Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7078562B2 - Computer system, analysis method of impact of incident on business system, and analysis equipment - Google Patents
[go: Go Back, main page]

JP7078562B2 - Computer system, analysis method of impact of incident on business system, and analysis equipment - Google Patents

Computer system, analysis method of impact of incident on business system, and analysis equipment Download PDF

Info

Publication number
JP7078562B2
JP7078562B2 JP2019020335A JP2019020335A JP7078562B2 JP 7078562 B2 JP7078562 B2 JP 7078562B2 JP 2019020335 A JP2019020335 A JP 2019020335A JP 2019020335 A JP2019020335 A JP 2019020335A JP 7078562 B2 JP7078562 B2 JP 7078562B2
Authority
JP
Japan
Prior art keywords
business system
incident
evaluation
business
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019020335A
Other languages
Japanese (ja)
Other versions
JP2020129166A (en
Inventor
倫宏 重本
哲郎 鬼頭
翔太 藤井
康広 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019020335A priority Critical patent/JP7078562B2/en
Publication of JP2020129166A publication Critical patent/JP2020129166A/en
Application granted granted Critical
Publication of JP7078562B2 publication Critical patent/JP7078562B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、インシデントが業務システムに与える影響を防止するためのセキュリティ対策を立案する技術に関する。 The present invention relates to a technique for formulating security measures for preventing an incident from affecting a business system.

近年、民間企業、防衛関連企業、及び公的機関等を狙ったサイバ攻撃が顕在化しており、個人、企業、及び国家の利益及び安全性を損なうリスクが高まっている。また、攻撃手法の巧妙化しており、高度なマルウェアを巧みに活用して特定の官庁、企業、及び組織のネットワークに侵入し、機密情報の窃取及びシステム破壊を行う標的型攻撃は、セキュリティ上の大きな脅威となっている。このような背景から、迅速な脅威の解析と、解析結果に基づく対策の立案が重要となる。 In recent years, cyber attacks targeting private companies, defense-related companies, public institutions, etc. have become apparent, and the risk of damaging the interests and security of individuals, companies, and the nation is increasing. In addition, the attack methods are becoming more sophisticated, and targeted attacks that infiltrate the networks of specific government offices, companies, and organizations by skillfully utilizing advanced malware to steal confidential information and destroy systems are security-related. It is a big threat. Against this background, it is important to quickly analyze threats and formulate countermeasures based on the analysis results.

例えば、特許文献1には、FW(FireWall)からマルウェア候補サンプルを受信し、マルウェア候補サンプルがマルウェアであるか否かを判定するために仮想マシンを用いてマルウェア候補サンプルを解析し、マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャを自動的に生成するシステムが開示されている。 For example, in Patent Document 1, a malware candidate sample is received from a FW (FireWall), a malware candidate sample is analyzed using a virtual machine to determine whether or not the malware candidate sample is malware, and the malware candidate sample is analyzed. A system has been disclosed that automatically generates a signature when it is determined to be malware.

特表2014-519113号公報Japanese Patent Publication No. 2014-511113

特許文献1の技術を用いることによって、一般的なウィルス対策ソフトでは防ぐことができない未知のマルウェアによる攻撃を防ぐことができる。 By using the technique of Patent Document 1, it is possible to prevent attacks by unknown malware that cannot be prevented by general antivirus software.

しかし、特許文献1の技術は、複数の業務システムへの影響を評価する技術ではない。そのため、他の業務システム(例えば、ある企業が運用する業務システム)で発生したインシデントに関する情報を活用して、当該インシデントが評価対象の業務システム(例えば、自社が運用する業務システム)に与える影響の有無を判定し、当該影響を防止するための対策を立案することができない。例えば、他の業務システムで検出されたマルウェアが評価対象の業務システムに影響を与えないにもかかわらずシグネチャが生成され、生成されたシグネチャが業務システムに悪影響を与えてしまう可能性がある。 However, the technique of Patent Document 1 is not a technique for evaluating the influence on a plurality of business systems. Therefore, by utilizing the information about the incident that occurred in another business system (for example, the business system operated by a certain company), the influence of the incident on the business system to be evaluated (for example, the business system operated by the company). It is not possible to determine the presence or absence and formulate measures to prevent the impact. For example, malware detected in another business system may generate a signature even though it does not affect the business system to be evaluated, and the generated signature may adversely affect the business system.

本発明は、他の業務システムで発生したインシデントに関する情報を活用して、当該インシデントが評価対象の業務システムへ与える影響を分析することを目的とする。 An object of the present invention is to analyze the impact of an incident on a business system to be evaluated by utilizing information on an incident that has occurred in another business system.

本発明の代表的な一例は、以下の通りである。すなわち、複数の計算機を備える計算機システムであって、前記複数の計算機の各々は、プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有し、前記計算機システムは、業務を実行する複数の業務システムと接続し、前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を管理し、第1の業務システムにおいて発生したインシデントに関する情報、前記第1の業務システムにおける影響の検出方法に関する情報、及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含むインシデントデータを取得する第1の処理と前記業務システム管理情報に基づいて、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する第2の処理と、前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第3の処理と、前記分析の結果を出力する第4の処理と、を実行し、前記第3の処理では、前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定する処理と、前記評価業務システムの判定基準を満たすと判定された場合、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用する処理と、前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する処理と、が実行されるA typical example of the present invention is as follows. That is, it is a computer system including a plurality of computers, and each of the plurality of computers has a processor, a storage device connected to the processor, and an interface connected to the processor, and the computer system is a business. The business system management information that defines the judgment criteria for determining the configuration of each of the plurality of business systems and the presence or absence of influence is managed by connecting to a plurality of business systems that execute A first process for acquiring incident data including information on an incident, information on a method for detecting an impact on the first business system, and information on measures taken to eliminate the impact on the first business system. A second process for constructing an evaluation business system that is a business system connected to the computer system based on the business system management information and that simulates a business system different from the first business system, and the above. Based on the incident data, the incident that occurred in the first business system is reproduced on the evaluation business system, the third process for analyzing the influence of the incident on the evaluation business system, and the result of the analysis are output. In the third process, it is determined whether or not the determination criteria of the evaluation business system are satisfied based on the method of detecting the influence in the first business system. When it is determined that the determination criteria of the evaluation business system are satisfied, it is determined that the incident generated in the first business system has an influence on the evaluation business system, and the evaluation business system is described as described above. The process of applying the measures corresponding to the measures taken to eliminate the impact on the first business system and the incident that occurred in the first business system on the evaluation business system to which the measures are applied are reproduced. , The process of analyzing the influence of the evaluation business system on the incident is executed .

本発明の一形態によれば、他の業務システムで発生したインシデントに関する情報を活用して、インシデントが評価対象の業務システムへ与える影響を分析できる。上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。 According to one embodiment of the present invention, it is possible to analyze the influence of an incident on the business system to be evaluated by utilizing the information on the incident generated in another business system. Issues, configurations and effects other than those mentioned above will be clarified by the description of the following examples.

実施例1に係る計算機システムの構成例を示す図である。It is a figure which shows the configuration example of the computer system which concerns on Example 1. FIG. 実施例1のインシデントデータ管理情報のデータ構造の一例を示す図である。It is a figure which shows an example of the data structure of the incident data management information of Example 1. FIG. 実施例1の業務システム管理情報のデータ構造の一例を示す図である。It is a figure which shows an example of the data structure of the business system management information of Example 1. FIG. 実施例1のインシデント再現結果管理情報のデータ構造の一例を示す図である。It is a figure which shows an example of the data structure of the incident reproduction result management information of Example 1. FIG. 実施例1のインシデント再現装置が実行する処理の一例を説明するフローチャートである。It is a flowchart explaining an example of the process executed by the incident reproduction apparatus of Example 1. FIG. 実施例1のインシデント再現装置が実行するインシデント再現処理の一例を説明するフローチャートである。It is a flowchart explaining an example of the incident reproduction processing executed by the incident reproduction apparatus of Example 1. FIG. 実施例1のインシデント再現結果を表示する表示画面の一例を示す図である。It is a figure which shows an example of the display screen which displays the incident reproduction result of Example 1. FIG. 実施例2のインシデント再現装置の構成例を示す図である。It is a figure which shows the configuration example of the incident reproduction apparatus of Example 2. 実施例2の攻撃手法管理情報のデータ構造の一例を示す図である。It is a figure which shows an example of the data structure of the attack method management information of Example 2. 実施例2のインシデント再現装置が実行する処理の一例を説明するフローチャートである。It is a flowchart explaining an example of the process executed by the incident reproduction apparatus of Example 2. FIG. 実施例2のインシデント再現装置が実行するインシデント再現処理の一例を説明するフローチャートである。It is a flowchart explaining an example of the incident reproduction processing executed by the incident reproduction apparatus of Example 2. FIG.

まず、実発明の概要について説明する。 First, the outline of the actual invention will be described.

本明細書では、業務システムを運用する個人、企業、及び国等を区別しない場合、組織と記載する。 In this specification, when an individual, a company, a country, etc. that operates a business system is not distinguished, it is described as an organization.

インシデント(セキュリティインシデント)が発生した業務システムを運用する組織では、組織の中に存在するSOC(Security Operation Center)及びCSIRT(Computer Security Incident Response Team)等でインシデントの原因である脅威の特定、脅威の検出方法の確立、脅威への対策が行われる。 In an organization that operates a business system in which an incident (security incident) has occurred, the threat that is the cause of the incident is identified and threats are identified by SOC (Security Operation Center) and CSIRT (Computer Security Incident Response Team) that exist in the organization. Detection methods will be established and countermeasures against threats will be taken.

本発明では、インシデント再現装置110(図1を参照)が、ある組織で特定された脅威、脅威の検出方法、及び脅威による影響を解消するために行われた対処に関する情報を含むインシデントデータを取得し、評価対象の組織が運用する業務システム上でインシデントを再現する。インシデント再現装置110は、当該インシデントによる業務システムへの影響がある場合、当該影響を防止するための対策を立案する。 In the present invention, the incident reproduction device 110 (see FIG. 1) acquires incident data including information on threats identified in an organization, threat detection methods, and actions taken to eliminate the effects of the threats. Then, the incident is reproduced on the business system operated by the organization to be evaluated. When the incident reproduction device 110 has an influence on the business system due to the incident, the incident reproduction device 110 devises a measure for preventing the influence.

以上のような処理が実行されることによって、ある業務システムで発生したインシデントが評価対象の業務システムに与える影響を防止する対策を立案することができる。これによって、複数の業務システムにおいて同様のインシデントの発生を予防することが可能となる。 By executing the above processing, it is possible to formulate measures to prevent the impact of an incident occurring in a certain business system on the business system to be evaluated. This makes it possible to prevent the occurrence of similar incidents in a plurality of business systems.

以下、本発明の実施例を、図面を用いて説明する。ただし、本発明は以下に示す実施例の記載内容に限定して解釈されるものではない。本発明の思想ないし趣旨から逸脱しない範囲で、その具体的構成を変更し得ることは当業者であれば容易に理解される。 Hereinafter, examples of the present invention will be described with reference to the drawings. However, the present invention is not limited to the description of the examples shown below. It is easily understood by those skilled in the art that a specific configuration thereof can be changed without departing from the idea or purpose of the present invention.

以下に説明する発明の構成において、同一又は類似する構成又は機能には同一の符号を付し、重複する説明は省略する。 In the configuration of the invention described below, the same or similar configurations or functions are designated by the same reference numerals, and duplicate description will be omitted.

本明細書等における「第1」、「第2」、「第3」等の表記は、構成要素を識別するために付するものであり、必ずしも、数又は順序を限定するものではない。 The notations such as "first", "second", and "third" in the present specification and the like are attached to identify the components, and are not necessarily limited in number or order.

図面等において示す各構成の位置、大きさ、形状、及び範囲等は、発明の理解を容易にするため、実際の位置、大きさ、形状、及び範囲等を表していない場合がある。したがって、本発明では、図面等に開示された位置、大きさ、形状、及び範囲等に限定されない。 The position, size, shape, range, etc. of each configuration shown in the drawings and the like may not represent the actual position, size, shape, range, etc., in order to facilitate understanding of the invention. Therefore, the present invention is not limited to the position, size, shape, range, etc. disclosed in the drawings and the like.

図1は、実施例1に係る計算機システムの構成例を示す図である。 FIG. 1 is a diagram showing a configuration example of a computer system according to the first embodiment.

計算機システムは、異なる組織が運用するシステム100から構成される。図1では、組織A、B、C、Dが運用するシステム100A、100B、100C、100Dから構成される。なお、本発明は計算機システムを構成するシステム100の数に限定されない。 The computer system is composed of systems 100 operated by different organizations. In FIG. 1, it is composed of systems 100A, 100B, 100C, and 100D operated by organizations A, B, C, and D. The present invention is not limited to the number of systems 100 constituting the computer system.

各システム100A、100B、100C、100Dは、ネットワーク101を介して互いに接続される。ネットワーク101は、例えば、WAN(Wide Area Network)等である。ネットワーク101の接続方式は有線及び無線のいずれでもよい。 The systems 100A, 100B, 100C and 100D are connected to each other via the network 101. The network 101 is, for example, a WAN (Wide Area Network) or the like. The connection method of the network 101 may be either wired or wireless.

システム100Aは、インシデント再現装置110、評価環境140、及び本番環境150から構成される。なお、一つのシステム100にのみインシデント再現装置110が存在する構成でもよい。 The system 100A includes an incident reproduction device 110, an evaluation environment 140, and a production environment 150. The incident reproduction device 110 may be present in only one system 100.

本番環境150は、実際に業務を行う業務システム(図示省略)を構築するための環境である。例えば、ファイルサーバ、WEBサーバ、DNS(Domain Name System)サーバ等が業務システムとして挙げられる。本番環境150には、複数の計算機及びネットワーク装置、並びに、各種ソフトウェアが含まれる。 The production environment 150 is an environment for constructing a business system (not shown) that actually performs business. For example, a file server, a WEB server, a DNS (Domain Name System) server, and the like can be mentioned as business systems. The production environment 150 includes a plurality of computers and network devices, as well as various software.

評価環境140は、インシデントの影響を分析する業務システムを模擬する評価業務システム141を構築するための環境である。図1の評価環境140には、評価業務システムA141A、評価業務システムB141B、評価業務システムC141Cが構築される。各評価業務システム141は、ネットワーク142を介してインシデント再現装置110と接続する。ネットワーク142は、例えば、LAN(Local Area Network)等である。ネットワーク142の接続方式は有線及び無線のいずれでもよい。 The evaluation environment 140 is an environment for constructing an evaluation business system 141 that simulates a business system that analyzes the impact of an incident. In the evaluation environment 140 of FIG. 1, an evaluation business system A141A, an evaluation business system B141B, and an evaluation business system C141C are constructed. Each evaluation business system 141 is connected to the incident reproduction device 110 via the network 142. The network 142 is, for example, a LAN (Local Area Network) or the like. The connection method of the network 142 may be either wired or wireless.

実施例1では、自システム100A内で稼働する業務システムを模擬した評価業務システム141が評価環境140に構築される。なお、他のシステム100B、100C、100Dで稼働する業務システムを模擬した評価業務システム141が構築されてよい。 In the first embodiment, the evaluation business system 141 simulating the business system operating in the own system 100A is constructed in the evaluation environment 140. An evaluation business system 141 simulating a business system operating on other systems 100B, 100C, and 100D may be constructed.

インシデント再現装置110は、評価環境140に評価業務システム141を構築し、評価業務システム141上でインシデントを再現し、当該インシデントによる評価業務システム141への影響を分析する。 The incident reproduction device 110 constructs the evaluation business system 141 in the evaluation environment 140, reproduces the incident on the evaluation business system 141, and analyzes the influence of the incident on the evaluation business system 141.

インシデント再現装置110は、CPU(Central Processing Unit)113、メインメモリ114、記憶装置115、インタフェース112、及び入出力装置116を有する計算機である。各ハードウェアは通信路117を介して互いに接続される。通信路117は、例えば、バス及びケーブル等の情報伝達媒体である。 The incident reproduction device 110 is a computer having a CPU (Central Processing Unit) 113, a main memory 114, a storage device 115, an interface 112, and an input / output device 116. The hardware is connected to each other via the communication path 117. The communication path 117 is an information transmission medium such as a bus and a cable.

CPU113は、メインメモリ114に格納されたプログラムを実行する。CPU113がプログラムにしたがって処理を実行することによって、特定の機能を実現する機能部(モジュール)として動作する。 The CPU 113 executes a program stored in the main memory 114. When the CPU 113 executes processing according to a program, it operates as a functional unit (module) that realizes a specific function.

メインメモリ114は、CPU113が実行するプログラム及び当該プログラムの実行時に使用するデータを格納する。また、メインメモリ114は、プログラムが一時的に使用するワークエリアを含む。メインメモリ114に格納されるプログラムの詳細は後述する。 The main memory 114 stores a program executed by the CPU 113 and data used when the program is executed. Further, the main memory 114 includes a work area temporarily used by the program. Details of the program stored in the main memory 114 will be described later.

記憶装置115は大量のデータを永続的に格納する。記憶装置115は、例えば、HDD(Hard Disk Drive)及びフラッシュメモリ等である。記憶装置115に格納されるデータの詳細は後述する。 The storage device 115 permanently stores a large amount of data. The storage device 115 is, for example, an HDD (Hard Disk Drive), a flash memory, or the like. Details of the data stored in the storage device 115 will be described later.

インタフェース112は、他の装置と通信するためのインタフェースである。インタフェース112は、例えば、NIC(Network Interface Card)である。図1では、インシデント再現装置110は、インタフェース112Aを介して他のシステム100B、100C、100Dと通信し、また、インタフェース112Bを介して、評価環境140及び本番環境150と通信する。 The interface 112 is an interface for communicating with other devices. The interface 112 is, for example, a NIC (Network Interface Card). In FIG. 1, the incident reproduction device 110 communicates with other systems 100B, 100C, 100D via the interface 112A, and communicates with the evaluation environment 140 and the production environment 150 via the interface 112B.

入出力装置116は、インシデント再現装置110にデータを入力し、インシデント再現装置110からデータを出力するための装置である。入出力装置116は、例えば、キーボード、マウス、タッチパネル、及びディスプレイ等から構成される。 The input / output device 116 is a device for inputting data to the incident reproduction device 110 and outputting the data from the incident reproduction device 110. The input / output device 116 is composed of, for example, a keyboard, a mouse, a touch panel, a display, and the like.

ここで、メインメモリ114に格納されるプログラムについて説明する。メインメモリ114は、インシデントデータ受信プログラム121、業務システム構築プログラム122、インシデント再現プログラム123、影響分析プログラム124、対策適用プログラム125、及び提示プログラム126を格納する。 Here, a program stored in the main memory 114 will be described. The main memory 114 stores an incident data reception program 121, a business system construction program 122, an incident reproduction program 123, an impact analysis program 124, a countermeasure application program 125, and a presentation program 126.

メインメモリ114に格納されるプログラムは、記憶装置115に格納されていてもよいし、外部の装置に格納されてもよい。記憶装置115にプログラムが格納されている場合、CPU113は、記憶装置115からプログラムを読み出し、メインメモリ114にロードする。外部の装置にプログラムが格納されている場合、CPU113は、入出力装置116又はインタフェース112を介して外部装置からプログラムを取得し、メインメモリ114にインストール(ロード)する。 The program stored in the main memory 114 may be stored in the storage device 115 or may be stored in an external device. When the program is stored in the storage device 115, the CPU 113 reads the program from the storage device 115 and loads it into the main memory 114. When the program is stored in the external device, the CPU 113 acquires the program from the external device via the input / output device 116 or the interface 112, and installs (loads) the program in the main memory 114.

インシデントデータ受信プログラム121は、他組織のシステム100上で稼働する業務システムで発生したインシデントに関連する情報を含むインシデントデータを受信するために実行されるプログラムである。 The incident data receiving program 121 is a program executed to receive incident data including information related to an incident generated in a business system operating on a system 100 of another organization.

業務システム構築プログラム122は、評価環境140に評価業務システム141を構築するために実行されるプログラムである。 The business system construction program 122 is a program executed for constructing the evaluation business system 141 in the evaluation environment 140.

インシデント再現プログラム123は、評価業務システム141上でインシデントを再現するために実行されるプログラムである。 The incident reproduction program 123 is a program executed to reproduce an incident on the evaluation business system 141.

影響分析プログラム124は、再現されたインシデントによる評価業務システム141への影響を分析するために実行されるプログラムである。 The impact analysis program 124 is a program executed to analyze the impact of the reproduced incident on the evaluation business system 141.

対策適用プログラム125は、評価業務システム141に対策を適用するために実行されるプログラムである。 The countermeasure application program 125 is a program executed to apply countermeasures to the evaluation business system 141.

提示プログラム126は、ユーザに分析の結果をインシデント再現結果として提示するために実行されるプログラムである。例えば、提示プログラム126が実行されることによって、情報の可視化(画面の表示)又は音声の再生等が行われる。 The presentation program 126 is a program executed to present the analysis result to the user as an incident reproduction result. For example, by executing the presentation program 126, information visualization (screen display), audio reproduction, and the like are performed.

なお、メインメモリ114に格納されるプログラムは、複数のプログラムを一つのプログラムにまとめてもよいし、一つのプログラムを複数のプログラムに分けてもよい。例えば、インシデント再現プログラム123及び影響分析プログラム124を一つのプログラムにしてよい。 As the program stored in the main memory 114, a plurality of programs may be combined into one program, or one program may be divided into a plurality of programs. For example, the incident reproduction program 123 and the impact analysis program 124 may be combined into one program.

次に、記憶装置115に格納されるデータについて説明する。記憶装置115は、インシデントデータ管理情報131、業務システム管理情報132、及びインシデント再現結果管理情報133を格納する。 Next, the data stored in the storage device 115 will be described. The storage device 115 stores the incident data management information 131, the business system management information 132, and the incident reproduction result management information 133.

インシデントデータ管理情報131は、インシデントデータを管理するための情報である。インシデントデータ管理情報131のデータ構造の詳細は図2を用いて説明する。 The incident data management information 131 is information for managing incident data. The details of the data structure of the incident data management information 131 will be described with reference to FIG.

業務システム管理情報132は、業務システムの構成及び影響の確認方法等を管理するための情報である。業務システム管理情報132のデータ構造の詳細は図3を用いて説明する。 The business system management information 132 is information for managing the configuration of the business system, the method of confirming the influence, and the like. The details of the data structure of the business system management information 132 will be described with reference to FIG.

インシデント再現結果管理情報133は、インシデント再現結果を管理するための情報である。インシデント再現結果管理情報133のデータ構造の詳細は図4を用いて説明する。 The incident reproduction result management information 133 is information for managing the incident reproduction result. The details of the data structure of the incident reproduction result management information 133 will be described with reference to FIG.

図2は、実施例1のインシデントデータ管理情報131のデータ構造の一例を示す図である。 FIG. 2 is a diagram showing an example of the data structure of the incident data management information 131 of the first embodiment.

インシデントデータ管理情報131は、ID201、日時202、組織203、脅威204、検出方法205、及び対処手段206から構成されるエントリを格納する。一つのエントリが一つのインシデントデータに対応する。 Incident data management information 131 stores an entry composed of ID 201, date and time 202, organization 203, threat 204, detection method 205, and countermeasure 206. One entry corresponds to one incident data.

ID201は、インシデントデータ(エントリ)を一意に識別するための識別情報を格納するフィールドである。 ID201 is a field for storing identification information for uniquely identifying incident data (entry).

日時202は、インシデントが発生した日時を格納するフィールドである。各システム100が管理する時刻は同期が行われているものとする。 The date and time 202 is a field for storing the date and time when the incident occurred. It is assumed that the times managed by each system 100 are synchronized.

組織203は、インシデントが発生したシステム100、すなわち、インシデントデータの送信元の組織を識別するための識別情報を格納するフィールドである。 The organization 203 is a field for storing identification information for identifying the system 100 in which the incident occurred, that is, the organization from which the incident data is transmitted.

脅威204は、インシデントの原因である脅威を示す情報を格納するフィールドである。本明細書では、業務システムに対する攻撃を行う主体(プログラム)及び業務システムに対する攻撃の契機となる行為を「脅威」と定義する。 Threat 204 is a field that stores information indicating the threat that is the cause of the incident. In this specification, the entity (program) that attacks the business system and the act that triggers the attack on the business system are defined as "threat".

検出方法205は、脅威を検出する方法を格納するフィールドである。複数の検出方法が存在する場合、検出方法205には複数の検出方法が格納される。また、検出方法が不明の場合、検出方法205は空欄となる。 The detection method 205 is a field that stores a method for detecting a threat. When a plurality of detection methods exist, the detection method 205 stores the plurality of detection methods. If the detection method is unknown, the detection method 205 is left blank.

対処手段206は、検出された脅威に対して行われた処理及び行動等の対処に関する情報を格納するフィールドである。インシデントに対して複数の対処が行われた場合、対処手段206には複数の対処を示す情報が格納される。また、対処が不明の場合、対処手段206は空欄となる。 The countermeasure 206 is a field for storing information regarding the countermeasures such as the actions and actions taken for the detected threat. When a plurality of actions are taken for an incident, the action means 206 stores information indicating the plurality of actions. If the countermeasure is unknown, the countermeasure 206 is blank.

ID201が「1」に対応するインシデントデータは、組織B(システム100B)において、2018/1/1の00:00:00に、マルウェアAが脅威として検出されたこと、マルウェアAの感染により、サイトAへの通信及びa.exeの生成が観測されたこと、サイトAへの通信の遮断及びパッチAの適用が対処として行われたことを表す。 The incident data corresponding to ID 201 "1" is the site of the organization B (system 100B) due to the fact that malware A was detected as a threat at 00:00 on 1/1/2018 and the infection of malware A. Communication to A and a. It indicates that the generation of the exe was observed, the communication to the site A was blocked, and the patch A was applied as a countermeasure.

ID201が「4」に対応するインシデントデータは、組織D(システム100D)において、2018/1/1の00:00:30に、マルウェアCが脅威として特定されたこと、検出方法及び対処が不明であることを表す。 The incident data corresponding to ID 201 "4" is that the malware C was identified as a threat at 00:00:30 on 1/1/2018 in the organization D (system 100D), and the detection method and countermeasures are unknown. Indicates that there is.

なお、インシデントデータは、説明の都合上、実際に組織(システム100)で発生したインシデントに関連する情報を含むものと説明しているが、必ずしもインシデントが発生している必要はない。インシデントデータ管理情報131には、既知の脅威に関する情報を含むインシデントデータが格納されてもよい。 For convenience of explanation, the incident data is described as including information related to the incident that actually occurred in the organization (system 100), but the incident does not necessarily have to occur. Incident data management information 131 may store incident data containing information about known threats.

インシデントデータ管理情報131は、インシデントデータ受信プログラム121を実行するCPU113によって生成される。また、インシデントデータ管理情報131は、業務システム上でのインシデントの再現、インシデントが業務システムへ与える影響の分析、及び業務システムへの対策の適用を行う場合、並びに、インシデント再現結果を提示する場合に用いられる。 The incident data management information 131 is generated by the CPU 113 that executes the incident data receiving program 121. In addition, the incident data management information 131 is used when reproducing an incident on a business system, analyzing the impact of an incident on a business system, applying countermeasures to the business system, and presenting an incident reproduction result. Used.

図3は、実施例1の業務システム管理情報132のデータ構造の一例を示す図である。 FIG. 3 is a diagram showing an example of the data structure of the business system management information 132 of the first embodiment.

業務システム管理情報132は、ID301、システム名302、OS303、アプリケーション304、及び判定基準305から構成されるエントリを格納する。一つのエントリが一つの業務システムに対応する。 The business system management information 132 stores an entry composed of an ID 301, a system name 302, an OS 303, an application 304, and a determination criterion 305. One entry corresponds to one business system.

ID301は、業務システム(エントリ)を一意に識別するための識別情報を格納するフィールドである。 ID301 is a field for storing identification information for uniquely identifying a business system (entry).

システム名302は、業務システムの名前を格納するフィールドである。OS303は、業務システムで用いられるOS(Operating System)を示す情報を格納するフィールドである。アプリケーション304は、業務システムで用いられるアプリケーションを示す情報を格納するフィールドである。 The system name 302 is a field for storing the name of the business system. The OS 303 is a field for storing information indicating an OS (Operating System) used in a business system. The application 304 is a field for storing information indicating an application used in a business system.

判定基準305は、インシデントによる業務システムへの影響の有無を判定するための基準に関する情報を格納するフィールドである。判定基準305には、複数の判定基準を示す情報が格納されてもよい。この場合、インシデント再現装置110は、いずれかの判定基準を満たす場合、インシデントによる業務システムへの影響があると判定する。 The determination criterion 305 is a field for storing information regarding the criterion for determining whether or not the incident has an influence on the business system. Information indicating a plurality of determination criteria may be stored in the determination criterion 305. In this case, the incident reproduction device 110 determines that the incident has an influence on the business system if any of the determination criteria is satisfied.

ID301が「1」に対応する業務システムは、OSAを利用すること、OSA上で業務アプリケーションA及びデータベースAがインストールされること、業務アプリケーションAの停止、データの改ざん、又はマルウェアの感染が判定基準として設定されていることを表す。 The judgment criteria for the business system whose ID 301 corresponds to "1" are that OSA is used, business application A and database A are installed on OSA, business application A is stopped, data is falsified, or malware infection is performed. Indicates that it is set as.

業務システム管理情報132は、予め設定されているものとする。ただし、計算機システムの管理者等が必要に応じて、エントリの追加、削除、及び更新を行ってもよい。業務システム管理情報132は、評価環境140に評価業務システム141を構築する場合に用いられる。 It is assumed that the business system management information 132 is set in advance. However, the administrator of the computer system or the like may add, delete, and update entries as necessary. The business system management information 132 is used when the evaluation business system 141 is constructed in the evaluation environment 140.

図4は、実施例1のインシデント再現結果管理情報133のデータ構造の一例を示す図である。 FIG. 4 is a diagram showing an example of the data structure of the incident reproduction result management information 133 of the first embodiment.

インシデント再現結果管理情報133は、ID401、インシデントID402、業務システムID403、影響404、対策405、及び適用後影響406から構成されるエントリを格納する。一つのエントリが一つのインシデント再現結果に対応する。 The incident reproduction result management information 133 stores an entry composed of ID 401, incident ID 402, business system ID 403, impact 404, countermeasure 405, and post-application impact 406. One entry corresponds to one incident reproduction result.

ID401は、インシデント再現結果を一意に識別するための識別情報を格納するフィールドである。 ID 401 is a field for storing identification information for uniquely identifying the incident reproduction result.

インシデントID402は、再現したインシデントの識別情報を格納するフィールドである。インシデントID402はID201に対応する。 The incident ID 402 is a field for storing the identification information of the reproduced incident. Incident ID 402 corresponds to ID 201.

業務システムID403は、インシデントの再現が行われた評価業務システム141の識別情報を格納するフィールドである。業務システムID403はID301に対応する。 The business system ID 403 is a field for storing the identification information of the evaluation business system 141 in which the incident has been reproduced. The business system ID 403 corresponds to the ID 301.

影響404は、再現されたインシデントによる評価業務システム141への影響の有無を示す情報を格納する。影響404には「あり」又は「なし」のいずれかが格納される。「あり」は影響があることを示し、「なし」は影響がないことを示す。 Impact 404 stores information indicating whether or not the reproduced incident has an impact on the evaluation business system 141. The effect 404 stores either "yes" or "no". "Yes" indicates that there is an effect, and "None" indicates that there is no effect.

対策405は、業務システムに対して適用した対策を示す情報を格納する。 The countermeasure 405 stores information indicating the countermeasure applied to the business system.

適用後影響406は、再現されたインシデントによる、対策が適用された後の業務システムへの影響の有無を示す情報を格納する。適用後影響406には「あり」又は「なし」のいずれかが格納される。 Post-application impact 406 stores information indicating whether or not the reproduced incident has an impact on the business system after the countermeasure is applied. Post-application impact 406 stores either "yes" or "no".

ID401が「1」に対応するインシデント再現結果は、業務システムAがID201が「1」のインシデントによる影響を受けること、また、「サイトA遮断」の対策を適用した業務システムAも当該インシデントの影響を受けることを表す。 The incident reproduction result in which ID 401 corresponds to "1" is that the business system A is affected by the incident whose ID 201 is "1", and the business system A to which the measures of "site A blocking" are applied is also affected by the incident. Represents receiving.

インシデント再現結果管理情報133は、影響分析プログラム124を実行するCPU113によって生成される。インシデント再現結果管理情報133は、インシデント再現結果を提示する場合に用いられる。 The incident reproduction result management information 133 is generated by the CPU 113 that executes the impact analysis program 124. The incident reproduction result management information 133 is used when presenting the incident reproduction result.

次に、インシデント再現装置110が実行する処理の詳細について説明する。 Next, the details of the processing executed by the incident reproduction device 110 will be described.

図5は、実施例1のインシデント再現装置110が実行する処理の一例を説明するフローチャートである。 FIG. 5 is a flowchart illustrating an example of processing executed by the incident reproduction device 110 of the first embodiment.

インシデント再現装置110は、インタフェース112Aを介して、任意のシステム100からインシデントデータを受信した場合(ステップS501)、当該インシデントデータに対応するインシデントが未知の脅威に起因するインシデントであるか否かを判定する(ステップS502)。 When the incident reproduction device 110 receives incident data from an arbitrary system 100 via the interface 112A (step S501), the incident reproduction device 110 determines whether or not the incident corresponding to the incident data is an incident caused by an unknown threat. (Step S502).

具体的には、インシデントデータ受信プログラム121を実行するCPU113は、受信したインシデントから脅威に関する情報を取得する。CPU113は、インシデントデータ管理情報131を参照し、脅威204が取得した脅威に関する情報と一致するエントリが存在するか否かを判定する。前述の条件を満たすエントリが存在しない場合、CPU113は、受信したインシデントデータに対応するインシデントが未知の脅威に起因するインシデントであると判定する。 Specifically, the CPU 113 that executes the incident data receiving program 121 acquires information about the threat from the received incident. The CPU 113 refers to the incident data management information 131, and determines whether or not there is an entry that matches the information about the threat acquired by the threat 204. If there is no entry satisfying the above conditions, the CPU 113 determines that the incident corresponding to the received incident data is an incident caused by an unknown threat.

受信したインシデントデータに対応するインシデントが未知の脅威に起因するインシデントでないと判定された場合、インシデント再現装置110は処理を終了する。この場合、インシデントデータ受信プログラム121を実行するCPU113は、受信したインシデントデータをインシデントデータ管理情報131に登録せずに、処理を終了する。 If it is determined that the incident corresponding to the received incident data is not an incident caused by an unknown threat, the incident reproduction device 110 ends the process. In this case, the CPU 113 that executes the incident data receiving program 121 ends the process without registering the received incident data in the incident data management information 131.

受信したインシデントデータに対応するインシデントが未知の脅威に起因するインシデントであると判定された場合、インシデント再現装置110は業務システムのループ処理を開始する(ステップS503)。 When it is determined that the incident corresponding to the received incident data is an incident caused by an unknown threat, the incident reproduction device 110 starts the loop processing of the business system (step S503).

具体的には、インシデントデータ受信プログラム121を実行するCPU113は、インシデントデータ管理情報131に受信したインシデントデータを登録し、業務システム構築プログラム122を起動する。業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132に格納されるエントリから一つのエントリを選択する。以下では、選択されたエントリに対応する業務システムをターゲット業務システムと記載する。 Specifically, the CPU 113 that executes the incident data receiving program 121 registers the received incident data in the incident data management information 131, and starts the business system construction program 122. The CPU 113 that executes the business system construction program 122 selects one entry from the entries stored in the business system management information 132. In the following, the business system corresponding to the selected entry is described as the target business system.

次に、インシデント再現装置110は、評価環境140に、ターゲット業務システムに対応する評価業務システム141を構築する(ステップS504)。 Next, the incident reproduction device 110 constructs the evaluation business system 141 corresponding to the target business system in the evaluation environment 140 (step S504).

具体的には、業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132から選択されたエントリのOS303及びアプリケーション304に基づいて、評価環境140に評価業務システム141を構築する。その後、CPU113は、インシデント再現プログラム123を起動する。 Specifically, the CPU 113 that executes the business system construction program 122 constructs the evaluation business system 141 in the evaluation environment 140 based on the OS 303 and the application 304 of the entries selected from the business system management information 132. After that, the CPU 113 starts the incident reproduction program 123.

次に、インシデント再現装置110は、構築された評価業務システム141に対してインシデント再現処理を実行する(ステップS505)。インシデント再現処理の詳細は図6を用いて説明する。 Next, the incident reproduction device 110 executes an incident reproduction process for the constructed evaluation business system 141 (step S505). The details of the incident reproduction process will be described with reference to FIG.

次に、インシデント再現装置110は、全ての業務システムについて処理が完了したか否かを判定する(ステップS506)。 Next, the incident reproduction device 110 determines whether or not the processing has been completed for all the business systems (step S506).

全ての業務システムについて処理が完了していないと判定された場合、インシデント再現装置110は、ステップS503に戻り、同様の処理を実行する。 If it is determined that the processing has not been completed for all the business systems, the incident reproduction device 110 returns to step S503 and executes the same processing.

具体的には、影響分析プログラム124を実行するCPU113は、業務システム構築プログラム122を起動する。 Specifically, the CPU 113 that executes the impact analysis program 124 activates the business system construction program 122.

全ての業務システムについて処理が完了したと判定された場合、インシデント再現装置110は、インシデント再現結果を提示し(ステップS507)、その後、処理を終了する。 When it is determined that the processing is completed for all the business systems, the incident reproduction device 110 presents the incident reproduction result (step S507), and then ends the processing.

具体的には、影響分析プログラム124を実行するCPU113は、提示プログラム126を起動する。提示プログラム126を実行するCPU113は、インシデント再現結果を提示するための情報(表示情報及び音声情報等)を生成し、出力する。表示情報に基づいて表示される画面については図7を用いて説明する。 Specifically, the CPU 113 that executes the impact analysis program 124 activates the presentation program 126. The CPU 113 that executes the presentation program 126 generates and outputs information (display information, audio information, etc.) for presenting the incident reproduction result. The screen displayed based on the display information will be described with reference to FIG. 7.

図6は、実施例1のインシデント再現装置110が実行するインシデント再現処理の一例を説明するフローチャートである。 FIG. 6 is a flowchart illustrating an example of the incident reproduction process executed by the incident reproduction device 110 of the first embodiment.

インシデント再現装置110は、構築された評価業務システム141上で、受信したインシデントデータに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS601)。具体的には、以下のような処理が実行される。 The incident reproduction device 110 reproduces an incident corresponding to the received incident data on the constructed evaluation business system 141, and analyzes the influence of the incident (step S601). Specifically, the following processing is executed.

インシデント再現プログラム123を実行するCPU113は、インシデントデータに基づいて、評価業務システム141上でインシデントを再現する。例えば、脅威204に対応するプログラム(マルウェア)を実行し、又は、脅威204に対する行為(サイトへのアクセス)を実行する。インシデント再現プログラム123を実行するCPU113は、影響分析プログラム124を起動する。 The CPU 113 that executes the incident reproduction program 123 reproduces an incident on the evaluation business system 141 based on the incident data. For example, the program (malware) corresponding to the threat 204 is executed, or the action against the threat 204 (access to the site) is executed. The CPU 113 that executes the incident reproduction program 123 activates the impact analysis program 124.

影響分析プログラム124を実行するCPU113は、インシデントが再現された評価業務システム141の挙動を監視し、ステップS503において選択されたエントリの判定基準305に設定された判定基準を満たすか否かを判定する。このとき、CPU113は、予め設定されたポリシ、又は、受信したインシデントデータの検出方法205を用いて評価業務システム141の挙動を監視する。予め設定されたポリシに基づく評価業務システム141の挙動の監視には、稼働するプロセス、CPU113の使用率、データ改ざんの有無等を確認するためのプログラムを評価業務システム141にインストールし、利用してもよい。 The CPU 113 that executes the impact analysis program 124 monitors the behavior of the evaluation business system 141 in which the incident is reproduced, and determines whether or not the criterion set in the criterion 305 of the entry selected in step S503 is satisfied. .. At this time, the CPU 113 monitors the behavior of the evaluation business system 141 by using the preset policy or the incident data detection method 205. To monitor the behavior of the evaluation business system 141 based on the preset policy, install and use a program for checking the operating process, the usage rate of the CPU 113, the presence or absence of data tampering, etc. in the evaluation business system 141. May be good.

以上がステップS601の処理の説明である。 The above is the description of the process of step S601.

次に、インシデント再現装置110は、再現されたインシデントによる評価業務システム141への影響があるか否かを判定する(ステップS602)。 Next, the incident reproduction device 110 determines whether or not the reproduced incident has an influence on the evaluation business system 141 (step S602).

具体的には、影響分析プログラム124を実行するCPU113は、判定基準305に設定された判定基準を満たすか否かが判定される。判定基準305に設定された判定基準を満たす場合、CPU113は、再現されたインシデントによる評価業務システム141への影響があると判定する。 Specifically, the CPU 113 that executes the impact analysis program 124 determines whether or not the determination criteria set in the determination criterion 305 are satisfied. When the determination criteria set in the determination criterion 305 are satisfied, the CPU 113 determines that the reproduced incident has an influence on the evaluation business system 141.

再現されたインシデントによる評価業務システム141への影響がないと判定された場合、インシデント再現装置110は、インシデント再現結果管理情報133を更新し(ステップS603)、その後、インシデント再現処理を終了する。 When it is determined that the reproduced incident does not affect the evaluation business system 141, the incident reproduction device 110 updates the incident reproduction result management information 133 (step S603), and then ends the incident reproduction process.

具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「なし」を格納する。この場合、対策405及び適用後影響406は空欄となる。 Specifically, the CPU 113 that executes the impact analysis program 124 adds an entry to the incident reproduction result management information 133, and sets the identification information in the ID 401 of the added entry. The CPU 113 stores the reproduced incident identification information in the incident ID 402 of the added entry, stores the identification information of the target business system in the business system ID 403, and stores "none" in the influence 404. In this case, the countermeasure 405 and the post-application impact 406 are blank.

再現されたインシデントによる評価業務システム141への影響があると判定された場合、インシデント再現装置110は、対処のループ処理を開始する(ステップS604)。具体的には、以下のような処理が実行される。 When it is determined that the reproduced incident has an influence on the evaluation business system 141, the incident reproduction device 110 starts the coping loop processing (step S604). Specifically, the following processing is executed.

影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。 The CPU 113 that executes the impact analysis program 124 activates the countermeasure application program 125.

対策適用プログラム125を実行するCPU113は、インシデントデータ管理情報131を参照し、受信したインシデントデータに対応するエントリを検索する。CPU113は、検索されたエントリの対処手段206に設定された対処の中から一つの対処を選択する。 The CPU 113 that executes the countermeasure application program 125 refers to the incident data management information 131 and searches for an entry corresponding to the received incident data. The CPU 113 selects one of the countermeasures set in the countermeasure 206 of the searched entry.

以上がステップS604の処理の説明である。 The above is the description of the process of step S604.

次に、インシデント再現装置110は、選択された対処を対策として評価業務システム141に適用する(ステップS605)。 Next, the incident reproduction device 110 applies the selected countermeasure to the evaluation business system 141 as a countermeasure (step S605).

具体的には、対策適用プログラム125を実行するCPU113は、選択された対処を対策として評価業務システム141に適用する。CPU113は、インシデント再現プログラム123を起動する。 Specifically, the CPU 113 that executes the countermeasure application program 125 applies the selected countermeasure to the evaluation business system 141 as a countermeasure. The CPU 113 activates the incident reproduction program 123.

次に、インシデント再現装置110は、対策が適用された評価業務システム141上で、受信したインシデントデータに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS606)。ステップS606の処理はステップS601の処理と同一である。 Next, the incident reproduction device 110 reproduces the incident corresponding to the received incident data on the evaluation business system 141 to which the countermeasure is applied, and analyzes the influence of the incident (step S606). The process of step S606 is the same as the process of step S601.

次に、インシデント再現装置110は、インシデント再現結果管理情報133を更新する(ステップS607)。 Next, the incident reproduction device 110 updates the incident reproduction result management information 133 (step S607).

具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、また、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「あり」を格納する。CPU113は、追加されたエントリの対策405にステップS604で選択された対処を示す情報を格納し、適用後影響406に分析結果を格納する。分析結果は「あり」又は「なし」のいずれかである。 Specifically, the CPU 113 that executes the impact analysis program 124 adds an entry to the incident reproduction result management information 133, and sets the identification information in the ID 401 of the added entry. The CPU 113 stores the reproduced incident identification information in the incident ID 402 of the added entry, stores the identification information of the target business system in the business system ID 403, and stores "Yes" in the influence 404. The CPU 113 stores the information indicating the countermeasure selected in step S604 in the countermeasure 405 of the added entry, and stores the analysis result in the post-application effect 406. The analysis result is either "yes" or "no".

次に、インシデント再現装置110は、全ての対処について処理が完了したか否かを判定する(ステップS608)。 Next, the incident reproduction device 110 determines whether or not the processing has been completed for all the countermeasures (step S608).

全ての対処について処理が完了していないと判定された場合、インシデント再現装置110は、ステップS604に戻り、同様の処理を実行する。 If it is determined that the processing has not been completed for all the measures, the incident reproduction device 110 returns to step S604 and executes the same processing.

具体的には、影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。 Specifically, the CPU 113 that executes the impact analysis program 124 activates the countermeasure application program 125.

全ての対処について処理が完了したと判定された場合、インシデント再現装置110は、インシデント再現処理を終了する。 When it is determined that the processing has been completed for all the measures, the incident reproduction device 110 ends the incident reproduction processing.

複数の対処を検証することにより、適用しやすい対策又はコストの低い対策の抽出等、適用可能な対策の選択の幅を広げることができる。 By verifying multiple countermeasures, it is possible to broaden the range of choices for applicable countermeasures, such as extracting measures that are easy to apply or countermeasures that are low in cost.

図7は、実施例1のインシデント再現結果を表示する表示画面の一例を示す図である。 FIG. 7 is a diagram showing an example of a display screen displaying the incident reproduction result of the first embodiment.

表示画面700は、例えば、入出力装置116に表示される画面であり、パス欄701、インシデント情報欄702、対策欄703、及びインシデント再現結果欄704を含む。なお、図7に示す表示画面700は一例であり、これに限定されない。図示しない欄を含んでもよいし、また、いずれかの欄を含まなくてもよい。 The display screen 700 is, for example, a screen displayed on the input / output device 116, and includes a path column 701, an incident information column 702, a countermeasure column 703, and an incident reproduction result column 704. The display screen 700 shown in FIG. 7 is an example, and the present invention is not limited to this. A column (not shown) may be included, or any column may not be included.

パス欄701は、インシデント再現結果管理情報133が格納されるパスを表示する欄である。 The path column 701 is a column for displaying the path in which the incident reproduction result management information 133 is stored.

インシデント情報欄702は、他組織で発生したインシデントに関する情報を表示する欄である。インシデント情報欄702には、受信したインシデントデータに含まれる情報が表示される。例えば、インシデント情報欄702には、インシデントが発生した日時、インシデントが発生した組織、特定された脅威等が表示される。 The incident information column 702 is a column for displaying information regarding an incident that has occurred in another organization. In the incident information column 702, the information included in the received incident data is displayed. For example, in the incident information column 702, the date and time when the incident occurred, the organization in which the incident occurred, the identified threat, and the like are displayed.

対策欄703は、業務システム毎に推奨される対策を表示する欄である。対策欄703には、影響404が「あり」かつ適用後影響406が「なし」であるエントリの対策405が表示される。 The countermeasure column 703 is a column for displaying recommended countermeasures for each business system. In the countermeasure column 703, the countermeasure 405 of the entry in which the impact 404 is “yes” and the post-application impact 406 is “none” is displayed.

なお、一つの業務システムについて、前述の条件を満たすエントリが複数存在する場合、全てのエントリの対策405を表示してもよいし、また、一部のエントリの対策405を表示してもよい。 If there are a plurality of entries satisfying the above conditions for one business system, the countermeasure 405 for all the entries may be displayed, or the countermeasure 405 for some entries may be displayed.

なお、一つの業務システムについて、影響404が「あり」かつ適用後影響406が「あり」であるエントリしか存在しない場合、管理者に注意喚起を行うために、「不明」が表示される。 If there is only an entry for which the impact 404 is "Yes" and the post-application impact 406 is "Yes" for one business system, "Unknown" is displayed in order to alert the administrator.

インシデント再現結果欄704は、各業務システムのインシデントの再現結果を表示する欄である。 The incident reproduction result column 704 is a column for displaying the incident reproduction result of each business system.

インシデント再現結果欄704には、インシデント再現結果管理情報133に設定された情報が表示される。 In the incident reproduction result column 704, the information set in the incident reproduction result management information 133 is displayed.

ここで、具体例を用いて、インシデント再現装置110が実行する処理について説明する。なお、説明の都合上、インシデントデータ管理情報131及びインシデント再現結果管理情報133にはエントリが存在しないものとする。また、業務システム管理情報132には、業務システムA及び業務システムBのエントリのみが存在するものとする。 Here, a process executed by the incident reproduction device 110 will be described with reference to a specific example. For convenience of explanation, it is assumed that there is no entry in the incident data management information 131 and the incident reproduction result management information 133. Further, it is assumed that only the entries of the business system A and the business system B exist in the business system management information 132.

この例では、次のようなインシデントを想定する。組織Bのシステム100Bにおいて、2018/1/1の00:00:00にインシデントが発生した。組織BのSOCチームは、マルウェアAを脅威として特定し、マルウェアAに感染した端末がサイトAに通信し、またa.exeを生成することを特定した。これに対して、組織BのSOCチームは、感染端末に対して、サイトAの遮断及びパッチAの適用を対処として行った。 In this example, the following incidents are assumed. In the system 100B of the organization B, an incident occurred at 00:00:00 on 1/1/2018. The SOC team of organization B identifies malware A as a threat, and the terminal infected with malware A communicates with site A, and a. Identified to generate an exe. On the other hand, the SOC team of the organization B took measures to block the site A and apply the patch A to the infected terminal.

インシデント再現装置110は、上記のインシデントに関する情報を含むインシデントデータを受信する(ステップS501)。 The incident reproduction device 110 receives incident data including information on the above-mentioned incident (step S501).

ステップS502において、インシデントデータ受信プログラム121を実行するCPU113は、インシデントデータ管理情報131が空であるため、未知の脅威に起因するインシデントであると判定する。このとき、CPU113は、インシデントデータ管理情報131にエントリを追加し、追加されたエントリのID201に「1」を格納し、日時202に「2018/1/1 00:00:00」を格納し、組織203に「組織B」を格納し、脅威204に「マルウェアA」を格納し、検出方法205に「サイトAへの通信」及び「a.exeの生成」を格納し、対処手段206に「サイトA遮断」及び「パッチA適用」を格納する。 In step S502, the CPU 113 that executes the incident data receiving program 121 determines that the incident is caused by an unknown threat because the incident data management information 131 is empty. At this time, the CPU 113 adds an entry to the incident data management information 131, stores "1" in the ID 201 of the added entry, and stores "2018/1/1 00: 00: 00" in the date and time 202. "Organization B" is stored in the organization 203, "malware A" is stored in the threat 204, "communication to the site A" and "generation of a.exe" are stored in the detection method 205, and "a.exe generation" is stored in the countermeasure 206. Stores "Site A block" and "Patch A application".

業務システムA及び業務システムBのそれぞれについて、ステップS504及びステップS505の処理が実行される。 The processes of steps S504 and S505 are executed for each of the business system A and the business system B.

まず、業務システム構築プログラム122を実行するCPU113は、ID301が「1」のエントリを選択し(ステップS503)、評価環境140に業務システムAに対応する評価業務システムA141Aを構築する(ステップS504)。 First, the CPU 113 that executes the business system construction program 122 selects the entry whose ID 301 is "1" (step S503), and constructs the evaluation business system A141A corresponding to the business system A in the evaluation environment 140 (step S504).

インシデント再現プログラム123を実行するCPU113は、評価業務システムA141A上でマルウェアAを実行させる(ステップS601)。 The CPU 113 that executes the incident reproduction program 123 executes the malware A on the evaluation business system A141A (step S601).

影響分析プログラム124を実行するCPU113は、業務システム管理情報132から選択したエントリの判定基準305を取得し、業務アプリAの停止、データ改ざん、及びマルウェア感染の発生を監視する。マルウェア感染については、インシデントデータの検出方法205に基づいて監視が行われる。「サイトAへの通信」及び「a.exeの生成」の少なくともいずれか検出された場合、CPU113はマルウェアAの感染と判定する。 The CPU 113 that executes the impact analysis program 124 acquires the determination criterion 305 of the entry selected from the business system management information 132, and monitors the stoppage of the business application A, data falsification, and the occurrence of malware infection. Malware infection is monitored based on the incident data detection method 205. When at least one of "communication to the site A" and "generation of a.exe" is detected, the CPU 113 determines that the malware A is infected.

この例では、「サイトAへの通信」及び「a.exeの生成」のいずれもが検出されたものとする。すなわち、マルウェアAの感染が検出されたものとする。この場合、影響分析プログラム124を実行するCPU113は、再現されたインシデントによる評価業務システムA141Aへの影響があると判定し(ステップS602がYes)、対策適用プログラム125を起動する。 In this example, it is assumed that both "communication to site A" and "generation of a.exe" are detected. That is, it is assumed that the infection of malware A is detected. In this case, the CPU 113 that executes the impact analysis program 124 determines that the reproduced incident has an impact on the evaluation business system A141A (step S602 is Yes), and activates the countermeasure application program 125.

対策適用プログラム125を実行するCPU113は、対処手段206に格納される「サイトA遮断」及び「パッチA適用」のいずれかを選択する(ステップS604)。ここでは、「サイトA遮断」が選択されたものとする。 The CPU 113 that executes the countermeasure application program 125 selects either "site A blocking" or "patch A application" stored in the countermeasure 206 (step S604). Here, it is assumed that "Site A block" is selected.

対策適用プログラム125を実行するCPU113は、「サイトA遮断」を実現するための設定及び変更等を評価業務システムA141Aに適用する(ステップS605)。例えば、評価業務システムA141A上でサイトAへの通信を遮断するように設定を変更し、又は、ネットワーク142にサイトAへの通信を遮断するためのFireWallを設置する。 The CPU 113 that executes the countermeasure application program 125 applies the settings and changes for realizing the "site A cutoff" to the evaluation business system A141A (step S605). For example, the setting is changed so as to block the communication to the site A on the evaluation business system A141A, or the Firewall for blocking the communication to the site A is installed in the network 142.

インシデント再現プログラム123を実行するCPU113は、「サイトA遮断」の対策が適用された評価業務システムA141A上でマルウェアAを実行させる(ステップS606)。ここでは、a.exeの生成が検出されたものとする。 The CPU 113 that executes the incident reproduction program 123 executes the malware A on the evaluation business system A141A to which the countermeasure of "site A blocking" is applied (step S606). Here, a. It is assumed that the generation of exe is detected.

影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「1」を格納し、インシデントID402に「1」を格納し、業務システムID403に「1」を格納し、影響404に「あり」を格納し、対策405に「サイトA遮断」を格納し、適用後影響406に「あり」を設定する。 The CPU 113 that executes the impact analysis program 124 updates the incident reproduction result management information 133 (step S607). Specifically, the CPU 113 adds an entry to the incident reproduction result management information 133, stores "1" in the ID 401, stores "1" in the incident ID 402, and stores "1" in the business system ID 403. "Yes" is stored in the effect 404, "Site A block" is stored in the countermeasure 405, and "Yes" is set in the effect 406 after application.

ステップS608では、未処理の対処が存在するため、影響分析プログラム124を実行するCPU113は、ステップS604に戻り、対策適用プログラム125を起動する。対策適用プログラム125を実行するCPU113は、「パッチA適用」を選択する。 In step S608, since there is an unprocessed countermeasure, the CPU 113 that executes the impact analysis program 124 returns to step S604 and starts the countermeasure application program 125. The CPU 113 that executes the countermeasure application program 125 selects "patch A application".

対策適用プログラム125を実行するCPU113は、パッチAを評価業務システムA141Aに適用する(ステップS605)。 The CPU 113 that executes the countermeasure application program 125 applies the patch A to the evaluation business system A141A (step S605).

インシデント再現プログラム123を実行するCPU113は、「パッチA適用」の対策が適用された評価業務システムA141A上でマルウェアAを実行させる(ステップS606)。ここでは、業務アプリAの停止、データ改ざん、及びマルウェア感染のいずれも検出されなかったものとする。 The CPU 113 that executes the incident reproduction program 123 executes the malware A on the evaluation business system A141A to which the countermeasure of "patch A application" is applied (step S606). Here, it is assumed that none of the suspension of the business application A, the data falsification, and the malware infection is detected.

影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「2」を格納し、インシデントID402に「1」を格納し、業務システムID403に「1」を格納し、影響404に「あり」を格納し、対策405に「パッチA適用」を格納し、適用後影響406に「なし」を設定する。 The CPU 113 that executes the impact analysis program 124 updates the incident reproduction result management information 133 (step S607). Specifically, the CPU 113 adds an entry to the incident reproduction result management information 133, stores "2" in the ID 401, stores "1" in the incident ID 402, and stores "1" in the business system ID 403. "Yes" is stored in the effect 404, "Patch A application" is stored in the countermeasure 405, and "None" is set in the effect 406 after application.

ステップS608では、全ての対処の処理が完了したため、インシデント再現装置110はインシデント再現処理を終了する。 In step S608, since all the handling processes have been completed, the incident reproduction device 110 ends the incident reproduction process.

ステップS506において、未処理の業務システムが存在するため、影響分析プログラム124を実行するCPU113は、ステップS503に戻り、業務システム構築プログラム122を起動する。業務システム構築プログラム122を実行するCPU113は、ID301が「2」のエントリを選択し(ステップS503)、評価環境140に業務システムBに対応する評価業務システムB141Bを構築する(ステップS504)。 Since there is an unprocessed business system in step S506, the CPU 113 that executes the impact analysis program 124 returns to step S503 and starts the business system construction program 122. The CPU 113 that executes the business system construction program 122 selects the entry whose ID 301 is "2" (step S503), and constructs the evaluation business system B141B corresponding to the business system B in the evaluation environment 140 (step S504).

インシデント再現プログラム123を実行するCPU113は、評価業務システムB141B上でマルウェアAを実行させる(ステップS601)。 The CPU 113 that executes the incident reproduction program 123 executes the malware A on the evaluation business system B141B (step S601).

影響分析プログラム124を実行するCPU113は、業務システム管理情報132から選択したエントリの判定基準305を取得し、業務アプリBの停止及びデータ漏洩の発生を監視する。 The CPU 113 that executes the impact analysis program 124 acquires the determination criterion 305 of the entry selected from the business system management information 132, and monitors the stoppage of the business application B and the occurrence of data leakage.

この例では、データ漏洩が検出されたものとする。この場合、影響分析プログラム124を実行するCPU113は、再現されたインシデントによる評価業務システムB141Bへの影響があると判定し(ステップS602がYes)、対策適用プログラム125を起動する。 In this example, it is assumed that a data leak has been detected. In this case, the CPU 113 that executes the impact analysis program 124 determines that the reproduced incident has an impact on the evaluation business system B141B (step S602 is Yes), and activates the countermeasure application program 125.

対策適用プログラム125を実行するCPU113は、対処手段206に格納される「サイトA遮断」及び「パッチA適用」のいずれかを選択する(ステップS604)。ここでは、「サイトA遮断」が選択されたものとする。 The CPU 113 that executes the countermeasure application program 125 selects either "site A blocking" or "patch A application" stored in the countermeasure 206 (step S604). Here, it is assumed that "Site A block" is selected.

対策適用プログラム125を実行するCPU113は、「サイトA遮断」を実現するための設定及び変更等を評価業務システムB141Bに適用する(ステップS605)。例えば、評価業務システムB141B上でサイトAへの通信を遮断するように設定を変更し、又は、ネットワーク142にサイトAへの通信を遮断するためのFireWallを設置する。 The CPU 113 that executes the countermeasure application program 125 applies the settings and changes for realizing "site A cutoff" to the evaluation business system B141B (step S605). For example, the setting is changed so as to block the communication to the site A on the evaluation business system B141B, or the Firewall for blocking the communication to the site A is installed in the network 142.

インシデント再現プログラム123を実行するCPU113は、「サイトA遮断」の対策が適用された評価業務システムB141B上でマルウェアAを実行させる(ステップS606)。ここでは、データ漏洩が検出されたものとする。 The CPU 113 that executes the incident reproduction program 123 executes the malware A on the evaluation business system B141B to which the countermeasure of "site A blocking" is applied (step S606). Here, it is assumed that a data leak has been detected.

影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「3」を格納し、インシデントID402に「1」を格納し、業務システムID403に「2」を格納し、影響404に「あり」を格納し、対策405に「サイトA遮断」を格納し、適用後影響406に「あり」を設定する。 The CPU 113 that executes the impact analysis program 124 updates the incident reproduction result management information 133 (step S607). Specifically, the CPU 113 adds an entry to the incident reproduction result management information 133, stores "3" in the ID 401, stores "1" in the incident ID 402, and stores "2" in the business system ID 403. "Yes" is stored in the effect 404, "Site A block" is stored in the countermeasure 405, and "Yes" is set in the effect 406 after application.

ステップS608では、未処理の対処が存在するため、影響分析プログラム124を実行するCPU113は、ステップS604に戻り、対策適用プログラム125を起動する。対策適用プログラム125を実行するCPU113は、「パッチA適用」を選択する。 In step S608, since there is an unprocessed countermeasure, the CPU 113 that executes the impact analysis program 124 returns to step S604 and starts the countermeasure application program 125. The CPU 113 that executes the countermeasure application program 125 selects "patch A application".

対策適用プログラム125を実行するCPU113は、パッチAを評価業務システムB141Bに適用する(ステップS605)。 The CPU 113 that executes the countermeasure application program 125 applies the patch A to the evaluation business system B141B (step S605).

インシデント再現プログラム123を実行するCPU113は、「パッチA適用」の対策が適用された評価業務システムB141B上でマルウェアAを実行させる(ステップS606)。ここでは、業務アプリBの停止が検出されたものとする。 The CPU 113 that executes the incident reproduction program 123 executes the malware A on the evaluation business system B141B to which the countermeasure of "patch A application" is applied (step S606). Here, it is assumed that the stoppage of the business application B is detected.

影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「4」を格納し、インシデントID402に「1」を格納し、業務システムID403に「2」を格納し、影響404に「あり」を格納し、対策405に「パッチA適用」を格納し、適用後影響406に「あり」を設定する。 The CPU 113 that executes the impact analysis program 124 updates the incident reproduction result management information 133 (step S607). Specifically, the CPU 113 adds an entry to the incident reproduction result management information 133, stores "4" in the ID 401, stores "1" in the incident ID 402, and stores "2" in the business system ID 403. "Yes" is stored in the effect 404, "Patch A application" is stored in the countermeasure 405, and "Yes" is set in the effect 406 after application.

ステップS608では、全ての対処の処理が完了したため、インシデント再現装置110はインシデント再現処理を終了する。 In step S608, since all the handling processes have been completed, the incident reproduction device 110 ends the incident reproduction process.

ステップS506において、全ての業務システムの処理が完了したため、影響分析プログラム124を実行するCPU113は、提示プログラム126を起動する。提示プログラム126を実行するCPU113は、インシデント再現結果を提示するための情報を生成し、出力する(ステップS507)。この結果、図7に示すような表示画面700がユーザに対して提示される。 Since the processing of all the business systems is completed in step S506, the CPU 113 that executes the impact analysis program 124 activates the presentation program 126. The CPU 113 that executes the presentation program 126 generates and outputs information for presenting the incident reproduction result (step S507). As a result, the display screen 700 as shown in FIG. 7 is presented to the user.

なお、実施例1は以下のような変形例も考えられる。 In addition, the following modified examples can be considered in Example 1.

(変形例1)インシデント再現装置110は、業務システムの構成の変化に伴って業務システム管理情報132を更新した後、インシデントデータ管理情報131に格納されるインシデントデータを用いて処理を実行してもよい。これによって、最新の業務システムに対するインシデントの影響を分析できる。 (Modification 1) Even if the incident reproduction device 110 updates the business system management information 132 due to a change in the configuration of the business system and then executes processing using the incident data stored in the incident data management information 131. good. This makes it possible to analyze the impact of an incident on the latest business system.

(変形例2)インシデント再現装置110は、推薦された対策を業務システムに自動的に適用してもよい。例えば、ある業務システムに適用した対策により、インシデントの影響がないと判定された場合、インシデント再現装置110は、全て、又は、特定の業務システムに対して当該対策を自動的に適用する。これによって、迅速に対策を業務システムに適用できる。 (Modification 2) The incident reproduction device 110 may automatically apply the recommended countermeasures to the business system. For example, when it is determined that there is no influence of an incident by the measures applied to a certain business system, the incident reproduction device 110 automatically applies the measures to all or a specific business system. As a result, countermeasures can be quickly applied to the business system.

(変形例3)判定基準305に影響のレベルを追加する。例えば、影響が小、中、大の各々の判定基準を定義し、影響レベル及び対策と、分析結果とを提示する。これによって、対策の適用による影響が小さい場合に対策を適用する等、柔軟な対策の適用処理を実現できる。 (Modification 3) Add the level of influence to the judgment criterion 305. For example, the criteria for each of small, medium, and large impacts are defined, and the impact level, countermeasures, and analysis results are presented. As a result, flexible countermeasure application processing can be realized, such as applying countermeasures when the impact of application of countermeasures is small.

(変形例4)対策適用プログラム125を実行するCPU113は、受信したインシデントデータに含まれる対処とは異なる対処を選択してもよい。例えば、CPU113は、インシデントデータ管理情報131に格納されるインシデントデータに含まれる対処を選択してもよい。これによって、例えば、亜種のウィルスの出現等、対策が明らかになっていない脅威に対しても対策を講じることができる。 (Modification 4) The CPU 113 that executes the countermeasure application program 125 may select a countermeasure different from the countermeasure included in the received incident data. For example, the CPU 113 may select a countermeasure included in the incident data stored in the incident data management information 131. This makes it possible to take countermeasures against threats for which countermeasures have not been clarified, such as the emergence of subspecies viruses.

(変形例5)業務システム構築プログラム122を実行するCPU113は、予め評価環境140に評価業務システム141を構築してもよい。これによって、インシデントの再現及び分析に要する時間を短縮できる。 (Modification 5) The CPU 113 that executes the business system construction program 122 may construct the evaluation business system 141 in the evaluation environment 140 in advance. This can reduce the time required for incident reproduction and analysis.

(変形例6)影響分析プログラム124を実行するCPU113は、業務システムに対するインシデントの影響がない対策が特定された場合に、ステップS604からステップS608までのループ処理を終了してよい。これによって、迅速に対策を適用できる。 (Variation Example 6) The CPU 113 that executes the impact analysis program 124 may end the loop processing from step S604 to step S608 when a countermeasure that is not affected by the incident on the business system is specified. As a result, countermeasures can be applied quickly.

(変形例7)対策適用プログラム125を実行するCPU113は、複数の対処を組み合わせた対策を適用してもよい。これによって、適用しやすい対策又はコストの低い対策の抽出等、適用可能な対策の選択の幅を広げることができる。 (Modification 7) The CPU 113 that executes the countermeasure application program 125 may apply a countermeasure that combines a plurality of countermeasures. This makes it possible to broaden the selection of applicable measures such as extraction of measures that are easy to apply or measures that are low in cost.

以上で説明したように、実施例1によれば、他の組織で発生したインシデントに関する情報を活用し、当該インシデントが自組織の業務システムに与える影響を分析できる。また、分析結果を用いて有効な対策を立案し、未然に同様のインシデントの発生を防止することができる。 As described above, according to the first embodiment, it is possible to analyze the influence of the incident on the business system of the own organization by utilizing the information on the incident that occurred in another organization. In addition, it is possible to formulate effective countermeasures using the analysis results and prevent the occurrence of similar incidents in advance.

実施例2では、インシデント再現装置110は未知の攻撃に起因するインシデントを再現する。実施例1では、他の組織で実際に発生したインシデントを業務システム上で再現し、その影響の分析が行われていた。しかし、攻撃手法は日々進化しており、未知の脅威に起因するインシデントの発生を未然に防ぐことが望ましい。 In Example 2, the incident reproduction device 110 reproduces an incident caused by an unknown attack. In Example 1, an incident that actually occurred in another organization was reproduced on a business system, and its influence was analyzed. However, attack methods are evolving day by day, and it is desirable to prevent the occurrence of incidents caused by unknown threats.

以下、実施例1との差異を中心に実施例2について説明する。 Hereinafter, Example 2 will be described with a focus on the differences from Example 1.

実施例2の計算機システムの構成は実施例1と同一である。実施例2では、インシデント再現装置110の構成が一部異なる。 The configuration of the computer system of the second embodiment is the same as that of the first embodiment. In the second embodiment, the configuration of the incident reproduction device 110 is partially different.

図8は、実施例2のインシデント再現装置110の構成例を示す図である。 FIG. 8 is a diagram showing a configuration example of the incident reproduction device 110 of the second embodiment.

実施例2のインシデント再現装置110のハードウェア構成は実施例1と同一である。また、実施例2のメインメモリ114に格納されるプログラムも実施例1と同一である。 The hardware configuration of the incident reproduction device 110 of the second embodiment is the same as that of the first embodiment. Further, the program stored in the main memory 114 of the second embodiment is also the same as that of the first embodiment.

実施例2では、記憶装置115に格納される情報が一部異なる。具体的には、実施例2の記憶装置115は、インシデントデータ管理情報131、業務システム管理情報132、及びインシデント再現結果管理情報133に加えて、攻撃手法管理情報800を格納する。攻撃手法管理情報800のデータ構造の詳細は図9を用いて説明する。 In the second embodiment, the information stored in the storage device 115 is partially different. Specifically, the storage device 115 of the second embodiment stores the attack method management information 800 in addition to the incident data management information 131, the business system management information 132, and the incident reproduction result management information 133. The details of the data structure of the attack method management information 800 will be described with reference to FIG.

実施例2では、インシデントデータは、脅威として攻撃シナリオを含む。ここで、攻撃シナリオとは、特定の目的を達成するための攻撃手法群であり、複数の攻撃手法から構成されるシナリオである。 In Example 2, the incident data includes an attack scenario as a threat. Here, the attack scenario is a group of attack methods for achieving a specific purpose, and is a scenario composed of a plurality of attack methods.

例えば、標的型攻撃では、添付メール又は水飲み場攻撃等を用いて組織に侵入したマルウェアが、攻撃者が運用するC&C(Command&Control)サーバと通信することによって新たなマルウェア及び攻撃ツールをダウンロードし、組織内の偵察し、攻撃基盤の確立し、破壊及び情報窃取等の最終目的を達成する。 For example, in a targeted attack, malware that has invaded an organization using an attached email or a watering hole attack downloads new malware and attack tools by communicating with a C & C (Command & Control) server operated by the attacker, and the organization. Achieve the ultimate objectives such as reconnaissance, establishment of attack base, destruction and information theft.

ここで、攻撃者が、OS調査プログラムAを用いてOSの調査を行い、マルウェアAを用いて組織に侵入し、認証窃取プログラムAを用いて認証情報の窃取を行い、リモート実行プログラムAを用いて感染を拡大し、情報窃取プログラムAを用いて情報を窃取する攻撃を想定する。この場合、攻撃シナリオは、「OS調査(OS調査プログラムA)、マルウェア実行(マルウェアA)、認証窃取(認証窃取プログラムA)、リモート実行(リモート実行プログラムA)、情報窃取(情報窃取プログラムA)」となる。攻撃手法の順番は実行順を表す。 Here, an attacker investigates the OS using the OS investigation program A, invades the organization using the malware A, steals the authentication information using the authentication theft program A, and uses the remote execution program A. We assume an attack that spreads the infection and steals information using the information theft program A. In this case, the attack scenarios are "OS investigation (OS investigation program A), malware execution (malware A), authentication theft (authentication theft program A), remote execution (remote execution program A), information theft (information theft program A)". ". The order of attack methods represents the order of execution.

実施例2では、インシデントデータには、攻撃シナリオと共に、攻撃シナリオに対応する攻撃に使用する攻撃コード(OS調査プログラムA、マルウェアA、認証窃取プログラムA、リモート実行プログラムA、情報窃取プログラムA等)も含まれるものとする。 In the second embodiment, the incident data includes the attack scenario and the attack code used for the attack corresponding to the attack scenario (OS investigation program A, malware A, authentication theft program A, remote execution program A, information theft program A, etc.). Is also included.

図9は、実施例2の攻撃手法管理情報800のデータ構造の一例を示す図である。 FIG. 9 is a diagram showing an example of the data structure of the attack method management information 800 of the second embodiment.

攻撃手法管理情報800は、ID901、攻撃分類902、攻撃手法903、前提条件904、及び攻撃コード905から構成されるエントリを含む。一つのエントリが一つの攻撃手法に対応する。 The attack method management information 800 includes an entry composed of an ID 901, an attack classification 902, an attack method 903, a prerequisite 904, and an attack code 905. One entry corresponds to one attack method.

ID901は、攻撃手法(エントリ)を一意に識別するための識別情報を格納するフィールドである。 ID901 is a field for storing identification information for uniquely identifying an attack method (entry).

攻撃分類902は、攻撃手法の大まかな分類を示す情報を格納するフィールドである。 The attack classification 902 is a field for storing information indicating a rough classification of the attack method.

攻撃手法903は、攻撃手法を示す情報を格納するフィールドである。 The attack method 903 is a field for storing information indicating the attack method.

前提条件904は、攻撃手法903に対応する攻撃手法を実行するための前提条件を示す情報を格納するフィールドである。 The precondition 904 is a field for storing information indicating a precondition for executing the attack method corresponding to the attack method 903.

攻撃コード905は、攻撃手法903に対応する攻撃手法を実現するための攻撃コードを格納するフィールドである。 The attack code 905 is a field for storing an attack code for realizing an attack method corresponding to the attack method 903.

ID901が「1」に対応する攻撃手法は、OS調査プログラムAを用いて、OSの調査を目的とした偵察行動を行うことを表す。 The attack method in which the ID 901 corresponds to "1" indicates that the OS investigation program A is used to perform a reconnaissance action for the purpose of investigating the OS.

実施例2では、攻撃手法管理情報800は予め設定されているものとする。なお、管理者等が必要に応じて、攻撃手法管理情報800のエントリの追加、削除、及び更新を行ってもよい。 In the second embodiment, it is assumed that the attack method management information 800 is set in advance. The administrator or the like may add, delete, and update the entry of the attack method management information 800 as necessary.

攻撃手法管理情報800は、インシデントを再現する場合に用いられる。 The attack method management information 800 is used when reproducing an incident.

図10は、実施例2のインシデント再現装置110が実行する処理の一例を説明するフローチャートである。 FIG. 10 is a flowchart illustrating an example of processing executed by the incident reproduction device 110 of the second embodiment.

インシデント再現装置110は、インタフェース112Aを介して、インシデントデータを受信した場合(ステップS1001)、業務システムのループ処理を開始する(ステップS1002)。 When the incident reproduction device 110 receives the incident data via the interface 112A (step S1001), the incident reproduction device 110 starts the loop processing of the business system (step S1002).

具体的には、インシデントデータ受信プログラム121を実行するCPU113は、インシデントデータ管理情報131に受信したインシデントデータを登録し、業務システム構築プログラム122を起動する。業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132に格納されるエントリから一つのエントリを選択する。以下では、選択されたエントリに対応する業務システムをターゲット業務システムと記載する。 Specifically, the CPU 113 that executes the incident data receiving program 121 registers the received incident data in the incident data management information 131, and starts the business system construction program 122. The CPU 113 that executes the business system construction program 122 selects one entry from the entries stored in the business system management information 132. In the following, the business system corresponding to the selected entry is described as the target business system.

次に、インシデント再現装置110は、ターゲット業務システムに対応する評価業務システム141を構築する(ステップS1003)。 Next, the incident reproduction device 110 constructs the evaluation business system 141 corresponding to the target business system (step S1003).

具体的には、業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132から選択されたエントリのOS303及びアプリケーション304に基づいて、評価環境140に評価業務システム141を構築する。その後、CPU113は、インシデント再現プログラム123を起動する。 Specifically, the CPU 113 that executes the business system construction program 122 constructs the evaluation business system 141 in the evaluation environment 140 based on the OS 303 and the application 304 of the entries selected from the business system management information 132. After that, the CPU 113 starts the incident reproduction program 123.

次に、インシデント再現装置110は、構築された評価業務システム141に対してインシデント再現処理を実行する(ステップS1004)。インシデント再現処理の詳細は図11を用いて説明する。 Next, the incident reproduction device 110 executes an incident reproduction process on the constructed evaluation business system 141 (step S1004). The details of the incident reproduction process will be described with reference to FIG.

次に、インシデント再現装置110は、全ての業務システムについて処理が完了したか否かを判定する(ステップS1005)。 Next, the incident reproduction device 110 determines whether or not the processing has been completed for all the business systems (step S1005).

全ての業務システムについて処理が完了していないと判定された場合、インシデント再現装置110は、ステップS1002に戻り、同様の処理を実行する。 If it is determined that the processing has not been completed for all the business systems, the incident reproduction device 110 returns to step S1002 and executes the same processing.

具体的には、影響分析プログラム124を実行するCPU113は、業務システム構築プログラム122を起動する。 Specifically, the CPU 113 that executes the impact analysis program 124 activates the business system construction program 122.

全ての業務システムについて処理が完了したと判定された場合、インシデント再現装置110は、インシデント再現結果を提示し(ステップS1006)、その後、処理を終了する。 When it is determined that the processing is completed for all the business systems, the incident reproduction device 110 presents the incident reproduction result (step S1006), and then ends the processing.

具体的には、影響分析プログラム124を実行するCPU113は、提示プログラム126を起動する。提示プログラム126を実行するCPU113は、インシデント再現結果を提示するための情報を生成し、出力する。 Specifically, the CPU 113 that executes the impact analysis program 124 activates the presentation program 126. The CPU 113 that executes the presentation program 126 generates and outputs information for presenting the incident reproduction result.

図11は、実施例2のインシデント再現装置110が実行するインシデント再現処理の一例を説明するフローチャートである。 FIG. 11 is a flowchart illustrating an example of an incident reproduction process executed by the incident reproduction device 110 of the second embodiment.

インシデント再現装置110は、攻撃シナリオのループを開始する(ステップS1101)。具体的には、以下のような処理が実行される。 The incident reproduction device 110 starts a loop of the attack scenario (step S1101). Specifically, the following processing is executed.

インシデント再現プログラム123を実行するCPU113は、攻撃手法管理情報800を参照し、インシデントデータに含まれる攻撃シナリオを構成する攻撃手法を変更することによって、新たな攻撃シナリオ(検証用攻撃シナリオ)を生成する。 The CPU 113 that executes the incident reproduction program 123 generates a new attack scenario (verification attack scenario) by referring to the attack method management information 800 and changing the attack method that constitutes the attack scenario included in the incident data. ..

インシデント再現プログラム123を実行するCPU113は、生成された攻撃シナリオの中から一つの攻撃シナリオを選択する。 The CPU 113 that executes the incident reproduction program 123 selects one attack scenario from the generated attack scenarios.

例えば、インシデントデータに含まれる攻撃シナリオが「OS調査(OS調査プログラムA)、マルウェア実行(マルウェアA)、認証窃取(認証窃取プログラムA)、リモート実行(リモート実行プログラムA)、情報窃取(情報窃取プログラムA)」である場合、以下のような処理が実行される。 For example, the attack scenarios included in the incident data are "OS investigation (OS investigation program A), malware execution (malware A), authentication theft (authentication theft program A), remote execution (remote execution program A), information theft (information theft). In the case of "program A)", the following processing is executed.

「OS調査(OS調査プログラムA)」を変更対象の攻撃手法として選択した場合、インシデント再現プログラム123を実行するCPU113は、攻撃分類902が「偵察」であるエントリを検索する。CPU113は、攻撃シナリオの「OS調査(OS調査プログラムA)」を、「脆弱性調査(脆弱性調査プログラムA)」に置き換えた攻撃シナリオと、「脆弱性調査(脆弱性調査プログラムB)」に置き換えた攻撃シナリオとを生成する。 When "OS investigation (OS investigation program A)" is selected as the attack method to be changed, the CPU 113 that executes the incident reproduction program 123 searches for an entry whose attack classification 902 is "reconnaissance". The CPU 113 replaces the attack scenario "OS investigation (OS investigation program A)" with "vulnerable investigation (vulnerable investigation program A)" into an attack scenario and "vulnerable investigation (vulnerable investigation program B)". Generate a replaced attack scenario.

「マルウェア実行(マルウェアA)」を変更対象の攻撃手法として選択した場合、インシデント再現プログラム123を実行するCPU113は、攻撃分類902が「初期侵入」であるエントリを検索する。CPU113は、攻撃シナリオの「マルウェア実行(マルウェアA)」を、「マルウェア実行(マルウェアB)」に置き換えた攻撃シナリオと、「脆弱性利用(エクスプロイトA)」に置き換えた攻撃シナリオとを生成する。 When "malware execution (malware A)" is selected as the attack method to be changed, the CPU 113 that executes the incident reproduction program 123 searches for an entry whose attack classification 902 is "initial intrusion". The CPU 113 generates an attack scenario in which the attack scenario "malware execution (malware A)" is replaced with "malware execution (malware B)" and an attack scenario in which "vulnerability utilization (exploit A)" is replaced.

同様の処理を実行することによって、複数の攻撃シナリオが生成される。なお、前提条件904が設定されている場合には、前提条件を満たす場合に攻撃手法が置き換えられる。 By performing similar processing, multiple attack scenarios are generated. If the precondition 904 is set, the attack method is replaced when the precondition is satisfied.

なお、受信したインシデントデータに含まれる攻撃シナリオも検証用攻撃シナリオとして出力されてもよい。以上がステップS1101の処理の説明である。 The attack scenario included in the received incident data may also be output as a verification attack scenario. The above is the description of the process of step S1101.

次に、インシデント再現装置110は、構築された評価業務システム141上で、選択された攻撃シナリオに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS1102)。具体的には、以下のような処理が実行される。 Next, the incident reproduction device 110 reproduces the incident corresponding to the selected attack scenario on the constructed evaluation business system 141, and analyzes the influence of the incident (step S1102). Specifically, the following processing is executed.

インシデント再現プログラム123を実行するCPU113は、選択された攻撃シナリオに基づいて、評価業務システム141上でインシデントを再現する。インシデント再現プログラム123を実行するCPU113は、影響分析プログラム124を起動する。 The CPU 113 that executes the incident reproduction program 123 reproduces an incident on the evaluation business system 141 based on the selected attack scenario. The CPU 113 that executes the incident reproduction program 123 activates the impact analysis program 124.

影響分析プログラム124を実行するCPU113は、インシデントが再現された評価業務システム141の挙動を監視し、ステップS1002において選択されたエントリの判定基準305に設定された判定基準を満たすか否かを判定する。このとき、CPU113は、予め設定されたポリシ、又は、受信したインシデントデータの検出方法205を用いて評価業務システム141の挙動を監視する。予め設定されたポリシに基づく評価業務システム141の挙動の監視には、稼働するプロセス、CPU113の使用率、データ改ざんの有無等を確認するためのプログラムを利用してもよい。 The CPU 113 that executes the impact analysis program 124 monitors the behavior of the evaluation business system 141 in which the incident is reproduced, and determines whether or not the determination criteria set in the determination criteria 305 of the entry selected in step S1002 are satisfied. .. At this time, the CPU 113 monitors the behavior of the evaluation business system 141 by using the preset policy or the incident data detection method 205. To monitor the behavior of the evaluation business system 141 based on the preset policy, a program for confirming the operating process, the usage rate of the CPU 113, the presence or absence of data falsification, etc. may be used.

以上がステップS1102の処理の説明である。 The above is the description of the process of step S1102.

次に、インシデント再現装置110は、再現されたインシデントによる評価業務システム141への影響があるか否かを判定する(ステップS1103)。 Next, the incident reproduction device 110 determines whether or not the reproduced incident has an influence on the evaluation business system 141 (step S1103).

具体的には、影響分析プログラム124を実行するCPU113は、判定基準305に設定された判定基準を満たすか否かが判定される。判定基準305に設定された判定基準を満たす場合、CPU113は、再現されたインシデントによる評価業務システム141への影響があると判定する。 Specifically, the CPU 113 that executes the impact analysis program 124 determines whether or not the determination criteria set in the determination criterion 305 are satisfied. When the determination criteria set in the determination criterion 305 are satisfied, the CPU 113 determines that the reproduced incident has an influence on the evaluation business system 141.

再現されたインシデントによる評価業務システム141への影響がないと判定された場合、インシデント再現装置110は、インシデント再現結果管理情報133を更新し(ステップS1104)、その後、インシデント再現処理を終了する。 When it is determined that the reproduced incident does not affect the evaluation business system 141, the incident reproduction device 110 updates the incident reproduction result management information 133 (step S1104), and then ends the incident reproduction process.

具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「なし」を格納する。この場合、対策405及び適用後影響406は空欄となる。 Specifically, the CPU 113 that executes the impact analysis program 124 adds an entry to the incident reproduction result management information 133, and sets the identification information in the ID 401 of the added entry. The CPU 113 stores the reproduced incident identification information in the incident ID 402 of the added entry, stores the identification information of the target business system in the business system ID 403, and stores "none" in the influence 404. In this case, the countermeasure 405 and the post-application impact 406 are blank.

再現されたインシデントによる評価業務システム141への影響があると判定された場合、インシデント再現装置110は、対処のループ処理を開始する(ステップS1105)。具体的には、以下のような処理が実行される。 When it is determined that the reproduced incident has an influence on the evaluation business system 141, the incident reproduction device 110 starts the coping loop processing (step S1105). Specifically, the following processing is executed.

影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。 The CPU 113 that executes the impact analysis program 124 activates the countermeasure application program 125.

対策適用プログラム125を実行するCPU113は、インシデントデータ管理情報131を参照し、受信したインシデントデータに対応するエントリを検索する。CPU113は、検索されたエントリの対処手段206に設定された対処の中から一つの対処を選択する。 The CPU 113 that executes the countermeasure application program 125 refers to the incident data management information 131 and searches for an entry corresponding to the received incident data. The CPU 113 selects one of the countermeasures set in the countermeasure 206 of the searched entry.

以上がステップS1105の処理の説明である。 The above is the description of the process of step S1105.

次に、インシデント再現装置110は、選択された対処を対策として評価業務システム141に適用する(ステップS1106)。 Next, the incident reproduction device 110 applies the selected countermeasure to the evaluation business system 141 as a countermeasure (step S1106).

具体的には、対策適用プログラム125を実行するCPU113は、選択された対処を対策として評価業務システム141に適用する。CPU113は、インシデント再現プログラム123を起動する。 Specifically, the CPU 113 that executes the countermeasure application program 125 applies the selected countermeasure to the evaluation business system 141 as a countermeasure. The CPU 113 activates the incident reproduction program 123.

次に、インシデント再現装置110は、対策が適用された評価業務システム141上で、受信したインシデントデータに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS1107)。ステップS1107の処理はステップS1102の処理と同一である。 Next, the incident reproduction device 110 reproduces the incident corresponding to the received incident data on the evaluation business system 141 to which the countermeasure is applied, and analyzes the influence of the incident (step S1107). The process of step S1107 is the same as the process of step S1102.

次に、インシデント再現装置110は、インシデント再現結果管理情報133を更新する(ステップS1108)。 Next, the incident reproduction device 110 updates the incident reproduction result management information 133 (step S1108).

具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、また、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「あり」を格納する。CPU113は、追加されたエントリの対策405にステップS604で選択された対処を示す情報を格納し、適用後影響406に分析結果を格納する。分析結果は「あり」又は「なし」のいずれかである。 Specifically, the CPU 113 that executes the impact analysis program 124 adds an entry to the incident reproduction result management information 133, and sets the identification information in the ID 401 of the added entry. The CPU 113 stores the reproduced incident identification information in the incident ID 402 of the added entry, stores the identification information of the target business system in the business system ID 403, and stores "Yes" in the influence 404. The CPU 113 stores the information indicating the countermeasure selected in step S604 in the countermeasure 405 of the added entry, and stores the analysis result in the post-application effect 406. The analysis result is either "yes" or "no".

次に、インシデント再現装置110は、全ての対処について処理が完了したか否かを判定する(ステップS1109)。 Next, the incident reproduction device 110 determines whether or not the processing has been completed for all the countermeasures (step S1109).

全ての対処について処理が完了していないと判定された場合、インシデント再現装置110は、ステップS1105に戻り、同様の処理を実行する。 If it is determined that the processing has not been completed for all the measures, the incident reproduction device 110 returns to step S1105 and executes the same processing.

具体的には、影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。 Specifically, the CPU 113 that executes the impact analysis program 124 activates the countermeasure application program 125.

全ての対処について処理が完了したと判定された場合、インシデント再現装置110は、全ての攻撃シナリオについて処理が完了したか否かを判定する(ステップS1110)。 When it is determined that the processing is completed for all the countermeasures, the incident reproduction device 110 determines whether or not the processing is completed for all the attack scenarios (step S1110).

全ての攻撃シナリオについて処理が完了していないと判定された場合、インシデント再現装置110は、ステップS1101に戻り、同様の処理を実行する。 If it is determined that the processing has not been completed for all the attack scenarios, the incident reproduction device 110 returns to step S1101 and executes the same processing.

具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現プログラム123を起動する。インシデント再現プログラム123を実行するCPU113は、生成された攻撃シナリオの中から未処理の攻撃シナリオを選択する。 Specifically, the CPU 113 that executes the impact analysis program 124 activates the incident reproduction program 123. The CPU 113 that executes the incident reproduction program 123 selects an unprocessed attack scenario from the generated attack scenarios.

全ての攻撃シナリオについて処理が完了したと判定された場合、インシデント再現装置110はインシデント再現処理を終了する。 When it is determined that the processing is completed for all the attack scenarios, the incident reproduction device 110 ends the incident reproduction processing.

なお、実施例2は以下のような変形例も考えられる。 In addition, the following modified examples can be considered in Example 2.

(変形例1)インシデント再現装置110は、インターネット等で公開された攻撃コードを収集し、攻撃手法管理情報800を生成又は更新してもよい。これによって、最新の攻撃手法を含む攻撃シナリオを生成できる。 (Modification 1) The incident reproduction device 110 may collect attack codes published on the Internet or the like and generate or update attack method management information 800. This makes it possible to generate an attack scenario that includes the latest attack methods.

(変形例2)インシデント再現装置110は、インシデントデータに含まれる攻撃シナリオから新たな攻撃シナリオを生成する代わりに、インターネット等で公開された攻撃シナリオを用いる。これによって、多様な攻撃シナリオに起因するインシデントを再現することができ、適用可能な対策の選択の幅を広げることができる。 (Modification 2) The incident reproduction device 110 uses an attack scenario published on the Internet or the like instead of generating a new attack scenario from the attack scenario included in the incident data. As a result, incidents caused by various attack scenarios can be reproduced, and the range of choices for applicable countermeasures can be expanded.

以上で説明したように、実施例2によれば、いずれの組織でも発生していない攻撃シナリオに起因するインシデントを再現し、その影響を分析できる。これによって、今後発生する可能性がある攻撃に対する対策を講じることができる。 As described above, according to the second embodiment, it is possible to reproduce an incident caused by an attack scenario that has not occurred in any of the organizations and analyze its influence. This makes it possible to take countermeasures against possible attacks in the future.

なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。 The present invention is not limited to the above-described embodiment, and includes various modifications. Further, for example, the above-described embodiment describes the configuration in detail in order to explain the present invention in an easy-to-understand manner, and is not necessarily limited to the one including all the described configurations. Further, it is possible to add, delete, or replace a part of the configuration of each embodiment with other configurations.

また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるプロセッサが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD-ROM、DVD-ROM、ハードディスク、SSD(Solid State Drive)、光ディスク、光磁気ディスク、CD-R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。 Further, each of the above configurations, functions, processing units, processing means and the like may be realized by hardware by designing a part or all of them by, for example, an integrated circuit. The present invention can also be realized by a software program code that realizes the functions of the examples. In this case, a storage medium in which the program code is recorded is provided to the computer, and the processor included in the computer reads out the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the function of the above-described embodiment, and the program code itself and the storage medium storing it constitute the present invention. Examples of the storage medium for supplying such a program code include a flexible disk, a CD-ROM, a DVD-ROM, a hard disk, an SSD (Solid State Drive), an optical disk, a magneto-optical disk, a CD-R, and a magnetic tape. Non-volatile memory cards, ROMs, etc. are used.

また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Python、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。 In addition, the program code that realizes the functions described in this embodiment can be implemented in a wide range of programs or script languages such as assembler, C / C ++, perl, Shell, PHP, Python, and Java (registered trademark).

さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD-RW、CD-R等の記憶媒体に格納し、コンピュータが備えるプロセッサが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。 Further, by distributing the program code of the software that realizes the functions of the embodiment via the network, the program code is stored in a storage means such as a hard disk or a memory of a computer or a storage medium such as a CD-RW or a CD-R. The processor included in the computer may read and execute the program code stored in the storage means or the storage medium.

上述の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。 In the above-described embodiment, the control lines and information lines show what is considered necessary for explanation, and do not necessarily indicate all the control lines and information lines in the product. All configurations may be interconnected.

100 システム
101、142 ネットワーク
110 インシデント再現装置
112 インタフェース
113 CPU
114 メインメモリ
115 記憶装置
116 入出力装置
117 通信路
121 インシデントデータ受信プログラム
122 業務システム構築プログラム
123 インシデント再現プログラム
124 影響分析プログラム
125 対策適用プログラム
126 提示プログラム
131 インシデントデータ管理情報
132 業務システム管理情報
133 インシデント再現結果管理情報
140 評価環境
141 評価業務システム
150 本番環境
700 表示画面
800 攻撃手法管理情報
100 System 101, 142 Network 110 Incident Reproduction Device 112 Interface 113 CPU
114 Main memory 115 Storage device 116 Input / output device 117 Communication path 121 Incident data reception program 122 Business system construction program 123 Incident reproduction program 124 Impact analysis program 125 Countermeasure application program 126 Presentation program 131 Incident data management information 132 Business system management information 133 Incident Reproduction result management information 140 Evaluation environment 141 Evaluation business system 150 Production environment 700 Display screen 800 Attack method management information

Claims (6)

複数の計算機を備える計算機システムであって、
前記複数の計算機の各々は、プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有し、
前記計算機システムは、
業務を実行する複数の業務システムと接続し、
前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を管理し、
第1の業務システムにおいて発生したインシデントに関する情報、前記第1の業務システムにおける影響の検出方法に関する情報、及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含むインシデントデータを取得する第1の処理と
前記業務システム管理情報に基づいて、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する第2の処理と
前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第3の処理と
前記分析の結果を出力する第4の処理と、を実行し、
前記第3の処理では、
前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定する処理と、
前記評価業務システムの判定基準を満たすと判定された場合、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用する処理と、
前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する処理と、が実行されることを特徴とする計算機システム。
It is a computer system equipped with multiple computers.
Each of the plurality of computers has a processor, a storage device connected to the processor, and an interface connected to the processor.
The computer system is
Connect to multiple business systems that execute business,
It manages business system management information that defines the configuration of each of the plurality of business systems and the judgment criteria for determining the presence or absence of influence.
Incident data including information on incidents that occurred in the first business system, information on how to detect the impact on the first business system, and information on actions taken to eliminate the impact on the first business system. The first process to get
A second process for constructing an evaluation business system that is a business system connected to the computer system based on the business system management information and that simulates a business system different from the first business system.
Based on the incident data, a third process of reproducing the incident that occurred in the first business system on the evaluation business system and analyzing the influence of the incident on the evaluation business system, and
The fourth process of outputting the result of the analysis is executed.
In the third process,
A process of determining whether or not the determination criteria of the evaluation business system are satisfied based on the method of detecting the influence in the first business system, and a process of determining whether or not the determination criteria are satisfied.
When it is determined that the determination criteria of the evaluation business system are satisfied, it is determined that the incident generated in the first business system has an influence on the evaluation business system, and the evaluation business system is compared with the first. Processing to apply measures corresponding to the measures taken to eliminate the impact on the business system of
A computer characterized in that a process of reproducing an incident that occurred in the first business system on an evaluation business system to which the countermeasures are applied and analyzing the influence of the incident on the evaluation business system is executed. system.
複数の計算機を備える計算機システムであって、 It is a computer system equipped with multiple computers.
前記複数の計算機の各々は、プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有し、 Each of the plurality of computers has a processor, a storage device connected to the processor, and an interface connected to the processor.
前記計算機システムは、 The computer system is
業務を実行する複数の業務システムと接続し、 Connect to multiple business systems that execute business,
第1の業務システムにおいて発生したインシデントに関する情報、及び前記第1の業務システムに対する複数の攻撃の組み合わせとして定義された攻撃シナリオを含むインシデントデータを取得し、 Acquires incident data including information on incidents that occurred in the first business system and attack scenarios defined as a combination of multiple attacks on the first business system.
前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築し、 An evaluation business system that is a business system connected to the computer system and that simulates a business system different from the first business system is constructed.
前記インシデントデータに含まれる前記攻撃シナリオを構成する前記複数の攻撃の少なくとも一つを変更することによって、検証用攻撃シナリオを生成し、 By modifying at least one of the plurality of attacks constituting the attack scenario included in the incident data, a verification attack scenario is generated.
前記検証用攻撃シナリオに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析し、 Based on the verification attack scenario, the incident that occurred in the first business system is reproduced on the evaluation business system, and the influence of the incident on the evaluation business system is analyzed.
前記分析の結果を出力することを特徴とする計算機システム。 A computer system characterized by outputting the result of the analysis.
計算機システムが実行するインシデントによる業務システムへの影響の分析方法であって、 It is a method of analyzing the impact of an incident executed by a computer system on a business system.
前記計算機システムは、 The computer system is
プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有する複数の計算機を含み、 A processor, a storage device connected to the processor, and a plurality of computers having an interface connected to the processor.
業務を実行する複数の業務システムと接続し、 Connect to multiple business systems that execute business,
前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を管理し、 It manages business system management information that defines the configuration of each of the plurality of business systems and the judgment criteria for determining the presence or absence of influence.
前記分析方法は、 The analysis method is
少なくとも一つの計算機が、第1の業務システムにおいて発生したインシデントに関する情報、前記第1の業務システムにおける影響の検出方法に関する情報、及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含むインシデントデータを取得する第1のステップと、 At least one computer has information on the incident that occurred in the first business system, information on how to detect the impact on the first business system, and the measures taken to eliminate the impact on the first business system. The first step to get incident data, including information about
前記少なくとも一つの計算機が、前記業務システム管理情報に基づいて、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する第2のステップと、 The first is to construct an evaluation business system in which the at least one computer is a business system connected to the computer system based on the business system management information and which simulates a business system different from the first business system. 2 steps and
前記少なくとも一つの計算機が、前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第3のステップと、 A third step in which the at least one computer reproduces an incident that occurred in the first business system on the evaluation business system based on the incident data, and analyzes the influence of the incident on the evaluation business system. When,
前記少なくとも一つの計算機が、前記分析の結果を出力する第4のステップと、を含み、 The at least one computer comprises a fourth step of outputting the result of the analysis.
前記第3のステップは、 The third step is
前記少なくとも一つの計算機が、前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定するステップと、 A step of determining whether or not the at least one computer satisfies the determination criteria of the evaluation business system based on the method of detecting the influence in the first business system.
前記評価業務システムの判定基準を満たすと判定された場合、前記少なくとも一つの計算機が、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用するステップと、 When it is determined that the determination criteria of the evaluation business system are satisfied, the at least one computer determines that the incident generated in the first business system has an influence on the evaluation business system, and the evaluation business system In response to the above, the step of applying the measures corresponding to the measures taken to eliminate the influence on the first business system, and
前記少なくとも一つの計算機が、前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析するステップと、を含むことを特徴とする分析方法。 The at least one computer includes a step of reproducing an incident that occurred in the first business system on the evaluation business system to which the countermeasure is applied, and analyzing the influence of the incident on the evaluation business system. An analysis method characterized by.
計算機システムが実行するインシデントによる業務システムへの影響の分析方法であって、 It is a method of analyzing the impact of an incident executed by a computer system on a business system.
前記計算機システムは、 The computer system is
プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有する複数の計算機を含み、 A processor, a storage device connected to the processor, and a plurality of computers having an interface connected to the processor.
業務を実行する複数の業務システムと接続し、 Connect to multiple business systems that execute business,
前記分析方法は、 The analysis method is
少なくとも一つの計算機が、第1の業務システムにおいて発生したインシデントに関する情報及び前記第1の業務システムに対する複数の攻撃の組み合わせとして定義された攻撃シナリオを含むインシデントデータを取得する第1のステップと、 A first step in which at least one computer acquires incident data including information on an incident that occurred in the first business system and an attack scenario defined as a combination of a plurality of attacks on the first business system.
前記少なくとも一つの計算機が、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する第2のステップと、 The second step of constructing an evaluation business system in which the at least one computer is a business system connected to the computer system and which simulates a business system different from the first business system.
前記少なくとも一つの計算機が、前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第3のステップと、 A third step in which the at least one computer reproduces an incident that occurred in the first business system on the evaluation business system based on the incident data, and analyzes the influence of the incident on the evaluation business system. When,
前記少なくとも一つの計算機が、前記分析の結果を出力する第4のステップと、を含み、 The at least one computer comprises a fourth step of outputting the result of the analysis.
前記第3のステップは、 The third step is
前記少なくとも一つの計算機が、前記攻撃シナリオを構成する前記複数の攻撃の少なくとも一つを変更することによって、検証用攻撃シナリオを生成するステップと、 A step in which the at least one computer generates a verification attack scenario by modifying at least one of the plurality of attacks constituting the attack scenario.
前記少なくとも一つの計算機が、前記検証用攻撃シナリオに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現するステップと、を含むことを特徴とする分析方法。 An analysis method comprising: that at least one computer reproduces an incident that occurred in the first business system on the evaluation business system based on the verification attack scenario.
プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有する分析装置であって、 An analyzer having a processor, a storage device connected to the processor, and an interface connected to the processor.
業務を実行する複数の業務システムと接続し、 Connect to multiple business systems that execute business,
前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を保持し、 Holds business system management information that defines the configuration of each of the multiple business systems and the criteria for determining the presence or absence of impact.
第1の業務システムにおいて発生したインシデントに関する情報、前記第1の業務システムにおける影響の検出方法に関する情報、及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含むインシデントデータを取得する受信部と、 Incident data including information on incidents that occurred in the first business system, information on how to detect the impact on the first business system, and information on actions taken to eliminate the impact on the first business system. And the receiver to get
前記分析装置と接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する構築部と、 A construction unit that builds an evaluation business system that is a business system connected to the analyzer and that simulates a business system different from the first business system.
前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する分析部と、 Based on the incident data, an analysis unit that reproduces the incident that occurred in the first business system on the evaluation business system and analyzes the influence of the incident on the evaluation business system.
前記分析部によって、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定された場合、前記評価業務システムに対して当該インシデントによる影響を防止するための対策を適用する対策適用部と、 When the analysis unit determines that an incident that occurs in the first business system has an impact on the evaluation business system, measures are applied to the evaluation business system to prevent the impact of the incident. Measures application department and
前記分析の結果を出力する提示部と、を備え、 A presentation unit that outputs the result of the analysis is provided.
前記構築部は、前記業務システム管理情報に基づいて、前記評価業務システムを構築し、 The construction unit constructs the evaluation business system based on the business system management information.
前記分析部は、 The analysis unit
前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定し、 Based on the influence detection method in the first business system, it is determined whether or not the determination criteria of the evaluation business system are satisfied.
前記評価業務システムの判定基準を満たすと判定された場合、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、 When it is determined that the determination criteria of the evaluation business system are satisfied, it is determined that the incident generated in the first business system has an influence on the evaluation business system.
前記対策適用部は、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用し、 The countermeasure application unit applies the countermeasures corresponding to the countermeasures taken to eliminate the influence on the first business system to the evaluation business system.
前記分析部は、前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析することを特徴とする分析装置。 The analysis unit is an analysis device that reproduces an incident that occurred in the first business system on an evaluation business system to which the countermeasures are applied, and analyzes the influence of the incident on the evaluation business system.
プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有する分析装置であって、 An analyzer having a processor, a storage device connected to the processor, and an interface connected to the processor.
業務を実行する複数の業務システムと接続し、 Connect to multiple business systems that execute business,
第1の業務システムにおいて発生したインシデントに関する情報及び前記第1の業務システムに対する複数の攻撃の組み合わせとして定義された攻撃シナリオを含むインシデントデータを取得する受信部と、 A receiver that acquires incident data including information on an incident that occurred in the first business system and an attack scenario defined as a combination of a plurality of attacks on the first business system.
前記分析装置と接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する構築部と、 A construction unit that builds an evaluation business system that is a business system connected to the analyzer and that simulates a business system different from the first business system.
前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する分析部と、 Based on the incident data, an analysis unit that reproduces the incident that occurred in the first business system on the evaluation business system and analyzes the influence of the incident on the evaluation business system.
前記分析の結果を出力する提示部と、を備え、 A presentation unit that outputs the result of the analysis is provided.
前記分析部は、 The analysis unit
前記攻撃シナリオを構成する前記複数の攻撃の少なくとも一つを変更することによって、検証用攻撃シナリオを生成し、 By modifying at least one of the plurality of attacks constituting the attack scenario, a verification attack scenario is generated.
前記検証用攻撃シナリオに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現することを特徴とする分析装置。 An analysis device characterized by reproducing an incident that occurred in the first business system on the evaluation business system based on the verification attack scenario.
JP2019020335A 2019-02-07 2019-02-07 Computer system, analysis method of impact of incident on business system, and analysis equipment Active JP7078562B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019020335A JP7078562B2 (en) 2019-02-07 2019-02-07 Computer system, analysis method of impact of incident on business system, and analysis equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019020335A JP7078562B2 (en) 2019-02-07 2019-02-07 Computer system, analysis method of impact of incident on business system, and analysis equipment

Publications (2)

Publication Number Publication Date
JP2020129166A JP2020129166A (en) 2020-08-27
JP7078562B2 true JP7078562B2 (en) 2022-05-31

Family

ID=72174593

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019020335A Active JP7078562B2 (en) 2019-02-07 2019-02-07 Computer system, analysis method of impact of incident on business system, and analysis equipment

Country Status (1)

Country Link
JP (1) JP7078562B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12609954B2 (en) 2020-10-22 2026-04-21 Nec Corporation Attack scenario generation apparatus, risk analysis apparatus, method, and computer readable media
JP7544670B2 (en) * 2021-08-04 2024-09-03 株式会社日立製作所 Signature management device and signature management method
JP2024086460A (en) * 2022-12-16 2024-06-27 株式会社日立製作所 Security measures planning system and security measures planning method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3404032B1 (en) 2002-04-09 2003-05-06 さくら情報システム株式会社 Computer virus countermeasure system and computer virus countermeasure method
JP2016099857A (en) 2014-11-25 2016-05-30 株式会社日立システムズ Fraudulent program handling system and fraudulent program handling method
JP2018045327A (en) 2016-09-12 2018-03-22 株式会社日立アドバンストシステムズ Security device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3404032B1 (en) 2002-04-09 2003-05-06 さくら情報システム株式会社 Computer virus countermeasure system and computer virus countermeasure method
JP2016099857A (en) 2014-11-25 2016-05-30 株式会社日立システムズ Fraudulent program handling system and fraudulent program handling method
JP2018045327A (en) 2016-09-12 2018-03-22 株式会社日立アドバンストシステムズ Security device

Also Published As

Publication number Publication date
JP2020129166A (en) 2020-08-27

Similar Documents

Publication Publication Date Title
US11856015B2 (en) Anomalous action security assessor
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US12250327B2 (en) Systems and methods for digital certificate security
JP6680840B2 (en) Automatic detection of fraudulent digital certificates
US10574684B2 (en) Locally detecting phishing weakness
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
JP7384208B2 (en) Security risk analysis support device, method, and program
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
JP2020160611A (en) Test scenario generation device and test scenario generation method and test scenario generation program
US20220237302A1 (en) Rule generation apparatus, rule generation method, and computer-readable recording medium
JP7078562B2 (en) Computer system, analysis method of impact of incident on business system, and analysis equipment
WO2018211827A1 (en) Assessment program, assessment method, and information processing device
JP5656266B2 (en) Blacklist extraction apparatus, extraction method and extraction program
IL280098B1 (en) Systems and methods for reporting computer security incidents
JP5413010B2 (en) Analysis apparatus, analysis method, and program
EP4088437B1 (en) Correlation-based network security
JP7000271B2 (en) Vehicle unauthorized access countermeasure device and vehicle unauthorized access countermeasure method
WO2021144978A1 (en) Attack estimation device, attack estimation method, and attack estimation program
US20250045385A1 (en) System and method for terminating ransomware based on detection of anomalous data
Aziz Ransomware in high-risk environments
WO2023175953A1 (en) Information processing device, information processing method, and computer-readable recording medium
JP2021114155A (en) Security measure support device and security measure support method
KR102792533B1 (en) Security analysis method for detecting abnormal behavior in financial environment and apparatus
Karagiannis et al. Automated and On-Demand Cybersecurity Certification
WO2026053334A1 (en) Attack channel data management device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210302

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220519

R150 Certificate of patent or registration of utility model

Ref document number: 7078562

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150