に示されるように、特定部120は、取得された全ての守備対象から延びる有向辺を有する目標頂点を追加する(S72)。目標頂点は、全ての守備対象の各々のみに接続された第2追加要素の一例である。
図16は、複数の守備対象を有するシステムの有向グラフを説明するための図である。図16に示される制御システム14は、互いに接続された8つの資産A〜資産Hから構成された制御システムである。資産Aが侵入口である。資産Gと資産Hとがそれぞれ守備対象である。
図17は、図16に示される有向グラフに対して、目標頂点Zを追加する方法を説明するための図である。図17に示されるように、特定部120は、制御システム14の複数の守備対象の各々のみに接続された目標頂点Zを追加する。目標頂点Zは、守備対象である資産G及び資産Hの各々のみに接続されている。
次に、図13に示されるように、特定部120は、有向辺の重みにコストを付与する(S73)。具体的には、特定部120は、有向辺の接続先の資産のコストを、有向辺に付与する。開始頂点Yから延びる有向辺についても同様である。図15に示されるように、開始頂点Yから資産Aに延びる有向辺には、資産Aのコストである5が付与される。開始頂点Yから資産Gに延びる有向辺には、資産Gのコストである2が付与される。
一方で、特定部120は、目標頂点Zに接続される有向辺については、他の有向辺に付与されるコストの各々以上の値を付与する。例えば、特定部120は、目標頂点Zに接続される全ての有向辺について、他の有向辺に付与されるコストの中で最も大きいコスト以上の値を付与する。一例として、図17に示されるように、特定部120は、目標頂点Zに接続される全ての有向辺に無限大(他より十分に大きな値であって、設定可能な最大値)を付与する。
これにより、複数の侵入口が1つの開始頂点Yに便宜上置き換えられ、複数の守備対象が1つの目標頂点Zに便宜上置き換えられる。つまり、複数の侵入口及び複数の守備対象を有するシステムは、開始頂点Yを侵入口とし、かつ、目標頂点Zを守備対象とするシステムに置き換えることができる。したがって、実施の形態1及び2に示した通り、1つの侵入口及び1つの守備対象の場合と同様に最小カットを導出することで、対象要素を特定することができる。開始頂点Yから目標頂点Zまでに至る経路には、入力部110によって入力された対象経路が必ず含まれる。
開始頂点Y及び目標頂点Zの追加及び重みの付与が終わった後、図13に示されるように、特定部120は、開始頂点Yから目標頂点Zに至る経路について最小カットを算出することで、合計コストが最小となる要素を対象要素として特定する(S74)。このとき、目標頂点Zに接続される有向辺のコストが十分に大きな値になっているので、目標頂点Zが対象要素として特定されることはない。また、図15には示されていないが、開始頂点Yに対して入力される辺についても重みを無限大として設定することができる。これにより、開始頂点Yが対象要素として特定されることもない。
最後に、出力部130は、特定部120によって特定された要素を示す要素情報を出力する(S30)。
以上のように、本実施の形態によれば、特定部120は、複数の侵入口及び複数の守備対象が入力された場合に、開始頂点及び目標頂点を追加する。このとき、特定部120は、目標頂点のコストをN個の資産の各々のコスト以上の値に設定する。特定部120は、開始頂点から対象経路を含み、目標頂点に至る経路の全てを分断するのに要する合計コストが最小になる1以上の要素を対象要素として特定する。これにより、侵入口と守備対象との数によらず、対象要素が特定されるので、低コストで実行可能で十分なセキュリティ対策を支援することができる。
なお、本実施の形態では、侵入口及び守備対象の両方を複数取得する例について示したが、いずれか一方のみを複数取得してもよい。例えば、入力部110が複数の侵入口と1つのみの守備対象とを取得した場合、特定部120は、目標頂点の追加処理(S72)を行わなくてよい。この場合、特定部120は、ステップS74において、開始頂点から守備対象に至る経路について最小カットを算出することで、合計コストが最小となる要素を特定する。また、入力部110が1つのみの侵入口と複数の守備対象とを取得した場合、特定部120は、開始頂点の追加処理(S71)を行わなくてよい。この場合、特定部120は、ステップS74において、侵入口から目標頂点に至る経路について最小カットを算出することで、合計コストが最小となる要素を特定する。
(実施の形態4)
続いて、実施の形態4について説明する。
実施の形態1〜3では、制御システムを構成する全ての資産に対して、安全度を高める対策を行うことができる例について説明した。しかしながら、制御システムには、資産が古い設備である場合など、安全度を高める対策を行うことが困難な、又は、不可能な資産が含まれる場合がある。実施の形態4では、システムがセキュリティ上の対策が困難な要素を含む場合について説明する。以下では、実施の形態1〜3との相違点を中心に説明し、共通点の説明を省略又は簡略化する。
本実施の形態に係るリスク分析装置の構成は、実施の形態1に係るリスク分析装置100と同じである。以下の説明は、図2に示されるリスク分析装置100に基づいて説明する。
図18は、本実施の形態に係るリスク分析装置100の動作を示すフローチャートである。
図18に示されるように、まず、入力部110は、対象要素の特定に必要な入力情報を取得する(S80)。具体的には、入力部110は、システムを構成する要素の一覧を取得する(S11)。次に、入力部110は、要素毎のコストと、対策困難な要素を示す情報とを取得し(S82)、続いて、攻撃経路を取得する(S43)。さらに、入力部110は、侵入口を取得し(S14)、続いて守備対象を取得する(S15)。実施の形態1と同様に、入力部110が取得する各情報の取得順序は、特に限定されない。
対策困難な要素は、安全度を高める対策を行うことが困難、又は、不可能な要素である。なお、対策困難な要素は、物理的に対策を行うことが困難、又は、不可能な要素を意味するだけでなく、対策を行うべきではない要素が含まれてもよい。例えば、制御システムの可用性を維持するために、安全度を高める対策を行うべきではない資産も対策困難な要素の一例である。つまり、コストが低い資産が対策困難な要素であってもよい。対策困難な要素は、複数であってもよい。例えば、N個の要素から構成されるシステムのうち、M個(Mは自然数)の要素が対策困難な要素である。
次に、特定部120は、入力部110によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する(S90)。具体的にはまず、特定部120は、攻撃経路に基づいて、N個の要素の各々を頂点とする有向グラフを作成する(S52)。頂点同士を結ぶ有向辺は、攻撃経路に基づいて決定される。
例えば、特定部120は、図19に示されるような有向グラフを作成する。入力情報では要素毎にコストが対応付けられているので、特定部120は、頂点に重み(コスト)が付された有向グラフを作成する。
ここで、図19は、対策困難な要素を有するシステムの有向グラフを説明するための図である。図19に示される例では、制御システム15は、互いに接続された8つの資産A〜資産Hから構成された制御システムである。資産Aが侵入口である。資産G及び資産Hが守備対象である。そして、資産Eが対策困難な資産である。例えば、資産Eは、OSサポートが切れた古い制御装置などであり、十分なコストをかけたとしても資産Eの安全度を高めることが困難な又は不可能な資産である。図19では、資産Eが対策困難であることを示すため、資産Eを表す頂点の重みを−(ダッシュ)で表している。
図19に示される例では、侵入口が1つであり、守備対象が複数である。このため、特定部120は、開始頂点を追加する処理(S71)を省略し、図18に示されるように実施の形態4と同様に、目標頂点Zを追加し(S72)、その後、有向辺の重みにコストを付与する(S73)。
次に、特定部120は、対策困難なM個の要素のコストを十分に大きな値に更新する(S94)。ここで、図20は、図19に示される有向グラフに対して、対策困難な要素に接続される有向辺の重みの更新処理を説明するための図である。例えば、特定部120は、図19に示される資産Eが接続先になる有向辺のコストを十分に大きな値に更新する。一例として、図20に示されるように、資産Bから資産Eに接続される有向辺のコストを無限大に更新する。
更新後の値は、対策困難なM個の要素を除いた残りのN−M個の要素の各々のコストのいずれよりも大きい所定の値である。更新後の値は、例えば、目標頂点Zに接続される有向辺に付与されるコストと同じであり、他の有向辺に付与されるコストの中で最も大きいコスト以上の値である。
コストの更新後、図18に示されるように、特定部120は、開始頂点Yから目標頂点Zに至る経路について最小カットを算出することで、合計コストが最小となる要素を対象要素として特定する(S74)。図20に示される例では、資産Aから目標頂点Zに至る経路について最小カットを算出する。例えば、特定部120は、資産C、資産D及び資産Fを対象要素として特定する。このとき、資産Bから資産Eに接続される有向辺のコストが十分に大きい値になっているので、資産Eが対象要素として選択されることはない。
最後に、出力部130は、特定部120によって特定された要素を示す要素情報を出力する(S30)。
以上のように、本実施の形態に係るリスク分析装置100では、対策困難な要素が対象要素として特定されないので、実行可能なセキュリティ対策を支援することができる。
なお、対策困難な要素を示す情報を入力部110が取得する例を説明したが、これに限らない。例えば、特定部120が、要素のコストに基づいて対策困難な要素を特定してもよい。例えば、特定部120は、要素のコストと閾値とを比較し、コストが閾値より大きい要素を対策困難なコストと特定してもよい。
(実施の形態5)
続いて、実施の形態5について説明する。
実施の形態1〜4では、要素のコストが当該要素の安全度を第2閾値以上に十分に高い状態にすることができ、当該要素を通る攻撃経路を分断することができるコストである例について説明した。これに対して、実施の形態5では、コストは、要素の安全度を少しだけ高めるのに要するコストである。以下では、実施の形態1〜4との相違点を中心に説明し、共通点の説明を省略又は簡略化する。
本実施の形態に係るリスク分析装置の構成は、実施の形態1に係るリスク分析装置100と同じである。以下の説明では、図2に示されるリスク分析装置100に基づいて説明する。
図21は、本実施の形態に係るリスク分析装置100の動作を示すフローチャートである。
図21に示されるように、まず、入力部110は、対象要素の特定に必要な入力情報を取得する(S100)。具体的には、入力部110は、システムを構成する要素の一覧を取得する(S11)。次に、入力部110は、要素毎のコスト及び安全度を取得し(S102)、続いて、攻撃経路を取得する(S43)。さらに、入力部110は、侵入口を取得し(S14)、続いて守備対象を取得する(S15)。次に、入力部110は、安全度の総和の第3閾値を取得する(S106)。実施の形態1と同様に、入力部110が取得する各情報の取得順序は、特に限定されない。
入力部110が取得する第3閾値は、侵入口から守備対象に至るまでに経由する要素の安全度の総和との比較に用いられる値である。第3閾値は、侵入口から守備対象に至る経路が満たすべき安全基準である。安全度の総和が第3閾値以上である場合、当該経路は安全であり、守備対象である資産のセキュリティが十分に高い、すなわち、セキュリティ上の脅威に対する対策が不要であると判断できる。安全度の総和が第3閾値より低い場合、当該経路は安全とは言えず、守備対象である資産のセキュリティが低い、すなわち、経路に対してセキュリティ上の脅威に対する対策を行うべきであると判断できる。
また、要素毎のコストは、実施の形態1と同様に、安全度を第1閾値以上に高くするのに要する対策コストである。このときの第1閾値は、要素の安全性が十分に高い状態として満たすべき基準である第2閾値よりも小さくてもよい。例えば、コストは、要素の安全度を少しだけ高めるのに要するコストであってもよい。つまり、コストを1つの要素にかけたとしても、当該要素において攻撃経路が分断できなくてもよい。例えば、対象経路上の複数の要素に少しずつコストをかけることで、全体として対象経路の安全度を高めることができ、守備対象のセキュリティを高めることができればよい。
次に、特定部120は、入力部110によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する(S50)。対象要素を特定するための具体的な処理は、実施の形態2と同様である。
次に、特定部120は、特定した対象要素の安全度を更新する(S110)。具体的には、特定部120は、対象要素の安全度を、コストをかけることで高めた安全度に更新する。例えば、対象要素のコストが安全度を1高めるためのコストであり、かつ、更新前の安全度が1であった場合、特定部120は、安全度を2に更新する。
ここで、図22は、本実施の形態に係るリスク分析装置100に対する入力情報に基づいて作成した、リスク分析の対象となる制御システム16の有向グラフを説明するための図である。図22に示される例では、制御システム16は、互いに接続された6つの資産A〜資産Fから構成された制御システムである。資産Aが侵入口である。資産Fが守備対象である。なお、図22では、要素の安全度(上段の値)とコスト(下段の値)とをそれぞれ図示している。対象経路の特定処理においては、安全度を頂点の重みとして利用する。
図22に示される例では、資産C及び資産Dが対象要素として特定される。このため、特定部120は、資産C及び資産Dの安全度を更新する。例えば、図23に示されるように、資産C及び資産Dの安全度を1ずつ増やし、資産Cの安全度を3に更新し、資産Dの安全度を2に更新する。なお、図23は、図22に示されるシステムに基づいて、要素の安全度の更新処理を説明するための図である。
安全度を更新した後、特定部120は、対象経路の特定処理を行う(S120)。ステップS120で示される処理は、侵入口及び守備対象の両方が1つのみの場合に行われる対象経路の特定処理である。
図24は、本実施の形態に係るリスク分析装置100の動作のうち、対象経路を特定する処理(S120)を示すフローチャートである。
図24に示されるように、まず、特定部120は、k=1を設定する(S121)。特定部120は、最短経路法を用いて、侵入口から守備対象に至る経路のうちk番目に短い経路を導出し(S122)、導出した経路の安全度の総和を算出する(S123)。
具体的には、特定部120は、入力部110が取得した入力情報に基づいて、N個の資産の各々を頂点とし、かつ、資産の更新後の安全度を頂点の重みとする有向グラフを作成する。有向グラフにおける頂点間の有向辺は、N個の資産の接続関係の一例である攻撃経路に基づいて決定される。例えば、特定部120は、図23に示されるような有向グラフを作成する。
次に、特定部120は、有向辺に重みを付与する。特定部120は、有向グラフに基づいて最短経路法を用いて、侵入口から守備対象に至る全ての経路の中から、経路上に位置する全ての資産の安全度の総和がk番目に小さくなる経路を対象経路として特定する。ここでは、k=1であるので、特定部120は、侵入口から守備対象に至る全ての経路の中から、最も安全度の総和が小さくなる経路を対象経路として特定する。
図25は、図23に示される制御システム16において特定された対象経路を示す図である。図25では、特定された対象経路は二重線で表されている。ここでは、安全度の総和との比較に用いられる第3閾値が7の場合を示している。つまり、安全度の総和が7より低い経路が対象経路として特定される。
図25の(a)に示されるように、資産A、資産B、資産D、資産E、資産Fの順で示される経路40の安全度の総和は、6である。経路40は、制御システム16の中で最も安全度の総和が小さくなる経路である。図25に示される制御システム16において安全度の総和が6になる経路は、経路40のみである。
次に、図24に示されるように、特定部120は、安全度の総和と第3閾値とを比較する(S124)。具体的には、安全度の総和が第3閾値より低い場合(S124でNo)、特定部120は、導出された経路、すなわち、安全度の総和が第3閾値より低い経路を対象経路として特定する(S125)。そして、特定部120は、kの値を1つ増加させ(S126)、最短経路の導出、安全度の総和の算出、第3閾値との比較を順に行う(S122〜S124)。安全度の総和が第3閾値以上になるまで(S124でYes)、kの値を1ずつ増加させてステップS122〜ステップS124を繰り返し行う。これにより、侵入口から守備対象に至る経路の中から、安全度の総和が第3閾値より低い経路の全てを対象経路として特定することができる。
例えば、図25の(a)に示される経路40の安全度の総和は6であり、第3閾値である7より低い。このため、特定部120は、kの値を2に設定し、侵入口から守備対象に至る全ての経路の中から、2番目に短い経路、すなわち、2番目に安全度の総和が小さくなる経路を対象経路として特定する。これにより、図25の(b)に示されるように、資産A、資産B、資産C、資産E、資産Fの順で示される経路41の安全度の総和が7であり、第3閾値以上であるので、特定部120は、経路41を対象経路として特定しない。
更新後の安全度に基づいて、侵入口から守備対象までの対象経路が特定された後、図21に示されるように、特定部120は、安全度の総和が第3閾値より低い対象経路が特定されたか否かを判定する(S130)。第3閾値より低い経路が存在する場合(S130でYes)、特定部120は、対象要素のコストを変更する(S140)。具体的には、特定部120は、対象要素のコストを、対象要素の安全度をより高くするためのコストに変更する。例えば、変更前のコストが安全度を1高めるのに要するコストであった場合、特定部120は、安全度を2高めるのに要するコストに変更する。以降、特定部120は、対象要素の特定(S50)と、安全度の更新処理(S110)と、対象経路の特定処理(S120)とを、第3閾値より低い対象経路が特定されなくなるまで繰り返し行う。
第3閾値より低い対象経路が特定されない場合(S130でNo)、出力部130は、特定部120によって特定された対象要素を示す要素情報を出力する(S30)。
以上のように、本実施の形態に係るリスク分析装置100によれば、個々の要素に対する安全度を高めるのに要するコストが低い場合であっても、侵入口から守備対象に至る経路の安全度の総和が低くなるようにコストをかけるべき要素を対象要素として特定することができる。これにより、本実施の形態に係るリスク分析装置100によれば、より低コストで実行可能で十分なセキュリティ対策を支援することができる。
なお、本実施の形態では、最短経路法を用いる場合、k=1のときのみを行ってもよい。k=1のときに特定される経路の安全度の総和が、侵入口から守備対象に至る全ての経路の中で最も安全度の総和が低い経路である。したがって、k=1のときの安全度の総和が第3閾値以上である場合、他の経路の安全度の総和も第3閾値以上になる。したがって、k=1の場合の安全度の総和を算出した後(図24のS123)、図21に示されるステップS130の判定を行ってもよい。
また、侵入口及び守備対象の少なくとも一方が複数である場合、特定部120は、侵入口と守備対象との組み合わせ毎に対象経路を特定する。具体的には、特定部120は、複数の侵入口から1つを選択し、複数の守備対象から1つを選択し、選択した侵入口と選択した守備対象とに基づいて、ステップS121〜ステップS126を行うことで対象経路を特定する。未選択の侵入口及び未選択の守備対象がなくなるまで、ステップS121〜ステップS126を繰り返すことで、複数の侵入口から複数の守備対象に至る経路を特定することができる。
(実施の形態6)
続いて、実施の形態6について説明する。
実施の形態1〜5では、リスク分析装置100によるリスク分析の対象となるシステムが制御システムであり、制御システムを構成する資産が要素の一例である例を説明した。これに対して、実施の形態6では、リスク分析の対象となるシステムが、資産に対する攻撃手順であり、攻撃手順に含まれるN個の攻撃工程がN個の要素の一例である例を説明する。以下では、実施の形態1との相違点を中心に説明し、共通点の説明を省略又は簡略化する。
本実施の形態に係るリスク分析装置の構成及び動作は、実施の形態1に係るリスク分析装置100の構成及び動作と同じである。上述したように、リスク分析の対象となるシステムが、実施の形態1とは相違する。以下の説明は、図2に示されるリスク分析装置100に基づいて説明する。
図26は、本実施の形態に係るリスク分析装置100によるリスク分析の対象となるシステムの一例を示す図である。具体的には、図26は、制御システムを構成する資産の1つに対する攻撃手順を示す図である。
1つの資産に対する攻撃手順には、複数の攻撃工程が含まれる。攻撃工程は、リスク分析で使用される脅威である。複数の攻撃工程には、例えば、A:不正アクセス、B:物理的侵入、C:不正操作、D:過失操作、E:不正媒体・機器接続、F:プロセス不正実行、G:マルウェア感染、H:情報窃取、I:情報改ざん、J:情報破壊、K:不正送信、L:機能停止、M:高負荷攻撃、N:経路遮断、O:通信輻輳、P:無線妨害、Q:盗聴、R:通信データ改ざん、S:不正機器接続の19の攻撃工程が含まれる。
図26に示されるように、攻撃工程には、他の攻撃工程と関連している。例えば、F:プロセス不正実行の攻撃工程を実行するためには、C:不正操作、D:過失操作及びE:不正媒体・機器接続のいずれかの攻撃工程が行われた後でなければならない。つまり、資産に対してF:プロセス不正実行を起こそうとする場合には、その前に実行しなければならない攻撃工程が存在する。このように、複数の攻撃工程は、順序関係、すなわち、方向性のある接続関係を有する。図26では、順序関係が矢印で表されている。
本実施の形態では、入力部110は、資産に対する攻撃手順に含まれる全ての攻撃工程のコスト、攻撃工程の順序関係、資産への入口になる攻撃工程である侵入口、及び、資産において守るべき攻撃工程である守備対象を入力として受け付ける。コスト、順序関係、侵入口、及び、守備対象はいずれも、予め定められた手法に基づいて客観的に決定される。
本実施の形態に係るリスク分析装置100では、資産のリスク分析を行う場合に、特定部120は、当該資産に対する攻撃手順に含まれる全ての攻撃工程を頂点とし、攻撃工程の順序関係を有向辺とする有向グラフを作成する。有向辺には、攻撃工程のコストを重みとして割り当てる。具体的には、有向辺の接続先、すなわち、順序関係における後工程の攻撃工程のコストを割り当てる。例えば、A:不正アクセスからC:不正操作に延びる有向辺に対しては、C:不正操作のコストを重みとして割り当てる。
有向グラフが生成され、かつ、有向辺に重みが付与された後、特定部120は、実施の形態1又は2と同様に、最小カットを算出することで、侵入口から守備対象に至る攻撃手順を分断するのに要する合計コストが最小になる攻撃工程を対象要素(対象工程)として特定する。図26には、侵入口として、3つの攻撃工程(具体的には、A:不正アクセス、B:物理的侵入、D:過失操作)が入力されている。このため、特定部120は、図13に示されるフローチャートに沿って、ステップS70を実行することで、対象要素を特定する。
以上のように、本実施の形態によれば、制御システムを構成する資産に対する攻撃手順についてのリスク分析を行うことができるので、資産に対して、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
(実施の形態7)
続いて、実施の形態7について説明する。
実施の形態7は、実施の形態1又は2と実施の形態6との組み合わせに相当する。具体的には、複数の資産間の接続関係を、複数の資産の各々に対する攻撃手順に含まれる攻撃工程の接続関係に基づいて構築する。より具体的には、制御システムを構成する複数の資産の各々の攻撃手順に含まれる複数の攻撃工程がN個の要素の一例である。以下では、実施の形態1、2及び6との相違点を中心に説明し、共通点の説明を省略又は簡略化する。
本実施の形態に係るリスク分析装置の構成及び動作は、実施の形態1に係るリスク分析装置100の構成及び動作と同じである。上述したように、リスク分析の対象となるシステムが、実施の形態1とは相違する。以下の説明は、図2に示されるリスク分析装置100に基づいて説明する。
図27は、本実施の形態に係るリスク分析装置100によるリスク分析の対象となるシステムの一例を示す図である。具体的には、図27は、制御システム17を構成する4個の資産A〜資産Dと、4個の資産A〜資産Dの各々に対する攻撃手順を示している。図27では、図面が複雑化するのを避けるために図示していないが、4個の資産A〜資産Dの各々の攻撃手順は、図26に示される19個の攻撃工程を含んでいる。
図27に示されるように、資産Aは、資産B及び資産Cの各々に接続されている。資産Dは、資産B及び資産Cの各々に接続されている。資産A〜資産Dの接続関係は、方向性を有している。資産Aが侵入口であり、資産Dが守備対象である。
この場合、図27に示されるように、侵入口である資産Aに対して攻撃手順を考慮に入れた場合、資産Aの攻撃手順に含まれるA:不正アクセス、B:物理的侵入及びD:過失操作の3つの攻撃工程が侵入口になる。また、資産Aに対する攻撃が成功した後に資産Bを攻撃しようとした場合、資産Aの攻撃工程の1つであるK:不正送信を利用して、資産Bの攻撃工程の1つであるA:不正アクセスから攻撃を開始する。このように、資産Aから資産Bへの攻撃手順は、資産A及び資産Bの各々における攻撃工程の組み合わせにおいて決定される。例えば、資産Aに対する攻撃工程であるJ:情報破壊が発生しただけでは、資産Bへの攻撃には至らない。また、資産Aに対する攻撃の後に、資産Bに対してB:物理的侵入の攻撃は行われない。したがって、制御システム17を構成する各資産の接続関係は、各資産に対する攻撃手順に含まれる攻撃工程の接続関係によって表すことができる。
本実施の形態に係るリスク分析装置100では、資産のリスク分析を行う場合に、特定部120は、制御システム17を構成する全ての資産の各々の攻撃手順に含まれる全ての攻撃工程を頂点とし、攻撃工程の順序関係を有向辺とする有向グラフを作成する。例えば、資産A〜資産Dの各々が図26に示される19個の攻撃工程を含む場合、有向グラフの頂点の個数は、76(=19×4)個になる。有向辺には、攻撃工程のコストを重みとして割り当てる。コストの割当方法は、実施の形態6と同様である。
有向グラフが生成され、かつ、有向辺に重みが付与された後、特定部120は、実施の形態1又は2と同様に、最小カットを算出することで、侵入口から守備対象に至る攻撃手順を分断するのに要する合計コストが最小になる攻撃工程を対象要素(対象工程)としてとして特定する。図27には、侵入口として、資産Aの3つの攻撃工程(具体的には、A:不正アクセス、B:物理的侵入、D:過失操作)が入力されている。また、守備対象として、資産Dの4つの攻撃工程(具体的には、I:情報改ざん、J:情報破壊、L:機能停止、R:通信データ改ざん)が入力されている。このため、特定部120は、図13に示されるフローチャートに沿って、ステップS70を実行することで、対象経路を特定する。
以上のように、本実施の形態によれば、制御システム17を構成する全ての資産に対する攻撃手順についてのリスク分析を行うことができるので、制御システム17に対して、守備対象のセキュリティを高めるのに十分な対策を支援することができる。
なお、本実施の形態では、制御システム17を構成する4個の資産A〜資産Dの各々の攻撃手順に含まれる全ての攻撃工程を要素とする例を説明したが、4個の資産A〜資産Dのうち少なくとも1つの資産のみの攻撃手順に含まれる攻撃工程と、攻撃手順が考慮されない1つ以上の資産とを要素としてもよい。
(他の実施の形態)
以上、1つ又は複数の態様に係るリスク分析装置及びリスク分析方法について、実施の形態に基づいて説明したが、本開示は、これらの実施の形態に限定されるものではない。本開示の主旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したもの、及び、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の範囲内に含まれる。
例えば、入力部110が各要素の安全度を取得する場合、特定部120は、取得した安全度に基づいて、攻撃されやすい経路を対象経路として特定してもよい。つまり、特定部120は、接続関係に基づいて決定される侵入口から守備対象までの全ての経路の中から、安全度に基づいて対象経路を特定してもよい。この場合の対象経路の特定方法は、実施の形態5のステップS120と同様に、最短経路法を用いて行うことができる。特定部120は、特定された対象経路に基づいて対象要素を特定してもよい。
また、例えば、上記の実施の形態では、安全度は、数値が高い程、セキュリティ上の脅威に対する安全性が高いことを意味する例を示したが、これに限らない。安全度は、数値が高い程、セキュリティ上の脅威に対する安全性が低いことを意味してもよい。この場合、安全度は、リスクの高さを示すリスク度と置き換えることができる。入力部110は、安全度として、セキュリティ上の脅威に対する安全性を間接的に表すリスク度を入力として受け付けてもよい。リスク度は、実施の形態で説明した安全度と負の相関関係を有する。
また、例えば、実施の形態3〜5では、入力部110が攻撃経路を取得する例について説明したが、各実施の形態において、実施の形態1と同様に入力部110は、システムを構成する全ての要素の接続関係を取得してもよい。
また、上記実施の形態において、特定の処理部が実行する処理を別の処理部が実行してもよい。また、複数の処理の順序が変更されてもよく、あるいは、複数の処理が並行して実行されてもよい。例えば、リスク分析装置100の入力部110、特定部120及び出力部130の少なくとも1つは、別の装置に備えられてもよい。
この場合において、装置間の通信方法については特に限定されるものではない。装置間で無線通信が行われる場合、無線通信の方式(通信規格)は、例えば、ZigBee(登録商標)、Bluetooth(登録商標)、又は、無線LAN(Local Area Network)などの近距離無線通信である。あるいは、無線通信の方式(通信規格)は、インターネットなどの広域通信ネットワークを介した通信でもよい。また、装置間においては、無線通信に代えて、有線通信が行われてもよい。有線通信は、具体的には、電力線搬送通信(PLC:Power Line Communication)又は有線LANを用いた通信などである。
例えば、上記実施の形態において説明した処理は、単一の装置(システム)を用いて集中処理することによって実現してもよく、又は、複数の装置を用いて分散処理することによって実現してもよい。また、上記プログラムを実行するプロセッサは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、又は分散処理を行ってもよい。
また、上記実施の形態において、装置を構成する構成要素の全部又は一部は、専用のハードウェアで構成されてもよく、あるいは、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、CPU(Central Processing Unit)又はプロセッサなどのプログラム実行部が、HDD(Hard Disk Drive)又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。
また、装置を構成する構成要素は、1つ又は複数の電子回路で構成されてもよい。1つ又は複数の電子回路は、それぞれ、汎用的な回路でもよいし、専用の回路でもよい。
1つ又は複数の電子回路には、例えば、半導体装置、IC(Integrated Circuit)又はLSI(Large Scale Integration)などが含まれてもよい。IC又はLSIは、1つのチップに集積されてもよく、複数のチップに集積されてもよい。ここでは、IC又はLSIと呼んでいるが、集積の度合いによって呼び方が変わり、システムLSI、VLSI(Very Large Scale Integration)、又は、ULSI(Ultra Large Scale Integration)と呼ばれるかもしれない。また、LSIの製造後にプログラムされるFPGA(Field Programmable Gate Array)も同じ目的で使うことができる。
また、本開示の全般的又は具体的な態様は、システム、装置、方法、集積回路又はコンピュータプログラムで実現されてもよい。あるいは、当該コンピュータプログラムが記憶された光学ディスク、HDD若しくは半導体メモリなどのコンピュータ読み取り可能な非一時的記録媒体で実現されてもよい。また、システム、装置、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。
また、上記の各実施の形態は、特許請求の範囲又はその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。
また、上記の各実施の形態は、請求の範囲又はその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。
本開示は、十分なセキュリティ対策を支援することができるリスク分析装置などとして利用でき、例えば、工場の制御システム又は制御システムを構成する資産のセキュリティ対策の支援及びリスク分析などに利用することができる。
10、11、12、13、14、15、16、17 制御システム
20 要素
30 インターネット
40、41 経路
100 リスク分析装置
110 入力部
120 特定部
130 出力部

Claims (14)

  1. 互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析装置であって、
    前記N個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記N個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、
    前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の1以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記1以上の要素である対象要素を、前記N個の要素の各々のコストと前記接続関係とに基づいて特定する特定部と、
    前記対象要素を示す要素情報を出力する出力部とを備える
    リスク分析装置。
  2. 前記特定部は、最小カットを算出することで、前記対象要素を特定する
    請求項1に記載のリスク分析装置。
  3. 前記特定部は、前記N個の要素の中から、安全度を高めるのが困難なM個(Mは自然数)の要素のコストを、残りのN−M個の要素の各々のコストのいずれよりも大きい所定の値に更新し、更新後のコストを用いて前記対象要素を特定する
    請求項1又は2に記載のリスク分析装置。
  4. 前記入力部は、複数の前記侵入口を入力として受け付け、
    前記特定部は、前記入力部が複数の前記侵入口を受け付けた場合に、複数の前記侵入口の各々のみに接続された第1追加要素から前記対象経路を含み、前記守備対象に至る経路の全てを分断するのに要する合計コストが最小となる1以上の要素を、前記対象要素として特定する
    請求項1〜3のいずれか1項に記載のリスク分析装置。
  5. 前記入力部は、複数の前記守備対象を入力として受け付け、
    前記特定部は、前記入力部が複数の前記守備対象を受け付けた場合に、
    複数の前記守備対象の各々のみに接続された第2追加要素のコストを前記N個の要素の各々のコスト以上の値に設定し、
    前記侵入口から前記対象経路を含み、前記第2追加要素に至る経路の全てを分断するのに要する合計コストが最小になる1以上の要素を、前記対象要素として特定する
    請求項1〜4のいずれか1項に記載のリスク分析装置。
  6. 前記入力部は、前記N個の要素の全ての接続関係を入力として受け付け、
    前記特定部は、さらに、前記全ての接続関係に基づいて前記対象経路を決定する
    請求項1〜5のいずれか1項に記載のリスク分析装置。
  7. 前記少なくとも一部の接続関係は、前記対象経路である
    請求項1〜5のいずれか1項に記載のリスク分析装置。
  8. 前記入力部は、さらに、前記N個の要素の各々の、セキュリティ上の脅威に対する安全度を入力として受け付け、
    前記特定部は、さらに、
    前記侵入口から前記守備対象に至る経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が閾値より低い経路を、前記対象経路として、前記N個の要素の各々の安全度と前記接続関係とに基づいて特定する
    請求項1〜7のいずれか1項に記載のリスク分析装置。
  9. 前記特定部は、さらに、
    前記要素情報が示す1以上の要素の安全度を、対応する要素のコストをかけることで高めた安全度に更新し、
    前記侵入口から前記守備対象に至る経路の中から前記対象経路を、更新後の前記N個の要素の各々の安全度と前記接続関係とに基づいて特定し、
    前記対象要素の特定と、前記安全度の更新と、前記対象経路の特定とを、前記対象経路が特定されなくなるまで繰り返す
    請求項8に記載のリスク分析装置。
  10. 前記システムは、制御システムであり、
    前記N個の要素は、前記制御システムを構成するN個の資産である
    請求項1〜9のいずれか1項に記載のリスク分析装置。
  11. 前記システムは、制御システムであり、
    前記N個の要素は、前記制御システムを構成する複数の資産の各々の攻撃手順に含まれる複数の攻撃工程である
    請求項1〜9のいずれか1項に記載のリスク分析装置。
  12. 前記システムは、制御システムを構成する資産に対する攻撃手順であり、
    前記N個の要素は、前記攻撃手順に含まれるN個の攻撃工程である
    請求項1〜9のいずれか1項に記載のリスク分析装置。
  13. 互いに接続されたN個(Nは2以上の自然数)の要素を含むシステムのリスクを分析するリスク分析方法であって、
    前記N個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記N個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付け、
    前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の1以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記1以上の要素である対象要素を、前記N個の要素の各々のコストと前記接続関係とに基づいて特定し、
    前記対象要素を示す要素情報を出力する
    リスク分析方法。
  14. 請求項13に記載のリスク分析方法をコンピュータに実行させるプログラム。
JP2021507365A 2019-03-20 2020-03-17 リスク分析装置及びリスク分析方法 Active JP6967722B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2019052549 2019-03-20
JP2019052549 2019-03-20
PCT/JP2020/011659 WO2020189669A1 (ja) 2019-03-20 2020-03-17 リスク分析装置及びリスク分析方法

Publications (2)

Publication Number Publication Date
JPWO2020189669A1 true JPWO2020189669A1 (ja) 2021-10-14
JP6967722B2 JP6967722B2 (ja) 2021-11-17

Family

ID=72519874

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021507365A Active JP6967722B2 (ja) 2019-03-20 2020-03-17 リスク分析装置及びリスク分析方法

Country Status (3)

Country Link
US (1) US11252179B2 (ja)
JP (1) JP6967722B2 (ja)
WO (1) WO2020189669A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022091207A1 (ja) * 2020-10-27 2022-05-05 日本電気株式会社 リスク分析装置、分析対象要素決定装置、方法、及びコンピュータ可読媒体
JP7465835B2 (ja) 2021-03-05 2024-04-11 株式会社日立製作所 セキュリティ対策支援装置、および、セキュリティ対策支援方法
WO2023089669A1 (ja) * 2021-11-16 2023-05-25 日本電気株式会社 攻撃ルート抽出システム、攻撃ルート抽出方法及び、プログラム
CN115022097B (zh) * 2022-08-09 2022-10-25 南通荣合计算机科技有限公司 一种公共信息安全监测的方法和系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018077597A (ja) * 2016-11-08 2018-05-17 株式会社日立製作所 セキュリティ対策立案支援システムおよび方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US20040250128A1 (en) * 2003-06-03 2004-12-09 Bush Stephen F. System and method for network security analysis
US7194769B2 (en) * 2003-12-11 2007-03-20 Massachusetts Institute Of Technology Network security planning architecture
US20060021049A1 (en) * 2004-07-22 2006-01-26 Cook Chad L Techniques for identifying vulnerabilities in a network
US8312549B2 (en) * 2004-09-24 2012-11-13 Ygor Goldberg Practical threat analysis
US7555778B2 (en) * 2004-10-19 2009-06-30 George Mason Intellectual Properties, Inc. Minimum-cost network hardening
US20070067845A1 (en) * 2005-09-22 2007-03-22 Alcatel Application of cut-sets to network interdependency security risk assessment
US8392997B2 (en) * 2007-03-12 2013-03-05 University Of Southern California Value-adaptive security threat modeling and vulnerability ranking
US8601587B1 (en) * 2009-09-04 2013-12-03 Raytheon Company System, method, and software for cyber threat analysis
US10977587B2 (en) * 2010-04-01 2021-04-13 Northrop Grumman Systems Corporation System and method for providing impact modeling and prediction of attacks on cyber targets
US20110252479A1 (en) * 2010-04-08 2011-10-13 Yolanta Beresnevichiene Method for analyzing risk
US9774616B2 (en) * 2012-06-26 2017-09-26 Oppleo Security, Inc. Threat evaluation system and method
US9043920B2 (en) * 2012-06-27 2015-05-26 Tenable Network Security, Inc. System and method for identifying exploitable weak points in a network
US10425429B2 (en) * 2013-04-10 2019-09-24 Gabriel Bassett System and method for cyber security analysis and human behavior prediction
JP2015130153A (ja) 2013-12-06 2015-07-16 三菱電機株式会社 リスク分析装置及びリスク分析方法及びリスク分析プログラム
US9680855B2 (en) * 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting
US9992219B1 (en) * 2014-11-13 2018-06-05 National Technology & Engineering Solutions Of Sandia, Llc Framework and methodology for supply chain lifecycle analytics
US10250631B2 (en) * 2016-08-11 2019-04-02 Balbix, Inc. Risk modeling
EP3282668B1 (en) * 2016-08-12 2020-10-21 Tata Consultancy Services Limited Comprehensive risk assessment in a heterogeneous dynamic network
US11228616B2 (en) * 2017-12-06 2022-01-18 Qatar Foundation Methods and systems for monitoring network security
US11729199B2 (en) * 2018-03-27 2023-08-15 Nec Corporation Security evaluation system, security evaluation method, and program
US10382473B1 (en) * 2018-09-12 2019-08-13 Xm Cyber Ltd. Systems and methods for determining optimal remediation recommendations in penetration testing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018077597A (ja) * 2016-11-08 2018-05-17 株式会社日立製作所 セキュリティ対策立案支援システムおよび方法

Also Published As

Publication number Publication date
JP6967722B2 (ja) 2021-11-17
WO2020189669A1 (ja) 2020-09-24
US20210400079A1 (en) 2021-12-23
US11252179B2 (en) 2022-02-15

Similar Documents

Publication Publication Date Title
JP6967722B2 (ja) リスク分析装置及びリスク分析方法
US10419474B2 (en) Selection of countermeasures against cyber attacks
US20220182406A1 (en) Analysis apparatus, analysis system, analysis method, and non-transitory computer readable medium storing program
KR102271449B1 (ko) 인공지능 모델 플랫폼 및 인공지능 모델 플랫폼 운영 방법
CN103259778A (zh) 安全监视系统以及安全监视方法
CN110192197B (zh) 通过使用证书建立身份标识和信任来实现正品设备保证的技术
JP6967721B2 (ja) リスク分析装置及びリスク分析方法
JP6320329B2 (ja) ホワイトリスト作成装置
KR101866556B1 (ko) 비정상행위 탐색방법 및 탐색프로그램
JP7378089B2 (ja) 不正通信検知装置、不正通信検知方法及び製造システム
Gonzalez-Granadillo et al. Attack graph-based countermeasure selection using a stateful return on investment metric
Lakhno et al. Development of a support system for managing the cyber security of information and communication environment of transport
US11356468B2 (en) System and method for using inventory rules to identify devices of a computer network
JP2019219898A (ja) セキュリティ対策検討ツール
US11683336B2 (en) System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network
JP7466197B2 (ja) 異常解析装置、製造システム、異常解析方法及びプログラム
RU2746685C2 (ru) Система кибербезопасности с дифференцированной способностью справляться со сложными кибератаками
JP7396371B2 (ja) 分析装置、分析方法及び分析プログラム
CN117081818A (zh) 基于智能合约防火墙的攻击交易识别与拦截方法及系统
KR102115734B1 (ko) 공격ㆍ이상 검지 장치, 공격ㆍ이상 검지 방법, 및 공격ㆍ이상 검지 프로그램
Shafique et al. Machine learning empowered efficient intrusion detection framework
WO2019142469A1 (ja) セキュリティ設計装置、セキュリティ設計方法およびセキュリティ設計プログラム
Rahman et al. Graph-theoretic approach for manufacturing cybersecurity risk modeling and assessment
JP6274090B2 (ja) 脅威分析装置、及び脅威分析方法
Wallis et al. QUDOS: quorum-based cloud-edge distributed DNNs for security enhanced industry 4.0

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210621

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20210621

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210803

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210818

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211006

R151 Written notification of patent or utility model registration

Ref document number: 6967722

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

SZ03 Written request for cancellation of trust registration

Free format text: JAPANESE INTERMEDIATE CODE: R313Z03