JP7647997B2 - POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM - Google Patents
POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM Download PDFInfo
- Publication number
- JP7647997B2 JP7647997B2 JP2024507282A JP2024507282A JP7647997B2 JP 7647997 B2 JP7647997 B2 JP 7647997B2 JP 2024507282 A JP2024507282 A JP 2024507282A JP 2024507282 A JP2024507282 A JP 2024507282A JP 7647997 B2 JP7647997 B2 JP 7647997B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- entity
- unit
- policy control
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ポリシ制御装置、ゼロトラストシステム、ポリシ制御方法、および、ポリシ制御プログラムに関する。 The present invention relates to a policy control device, a zero trust system, a policy control method, and a policy control program.
テレコムネットワーク、大規模エンタープライズネットワーク、IoT(Internet of Things)ネットワークなどの大規模システムが普及している。外部端末などのエンティティから大規模システムへのサイバー攻撃のリスクに対処するための方策(ポリシ)を実行することが、セキュリティオペレーションとして重要となる。方策を策定するときには、非友好的な外国に存在するなどの高リスクな方策箇所のエンティティに対して、通信を遮断するなどの適切な方策内容を選択することが求められる。 Large-scale systems such as telecom networks, large-scale enterprise networks, and IoT (Internet of Things) networks are becoming widespread. It is important for security operations to implement measures (policies) to address the risk of cyber attacks on large-scale systems from entities such as external terminals. When formulating policies, it is necessary to select appropriate policy content, such as cutting off communications, for entities at high-risk policy locations, such as those located in unfriendly foreign countries.
以下、方策を策定するときに役立つ技術を示す。
非特許文献1,2に記載のゼロトラストアーキテクチャ(ZTA:Zero Trust Architecture)は、各エンティティからのアクセスを検証し、信頼できないエンティティを方策箇所として方策を実行するアーキテクチャである。これにより、社外の端末だけでなく、社内の端末も信頼せずに(ゼロトラスト)検証対象とすることで、社内の端末からのサイバー攻撃にも対処できる。
非特許文献3には、ZTAの拡張であるi-ZTA(Intelligent ZTA)が記載されている。i-ZTAは、大規模ネットワーク向けにZTAを拡張するものであり、動的なリスクの評価と信頼性スコアの評価を行うために、グラフニューラルネットワークおよび強化学習を用いた異常検出を行う。これにより、リスクが高いエンティティや、信頼性スコアが低いエンティティを、他のエンティティよりも優先的に方策箇所として自動で選択する。
Below are some techniques that can be useful when formulating policies.
The Zero Trust Architecture (ZTA) described in
Non-Patent Document 3 describes i-ZTA (Intelligent ZTA), which is an extension of ZTA. i-ZTA extends ZTA for large-scale networks, and performs anomaly detection using graph neural networks and reinforcement learning to dynamically evaluate risk and reliability scores. As a result, entities with high risk or low reliability scores are automatically selected as policy locations with priority over other entities.
方策の実行には、セキュリティリスクを下げるという作用が期待できるが、同時に、セキュリティリスク以外のリスクを上げてしまうという副作用も発生する。セキュリティリスク以外のリスクとは、例えば、方策の実行によりサービスの一部を遮断することで、SLA(Service Level Agreement)を違反してしまうリスクである。
例えば、高性能だが信頼性スコアが低いエンティティを方策の実行により排除した場合に、副作用としてのシステム全体の性能が低下してしまい、所定基準のTPS(Transaction Per Second)を保証する旨のSLAを満たさなくなる。
Implementing measures is expected to reduce security risks, but at the same time, it has the side effect of increasing non-security risks, such as the risk of violating the Service Level Agreement (SLA) by blocking part of the service due to the implementation of the measures.
For example, when an entity with high performance but low reliability score is eliminated by implementing a policy, the performance of the entire system will be degraded as a side effect, and the SLA that guarantees a specified standard of TPS (Transactions Per Second) will no longer be met.
なお、以下に例示する方策を実行することで、エンティティが排除される。
・フォールスポジティブによる通信遮断(ブロック)
・フォールスポジティブ以外の通信遮断(ブロック)
・信頼性スコアが低い装置の一時的退避
The entities can be excluded by implementing the measures exemplified below.
・Blocking communication due to false positives
・Blocking communications other than false positives
・Temporarily evacuate devices with low reliability scores
セキュリティオペレータという役割は、セキュリティリスクを下げるという職務だけに責任を持てばよいことが多い。よって、セキュリティリスクを下げるほど良い仕事をしたことになるので、方策の実行には積極的である。
一方、会社の経営者には、顧客のサービスを継続させて収益を得るという職務がある。よって、セキュリティリスクを下げるという1つの指標だけでなく、SLAを順守して顧客を守るという指標や、方策の実行に要するコストを下げて収益性を上げるという指標も、併せて達成する必要がある。
非特許文献1~3などの従来の技術は、セキュリティリスクを下げるというセキュリティオペレータ向けの技術であり、他のリスクとのバランスを取るという視点に欠けていた。よって、サービスを顧客に提供するときの総合的なリスクを反映して、方策を策定するツールが求められる。
The role of security operator is often only responsible for the task of reducing security risks. Therefore, the more security risks are reduced, the better the job is done, so they are proactive in implementing measures.
On the other hand, company managers have the task of continuing to provide services to customers and earning revenue, so in addition to reducing security risks, they also need to achieve two other indicators: protecting customers by adhering to SLAs, and reducing the costs of implementing measures to increase profitability.
Conventional technologies such as those described in
そこで、本発明は、セキュリティリスクおよびサービスを提供するときのリスクをバランスよく低減できる方策を策定することを主な課題とする。 Therefore, the main objective of this invention is to develop measures that can reduce security risks and risks when providing services in a balanced manner.
前記課題を解決するために、本発明のポリシ制御装置は、以下の特徴を有する。
本発明は、アセットにアクセスするエンティティを観測した結果の観測データを検証するモジュール検証部と、
前記モジュール検証部の検証結果から、前記エンティティから前記アセットへのサイバー攻撃による被害コストに基づく、前記各エンティティの信頼性スコアを計算する信頼性評価部と、
ポリシを前記エンティティに適用したときに発生するコストと、ポリシの適用により軽減させる前記被害コストとをもとに、双方のコストのトータルコストが低くなるように、ポリシを適用する方策箇所の前記エンティティを決定する方策決定部とを有することを特徴とする。
In order to solve the above problems, the policy control device of the present invention has the following features.
The present invention includes a module verification unit that verifies observation data resulting from observing an entity that accesses an asset;
a reliability evaluation unit that calculates a reliability score for each of the entities based on a damage cost caused by a cyber attack from the entity to the asset from a verification result of the module verification unit;
The system is characterized by having a policy decision unit that decides the entity at which the policy is to be applied based on the cost incurred when the policy is applied to the entity and the damage cost reduced by applying the policy, so that the total cost of both costs is reduced.
本発明によれば、セキュリティリスクおよびサービスを提供するときのリスクをバランスよく低減できる方策を策定することができる。 According to the present invention, it is possible to formulate measures that can reduce security risks and risks when providing services in a balanced manner.
以下、本発明の一実施形態について、図面を参照して詳細に説明する。 Below, one embodiment of the present invention is described in detail with reference to the drawings.
図1は、ゼロトラストシステム80の構成図である。
ゼロトラストシステム80は、エンティティ81と、企業リソース82と、ポリシ制御部83と、ポリシ実行部84とがネットワークで接続されて構成される。
企業リソース82は、非特許文献2ではResourceに該当し、アセットとも呼ばれる。企業リソース82は、秘密情報を保存する社内の装置などの、保護すべき対象である。
エンティティ81は、非特許文献2ではentityに該当する。エンティティ81は、企業リソース82にアクセスしようとする端末、または、企業リソース82にアクセスしようとする端末の集合が属するネットワークであり、ポリシ制御装置により検査される対象である。
なお、ポリシ制御装置は、装置単位でエンティティ81を検査するだけでなく、図2の対象ネットワーク73などのネットワーク単位のエンティティ81を検査してもよい。そして、ポリシ制御装置は、汚染されたネットワークが検査で発見された場合、そのネットワークをキャリアネットワークから切り離す(切断し、通信不可とする)という方策内容を適用してもよい。
FIG. 1 is a configuration diagram of a zero
The zero
The
The
The policy control device may not only inspect the
なお、本明細書では、わかりやすくするために、各装置がエンティティ81か、企業リソース82かのいずれか一方に分類されるものとして説明する。一方、同じ装置が、エンティティ81にも企業リソース82にも該当することもある。
例えば、秘密情報A1を保存する装置Aと、秘密情報B1を保存する装置Bとは、それぞれ自身の秘密情報に外部からアクセスされるときには、企業リソース82に属する。一方、装置Aが装置Bから秘密情報B1を取得する場合には、装置Aはエンティティ81となる。
このように、ゼロトラストシステム80では、真に信頼できる装置は検証を行うポリシ制御装置のみであり、その他の装置は、社内の装置であっても社外の装置であっても、信頼せずに(ゼロトラスト)検査する対象のエンティティ81に該当する。
For ease of understanding, the present specification will be described assuming that each device is classified as either an
For example, device A storing secret information A1 and device B storing secret information B1 belong to the
In this way, in the zero
ポリシ制御部83は、非特許文献2ではPDP(policy decision point)に該当する。ポリシ制御部83は、アクセス許可部83Aと、ポリシ設定部83Bとを有する。
アクセス許可部83Aは、ポリシ実行部84を経由してアクセスした各エンティティ81に対して、社内のデータベース(図示省略)などを参照して、アクセスの許可または不許可を認証する。ポリシ設定部83Bは、アクセス許可部83Aの認証結果を、ポリシ実行部84にポリシ(方策)として設定する。
The
The
ポリシ実行部84は、非特許文献2ではPEP(policy enforcement point)に該当する。ポリシ実行部84は、ポリシに従ってエンティティ81のアクセスを許可または不許可とする。認証に合格したエンティティ81は、企業リソース82にアクセスできる。認証で不可のエンティティ81は、企業リソース82にアクセスできない。The
図2は、図1のゼロトラストシステム80を5Gネットワークに適用したときの構成図である。
対象ネットワーク73には、企業リソース82が属する。図1の企業リソース82は、図2の以下の装置を含むキャリアネットワーク群として具体化される。
・NEF82A:Network Exposure Function。
・PCF82B:Policy Control function。
・AMF82C:Access and Mobility management Function。
・UPF82D:User Plane Function。このUPF82Dは、DN(Data Network)82Eに接続される。
FIG. 2 is a configuration diagram of the zero
The
・NEF82A: Network Exposure Function.
・PCF82B: Policy Control function.
・AMF82C: Access and Mobility management Function.
UPF 82D: User Plane Function. This UPF 82D is connected to a DN (Data Network) 82E.
図1のエンティティ81は、図2の車載端末81A、スマートフォン81B、タブレット端末81CなどのUE(User Entity)として具体化される。また、対象ネットワーク73そのものも、1つのエンティティ81としてもよい。
The
ポリシ制御装置は、モジュール検証部10と、信頼性評価部20と、方策決定部30と、スケジューラ部40とを有する1台以上の筐体である。図2では、4つの処理部を別々の筐体(4台の筐体)に分散させて構成したが、4つの処理部を1つの筐体に収容してもよい。
図1のポリシ制御部83は、図2では、コアネットワーク71内の信頼性評価部20と、スケジューラ部40として具体化される。
図1のポリシ実行部84は、図2では、アクセスネットワーク72内のモジュール検証部10と、方策決定部30として具体化される。さらに、図1のポリシ実行部84は、図2の通信規格5Gの基地局であるgNB(next Generation NodeB)84Aを含めてもよい。
The policy control device is one or more housings having a
The
2, the
モジュール検証部10は、エンティティ81を観測した結果(図3では観測データ73D)を格納する観測データDB12と、観測データDB12に格納されたデータをもとにエンティティ81をモジュール単位で検証する検証モジュール11とを有する。検証モジュール11は、以下に例示する検証を1つ以上実行する。
・モジュールが行う通信を検証する。
・モジュールが使用するSystem Callを検証する。
・モジュールが書き換えするメモリ領域の改ざんなどを検証する。
The
- Verify the communication performed by the modules.
- Verify the system calls used by the module.
-Verify any tampering with the memory area that the module rewrites.
信頼性評価部20は、信頼性計算部21と、ネットワークDB22とを有する。
信頼性計算部21は、モジュール検証部10の検証結果に対して、定量的リスクマネジメント手法を適用することで、エンティティ81ごとの信頼性スコアを計算する。この信頼性スコアは、エンティティ81から企業リソース82へのサイバー攻撃による被害コストに基づく指標である。なお、サイバー攻撃は、例えば、エンティティ81からの不正アクセスや、DoS(Denial of Services)などのサービス妨害攻撃である。
ネットワークDB22には、対象ネットワーク73のインベントリ情報および企業リソース82のアセット情報が格納される。
The
The
The
方策決定部30は、図1のポリシ制御部83として、方策制御部31を有する。
方策制御部31は、ポリシをエンティティ81に適用したときに発生するコスト(以下「適用コスト」)と、ポリシの適用により軽減させる被害コストとをもとに、双方のコストのトータルコストが低くなるように、方策を決定する。つまり、方策制御部31は、信頼性評価部20が算出したセキュリティリスク(信頼性スコア)と、サービスを提供するときのリスク(SLAが順守できないリスクなど)とを統一した指標で評価することで、方策を決定する。
The
The
なお、方策制御部31が決定する方策は、どのような方策を実行するかという「方策内容」と、どのエンティティ81に方策を実行するかという「方策箇所」とのうちの少なくとも1つである。方策制御部31は、方策内容および方策箇所の組が複数存在するときに、その組のうちの最適な組み合わせを求める。ここでの「最適」とは、図3で後記するように、セキュリティリスク(信頼性スコア)だけでなく、サービスを提供するときのリスクをバランスよく低減できるという観点である。The policy determined by the
方策制御部31は、決定した方策を対象ネットワーク73(図1のポリシ実行部84)に適用する。
方策決定部30は、決定した方策をポリシ実行部84に設定することで、エンティティ81から企業リソース82へのアクセスに方策を適用する。または、方策決定部30は、決定した方策をオペレータに表示画面で提示することで、オペレータに方策を理解させてもよい。
The
The
スケジューラ部40は、ポリシ制御装置の各処理部(モジュール検証部10、信頼性評価部20、方策決定部30)を運用する運用部41を有する。
運用部41は、運用フェーズにて、各エンティティ81に対して、信頼性スコアで示されるセキュリティリスクに応じたポリシ制御装置の各処理部による処理をスケジューリングする。運用部41は、この運用フェーズによるスケジューリングについて、定期的に実行してもよいし、非定期のタイミングで単発的に実行してもよい。
The
In the operation phase, the
さらに、運用部41は、信頼性評価部20が評価した信頼性スコアを受け、検証モジュール11がエンティティ81を検証するときの検証負荷を増減させてもよい。例えば、運用部41は、信頼性スコアが高いエンティティ81ほど、観測データ73Dを検証する負荷を低くために、検証機能の種類を少なく割り当てる。
これにより、信頼性スコアが低いエンティティ81に集中して有限のシステムリソース(検証能力)が多く割り当てられるので、エンティティ81の数が多いシステムでも、低遅延で妥当な検証が可能となる。または、運用部41は、低遅延が求められる所定のエンティティ81についての検証処理を、他のエンティティ81よりも後で行うこととしてもよい。運用部41は、その所定のエンティティ81の検証処理が行われるまでの経過期間について、所定のエンティティ81に暫定的な検証結果(通信許可または通信遮断)を割り当ててもよい。
Furthermore, the
As a result, finite system resources (verification capacity) are concentrated and allocated in large quantities to the
図3は、ポリシ制御装置の説明図である。
まず、図3の説明に使用する各変数を説明する。
エンティティ81は、変数eで示される。1つめのエンティティ81をe[1]とし、m番目のエンティティ81をe[m]とする。リスク顕在化確率21Bは、e[m]のリスクが顕在化した確率P(e[m]=malicious | I)で示される。リスクの顕在化とは、例えば、エンティティ81がサイバー攻撃で企業リソース82を攻撃する行為が実際に発生したことである。
ネットワークDB22内のネットワーク設定21Fは、対象ネットワーク73の情報であり、e[m]のリスクが顕在化した時に、周囲に及ぼす影響を特定するために参照される。
FIG. 3 is an explanatory diagram of the policy control device.
First, each variable used in the explanation of FIG. 3 will be explained.
The
The
企業リソース82のアセットは、変数aで示される。1つめのアセットをa[1]とし、n番目のアセットをa[n]とする。アセットa[n]の価値は、v(a[n])で示される。侵入確率21Dは、アセットa[i]が侵入される確率p(a[i])で示される。
ネットワークDB22内のリソース情報21Gは、アセットの価値集合V={v(a[1]),v(a[2]), …v(a[n])}で示される。
The assets of the
The
以下、図3の各構成要素を説明する。
観測データDB12には、対象ネットワーク73のエンティティ81(e[m])を観測した観測データ73Dが登録されている。そのため、各エンティティ81はログ出力機能を有しており、モジュール検証部10(観測データDB12)には、ログ出力機能からのログを収集するログ収集機能を有している。
検証モジュール11は、観測データ73Dの入力を受けて検証を行い、その検証結果をイベントI={i[1], i[2], …i[k]}として信頼性計算部21に出力する。
Each component in FIG. 3 will now be described.
The
The
信頼性計算部21は、リスク顕在化評価部21Aと、影響範囲評価部21Cと、信頼性算出部21Eとを有する。
リスク顕在化評価部21Aは、検証モジュール11が出力したイベントIから、機械学習、数理統計処理などのアルゴリズムにより、リスク顕在化確率21B(P(e[m])を計算する。
影響範囲評価部21Cは、検証モジュール11が出力したイベントIと、リスク顕在化確率21Bと、ネットワーク設定21Fとをもとに、侵入確率21D(p(a[i]))を評価する。そして、影響範囲評価部21Cは、侵入確率21Dと、アセットの価値v(a[i])とから、顕在化したリスクが周囲に及ぼす影響コストIm(e[m])を計算する。
信頼性算出部21Eは、侵入確率21Dと、リソース情報21Gとをもとに、信頼性スコア21Hを計算する。信頼性スコア21Hは、セキュリティリスク、SLA違反リスクなどのリスクを統一的に計測するための尺度である。以下では、信頼性スコア21Hの例としてコスト期待値Ex(e[m])=P(e[m]×Im(e[m])を用いるが、コスト期待値に限らず、統一的な尺度であれば何を用いてもよい。
The
The risk
The influence
The
なお、ポリシ制御装置は、e[m]のリスクが顕在化した時に、周囲に及ぼす影響を算出することで信頼性スコア21Hの精度を上げることも可能である。
そのため、まず影響範囲評価部21Cは、e[m]のリスクが顕在化した場合、そのe[m]から到達しうるすべてのアセットA={a[1], a[2], …a[n]}、および、アセットの価値集合V={v(a[1]),v(a[2]), …v(a[n])}を列挙する。影響範囲評価部21Cは、列挙したアセットを基に、e[m]のリスクが周囲に及ぼす影響コストIm(e[m])を(数式1)の通り計算する。ここで、侵入確率21D(p(a[i]))は、影響コストと侵入される確率の積の総和(全アセットのコスト期待値の総和)となる。
In addition, the policy control device can also improve the accuracy of the
Therefore, the impact
次に、信頼性算出部21Eは、最終的な被害コスト期待値Ex(e[m])を、(数式2)の通り計算する。
Ex(e[m])=P(e[m]=malicious | I)×Im(e[m]) …(数式2)
以上、図3を参照して信頼性計算部21が信頼性スコア21Hを出力する処理を説明した。
Next, the
Ex(e[m])=P(e[m]=malicious | I)×Im(e[m]) … (Formula 2)
The process in which the
方策決定部30は、信頼性スコア21Hをもとに最適な方策を決定する。以下、方策決定部30の処理を説明する。
まず、方策の説明に使用する各変数を説明する。方策は、変数mで示される。1つめのエンティティ81をm[1]とし、l番目のエンティティ81をm[l]とする。つまり、方策集合M={m[1], m[2], …m[l]}を定義する。
The
First, we will explain each variable used to explain the policy. A policy is indicated by the variable m. The
各方策は、m[i]={e(m[i]), d(m[i]), c(m[i]), i(m[i])}と定義される。
・e(m[i])は方策m[i]が適用される方策箇所のエンティティ81を示す。
・d(m[i])は方策m[i]の方策内容を示す。方策内容の例として、通信をフィルタリングする内容、エンティティ81をシャットダウンするなどの攻撃を止める内容などが挙げられる。
・c(m[i])は方策m[i]が適用されるときの適用コストを示す。この適用コストには、方策内容を実行するためのコスト、方策内容を実行することでSLAに影響するときのコストなどが含まれる。
・i(m[i])は、方策効果であり、m[i]を実行することによって軽減されるセキュリティリスクを示す被害コストの期待値である。この方策効果i(m[i])は、(数式1)で計算した影響コストIm(e[m])に関連する。
そして、e[m]に対して行う方策集合M(e[m])は(数式3)のように示される。
Each policy is defined as m[i] = {e(m[i]), d(m[i]), c(m[i]), i(m[i])}.
e(m[i]) denotes the
d(m[i]) indicates the content of the policy m[i]. Examples of the content of the policy include filtering communications, shutting down the
・c(m[i]) indicates the application cost when the measure m[i] is applied. This application cost includes the cost of executing the measure content, the cost when executing the measure content affects the SLA, etc.
i(m[i]) is the measure effect, which is the expected value of the damage cost that indicates the security risk mitigated by implementing m[i]. This measure effect i(m[i]) is related to the impact cost Im(e[m]) calculated by (Equation 1).
Then, the set of measures M(e[m]) to be taken for e[m] is expressed as (Equation 3).
方策決定部30は、(数式3)を用いて各方策m[i]の実行により得られる方策効果と、負担となる適用コストとの双方を評価し、総合的なコストがなるべく低くなるように方策を決定する。つまり、方策内容d(m[i])を実行したときには、リスクが顕在化したとしても被害コストが低減されるので、コスト期待値Ex(e[m])を方策効果i(m[i])の分だけ下げられる。一方、方策内容d(m[i])の実行により、適用コストc(m[i])分のコストが増える。
方策決定部30は、(数式3)を用いて、この被害コストの低減量と適用コストの増加量とを相殺することで、総合的に方策を実行する場合と、実行しない場合とで、低コストになるように各方策m[i]の実行可否を選択する。
これにより、セキュリティもSLAも含めたトータルでのリスクマネジメントを実現できる。
The
The
This enables total risk management, including security and SLAs, to be achieved.
図4は、ポリシ制御装置のハードウェア構成図である。
ポリシ制御装置は、CPU901と、RAM902と、ROM903と、HDD904と、通信I/F905と、入出力I/F906と、メディアI/F907とを有するコンピュータ900として構成される。
通信I/F905は、外部の通信装置915と接続される。入出力I/F906は、入出力装置916と接続される。メディアI/F907は、記録媒体917からデータを読み書きする。さらに、CPU901は、RAM902に読み込んだプログラム(アプリケーションや、その略のアプリとも呼ばれる)を実行することにより、各部を制御する。そして、このプログラムは、通信回線を介して配布したり、CD-ROM等の記録媒体917に記録して配布したりすることも可能である。
FIG. 4 is a hardware configuration diagram of the policy control device.
The policy control device is configured as a
The communication I/
さらに、ポリシ制御装置は、H/W(HardWare)アクセラレータ921と、TPM(Trusted Platform Module)922とを有するコンテナ基盤920を有していてもよい。また、コンテナ基盤920の各構成要素は、CPU901内に実装してもよい。
H/Wアクセラレータ921およびコンテナ基盤920のコンテナランタイムの機能は、ポリシ制御装置の各処理部(モジュール検証部10、信頼性評価部20、方策決定部30、スケジューラ部40)に適用することが望ましい。これにより、各処理部の高速化やスケールアウトが可能となり、大規模なエンティティ81を搭載したシステムに対応可能となる。
TPM922も、ポリシ制御装置の各処理部(モジュール検証部10、信頼性評価部20、方策決定部30、スケジューラ部40)に適用することが望ましい。これにより、信頼性スコア21Hや方策m[i]の改ざんを防げる。
Furthermore, the policy control device may have a
It is desirable to apply the functions of the H/
It is desirable to apply the
[効果]
本発明のポリシ制御装置は、企業リソース82にアクセスするエンティティ81を観測した結果の観測データ73Dを検証するモジュール検証部10と、
モジュール検証部10の検証結果から、エンティティ81から企業リソース82へのサイバー攻撃による被害コストに基づく、各エンティティ81の信頼性スコアを計算する信頼性評価部20と、
ポリシをエンティティ81に適用したときに発生する適用コストと、ポリシの適用により軽減させる被害コストとをもとに、双方のコストのトータルコストが低くなるように、ポリシを適用する方策箇所のエンティティ81を決定する方策決定部30とを有することを特徴とする。
[effect]
The policy control device of the present invention includes a
a reliability evaluation unit that calculates a reliability score for each entity based on a damage cost of a cyber attack from the entity to a corporate resource from a verification result of the module verification unit;
The system is characterized by having a
これにより、ポリシ制御装置は、信頼性スコアが低いエンティティ81を残存させることのセキュリティリスクと、ポリシをエンティティ81に適用したときにSLAを下回るなどのサービスリスクとを、コストという同一尺度で評価する。よって、セキュリティリスクおよびサービスを提供するときのリスクをバランスよく低減できる方策を策定できる。
In this way, the policy control device evaluates the security risk of allowing an
本発明は、ポリシ制御装置が、さらに、スケジューラ部40を有しており、
スケジューラ部40が、信頼性スコアが高いエンティティ81ほど、モジュール検証部10がそのエンティティ81から観測した観測データ73Dを検証する負荷を低くすることを特徴とする。
In the present invention, the policy control device further includes a
The
これにより、セキュリティリスクの高いごく一部のエンティティ81だけを重点的に検証することで、トータルの検証負荷が軽減する。よって、対象となるエンティティ81が数億規模のような大規模なシステムにおいても、ポリシ制御装置による検証負荷が軽減され、ポリシ制御装置に課せされる厳しい遅延要件を順守できるようになる。This reduces the total verification load by focusing on verifying only a small portion of
本発明は、スケジューラ部40が、所定のエンティティ81の検証処理を他のエンティティ81よりも後で行うこととし、その所定のエンティティ81の検証処理が行われるまでの経過期間について所定のエンティティ81に暫定的な検証結果を割り当てることを特徴とする。The present invention is characterized in that the
これにより、エンティティ81の検証処理が暫定的にスキップされる代わりに暫定的な検証結果が割り当てられることで、ポリシ制御装置に課せされる厳しい遅延要件を順守できるようになる。This allows the verification process for
本発明は、モジュール検証部10の処理、信頼性評価部20の処理、および、方策決定部30の処理が、TPM922により実行されることを特徴とする。
The present invention is characterized in that the processing of the
これにより、ポリシ制御装置の各処理部による計算内容への改ざんを防げる。 This prevents tampering with the calculation contents by each processing unit of the policy control device.
10 モジュール検証部
11 検証モジュール
12 観測データDB
20 信頼性評価部
21 信頼性計算部
21A リスク顕在化評価部
21B リスク顕在化確率
21C 影響範囲評価部
21D 侵入確率
21E 信頼性算出部
21F ネットワーク設定
21G リソース情報
21H 信頼性スコア
22 ネットワークDB
30 方策決定部
31 方策制御部
40 スケジューラ部
41 運用部
71 コアネットワーク
72 アクセスネットワーク
73 対象ネットワーク
73D 観測データ
80 ゼロトラストシステム
81 エンティティ
82 企業リソース(アセット)
83 ポリシ制御部
83A アクセス許可部
83B ポリシ設定部
84 ポリシ実行部
10
20
30
83
Claims (7)
前記モジュール検証部の検証結果から、前記エンティティから前記アセットへのサイバー攻撃による被害コストに基づく、前記各エンティティの信頼性スコアを計算する信頼性評価部と、
ポリシを前記エンティティに適用したときに発生するコストと、ポリシの適用により軽減させる前記被害コストとをもとに、双方のコストのトータルコストが低くなるように、ポリシを適用する方策箇所の前記エンティティを決定する方策決定部とを有することを特徴とする
ポリシ制御装置。 a module verification unit that verifies observed data resulting from observing an entity that accesses the asset;
a reliability evaluation unit that calculates a reliability score for each of the entities based on a damage cost caused by a cyber attack from the entity to the asset from a verification result of the module verification unit;
A policy control device comprising: a policy decision unit that decides the entity to which the policy is to be applied, based on the cost incurred when the policy is applied to the entity and the damage cost reduced by the application of the policy, so that the total cost of both costs is reduced.
前記スケジューラ部は、前記信頼性スコアが高い前記エンティティほど、前記モジュール検証部がそのエンティティから観測した前記観測データを検証する負荷を低くすることを特徴とする
請求項1に記載のポリシ制御装置。 The policy control device further includes a scheduler unit,
2 . The policy control device according to claim 1 , wherein the scheduler unit reduces a load imposed on the module verification unit for verifying the observed data observed from an entity having a higher reliability score.
請求項2に記載のポリシ制御装置。 The policy control device according to claim 2, characterized in that the scheduler unit performs verification processing of a specified entity later than the other entities, and assigns a provisional verification result to the specified entity for the elapsed period until the verification processing of the specified entity is performed.
請求項1に記載のポリシ制御装置。 2. The policy control device according to claim 1, wherein the processing of the module verification unit, the processing of the reliability evaluation unit, and the processing of the policy determination unit are executed by a TPM (Trusted Platform Module).
前記エンティティから前記アセットへのアクセスには、前記方策決定部が決定したポリシが適用されることを特徴とする
ゼロトラストシステム。 The policy control device according to any one of claims 1 to 4, the entity, and the asset are connected via a network,
A zero trust system, characterized in that a policy determined by the policy determination unit is applied to access from the entity to the asset.
前記モジュール検証部は、アセットにアクセスするエンティティを観測した結果の観測データを検証し、
前記信頼性評価部は、前記モジュール検証部の検証結果から、前記エンティティから前記アセットへのサイバー攻撃による被害コストに基づく、前記各エンティティの信頼性スコアを計算し、
前記方策決定部は、ポリシを前記エンティティに適用したときに発生するコストと、ポリシの適用により軽減させる前記被害コストとをもとに、双方のコストのトータルコストが低くなるように、ポリシを適用する方策箇所の前記エンティティを決定することを特徴とする
ポリシ制御方法。 The policy control device includes a module verification unit, a reliability evaluation unit, and a policy decision unit.
The module verification unit verifies observation data resulting from observing an entity accessing an asset;
The reliability evaluation unit calculates a reliability score for each of the entities based on a damage cost caused by a cyber attack from the entity to the asset from the verification result of the module verification unit,
The policy control method is characterized in that the policy decision unit decides the entity at which the policy is to be applied based on the cost incurred when the policy is applied to the entity and the damage cost reduced by applying the policy, so that the total cost of both costs is reduced.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2022/011815 WO2023175756A1 (en) | 2022-03-16 | 2022-03-16 | Policy control device, zero trust system, policy control method, and policy control program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2023175756A1 JPWO2023175756A1 (en) | 2023-09-21 |
| JP7647997B2 true JP7647997B2 (en) | 2025-03-18 |
Family
ID=88022531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2024507282A Active JP7647997B2 (en) | 2022-03-16 | 2022-03-16 | POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7647997B2 (en) |
| WO (1) | WO2023175756A1 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005234840A (en) | 2004-02-19 | 2005-09-02 | Nec Micro Systems Ltd | Method for evaluating risk and method for support selection of security management measures and program |
| WO2008004498A1 (en) | 2006-07-06 | 2008-01-10 | Nec Corporation | Security risk management system, device, method, and program |
| JP2008507757A (en) | 2004-07-20 | 2008-03-13 | リフレクテント ソフトウェア, インコーポレイテッド | End user risk management |
-
2022
- 2022-03-16 JP JP2024507282A patent/JP7647997B2/en active Active
- 2022-03-16 WO PCT/JP2022/011815 patent/WO2023175756A1/en not_active Ceased
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005234840A (en) | 2004-02-19 | 2005-09-02 | Nec Micro Systems Ltd | Method for evaluating risk and method for support selection of security management measures and program |
| JP2008507757A (en) | 2004-07-20 | 2008-03-13 | リフレクテント ソフトウェア, インコーポレイテッド | End user risk management |
| WO2008004498A1 (en) | 2006-07-06 | 2008-01-10 | Nec Corporation | Security risk management system, device, method, and program |
Non-Patent Citations (1)
| Title |
|---|
| 風戸 雄太 ほか,大規模ネットワークへのゼロトラスト適用を想定したセキュリティ検証機能の動的割当方式に関する一検討,マルチメディア,分散,協調とモバイル(DICOMO2021)シンポジウム論文集 情報処理学会シンポジ,日本,一般社団法人情報処理学会,2021年06月23日,pp. 1459-1465 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023175756A1 (en) | 2023-09-21 |
| JPWO2023175756A1 (en) | 2023-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA3055978C (en) | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring | |
| US20230231867A1 (en) | System and method for assessing a cyber-risk and loss in a cloud infrastructure | |
| US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
| US9241008B2 (en) | System, method, and software for cyber threat analysis | |
| US20190207967A1 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
| US20190207966A1 (en) | Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store | |
| Mahdavi Hezavehi et al. | An anomaly-based framework for mitigating effects of DDoS attacks using a third party auditor in cloud computing environments | |
| EP2169580A2 (en) | Graduated enforcement of restrictions according an application's reputation | |
| US20200220885A1 (en) | Selecting security incidents for advanced automatic analysis | |
| EP2597569A1 (en) | System and method for distributing processing of computer security tasks | |
| US8572729B1 (en) | System, method and computer program product for interception of user mode code execution and redirection to kernel mode | |
| US11706252B1 (en) | Detecting malware infection path in a cloud computing environment utilizing a security graph | |
| US12549573B2 (en) | Techniques for aggregating mitigation actions | |
| US10417414B2 (en) | Baseline calculation for firewalling | |
| Khan | A stride model based threat modelling using unified and-or fuzzy operator for computer network security | |
| JP7647997B2 (en) | POLICY CONTROL DEVICE, ZERO TRUST SYSTEM, POLICY CONTROL METHOD, AND POLICY CONTROL PROGRAM | |
| CN119728303B (en) | Firewall-based remote access control method and system for virtual desktops of banks | |
| CN115587374A (en) | A dynamic access control method and control system based on trust value | |
| JP2025175989A (en) | Exposure management method and exposure management system | |
| US10171483B1 (en) | Utilizing endpoint asset awareness for network intrusion detection | |
| Au et al. | in Software Defined Networking | |
| US12563054B2 (en) | Detecting malware infection path in a cloud computing environment utilizing a security graph | |
| Joshi et al. | Comprehensive Survey on Vulnerability Assessment and Penetration Testing (VAPT) for Cloud-Hosted Web Applications | |
| Lombardi et al. | Security for cloud computing | |
| Chen et al. | RBAClock: Contain RBAC Permissions through Secure Scheduling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240709 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250204 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250217 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7647997 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |