Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7685929B2 - Attack scenario analysis device and attack scenario analysis method - Google Patents
[go: Go Back, main page]

JP7685929B2 - Attack scenario analysis device and attack scenario analysis method - Google Patents

Attack scenario analysis device and attack scenario analysis method Download PDF

Info

Publication number
JP7685929B2
JP7685929B2 JP2021170652A JP2021170652A JP7685929B2 JP 7685929 B2 JP7685929 B2 JP 7685929B2 JP 2021170652 A JP2021170652 A JP 2021170652A JP 2021170652 A JP2021170652 A JP 2021170652A JP 7685929 B2 JP7685929 B2 JP 7685929B2
Authority
JP
Japan
Prior art keywords
attack
scenario
information
attacker
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021170652A
Other languages
Japanese (ja)
Other versions
JP2023060953A (en
Inventor
大輔 辻
淳也 藤田
貴志 小倉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2021170652A priority Critical patent/JP7685929B2/en
Publication of JP2023060953A publication Critical patent/JP2023060953A/en
Application granted granted Critical
Publication of JP7685929B2 publication Critical patent/JP7685929B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、攻撃シナリオ分析装置及び攻撃シナリオ分析方法に関するものである。 The present invention relates to an attack scenario analysis device and an attack scenario analysis method.

近年、サイバー攻撃の脅威は従来の情報システムに留まらず、産業分野におけるコンピュータシステム(産業制御システム)でも顕在化している。 In recent years, the threat of cyber attacks has not only emerged in traditional information systems, but also in computer systems in the industrial sector (industrial control systems).

一般的に、産業制御制御システムで稼働するコンピュータ機器のライフサイクルは情報システムと比べて長期に渡る。そのため、ベンダサポートが終了したレガシーOS(Operating System)やソフトウェアが現役で稼働していることも少なくない。 Generally, the life cycle of computer equipment used in industrial control systems is longer than that of information systems. For this reason, it is not rare for legacy operating systems (OS) and software that are no longer supported by their vendors to still be in use.

また、可用性の観点からセキュリティパッチを安易に適用することも難しいため、セキュリティ面では情報システムと比べて多くの脆弱性を抱えている場合が多い。 In addition, from the perspective of availability, it is difficult to apply security patches easily, so in terms of security, they often have more vulnerabilities than information systems.

一方で、生産効率向上等を目的としてIoT(Internet of Things)技術が積極的に導入され、インターネットを介して様々なシステムと相互接続されるケースが増えた結果、産業制御システムは攻撃者にとって都合の良い標的となった。 On the other hand, IoT (Internet of Things) technology has been actively introduced to improve production efficiency, etc., and as a result of an increasing number of cases where various systems are interconnected via the Internet, industrial control systems have become convenient targets for attackers.

重要インフラを含む産業制御システムへのサイバー攻撃は社会的な影響も大きく、場合によっては健康や安全に関する事故を引き起こす可能性もある。 Cyber attacks on industrial control systems, including critical infrastructure, can have a significant social impact and, in some cases, could lead to health and safety accidents.

そのような損害を与えることを意図して、対象システムを標的と定めて高度な攻撃を継続的に行うAPT(Advanced Persistent Threat)攻撃の脅威も増している。 There is also an increasing threat of Advanced Persistent Threat (APT) attacks, which continuously launch sophisticated attacks targeting target systems with the intent of causing such damage.

このような高度な攻撃に対抗するためには、攻撃者が標的とするシステムに侵入してから目的を達成するまでの一連の経路および行動(以下、「攻撃シナリオ」もしくは「シナリオ」と略称する)を攻撃者の目線であらかじめ予測し、そのリスクを評価した上で、必要な対策を導入するというアプローチが有効である。 An effective approach to combating such sophisticated attacks is to predict the sequence of steps and actions an attacker takes from the time they infiltrate a target system to the time they achieve their goal (hereafter referred to as an "attack scenario" or "scenario") from the attacker's perspective, evaluate the risks, and then implement the necessary countermeasures.

ここで、「リスク」とは攻撃者にとってのリスクと被害者にとってのリスクの両視点から評価することが重要である。 Here, it is important to evaluate "risk" from both the perspectives of risk to the attacker and risk to the victim.

前者は「攻撃の実施にコストがかさむリスク」や「攻撃が失敗するリスク」等、攻撃シナリオの実現可能性に関連する。 The former is related to the feasibility of an attack scenario, such as the "risk that an attack will be costly to carry out" or the "risk that an attack will fail."

後者は「攻撃によって生じる被害額」や「攻撃によって生じる人命・環境への影響」等、被害者(サイバー攻撃の標的となるシステム)への被害影響に関連する。 The latter relates to the damage and impact on victims (systems targeted by cyber attacks), such as the "amount of damage caused by the attack" and the "impact on human life and the environment caused by the attack."

特許文献1では、複数のコンピュータ等を含む情報処理システムにおいて、サイバー攻撃の経路を特定し、そのリスクに対して評価値を与える方法およびプログラムを提供する。具体的には、攻撃経路上に存在する機器が有する脆弱性を特定した上で、あらかじめ定義した脆弱性毎の評価値を記憶したデータベースと照らし合わせることで、分析対象システム全体に対するリスク評価を可能にする。 Patent Document 1 provides a method and program for identifying cyber-attack routes and assigning an evaluation value to the risk in an information processing system including multiple computers, etc. Specifically, it identifies vulnerabilities in devices on the attack route, and then compares them with a database that stores evaluation values for each predefined vulnerability, enabling a risk evaluation for the entire system being analyzed.

WO2020/195228WO2020/195228

しかしながら産業制御システムでは、IoT機器を含む多種多様な制御機器が稼働しているため、システムを構成する全機器の脆弱性情報を収集するには膨大な時間と労力を要する。 However, industrial control systems operate with a wide variety of control devices, including IoT devices, so collecting vulnerability information for all devices that make up the system requires a huge amount of time and effort.

そのため、時間と労力のリソースに限りがある状況下で、産業制御システムに関して、脆弱性をベースにした従来のリスク分析手法を適用するのは困難なケースが多い。したがってリスク分析に際し、攻撃者にとってのリスクと被害者にとってのリスクの両視点から評価することも難しい現状にある。 As a result, in situations where time and labor resources are limited, it is often difficult to apply traditional vulnerability-based risk analysis methods to industrial control systems. As a result, it is currently difficult to conduct risk analysis from the perspectives of both the risks to attackers and the risks to victims.

そこで本発明では、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からの効率的なリスク分析を可能とすることを目的とする。 The present invention aims to enable efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.

上記課題を解決する本発明の攻撃シナリオ分析装置は、サイバー攻撃に際し攻撃者に必要となるコストの情報、前記攻撃者による攻撃行動による被害の情報、及び攻撃対象となるシステムの機器の種類ごとのサイバー攻撃の状態遷移モデルを保持する記憶部と、分析対象のシステムに含まれる各機器の種類に対応した前記状態遷移モデルを組み合わせることで、サイバー攻撃のシナリオを複数生成する攻撃シナリオ生成部と、攻撃者が前記シナリオに沿って攻撃行動を遷移させることで順次生じる、当該攻撃者にとっての前記コストの情報に基づくリスク及び前記システムにとっての前記被害の情報に基づくリスクの各評価値を算出し、前記評価値に基づき前記シナリオに関するリスクの評価値を特定するリスク評価部と、を備えることを特徴とする。 The attack scenario analysis device of the present invention that solves the above-mentioned problems is characterized by comprising: a memory unit that retains information on the costs required by an attacker to carry out a cyber-attack, information on damage caused by the attacker's attacking actions, and a cyber-attack state transition model for each type of device in the system to be attacked; an attack scenario generation unit that generates a plurality of cyber-attack scenarios by combining the state transition models corresponding to each type of device included in the system to be analyzed; and a risk assessment unit that calculates each evaluation value of a risk to the attacker based on the cost information and a risk to the system based on the damage information that arise sequentially as the attacker transitions his/her attacking actions in accordance with the scenario, and specifies an evaluation value of the risk related to the scenario based on each evaluation value.

また、本発明の攻撃シナリオ分析方法は、情報処理装置が、記憶部において、サイバー攻撃に際し攻撃者に必要となるコストの情報、前記攻撃者による攻撃行動による被害の情報、及び攻撃対象となるシステムの機器の種類ごとのサイバー攻撃の状態遷移モデルを保持し、分析対象のシステムに含まれる各機器の種類に対応した前記状態遷移モデルを組み合わせることで、サイバー攻撃のシナリオを複数生成する処理と、攻撃者が前記シナリオに沿って攻撃行動を遷移させることで順次生じる、当該攻撃者にとっての前記コストの情報に基づくリスク及び前記システムにとっての前記被害の情報に基づくリスクの各評価値を算出し、前記評価値に基づき前記シナリオに関するリスクの評価値を特定する処理と、を実行することを特徴とする。
In addition, the attack scenario analysis method of the present invention is characterized in that an information processing device executes a process of generating a plurality of cyber-attack scenarios by storing, in a memory unit, information on the costs required by an attacker in a cyber-attack, information on damage caused by the attacker's attacking actions, and a cyber-attack state transition model for each type of equipment in the system to be attacked, and combining the state transition models corresponding to each type of equipment included in the system to be analyzed, and a process of calculating each evaluation value of a risk to the attacker based on the cost information and a risk to the system based on the damage information that arise sequentially as the attacker transitions his/her attacking actions in accordance with the scenario, and identifying an evaluation value of a risk related to the scenario based on each evaluation value.

本発明によれば、膨大な脆弱性情報を個別に判別することなく、分析対象システムの構成情報から攻撃者の目線で攻撃シナリオを生成し、攻撃者と分析対象システムの両視点からリスク分析を行うことが可能となる。つまり、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からの効率的なリスク分析が可能となる。 According to the present invention, it is possible to generate an attack scenario from an attacker's perspective from the configuration information of the system being analyzed, without having to individually identify vast amounts of vulnerability information, and to perform risk analysis from the perspectives of both the attacker and the system being analyzed. In other words, it is possible to perform efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.

第1の実施形態に係る攻撃シナリオ分析装置の処理を表すフローチャートである。4 is a flowchart illustrating a process of the attack scenario analysis device according to the first embodiment. 第1~3の実施形態に係る攻撃シナリオ分析装置のシステム構成図である。FIG. 1 is a system configuration diagram of an attack scenario analysis device according to first to third embodiments. 第1~3の実施形態に係る分析対象システムの構成情報の例を表す図である。1 is a diagram illustrating an example of configuration information of a system to be analyzed according to the first to third embodiments. 第1~3の実施形態に係る攻撃者の状態遷移モデルの例を表す図である。FIG. 2 is a diagram illustrating an example of a state transition model of an attacker according to the first to third embodiments. 第1~3の実施形態に係る分析対象システムのネットワーク構成の例を表す図である。FIG. 2 is a diagram illustrating an example of a network configuration of a system to be analyzed according to the first to third embodiments. 第1、2の実施形態に係る攻撃シナリオの模式図の例を表す図である。FIG. 13 is a diagram illustrating an example of a schematic diagram of an attack scenario according to the first and second embodiments. 第1の実施形態に係る攻撃シナリオの一例を表す図である。FIG. 2 is a diagram illustrating an example of an attack scenario according to the first embodiment. 第1の実施形態に係る攻撃シナリオ情報の一例を表す図である。A figure showing an example of attack scenario information related to the first embodiment. 第1の実施形態に係るリスク評価情報の一例を表す図である。FIG. 2 is a diagram showing an example of risk assessment information according to the first embodiment. 第1の実施形態に係る入出力装置に出力される攻撃シナリオ分析装置の分析結果の一例を表す図である。10 is a diagram illustrating an example of an analysis result of the attack scenario analysis device output to the input/output device according to the first embodiment. FIG. 第2の実施形態に係る攻撃シナリオ分析装置の処理を表すフローチャートである。13 is a flowchart illustrating a process of an attack scenario analysis device according to a second embodiment. 第2の実施形態に係る攻撃者が状態を遷移する行動を取るために用いる技術情報を表す図である。FIG. 13 is a diagram showing technical information used by an attacker to take an action to transition a state according to the second embodiment. 第2の実施形態に係る攻撃シナリオ情報の一例を表す図である。A figure showing an example of attack scenario information relating to the second embodiment. 第3の実施形態に係る攻撃シナリオ分析装置の処理を表すフローチャートである。13 is a flowchart illustrating a process of an attack scenario analysis device according to a third embodiment. 第3の実施形態に係る攻撃シナリオ情報の一例を表す図である。A figure showing an example of attack scenario information relating to the third embodiment.

[第1の実施形態]
<攻撃シナリオ分析方法のフロー>
[First embodiment]
<Attack scenario analysis method flow>

以下、本発明の第1の実施形態について、図面を用いて説明する。図1は、攻撃シナリ
オ分析装置10による攻撃シナリオ分析方法の処理フローを示す図である。
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A first embodiment of the present invention will now be described with reference to the accompanying drawings. FIG 1 is a diagram showing a process flow of an attack scenario analysis method performed by an attack scenario analysis device 10.

以下、図1のフローチャートにおける各ステップの概要について説明する。まず攻撃シナリオ分析装置10は、適宜な入出力インターフェイスを介して、分析対象となるシステムのシステム構成情報161のユーザ入力を受け付けて取得する(ステップS1)。 Below, we will provide an overview of each step in the flowchart in Figure 1. First, the attack scenario analysis device 10 accepts and acquires user input of system configuration information 161 of the system to be analyzed via an appropriate input/output interface (step S1).

続いて、攻撃シナリオ分析装置10は、S1で取得したシステム構成情報161を、当該システムの機器種類ごとに個別に定義された攻撃者の状態遷移モデル162(一般的に、「サイバーキルチェーン」と呼ばれることもある)と組み合わせることで、攻撃シナリオを自動生成する(ステップS2)。 Then, the attack scenario analysis device 10 automatically generates an attack scenario by combining the system configuration information 161 acquired in S1 with an attacker's state transition model 162 (commonly known as a "cyber kill chain") that is individually defined for each device type of the system (step S2).

また、攻撃シナリオ分析装置10は、S2で生成した攻撃シナリオに対して、攻撃者および被害者にとってのリスクをそれぞれ個別に分析し、評価値を付与する(ステップS3)。 The attack scenario analysis device 10 also analyzes the risks to the attacker and the victim individually for the attack scenario generated in S2 and assigns an evaluation value (step S3).

ここで、被害者とは攻撃者によって攻撃を受ける対象システムを指す。また、「被害者にとってのリスク」と「分析対象システムにとってのリスク」は同義である。 Here, the victim refers to the system that is attacked by the attacker. Also, "risk to the victim" and "risk to the system under analysis" are synonymous.

続いて、攻撃シナリオ分析装置10は、上記のS3で個別に評価した、攻撃者および被害者それぞれにとってのリスクの評価値を基に、攻撃シナリオ全体のリスクを分析して評価値を算出する(ステップS4)。 Then, the attack scenario analysis device 10 analyzes the risk of the entire attack scenario based on the assessment values of the risks to the attacker and the victim, which were assessed individually in S3 above, and calculates an assessment value (step S4).

最後に、攻撃シナリオ分析装置10は、攻撃シナリオをリスクの評価値と紐付けて、入出力装置17のユーザに向けて出力し(ステップS5)、処理を終了する。 Finally, the attack scenario analysis device 10 links the attack scenario to the risk assessment value and outputs it to the user of the input/output device 17 (step S5), and ends the processing.

<攻撃シナリオ分析装置の構成>
以上の攻撃シナリオ分析装置10における機能をコンピュータで実現したシステム構成の一例を、図2に示す。
<Configuration of the attack scenario analysis device>
FIG. 2 shows an example of a system configuration in which the functions of the attack scenario analysis device 10 described above are realized by a computer.

この場合、攻撃シナリオ分析装置10は、バスなどで互いに接続された、CPU(Central Processing Unit)11、メモリ12、入出力インターフェイス13、記憶装置14
などを含んで構成される。
In this case, the attack scenario analysis device 10 includes a CPU (Central Processing Unit) 11, a memory 12, an input/output interface 13, a storage device 14, and the like, which are connected to each other via a bus or the like.
It is composed of the following:

CPU11は、この攻撃シナリオ分析装置10を統括制御する中央処理装置である。攻撃シナリオ分析装置10の実行時に、CPU11は、記憶装置14に記憶されている処理プログラム群15をメモリ12に展開し、実行する。 The CPU 11 is a central processing unit that controls the attack scenario analysis device 10. When the attack scenario analysis device 10 is running, the CPU 11 deploys the processing program group 15 stored in the storage device 14 into the memory 12 and executes it.

メモリ12は、例えばRAM(Random Access Memory)などであり、CPU11がプログラムを実行する際の作業領域として使用される。 Memory 12 is, for example, a RAM (Random Access Memory) and is used as a working area when CPU 11 executes a program.

また、入出力インターフェイス13は、CPU11での処理結果を外部の入出力装置17に出力するインターフェイスである。 In addition, the input/output interface 13 is an interface that outputs the processing results of the CPU 11 to an external input/output device 17.

入出力装置17は、攻撃シナリオ分析装置10に対してユーザがデータ入出力を行うための装置であり、主にキーボード、マウス、ディスプレイ等から構成される。 The input/output device 17 is a device that allows the user to input and output data to the attack scenario analysis device 10, and is mainly composed of a keyboard, mouse, display, etc.

また、記憶装置14は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)で構成される。この記憶装置14に格納される情報は、処理プログラム群15と記憶部16に大別される。 The storage device 14 is configured, for example, as a hard disk drive (HDD) or a solid state drive (SSD). The information stored in the storage device 14 is broadly divided into a processing program group 15 and a storage unit 16.

処理プログラム群15は、図1の処理S1~S5を実行するプログラムである。情報入力部151はステップS1を、攻撃シナリオ生成部152はステップS2を、リスク評価部153はステップS3およびS4を、分析結果出力部154はステップS5を実行するプログラムである。処理プログラム群15に含まれる学習部155は、第3の実施形態でのみ使用される。 The processing program group 15 is a program that executes processes S1 to S5 in FIG. 1. The information input unit 151 is a program that executes step S1, the attack scenario generation unit 152 is a program that executes step S2, the risk assessment unit 153 is a program that executes steps S3 and S4, and the analysis result output unit 154 is a program that executes step S5. The learning unit 155 included in the processing program group 15 is used only in the third embodiment.

また記憶部16は、処理プログラム群15が処理した入出力データを格納するデータベースを格納する領域となる。記憶部16は、システム構成情報161、情報遷移モデル162、攻撃シナリオ情報163、リスク評価情報164、技術情報165を含む。なお、技術情報165は主に第2、3の実施形態で使用される。 The storage unit 16 also serves as an area for storing a database that stores input/output data processed by the processing program group 15. The storage unit 16 includes system configuration information 161, information transition model 162, attack scenario information 163, risk assessment information 164, and technical information 165. Note that the technical information 165 is mainly used in the second and third embodiments.

以下、記憶部16に格納されている各情報について、処理プログラム群15の機能詳細と関連付けて説明する。 Below, each piece of information stored in the memory unit 16 is explained in relation to the detailed functions of the processing program group 15.

システム構成情報161は、分析対象システムを構成する機器の情報であり、情報入力部151により、ユーザから入力される。 The system configuration information 161 is information about the devices that make up the system to be analyzed, and is input by the user via the information input unit 151.

図3に本実施形態におけるシステム構成情報161の一例を示す。システム構成情報161は、機器のID(Identifier)1611、名称1612、種類1613、OS1614、接続ネットワーク1615、セキュリティレベル1616、および重要度1617を含む。 Figure 3 shows an example of system configuration information 161 in this embodiment. The system configuration information 161 includes a device ID (identifier) 1611, a name 1612, a type 1613, an OS 1614, a connection network 1615, a security level 1616, and an importance level 1617.

このうちID1611は、機器を一意に表す識別子である。また、名称1612は、機器の名称であり、図3で示す例であれば、「ノートPC1」、「データサーバ1」、「監視PC1」、「PLC1」、及び「PLC2」となる。 Of these, ID 1611 is an identifier that uniquely represents the device. Name 1612 is the name of the device, which in the example shown in FIG. 3 would be "Notebook PC 1," "Data Server 1," "Monitoring PC 1," "PLC 1," and "PLC 2."

また、種類1613は、機器の種類であり、図3で示す例であれば、「一般IT業務端末」、「制御監視端末」、「制御コントローラで」となる。 Type 1613 is the type of device, and in the example shown in Figure 3, it would be "general IT business terminal," "control monitoring terminal," or "control controller."

OS1614は、各機器に搭載されているOSの情報であり、図3に示す例であれば、「汎用OS」か「独自OS」となる。 OS 1614 is information about the OS installed in each device, and in the example shown in Figure 3, it would be either a "general-purpose OS" or a "proprietary OS."

また、接続ネットワーク1615は、各機器が接続されるネットワークの情報であり、
図3の例であれば、「情報NW(NetWork)」、「制御NW」、および「インターネット
」の三つのネットワークがある。
The connection network 1615 is information about the network to which each device is connected.
In the example of FIG. 3, there are three networks: an "information network", a "control network", and the "Internet".

セキュリティレベル1616は、各機器のセキュリティレベル(セキュリティ対策のレベル)を示す。本実施形態におけるセキュリティレベル1616は、1~3の3段階となっている。セキュリティレベルの数値が高いほど、セキュリティ対策が十分に実施されていることを意味する。 Security level 1616 indicates the security level (level of security measures) of each device. In this embodiment, security level 1616 has three levels, 1 to 3. The higher the security level number, the more adequate the security measures are implemented.

また、セキュリティレベル1616の値は、「定期的なパッチ適用をしているか」、「常に最新のウイルス対策ソフトがインストールされているか」等、あらかじめ設定したセキュリティポリシーを満たしているかを基準として設定してもよい。 The value of security level 1616 may also be set based on whether a pre-defined security policy is met, such as whether patches are applied regularly or whether the latest antivirus software is always installed.

重要度1617は、分析対象システムにおける各機器の重要度を、セキュリティの機密性1617A、完全性1618B、可用性1619Cの3つの観点で評価した結果が示されている。 Importance 1617 shows the results of evaluating the importance of each device in the system being analyzed from three perspectives: security confidentiality 1617A, integrity 1618B, and availability 1619C.

本実施形態では、機密性1617A、完全性1618B、可用性1619Cは、High、Low、None、の3項目で評価されている。 In this embodiment, confidentiality 1617A, integrity 1618B, and availability 1619C are evaluated using three categories: High, Low, and None.

例えば、機密性1617Aに「High」という評価が与えられている場合は、該当機器がサイバー攻撃を受けて機密性が損なわれると、重大な情報漏洩に繋がるということを示す。 For example, if confidentiality 1617A is rated "High," this indicates that if the device falls victim to a cyber attack and its confidentiality is compromised, it could lead to a serious information leak.

また、機密性1617Aが「Low」であれば軽度な情報漏洩、「None」であれば情報漏洩には発展しないということを意味する。 In addition, if confidentiality 1617A is "Low", it means that there is a minor information leak, and if it is "None", it means that it will not develop into an information leak.

同様に、完全性1617Bについては、該当機器に対するサイバー攻撃時がどの程度重大な情報改ざんにつながるのか、可用性1617Cについては該当機器へのサイバー攻撃時がどの程度重大な業務停止につながるのかが適宜な知見ある者に評価され、その結果が格納される。 Similarly, with regard to integrity 1617B, the extent to which a cyber attack on the relevant device would result in serious information tampering, and with regard to availability 1617C, the extent to which a cyber attack on the relevant device would result in serious business interruption, are evaluated by an appropriate person with knowledge, and the results are stored.

また、機密性1617A、完全性1618B、可用性1619Cには、図3で示したHigh、Low、Noneを使った定性的な評価ではなく、定量的な評価値を与える方式を採用してもよい。 In addition, for confidentiality 1617A, integrity 1618B, and availability 1619C, a method of giving quantitative evaluation values may be adopted, rather than the qualitative evaluation using High, Low, and None as shown in FIG. 3.

続いて、状態遷移モデルについて図4に基づき説明する。状態遷移モデル162は、攻撃者がサイバー攻撃を施行する際の戦術レベルの状態遷移を示すものである。 Next, the state transition model will be explained with reference to FIG. 4. State transition model 162 shows the tactical level state transitions when an attacker carries out a cyber attack.

つまり、状態遷移モデルとは、攻撃者が各機器を攻撃するときの一連の行動(攻撃行動)の遷移を表したものである。状態遷移モデル162は、機器の種類ごとに異なり、個別に定義される。 In other words, a state transition model represents the transition of a series of actions (attack actions) when an attacker attacks each device. The state transition model 162 differs for each type of device and is defined individually.

図4にて、状態遷移モデル162の一例を示す。状態遷移モデル162は、図3で定義された機器の種類1613ごとに定義される。つまり、状態遷移モデル162は、図3の機器の種類1613で予め定義された機器の種類からしか選択できないことを意味する。 Figure 4 shows an example of state transition model 162. State transition model 162 is defined for each device type 1613 defined in Figure 3. In other words, state transition model 162 can only be selected from device types predefined in device type 1613 in Figure 3.

例えば、図4で示す状態遷移モデルは、図3の機器の種類1613で定義されている「一般IT業務端末」に適用可能な状態遷移モデル1621と、同様に「制御監視端末」に適用可能な状態遷移モデル1622、となっている。 For example, the state transition models shown in FIG. 4 are state transition model 1621 applicable to a "general IT business terminal" defined in device type 1613 in FIG. 3, and state transition model 1622 similarly applicable to a "control monitoring terminal."

また、状態遷移モデル162では、所定の攻撃行動を経て各状態に攻撃者が達した際、対象となるシステムにおける機密性・完全性・可用性のどの要素が損害されるのかがあらかじめ定義されている。 In addition, in the state transition model 162, it is predefined which elements of confidentiality, integrity, and availability in the target system will be damaged when an attacker reaches each state through a specified attack action.

例えば、図4では、攻撃者が「持ち出し」という状態に達した際に、一般IT業務端末の「機密性」が損害され、「応答制御」という状態に達した際に制御監視端末の「完全性」が損害され、「制御阻害」という状態に達した際に当該制御監視端末の「可用性」が損害されることを示している。 For example, Figure 4 shows that when an attacker reaches the "take-out" state, the "confidentiality" of the general IT business terminal is damaged, when the "response control" state is reached, the "integrity" of the control monitoring terminal is damaged, and when the "control obstruction" state is reached, the "availability" of the control monitoring terminal is damaged.

なお、攻撃シナリオ情報163は、攻撃シナリオ生成部152で生成された攻撃シナリオの情報である。本発明における攻撃シナリオとは、前述の通り、攻撃者が標的とするシステムに侵入してから目的を達成するまでの一連の経路および攻撃行動を指す。 The attack scenario information 163 is information on the attack scenario generated by the attack scenario generation unit 152. As described above, an attack scenario in this invention refers to a series of paths and attacking actions that an attacker takes from the time he or she infiltrates a targeted system to the time he or she achieves his or her objective.

攻撃者が最初にアクセスする機器は、情報入力部151でユーザが指定してもよいし、システム構成情報161の接続ネットワーク1615に入力された情報から自動で選定してもよい。例えば、インターネットに接続されている機器を攻撃の侵入口と設定する等、が考えられる。 The device that an attacker first accesses may be specified by the user in the information input section 151, or may be automatically selected from the information entered in the connection network 1615 of the system configuration information 161. For example, a device connected to the Internet may be set as the entry point for the attack.

同様に、攻撃者が最終標的とする機器も、情報入力部151でユーザが指定してもよいし、システム構成情報161の重要度1617に入力された情報から自動で選定してもよい。例えば、可用性1617A・機密性1617B・可用性1617Cの全てが「High」と設定されている機器を攻撃の標的と設定する等、が考えられる。 Similarly, the device that the attacker will ultimately target may be specified by the user in the information input section 151, or may be automatically selected from the information entered in the importance 1617 of the system configuration information 161. For example, a device for which availability 1617A, confidentiality 1617B, and availability 1617C are all set to "High" may be set as the target of the attack.

攻撃シナリオ分析装置10は、攻撃者の最初にアクセスする機器と最終標的とする機器が決まれば、攻撃経路はシステム構成情報161の接続ネットワーク1615の情報を基に、自動的に探索する。 Once the attack scenario analysis device 10 has determined the device that the attacker will access first and the final target device, it automatically searches for the attack path based on the information on the connection network 1615 in the system configuration information 161.

図5は、図3で示されているシステム構成情報161をネットワーク構成図として示した図である。本実施形態では、攻撃者が最初にアクセスするものとして、インターネットに接続されているノートPC1、また、攻撃目標の機器として監視PC1を想定し、攻撃シナリオの生成方法を説明する。 Figure 5 is a diagram showing the system configuration information 161 shown in Figure 3 as a network configuration diagram. In this embodiment, we will explain how to generate an attack scenario, assuming that the attacker will first access a notebook PC 1 connected to the Internet, and that the attack target device is a monitoring PC 1.

まず第一に、攻撃経路に関して、最短経路である「ノートPC1→監視PC1」を例として考える。この場合、攻撃シナリオ分析装置10は、ノートPC1と監視PC1において攻撃者が実施する行動について、当該機器に対応した図4の状態遷移モデル162を参照することで、モデル化できる。 First of all, regarding the attack path, consider the shortest path, "notebook PC1 → monitoring PC1," as an example. In this case, the attack scenario analysis device 10 can model the actions taken by the attacker on notebook PC1 and monitoring PC1 by referring to the state transition model 162 in Figure 4 that corresponds to the devices.

図3のシステム構成情報161によると、ノートPC1の種類は「一般IT業務端末」であり、監視PC1の種類は「制御監視機器」である。 According to the system configuration information 161 in FIG. 3, the type of notebook PC 1 is a "general IT business terminal" and the type of monitoring PC 1 is a "control monitoring device."

そのため、攻撃シナリオ分析装置10は、ノートPC1上における攻撃者の行動を、図4の一般IT業務端末の状態遷移モデル1621でモデル化できる。 Therefore, the attack scenario analysis device 10 can model the attacker's behavior on the notebook PC 1 using the state transition model 1621 of a general IT business terminal in Figure 4.

また攻撃シナリオ分析装置10は、監視PC1上における攻撃者の行動を、図4の制御監視端末の状態遷移モデル1622でモデル化できる。そして、これらを組み合わせることで攻撃シナリオが生成できる。 The attack scenario analysis device 10 can also model the attacker's behavior on the monitoring PC 1 using the state transition model 1622 of the control monitoring terminal in Figure 4. Then, by combining these, an attack scenario can be generated.

図6に、上記組み合わせから生成した攻撃シナリオの模式図を示す。攻撃者が状態を遷移する攻撃行動には一意の識別子である行動IDが割り当てられる。図6における攻撃シナリオの場合は、1~11の行動IDが割り当てられている。 Figure 6 shows a schematic diagram of an attack scenario generated from the above combination. An action ID, which is a unique identifier, is assigned to each attack action in which the attacker transitions between states. In the case of the attack scenario in Figure 6, action IDs 1 to 11 are assigned.

また図6では、行動IDとして「1」が割り当てられた行動を「行動1」と表示しており、行動IDが2~11の各行動についても同様の表示形式を採用する。 In addition, in Figure 6, an action assigned the action ID "1" is displayed as "Action 1," and the same display format is used for each action with an action ID of 2 to 11.

図6の攻撃シナリオにおける経路は、「ノートPC1→監視PC1」で固定しているが、攻撃者の行動は次の4パターンが考えられる。 The attack route in the attack scenario in Figure 6 is fixed as "Notebook PC1 → Monitoring PC1", but the attacker's behavior can take one of the following four patterns:

[攻撃シナリオID:1]
行動1→行動2→行動6→行動7→行動8→行動9→行動10
[Attack Scenario ID: 1]
Action 1 → Action 2 → Action 6 → Action 7 → Action 8 → Action 9 → Action 10

[攻撃シナリオID:2]
行動1→行動2→行動6→行動7→行動8→行動9→行動11
[Attack Scenario ID: 2]
Action 1 → Action 2 → Action 6 → Action 7 → Action 8 → Action 9 → Action 11

[攻撃シナリオID:3]
行動1→行動2→行動3→行動4→行動5→行動7→行動8→行動9→行動10
[Attack scenario ID: 3]
Action 1 → Action 2 → Action 3 → Action 4 → Action 5 → Action 7 → Action 8 → Action 9 → Action 10

[攻撃シナリオID:4]
行動1→行動2→行動3→行動4→行動5→行動7→行動8→行動9→行動11
[Attack Scenario ID: 4]
Action 1 → Action 2 → Action 3 → Action 4 → Action 5 → Action 7 → Action 8 → Action 9 → Action 11

それぞれの攻撃シナリオには、一意の識別子である攻撃シナリオIDが割り当てられる。図7にて、例として、攻撃シナリオIDが1の攻撃シナリオの模式図を示す。 Each attack scenario is assigned an attack scenario ID, which is a unique identifier. Figure 7 shows a schematic diagram of an attack scenario with an attack scenario ID of 1 as an example.

攻撃シナリオ分析装置10においては、同じ攻撃経路である場合でも、攻撃者の状態遷移が異なる場合は、別々の攻撃シナリオとして認識される。つまり、「ノートPC1→監視PC1」という単一の攻撃経路に対して、状態遷移が4パターン存在するため、攻撃シナリオ生成部152では4つの個別の攻撃シナリオとして識別される。これらの攻撃シナリオは、割り当てられた攻撃シナリオIDとともに、攻撃シナリオ情報163として格納される。 In the attack scenario analysis device 10, even if the attack path is the same, if the attacker's state transitions are different, they are recognized as separate attack scenarios. In other words, since there are four state transition patterns for a single attack path of "notebook PC1 → monitoring PC1", the attack scenario generation unit 152 identifies them as four separate attack scenarios. These attack scenarios are stored as attack scenario information 163 together with the assigned attack scenario IDs.

図8は、攻撃シナリオ情報163の一例であり、上記の攻撃シナリオIDが「1」、の攻撃シナリオの情報が格納されたテーブルの一例である。攻撃シナリオ情報163では、攻撃の順序を表す攻撃ステップ1631、行動ID1632、各行動IDの詳細1633、攻撃コスト1634、および被害影響度1635を対応付けて記憶する。攻撃コスト1634、被害影響度1635、合算値1636、総合リスク評価値1637については後述する。 Figure 8 is an example of attack scenario information 163, and is an example of a table storing information on an attack scenario with the above attack scenario ID "1". In the attack scenario information 163, attack steps 1631 indicating the order of the attack, action IDs 1632, details 1633 of each action ID, attack cost 1634, and damage impact 1635 are stored in association with each other. The attack cost 1634, damage impact 1635, combined value 1636, and overall risk assessment value 1637 will be described later.

また、リスク評価情報164は、リスク評価部153で分析した、攻撃シナリオのリスクに関する情報が格納される。本発明におけるリスクの評価は、攻撃者と被害者の両視点から、攻撃者が状態を遷移する行動に対して行われる。 In addition, the risk assessment information 164 stores information about the risk of the attack scenario analyzed by the risk assessment unit 153. In the present invention, risk assessment is performed on the attacker's state transition actions from both the attacker's and victim's perspectives.

攻撃者が状態を遷移する行動に着目することで、遷移前と遷移後の両方における攻撃者の状態を考慮したリスクの評価が可能になり、攻撃者の状態単体に対してリスクの評価を行う場合に比べて精度が向上する。 By focusing on the attacker's state transition behavior, it becomes possible to evaluate risk by taking into account the attacker's state both before and after the transition, improving accuracy compared to evaluating risk for the attacker's state alone.

本実施例では、攻撃者にとってのリスクを評価する指標として、例えば、「攻撃コスト」を採用する。攻撃コストとは、攻撃者がサイバー攻撃を実施する際に費やす労力を意味する。 In this embodiment, for example, the "cost of attack" is used as an index for evaluating the risk to an attacker. The cost of attack refers to the effort an attacker expends when carrying out a cyber attack.

攻撃コストが高い場合、攻撃者にとってのリスクは増加するため、攻撃者はなるべく攻撃コストが低い攻撃シナリオを選択すると考えられる。そのため、攻撃コストが低い攻撃
シナリオに対しては、優先的に対策を実施する必要がある。
When the cost of attack is high, the risk to an attacker increases, so it is likely that the attacker will choose an attack scenario with as low an attack cost as possible. Therefore, it is necessary to prioritize the implementation of countermeasures against attack scenarios with low attack costs.

攻撃コストは、前述の通り、攻撃者が状態を遷移する行動に対して算出される。攻撃コストの算出には、図3のシステム構成情報161における機器の種類1613、OS1614、接続ネットワーク1615およびセキュリティレベル1616を活用してもよい。例えば、"侵入"した状態に遷移する行動を取る際、情報NWや制御NW等の社内ネットワークを介する場合はインターネットを介する場合と比べ、攻撃コストを高く算出することが考えられる。この評価方法に従うと、図6の場合、同じ"侵入"した状態に遷移する行動1と行動7を比べた際、行動1よりも行動7の攻撃コストが高く算出される。 As described above, the attack cost is calculated for the attacker's action of transitioning states. The device type 1613, OS 1614, connection network 1615, and security level 1616 in the system configuration information 161 in FIG. 3 may be used to calculate the attack cost. For example, when taking an action that transitions to an "intrusion" state, the attack cost may be calculated to be higher if the action goes through an internal company network such as an information network or control network, compared to if the action goes through the Internet. According to this evaluation method, in the case of FIG. 6, when comparing actions 1 and 7 that transition to the same "intrusion" state, the attack cost of action 7 is calculated to be higher than that of action 1.

攻撃者にとってのリスクを評価する指標としては、「攻撃コスト」以外にも、攻撃の難易度を示す「攻撃難易度」や攻撃が検知される可能性を示す「攻撃検知率」等、攻撃者にとってのリスクに関連する指標であればよく、これらを組み合わせて攻撃者にとってのリスクの評価値を算出してもよい。 As an indicator for evaluating the risk to an attacker, other than "attack cost," any indicator related to the risk to an attacker can be used, such as "attack difficulty," which indicates the difficulty of an attack, or "attack detection rate," which indicates the possibility that an attack will be detected, and these can be combined to calculate the evaluation value of the risk to an attacker.

一方で、被害者にとってのリスクを評価する指標として、例えば、「被害影響度」を採用する。被害影響度とは、分析対象システムがサイバー攻撃を受けた際に被る被害影響を数値化した指標である。攻撃者はなるべく被害影響度が高い攻撃シナリオを実行すると考えられる。そのため、被害影響度が高い攻撃シナリオに対しては、優先的に対策を実施する必要がある。 On the other hand, as an index for evaluating the risk to the victim, for example, "damage impact degree" is used. Damage impact degree is an index that quantifies the damage impact that will be caused when the system under analysis is hit by a cyber attack. Attackers are likely to carry out attack scenarios with as high a damage impact degree as possible. For this reason, it is necessary to prioritize the implementation of countermeasures against attack scenarios with a high damage impact degree.

被害影響度も攻撃コストと同様に、攻撃者が状態を遷移する行動に対して算出される。被害影響度の算出には、図3のシステム構成情報161における重要度1617の機密性1617A・完全性1617B・可用性1617Cを活用してもよい。 Similar to the attack cost, the damage impact is calculated for the attacker's state transition actions. The damage impact may be calculated using the confidentiality 1617A, integrity 1617B, and availability 1617C of the importance 1617 in the system configuration information 161 in FIG. 3.

例えば、図6の攻撃シナリオの模式図では、攻撃者が行動4を実施するとノートPC1の機密性が損害される。ノートPC1の機密性1617Aには「Low」が割り当てられているので、攻撃者が行動4を実施すると、システムにとっては軽度な情報漏洩に繋がることを意味する。 For example, in the schematic diagram of the attack scenario in Figure 6, if an attacker performs action 4, the confidentiality of notebook PC 1 will be compromised. Since the confidentiality 1617A of notebook PC 1 is assigned "Low," this means that if an attacker performs action 4, it will lead to a minor information leak in the system.

同様に、攻撃者が行動10を実施すると監視PC1の完全性が阻害される。監視PC1の完全性1617Cには「High」が割り当てられているので、攻撃者が行動10を実施すると、システムにとっては重大な情報の改ざんに繋がることを意味する。これらの被害影響度を数値化する際には、CVSS v3(Common Vulnerability Scoring System v3)における攻撃による影響を評価する項目を参考にしても良い。 Similarly, if an attacker performs action 10, the integrity of monitoring PC 1 will be compromised. Since "High" is assigned to the integrity 1617C of monitoring PC 1, it means that if an attacker performs action 10, it will lead to the tampering of critical information for the system. When quantifying the degree of damage and impact of these, it is possible to refer to the items in CVSS v3 (Common Vulnerability Scoring System v3) that evaluate the impact of attacks.

被害者にとってのリスクを評価する指標としては、「被害影響度」以外にも、想定される被害額を示す「想定被害額」等、被害者にとってのリスクに関連する指標であればよく、これらを組み合わせて被害者にとってのリスクの評価値を算出してもよい。 As an indicator for assessing the risk to the victim, in addition to the "impact of damage," any indicator related to the risk to the victim, such as the "estimated amount of damage," which indicates the expected amount of damage, may be used, and these may be combined to calculate the assessment value of the risk to the victim.

図9にリスク評価情報164の一例を示す。本実施例では、攻撃者にとってのリスクの評価値である攻撃コスト1642と、被害者にとってのリスクの評価値である被害影響度1643が、行動ID1641に対応付けられている。 Figure 9 shows an example of risk assessment information 164. In this embodiment, an attack cost 1642, which is an assessment value of the risk to the attacker, and a damage impact level 1643, which is an assessment value of the risk to the victim, are associated with an action ID 1641.

こうしたリスク評価情報1642は、図8の攻撃コスト1634と被害影響度1635にも入力される。図6の攻撃シナリオ情報163における合算値1636には、攻撃シナリオ全体で攻撃コストと被害影響度を合算した値が設定される。 This risk assessment information 1642 is also input to the attack cost 1634 and damage impact 1635 in FIG. 8. The total value 1636 in the attack scenario information 163 in FIG. 6 is set to the total attack cost and damage impact for the entire attack scenario.

また、総合リスク評価値1637には、被害影響度の合算値を攻撃コストの合算値で除算した値が格納される。つまり、総合リスク評価値が高い攻撃シナリオは、少ない攻撃コ
ストで大きな被害影響度を与えることができると解釈できる。
Moreover, a value obtained by dividing the total damage impact degree by the total attack cost is stored in the overall risk evaluation value 1637. In other words, it can be interpreted that an attack scenario with a high overall risk evaluation value can cause a large damage impact degree with a low attack cost.

本実施例では、総合リスク評価値1637の算出方法として上記のような単純な除算を採用したが、攻撃者および被害者にとってのリスクの評価値の両方を用いて導出した値であれば、計算方法は問わない。 In this embodiment, the above-mentioned simple division is used as the method for calculating the overall risk assessment value 1637, but the calculation method is not important as long as the value is derived using both the risk assessment values for the attacker and the victim.

図10は、分析結果出力部154が攻撃シナリオ情報163を読み込み、攻撃シナリオ分析結果1540として入出力装置17に表示した一例を示した図である。攻撃シナリオ分析結果1540は、表1549、並び替えボタン1546、リスク評価方式変更ボタン1547、及び一括ファイル出力ボタン1548を含む。 Figure 10 shows an example in which the analysis result output unit 154 reads the attack scenario information 163 and displays it on the input/output device 17 as an attack scenario analysis result 1540. The attack scenario analysis result 1540 includes a table 1549, a sort button 1546, a change risk assessment method button 1547, and a batch file output button 1548.

このうち表1549は、攻撃シナリオID1541、攻撃コスト1542、被害影響度1543、および総合リスク評価値1544を対応付けたものである。 Of these, table 1549 associates attack scenario ID 1541, attack cost 1542, damage impact level 1543, and overall risk assessment value 1544.

攻撃コスト1542と被害影響度1543には、図8で算出した合算値1636が、総合リスク評価値1544には、図8で算出した総合リスク評価値1637と同じ値が、対応する攻撃シナリオID1541に対して格納される。 The attack cost 1542 and damage impact 1543 are stored with the combined value 1636 calculated in FIG. 8, and the overall risk assessment value 1544 is stored with the same value as the overall risk assessment value 1637 calculated in FIG. 8, for the corresponding attack scenario ID 1541.

また、詳細表示ボタン1545の押下を受けて、攻撃シナリオ分析装置10は、該当する攻撃シナリオの詳細情報を、攻撃シナリオ情報163から呼び出し、ユーザに表示する。 In addition, when the detail display button 1545 is pressed, the attack scenario analysis device 10 calls up detailed information about the corresponding attack scenario from the attack scenario information 163 and displays it to the user.

また、詳細表示ボタン1545の押下を受けて、攻撃シナリオ分析装置10は、図7のような、該当する攻撃シナリオの模式図を表示するとしてもよい。或いは、図8のような表形式の攻撃シナリオを表示するとしてもよい。 In addition, when the detail display button 1545 is pressed, the attack scenario analysis device 10 may display a schematic diagram of the corresponding attack scenario as shown in FIG. 7. Alternatively, the attack scenario may be displayed in a tabular format as shown in FIG. 8.

また、並び替えボタン1546の押下を受けて、攻撃シナリオ分析装置10は、表1549の表示内容を、攻撃シナリオID1541、攻撃コスト1542、被害影響度1543、および総合リスク評価値1544の大小でソート、すなわち並び変える。 In addition, when the sort button 1546 is pressed, the attack scenario analysis device 10 sorts, i.e. rearranges, the display contents of table 1549 by attack scenario ID 1541, attack cost 1542, damage impact level 1543, and overall risk assessment value 1544.

ユーザによっては、総合リスク評価値1544ではなく、攻撃コスト1542もしくは被害影響度1543の一方を用いて、攻撃シナリオのリスクを評価することも考えられる。 Depending on the user, it may be possible to evaluate the risk of an attack scenario using either the attack cost 1542 or the damage impact 1543 rather than the overall risk assessment value 1544.

リスク評価方式変更ボタン1547の押下を受けて、攻撃シナリオ分析装置10は、攻撃者および被害者にとってのリスクの評価方式を変更する。例えば、攻撃者にとってのリスクの評価方式を、「攻撃コスト」から「攻撃検知率」に切り替えることが考えられる。 When the risk assessment method change button 1547 is pressed, the attack scenario analysis device 10 changes the method of assessing the risk to the attacker and the victim. For example, the method of assessing the risk to the attacker may be switched from "attack cost" to "attack detection rate."

また、一括ファイル出力ボタンの押下を受けて、攻撃シナリオ分析装置10は、表1549の表示内容、および詳細表示ボタン1545を押すことで得られる表示内容の、両方を一括してファイルで出力する。 In addition, when the batch file output button is pressed, the attack scenario analysis device 10 outputs both the display contents of table 1549 and the display contents obtained by pressing the detailed display button 1545 in a file at once.

[第2の実施形態]
以下、本発明の第2の実施形態について、図面を用いて説明する。第1の実施形態では、図6のように攻撃シナリオを生成する際、ある状態から次の状態に遷移する行動には単一の行動IDが割り当てられている。
Second Embodiment
The second embodiment of the present invention will be described below with reference to the drawings. In the first embodiment, when generating an attack scenario as shown in FIG. 6, a single action ID is assigned to an action that transitions from a certain state to the next state.

しかしながら、各行動を実現するための技術は多岐にわたる。ある状態から"侵入"した状態に遷移する行動を例に挙げると、本行動を実現するためには「標的型メールを介したマルウェア感染」や「リモートログインサービスの悪用」等の様々な技術が用いられる。 However, there are many different technologies to realize each action. For example, if we take the action of transitioning from one state to an "intrusion" state, various technologies are used to realize this action, such as "infecting a system with malware via targeted email" or "abusing remote login services."

本実施例では、上記の例のように採用する技術によって別々に攻撃シナリオを生成し、評価することを可能にする、攻撃シナリオ分析装置10について説明する。 In this embodiment, we will describe an attack scenario analysis device 10 that makes it possible to generate and evaluate attack scenarios separately using the techniques adopted in the above examples.

第2の実施形態に係る攻撃シナリオ分析装置10は、第1の実施形態に係る攻撃シナリオ分析装置の記憶部16に技術情報165を追加した構成となる。 The attack scenario analysis device 10 according to the second embodiment has a configuration in which technical information 165 is added to the memory unit 16 of the attack scenario analysis device according to the first embodiment.

図11は、第2の実施形態に係る、攻撃シナリオ分析装置10による攻撃シナリオ分析方法のフロー例を示す図である。 Figure 11 is a diagram showing an example of the flow of an attack scenario analysis method by the attack scenario analysis device 10 according to the second embodiment.

図11のフローにおける、ステップS11、S13、S14、S15は、図1のフローにおける、ステップS1、S3、S4、S5とそれぞれ同様の処理となる。 Steps S11, S13, S14, and S15 in the flow of FIG. 11 are the same processes as steps S1, S3, S4, and S5, respectively, in the flow of FIG. 1.

一方、ステップS12では、ステップS2と異なり、攻撃シナリオ分析装置10は、入力したシステム構成情報121を、機器の種類ごとに個別に定義された攻撃者の状態遷移モデル162、および技術情報165と網羅的に組み合わせることで、攻撃シナリオを自動生成する。 On the other hand, in step S12, unlike step S2, the attack scenario analysis device 10 automatically generates an attack scenario by comprehensively combining the input system configuration information 121 with the attacker's state transition model 162, which is defined individually for each type of device, and the technical information 165.

図12は、技術情報165の一例を示す。技術情報165には、攻撃者が一連の攻撃シナリオの中で遷移する対象となる状態1652と、その状態遷移を実現するための技術1653の一覧が格納されている。 Figure 12 shows an example of technical information 165. Technical information 165 stores a list of states 1652 to which an attacker will transition in a series of attack scenarios, and technologies 1653 for achieving those state transitions.

それぞれの実現技術1653には、技術を一意に識別する技術ID1651と、当該技術を用いることの難易度を表す技術難易度1654、当該技術を用いた攻撃に要する労力を示す実施労力1655、攻撃が検知される可能性を表す攻撃検知率1656、当該技術を用いた攻撃による被害の影響度を示す被害影響度1657、及び当該技術を用いた攻撃による被害額度を示す想定被害額1658が定義されている。 Each implementation technology 1653 is defined with a technology ID 1651 that uniquely identifies the technology, a technology difficulty 1654 that indicates the difficulty of using the technology, an implementation effort 1655 that indicates the effort required for an attack using the technology, an attack detection rate 1656 that indicates the possibility that the attack will be detected, a damage impact 1657 that indicates the impact of damage caused by an attack using the technology, and an estimated damage amount 1658 that indicates the amount of damage caused by an attack using the technology.

なお、図12において、技術難易度1654、実施労力1655、攻撃検知率1656、被害影響度1657、及び想定被害額1658のそれぞれは、「High」、「Mid」、「Low」で評価しているが、定量的なスコアを与えてもよい。 In FIG. 12, the technical difficulty 1654, implementation effort 1655, attack detection rate 1656, damage impact 1657, and estimated damage amount 1658 are each rated as "High," "Mid," or "Low," but a quantitative score may also be given.

図13は、第2の実施形態で生成された攻撃シナリオを格納した攻撃シナリオ情報163Aの一例を表したものである。第2の実施形態の攻撃シナリオ生成部152では、行動IDと技術IDの全ての組み合わせに対して攻撃シナリオが生成され、攻撃シナリオ情報163Aに格納される。 Figure 13 shows an example of attack scenario information 163A that stores attack scenarios generated in the second embodiment. In the attack scenario generation unit 152 of the second embodiment, attack scenarios are generated for all combinations of behavior IDs and technology IDs, and are stored in the attack scenario information 163A.

図13では、攻撃シナリオIDが「1」の攻撃シナリオの一例が表示されており、各攻撃ステップ1631Aに対応する行動ID1632Aと技術ID1638Aの組み合わせ、およびその詳細1633Aが対応付けられている。 In FIG. 13, an example of an attack scenario with an attack scenario ID of "1" is displayed, and each attack step 1631A is associated with a combination of an action ID 1632A and a technique ID 1638A, and its details 1633A.

また、図8と同じく、攻撃シナリオ分析装置10は、攻撃コスト1634Aと被害影響度1635Aも各攻撃ステップに対して算出し、それらの合算値1636Aを基にして、総合リスク評価値1637Aを算出する。 Also, as in FIG. 8, the attack scenario analysis device 10 calculates the attack cost 1634A and the damage impact 1635A for each attack step, and calculates the overall risk assessment value 1637A based on the sum of these values 1636A.

第2の実施形態においては、攻撃コスト1634Aを算出する際は、図3のシステム構成情報161における機器の種類1613、OS1614、接続ネットワーク1615、セキュリティレベル1616に加えて、図12の技術難易度1654の評価を考慮にいれてもよい。 In the second embodiment, when calculating the attack cost 1634A, in addition to the device type 1613, OS 1614, connection network 1615, and security level 1616 in the system configuration information 161 in FIG. 3, the evaluation of the technical difficulty 1654 in FIG. 12 may be taken into consideration.

例えば、"侵入"した状態に移る行動を取る際、技術難易度に「High」の評価が与えられている技術を用いる場合は、「Low」の評価が与えられている技術を用いる場合と比べて、攻撃コストを高く算出する、といった運用を想定する。 For example, when taking action to move into an "intrusion" state, if a technology with a technical difficulty rating of "High" is used, the attack cost will be calculated to be higher than if a technology with a "Low" rating is used.

最後に、分析結果出力部154が攻撃シナリオ情報163Aを読み込み、分析結果出力部154に出力することで、本実施例のサイバー攻撃シナリオ評価は完了する。 Finally, the analysis result output unit 154 reads the attack scenario information 163A and outputs it to the analysis result output unit 154, thereby completing the cyber attack scenario evaluation in this embodiment.

[第3の実施形態]
以下、本発明の第3の実施形態について、図面を用いて説明する。第1および第2の実施形態における攻撃シナリオ分析措置では、全ての攻撃シナリオに対してリスクの評価値を計算し、ユーザに出力する方法を採用していた。一方で、本実施例では、強化学習を用いた分析により、攻撃者にとって最適な攻撃シナリオを抽出し、これをユーザに出力する攻撃シナリオ分析措置について説明する。
[Third embodiment]
A third embodiment of the present invention will be described below with reference to the drawings. In the attack scenario analysis measures in the first and second embodiments, a method is adopted in which risk assessment values are calculated for all attack scenarios and output to the user. On the other hand, in this embodiment, an attack scenario analysis measure is described that extracts an optimal attack scenario for an attacker through analysis using reinforcement learning and outputs the extracted attack scenario to the user.

第3の実施形態に係る攻撃シナリオ分析装置10は、第1の実施形態に係る攻撃シナリオ分析装置の処理プログラム群15に学習部155を、記憶部16に技術情報165を追加した構成となる。 The attack scenario analysis device 10 according to the third embodiment has a configuration in which a learning unit 155 is added to the processing program group 15 of the attack scenario analysis device according to the first embodiment, and technical information 165 is added to the memory unit 16.

図14は、第3の実施形態に係る、攻撃シナリオ分析装置10による攻撃シナリオ分析方法のフロー例を示す図である。図14のフローにおけるステップS111、S112、S113は、図11のステップS11、S12、S13とそれぞれ同様の処理を実施する。 Figure 14 is a diagram showing an example of a flow of an attack scenario analysis method by the attack scenario analysis device 10 according to the third embodiment. Steps S111, S112, and S113 in the flow of Figure 14 perform the same processes as steps S11, S12, and S13 in Figure 11, respectively.

ここで、ステップS114では、学習部155において、ステップ113で算出した各行動に対する攻撃者および被害者にとってのリスクの評価値を基に各行動の報酬を定義し、学習を繰り返す。 In step S114, the learning unit 155 defines a reward for each action based on the assessment value of the risk to the attacker and victim for each action calculated in step 113, and repeats the learning process.

上述の学習の手法は任意であり、例えば、強化学習の一つの手法であるQ学習(Q―Learning)を用いるとしてもよい。このQ学習においては、各状態において選択できる全ての行動に対して報酬が与えられ、行動価値関数Qが学習される。ステップS113では、各行動と技術の組み合わせに対して、攻撃者および被害者にとってのリスクの評価値が算出されている。 The above-mentioned learning method may be any method, and for example, Q-learning, which is a method of reinforcement learning, may be used. In this Q-learning, rewards are given for all actions that can be selected in each state, and an action value function Q is learned. In step S113, an assessment value of the risk to the attacker and victim is calculated for each combination of action and technology.

本実施例をQ学習の枠組みに合わせるために、各行動と技術の組み合わせを改めて個別の行動として定義しなおしてもよい。例えば、行動IDがXXで技術IDがYYの組み合わせと、行動IDがXXで技術IDがZZの組み合わせは、異なる行動として扱い、それぞれの行動IDをXX-YYおよびXX-ZZと定義しなおすことが考えられる。図15
には、図13を上記で説明した行動IDに定義しなおした一例を示す。
In order to fit this embodiment into the Q-learning framework, each combination of behavior and skill may be redefined as an individual behavior. For example, a combination of behavior ID XX and skill ID YY and a combination of behavior ID XX and skill ID ZZ may be treated as different behaviors, and the respective behavior IDs may be redefined as XX-YY and XX-ZZ.
13 shows an example in which the action IDs in FIG. 13 are redefined as described above.

行動に対して与えられる報酬に関して、被害者にとってのリスクの評価値が高い行動には報酬を高く設定し、攻撃者にとってのリスクの評価値が高い行動には報酬を低く設定してもよい。 Regarding rewards for actions, a higher reward may be set for actions that pose a higher risk to the victim, and a lower reward may be set for actions that pose a higher risk to the attacker.

ステップS115では、学習部155において、上述のステップS114で学習した行動価値関数Qが最大となる行動と技術の組み合わせを選択した攻撃シナリオを、攻撃者にとっての最適の攻撃シナリオとみなし、分析結果出力部154に出力する。これにより、本実施例のサイバー攻撃シナリオ評価は完了する。 In step S115, the learning unit 155 selects an attack scenario that is a combination of actions and techniques that maximizes the action value function Q learned in the above-mentioned step S114, and outputs the selected attack scenario to the analysis result output unit 154. This completes the cyber attack scenario evaluation in this embodiment.

以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。 The above describes in detail the best mode for carrying out the present invention, but the present invention is not limited to this, and various modifications are possible without departing from the spirit of the present invention.

こうした本実施形態によれば、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からの効率的なリスク分析が可能となる。 This embodiment enables efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.

本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の攻撃シナリオ分析装置において、前記記憶部は、前記システムを構成する機器の種類ごとに、前記状態遷移モデルを保持し、前記攻撃シナリオ生成部は、前記システムに含まれる各機器の種類に対応する状態遷移モデルを組み合わせることで、前記シナリオを複数生成するものである、としてもよい。 The description in this specification makes clear at least the following. That is, in the attack scenario analysis device of this embodiment, the storage unit may hold the state transition model for each type of device constituting the system, and the attack scenario generation unit may generate multiple scenarios by combining state transition models corresponding to the types of devices included in the system.

これによれば、システムを構成する機器に関する情報が得られる場合に対応して、より高精度のシナリオ生成が可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to generate scenarios with higher accuracy when information about the devices that make up the system is available. This in turn enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.

また、本実施形態の攻撃シナリオ分析装置において、前記記憶部は、前記攻撃行動に必要なコストの情報をさらに保持し、前記リスク評価部は、前記シナリオに関して、当該シナリオが含む前記攻撃行動それぞれの、攻撃に必要な労力、攻撃の難易度、及び攻撃が検知される可能性を表す攻撃検知率、の少なくともいずれかの観点でのコストを、前記コストの情報に基づき集計し、当該集計したコストを前記攻撃者にとっての前記リスクの評価値とするものである、としてもよい。 In the attack scenario analysis device of this embodiment, the storage unit may further store information on the costs required for the attack behavior, and the risk assessment unit may tally up the costs of each of the attack behaviors included in the scenario from at least one of the perspectives of the effort required for the attack, the difficulty of the attack, and the attack detection rate, which indicates the possibility that the attack will be detected, based on the cost information, and may treat the tally up costs as an assessment value of the risk to the attacker.

これによれば、攻撃者側の視点でのコストについて、より精度良く勘案してリスク評価を行うことが可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to more accurately consider the costs from the attacker's perspective when conducting risk assessments. This in turn enables more efficient risk analysis of cyber attacks against industrial control systems from both the attacker's and victim's perspectives.

また、本実施形態の攻撃シナリオ分析装置において、前記記憶部は、前記攻撃行動による被害の情報をさらに保持し、前記リスク評価部は、前記シナリオに関して、当該シナリオが含む前記攻撃行動それぞれの、攻撃による被害の影響を表した被害影響度、及び攻撃により想定される被害額を表す想定被害額、の少なくともいずれかの観点でのコストを、前記被害の情報に基づき集計し、当該集計したコストを前記システムにとっての前記リスクの評価値とするものである、としてもよい。 In the attack scenario analysis device of this embodiment, the storage unit may further store information on damage caused by the attack behavior, and the risk assessment unit may tally up costs from at least one of the perspectives of a damage impact level representing the impact of damage caused by an attack and an estimated damage amount representing the estimated amount of damage caused by an attack for each of the attack behaviors included in the scenario based on the damage information, and may treat the tally up costs as an assessment value of the risk to the system.

これによれば、被攻撃側である分析対象システムのコストについて、より精度良く勘案してリスク評価を行うことが可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to more accurately consider the costs of the system under attack and perform risk assessment. This in turn enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.

また、本実施形態の攻撃シナリオ分析装置において、前記システムを構成する機器の情報入力を受け付ける情報入力部を更に備えるとしてもよい。 The attack scenario analysis device of this embodiment may further include an information input unit that accepts information input of the devices that make up the system.

これによれば、シナリオ生成の精度を上げうる機器の情報を効率良く取得可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to efficiently obtain device information that can improve the accuracy of scenario generation. Ultimately, this enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.

また、本実施形態の攻撃シナリオ分析装置において、前記攻撃シナリオ生成部は、前記情報入力部で入力された前記システムの機器の重要度に関する情報に基づき、前記シナリオにおける、攻撃者が前記システムにおいて最初にアクセスする機器と最終標的とする機器を選定するものである、としてもよい。 In addition, in the attack scenario analysis device of this embodiment, the attack scenario generation unit may select, in the scenario, the device that an attacker will access first in the system and the device that will be the final target, based on information regarding the importance of the devices in the system inputted by the information input unit.

これによれば、シナリオにおける開始/終了の特定を精度良好に特定可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点から
のより効率的なリスク分析が可能となる。
This makes it possible to accurately identify the start/end of a scenario, which in turn enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both attackers and victims.

また、本実施形態の攻撃シナリオ分析装置において、前記攻撃シナリオ生成部で生成した各シナリオと、前記リスク評価部で各シナリオについて得られた前記評価値とを紐付けたシナリオ一覧を表示する分析結果出力部をさらに備える、としてもよい。 The attack scenario analysis device of this embodiment may further include an analysis result output unit that displays a list of scenarios that link each scenario generated by the attack scenario generation unit with the evaluation value obtained for each scenario by the risk assessment unit.

これによれば、ユーザに対して各シナリオの特性がどのようなものか的確に提示可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to accurately present to the user the characteristics of each scenario. Ultimately, this enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.

また、本実施形態の攻撃シナリオ分析装置において、前記記憶部は、前記コストの情報として、前記攻撃行動を実現する技術の情報をさらに保持し、前記攻撃シナリオ生成部は、前記技術の情報に基づいて、前記状態遷移モデルと、当該状態遷移モデルにおける攻撃行動の実現技術の情報とを組み合わせて、前記システムにおける前記シナリオを生成するものである、としてもよい。 In addition, in the attack scenario analysis device of this embodiment, the storage unit may further store information on the technology that realizes the attack behavior as the cost information, and the attack scenario generation unit may generate the scenario in the system by combining the state transition model and information on the technology that realizes the attack behavior in the state transition model based on the technology information.

これによれば、シナリオを構成する攻撃行動のそれぞれについて技術的特徴や、それに基づくコスト(攻撃側と被害者側の双方)を踏まえた各種処理が可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to carry out various processes that take into account the technical characteristics of each attack action that makes up the scenario and the associated costs (for both the attacker and the victim). Ultimately, this enables more efficient risk analysis of cyber attacks against industrial control systems from the perspectives of both the attacker and the victim.

また、本実施形態の攻撃シナリオ分析装置において、前記リスクの評価値に基づき、攻撃者が状態を遷移する攻撃行動と前記技術の組み合わせに対して報酬を定義し、前記シナリオを強化学習する学習部をさらに備える、としてもよい。 The attack scenario analysis device of this embodiment may further include a learning unit that defines a reward for a combination of the attack behavior in which the attacker transitions between states and the technology based on the risk assessment value, and performs reinforcement learning of the scenario.

これによれば、あるシステムに関して得たシナリオを、類似の構成や特徴を有する他システムのシステムに展開するといった運用も可能となる。ひいては、産業制御システムに対するサイバー攻撃について、攻撃者及び被害者の両視点からのより効率的なリスク分析が可能となる。 This makes it possible to deploy a scenario obtained for one system to other systems with similar configurations and characteristics. This in turn enables more efficient risk analysis of cyber attacks on industrial control systems from the perspectives of both the attacker and the victim.

10 攻撃シナリオ分析装置
11 CPU
12 メモリ
13 入出力インターフェイス
14 記憶装置
15 処理プログラム群
151 情報入力部
152 攻撃シナリオ生成部
153 リスク評価部
154 分析結果出力部
155 学習部
16 記憶部
161 システム構成情報
162 状態遷移モデル
163 攻撃シナリオ情報
164 リスク評価情報
165 技術情報
10 Attack scenario analysis device 11 CPU
12 Memory 13 Input/Output Interface 14 Storage Device 15 Processing Program Group 151 Information Input Unit 152 Attack Scenario Generation Unit 153 Risk Assessment Unit 154 Analysis Result Output Unit 155 Learning Unit 16 Storage Unit 161 System Configuration Information 162 State Transition Model 163 Attack Scenario Information 164 Risk Assessment Information 165 Technical Information

Claims (9)

サイバー攻撃に際し攻撃者に必要となるコストの情報、前記攻撃者による攻撃行動による被害の情報、及び攻撃対象となるシステムの機器の種類ごとのサイバー攻撃の状態遷移モデルを保持する記憶部と、
分析対象のシステムに含まれる各機器の種類に対応した前記状態遷移モデルを組み合わせることで、サイバー攻撃のシナリオを複数生成する攻撃シナリオ生成部と、
攻撃者が前記シナリオに沿って攻撃行動を遷移させることで順次生じる、当該攻撃者にとっての前記コストの情報に基づくリスク及び前記システムにとっての前記被害の情報に基づくリスクの各評価値を算出し、前記評価値に基づき前記シナリオに関するリスクの評価値を特定するリスク評価部と、
を備えることを特徴とする攻撃シナリオ分析装置。
A storage unit that stores information on costs required by an attacker to carry out a cyber-attack, information on damage caused by the attacking actions of the attacker, and a state transition model of a cyber-attack for each type of device of a system that is the target of the attack;
an attack scenario generation unit that generates multiple cyber-attack scenarios by combining the state transition models corresponding to the types of devices included in the system to be analyzed ;
a risk assessment unit that calculates an assessment value of a risk to the attacker based on the information on the cost and a risk to the system based on the information on the damage, which are sequentially generated as a result of the attacker transitioning his/her attack behavior in accordance with the scenario, and determines an assessment value of a risk related to the scenario based on the assessment values;
An attack scenario analysis device comprising:
前記リスク評価部は、
前記シナリオに関して、当該シナリオが含む前記攻撃行動それぞれの、攻撃に必要な労力、攻撃の難易度、及び攻撃が検知される可能性を表す攻撃検知率、の少なくともいずれかの観点でのコストを、前記コストの情報に基づき集計し、当該集計したコストを前記攻撃者にとっての前記リスクの評価値とするものである、
ことを特徴とする請求項1に記載の攻撃シナリオ分析装置。
The risk assessment unit includes:
aggregating costs of each of the attacking actions included in the scenario from at least one of the viewpoints of effort required for the attack, difficulty of the attack, and attack detection rate indicating the possibility that the attack will be detected, based on the cost information, and using the aggregated costs as an evaluation value of the risk to the attacker;
2. The attack scenario analysis device according to claim 1,
前記リスク評価部は、
前記シナリオに関して、当該シナリオが含む前記攻撃行動それぞれの、攻撃による被害の影響を表した被害影響度、及び攻撃により想定される被害額を表す想定被害額、の少なくともいずれかの観点でのコストを、前記被害の情報に基づき集計し、当該集計したコストを前記システムにとっての前記リスクの評価値とするものである、
ことを特徴とする請求項1に記載の攻撃シナリオ分析装置。
The risk assessment unit includes:
aggregating costs from at least one of the viewpoints of a damage impact level representing the impact of damage caused by an attack and an estimated damage amount representing the estimated damage amount caused by an attack for each of the attack actions included in the scenario based on the damage information, and using the aggregated costs as an evaluation value of the risk to the system;
2. The attack scenario analysis device according to claim 1,
前記システムを構成する機器の情報入力を受け付ける情報入力部を更に備えることを特徴とする請求項1に記載の攻撃シナリオ分析装置。 The attack scenario analysis device according to claim 1, further comprising an information input unit that accepts information input of devices that constitute the system. 前記攻撃シナリオ生成部は、
前記情報入力部で入力された前記システムの機器の重要度に関する情報に基づき、前記シナリオにおける、攻撃者が前記システムにおいて最初にアクセスする機器と最終標的とする機器を選定するものである、
ことを特徴とする請求項4に記載の攻撃シナリオ分析装置。
The attack scenario generation unit
a device that an attacker will access first in the system and a device that will be a final target in the system in the scenario are selected based on the information regarding the importance of the devices in the system inputted in the information input section;
5. The attack scenario analysis device according to claim 4.
前記攻撃シナリオ生成部で生成した各シナリオと、前記リスク評価部で各シナリオについて得られた前記評価値とを紐付けたシナリオ一覧を表示する分析結果出力部をさらに備える、
ことを特徴とする請求項5に記載の攻撃シナリオ分析装置。
and an analysis result output unit that displays a list of scenarios in which each scenario generated by the attack scenario generation unit is associated with the evaluation value obtained for each scenario by the risk evaluation unit.
6. The attack scenario analysis device according to claim 5,
前記記憶部は、
前記コストの情報として、前記攻撃行動を実現する技術の情報をさらに保持し、
前記攻撃シナリオ生成部は、
前記技術の情報に基づいて、前記状態遷移モデルと、当該状態遷移モデルにおける攻撃行動の実現技術の情報とを組み合わせて、前記システムにおける前記シナリオを生成するものである、
ことを特徴とする請求項2に記載の攻撃シナリオ分析装置。
The storage unit is
The cost information further includes information on a technique for realizing the attacking behavior;
The attack scenario generation unit
generating the scenario in the system by combining the state transition model with information on a technology that realizes an attack behavior in the state transition model based on the information on the technology;
3. The attack scenario analysis device according to claim 2.
前記リスクの評価値に基づき、攻撃者が状態を遷移する攻撃行動と前記技術の組み合わせに対して報酬を定義し、前記シナリオを強化学習する学習部をさらに備える、
ことを特徴とする請求項7に記載の攻撃シナリオ分析装置。
A learning unit that defines a reward for a combination of an attacking action in which an attacker transitions between states and the technique based on the risk evaluation value, and performs reinforcement learning on the scenario.
The attack scenario analysis device according to claim 7 .
情報処理装置が、
記憶部において、サイバー攻撃に際し攻撃者に必要となるコストの情報、前記攻撃者による攻撃行動による被害の情報、及び攻撃対象となるシステムの機器の種類ごとのサイバー攻撃の状態遷移モデルを保持し、
分析対象のシステムに含まれる各機器の種類に対応した前記状態遷移モデルを組み合わせることで、サイバー攻撃のシナリオを複数生成する処理と、
攻撃者が前記シナリオに沿って攻撃行動を遷移させることで順次生じる、当該攻撃者にとっての前記コストの情報に基づくリスク及び前記システムにとっての前記被害の情報に基づくリスクの各評価値を算出し、前記評価値に基づき前記シナリオに関するリスクの評価値を特定する処理と、
を実行することを特徴とする攻撃シナリオ分析方法。
An information processing device,
A storage unit stores information on costs required by an attacker to carry out a cyber-attack, information on damage caused by the attacking actions of the attacker, and a state transition model of the cyber-attack for each type of device of the system that is the target of the attack ;
A process of generating multiple cyber-attack scenarios by combining the state transition models corresponding to the types of devices included in the system to be analyzed;
a process of calculating an evaluation value of a risk to the attacker based on the information on the cost and a risk to the system based on the information on the damage , which are sequentially generated as the attacker transitions his/her attack behavior in accordance with the scenario, and determining an evaluation value of a risk related to the scenario based on the evaluation values;
13. An attack scenario analysis method comprising:
JP2021170652A 2021-10-19 2021-10-19 Attack scenario analysis device and attack scenario analysis method Active JP7685929B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021170652A JP7685929B2 (en) 2021-10-19 2021-10-19 Attack scenario analysis device and attack scenario analysis method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021170652A JP7685929B2 (en) 2021-10-19 2021-10-19 Attack scenario analysis device and attack scenario analysis method

Publications (2)

Publication Number Publication Date
JP2023060953A JP2023060953A (en) 2023-05-01
JP7685929B2 true JP7685929B2 (en) 2025-05-30

Family

ID=86239411

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021170652A Active JP7685929B2 (en) 2021-10-19 2021-10-19 Attack scenario analysis device and attack scenario analysis method

Country Status (1)

Country Link
JP (1) JP7685929B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7686843B1 (en) 2024-05-20 2025-06-02 セコムトラストシステムズ株式会社 Information processing system and information processing method

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009110177A (en) 2007-10-29 2009-05-21 Ntt Data Corp Information security measure decision support apparatus and method, and computer program
US20170324766A1 (en) 2014-11-14 2017-11-09 Institut Mines-Telecom/Telecom Sudparis Selection of countermeasures against cyber attacks
JP2018077597A (en) 2016-11-08 2018-05-17 株式会社日立製作所 Security measure planning support system and method
US20180255076A1 (en) 2017-03-02 2018-09-06 ResponSight Pty Ltd System and Method for Cyber Security Threat Detection
JP2019533856A (en) 2016-09-19 2019-11-21 エヌ・ティ・ティ イノベーション インスティチュート インクNTT Innovation Institute, Inc. Threat scoring system and method
JP2020166520A (en) 2019-03-29 2020-10-08 オムロン株式会社 Control system and setting method
JP2021005165A (en) 2019-06-25 2021-01-14 株式会社日立製作所 Incident scenario generation device and incident scenario generation system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102296215B1 (en) * 2019-11-26 2021-08-31 아주대학교 산학협력단 Method For Recommending Security Requirements With Ontology Knowledge Base For Advanced Persistent Threat, Apparatus And System Thereof

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009110177A (en) 2007-10-29 2009-05-21 Ntt Data Corp Information security measure decision support apparatus and method, and computer program
US20170324766A1 (en) 2014-11-14 2017-11-09 Institut Mines-Telecom/Telecom Sudparis Selection of countermeasures against cyber attacks
JP2019533856A (en) 2016-09-19 2019-11-21 エヌ・ティ・ティ イノベーション インスティチュート インクNTT Innovation Institute, Inc. Threat scoring system and method
JP2018077597A (en) 2016-11-08 2018-05-17 株式会社日立製作所 Security measure planning support system and method
US20180255076A1 (en) 2017-03-02 2018-09-06 ResponSight Pty Ltd System and Method for Cyber Security Threat Detection
JP2020166520A (en) 2019-03-29 2020-10-08 オムロン株式会社 Control system and setting method
JP2021005165A (en) 2019-06-25 2021-01-14 株式会社日立製作所 Incident scenario generation device and incident scenario generation system

Also Published As

Publication number Publication date
JP2023060953A (en) 2023-05-01

Similar Documents

Publication Publication Date Title
US11637853B2 (en) Operational network risk mitigation system and method
US11683333B1 (en) Cybersecurity and threat assessment platform for computing environments
US12326943B2 (en) Intelligent adversary simulator
CN112819336B (en) A quantitative method and system for network threats based on power monitoring system
JP6312578B2 (en) Risk assessment system and risk assessment method
CN111859400A (en) Risk assessment method, apparatus, computer system, and medium
Haddadi et al. On botnet behaviour analysis using GP and C4. 5
Chalvatzis et al. Evaluation of security vulnerability scanners for small and medium enterprises business networks resilience towards risk assessment
CN119324817A (en) Network security threat tracing method and system based on association analysis
Wu et al. Risk assessment method for cybersecurity of cyber-physical systems based on inter-dependency of vulnerabilities
CN118890162A (en) Evaluation method, system, equipment and storage medium for network range defense effectiveness
CN114095232A (en) Power information system dynamic threat quantitative analysis method based on hidden Markov
CN118802353A (en) A method for constructing a honey array model based on dynamic perception attack graph
JP7685929B2 (en) Attack scenario analysis device and attack scenario analysis method
KR20230059293A (en) Cybersecurity risk assessment system based on blockade and defense level analysis and method thereof
JP2022165207A (en) Security measure planning support device and security measure planning support method
CN120106569A (en) A dynamic risk visualization management method for asset and risk management
KR102111136B1 (en) Method, device and program for generating respond directions against attack event
EP4451612A1 (en) Network health scoring
JP7808014B2 (en) Cyber attack response support system, cyber attack response support method, and cyber attack response support program
CN118585656A (en) A knowledge base construction method for network security
Kotenko et al. Analyzing network security using malefactor action graphs
CN115659351B (en) An information security analysis method, system and equipment based on big data office
Ullah et al. Cyber Threat Analysis Based on Characterizing Adversarial Behavior for Energy Delivery System
Jabr et al. Simulated penetration testing and attack automation using deep reinforcement learning

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250304

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250513

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250520

R150 Certificate of patent or registration of utility model

Ref document number: 7685929

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150