Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7647997B2 - POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM - Google Patents
[go: Go Back, main page]

JP7647997B2 - POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM - Google Patents

POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM Download PDF

Info

Publication number
JP7647997B2
JP7647997B2 JP2024507282A JP2024507282A JP7647997B2 JP 7647997 B2 JP7647997 B2 JP 7647997B2 JP 2024507282 A JP2024507282 A JP 2024507282A JP 2024507282 A JP2024507282 A JP 2024507282A JP 7647997 B2 JP7647997 B2 JP 7647997B2
Authority
JP
Japan
Prior art keywords
policy
entity
unit
policy control
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2024507282A
Other languages
Japanese (ja)
Other versions
JPWO2023175756A1 (en
Inventor
宜秀 仲川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2023175756A1 publication Critical patent/JPWO2023175756A1/ja
Application granted granted Critical
Publication of JP7647997B2 publication Critical patent/JP7647997B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ポリシ制御装置、ゼロトラストシステム、ポリシ制御方法、および、ポリシ制御プログラムに関する。 The present invention relates to a policy control device, a zero trust system, a policy control method, and a policy control program.

テレコムネットワーク、大規模エンタープライズネットワーク、IoT(Internet of Things)ネットワークなどの大規模システムが普及している。外部端末などのエンティティから大規模システムへのサイバー攻撃のリスクに対処するための方策(ポリシ)を実行することが、セキュリティオペレーションとして重要となる。方策を策定するときには、非友好的な外国に存在するなどの高リスクな方策箇所のエンティティに対して、通信を遮断するなどの適切な方策内容を選択することが求められる。 Large-scale systems such as telecom networks, large-scale enterprise networks, and IoT (Internet of Things) networks are becoming widespread. It is important for security operations to implement measures (policies) to address the risk of cyber attacks on large-scale systems from entities such as external terminals. When formulating policies, it is necessary to select appropriate policy content, such as cutting off communications, for entities at high-risk policy locations, such as those located in unfriendly foreign countries.

以下、方策を策定するときに役立つ技術を示す。
非特許文献1,2に記載のゼロトラストアーキテクチャ(ZTA:Zero Trust Architecture)は、各エンティティからのアクセスを検証し、信頼できないエンティティを方策箇所として方策を実行するアーキテクチャである。これにより、社外の端末だけでなく、社内の端末も信頼せずに(ゼロトラスト)検証対象とすることで、社内の端末からのサイバー攻撃にも対処できる。
非特許文献3には、ZTAの拡張であるi-ZTA(Intelligent ZTA)が記載されている。i-ZTAは、大規模ネットワーク向けにZTAを拡張するものであり、動的なリスクの評価と信頼性スコアの評価を行うために、グラフニューラルネットワークおよび強化学習を用いた異常検出を行う。これにより、リスクが高いエンティティや、信頼性スコアが低いエンティティを、他のエンティティよりも優先的に方策箇所として自動で選択する。
Below are some techniques that can be useful when formulating policies.
The Zero Trust Architecture (ZTA) described in Non-Patent Documents 1 and 2 is an architecture that verifies access from each entity and executes measures against untrusted entities as the measure location. This makes it possible to deal with cyber attacks from internal terminals by not trusting not only external terminals but also internal terminals (zero trust) as verification targets.
Non-Patent Document 3 describes i-ZTA (Intelligent ZTA), which is an extension of ZTA. i-ZTA extends ZTA for large-scale networks, and performs anomaly detection using graph neural networks and reinforcement learning to dynamically evaluate risk and reliability scores. As a result, entities with high risk or low reliability scores are automatically selected as policy locations with priority over other entities.

K. John,「Build Security Into Your Network’s DNA: The Zero Trust Network Architecture」, Forrester Research Inc, pp.1-26, 2010.K. John, “Build Security Into Your Network’s DNA: The Zero Trust Network Architecture,” Forrester Research Inc, pp.1-26, 2010. S.Rose, et al.,「SP800-207: Zero Trust Architecture」, NIST, 2020S.Rose, et al., “SP800-207: Zero Trust Architecture”, NIST, 2020 K.Ramezanpour and J.Jithin,「Intelligent Zero Trust Architecture for 5G/6G Tactical Networks: Principles, Challenges, and the Role of Machine Learning.」, ArXiv abs/2105.01478, 2021.K. Ramezanpour and J. Jithin, “Intelligent Zero Trust Architecture for 5G/6G Tactical Networks: Principles, Challenges, and the Role of Machine Learning.”, ArXiv abs/2105.01478, 2021.

方策の実行には、セキュリティリスクを下げるという作用が期待できるが、同時に、セキュリティリスク以外のリスクを上げてしまうという副作用も発生する。セキュリティリスク以外のリスクとは、例えば、方策の実行によりサービスの一部を遮断することで、SLA(Service Level Agreement)を違反してしまうリスクである。
例えば、高性能だが信頼性スコアが低いエンティティを方策の実行により排除した場合に、副作用としてのシステム全体の性能が低下してしまい、所定基準のTPS(Transaction Per Second)を保証する旨のSLAを満たさなくなる。
Implementing measures is expected to reduce security risks, but at the same time, it has the side effect of increasing non-security risks, such as the risk of violating the Service Level Agreement (SLA) by blocking part of the service due to the implementation of the measures.
For example, when an entity with high performance but low reliability score is eliminated by implementing a policy, the performance of the entire system will be degraded as a side effect, and the SLA that guarantees a specified standard of TPS (Transactions Per Second) will no longer be met.

なお、以下に例示する方策を実行することで、エンティティが排除される。
・フォールスポジティブによる通信遮断(ブロック)
・フォールスポジティブ以外の通信遮断(ブロック)
・信頼性スコアが低い装置の一時的退避
The entities can be excluded by implementing the measures exemplified below.
・Blocking communication due to false positives
・Blocking communications other than false positives
・Temporarily evacuate devices with low reliability scores

セキュリティオペレータという役割は、セキュリティリスクを下げるという職務だけに責任を持てばよいことが多い。よって、セキュリティリスクを下げるほど良い仕事をしたことになるので、方策の実行には積極的である。
一方、会社の経営者には、顧客のサービスを継続させて収益を得るという職務がある。よって、セキュリティリスクを下げるという1つの指標だけでなく、SLAを順守して顧客を守るという指標や、方策の実行に要するコストを下げて収益性を上げるという指標も、併せて達成する必要がある。
非特許文献1~3などの従来の技術は、セキュリティリスクを下げるというセキュリティオペレータ向けの技術であり、他のリスクとのバランスを取るという視点に欠けていた。よって、サービスを顧客に提供するときの総合的なリスクを反映して、方策を策定するツールが求められる。
The role of security operator is often only responsible for the task of reducing security risks. Therefore, the more security risks are reduced, the better the job is done, so they are proactive in implementing measures.
On the other hand, company managers have the task of continuing to provide services to customers and earning revenue, so in addition to reducing security risks, they also need to achieve two other indicators: protecting customers by adhering to SLAs, and reducing the costs of implementing measures to increase profitability.
Conventional technologies such as those described in Non-Patent Documents 1 to 3 are aimed at security operators and aim to reduce security risks, but lack the perspective of balancing with other risks. Therefore, a tool is needed to formulate measures that reflect the overall risks involved in providing services to customers.

そこで、本発明は、セキュリティリスクおよびサービスを提供するときのリスクをバランスよく低減できる方策を策定することを主な課題とする。 Therefore, the main objective of this invention is to develop measures that can reduce security risks and risks when providing services in a balanced manner.

前記課題を解決するために、本発明のポリシ制御装置は、以下の特徴を有する。
本発明は、アセットにアクセスするエンティティを観測した結果の観測データを検証するモジュール検証部と、
前記モジュール検証部の検証結果から、前記エンティティから前記アセットへのサイバー攻撃による被害コストに基づく、前記各エンティティの信頼性スコアを計算する信頼性評価部と、
ポリシを前記エンティティに適用したときに発生するコストと、ポリシの適用により軽減させる前記被害コストとをもとに、双方のコストのトータルコストが低くなるように、ポリシを適用する方策箇所の前記エンティティを決定する方策決定部とを有することを特徴とする。
In order to solve the above problems, the policy control device of the present invention has the following features.
The present invention includes a module verification unit that verifies observation data resulting from observing an entity that accesses an asset;
a reliability evaluation unit that calculates a reliability score for each of the entities based on a damage cost caused by a cyber attack from the entity to the asset from a verification result of the module verification unit;
The system is characterized by having a policy decision unit that decides the entity at which the policy is to be applied based on the cost incurred when the policy is applied to the entity and the damage cost reduced by applying the policy, so that the total cost of both costs is reduced.

本発明によれば、セキュリティリスクおよびサービスを提供するときのリスクをバランスよく低減できる方策を策定することができる。 According to the present invention, it is possible to formulate measures that can reduce security risks and risks when providing services in a balanced manner.

本実施形態に関するゼロトラストシステムの構成図である。FIG. 1 is a configuration diagram of a zero trust system according to an embodiment of the present invention. 本実施形態に関する図1のゼロトラストシステムを5Gネットワークに適用したときの構成図である。This is a configuration diagram when the zero trust system of Figure 1 according to this embodiment is applied to a 5G network. 本実施形態に関するポリシ制御装置の説明図である。FIG. 2 is an explanatory diagram of a policy control device according to the present embodiment. 本実施形態に関するポリシ制御装置のハードウェア構成図である。FIG. 2 is a hardware configuration diagram of a policy control device according to the present embodiment.

以下、本発明の一実施形態について、図面を参照して詳細に説明する。 Below, one embodiment of the present invention is described in detail with reference to the drawings.

図1は、ゼロトラストシステム80の構成図である。
ゼロトラストシステム80は、エンティティ81と、企業リソース82と、ポリシ制御部83と、ポリシ実行部84とがネットワークで接続されて構成される。
企業リソース82は、非特許文献2ではResourceに該当し、アセットとも呼ばれる。企業リソース82は、秘密情報を保存する社内の装置などの、保護すべき対象である。
エンティティ81は、非特許文献2ではentityに該当する。エンティティ81は、企業リソース82にアクセスしようとする端末、または、企業リソース82にアクセスしようとする端末の集合が属するネットワークであり、ポリシ制御装置により検査される対象である。
なお、ポリシ制御装置は、装置単位でエンティティ81を検査するだけでなく、図2の対象ネットワーク73などのネットワーク単位のエンティティ81を検査してもよい。そして、ポリシ制御装置は、汚染されたネットワークが検査で発見された場合、そのネットワークをキャリアネットワークから切り離す(切断し、通信不可とする)という方策内容を適用してもよい。
FIG. 1 is a configuration diagram of a zero trust system 80.
The zero trust system 80 is configured by connecting an entity 81, an enterprise resource 82, a policy control unit 83, and a policy execution unit 84 via a network.
The enterprise resource 82 corresponds to a resource and is also called an asset in Non-Patent Document 2. The enterprise resource 82 is an object to be protected, such as an in-house device that stores confidential information.
The entity 81 corresponds to an entity in Non-Patent Document 2. The entity 81 is a terminal attempting to access the enterprise resource 82, or a network to which a set of terminals attempting to access the enterprise resource 82 belongs, and is an object to be inspected by the policy control device.
The policy control device may not only inspect the entity 81 on a device basis, but also inspect the entity 81 on a network basis, such as the target network 73 in Fig. 2. If a contaminated network is found in the inspection, the policy control device may apply a measure to disconnect (disconnect and disable communication) the network from the carrier network.

なお、本明細書では、わかりやすくするために、各装置がエンティティ81か、企業リソース82かのいずれか一方に分類されるものとして説明する。一方、同じ装置が、エンティティ81にも企業リソース82にも該当することもある。
例えば、秘密情報A1を保存する装置Aと、秘密情報B1を保存する装置Bとは、それぞれ自身の秘密情報に外部からアクセスされるときには、企業リソース82に属する。一方、装置Aが装置Bから秘密情報B1を取得する場合には、装置Aはエンティティ81となる。
このように、ゼロトラストシステム80では、真に信頼できる装置は検証を行うポリシ制御装置のみであり、その他の装置は、社内の装置であっても社外の装置であっても、信頼せずに(ゼロトラスト)検査する対象のエンティティ81に該当する。
For ease of understanding, the present specification will be described assuming that each device is classified as either an entity 81 or an enterprise resource 82. However, the same device may be both an entity 81 and an enterprise resource 82.
For example, device A storing secret information A1 and device B storing secret information B1 belong to the enterprise resource 82 when their secret information is accessed from outside. On the other hand, when device A obtains secret information B1 from device B, device A becomes entity 81.
In this way, in the zero trust system 80, the only truly trustworthy device is the policy control device that performs the verification, and all other devices, whether internal or external, correspond to entities 81 that are subject to inspection without trust (zero trust).

ポリシ制御部83は、非特許文献2ではPDP(policy decision point)に該当する。ポリシ制御部83は、アクセス許可部83Aと、ポリシ設定部83Bとを有する。
アクセス許可部83Aは、ポリシ実行部84を経由してアクセスした各エンティティ81に対して、社内のデータベース(図示省略)などを参照して、アクセスの許可または不許可を認証する。ポリシ設定部83Bは、アクセス許可部83Aの認証結果を、ポリシ実行部84にポリシ(方策)として設定する。
The policy control unit 83 corresponds to a PDP (policy decision point) in Non-Patent Document 2. The policy control unit 83 has an access permission unit 83A and a policy setting unit 83B.
The access permission unit 83A authenticates whether or not to permit access to each entity 81 accessed via the policy enforcement unit 84, by referring to an in-house database (not shown) or the like. The policy setting unit 83B sets the authentication result of the access permission unit 83A in the policy enforcement unit 84 as a policy (measure).

ポリシ実行部84は、非特許文献2ではPEP(policy enforcement point)に該当する。ポリシ実行部84は、ポリシに従ってエンティティ81のアクセスを許可または不許可とする。認証に合格したエンティティ81は、企業リソース82にアクセスできる。認証で不可のエンティティ81は、企業リソース82にアクセスできない。The policy enforcement unit 84 corresponds to a PEP (policy enforcement point) in Non-Patent Document 2. The policy enforcement unit 84 allows or denies access to the entity 81 according to the policy. An entity 81 that passes authentication can access the enterprise resources 82. An entity 81 that fails authentication cannot access the enterprise resources 82.

図2は、図1のゼロトラストシステム80を5Gネットワークに適用したときの構成図である。
対象ネットワーク73には、企業リソース82が属する。図1の企業リソース82は、図2の以下の装置を含むキャリアネットワーク群として具体化される。
・NEF82A:Network Exposure Function。
・PCF82B:Policy Control function。
・AMF82C:Access and Mobility management Function。
・UPF82D:User Plane Function。このUPF82Dは、DN(Data Network)82Eに接続される。
FIG. 2 is a configuration diagram of the zero trust system 80 of FIG. 1 applied to a 5G network.
The target network 73 includes enterprise resources 82. The enterprise resources 82 in Fig. 1 are embodied as a group of carrier networks including the following devices in Fig. 2:
・NEF82A: Network Exposure Function.
・PCF82B: Policy Control function.
・AMF82C: Access and Mobility management Function.
UPF 82D: User Plane Function. This UPF 82D is connected to a DN (Data Network) 82E.

図1のエンティティ81は、図2の車載端末81A、スマートフォン81B、タブレット端末81CなどのUE(User Entity)として具体化される。また、対象ネットワーク73そのものも、1つのエンティティ81としてもよい。 The entity 81 in Fig. 1 is embodied as a UE (User Entity) such as the in-vehicle terminal 81A, the smartphone 81B, or the tablet terminal 81C in Fig. 2. The target network 73 itself may also be one entity 81.

ポリシ制御装置は、モジュール検証部10と、信頼性評価部20と、方策決定部30と、スケジューラ部40とを有する1台以上の筐体である。図2では、4つの処理部を別々の筐体(4台の筐体)に分散させて構成したが、4つの処理部を1つの筐体に収容してもよい。
図1のポリシ制御部83は、図2では、コアネットワーク71内の信頼性評価部20と、スケジューラ部40として具体化される。
図1のポリシ実行部84は、図2では、アクセスネットワーク72内のモジュール検証部10と、方策決定部30として具体化される。さらに、図1のポリシ実行部84は、図2の通信規格5Gの基地局であるgNB(next Generation NodeB)84Aを含めてもよい。
The policy control device is one or more housings having a module verification unit 10, a reliability evaluation unit 20, a policy decision unit 30, and a scheduler unit 40. In Fig. 2, the four processing units are distributed in separate housings (four housings), but the four processing units may be accommodated in one housing.
The policy control unit 83 in FIG. 1 is embodied in FIG. 2 as a reliability evaluation unit 20 and a scheduler unit 40 in the core network 71 .
2, the policy execution unit 84 in Fig. 1 is embodied as a module verification unit 10 and a policy decision unit 30 in the access network 72. Furthermore, the policy execution unit 84 in Fig. 1 may include a gNB (next generation NodeB) 84A, which is a base station of the communication standard 5G in Fig. 2.

モジュール検証部10は、エンティティ81を観測した結果(図3では観測データ73D)を格納する観測データDB12と、観測データDB12に格納されたデータをもとにエンティティ81をモジュール単位で検証する検証モジュール11とを有する。検証モジュール11は、以下に例示する検証を1つ以上実行する。
・モジュールが行う通信を検証する。
・モジュールが使用するSystem Callを検証する。
・モジュールが書き換えするメモリ領域の改ざんなどを検証する。
The module verification unit 10 has an observation data DB 12 that stores the results of observing the entity 81 (observation data 73D in FIG. 3), and a verification module 11 that verifies the entity 81 on a module-by-module basis based on the data stored in the observation data DB 12. The verification module 11 executes one or more of the verifications exemplified below.
- Verify the communication performed by the modules.
- Verify the system calls used by the module.
-Verify any tampering with the memory area that the module rewrites.

信頼性評価部20は、信頼性計算部21と、ネットワークDB22とを有する。
信頼性計算部21は、モジュール検証部10の検証結果に対して、定量的リスクマネジメント手法を適用することで、エンティティ81ごとの信頼性スコアを計算する。この信頼性スコアは、エンティティ81から企業リソース82へのサイバー攻撃による被害コストに基づく指標である。なお、サイバー攻撃は、例えば、エンティティ81からの不正アクセスや、DoS(Denial of Services)などのサービス妨害攻撃である。
ネットワークDB22には、対象ネットワーク73のインベントリ情報および企業リソース82のアセット情報が格納される。
The reliability evaluation unit 20 includes a reliability calculation unit 21 and a network DB 22 .
The reliability calculation unit 21 applies a quantitative risk management method to the verification results of the module verification unit 10 to calculate a reliability score for each entity 81. This reliability score is an index based on the cost of damage caused by a cyber attack from the entity 81 to the enterprise resources 82. Note that the cyber attack is, for example, unauthorized access from the entity 81 or a denial of service attack such as a DoS (Denial of Services).
The network DB 22 stores inventory information of the target network 73 and asset information of the enterprise resources 82 .

方策決定部30は、図1のポリシ制御部83として、方策制御部31を有する。
方策制御部31は、ポリシをエンティティ81に適用したときに発生するコスト(以下「適用コスト」)と、ポリシの適用により軽減させる被害コストとをもとに、双方のコストのトータルコストが低くなるように、方策を決定する。つまり、方策制御部31は、信頼性評価部20が算出したセキュリティリスク(信頼性スコア)と、サービスを提供するときのリスク(SLAが順守できないリスクなど)とを統一した指標で評価することで、方策を決定する。
The policy decision unit 30 has a policy control unit 31 as the policy control unit 83 in FIG.
The policy control unit 31 determines a policy based on the cost incurred when the policy is applied to the entity 81 (hereinafter referred to as "application cost") and the damage cost to be reduced by applying the policy, so that the total cost of both costs is reduced. In other words, the policy control unit 31 determines a policy by evaluating the security risk (reliability score) calculated by the reliability evaluation unit 20 and the risk when providing a service (such as the risk of not complying with the SLA) using a unified index.

なお、方策制御部31が決定する方策は、どのような方策を実行するかという「方策内容」と、どのエンティティ81に方策を実行するかという「方策箇所」とのうちの少なくとも1つである。方策制御部31は、方策内容および方策箇所の組が複数存在するときに、その組のうちの最適な組み合わせを求める。ここでの「最適」とは、図3で後記するように、セキュリティリスク(信頼性スコア)だけでなく、サービスを提供するときのリスクをバランスよく低減できるという観点である。The policy determined by the policy control unit 31 is at least one of the "policy content" indicating what policy to execute and the "policy location" indicating which entity 81 the policy will be executed on. When there are multiple pairs of policy content and policy location, the policy control unit 31 determines the optimal combination from among the pairs. "Optimal" here refers to the ability to reduce not only security risks (reliability scores) but also risks when providing services in a balanced manner, as described later in Figure 3.

方策制御部31は、決定した方策を対象ネットワーク73(図1のポリシ実行部84)に適用する。
方策決定部30は、決定した方策をポリシ実行部84に設定することで、エンティティ81から企業リソース82へのアクセスに方策を適用する。または、方策決定部30は、決定した方策をオペレータに表示画面で提示することで、オペレータに方策を理解させてもよい。
The policy control unit 31 applies the determined policy to the target network 73 (the policy enforcement unit 84 in FIG. 1).
The policy determination unit 30 applies the policy to access from the entity 81 to the enterprise resource 82 by setting the determined policy in the policy execution unit 84. Alternatively, the policy determination unit 30 may present the determined policy to the operator on a display screen to allow the operator to understand the policy.

スケジューラ部40は、ポリシ制御装置の各処理部(モジュール検証部10、信頼性評価部20、方策決定部30)を運用する運用部41を有する。
運用部41は、運用フェーズにて、各エンティティ81に対して、信頼性スコアで示されるセキュリティリスクに応じたポリシ制御装置の各処理部による処理をスケジューリングする。運用部41は、この運用フェーズによるスケジューリングについて、定期的に実行してもよいし、非定期のタイミングで単発的に実行してもよい。
The scheduler unit 40 has an operation unit 41 that operates each processing unit (the module verification unit 10, the reliability evaluation unit 20, and the policy decision unit 30) of the policy control device.
In the operation phase, the operation unit 41 schedules processing by each processing unit of the policy control device according to the security risk indicated by the reliability score for each entity 81. The operation unit 41 may periodically execute the scheduling based on this operation phase, or may execute it one-off at an irregular timing.

さらに、運用部41は、信頼性評価部20が評価した信頼性スコアを受け、検証モジュール11がエンティティ81を検証するときの検証負荷を増減させてもよい。例えば、運用部41は、信頼性スコアが高いエンティティ81ほど、観測データ73Dを検証する負荷を低くために、検証機能の種類を少なく割り当てる。
これにより、信頼性スコアが低いエンティティ81に集中して有限のシステムリソース(検証能力)が多く割り当てられるので、エンティティ81の数が多いシステムでも、低遅延で妥当な検証が可能となる。または、運用部41は、低遅延が求められる所定のエンティティ81についての検証処理を、他のエンティティ81よりも後で行うこととしてもよい。運用部41は、その所定のエンティティ81の検証処理が行われるまでの経過期間について、所定のエンティティ81に暫定的な検証結果(通信許可または通信遮断)を割り当ててもよい。
Furthermore, the operation unit 41 may receive the reliability score evaluated by the reliability evaluation unit 20 and increase or decrease the verification load when the verification module 11 verifies the entity 81. For example, the operation unit 41 assigns fewer types of verification functions to an entity 81 having a higher reliability score in order to reduce the load of verifying the observation data 73D.
As a result, finite system resources (verification capacity) are concentrated and allocated in large quantities to the entities 81 with low reliability scores, so that valid verification with low latency is possible even in a system with a large number of entities 81. Alternatively, the operation unit 41 may perform verification processing for a specific entity 81 that requires low latency later than the other entities 81. The operation unit 41 may assign a provisional verification result (communication permission or communication blocking) to the specific entity 81 for the period of time that elapses until the verification processing for the specific entity 81 is performed.

図3は、ポリシ制御装置の説明図である。
まず、図3の説明に使用する各変数を説明する。
エンティティ81は、変数eで示される。1つめのエンティティ81をe[1]とし、m番目のエンティティ81をe[m]とする。リスク顕在化確率21Bは、e[m]のリスクが顕在化した確率P(e[m]=malicious | I)で示される。リスクの顕在化とは、例えば、エンティティ81がサイバー攻撃で企業リソース82を攻撃する行為が実際に発生したことである。
ネットワークDB22内のネットワーク設定21Fは、対象ネットワーク73の情報であり、e[m]のリスクが顕在化した時に、周囲に及ぼす影響を特定するために参照される。
FIG. 3 is an explanatory diagram of the policy control device.
First, each variable used in the explanation of FIG. 3 will be explained.
The entity 81 is represented by a variable e. The first entity 81 is represented by e[1], and the m-th entity 81 is represented by e[m]. The risk manifestation probability 21B is represented by the probability P(e[m]=malicious | I) that the risk of e[m] manifests. The manifestation of a risk means, for example, that an entity 81 actually attacks corporate resources 82 with a cyber attack.
The network settings 21F in the network DB 22 are information on the target network 73, and are referenced to identify the impact on the surrounding area when the risk of e[m] becomes apparent.

企業リソース82のアセットは、変数aで示される。1つめのアセットをa[1]とし、n番目のアセットをa[n]とする。アセットa[n]の価値は、v(a[n])で示される。侵入確率21Dは、アセットa[i]が侵入される確率p(a[i])で示される。
ネットワークDB22内のリソース情報21Gは、アセットの価値集合V={v(a[1]),v(a[2]), …v(a[n])}で示される。
The assets of the enterprise resource 82 are represented by the variable a. The first asset is represented by a[1], and the nth asset is represented by a[n]. The value of the asset a[n] is represented by v(a[n]). The intrusion probability 21D is represented by the probability p(a[i]) that the asset a[i] is intruded into.
The resource information 21G in the network DB 22 is represented by a set of asset values V={v(a[1]), v(a[2]), . . . v(a[n])}.

以下、図3の各構成要素を説明する。
観測データDB12には、対象ネットワーク73のエンティティ81(e[m])を観測した観測データ73Dが登録されている。そのため、各エンティティ81はログ出力機能を有しており、モジュール検証部10(観測データDB12)には、ログ出力機能からのログを収集するログ収集機能を有している。
検証モジュール11は、観測データ73Dの入力を受けて検証を行い、その検証結果をイベントI={i[1], i[2], …i[k]}として信頼性計算部21に出力する。
Each component in FIG. 3 will now be described.
The observation data DB 12 registers observation data 73D obtained by observing an entity 81 (e[m]) in the target network 73. Therefore, each entity 81 has a log output function, and the module verification unit 10 (observation data DB 12) has a log collection function for collecting logs from the log output function.
The verification module 11 receives the observation data 73D, performs verification, and outputs the verification result to the reliability calculation unit 21 as an event I={i[1], i[2], . . . i[k]}.

信頼性計算部21は、リスク顕在化評価部21Aと、影響範囲評価部21Cと、信頼性算出部21Eとを有する。
リスク顕在化評価部21Aは、検証モジュール11が出力したイベントIから、機械学習、数理統計処理などのアルゴリズムにより、リスク顕在化確率21B(P(e[m])を計算する。
影響範囲評価部21Cは、検証モジュール11が出力したイベントIと、リスク顕在化確率21Bと、ネットワーク設定21Fとをもとに、侵入確率21D(p(a[i]))を評価する。そして、影響範囲評価部21Cは、侵入確率21Dと、アセットの価値v(a[i])とから、顕在化したリスクが周囲に及ぼす影響コストIm(e[m])を計算する。
信頼性算出部21Eは、侵入確率21Dと、リソース情報21Gとをもとに、信頼性スコア21Hを計算する。信頼性スコア21Hは、セキュリティリスク、SLA違反リスクなどのリスクを統一的に計測するための尺度である。以下では、信頼性スコア21Hの例としてコスト期待値Ex(e[m])=P(e[m]×Im(e[m])を用いるが、コスト期待値に限らず、統一的な尺度であれば何を用いてもよい。
The reliability calculation unit 21 includes a risk manifestation evaluation unit 21A, an influence extent evaluation unit 21C, and a reliability calculation unit 21E.
The risk manifestation evaluation unit 21A calculates a risk manifestation probability 21B (P(e[m])) from the event I output by the verification module 11 using algorithms such as machine learning and mathematical statistical processing.
The influence range evaluation unit 21C evaluates the intrusion probability 21D (p(a[i])) based on the event I output by the verification module 11, the risk manifestation probability 21B, and the network setting 21F. Then, the influence range evaluation unit 21C calculates the impact cost Im(e[m]) of the manifested risk on the surroundings from the intrusion probability 21D and the asset value v(a[i]).
The reliability calculation unit 21E calculates a reliability score 21H based on the intrusion probability 21D and the resource information 21G. The reliability score 21H is a scale for uniformly measuring risks such as security risk and SLA violation risk. In the following, the cost expectation value Ex(e[m])=P(e[m]×Im(e[m]) is used as an example of the reliability score 21H, but it is not limited to the cost expectation value and any unified scale may be used.

なお、ポリシ制御装置は、e[m]のリスクが顕在化した時に、周囲に及ぼす影響を算出することで信頼性スコア21Hの精度を上げることも可能である。
そのため、まず影響範囲評価部21Cは、e[m]のリスクが顕在化した場合、そのe[m]から到達しうるすべてのアセットA={a[1], a[2], …a[n]}、および、アセットの価値集合V={v(a[1]),v(a[2]), …v(a[n])}を列挙する。影響範囲評価部21Cは、列挙したアセットを基に、e[m]のリスクが周囲に及ぼす影響コストIm(e[m])を(数式1)の通り計算する。ここで、侵入確率21D(p(a[i]))は、影響コストと侵入される確率の積の総和(全アセットのコスト期待値の総和)となる。
In addition, the policy control device can also improve the accuracy of the reliability score 21H by calculating the impact on the surroundings when the risk of e[m] becomes apparent.
Therefore, the impact range evaluation unit 21C first lists all assets A={a[1], a[2], ...a[n]} that can be reached from e[m] when the risk of e[m] becomes apparent, and the value set V of the assets={v(a[1]),v(a[2]), ...v(a[n])}. Based on the listed assets, the impact range evaluation unit 21C calculates the impact cost Im(e[m]) of the risk of e[m] on the surroundings as shown in (Formula 1). Here, the intrusion probability 21D (p(a[i])) is the sum of the products of the impact cost and the probability of intrusion (the sum of the expected cost values of all assets).

Figure 0007647997000001
Figure 0007647997000001

次に、信頼性算出部21Eは、最終的な被害コスト期待値Ex(e[m])を、(数式2)の通り計算する。
Ex(e[m])=P(e[m]=malicious | I)×Im(e[m]) …(数式2)
以上、図3を参照して信頼性計算部21が信頼性スコア21Hを出力する処理を説明した。
Next, the reliability calculation unit 21E calculates the final damage cost expectation value Ex(e[m]) according to (Equation 2).
Ex(e[m])=P(e[m]=malicious | I)×Im(e[m]) … (Formula 2)
The process in which the reliability calculation unit 21 outputs the reliability score 21H has been described above with reference to FIG.

方策決定部30は、信頼性スコア21Hをもとに最適な方策を決定する。以下、方策決定部30の処理を説明する。
まず、方策の説明に使用する各変数を説明する。方策は、変数mで示される。1つめのエンティティ81をm[1]とし、l番目のエンティティ81をm[l]とする。つまり、方策集合M={m[1], m[2], …m[l]}を定義する。
The policy determination unit 30 determines an optimal policy based on the reliability score 21H. The process of the policy determination unit 30 will be described below.
First, we will explain each variable used to explain the policy. A policy is indicated by the variable m. The first entity 81 is m[1], and the l-th entity 81 is m[l]. In other words, we define a policy set M={m[1], m[2], ...m[l]}.

各方策は、m[i]={e(m[i]), d(m[i]), c(m[i]), i(m[i])}と定義される。
・e(m[i])は方策m[i]が適用される方策箇所のエンティティ81を示す。
・d(m[i])は方策m[i]の方策内容を示す。方策内容の例として、通信をフィルタリングする内容、エンティティ81をシャットダウンするなどの攻撃を止める内容などが挙げられる。
・c(m[i])は方策m[i]が適用されるときの適用コストを示す。この適用コストには、方策内容を実行するためのコスト、方策内容を実行することでSLAに影響するときのコストなどが含まれる。
・i(m[i])は、方策効果であり、m[i]を実行することによって軽減されるセキュリティリスクを示す被害コストの期待値である。この方策効果i(m[i])は、(数式1)で計算した影響コストIm(e[m])に関連する。
そして、e[m]に対して行う方策集合M(e[m])は(数式3)のように示される。
Each policy is defined as m[i] = {e(m[i]), d(m[i]), c(m[i]), i(m[i])}.
e(m[i]) denotes the entity 81 at which the policy m[i] is applied.
d(m[i]) indicates the content of the policy m[i]. Examples of the content of the policy include filtering communications, shutting down the entity 81, and the like, to stop an attack.
・c(m[i]) indicates the application cost when the measure m[i] is applied. This application cost includes the cost of executing the measure content, the cost when executing the measure content affects the SLA, etc.
i(m[i]) is the measure effect, which is the expected value of the damage cost that indicates the security risk mitigated by implementing m[i]. This measure effect i(m[i]) is related to the impact cost Im(e[m]) calculated by (Equation 1).
Then, the set of measures M(e[m]) to be taken for e[m] is expressed as (Equation 3).

Figure 0007647997000002
Figure 0007647997000002

方策決定部30は、(数式3)を用いて各方策m[i]の実行により得られる方策効果と、負担となる適用コストとの双方を評価し、総合的なコストがなるべく低くなるように方策を決定する。つまり、方策内容d(m[i])を実行したときには、リスクが顕在化したとしても被害コストが低減されるので、コスト期待値Ex(e[m])を方策効果i(m[i])の分だけ下げられる。一方、方策内容d(m[i])の実行により、適用コストc(m[i])分のコストが増える。
方策決定部30は、(数式3)を用いて、この被害コストの低減量と適用コストの増加量とを相殺することで、総合的に方策を実行する場合と、実行しない場合とで、低コストになるように各方策m[i]の実行可否を選択する。
これにより、セキュリティもSLAも含めたトータルでのリスクマネジメントを実現できる。
The measure decision unit 30 evaluates both the measure effect and the applied cost obtained by executing each measure m[i] using (Formula 3), and decides on a measure that will reduce the overall cost as much as possible. In other words, when measure content d(m[i]) is executed, even if a risk is actualized, the damage cost is reduced, so the cost expectation value Ex(e[m]) can be reduced by the measure effect i(m[i]). On the other hand, the execution of measure content d(m[i]) increases the cost by the applied cost c(m[i]).
The policy decision unit 30 uses (Equation 3) to offset the reduction in damage cost and the increase in applied cost, thereby selecting whether to execute each policy m[i] so that the overall cost is lower when the policy is executed or not executed.
This enables total risk management, including security and SLAs, to be achieved.

図4は、ポリシ制御装置のハードウェア構成図である。
ポリシ制御装置は、CPU901と、RAM902と、ROM903と、HDD904と、通信I/F905と、入出力I/F906と、メディアI/F907とを有するコンピュータ900として構成される。
通信I/F905は、外部の通信装置915と接続される。入出力I/F906は、入出力装置916と接続される。メディアI/F907は、記録媒体917からデータを読み書きする。さらに、CPU901は、RAM902に読み込んだプログラム(アプリケーションや、その略のアプリとも呼ばれる)を実行することにより、各部を制御する。そして、このプログラムは、通信回線を介して配布したり、CD-ROM等の記録媒体917に記録して配布したりすることも可能である。
FIG. 4 is a hardware configuration diagram of the policy control device.
The policy control device is configured as a computer 900 having a CPU 901 , a RAM 902 , a ROM 903 , a HDD 904 , a communication I/F 905 , an input/output I/F 906 , and a media I/F 907 .
The communication I/F 905 is connected to an external communication device 915. The input/output I/F 906 is connected to an input/output device 916. The media I/F 907 reads and writes data from a recording medium 917. Furthermore, the CPU 901 controls each unit by executing a program (also called an application or its abbreviation, "app") loaded into the RAM 902. This program can be distributed via a communication line, or can be recorded on a recording medium 917 such as a CD-ROM and distributed.

さらに、ポリシ制御装置は、H/W(HardWare)アクセラレータ921と、TPM(Trusted Platform Module)922とを有するコンテナ基盤920を有していてもよい。また、コンテナ基盤920の各構成要素は、CPU901内に実装してもよい。
H/Wアクセラレータ921およびコンテナ基盤920のコンテナランタイムの機能は、ポリシ制御装置の各処理部(モジュール検証部10、信頼性評価部20、方策決定部30、スケジューラ部40)に適用することが望ましい。これにより、各処理部の高速化やスケールアウトが可能となり、大規模なエンティティ81を搭載したシステムに対応可能となる。
TPM922も、ポリシ制御装置の各処理部(モジュール検証部10、信頼性評価部20、方策決定部30、スケジューラ部40)に適用することが望ましい。これにより、信頼性スコア21Hや方策m[i]の改ざんを防げる。
Furthermore, the policy control device may have a container board 920 having a H/W (Hardware) accelerator 921 and a TPM (Trusted Platform Module) 922. Furthermore, each component of the container board 920 may be implemented in the CPU 901.
It is desirable to apply the functions of the H/W accelerator 921 and the container runtime of the container base 920 to each processing unit of the policy control device (the module verification unit 10, the reliability evaluation unit 20, the policy decision unit 30, and the scheduler unit 40). This enables each processing unit to be accelerated and scaled out, and makes it possible to support a system equipped with a large-scale entity 81.
It is desirable to apply the TPM 922 to each processing unit of the policy control device (the module verification unit 10, the reliability evaluation unit 20, the policy decision unit 30, and the scheduler unit 40). This makes it possible to prevent tampering with the reliability score 21H and the policy m[i].

[効果]
本発明のポリシ制御装置は、企業リソース82にアクセスするエンティティ81を観測した結果の観測データ73Dを検証するモジュール検証部10と、
モジュール検証部10の検証結果から、エンティティ81から企業リソース82へのサイバー攻撃による被害コストに基づく、各エンティティ81の信頼性スコアを計算する信頼性評価部20と、
ポリシをエンティティ81に適用したときに発生する適用コストと、ポリシの適用により軽減させる被害コストとをもとに、双方のコストのトータルコストが低くなるように、ポリシを適用する方策箇所のエンティティ81を決定する方策決定部30とを有することを特徴とする。
[effect]
The policy control device of the present invention includes a module verification unit 10 that verifies observation data 73D obtained by observing an entity 81 that accesses a corporate resource 82;
a reliability evaluation unit that calculates a reliability score for each entity based on a damage cost of a cyber attack from the entity to a corporate resource from a verification result of the module verification unit;
The system is characterized by having a policy decision unit 30 that decides the entity 81 at which the policy is to be applied, based on the application cost incurred when the policy is applied to the entity 81 and the damage cost to be reduced by applying the policy, so that the total cost of both costs is reduced.

これにより、ポリシ制御装置は、信頼性スコアが低いエンティティ81を残存させることのセキュリティリスクと、ポリシをエンティティ81に適用したときにSLAを下回るなどのサービスリスクとを、コストという同一尺度で評価する。よって、セキュリティリスクおよびサービスを提供するときのリスクをバランスよく低減できる方策を策定できる。 In this way, the policy control device evaluates the security risk of allowing an entity 81 with a low reliability score to remain, and the service risk of not meeting the SLA when the policy is applied to the entity 81, using the same measure of cost. This makes it possible to develop measures that can reduce security risks and risks when providing services in a balanced manner.

本発明は、ポリシ制御装置が、さらに、スケジューラ部40を有しており、
スケジューラ部40が、信頼性スコアが高いエンティティ81ほど、モジュール検証部10がそのエンティティ81から観測した観測データ73Dを検証する負荷を低くすることを特徴とする。
In the present invention, the policy control device further includes a scheduler unit 40.
The scheduler unit 40 is characterized in that the higher the reliability score of an entity 81 , the lower the load imposed on the module verification unit 10 when verifying the observation data 73D observed from that entity 81 .

これにより、セキュリティリスクの高いごく一部のエンティティ81だけを重点的に検証することで、トータルの検証負荷が軽減する。よって、対象となるエンティティ81が数億規模のような大規模なシステムにおいても、ポリシ制御装置による検証負荷が軽減され、ポリシ制御装置に課せされる厳しい遅延要件を順守できるようになる。This reduces the total verification load by focusing on verifying only a small portion of entities 81 that pose a high security risk. Therefore, even in a large-scale system in which the number of target entities 81 is in the hundreds of millions, the verification load imposed on the policy control device is reduced, making it possible to comply with the strict delay requirements imposed on the policy control device.

本発明は、スケジューラ部40が、所定のエンティティ81の検証処理を他のエンティティ81よりも後で行うこととし、その所定のエンティティ81の検証処理が行われるまでの経過期間について所定のエンティティ81に暫定的な検証結果を割り当てることを特徴とする。The present invention is characterized in that the scheduler unit 40 performs verification processing of a specified entity 81 later than other entities 81, and assigns a provisional verification result to the specified entity 81 for the elapsed period until the verification processing of the specified entity 81 is performed.

これにより、エンティティ81の検証処理が暫定的にスキップされる代わりに暫定的な検証結果が割り当てられることで、ポリシ制御装置に課せされる厳しい遅延要件を順守できるようになる。This allows the verification process for entity 81 to be temporarily skipped, instead being assigned a provisional verification result, thereby complying with the strict delay requirements imposed on the policy control device.

本発明は、モジュール検証部10の処理、信頼性評価部20の処理、および、方策決定部30の処理が、TPM922により実行されることを特徴とする。 The present invention is characterized in that the processing of the module verification unit 10, the processing of the reliability evaluation unit 20, and the processing of the strategy determination unit 30 are performed by the TPM 922.

これにより、ポリシ制御装置の各処理部による計算内容への改ざんを防げる。 This prevents tampering with the calculation contents by each processing unit of the policy control device.

10 モジュール検証部
11 検証モジュール
12 観測データDB
20 信頼性評価部
21 信頼性計算部
21A リスク顕在化評価部
21B リスク顕在化確率
21C 影響範囲評価部
21D 侵入確率
21E 信頼性算出部
21F ネットワーク設定
21G リソース情報
21H 信頼性スコア
22 ネットワークDB
30 方策決定部
31 方策制御部
40 スケジューラ部
41 運用部
71 コアネットワーク
72 アクセスネットワーク
73 対象ネットワーク
73D 観測データ
80 ゼロトラストシステム
81 エンティティ
82 企業リソース(アセット)
83 ポリシ制御部
83A アクセス許可部
83B ポリシ設定部
84 ポリシ実行部
10 Module verification unit 11 Verification module 12 Observation data DB
20 Reliability evaluation unit 21 Reliability calculation unit 21A Risk manifestation evaluation unit 21B Risk manifestation probability 21C Impact range evaluation unit 21D Intrusion probability 21E Reliability calculation unit 21F Network setting 21G Resource information 21H Reliability score 22 Network DB
30 Policy decision unit 31 Policy control unit 40 Scheduler unit 41 Operation unit 71 Core network 72 Access network 73 Target network 73D Observation data 80 Zero trust system 81 Entity 82 Enterprise resource (asset)
83 Policy control unit 83A Access permission unit 83B Policy setting unit 84 Policy execution unit

Claims (7)

アセットにアクセスするエンティティを観測した結果の観測データを検証するモジュール検証部と、
前記モジュール検証部の検証結果から、前記エンティティから前記アセットへのサイバー攻撃による被害コストに基づく、前記各エンティティの信頼性スコアを計算する信頼性評価部と、
ポリシを前記エンティティに適用したときに発生するコストと、ポリシの適用により軽減させる前記被害コストとをもとに、双方のコストのトータルコストが低くなるように、ポリシを適用する方策箇所の前記エンティティを決定する方策決定部とを有することを特徴とする
ポリシ制御装置。
a module verification unit that verifies observed data resulting from observing an entity that accesses the asset;
a reliability evaluation unit that calculates a reliability score for each of the entities based on a damage cost caused by a cyber attack from the entity to the asset from a verification result of the module verification unit;
A policy control device comprising: a policy decision unit that decides the entity to which the policy is to be applied, based on the cost incurred when the policy is applied to the entity and the damage cost reduced by the application of the policy, so that the total cost of both costs is reduced.
前記ポリシ制御装置は、さらに、スケジューラ部を有しており、
前記スケジューラ部は、前記信頼性スコアが高い前記エンティティほど、前記モジュール検証部がそのエンティティから観測した前記観測データを検証する負荷を低くすることを特徴とする
請求項1に記載のポリシ制御装置。
The policy control device further includes a scheduler unit,
2 . The policy control device according to claim 1 , wherein the scheduler unit reduces a load imposed on the module verification unit for verifying the observed data observed from an entity having a higher reliability score.
前記スケジューラ部は、所定のエンティティの検証処理を他の前記エンティティよりも後で行うこととし、その所定のエンティティの検証処理が行われるまでの経過期間について前記所定のエンティティに暫定的な検証結果を割り当てることを特徴とする
請求項2に記載のポリシ制御装置。
The policy control device according to claim 2, characterized in that the scheduler unit performs verification processing of a specified entity later than the other entities, and assigns a provisional verification result to the specified entity for the elapsed period until the verification processing of the specified entity is performed.
前記モジュール検証部の処理、前記信頼性評価部の処理、および、前記方策決定部の処理は、TPM(Trusted Platform Module)により実行されることを特徴とする
請求項1に記載のポリシ制御装置。
2. The policy control device according to claim 1, wherein the processing of the module verification unit, the processing of the reliability evaluation unit, and the processing of the policy determination unit are executed by a TPM (Trusted Platform Module).
請求項1ないし請求項4のいずれか1項に記載のポリシ制御装置と、前記エンティティと、前記アセットとがネットワークで接続されており、
前記エンティティから前記アセットへのアクセスには、前記方策決定部が決定したポリシが適用されることを特徴とする
ゼロトラストシステム。
The policy control device according to any one of claims 1 to 4, the entity, and the asset are connected via a network,
A zero trust system, characterized in that a policy determined by the policy determination unit is applied to access from the entity to the asset.
ポリシ制御装置は、モジュール検証部と、信頼性評価部と、方策決定部とを有しており、
前記モジュール検証部は、アセットにアクセスするエンティティを観測した結果の観測データを検証し、
前記信頼性評価部は、前記モジュール検証部の検証結果から、前記エンティティから前記アセットへのサイバー攻撃による被害コストに基づく、前記各エンティティの信頼性スコアを計算し、
前記方策決定部は、ポリシを前記エンティティに適用したときに発生するコストと、ポリシの適用により軽減させる前記被害コストとをもとに、双方のコストのトータルコストが低くなるように、ポリシを適用する方策箇所の前記エンティティを決定することを特徴とする
ポリシ制御方法。
The policy control device includes a module verification unit, a reliability evaluation unit, and a policy decision unit.
The module verification unit verifies observation data resulting from observing an entity accessing an asset;
The reliability evaluation unit calculates a reliability score for each of the entities based on a damage cost caused by a cyber attack from the entity to the asset from the verification result of the module verification unit,
The policy control method is characterized in that the policy decision unit decides the entity at which the policy is to be applied based on the cost incurred when the policy is applied to the entity and the damage cost reduced by applying the policy, so that the total cost of both costs is reduced.
コンピュータを、請求項1ないし請求項4のいずれか1項に記載のポリシ制御装置として機能させるためのポリシ制御プログラム。A policy control program for causing a computer to function as a policy control device as described in any one of claims 1 to 4.
JP2024507282A 2022-03-16 2022-03-16 POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM Active JP7647997B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/011815 WO2023175756A1 (en) 2022-03-16 2022-03-16 Policy control device, zero trust system, policy control method, and policy control program

Publications (2)

Publication Number Publication Date
JPWO2023175756A1 JPWO2023175756A1 (en) 2023-09-21
JP7647997B2 true JP7647997B2 (en) 2025-03-18

Family

ID=88022531

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2024507282A Active JP7647997B2 (en) 2022-03-16 2022-03-16 POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM

Country Status (2)

Country Link
JP (1) JP7647997B2 (en)
WO (1) WO2023175756A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005234840A (en) 2004-02-19 2005-09-02 Nec Micro Systems Ltd Method for evaluating risk and method for support selection of security management measures and program
WO2008004498A1 (en) 2006-07-06 2008-01-10 Nec Corporation Security risk management system, device, method, and program
JP2008507757A (en) 2004-07-20 2008-03-13 リフレクテント ソフトウェア, インコーポレイテッド End user risk management

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005234840A (en) 2004-02-19 2005-09-02 Nec Micro Systems Ltd Method for evaluating risk and method for support selection of security management measures and program
JP2008507757A (en) 2004-07-20 2008-03-13 リフレクテント ソフトウェア, インコーポレイテッド End user risk management
WO2008004498A1 (en) 2006-07-06 2008-01-10 Nec Corporation Security risk management system, device, method, and program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
風戸 雄太 ほか,大規模ネットワークへのゼロトラスト適用を想定したセキュリティ検証機能の動的割当方式に関する一検討,マルチメディア,分散,協調とモバイル(DICOMO2021)シンポジウム論文集 情報処理学会シンポジ,日本,一般社団法人情報処理学会,2021年06月23日,pp. 1459-1465

Also Published As

Publication number Publication date
WO2023175756A1 (en) 2023-09-21
JPWO2023175756A1 (en) 2023-09-21

Similar Documents

Publication Publication Date Title
CA3055978C (en) Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring
US20230231867A1 (en) System and method for assessing a cyber-risk and loss in a cloud infrastructure
US11240275B1 (en) Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US9241008B2 (en) System, method, and software for cyber threat analysis
US20190207967A1 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US20190207966A1 (en) Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store
Mahdavi Hezavehi et al. An anomaly-based framework for mitigating effects of DDoS attacks using a third party auditor in cloud computing environments
EP2169580A2 (en) Graduated enforcement of restrictions according an application's reputation
US20200220885A1 (en) Selecting security incidents for advanced automatic analysis
EP2597569A1 (en) System and method for distributing processing of computer security tasks
US8572729B1 (en) System, method and computer program product for interception of user mode code execution and redirection to kernel mode
US11706252B1 (en) Detecting malware infection path in a cloud computing environment utilizing a security graph
US12549573B2 (en) Techniques for aggregating mitigation actions
US10417414B2 (en) Baseline calculation for firewalling
Khan A stride model based threat modelling using unified and-or fuzzy operator for computer network security
JP7647997B2 (en) POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM
CN119728303B (en) Firewall-based remote access control method and system for virtual desktops of banks
CN115587374A (en) A dynamic access control method and control system based on trust value
JP2025175989A (en) Exposure management method and exposure management system
US10171483B1 (en) Utilizing endpoint asset awareness for network intrusion detection
Au et al. in Software Defined Networking
US12563054B2 (en) Detecting malware infection path in a cloud computing environment utilizing a security graph
Joshi et al. Comprehensive Survey on Vulnerability Assessment and Penetration Testing (VAPT) for Cloud-Hosted Web Applications
Lombardi et al. Security for cloud computing
Chen et al. RBAClock: Contain RBAC Permissions through Secure Scheduling

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250217

R150 Certificate of patent or registration of utility model

Ref document number: 7647997

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350