WO2019163972A1

WO2019163972A1 - 脅威分析システムおよび分析方法

Info

Publication number: WO2019163972A1
Application number: PCT/JP2019/006925
Authority: WO
Inventors: 暁彦杉本; 磯部　義明
Original assignee: 株式会社日立製作所
Priority date: 2018-02-23
Filing date: 2019-02-22
Publication date: 2019-08-29
Also published as: JP2019145053A; US20210029153A1; US11418534B2; JP6718476B2

Abstract

脅威分析対象システムを構成する機器と機器に含まれる脆弱性とが対応付けられた第１情報と、機器と脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第２情報と、を記憶する記憶部と、記憶部に記憶されている第１情報と第２情報とに基づいて、機器に含まれる脆弱性と脅威分析対象システムにおける脅威とを関連付ける脅威分析処理部と、脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する脅威分析結果出力部と、を設けるようにした。

Description

脅威分析システムおよび分析方法

　本発明は脅威分析システムおよび分析方法に関し、例えば脆弱性と事業者視点の脅威との関係を分析する脅威分析システムおよび分析方法に適用して好適なものである。

　一般的に、ＩＴ（Information　Technology）システムは、多種多様なソフトウェアから構成されている。これらソフトウェアには、プログラム上の不具合、仕様上の問題点などのソフトウェア脆弱性と呼ばれる欠陥が残っており、後から発見される場合がある。実際、公的なセキュリティ団体は、発見されたソフトウェアの脆弱性情報をデータベース化し、年間で約５，０００件ものソフトウェア脆弱性について注意喚起を行っている。

　一方で、脆弱性情報が公開された直後から、悪意のある攻撃者による同脆弱性を利用した攻撃が著しく増加する傾向にあることが知られている。そのため、情報システムを運用するシステム管理者は、公開された脆弱性情報に敏感に反応し、迅速な対応判断が求められる。

　しかしながら、多数公開される脆弱性に対して、迅速に対応することは容易ではない。脆弱性の対処では、システム管理者が日常的に漏れなく公開された脆弱性情報を確認し、自身が管理するシステムに関係するかを特定し、その脆弱性の影響を評価する必要があり、多くの工数と時間とがかかってしまう。

　そこで、システム情報および脆弱性情報を収集し、システムに内在する脆弱性を特定し、その脆弱性がシステムにもたらすリスクを評価する技術が必要となっている。このようなシステムの脆弱性を管理、評価する従来技術としては、例えば、製品ＤＢ（database）および脆弱性キーワードＤＢに脆弱性の特性を示すキーワードを複数記憶させておき、キーワード抽出部が、脆弱性関連情報収集部により収集した脆弱性情報から、製品ＤＢおよび脆弱性キーワードＤＢに蓄積されているキーワードに合致するキーワードを抽出し、優先度判定部が、優先度判定ＤＢの内容に従い、キーワード抽出結果に基づいて脆弱性情報の優先度を判定し、出力部が優先度の判定結果を出力する情報処理装置が提案されている（特許文献１参照）。この技術においては、製品情報と脆弱性情報とから脅威分析することで、脆弱性対策の効率化を図っている。

特開２００７－０５８５１４号公報

　従来技術では、脆弱性情報と製品情報とをキーワードに基づいて対応付けることで、膨大な脆弱性情報の中から管理対象のシステムに関係する脆弱性を特定可能にする。また、脆弱性の技術的な側面を分析することで、システムを構成する機器単位で脅威を分析することが可能になっている。

　しかしながら、昨今では、インターネットを介してＩＴシステムに医療機器、インフラ装置などが繋がることが多く、機器単位で脅威を分析するだけでは不十分になってきている。なぜなら、医療機器などは人体への影響を与え得るモノであるため、機器の停止、機器からの情報漏えいといった機器単位で発生する脅威よりも、人体への悪影響といった事業者視点からみた脅威の方がセキュリティ要件として重要となっているからである。

　本発明は以上の点を考慮してなされたもので、よりシステムのセキュリティ要件に適した脅威分析を可能にする脅威分析システムおよび分析方法を提案しようとするものである。

　かかる課題を解決するため本発明においては、脅威分析対象システムを構成する機器と前記機器に含まれる脆弱性とが対応付けられた第１情報と、前記機器と前記脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第２情報と、を記憶する記憶部と、前記記憶部に記憶されている第１情報と第２情報とに基づいて、前記機器に含まれる脆弱性と前記脅威分析対象システムにおける脅威とを関連付ける脅威分析処理部と、前記脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する脅威分析結果出力部と、を設けるようにした。

　また本発明においては、脅威分析対象システムを構成する機器と前記機器に含まれる脆弱性とが対応付けられた第１情報と、前記機器と前記脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第２情報と、を記憶する記憶部を有する脅威分析システムにおける分析方法であって、脅威分析処理部が、前記記憶部に記憶されている第１情報と第２情報とに基づいて、前記機器に含まれる脆弱性と前記脅威分析対象システムにおける脅威とを関連付ける第１のステップと、脅威分析結果出力部が、前記脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する第２のステップと、を設けるようにした。

　上記構成によれば、脆弱性と事業者視点の脅威との関係を分析することができる。

　本発明によれば、よりシステムのセキュリティ要件に適した脅威分析が可能となる。

第１の実施の形態による脅威分析システムに係る構成の一例を示す図である。第１の実施の形態による管理対象機器の機能構成の一例を示す図である。第１の実施の形態による脆弱性検出装置の機能構成の一例を示す図である。第１の実施の形態による脆弱性情報公開機関の機能構成の一例を示す図である。第１の実施の形態による脅威分析サーバの機能構成の一例を示す図である。第１の実施の形態によるクライアント装置の機能構成の一例を示す図である。第１の実施の形態によるコンピュータのハードウェア構成の一例を示す図である。第１の実施の形態によるデータベース上に格納されるデータテーブルの一例を示す図である。第１の実施の形態による脆弱性検出結果テーブルの一例を示す図である。第１の実施の形態による脆弱性情報テーブルの一例を示す図である。第１の実施の形態による脅威情報テーブルの一例を示す図である。第１の実施の形態による制御操作情報テーブルの一例を示す図である。第１の実施の形態による脆弱性／制御操作対応テーブルの一例を示す図である。第１の実施の形態による脅威分析結果テーブルの一例を示す図である。第１の実施の形態による脆弱性検出処理に係る処理手順を示すフローの一例を示す図である。第１の実施の形態による脆弱性情報取得処理に係る処理手順を示すフローの一例を示す図である。第１の実施の形態による設計情報入力処理に係る処理手順を示すフローの一例を示す図である。第１の実施の形態による脅威分析処理に係る処理手順を示すフローの一例を示す図である。第１の実施の形態による脅威分析処理に係るフローチャートの一例を示す図である。第１の実施の形態による影響度評価処理に係るフローチャートの一例を示す図である。第１の実施の形態によるベイジアンネットワークモデルの一例を示す図である。第１の実施の形態による脅威分析結果画面の一例を示す図である。

　以下図面について、本発明の一実施の形態を詳述する。

（１）第１の実施の形態
　図１において、１０は第１の実施の形態による脅威分析システムを示す。

（システム構成）
　図１は、本実施の形態の脅威分析システム１０に係る構成の一例を示す図である。脅威分析システム１０は、脆弱性情報、脆弱性がもたらす機器単位での脅威の情報に加え、脆弱性と事業者視点の脅威との関係を分析し、よりシステムのセキュリティ要件に適した脅威分析を可能とするコンピュータシステムである。

　脅威分析システム１０は、脅威分析サーバ１０５とデータベース１０７とを備え、ネットワーク１０２（ネットワーク１０２＿１、ネットワーク１０２＿２、インターネット１０２＿３等）を介して、管理対象機器１０１（管理対象機器１０１＿１～１０１＿ｎ）の脆弱性を検出する脆弱性検出装置１０３、脆弱性情報公開機関１０４、およびクライアント装置１０６と通信可能に接続されている。

　管理対象機器１０１は、管理者が脅威分析対象として管理するシステム（脅威分析対象システム）を構成する機器であり、一または複数の管理対象機器１０１を含んで構成される。本実施の形態において評価対象となるのは、管理対象機器１０１が保有する脆弱性がもたらすリスクである。

　脆弱性検出装置１０３は、脅威分析の対象システム、すなわち管理対象機器１０１に関する情報（システム情報、各管理対象機器１０１の識別情報など）を収集し、管理対象機器１０１が保有する脆弱性を検出する装置である。

　脆弱性情報公開機関１０４は、インターネット１０２＿３上で脆弱性情報を公開している所定機関のサーバ装置である。脆弱性情報公開機関１０４の運営機関の例としては、コンピュータウィルスの検出と対処など各種セキュリティ対策サービスを提供する企業、ＯＳ（Operating　System）の提供企業などが想定できる。こうした運営機関は、特定の情報処理装置、ＯＳ、またはソフトウェアに関して得ている、情報セキュリティに関する脆弱性情報を脆弱性情報公開機関１０４によって公開する。

　脅威分析サーバ１０５は、データベース１０７上の情報と、クライアント装置１０６を介して受けた管理者の要求とに基づいて、本実施の形態の脅威分析方法に対応する各手順を実行するサーバ装置である。脅威分析サーバ１０５は、脆弱性検出装置１０３の機能（構成）を含んで構成してもよい。

　クライアント装置１０６は、管理者が直接操作する一般的なコンピュータ端末であり、脅威分析サーバ１０５による処理結果、すなわち脅威分析結果の主たる出力先となる装置となる。

　データベース１０７は、脆弱性検出装置１０３が導出した脆弱性検出結果と、脅威分析サーバ１０５が収集した脆弱性情報、脅威分析サーバ１０５が導出した脅威分析結果などを格納する記憶装置であり、ネットワーク１０２＿２を介して脅威分析サーバ１０５と通信可能に接続されている。なお、データベース１０７は、脅威分析サーバ１０５の外部記憶装置７０４（図７参照）に格納さる構成としても好適である。

　脅威分析システム１０については、脅威分析サーバ１０５がデータベース１０７にアクセス可能である構成を適宜に採用でき、脅威分析システム１０は、データベース１０７を含んでいてもよいし、含んでいなくてもよい。また、脅威分析システム１０は、脅威分析サーバ１０５以外の装置（脆弱性検出装置１０３、クライアント装置１０６等）を適宜含んで構成されてもよい。

　なお、管理対象機器１０１と脆弱性検出装置１０３とは、ネットワーク１０２＿１を介して接続され、脆弱性情報公開機関１０４と脅威分析サーバ１０５とは、インターネット１０２＿３を介して接続されている。ただし、ネットワーク１０２＿１，１０２＿３は、必須ではなく、脆弱性検出装置１０３がＵＳＢ（Universal　Serial　Bus）からの読み取り、適宜なインタフェースからのユーザ入力動作を受けてデータを取得する構成としてもよい。また、本実施の形態においては、ネットワーク１０２＿１，１０２＿２，１０２＿３については異なるネットワークとして例示したが、同一のネットワークであってもよい。付言するならば、図１に示す構成において符号を付した構成要素は、実施の形態に応じて複数であるとしてもよい。

（機能構成）
　脅威分析システム１０が備える機能について説明する。ここでは、脅威分析サーバ１０５のみならず、例えば脅威分析システム１０を含む各装置が、そのメモリ７０３ないし外部記憶装置７０４（図７参照）にて備える適宜なプログラムを実行することで実装（実現）される機能についてそれぞれ説明するものとする。

　図２は、管理対象機器１０１の機能構成の一例を示す図である。管理対象機器１０１は、送受信部２０１および制御部２０２を含んで構成されている。

　送受信部２０１は、ネットワーク１０２＿１を介して、脆弱性検出装置１０３との間で情報の送受信を行う処理部である。

　制御部２０２は、システム情報出力部２０３を含んで構成されている。システム情報出力部２０３は、管理対象機器１０１の識別情報を示すＩＤ（identification）、機器名などの機器に関する情報を収集し、収集した機器に関する情報を送受信部２０１を介して脆弱性検出装置１０３に送信する処理部である。

　システム情報出力部２０３における情報収集には、管理対象機器１０１におけるＯＳの標準的な機能を利用することができるが、その他にも、セキュリティ検査言語（ＯＶＡＬ：Open　Vulnerability　and　Assessment　Language）で定義された検査仕様に基づく情報収集ツールなどを利用してもよく、形態は限定しない。

　図３は、脆弱性検出装置１０３の機能構成の一例を示す図である。脆弱性検出装置１０３は、送受信部３０１および制御部３０２を含んで構成されている。

　送受信部３０１は、ネットワーク１０２＿１，１０２＿２を介して情報の送受信を行う処理部である。

　制御部３０２は、システム情報収集部３０３、脆弱性検出処理部３０４、および脆弱性検出結果出力部３０５を含んで構成されている。システム情報収集部３０３は、送受信部３０１を介して、管理対象機器１０１からシステム情報を受信する処理部である。脆弱性検出処理部３０４は、所定のアルゴリズムに基づいて機器が保有する脆弱性を検出する処理部である。なお、脆弱性を検出する方法としては、管理対象機器１０１が保有するソフトウェア情報から関連する脆弱性を検索する方法、管理対象機器１０１上で検査コードを実行する方法などを利用してもよく、形態は限定しない。脆弱性検出結果出力部３０５は、脆弱性検出処理部３０４の処理結果（脆弱性検出結果）を、送受信部３０１を介して脅威分析サーバ１０５に送信する処理部である。

　図４は、脆弱性情報公開機関１０４の機能構成の一例を示す図である。脆弱性情報公開機関１０４は、送受信部４０１および制御部４０２を含んで構成されている。

　送受信部４０１は、ネットワーク１０２＿３を介して脅威分析サーバ１０５との間で情報の送受信を行う処理部である。

　制御部４０２は、脆弱性情報出力部４０３を含んで構成されている。脆弱性情報出力部４０３は、送受信部４０１を介して、脅威分析サーバ１０５に対して脆弱性情報を送信する。脆弱性情報公開機関１０４における情報の収集、管理の手法は、脆弱性情報公開機関１０４の仕様、脆弱性情報公開機関１０４の運営企業などにより異なるため、ここでは特に限定しない。また、本実施の形態では、一の（全て同じ）脆弱性情報公開機関１０４から情報を受信する例を挙げているが、異なる脆弱性情報公開機関１０４から情報を受信してもよく、形態は限定しない。

　図５は、脅威分析サーバ１０５の機能構成の一例を示す図である。脅威分析サーバ１０５は、送受信部５０１および制御部５０２を含んで構成されている。

　送受信部５０１は、ネットワーク１０２＿２，１０２＿３を介して情報の送受信を行う処理部である。

　制御部５０２は、脆弱性検出結果収集部５０３、脆弱性情報収集部５０４、設計情報収集部５０５、脅威分析処理部５０６、影響度評価処理部５０７、および脅威分析結果出力部５０８を含んで構成されている。

　脆弱性検出結果収集部５０３は、送受信部５０１を介して脆弱性検出装置１０３から脆弱性検出結果を受信し、受信した脆弱性検出結果をデータベース１０７に保存する処理部である。

　脆弱性情報収集部５０４は、送受信部５０１を介して脆弱性情報公開機関１０４から脆弱性情報を受信し、受信した脆弱性情報をデータベース１０７に保存する処理部である。

　設計情報収集部５０５は、送受信部５０１を介してクライアント装置１０６から設計情報を受信し、受信した設計情報をデータベース１０７に保存する処理部である。

　脅威分析処理部５０６は、データベース１０７上の各情報を利用して、例えば、管理対象機器１０１が保有する脆弱性が設計情報で定義された事業者視点での脅威に関連するかを分析する処理部である。

　付言するならば、脅威分析処理部５０６は、例えば、記憶部（例えば、データベース１０７）に記憶されている、脅威分析対象システムを構成する機器（例えば、管理対象機器１０１）と機器に含まれる脆弱性とが対応付けられた第１情報（例えば、後述の脆弱性検出結果テーブル８０１における機器ＩＤ９０１および脆弱性ＩＤ９０２）と、機器と脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第２情報（例えば、後述の制御操作情報テーブル８０４における脅威ＩＤ１２０２、並びに、始点機器ＩＤ１２０４および／または終点機器ＩＤ１２０５）と、に基づいて、機器に含まれる脆弱性と脅威分析対象システムにおける脅威とを関連付ける。また、例えば、脅威分析処理部５０６は、記憶部に記憶されている、機器に含まれる脆弱性の種別と、機器に係る制御操作の種別と、脆弱性が制御操作に与える脆弱性影響度とが対応付けられた第３情報（例えば、後述の脆弱性／制御操作対応テーブル８０５における脆弱性種別１３０１、制御操作種別１３０２、および脆弱性影響度１３０４）に基づいて、機器に含まれる脆弱性の種別と機器に係る制御操作の種別とに対応する脆弱性影響度が所定の値（例えば、０％より大きい値）である制御操作を更に関連付ける。

　影響度評価処理部５０７は、脅威分析処理部５０６が導き出した脅威分析の結果から、例えば、管理対象機器１０１が保有する脆弱性が設計情報で定義された事業者視点での脅威に与える影響の大きさを算定する処理部である。付言するならば、影響度評価処理部５０７は、例えば、機器（例えば、管理対象機器１０１）に含まれる脆弱性が脅威分析対象システムにおける脅威に与える影響の大きさを所定のアルゴリズム（例えば、ベイジアンネットワーク）を用いて評価する。

　脅威分析結果出力部５０８は、送受信部５０１を介して、クライアント装置１０６に対し、脅威分析処理部５０６および影響度評価処理部５０７が導き出した脅威分析結果を送信する処理部である。

　脅威分析サーバ１０５における各機能部による処理の詳細については、図１９および図２０を用いて後述するものとする。

　図６は、クライアント装置１０６の機能構成の一例を示す図である。クライアント装置１０６は、送受信部６０１、入出力部６０２、および制御部６０３を含んで構成されている。

　送受信部６０１は、ネットワーク１０２＿２を介して情報の送受信を行う処理部である。

　入出力部６０２は、キーボード、ポインティングデバイスなどのインタフェース機器を介してシステム管理者などのユーザからの入力を制御し、モニタなどのインタフェース機器を介してユーザ向けの出力処理を制御する処理部である。

　制御部６０３は、設計情報入力画面表示部６０４、設計情報出力部６０５、脅威分析結果収集部６０６、および脅威分析結果画面表示部６０７を含んで構成されている。設計情報入力画面表示部６０４は、入出力部６０２を介して、ユーザに対して情報入力のための画面を表示し、脅威分析対象システムの設計情報の入力を受け付ける処理部である。設計情報出力部６０５は、送受信部６０１を介して、設計情報入力画面表示部６０４で受け付けた設計情報を脅威分析サーバ１０５に送信する処理部である。脅威分析結果収集部６０６は、送受信部６０１を介して、脅威分析サーバ１０５から脅威分析結果を受信する処理部である。脅威分析結果画面表示部６０７は、入出力部６０２を介して、ユーザに対して脅威分析結果収集部６０６が受信した脅威分析結果を表示する処理部である。

（ハードウェア構成）
　図７は、コンピュータ７０１のハードウェア構成の一例を示す図である。管理対象機器１０１、脆弱性検出装置１０３、脆弱性情報公開機関１０４、および脅威分析サーバ１０５の各々は、コンピュータ７０１により構成される。

　コンピュータ７０１は、ＣＰＵ７０２（Central　Processing　Unit）、ＲＡＭ（Random　Access　Memory）など揮発性記憶素子で構成されるメモリ７０３、ＳＳＤ（Solid　State　Drive）、ハードディスクドライブなど適宜な不揮発性記憶素子で構成される外部記憶装置７０４、ネットワークインターフェイスカード（ＮＩＣ：Network　Interface　Card）などの送受信装置７０５、ディスプレイなどの出力装置７０６、およびポインティングデバイス、キーボードなどの入力装置７０７を含んで構成されている。

　出力装置７０６および入力装置７０７については、管理対象機器１０１、脆弱性検出装置１０３、脆弱性情報公開機関１０４、および脅威分析サーバ１０５のいずれも備えないとしてもよい。

　また、図２～図６で例示した各装置の制御部２０２，３０２，４０２，５０２，６０３、送受信部２０１，３０１，４０１，５０１，６０１、および入出力部６０２は、ＣＰＵ７０２が上述の外部記憶装置７０４に記憶された適宜なプログラムをメモリ７０３にロードし実行することで実装される。なお、送受信部２０１，３０１，４０１，５０１，６０１は、送受信装置７０５により実装されてもよい。また、入出力部６０２は、出力装置７０６および入力装置７０７により実装されてもよい。

（データ構成）
　脅威分析サーバ１０５が利用するデータの構成例について説明する。脅威分析サーバ１０５にて利用するデータは、少なくとも、脆弱性検出装置１０３により管理対象機器１０１が保有する脆弱性を検出した脆弱性検出結果情報、脆弱性情報公開機関１０４が公開する脆弱性情報、ユーザが入力する脅威分析対象システムの設計情報、および脆弱性と脅威とを対応付けるためのルールとなる対応付け情報を含んでいる。

　図８は、データベース１０７上に格納されるデータテーブルの一例を示す図である。データベース１０７では、脆弱性検出結果テーブル８０１、脆弱性情報テーブル８０２、事業者視点の脅威情報テーブル８０３、制御操作情報テーブル８０４、脆弱性／制御操作対応テーブル８０５、脅威分析結果テーブル８０６等を格納している。各テーブル間は、互いのレコードが含む所定のＩＤなどにより相互に関連付けられている。各テーブルの詳細について図９～図１４を用いて説明する。

　図９は、脆弱性検出結果テーブル８０１の一例を示す図である。図９において、脆弱性検出結果テーブル８０１は、機器ＩＤ９０１、脆弱性ＩＤ９０２、およびその他機器情報９０３をデータ項目として有する。

　機器ＩＤ９０１は、機器に対してユニークに割り当てられた識別子である。脆弱性ＩＤ９０２は、対応する機器ＩＤ９０１が表す機器が保有する脆弱性のＩＤである。図９の例では、機器ＩＤ９０１と脆弱性ＩＤ９０２との組により機器と脆弱性との保有関係を管理している。その他機器情報９０３は、機器名など、機器に関する情報である。例えば、ユーザが「鉄道の踏切制御システム」を脅威分析対象システムとしており、機器名「踏切制御装置」という機器（機器の識別子「ＤＥＶ１１１」）が脆弱性「ＶＵＬ－２０１７－０９３０」という脆弱性を保有していた場合、本実施の形態では、機器ＩＤ９０１に「ＤＥＶ１１１」、脆弱性ＩＤ９０２に「ＶＵＬ－２０１７－０９３０」、その他機器情報９０３に「踏切制御装置」を持つレコードが格納される。

　図１０は、脆弱性情報テーブル８０２の一例を示す図である。図１０において、脆弱性情報テーブル８０２は、脆弱性ＩＤ１００１、脆弱性種別１００２、攻撃容易性１００３、およびその他脆弱性情報１００４をデータ項目として有する。

　脆弱性ＩＤ１００１は、脆弱性に対してユニークに割り当てられた識別子である。脆弱性種別１００２は、脆弱性の種別である。一般的に、脆弱性情報公開機関１０４では、ＣＷＥ（Common　Weakness　Enumeration）などの標準的なセキュリティ規格に基づいて、個々の脆弱性に対して、種別を付与してセキュリティ情報を公開しており、脆弱性種別１００２として、同種別を利用することが可能である。攻撃容易性１００３は、脆弱性を狙った攻撃の発生確率、またはスコアである。一般的に、脆弱性情報公開機関１０４では、ＣＶＳＳ（Common　Vulnerability　Scoring　System）などの標準的なセキュリティ規格に基づいて、個々の脆弱性に対して、技術特性の観点から攻撃容易性、機器への影響度などのスコアを付与してセキュリティ情報を公開しており、攻撃容易性１００３として、同スコアを利用することが可能である。その他脆弱性情報１００４は、脆弱性の概要など、脆弱性に関する情報である。

　図１１は、事業者視点の脅威情報テーブル８０３の一例を示す図である。図１１において、事業者視点の脅威情報テーブル８０３は、脅威ＩＤ１１０１、脅威度１１０２、およびその他脅威情報１１０３をデータ項目として有する。

　脅威ＩＤ１１０１は、脅威に対してユニークに割り当てられた識別子である。脅威度１１０２は、脅威が発生した場合に被る被害の大きさのスコアである。その他脅威情報１１０３は、脅威名など、脅威に関する情報である。本実施の形態では、脅威情報は、ユーザが入力する情報であり、設計方法により形態は異なる。例えば、設計方法としては、ＳＴＡＭＰ／ＳＴＰＡ（System　Theoretic　Accident　Model　and　Processes　/　System　Theoretic　Process　Analysis）を利用してもよく、その場合は、ＳＴＡＭＰ／ＳＴＰＡで定義される「アクシデント」が本実施の形態における脅威となる。

　図１２は、制御操作情報テーブル８０４の一例を示す図である。図１２において、制御操作情報テーブル８０４は、制御操作ＩＤ１２０１、脅威ＩＤ１２０２、制御操作種別１２０３、始点機器ＩＤ１２０４、終点機器ＩＤ１２０５、およびその他制御操作情報１２０６をデータ項目として有する。

　制御操作ＩＤ１２０１は、制御操作（制御指示）に対してユニークに割り当てられた識別子である。脅威ＩＤ１２０２は、対応する制御操作ＩＤ１２０１に関係する脅威のＩＤである。図１２の例では、制御操作ＩＤ１２０１と脅威ＩＤ１２０２との組により制御操作と脅威との関係を管理している。制御操作種別１２０３は、制御操作の種別である。例えば、ＳＴＡＭＰ／ＳＴＰＡでは、制御操作を分類しており、制御操作種別１２０３として同種別を利用するが可能である。始点機器ＩＤ１２０４は、対応する制御操作を実施／送信する機器のＩＤである。終点機器ＩＤ１２０５は、対応する制御操作を受信する機器のＩＤである。図１２の例では、始点機器ＩＤ１２０４と終点機器ＩＤ１２０５との組により制御操作を実施する機器とその制御操作を受ける機器との関係を管理している。なお、制御操作を受ける対象となる機器がない場合は、終点機器ＩＤを空欄にすることで管理する方法が可能である。

　その他制御操作情報１２０６は、制御操作名など、制御操作に関する情報である。例えば、上述の「鉄道の踏切制御システム」に対して行った、ＳＴＡＭＰ／ＳＴＰＡを用いた設計で、機器名「踏切制御装置」（機器ＩＤ「ＤＥＶ１１１」）から機器名「障害物検出装置」（機器ＩＤ「ＤＥＶ２２２」）への制御操作「障害物検出開始の指示」（制御操作ＩＤ「ＡＣ３３３」）の不具合が脅威「踏切内で自動車と衝突する」（脅威ＩＤ「Ｔ４４４」）に繋がるという設計結果が得られた場合、本実施の形態では、制御操作ＩＤ１２０１に「ＡＣ３３３」、脅威ＩＤ１２０２に「Ｔ４４４」、始点機器ＩＤ１２０４に「ＤＥＶ１１１」、終点機器ＩＤ１２０５に「ＤＥＶ２２２」、その他制御操作情報１２０６に「障害物検出開始の指示」を持つレコードを格納する。

　図１３は、脆弱性／制御操作対応テーブル８０５の一例を示す図である。図１３において、脆弱性／制御操作対応テーブル８０５は、脆弱性種別１３０１、制御操作種別１３０２、制御操作点１３０３、および脆弱性影響度１３０４をデータ項目として有する。

　脆弱性種別１３０１は、脆弱性の種別である。制御操作種別１３０２は、制御操作の種別である。図１３の例では、脆弱性種別１３０１と制御操作種別１３０２との組によりそれぞれの種別単位で脆弱性と制御操作との関係を管理している。制御操作点１３０３は、脆弱性が存在する機器が制御操作の始点にあるか、または終点にあるかを表す２値の値である。脆弱性影響度１３０４は、脆弱性が攻撃された場合、制御操作が阻害される確率、またはスコアである。本実施の形態では、脆弱性／制御操作対応情報については、有識者が事前に定義し、脅威分析システム１０が稼動する前に格納しておく情報である。

　図１４は、脅威分析結果テーブル８０６の一例を示す図である。図１４において、脅威分析結果テーブル８０６は、機器ＩＤ１４０１、脆弱性ＩＤ１４０２、脆弱性種別１４０３、制御操作ＩＤのリスト１４０４、制御操作影響度のリスト１４０５、脅威ＩＤのリスト１４０６、脅威影響度のリスト１４０７、およびシステム影響度１４０８をデータ項目として有する。

　機器ＩＤ１４０１は、機器に対してユニークに割り当てられた識別子である。脆弱性ＩＤ１４０２は、対応する機器ＩＤ１４０１が表す機器が保有する脆弱性のＩＤである。図１４の例では、機器ＩＤ１４０１と脆弱性ＩＤ１４０２との組により、脆弱性検出結果テーブル８０１の脆弱性検出結果と脅威分析結果とを対応付けており、１レコードに検出された脆弱性１つに対する脅威分析結果を格納している。脆弱性種別１４０３は、脆弱性の種別である。

　制御操作ＩＤのリスト１４０４は、検出された脆弱性に関係する制御操作のＩＤのリストである。制御操作影響度のリスト１４０５は、制御操作が阻害される確率、またはスコアのリストである。制御操作影響度のリスト１４０５には、制御操作ＩＤのリスト１４０４の制御操作ＩＤ毎に対応する制御操作影響度がリスト化されている。脅威ＩＤのリスト１４０６は、検出された脆弱性に関係する脅威のＩＤのリストである。脅威影響度のリスト１４０７は、脅威が発生される確率、またはスコアのリストである。脅威影響度のリスト１４０７には、脅威ＩＤのリスト１４０６の脅威ＩＤ毎に対応する脅威影響度がリスト化されている。システム影響度１４０８は、検出された脆弱性がシステム全体に与える影響度である。本実施の形態では、脅威分析サーバ１０５が所定のアルゴリズムにより脅威分析した処理結果を脅威分析結果テーブル８０６に格納する。

　なお、本実施の形態においては、脆弱性検出結果テーブル８０１、脆弱性情報テーブル８０２、事業者視点の脅威情報テーブル８０３、制御操作情報テーブル８０４、脆弱性／制御操作対応テーブル８０５、および脅威分析結果テーブル８０６をデータベース１０７上に構築しているが、脅威分析サーバ１０５にて格納するとしてもよい。また、上述の各テーブルの少なくともいずれかが結合した１つのテーブルであってもよいし、より正規化されたテーブルであってもよい。

（分析方法）
　以下、本実施の形態における脅威分析方法の実際手順について図を用いて説明する。以下で説明する脅威分析方法に対応する各種動作は、脅威分析システム１０を構成する、例えば脅威分析サーバ１０５がメモリ７０３などに読み出して実行するプログラムによって実現される。そしてこのプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。なお、以下の説明においては、脅威分析サーバ１０５が実行する処理のみならず、他の装置が実行する処理についても適宜説明するものとする。

（脆弱性検出処理に係るフロー）
　図１５は、本実施の形態における脆弱性検出処理に係る処理手順を示すフローの一例を示す図である。ここでは、主に、脆弱性検出装置１０３の脆弱性検出処理について説明する。かかる処理は、脅威分析サーバ１０５において、脅威分析処理を行う前（少なくとも直前）に、予め実行しておく必要がある。また、システム情報（管理対象機器１０１から得られる情報）、脆弱性情報（脆弱性情報公開機関１０４から得られる情報）などは、管理対象機器１０１、脆弱性情報公開機関１０４等にて随時、追加、更新などがなされているため、脅威分析システム１０（に含まれる若しくは協働する管理対象機器１０１、脆弱性検出装置１０３、または脅威分析サーバ１０５）においては、これら各情報の取得処理をバックグラウンドの処理として実行するとすれば好適である。

　まず、脆弱性検出装置１０３のシステム情報収集部３０３は、管理対象機器１０１にシステム情報収集の処理を依頼する。同依頼を受けた管理対象機器１０１は、システム情報出力部２０３を起動し、自身のＯＳにおける標準機能により、システム情報を収集し、脆弱性検出装置１０３に送信する（ステップＳ１５０１）。

　次に、脆弱性検出装置１０３における脆弱性検出処理部３０４は、システム情報に基づいて、管理対象機器１０１が保有する脆弱性を検出する（ステップＳ１５０２）。なお、脆弱性を検出する方法としては、セキュリティ検査言語（ＯＶＡＬ）で定義された検査仕様に基づくツールを利用してもよく、形態は限定しない。

　次に、脆弱性検出装置１０３における脆弱性検出結果出力部３０５は、送受信部３０１を介して、脆弱性検出処理部３０４の脆弱性検出結果を脅威分析サーバ１０５に送信する（ステップＳ１５０３）。

　脆弱性検出装置１０３から脆弱性検出結果を受信した脅威分析サーバ１０５の脆弱性検出結果収集部５０３は、データベース１０７の脆弱性検出結果テーブル８０１に対して、データの追加を行う（ステップＳ１５０４）。データベース１０７は、データの追加のリクエストを受けて、リクエストが含む機器ＩＤと脆弱性ＩＤとの組をキーに脆弱性検出結果テーブル８０１を検索し、該当機器ＩＤと脆弱性ＩＤとの組に関するレコードがない場合、新規にレコードを生成し、リクエストが含む脆弱性検出結果のうち該当項目の値をセットする。また、データベース１０７は、脆弱性検出結果テーブル８０１にて該当機器ＩＤと脆弱性ＩＤとの組に関するレコードが既に存在する場合、該当レコードにおいて、リクエストが含む脆弱性検出結果のうち該当項目の値でデータ更新を行う。

　以上の処理（ステップＳ１５０１～ステップＳ１５０４）は、管理対象機器１０１毎に実行され、管理対象機器１０１の数だけ反復されることとなる。本実施の形態では、管理対象機器１０１と脆弱性検出装置１０３との間でクライアントサーバ構成を採っており、システム情報などの取得処理を自動化して運用を効率化している。

　ただし、クライアント装置１０６などを利用するユーザの手によって、データファイル形式で管理対象機器１０１のシステム情報を記述し、これを脆弱性検出装置１０３に入力するとしてもよい。このようにユーザの手によりシステム情報の入力を行うことで、管理対象機器１０１をエージェントレスで動作させることができる利点はある。また、本実施の形態では、定期的にシステム情報を送信する実施の形態としているが、システム情報の変化を検出し、システム情報が変化したタイミングで同システム情報を送信してもよい。

（脆弱性情報取得処理に係るフロー）
　脆弱性情報公開機関１０４から脆弱性情報を取得する処理について図１６を用いて説明する。

　図１６は、本実施の形態における脆弱性情報取得処理に係る処理手順を示すフローの一例を示す図である。この場合、まず、脅威分析サーバ１０５の脆弱性情報収集部５０４は、脆弱性情報公開機関１０４に脆弱性情報送信の処理を依頼する。同依頼を受けた脆弱性情報公開機関１０４は、脆弱性情報出力部４０３を起動し、脆弱性情報を脅威分析サーバ１０５に送信する（ステップＳ１６０１）。なお、脆弱性情報公開機関１０４と脅威分析サーバ１０５との間での情報授受の手法は、脆弱性情報公開機関１０４の仕様に基づくものとする。

　脆弱性情報公開機関１０４から脆弱性情報を受信した脅威分析サーバ１０５の脆弱性情報収集部５０４は、データベース１０７の脆弱性情報テーブル８０２に対して、データの追加を行う（ステップＳ１６０２）。データベース１０７は、データの追加のリクエストを受けて、リクエストが含む脆弱性ＩＤをキーに脆弱性情報テーブル８０２を検索し、該当脆弱性ＩＤに関するレコードがない場合、新規にレコードを生成し、リクエストが含む脆弱性情報のうち該当項目の値をセットする。また、データベース１０７は、脆弱性情報テーブル８０２にて該当脆弱性ＩＤに関するレコードが既に存在する場合、該当レコードにおいて、リクエストが含む脆弱性情報のうち該当項目の値でデータ更新を行う。

　本実施の形態では、脆弱性情報公開機関１０４と脅威分析サーバ１０５との間で、脆弱性情報取得処理を自動化して運用を効率化している。

（設計情報入力処理に係るフロー）
　ユーザがクライアント装置１０６を介して設計情報を入力する処理について図１７を用いて説明する。

　図１７は、本実施の形態における設計情報入力処理に係る処理手順を示すフローの一例を示す図である。この場合、まず、クライアント装置１０６の設計情報入力画面表示部６０４は、入出力部６０２を介して、ユーザに設計情報入力用の画面を表示し、ユーザから設計情報（事業者視点の脅威情報、制御操作情報など）の入力を受け付ける（ステップＳ１７０１）。なお、設計情報の入力方法としては、ＧＵＩ（Graphical　User　Interface）を介してデータをフォームに入力する方法、ＸＭＬ（Extensible　Markup　Language）などのファイル形式の設計情報を読み込む方法などが可能であり、形態は限定しない。

　次に、クライアント装置１０６は、送受信部６０１を介して、設計情報を脅威分析サーバ１０５に送信する（ステップＳ１７０２）。

　クライアント装置１０６から設計情報を受信した脅威分析サーバ１０５の設計情報収集部５０５は、データベース１０７の事業者視点の脅威情報テーブル８０３、制御操作情報テーブル８０４に対して、データの追加を行う（ステップＳ１７０３）。データベース１０７は、データの追加のリクエストを受けて、リクエストが含む脅威ＩＤをキーに事業者視点の脅威情報テーブル８０３を検索し、該当脅威ＩＤに関するレコードがない場合、新規にレコードを生成し、リクエストが含む事業者視点の脅威情報のうち該当項目の値をセットする。また、データベース１０７は、事業者視点の脅威情報テーブル８０３にて該当脅威ＩＤに関するレコードが既に存在する場合、該当レコードにおいて、リクエストが含む事業者視点の脅威情報のうち該当項目の値でデータ更新を行う。また、データベース１０７は、データ追加のリクエストを受けて、リクエストが含む制御操作ＩＤをキーに制御操作情報テーブル８０４を検索し、該当制御操作ＩＤに関するレコードがない場合、新規にレコードを生成し、リクエストが含む制御操作情報のうち該当項目の値をセットする。また、データベース１０７は、制御操作情報テーブル８０４にて該当制御操作ＩＤに関するレコードが既に存在る場合、該当レコードにおいて、リクエストが含む制御操作情報のうち該当項目の値でデータ更新を行う。

（脅威分析処理に係るフロー（メインフロー））
　次に、脅威分析サーバ１０５が脅威分析する処理について図１８を用いて説明する。

　図１８は、本実施の形態における脅威分析処理に係る処理手順を示すフローの一例を示す図である。この場合、まず、クライアント装置１０６は、入出力部６０２を介して、ユーザの要求を受け付け、脅威分析サーバ１０５に脅威分析処理を依頼する（ステップＳ１８０１）。

　クライアント装置１０６から脅威分析処理の依頼を受信した脅威分析サーバ１０５は、脅威分析処理部５０６を起動し、データベース１０７上の脆弱性検出結果テーブル８０１、脆弱性情報テーブル８０２、事業者視点の脅威情報テーブル８０３、制御操作情報テーブル８０４、脆弱性／制御操作対応テーブル８０５、脅威分析結果テーブル８０６から各情報を取得する（ステップＳ１８０２）。なお、本実施の形態では、脅威分析サーバ１０５が、脅威分析処理に必要となる情報をステップＳ１８０２にて一括取得し、メモリ７０３上に展開する形態としているが、脅威分析処理の各ステップで情報が必要となったタイミングで、都度データベース１０７にアクセスし、必要な情報のみに限定して取得するとしてもよい。

　次に、脅威分析サーバ１０５の脅威分析処理部５０６は、取得した各情報に基づいて脅威分析処理を実施する（ステップＳ１８０３）。ここで、脅威分析処理（ステップＳ１８０３）について図１９を用いて説明する。

　図１９は、脅威分析処理に係るフローチャートの一例を示す図である。

　まず、脅威分析処理部５０６は、脆弱性検出結果テーブル８０１の脆弱性検出結果情報に基づいて、検出された脆弱性全てに対して、ステップＳ１９０２～ステップＳ１９０９の処理を実施する（ステップＳ１９０１）。ステップＳ１９０２～ステップＳ１９０９の詳細については後述する。

　ステップＳ１９０２では、脅威分析処理部５０６は、検出された脆弱性を保有する機器と該当脆弱性の種別とが一致する脅威分析結果の有無を判定する。脅威分析処理部５０６は、脆弱性検出結果情報に含まれる脆弱性ＩＤをキーに脆弱性情報テーブル８０２を検索し、該当脆弱性ＩＤに関係する脆弱性種別を取得する。また、脅威分析処理部５０６は、脆弱性検出結果情報に含まれる機器ＩＤと該当脆弱性種別との組をキーに脅威分析結果テーブル８０６を検索し、該当機器ＩＤと脆弱性種別との組に関するレコードがないと判定した場合、ステップＳ１９０３～ステップＳ１９０６の処理を実施する。他方、脅威分析処理部５０６は、脅威分析結果テーブル８０６にて該当機器ＩＤと脆弱性種別との組に関するレコードが既に存在すると判定した場合、ステップＳ１９０７の処理を実施する。本実施の形態では、脅威分析結果情報を機器ＩＤと脆弱性種別とに関連付けてデータベース１０７に格納しておき、ステップＳ１９０２の処理で脆弱性検出結果の有無を判定することで、ステップＳ１９０３～ステップＳ１９０６の処理を省略可能とし、脅威分析処理の計算量を削減している。なお、ステップＳ１９０３～ステップＳ１９０６の詳細については後述するが、検出された脆弱性を保有する機器と該当脆弱性の種別とが一致する場合、同じ結果が得られる処理である。ステップＳ１９０７の詳細についても後述する。

　次に、ステップＳ１９０２の処理で関連する脅威検出結果がないと判定した場合、脅威分析処理部５０６は、検出された脆弱性に関連する制御操作の集合を生成する（ステップＳ１９０３）。該当集合は、まず空集合として生成され、ステップＳ１９０４～ステップＳ１９０６の処理で検出された脆弱性に関連する制御操作が追加される。

　次に、脅威分析処理部５０６は、制御操作情報テーブル８０４の制御操作情報に基づいて、制御操作全てに対して、ステップＳ１９０５およびステップＳ１９０６の処理を実施する（ステップＳ１９０４）。

　ステップＳ１９０５では、脅威分析処理部５０６は、検知された脆弱性と制御操作との関連の有無を判定する。脅威分析処理部５０６は、脆弱性検出結果情報に含まれる機器ＩＤと制御操作情報に含まれる始点機器ＩＤまたは終点機器ＩＤが一致するか否かを判定し、該当機器ＩＤが該当始点機器ＩＤまたは該当終点機器ＩＤと一致しないと判定した場合、ステップＳ１９０５を終了し、ステップＳ１９０６を省略する。脅威分析処理部５０６は、該当機器ＩＤが該当始点機器ＩＤと一致すると判定した場合、制御操作点を「始点」とする。脅威分析処理部５０６は、該当機器ＩＤが該当終点機器ＩＤと一致すると判定した場合、制御操作点を「終点」とする。なお、制御操作点は、前述のように脆弱性が存在する機器が制御操作の始点にあるか、または終点にあるかを意味する。また、脅威分析処理部５０６は、脆弱性検出結果情報に含まれる脆弱性ＩＤをキーに脆弱性情報テーブル８０２を検索し、該当脆弱性ＩＤに関係する脆弱性種別を取得する。また、脅威分析処理部５０６は、該当脆弱性種別と制御操作情報に含まれる制御操作種別と該当制御操作点との組をキーに脆弱性／制御操作対応テーブル８０５を検索し、該当脆弱性種別と制御操作種別と制御操作点との組に関する脆弱性影響度を取得し、取得した脆弱性影響度が「０％」であると判定した場合、ステップＳ１９０６を省略する。脅威分析処理部５０６は、脆弱性影響度が「０％」より大きいと判定した場合、ステップＳ１９０６を実施する。

　次に、脅威分析処理部５０６は、ステップＳ１９０５の処理で、検知された脆弱性と制御操作との関連があると判定した場合、該当制御操作を検出された脆弱性に関連する制御操作の集合に追加する。

　一方、脅威分析処理部５０６は、ステップＳ１９０２の処理で、関連する脅威検出結果があると判定した場合、脅威分析処理部５０６は、該当脅威検出結果に含まれる制御操作の集合を取得し、複製する（ステップＳ１９０７）。

　次に、脅威分析処理部５０６は、脆弱性検出結果に対応する脅威分析結果が格納済であるか否かを判定する（ステップＳ１９０８）。脅威分析処理部５０６は、脆弱性検出結果に含まれる機器ＩＤと該当脆弱性ＩＤとの組をキーに脅威分析結果テーブル８０６を検索し、該当機器ＩＤと脆弱性ＩＤとの組に関するレコードがないと判定した場合、新規にレコードを生成し、脆弱性検出結果情報と脆弱性とに関連する制御操作の集合のうち該当項目の値をセットする（ステップＳ１９０９）。なお、制御操作影響度のリスト１４０５、脅威影響度のリスト１４０７、およびシステム影響度１４０８については、図２０に示す影響度評価処理により算出された値が格納される。また、脅威分析処理部５０６は、脅威分析結果テーブル８０６にて該当機器ＩＤと脆弱性ＩＤとの組に関するレコードが既に存在すると判定した場合、ステップＳ１９０９の処理を省略する。

　以上のステップＳ１９０１～ステップＳ１９０９の処理により、脅威分析処理（ステップＳ１８０３）が実現される。

　ここで、図１８のフローの説明に戻る。脅威分析サーバ１０５は、脅威分析処理（ステップＳ１８０３）の終了後、影響度評価処理を実施する（ステップＳ１８０４）。

　影響度評価処理（ステップＳ１８０４）について図２０を用いて説明する。なお、ベイジアンネットワークでは、任意のオブジェクトをノードとし、ノードの親子関係を示すアークと呼ばれる一方向性の矢印で接続したグラフを利用して確率計算を実行するため、説明の必要上、図２１に例示する、ベイジアンネットワークグラフモデル２１０１を随時参照するものとする。

　図２０は、影響度評価処理に係るフローチャートの一例を示す図である。

　まず、影響度評価処理部５０７は、脆弱性検出結果テーブル８０１の脆弱性検出結果情報に基づいて、検出された脆弱性全てに対して、ステップＳ２００２～ステップＳ２００８の処理を実施する（ステップＳ２００１）。ステップＳ２００２～ステップＳ２００８の詳細については後述する。

　次に、影響度評価処理部５０７は、脆弱性に関係する制御操作の集合を取得する（ステップＳ２００２）。影響度評価処理部５０７は、脆弱性検出結果情報に含まれる機器ＩＤと脆弱性ＩＤとの組をキーに脅威分析結果テーブル８０６を検索し、該当機器ＩＤと脆弱性ＩＤとの組に関係する制御操作の集合を取得する。

　次に、影響度評価処理部５０７は、ベイジアンネットワークに制御操作ノードを追加する（ステップＳ２００３）。影響度評価処理部５０７は、制御操作の集合に含まれる制御操作をベイジアンネットワークのノードとして追加する。ただし、既に追加済の制御操作の重複した追加はしない。図２１のベイジアンネットワークモデルの例では、制御操作ノード２１０２（制御操作ノード２１０２_１～制御操作ノード２１０２_ｎ）が全て追加された状態になる。

　次に、影響度評価処理部５０７は、ベイジアンネットワークに脆弱性ノードと脅威ノードとシステムノードとを追加する（ステップＳ２００４）。影響度評価処理部５０７は、脆弱性検出結果情報に含まれる脆弱性ＩＤに対応する脆弱性をベイジアンネットワークのノードとして追加する。図２１のベイジアンネットワークモデルの例では、脆弱性ノード２１０３が１つ追加された状態になる。また、制御操作の集合に含まれる制御操作ＩＤをキーに制御操作情報テーブル８０４を検索し、該当制御操作ＩＤに関する脅威ＩＤを取得し、該当脅威ＩＤに対応する脅威をベイジアンネットワークのノードとして追加する。図２１のベイジアンネットワークモデルの例では、脅威ノード２１０４（脅威ノード２１０４_１～脅威ノード２１０４_ｍ）が全て追加された状態になる。また、影響度評価処理部５０７は、脅威分析対象システムをベイジアンネットワークのノードとして追加する。図２１のベイジアンネットワークモデルの例では、システムノード２１０７が１つ追加された状態になる。

　次に、影響度評価処理部５０７は、ノード間のアークを接続する（ステップＳ２００５）。影響度評価処理部５０７は、脆弱性ノードから全制御操作ノードへ一方向性のアークを接続する。図２１のベイジアンネットワークモデルの例では、脆弱性ノード２１０３から制御操作ノード２１０２へのアーク２１０５（アーク２１０５_１～アーク２１０５_ｎ）が全て接続された状態になる。また、影響度評価処理部５０７は、制御操作情報に含まれる制御操作ＩＤと脅威ＩＤとの関係から、関係性がある制御操作ノードから脅威ノードへ一方向性のアークを接続する。図２１のベイジアンネットワークモデルの例では、制御操作ノード２１０２から脅威ノード２１０４へのアーク２１０６（アーク２１０６_１～アーク２１０６_ｋ）が全て接続された状態になる。また、影響度評価処理部５０７は、全脅威ノードからシステムノードへ一方向性のアークを接続する。図２１のベイジアンネットワークモデルの例では、脅威ノード２１０４からシステムノード２１０７へのアーク２１０８（アーク２１０８_１～アーク２１０８_ｍ）が全て接続された状態になる。

　次に、影響度評価処理部５０７は、ベイジアンネットワークのパラメータである条件付確率表を設定する（ステップＳ２００６）。本実施の形態では、影響度評価処理部５０７は、脆弱性情報テーブル８０２に含まれる攻撃容易性１００３、および脆弱性／制御操作対応テーブル８０５の脆弱性影響度１３０４に基づいてパラメータを設定する。

　次に、影響度評価処理部５０７は、ベイジアンネットワークにより確率計算する（ステップＳ２００７）。確率計算方法は、確率伝播法などが利用でき、その形態は限定しない。本実施の形態では、影響度評価処理部５０７は、ベイジアンネットワークで算定した制御操作ノードの周辺確率を制御操作影響度、脅威ノードの周辺確率を脅威影響度、システムノードの周辺確率をシステム影響度としている。なお、脅威影響度を重み付き平均評価したものをシステム影響度としてもよい。

　次に、影響度評価処理部５０７は、データベース１０７に影響度評価処理部５０７の処理結果を保存する（ステップＳ２００８）。影響度評価処理部５０７は、脆弱性検出結果情報に含まれる機器ＩＤと脆弱性ＩＤとの組をキーに脅威分析結果テーブル８０６を検索し、該当機器ＩＤと脆弱性ＩＤとの組に関係するレコードにおいて、影響度評価処理部５０７の処理結果のうち該当項目の値でデータ更新を行う。

　以上のステップＳ２００１～ステップＳ２００８の処理により、影響度評価処理が実現される。

　ここで、図１８のフローの説明に戻る。脅威分析サーバ１０５は、影響度評価処理（ステップＳ１８０４）の終了後、脅威分析結果出力部５０８を起動し、送受信部５０１を介して、クライアント装置１０６の脅威分析結果収集部６０６に脅威分析結果を送信する（ステップＳ１８０５）。

　脅威分析結果を受け付けたクライアント装置１０６は、脅威分析結果画面表示部６０７を起動し、入出力部６０２を介してユーザに脅威分析結果画面を表示する。

　図２２は、脅威分析結果画面の一例を示す図である。本実施の形態では、脅威分析結果画面２２０１の第１表示領域２２０２に、脆弱性検出結果テーブル８０１の脆弱性検出結果情報に基づいて、検出された脆弱性のリストが表示される。第１表示領域２２０２には、脆弱性検出結果情報に含まれる脆弱性ＩＤ、その他機器情報などが表示される。

　次に、脅威分析結果画面２２０１は、検出された脆弱性を選択するチェックボックス２２０３を備えている。なお、脆弱性を選択する方法としては、プルダウン、フォームでのキーワード入力などが利用でき、形態は限定しない。

　次に、脅威分析結果画面２２０１の第２表示領域２２０４には、脅威分析結果テーブル８０６の脅威分析結果情報に基づいて、選択された脆弱性のシステム影響度が表示される。

　次に、脅威分析結果画面２２０１の第３表示領域２２０５には、脅威分析結果テーブル８０６の脅威分析結果情報に基づいて、選択された脆弱性に関係する制御操作、その制御操作影響度、脅威、その脅威影響度がテーブル化されて表示される。なお、本実施の形態では、検知された脆弱性を選択し、該当脆弱性に関係する脅威分析結果のみ表示することで、大きさに制限のある画面における効率的な表示を可能としている。脆弱性を選択せずに、全ての脅威分析結果を一覧化して表示してもよい。

　次に、脅威分析結果画面２２０１は、設計情報入力画面に遷移するためのボタン２２０６を備えている。

　以上のように、脆弱性と脅威との関係を分析することで、機器単位で脅威を分析した結果を、事前に人手で行った安全設計情報に基づいて、事業者視点での脅威分析へと変換を可能にする。また、脅威分析結果画面２２０１をクライアント装置１０６に表示することにより、これを閲覧するユーザなどは、例えば脆弱性が引き起こし得る事業者視点の脅威、その影響の大きさを素早く把握し、現状のシステムがセキュリティ要件を満たしているか容易に把握でき、対策すべき脆弱性の優先度を決定可能になる。

（２）他の実施の形態
　なお上述の実施の形態においては、本発明を脅威分析システム１０に適用するようにした場合について述べたが、本発明はこれに限らず、この他種々の分析システム、分析方法などに広く適用することができる。

　また上述の実施の形態においては、図２２に示すような脅威分析結果画面（関連付けられた脆弱性と脅威との関係などを含む脅威分析結果）を表示する場合について述べたが、本発明はこれに限らず、脅威分析結果を出力する方法としては、例えば、紙などの媒体に印刷したり、電子メールにより所定のメールアドレスに送信したり、外部記憶装置に記憶したりするようにしてもよい。

　また上述した構成については、本発明の要旨を超えない範囲において、適宜に、変更したり、組み替えたり、組み合わせたり、省略したりしてもよい。例えば、機器に含まれる脆弱性と脅威分析対象システムにおける脅威とを関連付け、関連付けた脆弱性と脅威との関係を出力してもよいし、機器に含まれる脆弱性と脅威分析対象システムにおける脅威と機器に係る制御操作とを関連付け、関連付けた脆弱性と脅威と制御操作との関係を出力してもよい。また、例えば、機器に含まれる脆弱性が脅威分析対象システムにおける脅威に与える影響の大きさを所定のアルゴリズム（例えば、ベイジアンネットワーク）を用いて評価してもよいし、機器に含まれる脆弱性が脅威分析対象システムにおける脅威に与える影響の大きさと、機器に含まれる脆弱性が機器に係る制御操作に与える影響の大きさをと、を所定のアルゴリズム（例えば、ベイジアンネットワーク）を用いて評価してもよい。評価した結果は、出力してもよいし、内部的な処理（例えば、表示順の制御）に用いる等して出力しなくてもよい。

　なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は、本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　また、上記の各構成、機能、処理部、処理手段などは、それらの一部または全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。また、上記の各構成、機能などは、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイルなどの情報は、メモリや、ハードディスク、ＳＳＤ（Solid　State　Drive）などの記録装置、または、ＩＣカード、ＳＤカード、ＤＶＤなどの記録媒体に置くことができる。

　また、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

　以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。

　こうした本実施の形態によれば、脆弱性情報、脆弱性がもたらす機器単位での脅威の情報に加え、脆弱性と事業者視点の脅威の関係を分析し、よりシステムのセキュリティ要件に適した脅威分析が可能となる。

　したがって、システムを運用している企業のシステム管理者や業務システムを開発したエンジニア（ＳＥ）に対して、脆弱性と事業者視点の脅威との関係について、設計時に考慮した脅威を踏まえつつ、脆弱性対策の優先度を理解しやすく提示し、ユーザによる脆弱性対策の必要性や重要性の判断を支援できる。

　１０……脅威分析システム、１０１……管理対象機器、１０２……ネットワーク、１０３……脆弱性検出装置、１０４……脆弱性情報公開機関、１０５……脅威分析サーバ、１０６……クライアント装置、１０７……データベース。

Claims

　脅威分析対象システムを構成する機器と前記機器に含まれる脆弱性とが対応付けられた第１情報と、前記機器と前記脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第２情報と、を記憶する記憶部と、
　前記記憶部に記憶されている第１情報と第２情報とに基づいて、前記機器に含まれる脆弱性と前記脅威分析対象システムにおける脅威とを関連付ける脅威分析処理部と、
　前記脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する脅威分析結果出力部と、
　を備えることを特徴とする脅威分析システム。
　前記記憶部には、前記機器に含まれる脆弱性の種別と、前記機器に係る制御操作の種別と、前記脆弱性が前記制御操作に与える脆弱性影響度とが対応付けられた第３情報が更に記憶され、
　前記脅威分析処理部は、前記記憶部に記憶されている第３情報に基づいて、前記機器に含まれる脆弱性の種別と前記機器に係る制御操作の種別とに対応する脆弱性影響度が所定の値である制御操作を更に関連付け、
　前記脅威分析結果出力部は、前記脅威分析処理部により関連付けられた脆弱性と脅威と制御操作との関係を出力する、
　ことを特徴とする請求項１に記載の脅威分析システム。
　前記脅威分析処理部は、
　前記機器と、前記機器に含まれる脆弱性の種別とに対応付けて、関連付けた制御操作の情報を前記記憶部に記憶し、
　制御操作の関連付けの際、前記機器と、前記機器に含まれる脆弱性の種別とに対応付けられた制御操作の情報が前記記憶部に存在する場合、前記記憶部に記憶された制御操作の情報を用いる、
　ことを特徴とする請求項２に記載の脅威分析システム。
　前記機器に含まれる脆弱性が前記脅威分析対象システムにおける脅威に与える影響の大きさを所定のアルゴリズムを用いて評価する影響度評価処理部を更に備える、
　ことを特徴とする請求項１に記載の脅威分析システム。
　前記影響度評価処理部は、前記機器に含まれる脆弱性、前記機器に係る制御操作、および前記脅威分析対象システムにおける脅威をノードとしてベイジアンネットワークを用いて、前記機器に含まれる脆弱性が前記脅威分析対象システムにおける脅威に与える影響の大きさと、前記機器に含まれる脆弱性が前記機器に係る制御操作に与える影響の大きさをと、を評価し、
　前記脅威分析結果出力部は、前記影響度評価処理部により評価された結果を出力する、
　ことを特徴とする請求項４に記載の脅威分析システム。
　脅威分析対象システムを構成する機器と前記機器に含まれる脆弱性とが対応付けられた第１情報と、前記機器と前記脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第２情報と、を記憶する記憶部を有する脅威分析システムにおける分析方法であって、
　脅威分析処理部が、前記記憶部に記憶されている第１情報と第２情報とに基づいて、前記機器に含まれる脆弱性と前記脅威分析対象システムにおける脅威とを関連付ける第１のステップと、
　脅威分析結果出力部が、前記脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する第２のステップと、
　を備えることを特徴とする分析方法。