WO2020189669A1

WO2020189669A1 - リスク分析装置及びリスク分析方法

Info

Publication number: WO2020189669A1
Application number: PCT/JP2020/011659
Authority: WO
Inventors: 博史天野; 根本　祐輔; 峰久永田; 多鹿　陽介
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2019-03-20
Filing date: 2020-03-17
Publication date: 2020-09-24
Also published as: JP6967722B2; US20210400079A1; US11252179B2; JPWO2020189669A1

Abstract

互いに接続されたＮ個（Ｎは２以上の自然数）の要素を含むシステムのリスクを分析するリスク分析装置（１００）は、Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、Ｎ個の要素の少なくとも一部の接続関係と、システムへの入口になる要素である侵入口と、システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部（１１０）と、侵入口から守備対象に至る対象経路を、当該対象経路上の１以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる１以上の要素である対象要素を、Ｎ個の要素の各々のコストと接続関係とに基づいて特定する特定部（１２０）と、対象要素を示す要素情報を出力する出力部（１３０）とを備える。

Description

リスク分析装置及びリスク分析方法

　本開示は、リスク分析装置及びリスク分析方法に関する。

　近年、製造設備などの産業機器の制御システムに対する不正な攻撃によって、製造設備が停止することが発生している。また、製造物に対して不正なプログラムが製造時に導入されるのを防止するためにも、産業機器の制御システムには高いセキュリティが求められる。これに対して、例えば特許文献１では、制御システムのセキュリティ対策を支援するセキュリティ対策立案支援システムが開示されている。

特開２０１８－７７５９７号公報

「制御システムのセキュリティリスク分析ガイド」、ＩＰＡ　独立行政法人　情報処理推進機構、２０１７年１０月２日

　しかしながら、上記従来のセキュリティ対策立案支援システムを利用して、制御システムのセキュリティ対策を行おうとした場合、脅威項目の各々に対する攻撃経路が膨大になる。制御システムを構成する資産間の接続関係は通常、複雑であるので、全ての攻撃経路を網羅することが難しい。したがって、従来のセキュリティ対策立案支援システムでは、十分なセキュリティ対策を支援することができないという問題がある。

　そこで、本開示は、守備対象のセキュリティを高めるのに十分な対策を支援することができるリスク分析装置及びリスク分析方法を提供する。

　上記課題を解決するため、本開示の一態様に係るリスク分析装置は、互いに接続されたＮ個（Ｎは２以上の自然数）の要素を含むシステムのリスクを分析するリスク分析装置であって、前記Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記Ｎ個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の１以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記１以上の要素である対象要素を、前記Ｎ個の要素の各々のコストと前記接続関係とに基づいて特定する特定部と、前記対象要素を示す要素情報を出力する出力部とを備える。

　また、本開示の一態様に係るリスク分析方法は、互いに接続されたＮ個（Ｎは２以上の自然数）の要素を含むシステムのリスクを分析するリスク分析方法であって、前記Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記Ｎ個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付け、前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の１以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記１以上の要素である対象要素を、前記Ｎ個の要素の各々のコストと前記接続関係とに基づいて特定し、前記対象要素を示す要素情報を出力する。

　また、本開示の一態様は、上記リスク分析方法をコンピュータに実行させるプログラムとして実現することができる。あるいは、当該プログラムを格納したコンピュータ読み取り可能な記録媒体として実現することもできる。

　本開示によれば、守備対象のセキュリティを高めるのに十分な対策を支援することができる。

図１は、実施の形態１に係るリスク分析装置によるリスク分析の対象となる制御システムの一例を示す図である。図２は、実施の形態１に係るリスク分析装置の構成を示すブロック図である。図３は、実施の形態１に係るリスク分析装置の動作を示すフローチャートである。図４は、実施の形態１に係るリスク分析装置において、入力情報に基づいて作成した、リスク分析の対象となるシステムの無向グラフを説明するための図である。図５は、実施の形態１に係るリスク分析装置において、無向グラフを有向グラフに変換する処理を説明するための図である。図６は、図４に示される無向グラフを変換した有向グラフを示す図である。図７は、図６に示される有向グラフに基づいて算出した最小カットを説明するための図である。図８は、実施の形態２に係るリスク分析装置の動作を示すフローチャートである。図９は、実施の形態２に係るリスク分析装置において、入力情報に基づいて作成した、リスク分析の対象となるシステムの有向グラフを説明するための図である。図１０は、実施の形態２に係るリスク分析装置において、有向グラフの頂点の重みを有向辺の重みに変換する処理を説明するための図である。図１１は、図９に示される有向グラフに基づいて頂点の重みを辺の重みに変換した有向グラフを示す図である。図１２は、実施の形態２の変形例に係るリスク分析装置において、有向グラフの頂点の重みを有向辺の重みに変換する処理を説明するための図である。図１３は、実施の形態３に係るリスク分析装置の動作を示すフローチャートである。図１４は、複数の侵入口を有するシステムの有向グラフを説明するための図である。図１５は、図１４に示される有向グラフに対して、開始頂点を追加する方法を説明するための図である。図１６は、複数の守備対象を有するシステムの有向グラフを説明するための図である。図１７は、図１６に示される有向グラフに対して、目標頂点を追加する方法を説明するための図である。図１８は、実施の形態４に係るリスク分析装置の動作を示すフローチャートである。図１９は、対策困難な要素を有するシステムの有向グラフを説明するための図である。図２０は、図１９に示される有向グラフに対して、対策困難な要素に接続される有向辺の重みの更新処理を説明するための図である。図２１は、実施の形態５に係るリスク分析装置の動作を示すフローチャートである。図２２は、実施の形態５に係るリスク分析装置において、入力情報に基づいて作成した、リスク分析の対象となるシステムの有向グラフを説明するための図である。図２３は、図２２に示されるシステムに基づいて、要素の安全度の更新処理を説明するための図である。図２４は、実施の形態５に係るリスク分析装置の動作のうち、対象経路を特定する処理を示すフローチャートである。図２５は、図２３に示されるシステムにおいて特定された対象経路を示す図である。図２６は、実施の形態６に係るリスク分析装置によるリスク分析の対象となるシステムの一例を示す図である。図２７は、実施の形態７に係るリスク分析装置によるリスク分析の対象となるシステムの一例を示す図である。

　（本開示の概要）
　上記課題を解決するために、本開示の一態様に係るリスク分析装置は、互いに接続されたＮ個（Ｎは２以上の自然数）の要素を含むシステムのリスクを分析するリスク分析装置であって、前記Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記Ｎ個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の１以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記１以上の要素である対象要素を、前記Ｎ個の要素の各々のコストと前記接続関係とに基づいて特定する特定部と、前記対象要素を示す要素情報を出力する出力部とを備える。

　これにより、守備対象のセキュリティを高めるために対策を行うべき対象要素が容易に特定される。したがって、本態様によれば、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記特定部は、最小カットを算出することで、前記対象要素を特定してもよい。

　これにより、最小カットを算出することで、少ない演算量で対象要素を特定することができる。したがって、本態様によれば、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を少ない演算量で支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記特定部は、前記Ｎ個の要素の中から、安全度を高めるのが困難なＭ個（Ｍは自然数）の要素のコストを、残りのＮ－Ｍ個の要素の各々のコストのいずれよりも大きい所定の値に更新し、更新後のコストを用いて前記対象要素を特定してもよい。

　これにより、安全度を高めるための対策が困難な又は不可能な要素が、対象要素として特定されないようにすることができる。したがって、確実に実行可能なセキュリティ対策を支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記入力部は、複数の前記侵入口を入力として受け付け、前記特定部は、前記入力部が複数の前記侵入口を受け付けた場合に、複数の前記侵入口の各々のみに接続された第１追加要素から前記対象経路を含み、前記守備対象に至る経路の全てを分断するのに要する合計コストが最小となる１以上の要素を、前記対象要素として特定してもよい。

　これにより、複数の侵入口が存在するシステムに対しても、少ない演算量で対象要素を特定することができる。したがって、本態様によれば、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を少ない演算量で支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記入力部は、複数の前記守備対象を入力として受け付け、前記特定部は、前記入力部が複数の前記守備対象を受け付けた場合に、複数の前記守備対象の各々のみに接続された第２追加要素のコストを前記Ｎ個の要素の各々のコスト以上の値に設定し、前記侵入口から前記対象経路を含み、前記第２追加要素に至る経路の全てを分断するのに要する合計コストが最小になる１以上の要素を、前記対象要素として特定してもよい。

　これにより、複数の守備対象が存在するシステムに対しても、少ない演算量で対象要素を特定することができる。したがって、本態様によれば、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を少ない演算量で支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記入力部は、前記Ｎ個の要素の全ての接続関係を入力として受け付け、前記特定部は、さらに、前記全ての接続関係に基づいて前記対象経路を決定してもよい。

　これにより、攻撃経路になりうる対象経路が不明な場合であっても、要素の接続関係が入力されることで、対象経路を特定することができる。したがって、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策を支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記少なくとも一部の接続関係は、前記対象経路であってもよい。

　これにより、攻撃経路になりうる対象経路が予め判明している場合、対象経路が入力されることで、対象経路を特定する処理を行わなくてよい。したがって、低コストで実行可能で、守備対象のセキュリティを高めるのに十分な対策をより少ない演算量で支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記入力部は、さらに、前記Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を入力として受け付け、前記特定部は、さらに、前記侵入口から前記守備対象に至る経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が閾値より低い経路を、前記対象経路として、前記Ｎ個の要素の各々の安全度と前記接続関係とに基づいて特定してもよい。

　これにより、例えば最短経路法などを用いて対象経路を容易に特定することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記特定部は、さらに、前記要素情報が示す１以上の要素の安全度を、対応する要素のコストをかけることで高めた安全度に更新し、前記侵入口から前記守備対象に至る経路の中から前記対象経路を、更新後の前記Ｎ個の要素の各々の安全度と前記接続関係とに基づいて特定し、前記対象要素の特定と、前記安全度の更新と、前記対象経路の特定とを、前記対象経路が特定されなくなるまで繰り返してもよい。

　これにより、コストをかけた場合の安全度の高まりの程度（すなわち、費用対効果）に合わせて、コストをかけるべき対象要素を特定することができる。このため、低コストで効果の高いセキュリティ対策を支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記システムは、制御システムであり、前記Ｎ個の要素は、前記制御システムを構成するＮ個の資産であってもよい。

　これにより、資産の数が多く、かつ、接続関係が複雑な制御システムに対するリスク分析が実行可能になる。また、工場に導入される制御システムでは、ＯＳ（Operation System）のサポートが切れた機器、又は、そもそも安全度を高めるための処理を行うことができない機器などが含まれる場合がある。つまり、制御システムに含まれる全ての資産に対してセキュリティ対策が常に行うことができるとは限らない。また、制御システムに求められる可用性の観点から、制御コマンドの送受信の制限などのセキュリティ対策を行うべきでない資産も存在する。

　このような場合であっても、本態様によれば、侵入口から守備対象に至る経路のうち、セキュリティ上の脅威に対する対策を取るべき対象経路において、安全度を高める対策を行うべき対象要素が特定される。したがって、制御システムに対して守備対象のセキュリティを高めるのに十分な対策を支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記システムは、制御システムであり、前記Ｎ個の要素は、前記制御システムを構成する複数の資産の各々の攻撃手順に含まれる複数の攻撃工程であってもよい。

　これにより、資産間の接続関係だけでなく、資産の内部における攻撃手順も含めたリスク分析が実行可能になる。このため、対象要素がより具体化されるので、守備対象のセキュリティを高めるのに十分な対策を効果的に支援することができる。

　また、例えば、本開示の一態様に係るリスク分析装置では、前記システムは、制御システムを構成する資産に対する攻撃手順であり、前記Ｎ個の要素は、前記攻撃手順に含まれるＮ個の攻撃工程であってもよい。

　これにより、資産の内部における攻撃手順に基づいたリスク分析が実行可能になるので、資産に対して、守備対象のセキュリティを高めるのに十分な対策を支援することができる。

　また、例えば、本開示の一態様に係るリスク分析方法は、互いに接続されたＮ個（Ｎは２以上の自然数）の要素を含むシステムのリスクを分析するリスク分析方法であって、前記Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記Ｎ個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付け、前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の１以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記１以上の要素である対象要素を、前記Ｎ個の要素の各々のコストと前記接続関係とに基づいて特定し、前記対象要素を示す要素情報を出力する。

　また、例えば、本開示の一態様に係るリスク分析プログラムは、上記リスク分析方法をコンピュータに実行させるためのプログラムである。

　以下では、実施の形態について、図面を参照しながら具体的に説明する。

　なお、以下で説明する実施の形態は、いずれも包括的又は具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　また、各図は、模式図であり、必ずしも厳密に図示されたものではない。したがって、例えば、各図において縮尺などは必ずしも一致しない。また、各図において、実質的に同一の構成については同一の符号を付しており、重複する説明は省略又は簡略化する。

　（実施の形態１）
　［リスク分析の対象となるシステムの概要］
　まず、実施の形態１に係るリスク分析装置によるリスク分析の対象となるシステムの一例である制御システムの概要について、図１を用いて説明する。図１は、本実施の形態に係る制御システム１０の一例を示す図である。

　制御システム１０は、図１に示されるように、互いに接続されたＮ個の要素２０を含んでいる。ここで、Ｎは、２以上の自然数である。図１では、Ｎ個の要素２０を、網掛けの付された丸印で表している。Ｎ個の要素２０の各々は、少なくとも１つの他の要素２０に接続されている。

　本実施の形態では、要素２０は、制御システム１０の資産である。資産は、例えば、通信機器、制御機器、製造設備、情報処理装置、センサ、駆動装置、記憶装置などの装置である。資産は、互いに通信可能に接続されている。資産は、接続された他の資産との間で、一方向又は双方向通信が可能であり、情報又は信号を送信又は受信する。

　制御システム１０は、例えば、産業機器を制御するシステムである。制御システム１０は、例えば、電子機器などの製造物を製造する工場に導入されるシステムである。図１に示されるように、制御システム１０は、インターネット３０に接続されている。Ｎ個の要素２０には、ＩＴ（Information Technology）機器、ＯＴ（Operational Technology）機器、及び、ＩＴ／ＯＴ機器が資産の一例として含まれる。

　ＩＴ機器は、例えばインターネット３０に接続可能な通信機能を有する。なお、制御システム１０が備えるＩＴ機器には、インターネット３０に接続されていないＩＴ機器が含まれてもよい。ＯＴ機器は、物理的な状態に基づいた制御を行う機器である。例えば、ＯＴ機器は、温度又は圧力などを検知し、検知結果に基づいてバルブ又はモータなどの制御を行う。ＩＴ／ＯＴ機器は、ＩＴ機器及びＯＴ機器の両方の機能を有する機器である。

　図１に示されるように、一般的な工場に導入される制御システム１０では、ＩＴ機器、ＯＴ機器及びＩＴ／ＯＴ機器の接続が整理されておらず、各機器が複雑に接続されている。また、既存の機器の除去、及び、新たな機器の追加などによって接続関係が変更されることも起こる。一般的な制御システム１０では、可用性が重視されるために、機器の接続関係を整理することが困難な場合が多い。したがって、セキュリティの対策を行うべき機器の特定が難しい。

　また、機器の数及び接続関係が増加するにつれて、侵入口となる機器から、攻撃目標となる機器までの経路が爆発的に増加する。このため、全ての機器及び経路に対する対策の要否を判定することは困難である。

　以下では、図１に示されるような制御システム１０に対して、少ない演算量で守備対象のセキュリティを高めるのに十分な対策を支援することができるリスク分析装置及びリスク分析方法について説明する。

　［リスク分析装置］
　図２は、本実施の形態に係るリスク分析装置１００の構成を示すブロック図である。リスク分析装置１００は、互いに接続されたＮ個の要素を含むシステム（例えば、図１に示される制御システム１０）のリスクを分析する。本実施の形態では、リスク分析装置１００は、Ｎ個の資産を有するシステムにおいて、所定の資産に対する攻撃経路を通る攻撃を遮断するための対策を採るべき資産を特定する。リスク分析装置１００は、例えばコンピュータ機器である。

　図２に示されるように、リスク分析装置１００は、入力部１１０と、特定部１２０と、出力部１３０とを備える。

　入力部１１０は、セキュリティ対策を行うべき要素の特定に用いる情報を入力として受け付ける。具体的には、図２に示されるように、入力部１１０は、Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、Ｎ個の要素の少なくとも一部の接続関係と、システムへの入口になる資産である侵入口と、システムにおいて守るべき資産である守備対象とを入力として受け付ける。本実施の形態ではＮは、システムを構成する要素の全数である。Ｎ個の要素は、制御システムを構成するＮ個の資産である。

　安全度は、資産ベースのリスク分析に基づいて資産毎に決定される値である。例えば、安全度は、ＤＲＥＡＤモデルに基づいて決定される。安全度は、数値が高い程、セキュリティ上の脅威に対する安全性が高いことを意味する。資産ベースのリスク分析は、例えば、非特許文献１に開示された手法によって行われる。

　コストは、例えば、安全度を第１閾値以上に高くするのに要する対策コストであり、予め定められた値である。第１閾値は、例えば、資産の安全性が十分に高い状態として満たすべき基準であって、経路を分断するのに必要とされる安全度の閾値である第２閾値以下の値である。本実施の形態では、第１閾値と第２閾値とは等しい。このため、資産に対してコストがかけられた場合、当該資産の安全性が第１閾値（第２閾値）以上になって十分に高くなり、当該資産を通る攻撃経路が分断される。攻撃経路上でコストをかけるべき要素が対象要素である。

　少なくとも一部の接続関係は、例えば、Ｎ個の要素の全ての接続関係である。例えば、接続関係は、互いに通信可能に接続された２つの資産のペアの全てを示す情報である。接続関係には、さらに、接続方向が含まれてもよい。例えば、資産Ａと資産Ｂとが接続されている場合において、資産Ａから資産Ｂへの情報の送信が可能であるが、資産Ｂから資産Ａへの情報の送信が不可能であるとき、資産Ａと資産Ｂとの接続関係には、資産Ａから資産Ｂへの接続方向を含んでもよい。

　侵入口は、外部からの侵入が可能な資産である。侵入口は、例えば、インターネット３０に接続された資産である。あるいは、侵入口は、ＵＳＢ（Universal Serial Bus）メモリなどのメモリデバイス又は他の機器を接続可能なインタフェースを有する資産であってもよい。

　守備対象は、事業被害ベースのリスク分析に基づいて決定される資産である。具体的には、守備対象は、攻撃を受けた場合に事業被害が一定の基準よりも大きくなる資産である。事業被害ベースのリスク分析は、例えば、非特許文献１に開示された手法によって行われる。

　このように、安全度、コスト、接続関係、侵入口及び守備対象はいずれも、予め定められた手法に基づいて客観的に決定される。したがって、人為的な評価が介在しないため、評価者の技能に基づく評価のばらつきが生じない。よって、守備対象のセキュリティを高めるのに十分な対策を安定して支援することができる。

　なお、入力部１１０は、複数の侵入口、又は、複数の守備対象を入力として受け付けてもよい。入力部１１０が複数の侵入口及び複数の守備対象を入力として受け付けた場合の処理については、実施の形態３において後で説明する。

　また、入力部１１０は、複数の要素の各々の安全度の初期値を入力として受け付けてもよい。安全度の初期値とは、セキュリティ上の脅威に対する対策を、対応する要素に対して行う前の安全度である。コストをかけた場合の安全度、すなわち、対策後の安全度は、安全度の初期値と、コストをかけることにより安全度が向上する量との和で表される。

　入力部１１０は、入力として受け付けることで取得した入力情報を記憶部（図示せず）に記憶する。当該記憶部は、リスク分析装置１００に備えられてもよく、リスク分析装置１００と通信可能な外部の記憶装置であってもよい。

　入力部１１０は、キーボード、マウス及びタッチパネルなどの少なくとも１つの入力装置である。あるいは、入力部１１０は、記憶装置などに接続された通信インタフェースであってもよい。

　特定部１２０は、侵入口から守備対象に至る対象経路を、当該対象経路上の１以上の要素の安全度を第２閾値以上に高めることで分断するのに要する合計コストが最小になる１以上の要素である対象要素を、Ｎ個の要素の各々のコストと接続関係とに基づいて特定する。対象要素は、対象経路上でコストをかけるべき要素である。

　本実施の形態では、特定部１２０は、最小カットを算出することで、対象要素を特定する。具体的には、特定部１２０は、Ｄｉｎｉｃ法、フォードファルカーソン（Ford-Fulkerson）のアルゴリズム、又は、エドモンスカープ（Edmonds-Karp）のアルゴリズムを用いて最小カットを算出する。なお、これらの手法は一例に過ぎず、特定部１２０が最小カットを算出する手段は、これらに限定されない。例えば、特定部１２０は、各資産を頂点（ノード）とし、かつ、資産間を結ぶ有向辺の重みとしてコストが付与された有向グラフにおいて、侵入口を始点とし、守備対象を終点とする対象経路を遮断するのに最もコストが小さくなる有向辺（最小カット）を特定し、特定した有向辺の接続先である資産を対象要素として特定する。

　特定部１２０は、プログラムが格納された不揮発性メモリ、及び、プログラムを実行するための一時的な記憶領域である揮発性メモリ、入出力ポート、プログラムを実行するプロセッサなどで実現される。特定部１２０が有する各機能は、プロセッサで実行されるソフトウェアで実現されてもよく、１つ以上の電子部品を含む電気回路などのハードウェアで実現されてもよい。

　出力部１３０は、特定部１２０によって特定された対象要素を示す要素情報を出力する。出力部１３０は、ディスプレイ、プリンタなどの少なくとも１つの出力装置である。あるいは、出力部１３０は、リスク分析装置１００と通信可能な外部機器に対する通信インタフェースであってもよい。

　［動作（リスク分析方法）］
　続いて、本実施の形態に係るリスク分析装置１００の動作、すなわち、リスク分析方法について、図３を用いて説明する。図３は、本実施の形態に係るリスク分析装置１００の動作を示すフローチャートである。

　図３に示されるように、まず、入力部１１０は、対象要素の特定に必要な入力情報を取得する（Ｓ１０）。具体的には、入力部１１０は、システムを構成する要素の一覧を取得する（Ｓ１１）。要素の一覧は、システムに含まれる全ての資産を特定する情報の一覧である。次に、入力部１１０は、要素毎のコストを取得し（Ｓ１２）、続いて、要素間の接続関係を取得する（Ｓ１３）。さらに、入力部１１０は、侵入口を取得し（Ｓ１４）、続いて守備対象を取得する（Ｓ１５）。

　なお、入力部１１０が取得する各情報の取得順序は、特に限定されない。例えば、入力部１１０は、要素毎に、コスト、接続された要素、侵入口か否かを示すフラグ、及び、守備対象か否かを示すフラグが対応付けられた対応表を取得してもよい。入力部１１０は、対応表を取得することで、要素一覧、コスト、接続関係、侵入口及び守備対象を同時に取得することができる。

　続いて、特定部１２０は、入力部１１０によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する（Ｓ２０）。例えば、特定部１２０は、入力された全ての要素の接続関係に基づいて、侵入口から守備対象に至る全ての経路を対象経路として対象要素を特定する。

　具体的にはまず、特定部１２０は、Ｎ個の要素の各々を頂点（ノード）とする無向グラフを作成する（Ｓ２１）。無向グラフにおける頂点間の辺は、Ｎ個の要素の接続関係に基づいて決定される。例えば、特定部１２０は、図４に示されるような無向グラフを作成する。図４に示される例では、制御システム１１は、互いに接続された６つの資産Ａ～資産Ｆから構成された制御システムである。資産Ａが侵入口である。資産Ｆが守備対象である。

　ここで、図４は、本実施の形態に係るリスク分析装置１００に対する入力情報に基づいて作成した、リスク分析の対象となる制御システム１１の無向グラフを説明するための図である。図４では、制御システム１１を構成する資産（頂点）を白い丸印で表している。白い丸印の中に記載された数値は、資産の安全度を高めるのに要するコストである。コストは、無向グラフの頂点の重みである。２つの資産（丸印）を結ぶ線分（辺）は、２つの資産が通信可能に接続されていることを表している。資産に向かう白抜き矢印は、当該資産が侵入口であることを表している。資産から延びる白抜き矢印は、当該資産が守備対象であることを表している。これらは、後述する図６、図７、図９、図１１、図１４～図１７、図１９、図２０、図２２、図２３及び図２５についても同様である。

　次に、図３に示されるように、特定部１２０は、作成した無向グラフを有向グラフに変換し（Ｓ２２）、有向辺の重みにコストを付与する（Ｓ２３）。ここで、図５は、本実施の形態に係るリスク分析装置１００における無向グラフを有向グラフに変換する処理を説明するための図である。例えば、特定部１２０は、図５の（ａ）に示される頂点に重みがある無向グラフを、図５の（ｂ）に示される辺に重みがある有向グラフに変換する。

　具体的にはまず、特定部１２０は、２つの資産間を接続する辺を、双方向に延びる有向辺に変換する。次に、特定部１２０は、資産に入力される有向辺の重み、つまり、資産に先端が接続された矢印で表される有向辺の重みに、矢印の接続先の資産の重み（すなわち、コスト）を付与する。

　図４に示される制御システム１１の無向グラフは、図６に示されるような有向グラフに変換される。なお、図６は、図４に示される無向グラフを変換した有向グラフを示す図である。

　次に、図３に示されるように、特定部１２０は、最小カットを算出することで、全ての対象経路を分断するのに要する合計コストが最小となる対象要素を特定する（Ｓ２４）。例えば、特定部１２０は、図６に示される有向グラフに基づいて、侵入口から守備対象に至る対象経路として、資産Ａ、資産Ｂ、資産Ｃ、資産Ｅ及び資産Ｆの順で通る第１の経路と、資産Ａ、資産Ｂ、資産Ｄ、資産Ｅ及び資産Ｆの順で通る第２の経路とを特定する。なお、対象経路の特定では、１つの資産は経路上で１回のみ通過が許可されるという条件下で行われる。

　図７は、図６に示される有向グラフに基づいて算出した最小カットを説明するための図である。説明を分かりやすくするため、図７では、上記２つの経路に属する有向辺のみを示している。なお、図７では、有向辺を斜めに横切る線分が最小カットの位置を示している。これは、図１５、図１７及び図２０においても同様である。

　特定部１２０は、侵入口である資産Ａから守備対象である資産Ｆに至る対象経路を分断するのに必要な最小カットを算出することで、資産Ｂから資産Ｃに至る有向辺と、資産Ｂから資産Ｄに至る有向辺との２つの切断箇所を特定し、その合計コストが３であって最小値であることを特定することができる。つまり、特定部１２０は、資産Ｃと資産Ｄとを、安全度を高めるためのコストをかけるべき対象資産として特定する。

　最後に、図３に示されるように、出力部１３０は、特定部１２０によって特定された対象要素を示す要素情報を出力する（Ｓ３０）。出力部１３０が要素情報を出力する形態は、特に限定されない。例えば、出力部１３０は、図７に示されるように、カット位置を示すグラフをディスプレイに表示してもよい。あるいは、出力部１３０は、対象要素を特定する情報をテキストで示してもよい。対象要素を特定する情報は、例えば資産の名称及び設置位置などである。出力部１３０は、資産にかけるべきコストを出力してもよい。

　なお、合計コストが最小になる要素の組み合わせが複数特定された場合には、出力部１３０は、複数の組み合わせの全てを示す要素情報を出力する。あるいは、出力部１３０は、複数の組み合わせのうちの１つのみを示す要素情報を出力してもよい。

　以上のように、本実施の形態に係るリスク分析装置１００では、侵入口から守備対象に至る対象経路の中で、セキュリティ対策のためにコストをかけるべき要素であって、コストが低くて済む要素を対象要素として特定することができる。このように、本実施の形態によれば、低コストで実行可能で十分なセキュリティ対策を支援することができる。

　（実施の形態２）
　続いて、実施の形態２について説明する。

　実施の形態１では、システムを構成する要素の接続関係を入力部が入力として受け付ける例を示した。これに対して、実施の形態２では、侵入口から守備対象に至る対象経路を入力部が入力として受け付ける。以下では、実施の形態１との相違点を中心に説明し、共通点の説明を省略又は簡略化する。

　本実施の形態に係るリスク分析装置の構成は、実施の形態１に係るリスク分析装置１００と同じである。以下の説明は、図２に示されるリスク分析装置１００に基づいて説明する。

　図８は、本実施の形態に係るリスク分析装置１００の動作を示すフローチャートである。

　図８に示されるように、まず、入力部１１０は、対象要素の特定に必要な入力情報を取得する（Ｓ４０）。具体的には、入力部１１０は、システムを構成する要素の一覧を取得する（Ｓ１１）。次に、入力部１１０は、要素毎のコストを取得し（Ｓ１２）、続いて、攻撃経路を取得する（Ｓ４３）。さらに、入力部１１０は、侵入口を取得し（Ｓ１４）、続いて守備対象を取得する（Ｓ１５）。実施の形態１と同様に、入力部１１０が取得する各情報の取得順序は、特に限定されない。

　次に、特定部１２０は、入力部１１０によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する（Ｓ５０）。具体的にはまず、特定部１２０は、攻撃経路に基づいて、Ｎ個の要素の各々を頂点とする有向グラフを作成する（Ｓ５２）。頂点同士を結ぶ有向辺は、攻撃経路に基づいて決定される。

　例えば、特定部１２０は、図９に示されるような有向グラフを作成する。入力情報では要素毎にコストが対応付けられているので、特定部１２０は、頂点に重み（コスト）が付された有向グラフを作成する。

　ここで、図９は、本実施の形態に係るリスク分析装置１００において、入力情報に基づいて作成した、リスク分析の対象となるシステムの有向グラフを説明するための図である。図９に示される例では、制御システム１２は、互いに接続された６つの資産Ａ～資産Ｆから構成された制御システムである。資産Ａが侵入口である。資産Ｆが守備対象である。攻撃経路は、資産Ａ、資産Ｂ、資産Ｃ、資産Ｅ及び資産Ｆの順で通る第１の経路と、資産Ａ、資産Ｂ、資産Ｄ、資産Ｅ及び資産Ｆの順で通る第２の経路とである。

　次に、図８に示されるように、特定部１２０は、有向辺の重みにコストを付与する（Ｓ５３）。ここで、図１０は、本実施の形態に係るリスク分析装置１００において、有向グラフの頂点の重みを有向辺の重みに変換する処理を説明するための図である。例えば、特定部１２０は、図１０の（ａ）に示される頂点（ノード）に重みのある有向グラフを、図１０の（ｂ）に示される辺（エッジ）に重みがある有向グラフに変換する。具体的には、特定部１２０は、資産に入力される有向辺の重み、つまり、資産に先端が接続された矢印で表される有向辺の重みに、矢印の接続先の資産の重み（すなわち、コスト）を付与する。

　これにより、図９に示される制御システム１２の有向グラフは、図１１に示されるような有向グラフに変換される。なお、図１１は、図９に示される有向グラフに基づいて頂点の重みを辺の重みに変換した有向グラフを示す図である。

　以降の処理は、実施の形態１と同じである。特定部１２０が対象要素を特定し（Ｓ２４）、特定された対象要素を示す要素情報を出力部１３０が出力する（Ｓ３０）。図１１に示される有向グラフの場合、資産Ｃ及び資産Ｄが対象要素として特定される。

　以上のように、本実施の形態に係るリスク分析装置１００では、Ｎ個の要素の少なくとも一部の接続関係の一例として攻撃経路を入力として受け付けることにより、侵入口から守備対象に至る対象経路を示す有向グラフを容易に作成することができる。このため、対象要素の特定に要する演算量を削減することができるので、低コストで実行可能で十分なセキュリティ対策を少ない演算量で支援することができる。

　［変形例］
　ここで、実施の形態２の変形例について説明する。具体的には、有向グラフの頂点の重みを有向辺の重みに変換する処理の別の例について、図１２を用いて説明する。

　なお、図１０では説明を簡単にするために、変形例２で説明する方法とは異なる方法で正確に最小カットを算出することができる場合を示した。しかしながら、図１０に示される方法では、１つの資産に複数の資産からの有向辺が接続（入力）されている場合は、対策すべき資産を正確に導出できない場合がある。本変形例では、１つの資産に複数の資産からの有向辺が接続されている場合についても、対策すべき資産を正確に導出することができる処理例を示す。

　図１２は、本変形例に係るリスク分析装置１００において、有向グラフの頂点の重みを有向辺の重みに変換する処理を説明するための図である。本変形例では、特定部１２０は、図１２の（ａ）に示される頂点に重みのある有向グラフを、図１２の（ｂ）に示される辺に重みがある有向グラフに変更する。

　図１２の（ａ）には、４つの資産Ａ～資産Ｄを有するシステムが示されている。資産Ｃには、資産Ａと資産Ｂとの各々から有向辺が接続されている。本変形例に係る有向グラフの変換方法は、１つの資産に複数の資産が接続されている場合に、特に有用である。

　具体的には、特定部１２０は、システムを構成する複数の要素の各々を、２つの頂点に分割する。例えば、図１２の（ｂ）に示されるように、資産Ａを資産Ａ１と資産Ａ２とに分割する。資産Ｂ、資産Ｃ及び資産Ｄについても同様に、資産Ｂ１及び資産Ｂ２と、資産Ｃ１及び資産Ｃ２と、資産Ｄ１及び資産Ｄ２とにそれぞれ分割される。

　特定部１２０は、他の資産から資産Ｃに延びる有向辺を、全て資産Ｃ１に接続する。つまり、資産Ｃ１は、他の資産から資産Ｃに延びる有向辺が接続される頂点である。例えば、図１２の（ｂ）に示されるように、資産Ｃ１には、資産Ａ（資産Ａ２）及び資産Ｂ（資産Ｂ２）の各々から延びる有向辺が接続される。

　また、特定部１２０は、資産Ｃから他の資産へ延びる有向辺を、全て資産Ｃ２から延びる辺とする。つまり、資産Ｃ２は、資産Ｃから他の資産へ延びる有向辺が接続される頂点である。例えば、図１２の（ｂ）に示されるように、資産Ｃ２からは、資産Ｄ（資産Ｄ１）に向けて延びる有向辺が接続される。

　さらに、特定部１２０は、資産Ｃ１と資産Ｃ２とを、資産Ｃ１から資産Ｃ２に延びる有向辺で接続する。資産Ａ１、資産Ａ２、資産Ｂ１、資産Ｂ２、資産Ｄ１及び資産Ｄ２についても同様である。

　さらに、特定部１２０は、各有向辺に頂点の重みを付与する。例えば、特定部１２０は、資産Ｃ１に接続される有向辺に、資産Ｃの頂点の重みであるコストを付与する。図１２の（ｂ）に示される例では、資産Ａ２及び資産Ｂ２の各々から資産Ｃ１に接続される有向辺には、接続先である資産Ｃのコストである１．５が付与される。

　また、特定部１２０は、資産Ｃ２から延びる有向辺に、接続先の資産の重みであるコストを付与する。図１２の（ｂ）に示される例では、資産Ｃ２から資産Ｄ１に接続される有向辺には、接続先である資産Ｄのコストである２が付与される。

　また、特定部１２０は、資産Ｃ内の有向辺、すなわち、資産Ｃ１から資産Ｃ２に接続される有向辺には、資産Ｃのコストである１．５を付与する。資産Ａ、資産Ｂ及び資産Ｄについても同様である。

　これにより、１つの資産に複数の資産からの有向辺が接続されている場合であっても最小カットを正確に導出することができる。なお、図１０で示した例では、頂点及び有向辺の数が本変形例より少ないので、演算量が少ないという利点がある。

　（実施の形態３）
　続いて、実施の形態３について説明する。

　実施の形態１及び２では、侵入口及び守備対象がいずれも１つのみである場合について説明した。これに対して、実施の形態３では、入力部が複数の侵入口及び複数の守備対象を入力として受け付ける。以下では、実施の形態１及び２との相違点を中心に説明し、共通点の説明を省略又は簡略化する。

　図１３は、本実施の形態に係るリスク分析装置１００の動作を示すフローチャートである。図１３に示されるように、まず、入力部１１０が、対象要素の特定に必要な入力情報を取得する（Ｓ６０）。具体的には、入力部１１０は、システムを構成する要素の一覧を取得する（Ｓ１１）。次に、入力部１１０は、要素毎のコストを取得し（Ｓ１２）、続いて、攻撃経路を取得する（Ｓ４３）。さらに、入力部１１０は、複数の侵入口を取得し（Ｓ６４）、続いて複数の守備対象を取得する（Ｓ６５）。実施の形態１と同様に、入力部１１０が取得する各情報の取得順序は、特に限定されない。

　次に、特定部１２０は、入力部１１０によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する（Ｓ７０）。具体的にはまず、実施の形態２と同様に、特定部１２０は、攻撃経路に基づいて、Ｎ個の要素の各々を頂点とする有向グラフを作成する（Ｓ５２）。

　次に、特定部１２０は、取得された全ての侵入口に延びる有向辺を有する開始頂点を追加する（Ｓ７１）。開始頂点は、全ての侵入口の各々のみに接続された第１追加要素の一例である。

　図１４は、複数の侵入口を有するシステムの有向グラフを説明するための図である。図１４に示される制御システム１３は、互いに接続された８つの資産Ａ～資産Ｈから構成された制御システムである。資産Ａと資産Ｇとがそれぞれ侵入口である。資産Ｈが守備対象である。

　図１５は、図１４に示される有向グラフに対して、開始頂点Ｙを追加する方法を説明するための図である。図１５に示されるように、特定部１２０は、制御システム１３の複数の侵入口の各々のみに接続された開始頂点Ｙを追加する。開始頂点Ｙは、侵入口である資産Ａ及び資産Ｇの各々のみに接続されている。

　次に、図１３に示されるように、特定部１２０は、取得された全ての守備対象から延びる有向辺を有する目標頂点を追加する（Ｓ７２）。目標頂点は、全ての守備対象の各々のみに接続された第２追加要素の一例である。

　図１６は、複数の守備対象を有するシステムの有向グラフを説明するための図である。図１６に示される制御システム１４は、互いに接続された８つの資産Ａ～資産Ｈから構成された制御システムである。資産Ａが侵入口である。資産Ｇと資産Ｈとがそれぞれ守備対象である。

　図１７は、図１６に示される有向グラフに対して、目標頂点Ｚを追加する方法を説明するための図である。図１７に示されるように、特定部１２０は、制御システム１４の複数の守備対象の各々のみに接続された目標頂点Ｚを追加する。目標頂点Ｚは、守備対象である資産Ｇ及び資産Ｈの各々のみに接続されている。

　次に、図１３に示されるように、特定部１２０は、有向辺の重みにコストを付与する（Ｓ７３）。具体的には、特定部１２０は、有向辺の接続先の資産のコストを、有向辺に付与する。開始頂点Ｙから延びる有向辺についても同様である。図１５に示されるように、開始頂点Ｙから資産Ａに延びる有向辺には、資産Ａのコストである５が付与される。開始頂点Ｙから資産Ｇに延びる有向辺には、資産Ｇのコストである２が付与される。

　一方で、特定部１２０は、目標頂点Ｚに接続される有向辺については、他の有向辺に付与されるコストの各々以上の値を付与する。例えば、特定部１２０は、目標頂点Ｚに接続される全ての有向辺について、他の有向辺に付与されるコストの中で最も大きいコスト以上の値を付与する。一例として、図１７に示されるように、特定部１２０は、目標頂点Ｚに接続される全ての有向辺に無限大（他より十分に大きな値であって、設定可能な最大値）を付与する。

　これにより、複数の侵入口が１つの開始頂点Ｙに便宜上置き換えられ、複数の守備対象が１つの目標頂点Ｚに便宜上置き換えられる。つまり、複数の侵入口及び複数の守備対象を有するシステムは、開始頂点Ｙを侵入口とし、かつ、目標頂点Ｚを守備対象とするシステムに置き換えることができる。したがって、実施の形態１及び２に示した通り、１つの侵入口及び１つの守備対象の場合と同様に最小カットを導出することで、対象要素を特定することができる。開始頂点Ｙから目標頂点Ｚまでに至る経路には、入力部１１０によって入力された対象経路が必ず含まれる。

　開始頂点Ｙ及び目標頂点Ｚの追加及び重みの付与が終わった後、図１３に示されるように、特定部１２０は、開始頂点Ｙから目標頂点Ｚに至る経路について最小カットを算出することで、合計コストが最小となる要素を対象要素として特定する（Ｓ７４）。このとき、目標頂点Ｚに接続される有向辺のコストが十分に大きな値になっているので、目標頂点Ｚが対象要素として特定されることはない。また、図１５には示されていないが、開始頂点Ｙに対して入力される辺についても重みを無限大として設定することができる。これにより、開始頂点Ｙが対象要素として特定されることもない。

　最後に、出力部１３０は、特定部１２０によって特定された要素を示す要素情報を出力する（Ｓ３０）。

　以上のように、本実施の形態によれば、特定部１２０は、複数の侵入口及び複数の守備対象が入力された場合に、開始頂点及び目標頂点を追加する。このとき、特定部１２０は、目標頂点のコストをＮ個の資産の各々のコスト以上の値に設定する。特定部１２０は、開始頂点から対象経路を含み、目標頂点に至る経路の全てを分断するのに要する合計コストが最小になる１以上の要素を対象要素として特定する。これにより、侵入口と守備対象との数によらず、対象要素が特定されるので、低コストで実行可能で十分なセキュリティ対策を支援することができる。

　なお、本実施の形態では、侵入口及び守備対象の両方を複数取得する例について示したが、いずれか一方のみを複数取得してもよい。例えば、入力部１１０が複数の侵入口と１つのみの守備対象とを取得した場合、特定部１２０は、目標頂点の追加処理（Ｓ７２）を行わなくてよい。この場合、特定部１２０は、ステップＳ７４において、開始頂点から守備対象に至る経路について最小カットを算出することで、合計コストが最小となる要素を特定する。また、入力部１１０が１つのみの侵入口と複数の守備対象とを取得した場合、特定部１２０は、開始頂点の追加処理（Ｓ７１）を行わなくてよい。この場合、特定部１２０は、ステップＳ７４において、侵入口から目標頂点に至る経路について最小カットを算出することで、合計コストが最小となる要素を特定する。

　（実施の形態４）
　続いて、実施の形態４について説明する。

　実施の形態１～３では、制御システムを構成する全ての資産に対して、安全度を高める対策を行うことができる例について説明した。しかしながら、制御システムには、資産が古い設備である場合など、安全度を高める対策を行うことが困難な、又は、不可能な資産が含まれる場合がある。実施の形態４では、システムがセキュリティ上の対策が困難な要素を含む場合について説明する。以下では、実施の形態１～３との相違点を中心に説明し、共通点の説明を省略又は簡略化する。

　図１８は、本実施の形態に係るリスク分析装置１００の動作を示すフローチャートである。

　図１８に示されるように、まず、入力部１１０は、対象要素の特定に必要な入力情報を取得する（Ｓ８０）。具体的には、入力部１１０は、システムを構成する要素の一覧を取得する（Ｓ１１）。次に、入力部１１０は、要素毎のコストと、対策困難な要素を示す情報とを取得し（Ｓ８２）、続いて、攻撃経路を取得する（Ｓ４３）。さらに、入力部１１０は、侵入口を取得し（Ｓ１４）、続いて守備対象を取得する（Ｓ１５）。実施の形態１と同様に、入力部１１０が取得する各情報の取得順序は、特に限定されない。

　対策困難な要素は、安全度を高める対策を行うことが困難、又は、不可能な要素である。なお、対策困難な要素は、物理的に対策を行うことが困難、又は、不可能な要素を意味するだけでなく、対策を行うべきではない要素が含まれてもよい。例えば、制御システムの可用性を維持するために、安全度を高める対策を行うべきではない資産も対策困難な要素の一例である。つまり、コストが低い資産が対策困難な要素であってもよい。対策困難な要素は、複数であってもよい。例えば、Ｎ個の要素から構成されるシステムのうち、Ｍ個（Ｍは自然数）の要素が対策困難な要素である。

　次に、特定部１２０は、入力部１１０によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する（Ｓ９０）。具体的にはまず、特定部１２０は、攻撃経路に基づいて、Ｎ個の要素の各々を頂点とする有向グラフを作成する（Ｓ５２）。頂点同士を結ぶ有向辺は、攻撃経路に基づいて決定される。

　例えば、特定部１２０は、図１９に示されるような有向グラフを作成する。入力情報では要素毎にコストが対応付けられているので、特定部１２０は、頂点に重み（コスト）が付された有向グラフを作成する。

　ここで、図１９は、対策困難な要素を有するシステムの有向グラフを説明するための図である。図１９に示される例では、制御システム１５は、互いに接続された８つの資産Ａ～資産Ｈから構成された制御システムである。資産Ａが侵入口である。資産Ｇ及び資産Ｈが守備対象である。そして、資産Ｅが対策困難な資産である。例えば、資産Ｅは、ＯＳサポートが切れた古い制御装置などであり、十分なコストをかけたとしても資産Ｅの安全度を高めることが困難な又は不可能な資産である。図１９では、資産Ｅが対策困難であることを示すため、資産Ｅを表す頂点の重みを－（ダッシュ）で表している。

　図１９に示される例では、侵入口が１つであり、守備対象が複数である。このため、特定部１２０は、開始頂点を追加する処理（Ｓ７１）を省略し、図１８に示されるように実施の形態４と同様に、目標頂点Ｚを追加し（Ｓ７２）、その後、有向辺の重みにコストを付与する（Ｓ７３）。

　次に、特定部１２０は、対策困難なＭ個の要素のコストを十分に大きな値に更新する（Ｓ９４）。ここで、図２０は、図１９に示される有向グラフに対して、対策困難な要素に接続される有向辺の重みの更新処理を説明するための図である。例えば、特定部１２０は、図１９に示される資産Ｅが接続先になる有向辺のコストを十分に大きな値に更新する。一例として、図２０に示されるように、資産Ｂから資産Ｅに接続される有向辺のコストを無限大に更新する。

　更新後の値は、対策困難なＭ個の要素を除いた残りのＮ－Ｍ個の要素の各々のコストのいずれよりも大きい所定の値である。更新後の値は、例えば、目標頂点Ｚに接続される有向辺に付与されるコストと同じであり、他の有向辺に付与されるコストの中で最も大きいコスト以上の値である。

　コストの更新後、図１８に示されるように、特定部１２０は、開始頂点Ｙから目標頂点Ｚに至る経路について最小カットを算出することで、合計コストが最小となる要素を対象要素として特定する（Ｓ７４）。図２０に示される例では、資産Ａから目標頂点Ｚに至る経路について最小カットを算出する。例えば、特定部１２０は、資産Ｃ、資産Ｄ及び資産Ｆを対象要素として特定する。このとき、資産Ｂから資産Ｅに接続される有向辺のコストが十分に大きい値になっているので、資産Ｅが対象要素として選択されることはない。

　以上のように、本実施の形態に係るリスク分析装置１００では、対策困難な要素が対象要素として特定されないので、実行可能なセキュリティ対策を支援することができる。

　なお、対策困難な要素を示す情報を入力部１１０が取得する例を説明したが、これに限らない。例えば、特定部１２０が、要素のコストに基づいて対策困難な要素を特定してもよい。例えば、特定部１２０は、要素のコストと閾値とを比較し、コストが閾値より大きい要素を対策困難なコストと特定してもよい。

　（実施の形態５）
　続いて、実施の形態５について説明する。

　実施の形態１～４では、要素のコストが当該要素の安全度を第２閾値以上に十分に高い状態にすることができ、当該要素を通る攻撃経路を分断することができるコストである例について説明した。これに対して、実施の形態５では、コストは、要素の安全度を少しだけ高めるのに要するコストである。以下では、実施の形態１～４との相違点を中心に説明し、共通点の説明を省略又は簡略化する。

　本実施の形態に係るリスク分析装置の構成は、実施の形態１に係るリスク分析装置１００と同じである。以下の説明では、図２に示されるリスク分析装置１００に基づいて説明する。

　図２１は、本実施の形態に係るリスク分析装置１００の動作を示すフローチャートである。

　図２１に示されるように、まず、入力部１１０は、対象要素の特定に必要な入力情報を取得する（Ｓ１００）。具体的には、入力部１１０は、システムを構成する要素の一覧を取得する（Ｓ１１）。次に、入力部１１０は、要素毎のコスト及び安全度を取得し（Ｓ１０２）、続いて、攻撃経路を取得する（Ｓ４３）。さらに、入力部１１０は、侵入口を取得し（Ｓ１４）、続いて守備対象を取得する（Ｓ１５）。次に、入力部１１０は、安全度の総和の第３閾値を取得する（Ｓ１０６）。実施の形態１と同様に、入力部１１０が取得する各情報の取得順序は、特に限定されない。

　入力部１１０が取得する第３閾値は、侵入口から守備対象に至るまでに経由する要素の安全度の総和との比較に用いられる値である。第３閾値は、侵入口から守備対象に至る経路が満たすべき安全基準である。安全度の総和が第３閾値以上である場合、当該経路は安全であり、守備対象である資産のセキュリティが十分に高い、すなわち、セキュリティ上の脅威に対する対策が不要であると判断できる。安全度の総和が第３閾値より低い場合、当該経路は安全とは言えず、守備対象である資産のセキュリティが低い、すなわち、経路に対してセキュリティ上の脅威に対する対策を行うべきであると判断できる。

　また、要素毎のコストは、実施の形態１と同様に、安全度を第１閾値以上に高くするのに要する対策コストである。このときの第１閾値は、要素の安全性が十分に高い状態として満たすべき基準である第２閾値よりも小さくてもよい。例えば、コストは、要素の安全度を少しだけ高めるのに要するコストであってもよい。つまり、コストを１つの要素にかけたとしても、当該要素において攻撃経路が分断できなくてもよい。例えば、対象経路上の複数の要素に少しずつコストをかけることで、全体として対象経路の安全度を高めることができ、守備対象のセキュリティを高めることができればよい。

　次に、特定部１２０は、入力部１１０によって取得された入力情報に基づいて、最小カットを算出することにより対象要素を特定する（Ｓ５０）。対象要素を特定するための具体的な処理は、実施の形態２と同様である。

　次に、特定部１２０は、特定した対象要素の安全度を更新する（Ｓ１１０）。具体的には、特定部１２０は、対象要素の安全度を、コストをかけることで高めた安全度に更新する。例えば、対象要素のコストが安全度を１高めるためのコストであり、かつ、更新前の安全度が１であった場合、特定部１２０は、安全度を２に更新する。

　ここで、図２２は、本実施の形態に係るリスク分析装置１００に対する入力情報に基づいて作成した、リスク分析の対象となる制御システム１６の有向グラフを説明するための図である。図２２に示される例では、制御システム１６は、互いに接続された６つの資産Ａ～資産Ｆから構成された制御システムである。資産Ａが侵入口である。資産Ｆが守備対象である。なお、図２２では、要素の安全度（上段の値）とコスト（下段の値）とをそれぞれ図示している。対象経路の特定処理においては、安全度を頂点の重みとして利用する。

　図２２に示される例では、資産Ｃ及び資産Ｄが対象要素として特定される。このため、特定部１２０は、資産Ｃ及び資産Ｄの安全度を更新する。例えば、図２３に示されるように、資産Ｃ及び資産Ｄの安全度を１ずつ増やし、資産Ｃの安全度を３に更新し、資産Ｄの安全度を２に更新する。なお、図２３は、図２２に示されるシステムに基づいて、要素の安全度の更新処理を説明するための図である。

　安全度を更新した後、特定部１２０は、対象経路の特定処理を行う（Ｓ１２０）。ステップＳ１２０で示される処理は、侵入口及び守備対象の両方が１つのみの場合に行われる対象経路の特定処理である。

　図２４は、本実施の形態に係るリスク分析装置１００の動作のうち、対象経路を特定する処理（Ｓ１２０）を示すフローチャートである。

　図２４に示されるように、まず、特定部１２０は、ｋ＝１を設定する（Ｓ１２１）。特定部１２０は、最短経路法を用いて、侵入口から守備対象に至る経路のうちｋ番目に短い経路を導出し（Ｓ１２２）、導出した経路の安全度の総和を算出する（Ｓ１２３）。

　具体的には、特定部１２０は、入力部１１０が取得した入力情報に基づいて、Ｎ個の資産の各々を頂点とし、かつ、資産の更新後の安全度を頂点の重みとする有向グラフを作成する。有向グラフにおける頂点間の有向辺は、Ｎ個の資産の接続関係の一例である攻撃経路に基づいて決定される。例えば、特定部１２０は、図２３に示されるような有向グラフを作成する。

　次に、特定部１２０は、有向辺に重みを付与する。特定部１２０は、有向グラフに基づいて最短経路法を用いて、侵入口から守備対象に至る全ての経路の中から、経路上に位置する全ての資産の安全度の総和がｋ番目に小さくなる経路を対象経路として特定する。ここでは、ｋ＝１であるので、特定部１２０は、侵入口から守備対象に至る全ての経路の中から、最も安全度の総和が小さくなる経路を対象経路として特定する。

　図２５は、図２３に示される制御システム１６において特定された対象経路を示す図である。図２５では、特定された対象経路は二重線で表されている。ここでは、安全度の総和との比較に用いられる第３閾値が７の場合を示している。つまり、安全度の総和が７より低い経路が対象経路として特定される。

　図２５の（ａ）に示されるように、資産Ａ、資産Ｂ、資産Ｄ、資産Ｅ、資産Ｆの順で示される経路４０の安全度の総和は、６である。経路４０は、制御システム１６の中で最も安全度の総和が小さくなる経路である。図２５に示される制御システム１６において安全度の総和が６になる経路は、経路４０のみである。

　次に、図２４に示されるように、特定部１２０は、安全度の総和と第３閾値とを比較する（Ｓ１２４）。具体的には、安全度の総和が第３閾値より低い場合（Ｓ１２４でＮｏ）、特定部１２０は、導出された経路、すなわち、安全度の総和が第３閾値より低い経路を対象経路として特定する（Ｓ１２５）。そして、特定部１２０は、ｋの値を１つ増加させ（Ｓ１２６）、最短経路の導出、安全度の総和の算出、第３閾値との比較を順に行う（Ｓ１２２～Ｓ１２４）。安全度の総和が第３閾値以上になるまで（Ｓ１２４でＹｅｓ）、ｋの値を１ずつ増加させてステップＳ１２２～ステップＳ１２４を繰り返し行う。これにより、侵入口から守備対象に至る経路の中から、安全度の総和が第３閾値より低い経路の全てを対象経路として特定することができる。

　例えば、図２５の（ａ）に示される経路４０の安全度の総和は６であり、第３閾値である７より低い。このため、特定部１２０は、ｋの値を２に設定し、侵入口から守備対象に至る全ての経路の中から、２番目に短い経路、すなわち、２番目に安全度の総和が小さくなる経路を対象経路として特定する。これにより、図２５の（ｂ）に示されるように、資産Ａ、資産Ｂ、資産Ｃ、資産Ｅ、資産Ｆの順で示される経路４１の安全度の総和が７であり、第３閾値以上であるので、特定部１２０は、経路４１を対象経路として特定しない。

　更新後の安全度に基づいて、侵入口から守備対象までの対象経路が特定された後、図２１に示されるように、特定部１２０は、安全度の総和が第３閾値より低い対象経路が特定されたか否かを判定する（Ｓ１３０）。第３閾値より低い経路が存在する場合（Ｓ１３０でＹｅｓ）、特定部１２０は、対象要素のコストを変更する（Ｓ１４０）。具体的には、特定部１２０は、対象要素のコストを、対象要素の安全度をより高くするためのコストに変更する。例えば、変更前のコストが安全度を１高めるのに要するコストであった場合、特定部１２０は、安全度を２高めるのに要するコストに変更する。以降、特定部１２０は、対象要素の特定（Ｓ５０）と、安全度の更新処理（Ｓ１１０）と、対象経路の特定処理（Ｓ１２０）とを、第３閾値より低い対象経路が特定されなくなるまで繰り返し行う。

　第３閾値より低い対象経路が特定されない場合（Ｓ１３０でＮｏ）、出力部１３０は、特定部１２０によって特定された対象要素を示す要素情報を出力する（Ｓ３０）。

　以上のように、本実施の形態に係るリスク分析装置１００によれば、個々の要素に対する安全度を高めるのに要するコストが低い場合であっても、侵入口から守備対象に至る経路の安全度の総和が低くなるようにコストをかけるべき要素を対象要素として特定することができる。これにより、本実施の形態に係るリスク分析装置１００によれば、より低コストで実行可能で十分なセキュリティ対策を支援することができる。

　なお、本実施の形態では、最短経路法を用いる場合、ｋ＝１のときのみを行ってもよい。ｋ＝１のときに特定される経路の安全度の総和が、侵入口から守備対象に至る全ての経路の中で最も安全度の総和が低い経路である。したがって、ｋ＝１のときの安全度の総和が第３閾値以上である場合、他の経路の安全度の総和も第３閾値以上になる。したがって、ｋ＝１の場合の安全度の総和を算出した後（図２４のＳ１２３）、図２１に示されるステップＳ１３０の判定を行ってもよい。

　また、侵入口及び守備対象の少なくとも一方が複数である場合、特定部１２０は、侵入口と守備対象との組み合わせ毎に対象経路を特定する。具体的には、特定部１２０は、複数の侵入口から１つを選択し、複数の守備対象から１つを選択し、選択した侵入口と選択した守備対象とに基づいて、ステップＳ１２１～ステップＳ１２６を行うことで対象経路を特定する。未選択の侵入口及び未選択の守備対象がなくなるまで、ステップＳ１２１～ステップＳ１２６を繰り返すことで、複数の侵入口から複数の守備対象に至る経路を特定することができる。

　（実施の形態６）
　続いて、実施の形態６について説明する。

　実施の形態１～５では、リスク分析装置１００によるリスク分析の対象となるシステムが制御システムであり、制御システムを構成する資産が要素の一例である例を説明した。これに対して、実施の形態６では、リスク分析の対象となるシステムが、資産に対する攻撃手順であり、攻撃手順に含まれるＮ個の攻撃工程がＮ個の要素の一例である例を説明する。以下では、実施の形態１との相違点を中心に説明し、共通点の説明を省略又は簡略化する。

　本実施の形態に係るリスク分析装置の構成及び動作は、実施の形態１に係るリスク分析装置１００の構成及び動作と同じである。上述したように、リスク分析の対象となるシステムが、実施の形態１とは相違する。以下の説明は、図２に示されるリスク分析装置１００に基づいて説明する。

　図２６は、本実施の形態に係るリスク分析装置１００によるリスク分析の対象となるシステムの一例を示す図である。具体的には、図２６は、制御システムを構成する資産の１つに対する攻撃手順を示す図である。

　１つの資産に対する攻撃手順には、複数の攻撃工程が含まれる。攻撃工程は、リスク分析で使用される脅威である。複数の攻撃工程には、例えば、Ａ：不正アクセス、Ｂ：物理的侵入、Ｃ：不正操作、Ｄ：過失操作、Ｅ：不正媒体・機器接続、Ｆ：プロセス不正実行、Ｇ：マルウェア感染、Ｈ：情報窃取、Ｉ：情報改ざん、Ｊ：情報破壊、Ｋ：不正送信、Ｌ：機能停止、Ｍ：高負荷攻撃、Ｎ：経路遮断、Ｏ：通信輻輳、Ｐ：無線妨害、Ｑ：盗聴、Ｒ：通信データ改ざん、Ｓ：不正機器接続の１９の攻撃工程が含まれる。

　図２６に示されるように、攻撃工程には、他の攻撃工程と関連している。例えば、Ｆ：プロセス不正実行の攻撃工程を実行するためには、Ｃ：不正操作、Ｄ：過失操作及びＥ：不正媒体・機器接続のいずれかの攻撃工程が行われた後でなければならない。つまり、資産に対してＦ：プロセス不正実行を起こそうとする場合には、その前に実行しなければならない攻撃工程が存在する。このように、複数の攻撃工程は、順序関係、すなわち、方向性のある接続関係を有する。図２６では、順序関係が矢印で表されている。

　本実施の形態では、入力部１１０は、資産に対する攻撃手順に含まれる全ての攻撃工程のコスト、攻撃工程の順序関係、資産への入口になる攻撃工程である侵入口、及び、資産において守るべき攻撃工程である守備対象を入力として受け付ける。コスト、順序関係、侵入口、及び、守備対象はいずれも、予め定められた手法に基づいて客観的に決定される。

　本実施の形態に係るリスク分析装置１００では、資産のリスク分析を行う場合に、特定部１２０は、当該資産に対する攻撃手順に含まれる全ての攻撃工程を頂点とし、攻撃工程の順序関係を有向辺とする有向グラフを作成する。有向辺には、攻撃工程のコストを重みとして割り当てる。具体的には、有向辺の接続先、すなわち、順序関係における後工程の攻撃工程のコストを割り当てる。例えば、Ａ：不正アクセスからＣ：不正操作に延びる有向辺に対しては、Ｃ：不正操作のコストを重みとして割り当てる。

　有向グラフが生成され、かつ、有向辺に重みが付与された後、特定部１２０は、実施の形態１又は２と同様に、最小カットを算出することで、侵入口から守備対象に至る攻撃手順を分断するのに要する合計コストが最小になる攻撃工程を対象要素（対象工程）として特定する。図２６には、侵入口として、３つの攻撃工程（具体的には、Ａ：不正アクセス、Ｂ：物理的侵入、Ｄ：過失操作）が入力されている。このため、特定部１２０は、図１３に示されるフローチャートに沿って、ステップＳ７０を実行することで、対象要素を特定する。

　以上のように、本実施の形態によれば、制御システムを構成する資産に対する攻撃手順についてのリスク分析を行うことができるので、資産に対して、守備対象のセキュリティを高めるのに十分な対策を支援することができる。

　（実施の形態７）
　続いて、実施の形態７について説明する。

　実施の形態７は、実施の形態１又は２と実施の形態６との組み合わせに相当する。具体的には、複数の資産間の接続関係を、複数の資産の各々に対する攻撃手順に含まれる攻撃工程の接続関係に基づいて構築する。より具体的には、制御システムを構成する複数の資産の各々の攻撃手順に含まれる複数の攻撃工程がＮ個の要素の一例である。以下では、実施の形態１、２及び６との相違点を中心に説明し、共通点の説明を省略又は簡略化する。

　図２７は、本実施の形態に係るリスク分析装置１００によるリスク分析の対象となるシステムの一例を示す図である。具体的には、図２７は、制御システム１７を構成する４個の資産Ａ～資産Ｄと、４個の資産Ａ～資産Ｄの各々に対する攻撃手順を示している。図２７では、図面が複雑化するのを避けるために図示していないが、４個の資産Ａ～資産Ｄの各々の攻撃手順は、図２６に示される１９個の攻撃工程を含んでいる。

　図２７に示されるように、資産Ａは、資産Ｂ及び資産Ｃの各々に接続されている。資産Ｄは、資産Ｂ及び資産Ｃの各々に接続されている。資産Ａ～資産Ｄの接続関係は、方向性を有している。資産Ａが侵入口であり、資産Ｄが守備対象である。

　この場合、図２７に示されるように、侵入口である資産Ａに対して攻撃手順を考慮に入れた場合、資産Ａの攻撃手順に含まれるＡ：不正アクセス、Ｂ：物理的侵入及びＤ：過失操作の３つの攻撃工程が侵入口になる。また、資産Ａに対する攻撃が成功した後に資産Ｂを攻撃しようとした場合、資産Ａの攻撃工程の１つであるＫ：不正送信を利用して、資産Ｂの攻撃工程の１つであるＡ：不正アクセスから攻撃を開始する。このように、資産Ａから資産Ｂへの攻撃手順は、資産Ａ及び資産Ｂの各々における攻撃工程の組み合わせにおいて決定される。例えば、資産Ａに対する攻撃工程であるＪ：情報破壊が発生しただけでは、資産Ｂへの攻撃には至らない。また、資産Ａに対する攻撃の後に、資産Ｂに対してＢ：物理的侵入の攻撃は行われない。したがって、制御システム１７を構成する各資産の接続関係は、各資産に対する攻撃手順に含まれる攻撃工程の接続関係によって表すことができる。

　本実施の形態に係るリスク分析装置１００では、資産のリスク分析を行う場合に、特定部１２０は、制御システム１７を構成する全ての資産の各々の攻撃手順に含まれる全ての攻撃工程を頂点とし、攻撃工程の順序関係を有向辺とする有向グラフを作成する。例えば、資産Ａ～資産Ｄの各々が図２６に示される１９個の攻撃工程を含む場合、有向グラフの頂点の個数は、７６（＝１９×４）個になる。有向辺には、攻撃工程のコストを重みとして割り当てる。コストの割当方法は、実施の形態６と同様である。

　有向グラフが生成され、かつ、有向辺に重みが付与された後、特定部１２０は、実施の形態１又は２と同様に、最小カットを算出することで、侵入口から守備対象に至る攻撃手順を分断するのに要する合計コストが最小になる攻撃工程を対象要素（対象工程）としてとして特定する。図２７には、侵入口として、資産Ａの３つの攻撃工程（具体的には、Ａ：不正アクセス、Ｂ：物理的侵入、Ｄ：過失操作）が入力されている。また、守備対象として、資産Ｄの４つの攻撃工程（具体的には、Ｉ：情報改ざん、Ｊ：情報破壊、Ｌ：機能停止、Ｒ：通信データ改ざん）が入力されている。このため、特定部１２０は、図１３に示されるフローチャートに沿って、ステップＳ７０を実行することで、対象経路を特定する。

　以上のように、本実施の形態によれば、制御システム１７を構成する全ての資産に対する攻撃手順についてのリスク分析を行うことができるので、制御システム１７に対して、守備対象のセキュリティを高めるのに十分な対策を支援することができる。

　なお、本実施の形態では、制御システム１７を構成する４個の資産Ａ～資産Ｄの各々の攻撃手順に含まれる全ての攻撃工程を要素とする例を説明したが、４個の資産Ａ～資産Ｄのうち少なくとも１つの資産のみの攻撃手順に含まれる攻撃工程と、攻撃手順が考慮されない１つ以上の資産とを要素としてもよい。

　（他の実施の形態）
　以上、１つ又は複数の態様に係るリスク分析装置及びリスク分析方法について、実施の形態に基づいて説明したが、本開示は、これらの実施の形態に限定されるものではない。本開示の主旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したもの、及び、異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の範囲内に含まれる。

　例えば、入力部１１０が各要素の安全度を取得する場合、特定部１２０は、取得した安全度に基づいて、攻撃されやすい経路を対象経路として特定してもよい。つまり、特定部１２０は、接続関係に基づいて決定される侵入口から守備対象までの全ての経路の中から、安全度に基づいて対象経路を特定してもよい。この場合の対象経路の特定方法は、実施の形態５のステップＳ１２０と同様に、最短経路法を用いて行うことができる。特定部１２０は、特定された対象経路に基づいて対象要素を特定してもよい。

　また、例えば、上記の実施の形態では、安全度は、数値が高い程、セキュリティ上の脅威に対する安全性が高いことを意味する例を示したが、これに限らない。安全度は、数値が高い程、セキュリティ上の脅威に対する安全性が低いことを意味してもよい。この場合、安全度は、リスクの高さを示すリスク度と置き換えることができる。入力部１１０は、安全度として、セキュリティ上の脅威に対する安全性を間接的に表すリスク度を入力として受け付けてもよい。リスク度は、実施の形態で説明した安全度と負の相関関係を有する。

　また、例えば、実施の形態３～５では、入力部１１０が攻撃経路を取得する例について説明したが、各実施の形態において、実施の形態１と同様に入力部１１０は、システムを構成する全ての要素の接続関係を取得してもよい。

　また、上記実施の形態において、特定の処理部が実行する処理を別の処理部が実行してもよい。また、複数の処理の順序が変更されてもよく、あるいは、複数の処理が並行して実行されてもよい。例えば、リスク分析装置１００の入力部１１０、特定部１２０及び出力部１３０の少なくとも１つは、別の装置に備えられてもよい。

　この場合において、装置間の通信方法については特に限定されるものではない。装置間で無線通信が行われる場合、無線通信の方式（通信規格）は、例えば、ＺｉｇＢｅｅ（登録商標）、Ｂｌｕｅｔｏｏｔｈ（登録商標）、又は、無線ＬＡＮ（Local Area Network）などの近距離無線通信である。あるいは、無線通信の方式（通信規格）は、インターネットなどの広域通信ネットワークを介した通信でもよい。また、装置間においては、無線通信に代えて、有線通信が行われてもよい。有線通信は、具体的には、電力線搬送通信（ＰＬＣ：Power Line Communication）又は有線ＬＡＮを用いた通信などである。

　例えば、上記実施の形態において説明した処理は、単一の装置（システム）を用いて集中処理することによって実現してもよく、又は、複数の装置を用いて分散処理することによって実現してもよい。また、上記プログラムを実行するプロセッサは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、又は分散処理を行ってもよい。

　また、上記実施の形態において、装置を構成する構成要素の全部又は一部は、専用のハードウェアで構成されてもよく、あるいは、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵ（Central Processing Unit）又はプロセッサなどのプログラム実行部が、ＨＤＤ（Hard Disk Drive）又は半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。

　また、装置を構成する構成要素は、１つ又は複数の電子回路で構成されてもよい。１つ又は複数の電子回路は、それぞれ、汎用的な回路でもよいし、専用の回路でもよい。

　１つ又は複数の電子回路には、例えば、半導体装置、ＩＣ（Integrated Circuit）又はＬＳＩ（Large Scale Integration）などが含まれてもよい。ＩＣ又はＬＳＩは、１つのチップに集積されてもよく、複数のチップに集積されてもよい。ここでは、ＩＣ又はＬＳＩと呼んでいるが、集積の度合いによって呼び方が変わり、システムＬＳＩ、ＶＬＳＩ（Very Large Scale Integration）、又は、ＵＬＳＩ（Ultra Large Scale Integration）と呼ばれるかもしれない。また、ＬＳＩの製造後にプログラムされるＦＰＧＡ（Field Programmable Gate Array）も同じ目的で使うことができる。

　また、本開示の全般的又は具体的な態様は、システム、装置、方法、集積回路又はコンピュータプログラムで実現されてもよい。あるいは、当該コンピュータプログラムが記憶された光学ディスク、ＨＤＤ若しくは半導体メモリなどのコンピュータ読み取り可能な非一時的記録媒体で実現されてもよい。また、システム、装置、方法、集積回路、コンピュータプログラム及び記録媒体の任意な組み合わせで実現されてもよい。

　また、上記の各実施の形態は、特許請求の範囲又はその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。

　また、上記の各実施の形態は、請求の範囲又はその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。

　本開示は、十分なセキュリティ対策を支援することができるリスク分析装置などとして利用でき、例えば、工場の制御システム又は制御システムを構成する資産のセキュリティ対策の支援及びリスク分析などに利用することができる。

１０、１１、１２、１３、１４、１５、１６、１７　制御システム
２０　要素
３０　インターネット
４０、４１　経路
１００　リスク分析装置
１１０　入力部
１２０　特定部
１３０　出力部

Claims

　互いに接続されたＮ個（Ｎは２以上の自然数）の要素を含むシステムのリスクを分析するリスク分析装置であって、
　前記Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記Ｎ個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付ける入力部と、
　前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の１以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記１以上の要素である対象要素を、前記Ｎ個の要素の各々のコストと前記接続関係とに基づいて特定する特定部と、
　前記対象要素を示す要素情報を出力する出力部とを備える
　リスク分析装置。
　前記特定部は、最小カットを算出することで、前記対象要素を特定する
　請求項１に記載のリスク分析装置。
　前記特定部は、前記Ｎ個の要素の中から、安全度を高めるのが困難なＭ個（Ｍは自然数）の要素のコストを、残りのＮ－Ｍ個の要素の各々のコストのいずれよりも大きい所定の値に更新し、更新後のコストを用いて前記対象要素を特定する
　請求項１又は２に記載のリスク分析装置。
　前記入力部は、複数の前記侵入口を入力として受け付け、
　前記特定部は、前記入力部が複数の前記侵入口を受け付けた場合に、複数の前記侵入口の各々のみに接続された第１追加要素から前記対象経路を含み、前記守備対象に至る経路の全てを分断するのに要する合計コストが最小となる１以上の要素を、前記対象要素として特定する
　請求項１～３のいずれか１項に記載のリスク分析装置。
　前記入力部は、複数の前記守備対象を入力として受け付け、
　前記特定部は、前記入力部が複数の前記守備対象を受け付けた場合に、
　複数の前記守備対象の各々のみに接続された第２追加要素のコストを前記Ｎ個の要素の各々のコスト以上の値に設定し、
　前記侵入口から前記対象経路を含み、前記第２追加要素に至る経路の全てを分断するのに要する合計コストが最小になる１以上の要素を、前記対象要素として特定する
　請求項１～４のいずれか１項に記載のリスク分析装置。
　前記入力部は、前記Ｎ個の要素の全ての接続関係を入力として受け付け、
　前記特定部は、さらに、前記全ての接続関係に基づいて前記対象経路を決定する
　請求項１～５のいずれか１項に記載のリスク分析装置。
　前記少なくとも一部の接続関係は、前記対象経路である
　請求項１～５のいずれか１項に記載のリスク分析装置。
　前記入力部は、さらに、前記Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を入力として受け付け、
　前記特定部は、さらに、
　前記侵入口から前記守備対象に至る経路の中から、前記侵入口から前記守備対象に至るまでに経由する要素の安全度の総和が閾値より低い経路を、前記対象経路として、前記Ｎ個の要素の各々の安全度と前記接続関係とに基づいて特定する
　請求項１～７のいずれか１項に記載のリスク分析装置。
　前記特定部は、さらに、
　前記要素情報が示す１以上の要素の安全度を、対応する要素のコストをかけることで高めた安全度に更新し、
　前記侵入口から前記守備対象に至る経路の中から前記対象経路を、更新後の前記Ｎ個の要素の各々の安全度と前記接続関係とに基づいて特定し、
　前記対象要素の特定と、前記安全度の更新と、前記対象経路の特定とを、前記対象経路が特定されなくなるまで繰り返す
　請求項８に記載のリスク分析装置。
　前記システムは、制御システムであり、
　前記Ｎ個の要素は、前記制御システムを構成するＮ個の資産である
　請求項１～９のいずれか１項に記載のリスク分析装置。
　前記システムは、制御システムであり、
　前記Ｎ個の要素は、前記制御システムを構成する複数の資産の各々の攻撃手順に含まれる複数の攻撃工程である
　請求項１～９のいずれか１項に記載のリスク分析装置。
　前記システムは、制御システムを構成する資産に対する攻撃手順であり、
　前記Ｎ個の要素は、前記攻撃手順に含まれるＮ個の攻撃工程である
　請求項１～９のいずれか１項に記載のリスク分析装置。
　互いに接続されたＮ個（Ｎは２以上の自然数）の要素を含むシステムのリスクを分析するリスク分析方法であって、
　前記Ｎ個の要素の各々の、セキュリティ上の脅威に対する安全度を高めるのに要するコストと、前記Ｎ個の要素の少なくとも一部の接続関係と、前記システムへの入口になる要素である侵入口と、前記システムにおいて守るべき要素である守備対象とを入力として受け付け、
　前記侵入口から前記守備対象に至る対象経路を、当該対象経路上の１以上の要素の安全度を閾値以上に高めることで分断するのに要する合計コストが最小になる前記１以上の要素である対象要素を、前記Ｎ個の要素の各々のコストと前記接続関係とに基づいて特定し、
　前記対象要素を示す要素情報を出力する
　リスク分析方法。
　請求項１３に記載のリスク分析方法をコンピュータに実行させるプログラム。