WO2014045827A1

WO2014045827A1 - 情報処理装置及び情報処理方法及びプログラム

Info

Publication number: WO2014045827A1
Application number: PCT/JP2013/073197
Authority: WO
Inventors: 鐘治桜井; 河内　清人
Original assignee: 三菱電機株式会社
Priority date: 2012-09-19
Filing date: 2013-08-29
Publication date: 2014-03-27
Also published as: EP2899665A4; EP2899665B1; EP2899665A1; US20150205956A1; JPWO2014045827A1; CN104620252A; CN104620252B; JP5868514B2

Abstract

　相関ルールを用いることなく、情報システムに対する攻撃が行われている可能性がある場合は、攻撃の進行状況を可視化して、利用者に警告を表示する。テーブル記憶部１００１は、過去事例における事象の発生パターンに従って攻撃の進行度であるフェーズ値を連結して得られたフェーズ列が示される過去事例テーブルを記憶する。フェーズ列生成部１００２は、情報システムにおいて発生した事象の発生パターンに従ってフェーズ値を連結してフェーズ列を得る。類似度算出部１００３は、フェーズ列生成部１００２により得られたフェーズ列と、過去事例テーブルに示されるフェーズ列との類似度を算出する。攻撃状況可視化部１００４は、フェーズ列生成部１００２により得られたフェーズ列と、類似度算出部１００３による類似度の算出結果とに基づき、情報システムに対する攻撃の進行状況を可視化する。

Description

情報処理装置及び情報処理方法及びプログラム

　情報システムに対する脅威を可視化する技術に関する。

　従来の脅威可視化方式は、脅威と考えられる事象の発生順序を規定する相関ルールによって、脅威の発生を判断し、この相関ルールに合致する事象群を画面に表示して利用者に警告を行っている（例えば、特許文献１）。

特表２００４－５３７０７５号公報

　従来の脅威可視化方式は、相関ルールに規定されている事象が揃わないと、利用者に対して警告画面が表示されないという課題がある。
　相関ルールに規定されている事象は、ネットワーク機器や、サーバ及びＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）などの計算機で発生する、悪意のある振舞いと考えられる異常な事象である。
　このような事象を例えばセンサが検知し、利用者が画面を監視する装置に、検知した事象を通知するが、センサでのこれら異常な事象の検知には、検知漏れが発生することが考えられる。
　このため、従来の脅威可視化方式では、実際には情報システムに対して攻撃が行われているにもかかわらず、１つの事象の検知漏れにより、相関ルールが満足されずに、利用者に警告が表示されないという課題がある。

　この発明は上記のような課題を解決することを主な目的としており、相関ルールを用いることなく、情報システムに対する攻撃が行われている可能性がある場合は、攻撃の進行状況を可視化して、利用者に警告を表示することを主な目的とする。

　本発明に係る情報処理装置は、
　情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示される攻撃事象テーブルを記憶する攻撃事象テーブル記憶部と、
　攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶する攻撃事象進行度列テーブル記憶部と、
　前記情報システムにおいて発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出する発生事象進行度列導出部と、
　前記発生事象進行度列導出部により導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される攻撃事象進行度列との類似度を算出する類似度算出部と、
　前記発生事象進行度列導出部により得られた発生事象進行度列と、前記類似度算出部による類似度の算出結果とに基づき、前記情報システムに対する攻撃の進行状況を可視化する攻撃状況可視化部とを有することを特徴とする。

　本発明では、情報システムにおいて発生した事象の発生パターンに従って発生事象進行度列を導出し、また、発生事象進行度列と攻撃事象進行度列との類似度を算出する。
　更に、本発明では、発生事象進行度列と類似度の算出結果とに基づき、情報システムに対する攻撃の進行状況を可視化する。
　このため、本発明によれば、相関ルールを用いる必要がなく、１つの事象の検知漏れにより相関ルールが満足されずに、利用者に警告が表示されないという事態を回避することができ、攻撃が行われている可能性がある場合は、利用者に警告を表示することができる。

実施の形態１に係る情報システムの構成例を示す図。実施の形態１に係る脅威可視化システムのハードウェア構成例を示す図。実施の形態１に係る脅威可視化システムのハードディスク内のデータ例を示す図。実施の形態１に係る脅威可視化システムのＲＡＭ内のデータ例を示す図。実施の形態１に係る脅威可視化システムの機能構成例を示す図。実施の形態１に係る攻撃事象テーブルの例を示す図。実施の形態１に係る過去事例テーブルの例を示す図。実施の形態１に係る攻撃シナリオテーブルの例を示す図。実施の形態１に係る攻撃フェーズテーブルの例を示す図。実施の形態１に係るセキュリティ脅威分布画面の例を示す図。実施の形態１に係るセキュリティ成長過程表示画面の例を示す図。実施の形態１に係る脅威可視化システムの動作の概要を示すフローチャート図。実施の形態１に係る脅威可視化システムの動作の詳細を示すフローチャート図。実施の形態１に係る脅威可視化システムの動作の詳細を示すフローチャート図。実施の形態１に係る脅威可視化システムの動作の詳細を示すフローチャート図。実施の形態１に係る脅威可視化システムの動作の詳細を示すフローチャート図。実施の形態１に係る脅威可視化システムの動作の詳細を示すフローチャート図。実施の形態１に係る脅威可視化システムの動作の詳細を示すフローチャート図。

　実施の形態１．
　本実施の形態では、個々の異常な事象の検知漏れが発生した場合でも、攻撃が行われている可能性がある場合は、利用者に警告を表示する構成を説明する。

　図１は、本実施の形態に係る情報システムの構成例を示す。
　本実施の形態に係る情報システムは、例えば、脅威可視化システム１００、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）１１０、ログサーバ１１１、ＰＣ１１２、認証サーバ１１３、ファイルサーバ１１４、メールサーバ１１５、ＩＤＳ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）／ＩＰＳ（Ｉｎｔｒｕｓｉｏｎ　Ｐｒｅｖｅｎｔｉｏｎ　Ｓｙｓｔｅｍ）１１６、ネットワークプロキシ１１７、ファイアウォール１１８で構成される。
　脅威可視化システム１００は、情報システムに対する脅威を可視化するコンピュータであり、情報処理装置の例に相当する。

　脅威可視化システム１００は、ＬＡＮ１１０に接続されている。
　ＬＡＮ１１０には、ログサーバ１１１、ＰＣ１１２、認証サーバ１１３、ファイルサーバ１１４、メールサーバ１１５、ＩＤＳ／ＩＰＳ１１６、ネットワークプロキシ１１７、ファイアウォール１１８が接続されている。
　ファイアウォール１１８は、インターネット１１９に接続されている。
　ＰＣ１１２は、通常複数台存在する。
　ＰＣ１１２は、端末装置の例に相当する。

　脅威可視化システム１００は、図２に示すように、ＣＰＵ１０１、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１０２、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１０３、ハードディスク１０４、表示ディスプレイ１０５、キーボード１０６、マウス１０７、通信ボード１０８を備え、これらはバス１０９に接続されている。

　また、脅威可視化システム１００は、図５に示す機能構成を有する。

　図５において、テーブル記憶部１００１は、情報システムに対する脅威を可視化するために用いられる各種のテーブルを記憶する。
　各種テーブルの詳細は後述する。
　テーブル記憶部１００１は、攻撃事象テーブル記憶部及び攻撃事象進行度列テーブル記憶部の例に相当する。
　なお、テーブル記憶部１００１は、図２のＲＡＭ１０２及びハードディスク１０４により実現される。

　フェーズ列生成部１００２は、情報システムにおいて発生した事象の発生パターンに従って、事象の進行度であるフェーズ値を連結して、フェーズ列（発生事象進行度列）を生成する。
　フェーズ列生成部１００２は、発生事象進行度列導出部の例に相当する。
　なお、フェーズ列生成部１００２は、例えばプログラムとして構成され、図２のＣＰＵ１０１によりフェーズ列生成部１００２を実現するプログラムが実行される。

　類似度算出部１００３は、フェーズ列生成部１００２により得られたフェーズ列（発生事象進行度列）と、後述する過去事例テーブル又は攻撃シナリオテーブルに示されるフェーズ列（攻撃事象進行度列）との類似度を算出する。
　類似度算出部１００３も、例えばプログラムとして構成され、図２のＣＰＵ１０１により類似度算出部１００３を実現するプログラムが実行される。

　攻撃状況可視化部１００４は、フェーズ列生成部１００２により得られたフェーズ列と、類似度算出部１００３よる類似度の算出結果とに基づき、情報システムに対する攻撃の進行状況を可視化する。
　攻撃状況可視化部１００４も、例えばプログラムとして構成され、図２のＣＰＵ１０１により攻撃状況可視化部１００４を実現するプログラムが実行される。

　入力部１００５は、脅威可視化システム１００のユーザから各種データを入力する。
　入力部１００５は、図２のキーボード１０６及びマウス１０７により実現される。

　出力部１００６は、脅威可視化システム１００のユーザに対して各種データを表示する。
　例えば、出力部１００６は、攻撃状況可視化部１００４により可視化された攻撃の進行状況をユーザに対して表示する。
　出力部１００６は、図２の表示ディスプレイ１０５により実現される。

　通信部１００７は、ＬＡＮ１１０を通じて他の装置と通信を行う。
　例えば、通信部１００７は、ログサーバ１１１からログデータを受信する。
　通信部１００７は、図２の通信ボード１０８により実現される。

　図３に、図２のハードディスク１０４に格納するテーブルを示す。
　ハードディスク１０４には、攻撃事象テーブル２０１、過去事例テーブル２０２、攻撃シナリオテーブル２０３、脅威可視化プログラム２０４が格納されている。
　脅威可視化プログラム２０４は、図５のフェーズ列生成部１００２、類似度算出部１００３及び攻撃状況可視化部１００４を実現するプログラムである。
　脅威可視化プログラム２０４はＲＡＭ１０２にロードされ、ＣＰＵ１０１が、ＲＡＭ１０２から脅威可視化プログラム２０４を読み出し、脅威可視化プログラム２０４を実行して、図５のフェーズ列生成部１００２、類似度算出部１００３及び攻撃状況可視化部１００４の機能を実現する。
　また、図３では図示を省略しているが、ハードディスク１０４はＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）を格納しており、ＣＰＵ１０１はＯＳを利用して脅威可視化プログラム２０４を実行する。

　図４に、ＲＡＭ１０２上に生成されるテーブルを示す。
　ＲＡＭ１０２上には、脅威可視化プログラム２０４により、攻撃フェーズテーブル３０１が生成される。

　図６に、攻撃事象テーブル２０１の構成を示す。
　攻撃事象テーブル２０１は、情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示されるテーブルである。
　図６に示すように、攻撃事象テーブル２０１は、攻撃で発生する各事象について、機器種別４０１、事象ＩＤ４０２、事象説明４０３、フェーズ４０４を有する。
　機器種別４０１には、事象の発生元の機器（ＰＣ１１２、認証サーバ１１３等）が示される。
　事象ＩＤ４０２の欄には、各事象の識別子が示される。
　事象説明４０３の欄には、各事象の概要が示される。
　フェーズ４０４の欄には、攻撃の進行度、段階を表すフェーズの値が示される。
　例えば、攻撃が「侵入」段階にあるときに観測される事象をフェーズ「１」とし、攻撃が「探索」段階にあるときに観測される事象をフェーズ「２」とし、攻撃が「権限昇格」段階にあるときに観測される事象をフェーズ「３」とし、攻撃が「情報窃取」段階にあるときに観測される事象をフェーズ「４」とすることが考えられる。

　図７に、過去事例テーブル２０２の構成を示す。
　過去事例テーブル２０２は、過去の攻撃事例（攻撃シーケンス）で発生した事象が発生順に示されるテーブルである。
　過去事例テーブル２０２は、過去事例ＩＤ５０１、事象ＩＤ列５０２、フェーズ列５０３を有する。
　過去事例ＩＤ５０１の欄には、過去事例の識別子が示される。
　事象ＩＤ列５０２の欄には、過去の攻撃事例で発生した事象の事象ＩＤが発生順に示される。
　フェーズ列５０３の欄には、事象ＩＤ列５０２の欄に示される各事象ＩＤに対応するフェーズ４０４の値を発生順に連結した文字列（フェーズ列）が示される。
　フェーズ列５０３の欄に示される文字列は、攻撃事象進行度列の例に相当する。
　過去事例テーブル２０２は、攻撃事象進行度列テーブルの例に相当する。

　図８に、攻撃シナリオテーブル２０３の構成を示す。
　攻撃シナリオテーブル２０３は、想定される攻撃（攻撃シーケンス）で発生すると想定される事象が発生順に示されるテーブルである。
　実際には発生していないが、発生が想定される攻撃を攻撃シナリオという。
　例えば、過去に実際に発生した攻撃の一部を変形させた攻撃を攻撃シナリオとして用いることが考えられる。
　攻撃シナリオテーブル２０３は、シナリオＩＤ６０１、事象ＩＤ列６０２、フェーズ列６０３を有する。
　シナリオＩＤ６０１の欄には、攻撃シナリオの識別子が示される。
　事象ＩＤ列６０２の欄には、攻撃が行われた場合に発生が想定される事象の事象ＩＤが発生順に示される。
　フェーズ列６０３の欄には、事象ＩＤ列６０２の欄に示される各事象ＩＤに対応するフェーズ４０４の値を発生順に連結した文字列（フェーズ列）が示される。
　フェーズ列６０３の欄に示される文字列は、攻撃事象進行度列の例に相当する。
　攻撃シナリオテーブル２０３も、攻撃事象進行度列テーブルの例に相当する。

　図９に、攻撃フェーズテーブル３０１の構成を示す。
　攻撃フェーズテーブル３０１は、フェーズ列生成部１００２がログサーバ１１１からのログデータを解析し、情報システムにおいて発生した事象の発生パターンに従って生成するテーブルである。
　攻撃フェーズテーブル３０１は、デバイスＩＤ７０１、フェーズ列７０２、最大フェーズ７０３、更新日時７０４、過去事例ＩＤ７０５、事例類似度７０６、シナリオＩＤ７０７、シナリオ類似度７０８を有する。
　デバイスＩＤ７０１の欄には、ＰＣ１１２のＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスが通常示される（デバイスＩＤ７０１は、ＩＰアドレスに限らず、ＰＣを一意に識別できるものであれば、ＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスなどであってもよい）。
　フェーズ列７０２の欄には、ログデータの解析によって抽出された各事象に対応するフェーズ４０４の値を発生順に連結した文字列が示される。
　最大フェーズ７０３の欄には、フェーズ列７０２の中の最も大きな値が示される。
　更新日時７０４の欄には、フェーズ列生成部１００２が最後に参照したログデータに記述されている日時が示される。
　過去事例ＩＤ７０５の欄には、事例類似度７０６の欄に示される類似度の算出元となった過去事例の過去事例ＩＤ５０１が示される。
　事例類似度７０６の欄には、フェーズ列７０２に対して類似度算出部１００３が算出した過去事例の類似度のうち最大の類似度が示される。
　シナリオＩＤ７０７の欄には、シナリオ類似度７０８の欄に示される類似度の算出元となった攻撃シナリオのシナリオＩＤ６０１が示される。
　シナリオ類似度７０８の欄には、フェーズ列７０２に対して類似度算出部１００３が算出した攻撃シナリオの類似度のうち最大の類似度が示される。

　図１０に、セキュリティ脅威分布画面の画面例を示す。
　セキュリティ脅威分布画面８０１は、フェーズ表示８０２、合計数表示８０３、過去事例表示選択ボックス８０４、攻撃シナリオ表示選択ボックス８０５、類似度表示領域８０６を有する。
　フェーズ表示８０２は、フェーズ名を表示する。
　合計数表示８０３は、フェーズに属するデバイスの合計数を表示する。
　過去事例表示選択ボックス８０４は、過去事例との類似性を表示することを選択するためのチェックボックスである。
　攻撃シナリオ表示選択ボックス８０５は、攻撃シナリオとの類似性を表示することを選択するためのチェックボックスである。
　類似度表示領域８０６は、フェーズに属するデバイスを類似度に従って表示する。
　セキュリティ脅威分布画面８０１は、攻撃状況可視化部１００４により生成され、出力部１００６により表示される。

　類似度表示領域８０６において、△は過去事例との類似度を示し、□は攻撃シナリオとの類似度を示す。
　△及び□のそれぞれは、ＰＣ１１２を表している。
　類似度表示領域８０６の横軸は、類似度の値（０．０～１．０）を示し、縦軸は、ＰＣ１１２の個数を示す。
　セキュリティ脅威分布画面８０１では、攻撃フェーズテーブル（図９）のデバイスＩＤごとに、最大フェーズ７０３の値に対応するフェーズの類似度表示領域８０６内に、事例類似度７０６の値に対応する位置に△がプロットされ、シナリオ類似度７０８の値に対応する位置に□がプロットされている。
　例えば、図９の一行目のレコード（デバイスＩＤ：ＩＤ１）では、最大フェーズ７０３が「３」であり、事例類似度７０６が「０．５７」なので、例えば、図１０の符号８０７の位置に△がプロットされる（図１０では、フェーズ３の攻撃シナリオ表示選択ボックス８０５はチェックされていないので、シナリオ類似度７０８の「０．６６」に対する□は表示されない）。
　同様に、図９の二行目のレコード（デバイスＩＤ：ＩＤ２）では、最大フェーズ７０３が「２」であり、事例類似度７０６が「０．５７」なので、例えば、図１０の符号８０８の位置に△がプロットされる（図１０では、フェーズ２の攻撃シナリオ表示選択ボックス８０５はチェックされていないので、シナリオ類似度７０８の「０．５」に対する□は表示されない）。
　このように、セキュリティ脅威分布画面８０１において、ＰＣ１１２ごとに抽出した最大フェーズ７０３と最大の類似度（事例類似度７０６、シナリオ類似度７０８）との関係をプロットし、複数のＰＣ１１２における最大フェーズ７０３と最大の類似度の分布が示されるグラフを表示することで、情報システムに対する攻撃の進行状況を可視化することができる。

　図１１に、セキュリティ成長過程表示画面の画面例を示す。
　セキュリティ成長過程表示画面９０１は、特定のデバイスについての事象の発生過程を、類似する過去事例の発生過程とあわせて表示する成長過程表示領域９０２、これらの発生過程の類似度を表示する類似度表示９０３を有する。
　つまり、セキュリティ成長過程表示画面９０１では、成長過程表示領域９０２において、特定のＰＣ１１２のフェーズ列７０２におけるフェーズ値の遷移と、過去事例ＩＤ７０５に示される過去事例のフェーズ列６０３におけるフェーズ値の遷移とがグラフ表示される。
　また、類似度表示９０３において、当該ＰＣ１１２の事例類似度７０６の値が示される。
　図９では、特定のデバイスについての事象の発生過程を、類似する過去事例の発生過程とあわせて表示する例を示しているが、特定のデバイスについての事象の発生過程を、類似する攻撃シナリオの発生過程とあわせて表示するようにしてもよい。
　セキュリティ成長過程表示画面９０１では、このような形式により、情報システムに対する攻撃の進行状況が可視化される。

　次に動作について説明する。
　一般の利用者は、ＰＣ１１２を使用して、認証サーバ１１３にアクセスし、ユーザＩＤとパスワードによる認証を行ったあと、ファイルサーバ１１４にアクセスする。
　また、当該利用者は、ＰＣ１１２を使用して、メールサーバ１１５にアクセスし、メールの読み書きを行う。
　また、当該利用者は、ＰＣ１１２を使用して、ネットワークプロキシ１１７を介して、さらに、ファイアウォール１１８を介して、インターネット１１９にアクセスする。
　ＰＣ１１２、認証サーバ１１３、ファイルサーバ１１４、メールサーバ１１５、ネットワークプロキシ１１７、ファイアウォール１１８は、一般の利用者のこれら操作において、所定のログデータ（以下、単にログともいう）を出力する。
　また、ＩＤＳ／ＩＰＳ１１６は、ＬＡＮ１１０上に所定の条件に合致するパケットの通信が観測された場合に所定のログデータを出力する。
　これら機器のログデータは、ログサーバ１１１に送られ、ログサーバ１１１において、ログデータに記述されている時刻の時系列に従って記録される。

　脅威可視化システム１００では、ハードディスク１０４上に格納されている脅威可視化プログラム２０４が、ハードディスク１０４からバス１０９を経由してＲＡＭ１０２上にロードされ、ＣＰＵ１０１で実行される。
　脅威可視化プログラム２０４は、ＬＡＮ１１０を経由してログサーバ１１１に時系列で記録されているログを順次取り出す。
　ログサーバ１１１からのログは、記録する個々の発生事象についての、事象発生日時、ログ種別、事象ＩＤ、装置ＩＤ、事象説明が含まれている。
　事象発生日時は、ログに記録されている事象が発生した日時を示す。
　ログ種別は、ログに記録されている事象が発生した機器の種別を示す。
　事象ＩＤは、個々の発生事象の種別を一意に識別できるＩＤを示す。
　装置ＩＤは、事象の発生した装置を一意に識別するＩＤを示す。
　また、パケットなどの通過を記録したログの場合には、送信元の装置ＩＤと送信先の装置ＩＤの２つの装置ＩＤを含む。
　事象説明は、発生した個々の事象の詳細についての説明を示す。

　図１２は、取り出したログに記録されている発生事象の一つ一つについて、脅威可視化システム１００が実行する処理の大まかな流れを示したものである。
　図１２に示すステップＳ１００１～Ｓ１００３の処理は、例えば、５分周期で繰り返し実行される。
　なお、５分周期は単なる例示であり、情報システムの規模やセキュリティポリシーに応じて任意の周期とすることが可能である。
　なお、図１２～図１８のフローチャートでは、フェーズ列生成部１００２、類似度算出部１００３及び攻撃状況可視化部１００４の動作として処理手順を説明する。
　また、図１３～図１８で説明する変数値やカウンタ値は、例えば、ＣＰＵ１０１のレジスタやＲＡＭ１０２で管理される。

　ステップＳ１００１では、フェーズ列生成部１００２が、取り出したログに記録されている発生事象を元にＰＣ１１２についての攻撃フェーズ列（詳細は後述）を作成する。
　次に、ステップＳ１００２において、類似度算出部１００３が、ステップＳ１００１で作成した攻撃フェーズ列と過去事例との類似度、ステップＳ１００１で作成した攻撃フェーズ列と攻撃シナリオとの類似度を算出する。
　さらに、ステップＳ１００３で、攻撃状況可視化部１００４が、ステップＳ１００１で作成した攻撃フェーズ列とステップＳ１００２で算出した類似度を表示ディスプレイ１０５上に表示する。

　図１３は、ステップＳ１００１の処理を詳しく説明したものである。

　ステップＳ２００１では、フェーズ列生成部１００２は、取り出したログに記録されている発生事象の装置ＩＤに該当するＰＣ１１２に関する最大フェーズ７０３が０かを判定する。
　ステップＳ２００１で最大フェーズ７０３が０の場合には、フェーズ列生成部１００２は、ステップＳ２００４を実行する。

　ステップＳ２００１で最大フェーズ７０３が０でない場合には、フェーズ列生成部１００２は、ステップＳ２００２で、事象発生日時とＰＣ１１２に関する更新日時７０４との差がＴ_１以上かを判定する。
　ステップＳ２００２で、日時の差がＴ_１以上の場合には、フェーズ列生成部１００２は、ステップＳ２００３で、攻撃フェーズテーブル３０１上のＰＣ１１２に関する記録を初期化する。
　具体的には、フェーズ列生成部１００２は、フェーズ列７０２を０に、最大フェーズ７０３を０に、更新日時７０４を記録なし（―）に更新する。

　ステップＳ２００２で、日時の差がＴ_１に満たない場合には、フェーズ列生成部１００２は、ステップＳ２００４を実行する。
　ステップＳ２００４では、フェーズ列生成部１００２は、取り出したログに記録されている発生事象の事象ＩＤと一致する事象ＩＤが攻撃事象テーブル２０１にあるかを事象ＩＤ４０２により判定する。
　ステップＳ２００４で、ログに記録されている発生事象の事象ＩＤに一致する事象ＩＤが攻撃事象テーブル２０１にない場合には、フェーズ列生成部１００２は処理を終了する。

　一方、ステップＳ２００４で、ログに記録されている発生事象の事象ＩＤと一致する事象ＩＤが攻撃事象テーブル２０１にある場合には、フェーズ列生成部１００２は、ステップＳ２００５で、該当する事象のフェーズ値を、攻撃フェーズテーブル３０１上のＰＣ１１２に関する記録のフェーズ列７０２の最後に追加する。
　次に、フェーズ列生成部１００２は、ステップＳ２００６で、攻撃事象テーブル２０１から得られた先のフェーズ値と、攻撃フェーズテーブル３０１上のＰＣ１１２に関する記録の最大フェーズ７０３と比較する。
　ステップＳ２００６で、フェーズ値が最大フェーズ７０３より大きくない場合には、フェーズ列生成部１００２は、ステップＳ２００８で、攻撃フェーズテーブル３０１上のＰＣ１１２に関する記録の、更新日時７０４を発生事象の事象発生日時で置き換えて更新し、処理を終了する。

　一方、ステップＳ２００６で、フェーズ値が最大フェーズ７０３より大きい場合には、フェーズ列生成部１００２は、ステップＳ２００７で、攻撃フェーズテーブル３０１上のＰＣ１１２に関する記録の最大フェーズ７０３を、このフェーズ値で置き換えて更新したあと、ステップＳ２００８を実行する。

　図１４は、ステップＳ１００２の処理を詳しく説明したものである。

　ステップＳ３００１では、類似度算出部１００３は、過去事例テーブル２０２の過去事例ＩＤ５０１を記憶するための変数Ａを最初のＩＤである０００１で、類似度を記憶するための変数Ｂを０で、それぞれ初期化する。
　次に、類似度算出部１００３は、ステップＳ３００２で、変数Ａの過去事例ＩＤのフェーズ列５０３とＰＣ１１２のフェーズ列７０２との類似度Ｓを算出する。
　類似度Ｓの算出は、具体的には、挿入、削除、置換を１つの編集操作として２つの文字列間の編集距離を算出するレーベンシュタイン編集距離算出関数をＤとし、変数Ａの過去事例ＩＤのフェーズ列５０３をＰ１、ＰＣ１１２のフェーズ列７０２をＰ２とした場合に、次の式により行う。
　なお次式において、｜ｘ｜は、文字列ｘの長さ、Ｍａｘ（）は、複数の引数のうち、引数の値が大きい方を返す関数である。

　次に、類似度算出部１００３は、ステップＳ３００３で、ステップＳ３００２で算出した類似度Ｓが、変数Ｂの類似度より大きいかを判定する。
　ステップＳ３００３で、類似度Ｓの方が変数Ｂの類似度より大きい場合には、類似度算出部１００３は、ステップＳ３００４で、攻撃フェーズテーブル３０１のＰＣ１１２に関する事例類似度７０６と変数Ｂを類似度Ｓで更新し、攻撃フェーズテーブル３０１のＰＣ１１２に関する過去事例ＩＤ７０５を変数Ａで更新する。
　次に、類似度算出部１００３は、ステップＳ３００５で、変数Ａが過去事例テーブル２０２の最後の過去事例ＩＤであるかをチェックし、最後の過去事例ＩＤでない場合には、ステップＳ３００６で変数Ａを過去事例テーブル２０２の次の過去事例ＩＤに更新し、ステップＳ３００２以降の処理を繰り返す。

　一方、ステップＳ３００５で、変数Ａが過去事例テーブル２０２の最後の過去事例ＩＤの場合には、次にステップＳ３００７を実行する。
　類似度算出部１００３は、ステップＳ３００７では、攻撃シナリオテーブル２０３のシナリオＩＤ６０１を記憶するための変数Ｃを最初のＩＤである０００１で、類似度を記憶するための変数Ｅを０で、それぞれ初期化する。
　次に、類似度算出部１００３は、ステップＳ３００８で、変数ＣのシナリオＩＤのフェーズ列６０３とＰＣ１１２のフェーズ列７０２との類似度Ｓを算出する。
　類似度Ｓの算出は、ステップＳ３００２と同じ式により算出する。

　次に、類似度算出部１００３は、ステップＳ３００９で、ステップＳ３００８で算出した類似度Ｓが、変数Ｅの類似度より大きいかを判定する。
　ステップＳ３００９で、類似度Ｓの方が変数Ｅの類似度より大きい場合には、類似度算出部１００３は、ステップＳ３０１０で、攻撃フェーズテーブル３０１のＰＣ１１２に関するシナリオ類似度７０８と変数Ｅを類似度Ｓで更新し、攻撃フェーズテーブル３０１のＰＣ１１２に関するシナリオＩＤ７０７を変数Ｃの値で更新する。
　次に、類似度算出部１００３は、ステップＳ３０１１で、変数Ａが攻撃シナリオテーブル２０３の最後の過去事例ＩＤであるかをチェックし、最後のシナリオＩＤでない場合には、ステップＳ３０１２で変数Ｃを攻撃シナリオテーブル２０３の次のシナリオＩＤに更新し、ステップＳ３００８以降の処理を繰り返す。
　一方、ステップＳ３０１１で、変数Ｃが攻撃シナリオテーブル２０３の最後のシナリオＩＤの場合には、処理を終了する。

　図１５～図１７は、ステップＳ１００３の処理を詳しく説明したものである。

　ステップＳ４００１では、攻撃状況可視化部１００４は、デバイスＩＤ用変数Ｆに０００１をセットし、４つのカウンタＮ１～Ｎ４を０に初期化する（図１５）。
　次に、攻撃状況可視化部１００４は、ステップＳ４００２で、変数ＦのデバイスＩＤが最後のデバイスＩＤより大きいかをチェックする（図１５）。
　ステップＳ４００２で、変数ＦのデバイスＩＤが最後のデバイスＩＤより大きい場合には、攻撃状況可視化部１００４は、ステップＳ４０２５で、カウンタＮ１からＮ４の値をフェーズ１から４の合計表示８０３に表示する（図１５）。
　ステップＳ４００２で変数ＦのデバイスＩＤが最後のデバイスＩＤより大きくない場合には、ステップＳ４００３で最大フェーズ７０３の値により、次の処理を変える。

　最大フェーズ７０３が１の場合には、攻撃状況可視化部１００４は、ステップＳ４００４で、フェーズ１の過去事例表示選択ボックス８０４がチェックされているか確認する（図１６）。
　ステップＳ４００４で過去事例表示選択ボックス８０４がチェックされている場合には、攻撃状況可視化部１００４は、ステップＳ４００５で、フェーズ１の類似度表示領域８０６内の事例類似度７０６の値に対応する位置に‘△’を描画する（図１６）。
　次に、攻撃状況可視化部１００４は、ステップＳ４００６で、フェーズ１の攻撃シナリオ表示選択ボックス８０５がチェックされているか確認する（図１６）。
　ステップＳ４００６で攻撃シナリオ表示選択ボックス８０５がチェックされている場合には、攻撃状況可視化部１００４は、ステップＳ４００７で、フェーズ１の類似度表示領域８０６内のシナリオ類似度７０８の値に対応する位置に‘□’を描画する（図１６）。
　次に、攻撃状況可視化部１００４は、ステップＳ４００８でカウンタＮ１を１増加する（図１６）。
　この後、攻撃状況可視化部１００４は、ステップＳ４０２４で、デバイスＩＤを記憶している変数Ｆを１増加し、ステップＳ４００２以降の処理を繰り返す。

　ステップＳ４００３で最大フェーズが、２、３、４の場合も、図１６及び図１７に示すように同様の処理を行う。
　最大フェーズが、２、３、４の場合も、攻撃状況可視化部１００４の動作は同じなので、説明は省略する。

　一方で、ステップＳ４００３で最大フェーズが０の場合には、攻撃状況可視化部１００４は、ステップＳ４０２４で、デバイスＩＤを記憶している変数Ｆを１増加し、ステップＳ４００２以降の処理を繰り返す。

　図１８は、図１０のセキュリティ脅威分布表示に表示されている△または□をマウス１０７で選択した際に表示されるセキュリティ成長過程表示画面９０１を表示する際の処理を説明したものである。

　攻撃状況可視化部１００４は、ステップＳ５００１で、攻撃フェーズテーブル３０１から、選択されたデバイスＩＤに関するフェーズ列７０２を取得する。
　次に、攻撃状況可視化部１００４は、ステップＳ５００２で、先に取得したフェーズ列７０２に従いグラフを成長過程表示領域９０２に表示する。
　次に、攻撃状況可視化部１００４は、ステップＳ５００３で、選択されたのが過去事例かをチェックする。
　ステップＳ５００３のチェックで選択されたものが過去事例の場合には、攻撃状況可視化部１００４は、ステップＳ５００４で、攻撃フェーズテーブル３０１から選択されたデバイスＩＤに関する過去事例ＩＤ７０５を取得する。
　次に、ステップＳ５００５で、攻撃状況可視化部１００４は、過去事例テーブル２０２から過去事例ＩＤ７０５に対応するフェーズ列５０３を取得する。
　次に、攻撃状況可視化部１００４は、ステップＳ５００６で、フェーズ列５０３に従いグラフを成長過程表示領域９０２に表示する。
　次に、攻撃状況可視化部１００４は、ステップＳ５００７で、事例類似度７０６を類似度表示９０３に表示し、処理を終了する。

　ステップＳ５００３で、選択されたのが過去事例でない場合には、攻撃状況可視化部１００４は、ステップＳ５００８からステップＳ５０１１の処理を実行し、フェーズ列６０３に従いグラフを成長過程表示領域９０２に表示し、シナリオ類似度７０８を類似度表示９０３に表示する（処理はステップＳ５００４からＳ５００７と同様のため、省略する。）。

　以上のように、本実施の形態に係る脅威可視化システムは、脅威の成長過程を攻撃のフェーズに分けて、過去の事例や攻撃シナリオとの類似性に基づいて可視化して表示するので、ユーザは、脅威の重大さを類似性を元に判断することができる。
　また、本実施の形態に係る脅威可視化システムは、脅威の成長過程を可視化して表示するので、ユーザは、脅威がどの程度成長しているのかを把握することが可能である。

　以上、本実施の形態では、
　脅威を攻撃のフェーズに分けた攻撃事象テーブルと、過去事例で発生した事象を攻撃のフェーズに分けて記録した過去事例テーブルとを用い、フェーズ毎に過去事例との類似度に基づいて進行中の脅威を表示する脅威可視化方式を説明した。

　また、本実施の形態では、
　脅威を攻撃のフェーズに分けた攻撃事象テーブルと、攻撃シナリオに基づき発生する事象を攻撃のフェーズに分けて記録する攻撃シナリオテーブルとを用い、フェーズ毎に攻撃シナリオとの類似度に基づいて進行中の脅威を表示する脅威可視化方法を説明した。

　また、本実施の形態では、
　進行中の脅威の発生しているデバイスを、侵攻した攻撃のフェーズ毎に合計して表示する、脅威可視化方法を説明した。

　また、本実施の形態では、
　脅威の成長過程を、類似する過去事例の成長過程とあわせてグラフで表示する、脅威可視化方法を説明した。

　また、本実施の形態では、
　脅威の成長過程を、類似する攻撃シナリオの成長過程とあわせてグラフで表示する、脅威可視化方法を説明した。

　１００　脅威可視化システム、１００１　テーブル記憶部、１００２　フェーズ列生成部、１００３　類似度算出部、１００４　攻撃状況可視化部、１００５　入力部、１００６　出力部、１００７　通信部。

Claims

　情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示される攻撃事象テーブルを記憶する攻撃事象テーブル記憶部と、
　攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶する攻撃事象進行度列テーブル記憶部と、
　前記情報システムにおいて発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出する発生事象進行度列導出部と、
　前記発生事象進行度列導出部により導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される攻撃事象進行度列との類似度を算出する類似度算出部と、
　前記発生事象進行度列導出部により得られた発生事象進行度列と、前記類似度算出部による類似度の算出結果とに基づき、前記情報システムに対する攻撃の進行状況を可視化する攻撃状況可視化部とを有することを特徴とする情報処理装置。
　前記攻撃事象進行度列テーブル記憶部は、
　複数の攻撃シーケンスの各々に対して、各攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶し、
　前記類似度算出部は、
　前記発生事象進行度列導出部により導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される複数の攻撃事象進行度列の各々との類似度を算出し、
　前記攻撃状況可視化部は、
　前記発生事象進行度列導出部により導出された発生事象進行度列に含まれる進行度の中から最大の進行度を抽出し、
　前記類似度算出部により算出された複数の類似度の中から最大の類似度を抽出し、
　抽出した最大進行度と最大類似度とを用いて、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項１に記載の情報処理装置。
　前記情報処理装置は、
　複数の端末装置が含まれる情報システムを対象とし、
　前記発生事象進行度列導出部は、
　前記情報システムに含まれる端末装置ごとに、各端末装置において発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出し、
　前記類似度算出部は、
　端末装置ごとに、前記発生事象進行度列導出部により導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される複数の攻撃事象進行度列の各々との類似度を算出し、
　前記攻撃状況可視化部は、
　端末装置ごとに、前記発生事象進行度列導出部により導出された発生事象進行度列に含まれる進行度の中から最大の進行度を抽出し、
　端末装置ごとに、前記類似度算出部により算出された複数の類似度の中から最大の類似度を抽出し、
　端末装置ごとに抽出した最大進行度と最大類似度とを用いて、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項２に記載の情報処理装置。
　前記攻撃状況可視化部は、
　端末装置ごとに抽出した最大進行度と最大類似度との関係をプロットし、前記複数の端末装置における最大進行度と最大類似度の分布が示されるグラフを表示して、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項３に記載の情報処理装置。
　前記攻撃状況可視化部は、
　進行度ごとに、その進行度が最大進行度となっている端末装置の数を表示して、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項４に記載の情報処理装置。
　前記情報処理装置は、
　複数の端末装置が含まれる情報システムを対象とし、
　前記攻撃事象進行度列テーブル記憶部は、
　複数の攻撃シーケンスの各々に対して、各攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶し、
　前記発生事象進行度列導出部は、
　前記情報システムに含まれる端末装置ごとに、各端末装置において発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出し、
　前記類似度算出部は、
　端末装置ごとに、前記発生事象進行度列導出部により得られた発生事象進行度列と、前記攻撃事象進行度列テーブルに示される複数の攻撃事象進行度列の各々との類似度を算出し、
　前記攻撃状況可視化部は、
　特定の端末装置に対して算出された複数の類似度の中で最大の類似度の算出に用いられた攻撃事象進行度列を選択し、
　前記特定の端末装置の発生事象進行度列における進行度の遷移と、選択した攻撃事象進行度列における進行度の遷移とを示すグラフを表示して、前記情報システムに対する攻撃の進行状況を可視化することを特徴とする請求項１～５のいずれかに記載の情報処理装置。
　前記攻撃事象進行度列テーブル記憶部は、
　過去の攻撃の攻撃シーケンスに対して、攻撃事象進行度列が示される攻撃事象進行度列テーブルを記憶することを特徴とする請求項１～６のいずれかに記載の情報処理装置。
　前記攻撃事象進行度列テーブル記憶部は、
　想定される攻撃の攻撃シーケンスに対して、攻撃事象進行度列が示される攻撃事象進行度列テーブルを記憶することを特徴とする請求項１～７のいずれかに記載の情報処理装置。
　情報システムに対する攻撃によって発生する複数の事象の各々に対して、各事象が発生したときの攻撃の進行度が示される攻撃事象テーブルを記憶する攻撃事象テーブル記憶部と、
　攻撃シーケンスにおける事象の発生パターンに従って対応する事象の進行度を連結して得られた文字列が、攻撃事象進行度列として示される攻撃事象進行度列テーブルを記憶する攻撃事象進行度列テーブル記憶部とを有するコンピュータが行う情報処理方法であって、
　前記コンピュータが、前記情報システムにおいて発生した事象の発生パターンに従って対応する事象の進行度を連結し、文字列である発生事象進行度列を導出し、
　前記コンピュータが、導出された発生事象進行度列と、前記攻撃事象進行度列テーブルに示される攻撃事象進行度列との類似度を算出し、
　前記コンピュータが、導出された発生事象進行度列と、類似度の算出結果とに基づき、前記情報システムに対する攻撃の進行状況を可視化する攻撃状況可視化ステップとを有することを特徴とする情報処理方法。
　コンピュータを、請求項１に記載された情報処理装置として機能させることを特徴とするプログラム。