Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7682073B2 - Security measures support device and security measures support method - Google Patents
[go: Go Back, main page]

JP7682073B2 - Security measures support device and security measures support method - Google Patents

Security measures support device and security measures support method Download PDF

Info

Publication number
JP7682073B2
JP7682073B2 JP2021167244A JP2021167244A JP7682073B2 JP 7682073 B2 JP7682073 B2 JP 7682073B2 JP 2021167244 A JP2021167244 A JP 2021167244A JP 2021167244 A JP2021167244 A JP 2021167244A JP 7682073 B2 JP7682073 B2 JP 7682073B2
Authority
JP
Japan
Prior art keywords
security
attack
information
candidate
point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021167244A
Other languages
Japanese (ja)
Other versions
JP2023057655A (en
Inventor
淳也 藤田
大輔 辻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021167244A priority Critical patent/JP7682073B2/en
Publication of JP2023057655A publication Critical patent/JP2023057655A/en
Application granted granted Critical
Publication of JP7682073B2 publication Critical patent/JP7682073B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Description

本発明は、セキュリティ対策支援装置及びセキュリティ対策支援方法に関するものである。 The present invention relates to a security measures support device and a security measures support method.

システムの脆弱性を巧みに突いてくるセキュリティ上の脅威を分析し、その有効な対策を立案することは重要である。一方、そうした脅威は、年を追う毎に多様化、高度化する傾向にあるため、そのリスクを分析し、対策を立案するコストや手間も増大し続けている。
そこで、セキュリティリスクを分析、評価する従来技術として、例えば、脆弱性を低減するための対策やセキュリティテストを判断するリスク評価対策の立案システム(特許文献1参照)が提案されている。
It is important to analyze security threats that exploit system vulnerabilities and develop effective countermeasures. However, as these threats tend to become more diverse and sophisticated with each passing year, the costs and effort required to analyze the risks and develop countermeasures are also increasing.
As a conventional technique for analyzing and evaluating security risks, a risk assessment countermeasure planning system that determines countermeasures for reducing vulnerabilities and security tests (see Patent Document 1) has been proposed.

このシステムは、処理装置と記憶装置とを有し、システムに対する攻撃に関する対策立案及びセキュリティテストを立案するリスク評価対策立案システムであって、前記記憶装置は、脆弱性に関する脆弱性情報を格納する脆弱性データベースと、製品情報を格納する製品情報データベースと、を記憶し、前記処理装置は、設計情報が入力される入力出力処理部と、前記設計情報に基づいて、前記脆弱性を分析する脆弱性分析部と、前記脆弱性分析部の分析結果に基づいて、前記システムに対する脅威を分析して脅威分析結果を出力する脅威分析処理部と、前記脅威分析処理部から出力された前記脅威分析結果と前記脆弱性データベースに格納された前記脆弱性情報に基づいて、前記脆弱性の影響を低減する前記対策立案を立案する対策立案部と、前記対策立案部で立案された前記対策立案に基づいて、前記セキュリティテストを立案するセキュリティテスト立案部と、前記セキュリティテスト立案部で立案された前記セキュリティテストに基づいて評価を行って評価結果を出力する評価演算部と、前記評価演算部で評価された前記評価結果を処理して、前記製品情報としてセキュリティ対策を生成して前記製品情報データベースに格納する結果処理部と、を有するシステムである。 This system is a risk assessment and countermeasure planning system that has a processing device and a storage device, and that plans countermeasures and security tests against attacks against a system. The storage device stores a vulnerability database that stores vulnerability information about vulnerabilities, and a product information database that stores product information. The processing device has an input/output processing unit that receives design information, a vulnerability analysis unit that analyzes the vulnerabilities based on the design information, a threat analysis processing unit that analyzes threats to the system based on the analysis results of the vulnerability analysis unit and outputs the threat analysis results, a countermeasure planning unit that plans the countermeasures to reduce the impact of the vulnerabilities based on the threat analysis results output from the threat analysis processing unit and the vulnerability information stored in the vulnerability database, a security test planning unit that plans the security test based on the countermeasure planning unit, an evaluation calculation unit that performs an evaluation based on the security test planned by the security test planning unit and outputs the evaluation results, and a result processing unit that processes the evaluation results evaluated by the evaluation calculation unit, generates security countermeasures as the product information, and stores them in the product information database.

特開2020-166650号公報JP 2020-166650 A

従来技術によれば、不足するセキュリティ対策を対策コストに基づいて出力可能となるが、システム構成に基づく制約やシステム構成を踏まえた、対策箇所や対策内容の最適化についてカバーするものではない。つまり、脅威事象一つに対して対応する対策を静的に出力するのみで、システム全体における対策効果やコストについて考慮するものではなかった。
そこで本発明の目的は、対象システム全体に関して、少ない作業工数で費用対効果の高いセキュリティ対策の効率的な選定を支援可能とする技術を提供することにある。
Conventional technology can output insufficient security measures based on the cost of the measures, but it does not cover optimization of the countermeasure locations and countermeasure contents based on the constraints and system configuration based on the system configuration. In other words, it only statically outputs countermeasures corresponding to one threat event, and does not consider the countermeasure effectiveness and cost for the entire system.
Therefore, an object of the present invention is to provide a technique that can support efficient selection of cost-effective security measures with a small number of work steps for the entire target system.

上記課題を解決する本発明のセキュリティ対策支援装置は、セキュリティ対策の対象システムに関するプロファイル情報と、攻撃のポイント及びパターンに応じて定めたセキュリティ対策の候補情報と、を保持する記憶装置と、前記プロファイル情報に基づき特定される各攻撃の発生ポイント及びパターンに関する情報を、前記候補情報に照合し、前記各攻撃に対するセキュリティ対策候補を特定する処理と、前記セキュリティ対策候補それぞれに関する、前記各攻撃への対処範囲と実施コスト、及び当該セキュリティ対策候補の適用条件を、前記候補情報に基づき算定する処理と、前記算定の結果である前記対処範囲が大きく、かつ前記実施コスト及び前記適用条件の数が小さいことに基づき、前記セキュリティ対策候補の優先順位を判定する処理を実行する演算装置と、を備えることを特徴とする。
また、本発明のセキュリティ対策支援方法は、情報処理装置が、セキュリティ対策の対象システムに関するプロファイル情報と、攻撃のポイント及びパターンに応じて定めたセキュリティ対策の候補情報と記憶装置にて保持し、前記プロファイル情報に基づき特定される各攻撃の発生ポイント及びパターンに関する情報を、前記候補情報に照合し、前記各攻撃に対するセキュリティ対策候補を特定する処理と、前記セキュリティ対策候補それぞれに関する、前記各攻撃への対処範囲と実施コスト、及び当該セキュリティ対策候補の適用条件を、前記候補情報に基づき算定する処理と、前記算定の結果である前記対処範囲が大きく、かつ前記実施コスト及び前記適用条件の数が小さいことに基づき、前記セキュリティ対策候補の優先順位を判定する処理、を実行することを特徴とする。
The security countermeasure support device of the present invention, which solves the above-mentioned problems, is characterized by comprising a storage device that retains profile information on a target system for security countermeasures and candidate information on security countermeasures determined according to the points and patterns of attacks, a process that compares information on the occurrence points and patterns of each attack identified based on the profile information with the candidate information to identify candidate security countermeasures for each of the attacks, a process that calculates, for each of the candidate security countermeasures , the response scope and implementation cost for each of the attacks, and the application conditions for the candidate security countermeasures , based on the candidate information, and a calculation device that executes a process of determining the priority order of the candidate security countermeasures based on the result of the calculation, that is, the response scope is large and the implementation cost and the number of application conditions are small.
In addition, the security countermeasure support method of the present invention is characterized in that an information processing device stores in a storage device profile information related to a target system for security countermeasures and candidate information on security countermeasures determined according to the points and patterns of attacks, and executes a process of comparing information related to the occurrence points and patterns of each attack identified based on the profile information with the candidate information to identify candidate security countermeasures for each of the attacks, a process of calculating, based on the candidate information , the response scope and implementation cost for each of the candidate security countermeasures, and the application conditions for the candidate security countermeasures, and a process of determining the priority order of the candidate security countermeasures based on the result of the calculation that the response scope is large and the implementation cost and the number of application conditions are small.

本発明によれば、対象システム全体に関して、少ない作業工数で費用対効果の高いセキュリティ対策の効率的な選定を支援可能となる。 The present invention makes it possible to assist in the efficient selection of cost-effective security measures for the entire target system with minimal work effort.

本実施形態のセキュリティ対策支援装置を含む全体構成図である。1 is an overall configuration diagram including a security countermeasure support device according to an embodiment of the present invention; 本実施形態におけるセキュリティ対策支援装置のハードウェア構成例を示す図である。1 is a diagram illustrating an example of a hardware configuration of a security countermeasure support device according to an embodiment of the present invention. 本実施形態に関するセキュリティ対策が適用されるネットワークシステムの構成図である。1 is a configuration diagram of a network system to which a security measure according to an embodiment of the present invention is applied. 本実施形態のセキュリティ対策の対象システム上の論理パスの説明図である。1 is an explanatory diagram of a logical path on a target system of a security measure according to the present embodiment. 本実施形態のセキュリティ対策の対象システム上の論理パスの説明図である。1 is an explanatory diagram of a logical path on a target system of a security measure according to the present embodiment. 本実施形態における攻撃パスに沿って行われる攻撃手順を示すテーブルである。1 is a table showing an attack procedure performed along an attack path in this embodiment. 本実施形態における攻撃パスに沿って行われる攻撃手順を示すテーブルである。1 is a table showing an attack procedure performed along an attack path in this embodiment. 本実施形態のシステムプロファイルにおけるポイント一覧の構成例を示す図である。11 is a diagram showing an example of the configuration of a point list in a system profile of the present embodiment. FIG. 本実施形態のシステムプロファイルにおける論理構成プロファイルの構成例を示す図である。11 is a diagram showing an example of a configuration of a logical configuration profile in a system profile of the present embodiment. FIG. 本実施形態のシステムプロファイルにおける物理構成プロファイルの構成例を示す図である。FIG. 11 is a diagram illustrating an example of a configuration of a physical configuration profile in a system profile of the present embodiment. 本実施形態の対策候補DBの構成例を示す図である。FIG. 2 is a diagram illustrating an example of the configuration of a countermeasure candidate DB according to the present embodiment. 本実施形態における攻撃パスの特定フローの例を示す図である。FIG. 11 is a diagram illustrating an example of an attack path identification flow in this embodiment. 本実施形態における要対策ポイントの具体例を示す図である。FIG. 2 is a diagram showing a specific example of a point requiring countermeasures in this embodiment. 本実施形態における要対策ポイントの一覧を示す図である。FIG. 11 is a diagram showing a list of points requiring countermeasures in this embodiment. 本実施形態のセキュリティ対策支援方法のフロー例を示す図である。FIG. 2 is a diagram showing an example of a flow of a security countermeasure support method according to the present embodiment. 本実施形態における対策候補一覧の例を示す図である。FIG. 11 is a diagram illustrating an example of a list of countermeasure candidates in the present embodiment. 本実施形態におけるコスト判定の具体例を示す図である。FIG. 11 is a diagram showing a specific example of cost determination in the present embodiment. 本実施形態における出力例を示す図である。FIG. 11 is a diagram showing an example of output in this embodiment.

<全体構成>
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態のセキュリティ対策支援装置100を含む全体構成図である。図1に示すセキュリティ対策支援装置100は、対象システム10の全体に関して、少ない作業工数で費用対効果の高いセキュリティ対策の効率的な選定を支援可能とするコンピュータである。
<Overall composition>
An embodiment of the present invention will be described in detail below with reference to the drawings. Fig. 1 is an overall configuration diagram including a security countermeasure support device 100 according to the present embodiment. The security countermeasure support device 100 shown in Fig. 1 is a computer capable of supporting efficient selection of cost-effective security countermeasures with a small number of work steps for the entire target system 10.

本実施形態のセキュリティ対策支援装置100は、図1で示すように、インターネットやLAN(Local Area Network)などの適宜なネットワーク1を介して、対象システム10やユーザ端末200と通信可能に接続されている。 As shown in FIG. 1, the security countermeasure support device 100 of this embodiment is communicatively connected to a target system 10 and a user terminal 200 via an appropriate network 1 such as the Internet or a LAN (Local Area Network).

なお、こうした形態とは異なり、セキュリティ対策支援装置100がスタンドアロンマシンとして構成され、セキュリティ対策の対象システム10に関する情報を自らのユーザインターフェイスにて取得し、所定の処理を実行するとしてもよい。 Alternatively, instead of this configuration, the security countermeasure support device 100 may be configured as a standalone machine, and may obtain information about the target system 10 for security countermeasures through its own user interface and execute predetermined processing.

一方、セキュリティ対策の対象システム10は、システムプロファイル(プロファイル情報)において、物理的、論理的な構成が記述されているシステムである。 On the other hand, the target system 10 for security measures is a system whose physical and logical configuration is described in a system profile (profile information).

この対象システム10は、悪意の第三者による攻撃を受けうる資産(例:個人情報、技術情報、営業秘密など)を有している。勿論、こうした資産の種類に関して限定するものではない。また、攻撃目標の資産は、具体的な情報やデータといった直接の窃取対象となるものだけに留まらない。 This target system 10 has assets (e.g., personal information, technical information, trade secrets, etc.) that may be subject to attack by a malicious third party. Of course, there is no limitation on the types of assets. In addition, assets that are targets of attack are not limited to those that are directly subject to theft, such as specific information or data.

ユーザ端末200は、例えば、セキュリティ対策支援装置100が提供するセキュリティ対策支援サービスの利用者や、或いは、当該サービスの運営担当者などが操作する端末である。具体的には、パーソナルコンピュータ、スマートフォン、タブレット端末、などを想定できる。
<ハードウェア構成>
また、本実施形態のセキュリティ対策支援装置100のハードウェア構成は、図2に以下の如くとなる。
The user terminal 200 is, for example, a terminal operated by a user of the security countermeasure support service provided by the security countermeasure support device 100 or by an administrator of the service. Specifically, the user terminal 200 may be a personal computer, a smartphone, a tablet terminal, or the like.
<Hardware Configuration>
The hardware configuration of the security countermeasure support device 100 of this embodiment is as shown in FIG.

すなわちセキュリティ対策支援装置100は、記憶装置101、メモリ103、演算装置104、入力装置105、出力装置106、および通信装置107、を備える。 That is, the security measure support device 100 includes a storage device 101, a memory 103, a computing device 104, an input device 105, an output device 106, and a communication device 107.

このうち記憶装置101は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。 Of these, the storage device 101 is composed of an appropriate non-volatile storage element such as an SSD (Solid State Drive) or a hard disk drive.

また、メモリ103は、RAMなど揮発性記憶素子で構成される。 In addition, memory 103 is composed of a volatile memory element such as RAM.

また、演算装置104は、記憶装置101に保持されるプログラム102をメモリ103に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPUである。 The calculation device 104 is a CPU that executes the program 102 stored in the storage device 101 by reading it into the memory 103, etc., and performs overall control of the device itself as well as various judgments, calculations, and control processes.

また、入力装置105は、ユーザからのキー入力を受け付けるキーボードや、音声入力を受け付けるマイクといった入力デバイスである。 The input device 105 is an input device such as a keyboard that accepts key input from the user and a microphone that accepts voice input.

また、出力装置106は、演算装置104での処理結果の表示を行うディスプレイ等の出力デバイスである。 In addition, the output device 106 is an output device such as a display that displays the processing results of the calculation device 104.

また、通信装置107は、ネットワーク1と接続して対象システム10やユーザ端末200との通信処理を担うネットワークインターフェイスカード等を想定する。 The communication device 107 is assumed to be a network interface card or the like that is connected to the network 1 and handles communication processing with the target system 10 and the user terminal 200.

なお、セキュリティ対策支援装置100がスタンドアロンマシンとして機能せず、入出力をユーザ端末200経由で行う場合、入力装置105や出力装置106は省略してもよい。 Note that if the security measure support device 100 does not function as a standalone machine and input and output are performed via the user terminal 200, the input device 105 and output device 106 may be omitted.

また、記憶装置101内には、本実施形態のセキュリティ対策支援装置として必要な機能を実装する為のプログラム102に加えて、システムプロファイル125、対策候補DB126が少なくとも記憶されている。ただし、これらデータベースについての詳細は後述する。
<セキュリティ対策の対象システムについて>
ここで、図3A~図4に基づき、本実施形態においてセキュリティ対策が適用される対象システム10の構成例について説明する。
In addition to the program 102 for implementing the functions required for the security countermeasure support device of this embodiment, at least a system profile 125 and a countermeasure candidate DB 126 are stored in the storage device 101. However, details of these databases will be described later.
<Systems subject to security measures>
Here, a configuration example of the target system 10 to which the security measures are applied in this embodiment will be described with reference to FIGS. 3A to 4. FIG.

対象システム10は、インターネットなどのUntrustなOA-NW(Network)と、情報NWと、
制御NWと、ラインNWとで各機器を接続している。情報NWおよび制御NWは有線LAN(Local Area Network)であり、ラインNWはシリアルのピア接続である。
The target system 10 includes an untrusted OA-NW (Network) such as the Internet, an information NW,
Each device is connected via a control network and a line network. The information network and the control network are wired LANs (Local Area Networks), and the line network is a serial peer connection.

情報NWには、監視端末と、セキュリティGW(Gateway)と、監視制御サーバと、情報NW
スイッチとが接続されている。制御NWには、監視制御サーバと、制御NWスイッチと、PLC
(Programmable Logic Controller)とが接続されている。ラインNWは、PLCとローカルHMI(Human Machine Interface)とを接続する。
The information network includes a monitoring terminal, a security gateway (GW), a monitoring control server, and an information network.
The control NW is connected to a monitoring control server, a control NW switch, and a PLC.
(Programmable Logic Controller). The line NW connects the PLC and the local HMI (Human Machine Interface).

監視端末は、監視制御サーバおよびPLCを遠隔操作できる。ローカルHMIは、PLCを操作
できる。
The monitoring terminal can remotely operate the monitoring control server and the PLC. The local HMI can operate the PLC.

図3Aの波線矢印に示すように、攻撃パスAP11は、セキュリティGW→監視端末→監視制御サーバ→PLCという経路をたどって、PLCを攻撃目標(資産ポイント)とする不正アクセスを示す。このように、攻撃パスは、始点ポイント(セキュリティGW)から終点ポイント(PLC)までの各機器(ポイント、コンポーネントとも呼ばれる)を順に通過する。 As shown by the wavy arrow in Figure 3A, attack path AP11 follows the route from security gateway → monitoring terminal → monitoring control server → PLC, and indicates unauthorized access with the PLC as the attack target (asset point). In this way, the attack path passes through each device (also called points or components) in order from the starting point (security gateway) to the ending point (PLC).

また、図3AのセキュリティGW[6.44]の「6.44」という各機器に付属する数値は、その機器のポイント重要度を示す。ポイント重要度とは、その数値が高いほど重点的にセキュリティ強度を高める必要があるパラメータであり、事前に機器ごとに管理者が入力しておく。 The number "6.44" attached to each device in the Security GW[6.44] in Figure 3A indicates the point importance of that device. Point importance is a parameter that indicates the importance of increasing security strength as the number increases, and is entered by the administrator for each device in advance.

ポイント重要度は、例えば、業務におけるそのポイントの資産としての重要度であり、顧客の個人情報などの重要な機密情報を保管する機器は数値が高くなる。または、ポイント重要度は、ネットワークシステムのレイアウト(接続構成)から導き出せる攻撃者が攻撃しやすい度合いであり、数値が大きいほど攻撃者からのアクセスが容易な場所に設置されている。 Point importance, for example, is the importance of that point as an asset in business, and devices that store important confidential information such as customer personal information have a higher value. Alternatively, point importance is the degree to which an attacker can launch an attack, which can be derived from the layout (connection configuration) of the network system, and the higher the value, the easier it is for an attacker to access the device.

攻撃者からの攻撃を守る側の視点では、攻撃パスAP11「セキュリティGW→監視端末→監視制御サーバ→PLC」のうち、経路途中のセキュリティGWか、監視端末か、監視制御サー
バかの少なくとも1つのポイントで、攻撃を遮断(キル)する必要がある。
From the perspective of the side defending against attacks from attackers, it is necessary to block (kill) the attack at at least one point along the attack path AP11 "security gateway → monitoring terminal → monitoring control server → PLC", either at the security gateway, the monitoring terminal, or the monitoring control server.

つまり、攻撃パスを構成する候補ポイントの集合から、少なくとも1つのキルポイントを設定することで、その攻撃パスを経由する攻撃を遮断(キルチェーン)できる。 In other words, by setting at least one kill point from the set of candidate points that make up an attack path, it is possible to block attacks that pass through that attack path (kill chain).

ここで、攻撃パスAP11に着目すれば、例えば始点ポイントのセキュリティGWをキルポイントとして攻撃の遮断に成功すれば、その後段の監視端末や監視制御サーバには不正アクセスは流れないので、過剰なセキュリティ対策を行わなくてもよいことになる。つまり、
キルポイントの選別により費用対効果の高いセキュリティ対策を提案できる。
Here, if we focus on the attack path AP11, for example, if the attack is successfully blocked by using the security gateway at the starting point as the kill point, unauthorized access will not reach the monitoring terminal or monitoring control server at the subsequent stages, so there is no need to take excessive security measures. In other words,
By selecting kill points, we can propose cost-effective security measures.

さらに、攻撃パスの分類を説明する。攻撃者の攻撃は、不正アクセスなどの計算機上の論理的な攻撃と、攻撃者自身が敷地へ侵入して機器を破壊するなどの物理的な攻撃とに分類される。よって、図3Aの攻撃パスAP11などの、始点ポイントから終点ポイントまでの攻撃がすべて論理的な攻撃となる攻撃パスを「論理パス」と呼ぶ。 Furthermore, we will explain the classification of attack paths. Attackers' attacks are classified into logical attacks on computers, such as unauthorized access, and physical attacks, such as the attacker invading a premises and destroying equipment. Therefore, an attack path in which the attacks from the start point to the end point are all logical, such as attack path AP11 in Figure 3A, is called a "logical path."

一方、始点ポイントから終点ポイントまでの攻撃がすべて物理的な攻撃となる攻撃パスを「物理パス」と呼び、物理パスと論理パスとを組み合わせた攻撃パスを「論物パス」と呼ぶ。 On the other hand, an attack path in which all attacks from the start point to the end point are physical attacks is called a "physical path," and an attack path that combines a physical path and a logical path is called a "logical path."

図3Bは、図3Aの対象システム10上の論理パスの説明図である。同じ対象システムでも、重要な資産ポイントが複数個所に分散されていることもある。図3Bでは、監視端末を狙う攻撃パスAP21と、監視制御サーバを狙う攻撃パスAP22と、PLCを狙う攻撃パスAP23とが示される。 Figure 3B is an explanatory diagram of logical paths on the target system 10 of Figure 3A. Even in the same target system, important asset points may be distributed across multiple locations. Figure 3B shows attack path AP21 targeting the monitoring terminal, attack path AP22 targeting the monitoring control server, and attack path AP23 targeting the PLC.

ここで、攻撃パスが通過するポイントの「段数」を定義する。攻撃パスAP21は、OA-NW
→セキュリティGW→情報NW→監視端末を順にたどるので、OA-NWより後のポイントは「セ
キュリティGW、情報NW、監視端末」の合計3つである。よって、攻撃パスAP21の段数は3段である。
Here, we define the number of stages that the attack path passes through.
Since the attack path is traced in the order of security gateway → information network → monitoring terminal, the points after the OA-NW are a total of three: security gateway, information network, and monitoring terminal. Therefore, the number of stages in the attack path AP21 is three.

攻撃パスAP22は、OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバを順に
たどる。しかし、「監視端末→監視制御サーバ」は遠隔操作が可能なので0段とする。よって、攻撃パスAP22の段数は3段である。
The attack path AP22 follows the order OA-NW → security GW → information NW → monitoring terminal → monitoring control server. However, since "monitoring terminal → monitoring control server" can be remotely controlled, it is counted as 0 steps. Therefore, the number of steps of the attack path AP22 is 3.

攻撃パスAP23は、OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバ→制御NW→PLCを順にたどる。よって、攻撃パスAP23の段数は5段である。このように、段数が多い攻撃パスほど資産ポイントまでの攻撃手順を多く必要とするので、攻撃が困難な攻撃パスである。 Attack path AP23 follows the order OA-NW → security GW → information NW → monitoring terminal → monitoring control server → control NW → PLC. Therefore, the number of stages in attack path AP23 is five. In this way, the more stages an attack path has, the more attack steps are required to reach the asset point, making it a more difficult attack path.

図4は、図3Aの対象システム10上の論理パスの説明図である。 図3Aの対象システム10は、物理構成として、生産棟320に収容されている。生産棟320は、管理外区域の玄関310との間に、生産棟扉311により守られている。 Figure 4 is an explanatory diagram of the logical path on the target system 10 of Figure 3A. The target system 10 of Figure 3A is housed in a production building 320 as a physical configuration. The production building 320 is protected by a production building door 311 between it and the entrance 310 of the uncontrolled area.

生産棟320内の機械室330の内部には、ローカルHMIと、PLCと、制御NWスイッチとが収容され、機械室扉331により守られている。 The machine room 330 in the production building 320 houses a local HMI, a PLC, and a control NW switch, and is protected by a machine room door 331.

生産棟320内の監視室340の内部には、セキュリティGWと、監視端末と、サーバラック342とが収容され、監視室扉341により守られている。サーバラック342の内部には、監視制御サーバと、情報NWスイッチとが収容され、サーバラック扉343により守られている。 The monitoring room 340 in the production building 320 houses a security gateway, a monitoring terminal, and a server rack 342, and is protected by a monitoring room door 341. The server rack 342 houses a monitoring control server and an information network switch, and is protected by a server rack door 343.

攻撃者は、自身で玄関310→監視室340まで出向き、監視端末を手元で操作する(実線矢印の物理パスAP31)。そして、攻撃者は、手元で操作する監視端末を介して、監視制御サーバ→PLCへと不正アクセスを行う(波線矢印の論理パスAP32)。 The attacker goes to the entrance 310 → monitoring room 340 himself and operates the monitoring terminal at hand (physical path AP31 indicated by a solid arrow). The attacker then performs unauthorized access to the monitoring control server → PLC via the monitoring terminal he operates at hand (logical path AP32 indicated by a wavy arrow).

このように、論物パスは、物理パスAP31と論理パスAP32とを組み合わせて構成される。 In this way, the logical-physical path is constructed by combining the physical path AP31 and the logical path AP32.

図5A、図5Bは、攻撃パスに沿って行われる攻撃手順を示すテーブルである。テーブル511は、図3Aの攻撃パスAP11の詳細な攻撃手順を示す。テーブル512は、図4
の論物パス(物理パスAP31+論理パスAP32)の詳細な攻撃手順を示す。
5A and 5B are tables showing attack procedures along attack paths. Table 511 shows the detailed attack procedures of attack path AP11 in FIG. 3A. Table 512 shows the detailed attack procedures of attack path AP11 in FIG. 4.
The detailed attack procedure for the logical path (physical path AP31 + logical path AP32) is shown below.

ここで、テーブル511、512の「ID」列は、説明用に各攻撃手順を区別するために付加した。テーブル511、512を比較すると、監視端末[6.44]の乗っ取り(ID=A06)までは、攻撃手順が異なるものの、ID=A06以降の攻撃手順は共通となる。よって、監視端末[6.44]をキルポイントに設定することで、双方の攻撃パスを1か所で同時に遮断でき、費用対効果が高まる。 The "ID" columns in tables 511 and 512 have been added here to distinguish between the different attack procedures for explanatory purposes. Comparing tables 511 and 512, we can see that while the attack procedures differ up until the takeover of the monitoring terminal [6.44] (ID=A06), the attack procedures from ID=A06 onwards are the same. Therefore, by setting the monitoring terminal [6.44] as the kill point, both attack paths can be blocked at one location at the same time, improving cost-effectiveness.

このように、費用対効果の高いセキュリティ対策を提案するためには、対象システムの中から重点的に対策を行うキルポイントを絞り込むことが有効となる。 In this way, in order to propose cost-effective security measures, it is effective to narrow down the kill points within the target system on which to focus countermeasures.

「パス優先順位」とは、対象システムで想定される様々な攻撃パスに対して、どの攻撃パスから順に対策すべきかを示す、パス単位での優先順位である。 "Path priority" refers to the priority order on a path-by-path basis, indicating the order in which countermeasures should be taken against various attack paths anticipated in the target system.

「ポイント優先順位」とは、攻撃パスを構成する様々な候補ポイントに対して、どの候補ポイントから順にキルポイントとして対策すべきかを示す、ポイント単位での優先順位である。 "Point priority" is a priority order on a point-by-point basis that indicates the order in which the various candidate points that make up an attack path should be targeted as kill points.

なお、パス優先順位もポイント優先順位も、第1位、第2位、…の順に数値が小さいほど先に対策されるものとして優先的に選択される。 In addition, for both pass priority and point priority, the smaller the number, the earlier it will be addressed, so it is selected in order of 1st, 2nd, ...

以下、パス優先順位の計算方法を説明する。パス優先順位は、例えば、以下の(指針1)、(指針2)、(指針3)の順に決定される。 The method for calculating path priority is explained below. For example, path priority is determined in the following order: (Guideline 1), (Guideline 2), (Guideline 3).

(指針1)「論物パス」よりも「論理パス」を優先させる。物理的な攻撃よりも論理的な攻撃のほうが攻撃者の攻撃コストが低いからである。 (Guideline 1) Prioritize the "logical path" over the "physical path." This is because a logical attack has a lower attack cost than a physical attack.

(指針2)前記の(指針1)でパス優先順位が同じ場合、その物理パスが通過する経路の物理セキュリティ対策の保護レベルが低いほど、優先させる。物理セキュリティ対策の保護レベルとは、例えばLv.1~3とし、レベルの数値が高いほど現時点ではセキュアであ
るため、対策を後回しにしてもよい。
(Guideline 2) When the path priority order is the same in (Guideline 1) above, the lower the protection level of the physical security measures for the route through which the physical path passes, the higher the priority. The protection level of physical security measures can be, for example, Level 1 to 3, and the higher the level number, the more secure the current situation is, so measures can be postponed.

この保護レベルは、侵入開始位置(図3では生産棟扉311)からの距離が長いほど高くしてもよいし、機械室扉331や監視室扉341などの障壁度合い(扉の素材となる金属の強度や、扉の通過に要する生体認証などの強度)に応じて設定してもよい。 This protection level may be set higher the longer the distance from the starting point of entry (production building door 311 in Figure 3), or may be set according to the barrier strength of the machine room door 331, monitoring room door 341, etc. (strength of the metal used to make the door, strength of biometric authentication required to pass through the door, etc.).

(指針3)前記の(指針1)および(指針2)でパス優先順位が同じ場合、始点ポイントから終点ポイントまでの距離の短さ(段数)が小さいほど、優先させる。段数が小さいほうが攻撃者の攻撃コストが低いからである。 (Guideline 3) When the path priority is the same in (Guideline 1) and (Guideline 2) above, the shorter the distance from the start point to the end point (the number of steps), the higher the priority. This is because the smaller the number of steps, the lower the attack cost for an attacker.

この指針1~3に従い、例えば、図3A~図4の対象システムで想定される様々な攻撃パスへのパス優先順位は、以下のように第1位~第8位として順位付けされる。なお、[
論理へ]の表記は、この表記より前が物理パスで、この表記より後が論理パスである攻撃
の切り替えポイントを示す。まず、同率の第1位は、ともに論理パスであり段数も同じである。
According to the guidelines 1 to 3, for example, the path priorities for various attack paths assumed in the target systems of FIGS. 3A to 4 are ranked from 1st to 8th as follows.
The notation "to logic" indicates the switching point of the attack, where the path before this notation is a physical path and the path after this notation is a logical path. First, the first place tied is both a logical path and has the same number of steps.

・第1位:[0段(物理)+3段(論理)=計3段]=OA-NW→セキュリティGW(6.44)→情報NW(情報NWスイッチ)→監視制御サーバ(9.54)
・第1位:[0段(物理)+3段(論理)=計3段]=OA-NW→セキュリティGW(6.44)→情報NW(情報NWスイッチ)→監視端末(6.44)=監視制御サーバ(9.54)
次に第3位~第6位は、ともに保護レベルLV2の論物パスであり、その段数が少ないほ
ど上位となる。
・1st place: [0th level (physical) + 3th level (logical) = 3 levels in total] = OA-NW → Security GW (6.44) → Information NW (Information NW switch) → Monitoring and control server (9.54)
・1st place: [0th level (physical) + 3th level (logical) = 3 levels in total] = OA-NW → Security GW (6.44) → Information NW (Information NW switch) → Monitoring terminal (6.44) = Monitoring control server (9.54)
Next, third to sixth place are all logical-physical paths with protection level LV2, and the fewer the number of steps, the higher the ranking.

・第3位:[LV2:4段(物理)+1段(論理)=計5段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→[論理へ]→監視端末(6.44)=監視制御サーバ(9.54)
・第4位:[LV2:4段(物理)+3段(論理)=計7段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→[論理へ]→セキュリティGW(6.44)→情報NW→監視制御サーバ(9.54)
・第4位:[LV2:6段(物理)+1段(論理)=計7段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→ラック扉→サーバラック→[論理へ]→監視制御サーバ(9.54)
・第6位:[LV2:6段(物理)+2段(論理)=計8段]=(管理外区域)→玄関→生産棟→監視室扉→監視室→ラック扉→サーバラック→[論理へ]→情報NWスイッチ(6.44)→監視制御サーバ(9.54)
さらに、第7,8位は、ともに保護レベルLV3の論物パスであり、その段数が少ないほ
ど上位となる。
・3rd place: [LV2: 4 steps (physical) + 1 step (logical) = 5 steps in total] = (uncontrolled area) → entrance → production building → monitoring room door → monitoring room → [to logic] → monitoring terminal (6.44) = monitoring control server (9.54)
・4th place: [LV2: 4 levels (physical) + 3 levels (logical) = 7 levels in total] = (uncontrolled area) → entrance → production building → monitoring room door → monitoring room → [to logic] → security GW (6.44) → information NW → monitoring control server (9.54)
・4th place: [LV2: 6 levels (physical) + 1 level (logical) = 7 levels in total] = (uncontrolled area) → entrance → production building → monitoring room door → monitoring room → rack door → server rack → [to logic] → monitoring control server (9.54)
6th place: [LV2: 6 levels (physical) + 2 levels (logical) = 8 levels in total] = (uncontrolled area) → entrance → production building → monitoring room door → monitoring room → rack door → server rack → [to logic] → information network switch (6.44) → monitoring control server (9.54)
Furthermore, the 7th and 8th places are both logical and physical passes with protection level LV3, and the lower the number of steps, the higher the ranking.

・第7位:[LV3:4段(物理)+2段(論理)=計6段]=(管理外区域)→玄関→生産棟→機械室扉→機械室→[論理へ]→制御NWスイッチ(9.21)→監視制御サーバ(9.54)
・第8位:[LV3:4段(物理)+4段(論理)=計8段]=(管理外区域)→玄関→生産棟→機械室扉→機械室→[論理へ]→ローカルHMI(4.94)→PLC(9.21)→制御NW→監視制御サーバ(9.54)
<データ構造例>
続いて、本実施形態のセキュリティ対策支援装置100が用いる各種情報について説明する。図6A~図6Cに、本実施形態におけるシステムプロファイル125の一例を示す。
・7th place: [LV3: 4 levels (physical) + 2 levels (logical) = 6 levels in total] = (uncontrolled area) → entrance → production building → machine room door → machine room → [to logic] → control NW switch (9.21) → monitoring control server (9.54)
8th place: [LV3: 4 levels (physical) + 4 levels (logical) = 8 levels in total] = (uncontrolled area) → entrance → production building → machine room door → machine room → [to logic] → local HMI (4.94) → PLC (9.21) → control NW → monitoring control server (9.54)
<Data structure example>
Next, a description will be given of various types of information used by the security measure support device 100 of this embodiment. 6A to 6C show an example of the system profile 125 in this embodiment.

本実施形態のシステムプロファイル125は、セキュリティ対策の対象システム10の論理的及び物理的な構成を記述した情報である。 The system profile 125 in this embodiment is information that describes the logical and physical configuration of the system 10 that is the target of security measures.

このシステムプロファイル125は、例えば、ポイント一覧1251、論理構成プロファイル1252、及び物理構成プロファイル1253から構成される。 This system profile 125 is composed of, for example, a point list 1251, a logical configuration profile 1252, and a physical configuration profile 1253.

このうち図6Aに示すポイント一覧1251は、攻撃パスのポイント名(通過する機器の名称)ごとの属性として、プラットフォーム(HW:Hardware)、プラットフォーム(SW:Software)、属性情報(用途)、および、ポイント重要度を対応付けた構成となっている。 The point list 1251 shown in FIG. 6A is configured to associate the platform (HW: Hardware), platform (SW: Software), attribute information (purpose), and point importance as attributes for each point name (the name of the device through which the attack path passes) of the attack path.

また、図6Bに示す論理構成プロファイル1252は、論理ネットワーク名ごとに、ネットワーク種類、NW制御デバイス、および、接続ポイントを対応付けた構成となっている。 The logical configuration profile 1252 shown in FIG. 6B is configured to associate a network type, a network control device, and a connection point for each logical network name.

また、図6Cに示す物理構成プロファイル1253は、物理エリア名ごとに、属性情報、近接する物理エリア、および、エリア内に設置されるポイントを対応付けた構成となっている。 The physical configuration profile 1253 shown in FIG. 6C is configured to associate each physical area name with attribute information, adjacent physical areas, and points installed within the area.

したがって、セキュリティ対策支援装置100は、システムプロファイル125を参照することで、セキュリティ対策の対象システム10の物理構成および論理構成を把握できる。 Therefore, the security measure support device 100 can understand the physical configuration and logical configuration of the target system 10 for security measures by referring to the system profile 125.

図7に、本実施形態における対策候補DB126の一例を示す。本実施形態の対策候補DB126は、攻撃のポイント及びパターンに応じて定めたセキュリティ対策の候補情報
を格納したデータベースである。
7 shows an example of the countermeasure candidate DB 126 in this embodiment. The countermeasure candidate DB 126 in this embodiment is a database that stores candidate information of security countermeasures determined according to the points and patterns of attacks.

こうした対策候補DB126は、例えば、ポイントの種類ごとに、当該ポイントへの攻撃パターン、及び、その場合の対策候補といったデータを紐付けたレコードの集合体となっている。
<事前処理>
以下、本実施形態におけるセキュリティ対策支援方法の実際手順について図に基づき説明する。以下で説明するセキュリティ対策支援方法に対応する各種動作は、セキュリティ対策支援装置100がメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
Such countermeasure candidate DB 126 is a collection of records that link, for each type of point, data such as an attack pattern against that point and countermeasure candidate in that case.
<Pre-processing>
The actual procedure of the security countermeasure support method in this embodiment will be described below with reference to the drawings. The various operations corresponding to the security countermeasure support method described below are realized by a program that the security countermeasure support device 100 reads into a memory or the like and executes. This program is composed of codes for performing the various operations described below.

まず、本実施形態におけるセキュリティ対策支援方法の事前処理について示す。この事前処理は、セキュリティ対策支援装置100が、記憶装置101のシステムプロファイル125に基づき、攻撃の発生ポイント及びパターンを特定するものである。 First, the pre-processing of the security countermeasure support method in this embodiment is described. In this pre-processing, the security countermeasure support device 100 identifies the point and pattern of an attack based on the system profile 125 of the storage device 101.

その概要は、セキュリティ対策支援装置100が、システムプロファイル125に基づき、対象システム10における保護対象のポイント(資産ポイント)を終点ポイントとし(s1)、攻撃のポイントである始点ポイントから終点ポイントまでの攻撃パスを、攻撃のパターンとして特定(s2)し、また、こうした攻撃パターンに基づき要対策ポイントつまりキルポイントを抽出(s3)するフローとなる。 In summary, the security countermeasure support device 100, based on the system profile 125, sets the point to be protected (asset point) in the target system 10 as the end point (s1), identifies the attack path from the start point, which is the point of the attack, to the end point as an attack pattern (s2), and extracts points requiring countermeasures, or kill points, based on this attack pattern (s3).

より具体的には、以下のとおりである。セキュリティ対策支援装置100は、システムプロファイル125と、所定の評価プロファイルに基づき、今回提案すべきセキュリティ対策の問題を把握する。上述の評価プロファイルとは、例えば、上述のポイントの判定情報、および、攻撃者能力情報であり、記憶装置101にて予め保持するものとする。 More specifically, it is as follows. The security measure support device 100 identifies the problems with the security measures to be proposed based on the system profile 125 and a specified evaluation profile. The above-mentioned evaluation profile is, for example, the judgment information of the above-mentioned points and attacker capability information, and is stored in advance in the storage device 101.

ポイントの判定情報とは、ポイント重要度を計算するための情報である。例えば、以下の「甚大」が最高値で、「中程度」、「軽微」の順にポイント重要度が下がるものとなっている。 Point judgment information is information used to calculate point importance. For example, the highest value is "severe," followed by "moderate" and "minor," in that order.

・甚大:攻撃成功時に極めて大きな業務影響を与える(人災・大規模な事業損失)。 - Severe: If the attack is successful, it will have an extremely large impact on operations (man-made disaster/large-scale business losses).

・中程度:攻撃成功時に中程度の業務影響を与える(小規模の事業損失)。 - Medium: A successful attack will have a moderate impact on operations (small business loss).

・軽微:攻撃成功しても大きな業務影響はない。 -Minor: Even if the attack is successful, there will be no significant impact on business operations.

また、攻撃者能力情報とは、上述のポイントに対して想定される攻撃者の能力を示す。以下では、レベルが高いほど能力が高い攻撃者である。 The attacker capability information indicates the attacker's expected capabilities in relation to the points mentioned above. Below, the higher the level, the more capable the attacker is.

・レベル3:重度の悪意・高度の攻撃スキルを持つ攻撃者。 - Level 3: An attacker with severe malice and advanced attack skills.

・レベル2:軽度の悪意・単純な攻撃スキルを持つ攻撃者。 -Level 2: Attackers with mild malice and simple attack skills.

・レベル1:誤操作・悪戯レベルの攻撃。 - Level 1: Misoperation/prank level attack.

例えば、河川などの一般的な地理しか記載されていない地図データの記憶装置を、上述のポイントとして守る場合、そのポイントを攻撃してもメリットが少ないので、レベル3の攻撃者がリスクを冒して攻撃してくる可能性は低い。よって、レベル1の攻撃者だけを防ぐ程度の軽度なセキュリティ対策で済ませることで、対策コストを削減できる。 For example, if a storage device for map data that only contains general geographical information such as rivers is protected as the point mentioned above, there is little benefit to attacking that point, so it is unlikely that a level 3 attacker would take the risk to attack. Therefore, the cost of countermeasures can be reduced by using only light security measures that only protect against level 1 attackers.

また、セキュリティ対策支援装置100は、対象システム10に点在する各ポイントのうち、どのポイントを資産ポイントとして保護対象とするかを、上述の評価プロファイル(ポイント重要度、攻撃者能力)に従って指定する。 The security measure support device 100 also specifies which of the points scattered throughout the target system 10 should be protected as asset points according to the above-mentioned evaluation profile (point importance, attacker capability).

例えば、ポイント重要度が「甚大」に該当するポイントだけを資産ポイントとすることで、対策コストを大きく削減できる。または、対象システム10の管理者は、対象システム10から個別のポイントを資産ポイントとして、直接指定するとしてもよい。また、この管理者は、指定された各資産ポイントについて、どの程度の攻撃者能力から守れればよいかの指定も行う。例えば、銀行口座情報の記憶装置を資産ポイントとして守る場合、レベル1、2だけでなく、レベル2の攻撃者からも防げる堅牢なセキュリティ対策を行う必要がある。 For example, by setting only points with a point importance of "very high" as asset points, countermeasure costs can be significantly reduced. Alternatively, the administrator of the target system 10 may directly specify individual points as asset points from the target system 10. The administrator also specifies the degree of attacker capability that each specified asset point needs to be protected from. For example, when protecting a storage device containing bank account information as an asset point, it is necessary to implement robust security measures that can protect against not only level 1 and 2 attackers, but also level 2 attackers.

セキュリティ対策支援装置100は、記憶装置101にて予め保持する攻撃パターンの情報(不図示)を参照し、上述の処理で指定された各資産ポイントまでの攻撃パス(攻撃手順)を生成する。 The security countermeasure support device 100 references attack pattern information (not shown) stored in advance in the storage device 101 and generates an attack path (attack procedure) to each asset point specified in the above process.

上述の攻撃パターンの情報は、攻撃パスに沿って行われる攻撃手順を示す情報である。こうした情報は、攻撃パスの詳細な攻撃手順と、論物パス(物理パス+論理パス)の詳細な攻撃手順を示す。こうした攻撃パスの情報に関しては、既に述べたとおりである。 The attack pattern information described above is information that indicates the attack procedures that are performed along the attack path. This information indicates the detailed attack procedures for the attack path and the detailed attack procedures for the logical-physical path (physical path + logical path). The attack path information has already been described.

なお、攻撃パスの生成処理は、(例えば、攻撃パス間の優先順位に従い)、上記のように既に指定したすべての資産ポイントを終点ポイントとする攻撃パスを生成するまで、資産ポイントごとに実行される。 The attack path generation process is performed for each asset point (e.g., according to the priority order between the attack paths) until attack paths are generated with all asset points already specified as above as end points.

セキュリティ対策支援装置100は、上述のように生成した攻撃パスごとに、クリティカルな(効果的に攻撃パスをキルできる)候補ポイントをキルポイントすなわち要対策ポイントとして決定する。 For each attack path generated as described above, the security measure support device 100 determines the critical candidate points (those that can effectively kill the attack path) as kill points, i.e., points requiring countermeasures.

以下、要対策ポイントの決定アルゴリズムを、(アルゴリズム1)~(アルゴリズム4)として4つ例示する。 Below are four examples of algorithms for determining points requiring countermeasures: (Algorithm 1) to (Algorithm 4).

(アルゴリズム1)として、セキュリティ対策支援装置100は、各攻撃パスの攻撃起点に最も近いポイント(始点ポイント)を、要対策ポイントとする。これにより、不正アクセスが水際対策により社内システムの入り口で適切に遮断されるので、社内システム内の広範囲をセキュアにできる。 As (algorithm 1), the security measure support device 100 determines the point (starting point) closest to the attack origin of each attack path as the point requiring countermeasures. This allows unauthorized access to be appropriately blocked at the entrance to the in-house system by border control measures, making it possible to secure a wide area within the in-house system.

例えば、論理パス「OA-NW→セキュリティGW(6.44)→情報NW(情報NWスイッチ)→監視制
御サーバ(9.54)」については、セキュリティ対策支援装置100は、始点ポイントから順に、1位のセキュリティGW、2位の情報NW(情報NWスイッチ)、3位の監視制御サーバの順にポイント優先順位を設定する。そして、セキュリティ対策支援装置100は、ポイント優先順位が1位のセキュリティGWを、要対策ポイントとする。
For example, for the logical path "OA-NW → security GW (6.44) → information NW (information NW switch) → monitoring control server (9.54)", the security measure support device 100 sets the point priority in the order from the starting point, namely, the security GW in first place, the information NW (information NW switch) in second place, and the monitoring control server in third place. Then, the security measure support device 100 sets the security GW with the first point priority as the point requiring countermeasures.

また、物理パス→論理パスを接続する論物パスについては、その論物パスに含まれる物理パスの保護レベルが高いほど、その後に続く論理パスがよりセキュアであるとする。よって、図4では、サーバラック342を開けずにその外側の監視端末からPLCへの論理パ
スを開始する第1の論物パスを、サーバラック342を開けて監視制御サーバに物理攻撃してからPLCへの論理パスを開始する第2の論物パスよりもパス優先順位を優先させる。
In addition, for a logical-physical path connecting a physical path to a logical path, the higher the protection level of the physical path included in the logical-physical path, the more secure the subsequent logical path is. Therefore, in Fig. 4, a first logical-physical path that starts a logical path from a monitoring terminal outside the server rack 342 to a PLC without opening the server rack 342 is given a higher path priority than a second logical-physical path that starts a logical path to a PLC after opening the server rack 342 and physically attacking the monitoring control server.

その結果、セキュリティ対策支援装置100は、第1の論物パスの始点ポイント(監視
端末)を、第2の論物パスの始点ポイント(監視制御サーバ)よりもポイント優先順位を先の順位として要対策ポイントに選ばれやすくする。
As a result, the security measure support device 100 makes the starting point of the first logical-physical path (monitoring terminal) more likely to be selected as a point requiring countermeasures by giving it a higher point priority than the starting point of the second logical-physical path (monitoring control server).

(アルゴリズム2)として、セキュリティ対策支援装置100は、複数の攻撃パスが集約するポイント(図4では監視端末[6.44]が該当する)を、要対策ポイントとする。また、集約するポイントが複数個所存在するときには、集約する攻撃パスの数が多いポイントほど優先的に要対策ポイントとする。これにより、複数の攻撃パスを一か所で一括して遮断してセキュアにできるので、費用対効果が高まる。 In (algorithm 2), the security measure support device 100 designates a point where multiple attack paths converge (in FIG. 4, this corresponds to the monitoring terminal [6.44]) as a point requiring countermeasures. In addition, when there are multiple consolidation points, the point that consolidates the greater number of attack paths is given priority in designating the point requiring countermeasures as a point requiring countermeasures. This makes it possible to block multiple attack paths collectively in one location, thereby improving cost-effectiveness.

例えば、図3Bでは、以下の3つの攻撃パスを示した。 For example, Figure 3B shows the following three attack paths:

・攻撃パスAP21「OA-NW→セキュリティGW→情報NW→監視端末」
・攻撃パスAP22「OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバ」
・攻撃パスAP23「OA-NW→セキュリティGW→情報NW→監視端末→監視制御サーバ→制御NW→PLC」
この場合、ポイント優先順位は、以下の通りである。
・Attack path AP21 "OA-NW → Security GW → Information NW → Monitoring terminal"
・Attack path AP22 "OA-NW → Security GW → Information NW → Monitoring terminal → Monitoring control server"
・Attack path AP23: "OA-NW → Security GW → Information NW → Monitoring terminal → Monitoring control server → Control NW → PLC"
In this case, the points priority is as follows:

[第1位]セキュリティGW,監視端末(攻撃パスAP21,AP22,AP23が使用)
[第2位]監視制御サーバ(攻撃パスAP22,AP23が使用
[1st place] Security GW, monitoring terminal (used by attack paths AP21, AP22, and AP23)
[Second place] Monitoring and control server (used by attack paths AP22 and AP23)

[第3位]PLC(攻撃パスAP23が使用)
(アルゴリズム3)として、セキュリティ対策支援装置100は、1つの攻撃パスを構成する候補ポイントの集合について、複数の候補ポイントに対して同じ種類の対策が可能な場合、それらの複数の候補ポイントを要対策ポイントとする。
[3rd place] PLC (attack pass used by AP23)
As (Algorithm 3), for a set of candidate points that make up one attack path, if the same type of countermeasure is possible for multiple candidate points, the security measure support device 100 designates those multiple candidate points as points requiring countermeasures.

同じ種類の対策とは、例えば、同じ種類のネットワークOSが稼働している複数のルータに対して、同じセキュリティソフトをインストールする対策である。 An example of a countermeasure of the same type would be to install the same security software on multiple routers running the same type of network OS.

これにより、1つの攻撃パスに対して複数個所の要対策ポイントが設定されるので、1つの攻撃パスを重点的にセキュアにできる。また、同じ種類の対策を複数個所に適用しても、それらに要するコストは一か所の適用からさほど増えないので、費用対効果が高い対策を広範囲に実行できる。 As a result, multiple countermeasure points are set for one attack path, allowing focused security on one attack path. In addition, even if the same type of countermeasure is applied to multiple locations, the cost required for applying it to one location does not increase significantly, making it possible to implement cost-effective countermeasures over a wide area.

(アルゴリズム4)として、セキュリティ対策支援装置100は、対策有無確認票にチェック記入された現在の対策状況を考慮して、要対策ポイントを選定する。この対策有無確認票は、対象システム10におけるポイントごとに、そのポイントへの攻撃手順となる攻撃パターンと、その攻撃パターンに対する対策項目とを対応付けたもので、セキュリティ対策支援装置100が記憶装置101に保持している。また、対策有無確認票は、対策項目ごとに、管理者が現時点での対策の有無を入力するためのチェックボックスが、備えられている。 As (algorithm 4), the security countermeasure support device 100 selects points requiring countermeasures, taking into consideration the current countermeasure status that has been checked on the countermeasures presence/absence confirmation sheet. This countermeasures presence/absence confirmation sheet associates, for each point in the target system 10, an attack pattern that is the procedure for attacking that point with a countermeasure item for that attack pattern, and is stored in the storage device 101 by the security countermeasure support device 100. In addition, the countermeasures presence/absence confirmation sheet is provided with a check box for each countermeasure item, which allows the administrator to input whether or not a countermeasure is currently in place.

セキュリティ対策支援装置100は、チェック前の対策有無確認票を出力装置106で管理者向けに提示し(画面出力し)、チェックボックスにクリック入力させることで入力を受け付けることとなる。 The security countermeasure support device 100 presents the pre-check countermeasure presence/absence confirmation sheet to the administrator on the output device 106 (outputs it on the screen) and accepts input by having the administrator click the check box to enter information.

例えば、セキュリティ対策支援装置100は、上述の対策有無確認票にチェック記入された要対策ポイントの対策状況から攻撃パスごとの保護レベルを求め、保護レベルが低い攻撃パスの候補ポイントから順に、要対策ポイントとして選択する。 For example, the security measure support device 100 determines the protection level for each attack path from the countermeasure status of the countermeasure-requiring points that have been checked on the countermeasure availability confirmation sheet described above, and selects the candidate points for the attack path with the lowest protection level as countermeasure-requiring points.

これにより、複数の攻撃パスに対してまんべんなく対策することで、費用対効果を向上
させる。
This improves cost-effectiveness by providing comprehensive protection against multiple attack paths.

上述のように要対策ポイントを抽出した具体的な例を、図9、図10に示す。図9で例示する要対策ポイントは、抽出した攻撃パスにおける各ポイントでの攻撃パターンを定義したシナリオ1~シナリオ3において、その重要度等に応じて抽出したポイントをグレーで強調表示している。 Specific examples of points requiring countermeasures extracted as described above are shown in Figures 9 and 10. The points requiring countermeasures shown in Figure 9 are highlighted in gray based on their importance, etc., in scenarios 1 to 3, which define the attack patterns at each point in the extracted attack path.

また、図10では、そうした要対策ポイントの一覧を示している。この一覧の各レコードすなわち要対策ポイントの情報としては、要対策ポイントの名称(例:ユーザ端末、情報LAN)、攻撃パターン名、及び重大度、を規定している。
<フロー例>
以下、本実施形態におけるセキュリティ対策支援方法の実際手順について図に基づき説明する。以下で説明するセキュリティ対策支援方法に対応する各種動作は、セキュリティ対策支援装置100がメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
10 shows a list of such points requiring countermeasures. Each record in the list, i.e., the information of a point requiring countermeasure, specifies the name of the point requiring countermeasures (e.g., user terminal, information LAN), the name of the attack pattern, and the severity.
<Flow example>
The actual procedure of the security countermeasure support method in this embodiment will be described below with reference to the drawings. The various operations corresponding to the security countermeasure support method described below are realized by a program that the security countermeasure support device 100 reads into a memory or the like and executes. This program is composed of codes for performing the various operations described below.

図10は、本実施形態におけるセキュリティ対策支援方法のフロー例を示す図である。この場合、セキュリティ対策支援装置100は、上記した要対策ポイントの一覧(対策すべき資産と判定されたポイントとそこへの攻撃パターンに関する情報)を、対策候補DB126の各レコードに照合し、ポイント種類および攻撃パターンが一致する対策候補を、要対策ポイントごとに特定する(s10)。 Figure 10 is a diagram showing an example of the flow of the security countermeasure support method in this embodiment. In this case, the security countermeasure support device 100 compares the list of points requiring countermeasures described above (points determined to be assets requiring countermeasures and information on attack patterns thereon) with each record in the countermeasure candidate DB 126, and identifies countermeasure candidates that match the point type and attack pattern for each point requiring countermeasure (s10).

こうして特定した対策候補の一覧を図12にて例示する。この一覧では、ポイント及び攻撃パターンの組合せごとに、セキュリティ対策候補が紐付けされた具体例を示している。 An example of a list of candidate countermeasures identified in this way is shown in Figure 12. This list shows a specific example in which candidate security countermeasures are linked to each combination of points and attack patterns.

続いて、セキュリティ対策支援装置100は、s10で特定したセキュリティ対策候補それぞれに関し、各攻撃への対処範囲と実施コストを、当該セキュリティ対策候補に関する候補情報に基づき算定する(s11)。 Next, the security measure support device 100 calculates the scope of measures to be taken against each attack and the implementation costs for each of the candidate security measures identified in s10 based on the candidate information for the candidate security measures (s11).

上述の対処範囲の算定は、当該セキュリティ対策候補が効果を発揮する要対策ポイントの数をカウントする処理となる。例えば、対策候補(1)“ユーザ端末ユーザの教育・訓練”の場合、効果がある要対策ポイントは#1の1つのみであるから、対処範囲も「1」となる。一方、対策候補(2)“ユーザ端末へのマルウェア対策機能の導入・有効化”の場合、効果がある要対策ポイントは#1、#2、#5、の3つであるから、対処範囲も「3」となる。 The calculation of the above-mentioned countermeasure scope is a process of counting the number of points requiring countermeasures for which the candidate security countermeasure will be effective. For example, in the case of candidate countermeasure (1) "education and training of users of user terminals," there is only one countermeasure point requiring countermeasures that will be effective, #1, so the countermeasure scope is also "1." On the other hand, in the case of candidate countermeasure (2) "introduction and activation of malware prevention functions on user terminals," there are three countermeasure points requiring countermeasures that will be effective, #1, #2, and #5, so the countermeasure scope is also "3."

また、実施コストの算定は、セキュリティ対策候補のコスト情報を、対策候補DB126の該当レコード中から抽出する処理となる。例えば、対策候補(1)“ユーザ端末ユーザの教育・訓練”の場合、対策候補DB126における該当レコードによれば、その実施コストは、「¥50k」となる。一方、対策候補(2)“ユーザ端末へのマルウェア対策機能の導入・有効化”の場合、その実施コストは、「¥500k」となる。 Calculation of implementation costs involves a process of extracting cost information for candidate security measures from the corresponding records in candidate measure DB 126. For example, in the case of candidate measure (1) "education and training of users of user terminals," the implementation cost is "¥50k" according to the corresponding record in candidate measure DB 126. On the other hand, in the case of candidate measure (2) "introduction and activation of malware prevention functions in user terminals," the implementation cost is "¥500k."

こうして得た実施コストは、こうした実数値で管理、使用する形態と、一定基準額との比較で、大、中、小、とレベル値で管理、使用する形態のいずれも採用できる。 The implementation costs obtained in this way can be managed and used either as actual values or as level values (large, medium, small) compared to a certain base amount.

また、セキュリティ対策支援装置100は、セキュリティ対策候補それぞれに関して、当該セキュリティ対策候補の適用条件を、候補情報に基づき算定する(s12)。 The security measure support device 100 also calculates the application conditions for each candidate security measure based on the candidate information (s12).

上述の適用条件の算定は、当該セキュリティ対策候補の適用条件を、対策候補DB126の該当レコード中から抽出する処理となる。 The calculation of the application conditions described above involves a process of extracting the application conditions for the candidate security measures from the corresponding records in the candidate measures DB 126.

例えば、対策候補(1)“ユーザ端末ユーザの教育・訓練”の場合、適用条件は「なし」となる。一方、対策候補(2)“ユーザ端末へのマルウェア対策機能の導入・有効化”の場合、適用条件は、「point = “ユーザ端末、OS = “Enterprise OS”、HW = “Host Device”」となる。 For example, for candidate countermeasure (1) "education and training of users of user terminals," the applicable condition is "none." On the other hand, for candidate countermeasure (2) "introduction and activation of malware prevention functions on user terminals," the applicable condition is "point = "user terminal, OS = "Enterprise OS," HW = "Host Device."

また、セキュリティ対策支援装置100は、s11、s12における算定の結果である、対処範囲が大きくかつ実施コスト及び適用条件の数が小さいことに基づき、セキュリティ対策候補間の優先順位を判定する(s13)。勿論、この場合に、対策ポイントの重大度も加味してよい。 The security measure support device 100 also determines the priority order between the candidate security measures based on the results of the calculations in s11 and s12, which show that the scope of the measures is large and the implementation cost and number of application conditions are small (s13). Of course, in this case, the severity of the countermeasure points may also be taken into account.

ただし、対処範囲の大きさ、実施コストの小ささ、及び適用条件の数の少なさ、のいずれの要素を重要視するかは、予め定めたユーザの設定によるものとする。 However, which of the following factors is given more importance: the broad scope of coverage, low implementation costs, or the small number of applicable conditions is determined by the user's predefined settings.

例えば、実施コストの小ささを第一義にセキュリティ対策候補をソートした上で、次なる優先要素である対処範囲が一定基準を越えて大きいもの、更に次なる優先要素である適用条件の数が小さいもの、最後の優先要素である重大度が大きいもの、から順に、優先順位を高位とする、といった運用が想定できる。勿論、こうした運用は一例に過ぎず、どの要素を優先事象とするか、また、そうした優先の程度に応じた運用の仕方について限定しない。 For example, one possible operation would be to first sort security countermeasure candidates by lowest implementation cost, then give priority to measures with a larger scope than a certain standard, followed by measures with a smaller number of applicable conditions, and finally measures with a higher severity. Of course, this is just one example, and there are no limitations on which factors should be prioritized, or how to operate according to the level of priority.

図13で示すセキュリティ対策コストの判定例において、例えば、実施コストの小ささを第一義にセキュリティ対策候補をソートした上で、上位のもので対処範囲が一定基準を越えて大きいものから順に、優先順位を高位とした場合、実施コストが「小」のものである、(1)、(3)、(6)、(7)を特定し、この中で、「効果がある要対策ポイント」の数が多いもので、しかも重大度が高く、かつ適用条件の数が少ないものから選定すると、セキュリティ対策候補の間の、最終的な優先順位は、高いものから順に(3)、(1)、(6)、(7)となる。 In the example of determining security countermeasure costs shown in Figure 13, for example, if security countermeasure candidates are sorted primarily by the lowest implementation cost, and then the top-ranked measures are prioritized according to the scope of measures that exceed a certain threshold, then (1), (3), (6), and (7) are identified as measures with "low" implementation costs. From these, the measures with the largest number of "effective countermeasure points," high severity, and few applicable conditions are selected. The final priority order among the security countermeasure candidates is (3), (1), (6), and (7), from highest to lowest.

また、セキュリティ対策支援装置100は、s13で判定した、前記セキュリティ対策候補の優先順位に関する情報(図14参照)を、出力装置106またはユーザ端末200に出力し(s14)、処理を終了する。 The security measure support device 100 also outputs information regarding the priority order of the candidate security measures determined in s13 (see FIG. 14) to the output device 106 or the user terminal 200 (s14), and ends the process.

以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。 The above describes in detail the best mode for carrying out the present invention, but the present invention is not limited to this, and various modifications are possible without departing from the spirit of the present invention.

こうした本実施形態によれば、対象システム全体に関して、少ない作業工数で費用対効果の高いセキュリティ対策の効率的な選定支援が可能となる。 This embodiment makes it possible to provide support for the efficient selection of cost-effective security measures for the entire target system with minimal work effort.

本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態のセキュリティ対策支援装置において、前記演算装置は、前記セキュリティ対策候補それぞれに関して、当該セキュリティ対策候補の適用条件を前記候補情報に基づきさらに算定し、前記優先順位の判定に際し、前記算定の結果である前記対処範囲が大きくかつ前記実施コスト及び前記適用条件の数が小さいことに基づき、前記セキュリティ対策候補の優先順位を判定するものである、としてもよい。 The description in this specification makes clear at least the following. That is, in the security measure support device of this embodiment, the computing device may further calculate the application conditions of each of the candidate security measures based on the candidate information, and when determining the priority, determine the priority of the candidate security measures based on the result of the calculation that the response scope is large and the implementation cost and the number of application conditions are small.

これによれば、セキュリティ対策におけるカバー範囲(すなわち、対策しうる要対策ポイントの種類数)の広さ、及び実施コストの低さに加えて、導入の容易さに関しても考慮
した優先順位を提案可能となる。ひいては、対象システム全体に関して、少ない作業工数で費用対効果の高いセキュリティ対策の、より効率的な選定支援が可能となる。
This makes it possible to propose priorities that take into consideration the breadth of coverage of security measures (i.e., the number of types of points that can be addressed) and low implementation costs, as well as ease of implementation. As a result, it becomes possible to more efficiently support the selection of cost-effective security measures with fewer man-hours for the entire target system.

また、本実施形態のセキュリティ対策支援装置において、前記演算装置は、前記判定した、前記セキュリティ対策候補の優先順位に関する情報を、所定の装置に出力する処理をさらに実行するものである、としてもよい。 In addition, in the security measure support device of this embodiment, the computing device may further execute a process of outputting information regarding the determined priority order of the candidate security measures to a specified device.

これによれば、セキュリティ対策候補に関する優先順位の情報を、所定ネットワーク経由にて外部のクライアント等に適宜に出力、表示させることが可能となる。ひいては、対象システム全体に関して、少ない作業工数で費用対効果の高いセキュリティ対策の、より効率的な選定支援が可能となる。 This makes it possible to output and display information on the priority order of candidate security measures to external clients via a specified network as appropriate. This in turn makes it possible to more efficiently support the selection of cost-effective security measures for the entire target system with minimal work effort.

また、本実施形態のセキュリティ対策支援装置において、前記演算装置は、前記プロファイル情報に基づき、前記対象システムにおける保護対象の資産ポイントを終点ポイントとし、前記攻撃のポイントである始点ポイントから前記終点ポイントまでの攻撃パスを前記攻撃のパターンとして特定するものである、としてもよい。 In addition, in the security countermeasure support device of this embodiment, the computing device may be configured to, based on the profile information, identify an asset point to be protected in the target system as an end point, and identify an attack path from a start point, which is the point of the attack, to the end point as the attack pattern.

これによれば、プロファイル情報に基づく各攻撃の発生ポイント及びパターンを効率良く特定し、これに基づきセキュリティ対策候補を適宜に特定可能となる。ひいては、対象システム全体に関して、少ない作業工数で費用対効果の高いセキュリティ対策の、より効率的な選定支援が可能となる。 This makes it possible to efficiently identify the occurrence points and patterns of each attack based on the profile information, and to appropriately identify candidate security measures based on this. Ultimately, it becomes possible to more efficiently support the selection of cost-effective security measures with less work and effort for the entire target system.

また、本実施形態のセキュリティ対策支援方法において、前記情報処理装置が、前記セキュリティ対策候補それぞれに関して、当該セキュリティ対策候補の適用条件を前記候補情報に基づきさらに算定し、前記優先順位の判定に際し、前記算定の結果である前記対処範囲が大きくかつ前記実施コスト及び前記適用条件の数が小さいことに基づき、前記セキュリティ対策候補の優先順位を判定する、としてもよい。 In addition, in the security countermeasure support method of this embodiment, the information processing device may further calculate application conditions for each of the candidate security countermeasures based on the candidate information, and when determining the priority, determine the priority of the candidate security countermeasures based on the result of the calculation that the scope of action is large and the implementation cost and the number of application conditions are small.

また、本実施形態のセキュリティ対策支援方法において、前記情報処理装置が、前記判定した、前記セキュリティ対策候補の優先順位に関する情報を、所定の装置に出力する処理をさらに実行する、としてもよい。 In addition, in the security countermeasure support method of this embodiment, the information processing device may further execute a process of outputting information regarding the determined priority order of the candidate security countermeasures to a specified device.

また、本実施形態のセキュリティ対策支援方法において、前記情報処理装置が、前記プロファイル情報に基づき、前記対象システムにおける保護対象の資産ポイントを終点ポイントとし、前記攻撃のポイントである始点ポイントから前記終点ポイントまでの攻撃パスを前記攻撃のパターンとして特定する、としてもよい。 In addition, in the security countermeasure support method of this embodiment, the information processing device may be configured to, based on the profile information, set an asset point to be protected in the target system as an end point, and identify an attack path from a start point, which is the point of the attack, to the end point as the attack pattern.

1 ネットワーク
10 対象システム
100 セキュリティ対策支援装置
101 記憶装置
102 プログラム
103 メモリ
104 演算装置
105 入力装置
106 出力装置
107 通信装置
125 システムプロファイル
126 対策候補DB
200 ユーザ端末
1 Network 10 Target system 100 Security countermeasure support device 101 Storage device 102 Program 103 Memory 104 Arithmetic device 105 Input device 106 Output device 107 Communication device 125 System profile 126 Countermeasure candidate DB
200 User terminal

Claims (6)

セキュリティ対策の対象システムに関するプロファイル情報と、攻撃のポイント及びパターンに応じて定めたセキュリティ対策の候補情報と、を保持する記憶装置と、
前記プロファイル情報に基づき特定される各攻撃の発生ポイント及びパターンに関する情報を、前記候補情報に照合し、前記各攻撃に対するセキュリティ対策候補を特定する処理と、前記セキュリティ対策候補それぞれに関する、前記各攻撃への対処範囲と実施コスト、及び当該セキュリティ対策候補の適用条件を、前記候補情報に基づき算定する処理と、前記算定の結果である前記対処範囲が大きく、かつ前記実施コスト及び前記適用条件の数が小さいことに基づき、前記セキュリティ対策候補の優先順位を判定する処理を実行する演算装置と、
を備えることを特徴とするセキュリティ対策支援装置。
a storage device that holds profile information on a target system for security measures and candidate information on security measures determined according to points and patterns of attacks;
a computing device that executes a process of comparing information on an occurrence point and a pattern of each attack identified based on said profile information with said candidate information to identify candidate security measures for each of said attacks, a process of calculating, for each of said candidate security measures , a response range and an implementation cost for each of said candidate security measures and application conditions for said candidate security measures based on said candidate information, and a process of determining a priority order for said candidate security measures based on the result of said calculation that the response range is large and the implementation cost and the number of said application conditions are small;
A security countermeasure support device comprising:
前記演算装置は、
前記判定した、前記セキュリティ対策候補の優先順位に関する情報を、所定の装置に出力する処理をさらに実行するものである、
ことを特徴とする請求項1に記載のセキュリティ対策支援装置。
The computing device includes:
and further executing a process of outputting information regarding the determined priority order of the security countermeasure candidates to a predetermined device.
2. The security countermeasure support device according to claim 1.
前記演算装置は、
前記プロファイル情報に基づき、前記対象システムにおける保護対象の資産ポイントを終点ポイントとし、前記攻撃のポイントである始点ポイントから前記終点ポイントまでの攻撃パスを前記攻撃のパターンとして特定するものである、
ことを特徴とする請求項1に記載のセキュリティ対策支援装置。
The computing device includes:
Based on the profile information, an asset point to be protected in the target system is set as an end point, and an attack path from a start point, which is a point of the attack, to the end point is identified as a pattern of the attack.
2. The security countermeasure support device according to claim 1.
情報処理装置が、
セキュリティ対策の対象システムに関するプロファイル情報と、攻撃のポイント及びパターンに応じて定めたセキュリティ対策の候補情報と記憶装置にて保持し、
前記プロファイル情報に基づき特定される各攻撃の発生ポイント及びパターンに関する情報を、前記候補情報に照合し、前記各攻撃に対するセキュリティ対策候補を特定する処理と、前記セキュリティ対策候補それぞれに関する、前記各攻撃への対処範囲と実施コスト、及び当該セキュリティ対策候補の適用条件を、前記候補情報に基づき算定する処理と、前記算定の結果である前記対処範囲が大きく、かつ前記実施コスト及び前記適用条件の数が小さいことに基づき、前記セキュリティ対策候補の優先順位を判定する処理、
を実行することを特徴とするセキュリティ対策支援方法。
An information processing device,
profile information on a target system for security measures and candidate information on security measures determined according to points and patterns of attacks are stored in a storage device;
a process of comparing information on an occurrence point and a pattern of each attack identified based on said profile information with said candidate information to identify candidate security measures for each of said attacks; a process of calculating, for each of said candidate security measures, a response range and an implementation cost for each of said candidate security measures, and application conditions for said candidate security measures, based on said candidate information; and a process of determining a priority order for said candidate security measures based on the result of said calculation, that the response range is large and the implementation cost and the number of said application conditions are small.
A security countermeasure support method comprising the steps of:
前記情報処理装置が、
前記判定した、前記セキュリティ対策候補の優先順位に関する情報を、所定の装置に出力する処理をさらに実行する、
ことを特徴とする請求項に記載のセキュリティ対策支援方法。
The information processing device,
and further executing a process of outputting information regarding the determined priority order of the security countermeasure candidates to a predetermined device.
5. The security countermeasure support method according to claim 4 .
前記情報処理装置が、
前記プロファイル情報に基づき、前記対象システムにおける保護対象の資産ポイントを終点ポイントとし、前記攻撃のポイントである始点ポイントから前記終点ポイントまでの攻撃パスを前記攻撃のパターンとして特定する、
ことを特徴とする請求項に記載のセキュリティ対策支援方法。
The information processing device,
Based on the profile information, an asset point to be protected in the target system is set as an end point, and an attack path from a start point, which is a point of the attack, to the end point is identified as a pattern of the attack.
5. The security countermeasure support method according to claim 4 .
JP2021167244A 2021-10-12 2021-10-12 Security measures support device and security measures support method Active JP7682073B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021167244A JP7682073B2 (en) 2021-10-12 2021-10-12 Security measures support device and security measures support method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021167244A JP7682073B2 (en) 2021-10-12 2021-10-12 Security measures support device and security measures support method

Publications (2)

Publication Number Publication Date
JP2023057655A JP2023057655A (en) 2023-04-24
JP7682073B2 true JP7682073B2 (en) 2025-05-23

Family

ID=86054729

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021167244A Active JP7682073B2 (en) 2021-10-12 2021-10-12 Security measures support device and security measures support method

Country Status (1)

Country Link
JP (1) JP7682073B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009110177A (en) 2007-10-29 2009-05-21 Ntt Data Corp Information security measure decision support apparatus and method, and computer program
JP2018077597A (en) 2016-11-08 2018-05-17 株式会社日立製作所 Security measure planning support system and method
JP2020198027A (en) 2019-06-05 2020-12-10 富士通株式会社 Specification program, device and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009110177A (en) 2007-10-29 2009-05-21 Ntt Data Corp Information security measure decision support apparatus and method, and computer program
JP2018077597A (en) 2016-11-08 2018-05-17 株式会社日立製作所 Security measure planning support system and method
JP2020198027A (en) 2019-06-05 2020-12-10 富士通株式会社 Specification program, device and method

Also Published As

Publication number Publication date
JP2023057655A (en) 2023-04-24

Similar Documents

Publication Publication Date Title
Madhavram et al. AI-driven threat detection: Leveraging big data for advanced cybersecurity compliance
Laszka et al. On the economics of ransomware
US11706248B2 (en) Aggregation and flow propagation of elements of cyber-risk in an enterprise
CN110598404B (en) Security risk monitoring method, monitoring device, server and storage medium
JP7213626B2 (en) Security measure review tool
US8739290B1 (en) Generating alerts in event management systems
White et al. The NIST cybersecurity framework
Dalal et al. AI Powered Threat Hunting in SAP and ERP Environments: Proactive Approaches to Cyber Defense
Kostiuk et al. A system for assessing the interdependencies of information system agents in information security risk management using cognitive maps
Alazab et al. Using response action with intelligent intrusion detection and prevention system against web application malware
JP7384208B2 (en) Security risk analysis support device, method, and program
CN117692187B (en) Vulnerability restoration priority ordering method and device based on dynamics
EP3132569A1 (en) Rating threat submitter
US12062098B2 (en) Systems and methods for detecting and mitigating cyber security threats
CN117857121B (en) A scenario-based self-learning method and system for detecting malicious requests
Paddalwar et al. Cyber threat mitigation using machine learning, deep learning, artificial intelligence, and blockchain
Dhaiya et al. Optimizing API security in FinTech through genetic algorithm based machine learning model
KR20230059293A (en) Cybersecurity risk assessment system based on blockade and defense level analysis and method thereof
WO2024188477A1 (en) A machine-learning-based cyber-attack susceptibility detection and/or monitoring system providing quantitative measures for a system&#39;s cyber-attack susceptibility and method thereof
JP7682073B2 (en) Security measures support device and security measures support method
Wendt The Cybersecurity Trinity
US20140359780A1 (en) Anti-cyber attacks control vectors
KR101081875B1 (en) Preliminary warning system for information system risk and its method
CN105912927B (en) System and method for generating application control rule
JP7465835B2 (en) SECURITY MEASURE SUPPORT DEVICE AND SECURITY MEASURE SUPPORT METHOD

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20241218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250430

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250513

R150 Certificate of patent or registration of utility model

Ref document number: 7682073

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150