WO2021033506A1

WO2021033506A1 - ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体

Info

Publication number: WO2021033506A1
Application number: PCT/JP2020/028939
Authority: WO
Inventors: 克哉西嶋; 倫宏重本; 哲郎鬼頭
Original assignee: 株式会社日立製作所
Priority date: 2019-08-21
Filing date: 2020-07-28
Publication date: 2021-02-25
Also published as: US20220279008A1; JP2021034807A; EP4020906A1; JP7311354B2; EP4020906A4

Abstract

ネットワーク監視装置１００において、ＣＰＵ１０２は、ダークネットトラフィックの増加点を検出し、増加点に対応するダークネットトラフィックに関して、自組織内での検知であること、観測地点と自組織との間のダークネットトラフィックの相関スコアが閾値以上であること、送信元ＩＰアドレスがブラックリストに存在すること、脅威インテリジェンスに攻撃情報として存在すること、ハニーポットに対応するログが存在すること、ログが存在するハニーポットが自組織内にあること、対象についてのＣＶＳＳスコアが閾値以上であること、脆弱性を持つ製品が自組織内に存在すること、の内の少なくとも１つの条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出する。

Description

ネットワーク監視装置、ネットワーク監視方法、及びネットワーク監視プログラムが記録された記憶媒体

　本発明は、ネットワーク上におけるサイバー攻撃を監視する技術に関する。

　近年、ランサムウェアやＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　ｔｈｉｎｇｓ）ボットによる大規模感染に代表される、大規模かつ高度なサイバー攻撃が、企業や国家にとって大きな脅威となっている。サイバー攻撃を事前に防ぐためには、サイバー攻撃の予兆を掴み、自組織がサイバー攻撃を受ける前に防止策を施すことが重要となる。以上の背景から、脆弱性のスキャンや感染活動といった攻撃情報を収集／分析し、事前に対策を施すことが求められている。

　例えば、特許文献１には、サイバー攻撃の分析を容易に行うことを可能とするため、複数種類のサイバー攻撃情報を収集して、サイバー攻撃の特徴情報について、サイバー攻撃の特徴情報が出現するサイバー攻撃の種類の多少を評価するシステムが開示されている。

特開２０１８－１９６０５４号公報

　特許文献１の技術を用いることで、サイバー攻撃の特徴情報（要素）が観測されたサイバー攻撃の種類の数を把握できる。しかし、特許文献１の技術ではＳＴＩＸ（Ｓｔｒｕｃｔｕｒｅｄ　Ｔｈｒｅａｔ　Ｉｎｆｏｒｍａｔｉｏｎ　ｅＸｐｒｅｓｓｉｏｎ）等で整理された情報が共有されるまでに攻撃される可能性がある。また、得られたサイバー攻撃情報のいずれに対する対策を優先すればよいかを容易に把握することができない。

　本発明は、上記事情に鑑みなされたものであり、その目的は、サイバー攻撃の予兆を適切に検出でき、検出されたサイバー攻撃への対策の優先度を適切に算出することのできる技術を提供することにある。

　上記目的を達成するため、一観点に係るネットワーク監視装置は、プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置であって、プロセッサ部は、ネットワークにおけるダークネットトラフィックの増加点を検出し、検出された増加点に対応するダークネットトラフィックに関して、ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、送信元ＩＰアドレスがブラックリストに存在すること、脅威インテリジェンスに攻撃情報として存在すること、アクセスに応答するように構成されたハニーポットにダークネットトラフィックと対応するログが存在すること、前記ログが存在するハニーポットが自組織内のハニーポットであること、ダークネットトラフィックの対象についての脆弱性のＣＶＳＳ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｓｃｏｒｉｎｇ　Ｓｙｓｔｅｍ）スコアが閾値以上であること、対象となる脆弱性を持つ製品が自組織内に存在すること、の内の少なくとも１つの条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出する。
　本明細書において開示される主題の、少なくとも一つの実施の詳細は、添付されている図面と以下の記述の中で述べられる。開示される主題のその他の特徴、態様、効果は、以下の開示、図面、請求項により明らかにされる。

　本発明によれば、サイバー攻撃の予兆を適切に検出でき、検出されたサイバー攻撃への対策の優先度を適切に算出することができる。

図１は、一実施形態に係る計算機システムの全体構成例を示す図である。図２は、一実施形態に係る変化点検出データの一例を示す図である。図３は、一実施形態に係る製品ポートデータの一例を示す図である。図４は、一実施形態に係るハニーポットログデータの一例を示す図である。図５は、一実施形態に係るサイバー脅威インテリジェンスデータの一例を示す図である。図６は、一実施形態に係る脆弱性データの一例を示す図である。図７は、一実施形態に係る構成データの一例を示す図である。図８は、一実施形態に係るＩＰブラックリストデータの一例を示す図である。図９は、一実施形態に係る相関スコアデータの一例を示す図ある。図１０は、一実施形態に係る対策優先度スコア提示処理のフローチャートの一例である。図１１は、一実施形態に係る変化点スコア算出処理のシーケンス図の一例である。図１２は、一実施形態に係る対策優先度スコア算出処理のフローチャートの一例である。図１３は、一実施形態に係る対策優先度スコア提示画面の一例を示す図である。図１４は、一実施形態に係るスコア内訳画面の一例を示す図である。図１５は、一実施形態に係る詳細情報提示画面の一例を示す図である。

　ランサムウェアやＩｏＴボットの脅威に対応するためには、ダークネットトラフィックを分析し、攻撃の予兆をつかみ、自組織がサイバー攻撃を受ける前に防止策を施すことが重要である。しかし、ダークネットトラフィックだけでは攻撃の原因や影響がわからず、どのイベントから優先して対応すべきかが判断できない。そこで、本実施形態では、事前に収集した各種情報と、検知した攻撃の予兆を突合せることにより、攻撃の早期発見、および、攻撃の対策における優先度（対策優先度）の算出を行う。これにより、監視者は、重要なイベントから優先的に対策を行うことが可能となる。

　以下において、実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。

　以下の説明では、「ＡＡＡデータ」の表現にて情報を説明することがあるが、情報は、どのようなデータ構造で表現されていてもよい。すなわち、情報がデータ構造に依存しないことを示すために、「ＡＡＡデータ」を「ＡＡＡ情報」と呼ぶことができる。

　また、以下の説明では、「プロセッサ部」は、１以上のプロセッサを含む。少なくとも１つのプロセッサは、典型的には、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）のようなマイクロプロセッサである。１以上のプロセッサの各々は、シングルコアでもよいしマルチコアでもよい。

　また、以下の説明では、「プログラム」を動作主体として処理を説明する場合があるが、プログラムは、プロセッサ部によって実行されることで、定められた処理を、適宜に記憶部及びインターフェース部のうちの少なくとも１つを用いながら行うため、処理の主語が、プロセッサ部（或いは、プロセッサ部を有する計算機又は計算機システム）とされてもよい。プログラムは、プログラムソースから計算機にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバ又は計算機が読み取り可能な記憶メディアであってもよい。また、以下の説明において、２以上のプログラムが１つのプログラムとして実現されてもよいし、１つのプログラムが２以上のプログラムとして実現されてもよい。また、プログラムが実行されることによって実現される処理のうちの少なくとも一部が、ハードウェア回路（例えばＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）又はＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ））によって実現されてもよい。

　図１は、一実施形態に係る計算機システムの全体構成例を示す図である。

　計算機システム１は、ネットワーク監視装置１００と、ダークネット観測装置１３１と、ハニーポット１３２と、ダークネット観測装置１３５と、ハニーポット１３６とを有する。

　ネットワーク監視装置１００と、ダークネット観測装置１３１と、ハニーポット１３２とは、或る組織内に設置されており、組織内のネットワーク１３０を介して接続されている。ネットワーク１３０は、例えば、有線ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）や無線ＬＡＮなどである。

　ダークネット観測装置１３５と、ハニーポット１３６とは、ネットワーク監視装置１００が所属する組織の外（組織外）に設置されており、ネットワーク１３４を介して接続されている。ネットワーク１３４は、例えば、有線ＬＡＮや無線ＬＡＮなどである。

　ネットワーク１３０と、ネットワーク１３４とは、インターネット１３３を介して接続されている。したがって、ネットワーク監視装置１００は、ネットワーク１３０、インターネット１３３、及びネットワーク１３４を介して、ダークネット観測装置１３５及びハニーポット１３６と通信可能となっている。なお、インターネット１３３には、図示しない種々の計算機が接続されている。

　ダークネット観測装置１３１は、例えば、自装置にＩＰパケットが到達可能なダークネットに対するトラフィック（ダークネットトラフィック）を観測する。ここで、ダークネットとは、インターネット上で到達可能なＩＰアドレスのうち、特定のホストが割り当てられていないアドレス空間のことをいう。ダークネット観測装置１３１は、ダークネットの内の組織内のアドレス空間に対するＩＰパケットを受信可能である。

　ダークネット観測装置１３５は、例えば、自装置にＩＰパケットが到達可能なダークネットに対するトラフィックを観測する。ダークネット観測装置１３５は、インターネット上に存在するダークネットの内のダークネット観測装置１３５が所属する組織内のアドレス空間に対するＩＰパケットを受信可能である。

　ハニーポット１３２、ハニーポット１３６は、サイバー攻撃のおとり用の装置であり、自装置宛のＩＰパケットを受信し、ＩＰパケットに対して応答を返す。

　ネットワーク監視装置１００は、通信インターフェース（通信ＩＦ）１０１と、プロセッサ部の一例としてのＣＰＵ１０２と、入出力インターフェース（入出力ＩＦ）１０３と、メインメモリ１０４と、記憶装置１０５と、各部１０１～１０５を接続する通信路１０７とを備える。

　通信路１０７は、例えば、バスやケーブルなどの情報伝達媒体である。

　通信ＩＦ１０１は、例えば、有線ＬＡＮカードや無線ＬＡＮカードなどのインターフェースであり、ネットワーク１３０、インターネット１３３、及びネットワーク１３４を介して他の装置（例えば、ハニーポット１３２，１３６、ダークネット観測装置１３１，１３５）と通信する。入出力ＩＦ１０３は、キーボード、ディスプレイなどの入出力を行うための入出力装置１０６と接続され、データの入出力を仲介する。

　メインメモリ１０４は、例えば、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）であり、ＣＰＵ１０２で実行されるプログラムや、必要なデータを記憶する。本実施形態では、メインメモリ１０４は、情報収集プログラム１０８と、変化点検出プログラム１０９と、相関スコア算出プログラム１１０と、データフィルタリングプログラム１１１と、対策優先度スコア算出プログラム１１２と、対策優先度スコア提示プログラム１１３とを記憶する。

　ＣＰＵ１０２は、メインメモリ１０４及び／又は記憶装置１０５に格納されているプログラムに従って各種処理を実行する。

　ＣＰＵ１０２は、情報収集プログラム１０８を実行することにより、ダークネットトラフィックデータ、ハニーポットログデータ、サイバー脅威インテリジェンスデータ、脆弱性データ、製品ポートデータ、構成データ、ＩＰブラックリストデータについてのデータを収集し、記憶装置１０５へ保存する処理を行う。ＣＰＵ１０２は、変化点検出プログラム１０９を実行することによりダークネットトラフィックデータの変化点を検出する処理を行う。

　ＣＰＵ１０２は、相関スコア算出プログラム１１０を実行することにより、他組織と自組織のダークネットトラフィックの相関スコアを算出する処理を行う。ＣＰＵ１０２は、データフィルタリングプログラム１１１を実行することにより、変化点検出データと各種データとの突合せ処理を行う。ＣＰＵ１０２は、対策優先度スコア算出プログラム１１２を実行することにより、対策優先度スコアを算出する処理（対策優先度スコア算出処理：図１２参照）を行う。ＣＰＵ１０２は、対策優先度スコア提示プログラム１１３を実行することにより、対策優先度スコアをネットワーク監視装置１００を使用する監視者に提示する処理を行う。

　記憶装置１０５は、例えば、ＨＤＤ（ハードディスクドライブ）やＳＳＤ（ソリッドステートドライブ）などであり、ＣＰＵ１０２で実行されるプログラムや、ＣＰＵ１０２に利用されるデータを記憶する。

　本実施形態では、記憶部１０５は、ダークネットトラフィックデータ１１４と、相関スコアデータ１１５と、ハニーポットログデータ１１６と、サイバー脅威インテリジェンスデータ１１７と、脆弱性データ１１８と、製品ポートデータ１１９と、構成データ１２０と、ＩＰブラックリストデータ１２１と、変化点検出データ１２２とを記憶する。

　ダークネットトラフィックデータ１１４は、組織内のダークネット観測装置１３１及び組織外のダークネット観測装置１３５から得られるデータである。相関スコアデータ１１５は、相関スコア算出プログラム１１０により算出される組織内外のダークネットトラフィックデータの相関スコアのデータである。ハニーポットログデータ１１６は、組織内のハニーポット１３２及び組織外のハニーポット１３６から得られるデータである。サイバー脅威インテリジェンスデータ１１７は、セキュリティ研究者などにより提供されるデータである。脆弱性データ１１８は、公的機関などが提供しているデータである。製品ポートデータ１１９は、製品名とその製品の利用ポートとの対応を示すデータである。構成データ１２０は、組織内にある製品名とその製品のバージョンとのデータである。ＩＰブラックリストデータ１２１は、リスクの高いＩＰアドレスをリスト（ブラックリスト）化したデータである。変化点検出データ１２２は、ダークネットトラフィックの変化点を検出したイベントをリスト化したデータである。

　上記したプログラムやデータは、予めメインメモリ１０４または記憶装置１０５に格納されていてもよいし、必要な時に、入出力ＩＦ１０３を介して入出力装置１０６から、または、通信ＩＦ１０１を介して他の装置からインストール（又はロード）されてもよい。

　次に、記憶装置１０５に格納されている各種データについて詳細に説明する。

　ダークネットトラフィックデータ１１４は、各ダークネット観測装置１３１，１３５において受信（観測）されたＩＰパケットに対応するエントリを含む。ダークネットトラフィックデータ１１４のエントリは、例えば、ダークネット観測装置ＩＤと、宛先Ｐｏｒｔ／プロトコルと、検出時刻と、送信元ＩＰとを含む。ダークネット観測装置ＩＤは、エントリに対応するＩＰパケットを受信したダークネット観測装置のＩＤである。宛先Ｐｏｒｔ／プロトコルは、ＩＰパケットの対象とする宛先のポート及びプロトコルである。検出時刻は、ＩＰパケットを受信した時刻である。送信元ＩＰは、ＩＰパケットの送信元のＩＰアドレスである。

　図２は、一実施形態に係る変化点検出データの一例を示す図である。

　変化点検出データ１２２は、ダークネットトラフィックの変化点を検出したイベント（事象：攻撃又は攻撃の予兆）を要約したエントリを含む。変化点検出データ１２２のエントリは、ＩＤ２０１と、国名２０２と、業界２０３と、組織規模２０４と、組織内外２０５と、宛先ｐｏｒｔ／プロトコル２０６と、検出時刻２０７と、送信元ＩＰ２０８と、を含む。

　ＩＤ２０１は、変化点検出データ１２２の１つのエントリを一意に識別できる識別子である。国名２０２は、変化点を検出したダークネット観測装置が設置されている国名である。業界２０３は、変化点を検出したダークネット観測装置が設置されている組織に対応する業界である。組織規模２０４は、変化点を検出したダークネット観測装置が設置されている組織の規模（組織規模）である。組織内外２０５は、変化点を検出したダークネット観測装置が設置されているのが、ネットワーク監視装置１００の属する組織に対して組織内外のいずれであるかを表す。宛先ｐｏｒｔ／プロトコル２０６は、ダークネットトラフィックにおける宛先ｐｏｒｔ番号及びプロトコルである。検出時刻２０７は、変化点を検出した時刻である。送信元ＩＰ２０８は、ダークネットトラフィックの送信元のＩＰアドレス（送信元ＩＰアドレス：送信元ＩＰということもある）である。

　なお、送信元ＩＰ２０８は、ダークネットトラフィックのすべてのＩＰパケットの送信元ＩＰアドレスでもよいし、アクセス数を降順にソートした結果での上位のいくつかの送信元ＩＰアドレスであってよい。

　変化点検出データ１２２は、相関スコア算出プログラム１１０が相関スコアを算出する処理や、対策優先度スコア算出プログラム１１２が対策優先度スコアを算出する処理で利用される。対策優先度スコア算出プログラム１１２の具体的な処理については、図１２を用いて後述する。

　図３は、一実施形態に係る製品ポートデータの一例を示す図である。

　製品ポートデータ１１９は、ｐｏｒｔ番号及びプロトコルから製品名を判断するためのデータであり、製品ポートデータ１１９のエントリは、ｐｏｒｔ／プロトコル３０１と、製品名３０２と、を含む。ｐｏｒｔ／プロトコル３０１は、ｐｏｒｔ番号及びプロトコル情報である。製品名３０２は、エントリにおけるｐｏｒｔ／プロトコル３０１を利用する製品名である。

　製品ポートデータ１１９において、同一のｐｏｒｔ／プロトコルに対して複数の製品名が対応付けられていてもよい。製品ポートデータ１１９の各エントリは、情報収集プログラム１０８により定期的に収集／更新されてもよく、または、監視者により必要に応じて、入力または更新されてもよい。

　製品ポートデータ１１９は、ＣＰＵ１０２により実行される対策優先度スコア算出プログラム１１２が、対策優先度スコアを算出する処理で使用される。対策優先度算出プログラム１１２の具体的な処理については、図１２を用いて後述する。

　図４は、一実施形態に係るハニーポットログデータの一例を示す図である。

　ハニーポットログデータ１１６のエントリは、組織内外４０１と、時刻４０２と、宛先ｐｏｒｔ／プロトコル４０３と、送信元ＩＰ４０４と、攻撃名４０５とを含む。組織内外４０１は、ハニーポットが設置されているのが組織内外のいずれであるかを表す。時刻４０２は、ハニーポットログが生成された際のタイムスタンプである。宛先ｐｏｒｔ／プロトコル４０３は、ハニーポットへ送信されたＩＰパケットの宛先ｐｏｒｔ及びプロトコルである。送信元ＩＰ４０４は、ハニーポットログにおける送信元ＩＰアドレス、すなわち、ハニーポットへのＩＰパケットの送信元のＩＰアドレスである。攻撃名４０５は、ハニーポットに対する具体的な攻撃名である。なお、ハニーポットログデータ１１６は、情報収集プログラム１０８により定期的に収集／更新される。

　ハニーポットログデータ１１６は、対策優先度スコア算出プログラム１１２が、対策優先度スコアを算出する処理で使用される。対策優先度算出プログラム１１２の具体的な処理については、図１２を用いて後述する。

　図５は、一実施形態に係るサイバー脅威インテリジェンスデータの一例を示す図である。

　サイバー脅威インテリジェンスデータ１１７のエントリは、登録時刻５０１と、製品名５０２と、送信元ＩＰ５０３と、宛先ｐｏｒｔ／プロトコル５０４と、ＣＶＥ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ　ａｎｄ　Ｅｘｐｏｓｕｒｅｓ）５０５とを含む。

　登録時刻５０１は、エントリに対応するデータが登録された時刻である。製品名５０２は、攻撃の対象である製品名である。送信元ＩＰ５０３は、攻撃の接続元のＩＰアドレスである。宛先ｐｏｒｔ／プロトコル５０４は、攻撃対象のポート番号及びプロトコルである。ＣＶＥ５０５は、攻撃に利用された脆弱性のＣＶＥ番号である。

　なお、サイバー脅威インテリジェンスデータ１１７の各エントリは、情報収集プログラム１０８により定期的に収集／更新されてもよく、監視者により必要に応じて入力または更新されてもよい。

　サイバー脅威インテリジェンスデータ１１７は、対策優先度スコア算出プログラム１１２が、対策優先度スコアを算出する処理で使用される。対策優先度算出プログラム１１２の具体的な処理については、図１２を用いて後述する。

　図６は、一実施形態に係る脆弱性データの一例を示す図である。

　脆弱性データ１１８のエントリは、ＣＶＥ６０１と、ＣＶＳＳスコア６０２と、登録時刻６０３と、製品名６０４と、該当バージョン６０５とを含む。

　ＣＶＥ６０１は、ＣＶＥである。ＣＶＳＳスコア６０２は、エントリのＣＶＥ６０１に対応するＣＶＳＳスコアである。登録時刻６０３は、ＣＶＥが登録された時刻である。製品名６０４は、ＣＶＥ６０１に該当する製品の名前（製品名）である。該当バージョン６０５は、ＣＶＥ６０１に該当する製品のバージョンである。

　なお、脆弱性データ１１８の各エントリは、情報収集プログラム１０８により定期的に収集／更新されてもよく、または、監視者により必要に応じて、入力または更新されてもよい。

　脆弱性データ１１８は、対策優先度スコア算出プログラム１１２が、対策優先度スコアを算出する処理で使用される。対策優先度スコア算出プログラム１１２の具体的な処理については、図１２を用いて後述する。

　図７は、一実施形態に係る構成データの一例を示す図である。

　構成データ１２０の各エントリは、製品名７０１と、バージョン７０２と、を含む。製品名７０１は、組織内に導入されている製品の製品名である。バージョン７０２は、エントリの製品名７０１のバージョンである。

　なお、構成データ１２０の各エントリは、情報収集プログラム１０８により定期的に収集／更新されてもよく、または、監視者により必要に応じて、入力または更新されてもよい。

　構成データ１２０は、対策優先度スコア算出プログラム１１２が、対策優先度スコアを算出する処理で利用される。対策優先度スコア算出プログラム１１２の具体的な処理については、図１２を用いて後述する。

　図８は、一実施形態に係るＩＰブラックリストデータの一例を示す図である。

　ＩＰブラックリストデータ１２１のエントリは、ＩＰアドレス８０１を含む。ＩＰアドレス８０１は、攻撃を行うリスクの高いＩＰアドレスである。

　なお、ＩＰブラックリストデータ１２１の各エントリは、情報収集プログラム１０８により定期的に収集／更新されてもよく、または、監視者により必要に応じて、入力または更新されてもよい。

　ＩＰブラックリストデータ１２１は、対策優先度スコア算出プログラム１１２が、対策優先度スコアを算出する処理で使用される。対策優先度スコア算出プログラム１１２の具体的な処理については、図１２を用いて後述する。

　図９は、一実施形態に係る相関スコアデータの一例を示す図ある。

　相関スコアデータ１１５のエントリは、国名９０１と、業界９０２と、組織規模９０３と、相関スコア９０４とを含む。国名９０１は、相関スコアの算出対象であるダークネット観測装置が存在する国の国名である。業界９０２は、相関スコアの算出対象であるダークネット観測装置を設置している組織の業界である。組織規模９０３は、相関スコアの算出対象であるダークネット観測装置を設置している組織の規模である。相関スコア９０４は、エントリに対応するダークネット観測装置のダークネットトラフィックとの相関を示すスコア（相関スコア）である。この相関スコアは、相関スコア算出プログラム１１０により算出される。

　なお、相関スコアデータ１１５のエントリは、監視者により必要に応じて、入力または更新されてもよい。

　相関スコアデータ１１５は、対策優先度スコア算出プログラム１１２が、対策優先度スコアを算出する処理で使用される。対策優先度スコア算出プログラム１１２の具体的な処理については、図１２を用いて後述する。

　次に、一実施形態に係る計算機システム１における対策優先度スコア提示処理について説明する。

　図１０は、一実施形態に係る対策優先度スコア提示処理のフローチャートである。

　まず、変化点検出プログラム１０９（厳密には、変化点検出プログラム１０９を実行するＣＰＵ１０２）は、ダークネットトラフィックの変化点スコアを算出する変化点スコア算出処理（図１１参照）を実行する（ステップ１００１）。

　次に、ステップ１００１で変化点スコアが算出されたダークネットトラフィックの対象ごとに、以下のステップ１００２～ステップ１０１１の処理を実行する。

　変化点検出プログラム１０９は、変化点スコア算出処理により算出された変化点スコアが、予め設定されている閾値を超えているか否かを判定する（ステップ１００２）。

　この結果、変化点スコアが閾値を超えていない場合（ステップ１００２：Ｎｏ）には、ダークネットトラフィックの増加点ではないことを示しているので、変化点検出プログラム１０９は、処理を終了する。

　一方、変化点スコアが閾値を超えている場合（ステップ１００２：Ｙｅｓ）は、変化点検出プログラム１０９は、変化点スコアが閾値を超えているダークネットトラフィックデータ１１４に基づいて、変化点検出データ１２２のエントリを生成し、記憶装置１０５に格納する（ステップ１００３）。

　次いで、変化点検出プログラム１０９は、相関スコア算出プログラム１１０を起動し、起動された相関スコア算出プログラム１１０は、自組織内のダークネットトラフィックと、生成した変化点検出データ１２２のエントリについての観測地点（ダークネット観測装置：対象観測地点という）のダークネットトラフィックとの間の相関スコアを算出し、対象観測地点に対応する相関スコアデータ１１５のエントリの相関スコアを、算出した相関スコアに更新する（ステップ１００４）。

　具体的には、相関スコア算出プログラム１１０は、以下の式（１）に従って相関スコアを算出する。
　　　　相関スコア＝Ｍ／Ｎ・・・（１）
　ここで、Ｎは、対象観測地点において、過去（例えば、過去の所定の期間（例えば１年）以内）に検出された宛先ｐｏｒｔ／プロトコルのユニーク値（重複を排除した値）の数であり、Ｍは、自組織内で過去（例えば、過去の所定の期間（例えば１年）以内）に検出された宛先ｐｏｒｔ／プロトコルのユニーク値と、対象観測地点で過去に検出された宛先ｐｏｒｔ／プロトコルのユニーク値とで共通する宛先ｐｏｒｔ／プロトコルのユニーク値の数である。

　この相関スコアは、対象観測地点で発生するダークネットトラフィックと、自組織で発生するダークネットトラフィックとの相関関係を示しており、相関スコアが高いほど、対象観測地点と同じ攻撃が、自組織に対して行われる可能性が高いことを意味している。

　次に、データフィルタリングプログラム１１１が、変化点検出データ１２２と製品ポートデータ１１９を突合せることにより、ダークネットトラフィックの対象と想定される製品名の絞り込みを行う（ステップ１００５）。具体的には、データフィルタリングプログラム１１１は、変化点検出データ１２２のエントリの宛先ｐｏｒｔ／プロトコル２０６と、製品ポートデータ１１９のエントリの宛先ｐｏｒｔ／プロトコル３０１とを突合わせる。

　次に、データフィルタリングプログラム１１１は、変化点検出データ１２２とサイバー脅威インテリジェンスデータ１１７とを突合せることにより、ダークネットトラフィックに関するＣＶＥの絞り込みを行う（ステップ１００６）。具体的には、データフィルタリングプログラム１１１は、変化点検出データ１２２のエントリの宛先ｐｏｒｔ／プロトコル２０６と、サイバー脅威インテリジェンスデータ１１７のエントリの宛先ｐｏｒｔ／プロトコル５０４との突合せ、変化点検出データ１２２のエントリの送信元ＩＰ２０８とサイバー脅威インテリジェンスデータ１１７のエントリの送信元ＩＰ５０３との突合せ、ステップ１００５で得られた製品名とサイバー脅威インテリジェンスデータ１１７のエントリの製品名５０２との突合せのいずれかを行うか、あるいはそれらを組み合わせて行う。

　次に、データフィルタリングプログラム１１１は、変化点検出データ１２２とハニーポットログデータ１１６を突合せることにより、ハニーポットログデータ１１６のうちのダークネットトラフィックの増加点への攻撃の予兆に対応するエントリ（ハニーポットログ）の絞り込みを行う（ステップ１００７）。具体的には、データフィルタリングプログラム１１１は、変化点検出データ１２２のエントリの宛先ｐｏｒｔ／プロトコル２０６とハニーポットログデータ１１６のエントリの宛先ｐｏｒｔ／プロトコル４０３との突合せ、変化点検出データ１２２のエントリの送信元ＩＰ２０８とハニーポットログデータ１１６のエントリの送信元ＩＰ４０４の突合せのいずれかを行うか、あるいはそれらを組み合わせて行う。なお、ハニーポットログデータ１１６の攻撃名４０５が不明なエントリについては、絞り込みの対象から除外する。

　次に、データフィルタリングプログラム１１１は、変化点検出データ１２２と脆弱性データ１１８を突合せることにより、脆弱性データ１１８の増加点におけるアクセス対象の製品に対応するエントリの絞り込みを行う（ステップ１００８）。具体的には、データフィルタリングプログラム１１１は、ステップ１００５で得られた製品名と、脆弱性データ１１８のエントリの製品名６０４とを突き合わせる。

　次に、データフィルタリングプログラム１１１は、変化点検出データ１２２と構成データ１２０を突合せることにより、自組織における脆弱性が含まれる製品の絞り込みを行う（ステップ１００９）。具体的には、データフィルタリングプログラム１１１は、ステップ１００８で得られたエントリの製品名６０４と該当バージョン６０５との組み合わせと、脆弱性データ１１８のエントリの製品名７０１とバージョン７０２との組み合わせとを突き合わせる。

　次に、対策優先度スコア算出プログラム１１２は、ステップ１００３からステップ１００９の処理で得られた結果を受信して、対策優先度スコアを算出する対策優先度スコア算出処理（図１２参照）を実行する（ステップ１０１０）。

　次に、対策優先度スコア提示プログラム１１３は、対策優先度スコア算出処理で得られた結果を受信し、対策優先度スコアに関する情報を含む対策優先度スコア提示画面１３００（図１３参照）を入出力装置１０６等に表示し（ステップ１０１１）、処理を終了する。

　次に、変化点スコア算出処理（ステップ１００１）について詳細に説明する。

　図１１は、一実施形態に係る変化点スコア算出処理のシーケンス図である。

　まず、情報収集プログラム１０８（厳密には、情報収集プログラム１０８を実行するＣＰＵ１０２）は、組織外のダークネット観測装置１３５に対して、観測結果の送信要求（観測結果要求）を送信する（ステップ１１０１ａ）。次に、ダークネット観測装置１３５は、観測結果要求を受信すると、自身が観測したダークネットトラフィックデータを情報収集プログラム１０８に送信する（ステップ１１０２ａ）。次に、情報収集プログラム１０８は、ダークネット観測装置１３５から受信したダークネットトラフィックデータを記憶装置１０５に書き込む（ステップ１１０３ａ）。

　次に、変化点検出プログラム１０９は、記憶装置１０５に対して、ダークネットトラフィックデータの送信要求を送る（ステップ１１０４ａ）。次に、送信要求を受け取った記憶装置１０５は、記録したダークネットトラフィックデータを変化点検出プログラム１０９に送信する（ステップ１１０５ａ）。

　次に、変化点検出プログラム１０９は、受信したダークネットトラフィックデータを宛先ポート／プロトコル毎に集計し、集計結果が過去データと比較してどれほど変化したのかを示す指標である変化点スコアを算出する（ステップ１１０６ａ）。ここで、変化点スコアは、例えば、過去データの集計結果（集計数）に対する、今回の集計結果（集計数）の割合でもよい。

　次に、組織内のダークネット観測装置１３１を対象として、組織外のダークネット観測装置１３５に対する処理から始まる処理（ステップ１１０１ａ～１１０６ａ）と同様な処理を行う（ステップ１１０１ｂ～１１０６ｂ）。

　次に、対策優先度スコア算出処理（ステップ１０１１）について詳細に説明する。

　図１２は、一実施形態に係る対策優先度スコア算出処理のフローチャートである。

　対策優先度スコア算出プログラム１１２は、変化点検出データ１２２の各エントリを対象に、対策優先度スコア算出処理を実行する。ここで、変化点検出データ１２２の処理対象のエントリを対象エントリということとする。

　まず、対策優先度スコア算出プログラム１１２（厳密には、対策優先度スコア算出プログラム１１２を実行するＣＰＵ１０２）は、対象エントリの組織内外２０５が組織内外のいずれであるかを判定する（ステップ１２０２）。判定の結果、組織内外２０５が組織内である場合（ステップ１２０２：Ｙｅｓ）、対策優先度スコア算出プログラム１１２は、組織内のダークネットに対するアクセスであることを示す自組織内ダークネット指標のスコアを上昇（１加算）させ、対象エントリに対する対策優先度スコアを上昇（例えば、１加算）させ（ステップ１２０１ａ）、処理をステップ１２０３に進める。一方、判定の結果、組織内外２０５が組織内でない場合（ステップ１２０２：Ｎｏ）、対策優先度スコア算出プログラム１１２は、処理をステップ１２０３に進める。

　ステップ１２０３では、対策優先度スコア算出プログラム１１２は、対象エントリに対応する相関スコアデータ１１５のエントリの相関スコア９０４が予め定めた所定の閾値以上であるか否かを判定する。判定の結果、相関スコア９０４が閾値以上である場合（ステップ１２０３：Ｙｅｓ）、対策優先度スコア算出プログラム１１２は、相関スコアが閾値以上であることを示す相関指標のスコアを上昇（例えば、１加算）させ、対象エントリに対する対策優先度スコアを上昇（例えば、１加算）させ（ステップ１２０１ｂ）、処理をステップ１２０４に進める。一方、相関スコア９０４が閾値以上でない場合（ステップ１２０３：Ｎｏ）、対策優先度スコア算出プログラム１１２は、処理をステップ１２０４に進める。

　ステップ１２０４では、対策優先度スコア算出プログラム１１２は、対象エントリの送信元ＩＰ２０８が、ＩＰブラックリストデータ１２１のエントリのＩＰアドレス８０１に含まれているか否かを判定する。判定の結果、送信元ＩＰ２０８がＩＰアドレス８０１に含まれている場合（ステップ１２０４：Ｙｅｓ）、対策優先度スコア算出プログラム１１２は、ＩＰブラックリストに含まれていることを示すＩＰブラックリスト指標のスコアを上昇（例えば、１加算）させ、対象エントリに対する対策優先度スコアを上昇（例えば、１加算）させ（ステップ１２０１ｃ）、処理をステップ１２０５に進める。一方、送信元ＩＰ２０８がＩＰアドレス８０１に含まれていない場合（ステップ１２０４：Ｎｏ）、対策優先度スコア算出プログラム１１２は、処理をステップ１２０５に進める。

　ステップ１２０５では、対策優先度スコア算出プログラム１１２は、ステップ１００６における絞り込みによって、対象エントリに対応するサイバー脅威インテリジェンスデータ１１７のエントリが存在するか否かを判定する。判定の結果、関連するサイバー脅威インテリジェンスデータ１１７のエントリが存在する場合（ステップ１２０５：Ｙｅｓ）、対策優先度スコア算出プログラム１１２は、サイバー脅威インテリジェンスのエントリが存在することを示す脅威インテリジェンス指標のスコアを上昇（例えば、１加算）させ、対象エントリに対する対策優先度スコアを上昇（例えば、１加算）させ（ステップ１２０１ｄ）、処理をステップ１２０６に進める。一方、関連するサイバー脅威インテリジェンスデータのエントリが存在しない場合（ステップ１２０５：Ｎｏ）、対策優先度スコア算出プログラム１１２は、処理をステップ１２０６に進める。

　ステップ１２０６では、対策優先度スコア算出プログラム１１２は、ステップ１００７における絞り込みの結果に基づいて、対象エントリに関連するハニーポットログデータ１１６のエントリが存在するか否かを判定する。判定の結果、関連するハニーポットログデータ１１６のエントリが存在する場合（ステップ１２０６：Ｙｅｓ）、対策優先度スコア算出プログラム１１２は、関連するハニーポットログデータのエントリが存在することを示すハニーポット指標のスコアを上昇（例えば、１加算）させ、対象エントリに対する対策優先度スコアを上昇（例えば、１加算）させ（ステップ１２０１ｅ）、処理をステップ１２０７に進める。一方、関連するハニーポットログデータのエントリが存在しない場合（ステップ１２０６：Ｎｏ）、対策優先度スコア算出プログラム１１２は、処理をステップ１２０８に進める。

　ステップ１２０７では、対策優先度スコア算出プログラム１１２は、対象エントリに関連するハニーポットログデータ１１６のエントリが、自組織内のハニーポット１３２のデータであるか否かを判定する。判定の結果、関連するハニーポットログデータ１１６のエントリが、自組織内のハニーポット１３２のデータである場合（ステップ１２０７：Ｙｅｓ）、対策優先度スコア算出プログラム１１２は、関連するハニーポットログデータのエントリが自組織内のハニーポット１３２のデータであることを示す自組織内ハニーポット指標のスコアを上昇（例えば、１加算）させ、対象エントリに対する対策優先度スコアを上昇（例えば、１加算）させ（ステップ１２０１ｆ）、処理をステップ１２０８に進める。一方、関連するハニーポットログデータのエントリが自組織内のハニーポット１３２のデータでない場合（ステップ１２０７：Ｎｏ）、対策優先度スコア算出プログラム１１２は、処理をステップ１２０８に進める。

　ステップ１２０８では、対策優先度スコア算出プログラム１１２は、対象エントリに関連する脆弱性データ１１８のエントリのＣＶＳＳスコアの６０２が予め定められた閾値以上であるか否かを判定する。判定の結果、ＣＶＳＳスコア６０２が閾値以上である場合（ステップ１２０８：Ｙｅｓ）、対策優先度スコア算出プログラム１１２は、ＣＶＳＳスコアが閾値以上であることを示すＣＶＳＳ指標のスコアを上昇（例えば、１加算）させ、対象エントリに対する対策優先度スコアを上昇（例えば、１加算）させ（ステップ１２０１ｇ）、処理をステップ１２０９に進める。一方、ＣＶＳＳスコア６０２が閾値以上でない場合（ステップ１２０８：Ｎｏ）、対策優先度スコア算出プログラム１１２は、処理をステップ１２０９に進める。

　ステップ１２０９では、対策優先度スコア算出プログラム１１２は、ステップ１００９での絞り込みの結果に基づいて、脆弱性を持つ製品が自組織内に存在するか否かを判定する。判定の結果、脆弱性を持つ製品が自組織内に存在する場合（ステップ１２０９：Ｙｅｓ）、対策優先度スコア算出プログラム１１２は、脆弱性を持つ製品が自組織内に存在することを示す構成情報指標のスコアを上昇（例えば、１加算）させ、対象エントリに対する対策優先度スコアを上昇（例えば、１加算）させ（ステップ１２０１ｈ）、処理を終了する。一方、脆弱性を持つ製品が自組織内に存在しない場合（ステップ１２０９：Ｎｏ）、対策優先度スコア算出プログラム１１２は、処理を終了する。

　この対策優先度スコア算出処理によると、変化点検出データ１２２の各エントリに対応する事象（攻撃又は攻撃の予兆）についての対策優先度スコアを適切に算出することができる。

　次に、対策優先度スコア提示画面１３００について説明する。

　図１３は、一実施形態に係る対策優先度スコア提示画面の一例を示す図である。

　対策優先度スコア提示画面１３００には、ダークネットトラフィックの変化点が検出されたそれぞれの事象（攻撃又は攻撃の予兆）についてのＩＤ１３０１と、国名１３０２と、業界１３０３と、組織規模１３０４と、組織内外１３０５と、宛先ｐｏｒｔ／プロトコル１３０６と、検出時刻１３０７と、スパークライン１３０８と、対応優先度スコア１３０９とが表示される。

　ＩＤ１３０１と、国名１３０２と、業界１３０３と、組織規模１３０４と、組織内外１３０５と、宛先ｐｏｒｔ／プロトコル１３０６と、検出時刻１３０７とは、それぞれ、その事象に対応する変化点検出データ１２２のエントリのＩＤ２０１と、国名２０２と、業界２０３と、組織規模２０４と、組織内外２０５と、宛先ｐｏｒｔ／プロトコル２０６と、検出時刻２０７と対応する。スパークライン１３０８は、エントリに対応する観測したダークネットトラフィックの推移のグラフ（例えば、折れ線グラフ）である。対応優先度スコア１３０９は、エントリの事象に対して対策優先度スコア算出処理により算出された対策優先度スコアである。

　対策優先度スコア提示画面１３００においては、表示されている対策優先度スコア１３０９に対して選択操作（例えば、入出力装置１０６のマウスによるクリック操作）を行うことにより、スコア内訳画面１４００（図１４参照）や詳細情報提示画面１５００（図１５参照）をさらに表示させることができる。

　対策優先度スコア提示画面１３００によると、監視者は、変化点が検出された各事象についての対策優先度スコアを容易に把握することができ、いずれの事象から対応すべきかを適切に判断することができる。

　次に、スコア内訳画面１４００について説明する。

　図１４は、一実施形態に係るスコア内訳画面の一例を示す図である。

　スコア内訳画面１４００は、対策優先度スコア提示画面１３００において選択操作により選択された事象の対策優先度スコアの内訳を表示する画面である。スコア内訳画面１４００には、各指標１４０１と、スコア１４０２とが表示される。指標１４０１は、対策優先度スコアを算出するための各指標である。スコア１４０２は、各指標１４０１に対するスコアである。

　スコア内訳画面１４００によると、対策優先度スコアについての内訳である各指標に対するスコアを確認することができる。

　次に、詳細情報提示画面１５００について説明する。

　図１５は、一実施形態に係る詳細情報提示画面の一例を示す図である。

　詳細情報提示画面１５００には、トラフィック推移１５０１と、接続元ＩＰ上位１５０２と、ダークネット相関スコア１５０３と、ハニーポットログ１５０４と、サイバー脅威インテリジェンス１５０５と、ＣＶＥ候補１５０６とが表示される。

　トラフィック推移１５０１は、選択された事象についての観測されたダークネットトラフィックの推移を示すグラフである。接続元ＩＰ上位１５０２は、選択された事象についてのアクセス数が上位の送信元のＩＰアドレスについての情報である。接続元ＩＰ上位１５０２には、例えば、日時、総数、送信元ＩＰ、ＩＰブラックリスト、アクセス数の情報が含まれる。日時は、アクセス数の集計開始時刻である。総数は、観測したダークネットトラフィックの総数である。送信元ＩＰは、送信元のＩＰアドレスである。ＩＰブラックリストは、送信元ＩＰがＩＰブラックリストデータ１２１に登録されているか否かの情報である。アクセス数は、送信元ＩＰ毎のトラフィック数である。

　ダークネット相関スコア１５０３は、選択された事象についての相関スコアに関する情報である。相関スコアに関する情報は、相関スコアデータ１１５のエントリに含まれる情報と、事象に対応する変化点検出データ１２２のエントリの組織内外２０５とを含んでもよい。ハニーポットログ１５０４は、選択された事象に対応するハニーポットのログである。ハニーポットのログは、ハニーポットログデータ１１６のエントリに含まれる情報と同様である。サイバー脅威インテリジェンス１５０５は、選択された事象に対応するサイバー脅威インテリジェンスの情報である。サイバー脅威インテリジェンスの情報は、サイバー脅威インテリジェンスデータ１１７のエントリに含まれる情報と同様である。ＣＶＥ候補１５０６は、選択された攻撃に対応するＣＶＥ候補の情報である。ＣＶＥ候補１５０６は、脆弱性データ１１８のエントリに含まれる情報や、ＣＶＥに対応する構成が自組織内に含まれているか否かを示す情報を含んでいる。

　次に、図１０から図１２に示す処理について具体的な例を挙げて説明する。

　例えば、組織内のダークネット観測装置１３１のｐｏｒｔ４４５／ＴＣＰに対するアクセス数が急変し、ステップ１００１の処理により算出された変化点スコアが閾値以上となった場合には、ステップ１００３において、図２の変化点検出データ１２２のＩＤ２０１＝「１」のエントリが生成される。以下、変化点検出データ１２２のＩＤ２０１＝「１」のエントリが生成された場合の後続の処理について説明する。

　ステップ１００４では、変化点検出データ１２２のＩＤ２０１＝「１」のエントリについては、変化点を検出した観測地点が自組織であるため、相関スコアは１となる。

　ステップ１００５では、変化点検出データ１２２のＩＤ２０１＝「１」のエントリの宛先ｐｏｒｔ／プロトコル２０６の「４４５／ＴＣＰ」と、製品ポートデータ１１９のエントリのｐｏｒｔ／プロトコル３０１とが突合される。この結果、製品名３０２として「製品ＡＡＡ」と「製品ＢＢＢ」との２つに絞り込まれる。

　ステップ１００６では、サイバー脅威インテリジェンスデータ１１７の製品名５０２、送信元ＩＰ５０３、及び宛先ｐｏｒｔ／プロトコル５０４と、ステップ１００５で得られた製品名３０２＝「製品ＡＡＡ」，「製品ＢＢＢ」、変化点検出データ１２２のエントリの送信元ＩＰ２０８＝「ＡＡＡ．ＡＡＡ．ＡＡＡ．ＡＡＡ」，「ＢＢＢ．ＢＢＢ．ＢＢＢ．ＢＢＢ」，「ＣＣＣ．ＣＣＣ．ＣＣＣ．ＣＣＣ」、宛先ｐｏｒｔ／プロトコル２０６＝「４４５／ＴＣＰ」、のそれぞれ、あるいは組み合わせと、が突合される。この結果、該当するものがないため、この例では何も抽出されない。

　ステップ１００７では、ハニーポットログデータ１１６のエントリの宛先ｐｏｒｔ／プロトコル４０３及び送信元ＩＰ４０４と、変化点検出データ１２２のエントリの送信元ＩＰ２０８＝「ＡＡＡ．ＡＡＡ．ＡＡＡ．ＡＡＡ」，「ＢＢＢ．ＢＢＢ．ＢＢＢ．ＢＢＢ」，「ＣＣＣ．ＣＣＣ．ＣＣＣ．ＣＣＣ」、宛先ｐｏｒｔ／プロトコル２０６＝「４４５／ＴＣＰ」、のそれぞれ、あるいは組み合わせとが突合される。この結果、ハニーポットログデータ１１６からは、攻撃名４０５が「攻撃Ａ」のエントリが抽出される。

　ステップ１００８では、脆弱性データ１１８のエントリの製品名６０４と、ステップ１００５で得られた製品名３０２＝「製品ＡＡＡ」，「製品ＢＢＢ」とが突合される。この結果、ＣＶＥ６０１が「ＣＶＥ－２０ＸＸ－ＡＡＡＡ」と、「ＣＶＤ－２０ＸＸ－ＢＢＢＢ」との２つのエントリが抽出される。

　ステップ１００９では、構成データ１２０のエントリの製品名７０１とバージョン７０２の組み合わせと、ステップ１００８で抽出されたエントリの製品名６０４＝「製品ＢＢＢ」と該当バージョン６０５＝「１．Ｘ」，「２．Ｘ」との組み合わせとが突合される。この結果、製品名７０１が「製品ＢＢＢ」である構成データ１２０のエントリが抽出される。

　次に、ステップ１０１０で対策優先度スコア算出処理（図１２）が実行され、ステップ１２０２では、変化点検出データ１２２のＩＤ２０１＝「１」のエントリは、自組織内のダークネット観測装置１３１により検知されたイベントに対応するため、真（Ｙｅｓ）と判定されて、ステップ１２０１ａで対策優先度スコアの上昇が行われる。

　次に、ステップ１２０３では、相関スコアは１であり、例えば、相関スコアの閾値が０．８と設定されているとした場合、相関スコアは、閾値以上であるため、真（Ｙｅｓ）と判定されて、ステップ１２０１ｂで対策優先度スコアの上昇が行われる。

　次に、ステップ１２０４では、変化点検出データ１２２のＩＤ２０１＝「１」のエントリの接続元ＩＰ２０８＝「ＡＡＡ．ＡＡＡ．ＡＡＡ．ＡＡＡ」，「ＢＢＢ．ＢＢＢ．ＢＢＢ．ＢＢＢ」が、ＩＰアドレス８０１に含まれるため、真（Ｙｅｓ）と判定されて、ステップ１２０１ｃで対策優先度スコアの上昇が行われる。

　次に、ステップ１２０５では、ステップ１００６において脅威インテリジェンスデータのエントリが抽出されなかったため、偽（Ｎｏ）と判定されて、ステップ１２０１ｄは実施されずに、処理がステップ１２０６に進む。

　次に、ステップ１２０６では、ステップ１００７においてハニーポットログデータ１１６の攻撃名４０５＝「攻撃Ａ」のエントリが抽出されているため、真（Ｙｅｓ）と判定されて、ステップ１２０１ｅで対策優先度スコアの上昇が行われる。

　次に、ステップ１２０７では、抽出されたハニーポットログデータ１１６のエントリの組織内外４０１＝「組織内」であるため、真（Ｙｅｓ）と判定されて、ステップ１２０１ｆで対策優先度スコアの上昇が行われる。

　次に、ステップ１２０８では、ステップ１００８で抽出されたエントリのＣＶＥ６０１＝「ＣＶＥ－２０ＸＸ－ＡＡＡＡ」が９であり、例えばＣＶＳＳスコアの閾値が８と設定されている場合、ＣＶＳＳスコアが閾値以上であるため、真（Ｙｅｓ）と判定されて、ステップ１２０１ｇで対策優先度スコアの上昇が行われる。

　次に、ステップ１２０９では、構成データ１２０に、脆弱性を含む製品である、製品名６０４＝「製品ＢＢＢ」と該当バージョン６０５＝「１．Ｘ」に対応するエントリが存在する、すなわち、脆弱性を含む製品が自組織内に存在するため、真（Ｙｅｓ）と判定されて、ステップ１２０１ｈで対策優先度スコアの上昇が行われる。この結果、対策優先度スコアは、７となる。これにより、対策優先度スコア算出処理が終了する。

　次に、ステップ１０１１において、対策優先度スコアを含む対策優先度スコア提示画面１３００が提示される。ステップ１０１１においては、対策優先度スコア提示画面１３００において、ＩＤ１３０１＝「１」の行が新たに追加される。

　この対策優先度スコア提示画面１３００において、ＩＤ１３０１＝「１」の行における対策優先度スコアの表示領域が選択指示されると、スコア内訳画面１４００と、詳細情報提示画面１５００とが提示される。

　詳細情報提示画面１５００では、変化点を検出した宛先ｐｏｒｔ／プロトコルのトラフィック推移や、送信元ＩＰ毎のアクセス数、自組織とのダークネット相関スコア、関連するハニーポットログ、関連するサイバー脅威インテリジェンス、関連するＣＶＥが一覧で提示される。なお、本例では、関連するサイバー脅威インテリジェンスが無いため、値が表示されていない。

　なお、組織外のダークネット観測装置１３５で変化点を検出した場合には、上記した組織内のダークネット観測装置１３１で変化点を検出した場合と同様な処理を行う。

　ここで、組織外のダークネット観測装置１３５に対する処理におけるステップ１００４のダークネットトラフィック相関データを更新する処理について、宛先ｐｏｒｔ／プロトコル＝「８０／ＴＣＰ」のダークネットトラフィックが増加し、変化点スコアが閾値以上となった場合を例に説明する。なお、ダークネットトラフィックの観測地点は、国２０２＝「アメリカ」、業界２０３＝「鉄道」、組織規模２０５＝「中」であるとする。また、観測地点では、例えば過去一年間に変化が検出された宛先ｐｏｒｔ／プロトコルが「２３／ＴＣＰ，４４５／ＴＣＰ，７００１／ＴＣＰ，１２３４５／ＴＣＰ」であるとする。

　この例においては、過去一年間に変化が検出された宛先ｐｏｒｔ／プロトコルに対して、今回検出された「８０／ＴＣＰ」を加えたリストが、観測地点における検出リストとなる。したがって、要素数Ｎ＝「５」となる。また、過去一年間に自組織と他組織で共通して検出された宛先ｐｏｒｔ／プロトコルが、「２３／ＴＣＰ，４４５／ＴＣＰ」であるとする。この場合には、要素数Ｍ＝「２」となる。これにより、観測地点と、自組織との相関スコアは、式（１）により、０．４と算出される。

　なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化することができる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成することができる。例えば、実施形態に示される全構成要素からいくつかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。

　例えば、上記実施形態では、対策優先度スコアを、ステップ１２０２～ステップ１２０９の８つの条件の判定に基づいて算出するようにしていたが、本発明はこれに限られず、これらの条件の１つ以上を用いて対策優先度スコアを算出するようにしてもよい。また、上記実施形態では、１つの条件を満たした場合の対策優先度スコアの上昇を同一の値としていたが、本発明はこれに限られず、条件に応じて上昇幅を異ならせてもよい。

　また、上記実施形態では、ダークネットトラフィックデータをポート及びプロトコルを単位として集計して、増加点を検出するようにしていたが、本発明はこれに限られず、例えば、ポート単位で集計してもよく、また、ＩＰアドレス単位で集計してもよい。

　１…計算機システム、１００…ネットワーク監視装置、１０２…ＣＰＵ、１０４…メインメモリ、１０５…記憶装置、１３１，１３５…ダークネット観測装置、１３２，１３６…ハニーポット

Claims

　プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置であって、
　前記プロセッサ部は、
　ネットワークにおけるダークネットトラフィックの増加点を検出し、
　検出された増加点に対応するダークネットトラフィックに関して、
　　ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
　　増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
　　送信元ＩＰアドレスがブラックリストに存在すること、
　　脅威インテリジェンスに攻撃情報として存在すること、
　　アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
　　前記ログが存在するハニーポットが自組織内のハニーポットであること、
　　前記ダークネットトラフィックの対象についての脆弱性のＣＶＳＳスコアが閾値以上であること、
　　対象となる脆弱性を持つ製品が自組織内に存在すること、の内の少なくとも１つの条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出する、ネットワーク監視装置。
　前記プロセッサ部は、
　複数の条件に該当するか否かに基づいて、前記評価値を算出する請求項１に記載のネットワーク監視装置。
　前記プロセッサ部は、
　前記相関スコアが閾値以上であることを含む１つ以上の条件に該当するか否かに基づいて、前記評価値を算出する請求項１に記載のネットワーク監視装置。
　前記プロセッサ部は、
　前記増加点に対応するダークネットトラフィックの観測地点における過去の対象の種類の数に対する、当該観測地点と前記自組織内とで共通する対象の種類の数に基づいて、前記相関スコアを算出する請求項３に記載のネットワーク監視装置。
　前記プロセッサ部は、
　前記ダークネットトラフィックが前記自組織内での検知であることを含む１つ以上の条件に該当するか否かに基づいて、前記評価値を算出する請求項１に記載のネットワーク監視装置。
　前記プロセッサ部は、
　脆弱性のＣＶＳＳスコアが閾値以上であること及び脆弱性を持つ製品が自組織内に存在することを含む複数の条件に該当するか否かに基づいて、前記評価値を算出する請求項１に記載のネットワーク監視装置。
　前記プロセッサ部は、
　ポート毎に対するダークネットトラフィックの増加点を検出し、ポート毎のダークネットトラフィックに対して、前記１つ以上の条件に該当する否かに基づいて、前記評価値を算出する請求項１に記載のネットワーク監視装置。
　前記プロセッサ部は、
　算出した前記評価値を表示させる請求項１に記載のネットワーク監視装置。
　前記プロセッサ部は、
　前記評価値の内訳を示す情報を表示させる請求項８に記載のネットワーク監視装置。
　前記プロセッサ部は、
　前記ダークネットトラフィックの送信元の情報を表示させる請求項８に記載のネットワーク監視装置。
　前記プロセッサ部は、
　複数の前記条件の全てに基づいて前記評価値を算出する請求項１に記載のネットワーク監視装置。
　ネットワークにおけるサイバー攻撃を監視するネットワーク監視装置によるネットワーク監視方法であって、
　ネットワークにおけるダークネットトラフィックの増加点を検出し、
　検出された増加点に対応するダークネットトラフィックに関して、
　　ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
　　増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
　　送信元ＩＰアドレスがブラックリストに存在すること、
　　脅威インテリジェンスに攻撃情報として存在すること、
　　アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
　　前記ログが存在するハニーポットが自組織内のハニーポットであること、
　　前記ダークネットトラフィックの攻撃対象についての脆弱性のＣＶＳＳスコアが閾値以上であること、
　　対象となる脆弱性を持つ製品が自組織内に存在すること、の内の少なくとも１つの条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出する、ネットワーク監視方法。
　プロセッサ部を備え、ネットワークにおけるサイバー攻撃を監視する計算機に実行させるネットワーク監視プログラムが記録された記憶媒体であって、
　前記計算機に、
　ネットワークにおけるダークネットトラフィックの増加点を検出させ、
　検出された増加点に対応するダークネットトラフィックに関して、
　　ダークネットトラフィックがネットワーク監視装置の所属する組織である自組織内での検知であること、
　　増加点に対応するダークネットトラフィックを観測した観測地点と、自組織との間のダークネットトラフィックの関連性を示す相関スコアが閾値以上であること、
　　送信元ＩＰアドレスがブラックリストに存在すること、
　　脅威インテリジェンスに攻撃情報として存在すること、
　　アクセスに応答するように構成されたハニーポットに前記ダークネットトラフィックと対応するログが存在すること、
　　前記ログが存在するハニーポットが自組織内のハニーポットであること、
　　前記ダークネットトラフィックの対象についての脆弱性のＣＶＳＳスコアが閾値以上であること、
　　対象となる脆弱性を持つ製品が自組織内に存在すること、の内の少なくとも１つの条件に該当するか否かに基づいて、サイバー攻撃への対策の優先度を示す評価値を算出させる、ネットワーク監視プログラムが記録された記憶媒体。