WO2019224932A1

WO2019224932A1 - セキュリティ対処能力測定システム、方法及びプログラム

Info

Publication number: WO2019224932A1
Application number: PCT/JP2018/019772
Authority: WO
Inventors: 将川北
Original assignee: 日本電気株式会社
Priority date: 2018-05-23
Filing date: 2018-05-23
Publication date: 2019-11-28
Also published as: JP7074188B2; US20210243219A1; JPWO2019224932A1; DE112018007640T5

Abstract

インシデントに対する対応を行う者等の能力（スキル）の測定を実施することが可能となる。能力測定装置は、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、を備える。

Description

セキュリティ対処能力測定システム、方法及びプログラム

　本発明は、セキュリティ対処能力測定システム、能力測定装置、模擬サイバー攻撃装置、能力測定方法、模擬サイバー攻撃方法及びプログラムに関する。

　昨今、ＩＣＴ（Ｉｎｆｏｒｍａｔｉｏｎ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｔｅｃｈｎｏｌｏｇｙ）機器やＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）機器に対する不正な指令を与えるサイバー攻撃が社会問題となっている。

　こうしたサイバー攻撃による被害を抑止するためには、被害を受けることが想定されるＩＣＴ機器、ＩｏＴ機器を洗い出し、セキュリティシステムを適切に運用する事前対策の他、サイバー攻撃を受けた後のインシデント対応も求められる。

　特許文献１に、ネットワークを模擬したシミュレーション環境または実物のネットワークなどの検査対象の脆弱性を検査することができるという脆弱性検査システムが開示されている。同文献によると、この脆弱性検査システムは、脆弱性の検査プランを作成する脆弱性検査計画用計算機と、前記作成した検査プランに従って検査対象に対して攻撃を加え、攻撃に対して検査対象がとった挙動をもとに検査結果を作成する脆弱性検査用計算機と、を有する。

　特許文献２に、専門知識のないユーザであっても、実使用環境でのネットワーク・セキュリティを評価できるという攻撃耐性評価システムが開示されている。同文献によると、この攻撃耐性評価システムは、外部の機器と通信可能な画像形成装置と、ネットワークを介して前記画像形成装置と直接又は間接に接続されて通信する擬似攻撃実行サーバとを備える。そして、前記画像形成装置は、その画像形成装置の識別情報を含む擬似攻撃要求を前記擬似攻撃実行サーバに送る。前記擬似攻撃実行サーバは、前記擬似攻撃要求に応答して前記画像形成装置に対する擬似的な不正アクセス攻撃を実行し、実行した結果を前記画像形成装置に送信する。そして、前記画像形成装置は受領した結果を提示する。

特開２００２－２２９９４６号公報特開２０１８－０２２４１９号公報

Ｎａｔｉｏｎａｌ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｓｔａｎｄａｒｄｓ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ、"Ｃｏｍｐｕｔｅｒ　Ｓｅｃｕｒｉｔｙ　Ｉｎｃｉｄｅｎｔ　Ｈａｎｄｌｉｎｇ　Ｇｕｉｄｅ（ＮＩＳＴ　ＳＰ　８００－６１　Ｒ２）"、［online］、［平成30年4月24日検索］、インターネット〈URL：https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf〉

　以下の分析は、本発明によって与えられたものである。非特許文献１によれば、インシデント対応のライフサイクルとして（１）準備、（２）検出・分析、（３）封印・根絶・復旧、（４）教訓の４フェーズが定義されている。このうち、（２）検出・分析では、ネットワークトラフィックから検出した攻撃ベクトルを分析し、その内容を文書化することが求められている。

　さらに、非特許文献１では、上記インシデント対応を遂行するために、サイバー攻撃による被害が想定されるＩＣＴ／ＩｏＴ機器に対し、十分な能力を持ったスタッフを配備し、定期的に能力を測定し、また、訓練することが望ましいとされる（「３．２．４　Ｉｎｃｉｄｅｎｔ　Ａｎａｌｙｓｉｓ」等参照）。

　この点、特許文献１がターゲットとしている「検査対象」は、ネットワークを模擬したシミュレーション環境または実物のネットワークであり、インシデント対応スタッフには向けられていない。特許文献２の発明も同様であり、評価の対象は画像形成装置であり、人的なインシデント対応体制の評価を志向するものとはなっていない。

　本発明は、上記インシデントに対する対応を行う者等の能力（スキル）の測定方法の提供に貢献できるセキュリティ対処能力測定システム、方法及びプログラムを提供することを目的とする。

　第１の視点によれば、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、を備える能力測定装置が提供される。

　第２の視点によれば、セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルと、前記測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃部と、前記選択した測定対象と、前記模擬サイバー攻撃に用いる発信（送信元）ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスを、所定の能力測定装置に通知する通知部と、を備える模擬サイバー攻撃装置が提供される。

　第３の視点によれば、上記した模擬サイバー攻撃装置と、上記した能力測定装置と、を含むセキュリティ対処能力測定システムが提供される。

　第４の視点によれば、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録するステップと、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対するスキルを評価するステップと、を含む能力測定方法が提供される。本方法は、測定対象のサイバー攻撃に対処するスキルを評価する能力測定装置という、特定の機械に結びつけられている。

　第５の視点によれば、セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛けるステップと、前記選択した測定対象と、前記模擬サイバー攻撃に用いる発信（送信元）ＩＰアドレスを、所定の能力測定装置に通知するステップと、を含む模擬サイバー攻撃方法が提供される。本方法は、測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃装置という、特定の機械に結びつけられている。

　第６の視点によれば、上記した模擬サイバー攻撃装置及び能力測定装置のそれぞれの機能を実現するためのプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な（非トランジトリーな）記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、上記インシデントに対する対応を行う者等の能力（スキル）の測定を実施することが可能となる。

本発明の一実施形態の構成を示す図である。本発明の第１の実施形態の構成を示す図である。本発明の第１の実施形態の模擬サイバー攻撃装置の構成を示す図である。本発明の第１の実施形態の模擬サイバー攻撃装置の発信ＩＰアドレス記憶部に保持される情報の一例を示す図である。本発明の第１の実施形態の模擬サイバー攻撃装置の測定対象記憶部に保持される情報の一例を示す図である。本発明の第１の実施形態の能力測定装置の構成を示す図である。本発明の第１の実施形態の能力測定装置のパケットキャプチャログ記憶部に保持される情報の一例を示す図である。本発明の第１の実施形態の能力測定装置のシグネチャ記憶部に保持される情報の一例を示す図である。本発明の第１の実施形態の能力測定装置のスコアテーブル記憶部に保持される情報の一例を示す図である。本発明の第１の実施形態のセキュリティ対処能力測定システムの動作を説明するための図である。本発明の第１の実施形態の模擬サイバー攻撃装置の動作を表した流れ図である。本発明の第１の実施形態の能力測定装置の動作を表した流れ図である。本発明の第１の実施形態の能力測定部の動作を説明するための図である。本発明の第１の実施形態の能力測定部の動作を説明するための図である。本発明の模擬サイバー攻撃装置又は能力測定装置を構成するコンピュータの構成を示す図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号（データ）の流れを模式的に示すものであり、双方向性を排除するものではない。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。

　本発明は、その一実施形態において、図１に示すように、行動記録部１０１Ａと、能力測定部１０２Ａと、を備える能力測定装置１００Ａにて実現できる。より具体的には、行動記録部１０１Ａは、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する。そして、能力測定部１０２Ａは、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する。

　例えば、行動記録部１０１Ａは、測定対象として選択されたユーザＡと模擬サイバー攻撃元との通信内容を記録する。そして、能力測定部１０２Ａは、ユーザＡが模擬サイバー攻撃元に対し探索行動を採っているか否かや、探索行動の内容に基づいて、ユーザＡのサイバー攻撃に対処するスキルの程度を評価する。

　以上のように、本発明の能力測定装置１００Ａによれば、インシデントに対する対応を行う者等の能力（スキル）を正確に把握することが可能となる。

［第１の実施形態］
　続いて、本発明の第１の実施形態について図面を参照して詳細に説明する。図２は、本発明の第１の実施形態の構成を示す図である。図２を参照すると、測定対象３００と、模擬サイバー攻撃装置２００と、能力測定装置１００とがネットワークを介して接続された構成が示されている。

　測定対象３００は、コンピュータを利用して模擬サイバー攻撃に対応する者やそのような機能を持った機器を示す（以下、これらを「測定対象者」と総称する）。測定対象者としては、例えば、企業内のインシデント対応の担当者や外部の専門家などのセキュリティアナリストと呼ばれる職務に従事する者や同様の機能を果たす機器などが想定される。また、別の視点において、測定対象者として、保護対象の情報システムに対する潜在的な攻撃者や過去にサイバー攻撃を行った者や機器を選択してもよい。

　能力測定装置１００は、模擬サイバー攻撃装置２００と連携して動作して、測定対象３００のサイバー攻撃に対処するスキルの程度を評価する。また、模擬サイバー攻撃装置２００は、能力測定装置１００にパケットキャプチャログを採取させるために、測定対象３００に対し、模擬的なサイバー攻撃を実施する装置である。本実施形態のセキュリティ対処能力測定システムは、この能力測定装置１００と、模擬サイバー攻撃装置２００とを含んで構成される。

　図３は、本発明の第１の実施形態の模擬サイバー攻撃装置２００の構成を示す図である。図３を参照すると、発信ＩＰアドレス記憶部２０１と、測定対象記憶部２０２と、測定対象管理部２０３と、模擬攻撃生成部２０４と、模擬攻撃パターン記憶部２０５と、測定対象３００毎に生成される模擬攻撃部２０６とを含む構成が示されている。

　発信ＩＰアドレス記憶部２０１は、模擬サイバー攻撃装置２００による模擬サイバー攻撃の際に発信元として使用するＩＰアドレスを記憶する。このＩＰアドレスは複数用意され、測定対象３００から模擬のサイバー攻撃であることを悟られないように管理される。

　図４は、本実施形態の模擬サイバー攻撃装置２００の発信ＩＰアドレス記憶部２０１に保持される情報の一例を示す図である。図４の例では、模擬サイバー攻撃の際に使用する模擬サイバー攻撃元を示すＩＰアドレスと、その状態とを対応付けたエントリを複数格納可能なテーブルを用いて、模擬サイバー攻撃の際に使用するＩＰアドレスを管理する構成が示されている。また、図４の例では、「状態」フィールドには、「使用中」と「未使用」の２状態が示されている。「使用中」状態は、そのＩＰアドレスが模擬サイバー攻撃に使用されている状態を示す。「未使用」状態は、そのＩＰアドレスが未使用にあり払い出し可能である状態を示す。

　測定対象記憶部２０２は、模擬サイバー攻撃装置２００による模擬サイバー攻撃の対象となる測定対象３００の情報を記憶する。

　図５は、本実施形態の模擬サイバー攻撃装置２００の測定対象記憶部２０２に保持される情報の一例を示す図である。図５の例では、測定対象３００のＩＰアドレスと、そのスコア情報とを対応付けたエントリを複数格納可能なテーブルを用いて、測定対象を管理する構成が示されている。なお、図５の例では、ＩＰアドレスを用いて測定対象３００を管理しているが、測定対象のドメイン名などを併せて管理してもよい。

　また、図５の「スコア」フィールドは、その測定対象のサイバー攻撃に対処するスキルの評価値が格納されている。この値の有無により、測定対象３００への模擬サイバー攻撃が実施済みであるか否かを識別することが可能となっている。もちろん、「スコア」に代えて、模擬サイバー攻撃が実施済みであることを示すフラグなどを設けて、測定対象３００への模擬サイバー攻撃が実施済みであるか否かを識別するようにしてもよい。

　測定対象管理部２０３は、新規の測定対象を受け取り、測定対象記憶部２０２に、「スコア」フィールドが「評価待ち」である新規のエントリを登録する動作を行う。例えば、新しくセキュリティアナリストが加わった場合、当該セキュリティアナリストが新規の測定対象として追加される。また、別の視点において、潜在的な攻撃者や過去にサイバー攻撃を行った者の情報がもたらされた場合に、これらの者を新規の測定対象として追加してもよい。

　模擬攻撃パターン記憶部２０５は、測定対象３００に仕掛ける模擬サイバー攻撃のパターンを記憶する。この模擬サイバー攻撃のパターンは、例えば、ＩＤＳ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）の性能評価のために用いられる各種の攻撃ツールを用いて作成することができる。これらの攻撃ツールとしては、Ｓｔｉｃｋ、ｓｎｏｔ、ＩＤＳｗａｋｅｕｐなどが知られているが、その他の攻撃ツールを用いることもできる。

　模擬攻撃生成部２０４は、所定のタイミングで、模擬攻撃部２０６を生成し、測定対象への模擬サイバー攻撃を実施する。より具体的には、模擬攻撃生成部２０４は、測定対象記憶部２０２と発信ＩＰアドレス記憶部２０１とから、測定対象３００と、未使用の発信ＩＰアドレスとをそれぞれ選択する。そして、模擬攻撃生成部２０４は、模擬攻撃パターン記憶部２０５から任意の模擬攻撃パターンを読み出して、模擬攻撃部２０６を構成する。模擬攻撃生成部２０４は、模擬サイバー攻撃を実施した場合、その攻撃に使用した発信ＩＰアドレスと測定対象３００の組を能力測定装置１００に通知する。

　模擬攻撃部２０６は、模擬攻撃生成部２０４により選択された測定対象３００とＩＰアドレスとの組み合わせをそれぞれ宛先、発信元として、指定された模擬攻撃パターンによる攻撃を行う。より具体的には、模擬攻撃部２０６は、指定された発信ＩＰアドレスを発信元とし、指定された測定対象３００を宛先とした模擬サイバー攻撃パケットを生成し、測定対象３００に送信する動作を行う。

　続いて、上記模擬サイバー攻撃装置２００と連携して動作する能力測定装置１００の構成について図面を参照して詳細に説明する。図６は、本発明の第１の実施形態の能力測定装置１００の構成を示す図である。図６を参照すると、パケットキャプチャ部１０１と、行動記録部１０３と、発信ＩＰアドレス記憶部１０６と、パケットキャプチャログ記憶部１０７と、能力測定部１０４と、シグネチャ記憶部１０８と、スコアテーブル記憶部１０９とを備えた構成が示されている。また、能力測定装置１００は、測定対象３００に探索行動を促すコンテンツを提示するためのコンテンツ配信部１０２と、コンテンツ記憶部１０５とを備えている。

　発信ＩＰアドレス記憶部１０６は、模擬サイバー攻撃装置２００の発信ＩＰアドレス記憶部２０１と同様に、模擬サイバー攻撃の実施に使用された発信ＩＰアドレスを記憶する。

　行動記録部１０３は、模擬サイバー攻撃装置２００から模擬サイバー攻撃の実施に使用した発信ＩＰアドレスを受信すると、発信ＩＰアドレス記憶部１０６の該当発信ＩＰアドレスを「使用中」に更新する。また、行動記録部１０３は、該当発信ＩＰアドレスと、測定対象３００間の通信をキャプチャするパケットキャプチャ部１０１を生成する。

　パケットキャプチャ部１０１は、模擬攻撃部２０６による攻撃に対応して作成され、指定された発信ＩＰアドレスと、測定対象３００間の通信をキャプチャし、行動記録部１０３とコンテンツ配信部１０２に送る。

　行動記録部１０３は、パケットキャプチャ部１０１から送られたパケットキャプチャデータをパケットキャプチャログ記憶部１０７に保存する。

　パケットキャプチャログ記憶部１０７は、発信ＩＰアドレスと、測定対象３００間でやり取りされたパケットキャプチャデータを記憶する。図７は、実施形態の能力測定装置のパケットキャプチャログ記憶部に保持される情報の一例を示す図である。ここで例えば、ＩＰアドレス１７２．１９．０．２が測定対象３００のＩＰアドレスであり、１７２．１９．０．３が発信ＩＰアドレスであったものとする。このとき、図７のＮｏ．２３１、Ｎｏ．２３４～２３８のデータは、測定対象３００が発信ＩＰアドレスに送信したリクエストメッセージを示している。このうちの探索行動に当たるものが、後記するスキル評価の対象となる。

　シグネチャ記憶部１０８は、スキル評価の際に加点の対象となる探索行動を表す通信内容を正規表現で表したシグネチャを記憶する。図８は、シグネチャ記憶部１０８に保持される情報の一例を示す図である。図８の例では、いくつかの探索行動の類型（種別）毎に、正規表現で表されたシグネチャが格納するテーブル（第２のテーブルに相当）が用いられている。

　スコアテーブル記憶部１０９は、上記探索行動の類型毎にスキル評価の際に加点するスコアを定めたスコアテーブルを記憶する。図９は、スコアテーブル記憶部１０９に保持される情報の一例を示す図である。本発明のより望ましい形態において、このスコアはより高度な内容の探索行動に、より高いスコアが設定されていることが望ましい。

　能力測定部１０４は、上記したパケットキャプチャログ記憶部１０７に記録されたパケットキャプチャログと、シグネチャ記憶部１０８に記憶されたシグネチャとを照合し、探査行動を表す通信内容を特定する。さらに、能力測定部１０４は、スコアテーブル記憶部１０９に記憶されたスコアテーブルを参照して、探索行動ごとのスコアを加算していき、測定対象３００のサイバー攻撃に対処するスキルを表す評価値を計算する。

　コンテンツ記憶部１０５は、測定対象３００が、所定のサービスを提供するポート番号にて、前記模擬サイバー攻撃元に対し、コンテンツの要求等を行った場合、測定対象３００に送信する模擬コンテンツを記憶する。例えば、ＨＴＴＰ（Ｈｙｐｅｒｔｅｘｔ　Ｔｒａｎｓｆｅｒ　Ｐｒｏｔｏｃｏｌ）を用いてコンテンツ要求に対し返すコンテンツとして、ｈｔｍｌ、ｊｐｅｇ、ｇｉｆ、ｔｏｒｒｅｎｔなどといったファイルのセットが用意される。もちろん、この模擬コンテンツとしては、想定されるサービス（ポート番号）の内容に応じたものが用意されることが好ましい。

　そして、コンテンツ配信部１０２は、パケットキャプチャ部１０１から送られたパケットキャプチャデータに基づいて、測定対象３００が、前記模擬サイバー攻撃元に対し、所定のポート番号にてコンテンツの要求等を行ったか否かを判定する。なお、ここでのポート番号としては、ＨＴＴＰにて一般的に用いられる８０、ＨＴＴＰＳにて一般的に用いられる４４３などが考えられる。もちろん、Ｉｎｔｅｒｎｅｔ　Ａｓｓｉｇｎｅｄ　Ｎｕｍｂｅｒｓ　Ａｕｔｈｏｒｉｔｙ　（ＩＡＮＡ）において管理されているその他のポート番号をその判定対象に加えても良い。

　前記判定の結果、測定対象３００が、所定のポート番号にてコンテンツの要求等を行ったと判定した場合、コンテンツ配信部１０２は、模擬コンテンツを取り出して、測定対象３００に送信する。この模擬コンテンツは、測定対象３００にさらなる探索行動を誘引させるコンテンツであることが好ましい。このような模擬コンテンツとしては、ＷｏｒｄＰｒｅｓｓというソフトウェアで作成されたブログ（ウェブログ）や閲覧者がページを更新できるコンテンツであるＷｉｋｉページなどが想定される。

　続いて、本実施形態の動作について図面を参照して詳細に説明する。はじめに、上記模擬サイバー攻撃装置２００と、能力測定装置１００とを組み合わせて構成されたセキュリティ対処能力測定システム全体の動作について図１０を用いて説明する。

　図１０に示すとおり、所定の契機で、測定対象３００に関するデータが、模擬サイバー攻撃装置２００に入力される（測定対象データ）。模擬サイバー攻撃装置２００は、所定の契機で、測定対象を選択し、測定対象３００に欺瞞用の発信ＩＰアドレスを用いて模擬サイバー攻撃を実施する。これと並行して、模擬サイバー攻撃装置２００は、上記模擬サイバー攻撃に用いた発信ＩＰアドレスと測定対象３００の組み合わせを能力測定装置１００に送信する（発信ＩＰアドレスデータ）。能力測定装置１００は、発信ＩＰアドレスと測定対象３００の組み合わせにて特定される通信をキャプチャし、探索行動がなされているか否かの観点でスキルの評価を行う（測定結果データ）。

　続いて、図１１、図１２を参照して、上記模擬サイバー攻撃装置２００及び能力測定装置１００の動作について詳細に説明する。図１１は、本発明の第１の実施形態の模擬サイバー攻撃装置２００の動作を表した流れ図である。図１１を参照すると、まず、模擬サイバー攻撃装置２００は、外部から取得した測定対象のＩＰアドレスを測定対象記憶部２０２に格納する（ステップＳ００１）。

　次に、模擬サイバー攻撃装置２００は、測定対象記憶部２０２に記憶されている測定対象を１つ選択して模擬サイバー攻撃を開始する（ステップＳ００２）。まず、模擬サイバー攻撃装置２００は、発信ＩＰアドレス記憶部２０１から現在使用されていないＩＰアドレスを１つ読み込み、「使用中」状態に変更する（ステップＳ００３）。

　次に、模擬サイバー攻撃装置２００は、模擬攻撃パターン記憶部２０５から模擬攻撃パターンをランダムに１つ読み込む（ステップＳ００４）。

　次に、模擬サイバー攻撃装置２００は、模擬攻撃部２０６を生成し、測定対象への模擬攻撃の通信を開始する（ステップＳ００５）。模擬サイバー攻撃装置２００は、測定対象記憶部２０２に格納されている測定対象について上記ステップＳ００２～Ｓ００５の処理を反復して実施する（ステップＳ００６）。

　続いて、能力測定装置１００の動作について説明する。図１２は、本発明の第１の実施形態の能力測定装置１００の動作を表した流れ図である。図１２を参照すると、まず、能力測定装置１００は、測定対象記憶部２０２に記憶されている発信ＩＰアドレスのうち、模擬サイバー攻撃装置２００から通知された発信ＩＰアドレスを「使用中」に更新する（ステップＳ１０１）。

　能力測定装置１００は、発信ＩＰアドレスと測定対象３００のＩＰアドレスにて特定される通信をキャプチャするパケットキャプチャ部を生成し、パケットキャプチャを開始する（ステップＳ１０２）。

　以降、能力測定装置１００は、パケットキャプチャログ記憶部１０７に、キャプチャした通信内容を記録する（ステップＳ１０３）。

　次に、能力測定装置１００は、パケットキャプチャログ記憶部１０７に記録した通信内容と、シグネチャ記憶部１０８に記憶されているシグネチャとを照合する（ステップＳ１０４）。

　次に、能力測定装置１００は、スコアテーブル記憶部１０９のスコアテーブルを参照し、シグネチャと一致した探索行動を示す通信内容のスコアを特定する（ステップＳ１０５）。

　次に、能力測定装置１００は、探索行動を示す通信内容のスコアを集計して測定対象３００のスキルを表す能力評価値として出力する（ステップＳ１０６）。

　上記スキル評価と並行して、能力測定装置１００は、測定対象３００が所定のポート番号にて提供されるコンテンツを要求した場合、コンテンツ記憶部１０５から模擬コンテンツを取り出し、測定対象３００に送信する（ステップＳ１０７）。

　続いて、上記ステップＳ１０４～Ｓ１０６の能力測定装置１００の動作について詳細に説明する。図１３は、能力測定装置１００の能力測定部１０４の動作を説明するための図である。図１３に示したとおり、能力測定部１０４は、パケットキャプチャログ記憶部１０７に格納されたパケットキャプチャデータと、シグネチャと、スコアを用いて、測定対象のスキルを表す評価値を計算することになる。

　例えば、図１４の左側に示すパケットキャプチャデータが得られているものとする。能力測定部１０４は、図８に示すシグネチャと照合（パターンマッチング）を行う。図１４の例では、上から８番目のデータ「GET /wp-content/debug.log HTTP/1.1 ＼ｒ＼n」が、デバッグログの探索行動を示すシグネチャ「wp-content/debug.log」と一致する。このとき、能力測定部１０４は、図９に示すスコアテーブルからデバッグログの探索行動に対応するスコア０．１を特定する。同様に、上から１５番目のデータ「GET /wp-config.php.save HTTP/1.1 ＼ｒ＼n」が、ツール（ＷＰｓｃａｎ）を用いた脆弱性の探索行動を示すシグネチャ「wp--config\.php\.save$」と一致する。このとき、能力測定部１０４は、図９に示すスコアテーブルからツール（ＷＰｓｃａｎ）を用いた脆弱性の探索行動に対応するスコア１．１を特定する。この時点で、パケットキャプチャデータとシグネチャとの照合が完了した場合、測定対象のスキルを示すスコア（総合スコア）は１．２となる。なお、上記スコアの単位や重み付けはあくまで一例であり、例えば、標準的なセキュリティアナリストに求められるスキルを１００とし、これに基づいて、探索行動に対するスコアを設定してもよい。

　以上説明したように、本実施形態によれば、サイバー攻撃による被害が想定されるＩＣＴ／ＩｏＴ機器に配備されるセキュリティアナリストやセキュリティ装置の分析能力を測定することが可能となる。

　また、上記した実施形態によれば、模擬のサイバー攻撃であることが察知されにくいように、発信ＩＰアドレスを複数用意して、使用する構成が採用されている。このため、セキュリティアナリストが、外部との情報共有によって既知となっているＩＰアドレスであることを根拠に、模擬サイバー攻撃の通信を遮断することで、対処を止めてしまう可能性を極力減らすことができる。

　また、上記した実施形態によれば、測定対象３００が、所定のポート番号にてコンテンツの要求等を行ったと判定した場合、模擬コンテンツを返す構成を採用している。このため、測定対象３００にさらなる探索行動を採ることを誘引することができ、一定以上のスキルを持つ測定対象についても、さらに高度なスキルを持つか否かの評価を行うことが可能となっている。

　また、上記した実施形態によれば、企業内のインシデント対応の担当者や外部の専門家などのセキュリティアナリストと呼ばれる職務に従事する者や同様の機能を果たす機器などのスキルを測定することが可能となる。さらに、上記した実施形態によれば、測定対象として、保護対象の情報システムに対する潜在的な攻撃者や過去にサイバー攻撃を行った者や機器を追加することもできる。これにより、これらの者のスキルを評価し、インシデントを未然に防ぐためのセキュリティ対策に役立てることも可能となる。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。また、以下の説明において、「Ａ及び／又はＢ」は、Ａ及びＢの少なくともいずれかという意味で用いる。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。例えば、上記した実施形態では、能力測定装置１００に模擬コンテンツの送信機能が備えられているものとして説明したが、模擬コンテンツの送信機能は別装置にて実現してもよい。また、上記した実施形態では、能力測定装置１００と模擬サイバー攻撃装置２００が別の機器として配置されている例を挙げて説明したが、能力測定装置１００と模擬サイバー攻撃装置２００とを統合した構成も採用可能である。

　また、上記した実施形態では、主として測定対象が人である例を挙げて説明したが、測定対象３００は、ＡＩ（Ａｒｔｉｆｉｃｉａｌ　Ｉｎｔｅｌｌｉｇｅｎｃｅ）等を用いてセキュリティアナリストと同様の探索行動を行うとされている各種のセキュリティ機器の性能の評価にも適用することが可能である。

　また、上記した実施形態に示した手順は、模擬サイバー攻撃装置２００や能力測定装置１００として機能するコンピュータ（図１５の９０００）に、これらの装置としての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図１５のＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）９０１０、通信インタフェース９０２０、メモリ９０３０、補助記憶装置９０４０を備える構成に例示される。すなわち、図１５のＣＰＵ９０１０にて、行動記録プログラムや能力評価プログラムを実行し、その補助記憶装置９０４０等に保持された各計算パラメーターの更新処理を実施させればよい。

　即ち、上記した実施形態に示した模擬サイバー攻撃装置や能力測定装置の各部（処理手段、機能）は、これらの装置に搭載されたプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。

　最後に、本発明の好ましい形態を要約する。
［第１の形態］
　（上記第１の視点による能力測定装置参照）
［第２の形態］
　上記した能力測定装置の能力測定部は、
　前記探索行動の種別に対応するスコアを定めたテーブルを参照して、前記測定対象が採った探索行動のスコアを集計して、前記測定対象のサイバー攻撃に対処するスキルを評価する構成を採ることができる。
［第３の形態］
　上記した能力測定装置の能力測定部は、
　前記通信に含まれるメッセージから、前記測定対象が採った探索行動の種別を特定するための第２のテーブルを備えることが好ましい。
［第４の形態］
　上記した能力測定装置は、さらに、
　前記測定対象が、前記模擬サイバー攻撃元に対し、所定のポート番号にて、コンテンツの要求を行った場合、前記測定対象に所定の模擬コンテンツを送信するコンテンツ配信部を備えることが好ましい。
［第５の形態］
　上記した模擬コンテンツは、前記測定対象に探索行動を誘引させるコンテンツであることが好ましい。
［第６の形態］
　上記した能力測定装置の行動記録部は、所定の模擬サイバー攻撃装置からサイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元を表すＩＰアドレスを受け取る構成を採ることができる。
［第７の形態］
　（上記第２の視点による模擬サイバー攻撃装置参照）
［第８の形態］
　上記した模擬サイバー攻撃装置の模擬サイバー攻撃部は、予め用意したＩＰアドレスから前記模擬サイバー攻撃に用いる発信ＩＰアドレスを選択して使用する構成を採ることができる。
［第９の形態］
　（上記第３の視点によるセキュリティ対処能力測定システム参照）
［第１０の形態］
　（上記第４の視点による能力測定方法参照）
［第１１の形態］
　（上記第５の視点による模擬サイバー攻撃方法参照）
［第１２の形態］
　（上記第６の視点によるプログラム参照）
　なお、上記第９～第１２の形態は、第１、第２の形態と同様に、第２～第６、第８の形態にそれぞれ展開することが可能である。

　なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

　１００、１００Ａ　能力測定装置
　１０１　パケットキャプチャ部
　１０１Ａ、１０３　行動記録部
　１０２　コンテンツ配信部
　１０２Ａ、１０４　能力測定部
　１０５　コンテンツ記憶部
　１０６　発信ＩＰアドレス記憶部
　１０７　パケットキャプチャログ記憶部
　１０８　シグネチャ記憶部
　１０９　スコアテーブル記憶部
　２００　模擬サイバー攻撃装置
　２０１　発信ＩＰアドレス記憶部
　２０２　測定対象記憶部
　２０３　測定対象管理部
　２０４　模擬攻撃生成部
　２０５　模擬攻撃パターン記憶部
　２０６　模擬攻撃部
　３００　測定対象
　９０００　コンピュータ
　９０１０　ＣＰＵ
　９０２０　通信インタフェース
　９０３０　メモリ
　９０４０　補助記憶装置

Claims

　サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、
　前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、
　を備える能力測定装置。
　前記能力測定部は、
　前記探索行動の種別に対応するスコアを定めたテーブルを参照して、前記測定対象が採った探索行動のスコアを集計して、前記測定対象のサイバー攻撃に対処するスキルを評価する請求項１の能力測定装置。
　前記能力測定部は、
　前記通信に含まれるメッセージから、前記測定対象が採った探索行動の種別を特定するための第２のテーブルを備える請求項２の能力測定装置。
　さらに、
　前記測定対象が、前記模擬サイバー攻撃元に対し、所定のポート番号にて、コンテンツの要求を行った場合、前記測定対象に所定の模擬コンテンツを送信するコンテンツ配信部を備える請求項１から３いずれか一の能力測定装置。
　前記所定の模擬コンテンツは、前記測定対象に探索行動を誘引させるコンテンツである請求項４の能力測定装置。
　前記行動記録部は、所定の模擬サイバー攻撃装置からサイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元を表すＩＰアドレスを受け取る請求項１から５いずれか一の能力測定装置。
　セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルと、
　前記測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃部と、
　前記選択した測定対象と、前記模擬サイバー攻撃に用いる発信ＩＰアドレスを、所定の能力測定装置に通知する通知部と、
　を備える模擬サイバー攻撃装置。
　前記模擬サイバー攻撃部は、予め用意したＩＰアドレスから前記模擬サイバー攻撃に用いる発信ＩＰアドレスを選択して使用する請求項７の模擬サイバー攻撃装置。
　セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルと、前記測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃部と、前記選択した測定対象と、前記模擬サイバー攻撃に用いる送信元ＩＰアドレスを、所定の能力測定装置に通知する通知部と、を備える模擬サイバー攻撃装置と、
　サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、を備える能力測定装置と、
　を含むセキュリティ対処能力測定システム。
　サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録するステップと、
　前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価するステップと、
　を含む能力測定方法。
　セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛けるステップと、
　前記選択した測定対象と、前記模擬サイバー攻撃に用いる送信元ＩＰアドレスを、所定の能力測定装置に通知するステップと、
　を含む模擬サイバー攻撃方法。
　コンピュータに、
　サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する処理と、
　前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する処理と、
　を実行させるプログラム。
　コンピュータに、
　セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける処理と、
　前記選択した測定対象と、前記模擬サイバー攻撃に用いる送信元ＩＰアドレスを、所定の能力測定装置に通知する処理と、
　を実行させるプログラム。