WO2023181145A1

WO2023181145A1 - リスク抽出装置、リスク抽出方法、リスク抽出プログラム

Info

Publication number: WO2023181145A1
Application number: PCT/JP2022/013364
Authority: WO
Inventors: 寿志毛利; 諒介大場; 竜村松; 学三澤
Original assignee: 三菱電機株式会社
Priority date: 2022-03-23
Filing date: 2022-03-23
Publication date: 2023-09-28
Also published as: JP7433551B1; JPWO2023181145A1

Abstract

リスク抽出装置（２００）は、シナリオ（２１６）の入力を受け付け、シナリオ（２１６）に含まれるキーワードに応じたシナリオの種別（２２０）を付与する。リスク抽出装置（２００）は、攻撃の内容（２１４）を列挙した情報である攻撃方法リスト（２１１）を予め記憶し、攻撃の内容（２１４）に含まれるキーワードに応じた攻撃の種別（２２４）を付与する。リスク抽出装置（２００）は、シナリオの種別（２２０）と攻撃の種別（２２４）とが予め定めた因果関係に従う組合せをリスク（２２８）として抽出する。

Description

リスク抽出装置、リスク抽出方法、リスク抽出プログラム

　本開示は、リスク抽出装置、リスク抽出方法、リスク抽出プログラムに関する。

　複数の機器から構成されるシステムにおいては、各機器が保有するセキュリティ上の脆弱性がシステムを不安全な状態に至らしめることが無いようにする必要がある。そのためには、機器の脆弱性とシステムの不安全な状態との組合せのうち、因果関係が成立し得る組合せの抽出を迅速化することが求められる。

　従来技術としては、脅威分析対象システムを構成する機器と機器に含まれる脆弱性とが対応付けられた第１情報と、機器と脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第２情報とに基づいて、機器に含まれる脆弱性と脅威分析対象システムにおける脅威とを関連付ける脅威分析処理部と、脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する脅威分析結果出力部とを備える脅威分析システムがある（例えば、特許文献１）。

特開２０１９－１４５０５３号公報

　上記した脅威分析システムでは、ある機器に含まれるセキュリティ上の脆弱性と、脅威分析対象システム（以降、対象システムと呼ぶ）で想定される事業者視点の脅威のうちその機器と関係性のある脅威とを対応付けて出力する。これにより、機器の脆弱性と対象システムの不安全な状態との組合せのうち、因果関係が成立し得る組合せの抽出を迅速化できる。しかし、上記した脅威分析システムは、稼働中の対象システムにアクセスできないと適用できない。具体的には、稼働中の対象システム上で検査コードを実行したり、稼働中の対象システムに対してソフトウェア情報の提供を要求したりする必要がある。このようなアクセスは、システムを本番として運用中の場合、システムの性能低下や不具合発生の可能性を高めるため、好ましくない。上記問題は、特に、リアルタイム性や信頼性が要求されるシステムにおいて重大である。

　本開示は上述の課題を解決するためになされたもので、対象システムにおける安全性とセキュリティの両方の観点からのリスク抽出を、対象システムにアクセスすることなく行えるようにすることを目的とする。

　本開示に係るリスク抽出装置は、制御対象の状態を含むシナリオの入力を受け付ける入力部と、攻撃の内容を列挙した情報である攻撃方法リストを予め記憶する記憶部と、前記入力部から前記シナリオを受け取り、前記シナリオに含まれるキーワードに応じたシナリオの種別を前記シナリオに対して付与する第一の種別付与部と、前記攻撃の内容に含まれるキーワードに応じた攻撃の種別を前記攻撃の内容に対して付与する第二の種別付与部と、前記シナリオの種別と前記攻撃の種別との組合せのうち、予め定めた因果関係に従う組合せをリスクとして抽出する抽出部と、前記抽出部が抽出した前記リスクを列挙した情報である出力情報を出力する出力部と、を備える。

　本開示のリスク抽出装置は、シナリオと攻撃の内容それぞれについて、それらに含まれるキーワードに応じて種別を付与し、付与した種別に基づいて予め定めた因果関係に従うか判定する。これにより、シナリオや攻撃の内容といった抽象的な、あるいは自然言語で記述された設計情報を用いてリスクを抽出できる。そのため、対象システムにおける安全性とセキュリティの両方の観点からのリスク抽出を、対象システムにアクセスすることなく行える。

実施の形態１に係る対象システムを示す図。実施の形態１に係るリスク抽出装置の機能構成図。実施の形態１に係るリスク抽出装置のハードウェア構成図。実施の形態１に係る攻撃方法リストを示す図。実施の形態１に係る第一のキーワード情報を示す図。実施の形態１に係る第二のキーワード情報を示す図。実施の形態１に係るシナリオを示す図。実施の形態１に係る第一の因子情報を示す図。実施の形態１に係る第二の因子情報を示す図。実施の形態１に係る抽出部による抽出結果を示す図。実施の形態１に係る出力情報を示す図。実施の形態１に係るリスク抽出装置の動作を示すフローチャート。実施の形態１に係る第一の種別付与部の動作を示すフローチャート。実施の形態１に係る抽出部の動作を示すフローチャート。実施の形態２に係る第一のキーワード情報を示す図。実施の形態２に係る第一の因子情報を示す図。実施の形態２に係る第二の因子情報を示す図。実施の形態２に係る抽出結果を示す図。実施の形態２に係る出力情報を示す図。実施の形態３に係るリスク抽出装置を示す図。実施の形態３に係る程度情報を示す図。実施の形態３に係る優先度算出テーブルを示す図。実施の形態３に係る優先度算出結果を示す図。実施の形態３に係る出力情報を示す図。実施の形態３に係るリスク抽出装置の動作を示すフローチャート。実施の形態４に係るリスク抽出装置を示す図。実施の形態４に係る対象システム構成情報を示す図。実施の形態４に係る検索結果を示す図。実施の形態４に係る出力情報を示す図。実施の形態４に係るリスク抽出装置の動作を示すフローチャート。実施の形態４に係る検索部の動作を示すフローチャート。

実施の形態１．
　以下、実施の形態１を図面に基づいて詳細に説明する。なお、実施の形態１では、対象システムとして、ＡＤＡＳ（Ａｄｖａｎｃｅｄ　Ｄｒｉｖｅｒ　Ａｓｓｉｓｔａｎｃｅ　Ｓｙｓｔｅｍｓ）を搭載したシステムを題材として用いるが、本開示は上記題材に限らず、任意の対象システムに対して適用可能である。

　まず、対象システムの構成について説明する。

　図１は、実施の形態１に係る対象システムを示す図である。対象システム１００は、検知対象１１０と、車両１２０と、を備える。

　検知対象は、回避すべき対象である歩行者や障害物、または交通のための情報を提供する道路標識である。

　車両は、センサ１２１と、ＥＣＵ１２２（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）と、駆動系１２３と、を備える。

　センサは、カメラ１２１ａと、レーダ１２１ｂと、ライダ１２１ｃであり、検知領域１３０に在る検知対象を検知することで検知情報１２４を生成しＥＣＵ１２２に向けて送信する。検知情報１２４は、検知対象１１０が在るまたは無いという情報や、検知された検知対象１１０が何であるか（例えば歩行者か、障害物か、道路標識か）という情報や、車両１２０を基準として検知対象１１０が在る方向や距離を示す情報である。

　ＥＣＵ１２２は、センサ１２１からの検知情報１２４を用いて駆動系１２３を制御する。例えば、ＥＣＵ１２２は、歩行者が進行方向に居て、かつその距離が近いという検知情報１２４をセンサ１２１が生成した場合、車両１２０が歩行者に衝突することを回避するために、駆動系１２３に対してブレーキを指示する。

　駆動系１２３は、ＥＣＵ１２２からのブレーキの指示を受けて車輪１２５を静止させる装置である。なお、駆動系は、図示しない運転手からの操作（アクセル等）を受けて、車輪１２５の駆動を行う。

　次に、リスク抽出装置の構成について説明する。

　図２は、実施の形態１に係るリスク抽出装置の機能構成図である。リスク抽出装置２００は、記憶部２０１と、入力部２０２と、第一の種別付与部２０３と、第二の種別付与部２０４と、抽出部２０５と、出力部２０６と、を備える。

　図３は、実施の形態１に係るリスク抽出装置２００のハードウェア構成図である。リスク抽出装置２００は、演算装置２０７と、記憶装置２０８と、入出力装置２０９と、バス２１０と、を備える。演算装置２０７と、記憶装置２０８と、入出力装置２０９は、互いにバス２１０を介して情報の授受を行う。

　演算装置２０７は、例えばＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅｄ　Ａｒｒａｙ）である。第一の種別付与部２０３と、第二の種別付与部２０４と、抽出部２０５は、演算装置２０７として実装される。

　記憶装置２０８は、ＦＬＡＳＨメモリ、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）である。記憶部２０１は、記憶装置２０８として実装される。

　入出力装置２０９は、例えばキーボード、マウス、ディスプレイである。入力部２０２と、出力部２０６は、入出力装置２０９として実装される。

　図２の説明に戻る。記憶部２０１は、攻撃方法リスト２１１と、第一のキーワード情報２１２と、第二のキーワード情報２１３と、を予め記憶する。

　図４は、実施の形態１に係る攻撃方法リスト２１１を示す図である。攻撃の内容２１４は、他の攻撃の内容２１４と区別するための識別子である攻撃ＩＤ２１５が付与されても良く、「ａｔｔａｃｋ」を接頭語とするＩＤ値を付与している。攻撃の内容２１４は、一般的に想定される攻撃の内容であり、自然言語にて記述される。実施の形態１では、攻撃方法リスト２１１は、攻撃の内容２１４をＭ個記憶しているものとする。

　ここで、リスク抽出装置２００は、実施の形態１において例示した対象システム１００に限らず、任意の制御に対するリスク抽出のために用いられることを想定している。セキュリティの専門家は、図１に示した対象システム１００に限らず一般的に想定されるセンサへの攻撃を多数列挙し、対象システムの開発の開始よりも前に記憶部２０１に記憶させておけば良い。この作業は、例えば対象システム１００の開発が企画されるよりも以前に実施しても良い。

　図５は、実施の形態１に係る第一のキーワード情報２１２を示す図である。第一のキーワード情報２１２は、シナリオ２１６に含まれ得ると想定される各キーワード２１７に対して、連想される符号２１８（符号「一：制御開始できず」または符号「二：誤った制御の開始」）を対応付けた情報である。キーワード２１７は、他のキーワード２１７と区別するためのキーワードＩＤ２１９が付与されても良く、「ｓｃｅｎａｒｉｏ＿ｋｅｙ」を接頭語とするＩＤ値を付与している。第一のキーワード情報２１２は、第一の種別付与部２０３がシナリオの種別２２０を生成するために用いられる（詳細については後段で説明する）。実施の形態１では、第一のキーワード情報２１２は、キーワード２１７をＩ個記憶しているものとする。

　図６は、実施の形態１に係る第二のキーワード情報２１３を示す図である。第二のキーワード情報２１３は、第一のキーワード情報２１２と基本的に同様であるが、キーワード２２１の対象がシナリオ２１６ではなく攻撃の内容２１４である点、また連想される符号２２２は「三：検知妨害」または「四：誤検知」である点、キーワードＩＤ２２３のＩＤ値は接頭語として「ａｔｔａｃｋ＿ｋｅｙ」を用いている点が異なる。第二のキーワード情報２１３は、第二の種別付与部２０４が攻撃の種別２２４を生成するために用いられる（詳細については後段で説明する）。実施の形態１では、第二のキーワード情報２１３は、キーワード２２１をＪ個記憶しているものとする。

　入力部２０２は、シナリオ２１６の入力を受け付ける。入力部２０２は、シナリオ２１６を第一の種別付与部２０３へと受け渡す。

　図７は、実施の形態１に係るシナリオ２１６を示す図である。シナリオ２１６は、他のシナリオ２１６と区別するための識別子であるシナリオＩＤ２２５が付与されても良く、「ｓｃｅｎａｒｉｏ」を接頭語とするＩＤ値を付与している。シナリオ２１６は、制御対象の至る状態とその状態に至る流れについて自然言語にて記述したものである。なお、制御対象とは、実施の形態１における車両１２０、駆動系１２３、車輪１２５などが相当するが、何に相当するかは「制御」が何を指すかという捉え方次第で任意である。シナリオ２１６は、設計者によって入力される情報であり、制御対象において想定される不安全な事象を記述したものである。実施の形態１では、入力部２０２は、シナリオ２１６がＮ個入力されたものとする。

　第一の種別付与部２０３は、入力部２０２からシナリオ２１６を受け取り、シナリオ２１６それぞれに含まれるキーワード２１７に応じてシナリオの種別２２０を生成し、シナリオ２１６それぞれに対して付与することで第一の因子情報２２６とする。

　図８は、実施の形態１に係る第一の因子情報２２６を示す図である。シナリオの種別２２０は、開始すべき制御を開始できないという第一の符号、または開始すべきでない制御を開始してしまうという第二の符号、のいずれか一方を示す。ここで、符号「一：制御開始できず」は、開始すべき制御を開始できないという種別を示す。また、符号「二：誤った制御の開始」は、開始すべきでない制御を開始してしまうという種別を示す。

　ここで、ｓｃｅｎａｒｉｏ０１を例として、第一の種別付与部２０３がシナリオの種別２２０として符号「一：制御開始できず」を生成する仕組みについて説明する。第一の種別付与部２０３は、第一のキーワード情報２１２にも対象のシナリオ２１６にも共通して登場するキーワード２１７を探す。例えば「伝わらず」というキーワードは、ｓｃｅｎａｒｉｏ０１にも登場すると共に、第一のキーワード情報２１２においても列挙されている。また、「伝わらず」というキーワードは、第一のキーワード情報２１２において、連想される符号「一：制御開始できず」と対応付けられている。よって、第一の種別付与部２０３は、ｓｃｅｎａｒｉｏ０１に対して符号「一：制御開始できず」を付与する。

　なお、第一のキーワード情報２１２に列挙されるキーワード２１７は、図５に示したとおり、「制御を開始できず（開始してしまい）」、「指示されず（指示してしまい）」等のキーワードでも良い。

　このように、本開示における第一の種別付与部２０３（後に説明する第二の種別付与部２０４も同様）は、キーワードから連想して種別を付与するという方法であるため、対象システム１００の設計情報（例えば自然言語により記述された技術資料や、モデルベース開発にて作成された対象システムの設計モデル）を本開示におけるシナリオ２１６や攻撃方法リスト２１１として活用可能である。つまり、本開示のリスク抽出装置は、対象システム１００にアクセスせずとも、設計者やセキュリティの専門家から入力されたシナリオ２１６や攻撃方法リスト２１１を用いてリスクを抽出できる。

　また、本開示のリスク抽出装置は、対象システム１００の実装が完了していない段階である設計段階においても、対象システム１００の設計書をシナリオ２１６や攻撃方法リスト２１１として活用可能である。よって、本開示のリスク抽出装置は、対象システム１００の設計段階においても、設計者やセキュリティの専門家から入力されたシナリオ２１６や攻撃方法リスト２１１を用いてリスクを抽出できる。

　図２の説明に戻る。第二の種別付与部２０４は、記憶部２０１が記憶する攻撃方法リスト２１１から攻撃の内容２１４を読み取り、攻撃の内容２１４それぞれに含まれるキーワードに応じて攻撃の種別２２４を生成し、攻撃の内容２１４それぞれに対して付与することで第二の因子情報２２７とする。

　図９は、実施の形態１に係る第二の因子情報２２７を示す図である。攻撃の種別２２４は、実在する検知対象１１０を検知させないという第三の符号、または実在しない検知対象１１０を検知させるという第四の符号、のいずれか一方または両方を示す。ここで、符号「三：検知妨害」は、実在する検知対象１１０の検知をさせないという種別を示す。また、「四：誤検知」は、実在しない検知対象１１０を検知させるという種別を示す。

　ここで、ａｔｔａｃｋ０３を例として、第二の種別付与部２０４が攻撃の種別２２４として符号「三：検知妨害」と「四：誤検知」とを生成する仕組みについて説明する。第二の種別付与部２０４は、第二のキーワード情報２１３にも対象の攻撃の内容２１４にも共通して登場するキーワード２２１を探す。例えば「妨害」というキーワードは、ａｔｔａｃｋ０３にも登場すると共に、第二のキーワード情報２１３においても列挙されている。また、「妨害」というキーワード２２１は、第二のキーワード情報２１３において、連想される符号「三：検知妨害」と対応付けられている。よって、第二の種別付与部２０４は、ａｔｔａｃｋ０３に対して符号「三：検知妨害」を付与する。同様に、ａｔｔａｃｋ０３は「誤検知」というキーワード２２１を含んでおり、「誤検知」は第二のキーワード情報２１３において連想される符号「四：誤検知」と対応付けられているから、ａｔｔａｃｋ０３には符号「四：誤検知」も併せて付与する。

　なお、第二のキーワード情報２１３に列挙されるキーワード２２１は、図６に示したとおり、「遮蔽」、「ジャミング」、「欺瞞」、「誤検出」、「ダミー」、「なりすまし」等のキーワードでも良い。

　図２の説明に戻る。抽出部２０５は、第一の因子情報２２６と第二の因子情報２２７との組合せのうち、予め定めた因果関係に従う組合せをリスク２２８として抽出し、出力部２０６へと送る。本開示では、リスク２２８とは、シナリオ２１６と攻撃の内容２１４との組合せのうち、予め定めた因果関係に従うと判定された組合せを指す。

　図１０は、実施の形態１に係る抽出部２０５による抽出結果を示す図である。図１０では、シナリオＩＤ２２５と攻撃ＩＤ２１５との対応表という形で、シナリオ２１６と攻撃の内容２１４との組合せを列挙している。すべての組合せを列挙するため、総数はＮ×Ｍ個となる。また、組合せ毎に、抽出結果２２９を付与している。抽出結果２２９は、ＴＲＵＥまたはＦＡＬＳＥのいずれかの値を取るフラグであり、ＴＲＵＥは抽出対象となったこと、ＦＡＬＳＥは抽出対象とならなかったことを示す。

　ここで、抽出結果２２９がＴＲＵＥとなっている組合せは、シナリオの種別２２０が第一の符号を示しかつ攻撃の種別２２４が第三の符号を示す、またはシナリオの種別２２０が第二の符号を示しかつ攻撃の種別２２４が第四の符号を示す、のいずれか一方を満たす組合せである。上述の条件は、抽出部に対して予め設定されているものとする。つまり、予め設定される上述の条件が、予め定めた因果関係に相当する。これにより、抽出部２０５は、検知を妨害された結果として正しい制御を開始できない、または実在しない検知対象を検知させられた結果として誤った制御を開始してしまう、のいずれか一方が成立し得る組合せを、リスク２２８として抽出できる。

　図２の説明に戻る。出力部２０６は、抽出部２０５により抽出されたリスク２２８を列挙した情報である出力情報２３０を出力する。出力情報２３０は、設計者が閲覧する情報である。

　図１１は、実施の形態１に係る出力情報２３０を示す図である。図１１では、シナリオＩＤ２２５と攻撃ＩＤ２１５との対応表という形で、抽出された（すなわち図１０において抽出結果２２９がＴＲＵＥとなっていた）リスク２２８のみを列挙している。なお、設計者が閲覧し易いよう、併せてシナリオ２１６と攻撃の内容２１４も示している。設計者は、この対応表を閲覧することで、リスク２２８を把握することができる。具体的には、設計者は、ＥＣＵ１２２に対して為され得る攻撃の内容２１４と、その攻撃の内容２１４により至り得る事故（すなわちシナリオ２１６）を把握することができる。特に、攻撃の内容２１４は、設計者ではなくセキュリティの専門家により列挙されていたものであるから、設計者が自身だけでは発想できなかったリスク２２８も出力情報２３１にリストアップされることが期待される。設計者は、リスク２２８を把握した際には、リスク低減策（例えば設計変更）を講じることができる。

　次に、リスク抽出装置２００の動作について説明する。　
　図１２は、実施の形態１に係るリスク抽出装置２００の動作を示すフローチャートである。ここで、記憶部２０１は、図１２の動作の開始前に、予め攻撃方法リスト２１１、第一のキーワード情報２１２、第二のキーワード情報２１３を記憶しているものとする。

　入力部２０２は、シナリオ２１６の入力を受け付ける（ステップＳ１０１）。第一の種別付与部２０３は、シナリオ２１６に含まれるキーワード２１７に応じてシナリオの種別２２０を生成し、シナリオ２１６に対して付与することで第一の因子情報２２６とする（ステップＳ１０２）。第二の種別付与部２０４は、攻撃の内容２１４に含まれるキーワード２２１に応じて攻撃の種別２２４を生成し、攻撃の内容２１４に対して付与することで第二の因子情報２２７とする（ステップＳ１０３）。抽出部２０５は、第一の因子情報２２６と第二の因子情報２２７との組合せのうち、シナリオの種別２２０と攻撃の種別２２４とが予め定めた因果関係に従う組合せをリスク２２８として抽出する（ステップＳ１０４）。出力部２０６は、抽出部２０５により抽出されたリスク２２８を列挙した情報である出力情報２３０を出力する（ステップＳ１０５）。

　次に、第一の種別付与部２０３の動作（ステップＳ１０２）の詳細について説明する。なお、第二の種別付与部２０４の動作（ステップＳ１０３）は、シナリオ２１６が攻撃の内容２１４に置き換わり、第一のキーワード情報２１２が第二のキーワード情報２１３に置き換わる以外は同様であるため、説明を省略する。

　図１３は、実施の形態１に係る第一の種別付与部２０３の動作を示すフローチャートである。第一の種別付与部２０３は、入力部２０２から入力されたＮ個のシナリオ２１６の中から１つを選択する。図１３では、１～Ｎの値を取る変数ｎにより選択したシナリオ２１６を示すものとする。第一の種別付与部２０３は、変数ｎに１を代入し、図７中のｓｃｅｎａｒｉｏ０１を選択する（ステップＳ２０１）。第一の種別付与部２０３は、対象のシナリオ２１６から複数のキーワードを抜き出す（ステップＳ２０２）。この処理は、既に世間で知られているような、文章を単語に分割する処理により実現される。図１３では、抜き出されたキーワードの個数がＫ個だと仮定し、また１～Ｋの値を取る変数ｋにより抜き出したキーワードのうちのいずれを選択したのか示すものとし、選択されたキーワードを「キーワードｋ」と呼ぶ。第一の種別付与部２０３は、変数ｋに１を代入し、抜き出したキーワードの選択を初期化する（ステップＳ２０３）。次に、第一の種別付与部２０３は、第一のキーワード情報２１２の中からキーワード２１７を１つ選択する。ここで、１～Ｉの値を取る変数ｉにより第一のキーワード情報２１２の中から選択したキーワード２１７を示すものとし、選択されたキーワード２１７を「キーワードｉ」と呼ぶ。つまり、変数ｉに１を代入することにより、図５中のｓｃｅｎａｒｉｏ＿ｋｅｙ０１を選択する（ステップＳ２０４）。第一の種別判定部２０３は、キーワードｋとキーワードｉが一致した場合（ステップＳ２０５）、キーワードｋから連想される符号２１８を読み出し（ステップＳ２０６）、さらに読み出した連想される符号２１８が対象のシナリオ２１６に未だ付与されていない場合（ステップＳ２０７）、読み出した連想される符号２１８を対象のシナリオ２１６に付与する（ステップＳ２０８）。連想される符号２１８の読み出しは、第一のキーワード情報２１２を参照することにより実施される。第一の種別付与部２０３は、変数ｉがＩに達していない場合、変数ｉに１を加える（ステップＳ２１０）と共に、ステップＳ２０５へと戻る。変数ｉがＩに達していた場合、変数ｋがＫに達しているか判定し（ステップＳ２１１）、達していない場合は変数ｋに１を加える（ステップＳ２１２）と共に、ステップＳ２０４へと戻る。変数ｋがＫに達していた場合、変数ｎがＮに達しているか判定し（ステップＳ２１３）、達していない場合は変数ｎに１を加える（ステップＳ２１４）と共に、ステップＳ２０２へと戻る。変数ｉ、ｋ、ｎがそれぞれＩ、Ｋ、Ｎに達していた場合は、図１３の動作を終了する。

　次に、抽出部２０５の動作（ステップＳ１０４）の詳細について説明する。

　図１４は、実施の形態１に係る抽出部２０５の動作を示すフローチャートである。抽出部２０５は、まだ選択されていない第一の因子情報２２６から１つを選択する。図１４では、１～Ｎの値を取る変数ｎにより選択したシナリオ２１６を示すものとする。抽出部２０５は、変数ｎに１を代入し、図８中のｓｃｅｎａｒｉｏ０１を選択する（ステップＳ３０１）。次に、まだ選択されていない第二の因子情報２２７から１つを選択する。図１４では、１～Ｍの値を取る変数ｍにより選択した攻撃の内容２１４を示すものとする。第一の抽出部２０５は、変数ｍに１を代入し、図９中のａｔｔａｃｋ０１を選択する（ステップＳ３０２）。次に、選択した第一の因子情報２２６と第二の因子情報２２７との組合せについて、シナリオの種別２２０と攻撃の種別２２４とを比較することで因果関係に従う組合せであるか判定し（ステップＳ３０３）、因果関係に従うと判定された場合には当該組合せを抽出対象のリスク２２８と見做す（ステップＳ３０４）。次に、変数ｍがＭに達していない場合、（ステップＳ３０５）、変数ｍに１を加える（ステップＳ３０６）と共に、ステップＳ３０３へと戻る。変数ｍがＭに達していた場合、変数ｎがＮに達しているか判定し（ステップＳ３０７）、達していた場合には変数ｎに１を加える（ステップＳ３０８）と共に、ステップＳ３０２へと戻る。変数ｍ、ｎがそれぞれＭ、Ｎに達していた場合には、図１４の動作を終了する。

　以上のように、実施の形態１に係るリスク抽出装置２００によれば、第一の種別付与部２０３は、シナリオ２１６に含まれるキーワード２１７に応じたシナリオの種別２２０を付与し、第二の種別付与部２０４は、攻撃の内容２１４に含まれるキーワード２２１に応じた攻撃の種別２２４を付与し、抽出部２０５は、シナリオの種別２２０と攻撃の種別２２４とが予め定めた因果関係に従う組合せをリスク２２８として抽出する。これにより、シナリオや攻撃の内容といった抽象的な、あるいは自然言語で記述された設計情報をインプットとし、それらの組合せのうち、予め定めた因果関係（成立し得ると考えられる仮説）に従う組合せをリスクとして抽出できる。よって、対象システム１００における安全性とセキュリティの両方の観点からのリスク抽出を、対象システム１００にアクセスすることなく行える。

　また、シナリオの種別２２０は、開始すべき制御を開始できないという第一の符号、または開始すべきでない制御を開始してしまうという第二の符号、のいずれか一方を示し、攻撃の種別２２４は、実在する検知対象を検知させないという第三の符号、実在しない検知対象を検知させるという第四の符号、のいずれか一方または両方を示し、抽出部２０５は、シナリオの種別２２０が第一の符号を示しかつ攻撃の種別２２４が第三の符号を示す、またはシナリオの種別２２０が第二の符号を示しかつ攻撃の種別２２４が第四の符号を示す、のいずれか一方を満たす組合せを、予め定めた因果関係に従う組合せであると判定する。これにより、実在する検知対象１１０の検知を妨害された結果として正しい制御を開始できない、または実在しない検知対象１１０を検知させられた結果として誤った制御を開始してしまう、という具体的な因果関係の仮定に沿ってリスクを抽出できる。

　実施の形態２．
　実施の形態１では、因果関係に従うと判断する基準として、検知対象１１０の検知を妨害された結果として正しい制御を開始できない、または実際には存在しない検知対象１１０を検知させられた結果として誤った制御を開始してしまう、のいずれかが成立し得るかという基準を用いる例を示した。実施の形態２では、他の基準として、関係しているセンサ１２１の種類を基準として用いる例を示す。なお、実施の形態２は、基本的な構成や動作原理は実施の形態１と同一であり、実質的に異なるのは第一のキーワード情報２１２等の情報の中身であるため、それらの異なる情報の中身についてのみ説明していく。

　図１５は、実施の形態２に係る第一のキーワード情報２１２を示す図である。列項目としてキーワードＩＤ２１９、キーワード２１７、連想される符号２１８が存在する点は実施の形態１と同様であるが、それらの項目の値が異なる。具体的には、実施の形態２では、連想される符号２１８としてセンサ１２１の種類（例えばカメラ１２１ａ、レーダ１２１ｂ、ライダ１２１ｃ）が格納されており、キーワード２１７としてはそれらセンサ１２１の種類を連想させるようなキーワードが格納されている。

　なお、実施の形態２では、第二のキーワード情報２１３も図１５と同一の内容とする。実装上は、複製した２つの情報それぞれを第一のキーワード情報２１２と第二のキーワード情報２１３として扱っても良いし、１つの情報を共通的に参照して第一のキーワード情報２１２と第二のキーワード情報２１３を兼ねるようにしても良い。第一の種別付与部２０３と第二の種別付与部２０４は、図１５に示した情報に基づいて、センサ１２１の種別を軸とした種別を生成し、それぞれシナリオ２１６と攻撃の内容２１４に対して付与する。

　図１６は、実施の形態２に係る第一の因子情報２２６を示す図である。実施の形態１との差異は、シナリオの種別２２０の値である。例えば、ｓｃｅｎａｒｉｏ０１には「距離」というキーワードが含まれているが、「距離」は図１５にて示した第一のキーワード情報２１２では、連想される符号２１８の「ライダ」と対応付けられている。よって、第一の種別付与部２０３は、ｓｃｅｎａｒｉｏ０１に対して「ライダ１２１ｃ」をシナリオの種別２２０として生成し付与している。

　図１７は、実施の形態２に係る第二の因子情報２２７を示す図である。第一の因子情報２２６と同様、実施の形態１との差異は、攻撃の種別２２４である。例えば、ａｔｔａｃｋ０７は、「距離」というキーワードが含まれているため、第二の種別付与部２０４は第一の種別付与部２０３と同様に図１５に示した情報に基づいて、「ライダ１２１ｃ」という種別の値を生成する。

　図１８は、実施の形態２に係る抽出結果２２９を示す図である。例えば、ｓｃｅｎａｒｉｏ０１とａｔｔａｃｋ０７は、「ライダ１２１ｃ」という共通の種別が付与されている。実施の形態２における抽出部２０５は、このようなセンサ１２１の種別が共通する組合せについて、因果関係に従う組合せであると判断する。

　図１９は、実施の形態２に係る出力情報２３０を示す図である。図１９では、図１８にて抽出結果２２９が「ＴＲＵＥ」となっている組合せのみを列挙している。

　以上のように、実施の形態２に係るリスク抽出装置２００によれば、シナリオの種別２２０と攻撃の種別２２４は、センサ１２１の種別を示し、抽出部２０５は、シナリオの種別２２０と攻撃の種別２２４との値が同一である組合せを、予め定めた因果関係に従う組合せであると判定する。これにより、同一のセンサ１２１の種別と関係しているシナリオ２１６と攻撃の内容２１４との組合せを、リスク２２８として抽出することができる。なお、実施の形態１と２では、異なる観点で因果関係に従う組合せであると判定しているが、これらの観点を組み合わせて判定しても良い。例えば、実施の形態１と２の両方の条件を満たす組合せのみ抽出することで、因果関係が成立する可能性がより高い組合せのみを厳選して抽出することができる。

　実施の形態３．
　実施の形態３では、リスク対策の優先度についても算出する例について示す。なお、本開示における優先度とは、設計者がいずれのリスク２２８について優先して対策を打つべきかを示す指数である。

　図２０は、実施の形態３に係るリスク抽出装置を示す図である。実施の形態３では、実施の形態１と比較して、新たに程度情報２３１、優先度算出テーブル２３２、優先度算出部２３３、優先度２３４が構成要素として増えている。なお、他の構成要素については、基本的に実施の形態１と同一である。入力部２０２は、程度情報２３１の入力を受け付け、優先度算出部２３３へと受け渡す。記憶部２０１は、優先度算出テーブル２３２を予め記憶する。優先度算出部２３３は、程度情報２３１と優先度算出テーブル２３２からリスク２２８の優先度２３４を算出し、出力部２０６へと受け渡す。出力部２０６は、リスク２２８と優先度２３４とを対応付けた情報として出力情報２３０を出力する。

　図２１は、実施の形態３に係る程度情報２３１を示す図である。程度情報２３１は、設計者によって入力される情報である。図２１では、抽出されたリスク２２８を、シナリオＩＤ２２５と攻撃ＩＤ２１５との対応表で示している。また、図２１では、対応表における列項目として程度情報２３１を設けることで、各リスク２２８に対する程度情報２３１を示している。程度情報２３１は、シナリオ２１６が起こり得る状況に遭遇する頻度２３１ａ、上記状況に遭遇した際にシナリオ２１６を回避できる可能性２３１ｂ、至り得る不安全な状態の重大度２３１ｃ、の少なくともいずれか１つを備える。ここで、遭遇する頻度２３１ａは、Ｅ１が最も頻度が少なく、Ｅ４が最も頻度が高い。また、回避できる可能性２３１ｂは、Ｃ１が最も可能性が高く、Ｃ３が最も可能性が低い。また、不安全な状態の重大度２３１ｃは、Ｓ１が最も軽微であり、Ｓ３が最も重大である。なお、図２１では抽出されたリスク２２８に対してのみ程度情報２３１が示されているが、これはリスク抽出装置２２０が抽出したリスク２２８を一旦設計者に向けて表示し、抽出されたリスク２２８それぞれに対して程度情報２３１を入力するよう設計者に促すことにより実現できる（具体的な手順については図２５のフローチャートを参照）。ここで、程度情報２３１は、リスク２２８単位ではなく、シナリオ２１６単位、または攻撃の内容２１４単位で入力されても良い。例えば、シナリオ２１６単位で入力された場合、優先度算出部２３３は、同じシナリオ２１６を含むリスク２２８については同じ値の優先度２３４を算出する。

　図２２は、実施の形態３に係る優先度算出テーブル２３２を示す図である。優先度算出テーブル２３２は、設計者によって予め入力される。ここで、ＱＭが最も優先度が低く、Ｄが最も優先度が高い（ＱＭ、Ａ、Ｂ、Ｃ、Ｄの順番である）。優先度算出部２３２は、程度情報２３１を用いて優先度算出テーブル２３２を索引することで優先度２３４を算出する。なお、優先度算出部２３３は、優先度算出テーブル２３２を用いる代わりに、例えば予め定められた数式に対して程度情報２３１の値を代入することで優先度２３４を算出しても良い。

　図２３は、実施の形態１に係る優先度算出結果を示す図である。図２３では、抽出されたリスク２２８を、シナリオＩＤ２２５と攻撃ＩＤ２１５との対応表で示している。また、図２３では、対応表における列項目として優先度２３４を設けることで、各リスク２２８について算出された優先度２３４を示している。例えば、ｓｃｅｎａｒｉｏ０１とａｔｔａｃｋ０７との組合せから成るリスク２２８は、図２１で示した通り、遭遇する頻度２３１ａはＥ２、回避できる可能性２３１ｂはＣ３、不安全な状態の重大度２３１ｃはＳ３であるから、優先度算出部２３３により図２２の優先度算出テーブル２３２が用いられることにより優先度２３４はＢであると算出され、その結果が図２３に示されている。

　図２４は、実施の形態３に係る出力情報２３０を示す図である。実施の形態１と異なる点は、優先度２３４が新たに列項目として追加されている点である。このように、出力部２０６は、抽出部２０５から受け取ったリスク２２８と、優先度算出部２３３から受け取った優先度２３４とを対応付けて出力する。

　次に、リスク抽出装置２００の動作について説明する。

　図２５は、実施の形態３に係るリスク抽出装置２００の動作を示すフローチャートである。なお、記憶部２０１は、図２５の動作の開始前に予め優先度算出テーブル２３２を記憶しているものとする。ここで、実施の形態１から追加されているステップはＳ４０１とＳ４０２である。ステップＳ１０４を終了すると、次に、入力部２０２は、抽出されたリスク２２８それぞれについて、程度情報２３１の入力を受け付ける（ステップＳ４０１）。次に、優先度算出部２３３は、入力部２０２から程度情報２３１を受け取り、程度情報２３１と優先度算出テーブル２３２を用いてリスク２２８の優先度２３４を算出する（ステップＳ４０２）。最後に、出力部は、抽出部２０５から受け取ったリスク２２８と、優先度算出部２３３から受け取った優先度２３４とを対応付けて出力する（ステップＳ１０５）。

　以上のように、実施の形態３に係るリスク抽出装置２００によれば、入力部２０２は、シナリオ２１６が起こり得る状況に遭遇する頻度２３１ａ、状況に遭遇した際にシナリオ２１６を回避できる可能性２３１ｂ、不安全な状態の重大度２３１ｃ、の少なくともいずれか１つを備える程度情報２３１の入力を受け付け、リスク抽出装置２００は、入力部２０２から程度情報２３１を受け取り、程度情報２３１からリスク２２８の優先度２３４を算出する優先度算出部２３３を備え、出力部２０６は、優先度算出部２３３から優先度２３４を受け取り、優先度２３４をリスク２２８それぞれに対応付けて出力する。これにより、設計者は、優先度２３４の高いリスク２２８について優先して対策を講じることができる。

　実施の形態４．
　実施の形態４では、対象システム１００の開発がモデルベース開発により行われていることを想定し、抽出されたリスク２２８それぞれが、設計者が作成した設計モデルのいずれの箇所と関係している可能性があるかを示す情報を出力情報２３０に追加する。

　図２６は、実施の形態４に係るリスク抽出装置２００を示す図である。実施の形態３と比較して、新たに対象システム構成情報２３５、第三のキーワード情報２３６、検索部２３７、関係性情報２３８が構成要素として増えているが、その他の構成要素については実施の形態３と同一である。なお、他の構成要素については、基本的に実施の形態３と同一である。入力部２０２は、対象システム構成情報２３５の入力を受け付け、検索部２３７へと受け渡す。記憶部２０１は、第三のキーワード情報２３６を予め記憶する。検索部２３７は、対象システム構成情報２３５と第三のキーワード情報２３６から、リスク２２８それぞれに関係する関係性情報２３８を検索し、出力部２０６へと受け渡す（関係性情報２３８については後段で説明する）。出力部２０６は、リスク２２８と関係性情報２３８とを対応付けた情報として出力情報２３０を出力する。

　図２７は、実施の形態４に係る対象システム構成情報２３５を示す図である。対象システム構成情報２３５は、対象システム１００の構成を示す情報である。対象システム構成情報２３５は、設計者によって入力される情報であり、例えばＳＴＡＭＰ（Ｓｙｓｔｅｍｓ－Ｔｈｅｏｒｅｔｉｃ　Ａｃｃｉｄｅｎｔ　Ｍｏｄｅｌ　ａｎｄ　Ｐｒｏｃｅｓｓｅｓ）／ＳＴＰＡ（Ｓｙｓｔｅｍ－Ｔｈｅｏｒｅｔｉｃ　Ｐｒｏｃｅｓｓ　Ａｎａｌｙｓｉｓ）に従って設計者が安全分析を行う過程で設計者により作成される。対象システム構成情報２３５は、機械が扱い易い形式、例えばＸＭＬ（Ｅｘｔｅｎｓｉｂｌｅ　Ｍａｒｋｕｐ　Ｌａｎｇｕａｇｅ）等で作成されると好適である。対象システム構成情報２３５は、対象システム１００が、検知対象１１０、カメラ１２１ａ、レーダ１２１ｂ、ライダ１２１ｃ、ＥＣＵ１２２、駆動系１２３、により構成されることを示しており、またそれらの構成要素間での入出力関係または作用関係を示す情報である関係性情報２３８を含んでいる。

　第三のキーワード情報２３６の内容は、実施の形態２の説明にて示した第一のキーワード情報２１２（図１５）の内容と同一であるものとする。

　図２８は、実施の形態４に係る検索結果を示す図である。図１３では、抽出されたリスク２２８を、シナリオＩＤ２２５と攻撃ＩＤ２１５との対応表で示している。また、抽出されたリスク２２８それぞれに関係する関係性情報２３８を示している。検索部２３７は、抽出されたリスク２２８と、関係性情報２３８との間で、共通するキーワードが存在するかを検索する。例えば、ｓｃｅｎａｒｉｏ０１には、図４にて示したとおり、ブレーキ指示というキーワード２１７が存在する。このキーワード２１７は、図１２に示したとおり、ＥＣＵ１２２と駆動系１２３との間の関係性情報２３８であるブレーキ指示２３９と共通する。よって、図１３に示した検索結果では、ｓｃｅｎａｒｉｏ０１を含むリスク２２８すべてに対して、関係する関係性情報２３８としてブレーキ指示２３９を示している。

　また、検索部２３７は、第三のキーワード情報２３６を用いて、抽出されたリスク２２８と、関係性情報２３８との間で、同一のセンサ１２１の種別と対応付けられたキーワードが存在するかを検索する。例えば、ａｔｔａｃｋ０３には、図４にて示したとおり、「標示」というキーワード２１７が存在する。このキーワード２１７は、図１５に示したとおり、連想される符号２１８の「カメラ１２１ａ」と対応付けられている。他に連想される符号の「カメラ１２１ａ」と対応付けられているキーワード２１７としては、例えば、「カメラ」と、「撮影」とが存在する。これらのキーワード２１７は、図２７に示したとおり、カメラ１２１ａとＥＣＵ１２２との間の関係性情報であるカメラ情報２４０と、検知対象１１０とカメラ１２１ａとの間の関係性情報２３８である撮影結果２４１とが含んでいる。よって、図２８に示した検索結果では、ａｔｔａｃｋ０３を含むリスク２２８に対して、関係する関係性情報としてカメラ情報２４０と撮影結果２４１を示している。

　図２９は、実施の形態４に係る出力情報２３０を示す図である。ここで実施の形態３と比較して新たに追加している列項目として、関係性情報２３８がある。このように、抽出されたリスク２２８と関係している可能性が高い関係性情報２３８を対応付けて出力することで、設計者は対象システム構成情報２３５内のいずれの箇所がリスク２２８と関係しているのかを探すためのヒントとできる。

　次に、リスク抽出装置２００の動作について説明する。

　図３０は、実施の形態４に係るリスク抽出装置２００の動作を示すフローチャートである。実施の形態３と比較して新たに追加されているステップは、ステップＳ５０１とステップＳ５０２である。ステップＳ１０１を終了すると、次に、入力部２０２は、対象システム構成情報２３５の入力を受け付け、ステップＳ１０２へと進む。対象システム構成情報２３５は、対象システムの設計書という意味ではシナリオ２１６と同じであるため、ステップＳ１０１の直前または直後に実施されることが好適である。ステップＳ４０２を終了すると、検索部２３７は、リスク２２８と関係する関係性情報２３８を検索し（ステップＳ１０７）、ステップＳ１０５へと進む。

　次に、検索部２３７の動作（ステップＳ１０７）の詳細について説明する。

　図３１は、実施の形態４に係る検索部２３７の動作を示すフローチャートである。検索部２３７は、まだ選択されていないリスク２２８から１つを選択する（ステップＳ６０１）。次に、選択したリスク２２８に含まれているキーワードを抜き出し、そのキーワードが第三のキーワード情報２３６にていずれの連想する符号と対応付けられているか特定する（ステップＳ６０２）。次に、まだ選択されていない関係性情報２３８から１つを選択する（ステップＳ６０３）。次に、選択した関係性情報２３８に含まれているキーワードを特定し、そのキーワードが第三のキーワード情報２３６にていずれの連想する符号と対応付けられているか特定する（ステップＳ６０４）。次に、選択したリスク２２８と関係性情報２３８との間で、共通するキーワードまたは連想する符号が存在するか判定し（ステップＳ６０５）、存在すると判定された場合には当該リスク２２８と当該関係性情報２３８とが関係していると見做す（ステップＳ６０６）。次に、まだ選択されていない関係性情報２３８が残存しているか判定し（ステップＳ６０７），関係性情報２３８が残存していると判定された場合にはステップＳ６０３へと戻る。関係性情報２３８が残存していないと判定された場合には、まだ選択されていないリスク２２８が残存しているか判定し（ステップＳ６０８）、リスク２２８が残存していると判定された場合にはステップＳ６０１へと戻る。

　以上のように、実施の形態４に係るリスク抽出装置２００によれば、入力部２０２は、対象システム１００の構成を示す情報である対象システム構成情報２３５の入力を受け付け、リスク抽出装置２００は、入力部２０２から対象システム構成情報２３５を受け取り、対象システム構成情報２３５の中から、構成要素間での入出力関係または作用関係を示す情報である関係性情報２３８のうち、リスク２２８と関係する関係性情報２３８を検索する検索部２３７を備え、出力部２０６は、検索部２３７から関係性情報２３８を受け取り、関係性情報２３８をリスク２２８それぞれに対応付けて出力する。これにより、設計者は、対象システム１００のうち、抽出されたリスク２２８と関係している箇所を迅速に特定することができる。　

　１００　対象システム、　１１０　検知対象、　１２０　車両、　１２１　センサ、　１２１ａ　カメラ、　１２１ｂ　レーダ、　１２１ｃ　ライダ、　１２２　ＥＣＵ、　１２３　駆動系、　１２４　検知情報、　１２５　車輪、　１３０　検知領域、　２００　リスク抽出装置、　２０１　記憶部、　２０２　入力部、　２０３　第一の種別付与部、　２０４　第二の種別付与部、　２０５　抽出部、　２０６　出力部、　２０７　演算装置、　２０８　記憶装置、　２０９　入出力装置、　２１０　バス、　２１１　攻撃方法リスト、　２１２　第一のキーワード情報、　２１３　第二のキーワード情報、　２１４　攻撃の内容、　２１５　攻撃ＩＤ、　２１６　シナリオ、　２１７　キーワード、　２１８　連想される符号、　２１９　キーワードＩＤ、　２２０　シナリオの種別、　２２１　キーワード、　２２２　連想される符号、　２２３　キーワードＩＤ、　２２４　攻撃の種別、　２２５　シナリオＩＤ、　２２６　第一の因子情報、　２２７　第二の因子情報、　２２８　リスク、　２２９　抽出結果、　２３０　出力情報、　２３１　程度情報、　２３１ａ　遭遇する頻度、　２３１ｂ　回避できる可能性、　２３１ｃ　不安全な状態の重大度、　２３２　優先度算出テーブル、　２３３　優先度算出部、　２３４　優先度、　２３５　対象システム構成情報、　２３６　第三のキーワード情報、　２３７　検索部、　２３８　関係性情報、　２３９　ブレーキ指示、　２４０　カメラ情報、　２４１　撮影結果

Claims

　制御対象の状態を含むシナリオの入力を受け付ける入力部と、
　攻撃の内容を列挙した情報である攻撃リストを予め記憶する記憶部と、
　前記入力部から前記シナリオを受け取り、前記シナリオに含まれるキーワードに応じたシナリオの種別を前記シナリオに対して付与する第一の種別付与部と、
　前記攻撃の内容に含まれるキーワードに応じた攻撃の種別を前記攻撃の内容に対して付与する第二の種別付与部と、
　前記シナリオの種別と前記攻撃の種別との組合せのうち、予め定めた因果関係に従う組合せをリスクとして抽出する抽出部と、
　前記抽出部が抽出した前記リスクを列挙した情報である出力情報を出力する出力部と、
　を備えるリスク抽出装置。
　前記シナリオの種別は、開始すべき制御を開始できないという第一の符号、または開始すべきでない制御を開始してしまうという第二の符号、のいずれか一方を示し、
　前記攻撃の種別は、実在する検知対象を検知させないという第三の符号、または実在しない検知対象を検知させるという第四の符号、のいずれか一方または両方を示し、
　前記抽出部は、前記シナリオの種別が前記第一の符号を示しかつ前記攻撃の種別が前記第三の符号を示す、または前記シナリオの種別が前記第二の符号を示しかつ前記攻撃の種別が前記第四の符号を示す、のいずれか一方を満たす組合せを、前記予め定めた因果関係に従う組合せであると判定する、
　ことを特徴とする請求項１に記載のリスク抽出装置。
　前記シナリオの種別と前記攻撃の種別は、それぞれセンサの種別を示し、
　前記抽出部は、前記シナリオの種別と前記攻撃の種別とが同一の値である組合せを、前記予め定めた因果関係に従う組合せであると判定する、
　ことを特徴とする請求項１に記載のリスク抽出装置。
　前記シナリオが起こり得る状況に遭遇する頻度、前記状況に遭遇した際に前記シナリオを回避できる可能性、前記状態の重大度、の少なくともいずれか１つを備える程度情報を、前記入力部から受け取り、前記程度情報から前記リスクの優先度を算出する優先度算出部を備え、
　前記入力部は、前記程度情報の入力を受け付け、
　前記出力部は、前記優先度算出部から前記優先度を受け取り、前記優先度を前記リスクそれぞれに対応付けて出力する、
　ことを特徴とする請求項１から請求項３のいずれか１項に記載のリスク抽出装置。
　前記制御対象を備えるシステムである対象システムの構成を示す情報である対象システム構成情報を、前記入力部から受け取り、前記対象システム構成情報の中から、前記構成要素間での入出力関係または作用関係を示す情報である関係性情報のうち、前記リスクと関係する前記関係性情報を検索する検索部を備え、
　前記入力部は、前記対象システム構成情報の入力を受け付け、
　前記出力部は、前記検索部から前記関係性情報を受け取り、前記関係性情報を前記リスクそれぞれに対応付けて出力する、
　ことを特徴とする請求項１から請求項４のいずれか１項に記載のリスク抽出装置。
　入力部と記憶部と第一の種別付与部と第二の種別付与部と出力部とを備えるリスク抽出装置によるリスク抽出方法であり、
　前記入力部が、制御対象の状態を含むシナリオの入力を受け付け、
　前記記憶部が、攻撃の内容を列挙した情報である攻撃リストを予め記憶し、
　前記第一の種別付与部が、前記シナリオに含まれるキーワードに応じたシナリオの種別を前記シナリオに対して付与し、
　前記第二の種別付与部が、前記攻撃の内容に含まれるキーワードに応じた攻撃の種別を前記攻撃の内容に対して付与し、
　前記抽出部が、前記シナリオの種別と前記攻撃の種別との組合せのうち、予め定めた因果関係に従う組合せをリスクとして抽出し、
　前記出力部が、抽出した前記リスクを列挙した情報である出力情報を出力する、
　リスク抽出方法。
　制御対象の状態を含むシナリオの入力を受け付ける入力処理と、
　攻撃の内容を列挙した情報である攻撃リストを予め記憶する記憶処理と、
　前記シナリオに含まれるキーワードに応じたシナリオの種別を前記シナリオに対して付与することで第一の因子情報とする第一の種別付与処理と、
　前記攻撃の内容に含まれるキーワードに応じた攻撃の種別を前記攻撃の内容に対して付与することで第二の因子情報とする第二の種別付与処理と、
　前記第一の因子情報と前記第二の因子情報との組合せのうち、前記シナリオの種別と前記攻撃の種別とが予め定めた因果関係に従う組合せをリスクとして抽出する抽出処理と、
　前記抽出部が抽出した前記リスクを列挙した情報である出力情報を出力する出力処理と、
　をコンピュータに実行させるためのリスク抽出プログラム。