WO2022264650A1

WO2022264650A1 - サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム

Info

Publication number: WO2022264650A1
Application number: PCT/JP2022/016507
Authority: WO
Inventors: サルベッシュスディルヒーレ; 洋子熊谷; 宏樹内山
Original assignee: 株式会社日立製作所
Priority date: 2021-06-16
Filing date: 2022-03-31
Publication date: 2022-12-22
Also published as: JP2022191649A

Abstract

リアルタイムで進化するサイバー攻撃の状況を踏まえて、サイバー攻撃の優先度をリアルタイムで判定し、サイバー攻撃の被害を最小限に抑えるための最適な対策の判断を容易にすること。サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する情報取得部と、攻撃評価情報に基づいて、サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定するパラメータ判定部と、時間依存パラメータと、非時間依存パラメータとに基づいて、サイバー攻撃に関する優先度を判定する優先度判定部とを含むサイバーセキュリティ管理装置。

Description

サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システム

　本開示は、サイバーセキュリティ管理装置、サイバーセキュリティ管理方法及びサイバーセキュリティ管理システムに関する。

　近年、新たな脆弱性の発見や新たな攻撃手法の出現などにより、サイバー攻撃は年々進化し続けている。このような状況の下、情報システムがサイバー攻撃に対する防御機能を備えているか、サイバー攻撃を受けた際に被害がどこまで広がるか、という問題は社会や組織において重要な関心事項となっている。

　サイバー攻撃の被害を抑制するために、まずサイバー攻撃の深刻度を評価し、この深刻度に応じた対策を実行する手段が知られている。

　例えば、米国特許出願公開第２０２０／０００７５７４号明細書（特許文献１）には、「本明細書で説明されるシステム、方法、およびソフトウェアは、コンピューティング環境でセキュリティアクションを実施するための拡張機能を提供する。一例では、コンピューティング環境でアクションを推奨するためのアドバイスシステムを操作する方法は、コンピューティング環境でのセキュリティインシデントを識別すること、資産の重要度を識別すること、及び１つ又は複数の内部又は外部ソースからセキュリティインシデントに関するエンリッチメント情報を取得することを含む。この方法はまた、エンリッチメント情報に基づいてセキュリティインシデントの深刻度を識別すること、エンリッチメント情報に基づいて１つまたは複数のセキュリティアクションを決定することを提供する。更に、この方法は、重要度及び深刻度に基づいてコンピューティング環境の動作に対する１つまたは複数のセキュリティアクションの効果を識別し、この効果に基づいてセキュリティインシデントに対応するための１つまたは複数のセキュリティアクションのサブセットを識別することを含む。」技術が記載されている。

米国特許出願公開第２０２０／０００７５７４号明細書

　特許文献１には、サイバー攻撃の攻撃対象となる資産の重要度と、サイバー攻撃の種類に基づいた深刻度とに応じて、サイバー攻撃に対応するためのセキュリティアクションを決定する手段が記載されている。
　しかし、特許文献１の手段では、サイバー攻撃に対応するためのセキュリティアクションは、攻撃対象となる資産の重要度やサイバー攻撃の種類等が時間の経過によって変化しない静的な情報（以下、「非時間依存のパラメータ」という）のみに基づいて決定されるため、リアルタイムで進化するサイバー攻撃の状況を踏まえたサイバー攻撃対策を講じることが困難である。このため、サイバー攻撃を抑制するための対策の実行が遅れ、サイバー攻撃の被害が大きくなってしまうことがある。

　そこで、本開示は、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行状況を示す時間依存パラメータを用いてサイバー攻撃の優先度を判定することで、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断を容易にするサイバーセキュリティ管理手段を提供することを目的とする。

　上記の課題を解決するために、代表的な本開示のサイバーセキュリティ管理装置の一つは、サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する情報取得部と、前記攻撃評価情報に基づいて、前記サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定するパラメータ判定部と、前記時間依存パラメータと、前記非時間依存パラメータとに基づいて、前記サイバー攻撃に関する優先度を計算する優先度計算部とを含む。

　本開示によれば、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いてサイバー攻撃の優先度を判定することで、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断を容易にするサイバーセキュリティ管理手段を提供することができる。
　上記以外の課題、構成及び効果は、以下の発明を実施するための形態における説明により明らかにされる。

図１は、本開示の実施形態を実施するためのコンピュータシステムを示す図である。図２は、本開示の実施形態に係るサイバーセキュリティ管理システムの構成の一例を示す図である。図３は、本開示の実施形態に係るサイバーセキュリティ管理システムにおけるデータの流れを示すフローチャートである。図４は、本開示の実施形態に係る攻撃手法テーブルのデータ構成一例を示す図である。図５は、サイバー攻撃におけるセキュリティイベント間の時間間隔の計算の一例を示す図である。図６は、本開示の実施形態に係る攻撃速度テーブルのデータ構成の一例を示す図である。図７は、本開示の実施形態に係る攻撃速度テーブルの具体例を示す図である。図８は、本開示の実施形態に係る資産情報テーブルのデータ構成の一例を示す図である。図９は、本開示の実施形態に係る優先度評価テーブルのデータ構成の一例を示す図である。図１０は、本開示の実施形態に係る優先度判定処理の流れを示すフローチャートである。図１１は、本開示の実施形態に係る資産重要度を確認するための資産重要度確認画面を示す図である。図１２は、本開示の実施形態に係るサイバー攻撃の進行の度合いを確認するための攻撃進行確認画面を示す図である。図１３は、本開示の実施形態に係るサイバー攻撃の速度を確認するための攻撃速度確認画面を示す図である。図１４は、本開示の実施形態に係るサイバー攻撃の優先度を確認するための優先度確認画面を示す図である。

　上述したように、近年、新たな脆弱性の発見や新たな攻撃手法の出現などにより、サイバー攻撃は年々進化し続けている。このような状況の下、情報システムがサイバー攻撃に対する防御機能を備えているか、サイバー攻撃を受けた際に被害がどこまで広がるか、という問題は社会や組織において重要な関心事項となっている。
　なお、ここでのサイバー攻撃とは、データを抜き取る、改ざんする、システムを破壊すること等を意味し、無差別攻撃や、特定の資産を狙った標的型攻撃を含んでもよい。

　従来のサイバー攻撃に対する対応策の多くは、サイバー攻撃を予防する手段や、サイバー攻撃の終了後に被害を抑える手段に向けられている。サイバー攻撃の最中に、当該サイバー攻撃の深刻度を評価する手段として、上述した特許文献１が存在するが、特許文献１では、攻撃対象となる資産の重要度やサイバー攻撃の種類等の、時間の経過に変動しないしない非時間依存のパラメータのみに基づいて深刻度の評価が行われる。このため、リアルタイムで進化するサイバー攻撃の状況を踏まえたサイバー攻撃対策を講じることが困難であり、サイバー攻撃を抑えるための対策の実行が遅れてしまい、サイバー攻撃の被害が大きくなってしまうことがある。

　そこで、本開示は、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いてサイバー攻撃の優先度を判定する。例えば、本開示のある実施形態では、攻撃対象の重要度を示す資産重要度パラメータのような非時間依存のパラメータに加えて、サイバー攻撃の進行の度合いを示す攻撃進行パラメータや、サイバー攻撃の進行速度を示すセキュリティイベント速度パラメータのような時間依存のパラメータを用いてサイバー攻撃の優先度を判定してもよい。この優先度の判定は、例えばサイバー攻撃が終了する前にリアルタイムで行われてもよい。
　これにより、サイバー攻撃の被害を最小限に抑えるための最適な対策をリアルタイムで判断することが可能となる。

　以下、図面を参照して、本発明の実施形態について説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

　まず、図１を参照して、本開示の実施形態を実施するためのコンピュータシステム１００について説明する。本明細書で開示される様々な実施形態の機構及び装置は、任意の適切なコンピューティングシステムに適用されてもよい。コンピュータシステム１００の主要コンポーネントは、１つ以上のプロセッサ１０２、メモリ１０４、端末インターフェース１１２、ストレージインタフェース１１３、Ｉ／Ｏ（入出力）デバイスインタフェース１１４、及びネットワークインターフェース１１５を含む。これらのコンポーネントは、メモリバス１０６、Ｉ／Ｏバス１０８、バスインターフェースユニット１０９、及びＩ／Ｏバスインターフェースユニット１１０を介して、相互的に接続されてもよい。

　コンピュータシステム１００は、プロセッサ１０２と総称される１つ又は複数の汎用プログラマブル中央処理装置（ＣＰＵ）１０２Ａ及び１０２Ｂを含んでもよい。ある実施形態では、コンピュータシステム１００は複数のプロセッサを備えてもよく、また別の実施形態では、コンピュータシステム１００は単一のＣＰＵシステムであってもよい。各プロセッサ１０２は、メモリ１０４に格納された命令を実行し、オンボードキャッシュを含んでもよい。

　ある実施形態では、メモリ１０４は、データ及びプログラムを記憶するためのランダムアクセス半導体メモリ、記憶装置、又は記憶媒体（揮発性又は不揮発性のいずれか）を含んでもよい。メモリ１０４は、本明細書で説明する機能を実施するプログラム、モジュール、及びデータ構造のすべて又は一部を格納してもよい。例えば、メモリ１０４は、サイバーセキュリティ管理アプリケーション１５０を格納していてもよい。ある実施形態では、サイバーセキュリティ管理アプリケーション１５０は、後述する機能をプロセッサ１０２上で実行する命令又は記述を含んでもよい。

　ある実施形態では、サイバーセキュリティ管理アプリケーション１５０は、プロセッサベースのシステムの代わりに、またはプロセッサベースのシステムに加えて、半導体デバイス、チップ、論理ゲート、回路、回路カード、および/または他の物理ハードウェアデバイスを介してハードウェアで実施されてもよい。ある実施形態では、サイバーセキュリティ管理アプリケーション１５０は、命令又は記述以外のデータを含んでもよい。ある実施形態では、カメラ、センサ、または他のデータ入力デバイス（図示せず）が、バスインターフェースユニット１０９、プロセッサ１０２、またはコンピュータシステム１００の他のハードウェアと直接通信するように提供されてもよい。

　コンピュータシステム１００は、プロセッサ１０２、メモリ１０４、表示システム１２４、及びＩ／Ｏバスインターフェースユニット１１０間の通信を行うバスインターフェースユニット１０９を含んでもよい。Ｉ／Ｏバスインターフェースユニット１１０は、様々なＩ／Ｏユニットとの間でデータを転送するためのＩ／Ｏバス１０８と連結していてもよい。Ｉ／Ｏバスインターフェースユニット１１０は、Ｉ／Ｏバス１０８を介して、Ｉ／Ｏプロセッサ（ＩＯＰ）又はＩ／Ｏアダプタ（ＩＯＡ）としても知られる複数のＩ／Ｏインタフェースユニット１１２，１１３，１１４、及び１１５と通信してもよい。

　表示システム１２４は、表示コントローラ、表示メモリ、又はその両方を含んでもよい。表示コントローラは、ビデオ、オーディオ、又はその両方のデータを表示装置１２６に提供することができる。また、コンピュータシステム１００は、データを収集し、プロセッサ１０２に当該データを提供するように構成された1つまたは複数のセンサ等のデバイスを含んでもよい。

　例えば、コンピュータシステム１００は、心拍数データやストレスレベルデータ等を収集するバイオメトリックセンサ、湿度データ、温度データ、圧力データ等を収集する環境センサ、及び加速度データ、運動データ等を収集するモーションセンサ等を含んでもよい。これ以外のタイプのセンサも使用可能である。表示システム１２４は、単独のディスプレイ画面、テレビ、タブレット、又は携帯型デバイスなどの表示装置１２６に接続されてもよい。

　Ｉ／Ｏインタフェースユニットは、様々なストレージ又はＩ／Ｏデバイスと通信する機能を備える。例えば、端末インタフェースユニット１１２は、ビデオ表示装置、スピーカテレビ等のユーザ出力デバイスや、キーボード、マウス、キーパッド、タッチパッド、トラックボール、ボタン、ライトペン、又は他のポインティングデバイス等のユーザ入力デバイスのようなユーザＩ／Ｏデバイス１１６の取り付けが可能である。ユーザは、ユーザインターフェースを使用して、ユーザ入力デバイスを操作することで、ユーザＩ／Ｏデバイス１１６及びコンピュータシステム１００に対して入力データや指示を入力し、コンピュータシステム１００からの出力データを受け取ってもよい。ユーザインターフェースは例えば、ユーザＩ／Ｏデバイス１１６を介して、表示装置に表示されたり、スピーカによって再生されたり、プリンタを介して印刷されたりしてもよい。

　ストレージインタフェース１１３は、１つ又は複数のディスクドライブや直接アクセスストレージ装置１１７（通常は磁気ディスクドライブストレージ装置であるが、単一のディスクドライブとして見えるように構成されたディスクドライブのアレイ又は他のストレージ装置であってもよい）の取り付けが可能である。ある実施形態では、ストレージ装置１１７は、任意の二次記憶装置として実装されてもよい。メモリ１０４の内容は、ストレージ装置１１７に記憶され、必要に応じてストレージ装置１１７から読み出されてもよい。Ｉ／Ｏデバイスインタフェース１１４は、プリンタ、ファックスマシン等の他のＩ／Ｏデバイスに対するインターフェースを提供してもよい。ネットワークインターフェース１１５は、コンピュータシステム１００と他のデバイスが相互的に通信できるように、通信経路を提供してもよい。この通信経路は、例えば、ネットワーク１３０であってもよい。

　ある実施形態では、コンピュータシステム１００は、マルチユーザメインフレームコンピュータシステム、シングルユーザシステム、又はサーバコンピュータ等の、直接的ユーザインターフェースを有しない、他のコンピュータシステム（クライアント）からの要求を受信するデバイスであってもよい。他の実施形態では、コンピュータシステム１００は、デスクトップコンピュータ、携帯型コンピュータ、ノートパソコン、タブレットコンピュータ、ポケットコンピュータ、電話、スマートフォン、又は任意の他の適切な電子機器であってもよい。

　次に、図２を参照して、本開示の実施形態に係るサイバーセキュリティ管理システムの構成について説明する。

　図２は、本開示の実施形態に係るサイバーセキュリティ管理システム２００の構成の一例を示す図である。図２に示すように、サイバーセキュリティ管理システム２００は、セキュリティ機関２１０、複数のクライアント装置２２１～２２３を含むクライアント環境２２０、通信ネットワーク２３０及びサイバーセキュリティ管理装置２５０を含む。セキュリティ機関２１０、クライアント環境２２０及びサイバーセキュリティ管理装置２５０は、通信ネットワーク２３０を介して相互的に接続される。ここでの通信ネットワーク２３０は、例えばインターネット、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、ＭＡＮ(Ｍｅｔｒｏｐｏｌｉｔａｎ　Ａｒｅａ　Ｎｅｔｗｏｒｋ)、ＷＡＮ(Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ)等を含んでもよい。

　セキュリティ機関２１０は、サイバーセキュリティを推進することを目的とする第三者組織である。セキュリティ機関２１０は、サイバー攻撃に対抗する戦略を講じたり、サイバー攻撃を識別し、抑制する様々な情報やツールを提供したりする政府又は民間の組織であってもよい。例えば、セキュリティ機関２１０は、サイバー攻撃の攻撃手法を特定するための攻撃手法情報を作成し、提供してもよい。
　図２に示すように、セキュリティ機関２１０は、サーバ装置２１２を含んでもよい。サーバ装置２１２は、通信ネットワーク２３０を介して、セキュリティ機関２１０、クライアント環境２２０、及びサイバーセキュリティ管理装置２５０間の情報通信を行うための装置である。例えば、セキュリティ機関２１０は、サイバー攻撃の攻撃手法を特定するための攻撃手法情報を、通信ネットワーク２３０を介してサイバーセキュリティ管理装置２５０に送信してもよい。

　クライアント環境２２０は、サイバー攻撃の攻撃対象となるコンピューティング資産（ｃｏｍｐｕｔｉｎｇ　ａｓｓｅｔ）を含むプライベートネットワークである。ここでの「攻撃対象」とは、サイバー攻撃の影響を受けるデバイス、ネットワーク、又はデータを意味する。
　図２に示すように、クライアント環境２２０は、コンピューティング資産として、複数のクライアント装置２２１～２２３を含む。これらのクライアント装置２２１～２２３は、クライアント環境２２０のプライベートネットワークに含まれるコンピューティングデバイスであり、例えばサーバ、パソコン、ストレージ部、スマートフォン等、任意のコンピューティングデバイスを含んでもよい。また、本開示では、クライアント環境２２０に含まれるクライアント装置２２１～２２３の一部又は全てがサイバー攻撃の攻撃対象となった場合を例として説明する。
　なお、説明の便宜上、クライアント装置を３つ含むクライアント環境２２０を一例として示しているが、本開示はこれに限定されず、クライアント装置の数や、クライアント環境２２０のネットワーク構成は任意である。

　サイバーセキュリティ管理装置２５０は、サイバー攻撃（例えば、クライアント環境２２０に対するサイバー攻撃）の優先度を判定するための装置である。図２に示すように、サイバーセキュリティ管理装置２５０は情報取得部２５２、パラメータ判定部２５４、優先度判定部２５６及び記憶部２５８を含む。

　情報取得部２５２は、クライアント環境２２０の攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する機能部である。例えば、情報取得部２５２は、攻撃対象に関するセキュリティイベントを示すデータログ情報と、サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、攻撃対象に関する攻撃対象情報と、攻撃対象を含むネットワーク構造を示すネットワーク構造情報とを攻撃評価情報として取得してもよい。後述するように、これらの情報は、例えばセキュリティ機関２１０や、攻撃対象となるクライアント環境２２０から取得されてもよい。

　パラメータ判定部２５４は、情報取得部２５２によって取得された攻撃評価情報に基づいて、サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定する機能部である。ここでは、時間依存パラメータとは、サイバー攻撃が実行されている期間において、時間と共に変化する情報を意味する。一方、非時間依存パラメータとは、サイバー攻撃が実行されている期間において、時間と共に変化しない情報を意味する。

　例えば、パラメータ判定部２５４は、攻撃対象の重要度を示す資産重要度パラメータを非時間依存のパラメータとして判定してもよい。本開示の実施形態に係る攻撃対象の重要度は、当該攻撃対象のネットワーク構造における階級に応じて定められ、攻撃の最中には変化しないため、非時間依存のパラメータの１つである。
　また、パラメータ判定部２５４は、サイバー攻撃の進行の度合いを示す進行パラメータや、サイバー攻撃の進行速度を示す速度パラメータを時間依存のパラメータとして判定してもよい。サイバー攻撃の進行の度合いや速度は、攻撃の最中にリアルタイムで変動し得るため、時間依存のパラメータである。

　なお、本開示では、攻撃対象の重要度を示す資産重要度パラメータを非時間依存のパラメータとし、サイバー攻撃の進行の度合いを示す進行パラメータや、サイバー攻撃の進行速度を示す速度パラメータを時間依存のパラメータとした場合を一例として説明するが、本開示はこれに限定されず、非時間依存のパラメータ及び時間依存のパラメータは、攻撃対象の構成やサイバー攻撃の性質等に基づいて適宜に選択されてもよい。

　優先度判定部２５６は、パラメータ判定部２５４によって判定された時間依存パラメータと、非時間依存パラメータとに基づいて、サイバー攻撃に関する優先度を計算する機能部である。この優先度とは、サイバー攻撃の相対的な重要度を示す指標である。この優先度は、例えば「高」、「中」、「低」等の３段階の内の一つとして表現してもよく、例えば「０～１０」等の数字の範囲から選択した値として表現してもよい。
　本開示では、説明の便宜上、優先度を「高」、「中」、「低」等の３段階で表現する場合を一例として説明する。

　優先度判定部２５６は、サイバー攻撃を判定するためには、パラメータ判定部２５４によって判定された時間依存パラメータと、非時間依存パラメータと、後述する優先度評価テーブル２６０を用いる。例えば、優先度判定部２５６は、速度パラメータと、進行パラメータと、資産重要度パラメータとを、優先度評価テーブル２６０に比較することで、サイバー攻撃に関する優先度を判定することができる。

　記憶部２５８は、サイバーセキュリティ管理装置２５０に用いられる各種情報を格納するためのストレージ部である。この記憶部２５８は、例えばフラッシュメモリ、ハードディスクドライブ等、任意の記憶媒体であってもよい。
　図２に示すように、記憶部２５８は、優先度評価テーブル２６０を格納する。この優先度評価テーブル２６０は、それぞれの非時間依存のパラメータ及び時間依存パラメータを所定の優先度に対応付けるテーブルであり、特定のサイバー攻撃の優先度を判定するために用いられる。優先度評価テーブル２６０は、例えば事前に作成され、記憶部２５８に格納されてもよい。

　上述したサイバーセキュリティ管理装置２５０の機能部は、独立したハードウェアで実現されてもよく、例えば図１に示すサイバーセキュリティ管理アプリケーション１５０におけるソフトウェアモジュールとして実現されてもよい。

　以上説明したサイバーセキュリティ管理システム２００によれば、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いてサイバー攻撃の優先度を判定することで、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断を容易にすることができる。

　次に、図３を参照して、本開示の実施形態に係るサイバーセキュリティ管理システムにおけるデータの流れについて説明する。

　図３は、本開示の実施形態に係るサイバーセキュリティ管理システム２００におけるデータの流れ３００を示すフローチャートである。図３に示すように、サイバーセキュリティ管理システム２００において、情報がクライアント環境２２０、サイバーセキュリティ管理装置２５０及びセキュリティ機関２１０の間で通信される。
　なお、図３に示すデータの流れ３００は、サイバー攻撃の最中に行われてもよい。これにより、サイバー攻撃がリアルタイムで進行するにつれて、優先度を動的に判定することができる。

　まず、ステップＳ３０２では、クライアント環境２２０は、攻撃対象情報、ネットワーク構造情報、及びデータログ情報をサイバーセキュリティ管理装置２５０に送信する。ここでの攻撃対象情報、ネットワーク構造情報、及びデータログ情報は、クライアント環境２２０におけるクライアント装置２２１、２２２、２２３のいずれかから送信されてもよい。
　ある実施形態では、クライアント環境２２０は、サイバー攻撃を検出した際に攻撃対象情報、ネットワーク構造情報、及びデータログ情報をサイバーセキュリティ管理装置２５０に送信してもよい。また、ある実施形態では、サイバーセキュリティ管理装置２５０は、ネットワーク構造情報、及びデータログ情報をクライアント環境２２０から要求してもよい。

　攻撃対象情報は、クライアント環境２２０において、サイバー攻撃の影響を受けるデバイス、ネットワーク、又はデータ等のコンピューティング資産を攻撃対象として指定する情報である。例えば、この攻撃対象情報は、クライアント装置２２１、２２２、２２３の一部又は全部を攻撃対象として指定してもよい。

　ネットワーク構造情報は、クライアント環境２２０のネットワーク構成を示す情報である。例えば、このネットワーク構造情報は、クライアント環境２２０のネットワーク上の各ノード（例えば、クライアント装置２２１、２２２、２２３等のコンピューティングデバイス）及びノード間の接続経路を示す情報（いわゆるネットワークトポロジー）であってもよい。また、このネットワーク構造情報は、クライアント環境２２０のネットワーク上の各ノードの役割を示す情報を含んでもよい。例えば、ある実施形態では、このネットワーク構造情報は、クライアント環境２２０のネットワークにおけるセンサ装置の役割が「生データ収集」、「生データの前処理」、「データ集積」、又は「データ解析」であることを示してもよい。

　データログ情報は、サイバー攻撃の攻撃対象に関するセキュリティイベントを示す情報である。例えば、データログ情報は、各セキュリティイベントの検出時刻、影響を受けたコンピューティング資産、種類、深刻度等を含んでもよい。
　ここでのセキュリティイベントとは、ネットワーク侵入、データ収集、システム変更等といったサイバー攻撃の目的を達成するための工程である。一般に、一つのサイバー攻撃は、１つ又は複数のセキュリティイベントからなる。例えば、サイバー攻撃がＤＤｏＳ攻撃の場合、サーバの過剰負荷を引き起こすために送信される各データは異なる「セキュリティイベント」として検出され、データログ情報に記録される。

　次に、ステップＳ３０４では、セキュリティ機関２１０は、攻撃手法情報をサイバーセキュリティ管理装置２５０に送信する。ここでの攻撃手法情報は、セキュリティ機関２１０のサーバ装置２１２から送信されてもよい。
　ある実施形態では、セキュリティ機関２１０は、サイバーセキュリティ管理装置２５０からの要求に応じて攻撃手法情報をサイバーセキュリティ管理装置２５０に送信してもよい。

　ここでの攻撃手法情報は、サイバー攻撃の攻撃手法を特定するための情報である。より具体的には、この攻撃手法情報は、特定の種類のサイバー攻撃の各段階において、攻撃者が用いる可能性がある攻撃手法を示す。一例として、この攻撃手法情報は、サイバー攻撃が「Ｒｅｃｏｎｎａｉｓｓａｎｃｅ」段階（偵察段階）の場合、攻撃者が用いる可能性がある攻撃手法として、「Ａｃｔｉｖｅ　Ｓｃａｎｎｉｎｇ，　Ｇａｔｈｅｒ　Ｖｉｃｔｉｍ　Ｈｏｓｔ　Ｉｎｆｏｒｍａｔｉｏｎ，　Ｇａｔｈｅｒ　Ｖｉｃｔｉｍ　Ｉｄｅｎｔｉｔｙ，　Ｇａｔｈｅｒ　Ｖｉｃｔｉｍ　Ｎｅｔｗｏｒｋ　Ｉｎｆｏｒｍａｔｉｏｎ」を示してもよい。この攻撃手法情報及び攻撃対象のデータログ情報を用いることで、サイバー攻撃の攻撃手法を特定することができる。

　次に、ステップＳ３０６では、サイバーセキュリティ管理装置２５０の情報取得部は、クライアント環境２２０から送信された攻撃対象情報、ネットワーク構造情報及びデータログ情報を受信すると共に、セキュリティ機関２１０から送信された攻撃手法情報を受信する。
　なお、ここでは、各種情報がサイバーセキュリティ管理装置２５０に対して送信される場合を一例として説明しているが、本開示はこれに限定されず、サイバーセキュリティ管理装置２５０は各種情報を自発的に取得してもよい。

　次に、ステップＳ３０８では、サイバーセキュリティ管理装置２５０のパラメータ判定部は、ステップＳ３０６で受信した各種情報に基づいて、サイバー攻撃の優先度を判定する際に用いられる各テーブルを作成する。例えば、ここでは、サイバーセキュリティのパラメータ判定部は、攻撃手法テーブル（図４参照）、攻撃速度テーブル（図６参照）、資産情報テーブル（図８参照）、及び優先度評価テーブル（図９参照）を作成してもよい。
　なお、ここで作成される各テーブルの詳細については後述する。

　次に、ステップＳ３１０では、サイバーセキュリティ管理装置２５０のパラメータ判定部は、ステップＳ３０８で作成した各テーブルに基づいて、サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定する。例えば、ここでは、サイバーセキュリティのパラメータ判定部は、資産情報テーブルに基づいて、攻撃対象の重要度を示す資産重要度パラメータを非時間依存のパラメータとして判定してもよい。また、サイバーセキュリティのパラメータ判定部は、攻撃手法テーブルに基づいて、サイバー攻撃の進行の度合いを示す進行パラメータを時間依存のパラメータとして作成してもよい。また、サイバーセキュリティのパラメータ判定部は、攻撃速度テーブルに基づいて、サイバー攻撃の進行速度を示す速度パラメータを時間依存のパラメータとして作成してもよい。

　次に、ステップＳ３１２では、サイバーセキュリティ管理装置２５０の優先度判定部は、ステップＳ３１０で判定した時間依存パラメータと、非時間依存パラメータとに基づいて、サイバー攻撃の優先度を計算する。より具体的には、サイバーセキュリティ管理装置２５０は、速度パラメータと、進行パラメータと、資産重要度パラメータとを、優先度評価テーブルに比較することで、サイバー攻撃の優先度を計算してもよい。

　次に、ステップＳ３１４では、サイバーセキュリティ管理装置２５０の優先度判定部は、ステップＳ３１２で計算したサイバー攻撃の優先度を示す優先度情報をクライアント環境２２０に送信する。この優先度情報は、例えばサイバー攻撃が終了する前にリアルタイムで送信されてもよい。これにより、サイバー攻撃がリアルタイムで進行するにつれて、最適なサイバー攻撃対策を判断し、実行することができる。

　次に、ステップＳ３１６では、サイバーセキュリティ管理装置２５０の情報取得部が追加の情報（例えば、最新のデータログ情報、更新した攻撃対象情報、ネットワーク構造情報又は攻撃手法情報）を受信した場合、本処理はステップＳ３０６へ戻り、追加の情報がステップＳ３０８～Ｓ３１２で処理される。

　以上説明したデータの流れによれば、サイバーセキュリティ管理装置２５０は、サイバー攻撃の優先度を判定するための各種情報を取得することができる。これにより、サイバー攻撃がリアルタイムで進行するにつれて、優先度を動的に判定することが可能となる。

　次に、図４を参照して、本開示の実施形態に係る攻撃手法テーブルについて説明する。

　上述したように、本開示では、サイバー攻撃の優先度を判定するための時間依存パラメータの１つとして、サイバー攻撃の進行の度合い（つまり、サイバー攻撃が現時点でどこまで進んでいるか）を示す進行パラメータを用いる。この進行パラメータは、サイバー攻撃におけるセキュリティイベントで用いられている攻撃手法に基づいて判定される。また、この攻撃手法は、セキュリティ機関から取得した攻撃手法情報に基づいて作成された攻撃手法テーブル４００と、クライアント環境から取得したデータログ情報とに基づいて識別される。
　原則として、サイバー攻撃が進むにつれて、サイバー攻撃の目的及び攻撃手法が予測可能なパターン（ネットワーク侵入、データ収集、システム変更）に従って変化するため、最も最近のセキュリティイベントで用いられた攻撃手法を識別することで、サイバー攻撃の現時点での進行の度合いを推定することができる。

　図４は、本開示の実施形態に係る攻撃手法テーブル４００の一例を示す図である。上述したように、この攻撃手法テーブル４００は、セキュリティ機関から取得した攻撃手法情報に基づいて作成される。図４に示すように、攻撃手法テーブル４００は、進行パラメータ４１０、攻撃手法の目的４１２及び攻撃手法４１４の情報を格納する。それぞれの攻撃手法４１４は、目的毎に分類されている。例えば、「Ｒｅｃｏｎｎａｉｓｓａｎｃｅ」や「Ｄｅｆｅｎｓｅ　Ｅｖａｓｉｏｎ」はネットワーク侵入との目的のための攻撃手法であるため、同一のカテゴリーに分類される。
　なお、図４では、攻撃手法テーブル４００の一例を示しているが、本開示はこれに限定されず、攻撃手法テーブル４００の構成（攻撃手法の目的や攻撃手法の情報等）は、適宜に変更されてもよい。

　一般に、サイバー攻撃におけるセキュリティイベントの目的は、ネットワーク侵入、データ収集、システム変更の順番で変化する。従って、目的がネットワーク侵入の攻撃手法は、サイバー攻撃の序盤、つまり、サイバー攻撃の進行の度合いが低い時に行われるため、「低」との進行パラメータに対応付けられている。また、目的がデータ収集の攻撃手法は、サイバー攻撃の中盤、つまり、サイバー攻撃が中程度に進んでいる時に行われるため、「中」との進行パラメータに対応付けられている。また、目的がシステムの変更の攻撃手法は、サイバー攻撃の終盤、つまり、サイバー攻撃が高程度に進んでいる時に行われるため、「高」との進行パラメータに対応付けられている。

　サイバーセキュリティ管理装置のパラメータ判定部は、クライアント環境から取得したデータログ情報と、図４に示す攻撃手法テーブル４００とを用いて、サイバー攻撃における特定のセキュリティイベントの攻撃手法を識別すると共に、当該攻撃手法に対応付けられている進行パラメータを判定することができる。より具体的には、パラメータ判定部は、クライアント環境から取得したデータログ情報の特定のセキュリティイベントの攻撃手法を識別する。ここでの特定のセキュリティイベントは、検出されているセキュリティイベントの内、任意のセキュリティイベントであってもよいが、サイバー攻撃の現時点での進行の度合いを判定するためには、最も最近のセキュリティイベントを用いることが望ましい。ここで、セキュリティイベントの攻撃手法を特定するためには、既存の手段を使用してもよく、本開示では特定に限定されない。
　セキュリティイベントの攻撃手法が識別された後、パラメータ判定部は、攻撃手法テーブル４００を参照することで、識別した攻撃手法に対応付けられている進行パラメータを判定する。一例として、セキュリティイベントの攻撃手法が「Ｅｘｆｉｌｔｒａｔｉｏｎ」の場合、パラメータ判定部は、サイバー攻撃の目的がシステム変更の段階まで進んでいるため、進行の度合いが高く、「高」との進行パラメータを判定する。

　以上説明したように、クライアント環境から取得したデータログ情報と、セキュリティ機関から取得した攻撃手法情報に基づいて作成された攻撃手法テーブル４００とを用いることで、サイバー攻撃の現時点での進行の度合いを示す進行パラメータを判定することができる。この進行パラメータを用いることにより、サイバー攻撃の現時点での進行の度合いを考慮した優先度判定が可能となり、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断が容易となる。

　次に、図５～図７を参照して、本開示の実施形態に係る速度パラメータについて説明する。

　上述したように、本開示では、サイバー攻撃の優先度を判定するための時間依存パラメータの１つとして、サイバー攻撃の進行速度を示す速度パラメータを用いる。この速度パラメータは、サイバー攻撃において検出された各セキュリティイベント間の時間間隔に基づいて判定される。
　まず、パラメータ判定部は、クライアント環境から取得したデータログ情報に記録されている各セキュリティイベントの検出時刻に基づいて、セキュリティイベント間の時間間隔を計算する。ここで、パラメータ判定部は、データログ情報に記録されている全てのセキュリティイベント間の時間間隔を計算してもよく、特定の期間内のセキュリティイベント間の時間間隔を計算してもよい。

　次に、パラメータ判定部は、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均を計算する。このように計算したセキュリティイベント間の時間間隔の加重平均を、予め作成された攻撃速度テーブルに比較することで、サイバー攻撃の進行速度を示す速度パラメータを判定することができる。

　図５は、サイバー攻撃におけるセキュリティイベント間の時間間隔の計算の一例を示す図である。図５には、特定のサイバー攻撃における各セキュリティイベントを時系列に並べたタイムライン５００が示される。図５に示すように、このタイムライン５００には、イベント０，イベント１，イベント２、イベント３、イベント４及びイベント５との５つのセキュリティイベントが示されている。上述したように、これらのセキュリティイベントは、サイバー攻撃の目的（ネットワーク侵入、データ収集、システム変更等）を達成するための工程である。各セキュリティイベントは、同じ又は異なる攻撃手法によって行われる。

　まず、パラメータ判定部は、対象のセキュリティイベントを含む解析対象期間ＡＴＷを規定する。この解析対象期間ＡＴＷは、例えばサイバー攻撃が検出された時間等に基づいて適宜に規定されてもよい。例えば、図５に示すように、解析対象期間ＡＴＷは、イベント０を除き、イベント１からイベント５までを含む期間として規定されてもよい。

　次に、パラメータ判定部は、解析対象期間ＡＴＷにおける各セキュリティイベントの時間間隔（Ｔｉｍｅ　Ｂｅｔｗｅｅｎ　Ｉｎｃｉｄｅｎｔｓ；ＴＢＩ）を計算する。例えば、パラメータ判定部は、イベント１とイベント２の時間間隔ＴＢＩ_１２、イベント２とイベント３の時間間隔ＴＢＩ_２３、イベント３とイベント４の時間間隔ＴＢＩ_３４、及びイベント４とイベント５の時間間隔ＴＢＩ_４５を計算してもよい。

　その後、パラメータ判定部は、以下の数式１を用いて、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均ＷＭＴＢＩ（Ｗｅｉｇｈｔｅｄ　Ｍｅａｎ　Ｔｉｍｅ　Ｂｅｔｗｅｅｎ　Ｉｎｃｉｄｅｎｔｓ）を計算する。

　なお、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均ＷＭＴＢＩの計算に用いられる重み付けｗは、いわゆるＭＣＤＭ（Ｍｕｌｔｉｐｌｅ－ｃｒｉｔｅｒｉａ　ｄｅｃｉｓｉｏｎ　ａｎａｌｙｓｉｓ）アルゴリズムによって定められてもよく、本開示では特に限定されない。

　図６は、本開示の実施形態に係る攻撃速度テーブル６００の一例を示す図である。攻撃速度テーブル６００は、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均ＷＭＴＢＩに基づいて、サイバー攻撃の速度パラメータを判定するためのテーブルである。

　図６に示すように、攻撃速度テーブル６００では、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均ＷＭＴＢＩについて、３つの異なる範囲が最小値及び最大値によって規定されている。また、各範囲は、異なる速度パラメータに対応付けられている。
　より具体的には、「０」～「ATW/3-MTBI」の範囲は、「高」との速度パラメータに対応付けられている。また、「ATW/3-MTBI」～「ATW/3+MTBI」の範囲は、「中」との速度パラメータに対応付けられている。また、「ATW/3+MTBI」～「ATW」の範囲は、「低」との速度パラメータに対応付けられている。ここでは、「高」との速度パラメータは、サイバー攻撃の速度が比較的に速いことを意味し、「低」との速度パラメータは比較的に襲いことを意味する。
　ここでの「ATW」は、上述した解析対象期間であり、MTBI（Ｍｅａｎ　Ｔｉｍｅ　Ｂｅｔｗｅｅｎ　Ｉｎｃｉｄｅｎｔｓ）は、サイバー攻撃における各セキュリティイベント間の時間間隔の平均である。このMTBIは、例えば数式１において、重み付けｗを１とすることで求められる。

　数式１によって計算したサイバー攻撃における各セキュリティイベント間の時間間隔の加重平均ＷＭＴＢＩの値を、攻撃速度テーブル６００において規定されている範囲に比較し、どの範囲に属するかを判定することで、当該サイバー攻撃の速度パラメータを判定することができる。

　図７は、本開示の実施形態に係る攻撃速度テーブル７００の具体例を示す図である。図７に示すように、攻撃速度テーブル７００では、サイバー攻撃における各セキュリティイベント間の時間間隔の加重平均ＷＭＴＢＩについて、３つの異なる範囲が最小値及び最大値によって規定されている。
　より具体的には、「０」～「２４時間」の範囲は、「高」との速度パラメータに対応付けられている。また、「２４時間」～「４８時間」の範囲は、「中」との速度パラメータに対応付けられている。また、「４８時間」～「７２時間」の範囲は、「低」との速度パラメータに対応付けられている。
　数式１によって計算したサイバー攻撃における各セキュリティイベント間の時間間隔の加重平均ＷＭＴＢＩの値が「０」～「２４時間」の範囲内の場合、当該サイバー攻撃の速度パラメータが「高」と判定される。ＷＭＴＢＩの値が「２４」～「４８時間」の範囲内の場合、当該サイバー攻撃の速度パラメータが「中」と判定される。ＷＭＴＢＩの値が「４８」～「７２時間」の範囲内の場合、当該サイバー攻撃の速度パラメータが「低」と判定される。

　以上説明したように、クライアント環境から取得したデータログ情報に記録されている各セキュリティイベントの検出時刻に基づいてセキュリティイベント間の時間間隔を計算し、計算したセキュリティイベント間の時間間隔を攻撃速度テーブルに比較することで、サイバー攻撃の進行速度を示す速度パラメータを判定することができる。この速度パラメータを用いることにより、サイバー攻撃が進んでいる速さを考慮した優先度判定が可能となり、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断が容易となる。

　次に、図８を参照して、本開示の実施形態に係る資産情報テーブルについて説明する。

　上述したように、本開示では、サイバー攻撃の優先度を判定するための非時間依存パラメータの１つとして、攻撃対象の重要度を示す資産重要度パラメータを用いる。この資産重要度パラメータは、クライアント環境から取得したネットワーク構造情報から作成された資産情報テーブル８００に基づいて判定される。図８は、本開示の実施形態に係る資産情報テーブル８００の一例を示す図である。

　上述したように、資産情報テーブル８００は、クライアント環境から取得したネットワーク構造情報に基づいて作成され、図８に示すように、ネットワークを構成する各コンピューティング資産（コンピューティングデバイス、記憶装置等）について、コンピューティング資産の名所を示す資産名８０２、コンピューティング資産の識別子を示す資産ＩＤ８０４、コンピューティング資産のＩＰアドレスを示すＩＰアドレス８０６、コンピューティング資産のＭＡＣアドレスを示すＭＡＣアドレス８０８、コンピューティング資産のゲートウェイアドレスを示すゲートウェイ８１０及びコンピューティング資産のネットワーク階級を示すネットワーク階級８１２を含んでもよい。

　このネットワーク階級８１２は、特定のコンピューティング資産のネットワークにおける論理的な地位を示す情報であり、例えば当該コンピューティング資産の役割に基づいて定められる。ある実施形態では、コンピューティング資産のネットワーク階級は、以下のように、５つのレベルに分けられてもよい。
　レベル０：センサ、リレー、コネクター等のような物理的なインターフェースを有するデバイス
　レベル１：ＲＴＵ（Ｒｅｍｏｔｅ　Ｔｅｒｍｉｎａｌ　Ｕｎｉｔ）、ＰＬＣ（Ｐｒｏｇｒａｍｍａｂｌｅ　Ｌｏｇｉｃ　Ｃｏｎｔｒｏｌｌｅｒ）等のような、レベル１のデバイスを制御するためのデバイス
　レベル２：ＨＭＩ(Ｈｕｍａｎ　Ｍａｃｈｉｎｅ　Ｉｎｔｅｒｆａｃｅ)、Ｓｕｐｅｒｖｉｓｏｒｙ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ、Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｐｒｏｃｅｓｓｏｒ、Ｒｅａｌ　Ｔｉｍｅ　Ｄａｔａｂａｓｅ等のような、レベル２のデバイスを制御するためのデバイス
　レベル３：ウエブサービスサーバ、ファイアウォール、アプリケーションデータベースのような、ＩＴ管理、オペレーション管理、システム管理を行うためのデバイス
　レベル４：ＩＣＳ(Ｉｎｔｅｇｒａｔｅｄ　Ｃｏｍｐｕｔｅｒ　Ｓｏｌｕｔｉｏｎｓ)ウエブクライアント、ＩＣＳビジネスアプリケーションクライアント等の、アプリケーション事業計画やロジスティクスの情報を管理するためのデバイス

　原則として、ネットワーク階級のレベルが高ければ高い程、コンピューティング資産のネットワークにおける重要度が高くなる。従って、本開示では、パラメータ判定部は、攻撃対象となったコンピューティング資産のネットワーク階級に基づいて、当該攻撃対象の重要度を示す重要度パラメータを判定することができる。

　より具体的には、パラメータ判定部は、クライアント環境から取得した攻撃対象情報を、クライアント環境から取得したネットワーク構造情報に基づいて作成された資産情報テーブル８００に比較することで、攻撃対象となったコンピューティング資産のネットワーク階級を判定する。その後、パラメータ判定部は、予め定めた基準に基づいて、攻撃対象となったコンピューティング資産のネットワーク階級が、「高」、「中」、「低」の３つの重要度パラメータのレベルの内、どれに対応するかを判定する。
　一例として、ある実施形態では、ネットワーク階級がレベル１の攻撃対象を「低」との資産重要度パラメータとし、ネットワーク階級がレベル２又は３の攻撃対象を「中」との資産重要度パラメータとし、ネットワーク階級がレベル４の攻撃対象を「高」との資産重要度パラメータとしてもよい。ここでは、「低」との資産重要度パラメータは、当該コンピューティング資産のネットワークにおける重要度が比較的に低いことを意味し、「高」との資産重要度パラメータは、当該コンピューティング資産のネットワークにおける重要度が比較的に高いことを意味する。

　以上説明したように、クライアント環境から取得した攻撃対象情報を、クライアント環境から取得したネットワーク構造情報に基づいて作成された資産情報テーブル８００に比較することで、攻撃対象となったコンピューティング資産のネットワーク階級に応じて、当該ネットワーク資産の重要度を示す重要度パラメータを判定することができる。この資産重要度パラメータを用いることにより、攻撃対象となったコンピューティング資産のネットワークにおける重要性を考慮した優先度判定が可能となり、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断が容易となる。

　次に、図９を参照して、本開示の実施形態に係る優先度評価テーブルについて説明する。

　上述したように、本開示の実施形態では、サイバー攻撃の優先度は、上述したパラメータ判定部によって判定された速度パラメータと、進行パラメータと、資産重要度パラメータと、優先度評価テーブル２６０とに基づいて判定される。この優先度評価テーブル２６０は、速度パラメータと、進行パラメータと、資産重要度パラメータとをサイバー攻撃の優先度に対応付けるテーブルであり、特定のサイバー攻撃の優先度を判定するために用いられる。優先度評価テーブル２６０は、例えばクライアント環境の管理者の基準等に基づいて事前に作成され、サイバーセキュリティ管理装置の記憶部に格納されてもよい。

　図９は、本開示の実施形態に係る優先度評価テーブル２６０の一例を示す図である。図９に示すように、優先度評価テーブル２６０は、進行パラメータ２６２、速度パラメータ２６４、資産重要度パラメータ２６６及び優先度２６８の情報を格納する。より具体的には、優先度評価テーブル２６０において、進行パラメータ２６２、速度パラメータ２６４、資産重要度パラメータ２６６の各パラメータの「高い」、「中」、「低」の３つの段階について、対応する優先度２６８を示している。
　なお、図９では、優先度評価テーブル２６０の一例を示しているが、本開示はこれに限定されず、優先度評価テーブル２６０の構成（各種パラメータや優先度の段階の対応関係等）は、適宜に変更されてもよい。

　特定のサイバー攻撃について、速度パラメータ、進行パラメータ及び資産重要度パラメータが全て判定された後、サイバーセキュリティ管理装置の優先度判定部は、これらのパラメータと、優先度評価テーブル２６０とを用いることで、当該サイバー攻撃の優先度を判定することができる。より具体的には、優先度判定部は、優先度評価テーブル２６０において、判定した速度パラメータ、進行パラメータ及び資産重要度パラメータの値に対応する要素を特定し、特定した要素に記載の値をサイバー攻撃の優先度として判定する。
　一例として、特定のサイバー攻撃について、進行パラメータ２６２が「中」、速度パラメータ２６４が「低」、資産重要度パラメータ２６６が「高い」と判定された場合、当該サイバー攻撃の優先度２６８が「中」と判定される。

　このように、速度パラメータと、進行パラメータと、資産重要度パラメータと、優先度評価テーブルとを用いることで、サイバー攻撃の優先度は、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いて判定される。速度パラメータと、進行パラメータと、資産重要度パラメータとを用いることにより、サイバー攻撃の現時点での進行の度合い、サイバー攻撃が進んでいる速さ及び攻撃対象となったコンピューティング資産のネットワークにおける重要性を考慮した優先度判定が可能となり、サイバー攻撃の被害を最小限に抑えるための最適な対策のリアルタイム判断が容易となる。

　次に、図１０を参照して、本開示の実施形態に係る優先度判定処理の流れについて説明する。

　図１０は、本開示の実施形態に係る優先度判定処理１０００の流れを示すフローチャートである。優先度判定処理１０００は、サイバー攻撃の優先度を判定するための処理であり、例えば図２に示すサイバーセキュリティ管理装置の各機能部によって行われる。

　まず、ステップＳ１００４では、サイバーセキュリティ管理装置の情報取得部（例えば、図２に示す情報取得部２５２）は、データログ情報を受信する。ここでは、情報取得部は、
データログ情報を上述したクライアント環境から取得してもよい。このデータログ情報は、
サイバー攻撃の攻撃対象に関するセキュリティイベントを示す情報である。例えば、データログ情報は、各セキュリティイベントの検出時刻、影響を受けたコンピューティングデバイス、種類、重要度等を含んでもよい。

　次に、ステップＳ１００６では、サイバーセキュリティ管理装置のパラメータ判定部（例えば、図２に示すパラメータ判定部２５４）は、ステップＳ１００４で受信したデータログ情報を解析し、サイバー攻撃に対応するセキュリティイベントを検出する。上述したように、ここでのセキュリティイベントとは、サイバー攻撃の目的を達成するための工程である。一般に、一つのサイバー攻撃は、１つ又は複数のセキュリティイベントからなる。例えば、サイバー攻撃がＤＤｏＳ攻撃の場合、サーバの過剰負荷を引き起こすために送信される各データは異なる「セキュリティイベント」として検出され、データログ情報に記録される。

　次に、ステップＳ１００８では、パラメータ判定部は、クライアント環境から取得したデータログ情報と、セキュリティ機関から取得した攻撃手法情報１００５に基づいて作成された攻撃手法テーブルとを用いることで、サイバー攻撃の現時点での進行の度合いを示す進行パラメータを判定する。
　なお、進行パラメータを判定する場合の詳細は図４を参照して説明したため、ここではその説明を省略する。

　次に、ステップＳ１０１０では、パラメータ判定部は、クライアント環境から取得した攻撃対象情報及びネットワーク構造情報１０１５に基づいて、攻撃対象の重要度を示す重要度パラメータを判定する。
　なお、重要度パラメータを判定する場合の詳細は図８を参照して説明したため、ここではその説明を省略する。

　次に、ステップＳ１０１２では、パラメータ判定部は、ステップＳ１００４でクライアント環境から取得したデータログ情報に記録されている各セキュリティイベントの検出時刻に基づいてセキュリティイベント間の時間間隔を計算する。
　なお、このセキュリティイベント間の時間間隔を計算する場合の詳細は図５を参照して説明したため、ここではその説明を省略する。

　次に、ステップＳ１０１４では、パラメータ判定部は、ステップＳ１０１２で計算したセキュリティイベント間の時間間隔と、攻撃速度テーブル６００とに基づいて、サイバー攻撃の速度を示す速度パラメータを判定する。
　なお、速度パラメータを判定する場合の詳細は既に図６～図７を参照して説明したため、ここではその説明を省略する。

　次に、ステップＳ１０１６では、サイバーセキュリティ管理装置の優先度判定部（例えば、図２に示す優先度判定部２５６）は、ステップＳ１００８で判定した進行パラメータと、ステップＳ１０１０で判定した資産重要度パラメータと、ステップＳ１０１４で判定した速度パラメータと、事前に作成された優先度評価テーブル２６０とを用いて、サイバー攻撃の優先度を判定する。
　なお、進行パラメータと、資産重要度パラメータと、速度パラメータと、優先度評価テーブル２６０とを用いてサイバー攻撃の優先度を判定する場合の詳細は、図９を参照して説明したため、ここではその説明を省略する。

　次に、ステップＳ１０１８では、優先度判定部は、ステップＳ１０１６で計算したサイバー攻撃の優先度を示す優先度情報をクライアント環境に送信する。この優先度情報は、例えばサイバー攻撃が終了する前にリアルタイムで送信されてもよい。これにより、サイバー攻撃がリアルタイムで進行するにつれて、最適なサイバー攻撃対策を判断し、実行することができる。

　次に、ステップＳ１０２０では、情報取得部が追加の情報（例えば、最新のデータログ情報、更新した攻撃対象情報、ネットワーク構造情報又は攻撃手法情報）を受信した場合、本処理はステップＳ１００４へ戻り、追加の情報がステップＳ１００６～Ｓ１０１６で処理される。

　以上説明した優先度判定処理１０００によれば、非時間依存のパラメータのみならず、サイバー攻撃のリアルタイムの進行を示す時間依存のパラメータを用いてサイバー攻撃の優先度を判定することで、サイバー攻撃の被害を最小限に抑えるための最適な対策の判断を容易にすることができる。

　次に、図１１～図１４を参照して、本開示の実施形態に係るユーザインターフェースについて説明する。図１１～図１４に示す画面のそれぞれは、サイバーセキュリティ管理装置２５０又はクライアント環境２２０に接続されているディスプレイ（図２に図示せず）等に表示されてもよい。

　図１１は、本開示の実施形態に係る資産重要度を確認するための資産重要度確認画面１１００を示す図である。図１１に示すように、資産重要度確認画面１１００は、ネットワーク構成ウインドウ１１１０と、画面切り替えウインドウ１１２０と、データログ情報テーブル１１３０とを含む。

　ネットワーク構成ウインドウ１１１０では、サイバー攻撃の攻撃対象となったコンピューティング資産を含むネットワーク（例えば、図２に示すクライアント環境２２０）のネットワーク構成が表示される。上述したように、ある実施形態では、このネットワークのネットワーク構成は、相対的な重要度が異なるネットワーク階級に分けられて表示される。一例として、このネットワークのネットワーク構成は、重要度が「高」、「中」、「低」との３つの階級に分けられてもよい。そして、攻撃対象となった資産は、この重要度毎に分けられたネットワーク構成において、強調表示されてもよい。これにより、資産重要度確認画面１１００を閲覧するユーザは、攻撃対象となったコンピューティング資産の重要度を容易に確認することができる。

　画面切り替えウインドウ１１２０では、資産重要度確認画面、攻撃速度確認画面、攻撃進行確認画面及び攻撃優先度確認画面のそれぞれの画面に切り替えるためのボタンが表示される。ユーザは、いずれかのボタンを押すことにより、所望の確認画面に切り替えることができる。

　データログ情報テーブル１１３０では、サイバー攻撃の攻撃対象となったコンピューティング資産について取得されたデータログ情報が表示される。例えば、図１１に示すように、このデータログ情報テーブル１１３０は、サイバー攻撃における各セキュリティイベントの検出時刻、対象となった装置、データログの種類、攻撃手法、及び攻撃対象となったコンピューティング資産の重要度等の情報を含んでもよい。データログ情報テーブル１１３０によれば、ユーザは、現在進行中のサイバー攻撃に関する情報をリアルタイムで確認することができる。

　図１２は、本開示の実施形態に係るサイバー攻撃の進行の度合いを確認するための攻撃進行確認画面１２００を示す図である。図１２に示すように、攻撃進行確認画面１２００は、攻撃手法情報表示ウインドウ１２１０と、画面切り替えウインドウ１１２０と、データログ情報テーブル１１３０とを含む。

　攻撃手法情報表示ウインドウ１２１０では、サイバー攻撃の攻撃手法を特定するための攻撃手法情報が表示される。この攻撃手法情報表示ウインドウ１２１０で表示される攻撃手法情報は、例えば上述したセキュリティ機関（例えば、図２に示すセキュリティ機関２１０）から取得した情報であり、図４に示す攻撃手法テーブル４００と実質的に同様の情報であってもよい。図１２に示すように、攻撃手法情報表示ウインドウ１２１０では、現在進行中のサイバー攻撃において使用された攻撃手法は、強調表示されてもよい。上述したように、これらの攻撃手法は、サイバー攻撃の進行の度合いを示す指標の一つである。従って、このように、攻撃進行確認画面１２００を閲覧するユーザは、サイバー攻撃の進行の度合いを容易に確認することができる。

　図１３は、本開示の実施形態に係るサイバー攻撃の速度を確認するための攻撃速度確認画面１３００を示す図である。図１３に示すように、攻撃速度確認画面１３００は、サイバー攻撃速度ウインドウ１３１０と、画面切り替えウインドウ１１２０と、データログ情報テーブル１１３０とを含む。

　サイバー攻撃速度ウインドウ１３１０では、サイバー攻撃におけるセキュリティイベントの時間間隔の推移がグラフ形式で表示される。上述したように、サイバー攻撃におけるセキュリティイベントの時間間隔は、サイバー攻撃の進行の速度を示す指標の一つである。ある実施形態では、サイバー攻撃速度ウインドウ１３１０に表示されるグラフは、サイバー攻撃の速度が「高」、「中」、「低」との３つの階級に分けられてもよい。これらの段階は色別に分けられてもよい。このように、攻撃速度確認画面１３００を閲覧するユーザは、サイバー攻撃の速度を容易に確認することができる。

　図１４は、本開示の実施形態に係るサイバー攻撃の優先度を確認するための優先度確認画面１４００を示す図である。図１４に示すように、優先度確認画面１４００は、優先度評価テーブルを示す優先度評価ウインドウ１４１０と、画面切り替えウインドウ１１２０と、データログ情報テーブル１１３０とを含む。

　優先度評価ウインドウ１４１０では、優先度評価テーブルが表示される。この優先度評価テーブルは、例えば、上述したように、サイバー攻撃の優先度を判定するために用いられたテーブルである。図１４に示すように、ある実施形態では、サイバー攻撃の評価結果（つまり、優先度を示す優先度情報）は、優先度評価テーブルにおいて反映されてもよい。これにより、優先度確認画面１４００を閲覧するユーザは、それぞれの時間依存パラメータ及び非時間依存のパラメータについて、優先度の判定結果を確認することができる。

　以上説明した図１１～図１４に示すユーザインターフェースによれば、ユーザは、サイバー攻撃を特徴付けるそれぞれの時間依存パラメータ及び非時間依存のパラメータをリアルタイムで確認することができる。

　本発明の態様は、装置、方法、システム、プログラム等、任意の形態で実施されてもよい。ある実施形態では、本発明は、外部装置の記憶媒体から通信ネットワーク経由、又は可搬型記憶媒体経由で任意のコンピューティング環境において導入されるプログラムとして実施されてもよい。
　この場合、本発明の一態様は、サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報として、前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報と、前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とを取得する工程と、前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算する工程と、前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを判定する工程と、前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定する工程と、判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを判定する工程と、前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定する工程と、判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを判定する工程と、前記サイバー攻撃の進行速度、前記サイバー攻撃の進行の度合い及び前記攻撃対象の重要度を前記サイバー攻撃の優先度に対応付ける優先度評価テーブルと、前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとに基づいて、前記サイバー攻撃の優先度を判定する工程と、判定した前記優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、出力する工程とをコンピュータに実施させるためのコンピュータープログラムを記憶した記憶媒体を含んでもよい。

　以上、本発明の実施の形態について説明したが、本発明は、上述した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能である。

２００...サイバーセキュリティ管理システム、２１０...セキュリティ機関、２１２...サーバ装置、２２０...クライアント環境、２２１、２２２、２２３...クライアント装置、２３０...通信ネットワーク、２５０...サイバーセキュリティ管理装置、２５２...情報取得部、２５４...パラメータ判定部、２５６...優先度判定部、２５８...記憶部、２６０...優先度評価テーブル

Claims

　サイバーセキュリティ管理装置であって、
　サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報を取得する情報取得部と、
　前記攻撃評価情報に基づいて、前記サイバー攻撃を評価する評価基準として、時間に依存する時間依存パラメータと、時間に依存しない非時間依存パラメータとを判定するパラメータ判定部と、
　前記時間依存パラメータと、前記非時間依存パラメータとに基づいて、前記サイバー攻撃に関する優先度を判定する優先度判定部と、
　を含むことを特徴とするサイバーセキュリティ管理装置。
　前記情報取得部は、
　前記攻撃評価情報として、
　前記攻撃対象に対する前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報と、
　前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、
　前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報と、
　を取得することを特徴とする、請求項１に記載のサイバーセキュリティ管理装置。
　前記パラメータ判定部は、
　前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算し、
　前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを、前記時間依存パラメータとして判定する、
　ことを特徴とする、請求項２に記載のサイバーセキュリティ管理装置。
　前記パラメータ判定部は、
　前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定し、
　判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを、前記時間依存パラメータとして判定する、
　ことを特徴とする、請求項３に記載のサイバーセキュリティ管理装置。
　前記パラメータ判定部は、
　前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定し、
　判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを前記非時間依存パラメータとして判定する、
　ことを特徴とする、請求項４に記載のサイバーセキュリティ管理装置。
　前記サイバーセキュリティ管理装置は、
　前記サイバー攻撃の進行速度と、前記サイバー攻撃の進行の度合いと、前記攻撃対象の重要度とを、前記サイバー攻撃の優先度に対応付ける優先度評価テーブルを格納する記憶部を更に含み、
　前記優先度判定部は、
　前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとを、前記優先度評価テーブルに比較することで、前記サイバー攻撃の優先度を判定する、
　ことを特徴とする、請求項５に記載のサイバーセキュリティ管理装置。
　前記優先度判定部は、
　前記サイバー攻撃の優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、出力する、
　ことを特徴とする、請求項１に記載のサイバーセキュリティ管理装置。
　サイバーセキュリティ管理方法であって、
　サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報として、前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報と、前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報と、前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とを取得する工程と、
　前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算する工程と、
　前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを判定する工程と、
　前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定する工程と、
　判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを判定する工程と、
　前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定する工程と、
　判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを判定する工程と、
　前記サイバー攻撃の進行速度、前記サイバー攻撃の進行の度合い及び前記攻撃対象の重要度を前記サイバー攻撃の優先度に対応付ける優先度評価テーブルと、前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとに基づいて、前記サイバー攻撃の優先度を判定する工程と、
　判定した前記優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、出力する工程と、
　を含むことを特徴とするサイバーセキュリティ管理方法。
　サイバーセキュリティ管理システムであって、
　サイバー攻撃に対抗するための情報を提供するセキュリティ機関サーバ装置と、
　サイバー攻撃の攻撃対象となるクライアント装置と、
　サイバー攻撃の優先度を判定するためのサイバーセキュリティ管理装置と、
　を含み、
　前記サイバーセキュリティ管理装置は、
　サイバー攻撃の対象である攻撃対象に対するサイバー攻撃を評価するための攻撃評価情報として、前記サイバー攻撃におけるセキュリティイベントを示すデータログ情報を前記クライアント装置から取得し、
　前記サイバー攻撃の攻撃手法を特定するための攻撃手法情報を前記セキュリティ機関サーバ装置から取得し、
　前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報と前記クライアント装置から取得する情報取得部と、
　前記データログ情報に基づいて、前記セキュリティイベントの時間間隔を計算し、前記セキュリティイベントの時間間隔に基づいて、前記サイバー攻撃の進行速度を示す速度パラメータを判定し、
　前記攻撃手法情報に基づいて、前記サイバー攻撃の攻撃手法を判定し、判定した前記攻撃手法に基づいて、前記サイバー攻撃の進行の度合いを示す進行パラメータを判定し、
　前記攻撃対象に関する攻撃対象情報と、前記攻撃対象を含むネットワーク構造を示すネットワーク構造情報とに基づいて、前記攻撃対象のネットワーク構造におけるネットワーク階級を判定し、判定した前記攻撃対象のネットワーク階級に基づいて、前記攻撃対象の重要度を示す資産重要度パラメータを判定するパラメータ判定部と、
　前記サイバー攻撃の進行速度、前記サイバー攻撃の進行の度合い及び前記攻撃対象の重要度を前記サイバー攻撃の優先度に対応付ける優先度評価テーブルと、前記速度パラメータと、前記進行パラメータと、前記資産重要度パラメータとに基づいて、前記サイバー攻撃の優先度を判定し、
　判定した前記優先度を示す優先度情報を、前記サイバー攻撃が終了する前に生成し、前記クライアント装置に送信する優先度判定部と、
　を含むことを特徴とするサイバーセキュリティ管理システム。