WO2023063392A1

WO2023063392A1 - 制御方法、サーバ、プログラム、及び、セキュリティ分析システム

Info

Publication number: WO2023063392A1
Application number: PCT/JP2022/038219
Authority: WO
Inventors: 達海大庭; 勇二海上; 直央西田; 琢士平本
Original assignee: パナソニックインテレクチュアルプロパティコーポレーションオブアメリカ
Priority date: 2021-10-13
Filing date: 2022-10-13
Publication date: 2023-04-20
Also published as: CN118076952A

Abstract

本開示の制御方法は、それぞれ分散台帳を有する複数のサーバにおける一のサーバによって実行され、分析の依頼を一意に示す分析依頼ＩＤと当該分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを取得し（Ｓ１）、取得した依頼トランザクションデータをブロックに含めて分散台帳に記録する（Ｓ２）。記録された依頼トランザクションデータに含まれる分析依頼ＩＤに対応する分析結果と、当該関連情報のうち分析結果に関連するログ情報と、分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを取得し（Ｓ３）、分析トランザクションデータに対する正当性の検証結果を取得してそれを含むブロックを生成し（Ｓ４）、取得した検証結果により分析トランザクションデータの正当性が検証されたことが示される場合、分析トランザクションデータを含むブロックを分散台帳に記録する（Ｓ５）。

Description

制御方法、サーバ、プログラム、及び、セキュリティ分析システム

　本開示は、制御方法、サーバ、プログラム、及び、セキュリティ分析システムに関する。

　例えば特許文献１には、情報セキュリティにおける脅威を分析するための技術として、情報セキュリティにおける脅威の分析を支援することができる脅威分析支援装置等が開示されている。

　一方、情報セキュリティにおける脅威は、高度化かつ複雑化しており、分析者に高い専門性が必要になっている。このため、企業等のユーザは、ＩＤＳ（Intrusion Detection System；侵入検出システム）、ＳＩＥＭ（Security Information and Event Management）などで検知された異常の分析を、専門の分析者に依頼するケースが増えている。専門の分析者としては、例えばＳＯＣ（Security Operation Center)などが知られており、ユーザは１社のＳＯＣ事業者と契約し、情報セキュリティにおける脅威の監視サービスを受けることになる。

特開２０２２－１０１７１６号公報

　しかしながら、１社のＳＯＣ事業者による監視サービスを受ける場合、監視サービスの費用が高騰したり、対応可能な時間帯に制限があったりする問題がある。また、１社のＳＯＣ事業者に属する分析者のみで異常の分析を行うため、ユーザは分析結果の正当性を検証しにくく、不正があっても気づきにくいという問題もある。そして、上記特許文献１で開示される技術でも、これらの問題を解消し得ることはできない。

　本開示は、上述の事情を鑑みてなされたもので、セキュリティ分析の分析結果の正当性を検証可能、かつ、不正を抑制できる制御方法などを提供する。

　上記目的を達成するために、本開示の一形態に係る制御方法は、それぞれ分散台帳を有する複数のサーバを備えるセキュリティ分析システムにおける一のサーバによって実行される制御方法であって、分析の依頼を一意に示す分析依頼ＩＤと前記分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを取得し、取得した前記依頼トランザクションデータをブロックに含めて前記分散台帳に記録し、記録された前記依頼トランザクションデータに含まれる前記分析依頼ＩＤに対応する分析結果と、前記関連情報のうち前記分析結果に関連するログ情報と、前記分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを、取得して前記分析トランザクションデータを含むブロックを生成し、前記分析トランザクションデータに含まれる前記分析結果に対する正当性の検証結果を取得し、取得した前記検証結果により前記分析トランザクションデータに含まれる前記分析結果の正当性が検証されたことが示される場合、前記分析トランザクションデータを含むブロックを前記分散台帳に記録する。

　なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本開示の制御方法等によれば、セキュリティ分析の分析結果の正当性を検証可能、かつ、不正を抑制できる。

図１は、実施の形態に係るセキュリティ分析システムの構成の一例を示すブロック図である。図２は、実施の形態に係る分析依頼設定記憶部に保存されているデフォルトの設定情報の一例を示す図である。図３は、実施の形態に係る分析依頼表の一例を示す図である。図４は、実施の形態に係るアクセス方法が行われているセキュリティ製品の画面の一例を示す図である。図５は、実施の形態に係る分析トランザクションデータに含まれる分析結果の一例を示す図である。図６は、実施の形態に係る脅威インテリジェンス情報の一例を示す図である。図７は、実施の形態に係る分析トランザクションデータに含まれる分析結果の正当性の検証を行う方法の一例の説明図である。図８Ａは、実施の形態に係る同一の分析依頼ＩＤに対して生成された分析トランザクションデータ１に含まれる分析結果の一例を示す。図８Ｂは、実施の形態に係る同一の分析依頼ＩＤに対して生成された分析トランザクションデータ２に含まれる分析結果の一例を示す。図９は、実施の形態に係るセキュリティ分析システムにより実行される処理概要を示すフローチャートである。図１０は、本実施の形態に係るアラート分析処理例の概要を示すフローチャートである。図１１は、図１０に示すスマートコントラクト登録処理の詳細を示すフローチャートである。図１２は、図１０に示すアラート分析依頼処理の詳細を示すフローチャートである。図１３は、図１０に示す分析結果送信処理の詳細を示すフローチャートである。図１４は、図１０に示す検証結果送信処理の詳細を示すフローチャートである。図１５は、図１０に示す手数料支払い処理の詳細を示すフローチャートである。図１６は、実施の形態に係るアラート分析処理の一例を示すシーケンス図である。図１７は、実施の形態に係る脅威ハンティング分析処理の一例を示すシーケンス図である。図１８は、本開示に係るブロックチェーン上でセキュリティ分析を委託するプラットフォームの説明図である。

　本開示の第１形態は、それぞれ分散台帳を有する複数のサーバを備えるセキュリティ分析システムにおける一のサーバによって実行される制御方法であって、分析の依頼を一意に示す分析依頼ＩＤと前記分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを取得し、取得した前記依頼トランザクションデータをブロックに含めて前記分散台帳に記録し、記録された前記依頼トランザクションデータに含まれる前記分析依頼ＩＤに対応する分析結果と、前記関連情報のうち前記分析結果に関連するログ情報と、前記分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを、取得して前記分析トランザクションデータを含むブロックを生成し、前記分析トランザクションデータに含まれる前記分析結果に対する正当性の検証結果を取得し、取得した前記検証結果により前記分析トランザクションデータに含まれる前記分析結果の正当性が検証されたことが示される場合、前記分析トランザクションデータを含むブロックを前記分散台帳に記録する、制御方法である。

　これによれば、セキュリティ分析の分析結果の正当性を検証可能、かつ、不正を抑制できる。

　より具体的には、分析トランザクションデータに含まれる分析結果に対する正当性が検証された場合、生成されていた分析トランザクションデータを含むブロックを分散台帳に記録する。

　これにより、セキュリティ分析の分析結果の正当性を検証可能できるだけでなく、ブロックチェーンの改ざん不可能性の機能を活用して不正を抑制できる。

　さらに、依頼トランザクションデータが分散台帳に記録されるので、１社のＳＯＣ事業者に限らず複数のＳＯＣ事業者すなわち複数の分析者にコンペティション方式でセキュリティ分析の依頼をすることができる。この結果、分析者間で競争原理を働かせることができるので、高速かつ低コストにセキュリティ分析の分析結果を得ることができる。

　ここで、本開示の第２形態は、例えば、前記分析が、セキュリティ製品で発生したアラートの分析であり、前記依頼トランザクションデータは、セキュリティ製品で発生したアラートの情報と、前記分析依頼ＩＤと、前記アクセス方法とを含み、前記分析トランザクションデータに含まれる前記ログ情報が、前記関連情報のうち前記分析結果に関連する、かつ、前記分析に利用したログ情報であり、前記分析トランザクションデータに含まれる前記脅威インテリジェンス情報が、前記分析結果の根拠となり、かつ、前記アラートの原因に相当する脅威インテリジェンス情報である、第１形態の制御方法である。

　これにより、セキュリティ分析としてセキュリティ製品で発生したアラートの分析が行われるので、発生したアラートの分析結果の正当性を検証可能、かつ、不正を抑制できる。さらに、分析者間で競争原理を働かせることができるので、高速かつ低コストにアラートの分析結果を得ることができる。

　また、本開示の第３形態は、例えば、前記依頼トランザクションデータに含まれる前記アクセス方法が、前記分析に利用可能な関連情報であって前記分析に必要な関連情報のアクセス場所及びアクセス権限を含む、第２形態の制御方法である。

　このようにしてキュリティ製品で発生したアラートの分析を行うために必要な関連情報へのアクセス手段が提供される。これにより、セキュリティ製品で発生したアラートの分析がより容易に行われ得る。

　また、本開示の第４形態は、例えば、前記分析が、脅威ハンティングの分析であり、前記依頼トランザクションデータに含まれるアクセス方法が、前記分析に利用可能な関連情報であってセキュリティ監視を実行している環境を示す関連情報のアクセス場所及びアクセス権限を含み、前記分析トランザクションデータに含まれる前記ログ情報が、前記関連情報のうち前記分析結果に関連する、かつ、前記環境にアクセスして得られるログ情報であり、前記分析トランザクションデータに含まれる前記脅威インテリジェンス情報が、前記分析結果の根拠となり、かつ、前記ログ情報に紐づく脅威インテリジェンス情報である、第１形態の制御方法である。

　これにより、セキュリティ分析として脅威ハンティングの分析が行われるので、脅威ハンティングの分析結果の正当性を検証可能、かつ、不正を抑制できる。さらに、分析者間で競争原理を働かせることができるので、高速かつ低コストに脅威ハンティングの分析結果を得ることができる。

　また、本開示の第５形態は、例えば、前記依頼トランザクションデータには、さらに、前記分析の依頼に対する分析手数料を示す情報が含まれる、第１形態～第４形態のいずれかの制御方法である。

　このようにして、依頼するセキュリティ分析の報酬が分析者に提供されるので、分析者がセキュリティ分析を行うインセンティブとなる。よって、セキュリティ分析が迅速に行われ得る。

　また、本開示の第６形態は、例えば、さらに、前記依頼トランザクションデータを取得した後、かつ、前記分析トランザクションデータを取得する前に、前記分析依頼ＩＤと分析依頼の取り消しを示す情報とを含む取消トランザクションデータを取得し、前記取消トランザクションデータを前記分散台帳に記録した場合、前記分析依頼ＩＤにより特定される分析依頼がキャンセルされる、第１形態～第５形態のいずれかの制御方法である。

　これにより、セキュリティ分析の依頼を行った後に、当該依頼が他の依頼と差がなく不要になったり、当該依頼が誤っていたりした場合、当該依頼をキャンセルすることができる。

　また、本開示の第７形態は、例えば、前記分析トランザクションデータに含まれる前記脅威インテリジェンス情報には、認証されたセキュリティ企業によるデジタル署名が施されている、第１形態～第６形態のいずれかの制御方法である。

　このようにして、オープン情報である脅威インテリジェンス情報に、信頼できるセキュリティ企業によるデジタル署名が施される。これにより、脅威インテリジェンス情報が適当に捏造されることを防止できる。

　また、本開示の第８形態は、例えば、前記正当性の検証結果が、前記分析トランザクションデータに含まれる前記脅威インテリジェンス情報内に存在するマルウェアのシグネチャ情報と、前記分析トランザクションデータに含まれる前記ログ情報に含まれるトレース中のバイト列とのマッチングが行われることで得られた結果である、第１形態～第７形態のいずれかの制御方法である。

　このように、脅威インテリジェンス情報に含まれるパケットデータのバイト列であるシグネチャと、ログ情報に含まれるパケットデータのバイト列とのマッチングが行われる。そして、マッチングの結果、略一致している場合には、分析結果の正当性が検証されたことになる。

　また、本開示の第９形態は、例えば、前記正当性の検証結果が、仕様書情報に含まれる通信の発生条件と前記分析トランザクションデータに含まれるログ情報に含まれる実際に発生した通信内容とのマッチングが行われることで得られた結果である、第１形態～第７形態のいずれかの制御方法である。

　このように、仕様書情報に含まれる通信の発生条件と、観測された通信内容とのマッチングが行われる。そして、マッチングの結果、略一致している場合には、分析結果の正当性が検証されたことになる。

　また、本開示の第１０形態は、例えば、前記依頼トランザクションデータが、さらに、前記分析の種類を指定するタグを１以上含んでおり、前記分析トランザクションデータが、さらに、前記分析結果を得るために行われた前記分析の種類を示すタグを１以上含んでいる、第１形態～第９形態のいずれかの制御方法である。

　このように、依頼トランザクションデータと分析トランザクションデータとに、分析の種類を示すタグが含まれることにより、当該分析によって判明する事項としてアラートの原因、アラートの影響範囲、感染有無、または、窃取されたデータを分析する等が明確化される。これにより、セキュリティ分析の分析結果の正当性をより容易に検証可能になる。

　また、本開示の第１１形態は、例えば、前記アクセス方法に含まれる情報のうち、前記分析を依頼するユーザを特定可能な情報が、匿名化されている、第１形態～第１０形態のいずれかの制御方法である。

　これにより、ＩＰアドレス、ＭＡＣアドレス等、分析を依頼するユーザを特定可能な情報が匿名化されるので、ユーザは、特定されることなくセキュリティ分析の分析結果を得ることができる。

　また、本開示の第１２形態は、例えば、前記依頼トランザクションデータに含まれるアクセス方法には、前記分析を依頼するユーザが利用しているＳＩＥＭ（Security Information and Event Management）へのリモートアクセス権が含まれている、第１形態～第１１形態のいずれかの制御方法である。

　これにより、分析を依頼するユーザが利用しているセキュリティ製品であるＳＩＥＭを介して、分析に利用可能な関連情報が得られるアクセス手段が提供される。これにより、セキュリティ分析がより容易に行われ得る。

　また、本開示の第１３形態は、例えば、前記依頼トランザクションデータに含まれるアクセス方法には、前記分析に利用可能な関連情報のうち前記分析に必要なログ情報を取得するための操作を示す情報が含まれている、第１形態～第１２形態のいずれかの制御方法である。

　これにより、分析に利用可能な関連情報が得られるアクセス手段として、当該分析に必要なログ情報を得るための操作が提供される。これにより、セキュリティ分析がより容易に行われ得る。

　また、本開示の第１４形態は、例えば、取得した前記検証結果に、前記分析トランザクションデータが検証対象から除外されたことが示されている場合、前記分析トランザクションデータが前記分散台帳に記録されない、第１形態～第１３形態のいずれかの制御方法である。

　ここで、本開示の第１５形態は、例えば、検証対象の前記分析トランザクションデータに含まれる分析結果と、前記検証対象より過去に発生した前記分析トランザクションデータに含まれる分析結果との類似度が算出され、算出された前記類似度が所定の閾値を超過する場合、前記検証対象の前記分析トランザクションデータに含まれる前記分析結果に対する正当性が検証されず、前記検証結果には、前記検証対象の前記分析トランザクションデータが前記検証対象から除外されたことが示される、第１４形態の制御方法である。

　このように、１つのセキュリティ分析の依頼に対して同じ分析結果を含む複数の分析トランザクションデータが生成される場合、最先に生成されていない分析トランザクションデータに含まれる分析結果が検証されず、分散台帳に記録されない。これにより、分析者間で競争原理を働かせることができるので、高速かつ低コストにセキュリティ分析の分析結果を得ることができる。

　また、本開示の一形態に係るサーバは、それぞれ分散台帳を有する複数のサーバを備えるセキュリティ分析システムにおける一のサーバであって、プロセッサとメモリとを備え、前記プロセッサは、前記メモリを用いて、分析の依頼を一意に示す分析依頼ＩＤと前記分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを取得し、前記プロセッサは、取得した前記依頼トランザクションデータをブロックに含めて前記分散台帳に記録する記録部と、前記プロセッサは、記録された前記依頼トランザクションデータに含まれる前記分析依頼ＩＤに対応する分析結果と、前記関連情報のうち前記分析結果に関連するログ情報と、前記分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを、取得して前記分析トランザクションデータを含むブロックを生成し、前記プロセッサは、前記分析トランザクションデータに含まれる前記分析結果に対する正当性の検証結果を取得し、前記プロセッサは、取得した前記検証結果により前記分析トランザクションデータに含まれる前記分析結果の正当性が検証されたことが示される場合、前記分析トランザクションデータを含むブロックを前記分散台帳に記録する。

　また、本開示の一形態に係るセキュリティ分析システムは、分析を依頼するユーザ端末と、前記分析の依頼を実行する分析者端末と、それぞれ分散台帳を有する複数のサーバとを備え、前記複数のサーバのうちの一のサーバは、プロセッサとメモリとを有し、前記プロセッサは、前記メモリを用いて、前記分析の依頼を一意に示す分析依頼ＩＤと前記分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを、前記ユーザ端末から取得し、前記プロセッサは、取得した前記依頼トランザクションデータをブロックに含めて前記分散台帳に記録する記録部と、前記プロセッサは、記録された前記依頼トランザクションデータに含まれる前記分析依頼ＩＤに対応する分析結果と、前記関連情報のうち前記分析結果に関連するログ情報と、前記分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを、前記分析者端末から取得し、前記プロセッサは、前記分析トランザクションデータに含まれる前記分析結果に対する正当性の検証結果を取得して前記分析トランザクションデータを含むブロックを生成し、前記プロセッサは、取得した前記検証結果により前記分析トランザクションデータに含まれる前記分析結果の正当性が検証されたことが示される場合、前記分析トランザクションデータを含むブロックを前記分散台帳に記録する。

　以下、図面を参照しながら、実施の形態について説明する。なお、以下で説明する実施の形態は、いずれも本開示の好ましい一具体例を示す。つまり、以下の実施の形態で示される数値、構成要素、構成要素の配置及び接続形態、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。本開示は、請求の範囲の記載に基づいて特定される。したがって、以下の実施の形態における構成要素のうち、独立請求項に記載されていない構成要素は、本開示の課題を達成するために必ずしも必要ではないが、より好ましい形態を構成する構成要素として説明される。

　（実施の形態）
　以下では、図面を参照しながら、実施の形態に係るセキュリティ分析システムについて説明する。

　［セキュリティ分析システム１の構成］
　本開示のセキュリティ分析システム１は、ブロックチェーン上でセキュリティ分析を委託する仕組みを実現した上で、セキュリティ分析の分析結果の正当性を検証可能にし、かつ、不正を抑制できる。

　図１は、実施の形態に係るセキュリティ分析システム１の構成の一例を示すブロック図である。

　本実施の形態に係るセキュリティ分析システム１は、図１に示されるように、ユーザ端末１０と、ブロックチェーンプラットフォーム２０と、１以上の分析者端末３０と、１以上の検証者端末４０とを備える。これらは不図示のネットワークを介して通信可能に接続されている。ネットワークは、どのような通信回線またはネットワークから構成されてもよく、例えば、インターネットなどを含む。なお、図１では、セキュリティ分析システム１が、複数の分析者端末３０と、複数の検証者端末４０とを備える場合の例が示されているが、これに限らない。つまり、セキュリティ分析システム１は、１以上の分析者端末３０と、１以上の検証者端末４０とを備えていればよい。

　［ユーザ端末１０］
　ユーザ端末１０は、セキュリティ製品としてＩＤＳまたはＳＩＥＭを導入しているユーザ企業、ユーザ施設で使用されているパソコン、タブレットなどの端末機器である。ユーザ端末１０は、ネットワークに接続可能であり、ブロックチェーンプラットフォーム２０を構成する複数のサーバと通信可能である。

　本実施の形態では、ユーザ端末１０は、ユーザ企業またはユーザ施設で使用され、セキュリティ分析の依頼として、セキュリティ製品で発生したアラートの分析の依頼を行う。なお、セキュリティ分析は、アラートの分析に限らない。ＳＯＣでなされる分析には脅威ハンティングも含まれるため、セキュリティ分析は、脅威ハンティングの分析であってもよい。脅威ハンティングの分析は、従来の方法で検知が難しい脅威に対して、それらがすでに脅威が侵入していると仮定してネットワーク内部で何が起こっているのか、不審なログ等を収集し分析する手法である。

　ユーザ端末１０は、図１に示すように、分析依頼設定記憶部１０１と、通信部１０２と、分析依頼実行受付部１０３と、分析依頼生成部１０４とを備える。ここで、ユーザ端末１０は、プロセッサと、プロセッサに所定の処理を実行させるプログラムが記憶されたメモリと通信インターフェイス等とを備える。つまり、ユーザ端末１０は、プロセッサがメモリを用いて所定のプログラムを実行することで各構成の機能を実現する。

　以下、各構成について説明する。

　＜分析依頼設定記憶部１０１＞
　分析依頼設定記憶部１０１は、セキュリティ分析の依頼に必要なデフォルトの設定情報を保存している。分析依頼設定記憶部１０１は、ＨＤＤ（Hard Disk Drive）またはＳＳＤ（Solid State Drive）などにより実現される。

　図２は、実施の形態に係る分析依頼設定記憶部１０１に保存されているデフォルトの設定情報の一例を示す図である。図２には、ユーザが保有するＳＩＥＭでアラートが発生した場合に利用されるデフォルトの設定情報の一例が示されている。

　図２には、アラートの種別（alert_type）に応じて、どのログへのアクセスを許可するか（available_log_type）、利用可能なログの期間の指定（available_relative_period）の情報を含むデフォルトの設定情報が示されている。また、デフォルトの設定情報には、分析手数料（analysis_fee）の情報が含まれていてもよい。なお、これらの設定情報は、デフォルト値であるため、変更可能である。図２に示す例では、アラートの種別として、疑わしい通信と、ブルートフォース攻撃とが示されている。

　＜通信部１０２＞
　通信部１０２は、無線または有線の通信インターフェイスであり、ブロックチェーンプラットフォーム２０を構成する複数のサーバとの通信を行う。また、通信部１０２は、トランザクションデータを送信したり、分析結果の確定通知を取得したりする。

　本実施の形態では、通信部１０２は、後述する分析依頼生成部１０４により生成された依頼トランザクションデータまたは分析手数料を登録するためのトランザクションデータを、ブロックチェーンプラットフォームを構成する複数のサーバのうちの一のサーバに送信する。また、通信部１０２は、後述する分析依頼生成部１０４により生成された取消トランザクションデータを一のサーバに送信する場合もある。

　＜分析依頼実行受付部１０３＞
　分析依頼実行受付部１０３は、ブロックチェーンプラットフォーム２０に、セキュリティ分析の依頼を行うかどうかを示すユーザの入力を受け付ける。分析依頼実行受付部１０３は、セキュリティ分析の依頼を行う旨の入力を受け付けた場合、分析依頼設定記憶部１０１から、セキュリティ分析の依頼に必要な設定情報を取得し、取得した設定情報の項目に変更がなければ、取得した設定情報を、分析依頼設定情報として確定する。

　また、分析依頼実行受付部１０３は、分析手数料のプール処理を行うかどうかを示すユーザの入力を受け付ける。

　なお、分析依頼実行受付部１０３は、ユーザが分析の依頼を取り消したい場合、取消対象の分析の依頼を示す分析依頼ＩＤと当該分析の依頼を取り消すことを示す情報との入力を受け付ける。

　＜分析依頼生成部１０４＞
　分析依頼生成部１０４は、分析の依頼を一意に示す分析依頼ＩＤと分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを生成する。

　より具体的には、分析依頼生成部１０４は、セキュリティ製品で発生したアラートの情報と、分析の依頼を一意に示す分析依頼ＩＤと、分析に利用可能な関連情報へのアクセス方法とが含まれる依頼トランザクションデータを生成する。このような依頼トランザクションデータを生成することで、セキュリティ分析としてセキュリティ製品で発生したアラートの分析が行われる。ここで、依頼トランザクションデータに含まれるアクセス方法は、アラートの分析に利用可能な関連情報であって分析に必要な関連情報のアクセス場所及びアクセス権限を含んでいてもよい。このようなアクセス方法を含むことで、セキュリティ製品で発生したアラートの分析を行うために必要な関連情報へのアクセス手段が提供される。これにより、セキュリティ製品で発生したアラートの分析がより容易に行われ得る。

　また、依頼トランザクションデータには、さらに、分析の依頼に対する分析手数料を示す情報が含まれていてもよいし、分析の種類を指定するタグを１以上含んでいてもよい。依頼トランザクションデータに分析手数料を示す情報を含むことで、依頼するセキュリティ分析の報酬が分析者に提供されるので、分析者がセキュリティ分析を行うインセンティブとなる。よって、セキュリティ分析が迅速に行われ得ることが期待できる。また、依頼トランザクションデータに分析の種類を示すタグを含むことで、当該分析によって判明する事項として例えばアラートの原因、アラートの影響範囲、感染有無、または、窃取されたデータを分析する等が明確化される。

　なお、依頼トランザクションデータに含まれるアクセス方法には、分析を依頼するユーザが利用しているＳＩＥＭへのリモートアクセス権が含まれていてもよいし、分析に利用可能な関連情報のうち分析に必要なログ情報を取得するための操作を示す情報が含まれていてもよい。アクセス方法にＳＩＥＭへのリモートアクセス権が含まれる場合、分析を依頼するユーザが利用しているセキュリティ製品であるＳＩＥＭを介して、分析に利用可能な関連情報が得られるアクセス手段が提供される。これにより、セキュリティ分析がより容易に行われ得る。また、アクセス方法に分析に必要なログ情報を取得するための操作を示す情報が含まれる場合、分析に利用可能な関連情報が得られるアクセス手段として、当該分析に必要なログ情報を得るための操作が提供される。これにより、セキュリティ分析がより容易に行われ得る。

　さらに、依頼トランザクションデータに含まれるアクセス方法に含まれる情報のうち、分析を依頼するユーザを特定可能な情報は、匿名化されていてもよい。これにより、ＩＰアドレス、ＭＡＣアドレス等、分析を依頼するユーザを特定可能な情報が匿名化されるので、ユーザは、自身が特定されることなくセキュリティ分析の分析結果を得ることができる。

　本実施の形態では、分析依頼生成部１０４は、確定した分析依頼設定情報をもとに、セキュリティ分析の依頼を行うために、セキュリティ分析の依頼を示す情報を含む依頼トランザクションデータを生成する。より具体的には、分析依頼生成部１０４は、確定した分析依頼設定情報をもとに、分析依頼表を生成し、生成した分析依頼表を示すデータを含む依頼トランザクションデータを生成する。

　図３は、実施の形態に係る分析依頼表の一例を示す図である。図３には、ユーザが保有するＳＩＥＭでアラートが発生した場合にユーザ端末１０により生成されたアラート分析依頼表の一例が示されている。

　図３に示すように、アラート分析依頼表では、アラートの分析依頼ＩＤ（request_id）と、ユーザ環境でアラートが発生した時刻（date）と、ユーザ環境で定義されたアラート種別(alert_type)とが少なくとも含まれる。アラート分析依頼表には、ユーザ環境におけるアラートの識別子(alert_id)が含まれてもよい。

　また、アラート分析依頼表には、分析者がアラート分析に利用可能な関連情報へのアクセス方法が含まれる。図３に示す例では、アクセス方法として、分析者が利用できるＳＩＥＭソフトウェア名(available_siem)、分析者がアクセスできるＳＩＥＭログの期間(available_period)、分析者が利用できるログ種別（available_log_type）、分析者がＳＩＥＭにアクセスするためのＵＲＬ(access_url)などが含まれている。なお、アクセス方法は、発生したアラートのＩＤＳログとユーザの分析環境のアクセス手段であってもよい。また、図３に示すアラート分析依頼表には、アラート分析を行った場合の分析手数料(analysis_fee)も含まれている。

　このように、図３に示す分析依頼表には、セキュリティ製品で発生したアラートの情報と、分析依頼ＩＤと、分析に利用可能な関連情報へのアクセス方法と、分析手数料とが含まれている。

　また、分析依頼生成部１０４は、分析依頼実行受付部１０３が分析手数料のプール処理を行う旨の入力を受け付けた場合、分析手数料の支払い用のプール金を登録するためのトランザクションデータを生成する。

　なお、分析依頼生成部１０４は、分析依頼実行受付部１０３が取消対象の分析の依頼を示す分析依頼ＩＤと当該分析の依頼を取り消すことを示す情報との入力を受け付けた場合、分析依頼ＩＤと分析依頼の取り消しを示す情報とを含む取消トランザクションデータを生成する。また、アラート分析ではなく脅威ハンティング分析の依頼を行う場合、依頼トランザクションデータに含まれるアクセス方法に、脅威ハンティングの分析に利用可能な関連情報であってセキュリティ監視を実行している環境を示す関連情報のアクセス場所及びアクセス権限を含めればよい。これにより、セキュリティ分析として脅威ハンティングの分析が行われる。

　［ブロックチェーンプラットフォーム２０］
　ブロックチェーンプラットフォーム２０は、Ethereum、EOS、Ripple、NEM、Quorum、Hyperledger Fabricなどのブロックチェーンを実現でき、複数のノードにより構成される。複数のノードはそれぞれ、ネットワークを介して通信可能に接続され、独立に動作する。複数のノードは、例えばサーバであるが、一部のノードがスマートホン、タブレット、パーソナルコンピュータであってもよい。本実施の形態では、ブロックチェーンプラットフォーム２０は、複数のサーバで構成され、例えばEthereumなどのブロックチェーンを実現するとして説明する。また、複数のサーバのそれぞれは、分散台帳を有しており、分散台帳にブロックチェーンが格納されている。換言すると、複数のサーバのそれぞれは、ブロックチェーンを管理する。

　ブロックチェーンプラットフォーム２０を構成する複数のサーバのそれぞれは、図１に示すように、通信部２０１と、ブロックチェーン記憶部２０２と、処理部２０３とを備える。複数のサーバのそれぞれは、例えばＣＰＵなどのプロセッサがメモリを用いてプログラムを実行することで通信機能及び処理機能を実現し得る。

　＜通信部２０１＞
　通信部２０１は、無線または有線の通信インターフェイスであり、他のサーバとの通信を行ったり、ネットワークに接続されるユーザ端末１０、分析者端末３０または検証者端末４０との通信を行ったりする。

　本実施の形態では、通信部２０１は、トランザクションデータを送信したり、取得したりできる。また、通信部２０１は、分析結果に対する正当性の検証結果を取得してもよい。

　より具体的には、通信部２０１は、例えば分析の依頼を一意に示す分析依頼ＩＤと当該分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを取得する。また、通信部２０１は、例えば、依頼トランザクションデータに含まれる分析依頼ＩＤに対応する分析結果と、関連情報のうち分析結果に関連するログ情報と、分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを取得する。また、通信部２０１は、例えば、分析トランザクションデータに含まれる分析結果に対する正当性の検証結果を取得する。なお、通信部２０１は、分析結果に対する正当性の検証結果を含むトランザクションデータを取得する場合もある。また、分析の依頼には、アラート分析の依頼だけでなく脅威ハンティング分析の依頼もある。

　＜ブロックチェーン記憶部２０２＞
　ブロックチェーン記憶部２０２は、他のサーバ等のブロックチェーンと同じ内容のブロックチェーンが記憶されている。ブロックチェーン記憶部２０２には、分散台帳が格納されており、分散台帳にはブロックチェーンが格納されている。なお、ブロックチェーン記憶部２０２は、ＨＤＤ（Hard Disk Drive）またはＳＳＤ（Solid State Drive）などにより実現される。

　＜処理部２０３＞
　処理部２０３は、例えばＣＰＵなどのプロセッサがメモリを用いてプログラムを実行することで以下の処理機能を実現し得る。

　本実施の形態では、処理部２０３は、他のサーバとの間で、トランザクションデータについてのコンセンサスアルゴリズムを実行したり、取得したトランザクションデータを検証したりする。処理部２０３は、取得したトランザクションデータのフォーマットが合っているか、及び署名が正当であるかなどにより取得したトランザクションデータを検証することができる。

　また、処理部２０３は、コンセンサスアルゴリズムを経たトランザクションデータを分散台帳すなわちブロックチェーンに記録する処理も行う。処理部２０３は、コンセンサスアルゴリズムを経た１以上のトランザクションデータを含むブロックチェーンのブロックを生成し、ブロックチェーンに記録する。また、処理部２０３は、分散台帳すなわちブロックチェーンに記録され、かつ、オンメモリ上で稼働しているスマートコントラクトを実行する処理を行う。

　より具体的には、処理部２０３は、例えば、通信部２０１で取得した依頼トランザクションデータをブロックに含めて分散台帳すなわちブロックチェーンに記録する。また、処理部２０３は、例えば、通信部２０１で取得した検証結果により分析トランザクションデータに含まれる分析結果の正当性が検証されたことが示される場合、分析トランザクションデータをブロックに含めて分散台帳に記録する。

　また、処理部２０３は、特定の分析トランザクションデータに対する検証トランザクションデータを含むブロックを生成し、分散台帳すなわちブロックチェーンに記録する。すると、これをトリガに、処理部２０３は、オンメモリ上で稼働しているスマートコントラクトを実行させ、特定の分析トランザクションデータを作成した分析者と、当該検証トランザクションデータを作成した分析者に分析手数料を送付する処理を行う。

　なお、処理部２０３は、依頼トランザクションデータを取得した後、かつ、分析トランザクションデータを取得する前に、取消トランザクションデータを取得した場合、当該取消トランザクションデータを含むブロックを、分散台帳すなわちブロックチェーンに記録する処理を行う。この場合、取消トランザクションデータに含まれる分析依頼ＩＤにより特定される分析依頼がキャンセルされることになる。これにより、セキュリティ分析の依頼を行った後に、当該依頼が他の依頼と差がなく不要になったり、当該依頼が誤っていたりした場合、当該依頼をキャンセルすることができる。

　［分析者端末３０］
　分析者端末３０は、ＳＯＣ事業者などで使用されているパソコン、タブレットなどの端末機器である。なお、分析者端末３０は、分析者となる個人で使用されていてもよい。分析者端末３０は、ネットワークに接続可能であり、ブロックチェーンプラットフォーム２０を構成する複数のサーバと通信可能である。

　本実施の形態では、分析者端末３０は、ＳＯＣ事業者などに属する分析者に使用される。分析者端末３０は、ブロックチェーンに記録されたセキュリティ分析の依頼に基づき、仕様書、脅威インテリジェンス情報を利用してセキュリティ分析を行うことで分析結果を作成し、作成した分析結果を含む分析トランザクションデータを生成する。分析者端末３０は、図１に示すように、通信部３０１と、分析情報入力部３０２と、分析トランザクション生成部３０３とを備える。ここで、分析者端末３０は、プロセッサと、プロセッサに所定の処理を実行させるプログラムが記憶されたメモリと通信インターフェイス等とを備える。つまり、分析者端末３０は、プロセッサがメモリを用いて所定のプログラムを実行することで各構成の機能を実現する。

　以下、各構成について説明する。

　＜通信部３０１＞
　通信部３０１は、無線または有線の通信インターフェイスであり、ブロックチェーンプラットフォーム２０を構成する複数のサーバとの通信を行う。本実施の形態では、通信部３０１は、ブロックチェーンに記録された依頼トランザクションデータにアクセスし、依頼トランザクションデータに含まれる情報を取得したり、トランザクションデータを送信したりする。

　本実施の形態では、通信部３０１は、ブロックチェーンに記録された依頼トランザクションデータにアクセスし、アラートの情報と、分析依頼ＩＤと、分析に利用可能な関連情報へのアクセス方法とを取得する。また、通信部３０１は、後述する分析トランザクション生成部３０３により生成された分析トランザクションデータを、ブロックチェーンプラットフォームを構成する複数のサーバのうちの一のサーバに送信する。

　＜分析情報入力部３０２＞
　分析情報入力部３０２は、通信部３０１により入力された依頼トランザクションデータに含まれる情報を取得する。分析者は、公開されている脅威インテリジェンス情報を用いて、セキュリティ分析を行い得た分析結果を、分析情報入力部３０２に入力する。分析情報入力部３０２は、分析結果が入力されることで、分析結果を取得する。

　本実施の形態では、分析情報入力部３０２は、通信部３０１により入力された依頼トランザクションデータに含まれるアラートの情報と、分析依頼ＩＤと、分析に利用可能な関連情報へのアクセス方法とを取得する。分析情報入力部３０２は、取得したアクセス方法により、分析者がセキュリティ分析を行うために必要なアラートの概要、ログ情報を取得する。

　分析者は、取得したアラートの概要、ログ情報と、公開されている脅威インテリジェンス情報とを用いてアラートの分析を行うことで得た結果である分析結果を、分析情報入力部３０２に入力する。このようにして、分析情報入力部３０２は、依頼トランザクションデータに含まれる分析依頼ＩＤに対応する分析結果を取得することができる。

　図４は、実施の形態に係るアクセス方法が行われているセキュリティ製品の画面の一例を示す図である。図４では、図３に示されるURL(access_url)にアクセスすることで、ユーザが保有するＳＩＥＭの画面を介して、ＳＩＥＭで発生したアラートの概要と分析に必要なログ情報とが取得できる場合の一例が示されている。

　なお、図４に示す例では、Ticketの行からModel Breachedの行までがアラートの概要すなわちアラートに関する情報を示しており、Model Breachedより下の行では、特定期間のログ情報がダウンロードにより取得可能なことが示されている。

　＜分析トランザクション生成部３０３＞
　分析トランザクション生成部３０３は、分析情報入力部３０２に入力された分析結果をもとに、分析トランザクションデータを生成する。

　より具体的には、分析トランザクション生成部３０３は、依頼トランザクションデータに含まれる分析依頼ＩＤに対応する分析結果と、関連情報のうち分析結果に関連するログ情報と、分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを生成する。ここで、分析トランザクションデータに含まれるログ情報は、関連情報のうち分析結果に関連する、かつ、分析に利用したログ情報である。分析トランザクションデータに含まれる脅威インテリジェンス情報は、分析結果の根拠となり、かつ、アラートの原因に相当する脅威インテリジェンス情報である。なお、分析トランザクションデータに含まれる脅威インテリジェンス情報には、認証されたセキュリティ企業によるデジタル署名が施されていてもよい。このように、オープン情報である脅威インテリジェンス情報に、信頼できるセキュリティ企業によるデジタル署名が施されることにより、脅威インテリジェンス情報が適当に捏造されることを防止できる。

　分析トランザクションデータには、さらに、分析結果を得るために行われた分析の種類を示すタグを１以上含んでいてもよい。分析トランザクションデータに分析の種類を示すタグを含むことで、当該分析によって判明した、アラートの原因、アラートの影響範囲、感染有無、または、窃取されたデータを分析する等の事項を明確化することができる。これにより、後述する分析結果の正当性の検証が容易になる可能性がある。

　図５は、実施の形態に係る分析トランザクションデータに含まれる分析結果の一例を示す図である。

　図５に示す分析結果には、分析依頼ＩＤ（request_id）と、ユーザ環境でアラートが発生した時刻（date）と、不図示のユーザ環境におけるアラートの識別子(alert_id)と、分析結果の種別(type)とが含まれている。また、図５に示す分析結果には、分析者が利用したログ種別（log_type）、分析者が分析したアラートの脅威種別（threat_type）も含まれている。図５に示す分析結果には、さらに、分析者が利用した公開されている脅威インテリジェンス情報の識別子（cti_id）と、分析者が利用した公開されている脅威インテリジェンス情報の情報源（cti_source）などが含まれている。

　このように、図５に示す分析結果には、分析依頼ＩＤに対応する分析結果と、関連情報のうち分析結果に関連するログ情報と、分析結果の根拠となる脅威インテリジェンス情報とが含まれている。

　図６は、実施の形態に係る脅威インテリジェンス情報の一例を示す図である。

　図６に示す脅威インテリジェンス情報は、図５に示す分析結果に含まれる脅威インテリジェンス情報の詳細情報であり、公開されている。

　図６に示す脅威インテリジェンス情報には、脅威インテリジェンス情報の種別(type)と、脅威インテリジェンス情報の識別子（id）と脅威の発生を示す特徴（pattern）とが含まれている。脅威インテリジェンス情報の識別子（id）は、図５に示す分析結果に含まれる脅威インテリジェンス情報の識別子（cti_id）と同一となっている。図６に示されるindicatorは脅威を検出するための脅威の特徴を示している。図６に示す脅威インテリジェンス情報は、脅威情報を標準化・構造化された形式で記述するフォーマットであるＳＴＩＸ(Structured Threat Information eXpression)で記述されている。

　なお、図６に示すように、脅威インテリジェンス情報では、どういう情報が特定され、いつ頃作成されたかに関する情報が含まれている。

　［検証者端末４０］
　検証者端末４０は、パソコン、タブレットなどの端末機器である。検証者端末４０は、ネットワークに接続可能であり、ブロックチェーンプラットフォーム２０を構成する複数のサーバと通信可能である。

　本実施の形態では、検証者端末４０は、分析結果の検証を行う検証者により用いられ、ブロックチェーンに記録されたセキュリティ分析の分析結果の検証を行う。検証者端末４０は、図１に示すように、通信部４０１と、分析結果検証部４０２と、トランザクション生成部４０３とを備える。ここで、検証者端末４０は、プロセッサと、プロセッサに所定の処理を実行させるプログラムが記憶されたメモリと通信インターフェイス等とを備える。つまり、検証者端末４０は、プロセッサがメモリを用いて所定のプログラムを実行することで各構成の機能を実現する。

　以下、各構成について説明する。

　＜通信部４０１＞
　通信部４０１は、無線または有線の通信インターフェイスであり、ブロックチェーンプラットフォーム２０を構成する複数のサーバとの通信を行う。本実施の形態では、通信部４０１は、ブロックチェーンに送信されて生成されたブロックに含まれる分析トランザクションデータにアクセスし、分析トランザクションデータに含まれる分析結果を取得したり、分析結果に対する正当性の検証結果を送信したり、生成されたトランザクションデータを送信したりする。

　本実施の形態では、通信部４０１は、ブロックチェーンに送信されて生成されたブロックに含まれる分析トランザクションデータにアクセスし、分析トランザクションデータに含まれる分析結果と、分析結果に示される脅威インテリジェンス情報とを取得する。また、通信部４０１は、後述する分析結果検証部４０２により作成された分析結果に対する正当性の検証結果を、ブロックチェーンプラットフォーム２０を構成する複数のサーバのうちの一のサーバに送信する。なお、通信部４０１は、後述するトランザクション生成部４０３により、分析結果に対する正当性の検証結果を含む検証トランザクションデータが生成された場合、検証トランザクションデータを、ブロックチェーンプラットフォームを構成する一のサーバに送信すればよい。

　また、通信部４０１は、トランザクション生成部４０３により、スマートコントラクトを含むトランザクションデータが生成された場合、スマートコントラクトを含むトランザクションデータを一のサーバに送信する。

　＜分析結果検証部４０２＞
　分析結果検証部４０２は、通信部４０１により取得された分析トランザクションデータに含まれる分析結果の正当性を検証し、検証した結果である検証結果を作成する。ここで、分析結果検証部４０２は、分析トランザクションデータに含まれる脅威インテリジェンス情報内に存在するマルウェアのシグネチャ情報と、分析トランザクションデータに含まれるログ情報に含まれるトレース中のバイト列とのマッチングを行うことで検証結果を作成してもよい。分析結果検証部４０２は、マッチングの結果、略一致している場合には、分析結果の正当性が検証されたことになるので、分析トランザクションデータに含まれる分析結果の正当性が検証されたことが示される検証結果を作成する。また、分析結果検証部４０２は、仕様書情報に含まれる通信の発生条件と分析トランザクションデータに含まれるログ情報に含まれる実際に発生した通信内容とのマッチングを行うことにより検証結果を作成してもよい。そして、分析結果検証部４０２は、マッチングの結果、略一致している場合には、分析結果の正当性が検証されたことになるので、分析トランザクションデータに含まれる分析結果の正当性が検証されたことが示される検証結果を作成する。

　図７は、実施の形態に係る分析トランザクションデータに含まれる分析結果の正当性の検証を行う方法の一例の説明図である。図７に示す例では、検証者端末４０を使用する検証者は、図３に示すアラート分析依頼表と、図６に示す脅威インテリジェンス情報とを用いて、図５に示す分析結果の正当性の検証を行う。

　まず、検証者は、図３に示すアラート分析依頼表と図５に示す分析結果とにおいて、ａに示される分析依頼ＩＤ（request_id）及び時刻（date）とを確認する。すなわち、まず、検証者は、ブロックチェーンに送信されて生成されたブロックに含まれる分析トランザクションデータに含まれる検証対象の分析結果がどのアラート分析依頼に対応しているか、アラート分析依頼表に記載されている時刻と分析結果に記載されている時刻とが近い時間であるかを確認する。近い時間は、例えば１時間以内であるが、これに限らず、数分以内でもよいし、数時間以内であってもよい。

　続いて、検証者は、図５に示す分析結果において、ｂに示されるように、ログ種別（log_type）及び時刻（date）などから、図７の最下段に示される表の行で示される、分析結果に関連するログ情報を抽出する。すなわち、まず、検証者は、分析結果に記載されているログ種別（log_type）と及び時刻（date）とから、時刻（date）、送信元（src_ip）、送信先（dst_ip）、ＵＲＬ情報（url）などを抽出し、分析結果に関連するログ情報として保有する。

　また、検証者は、ｃに示されるように、図５に示す分析結果に記載されている情報から、分析結果の根拠となる脅威インテリジェンス情報を抽出する。すなわち、まず、検証者は、分析結果に記載されている脅威インテリジェンス情報の識別子（cti_id）と脅威インテリジェンス情報の情報源（cti_source）とをもとに、分析結果の根拠となる脅威インテリジェンス情報を抽出する。

　続いて、検証者は、抽出したログ情報と、抽出した脅威インテリジェンス情報とを比較することで、分析結果が正当であるかを確認する。

　図７に示す例では、図５に示す分析結果において、分析者が分析したアラートの脅威種別（threat_type）が「indicator_for_malicious_url」と記載されている。このため、検証者は、ｄに示されるように、抽出したログ情報の中のURL情報と、抽出した脅威インテリジェンス情報の「"type":"indicator"」で示されるタグにある特徴（pattern）として記載された「url:value="http://mal_xxx.com/」に含まれるURL情報とが一致しているかを確認する。両者のＵＲＬ情報が一致している場合には、分析結果が正当であることが確認できる。このように、検証者は、脅威インテリジェンス情報に含まれるマルウェアのＵＲＬ等のバイト列と、ログ情報中のＵＲＬ等のバイト列とのマッチングを行うことで、分析結果の正当性を検証することができる。

　なお、分析結果に記載されるアラートの脅威種別（threat_type）が「indicator_for_malicious_url」でない場合には、その脅威種別に応じた検証が行われる。

　例えば、依頼トランザクションデータに含まれるアラートの情報に、トレース（生のパケットのバイト列情報）が含まれている場合がある。この場合、脅威インテリジェンス情報に含まれるマルウェアのシグネチャ情報と分析結果から抽出されるログ情報に含まれるトレース中のバイト列の正規表現とのマッチングを行うことで、分析結果の正当性を検証してもよい。また、例えば、依頼トランザクションデータに含まれるアラートの情報に、制御コントローラとの通信異常で取得されたトレース（生のパケットのバイト列情報）が含まれている場合がある。この場合、例えばBACnetのPICSなどの仕様書情報に含まれる通信の発生条件と分析結果から抽出されるログ情報に含まれる実際に発生した通信内容とのマッチングを行うことで、分析結果の正当性を検証できる。

　なお、通信部４０１により取得された分析トランザクションデータに含まれる分析結果すなわち検証対象の分析結果より前に同一の分析依頼ＩＤに対する分析結果が存在している場合がある。

　この場合、分析結果検証部４０２は、検証対象の分析結果の正当性検証を行う前に、検証対象の分析結果と存在する同一の分析依頼ＩＤに対する分析結果との類似度を算出し、算出した類似度が閾値を超過する場合には、検証対象の分析結果の正当性検証を行わない。換言すると、分析結果検証部４０２は、まず、検証対象の分析トランザクションデータに含まれる分析結果と、検証対象より過去に発生した分析トランザクションデータに含まれる分析結果との類似度を算出する。分析結果検証部４０２は、算出された類似度が所定の閾値を超過する場合、検証対象の分析トランザクションデータに含まれる分析結果に対する正当性を検証しない。そして、分析結果検証部４０２は、検証対象の分析トランザクションデータが検証対象から除外されたことが示される検証結果を作成する。このように、分析トランザクションデータが検証対象から除外されたことが示されている検証結果が、ブロックチェーンプラットフォーム２０を構成する複数のサーバのうちの一のサーバに送信されると、分析トランザクションデータを含むブロックは分散台帳に記録されないことになる。

　なお、当該検証結果を含む検証トランザクションデータが生成され、ブロックチェーンプラットフォーム２０を構成する複数のサーバのうちの一のサーバに送信される場合、当該分析結果に対する検証トランザクションデータは分散台帳に記録されないとしてもよい。この場合、分析トランザクションデータを含むブロックは、既に生成されており、分散台帳に記録されていてもいなくてもよい。検証トランザクションデータを含むブロックが分散台帳に記録されないことにより、検証トランザクションデータに含まれる当該検証結果に対応する分析結果を作成した分析者端末３０は報酬が得られないようにすることができるからである。

　したがって、１つのセキュリティ分析の依頼に対して同じ分析結果を含む複数の分析トランザクションデータが生成され、それを含むブロックが生成されて分散台帳に記録される場合、最先に生成されていない分析トランザクションデータに含まれる分析結果は検証されず、検証トランザクションがブロックチェーンに記録されない。これにより、分析者間で競争原理を働かせることができるので、高速かつ低コストにセキュリティ分析の分析結果を得ることができる。

　ここで、同一の分析依頼ＩＤに対して生成された２つの分析トランザクションデータに含まれる分析結果の類似度の算出方法の一例について説明する。

　図８Ａは、実施の形態に係る同一の分析依頼ＩＤに対して生成された分析トランザクションデータ１に含まれる分析結果の一例を示す。図８Ｂは、実施の形態に係る同一の分析依頼ＩＤに対して生成された分析トランザクションデータ２に含まれる分析結果の一例を示す。

　例えば、検証者は、図８Ａに示す分析結果及び図８Ｂに示す分析結果の類似度を、下記の（式１）～（式３）を用いて、分析結果に含まれるログ情報の時刻（date）の間の距離と、分析結果に利用された脅威インテリジェンス情報（cti）間の距離の和として算出することができる。

　dist(analysis1,analysis2)= datedist(date1,date2) + ctidist(cti1,cti2)　　　（式１）

　datedist(date1,date2)=|date1のUNIXTIME-date2のUNIX_TIME|/86400　　（式２）

　ctidist(cti1,cti2)=1-(cti1とcti2の類似度を0～1にスケーリングしたもの)　　（式３）

　ここで、date1は、図８Ａに示す分析トランザクションデータ１の分析結果に含まれる時刻（date）であり、date2は、図８Ｂに示す分析トランザクションデータ２の分析結果に含まれる時刻（date）である。86400は、一日である２４時間を秒に換算した値に相当する。また、同様に、cti1は、図８Ａに示す分析トランザクションデータ１の分析結果から抽出される脅威インテリジェンス情報であり、cti2は、図８Ｂに示す分析トランザクションデータ２の分析結果から抽出される脅威インテリジェンス情報である。

　なお、セキュリティ関連企業間での脅威情報交換を目的として、脅威情報を標準化・構造化された形式で記述するフォーマットであるＳＴＩＸ２では、２つの脅威インテリジェンス情報間の類似度を０～１００の範囲で出力するメソッドが用意されている。このメソッドでは、nameなどのフィールドごとに重みづけが行われており、各脅威インテリジェンス情報のフィールドごとに比較を行い、（一致しているフィールドの総重み）/（比較対象のフィールドの総重み）のような形で類似度が算出される。

　そして、検証者は、dist(analysis1,analysis2)<Tの場合、すなわち、算出したdist(analysis1,analysis2)が閾値Tより小さい場合、両者の分析結果が類似するまたは同一であると判定できる。換言すると、検証者は、算出したdist(analysis1,analysis2)が閾値Tより小さい場合、図８Ａに示す分析結果及び図８Ｂに示す分析結果の類似度が所定の閾値を超過しており、両者の分析結果は類似または同一していると判定できる。

　＜トランザクション生成部４０３＞
　トランザクション生成部４０３は、分析結果検証部４０２により作成された検証結果を含む検証トランザクションデータを生成してもよい。

　また、トランザクション生成部４０３は、検証者の操作により、分析手数料を支払うためのスマートコントラクトを生成し、生成したスマートコントラクトを含むトランザクションデータを生成してもよい。ここで、生成したスマートコントラクトの支払い関数には、例えば、セキュリティ分析を依頼するユーザが設定した分析手数料のうち、８割を分析者、残りの２割を当該分析者が行った分析結果を検証した１以上の検証者間で分配するロジックが埋め込まれていてもよい。生成したスマートコントラクトの支払い関数に埋め込まれるロジックはこの例に限らず、分析者が分析を行うインセンティブ及び検証者が検証を行うインセンティブとなる範囲であれば適宜決定し得る。

　なお、セキュリティ分析の依頼が、アラート分析の依頼ではなく脅威ハンティング分析の依頼である場合、分析トランザクションデータに含まれるログ情報は、関連情報のうち分析結果に関連する、かつ、ユーザ環境にアクセスして得られるログ情報であればよい。この場合、分析トランザクションデータに含まれる脅威インテリジェンス情報は、分析結果の根拠となり、かつ、当該ログ情報に紐づく脅威インテリジェンス情報であればよい。

　［動作］
　続いて、以上のように構成されたセキュリティ分析システム１により実行される処理について説明する。

　［処理概要］
　図９は、実施の形態に係るセキュリティ分析システム１により実行される処理概要を示すフローチャートである。図９に示す処理概要は、実施の形態に係るセキュリティ分析システム１が有する複数のサーバにおける一のサーバによって実行される制御方法である。複数のサーバは、それぞれ分散台帳を有する。換言すると、複数のサーバは、ブロックチェーンを管理する。

　まず、一のサーバは、分析の依頼を一意に示す分析依頼ＩＤと、分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを取得する（Ｓ１）。本実施の形態では、依頼トランザクションデータは、ユーザ企業等においてセキュリティ製品がアラートを発生させた場合に、ユーザ端末１０により生成されて一のサーバに送信されたものである。

　次に、一のサーバは、ステップＳ１で取得した依頼トランザクションデータをブロックに含めて分散台帳に記録する（Ｓ２）。

　次に、一のサーバは、依頼トランザクションデータに含まれる分析依頼ＩＤに対応する分析結果と、関連情報のうち分析結果に関連するログ情報と、分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを取得する（Ｓ３）。本実施の形態では、分析トランザクションデータは、分析者端末３０により、生成されて一のサーバに送信されたものである。分析トランザクションデータには、分散台帳に記録されたセキュリティ分析の依頼に基づき、仕様書、脅威インテリジェンス情報を利用してセキュリティ分析を行うことで作成された分析結果が含まれている。

　次に、一のサーバは、ステップＳ３で取得した分析トランザクションデータに含まれる分析結果に対する正当性の検証結果を取得する（Ｓ４）。本実施の形態では、１以上の検証者が検証者端末４０を使用して、分散台帳に記録されたセキュリティ分析の分析結果の検証を行い、検証結果を作成する。１以上の検証者は、作成した検証結果を含む検証トランザクションデータを生成して、一のサーバに送信してもよい。なお、分散台帳に記録されたセキュリティ分析の分析結果が、先に分散台帳に記録された他の分析結果と類似する場合には、無効な分析結果であるとして、分析結果に対する正当性を検証せず、その旨を示す検証結果が作成される。

　次に、一のサーバは、ステップＳ４で取得した検証結果により分析トランザクションデータに含まれる分析結果の正当性が検証されたことが示される場合、分析トランザクションデータをブロックに含めて分散台帳に記録する（Ｓ５）。

　［アラート分析処理］
　次に、セキュリティ分析システム１により実行されるアラート分析処理例について説明する。

　図１０は、実施の形態に係るアラート分析処理例の概要を示すフローチャートである。図１１は、図１０に示すスマートコントラクト登録処理（ステップＳ１０）の詳細を示すフローチャートである。図１２は、図１０に示すアラート分析依頼処理（ステップＳ１２）の詳細を示すフローチャートである。図１３は、図１０に示す分析結果送信処理（ステップＳ１３）の詳細を示すフローチャートである。図１４は、図１０に示す検証結果送信処理（ステップＳ１４）の詳細を示すフローチャートである。図１５は、図１０に示す手数料支払い処理（ステップＳ１５）の詳細を示すフローチャートである。

　まず、図１０において、セキュリティ分析システム１は、スマートコントラクト登録処理を実行する（Ｓ１０）。

　より詳細には、図１１に示すように、検証者端末４０は、検証者の操作により、セキュリティ分析を委託するために、分析手数料プール関数と手数料支払い関数とを作成して、ブロックチェーンに登録する（Ｓ１０１）。本実施の形態では、検証者端末４０は、作成した分析手数料プール関数と手数料支払い関数とで構成された、分析手数料を支払うためのスマートコントラクトを生成し、ブロックチェーンプラットフォーム２０を構成する複数のサーバのうちの一のサーバに送信する。これにより、スマートコントラクトがブロックチェーンに登録され、稼働される。

　次に、図１０において、セキュリティ分析システム１は、分析手数料プール処理を実行する（Ｓ１１）。本実施の形態では、ユーザ端末１０は、分析手数料の支払い用のプール金を登録するためのトランザクションデータを生成し、ブロックチェーンを管理する複数のサーバのうちの一のサーバに送信する。これにより、分析手数料プール処理が実行され、分析手数料の支払い用のプール金がブロックチェーンに登録される。

　次に、図１０において、セキュリティ分析システム１は、アラート分析依頼処理を実行する（Ｓ１２）。

　より詳細には、図１２に示すように、まず、ユーザ側が保有するＳＩＥＭなどのセキュリティ製品でアラートが発生したとする（Ｓ１２１）。続いて、ユーザ端末１０は、発生したアラートの分析を依頼するかどうかを示すユーザの入力を取得する（Ｓ１２２）。続いて、ユーザ端末１０は、発生したアラートの分析を依頼することが入力されているどうかを確認し（Ｓ１２３）、依頼することが入力されている場合（Ｓ１２３でＹＥＳ）、分析依頼に必要なデフォルトの設定情報を取得する（Ｓ１２４）。なお、ユーザ端末１０は、ステップＳ１２３において、依頼することが入力されていない場合（Ｓ１２３でＮＯ）、アラート分析依頼処理を終了する。続いて、ユーザ端末１０は、ユーザの入力に応じて設定情報が変更される（Ｓ１２５）。なお、デフォルトの設定情報のまま変更がない場合には、ステップＳ１２５はスキップされる。続いて、ユーザ端末１０は、確定した設定情報である分析依頼設定情報をもとにアラート分析の依頼トランザクションデータを生成する（Ｓ１２６）。続いて、ユーザ端末１０は、ステップＳ１２６で生成した依頼トランザクションデータを、一のサーバに送信することで、当該依頼トランザクションデータをブロックチェーンに送信する（Ｓ１２７）。

　次に、図１０において、セキュリティ分析システム１は、分析結果送信処理を実行する（Ｓ１３）。

　より詳細には、図１３に示すように、まず、分析者端末３０は、ブロックチェーンに記録された依頼トランザクションデータに含まれるアラート分析の依頼に基づき、仕様書、脅威インテリジェンス情報を利用してセキュリティ分析を行うことで分析結果を作成する（Ｓ１３１）。続いて、分析者端末３０は、ステップＳ１３１で作成した分析結果をもとに分析トランザクションデータを生成する（Ｓ１３２）。続いて、分析者端末３０は、ステップＳ１３２で生成した分析トランザクションデータを一のサーバに送信することで、当該分析トランザクションデータをブロックチェーンに送信する（Ｓ１３３）。

　次に、図１０において、セキュリティ分析システム１は、検証結果送信処理を実行する（Ｓ１４）。

　より詳細には、図１４に示すように、まず、検証者端末４０は、検証対象の分析結果の前に同一の分析依頼ＩＤに対する分析結果が存在しているかを調べる（Ｓ１４１）。なお、ステップＳ１４１は、ステップＳ１３でブロックチェーンに送信されて生成されたブロックに含まれる分析トランザクションデータに含まれる分析結果の検証を行う前に、行われる。続いて、検証者端末４０は、既に分析結果が存在しているすなわち検証対象の分析結果の前に同一の分析依頼ＩＤに対する分析結果が存在しているかを確認する（Ｓ１４２）。

　ステップＳ１４２において、既に分析結果が存在している場合（Ｓ１４２でＹＥＳ）、検証者端末４０は、既に存在した分析結果と、検証対象の分析結果との間の距離を計算する（Ｓ１４３）。続いて、検証者端末４０は、ステップＳ１４３で計算した距離が閾値未満かどうかを確認することで、両者の分析結果が類似しているかどうかを判定する（Ｓ１４４）。ステップＳ１４４において、計算した距離が閾値未満でなければ（Ｓ１４４でＮＯ）、両者の分析結果が類似していないことになるので、検証者端末４０は、ステップＳ１４５に進む。なお、ステップＳ１４２において、既に分析結果が存在していない場合（Ｓ１４２でＮＯ）、検証者端末４０は、ステップＳ１４５に進み、検証対象の分析結果の正当性を検証する（Ｓ１４５）。

　続いて、検証者端末４０は、ステップＳ１４５で検証した結果、当該分析結果が正当であれば（Ｓ１４６でＹＥＳ）、当該分析結果に対する検証結果を含む検証トランザクションデータを生成する（Ｓ１４７）。続いて、検証者端末４０は、生成した検証トランザクションデータを一のサーバに送信することで、当該検証トランザクションデータをブロックチェーンに送信する（Ｓ１４８）。なお、検証者端末４０は、当該検証トランザクションデータを生成せず、当該分析結果に対する検証結果のみをブロックチェーンに送信してもよい。

　なお、ステップＳ１４４において、計算した距離が閾値未満である場合（Ｓ１４４でＹＥＳ）、両者の分析結果が類似しているので、検証者端末４０は、検証対象の分析結果の検証を行わず、当該分析結果に対する検証結果を含む検証トランザクションデータを生成しない（Ｓ１４９）。この場合、検証者端末４０は、検証対象の分析結果が検証対象から除外されたことが示される検証結果をブロックチェーンに送信すればよい。

　また、ステップＳ１４６において、検証者端末４０は、ステップＳ１４５で検証した結果、当該分析結果が正当でなければ（Ｓ１４６でＮＯ）、当該分析結果に対する検証結果を含む検証トランザクションデータを生成しない（Ｓ１４９）。この場合、検証者端末４０は、検証対象の分析結果が正当でないことが示される検証結果をブロックチェーンに送信すればよい。

　次に、図１０において、セキュリティ分析システム１は、手数料支払い処理を実行する（Ｓ１５）。

　より詳細には、図１５に示すように、まず、ブロックチェーンプラットフォーム２０を構成する複数のサーバのうちの一のサーバは、特定の分析トランザクションデータに対する検証トランザクションデータを含むブロックを生成する（Ｓ１５１）。続いて、当該一のサーバは、当該分析トランザクションデータに対する検証トランザクションデータの数として、ステップＳ１５１でブロック生成する前までに確定していた総数をＭ、ブロック生成後の総数をＮとする（Ｓ１５２）。ここで、Ｍ、Ｎは自然数である。続いて、当該一のサーバは、Ｍ＜閾値Ｔｈ、かつ、Ｎ≧閾値Ｔｈを満たすかどうかを確認し（Ｓ１５３）、満たす場合（Ｓ１５３でＹＥＳ）、分析トランザクションデータの作成者と検証トランザクションデータの作成者に分析手数料を配分して送付する（Ｓ１５４）。なお、当該一のサーバは、ステップＳ１５３で、Ｍ＜閾値Ｔｈ、かつ、Ｎ≧閾値Ｔｈを満たさない場合（Ｓ１５３でＮＯ）には、手数料支払い処理を終了する。

　このようにして、セキュリティ分析システム１は、ブロックチェーン上でセキュリティ分析を委託する仕組みを実現し、セキュリティ分析の分析結果の正当性を検証可能、かつ、不正を抑制できる仕組みを実現する。

　［アラート分析処理のシーケンス］
　続いて、シーケンス図を用いて、セキュリティ分析システム１により実行されるアラート分析処理について説明する。

　図１６は、実施の形態に係るアラート分析処理の一例を示すシーケンス図である。ここでは、検証結果を含む検証トランザクションデータが生成される場合を例に挙げて説明する。

　まず、検証者端末４０は、分析手数料を支払うためのスマートコントラクトを生成し、生成したスマートコントラクトを含む第１トランザクションデータを生成する（Ｓ２０１）。

　次に、検証者端末４０は、ステップＳ２０１で生成した第１トランザクションデータをブロックチェーンプラットフォーム２０に送信する（Ｓ２０２）。本実施の形態では、検証者端末４０は、ステップＳ２０１で生成した第１トランザクションデータを、ブロックチェーンプラットフォーム２０を構成する複数のサーバのうちの一のサーバに送信する。

　次に、ブロックチェーンプラットフォーム２０は、第１トランザクションデータを取得すると、取得した第１トランザクションデータを含むブロックを生成してブロックチェーンに記録する（Ｓ２０３）。具体的には、ブロックチェーンプラットフォーム２０を構成する複数のサーバのうちの一のサーバが、１トランザクションデータを取得すると、取得した第１トランザクションデータを含むブロックを生成する。当該一のサーバは、他のサーバと行う所定のコンセンサスアルゴリズムを経て、作成した第１トランザクションデータを含むブロックをブロックチェーンに記録する。

　また、ユーザ端末１０は、分析手数料の支払い用のプール金を登録するための第２トランザクションデータを生成し（Ｓ２０４）、ブロックチェーンプラットフォーム２０に送信する（Ｓ２０５）。

　次に、ブロックチェーンプラットフォーム２０は、第２トランザクションデータを取得すると、取得した第２トランザクションデータを含むブロックを生成してブロックチェーンに記録する（Ｓ２０６）。

　また、ユーザ側が保有するＩＤＳなどのセキュリティ製品でアラートが発生した場合、ユーザ端末１０は、アラート分析の依頼を行うための第３トランザクションデータを生成する（Ｓ２０７）。この第３トランザクションデータは、上述した依頼トランザクションデータであり、ＩＤＳログなど発生したアラートの情報と、分析対象のユーザ環境へのアクセス方法と、分析手数料とを示す情報を含む。

　次に、ユーザ端末１０は、ステップＳ２０７で生成した第３トランザクションデータを、ブロックチェーンプラットフォーム２０に送信する（Ｓ２０８）。

　次に、ブロックチェーンプラットフォーム２０は、第３トランザクションデータを取得すると、取得した第３トランザクションデータを含むブロックを生成してブロックチェーンに記録する（Ｓ２０９）。

　次に、分析者端末３０は、ブロックチェーンに記録された第３トランザクションデータに含まれるアラート分析の依頼を示すアラート分析依頼情報を取得し（Ｓ２１０）、アラート分析を実施する（Ｓ２１１）。本実施の形態では、分析者端末３０は、取得したアラート分析依頼情報に基づき、仕様書、脅威インテリジェンス情報を利用してアラート分析を行うことで、分析結果（ここではアラート分析結果と称する）を作成する。

　次に、分析者端末３０は、ステップＳ２１１でアラート分析を行うことで得たアラート分析結果を含む第４トランザクションデータを生成する（Ｓ２１２）。この第４トランザクションデータは、上述した分析トランザクションデータである。

　次に、分析者端末３０は、ステップＳ２１２で生成した第４トランザクションデータを、ブロックチェーンプラットフォーム２０に送信する（Ｓ２１３）。

　次に、ブロックチェーンプラットフォーム２０は、第４トランザクションデータを取得すると、取得した第４トランザクションデータを含むブロックを生成する（Ｓ２１４）。

　次に、検証者端末４０は、生成されたブロックに含まれる第４トランザクションデータに含まれるアラート分析結果を取得する（Ｓ２１５）。なお、生成されたブロックが分散台帳に記録されている場合には、検証者端末４０は、ブロックチェーンから、第４トランザクションデータに含まれるアラート分析結果を取得することができる。一方、生成されたブロックがブロックチェーンに記録されていない場合には、ブロードキャストされた第４トランザクションデータを含むブロックから、第４トランザクションデータに含まれるアラート分析結果を取得することができる。第４トランザクションデータを含むブロックが生成されると、ブロードキャストされてコンセンサスアルゴリズムを経た後に、生成したブロックが確定されブロックチェーンに記録されるからである。

　次に、検証者端末４０は、ステップＳ２１５で取得したアラート分析結果の正当性を検証する（Ｓ２１６）。なお、アラート分析結果の正当性の検証時、既に存在するアラート分析結果との類似度判定等も行われる。

　次に、検証者端末４０は、ステップＳ２１６でアラート分析結果の正当性を検証することで得た検証結果を含む第５トランザクションデータを生成する（Ｓ２１７）。この第５トランザクションデータは、上述した検証トランザクションデータである。

　次に、検証者端末４０は、ステップＳ２１７で生成した第５トランザクションデータを、ブロックチェーンプラットフォーム２０に送信する（Ｓ２１８）。

　次に、ブロックチェーンプラットフォーム２０は、第５トランザクションデータを取得すると、取得した第５トランザクションデータとを含むブロックを生成して、第４トランザクションデータを含むブロックとともにブロックチェーンに記録する（Ｓ２１９）。なお、第４トランザクションデータを含むブロックが既にブロックチェーンに記録されている場合には、取得した第５トランザクションデータのみを含むブロックを生成してブロックチェーンに記録するだけでよい。

　次に、ブロックチェーンプラットフォーム２０は、第４トランザクションデータ及び第５トランザクションデータを含むブロックが記録されたことをトリガとして、スマートコントラクトにおけるプール金から支払い手数料を支払う支払い関数を実行させる（Ｓ２２０）。

　次に、ブロックチェーンプラットフォーム２０は、ステップＳ２２０で支払い関数を実行させたことで、プール金から、分析手数料を分析者端末３０に送信し（Ｓ２２１）、検証手数料を検証者端末４０に送信する（Ｓ２２２）。検証手数料は、ステップＳ２０７で第３トランザクションデータに含められた分析手数料の一部であるため、上記では分析手数料とも称している。

　次に、検証者端末４０は、ステップＳ２２２で送信された検証手数料を取得すると、アラート分析結果の確定通知をユーザ端末１０に送信する（Ｓ２２３）。

　以上のように、セキュリティ分析としてセキュリティ製品で発生したアラートの分析を行い生成された分析トランザクションデータに含まれるアラート分析結果に対する正当性が検証された場合のみ、分析トランザクションデータを分散台帳に記録する。

　これにより、発生したアラートの分析結果の正当性を検証可能できるだけでなく、ブロックチェーンの改ざん不可能性の機能を活用して不正を抑制できる。

　また、アラート分析の報酬が、スマートコントラクトを利用して自動的に分析者に提供されるので、分析者がアラート分析を行うインセンティブとなる。同様に、アラート分析の報酬が、スマートコントラクトを利用して自動的に分析結果を検証した１以上の検証者に配分されるので、検証者が、アラート分析結果の検証を行うインセンティブとなる。これらにより、委託されたアラート分析が迅速に行われ得る。

　［脅威ハンティングのシーケンス］
　続いて、シーケンス図を用いて、セキュリティ分析システム１により実行される脅威ハンティング分析処理について説明する。脅威ハンティング分析の依頼は、セキュリティ製品でアラートが発生していない段階で行われるセキュリティ分析の依頼である。

　図１７は、実施の形態に係る脅威ハンティング分析処理の一例を示すシーケンス図である。なお、ステップＳ３０１～ステップＳ３０６は、図１６で説明したステップＳ２０１～ステップＳ２０６の処理と同じであるため説明を省略する。以下でも検証結果を含む検証トランザクションデータが生成される場合を例に挙げて説明する。

　ステップＳ３０７において、ユーザ端末１０は、脅威ハンティング分析の依頼を行うための第３トランザクションデータを生成する。この第３トランザクションデータは、上述した依頼トランザクションデータであり、分析対象のユーザ環境へのアクセス方法と、分析手数料とを示す情報を含む。

　次に、ユーザ端末１０は、ステップＳ３０７で生成した第３トランザクションデータを、ブロックチェーンプラットフォーム２０に送信する（Ｓ３０８）。

　次に、ブロックチェーンプラットフォーム２０は、第３トランザクションデータを取得すると、取得した第３トランザクションデータを含むブロックを生成してブロックチェーンに記録する（Ｓ３０９）。

　次に、分析者端末３０は、ブロックチェーンに記録された第３トランザクションデータに含まれる脅威ハンティング分析の依頼を示す脅威ハンティング分析依頼情報を取得し（Ｓ３１０）、脅威分析を実施する（Ｓ３１１）。例えば、分析者端末３０は、取得した脅威ハンティング分析依頼情報に基づき、仕様書、脅威インテリジェンス情報を利用して脅威分析を行うことで、分析結果（ここでは脅威分析結果と称する）を作成する。

　次に、分析者端末３０は、ステップＳ３１１で脅威ハンティング分析を行うことで得た脅威分析結果を含む第４トランザクションデータを生成する（Ｓ３１２）。この第４トランザクションデータは、上述した分析トランザクションデータに対応する。

　次に、分析者端末３０は、ステップＳ３１２で生成した第４トランザクションデータを、ブロックチェーンプラットフォーム２０に送信する（Ｓ３１３）。

　次に、ブロックチェーンプラットフォーム２０は、第４トランザクションデータを取得すると、取得した第４トランザクションデータを含むブロックを生成する（Ｓ３１４）。

　次に、検証者端末４０は、生成されたブロックに含まれる第４トランザクションデータに含まれる脅威分析結果を取得する（Ｓ３１５）。なお、生成されたブロックがブロックチェーンに記録されている場合には、検証者端末４０は、ブロックチェーンから、第４トランザクションデータに含まれる脅威分析結果を取得することができる。一方、生成されたブロックがブロックチェーンに記録されていない場合には、ブロードキャストされた第４トランザクションデータを含むブロックから、第４トランザクションデータに含まれる脅威分析結果を取得することができる。

　次に、検証者端末４０は、ステップＳ３１５で取得した脅威分析結果の正当性を検証する（Ｓ３１６）。なお、脅威分析結果の正当性の検証時、既に存在する脅威分析結果との類似度判定等も行われる。

　次に、検証者端末４０は、ステップＳ３１６で脅威分析結果の正当性を検証することで得た検証結果を含む第５トランザクションデータを生成する（Ｓ３１７）。この第５トランザクションデータは、上述した検証トランザクションデータに対応する。

　次に、検証者端末４０は、ステップＳ３１７で生成した第５トランザクションデータを、ブロックチェーンプラットフォーム２０に送信する（Ｓ３１８）。

　次に、ブロックチェーンプラットフォーム２０は、第５トランザクションデータを取得すると、取得した第５トランザクションデータとを含むブロックを生成して第４トランザクションデータを含むブロックとともにブロックチェーンに記録する（Ｓ３１９）。なお、第４トランザクションデータを含むブロックが既にブロックチェーンに記録されている場合には、取得した第５トランザクションデータを含むブロックを生成してブロックチェーンに記録するだけでよい。

　次に、ブロックチェーンプラットフォーム２０は、第４トランザクションデータ及び第５トランザクションデータを含むブロックが記録されたことをトリガとして、スマートコントラクトにおけるプール金から支払い手数料を支払う支払い関数を実行させる（Ｓ３２０）。

　次に、ブロックチェーンプラットフォーム２０は、ステップＳ３２０で支払い関数を実行させたことで、プール金から、分析手数料を分析者端末３０に送信し（Ｓ３２１）、検証手数料を検証者端末４０に送信する（Ｓ３２２）。検証手数料は、ステップＳ３０７で第３トランザクションデータに含められた分析手数料の一部である。

　次に、検証者端末４０は、ステップＳ３２２で送信された検証手数料を取得すると、脅威分析結果の確定通知をユーザ端末１０に送信する（Ｓ３２３）。

　以上のように、セキュリティ製品でアラートが発生していない段階で、脅威ハンティング分析を行い生成された分析トランザクションデータに含まれる脅威分析結果に対する正当性が検証された場合のみ、分析トランザクションデータを分散台帳に記録する。

　これにより、発生した脅威分析結果の正当性を検証可能できるだけでなく、ブロックチェーンの改ざん不可能性の機能を活用して不正を抑制できる。

　また、脅威ハンティング分析の報酬が、スマートコントラクトを利用して自動的に分析者に提供されるので、分析者が脅威ハンティング分析を行うインセンティブとなる。同様に、脅威ハンティング分析の報酬が、スマートコントラクトを利用して自動的に分析結果を検証した１以上の検証者に配分されるので、検証者が、脅威ハンティング分析結果の検証を行うインセンティブとなる。これらにより、委託された脅威ハンティング分析が迅速に行われ得る。

　［効果等］
　以上のように、実施の形態に係るセキュリティ分析システム１の制御方法等によれば、セキュリティ分析の分析結果の正当性を検証可能、かつ、不正を抑制できる。より具体的には、分析トランザクションデータに含まれる分析結果に対する正当性が検証された場合のみ、分析トランザクションデータを分散台帳に記録する。これにより、発生したアラートの分析結果の正当性を検証可能できるだけでなく、ブロックチェーンの改ざん不可能性の機能を活用して不正を抑制できる。

　図１８は、本開示に係るブロックチェーン上でセキュリティ分析を委託するプラットフォーム１ａの説明図である。図１８では、ユーザ１０ａがセキュリティ分析の依頼を、ブロックチェーン２０ａ上で依頼し、多数の分析者３０ａのうちの一人がセキュリティ分析して得た分析結果をブロックチェーン２０ａに送信するプラットフォーム１ａが示されている。ここで、ユーザ１０ａは、ＩＤＳまたはＳＩＥＭといったセキュリティ製品を導入している企業、工場、施設などであり、上述したユーザ端末１０を使用して、セキュリティ分析の依頼を含む依頼トランザクションデータを生成し、ブロックチェーン２０ａに記録することで行う。多数の分析者３０ａは、典型的には複数のＳＯＣ事業者に属しているが、セキュリティ分析を行える個人でもよい。分析者３０ａは、上述した分析者端末３０を使用して、ブロックチェーン２０ａに記録されたセキュリティ分析の依頼に応じてセキュリティ分析を行う。分析者３０ａは、セキュリティ分析を行った結果得た分析結果を含む分析トランザクションデータを生成してブロックチェーン２０ａに送信する。ブロックチェーン２０ａでは、送信された分析トランザクションデータを含めたブロックが生成される。ブロックチェーン２０ａは、上述したブロックチェーンプラットフォーム２０で実現されるブロックチェーンである。

　また、図１８では、１以上の検証者４０ａが、所定の検証アルゴリズムで分析結果の正当性を検証し、正当性が検証された分析結果を含む分析トランザクションデータを含むブロックのみがブロックチェーン２０ａに記録されるプラットフォーム１ａが示されている。

　１以上の検証者４０ａは、典型的には信頼された複数の機関であるが、当該複数の機関に属した者でもよい。分析者３０ａと結託されると結託した分析者３０ａの分析結果を無条件に正当な分析結果であると検証する虞があるからである。なお１以上の検証者４０ａのそれぞれは、上記の虞がない場合、個人であってもよい。１以上の検証者４０ａはそれぞれ、上述した検証者端末４０を使用して、分析トランザクションデータに含まれる分析結果の正当性を検証し、正当性を検証した結果得た検証結果をブロックチェーン２０ａに送信する。ブロックチェーン２０ａでは、取得した検証結果により正当性が示された分析結果を含む分析トランザクションデータを含むブロックのみ記録される。なお、分析トランザクションデータはフォーマットさえ正しければブロックとして生成されブロックチェーン２０ａに記録されるとしてもよい。この場合、ブロックチェーン２０ａに記録されているものの、分析トランザクションデータに含まれる分析結果が正しい分析として受理（記録）されているわけではないとすればよい。そして、分析結果が正しくない場合は、検証者に生成された検証トランザクションデータがブロックチェーン２０ａに記録されないとすればよい。つまり、分析トランザクションデータがブロックチェーン２０ａに記録される場合でも、検証者に生成された検証トランザクションデータの数が閾値以上ブロックチェーン２０ａに記録されない。この結果、正しくない分析結果を作成した分析者３０ａが報酬得られないようにすることができる。

　このように、図１８に示すプラットフォーム１ａは、ユーザ１０ａごとにシステム構築を行う必要がなく、ブロックチェーン２０ａを利用した１つのブロックチェーンプラットフォーム２０上で実現できる。また、図１８に示すプラットフォーム１ａでは、ブロックチェーン２０ａを利用することでコンペティション方式の採用が可能となるので、分析者３０ａの間に競争原理を働かせることができる。また、図１８に示すプラットフォーム１ａでは、ブロックチェーン２０ａを利用することで、分析結果が公開されるため、特定の分析者間での結託による不正等ができない。

　よって、セキュリティ分析の分析結果の正当性を検証可能できるだけでなく、ブロックチェーンの改ざん不可能性の機能を活用して不正を抑制できる。

　さらに、図１８に示すプラットフォーム１ａでは、スマートコントラクトを利用することで、分析トランザクションデータを含むブロックが記録されたタイミングで分析手数料が分析者３０ａ等に送金される仕組みを構成できる。つまり、図１８に示すプラットフォーム１ａでは、分析手数料の支払いを自動で行うことが可能になる。これにより、分析者３０ａがセキュリティ分析を行うインセンティブを与えることができ、検証者４０ａがセキュリティ分析の分析結果の検証を行うインセンティブを与えることができる。

　よって、図１８に示すプラットフォーム１ａによれば、ユーザ１０ａは、格安かつ高速なセキュリティ分析のサービスの提供を受けることができるだけでなく、セキュリティ分析が正しく行われたことを検証してもらえる。また、図１８に示すプラットフォーム１ａによれば、検証者４０ａは、セキュリティ分析の正当性を検証することで報酬を受け取れ、分析者３０ａは、セキュリティ分析技術を持つ一個人が参加し、報酬を受け取ることができる。

　なお、１つのセキュリティ分析の依頼に対して複数の分析者３０ａが同一の分析結果を作成する場合が想定される。これに対して、図１８に示すプラットフォーム１ａでは、分析トランザクションデータに含まれる分析結果が引用するログ情報間の類似度、利用する脅威インテリジェンス情報間の類似度を用いて、分析結果の類似度を算出する。そして、類似度が高い場合には、最先の分析結果以外の分析結果を含む分析トランザクションデータに対しては正当な分析結果と認めない（検証トランザクションを生成しない）ことで、解決している。

　また、ユーザ１０ａが発生したアラートに関連するログ情報のすべて、もしくは、脅威ハンティングの分析を行うためのユーザ環境のすべてを、セキュリティ分析の依頼時に含めてブロックチェーン２０ａに送信することは、関連情報の予測の困難さ、容量等を鑑みると現実的でない。ここで、ユーザ環境は、セキュリティ製品を導入して運用している機器、ネットワーク、システム、アプリケーション等の設定、構成などの環境である。これに対して、図１８に示すプラットフォーム１ａでは、セキュリティ分析に利用可能なユーザ環境を含む関連情報へのアクセス方法をセキュリティ分析の依頼時に含めてブロックチェーン２０ａに送信する。これにより、分析者３０ａは、セキュリティ分析に必要な関連情報を取得することができ、セキュリティ分析を行うことができる。

　［その他の実施の形態等］
　以上のように、本開示について上記の実施の形態に基づいて説明してきたが、本開示は、上記の実施の形態に限定されないのはもちろんである。以下のような場合も本開示に含まれる。

　（１）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Large Scale Integration：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記録されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部またはすべてを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Field Programmable Gate Array）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（３）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（４）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータで読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）　Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本開示は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記録しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（５）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、制御方法、サーバ、プログラム、及び、セキュリティ分析システムに利用でき、例えばブロックチェーンプラットフォームを利用して情報セキュリティにおける脅威を分析するために用いられる制御方法、サーバ、プログラム、及び、セキュリティ分析システムなどに利用可能である。

　１　　セキュリティ分析システム
　１ａ　　プラットフォーム
　１０　　ユーザ端末
　１０ａ　　ユーザ
　２０　　ブロックチェーンプラットフォーム
　２０ａ　　ブロックチェーン
　３０　　分析者端末
　３０ａ　　分析者
　４０　　検証者端末
　４０ａ　　検証者
　１０１　分析依頼設定記憶部
　１０２、２０１、３０１、４０１　　通信部
　１０３　　分析依頼実行受付部
　１０４　　分析依頼生成部
　２０２　　ブロックチェーン記憶部
　２０３　　処理部
　３０２　　分析情報入力部
　３０３　　分析トランザクション生成部
　４０２　　分析結果検証部
　４０３　　トランザクション生成部

Claims

　それぞれ分散台帳を有する複数のサーバを備えるセキュリティ分析システムにおける一のサーバによって実行される制御方法であって、
　分析の依頼を一意に示す分析依頼ＩＤと前記分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを取得し、
　取得した前記依頼トランザクションデータをブロックに含めて前記分散台帳に記録し、
　記録された前記依頼トランザクションデータに含まれる前記分析依頼ＩＤに対応する分析結果と、前記関連情報のうち前記分析結果に関連するログ情報と、前記分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを、取得して前記分析トランザクションデータを含むブロックを生成し、
　前記分析トランザクションデータに含まれる前記分析結果に対する正当性の検証結果を取得し、
　取得した前記検証結果により前記分析トランザクションデータに含まれる前記分析結果の正当性が検証されたことが示される場合、前記分析トランザクションデータを含むブロックを前記分散台帳に記録する、
　制御方法。
　前記分析は、セキュリティ製品で発生したアラートの分析であり、
　前記依頼トランザクションデータは、セキュリティ製品で発生したアラートの情報と、前記分析依頼ＩＤと、前記アクセス方法とを含み、
　前記分析トランザクションデータに含まれる前記ログ情報は、前記関連情報のうち前記分析結果に関連する、かつ、前記分析に利用したログ情報であり、
　前記分析トランザクションデータに含まれる前記脅威インテリジェンス情報は、前記分析結果の根拠となり、かつ、前記アラートの原因に相当する脅威インテリジェンス情報である、
　請求項１に記載の制御方法。
　前記依頼トランザクションデータに含まれる前記アクセス方法は、前記分析に利用可能な関連情報であって前記分析に必要な関連情報のアクセス場所及びアクセス権限を含む、
　請求項２に記載の制御方法。
　前記分析は、脅威ハンティングの分析であり、
　前記依頼トランザクションデータに含まれるアクセス方法は、前記分析に利用可能な関連情報であってセキュリティ監視を実行している環境を示す関連情報のアクセス場所及びアクセス権限を含み、
　前記分析トランザクションデータに含まれる前記ログ情報は、前記関連情報のうち前記分析結果に関連する、かつ、前記環境にアクセスして得られるログ情報であり、
　前記分析トランザクションデータに含まれる前記脅威インテリジェンス情報は、前記分析結果の根拠となり、かつ、前記ログ情報に紐づく脅威インテリジェンス情報である、
　請求項１に記載の制御方法。
　前記依頼トランザクションデータは、さらに、
　前記分析の依頼に対する分析手数料を示す情報が含まれる、
　請求項１～４のいずれか１項に記載の制御方法。
　さらに、
　前記依頼トランザクションデータを取得した後、かつ、前記分析トランザクションデータを取得する前に、前記分析依頼ＩＤと分析依頼の取り消しを示す情報とを含む取消トランザクションデータを取得し、前記取消トランザクションデータを前記分散台帳に記録した場合、
　前記分析依頼ＩＤにより特定される分析依頼がキャンセルされる、
　請求項１～４のいずれか１項に記載の制御方法。
　前記分析トランザクションデータに含まれる前記脅威インテリジェンス情報には、認証されたセキュリティ企業によるデジタル署名が施されている、
　請求項１～４のいずれか１項に記載の制御方法。
　前記正当性の検証結果は、
　前記分析トランザクションデータに含まれる前記脅威インテリジェンス情報内に存在するマルウェアのシグネチャ情報と、前記分析トランザクションデータに含まれる前記ログ情報に含まれるトレース中のバイト列とのマッチングが行われることで得られた結果である、
　請求項１～４のいずれか１項に記載の制御方法。
　前記正当性の検証結果は、
　仕様書情報に含まれる通信の発生条件と前記分析トランザクションデータに含まれるログ情報に含まれる実際に発生した通信内容とのマッチングが行われることで得られた結果である、
　請求項１～４のいずれか１項に記載の制御方法。
　前記依頼トランザクションデータは、さらに、前記分析の種類を指定するタグを１以上含んでおり、
　前記分析トランザクションデータは、さらに、前記分析結果を得るために行われた前記分析の種類を示すタグを１以上含んでいる、
　請求項１～４のいずれか１項に記載の制御方法。
　前記アクセス方法に含まれる情報のうち、前記分析を依頼するユーザを特定可能な情報は、匿名化されている、
　請求項１～４のいずれか１項に記載の制御方法。
　前記依頼トランザクションデータに含まれるアクセス方法には、前記分析を依頼するユーザが利用しているＳＩＥＭ（Security Information and Event Management）へのリモートアクセス権が含まれている、
　請求項１～４のいずれか１項に記載の制御方法。
　前記依頼トランザクションデータに含まれるアクセス方法には、前記分析に利用可能な関連情報のうち前記分析に必要なログ情報を取得するための操作を示す情報が含まれている、
　請求項１～４のいずれか１項に記載の制御方法。
　取得した前記検証結果に、前記分析トランザクションデータが検証対象から除外されたことが示されている場合、前記分析トランザクションデータは前記分散台帳に記録されない、
　請求項１～４のいずれか１項に記載の制御方法。
　検証対象の前記分析トランザクションデータに含まれる分析結果と、前記検証対象より過去に発生した前記分析トランザクションデータに含まれる分析結果との類似度が算出され、算出された前記類似度が所定の閾値を超過する場合、前記検証対象の前記分析トランザクションデータに含まれる前記分析結果に対する正当性は検証されず、前記検証結果には、前記検証対象の前記分析トランザクションデータが前記検証対象から除外されたことが示される、
　請求項１４に記載の制御方法。
　それぞれ分散台帳を有する複数のサーバを備えるセキュリティ分析システムにおける一のサーバであって、
　プロセッサとメモリとを備え、
　前記プロセッサは、前記メモリを用いて、分析の依頼を一意に示す分析依頼ＩＤと前記分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを取得し、
　前記プロセッサは、取得した前記依頼トランザクションデータをブロックに含めて前記分散台帳に記録する記録部と、
　前記プロセッサは、記録された前記依頼トランザクションデータに含まれる前記分析依頼ＩＤに対応する分析結果と、前記関連情報のうち前記分析結果に関連するログ情報と、前記分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを、取得して前記分析トランザクションデータを含むブロックを生成し、
　前記プロセッサは、前記分析トランザクションデータに含まれる前記分析結果に対する正当性の検証結果を取得し、
　前記プロセッサは、取得した前記検証結果により前記分析トランザクションデータに含まれる前記分析結果の正当性が検証されたことが示される場合、前記分析トランザクションデータを含むブロックを前記分散台帳に記録する、
　サーバ。
　それぞれ分散台帳を有する複数のサーバを備えるセキュリティ分析システムにおける制御方法を実行させるためのプログラムであって、
　分析の依頼を一意に示す分析依頼ＩＤと前記分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを取得し、
　取得した前記依頼トランザクションデータをブロックに含めて前記分散台帳に記録し、
　記録された前記依頼トランザクションデータに含まれる前記分析依頼ＩＤに対応する分析結果と、前記関連情報のうち前記分析結果に関連するログ情報と、前記分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを、取得し、
　前記分析トランザクションデータに含まれる前記分析結果に対する正当性の検証結果を取得して前記分析トランザクションデータを含むブロックを生成し、
　取得した前記検証結果により前記分析トランザクションデータに含まれる前記分析結果の正当性が検証されたことが示される場合、前記分析トランザクションデータを含むブロックを前記分散台帳に記録する、ことを、
　コンピュータに実行させるためのプログラム。
　分析を依頼するユーザ端末と、
　前記分析の依頼を実行する分析者端末と、
　それぞれ分散台帳を有する複数のサーバとを備え、
　前記複数のサーバのうちの一のサーバは、プロセッサとメモリとを有し、
　前記プロセッサは、前記メモリを用いて、前記分析の依頼を一意に示す分析依頼ＩＤと前記分析に利用可能な関連情報へのアクセス方法とを含む依頼トランザクションデータを、前記ユーザ端末から取得し、
　前記プロセッサは、取得した前記依頼トランザクションデータをブロックに含めて前記分散台帳に記録する記録部と、
　前記プロセッサは、記録された前記依頼トランザクションデータに含まれる前記分析依頼ＩＤに対応する分析結果と、前記関連情報のうち前記分析結果に関連するログ情報と、前記分析結果の根拠となる脅威インテリジェンス情報とを含む分析トランザクションデータを、前記分析者端末から取得し、
　前記プロセッサは、前記分析トランザクションデータに含まれる前記分析結果に対する正当性の検証結果を取得して前記分析トランザクションデータを含むブロックを生成し、
　前記プロセッサは、取得した前記検証結果により前記分析トランザクションデータに含まれる前記分析結果の正当性が検証されたことが示される場合、前記分析トランザクションデータを含むブロックを前記分散台帳に記録する、
　セキュリティ分析システム。