WO2019026310A1

WO2019026310A1 - 情報処理装置、情報処理方法及び情報処理プログラム

Info

Publication number: WO2019026310A1
Application number: PCT/JP2017/043869
Authority: WO
Inventors: 一広大野; 久繁伊藤; 雅香高橋
Original assignee: 三菱電機株式会社
Priority date: 2017-08-02
Filing date: 2017-12-06
Publication date: 2019-02-07
Also published as: EP3657371A1; CN110959158A; US20210117538A1; JP2019028891A; EP3657371A4; JP6656211B2

Abstract

検知ルールを用いて攻撃活動が検知された場合に、分析情報算出部（０４）は、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提としている状況とを分析し、分析結果に基づき、複数の過去の攻撃活動の中から任意数の攻撃活動を選択する。警告重要度推定部（０５）は、分析情報算出部（０４）により選択された攻撃活動に対して行われた対応処置を提示する。

Description

情報処理装置、情報処理方法及び情報処理プログラム

　本発明は、情報システムに対する攻撃活動を検知する技術に関する。

　本発明に関連する技術として、特許文献１～３に開示の技術がある。

　特許文献１では、サーバーが送信するＵＲＬ（Ｕｎｉｆｏｒｍ　Ｒｅｓｏｕｒｃｅ　Ｌｏｃａｔｏｒ）の宛先又は変数値から特徴量が算出され、監視装置が持つシグネチャに類似するＵＲＬであるかが判定される。これにより、監視装置が持つシグネチャに完全に一致しないＵＲＬの宛先又は変数値を用いた攻撃の通信を検知し、端末やサーバーへの未知の攻撃を検知することが可能である。特許文献１のシグネチャの類似を判定する機能の目的は新たな攻撃パターンを追加することである。

　特許文献２では、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）利用率に代表される計算機のリソース情報がセキュリティ侵害行為で変動することが多いことに着眼し、現在のＣＰＵ使用率と過去のＣＰＵ使用率の特徴量が算出される。そして、算出結果がリソース情報の条件を記載したルールと合致した場合に、異常と判定される。これにより、大量の様々なログ情報を分析することなく計算機システムへのセキュリティ侵害行為に対処することが可能である。

　遠隔からメンテナンス指示を出す際に、監視画像ではメンテナンス箇所を誤りなく指示することが困難であるという課題がある。これに対して特許文献３では、監視対象設備の画像情報と監視対象設備のＣＡＤ（Ｃｏｍｐｕｔｅｒ－Ａｉｄｅｄ　Ｄｅｓｉｇｎ）情報を組み合わせて座標情報が作成され、座標情報を用いてメンテナンス箇所が指示される。

特開２０１３－０１１９４９号公報特開２０１６－１８４３５８号公報特許４６６１５１２号

　攻撃活動を監視するセキュリティ監視センターでは、アナリストが、検知された攻撃活動への対応処置を決定する。より具体的には、アナリストはセキュリティ監視センターに保管されている過去の攻撃活動の履歴をもとに、検知された攻撃活動に対する対応処置を決定する。ただし、同じ攻撃活動であっても、監視先のネットワークの構成及び対処したアナリストの経験等により異なる対応処置が選択される。このため、同じ攻撃活動に対して対応処置が異なる履歴が複数存在することになる。
　経験の浅いアナリストが対応にあたった場合に、対応処置が異なる複数の履歴のうちのどの履歴を参考にすべきかを適切に判断することが困難であるという課題がある。また、複数の履歴から現在の攻撃活動に適した履歴を選択できないと、誤った対応処置がとられ、攻撃活動に有効に対処できないという課題がある。
　特許文献１～３では、これらの課題を解決することはできない。

　本発明は、上記の課題を解決することを主な目的とする。具体的には、検知された攻撃活動に対して適切な対応処置がとられるようにすることを主な目的する。

　本発明に係る情報処理装置は、
　検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択部と、
　前記選択部により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示部とを有する。

　本発明では、現在の攻撃活動が検知された際の状況と、複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提とする状況とを分析する。そして、本発明では、複数の過去の攻撃活動の中から現在の攻撃活動に適した過去の攻撃活動が選択され、選択された過去の攻撃活動に対する対応処置が提示される。
　このため、本発明によれば、アナリストは、検知された攻撃活動に適した対応処置をとることができる。

実施の形態１に係るネットワーク構成例を示す図。実施の形態１に係る攻撃活動分析支援装置の機能構成例を示す図。実施の形態１に係る攻撃活動分析支援装置の処理の流れを示すフローチャート図。実施の形態１に係る分析履歴テーブルの例を示す図。実施の形態１に係る機器管理テーブルの例を示す図。実施の形態１に係る類似履歴比較テーブルの例を示す図。実施の形態１に係る選択された分析履歴の例を示す図。実施の形態１に係るオペレーターへの提示例を示す図。実施の形態１に係る検知ログの例を示す図。実施の形態１に係る攻撃活動分析支援装置のハードウェア構成例を示す図。

　以下、本発明の実施の形態について、図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分または相当する部分を示す。

　実施の形態１．
＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係るネットワーク構成例を示す。

　本実施の形態では、ファイアウォール１１により、外部ネットワーク１６と内部ネットワーク１８とが区別されている。ファイアウォール１１は、外部ネットワーク１６とＤＭＺ（ＤｅＭｉｌｉｔａｒｉｚｅｄ　Ｚｏｎｅ）ネットワーク１７と内部ネットワーク１８とに接続されている。ファイアウォール１１及びＤＭＺネットワーク１７により、外部ネットワーク１６から内部ネットワーク１８への攻撃活動を防ぐことができる。

　ＤＭＺネットワーク１７には、侵入検知装置１２、プロキシサーバー１３及び複数の監視対象１４が含まれる。

　侵入検知装置１２はファイアウォール１１と接続する。
　侵入検知装置１２は、ファイアウォール１１を通過する外部ネットワーク１６とＤＭＺネットワーク１７との間の通信と、外部ネットワーク１６と内部ネットワーク１８との間の通信を検知ルールを用いて調査する。そして、侵入検知装置１２は、外部ネットワーク１６からの攻撃活動を検知した場合に、当該攻撃活動を検知した際の状況が示される検知ログを生成する。

　プロキシサーバー１３は、ファイアウォール１１と接続する。
　プロキシサーバー１３は、内部ネットワーク１８内の監視対象１５から外部ネットワーク１６への通信を中継する。さらに、プロキシサーバー１３は、外部ネットワーク１６から監視対象１５への通信を中継する。

　監視対象１４はファイアウォール１１と接続する。
　監視対象１４にはメールサーバー、Ｗｅｂサーバー等が含まれる。

　内部ネットワーク１８には、複数の監視対象１５と攻撃活動分析支援装置０１が含まれる。
　監視対象１５は、ファイアウォール１１と接続する。
　監視対象１５には個人端末、ファイルサーバー、ＡＤ（Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙ）サーバー等が含まれる。

　攻撃活動分析支援装置０１は、内部ネットワーク１８に接続し、ＤＭＺネットワーク１７に接続された監視対象１４及び内部ネットワーク１８に接続された監視対象１５を監視する。
　攻撃活動分析支援装置０１は、監視対象１４及び監視対象１５への攻撃活動が検知された際の状況及び対応処置が示される分析履歴を記憶している。分析履歴の詳細は後述する。
　外部ネットワーク１６からＤＭＺネットワーク１７又は内部ネットワーク１８に対する攻撃活動が発生した場合に、攻撃活動分析支援装置０１は発生した攻撃活動に類似する過去の攻撃活動の分析履歴を表示装置１０を用いてオペレーターに提示する。
　なお、攻撃活動とは、情報セキュリティ上の脅威を発生させるあらゆる活動である。攻撃活動には、各種の不正アクセス、「・・・攻撃」と称される攻撃、これら攻撃の予備動作等が含まれる。
　なお、攻撃活動分析支援装置０１は情報処理装置に相当する。また、攻撃活動分析支援装置０１により行われる動作は、情報処理方法に相当する。

　図２は、攻撃活動分析支援装置０１の機能構成例を示し、図１０は、攻撃活動分析支援装置０１のハードウェア構成例を示す。

　本実施の形態に係る攻撃活動分析支援装置０１は、コンピュータである。
　攻撃活動分析支援装置０１は、ハードウェアとして、図１０に示すように、プロセッサ１０１、記憶装置１０２、ネットワークインタフェース１０３、表示インタフェース１０４及び入力インタフェース１０５を備える。
　また、攻撃活動分析支援装置０１は、機能構成として、図２に示すように、警告情報収集部０２、監視情報収集部０３、分析情報算出部０４、警告重要度推定部０５、警告情報蓄積部０６、監視情報蓄積部０７及び分析履歴蓄積部０８を備える。
　記憶装置１０２には、警告情報収集部０２、監視情報収集部０３、分析情報算出部０４及び警告重要度推定部０５の機能を実現するプログラムが記憶されている。
　そして、プロセッサ１０１がこれらプログラムを実行して、後述する警告情報収集部０２、監視情報収集部０３、分析情報算出部０４及び警告重要度推定部０５の動作を行う。
　図１０では、プロセッサ１０１が警告情報収集部０２、監視情報収集部０３、分析情報算出部０４及び警告重要度推定部０５の機能を実現するプログラムを実行している状態を模式的に表している。
　警告情報収集部０２、監視情報収集部０３、分析情報算出部０４及び警告重要度推定部０５の機能を実現するプログラムは、情報処理プログラムに相当する。
　また、警告情報蓄積部０６、監視情報蓄積部０７及び分析履歴蓄積部０８は、記憶装置１０２により実現される。
　ネットワークインタフェース１０３は、内部ネットワーク１８の通信ケーブルとのインタフェースである。
　表示インタフェース１０４は、表示装置１０とのインタフェースである。
　入力インタフェース１０５は、入力装置０９とのインタフェースである。

　図２において、警告情報収集部０２は、ネットワークインタフェース１０３を介して侵入検知装置１２から検知ログを収集する。また、警告情報収集部０２は、収集した検知ログを警告情報蓄積部０６に格納する。

　監視情報収集部０３は、ネットワークインタフェース１０３を介してプロキシサーバー１３からプロキシログを収集する。監視情報収集部０３は、収集したプロキシログを監視情報蓄積部０７に格納する。

　分析情報算出部０４は、侵入検知装置１２により攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提としている状況とを分析する。なお、複数の過去の攻撃活動のそれぞれが検知された際の状況は、分析履歴蓄積部０８に蓄積されている分析履歴に記載されている。また、検知ルールが前提としている状況が示される情報は、例えば、記憶装置１０２で記憶されている。
　分析情報算出部０４は、具体的には、現在の攻撃活動が検知された際の状況と複数の過去の攻撃活動のそれぞれが検知された際の状況との類似度を分析する。また、分析情報算出部０４は、複数の過去の攻撃活動のそれぞれが検知された際の状況と検知ルールが前提としている状況との類似度を分析する。例えば、分析情報算出部０４は、現在の攻撃活動が検知された時刻と複数の過去の攻撃活動のそれぞれが検知された時間帯との類似度を分析する。また、分析情報算出部０４は、現在の攻撃活動が検知された際の通信量と複数の過去の攻撃活動のそれぞれが検知された際の通信量との類似度を分析する。また、分析情報算出部０４は、複数の過去の攻撃活動のそれぞれが検知された時間帯と検知ルールが前提とする時間帯との類似度を分析する。また、分析情報算出部０４は、複数の過去の攻撃活動のそれぞれが検知された際の通信量と検知ルールが前提とする通信量との類似度を分析する。更に、分析情報算出部０４は、複数の過去の攻撃活動のそれぞれのターゲットの機器の種類と検知ルールが前提とするターゲットの機器の種類との類似度を分析する。
　そして、分析情報算出部０４は、分析結果に基づき、複数の過去の攻撃活動の中から任意数の攻撃活動を選択する。
　分析情報算出部０４は選択部に相当する。また、分析情報算出部０４により行われる処理は、選択処理に相当する。

　警告重要度推定部０５は、分析情報算出部０４により選択された攻撃活動に対して行われた対応処置を表示装置１０を通じてオペレーターに提示する。
　分析情報算出部０４により２以上の攻撃活動が選択された場合に、警告重要度推定部０５は、選択された２以上の攻撃活動の間の序列を決定する。警告重要度推定部０５は、例えば、選択された２以上の攻撃活動の各々の対応処置の重要度に基づき、選択された２以上の攻撃活動の間の序列を決定する。そして、警告重要度推定部０５は、決定した序列に従って、選択された２以上の攻撃活動に対して行われた対応処置を提示する。
　警告重要度推定部０５は、対応処置提示部に相当する。また、警告重要度推定部０５により行われる処理は、対応処置提示処理に相当する。

　警告情報蓄積部０６は、検知ログを蓄積する。

　監視情報蓄積部０７は、プロキシログを蓄積する。

　分析履歴蓄積部０８は、分析履歴を蓄積する。

　次に、本実施の形態で扱われるデータを説明する。

　図４は、分析情報算出部０４が生成する分析履歴テーブル２０３の例を示す。

　図４に示すように、分析履歴テーブル２０３には、過去の攻撃活動を分析した結果である分析履歴が複数含まれる。図４の各レコードが分析履歴である。各分析履歴には、分析履歴番号、警告名、発生時間帯、対応処置、解析情報が含まれる。

　分析履歴番号は、分析情報算出部０４により自動的に設定される通し番号である。
　対応処置は、攻撃活動分析支援装置０１のオペレーターにより指定される。

　警告名、発生時間帯は、侵入検知装置１２から送信された検知ログから生成される。侵入検知装置１２は、外部ネットワーク１６から内部ネットワーク１８への通信を検知ルールを用いて解析する。攻撃活動を検知した場合に、侵入検知装置１２は、検知ルールに基づき、攻撃活動の種類を特定する。侵入検知装置１２は、検知した攻撃の種類が、例えば、Ｄｏｓ攻撃、ポートスキャン、ファイル送信のうちのいずれであるかを特定する。そして、侵入検知装置１２は、特定した攻撃の種類を警告名として検知ログに含ませる。また、侵入検知装置１２は、攻撃活動を検知した日時を検知ログに含ませる。
　また、解析情報の値も、検知ログから生成される。例えば、侵入検知装置１２は、攻撃活動に用いられる通信データの送信先のＩＰアドレスから攻撃活動の通信先を特定し、特定した通信先の種類を検知ログに含ませる。また、侵入検知装置１２は、攻撃活動に用いられる通信データの送信先のＩＰアドレスのみを検知ログに含ませるようにしてもよい。この場合は、分析情報算出部０４が検知ログに含まれる送信先のＩＰアドレスから通信先の種類を特定する。より具体的には、分析情報算出部０４は図５に例示する機器管理テーブル２０４を用いて通信先の種類を特定する。図５の機器管理テーブル２０４には、監視対象１４及び監視対象１５のそれぞれを構成する機器のＩＰアドレスが示され、ＩＰアドレスごとに、各機器の用途が示される。機器の用途はメールサーバー、Ｗｅｂサーバー、個人端末、ファイルサーバー、ＡＤサーバー等である。分析情報算出部０４は、検知ログで示される送信先のＩＰアドレスを機器管理テーブル２０４と照合して、通信先の種類を特定する。
　また、侵入検知装置１２は、攻撃活動を検知した際のＤＭＺネットワーク１７または内部ネットワーク１８の通信量を検知ログに含ませる。
　なお、侵入検知装置１２は、通信先の種類及び通信量の少なくともいずれかを特定しなくてもよい。つまり、侵入検知装置１２は、通信先の種類及び通信量の少なくともいずれかを検知ログに含めなくてもよい。この場合は、分析情報算出部０４は、プロキシログから解析情報を生成する。
　つまり、プロキシサーバー１３は、通信先の種類及び攻撃活動が検知された際の通信量を特定し、特定した通信先の種類及び通信量をプロキシログに記載してもよい。

　図６は、類似履歴比較テーブル２０５の例を示す。

　図６に示すように、類似履歴比較テーブル２０５は、分析履歴番号、検知ルールが前提とする状況、過去の攻撃活動の検知時の状況で構成される。
　分析履歴番号は、図５の分析履歴番号を示す。
　「検知ルールが前提とする状況」では、検知ルールが生成される際に前提とされた状況が示される。図６の例では、ＤｏＳ攻撃を検知するための検知ルールが前提とする状況が示される。「検知ルールが前提とする状況」は、例えば、時間帯と通信量とターゲットの機器である。図６の例では、ＤｏＳ攻撃が発生する時間帯が「１０：００－１２：００」であり、また、ＤｏＳ攻撃が発生する際の通信量が５０００アクセス／分であり、また、ＤｏＳ攻撃がターゲットにする機器がＷｅｂサーバーであるとの前提で、ＤｏＳ攻撃を検知するための検知ルールが生成されている。
　「過去の攻撃活動の検知時の状況」では、ＤｏＳ攻撃と判定された過去の攻撃活動、すなわち、Ｄｏｓ攻撃を検知するための検知ルールが適用されて検知された過去の攻撃活動の検知時の状況が示される。「過去の攻撃活動の検知時の状況」は、例えば、時間帯と通信量とターゲットの機器である。分析履歴番号：１のＤｏＳ攻撃が検知された時間帯は「１０：００－１２：００」であり、当該ＤｏＳ攻撃が検知された際の通信量は５５００アクセス／分であり、また、当該ＤｏＳ攻撃がターゲットにした機器はＷｅｂサーバーである。
　類似履歴比較テーブル２０５は、過去の攻撃活動ごとに、検知ルールが前提とする状況と、各攻撃活動が検知された際の状況との比較に用いられる。

　図６は、ＤｏＳ攻撃についての類似履歴比較テーブル２０５を示すが、他の攻撃活動（ポートスキャン、ファイル送信等）についても、同様の類似履歴比較テーブル２０５が存在する。

　図９は、侵入検知装置１２が新たに攻撃活動を検知した際に侵入検知装置１２から攻撃活動分析支援装置０１に送信される検知ログ３０１の例を示す。

　検知ログ３０１は、警告名、発生日時及び解析情報で構成される。
　警告名、発生日時及び解析情報のそれぞれの意味は、図４に示すものと同じである。
　図４に示す警告名、発生日時及び解析情報は、過去に検知された過去の攻撃活動の属性であるのに対し、図９に示す警告名、発生日時及び解析情報は、新たに検知された現在の攻撃活動の属性である。
　図９では、解析情報の値も検知ログ３０１として侵入検知装置１２から送信される例を示すが、前述したように、解析情報の値はプロキシログとしてプロキシサーバー１３から送信されてもよい。

＊＊＊動作の説明＊＊＊
　次に、本実施の形態に係る攻撃活動分析支援装置０１の動作例を説明する。
　図３は、攻撃活動分析支援装置０１の動作例を示すフローチャートである。

　図４に示す分析履歴テーブル２０３が分析履歴蓄積部０８に蓄積されていなければ、分析情報算出部０４が初期設定として、分析履歴テーブル２０３を生成する（ステップＳ００１）。
　また、分析情報算出部０４は、必要であれば、監視対象１４と監視対象１５の機器管理テーブル２０４を生成する。

　警告情報収集部０２は侵入検知装置１２から定期的に検知ログを受信し、受信した検知ログを警告情報蓄積部０６に格納する（ステップＳ００２）。
　侵入検知装置１２は、攻撃活動を検知していない場合にも検知ログを定期的に送信する。侵入検知装置１２は、攻撃活動を検知していない場合は、攻撃活動を検知した場合の検知ログとは異なる検知ログを送信する。例えば、侵入検知装置１２は、図９の警告名の欄が空欄の検知ログを送信する。
　警告情報収集部０２は、受信した検知ログが攻撃活動の検知を通知する検知ログが否かを判定する（ステップＳ００３）。例えば、警告情報収集部０２は、受信した検知ログの警告名の欄に値が設定されているか否かを判定する。
　受信した検知ログが攻撃活動の検知を通知する検知ログであれば、処理がステップＳ００４に移行する。一方、受信した検知ログが攻撃活動の検知を通知する検知ログでなければ、処理がステップＳ００２に戻る。
　ここでは、警告情報収集部０２が図９に示す検知ログ３０１を受信したと仮定する。つまり、侵入検知装置１２によりＤｏＳ攻撃が検知されたものとする。

　ステップＳ００３がＹＥＳの場合、すなわち、侵入検知装置１２において攻撃活動が検知された場合は、警告情報収集部０２は、侵入検知装置１２から受信した検知ログを分析情報算出部０４に出力する。
　分析情報算出部０４は、分析履歴蓄積部０８から、警告情報収集部０２から取得した検知ログに示される警告名に対応する分析履歴テーブル２０３を取得する（ステップＳ００４）。具体的には、分析情報算出部０４は、図９の検知ログ３０１の警告名であるＤｏＳ攻撃に対応する図４の分析履歴テーブル２０３を取得する。

　次に、分析情報算出部０４は、分析履歴テーブル２０３から、検知ログに示される通信先と共通の通信先が示される分析履歴を抽出する（ステップＳ００５）。
　図４の例では、分析情報算出部０４は、通信先がＷｅｂサーバーである分析履歴番号１、３、４、５、１０の分析履歴を抽出する。

　次に、分析情報算出部０４は、ステップＳ００５で抽出した分析履歴の類似度を分析する（ステップＳ００６）。
　類似度の分析には、類似履歴比較テーブル２０５が用いられる。具体的には、分析情報算出部０４は、検知ログに示される現在の攻撃活動が検知された時刻と、分析履歴番号１、３、４、５、１０の「過去の攻撃活動の検知時の状況」の「発生時間帯」に示される時間帯との類似度を算出する。また、分析情報算出部０４は、検知ログに示される現在の攻撃活動が検知された際の通信量と分析履歴番号１、３、４、５、１０の「過去の攻撃活動の検知時の状況」の「通信量」に示される通信量との類似度を算出する。また、分析情報算出部０４は、分析履歴番号１、３、４、５、１０の「過去の攻撃活動の検知時の状況」の「発生時間帯」に示される時間帯と「検知ルールが前提とする状況」の「発生時間帯」に示される時間帯との類似度を算出する。また、分析情報算出部０４は、分析履歴番号１、３、４、５、１０の「過去の攻撃活動の検知時の状況」の「通信量」に示される通信量と「検知ルールが前提とする状況」の「通信量」に示される通信量との類似度を算出する。更に、分析情報算出部０４は、分析履歴番号１、３、４、５、１０の「過去の攻撃活動の検知時の状況」の「ターゲット」に示される機器の種類と「検知ルールが前提とする状況」「ターゲット」に示される機器の種類との類似度を算出する。

　図９の検知ログ３０１では、発生時刻は「１０：１８」であり、通信量は「５５００アクセス／分」である。このため、現在の攻撃活動との関係では、分析履歴番号１、３、４に高い類似度が付与される。また、図６の「検知ルールが前提とする状況」では発生時間帯は「１０：００－１２：００」であり、「通信量」は「５０００」であり、「ターゲット」は「Ｗｅｂ」である。このため、検知ルールとの関係でも、分析履歴番号１、３、４に高い類似度が付与される。なお、本実施の形態では、類似度の算出方法自体は問わない。
　この結果、図６の例では、分析情報算出部０４は、新規に発生した検知ログの分析に適した履歴として、類似度の高い分析履歴番号１、３、４の分析履歴を選択する。
　そして、分析情報算出部０４は、分析履歴番号１、３、４の分析履歴（図４の該当するレコード）を警告重要度推定部０５に出力する。

　警告重要度推定部０５は、分析情報算出部０４から分析履歴を取得し、取得した分析履歴の重要度に従って、取得した分析履歴を表示装置１０を介してオペレーターに提示する（ステップＳ００７）。
　警告重要度推定部０５は、分析情報算出部０４から取得した分析履歴が一つである場合は、取得した分析履歴を表示装置１０を介してオペレーターに提示する。
　一方、分析情報算出部０４から取得した分析履歴が複数である場合は、警告重要度推定部０５は、分析履歴の重要度を判定する。そして、警告重要度推定部０５は、重要度の順に複数の分析履歴の間の序列を決定し、決定した序列に従って、複数の分析履歴を表示装置１０を介してオペレーターに提示する。
　分析履歴の重要度の判定方法は以下のとおりである。
　まず、警告重要度推定部０５は、分析履歴内の「対応処置」に記載された対策の要否の項目から、対策が必要であった分析履歴を上位に並べ替える。次に分析履歴内の「対応処置」に記載された処置内容の項目に「客先に通報」が記載されている分析履歴を上位に並べ替える。
　図７は、警告重要度推定部０５に通知された分析履歴の順序を示す。図７の例では、分析履歴番号１、３、４の順序で分析情報算出部０４から警告重要度推定部０５に通知されている。
　図８は、警告重要度推定部０５により順序が変更されたのちの分析履歴の順序を示す。図８の例では、分析履歴が分析歴番号３、１、４の順序に変更されている。つまり、「客先に通報」が記載されている分析履歴番号３の分析履歴が最も重要度が高く、「対策要」が記載されている分析履歴番号１の分析履歴が２番目に重要度が高い。
　警告重要度推定部０５は、図８に示す順序で複数の分析履歴をオペレーターに提示する。
　オペレーターは、警告重要度推定部０５から提示された分析履歴の「対応処置」の欄の記載を参考に、新たに検知された現在の攻撃活動に対する対応処置を検討することができる。
　なお、新たに検知された現在の攻撃活動に対する対応処置がオペレーターにより決定された後に、分析情報算出部０４は、図９の検知ログ３０１の記載内容とオペレータにより決定された対応処置とが示される新たなレコードを分析履歴テーブル２０３に追加する。

＊＊＊実施の形態の効果の説明＊＊＊
　このように、本実施の形態では、現在の攻撃活動が検知された際の状況と、複数の過去の攻撃活動のそれぞれが検知された際の状況と、検知ルールが前提とする状況とを分析する。そして、本実施の形態では、複数の過去の攻撃活動の中から現在の攻撃活動に適した過去の攻撃活動が選択され、選択された過去の攻撃活動に対する対応処置が提示される。このため、本実施の形態によれば、経験の浅いアナリスト（オペレーター）であっても、現在の攻撃活動に適した対応処置をとることができる。

＊＊＊ハードウェア構成の説明＊＊＊
　最後に、攻撃活動分析支援装置０１のハードウェア構成の補足説明を行う。
　図１０に示すプロセッサ１０１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ
　Ｃｉｒｃｕｉｔ）である。
　プロセッサ１０１は、ＣＰＵ、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等である。
　図３に示す記憶装置１０２は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、フラッシュメモリ、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）等である。
　図３に示すネットワークインタフェース１０３は、データの通信処理を実行する電子回路である。
　ネットワークインタフェース１０３は、例えば、通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。

　また、記憶装置１０２には、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）も記憶されている。
　そして、ＯＳの少なくとも一部がプロセッサ１０１により実行される。
　プロセッサ１０１はＯＳの少なくとも一部を実行しながら、警告情報収集部０２、監視情報収集部０３、分析情報算出部０４及び警告重要度推定部０５の機能を実現するプログラムを実行する。
　プロセッサ１０１がＯＳを実行することで、タスク管理、メモリ管理、ファイル管理、通信制御等が行われる。
　また、警告情報収集部０２、監視情報収集部０３、分析情報算出部０４及び警告重要度推定部０５の処理の結果を示す情報、データ、信号値及び変数値の少なくともいずれかが、記憶装置１０２、プロセッサ１０１内のレジスタ及びキャッシュメモリの少なくともいずれかに記憶される。
　また、警告情報収集部０２、監視情報収集部０３、分析情報算出部０４及び警告重要度推定部０５の機能を実現するプログラムは、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤ等の可搬記憶媒体に記憶されてもよい。

　また、警告情報収集部０２、監視情報収集部０３、分析情報算出部０４及び警告重要度推定部０５の「部」を、「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。
　また、攻撃活動分析支援装置０１は、処理回路により実現されてもよい。処理回路は、例えば、ロジックＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ
　Ａｒｒａｙ）である。
　この場合は、警告情報収集部０２、監視情報収集部０３、分析情報算出部０４及び警告重要度推定部０５は、それぞれ処理回路の一部として実現される。
　なお、本明細書では、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路との上位概念を、「プロセッシングサーキットリー」という。
　つまり、プロセッサと、メモリと、プロセッサとメモリの組合せと、処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。

　０１　攻撃活動分析支援装置、０２　警告情報収集部、０３　監視情報収集部、０４　分析情報算出部、０５　警告重要度推定部、０６　警告情報蓄積部、０７　監視情報蓄積部、０８　分析履歴蓄積部、０９　入力装置、１０　表示装置、１１　ファイアウォール、１２　侵入検知装置、１３　プロキシサーバー、１４　監視対象、１５　監視対象、１６　外部ネットワーク、１７　ＤＭＺネットワーク、１８　内部ネットワーク、１０１　プロセッサ、１０２　記憶装置、１０３　ネットワークインタフェース、１０４　表示インタフェース、１０５　入力インタフェース。

Claims

　検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択部と、
　前記選択部により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示部とを有する情報処理装置。
　前記選択部は、
　前記現在の攻撃活動が検知された際の状況と前記複数の過去の攻撃活動のそれぞれが検知された際の状況との類似度を分析し、前記複数の過去の攻撃活動のそれぞれが検知された際の状況と前記検知ルールが前提としている状況との類似度を分析する請求項１に記載の情報処理装置。
　前記選択部は、
　前記現在の攻撃活動が検知された時刻と前記複数の過去の攻撃活動のそれぞれが検知された時間帯との類似度と、前記現在の攻撃活動が検知された際の通信量と前記複数の過去の攻撃活動のそれぞれが検知された際の通信量との類似度と、前記複数の過去の攻撃活動のそれぞれが検知された時間帯と前記検知ルールが前提とする時間帯との類似度と、前記複数の過去の攻撃活動のそれぞれが検知された際の通信量と前記検知ルールが前提とする通信量との類似度とを分析する請求項１に記載の情報処理装置。
　前記選択部は、
　前記複数の過去の攻撃活動のそれぞれのターゲットの機器の種類と、前記検知ルールが前提とするターゲットの機器の種類との類似度を分析する請求項３に記載の情報処理装置。
　前記対応処置提示部は、
　前記選択部により前記複数の過去の攻撃活動の中から２以上の攻撃活動が選択された場合に、選択された２以上の攻撃活動の間の序列を決定し、決定した序列に従って、選択された２以上の攻撃活動に対して行われた対応処置を提示する請求項１に記載の情報処理装置。
　前記対応処置提示部は、
　選択された２以上の攻撃活動の各々の対応処置の重要度に基づき、選択された２以上の攻撃活動の間の序列を決定する請求項５に記載の情報処理装置。
　前記選択部は、
　前記現在の攻撃活動の種類と同じ種類の複数の過去の攻撃活動であって、前記現在の攻撃活動のターゲットの機器の種類と同じ種類の機器をターゲットとする複数の過去の攻撃活動のそれぞれが検知された際の状況を分析する請求項１に記載の情報処理装置。
　検知ルールを用いて攻撃活動が検知された場合に、コンピュータが、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択し、
　前記コンピュータが、選択された攻撃活動に対して行われた対応処置を提示する情報処理方法。
　検知ルールを用いて攻撃活動が検知された場合に、検知された攻撃活動である現在の攻撃活動が検知された際の状況と、前記検知ルールを用いて過去に検知された複数の攻撃活動である複数の過去の攻撃活動のそれぞれが検知された際の状況と、前記検知ルールが前提としている状況とを分析し、分析結果に基づき、前記複数の過去の攻撃活動の中から任意数の攻撃活動を選択する選択処理と、
　前記選択処理により選択された攻撃活動に対して行われた対応処置を提示する対応処置提示処理とをコンピュータに実行させる情報処理プログラム。