WO2023166614A1

WO2023166614A1 - 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体

Info

Publication number: WO2023166614A1
Application number: PCT/JP2022/008895
Authority: WO
Inventors: 格細見; 佑典高橋; 太地羽角
Original assignee: 日本電気株式会社
Priority date: 2022-03-02
Filing date: 2022-03-02
Publication date: 2023-09-07

Abstract

情報処理装置１０は、サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得する演習条件取得部１１と、サイバーセキュリティ演習に用いるサイバー攻撃のシナリオを生成し、生成したシナリオのうち、指定された実施時間内に収まる部分を抽出することによって、サイバーセキュリティ演習で実行される一連の攻撃動作を作成する攻撃動作生成部１２と、を備えている。

Description

情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体

　本開示は、サイバー攻撃に対する訓練の支援を行うための、情報処理装置、及び情報処理方法に関し、更には、これらを実現するためのプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。

　近年、組織を標的としたサイバー攻撃により、情報漏洩、事業停止といった被害が増加しており、サイバー攻撃に対する対策の強化が求められている。そして、サイバー攻撃に対する対策を強化するためには、システムのセキュリティ担当者の調査スキルの向上が不可欠となる。このため、インシデントの痕跡となるログ（以下「攻撃ログ」と表記する）を受講者に見つけ出させるサイバーセキュリティ演習（又はサイバー演習）が行われている。

　そして、サイバーセキュリティ演習では、演習教材として、様々なサイバー攻撃について、攻撃ログを含むログを用意することが重要である。しかし、様々なサイバー攻撃について、特定の１組織が数多くのログを収集すること、及び複数の組織間でログを共有することは、実際には困難である。このため、特許文献１は、仮想のサイバー攻撃のための攻撃シナリオを生成する装置を開示している。特許文献１に開示された装置は、プログラム部品間の関係性を示す情報を用いて、プログラム部品を適正に配置することによって、攻撃シナリオを生成する。

　そして、特許文献１に開示された装置を用いれば、サイバーセキュリティ演習の際、演習用の計算機システム上で、生成された攻撃シナリオに沿って、仮想のサイバー攻撃を実行することによって、演習用の計算機システムから、攻撃ログを収集することができる。

特開２０２１－１２０７８０号公報

　ところで、サイバーセキュリティ演習による効果を高めるためには、多くの担当者が何度もサイバーセキュリティ演習を行う必要がある。しかしながら、従来からのサイバーセキュリティ演習では、演習の受講者１人１人の都合に合わせて実施することは考慮されておらず、演習の実施時間は誰が受講しても同じである。

　このため、従来からのサイバーセキュリティ演習には、多くの担当者にサイバーセキュリティ演習を受講させることが難しいという問題がある。また、特許文献１に開示された装置であっても、受講者の都合に合わせて、サイバーセキュリティの演習の実施時間を調整する手段は備えていないため、上述の問題の解決は困難である。

　本開示の目的の一例は、個々の受講者の希望に合わせたサイバーセキュリティ演習を提供できるようにし得る、情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体を提供することにある。

　上記目的を達成するため、本開示の一側面における情報処理装置は、
　サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得する演習条件取得部と、
　前記サイバーセキュリティ演習に用いる、サイバー攻撃のシナリオを生成し、生成した前記シナリオのうち、指定された前記実施時間内に収まる部分を抽出することによって、前記サイバーセキュリティ演習で実行される一連の攻撃動作を作成する攻撃動作生成部と、
を備えている。

　また、上記目的を達成するため、本開示の一側面における情報処理方法は、
　サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得する演習条件取得ステップと、
　前記サイバーセキュリティ演習に用いる、サイバー攻撃のシナリオを生成し、生成した前記シナリオのうち、指定された前記実施時間内に収まる部分を抽出することによって、前記サイバーセキュリティ演習で実行される一連の攻撃動作を作成する攻撃動作生成ステップと、
を有する。

　更に、上記目的を達成するため、本開示の一側面におけるコンピュータ読み取り可能な記録媒体は、
コンピュータに、
　サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得する演習条件取得ステップと、
　前記サイバーセキュリティ演習に用いる、サイバー攻撃のシナリオを生成し、生成した前記シナリオのうち、指定された前記実施時間内に収まる部分を抽出することによって、前記サイバーセキュリティ演習で実行される一連の攻撃動作を作成する攻撃動作生成ステップと、
を実行させる命令を含む、プログラムを記録している。

　以上のように本開示によれば、個々の受講者の希望に合わせたサイバーセキュリティ演習を提供できる。

図１は、実施の形態１における情報処理装置の概略構成を示す構成図である。図２は、実施の形態１における情報処理装置の構成を具体的に示す構成図である。図３は、実施の形態１で用いられる攻撃タイプ情報の一例を示す図である。図４は、実施の形態１で用いられるソフトウェア情報の一例を示す図である。図５は、実施の形態１において攻撃シナリオ生成部によって実行される処理を説明する図であり、図５（ａ）及び図５（ｂ）は、一連の処理の経過を示している。図６は、実施の形態１において生成された攻撃シナリオの一例を示す図である。図７は、実施の形態１において用いられる抽出条件の一例を示す図である。図８は、実施の形態１における情報処理装置の動作を示すフロー図である。図９は、演習条件の指定画面の一例を示す図である。図１０は、計算機システムによって出力されたログの一例を示す図である。図１１は、計算機システムによって出力されたログの他の例を示す図である。図１２は、実施の形態２における情報処理装置の構成を示す構成図である。図１３は、実施の形態２で用いられる非攻撃動作情報の一例を示す図である。図１４は、実施の形態２における情報処理装置の動作を示すフロー図である。図１５は、実施の形態１及び２における情報処理装置を実現するコンピュータの一例を示すブロック図である。

（実施の形態１）
　以下、実施の形態１における、情報処理装置、情報処理方法、及びプログラムについて、図１～図１１を参照しながら説明する。

［装置構成］
　最初に、実施の形態１における情報処理装置の概略構成について図１を用いて説明する。図１は、実施の形態１における情報処理装置の概略構成を示す構成図である。

　図１に示す、実施の形態１における情報処理装置１０は、サイバー攻撃に対する訓練、例えば、サイバーセキュリティ演習の支援を行うための装置である。図１に示すように、情報処理装置１０は、演習条件取得部１１と攻撃動作生成部１２とを備えている。

　演習条件取得部１１は、サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得する。攻撃動作生成部１２は、サイバーセキュリティ演習に用いる、仮想の攻撃者によるサイバー攻撃のシナリオを生成する。そして、攻撃動作生成部１２は、生成したシナリオのうち、指定された実施時間内に収まる部分を抽出することによって、サイバーセキュリティ演習で実行される一連の攻撃動作を作成する。

　このように、実施の形態１において、情報処理装置１０は、サイバーセキュリティ演習の受講者が指定する演習の実施時間に応じて、サイバーセキュリティ演習で実行される一連の攻撃動作が作成される。このため、情報処理装置１０によれば、個々の受講者の希望に合わせたサイバーセキュリティ演習を提供できるようにすることができる。

　続いて、図２～図９を用いて、実施の形態１における情報処理装置１０の構成及び機能について具体的に説明する。図２は、実施の形態１における情報処理装置の構成を具体的に示す構成図である。

　図２に示すように、実施の形態１では、情報処理装置１０は、受講者の端末装置３０と、サイバーセキュリティ演習を実行するための計算機システム４０とに、ネットワークを介して、データ通信可能に接続されている。また、図２に示すように、情報処理装置１０は、上述した演習条件取得部１１及び攻撃動作生成部１２に加えて、攻撃動作実行部１３と、記憶部１４とを備えている。

　実施の形態１では、受講者が端末装置３０上で演習の実施時間を指定する。具体的には、受講者は、演習の開始日時と、演習の終了日時とを指定することができる。演習条件取得部１１は、演習の開始日時と演習の終了日時から、演習の実施時間を算出し、演習の開始日時と演習の実施時間とを演習条件として取得する。また、受講者は、演習の開始日時と、演習の実施時間とを指定することもできる。この場合も、演習条件取得部１１は、演習の開始日時と演習の実施時間とを演習条件として取得する。

　また、実施の形態１では、受講者は、演習の実施時間に加えて、サイバー攻撃のタイプ（以下「攻撃タイプ」と表記する。）を指定することもできる。具体的には、サイバー攻撃のタイプの指定は、受講者が、例えば、下記に示す、過去の事例、攻撃グループ（又は攻撃ツール）、又は攻撃目的を入力することによって行われる。この場合、演習条件取得部１１は、端末装置３０から、指定された実施時間に加えて、サイバー攻撃のタイプも、演習条件として取得する。

・過去の事例：Ａ事件、Ｂ事件等
・攻撃グループ（又は攻撃ツール）：APT29, REvil, Emotet, Cobalt Strike等
・攻撃目的：個人情報の取得、企業秘密の取得、身代金の獲得、コインマイニング、サービス妨害、情報搾取、データ暗号化、リソース乗っ取り、サービス停止等

　攻撃動作生成部１２は、実施の形態１では、記憶部１４に格納されている、攻撃タイプ情報１４１、ソフトウェア情報１４２、攻撃動作条件情報１４３、シナリオ情報１４４、及び環境情報１４５を用いて、サイバーセキュリティ演習で実行される一連の攻撃動作を作成する。また、図２に示すように、攻撃動作生成部１２は、攻撃シナリオ生成部１２１と、部分シナリオ抽出部１２２と、部分シナリオ検証部１２３と、実行シーケンス生成部１２４とを備えている。

　攻撃シナリオ生成部１２１は、受講者が指定する攻撃タイプに応じて、仮想の攻撃者によるサイバー攻撃のシナリオ（以下「攻撃シナリオ」と表記する。）を生成する。攻撃シナリオは、攻撃の段階（ステップ）毎に、攻撃先、戦術、攻撃手法を特定する情報である。実施の形態１では、攻撃シナリオ生成部１２１は、演習条件として取得された攻撃タイプを、攻撃タイプ情報１４１に照合して、攻撃シナリオを生成する。

　図３～図６を用いて、攻撃シナリオ生成部１２１の動作について具体的に説明する。図３は、実施の形態１で用いられる攻撃タイプ情報の一例を示す図である。図４は、実施の形態１で用いられるソフトウェア情報の一例を示す図である。図５は、実施の形態１において攻撃シナリオ生成部によって実行される処理を説明する図であり、図５（ａ）及び図５（ｂ）は、一連の処理の経過を示している。図６は、実施の形態１において生成された攻撃シナリオの一例を示す図である。

　図３に示すように、攻撃タイプ情報１４１は、攻撃タイプと、戦術と、攻撃の手法との関係を示す情報である。攻撃タイプ情報１４１は、攻撃タイプと、それに対応する、「タイプ種別」、「関連する主な戦術（Tactic(s)）」、及び「使用される攻撃の手法（Technique(s)）」と、で構成されている。

　図３において、例えば、「Exfiltration」は、発見した重要情報を外部に持ち出す戦術を示している。「Collection」は、攻撃目標に関連するデータを収集する戦術を示している。「Impact」は、システムとデータとを操作、停止、又は破壊する戦術を示している。

　また、図３において、「使用される攻撃の手法」は、MITRE ATT&CK ID （https://atack.mitre.org参照）で使用される語彙に準じて表現されている。つまり、「T1041」、「T1566.001」等の番号は、攻撃で使用される技術を識別する識別番号であり、MITRE ATT&CK IDで規定されている。「使用される攻撃の手法」の欄には、攻撃で使用される技術が網羅されている。

　図４に示すように、ソフトウェア情報１４２は、攻撃で使用される技術とソフトウェアとの関係を示す情報である。ソフトウェア情報１４２は、「対応する技術」と、「ソフトウェア名」と、「対応する環境」と、「実行タイプ」と、「所要時間」と、「入力フォーマット」と、「出力フォーマット」とで構成されている。「対応する技術」に付記されている番号は、対応するMITRE ATT&CK IDである。

　攻撃シナリオ生成部１２１は、まず、演習条件取得部１１によって取得された演習条件から、受講者が指定した攻撃タイプを特定する。次に、攻撃シナリオ生成部１２１は、特定した攻撃タイプを、攻撃タイプ情報１４１（図３参照）に照合して、対応する、「タイプ種別」、「関連する主な戦術」、及び「使用される攻撃の手法」を特定する。そして、攻撃シナリオ生成部１２１は、ソフトウェア情報１４２を用いて、「使用される攻撃の手法」に含まれる各技術に対応するソフトウェアを特定する。

　その後、攻撃シナリオ生成部１２１は、図５に示すように、特定した、戦術、技術、及びソフトウェアを用いて、攻撃シナリオを完成させる。図５において、「TA₁,TA₂,TA₃, ...」は、特定された「関連する主な戦術」に含まれる戦術を示している。「TE₁,TE₂,TE₃, ...」は、特定された「使用される攻撃の手法」に含まれる技術を示している。「S₁,S₂,S₃, ...」は、各技術に対応するソフトウェアを示している。

　また、攻撃シナリオ生成部１２１は、攻撃タイプが、攻撃目的によって指定されている場合は、指定されている攻撃目的が終端（末尾の戦術）となるように、攻撃シナリオを生成することもできる。

　攻撃シナリオ生成部１２１によって生成された攻撃シナリオの具体例の１つは、図６に示す通りである。図６の例では、攻撃シナリオ生成部１２１は、計算機システム４０を構成する端末装置のなかから、端末装置のシステム環境に応じて、攻撃先となる端末装置を選択している。

　図６において、「実行時刻」は、１つ前の攻撃の実行時刻に、ソフトウェア情報における「所要時間」（図４参照）を加えることによって得られている。また、「実行時刻」は、所要時間を加えて得られた時刻に、更にランダムな時間を追加して得られていても良い。

　また、図６において、「実行コマンド」は、図４に示した「入力フォーマット」に相当する。実行コマンドの変数部分には、後述する実行シーケンス生成部１２４が、記憶部１４に格納されている環境情報１４５を参照して、攻撃先のファイルパス、及びＩＰアドレス等を入力する。環境情報１４５は、例えば、攻撃先（client A, client B等）毎に、各パラメータ（$source, $target, $ipaddressなど）に対応するファイルパス及びＩＰアドレス等の値を特定する情報である。

　部分シナリオ抽出部１２２は、生成された攻撃シナリオのうち、演習条件として取得された演習の実施時間に収まる部分を、部分シナリオとして抽出する。具体的には、例えば、演習条件である実施時間が１時間であるとすると、部分シナリオ抽出部１２２は、１時間以内で実行可能な部分シナリオを抽出する。

　また、部分シナリオ抽出部１２２は、実施の形態１では、抽出した部分シナリオの各攻撃動作が、攻撃動作条件情報１４３に含まれる抽出条件を満たしているかどうかを判定する。部分シナリオ抽出部１２２は、抽出した部分シナリオが抽出条件を満たさない場合は、再度、攻撃シナリオ生成部１２１に、攻撃シナリオを生成させる。図７は、実施の形態１において用いられる抽出条件の一例を示す図である。図７の例では、抽出条件は、属性毎に、属性値と、参照値条件とで設定されている。

　部分シナリオの抽出後、部分シナリオ抽出部１２２は、演習条件を指定した受講者のＩＤ（identifier）と、抽出した部分シナリオと、を対応付け、両者をシナリオ情報１４４として格納する。シナリオ情報１４４は、受講者のＩＤ毎に、過去に抽出された部分シナリオを特定する情報である。

　部分シナリオ検証部１２３は、部分シナリオ抽出部１２２によって抽出された部分シナリオが適性であるかどうかを判定する。具体的には、部分シナリオ検証部１２３は、演習条件を指定した受講者のＩＤと抽出された部分シナリオとを、シナリオ情報１４４に照合する。そして、部分シナリオ検証部１２３は、抽出された部分と、同一の受講者について過去に抽出された部分とを比較し、両者の重複している割合が閾値以上であるかどうかを判定する。

　判定の結果、両者の重複している割合が閾値以上である場合は、部分シナリオ検証部１２３は、部分シナリオ抽出部１２２に、攻撃シナリオから別の部分シナリオを抽出させる。一方、判定の結果、両者の重複している割合が閾値以上でない場合は、部分シナリオ検証部１２３は、実行シーケンス生成部１２４に対して、処理を指示する。なお、この場合の閾値は、適宜設定される。

　実行シーケンス生成部１２４は、部分シナリオを用いて、サイバーセキュリティ演習で実行される一連の攻撃動作、即ち、攻撃の実行シーケンスを生成する。実行シーケンスにおいては、実行コマンドが、実行順に配列されている。また、上述したように、実行シーケンス生成部１２４は、攻撃シナリオの「実行コマンド」の変数部分（図６参照）に、記憶部１４に格納されている環境情報１４５を参照して、攻撃先のファイルパス、及びＩＰアドレス等を入力する。

　攻撃動作実行部１３は、サイバーセキュリティ演習を実行するための計算機システム４０に、作成された一連の攻撃動作、即ち実行シーケンスを送信し、計算機システム４０において、一連の攻撃動作を実行させる。

　また、実施の形態１では、受講者は演習の開始日時を指定しているので、攻撃動作実行部１３は、指定された開始日時に合わせて、計算機システム４０において、一連の攻撃動作を実行させる。一連の攻撃動作の実行タイミングは、指定された開始日時であっても良いし、指定された開始日時を中心にした所定の範囲内のランダムな時点であっても良い。

　計算機システム４０は、上述したように、複数の端末装置と、サーバ装置とで構成されており、攻撃目標となった端末装置で、コマンドが実行される。その後、計算機システム４０は、一連の攻撃動作の実行時に収集されたログを出力する。出力されたログは、受講者によるサイバーセキュリティ演習において、教材として用いられる。

［装置動作］
　次に、実施の形態１における情報処理装置１０の動作について図８～図１１を用いて説明する。図８は、実施の形態１における情報処理装置の動作を示すフロー図である。以下の説明においては、適宜図１～図７を参照する。また、実施の形態１では、情報処理装置１０を動作させることによって、情報処理方法が実施される。よって、実施の形態１における情報処理方法の説明は、以下の情報処理装置１０の動作説明に代える。

　図８に示すように、最初に、演習条件取得部１１は、演習条件として、受講者の指定する、演習の実施時間と攻撃タイプとを取得する（ステップＡ１）。また、演習条件取得部１１は、取得した演習条件を、攻撃動作生成部１２に入力する。

　具体的には、前提として、受講者が、図９に示すように、自身の端末装置３０において、演習の開始日時、演習の実施時間、及び攻撃タイプを指定する。これにより、端末装置３０は、演習の開始日時、演習の実施時間、及び攻撃タイプを含む情報を、情報処理装置１０に送信する。図９は、演習条件の指定画面の一例を示す図である。

　次に、攻撃動作生成部１２において、攻撃シナリオ生成部１２１は、受講者が指定する攻撃タイプに応じて、仮想の攻撃者による攻撃シナリオを生成する（ステップＡ２）。

　次に、攻撃動作生成部１２において、部分シナリオ抽出部１２２は、生成された攻撃シナリオのうち、演習条件として取得された演習の実施時間に収まる部分を、部分シナリオとして抽出する（ステップＡ３）。

　次に、部分シナリオ抽出部１２２は、抽出した部分シナリオの各攻撃動作が、攻撃動作条件情報１４３に含まれる抽出条件を満たしているかどうかを判定する（ステップＡ４）。

　ステップＡ４の判定の結果、抽出した部分シナリオの各攻撃動作が、攻撃動作条件情報１４３に含まれる抽出条件を満たしていない場合（ステップＡ４：Ｎｏ）は、部分シナリオ抽出部１２２は、攻撃シナリオ生成部１２１に再度ステップＡ２を実行させる。

　一方、ステップＡ４の判定の結果、抽出した部分シナリオの各攻撃動作が、攻撃動作条件情報１４３に含まれる抽出条件を満たしている場合（ステップＡ４：Ｙｅｓ）は、部分シナリオ検証部１２３による処理が行われる。

　部分シナリオ検証部１２３は、ステップＡ３で抽出された部分シナリオが適性であるかどうかを判定する（ステップＡ５）。

　具体的には、部分シナリオ検証部１２３は、演習条件を指定した受講者のＩＤと抽出された部分シナリオとを、シナリオ情報１４４に照合する。そして、部分シナリオ検証部１２３は、抽出された部分と、同一の受講者について過去に抽出された部分とを比較し、両者の重複している割合が閾値以上であるかどうかを判定する。判定の結果、両者の重複している割合が閾値以上である場合は、部分シナリオ検証部１２３は、部分シナリオは適性でないと判定する。一方、両者の重複している割合が閾値以上でない場合は、部分シナリオ検証部１２３は、部分シナリオは適性であると判定する。

　ステップＡ５の判定の結果、ステップＡ３で抽出された部分シナリオが適性でない場合（ステップＡ５：Ｎｏ）は、部分シナリオ検証部１２３は、部分シナリオ抽出部１２２に、再度ステップＡ３を実行させて、攻撃シナリオから別の部分シナリオを抽出させる。

　ステップＡ５の判定の結果、ステップＡ３で抽出された部分シナリオが適性である場合（ステップＡ５：Ｙｅｓ）は、実行シーケンス生成部１２４が、部分シナリオを用いて、サイバーセキュリティ演習で実行される一連の攻撃動作を生成する（ステップＡ６）。

　次に、攻撃動作実行部１３は、サイバーセキュリティ演習を実行するための計算機システム４０に、ステップＡ６で作成された一連の攻撃動作（実行シーケンス）を送信し、計算機システム４０において、一連の攻撃動作を実行させる（ステップＡ７）。

　ステップＡ７の実行により、情報処理装置１０における処理は終了する。その後、計算機システム４０では、攻撃目標となった端末装置で、コマンドが実行される。その後、計算機システム４０は、図１０及び図１１に示すような、一連の攻撃動作の実行時に収集されたログを出力する。出力されたログは、受講者によるサイバーセキュリティ演習において、教材として用いられる。

　図１０は、計算機システムによって出力されたログの一例を示す図である。図１０に示されたログは、端末装置から取得されたイベントログである。図１１は、計算機システムによって出力されたログの他の例を示す図である。図１１に示されたログは、端末装置から取得されたＵＳＮジャーナル（Update Sequence Number Journal）ログである。

［実施の形態１による効果］
　以上のように、実施の形態では、情報処理装置１０は、サイバーセキュリティ演習の受講者が指定する、演習の開始日時、演習の実施時間及び攻撃タイプに応じて、サイバーセキュリティ演習で実行される一連の攻撃動作が作成される。このため、受講者は、自身が指定する条件で、サイバーセキュリティ演習を行うことができる。また、一連の攻撃動作は、受講者が過去に受講したサイバーセキュリティ演習で用いられたものとは異なるものとなるので、受講者は効率良くスキルを向上させることができる。

［プログラム］
　実施の形態１におけるプログラムは、コンピュータに、図８に示すステップＡ１～Ａ７を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報処理装置１０と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、演習条件取得部１１、攻撃動作生成部１２、及び攻撃動作実行部１３として機能し、処理を行なう。コンピュータとしては、汎用のＰＣの他に、スマートフォン、タブレット型端末装置が挙げられる。

　また、実施の形態では、記憶部１４は、コンピュータに備えられたハードディスク等の記憶装置に、これらを構成するデータファイルを格納することによって実現されていても良いし、別のコンピュータの記憶装置によって実現されていても良い。

　実施の形態１におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、演習条件取得部１１、攻撃動作生成部１２、及び攻撃動作実行部１３のいずれかとして機能しても良い。

　（実施の形態２）
　次に、実施の形態２における、情報処理装置、情報処理方法、及びプログラムについて、図１２～図１４を参照しながら説明する。

［装置構成］
　最初に、実施の形態２における情報処理装置の構成について図１２を用いて説明する。図１２は、実施の形態２における情報処理装置の構成を示す構成図である。

　図１２に示す、実施の形態２における情報処理装置１０も、実施の形態１に示した情報処理装置１０と同様に、サイバー攻撃に対する訓練、例えば、サイバーセキュリティ演習の支援を行うための装置である。

　図１２に示すように、実施の形態２では、情報処理装置２０は、実施の形態１における情報処理装置１０と異なり、演習条件取得部１１、攻撃動作生成部１２、及び攻撃動作実行部１３に加えて、非攻撃動作生成部２１と、非攻撃動作実行部２２とを備えている。また、記憶部１４には、攻撃タイプ情報１４１、ソフトウェア情報１４２、攻撃動作条件情報１４３、及びシナリオ情報１４４に加えて、非攻撃動作情報１４６も格納されている。以下、実施の形態１との相違点を中心に説明する。

　非攻撃動作生成部２１は、攻撃動作生成部１２によって生成された一連の攻撃動作に含まれる実行コマンドを用いて、サイバー攻撃に該当しない非攻撃動作を生成する。実施の形態２では、非攻撃動作生成部２１は、一連の攻撃動作で使われている実行コマンド（例えば、ＯＳ標準コマンド、アプリケーションプログラム等）を、非攻撃動作情報１４６に照合して、同じ実行コマンドを用いた動作を１つ以上含んだ非攻撃動作を選択する。

　ここで、図１３を用いて、非攻撃動作生成部２１の動作について具体的に説明する。図１３は、実施の形態２で用いられる非攻撃動作情報の一例を示す図である。図１３に示すように、非攻撃動作情報１４６は、攻撃タイプで使用されるアプリケーション毎に、そのアプリケーションを利用するコマンド列を特定する情報である。非攻撃動作情報１４６は、「コマンド列」と、「アプリケーション」と、「難易度」と、「攻撃タイプ」とで構成されている。難易度については後述する。

　具体的には、非攻撃動作生成部２１は、例えば、受講者が指定した攻撃タイプが「APT29」であるとすると、「APT29」に対応するコマンド列を選択し、選択したコマンド列を非攻撃動作とする。また、受講者が予め難易度を指定する場合は、非攻撃動作生成部２１は、指定された難易度に応じて、対応するコマンド列を選択することもできる。

　また、非攻撃動作生成部２１は、下記の参照文献１及び２に開示されている技術を用いて、ユーザの操作を示す動作ログを作成し、これを非攻撃動作とすることもできる。
（参照文献１）
　安田他、「能動的攻撃観測環境における端末の自動駆動システム」、信学技報119(140)、299-304、2019-07-23、[https://ci.nii.ac.jp/naid/40021970984]
（参照文献２）
　IEICE Technical Committee、「能動的攻撃観測環境における端末の自動駆動システム」、[https://www.ieice.org/publications/ken/summary.php?contribution_id=103289]

　非攻撃動作実行部２２は、計算機システム４０に、非攻撃動作生成部２１によって生成された非攻撃動作を送信し、計算機システム４０において非攻撃動作を実行させる。具体的には、非攻撃動作実行部２２は、非攻撃動作として選択されたコマンド列を計算機システム４０に送信する。これにより、計算機システム４０は、それを構成する端末装置において、各コマンド列を実行させる。

　また、計算機システム４０は、送信されてきたコマンド列の中から、実行させるコマンド列をランダムに選択することができる。更に、非攻撃動作の実行間隔は、予め定めた値（例えば、１分、１分３０0秒、２分、５分、１０分等）の中から、ランダムに選択されても良いし、自然さを高めるため、設定された実行間隔に数秒の増減を加えた実行間隔であっても良い。

　また、計算機システム４０は、下記の参照文献３に開示された技術を用いて、既存のユーザ操作ログから、疑似操作ログのバリエーションを生成することもできる
（参照文献３）
　国際公開第２０２１／１７１３８３号

［装置動作］
　次に、実施の形態２における情報処理装置１０の動作について図１４を用いて説明する。図１４は、実施の形態２における情報処理装置の動作を示すフロー図である。以下の説明においては、適宜図１２及び１３を参照する。また、実施の形態２では、情報処理装置２０を動作させることによって、情報処理方法が実施される。よって、実施の形態２における情報処理方法の説明は、以下の情報処理装置２０の動作説明に代える。

　図１４に示すように、最初に、演習条件取得部１１は、演習条件として、受講者の指定する、演習の実施時間と攻撃タイプとを取得する（ステップＢ１）。ステップＢ１は、図８に示したステップＡ１と同様のステップである。

　次に、攻撃動作生成部１２において、攻撃シナリオ生成部１２１は、受講者が指定する攻撃タイプに応じて、仮想の攻撃者による攻撃シナリオを生成する（ステップＢ２）。ステップＢ２は、図８に示したステップＡ２と同様のステップである。

　次に、攻撃動作生成部１２において、部分シナリオ抽出部１２２は、生成された攻撃シナリオのうち、演習条件として取得された演習の実施時間に収まる部分を、部分シナリオとして抽出する（ステップＢ３）。ステップＢ３は、図８に示したステップＡ３と同様のステップである。

　次に、部分シナリオ抽出部１２２は、抽出した部分シナリオの各攻撃動作が、攻撃動作条件情報１４３に含まれる抽出条件を満たしているかどうかを判定する（ステップＢ４）。ステップＢ４は、図８に示したステップＡ４と同様のステップである。

　ステップＢ４の判定の結果、抽出した部分シナリオの各攻撃動作が、攻撃動作条件情報１４３に含まれる抽出条件を満たしていない場合（ステップＢ４：Ｎｏ）は、部分シナリオ抽出部１２２は、攻撃シナリオ生成部１２１に再度ステップＢ２を実行させる。

　一方、ステップＢ４の判定の結果、抽出した部分シナリオの各攻撃動作が、攻撃動作条件情報１４３に含まれる抽出条件を満たしている場合（ステップＢ４：Ｙｅｓ）は、部分シナリオ検証部１２３による処理が行われる。

　部分シナリオ検証部１２３は、ステップＢ３で抽出された部分シナリオが適性であるかどうかを判定する（ステップＢ５）。ステップＢ５は、図８に示したステップＡ５と同様のステップである。

　ステップＢ５の判定の結果、ステップＡ３で抽出された部分シナリオが適性でない場合（ステップＢ５：Ｎｏ）は、部分シナリオ検証部１２３は、部分シナリオ抽出部１２２に、再度ステップＢ３を実行させて、攻撃シナリオから別の部分シナリオを抽出させる。

　ステップＢ５の判定の結果、ステップＢ３で抽出された部分シナリオが適性である場合（ステップＢ５：Ｙｅｓ）は、実行シーケンス生成部１２４が、部分シナリオを用いて、サイバーセキュリティ演習で実行される一連の攻撃動作を生成する（ステップＢ６）。

　次に、非攻撃動作生成部２１は、ステップＢ６によって生成された一連の攻撃動作に含まれる実行コマンドを用いて、サイバー攻撃に該当しない非攻撃動作を生成する（ステップＢ７）。

　次に、攻撃動作実行部１３は、サイバーセキュリティ演習を実行するための計算機システム４０に、ステップＢ６で作成された一連の攻撃動作（実行シーケンス）を送信し、計算機システム４０において、一連の攻撃動作を実行させる（ステップＢ８）。ステップＢ８は、図８に示したステップＡ７と同様のステップである。

　次に、非攻撃動作実行部２２は、計算機システム４０に、ステップＢ７で生成された非攻撃動作を送信して、計算機システム４０において、非攻撃動作も実行させる（ステップＢ９）。なお、ステップＢ９は、ステップＢ８と同時に実行されていても良い。

　ステップＢ９の実行により、情報処理装置１０における処理は終了する。その後、計算機システム４０では、攻撃目標となった端末装置で、コマンドが実行される。その後、計算機システム４０は、一連の攻撃動作の実行時に収集されたログと、非攻撃動作の実行時に収集されたログとを出力する。出力されたログは、受講者によるサイバーセキュリティ演習において、教材として用いられる。

［実施の形態２による効果］
　以上のように、実施の形態２においても、実施の形態１で述べた効果が得られる。また、実施の形態２によれば、計算機システム４０は、一連の攻撃動作の実行時に収集されたログに加えて、非攻撃動作の実行時のログも出力する。このため、計算機システム４０は、一連の攻撃動作の実行の結果得られたログに、非攻撃動作の実行の結果得られたログを含めることができる。結果、実施の形態２によれば、攻撃か非攻撃かの判断を難しくしたサイバーセキュリティ演習が実現可能となる。

［プログラム］
　実施の形態２におけるプログラムは、コンピュータに、図１４に示すステップＢ１～Ｂ９を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における情報処理装置１０と情報処理方法とを実現することができる。この場合、コンピュータのプロセッサは、演習条件取得部１１、攻撃動作生成部１２、攻撃動作実行部１３、非攻撃動作生成部２１、及び非攻撃動作実行部２２として機能し、処理を行なう。コンピュータとしては、汎用のＰＣの他に、スマートフォン、タブレット型端末装置が挙げられる。

　実施の形態１におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、演習条件取得部１１、攻撃動作生成部１２、攻撃動作実行部１３、非攻撃動作生成部２１、及び非攻撃動作実行部２２のいずれかとして機能しても良い。

［物理構成］
　ここで、実施の形態１及び２におけるプログラムを実行することによって、情報処理装置を実現するコンピュータについて図１５を用いて説明する。図１５は、実施の形態１及び２における情報処理装置を実現するコンピュータの一例を示すブロック図である。

　図１５に示すように、コンピュータ１５０は、ＣＰＵ（Central Processing Unit）１５１と、メインメモリ１５２と、記憶装置１５３と、入力インターフェイス１５４と、表示コントローラ１５５と、データリーダ／ライタ１５６と、通信インターフェイス１５７とを備える。これらの各部は、バス１６１を介して、互いにデータ通信可能に接続される。

　また、コンピュータ１５０は、ＣＰＵ１５１に加えて、又はＣＰＵ１５１に代えて、ＧＰＵ（Graphics Processing Unit）、又はＦＰＧＡ（Field-Programmable Gate Array）を備えていても良い。この態様では、ＧＰＵ又はＦＰＧＡが、実施の形態におけるプログラムを実行することができる。

　ＣＰＵ１５１は、記憶装置１５３に格納された、コード群で構成された実施の形態におけるプログラムをメインメモリ１５２に展開し、各コードを所定順序で実行することにより、各種の演算を実施する。メインメモリ１５２は、典型的には、ＤＲＡＭ（Dynamic Random Access Memory）等の揮発性の記憶装置である。

　また、実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体１６０に格納された状態で提供される。なお、実施の形態におけるプログラムは、通信インターフェイス１５７を介して接続されたインターネット上で流通するものであっても良い。

　また、記憶装置１５３の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス１５４は、ＣＰＵ１５１と、キーボード及びマウスといった入力機器１５８との間のデータ伝送を仲介する。表示コントローラ１５５は、ディスプレイ装置１５９と接続され、ディスプレイ装置１５９での表示を制御する。

　データリーダ／ライタ１５６は、ＣＰＵ１５１と記録媒体１７０との間のデータ伝送を仲介し、記録媒体１６０からのプログラムの読み出し、及びコンピュータ１５０における処理結果の記録媒体１６０への書き込みを実行する。通信インターフェイス１５７は、ＣＰＵ１５１と、他のコンピュータとの間のデータ伝送を仲介する。

　また、記録媒体１６０の具体例としては、ＣＦ（Compact Flash（登録商標））及びＳＤ（Secure Digital）等の汎用的な半導体記憶デバイス、フレキシブルディスク（Flexible Disk）等の磁気記録媒体、又はＣＤ－ＲＯＭ（Compact Disk Read Only Memory）などの光学記録媒体が挙げられる。

　なお、実施の形態１及び２における情報処理装置は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、情報処理装置は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。

　上述した実施の形態の一部又は全部は、以下に記載する（付記１）～（付記１８）によって表現することができるが、以下の記載に限定されるものではない。

（付記１）
　サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得する演習条件取得部と、
　前記サイバーセキュリティ演習に用いる、サイバー攻撃のシナリオを生成し、生成した前記シナリオのうち、指定された前記実施時間内に収まる部分を抽出することによって、前記サイバーセキュリティ演習で実行される一連の攻撃動作を作成する攻撃動作生成部と、
を備えている、情報処理装置。

（付記２）
付記１に記載の情報処理装置であって、
　前記攻撃動作生成部が、前記部分を抽出する前に、前記部分が、一連の攻撃動作の実行の可否を規定する攻撃動作条件を満たすかどうかを判定し、前記攻撃動作条件を満たす場合に、前記部分を抽出する、
情報処理装置。

（付記３）
付記１または２に記載の情報処理装置であって、
　前記攻撃動作生成部が、更に、前記部分の抽出に用いた前記実施時間を指定した受講者を特定し、作成した前記一連の攻撃動作と、特定した前記受講者について過去に作成した一連の攻撃動作と、を比較し、比較の結果、重複している部分の割合が閾値以上である場合に、生成した前記シナリオのうち、前記実施時間内に収まり、且つ、抽出した前記部分と異なる部分を再度抽出する、

（付記４）
付記１～３のいずれかに記載の情報処理装置であって、
　前記演習条件取得部が、前記演習条件として、前記受講者が指定するサイバー攻撃のタイプを取得し、
　前記攻撃動作生成部が、前記受講者が指定する前記サイバー攻撃のタイプに応じて、前記サイバー攻撃のシナリオを生成する、
情報処理装置。

（付記５）
付記１～４のいずれかに記載の情報処理装置であって、
　前記サイバーセキュリティ演習を実行するための計算機システムにおいて、作成された前記一連の攻撃動作を実行させる、攻撃動作実行部を更に備えている、
情報処理装置。

（付記６）
付記５に記載の情報処理装置であって、
　生成された前記一連の攻撃動作に含まれる実行コマンドを用いて、前記サイバー攻撃に該当しない非攻撃動作を生成する非攻撃動作生成部と、
　前記計算機システムにおいて、生成された前記非攻撃動作を実行させる非攻撃動作実行部と、
を更に備えている、
情報処理装置。

（付記７）
　サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得する演習条件取得ステップと、
　前記サイバーセキュリティ演習に用いる、サイバー攻撃のシナリオを生成し、生成した前記シナリオのうち、指定された前記実施時間内に収まる部分を抽出することによって、前記サイバーセキュリティ演習で実行される一連の攻撃動作を作成する攻撃動作生成ステップと、
を有する、情報処理方法。

（付記８）
付記７に記載の情報処理方法であって、
　前記攻撃動作生成ステップにおいて、前記部分を抽出する前に、前記部分が、一連の攻撃動作の実行の可否を規定する攻撃動作条件を満たすかどうかを判定し、前記攻撃動作条件を満たす場合に、前記部分を抽出する、
情報処理方法。

（付記９）
付記７または８に記載の情報処理方法であって、
　前記攻撃動作生成ステップにおいて、更に、前記部分の抽出に用いた前記実施時間を指定した受講者を特定し、作成した前記一連の攻撃動作と、特定した前記受講者について過去に作成した一連の攻撃動作と、を比較し、比較の結果、重複している部分の割合が閾値以上である場合に、生成した前記シナリオのうち、前記実施時間内に収まり、且つ、抽出した前記部分と異なる部分を再度抽出する、
情報処理方法。

（付記１０）
付記７～９のいずれかに記載の情報処理方法であって、
　前記演習条件取得ステップにおいて、前記演習条件として、前記受講者が指定するサイバー攻撃のタイプを取得し、
　前記攻撃動作生成ステップにおいて、前記受講者が指定する前記サイバー攻撃のタイプに応じて、前記サイバー攻撃のシナリオを生成する、
情報処理方法。

（付記１１）
付記７～１０のいずれかに記載の情報処理方法であって、
　前記サイバーセキュリティ演習を実行するための計算機システムにおいて、作成された前記一連の攻撃動作を実行させる、攻撃動作実行ステップを更に有する、
情報処理方法。

（付記１２）
付記１１に記載の情報処理方法であって、
　生成された前記一連の攻撃動作に含まれる実行コマンドを用いて、前記サイバー攻撃に該当しない非攻撃動作を生成する非攻撃動作生成ステップと、
　前記計算機システムにおいて、生成された前記非攻撃動作を実行させる非攻撃動作実行ステップと、
を更に有する、
情報処理方法。

（付記１３）
コンピュータに、
　サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得する演習条件取得ステップと、
　前記サイバーセキュリティ演習に用いる、サイバー攻撃のシナリオを生成し、生成した前記シナリオのうち、指定された前記実施時間内に収まる部分を抽出することによって、前記サイバーセキュリティ演習で実行される一連の攻撃動作を作成する攻撃動作生成ステップと、
を実行させる命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。

（付記１４）
付記１３に記載のコンピュータ読み取り可能な記録媒体であって、
　前記攻撃動作生成ステップにおいて、前記部分を抽出する前に、前記部分が、一連の攻撃動作の実行の可否を規定する攻撃動作条件を満たすかどうかを判定し、前記攻撃動作条件を満たす場合に、前記部分を抽出する、
コンピュータ読み取り可能な記録媒体。

（付記１５）
付記１３または１４に記載のコンピュータ読み取り可能な記録媒体であって、
　前記攻撃動作生成ステップにおいて、更に、前記部分の抽出に用いた前記実施時間を指定した受講者を特定し、作成した前記一連の攻撃動作と、特定した前記受講者について過去に作成した一連の攻撃動作と、を比較し、比較の結果、重複している部分の割合が閾値以上である場合に、生成した前記シナリオのうち、前記実施時間内に収まり、且つ、抽出した前記部分と異なる部分を再度抽出する、
コンピュータ読み取り可能な記録媒体。

（付記１６）
付記１３～１５のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
　前記演習条件取得ステップにおいて、前記演習条件として、前記受講者が指定するサイバー攻撃のタイプを取得し、
　前記攻撃動作生成ステップにおいて、前記受講者が指定する前記サイバー攻撃のタイプに応じて、前記サイバー攻撃のシナリオを生成する、
コンピュータ読み取り可能な記録媒体。

（付記１７）
付記１３～１６のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　前記サイバーセキュリティ演習を実行するための計算機システムにおいて、作成された前記一連の攻撃動作を実行させる、攻撃動作実行ステップを実行させる命令を更に含む、
コンピュータ読み取り可能な記録媒体。

（付記１８）
付記１７に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　生成された前記一連の攻撃動作に含まれる実行コマンドを用いて、前記サイバー攻撃に該当しない非攻撃動作を生成する非攻撃動作生成ステップと、
　前記計算機システムにおいて、生成された前記非攻撃動作を実行させる非攻撃動作実行ステップと、
を実行させる命令を更に含む、
コンピュータ読み取り可能な記録媒体。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　以上のように本開示によれば、個々の受講者の希望に合わせたサイバーセキュリティ演習を提供できる。本開示は、サイバー攻撃に対する訓練が求められている分野に有用である。

　１０　情報処理装置（実施の形態１）
　１１　演習条件取得部
　１２　攻撃動作生成部
　１３　攻撃動作実行部
　２０　情報処理装置（実施の形態２）
　２１　非攻撃動作生成部
　２２　非攻撃動作実行部
　３０　端末装置
　４０　計算機システム
　１２１　攻撃シナリオ生成部
　１２２　部分シナリオ抽出部
　１２３　部分シナリオ検証部
　１２４　実行シーケンス生成部
　１４１　攻撃タイプ情報
　１４２　ソフトウェア情報
　１４３　攻撃動作条件情報
　１４４　シナリオ情報
　１４５　環境情報
　１４６　非攻撃動作情報
　１５０　コンピュータ
　１５１　ＣＰＵ
　１５２　メインメモリ
　１５３　記憶装置
　１５４　入力インターフェイス
　１５５　表示コントローラ
　１５６　データリーダ／ライタ
　１５７　通信インターフェイス
　１５８　入力機器
　１５９　ディスプレイ装置
　１６０　記録媒体
　１６１　バス

Claims

　サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得する演習条件取得手段と、
　前記サイバーセキュリティ演習に用いる、サイバー攻撃のシナリオを生成し、生成した前記シナリオのうち、指定された前記実施時間内に収まる部分を抽出することによって、前記サイバーセキュリティ演習で実行される一連の攻撃動作を作成する攻撃動作生成手段と、
を備えている、情報処理装置。
請求項１に記載の情報処理装置であって、
　前記攻撃動作生成手段が、前記部分を抽出する前に、前記部分が、一連の攻撃動作の実行の可否を規定する攻撃動作条件を満たすかどうかを判定し、前記攻撃動作条件を満たす場合に、前記部分を抽出する、
情報処理装置。
請求項１または２に記載の情報処理装置であって、
　前記攻撃動作生成手段が、更に、前記部分の抽出に用いた前記実施時間を指定した受講者を特定し、抽出した部分と、特定した前記受講者について過去に抽出した部分と、を比較し、比較の結果、両者の重複している割合が閾値以上である場合に、生成した前記シナリオのうち、前記実施時間内に収まり、且つ、抽出した前記部分と異なる部分を再度抽出する、
情報処理装置。
請求項１～３のいずれかに記載の情報処理装置であって、
　前記演習条件取得手段が、前記演習条件として、前記受講者が指定するサイバー攻撃のタイプを取得し、
　前記攻撃動作生成手段が、前記受講者が指定する前記サイバー攻撃のタイプに応じて、前記サイバー攻撃のシナリオを生成する、
情報処理装置。
請求項１～４のいずれかに記載の情報処理装置であって、
　前記サイバーセキュリティ演習を実行するための計算機システムにおいて、作成された前記一連の攻撃動作を実行させる、攻撃動作実行手段を更に備えている、
情報処理装置。
請求項５に記載の情報処理装置であって、
　生成された前記一連の攻撃動作に含まれる実行コマンドを用いて、前記サイバー攻撃に該当しない非攻撃動作を生成する非攻撃動作生成手段と、
　前記計算機システムにおいて、生成された前記非攻撃動作を実行させる非攻撃動作実行手段と、
を更に備えている、
情報処理装置。
　サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得し、
　前記サイバーセキュリティ演習に用いる、サイバー攻撃のシナリオを生成し、生成した前記シナリオのうち、指定された前記実施時間内に収まる部分を抽出することによって、前記サイバーセキュリティ演習で実行される一連の攻撃動作を作成する、
情報処理方法。
請求項７に記載の情報処理方法であって、
　前記攻撃動作の生成において、前記部分を抽出する前に、前記部分が、一連の攻撃動作の実行の可否を規定する攻撃動作条件を満たすかどうかを判定し、前記攻撃動作条件を満たす場合に、前記部分を抽出する、
情報処理方法。
請求項７または８に記載の情報処理方法であって、
　前記攻撃動作の生成において、更に、前記部分の抽出に用いた前記実施時間を指定した受講者を特定し、作成した前記一連の攻撃動作と、特定した前記受講者について過去に作成した一連の攻撃動作と、を比較し、比較の結果、重複している部分の割合が閾値以上である場合に、生成した前記シナリオのうち、前記実施時間内に収まり、且つ、抽出した前記部分と異なる部分を再度抽出する、
情報処理方法。
請求項７～９のいずれかに記載の情報処理方法であって、
　前記演習条件の取得において、前記演習条件として、前記受講者が指定するサイバー攻撃のタイプを取得し、
　前記攻撃動作の生成において、前記受講者が指定する前記サイバー攻撃のタイプに応じて、前記サイバー攻撃のシナリオを生成する、
情報処理方法。
請求項７～１０のいずれかに記載の情報処理方法であって、
　前記サイバーセキュリティ演習を実行するための計算機システムにおいて、作成された前記一連の攻撃動作を実行させる、
情報処理方法。
請求項１１に記載の情報処理方法であって、
　生成された前記一連の攻撃動作に含まれる実行コマンドを用いて、前記サイバー攻撃に該当しない非攻撃動作を生成させ、
　前記計算機システムにおいて、生成された前記非攻撃動作を実行させる、
情報処理方法。
コンピュータに、
　サイバーセキュリティ演習の受講者が指定する演習の実施時間を、演習条件として取得させ、
　前記サイバーセキュリティ演習に用いる、サイバー攻撃のシナリオを生成し、生成した前記シナリオのうち、指定された前記実施時間内に収まる部分を抽出することによって、前記サイバーセキュリティ演習で実行される一連の攻撃動作を作成させる、
命令を含む、プログラムを記録しているコンピュータ読み取り可能な記録媒体。
請求項１３に記載のコンピュータ読み取り可能な記録媒体であって、
　前記攻撃動作の生成において、前記部分を抽出する前に、前記部分が、一連の攻撃動作の実行の可否を規定する攻撃動作条件を満たすかどうかを判定し、前記攻撃動作条件を満たす場合に、前記部分を抽出する、
コンピュータ読み取り可能な記録媒体。
請求項１３または１４に記載のコンピュータ読み取り可能な記録媒体であって、
　前記攻撃動作の生成において、更に、前記部分の抽出に用いた前記実施時間を指定した受講者を特定し、作成した前記一連の攻撃動作と、特定した前記受講者について過去に作成した一連の攻撃動作と、を比較し、比較の結果、重複している部分の割合が閾値以上である場合に、生成した前記シナリオのうち、前記実施時間内に収まり、且つ、抽出した前記部分と異なる部分を再度抽出する、
コンピュータ読み取り可能な記録媒体。
請求項１３～１５のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
　前記演習条件の取得において、前記演習条件として、前記受講者が指定するサイバー攻撃のタイプを取得し、
　前記攻撃動作の生成において、前記受講者が指定する前記サイバー攻撃のタイプに応じて、前記サイバー攻撃のシナリオを生成する、
コンピュータ読み取り可能な記録媒体。
請求項１３～１６のいずれかに記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　前記サイバーセキュリティ演習を実行するための計算機システムにおいて、作成された前記一連の攻撃動作を実行させる、命令を更に含む、
コンピュータ読み取り可能な記録媒体。
請求項１７に記載のコンピュータ読み取り可能な記録媒体であって、
前記プログラムが、前記コンピュータに、
　生成された前記一連の攻撃動作に含まれる実行コマンドを用いて、前記サイバー攻撃に該当しない非攻撃動作を生成させ、
　前記計算機システムにおいて、生成された前記非攻撃動作を実行させる、
命令を更に含む、
コンピュータ読み取り可能な記録媒体。