WO2023089669A1 - 攻撃ルート抽出システム、攻撃ルート抽出方法及び、プログラム - Google Patents

Abstract

攻撃グラフから、セキュリティリスク診断を行うのに好適な攻撃ルートを抽出することに貢献する、攻撃ルート抽出システムを提供する。診断対象のシステムの構成情報に従って、診断対象システムで実施され得る攻撃ステップを抽出する機能部と、脅威情報、攻撃内容情報、攻撃手段に対応する対策情報に基づいた対策可能性情報の少なくとも一つの情報に基づいて、前記攻撃ステップに、コストを設定するコスト設定部と、前記コスト設定部の設定した前記攻撃ステップの前記コストに基づいて、前記診断対象のシステムの侵入口から攻撃目標までの、一つ以上の前記攻撃ステップを接続することで得られる各攻撃ルートの優先度を決定し、前記優先度の高い順に、前記攻撃ルートを抽出する攻撃ルート抽出部を含む。

Description

攻撃ルート抽出システム、攻撃ルート抽出方法及び、プログラム

　本発明は、攻撃ルート抽出システム、攻撃ルート抽出方法及び、プログラムに関する。

　診断対象システムのリスク分析では、分析時点での各種構成情報をもとに、侵入口から攻撃目標に至るまでの攻撃手段や攻撃条件、経由するホストなどの情報を含む攻撃ルートを抽出することが行われる。攻撃グラフは、診断対象システムの構成情報を、情報取集し、システム情報を抽出し、推論エンジンによりリスク分析を行い、抽出される。リスク分析で得られた攻撃グラフは、攻撃条件と、攻撃手段を含み、攻撃手段により別の状態に至る各段階を攻撃ステップと呼ぶ。攻撃ルートは、各攻撃ステップ（攻撃手段を示す辺）をつなげたものである。

　特許文献１は、システムにおけるリスクの変化を把握可能な、リスク分析結果表示装置に関するものである。

　特許文献２は、攻撃活動の組合せごとに、適用する対策候補の組合せを指定する情報処理装置に関するものである。

　特許文献３は、複数の推定される攻撃が見つかっても、推定攻撃を特定できるインシデント分析装置に関するものである。

国際公開第２０２１／１３０９４３号 再公表特許第２０１８／１３４９０９号 特開２０１９－０５０４７７号公報

　以下の分析は、本発明によって与えられたものである。例えば、図５に一例として示す如く、診断対象システムが、ホストＡ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆを含み、ホストＡとＢ、ＣとＤ、及びＥとＦがそれぞれネットワークにより接続され、（ＡとＢ）、（ＣとＤ）、及び（ＥとＦ）の間には、それぞれファイアーウォールＦＷが設けられ、ＡとＢからの、ＣとＤへのアクセスは許可され、ＣとＤからの、ＥとＦへのアクセスは許可される構成であるとする。攻撃グラフは、診断対象システムの構成情報を分析して抽出される。攻撃グラフの攻撃元及び攻撃先のノードＡ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆは、診断対象システム内のホストＡ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆに対応するとする。この場合、攻撃ルートは、以下に示すように、攻撃グラフから、攻撃ステップ（辺）をつなげた全攻撃ルートを抽出したものである。なお、この例では、攻撃手段を省略している。
Ａ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆ
Ａ、Ｂ、Ｃ、Ｄ、Ｆ
Ａ、Ｂ、Ｃ、Ｅ、Ｆ
Ａ、Ｂ、Ｃ、Ｆ
Ａ、Ｂ、Ｄ、Ｃ、Ｅ、Ｆ
Ａ、Ｂ、Ｄ、Ｃ、Ｆ
Ａ、Ｂ、Ｄ、Ｅ、Ｆ
Ａ、Ｂ、Ｄ、Ｆ
Ａ、Ｃ、Ｄ、Ｅ、Ｆ
Ａ、Ｃ、Ｄ、Ｆ
Ａ、Ｃ、Ｅ、Ｆ
Ａ、Ｃ、Ｆ
Ａ、Ｄ、Ｃ、Ｅ、Ｆ
Ａ、Ｄ、Ｃ、Ｆ
Ａ、Ｄ、Ｅ、Ｆ
Ａ、Ｄ、Ｆ
このように、ノードを順次に列挙することにより、各攻撃ルートを示すことができる。

　セキュリティリスク診断を行うためには、攻撃グラフではなく攻撃ルートの形式で出力したいという要求がある。しかしながら、診断対象システムの構成情報から得られた攻撃グラフに含まれる全攻撃ルートを列挙すると、攻撃ルートの数が膨大になり、列挙した攻撃ルートから、セキュリティリスクの全てを把握することが困難となる。

　本発明は、攻撃グラフから、セキュリティリスク診断を行うのに好適な攻撃ルートを抽出することに貢献する、攻撃ルート抽出システム、攻撃ルート抽出方法及び、プログラムを提供することを目的とする。

　本発明の第１の視点によれば、診断対象のシステムの構成情報に従って、診断対象システムで実施され得る攻撃ステップを抽出する機能部と、
　脅威情報、攻撃内容情報、攻撃手段に対応する対策情報に基づいた対策可能性情報の少なくとも一つの情報に基づいて、前記攻撃ステップに、コストを設定するコスト設定部と、
　前記コスト設定部の設定した前記攻撃ステップの前記コストに基づいて、前記診断対象のシステムの侵入口から攻撃目標までの、一つ以上の前記攻撃ステップを接続することで得られる各攻撃ルートの優先度を決定し、前記優先度の高い順に、前記攻撃ルートを抽出する攻撃ルート抽出部を含む、攻撃ルート抽出システムを提供することができる。

　本発明の第２の視点によれば、プロセッサと記録装置とを備えるコンピュータが実行する攻撃ルート抽出方法であって、
　診断対象のシステムの構成情報に従って、診断対象システムで実施され得る攻撃ステップを抽出するステップと、
　脅威情報、攻撃内容情報、攻撃手段に対応する対策情報に基づいた対策可能性情報の少なくとも一つの情報に基づいて、前記攻撃ステップに、コストを設定するコスト設定ステップと、
　前記コスト設定ステップで設定された前記攻撃ステップの前記コストに基づいて、前記診断対象のシステムの侵入口から攻撃目標までの、一つ以上の前記攻撃ステップを接続することで得られる各攻撃ルートの優先度を決定し、前記優先度の高い順に、前記攻撃ルートを抽出する攻撃ルート抽出ステップを含む、攻撃ルート抽出方法を提供することができる。

　本発明の第３の視点によれば、コンピュータに、
　診断対象のシステムの構成情報に従って、診断対象システムで実施され得る攻撃ステップを抽出する処理と、
　脅威情報、攻撃内容情報、攻撃手段に対応する対策情報に基づいた対策可能性情報の少なくとも一つの情報に基づいて、前記攻撃ステップに、コストを設定するコスト設定処理と、
　前記コスト設定処理で設定された前記攻撃ステップの前記コストに基づいて、前記診断対象のシステムの侵入口から攻撃目標までの、一つ以上の前記攻撃ステップを接続することで得られる各攻撃ルートの優先度を決定し、前記優先度の高い順に、前記攻撃ルートを抽出する攻撃ルート抽出処理を実行させるプログラムを提供することができる。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（ｎｏｎ－ｔｒａｎｓｉｅｎｔ）なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明によれば、攻撃グラフから、セキュリティリスク診断を行うのに好適な攻撃ルートを抽出することに貢献する、攻撃ルート抽出システム、攻撃ルート抽出方法及び、プログラムを提供することができる。

本発明の一実施形態の攻撃ルート抽出システムの概略構成の一例を示す図である。 診断対象システムのセキュリティリスク診断を行うシステムの概要を示す図である。 リスク分析で得られた攻撃グラフの一例を示す図である。 簡略化した攻撃グラフの一例を示す図である。 診断対象システムの一例の構成と、攻撃グラフの一例と、全攻撃ルートの関係を示す図である。 本発明の第１の実施形態の攻撃ルート抽出システムの概略構成の一例を示す図である。 本発明の第１の実施形態の攻撃ルート抽出システムの攻撃グラフ生成部の概略構成の一例を示す図である。 本発明の第１の実施形態のコスト設定情報データベース（ＤＢ）に格納する情報の内容の一例を示す図である。 本発明の第１の実施形態の攻撃ルート抽出システムのコスト設定部の概略構成の一例を示す図である。 本発明の第１の実施形態のコスト設定部の攻撃グラフを用いた攻撃内容情報の抽出の概要の一例を示す図である。 本発明の第１の実施形態のコスト設定部の攻撃グラフを用いた対策可能性情報の抽出の概要を示す図である。 本発明の第１の実施形態の攻撃ルート抽出システムのコスト設定部により設定したコストの一例を示す図である。 本発明の第１の実施形態の攻撃ルート抽出システムのコスト設定部により設定したコストの別の一例を示す図である。 本発明の第１の実施形態の攻撃ルート抽出システムの攻撃ルート抽出部の概略構成の一例を示す図である。 本発明の第１の実施形態の攻撃ルート抽出システムの攻撃ルートの出力イメージを示す図である。 本発明の第２の実施形態の攻撃グラフから攻撃ルートを抽出した結果の一例を示す図である。 本発明の第２の実施形態の攻撃ルートの抽出する方法の概要を示す図である。 本発明の攻撃ルート抽出システムを構成するコンピュータの構成を示す図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号（データ）の流れを模式的に示すものであり、双方向性を排除するものではない。

　図１は、本発明の一実施形態の攻撃ルート抽出システム５００の概略構成の一例を示す図である。本発明の一実施形態の攻撃ルート抽出システム５００は、攻撃グラフ生成部５１０と、コスト設定部５３０と、攻撃ルート抽出部５４０を含む。

　最初に、攻撃グラフ生成部５１０の動作について説明する。図２は、診断対象システムのセキュリティリスク診断を行うシステムの概要を示す図である。診断対象システム１１０の構成情報を、情報取集し（１２０）、システム情報１３０を抽出し、推論エンジン１４０によりリスク分析１５０を行い、攻撃グラフ１６０を抽出する。

　図３は、リスク分析で得られた攻撃グラフの一例を示す図である。図３において、細線の四角で囲まれた部分が攻撃条件であり、楕円で囲まれた部分が攻撃手段であり、太線の四角で囲まれた部分（ノード２１０、２２０、２３０、２４０、２５０、２６０、２７０）が状態（ノード）を示している。ここで、攻撃手段により別の状態（ノード）に至る各段階を攻撃ステップと呼ぶ。攻撃ルートは、図３の破線で示すように、各攻撃ステップ（攻撃手段を示す辺）をつなげたものである。即ち、ここに、攻撃グラフとは、各攻撃ステップの可能な組み合わせによる流れ（攻撃ルート）を示すチャートないし、図式表現を言う。

　図４は、簡略化した攻撃グラフの一例を示す図である。図４において、図３で記載した参照符号と同一の参照符号は、同一の構成要素を示すものとする。図４は、図３に記載されたリスク分析で得られた攻撃グラフから、太線の四角で囲まれた部分の状態（ノード２１０、２２０、２３０、２４０、２５０、２６０、２７０）以外の細線の四角で囲まれた部分の攻撃条件を削除し、攻撃手段を各辺（２１５、２２５、２２６、２３５、２４５、２４６、２５５、２６５）に対応させて得られた簡略化した攻撃グラフの一例を示す。以下の説明では、記載の簡潔化のために、簡略化した攻撃グラフを、攻撃グラフと称して使用するものとし、攻撃手段については、適宜省略する場合もある。

　図５は、診断対象システム４１０の一例の構成と、これに対応する攻撃グラフ４２０のイメージの一例と、全攻撃ルート４３０の関係４００を示す図である。図５において、診断対象システム４１０内のＡ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆはそれぞれ、ホストを示し、ＦＷはファイアーウォールを示す。ＡとＢ、ＣとＤ、及びＥとＦがそれぞれネットワークにより接続され、（ＡとＢ）、（ＣとＤ）、及び（ＥとＦ）の間には、それぞれＦＷが設けられ、ＡとＢからの、ＣとＤへのアクセスは許可され、ＣとＤからの、ＥとＦへのアクセスは許可される構成である。攻撃グラフ４２０は、診断対象システム４１０の構成情報を分析して抽出されたものであり、攻撃グラフ４２０の攻撃元及び攻撃先のノードＡ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆは、診断対象システム４１０内のホストＡ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆに対応する。攻撃グラフ内のノードＡ、Ｂ、Ｃ、Ｄ、Ｅ、Ｆは、診断対象システム４１０の対応するホスト上での、何らかの攻撃手段によって到達する状態（コード実行可能な状態など）を簡易表現している。全攻撃ルート４３０は、攻撃グラフ４２０から、攻撃ステップ（辺）をつなげた全攻撃ルートを抽出したものであり、ノードを順次に列挙することにより、各攻撃ルートを示したものである。

　攻撃ルート抽出システム５００の攻撃グラフ生成部５１０は、入力される診断対象のシステムの構成情報５０１に従って、攻撃手段を示す各辺に対応する各攻撃ステップと攻撃ステップにより到達する状態（ノード）を示す攻撃グラフを生成する。即ち、攻撃グラフ生成部５１０は、診断対象のシステムの構成情報に従って、診断対象システムで実施され得る攻撃ステップを抽出する機能部である。例えば、図５に記載の一診断対象システム４１０の構成情報から攻撃グラフ４２０を生成する。コスト設定部５３０は、脅威情報、攻撃内容情報、攻撃手段に対応する対策情報に基づいた対策可能性情報の少なくとも一つの情報に基づいて、攻撃グラフの各ステップに、コストを設定する。攻撃ルート抽出部５４０は、コスト設定部５３０の設定した各攻撃手段のコストに基づいて、診断対象のシステムの侵入口から攻撃目標までの、一つ以上の攻撃ステップを接続することで得られる各攻撃ルートの優先度を決定し、優先度の高い順に、攻撃ルートを抽出する。

　本発明の一実施形態により、診断対象システムの構成情報から得られた攻撃グラフに含まれる全攻撃ルートの中から、各攻撃ルートの優先度を決定し、優先度に基づいて、攻撃ルートを抽出することにより、攻撃グラフから、全攻撃ルートを列挙することなく、セキュリティリスク診断を行うのに好適な攻撃ルートを抽出することができる。

　［第１の実施形態］
　次に、本発明の第１の実施形態の攻撃ルート抽出システムの構成について、図面を参照して説明する。図６は、本発明の第１の実施形態の攻撃ルート抽出システムの概略構成の一例を示す図である。本発明の第１の実施形態の攻撃ルート抽出システム５００は、攻撃グラフ生成部５１０と、コスト設定情報データベース（ＤＢ）５２０と、コスト設定部５３０と、攻撃ルート抽出部５４０を含む。本発明の第１の実施形態の攻撃ルート抽出システム５００の動作の概要は、以下の通りである。

　攻撃ルート抽出システム５００の攻撃グラフ生成部５１０は、入力される診断対象のシステムの構成情報５０１に従って、攻撃手段を示す各辺に対応する各攻撃ステップと攻撃ステップにより到達する状態（ノード）を示す攻撃グラフを生成する。例えば、図５に記載の診断対象システム４１０の構成情報から攻撃グラフ４２０を生成する。コスト設定情報データベース５２０は、脅威情報と攻撃手段に対応する対策情報を格納する。コスト設定部５３０は、攻撃グラフに基づいて攻撃ステップ情報（攻撃内容情報）を抽出し、脅威情報、攻撃内容情報、攻撃手段に対応する対策情報に基づいた対策可能性情報の少なくとも一つの情報に基づいて、攻撃グラフの各辺に、コストを設定する。攻撃ルート抽出部５４０は、コスト設定部５３０の設定した各辺のコストに基づいて、診断対象のシステムの侵入口から攻撃目標までの各攻撃ルートの優先度を決定し、優先度の高い順に、攻撃ルートを抽出する。なお、各攻撃ルートの優先度は、攻撃ルート抽出部５４０により、侵入口から攻撃目標までの各攻撃ルート上の、各辺のコストを合計した値に基づいて決定されてもよい。また、各辺のコストを合計した値が小さいほど、優先度を高く設定するようにしてもよい。

　次に、本発明の第１の実施形態の攻撃ルート抽出システム５００の各部の構成と動作の詳細について、以下に説明する。図７は、本発明の第１の実施形態の攻撃グラフ生成部５１０の概略構成の一例を示す図である。攻撃グラフ生成部５１０は、例えば、図５に記載の診断対象システム４１０の構成情報から攻撃グラフ４２０を生成する。

　攻撃グラフ生成部５１０は、脆弱性情報データベース（ＤＢ）５１２、分析ルール格納部５１３、推論部５１４、攻撃グラフ情報出力部５１５を含む。収集した診断対象システムの構成情報５０１には、診断対象システムに含まれるホスト情報、ネットワーク構成、各ホストにインストールされているＯＳ（オペレーションシステム）やソフトウェア、各ＯＳやソフトウェアの脆弱性情報、データフロー情報などが含まれる。脆弱性情報ＤＢ５１２は、各脆弱性の攻撃条件と、攻撃結果等を格納する。分析ルール格納部５１３は、どのような攻撃がどのような条件のもとで実施可能かの情報を記述する分析ルールを格納する。推論部５１４は、収集した診断対象システムの構成情報５０１と、脆弱性情報データベース（ＤＢ）５１２に格納された各脆弱性の攻撃条件と、攻撃結果等と、分析ルール格納部５１３に格納された分析ルールを基に、どのホストからどのホストに対してどのような攻撃が可能かを推論する。攻撃グラフ情報出力部５１５は、推論部５１４で推論した、どのホストからどのホストに対してどのような攻撃が可能かを示す情報をつなぎ合わせることにより、攻撃グラフ情報５０２を出力する。攻撃グラフ情報５０２の一例としては、例えば、図４に示した攻撃グラフ（簡略化した攻撃グラフ）でもよい。

　図８は、本発明の第１の実施形態のコスト設定情報データベース（ＤＢ）５２０に格納する情報の内容の一例を示す図である。コスト設定情報ＤＢ５２０は、脆弱性情報５２１と、攻撃手段に対応する脅威レベル５２３、攻撃手段に対応する対策情報５２２等を格納する。ここで、脆弱性情報５２１に含まれる情報と脅威レベル５２３に含まれる情報を脅威情報と呼ぶ。なお、脆弱性情報５２１の脆弱性識別子（ＩＤ）は、例えば、共通脆弱性識別子ＣＶＥ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ　ａｎｄ　Ｅｘｐｏｓｕｒｅｓ）でもよい。また、脆弱性ＩＤに対応して、ＣＶＳＳ（Ｃｏｍｍｏｎ　Ｖｕｌｎｅｒａｂｉｌｉｔｙ　Ｓｃｏｒｉｎｇ　Ｓｙｓｔｅｍ）のスコア、攻撃事例の有無、ＰｏＣ（Ｐｒｏｏｆ－ｏｆ－Ｃｏｎｃｅｐｔ）コード（概念実証コード）の有無が格納されてもよい。攻撃手段に対応する脅威レベル５２３では、攻撃手段ごとに脅威レベルが設定されてもよい。また、攻撃手段に対応する対策情報５２２では、攻撃手段ごとに可能な対策方法が規定されてもよい。

　図９は、本発明の第１の実施形態の攻撃ルート抽出システム５００のコスト設定部５３０の概略構成の一例を示す図である。コスト設定部５３０は、攻撃ステップ情報抽出部５３１、コスト計算部５３２、コスト割当部５３３を含む。攻撃ステップ情報抽出部５３１は、攻撃グラフ生成部５１０から出力された攻撃グラフ情報５０２を入力とし、攻撃グラフ情報５０２に含まれている各攻撃ステップ情報（攻撃内容情報）を抽出する。コスト計算部５３２は、攻撃ステップ情報抽出部５３１の抽出した攻撃内容情報と、コスト設定情報ＤＢ５２０に格納された脅威情報及び、攻撃手段に対応する対策情報５２２に基づいた対策可能性情報の少なくとも１つに基づいて、各辺のコストを計算する。コスト割当部５３３は、例えば図４に示した攻撃グラフの各辺に、コスト計算部５３２の計算したコストをコスト割当部５３３により割り当てて設定し、コスト設定済み攻撃グラフ５０３を出力する。各辺のコストの設定については、以下に詳細に説明する。

　次に、脅威情報、攻撃内容情報、攻撃手段に対応する対策情報５２２に基づいた対策可能性情報に基づく、攻撃グラフの各辺のコストの設定について順に説明する。なお、各辺のコストの設定では、優先的に出力することが好ましい攻撃ステップ（攻撃グラフの辺）のコストを低く設定するものとして以下に、説明するが、この内容に限定されるものではない。

　［１．脅威情報等に基づくコストの設定］
　最初に、脅威情報等に基づく攻撃グラフの各辺のコストの設定について説明する。脅威情報に基づくコストの設定ではより危険な攻撃ルートを優先して抽出する。図８に示すように、脆弱性情報５２１と攻撃手段に対応する脅威レベル５２３が、コスト設定情報ＤＢ５２０に格納されており、脆弱性情報５２１と攻撃手段に対応する脅威レベル５２３に基づいて、攻撃グラフの各辺のコストを、コスト設定部５３０のコスト割当部５３３により、以下のように設定する。
（１－１）脆弱性情報（ＣＶＳＳスコア）に基づくコストの設定
　各辺の脆弱性ＩＤに対応するＣＶＳＳスコアが高いほど、各辺のコストを低く設定する。
（１－２）攻撃事例の有無に基づくコストの設定
　各辺の脆弱性ＩＤに対応する攻撃事例がある場合は、各辺のコストを低く設定する。
（１－３）ＰｏＣコード（概念実証コード）の有無に基づくコストの設定
　各辺の脆弱性ＩＤに対応するＰｏＣコードが存在する場合は、各辺のコストを低く設定する。
（１－４）攻撃手段の脅威レベルに基づくコストの設定
　攻撃手段に対応する脅威レベル５２３では、攻撃手段ごとに脅威レベルが設定されている。各辺に対応する攻撃手段の脅威レベルが高いほど、各辺のコストを低く設定する。

　［２．攻撃内容情報の抽出］
次に、攻撃内容情報に基づくコストの設定の説明に先立ち、攻撃グラフを用いて攻撃ステップ情報（攻撃内容情報）を抽出する動作の概要の一例を説明する。図１０は、コスト設定部５３０の攻撃ステップ情報抽出部５３１により、攻撃グラフを用いて攻撃ステップ情報（攻撃内容情報）を抽出する動作の概要の一例を示す図である。なお、図１０に示す攻撃グラフは、説明の簡略化のため、図４で示した攻撃グラフと同一の攻撃グラフを示す。

　（２－１）攻撃条件の判断
図１０の攻撃グラフにおいて、ＰＣ　Ａに侵入し（ノード２１０）、ＰＣ　Ｂの脆弱性ＸＸＸを攻撃し（辺２１５）、ＰＣ　Ｂで任意コードを実行可能（ノード２２０）であるとの攻撃グラフの部分から、辺２１５の攻撃ステップは、攻撃元のホスト（ＰＣ　Ａ）と攻撃先のホスト（ＰＣ　Ｂ）が異なるので、リモート（Ｒｅｍｏｔｅ）の攻撃であると判断する。

　（２－２）各攻撃ステップの攻撃前後の権限の判断
また、図１０の攻撃グラフにおいて、サーバＣで任意コードを実行可能（一般権限）であり（ノード２３０）、サーバＣで脆弱性ＺＺＺを攻撃し（辺２３５）、サーバＣで任意コードを実行可能（管理者権限）である（ノード２４０）との攻撃グラフの部分から、権限ごとにノードを分けて攻撃グラフを構成することで、辺２３５による攻撃の前後の権限を判断する。

　（２－３）攻撃シナリオ情報の判断
さらに、図１０の攻撃グラフにおいて、サーバＣで任意コードを実行可能（管理者権限）であり（ノード２４０）、サーバＧの脆弱性ＶＶＶを攻撃し（辺２４６）、サーバＧで任意コードを実行可能である（ノード２７０）との攻撃グラフの部分から、攻撃グラフの最後のノード２７０につながる辺２４６による攻撃は、攻撃先が攻撃目標（ノード２７０）となる攻撃ステップであると判断する。このように、コスト設定部５３０の攻撃ステップ情報抽出部５３１は、攻撃グラフを用いた攻撃ステップ情報（攻撃内容情報）の抽出を行うことができる。

　［３．攻撃内容情報に基づくコストの設定］
次に、攻撃内容情報に基づくコストの設定について説明する。攻撃内容情報に基づくコストの設定では、より自然な攻撃ルートを優先して抽出する（自然な攻撃ルートとは簡潔なものや一貫性のあるものをいう）。上記のように攻撃グラフを用いて抽出した攻撃内容情報に基づき、攻撃グラフの各辺のコストを、コスト設定部５３０のコスト割当部５３３により、以下のように設定する。
（３－１）攻撃条件（リモート（ｒｅｍｏｔｅ）又はローカル（ｌｏｃａｌ））に基づくコストの設定
攻撃グラフを用いた攻撃内容情報の抽出の結果、攻撃条件がリモート（ｒｅｍｏｔｅ）の攻撃であると判断された場合には、リモートの攻撃(別のホストからの攻撃)をローカルの攻撃(同じホスト内の攻撃)よりも高いコストに設定する。
（３－２）攻撃シナリオ情報に基づくコストの設定
攻撃グラフを用いた攻撃内容情報の抽出の結果、攻撃先が攻撃目標の場合、コストを低く設定する。
（３－３）攻撃先ホストに基づくコストの設定
攻撃先ホストの識別子をもとに微小なコストを加算することで他の条件が同じ時に同じホストを選ばれやすく設定する。
（３－４）各攻撃ステップの攻撃前後の権限に基づくコストの設定
攻撃グラフを用いた各攻撃ステップ情報の抽出の結果、攻撃ステップの前の攻撃元ホストで必要な権限が低いほどコストを低く設定する。また、攻撃ステップの攻撃後に実行可能となる権限が高いほどコストを低く設定する。特に、抽出された攻撃ルートが、自然となるように、設定することが好ましい。

　次に、対策可能性情報に基づくコストの設定の説明に先立ち、コスト設定部５３０のコスト計算部５３２による、攻撃グラフと攻撃手段に対応する対策情報５２２基づく対策可能性情報の抽出動作の概要を説明する。図１１は、本発明の第１の実施形態のコスト計算部５３２の攻撃グラフを用いた対策可能性情報の抽出の概要を示す図である。対策可能性情報は、例えば、図１１に記載の攻撃グラフと、コスト設定情報ＤＢ５２０に格納された攻撃手段に対応する対策情報５２２を用いて以下のように抽出することができる。なお、図１１に示す攻撃グラフは、図４で示した攻撃グラフと同一の攻撃グラフを示し、図１１に示す攻撃手段に対応する対策情報５２２は、図８に示す攻撃手段に対応する対策情報５２２と同一である。

　［４．対策可能性情報の抽出動作の概要］
（４－１）可能な対策数の抽出
対策可能性情報として、攻撃グラフの各辺の攻撃手段に対応する導入可能な対策数を、コスト設定情報ＤＢ５２０に格納された攻撃手段に対応する対策情報５２２に基づいて算出する。図１１の例では、攻撃手段が「脆弱性を攻撃」の場合には、対策は、「アンチウイルスソフトウェアの導入」や、「ソフトウェア（ＳＷ）アップデート」等があり、その対策の数を、辺の攻撃手段に対応する可能な対策数とする。また、図１１の例では、攻撃手段が「通信改ざん」の場合には、対策は、「暗号化」や、「安全なプロトコル利用」等があり、その対策の数を、辺の攻撃手段に対応する可能な対策数とする。

　（４－２）同じ攻撃手段の攻撃グラフ中の出現回数の抽出
対策可能性情報として、攻撃グラフ中の各辺に対し、同じ攻撃手段が何回出現するかをカウントする。図１１の攻撃グラフにおいては、以下の攻撃手段が、その対応する回数分、出現している。
・脆弱性を攻撃：５回（辺２１５、２２６、２３５、２４６、２６５）
・正規ログイン：１回（辺２２５）
・不正ファイル拡散：１回（辺２４５）
・不正ファイル実行：１回（辺２５５）

　（４－３）同じ対策を利用可能な攻撃手段の出現回数の抽出
対策可能性情報として、攻撃グラフ中の各辺について、同じ対策を利用可能な攻撃手段の出現回数を抽出する。攻撃グラフ中の各辺に示された攻撃手段に対応する、コスト設定情報ＤＢ５２０に格納された攻撃手段に対応する対策情報５２２の内容をもとに算出する。本第１の実施形態においては、例えば、脆弱性を攻撃することと不正ファイル実行はどちらもアンチウイルスソフトウェアの導入で対策可能であるものとして以下の説明を行うが、これに限定されるものではない。例えば、図１１においては、アンチウイルスソフトウェアの導入を利用可能な攻撃手段は、「脆弱性を攻撃」が５回と「不正ファイル実行」が１回の合計６回となる。図１１においては、以下の攻撃手段が、対応する回数分、出現しているとカウントする。
・脆弱性を攻撃：６回
・正規ログイン：１回
・不正ファイル拡散：１回
・不正ファイル実行：６回

　（４－４）攻撃先ホストと攻撃手段の組み合わせの出現回数の抽出
対策可能性情報として、攻撃グラフ中で、攻撃先ホストと攻撃手段の組み合わせが何回出現しているかを抽出する。図１１の攻撃グラフにおいては、以下の組み合わせが、一例として示す対応する回数分、出現しているとカウントされる。以下の説明では、攻撃先ホストと攻撃手段の組み合わせを｛攻撃手段、攻撃先ホスト｝と記載する。
・｛脆弱性を攻撃、ＰＣ　Ｂ｝：１回（辺２１５及びノード２２０）
・｛脆弱性を攻撃、サーバＣ｝：１回（辺２３５及びノード２４０）
・｛脆弱性を攻撃、サーバＤ｝：１回（辺２２６及びノード２６０）
・｛脆弱性を攻撃、サーバＧ｝：２回（辺２４６及びノード２７０、辺２６５及びノード２７０）
・｛正規ログイン、サーバＣ｝：１回（辺２２５及びノード２３０）
・｛不正ファイル拡散、サーバＧ｝：１回（辺２４５及びノード２５０）
・｛不正ファイル実行、サーバＧ｝：１回（辺２５５及びノード２７０）

　（４－５）攻撃先ノードの入次数の抽出
対策可能性情報として、攻撃グラフ中で、攻撃先ノードの入次数を抽出する。図１１の攻撃グラフにおいては、以下の攻撃先ノードとその攻撃手段の組み合わせに対する入次数が、対応する回数分、出現している。
・ＰＣ　Ｂの脆弱性ＸＸＸを攻撃：入１回（ノード２２０）
・サーバＤの脆弱性ＸＸＸを攻撃：入１回（ノード２６０）
・サーバＣのログイン（Ｌｏｇｉｎ　Ｓｅｒｖｅｒ　Ｃ）：入１回（ノード２３０）
・サーバＣで脆弱性ＺＺＺを攻撃：入１回（ノード２４０）
・サーバＧの脆弱性ＸＸＸを攻撃：入３回（ノード２７０）
・サーバＧの脆弱性ＶＶＶを攻撃：入３回（ノード２７０）
・不正ファイルの拡散：入１回（ノード２５０）
・サーバＧで不正な実行ファイルを開かせる：入３回（ノード２７０）

　［５．対策可能性情報に基づくコストの設定］
上記のように抽出した対策可能性情報の各々に基づく攻撃グラフの各辺のコストは、コスト割当部５３３により、一例として、以下のように設定する。対策可能性情報に基づくコストの設定では、より対策しやすい（対策の候補が多いまたは対策の効果が高い）攻撃ルートを優先して抽出する。
（５－１）可能な対策数に基づくコストの設定
上記の様に抽出された可能な対策数に基づいて、攻撃グラフ中で、当該攻撃手段のリスクを低減できる可能な対策数が多いほど、辺のコストを高く設定する。
（５－２）同じ攻撃手段の攻撃グラフ中の出現回数に基づくコストの設定
上記の様に抽出された同じ攻撃手段の攻撃グラフ中の出現回数に基づいて、攻撃グラフ中で、同じ攻撃手段が攻撃グラフ中に多数出現しているほど、辺のコストを低く設定する。
（５－３）同じ対策を利用可能な攻撃手段の出現回数に基づくコストの設定
上記の様に抽出された同じ対策を利用可能な攻撃手段の出現回数に基づいて、攻撃グラフ中で、同じ対策でリスクを低減できる攻撃手段の攻撃グラフ中の出現回数が多いほど、辺のコストを低く設定する。
（５－４）攻撃先ホストと攻撃手段の組み合わせの出現回数に基づくコストの設定
上記の様に抽出された攻撃先ホストと攻撃手段の組み合わせの出現回数に基づいて、攻撃グラフ中で、同じ攻撃先ホストと攻撃手段の組み合わせの出現回数が多いほど、辺のコストを低く設定する。
（５－５）攻撃先ノードの入次数に基づくコストの設定
上記の様に抽出された攻撃先ノードの入次数に基づいて、攻撃グラフ中で、攻撃先ノードの入次数が大きいほど、辺のコストを低く設定する。即ち、多くの攻撃で利用されるノードに関連する攻撃ステップ（辺）を選ばれやすく設定する。

　図１２は、本発明の第１の実施形態の攻撃ルート抽出システム５００のコスト設定部５３０により設定した各辺のコストの一例を示す図である。コスト１１００は、例えば、１０進数の各桁にコスト設定の各要素を対応させて設定することができる。

　図１２のコスト１１００は、コスト１１００の各桁１１０１から１１０３に脅威情報に基づいてコストを設定し、コスト１１００の各桁１１０４から１１０９に攻撃内容情報に基づいてコストを設定した場合の一例を示す。なお、例えば、コスト１１００の各桁１１０１から１１０９には、初期状態として、０が設定されているものとするが、これに限定されるものではない。

　図１２のコスト１１００の各桁１１０１から１１０３には、脅威情報の脆弱性情報（ＣＶＳＳスコア）、攻撃事例の有無、ＰｏＣコード（概念実証コード）の有無、攻撃手段の脅威レベルを総合して、脅威レベルが１の場合には、桁１１０１に１を設定し、脅威レベルが２の場合には、桁１１０２に１を設定し、脅威レベルが３の場合には、桁１１０３に１を設定することができる。

　図１２のコスト１１００の桁１１０４には、攻撃内容情報の攻撃条件に基づいて、例えば、リモートの攻撃である場合には１を設定し、桁１１０５には、攻撃内容情報の攻撃シナリオ情報に基づいて、攻撃先が攻撃目標でない場合には１を設定する。桁１１０６から１１０８には、攻撃内容情報の攻撃先ホストの識別子をもとに微小なコストを設定する。また、桁１１０９には、攻撃内容情報の攻撃前後の権限に応じた値を設定する。即ち、攻撃元－攻撃先の権限が、一般権限－管理者権限の場合には０を、管理者権限－管理者権限の場合には１を、一般権限－一般権限の場合には２を、管理者権限－一般権限の場合には３を設定する。

　図１３は、本発明の第１の実施形態の攻撃ルート抽出システム５００のコスト設定部５３０により設定したコストの別の一例を示す図である。図１３のコスト１２００は、コスト１２００の各桁１１０１から１１０３に脅威情報に基づいてコストを設定し、コスト１２００の各桁１２０１と１２０２には対策可能性情報に基づいてコストを設定した場合の一例を示す。なお、図１３において、コスト１２００の桁１１０１から１１０３は、図１２において脅威情報に基づいて設定したコスト１１００の桁１１０１から１１０３と同一である。図１３において、コスト１２００の桁１２０１と１２０２には、対策可能性情報を用いてコストを設定することができる。すなわち、対策可能性情報の、可能な対策数、同じ攻撃手段の攻撃グラフ中の出現回数、同じ対策を利用可能な攻撃手段の出現回数、攻撃先ホストと攻撃手段の組み合わせの出現回数、ノードの入次数のいずれかに基づいて、又は対策可能性情報の幾つかを組み合わせて、あるいは対策可能性情報を総合して、設定することができる。なお、回数が多いほどコストを高く設定する場合には、９９を上限として回数を設定してもよい。又は、回数が多いほどコストを低く設定する場合には、０を下限として１００－回数を設定してもよい。なお、コストの設定の仕方は、本発明の目的、基本的解決原理に基づいて、上述の例に限らず、適宜選択可能である。

　次に、本発明の第１の実施形態の攻撃ルート抽出システム５００の攻撃ルート抽出部５４０の動作について説明する。図１４は、本発明の第１の実施形態の攻撃ルート抽出システム５００の攻撃ルート抽出部５４０の概略構成の一例を示す図である。攻撃ルート抽出部５４０は、経路計算部５４１と、攻撃ルート出力部５４２を含む。

　図１４に示す攻撃ルート抽出部５４０の経路計算部５４１は、図９に示すコスト設定部５３０により設定されたコスト設定済み攻撃グラフ５０３を入力とし、攻撃グラフのノードとノードを結ぶそれぞれの「辺」のコスト設定部５３０により設定されたコストに基づいて、侵入口から攻撃目標までの各攻撃ルート上の、各辺のコストを合計して、合計した値の小さい順に、攻撃ルートの優先度（優先順位）を決定する。攻撃ルート出力部５４２は、優先度が決定された攻撃ルートを、優先度にしたがって、即ち、優先度の高い順に、所定の決められた数だけ、攻撃ルートとして出力する。

　図１５は、本発明の第１の実施形態の攻撃ルート抽出システムの攻撃ルート５０４の、表形式による出力イメージを示す図である。図１５に示す表形式による出力イメージは、一例として、攻撃の番号を示す欄１４０１、攻撃に関する情報種別を示す欄１４０２、情報種別ごとの具体的な情報内容を示す欄１４０３と、攻撃概要を示す欄１４０４を含む。図１５においては、矢印は攻撃の進行を示し、矢印のように攻撃が進行するにしたがって、右方向に各欄１４０２から１４０４をずらして攻撃ルートを表している。また、途中まで同じ攻撃ルートとなる場合には、矢印が分岐するように、分岐して攻撃ルートを表している。図１５では、表の左側の番号欄１４０１の番号が示す３番から４番への攻撃を行うことも、３番から５番への攻撃を行うことも可能であることを示している。

　本発明の第１の実施形態の攻撃ルート抽出システムにより、診断対象システムの構成情報から得られた攻撃グラフに含まれる全攻撃ルートの中から、各攻撃ルートのコストを設定し、各攻撃ルートの優先度を決定し、優先度に基づいて、攻撃ルートを抽出することにより、攻撃グラフから、全攻撃ルートを列挙することなく、セキュリティリスク診断を行うのに好適な攻撃ルートを抽出することができる。

　［第２の実施形態］
　次に本発明の第２の実施形態の攻撃ルート抽出システムの構成について、図面を参照して説明する。図１６は、本発明の第２の実施形態の攻撃グラフから攻撃ルートを抽出した結果の一例を示す図である。図１６においては、抽出される経路が特定のリスクが高い攻撃ルートに偏った場合に、リスクの低い攻撃ステップを用いた攻撃ルートが抽出されない結果となることもある。例えば、図１６においては、太い矢印で示された、ノードＡからノードＣ（辺１５１１）、ノードＣからノードＥ（辺１５３１）、ノードＥからノードＦ（辺１５５１）、ノードＤからノードＥ（辺１５４２）の各辺のルートは、リスクの高いルートであるとする。この場合、高リスクの、ノードＡ、Ｃ、Ｅ、Ｆからなるルート、ノードＡ、Ｃ、Ｆからなるルート、ノードＡ、Ｃ、Ｄ、Ｅ、Ｆからなるルートは検出されるが、低リスクの他のルートは、検出されない可能性がある。

　図１７は、本発明の第２の実施形態の攻撃ルートを抽出する方法の概要を示す図である。本発明の第２の実施形態は、攻撃ルートを抽出する際に、攻撃ステップごとに当該攻撃ステップを利用するような攻撃ルートを抽出する実施形態である。本アルゴリズムは、以下のように動作する。

　ステップ（１）
攻撃グラフ中のすべての辺ｅ＝｛ｖ１，ｖ２｝について以下のステップ（２）とステップ（３）の動作を実行する。なお、図１７は、ｖ１をノードＤ、ｖ２をノードＥとした場合の、１つの辺ｅ＝｛ｖ１，ｖ２｝について、以下のアルゴリズムを説明する図である。また、以下の記載において、最短経路の計算には、第１の実施形態で各辺に設定されたコストを利用し、最短経路は、コストを利用して計算した最小コスト経路を意味するものとする。

　ステップ（２）
侵入口ｓ（ノードＡ）から攻撃目標ｇ（ノードＦ）までの辺ｅを通る最短経路Ｐを計算する。ステップ（２）は以下のステップ（２－１）からステップ（２－３）を含む。

　ステップ（２－１）
侵入口ｓ（ノードＡ）からｖ１までのｇ（ノードＦ）を含まない最短経路Ｐ１を計算する。この結果、最短経路Ｐ１が存在しない場合は辺ｅを通る最短経路Ｐは存在しないと決定する。

　ステップ（２－２）
ｖ２からｇ（ノードＦ）までの経路でＰ１に含まれるノードを含まない最短経路Ｐ２を計算する。この最短経路Ｐ２が存在しない場合は辺ｅを通る最短経路Ｐは存在しないと決定する。

　ステップ（２－３）
辺ｅを通る最短経路Ｐが存在する場合には、ステップ（２－３）で、辺ｅを通る最短経路Ｐ＝｛Ｐ１，ｅ，Ｐ２｝とする。

　ステップ（３）
最後に、最短経路Ｐを攻撃ルート集合に加える。

　以上説明したように、第２の実施形態によれば、攻撃に利用されうる全ての攻撃ステップがいずれかの攻撃ルートに含まれるようにすることができる。

　［第３の実施形態］
　次に、第３の実施形態のアルゴリズムについて説明する。本第３の実施形態のアルゴリズムでは、上記第２の実施形態の最短経路Ｐ１とＰ２の算出において、異なるコスト設定を利用してもよい。即ち、各辺ｅについての攻撃ルート抽出において、コスト設定を変更することもできる。例えば、上記第２の実施形態のアルゴリズムに以下のようにコストを変更するステップ（４）を加えることで、特定のリスクの高い攻撃ステップに利用が偏重することを抑制できる。

　ステップ（１）
攻撃グラフ中のすべての辺ｅ＝｛ｖ１，ｖ２｝について以下のステップ（２）、ステップ（３）及びステップ（４）の動作を実行する。なお、以下の記載において、最短経路の計算には、第１の実施形態で各辺に設定されたコストを利用し、最短経路は、コストを利用して計算した最小コスト経路を意味するものとする。

　ステップ（２）
侵入口ｓ（ノードＡ）から攻撃目標ｇ（ノードＦ）までの辺ｅを通る最短経路Ｐを計算する。ステップ（２）は以下のステップ（２－１）からステップ（２－３）を含む。

　ステップ（２－１）
侵入口ｓ（ノードＡ）からｖ１までのｇ（ノードＦ）を含まない最短経路Ｐ１を計算する。この結果、最短経路Ｐ１が存在しない場合は辺ｅを通る最短経路Ｐは存在しないと決定する。

　ステップ（２－２）
ｖ２からｇ（ノードＦ）までの経路でＰ１に含まれるノードを含まない最短経路Ｐ２を計算する。この最短経路Ｐ２が存在しない場合は辺ｅを通る最短経路Ｐは存在しないと決定する。

　ステップ（２－３）
辺ｅを通る最短経路Ｐが存在する場合には、ステップ（２－３）で、辺ｅを通る最短経路Ｐ＝｛Ｐ１，ｅ，Ｐ２｝とする。

　ステップ（３）
最短経路Ｐを攻撃ルート集合に加える。

　ステップ（４）
最短経路Ｐに含まれる辺の経路に、コストΔを加算する。すなわち、抽出された最短経路（最小コストの攻撃ルート）に含まれる各辺の優先度が低くなるように、各辺のコストを変更する。

　上記第３の実施形態により、特定のリスクの高い攻撃ステップに利用が偏重することを抑制できる。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。また、以下の説明において、「Ａ及び／又はＢ」は、Ａ又はＢの少なくともいずれかという意味で用いる。

　また、上記した第１～第３の実施形態に示した手順は、攻撃ルート抽出システム５００として機能するコンピュータ（図１８の９０００）に、攻撃ルート抽出システム５００としての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図１８のＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）９０１０、通信インタフェース９０２０、メモリ９０３０、補助記憶装置９０４０を備える構成に例示される。すなわち、図１８のＣＰＵ９０１０にて、攻撃ルート抽出プログラムを実行し、その補助記憶装置９０４０等に保持された各計算パラメータの更新処理を実施させればよい。

　メモリ９０３０は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）等である。

　即ち、上記した第１～第３の実施形態に示した攻撃ルート抽出システムの各部（処理手段、機能）は、上記コンピュータのプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。

　最後に、本発明の好ましい形態を要約する。
［第１の形態］
（上記第１の視点による攻撃ルート抽出システム参照）
［第２の形態］
第１の形態１に記載の攻撃ルート抽出システムは、前記コスト設定部は、前記攻撃ステップが抽出された攻撃グラフに基づいて前記攻撃内容情報を抽出し、
　前記攻撃ルート抽出部は、前記侵入口から前記攻撃目標までの各攻撃ルート上の、各辺のコストを合計した値に基づいて各攻撃ルートの優先度を決定することが好ましい。
［第３の形態］
第１または第２の形態に記載の攻撃ルート抽出システムは、前記脅威情報は、脆弱性情報、攻撃事例の有無の情報、ＰｏＣ（Ｐｒｏｏｆ－ｏｆ－Ｃｏｎｃｅｐｔ）コードの有無の情報、攻撃手段の脅威レベルの少なくとも１つを含む、ことが好ましい。
［第４の形態］
第１から第３の形態に記載の攻撃ルート抽出システムは、前記攻撃内容情報は、攻撃条件、攻撃シナリオ情報、攻撃先ホストの識別子、各攻撃ステップの攻撃前後の権限の少なくとも１つを含む、ことが好ましい。
［第５の形態］
第１から第４の形態に記載の攻撃ルート抽出システムは、前記対策可能性情報は、前記攻撃手段に対応する対策情報に基づいて算出された導入可能な対策数、同じ攻撃手段の前記攻撃ステップが抽出された攻撃グラフ中の出現回数、前記攻撃グラフ中の同じ対策を利用可能な攻撃手段の出現回数、前記攻撃グラフ中の攻撃先ホストと攻撃手段の組み合わせの出現回数、前記攻撃グラフ中の攻撃先のノードの入次数の少なくとも１つを含む、ことが好ましい。
［第６の形態］
第１から第５の形態に記載の攻撃ルート抽出システムは、前記攻撃ルート抽出部は、前記攻撃ステップが抽出された攻撃グラフ中の全ての攻撃ステップの各々の攻撃ステップに対して、前記各々の攻撃ステップを含み、重複する攻撃ステップを含まない最小コストの攻撃ルートをさらに抽出する、ことが好ましい。
［第７の形態］
第６の形態に記載の攻撃ルート抽出システムは、前記抽出された最小コストの攻撃ルートに含まれる各辺の優先度が低くなるように、各辺のコストを変更する、ことが好ましい。
［第８の形態］
（上記第２の視点による攻撃ルート抽出方法参照）
［第９の形態］
第８の形態に記載の攻撃ルート抽出方法は、前記コスト設定ステップは、前記攻撃ステップが抽出された攻撃グラフに基づいて前記攻撃内容情報を抽出するステップを含み、
　前記攻撃ルート抽出ステップは、前記侵入口から前記攻撃目標までの各攻撃ルート上の、各辺のコストを合計した値に基づいて各攻撃ルートの優先度を決定するステップを含む、ことが好ましい。
［第１０の形態］
（上記第３の視点によるプログラム参照）
　なお、上記第８、第１０の形態は、第１の形態と同様に、第２～第７の形態に展開することが可能である。

　なお、上記の特許文献の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

１１０、４１０　診断対象システム
１３０　システム情報
１４０　推論エンジン
１５０　リスク分析
１６０、４２０　攻撃グラフ
２１０、２２０、２３０、２４０、２５０、２６０、２７０　ノード
２１５、２２５、２２６、２３５、２４５、２４６、２５５、２６５　辺
４３０　全攻撃ルート
５００　攻撃ルート抽出システム
５０１　診断対象システムの構成情報
５０２　攻撃グラフ情報
５０３　コスト設定済み攻撃グラフ
５１０　攻撃グラフ生成部
５１２　脆弱性情報データベース（ＤＢ）
５１３　分析ルール格納部
５１４　推論部
５１５　攻撃グラフ情報出力部
５２０　コスト設定情報データベース（ＤＢ）
５２１　脆弱性情報
５２２　攻撃手段に対応する対策情報
５２３　攻撃手段に対応する脅威レベル
５３０　コスト設定部
５３１　攻撃ステップ情報抽出部
５３２　コスト計算部
５３３　コスト割当部
５４０　攻撃ルート抽出部
５４１　経路計算部
５４２　攻撃ルート出力部
１１００、１２００　コスト
９０００　コンピュータ
９０１０　ＣＰＵ
９０２０　通信インタフェース
９０３０　メモリ
９０４０　補助記憶装置

Claims (10)

1. 　診断対象のシステムの構成情報に従って、診断対象システムで実施され得る攻撃ステップを抽出する機能部と、
   　脅威情報、攻撃内容情報、攻撃手段に対応する対策情報に基づいた対策可能性情報の少なくとも一つの情報に基づいて、前記攻撃ステップに、コストを設定するコスト設定部と、
   　前記コスト設定部の設定した前記攻撃ステップの前記コストに基づいて、前記診断対象のシステムの侵入口から攻撃目標までの、一つ以上の前記攻撃ステップを接続することで得られる各攻撃ルートの優先度を決定し、前記優先度の高い順に、前記攻撃ルートを抽出する攻撃ルート抽出部を含む、攻撃ルート抽出システム。
2. 　前記コスト設定部は、前記攻撃ステップが抽出された攻撃グラフに基づいて前記攻撃内容情報を抽出し、
   　前記攻撃ルート抽出部は、前記侵入口から前記攻撃目標までの各攻撃ルート上の、各辺のコストを合計した値に基づいて各攻撃ルートの優先度を決定する、請求項１に記載の攻撃ルート抽出システム。
3. 　前記脅威情報は、脆弱性情報、攻撃事例の有無の情報、ＰｏＣ（Ｐｒｏｏｆ－ｏｆ－Ｃｏｎｃｅｐｔ）コードの有無の情報、攻撃手段の脅威レベルの少なくとも１つを含む、請求項１または２に記載の攻撃ルート抽出システム。
4. 　前記攻撃内容情報は、攻撃条件、攻撃シナリオ情報、攻撃先ホストの識別子、各攻撃ステップの攻撃前後の権限の少なくとも１つを含む、請求項１から３のいずれか一項に記載の攻撃ルート抽出システム。
5. 　前記対策可能性情報は、前記攻撃手段に対応する対策情報に基づいて算出された導入可能な対策数、同じ攻撃手段の前記攻撃ステップが抽出された攻撃グラフ中の出現回数、前記攻撃グラフ中の同じ対策を利用可能な攻撃手段の出現回数、前記攻撃グラフ中の攻撃先ホストと攻撃手段の組み合わせの出現回数、前記攻撃グラフ中の攻撃先のノードの入次数の少なくとも１つを含む、請求項１から４のいずれか一項に記載の攻撃ルート抽出システム。
6. 　前記攻撃ルート抽出部は、前記攻撃ステップが抽出された攻撃グラフ中の全ての攻撃ステップの各々の攻撃ステップに対して、前記各々の攻撃ステップを含み、重複する攻撃ステップを含まない最小コストの攻撃ルートをさらに抽出する、請求項１から５のいずれか一項に記載の攻撃ルート抽出システム。
7. 　前記抽出された最小コストの攻撃ルートに含まれる各辺の優先度が低くなるように、各辺のコストを変更する、請求項６に記載の攻撃ルート抽出システム。
8. 　プロセッサと記録装置とを備えるコンピュータが実行する攻撃ルート抽出方法であって、
   　診断対象のシステムの構成情報に従って、診断対象システムで実施され得る攻撃ステップを抽出するステップと、
   　脅威情報、攻撃内容情報、攻撃手段に対応する対策情報に基づいた対策可能性情報の少なくとも一つの情報に基づいて、前記攻撃ステップに、コストを設定するコスト設定ステップと、
   　前記コスト設定ステップで設定された前記攻撃ステップの前記コストに基づいて、前記診断対象のシステムの侵入口から攻撃目標までの、一つ以上の前記攻撃ステップを接続することで得られる各攻撃ルートの優先度を決定し、前記優先度の高い順に、前記攻撃ルートを抽出する攻撃ルート抽出ステップを含む、攻撃ルート抽出方法。
9. 　前記コスト設定ステップは、前記攻撃ステップが抽出された攻撃グラフに基づいて前記攻撃内容情報を抽出するステップを含み、
   　前記攻撃ルート抽出ステップは、前記侵入口から前記攻撃目標までの各攻撃ルート上の、各辺のコストを合計した値に基づいて各攻撃ルートの優先度を決定するステップを含む、請求項８に記載の攻撃ルート抽出方法。
10. 　コンピュータに、
    　診断対象のシステムの構成情報に従って、診断対象システムで実施され得る攻撃ステップを抽出する処理と、
    　脅威情報、攻撃内容情報、攻撃手段に対応する対策情報に基づいた対策可能性情報の少なくとも一つの情報に基づいて、前記攻撃ステップに、コストを設定するコスト設定処理と、
    　前記コスト設定処理で設定された前記攻撃ステップの前記コストに基づいて、前記診断対象のシステムの侵入口から攻撃目標までの、一つ以上の前記攻撃ステップを接続することで得られる各攻撃ルートの優先度を決定し、前記優先度の高い順に、前記攻撃ルートを抽出する攻撃ルート抽出処理を実行させるプログラム。

Images