WO2016147403A1

WO2016147403A1 - 情報処理装置及び情報処理方法及び情報処理プログラム

Info

Publication number: WO2016147403A1
Application number: PCT/JP2015/058335
Authority: WO
Inventors: 裕美小野; 田中　学
Original assignee: 三菱電機株式会社; 三菱電機インフォメーションシステムズ株式会社
Priority date: 2015-03-19
Filing date: 2015-03-19
Publication date: 2016-09-22

Abstract

　情報処理装置（１２０）は、過去に検出されたセキュリティインシデントの属性値が複数記述される過去インシデント情報を記憶する過去インシデント情報記憶装置（Ｔ３）に接続されている。情報取得部（１３０）は、新たに検出されたセキュリティインシデントの属性値が複数記述される新規インシデント情報を取得する。インシデント情報評価部（１６０）は、過去インシデント情報記憶装置（Ｔ３）から過去インシデント情報を読み出し、過去インシデント情報と新規インシデント情報との間で属性値の一致状況を、部分一致を含めて評価し、属性値の一致状況の評価結果に基づき、過去インシデント情報と新規インシデント情報との関連度を算出する。

Description

情報処理装置及び情報処理方法及び情報処理プログラム

　本発明は、インシデント情報を管理する技術に関する。

　セキュリティ機器が新たにセキュリティインシデント（以下、単にインシデントともいう）を検知した場合に、オペレータが、当該セキュリティインシデントの内容が記述されるインシデント情報を生成する。
　そして、オペレータは、既にデータベースに登録されている過去のインシデント情報（以下、過去インシデント情報という）の中から、新たに生成したインシデント情報（以下、新規インシデント情報という）に関連する過去インシデント情報を検索する。
　そして、オペレータは、検索した過去インシデント情報に記述される、過去のセキュリティインシデントに対する対応処置を参考にして、セキュリティ機器が新たに検知したセキュリティインシデントに対する対応処置を選択する。

　インシデント情報の検索に関連する技術として特許文献１に記載の技術がある。
　特許文献１に記載のインシデント監視装置は、インシデント名ごとにインシデントの分析のための分析用情報を生成する。

特開２０１０－２３７９７５号公報

　前述のように、セキュリティ機器が新たなセキュリティインシデントを検知した場合に、オペレータは、新規インシデント情報に関連する過去インシデント情報を検索する。
　このため、オペレータの検索スキルの差異によって検索結果に差異が生じる。
　特許文献１で得られる分析用情報を過去インシデント情報の検索に用いることで、オペレータごとの検索スキルの差異に起因する検索結果の差異を吸収することが可能である。
　しかしながら、特許文献１のインシデント監視装置は、インシデント名ごとに分析用情報を生成する。
　一般的に、セキュリティ機器のベンダごとにインシデント名が異なる。
　このため、特許文献１の技術では、複数のベンダのセキュリティ機器を利用する場合は、分析用情報の生成ために、インシデント名の名寄せが必要である。

　本発明は、このような事情に鑑みたものであり、インシデント名の名寄せを伴わずに、新規インシデント情報に関連する過去のインシデント情報を取得可能にすることを主な目的とする。

　本発明に係る情報処理装置は、
　過去に検出されたセキュリティインシデントの属性値が複数記述される過去インシデント情報を記憶する過去インシデント情報記憶装置に接続されている情報処理装置であって、
　新たに検出されたセキュリティインシデントの属性値が複数記述される新規インシデント情報を取得する情報取得部と、
　前記過去インシデント情報記憶装置から前記過去インシデント情報を読み出し、前記過去インシデント情報と前記新規インシデント情報との間で属性値の一致状況を、部分一致を含めて評価し、属性値の一致状況の評価結果に基づき、前記過去インシデント情報と前記新規インシデント情報との関連度を算出するインシデント情報評価部とを有する。

　本発明では、過去インシデント情報と新規インシデント情報との間でインシデント名を含む複数の属性値の一致状況を、部分一致を含めて評価することができ、評価結果に基づき、過去インシデント情報と新規インシデント情報との関連度を算出することができる。
　このため、本発明によれば、セキュリティ機器のベンダことにインシデント名が異なっていても、インシデント名の名寄せを行わずに、ベンダごとのインシデント名の違いを吸収して新規インシデント情報に関連する過去インシデント情報を取得することができる。

実施の形態１に係るシステム構成例を示す図。実施の形態１に係る新規インシデント情報の例を示す図。実施の形態１に係るパラメータ情報の例を示す図。実施の形態１に係る過去インシデント情報の例を示す図。実施の形態１に係るインシデント抽出処理の例を示すフローチャート図。実施の形態１に係る入力処理の例を示すフローチャート図。実施の形態１に係るパラメータ設定処理の例を示すフローチャート図。実施の形態１に係る計算処理の例を示すフローチャート図。実施の形態１に係る関連度の計算処理の例を示すフローチャート図。実施の形態１に係る一致度評価処理の例を示すフローチャート図。実施の形態２に係るシステム構成例を示す図。実施の形態２に係る学習データの例を示す図。実施の形態２に係るパラメータ設定処理の例を示すフローチャート図。実施の形態１及び２に係る情報処理装置のハードウェア構成例を示す図。

　実施の形態１．
＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係るシステム構成例を示す。

　図１において、入力装置１１０は、オペレータが新規インシデント情報を生成する際に用いられる。
　新規インシデント情報は、新たに発生したセキュリティインシデント（以下、新規インシデントともいう）を通知する情報である。

　情報処理装置１２０は、新規インシデント情報と過去インシデント情報とを管理する。
　過去インシデント情報は、過去に発生したセキュリティインシデント（過去インシデントともいう）についてのインシデント情報である。
　より具体的には、情報処理装置１２０は、入力装置１１０から新規インシデント情報を取得し、新規インシデント情報と複数の過去インシデント情報の各々との関連度を算出し、関連度の順に過去インシデント情報を列挙する過去インシデント情報リストを生成する。
　なお、新規インシデント情報と過去インシデント情報とを区別する必要がない場合は、両者を合わせてインシデント情報という。
　情報処理装置１２０は、入力装置１１０、出力装置１８０、新規インシデント情報記憶装置Ｔ１、パラメータ記憶装置Ｔ２及び過去インシデント情報記憶装置Ｔ３に接続されている。

　出力装置１８０は、情報処理装置１２０により生成された過去インシデント情報リストを出力する。

　新規インシデント情報記憶装置Ｔ１は、図２に例示する新規インシデント情報を一時的に記憶する。
　新規インシデント情報には、新たに検出されたセキュリティインシデントの属性値が複数記述される。
　新規インシデント情報には、基本情報とログ情報が含まれる。
　基本情報は、セキュリティ機器のベンダ名、製品名である。
　ログ情報は、セキュリティ機器が検出したインシデントに関する情報であり、具体的には、シグニチャＩＤ（Ｉｄｅｎｔｉｆｉｅｒ）、アラート種別、外部ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレス、内部ＩＰアドレス、時刻である。
　なお、図２では、簡明化のため、時刻は年月日までの記載となっているが、時分秒まで記載するようにしてもよい。
　また、シグニチャＩＤ及びアラート種別が、インシデント名に相当する。

　過去インシデント情報記憶装置Ｔ３は、図４に例示するように、複数の過去インシデント情報を記憶する。
　過去インシデント情報には、過去インシデントの属性値が複数記述される。
　過去インシデント情報において、過去インシデント情報ＩＤは、過去インシデント情報の識別子である。
　過去インシデント情報には、新規インシデント情報に含まれる項目Ｎまでの項目が含まれ、更に、対応処置の項目が含まれる。
　対応処置の項目には、オペレータが過去インシデントに対して実施した対応処置が記述される。
　なお、図４では、作図上の理由により、項目Ｎの図示が省略されているが、過去インシデント情報には、新規インシデント情報と同様に、項目Ｎが含まれている。

　パラメータ記憶装置Ｔ２は、図３に例示するパラメータ情報を記憶する。
　パラメータ情報では、新規インシデント情報と過去インシデント情報との関連度を算出するための複数のパラメータが定義される。
　パラメータ情報では、インシデント情報に含まれる複数の項目（シグニチャＩＤ、アラート種別、外部ＩＰアドレス、内部ＩＰアドレス、時刻、ベンダ名、製品名、項目Ｎ等）の項目ごとに、パラメータとして重要度と一致度とが定義されている。
　一致度は、完全一致、部分一致、不一致に区分される。
　完全一致の欄に記述されている評価点は、新規インシデント情報と過去インシデント情報との間で属性値が完全に一致する場合に用いられる評価点である。
　部分一致の欄に記述されている評価点は、新規インシデント情報と過去インシデント情報との間で属性値が部分的に一致する場合に用いられる評価点である。
　不一致の欄に記述されている評価点は、新規インシデント情報と過去インシデント情報との間で属性値が一致しない場合に用いられる評価点である。
　一部の項目では、部分一致の評価点が設定されていない。
　部分一致の評価点が設定されていない項目では「－」が記述される。
　重要度は、一致度の評価点に加重される係数である。
　例えば、新規インシデント情報と過去インシデント情報との間で、シグニチャＩＤの値が完全に一致していた場合は、１．０×０．９５＝０．９５という計算が行われる。
　他の項目においても同様の計算が行われて、全ての項目の積値が加算されて、新規インシデント情報と過去インシデント情報との関連度の値が得られる。

　次に、情報処理装置１２０の内部構成を説明する。
　情報処理装置１２０において、情報取得部１３０は、入力装置１１０から、新規インシデント情報を取得する。
　そして、情報取得部１３０は、新規インシデント情報を新規インシデント情報記憶装置Ｔ１に格納する。

　関連インシデント抽出部１４０は、パラメータ設定部１５０、インシデント情報評価部１６０、リスト生成部１７０で構成される。

　パラメータ設定部１５０は、図３に例示したパラメータ情報を生成する。
　つまり、項目ごとに重要度及び一致度を設定してパラメータ情報を生成する。
　パラメータ設定部１５０は、生成したパラメータ情報をパラメータ記憶装置Ｔ２に格納する。

　インシデント情報評価部１６０は、過去インシデント情報記憶装置Ｔ３から複数の過去インシデント情報を読み出す。
　そして、インシデント情報評価部１６０は、パラメータ情報を用いて、複数の過去インシデント情報の各々と新規インシデント情報との間で属性値の一致状況を、部分一致を含めて評価し、属性値の一致状況の評価結果に基づき、複数の過去インシデント情報の各々と新規インシデント情報との関連度を算出する。

　リスト生成部１７０は、過去インシデント情報リストを生成する。
　過去インシデント情報リストは、インシデント情報評価部１６０により算出された関連度の順に、複数の過去インシデント情報が列挙されるリストである。

＊＊＊動作の説明＊＊＊
　次に、本実施の形態に係る情報処理装置１２０の動作例を説明する。
　なお、以下で説明する情報処理装置１２０の動作例は、本願の情報処理方法及び情報処理プログラムの処理例に相当する。

　図５は、インシデント抽出処理を示すフローチャートである。

　まず、Ｓ１１０で、情報取得部１３０が入力装置１１０から新規インシデント情報を取得する（情報取得処理）。
　次に、Ｓ１３０で、情報取得部１３０が、新規インシデント情報を新規インシデント情報記憶装置Ｔ１に格納する。
　次に、Ｓ１５１で、パラメータの設定の要否が確認される。
　パラメータ記憶装置Ｔ２にパラメータ情報が記憶されていなければ、パラメータの設定が必要であり（Ｓ１５１でＹＥＳ）、パラメータ記憶装置Ｔ２にパラメータ情報が既に記憶されていれば、パラメータの設定は不要である（Ｓ１５１でＮＯ）。
　パラメータの設定が必要な場合（Ｓ１５１でＹＥＳ）は、Ｓ１５２で、パラメータ設定部１５０が項目単位でパラメータ（重要度、一致度）を設定して、図３に例示したパラメータ情報を生成し、生成したパラメータ情報をパラメータ記憶装置Ｔ２に格納する。

　一方、パラメータの設定が不要な場合（Ｓ１５１でＮＯ）は、Ｓ１６０で、インシデント情報評価部１６０が、計算処理を行う（インシデント情報評価処理）。
　具体的には、インシデント情報評価部１６０は、新規インシデント情報記憶装置Ｔ１から新規インシデント情報を読み出し、パラメータ記憶装置Ｔ２からパラメータ情報を読み出し、過去インシデント情報記憶装置Ｔ３から複数の過去インシデント情報を読み出し、パラメータ情報に基づいて、新規インシデント情報と過去インシデント情報の各々との関連度を計算する。
　次に、Ｓ１７０において、リスト生成部１７０が、インシデント情報評価部１６０により計算された関連度の順に複数の過去インシデント情報を並べ替えて過去インシデント情報リストを生成する。
　最後に、Ｓ１８０において、リスト生成部１７０が、過去インシデント情報リストを出力する。

　過去インシデント情報リストが出力されると、オペレータは、例えば、上位の過去インシデント情報の対応処置を参考にして、新規インシデントに対する対応処置を選択し、選択した対応処置を実施する。
　そして、オペレータは、新規インシデント情報に対応処置のカラムを追加し、追加した対応処置のカラムに、入力装置１１０を用いて、実施した対応処置を記述する。
　そして、対応処置が記述された後の新規インシデント情報が、過去インシデント情報として過去インシデント情報記憶装置Ｔ３に格納される。

　図６は、図５の入力処理（Ｓ１１０）の詳細を示すフローチャートである。

　先ず、Ｓ１１１で、情報取得部１３０が出力装置１８０に入力画面を表示する。
　入力画面は、オペレータが新規インシデント情報を入力するための画面である。

　次に、Ｓ１１２で、オペレータが、新規インシデントを検知したセキュリティ機器の基本情報を入力装置１１０を用いて入力画面に入力する。
　出力装置１８０は、入力装置１１０からセキュリティ機器の基本情報を取得する。

　次に、Ｓ１１３で、オペレータが、セキュリティ機器が検知した新規インシデントに関するログ情報を入力装置１１０を用いて入力画面に入力する。
　出力装置１８０は、入力装置１１０からログ情報を取得する。
　出力装置１８０は、Ｓ１１２で入力された基本情報とＳ１１３で入力されたログ情報とを組み合わせて図２に例示した新規インシデント情報を得る。

　図７は、図５のパラメータ設定処理（Ｓ１５２）の詳細を示すフローチャートである。

　先ず、Ｓ１５２１で、パラメータ設定部１５０が出力装置１８０にパラメータ設定画面を表示する。
　パラメータ設定画面は、オペレータがパラメータを設定するための画面である。

　次に、Ｓ１５２２で、オペレータは、インシデント情報の複数の項目のうちパラメータを設定する項目を選択する。

　次に、Ｓ１５２３で、管理者は、Ｓ１５２２で選択した項目の重要度の値と一致度の値を入力する。
　パラメータ設定部１５０は、入力装置１１０から管理者が入力した各項目の重要度の値と一致度の値を取得し、図３に例示したパラメータ情報を生成する。
　そして、パラメータ設定部１５０は、生成したパラメータ情報をパラメータ記憶装置Ｔ２に格納する。

　図８は、図５の計算処理（Ｓ１６０）の詳細を示すフローチャートである。

　先ず、Ｓ１６１で、インシデント情報評価部１６０が、新規インシデント情報と１つの過去インシデント情報との関連度を計算する。
　そして、過去インシデント情報記憶装置Ｔ３で記憶されている全ての過去インシデント情報について、新規インシデント情報との関連度を計算するまで、インシデント情報評価部１６０は、Ｓ１６１の処理を繰り返す（Ｓ１６２）。

　図９は、図８の関連度の計算処理（Ｓ１６１）の詳細を示すフローチャートである。

　先ず、Ｓ１６１１で、インシデント情報評価部１６０は、新規インシデント情報記憶装置Ｔ１から新規インシデント情報を読み出す。
　なお、インシデント情報評価部１６０は、新規インシデント情報記憶装置Ｔ１から読み出した新規インシデント情報をキャッシュエリアにキャッシュすればよいので、一度新規インシデント情報を読み出せば、再度読み出す必要はない。

　次に、Ｓ１６１２で、インシデント情報評価部１６０は、過去インシデント情報記憶装置Ｔ３から、まだ読み出していない過去インシデント情報を読み出す。

　次に、Ｓ１６１３で、インシデント情報評価部１６０は、パラメータ記憶装置Ｔ２からパラメータ情報を読み出す。
　なお、インシデント情報評価部１６０は、パラメータ記憶装置Ｔ２から読み出したパラメータ情報をキャッシュエリアにキャッシュすればよいので、一度パラメータ情報を読み出せば、再度読み出す必要はない。

　次に、Ｓ１６１４で、インシデント情報評価部１６０は、項目ごとに、新規インシデント情報と過去インシデント情報の一致度を評価する。

　次に、Ｓ１６１５で、インシデント情報評価部１６０は、項目ごとに、Ｓ１６１４の評価で得られた評価点と、重要度との積を計算する。
　例えば、新規インシデント情報と過去インシデント情報との間でシグニチャＩＤの値が完全に一致している場合は、Ｓ１６１４で「１．０」との評価点が得られており、インシデント情報評価部１６０は、一致度の評価点「１．０」とシグニチャＩＤの重要度「０．９５」との積を計算する。

　次に、Ｓ１６１６で、インシデント情報評価部１６０は、インシデント情報に含まれる全ての項目についてＳ１６１４とＳ１６１５の処理を行っているか否かを判定する。
　Ｓ１６１４とＳ１６１５の処理が行われていない項目がある場合（Ｓ１６１６でＮＯ）は、インシデント情報評価部１６０は、当該項目に対してＳ１６１４とＳ１６１５の処理を行う。
　全ての項目に対してＳ１６１４とＳ１６１５の処理が行われている場合（Ｓ１６１６でＹＥＳ）は、インシデント情報評価部１６０は、Ｓ１６１７に進む。

　Ｓ１６１７では、インシデント情報評価部１６０は、Ｓ１６１５で得られた積値の全項目分の総和を計算する。

　図１０は、図９の一致度評価処理（Ｓ１６１４）の詳細を示すフローチャートである。

　Ｓ１６１４１では、インシデント情報評価部１６０は、対象となる項目での新規インシデント情報の属性値と過去インシデント情報の属性値とを比較する。
　Ｓ１６１４２では、インシデント情報評価部１６０は、Ｓ１６１４１での比較結果（完全一致、部分一致、不一致）に対応する評価点をパラメータ情報から得る。

　ここで、図９のＳ１６１１で図２の新規インシデント情報が読み出され、図９のＳ１６１２で図４の「＃ＩＭＳ００１」のレコードの過去インシデント情報が読み出され、図９のＳ１６１３で図３のパラメータ情報が読み出されたと想定する。
　新規インシデント情報と過去インシデント情報の間で、シグニチャＩＤの値（＃１９３２）は完全に一致するので、インシデント情報評価部１６０は、シグニチャＩＤの一致度の評価点として「１．０」をパラメータ情報から得る。
　また、アラート種別の値（ＸＳＳ）も完全に一致するので、インシデント情報評価部１６０は、アラート種別の一致度の評価点として「１．０」をパラメータ情報から得る。
　インシデント情報評価部１６０は、他の項目についても、同様の評価を行う。
　なお、インシデント情報評価部１６０は、外部ＩＰアドレス、内部ＩＰアドレスについては、ネットワークアドレスとホストアドレスとが完全に一致していれば完全一致と評価し、ネットワークアドレスのみが一致していれば、部分一致と評価する。
　また、インシデント情報評価部１６０は、時刻については、新規インシデント情報の時刻と過去インシデント情報の時刻との差が第１の閾値以下（例えば、１日以下）であれば、完全一致と評価し、第２の閾値以下（例えば、５日以内）であれば、部分一致と評価する。

＊＊＊効果の説明＊＊＊
　以上のように、本実施の形態によれば、インシデント情報の項目ごとに属性値の一致状況を部分一致を含めて評価して関連度を算出し、関連度に基づき、新規インシデント情報に関連する過去インシデント情報を抽出する。
　このため、オペレータの検索スキルによる対応の差を最小限にすることが可能であり、インシデント対応の作業効率化が見込める。
　また、オペレータは、関連する過去インシデント情報を参照することで、新規インシデントに対する対応処置の作業見積もりを行うことが可能になる。

　実施の形態２．
　以上の実施の形態１では、図７に示すように、管理者が手動でパラメータ（重要度、一致度）の設定を行うことを前提としている。
　このため、管理者によってパラメータの値に偏りが生じる可能性がある。
　本実施の形態では、管理者の手動によるパラメータ設定ではなく、機械学習によってパラメータを自動で設定する例を説明する。

＊＊＊構成の説明＊＊＊
　図１１は、本実施の形態に係るシステム構成例を示す。
　図１と比較して、図１１では、学習データ記憶装置Ｔ４が追加されている。
　学習データ記憶装置Ｔ４は、学習データを記憶する。
　学習データは、重要度の設定に用いられるデータである。
　学習データ記憶装置Ｔ４以外の要素は、図１と同じであるが、本実施の形態では、パラメータ設定部１５０は重要度指定部として機能する。
　以下は、主に実施の形態１との差異を説明する。
　なお、以下で説明していない事項は実施の形態１と同じである。

　図１２は、学習データ記憶装置Ｔ４で記憶されている学習データの例を示す。
　図１２の例では、パラメータ記憶装置Ｔ２で記憶されている過去インシデント情報が学習データとして記憶されている。

＊＊＊動作の説明＊＊＊
　本実施の形態では、図５のパラメータ設定処理（Ｓ１５２）として、図７の手順ではなく、図１３の手順が実施される。
　図１３は、パラメータ設定部１５０が、機械学習によって重要度を算出する手順を示す。

　Ｓ１５２１０で、パラメータ設定部１５０は、学習データ記憶装置Ｔ４から学習データを取得する。
　Ｓ１５２２０で、パラメータ設定部１５０は、学習データの項目の重要度を設定する。
　Ｓ１５２３０で、パラメータ設定部１５０は、Ｓ１５２２０で設定した重要度を評価する。
　パラメータ設定部１５０は、Ｓ１５２３０の評価値が収束した場合（Ｓ１５２４０でＹＥＳ）に、パラメータ設定処理Ｓ１５２を終了する。
　期待した学習結果が得られなかった場合（Ｓ１５４０でＮＯ）は、パラメータ設定部１５０は、Ｓ１５２２０の処理に戻り重要度の設定をやり直す。

＊＊＊効果の説明＊＊＊
　以上のように、本実施の形態によれば、重要度を自動的に求めることによって、管理者による重要度の偏りをなくす効果がある。

　以上、本発明の実施の形態について説明したが、これら２つの実施の形態を組み合わせて実施しても構わない。
　あるいは、これら２つの実施の形態のうち、１つを部分的に実施しても構わない。
　あるいは、これら２つの実施の形態を部分的に組み合わせて実施しても構わない。
　なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。

＊＊＊ハードウェア構成の説明＊＊＊
　最後に、情報処理装置１２０のハードウェア構成例を図１４を参照して説明する。
　情報処理装置１２０はコンピュータである。
　情報処理装置１２０は、プロセッサ９０１、補助記憶装置９０２、メモリ９０３、通信装置９０４、入力インタフェース９０５、ディスプレイインタフェース９０６といったハードウェアを備える。
　プロセッサ９０１は、信号線９１０を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
　入力インタフェース９０５は、入力装置９０７に接続されている。
　ディスプレイインタフェース９０６は、ディスプレイ９０８に接続されている。

　プロセッサ９０１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。
　プロセッサ９０１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　補助記憶装置９０２は、例えば、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、フラッシュメモリ、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。
　メモリ９０３は、例えば、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。
　通信装置９０４は、データを受信するレシーバー９０４１及びデータを送信するトランスミッター９０４２を含む。
　通信装置９０４は、例えば、通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。
　入力インタフェース９０５は、入力装置９０７のケーブル９１１が接続されるポートである。
　入力インタフェース９０５は、例えば、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）端子である。
　ディスプレイインタフェース９０６は、ディスプレイ９０８のケーブル９１２が接続されるポートである。
　ディスプレイインタフェース９０６は、例えば、ＵＳＢ端子又はＨＤＭＩ（登録商標）（Ｈｉｇｈ　Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）端子である。
　入力装置９０７は、例えば、マウス、キーボード又はタッチパネルである。
　ディスプレイ９０８は、例えば、ＬＣＤ（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）である。

　補助記憶装置９０２には、図１及び図１１に示す情報取得部１３０、関連インシデント抽出部１４０、パラメータ設定部１５０、インシデント情報評価部１６０、リスト生成部１７０（以下、情報取得部１３０、関連インシデント抽出部１４０、パラメータ設定部１５０、インシデント情報評価部１６０、リスト生成部１７０をまとめて「部」と表記する）の機能を実現するプログラムが記憶されている。
　このプログラムは、メモリ９０３にロードされ、プロセッサ９０１に読み込まれ、プロセッサ９０１によって実行される。
　更に、補助記憶装置９０２には、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）も記憶されている。
　そして、ＯＳの少なくとも一部がメモリ９０３にロードされ、プロセッサ９０１はＯＳを実行しながら、「部」の機能を実現するプログラムを実行する。
　図１４では、１つのプロセッサ９０１が図示されているが、情報処理装置１２０が複数のプロセッサ９０１を備えていてもよい。
　そして、複数のプロセッサ９０１が「部」の機能を実現するプログラムを連携して実行してもよい。
　また、「部」の処理の結果を示す情報やデータや信号値や変数値が、メモリ９０３、補助記憶装置９０２、又は、プロセッサ９０１内のレジスタ又はキャッシュメモリに記憶される。

　「部」を「サーキットリー」で提供してもよい。
　また、「部」を「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。
　「回路」及び「サーキットリー」は、プロセッサ９０１だけでなく、ロジックＩＣ又はＧＡ（Ｇａｔｅ　Ａｒｒａｙ）又はＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）又はＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）といった他の種類の処理回路をも包含する概念である。

　１１０　入力装置、１２０　情報処理装置、１３０　情報取得部、１４０　関連インシデント抽出部、１５０　パラメータ設定部、１６０　インシデント情報評価部、１７０　リスト生成部、１８０　出力装置、Ｔ１　新規インシデント情報記憶装置、Ｔ２　パラメータ記憶装置、Ｔ３　過去インシデント情報記憶装置、Ｔ４　学習データ記憶装置。

Claims

　過去に検出されたセキュリティインシデントの属性値が複数記述される過去インシデント情報を記憶する過去インシデント情報記憶装置に接続されている情報処理装置であって、
　新たに検出されたセキュリティインシデントの属性値が複数記述される新規インシデント情報を取得する情報取得部と、
　前記過去インシデント情報記憶装置から前記過去インシデント情報を読み出し、前記過去インシデント情報と前記新規インシデント情報との間で属性値の一致状況を、部分一致を含めて評価し、属性値の一致状況の評価結果に基づき、前記過去インシデント情報と前記新規インシデント情報との関連度を算出するインシデント情報評価部とを有する情報処理装置。
　前記情報処理装置は、
　属性値として、過去に検出されたセキュリティインシデントのインシデント名が記述される過去インシデント情報を記憶する過去インシデント情報記憶装置に接続されており、
　前記情報取得部は、
　属性値として、新たに検出されたセキュリティインシデントのインシデント名が記述される新規インシデント情報を取得し、
　前記インシデント情報評価部は、
　前記過去インシデント情報と前記新規インシデント情報との間で、インシデント名を含む属性値の一致状況を評価する請求項１に記載の情報処理装置。
　前記情報処理装置は、
　前記過去インシデント情報を複数記憶する過去インシデント情報記憶装置に接続されており、
　前記インシデント情報評価部は、
　前記過去インシデント情報記憶装置から複数の過去インシデント情報を読み出し、前記複数の過去インシデント情報の各々と前記新規インシデント情報との間で属性値の一致状況を、部分一致を含めて評価し、属性値の一致状況の評価結果に基づき、前記複数の過去インシデント情報の各々と前記新規インシデント情報との関連度を算出する請求項１に記載の情報処理装置。
　前記情報処理装置は、更に、
　前記インシデント情報評価部により算出された関連度の順に、前記複数の過去インシデント情報が列挙される過去インシデント情報リストを生成するリスト生成部を有する請求項３に記載の情報処理装置。
　前記情報処理装置は、
　複数の属性値が複数の項目に記述されている過去インシデント情報を記憶する過去インシデント情報記憶装置に接続されており、
　前記情報取得部は、
　複数の属性値が複数の項目に記述されている新規インシデント情報を取得し、
　前記インシデント情報評価部は、
　前記過去インシデント情報と前記新規インシデント情報との間で項目単位で属性値の一致状況を、部分一致を含めて評価し、属性値の一致状況の評価結果と、項目単位で指定されている重要度とに基づき、前記過去インシデント情報と前記新規インシデント情報との関連度を算出する請求項１に記載の情報処理装置。
　前記インシデント情報評価部は、
　属性値の一致状況に基づき、項目単位で指定されている完全一致の場合の評価点と部分一致の場合の評価点と不一致の場合の評価点のうちのいずれかを項目単位で選択し、選択した評価点と前記重要度とを用いた計算を項目単位で行って、前記過去インシデント情報と前記新規インシデント情報との関連度を算出する請求項５に記載の情報処理装置。
　前記情報処理装置は、更に、
　学習データを用いた学習により、項目単位で前記重要度を指定する重要度指定部を有し、
　前記インシデント情報評価部は、
　前記重要度指定部により指定された前記重要度と、属性値の一致状況の評価結果とに基づき、前記過去インシデント情報と前記新規インシデント情報との関連度を算出する請求項５に記載の情報処理装置。
　過去に検出されたセキュリティインシデントの属性値が複数記述される過去インシデント情報を記憶する過去インシデント情報記憶装置に接続されているコンピュータが、
　新たに検出されたセキュリティインシデントの属性値が複数記述される新規インシデント情報を取得し、
　前記インシデント情報記憶装置から前記過去インシデント情報を読み出し、前記過去インシデント情報と前記新規インシデント情報との間で属性値の一致状況を、部分一致を含めて評価し、属性値の一致状況の評価結果に基づき、前記過去インシデント情報と前記新規インシデント情報との関連度を算出する情報処理方法。
　過去に検出されたセキュリティインシデントの属性値が複数記述される過去インシデント情報を記憶する過去インシデント情報記憶装置に接続されているコンピュータに、
　新たに検出されたセキュリティインシデントの属性値が複数記述される新規インシデント情報を取得する情報取得処理と、
　前記インシデント情報記憶装置から前記過去インシデント情報を読み出し、前記過去インシデント情報と前記新規インシデント情報との間で属性値の一致状況を、部分一致を含めて評価し、属性値の一致状況の評価結果に基づき、前記過去インシデント情報と前記新規インシデント情報との関連度を算出するインシデント情報評価処理とを実行させる情報処理プログラム。