WO2021064773A1

WO2021064773A1 - 管理装置、ネットワーク監視システム、判定方法、通信方法、及び非一時的なコンピュータ可読媒体

Info

Publication number: WO2021064773A1
Application number: PCT/JP2019/038463
Authority: WO
Inventors: 英尚外山; 祥光和田; 雅彦本多
Original assignee: 日本電気株式会社
Priority date: 2019-09-30
Filing date: 2019-09-30
Publication date: 2021-04-08
Also published as: JP2023111938A; JPWO2021064773A1; US20220337605A1; JP7290168B2

Abstract

サイバー攻撃に対する保険の申請漏れを減少させる管理装置を提供することを目的とする。本開示の第１の態様にかかる管理装置（１０）は、サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出されるデータに関するセキュリティ情報を収集するデータ収集部（１１）と、サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、セキュリティ情報が保険発動条件を満たすか否かを判定する判定部（１２）と、を備える。

Description

管理装置、ネットワーク監視システム、判定方法、通信方法、及び非一時的なコンピュータ可読媒体

　本開示は管理装置、ネットワーク監視システム、判定方法、通信方法、及び非一時的なコンピュータ可読媒体に関する。

　近年、家庭等の個人ネットワークもしくは企業ネットワーク（以下、企業等のネットワーク）に対するサイバー攻撃の脅威に対して様々な対策が行われている。例えば、企業等のネットワークへの不正侵入の検出及び企業等のネットワークへの不正侵入の防止等の対策が行われている。

　さらに、企業等のネットワークに対するサイバー攻撃によって生じた損害を、保険を用いて補償するサービスも普及している。特許文献１には、ファイアウォールを用いて保護されている利用者のネットワークへの不正侵入により、データの窃盗、改ざん、及び破壊を含む不正行為があった場合に、不正行為に起因する損害を補償するシステムの構成が開示されている。特許文献１に開示されたシステムは、利用者の識別情報及び利用者のネットワーク上におけるデータの保険料が登録されたデータベースを含む。特許文献１に開示されたシステムは、利用者のネットワークにおいて不正行為があったことが判明した場合に、不正行為されたデータを示す情報と、利用者の識別情報と、データベースとを用いることによって、利用者に支払う保険額を自動的に決定する。

特開２００３－３４５９８９号公報

　しかし、特許文献１に開示されたシステムを用いる場合、利用者のネットワークに実際に損害が発生した後でなければ、保険額が自動的に決定されない。そのため、損害の特定に時間がかかる、もしくは、損害を把握できない場合、利用者から保険会社に対して、発生した損害に関する保険の申請漏れが発生する可能性が高くなるという問題がある。

　本開示の目的は、サイバー攻撃に対する保険の申請漏れを減少させる管理装置、ネットワーク監視システム、判定方法、通信方法、及び非一時的なコンピュータ可読媒体を提供することにある。

　本開示の第１の態様にかかる管理装置は、サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集するデータ収集部と、サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定する判定部と、を備える。

　本開示の第２の態様にかかるネットワーク監視システムは、サイバー保険契約者が管理するネットワークを監視し、所定の通信パターンに基づいて、サイバー攻撃の発生の疑いを示すデータを検出するセキュリティ装置と、前記セキュリティ装置から、検出された前記データに関するセキュリティ情報を収集し、サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定する管理装置と、を備える。

　本開示の第３の態様にかかる判定方法は、サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集し、サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定する。

　本開示の第４の態様にかかる通信方法は、サイバー保険契約者が管理するネットワークを監視するセキュリティ装置において実行される通信方法であって、サイバー攻撃の発生の疑いを示すデータを所定の通信パターンに基づいて検出し、前記データのうち、前記データに関するセキュリティ情報がサイバー保険の適用基準を定める保険発動条件を満たすか否かを判定する管理装置が定める検出条件を満たすデータに関するセキュリティ情報を前記管理装置へ送信する。

　本開示の第５の態様にかかるプログラムは、サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集し、サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定することをコンピュータに実行させる。

　本開示により、サイバー攻撃に対する保険の申請漏れを減少させる管理装置、ネットワーク監視システム、及び判定方法を提供することができる。

実施の形態１にかかる管理装置の構成図である。実施の形態２にかかるネットワーク監視システムの構成図である。実施の形態２にかかる管理装置の図である。実施の形態２にかかるセキュリティ装置の構成図である。実施の形態２にかかる保険発動に関する判定処理の流れを示す図である。実施の形態３にかかる管理装置におけるデータベースの更新処理の流れを示す図である。実施の形態４にかかる保険発動に関する判定処理の流れを示す図である。それぞれの実施の形態にかかる装置の構成図である。

　（実施の形態１）
　以下、図面を参照して本開示の実施の形態について説明する。図１を用いて実施の形態１にかかる管理装置１０の構成例について説明する。管理装置１０は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。管理装置１０は、例えば、サーバ装置であってもよい。

　管理装置１０は、データ収集部１１及び判定部１２を有している。データ収集部１１及び判定部１２は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。もしくは、データ収集部１１及び判定部１２は、回路もしくはチップ等のハードウェアであってもよい。

　データ収集部１１は、サイバー保険契約者が管理するネットワーク（以下、管理ネットワークと称する）を監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集する。

　サイバー保険は、ネットワークに対するサイバー攻撃に応じて保険金を支払うサービスである。サイバー攻撃は、例えば、データの窃盗、改ざん、もしくは破壊等であってもよい。管理ネットワークは、例えば、家庭もしくは企業内におけるＬＡＮ（Local Area Network）であってもよく、企業内に閉じたネットワークであるイントラネットであってもよい。

　セキュリティ装置は、例えば、管理ネットワークに設置されてもよい。具体的には、セキュリティ装置は、管理ネットワークからインターネットへ送信されるデータの出口、もしくは、インターネットから管理ネットワークへの入り口となる位置に設置されてもよい。セキュリティ装置は、管理ネットワークに対するサイバー攻撃を監視する。言い換えると、セキュリティ装置は、管理ネットワーク内の通信装置等に対するサイバー攻撃を監視する。

　セキュリティ装置は、例えば、ファイアウォール、ＩＰＳ（Intrusion Prevention System）、ＩＤＳ（Intrusion Detection System）等を実行する装置であってもよい。サイバー攻撃の発生の疑いを示すデータとは、例えば、管理ネットワークへの不正侵入もしくは不正アクセスを示すデータであってもよい。管理ネットワークへの不正侵入もしくは不正アクセスを示すデータは、例えば、管理ネットワークへのアクセスが許可されていない第三者もしくは通信装置から管理ネットワーク内の通信装置へ送信されたデータであってもよい。具体的には、サイバー攻撃の発生の疑いを示すデータは、ＩＤＳもしくはＩＰＳを実行することによって検出されるデータであってもよい。

　通信パターンは、正常な通信を示す通信パターンであってもよく、異常な通信を示す通信パターンであってもよい。サイバー攻撃の発生の疑いを示すデータは、例えば、正常な通信を示す通信パターンに該当しない通信パターンを示すデータであってもよい。もしくは、サイバー攻撃の発生の疑いを示すデータは、異常な通信を示す通信パターンに該当する通信パターンを示すデータであってもよい。

　セキュリティ情報は、サイバー攻撃の発生の疑いを示すデータを特定するための情報であってもよい。例えば、セキュリティ情報は、サイバー攻撃の発生の疑いを示すデータの送信先及び送信元の少なくとも一方を示す情報であってもよい。もしくは、セキュリティ情報は、サイバー攻撃の発生の疑いを示すデータのヘッダ等に示されているパラメータ情報であってもよい。

　判定部１２は、サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、セキュリティ情報が保険発動条件を満たすか否かを判定する。データベースには、例えば、セキュリティ情報と、保険発動条件とが関連付けて管理されていてもよい。もしくは、データベースには、複数のセキュリティ情報に基づいて定まるセキュリティ情報の統計情報等と、保険発動条件とが関連付けて管理されていてもよい。データベースは、管理装置１０内のメモリ等に格納されていてもよく、管理装置１０へ外付けされるメモリ等に格納されていてもよい。または、データベースは、管理装置１０とは異なる装置のメモリ等に格納されていてもよい。

　以上説明したように、管理装置１０は、データの通信パターンに基づいて検出されるデータであて、サイバー攻撃の発生が疑われるデータ、を収集することができる。さらに、管理装置１０は、収集したデータに関するセキュリティ情報と、保険発動条件とを用いて、セキュリティ情報が保険発動条件を満たすか否かを判定することができる。

　つまり、管理装置１０は、サイバー保険契約者が管理するネットワークにおいて実際に損害が発生する前に検出されたデータに基づいて、保険を適用するか否かを判定することができる。これより、管理装置１０は、早期に保険を適用するか否かを判定することができるため、サイバー保険契約者による保険の申請漏れを減少させることができる。

　（実施の形態２）
　続いて、図２を用いて実施の形態２にかかるネットワーク監視システムの構成例について説明する。図２のネットワーク監視システムは、管理装置２０、セキュリティ装置３０、及び端末装置４０乃至４２を有している。また、セキュリティ装置３０と管理装置２０とは、インターネット５０を介して接続されている。接続された状態とは、セキュリティ装置３０と管理装置２０とが通信可能な状態であることであってもよい。また、インターネット５０の代わりに、企業内に閉じたネットワークであるイントラネットが用いられてもよい。管理装置２０は、図１の管理装置１０に相当する。

　管理装置２０、セキュリティ装置３０、及び端末装置４０乃至４２は、プロセッサがメモリに格納されたプログラムを実行することによって動作するコンピュータ装置であってもよい。

　端末装置４０乃至４２は、例えば、管理ネットワークである社内ＬＡＮに接続されるコンピュータ装置であってもよい。社内ＬＡＮは、例えば、イーサネット（登録商標）が用いられてもよい。例えば、端末装置４０乃至４２は、パーソナルコンピュータ、サーバ装置、プリンタ装置等のネットワークを介した通信が可能なコンピュータ装置であってもよい。または、端末装置４０乃至４２は、無線通信回線を介して社内ＬＡＮに接続してもよい。この場合、端末装置４０乃至４２は、スマートフォン端末、ノートブック型パーソナルコンピュータ等であってもよい。端末装置４０乃至４２は、無線通信として、無線ＬＡＮを使用してもよく、ＬＴＥ（Long Term Evolution）もしくは５Ｇ等のモバイル回線を使用してもよい。

　セキュリティ装置３０は、端末装置４０乃至４２と、インターネット５０との間に配置される。セキュリティ装置３０とインターネット５０との間は、例えば、光通信回線等が用いられてもよい。また、管理装置２０とインターネット５０との間にも、光通信回線等が用いられてもよい。セキュリティ装置３０は、サイバー保険を提供する保険会社もしくはサイバー保険を提供する会社から委託を受けた事業者等が、サイバー保険契約者へ提供する装置であってもよい。

　続いて、図３を用いて実施の形態２にかかる管理装置２０の構成例について説明する。管理装置２０は、図１の管理装置１０に、データベース２１が追加された構成である。以下においては、図１の管理装置１０と異なる構成及び機能について主に説明する。

　データベース２１は、管理装置２０の内部のメモリ等に格納されていてもよく、管理装置２０に外付けされるメモリ等に格納されていてもよい。

　データ収集部１１は、端末装置４０乃至４２から、セキュリティ情報を収集する。セキュリティ情報は、例えば、セキュリティ装置３０において検出されたデータの送信元及びデータの送信先の少なくとも一方を示す情報であってもよい。データの送信元及び送信先を示す情報は、例えば、ＩＰ（Internet Protocol）アドレス、ＭＡＣ（Media Access Control）アドレス等であってもよい。

　または、セキュリティ情報は、データの通信パターンを示す情報であってもよい。通信パターンは、データから得られる様々な情報もしくはパラメータ等を分析することによって得られるパターンであってもよい。データから得られる情報は、例えば、データのＩＰヘッダもしくはＴＣＰ（Transmission Control Protocol）／ＵＤＰ（User Datagram Protocol）ヘッダに示されている送信元アドレス、送信先アドレス、ポート番号、データサイズ等、であってもよい。分析は、例えば、機械学習等によって実行されてもよい。データ収集部１１は、セキュリティ装置３０が特定した通信パターンを収集してもよい。または、セキュリティ装置３０が、異常な通信を示す通信パターンを複数用いてデータを検出する場合、データ収集部１１は、セキュリティ装置３０がデータを検出した際に用いた通信パターンを示す識別情報を収集してもよい。異常な通信を示す通信パターンは、例えば、ＤＯＳ（Denial Of Service）攻撃、ＳＹＮフラッド攻撃等の攻撃が疑われるデータのパターンであってもよい。

　または、セキュリティ情報は、セキュリティ装置３０がデータを検出した際に予測したサイバー攻撃の名称等を示す情報であってもよい。例えば、セキュリティ装置３０が、ＤＯＳ攻撃が疑われるデータを検出した場合、セキュリティ情報としてＤＯＳ攻撃との名称を示す情報が用いられてもよい。

　または、セキュリティ情報は、セキュリティ装置３０がデータを受信もしくは送信した時刻を示す情報であってもよい。または、セキュリティ情報は、データの送信元の装置がデータを送信した時刻を示す情報であってもよく、データの送信先の装置がデータを受信した時刻を示す情報であってもよい。

　または、セキュリティ情報は、データに適用されているプロトコルを示す情報であってもよい。例えば、検出したデータがｈｔｔｐ（HyperText Transfer Protocol）を用いた通信を行っていた場合、セキュリティ情報として、ｈｔｔｐを示す情報が用いられてもよい。

　データベース２１には、セキュリティ情報と、保険発動条件とが関連付けられている。具体的には、データベース２１には、保険を発動するためにセキュリティ情報が満たすべき条件が定められている。言い換えると、データベース２１には、保険発動条件として、予め定められたセキュリティ情報が定められていてもよい。例えば、保険発動条件として、送信元アドレスおよび送信先アドレスの少なくとも一方が定められていてもよい。この場合、保険発動条件に定められた送信元アドレスもしくは送信先アドレスに該当するデータが検出された管理ネットワークを管理するサイバー保険契約者に、保険が発動される。

　また、保険発動条件として、送信元アドレスが端末装置４０乃至４２のいずれかを示し、送信先のアドレスが管理ネットワーク外の装置を示すことが定められてもよい。このように、データの送信元が管理ネットワーク内の装置である場合、インターネット５０を介して管理ネットワーク内の装置へアクセスした第三者の装置により、重要情報が奪われる、いわゆるフィッシング詐欺が実行されている可能性がある。

　または、保険発動条件として、通信パターンが定められていてもよい。この場合、セキュリティ情報として送信されたデータの通信パターンが、保険発動条件に定められた通信パターンに該当する場合、そのデータが検出された管理ネットワークを管理するサイバー保険契約者に、保険が発動される。

　または、保険発動条件として、データの発生頻度もしくは発生周期の閾値が定められてもよい。例えば、データの発生頻度及び発生周期お閾値は、データの時刻を示すセキュリティ情報に基づいて、定められてもよい。データの発生頻度もしくは発生周期が、保険発動条件として予め定められた閾値を超えている場合、保険が発動される。データの発生頻度及び発生周期は、複数のデータを用いて特定される。複数のデータを組み合わせて決定されるデータの発生頻度もしくは発生周期等は、統計情報と称されてもよい。

　続いて、図４を用いて実施の形態２にかかるセキュリティ装置３０の構成例について説明する。セキュリティ装置３０は、検出部３１及び通信部３２を有している。検出部３１及び通信部３２は、プロセッサがメモリに格納されたプログラムを実行することによって処理が実行されるソフトウェアもしくはモジュールであってもよい。または、検出部３１及び通信部３２は、回路もしくはチップ等のハードウェアであってもよい。

　検出部３１は、所定の通信パターンに基づいて、サイバー攻撃が疑われるデータを検出する。例えば、検出部３１は、サイバー攻撃が疑われる通信パターンとして予め定められた通信パターンと同様もしくは類似の通信パターンを示すデータを検出してもよい。もしくは、検出部３１は、サイバー攻撃ではない通常の通信パターンに該当しない通信パターンを示すデータを検出してもよい。例えば、検出部３１は、ＩＤＳもしくはＩＰＳによって検出することができるデータを検出してもよい。

　さらに、検出部３１は、検出したデータに関するセキュリティ情報を、通信部３２を介して管理装置２０へ送信する。

　通信部３２は、インターネット５０から受信したデータ及び端末装置４０乃至４２から受信したデータを検出部３１へ出力する。さらに、通信部３２は、検出部３１においてサイバー攻撃が疑われるデータとして検出されなかったデータをインターネット５０もしくは端末装置４０乃至４２のいずれかに送信する。もしくは、通信部３２は、インターネット５０から受信したデータ及び端末装置４０乃至４２から受信したすべてのデータを、データに設定されているあて先へ送信してもよい。

　続いて、図５を用いて実施の形態２にかかる保険発動に関する判定処理の流れについて説明する。はじめに、セキュリティ装置３０は、ＩＰＳもしくはＩＤＳを実行することによってデータを検出する（Ｓ１１）。次に、セキュリティ装置３０は、検出したデータに関するセキュリティ情報を管理装置２０へ送信する（Ｓ１２）。検出したデータに関するセキュリティ情報は、例えば、データの送信先及び送信元のいずれかを示すアドレス情報であってもよく、データのヘッダ等に示されるパラメータであってもよい。

　次に、管理装置２０は、セキュリティ装置３０から受信したセキュリティ情報が、データベース２１に定められている保険発動条件を満たすか否かを判定する（Ｓ１３）。次に、管理装置２０は、判定結果を出力する（Ｓ１４）。判定結果は、例えば、受信したセキュリティ情報が、保険発動条件を満たすか否かを示す情報であってもよい。具体的には、管理装置２０は、判定結果を、管理装置２０と一体として用いられるディスプレイ等へ出力し、判定結果をディスプレイ等へ表示させてもよい。もしくは、管理装置２０は、管理装置２０の管理者が保持する端末装置へ判定結果を送信してもよい。例えば、管理装置２０は、インターネット５０もしくはイントラネット等を介して、ｅメールを管理者が保持する端末装置へ送信することによって、判定結果を通知してもよい。もしくは、管理装置２０は、保険会社が管理する端末装置へ判定結果を送信してもよい。例えば、管理装置２０は、インターネット５０を介して、ｅメールを保険会社が管理する端末装置へ送信することによって、判定結果を通知してもよい。もしくは、管理装置２０は、判定結果を表示するＷｅｂページを生成してもよい。この場合、管理装置２０は、管理者もしくは保険会社が保持する端末装置へ、Ｗｅｂページのアドレス情報を送信してもよい。管理者もしくは保険会社の担当者は、端末装置を用いて指定されたアドレスへアクセスすることによって、判定結果が示されたＷｅｂページを閲覧することができる。

　以上説明したように、管理装置２０は、サイバー攻撃の発生が疑われるデータを用いて、保険を発動するか否かを判定することができる。その結果、管理装置２０は、早期に保険を適用するか否かを判定することができるため、サイバー保険契約者による保険の申請漏れを減少させることができる。

　（実施の形態３）
　続いて、図６を用いて実施の形態３にかかる管理装置２０におけるデータベースの更新処理の流れについて説明する。はじめに、判定部１２は、データ収集部１１を介してセキュリティ装置３０からセキュリティ情報を受信する（Ｓ２１）。次に、判定部１２は、セキュリティ装置３０から受信したセキュリティ情報が、データベース２１に格納されている保険発動条件を満たすか否かを判定する（Ｓ２２）。

　判定部１２は、セキュリティ情報が保険発動条件を満たさないと判定した場合、管理者から判定結果の入力を受け付ける（Ｓ２３）。セキュリティ情報が保険発動条件を満たさないとは、セキュリティ情報がデータベース２１に格納されている保険発動条件に該当しないことを意味する。言い換えると、セキュリティ情報が保険発動条件を満たさないとは、管理ネットワークにおいて、データベース２１に設定されていない新たなサイバー攻撃の発生が疑われることを意味する。そのため、このような場合、管理装置２０の管理者が、セキュリティ情報から判明したサイバー攻撃が疑われる事象に対して保険を発動すべきか否かを詳細に検討し、保険を発動すべきか否かを判定する必要がある。ステップＳ２３においては、判定部１２は、管理装置２０に付属するキーボード、タッチパネル等の入力機器を介して管理者から判定結果の入力を受け付けてもよい。もしくは、判定部１２は、データ収集部１１を介して、管理者が操作する端末装置から判定結果を受信してもよい。

　次に、判定部１２は、管理者から受け付けた判定結果が、保険を発動するとの内容を示すか否かを判定する（Ｓ２４）。判定部１２は、管理者から受け付けた判定結果が、保険を発動するとの内容である場合、データベース２１の保険発動条件を更新する（Ｓ２５）。具体的には、判定部１２は、データベース２１に、保険を発動するとの要因となったセキュリティ情報を新たな保険発動条件として追加する。データベース２１には、このように、新たに発生するサイバー攻撃の脅威に関する内容が追加されていく。

　ステップＳ２２においてセキュリティ情報が保険発動条件を満たす場合、及び、ステップＳ２４において保険を発動しないとの判定結果を受け付けた場合、処理を終了する。

　以上説明したように、データベース２１を更新することによって、管理ネットワークにおいて発生する新たなサイバー攻撃の脅威が疑われるデータについても、保険を発動するか否かを判定することができる。

　また、図６においては、保険を発動するとの判定結果を受け付けた場合に、データベース２１を更新する処理について説明したが、保険を発動しないとの判定結果についてもデータベース２１もしくは新たなデータベースに追加してもよい。具体的には、判定部１２は、保険を発動しない要因となったセキュリティ情報をデータベースに追加してもよい。判定部１２は、保険を発動しないとの判定結果についてもデータベースにて管理することによって、管理者が同じセキュリティ情報に基づいて、保険を発動するか否かの検討を行うことを回避することができる。つまり、判定部１２は、受信したセキュリティ情報が、すでに保険を発動しないとの判定結果を管理するデータベースにて管理されているセキュリティ情報と一致する場合、管理者からの入力を受け付けることなく、保険を発動しないと判定してもよい。

　（実施の形態４）
　続いて、図７を用いて実施の形態４にかかる保険発動に関する判定処理の流れについて説明する。はじめに、管理装置２０は、セキュリティ装置３０へ、サイバー攻撃の発生が疑われるデータの検出条件を送信する（Ｓ３１）。例えば、管理装置２０は、データベース２１において管理している保険発動条件を満たすデータを検出することを検出条件として定めてもよい。図５のステップＳ１１においては、セキュリティ装置３０は、セキュリティ装置３０が設定した所定の通信パターンに該当するデータを検出したが、図７においては、管理装置２０が設定した検出条件に該当するデータを検出する点が異なる。

　ステップＳ３２乃至ステップＳ３５は、図５のステップＳ１１乃至Ｓ１４と同様であるため詳細な説明を省略する。

　以上説明したように、実施の形態４にかかる保険発動条件に関する判定処理においては、管理装置２０が、サイバー攻撃の発生が疑われるデータの検出条件を定め、セキュリティ装置３０へ送信する。これにより、セキュリティ装置３０において検出されるデータは、管理装置２０において管理されている保険発動条件を満たすデータとなる。言い換えると、セキュリティ装置３０は、管理装置２０において定められた検出条件を満たすデータに絞ってデータを検出する。その結果、ステップＳ３３においてセキュリティ装置３０から管理装置２０へ送信されるセキュリティ情報のデータ量を減少させることができる。

　また、図７においては、ステップＳ３２において、セキュリティ装置３０が、管理装置２０から受信した検出条件を満たすデータを検出する例について説明したが、セキュリティ装置３０は、図５のステップＳ１１と同様にデータを検出してもよい。その後、セキュリティ装置３０は、セキュリティ情報を管理装置２０へ送信する際に、検出条件を満たすセキュリティ情報のみを管理装置２０へ送信してもよい。このようにしても、セキュリティ装置３０から管理装置２０へ送信するセキュリティ情報のデータ量を減少させることができる。

　図８は、管理装置１０、管理装置２０、及びセキュリティ装置３０（以下、管理装置１０等とする）の構成例を示すブロック図である。図８を参照すると、管理装置１０等は、ネットワークインタフェース１２０１、プロセッサ１２０２、及びメモリ１２０３を含む。ネットワークインタフェース１２０１は、ネットワークノード（e.g., eNB、MME、P-GW、）と通信するために使用される。ネットワークインタフェース１２０１は、例えば、IEEE 802.3 seriesに準拠したネットワークインタフェースカード（NIC）を含んでもよい。

　プロセッサ１２０２は、メモリ１２０３からソフトウェア（コンピュータプログラム）を読み出して実行することで、上述の実施形態においてフローチャートを用いて説明された管理装置１０等の処理を行う。プロセッサ１２０２は、例えば、マイクロプロセッサ、MPU、又はCPUであってもよい。プロセッサ１２０２は、複数のプロセッサを含んでもよい。

　メモリ１２０３は、揮発性メモリ及び不揮発性メモリの組み合わせによって構成される。メモリ１２０３は、プロセッサ１２０２から離れて配置されたストレージを含んでもよい。この場合、プロセッサ１２０２は、図示されていないI/Oインタフェースを介してメモリ１２０３にアクセスしてもよい。

　図８の例では、メモリ１２０３は、ソフトウェアモジュール群を格納するために使用される。プロセッサ１２０２は、これらのソフトウェアモジュール群をメモリ１２０３から読み出して実行することで、上述の実施形態において説明された管理装置１０等の処理を行うことができる。

　図８を用いて説明したように、上述の実施形態における管理装置１０等が有するプロセッサの各々は、図面を用いて説明されたアルゴリズムをコンピュータに行わせるための命令群を含む１又は複数のプログラムを実行する。

　上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium）を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（Random Access Memory））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
　（付記１）
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集するデータ収集部と、
　サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定する判定部と、を備える管理装置。
　（付記２）
　前記セキュリティ情報は、
　サイバー攻撃の発生の疑いを示す前記データの送信元を示す情報を有し、
　前記判定部は、
　前記データの通信元が、前記ネットワーク内の通信装置である場合に、前記セキュリティ情報が前記保険発動条件を満たすと判定する、付記１に記載の管理装置。
　（付記３）
　前記セキュリティ情報は、
　前記データの発生タイミングを示す情報を有し、
　前記判定部は、
　前記データの発生頻度もしくは発生周期が、閾値を超える場合に、前記セキュリティ情報が前記保険発動条件を満たすと判定する、付記１又は２に記載の管理装置。
　（付記４）
　前記判定部は、
　前記セキュリティ装置において検出された前記データのうち、予め定められた検出条件を満たすデータを収集する、付記１乃至３のいずれか１項に記載の管理装置。
　（付記５）
　前記判定部は、
　前記保険発動条件を満たすか否かの判定結果を、前記管理装置と一体として用いられる表示部へ出力する、または、前記管理装置と異なる端末装置へ送信する、付記１乃至４のいずれか１項に記載の管理装置。
　（付記６）
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置であって、
　サイバー攻撃の発生の疑いを示すデータを所定の通信パターンに基づいて検出する検出部と、
　前記データのうち、前記データに関するセキュリティ情報がサイバー保険の適用基準を定める保険発動条件を満たすか否かを判定する管理装置が定める検出条件を満たすデータに関するセキュリティ情報を前記管理装置へ送信する通信部と、を備えるセキュリティ装置。
　（付記７）
　前記管理装置へ送信したセキュリティ情報が、前記保険発動条件を満たすか否かを示す判定結果を表示する表示部をさらに備える、付記６に記載のセキュリティ装置。
　（付記８）
　サイバー保険契約者が管理するネットワークを監視し、所定の通信パターンに基づいて、サイバー攻撃の発生の疑いを示すデータを検出するセキュリティ装置と、
　前記セキュリティ装置から、検出された前記データに関するセキュリティ情報を収集し、サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定する管理装置と、を備えるネットワーク監視システム。
　（付記９）
　前記セキュリティ情報は、
　サイバー攻撃の発生の疑いを示す前記データの送信元を示す情報を有し、
　前記管理装置は、
　前記データの通信元が、前記ネットワーク内の通信装置である場合に、前記セキュリティ情報が前記保険発動条件を満たすと判定する、付記８に記載のネットワーク監視システム。
　（付記１０）
　前記セキュリティ情報は、
　前記データの発生タイミングを示す情報を有し、
　前記管理装置は、
　前記データの発生頻度もしくは発生周期が、閾値を超える場合に、前記セキュリティ情報が前記保険発動条件を満たすと判定する、付記８又は９に記載のネットワーク監視システム。
　（付記１１）
　前記管理装置は、
　前記セキュリティ装置において検出された前記データのうち、予め定められた検出条件を満たすデータを収集する、付記８乃至１０のいずれか１項に記載のネットワーク監視システム。
　（付記１２）
　前記管理装置は、
　前記保険発動条件を満たすか否かの判定結果を、前記管理装置と一体として用いられる表示部へ出力する、または、前記管理装置と異なる端末装置へ送信する、付記８乃至１１のいずれか１項に記載のネットワーク監視システム。
　（付記１３）
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集し、
　サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定する、判定方法。
　（付記１４）
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置において実行される通信方法であって、
　サイバー攻撃の発生の疑いを示すデータを所定の通信パターンに基づいて検出し、
　前記データのうち、前記データに関するセキュリティ情報がサイバー保険の適用基準を定める保険発動条件を満たすか否かを判定する管理装置が定める検出条件を満たすデータに関するセキュリティ情報を前記管理装置へ送信する、通信方法。
　（付記１５）
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集し、
　サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定することをコンピュータに実行させるプログラム。
　（付記１６）
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置において実行される通信方法であって、
　サイバー攻撃の発生の疑いを示すデータを所定の通信パターンに基づいて検出し、
　前記データのうち、前記データに関するセキュリティ情報がサイバー保険の適用基準を定める保険発動条件を満たすか否かを判定する管理装置が定める検出条件を満たすデータに関するセキュリティ情報を前記管理装置へ送信することをコンピュータに実行させるプログラム。

　１０　管理装置
　１１　データ収集部
　１２　判定部
　２０　管理装置
　２１　データベース
　３０　セキュリティ装置
　３１　検出部
　３２　通信部
　４０　端末装置
　４１　端末装置
　４２　端末装置
　５０　インターネット

Claims

　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集するデータ収集手段と、
　サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定する判定手段と、を備える管理装置。
　前記セキュリティ情報は、
　サイバー攻撃の発生の疑いを示す前記データの送信元を示す情報を有し、
　前記判定手段は、
　前記データの通信元が、前記ネットワーク内の通信装置である場合に、前記セキュリティ情報が前記保険発動条件を満たすと判定する、請求項１に記載の管理装置。
　前記セキュリティ情報は、
　前記データの発生タイミングを示す情報を有し、
　前記判定手段は、
　前記データの発生頻度もしくは発生周期が、閾値を超える場合に、前記セキュリティ情報が前記保険発動条件を満たすと判定する、請求項１又は２に記載の管理装置。
　前記判定手段は、
　前記セキュリティ装置において検出された前記データのうち、予め定められた検出条件を満たすデータを収集する、請求項１乃至３のいずれか１項に記載の管理装置。
　前記判定手段は、
　前記保険発動条件を満たすか否かの判定結果を、前記管理装置と一体として用いられる表示手段へ出力する、または、前記管理装置と異なる端末装置へ送信する、請求項１乃至４のいずれか１項に記載の管理装置。
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置であって、
　サイバー攻撃の発生の疑いを示すデータを所定の通信パターンに基づいて検出する検出手段と、
　前記データのうち、前記データに関するセキュリティ情報がサイバー保険の適用基準を定める保険発動条件を満たすか否かを判定する管理装置が定める検出条件を満たすデータに関するセキュリティ情報を前記管理装置へ送信する通信手段と、を備えるセキュリティ装置。
　前記管理装置へ送信したセキュリティ情報が、前記保険発動条件を満たすか否かを示す判定結果を表示する表示手段をさらに備える、請求項６に記載のセキュリティ装置。
　サイバー保険契約者が管理するネットワークを監視し、所定の通信パターンに基づいて、サイバー攻撃の発生の疑いを示すデータを検出するセキュリティ装置と、
　前記セキュリティ装置から、検出された前記データに関するセキュリティ情報を収集し、サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定する管理装置と、を備えるネットワーク監視システム。
　前記セキュリティ情報は、
　サイバー攻撃の発生の疑いを示す前記データの送信元を示す情報を有し、
　前記管理装置は、
　前記データの通信元が、前記ネットワーク内の通信装置である場合に、前記セキュリティ情報が前記保険発動条件を満たすと判定する、請求項８に記載のネットワーク監視システム。
　前記セキュリティ情報は、
　前記データの発生タイミングを示す情報を有し、
　前記管理装置は、
　前記データの発生頻度もしくは発生周期が、閾値を超える場合に、前記セキュリティ情報が前記保険発動条件を満たすと判定する、請求項８又は９に記載のネットワーク監視システム。
　前記管理装置は、
　前記セキュリティ装置において検出された前記データのうち、予め定められた検出条件を満たすデータを収集する、請求項８乃至１０のいずれか１項に記載のネットワーク監視システム。
　前記管理装置は、
　前記保険発動条件を満たすか否かの判定結果を、前記管理装置と一体として用いられる表示手段へ出力する、または、前記管理装置と異なる端末装置へ送信する、請求項８乃至１１のいずれか１項に記載のネットワーク監視システム。
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集し、
　サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定する、判定方法。
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置において実行される通信方法であって、
　サイバー攻撃の発生の疑いを示すデータを所定の通信パターンに基づいて検出し、
　前記データのうち、前記データに関するセキュリティ情報がサイバー保険の適用基準を定める保険発動条件を満たすか否かを判定する管理装置が定める検出条件を満たすデータに関するセキュリティ情報を前記管理装置へ送信する、通信方法。
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置から、サイバー攻撃の発生の疑いを示すデータであって、所定の通信パターンに基づいて検出される前記データに関するセキュリティ情報を収集し、
　サイバー保険の適用基準を定める保険発動条件を管理するデータベースを用いて、前記セキュリティ情報が前記保険発動条件を満たすか否かを判定することをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。
　サイバー保険契約者が管理するネットワークを監視するセキュリティ装置において実行される通信方法であって、
　サイバー攻撃の発生の疑いを示すデータを所定の通信パターンに基づいて検出し、
　前記データのうち、前記データに関するセキュリティ情報がサイバー保険の適用基準を定める保険発動条件を満たすか否かを判定する管理装置が定める検出条件を満たすデータに関するセキュリティ情報を前記管理装置へ送信することをコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。