WO2022195848A1

WO2022195848A1 - 分析条件生成装置、分析システム、分析条件生成プログラム、分析プログラム、分析条件生成方法、及び分析方法

Info

Publication number: WO2022195848A1
Application number: PCT/JP2021/011367
Authority: WO
Inventors: 純平上村; 和彦磯山; 純明榮
Original assignee: 日本電気株式会社
Priority date: 2021-03-19
Filing date: 2021-03-19
Publication date: 2022-09-22
Also published as: US20240160746A1; JPWO2022195848A1

Abstract

【課題】分析対象のシステムのデータの流れにおけるセキュリティリスクの分析条件を自動的に生成する。【解決手段】分析条件生成装置１Ａは、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文からノードとエッジとの関係性を示すグラフ構造データを生成し、グラフ構造データに基づいて分析対象システムのセキュリティリスクを分析するための分析条件を生成する。

Description

分析条件生成装置、分析システム、分析条件生成プログラム、分析プログラム、分析条件生成方法、及び分析方法

　本発明は、分析条件生成装置、分析システム、分析条件生成プログラム、分析プログラム、分析条件生成方法、及び分析方法に関する。

　近年、ネットワークに接続されるシステムのセキュリティ強化が望まれており、システムのセキュリティリスクを分析するために、脆弱性診断、ペネトレーションテストといったサービスが提供されている。

　脆弱性診断は、ＳＱＬインジェクション、クロスサイトリクエストフォージェリ等の既知の脆弱性の定義に基づいて、システムに内在する脆弱性やセキュリティ機能の不足を網羅的に把握する手法である。ペネトレーションテストは、予め作成した攻撃シナリオに基づいたシステムへの攻撃により、攻撃目的が達成されてしまうかどうかを分析し、システムに対する被害の実現性を把握する手法である。

　例えば、特許文献１には、評価ターゲットとなる対象システムが使用する規格、及び仕様と、公開脆弱性情報とを基点として、評価ターゲットとなる対象システムの脆弱性を評価するための情報を生成する技術が開示されている。

　また、例えば、特許文献２には、ソフトウェアの処理に対する攻撃による脅威と、脅威に対して脆弱性を有する処理の記述である脆弱性記述との一覧を脅威一覧として取得し、ソフトウェアの処理フローから、脅威一覧に含まれる脆弱性箇所を判定する技術が開示されている。

特開２０１９－１９２１０１号公報再表２０１９／１４２３３５号公報

　脆弱性診断は、システム全体を網羅的に検証できる一方で、定義されていない脆弱性等を把握することが困難である。また、ペネトレーションテストは、システムに対する具体的な侵入方法等を検証できる一方で、システムを網羅的に分析しようとすると、コストや時間が増大するという問題がある。このような問題に対して、対象システム内のデータの取り扱いに注目したセキュリティリスク分析が行われている。

　特許文献１に開示されている技術では、評価ターゲットとなる対象システムが使用する規格及び仕様における脆弱性が評価される。つまり、特許文献１は、対象システム内のデータの取り扱いに注目したセキュリティリスク分析を目的とした技術ではないため、定義されていない脆弱性や、対象システムが使用する規格及び仕様以外の脆弱性を評価することができない。

　また、特許文献２に開示されている技術では、脅威一覧に含まれる脆弱性記述は、ＣＷＥ（Ｃｏｍｍｏｎ　Ｗｅａｋｎｅｓｓ　Ｅｎｕｍｅｒａｔｉｏｎ）から取得される。ＣＷＥは、多種多様な脆弱性の種類が階層化かつ抽象化されているため、ソフトウェアの処理フローに当てはめて脆弱性箇所を判定するにあたり、ソフトウェアの処理フロー毎に具体化する必要がある。したがって、システムを網羅的に分析しようとすると、膨大な具体化の規則が必要となるため、コストや時間が増大するという問題を解決することができない。

　本発明の目的は、上記課題を解決するためになされたものであり、分析対象のシステムのデータの流れにおけるセキュリティリスクの分析条件を自動的に生成することを目的とする。

　本発明の分析条件生成装置は、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成し、前記グラフ構造データに基づいて前記分析対象システムのセキュリティリスクを分析するための分析条件を生成する分析条件生成部を備える。

　本発明の分析システムは、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成する構造情報生成部と、抽象化ルールに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を抽象化識別子に変換する抽象化処理部と、前記固有識別子が前記抽象化識別子に変換された前記グラフ構造データから生成された分析条件に基づいて、前記分析対象システムにおけるセキュリティリスクを分析する分析処理部と、を備える。

　本発明の分析条件生成プログラムは、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成し、前記グラフ構造データに基づいて前記分析対象システムのセキュリティリスクを分析するための分析条件を生成することをプロセッサに実行させる。

　本発明の分析プログラムは、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成することと、抽象化ルールに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を抽象識別子に変換することと、前記固有識別子が前記抽象化識別子に変換された前記グラフ構造データから生成された分析条件に基づいて、前記分析対象システムにおけるセキュリティリスクを分析することと、をプロセッサに実行させる。

　本発明の分析条件生成方法は、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成し、前記グラフ構造データに基づいて前記分析対象システムのセキュリティリスクを分析するための分析条件を生成することを備える。

　本発明の分析方法は、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成することと、抽象化ルールに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を抽象識別子に変換することと、前記固有識別子が前記抽象化識別子に変換された前記グラフ構造データから生成された分析条件に基づいて、前記分析対象システムにおけるセキュリティリスクを分析することと、を備える。

　本発明によれば、分析対象のシステムのデータの流れにおけるセキュリティリスクの分析条件を自動的に生成することができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。

図１は、第１の実施形態に係る分析対象システムにおけるデータの流れの説明図である。図２は、第１の実施形態の変形例に係る分析システムの運用形態を示す図である。図３は、第１の実施形態に係る分析条件生成装置のハードウェア構成を示すブロック図である。図４は、第１の実施形態に係る分析条件生成装置の機能構成を示す機能ブロック図である。図５Ａは、第１の実施形態に係るオントロジーの記述を例示した図である。図５Ｂは、第１の実施形態に係るオントロジーを例示した図である。図６は、第１の実施形態に係る分析条件生成処理の流れを示すフローチャートである。図７Ａは、第１の実施形態に係る自然文の一例を示す図である。図７Ｂは、第１の実施形態に係る構造化処理の説明図である。図８は、第１の実施形態に係る抽象化処理の説明図である。図９は、第１の実施形態に係る分析処理の流れを示すフローチャートである。図１０は、第１の実施形態の変形例に係る分析条件生成処理の機能構成を示す機能ブロック図である。図１１は、第２の実施形態に係る分析システムの運用形態を示す図である。図１２は、第２の実施形態に係る分析条件生成装置の機能構成を示す機能ブロック図である。図１３は、第２の実施形態に係る分析装置の機能構成を示す機能ブロック図である。図１４は、第２の実施形態に係る分析システムにおける分析処理の流れを示すシーケンス図である。図１５は、第３の実施形態に係る分析条件生成装置の構成を示す図である。図１６は、第４の実施形態に係る分析システムの構成を示す図である。

　以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の又は対応する符号を付することにより重複した説明が省略され得る。

　以下に説明される各実施形態は、本発明を実現可能な構成の一例に過ぎない。以下の各実施形態は、本発明が適用される装置の構成や各種の条件に応じて適宜に修正又は変更することが可能である。以下の各実施形態に含まれる要素の組合せの全てが本発明を実現するに必須であるとは限られず、要素の一部を適宜に省略することが可能である。したがって、本発明の範囲は、以下の各実施形態に記載される構成によって限定されるものではない。相互に矛盾のない限りにおいて、実施形態内に記載された複数の構成を組み合わせた構成も採用可能である。

　説明は、以下の順序で行われる。
　１．本発明の実施形態の概要
　２．第１の実施形態
　　２．１．分析対象システムにおけるデータの流れ
　　２．２．分析システムの運用形態
　　２．３．情報処理装置のハードウェア構成
　　２．４．分析条件生成装置の機能構成
　　２．５．分析条件生成処理の流れ
　　２．６．分析処理の流れ
　３．第１の実施形態の変形例
　　３．１．分析条件生成装置の機能構成
　４．第２の実施形態
　　４．１．分析システムの運用形態
　　４．２．分析条件生成装置の機能構成
　　４．３．分析処理装置の機能構成
　　４．４．分析処理の流れ
　５．第３の実施形態
　６．第４の実施形態
　７．その他の実施形態

＜１．本発明の実施形態の概要＞
　まず、本発明の実施形態の概要を説明する。

（１）技術的課題
　近年、ネットワークに接続されるシステムのセキュリティ強化が望まれており、システムのセキュリティリスクを分析するために、脆弱性診断、ペネトレーションテストといったサービスが提供されている。

　例えば、評価ターゲットとなる対象システムが使用する規格、及び仕様と、公開脆弱性情報とを基点として、評価ターゲットとなる対象システムの脆弱性を評価するための情報を生成する技術が開示されている。

　また、例えば、ソフトウェアの処理に対する攻撃による脅威と、脅威に対して脆弱性を有する処理の記述である脆弱性記述との一覧を脅威一覧として取得し、ソフトウェアの処理フローから、脅威一覧に含まれる脆弱性箇所を判定する技術が開示されている。

　上述したような評価ターゲットとなる対象システムの脆弱性を評価するための情報を生成する技術では、評価ターゲットとなる対象システムが使用する規格及び仕様における脆弱性が評価される。つまり、上述したような評価ターゲットとなる対象システムの脆弱性を評価するための情報を生成する技術は、対象システム内のデータの取り扱いに注目したセキュリティリスク分析を目的とした技術ではないため、定義されていない脆弱性や、対象システムが使用する規格及び仕様以外の脆弱性を評価することができない。

　また、上述したようなソフトウェアの処理フローから、脅威一覧に含まれる脆弱性箇所を判定する技術では、脅威一覧に含まれる脆弱性記述は、ＣＷＥから取得される。ＣＷＥは、多種多様な脆弱性の種類が階層化かつ抽象化されているため、ソフトウェアの処理フローに当てはめて脆弱性箇所を判定するにあたり、ソフトウェアの処理フロー毎に具体化する必要がある。したがって、システムを網羅的に分析しようとすると、膨大な具体化の規則が必要となるため、コストや時間が増大するという問題を解決することができない。

　以上の事情に鑑み、本実施形態では、分析対象のシステムのデータの流れにおけるセキュリティリスクの分析条件を自動的に生成することを目的とする。

（２）技術的特徴
　本発明の実施形態では、分析条件生成装置が、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文からノードとエッジとの関係性を示すグラフ構造データを生成し、グラフ構造データに基づいて分析対象システムのセキュリティリスクを分析するための分析条件を生成する分析条件生成部を備える。

　これにより、分析対象のシステムのデータの流れにおけるセキュリティリスクの分析条件を自動的に生成することが可能となる。なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。

＜２．第１の実施形態＞
　以下、図１から図８を参照して、本発明の第１の実施形態について説明する。本実施形態においては、ネットワークを介してサービス等を提供するシステムを対象としてセキュリティリスクを分析するための分析条件生成装置を含む分析システムについて説明する。

＜２．１．分析対象システムにおけるデータの流れ＞
　まず、図１を参照して、分析対象システムにおけるデータの経路について説明する。図１は、分析対象システムの一例である認証システム３Ａにおけるデータの経路の説明図である。認証システム３Ａは、例えば、既存の顔認証技術によってユーザを認証する認証サービスを提供するシステムに相当する。

　認証システム３Ａは、ユーザ情報取得モジュール３１、クライアントサーバ３２、サーバ３３、及びＤＢ（Ｄａｔａ　Ｂａｓｅ）３４を含む。ユーザ情報取得モジュール３１、クライアントサーバ３２、サーバ３３、及びＤＢ３４は、それぞれ、ネットワーク７（図２参照）とは異なるネットワークを介して互いに接続されている。

　ユーザ情報取得モジュール３１としては、カードに内蔵されたＩＣチップ等からユーザの顔画像を含むユーザ情報を読み取り可能なＩＤリーダ、ユーザ情報としてゲートを通過するユーザの顔画像を撮像するカメラ等を用いることができる。ユーザ情報取得モジュール３１によって取得されたユーザ情報は、クライアントサーバ３２に送信される。本実施形態では、認証システム３Ａにおいてやり取りされる情報の経路として、ユーザ情報取得モジュール３１が取得したユーザ情報を含むデータの経路を例に説明を行う。また、データとしては、ユーザの顔画像を示す“ＦＦＦＦ．ｊｐｇ”ファイルや、拡張子が“.ｃｏｎｆｉｇ”、“．ｌｏｇ”、“．ｔｍｐ”、“．ｄａｔ”、“．ｄｕｍｐ”であるデータファイルを例に取り上げる。

　なお、図１では、ユーザ情報取得モジュール３１、クライアントサーバ３２、サーバ３３、及びＤＢ３４におけるデータのやり取りを実線の矢印で示している。また、クライアントサーバ３２、サーバ３３、及びＤＢ３４において動作するプログラムによるファイルへのアクセス及びファイル生成を破線の矢印で示している。さらに、サーバ３３及びＤＢ３４における認証システム３Ａ外のＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスとの通信を一点鎖線で示している。

　クライアントサーバ３２は、ユーザ情報取得モジュール３１によって読み取られたユーザ情報（例えば、“ＦＦＦＦ．ｊｐｇ”や、ユーザに関する各種の設定情報等）を取得する。クライアントサーバ３２は、取得したユーザ情報に基づいて、データファイルを一意に識別するためのファイル識別子を含むデータファイルを生成する。このとき、クライアントサーバ３２は、例えば、拡張子が“．ｌｏｇ”、“．ｔｍｐ”等であるデータファイルを生成する。拡張子が“．ｌｏｇ”であるデータファイルは、クライアントサーバ３２において動作するプログラムのログデータに相当する。また、クライアントサーバ３２は、“ＦＦＦＦ．ｊｐｇ”の画像を含む、拡張子が“．ｔｍｐ”である一時的なデータファイルを生成する。また、クライアントサーバ３２は、拡張子が“.ｃｏｎｆｉｇ”であるデータファイルを読み込む。拡張子が“.ｃｏｎｆｉｇ”であるデータファイルは、例えば、サーバ３３のＩＰアドレス等の設定パラメータのデータが含まれる設定ファイルに相当し、ファイルを一意に識別するためのファイル識別子が含まれている。

　サーバ３３は、クライアントサーバ３２からユーザ情報を受信する。サーバ３３は、受信したユーザ情報に基づいて、データファイルを一意に識別するためのファイル識別子を含むデータファイルを生成する。サーバ３３は、例えば、拡張子が“．ｌｏｇ”、“．ｄｕｍｐ”等であるデータファイルを生成する。拡張子が“．ｌｏｇ”であるデータファイルは、サーバ３３において動作するプログラムのログデータに相当する。また、サーバ３３は、サーバ３３において動作するプログラムに異常が発生したことを示す、拡張子が“．ｄｕｍｐ”であるデータファイルを生成する。また、サーバ３３は、拡張子が“.ｃｏｎｆｉｇ”であるデータファイルを読み込む。拡張子が“.ｃｏｎｆｉｇ”であるデータファイルは、例えば、ＤＢ３４のＩＰアドレス等の設定パラメータのデータが含まれる設定ファイルに相当し、ファイルを一意に識別するためのファイル識別子が含まれている。さらに、サーバ３３は、認証システム３Ａの外部のＩＰアドレスで指定される情報資源において実現されているＳＮＳ（Ｓｏｃｉａｌ　Ｎｅｔｗｏｒｋｉｎｇ　Ｓｅｒｖｉｃｅ）と通信を行っている。

　ＤＢ３４は、サーバ３３からユーザ情報を受信して記憶する。また、ＤＢ３４は、受信したユーザ情報に基づいて、データファイルを一意に識別するためのファイル識別子を含むデータファイルを生成する。ＤＢ３４は、例えば、拡張子が“．ｌｏｇ”、“．ｄａｔａ”等であるデータファイルを生成する。拡張子が“．ｌｏｇ”であるデータファイルは、ＤＢ３４において動作するプログラムのログデータに相当する。また、ＤＢ３４は、何等かのデータが含まれる、拡張子が“．ｄａｔ”であるデータファイルを生成する。また、ＤＢ３４は拡張子が“.ｃｏｎｆｉｇ”であるデータファイルを読み込む。拡張子が“.ｃｏｎｆｉｇ”であるデータファイルは、例えば、ＤＢ３４のデータの保存位置などの設定パラメータのデータが含まれる設定ファイルに相当し、ファイルを一意に識別するためのファイル識別子が含まれている。

　このように、認証システム３Ａにおいては、プログラムが動作することにより、様々なデータが生成されてやり取りされる。しかしながら、認証システム３Ａで動作するプログラムの動作によって生成される又はやり取りされるデータは、必ずしも認証システム３Ａによって提供される認証サービスに用いられるとは限らない。また、認証システム３Ａにおいて生成される又はやり取りされるデータに関して、セキュリティリスクがあると考えられるものもある。

　例えば、認証システム３Ａでやり取りされるデータの経路において、ＳＮＳ等、認証システム３Ａ外部のＩＰに向けてユーザ情報のような個人情報を含むデータが晒されている可能性がある。認証システム３Ａ外部のＩＰに個人情報を含むデータが晒されている可能性があるような状態は、セキュリティの観点から望ましくない。また、拡張子が“．ｔｍｐ”である一時的なデータファイルが同一のディレクトリ内に所定時間以上残ってしまうようなデータの滞留もセキュリティの観点から望ましいとは言えない。さらに、拡張子が“．ｄｕｍｐ”であるデータファイルは、システムの開発中にプログラムの動作に障害が発生した際に原因解析のために生成されるファイルである。ゆえに、認証システム３Ａの本番環境において拡張子が“．ｄｕｍｐ”であるデータファイルが作成されることは、セキュリティの観点から望ましいとは言えない。

　上述したような、認証システム３Ａで動作するプログラムの動作によって生成される又はやり取りされるデータに関連する情報は、以下のようにして得ることができる。例えば、認証システム３Ａにおいて実行される認証プログラムが、各ホスト端末の資源（記憶媒体、メモリ等）を利用する際に呼び出されるシステムコールの取得や、認証プログラムの実行中に認証システム３Ａをスナップショットすることによって得ることできる。システムコールや認証システム３Ａのスナップショットは、認証システム３Ａにおいて動作するプログラム（ここでは、認証プログラム）が動作することによって生成される情報である。換言すると、システムコールや認証システム３Ａのスナップショットは、認証システム３Ａにおいて動作するプログラムの動作履歴に関する履歴情報に相当する。以後、システムコールや認証システム３Ａ等の分析対象システムのスナップショットのことを「履歴情報」と称することがある。

　本実施形態では、分析装置２が、履歴情報を認証システム３Ａから取得して、履歴情報をグラフ構造で表現したデータフローグラフを生成する。そして、分析装置２は、生成したデータフローグラフを用いて、認証システム３Ａにおいてやり取りされるデータの経路におけるセキュリティリスクを分析する。

＜２．２．分析システムの運用形態＞
　続いて、図２を参照して分析システム１０００の運用形態について説明する。図２は、分析システム１０００の運用形態を示す図である。図２に示すように、分析システム１０００は、分析条件生成装置１、分析装置２、及び認証システム３Ａに含まれるホスト端末が、ネットワーク７を介して接続されている。

　分析条件生成装置１は、分析装置２がセキュリティリスクの有無を分析するための分析条件を生成する。

　分析装置２は、履歴情報を認証システム３Ａから取得して、認証システム３Ａにおいてやり取りされるデータの経路におけるセキュリティリスクの有無を分析する。分析装置２は、分析対象システムでやり取りされるデータの経路におけるセキュリティリスクの有無を分析するプログラムがインストールされたサーバ等の情報処理装置に相当する。また、本実施形態の分析対象システムとは、例えば、認証システム３Ａ等、分析装置２にネットワーク７を介して接続されているシステムに相当する。

　分析装置２は、分析対象システムから履歴情報を収集する履歴情報収集部２１０と、履歴情報に基づいて分析対象システムにおいてやり取りされるデータの経路を示すデータフローグラフを生成する生成部２２０と、分析条件に基づいて、データフローグラフにおけるセキュリティリスクの有無を分析する分析処理を実行する分析部２３０とを有する。

　認証システム３Ａは、ホスト端末として、ユーザ情報取得モジュール３１、クライアントサーバ３２、サーバ３３、及びＤＢ３４を含む。

＜２．３．情報処理装置のハードウェア構成＞
　続いて、図３を参照して、本実施形態に係る分析条件生成装置１及び分析装置２や、認証システム３Ａに含まれるホスト端末等の情報処理装置のハードウェア構成について説明する。図３は、情報処理装置のハードウェア構成を示すブロック図である。

　情報処理装置は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１２、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１３、記憶媒体１４、及びインタフェース（Ｉ／Ｆ）１５がバス１６を介して相互に接続されている。また、Ｉ／Ｆ１５には、入力部１７、表示部１８及びネットワーク７が接続されている。

　ＣＰＵ１１は、演算手段であり、情報処理装置全体の動作を制御する。ＲＯＭ１２は、読み出し専用の不揮発性記憶媒体であり、ファームウェア等のプログラムが格納されている。ＲＡＭ１３は、情報の高速な読み書きが可能な揮発性の記憶媒体であり、ＣＰＵ１１が情報を処理する際の作業領域として用いられる。記憶媒体１４は、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）等の情報の読み書きが可能な不揮発性の記憶媒体であり、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）や各種の制御プログラム、アプリケーション・プログラム等が格納されている。

　Ｉ／Ｆ１５は、バス１６と各種のハードウェアやネットワーク等とを接続し制御する。入力部１７は、ユーザが情報処理装置に情報を入力するためのキーボードやマウス等の入力装置である。表示部１８は、ユーザが情報処理装置の状態を確認するためのＬＣＤ（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）等の表示装置である。なお、入力部１７や表示部１８は、省略可能である。

　このようなハードウェア構成において、ＲＯＭ１２に格納されたプログラムや、記憶媒体１４からＲＡＭ１３にロードされたプログラムに従ってＣＰＵ１１が演算を行うことにより、情報処理装置のソフトウェア制御部が構成される。そして、以上のようにして構成されたソフトウェア制御部と、ハードウェアとの組み合わせによって、本実施形態に係る分析条件生成装置１のコントローラ１００（図４参照）の機能を実現する機能ブロックが構成される。また、分析装置２の履歴情報収集部２１０、生成部２２０及び分析部２３０の機能は、分析装置２のＲＯＭ１２に格納されたプログラムや、分析装置２の記憶媒体１４から分析装置２のＲＡＭ１３にロードされたプログラムに従って、分析装置２のＣＰＵ１１が演算を行って構成されるソフトウェア制御部と、分析装置２に含まれるハードウェアとの組み合わせによって実現される。

＜２．４．分析条件生成装置の機能構成＞
　続いて、図４を参照して、分析条件生成装置１の機能構成について説明する。図４は、分析条件生成装置１の機能構成を示す機能ブロック図である。図４に示すように、分析条件生成装置１は、分析条件生成装置１全体の動作を制御するコントローラ１００と、コントローラ１００に情報を入出力するネットワークＩ／Ｆ１０１と、を有する。

　コントローラ１００は、ネットワークＩ／Ｆ１０１を介して取得した情報に基づいて、認証システム３Ａにおけるセキュリティリスクを分析するための分析条件の生成等を行う。コントローラ１００は、専用のソフトウェア・プログラムが分析条件生成装置１等の情報処理装置にインストールされることによって構成されている。

　図４に示すように、コントローラ１００は、分析条件生成部１１０と、記憶部１２０とを有する。分析条件生成部１１０は、共通脆弱性識別子（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ　ａｎｄ　Ｅｘｐｏｓｕｒｅｓ：ＣＶＥ）や共通脆弱性タイプ一覧（Ｃｏｍｍｏｎ　Ｗｅａｋｎｅｓｓ　Ｅｎｕｍｅｒａｔｉｏｎ：ＣＷＥ）等の情報セキュリティに関するセキュリティリスクを示す情報から、セキュリティリスクを分析するための分析条件を生成する。ＣＶＥとは、ベンダを跨いだ脆弱性情報の比較を容易に行う目的で、脆弱性情報にユニークな識別番号を付与し、リスト化したものである。また、ＣＷＥとは、脆弱性について、どのような領域に当てはまるかを分類した指標であり、ＣＶＥの補足情報に相当するものである。以後の説明において、ＣＶＥ、ＣＷＥ、ＡＡＲ（Ａｆｔｅｒ　Ａｃｔｉｏｎ　Ｒｅｐｏｒｔ）、及びセキュリティベンダや専門家によるセキュリティリスクの分析レポート等の情報セキュリティに関するセキュリティリスクを示す文字情報のことを、「脆弱性情報」と称することがある。

　具体的に、分析条件生成部１１０は、脆弱性情報に対して自然言語処理を行って分析条件を生成する。分析条件生成部１１０が行う自然言語処理には、固有表現抽出工程、関係抽出工程、正規化工程、及びＴｅｍｐｌａｔｅ　Ｆｉｌｌｉｎｇ工程が含まれている。

　固有表現抽出（Ｎａｍｅｄ　Ｅｎｔｉｔｙ　Ｒｅｃｏｇｎｉｔｉｏｎ：ＮＥＲ）工程は、自然文から、固有表現（Ｎａｍｅｄ　Ｅｎｔｉｔｙ）を抽出する工程である。自然文とは、話し言葉や書き言葉等のヒトが日常生活で用いる文字情報であり、かつ構造化されていない文字情報に相当する。例えば、ＣＶＥやＣＷＥは、情報セキュリティに関するセキュリティリスクを示す文字情報の一例である。

　関係抽出（Ｒｅｌａｔｉｏｎ　Ｅｘｔｒａｃｔｉｏｎ：ＲＥ）工程は、ＮＥＲ工程によって抽出された固有表現間の関係性を抽出する工程である。正規化工程は、単語の分割、文字種やつづり、表記ゆれの吸収等の処理を行うことにより、固有表現に含まれるノイズを除去する工程である。Ｔｅｍｐｌａｔｅ　Ｆｉｌｌｉｎｇ工程は、固有表現や固有表現間の関係性をテンプレートに記述された構造に当てはめる工程である。本実施形態の分析条件生成部１１０は、テンプレートとして、オントロジーを用いて自然言語処理を行う。分析条件生成部１１０において行われる分析条件生成処理やオントロジーの詳細については、後述する。

　分析条件生成部１１０は、構造情報抽出部１１１と、抽象化処理部１１２とを有する。構造情報抽出部１１１は、脆弱性情報等の自然文から、固有表現がグラフ構造化されたグラフ構造データを抽出する構造化処理を行う。抽象化処理部１１２は、グラフ構造データに含まれる固有表現を抽象表現に変換する抽象化処理を行う。構造化処理及び抽象化処理の詳細については、後述する。

　記憶部１２０は、脆弱性情報や、オントロジー等を記憶する記憶領域である。以上説明したような構成により、分析条件生成装置１は、分析対象システムのセキュリティリスクを分析するための分析条件を生成する。

　本実施形態において、分析装置２は、分析対象システムのデータの流れを示すデータフローグラフにおけるセキュリティリスクを分析する。データフローグラフは、データの実体を示すノードと、ノードに関連するイベントを示すエッジとによりグラフ構造化された分析対象システムの履歴情報に相当する。したがって、データフローグラフにおけるセキュリティリスクを分析するための分析条件もグラフ構造化された情報、グラフに関する問い合わせ言語(Ｇｒｅｍｌｉｎ（登録商標），Ｃｙｐｈｅｒ（登録商標），ＳＰＡＲＱＬ)の検索式、又はグラフ問い合わせ実現するためのプログラム等でなければならない。

　また、ＯｐｅｎＩｏＣ（Ｉｎｄｉｃａｔｏｒ　ｏｆ　Ｃｏｍｐｒｏｍｉｓｅ）やＳＴＩＸ（Ｓｔｒｕｃｔｕｒｅｄ　Ｔｈｒｅａｔ　Ｉｎｆｏｒｍａｔｉｏｎ　ｅＸｐｒｅｓｓｉｏｎ）等に定義された脅威情報から自動で分析条件を生成してデータフローグラフにおけるセキュリティリスクを分析することも可能である。しかしながら、ＯｐｅｎＩｏＣやＳＴＩＸは、既知の脆弱性や脅威を定義した情報であるため、分析対象システムがＯｐｅｎＩｏＣやＳＴＩＸに定義されている脆弱性や脅威そのものに晒されていることしか分析することができない。つまり、既知の脆弱性や脅威から変異したようなセキュリティリスクを評価することができない。

　このような問題に対して、本実施形態では、既知の脆弱性や脅威を示す自然文から、分析対象システムにおけるデータの流れの規則に従った抽象的な構造をグラフ構造データとして抽出し、既知の脆弱性や脅威から変異したようなセキュリティリスクを分析可能な分析条件を生成する。

＜２．５．分析条件生成処理の流れ＞
　続いて、図５Ａから図８を参照して、セキュリティリスクを分析するための分析条件を生成する分析条件生成処理の詳細について説明する。図５Ａは、本実施形態に係るオントロジーの記述を例示した図である。図５Ｂは、本実施形態に係るオントロジーを例示した図である。図６は、本実施形態に係る分析条件生成処理の流れを示すフローチャートである。図７Ａは、本実施形態に係る自然文の一例を示す図である。図７Ｂは、本実施形態に係る構造化処理の説明図である。図８は、本実施形態に係る抽象化処理の説明図である。

　まず、本実施形態に係るオントロジーについて説明する。「オントロジー」とは、意味リンクを用いて概念間の関係を記述することにより、ある知識を記述するときに用いる“語彙”やその語彙の“意味”、さらに“言葉と意味との関係性”を、他のコンピュータとも共有できるように明確な仕様として定義したものである。

　例えば、“生物”、“ウサギ”、“長い耳”という３つの語彙の関係性を記述したオントロジーについて考察する。まず、“ウサギ”と“生物”との関係性について考察する。「“ウサギ”であれば必ず“生物”である」一方で、「“生物”であれば、必ず“ウサギ”である」とは限らない。この場合、オントロジーでは、“ウサギ”は“生物”であるということを示す関係性を、（ｉｓ　ａ）リンクという意味リンクを用いて“（ウサギ）‐（ｉｓ　ａ）‐＞（生物）”と記述する。（ｉｓ　ａ）リンクの矢印の始点である“（ウサギ）”が下位概念であり、矢印の終点である“（生物）”が上位概念である。（ｉｓ　ａ）リンクを用いて２つの概念間の関係性を記述した場合、下位概念は例外を指定しない限り、上位概念の属性を継承する。

　続いて、“ウサギ”と“長い耳”との関係性について考察する。この場合、「“ウサギ”には“長い耳”が生えている」、「“ウサギ”には“長い耳”がある」、「“ウサギ”の“長い耳”が垂れている」といったように、ヒトが考える“ウサギ”と“長い耳”との関係性には差異が生じ得る。上述したように、オントロジーとは、意味リンクを用いて概念間の関係を明確な仕様として定義したものである。ここで、「“ウサギ”は“長い耳”を持っている」ことをコンピュータが“ウサギ”と“長い耳”との関係性であるとして明確に解釈することができるようにする場合、オントロジーでは、（ｈａｓ　ａ）リンクという意味リンクを用いて“（ウサギ）‐（ｈａｓ　ａ）‐＞（長い耳）”と記述する。このようにオントロジーを記述することで、どのコンピュータにおいても、“ウサギ”と“長い耳”との関係性が「“ウサギ”は“長い耳”を持っている」ことであると解釈することができる。

　また、（ｈａｓ　ａ）リンクは、全体と部分との関係を示す意味リンクである。したがって、（ｈａｓ　ａ）リンクを用いて２つの概念間の関係性を記述した場合、（ｉｓ　ａ）リンクとは異なり、下位概念が上位概念の属性を継承するとは限らない。つまり、「“ウサギ”であれば必ず“長い耳”を持っている」関係は成立する一方で、「“長い耳”を持っていれば“ウサギ”である」という関係が成立するとは限らない。なお、全体と部分との関係を示す意味リンクとして、（ｈａｓ　ａ）リンクの他に、（ｐａｒｔ　ｏｆ）リンク等がある。

　このように、オントロジーは、概念を示す自然言語による語彙、又は、概念間のイベントを示す“ｉｓ　ａ”や“ｈａｓ　ａ”等の簡潔な述語を用いて、上位概念を示すノードと下位概念を示すノードとの間を、上位概念を示すノードや下位概念を示すノードに関連するイベントを示すエッジで結ぶことによりグラフ構造化し、ノード間の関係性をコンピュータが解釈可能な形式に記述した情報に相当する。

　続いて、図５Ａ及び図５Ｂを参照して、本実施形態におけるオントロジーの構築例について説明する。図５Ａには、オントロジーに記述されている情報として、“（Ｐｒｏｃｅｓｓ）‐（ｅｘｅｃｕｔｅ）‐＞（Ｐｒｏｃｅｓｓ）”、“（Ｐｒｏｃｅｓｓ）‐（ｒｅａｄ／ｗｒｉｔｅ）‐＞（Ｆｉｌｅ）”、“（Ｐｒｏｃｅｓｓ）‐（ｈａｓ　ａ）‐＞（実行権限）”、“（Ｆｉｌｅ）‐（ｈａｓ　ａ）‐＞（権限）”、・・・が例示されている。

　本実施形態において、オントロジーは、分析条件生成装置１を操作するオペレータにより構築される。分析条件生成装置１を操作するオペレータは、例えば、分析対象システム（例えば、認証システム３Ａ）におけるデータの流れを示すデータフローグラフに基づいて、分析条件を生成する際に用いるオントロジーを構築する。

　なお、オントロジーを構築する際に、分析条件生成装置１を操作するオペレータは、脆弱性情報を参照してオントロジーを構築するようにしてもよい。例えば、分析対象システムから取得したデータフローグラフには含まれていない情報が、脆弱性情報には含まれている場合がある。“プロセスＡＡが読み込むパスワードを含む設定ファイルＸＸ”という記述が脆弱性情報に含まれており、分析対象システムから取得したデータフローグラフには“プロセスＡＡが読み込むファイルＸＸ”の情報が含まれていると仮定する。

　この場合、分析条件生成装置１を操作するオペレータは、“ファイルＸＸ”を示すノードの属性として、“設定ファイルである”、及び“パスワードを含む”ことを付加してオントロジーを作成してもよい。この場合のオントロジーは、例えば、“（ｃｏｎｆｉｇ　ｆｉｌｅ）‐（ｉｓ　ａ）‐＞（Ｆｉｌｅ）‐（ｈａｓ　ａ）‐＞（ｐａｓｓｗｏｒｄ）”のように記述される。

　“（Ｐｒｏｃｅｓｓ）‐（ｅｘｅｃｕｔｅ）‐＞（Ｐｒｏｃｅｓｓ）”は、あるプロセスが、別のあるプロセスを実行することを示す記述である。また、“（Ｐｒｏｃｅｓｓ）‐（ｒｅａｄ／ｗｒｉｔｅ）‐＞（Ｆｉｌｅ）”は、あるプロセスがあるファイルを読み出し／書き込みすることを示す記述である。また、“（Ｐｒｏｃｅｓｓ）‐（ｈａｓ　ａ）‐＞（実行権限）”は、あるプロセスが実行権限を示す属性を持っていることを示す記述である。また、“（Ｆｉｌｅ）‐（ｈａｓ　ａ）‐＞（アクセス権限）”は、あるファイルがアクセス権限を示す属性を持っていることを示す記述である。

　図５Ｂは、図５Ａのオントロジーの記述をグラフ構造によって示した図である。図５Ｂに示すように、オントロジーの記述は、上位概念を示すノードと下位概念を示すノードとの間が、上位概念を示すノードや下位概念を示すノードに関連するイベントを示すエッジで結ばれたグラフ構造データとして表すことができる。

　例えば、あるプロセスが、別のあるプロセスを実行する関係性を示す記述（“（Ｐｒｏｃｅｓｓ）‐（ｅｘｅｃｕｔｅ）‐＞（Ｐｒｏｃｅｓｓ）”：図５Ａ）は、矢印の始点の“（Ｐｒｏｃｅｓｓ）”を下位概念のノード、“（ｅｘｅｃｕｔｅ）”をエッジ、矢印の終点の“（Ｐｒｏｃｅｓｓ）”を上位概念のノードとしたグラフ構造データとして表わすことができる。

　図５Ａ及び図５Ｂに示すように、オントロジーは、ノードの種別やエッジの種別を示す抽象化識別子を有している。ノードの種別を示す抽象化識別子には、例えば、“（Ｐｒｏｃｅｓｓ）”、“（Ｒｅｇｉｓｔｒｙ）”、“（Ｆｉｌｅ）”、“（ＩＰ，Ｐｏｒｔ）”、及び“（Ａｃｔｏｒ）”が挙げられる。

　“（Ｐｒｏｃｅｓｓ）”は、例えば、ヘッダ部分のファイル情報や所定の拡張子（例えば、拡張子“．ｅｘｅ”であるファイル）に基づいて、プロセスを示すノードの抽象化識別子である。また、“（Ｒｅｇｉｓｔｒｙ）”や“（Ｆｉｌｅ）”は、例えば、ＯＳの設定情報や文書ファイルの格納先情報、つまりデータストアを示すノードの抽象化識別子である。また、“（ＩＰ，Ｐｏｒｔ）”は、ＩＰアドレスやポート番号等の通信ソケットを示すノードの抽象化識別子である。

　また、“（Ａｃｔｏｒ）”は、分析条件生成装置１を操作するオペレータにより定義されるノードのうち、プロセス、データストア、及び通信ソケット以外の要素である、外部アクターを示すノードの抽象化識別子である。分析条件生成装置１を操作するオペレータは、例えば、ＣＷＥやＣＶＥに現れる外部の攻撃者等をノードとして定義し、上述したプロセス、データストア、及び通信ソケットを示すノードとの関係をオントロジーに記述してもよい。この場合、外部の攻撃者を示すノードと、プロセス、データストア、及び通信ソケットを示すノードとの関係は、エッジとして表現される。

　このように、本実施形態において、分析条件を生成するために用いられるオントロジーは、ノードの種別がプロセス、データストア、及び通信ソケット以外の要素のいずれかであることを識別でき、かつ、ノード及びエッジが固有表現を含まない程度に、ノード及びエッジの概念が抽象化されたグラフ構造データに相当する。本実施形態において、固有表現を含まない程度にノード及びエッジの概念が抽象化された状態とは、例えば、“ｘｘｘ￥ｃｍｄ．ｅｘｅ”や“ｙｙｙ￥Ｅｘｐｌｏｒｅｒ．ｅｘｅ”等のノードが、“ｘｘｘ￥ｃｍｄ”や“ｙｙｙ￥Ｅｘｐｌｏｒｅｒ”等のユニークな文字列を含まないノードになることに相当する。“ｘｘｘ￥ｃｍｄ”や“ｙｙｙ￥Ｅｘｐｌｏｒｅｒ”は、各ノードに固有であり、かつ各ノードをユニークに識別可能な固有識別子に相当する。

　したがって、本実施形態では、固有表現を含まない程度にノード及びエッジの概念が抽象化されたオントロジーを用い、自然文に対して自然言語処理を行うことにより、オントロジーに定義された概念間の関係に当てはまるグラフ構造データを抽出することができる。なお、分析条件生成装置１のオペレータは、オントロジーの構築に際し、ノード及びエッジの概念をどの程度抽象化するかを任意に設定することができる。

　また、分析条件を生成するために用いるオントロジーを構築するに際し、プロセスを示すノードに、プロセスの実行権限を示す属性を付与してもよい。例えば、“（Ｐｒｏｃｅｓｓ）‐（ｈａｓ　ａ）‐＞（実行権限）”は、矢印の始点のノードのプロセスが実行権限を示す属性を持っていることを示す記述である（図５Ａ参照）。つまり、このオントロジーを用いて自然文に対して自然言語処理を行うことにより、抽象化識別子として“（Ｐｒｏｃｅｓｓ）”を有するノードに、プロセスの実行権限が付加される。

　さらに、分析条件を生成するために用いるオントロジーを構築するに際し、データストアを示すノードに、そのデータストアに記憶されているデータへのアクセス権限を示す属性を付与してもよい。例えば、“（Ｆｉｌｅ）‐（ｈａｓ　ａ）‐＞（アクセス権限）”は、あるファイルがアクセス権限を示す属性を持っている関係性を示す記述である（図５Ａ参照）。つまり、このオントロジーを用いて自然文に対して自然言語処理を行うことにより、抽象化識別子として“（Ｆｉｌｅ）”を有するノードに、プロセスの実行権限が付加される。

　このほかにも、例えば、（ｉｓ　ａ）リンクや（ｈａｓ　ａ）リンクを用いて、“（Ｆｉｌｅ）”の抽象化識別子を有するノードが設定ファイルであることを示す属性、パスワードを含むことを示す属性、バイナリファイルであることを示す属性、一時ファイルであることを示す属性、又はプログラム情報をシリアライズしたものであることを示す属性等を含んで、オントロジーを構築してもよい。

　続いて、図６を参照して、本実施形態における分析条件生成処理の流れについて説明する。本実施形態に係る分析条件生成装置１では、オントロジーを用いて脆弱性情報に対して自然言語処理を行うことにより、オントロジーに定義された概念間の関係に当てはまるグラフ構造データを抽出し、セキュリティリスクを分析するための分析条件を生成する。

　まず、ステップＳ１１において、分析条件生成部１１０は、記憶部１２０に記憶されているオントロジー及び自然文を取得する。図７Ａには、分析条件生成部１１０に入力される自然文の例として、ＣＷＥの一種であるＪＶＮ（Ｊａｐａｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｎｏｔｅｓ）に定義されているＪＶＮＤＢ－２０１５－００６１ＸＸを示している。

　図７Ａの自然文には、以下（１）から（６）に示す「ＸＸＸＸ　Ｓｏｌｕｔｉｏｎ　Ｃｅｎｔｅｒには複数の脆弱性が存在し、攻撃者による“ＳＹＳＴＥＭ権限”での任意のコード実行が可能であることを示す文字情報」が含まれている。
　（１）ＸＸＸＸ　Ｓｏｌｕｔｉｏｎ　Ｃｅｎｔｅｒを起動すると、“ＳＹＳＴＥＭ権限”で動作するプロセス“ＬＳＣＴａｓｋＳｅｒｖｉｃｅ”が作成されること
　（２）プロセス“ＬＳＣＴａｓｋＳｅｒｖｉｃｅ”は、“５５５５５番ポート”を使って“ＨＴＴＰ　ｄａｅｍｏｎ”を実行することで、“ＧＥＴリクエスト”や“ＰＯＳＴリクエスト”による“ＬＳＣＣｏｎｔｒｏｌｌｅｒ．ｄｌｌ”モジュール内のメソッドの実行を実現すること
　（３）“ＬＳＣＣｏｎｔｒｏｌｌｅｒ．ｄｌｌ”には安全ではないメソッドが多数含まれていること
　（４）そのうち、“ＲｕｎＩｎｓｔａｌｌｅｒ”は、“％ＡＰＰＤＡＴＡ％￥ＬＳＣ￥Ｌｏｃａｌ　Ｓｔｏｒｅ”ディレクトリに置かれた任意のコードを実行するよう設計されていること
　（５）“％ＡＰＰＤＡＴＡ％￥ＬＳＣ￥Ｌｏｃａｌ　Ｓｔｏｒｅ”ディレクトリは、システムにログイン可能な全てのユーザに対して作成されるため、ユーザは、システムの管理者権限を持たなくても、このディレクトリへの書込みを行うことができること
　（６）この脆弱性を悪用することで、一般ユーザは“ＳＹＳＴＥＭ権限”で任意のコードを実行すること

　ステップＳ１２において、構造情報抽出部１１１は、分析条件生成部１１０に入力されたオントロジーと自然文とに基づいて構造化処理を行う。具体的に、構造情報抽出部１１１は、図７Ａに示す自然文から、オントロジーに定義されている概念間の関係に当てはまるグラフ構造データを抽出する。図７Ｂには、構造化処理によって図７Ａに示す自然文から抽出されたグラフ構造データの一例を示している。

　上述したように、分析条件生成装置１のオペレータは、オントロジーの構築に際し、ノード及びエッジの概念をどの程度抽象化するかを任意に設定することができる。図７Ｂには、ノードの種別がプロセス、データストア、及び通信ソケット以外の要素のいずれかであることを識別でき、かつ、ノード及びエッジが固有表現を含まない程度に、ノード及びエッジの概念が抽象化されたオントロジーを用いた場合において、構造化処理によって図７Ａに示す自然文から抽出されたグラフ構造データを例示している。構造化処理によって、図７Ａに示す自然文から、上述の（１）から（６）のセキュリティリスクを示すグラフ構造データ（図７Ｂ参照）が抽出される。

　続いて、ステップＳ１３において、抽象化処理部１１２は、構造情報抽出部１１１によって抽出されたグラフ構造データに含まれる固有表現を抽象化する抽象化処理を行う。

　図８には、図７Ｂに示すグラフ構造データに対して、抽象化処理部１１２が抽象化処理を行うことにより、図７Ａの（１）から（６）の自然文を、それぞれ（１α）～（６α）に示すように抽象化したグラフ構造データを示している。
　（１α）ＸＸＸＸ　Ｓｏｌｕｔｉｏｎ　Ｃｅｎｔｅｒを起動すると、“Ａｄｍｉｎ権限”で動作するプロセス“Ｐａｒｅｎｔ　Ｐｒｏｃｅｓｓ”が作成されること
　（２α）プロセス“Ｐａｒｅｎｔ　Ｐｒｏｃｅｓｓ”は、“Ａｃｔｏｒ１”からの実行命令により、“Ｆｉｌｅ”モジュール内のメソッドの実行を実現すること
　（３α）“Ｆｉｌｅ”にはメソッドが含まれていること
　（４α）“Ｆｉｌｅ”モジュール内のメソッドの実行により、プロセス“Ｐａｒｅｎｔ　Ｐｒｏｃｅｓｓ”は、“Ｐｒｏｇｒａｍ　Ｄｉｒｅｃｔｏｒｙ”に置かれた任意のコードを実行するよう設計されていること
　（５α）“Ｐｒｏｇｒａｍ　Ｄｉｒｅｃｔｏｒｙ”へのアクセス権限は“Ｎｏｎ－Ａｄｍｉｎ権限”であるため、システムの管理者権限を持たない“Ａｃｔｏｒ２”も、このディレクトリへの書込みを行うことができること
　（６α）この脆弱性を悪用することで、システムの管理者権限を持たない“Ａｃｔｏｒ１”も“Ａｄｍｉｎ権限”で任意のコードを実行すること

　具体的に、抽象化処理部１１２は、グラフ構造データに含まれるノード及びエッジに関する固有識別子を、抽象化識別子に変換する。抽象化処理部１１２は、例えば、ノードの種別及びエッジの種別に応じて、ノード及びエッジに関する固有識別子を抽象化識別子に変換する。抽象化処理部１１２は、ノードの種別がプロセス、データストア、及び通信ソケット以外の要素のいずれかであることを識別でき、かつ、ノード及びエッジが固有表現を含まない程度に、グラフ構造データに含まれるノード及びエッジの概念を抽象化する。さらに、抽象化処理部１１２は、抽象化した場合に種別が同じノードが複数含まれるような場合に、複数のノードそれぞれを識別可能な形式で抽象化処理を行う。

　例えば、グラフ構造データに、ノードの種別がプロセスであり、固有識別子“ＡＹｊ３Ａ”を持つノードと、ノードの種別がファイルであり、固有識別子“ｘｎｉ４Ｇ”を持つノードと、ノードの種別がディレクトリであり、固有識別子“ＢＮＷｊｆ”を持つノードとが含まれていると仮定する。抽象化処理部１１２は、ノードの拡張子やヘッダ情報に基づいて、それぞれのノードの種別を識別し、固有識別子“ＡＹｊ３Ａ”を抽象化識別子“Ｐｒｏｃｅｓｓ”に、固有識別子“ｘｎｉ４Ｇ”を抽象化識別子“Ｆｉｌｅ”に、固有識別子“ＢＮＷｊｆ”を抽象化識別子“Ｄｉｒｅｃｔｏｒｙ”に変換する。なお、グラフ構造データに、ノードの種別が同じノードが複数含まれている場合、抽象化処理部１１２は、例えば、抽象化識別子“Ｐｒｏｃｅｓｓ１”、抽象化識別子“Ｐｒｏｃｅｓｓ２”のように、複数のノードをそれぞれ識別可能な形式で抽象化するようにしてもよい。図８には、抽象化処理部１１２が、下位概念のプロセスのノードの固有識別子を抽象化識別子“Ｐａｒｅｎｔ　Ｐｒｏｃｅｓｓ”に変換し、上位概念のプロセスのノードの固有識別子を抽象化識別子“Ｃｈｉｌｄ　Ｐｒｏｃｅｓｓ”に変換するように抽象化処理を行った結果を示している。

　また、例えば、グラフ構造データに、ノードの種別がファイルであり、ファイルの所有者を示す固有識別子“Ｔａｎａｋａ”を持つノードと、ノードの種別がプロセスであり、プロセスの実行者を示す固有識別子“Ｙａｍａｄａ”を持つノードとが含まれていると仮定する。抽象化処理部１１２は、固有識別子“Ｔａｎａｋａ”を、管理者を示す抽象化識別子である“Ａｄｍｉｎ”に変換し、固有識別子“Ｙａｍａｄａ”を、非管理者を示す抽象化識別子である“Ｎｏｎ－Ａｄｍｉｎ”に変換する。なお、グラフ構造データに、ユーザを示す固有識別子を持つノードが複数含まれている場合、抽象化処理部１１２は、例えば、抽象化識別子“Ａｄｍｉｎ１”、抽象化識別子“Ａｄｍｉｎ２”のように、複数のノードをそれぞれ識別可能な形式で抽象化するようにしてもよい。

　また、例えば、グラフ構造データに、ノードの種別が通信ソケットであり、ＩＰアドレスを示す固有識別子“８．８．８．８”を持つノードが含まれていると仮定する。抽象化処理部１１２は、通信ソケットのノードに含まれるＩＰアドレスに基づいて、ＩＰアドレスを示す固有識別子“８．８．８．８”を“Ｇｌｏｂａｌ　ＩＰ”（又は“Ｌｏｃａｌ　ＩＰ”）等のように、抽象化する。なお、グラフ構造データに、ノードの種別が通信ソケットであり、かつＩＰアドレスを示す固有識別子を持つノードが複数含まれている場合、抽象化処理部１１２は、それぞれのＩＰアドレスの区別がつくように、例えば、“Ｌｏｃａｌ　ＩＰ　１”、“Ｌｏｃａｌ　ＩＰ　２”のように、複数のノードをそれぞれ識別可能な形式で抽象化するようにしてもよい。

　また、例えば、グラフ構造データに、ノードの種別が通信ソケットであり、ポート番号を示す固有識別子“６４７Ｘ”を持つノードが含まれていると仮定する。抽象化処理部１１２は、通信ソケットのノードに含まれるポート番号を示す固有識別子“６４７Ｘ”を、任意のポート番号を示す抽象化識別子“＊＊＊＊”に抽象化する。なお、抽象化処理部１１２は、ＴＣＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ）やＵＤＰ（Ｕｓｅｒ　Ｄａｔａｇｒａｍ　Ｐｒｏｔｏｃｏｌ）のポート番号のうち、著名なサービスやプロトコルが利用するために予約されている０番から１０２３番のポート（いわゆるｗｅｌｌ－ｋｎｏｗｎ－ｐｏｒｔ）については、具体的な数値を残して抽象化処理を行ってもよい。

　このように、抽象化処理部１１２によって抽象化されたグラフ構造データは、ステップＳ１１で入力されたオントロジーよりは抽象化されていないグラフ構造データであり、かつステップＳ１２で抽出されたグラフ構造データよりは抽象化されているグラフ構造データに相当する。

　図６に戻ってステップＳ１４から説明を続ける。ステップＳ１４において、分析条件生成部１１０は、グラフ構造データに対して後処理を行う。本実施形態において、分析条件生成部１１０は、例えば、分析条件生成装置１のオペレータにより予め設定されたルールに従って、抽象化されたグラフ構造データを編集する処理や、分析対象システムにおいてセキュリティリスク分析を行うに際し、意味を成さないグラフ構造データを、セキュリティリスク分析に用いるグラフ構造データとは区別して管理する処理を後処理として行う。なお、ステップＳ１４は省略することもできる。

　例えば、分析条件生成部１１０は、分析条件としてＤＯＴ言語やノードとエッジとから成るＪａｖａＳｃｒｉｐｔ（登録商標）　Ｏｂｊｅｃｔ　Ｎｏｔａｔｉｏｎ（ＪＳＯＮ）等の形式によってグラフ構造データを出力できるように、ステップＳ１３において抽象化されたグラフ構造データに対してステップＳ１４の後処理を行ってもよい。また、分析条件生成部１１０は、分析条件の出力形式をグラフ検索言語としてもよい。この場合、分析条件生成部１１０は、ステップＳ１３において抽象化されたグラフ構造データを、ＣｙｐｈｅｒやＧｒｅｍｌｉｎ等の検索言語で表現する後処理を行う。ＣｙｐｈｅｒやＧｒｅｍｌｉｎ等の検索言語はテキスト形式であるため、分析条件生成装置１のオペレータがエディタを用いて編集することができる。また、ＣｙｐｈｅｒやＧｒｅｍｌｉｎ等の検索言語によって表現されたデータをグラフとして可視化するエディタを作成し、分析条件生成装置１のオペレータがより直感的に編集修正するようにしてもよい。

　続いて、分析条件生成部１１０は、ステップＳ１４において後処理した後のグラフ構造データをセキュリティリスク分析に用いる分析条件として分析装置２に対して出力する。

＜２．６．分析処理の流れ＞
　続いて、図９を参照して、分析装置２における分析処理の流れについて説明する。図９は、分析装置２における分析処理の流れを示すフローチャートである。

　生成部２２０は、ステップＳ２１において、履歴情報収集部２１０が収集した認証システム３Ａの履歴情報に基づいてデータフローグラフを生成する。

　続いて、分析部２３０は、ステップＳ２２において、ステップＳ２１で生成されたデータフローグラフに、分析条件生成装置１から取得した分析条件に合致するグラフ構造が含まれているか否かを判定する。ここでは、分析条件生成装置１から分析装置２に対して出力された分析条件がグラフ構造データであると仮定する。

　分析条件生成装置１から分析装置２に対して出力されたグラフ構造データに合致するグラフ構造が、ステップＳ２１で生成されたデータフローグラフに含まれている場合（ステップＳ２２／Ｙ）、分析部２３０は、ステップＳ２３において、ステップＳ２１で生成されたデータフローグラフによって示されるデータの経路にリスクがあると判定する。

　分析条件生成装置１から分析装置２に対して出力されたグラフ構造データに合致するグラフ構造が、ステップＳ２１で生成されたデータフローグラフに含まれていない場合（ステップＳ２２／Ｎ）、分析部２３０は、ステップＳ２３において、ステップＳ２１で生成されたデータフローグラフによって示されるデータの経路にリスクがないと判定する。

　分析条件生成装置１から分析装置２に対して出力された分析条件は、脆弱性情報に含まれる固有概念が抽象化されたグラフ構造データに相当する。したがって、ステップＳ２２において、分析部２３０は、ＣＶＥやＣＷＥに定義されている脆弱性、及び脆弱性の変異データに基づいて、セキュリティリスクの有無を判定する。

　そして、分析部２３０は、ステップＳ２５において、セキュリティリスクの有無を分析した結果を出力し、本処理を終了する。なお、分析装置２は、ステップＳ２５で出力した分析結果を表示部１８に表示させてもよい。

　以上説明したように、本実施形態では、既知の脆弱性や脅威を示す自然文から分析対象システムにおけるデータの流れの規則に従った構造をグラフ構造データとして抽出し、分析条件として出力する。このとき、データの流れの規則をオントロジーとして表現することにより、既知の脆弱性や脅威を示す具体的な情報からオントロジーに定義されたデータの流れの規則に従った構造を抜き出すことができる。また、本実施形態において、オントロジーは、分析条件生成装置１のオペレータにより構築される。ゆえに、分析対象システムにおけるデータの流れの規則を抽象化したオントロジーを構築することにより、既知の脆弱性や脅威から変異したセキュリティリスクを分析可能な分析条件を生成する。

　したがって、分析装置２において、脆弱性情報から抽出された要素が抽象化された分析条件を用いてセキュリティリスクを分析することが可能となる。ゆえに、脆弱性情報においてセキュリティリスクがあると定義されている情報を示すグラフ構造データの変異データ（バリアントデータ）が分析対象システムのデータフローグラフに含まれる場合、分析対象システムのデータフローグラフに含まれる変異データに関してセキュリティリスクがあるという分析結果を得ることが可能となる。

＜３．第１の実施形態の変形例＞
　第１の実施形態におけるＣＶＥやＣＷＥは、インターネット上で公開されている情報であり、ベンダから提供される情報に基づいて日々更新されている。本変形例の分析条件生成装置１は、ＣＶＥやＣＷＥ等の脆弱性情報を自動的に更新して分析条件を生成する。

＜３．１．分析条件生成装置の機能構成＞
　図１０を参照して、本変形例に係る分析条件生成装置１の機能構成について説明する。図１０は、第１の実施形態の変形例に係る分析条件生成装置１の機能構成を示す機能ブロック図である。なお、図１０において図４と同じ構成には同じ符号を付し、重複する説明を省略する。

　図１０に示すように、本変形例に係る分析条件生成装置１は、分析条件生成部１１０、記憶部１２０、及び更新部１３０を有する。分析条件生成部１１０及び記憶部１２０は、図４と同様であるため、説明を省略する。

　更新部１３０は、ネットワーク７を介して脆弱性情報を取得し、記憶部１２０に記憶されている脆弱性情報を更新する。また、更新部１３０は、分析装置２における分析処理の結果に基づいて、分析装置２のオペレータが定義した分析対象システムの脆弱性を示す情報を、ネットワーク７を介して取得し、記憶部１２０に記憶されている脆弱性情報を更新してもよい。

　本変形例では、インターネット上で公開される最新のＣＶＥやＣＷＥ、更に分析装置２の分析結果を取得して、分析条件生成装置１に記憶されている脆弱性情報を更新する。このようにすることにより、分析条件生成装置１は、分析対象システムに関する最新の脆弱性情報を反映させた上で分析条件を生成することが可能となる。

＜４．第２の実施形態＞
　第１の実施形態では、オントロジーを用いて抽出されたグラフ構造データを、分析条件生成装置１において抽象化してから分析装置２に送信する態様について説明を行った。第２の実施形態は、分析条件生成装置１において、自然文からオントロジーを用いてグラフ構造データを抽出し、分析処理装置４においてグラフ構造データを抽象化する点で第１の実施形態と異なる。以下、図１１から図１４を参照して、本発明の第２の実施形態について説明する。なお、第２の実施形態の説明において、第１の実施形態と同じ要素には同じ符号を付し、重複する説明を省略する。

＜４．１．分析システムの運用形態＞
　まず、図１１を参照して、第２の実施形態に係る分析システム２０００の運用形態について説明する。図１１は、第２の実施形態に係る分析システム２０００の運用形態を示す図である。図１１に示すように、分析システム２０００は、分析条件生成装置１、及び分析処理装置４がネットワーク７を介して接続されて構成されている。

　分析条件生成装置１は、分析処理に際し、セキュリティリスクを分析するための分析条件を生成する。分析条件生成装置１は、本実施形態の第１装置の一例である。

　分析処理装置４は、分析条件生成装置１が生成した分析条件に基づいて、分析対象システムのデータの流れを示すデータフローグラフにおけるセキュリティリスクを分析する。分析処理装置４は、本実施形態の第２装置の一例である。

＜４．２．分析条件生成装置の機能構成＞
　続いて、図１２を参照して、本実施形態に係る分析条件生成装置１の機能構成について説明する。図１２は、本実施形態に係る分析条件生成装置１の機能構成を示す機能ブロック図である。

　図１０に示すように、本変形例に係る分析条件生成装置１は、構造情報抽出部１１１、記憶部１２０を有する。なお、以上の要素以外に、更新部１３０を備えていてもよい。構造情報抽出部１１１、記憶部１２０及び更新部１３０は、図４又は図１０と同じであるため、説明を省略する。

＜４．３．分析処理装置の機能構成＞
　続いて、図１３を参照して、本実施形態に係る分析処理装置４の機能構成について説明する。図１３は、本実施形態に係る分析処理装置４の機能構成を示す機能ブロック図である。図１３に示すように、分析処理装置４は、分析処理装置４全体の動作を制御するコントローラ４００と、コントローラ４００に情報を入出力するネットワークＩ／Ｆ４０１と、を有する。図１３に示す分析処理装置４に含まれる要素は、分析処理装置４のＲＯＭ１２に格納されたプログラムや、分析処理装置４の記憶媒体１４から分析処理装置４のＲＡＭ１３にロードされたプログラムに従って、分析処理装置４のＣＰＵ１１が演算を行って構成されるソフトウェア制御部と、分析処理装置４に含まれるハードウェアとの組み合わせによって実現される。

　コントローラ４００は、グラフ分析エンジン４１０と、抽象化ルールＤＢ４２０と、記憶部４３０と、を有し、ネットワークＩ／Ｆ１０１を介して取得した情報に基づいて、分析対象システムにおけるセキュリティリスクを分析する。コントローラ４００は、専用のソフトウェア・プログラムが分析処理装置４にインストールされることによって構成されている。

　図１３に示すように、グラフ分析エンジン４１０は、抽象化処理部４１１と、分析処理部４１２とを有する。抽象化処理部４１１は、ネットワークＩ／Ｆ１０１を介して取得したグラフ構造データに含まれる固有表現を、抽象化ルールＤＢ４２０に記憶されている抽象化ルールに基づいて抽象表現に変換する抽象化処理を行う。なお、抽象化処理部４１１は、自然言語処理により抽象化処理を行ってもよい。分析処理部４１２は、抽象化処理後のグラフ構造データに基づいて、分析対象システムにおけるセキュリティリスクを分析する。抽象化処理部４１１が行う抽象化処理は、第１の実施形態の抽象化処理部１１２が行う抽象化処理（図７Ｂ及び図８参照）と同じである。また、分析処理部４１２が行う分析処理は、第１の実施形態の分析部２３０が行う分析処理（図９参照）と同じである。

　抽象化ルールＤＢ４２０は、抽象化処理部４１１が抽象化処理を行うに際し、グラフ構造データを抽象化するルールである抽象化ルールを記憶する記憶領域に相当する。抽象化ルールＤＢ４２０には、例えば、以下のような抽象化ルールが記憶されている。

　抽象化ルールＤＢ４２０には、例えば、ノード及びエッジに関する固有識別子を、ノードの種別及びエッジの種別に応じた抽象化識別子に変換するための情報が記憶されている。これにより、抽象化処理部１１２は、ノードの種別がプロセス、データストア、及び通信ソケット以外の要素のいずれかであることを識別でき、かつ、ノード及びエッジが固有表現を含まない程度に、グラフ構造データに含まれるノード及びエッジの概念を抽象化することができる。

　抽象化ルールＤＢ４２０には、例えば、ノードの拡張子やヘッダ情報に基づいて、それぞれのノードの種別を識別し、固有識別子“ＡＹｊ３Ａ”を抽象化識別子“Ｐｒｏｃｅｓｓ”に、固有識別子“ｘｎｉ４Ｇ”を抽象化識別子“Ｆｉｌｅ”に、固有識別子“ＢＮＷｊｆ”を抽象化識別子“Ｄｉｒｅｃｔｏｒｙ”に変換する抽象化ルールが記憶されている。ここで、グラフ構造データに、ノードの種別がプロセスであり、固有識別子“ＡＹｊ３Ａ”を持つノードと、ノードの種別がファイルであり、固有識別子“ｘｎｉ４Ｇ”を持つノードと、ノードの種別がディレクトリであり、固有識別子“ＢＮＷｊｆ”を持つノードとが含まれていると仮定する。この場合、抽象化処理部４１１は、抽象化ルールにより、グラフ構造データに、ノードの種別が同じノードが複数含まれている場合、例えば、抽象化識別子“Ｐｒｏｃｅｓｓ１”、抽象化識別子“Ｐｒｏｃｅｓｓ２”のように、複数のノードをそれぞれ識別可能な形式で抽象化することができる。

　また、抽象化ルールＤＢ４２０には、例えば、固有識別子“Ｔａｎａｋａ”を、管理者を示す抽象化識別子である“Ａｄｍｉｎ”に変換し、固有識別子“Ｙａｍａｄａ”を、非管理者を示す抽象化識別子である“Ｎｏｎ－Ａｄｍｉｎ”に変換する抽象化ルールが記憶されている。ここで、グラフ構造データに、ノードの種別がファイルであり、ファイルの所有者を示す固有識別子“Ｔａｎａｋａ”を持つノードと、ノードの種別がプロセスであり、プロセスの実行者を示す固有識別子“Ｙａｍａｄａ”を持つノードとが含まれていると仮定する。この場合、抽象化処理部４１１は、抽象化ルールにより、固有識別子“Ｔａｎａｋａ”を、管理者を示す抽象化識別子である“Ａｄｍｉｎ”に変換し、固有識別子“Ｙａｍａｄａ”を、非管理者を示す抽象化識別子である“Ｎｏｎ－Ａｄｍｉｎ”に変換することができる。なお、抽象化ルールとして、グラフ構造データに、ユーザ名を示す固有識別子を持つノードが複数含まれている場合に、例えば、抽象化識別子“Ａｄｍｉｎ１”、抽象化識別子“Ａｄｍｉｎ２”のように、複数のノードをそれぞれ識別可能な形式で抽象化するものを記憶してもよい。

　また、抽象化ルールＤＢ４２０には、例えば、通信ソケットのノードに含まれるＩＰアドレスに基づいて、ＩＰアドレスを示す固有識別子“８．８．８．８”を“Ｇｌｏｂａｌ　ＩＰ”（又は“Ｌｏｃａｌ　ＩＰ”）等のように、抽象化する抽象化ルールが記憶されている。ここで、グラフ構造データに、ノードの種別が通信ソケットであり、ＩＰアドレスを示す固有識別子“８．８．８．８”を持つノードが含まれていると仮定する。抽象化処理部４１１は、抽象化ルールに基づいて、ＩＰアドレスを示す固有識別子“８．８．８．８”を“Ｇｌｏｂａｌ　ＩＰ”（又は“Ｌｏｃａｌ　ＩＰ”）等のように抽象化することができる。なお、抽象化ルールとして、グラフ構造データに、ＩＰアドレスを示す固有識別子を持つノードが複数含まれている場合、抽象化ルールに基づいて、それぞれのノードの固有識別子のＩＰアドレスを、例えば、“Ｌｏｃａｌ　ＩＰ　１”、“Ｌｏｃａｌ　ＩＰ　２”のように、複数のノードをそれぞれ識別可能な形式で抽象化するものを記憶してもよい。

　また、抽象化ルールＤＢ４２０には、例えば、通信ソケットのノードに含まれるポート番号を、任意のポート番号を示す“＊＊＊＊”等のように抽象化する抽象化ルールが記憶されている。ここで、グラフ構造データに、ノードの種別が通信ソケットであり、ポート番号“６４７Ｘ”を持つノードが含まれていると仮定する。抽象化処理部４１１は、通信ソケットのノードに含まれるポート番号“６４７Ｘ”を、任意のポート番号を示す“＊＊＊＊”等のように抽象化する。なお、抽象化ルールとして、ＴＣＰやＵＤＰのポート番号のうち、著名なサービスやプロトコルが利用するために予約されている０番から１０２３番のポート（いわゆるｗｅｌｌ－ｋｎｏｗｎ－ｐｏｒｔ）については、具体的な数値を残すものを記憶してもよい。

　このように、抽象化処理部４１１は、種別が同じノードが複数含まれるような場合に、複数のノードをそれぞれ識別可能な形式で抽象化処理を行う。

＜４．４．分析処理の流れ＞
　続いて、図１４を参照して、分析システム２０００における分析処理の流れについて説明する。図１４は、分析システム２０００における分析処理の流れを示すシーケンス図である。

　本実施形態において、オントロジーは、分析条件生成装置１を操作するオペレータにより構築される。分析条件生成装置１を操作するオペレータは、例えば、分析対象システム（例えば、認証システム３Ａ）におけるデータの流れを示すデータフローグラフに基づいて、分析条件を生成する際に用いるオントロジーを構築する。なお、オントロジーを構築する際に、分析条件生成装置１を操作するオペレータは、脆弱性情報を参照してオントロジーを構築するようにしてもよい。

　まず、ステップＳ３１において、構造情報抽出部１１１は、記憶部１２０に記憶されているオントロジー（図５Ｂ参照）及び自然文（図７Ａ参照）を取得する。続いて、ステップＳ３２において、構造情報抽出部１１１は、ステップＳ３１で取得したオントロジーと自然文とに基づいて構造化処理を行う。具体的に、構造情報抽出部１１１は、構造化処理において、自然文から、オントロジーに定義されている概念間の関係に当てはまるグラフ構造データ（図７Ｂ参照）を抽出する。

　続いて、構造情報抽出部１１１は、ステップＳ３３において、ステップＳ３２で自然文から抽出したグラフ構造データを分析処理装置４に出力する。

　ステップＳ３４において、抽象化処理部４１１は、分析条件生成装置１から受信したグラフ構造データを抽象化する。具体的に、抽象化処理部４１１は、抽象化ルールＤＢに記憶されている抽象化ルールに従って、グラフ構造データに含まれるノード及びエッジに関する固有識別子を、抽象化識別子に変換する（図８参照）。ステップＳ３４において、抽象化処理部４１１は、ノードの種別がプロセス、データストア、及び通信ソケット以外の要素のいずれかであることを識別でき、かつ、ノード及びエッジが固有表現を含まない程度に、グラフ構造データに含まれるノード及びエッジの概念を抽象化する。

　このように、抽象化処理部１１２によって抽象化されたグラフ構造データは、ステップＳ３１で分析条件生成装置１に入力されたオントロジーよりは抽象化されていないグラフ構造データであり、かつステップＳ３２で構造情報抽出部１１１によって抽出されたグラフ構造データよりは抽象化されたグラフ構造データに相当する。

　ステップＳ３５において、グラフ分析エンジン４１０は、グラフ構造データに対して後処理を行う。本実施形態において、グラフ分析エンジン４１０は、例えば、分析処理装置４のオペレータにより予め設定されたルールに従って、抽象化されたグラフ構造データを編集する処理や、分析対象システムにおいてセキュリティリスク分析を行うに際し、意味を成さないグラフ構造データを、セキュリティリスク分析に用いるグラフ構造データとは区別して管理する処理を後処理として行う。なお、ステップＳ３５は省略することもできる。

　例えば、グラフ分析エンジン４１０は、分析条件としてＤＯＴ言語やノードとエッジとから成るＪＳＯＮ等の形式によってグラフ構造データを用いることができるように、ステップＳ３４において抽象化されたグラフ構造データに対して後処理を行ってもよい。また、グラフ分析エンジン４１０は、分析条件の出力形式をグラフ検索言語としてもよい。この場合、グラフ分析エンジン４１０は、ステップＳ３４において抽象化されたグラフ構造データを、ｃｙｐｈｅｒやｇｒｅｍｌｉｎ等の検索言語で表現する後処理を行う。ｃｙｐｈｅｒやｇｒｅｍｌｉｎ等の検索言語はテキスト形式であるため、分析処理装置４のオペレータがエディタを用いて編集することができる。また、ｃｙｐｈｅｒやｇｒｅｍｌｉｎ等の検索言語によって表現されたデータをグラフとして可視化するエディタを作成し、分析処理装置４のオペレータがより直感的に編集修正するようにしてもよい。

　ステップＳ３６において、分析処理部４１２は、データフローグラフに分析条件に合致するグラフ構造が含まれているか否かを判定する。ステップＳ３６において、分析処理部４１２が行う工程は、図９のフローチャートのステップＳ２２からステップＳ２４に相当する。

　ステップＳ３６において分析処理部４１２がセキュリティリスクを分析するデータフローグラフは、分析処理装置４が分析対象のシステムの履歴情報を取得して生成してもよい。また、これ以外に、分析処理装置４に接続されている不図示の情報処理装置に分析対象のシステムの履歴情報を入力してデータフローグラフを作成させ、分析処理装置４に送信するようにしてもよい。

　ステップＳ３７において、分析処理部４１２は、ステップＳ３６の分析結果を出力し、本処理を終了する。なお、分析処理部４１２は、ステップＳ３７で出力した分析結果を表示部１８に表示させてもよい。

　したがって、分析処理装置４において、脆弱性情報から抽出された要素が抽象化された分析条件を用いてセキュリティリスクを分析することが可能となる。ゆえに、脆弱性情報においてセキュリティリスクがあると定義されている情報を示すグラフ構造データの変異データ（バリアントデータ）が分析対象システムのデータフローグラフに含まれる場合、分析対象システムのデータフローグラフに含まれる変異データに関してセキュリティリスクがあるという分析結果を得ることが可能となる。

　また、本実施形態では、分析条件生成装置１と分析処理装置４とにおいて、セキュリティリスクの分析に用いる分析条件を生成する処理を分散して行うことができる。このようにすることにより、自然言語処理による分析条件生成装置１への処理負荷の増大を抑制することが可能となる。

＜５．第３の実施形態＞
　次いで、図１５を参照して、本発明の第３の実施形態を説明する。上述した第１の実施形態は具体的な実施形態であるが、第３の実施形態はより一般化された実施形態である。以下の第３の実施形態によれば、第１の実施形態と同様の技術的効果が奏される。

　図１５は、本発明の第３の実施形態に係る分析条件生成装置１Ａの概略的な構成を例示するブロック図である。図１５に示すように、分析条件生成装置１Ａは、分析条件生成部１１０Ａを備える。

　分析条件生成部１１０Ａは、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文からノードとエッジとの関係性を示すグラフ構造データを生成し、グラフ構造データに基づいて分析対象システムのセキュリティリスクを分析するための分析条件を生成する。

　－第１の実施形態との関係
　一例として、第３の実施形態に係る分析条件生成装置１Ａが、第１の実施形態に係る分析条件生成装置１の動作を実行してもよい。以上の場合、第１の実施形態についての説明が第３の実施形態にも適用可能である。なお、第３の実施形態は以上の例に限定されるものではない。

＜６．第４の実施形態＞
　次いで、図１６を参照して、本発明の第４の実施形態を説明する。上述した第２の実施形態は具体的な実施形態であるが、第４の実施形態はより一般化された実施形態である。以下の第４の実施形態によれば、第２の実施形態と同様の技術的効果が奏される。

　図１６は、本発明の第４の実施形態に係る分析システム２０００Ａの概略的な構成を例示するブロック図である。図１６に示すように、分析システム２０００Ａは、構造情報抽出部１１１Ａと、抽象化処理部４１１Ａと、分析処理部４１２Ａとを備える。

　構造情報抽出部１１１Ａは、分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文からノードとエッジとの関係性を示すグラフ構造データを抽出する。

　抽象化処理部４１１Ａは、抽象化ルールに基づいて、グラフ構造データに含まれるノード及びエッジに関する固有識別子を抽象化識別子に変換する。

　分析処理部４１２Ａは、固有識別子が抽象化識別子に変換されたグラフ構造データから生成された分析条件に基づいて、分析対象システムにおけるセキュリティリスクを分析する。

　－第２の実施形態との関係
　一例として、第４の実施形態に係る分析システム２０００Ａが、第２の実施形態に係る分析システム２０００の動作を実行してもよい。以上の場合、第２の実施形態についての説明が第４の実施形態にも適用可能である。なお、第４の実施形態は以上の例に限定されるものではない。

＜７．その他の実施形態＞
　以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

　例えば、本明細書に記載されている処理におけるステップは、必ずしもフローチャートやシーケンス図に記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、フローチャートやシーケンス図として記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。

　また、本明細書において説明した分析条件生成装置１の構成要素（例えば、分析条件生成部１１０に含まれる各部に相当する要素）を備える装置が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体（Non-transitory　computer　readable　medium）が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。

　上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。

（付記１）
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成し、前記グラフ構造データに基づいて前記分析対象システムのセキュリティリスクを分析するための分析条件を生成する分析条件生成部を備える、
　分析条件生成装置。

（付記２）
　前記オントロジーは、
　前記ノードの種別及び前記エッジの種別を示す抽象化識別子を有し、
　前記ノードの種別は、前記データフローグラフに関するプロセスと、データストアと、通信ソケットと、前記プロセス、前記データストア及び前記通信ソケット以外の外部アクターと、を含む、
　付記１に記載の分析条件生成装置。

（付記３）
　前記分析条件生成部は、
　前記オントロジーに基づいて前記自然文から前記グラフ構造データを抽出する構造情報抽出部と、
　前記オントロジーに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を前記抽象化識別子に変換する抽象化処理部と、を備える、
　付記２に記載の分析条件生成装置。

（付記４）
　前記ノードのうち、前記プロセスを示すノードは、前記プロセスの実行権限を示す属性を有し、
　前記ノードのうち、前記データストアを示すノードは、前記データストアのアクセス権限を示す属性を有する、
　付記２又は３に記載の分析条件生成装置。

（付記５）
　前記自然文を更新する更新部を備える、
　付記１から４のいずれか１項に記載の分析条件生成装置。

（付記６）
　前記分析条件生成部は、
　前記自然文に対して前記オントロジーを用いた自然言語処理を行うことにより、前記グラフ構造データを生成する、
　付記１から５のいずれか１項に記載の分析条件生成装置。

（付記７）
　前記自然文は、前記分析対象システムに関するセキュリティリスクを示す文字情報である、
　付記１から６のいずれか１項に記載の分析条件生成装置。

（付記８）
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを抽出する構造情報抽出部と、
　抽象化ルールに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を抽象化識別子に変換する抽象化処理部と、
　前記固有識別子が前記抽象化識別子に変換された前記グラフ構造データから生成された分析条件に基づいて、前記分析対象システムにおけるセキュリティリスクを分析する分析処理部と、を備える、
　分析システム。

（付記９）
　前記抽象化識別子は、
　前記ノードの種別及び前記エッジの種別を示す識別子であり、
　前記ノードの種別は、
　前記データフローグラフに関するプロセスと、データストアと、通信ソケットと、前記プロセス、前記データストア及び前記通信ソケット以外の外部アクターと、を含み、
　前記抽象化ルールは、
　前記固有識別子を、前記ノードの種別及び前記エッジの種別に応じた前記抽象化識別子に変換するための情報である、
　付記８に記載の分析システム。

（付記１０）
　前記ノードのうち、前記プロセスを示すノードは、前記プロセスの実行権限を示す属性を有し、
　前記ノードのうち、前記データストアを示すノードは、前記データストアのアクセス権限を示す属性を有する、
　付記９に記載の分析システム。

（付記１１）
　前記構造情報抽出部を有する第１装置と、
　前記抽象化処理部と前記分析処理部とを有し、前記第１装置とは異なる第２装置とを備える、
　付記８から１０のいずれか１項に記載の分析システム。

（付記１２）
　前記第１装置は、
　前記自然文を更新する更新部を有する、
　付記１１に記載の分析システム。

（付記１３）
　前記構造情報抽出部は、前記自然文に対して前記オントロジーを用いた自然言語処理を行うことにより、前記グラフ構造データを生成する、
　付記８から１２のいずれか１項に記載の分析システム。

（付記１４）
　前記自然文は、前記分析対象システムに関するセキュリティリスクを示す文字情報である、
　付記８から１３のいずれか１項に記載の分析システム。

（付記１５）
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成し、前記グラフ構造データに基づいて前記分析対象システムのセキュリティリスクを分析するための分析条件を生成することをプロセッサに実行させる、
　分析条件生成プログラム。

（付記１６）
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを抽出することと、
　抽象化ルールに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を抽象化識別子に変換することと、
　前記固有識別子が前記抽象化識別子に変換された前記グラフ構造データから生成された分析条件に基づいて、前記分析対象システムにおけるセキュリティリスクを分析することと、をプロセッサに実行させる、
　分析プログラム。

（付記１７）
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成し、前記グラフ構造データに基づいて前記分析対象システムのセキュリティリスクを分析するための分析条件を生成することを備える、
　分析条件生成方法。

（付記１８）
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを抽出することと、
　抽象化ルールに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を抽象化識別子に変換することと、
　前記固有識別子が前記抽象化識別子に変換された前記グラフ構造データから生成された分析条件に基づいて、前記分析対象システムにおけるセキュリティリスクを分析することと、を備える、
　分析方法。

　分析対象のシステムのデータの流れにおけるセキュリティリスクの分析条件を自動的に生成する。

１、１Ａ　分析条件生成装置
２　分析装置
３Ａ　認証システム
４　分析処理装置
１１０、１１０Ａ　分析条件生成部
１１１、１１１Ａ　構造情報抽出部
１１２　抽象化処理部
１３０　更新部
２１０　履歴情報収集部
２２０　生成部
２３０　分析部
４１１、４１１Ａ　抽象化処理部
４１２、４１２Ａ　分析処理部
４２０　抽象化ルールＤＢ
１０００、２０００、２０００Ａ　分析システム

Claims

　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成し、前記グラフ構造データに基づいて前記分析対象システムのセキュリティリスクを分析するための分析条件を生成する分析条件生成部を備える、
　分析条件生成装置。
　前記オントロジーは、
　前記ノードの種別及び前記エッジの種別を示す抽象化識別子を有し、
　前記ノードの種別は、前記データフローグラフに関するプロセスと、データストアと、通信ソケットと、前記プロセス、前記データストア及び前記通信ソケット以外の外部アクターと、を含む、
　請求項１に記載の分析条件生成装置。
　前記分析条件生成部は、
　前記オントロジーに基づいて前記自然文から前記グラフ構造データを抽出する構造情報抽出部と、
　前記オントロジーに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を前記抽象化識別子に変換する抽象化処理部と、を備える、
　請求項２に記載の分析条件生成装置。
　前記ノードのうち、前記プロセスを示すノードは、前記プロセスの実行権限を示す属性を有し、
　前記ノードのうち、前記データストアを示すノードは、前記データストアのアクセス権限を示す属性を有する、
　請求項２又は３に記載の分析条件生成装置。
　前記自然文を更新する更新部を備える、
　請求項１から４のいずれか１項に記載の分析条件生成装置。
　前記分析条件生成部は、
　前記自然文に対して前記オントロジーを用いた自然言語処理を行うことにより、前記グラフ構造データを生成する、
　請求項１から５のいずれか１項に記載の分析条件生成装置。
　前記自然文は、前記分析対象システムに関するセキュリティリスクを示す文字情報である、
　請求項１から６のいずれか１項に記載の分析条件生成装置。
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを抽出する構造情報抽出部と、
　抽象化ルールに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を抽象化識別子に変換する抽象化処理部と、
　前記固有識別子が前記抽象化識別子に変換された前記グラフ構造データから生成された分析条件に基づいて、前記分析対象システムにおけるセキュリティリスクを分析する分析処理部と、を備える、
　分析システム。
　前記抽象化識別子は、
　前記ノードの種別及び前記エッジの種別を示す識別子であり、
　前記ノードの種別は、
　前記データフローグラフに関するプロセスと、データストアと、通信ソケットと、前記プロセス、前記データストア及び前記通信ソケット以外の外部アクターと、を含み、
　前記抽象化ルールは、
　前記固有識別子を、前記ノードの種別及び前記エッジの種別に応じた前記抽象化識別子に変換するための情報である、
　請求項８に記載の分析システム。
　前記ノードのうち、前記プロセスを示すノードは、前記プロセスの実行権限を示す属性を有し、
　前記ノードのうち、前記データストアを示すノードは、前記データストアのアクセス権限を示す属性を有する、
　請求項９に記載の分析システム。
　前記構造情報抽出部を有する第１装置と、
　前記抽象化処理部と前記分析処理部とを有し、前記第１装置とは異なる第２装置とを備える、
　請求項８から１０のいずれか１項に記載の分析システム。
　前記第１装置は、
　前記自然文を更新する更新部を有する、
　請求項１１に記載の分析システム。
　前記構造情報抽出部は、前記自然文に対して前記オントロジーを用いた自然言語処理を行うことにより、前記グラフ構造データを抽出する、
　請求項８から１２のいずれか１項に記載の分析システム。
　前記自然文は、前記分析対象システムに関するセキュリティリスクを示す文字情報である、
　請求項８から１３のいずれか１項に記載の分析システム。
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成し、前記グラフ構造データに基づいて前記分析対象システムのセキュリティリスクを分析するための分析条件を生成することをプロセッサに実行させる、
　分析条件生成プログラム。
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを抽出することと、
　抽象化ルールに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を抽象化識別子に変換することと、
　前記固有識別子が前記抽象化識別子に変換された前記グラフ構造データから生成された分析条件に基づいて、前記分析対象システムにおけるセキュリティリスクを分析することと、をプロセッサに実行させる、
　分析プログラム。
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを生成し、前記グラフ構造データに基づいて前記分析対象システムのセキュリティリスクを分析するための分析条件を生成することを備える、
　分析条件生成方法。
　分析対象システムにおけるデータの流れを示すデータフローグラフに関する１つ以上のノードと、前記ノードに関連するイベントを示す１つ以上のエッジとの関係性が記述されたオントロジーを用いて、自然文から前記ノードと前記エッジとの関係性を示すグラフ構造データを抽出することと、
　抽象化ルールに基づいて、前記グラフ構造データに含まれる前記ノード及び前記エッジに関する固有識別子を抽象化識別子に変換することと、
　前記固有識別子が前記抽象化識別子に変換された前記グラフ構造データから生成された分析条件に基づいて、前記分析対象システムにおけるセキュリティリスクを分析することと、を備える、
　分析方法。