JP7685929B2 - Attack scenario analysis device and attack scenario analysis method - Google Patents
Attack scenario analysis device and attack scenario analysis method Download PDFInfo
- Publication number
- JP7685929B2 JP7685929B2 JP2021170652A JP2021170652A JP7685929B2 JP 7685929 B2 JP7685929 B2 JP 7685929B2 JP 2021170652 A JP2021170652 A JP 2021170652A JP 2021170652 A JP2021170652 A JP 2021170652A JP 7685929 B2 JP7685929 B2 JP 7685929B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- scenario
- information
- attacker
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、攻撃シナリオ分析装置及び攻撃シナリオ分析方法に関するものである。 The present invention relates to an attack scenario analysis device and an attack scenario analysis method.
近年、サイバー攻撃の脅威は従来の情報システムに留まらず、産業分野におけるコンピュータシステム(産業制御システム)でも顕在化している。 In recent years, the threat of cyber attacks has not only emerged in traditional information systems, but also in computer systems in the industrial sector (industrial control systems).
一般的に、産業制御制御システムで稼働するコンピュータ機器のライフサイクルは情報システムと比べて長期に渡る。そのため、ベンダサポートが終了したレガシーOS(Operating System)やソフトウェアが現役で稼働していることも少なくない。 Generally, the life cycle of computer equipment used in industrial control systems is longer than that of information systems. For this reason, it is not rare for legacy operating systems (OS) and software that are no longer supported by their vendors to still be in use.
また、可用性の観点からセキュリティパッチを安易に適用することも難しいため、セキュリティ面では情報システムと比べて多くの脆弱性を抱えている場合が多い。 In addition, from the perspective of availability, it is difficult to apply security patches easily, so in terms of security, they often have more vulnerabilities than information systems.
一方で、生産効率向上等を目的としてIoT(Internet of Things)技術が積極的に導入され、インターネットを介して様々なシステムと相互接続されるケースが増えた結果、産業制御システムは攻撃者にとって都合の良い標的となった。 On the other hand, IoT (Internet of Things) technology has been actively introduced to improve production efficiency, etc., and as a result of an increasing number of cases where various systems are interconnected via the Internet, industrial control systems have become convenient targets for attackers.
重要インフラを含む産業制御システムへのサイバー攻撃は社会的な影響も大きく、場合によっては健康や安全に関する事故を引き起こす可能性もある。 Cyber attacks on industrial control systems, including critical infrastructure, can have a significant social impact and, in some cases, could lead to health and safety accidents.
そのような損害を与えることを意図して、対象システムを標的と定めて高度な攻撃を継続的に行うAPT(Advanced Persistent Threat)攻撃の脅威も増している。 There is also an increasing threat of Advanced Persistent Threat (APT) attacks, which continuously launch sophisticated attacks targeting target systems with the intent of causing such damage.
このような高度な攻撃に対抗するためには、攻撃者が標的とするシステムに侵入してから目的を達成するまでの一連の経路および行動(以下、「攻撃シナリオ」もしくは「シナリオ」と略称する)を攻撃者の目線であらかじめ予測し、そのリスクを評価した上で、必要な対策を導入するというアプローチが有効である。 An effective approach to combating such sophisticated attacks is to predict the sequence of steps and actions an attacker takes from the time they infiltrate a target system to the time they achieve their goal (hereafter referred to as an "attack scenario" or "scenario") from the attacker's perspective, evaluate the risks, and then implement the necessary countermeasures.
ここで、「リスク」とは攻撃者にとってのリスクと被害者にとってのリスクの両視点から評価することが重要である。 Here, it is important to evaluate "risk" from both the perspectives of risk to the attacker and risk to the victim.
前者は「攻撃の実施にコストがかさむリスク」や「攻撃が失敗するリスク」等、攻撃シナリオの実現可能性に関連する。 The former is related to the feasibility of an attack scenario, such as the "risk that an attack will be costly to carry out" or the "risk that an attack will fail."
後者は「攻撃によって生じる被害額」や「攻撃によって生じる人命・環境への影響」等、被害者(サイバー攻撃の標的となるシステム)への被害影響に関連する。 The latter relates to the damage and impact on victims (systems targeted by cyber attacks), such as the "amount of damage caused by the attack" and the "impact on human life and the environment caused by the attack."
特許文献1では、複数のコンピュータ等を含む情報処理システムにおいて、サイバー攻撃の経路を特定し、そのリスクに対して評価値を与える方法およびプログラムを提供する。具体的には、攻撃経路上に存在する機器が有する脆弱性を特定した上で、あらかじめ定義した脆弱性毎の評価値を記憶したデータベースと照らし合わせることで、分析対象システム全体に対するリスク評価を可能にする。
しかしながら産業制御システムでは、IoT機器を含む多種多様な制御機器が稼働しているため、システムを構成する全機器の脆弱性情報を収集するには膨大な時間と労力を要する。 However, industrial control systems operate with a wide variety of control devices, including IoT devices, so collecting vulnerability information for all devices that make up the system requires a huge amount of time and effort.
そのため、時間と労力のリソースに限りがある状況下で、産業制御システムに関して、脆弱性をベースにした従来のリスク分析手法を適用するのは困難なケースが多い。したがってリスク分析に際し、攻撃者にとってのリスクと被害者にとってのリスクの両視点から評価することも難しい現状にある。 As a result, in situations where time and labor resources are limited, it is often difficult to apply traditional vulnerability-based risk analysis methods to industrial control systems. As a result, it is currently difficult to conduct risk analysis from the perspectives of both the risks to attackers and the risks to victims.
そこで本発明では、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からの効率的なリスク分析を可能とすることを目的とする。 The present invention aims to enable efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.
上記課題を解決する本発明の攻撃シナリオ分析装置は、サイバー攻撃に際し攻撃者に必要となるコストの情報、前記攻撃者による攻撃行動による被害の情報、及び攻撃対象となるシステムの機器の種類ごとのサイバー攻撃の状態遷移モデルを保持する記憶部と、分析対象のシステムに含まれる各機器の種類に対応した前記状態遷移モデルを組み合わせることで、サイバー攻撃のシナリオを複数生成する攻撃シナリオ生成部と、攻撃者が前記シナリオに沿って攻撃行動を遷移させることで順次生じる、当該攻撃者にとっての前記コストの情報に基づくリスク及び前記システムにとっての前記被害の情報に基づくリスクの各評価値を算出し、前記各評価値に基づき前記シナリオに関するリスクの評価値を特定するリスク評価部と、を備えることを特徴とする。 The attack scenario analysis device of the present invention that solves the above-mentioned problems is characterized by comprising: a memory unit that retains information on the costs required by an attacker to carry out a cyber-attack, information on damage caused by the attacker's attacking actions, and a cyber-attack state transition model for each type of device in the system to be attacked; an attack scenario generation unit that generates a plurality of cyber-attack scenarios by combining the state transition models corresponding to each type of device included in the system to be analyzed; and a risk assessment unit that calculates each evaluation value of a risk to the attacker based on the cost information and a risk to the system based on the damage information that arise sequentially as the attacker transitions his/her attacking actions in accordance with the scenario, and specifies an evaluation value of the risk related to the scenario based on each evaluation value.
また、本発明の攻撃シナリオ分析方法は、情報処理装置が、記憶部において、サイバー攻撃に際し攻撃者に必要となるコストの情報、前記攻撃者による攻撃行動による被害の情報、及び攻撃対象となるシステムの機器の種類ごとのサイバー攻撃の状態遷移モデルを保持し、分析対象のシステムに含まれる各機器の種類に対応した前記状態遷移モデルを組み合わせることで、サイバー攻撃のシナリオを複数生成する処理と、攻撃者が前記シナリオに沿って攻撃行動を遷移させることで順次生じる、当該攻撃者にとっての前記コストの情報に基づくリスク及び前記システムにとっての前記被害の情報に基づくリスクの各評価値を算出し、前記各評価値に基づき前記シナリオに関するリスクの評価値を特定する処理と、を実行することを特徴とする。
In addition, the attack scenario analysis method of the present invention is characterized in that an information processing device executes a process of generating a plurality of cyber-attack scenarios by storing, in a memory unit, information on the costs required by an attacker in a cyber-attack, information on damage caused by the attacker's attacking actions, and a cyber-attack state transition model for each type of equipment in the system to be attacked, and combining the state transition models corresponding to each type of equipment included in the system to be analyzed, and a process of calculating each evaluation value of a risk to the attacker based on the cost information and a risk to the system based on the damage information that arise sequentially as the attacker transitions his/her attacking actions in accordance with the scenario, and identifying an evaluation value of a risk related to the scenario based on each evaluation value.
本発明によれば、膨大な脆弱性情報を個別に判別することなく、分析対象システムの構成情報から攻撃者の目線で攻撃シナリオを生成し、攻撃者と分析対象システムの両視点からリスク分析を行うことが可能となる。つまり、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からの効率的なリスク分析が可能となる。 According to the present invention, it is possible to generate an attack scenario from an attacker's perspective from the configuration information of the system being analyzed, without having to individually identify vast amounts of vulnerability information, and to perform risk analysis from the perspectives of both the attacker and the system being analyzed. In other words, it is possible to perform efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.
[第1の実施形態]
<攻撃シナリオ分析方法のフロー>
[First embodiment]
<Attack scenario analysis method flow>
以下、本発明の第1の実施形態について、図面を用いて説明する。図1は、攻撃シナリ
オ分析装置10による攻撃シナリオ分析方法の処理フローを示す図である。
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A first embodiment of the present invention will now be described with reference to the accompanying drawings. FIG 1 is a diagram showing a process flow of an attack scenario analysis method performed by an attack
以下、図1のフローチャートにおける各ステップの概要について説明する。まず攻撃シナリオ分析装置10は、適宜な入出力インターフェイスを介して、分析対象となるシステムのシステム構成情報161のユーザ入力を受け付けて取得する(ステップS1)。
Below, we will provide an overview of each step in the flowchart in Figure 1. First, the attack
続いて、攻撃シナリオ分析装置10は、S1で取得したシステム構成情報161を、当該システムの機器種類ごとに個別に定義された攻撃者の状態遷移モデル162(一般的に、「サイバーキルチェーン」と呼ばれることもある)と組み合わせることで、攻撃シナリオを自動生成する(ステップS2)。
Then, the attack
また、攻撃シナリオ分析装置10は、S2で生成した攻撃シナリオに対して、攻撃者および被害者にとってのリスクをそれぞれ個別に分析し、評価値を付与する(ステップS3)。
The attack
ここで、被害者とは攻撃者によって攻撃を受ける対象システムを指す。また、「被害者にとってのリスク」と「分析対象システムにとってのリスク」は同義である。 Here, the victim refers to the system that is attacked by the attacker. Also, "risk to the victim" and "risk to the system under analysis" are synonymous.
続いて、攻撃シナリオ分析装置10は、上記のS3で個別に評価した、攻撃者および被害者それぞれにとってのリスクの評価値を基に、攻撃シナリオ全体のリスクを分析して評価値を算出する(ステップS4)。
Then, the attack
最後に、攻撃シナリオ分析装置10は、攻撃シナリオをリスクの評価値と紐付けて、入出力装置17のユーザに向けて出力し(ステップS5)、処理を終了する。
Finally, the attack
<攻撃シナリオ分析装置の構成>
以上の攻撃シナリオ分析装置10における機能をコンピュータで実現したシステム構成の一例を、図2に示す。
<Configuration of the attack scenario analysis device>
FIG. 2 shows an example of a system configuration in which the functions of the attack
この場合、攻撃シナリオ分析装置10は、バスなどで互いに接続された、CPU(Central Processing Unit)11、メモリ12、入出力インターフェイス13、記憶装置14
などを含んで構成される。
In this case, the attack
It is composed of the following:
CPU11は、この攻撃シナリオ分析装置10を統括制御する中央処理装置である。攻撃シナリオ分析装置10の実行時に、CPU11は、記憶装置14に記憶されている処理プログラム群15をメモリ12に展開し、実行する。
The
メモリ12は、例えばRAM(Random Access Memory)などであり、CPU11がプログラムを実行する際の作業領域として使用される。
また、入出力インターフェイス13は、CPU11での処理結果を外部の入出力装置17に出力するインターフェイスである。
In addition, the input/
入出力装置17は、攻撃シナリオ分析装置10に対してユーザがデータ入出力を行うための装置であり、主にキーボード、マウス、ディスプレイ等から構成される。
The input/
また、記憶装置14は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)で構成される。この記憶装置14に格納される情報は、処理プログラム群15と記憶部16に大別される。
The
処理プログラム群15は、図1の処理S1~S5を実行するプログラムである。情報入力部151はステップS1を、攻撃シナリオ生成部152はステップS2を、リスク評価部153はステップS3およびS4を、分析結果出力部154はステップS5を実行するプログラムである。処理プログラム群15に含まれる学習部155は、第3の実施形態でのみ使用される。
The
また記憶部16は、処理プログラム群15が処理した入出力データを格納するデータベースを格納する領域となる。記憶部16は、システム構成情報161、情報遷移モデル162、攻撃シナリオ情報163、リスク評価情報164、技術情報165を含む。なお、技術情報165は主に第2、3の実施形態で使用される。
The
以下、記憶部16に格納されている各情報について、処理プログラム群15の機能詳細と関連付けて説明する。
Below, each piece of information stored in the
システム構成情報161は、分析対象システムを構成する機器の情報であり、情報入力部151により、ユーザから入力される。
The
図3に本実施形態におけるシステム構成情報161の一例を示す。システム構成情報161は、機器のID(Identifier)1611、名称1612、種類1613、OS1614、接続ネットワーク1615、セキュリティレベル1616、および重要度1617を含む。
Figure 3 shows an example of
このうちID1611は、機器を一意に表す識別子である。また、名称1612は、機器の名称であり、図3で示す例であれば、「ノートPC1」、「データサーバ1」、「監視PC1」、「PLC1」、及び「PLC2」となる。
Of these,
また、種類1613は、機器の種類であり、図3で示す例であれば、「一般IT業務端末」、「制御監視端末」、「制御コントローラで」となる。
OS1614は、各機器に搭載されているOSの情報であり、図3に示す例であれば、「汎用OS」か「独自OS」となる。
また、接続ネットワーク1615は、各機器が接続されるネットワークの情報であり、
図3の例であれば、「情報NW(NetWork)」、「制御NW」、および「インターネット
」の三つのネットワークがある。
The
In the example of FIG. 3, there are three networks: an "information network", a "control network", and the "Internet".
セキュリティレベル1616は、各機器のセキュリティレベル(セキュリティ対策のレベル)を示す。本実施形態におけるセキュリティレベル1616は、1~3の3段階となっている。セキュリティレベルの数値が高いほど、セキュリティ対策が十分に実施されていることを意味する。
また、セキュリティレベル1616の値は、「定期的なパッチ適用をしているか」、「常に最新のウイルス対策ソフトがインストールされているか」等、あらかじめ設定したセキュリティポリシーを満たしているかを基準として設定してもよい。
The value of
重要度1617は、分析対象システムにおける各機器の重要度を、セキュリティの機密性1617A、完全性1618B、可用性1619Cの3つの観点で評価した結果が示されている。
本実施形態では、機密性1617A、完全性1618B、可用性1619Cは、High、Low、None、の3項目で評価されている。
In this embodiment,
例えば、機密性1617Aに「High」という評価が与えられている場合は、該当機器がサイバー攻撃を受けて機密性が損なわれると、重大な情報漏洩に繋がるということを示す。
For example, if
また、機密性1617Aが「Low」であれば軽度な情報漏洩、「None」であれば情報漏洩には発展しないということを意味する。
In addition, if
同様に、完全性1617Bについては、該当機器に対するサイバー攻撃時がどの程度重大な情報改ざんにつながるのか、可用性1617Cについては該当機器へのサイバー攻撃時がどの程度重大な業務停止につながるのかが適宜な知見ある者に評価され、その結果が格納される。
Similarly, with regard to
また、機密性1617A、完全性1618B、可用性1619Cには、図3で示したHigh、Low、Noneを使った定性的な評価ではなく、定量的な評価値を与える方式を採用してもよい。
In addition, for
続いて、状態遷移モデルについて図4に基づき説明する。状態遷移モデル162は、攻撃者がサイバー攻撃を施行する際の戦術レベルの状態遷移を示すものである。
Next, the state transition model will be explained with reference to FIG. 4.
つまり、状態遷移モデルとは、攻撃者が各機器を攻撃するときの一連の行動(攻撃行動)の遷移を表したものである。状態遷移モデル162は、機器の種類ごとに異なり、個別に定義される。
In other words, a state transition model represents the transition of a series of actions (attack actions) when an attacker attacks each device. The
図4にて、状態遷移モデル162の一例を示す。状態遷移モデル162は、図3で定義された機器の種類1613ごとに定義される。つまり、状態遷移モデル162は、図3の機器の種類1613で予め定義された機器の種類からしか選択できないことを意味する。
Figure 4 shows an example of
例えば、図4で示す状態遷移モデルは、図3の機器の種類1613で定義されている「一般IT業務端末」に適用可能な状態遷移モデル1621と、同様に「制御監視端末」に適用可能な状態遷移モデル1622、となっている。
For example, the state transition models shown in FIG. 4 are state transition model 1621 applicable to a "general IT business terminal" defined in
また、状態遷移モデル162では、所定の攻撃行動を経て各状態に攻撃者が達した際、対象となるシステムにおける機密性・完全性・可用性のどの要素が損害されるのかがあらかじめ定義されている。
In addition, in the
例えば、図4では、攻撃者が「持ち出し」という状態に達した際に、一般IT業務端末の「機密性」が損害され、「応答制御」という状態に達した際に制御監視端末の「完全性」が損害され、「制御阻害」という状態に達した際に当該制御監視端末の「可用性」が損害されることを示している。 For example, Figure 4 shows that when an attacker reaches the "take-out" state, the "confidentiality" of the general IT business terminal is damaged, when the "response control" state is reached, the "integrity" of the control monitoring terminal is damaged, and when the "control obstruction" state is reached, the "availability" of the control monitoring terminal is damaged.
なお、攻撃シナリオ情報163は、攻撃シナリオ生成部152で生成された攻撃シナリオの情報である。本発明における攻撃シナリオとは、前述の通り、攻撃者が標的とするシステムに侵入してから目的を達成するまでの一連の経路および攻撃行動を指す。
The
攻撃者が最初にアクセスする機器は、情報入力部151でユーザが指定してもよいし、システム構成情報161の接続ネットワーク1615に入力された情報から自動で選定してもよい。例えば、インターネットに接続されている機器を攻撃の侵入口と設定する等、が考えられる。
The device that an attacker first accesses may be specified by the user in the
同様に、攻撃者が最終標的とする機器も、情報入力部151でユーザが指定してもよいし、システム構成情報161の重要度1617に入力された情報から自動で選定してもよい。例えば、可用性1617A・機密性1617B・可用性1617Cの全てが「High」と設定されている機器を攻撃の標的と設定する等、が考えられる。
Similarly, the device that the attacker will ultimately target may be specified by the user in the
攻撃シナリオ分析装置10は、攻撃者の最初にアクセスする機器と最終標的とする機器が決まれば、攻撃経路はシステム構成情報161の接続ネットワーク1615の情報を基に、自動的に探索する。
Once the attack
図5は、図3で示されているシステム構成情報161をネットワーク構成図として示した図である。本実施形態では、攻撃者が最初にアクセスするものとして、インターネットに接続されているノートPC1、また、攻撃目標の機器として監視PC1を想定し、攻撃シナリオの生成方法を説明する。
Figure 5 is a diagram showing the
まず第一に、攻撃経路に関して、最短経路である「ノートPC1→監視PC1」を例として考える。この場合、攻撃シナリオ分析装置10は、ノートPC1と監視PC1において攻撃者が実施する行動について、当該機器に対応した図4の状態遷移モデル162を参照することで、モデル化できる。
First of all, regarding the attack path, consider the shortest path, "notebook PC1 → monitoring PC1," as an example. In this case, the attack
図3のシステム構成情報161によると、ノートPC1の種類は「一般IT業務端末」であり、監視PC1の種類は「制御監視機器」である。
According to the
そのため、攻撃シナリオ分析装置10は、ノートPC1上における攻撃者の行動を、図4の一般IT業務端末の状態遷移モデル1621でモデル化できる。
Therefore, the attack
また攻撃シナリオ分析装置10は、監視PC1上における攻撃者の行動を、図4の制御監視端末の状態遷移モデル1622でモデル化できる。そして、これらを組み合わせることで攻撃シナリオが生成できる。
The attack
図6に、上記組み合わせから生成した攻撃シナリオの模式図を示す。攻撃者が状態を遷移する攻撃行動には一意の識別子である行動IDが割り当てられる。図6における攻撃シナリオの場合は、1~11の行動IDが割り当てられている。
Figure 6 shows a schematic diagram of an attack scenario generated from the above combination. An action ID, which is a unique identifier, is assigned to each attack action in which the attacker transitions between states. In the case of the attack scenario in Figure 6,
また図6では、行動IDとして「1」が割り当てられた行動を「行動1」と表示しており、行動IDが2~11の各行動についても同様の表示形式を採用する。
In addition, in Figure 6, an action assigned the action ID "1" is displayed as "
図6の攻撃シナリオにおける経路は、「ノートPC1→監視PC1」で固定しているが、攻撃者の行動は次の4パターンが考えられる。 The attack route in the attack scenario in Figure 6 is fixed as "Notebook PC1 → Monitoring PC1", but the attacker's behavior can take one of the following four patterns:
[攻撃シナリオID:1]
行動1→行動2→行動6→行動7→行動8→行動9→行動10
[Attack Scenario ID: 1]
[攻撃シナリオID:2]
行動1→行動2→行動6→行動7→行動8→行動9→行動11
[Attack Scenario ID: 2]
[攻撃シナリオID:3]
行動1→行動2→行動3→行動4→行動5→行動7→行動8→行動9→行動10
[Attack scenario ID: 3]
[攻撃シナリオID:4]
行動1→行動2→行動3→行動4→行動5→行動7→行動8→行動9→行動11
[Attack Scenario ID: 4]
それぞれの攻撃シナリオには、一意の識別子である攻撃シナリオIDが割り当てられる。図7にて、例として、攻撃シナリオIDが1の攻撃シナリオの模式図を示す。 Each attack scenario is assigned an attack scenario ID, which is a unique identifier. Figure 7 shows a schematic diagram of an attack scenario with an attack scenario ID of 1 as an example.
攻撃シナリオ分析装置10においては、同じ攻撃経路である場合でも、攻撃者の状態遷移が異なる場合は、別々の攻撃シナリオとして認識される。つまり、「ノートPC1→監視PC1」という単一の攻撃経路に対して、状態遷移が4パターン存在するため、攻撃シナリオ生成部152では4つの個別の攻撃シナリオとして識別される。これらの攻撃シナリオは、割り当てられた攻撃シナリオIDとともに、攻撃シナリオ情報163として格納される。
In the attack
図8は、攻撃シナリオ情報163の一例であり、上記の攻撃シナリオIDが「1」、の攻撃シナリオの情報が格納されたテーブルの一例である。攻撃シナリオ情報163では、攻撃の順序を表す攻撃ステップ1631、行動ID1632、各行動IDの詳細1633、攻撃コスト1634、および被害影響度1635を対応付けて記憶する。攻撃コスト1634、被害影響度1635、合算値1636、総合リスク評価値1637については後述する。
Figure 8 is an example of
また、リスク評価情報164は、リスク評価部153で分析した、攻撃シナリオのリスクに関する情報が格納される。本発明におけるリスクの評価は、攻撃者と被害者の両視点から、攻撃者が状態を遷移する行動に対して行われる。
In addition, the
攻撃者が状態を遷移する行動に着目することで、遷移前と遷移後の両方における攻撃者の状態を考慮したリスクの評価が可能になり、攻撃者の状態単体に対してリスクの評価を行う場合に比べて精度が向上する。 By focusing on the attacker's state transition behavior, it becomes possible to evaluate risk by taking into account the attacker's state both before and after the transition, improving accuracy compared to evaluating risk for the attacker's state alone.
本実施例では、攻撃者にとってのリスクを評価する指標として、例えば、「攻撃コスト」を採用する。攻撃コストとは、攻撃者がサイバー攻撃を実施する際に費やす労力を意味する。 In this embodiment, for example, the "cost of attack" is used as an index for evaluating the risk to an attacker. The cost of attack refers to the effort an attacker expends when carrying out a cyber attack.
攻撃コストが高い場合、攻撃者にとってのリスクは増加するため、攻撃者はなるべく攻撃コストが低い攻撃シナリオを選択すると考えられる。そのため、攻撃コストが低い攻撃
シナリオに対しては、優先的に対策を実施する必要がある。
When the cost of attack is high, the risk to an attacker increases, so it is likely that the attacker will choose an attack scenario with as low an attack cost as possible. Therefore, it is necessary to prioritize the implementation of countermeasures against attack scenarios with low attack costs.
攻撃コストは、前述の通り、攻撃者が状態を遷移する行動に対して算出される。攻撃コストの算出には、図3のシステム構成情報161における機器の種類1613、OS1614、接続ネットワーク1615およびセキュリティレベル1616を活用してもよい。例えば、"侵入"した状態に遷移する行動を取る際、情報NWや制御NW等の社内ネットワークを介する場合はインターネットを介する場合と比べ、攻撃コストを高く算出することが考えられる。この評価方法に従うと、図6の場合、同じ"侵入"した状態に遷移する行動1と行動7を比べた際、行動1よりも行動7の攻撃コストが高く算出される。
As described above, the attack cost is calculated for the attacker's action of transitioning states. The
攻撃者にとってのリスクを評価する指標としては、「攻撃コスト」以外にも、攻撃の難易度を示す「攻撃難易度」や攻撃が検知される可能性を示す「攻撃検知率」等、攻撃者にとってのリスクに関連する指標であればよく、これらを組み合わせて攻撃者にとってのリスクの評価値を算出してもよい。 As an indicator for evaluating the risk to an attacker, other than "attack cost," any indicator related to the risk to an attacker can be used, such as "attack difficulty," which indicates the difficulty of an attack, or "attack detection rate," which indicates the possibility that an attack will be detected, and these can be combined to calculate the evaluation value of the risk to an attacker.
一方で、被害者にとってのリスクを評価する指標として、例えば、「被害影響度」を採用する。被害影響度とは、分析対象システムがサイバー攻撃を受けた際に被る被害影響を数値化した指標である。攻撃者はなるべく被害影響度が高い攻撃シナリオを実行すると考えられる。そのため、被害影響度が高い攻撃シナリオに対しては、優先的に対策を実施する必要がある。 On the other hand, as an index for evaluating the risk to the victim, for example, "damage impact degree" is used. Damage impact degree is an index that quantifies the damage impact that will be caused when the system under analysis is hit by a cyber attack. Attackers are likely to carry out attack scenarios with as high a damage impact degree as possible. For this reason, it is necessary to prioritize the implementation of countermeasures against attack scenarios with a high damage impact degree.
被害影響度も攻撃コストと同様に、攻撃者が状態を遷移する行動に対して算出される。被害影響度の算出には、図3のシステム構成情報161における重要度1617の機密性1617A・完全性1617B・可用性1617Cを活用してもよい。
Similar to the attack cost, the damage impact is calculated for the attacker's state transition actions. The damage impact may be calculated using the
例えば、図6の攻撃シナリオの模式図では、攻撃者が行動4を実施するとノートPC1の機密性が損害される。ノートPC1の機密性1617Aには「Low」が割り当てられているので、攻撃者が行動4を実施すると、システムにとっては軽度な情報漏洩に繋がることを意味する。
For example, in the schematic diagram of the attack scenario in Figure 6, if an attacker performs
同様に、攻撃者が行動10を実施すると監視PC1の完全性が阻害される。監視PC1の完全性1617Cには「High」が割り当てられているので、攻撃者が行動10を実施すると、システムにとっては重大な情報の改ざんに繋がることを意味する。これらの被害影響度を数値化する際には、CVSS v3(Common Vulnerability Scoring System v3)における攻撃による影響を評価する項目を参考にしても良い。
Similarly, if an attacker performs
被害者にとってのリスクを評価する指標としては、「被害影響度」以外にも、想定される被害額を示す「想定被害額」等、被害者にとってのリスクに関連する指標であればよく、これらを組み合わせて被害者にとってのリスクの評価値を算出してもよい。 As an indicator for assessing the risk to the victim, in addition to the "impact of damage," any indicator related to the risk to the victim, such as the "estimated amount of damage," which indicates the expected amount of damage, may be used, and these may be combined to calculate the assessment value of the risk to the victim.
図9にリスク評価情報164の一例を示す。本実施例では、攻撃者にとってのリスクの評価値である攻撃コスト1642と、被害者にとってのリスクの評価値である被害影響度1643が、行動ID1641に対応付けられている。
Figure 9 shows an example of
こうしたリスク評価情報1642は、図8の攻撃コスト1634と被害影響度1635にも入力される。図6の攻撃シナリオ情報163における合算値1636には、攻撃シナリオ全体で攻撃コストと被害影響度を合算した値が設定される。
This
また、総合リスク評価値1637には、被害影響度の合算値を攻撃コストの合算値で除算した値が格納される。つまり、総合リスク評価値が高い攻撃シナリオは、少ない攻撃コ
ストで大きな被害影響度を与えることができると解釈できる。
Moreover, a value obtained by dividing the total damage impact degree by the total attack cost is stored in the overall
本実施例では、総合リスク評価値1637の算出方法として上記のような単純な除算を採用したが、攻撃者および被害者にとってのリスクの評価値の両方を用いて導出した値であれば、計算方法は問わない。
In this embodiment, the above-mentioned simple division is used as the method for calculating the overall
図10は、分析結果出力部154が攻撃シナリオ情報163を読み込み、攻撃シナリオ分析結果1540として入出力装置17に表示した一例を示した図である。攻撃シナリオ分析結果1540は、表1549、並び替えボタン1546、リスク評価方式変更ボタン1547、及び一括ファイル出力ボタン1548を含む。
Figure 10 shows an example in which the analysis
このうち表1549は、攻撃シナリオID1541、攻撃コスト1542、被害影響度1543、および総合リスク評価値1544を対応付けたものである。
Of these, table 1549 associates
攻撃コスト1542と被害影響度1543には、図8で算出した合算値1636が、総合リスク評価値1544には、図8で算出した総合リスク評価値1637と同じ値が、対応する攻撃シナリオID1541に対して格納される。
The
また、詳細表示ボタン1545の押下を受けて、攻撃シナリオ分析装置10は、該当する攻撃シナリオの詳細情報を、攻撃シナリオ情報163から呼び出し、ユーザに表示する。
In addition, when the
また、詳細表示ボタン1545の押下を受けて、攻撃シナリオ分析装置10は、図7のような、該当する攻撃シナリオの模式図を表示するとしてもよい。或いは、図8のような表形式の攻撃シナリオを表示するとしてもよい。
In addition, when the
また、並び替えボタン1546の押下を受けて、攻撃シナリオ分析装置10は、表1549の表示内容を、攻撃シナリオID1541、攻撃コスト1542、被害影響度1543、および総合リスク評価値1544の大小でソート、すなわち並び変える。
In addition, when the
ユーザによっては、総合リスク評価値1544ではなく、攻撃コスト1542もしくは被害影響度1543の一方を用いて、攻撃シナリオのリスクを評価することも考えられる。
Depending on the user, it may be possible to evaluate the risk of an attack scenario using either the
リスク評価方式変更ボタン1547の押下を受けて、攻撃シナリオ分析装置10は、攻撃者および被害者にとってのリスクの評価方式を変更する。例えば、攻撃者にとってのリスクの評価方式を、「攻撃コスト」から「攻撃検知率」に切り替えることが考えられる。
When the risk assessment
また、一括ファイル出力ボタンの押下を受けて、攻撃シナリオ分析装置10は、表1549の表示内容、および詳細表示ボタン1545を押すことで得られる表示内容の、両方を一括してファイルで出力する。
In addition, when the batch file output button is pressed, the attack
[第2の実施形態]
以下、本発明の第2の実施形態について、図面を用いて説明する。第1の実施形態では、図6のように攻撃シナリオを生成する際、ある状態から次の状態に遷移する行動には単一の行動IDが割り当てられている。
Second Embodiment
The second embodiment of the present invention will be described below with reference to the drawings. In the first embodiment, when generating an attack scenario as shown in FIG. 6, a single action ID is assigned to an action that transitions from a certain state to the next state.
しかしながら、各行動を実現するための技術は多岐にわたる。ある状態から"侵入"した状態に遷移する行動を例に挙げると、本行動を実現するためには「標的型メールを介したマルウェア感染」や「リモートログインサービスの悪用」等の様々な技術が用いられる。 However, there are many different technologies to realize each action. For example, if we take the action of transitioning from one state to an "intrusion" state, various technologies are used to realize this action, such as "infecting a system with malware via targeted email" or "abusing remote login services."
本実施例では、上記の例のように採用する技術によって別々に攻撃シナリオを生成し、評価することを可能にする、攻撃シナリオ分析装置10について説明する。
In this embodiment, we will describe an attack
第2の実施形態に係る攻撃シナリオ分析装置10は、第1の実施形態に係る攻撃シナリオ分析装置の記憶部16に技術情報165を追加した構成となる。
The attack
図11は、第2の実施形態に係る、攻撃シナリオ分析装置10による攻撃シナリオ分析方法のフロー例を示す図である。
Figure 11 is a diagram showing an example of the flow of an attack scenario analysis method by the attack
図11のフローにおける、ステップS11、S13、S14、S15は、図1のフローにおける、ステップS1、S3、S4、S5とそれぞれ同様の処理となる。 Steps S11, S13, S14, and S15 in the flow of FIG. 11 are the same processes as steps S1, S3, S4, and S5, respectively, in the flow of FIG. 1.
一方、ステップS12では、ステップS2と異なり、攻撃シナリオ分析装置10は、入力したシステム構成情報121を、機器の種類ごとに個別に定義された攻撃者の状態遷移モデル162、および技術情報165と網羅的に組み合わせることで、攻撃シナリオを自動生成する。
On the other hand, in step S12, unlike step S2, the attack
図12は、技術情報165の一例を示す。技術情報165には、攻撃者が一連の攻撃シナリオの中で遷移する対象となる状態1652と、その状態遷移を実現するための技術1653の一覧が格納されている。
Figure 12 shows an example of
それぞれの実現技術1653には、技術を一意に識別する技術ID1651と、当該技術を用いることの難易度を表す技術難易度1654、当該技術を用いた攻撃に要する労力を示す実施労力1655、攻撃が検知される可能性を表す攻撃検知率1656、当該技術を用いた攻撃による被害の影響度を示す被害影響度1657、及び当該技術を用いた攻撃による被害額度を示す想定被害額1658が定義されている。
Each
なお、図12において、技術難易度1654、実施労力1655、攻撃検知率1656、被害影響度1657、及び想定被害額1658のそれぞれは、「High」、「Mid」、「Low」で評価しているが、定量的なスコアを与えてもよい。
In FIG. 12, the
図13は、第2の実施形態で生成された攻撃シナリオを格納した攻撃シナリオ情報163Aの一例を表したものである。第2の実施形態の攻撃シナリオ生成部152では、行動IDと技術IDの全ての組み合わせに対して攻撃シナリオが生成され、攻撃シナリオ情報163Aに格納される。
Figure 13 shows an example of attack scenario information 163A that stores attack scenarios generated in the second embodiment. In the attack
図13では、攻撃シナリオIDが「1」の攻撃シナリオの一例が表示されており、各攻撃ステップ1631Aに対応する行動ID1632Aと技術ID1638Aの組み合わせ、およびその詳細1633Aが対応付けられている。 In FIG. 13, an example of an attack scenario with an attack scenario ID of "1" is displayed, and each attack step 1631A is associated with a combination of an action ID 1632A and a technique ID 1638A, and its details 1633A.
また、図8と同じく、攻撃シナリオ分析装置10は、攻撃コスト1634Aと被害影響度1635Aも各攻撃ステップに対して算出し、それらの合算値1636Aを基にして、総合リスク評価値1637Aを算出する。
Also, as in FIG. 8, the attack
第2の実施形態においては、攻撃コスト1634Aを算出する際は、図3のシステム構成情報161における機器の種類1613、OS1614、接続ネットワーク1615、セキュリティレベル1616に加えて、図12の技術難易度1654の評価を考慮にいれてもよい。
In the second embodiment, when calculating the attack cost 1634A, in addition to the
例えば、"侵入"した状態に移る行動を取る際、技術難易度に「High」の評価が与えられている技術を用いる場合は、「Low」の評価が与えられている技術を用いる場合と比べて、攻撃コストを高く算出する、といった運用を想定する。 For example, when taking action to move into an "intrusion" state, if a technology with a technical difficulty rating of "High" is used, the attack cost will be calculated to be higher than if a technology with a "Low" rating is used.
最後に、分析結果出力部154が攻撃シナリオ情報163Aを読み込み、分析結果出力部154に出力することで、本実施例のサイバー攻撃シナリオ評価は完了する。
Finally, the analysis
[第3の実施形態]
以下、本発明の第3の実施形態について、図面を用いて説明する。第1および第2の実施形態における攻撃シナリオ分析措置では、全ての攻撃シナリオに対してリスクの評価値を計算し、ユーザに出力する方法を採用していた。一方で、本実施例では、強化学習を用いた分析により、攻撃者にとって最適な攻撃シナリオを抽出し、これをユーザに出力する攻撃シナリオ分析措置について説明する。
[Third embodiment]
A third embodiment of the present invention will be described below with reference to the drawings. In the attack scenario analysis measures in the first and second embodiments, a method is adopted in which risk assessment values are calculated for all attack scenarios and output to the user. On the other hand, in this embodiment, an attack scenario analysis measure is described that extracts an optimal attack scenario for an attacker through analysis using reinforcement learning and outputs the extracted attack scenario to the user.
第3の実施形態に係る攻撃シナリオ分析装置10は、第1の実施形態に係る攻撃シナリオ分析装置の処理プログラム群15に学習部155を、記憶部16に技術情報165を追加した構成となる。
The attack
図14は、第3の実施形態に係る、攻撃シナリオ分析装置10による攻撃シナリオ分析方法のフロー例を示す図である。図14のフローにおけるステップS111、S112、S113は、図11のステップS11、S12、S13とそれぞれ同様の処理を実施する。
Figure 14 is a diagram showing an example of a flow of an attack scenario analysis method by the attack
ここで、ステップS114では、学習部155において、ステップ113で算出した各行動に対する攻撃者および被害者にとってのリスクの評価値を基に各行動の報酬を定義し、学習を繰り返す。
In step S114, the
上述の学習の手法は任意であり、例えば、強化学習の一つの手法であるQ学習(Q―Learning)を用いるとしてもよい。このQ学習においては、各状態において選択できる全ての行動に対して報酬が与えられ、行動価値関数Qが学習される。ステップS113では、各行動と技術の組み合わせに対して、攻撃者および被害者にとってのリスクの評価値が算出されている。 The above-mentioned learning method may be any method, and for example, Q-learning, which is a method of reinforcement learning, may be used. In this Q-learning, rewards are given for all actions that can be selected in each state, and an action value function Q is learned. In step S113, an assessment value of the risk to the attacker and victim is calculated for each combination of action and technology.
本実施例をQ学習の枠組みに合わせるために、各行動と技術の組み合わせを改めて個別の行動として定義しなおしてもよい。例えば、行動IDがXXで技術IDがYYの組み合わせと、行動IDがXXで技術IDがZZの組み合わせは、異なる行動として扱い、それぞれの行動IDをXX-YYおよびXX-ZZと定義しなおすことが考えられる。図15
には、図13を上記で説明した行動IDに定義しなおした一例を示す。
In order to fit this embodiment into the Q-learning framework, each combination of behavior and skill may be redefined as an individual behavior. For example, a combination of behavior ID XX and skill ID YY and a combination of behavior ID XX and skill ID ZZ may be treated as different behaviors, and the respective behavior IDs may be redefined as XX-YY and XX-ZZ.
13 shows an example in which the action IDs in FIG. 13 are redefined as described above.
行動に対して与えられる報酬に関して、被害者にとってのリスクの評価値が高い行動には報酬を高く設定し、攻撃者にとってのリスクの評価値が高い行動には報酬を低く設定してもよい。 Regarding rewards for actions, a higher reward may be set for actions that pose a higher risk to the victim, and a lower reward may be set for actions that pose a higher risk to the attacker.
ステップS115では、学習部155において、上述のステップS114で学習した行動価値関数Qが最大となる行動と技術の組み合わせを選択した攻撃シナリオを、攻撃者にとっての最適の攻撃シナリオとみなし、分析結果出力部154に出力する。これにより、本実施例のサイバー攻撃シナリオ評価は完了する。
In step S115, the
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。 The above describes in detail the best mode for carrying out the present invention, but the present invention is not limited to this, and various modifications are possible without departing from the spirit of the present invention.
こうした本実施形態によれば、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からの効率的なリスク分析が可能となる。 This embodiment enables efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の攻撃シナリオ分析装置において、前記記憶部は、前記システムを構成する機器の種類ごとに、前記状態遷移モデルを保持し、前記攻撃シナリオ生成部は、前記システムに含まれる各機器の種類に対応する状態遷移モデルを組み合わせることで、前記シナリオを複数生成するものである、としてもよい。 The description in this specification makes clear at least the following. That is, in the attack scenario analysis device of this embodiment, the storage unit may hold the state transition model for each type of device constituting the system, and the attack scenario generation unit may generate multiple scenarios by combining state transition models corresponding to the types of devices included in the system.
これによれば、システムを構成する機器に関する情報が得られる場合に対応して、より高精度のシナリオ生成が可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to generate scenarios with higher accuracy when information about the devices that make up the system is available. This in turn enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.
また、本実施形態の攻撃シナリオ分析装置において、前記記憶部は、前記攻撃行動に必要なコストの情報をさらに保持し、前記リスク評価部は、前記シナリオに関して、当該シナリオが含む前記攻撃行動それぞれの、攻撃に必要な労力、攻撃の難易度、及び攻撃が検知される可能性を表す攻撃検知率、の少なくともいずれかの観点でのコストを、前記コストの情報に基づき集計し、当該集計したコストを前記攻撃者にとっての前記リスクの評価値とするものである、としてもよい。 In the attack scenario analysis device of this embodiment, the storage unit may further store information on the costs required for the attack behavior, and the risk assessment unit may tally up the costs of each of the attack behaviors included in the scenario from at least one of the perspectives of the effort required for the attack, the difficulty of the attack, and the attack detection rate, which indicates the possibility that the attack will be detected, based on the cost information, and may treat the tally up costs as an assessment value of the risk to the attacker.
これによれば、攻撃者側の視点でのコストについて、より精度良く勘案してリスク評価を行うことが可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to more accurately consider the costs from the attacker's perspective when conducting risk assessments. This in turn enables more efficient risk analysis of cyber attacks against industrial control systems from both the attacker's and victim's perspectives.
また、本実施形態の攻撃シナリオ分析装置において、前記記憶部は、前記攻撃行動による被害の情報をさらに保持し、前記リスク評価部は、前記シナリオに関して、当該シナリオが含む前記攻撃行動それぞれの、攻撃による被害の影響を表した被害影響度、及び攻撃により想定される被害額を表す想定被害額、の少なくともいずれかの観点でのコストを、前記被害の情報に基づき集計し、当該集計したコストを前記システムにとっての前記リスクの評価値とするものである、としてもよい。 In the attack scenario analysis device of this embodiment, the storage unit may further store information on damage caused by the attack behavior, and the risk assessment unit may tally up costs from at least one of the perspectives of a damage impact level representing the impact of damage caused by an attack and an estimated damage amount representing the estimated amount of damage caused by an attack for each of the attack behaviors included in the scenario based on the damage information, and may treat the tally up costs as an assessment value of the risk to the system.
これによれば、被攻撃側である分析対象システムのコストについて、より精度良く勘案してリスク評価を行うことが可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to more accurately consider the costs of the system under attack and perform risk assessment. This in turn enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.
また、本実施形態の攻撃シナリオ分析装置において、前記システムを構成する機器の情報入力を受け付ける情報入力部を更に備えるとしてもよい。 The attack scenario analysis device of this embodiment may further include an information input unit that accepts information input of the devices that make up the system.
これによれば、シナリオ生成の精度を上げうる機器の情報を効率良く取得可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to efficiently obtain device information that can improve the accuracy of scenario generation. Ultimately, this enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.
また、本実施形態の攻撃シナリオ分析装置において、前記攻撃シナリオ生成部は、前記情報入力部で入力された前記システムの機器の重要度に関する情報に基づき、前記シナリオにおける、攻撃者が前記システムにおいて最初にアクセスする機器と最終標的とする機器を選定するものである、としてもよい。 In addition, in the attack scenario analysis device of this embodiment, the attack scenario generation unit may select, in the scenario, the device that an attacker will access first in the system and the device that will be the final target, based on information regarding the importance of the devices in the system inputted by the information input unit.
これによれば、シナリオにおける開始/終了の特定を精度良好に特定可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点から
のより効率的なリスク分析が可能となる。
This makes it possible to accurately identify the start/end of a scenario, which in turn enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both attackers and victims.
また、本実施形態の攻撃シナリオ分析装置において、前記攻撃シナリオ生成部で生成した各シナリオと、前記リスク評価部で各シナリオについて得られた前記評価値とを紐付けたシナリオ一覧を表示する分析結果出力部をさらに備える、としてもよい。 The attack scenario analysis device of this embodiment may further include an analysis result output unit that displays a list of scenarios that link each scenario generated by the attack scenario generation unit with the evaluation value obtained for each scenario by the risk assessment unit.
これによれば、ユーザに対して各シナリオの特性がどのようなものか的確に提示可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to accurately present to the user the characteristics of each scenario. Ultimately, this enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.
また、本実施形態の攻撃シナリオ分析装置において、前記記憶部は、前記コストの情報として、前記攻撃行動を実現する技術の情報をさらに保持し、前記攻撃シナリオ生成部は、前記技術の情報に基づいて、前記状態遷移モデルと、当該状態遷移モデルにおける攻撃行動の実現技術の情報とを組み合わせて、前記システムにおける前記シナリオを生成するものである、としてもよい。 In addition, in the attack scenario analysis device of this embodiment, the storage unit may further store information on the technology that realizes the attack behavior as the cost information, and the attack scenario generation unit may generate the scenario in the system by combining the state transition model and information on the technology that realizes the attack behavior in the state transition model based on the technology information.
これによれば、シナリオを構成する攻撃行動のそれぞれについて技術的特徴や、それに基づくコスト(攻撃側と被害者側の双方)を踏まえた各種処理が可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to carry out various processes that take into account the technical characteristics of each attack action that makes up the scenario and the associated costs (for both the attacker and the victim). Ultimately, this enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.
また、本実施形態の攻撃シナリオ分析装置において、前記リスクの評価値に基づき、攻撃者が状態を遷移する攻撃行動と前記技術の組み合わせに対して報酬を定義し、前記シナリオを強化学習する学習部をさらに備える、としてもよい。 The attack scenario analysis device of this embodiment may further include a learning unit that defines a reward for a combination of the attack behavior in which the attacker transitions between states and the technology based on the risk assessment value, and performs reinforcement learning of the scenario.
これによれば、あるシステムに関して得たシナリオを、類似の構成や特徴を有する他システムのシステムに展開するといった運用も可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to deploy a scenario obtained for one system to other systems with similar configurations and characteristics. This in turn enables more efficient risk analysis of cyber attacks on industrial control systems from the perspectives of both the attacker and the victim.
10 攻撃シナリオ分析装置
11 CPU
12 メモリ
13 入出力インターフェイス
14 記憶装置
15 処理プログラム群
151 情報入力部
152 攻撃シナリオ生成部
153 リスク評価部
154 分析結果出力部
155 学習部
16 記憶部
161 システム構成情報
162 状態遷移モデル
163 攻撃シナリオ情報
164 リスク評価情報
165 技術情報
10 Attack
12
Claims (9)
分析対象のシステムに含まれる各機器の種類に対応した前記状態遷移モデルを組み合わせることで、サイバー攻撃のシナリオを複数生成する攻撃シナリオ生成部と、
攻撃者が前記シナリオに沿って攻撃行動を遷移させることで順次生じる、当該攻撃者にとっての前記コストの情報に基づくリスク及び前記システムにとっての前記被害の情報に基づくリスクの各評価値を算出し、前記各評価値に基づき前記シナリオに関するリスクの評価値を特定するリスク評価部と、
を備えることを特徴とする攻撃シナリオ分析装置。 A storage unit that stores information on costs required by an attacker to carry out a cyber-attack, information on damage caused by the attacking actions of the attacker, and a state transition model of a cyber-attack for each type of device of a system that is the target of the attack;
an attack scenario generation unit that generates multiple cyber-attack scenarios by combining the state transition models corresponding to the types of devices included in the system to be analyzed ;
a risk assessment unit that calculates an assessment value of a risk to the attacker based on the information on the cost and a risk to the system based on the information on the damage, which are sequentially generated as a result of the attacker transitioning his/her attack behavior in accordance with the scenario, and determines an assessment value of a risk related to the scenario based on the assessment values;
An attack scenario analysis device comprising:
前記シナリオに関して、当該シナリオが含む前記攻撃行動それぞれの、攻撃に必要な労力、攻撃の難易度、及び攻撃が検知される可能性を表す攻撃検知率、の少なくともいずれかの観点でのコストを、前記コストの情報に基づき集計し、当該集計したコストを前記攻撃者にとっての前記リスクの評価値とするものである、
ことを特徴とする請求項1に記載の攻撃シナリオ分析装置。 The risk assessment unit includes:
aggregating costs of each of the attacking actions included in the scenario from at least one of the viewpoints of effort required for the attack, difficulty of the attack, and attack detection rate indicating the possibility that the attack will be detected, based on the cost information, and using the aggregated costs as an evaluation value of the risk to the attacker;
2. The attack scenario analysis device according to claim 1,
前記シナリオに関して、当該シナリオが含む前記攻撃行動それぞれの、攻撃による被害の影響を表した被害影響度、及び攻撃により想定される被害額を表す想定被害額、の少なくともいずれかの観点でのコストを、前記被害の情報に基づき集計し、当該集計したコストを前記システムにとっての前記リスクの評価値とするものである、
ことを特徴とする請求項1に記載の攻撃シナリオ分析装置。 The risk assessment unit includes:
aggregating costs from at least one of the viewpoints of a damage impact level representing the impact of damage caused by an attack and an estimated damage amount representing the estimated damage amount caused by an attack for each of the attack actions included in the scenario based on the damage information, and using the aggregated costs as an evaluation value of the risk to the system;
2. The attack scenario analysis device according to claim 1,
前記情報入力部で入力された前記システムの機器の重要度に関する情報に基づき、前記シナリオにおける、攻撃者が前記システムにおいて最初にアクセスする機器と最終標的とする機器を選定するものである、
ことを特徴とする請求項4に記載の攻撃シナリオ分析装置。 The attack scenario generation unit
a device that an attacker will access first in the system and a device that will be a final target in the system in the scenario are selected based on the information regarding the importance of the devices in the system inputted in the information input section;
5. The attack scenario analysis device according to claim 4.
ことを特徴とする請求項5に記載の攻撃シナリオ分析装置。 and an analysis result output unit that displays a list of scenarios in which each scenario generated by the attack scenario generation unit is associated with the evaluation value obtained for each scenario by the risk evaluation unit.
6. The attack scenario analysis device according to claim 5,
前記コストの情報として、前記攻撃行動を実現する技術の情報をさらに保持し、
前記攻撃シナリオ生成部は、
前記技術の情報に基づいて、前記状態遷移モデルと、当該状態遷移モデルにおける攻撃行動の実現技術の情報とを組み合わせて、前記システムにおける前記シナリオを生成するものである、
ことを特徴とする請求項2に記載の攻撃シナリオ分析装置。 The storage unit is
The cost information further includes information on a technique for realizing the attacking behavior;
The attack scenario generation unit
generating the scenario in the system by combining the state transition model with information on a technology that realizes an attack behavior in the state transition model based on the information on the technology;
3. The attack scenario analysis device according to claim 2.
ことを特徴とする請求項7に記載の攻撃シナリオ分析装置。 A learning unit that defines a reward for a combination of an attacking action in which an attacker transitions between states and the technique based on the risk evaluation value, and performs reinforcement learning on the scenario.
The attack scenario analysis device according to claim 7 .
記憶部において、サイバー攻撃に際し攻撃者に必要となるコストの情報、前記攻撃者による攻撃行動による被害の情報、及び攻撃対象となるシステムの機器の種類ごとのサイバー攻撃の状態遷移モデルを保持し、
分析対象のシステムに含まれる各機器の種類に対応した前記状態遷移モデルを組み合わせることで、サイバー攻撃のシナリオを複数生成する処理と、
攻撃者が前記シナリオに沿って攻撃行動を遷移させることで順次生じる、当該攻撃者にとっての前記コストの情報に基づくリスク及び前記システムにとっての前記被害の情報に基づくリスクの各評価値を算出し、前記各評価値に基づき前記シナリオに関するリスクの評価値を特定する処理と、
を実行することを特徴とする攻撃シナリオ分析方法。 An information processing device,
A storage unit stores information on costs required by an attacker to carry out a cyber-attack, information on damage caused by the attacking actions of the attacker, and a state transition model of the cyber-attack for each type of device of the system that is the target of the attack ;
A process of generating multiple cyber-attack scenarios by combining the state transition models corresponding to the types of devices included in the system to be analyzed;
a process of calculating an evaluation value of a risk to the attacker based on the information on the cost and a risk to the system based on the information on the damage , which are sequentially generated as the attacker transitions his/her attack behavior in accordance with the scenario, and determining an evaluation value of a risk related to the scenario based on the evaluation values;
13. An attack scenario analysis method comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021170652A JP7685929B2 (en) | 2021-10-19 | 2021-10-19 | Attack scenario analysis device and attack scenario analysis method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021170652A JP7685929B2 (en) | 2021-10-19 | 2021-10-19 | Attack scenario analysis device and attack scenario analysis method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023060953A JP2023060953A (en) | 2023-05-01 |
| JP7685929B2 true JP7685929B2 (en) | 2025-05-30 |
Family
ID=86239411
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021170652A Active JP7685929B2 (en) | 2021-10-19 | 2021-10-19 | Attack scenario analysis device and attack scenario analysis method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7685929B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7686843B1 (en) | 2024-05-20 | 2025-06-02 | セコムトラストシステムズ株式会社 | Information processing system and information processing method |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009110177A (en) | 2007-10-29 | 2009-05-21 | Ntt Data Corp | Information security measure decision support apparatus and method, and computer program |
| US20170324766A1 (en) | 2014-11-14 | 2017-11-09 | Institut Mines-Telecom/Telecom Sudparis | Selection of countermeasures against cyber attacks |
| JP2018077597A (en) | 2016-11-08 | 2018-05-17 | 株式会社日立製作所 | Security measure planning support system and method |
| US20180255076A1 (en) | 2017-03-02 | 2018-09-06 | ResponSight Pty Ltd | System and Method for Cyber Security Threat Detection |
| JP2019533856A (en) | 2016-09-19 | 2019-11-21 | エヌ・ティ・ティ イノベーション インスティチュート インクNTT Innovation Institute, Inc. | Threat scoring system and method |
| JP2020166520A (en) | 2019-03-29 | 2020-10-08 | オムロン株式会社 | Control system and setting method |
| JP2021005165A (en) | 2019-06-25 | 2021-01-14 | 株式会社日立製作所 | Incident scenario generation device and incident scenario generation system |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102296215B1 (en) * | 2019-11-26 | 2021-08-31 | 아주대학교 산학협력단 | Method For Recommending Security Requirements With Ontology Knowledge Base For Advanced Persistent Threat, Apparatus And System Thereof |
-
2021
- 2021-10-19 JP JP2021170652A patent/JP7685929B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009110177A (en) | 2007-10-29 | 2009-05-21 | Ntt Data Corp | Information security measure decision support apparatus and method, and computer program |
| US20170324766A1 (en) | 2014-11-14 | 2017-11-09 | Institut Mines-Telecom/Telecom Sudparis | Selection of countermeasures against cyber attacks |
| JP2019533856A (en) | 2016-09-19 | 2019-11-21 | エヌ・ティ・ティ イノベーション インスティチュート インクNTT Innovation Institute, Inc. | Threat scoring system and method |
| JP2018077597A (en) | 2016-11-08 | 2018-05-17 | 株式会社日立製作所 | Security measure planning support system and method |
| US20180255076A1 (en) | 2017-03-02 | 2018-09-06 | ResponSight Pty Ltd | System and Method for Cyber Security Threat Detection |
| JP2020166520A (en) | 2019-03-29 | 2020-10-08 | オムロン株式会社 | Control system and setting method |
| JP2021005165A (en) | 2019-06-25 | 2021-01-14 | 株式会社日立製作所 | Incident scenario generation device and incident scenario generation system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023060953A (en) | 2023-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11637853B2 (en) | Operational network risk mitigation system and method | |
| US11683333B1 (en) | Cybersecurity and threat assessment platform for computing environments | |
| US12326943B2 (en) | Intelligent adversary simulator | |
| CN112819336B (en) | A quantitative method and system for network threats based on power monitoring system | |
| JP6312578B2 (en) | Risk assessment system and risk assessment method | |
| CN111859400A (en) | Risk assessment method, apparatus, computer system, and medium | |
| Haddadi et al. | On botnet behaviour analysis using GP and C4. 5 | |
| Chalvatzis et al. | Evaluation of security vulnerability scanners for small and medium enterprises business networks resilience towards risk assessment | |
| CN119324817A (en) | Network security threat tracing method and system based on association analysis | |
| Wu et al. | Risk assessment method for cybersecurity of cyber-physical systems based on inter-dependency of vulnerabilities | |
| CN118890162A (en) | Evaluation method, system, equipment and storage medium for network range defense effectiveness | |
| CN114095232A (en) | Power information system dynamic threat quantitative analysis method based on hidden Markov | |
| CN118802353A (en) | A method for constructing a honey array model based on dynamic perception attack graph | |
| JP7685929B2 (en) | Attack scenario analysis device and attack scenario analysis method | |
| KR20230059293A (en) | Cybersecurity risk assessment system based on blockade and defense level analysis and method thereof | |
| JP2022165207A (en) | Security measure planning support device and security measure planning support method | |
| CN120106569A (en) | A dynamic risk visualization management method for asset and risk management | |
| KR102111136B1 (en) | Method, device and program for generating respond directions against attack event | |
| EP4451612A1 (en) | Network health scoring | |
| JP7808014B2 (en) | Cyber attack response support system, cyber attack response support method, and cyber attack response support program | |
| CN118585656A (en) | A knowledge base construction method for network security | |
| Kotenko et al. | Analyzing network security using malefactor action graphs | |
| CN115659351B (en) | An information security analysis method, system and equipment based on big data office | |
| Ullah et al. | Cyber Threat Analysis Based on Characterizing Adversarial Behavior for Energy Delivery System | |
| Jabr et al. | Simulated penetration testing and attack automation using deep reinforcement learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240604 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20250131 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20250304 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20250411 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250513 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250520 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7685929 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |