JP7576535B2 - Security management system and security management method - Google Patents
Security management system and security management method Download PDFInfo
- Publication number
- JP7576535B2 JP7576535B2 JP2021207853A JP2021207853A JP7576535B2 JP 7576535 B2 JP7576535 B2 JP 7576535B2 JP 2021207853 A JP2021207853 A JP 2021207853A JP 2021207853 A JP2021207853 A JP 2021207853A JP 7576535 B2 JP7576535 B2 JP 7576535B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- information
- information indicating
- threat
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、セキュリティ管理システム、及びセキュリティ管理方法に関する。 The present invention relates to a security management system and a security management method.
サイバー攻撃等の脅威に対する対策の立案を支援する仕組みとして、例えば、特許文献1には、脆弱性を低減するための対策やセキュリティテストを判断することを目的として構成されたリスク評価対策立案システムについて記載されている。リスク評価対策立案システムは、脆弱性分析部の分析結果に基づきシステムに対する脅威を分析して脅威分析結果を出力する脅威分析処理部、脅威分析結果と脆弱性情報に基づいて脆弱性の影響を低減する対策立案を立案する対策立案部、対策立案に基づいてセキュリティテストを立案するセキュリティテスト立案部、及びセキュリティテストに基づいて評価を行って評価結果を出力する評価演算部、評価結果を処理してセキュリティ対策を生成する結果処理部を有する。
As a mechanism for supporting the planning of countermeasures against threats such as cyber attacks, for example,
近年、セキュリティ管理の対象となるシステムの構成が複雑化し、多様な脅威に対する適切な対策の選出や、対策に漏れがないことの確認に要する労力や時間の削減が課題となっている。また、コストを抑制しつつ対策を適切に実施するために、対策の立案に際しては脅威に対する対策の有効性や優先順位を判断する必要もある。 In recent years, the configurations of systems subject to security management have become increasingly complex, making it difficult to select appropriate measures against a variety of threats and to reduce the effort and time required to ensure that all measures are implemented. In addition, in order to implement measures appropriately while keeping costs down, it is also necessary to determine the effectiveness and priority of measures against threats when formulating them.
本発明は、このような背景に鑑みてなされたものであり、多様な脅威に対する有効かつ適切な対策の立案にかかる作業を支援することが可能な、セキュリティ管理システム及びセキュリティ管理方法を提供することを目的とする。 The present invention was made in light of this background, and aims to provide a security management system and a security management method that can support the work of planning effective and appropriate measures against a variety of threats.
上記目的を達成するための本発明のうちの一つは、プロセッサ及びメモリを有する情報処理装置を用いて構成されるセキュリティ管理システムであって、情報処理システムを構成する資産の夫々に対する攻撃に関する情報と、前記攻撃に対する対策に関する情報とを含む、脅威/対策情報と、セキュリティ対策の評価対象となる情報処理システムである評価対象システムの構成を特定する情報を含む評価対象モデルと、前記評価対象モデルにおいて想定される脅威の攻撃経路を示す情報である攻撃経路情報と、を記憶し、前記攻撃経路における前記各資産における攻撃手順を示す情報を前記脅威/対策情報に基づき生成し、生成した前記各資産における前記攻撃手順を示す情報に基づき、前記攻撃経路における攻撃手順を示す情報を一つ以上生成し、生成した前記攻撃経路における攻撃手順を示す情報を論理的に接続することにより前記脅威を事象とするFT(Fault Tree)を生成し、前記脅威/対策情報における前記攻撃に関する情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とを含み、前記攻撃経路における攻撃手順を示す情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とに基づき生成され、生成した前記攻撃経路における攻撃手順を示す情報を和(OR)の論理関係で接続し、接続した前記攻撃手順を示す情報の夫々の下位に、夫々の前記攻撃の技術を示す情報を積(AND)の論理関係で接続することにより前記FT(Fault Tree)を生成する。
One of the present inventions for achieving the above object is a security management system configured using an information processing device having a processor and a memory, which stores threat/countermeasure information including information on attacks against each of assets constituting an information processing system and information on countermeasures against the attacks, an evaluation target model including information specifying a configuration of an evaluation target system which is an information processing system to be evaluated for security measures, and attack path information which is information indicating an attack path of a threat assumed in the evaluation target model, generates information indicating an attack procedure for each of the assets in the attack path based on the threat/countermeasure information, generates one or more pieces of information indicating the attack procedures in the attack path based on the generated information indicating the attack procedures in each of the assets, and logically connects the generated information indicating the attack procedures in the attack path to generate an FT (Fault Tolerance) which treats the threat as an event. The information relating to the attack in the threat/countermeasure information includes information indicating the attack strategy and information indicating the attack technique, and the information indicating the attack procedure in the attack path is generated based on the information indicating the attack strategy and the information indicating the attack technique, and the FT (Fault Tree) is generated by connecting the generated information indicating the attack procedures in the attack path with a logical relationship of sum (OR), and connecting each piece of information indicating the attack technique to a lower level of each piece of the connected information indicating the attack procedure with a logical relationship of product (AND) .
その他、本願が開示する課題、及びその解決方法は、発明を実施するための形態の欄、及び図面により明らかにされる。 Other problems and solutions disclosed in this application will be made clear in the detailed description of the invention and the drawings.
本発明によれば、多様な脅威に対する有効かつ適切な対策の立案にかかる作業を支援することができる。 The present invention can assist in the task of developing effective and appropriate countermeasures against a variety of threats.
以下、図面を参照しつつ本発明の実施形態について説明する。以下の記載及び図面は、本発明を説明するための例示であり、説明の明確化のため、適宜、省略及び簡略化がなされている。本発明は、他の種々の形態でも実施することが可能である。とくに限定しない限り、各構成要素は単数でも複数でも構わない。 The following describes an embodiment of the present invention with reference to the drawings. The following description and drawings are examples for explaining the present invention, and some parts have been omitted or simplified as appropriate for clarity of explanation. The present invention can also be implemented in various other forms. Unless otherwise specified, each component may be singular or plural.
以下の説明において、識別情報について説明する際に、「識別子」、「名」、「ID」、「番号」等の表現を用いるが、これらについてはお互いに置換することが可能である。また、以下の説明において、「テーブル」、「情報」等の表現にて各種情報を説明することがあるが、各種情報は、これら以外のデータ構造で表現されていてもよい。また、データ構造に依存しないことを示すために「XXテーブル」等を「XX情報」と称することがある。 In the following explanation, when describing identification information, expressions such as "identifier," "name," "ID," and "number" are used, but these are interchangeable. In addition, in the following explanation, various types of information may be described using expressions such as "table" and "information," but the various types of information may be expressed in data structures other than these. Furthermore, an "XX table" etc. may be referred to as "XX information" to indicate independence from the data structure.
以下の説明において、「通信ネットワーク」のことを「通信NW」と表記することがある。また、以下の説明において、「通信インタフェース」のことを「通信IF」と表記することがある。また、以下の説明において、同一の又は類似する構成について重複した説明を省略することがある。また、以下の説明において、符号の前に付した「S」の文字は処理ステップの意味である。 In the following explanation, the "communication network" may be written as "communication NW." Also, in the following explanation, the "communication interface" may be written as "communication IF." Also, in the following explanation, duplicated explanations of identical or similar configurations may be omitted. Also, in the following explanation, the letter "S" before a symbol indicates a processing step.
図1に、一実施形態として説明する情報処理システム(以下、「セキュリティ管理システム1」と称する。)の概略的な構成を示している。同図に示すように、セキュリティ管理システム1は、セキュリティ設計支援装置(以下、「支援装置100」と称する。)と、支援装置100を利用するユーザが操作する一つ以上のユーザ端末200とを含む。
Figure 1 shows a schematic configuration of an information processing system (hereinafter referred to as "
支援装置100は、ユーザ端末200と第1通信NW51を介して通信可能に接続されている。また、支援装置100は、分野別のセキュリティ知識(以下、「分野別セキュリティ知識」と称する。)を提供する外部サーバ300と第2通信NW52を介して通信可能に接続されている。
The
第1通信NW51と第2通信NW52とは、有線方式又は無線方式の通信ネットワークであり、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、イン
ターネット、各種公衆無線通信網、専用線等である。第1通信NW51と第2通信NW52は、互いに接続されていてもよいし共通でもよい。
The
支援装置100は、例えば、SOCサービス(SOC:Security Operation Center)を提供する事業者等によって管理される情報処理装置であり、セキュリティ関連情報を利用して脅威や脅威に対する対策等の情報を生成し、生成した情報をユーザ端末200を介してユーザに提供する。
The
ユーザ端末200は、支援装置100から提供される上記情報を利用するユーザが利用する情報処理装置である。ユーザは、例えば、セキュリティ管理の対象となる情報処理システムについて想定される脅威の特定(脅威の洗出し)や脅威に対する対策の立案を行う分析者である。また、ユーザは、例えば、顧客の情報処理システムについてセキュリティ管理のためのコンサルティング業務を行うセキュリティアドバイザである。
The
外部サーバ300は、支援装置100にセキュリティ関連情報を第2通信NW52を介して提供する情報処理装置である。外部サーバ300は、例えば、攻撃者が情報処理システムにおいて標的とする目的に至る戦略(Tactics)、技術(Techniques)、及び手順(Procedures)をマトリックスとして整理/体系化した情報や、攻撃者が行う可能性のある
具体的な攻撃手法に対応づけられた対策(緩和策、検出方法)に関するフレームワーク等の情報(以下、「脅威/対策情報」と称する。))を支援装置100に提供する。外部サーバ300が提供する脅威/対策情報の例として、「MITRE(登録商標)」社が提供する
「ATT&CK for Enterprise」(登録商標)、「Lockheed Martin(登録商標)」社(登録商標)が開発した「Cyber Kill Chain」(登録商標)等のインターネットを介して提供される情報がある。本実施形態では、外部サーバ300が提供する脅威/対策情報が「MITRE
(登録商標)」社が提供する「ATT&CK for Enterprise」(登録商標)である場合を例と
して説明する。
The
(registered trademark) provided by “ATT&CK for Enterprise” (registered trademark) will be used as an example.
図2は、セキュリティ管理の対象となる情報処理システム(以下、「評価対象システム」と称する。)についての脅威の分析(以下、「脅威分析」と称する。)に際して分析者が行う手法(以下、「脅威分析手法S20」と称する。)の一例を説明する図である。脅威分析手法S20は、評価対象システムにおける脅威の特定やリスクアセスメント、対策の立案等の工程を含む。 Figure 2 is a diagram explaining an example of a method (hereinafter referred to as "threat analysis method S20") that an analyst uses when analyzing threats (hereinafter referred to as "threat analysis") for an information processing system that is the subject of security management (hereinafter referred to as "evaluation target system"). The threat analysis method S20 includes processes such as identifying threats in the evaluation target system, risk assessment, and planning countermeasures.
同図に示すように、まず、分析者は、評価対象システム(TOE:Target of Evaluation)の定義を行う。具体的には、分析者は、評価対象システムをモデル化した情報(データ)である評価対象モデルを作成する(S21)。 As shown in the figure, first, the analyst defines the system to be evaluated (TOE: Target of Evaluation). Specifically, the analyst creates an evaluation target model, which is information (data) that models the system to be evaluated (S21).
続いて、分析者は、5W法等を用いて評価対象モデルについて想定される脅威を特定し(S22)、特定した各脅威についてリスクアセスメントを行うことにより各脅威のリスク値を求める(S23)。分析者は、例えば、共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)を用いてリスク値を求める。 Next, the analyst identifies potential threats to the model being evaluated using the 5W method or the like (S22), and determines a risk value for each identified threat by performing a risk assessment for each threat (S23). The analyst determines the risk value using, for example, the Common Vulnerability Scoring System (CVSS).
続いて、分析者は、対策の立案対象とする脅威を選出する(S24)。分析者は、例えば、リスク値の高い脅威から順に所定数の脅威を立案対象として選出する。 Next, the analyst selects threats for which countermeasures will be developed (S24). For example, the analyst selects a predetermined number of threats in descending order of risk value as targets for countermeasures.
続いて、分析者は、評価対象システムが属する分野(ドメイン)の専門家の知識(以下、「ドメイン知識」と称する。)に基づき、S24で選出した脅威に対する対策をベストプラクティス方式で立案する(S25)。 Next, the analyst uses the knowledge of experts in the field (domain) to which the system being evaluated belongs (hereafter referred to as "domain knowledge") to develop countermeasures against the threats selected in S24 using a best practice approach (S25).
尚、以上に示した脅威分析手法S20における作業や処理は、例えば、手作業の他、適宜各種の支援ツール(アプリケーションソフトウェア等)を用いて行われる。 The tasks and processes in the threat analysis method S20 described above are performed, for example, manually or using various support tools (application software, etc.) as appropriate.
ところで、以上の処理を行うためには、対策を立案するためのルールの作成や立案に必要な情報の準備や管理が必要である。また、ベストプライティス方式による方法では、脅威と対策との関係を必ずしも明確に把握することができないため、個々の脅威に対する対策の選出や対策に漏れがないことの確認に多大な労力と時間が必要である。また、脅威に対する対策の有効性や優先順位の判断が難しく、必要以上に対策が講じられてしまう可能性もある。 However, to carry out the above processing, it is necessary to create rules for formulating countermeasures and to prepare and manage the information required for the planning. Furthermore, with the best practices method, it is not always possible to clearly grasp the relationship between threats and countermeasures, so it takes a lot of time and effort to select countermeasures for each threat and to check that no countermeasures are missing. It is also difficult to judge the effectiveness and priority of countermeasures against threats, and there is a risk that more countermeasures than necessary will be taken.
そこで本実施形態のセキュリティ管理システム1は、図2のS24で選出した脅威に対して具体的にどのような手順や条件によって脅威(攻撃)が発生し得るのかをFT分析(FT:Fault Tree)の手法を用いて論理的に解析することにより対策を立案する。また、外部サーバ300から提供される脅威/対策情報(TTPs(Tactics Techniques and Procedures)等)を用いることにより、最新の情報に基づく適切かつ有効な対策の立案を可能とし
、対策の立案に必要な情報の収集/管理のための負荷軽減を図る。
Therefore, the
図3に本実施形態のセキュリティ管理システム1による脅威分析の手法(以下、「脅威分析手法S30」と称する。)の概要を示している。尚、同図において、S31~S34の手順については、図2の脅威分析手法S20のS21~S24の手順と同様であるので説明を省略する。
Figure 3 shows an overview of the threat analysis method (hereinafter referred to as "threat analysis method S30") by the
S34において対策の立案対象とする脅威を選出すると、支援装置100は、選出された脅威について、脅威/対策情報から取得される当該脅威を引き起こす具体的な方法(戦略(Tactics)や技術(Techniques))を事象として展開(論理的に接続)することによ
りFTを生成する(S35)。
When a threat for which countermeasures are to be developed is selected in S34, the
より具体的には、支援装置100は、例えば、選出した脅威を親事象とし、脅威/対策情報から取得される、当該脅威を引き起こす具体的な手順(脅威/対策情報の戦略(Tactics)や技術(Techniques)から特定される手法)を子事象として展開することによりF
Tを生成する。尚、上記の展開に際し、支援装置100は、例えば、全ての子事象が成立しなければ親事象が成り立たない場合は各手法を積(AND)の論理関係で結合し、いずれかの子事象が成立すれば親事象が成り立つ場合は各方法を和(OR)の論理関係で結合することによりFTを生成する。
More specifically, the
In the above expansion, the
続いて、支援装置100は、例えば、ユーザ端末200を介して分析者等のユーザと対話処理を行いつつ、選出した脅威について、生成したFTを用いて対策を立案する(S36)。
Next, the
このように、本実施形態では、対策の立案にFT分析の結果を用いるため、分析者等のユーザは、脅威と対策との対応を容易かつ正確にとることができる。例えば、一つの脅威に対して複数の対策が存在する場合、ユーザは脅威と対策の論理的な関係から、いずれかの対策を実施することで足りるのか、全ての対策を実施する必要があるのかといったこと
を容易に判断することできる。そのため、ユーザは、有効な対策を必要十分な範囲で効率よく立案することができる。
In this manner, in this embodiment, the results of the FT analysis are used to plan countermeasures, so that a user such as an analyst can easily and accurately match threats with countermeasures. For example, when multiple countermeasures exist for one threat, a user can easily determine, from the logical relationship between the threat and the countermeasures, whether implementing one of the countermeasures is sufficient or whether it is necessary to implement all of the countermeasures. Therefore, a user can efficiently plan effective countermeasures to a necessary and sufficient extent.
また、外部サーバ300から提供される脅威/対策情報は随時更新されるため、ユーザは最新の情報に基づき適切な対策を立案することができる。また、提供される脅威/対策情報が対応する分野は、エンタープライズ、モバイル、産業用制御システム(ICS:Industrial Control System)、自動車、ヘルスケア等、広範に亘るため、分野(ドメイン)毎の専門家を動員することなく、多様な評価対象システムに柔軟に対応して個々のシステムに必要な対策を立案することができる。
In addition, the threat/countermeasure information provided by the
また、本実施形態では脅威/対策情報(シナリオフレームワーク等)を活用するので、ユーザは一貫したセキュリティ管理(脅威分析、リスクアセスメント、脆弱性分析、脆弱性管理、対策立案等)を行うことができる。 In addition, this embodiment utilizes threat/countermeasure information (scenario frameworks, etc.), allowing users to perform consistent security management (threat analysis, risk assessment, vulnerability analysis, vulnerability management, countermeasure planning, etc.).
続いて、セキュリティ管理システム1の構成について具体的に説明する。
Next, we will explain in detail the configuration of the
図4に、支援装置100が備える主な機能を示す。同図に示すように、支援装置100は、記憶部110、情報取得管理部130、評価対象モデル生成部132、脅威一覧生成部134、リスク評価部136、脅威選出部138、FT生成分析部140、及び対策立案部150の各機能を備える。
Figure 4 shows the main functions of the
上記機能のうち、記憶部110は、評価対象情報111、評価対象モデル112、攻撃経路情報113、脅威一覧情報114、脅威/対策情報115、攻撃経路生成時制約条件116、戦略/技術一覧117、攻撃手順(戦略レベル)118、攻撃手順(技術レベル)119、FT120、FT分析結果121、及び対策立案結果122を記憶する。これらの情報の詳細については後述する。
Of the above functions, the
情報取得管理部130は、ユーザ端末200から評価対象システムに関する情報を取得し、取得した情報を評価対象情報111として管理する。また、情報取得管理部130は、外部サーバ300から脅威と脅威に対する対策が記載された情報である脅威/対策情報を随時取得し、取得した脅威/対策情報を脅威/対策情報115として管理する。
The information
評価対象モデル生成部132は、評価対象情報111に基づき評価対象モデルを生成し、生成した評価対象モデルを評価対象モデル112として管理する。
The evaluation target
脅威一覧生成部134は、評価対象モデル112について想定される脅威を脅威/対策情報115から抽出し、抽出した脅威に関する情報を脅威一覧情報114に管理する。
The threat
リスク評価部136は、脅威一覧情報114の各脅威のリスク値を求め(リスクアセスメント)、求めたリスク値を脅威一覧情報114に反映する。尚、リスク評価部136は、例えば、前述した共通脆弱性評価システムを用いてリスク値を求める。
The
FT生成分析部140は、評価対象モデル112についてFTを生成する。同図に示すように、FT生成分析部140は、攻撃経路特定部141、攻撃手順(戦略レベル)生成部142、攻撃手順(技術レベル)生成部143、FT生成部144、及びFT分析部145を有する。
The FT generation and
攻撃経路特定部141は、評価対象モデル112における脅威一覧情報114の各脅威の攻撃経路を特定し、特定した攻撃経路を示す情報を攻撃経路情報113として管理する。尚、攻撃経路情報113は、例えば、STIX(Structured Threat Information eXpressio
n)等のサイバー攻撃活動を記述するための仕様に従って記述される。
The attack
It is written in accordance with specifications for describing cyber attack activities such as
攻撃手順(戦略レベル)生成部142は、攻撃経路特定部141が特定した攻撃経路について、脅威/対策情報115に基づき攻撃手順を示す情報を戦略(Tactics)レベルで
生成し、生成した情報を攻撃手順(戦略レベル)118として管理する。
The attack procedure (tactics level)
攻撃手順(技術レベル)生成部143は、攻撃手順(戦略レベル)生成部142が生成した攻撃手順(戦略レベル)118の各攻撃手順について、更に脅威/対策情報115に基づき技術(Techniques)レベルで攻撃手順を生成し、生成した情報を攻撃手順(技術レベル)119として管理する。
The attack procedure (technical level)
FT生成部144は、攻撃手順(技術レベル)119に基づきFTを生成し、生成したFTをFT120として管理する。
The
FT分析部145は、FT120の内容を分析し、分析結果をFT分析結果121として管理する。FT分析結果121は、例えば、脅威(攻撃)が成立する条件(以下、「攻撃成立条件」と称する。)や脅威(攻撃)が成立しない条件(以下、「攻撃不成立条件」と称する。)を示す情報を含む。
The
対策立案部150は、FT120に基づき評価対象モデル112の各脅威(脅威/対策情報115の各脅威)について対策を立案し、立案した結果を出力する。例えば、対策立案部150は、FT120やFT分析結果121の内容と、脅威/対策情報115において戦略や技術に対応づけられている対策から取得される対策の内容とをユーザ(分析者や分析者の顧客等)に提示しつつ、脅威に対する対策の立案を行う。対策立案部150は、立案の結果を対策立案結果122として管理する。また、対策立案部150は、対策立案結果122に基づく情報をユーザ端末200を介してユーザ(分析者や分析者の顧客等)に提示する。
The
図5は、ユーザ端末200が備える主な機能を説明するブロック図である。同図に示すように、ユーザ端末200は、記憶部210、対話処理部220、評価対象情報受付部230、評価対象情報送信部235、対策立案結果受信部240、及び対策立案結果出力部245の各機能を備える。
Figure 5 is a block diagram explaining the main functions of the
上記機能のうち、記憶部210は、評価対象情報111及び対策立案結果122を記憶する。
Of the above functions, the
対話処理部220は、ユーザから情報の入力を受け付ける機能や、ユーザに情報を提示する機能を提供する。
The
評価対象情報受付部230は、対話処理部220を介して評価対象情報111を受け付ける。評価対象情報送信部235は、評価対象情報受付部230が受け付けた評価対象情報111を第1通信NW51を介して支援装置100に送信する。
The evaluation target
対策立案結果受信部240は、第1通信NW51を介して支援装置100から対策立案結果122を受信する。対策立案結果出力部245は、対話処理部220を介して対策立案結果122をユーザに提示する。
The countermeasure planning
図6は、支援装置100やユーザ端末200の実現に用いる情報処理装置(コンピュータ)のハードウェア構成の一例である。
Figure 6 shows an example of the hardware configuration of an information processing device (computer) used to realize the
例示する情報処理装置10は、プロセッサ11、主記憶装置12(メモリ)、補助記憶装置13(外部記憶装置)、入力装置14、出力装置15、及び通信装置16を備える。これらはバスや通信ケーブル等を介して通信可能に接続されている。情報処理装置10の例として、パーソナルコンピュータ、サーバ装置、スマートフォン、タブレット、オフィスコンピュータ、汎用機(メインフレーム)等がある。
The illustrated
情報処理装置10は、その全部又は一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、情報処理装置10によって提供される機能の全部又は一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現してもよい。また
、情報処理装置10によって提供される機能の全部又は一部は、例えば、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure
as a Service)等を利用して実現されるものであってもよい。
The
This may be realized by using the Service as a Service, etc.
プロセッサ11は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)、FPGA(Field Programmable
Gate Array)、ASIC(Application Specific Integrated Circuit)、AI(Artificial Intelligence)チップ等を用いて構成されている。
The
It is composed of a gate array, an application specific integrated circuit (ASIC), an artificial intelligence (AI) chip, etc.
主記憶装置12は、プロセッサ11がプログラムを実行する際に利用する装置であり、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、不揮発性メモリ(NVRAM(Non Volatile RAM))等である。支援装置100やユーザ端末200において実現される各種の機能は、夫々のプロセッサ11が、補助記憶装置13に格納(記憶)されているプログラムやデータを主記憶装置12に読み出して実行することにより実現される。
The
補助記憶装置13は、プログラムやデータを記憶する装置であり、例えば、SSD(Solid State Drive)、ハードディスクドライブ、光学式記憶装置(CD(Compact Disc)
、DVD(Digital Versatile Disc)等)、ストレージシステム、ICカード、SDカードや光学式記録媒体等の非一時的な記録媒体の読取/書込装置、クラウドサーバの非一時的な記憶領域等で構成することができる。補助記憶装置13には、記録媒体の読取装置や通信装置16を介して、非一時的な記録媒体や非一時的な記憶装置を備えた他の情報処理装置からプログラムやデータを読み込むことができる。補助記憶装置13に格納(記憶)されているプログラムやデータは主記憶装置12に随時読み込まれる。
The
, DVD (Digital Versatile Disc), a storage system, a reading/writing device for non-transient recording media such as IC cards, SD cards, and optical recording media, a non-transient storage area of a cloud server, etc. Programs and data can be read into the
入力装置14は、外部からの情報の入力を受け付けるインタフェースであり、例えば、キーボード、マウス、タッチパネル、カードリーダ、ペン入力方式のタブレット、音声入力装置等である。
The
出力装置15は、処理経過や処理結果等の各種情報を外部に出力するインタフェースである。出力装置15は、例えば、上記の各種情報を可視化する表示装置(液晶モニタ、LCD(Liquid Crystal Display)、グラフィックカード等)、上記の各種情報を音声化する装置(音声出力装置(スピーカ等))、上記の各種情報を文字化する装置(印字装置等)である。尚、例えば、情報処理装置10が通信装置16を介して他の装置との間で情報の入力や出力を行う構成としてもよい。
The
入力装置14と出力装置15は、ユーザとの間での対話処理(情報の受け付け、情報の提供等)を実現するユーザインタフェースを構成する。
The
通信装置16は、他の装置との間の通信を実現する装置である。通信装置16は、通信ネットワークを介して他の装置との間の通信を実現する、有線方式又は無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、無線通信モジュール、USBモジュール等である。
The
尚、情報処理装置10には、例えば、オペレーティングシステム、ファイルシステム、DBMS(DataBase Management System)(リレーショナルデータベース、NoSQL等)、KVS(Key-Value Store)等が導入されていてもよい。
In addition, the
図7は、図3に示したS31~S36の処理(以下、「対策立案処理S700」と称する。)の詳細を説明するフローチャートである。以下、同図とともに対策立案処理S700について説明する。 Figure 7 is a flowchart explaining the details of the processes S31 to S36 shown in Figure 3 (hereinafter referred to as "countermeasure planning process S700"). Below, countermeasure planning process S700 will be explained with reference to this figure.
情報取得管理部130は、第1通信NW51を介してユーザ端末200から評価対象システムに関する情報を取得し、取得した情報を評価対象情報111として管理する。また、情報取得管理部130は、第2通信NW52を介して外部サーバ300と通信することにより最新の脅威/対策情報を取得し脅威/対策情報115を更新する(S711)。
The information
評価対象モデル生成部132は、評価対象情報111に基づき評価対象モデル112を生成する(S712)。
The evaluation target
図8は、評価対象情報111の一例である。同図には評価対象システムが車載ネットワークシステムである場合における評価対象情報111の例を示している。評価対象情報111には、評価対象システムを構成する資産に関する情報が管理される。資産は、評価対象システムの構成要素(物理的な構成要素やソフトウェア的な構成要素)を所定の基準で分解した単位である。
Figure 8 is an example of the
同図に示すように、評価対象情報800は、ノードID1111、資産1112、資産要件1113、及びリンクID1114の各項目を有する複数のレコードで構成される。上記項目のうち、ノードID1111には、評価対象システムを構成する資産毎に付与される識別子であるノードIDが格納される。資産1112には、資産の名称(資産の内容や資産が提供する機能を示す情報)が格納される。資産要件1113には、当該資産について要求される安全性を示す情報(SIL(Safety Integrity Level)規格における安全度水準等)が格納される。リンクID1114には、当該資産とリンクしている(通信する)他の資産のノードIDが格納される。
As shown in the figure, the evaluation target information 800 is composed of multiple records having the following items:
尚、評価対象情報111は、評価対象モデル112の生成に用いるため情報や脅威に対する対策の立案に用いる他の様々な情報を更に含んでいてもよい。
The
図9は、評価対象モデル112の一例を示す模式図である。評価対象モデル112は、評価対象情報111に基づき生成される。評価対象モデル112は、評価対象システムを構成する資産の間に存在する、攻撃経路となり得る通信(有線通信、無線通信)の経路を示す情報を含む。評価対象モデル112は、例えば、DFD(Data Flow Diagram)を用
いて表される。
9 is a schematic diagram showing an example of the
図7に戻り、続いて、脅威一覧生成部134は、評価対象モデル112と攻撃経路情報113とに基づき脅威一覧情報114を生成する(S713)。尚、攻撃経路情報113の内容は、例えば、外部サーバ300から提供される脅威/対策情報115に基づき生成される。また、攻撃経路情報113の内容は、例えば、ユーザ端末200を介してユーザが設定してもよい。
Returning to FIG. 7, the threat
図10は、攻撃経路情報113の一例である。攻撃経路情報113には、評価対象モデル112において想定される攻撃経路の一覧が管理される。同図に示すように、攻撃経路情報113は、ToノードID1131、Toノード名1132、FromノードID/Fromノード名1133、及び攻撃経路1134の各項目からなる複数のレコードで構成される。攻撃経路情報113の一つのレコードは一つの攻撃経路に対応している。
Figure 10 is an example of
上記項目のうち、ToノードID1131には、攻撃の対象となる資産のノードIDが格納される。Toノード名1132には、当該資産の名称(資産の内容や機能を示す情報)が格納される。FromノードID/Fromノード名1133には、当該資産を対象とした攻撃の侵入口となる資産(例えば、5W法における「Where」で特定されるノード)のノードIDと名称が格納される。攻撃経路1134には、当該資産に対する侵入口からの攻撃経路を示す情報が格納される。
Of the above items, To
図11は、脅威一覧情報114の一例である。同図に示すように、脅威一覧情報114は、脅威ID1141、資産1142、FromノードID1143、ToノードID1144、脅威事象1145、及びリスク値1146の各項目を有する複数のレコードで構成される。脅威一覧情報114の一つのレコードは一つの脅威に対応している。
Figure 11 is an example of
上記項目のうち、脅威ID1141には、脅威の識別子である脅威IDが格納される。資産1142には、当該脅威の対象となる資産の名称(資産の内容や機能を示す情報)が格納される。FromノードID1143には、当該資産に対する攻撃を行う資産のノードIDが格納される。ToノードID1144には、攻撃の対象となる資産(もしくは機能)のノードIDが格納される。脅威事象1145には、当該脅威の内容を示す情報が格納される。リスク値1146には、当該脅威のリスク値が格納される。
Of the above items,
図7に戻り、続いて、脅威一覧生成部134は、生成した脅威一覧情報114における各脅威のリスク値を求め、求めたリスク値を脅威一覧情報114に反映する(S714)。
Returning to FIG. 7, the threat
続いて、脅威選出部138が、脅威一覧情報114から対策の立案対象とする脅威を選出する(S715)。脅威選出部138は、例えば、リスク値の高いものから所定数の脅威を立案対象として選出する。
Then, the
続いて、FT生成分析部140が、立案対象として選出した脅威について、FTを生成し分析する処理(以下、この処理のことを「FT生成分析処理S716」と称する。)を行う(S716)。
Next, the FT generation and
図12Aは、FT生成分析処理S716の詳細を説明するフローチャートである。以下、同図とともにFT生成分析処理S716について説明する。 Figure 12A is a flowchart explaining the details of the FT generation analysis process S716. Below, the FT generation analysis process S716 will be explained with reference to the same figure.
まず、攻撃経路特定部が、脅威選出部138が選出した脅威について、FROMノードからTOノードまでの攻撃経路を攻撃経路情報113に基づき特定する(S1211)。
First, the attack
続いて、攻撃手順(戦略レベル)生成部142が、攻撃経路特定部141が特定した攻撃経路について、脅威/対策情報115に基づき、当該攻撃経路を構成する各ノード内(各資産内)の攻撃手順(攻撃手順の順序付きの組合せ(以下、「順列組合せ」と称する。)を生成する(S1212)。
Next, the attack procedure (strategy level)
図13に、脅威/対策情報115の一例を示す。同図に示すように、例示する脅威/対
策情報115は、攻撃手法ID1151、攻撃手法(戦略)1152、及び、攻撃手法(技術)1153と対策/コスト1154の一つ以上の組合せを有する、複数のレコードで構成される。
13 shows an example of the threat/
上記項目のうち、攻撃手法ID1151には、攻撃手法毎に付与される識別子である攻撃手法IDが格納される。攻撃手法(戦略)1152には、戦略に関する攻撃手法を示す情報が格納される。攻撃手法(技術)1153には、技術に関する攻撃手法を示す情報が格納される。対策/コスト1154には、当該攻撃手法に対する対策を示す情報とコストを示す情報とが格納される。
Of the above items,
図14Aに、S1212で攻撃手順(戦略レベル)生成部142が生成する順列組合せの一例(以下、「順列組合せ1400」と称する。)を示す。尚、同図は評価対象モデル112が図14Bに示す構成である場合の順列組合せの一例である。同図に示すように、例示する順列組合せ1400は、ノード1401、戦略レベル順列組合せID1402、技術レベル順列組合せID1403、戦略(1)1404、戦略(2)1405、技術(1)1406、技術(2)1407の各項目を有する複数のレコードで構成される。順列組合せ1400の一つのレコードは一つの順列組合せに対応している。
Figure 14A shows an example of a permutation combination (hereinafter referred to as "
同図において、ノード1401には、ノードの識別子であるノードIDが、戦略レベル順列組合せID1402には、戦略レベルの順列組合せの識別子である戦略レベル順列組合せIDが、技術レベル順列組合せID1403には、技術レベルの順列組合せの識別子である技術レベル順列組合せIDが、戦略(1)1404及び戦略(2)1405には、戦略の内容が、技術(1)1406及び技術(2)1407には技術の内容が、夫々格納される。
In the figure,
図12Aに戻り、続いて、攻撃手順(戦略レベル)生成部142が、順列組合せ1400に基づき、S1211で特定した攻撃経路における攻撃手順を戦略(Tactics)レベル
で生成し、生成した攻撃手順を攻撃手順(戦略レベル)118として管理する(S1213)。尚、攻撃手順(戦略レベル)生成部142は、攻撃経路生成時制約条件116に規定される制約条件を満たすように攻撃手順を生成する。
12A , the attack procedure (strategy level)
図15に、攻撃経路生成時制約条件116の一例を示す。同図に示すように、攻撃経路生成時制約条件116は、制約条件ID1161、ノード条件1162、及び制約条件1163の各項目を有する一つ以上のレコードで構成される。攻撃経路生成時制約条件116の一つのレコードは一つの制約条件に対応している。
Figure 15 shows an example of the attack path generation constraint conditions 116. As shown in the figure, the attack path
上記項目のうち、制約条件ID1161には、制約条件毎に付与される識別子である制約条件IDが格納される。ノード条件1162には、当該制約条件の適用対象となるノードを特定する情報が格納される。制約条件1163には、制約条件の内容を示す情報が格納される。
Of the above items,
図16に、攻撃手順(戦略レベル)118の一例を示す。攻撃手順(戦略レベル)118は、S1212で生成した順列組合せから、攻撃経路生成時制約条件116の制約条件を満たす戦略レベルの順列組合せを抽出した結果を攻撃経路のノード順に並べた内容を含む。
Figure 16 shows an example of the attack procedure (strategy level) 118. The attack procedure (strategy level) 118 includes the results of extracting permutation combinations at the strategy level that satisfy the constraint conditions of the attack path
同図に示すように、攻撃手順(戦略レベル)118は、戦略レベル攻撃経路ID1181、攻撃経路1182、第1ノード:戦略レベル順列組合せID1183、第2ノード:戦略レベル順列組合せID1184、第3ノード:戦略レベル順列組合せID1185の各項目を有する一つ以上のレコードで構成される。攻撃手順(戦略レベル)118の一つ
のレコードは一つの攻撃手順に対応している。
As shown in the figure, the attack procedure (strategy level) 118 is composed of one or more records having each item of a strategy level
上記項目のうち、戦略レベル攻撃経路ID1181には、戦略レベルの攻撃経路毎に付与される識別子である戦略レベル攻撃経路IDが格納される。攻撃経路1182には、攻撃経路を示す情報が格納される。第1ノード:戦略レベル順列組合せID1183、第2ノード:戦略レベル順列組合せID1184、及び第3ノード:戦略レベル順列組合せID1185には、攻撃経路を構成するノード間の戦略レベル順列組合せIDの組合せが格納される。
Of the above items, strategic level
図12Aに戻り、続いて、攻撃手順(技術レベル)生成部143が、S1212で生成した順列組合せ1400とS1213で生成した攻撃手順(戦略レベル)118とに基づき、S1211で特定した攻撃経路における攻撃手順を技術(Techniques)レベルで生成し、生成した攻撃手順を攻撃手順(技術レベル)119として管理する(S1214)。
Returning to FIG. 12A, the attack procedure (technique level)
図17に、攻撃手順(技術レベル)119の一例を示す。攻撃手順(技術レベル)119は、S1213で生成した攻撃手順(戦略レベル)118について、S1212で生成した順列組合せ1400から取得される技術レベルの順列組合せを抽出した結果を攻撃経路のノード順に並べた内容を含む。
Figure 17 shows an example of an attack procedure (technical level) 119. The attack procedure (technical level) 119 includes the results of extracting permutation combinations of technical levels obtained from the
同図に示すように、攻撃手順(技術レベル)119は、技術レベル攻撃経路ID1191、攻撃経路1192、第1ノード:技術レベル順列組合せID1193、第2ノード:技術レベル順列組合せID1194、第3ノード:技術レベル順列組合せID1195の各項目を有する一つ以上のレコードで構成される。攻撃手順(技術レベル)119の一つのレコードは一つの攻撃手順に対応している。
As shown in the figure, attack procedure (technical level) 119 is composed of one or more records having each of the following items: technical level
上記項目のうち、技術レベル攻撃経路ID1191には、技術レベルの攻撃経路毎に付与される識別子である技術レベル攻撃経路IDが格納される。攻撃経路1192には、攻撃経路を示す情報が格納される。第1ノード:技術レベル順列組合せID1193、第2ノード:技術レベル順列組合せID1194、及び第3ノード:技術レベル順列組合せID1195には、攻撃経路を構成するノード間の技術レベル順列組合せIDの組合せが格納される。
Of the above items, technical level
尚、図12Aに示したS1212~S1214の処理は、例えば、図12Bに示すS1222~S1224に示すようにしてもよい。図12Bの例では、図12AのS1213のように攻撃手順(戦略レベル)118を生成してから攻撃手順(技術レベル)119を生成するのではなく、S1211で特定した攻撃経路のノード内での攻撃手順を脅威/対策情報に基づき技術レベルで生成し(S1223)、生成した攻撃手順を用いて攻撃手順(技術レベル)119を生成している(S1224)。 The processing of S1212 to S1214 shown in FIG. 12A may be, for example, as shown in S1222 to S1224 shown in FIG. 12B. In the example of FIG. 12B, instead of generating an attack procedure (strategic level) 118 and then generating an attack procedure (technical level) 119 as in S1213 of FIG. 12A, an attack procedure within the node of the attack path identified in S1211 is generated at a technical level based on threat/countermeasure information (S1223), and the generated attack procedure is used to generate the attack procedure (technical level) 119 (S1224).
図12Aに戻り、続いて、FT生成部144が、S1214で生成した攻撃手順(技術レベル)119に基づきFTを生成し、生成したFTをFT120として管理する(S1215)。具体的には、FT生成部144は、評価対象システムにおける攻撃の侵入口から最終的な攻撃対象の資産(以下、「攻撃対象資産」と称する。)までの複数の攻撃手順を和(OR)の論理関係で接続し、更に、和の論理関係で接続した各攻撃手順について、夫々の要素(攻撃対象資産への攻撃の技術(Technique))を積(AND)の論理関係で
接続することによりFTを生成する。
12A , the
図18にFT120の一例を示す。この例では、選出した脅威1811に、侵入口から攻撃対象資産までの複数の攻撃手順1822(「技術レベル攻撃手順1」~「技術レベル攻撃手順15」)を和(OR)の論理関係1820で接続している。また、和(OR)の
論理関係1820で接続した各攻撃手順1813について、夫々の要素1814(攻撃対象資産への攻撃の技術1815)を積(AND)の論理関係1830で接続している。尚、例えば、支援装置100が、ユーザ端末200を介してFT120の内容をユーザに随時提示するようにしてもよい。
An example of the
図12Aに戻り、続いて、FT分析部145が、FT120の内容を分析し、分析結果をFT分析結果121として管理する(S1216)。例えば、FT分析部145は、
脅威(攻撃)が成立する条件(攻撃成立条件)や、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121を生成し、ユーザ端末200を介してユーザに提示する。
12A , the
An
図19に、攻撃成立条件を含むFT分析結果121の一例を示す。同図に示すように、例示するFT分析結果121は、攻撃成立条件ID1211、攻撃対象資産1212、及び攻撃技術レベル1213の各項目を有する一つ以上のレコードで構成される。例示するFT分析結果121の一つのレコードは一つの攻撃成立条件に対応している。
Figure 19 shows an example of an
上記項目のうち、攻撃成立条件ID1211には、攻撃成立条件毎の識別子である攻撃成立条件IDが格納される。攻撃対象資産1212には、攻撃対象資産を示す情報が格納される。攻撃技術レベル1213には、当該攻撃成立条件を成立させる攻撃の技術レベルの組合せが格納される。
Of the above items, the attack
生成されたFT120について、和(OR)と積(AND)を入れ替えることで、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121を生成することができる。例えば、攻撃成立条件が「(α-1 AND B-2 AND A-3)OR(α-1 AND
B-2 AND A-3')」で表される場合、和(OR)と積(AND)を入れ替えた「(α-1 OR B-2 OR A-3)AND(α-1 OR B-2 OR A-3')」は攻撃不成立条件を表す。
By switching the sum (OR) and product (AND) of the generated
When the condition is expressed as "(α-1 OR B-2 OR A-3) AND (α-1 OR B-2 OR A-3')," which replaces the sum (OR) and product (AND), the condition for an attack to fail is expressed as "(α-1 OR B-2 OR A-3) AND (α-1 OR B-2 OR A-3')."
分析者等のユーザは、FT分析結果121を参照することで、攻撃の技術レベルのどのような組合せが攻撃対象資産に対する攻撃を成立させるのかを容易に把握することができる。 By referring to the FT analysis results 121, users such as analysts can easily understand what combinations of attack technical levels will result in an attack on the target assets.
図7に戻り、続いて、対策立案部150が、FT分析結果121を用いて脅威に対する対策を立案し、立案した結果を対策立案結果122として管理するとともに、対策立案結果122の内容をユーザに提示する(S717)。
Returning to FIG. 7, the
対策立案部150は、例えば、脅威(攻撃)が成立する条件(攻撃成立条件)や、脅威(攻撃)が成立しない条件(攻撃不成立条件)を示す情報を含むFT分析結果121をユーザ端末200を介してユーザに提示しつつ、ユーザとの対話処理により脅威に対する対策を立案する。例えば、攻撃不成立条件が「(α-1 OR B-2 OR A-3)AND(α-1 OR B-2 OR A-3')」で表される場合、対策立案部150は、脅威に対する対策として、例えば、「α-1への対策」、「B-2への対策」、「A-3への対策 AND α-1への対策」、「A-3への対
策 AND B-2への対策」、「A-3への対策 AND A-3'への対策」、「A-3'への対策 AND α-1への対策」、「A-3'への対策 AND B-2への対策」を導出する。
The
図20に、対策立案結果122の一例を示す。例示する対策立案結果122は、ノードID1221、対策ID1222、コスト(費用)1223、及びコスト(時間)1224の各項目を有する一つ以上のレコードで構成される。
Figure 20 shows an example of a
上記項目のうちノードID1221には、攻撃経路を構成するノードの識別子であるノードIDが格納される。対策ID1222には、対策毎に付与される識別子である対策I
Dが格納される。コスト(費用)1223には、当該対策を講ずることにより生じる金銭的なコストを示す情報が格納される。コスト(時間)1224には、当該対策を講ずることにより生じる時間的なコストを示す情報が格納される。尚、対策立案部150は、コスト(費用)1223、及びコスト(時間)1224の内容を、例えば、脅威/対策情報115から取得する。
Among the above items, the
D is stored in the cost (expense) 1223. Information indicating the monetary cost incurred by taking the countermeasure is stored in the cost (time) 1224. Note that the
図21は、対策立案部150がユーザに対策立案結果122の内容を提示する際にユーザ端末200に表示される画面(以下、「対策立案結果提示画面2100」と称する。)の一例である。例示する対策立案結果提示画面2100は、攻撃成立条件ID2111、攻撃対象資産2112、対策2113、最小コスト(費用)2114、最小コスト(時間)2115、及び最大脅威リスク2116の各表示欄を有する。
Figure 21 is an example of a screen (hereinafter referred to as "countermeasure planning
攻撃成立条件ID2111には、攻撃成立条件毎の識別子である攻撃成立条件IDが表示される。攻撃対象資産2112には、攻撃対象資産を示す情報が表示される。対策2113には、当該資産について立案された対策を示す情報が表示される。最小コスト(費用)2114には、対策2113に表示されている対策のうち金銭的なコストが最小になる対策のコスト(費用)が表示される。最小コスト(時間)2115には、対策2113に表示されている対策のうち時間的なコストが最小となる対策のコスト(時間)が表示される。最大脅威リスク2116には、図3のS715で選出された脅威のリスク値が表示される。
Attack
ユーザは、対策立案結果提示画面2100を参照することで、どのような攻撃に対してどのような対策もしくは対策の組合せが有効であるのか、どのような対策もしくは対策の組合せがコスト的に有利であるか、どのような脅威がリスクの高い脅威であるか、といったことを容易に把握することができる。
By referring to the countermeasure planning
以上、本実施形態のセキュリティ管理システム1について説明したが、同システムによれば、分析者等のユーザは、FT分析結果121に基づき脅威(攻撃)と対策の関係を容易に把握することができる。また、セキュリティ管理システム1は、攻撃成立条件に対応する対策の一つ以上の組合せを生成するので、ユーザは提示された複数の対策の組合せから、コストを考慮しつつ、適切な対策立案を効率よく選出することができる。このように、本実施形態のセキュリティ管理システム1によれば、脅威に対する有効かつ適切な対策の立案を支援することができる。
The above describes the
以上、実施形態について説明したが、本発明は上記の実施形態に限定されるものではなく、様々な変形例が含まれ、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることや、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。また、各実施形態の構成の一部について、他の構成の追加、削除、置換をすることが可能である。 Although the embodiments have been described above, the present invention is not limited to the above-described embodiments, and includes various modified examples, and is not necessarily limited to those having all of the configurations described. It is also possible to replace part of the configuration of one embodiment with the configuration of another embodiment, or to add the configuration of another embodiment to the configuration of one embodiment. It is also possible to add, delete, or replace part of the configuration of each embodiment with other configurations.
1 セキュリティ管理システム、51 第1通信NW、52 第2通信NW、100 支援装置、110 記憶部、111 評価対象情報、112 評価対象モデル、113 攻撃経路情報、114 脅威一覧情報、115 脅威/対策情報、116 攻撃経路生成時制約条件、117 戦略/技術一覧、118 攻撃手順(戦略レベル)、119 攻撃手順(技術レベル)、120 FT、121 FT分析結果、122 対策立案結果、130 情報取得管理部、132 評価対象モデル生成部、134 脅威一覧生成部、138
脅威選出部、140 FT生成分析部、141 攻撃経路特定部、142 攻撃手順(戦略レベル)生成部、143 攻撃手順(技術レベル)生成部、144 FT生成部、145 FT分析部、150 対策立案部、200 ユーザ端末、210 記憶部、220
対話処理部、230 評価対象情報受付部、235 評価対象情報送信部、240 対策立案結果受信部、245 対策立案結果出力部、300 外部サーバ、S700 対策立案処理、S716 FT生成分析処理、2100 対策立案結果提示画面
1 Security management system, 51 First communication network, 52 Second communication network, 100 Support device, 110 Memory unit, 111 Evaluation target information, 112 Evaluation target model, 113 Attack path information, 114 Threat list information, 115 Threat/countermeasure information, 116 Constraint conditions at the time of attack path generation, 117 Strategy/technology list, 118 Attack procedure (strategy level), 119 Attack procedure (technology level), 120 FT, 121 FT analysis result, 122 Countermeasure planning result, 130 Information acquisition management unit, 132 Evaluation target model generation unit, 134 Threat list generation unit, 138
Threat selection unit, 140 FT generation and analysis unit, 141 Attack path identification unit, 142 Attack procedure (strategic level) generation unit, 143 Attack procedure (technical level) generation unit, 144 FT generation unit, 145 FT analysis unit, 150 Countermeasure planning unit, 200 User terminal, 210 Storage unit, 220
Dialogue processing unit, 230 Evaluation target information receiving unit, 235 Evaluation target information transmitting unit, 240 Countermeasure planning result receiving unit, 245 Countermeasure planning result output unit, 300 External server, S700 Countermeasure planning process, S716 FT generation and analysis process, 2100 Countermeasure planning result display screen
Claims (9)
情報処理システムを構成する資産の夫々に対する攻撃に関する情報と、前記攻撃に対する対策に関する情報とを含む、脅威/対策情報と、
セキュリティ対策の評価対象となる情報処理システムである評価対象システムの構成を特定する情報を含む評価対象モデルと、
前記評価対象モデルにおいて想定される脅威の攻撃経路を示す情報である攻撃経路情報と、
を記憶し、
前記攻撃経路における前記各資産における攻撃手順を示す情報を前記脅威/対策情報に基づき生成し、
生成した前記各資産における前記攻撃手順を示す情報に基づき、前記攻撃経路における攻撃手順を示す情報を一つ以上生成し、
生成した前記攻撃経路における攻撃手順を示す情報を論理的に接続することにより前記脅威を事象とするFT(Fault Tree)を生成し、
前記脅威/対策情報における前記攻撃に関する情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とを含み、
前記攻撃経路における攻撃手順を示す情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とに基づき生成され、
生成した前記攻撃経路における攻撃手順を示す情報を和(OR)の論理関係で接続し、
接続した前記攻撃手順を示す情報の夫々の下位に、夫々の前記攻撃の技術を示す情報を積(AND)の論理関係で接続することにより前記FT(Fault Tree)を生成する、
セキュリティ管理システム。 A security management system configured using an information processing device having a processor and a memory,
Threat/countermeasure information including information on attacks against each of the assets constituting the information processing system and information on countermeasures against the attacks;
an evaluation target model including information for identifying a configuration of an evaluation target system, which is an information processing system that is a target for evaluating security measures;
Attack path information indicating attack paths of threats assumed in the evaluation target model;
Remember,
generating information indicating an attack procedure for each of the assets in the attack path based on the threat/countermeasure information;
generating one or more pieces of information indicating attack procedures in the attack path based on the generated information indicating the attack procedures in each of the assets;
generating a Fault Tree (FT) with the threat as an event by logically connecting information indicating an attack procedure in the generated attack path ;
the information on the attack in the threat/countermeasure information includes information indicating a strategy of the attack and information indicating a technique of the attack;
the information indicating the attack procedure in the attack path is generated based on the information indicating the attack strategy and the information indicating the attack technique;
The generated information indicating the attack procedure in the attack path is connected in a logical OR relationship;
generating the FT (Fault Tree) by connecting information indicating each of the attack techniques to each of the connected information indicating the attack procedures in a logical AND relationship;
Security management systems.
前記FT(Fault Tree)に基づき、前記攻撃が成立するための条件を前記攻撃の技術の組合せにより特定し、
特定した前記組合せを構成する前記攻撃の技術の夫々についての対策を前記脅威/対策情報から取得し、
取得した対策を示す情報を生成する、
セキュリティ管理システム。 2. The security management system according to claim 1 ,
Based on the Fault Tree (FT), a condition for the attack to be successful is identified by a combination of the techniques of the attack;
Obtaining countermeasures for each of the attack techniques constituting the identified combination from the threat/countermeasure information;
Generate information indicative of the measures obtained;
Security management systems.
前記脅威/対策情報は、前記対策に要するコストを示す情報を含み、
取得した対策を示す前記情報とともに前記対策に要するコストを示す情報を出力する、
セキュリティ管理システム。 3. The security management system according to claim 2 ,
the threat/countermeasure information includes information indicating a cost required for the countermeasure;
outputting information indicating a cost required for the countermeasure together with the information indicating the acquired countermeasure;
Security management systems.
前記コストの少ない前記対策を優先して出力する、
セキュリティ管理システム。 4. The security management system according to claim 3 ,
The countermeasure with the lowest cost is output preferentially.
Security management systems.
取得した対策を示す前記情報とともに前記脅威のリスクを示す情報を出力する、
セキュリティ管理システム。 3. The security management system according to claim 2 ,
outputting information indicating the risk of the threat together with the information indicating the acquired countermeasure;
Security management systems.
前記評価対象モデルにおいて想定される脅威の攻撃経路は、前記評価対象モデルにおける攻撃の侵入口の資産と攻撃対象の資産を結ぶ経路について予め設定された制約条件を課すことにより抽出される経路である、
セキュリティ管理システム。 2. The security management system according to claim 1,
The attack path of the threat assumed in the model to be evaluated is a path extracted by imposing a preset constraint on a path connecting an asset at an entry point of the attack and an asset that is a target of the attack in the model to be evaluated.
Security management systems.
前記脅威/対策情報は、インターネットを介して通信可能に接続する外部サーバから取得した情報である、
セキュリティ管理システム。 2. The security management system according to claim 1,
The threat/countermeasure information is information acquired from an external server communicably connected via the Internet.
Security management systems.
情報処理システムを構成する資産の夫々に対する攻撃に関する情報と、前記攻撃に対する対策に関する情報とを含む、脅威/対策情報と、
セキュリティ対策の評価対象となる情報処理システムである評価対象システムの構成を特定する情報を含む評価対象モデルと、
前記評価対象モデルにおいて想定される脅威の攻撃経路を示す情報である攻撃経路情報と、
を記憶するステップ、
前記攻撃経路における前記各資産における攻撃手順を示す情報を前記脅威/対策情報に基づき生成するステップ、
生成した前記各資産における前記攻撃手順を示す情報に基づき、前記攻撃経路における攻撃手順を示す情報を一つ以上生成するステップ、及び、
生成した前記攻撃経路における攻撃手順を示す情報を論理的に接続することにより前記脅威を事象とするFT(Fault Tree)を生成するステップ、
を実行し、
前記脅威/対策情報における前記攻撃に関する情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とを含み、
前記攻撃経路における攻撃手順を示す情報は、前記攻撃の戦略を示す情報と前記攻撃の技術を示す情報とに基づき生成され、
生成した前記攻撃経路における攻撃手順を示す情報を和(OR)の論理関係で接続するステップ、及び、
接続した前記攻撃手順を示す情報の夫々の下位に、夫々の前記攻撃の技術を示す情報を積(AND)の論理関係で接続することにより前記FT(Fault Tree)を生成するステップ、
を更に実行する、セキュリティ管理方法。 An information processing device having a processor and a memory,
Threat/countermeasure information including information on attacks against each of the assets constituting the information processing system and information on countermeasures against the attacks;
an evaluation target model including information for identifying a configuration of an evaluation target system, which is an information processing system that is a target for evaluating security measures;
Attack path information indicating attack paths of threats assumed in the evaluation target model;
storing the
generating information indicating an attack procedure for each of the assets in the attack path based on the threat/countermeasure information;
generating one or more pieces of information indicating attack procedures in the attack path based on the generated information indicating the attack procedures in each of the assets; and
generating a Fault Tree (FT) with the threat as an event by logically connecting information indicating an attack procedure in the generated attack path;
Run
the information on the attack in the threat/countermeasure information includes information indicating a strategy of the attack and information indicating a technique of the attack;
the information indicating the attack procedure in the attack path is generated based on the information indicating the attack strategy and the information indicating the attack technique ;
A step of connecting the generated information indicating the attack procedure in the attack path in a logical OR relationship; and
generating the Fault Tree (FT) by connecting information indicating each of the attack techniques to each of the connected information indicating the attack procedures in a logical AND relationship;
The security management method further comprises:
前記情報処理装置が、
前記FT(Fault Tree)に基づき、前記攻撃が成立するための条件を前記攻撃の技術の組合せにより特定するステップ、
特定した前記組合せを構成する前記攻撃の技術の夫々についての対策を前記脅威/対策情報から取得するステップ、及び、
取得した対策を示す情報を生成するステップ、
を更に実行する、セキュリティ管理方法。 9. A security management method according to claim 8 , comprising:
The information processing device,
identifying a condition for the attack to be successful based on the Fault Tree (FT) by a combination of the attack techniques;
acquiring, from the threat/countermeasure information, a countermeasure for each of the attack techniques constituting the identified combination; and
generating information indicative of the acquired measures;
The security management method further comprises:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021207853A JP7576535B2 (en) | 2021-12-22 | 2021-12-22 | Security management system and security management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021207853A JP7576535B2 (en) | 2021-12-22 | 2021-12-22 | Security management system and security management method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023092689A JP2023092689A (en) | 2023-07-04 |
| JP7576535B2 true JP7576535B2 (en) | 2024-10-31 |
Family
ID=87000888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021207853A Active JP7576535B2 (en) | 2021-12-22 | 2021-12-22 | Security management system and security management method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7576535B2 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000132767A (en) | 1998-10-27 | 2000-05-12 | Hitachi Ltd | Security system planning and design methods and support tools |
| JP2018077597A (en) | 2016-11-08 | 2018-05-17 | 株式会社日立製作所 | Security measure planning support system and method |
| WO2020137847A1 (en) | 2018-12-27 | 2020-07-02 | 三菱電機株式会社 | Attack tree generation device, attack tree generation method, and attack tree generation program |
-
2021
- 2021-12-22 JP JP2021207853A patent/JP7576535B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000132767A (en) | 1998-10-27 | 2000-05-12 | Hitachi Ltd | Security system planning and design methods and support tools |
| JP2018077597A (en) | 2016-11-08 | 2018-05-17 | 株式会社日立製作所 | Security measure planning support system and method |
| WO2020137847A1 (en) | 2018-12-27 | 2020-07-02 | 三菱電機株式会社 | Attack tree generation device, attack tree generation method, and attack tree generation program |
Non-Patent Citations (1)
| Title |
|---|
| 車載システム向けリスク評価支援システム,電気学会研究会資料 The Papers of Technical Meeting on "Information Systems",IEE Japan,日本,一般社団法人電気学会,2017年05月29日,17~22 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023092689A (en) | 2023-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11704618B2 (en) | Application mapping and alerting based on data dependencies | |
| US10503907B2 (en) | Intelligent threat modeling and visualization | |
| WO2023158873A2 (en) | System and method for implementing an artificial intelligence security platform | |
| US10797958B2 (en) | Enabling real-time operational environment conformity within an enterprise architecture model dashboard | |
| US8707276B2 (en) | Method and system for managing programmed applications in an open API environment | |
| US9158655B2 (en) | Computer development assessment system | |
| US8677308B2 (en) | Method and system for generating an API request message | |
| AU2022205946B2 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
| US20160070560A1 (en) | System and method for updating or modifying an application without manual coding | |
| JP7384208B2 (en) | Security risk analysis support device, method, and program | |
| JP2020160611A (en) | Test scenario generation device and test scenario generation method and test scenario generation program | |
| JP2018077597A (en) | Security measure planning support system and method | |
| JP7612564B2 (en) | Security management system and security management method | |
| US12079348B1 (en) | Risk rating method and system | |
| US20190377556A1 (en) | Methods and systems for verifying a software program | |
| WO2022150513A1 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
| WO2024163415A1 (en) | Blockchain-based model governance and auditable monitoring of machine learning models | |
| JP7576535B2 (en) | Security management system and security management method | |
| JP2017107405A (en) | Security measure planning support method | |
| JP2020129166A (en) | Computer system, method for analyzing influence of incident to business system, and analysis device | |
| JP7597748B2 (en) | Scenario construction system, scenario construction device, and scenario construction method | |
| JP2024058377A (en) | Security design support system and security design support method | |
| Okubo et al. | Effective security impact analysis with patterns for software enhancement | |
| JP2023097587A (en) | AUTHENTICATION DEVICE, AUTHENTICATION DEVICE CONTROL METHOD AND PROGRAM | |
| Wallnau et al. | Simulating Malicious Insiders in Real {Host-Monitored} User Data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240221 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240806 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240820 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240920 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20241008 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20241021 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7576535 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |