WO2019224932A1 - セキュリティ対処能力測定システム、方法及びプログラム - Google Patents

セキュリティ対処能力測定システム、方法及びプログラム Download PDF

Info

Publication number
WO2019224932A1
WO2019224932A1 PCT/JP2018/019772 JP2018019772W WO2019224932A1 WO 2019224932 A1 WO2019224932 A1 WO 2019224932A1 JP 2018019772 W JP2018019772 W JP 2018019772W WO 2019224932 A1 WO2019224932 A1 WO 2019224932A1
Authority
WO
WIPO (PCT)
Prior art keywords
measurement target
cyber attack
simulated
capability
measurement
Prior art date
Application number
PCT/JP2018/019772
Other languages
English (en)
French (fr)
Inventor
将 川北
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Priority to DE112018007640.7T priority Critical patent/DE112018007640T5/de
Priority to PCT/JP2018/019772 priority patent/WO2019224932A1/ja
Priority to JP2020520920A priority patent/JP7074188B2/ja
Priority to US16/972,177 priority patent/US20210243219A1/en
Publication of WO2019224932A1 publication Critical patent/WO2019224932A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Definitions

  • the present invention relates to a security handling capability measurement system, capability measurement device, simulated cyber attack device, capability measurement method, simulated cyber attack method, and program.
  • ICT Information and Communication Technology
  • IoT Internet of Things
  • Patent Document 1 discloses a vulnerability inspection system that can inspect vulnerabilities to be inspected in a simulation environment that simulates a network or a real network.
  • this vulnerability inspection system includes a vulnerability inspection plan computer for creating a vulnerability inspection plan, an attack on the inspection target according to the created inspection plan, and the inspection target for the attack is And a vulnerability testing computer that creates a test result based on the behavior taken.
  • Patent Document 2 discloses an attack resistance evaluation system in which even a user without specialized knowledge can evaluate network security in an actual use environment.
  • this attack resistance evaluation system includes an image forming apparatus that can communicate with an external device, and a pseudo attack execution server that is directly or indirectly connected to and communicates with the image forming apparatus via a network. Then, the image forming apparatus sends a pseudo attack request including identification information of the image forming apparatus to the pseudo attack execution server.
  • the pseudo attack execution server executes a pseudo unauthorized access attack on the image forming apparatus in response to the pseudo attack request, and transmits the execution result to the image forming apparatus.
  • the image forming apparatus presents the received result.
  • Non-Patent Document 1 four phases of (1) preparation, (2) detection / analysis, (3) sealing / eradication / recovery, and (4) lessons learned are defined as the incident response life cycle.
  • (2) detection / analysis it is required to analyze an attack vector detected from network traffic and to document its contents.
  • Non-Patent Document 1 in order to carry out the above incident response, staff with sufficient capability are deployed for ICT / IoT devices that are assumed to be damaged by cyber attacks, and the capability is regularly measured. It is also desirable to train (see “3.2.4 Incident Analysis” etc.).
  • the “inspection object” targeted by Patent Document 1 is a simulation environment that simulates a network or a real network, and is not directed to incident response staff.
  • the invention of Patent Document 2 is also the same.
  • the object of evaluation is an image forming apparatus, and it is not intended to evaluate a human incident response system.
  • An object of the present invention is to provide a security countermeasure capability measurement system, method, and program that can contribute to the provision of a capability measurement method for a person or the like who responds to the incident.
  • the measurement target of the cyber attack skill the action recording unit that records the communication content with the simulated cyber attack source, the communication content between the measurement target and the simulated cyber attack source are predetermined.
  • an ability measuring device including an ability measuring unit that evaluates a skill to cope with the cyber attack to be measured depending on whether or not communication indicating the search behavior is included.
  • a measurement target table that stores measurement targets that are candidates for security coping capability
  • a simulated cyber attack unit that selects the measurement target from the measurement target table and launches a predetermined simulated cyber attack
  • a simulated cyber attack device comprising: the selected measurement target; and a notification unit that notifies a predetermined capability measurement device of a transmission (source) IP (Internet Protocol) address used for the simulated cyber attack.
  • a security countermeasure capability measurement system including the above-described simulated cyber attack device and the above capability measurement device is provided.
  • a predetermined search is performed on a step of recording communication contents of a cyber attack skill measurement target and a communication content of the simulated cyber attack source, and a communication content of the measurement target and the simulated cyber attack source.
  • a capability measuring method including a step of evaluating a skill against the cyber attack of the measurement target according to whether or not communication indicating an action is included. The method is tied to a specific machine, a capability measurement device that evaluates skills to deal with cyber attacks to be measured.
  • This method is linked to a specific machine, which is a simulated cyber attack device that selects a measurement target and launches a predetermined simulated cyber attack.
  • a program for realizing the functions of the simulated cyber attack device and the capability measurement device described above can be recorded on a computer-readable (non-transitory) storage medium. That is, the present invention can be embodied as a computer program product.
  • connection lines between blocks such as drawings referred to in the following description include both bidirectional and unidirectional directions.
  • the unidirectional arrow schematically shows the main signal (data) flow and does not exclude bidirectionality.
  • ports and interfaces at input / output connection points of each block in the figure they are not shown.
  • the present invention can be realized by an ability measuring apparatus 100A including an action recording unit 101A and an ability measuring unit 102A. More specifically, the action recording unit 101A records the communication content between a skill measurement target for cyber attacks and a simulated cyber attack source. Then, the ability measuring unit 102A determines whether or not the communication content between the measurement target and the simulated cyber attack source includes communication indicating a predetermined search action, and the skill to cope with the measurement target cyber attack. To evaluate.
  • the action recording unit 101A records the communication contents between the user A selected as the measurement target and the simulated cyber attack source. Then, the ability measurement unit 102A evaluates the skill level for dealing with the cyber attack of the user A based on whether or not the user A is taking a search action against the simulated cyber attack source and the content of the search action.
  • the ability measuring apparatus 100A of the present invention it is possible to accurately grasp the ability (skill) of a person or the like who deals with an incident.
  • FIG. 2 is a diagram showing a configuration of the first exemplary embodiment of the present invention. Referring to FIG. 2, there is shown a configuration in which a measurement object 300, a simulated cyber attack device 200, and a capability measurement device 100 are connected via a network.
  • Measured object 300 indicates a person who responds to a simulated cyber attack using a computer or a device having such a function (hereinafter collectively referred to as “measured object person”).
  • a person who is engaged in a duty called a security analyst such as a person in charge of incident handling in an enterprise or an external expert, or a device performing a similar function is assumed.
  • a potential attacker to the information system to be protected or a person or device that has made a cyber attack in the past may be selected as the measurement subject.
  • the capability measuring device 100 operates in cooperation with the simulated cyber attack device 200 to evaluate the skill level of the measurement target 300 to cope with the cyber attack.
  • the simulated cyber attack device 200 is a device that performs a simulated cyber attack on the measurement target 300 in order to cause the ability measuring device 100 to collect a packet capture log.
  • the security countermeasure capability measurement system of this embodiment includes the capability measurement device 100 and a simulated cyber attack device 200.
  • FIG. 3 is a diagram showing a configuration of the simulated cyber attack device 200 according to the first embodiment of the present invention.
  • the transmission IP address storage unit 201, the measurement target storage unit 202, the measurement target management unit 203, the simulated attack generation unit 204, the simulated attack pattern storage unit 205, and the measurement target 300 are generated.
  • a configuration including a simulated attack unit 206 is shown.
  • the transmission IP address storage unit 201 stores an IP address used as a transmission source in a simulated cyber attack by the simulated cyber attack device 200.
  • a plurality of IP addresses are prepared and managed so that the measurement target 300 does not realize that it is a simulated cyber attack.
  • FIG. 4 is a diagram illustrating an example of information held in the transmission IP address storage unit 201 of the simulated cyber attack device 200 of the present embodiment.
  • a table that can store a plurality of entries in which IP addresses indicating simulated cyber attack sources used in simulated cyber attacks and their states are associated is used in simulated cyber attacks.
  • a configuration for managing IP addresses is shown.
  • the “status” field indicates two statuses of “in use” and “unused”.
  • the “in use” state indicates a state in which the IP address is used for a simulated cyber attack.
  • the “unused” state indicates a state where the IP address is unused and can be paid out.
  • the measurement target storage unit 202 stores information on the measurement target 300 that is a target of the simulated cyber attack by the simulated cyber attack device 200.
  • FIG. 5 is a diagram illustrating an example of information held in the measurement target storage unit 202 of the simulated cyber attack device 200 of the present embodiment.
  • a configuration is shown in which the measurement target is managed using a table that can store a plurality of entries in which the IP address of the measurement target 300 and the score information are associated with each other.
  • the measurement target 300 is managed using the IP address, but the domain name of the measurement target may be managed together.
  • the “score” field in FIG. 5 stores an evaluation value of a skill for dealing with the cyber attack of the measurement target. The presence or absence of this value makes it possible to identify whether or not a simulated cyber attack on the measurement object 300 has been performed.
  • a flag indicating that a simulated cyber attack has been implemented may be provided to identify whether or not a simulated cyber attack on the measurement target 300 has been performed. .
  • the measurement object management unit 203 receives the new measurement object and performs an operation of registering a new entry whose “score” field is “waiting for evaluation” in the measurement object storage unit 202. For example, when a security analyst is newly added, the security analyst is added as a new measurement target. Also, from another viewpoint, when information on potential attackers or those who have performed cyber attacks in the past is provided, these persons may be added as new measurement targets.
  • the simulated attack pattern storage unit 205 stores a simulated cyber attack pattern set on the measurement target 300.
  • the simulated cyber attack pattern can be created by using various attack tools used for performance evaluation of IDS (Intrusion Detection System), for example. As these attack tools, Stick, snott, IDSwakeup and the like are known, but other attack tools can also be used.
  • IDS Intrusion Detection System
  • the simulated attack generation unit 204 generates a simulated attack unit 206 at a predetermined timing, and performs a simulated cyber attack on the measurement target. More specifically, the simulated attack generation unit 204 selects the measurement target 300 and an unused transmission IP address from the measurement target storage unit 202 and the transmission IP address storage unit 201, respectively. The simulated attack generation unit 204 reads an arbitrary simulated attack pattern from the simulated attack pattern storage unit 205 and configures the simulated attack unit 206. When a simulated cyber attack is performed, the simulated attack generation unit 204 notifies the capability measuring apparatus 100 of the combination of the transmission IP address used for the attack and the measurement target 300.
  • the simulated attack unit 206 performs an attack based on the specified simulated attack pattern with the combination of the measurement target 300 and the IP address selected by the simulated attack generation unit 204 as the destination and the source, respectively. More specifically, the simulated attack unit 206 performs an operation of generating a simulated cyber attack packet with the specified source IP address as the source, the destination of the specified measurement target 300, and transmitting it to the measurement target 300. .
  • FIG. 6 is a diagram illustrating a configuration of the capability measuring apparatus 100 according to the first embodiment of this invention.
  • a packet capture unit 101, an action recording unit 103, a transmission IP address storage unit 106, a packet capture log storage unit 107, a capability measurement unit 104, a signature storage unit 108, and a score table storage unit 109 is shown.
  • the ability measuring apparatus 100 includes a content distribution unit 102 and a content storage unit 105 for presenting content that prompts a search action to the measurement target 300.
  • the outgoing IP address storage unit 106 stores the outgoing IP address used for carrying out the simulated cyber attack similarly to the outgoing IP address storage unit 201 of the simulated cyber attack device 200.
  • the behavior recording unit 103 When the behavior recording unit 103 receives the transmission IP address used for carrying out the simulated cyber attack from the simulated cyber attack device 200, the behavior recording unit 103 updates the corresponding transmission IP address in the transmission IP address storage unit 106 to “in use”. In addition, the action recording unit 103 generates a packet capture unit 101 that captures communication between the corresponding transmission IP address and the measurement target 300.
  • the packet capture unit 101 is created in response to the attack by the simulated attack unit 206, captures the designated transmission IP address and communication between the measurement target 300, and sends the captured message to the action recording unit 103 and the content distribution unit 102.
  • the behavior recording unit 103 stores the packet capture data sent from the packet capture unit 101 in the packet capture log storage unit 107.
  • the packet capture log storage unit 107 stores a transmission IP address and packet capture data exchanged between the measurement target 300.
  • FIG. 7 is a diagram illustrating an example of information held in the packet capture log storage unit of the capability measurement apparatus according to the embodiment.
  • the IP address 172.19.0.2 is the IP address of the measurement target 300 and 172.19.0.3 is the outgoing IP address.
  • No. 1 in FIG. 231 No. Data 234 to 238 indicate request messages transmitted from the measurement object 300 to the transmission IP address.
  • the one corresponding to the search action is a target of skill evaluation described later.
  • the signature storage unit 108 stores a signature that expresses the communication content representing the search action to be added at the time of skill evaluation in a regular expression.
  • FIG. 8 is a diagram illustrating an example of information held in the signature storage unit 108. In the example of FIG. 8, a table (corresponding to the second table) storing signatures represented by regular expressions is used for each type (type) of search behavior.
  • the score table storage unit 109 stores a score table that defines a score to be added at the time of skill evaluation for each type of the search action.
  • FIG. 9 is a diagram illustrating an example of information held in the score table storage unit 109. In a more desirable mode of the present invention, it is desirable that this score is set to a higher-level search action with a higher score.
  • the capability measuring unit 104 collates the packet capture log recorded in the packet capture log storage unit 107 with the signature stored in the signature storage unit 108, and specifies the communication content representing the search action. Furthermore, the ability measurement unit 104 refers to the score table stored in the score table storage unit 109, adds the scores for each search action, and obtains an evaluation value representing a skill for dealing with the cyber attack of the measurement target 300. calculate.
  • the content storage unit 105 stores simulated content to be transmitted to the measurement target 300 when the measurement target 300 makes a request for content to the simulated cyber attack source at a port number that provides a predetermined service.
  • a set of files such as html, jpeg, gif, and torrent is prepared as contents to be returned in response to a content request using HTTP (Hypertext Transfer Protocol).
  • HTTP Hypertext Transfer Protocol
  • the content distribution unit 102 determines whether or not the measurement target 300 has requested content from the simulated cyber attack source using a predetermined port number. Determine whether.
  • a port number here, 80 generally used in HTTP, 443 generally used in HTTPS, etc. can be considered.
  • IANA Internet Assigned Numbers Authority
  • the content distribution unit 102 extracts the simulated content and transmits it to the measurement target 300.
  • the simulated content is preferably content that causes the measurement target 300 to attract further search behavior.
  • a blog web log created by software called WordPress, a Wiki page that can be updated by a viewer, and the like are assumed.
  • data related to the measurement target 300 is input to the simulated cyber attack device 200 (measurement target data) at a predetermined opportunity.
  • the simulated cyber attack device 200 selects a measurement target at a predetermined opportunity, and performs a simulated cyber attack using the transmission IP address for fraud on the measurement target 300.
  • the simulated cyber attack device 200 transmits the combination of the transmission IP address used for the simulated cyber attack and the measurement target 300 to the capability measurement device 100 (transmission IP address data).
  • the ability measuring apparatus 100 captures communication specified by the combination of the transmission IP address and the measurement target 300, and evaluates the skill from the viewpoint of whether or not the search action is being performed (measurement result data).
  • FIG. 11 is a flowchart showing the operation of the simulated cyber attack device 200 according to the first embodiment of the present invention.
  • the simulated cyber attack device 200 stores the IP address of the measurement target acquired from the outside in the measurement target storage unit 202 (step S001).
  • the simulated cyber attack device 200 selects one measurement target stored in the measurement target storage unit 202 and starts a simulated cyber attack (step S002).
  • the simulated cyber attack device 200 reads one IP address that is not currently used from the outgoing IP address storage unit 201 and changes the state to the “in use” state (step S003).
  • the simulated cyber attack device 200 reads one simulated attack pattern from the simulated attack pattern storage unit 205 at random (step S004).
  • the simulated cyber attack device 200 generates the simulated attack unit 206 and starts communication of the simulated attack to the measurement target (step S005).
  • the simulated cyber-attack device 200 repeatedly performs the processes of steps S002 to S005 on the measurement target stored in the measurement target storage unit 202 (step S006).
  • FIG. 12 is a flowchart showing the operation of the capability measuring apparatus 100 according to the first embodiment of this invention.
  • the ability measuring device 100 updates the outgoing IP address notified from the simulated cyber attack device 200 among the outgoing IP addresses stored in the measurement target storage unit 202 to “in use”. (Step S101).
  • the capability measuring device 100 generates a packet capture unit that captures communication specified by the transmission IP address and the IP address of the measurement target 300, and starts packet capture (step S102).
  • the capability measuring apparatus 100 records the captured communication content in the packet capture log storage unit 107 (step S103).
  • the capability measuring apparatus 100 collates the communication content recorded in the packet capture log storage unit 107 with the signature stored in the signature storage unit 108 (step S104).
  • the ability measuring device 100 refers to the score table in the score table storage unit 109 and specifies the score of the communication content indicating the search action that matches the signature (step S105).
  • the ability measuring apparatus 100 aggregates the scores of the communication contents indicating the search behavior and outputs the scores as the ability evaluation value representing the skill of the measurement target 300 (step S106).
  • the ability measuring apparatus 100 retrieves simulated content from the content storage unit 105 and transmits it to the measurement target 300 when the measurement target 300 requests content provided by a predetermined port number ( Step S107).
  • FIG. 13 is a diagram for explaining the operation of the capability measuring unit 104 of the capability measuring apparatus 100.
  • the ability measurement unit 104 calculates an evaluation value representing the skill to be measured using the packet capture data stored in the packet capture log storage unit 107, the signature, and the score. .
  • the capability measuring unit 104 performs matching (pattern matching) with the signature shown in FIG.
  • the eighth data “GET /wp-content/debug.log HTTP / 1.1 ⁇ r ⁇ n” from the top is the signature “wp-content / debug.log” indicating the search action of the debug log Match.
  • the capability measuring unit 104 specifies a score of 0.1 corresponding to the debug log search action from the score table shown in FIG.
  • the fifteenth data “GET /wp-config.php.save HTTP / 1.1 ⁇ r ⁇ n” from the top has a signature “wp--config ⁇ ” indicating vulnerability search behavior using a tool (WPscan). .php ⁇ .save $ ".
  • the ability measuring unit 104 specifies a score 1.1 corresponding to a vulnerability search action using a tool (WPscan) from the score table shown in FIG.
  • the score (total score) indicating the skill to be measured is 1.2.
  • the above-mentioned score units and weights are merely examples. For example, the skill required for a standard security analyst may be set to 100, and the score for the search action may be set based on this.
  • the measurement object 300 determines that a content request or the like has been made with a predetermined port number, a configuration in which simulated content is returned is adopted. For this reason, it is possible to attract the measurement object 300 to take further search behavior, and it is possible to evaluate whether or not the measurement object having a certain skill level has a higher level of skill. Yes.
  • a security analyst such as a person in charge of incident handling in an enterprise or an external expert or a device that performs a similar function. It becomes possible. Furthermore, according to the above-described embodiment, it is possible to add a potential attacker to the protection target information system, a person who has made a cyber attack in the past, or a device as a measurement target. This makes it possible to evaluate the skills of these persons and to make use of them for security measures for preventing incidents.
  • the capability measuring apparatus 100 has been described as having a simulated content transmission function, but the simulated content transmission function may be realized by a separate device.
  • the ability measuring device 100 and the simulated cyber attack device 200 are arranged as separate devices.
  • the configuration in which the ability measuring device 100 and the simulated cyber attack device 200 are integrated. can also be adopted.
  • the measurement target 300 is assumed to perform a search action similar to that of a security analyst using AI (Artificial Intelligence) or the like. It can also be applied to the performance evaluation of various security devices.
  • AI Artificial Intelligence
  • the procedure shown in the above-described embodiment can be realized by a program that causes a computer (9000 in FIG. 15) functioning as the simulated cyber attack device 200 or the ability measuring device 100 to realize the functions as these devices.
  • a computer is exemplified by a configuration including a CPU (Central Processing Unit) 9010, a communication interface 9020, a memory 9030, and an auxiliary storage device 9040 in FIG. That is, the CPU 9010 shown in FIG. 15 may execute an action recording program or an ability evaluation program to update each calculation parameter held in the auxiliary storage device 9040 or the like.
  • a CPU Central Processing Unit
  • each part (processing means, function) of the simulated cyber attack device or capability measurement device shown in the above-described embodiment executes the above-described processes using the hardware installed in the processor mounted on these devices. This can be realized by a computer program.
  • the above-described capacity measuring device further includes: It is preferable that the measurement target includes a content distribution unit that transmits predetermined simulated content to the measurement target when a request for content is made to the simulated cyber attack source with a predetermined port number. [Fifth embodiment] It is preferable that the above-described simulated content is content that induces search behavior to the measurement target. [Sixth embodiment]
  • the action recording unit of the above-described ability measuring device can take a configuration in which a skill measurement target for dealing with a cyber attack and an IP address representing a simulated cyber attack source are received from a predetermined simulated cyber attack device.
  • the simulated cyber attack unit of the simulated cyber attack device described above can employ a configuration in which a transmission IP address used for the simulated cyber attack is selected from an IP address prepared in advance and used.
  • a transmission IP address used for the simulated cyber attack is selected from an IP address prepared in advance and used.
  • Capability measurement device 101 Packet capture unit 101A, 103 Action recording unit 102 Content distribution unit 102A, 104 Capability measurement unit 105 Content storage unit 106 Transmission IP address storage unit 107 Packet capture log storage unit 108 Signature storage unit 109 Score table storage Unit 200 simulated cyber attack device 201 source IP address storage unit 202 measurement target storage unit 203 measurement target management unit 204 simulated attack generation unit 205 simulated attack pattern storage unit 206 simulated attack unit 300 measurement target 9000 computer 9010 CPU 9020 Communication interface 9030 Memory 9040 Auxiliary storage device

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

インシデントに対する対応を行う者等の能力(スキル)の測定を実施することが可能となる。能力測定装置は、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、を備える。

Description

セキュリティ対処能力測定システム、方法及びプログラム
 本発明は、セキュリティ対処能力測定システム、能力測定装置、模擬サイバー攻撃装置、能力測定方法、模擬サイバー攻撃方法及びプログラムに関する。
 昨今、ICT(Information and Communication Technology)機器やIoT(Internet of Things)機器に対する不正な指令を与えるサイバー攻撃が社会問題となっている。
 こうしたサイバー攻撃による被害を抑止するためには、被害を受けることが想定されるICT機器、IoT機器を洗い出し、セキュリティシステムを適切に運用する事前対策の他、サイバー攻撃を受けた後のインシデント対応も求められる。
 特許文献1に、ネットワークを模擬したシミュレーション環境または実物のネットワークなどの検査対象の脆弱性を検査することができるという脆弱性検査システムが開示されている。同文献によると、この脆弱性検査システムは、脆弱性の検査プランを作成する脆弱性検査計画用計算機と、前記作成した検査プランに従って検査対象に対して攻撃を加え、攻撃に対して検査対象がとった挙動をもとに検査結果を作成する脆弱性検査用計算機と、を有する。
 特許文献2に、専門知識のないユーザであっても、実使用環境でのネットワーク・セキュリティを評価できるという攻撃耐性評価システムが開示されている。同文献によると、この攻撃耐性評価システムは、外部の機器と通信可能な画像形成装置と、ネットワークを介して前記画像形成装置と直接又は間接に接続されて通信する擬似攻撃実行サーバとを備える。そして、前記画像形成装置は、その画像形成装置の識別情報を含む擬似攻撃要求を前記擬似攻撃実行サーバに送る。前記擬似攻撃実行サーバは、前記擬似攻撃要求に応答して前記画像形成装置に対する擬似的な不正アクセス攻撃を実行し、実行した結果を前記画像形成装置に送信する。そして、前記画像形成装置は受領した結果を提示する。
特開2002-229946号公報 特開2018-022419号公報
National Institute of Standards and Technology、"Computer Security Incident Handling Guide(NIST SP 800-61 R2)"、[online]、[平成30年4月24日検索]、インターネット〈URL:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf〉
 以下の分析は、本発明によって与えられたものである。非特許文献1によれば、インシデント対応のライフサイクルとして(1)準備、(2)検出・分析、(3)封印・根絶・復旧、(4)教訓の4フェーズが定義されている。このうち、(2)検出・分析では、ネットワークトラフィックから検出した攻撃ベクトルを分析し、その内容を文書化することが求められている。
 さらに、非特許文献1では、上記インシデント対応を遂行するために、サイバー攻撃による被害が想定されるICT/IoT機器に対し、十分な能力を持ったスタッフを配備し、定期的に能力を測定し、また、訓練することが望ましいとされる(「3.2.4 Incident Analysis」等参照)。
 この点、特許文献1がターゲットとしている「検査対象」は、ネットワークを模擬したシミュレーション環境または実物のネットワークであり、インシデント対応スタッフには向けられていない。特許文献2の発明も同様であり、評価の対象は画像形成装置であり、人的なインシデント対応体制の評価を志向するものとはなっていない。
 本発明は、上記インシデントに対する対応を行う者等の能力(スキル)の測定方法の提供に貢献できるセキュリティ対処能力測定システム、方法及びプログラムを提供することを目的とする。
 第1の視点によれば、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、を備える能力測定装置が提供される。
 第2の視点によれば、セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルと、前記測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃部と、前記選択した測定対象と、前記模擬サイバー攻撃に用いる発信(送信元)IP(Internet Protocol)アドレスを、所定の能力測定装置に通知する通知部と、を備える模擬サイバー攻撃装置が提供される。
 第3の視点によれば、上記した模擬サイバー攻撃装置と、上記した能力測定装置と、を含むセキュリティ対処能力測定システムが提供される。
 第4の視点によれば、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録するステップと、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対するスキルを評価するステップと、を含む能力測定方法が提供される。本方法は、測定対象のサイバー攻撃に対処するスキルを評価する能力測定装置という、特定の機械に結びつけられている。
 第5の視点によれば、セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛けるステップと、前記選択した測定対象と、前記模擬サイバー攻撃に用いる発信(送信元)IPアドレスを、所定の能力測定装置に通知するステップと、を含む模擬サイバー攻撃方法が提供される。本方法は、測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃装置という、特定の機械に結びつけられている。
 第6の視点によれば、上記した模擬サイバー攻撃装置及び能力測定装置のそれぞれの機能を実現するためのプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジトリーな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。
 本発明によれば、上記インシデントに対する対応を行う者等の能力(スキル)の測定を実施することが可能となる。
本発明の一実施形態の構成を示す図である。 本発明の第1の実施形態の構成を示す図である。 本発明の第1の実施形態の模擬サイバー攻撃装置の構成を示す図である。 本発明の第1の実施形態の模擬サイバー攻撃装置の発信IPアドレス記憶部に保持される情報の一例を示す図である。 本発明の第1の実施形態の模擬サイバー攻撃装置の測定対象記憶部に保持される情報の一例を示す図である。 本発明の第1の実施形態の能力測定装置の構成を示す図である。 本発明の第1の実施形態の能力測定装置のパケットキャプチャログ記憶部に保持される情報の一例を示す図である。 本発明の第1の実施形態の能力測定装置のシグネチャ記憶部に保持される情報の一例を示す図である。 本発明の第1の実施形態の能力測定装置のスコアテーブル記憶部に保持される情報の一例を示す図である。 本発明の第1の実施形態のセキュリティ対処能力測定システムの動作を説明するための図である。 本発明の第1の実施形態の模擬サイバー攻撃装置の動作を表した流れ図である。 本発明の第1の実施形態の能力測定装置の動作を表した流れ図である。 本発明の第1の実施形態の能力測定部の動作を説明するための図である。 本発明の第1の実施形態の能力測定部の動作を説明するための図である。 本発明の模擬サイバー攻撃装置又は能力測定装置を構成するコンピュータの構成を示す図である。
 はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。
 本発明は、その一実施形態において、図1に示すように、行動記録部101Aと、能力測定部102Aと、を備える能力測定装置100Aにて実現できる。より具体的には、行動記録部101Aは、サイバー攻撃に対するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する。そして、能力測定部102Aは、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する。
 例えば、行動記録部101Aは、測定対象として選択されたユーザAと模擬サイバー攻撃元との通信内容を記録する。そして、能力測定部102Aは、ユーザAが模擬サイバー攻撃元に対し探索行動を採っているか否かや、探索行動の内容に基づいて、ユーザAのサイバー攻撃に対処するスキルの程度を評価する。
 以上のように、本発明の能力測定装置100Aによれば、インシデントに対する対応を行う者等の能力(スキル)を正確に把握することが可能となる。
[第1の実施形態]
 続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図2は、本発明の第1の実施形態の構成を示す図である。図2を参照すると、測定対象300と、模擬サイバー攻撃装置200と、能力測定装置100とがネットワークを介して接続された構成が示されている。
 測定対象300は、コンピュータを利用して模擬サイバー攻撃に対応する者やそのような機能を持った機器を示す(以下、これらを「測定対象者」と総称する)。測定対象者としては、例えば、企業内のインシデント対応の担当者や外部の専門家などのセキュリティアナリストと呼ばれる職務に従事する者や同様の機能を果たす機器などが想定される。また、別の視点において、測定対象者として、保護対象の情報システムに対する潜在的な攻撃者や過去にサイバー攻撃を行った者や機器を選択してもよい。
 能力測定装置100は、模擬サイバー攻撃装置200と連携して動作して、測定対象300のサイバー攻撃に対処するスキルの程度を評価する。また、模擬サイバー攻撃装置200は、能力測定装置100にパケットキャプチャログを採取させるために、測定対象300に対し、模擬的なサイバー攻撃を実施する装置である。本実施形態のセキュリティ対処能力測定システムは、この能力測定装置100と、模擬サイバー攻撃装置200とを含んで構成される。
 図3は、本発明の第1の実施形態の模擬サイバー攻撃装置200の構成を示す図である。図3を参照すると、発信IPアドレス記憶部201と、測定対象記憶部202と、測定対象管理部203と、模擬攻撃生成部204と、模擬攻撃パターン記憶部205と、測定対象300毎に生成される模擬攻撃部206とを含む構成が示されている。
 発信IPアドレス記憶部201は、模擬サイバー攻撃装置200による模擬サイバー攻撃の際に発信元として使用するIPアドレスを記憶する。このIPアドレスは複数用意され、測定対象300から模擬のサイバー攻撃であることを悟られないように管理される。
 図4は、本実施形態の模擬サイバー攻撃装置200の発信IPアドレス記憶部201に保持される情報の一例を示す図である。図4の例では、模擬サイバー攻撃の際に使用する模擬サイバー攻撃元を示すIPアドレスと、その状態とを対応付けたエントリを複数格納可能なテーブルを用いて、模擬サイバー攻撃の際に使用するIPアドレスを管理する構成が示されている。また、図4の例では、「状態」フィールドには、「使用中」と「未使用」の2状態が示されている。「使用中」状態は、そのIPアドレスが模擬サイバー攻撃に使用されている状態を示す。「未使用」状態は、そのIPアドレスが未使用にあり払い出し可能である状態を示す。
 測定対象記憶部202は、模擬サイバー攻撃装置200による模擬サイバー攻撃の対象となる測定対象300の情報を記憶する。
 図5は、本実施形態の模擬サイバー攻撃装置200の測定対象記憶部202に保持される情報の一例を示す図である。図5の例では、測定対象300のIPアドレスと、そのスコア情報とを対応付けたエントリを複数格納可能なテーブルを用いて、測定対象を管理する構成が示されている。なお、図5の例では、IPアドレスを用いて測定対象300を管理しているが、測定対象のドメイン名などを併せて管理してもよい。
 また、図5の「スコア」フィールドは、その測定対象のサイバー攻撃に対処するスキルの評価値が格納されている。この値の有無により、測定対象300への模擬サイバー攻撃が実施済みであるか否かを識別することが可能となっている。もちろん、「スコア」に代えて、模擬サイバー攻撃が実施済みであることを示すフラグなどを設けて、測定対象300への模擬サイバー攻撃が実施済みであるか否かを識別するようにしてもよい。
 測定対象管理部203は、新規の測定対象を受け取り、測定対象記憶部202に、「スコア」フィールドが「評価待ち」である新規のエントリを登録する動作を行う。例えば、新しくセキュリティアナリストが加わった場合、当該セキュリティアナリストが新規の測定対象として追加される。また、別の視点において、潜在的な攻撃者や過去にサイバー攻撃を行った者の情報がもたらされた場合に、これらの者を新規の測定対象として追加してもよい。
 模擬攻撃パターン記憶部205は、測定対象300に仕掛ける模擬サイバー攻撃のパターンを記憶する。この模擬サイバー攻撃のパターンは、例えば、IDS(Intrusion Detection System)の性能評価のために用いられる各種の攻撃ツールを用いて作成することができる。これらの攻撃ツールとしては、Stick、snot、IDSwakeupなどが知られているが、その他の攻撃ツールを用いることもできる。
 模擬攻撃生成部204は、所定のタイミングで、模擬攻撃部206を生成し、測定対象への模擬サイバー攻撃を実施する。より具体的には、模擬攻撃生成部204は、測定対象記憶部202と発信IPアドレス記憶部201とから、測定対象300と、未使用の発信IPアドレスとをそれぞれ選択する。そして、模擬攻撃生成部204は、模擬攻撃パターン記憶部205から任意の模擬攻撃パターンを読み出して、模擬攻撃部206を構成する。模擬攻撃生成部204は、模擬サイバー攻撃を実施した場合、その攻撃に使用した発信IPアドレスと測定対象300の組を能力測定装置100に通知する。
 模擬攻撃部206は、模擬攻撃生成部204により選択された測定対象300とIPアドレスとの組み合わせをそれぞれ宛先、発信元として、指定された模擬攻撃パターンによる攻撃を行う。より具体的には、模擬攻撃部206は、指定された発信IPアドレスを発信元とし、指定された測定対象300を宛先とした模擬サイバー攻撃パケットを生成し、測定対象300に送信する動作を行う。
 続いて、上記模擬サイバー攻撃装置200と連携して動作する能力測定装置100の構成について図面を参照して詳細に説明する。図6は、本発明の第1の実施形態の能力測定装置100の構成を示す図である。図6を参照すると、パケットキャプチャ部101と、行動記録部103と、発信IPアドレス記憶部106と、パケットキャプチャログ記憶部107と、能力測定部104と、シグネチャ記憶部108と、スコアテーブル記憶部109とを備えた構成が示されている。また、能力測定装置100は、測定対象300に探索行動を促すコンテンツを提示するためのコンテンツ配信部102と、コンテンツ記憶部105とを備えている。
 発信IPアドレス記憶部106は、模擬サイバー攻撃装置200の発信IPアドレス記憶部201と同様に、模擬サイバー攻撃の実施に使用された発信IPアドレスを記憶する。
 行動記録部103は、模擬サイバー攻撃装置200から模擬サイバー攻撃の実施に使用した発信IPアドレスを受信すると、発信IPアドレス記憶部106の該当発信IPアドレスを「使用中」に更新する。また、行動記録部103は、該当発信IPアドレスと、測定対象300間の通信をキャプチャするパケットキャプチャ部101を生成する。
 パケットキャプチャ部101は、模擬攻撃部206による攻撃に対応して作成され、指定された発信IPアドレスと、測定対象300間の通信をキャプチャし、行動記録部103とコンテンツ配信部102に送る。
 行動記録部103は、パケットキャプチャ部101から送られたパケットキャプチャデータをパケットキャプチャログ記憶部107に保存する。
 パケットキャプチャログ記憶部107は、発信IPアドレスと、測定対象300間でやり取りされたパケットキャプチャデータを記憶する。図7は、実施形態の能力測定装置のパケットキャプチャログ記憶部に保持される情報の一例を示す図である。ここで例えば、IPアドレス172.19.0.2が測定対象300のIPアドレスであり、172.19.0.3が発信IPアドレスであったものとする。このとき、図7のNo.231、No.234~238のデータは、測定対象300が発信IPアドレスに送信したリクエストメッセージを示している。このうちの探索行動に当たるものが、後記するスキル評価の対象となる。
 シグネチャ記憶部108は、スキル評価の際に加点の対象となる探索行動を表す通信内容を正規表現で表したシグネチャを記憶する。図8は、シグネチャ記憶部108に保持される情報の一例を示す図である。図8の例では、いくつかの探索行動の類型(種別)毎に、正規表現で表されたシグネチャが格納するテーブル(第2のテーブルに相当)が用いられている。
 スコアテーブル記憶部109は、上記探索行動の類型毎にスキル評価の際に加点するスコアを定めたスコアテーブルを記憶する。図9は、スコアテーブル記憶部109に保持される情報の一例を示す図である。本発明のより望ましい形態において、このスコアはより高度な内容の探索行動に、より高いスコアが設定されていることが望ましい。
 能力測定部104は、上記したパケットキャプチャログ記憶部107に記録されたパケットキャプチャログと、シグネチャ記憶部108に記憶されたシグネチャとを照合し、探査行動を表す通信内容を特定する。さらに、能力測定部104は、スコアテーブル記憶部109に記憶されたスコアテーブルを参照して、探索行動ごとのスコアを加算していき、測定対象300のサイバー攻撃に対処するスキルを表す評価値を計算する。
 コンテンツ記憶部105は、測定対象300が、所定のサービスを提供するポート番号にて、前記模擬サイバー攻撃元に対し、コンテンツの要求等を行った場合、測定対象300に送信する模擬コンテンツを記憶する。例えば、HTTP(Hypertext Transfer Protocol)を用いてコンテンツ要求に対し返すコンテンツとして、html、jpeg、gif、torrentなどといったファイルのセットが用意される。もちろん、この模擬コンテンツとしては、想定されるサービス(ポート番号)の内容に応じたものが用意されることが好ましい。
 そして、コンテンツ配信部102は、パケットキャプチャ部101から送られたパケットキャプチャデータに基づいて、測定対象300が、前記模擬サイバー攻撃元に対し、所定のポート番号にてコンテンツの要求等を行ったか否かを判定する。なお、ここでのポート番号としては、HTTPにて一般的に用いられる80、HTTPSにて一般的に用いられる443などが考えられる。もちろん、Internet Assigned Numbers Authority (IANA)において管理されているその他のポート番号をその判定対象に加えても良い。
 前記判定の結果、測定対象300が、所定のポート番号にてコンテンツの要求等を行ったと判定した場合、コンテンツ配信部102は、模擬コンテンツを取り出して、測定対象300に送信する。この模擬コンテンツは、測定対象300にさらなる探索行動を誘引させるコンテンツであることが好ましい。このような模擬コンテンツとしては、WordPressというソフトウェアで作成されたブログ(ウェブログ)や閲覧者がページを更新できるコンテンツであるWikiページなどが想定される。
 続いて、本実施形態の動作について図面を参照して詳細に説明する。はじめに、上記模擬サイバー攻撃装置200と、能力測定装置100とを組み合わせて構成されたセキュリティ対処能力測定システム全体の動作について図10を用いて説明する。
 図10に示すとおり、所定の契機で、測定対象300に関するデータが、模擬サイバー攻撃装置200に入力される(測定対象データ)。模擬サイバー攻撃装置200は、所定の契機で、測定対象を選択し、測定対象300に欺瞞用の発信IPアドレスを用いて模擬サイバー攻撃を実施する。これと並行して、模擬サイバー攻撃装置200は、上記模擬サイバー攻撃に用いた発信IPアドレスと測定対象300の組み合わせを能力測定装置100に送信する(発信IPアドレスデータ)。能力測定装置100は、発信IPアドレスと測定対象300の組み合わせにて特定される通信をキャプチャし、探索行動がなされているか否かの観点でスキルの評価を行う(測定結果データ)。
 続いて、図11、図12を参照して、上記模擬サイバー攻撃装置200及び能力測定装置100の動作について詳細に説明する。図11は、本発明の第1の実施形態の模擬サイバー攻撃装置200の動作を表した流れ図である。図11を参照すると、まず、模擬サイバー攻撃装置200は、外部から取得した測定対象のIPアドレスを測定対象記憶部202に格納する(ステップS001)。
 次に、模擬サイバー攻撃装置200は、測定対象記憶部202に記憶されている測定対象を1つ選択して模擬サイバー攻撃を開始する(ステップS002)。まず、模擬サイバー攻撃装置200は、発信IPアドレス記憶部201から現在使用されていないIPアドレスを1つ読み込み、「使用中」状態に変更する(ステップS003)。
 次に、模擬サイバー攻撃装置200は、模擬攻撃パターン記憶部205から模擬攻撃パターンをランダムに1つ読み込む(ステップS004)。
 次に、模擬サイバー攻撃装置200は、模擬攻撃部206を生成し、測定対象への模擬攻撃の通信を開始する(ステップS005)。模擬サイバー攻撃装置200は、測定対象記憶部202に格納されている測定対象について上記ステップS002~S005の処理を反復して実施する(ステップS006)。
 続いて、能力測定装置100の動作について説明する。図12は、本発明の第1の実施形態の能力測定装置100の動作を表した流れ図である。図12を参照すると、まず、能力測定装置100は、測定対象記憶部202に記憶されている発信IPアドレスのうち、模擬サイバー攻撃装置200から通知された発信IPアドレスを「使用中」に更新する(ステップS101)。
 能力測定装置100は、発信IPアドレスと測定対象300のIPアドレスにて特定される通信をキャプチャするパケットキャプチャ部を生成し、パケットキャプチャを開始する(ステップS102)。
 以降、能力測定装置100は、パケットキャプチャログ記憶部107に、キャプチャした通信内容を記録する(ステップS103)。
 次に、能力測定装置100は、パケットキャプチャログ記憶部107に記録した通信内容と、シグネチャ記憶部108に記憶されているシグネチャとを照合する(ステップS104)。
 次に、能力測定装置100は、スコアテーブル記憶部109のスコアテーブルを参照し、シグネチャと一致した探索行動を示す通信内容のスコアを特定する(ステップS105)。
 次に、能力測定装置100は、探索行動を示す通信内容のスコアを集計して測定対象300のスキルを表す能力評価値として出力する(ステップS106)。
 上記スキル評価と並行して、能力測定装置100は、測定対象300が所定のポート番号にて提供されるコンテンツを要求した場合、コンテンツ記憶部105から模擬コンテンツを取り出し、測定対象300に送信する(ステップS107)。
 続いて、上記ステップS104~S106の能力測定装置100の動作について詳細に説明する。図13は、能力測定装置100の能力測定部104の動作を説明するための図である。図13に示したとおり、能力測定部104は、パケットキャプチャログ記憶部107に格納されたパケットキャプチャデータと、シグネチャと、スコアを用いて、測定対象のスキルを表す評価値を計算することになる。
 例えば、図14の左側に示すパケットキャプチャデータが得られているものとする。能力測定部104は、図8に示すシグネチャと照合(パターンマッチング)を行う。図14の例では、上から8番目のデータ「GET /wp-content/debug.log HTTP/1.1 \r\n」が、デバッグログの探索行動を示すシグネチャ「wp-content/debug.log」と一致する。このとき、能力測定部104は、図9に示すスコアテーブルからデバッグログの探索行動に対応するスコア0.1を特定する。同様に、上から15番目のデータ「GET /wp-config.php.save HTTP/1.1 \r\n」が、ツール(WPscan)を用いた脆弱性の探索行動を示すシグネチャ「wp--config\.php\.save$」と一致する。このとき、能力測定部104は、図9に示すスコアテーブルからツール(WPscan)を用いた脆弱性の探索行動に対応するスコア1.1を特定する。この時点で、パケットキャプチャデータとシグネチャとの照合が完了した場合、測定対象のスキルを示すスコア(総合スコア)は1.2となる。なお、上記スコアの単位や重み付けはあくまで一例であり、例えば、標準的なセキュリティアナリストに求められるスキルを100とし、これに基づいて、探索行動に対するスコアを設定してもよい。
 以上説明したように、本実施形態によれば、サイバー攻撃による被害が想定されるICT/IoT機器に配備されるセキュリティアナリストやセキュリティ装置の分析能力を測定することが可能となる。
 また、上記した実施形態によれば、模擬のサイバー攻撃であることが察知されにくいように、発信IPアドレスを複数用意して、使用する構成が採用されている。このため、セキュリティアナリストが、外部との情報共有によって既知となっているIPアドレスであることを根拠に、模擬サイバー攻撃の通信を遮断することで、対処を止めてしまう可能性を極力減らすことができる。
 また、上記した実施形態によれば、測定対象300が、所定のポート番号にてコンテンツの要求等を行ったと判定した場合、模擬コンテンツを返す構成を採用している。このため、測定対象300にさらなる探索行動を採ることを誘引することができ、一定以上のスキルを持つ測定対象についても、さらに高度なスキルを持つか否かの評価を行うことが可能となっている。
 また、上記した実施形態によれば、企業内のインシデント対応の担当者や外部の専門家などのセキュリティアナリストと呼ばれる職務に従事する者や同様の機能を果たす機器などのスキルを測定することが可能となる。さらに、上記した実施形態によれば、測定対象として、保護対象の情報システムに対する潜在的な攻撃者や過去にサイバー攻撃を行った者や機器を追加することもできる。これにより、これらの者のスキルを評価し、インシデントを未然に防ぐためのセキュリティ対策に役立てることも可能となる。
 以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。また、以下の説明において、「A及び/又はB」は、A及びBの少なくともいずれかという意味で用いる。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。例えば、上記した実施形態では、能力測定装置100に模擬コンテンツの送信機能が備えられているものとして説明したが、模擬コンテンツの送信機能は別装置にて実現してもよい。また、上記した実施形態では、能力測定装置100と模擬サイバー攻撃装置200が別の機器として配置されている例を挙げて説明したが、能力測定装置100と模擬サイバー攻撃装置200とを統合した構成も採用可能である。
 また、上記した実施形態では、主として測定対象が人である例を挙げて説明したが、測定対象300は、AI(Artificial Intelligence)等を用いてセキュリティアナリストと同様の探索行動を行うとされている各種のセキュリティ機器の性能の評価にも適用することが可能である。
 また、上記した実施形態に示した手順は、模擬サイバー攻撃装置200や能力測定装置100として機能するコンピュータ(図15の9000)に、これらの装置としての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図15のCPU(Central Processing Unit)9010、通信インタフェース9020、メモリ9030、補助記憶装置9040を備える構成に例示される。すなわち、図15のCPU9010にて、行動記録プログラムや能力評価プログラムを実行し、その補助記憶装置9040等に保持された各計算パラメーターの更新処理を実施させればよい。
 即ち、上記した実施形態に示した模擬サイバー攻撃装置や能力測定装置の各部(処理手段、機能)は、これらの装置に搭載されたプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。
 最後に、本発明の好ましい形態を要約する。
[第1の形態]
 (上記第1の視点による能力測定装置参照)
[第2の形態]
 上記した能力測定装置の能力測定部は、
 前記探索行動の種別に対応するスコアを定めたテーブルを参照して、前記測定対象が採った探索行動のスコアを集計して、前記測定対象のサイバー攻撃に対処するスキルを評価する構成を採ることができる。
[第3の形態]
 上記した能力測定装置の能力測定部は、
 前記通信に含まれるメッセージから、前記測定対象が採った探索行動の種別を特定するための第2のテーブルを備えることが好ましい。
[第4の形態]
 上記した能力測定装置は、さらに、
 前記測定対象が、前記模擬サイバー攻撃元に対し、所定のポート番号にて、コンテンツの要求を行った場合、前記測定対象に所定の模擬コンテンツを送信するコンテンツ配信部を備えることが好ましい。
[第5の形態]
 上記した模擬コンテンツは、前記測定対象に探索行動を誘引させるコンテンツであることが好ましい。
[第6の形態]
 上記した能力測定装置の行動記録部は、所定の模擬サイバー攻撃装置からサイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元を表すIPアドレスを受け取る構成を採ることができる。
[第7の形態]
 (上記第2の視点による模擬サイバー攻撃装置参照)
[第8の形態]
 上記した模擬サイバー攻撃装置の模擬サイバー攻撃部は、予め用意したIPアドレスから前記模擬サイバー攻撃に用いる発信IPアドレスを選択して使用する構成を採ることができる。
[第9の形態]
 (上記第3の視点によるセキュリティ対処能力測定システム参照)
[第10の形態]
 (上記第4の視点による能力測定方法参照)
[第11の形態]
 (上記第5の視点による模擬サイバー攻撃方法参照)
[第12の形態]
 (上記第6の視点によるプログラム参照)
 なお、上記第9~第12の形態は、第1、第2の形態と同様に、第2~第6、第8の形態にそれぞれ展開することが可能である。
 なお、上記の特許文献および非特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。
 100、100A 能力測定装置
 101 パケットキャプチャ部
 101A、103 行動記録部
 102 コンテンツ配信部
 102A、104 能力測定部
 105 コンテンツ記憶部
 106 発信IPアドレス記憶部
 107 パケットキャプチャログ記憶部
 108 シグネチャ記憶部
 109 スコアテーブル記憶部
 200 模擬サイバー攻撃装置
 201 発信IPアドレス記憶部
 202 測定対象記憶部
 203 測定対象管理部
 204 模擬攻撃生成部
 205 模擬攻撃パターン記憶部
 206 模擬攻撃部
 300 測定対象
 9000 コンピュータ
 9010 CPU
 9020 通信インタフェース
 9030 メモリ
 9040 補助記憶装置

Claims (13)

  1.  サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、
     前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、
     を備える能力測定装置。
  2.  前記能力測定部は、
     前記探索行動の種別に対応するスコアを定めたテーブルを参照して、前記測定対象が採った探索行動のスコアを集計して、前記測定対象のサイバー攻撃に対処するスキルを評価する請求項1の能力測定装置。
  3.  前記能力測定部は、
     前記通信に含まれるメッセージから、前記測定対象が採った探索行動の種別を特定するための第2のテーブルを備える請求項2の能力測定装置。
  4.  さらに、
     前記測定対象が、前記模擬サイバー攻撃元に対し、所定のポート番号にて、コンテンツの要求を行った場合、前記測定対象に所定の模擬コンテンツを送信するコンテンツ配信部を備える請求項1から3いずれか一の能力測定装置。
  5.  前記所定の模擬コンテンツは、前記測定対象に探索行動を誘引させるコンテンツである請求項4の能力測定装置。
  6.  前記行動記録部は、所定の模擬サイバー攻撃装置からサイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元を表すIPアドレスを受け取る請求項1から5いずれか一の能力測定装置。
  7.  セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルと、
     前記測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃部と、
     前記選択した測定対象と、前記模擬サイバー攻撃に用いる発信IPアドレスを、所定の能力測定装置に通知する通知部と、
     を備える模擬サイバー攻撃装置。
  8.  前記模擬サイバー攻撃部は、予め用意したIPアドレスから前記模擬サイバー攻撃に用いる発信IPアドレスを選択して使用する請求項7の模擬サイバー攻撃装置。
  9.  セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルと、前記測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける模擬サイバー攻撃部と、前記選択した測定対象と、前記模擬サイバー攻撃に用いる送信元IPアドレスを、所定の能力測定装置に通知する通知部と、を備える模擬サイバー攻撃装置と、
     サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する行動記録部と、前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する能力測定部と、を備える能力測定装置と、
     を含むセキュリティ対処能力測定システム。
  10.  サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録するステップと、
     前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価するステップと、
     を含む能力測定方法。
  11.  セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛けるステップと、
     前記選択した測定対象と、前記模擬サイバー攻撃に用いる送信元IPアドレスを、所定の能力測定装置に通知するステップと、
     を含む模擬サイバー攻撃方法。
  12.  コンピュータに、
     サイバー攻撃に対処するスキルの測定対象と、模擬サイバー攻撃元との通信内容を記録する処理と、
     前記測定対象と、前記模擬サイバー攻撃元との通信内容に、所定の探索行動を示す通信が含まれているか否かにより、前記測定対象のサイバー攻撃に対処するスキルを評価する処理と、
     を実行させるプログラム。
  13.  コンピュータに、
     セキュリティ対処能力の候補となる測定対象を格納する測定対象テーブルから前記測定対象を選択して、所定の模擬サイバー攻撃を仕掛ける処理と、
     前記選択した測定対象と、前記模擬サイバー攻撃に用いる送信元IPアドレスを、所定の能力測定装置に通知する処理と、
     を実行させるプログラム。
PCT/JP2018/019772 2018-05-23 2018-05-23 セキュリティ対処能力測定システム、方法及びプログラム WO2019224932A1 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE112018007640.7T DE112018007640T5 (de) 2018-05-23 2018-05-23 System, verfahren und programm zur fähigkeitsmessung von sicherheitshandhabungen
PCT/JP2018/019772 WO2019224932A1 (ja) 2018-05-23 2018-05-23 セキュリティ対処能力測定システム、方法及びプログラム
JP2020520920A JP7074188B2 (ja) 2018-05-23 2018-05-23 セキュリティ対処能力測定システム、方法及びプログラム
US16/972,177 US20210243219A1 (en) 2018-05-23 2018-05-23 Security handling skill measurement system, method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/019772 WO2019224932A1 (ja) 2018-05-23 2018-05-23 セキュリティ対処能力測定システム、方法及びプログラム

Publications (1)

Publication Number Publication Date
WO2019224932A1 true WO2019224932A1 (ja) 2019-11-28

Family

ID=68616813

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2018/019772 WO2019224932A1 (ja) 2018-05-23 2018-05-23 セキュリティ対処能力測定システム、方法及びプログラム

Country Status (4)

Country Link
US (1) US20210243219A1 (ja)
JP (1) JP7074188B2 (ja)
DE (1) DE112018007640T5 (ja)
WO (1) WO2019224932A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230059293A (ko) * 2021-10-26 2023-05-03 한충희 봉쇄와 방어 수준 분석을 기반으로 한 사이버보안 위험평가 시스템 및 그 방법

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11914719B1 (en) * 2020-04-15 2024-02-27 Wells Fargo Bank, N.A. Systems and methods for cyberthreat-risk education and awareness
US20230308467A1 (en) * 2022-03-24 2023-09-28 At&T Intellectual Property I, L.P. Home Gateway Monitoring for Vulnerable Home Internet of Things Devices

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013149063A (ja) * 2012-01-19 2013-08-01 Nomura Research Institute Ltd 標的型メール攻撃シミュレーションシステムおよび標的型メール攻撃シミュレーションプログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8365246B2 (en) * 2008-03-18 2013-01-29 International Business Machines Corporation Protecting confidential information on network sites based on security awareness
US20140157415A1 (en) * 2012-12-05 2014-06-05 Ut-Battelle, Llc Information security analysis using game theory and simulation
US20180011918A1 (en) * 2015-02-23 2018-01-11 Grafton V. Mouen Taxonomic categorization retrieval system
JP6421669B2 (ja) 2015-03-26 2018-11-14 富士通株式会社 評価方法、評価プログラム、及び評価装置
IL248241B (en) * 2015-10-12 2020-04-30 Verint Systems Ltd A system and method for evaluating cyber security awareness
US10454971B2 (en) * 2016-09-07 2019-10-22 International Business Machines Corporation Managing privileged system access based on risk assessment
IL252455B (en) * 2017-05-23 2018-04-30 Gabay Shai A system and method for cyber training at the client's site
US10600335B1 (en) * 2017-09-18 2020-03-24 Architecture Technology Corporation Adaptive team training evaluation system and method
US10679164B2 (en) * 2017-12-01 2020-06-09 KnowBe4, Inc. Systems and methods for using artificial intelligence driven agent to automate assessment of organizational vulnerabilities
US11233821B2 (en) * 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US10673876B2 (en) * 2018-05-16 2020-06-02 KnowBe4, Inc. Systems and methods for determining individual and group risk scores

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013149063A (ja) * 2012-01-19 2013-08-01 Nomura Research Institute Ltd 標的型メール攻撃シミュレーションシステムおよび標的型メール攻撃シミュレーションプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KAMABAYASHI, TORU ET AL.: "PDCA Cycles and Security Exercises to Improve Security of Control Systems for Industrial and Social Infrastructure Systems", TOSHIBA REVIEW, vol. 69, no. 1, 1 January 2014 (2014-01-01), pages 10 - 13 *
YASHIRO, SATOSHI ET AL.: "A Proposal and Implementation of Hands-on Learning System for Cybersecurity", COMPUTER SECURITY SYMPOSIUM 2017, vol. 2017, no. 2, 16 October 2017 (2017-10-16), pages 1453 - 1460 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230059293A (ko) * 2021-10-26 2023-05-03 한충희 봉쇄와 방어 수준 분석을 기반으로 한 사이버보안 위험평가 시스템 및 그 방법
KR102712981B1 (ko) * 2021-10-26 2024-10-02 한충희 봉쇄와 방어 수준 분석을 기반으로 한 사이버보안 위험평가 시스템 및 그 방법

Also Published As

Publication number Publication date
DE112018007640T5 (de) 2021-03-18
JPWO2019224932A1 (ja) 2021-06-10
JP7074188B2 (ja) 2022-05-24
US20210243219A1 (en) 2021-08-05

Similar Documents

Publication Publication Date Title
US20240223593A1 (en) Network isolation by policy compliance evaluation
CN108370370B (zh) 用于被动评估工业边界安全的系统和方法
ES2813065T3 (es) Método y aparato para detectar seguridad utilizando un sistema operativo de Internet de la industria
CN109076063A (zh) 在云环境中保护动态和短期虚拟机实例
US10320828B1 (en) Evaluation of security in a cyber simulator
WO2019224932A1 (ja) セキュリティ対処能力測定システム、方法及びプログラム
CN107347047A (zh) 攻击防护方法和装置
WO2019186722A1 (ja) セキュリティ評価システム、セキュリティ評価方法及びプログラム
CN104363240A (zh) 基于信息流行为合法性检测的未知威胁的综合检测方法
CN109167794A (zh) 一种面向网络系统安全度量的攻击检测方法
US10965693B2 (en) Method and system for detecting movement of malware and other potential threats
Manickam et al. Labelled Dataset on Distributed Denial‐of‐Service (DDoS) Attacks Based on Internet Control Message Protocol Version 6 (ICMPv6)
CN109120626A (zh) 安全威胁处理方法、系统、安全感知服务器及存储介质
RU2739864C1 (ru) Система и способ корреляции событий для выявления инцидента информационной безопасности
Østby et al. A socio-technical framework to improve cyber security training: A work in progress
US12015647B2 (en) System and method for securing computer infrastructure and devices that depend on cloud platforms
US20080072321A1 (en) System and method for automating network intrusion training
Albanese et al. Computer-aided human centric cyber situation awareness
Derrick et al. Investigating new approaches to data collection, management and analysis for network intrusion detection
TWI667587B (zh) 資訊安全防護方法
Kai et al. Development of qualification of security status suitable for cloud computing system
Chen et al. Multiple behavior information fusion based quantitative threat evaluation
JP2020123203A (ja) データセット検証装置およびそのプログラム、方法並びにデータセット検証システム
Vos Capability Maturity Measurement of a Security Operations Center through Analysis Detection
RU2787986C1 (ru) Способ имитации процесса функционирования автоматизированных систем

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18919774

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2020520920

Country of ref document: JP

Kind code of ref document: A

122 Ep: pct application non-entry in european phase

Ref document number: 18919774

Country of ref document: EP

Kind code of ref document: A1