WO2021009870A1

WO2021009870A1 - 分析システム、方法およびプログラム

Info

Publication number: WO2021009870A1
Application number: PCT/JP2019/028085
Authority: WO
Inventors: 峻一木下
Original assignee: 日本電気株式会社
Priority date: 2019-07-17
Filing date: 2019-07-17
Publication date: 2021-01-21
Also published as: JPWO2021009870A1; JP7283545B2; US20220279007A1

Abstract

分析システム２０は、診断対象システムに含まれる機器をスキャンして機器の構成情報を収集するエージェントから構成情報を取得する構成情報取得部２１と、構成情報を基に、診断対象システムまたは機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成する生成部２２と、１つ以上の初期ファクトを基に、診断対象システムにおいて実行可能な攻撃の流れを分析する分析部２３とを備える。

Description

分析システム、方法およびプログラム

　本発明は、診断対象システムへの攻撃に対する対処に関する判断材料となる情報を分析する分析システム、分析方法および分析プログラムに関する。

　複数のコンピュータ等を含む情報処理システムにおいて、情報資産をサイバー攻撃等から守るためのセキュリティ対策をとることが求められている。セキュリティ対策としては、対象となるシステムの脆弱性等を診断し、必要に応じて脆弱性を取り除くこと等が挙げられる。

　セキュリティ診断の対象となるシステムを、診断対象システムと記す。非特許文献１～２には、診断対象システムに対してセキュリティに関する対策をとるために、各脆弱性による影響を評価する資産管理システムがそれぞれ記載されている。

　非特許文献１～２に記載されている資産管理システムは、診断対象システムをスキャンすることによって、診断対象システムに含まれる機器の情報を取得する。そして、非特許文献１～２に記載されている資産管理システムは、取得された情報を用いて、各機器のセキュリティに関する状況を管理する。

"NEC Cyber Security Platform "、[online]、日本電気株式会社、[ 平成31年 2月28日検索] 、インターネット<https://jpn.nec.com/ncsp/kinou.html> "SKYSEA Client View"、[online]、Sky 株式会社、[ 平成31年 2月28日検索] 、インターネット<https://www.skyseaclientview.net/product/function/res/>

　非特許文献１～２に記載されているように、診断対象システムに含まれる各機器がスキャンされ各機器のセキュリティに関する情報が収集されることによって、機器の各々における脆弱性や、各機器に対して実行される可能性がある攻撃の有無等が特定される。しかしながら、機器毎にセキュリティ上の問題が特定される場合、特定されるセキュリティ上の問題が診断対象システム全体に及ぼす影響が把握されない可能性がある。

　そこで、本発明は、診断対象システム全体の構成が考慮されたセキュリティ上の問題を分析できる分析システム、分析方法および分析プログラムを提供することを主たる目的とする。

　本発明による分析システムは、診断対象システムに含まれる機器をスキャンして機器の構成情報を収集するエージェントから構成情報を取得する構成情報取得部と、構成情報を基に、診断対象システムまたは機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成する生成部と、１つ以上の初期ファクトを基に、診断対象システムにおいて実行可能な攻撃の流れを分析する分析部とを備えることを特徴とする。

　本発明による分析方法は、診断対象システムに含まれる機器をスキャンして機器の構成情報を収集するエージェントから構成情報を取得し、構成情報を基に、診断対象システムまたは機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成し、１つ以上の初期ファクトを基に、診断対象システムにおいて実行可能な攻撃の流れを分析することを特徴とする。

　本発明による分析プログラムは、コンピュータに、診断対象システムに含まれる機器をスキャンして機器の構成情報を収集するエージェントから構成情報を取得する取得処理、構成情報を基に、診断対象システムまたは機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成する生成処理、および１つ以上の初期ファクトを基に、診断対象システムにおいて実行可能な攻撃の流れを分析する分析処理を実行させることを特徴とする。

　本発明によれば、診断対象システム全体の構成が考慮されたセキュリティ上の問題を分析できる。

本発明の第１の実施形態の分析サーバの構成例を示すブロック図である。ファクト生成部１２２により生成される初期ファクトの例を示す説明図である。分析部１２３により生成される攻撃グラフの例を示す説明図である。第１の実施形態の分析サーバ１００による攻撃グラフ表示処理の動作を示すフローチャートである。本発明の第２の実施形態の構成管理サーバと分析サーバの使用例を示す説明図である。本発明の第２の実施形態の構成管理サーバと分析サーバの各構成例を示すブロック図である。第２の実施形態の構成管理サーバ５００および分析サーバ６００による対策指示処理の動作を示すフローチャートである。本発明の第２の実施形態の分析サーバの他の構成例を示すブロック図である。本発明によるサーバのハードウェア構成例を示す説明図である。本発明による分析システムの概要を示すブロック図である。

　以下、本発明の実施形態を図面を参照して説明する。

第１の実施形態．
　図１は、本発明の第１の実施形態の分析サーバの構成例を示すブロック図である。第１の実施形態の分析サーバ１００は、サーバ通信部１１０と、サーバ演算部１２０と、記憶部１３０と、表示部１４０とを備える。

　本実施形態における分析サーバ１００は、診断対象システムのセキュリティに関する状況を分析するためのシステムである。以下の各実施形態において、診断対象システムは、主に企業内のIT(Information Technology)システムであることを想定する。すなわち、診断対象システムでは、複数の機器が通信ネットワークを介して接続されている。なお、診断対象システムは上記の例に限られず、例えば、OT(Operational Technology)システムを制御するためのシステムでもよい。

　診断対象システムに含まれる機器として、パーソナルコンピュータ、サーバ、スイッチ、ルータ等が挙げられる。ただし、診断対象システムに含まれる機器は、これらの例に限定されない。診断対象システムには、通信ネットワークに接続される他の種類の機器も含まれる。また、診断対象システムに含まれる機器は、物理的な機器であっても、仮想的な機器であってもよい。

　図１に示す機器２１０、２２０は、診断対象システムに含まれる機器の一例である。診断対象システムに含まれる機器の数は、図１に示す例に限られず、特に限定されない。また、分析サーバ１００は、診断対象システムに含まれる機器の一つであってもよい。また、分析サーバ１００は、クラウドコンピューティングのような形態で診断対象システムの外部に設けられ、通信ネットワークを介して診断対象システムと接続されてもよい。

　機器２１０は、機器演算部２１１と、機器通信部２１３とを備える。また、機器演算部２１１は、エージェント２１２を含む。機器演算部２１１は、機器２１０にて必要な処理を実行する機能を有する。機器演算部２１１は、例えばCPU(Central Processing Unit)で実現される。エージェント２１２の機能は、後述する。

　なお、以下の説明では、説明の都合上、機器２２０は機器２１０と同等の機能を有することを想定する。すなわち、機器２２０が備える機器演算部２２１、エージェント２２２、および機器通信部２２３は、それぞれ、機器２１０が備える機器演算部２１１、エージェント２１２、および機器通信部２１３と同等の機能を有する。

　本実施形態の分析サーバ１００は、後述するように、各機器にインストールされたエージェントからそれぞれ構成情報を取得し、取得された各構成情報を攻撃の分析に用いる。

　続いて、分析サーバ１００の各要素を説明する。図１に示すように、サーバ演算部１２０は、構成情報取得部１２１と、ファクト生成部１２２と、分析部１２３と、出力部１２４とを含む。また、記憶部１３０は、構成情報記憶部１３１と、初期ファクト記憶部１３２と、分析結果記憶部１３３とを含む。

　サーバ通信部１１０は、通信ネットワーク３００を介して機器２１０、２２０それぞれと通信を行う機能を有する。

　構成情報取得部１２１は、サーバ通信部１１０を介して機器２１０、２２０内のエージェント２１２、２２２の各々が収集した各機器の構成情報を取得する。

　エージェント２１２、２２２は、一例として、予め定められたタイミングで機器２１０、２２０の各構成情報を収集し、収集された構成情報を構成情報取得部１２１に送信する。予め定められたタイミングには、毎日の予め定められた時刻や、機器の起動時等が含まれる。また、予め定められたタイミングには、その他のタイミングが含まれてもよい。

　エージェント２１２、２２２が各構成情報を収集するタイミングや間隔は、診断対象システムの規模や機器２１０の具体的な機能等に応じて適宜定められればよい。また、そのように定められたタイミング以外のその他のタイミングで、エージェント２１２、２２２が機器２１０、２２０の各構成情報を収集してもよい。

　また、構成情報取得部１２１は、機器２１０、２２０の各構成情報を収集するようにエージェント２１２、２２２それぞれに指示してもよい。エージェント２２１、２２２は、指示に応じて機器２１０、２２０の各構成情報を収集してもよい。

　さらに、各構成情報を収集するタイミングと、収集された構成情報を構成情報取得部１２１に送信するタイミングは異なっていてもよい。例えば、モバイル端末のように機器２１０、２２０が通信ネットワーク３００と常には接続されない機器である場合、エージェント２１１、２２２は、上述したようなタイミングで各構成情報を収集しておく。その後、機器２１０、２２０が通信ネットワーク３００に接続されたときに、エージェント２１１、２２２は、収集された各構成情報を構成情報取得部１２１に送信するようにしてもよい。

　次に、エージェント２１２の機能を説明する。エージェント２１２は、機器２１０内をスキャンすることによって、機器２１０の構成情報を収集する。エージェント２１２は、ソフトウェアで実現されてもよい。ソフトウェアで実現される場合、機器演算部２１１（例えばCPU ）がエージェント２１２を実現するソフトウェアに従って動作することで、所望の機能が実現される。ここでは便宜的に、エージェント２１２を実現するソフトウェアに従う機器演算部２１１の動作をエージェント２１２の動作として説明する。

　エージェント２１２が収集する構成情報は、機器２１０に搭載されているOS(Operating System)およびOSのバージョン、機器２１０に搭載されているハードウェアの構成情報、機器２１０に搭載されているソフトウェア、ソフトウェアのバージョンおよびソフトウェアの設定等である。

　また、エージェント２１２が収集する構成情報には、ユーザアカウントおよびアカウント権限、接続しているネットワークやIP(Internet Protocol) アドレス、機器２１０と通信可能に接続されている機器や通信を行っている通信先の機器および通信内容、およびCPU の機種が含まれてもよい。

　さらに、エージェント２１２が収集する構成情報には、機器２１０の通信先の機器との間で授受する通信データやその通信データの授受に用いられた通信プロトコルの情報、機器２１０のポートの状態を示す情報（どのポートが開いているか）が含まれてもよい。なお、通信データには、例えばその通信データの送信元や送信先の情報が含まれている。

　なお、エージェント２１２が収集する構成情報の例は、上記の例に限定されない。エージェント２１２は、機器２１０の構成情報として、各機器において実行可能な攻撃を分析するために必要となる他の情報を収集してもよい。エージェント２１２は、収集された構成情報を、機器通信部２１３を介して分析サーバ１００に送信する。なお、エージェント２２２も同様にして同種の構成情報を収集し、機器通信部２２３を介して分析サーバ１００に構成情報を送信する。

　機器通信部２１３は、通信ネットワーク３００を介して分析サーバ１００と通信を行う機能を有する。機器通信部２１３は、エージェント２１２から入力された構成情報を、分析サーバ１００に送信する。

　サーバ通信部１１０は、機器２１０、２２０それぞれから送信された各構成情報を受信する。サーバ通信部１１０は、受信された各構成情報を構成情報取得部１２１に入力する。

　構成情報取得部１２１は、入力された各構成情報を、構成情報記憶部１３１に格納する。構成情報記憶部１３１は、構成情報を記憶する機能を有する。なお、構成情報記憶部１３１が記憶する構成情報は、構成情報取得部１２１から入力される情報に限られない。例えば、構成情報記憶部１３１には、エージェント２１２の機能を有さない、図示しない機器の情報が予め格納されていてもよい。

　図１に示すように、構成情報取得部１２１および構成情報記憶部１３１が、上述した診断対象システムの構成を管理する構成管理部に相当する。構成管理部における機器の情報を取得する機能は、非特許文献１等に記載されている資産管理システムが有する機器の情報を取得する機能と類似する機能である。

　ファクト生成部１２２は、構成情報記憶部１３１に記憶されている構成情報を参照して、１つ以上の初期ファクトを生成する機能を有する。本実施形態において、初期ファクトは、診断対象システムまたは診断対象システムに含まれる機器における主にセキュリティに関連する状態であって、後述する分析部１２３により参照可能な形式で記述された状態を指す。

　図２は、ファクト生成部１２２により生成される初期ファクトの例を示す説明図である。図２（ａ）は、本例において想定する診断対象システムを示す。

　図２（ａ）に示すように、本例における診断対象システムは、機器Ａと、機器Ｂと、機器Ｃとを含むことを想定する。機器Ａと機器Ｃは、インターネットに接続されている。また、機器Ｂは、機器Ａと機器Ｃにネットワークを介して接続されている。機器Ａ、機器Ｂ、機器Ｃのそれぞれは、図１に示す機器２１０、２２０に相当する。

　構成情報取得部１２１は、機器Ａ、Ｂ、Ｃの各々にインストールされたエージェントが収集した構成情報をそれぞれの機器から取得する。次いで、構成情報取得部１２１は、取得された各構成情報を構成情報記憶部１３１に格納する。ファクト生成部１２２は、構成情報記憶部１３１に記憶されている各機器に関する構成情報を用いて初期ファクトを生成する。

　ファクト生成部１２２は、例えば、ある機器にインストールされているOSおよびOSのバージョンを構成情報から参照して、対象の機器に参照されたバージョンのOSがインストールされている、という状況を表す初期ファクトを生成する。

　同様に、ファクト生成部１２２は、ある機器にインストールされているあるソフトウェアおよびソフトウェアのバージョンを構成情報から参照して、対象の機器に参照されたバージョンのソフトウェアがインストールされている、という状況を表す初期ファクトを生成してもよい。

　または、ファクト生成部１２２は、ある第一の機器と通信可能に接続されている第二の機器を構成情報から参照して、第一の機器と第二の機器が通信可能に接続されている、という状況を表す初期ファクトを生成してもよい。

　なお、ファクト生成部１２２が生成する初期ファクトは、上記の例に限られない。ファクト生成部１２２は、構成情報に含まれる任意の情報を初期ファクトとして生成してもよい。

　図２（ｂ）は、上述した診断対象システムに関して、ファクト生成部１２２が生成する初期ファクトの例を示す。図２（ｂ）に示す例では、角丸四角形で表される要素の各々が、一つの初期ファクトを表す。

　図２（ｂ）に示すように、ファクト生成部１２２は、初期ファクトとして、「機器Ａがインターネットに接続されている」、「機器ＡにソフトウェアＸがインストールされている」等を生成している。なお、生成される初期ファクトは、図２（ｂ）に示す例に限られず、診断対象システムまたは各機器に応じて適宜生成されればよい。

　ファクト生成部１２２は、生成された１つ以上の初期ファクトを、初期ファクト記憶部１３２に格納する。初期ファクト記憶部１３２は、初期ファクトを記憶する機能を有する。

　分析部１２３は、記憶されている１つ以上の初期ファクトを基に、攻撃グラフを生成する機能を有する。図３は、分析部１２３により生成される攻撃グラフの例を示す説明図である。

　本実施形態における攻撃グラフは、診断対象システムにおいて実行可能な攻撃の流れを表すことができるグラフである。すなわち、攻撃グラフは、診断対象システムにおける、ある機器の脆弱性の有無等の状態や、ある機器において実行可能な攻撃から他の機器において実行可能になる攻撃の関係を表すことができる。

　攻撃グラフは、ファクトをノードとし、ファクト間の関係をエッジとする有向グラフとして表される。有向グラフとして表される攻撃グラフにおいて、ファクトは、上述した初期ファクトであるか、または診断対象システムに含まれる各機器において実行可能な攻撃を表すファクトである。分析部１２３が攻撃グラフを生成することによって、診断対象システムにおいて発生する可能性がある攻撃が分析可能になる。

　生成される攻撃グラフが用いられると、初期ファクトから攻撃の可能性を表すファクトまでの一連の流れを表す攻撃パスが導出可能になる。そして、攻撃パスが用いられると、診断対象システムにおける攻撃の流れや、優先的に対策が求められる機器等、個々の機器をスキャンして脆弱性情報を得るだけでは判断することが困難なセキュリティ上の事象が分析可能になる。

　分析部１２３は、一例として、１つ以上の初期ファクトを基に、分析ルールを用いて攻撃グラフを生成する。分析ルールは、１つ以上のファクトから別のファクトを導き出すためのルールである。分析ルールは、分析サーバ１００に予め定められている。

　分析部１２３は、初期ファクトで表されるセキュリティに関連した状態が、分析ルールが示す条件にマッチするか否かを判断する。分析ルールが示す全ての条件に初期ファクトがマッチする場合、分析部１２３は、新たなファクトを導き出す。新たなファクトは、例えば、診断対象システムに含まれる各機器で実行可能な攻撃の内容を表す。

　攻撃が可能であることを表す新たなファクトが導出されることは、診断対象システムに含まれる機器が、新たなファクトの導出に用いられた初期ファクトで表される状態である場合に導出された新たなファクトで表される攻撃が実行可能であることを示している。換言すると、新たなファクトの導出に用いられたファクトは、新たなファクトで表される攻撃が実行可能になるための前提条件である。

　また、ある攻撃が実行可能であることを起因として、別の攻撃が実行可能になる場合がある。その場合、分析部１２３は、初期ファクトに加えて、上述したように新たに導出されたファクトを前提条件として、分析ルールを用いて新たなファクトの導出を繰り返し実行する。

　新たなファクトの導出は、例えば新たなファクトが導出されなくなるまで繰り返し実行される。新たなファクトの導出と共に、分析部１２３は、初期ファクトまたは新たなファクトをノードとし、新たなファクトの前提である初期ファクトを含むファクトから新たなファクトまでをエッジで接続することによって攻撃グラフを生成する。

　以下、分析部１２３による攻撃グラフの生成例を、図３を参照して具体的に説明する。診断対象システムにおいて、図３に示す初期ファクトが生成されていることを想定する。また、「ある機器がインターネットに接続されている」かつ「インターネットに接続されている機器のOSにリモートコード実行可能な脆弱性が存在する」場合に、「攻撃者がインターネットに接続されている機器上でコードを実行可能である」という関係が分析ルールとして予め定められていると想定する。

　図３を参照すると、初期ファクトから、機器Ａに関して上記の分析ルールの条件が全て満たされることが分かる。よって、分析部１２３は、「攻撃者が機器Ａにおいてコード実行可能」という新たなファクトを導出する。

　また、分析部１２３は、初期ファクトから導出された新たなファクトまでの攻撃パスを表す攻撃グラフを生成する。具体的には、分析部１２３は、２つの初期ファクトそれぞれから実行可能な攻撃を表すファクトへ向かうエッジで、２つの初期ファクトそれぞれと攻撃を表すファクトとを接続する。

　次に、攻撃が実行可能になったために別の攻撃が実行可能になる場合の分析部１２３による攻撃グラフの生成例を説明する。

　図３に示す例で、初期ファクト、および「攻撃者が機器Ａにおいてコード実行可能」というファクトが生成されていることを想定する。また、「ある第一の機器にインストールされているソフトウェアＹにリモートコード実行可能な脆弱性が存在」かつ、「第一の機器と第二の機器が通信可能に接続されている」かつ、「攻撃者が第二の機器においてコード実行可能」である場合、「攻撃者が第一の機器においてコード実行可能」という関係が分析ルールとして予め定められていると想定する。

　図３を参照すると、診断対象システムにおいて、初期ファクトから、「機器ＢにインストールされているソフトウェアＹにリモートコード実行可能な脆弱性が存在」、「機器Ａと機器Ｂが通信可能に接続されている」ことが分かる。また、上述したように「攻撃者が機器Ａにおいてコード実行可能」なことが導き出されている。すなわち、分析ルールに含まれる条件が全て満たされることが分かる。換言すると、「攻撃者が機器Ｂにおいてコード実行可能」であることが分かる。

　よって、分析部１２３は、「攻撃者が機器Ｂにおいてコード実行可能」という新たなファクトを導出する。また、分析部１２３は、初期ファクトから導出された新たなファクトまでの攻撃パスを表す攻撃グラフを生成する。

　具体的には、分析部１２３は、２つの初期ファクトそれぞれと、「攻撃者が機器Ａにおいてコード実行可能」というファクトから実行可能な攻撃を表すファクトへ向かうエッジで、３つのファクトそれぞれと攻撃を表すファクトとを接続する。

　以上の処理により、図３に示す攻撃グラフが生成される。すなわち、初期ファクトから「攻撃者が機器Ｂにおいてコード実行可能」までの一連の流れが攻撃パスとして表される。

　なお、分析部１２３が攻撃グラフを生成する手順は、上述した手順に限られない。分析部１２３は、上述した手順以外の手順に従って、初期ファクトを基に攻撃グラフを生成してもよい。また、分析部１２３は、初期ファクトから診断対象システムにおいて実行可能な攻撃または攻撃の流れを求めるための上記の手法以外の別の手法を用いて分析してもよい。

　なお、診断対象システムによっては、分析部１２３が攻撃パスを含む攻撃グラフを生成できない場合が想定される。例えば、診断対象システムの各機器に対して十分なセキュリティ対策が実行されており、攻撃が実行可能となる前提を表す初期ファクトが存在しない場合、意味のある攻撃パスを含むような攻撃グラフが生成されないことが想定される。

　以上のような手順に従って、分析部１２３は、攻撃グラフを生成する。分析部１２３は、生成された攻撃グラフを示す情報を分析結果記憶部１３３に格納する。分析結果記憶部１３３は、攻撃グラフを示す情報を記憶する機能を有する。

　出力部１２４は、分析結果記憶部１３３に記憶されている攻撃グラフの情報や、診断対象システムにおけるセキュリティの分析に関して必要なその他の情報を必要に応じて表示部１４０に出力する機能を有する。また、表示部１４０は、出力部１２４から出力された攻撃グラフ等の情報を表示する機能を有する。

　なお、表示部１４０は、診断対象システムとなる企業内のITシステムの管理者が参照するディスプレイ等でもよい。また、表示部１４０は、出力部１２４とネットワークを介して接続される他の機器等でもよい。

　図１に示すように、ファクト生成部１２２、分析部１２３、出力部１２４、初期ファクト記憶部１３２、および分析結果記憶部１３３は、初期ファクトから、診断対象システムにおいて発生する可能性がある攻撃や攻撃への対策を分析するために使用可能な攻撃グラフを生成する攻撃グラフ分析部に相当する。

［動作の説明］
　以下、図４を参照して、本実施形態の分析サーバ１００の攻撃グラフを表示する動作を説明する。図４は、第１の実施形態の分析サーバ１００による攻撃グラフ表示処理の動作を示すフローチャートである。

　最初に、構成情報取得部１２１は、機器２１０、２２０の各構成情報を収集するようにエージェント２１２、２２２それぞれに指示する（ステップS101）。なお、ステップS101の処理は、省略されてもよい。

　次いで、エージェント２１２、２２２は、機器２１０、２２０内をそれぞれスキャンすることによって、各構成情報をそれぞれ収集する（ステップS102）。次いで、機器通信部２１３、２２３は、収集された各構成情報を分析サーバ１００にそれぞれ送信する（ステップS103）。

　サーバ通信部１１０は、送信された各構成情報を受信し、受信された各構成情報を構成情報取得部１２１に入力する。次いで、構成情報取得部１２１は、入力された各構成情報を構成情報記憶部１３１に格納する（ステップS104）。

　次いで、ファクト生成部１２２は、構成情報記憶部１３１に記憶されている構成情報を参照して、初期ファクトを生成する（ステップS105）。次いで、ファクト生成部１２２は、生成された初期ファクトを、初期ファクト記憶部１３２に格納する（ステップS106）。

　次いで、分析部１２３は、初期ファクト記憶部１３２に記憶されている初期ファクトを基に、攻撃グラフを生成する（ステップS107）。次いで、分析部１２３は、生成された攻撃グラフを、分析結果記憶部１３３に格納する（ステップS108）。

　次いで、出力部１２４は、分析結果記憶部１３３に記憶されている攻撃グラフを表示部１４０に表示する（ステップS109）。攻撃グラフを表示した後、分析サーバ１００は、攻撃グラフ表示処理を終了する。

［効果の説明］
　本実施形態の分析サーバ１００は、構成管理部の各要素がエージェントを用いて収集した情報から得られた初期ファクトに基づいて、攻撃グラフを生成する。攻撃グラフや、攻撃グラフに含まれる攻撃パスを用いることによって、分析サーバ１００は、診断対象システムに含まれる機器において攻撃が行われる可能性や、攻撃が行われる場合に他の機器で発生する可能性がある別の攻撃の有無等を分析できる。よって、本実施形態の分析サーバ１００は、診断対象システム全体の構成が考慮されたセキュリティ上の問題を分析できる。

　診断対象システムが企業のITシステムである場合、システムやシステムに含まれる機器の状態が頻繁に変わることが多い。例えば、新たな機器が診断対象システムであるネットワークに接続されることや、システムに含まれる機器ソフトウェアのインストールやアップデートが行われることによって、システムの状態が変わる可能性がある。

　本実施形態の分析サーバ１００は、機器に搭載されたエージェントが機器をスキャンすることによって収集された情報を用いて、現実の診断対象システムの状態に即した攻撃グラフを生成できる。よって、本実施形態の分析サーバ１００は、現実の診断対象システムの状態と乖離することなく、実際に発生する可能性がある攻撃を分析できる。

　なお、第１の実施形態の変形例として、以下に説明する例が考えられる。

　上述したように、分析サーバ１００の構成管理部における機器の情報を取得する機能は、非特許文献１に記載されている資産管理システム等が有する機器の情報を取得する機能に類似する機能である。よって、診断対象システムにおいて資産管理システムが運用されている場合、分析サーバ１００の構成管理部に含まれる各要素は、資産管理システムが有する機器の情報を取得する機能を、資産管理システムと共有してもよい。

　機器の情報を取得する機能を資産管理システムと共有する場合、分析サーバ１００は、構成管理部に含まれる要素を備えなくてもよい。そして、分析サーバ１００は、各機器のエージェントが各機器をスキャンすることによって資産管理システムが収集した機器の情報を、資産管理システムから取得してもよい。

第２の実施形態．
　図５は、本発明の第２の実施形態の構成管理サーバと分析サーバの使用例を示す説明図である。図５に示す社内ネットワークである通信ネットワーク３００は、例えば企業内のITシステムであり、本実施形態における診断対象システムの一例である。そして、本実施形態の構成管理サーバ５００および分析サーバ６００が、通信ネットワーク３００に接続されている。

　なお、通信ネットワーク３００に接続される機器の数は特に制限されず、数千台以上の機器が接続されていてもよい。図５は、複数の機器が接続されている場合を一例として示している。

　また、図５に示すように、社内ネットワークは、インターネットを介してインテリジェンス配信サーバ４００と通信可能に接続されている。なお、社内ネットワークとインターネットとは、ゲートウェイ（図５に示すGW）で接続されている。

　インテリジェンス配信サーバ４００は、脆弱性の種類、脆弱性の内容、および脆弱性への対策方法等を示すインテリジェンス情報を配信する機能を有する。インテリジェンス配信サーバ４００は、例えば、上述した脆弱性の情報や新しく発見された脆弱性、悪用が流行している脆弱性を示すインテリジェンス情報を配信する。

　なお、脆弱性はソフトウェアの特定のバージョンに存在する場合があるため、インテリジェンス情報は、脆弱性が存在しないバージョンへの更新を利用者に促すことを示す情報でもよい。

　また、ソフトウェアに脆弱性が存在する場合であっても、脆弱性の悪用は、特定の設定が行われているときのみ可能である場合がある。そのような場合のインテリジェンス情報は、脆弱性の悪用が不可能な設定への変更を利用者に促すことを示す情報でもよい。

　なお、図５に示す例と異なる使用例も考えられる。例えば、構成管理サーバ５００と分析サーバ６００のいずれか一方または両方は、社内ネットワークの外部に設けられ、GWを介して社内ネットワークと接続されてもよい。

　また、インテリジェンス配信サーバ４００は、社内ネットワークの内部に設けられていてもよい。また、社内ネットワークは、さらに複数のセグメントに分割されていてもよい。構成管理サーバ５００、分析サーバ６００、およびインテリジェンス配信サーバ４００の各々のネットワーク上の配置は、種々想定される。

　以下、構成管理サーバ５００および分析サーバ６００の構成、動作をそれぞれ説明する。図６は、本発明の第２の実施形態の構成管理サーバと分析サーバの各構成例を示すブロック図である。図６に示すように、第２の実施形態の構成管理サーバ５００は、第１サーバ通信部５１０と、第１サーバ演算部５２０と、第１記憶部５３０とを備える。

　また、図６に示すように、第１サーバ演算部５２０は、インテリジェンス情報収集部５２１と、構成情報取得部５２２と、対策指示部５２３とを含む。また、第１記憶部５３０は、インテリジェンス情報記憶部５３１と、構成情報記憶部５３２とを含む。

　なお、第１の実施形態と同様に、機器２１０、２２０は、診断対象システムである図５に示す社内ネットワークに含まれる機器の一例である。第１の実施形態と同様に、診断対象システムに含まれる機器の数は、図６に示す例に限られず、特に限定されない。

　第１サーバ通信部５１０は、通信ネットワーク３００を介して機器２１０、２２０と、インテリジェンス配信サーバ４００と、分析サーバ６００とそれぞれ通信を行う機能を有する。

　インテリジェンス情報収集部５２１は、インテリジェンス配信サーバ４００から配信されたインテリジェンス情報を、第１サーバ通信部５１０を介して取得する機能を有する。

　インテリジェンス情報収集部５２１は、取得されたインテリジェンス情報を、インテリジェンス情報記憶部５３１に格納する。インテリジェンス情報記憶部５３１は、インテリジェンス情報を記憶する機能を有する。なお、インテリジェンス情報収集部５２１およびインテリジェンス情報記憶部５３１は、構成管理サーバ５００に含まれていなくてもよい。

　対策指示部５２３は、後述する対策計画部６２４が定めた対策を実行するように、エージェント２１２、２２２に指示する機能を有する。対策指示部５２３は、エージェント２１２、２２２に対して、それぞれの機器の状況に応じた対策を送信する。

　対策は、例えば「指定されたパッチの適用」、「設定の変更」、「脆弱性が解消されたバージョンへのソフトウェアの更新」、「ファイアウォールの設定」である。

　対策を行うように指示が送信されると、エージェント２１２、２２２は、例えば共に送信された対策を自動で実行する。また、エージェント２１２、２２２は、各機器の利用者が把握できるように、送信された対策の内容をポップアップ等の形式で機器２１０または機器２２０が備えるディスプレイに表示させること等によって、機器の利用者に提示してもよい。また、送信された対策は、自動で実行されてもよいし、対策を提示された機器の利用者により手動で実行されてもよい。

　構成情報取得部５２２、および構成情報記憶部５３２は、第１の実施形態で説明された構成情報取得部１２１、および構成情報記憶部１３１のそれぞれと実質的に同等の機能を有する。

　また、図６に示すように、第２の実施形態の分析サーバ６００は、第２サーバ通信部６１０と、第２サーバ演算部６２０と、第２記憶部６３０と、表示部６４０とを備える。

　また、図６に示すように、第２サーバ演算部６２０は、ファクト生成部６２１と、分析部６２２と、出力部６２３と、対策計画部６２４とを含む。また、第２記憶部６３０は、初期ファクト記憶部６３１と、分析結果記憶部６３２とを含む。

　第２サーバ通信部６１０は、通信ネットワーク３００を介して構成管理サーバ５００と通信を行う機能を有する。

　分析部６２２、初期ファクト記憶部６３１、および分析結果記憶部６３２は、第１の実施形態の分析部１２３、初期ファクト記憶部１３２、および分析結果記憶部１３３とそれぞれ実質的に同等の機能を有する。

　ファクト生成部６２１は、第２サーバ通信部６１０を介して構成管理サーバ５００の構成情報記憶部５３２に記憶されている構成情報を参照し、１つ以上の初期ファクトを生成する機能を有する。さらに、ファクト生成部６２１は、インテリジェンス情報記憶部５３１に記憶されているインテリジェンス情報を参照して初期ファクトを生成してもよい。ファクト生成部６２１は、第１の実施形態のファクト生成部１２２と同様に１つ以上の初期ファクトを生成する。

　対策計画部６２４は、導出された攻撃グラフを用いて、診断対象システムにおけるセキュリティ対策を計画する。対策計画部６２４は、構成管理サーバ５００のインテリジェンス情報記憶部５３１に格納されたインテリジェンス情報を用いて対策を計画してもよい。

　攻撃パスにおいて、ある攻撃が実行可能である場合、実行可能な攻撃の前提となるファクトが解消されると攻撃の実行可能性が解消される可能性がある。すなわち、攻撃パスに含まれるファクトに関連する機器の構成が改められると、攻撃の可能性が解消される可能性がある。そこで、対策計画部６２４は、攻撃パスに含まれるファクトと関連する機器の構成を改めるようにセキュリティ対策を計画する。

　以下、図３に示す例を想定する。図３に示す例では、「攻撃達成に寄与するファクト」として表された初期ファクトの全てが存在することによって、「攻撃者が機器Ｂにおいてコード実行可能」という攻撃が実行可能になっている。換言すると、「攻撃達成に寄与するファクト」として表された初期ファクトのいずれかが存在しないと、「攻撃者が機器Ｂにおいてコード実行可能」という攻撃が実行される可能性が解消する。

　そこで、対策計画部６２４は、「攻撃者が機器Ｂにおいてコード実行可能」という攻撃を解消するためのセキュリティ対策として、「攻撃達成に寄与するファクト」として表された初期ファクトと関連する構成の１つ以上を改めるようなセキュリティ対策を計画する。すなわち、対策計画部６２４は、一例として、「機器Ａのインターネット接続を遮断」、「機器Ａのリモートコード実行可能な脆弱性を解消」、「機器Ａと機器Ｂとの間の通信を遮断」、「機器Ｂにインストールされたソフトウェアの脆弱性を解消」等の対策のうちの１つ以上の対策を行うというセキュリティ対策を計画する。

　上記のように、攻撃パスを用いて対策を計画することによって、対策計画部６２４は、診断対象システムにおいて実行可能な攻撃を防ぐための適切な対策を計画できる。

　なお、対策計画部６２４は、攻撃パスに含まれるファクトと関連する構成の全てを改めるようにセキュリティ対策を計画してもよいし、攻撃パスに含まれるファクトと関連する構成のうちの一部の構成を優先して改めるようにセキュリティ対策を計画してもよい。「一部の構成を優先して改める」とは、例えば、対象の構成を他の構成より先に改める、または対象の構成のみを改めることを意味する。

　対策計画部６２４が攻撃パスに含まれるファクトと関連する構成のうちの一部の構成を改めるようにセキュリティ対策を計画する際、選択される構成は、種々想定される。

　例えば、対策計画部６２４は、より多くの攻撃パスに含まれるファクトと関連する機器の構成を優先的に改めるように対策を計画してもよい。また、対策計画部６２４は、インテリジェンス情報記憶部５３１に格納されたインテリジェンス情報を適宜参照し、緊急性が高い脆弱性を解消するようにセキュリティ対策を計画してもよい。

　また、対策計画部６２４は、重要な機器に関連する攻撃パスに含まれる構成を優先的に改めるように対策を計画してもよい。

　例えば、攻撃パスに含まれるファクトと関連する機器が、企業の機密情報を保持するサーバである場合等のように、何らかの基準で重要な機器であることを想定する。重要な機器である場合、対策計画部６２４は、攻撃パスに含まれるファクトと関連する構成を、他の構成よりも優先的に改めるようなセキュリティ対策を計画する。

　また、対策計画部６２４は、実行が容易な対策を優先的に行うようなセキュリティ対策を計画してもよい。

　図３に示す例で、機器Ｂが連続的に稼働する重要なサーバであり、ソフトウェアの更新が困難であるが、機器Ａとの通信は必要ない機器であると想定する。また、構成情報として、上記の情報が収集されていると想定する。

　上記の場合、対策計画部６２４は、例えば、「機器Ａと機器Ｂとの通信を遮断する」というセキュリティ対策を計画する。

　また、機器Ａと機器Ｂの通信の要否が不明である場合、通信の要否を調査する必要があるため、機器Ａと機器Ｂとの通信の遮断を容易に実行することは困難である。通信の要否が不明である場合、対策計画部６２４は、例えば「機器Ａのリモートコード実行可能な脆弱性を解消」という対策を選択してもよい。

　または、対策計画部６２４は、エージェント２１２、２２２による実行が容易な対策を優先的に選択するようにセキュリティ対策を計画してもよい。

　例えば、OSやソフトウェアの脆弱性の解消は、エージェントによる実行が容易な対策である。しかし、接続するネットワークの変更は、ハードウェア構成の変更を含むシステム全体の改修を伴う場合があるため、エージェントによる実行が困難な対策である。よって、対策計画部６２４は、接続するネットワークの変更よりもOSやソフトウェアの脆弱性の解消を優先的に選択する。

　さらに、対策計画部６２４は、エージェント２１２、２２２が自動で実行可能な対策を優先的に選択するようにセキュリティ対策を計画してもよい。

　例えば、あるOSの脆弱性の解消は、機器を再起動する等の手動での作業が利用者に求められる対策である。また、あるソフトウェアの脆弱性の解消は、エージェント２１２、２２２が自動で実行できる対策である。よって、対策計画部６２４は、ソフトウェアの脆弱性の解消を優先的に選択する。なお、脆弱性の解消には、ソフトウェアの更新、ソフトウェアの設定変更、ソフトウェアの削除等が含まれる。

　対策計画部６２４は、対策計画を生成すると、生成された対策計画を、第２サーバ通信部６１０を介して対策指示部５２３に送信する。先に説明したように、対策指示部５２３は、診断対象システムに含まれる機器の各々に対して、対策と共に、対策を実行する旨の指示を送信する。

　出力部６２４は、分析結果記憶部６３３に記憶されている攻撃グラフの情報や、対策計画部６２４で計画されたセキュリティ対策、または診断対象システムにおけるセキュリティの分析に関して必要なその他の情報を表示部６４０に出力する。

　表示部６４０は、表示部１４０と同様に、出力部６２４から出力された情報を表示する機能を有する。なお、表示部６４０は、診断対象システムである企業内のITシステムの管理者が参照するディスプレイ等でもよい。また、表示部６４０は、出力部６２４とネットワークを介して接続される他の機器等でもよい。

［動作の説明］
　以下、図７を参照して、本実施形態の構成管理サーバ５００および分析サーバ６００の対策を指示する動作を説明する。図７は、第２の実施形態の構成管理サーバ５００および分析サーバ６００による対策指示処理の動作を示すフローチャートである。

　最初に、インテリジェンス情報収集部５２１は、インテリジェンス配信サーバ４００から配信されたインテリジェンス情報を、第１サーバ通信部５１０を介して取得する（ステップS201）。

　次いで、インテリジェンス情報収集部５２１は、取得されたインテリジェンス情報をインテリジェンス情報記憶部５３１に格納する（ステップS202）。

　次いで、構成情報取得部５２２は、機器２１０、２２０の各構成情報を収集するようにエージェント２１２、２２２にそれぞれ指示する（ステップS203）。なお、ステップS201～S203の処理は、省略されてもよい。

　次いで、エージェント２１２、２２２は、機器２１０、２２０内をそれぞれスキャンすることによって、各構成情報をそれぞれ収集する（ステップS204）。次いで、機器通信部２１３、２２３は、収集された各構成情報を構成管理サーバ５００にそれぞれ送信する（ステップS205）。

　第１サーバ通信部５１０は、送信された各構成情報を受信し、受信された各構成情報を構成情報取得部５２２に入力する。次いで、構成情報取得部５２２は、入力された各構成情報を構成情報記憶部５３２に格納する（ステップS206）。

　次いで、ファクト生成部６２１は、第２サーバ通信部６１０を介して構成管理サーバ５００の構成情報記憶部５３２に記憶されている構成情報を参照し、初期ファクトを生成する（ステップS207）。なお、ファクト生成部６２１は、初期ファクトを生成する際、インテリジェンス情報記憶部５３１に記憶されているインテリジェンス情報を参照してもよい。

　次いで、ファクト生成部６２１は、生成された初期ファクトを、初期ファクト記憶部６３１に格納する（ステップS208）。

　次いで、分析部６２２は、初期ファクト記憶部６３１に記憶されている初期ファクトを基に、攻撃グラフを生成する（ステップS209）。次いで、分析部６２２は、生成された攻撃グラフを、分析結果記憶部６３２に格納する（ステップS210）。

　次いで、出力部６２３は、分析結果記憶部６３２に記憶されている攻撃グラフを表示部６４０に表示する（ステップS211）。

　次いで、対策計画部６２４は、表示された攻撃グラフに攻撃パスが含まれているか否かを確認する（ステップS212）。攻撃パスが含まれていない場合（ステップS212におけるNo）、構成管理サーバ５００および分析サーバ６００は、対策指示処理を終了する。

　攻撃パスが含まれている場合（ステップS212におけるYes ）、対策計画部６２４は、導出された攻撃パスに基づいて対策を生成する（ステップS213）。次いで、対策計画部６２４は、生成された対策を、第２サーバ通信部６１０を介して対策指示部５２３に送信する。

　次いで、対策指示部５２３は、対策計画部６２４から送信された対策を実行するように、エージェント２１２、２２２にそれぞれ指示する（ステップS214）。エージェント２１２、２２２には、対策指示部５２３から指示と共に対策が送信される。

　次いで、エージェント２１２、２２２は、送信された対策をそれぞれ実行する（ステップS215）。対策が実行された後、構成管理サーバ５００および分析サーバ６００は、対策指示処理を終了する。

［効果の説明］
　本実施形態の分析サーバ６００は、第１の実施形態で説明された分析サーバ１００が奏する効果と同様の効果を奏する。さらに、分析サーバ６００は、攻撃グラフや攻撃グラフに含まれる攻撃パスに基づいて、診断対象システムにおけるセキュリティ対策を計画できる。

　非特許文献１に記載されている構成管理システム等では、一般的に、診断対象システムに含まれる機器毎に脆弱性の有無の判断や対策の計画が行われる。本実施形態の分析サーバ６００は、構成管理サーバ５００と連携しつつ、上述したように攻撃グラフを用いてセキュリティ対策を計画する。

　すなわち、上述したように、本実施形態の分析サーバ６００は、診断対象システムに含まれる機器において攻撃が行われる可能性、攻撃が行われる場合に他の機器で発生する可能性がある別の攻撃の有無、ある機器で攻撃が行われる場合の影響範囲等を分析できる。分析サーバ６００が用いられると、非特許文献１に記載されている構成管理システム等で生成されるセキュリティ対策に加えて、診断対象システム全体の構成や影響が考慮されたセキュリティ上の対策が生成可能になる。

　以下、本実施形態の変形例を説明する。図８は、本発明の第２の実施形態の分析サーバの他の構成例を示すブロック図である。図８に示すように、第２の実施形態の分析サーバ７００は、サーバ通信部７１０と、サーバ演算部７２０と、記憶部７３０と、表示部７４０とを備える。

　サーバ通信部７１０は、通信ネットワーク３００を介して、機器２１０、２２０、インテリジェンス配信サーバ４００とそれぞれ通信を行う機能を有する。

　また、図８に示すように、サーバ演算部７２０は、インテリジェンス情報収集部７２１と、構成情報取得部７２２と、ファクト生成部７２３と、分析部７２４と、対策計画部７２５と、対策指示部７２６と、出力部７２７とを含む。

　インテリジェンス情報収集部７２１、構成情報取得部７２２、ファクト生成部７２３、分析部７２４、対策計画部７２５、対策指示部７２６、および出力部７２７が有する各機能は、インテリジェンス情報収集部５２１、構成情報取得部５２２、ファクト生成部６２１、分析部６２２、対策計画部６２４、対策指示部５２３、および出力部６２３が有する各機能とそれぞれ同様である。

　また、図８に示すように、記憶部７３０は、インテリジェンス情報記憶部７３１と、構成情報記憶部７３２と、初期ファクト記憶部７３３と、分析結果記憶部７３４とを含む。

　インテリジェンス情報記憶部７３１、構成情報記憶部７３２、初期ファクト記憶部７３３、および分析結果記憶部７３４が有する各機能は、インテリジェンス情報記憶部５３１、構成情報記憶部５３２、初期ファクト記憶部６３１、および分析結果記憶部６３２が有する各機能とそれぞれ同様である。また、表示部７４０が有する機能は、表示部６４０が有する機能と同様である。

　すなわち、図６に示す構成管理サーバ５００と分析サーバ６００は、図８に示す分析サーバ７００のような１つのシステムで実現されてもよい。

　さらに、分析サーバ７００は、インテリジェンス配信サーバ４００が有する機能を有してもよい。換言すると、インテリジェンス配信サーバ４００、構成管理サーバ５００、および分析サーバ６００が、１つのシステムで実現されてもよい。

　いずれの場合においても、分析サーバ７００は、診断対象システムであるネットワークの内部に設けられてもよいし、診断対象システムであるネットワークの外部に設けられ、WAN(Wide Area Network)を介して診断対象システムと接続されてもよい。さらに、構成管理サーバ５００、分析サーバ６００、または分析サーバ７００が有する各機能の一部または全てが、クラウドコンピューティングの形態で提供されてもよい。

　以下、各実施形態のサーバのハードウェア構成の具体例を説明する。図９は、本発明によるサーバのハードウェア構成例を示す説明図である。図９に示すサーバは、第１の実施形態の分析サーバ１００、第２の実施形態の構成管理サーバ５００、分析サーバ６００、および分析サーバ７００のいずれにも相当する。

　図９に示すサーバは、CPU １１と、主記憶部１２と、通信部１３と、補助記憶部１４とを備える。また、ユーザが操作するための入力部１５や、ユーザに処理結果または処理内容の経過を提示するための出力部１６を備える。

　分析サーバ１００、構成管理サーバ５００、分析サーバ６００、および分析サーバ７００は、一例として、各構成要素が有する機能を提供するプログラムを図９に示すCPU １１が実行することによって、ソフトウェアにより実現される。

　すなわち、CPU １１が補助記憶部１４に格納されているプログラムを、主記憶部１２にロードして実行し、分析サーバ１００、構成管理サーバ５００、分析サーバ６００、または分析サーバ７００の動作を制御することによって、各機能がソフトウェアにより実現される。

　主記憶部１２は、データの作業領域やデータの一時退避領域として用いられる。主記憶部１２は、例えばRAM(Random Access Memory) である。記憶部１３０、第１記憶部５３０、第２記憶部６３０、および記憶部７３０は、主記憶部１２で実現される。

　通信部１３は、有線のネットワークまたは無線のネットワーク（情報通信ネットワーク）を介して、周辺機器との間でデータを入力および出力する機能を有する。サーバ通信部１１０、第１サーバ通信部５１０、第２サーバ通信部６１０、およびサーバ通信部７１０は、通信部１３で実現される。

　補助記憶部１４は、一時的でない有形の記憶媒体である。一時的でない有形の記憶媒体として、例えば磁気ディスク、光磁気ディスク、CD-ROM(Compact Disk Read Only Memory) 、DVD-ROM(Digital Versatile Disk Read Only Memory)、半導体メモリが挙げられる。

　入力部１５は、データや処理命令を入力する機能を有する。入力部１５は、例えばキーボードやマウス等の入力デバイスである。

　出力部１６は、データを出力する機能を有する。出力部１６は、例えば液晶ディスプレイ装置等の表示装置である。表示部１４０、表示部６４０、および表示部７４０は、出力部１６で実現される。

　また、図９に示すように、サーバにおいて、各構成要素は、システムバス１７に接続されている。

　補助記憶部１４は、例えば第１の実施形態において、構成情報取得部１２１、ファクト生成部１２２、分析部１２３、および出力部１２４を実現するためのプログラムを記憶している。

　また、補助記憶部１４は、例えば第２の実施形態の構成管理サーバ５００において、インテリジェンス情報収集部５２１、構成情報取得部５２２、および対策指示部５２３を実現するためのプログラムを記憶している。

　また、補助記憶部１４は、例えば第２の実施形態の分析サーバ６００において、ファクト生成部６２１、分析部６２２、出力部６２３、および対策計画部６２４を実現するためのプログラムを記憶している。

　また、補助記憶部１４は、例えば第２の実施形態の変形例において、インテリジェンス情報収集部７２１、構成情報取得部７２２、ファクト生成部７２３、分析部７２４、対策計画部７２５、対策指示部７２６、および出力部７２７を実現するためのプログラムを記憶している。

　上述した各サーバの実現方法には、様々な変形例がある。例えば、各サーバは、構成要素毎にそれぞれ別個の情報処理装置とプログラムとの任意の組み合わせにより実現されてもよい。また、各装置が備える複数の構成要素が、一つの情報処理装置とプログラムとの任意の組み合わせにより実現されてもよい。

　また、各構成要素の一部または全部は、汎用の回路(circuitry) または専用の回路、プロセッサ等やこれらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。

　各構成要素の一部または全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。

　次に、本発明の概要を説明する。図１０は、本発明による分析システムの概要を示すブロック図である。本発明による分析システム２０は、診断対象システムに含まれる機器をスキャンして機器の構成情報を収集するエージェントから構成情報を取得する構成情報取得部２１（例えば、構成情報取得部１２１）と、構成情報を基に、診断対象システムまたは機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成する生成部２２（例えば、ファクト生成部１２２）と、１つ以上の初期ファクトを基に、診断対象システムにおいて実行可能な攻撃の流れを分析する分析部２３（例えば、分析部１２３）とを備える。

　そのような構成により、分析システムは、診断対象システム全体の構成が考慮されたセキュリティ上の問題を分析できる。

　以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下に限られない。

　（付記１）診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得する構成情報取得部と、前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成する生成部と、前記１つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析する分析部とを備えることを特徴とする分析システム。

　（付記２）分析部は、初期ファクトと分析ルールとを基に、実行可能な攻撃の流れを分析する付記１記載の分析システム。

　（付記３）分析部は、攻撃の流れを表すことができる攻撃グラフを生成することによって、実行可能な攻撃の流れを分析する付記１または付記２記載の分析システム。

　（付記４）分析された攻撃の流れに対する対策を計画する対策計画部と、計画された対策を実行するように機器に指示する対策指示部とを備える付記１から付記３のうちのいずれかに記載の分析システム。

　（付記５）対策計画部は、機器の構成のうち、初期ファクトと関連する１つ以上の構成を改めるような対策を計画する付記４記載の分析システム。

　（付記６）構成情報取得部と、対策指示部とを有する構成管理サーバと、生成部と、分析部と、対策計画部とを有する分析サーバとを含む付記４または付記５記載の分析システム。

　（付記７）生成部は、脆弱性に関する情報を基に初期ファクトを生成する付記１から付記６のうちのいずれかに記載の分析システム。

　（付記８）分析部は、分析された攻撃の流れに起因する新たな攻撃の流れを分析する付記１から付記７のうちのいずれかに記載の分析システム。

　（付記９）診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得し、前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成し、前記１つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析することを特徴とする分析方法。

　（付記１０）コンピュータに、診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得する取得処理、前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成する生成処理、および前記１つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析する分析処理を実行させるための分析プログラム。

１１　CPU
１２　主記憶部
１３　通信部
１４　補助記憶部
１５　入力部
１６　出力部
１７　システムバス
２０　分析システム
２１、１２１、５２２、７２２　構成情報取得部
２２　生成部
２３、１２３、６２２、７２４　分析部
１００、６００、７００　分析サーバ
１１０、７１０　サーバ通信部
１２０、７２０　サーバ演算部
１２２、６２１、７２３　ファクト生成部
１２４、６２３、７２７　出力部
１３０、７３０　記憶部
１３１、５３２、７３２　構成情報記憶部
１３２、６３１、７３３　初期ファクト記憶部
１３３、６３２、７３４　分析結果記憶部
１４０、６４０、７４０　表示部
２１０、２２０　機器
２１１、２２１　機器演算部
２１２、２２２　エージェント
２１３、２２３　機器通信部
３００　通信ネットワーク
４００　インテリジェンス配信サーバ
５００　構成管理サーバ
５１０　第１サーバ通信部
５２０　第１サーバ演算部
５２１、７２１　インテリジェンス情報収集部
５２３、７２６　対策指示部
５３０　第１記憶部
５３１、７３１　インテリジェンス情報記憶部
６１０　第２サーバ通信部
６２０　第２サーバ演算部
６２４、７２５　対策計画部
６３０　第２記憶部

Claims

　診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得する構成情報取得部と、
　前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成する生成部と、
　前記１つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析する分析部とを備える
　ことを特徴とする分析システム。
　分析部は、初期ファクトと分析ルールとを基に、実行可能な攻撃の流れを分析する
　請求項１記載の分析システム。
　分析部は、攻撃の流れを表すことができる攻撃グラフを生成することによって、実行可能な攻撃の流れを分析する
　請求項１または請求項２記載の分析システム。
　分析された攻撃の流れに対する対策を計画する対策計画部と、
　計画された対策を実行するように機器に指示する対策指示部とを備える
　請求項１から請求項３のうちのいずれか１項に記載の分析システム。
　対策計画部は、機器の構成のうち、初期ファクトと関連する１つ以上の構成を改めるような対策を計画する
　請求項４記載の分析システム。
　構成情報取得部と、対策指示部とを有する構成管理サーバと、
　生成部と、分析部と、対策計画部とを有する分析サーバとを含む
　請求項４または請求項５記載の分析システム。
　生成部は、脆弱性に関する情報を基に初期ファクトを生成する
　請求項１から請求項６のうちのいずれか１項に記載の分析システム。
　分析部は、分析された攻撃の流れに起因する新たな攻撃の流れを分析する
　請求項１から請求項７のうちのいずれか１項に記載の分析システム。
　診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得し、
　前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成し、
　前記１つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析する
　ことを特徴とする分析方法。
　コンピュータに、
　診断対象システムに含まれる機器をスキャンして前記機器の構成情報を収集するエージェントから前記構成情報を取得する取得処理、
　前記構成情報を基に、前記診断対象システムまたは前記機器におけるセキュリティに関する状況を表す１つ以上の初期ファクトを生成する生成処理、および
　前記１つ以上の初期ファクトを基に、前記診断対象システムにおいて実行可能な攻撃の流れを分析する分析処理
　を実行させるための分析プログラム。