WO2022091207A1

WO2022091207A1 - リスク分析装置、分析対象要素決定装置、方法、及びコンピュータ可読媒体

Info

Publication number: WO2022091207A1
Application number: PCT/JP2020/040219
Authority: WO
Inventors: 真樹井ノ口; 智彦柳生; 峻一木下; 啓文植田
Original assignee: 日本電気株式会社
Priority date: 2020-10-27
Filing date: 2020-10-27
Publication date: 2022-05-05
Also published as: JPWO2022091207A1; US20240022589A1

Abstract

計算コストを増大させずにリスク分析を実施可能とする。グループ化手段（１１）は、分析対象のシステムに含まれる複数のホストを複数のグループにグループ化する。仮想分析要素生成手段（１２）は、複数のグループのそれぞれについて、１以上の仮想の分析要素を生成する。分析手段（１３）は、仮想の分析要素を用いて、攻撃の終点となる仮想の分析要素に対する攻撃が可能か否かを分析する。分析対象要素決定手段（１４）は、分析対象のシステムに含まれるホストのうち、攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する。分析手段（１５）は、リスク分析の対象として決定されたホストについて、攻撃の終点となるホストに対する攻撃が可能か否かを分析する。

Description

リスク分析装置、分析対象要素決定装置、方法、及びコンピュータ可読媒体

　本開示は、リスク分析装置、分析対象要素決定装置、リスク分析方法、分析対象要素決定方法、及びコンピュータ可読媒体に関する。

　関連技術として、特許文献１は、セキュリティ分析システム、最適化装置、及び対処機能制御装置を含むシステムを開示する。特許文献１に記載のシステムにおいて、最適化装置は、セキュリティ分析システムから、サイバー攻撃情報と、システム情報とを収集する。サイバー攻撃情報は、サイバー攻撃の種別、攻撃者の識別子、被害者の識別子、及び有効な対処機能の情報を含む。システム情報は、サイバー攻撃を受けた機器を含むシステム全体に関する情報である。システム情報は、ネットワーク構成情報、ネットワーク上の対処ポイントごとの対処機能情報、及び対処ポイントのリソース利用状況情報を含む。

　最適化装置は、収集したサイバー攻撃情報及びシステム情報に基づいて、サイバー攻撃の攻撃経路を特定する。より詳細には、最適化装置は、ネットワーク構成情報に基づいて、収集された攻撃者の端末のＩＰ（Internet Protocol）アドレスと被害者の端末のＩＰアドレスとを探索し、攻撃者の端末から被害者の端末までの経路を攻撃経路として特定する。最適化装置は、攻撃経路上にある機器であって、サイバー攻撃に対して有効な対処機能を有する機器を対処ポイントの候補として抽出する。最適化装置は、抽出した対処ポイントの候補の中から、対処ポイントを選択する。その後、最適化装置は、選択した対処ポイントと有効な対処機能とを対処機能制御装置に出力し、対処機能制御装置に対処機能を実行させる。

国際公開第２０１６／０７６２０７号

　近年、サイバー攻撃の脅威は、ＩＣＴ（Information and Communication Technology）分野にとどまらず、制御システムやＩｏＴ（Internet of Things）の分野でも被害事例が発生している。特に、制御システムにおいては、電力システムや工場の停止など、重要インフラの稼働を脅かす事案も起こっている。サイバー攻撃の脅威に対しては、システムが持つセキュリティリスクを明確化し、対策を実施し、リスクを下げることが重要である。

　セキュリティリスクの分析では、いくつかの攻撃シナリオが想定される。攻撃シナリオは、例えば、攻撃に利用される侵入口、最終的な攻撃対象、及び最終攻撃の種別を含む。セキュリティリスク分析装置は、システムの構成情報などを参照し、攻撃シナリオに対して、攻撃条件に基づいて攻撃手順を演繹的に推論し、攻撃経路を探索する。攻撃経路における攻撃手順や各攻撃手順の条件をグラフ形式で表したグラフは、「攻撃グラフ」や「攻撃ツリー」と呼ばれる。

　上記の場合、分析対象のシステムに含まれるホストの数が多い場合、攻撃グラフの生成に要する計算コストが膨大となるという問題がある。特許文献１では、最適化装置は、単に攻撃者の端末から被害者の端末までの経路を攻撃経路として特定しているだけであり、攻撃手順を推論していない。このため、特許文献１は、上記した問題に対する解決手段を提供しない。システムに多数のホストが含まれる場合でも、計算コストを増大させずにリスク分析が可能であることが要望される。

　本開示は、上記に鑑み、複雑なシステムについても、計算コストを増大させずにリスク分析を実施できるリスク分析装置及び方法、分析対象要素決定装置及び方法、並びにコンピュータ可読媒体を提供することを目的とする。

　上記目的を達成するために、本開示は、第１の態様として、分析対象要素決定装置を提供する。分析対象要素決定装置は、分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化するグループ化手段と、前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成する仮想分析要素生成手段と、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する分析手段と、前記分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段とを有する。

　本開示は、第２の態様として、リスク分析装置を提供する。リスク分析装置は、分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化するグループ化手段と、前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成する仮想分析要素生成手段と、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する第１の分析手段と、前記第１の分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段と、前記分析対象要素決定手段が前記リスク分析の対象として決定したホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する第２の分析手段とを有する。

　本開示は、第３の態様として、分析対象要素決定方法を提供する。分析対象要素決定方法は、分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定することを含む。

　本開示は、第４の態様として、リスク分析方法を提供する。リスク分析方法は、分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析することを含む。

　本開示は、第５の態様として、コンピュータ可読媒体を提供する。コンピュータ可読媒体は、分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する処理をコンピュータに実行させるためのプログラムを格納する。

　本開示は、第６の態様として、コンピュータ可読媒体を提供する。コンピュータ可読媒体は、分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する処理をコンピュータに実行させるためのプログラムを格納する。

　本開示に係るリスク分析装置及び方法、分析対象要素決定装置及び方法、並びにコンピュータ可読媒体は、複雑なシステムについても、計算コストを増大させずにリスク分析を実施できる。

本開示に係るリスク分析装置の概略的な構成を示すブロック図。本開示の一実施形態に係るリスク分析装置を示すブロック図。分割分析で分析されるシステムを示すブロック図。分割分析で分析される分析対象を示すブロック図。分割分析の結果の一例を示す図。分析対象のシステムの一例を示すブロック図。稼働サービスと終点状態との対応関係を示すテーブルの具体例を示す図。分析対象のシステムの一部を示すブロック図。各サブネットワークに生成される代表ホストを示すブロック図。リスク分析装置における動作手順を示すフローチャート。コンピュータ装置の構成例を示すブロック図。

　本開示の実施の形態の説明に先立って、本開示の概要を説明する。図１は、本開示に係るリスク分析装置の概略的な構成を示す。リスク分析装置１０は、グループ化手段１１、仮想分析要素生成手段１２、分析手段１３、分析対象要素決定手段１４、及び分析手段１５を有する。リスク分析装置１０において、グループ化手段１１、仮想分析要素生成手段１２、分析手段１３、及び分析対象要素決定手段１４は、分析対象要素決定装置２０を構成する。

　グループ化手段１１は、分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化する。仮想分析要素生成手段１２は、複数のグループのそれぞれについて、１以上の仮想の分析要素を生成する。分析手段（第１の分析手段）１３は、生成された仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの仮想の分析要素から、攻撃の終点となるホストが属するグループの仮想の分析要素に対する攻撃が可能か否かを分析する。

　分析対象要素決定手段１４は、分析手段１３の分析結果に基づいて、分析対象のシステムに含まれるホストのうち、攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する。分析手段（第２の分析手段）１５は、分析対象要素決定手段１４がリスク分析の対象として決定したホストについて、攻撃の始点となるホストから、攻撃の終点となるホストに対する攻撃が可能か否かを分析する。

　本開示では、仮想分析要素生成手段１２は、各グループに、仮想の分析要素を生成する。分析手段１３は、仮想の分析要素を用いて、攻撃の始点から攻撃の終点までの攻撃経路を検索する。分析対象要素決定手段１４は、攻撃経路に含まれる仮想の分析要素に対応するホストを、分析手段１５におけるリスク分析の対象として決定する。このようにすることで、本開示は、システム全体に対してリスク分析を行う場合に比べて、分析手段１５における計算コストを軽減することができる。

　以下、本開示の実施の形態を詳細に説明する。図２は、本開示の一実施形態に係るリスク分析装置を示す。リスク分析装置１００は、グループ化部１０１、代表ホスト生成部１０２、第１のリスク分析部１０３、分析対象要素決定部１０４、及び第２のリスク分析部１０５を有する。リスク分析装置１００において、グループ化部１０１、代表ホスト生成部１０２、第１のリスク分析部１０３、及び分析対象要素決定部１０４は、分析対象要素決定装置１１０を構成する。リスク分析装置１００は、図１に示されるリスク分析装置１０に対応する。分析対象要素決定装置１１０は、図１に示される分析対象要素決定装置２０に対応する。

　ここで、本実施形態では、リスク分析装置１００は、分割分析の手法を用いて、分析対象のシステムにおけるセキュリティリスクを分析するものとする。本実施形態において、分割分析とは、システム全体を所定単位で分割し、各分割単位に対してリスク分析を行い、各分割単位のリスク分割結果を結合することで、システム全体のリスクを分析することを指す。

　図３は、分割分析で分析されるシステムを示す。このシステムは、ホスト（ホストＡ）２００Ａ、ホスト（ホストＢ）２００Ｂ、及びホスト（ホストＣ）２００Ｃを有する。ここでは、ホスト２００Ａが攻撃の侵入口のホストであり、ホスト２００Ｃが攻撃目標のホストであるとする。分割分析では、ホスト２００Ａからホスト２００Ｂへの攻撃が可能であるかが分析され、ホスト２００Ｂからホスト２００Ｃへの攻撃が可能であるかが分析される。リスク分析装置１００は、ホスト２００Ａ及びホスト２００Ｂの分析結果と、ホスト２００Ｂ及びホスト２００Ｃの分析結果を結合することで、ホスト２００Ａからホスト２００Ｃへの攻撃が可能であるかを分析する。

　図４は、分割分析で分析される分析対象を示す。この例において、ホスト（ホストＸ）２００Ｘは分割分析の起点となるホストであり、ホスト（ホストＹ）２００Ｙは分割分析の終点となるホストであるとする。ホスト２００Ｘ及び２００Ｙは、それぞれ「コード実行可能」、「データ窃取可能」、及び「データ改ざん可能」という３つの状態を有する。分割分析では、起点となるホスト２００Ｘの各状態から、終点となるホスト２００Ｙの各状態に遷移可能か否かが分析される。図４において、ホスト２００Ｘの各状態とホスト２００Ｙの各状態とを結ぶ複数の直線のそれぞれは分析単位（分析対象要素）を表す。なお、起点となるホストと終点となるホストとが同一のホストである場合もある。その場合、例えばホスト２００Ｘの各状態から、ホスト２００Ｘの他の状態へ遷移可能か否かが分析される。

　図５は、分割分析の結果の一例を示す。リスク分析装置１００は、ホスト２００Ａとホスト２００Ｂとの分割分析では、前提条件として、「ホストＡでコード実行可能」と仮定する。リスク分析装置１００は、システム構成情報から「ホストＢでネットワークサービスＸが稼働」、「ホストＡからホストＢに到達可能」、「及びネットワークサービスＸにＲＣＥ（Remote code execution）の脆弱性」という情報を取得する。リスク分析装置１００は、「ホストＡでコード実行可能」という状態と、取得した情報とに基づいて、「ホストＢでコード実行可能」という推論結果を導出する。

　リスク分析装置１００は、ホスト２００Ｂとホスト２００Ｃとの分割分析では、前提条件として、「ホストＢでコード実行可能」と仮定する。リスク分析装置１００は、システム構成情報から「ホストＣでネットワークサービスＸが稼働」、「ホストＢからホストＣに到達可能」、「及びネットワークサービスＸにＲＣＥの脆弱性」という情報を取得する。リスク分析装置１００は、「ホストＢでコード実行可能」という状態と、取得した情報とに基づいて、「ホストＣでコード実行可能」という推論結果を導出する。２つの分割分析の分析結果をつなげることで、ホスト２００Ａでコード実行可能の場合、ホスト２００Ｃでコード実行可能であるという分析結果が得られる。

　分割分析では、分割された範囲で分析が行われるため、システム全体を分析する場合に比べて、１つ１つの分析の負荷を軽くすることができる利点がある。また、複数の分割単位の分析を並列に実施することができる利点がある。一方で、各分割単位の分析では、侵入口ホストから最終攻撃目標のホストまで攻撃がつながるか否かは不明であるため、不要な箇所に対して分析が行われる場合があるというデメリットがある。

　図６は、分析対象のシステムの一例を示す。この例において、ネットワークは、４つのサブネットワーク（サブネット）を含む。より詳細には、ネットワークは、サブネット（サブネットＡ）２５０Ａ、サブネット（サブネットＢ）２５０Ｂ、サブネット（サブネットＣ）２５０Ｃ、及びサブネット（サブネットＤ）２５０Ｄを含む。サブネット２５０Ａは侵入口（初期位置）のホストを含み、サブネット２５０Ｄは最終攻撃目標のホストを含むものとする。

　分割分析では、サブネット２５０Ａ内のホストを起点としサブネット２５０Ｂ内のホストを終点とする分析（Ａ－Ｂ間の分析）、サブネット２５０Ａ内のホストを起点としサブネット２５０Ｃ内のホストを終点とする分析（Ａ－Ｃ間の分析）が実施される。また、サブネット２５０Ｂ内のホストを起点としサブネット２５０Ｃ内のホストを終点とする分析（Ｂ－Ｃ間の分析）が実施される。さらに、サブネット２５０Ｂ内のホストを起点としサブネット２５０Ｄ内のホストを終点とする分析（Ｂ－Ｄ間の分析）、及びサブネット２５０Ｃ内のホストを起点としサブネット２５０Ｄ内のホストを終点とする分析（Ｃ－Ｄ間の分析）が実施される。

　しかしながら、上記ネットワークにおいて、サブネット２５０Ｃはサブネット２５０Ｄに接続されていない。従って、サブネット２５０Ａ内のホストに対する攻撃からサブネット２５０Ｄ内のホストへの攻撃経路に、サブネット２５０Ｃ内のホストは含まれないと考えられる。このため、サブネット２５０Ｃ内のホストを起点又は終点とする分割分析は本来不要である。分割分析では、不要な箇所が分析されることで、計算コストが増加する。本実施形態は、一側面において、分割分析における不要な計算コストを削減可能なリスク分析装置１００を提供する。

　図２に戻り、グループ化部１０１は、システム構成情報１５０を参照し、システムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化する。システム構成情報は、例えば、ホストに関する情報、及びホスト間の接続に関する情報を含む。ホストに関する情報は、例えばＩＰアドレス、サブネットマスク、ホストファイアウォール設定、インストールされているソフトウェア、ＯＳ（Operating System）（バージョンを含む）、稼働サービス、空きポート番号、ＵＳＢ（Universal Serial Bus）ポートの有無、及び脆弱性情報をなどの情報を含む。ホストに関する情報は、更に、ホスト種別、ユーザ操作の有無、及び保有するクレデンシャル情報などの情報を含む。「ホスト種別」は、例えば一般ＰＣ（Personal Computer）、ルータ、ファイアウォール、ファイルサーバ、アクティブディレクトリサーバ、及びＤＮＳ（Domain Name Server）サーバを含む。ホスト間の接続に関する情報は、ネットワークファイアウォールの設定、及びデータフロー情報などの情報を含む。「データフロー情報」は、例えば、「ホストＡ、Ｂ間でＳＭＢによるファイル共有を行っている」、「ホストＣからＤにＵＳＢメモリを利用してファイルを移動させる運用となっている」などの情報を含む。

　グループ化部１０１は、例えば、サブネットワークごとに、ホストをグループ分けする。各ホストが属するサブネットワークは、アドレス情報に基づいて判別できる。グループ化部１０１は、システム構成情報１５０から、各ホストのＩＰアドレスを取得し、ネットワークアドレスが一致するホストは同じサブネットワークに属すると判断する。グループ化部１０１は、同じサブネットワークに属するホストを、同じグループにグループ分けする。

　あるいは、グループ化部１０１は、ネットワークにおいて、所定の境界、例えばセキュリティの境界で区切られた範囲ごとに、ホストをグループ分けしてもよい。例えば、グループ化部１０１は、ファイアウォールを用いて区切られたネットワーク範囲ごとに、ホストをグループ分けしてもよい。例えば、グループ化部１０１は、システム構成情報１５０に含まれるＩＰアドレスとホスト種別とに基づいて、ホストをグループ分けする。グループ化部１０１は、例えば、ＩＰアドレスのネットワークアドレスが一致するホストは同じサブネットワークに属すると判断する。グループ化部１０１は、複数のＩＰアドレスを持つホストを抽出し、ホスト種別がファイアウォールでないホスト、例えばルータや複数のＮＩＣ（Network Interface Card）を持つホストによって接続されるサブネットワーク内のホストを、同じグループにグループ分けする。

　さらに、グループ化部１０１は、事務用ＰＣ、ファイルサーバ、ログサーバ、踏み台サーバ、制御用サーバ、又はＨＭＩ（Human Machine Interface）などの、ホストに割り当てられている役割ごとに、ホストをグループ分けしてもよい。例えば、グループ化部１０１は、システム構成情報１５０から、各ホストのホスト種別を取得する。グループ化部１０１は、ホスト種別が同じホストを、同じグループにグループ分けしてもよい。

　グループ化部１０１は、各ホストの構成に基づいて、ホストをグループ分けしてもよい。グループ化部１０１は、例えば、システム構成情報１５０に含まれる任意の情報の組み合わせに基づいて、ホストをグループ分けしてもよい。例えば、グループ化部１０１は、インストールされているＯＳ及びソフトウェアが同じ複数のホストを、同じグループにグループ分けしてもよい。グループ化部１０１は、ユーザが手動で入力した情報に従って、ホストをグループ分けしてもよい。上記グループ分けの手法は、適宜組み合わせられてもよい。グループ化部１０１は、図１に示されるグループ化手段１１に対応する。

　代表ホスト生成部１０２は、グループ化部１０１でグループ化された複数のグループのそれぞれについて、１以上の仮想の分析要素を生成する。本実施形態では、代表ホスト生成部１０２は、グループに属するホストのうちの１以上のホストに対応する、仮想のホストである代表ホストを、仮想の分析要素として生成する。代表ホスト生成部１０２は、図１に示される仮想分析要素生成手段１２に対応する。

　代表ホストの生成方法には、いくつかの方法が考えられる。代表ホスト生成部１０２は、第１の方法として、同じグループに属する１以上のホストのシステム構成情報１５０に含まれる攻撃され得る要素をマージし、マージされた攻撃され得る要素を代表ホストの攻撃され得る要素としてもよい。システム構成情報１５０に含まれる攻撃され得る要素は、例えば、稼働サービス（空きポート番号）、ＵＳＢポートの有無、脆弱性情報、ユーザ操作の有無、保有クレデンシャル情報、及びデータフロー情報を含む。「稼働サービス」は、例えば、ＳＳＨ（Secure Shell）、ＦＴＰ（File Transfer Protocol）、ｔｅｌｎｅｔ（Teletype network）、及びＳＭＢ（Server Message Block）などのネットワークサービスを含む。

　なお、代表ホスト生成部１０２は、代表ホストの生成では、ホストの情報を代表ホストの情報に適宜書き換えることができる。例えば、代表ホスト生成部１０２は、データフローの情報において、各ホストを、各ホストが属するグループの代表ホストに書き換えることができる。例えば、「ホストＡとＢとの間でＳＭＢによるファイル共有を行っている」という情報は、「ホストＡが属するグループの代表ホストとホストＢが属するグループの代表ホストの間でＳＭＢによるファイル共有を行っている」という情報に書き換えられてもよい。

　同様に、代表ホスト生成部１０２は、ホストファイアウォール情報及びネットワークファイアウォール情報において、各ホストの情報を、各ホストが属するグループの代表ホストの情報に書き換えることができる。例えば、ホストＡのＩＰアドレスが「１９２．１６８．１０．１」であり、ホストＢのＩＰアドレスが「１９２．１６８．２０．１」であったとする。ファイアウォール情報は、「１９２．１６８．１０．１から１９２．１６８．２０．１へのＴＣＰポート２２番での通信を許可」という内容であったとする。ホストＡが属するグループの代表ホストのＩＰアドレスは「１９２．１６８．１０．１００」であり、ホストＢが属するグループの代表ホストのＩＰアドレスは「１９２．１６８．２０．１００」であったとする。その場合、代表ホスト生成部１０２は、上記ファイアウォール情報を、「１９２．１６８．１０．１００から１９２．１６８．２０．１００へのＴＣＰポート２２番での通信を許可」と書き換えることができる。

　代表ホスト生成部１０２は、ＩＰアドレス及びホスト種別について、同じグループに属する複数のホストから任意に選択されたホストのＩＰアドレス及びホスト種別を、代表ホストのＩＰアドレス及びホスト種別としてもよい。あるいは、代表ホスト生成部１０２は、ダミーの値を代表ホストのＩＰアドレス及びホスト種別としてもよい。代表ホスト生成部１０２は、グループ内のホストのＩＰアドレス及びホスト種別をマージしてもよい。

　代表ホスト生成部１０２は、第２の方法として、システム構成情報１５０から各ホストの攻撃され得る要素を取得し、攻撃され得る要素の数に基づいて代表ホストを生成してもよい。代表ホスト生成部１０２は、同じグループに属するホストのうち、攻撃され得る要素の数が多いホストを１台以上選択し、選択したホストと同じ構成のホストを代表ホストとして生成してもよい。代表ホスト生成部１０２は、例えば、各グループにおいて、攻撃され得る要素の数が最も多いホストを選択してもよい。あるいは、代表ホスト生成部１０２は、各グループにおいて、攻撃され得る要素の数が所定の数以上の１以上のホストを選択してもよい。代表ホスト生成部１０２は、脆弱性情報の数、或いは稼働しているサービスの数など、特定の攻撃され得る要素の数に基づいて、代表ホストを生成してもよい。

　代表ホスト生成部１０２は、第３の方法として、同じグループに属する１以上のホストのうち、他のグループのホストから攻撃され得る要素を持つホストを選択し、選択したホストと同じ構成のホストを代表ホストとして生成してもよい。代表ホスト生成部１０２は、例えばシステム構成情報１５０に含まれるデータフロー情報や、ホストファイアウォール情報、及びネットワークファイアウォール情報に基づいて、他のグループのホストから攻撃され得る要素を持つホストを特定することができる。

　代表ホスト生成部１０２は、第４の方法として、分割分析の各終点状態に至る攻撃され得る要素を持つホストごとに、代表ホストを生成してもよい。代表ホスト生成部１０２は、例えば分析要素ごとに、分割分析のどの終点状態に至るかをテーブルとして保持する。代表ホスト生成部１０２は、保持するテーブルと、システム構成情報１５０とを参照し、各ホストが、どの終点状態に至る要素を持つかを判断する。

　図７は、稼働サービスと終点状態との対応関係を示すテーブルの具体例を示す。代表ホスト生成部１０２は、例えば、サービスで使用されるプロトコルと、そのプロトコルを用いた攻撃で遷移可能な終点状態とを対応付けたテーブルを保持する。代表ホスト生成部１０２は、例えばあるホストにおいて「ｔｅｌｎｅｔ」が使用されている場合、そのホストは「コード実行」に至る攻撃され得る要素を持つと判断する。代表ホスト生成部１０２は、例えばあるホストにおいて「ＲＤＰ（Remote Desktop Protocol）」が使用されている場合、そのホストは「コード実行」、「データ改ざん」、及び「データ窃取」に至る攻撃され得る要素を持つと判断する。

　なお、図７では、「コード実行」、「データ改ざん」、及び「データ窃取」の３つの状態が終点状態として考えられているが、終点状態はこれらには限定されない。例えば、分割分析の終点状態として、「認証情報の窃取」、又は「機能停止」などの状態が考えられる場合、代表ホスト生成部１０２は、それら状態と攻撃され得る要素とを対応付けたテーブルを保持していればよい。

　代表ホスト生成部１０２は、脆弱性についても、同様に、脆弱性と、その脆弱性を用いた攻撃で遷移可能な終点状態とを対応付けたテーブルを保持する。代表ホスト生成部１０２は、データフロー情報については、関連するホストについて、「データ改ざん」又は「データ窃取」の最終状態に至ると判断してもよい。代表ホスト生成部１０２は、例えば、グループ内のホストのうち、同じ最終状態に至る攻撃され得る要素をマージし、各最終状態に対応した代表ホストを生成してもよい。

　なお、上記した代表ホストの生成方法は、適宜組み合わせることができる。例えば、代表ホスト生成部１０２は、第３の方法において複数のホストが選択された場合は、第１の方法又は第２の方法に従って、選択された複数のホストの構成され得る要素をマージしてもよいし、攻撃され得る要素が多いホストを更に選択してもよい。

　第１のリスク分析部１０３は、代表ホスト生成部１０２が生成した代表ホストを使用して、システムに含まれる潜在的なリスクを分析する。第１のリスク分析部１０３は、想定される、いくつかの攻撃シナリオのそれぞれについて、攻撃手順を演繹的に推論し、攻撃経路を探索する。攻撃シナリオは、攻撃に利用される侵入口、最終的な攻撃対象、及び最終攻撃の種別を含む。第１のリスク分析部１０３は、攻撃に利用される侵入口のホストが属するグループの代表ホストから攻撃が開始された場合に、攻撃対象のホストが属するグループの代表ホストにおいて最終攻撃の種別が示す攻撃が可能であるか否かを分析する。第１のリスク分析部１０３は、図１に示される分析手段１３に対応する。

　本実施形態において、第１のリスク分析部１０３は、分割分析の手法を用いてリスク分析を行う。第１のリスク分析部１０３は、システム構成情報１５０を参照し、代表ホスト生成部１０２が生成した代表ホストのペアに対し、起点となる代表ホストの各状態から、終点となる代表ホストの各状態に遷移可能か否かを分析する。第１のリスク分析部１０３は、分割分析の結果を結合し、攻撃に利用される侵入口に対応する代表ホストから攻撃が開始された場合に、最終的な攻撃対象に対応する代表ホストにおいて最終攻撃の種別に示される攻撃が可能な否かを分析する。

　分析対象要素決定部１０４は、第１のリスク分析部１０３が実施したリスク分析の結果に基づいて、第２のリスク分析部１０５で分析される分析対象要素を決定する。分析対象要素決定部１０４は、第１のリスク分析部１０３の分析結果に基づいて、分析対象のシステムに含まれるホストのうち、攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する。分析対象要素決定部１０４は、図１に示される分析対象要素決定手段１４に対応する。

　例えば、分析対象要素決定部１０４は、代表ホストが攻撃に利用されない場合、その代表ホストのグループ内のホストを分析対象から除外する。あるいは、分析対象要素決定部１０４は、代表ホストを用いた分割分析で、代表ホストの特定の状態が攻撃起点として又は終点状態として利用されない場合、グループ内のホストについて、その状態を、分割分析での分析対象から除外する。分析対象要素決定部１０４は、代表ホストが終点状態に対応して生成されている場合、攻撃に利用されない代表ホストがあるか否かを調べる。分析対象要素決定部１０４は、攻撃に利用されない代表ホストを特定し、グループ内のホストについて、特定した代表ホストに対応する終点状態を、分析対象から除外する。

　第２のリスク分析部１０５は、分析対象要素決定部１０４が決定した分析対象要素について、システム構成情報１５０を参照し、システムに含まれる潜在的なリスクを分析する。第２のリスク分析部１０５が行うリスク分析は、分析の対象が各グループの代表ホストから各ホストに変わる点を除けば、第１のリスク分析部１０３が行うリスク分析と同様であってよい。第２のリスク分析部１０５は、必ずしも第１のリスク分析部１０３は別に配置されている必要はなく、第１のリスク分析部１０３と第２のリスク分析部１０５とは同一の機能部であってもよい。

　第２のリスク分析部１０５は、システム構成情報１５０を参照し、分析対象のホスト及び状態について、起点となるホストの各状態から、終点となるホストの各状態に遷移可能か否かを分析する。第２のリスク分析部１０５は、分割分析の結果を結合し、攻撃に利用される侵入口のホストから攻撃が開始された場合に、最終的な攻撃対象のホストにおいて最終攻撃の種別に示される攻撃が可能な否かを分析する。第２のリスク分析部１０５は、図１に示される分析手段１５に対応する。

　図８は、分析対象のシステムの一部を示す。サブネット（サブネットＸ）２５０Ｘは、ホスト２００Ａ、ホスト２００Ｂ、ホスト２００Ｃ、ホスト（ホストＤ）２００Ｄ、ホスト（ホストＥ）２００Ｅ、及びホスト（ホストＦ）２００Ｆを含む。サブネット（サブネットＹ）２５０Ｙは、ホスト（ホストＧ）２００Ｇを含む。サブネット２５０Ｘは、ファイアウォール（ＦＷ：Fire Wall）２１０を介してサブネット２５０Ｙに接続される。ファイアウォール２１０は、ホスト２００Ｅからホスト２００Ｇへの通信のみを許可するものとする。

　サブネット２５０Ｘのホスト２００Ａは、「データ改ざん可能」の状態に至る攻撃され得る要素として「ＦＴＰ」を有する。ホスト２００Ｂは、「コード実行可能」の状態に至る攻撃され得る要素として「ＲＤＰ　Ｌｏｇｉｎ」を有する。ホスト２００Ｃは、「データ改ざん可能」の状態に至る攻撃され得る要素として、「ＣＶＥ（Common Vulnerabilities and Exposures）－２０２０－ＹＹＹＹ」で識別される脆弱性を有する。ホスト２００Ｄは、「データ改ざんに至る攻撃され得る要素として、「ＣＶＥ－２０２０－ＺＺＺＺ」で識別される脆弱性を有する。ホスト２００Ｅは、「コード実行可能」に至る攻撃され得る要素として、「ＳＳＨ　Ｌｏｇｉｎ」を有する。ホスト２００Ｆは、「データ改ざん可能」に至る攻撃され得る要素として「ＳＭＢ」を有する。サブネット２５０Ｙのホスト２００Ｇは、「コード実行可能」に至る攻撃され得る要素として、「ＣＶＥ－２０２０－ＸＸＸＸ」で識別される脆弱性を有する。

　図９は、各サブネットワークに生成される代表ホストを示す。代表ホスト生成部１０２は、各サブネット内のホストについて、状態ごとにホストをまとめる。代表ホスト生成部１０２は、サブネット２５０Ｘについて、「データ改ざん可能」に対応した代表ホスト（代表ホストＡ）２２０Ａを生成する。代表ホスト２２０Ａは、攻撃され得る要素として、「ＦＴＰ」、「ＳＭＢ」、及び「ＣＶＥ－２０２０－ＹＹＹＹ」で識別される脆弱性を有する。

　また、代表ホスト生成部１０２は、「データ窃取可能」に対応した代表ホスト（代表ホストＢ）２２０Ｂを生成する。代表ホスト２２０Ｂは、攻撃され得る要素として「ＣＶＥ－２０２０－ＺＺＺＺ」で識別される脆弱性を有する。さらに、代表ホスト生成部１０２は、「コード実行可能」に対応した代表ホスト（代表ホストＣ）２２０Ｃを生成する。代表ホスト２２０Ｃは、攻撃され得る要素として、「ＲＤＰ　Ｌｏｇｉｎ」と「ＳＳＨ　Ｌｏｇｉｎ」とを有する。代表ホスト生成部１０２は、サブネット２５０Ｙについては、代表ホスト（代表ホストＤ）２２０Ｄを生成する。

　代表ホスト２２０Ａは、図８に示されるホスト２００Ａ、２００Ｃ、及び２００Ｆに対応した代表ホストである。代表ホスト２２０Ｂは、図８に示されるホスト２００Ｄに対応した代表ホストである。代表ホスト２２０Ｃは、図８に示されるホスト２００Ｂ、及び２００Ｅに対応した代表ホストである。代表ホスト２２０Ｄは、図８に示されるホスト２００Ｇに対応した代表ホストである。

　第１のリスク分析部１０３は、図９に示される代表ホストを用いて、リスク分析を行う。リスク分析の結果、代表ホスト２２０Ｃから代表ホスト２２０Ｄへの攻撃は可能であることが分析される。一方、代表ホスト２２０Ａ及び２２０Ｂから代表ホスト２２０Ｄへの通信はファイアウォール２１０によって遮断されるため、代表ホスト２２０Ａ及び２２０Ｂから代表ホスト２２０Ｄへの攻撃はないことが分析される。その場合、分析対象要素決定部１０４は、サブネット２５０Ｘについて、「データ改ざん可能」及び「データ窃取可能」を分析対象から除外する。第２のリスク分析部１０５は、サブネット２５０Ｘのホストについては、「コード実行可能」についてリスク分析を行う。このようにすることで、分割分析において、不要な箇所の分析を削減できる。

　続いて、動作手順を説明する。図１０は、リスク分析装置１００における動作手順（リスク分析方法）を示す。グループ化部１０１は、システム構成情報１５０に基づいて、分析対象のシステムに含まれる複数のホストを、複数のグループに分ける（ステップＳ１）。代表ホスト生成部１０２は、各グループに１以上の代表ホストを生成する（ステップＳ２）。

　第１のリスク分析部１０３は、ステップＳ２で生成された代表ホストを用いて、分析対象のシステムにおけるリスクを分析する（ステップＳ３）。分析対象要素決定部１０４は、ステップＳ３のリスクの分析結果に基づいて、分析対象要素（ホスト及びその状態）を決定する（ステップＳ４）。分析対象要素決定部１０４は、ステップＳ４では、例えば代表ホストを用いたリスク分析において、攻撃に利用されない代表ホスト及びその状態に対応するホスト及びその状態を、分析対象要素から除外する。ステップＳ１からＳ４は、分析対象要素決定装置１１０の動作手順（分析対象要素決定方法）に対応する。

　第２のリスク分析部１０５は、ステップＳ４で決定された分析対象要素について、システム構成情報１５０を参照し、詳細なリスク分析を行う（ステップＳ５）。ステップＳ４において、攻撃に利用されない代表ホスト及びその状態に対応するホスト及びその状態が分析対象要素から除外される場合、ステップＳ５において、不要な箇所が分析されない。このため、分析対象のシステムに含まれる全てのホスト及びその状態に対してリスク分析が行われる場合に比べて、計算コストを軽減できる。

　本実施形態では、グループ化部１０１は、複数のホストをいくつかのグループにグループ分けする。代表ホスト生成部１０２は、グループごとに代表ホストを生成する。第１のリスク分析部１０３は、グループごとに生成された代表ホストを用いてリスク分析を行う。分析対象要素決定部１０４は、第１のリスク分析部１０３にリスク分析の結果に基づいて、攻撃に利用され得る代表ホストを、第２のリスク分析部１０５で実施されるリスク分析の分析対象要素として決定する。第２のリスク分析部１０５で実施されるリスク分析において、不要な箇所の分析を抑制することができ、システム全体に対してリスク分析を行う場合に比べて、計算コストを軽減できる。

　なお、図２では、リスク分析装置１００が分析対象要素決定装置１１０を含む例を説明した。しかしながら、本開示はこれには限定されない。リスク分析装置１００と分析対象要素決定装置１１０とは、必ずしも同一の装置として構成されている必要はなく、これらは別々の装置として構成されていてもよい。また、上記実施形態では、主に分割分析の手法が用いられる例を説明したが、本開示はこれには限定されない。第１のリスク分析部１０３及び第２のリスク分析部１０５は、システム全体を所定の分割単位で分割せずに、リスク分析を行ってもよい。その場合でも、攻撃に利用されない箇所を分析対象から除外することで、計算コストを軽減できる。

　続いて、リスク分析装置の物理構成を説明する。図１１は、リスク分析装置１００及び分析対象要素決定装置１１０として用いられ得るコンピュータ装置の構成例を示す。コンピュータ装置５００は、制御部（ＣＰＵ：Central Processing Unit）５１０、記憶部５２０、ＲＯＭ（Read Only Memory）５３０、ＲＡＭ（Random Access Memory）５４０、通信インタフェース（ＩＦ：Interface）５５０、及びユーザインタフェース（ＩＦ）５６０を有する。

　通信ＩＦ５５０は、有線通信手段又は無線通信手段などを介して、コンピュータ装置５００と通信ネットワークとを接続するためのインタフェースである。ユーザＩＦ５６０は、例えばディスプレイなどの表示部を含む。また、ユーザＩＦ５６０は、キーボード、マウス、及びタッチパネルなどの入力部を含む。

　記憶部５２０は、各種のデータを保持できる補助記憶装置である。記憶部５２０は、必ずしもコンピュータ装置５００の一部である必要はなく、外部記憶装置であってもよいし、ネットワークを介してコンピュータ装置５００に接続されたクラウドストレージであってもよい。記憶部５２０は、例えば図２に示されるシステム構成情報１５０を記憶する。

　ＲＯＭ５３０は、不揮発性の記憶装置である。ＲＯＭ５３０には、例えば比較的容量が少ないフラッシュメモリなどの半導体記憶装置が用いられる。ＣＰＵ５１０が実行するプログラムは、記憶部５２０又はＲＯＭ５３０に格納され得る。記憶部５２０又はＲＯＭ５３０は、例えばリスク分析装置１００又は分析対象要素決定装置１１０内の各部の機能を実現するための各種プログラムを記憶する。

　上記プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータ装置５００に供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記憶媒体を含む。非一時的なコンピュータ可読媒体の例は、例えばフレキシブルディスク、磁気テープ、又はハードディスクなどの磁気記録媒体、例えば光磁気ディスクなどの光磁気記録媒体、ＣＤ（compact disc）、又はＤＶＤ（digital versatile disk）などの光ディスク媒体、及び、マスクＲＯＭ、ＰＲＯＭ（programmable ROM）、ＥＰＲＯＭ（erasable PROM）、フラッシュＲＯＭ、又はＲＡＭなどの半導体メモリを含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体を用いてコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバなどの有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　ＲＡＭ５４０は、揮発性の記憶装置である。ＲＡＭ５４０には、ＤＲＡＭ（Dynamic Random Access Memory）又はＳＲＡＭ（Static Random Access Memory）などの各種半導体メモリデバイスが用いられる。ＲＡＭ５４０は、データなどを一時的に格納する内部バッファとして用いられ得る。ＣＰＵ５１０は、記憶部５２０又はＲＯＭ５３０に格納されたプログラムをＲＡＭ５４０に展開し、実行する。ＣＰＵ５１０がプログラムを実行することで、リスク分析装置１００又は分析対象要素決定装置１１０内の各部の機能が実現され得る。ＣＰＵ５１０は、データなどを一時的に格納できる内部バッファを有してもよい。

　以上、本開示の実施形態を詳細に説明したが、本開示は、上記した実施形態に限定されるものではなく、本開示の趣旨を逸脱しない範囲で上記実施形態に対して変更や修正を加えたものも、本開示に含まれる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

［付記１］
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化するグループ化手段と、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成する仮想分析要素生成手段と、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する分析手段と、
　前記分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段とを備える分析対象要素決定装置。

［付記２］
　前記仮想分析要素生成手段は、前記グループに属するホストのうちの１以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する付記１に記載の分析対象要素決定装置。

［付記３］
　前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記２に記載の分析対象要素決定装置。

［付記４］
　前記仮想分析要素生成手段は、前記グループに属するホストのうち、攻撃され得る要素の数が最も多いホスト、又は攻撃され得る要素の数が所定の値以上の１以上のホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記２又は３に記載の分析対象要素決定装置。

［付記５］
　前記仮想分析要素生成手段は、前記グループに属するホストのうち、他のグループのホストから攻撃可能な攻撃され得る要素を持つホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記２から４何れか１つに記載の分析対象要素決定装置。

［付記６］
　前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する付記２から５何れか１つに記載の分析対象要素決定装置。

［付記７］
　前記分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析する付記２から６何れか１つに記載の分析対象要素決定装置。

［付記８］
　前記分析対象要素決定手段は、前記攻撃が行われる経路に含まれない、前記起点となる代表ホストの状態と、前記終点となる代表ホストの状態とを、前記リスク分析の対象から除外する付記７に記載の分析対象要素決定装置。

［付記９］
　前記リスク分析では、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かが分析され、
　前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する付記２に記載の分析対象要素決定装置。

［付記１０］
　前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する付記９に記載の分析対象要素決定装置。

［付記１１］
　前記グループ化手段は、前記ホストを、前記ホストが属するサブネットワークごとにグループ分けする付記１から１０何れか１つに記載の分析対象要素決定装置。

［付記１２］
　前記グループ化手段は、前記ホストを、所定の境界で区切られた範囲ごとにグループ分けする付記１から１１何れか１つに記載の分析対象要素決定装置。

［付記１３］
　前記グループ化手段は、前記ホストを、前記ホストの役割ごとにグループ分けする付記１から１２何れか１つに記載の分析対象要素決定装置。

［付記１４］
　前記グループ化手段は、前記ホストを、前記ホストの構成ごとにグループ分けする付記１から１３何れか１つに記載の分析対象要素決定装置。

［付記１５］
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化するグループ化手段と、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成する仮想分析要素生成手段と、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する第１の分析手段と、
　前記第１の分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段と、
　前記分析対象要素決定手段が前記リスク分析の対象として決定したホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する第２の分析手段とを備えるリスク分析装置。

［付記１６］
　前記仮想分析要素生成手段は、前記グループに属するホストのうちの１以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する付記１５に記載のリスク分析装置。

［付記１７］
　前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする付記１６に記載のリスク分析装置。

［付記１８］
　前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する付記１６又は１７に記載のリスク分析装置。

［付記１９］
　前記第１の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析し、
　前記第２の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析する付記１６から１８何れか１つに記載のリスク分析装置。

［付記２０］
　前記第２の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析し、
　前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する付記１６に記載のリスク分析装置。

［付記２１］
　前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する付記２０に記載のリスク分析装置。

［付記２２］
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
　前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定方法。

［付記２３］
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
　前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
　前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析するリスク分析方法。

［付記２４］
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
　前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する処理をコンピュータに実行させるためのプログラムを格納する非一時的なコンピュータ可読媒体。

［付記２５］
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
　前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
　前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する処理をコンピュータに実行させるためのプログラムを格納する非一時的なコンピュータ可読媒体。

１０：リスク分析装置
１１：グループ化手段
１２：仮想分析要素生成手段
１３：分析手段
１４：分析対象要素決定手段
１５：分析手段
２０：分析対象要素決定装置
１００：リスク分析装置
１０１：グループ化部
１０２：代表ホスト生成部
１０３：第１のリスク分析部
１０４：分析対象要素決定部
１０５：第２のリスク分析部
１１０：分析対象要素決定装置
１５０：システム構成情報
２００Ａ－Ｇ，Ｘ，Ｙ：ホスト
２１０：ファイアウォール
２２０Ａ－Ｄ：代表ホスト
２５０Ａ－Ｄ，Ｘ，Ｙ：サブネット
５００：コンピュータ装置
５１０：ＣＰＵ
５２０：記憶部
５３０：ＲＯＭ
５４０：ＲＡＭ
５５０：通信ＩＦ
５６０：ユーザＩＦ

Claims

　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化するグループ化手段と、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成する仮想分析要素生成手段と、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する分析手段と、
　前記分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段とを備える分析対象要素決定装置。
　前記仮想分析要素生成手段は、前記グループに属するホストのうちの１以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する請求項１に記載の分析対象要素決定装置。
　前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする請求項２に記載の分析対象要素決定装置。
　前記仮想分析要素生成手段は、前記グループに属するホストのうち、攻撃され得る要素の数が最も多いホスト、又は攻撃され得る要素の数が所定の値以上の１以上のホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする請求項２又は３に記載の分析対象要素決定装置。
　前記仮想分析要素生成手段は、前記グループに属するホストのうち、他のグループのホストから攻撃可能な攻撃され得る要素を持つホストを選択し、該選択したホストが持つ攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする請求項２から４何れか１項に記載の分析対象要素決定装置。
　前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する請求項２から５何れか１項に記載の分析対象要素決定装置。
　前記分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析する請求項２から６何れか１項に記載の分析対象要素決定装置。
　前記分析対象要素決定手段は、前記攻撃が行われる経路に含まれない、前記起点となる代表ホストの状態と、前記終点となる代表ホストの状態とを、前記リスク分析の対象から除外する請求項７に記載の分析対象要素決定装置。
　前記リスク分析では、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かが分析され、
　前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する請求項２に記載の分析対象要素決定装置。
　前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する請求項９に記載の分析対象要素決定装置。
　前記グループ化手段は、前記ホストを、前記ホストが属するサブネットワークごとにグループ分けする請求項１から１０何れか１項に記載の分析対象要素決定装置。
　前記グループ化手段は、前記ホストを、所定の境界で区切られた範囲ごとにグループ分けする請求項１から１１何れか１項に記載の分析対象要素決定装置。
　前記グループ化手段は、前記ホストを、前記ホストの役割ごとにグループ分けする請求項１から１２何れか１項に記載の分析対象要素決定装置。
　前記グループ化手段は、前記ホストを、前記ホストの構成ごとにグループ分けする請求項１から１３何れか１項に記載の分析対象要素決定装置。
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化するグループ化手段と、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成する仮想分析要素生成手段と、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析する第１の分析手段と、
　前記第１の分析手段の分析結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定手段と、
　前記分析対象要素決定手段が前記リスク分析の対象として決定したホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する第２の分析手段とを備えるリスク分析装置。
　前記仮想分析要素生成手段は、前記グループに属するホストのうちの１以上のホストに対応する、仮想のホストである代表ホストを、前記仮想の分析要素として生成する請求項１５に記載のリスク分析装置。
　前記仮想分析要素生成手段は、前記グループに属するホストの攻撃され得る要素をマージし、該マージした攻撃され得る要素を、前記代表ホストの攻撃され得る要素とする請求項１６に記載のリスク分析装置。
　前記分析対象要素決定手段は、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれない前記代表ホストに対応するホストを前記リスク分析の対象から除外する請求項１６又は１７に記載のリスク分析装置。
　前記第１の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となる代表ホストの各状態から前記分割単位の終点となる代表ホストの各状態への遷移が可能であるか否かを分析し、
　前記第２の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析する請求項１６から１８何れか１項に記載のリスク分析装置。
　前記第２の分析手段は、前記分析対象のシステムを所定単位で分割した各分割単位において、前記分割単位の起点となるホストの各状態から前記分割単位の終点となるホストの各状態への遷移が可能であるか否かを分析し、
　前記仮想分析要素生成手段は、前記分割単位の終点となるホストの各状態に至る攻撃され得る要素を持つホストごとに、前記代表ホストを生成する請求項１６に記載のリスク分析装置。
　前記分析対象要素決定手段は、前記攻撃に利用されない代表ホストを特定し、該特定した代表ホストに対応する終点となるホストの状態を、前記リスク分析の対象から除外する請求項２０に記載のリスク分析装置。
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
　前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する分析対象要素決定方法。
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
　前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
　前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析するリスク分析方法。
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
　前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定する処理をコンピュータに実行させるためのプログラムを格納する非一時的なコンピュータ可読媒体。
　分析対象のシステムに含まれる複数のホストを、それぞれが１以上のホストを含む複数のグループにグループ化し、
　前記複数のグループのそれぞれについて、１以上の仮想の分析要素を生成し、
　前記仮想の分析要素を用いて、攻撃の始点となるホストが属するグループの前記仮想の分析要素から、攻撃の終点となるホストが属するグループの前記仮想の分析要素に対する攻撃が可能か否かを分析し、
　前記分析の結果に基づいて、前記分析対象のシステムに含まれるホストのうち、前記攻撃が行われる経路に含まれる仮想の分析要素に対応するホストをリスク分析の対象として決定し、
　前記リスク分析の対象として決定されたホストについて、前記攻撃の始点となるホストから、前記攻撃の終点となるホストに対する攻撃が可能か否かを分析する処理をコンピュータに実行させるためのプログラムを格納する非一時的なコンピュータ可読媒体。