Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7576535B2 - Security management system and security management method - Google Patents
[go: Go Back, main page]

JP7576535B2 - Security management system and security management method - Google Patents

Security management system and security management method Download PDF

Info

Publication number
JP7576535B2
JP7576535B2 JP2021207853A JP2021207853A JP7576535B2 JP 7576535 B2 JP7576535 B2 JP 7576535B2 JP 2021207853 A JP2021207853 A JP 2021207853A JP 2021207853 A JP2021207853 A JP 2021207853A JP 7576535 B2 JP7576535 B2 JP 7576535B2
Authority
JP
Japan
Prior art keywords
attack
information
information indicating
threat
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021207853A
Other languages
Japanese (ja)
Other versions
JP2023092689A (en
Inventor
睦 下田
尚 河内
洋子 熊谷
博史 仲小路
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021207853A priority Critical patent/JP7576535B2/en
Publication of JP2023092689A publication Critical patent/JP2023092689A/en
Application granted granted Critical
Publication of JP7576535B2 publication Critical patent/JP7576535B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、セキュリティ管理システム、及びセキュリティ管理方法に関する。 The present invention relates to a security management system and a security management method.

サイバー攻撃等の脅威に対する対策の立案を支援する仕組みとして、例えば、特許文献1には、脆弱性を低減するための対策やセキュリティテストを判断することを目的として構成されたリスク評価対策立案システムについて記載されている。リスク評価対策立案システムは、脆弱性分析部の分析結果に基づきシステムに対する脅威を分析して脅威分析結果を出力する脅威分析処理部、脅威分析結果と脆弱性情報に基づいて脆弱性の影響を低減する対策立案を立案する対策立案部、対策立案に基づいてセキュリティテストを立案するセキュリティテスト立案部、及びセキュリティテストに基づいて評価を行って評価結果を出力する評価演算部、評価結果を処理してセキュリティ対策を生成する結果処理部を有する。 As a mechanism for supporting the planning of countermeasures against threats such as cyber attacks, for example, Patent Literature 1 describes a risk assessment countermeasure planning system configured for the purpose of determining countermeasures and security tests for reducing vulnerabilities. The risk assessment countermeasure planning system has a threat analysis processing unit that analyzes threats to the system based on the analysis results of the vulnerability analysis unit and outputs the threat analysis results, a countermeasure planning unit that plans countermeasures to reduce the impact of vulnerabilities based on the threat analysis results and vulnerability information, a security test planning unit that plans security tests based on the countermeasure plans, an evaluation calculation unit that performs evaluation based on the security tests and outputs the evaluation results, and a result processing unit that processes the evaluation results and generates security countermeasures.

国際公開第2020/202934号International Publication No. 2020/202934

近年、セキュリティ管理の対象となるシステムの構成が複雑化し、多様な脅威に対する適切な対策の選出や、対策に漏れがないことの確認に要する労力や時間の削減が課題となっている。また、コストを抑制しつつ対策を適切に実施するために、対策の立案に際しては脅威に対する対策の有効性や優先順位を判断する必要もある。 In recent years, the configurations of systems subject to security management have become increasingly complex, making it difficult to select appropriate measures against a variety of threats and to reduce the effort and time required to ensure that all measures are implemented. In addition, in order to implement measures appropriately while keeping costs down, it is also necessary to determine the effectiveness and priority of measures against threats when formulating them.

本発明は、このような背景に鑑みてなされたものであり、多様な脅威に対する有効かつ適切な対策の立案にかかる作業を支援することが可能な、セキュリティ管理システム及びセキュリティ管理方法を提供することを目的とする。 The present invention was made in light of this background, and aims to provide a security management system and a security management method that can support the work of planning effective and appropriate measures against a variety of threats.

上記目的を達成するための本発明のうちの一つは、プロセッサ及びメモリを有する情報処理装置を用いて構成されるセキュリティ管理システムであって、情報処理システムを構成する資産の夫々に対する攻撃に関する情報と、前記攻撃に対する対策に関する情報とを含む、脅威/対策情報と、セキュリティ対策の評価対象となる情報処理システムである評価対象システムの構成を特定する情報を含む評価対象モデルと、前記評価対象モデルにおいて想定される脅威の攻撃経路を示す情報である攻撃経路情報と、を記憶し、前記攻撃経路における前記各資産における攻撃手順を示す情報を前記脅威/対策情報に基づき生成し、生成した前記各資産における前記攻撃手順を示す情報に基づき、前記攻撃経路における攻撃手順を示す情報を一つ以上生成し、生成した前記攻撃経路における攻撃手順を示す情報を論理的に接続することにより前記脅威を事象とするFT(Fault Tree)を生成し、前記脅威/対策情報における前記攻撃に関する情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とを含み、前記攻撃経路における攻撃手順を示す情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とに基づき生成され、生成した前記攻撃経路における攻撃手順を示す情報を和(OR)の論理関係で接続し、接続した前記攻撃手順を示す情報の夫々の下位に、夫々の前記攻撃の技術を示す情報を積(AND)の論理関係で接続することにより前記FT(Fault Tree)を生成する
One of the present inventions for achieving the above object is a security management system configured using an information processing device having a processor and a memory, which stores threat/countermeasure information including information on attacks against each of assets constituting an information processing system and information on countermeasures against the attacks, an evaluation target model including information specifying a configuration of an evaluation target system which is an information processing system to be evaluated for security measures, and attack path information which is information indicating an attack path of a threat assumed in the evaluation target model, generates information indicating an attack procedure for each of the assets in the attack path based on the threat/countermeasure information, generates one or more pieces of information indicating the attack procedures in the attack path based on the generated information indicating the attack procedures in each of the assets, and logically connects the generated information indicating the attack procedures in the attack path to generate an FT (Fault Tolerance) which treats the threat as an event. The information relating to the attack in the threat/countermeasure information includes information indicating the attack strategy and information indicating the attack technique, and the information indicating the attack procedure in the attack path is generated based on the information indicating the attack strategy and the information indicating the attack technique, and the FT (Fault Tree) is generated by connecting the generated information indicating the attack procedures in the attack path with a logical relationship of sum (OR), and connecting each piece of information indicating the attack technique to a lower level of each piece of the connected information indicating the attack procedure with a logical relationship of product (AND) .

その他、本願が開示する課題、及びその解決方法は、発明を実施するための形態の欄、及び図面により明らかにされる。 Other problems and solutions disclosed in this application will be made clear in the detailed description of the invention and the drawings.

本発明によれば、多様な脅威に対する有効かつ適切な対策の立案にかかる作業を支援することができる。 The present invention can assist in the task of developing effective and appropriate countermeasures against a variety of threats.

セキュリティ管理システムの一例を示す図である。FIG. 1 illustrates an example of a security management system. 脅威分析手法の一例を説明する図である。FIG. 1 is a diagram illustrating an example of a threat analysis method. 本実施形態の脅威分析手法を説明する図である。FIG. 2 is a diagram illustrating a threat analysis method according to the present embodiment. セキュリティ設計支援装置の機能の一例を示す図である。FIG. 2 illustrates an example of functions of the security design support device. ユーザ端末の機能の一例を示す図である。FIG. 2 is a diagram illustrating an example of functions of a user terminal. セキュリティ管理システムの構成に用いる情報処理装置の一例を示す図である。FIG. 1 illustrates an example of an information processing device used in a configuration of a security management system. 対策立案処理を説明するフローチャートである。13 is a flowchart illustrating a countermeasure planning process. 評価対象情報の一例である。1 is an example of evaluation target information. 評価対象モデルの一例である。1 is an example of a model to be evaluated. 攻撃経路情報の一例である。1 is an example of attack path information. 脅威一覧情報の一例である。1 is an example of threat list information. FT生成分析処理の一例を説明するフローチャートである。13 is a flowchart illustrating an example of an FT generation and analysis process. FT生成分析処理の一例を説明するフローチャートである。13 is a flowchart illustrating an example of an FT generation and analysis process. 脅威/対策情報の一例である。This is an example of threat/countermeasure information. 順列組合せの一例である。This is an example of a permutation combination. 評価対象モデルの一例である。1 is an example of a model to be evaluated. 攻撃経路生成時制約条件の一例である。13 is an example of a constraint condition for generating an attack path. 攻撃手順(戦略レベル)の一例である。This is an example of an attack procedure (strategic level). 攻撃手順(技術レベル)の一例である。This is an example of an attack procedure (technical level). FTの一例である。This is an example of FT. FT分析結果の一例である。1 is an example of an FT analysis result. 対策立案結果の一例である。This is an example of the results of countermeasures. 対策立案結果提示画面の一例である。13 is an example of a countermeasure planning result display screen.

以下、図面を参照しつつ本発明の実施形態について説明する。以下の記載及び図面は、本発明を説明するための例示であり、説明の明確化のため、適宜、省略及び簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。とくに限定しない限り、各構成要素は単数でも複数でも構わない。 The following describes an embodiment of the present invention with reference to the drawings. The following description and drawings are examples for explaining the present invention, and some parts have been omitted or simplified as appropriate for clarity of explanation. The present invention can also be implemented in various other forms. Unless otherwise specified, each component may be singular or plural.

以下の説明において、識別情報について説明する際に、「識別子」、「名」、「ID」、「番号」等の表現を用いるが、これらについてはお互いに置換することが可能である。また、以下の説明において、「テーブル」、「情報」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。また、データ構造に依存しないことを示すために「XXテーブル」等を「XX情報」と称することがある。 In the following explanation, when describing identification information, expressions such as "identifier," "name," "ID," and "number" are used, but these are interchangeable. In addition, in the following explanation, various types of information may be described using expressions such as "table" and "information," but the various types of information may be expressed in data structures other than these. Furthermore, an "XX table" etc. may be referred to as "XX information" to indicate independence from the data structure.

以下の説明において、「通信ネットワーク」のことを「通信NW」と表記することがある。また、以下の説明において、「通信インタフェース」のことを「通信IF」と表記することがある。また、以下の説明において、同一の又は類似する構成について重複した説明を省略することがある。また、以下の説明において、符号の前に付した「S」の文字は処理ステップの意味である。 In the following explanation, the "communication network" may be written as "communication NW." Also, in the following explanation, the "communication interface" may be written as "communication IF." Also, in the following explanation, duplicated explanations of identical or similar configurations may be omitted. Also, in the following explanation, the letter "S" before a symbol indicates a processing step.

図1に、一実施形態として説明する情報処理システム(以下、「セキュリティ管理システム1」と称する。)の概略的な構成を示している。同図に示すように、セキュリティ管理システム1は、セキュリティ設計支援装置(以下、「支援装置100」と称する。)と、支援装置100を利用するユーザが操作する一つ以上のユーザ端末200とを含む。 Figure 1 shows a schematic configuration of an information processing system (hereinafter referred to as "security management system 1") described as one embodiment. As shown in the figure, the security management system 1 includes a security design support device (hereinafter referred to as "support device 100") and one or more user terminals 200 operated by a user who uses the support device 100.

支援装置100は、ユーザ端末200と第1通信NW51を介して通信可能に接続されている。また、支援装置100は、分野別のセキュリティ知識(以下、「分野別セキュリティ知識」と称する。)を提供する外部サーバ300と第2通信NW52を介して通信可能に接続されている。 The support device 100 is communicatively connected to a user terminal 200 via a first communication network 51. The support device 100 is also communicatively connected to an external server 300 that provides field-specific security knowledge (hereinafter referred to as "field-specific security knowledge") via a second communication network 52.

第1通信NW51と第2通信NW52とは、有線方式又は無線方式の通信ネットワークであり、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、イン
ターネット、各種公衆無線通信網、専用線等である。第1通信NW51と第2通信NW52は、互いに接続されていてもよいし共通でもよい。
The first communication NW 51 and the second communication NW 52 are wired or wireless communication networks, such as a local area network (LAN), a wide area network (WAN), the Internet, various public wireless communication networks, dedicated lines, etc. The first communication NW 51 and the second communication NW 52 may be connected to each other or may be a common network.

支援装置100は、例えば、SOCサービス(SOC:Security Operation Center)を提供する事業者等によって管理される情報処理装置であり、セキュリティ関連情報を利用して脅威や脅威に対する対策等の情報を生成し、生成した情報をユーザ端末200を介してユーザに提供する。 The support device 100 is, for example, an information processing device managed by a business providing SOC services (SOC: Security Operation Center), and uses security-related information to generate information on threats and countermeasures against threats, etc., and provides the generated information to the user via the user terminal 200.

ユーザ端末200は、支援装置100から提供される上記情報を利用するユーザが利用する情報処理装置である。ユーザは、例えば、セキュリティ管理の対象となる情報処理システムについて想定される脅威の特定(脅威の洗出し)や脅威に対する対策の立案を行う分析者である。また、ユーザは、例えば、顧客の情報処理システムについてセキュリティ管理のためのコンサルティング業務を行うセキュリティアドバイザである。 The user terminal 200 is an information processing device used by a user who uses the above information provided by the support device 100. The user is, for example, an analyst who identifies (examines) anticipated threats to the information processing system that is the subject of security management and plans countermeasures against the threats. The user is, for example, a security advisor who provides consulting services for security management of customers' information processing systems.

外部サーバ300は、支援装置100にセキュリティ関連情報を第2通信NW52を介して提供する情報処理装置である。外部サーバ300は、例えば、攻撃者が情報処理システムにおいて標的とする目的に至る戦略(Tactics)、技術(Techniques)、及び手順(Procedures)をマトリックスとして整理/体系化した情報や、攻撃者が行う可能性のある
具体的な攻撃手法に対応づけられた対策(緩和策、検出方法)に関するフレームワーク等の情報(以下、「脅威/対策情報」と称する。))を支援装置100に提供する。外部サーバ300が提供する脅威/対策情報の例として、「MITRE(登録商標)」社が提供する
「ATT&CK for Enterprise」(登録商標)、「Lockheed Martin(登録商標)」社(登録商標)が開発した「Cyber Kill Chain」(登録商標)等のインターネットを介して提供される情報がある。本実施形態では、外部サーバ300が提供する脅威/対策情報が「MITRE
(登録商標)」社が提供する「ATT&CK for Enterprise」(登録商標)である場合を例と
して説明する。
The external server 300 is an information processing device that provides security-related information to the support device 100 via the second communication NW 52. The external server 300 provides the support device 100 with, for example, information (hereinafter referred to as "threat/countermeasure information") that organizes/systematizes, as a matrix, the strategies (Tactics), techniques (Techniques), and procedures (Procedures) that an attacker uses to reach a target objective in an information processing system, and information such as a framework related to countermeasures (mitigation measures, detection methods) associated with specific attack techniques that an attacker may perform. Examples of the threat/countermeasure information provided by the external server 300 include information provided via the Internet, such as "ATT&CK for Enterprise" (registered trademark) provided by "MITRE (registered trademark)" and "Cyber Kill Chain" (registered trademark) developed by "Lockheed Martin (registered trademark)". In this embodiment, the threat/countermeasure information provided by the external server 300 is information provided by "MITRE (registered trademark)" and is provided via the Internet, such as "ATT&CK for Enterprise" (registered trademark) provided by "MITRE (registered trademark)".
(registered trademark) provided by “ATT&CK for Enterprise” (registered trademark) will be used as an example.

図2は、セキュリティ管理の対象となる情報処理システム(以下、「評価対象システム」と称する。)についての脅威の分析(以下、「脅威分析」と称する。)に際して分析者が行う手法(以下、「脅威分析手法S20」と称する。)の一例を説明する図である。脅威分析手法S20は、評価対象システムにおける脅威の特定やリスクアセスメント、対策の立案等の工程を含む。 Figure 2 is a diagram explaining an example of a method (hereinafter referred to as "threat analysis method S20") that an analyst uses when analyzing threats (hereinafter referred to as "threat analysis") for an information processing system that is the subject of security management (hereinafter referred to as "evaluation target system"). The threat analysis method S20 includes processes such as identifying threats in the evaluation target system, risk assessment, and planning countermeasures.

同図に示すように、まず、分析者は、評価対象システム(TOE:Target of Evaluation)の定義を行う。具体的には、分析者は、評価対象システムをモデル化した情報(データ)である評価対象モデルを作成する(S21)。 As shown in the figure, first, the analyst defines the system to be evaluated (TOE: Target of Evaluation). Specifically, the analyst creates an evaluation target model, which is information (data) that models the system to be evaluated (S21).

続いて、分析者は、5W法等を用いて評価対象モデルについて想定される脅威を特定し(S22)、特定した各脅威についてリスクアセスメントを行うことにより各脅威のリスク値を求める(S23)。分析者は、例えば、共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)を用いてリスク値を求める。 Next, the analyst identifies potential threats to the model being evaluated using the 5W method or the like (S22), and determines a risk value for each identified threat by performing a risk assessment for each threat (S23). The analyst determines the risk value using, for example, the Common Vulnerability Scoring System (CVSS).

続いて、分析者は、対策の立案対象とする脅威を選出する(S24)。分析者は、例えば、リスク値の高い脅威から順に所定数の脅威を立案対象として選出する。 Next, the analyst selects threats for which countermeasures will be developed (S24). For example, the analyst selects a predetermined number of threats in descending order of risk value as targets for countermeasures.

続いて、分析者は、評価対象システムが属する分野(ドメイン)の専門家の知識(以下、「ドメイン知識」と称する。)に基づき、S24で選出した脅威に対する対策をベストプラクティス方式で立案する(S25)。 Next, the analyst uses the knowledge of experts in the field (domain) to which the system being evaluated belongs (hereafter referred to as "domain knowledge") to develop countermeasures against the threats selected in S24 using a best practice approach (S25).

尚、以上に示した脅威分析手法S20における作業や処理は、例えば、手作業の他、適宜各種の支援ツール(アプリケーションソフトウェア等)を用いて行われる。 The tasks and processes in the threat analysis method S20 described above are performed, for example, manually or using various support tools (application software, etc.) as appropriate.

ところで、以上の処理を行うためには、対策を立案するためのルールの作成や立案に必要な情報の準備や管理が必要である。また、ベストプライティス方式による方法では、脅威と対策との関係を必ずしも明確に把握することができないため、個々の脅威に対する対策の選出や対策に漏れがないことの確認に多大な労力と時間が必要である。また、脅威に対する対策の有効性や優先順位の判断が難しく、必要以上に対策が講じられてしまう可能性もある。 However, to carry out the above processing, it is necessary to create rules for formulating countermeasures and to prepare and manage the information required for the planning. Furthermore, with the best practices method, it is not always possible to clearly grasp the relationship between threats and countermeasures, so it takes a lot of time and effort to select countermeasures for each threat and to check that no countermeasures are missing. It is also difficult to judge the effectiveness and priority of countermeasures against threats, and there is a risk that more countermeasures than necessary will be taken.

そこで本実施形態のセキュリティ管理システム1は、図2のS24で選出した脅威に対して具体的にどのような手順や条件によって脅威(攻撃)が発生し得るのかをFT分析(FT:Fault Tree)の手法を用いて論理的に解析することにより対策を立案する。また、外部サーバ300から提供される脅威/対策情報(TTPs(Tactics Techniques and Procedures)等)を用いることにより、最新の情報に基づく適切かつ有効な対策の立案を可能とし
、対策の立案に必要な情報の収集/管理のための負荷軽減を図る。
Therefore, the security management system 1 of this embodiment formulates countermeasures by logically analyzing, using a Fault Tree (FT) analysis method, what specific procedures and conditions may cause a threat (attack) to occur against the threat selected in S24 of Fig. 2. In addition, by using threat/countermeasure information (TTPs (Tactics, Techniques and Procedures) and the like) provided by the external server 300, it is possible to formulate appropriate and effective countermeasures based on the latest information, and to reduce the load of collecting/managing information required for formulating countermeasures.

図3に本実施形態のセキュリティ管理システム1による脅威分析の手法(以下、「脅威分析手法S30」と称する。)の概要を示している。尚、同図において、S31~S34の手順については、図2の脅威分析手法S20のS21~S24の手順と同様であるので説明を省略する。 Figure 3 shows an overview of the threat analysis method (hereinafter referred to as "threat analysis method S30") by the security management system 1 of this embodiment. Note that in the figure, the steps S31 to S34 are the same as the steps S21 to S24 of the threat analysis method S20 in Figure 2, so a description will be omitted.

S34において対策の立案対象とする脅威を選出すると、支援装置100は、選出された脅威について、脅威/対策情報から取得される当該脅威を引き起こす具体的な方法(戦略(Tactics)や技術(Techniques))を事象として展開(論理的に接続)することによ
りFTを生成する(S35)。
When a threat for which countermeasures are to be developed is selected in S34, the support device 100 generates an FT for the selected threat by expanding (logically connecting) the specific methods (tactics and techniques) for causing the threat, which are obtained from the threat/countermeasure information, as events (S35).

より具体的には、支援装置100は、例えば、選出した脅威を親事象とし、脅威/対策情報から取得される、当該脅威を引き起こす具体的な手順(脅威/対策情報の戦略(Tactics)や技術(Techniques)から特定される手法)を子事象として展開することによりF
Tを生成する。尚、上記の展開に際し、支援装置100は、例えば、全ての子事象が成立しなければ親事象が成り立たない場合は各手法を積(AND)の論理関係で結合し、いずれかの子事象が成立すれば親事象が成り立つ場合は各方法を和(OR)の論理関係で結合することによりFTを生成する。
More specifically, the support device 100 develops the F by, for example, setting the selected threat as a parent event and developing specific procedures for causing the threat (methods identified from the tactics and techniques of the threat/countermeasure information) acquired from the threat/countermeasure information as child events.
In the above expansion, the support device 100 generates FT by combining the methods with a logical AND relation when the parent event is not realized unless all of the child events are realized, and by combining the methods with a logical OR relation when the parent event is realized if any of the child events are realized.

続いて、支援装置100は、例えば、ユーザ端末200を介して分析者等のユーザと対話処理を行いつつ、選出した脅威について、生成したFTを用いて対策を立案する(S36)。 Next, the support device 100 uses the generated FT to plan countermeasures against the selected threats, for example, while interactively processing with a user such as an analyst via the user terminal 200 (S36).

このように、本実施形態では、対策の立案にFT分析の結果を用いるため、分析者等のユーザは、脅威と対策との対応を容易かつ正確にとることができる。例えば、一つの脅威に対して複数の対策が存在する場合、ユーザは脅威と対策の論理的な関係から、いずれかの対策を実施することで足りるのか、全ての対策を実施する必要があるのかといったこと
を容易に判断することできる。そのため、ユーザは、有効な対策を必要十分な範囲で効率よく立案することができる。
In this manner, in this embodiment, the results of the FT analysis are used to plan countermeasures, so that a user such as an analyst can easily and accurately match threats with countermeasures. For example, when multiple countermeasures exist for one threat, a user can easily determine, from the logical relationship between the threat and the countermeasures, whether implementing one of the countermeasures is sufficient or whether it is necessary to implement all of the countermeasures. Therefore, a user can efficiently plan effective countermeasures to a necessary and sufficient extent.

また、外部サーバ300から提供される脅威/対策情報は随時更新されるため、ユーザは最新の情報に基づき適切な対策を立案することができる。また、提供される脅威/対策情報が対応する分野は、エンタープライズ、モバイル、産業用制御システム(ICS:Industrial Control System)、自動車、ヘルスケア等、広範に亘るため、分野(ドメイン)毎の専門家を動員することなく、多様な評価対象システムに柔軟に対応して個々のシステムに必要な対策を立案することができる。 In addition, the threat/countermeasure information provided by the external server 300 is updated on an ongoing basis, allowing users to plan appropriate countermeasures based on the latest information. In addition, the threat/countermeasure information provided covers a wide range of fields, including enterprise, mobile, industrial control systems (ICS), automobiles, and healthcare, making it possible to flexibly respond to a variety of systems to be evaluated and plan the countermeasures required for each system, without mobilizing experts for each field (domain).

また、本実施形態では脅威/対策情報(シナリオフレームワーク等)を活用するので、ユーザは一貫したセキュリティ管理(脅威分析、リスクアセスメント、脆弱性分析、脆弱性管理、対策立案等)を行うことができる。 In addition, this embodiment utilizes threat/countermeasure information (scenario frameworks, etc.), allowing users to perform consistent security management (threat analysis, risk assessment, vulnerability analysis, vulnerability management, countermeasure planning, etc.).

続いて、セキュリティ管理システム1の構成について具体的に説明する。 Next, we will explain in detail the configuration of the security management system 1.

図4に、支援装置100が備える主な機能を示す。同図に示すように、支援装置100は、記憶部110、情報取得管理部130、評価対象モデル生成部132、脅威一覧生成部134、リスク評価部136、脅威選出部138、FT生成分析部140、及び対策立案部150の各機能を備える。 Figure 4 shows the main functions of the support device 100. As shown in the figure, the support device 100 has the following functions: a memory unit 110, an information acquisition management unit 130, an evaluation target model generation unit 132, a threat list generation unit 134, a risk assessment unit 136, a threat selection unit 138, an FT generation and analysis unit 140, and a countermeasure planning unit 150.

上記機能のうち、記憶部110は、評価対象情報111、評価対象モデル112、攻撃経路情報113、脅威一覧情報114、脅威/対策情報115、攻撃経路生成時制約条件116、戦略/技術一覧117、攻撃手順(戦略レベル)118、攻撃手順(技術レベル)119、FT120、FT分析結果121、及び対策立案結果122を記憶する。これらの情報の詳細については後述する。 Of the above functions, the memory unit 110 stores evaluation target information 111, evaluation target model 112, attack path information 113, threat list information 114, threat/countermeasure information 115, attack path generation constraints 116, strategy/technology list 117, attack procedure (strategy level) 118, attack procedure (technical level) 119, FT 120, FT analysis results 121, and countermeasure planning results 122. Details of this information will be described later.

情報取得管理部130は、ユーザ端末200から評価対象システムに関する情報を取得し、取得した情報を評価対象情報111として管理する。また、情報取得管理部130は、外部サーバ300から脅威と脅威に対する対策が記載された情報である脅威/対策情報を随時取得し、取得した脅威/対策情報を脅威/対策情報115として管理する。 The information acquisition management unit 130 acquires information about the system to be evaluated from the user terminal 200, and manages the acquired information as evaluation target information 111. The information acquisition management unit 130 also acquires threat/countermeasure information, which is information that describes threats and countermeasures against threats, from the external server 300 at any time, and manages the acquired threat/countermeasure information as threat/countermeasure information 115.

評価対象モデル生成部132は、評価対象情報111に基づき評価対象モデルを生成し、生成した評価対象モデルを評価対象モデル112として管理する。 The evaluation target model generation unit 132 generates an evaluation target model based on the evaluation target information 111, and manages the generated evaluation target model as the evaluation target model 112.

脅威一覧生成部134は、評価対象モデル112について想定される脅威を脅威/対策情報115から抽出し、抽出した脅威に関する情報を脅威一覧情報114に管理する。 The threat list generation unit 134 extracts threats anticipated for the evaluation target model 112 from the threat/countermeasure information 115, and manages information related to the extracted threats in the threat list information 114.

リスク評価部136は、脅威一覧情報114の各脅威のリスク値を求め(リスクアセスメント)、求めたリスク値を脅威一覧情報114に反映する。尚、リスク評価部136は、例えば、前述した共通脆弱性評価システムを用いてリスク値を求める。 The risk assessment unit 136 determines a risk value for each threat in the threat list information 114 (risk assessment) and reflects the determined risk value in the threat list information 114. The risk assessment unit 136 determines the risk value, for example, using the common vulnerability assessment system described above.

FT生成分析部140は、評価対象モデル112についてFTを生成する。同図に示すように、FT生成分析部140は、攻撃経路特定部141、攻撃手順(戦略レベル)生成部142、攻撃手順(技術レベル)生成部143、FT生成部144、及びFT分析部145を有する。 The FT generation and analysis unit 140 generates an FT for the evaluation target model 112. As shown in the figure, the FT generation and analysis unit 140 has an attack path identification unit 141, an attack procedure (strategic level) generation unit 142, an attack procedure (technical level) generation unit 143, an FT generation unit 144, and an FT analysis unit 145.

攻撃経路特定部141は、評価対象モデル112における脅威一覧情報114の各脅威の攻撃経路を特定し、特定した攻撃経路を示す情報を攻撃経路情報113として管理する。尚、攻撃経路情報113は、例えば、STIX(Structured Threat Information eXpressio
n)等のサイバー攻撃活動を記述するための仕様に従って記述される。
The attack path identification unit 141 identifies the attack path of each threat in the threat list information 114 in the evaluation target model 112, and manages information indicating the identified attack path as attack path information 113. The attack path information 113 is, for example, a structured threat information eXpression (STIX) standard.
It is written in accordance with specifications for describing cyber attack activities such as

攻撃手順(戦略レベル)生成部142は、攻撃経路特定部141が特定した攻撃経路について、脅威/対策情報115に基づき攻撃手順を示す情報を戦略(Tactics)レベルで
生成し、生成した情報を攻撃手順(戦略レベル)118として管理する。
The attack procedure (tactics level) generation unit 142 generates information indicating attack procedures at the tactics level for the attack paths identified by the attack path identification unit 141 based on the threat/countermeasure information 115, and manages the generated information as attack procedures (tactics level) 118.

攻撃手順(技術レベル)生成部143は、攻撃手順(戦略レベル)生成部142が生成した攻撃手順(戦略レベル)118の各攻撃手順について、更に脅威/対策情報115に基づき技術(Techniques)レベルで攻撃手順を生成し、生成した情報を攻撃手順(技術レベル)119として管理する。 The attack procedure (technical level) generation unit 143 further generates attack procedures at a technique level based on the threat/countermeasure information 115 for each attack procedure in the attack procedures (strategic level) 118 generated by the attack procedure (strategic level) generation unit 142, and manages the generated information as attack procedures (technical level) 119.

FT生成部144は、攻撃手順(技術レベル)119に基づきFTを生成し、生成したFTをFT120として管理する。 The FT generation unit 144 generates an FT based on the attack procedure (technical level) 119 and manages the generated FT as an FT 120.

FT分析部145は、FT120の内容を分析し、分析結果をFT分析結果121として管理する。FT分析結果121は、例えば、脅威(攻撃)が成立する条件(以下、「攻撃成立条件」と称する。)や脅威(攻撃)が成立しない条件(以下、「攻撃不成立条件」と称する。)を示す情報を含む。 The FT analysis unit 145 analyzes the contents of the FT 120 and manages the analysis results as the FT analysis results 121. The FT analysis results 121 include information indicating, for example, the conditions under which a threat (attack) is established (hereinafter referred to as "attack establishment conditions") and the conditions under which a threat (attack) is not established (hereinafter referred to as "attack non-establishment conditions").

対策立案部150は、FT120に基づき評価対象モデル112の各脅威(脅威/対策情報115の各脅威)について対策を立案し、立案した結果を出力する。例えば、対策立案部150は、FT120やFT分析結果121の内容と、脅威/対策情報115において戦略や技術に対応づけられている対策から取得される対策の内容とをユーザ(分析者や分析者の顧客等)に提示しつつ、脅威に対する対策の立案を行う。対策立案部150は、立案の結果を対策立案結果122として管理する。また、対策立案部150は、対策立案結果122に基づく情報をユーザ端末200を介してユーザ(分析者や分析者の顧客等)に提示する。 The countermeasure planning unit 150 plans countermeasures for each threat in the evaluation target model 112 (each threat in the threat/countermeasure information 115) based on the FT 120, and outputs the planned results. For example, the countermeasure planning unit 150 plans countermeasures against threats while presenting to a user (an analyst, a customer of the analyst, etc.) the contents of the FT 120 and the FT analysis result 121, and the contents of the countermeasures obtained from the countermeasures associated with the strategies and technologies in the threat/countermeasure information 115. The countermeasure planning unit 150 manages the planning results as countermeasure planning results 122. The countermeasure planning unit 150 also presents information based on the countermeasure planning results 122 to a user (an analyst, a customer of the analyst, etc.) via the user terminal 200.

図5は、ユーザ端末200が備える主な機能を説明するブロック図である。同図に示すように、ユーザ端末200は、記憶部210、対話処理部220、評価対象情報受付部230、評価対象情報送信部235、対策立案結果受信部240、及び対策立案結果出力部245の各機能を備える。 Figure 5 is a block diagram explaining the main functions of the user terminal 200. As shown in the figure, the user terminal 200 has the functions of a memory unit 210, a dialogue processing unit 220, an evaluation target information receiving unit 230, an evaluation target information transmitting unit 235, a countermeasure planning result receiving unit 240, and a countermeasure planning result output unit 245.

上記機能のうち、記憶部210は、評価対象情報111及び対策立案結果122を記憶する。 Of the above functions, the memory unit 210 stores the evaluation target information 111 and the countermeasure planning results 122.

対話処理部220は、ユーザから情報の入力を受け付ける機能や、ユーザに情報を提示する機能を提供する。 The dialogue processing unit 220 provides functions for accepting information input from the user and presenting information to the user.

評価対象情報受付部230は、対話処理部220を介して評価対象情報111を受け付ける。評価対象情報送信部235は、評価対象情報受付部230が受け付けた評価対象情報111を第1通信NW51を介して支援装置100に送信する。 The evaluation target information receiving unit 230 receives the evaluation target information 111 via the dialogue processing unit 220. The evaluation target information transmitting unit 235 transmits the evaluation target information 111 received by the evaluation target information receiving unit 230 to the support device 100 via the first communication NW 51.

対策立案結果受信部240は、第1通信NW51を介して支援装置100から対策立案結果122を受信する。対策立案結果出力部245は、対話処理部220を介して対策立案結果122をユーザに提示する。 The countermeasure planning result receiving unit 240 receives the countermeasure planning result 122 from the support device 100 via the first communication network 51. The countermeasure planning result output unit 245 presents the countermeasure planning result 122 to the user via the dialogue processing unit 220.

図6は、支援装置100やユーザ端末200の実現に用いる情報処理装置(コンピュータ)のハードウェア構成の一例である。 Figure 6 shows an example of the hardware configuration of an information processing device (computer) used to realize the support device 100 and the user terminal 200.

例示する情報処理装置10は、プロセッサ11、主記憶装置12(メモリ)、補助記憶装置13(外部記憶装置)、入力装置14、出力装置15、及び通信装置16を備える。これらはバスや通信ケーブル等を介して通信可能に接続されている。情報処理装置10の例として、パーソナルコンピュータ、サーバ装置、スマートフォン、タブレット、オフィスコンピュータ、汎用機(メインフレーム)等がある。 The illustrated information processing device 10 includes a processor 11, a main storage device 12 (memory), an auxiliary storage device 13 (external storage device), an input device 14, an output device 15, and a communication device 16. These are communicatively connected via a bus, a communication cable, or the like. Examples of the information processing device 10 include a personal computer, a server device, a smartphone, a tablet, an office computer, a general-purpose machine (mainframe), and the like.

情報処理装置10は、その全部又は一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、情報処理装置10によって提供される機能の全部又は一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現してもよい。また
、情報処理装置10によって提供される機能の全部又は一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure
as a Service)等を利用して実現されるものであってもよい。
The information processing device 10 may be realized, in whole or in part, by using virtual information processing resources provided by using virtualization technology, process space separation technology, or the like, such as a virtual server provided by a cloud system. Furthermore, all or in part of the functions provided by the information processing device 10 may be realized, for example, by a service provided by a cloud system via an API (Application Programming Interface) or the like. Furthermore, all or in part of the functions provided by the information processing device 10 may be realized, for example, by a service provided by a cloud system via an API (Application Programming Interface), or the like. Furthermore, all or in part of the functions provided by the information processing device 10 may be realized, for example, by a service provided by a service provider such as SaaS (Software as a Service), PaaS (Platform as a Service), IaaS (Infrastructure
This may be realized by using the Service as a Service, etc.

プロセッサ11は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field Programmable
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
The processor 11 may be, for example, a central processing unit (CPU), a micro processing unit (MPU), a graphics processing unit (GPU), a field programmable gate array (FPGA), or the like.
It is composed of a gate array, an application specific integrated circuit (ASIC), an artificial intelligence (AI) chip, etc.

主記憶装置12は、プロセッサ11がプログラムを実行する際に利用する装置であり、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。支援装置100やユーザ端末200において実現される各種の機能は、夫々のプロセッサ11が、補助記憶装置13に格納(記憶)されているプログラムやデータを主記憶装置12に読み出して実行することにより実現される。 The main memory device 12 is a device used by the processor 11 when executing a program, and is, for example, a ROM (Read Only Memory), a RAM (Random Access Memory), or a non-volatile memory (NVRAM (Non Volatile RAM)). Various functions realized in the support device 100 and the user terminal 200 are realized by each processor 11 reading out programs and data stored (memorized) in the auxiliary memory device 13 into the main memory device 12 and executing them.

補助記憶装置13は、プログラムやデータを記憶する装置であり、例えば、SSD(Solid State Drive)、ハードディスクドライブ、光学式記憶装置(CD(Compact Disc)
、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等で構成することができる。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
The auxiliary storage device 13 is a device that stores programs and data, and may be, for example, a solid state drive (SSD), a hard disk drive, or an optical storage device (CD (Compact Disc)
, DVD (Digital Versatile Disc), a storage system, a reading/writing device for non-transient recording media such as IC cards, SD cards, and optical recording media, a non-transient storage area of a cloud server, etc. Programs and data can be read into the auxiliary storage device 13 from other information processing devices equipped with non-transient recording media or non-transient storage devices via a recording medium reading device or a communication device 16. The programs and data stored (memorized) in the auxiliary storage device 13 are read into the main storage device 12 as needed.

入力装置14は、外部からの情報の入力を受け付けるインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、ペン入力方式のタブレット、音声入力装置等である。 The input device 14 is an interface that accepts information input from the outside, and is, for example, a keyboard, a mouse, a touch panel, a card reader, a pen-input tablet, a voice input device, etc.

出力装置15は、処理経過や処理結果等の各種情報を外部に出力するインタフェースである。出力装置15は、例えば、上記の各種情報を可視化する表示装置(液晶モニタ、LCD(Liquid Crystal Display)、グラフィックカード等)、上記の各種情報を音声化する装置(音声出力装置(スピーカ等))、上記の各種情報を文字化する装置(印字装置等)である。尚、例えば、情報処理装置10が通信装置16を介して他の装置との間で情報の入力や出力を行う構成としてもよい。 The output device 15 is an interface that outputs various information such as the progress of processing and the results of processing to the outside. The output device 15 is, for example, a display device (liquid crystal monitor, LCD (Liquid Crystal Display), graphic card, etc.) that visualizes the various information described above, a device that converts the various information described above into audio (audio output device (speaker, etc.)), or a device that converts the various information described above into text (printer, etc.). Note that, for example, the information processing device 10 may be configured to input and output information to and from other devices via the communication device 16.

入力装置14と出力装置15は、ユーザとの間での対話処理(情報の受け付け、情報の提供等)を実現するユーザインタフェースを構成する。 The input device 14 and the output device 15 constitute a user interface that realizes interactive processing with the user (accepting information, providing information, etc.).

通信装置16は、他の装置との間の通信を実現する装置である。通信装置16は、通信ネットワークを介して他の装置との間の通信を実現する、有線方式又は無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、無線通信モジュール、USBモジュール等である。 The communication device 16 is a device that realizes communication with other devices. The communication device 16 is a wired or wireless communication interface that realizes communication with other devices via a communication network, and is, for example, a NIC (Network Interface Card), a wireless communication module, a USB module, etc.

尚、情報処理装置10には、例えば、オペレーティングシステム、ファイルシステム、DBMS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。 In addition, the information processing device 10 may be equipped with, for example, an operating system, a file system, a DBMS (DataBase Management System) (relational database, NoSQL, etc.), a KVS (Key-Value Store), etc.

図7は、図3に示したS31~S36の処理(以下、「対策立案処理S700」と称する。)の詳細を説明するフローチャートである。以下、同図とともに対策立案処理S700について説明する。 Figure 7 is a flowchart explaining the details of the processes S31 to S36 shown in Figure 3 (hereinafter referred to as "countermeasure planning process S700"). Below, countermeasure planning process S700 will be explained with reference to this figure.

情報取得管理部130は、第1通信NW51を介してユーザ端末200から評価対象システムに関する情報を取得し、取得した情報を評価対象情報111として管理する。また、情報取得管理部130は、第2通信NW52を介して外部サーバ300と通信することにより最新の脅威/対策情報を取得し脅威/対策情報115を更新する(S711)。 The information acquisition management unit 130 acquires information about the evaluation target system from the user terminal 200 via the first communication network 51, and manages the acquired information as evaluation target information 111. The information acquisition management unit 130 also acquires the latest threat/countermeasure information by communicating with the external server 300 via the second communication network 52, and updates the threat/countermeasure information 115 (S711).

評価対象モデル生成部132は、評価対象情報111に基づき評価対象モデル112を生成する(S712)。 The evaluation target model generation unit 132 generates the evaluation target model 112 based on the evaluation target information 111 (S712).

図8は、評価対象情報111の一例である。同図には評価対象システムが車載ネットワークシステムである場合における評価対象情報111の例を示している。評価対象情報111には、評価対象システムを構成する資産に関する情報が管理される。資産は、評価対象システムの構成要素(物理的な構成要素やソフトウェア的な構成要素)を所定の基準で分解した単位である。 Figure 8 is an example of the evaluation target information 111. This figure shows an example of the evaluation target information 111 when the evaluation target system is an in-vehicle network system. The evaluation target information 111 manages information about the assets that make up the evaluation target system. An asset is a unit into which the components of the evaluation target system (physical components and software components) are broken down according to a specified criterion.

同図に示すように、評価対象情報800は、ノードID1111、資産1112、資産要件1113、及びリンクID1114の各項目を有する複数のレコードで構成される。上記項目のうち、ノードID1111には、評価対象システムを構成する資産毎に付与される識別子であるノードIDが格納される。資産1112には、資産の名称(資産の内容や資産が提供する機能を示す情報)が格納される。資産要件1113には、当該資産について要求される安全性を示す情報(SIL(Safety Integrity Level)規格における安全度水準等)が格納される。リンクID1114には、当該資産とリンクしている(通信する)他の資産のノードIDが格納される。 As shown in the figure, the evaluation target information 800 is composed of multiple records having the following items: node ID 1111, asset 1112, asset requirement 1113, and link ID 1114. Of the above items, node ID 1111 stores a node ID, which is an identifier assigned to each asset that constitutes the evaluation target system. Asset 1112 stores the name of the asset (information indicating the content of the asset and the function provided by the asset). Asset requirement 1113 stores information indicating the safety required for the asset (such as the safety level in the SIL (Safety Integrity Level) standard). Link ID 1114 stores the node ID of another asset that is linked (communicates) with the asset.

尚、評価対象情報111は、評価対象モデル112の生成に用いるため情報や脅威に対する対策の立案に用いる他の様々な情報を更に含んでいてもよい。 The evaluation target information 111 may further include information used to generate the evaluation target model 112 and various other information used to plan countermeasures against threats.

図9は、評価対象モデル112の一例を示す模式図である。評価対象モデル112は、評価対象情報111に基づき生成される。評価対象モデル112は、評価対象システムを構成する資産の間に存在する、攻撃経路となり得る通信(有線通信、無線通信)の経路を示す情報を含む。評価対象モデル112は、例えば、DFD(Data Flow Diagram)を用
いて表される。
9 is a schematic diagram showing an example of the evaluation target model 112. The evaluation target model 112 is generated based on the evaluation target information 111. The evaluation target model 112 includes information showing paths of communication (wired communication, wireless communication) that exist between assets constituting the evaluation target system and that can be attack paths. The evaluation target model 112 is represented, for example, using a DFD (Data Flow Diagram).

図7に戻り、続いて、脅威一覧生成部134は、評価対象モデル112と攻撃経路情報113とに基づき脅威一覧情報114を生成する(S713)。尚、攻撃経路情報113の内容は、例えば、外部サーバ300から提供される脅威/対策情報115に基づき生成される。また、攻撃経路情報113の内容は、例えば、ユーザ端末200を介してユーザが設定してもよい。 Returning to FIG. 7, the threat list generation unit 134 then generates threat list information 114 based on the evaluation target model 112 and the attack path information 113 (S713). The contents of the attack path information 113 are generated based on, for example, threat/countermeasure information 115 provided by the external server 300. The contents of the attack path information 113 may also be set by the user via, for example, the user terminal 200.

図10は、攻撃経路情報113の一例である。攻撃経路情報113には、評価対象モデル112において想定される攻撃経路の一覧が管理される。同図に示すように、攻撃経路情報113は、ToノードID1131、Toノード名1132、FromノードID/Fromノード名1133、及び攻撃経路1134の各項目からなる複数のレコードで構成される。攻撃経路情報113の一つのレコードは一つの攻撃経路に対応している。 Figure 10 is an example of attack path information 113. In the attack path information 113, a list of attack paths assumed in the evaluation target model 112 is managed. As shown in the figure, the attack path information 113 is composed of multiple records each consisting of the items To node ID 1131, To node name 1132, From node ID/From node name 1133, and attack path 1134. One record of the attack path information 113 corresponds to one attack path.

上記項目のうち、ToノードID1131には、攻撃の対象となる資産のノードIDが格納される。Toノード名1132には、当該資産の名称(資産の内容や機能を示す情報)が格納される。FromノードID/Fromノード名1133には、当該資産を対象とした攻撃の侵入口となる資産(例えば、5W法における「Where」で特定されるノード)のノードIDと名称が格納される。攻撃経路1134には、当該資産に対する侵入口からの攻撃経路を示す情報が格納される。 Of the above items, To Node ID 1131 stores the node ID of the asset that is the target of the attack. To Node Name 1132 stores the name of the asset (information indicating the content and function of the asset). From Node ID/From Node Name 1133 stores the node ID and name of the asset that is the entry point for an attack targeting the asset (for example, the node identified by "Where" in the 5W method). Attack Path 1134 stores information indicating the attack path from the entry point for the asset.

図11は、脅威一覧情報114の一例である。同図に示すように、脅威一覧情報114は、脅威ID1141、資産1142、FromノードID1143、ToノードID1144、脅威事象1145、及びリスク値1146の各項目を有する複数のレコードで構成される。脅威一覧情報114の一つのレコードは一つの脅威に対応している。 Figure 11 is an example of threat list information 114. As shown in the figure, threat list information 114 is composed of multiple records having the following items: threat ID 1141, asset 1142, From node ID 1143, To node ID 1144, threat event 1145, and risk value 1146. One record in threat list information 114 corresponds to one threat.

上記項目のうち、脅威ID1141には、脅威の識別子である脅威IDが格納される。資産1142には、当該脅威の対象となる資産の名称(資産の内容や機能を示す情報)が格納される。FromノードID1143には、当該資産に対する攻撃を行う資産のノードIDが格納される。ToノードID1144には、攻撃の対象となる資産(もしくは機能)のノードIDが格納される。脅威事象1145には、当該脅威の内容を示す情報が格納される。リスク値1146には、当該脅威のリスク値が格納される。 Of the above items, Threat ID 1141 stores a threat ID that is an identifier for the threat. Asset 1142 stores the name of the asset that is the target of the threat (information indicating the content and function of the asset). From node ID 1143 stores the node ID of the asset that attacks the asset. To node ID 1144 stores the node ID of the asset (or function) that is the target of the attack. Threat event 1145 stores information indicating the content of the threat. Risk value 1146 stores the risk value of the threat.

図7に戻り、続いて、脅威一覧生成部134は、生成した脅威一覧情報114における各脅威のリスク値を求め、求めたリスク値を脅威一覧情報114に反映する(S714)。 Returning to FIG. 7, the threat list generation unit 134 then calculates a risk value for each threat in the generated threat list information 114, and reflects the calculated risk values in the threat list information 114 (S714).

続いて、脅威選出部138が、脅威一覧情報114から対策の立案対象とする脅威を選出する(S715)。脅威選出部138は、例えば、リスク値の高いものから所定数の脅威を立案対象として選出する。 Then, the threat selection unit 138 selects threats for which countermeasures are to be developed from the threat list information 114 (S715). The threat selection unit 138 selects a predetermined number of threats as targets for development of countermeasures, for example, starting with those with high risk values.

続いて、FT生成分析部140が、立案対象として選出した脅威について、FTを生成し分析する処理(以下、この処理のことを「FT生成分析処理S716」と称する。)を行う(S716)。 Next, the FT generation and analysis unit 140 performs a process of generating and analyzing an FT for the threat selected as the planning target (hereinafter, this process is referred to as "FT generation and analysis process S716") (S716).

図12Aは、FT生成分析処理S716の詳細を説明するフローチャートである。以下、同図とともにFT生成分析処理S716について説明する。 Figure 12A is a flowchart explaining the details of the FT generation analysis process S716. Below, the FT generation analysis process S716 will be explained with reference to the same figure.

まず、攻撃経路特定部が、脅威選出部138が選出した脅威について、FROMノードからTOノードまでの攻撃経路を攻撃経路情報113に基づき特定する(S1211)。 First, the attack path identification unit 1211 identifies the attack path from the FROM node to the TO node for the threat selected by the threat selection unit 138 based on the attack path information 113.

続いて、攻撃手順(戦略レベル)生成部142が、攻撃経路特定部141が特定した攻撃経路について、脅威/対策情報115に基づき、当該攻撃経路を構成する各ノード内(各資産内)の攻撃手順(攻撃手順の順序付きの組合せ(以下、「順列組合せ」と称する。)を生成する(S1212)。 Next, the attack procedure (strategy level) generation unit 142 generates attack procedures (ordered combinations of attack procedures (hereinafter referred to as "permutation combinations")) within each node (each asset) that constitutes the attack path identified by the attack path identification unit 141 based on the threat/countermeasure information 115 (S1212).

図13に、脅威/対策情報115の一例を示す。同図に示すように、例示する脅威/対
策情報115は、攻撃手法ID1151、攻撃手法(戦略)1152、及び、攻撃手法(技術)1153と対策/コスト1154の一つ以上の組合せを有する、複数のレコードで構成される。
13 shows an example of the threat/countermeasure information 115. As shown in the figure, the illustrated threat/countermeasure information 115 is made up of a plurality of records each having one or more combinations of an attack method ID 1151, an attack method (strategy) 1152, and an attack method (technology) 1153 and a countermeasure/cost 1154.

上記項目のうち、攻撃手法ID1151には、攻撃手法毎に付与される識別子である攻撃手法IDが格納される。攻撃手法(戦略)1152には、戦略に関する攻撃手法を示す情報が格納される。攻撃手法(技術)1153には、技術に関する攻撃手法を示す情報が格納される。対策/コスト1154には、当該攻撃手法に対する対策を示す情報とコストを示す情報とが格納される。 Of the above items, attack method ID 1151 stores an attack method ID, which is an identifier assigned to each attack method. Attack method (strategy) 1152 stores information indicating an attack method related to strategy. Attack method (technique) 1153 stores information indicating an attack method related to technique. Countermeasure/cost 1154 stores information indicating a countermeasure against the attack method and information indicating the cost.

図14Aに、S1212で攻撃手順(戦略レベル)生成部142が生成する順列組合せの一例(以下、「順列組合せ1400」と称する。)を示す。尚、同図は評価対象モデル112が図14Bに示す構成である場合の順列組合せの一例である。同図に示すように、例示する順列組合せ1400は、ノード1401、戦略レベル順列組合せID1402、技術レベル順列組合せID1403、戦略(1)1404、戦略(2)1405、技術(1)1406、技術(2)1407の各項目を有する複数のレコードで構成される。順列組合せ1400の一つのレコードは一つの順列組合せに対応している。 Figure 14A shows an example of a permutation combination (hereinafter referred to as "permutation combination 1400") generated by the attack procedure (strategy level) generation unit 142 in S1212. Note that this figure is an example of a permutation combination when the evaluation target model 112 has the configuration shown in Figure 14B. As shown in this figure, the illustrated permutation combination 1400 is made up of multiple records having the following items: node 1401, strategy level permutation combination ID 1402, technology level permutation combination ID 1403, strategy (1) 1404, strategy (2) 1405, technology (1) 1406, and technology (2) 1407. One record of permutation combination 1400 corresponds to one permutation combination.

同図において、ノード1401には、ノードの識別子であるノードIDが、戦略レベル順列組合せID1402には、戦略レベルの順列組合せの識別子である戦略レベル順列組合せIDが、技術レベル順列組合せID1403には、技術レベルの順列組合せの識別子である技術レベル順列組合せIDが、戦略(1)1404及び戦略(2)1405には、戦略の内容が、技術(1)1406及び技術(2)1407には技術の内容が、夫々格納される。 In the figure, node 1401 stores a node ID that is an identifier of the node, strategy level permutation combination ID 1402 stores a strategy level permutation combination ID that is an identifier of a strategy level permutation combination, technology level permutation combination ID 1403 stores a technology level permutation combination ID that is an identifier of a technology level permutation combination, strategy (1) 1404 and strategy (2) 1405 store the content of the strategy, and technology (1) 1406 and technology (2) 1407 store the content of the technology.

図12Aに戻り、続いて、攻撃手順(戦略レベル)生成部142が、順列組合せ1400に基づき、S1211で特定した攻撃経路における攻撃手順を戦略(Tactics)レベル
で生成し、生成した攻撃手順を攻撃手順(戦略レベル)118として管理する(S1213)。尚、攻撃手順(戦略レベル)生成部142は、攻撃経路生成時制約条件116に規定される制約条件を満たすように攻撃手順を生成する。
12A , the attack procedure (strategy level) generation unit 142 then generates an attack procedure at the tactics level for the attack path identified in S1211 based on the permutation combination 1400, and manages the generated attack procedure as the attack procedure (strategy level) 118 (S1213). The attack procedure (strategy level) generation unit 142 generates the attack procedure so as to satisfy the constraint conditions defined in the attack path generation constraint conditions 116.

図15に、攻撃経路生成時制約条件116の一例を示す。同図に示すように、攻撃経路生成時制約条件116は、制約条件ID1161、ノード条件1162、及び制約条件1163の各項目を有する一つ以上のレコードで構成される。攻撃経路生成時制約条件116の一つのレコードは一つの制約条件に対応している。 Figure 15 shows an example of the attack path generation constraint conditions 116. As shown in the figure, the attack path generation constraint conditions 116 are composed of one or more records having the following items: constraint condition ID 1161, node condition 1162, and constraint condition 1163. One record of the attack path generation constraint conditions 116 corresponds to one constraint condition.

上記項目のうち、制約条件ID1161には、制約条件毎に付与される識別子である制約条件IDが格納される。ノード条件1162には、当該制約条件の適用対象となるノードを特定する情報が格納される。制約条件1163には、制約条件の内容を示す情報が格納される。 Of the above items, constraint condition ID 1161 stores a constraint condition ID, which is an identifier assigned to each constraint condition. Node condition 1162 stores information that identifies the node to which the constraint condition applies. Constraint condition 1163 stores information that indicates the content of the constraint condition.

図16に、攻撃手順(戦略レベル)118の一例を示す。攻撃手順(戦略レベル)118は、S1212で生成した順列組合せから、攻撃経路生成時制約条件116の制約条件を満たす戦略レベルの順列組合せを抽出した結果を攻撃経路のノード順に並べた内容を含む。 Figure 16 shows an example of the attack procedure (strategy level) 118. The attack procedure (strategy level) 118 includes the results of extracting permutation combinations at the strategy level that satisfy the constraint conditions of the attack path generation constraint conditions 116 from the permutation combinations generated in S1212, and arranging them in the order of the nodes of the attack path.

同図に示すように、攻撃手順(戦略レベル)118は、戦略レベル攻撃経路ID1181、攻撃経路1182、第1ノード:戦略レベル順列組合せID1183、第2ノード:戦略レベル順列組合せID1184、第3ノード:戦略レベル順列組合せID1185の各項目を有する一つ以上のレコードで構成される。攻撃手順(戦略レベル)118の一つ
のレコードは一つの攻撃手順に対応している。
As shown in the figure, the attack procedure (strategy level) 118 is composed of one or more records having each item of a strategy level attack path ID 1181, an attack path 1182, a first node: a strategy level permutation combination ID 1183, a second node: a strategy level permutation combination ID 1184, and a third node: a strategy level permutation combination ID 1185. One record of the attack procedure (strategy level) 118 corresponds to one attack procedure.

上記項目のうち、戦略レベル攻撃経路ID1181には、戦略レベルの攻撃経路毎に付与される識別子である戦略レベル攻撃経路IDが格納される。攻撃経路1182には、攻撃経路を示す情報が格納される。第1ノード:戦略レベル順列組合せID1183、第2ノード:戦略レベル順列組合せID1184、及び第3ノード:戦略レベル順列組合せID1185には、攻撃経路を構成するノード間の戦略レベル順列組合せIDの組合せが格納される。 Of the above items, strategic level attack path ID 1181 stores a strategic level attack path ID, which is an identifier assigned to each strategic level attack path. Attack path 1182 stores information indicating the attack path. First node: strategic level permutation combination ID 1183, second node: strategic level permutation combination ID 1184, and third node: strategic level permutation combination ID 1185 store combinations of strategic level permutation combination IDs between nodes that make up the attack path.

図12Aに戻り、続いて、攻撃手順(技術レベル)生成部143が、S1212で生成した順列組合せ1400とS1213で生成した攻撃手順(戦略レベル)118とに基づき、S1211で特定した攻撃経路における攻撃手順を技術(Techniques)レベルで生成し、生成した攻撃手順を攻撃手順(技術レベル)119として管理する(S1214)。 Returning to FIG. 12A, the attack procedure (technique level) generation unit 143 then generates an attack procedure at the technique level for the attack path identified in S1211 based on the permutation combination 1400 generated in S1212 and the attack procedure (strategy level) 118 generated in S1213, and manages the generated attack procedure as the attack procedure (technique level) 119 (S1214).

図17に、攻撃手順(技術レベル)119の一例を示す。攻撃手順(技術レベル)119は、S1213で生成した攻撃手順(戦略レベル)118について、S1212で生成した順列組合せ1400から取得される技術レベルの順列組合せを抽出した結果を攻撃経路のノード順に並べた内容を含む。 Figure 17 shows an example of an attack procedure (technical level) 119. The attack procedure (technical level) 119 includes the results of extracting permutation combinations of technical levels obtained from the permutation combinations 1400 generated in S1212 for the attack procedure (strategy level) 118 generated in S1213, arranged in the order of the nodes of the attack path.

同図に示すように、攻撃手順(技術レベル)119は、技術レベル攻撃経路ID1191、攻撃経路1192、第1ノード:技術レベル順列組合せID1193、第2ノード:技術レベル順列組合せID1194、第3ノード:技術レベル順列組合せID1195の各項目を有する一つ以上のレコードで構成される。攻撃手順(技術レベル)119の一つのレコードは一つの攻撃手順に対応している。 As shown in the figure, attack procedure (technical level) 119 is composed of one or more records having each of the following items: technical level attack path ID 1191, attack path 1192, first node: technical level permutation combination ID 1193, second node: technical level permutation combination ID 1194, and third node: technical level permutation combination ID 1195. One record of attack procedure (technical level) 119 corresponds to one attack procedure.

上記項目のうち、技術レベル攻撃経路ID1191には、技術レベルの攻撃経路毎に付与される識別子である技術レベル攻撃経路IDが格納される。攻撃経路1192には、攻撃経路を示す情報が格納される。第1ノード:技術レベル順列組合せID1193、第2ノード:技術レベル順列組合せID1194、及び第3ノード:技術レベル順列組合せID1195には、攻撃経路を構成するノード間の技術レベル順列組合せIDの組合せが格納される。 Of the above items, technical level attack path ID 1191 stores a technical level attack path ID, which is an identifier assigned to each technical level attack path. Attack path 1192 stores information indicating the attack path. First node: technical level permutation combination ID 1193, second node: technical level permutation combination ID 1194, and third node: technical level permutation combination ID 1195 store combinations of technical level permutation combination IDs between nodes that make up the attack path.

尚、図12Aに示したS1212~S1214の処理は、例えば、図12Bに示すS1222~S1224に示すようにしてもよい。図12Bの例では、図12AのS1213のように攻撃手順(戦略レベル)118を生成してから攻撃手順(技術レベル)119を生成するのではなく、S1211で特定した攻撃経路のノード内での攻撃手順を脅威/対策情報に基づき技術レベルで生成し(S1223)、生成した攻撃手順を用いて攻撃手順(技術レベル)119を生成している(S1224)。 The processing of S1212 to S1214 shown in FIG. 12A may be, for example, as shown in S1222 to S1224 shown in FIG. 12B. In the example of FIG. 12B, instead of generating an attack procedure (strategic level) 118 and then generating an attack procedure (technical level) 119 as in S1213 of FIG. 12A, an attack procedure within the node of the attack path identified in S1211 is generated at a technical level based on threat/countermeasure information (S1223), and the generated attack procedure is used to generate the attack procedure (technical level) 119 (S1224).

図12Aに戻り、続いて、FT生成部144が、S1214で生成した攻撃手順(技術レベル)119に基づきFTを生成し、生成したFTをFT120として管理する(S1215)。具体的には、FT生成部144は、評価対象システムにおける攻撃の侵入口から最終的な攻撃対象の資産(以下、「攻撃対象資産」と称する。)までの複数の攻撃手順を和(OR)の論理関係で接続し、更に、和の論理関係で接続した各攻撃手順について、夫々の要素(攻撃対象資産への攻撃の技術(Technique))を積(AND)の論理関係で
接続することによりFTを生成する。
12A , the FT generation unit 144 then generates an FT based on the attack procedure (technique level) 119 generated in S1214, and manages the generated FT as an FT 120 (S1215). Specifically, the FT generation unit 144 connects a plurality of attack procedures from the attack entry point in the evaluation target system to the final target asset (hereinafter referred to as the "target asset") using a logical OR relationship, and further generates an FT by connecting each element (technique of attacking the target asset) of each attack procedure connected using a logical AND relationship.

図18にFT120の一例を示す。この例では、選出した脅威1811に、侵入口から攻撃対象資産までの複数の攻撃手順1822(「技術レベル攻撃手順1」~「技術レベル攻撃手順15」)を和(OR)の論理関係1820で接続している。また、和(OR)の
論理関係1820で接続した各攻撃手順1813について、夫々の要素1814(攻撃対象資産への攻撃の技術1815)を積(AND)の論理関係1830で接続している。尚、例えば、支援装置100が、ユーザ端末200を介してFT120の内容をユーザに随時提示するようにしてもよい。
An example of the FT 120 is shown in Fig. 18. In this example, a plurality of attack procedures 1822 ("Technical level attack procedure 1" to "Technical level attack procedure 15") from the intrusion point to the target asset are connected to the selected threat 1811 by a logical relation of OR 1820. In addition, for each attack procedure 1813 connected by the logical relation of OR 1820, each element 1814 (technique 1815 of attacking the target asset) is connected by a logical relation of AND 1830. For example, the support device 100 may present the contents of the FT 120 to the user via the user terminal 200 at any time.

図12Aに戻り、続いて、FT分析部145が、FT120の内容を分析し、分析結果をFT分析結果121として管理する(S1216)。例えば、FT分析部145は、
脅威(攻撃)が成立する条件(攻撃成立条件)や、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121を生成し、ユーザ端末200を介してユーザに提示する。
12A , the FT analysis unit 145 then analyzes the contents of the FT 120 and manages the analysis result as the FT analysis result 121 (S1216). For example, the FT analysis unit 145
An FT analysis result 121 is generated, which includes information indicating the conditions under which a threat (attack) exists (attack existence conditions) and the conditions under which a threat (attack) does not exist (attack non-existence conditions), and is presented to the user via the user terminal 200.

図19に、攻撃成立条件を含むFT分析結果121の一例を示す。同図に示すように、例示するFT分析結果121は、攻撃成立条件ID1211、攻撃対象資産1212、及び攻撃技術レベル1213の各項目を有する一つ以上のレコードで構成される。例示するFT分析結果121の一つのレコードは一つの攻撃成立条件に対応している。 Figure 19 shows an example of an FT analysis result 121 that includes an attack success condition. As shown in the figure, the example FT analysis result 121 is composed of one or more records that have the following items: attack success condition ID 1211, attack target asset 1212, and attack technique level 1213. One record of the example FT analysis result 121 corresponds to one attack success condition.

上記項目のうち、攻撃成立条件ID1211には、攻撃成立条件毎の識別子である攻撃成立条件IDが格納される。攻撃対象資産1212には、攻撃対象資産を示す情報が格納される。攻撃技術レベル1213には、当該攻撃成立条件を成立させる攻撃の技術レベルの組合せが格納される。 Of the above items, the attack success condition ID 1211 stores an attack success condition ID that is an identifier for each attack success condition. The attack target asset 1212 stores information indicating the attack target asset. The attack technique level 1213 stores a combination of attack technique levels that will satisfy the attack success condition.

生成されたFT120について、和(OR)と積(AND)を入れ替えることで、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121を生成することができる。例えば、攻撃成立条件が「(α-1 AND B-2 AND A-3)OR(α-1 AND
B-2 AND A-3')」で表される場合、和(OR)と積(AND)を入れ替えた「(α-1 OR B-2 OR A-3)AND(α-1 OR B-2 OR A-3')」は攻撃不成立条件を表す。
By switching the sum (OR) and product (AND) of the generated FT 120, it is possible to generate an FT analysis result 121 including information indicating a condition (condition for attack not to be established) under which a threat (attack) is not established. For example, if the condition for attack to be established is "(α-1 AND B-2 AND A-3) OR (α-1 AND
When the condition is expressed as "(α-1 OR B-2 OR A-3) AND (α-1 OR B-2 OR A-3')," which replaces the sum (OR) and product (AND), the condition for an attack to fail is expressed as "(α-1 OR B-2 OR A-3) AND (α-1 OR B-2 OR A-3')."

分析者等のユーザは、FT分析結果121を参照することで、攻撃の技術レベルのどのような組合せが攻撃対象資産に対する攻撃を成立させるのかを容易に把握することができる。 By referring to the FT analysis results 121, users such as analysts can easily understand what combinations of attack technical levels will result in an attack on the target assets.

図7に戻り、続いて、対策立案部150が、FT分析結果121を用いて脅威に対する対策を立案し、立案した結果を対策立案結果122として管理するとともに、対策立案結果122の内容をユーザに提示する(S717)。 Returning to FIG. 7, the countermeasure planning unit 150 then uses the FT analysis result 121 to plan countermeasures against the threat, manages the plan results as countermeasure planning results 122, and presents the contents of the countermeasure planning results 122 to the user (S717).

対策立案部150は、例えば、脅威(攻撃)が成立する条件(攻撃成立条件)や、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121をユーザ端末200を介してユーザに提示しつつ、ユーザとの対話処理により脅威に対する対策を立案する。例えば、攻撃不成立条件が「(α-1 OR B-2 OR A-3)AND(α-1 OR B-2 OR A-3')」で表される場合、対策立案部150は、脅威に対する対策として、例えば、「α-1への対策」、「B-2への対策」、「A-3への対策 AND α-1への対策」、「A-3への対
策 AND B-2への対策」、「A-3への対策 AND A-3'への対策」、「A-3'への対策 AND α-1への対策」、「A-3'への対策 AND B-2への対策」を導出する。
The countermeasure planning unit 150 plans countermeasures against threats by interactive processing with the user while presenting the FT analysis result 121 including information indicating conditions under which a threat (attack) is established (attack establishment conditions) and conditions under which a threat (attack) is not established (attack non-establishment conditions) to the user via the user terminal 200. For example, when the attack non-establishment condition is expressed as "(α-1 OR B-2 OR A-3) AND (α-1 OR B-2 OR A-3')," the countermeasure planning unit 150 derives, as countermeasures against threats, for example, "countermeasures against α-1,""countermeasures against B-2,""countermeasures against A-3 AND countermeasures against α-1,""countermeasures against A-3 AND countermeasures against B-2,""countermeasures against A-3 AND countermeasures against A-3',""countermeasures against A-3' AND countermeasures against α-1," and "countermeasures against A-3' AND countermeasures against B-2."

図20に、対策立案結果122の一例を示す。例示する対策立案結果122は、ノードID1221、対策ID1222、コスト(費用)1223、及びコスト(時間)1224の各項目を有する一つ以上のレコードで構成される。 Figure 20 shows an example of a countermeasure planning result 122. The illustrated countermeasure planning result 122 is composed of one or more records having the following items: node ID 1221, countermeasure ID 1222, cost (expense) 1223, and cost (time) 1224.

上記項目のうちノードID1221には、攻撃経路を構成するノードの識別子であるノードIDが格納される。対策ID1222には、対策毎に付与される識別子である対策I
Dが格納される。コスト(費用)1223には、当該対策を講ずることにより生じる金銭的なコストを示す情報が格納される。コスト(時間)1224には、当該対策を講ずることにより生じる時間的なコストを示す情報が格納される。尚、対策立案部150は、コスト(費用)1223、及びコスト(時間)1224の内容を、例えば、脅威/対策情報115から取得する。
Among the above items, the node ID 1221 stores a node ID that is an identifier of a node that constitutes an attack path. The countermeasure ID 1222 stores a countermeasure ID that is an identifier given to each countermeasure.
D is stored in the cost (expense) 1223. Information indicating the monetary cost incurred by taking the countermeasure is stored in the cost (time) 1224. Note that the countermeasure planning unit 150 obtains the contents of the cost (expense) 1223 and the cost (time) 1224 from, for example, the threat/countermeasure information 115.

図21は、対策立案部150がユーザに対策立案結果122の内容を提示する際にユーザ端末200に表示される画面(以下、「対策立案結果提示画面2100」と称する。)の一例である。例示する対策立案結果提示画面2100は、攻撃成立条件ID2111、攻撃対象資産2112、対策2113、最小コスト(費用)2114、最小コスト(時間)2115、及び最大脅威リスク2116の各表示欄を有する。 Figure 21 is an example of a screen (hereinafter referred to as "countermeasure planning result presentation screen 2100") displayed on the user terminal 200 when the countermeasure planning unit 150 presents the contents of the countermeasure planning result 122 to the user. The illustrated countermeasure planning result presentation screen 2100 has display columns for an attack success condition ID 2111, an attack target asset 2112, a countermeasure 2113, a minimum cost (expense) 2114, a minimum cost (time) 2115, and a maximum threat risk 2116.

攻撃成立条件ID2111には、攻撃成立条件毎の識別子である攻撃成立条件IDが表示される。攻撃対象資産2112には、攻撃対象資産を示す情報が表示される。対策2113には、当該資産について立案された対策を示す情報が表示される。最小コスト(費用)2114には、対策2113に表示されている対策のうち金銭的なコストが最小になる対策のコスト(費用)が表示される。最小コスト(時間)2115には、対策2113に表示されている対策のうち時間的なコストが最小となる対策のコスト(時間)が表示される。最大脅威リスク2116には、図3のS715で選出された脅威のリスク値が表示される。 Attack success condition ID 2111 displays an attack success condition ID, which is an identifier for each attack success condition. Attack target asset 2112 displays information indicating the attack target asset. Measures 2113 displays information indicating the measures proposed for the asset. Minimum cost (expense) 2114 displays the cost (expense) of the measure that has the smallest monetary cost among the measures displayed in measures 2113. Minimum cost (time) 2115 displays the cost (time) of the measure that has the smallest time cost among the measures displayed in measures 2113. Maximum threat risk 2116 displays the risk value of the threat selected in S715 of FIG. 3.

ユーザは、対策立案結果提示画面2100を参照することで、どのような攻撃に対してどのような対策もしくは対策の組合せが有効であるのか、どのような対策もしくは対策の組合せがコスト的に有利であるか、どのような脅威がリスクの高い脅威であるか、といったことを容易に把握することができる。 By referring to the countermeasure planning result presentation screen 2100, the user can easily understand what countermeasure or combination of countermeasures is effective against what type of attack, what countermeasure or combination of countermeasures is cost-effective, and what threats are high-risk threats.

以上、本実施形態のセキュリティ管理システム1について説明したが、同システムによれば、分析者等のユーザは、FT分析結果121に基づき脅威(攻撃)と対策の関係を容易に把握することができる。また、セキュリティ管理システム1は、攻撃成立条件に対応する対策の一つ以上の組合せを生成するので、ユーザは提示された複数の対策の組合せから、コストを考慮しつつ、適切な対策立案を効率よく選出することができる。このように、本実施形態のセキュリティ管理システム1によれば、脅威に対する有効かつ適切な対策の立案を支援することができる。 The above describes the security management system 1 of this embodiment, which allows users such as analysts to easily grasp the relationship between threats (attacks) and countermeasures based on the FT analysis results 121. Furthermore, since the security management system 1 generates one or more combinations of countermeasures that correspond to the conditions for an attack to occur, the user can efficiently select appropriate countermeasures from the multiple combinations of countermeasures presented, while taking costs into consideration. In this way, the security management system 1 of this embodiment can support the planning of effective and appropriate countermeasures against threats.

以上、実施形態について説明したが、本発明は上記の実施形態に限定されるものではなく、様々な変形例が含まれ、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることや、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加、削除、置換をすることが可能である。 Although the embodiments have been described above, the present invention is not limited to the above-described embodiments, and includes various modified examples, and is not necessarily limited to those having all of the configurations described. It is also possible to replace part of the configuration of one embodiment with the configuration of another embodiment, or to add the configuration of another embodiment to the configuration of one embodiment. It is also possible to add, delete, or replace part of the configuration of each embodiment with other configurations.

1 セキュリティ管理システム、51 第1通信NW、52 第2通信NW、100 支援装置、110 記憶部、111 評価対象情報、112 評価対象モデル、113 攻撃経路情報、114 脅威一覧情報、115 脅威/対策情報、116 攻撃経路生成時制約条件、117 戦略/技術一覧、118 攻撃手順(戦略レベル)、119 攻撃手順(技術レベル)、120 FT、121 FT分析結果、122 対策立案結果、130 情報取得管理部、132 評価対象モデル生成部、134 脅威一覧生成部、138
脅威選出部、140 FT生成分析部、141 攻撃経路特定部、142 攻撃手順(戦略レベル)生成部、143 攻撃手順(技術レベル)生成部、144 FT生成部、145 FT分析部、150 対策立案部、200 ユーザ端末、210 記憶部、220
対話処理部、230 評価対象情報受付部、235 評価対象情報送信部、240 対策立案結果受信部、245 対策立案結果出力部、300 外部サーバ、S700 対策立案処理、S716 FT生成分析処理、2100 対策立案結果提示画面
1 Security management system, 51 First communication network, 52 Second communication network, 100 Support device, 110 Memory unit, 111 Evaluation target information, 112 Evaluation target model, 113 Attack path information, 114 Threat list information, 115 Threat/countermeasure information, 116 Constraint conditions at the time of attack path generation, 117 Strategy/technology list, 118 Attack procedure (strategy level), 119 Attack procedure (technology level), 120 FT, 121 FT analysis result, 122 Countermeasure planning result, 130 Information acquisition management unit, 132 Evaluation target model generation unit, 134 Threat list generation unit, 138
Threat selection unit, 140 FT generation and analysis unit, 141 Attack path identification unit, 142 Attack procedure (strategic level) generation unit, 143 Attack procedure (technical level) generation unit, 144 FT generation unit, 145 FT analysis unit, 150 Countermeasure planning unit, 200 User terminal, 210 Storage unit, 220
Dialogue processing unit, 230 Evaluation target information receiving unit, 235 Evaluation target information transmitting unit, 240 Countermeasure planning result receiving unit, 245 Countermeasure planning result output unit, 300 External server, S700 Countermeasure planning process, S716 FT generation and analysis process, 2100 Countermeasure planning result display screen

Claims (9)

プロセッサ及びメモリを有する情報処理装置を用いて構成されるセキュリティ管理システムであって、
情報処理システムを構成する資産の夫々に対する攻撃に関する情報と、前記攻撃に対する対策に関する情報とを含む、脅威/対策情報と、
セキュリティ対策の評価対象となる情報処理システムである評価対象システムの構成を特定する情報を含む評価対象モデルと、
前記評価対象モデルにおいて想定される脅威の攻撃経路を示す情報である攻撃経路情報と、
を記憶し、
前記攻撃経路における前記各資産における攻撃手順を示す情報を前記脅威/対策情報に基づき生成し、
生成した前記各資産における前記攻撃手順を示す情報に基づき、前記攻撃経路における攻撃手順を示す情報を一つ以上生成し、
生成した前記攻撃経路における攻撃手順を示す情報を論理的に接続することにより前記脅威を事象とするFT(Fault Tree)を生成し、
前記脅威/対策情報における前記攻撃に関する情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とを含み、
前記攻撃経路における攻撃手順を示す情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とに基づき生成され、
生成した前記攻撃経路における攻撃手順を示す情報を和(OR)の論理関係で接続し、
接続した前記攻撃手順を示す情報の夫々の下位に、夫々の前記攻撃の技術を示す情報を積(AND)の論理関係で接続することにより前記FT(Fault Tree)を生成する、
セキュリティ管理システム。
A security management system configured using an information processing device having a processor and a memory,
Threat/countermeasure information including information on attacks against each of the assets constituting the information processing system and information on countermeasures against the attacks;
an evaluation target model including information for identifying a configuration of an evaluation target system, which is an information processing system that is a target for evaluating security measures;
Attack path information indicating attack paths of threats assumed in the evaluation target model;
Remember,
generating information indicating an attack procedure for each of the assets in the attack path based on the threat/countermeasure information;
generating one or more pieces of information indicating attack procedures in the attack path based on the generated information indicating the attack procedures in each of the assets;
generating a Fault Tree (FT) with the threat as an event by logically connecting information indicating an attack procedure in the generated attack path ;
the information on the attack in the threat/countermeasure information includes information indicating a strategy of the attack and information indicating a technique of the attack;
the information indicating the attack procedure in the attack path is generated based on the information indicating the attack strategy and the information indicating the attack technique;
The generated information indicating the attack procedure in the attack path is connected in a logical OR relationship;
generating the FT (Fault Tree) by connecting information indicating each of the attack techniques to each of the connected information indicating the attack procedures in a logical AND relationship;
Security management systems.
請求項に記載のセキュリティ管理システムであって、
前記FT(Fault Tree)に基づき、前記攻撃が成立するための条件を前記攻撃の技術の組合せにより特定し、
特定した前記組合せを構成する前記攻撃の技術の夫々についての対策を前記脅威/対策情報から取得し、
取得した対策を示す情報を生成する、
セキュリティ管理システム。
2. The security management system according to claim 1 ,
Based on the Fault Tree (FT), a condition for the attack to be successful is identified by a combination of the techniques of the attack;
Obtaining countermeasures for each of the attack techniques constituting the identified combination from the threat/countermeasure information;
Generate information indicative of the measures obtained;
Security management systems.
請求項に記載のセキュリティ管理システムであって、
前記脅威/対策情報は、前記対策に要するコストを示す情報を含み、
取得した対策を示す前記情報とともに前記対策に要するコストを示す情報を出力する、
セキュリティ管理システム。
3. The security management system according to claim 2 ,
the threat/countermeasure information includes information indicating a cost required for the countermeasure;
outputting information indicating a cost required for the countermeasure together with the information indicating the acquired countermeasure;
Security management systems.
請求項に記載のセキュリティ管理システムであって、
前記コストの少ない前記対策を優先して出力する、
セキュリティ管理システム。
4. The security management system according to claim 3 ,
The countermeasure with the lowest cost is output preferentially.
Security management systems.
請求項に記載のセキュリティ管理システムであって、
取得した対策を示す前記情報とともに前記脅威のリスクを示す情報を出力する、
セキュリティ管理システム。
3. The security management system according to claim 2 ,
outputting information indicating the risk of the threat together with the information indicating the acquired countermeasure;
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記評価対象モデルにおいて想定される脅威の攻撃経路は、前記評価対象モデルにおける攻撃の侵入口の資産と攻撃対象の資産を結ぶ経路について予め設定された制約条件を課すことにより抽出される経路である、
セキュリティ管理システム。
2. The security management system according to claim 1,
The attack path of the threat assumed in the model to be evaluated is a path extracted by imposing a preset constraint on a path connecting an asset at an entry point of the attack and an asset that is a target of the attack in the model to be evaluated.
Security management systems.
請求項1に記載のセキュリティ管理システムであって、
前記脅威/対策情報は、インターネットを介して通信可能に接続する外部サーバから取得した情報である、
セキュリティ管理システム。
2. The security management system according to claim 1,
The threat/countermeasure information is information acquired from an external server communicably connected via the Internet.
Security management systems.
プロセッサ及びメモリを有する情報処理装置が、
情報処理システムを構成する資産の夫々に対する攻撃に関する情報と、前記攻撃に対する対策に関する情報とを含む、脅威/対策情報と、
セキュリティ対策の評価対象となる情報処理システムである評価対象システムの構成を特定する情報を含む評価対象モデルと、
前記評価対象モデルにおいて想定される脅威の攻撃経路を示す情報である攻撃経路情報と、
を記憶するステップ、
前記攻撃経路における前記各資産における攻撃手順を示す情報を前記脅威/対策情報に基づき生成するステップ、
生成した前記各資産における前記攻撃手順を示す情報に基づき、前記攻撃経路における攻撃手順を示す情報を一つ以上生成するステップ、及び、
生成した前記攻撃経路における攻撃手順を示す情報を論理的に接続することにより前記脅威を事象とするFT(Fault Tree)を生成するステップ、
を実行し、
前記脅威/対策情報における前記攻撃に関する情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とを含み、
前記攻撃経路における攻撃手順を示す情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とに基づき生成され
生成した前記攻撃経路における攻撃手順を示す情報を和(OR)の論理関係で接続するステップ、及び、
接続した前記攻撃手順を示す情報の夫々の下位に、夫々の前記攻撃の技術を示す情報を積(AND)の論理関係で接続することにより前記FT(Fault Tree)を生成するステップ、
を更に実行する、セキュリティ管理方法。
An information processing device having a processor and a memory,
Threat/countermeasure information including information on attacks against each of the assets constituting the information processing system and information on countermeasures against the attacks;
an evaluation target model including information for identifying a configuration of an evaluation target system, which is an information processing system that is a target for evaluating security measures;
Attack path information indicating attack paths of threats assumed in the evaluation target model;
storing the
generating information indicating an attack procedure for each of the assets in the attack path based on the threat/countermeasure information;
generating one or more pieces of information indicating attack procedures in the attack path based on the generated information indicating the attack procedures in each of the assets; and
generating a Fault Tree (FT) with the threat as an event by logically connecting information indicating an attack procedure in the generated attack path;
Run
the information on the attack in the threat/countermeasure information includes information indicating a strategy of the attack and information indicating a technique of the attack;
the information indicating the attack procedure in the attack path is generated based on the information indicating the attack strategy and the information indicating the attack technique ;
A step of connecting the generated information indicating the attack procedure in the attack path in a logical OR relationship; and
generating the Fault Tree (FT) by connecting information indicating each of the attack techniques to each of the connected information indicating the attack procedures in a logical AND relationship;
The security management method further comprises:
請求項に記載のセキュリティ管理方法であって、
前記情報処理装置が、
前記FT(Fault Tree)に基づき、前記攻撃が成立するための条件を前記攻撃の技術の組合せにより特定するステップ、
特定した前記組合せを構成する前記攻撃の技術の夫々についての対策を前記脅威/対策情報から取得するステップ、及び、
取得した対策を示す情報を生成するステップ、
を更に実行する、セキュリティ管理方法。
9. A security management method according to claim 8 , comprising:
The information processing device,
identifying a condition for the attack to be successful based on the Fault Tree (FT) by a combination of the attack techniques;
acquiring, from the threat/countermeasure information, a countermeasure for each of the attack techniques constituting the identified combination; and
generating information indicative of the acquired measures;
The security management method further comprises:
JP2021207853A 2021-12-22 2021-12-22 Security management system and security management method Active JP7576535B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021207853A JP7576535B2 (en) 2021-12-22 2021-12-22 Security management system and security management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021207853A JP7576535B2 (en) 2021-12-22 2021-12-22 Security management system and security management method

Publications (2)

Publication Number Publication Date
JP2023092689A JP2023092689A (en) 2023-07-04
JP7576535B2 true JP7576535B2 (en) 2024-10-31

Family

ID=87000888

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021207853A Active JP7576535B2 (en) 2021-12-22 2021-12-22 Security management system and security management method

Country Status (1)

Country Link
JP (1) JP7576535B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000132767A (en) 1998-10-27 2000-05-12 Hitachi Ltd Security system planning and design methods and support tools
JP2018077597A (en) 2016-11-08 2018-05-17 株式会社日立製作所 Security measure planning support system and method
WO2020137847A1 (en) 2018-12-27 2020-07-02 三菱電機株式会社 Attack tree generation device, attack tree generation method, and attack tree generation program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000132767A (en) 1998-10-27 2000-05-12 Hitachi Ltd Security system planning and design methods and support tools
JP2018077597A (en) 2016-11-08 2018-05-17 株式会社日立製作所 Security measure planning support system and method
WO2020137847A1 (en) 2018-12-27 2020-07-02 三菱電機株式会社 Attack tree generation device, attack tree generation method, and attack tree generation program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
車載システム向けリスク評価支援システム,電気学会研究会資料 The Papers of Technical Meeting on "Information Systems",IEE Japan,日本,一般社団法人電気学会,2017年05月29日,17~22

Also Published As

Publication number Publication date
JP2023092689A (en) 2023-07-04

Similar Documents

Publication Publication Date Title
US11704618B2 (en) Application mapping and alerting based on data dependencies
US10503907B2 (en) Intelligent threat modeling and visualization
WO2023158873A2 (en) System and method for implementing an artificial intelligence security platform
US10797958B2 (en) Enabling real-time operational environment conformity within an enterprise architecture model dashboard
US8707276B2 (en) Method and system for managing programmed applications in an open API environment
US9158655B2 (en) Computer development assessment system
US8677308B2 (en) Method and system for generating an API request message
AU2022205946B2 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
US20160070560A1 (en) System and method for updating or modifying an application without manual coding
JP7384208B2 (en) Security risk analysis support device, method, and program
JP2020160611A (en) Test scenario generation device and test scenario generation method and test scenario generation program
JP2018077597A (en) Security measure planning support system and method
JP7612564B2 (en) Security management system and security management method
US12079348B1 (en) Risk rating method and system
US20190377556A1 (en) Methods and systems for verifying a software program
WO2022150513A1 (en) Systems, devices, and methods for observing and/or securing data access to a computer network
WO2024163415A1 (en) Blockchain-based model governance and auditable monitoring of machine learning models
JP7576535B2 (en) Security management system and security management method
JP2017107405A (en) Security measure planning support method
JP2020129166A (en) Computer system, method for analyzing influence of incident to business system, and analysis device
JP7597748B2 (en) Scenario construction system, scenario construction device, and scenario construction method
JP2024058377A (en) Security design support system and security design support method
Okubo et al. Effective security impact analysis with patterns for software enhancement
JP2023097587A (en) AUTHENTICATION DEVICE, AUTHENTICATION DEVICE CONTROL METHOD AND PROGRAM
Wallnau et al. Simulating Malicious Insiders in Real {Host-Monitored} User Data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240806

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241008

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241021

R150 Certificate of patent or registration of utility model

Ref document number: 7576535

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150