WO2022201307A1

WO2022201307A1 - 情報分析装置、情報分析方法、及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2022201307A1
Application number: PCT/JP2021/011985
Authority: WO
Inventors: 将川北
Original assignee: 日本電気株式会社
Priority date: 2021-03-23
Filing date: 2021-03-23
Publication date: 2022-09-29
Also published as: JPWO2022201307A1

Abstract

情報分析装置（１０）は、サイバー攻撃に関する専門的な情報を蓄積しているデータベース（３０）から、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、専門的な情報を抽出する、専門情報抽出部（１１）と、被害情報と抽出された専門的な情報との類似度を算出する、類似度算出部（１２）と、算出された類似度に基づいて、被害情報に対応する専門的な情報を特定し、被害情報を含むニュース記事に対して、特定した専門的な情報を補完する、情報補完部（１３）と、を備えている。

Description

情報分析装置、情報分析方法、及びコンピュータ読み取り可能な記録媒体

　本発明は、サイバー攻撃に関する情報の分析を行うための、情報分析装置、及び情報分析方法に関し、更には、これらを実現するためのプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。

　近年、官公庁、企業等においては、システムがサイバー攻撃の対象となることが多く、システムのセキュリティを確保することが極めて重要となっている。このため、システムの運用においては、システムの脆弱性の情報、更には、攻撃の手口に関する情報といった、サイバー攻撃に関する情報を収集し、これらを用いて、必要な対策を施す必要がある。また、セキュリティの確保を図るための対策を施すためには、システムへの投資が伴うことから、サイバー攻撃に関する情報の収集は経営判断においても必要となる。

　このため、最新のニュース記事から、被害組織、業種、時期、被害内容といった、サイバー攻撃に関する情報を収集することが行われている。特許文献１は、最新のニュース記事から特定の情報を抽出するシステムを開示している。特許文献１に開示されたシステムは、最新のニュース記事から抽出した特徴語と、既存の過去のニュース記事から抽出した特徴語と、の類似度を算出し、前者の特徴語のうち類似度が上位の特徴語にタグを付与する。特許文献１に開示されたシステムによれば、サイバー攻撃に関する特徴語にタグが付与され、サイバー攻撃に関する情報の収集が可能となる。

　また、非特許文献１は、セキュリティレポートから、サイバー攻撃に関する情報（イベント情報）を抽出するための、技術を開示している。ここで、セキュリティレポートは、主に、セキュリティ対策に関するソフトウェアの開発及び関連サービスを提供するセキュリティベンダーによって提供されているレポートである。セキュリティレポートは、一般的な自然言語で記述されたニュースとは異なり、攻撃に用いられたソフトの名称、共通脆弱性識別子（ＣＶＥ）のＩＤ、攻撃の手口等のといったサイバー攻撃に関する専門的な情報を、構造化された状態で提供することができる。

特開２０１０－２２４６２２号公報

中川舜太、永井達也、金原秀明、古本啓祐、瀧田愼、白石善明、高橋健志、毛利公美、高野泰洋、森井昌克、「脅威情報のモデル化のためのセキュリティレポートからのイベント情報の抽出」、信学技報, vol. 118, no. 486, ICSS2018-78, pp. 89-94, 2019年3月

　しかしながら、特許文献１に開示されたシステムでは、サイバー攻撃の手口、サイバー攻撃を行ったサーバのＩＰアドレス、マルウェアの名前、脆弱性を特定する情報、といったサイバー攻撃についての専門的な情報を提供することは不可能である。このため、特許文献１に開示されたシステムから提供される情報だけでは、サイバー攻撃に対して必要な施策をとることは困難である。

　一方、非特許文献１に開示された技術では、被害者及び被害額といったサイバー攻撃における特徴的な情報を取得することが不可能である。このため、非特許文献１に開示された技術によって得られる情報だけでは、上述の経営判断を行うことが困難である。

　本発明の目的の一例は、サイバー攻撃に関するニュース記事に対して、不足している情報を補完し得る、情報分析装置、情報分析方法、及びコンピュータ読み取り可能な記録媒体を提供することにある。

　上記目的を達成するため、本発明の一側面における情報分析装置は、
　サイバー攻撃に関する専門的な情報を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、前記専門的な情報を抽出する、専門情報抽出部と、
　前記被害情報と抽出された前記専門的な情報との類似度を算出する、類似度算出部と、
　算出された前記類似度に基づいて、前記被害情報に対応する前記専門的な情報を特定し、前記被害情報を含む前記ニュース記事に対して、特定した前記専門的な情報を補完する、情報補完部と、
を備えている、
ことを特徴とする。

　また、上記目的を達成するため、本発明の一側面における情報分析方法は、
　サイバー攻撃に関する専門的な情報を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、前記専門的な情報を抽出する、専門情報抽出ステップと、
　前記被害情報と抽出された前記専門的な情報との類似度を算出する、類似度算出ステップと、
　算出された前記類似度に基づいて、前記被害情報に対応する前記専門的な情報を特定し、前記被害情報を含む前記ニュース記事に対して、特定した前記専門的な情報を補完する、情報補完ステップと、
を有する、
ことを特徴とする。

　更に、上記目的を達成するため、本発明の一側面におけるコンピュータ読み取り可能な記録媒体は、
コンピュータに、
　サイバー攻撃に関する専門的な情報を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、前記専門的な情報を抽出する、専門情報抽出ステップと、
　前記被害情報と抽出された前記専門的な情報との類似度を算出する、類似度算出ステップと、
　算出された前記類似度に基づいて、前記被害情報に対応する前記専門的な情報を特定し、前記被害情報を含む前記ニュース記事に対して、特定した前記専門的な情報を補完する、情報補完ステップと、
を実行させる命令を含む、プログラムを記録していることを特徴とする。

　以上のように本発明によれば、サイバー攻撃に関するニュース記事に対して、不足している情報を補完することができる。

図１は、実施の形態における情報分析装置の概略構成を示す構成図である。図２は、実施の形態における情報分析装置の構成を具体的に示す構成図である。図３は、実施の形態における被害情報及び専門情報の抽出処理と類似度算出のための前処理とを説明する図である。図４は、実施の形態における類似度算出処理を説明する図である。図５は、実施の形態における情報分析装置の動作を示すフロー図である。図６は、実施の形態において専門情報が補完されたニュース記事の一例を示す図である。図７は、実施の形態における情報分析装置の変形例１の構成を示す構成図である。図８は、実施の形態における情報分析装置の変形例２の構成を示す構成図である。図９は、実施の形態における情報分析装置を実現するコンピュータの一例を示すブロック図である。

（実施の形態）
　以下、実施の形態における、情報分析装置、情報分析方法、及びプログラムについて、図１～図９を参照しながら説明する。

［装置構成］
　最初に、実施の形態における情報分析装置の概略構成について図１を用いて説明する。図１は、実施の形態における情報分析装置の概略構成を示す構成図である。

　図１に示す実施の形態における情報分析装置１０は、サイバー攻撃に関する情報の分析を行う装置である。図１に示すように、情報分析装置１０は、専門情報抽出部１１と、類似度算出部１２と、情報補完部１３とを備えている。

　専門情報抽出部１１は、サイバー攻撃に関する専門的な情報（以下「専門情報」と表記する。）を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、専門情報を抽出する。

　類似度算出部１２は、被害情報と抽出された専門情報との類似度を算出する。情報補完部１３は、算出された類似度に基づいて、被害情報に対応する専門情報を特定し、被害情報を含むニュース記事に対して、特定した専門情報を補完する。

　このように、実施の形態では、ニュース記事に対して、類似する専門情報が補完される。つまり、実施の形態では、サイバー攻撃に関するニュース記事に対して、不足している情報が補完される。

　続いて、図２～図４を用いて、実施の形態における情報分析装置１０の構成及び機能について具体的に説明する。図２は、実施の形態における情報分析装置の構成を具体的に示す構成図である。図３は、実施の形態における被害情報及び専門情報の抽出処理と類似度算出のための前処理とを説明する図である。図４は、実施の形態における類似度算出処理を説明する図である。

　図２に示すように、実施の形態において、情報分析装置１０は、インターネット等のネットワーク４０を介して、ニュースデータベース２０と、専門情報データベース３０とに、データ通信可能に接続される。

　ニュースデータベース２０は、インターネット上で提供されるニュース記事を蓄積しているデータベースである。蓄積されているニュース記事は、Ｗｅｂサーバによって読み出され、Ｗｅｂサイト上に提示される。なお、図２の例では、単一のニュースデータベース２０のみが示されているが、実際には、多数のニュースデータベース２０が存在している。

　専門情報データベース３０は、上述した、専門情報を蓄積しているデータベースである。専門情報は、実施の形態では、例えば、サイバー攻撃の痕跡情報（ＩＯＣ：Indicator of Compromise）である。ＩＯＣは、サイバー攻撃を受けたシステムの脆弱性に関する情報（共通脆弱性識別子：ＣＶＥ）、サイバー攻撃で用いられたソフトウェアの名称、サイバー攻撃の手口等を含む。

　ＩＯＣは、公的機関、ベンダー等から提供されていても良いし、上述したセキュリティレポートから既存のツール（例えば、Threat Report ATT&CK Mapper：TRAM）によって生成されていても良いし、更には、人手によって記述されていても良い。更に、ＩＯＣは、ＳＴＩＸ（脅威情報構造化：Structured Threat Information eXpression）形式で表現されていても良いし、攻撃手口（TTPs：Tactics, Techniques and Procedures）として、MITRE ATT&CK Technique IDを含んでいても良い（参照：https://www.ipa.go.jp/security/vuln/STIX.html）。

　ＳＴＩＸ形式では、専門情報は、サイバー攻撃活動(Campaigns)、攻撃者(Threat_Actors)、攻撃手口(TTPs)、検知指標(Indicators)、観測事象(Observables)、インシデント(Incidents)、対処措置(Courses_Of_Action)、攻撃対象(Exploit_Targets)の８つの情報群で表現されている。これらの情報群は、相互に関連付けられて、脅威情報を表現している。

　また、図２に示すように、情報分析装置１０は、上述した専門情報抽出部１１、類似度算出部１２、及び情報補完部１３に加えて、被害情報抽出部１４と、検索処理部１５と、情報格納部１６とを備えている。

　被害情報抽出部１４は、ニュースデータベース２０にアクセスして、蓄積されているニュース記事を取得し、取得したニュース記事からサイバー攻撃の被害に関する被害情報を抽出する。

　実施の形態において、被害情報は、サイバー攻撃活動（Campaigns）に関する情報である、被害の発生時期T、被害を受けた組織O、及び被害の内容D1を少なくとも含む。また、被害情報は、ＳＴＩＸ形式に対応して、攻撃者（Threat Actors）、攻撃手口（TTPs）、検知指標（Indicators）、観測事象（observables）、インシデント（Incidents）、対処措置（Courses Of Action）、攻撃対象（Exploit Targets）、それぞれに関する情報を含んでいても良い。

　具体的には、図３に示すように、被害情報抽出部１４は、ニュース記事から、抽出対象となる被害情報に該当する単語または文節を登録している辞書を用いて、被害情報として、被害の発生時期T、被害を受けた組織O、及び被害の内容D１等を表す単語又は文節を抽出する。

　また、被害情報抽出部１４は、機械学習モデルを用いて、ニュース記事から、被害情報として、被害の発生時期T、被害を受けた組織O、及び被害の内容D１等を表す単語又は文節を抽出することもできる。この場合、機械学習モデルは、予め作成された訓練データとして、単語又は文節に対して抽出対象になるかどうかを示すラベルが付与された文書を用いて機械学習することで、構築される。

　更に、被害情報抽出部１４は、実施の形態では、情報分析の対象となるコンピュータシステムに存在する脆弱性の診断の結果に基づいて、診断の結果に示された脆弱性によって引き起こされる被害の内容を特定することができる。この場合、被害情報抽出部１４は、ニュース記事から、特定した被害の内容を含む被害情報を抽出する。脆弱性によって引き起こされる被害の内容の特定は、予め設定されたルールを用いることによって行うことができる。

　専門情報抽出部１１は、実施の形態では、まず、専門情報データベース３０にアクセスして、蓄積されている専門情報を取得する。そして、専門情報抽出部１１は、取得した専門情報に含まれる被害の発生時期と、先に抽出された被害情報に含まれる被害の発生時期Tと、の差分を求め、求めた差分が設定範囲内（例えば２日以内等）にある専門情報を抽出する。

　例えば、専門情報データベース３０が、専門情報として、ＳＴＩＸ形式で生成されたＩＯＣを格納しているとする。この場合、図３に示すように、専門情報抽出部１１は、ＳＴＩＸ形式に沿って、被害情報に関連する情報群を抽出する。

　類似度算出部１２は、実施の形態では、例えば、被害情報に含まれる単語と、被害情報に対応する専門情報に含まれる単語とを用いて、類似度として、コサイン類似度を算出する。また、被害情報及び専門情報の少なくとも一方が複数ある場合は、類似度算出部１２は、想定される被害情報と専門情報との組合せを設定し、組合せ毎に類似度を算出する。

　具体的には、図３に示すように、類似度算出部１２は、まず、被害情報に含まれる単語と、抽出された専門情報に含まれる単語とを特定し、特定された単語の中で重複する単語は１つに統合して、単語毎にＩＤ（Identifier）番号を設定する。次に、類似度算出部１２は、被害情報、専門情報それぞれおいて、ＩＤが設定された単語毎に、下記の数１～数３を用いて、当該単語の重要度を示すｔｆ－ｉｄｆを算出する。

　続いて、類似度算出部１２は、被害情報及び専門情報それぞれにおいて、ＩＤが設定された単語の数を次元数（図３の例では１２）とし、算出された各単語のｔｆ－ｉｄｆを要素とするベクトルを生成する。図３の例では、被害情報が２つ、専門情報が１つであるので、被害情報のベクトルＶ１が２つ、専門情報のベクトルＶ２が１つ、合計３つのベクトルが生成されている。

　そして、類似度算出部１２は、予め設定されている単語毎の重みから重みｗ_ｉを求め、図４に示すように、被害情報のベクトルＶ１と専門情報のベクトルＶ２とに重みｗを適用して、両者の類似度を算出する。具体的には、類似度の算出は、下記の数４によって行われる。数４において、類似度はsimilarity(a,b,w)と表されている。また、数４において、ａ、ｂは、類似度の算出対象となる文書のベクトルの要素を示し、ｗ_ｉは単語毎の重みを示している。また、図４においては、ベクトルＶ１として２つのベクトルが生成されているので、類似度として２つの値が算出されている。

　また、実施の形態では、図２に示すように、単語毎の重みｗ_ｉは、重み情報１７として、情報格納部１６に格納されている。各重みｗ_ｉとしては、予め人手によって設定された値が用いられていても良いが、ニューラルネットワークの出力値が用いられていても良い。この場合、ニューラルネットワークの機械学習は、訓練データとなる２つの文書のベクトルを入力し、そのときの出力値が適正な重みｗとなるように、ニューラルネットワークのパラメータを更新することによって行われる。

　また、類似度算出部１２は、被害情報に含まれる単語と、被害情報に対応する専門情報に含まれる単語とを、サイバー攻撃の被害を示す単語と専門情報に含まれる単語との類似関係を機械学習した学習モデルに入力し、学習モデルからの出力結果に基づいて、類似度を算出することもできる。この場合の学習モデルは、サイバー攻撃の被害を示す単語群と専門情報に含まれる単語群との組合せに、正解データとなる類似度が付与された訓練データを用いて、機械学習することによって構築される。

　情報補完部１３は、実施の形態では、被害情報毎に、類似度が最大となる専門情報を特定し、特定した専門情報を、被害情報を含む（被害情報の抽出元の）ニュース記事に補完する。具体的には、情報補完部１３は、特定した専門情報と、被害情報とを対比して、特定した専門情報の中から、被害情報において不足している情報を更に特定する。例えば、不足している情報が、サイバー攻撃を受けたシステムの脆弱性に関する情報であるＣＶＥのＩＤである場合は、情報補完部１３は、ニュース記事にＣＶＥのＩＤを補完する。

　また、情報補完部１３は、専門情報を補完したニュース記事を、補完済ニュース情報１８として、情報格納部１６に格納する。

　検索処理部１５は、キーボード等の入力装置、又は外部の端末装置を介して入力された、検索クエリを受け付け、受け付けた検索クエリに基づいて、情報格納部１６に格納されている補完済ニュース情報１８の検索を実行する。

　具体的には、検索処理部１５は、情報格納部１６に格納されている補完済ニュース情報の中から、検索クエリと一致又は類似する被害情報を含む、ニュース記事を特定する。その後、検索処理部１５は、検索の結果として、特定したニュース記事を、専門情報が補完された状態で、外部の表示装置の画面、端末装置の画面等に表示する。

［装置動作］
　次に、実施の形態における情報分析装置１０の動作について図５を用いて説明する。図５は、実施の形態における情報分析装置の動作を示すフロー図である。以下の説明においては、適宜図１～図４を参照する。また、実施の形態では、情報分析装置１０を動作させることによって、情報分析方法が実施される。よって、実施の形態における情報分析方法の説明は、以下の情報分析装置１０の動作説明に代える。

　図５に示すように、最初に、被害情報抽出部１４は、ニュースデータベース２０にアクセスして、蓄積されているニュース記事を取得し、取得したニュース記事からサイバー攻撃の被害に関する被害情報を抽出する（ステップＡ１）。

　次に、専門情報抽出部１１は、専門情報を蓄積している専門情報データベース３０から、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、専門情報を抽出する（ステップＡ２）。

　具体的には、ステップＡ２では、専門情報抽出部１１は、取得した専門情報に含まれる被害の発生時期と、先に抽出された被害情報に含まれる被害の発生時期Tと、の差分を求め、求めた差分が設定範囲内（例えば２日以内等）にある専門情報を抽出する。

　次に、類似度算出部１２は、まず、想定される被害情報と専門情報との組合せを設定する。そして、類似度算出部１２は、組合せ毎に、被害情報及び専門情報それぞれについて、各単語のｔｆ－ｉｄｆの算出を行ってベクトルを生成し、生成したベクトルと重み情報１７とを上記数４に適用して、両者の類似度を算出する（ステップＡ３）。

　次に、情報補完部１３は、被害情報毎に、類似度が最大となる専門情報を特定する（ステップＡ４）。

　次に、情報補完部１３は、ステップＡ４で特定した専門情報と、被害情報とを対比して、特定した専門情報の中から、被害情報において不足している情報を更に特定し、不足している情報を、被害情報の抽出元のニュース記事に補完する（ステップＡ５）。

　その後、情報補完部１３は、ステップＡ５で専門情報が補完されたニュース記事を、補完済ニュース情報１８として情報格納部１６に格納する（ステップＡ６）。

　ステップＡ６の終了後、検索処理部１５は、キーボード等の入力装置、又は外部の端末装置を介して、検索クエリが入力されると、それを受け付ける。そして、検索処理部１５は、情報格納部１６に格納されている補完済ニュース情報１８の中から、検索クエリと一致又は類似する被害情報を含む、ニュース記事を特定する。特定されたニュース記事には専門情報が補完されている。その後、検索処理部１５は、検索の結果として、専門情報が補完されているニュース記事を、外部の表示装置の画面、端末装置の画面等に表示する。

　ここで、図６を用いて、専門情報が補完されたニュース記事の具体例について説明する。図６は、実施の形態において専門情報が補完されたニュース記事の一例を示す図である。

　図６の例では、ニュース記事において枠線で囲まれた部分は、被害情報である。また、ニュース記事においては、被害情報には、対応する属性を示すラベルが付与されている。図６に示すニュース記事の下に示される専門情報が補完対象となる専門情報である。この専門情報のうち、脆弱性に関する情報である「ＣＶＥ」のＩＤだけが、被害情報において不足している。このため、図６の例では、情報補完部１３は、ニュース記事に対して、「ＣＶＥ－２０１２－０６１１」を補完する。

　以上のように、実施の形態では、サイバー攻撃に関するニュース記事に対して、不足している専門情報が補完される。このため、通常のニュース記事のみでは、サイバー攻撃についての専門情報が取得できないため、システムの管理者は、どういう流れでサイバー攻撃が発生したのかを把握することはできないが、実施の形態によれば、このような把握が可能となる。

［変形例１］
　続いて、図７を用いて、実施の形態における情報分析装置の変形例１について説明する。図７は、実施の形態における情報分析装置の変形例１の構成を示す構成図である。

　図７に示すように、変形例１における情報分析装置１０は、図２に示した例と異なり、専門情報抽出部１１、類似度算出部１２、情報補完部１３、被害情報抽出部１４、検索処理部１５、及び情報格納部１６に加えて、専門情報生成部１９を備えている。また、情報分析装置１０は、分析対象となるコンピュータシステム５０に、データ通信可能に接続されている。

　専門情報生成部１９は、コンピュータシステム５０で生成されたログ情報を取得し、取得したログ情報から専門情報を生成する。また、専門情報生成部１９は、生成した専門情報を専門情報データベース３０に新たに蓄積する。

　このように、変形例１では、コンピュータシステムで新たに発生した事象から、新たな専門情報を作成して、専門情報データベース３０に格納されている情報を更新することができる。このため、変形例１によれば、ニュース記事への補完をより適切に行うことができる。なお、新たに生成した専門情報は、専門情報データベース３０以外のデータベースであっても良い。

［変形例２］
　図８を用いて、実施の形態における情報分析装置１０の変形例２について説明する。図８は、実施の形態における情報分析装置の変形例２の構成を示す構成図である。

　図８に示すように、変形例２においては、図２に示した例と異なり、情報分析装置１０は、検索処理部を備えていない構成となっている。これ以外の点においては、情報分析装置１０は、図２に示した例と同様である。

　変形例２においては、情報分析装置１０は、検索者が使用する端末装置６０に、ネットワーク４０を介して接続されている。そして、端末装置６０は、図２に示した検索処理部１５と同様の検索処理部６１と、情報格納部６２とを備えている。

　そして、変形例２においては、情報分析装置１０は、ニュース記事への専門情報の補完が行われると、ネットワーク４０を介して、補完済ニュース記事１８を、端末装置６０に送信する。端末装置６０は補完済ニュース記事１８が送信されてくると、これらを、情報格納部６２に格納する。

　この構成により、検索者は、端末装置６０上で、検索クエリを入力することができる。この場合、検索処理部６１は、端末装置６０の情報格納部６２にアクセスし、情報格納部６２に格納されている補完済ニュース記事１８の中から、検索クエリと一致又は類似するニュース記事を特定する。その後、検索処理部６１は、特定したニュース記事を、端末装置６０の画面に表示する。

　変形例２によれば、情報分析装置１０自体に検索機能を備えさせる必要がなく、情報分析装置１０におけるコストの低減が図られる。また、検索クエリが端末装置６０から情報分析装置１０に送信されることがないため、変形例によれば、検索クエリが、情報分析装置１０の管理者に知られてしまう可能性が排除される

［プログラム］
　実施の形態におけるプログラムは、コンピュータに、図５に示すステップＡ１～Ａ６を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報分析装置１０と情報分析方法とを実現することができる。この場合、コンピュータのプロセッサは、専門情報抽出部１１、類似度算出部１２、情報補完部１３、及び被害情報抽出部１４として機能し、処理を行なう。コンピュータとしては、汎用のＰＣの他に、スマートフォン、タブレット型端末装置が挙げられる。

　また、実施の形態では、情報格納部１６は、コンピュータに備えられたハードディスク等の記憶装置に、これらを構成するデータファイルを格納することによって実現されていても良いし、別のコンピュータの記憶装置によって実現されていても良い。

　実施の形態におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、専門情報抽出部１１、類似度算出部１２、情報補完部１３、及び被害情報抽出部１４のいずれかとして機能しても良い。

［物理構成］
　ここで、実施の形態におけるプログラムを実行することによって、情報分析装置１０を実現するコンピュータについて図９を用いて説明する。図９は、実施の形態における情報分析装置を実現するコンピュータの一例を示すブロック図である。

　図９に示すように、コンピュータ１１０は、ＣＰＵ（Central Processing Unit）１１１と、メインメモリ１１２と、記憶装置１１３と、入力インターフェイス１１４と、表示コントローラ１１５と、データリーダ／ライタ１１６と、通信インターフェイス１１７とを備える。これらの各部は、バス１２１を介して、互いにデータ通信可能に接続される。

　また、コンピュータ１１０は、ＣＰＵ１１１に加えて、又はＣＰＵ１１１に代えて、ＧＰＵ（Graphics Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）を備えていても良い。この態様では、ＧＰＵ又はＦＰＧＡが、実施の形態におけるプログラムを実行することができる。

　ＣＰＵ１１１は、記憶装置１１３に格納された、コード群で構成された実施の形態におけるプログラムをメインメモリ１１２に展開し、各コードを所定順序で実行することにより、各種の演算を実施する。メインメモリ１１２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）等の揮発性の記憶装置である。

　また、実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１２０に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス１１７を介して接続されたインターネット上で流通するものであっても良い。

　また、記憶装置１１３の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス１１４は、ＣＰＵ１１１と、キーボード及びマウスといった入力機器１１８との間のデータ伝送を仲介する。表示コントローラ１１５は、ディスプレイ装置１１９と接続され、ディスプレイ装置１１９での表示を制御する。

　データリーダ／ライタ１１６は、ＣＰＵ１１１と記録媒体１２０との間のデータ伝送を仲介し、記録媒体１２０からのプログラムの読み出し、及びコンピュータ１１０における処理結果の記録媒体１２０への書き込みを実行する。通信インターフェイス１１７は、ＣＰＵ１１１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１２０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）等の汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）等の磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記録媒体が挙げられる。

　なお、実施の形態における情報分析装置１０は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、情報分析装置１０は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

　上述した実施の形態の一部又は全部は、以下に記載する（付記１）～（付記１８）によって表現することができるが、以下の記載に限定されるものではない。

（付記１）
　サイバー攻撃に関する専門的な情報を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、前記専門的な情報を抽出する、専門情報抽出部と、
　前記被害情報と抽出された前記専門的な情報との類似度を算出する、類似度算出部と、
　算出された前記類似度に基づいて、前記被害情報に対応する前記専門的な情報を特定し、前記被害情報を含む前記ニュース記事に対して、特定した前記専門的な情報を補完する、情報補完部と、
を備えている、
ことを特徴とする情報分析装置。

（付記２）
付記１に記載の情報分析装置であって、
　前記被害情報が、前記被害の発生時期、被害を受けた組織、及び被害の内容を少なくとも含み、
　前記専門情報抽出部が、前記専門的な情報に含まれる被害の発生時期と、前記被害情報に含まれる前記被害の発生時期と、の差分を求め、求めた差分が設定範囲内にある前記専門的な情報を抽出する、
ことを特徴とする情報分析装置。

（付記３）
　付記１または２に記載の情報分析装置であって、
　前記類似度算出部が、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを用いて、前記類似度として、コサイン類似度を算出する、
ことを特徴とする情報分析装置。

（付記４）
　付記１または２に記載の情報分析装置であって、
　前記類似度算出部が、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを、サイバー攻撃の被害を示す単語と専門的な情報に含まれる単語との類似関係を機械学習している学習モデルに入力し、前記学習モデルからの出力結果に基づいて、前記類似度を算出する、
ことを特徴とする情報分析装置。

（付記５）
付記１～４のいずれかに記載の情報分析装置であって、
　コンピュータシステムで生成されたログ情報から前記専門的な情報を生成し、生成した前記専門的な情報を前記データベースに蓄積する、専門情報生成部を、
更に備えている、
ことを特徴とする情報分析装置。

（付記６）
付記１～５のいずれかに記載の情報分析装置であって、
　ニュース記事からサイバー攻撃の被害に関する被害情報を抽出する、被害情報抽出部を更に備え、
　前記被害情報抽出部は、コンピュータシステムに存在する脆弱性の診断の結果に基づいて、診断の結果に示された脆弱性によって引き起こされる被害の内容を特定し、前記ニュース記事から、特定した前記被害の内容を含む前記被害情報を抽出する、
ことを特徴とする情報分析装置。

（付記７）
　サイバー攻撃に関する専門的な情報を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、前記専門的な情報を抽出する、専門情報抽出ステップと、
　前記被害情報と抽出された前記専門的な情報との類似度を算出する、類似度算出ステップと、
　算出された前記類似度に基づいて、前記被害情報に対応する前記専門的な情報を特定し、前記被害情報を含む前記ニュース記事に対して、特定した前記専門的な情報を補完する、情報補完ステップと、
を有する、
ことを特徴とする情報分析方法。

（付記８）
付記７に記載の情報分析方法であって、
　前記被害情報が、前記被害の発生時期、被害を受けた組織、及び被害の内容を少なくとも含み、
　前記専門情報抽出ステップにおいて、前記専門的な情報に含まれる被害の発生時期と、前記被害情報に含まれる前記被害の発生時期と、の差分を求め、求めた差分が設定範囲内にある前記専門的な情報を抽出する、
ことを特徴とする情報分析方法。

（付記９）
　付記７または８に記載の情報分析方法であって、
　前記類似度算出ステップにおいて、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを用いて、前記類似度として、コサイン類似度を算出する、
ことを特徴とする情報分析方法。

（付記１０）
　付記７または８に記載の情報分析方法であって、
　前記類似度算出ステップにおいて、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを、サイバー攻撃の被害を示す単語と専門的な情報に含まれる単語との類似関係を機械学習している学習モデルに入力し、前記学習モデルからの出力結果に基づいて、前記類似度を算出する、
ことを特徴とする情報分析方法。

（付記１１）
付記７～１０のいずれかに記載の情報分析方法であって、
　コンピュータシステムで生成されたログ情報から前記専門的な情報を生成し、生成した前記専門的な情報を前記データベースに蓄積する、専門情報生成ステップを、
更に有する、
ことを特徴とする情報分析方法。

（付記１２）
付記７～１１のいずれかに記載の情報分析方法であって、
　ニュース記事からサイバー攻撃の被害に関する被害情報を抽出する、被害情報抽出ステップを更に有し、
　前記被害情報抽出ステップにおいて、コンピュータシステムに存在する脆弱性の診断の結果に基づいて、診断の結果に示された脆弱性によって引き起こされる被害の内容を特定し、前記ニュース記事から、特定した前記被害の内容を含む前記被害情報を抽出する、
ことを特徴とする情報分析方法。

（付記１３）
コンピュータに、
　サイバー攻撃に関する専門的な情報を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、前記専門的な情報を抽出する、専門情報抽出ステップと、
　前記被害情報と抽出された前記専門的な情報との類似度を算出する、類似度算出ステップと、
　算出された前記類似度に基づいて、前記被害情報に対応する前記専門的な情報を特定し、前記被害情報を含む前記ニュース記事に対して、特定した前記専門的な情報を補完する、情報補完ステップと、
を実行させる命令を含む、プログラムを記録している、コンピュータ読み取り可能な記録媒体。

（付記１４）
付記１３に記載のコンピュータ読み取り可能な記録媒体であって、
　前記被害情報が、前記被害の発生時期、被害を受けた組織、及び被害の内容を少なくとも含み、
　前記専門情報抽出ステップにおいて、前記専門的な情報に含まれる被害の発生時期と、前記被害情報に含まれる前記被害の発生時期と、の差分を求め、求めた差分が設定範囲内にある前記専門的な情報を抽出する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１５）
　付記１３または１４に記載のコンピュータ読み取り可能な記録媒体であって、
　前記類似度算出ステップにおいて、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを用いて、前記類似度として、コサイン類似度を算出する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１６）
　付記１３または１４に記載のコンピュータ読み取り可能な記録媒体であって、
　前記類似度算出ステップにおいて、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを、サイバー攻撃の被害を示す単語と専門的な情報に含まれる単語との類似関係を機械学習している学習モデルに入力し、前記学習モデルからの出力結果に基づいて、前記類似度を算出する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１７）
付記１３～１６のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　コンピュータシステムで生成されたログ情報から前記専門的な情報を生成し、生成した前記専門的な情報を前記データベースに蓄積する、専門情報生成ステップを、
実行させる命令を更に含む、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

（付記１８）
付記１３～１７のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　ニュース記事からサイバー攻撃の被害に関する被害情報を抽出する、被害情報抽出ステップを、
実行させる命令を更に含み、
　前記被害情報抽出ステップにおいて、コンピュータシステムに存在する脆弱性の診断の結果に基づいて、診断の結果に示された脆弱性によって引き起こされる被害の内容を特定し、前記ニュース記事から、特定した前記被害の内容を含む前記被害情報を抽出する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　以上のように本発明によれば、サイバー攻撃に関するニュース記事に対して、不足している情報を補完することができる。本発明は、サイバー攻撃についての分析が必要な種々の分野において有用である。

　１０　情報分析装置
　１１　専門情報抽出部
　１２　類似度算出部
　１３　情報補完部
　１４　被害情報抽出部
　１５　検索処理部
　１６　情報格納部
　１７　重み情報
　１８　補完済ニュース情報
　１９　専門情報生成部
　２０　ニュースデータベース
　３０　専門情報データベース
　４０　ネットワーク
　５０　コンピュータシステム
　６０　端末装置
　６１　検索処理部
　６２　情報格納部
　１１０　コンピュータ
　１１１　ＣＰＵ
　１１２　メインメモリ
　１１３　記憶装置
　１１４　入力インターフェイス
　１１５　表示コントローラ
　１１６　データリーダ／ライタ
　１１７　通信インターフェイス
　１１８　入力機器
　１１９　ディスプレイ装置
　１２０　記録媒体
　１２１　バス

Claims

　サイバー攻撃に関する専門的な情報を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、前記専門的な情報を抽出する、専門情報抽出手段と、
　前記被害情報と抽出された前記専門的な情報との類似度を算出する、類似度算出手段と、
　算出された前記類似度に基づいて、前記被害情報に対応する前記専門的な情報を特定し、前記被害情報を含む前記ニュース記事に対して、特定した前記専門的な情報を補完する、情報補完手段と、
を備えている、
ことを特徴とする情報分析装置。
請求項１に記載の情報分析装置であって、
　前記被害情報が、前記被害の発生時期、被害を受けた組織、及び被害の内容を少なくとも含み、
　前記専門情報抽出手段が、前記専門的な情報に含まれる被害の発生時期と、前記被害情報に含まれる前記被害の発生時期と、の差分を求め、求めた差分が設定範囲内にある前記専門的な情報を抽出する、
ことを特徴とする情報分析装置。
　請求項１または２に記載の情報分析装置であって、
　前記類似度算出手段が、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを用いて、前記類似度として、コサイン類似度を算出する、
ことを特徴とする情報分析装置。
　請求項１または２に記載の情報分析装置であって、
　前記類似度算出手段が、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを、サイバー攻撃の被害を示す単語と専門的な情報に含まれる単語との類似関係を機械学習している学習モデルに入力し、前記学習モデルからの出力結果に基づいて、前記類似度を算出する、
ことを特徴とする情報分析装置。
請求項１～４のいずれかに記載の情報分析装置であって、
　コンピュータシステムで生成されたログ情報から前記専門的な情報を生成し、生成した前記専門的な情報を前記データベースに蓄積する、専門情報生成手段を、
更に備えている、
ことを特徴とする情報分析装置。
請求項１～５のいずれかに記載の情報分析装置であって、
　ニュース記事からサイバー攻撃の被害に関する被害情報を抽出する、被害情報抽出手段を更に備え、
　前記被害情報抽出手段は、コンピュータシステムに存在する脆弱性の診断の結果に基づいて、診断の結果に示された脆弱性によって引き起こされる被害の内容を特定し、前記ニュース記事から、特定した前記被害の内容を含む前記被害情報を抽出する、
ことを特徴とする情報分析装置。
　サイバー攻撃に関する専門的な情報を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、前記専門的な情報を抽出し、
　前記被害情報と抽出された前記専門的な情報との類似度を算出し、
　算出された前記類似度に基づいて、前記被害情報に対応する前記専門的な情報を特定し、前記被害情報を含む前記ニュース記事に対して、特定した前記専門的な情報を補完する、
ことを特徴とする情報分析方法。
請求項７に記載の情報分析方法であって、
　前記被害情報が、前記被害の発生時期、被害を受けた組織、及び被害の内容を少なくとも含み、
　前記専門情報の抽出において、前記専門的な情報に含まれる被害の発生時期と、前記被害情報に含まれる前記被害の発生時期と、の差分を求め、求めた差分が設定範囲内にある前記専門的な情報を抽出する、
ことを特徴とする情報分析方法。
　請求項７または８に記載の情報分析方法であって、
　前記類似度の算出において、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを用いて、前記類似度として、コサイン類似度を算出する、
ことを特徴とする情報分析方法。
　請求項７または８に記載の情報分析方法であって、
　前記類似度の算出において、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを、サイバー攻撃の被害を示す単語と専門的な情報に含まれる単語との類似関係を機械学習している学習モデルに入力し、前記学習モデルからの出力結果に基づいて、前記類似度を算出する、
ことを特徴とする情報分析方法。
請求項７～１０のいずれかに記載の情報分析方法であって、
　更に、コンピュータシステムで生成されたログ情報から前記専門的な情報を生成し、生成した前記専門的な情報を前記データベースに蓄積する、
ことを特徴とする情報分析方法。
請求項７～１１のいずれかに記載の情報分析方法であって、
　更に、ニュース記事からサイバー攻撃の被害に関する被害情報を抽出し、
　前記被害情報の抽出において、コンピュータシステムに存在する脆弱性の診断の結果に基づいて、診断の結果に示された脆弱性によって引き起こされる被害の内容を特定し、前記ニュース記事から、特定した前記被害の内容を含む前記被害情報を抽出する、
ことを特徴とする情報分析方法。
コンピュータに、
　サイバー攻撃に関する専門的な情報を蓄積しているデータベースから、サイバー攻撃の被害の発生時期に基づいて、ニュース記事に含まれるサイバー攻撃の被害情報に関連する、前記専門的な情報を抽出させ、
　前記被害情報と抽出された前記専門的な情報との類似度を算出させ、
　算出された前記類似度に基づいて、前記被害情報に対応する前記専門的な情報を特定し、前記被害情報を含む前記ニュース記事に対して、特定した前記専門的な情報を補完させる、
命令を含む、プログラムを記録している、コンピュータ読み取り可能な記録媒体。
請求項１３に記載のコンピュータ読み取り可能な記録媒体であって、
　前記被害情報が、前記被害の発生時期、被害を受けた組織、及び被害の内容を少なくとも含み、
　前記専門情報の抽出において、前記専門的な情報に含まれる被害の発生時期と、前記被害情報に含まれる前記被害の発生時期と、の差分を求め、求めた差分が設定範囲内にある前記専門的な情報を抽出する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
　請求項１３または１４に記載のコンピュータ読み取り可能な記録媒体であって、
　前記類似度の算出において、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを用いて、前記類似度として、コサイン類似度を算出する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
　請求項１３または１４に記載のコンピュータ読み取り可能な記録媒体であって、
　前記類似度の算出において、前記被害情報に含まれる単語と、前記被害情報に対応する前記専門的な情報に含まれる単語とを、サイバー攻撃の被害を示す単語と専門的な情報に含まれる単語との類似関係を機械学習している学習モデルに入力し、前記学習モデルからの出力結果に基づいて、前記類似度を算出する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
請求項１３～１６のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　コンピュータシステムで生成されたログ情報から前記専門的な情報を生成し、生成した前記専門的な情報を前記データベースに蓄積させる、
命令を更に含む、
ことを特徴とするコンピュータ読み取り可能な記録媒体。
請求項１３～１７のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　ニュース記事からサイバー攻撃の被害に関する被害情報を抽出させる、
命令を更に含み、
　前記被害情報の抽出において、コンピュータシステムに存在する脆弱性の診断の結果に基づいて、診断の結果に示された脆弱性によって引き起こされる被害の内容を特定し、前記ニュース記事から、特定した前記被害の内容を含む前記被害情報を抽出する、
ことを特徴とするコンピュータ読み取り可能な記録媒体。