WO2021156966A1

WO2021156966A1 - 分析システム、方法およびプログラム

Info

Publication number: WO2021156966A1
Application number: PCT/JP2020/004311
Authority: WO
Inventors: 峻一木下; 真樹井ノ口; 太田　和伸
Original assignee: 日本電気株式会社
Priority date: 2020-02-05
Filing date: 2020-02-05
Publication date: 2021-08-12
Also published as: JPWO2021156966A1; JP7424395B2; US20230056552A1

Abstract

分析システム２０は、診断対象システムまたは診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち診断対象システムまたは機器の未知の情報を示すファクトを未確定ファクトとして生成する未確定ファクト生成部２１を備える。

Description

分析システム、方法およびプログラム

　本発明は、診断対象システムへの攻撃に対する対処に関する判断材料となる情報を分析する分析システム、分析方法および分析プログラムに関する。

　複数のコンピュータ等を含む情報処理システムにおいて、情報資産をサイバー攻撃等から守るためのセキュリティ対策をとることが求められている。セキュリティ対策としては、対象となるシステムの脆弱性等を診断し、必要に応じて脆弱性を取り除くこと等が挙げられる。

　セキュリティ診断の対象となるシステムを、診断対象システムと記す。また、診断対象システムのシステム構成等のデータを収集して、システム内の機器に潜む脆弱性を把握し対策を指示するシステムを、セキュリティ診断システムと記す。特許文献１～２には、セキュリティ診断システムの例が記載されている。

　特許文献１には、検査対象装置から収集された脆弱性情報をもとにリスク分析、セキュリティ対策やセキュリティポリシーの策定、セキュリティ監視の実践といった統合的なセキュリティ管理を実施できるセキュリティ管理システムが記載されている。

　また、特許文献２には、情報処理装置に対する脆弱性診断の負荷を低減できる診断装置が記載されている。

特開２００５－２４２７５４号公報特開２０１７－６８６９１号公報

　セキュリティ診断システムが診断対象システムのシステム構成や診断対象システム内の機器に潜む脆弱性を全て把握することは困難である。その理由は、脆弱性を把握するために行われる診断対象システムのスキャンは診断対象システムにとって負荷が高く、頻繁に行われる処理ではないためである。

　また、運用上の制約により診断対象システムのスキャンを実行可能な期間が制限されているため、診断対象システム内の機器のうちスキャンされていない機器が生じてしまうという理由もある。その結果、セキュリティ診断システムが診断対象システムにおける攻撃可能性を分析できない場合がある。

　そこで、本発明は、診断対象システムに含まれる各機器から情報を十分に収集できない場合であっても診断対象システムにおける攻撃可能性を分析できる分析システム、分析方法および分析プログラムを提供することを目的とする。

　本発明による分析システムは、診断対象システムまたは診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち診断対象システムまたは機器の未知の情報を示すファクトを未確定ファクトとして生成する未確定ファクト生成部を備えることを特徴とする。

　本発明による分析方法は、診断対象システムまたは診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち診断対象システムまたは機器の未知の情報を示すファクトを未確定ファクトとして生成することを特徴とする。

　本発明による分析プログラムは、コンピュータに、診断対象システムまたは診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち診断対象システムまたは機器の未知の情報を示すファクトを未確定ファクトとして生成する未確定ファクト生成処理を実行させることを特徴とする。

　本発明によれば、診断対象システムに含まれる各機器から情報を十分に収集できない場合であっても診断対象システムにおける攻撃可能性を分析できる。

本発明の第１の実施形態の分析システムの構成例を示すブロック図である。確定ファクト生成部１０３により生成される初期ファクトの例を示す説明図である。分析部１０７により生成される攻撃グラフの例を示す説明図である。分析部１０７により生成される攻撃グラフの他の例を示す説明図である。未確定ファクトが示す状態が真である確率を示すスコアの例を示す説明図である。未確定ファクトが示す状態が真である確率を示すスコアの他の例を示す説明図である。第１の実施形態の分析システム１００による攻撃グラフ生成処理の動作を示すフローチャートである。第１の実施形態の分析システム１００による追加スキャン実行処理の動作を示すフローチャートである。本発明の第１の実施形態の分析システムの他の構成例を示すブロック図である。本発明による分析システムのハードウェア構成例を示す説明図である。本発明による分析システムの概要を示すブロック図である。

　以下、図面を参照して、本発明の実施形態を説明する。

第１の実施形態．
　図１は、本発明の第１の実施形態の分析システムの構成例を示すブロック図である。第１の実施形態の分析システム１００は、スキャナ１０１と、スキャン結果記憶部１０２と、確定ファクト生成部１０３と、未確定ファクト生成部１０４と、ファクト生成情報記憶部１０５と、初期ファクト記憶部１０６と、分析部１０７と、分析結果記憶部１０８と、可視化部１０９と、対策計画部１１０と、抽出部１１１と、指示部１１２とを備える。

　また、図１に示すように、分析システム１００は、診断対象システム２００と通信可能に接続されている。

　本実施形態における分析システム１００は、診断対象システム２００のセキュリティに関する状況を分析するためのシステムである。診断対象システム２００は、分析システム１００によるセキュリティ診断の対象になるシステムである。

　以下の実施形態において、診断対象システム２００は、主に企業内のIT(Information Technology)システムであることを想定する。すなわち、診断対象システム２００では、複数の機器が通信ネットワークを介して接続されている。なお、診断対象システム２００は上記の例に限られず、例えば、OT(Operational Technology)システムを制御するためのシステムでもよい。

　診断対象システム２００に含まれる機器として、パーソナルコンピュータ、サーバ、スイッチ、ルータ等が挙げられる。ただし、診断対象システム２００に含まれる機器は、これらの例に限定されない。診断対象システム２００には、通信ネットワークに接続される他の種類の機器も含まれる。また、診断対象システム２００に含まれる機器は、物理的な機器であっても、仮想的な機器であってもよい。

　診断対象システム２００に含まれる機器の数は、図１に示す例に限られず、特に限定されない。また、分析システム１００は、診断対象システム２００に含まれる機器の一つであってもよい。また、分析システム１００は、クラウドコンピューティングのような形態で診断対象システム２００の外部に設けられ、通信ネットワークを介して診断対象システム２００と接続されてもよい。

　スキャナ１０１は、診断対象システム２００内をスキャンすることによって、診断対象システム２００に含まれる機器の構成情報を収集する機能を有する。なお、分析システム１００は、スキャナ１０１の代わりに、分析システム１００の外部に存在する専用スキャナを使用してもよい。

　スキャナ１０１は、一例として、予め定められたタイミングで機器の各構成情報を収集する。予め定められたタイミングには、毎日の予め定められた時刻や、機器の起動時等が含まれる。また、予め定められたタイミングには、その他のタイミングが含まれてもよい。

　スキャナ１０１が各構成情報を収集するタイミングや間隔は、診断対象システム２００の規模や機器の具体的な機能等に応じて適宜定められればよい。また、そのように定められたタイミング以外のその他のタイミングで、スキャナ１０１が機器の各構成情報を収集してもよい。

　スキャナ１０１が収集する構成情報は、機器に含まれている脆弱性、機器に搭載されているOS(Operating System)およびOSのバージョン、機器に搭載されているハードウェアの構成情報、機器に搭載されているソフトウェア、ソフトウェアのバージョンおよびソフトウェアの設定等である。

　また、スキャナ１０１が収集する構成情報には、ユーザアカウントおよびアカウント権限、接続しているネットワークやIP(Internet Protocol) アドレス、機器と通信可能に接続されている機器や通信を行っている通信先の機器および通信内容、およびCPU(Central Processing Unit)の機種が含まれてもよい。

　さらに、スキャナ１０１が収集する構成情報には、機器の通信先の機器との間で授受する通信データやその通信データの授受に用いられた通信プロトコルの情報、機器のポートの状態を示す情報（どのポートが開いているか）、またはデータフロー情報が含まれてもよい。

　なお、通信データには、例えばその通信データの送信元や送信先の情報が含まれている。また、データフロー情報は、どの機器からどの機器にどのようなデータが転送されているかを示す情報である。データフロー情報には、通信データに相当する情報の他に、リムーバブルメディア等を介して転送されるデータに関する情報も含まれる。

　なお、スキャナ１０１が収集する構成情報の例は、上記の例に限定されない。スキャナ１０１は、機器の構成情報として、診断対象システム２００において実行可能な攻撃を分析するために必要となる他の情報を収集してもよい。

　スキャナ１０１は、収集された構成情報をスキャン結果として、スキャン結果記憶部１０２に格納する。スキャン結果記憶部１０２は、構成情報を記憶する機能を有する。

　なお、スキャン結果記憶部１０２が記憶する構成情報は、スキャナ１０１から入力される情報に限られない。例えば、スキャン結果記憶部１０２には、図示しない機器の情報が予め格納されていてもよい。

　確定ファクト生成部１０３は、スキャン結果記憶部１０２に記憶されている構成情報を参照して、１つ以上の初期ファクトを生成する機能を有する。

　本実施形態において、ファクトは、後述する分析部１０７により参照可能な形式で記述された、診断対象システム２００または診断対象システム２００に含まれる機器における状態である。ファクトは、主に診断対象システム２００または診断対象システム２００に含まれる機器におけるセキュリティに関連する状態を示す。

　また、初期ファクトは、確定ファクト生成部１０３により生成されるファクト、および後述する未確定ファクト生成部１０４により生成されるファクトの総称である。

　すなわち、確定ファクト生成部１０３は、収集された構成情報を基に、診断対象システム２００において初期ファクトを生成する。以下、スキャンで得られた構成情報から生成されたファクトを、確定ファクトとも呼ぶ。確定ファクト生成部１０３は、構成情報が示すファクトを確定ファクトとして生成する。

　図２は、確定ファクト生成部１０３により生成される初期ファクトの例を示す説明図である。図２（ａ）は、本例において想定する診断対象システム２００を示す。

　図２（ａ）に示すように、本例における診断対象システム２００は、機器Ａと、機器Ｂと、機器Ｃとを含むことを想定する。機器Ａと機器Ｃは、インターネットに接続されている。また、機器Ｂは、機器Ａと機器Ｃにネットワークを介して接続されている。

　スキャナ１０１は、機器Ａ、Ｂ、Ｃ各々の構成情報をそれぞれの機器から収集する。次いで、スキャナ１０１は、収集された各構成情報をスキャン結果記憶部１０２に格納する。確定ファクト生成部１０３は、スキャン結果記憶部１０２に記憶されている各機器に関する構成情報を用いて初期ファクトを生成する。

　確定ファクト生成部１０３は、例えば、ある機器にインストールされているOSおよびOSのバージョンを構成情報から参照して、対象の機器に参照されたバージョンのOSがインストールされている、という状況を表す初期ファクトを生成する。

　同様に、確定ファクト生成部１０３は、ある機器にインストールされているあるソフトウェアおよびソフトウェアのバージョンを構成情報から参照して、対象の機器に参照されたバージョンのソフトウェアがインストールされている、という状況を表す初期ファクトを生成してもよい。

　または、確定ファクト生成部１０３は、ある第一の機器と通信可能に接続されている第二の機器を構成情報から参照して、第一の機器と第二の機器が通信可能に接続されている、という状況を表す初期ファクトを生成してもよい。

　なお、確定ファクト生成部１０３が生成する初期ファクトは、上記の例に限られない。確定ファクト生成部１０３は、構成情報に含まれる任意の情報を初期ファクトとして生成してもよい。

　図２（ｂ）は、上述した診断対象システム２００に関して、確定ファクト生成部１０３が生成する初期ファクトの例を示す。図２（ｂ）に示す例では、角丸四角形で表される要素の各々が、一つの初期ファクトを表す。

　図２（ｂ）に示すように、確定ファクト生成部１０３は、初期ファクトとして、「機器Ａがインターネットに接続されている」、「機器ＡにソフトウェアＸがインストールされている」等を生成している。なお、生成される初期ファクトは、図２（ｂ）に示す例に限られず、診断対象システム２００または各機器に応じて適宜生成されればよい。

　確定ファクト生成部１０３は、生成された１つ以上の初期ファクトを、初期ファクト記憶部１０６に格納する。初期ファクト記憶部１０６は、初期ファクトを記憶する機能を有する。

　分析部１０７は、記憶されている１つ以上の初期ファクトを基に、攻撃グラフを生成する機能を有する。図３は、分析部１０７により生成される攻撃グラフの例を示す説明図である。

　本実施形態における攻撃グラフは、診断対象システム２００において実行可能な攻撃の流れを表すことができるグラフである。すなわち、攻撃グラフは、診断対象システム２００における、ある機器の脆弱性の有無等の状態や、ある機器において実行可能な攻撃から当該機器または他の機器において実行可能になる攻撃の関係を表すことができる。

　攻撃グラフは、ファクトをノードとし、ファクト間の関係をエッジとする有向グラフとして表される。有向グラフとして表される攻撃グラフにおいて、ファクトは、上述した初期ファクトであるか、または診断対象システム２００に含まれる各機器において実行可能な攻撃を表すファクトである。分析部１０７が攻撃グラフを生成することによって、診断対象システム２００において発生する可能性がある攻撃が分析可能になる。

　生成される攻撃グラフが用いられると、初期ファクトから攻撃の可能性を表すファクトまでの一連の流れを表す攻撃パスが導出可能になる。すなわち、分析部１０７は、診断対象システム２００において実行可能な攻撃を導出できる。

　そして、攻撃パスが用いられると、診断対象システム２００における攻撃の流れや、優先的に対策が求められる機器等、個々の機器をスキャンして脆弱性情報等を得るだけでは判断することが困難なセキュリティ上の事象が分析可能になる。

　分析部１０７は、一例として、１つ以上の初期ファクトを基に、分析ルールを用いて攻撃グラフを生成する。分析ルールは、１つ以上のファクトから別のファクトを導き出すためのルールである。分析ルールは、分析システム１００に予め定められている。

　分析部１０７は、初期ファクトで表されるセキュリティに関連した状態が、分析ルールが示す条件に適合するか否かを判断する。分析ルールが示す全ての条件に初期ファクトが適合する場合、分析部１０７は、新たなファクトを導き出す。新たなファクトは、例えば、診断対象システム２００に含まれる各機器で実行可能な攻撃の内容を表す。

　攻撃が可能であることを表す新たなファクトが導出されることは、診断対象システム２００に含まれる機器が、新たなファクトの導出に用いられた初期ファクトで表される状態である場合に導出された新たなファクトで表される攻撃が実行可能であることを示している。換言すると、新たなファクトの導出に用いられたファクトは、新たなファクトで表される攻撃が実行可能になるための前提条件である。

　また、ある攻撃が実行可能であることを起因として、別の攻撃が実行可能になる場合がある。その場合、分析部１０７は、初期ファクトに加えて、上述したように新たに導出されたファクトを前提条件として、分析ルールを用いて新たなファクトの導出を繰り返し実行する。

　新たなファクトの導出は、例えば新たなファクトが導出されなくなるまで繰り返し実行される。新たなファクトの導出と共に、分析部１０７は、初期ファクトまたは新たなファクトをノードとし、新たなファクトの前提である初期ファクトを含むファクトから新たなファクトまでをエッジで接続することによって攻撃グラフを生成する。

　また、分析部１０７は、初期ファクトを、攻撃の実行に寄与するファクトと、攻撃の実行に寄与しないファクトに分類する。攻撃の実行に寄与するファクトは、初期ファクトのうち、攻撃グラフの生成に用いられたファクトである。また、攻撃の実行に寄与しないファクトは、初期ファクトのうち、攻撃グラフの生成に用いられなかったファクトである。

　以下、分析部１０７による攻撃グラフの生成例を、図３を参照して具体的に説明する。診断対象システム２００において、図３に示す初期ファクトが生成されていることを想定する。

　また、「ある機器がインターネットに接続されている」かつ「インターネットに接続されている機器のOSにリモートコード実行可能な脆弱性が存在する」場合に、「攻撃者が当該インターネットに接続されている機器上でコードを実行可能である」という関係が分析ルールとして予め定められていると想定する。

　図３を参照すると、初期ファクトから、機器Ａに関して上記の分析ルールの条件が全て満たされることが分かる。よって、分析部１０７は、「攻撃者が機器Ａにおいてコード実行可能」という新たなファクトを導出する。

　また、分析部１０７は、初期ファクトから導出された新たなファクトまでの攻撃パスを表す攻撃グラフを生成する。具体的には、分析部１０７は、２つの初期ファクトそれぞれから実行可能な攻撃を表すファクトへ向かうエッジで、２つの初期ファクトそれぞれと攻撃を表すファクトとを接続する。

　次に、攻撃が実行可能になったために別の攻撃が実行可能になる場合の分析部１０７による攻撃グラフの生成例を説明する。

　図３に示す例で、初期ファクト、および「攻撃者が機器Ａにおいてコード実行可能」というファクトが生成されていることを想定する。また、「ある第一の機器にインストールされているソフトウェアＹにリモートコード実行可能な脆弱性が存在」かつ、「第一の機器と第二の機器が通信可能に接続されている」かつ、「攻撃者が第二の機器においてコード実行可能」である場合、「攻撃者が第一の機器においてコード実行可能」という関係が分析ルールとして予め定められていると想定する。

　図３を参照すると、診断対象システム２００において、初期ファクトから、「機器ＢにインストールされているソフトウェアＹにリモートコード実行可能な脆弱性が存在」、「機器Ａと機器Ｂが通信可能に接続されている」ことが分かる。また、上述したように「攻撃者が機器Ａにおいてコード実行可能」なことが導き出されている。すなわち、分析ルールに含まれる条件が全て満たされることが分かる。換言すると、「攻撃者が機器Ｂにおいてコード実行可能」であることが分かる。

　よって、分析部１０７は、「攻撃者が機器Ｂにおいてコード実行可能」という新たなファクトを導出する。また、分析部１０７は、初期ファクトから導出された新たなファクトまでの攻撃パスを表す攻撃グラフを生成する。

　具体的には、分析部１０７は、２つの初期ファクトそれぞれと、「攻撃者が機器Ａにおいてコード実行可能」というファクトから実行可能な攻撃を表すファクトへ向かうエッジで、３つのファクトそれぞれと攻撃を表すファクトとを接続する。

　以上の処理により、図３に示す攻撃グラフが生成される。すなわち、初期ファクトから「攻撃者が機器Ｂにおいてコード実行可能」までの一連の流れが攻撃パスとして表される。

　次に、分析部１０７は、初期ファクトを、攻撃の実行に寄与するファクトと、攻撃の実行に寄与しないファクトに分類する。図３を参照すると、初期ファクトのうち、「機器Ａがインターネットに接続されている」、「機器ＡのＯＳにリモートコード実行可能な脆弱性が存在」、「機器Ａと機器Ｂが通信可能に接続されている」、および「機器ＢにインストールされているソフトウェアＹにリモートコード実行可能な脆弱性が存在」が、攻撃グラフの生成に用いられている。

　よって、分析部１０７は、「機器Ａがインターネットに接続されている」、「機器ＡのＯＳにリモートコード実行可能な脆弱性が存在」、「機器Ａと機器Ｂが通信可能に接続されている」、および「機器ＢにインストールされているソフトウェアＹにリモートコード実行可能な脆弱性が存在」を攻撃の実行に寄与するファクトに分類する。

　同様に、図３を参照すると、初期ファクトのうち、「機器ＡにソフトウェアＸがインストールされている」、および「機器Ｃがインターネットに接続されている」は、攻撃グラフの生成に用いられていない。よって、分析部１０７は、「機器ＡにソフトウェアＸがインストールされている」、および「機器Ｃがインターネットに接続されている」を攻撃の実行に寄与しないファクトに分類する。

　なお、分析部１０７が攻撃グラフを生成する手順は、上述した手順に限られない。分析部１０７は、上述した手順以外の手順に従って、初期ファクトを基に攻撃グラフを生成してもよい。また、分析部１０７は、初期ファクトから診断対象システム２００において実行可能な攻撃または攻撃の流れを求めるための上記の手法以外の別の手法を用いて分析してもよい。

　なお、診断対象システム２００によっては、分析部１０７が攻撃パスを含む攻撃グラフを生成できない場合が想定される。例えば、診断対象システム２００の各機器に対して十分なセキュリティ対策が実行されており、攻撃が実行可能となる前提を表す初期ファクトが生成されない場合、意味のある攻撃パスを含むような攻撃グラフが生成されないことが想定される。

　以上のような手順に従って、分析部１０７は、攻撃グラフを生成する。分析部１０７は、生成された攻撃グラフを示す情報を分析結果記憶部１０８に格納する。分析結果記憶部１０８は、攻撃グラフを示す情報を記憶する機能を有する。

　以下、上記の課題を解決する本実施形態の特徴を説明する。上述したように、診断対象システム２００の構成情報のうち、スキャナ１０１が収集可能な構成情報は限られている。その理由の１つは、診断対象システム２００に大きな負荷がかかるため、スキャナ１０１が任意のデータを送信するようなアクティブスキャンを実行することが困難であるからである。

　例えば、工場内のバルブの開閉等を制御するために使用されているPLC(Programmable Logic Controller)では、多少負荷がかかるだけでも不具合が発生する可能性がある。よって、スキャナ１０１は、PLC に対してパケットを送信して応答内容を分析するポートスキャンを実行できない。

　また、例えば負荷が軽微である簡易なスキャンであればスキャン可能な機器に対しても、詳細な情報を取得するためのスキャンの実行は、負荷が重いため、機器のユーザに許容されない場合がある。ユーザに許容されない場合、スキャナ１０１は、機器を詳細にスキャンできない。

　また、他の理由は、スキャナ１０１が通信ネットワークを流れている業務トラフィック等を受信するパッシブスキャンで構成情報を収集する場合、収集が行われる期間中に、全ての業務トラフィックが流れるとは限らないためである。例えば、スキャナ１０１は、障害対応の内容を示す業務トラフィックや月次更新の内容を示す業務トラフィック等を、所定の期間中に収集できない可能性が高い。

　また、他の理由は、運用上の制約等のため使用可能なスキャナ製品やスキャン方式が限られている場合、スキャナ１０１が十分な情報を収集できないためである。例えば、契約の都合上、管理者がスキャナ１０１として特定の種類のスキャナしか使用できない場合がある。

　また、他の理由は、未知の脆弱性や修正プログラムが未提供である脆弱性をスキャナ１０１が検知できないためである。以上のように、収集される構成情報が限られている場合、攻撃パスが網羅的に得られない可能性がある。

　図４は、分析部１０７により生成される攻撃グラフの他の例を示す説明図である。図４に示す初期ファクト６０～６２は、確定ファクト生成部１０３により生成された確定ファクトである。また、初期ファクト６３は、スキャンで得られた構成情報が示さず確定ファクト生成部１０３により生成されなかったが、診断対象システム２００に含まれる機器の状態を示すファクトである。

　初期ファクト６３が生成されないと、分析部１０７は、初期ファクト６２と初期ファクト６３から攻撃６５へ至る実行可能な攻撃の攻撃パスを導出できない。また、ファクト６４とファクト６５から攻撃６６へ至る実行可能な攻撃の攻撃パスも導出できない。図４に示す破線の矢印は、矢印が含まれる攻撃パスが導出不可能であることを意味する。

　本実施形態の未確定ファクト生成部１０４は、診断対象システム２００、または診断対象システム２００に含まれる機器の未知の情報を示すファクト（以下、未確定ファクトと呼ぶ。）を生成する機能を有する。未確定ファクトは、例えば、スキャナ１０１によるスキャンで得られた構成情報から生成することが困難なファクトである。

　図４に示す斜線模様のファクトは、未確定ファクトであることを意味する。なお、分析部１０７は、未確定ファクトも、攻撃の実行に寄与するファクトと、攻撃の実行に寄与しないファクトに分類する。

　未確定ファクトを生成する１つ目の方法として、未確定ファクト生成部１０４は、例えば一般的に考えられる状態を未確定ファクトとして生成する。例えば、未確定ファクト生成部１０４は、デフォルトでインストールされているソフトウェアに関して、ソフトウェアがインストールされているという未確定ファクトを生成する。

　具体例として、未確定ファクト生成部１０４は、OSがWindows （登録商標）であるPCに関して、.NET Framework（登録商標）がインストールされているという未確定ファクトを生成する。

　また、未確定ファクト生成部１０４は、デフォルト設定や、デフォルト設定ではないがよく用いられる設定に対応する未確定ファクトを生成する。

　また、未確定ファクト生成部１０４は、診断対象システム２００に含まれる機器の構成と類似した構成のホスト、OS、またはソフトウェアを外部データベースにおいて検索し、検索されたホスト等に関する情報に対応する未確定ファクトを生成する。

　ファクト生成情報記憶部１０５は、ファクト生成情報を記憶する機能を有する。ファクト生成情報は、上述した一般的に考えられる状態を示す情報である。具体的には、ファクト生成情報は、デフォルトでインストールされているソフトウェア、デフォルト設定の内容、ホストの一般的な構成等を示す。

　未確定ファクト生成部１０４は、ファクト生成情報記憶部１０５に記憶されているファクト生成情報を参照して未確定ファクトを生成する。なお、ファクト生成情報記憶部１０５は、分析システム１００の外部に存在していてもよい。

　なお、未確定ファクト生成部１０４は、生成された未確定ファクトが示す状態が真である確率をスコアとして算出し、算出されたスコアを用いて未確定ファクトを１つ以上の初期ファクトに含めるか否かを判断してもよい。

　例えば、未確定ファクト生成部１０４は、スコアが閾値以上の未確定ファクトを１つ以上の初期ファクトに含めてもよい。また、未確定ファクト生成部１０４は、別途管理者等から与えられる値Ｎ（Ｎは１以上の整数）を用いて、スコアが上位１番目からＮ番目までのＮ個の未確定ファクトを１つ以上の初期ファクトに含めてもよい。

　なお、分析部１０７は、算出されたスコアをファクトが示す状態が真である確率として扱い、攻撃パスを分析する時にスコアを用いて攻撃の実現可能性を計算してもよい。

　また、未確定ファクトが示す状態が真である確率を示すスコアは、管理者により予め設定されていてもよい。図５は、未確定ファクトが示す状態が真である確率を示すスコアの例を示す説明図である。

　図５（ａ）に示すように、管理者は、各ソフトウェアの各設定項目に関して、デフォルト値やよく知られた値が設定されている可能性を、予めスコアとして定義する。例えば、ソフトＡの設定Ｘにデフォルト値が設定されている可能性は「0.9 」である。

　また、図５（ｂ）に示すように、管理者は、未確定ファクトが示す状態が真である確率を示すスコアを、値ではなくランクとして設定してもよい。図５（ｂ）に示す例では、ランクＡ、ランクＢ、ランクＣの順に高いスコアとしてランクが設定されている。

　未確定ファクトを生成する２つ目の方法として、未確定ファクト生成部１０４は、スキャン結果を基にスキャン結果に含まれていない環境の情報を推定することによって、未確定ファクトを生成する。すなわち、未確定ファクト生成部１０４は、機器の構成情報を基に未確定ファクトを生成する。

　例えば、未確定ファクト生成部１０４は、各ホストの空きポート、および各ホスト間の到達性に関するスキャン結果から、ホスト間にデータフローが存在するという未確定ファクトを生成してもよい。データフローとして、例えばファイル共有が考えられる。

　なお、到達性に関するスキャン結果は、各ホストから別の各ホストに対して通信が可能な状態であるか否かを示す。さらに、到達性に関するスキャン結果は、通信が可能である送信元ポート、送信先ポート等の情報を含んでもよい。到達性に関するスキャン結果は、具体的にはネットワーク構成、ネットワークファイアウォールのルール、ホストファイアウォールのルール等を示す。

　また、未確定ファクト生成部１０４は、診断対象システム２００に含まれる構成要素の類似性、または構成要素の関連性に基づいて未確定ファクトを生成してもよい。なお、構成要素には、ホスト、OS、ソフトウェア等が含まれる。

　例えば、未確定ファクト生成部１０４は、あるホストにインストールされているOS、ソフトウェアの最終更新日が得られている場合、当該ホストまたは他のホストにインストールされているOS、ソフトウェアも同じ日が最終更新日である、という未確定ファクトを生成してもよい。

　また、未確定ファクト生成部１０４は、構成や機能が類似しているホストＡとホストＢに関して、ホストＡのスキャン結果は得られているがホストＢのスキャン結果が得られていない場合、ホストＡのスキャン結果の内容を基にホストＢに関する未確定ファクトを生成してもよい。ホストＡとホストＢは、例えばロードバランサの対象の２つのホストである。

　また、未確定ファクト生成部１０４は、データフローが観測されていない２つのホストにPDF(Portable Document Format) ファイル等の同一のファイルが存在する場合、ホスト間でのファイル共有のデータフローを示す未確定ファクトを生成してもよい。その理由は、ファイル共有が行われた可能性があるためである。

　ただし、同一のファイルがシステムディレクトリ内のファイルである場合、未確定ファクト生成部１０４は、未確定ファクトを生成しなくてもよい。その理由は、システムディレクトリ内のファイルは元々システムが備えるファイルであり、ファイル共有が行われた可能性が低いためである。

　また、未確定ファクトが示す状態が真である確率を示すスコアは、管理者により予め設定されていてもよい。図６は、未確定ファクトが示す状態が真である確率を示すスコアの他の例を示す説明図である。

　図６（ａ）に示すように、管理者は、推定の方法ごとに、予め所定のスコアを設定する。例えば、空きポートと到達性から推定されたデータフローが存在する確率は「0.5 」である。

　また、図６（ｂ）に示すように、管理者は、未確定ファクトが示す状態が真である確率を示すスコアを、値ではなくランクとして設定してもよい。図６（ｂ）に示す例では、ランクＣ、ランクＤの順に高いスコアとしてランクが設定されている。

　未確定ファクトを生成する３つ目の方法として、未確定ファクト生成部１０４は、スキャン結果を基に未知の脆弱性が含まれている可能性を統計的に判断することによって、未確定ファクトを生成してもよい。

　例えば、未確定ファクト生成部１０４は、スキャン結果から判明しているインストール済みのソフトウェアに関して、以下に示す統計情報から未知の脆弱性が存在するか否か、存在する場合にどのような脆弱性であるかを判断する。脆弱性の種類は、例えば任意コード実行、情報漏洩、DoS(Denial of Service)である。

　例えば、未確定ファクト生成部１０４は、インストール済みのソフトウェアのソフトウェアスイートやベンダの脆弱性の発見頻度を基に統計的に判断する。例えば、未確定ファクト生成部１０４は、ソフトウェアスイートごと、またはベンダごとの脆弱性の発見頻度に関する統計情報を参照して、診断対象システム２００内の各ソフトウェアのソフトウェアスイートまたはベンダを基に、当該ソフトウェアに脆弱性が含まれる確率を算出する。

　また、未確定ファクト生成部１０４は、ソフトウェアスイートおよびベンダごとの脆弱性の発見頻度に関する統計情報を参照して、診断対象システム２００内の各ソフトウェアのソフトウェアスイートおよびベンダを基に、当該ソフトウェアに脆弱性が含まれる確率を算出してもよい。

　次いで、未確定ファクト生成部１０４は、算出された確率が所定の閾値を超えている場合に当該ソフトウェアに脆弱性が存在すると判断する。その理由は、過去に多くの脆弱性が発見されているソフトウェアと、ソフトウェアスイートとベンダのうち少なくともいずれかが同じソフトウェアには、未知の脆弱性が存在している可能性が高いためである。すなわち、未確定ファクト生成部１０４は、ソフトウェアスイートやベンダの脆弱性の発見頻度に基づいて未確定ファクトを生成する。

　また、未確定ファクト生成部１０４は、インストール済みのソフトウェアの更新頻度を基に統計的に判断する。例えば、未確定ファクト生成部１０４は、当該ソフトウェアの更新頻度が所定の閾値を超えている場合に、当該ソフトウェアに未知の脆弱性が存在すると判断する。その理由は、頻繁に更新が行われているソフトウェアほど、新たな脆弱性が混入されている可能性が高いためである。すなわち、未確定ファクト生成部１０４は、構成情報が示すソフトウェアに関する更新頻度に基づいて未確定ファクトを生成する。

　また、未確定ファクト生成部１０４は、インストール済みのソフトウェアに関するソフトウェアバグ収束曲線（単にバグ曲線とも呼ぶ。）を基に統計的に判断する。対象のソフトウェアから検出されたバグの数とソフトウェアバグ収束曲線とを基に、未確定ファクト生成部１０４は、ソフトウェアに未知の脆弱性が存在するか否かを判断する。すなわち、未確定ファクト生成部１０４は、構成情報が示すソフトウェアに関するバグ曲線に基づいて未確定ファクトを生成する。

　また、未確定ファクト生成部１０４は、インストール済みのソフトウェアの規模を基に統計的に判断する。例えば、未確定ファクト生成部１０４は、ソフトウェアの規模と内包されていた脆弱性の有無に関する統計情報を参照して、診断対象システム２００内の各ソフトウェアの規模を基に、当該ソフトウェアに脆弱性が含まれる確率を算出する。

　次いで、未確定ファクト生成部１０４は、算出された確率が所定の閾値を超えている場合に当該ソフトウェアに脆弱性が存在すると判断する。その理由は、規模が大きくなるほど、ソフトウェアには脆弱性が含まれやすくなるためである。すなわち、未確定ファクト生成部１０４は、ソフトウェアに関する規模に基づいて未確定ファクトを生成する。

　また、未確定ファクト生成部１０４は、インストール済みのソフトウェアがOSS(Open Source Software) である場合、OSS 開発コミュニティの人数を基に統計的に判断する。

　例えば、未確定ファクト生成部１０４は、ソフトウェアの開発コミュニティの人数と内包されていた脆弱性の有無に関する統計情報を参照して、診断対象システム２００内の各ソフトウェアの開発コミュニティの人数を基に、当該ソフトウェアに脆弱性が含まれる確率を算出する。

　次いで、未確定ファクト生成部１０４は、算出された確率が所定の閾値を超えている場合に当該ソフトウェアに脆弱性が存在すると判断する。ソフトウェアのOSS 開発コミュニティの人数が多いほど、デバッグやメンテナンスが十分行われている確率が高いためである。

　また、未確定ファクト生成部１０４は、インストール済みのソフトウェアのサポートが終了している場合、サポート終了からの経過時間を基に統計的に判断する。サポートが終了すると、ソフトウェアは、ベンダにより管理されなくなる。また、サポート終了からの経過時間が長くなるほど、ソフトウェアに脆弱性が発見されている確率が高くなる。よって、経過時間が閾値を超えたら、未確定ファクト生成部１０４は、ソフトウェアに未知の脆弱性が存在すると判断する。

　なお、未確定ファクト生成部１０４は、ソフトウェアに含まれている未知の脆弱性の種類も統計的に判断してもよい。例えば、未確定ファクト生成部１０４は、上述したような脆弱性に関する統計情報であって、さらに脆弱性の種類ごとに集計された統計情報を用いてもよい。

　脆弱性の種類ごとに集計された統計情報を用いる場合、未確定ファクト生成部１０４は、診断対象システム２００内の各ソフトウェアに脆弱性が含まれている確率を脆弱性の種類ごとに算出する。次いで、未確定ファクト生成部１０４は、算出された確率が所定の閾値を超えている場合に算出された確率に関する脆弱性が当該ソフトウェアに存在すると判断する。

　ファクト生成情報記憶部１０５には、上述したような統計情報と所定の閾値が予め記憶されている。統計情報には、統計的な判断の対象と、未知の脆弱性との対応関係が含まれている。未確定ファクト生成部１０４は、記憶されている対応関係を参照して、存在する未知の脆弱性を判断する。

　未確定ファクト生成部１０４は、上記の方法で未確定ファクトを生成する。しかし、未確定ファクト生成部１０４による未確定ファクトの生成方法は、上記の方法に限られない。例えば、未確定ファクト生成部１０４は、上記の方法を組み合わせて未確定ファクトを生成してもよい。

　また、未確定ファクト生成部１０４は、例えば別途管理者等から与えられる値Ｎ（Ｎは１以上の整数）を用いてもよい。未確定ファクト生成部１０４は、統計情報を基に各ソフトウェアに脆弱性が含まれる確率を計算し、計算された確率が上位１番目からＮ番目までのソフトウェアに脆弱性が含まれると判断してもよい。

　なお、上述したような未確定ファクトを生成する条件が満たされるか否かは、診断対象システム２００等に依存する。条件が満たされない場合、未確定ファクトは、生成されない可能性もある。

　本実施形態の初期ファクト記憶部１０６に記憶されている１つ以上の初期ファクトには、未確定ファクト生成部１０４により生成された未確定ファクトが含まれ得る。また、本実施形態の分析部１０７は、未確定ファクトも存在していると仮定して攻撃パスを分析する。

　すなわち、分析部１０７は、確定ファクトと所定の条件を満たす未確定ファクトとが含まれる複数のファクトのうち１つ以上のファクトが示す状態が、別のファクトを導き出すためのルールである分析ルールが示す条件に適合するか否かを判断する。所定の条件は、例えば未確定ファクトが示す状態が真である確率が所定の閾値以上であることである。

　別のファクトを導き出す処理を繰り返し実行することによって、分析部１０７は、確定ファクトと未確定ファクトの少なくともいずれか１つと、分析ルールとを基に、実行可能な攻撃を導出する。さらに、分析部１０７は、導出された攻撃と、生成された確定ファクトと生成された未確定ファクトの少なくともいずれか１つと、分析ルールとを基に、実行可能な新たな攻撃を導出する。

　また、分析部１０７が生成する攻撃グラフには、各ファクトが確定ファクトと未確定ファクトのいずれであるかを示す情報が付与されている。

　可視化部１０９は、分析結果記憶部１０８に記憶されている情報が示す、生成された攻撃グラフを表示手段（図示せず）に表示する機能を有する。なお、可視化部１０９は、分析システム１００に備えられていなくてもよい。

　対策計画部１１０は、導出された攻撃パスに基づいて、攻撃を実行不可能にするために、診断対象システム２００のどこにどのような対策を施せばよいか計画する機能を有する。すなわち、対策計画部１１０は、分析部１０７により実行可能と判定された攻撃に対する対策を計画する。

　例えば、対策計画部１１０は、所定のホストのOSを更新する、所定のネットワーク境界にファイアウォールを追加する等の対策を出力する。なお、対策計画部１１０は、分析システム１００に備えられていなくてもよい。

　抽出部１１１は、１つ以上の初期ファクトに含められた未確定ファクトのうち、攻撃の実行に寄与する未確定ファクトを抽出する機能を有する。具体的には、抽出部１１１は、分析結果記憶部１０８に記憶されている攻撃グラフが示す攻撃パスを構成する確定ファクトと未確定ファクトのうち、未確定ファクトを抽出する。

　抽出部１１１は、抽出された未確定ファクトを提示する。例えば、抽出部１１１は、抽出された未確定ファクトの確認を管理者に依頼する。未確定ファクトの内容が運用に関する内容である場合、管理者は、未確定ファクトの真偽を判断できる可能性がある。

　また、抽出部１１１は、抽出された未確定ファクトのうち追加スキャンの対象とする未確定ファクトを選択して、選択された未確定ファクトのスキャンをスキャナ１０１に指示する。例えば、抽出部１１１は、攻撃の実行に寄与する未確定ファクトのうち、特に重要なファクトを追加スキャンの対象に指定して、スキャンをスキャナ１０１に指示する。

　重要なファクトとして、例えば未確定ファクトが示す状態が真である確率が、ある第一の閾値以上かつ第二の閾値以下である未確定ファクトが考えられる。状態が真である確率が十分に大きい未確定ファクトは、追加スキャンされなくとも状態が真であるとみなされるため、追加スキャンの対象から除外される。また、状態が真である確率が十分に小さい未確定ファクトは、追加スキャンされなくとも状態が偽であるとみなされるため、やはり追加スキャンの対象から除外される。なお、第一の閾値および第二の閾値は、別途管理者等から与えられる値である。

　また、重要なファクトとして、例えば存在の有無により攻撃の成否が変化する未確定ファクト、すなわち攻撃の成否に関わる未確定ファクトや、所定の数以上の攻撃パスに影響を与えている未確定ファクトが考えられる。例えば、一方の条件が確定ファクトであるOR条件の他方の条件である未確定ファクトに関して、有無によらずOR条件が成立するので、抽出部１１１は、重要ファクトに指定しなくてもよい。

　なお、OR条件は、攻撃パスにおいて各条件が論理和の関係、すなわち各条件が少なくとも１つ成立するときに攻撃が実行可能となり、各条件が全て成立しないときに攻撃が実行不可能となる条件を意味する。

　また、重要なファクトとして、例えば追加スキャンにより取得される新たな情報で真偽が明らかになることが予測される未確定ファクトが考えられる。抽出部１１１は、未知の脆弱性のようにスキャンが不可能、またはスキャンが著しく困難なファクトに対する追加スキャンの指示を抑制する。

　さらに、抽出部１１１は、スキャナ１０１の特性を考慮して、得られる新たな情報で未確定ファクトの真偽を明らかにできるか否かを判断してもよい。スキャナ１０１が診断対象システム２００に含まれる機器であるホスト内にインストールされているエージェントであれば、抽出部１１１は、ホストにインストールされているソフトウェアの設定等が取得できると判断する。

　また、スキャナ１０１が診断対象システム２００に含まれる機器であるホストに通信ネットワークを介して通信可能に接続されたアプライアンス等であれば、抽出部１１１は、ホストにインストールされているソフトウェアの設定等の取得が困難であると判断する。

　また、複数のスキャナが使用可能である場合、抽出部１１１は、得られる新たな情報で未確定ファクトの真偽を明らかにできる可能性が高いスキャナに対して、追加スキャンの指示を出力するように指示部１１２に指示してもよい。

　指示部１１２は、抽出部１１１により選択された未確定ファクトのスキャンの指示をスキャナ１０１に入力する。

［動作の説明］
　以下、本実施形態の分析システム１００の攻撃グラフを生成する動作を図７を参照して説明する。図７は、第１の実施形態の分析システム１００による攻撃グラフ生成処理の動作を示すフローチャートである。

　最初に、スキャナ１０１は、診断対象システム２００をスキャンする（ステップS101）。

　ステップS101で、スキャナ１０１は、診断対象システム２００に含まれる機器の構成情報を収集する。次いで、スキャナ１０１は、収集された構成情報をスキャン結果記憶部１０２に格納する（ステップS102）。

　次いで、確定ファクト生成部１０３は、スキャン結果記憶部１０２に記憶されている構成情報を参照して、確定ファクトを生成する。次いで、確定ファクト生成部１０３は、生成された確定ファクトを、初期ファクト記憶部１０６に格納する（ステップS103）。

　また、未確定ファクト生成部１０４は、未確定ファクトを生成する。次いで、未確定ファクト生成部１０４は、生成された未確定ファクトを、初期ファクト記憶部１０６に格納する（ステップS104）。

　なお、未確定ファクト生成部１０４は、未確定ファクトを生成する時、スキャン結果記憶部１０２に記憶されている構成情報と、ファクト生成情報記憶部１０５に記憶されているファクト生成情報を参照してもよい。

　次いで、分析部１０７は、初期ファクト記憶部１０６に記憶されている１つ以上の初期ファクトを基に、実行可能な攻撃の攻撃パスを導出することによって攻撃グラフを生成する（ステップS105）。次いで、分析部１０７は、生成された攻撃グラフを示す情報を、分析結果記憶部１０８に格納する（ステップS106）。

　次いで、可視化部１０９は、分析結果記憶部１０８に記憶されている情報が示す攻撃グラフを表示手段に表示する（ステップS107）。

　次いで、対策計画部１１０は、分析結果記憶部１０８に記憶されている情報が示す導出された攻撃パスに基づいて、優先的に対策した方が好ましい項目が含まれる対策計画を生成する（ステップS108）。

　対策計画を生成した後、分析システム１００は、攻撃グラフ生成処理を終了する。なお、ステップS107、S108の各処理は、省略されてもよい。

　次に、本実施形態の分析システム１００の追加スキャンを実行する動作を図８を参照して説明する。図８は、第１の実施形態の分析システム１００による追加スキャン実行処理の動作を示すフローチャートである。

　最初に、抽出部１１１は、分析結果記憶部１０８に記憶されている攻撃グラフが示す攻撃パスを構成するファクトのうち、未確定ファクトを抽出する（ステップS201）。

　次いで、抽出部１１１は、抽出された未確定ファクトを管理者に向けて提示する（ステップS202）。なお、ステップS202の処理は、省略されてもよい。

　次いで、抽出部１１１は、抽出された未確定ファクトのうち追加スキャンの対象とする未確定ファクトを選択する（ステップS203）。

　次いで、抽出部１１１は、選択された未確定ファクトが追加スキャンの対象であることを指示部１１２に入力する（ステップS204）。

　次いで、指示部１１２は、入力された対象の未確定ファクトを含む情報の収集を実行するようにスキャナ１０１に指示する（ステップS205）。

　次いで、スキャナ１０１は、対象の未確定ファクトを含む情報を収集する（ステップS206）。スキャナ１０１は、追加で情報を収集し、収集された情報をスキャン結果記憶部１０２に格納する（ステップS207）。格納した後、分析システム１００は、追加スキャン実行処理を終了する。

　なお、追加スキャン実行処理が終了した後、確定ファクト生成部１０３は、再度確定ファクトを生成してもよい。再度確定ファクトが生成された後、分析部１０７は、再度攻撃パスを導出してもよい。

［効果の説明］
　上記の構成により、本実施形態の分析システム１００は、未知の条件も対象にした網羅的な分析を実行できる。すなわち、本実施形態の分析システム１００は、診断対象システム２００に含まれる各機器から情報を十分に収集できない場合であっても診断対象システム２００における攻撃可能性を分析できる。

　換言すると、本実施形態の分析システム１００は、診断対象システム２００内の機器を詳細にスキャンできない場合、全ての業務トラフィックを収集できない場合、使用可能なスキャナ製品やスキャン方式が限られている場合、または未知の脆弱性が含まれている場合等であっても、診断対象システム２００における攻撃可能性を分析できる。

（変形例）
　以下、本実施形態の変形例を説明する。図９は、本発明の第１の実施形態の分析システムの他の構成例を示すブロック図である。

　図９に示す分析システム１００Ａは、スキャナ１０１と、スキャン結果記憶部１０２と、確定ファクト生成部１０３と、未確定ファクト生成部１０４と、ファクト生成情報記憶部１０５と、初期ファクト記憶部１０６と、分析部１０７と、分析結果記憶部１０８と、可視化部１０９と、対策計画部１１０とを備える。すなわち、分析システム１００Ａは、図１に示す分析システム１００と異なり、抽出部１１１と、指示部１１２とを備えていない。

　また、分析システム１００Ａは、図７に示す攻撃グラフ生成処理を実行するが、図８に示す追加スキャン実行処理を実行しない。すなわち、分析システム１００Ａは、スキャンの実行から、攻撃パスの分析までを行う。

　以下、本実施形態の分析システムのハードウェア構成の具体例を説明する。図１０は、本発明による分析システムのハードウェア構成例を示す説明図である。

　図１０に示す分析システムは、CPU １１と、主記憶部１２と、通信部１３と、補助記憶部１４とを備える。また、ユーザが操作するための入力部１５や、ユーザに処理結果または処理内容の経過を提示するための出力部１６を備える。

　分析システムは、一例として、各構成要素が有する機能を提供するプログラムを図１０に示すCPU １１が実行することによって、ソフトウェアにより実現される。

　すなわち、CPU １１が補助記憶部１４に格納されているプログラムを、主記憶部１２にロードして実行し、分析システムの動作を制御することによって、各機能がソフトウェアにより実現される。

　主記憶部１２は、データの作業領域やデータの一時退避領域として用いられる。主記憶部１２は、例えばRAM(Random Access Memory) である。スキャン結果記憶部１０２、ファクト生成情報記憶部１０５、初期ファクト記憶部１０６、および分析結果記憶部１０８は、主記憶部１２で実現される。

　通信部１３は、有線のネットワークまたは無線のネットワーク（情報通信ネットワーク）を介して、周辺機器との間でデータを入力および出力する機能を有する。スキャナ１０１は、通信部１３で実現されてもよい。

　補助記憶部１４は、一時的でない有形の記憶媒体である。一時的でない有形の記憶媒体として、例えば磁気ディスク、光磁気ディスク、CD-ROM(Compact Disk Read Only Memory) 、DVD-ROM(Digital Versatile Disk Read
Only Memory)、半導体メモリが挙げられる。

　入力部１５は、データや処理命令を入力する機能を有する。入力部１５は、例えばキーボードやマウス等の入力デバイスである。

　出力部１６は、データを出力する機能を有する。出力部１６は、例えば液晶ディスプレイ装置等の表示装置である。

　また、図１０に示すように、分析システムにおいて、各構成要素は、システムバス１７に接続されている。

　補助記憶部１４は、例えば、スキャナ１０１、確定ファクト生成部１０３、未確定ファクト生成部１０４、分析部１０７、可視化部１０９、対策計画部１１０、抽出部１１１、および指示部１１２を実現するためのプログラムを記憶している。

　上述した分析システムの実現方法には、様々な変形例がある。例えば、分析システムは、構成要素毎にそれぞれ別個の情報処理装置とプログラムとの任意の組み合わせにより実現されてもよい。また、分析システムが備える複数の構成要素が、一つの情報処理装置とプログラムとの任意の組み合わせにより実現されてもよい。

　また、各構成要素の一部または全部は、汎用の回路（circuitry ）または専用の回路、プロセッサ等やこれらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。

　各構成要素の一部または全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。

　次に、本発明の概要を説明する。図１１は、本発明による分析システムの概要を示すブロック図である。本発明による分析システム２０は、診断対象システムまたは診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち診断対象システムまたは機器の未知の情報を示すファクトを未確定ファクトとして生成する未確定ファクト生成部２１（例えば、未確定ファクト生成部１０４）を備える。

　そのような構成により、分析システムは、診断対象システムに含まれる各機器から情報を十分に収集できない場合であっても診断対象システムにおける攻撃可能性を分析できる。

　以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下に限られない。

　（付記１）診断対象システムまたは前記診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち前記診断対象システムまたは前記機器の未知の情報を示すファクトを未確定ファクトとして生成する未確定ファクト生成部を備えることを特徴とする分析システム。

　（付記２）未確定ファクト生成部は、機器の構成情報を基に未確定ファクトを生成する付記１記載の分析システム。

　（付記３）未確定ファクト生成部は、構成情報が示すソフトウェアに関する更新頻度、前記ソフトウェアに関するバグ曲線、または前記ソフトウェアに関する規模に基づいて未確定ファクトを生成する付記２記載の分析システム。

　（付記４）ファクトのうち構成情報が示すファクトを確定ファクトとして生成する確定ファクト生成部を備える付記１から付記３のうちのいずれかに記載の分析システム。

　（付記５）確定ファクトと所定の条件を満たす未確定ファクトとが含まれる複数のファクトのうち１つ以上のファクトが示す状態が、別のファクトを導き出すためのルールである分析ルールが示す条件に適合するか否かを判断する分析部を備える付記４記載の分析システム。

　（付記６）所定の条件は、未確定ファクトが示す状態が真である確率が所定の閾値以上であることである付記５記載の分析システム。

　（付記７）分析部は、確定ファクトと未確定ファクトの少なくともいずれか１つと、分析ルールとを基に、実行可能な攻撃を導出する付記５または付記６記載の分析システム。

　（付記８）分析部は、導出された攻撃と、確定ファクトと未確定ファクトの少なくともいずれか１つと、分析ルールとを基に、実行可能な新たな攻撃を導出する付記７記載の分析システム。

　（付記９）導出された攻撃に対する対策を計画する対策計画部を備える付記７または付記８記載の分析システム。

　（付記１０）機器から構成情報を収集するスキャナを備える付記１から付記９のうちのいずれかに記載の分析システム。

　（付記１１）診断対象システムまたは前記診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち前記診断対象システムまたは前記機器の未知の情報を示すファクトを未確定ファクトとして生成することを特徴とする分析方法。

　（付記１２）コンピュータに、診断対象システムまたは前記診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち前記診断対象システムまたは前記機器の未知の情報を示すファクトを未確定ファクトとして生成する未確定ファクト生成処理を実行させるための分析プログラム。

産業上の利用の可能性

　本発明は、資産管理システムと連携して使用される分析システムに好適に適用される。

１１　CPU
１２　主記憶部
１３　通信部
１４　補助記憶部
１５　入力部
１６　出力部
１７　システムバス
２０、１００、１００Ａ　分析システム
２１、１０４　未確定ファクト生成部
１０１　スキャナ
１０２　スキャン結果記憶部
１０３　確定ファクト生成部
１０５　ファクト生成情報記憶部
１０６　初期ファクト記憶部
１０７　分析部
１０８　分析結果記憶部
１０９　可視化部
１１０　対策計画部
１１１　抽出部
１１２　指示部
２００　診断対象システム

Claims

　診断対象システムまたは前記診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち前記診断対象システムまたは前記機器の未知の情報を示すファクトを未確定ファクトとして生成する未確定ファクト生成部を備える
　ことを特徴とする分析システム。
　未確定ファクト生成部は、機器の構成情報を基に未確定ファクトを生成する
　請求項１記載の分析システム。
　未確定ファクト生成部は、構成情報が示すソフトウェアに関する更新頻度、前記ソフトウェアに関するバグ曲線、または前記ソフトウェアに関する規模に基づいて未確定ファクトを生成する
　請求項２記載の分析システム。
　ファクトのうち構成情報が示すファクトを確定ファクトとして生成する確定ファクト生成部を備える
　請求項１から請求項３のうちのいずれか１項に記載の分析システム。
　確定ファクトと所定の条件を満たす未確定ファクトとが含まれる複数のファクトのうち１つ以上のファクトが示す状態が、別のファクトを導き出すためのルールである分析ルールが示す条件に適合するか否かを判断する分析部を備える
　請求項４記載の分析システム。
　所定の条件は、未確定ファクトが示す状態が真である確率が所定の閾値以上であることである
　請求項５記載の分析システム。
　分析部は、確定ファクトと未確定ファクトの少なくともいずれか１つと、分析ルールとを基に、実行可能な攻撃を導出する
　請求項５または請求項６記載の分析システム。
　分析部は、導出された攻撃と、確定ファクトと未確定ファクトの少なくともいずれか１つと、分析ルールとを基に、実行可能な新たな攻撃を導出する
　請求項７記載の分析システム。
　導出された攻撃に対する対策を計画する対策計画部を備える
　請求項７または請求項８記載の分析システム。
　機器から構成情報を収集するスキャナを備える
　請求項１から請求項９のうちのいずれか１項に記載の分析システム。
　診断対象システムまたは前記診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち前記診断対象システムまたは前記機器の未知の情報を示すファクトを未確定ファクトとして生成する
　ことを特徴とする分析方法。
　コンピュータに、
　診断対象システムまたは前記診断対象システムに含まれる機器におけるセキュリティに関連する状態を示すファクトのうち前記診断対象システムまたは前記機器の未知の情報を示すファクトを未確定ファクトとして生成する未確定ファクト生成処理
　を実行させるための分析プログラム。