WO2021059521A1

WO2021059521A1 - 分析システム、方法およびプログラム

Info

Publication number: WO2021059521A1
Application number: PCT/JP2019/038326
Authority: WO
Inventors: 太田　和伸
Original assignee: 日本電気株式会社
Priority date: 2019-09-27
Filing date: 2019-09-27
Publication date: 2021-04-01
Also published as: JPWO2021059521A1; JP7298701B2; US12034761B2; US20220337619A1

Abstract

リスク分析の計算量を削減することができる分析システムを提供する。分析部６は、起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成する。分析部６は、組毎に、起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成されたファクトを用いることなく、起点となる機器に関する情報および終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、起点ファクトから終点ファクトを導出可能であるか否かを分析し、起点ファクトから終点ファクトを導出可能である場合に、起点ファクトに対応するノードから、終点ファクトに対応するノードに至る攻撃グラフを生成する。

Description

分析システム、方法およびプログラム

　本発明は、診断対象システムへの攻撃の分析を行う分析システム、分析方法および分析プログラムに関する。

　複数のコンピュータ等を含む情報処理システムにおいて、情報資産をサイバー攻撃等から守るためのセキュリティ対策をとることが求められている。セキュリティ対策としては、対象となるシステムの脆弱性等を診断し、必要に応じて脆弱性を取り除くこと等が挙げられる。

　特許文献１には、脆弱性個々の技術的な特性に加え、システム構成やトポロジに基づいて脆弱性リスクを評価し、現実のシステム状況に対応したリスク評価を行うシステムが記載されている。特許文献１に記載の技術では、機器、ネットワーク、脆弱性およびセキュリティ設定の各情報に対しグラフ理論を適用して、これらの関係をモデル化（グラフ化）している。さらに、当該モデルに推論アルゴリズムを適用することでシステムのリスクを評価している。

特開２０１６－１４３２９９号公報

　しかしながら、大規模なシステムを対象とすると、機器、ネットワーク、脆弱性およびセキュリティ設定の各情報が膨大になり、特許文献１に記載の技術で用いられるモデル（グラフ）は大規模なものになる。その結果、その大規模なモデル（グラフ）に推論アルゴリズムを適用すると、計算量が指数的に増加するという課題がある。

　そこで、本発明は、リスク分析の計算量を削減することができる分析システム、分析方法および分析プログラムを提供することを目的とする。

　本発明による分析システムは、診断対象システムに含まれる各機器に関する情報に基づいて、診断対象システムのセキュリティ状況を表わすデータであるファクトを生成するファクト生成部と、起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、起点となる機器に関する情報および終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、起点ファクトから終点ファクトを導出可能であるか否かを分析し、起点ファクトから終点ファクトを導出可能である場合に、起点ファクトに対応するノードから、終点ファクトに対応するノードに至る攻撃グラフを生成する分析部とを備えることを特徴とする。

　本発明による分析方法は、コンピュータが、診断対象システムに含まれる各機器に関する情報に基づいて、診断対象システムのセキュリティ状況を表わすデータであるファクトを生成し、起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、起点となる機器に関する情報および終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、起点ファクトから終点ファクトを導出可能であるか否かを分析し、起点ファクトから終点ファクトを導出可能である場合に、起点ファクトに対応するノードから、終点ファクトに対応するノードに至る攻撃グラフを生成することを特徴とする。

　本発明による分析プログラムは、コンピュータに、診断対象システムに含まれる各機器に関する情報に基づいて、診断対象システムのセキュリティ状況を表わすデータであるファクトを生成するファクト生成処理、および、起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、起点となる機器に関する情報および終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、起点ファクトから終点ファクトを導出可能であるか否かを分析し、起点ファクトから終点ファクトを導出可能である場合に、起点ファクトに対応するノードから、終点ファクトに対応するノードに至る攻撃グラフを生成する分析処理を実行させることを特徴とする。

　本発明によれば、リスク分析の計算量を削減することができる。

一般的な攻撃グラフの例を示す模式図である。本発明の実施形態の分析システムの例を示すブロック図である。生成されるファクトの例を示す図である。分析ルールの一例を示す図である。終点となるファクトに該当するノードが１つである攻撃グラフの例を示す模式図である。終点となるファクトに該当するノードが２つである攻撃グラフの例を示す模式図である。本発明の実施形態の分析システムの処理経過の例を示すフローチャートである。本発明の実施形態の分析システムの処理経過の例を示すフローチャートである。重複するパスを含む攻撃グラフの例を示す概略図である。起点となるファクトと終点となるファクトとの組毎に生成される攻撃グラフの概略図である。本発明の実施形態の分析システムに係るコンピュータの構成例を示す概略ブロック図である。本発明の分析システムの概要を示すブロック図である。

　以下の各実施形態にて説明する分析システムは、診断対象システムにおけるサイバー攻撃を分析するためのシステムである。診断対象システムは、セキュリティ診断の対象となるシステムである。診断対象システムの例として、例えば、企業内のＩＴ（Information Technology）システムや、工場やプラント等を制御するためのいわゆるＯＴ（Operational Technology）システム等が挙げられる。ただし、診断対象システムは、これらのシステムに限られない。複数の機器が通信ネットワークを介して接続されたシステムが、診断対象システムとなり得る。

　診断対象システムに含まれる各機器は、通信ネットワークを介して接続されている。診断対象システムに含まれる機器の例として、例えば、パーソナルコンピュータ、サーバ、スイッチ、ルータ、工場に設置される工作機器、工作機器の制御装置等が挙げられる。ただし、機器は、上記の例に限定されない。また、機器は、物理的な機器であっても、仮想的な機器であってもよい。

　診断対象システムへの攻撃の分析の一態様として、攻撃グラフを用いた分析が挙げられる。攻撃グラフは、ある機器の脆弱性の有無等の状態や、ある機器において実行可能な攻撃から、他の機器において実行可能になる攻撃の関係を表わすことができるグラフである。攻撃グラフは、セキュリティに関連し得る何らかの状態（機器、ネットワーク、脆弱性およびセキュリティ設定等）をファクトとして定義し、それらをノードとし、ファクト間の関係をエッジとする有向グラフでとして表される。

　ここで、ファクトとは、診断対象システムのセキュリティ状況を表わすデータである。より詳細な一例として、ファクトは、診断対象システム、または、診断対象システムに含まれる機器における、主にセキュリティに関連し得る何らかの状態を表わす。別の詳細な一例として、ファクトは、診断対象システムに含まれる各機器において行われ得る攻撃を表わす。この場合のファクトは、後述のように、機器と攻撃状態との組という形式や、機器、攻撃状態および権限の組という形式で表される。なお、攻撃の分析において、診断対象システムに含まれる機器にて何らかの攻撃が行われ得ることを仮定する場合が想定される。このような仮定がファクトとして扱われてもよい。

　ファクトは、診断対象システムに含まれる各機器から得られた情報から定めることができる。さらに、既存のファクトから新たなファクトを導出するためのルール（以下、分析ルールと記す。）によって、１つ以上の既存のファクトから新たなファクトを導出することができる。例えば、診断対象システムに含まれる各機器から得られた情報から定まるファクトを基にして、分析ルールを用いて新たなファクトを導出することができる。さらに、各機器から得られた情報から定まるファクトや新たに得られたファクトを基にしてまた新たなファクトを導出することができる。分析ルールによって新たなファクトが導出できなくなるまで、この動作を繰り返す。そして、ファクトのそれぞれをノードとし、新たに得られたファクトの基になるファクトに対応するノードからその新たに得られたファクトに対応するノードに向かうエッジでファクトに対応するノード同士を接続することで攻撃グラフを生成することができる。

　図１は、このようにして得られた一般的な攻撃グラフの例を示す模式図である。図１において、「ファクト」と記した矩形で表されるノードは、各機器から得られた情報から定まるファクトを表わしている。また、図１において、円で表されるノードおよび「ゴール」と記した矩形で表されるノードは、分析ルールを用いて新たに導出されたファクトを表わしている。なお、図１における「ゴール」は、分析ルールを用いて新たに導出されたファクトの一部であり、分析ルールを用いたファクトの導出の終点としたファクトを表わす。

　以下に説明する各実施形態の分析システムは、診断対象システムへの攻撃の分析に用いられ得る攻撃グラフを生成する。ただし、各実施形態の分析システムは、起点および終点となるファクトの組を１つ以上生成し、組毎に、それぞれ攻撃グラフを生成する。

　以下、本発明の実施形態を図面を参照して説明する。

実施形態１．
　図２は、本発明の実施形態の分析システムの例を示すブロック図である。本実施形態の分析システム１は、データ収集部２と、データ記憶部３と、ファクト生成部４と、分析ルール記憶部５と、分析部６と、攻撃グラフ記憶部７と、表示制御部８と、ディスプレイ装置９とを備える。

　データ収集部２は、診断対象システムに含まれる各機器に関する情報を収集する。

　機器に関する情報は、機器のセキュリティに関連し得る情報である。データ収集部２が収集する機器に関する情報の例として、例えば、機器に搭載されているＯＳ（Operating System）やそのバージョン情報、機器に搭載されているハードウェアの構成情報、機器に搭載されているソフトウェアやそのバージョン情報、機器が他の機器との間で授受する通信データやその通信データの授受に用いた通信プロトコルの情報、機器のポートの状態を示す情報（どのポートが開いているか）等が挙げられる。通信データには、その通信データの送信元や送信先の情報が含まれている。データ収集部２は、これらの情報を収集する。ただし、データ収集部２が収集する情報の例は、上記の例に限定されない。データ収集部２は、機器に関する情報として、機器のセキュリティに関連し得る他の情報を収集してもよい。

　データ収集部２は、診断対象システムに含まれる各機器から、直接、機器に関する情報を収集してもよい。この場合、分析システム１は、各機器と通信ネットワークを介して接続されていて、データ収集部２は、通信ネットワークを介して、各機器から情報を収集すればよい。

　あるいは、データ収集部２は、各機器の情報を収集する情報収集サーバから、各機器に関する情報を取得してもよい。この場合、分析システム１は、情報収集サーバと通信ネットワークを介して接続されていて、データ収集部２は、通信ネットワークを介して、情報収集サーバから各機器に関する情報を収集すればよい。

　また、各機器にエージェントが搭載されている場合には、データ収集部２は、エージェントを介して各機器に関する情報を収集してもよい。すなわち、データ収集部２は、エージェントを介して各機器の情報を収集した情報収集サーバから各機器に関する情報を取得してもよい。

　各機器に搭載されたエージェントのそれぞれが、機器に関する情報を情報収集サーバに送信し、データ収集部２は、その情報収集サーバから、診断対象システムに含まれる各機器に関する情報を収集してもよい。この場合、例えば、分析システム１は、情報収集サーバと通信ネットワークを介して接続されていて、データ収集部２は、通信ネットワークを介して、その情報収集サーバから各機器に関する情報を収集すればよい。

　データ収集部２は、診断対象システムに含まれる各機器に関する情報を収集すると、その情報を、データ記憶部３に記憶させる。

　データ記憶部３は、データ収集部２が収集した各機器に関する情報を記憶する記憶装置である。

　ファクト生成部４は、データ収集部２が収集した各機器に関する情報に基づいて、１つ以上のファクトを生成する。既に説明したように、ファクトとは、診断対象システムのセキュリティ状況を表わす。ファクト生成部４で生成されるファクトは、各機器から得られた具体的な情報から導き出される、診断対象システムに含まれる１つ以上の機器の主にセキュリティに関連する何らかの状態を表わす。

　ファクト生成部４は、例えば、事前に用意された、生成しようとするファクトを表わす１つ以上のテンプレートが含まれるファクト生成用ルールを参照し、それぞれのテンプレートに各機器に関する情報が合致するか否かを判断することで１つ以上のファクトを生成する。生成されたファクトのパラメータには、各機器に関する情報が適宜当てはめられる。

　図３は、生成されるファクトの例を示す。図３では、３つのファクトを例示しているが、ファクトは、図３に示す３つのファクトに限定されず、分析部６における処理に必要なファクトが適宜生成されればよい。

　図３において例１として示したファクトは、「機器‘ホストＡ’から機器‘ホストＢ’にＨＴＴＰ（HyperText Transfer Protocol ）の通信が可能である。」という事項を表わしている。

　図３において例２として示したファクトは、「機器‘ホストＢ’に搭載されたソフトウェア１に脆弱性があり、その脆弱性を攻撃することによって、管理者権限を取得できる。」という事項を表わしている。

　図３において例３として示したファクトは、「攻撃者が、機器‘ホストＡ’において管理者権限を有している。」という事項を表わしている。

　なお、ファクトの記述形式は、図３に示す例に限定されず、分析部６における処理が実行可能であれば他の形式であってもよい。

　分析ルール記憶部５は、分析ルールを記憶する記憶装置である。分析ルールは、既存のファクトから新たなファクトを導出するためのルールである。なお、分析ルールを用いて導出されるファクトは、主に、診断対象システムに含まれる各機器において行われ得る攻撃を表わすファクトである。分析ルール記憶部５は、診断対象システムに応じた１つ以上の分析ルールを記憶する。

　図４は、分析ルールの一例を示す。分析ルールは、導出される新たなファクトを表わす要素と、条件に該当する要素とを少なくとも含む。すなわち、分析ルールは、条件と合致するファクトが存在する場合に、新たなファクトが導出されることを表わす。図４に示す例では、１行目の要素が、導出される新たなファクトを表わす要素である。また、２行目から４行目までの各要素が、条件に該当する要素である。図４に示す分析ルールでは、３つの条件の全てにそれぞれ合致するファクトが存在する場合に、１行目に表される新たなファクトが導出される。また、分析ルールには、その分析ルールに対して一意に定められたラベルを表わす要素が含まれてもよい。図４に示す例では、５行目の要素が、分析ルールに一意に定められたラベルを表わす要素である。５行目の要素は、図４に示す分析ルールのラベルが「任意コード実行（exec01）」であることを表わしている。

　図４において、大文字で始まるパラメータは、変数である。変数となるパラメータは、合致させるファクトに応じて変化してよいことを表わす。図４に示す例では、「SrcHost 」および「DstHost 」が変数である。変数となるパラメータには、機器から収集された情報に含まれる種々の情報が当てはめられる。１つの分析ルールにおいて、同じパラメータで記述される変数には、共通の値が当てはめられる。例えば、図４における２行目および４行目に記述された変数「SrcHost 」には、共通の具体的な機器ＩＤが当てはめられる。同様に、図４における２行目および３行目に記述された変数「DstHost 」には、共通の具体的な機器ＩＤが当てはめられる。

　図４に示す分析ルールでは、条件に含まれる同じ変数に対しては、機器に関する同じ情報が当てはめられる。すなわち、図４に示す分析ルールでは、「SrcHost 」および「DstHost 」のパラメータそれぞれについて、機器に関する同一の情報が当てはめられる。そして、図４に示す例では、変数に対して上述のように機器に関する情報が当てはめられ、かつ、それぞれの条件に合致するそれぞれのファクトが存在する場合、１行目に表される新たなファクトが導出される。また、１行目に表される新たなファクトとして、機器に関する情報が変数に当てはめられたファクトが導出される。

　なお、分析ルールの記述形式は、図４に示す例に限定されない。

　分析部６は、起点および終点となるファクトの１つ以上の組のそれぞれのうち、起点となるファクトから終点となるファクトを導出可能である組について、攻撃グラフを生成する。分析部６は、一例として、起点となるファクトから終点となるファクトを導出可能か否かを分析する。そして、分析部６は、起点となるファクトから終点となるファクトを導出可能である場合に、攻撃グラフを生成する。分析部６は、起点となる機器に関する情報および終点となる機器に関する情報から生成されたファクト、起点となるファクト、および、分析ルール記憶部５に記憶された分析ルールを用いて、分析、および、攻撃グラフの生成を行う。このとき、分析部６は、起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報から生成されたファクトは用いない。

　起点となるファクトを、単に、起点ファクトと称する場合がある。同様に、終点となるファクトを、単に、終点ファクトと称する場合がある。

　なお、起点および終点となるファクトのそれぞれは、通常、診断対象システムに含まれる各機器において行われ得る攻撃を表わすファクト（攻撃可能性を表わすファクト）である。すなわち、起点となるファクトから終点となるファクトを導出可能であることは、起点となる機器において何らかの攻撃が可能な場合に、終点となる機器において別の攻撃が可能であることを示す。起点となるファクトから終点となるファクトを導出できないということは、起点となる機器において何らかの攻撃が可能であっても、終点となる機器において、終点となるファクトが表わす別の攻撃を実行できないことを示す。

　より具体的な動作例を説明する。分析部６は、攻撃グラフの起点となるファクトと、攻撃グラフの終点となるファクトとの１つ以上の組を生成する。起点および終点となるファクトのそれぞれは、起点となる機器および終点となる機器において行われ得る攻撃を表わすファクトである。

　分析部６は、攻撃グラフの起点となるファクトと攻撃グラフの終点となるファクトとの組毎に、起点となる機器に関する情報および終点となる機器に関する情報から生成されたファクト、起点となるファクト、および、分析ルール記憶部５に記憶された分析ルールに基づいて、起点となるファクトから終点となるファクトを導出可能であるか否かを分析する。このとき、分析部６は、起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報から生成されたファクトを用いない。

　ここで、攻撃グラフの起点となるファクト、および、攻撃グラフの終点となるファクトについて説明する。

　攻撃には複数の種類があり、機器の有する脆弱性に応じて、受ける可能性がある攻撃が異なる。そこで、本発明の実施形態では、脆弱性によって攻撃を受ける可能性がある機器の状態を攻撃状態と定義する。例えば、攻撃状態として、「コードを実行できる状態（以下、任意コード実行と記す。）」、「データを改ざんできる状態（以下、データ改ざんと記す。）」等が挙げられる。本実施形態では、「任意コード実行」、「データ改ざん」という２種類の攻撃状態が定められている場合を例にする。ただし、攻撃状態は、上記の２種類に限定されない。診断対象システムで起こり得る攻撃に応じて、この他の種類の攻撃状態が定められていてもよい。また、複数の攻撃状態を包含する攻撃状態が定められていてもよい。

　分析部６は、攻撃グラフの起点となるファクトとして、診断対象システムに含まれる各機器の機器ＩＤのうちの１つと、予め定められた複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成する。

　同様に、分析部６は、攻撃グラフの終点となるファクトとして、診断対象システムに含まれる各機器の機器ＩＤのうちの１つと、予め定められた複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成する。

　ここで、「権限」は、攻撃状態が示す攻撃を行う際の権限を含む。この場合の権限は、例えば、管理者権限または一般権限のいずれかである。また、「権限」には、攻撃状態が示す攻撃を行う際に権限が関連しないという事項（以下、「権限関連なし」と記す。）が含まれ得る。従って、予め定められた複数種類の権限は、一例として、「管理者権限」、「一般権限」および「権限関連なし」である。

　攻撃状態と権限との組み合わせは、攻撃状態の具体的な内容に応じて適宜定められる。例えば、「任意コード実行」、「データ改ざん」が示す各攻撃は、管理者権限または一般権限等の何らかの権限の下で行われ得る。従って、「任意コード実行」、「データ改ざん」の各攻撃状態に対しては、各攻撃状態の具体的内容に応じて、「管理者権限」や「一般権限」等の適当な権限が組み合わせられる。なお、本例では、攻撃状態は、「任意コード実行」、「データ改ざん」の２種類であるので、「権限関連なし」と組み合わされる攻撃状態はない。

　分析部６は、このような攻撃状態と権限との組み合わせのもとで、攻撃グラフの起点となるファクトとして、診断対象システムに含まれる機器のうちの１つに対応する機器と、複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成する。同様に、分析部６は、このような攻撃状態と権限との組み合わせのもとで、攻撃グラフの終点となるファクトとして、診断対象システムに含まれる機器のうちの１つに対応する機器と、複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成する。

　このように、本実施形態では、「機器、攻撃状態、権限」の組み合わせを、攻撃グラフの起点となるファクトや、攻撃グラフの終点となるファクトとして扱う。なお、攻撃グラフの生成において、ファクトに含まれる機器は、例えば、機器ＩＤによって表される。すなわち、起点および終点となるファクトのそれぞれは、機器ＩＤによって表される機器において、攻撃状態として表される攻撃を受ける可能性があることを表わすファクトである。

　さらに、分析部６は、攻撃グラフの起点となるファクト（「機器、攻撃状態、権限」の組み合わせ）と、攻撃グラフの終点となるファクト（「機器、攻撃状態、権限」の組み合わせ）との組を定める。分析部６は、この場合に、診断対象システムにおける、起点となるファクトと終点となるファクトとの全ての組を網羅的に定めてもよいし、一部の組を定めてもよい。一部の組を定める場合、分析部６は、診断対象システム内の特定のサブネットに含まれる機器等、診断対象システムに含まれる機器の一部を対象として、起点となるファクトと終点となるファクトとの組を定めてもよい。すなわち、分析部６は、起点となるファクトおよび終点となるファクトを、診断対象システムに含まれる機器のうちの一部の機器に基づいて生成する場合、診断対象システムの同一のサブネットに含まれる機器を、その一部の機器としてもよい。また、分析部６は、通信の際に他の機器を介する必要がある機器の組、すなわち、直接通信できない機器の組を除外して、起点となるファクトと終点となるファクトとの組を定めてもよい。換言すれば、分析部６は、起点となるファクトおよび終点となるファクトを、診断対象システムに含まれる機器のうちの一部の機器に基づいて生成する場合、直接通信できる機器を、その一部の機器としてもよい。

　このとき、分析部６は、起点側の機器と終点側の機器との組み合わせをそれぞれ定め、それぞれの機器の組み合わせのもとで、起点となるファクト（「機器、攻撃状態、権限」の組み合わせ）と、終点となるファクト（「機器、攻撃状態、権限」の組み合わせ）との組を定めてもよい。

　なお、起点となるファクトに含まれる機器と、終点となるファクトに含まれる機器とが、同じ機器であってもよい。すなわち、分析部６は、ある機器の１つの攻撃状態から、別の攻撃状態へ到達可能であるか、換言すると、ある機器においてある攻撃が可能な場合に、その機器で他の攻撃が可能になるかの分析も行うことができる。

　上記のように、起点となるファクトと終点となるファクトとの１つ以上の組を定めた後、分析部６は、その組毎に、起点となる機器に関する情報および終点となる機器に関する情報から生成された各々の機器の状態を表わすファクト、起点となるファクト、および、予め定められた１つ以上の分析ルールに基づいて、起点となるファクトから終点となるファクトを導出可能か否かを分析する。この場合、分析部６は、例えば、分析ルール記憶部５に記憶された分析ルールを基に推論アルゴリズムを適用すればよい。

　なお、分析部６は、他の手法を用いて、起点となるファクトから終点となるファクトを導出可能かを分析してもよい。この場合、分析部６は、起点となるファクトから終点となるファクトを導出できないと判定できた場合に、その組に対する分析を終了してもよい。

　そして、分析部６は、着目している組における起点となるファクトから終点となるファクトまでの攻撃グラフを生成する。攻撃グラフを生成する場合、分析部６は、起点となるファクトから終点となるファクトに至るまでの各ファクトにおいて、各ファクトをノードとして、新たに導出されたファクトの基になるファクトからその新たに導出されたファクトに向かうエッジでファクト同士を接続する。

　生成される攻撃グラフにおいて、終点となるファクトに該当するノードは１つとは限らない。終点となるファクトに該当するノードが複数存在する攻撃グラフが生成されてもよい。図５は、終点となるファクトに該当するノードが１つである攻撃グラフの例を示す模式図である。図６は、終点となるファクトに該当するノードが２つである攻撃グラフの例を示す模式図である。図５および図６において、“Ｓ”は起点となるファクトを表わし、“Ｅ”は終点となるファクトを表わす。図６に示す２つのファクト“Ｅ”の内容は同一である。同一の内容の２つのファクト“Ｅ”は、それぞれ異なる分析ルールに基づいて導出されたファクトである。すなわち、ファクトの導出に用いた分析ルールが異なっていても、終点となる同一内容のファクトが複数個、導出され得る。図６は、このような場合を例示している。

　分析部６は、起点および終点となるファクトの組毎に、起点となるファクトから終点となるファクトを導出可能か否かを分析し、終点となるファクトを導出できる場合に攻撃グラフを生成する。そして、分析部６は、生成した各攻撃グラフを攻撃グラフ記憶部７に記憶させる。攻撃グラフ記憶部７は、攻撃グラフを記憶する記憶装置である。

　表示制御部８は、分析部６によって生成された各攻撃グラフをディスプレイ装置９上に表示する。表示制御部８は、攻撃グラフ記憶部７から各攻撃グラフを読み込み、各攻撃グラフをディスプレイ装置９上に表示すればよい。

　また、表示制御部８は、攻撃グラフとともに、他の情報をディスプレイ装置９上に表示してもよい。

　例えば、表示制御部８は、起点となるファクト、終点となるファクト、および、それらのファクトが成立するか（例えば、起点となるファクトで仮定した攻撃が、起点となる機器で実際に起こり得るか等）を表示してもよい。

　また、例えば、表示制御部８は、分析で用いた各ファクトや機器の情報を表示してもよい。

　また、例えば、表示制御部８は、攻撃グラフ毎に、攻撃グラフの生成過程を表示してもよい。

　また、例えば、表示制御部８は、起点となるファクトから終点となるファクトを導出できなかった組に関して、終点となるファクトを導出できなかったことを表示してもよい。換言すれば、表示制御部８は、その組に関して、攻撃グラフが生成されなかったことを表示してもよい。この表示により、セキュリティ管理者（以下、単に管理者と記す。）は、起点となる機器である攻撃が可能であっても、そのことが起因となって、終点となる機器で別の攻撃が可能になるわけではないという、有用な情報を把握できる。

　上記のように例示した情報によって、管理者にとって、診断対象システムの管理や、攻撃に対する対策立案が容易になる。

　ディスプレイ装置９は、情報を表示する装置であり、一般的なディスプレイ装置でよい。なお、分析システム１がクラウド上に存在する場合には、ディスプレイ装置９は、クラウドに接続される端末のディスプレイ装置等であってもよい。

　データ収集部２は、例えば、分析プログラムに従って動作するコンピュータのＣＰＵ（Central Processing Unit ）、および、そのコンピュータの通信インタフェースによって実現される。例えば、ＣＰＵが、コンピュータのプログラム記憶装置等のプログラム記録媒体から分析プログラムを読み込み、その分析プログラムに従って、通信インタフェースを用いて、データ収集部２として動作すればよい。また、ファクト生成部４、分析部６および表示制御部８は、例えば、分析プログラムに従って動作するコンピュータのＣＰＵによって実現される。例えば、ＣＰＵが上記のようにプログラム記録媒体から分析プログラムを読み込み、その分析プログラムに従って、ファクト生成部４、分析部６および表示制御部８として動作すればよい。データ記憶部３、分析ルール記憶部５および攻撃グラフ記憶部７は、例えば、コンピュータが備える記憶装置によって実現される。

　次に、処理経過について説明する。図７および図８は、本発明の実施形態の分析システムの処理経過の例を示すフローチャートである。既に説明した事項については説明を省略する。

　まず、データ収集部２が、診断対象システムに含まれる各機器に関する情報を収集する（ステップＳ１）。データ収集部２は、収集したデータをデータ記憶部３に記憶させる。

　次に、ファクト生成部４が、各機器に関する情報に基づいて、１つ以上のファクトを生成する（ステップＳ２）。

　次に、分析部６が、攻撃グラフの起点となるファクトとして、機器のうちの１つと、複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成する。同様に、分析部６は、攻撃グラフの終点となるファクトとして、機器のうちの１つと、複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成する（ステップＳ３）。

　次に、分析部６が、攻撃グラフの起点となるファクトと、攻撃グラフの終点となるファクトとの組を１つ以上、生成する（ステップＳ４）。

　次に、分析部６は、ステップＳ４で生成された組が全てステップＳ６で選択済みであるか否かを判定する（ステップＳ５）。未選択の組がある場合（ステップＳ５のＮｏ）、ステップＳ６に移行する。最初にステップＳ４からステップＳ５に移行した場合、１つの組も選択されていない。従って、この場合、ステップＳ６に移行する。

　ステップＳ６において、分析部６は、ステップＳ４で生成された組のうち、まだ選択されていない組を１つ選択する。

　ステップＳ６に続いて、分析部６は、ファクトを取捨選択する（ステップＳ６ａ）。ステップＳ６ａにおいて、分析部６は、ステップＳ７の分析で用いるファクトを選択し、ステップＳ７の分析で用いないファクトについては選択しない。具体的には、分析部６は、起点となる機器に関する情報および終点となる機器に関する情報から生成されたファクトと、起点となるファクトとを選択する。また、分析部６は、起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成されたファクトについては選択しない。起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成されたファクトは、ステップＳ７の分析で用いられない。

　ステップＳ６ａの後、分析部６は、選択した組に関して、起点となるファクトから終点となるファクトを導出可能か否かを分析する（ステップＳ７）。ステップＳ７の開始時点では、分析部６は、起点となる機器に関する情報および終点となる機器に関する情報から生成されたファクト、および、起点となるファクト（すなわち、ステップＳ６ａで選択したファクト）とを既存のファクト（参照対象のファクト）とする。そして、分析部６は、分析ルールに基づいて新たなファクトを導出した場合、その新たなファクトを上記の既存のファクト（参照対象のファクト）に追加する。分析部６は、既存のファクト（参照対象のファクト）と分析ルールに基づいて、新たなファクトの導出を繰り返すことによって、終点となるファクトを導出可能か否かを分析する。新たなファクトを導出できなくなるまで新たなファクトの導出を繰り返しても、選択している組における終点となるファクトが得られなかった場合には、分析部６は、起点となるファクトから終点となるファクトを導出できないと判断する。

　起点となるファクトから終点となるファクトを導出できなかった場合（ステップＳ８のＮｏ）、分析部６はステップＳ５以降の処理を繰り返す。

　起点となるファクトから終点となるファクトを導出できた場合（ステップＳ８のＹｅｓ）、分析部６は、選択した組における、ファクトをノードとし、起点となるファクトから終点となるファクトまでの攻撃グラフを生成し、その攻撃グラフを攻撃グラフ記憶部７に記憶させる（ステップＳ９）。ステップＳ９の後、分析部６はステップＳ５以降の処理を繰り返す。

　分析部６が、ステップＳ４で生成された組が全てステップＳ６で選択済みであると判定した場合（ステップＳ５のＹｅｓ）、表示制御部８は、攻撃グラフ記憶部７に記憶されている各攻撃グラフを読み込み、各攻撃グラフをディスプレイ装置９上に表示する（ステップＳ１０、図８参照）。

　本実施形態によれば、分析部６は、攻撃グラフの起点となるファクトと、攻撃グラフの終点となるファクトとの１つ以上の組を生成する。さらに、分析部６は、ステップＳ６で１つの組を選択し、その組に関して、終点となるファクトを導出可能か否かの分析（ステップＳ７）を行う場合、ステップＳ７の開始時点で、起点となる機器に関する情報および終点となる機器に関する情報から生成されたファクトと、起点となるファクトとを既存のファクトとする。つまり、その時点では、これらの既存のファクトが分析部６による参照対象のファクトとなる。従って、ファクト生成部４によって生成されたファクトのうち、起点となる機器に関する情報および終点となる機器に関する情報から生成されたファクトが、ステップＳ７において参照対象とされる。これら以外のファクトは、ステップＳ７における参照対象から除外される。参照対象から除外されるファクトと、ステップＳ７の開始時点で既存のファクトとなるファクトとの選別は、ステップＳ６ａで行われる。すなわち、ステップＳ６ａで、分析部６は、起点となる機器に関する情報および終点となる機器に関する情報から生成されたファクトと、起点となるファクトとを選択する。これらのファクトは、ステップＳ７の開始時点で既存のファクトとなる。また、ステップＳ６ａで、分析部６は、起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成されたファクトについては選択しない。この結果、これらのファクトは、ステップＳ７における参照対象から除外される。これにより、起点となるファクトから終点となるファクトを導出可能かを分析する際に、冗長なファクトを導出することなく、起点となるファクトから終点となるファクトを導出可能であるか否かが分析される。従って、組毎に攻撃グラフを生成する際の計算量を抑えることができる。すなわち、本実施形態では、計算量を抑えて、診断対象システムへの攻撃を分析することができる。

　参照対象とするファクトを制限せずに攻撃グラフを生成する場合と、本実施形態における攻撃グラフの生成とを比較する。参照対象とするファクトを制限せずに攻撃グラフを生成する場合には、診断対象システムに含まれる機器の数が増加するほど、機器の状態を表わすファクトが増加するため、結果として、分析ルールから新たに生成されるファクトも増加する。そのため、攻撃グラフ生成に要する計算時間が増加していく。

　一方、本実施形態では、分析部６が、攻撃グラフの起点となるファクトと、攻撃グラフの終点となるファクトとの１つ以上の組について攻撃グラフを生成する。そして、前述のように、各々の組に関して起点となるファクトから終点となるファクトを導出可能か否かの分析を開始する時点で、参照対象となるファクトが制限される。すなわち、この場合においては、起点となる機器に関する情報および終点となる機器に関する情報から生成されたファクトと、起点となるファクトとが参照対象のファクトとなる。起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成されたファクトは、ステップＳ７における参照対象から除外される。これにより、起点となる機器および終点となる機器以外の機器に関連するファクトの導出等を行わずに、起点となるファクトから終点となるファクトを導出可能か否かの分析が行われる。換言すると、参照対象となるファクトが制限されることで、起点となるファクトから終点となるファクトを直接的に導出するような一連のファクトが導出され、その他の冗長なファクトの導出が抑制される。従って、起点となるファクトから終点となるファクトに至る攻撃グラフの生成に必要な計算量の削減が可能となる。すなわち、リスク分析の計算量を削減することができる。

　また、１つの攻撃グラフには、重複するパスが複数存在する場合がある。図９は、重複するパスを含む攻撃グラフの例を示す概略図である。図９に示す例では、ファクトＣからファクトＤに至るパスや、ファクトＢからファクトＤに至るパスが複数存在する。本発明の実施形態では、参照対象となるファクトを、起点となる機器および終点となる機器に関連するファクトに絞り込むことで、重複するパスが生じる可能性を削減することができる。

　次に、本発明の実施形態の変形例について説明する。

　上記の実施形態では、分析部６が、攻撃グラフの起点となるファクトや終点となるファクトとして、機器のうちの１つと、複数種類の攻撃状態のうちの１つと、攻撃対象と対応し得る権限のうちの１つとの組み合わせを生成する場合を説明した。攻撃グラフの起点となるファクトや終点となるファクトを生成する場合に、分析部６は、権限を組み合わせに含めずに、機器のうちの１つと、複数種類の攻撃状態のうちの１つとの組み合わせを、起点となるファクトや終点となるファクトとして生成してもよい。すなわち、起点または終点となるファクトは、少なくとも、機器と攻撃状態の組であればよい。この場合に、分析部６は、攻撃グラフの起点となるファクトとして、機器のうちの１つと、複数種類の攻撃状態のうちの１つとの組み合わせを生成し、攻撃グラフの終点となるファクトとして、機器のうちの１つと、複数種類の攻撃状態のうちの１つとの組み合わせを生成してもよい。

　本変形例によれば、起点や終点となるファクトに該当する組合せから、権限が除外されるので、分析部６は、より高速に処理を実行することができる。すなわち、分析部６は、より高速に攻撃グラフを生成することができる。

　また、分析部６は、最初に、起点や終点となるファクトとして、権限を除外した組み合わせを生成し、起点となるファクトから終点となるファクトを導出可能か否かを分析し、起点となるファクトから終点となるファクトを導出可能と判断した場合に、起点や終点となるファクトとして、機器と攻撃状態と権限とを含む組み合わせを改めて生成してもよい。そして、分析部６は、その上で、再度、起点となるファクトから終点となるファクトを導出可能か否かを分析してもよい。このように処理によって、起点や終点となるファクトとして権限を除外した組み合わせを生成する場合に生じ得る冗長な分析を防ぎつつ、効率よく攻撃グラフを生成することができる。

実施形態２．
　本発明の第２の実施形態の分析システムも、第１の実施形態と同様に、図２に例示するように表すことができる。よって、図２を参照して、第２の実施形態を説明する。

　本発明の第２の実施形態の分析システム１は、第１の実施形態と同様の動作を実施する。第１の実施形態と同様の動作については、説明を省略する。第２の実施形態では、分析部６が、生成した複数の攻撃グラフを接続する処理を、さらに行う。以下、分析部６が攻撃グラフを接続する動作について説明する。

　第２の実施形態では、分析部６は、ステップＳ５～Ｓ９のループ処理で得られた複数の攻撃グラフを接続できる場合に、複数の攻撃グラフを接続する。攻撃グラフを接続する条件は、ある攻撃グラフの終点となるファクトと、別の攻撃グラフの起点となるファクトとが一致することである。このように、ある攻撃グラフの終点となるファクトと、別の攻撃グラフの起点となるファクトとが一致する場合、分析部６は、その２つの攻撃グラフが接続可能であると判断する。そして、分析部６は、ある攻撃グラフの終点となるファクトに対応するノードと、別の攻撃グラフの起点となるファクトに対応するノードとを同一ノードとすることによって、その２つの攻撃グラフを接続する。また、攻撃グラフを接続する条件として、ある攻撃グラフの起点となるファクトと、別の攻撃グラフの起点となるファクトとが一致することも挙げられる。すなわち、ある攻撃グラフの起点となるファクトと、別の攻撃グラフの起点となるファクトとが一致する場合に、分析部６は、その２つの攻撃グラフが接続可能であると判断する。そして、分析部６は、ある攻撃グラフの起点となるファクトに対応するノードと、別の攻撃グラフの起点となるファクトに対応するノードとを同一ノードとすることによって、その２つのグラフを接続する。

　参照するファクトを絞り込まずに生成された、診断対象システム全体に関する攻撃グラフの概略図の一例は、前述の図９のように表すことができる。それに対して、分析部６が、起点となるファクトと終点となるファクトとの組毎に生成される攻撃グラフの概略図は、図１０に例示する攻撃グラフ５１～５６のように表すことができる。例えば、攻撃グラフ５１の終点となるファクトと、攻撃グラフ５４，５５の始点となるファクトとは一致している。従って、分析部６は、攻撃グラフ５１の終点となるファクトに対応するノードと、攻撃グラフ５４の起点となるファクトに対応するノードとを同一ノードとすることによって、攻撃グラフ５１，５４を接続する。同様に、分析部６は、攻撃グラフ５１，５４を接続する。分析部６は、同様に、接続可能な攻撃グラフ同士を接続する。また、攻撃グラフ５１，５２，５３それぞれの起点となるファクトは、一致している。従って、分析部６は、攻撃グラフ５１，５２，５３それぞれの起点となるファクトに対応するノードを同一ノードとすることによって、攻撃グラフ５１，５２，５３を接続する。

　なお、表示制御部８は、第１の実施形態の動作に加え、接続された後の攻撃グラフをディスプレイ装置９上に表示させてもよい。

　前述のように接続可能な攻撃グラフ同士を接続する処理を繰り返すことで、診断対象システム全体に関する攻撃グラフを生成することができる。第１の実施形態で説明したように、起点となるファクトと終点となるファクトとの組毎に生成する攻撃グラフの生成に要する計算量は少なくて済む。従って、第２の実施形態によれば、診断対象システム全体に対する攻撃グラフを直接生成する場合と比較して、少ない計算量で、診断対象システム全体に関する攻撃グラフを生成することができる。

　また、第２の実施形態によれば、診断対象システム全体に関する攻撃グラフを生成することができるので、管理者は、診断対象システム全体における攻撃の状況を把握することができる。そして、その結果として、管理者は、診断対象システム全体の脆弱性の判断や、その脆弱性に対する攻撃への対策の立案を容易に行うことができる。

　図１１は、本発明の各実施形態の分析システム１に係るコンピュータの構成例を示す概略ブロック図である。コンピュータ１０００は、ＣＰＵ１００１と、主記憶装置１００２と、補助記憶装置１００３と、インタフェース１００４と、ディスプレイ装置１００５と、通信インタフェース１００６とを備える。

　本発明の各実施形態の分析システム１は、コンピュータ１０００によって実現される。分析システム１の動作は、分析プログラムの形式で補助記憶装置１００３に記憶されている。ＣＰＵ１００１は、その分析プログラムを補助記憶装置１００３から読み出して主記憶装置１００２に展開し、その分析プログラムに従って、上記の各実施形態で説明した処理を実行する。

　補助記憶装置１００３は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース１００４を介して接続される磁気ディスク、光磁気ディスク、ＣＤ－ＲＯＭ（Compact Disk Read Only Memory ）、ＤＶＤ－ＲＯＭ（Digital Versatile Disk Read Only Memory ）、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ１０００に配信される場合、配信を受けたコンピュータ１０００がそのプログラムを主記憶装置１００２に展開し、そのプログラムに従って上記の各実施形態で説明した処理を実行してもよい。

　また、各構成要素の一部または全部は、汎用または専用の回路（circuitry ）、プロセッサ等やこれらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。

　各構成要素の一部または全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。

　次に、本発明の概要について説明する。図１２は、本発明の分析システムの概要を示すブロック図である。本発明の分析システムは、ファクト生成部４と、分析部６とを備える。

　ファクト生成部４は、診断対象システムに含まれる各機器に関する情報に基づいて、診断対象システムのセキュリティ状況を表わすデータであるファクトを生成する。

　分析部６は、起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、起点となる機器と終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、起点となる機器に関する情報および終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、起点ファクトから終点ファクトを導出可能であるか否かを分析し、起点ファクトから終点ファクトを導出可能である場合に、起点ファクトに対応するノードから、終点ファクトに対応するノードに至る攻撃グラフを生成する。

　そのような構成によって、リスク分析の計算量を削減することができる。

　上記の本発明の実施形態は、以下の付記のようにも記載され得るが、以下に限定されるわけではない。

（付記１）
　診断対象システムに含まれる各機器に関する情報に基づいて、前記診断対象システムのセキュリティ状況を表わすデータであるファクトを生成するファクト生成部と、
　起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、前記起点となる機器と前記終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、前記起点となる機器に関する情報および前記終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、前記起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、前記起点ファクトから前記終点ファクトを導出可能であるか否かを分析し、前記起点ファクトから前記終点ファクトを導出可能である場合に、前記起点ファクトに対応するノードから、前記終点ファクトに対応するノードに至る攻撃グラフを生成する分析部とを備える
　ことを特徴とする分析システム。

（付記２）
　分析部は、
　生成した攻撃グラフ同士が接続可能である場合に、前記攻撃グラフ同士を接続する
　付記１に記載の分析システム。

（付記３）
　分析部は、
　一の攻撃グラフの終点ファクトと、別の攻撃グラフの起点ファクトとが一致する場合に、前記一の攻撃グラフと前記別の攻撃グラフとが接続可能であると判断する
　付記２に記載の分析システム。

（付記４）
　分析部は、
　一の攻撃グラフの終点ファクトと、別の攻撃グラフの起点ファクトとが一致する場合に、前記終点ファクトに対応するノードと、前記起点ファクトに対応するノードとを同一ノードとすることによって、前記一の攻撃グラフと前記別の攻撃グラフとを接続する
　付記２または付記３に記載の分析システム。

（付記５）
　分析部は、
　起点ファクトとして、機器のうちの１つと、予め定められた複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成し、
　終点ファクトとして、機器のうちの１つと、前記複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成する
　付記１から付記４のうちのいずれかに記載の分析システム。

（付記６）
　分析ルールは、条件に該当する要素と、新たなファクトを表わす要素とを含み、
　分析部は、
　前記条件に該当する要素に合致する既存のファクトが存在する場合に、前記分析ルールに基づいて新たなファクトを導出し、当該新たなファクトを既存のファクトに追加する動作を繰り返し、新たなファクトが終点ファクトに該当する場合に、起点ファクトから前記終点ファクトを導出可能であると判断する
　付記１から付記５のうちのいずれかに記載の分析システム。

（付記７）
　分析部は、
　起点ファクトおよび終点ファクトを、診断対象システムに含まれる機器のうちの一部の機器に基づいて生成する
　付記１から付記６のうちのいずれかに記載の分析システム。

（付記８）
　診断対象システムに含まれる機器のうちの一部の機器は、前記診断対象システムの同一のサブネットに含まれる機器である
　付記７に記載の分析システム。

（付記９）
　診断対象システムに含まれる機器のうちの一部の機器は、直接通信できる機器である
　付記７に記載の分析システム。

（付記１０）
　分析部によって生成された攻撃グラフをディスプレイ装置上に表示する表示制御部を備える
　付記１から付記９のうちのいずれかに記載の分析システム。

（付記１１）
　コンピュータが、
　診断対象システムに含まれる各機器に関する情報に基づいて、前記診断対象システムのセキュリティ状況を表わすデータであるファクトを生成し、
　起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、前記起点となる機器と前記終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、前記起点となる機器に関する情報および前記終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、前記起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、前記起点ファクトから前記終点ファクトを導出可能であるか否かを分析し、前記起点ファクトから前記終点ファクトを導出可能である場合に、前記起点ファクトに対応するノードから、前記終点ファクトに対応するノードに至る攻撃グラフを生成する
　ことを特徴とする分析方法。

（付記１２）
　コンピュータに、
　診断対象システムに含まれる各機器に関する情報に基づいて、前記診断対象システムのセキュリティ状況を表わすデータであるファクトを生成するファクト生成処理、および、
　起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、前記起点となる機器と前記終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、前記起点となる機器に関する情報および前記終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、前記起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、前記起点ファクトから前記終点ファクトを導出可能であるか否かを分析し、前記起点ファクトから前記終点ファクトを導出可能である場合に、前記起点ファクトに対応するノードから、前記終点ファクトに対応するノードに至る攻撃グラフを生成する分析処理
　を実行させるための分析プログラム。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記の実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

産業上の利用の可能性

　本発明は、診断対象システムへの攻撃の分析を行う分析システムに好適に適用される。

　１　分析システム
　２　データ収集部
　３　データ記憶部
　４　ファクト生成部
　５　分析ルール記憶部
　６　分析部
　７　攻撃グラフ記憶部
　８　表示制御部
　９　ディスプレイ装置

Claims

　診断対象システムに含まれる各機器に関する情報に基づいて、前記診断対象システムのセキュリティ状況を表わすデータであるファクトを生成するファクト生成部と、
　起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、前記起点となる機器と前記終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、前記起点となる機器に関する情報および前記終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、前記起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、前記起点ファクトから前記終点ファクトを導出可能であるか否かを分析し、前記起点ファクトから前記終点ファクトを導出可能である場合に、前記起点ファクトに対応するノードから、前記終点ファクトに対応するノードに至る攻撃グラフを生成する分析部とを備える
　ことを特徴とする分析システム。
　分析部は、
　生成した攻撃グラフ同士が接続可能である場合に、前記攻撃グラフ同士を接続する
　請求項１に記載の分析システム。
　分析部は、
　一の攻撃グラフの終点ファクトと、別の攻撃グラフの起点ファクトとが一致する場合に、前記一の攻撃グラフと前記別の攻撃グラフとが接続可能であると判断する
　請求項２に記載の分析システム。
　分析部は、
　一の攻撃グラフの終点ファクトと、別の攻撃グラフの起点ファクトとが一致する場合に、前記終点ファクトに対応するノードと、前記起点ファクトに対応するノードとを同一ノードとすることによって、前記一の攻撃グラフと前記別の攻撃グラフとを接続する
　請求項２または請求項３に記載の分析システム。
　分析部は、
　起点ファクトとして、機器のうちの１つと、予め定められた複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成し、
　終点ファクトとして、機器のうちの１つと、前記複数種類の攻撃状態のうちの１つと、攻撃状態と対応し得る権限のうちの１つとの組み合わせを生成する
　請求項１から請求項４のうちのいずれか１項に記載の分析システム。
　分析ルールは、条件に該当する要素と、新たなファクトを表わす要素とを含み、
　分析部は、
　前記条件に該当する要素に合致する既存のファクトが存在する場合に、前記分析ルールに基づいて新たなファクトを導出し、当該新たなファクトを既存のファクトに追加する動作を繰り返し、新たなファクトが終点ファクトに該当する場合に、起点ファクトから前記終点ファクトを導出可能であると判断する
　請求項１から請求項５のうちのいずれか１項に記載の分析システム。
　分析部は、
　起点ファクトおよび終点ファクトを、診断対象システムに含まれる機器のうちの一部の機器に基づいて生成する
　請求項１から請求項６のうちのいずれか１項に記載の分析システム。
　診断対象システムに含まれる機器のうちの一部の機器は、前記診断対象システムの同一のサブネットに含まれる機器である
　請求項７に記載の分析システム。
　診断対象システムに含まれる機器のうちの一部の機器は、直接通信できる機器である
　請求項７に記載の分析システム。
　分析部によって生成された攻撃グラフをディスプレイ装置上に表示する表示制御部を備える
　請求項１から請求項９のうちのいずれか１項に記載の分析システム。
　コンピュータが、
　診断対象システムに含まれる各機器に関する情報に基づいて、前記診断対象システムのセキュリティ状況を表わすデータであるファクトを生成し、
　起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、前記起点となる機器と前記終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、前記起点となる機器に関する情報および前記終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、前記起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、前記起点ファクトから前記終点ファクトを導出可能であるか否かを分析し、前記起点ファクトから前記終点ファクトを導出可能である場合に、前記起点ファクトに対応するノードから、前記終点ファクトに対応するノードに至る攻撃グラフを生成する
　ことを特徴とする分析方法。
　コンピュータに、
　診断対象システムに含まれる各機器に関する情報に基づいて、前記診断対象システムのセキュリティ状況を表わすデータであるファクトを生成するファクト生成処理、および、
　起点となる機器における攻撃の可能性を表わすファクトである起点ファクトと、終点となる機器における攻撃の可能性を表わすファクトである終点ファクトとの組を１つ以上生成し、組毎に、前記起点となる機器と前記終点となる機器のいずれにも該当しない機器に関する情報に基づいて生成された機器の状態を表わすファクトを用いることなく、前記起点となる機器に関する情報および前記終点となる機器に関する情報に基づいて生成された機器の状態を表わすファクト、前記起点ファクト、および攻撃を分析するための１つ以上の分析ルールに基づいて、前記起点ファクトから前記終点ファクトを導出可能であるか否かを分析し、前記起点ファクトから前記終点ファクトを導出可能である場合に、前記起点ファクトに対応するノードから、前記終点ファクトに対応するノードに至る攻撃グラフを生成する分析処理
　を実行させるための分析プログラム。