WO2020255512A1

WO2020255512A1 - 監視システム、および、監視方法

Info

Publication number: WO2020255512A1
Application number: PCT/JP2020/012805
Authority: WO
Inventors: 和三村; 千絵増田; 幸三池上
Original assignee: 株式会社日立製作所
Priority date: 2019-06-21
Filing date: 2020-03-23
Publication date: 2020-12-24

Abstract

所定システムのアラートに基づいて、所定システムを監視する監視システムであって、所定システムから発せられるアラートに分類情報が付加される前に当アラートを判別し、この判別は、アラートを複数のアラートの評価結果に基づいて分類情報が付加される第１アラートと、評価結果基づくことなく前記分類情報が付加される第２アラートとを区別することにより、監視対象システムから発せられるアラートを正確に評価して、監視対象システムを安定、かつ、安全に運営できるようにする。

Description

監視システム、および、監視方法

　本発明は、システムのハードウェア、および／または、ソフトウェアを運用するための監視システムに係る。

　標的型攻撃をはじめとするサイバー攻撃、“ＤＤｏＳ”（Ｄｉｓｔｒｉｂｕｔｅｄ　Ｄｅｎｉａｌ　ｏｆ　Ｓｅｒｖｉｃｅ）攻撃、ウィルス拡散など、サイバー空間の脅威に対応する必要性が高まっている。サイバー空間では攻撃側が構造的に優位であり、その攻撃は日々高度化、増加、そして、変化してきている。しかも、攻撃対象は、金融サービス事業者やＩＴサービス事業者に留まらず、インンフラ事業者等へと拡大している。

　一方、企業内のＩＴシステムは、クラウドサービスの利用拡大、スマホ、タブレットなどのモバイルデバイスの普及、リモートワーク等、益々、複雑化、多様化している。こうした状況では、いつ、どこからネットワークに不正侵入され、企業にとって重要な情報が外部に流出するかわからない。

　これまでは、サーバやネットワーク分野に詳しいＩＴ部門の技術者が、セキュリティの脅威に対応していたが、多層的なセキュリティ対策と併せ、専門スタッフが常時監視するセキュリティオペレーションセンタ（ＳＯＣ：Ｓｅｃｕｒｉｔｙ　Ｏｐｅｒａｔｉｏｎ　Ｃｅｎｔｅｒ）の必要性が高まっている。

　しかしながら、セキュリティ専門家の必要数が確保できないために、情報システムや制御システムにおけるセキュリティインシデントの発生を監視する業務に支障を来たすことが懸念されていた。例えば、社会インフラ事業では、監視対象がシステム全体に及ぶため、そもそも、ＳＯＣの運用能力の大幅な向上が望まれていた。

　ＳＯＣでの運用業務において、最も比重が高いのは、“ＦＷ”（Ｆｉｒｅｗａｌｌ）／“ＩＰＳ”（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ）等から通知されるセキュリティアラートの重要度を評価すること、即ち、セキュリティ専門家が、アラートがインシデントか、または、誤検知等注意を払わなくてもよいかを評価することである。ＳＯＣのセキュリテイ専門家は、監視対象システムの各装置ログ、外部脅威情報、マルウェアの危険度評価等を参照し、アラートの重要度を自身の知識と経験とに基づいて判断している。

　増加し続けるサイバー攻撃や監視対象システムの大規模化に対応して、ＳＯＣの運用を将来にわたって安定して継続させるには、セキュリティアラートの危険度を評価する業務を自動化、または、これを支援することが望まれる。

　このような課題は、セキュリティ面に限らず装置などの故障によるアラートであっても同様である。サーバ装置やネットワーク装置を含む情報システム全体の故障監視も、ＳＯＣのように、専門スタッフが常駐するオペレーションセンタ（情報システム部や、ネットワークオペレーションセンタ（ＮＯＣ：Ｎｅｔｗｏｒｋ　Ｏｐｅｒａｔｉｏｎ　Ｃｅｎｔｅｒ）などと呼ばれる。）によって行われている。ＮＯＣは、各装置から発生するログ情報と、パフォーマンス低下などによるアラート情報を結び付けて、そのアラートが一時的なものなのか、サービス変更によるものなのか、または、装置故障によるものなのかを判断しなければならない。故障監視を行う専門スタッフは、ＳＯＣの場合と同様に、アラートの重要度を自身の知識と経験とに基づいて判断している。

　業務の自動化が進展することで、これまで以上に様々なサービスが情報システム上に追加されるようになっているため、上記ログ情報やアラート情報は増加する一方である。そのため、オペレーションセンタの運用能力の大幅な向上が望まれており、その運用を将来にわたって安定して継続させるには、ＳＯＣ業務と同様に、アラートの重要度を評価する業務を自動化、または、これを支援することが望まれる。

　例えば、下記特許文献１のシステムは、コンテンツの配信対象ユーザを効果的に拡張することができることを目的として、モデル生成部は、所定のｅコマースで販売される商品および／またはサービスのユーザの購入の有無を目的変数、ユーザの属性を説明変数とする予測モデルを生成し、更新部は、商品および／またはサービスの購入がないユーザである特定ユーザの属性を説明変数とした予測モデルの演算結果が所定閾値以上である場合に、特定ユーザの行動履歴を有とする更新を行うというものである。

特開２０１８－１５２１４１号公報

　しかしながら、予測モデルの演算結果が所定閾値以上か否かにだけで、アラートが例えば危険レベルか否かといった、アラートの重要性をシステムに評価させようとすると、実際には、アラートがインシデントに繋がる重要なものであるにも拘らず、アラートが注意するに足りない誤報程度のものとして評価されてしまう虞がある。

　従って、監視対象システムから発せられるアラートを正確に評価して、監視対象システムを安定、かつ、安全に運営できるようにすることが望まれる。

　そこで、第１の開示は、コンピュータが所定システムのアラートに基づいて、当該所定システムを監視する監視システムであって、前記コンピュータのコントローラは、メモリに記録されたプログラムを実行して、前記アラートに分類情報を付加し、この分類情報は、前記アラートの重要度の大小を区別するものであり、前記分類情報が付加されたアラートをメモリに記録し、当該メモリから複数のアラートを選択し、当該選択された複数のアラートを評価し、前記所定システムから発せられるアラートに前記分類情報が付加される前に当該アラートを判別し、この判別は、当該アラートを前記複数のアラートの評価結果に基づいて前記分類情報が付加される第１アラートと、当該評価結果に基づくことなく前記分類情報が付加される第２アラートとを区別するというものである。

　さらに、第２の開示は、コンピュータが所定システムのアラートに基づいて、当該所定システムを監視する方法であって、前記コンピュータは、オペレーションセンタの対策者に対して、前記アラートに分類情報を付加させ、この分類情報は、前記アラートの重要度の大小を区別するものであり、夫々に、前記分類情報が付加された複数のアラートを選択し、当該選択された複数のアラートを評価し、前記所定システムから発せられるアラートに前記分類情報が付加される前に当該アラートを判別し、この判別は、当該アラートを前記複数のアラートの評価結果に基づいて前記分類情報を付加する第１アラートと、当該評価結果に基づくことなく前記分類情報を付加する第２アラートとを区別するというものである。

　本発明によれば、監視対象システムから発せられるアラートを正確に評価して、監視対象システムを安定、かつ、安全に運営できるようになる。

監視対象システムと監視システムとからなる全体システムの一例に係わり、本発明の実施形態を表すハードウェアのブロック図である。図１に示すシステムに適用されるコンピュータのハードウェアブロック図の一例である。図１のアラート分析装置の機能ブロック図の一例である。アラート分析装置のアラート収集部が作成したアラート収集テーブルの一例である。アラート分析装置のログ収集部が作成したログ収集テーブルの一例である。図１の全体システムを構成する、ＳＯＣ、アラート分析装置、そして、外部脅威情報データベースの間の関連動作を説明するタイミングチャート（シーケンス図）の一例である。アラートの種別を管理するための種別管理テーブルの一例である。アラート分析装置の評価部の動作を説明するシーケンス図の一例である。アラートの構成要素（データ要素）の評価テーブルの一例である。アラート分析装置の表示部５が、テストアラートの予測値の集計結果をディスプレイに表示している画面の一例である。参照アラートの要素に類似になる境界領域による外れ値判定の一例を示した特性図である。外れ値判別について、表示部によって出力される画面の一例である。外れ値判別について、表示部によって出力される画面の他の例である。

　本明細書において開示される主題の、少なくとも一つの実施の詳細は、添付されている図面と以下の記述の中で述べられる。開示される主題のその他の特徴、態様、効果は、以下の開示、図面、請求項により明らかにされる。

　次に、本発明に係る監視システムの実施形態を図面に基づいて説明する。図１は、監視対象システム１００と監視システム１とからなる全体システムのハードウェアブロック図である。監視システム１は監視対象システム１００をサイバー攻撃等セキュリティの脅威から防衛するためのものである。なお、以下の実施形態では、セキュリティの監視について述べるが、監視システム１は、その他のアラート、例えば、故障に係るものによる監視対象システム１００の故障、システムの不調を監視するものであってもよい。

　監視システム１は、ＳＯＣ１３０と、監視対象システム１００から発せられるアラートを取り込んで分析するアラート分析装置１３４と、を備えている。アラート分析装置１３４はＳＯＣ１３０外に存在するものとして図示されているが、ＳＯＣ内に存在してもよい。

　監視対象システム１００は、例えば、金融分野のコンピュータシステム、ＩＴ分野のコンピュータシステムの他、電力供給システム、上下水道管理システムのような社会インフラに係るものであってもよい。監視対象システム１００は、第１ネットワーク１１０、１台以上のクライアント端末１１１、業務サーバ１１２、ネットワーク監視装置１１３、ＦＷ／ＩＰＳ１１４、およびプロキシサーバ１１６を有する。

　第１ネットワーク１１０は、例えば、バスであり、クライアント端末１１１、業務サーバ１１２、ネットワーク監視装置１１３、ＦＷ／ＩＰＳ１１４、プロキシサーバ１１６、ＳＯＣ１３０が、互いに通信可能に接続されている。ＦＷ／ＩＰＳ１１４は、外部ネットワーク１１５に接続される。外部ネットワーク１１５は、例えば、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、ＷＡＮ（Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、または、インターネットである。

　監視対象システム１００は、ハードウェア、ソフトウェアを監視し、サーバ攻撃、ウィルス等の不正を検知すると、アラートを作成してＳＯＣ１３０に通知する。ＳＯＣ１３０は、アラート管理装置１３１と、ログ管理装置１３２と、第２ネットワーク１３５と、を備える。第２ネットワーク１３５は、例えば、バスであり、アラート管理装置１３１、ログ管理装置１３２、アラート分析装置１３４、および、外部脅威情報データベース１３３が接続されている。

　アラート管理装置１３１は、監視対象システム１００からウィルス検出、システムの異常な挙動の検出、未登録装置との接続の検出、故障、障害等の事象を新規アラートとして受信すると、新規アラートを特定するための管理情報をアラート管理テーブル１３１Ａに登録する。アラートの管理情報は、アラートの発生日時と、アラート対象（アラートの発生元）の種類と、アラート対象のアドレスを含む。

　ＳＯＣのセキュリティ専門家（以下、専門家、という。）は、外部脅威情報データベース１３３を参照して、アラート管理テーブル１３１Ａに登録された新規アラートを分析、評価して、アラートが情報漏えい、システムの暴走等セキュリティインシデントに繋がる危険度が高いものか、あるいは、アラートが対策済み、または、アラートが誤報に過ぎない等、危険度が高くなく、さほど注意を払わなくてもよいものかを分類して、分類情報（フラグ０：アラートが危険ではない、フラグ１：アラートが危険である）をアラート毎に設定する。専門家は後者を判定すると、アラートに対応する対策を実行するか、或いは、監視対象システム１００にこれを助言する。

　ログ管理装置１３２は、監視対象システム１００からアクセスログを取得して、アクセスログの履歴をログ管理テーブル１３２Ａに記録して管理する。ログは、いつ、監視対象システム１００内のどのコンピュータがどのようなデータをどの通信相手に送受信したかを示す履歴情報である。

　アラート分析装置１３４は、アラートと分類との組み合わせを学習し、学習結果に基づいてアラートを評価するためのモデルを作成する。アラート分析装置１３４は、このモデルに基づいて、新規アラートを分析し、新規アラートの分類のための予測値を計算し、これを専門家に通知する。専門家はこの予測値を確認して、アラートを分類することができる。アラート分析装置１３４は、管理テーブル１３１Ａと、ログ管理テーブル１３２Ａと、を所定期間毎に参照し、アラートに対する学習と、新規アラートの分析、解析等を実行する。外部脅威情報データベース１３３は、インターネット上で脅威情報を公開するものである。脅威情報には、マルウェア、プログラムの脆弱性、スパム、そして、不正ＵＲＬ（Ｕｎｉｆｏｒｍ　Ｒｅｓｏｕｒｃｅ　Ｌｏｃａｔｏｒ）が含まれていてよい。

　図２は、図１に示すシステムに適用されるコンピュータのハードウェアブロック図である。当該コンピュータは、クライアント端末１１１、業務サーバ１１２、ネットワーク監視装置１１３、ＦＷ／ＩＰＳ１１４、プロキシサーバ１１６、アラート管理装置１３１、ログ管理装置１３２、アラート分析装置１３４の夫々に適用される。コンピュータ２００は、プロセッサ２０１と、記憶デバイス２０２と、入力デバイス２０３と、出力デバイス２０４と、通信インターフェース（通信ＩＦ）２０５と、を備える。プロセッサ２０１等は、バス２０６により互いに接続されている。記憶デバイス２０２は、プログラムやデータを記憶する非一時的なまたは一時的な記録手段でよい。

　図３に、アラート分析装置１３４の機能ブロックを示す。アラート分析装置１３４は、例えば、人工知能による機械学習（プレディクティブコーディング）を利用して、アラートの評価モデルを作成し、これを学習の継続により更新し、さらに、評価モデルに基づいて、アラートに対する分類の予測値を算出できるようにしている。アラート分析装置１３４は、アラートを構成し、アラートを特徴付けるデータ要素と、分類フラグとの関連性を学習する。データ要素は、アラートに関連するログの情報でよい。評価モデルは、例えば、複数のデータ要素毎のフラグとの関係性における重み、或いは、数式のモデルでよい。

　アラート分析装置１３４は、アラートのアラート収集部３０１と、ログのログ収集部３０２と、判別部３０３と、評価部３０４と、表示部３０５と、を有する。アラート収集部３０１等の夫々のブロックは、プロセッサ２０１が記憶デバイス２０２に保存されたプログラムを実行することによって実現される機能モジュールである。したがって、アラート収集部３０１等の夫々を、アラート収集モジュール、アラート収集手段、アラート収集回路、アラート収集ユニット、または、アラート収集要素等と言い換えてもよい。なお、機能モジュールをハードウェアによって実現してもよい。

　アラート収集部３０１は、アラート管理テーブル１３１Ａを所定時間毎参照し、アラートの管理情報をアラート収集テーブル５００（図４）に登録する。図４は、このテーブルの一例である。アラート収集テーブル５００は、アラート分析装置１３４の所定の記憶領域に保存される。アラート収集計テーブル５００は、アラート識別子５０１と、発生日時５０２と、アラート対象５０３と、通信相手５０４と、処理結果５０５と、分類５０６と、の夫々のフィールドを備える。

　アラート識別子５０１は、アラートを一意に特定する識別情報である。発生日時５０２は、アラートが発生した日付時刻である。アラート対象５０３は、アラートの発生元である。通信相手５０４は、アラート対象５０３が送信したデータの宛先またはアラート対象５０３にデータを送信した送信元である。アラートは、アラート識別子５０１、発生日時５０２、アラート対象５０３、および、通信相手５０４によって、特定される。これらは、アラート管理装置１３１が監視対象システム１００からのアラートを解析して得られる。

　処理結果５０５は、アラートに対して、専門家によって行われた対応である。処理結果には、例えば、“誤検知と判断”、“未対処の攻撃と判断”、“対処済みの攻撃と判断”、または、“未処理”がある。分類５０６は、処理結果５０５に基づいて、専門家によって入力された情報である。“１”はアラート（アラート識別子）が重要、即ち、危険度が大きいことを示し、“０”はアラートが重要ではない、即ち、危険ではなく注意を払わなくてもよいことを示す。後者は、例えば、アラートが“誤報”、または、“アラートが対策済み”であるということである。

　ログ収集部３０２は、ログ管理テーブル１３２Ａを所定時間毎にアクセスして、ログ管理テーブル１３２Ａのログ情報群を参照して、アラートに関連するログを抽出し、これをアラート関連ログとしてログ収集テーブル６００（図５）に登録する。ログ収集テーブル６００は、アラート分析装置１３４の所定の記憶領域に記録されている。図５はログ収集テーブル６００の一例である。ログ収集テーブル６００は、アラート識別子５０１と、集計日時６０２と、プロキシサーバログ６０３と、業務サーバログ６０４と、外部脅威情報６０５と、をフィールドとして有する。

　プロキシサーバログ６０３、業務サーバログ６０４、および、外部脅威情報６０５以外にも監視対象システム１００内の他のコンピュータ（クライアント端末１１１やＦＷ／ＩＰＳ１１４、ネットワーク監視装置１１３など）についてのログがあってもよい。

　集計日時６０２は、アラートの発生日時５０２から所定時間（１時間）遡った時刻から一定時間間隔（１０分）であって、ログ等を集計するタイミングである。集計日時６０２が“２０１８／１０／１０　１２：５７”のエントリは、“２０１８／１０／１０”の“１２：４８”から“１２：５７”までの１０分間で集計されたログ等の統計を示す。

　アラートを構成するデータ要素は、アラートの発生日時以前の所定範囲のログであると定義してよい。つまり、同じ識別子のアラートの集計日時のログの情報６０３，６０４がアラートに関連する特徴量、即ち、アラートを構成するデータ要素である。さらに、外部脅威情報６０５もアラートの構成情報としてもよい。アラート識別子５０１が“Ａｌｅｒｔ＿００５”であるアラートの発生日時５０２は“２０１８／１０／１０　１３：５７”であるため（図４：アラート収集テーブル５００）、アラートの集計日時６０２は、発生日時５０２の“２０１８／１０／１０　１３：５７”から１時間遡った“２０１８／１０／１０　１２：５７”と、“２０１８／１０／１０　１２：５７”から１０分刻みの“２０１８／１０／１０　１３：０７”、“２０１８／１０／１０　１３：１７”、“２０１８／１０／１０　１３：２７”、“２０１８／１０／１０　１３：３７”、“２０１８／１０／１０　１３：４７”、および、“２０１８／１０／１０　１３：５７”になる。

　プロキシサーバログ６０３は、サブフィールドとして、キャッシュミス回数６３１と異常応答回数６３２とを有する。キャッシュミス回数６３１は、集計日時６０２においてプロキシサーバ１１６がキャッシュミスした回数である。異常応答回数６３２は、集計日時６０２においてプロキシサーバ１１６が異常応答を受信した回数である。なお、プロキシサーバログ６０３のサブフィールドは、キャッシュミス回数６３１や異常応答回数６３２以外（例えば、通信バイト数）であってもよい。

　業務サーバログ６０４は、サブフィールドとして、異常応答回数６４１とアクセス回数６４２とを有する。異常応答回数６４１は、集計日時６０２において業務サーバ１１２が異常応答を受信した回数である。アクセス回数６４２は、集計日時６０２で特定される一定時間間隔の集計期間において業務サーバ１１２が他のコンピュータ２００にアクセスされた回数である。なお、業務サーバログ６０４のサブフィールドは、異常応答回数６４１やアクセス回数６４２以外（例えば、認証失敗回数）であってもよい。

　外部脅威情報６０５は、サブフィールドとして、ＩＰアドレス危険度６５１とＵＲＬ危険度６５２とを有する。ＩＰアドレス危険度６５１は、集計日時６０２におけるアラート対象５０３の通信相手５０４がＩＰアドレスで特定された場合に、外部脅威情報データベース１３３において当該ＩＰアドレスの危険度を段階的に示した指標値である。“０～５”の“６”段階のうち、“５”が最も危険度が高い。

　ＵＲＬ危険度６５２は、集計日時６０２におけるアラート対象５０３の通信相手５０４がＵＲＬで特定された場合に、外部脅威情報データベース１３３において当該ＵＲＬの危険度を段階的に示した指標値である。“０～５”の“６”段階とし、“５”が最も危険度が高い。なお、外部脅威情報６０５のサブフィールドは、ＩＰアドレス危険度６５１やＵＲＬ危険度６５２以外（例えば、端末の脆弱度）であってもよい。

　評価部３０４は、アラート収集テーブル５００（図４）から選択されたアラートに基づいて、学習を行う。この学習は、アラートのデータ要素と、アラートに付与された分類との関連性を評価して、評価モデルを作成、更新することである。アラートのデータ要素とはアラートに至ることになった、監視対象システム１００に属するハードウェアやソフトウェアの稼働値、属性値、特性値、測定値、或いは、計測値であり、具体的には、既述のとおり、ログ収集情報テーブル６００（図５）における、プロキシサーバログ、および、業務サーバログ、外部脅威情報である。

　既述のとおり、分類はアラートがインシデントに繋がる危険なものか否かの指標であって、セキュリティ専門家は、アラートを“０”：危険なし、“１”：危険に分類する。なお、重要度は、“０”か“１”かの２段階に区別されることに限らず、より多くの段階を含んでもよい。

　評価部３０４は、評価モデルに基づいて、新規アラートの予測値を演算する。評価部３０４は、予測値を専門家が参照できるようにする。専門家３０６は、新規アラートを処理する前に、この予測値を参考にして、アラートを処理して分類し、分類結果をアラート管理テーブル１３１Ａに登録する。専門家３０６は、アラートを実際に処理する前に予測値を参照できるために、アラートの処理を効率的に行うことができ、かつ、アラートの危険度の見逃しを無くすことができる。

　判別部３０３は、新規アラートを、予測値を計算しようとするものと、予測値を算出することなく、直接専門家３０３がアラートを評価して分類するものとに判別する。

　次に、監視システム１の動作について説明する。図６は、ＳＯＣ１３０、アラート分析装置１３４、そして、外部脅威情報データベース１３３の間の関連動作を説明するタイミングチャートである。図３の説明と重複する部分は省略することがある。アラート収集部３０１は、アラートの学習のために、アラート管理装置１３１のアラート管理テーブル３０１Ａからアラート情報を収集する範囲を決定する（ステップＳ４０１）。アラート管理装置１３１は、監視対象システム１００からアラートを受信する都度、アラートの管理情報をアラート管理テーブル１３１Ａに登録する。

　アラート収集部３０１は、アラート管理テーブル１３１Ａに登録されているアラートを収集する。アラート収集部３０１は、例えば、取り込まれていないアラートのうち最も発生日時が古いアラートから、収集する範囲（例えば、３０日）で発生したアラートの管理情報を収集する（ステップＳ４０２）。アラート収集部３０１は、収集したアラートの管理情報をアラート収集テーブル５００に登録する（ステップＳ４０３）。アラート収集部３０１は、アラート収集テーブルへのアラートの登録が終了したことをログ収集部３０２に通知する（ステップＳ４０４）。

　ログ収集部３０２は、ログ管理テーブル１３２Ａからログを受信し（ステップＳ４０５）、外部脅威情報データベース１３３から外部脅威情報を受信する（ステップＳ４０６）。ログ収集部３０２は、アラート収集テーブル５００と外部脅威情報とを参照して、アラートに対応するログの管理情報をログ収集計テーブル６００に登録する（ステップＳ４０７）。

　アラート収集部３０１は、取り込まれたアラートに対して、アラートの種別を設定する（ステップＳ４０８）。種別には、“参照”、“テスト”、および、“未処理”の３種類ある。“参照”が設定されたアラートは、アラートのデータ要素とアラートの分類（分類）との関連性が評価され、アラートの分類を予測するための評価モデルを作成、更新等するのに利用されるものであり、“テスト”が設定されたアラートは、評価モデルをテストするためのものであり、“未処理”が設定されたアラートは、ＳＯＣ１３０での管理が終わっておらず、“参照”、“テスト”に設定されてはならないものである。アラート収集部３０１は、所定のルールに基づいて、“参照”が設定されるアラート、“テスト”が設定されるアラート、を決めてよい。

　図７は、アラートの種別を管理するための種別管理テーブル７００の一例である。種別管理テーブル７００は、アラート毎にデータ種別を規定し、アラート収集部３０１により作成され（ステップＳ４０８）、アラート分析装置１３４の記憶デバイス２０２の所定領域に記憶される。種別管理テーブル７００は、アラート識別子５０１について、アラート収集部３０１がアラートを収集するタイミング毎に種別を設定している。

　第１の期間（Ｔ）７０２は、例えば、“2018/6/1”―“2018/6/30”に取り込まれたアラートの種別を示し（Ｔ：一か月）、第２の期間（Ｔ+１）７０３は、“2018/6/1”―“2018/7/31”に取り込まれたアラートの種別を示し、第３の期間（Ｔ+２）７０４は、“2018/6/1”―“2018/8/31”に取り込まれたアラートの種別を示す。“Ｔ”は、ステップＳ４０１で決定された収集範囲である。“参照”と“テスト”の比率は特に制限されるものではなく、アラート収集部３０１が適宜設定してよい。図７の種別管理テーブル７００は、“テスト”を発生時期が現在に近いアラートに設定している。したがって、期間が進むにしたがって、一つのアラートの種別が“テスト”から“参照”に遷移してよい。また、“未処理”であるアラートは、ＳＯＣ１３０での処理が進み、収集の期間が進むにしたがって、“テスト”、または、“参照”に遷移する。アラート収集部３０１は、種別管理テーブル７００に対して“参照”と“テスト”をランダムに設定してもよい。

　次に、評価部３０４の動作をシーケンス図（図８）に基づいて説明する。評価部３０４は、アラート管理テーブル１３１Ａ、ログ管理テーブル１３２Ａから情報の収集（ステップＳ４０８）が終わったタイミングで、評価モデルを作成、更新するための学習を開始する。評価部３０４は、アラート収集部３０１に基づいて、種別テーブル７００を参照して（ステップＳ８０１）、“参照”が割り当てられているアラートの識別子を選択する。次いで、評価部３０４は、ログ収集部３０２に基づいて、ログ収集テーブル６００を参照し（ステップＳ８０２）、“参照”に設定されている複数のアラートについて、ログ収集テーブル６００からアラートの複数のデータ要素（プロキシサーバ　キャッシュミス回数等）を抽出する。さらに、評価部３０４は、アラートの分類（図４、５０６）に与える、アラートを構成する複数のデータ要素個々の重みを評価する（ステップＳ８０３）。

　図９は、アラートの構成要素（データ要素）の評価テーブル９００の一例である。評価部３０４は、アラートの構成要素を評価すると、アラートの構成要素と評価結果である重みを、このテーブル９００に記録する。このテーブルはアラート分析装置１３４の所定の記憶領域に登録されている。

　評価テーブル９００は、項目９０１と、値域９０２と、相関度９０３と、をフィールドとして有する。項目９０１は、“参照”が付与されたアラート、即ち、参照アラートのデータ要素の名である。これは、ログ収集テーブル６００のプロキシサーバログキャッシュミス回数６３１等に対応する。

　値域９０２は、項目９０１が取り得る値の範囲である。アラートのデータ要素は、項目９０１と値域９０２との組み合わせで構成される。相関度９０３はデータ要素と分類５０６との相関性を評価した指標、即ち、重みに対応する。

　相関度９０３は、例えば、参照データの特徴量（データ要素）における値域９０２の出現回数を当該特徴量の集計回数で除算した値域９０２の出現頻度ｐ１（発生確率）と、分類５０６の度合い（ｑ）と、の相関係数（Ｒ１）でよい。例えば、相関係数（Ｒ１）は、出現頻度（ｐ１）の標準偏差（σｐ１）と、（ｑ）の標準偏差（σｑ）と、出現頻度（ｐ１）および（ｑ）の共分散（Ｓｐ１ｑ）と、により、下記式（１）で算出される。
　Ｒ１＝Ｓｐ１ｑ／（σｐ１×σｑ）・・・（１）

　出現頻度ｐ１について詳説する。図７において、第１のアラート収集タイミング７０２に“参照”設定されているアラートの識別子５０１は、“Ａｌｅｒｔ＿００１”から“Ａｌｅｒｔ＿００８”である。評価部３０４は、アラート識別子５０１ごとに、出現頻度（ｐ１）および（ｑ）を求める。

　アラート識別子５０１が“Ａｌｅｒｔ＿００５”で、かつ、項目９０１が“プロキシサーバ　キャッシュミス回数”を説明すると次のとおりである。図５によれば、アラート識別子５０１が“Ａｌｅｒｔ＿００５”であるプロキシサーバログ６０３のキャッシュミス回数６３１は、“３”（２０１８／１０／１０　１２：５７）、“４”（２０１８／１０／１０　１３：０７）、…、“４”（２０１８／１０／１０　１３：５７）である。なお、集計日時６０２が“２０１８／１０／１０　１３：１７”、“２０１８／１０／１０　１３：２７”、“２０１８／１０／１０　１３：３７”、および“２０１８／１０／１０１３：４７”のキャッシュミス回数６３１を“３”および“４”以外の値とした。

　アラート識別子５０１が“Ａｌｅｒｔ＿００５”であるプロキシサーバログ６０３のキャッシュミス回数６３１における値域９０２“３”～“４”の出現回数は３回である。アラート識別子５０１が“Ａｌｅｒｔ＿００５”であるプロキシサーバログ６０３のキャッシュミス回数６３１の集計回数は、“２０１８／１０／１０　１２：５７”、“２０１８／１０／１０　１３：０７”、“２０１８／１０／１０　１３：１７”、“２０１８／１０／１０　１３：２７”、“２０１８／１０／１０　１３：３７”、“２０１８／１０／１０　１３：４７”、および、“２０１８／１０／１０　１３：５７”の７回である。したがって、アラート識別子５０１が“Ａｌｅｒｔ＿００５”であるプロキシサーバログ６０３のキャッシュミス回数６３１における値域９０２が“３”～“４”の出現頻度（ｐ１）は、“３／７”である。また、アラート識別子５０１が“Ａｌｅｒｔ＿００５”である分類度合い（ｑ）は、“０”である（図４の５０６）。

　評価部３０４は、種別が“参照”であるアラートの識別子５０１ごとに、出現頻度（ｐ１）と分類度合い（ｑ）との組み合わせを求め、夫々の項目の現象が出現する頻度（ｐ１）から、出現頻度（ｐ１）の標準偏差（σｐ１）を求め、複数のアラート夫々の分類度合い（ｑ）から標準偏差（σｑ）を求め、さらに、共分散（Ｓｐ１ｑ）を求める。そして、評価部３０４は、上記式（１）により、種別が“参照”であるアラート識別子５０１についての項目９０１“プロキシサーバ　キャッシュミス回数”の値域９０２が“３”～“４”に対応する相関係数（Ｒ１＝－０．５４）を算出する。

　相関係数（Ｒ１）が正（Ｒ１＞０）であることは、アラートが正しく、即ち、アラートがウィルス攻撃等危険のものを示すものであり、そして、相関係数（Ｒ１）の値が大きいほど、危険の程度が高いことを示す。一方、相関係数（Ｒ１）が負（Ｒ１＜０）であることは、アラートが誤報に基づくものである等、それほどアラートに危険がない事を示し、そして、相関係数（Ｒ１）が小さいほど（マイナスの絶対値が大きいほど）誤報である程度が高いことを示している。このように、アラートの複数のデータ要素毎に相関度が求められるため、価部３０４は、夫々のデータ要素の相関係数を統合、融合、組み合わせること、統一、または、合成する等によって、アラートのスコアに基づいて、アラート自体の危険度を評価することができる。

　図９は、学習によって得られた評価モデルの一つの形態である。評価部３０４は、これにと留まらず、出現頻度（ｐ１）および分類度合い（ｑ）に基づいて、分類度合いの予測値を算出するモデル式を作成する（ステップＳ８０４）。このモデル式は、目的変数（Ｙ）を重要度５０６、説明変数（Ｘｎ）を“Ｐ”（項目９０１と値域９０２）とする。ただし、Ｐ（Ｚ）は、事象Ｚ（項目）の発生確率（出現頻度（ｐ１））を表す。説明変数（Ｘｉ）を、評価テーブル９００を参照して、
　Ｘ１＝Ｐ（プロキシサーバ　キャッシュミス回数“３”～“４”）
　Ｘ２＝Ｐ（プロキシサーバ　キャッシュミス回数“１０”～“１５”）
　・・・
　などとする。

　評価部３０４は、モデル式の一例として、下記式（１）のような重回帰式を作成する。“ｎ”は、要因項目９０１および値域９０２との組み合わせの総数、すなわち、事象（Ｚ）の総数である。

　ここで、特徴量（学習データ）のエントリ（ｋ）（例えば、“Ａｌｅｒｔ＿００５”に関する目的変数（Ｙ）と説明変数（Ｘｎ）の組み合わせ）に対する目的変数（Ｙ）の値を“ｙ＿ｋ”（重要度ｑ＝（０．０）、説明変数（Ｘ１）の値を“ｘ１＿ｋ”（出現頻度ｐ１＝３／７）、説明変数（Ｘ２）の値を“ｘ２＿ｋ”、・・・、説明変数（Ｘｎ）の値を“ｘｎ＿ｋ”とすれば、上記式（２）の各係数“ｂ０”、“ｂ１”、“ｂ２”、・・・、“ｂｎ”は、一例として下記式（２）のような行列式によって求めることができる。式（２）中、“ｉ”は、特徴量（学習データ）のエントリ“１”～“ｋ”の任意のエントリを示す。

　上記式（２）によるモデル式は、評価モデルの一例である。このモデル式の作成方法は一例であり、一般的に知られている正則化や決定木、アンサンブル学習、ニューラルネットワーク、ベイジアンネットワークなどの手法を用いて導出してもよい。

　分類は、既述のように、“０”または“１”に設定される。分類の予測値は、“０”以上“１”以下の値として設定される。評価部３０４は、この予測値に基づいて分類度を判定し、これを専門家が参照できるようにしてよい。評価部３０４は、予測値を閾値と比較し、比較結果に基づいて分類を決めてもよい。評価部３０４は、閾値を決めるために、アラート収集部３０１に基づいて、種別テーブル７００を参照し（ステップＳ８０５）、“テスト”に分類されたアラートを選択し、このテストアラートのデータ要素をログ収集テーブル６０から抽出する（ステップＳ８０６）。

　そして、評価部３０４は、既述のモデル式を用いて、テストアラートに基づいて予測値を計算する（ステップＳ８０７）。評価部３０４は、このアラートの特徴量（データ要素）の説明変数“ｘ１＿ｋ”、“ｘ２＿ｋ”、…、“ｘｎ＿ｋ”をモデル式に与えることにより、予測値“ｙ＿ｋ”を算出する。評価部３０４は、予測値の計算結果を表示部３０５に出力し（ステップＳ８０８）、表示部３０５は、その結果をディスプレイに表示して専門家が参照できるようする。その後、評価部３０５は、専門家３０６によるマニュアル操作、または、所定のルールに基づいて閾値を決定する（ステップＳ８０９）。閾値は、算出された予測値を、“０”か“１”に分類する指標である。評価部３０４は、予測値が閾値より小さければ“０”を、閾値以上であれば“１”を設定する。

　図１０は、ステップＳ８０８において、表示部３０５が、“テスト”に設定されたアラートの予測値の集計結果をディスプレイに表示している例である。出力画面１０００は、テストアラートによって予測値を表示するためのタブ１００１を有する。表示部３０５は、複数のテストアラートに基づく、予測値の分布１００２と、テストアラートに対する予測値のリスト１００３とを表示する。

　分布１００２は、ヒストグラムの形態で構成されている。件数はテストアラートの累計数であり、黒のグラフは、分類（図４、５０６）が“１”のテストアラートを示し、白のグラフは分類が“０”のテストアラートを示す。リストはテーブルの形態からなり、予測値と閾値とを比較した結果の分類と予測値とを表している。

　専門家は、図１０の分布を参照して、専門家がアラートを実際に評価する際の“分類”に対して齟齬が出ないように、すなわち、危険度が高いアラートであるものが“０”に振り分けられないように、“予測値”の閾値を決めればよい。なお、表示部３０５は、例えば、ＳＯＣのアラート管理装置１３１に情報を表示させてもよい。

　監視対象システム１００から、ＳＯＣ１３０に新規アラートが通知されると、ＳＯＣのアラート管理装置１３１は、新規発生したアラートを、アラート管理テーブル１３１Ａに登録する。さらに、ログ管理装置１３２は、アラートに関連するログをログ管理テーブル１３２Ａに登録する。

　アラート分析装置１３４の判別部３０３は所定時間毎（例えば、１分毎）にアラート管理テーブル１３１Ａを参照し、分類が付加されていなアラートを検出すると、アラートのログ情報をログ管理テーブル１３２Ａから抽出し（ステップＳ８１１）、ログ情報に基づいて、既述のモデル式を適用して、予測値を算出すべきアラートと、予測値を算出することなく、直接、専門家の分析に委ねるアラートと、を判別する（ステップＳ８１２）。判別部３０３は、前者のアラートを判別すると（ステップＳ８１３）、評価部３０４に予測値を演算させ（ステップＳ８１４）、演算結果を表示部３０５に出力する。判別部３０３は後者のアラートを判別すると（ステップＳ８２１）、表示部３０５にこの判別結果を出力する。

　表示部３０５は判別結果を表示し（ステップＳ８２２）、これを専門家が参照できるようにして、予測値が計算されないアラート（ステップＳ８２１）を専門家に通知する（ステップＳ８２３）。専門家は、このアラートについて、予測値の演算結果を待つことなく、アラートの危険度を評価して分類を決定し、これをアラート管理テーブル１３１Ａに登録すればよい。

　この判別は、例えば、新規アラートの構成が、既述の参照アラートの構成から離間されたものであるか否かによって行われる。判別部３０３は、新規アラートのデータ要素が参照アラートのデータ要素に対して、外れ値等の特異値であるか否かの判定を行う。そこで、外れ値判定について説明する。判別部３０３は、新規アラートのデータ要素毎値が、“参照”に設定された複数のアラートの同じ要素の値の範囲外であるかを順番に判定する。複数の要素の夫々について、少なくとも、一つのデータ要素において、新規アラートのデータ要素の値が参照アラートのデータ要素の値の範囲外であるとき、判別部３０５は新規アラートを外れ値として判別する。

　新規アラートのデータ要素の値が数値型である場合には、“参照”に設定されたアラートの同じ要素の最小値から最大値までの範囲から外れているかを判定する。

　“参照”に設定されたアラートの件数を“ｍ”、要素の数を“ｎ”、要素の値を“Ｖｉ”（ｉ＝１、２、…、ｎ）、“参照”に設定されたアラートの同要素の値を“Ｗｉｊ”（ｊ＝１、２、…、ｍ）とすると、
　外れ値である判定は、Ｖｉ＜ｍｉｎ（Ｗｉｊ）、ｍａｘ（Ｗｉｊ）＜Ｖｉであり、
　外れ値でない判定は、ｍｉｎ（Ｗｉｊ）≦Ｖｉ≦ｍａｘ（Ｗｉｊ）である。

　判別部３０３は、新規アラートのデータ要素が列挙型である場合には、参照アラートの同要素の値の集合を算出し、その集合が異なるかを判定する。同要素の値を“Ｗｉｊ”の集合を“ＷＩ”とすると、下記のように表すことができる。

　さらに、他の方法として、判別部３０３は、数学的手法、または統計的手法、または確率的手法、またはルールベース、または機械学習を含む手法を用いて、新規アラートが参照アラートに類似とする境界領域を算出し、新規アラートがその境界領域の外側に位置するか否かで外れ値を判定することがある。

　図１１は、参照アラートの要素に類似になる境界領域による外れ値判定の一例を示した特性図である。判別部３０３は参照アラートから要素“α１”、“α２”を抽出し、参照アラートをプロットする。要素は２軸に限らず、３軸以上でもよい。プロットした参照アラートに対して、境界領域１１００を決定する境界線を決定する。境界領域の求め方として、一般的にはクラスタリングや“ＳＶＭ”（ＳｕｐｐｏｒｔＶｅｃｔｏｒＭａｃｈｉｎｅ）などの手法を用いるが、他の数学的手法、または統計的手法、または確率的手法、またはルールベース、または機械学習を含む手法を用いてもよい。

　新規アラートのプロット１１０１がこの境界領域１１００内に含まれていれば、新規アラートは、参照アラートに類似しているとして、外れ値でないと判定される。一方、新規アラートのプロット１１０１が境界領域１１００外であれば、新規アラートは、参照アラートに類似していないとして、外れ値であると判定される。判別部３０３は、既述の２つの判別法の１つ、または、２つによって外れ値判定を行う。

　このように、新規アラートを、例えば、外れ値で判別するのは、参照アラートの属性から外れている新規アラートについて評価モデルを適用しても、評価モデルが参照アラートに基づいて学習されたものであるため、新規アラートの評価結果は、新規アラートの実質的な分類に適合したものにならないためである。

　一方、新規アラートが参照アラートから外れていても、新規アラートを専門家が直に分類し、これを参照アラートとして、評価部３０４に学習させることによって、アラートが外れ値で稀に発生したとはいえ、モデル式（評価モデル）が外れ値に適用するよう進化させることができる。

　その結果、モデル式によって得られる予測値は、監視対象システムのアラートの危険度によく対応したものになる。そもそも、監視対象システムをセキュリテイのリスクから防衛する上で、アラートが外れ値で稀なものであっても、これを軽く扱うべきではない。したがって、アラート収集部３０１は、外れ値として判別されたアラートについては、学習が進展するまで、最初からこのアラートを参照アラートとして扱う。図７の“Ａｌｅｒｔ_０１２”を参照されたい。

　図１２は、外れ値判別について、表示部３０５によって出力される画面１２００の一例である。画面１２００は、タブ１２０１に基づいて、アラートリスト１２０２を表示する。これは、表示部３０５が、予測結果と外れ値判別結果を用いて生成することによる（ステップＳ８２２）。判別部３０３は、新規アラート識別子５０１に基づいて、アラート管理テーブル１３１Ａを参照し、アラートの管理情報とともに、外れ値判別の結果と、外れ値ではないと判別されたアラートについての分類の予測値を、表示部３０５に表示させる。図１３に示すように、アラートリスト１３０２に外れ値の有無と予測値との表示とを一体化させてもよい(１３０３)。

　判別部３０３は、アラートリスト１２０２,１３０２を外れ値管理テーブルとして、アラート分析装置１３４の記憶領域の所定部分に記録してよい。アラート収集部３０１が種別テーブル７００を作成する際、外れ値管理テーブルを参照して、外れ値として判定されたアラートが参照アラートとして選択されるようにすればよい。

　監視対象システム１００の運用が開始された初期の段階では、参照アラートが少なく、外れ値となるアラートが発生し易いが、外れ値となるアラートが発生しても、これを専門家が分析して、アラートの危険度を分類した上で、アラートを参照アラートとして評価されるようにしたため、インシデントの見逃しを回避しながら、評価モデルが賢くなるように学習させることができる。

　上記開示は、代表的実施形態に関して記述されているが、当業者は、開示される主題の趣旨や範囲を逸脱することなく、形式及び細部において、様々な変更や修正が可能であることを理解するであろう。例えば、外部脅威情報データベース１３３は、故障情報データベースや、これらを含む外部情報データベースであっても良いし、アラートの危険度は、これを含むアラートの重要度であっても良いし、セキュリティオペレーションセンタ（ＳＯＣ）は、セキュリティだけでなく、故障などより広い範囲のアラートにも対応するオペレーションセンタであってもよい。

　また、前述した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えてもよい。また、ある実施形態の構成に他の実施形態の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加、削除、または置換をしてもよい。

１　監視システム１００　監視対象システム１３１　アラート管理装置１３２　ログ管理装置１３３　外部脅威情報データベース１３４　アラート分析装置３０１　アラート収集部３０２　ログ収集部３０３　判別部３０４　評価部３０５　表示部５００　アラート収集テーブル６００　ログ収集テーブル７００　種別管理テーブル９００　評価テーブル

Claims

　コンピュータが所定システムのアラートに基づいて、当該所定システムを監視する監視システムであって、
　前記コンピュータのコントローラは、メモリに記録されたプログラムを実行して、
　前記アラートに分類情報を付加し、この分類情報は、前記アラートの重要度の大小を区別するものであり、
　前記分類情報が付加されたアラートをメモリに記録し、
　当該メモリから複数のアラートを選択し、
　当該選択された複数のアラートを評価し、
　前記所定システムから発せられるアラートに前記分類情報が付加される前に当該アラートを判別し、この判別は、当該アラートを前記複数のアラートの評価結果に基づいて前記分類情報が付加される第１アラートと、当該評価結果に基づくことなく前記分類情報が付加される第２アラートとを区別するものである、
監視システム。
　請求項１に記載の監視システムであって、
　前記コントローラが前記判別を行うことは、前記メモリから選択された複数のアラートに基づいて、前記所定システムからのアラートについて外れ値を判定することを含む、
監視システム。
　請求項１に記載の監視システムであって、
　前記コントローラが前記第２アラートを判別すると、当該第２アラートを、前記メモリから選択される複数のアラートに加える、
監視システム。
　請求項１に記載の監視システムであって、
　前記コントローラが前記複数のアラートを評価することは、
　当該複数のアラート夫々について、アラートの複数のデータ要素を特定することと、
　当該複数のデータ要素夫々の前記分類情報との組み合わせに対する重みを算出することと、
　を備える、
監視システム。
　請求項１に記載の監視システムであって、
　前記コントローラは、前記複数のアラートの評価に基づいて、前記重要度の予測値を算出するためのモデルを設定する、
監視システム。
　請求項１に記載の監視システムであって、
　前記コントローラは、
　前記第２アラートをオペレーションセンタに対して表示し、
　当該第２アラートに、当該オペレーションセンタによって、前記分類情報が設定されるようにした、
監視システム。
　請求項２に記載の監視システムであって、
　前記コントローラは、前記所定システムからのアラートのデータ要素に基づいて、前記外れ値を判定する、
監視システム。
　請求項７に記載の監視システムであって、
　前記データ要素は、前記アラートが発生することの所定時間前に前記所定システムで検出されたログであり、前記コントローラは、当該ログの値の範囲に基づいて前記外れ値判定を実行する、
監視システム。
　コンピュータが所定システムのアラートに基づいて、当該所定システムを監視する方法であって、
　前記コンピュータは、
　オペレーションセンタの対策者に対して、前記アラートに分類情報を付加させ、この分類情報は、前記アラートの重要度の大小を区別するものであり、
　夫々に、前記分類情報が付加された複数のアラートを選択し、
　当該選択された複数のアラートを評価し、
　前記所定システムから発せられるアラートに前記分類情報が付加される前に当該アラートを判別し、この判別は、当該アラートを前記複数のアラートの評価結果に基づいて前記分類情報を付加する第１アラートと、当該評価結果に基づくことなく前記分類情報を付加する第２アラートとを区別するものである、
　前記方法。