[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP6718476B2 - 脅威分析システムおよび分析方法 - Google Patents

脅威分析システムおよび分析方法 Download PDF

Info

Publication number
JP6718476B2
JP6718476B2 JP2018031377A JP2018031377A JP6718476B2 JP 6718476 B2 JP6718476 B2 JP 6718476B2 JP 2018031377 A JP2018031377 A JP 2018031377A JP 2018031377 A JP2018031377 A JP 2018031377A JP 6718476 B2 JP6718476 B2 JP 6718476B2
Authority
JP
Japan
Prior art keywords
vulnerability
threat
information
threat analysis
control operation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018031377A
Other languages
English (en)
Other versions
JP2019145053A (ja
Inventor
暁彦 杉本
暁彦 杉本
磯部 義明
義明 磯部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018031377A priority Critical patent/JP6718476B2/ja
Priority to US16/971,331 priority patent/US11418534B2/en
Priority to PCT/JP2019/006925 priority patent/WO2019163972A1/ja
Publication of JP2019145053A publication Critical patent/JP2019145053A/ja
Application granted granted Critical
Publication of JP6718476B2 publication Critical patent/JP6718476B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Computational Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Artificial Intelligence (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は脅威分析システムおよび分析方法に関し、例えば脆弱性と事業者視点の脅威との関係を分析する脅威分析システムおよび分析方法に適用して好適なものである。
一般的に、IT(Information Technology)システムは、多種多様なソフトウェアから構成されている。これらソフトウェアには、プログラム上の不具合、仕様上の問題点などのソフトウェア脆弱性と呼ばれる欠陥が残っており、後から発見される場合がある。実際、公的なセキュリティ団体は、発見されたソフトウェアの脆弱性情報をデータベース化し、年間で約5,000件ものソフトウェア脆弱性について注意喚起を行っている。
一方で、脆弱性情報が公開された直後から、悪意のある攻撃者による同脆弱性を利用した攻撃が著しく増加する傾向にあることが知られている。そのため、情報システムを運用するシステム管理者は、公開された脆弱性情報に敏感に反応し、迅速な対応判断が求められる。
しかしながら、多数公開される脆弱性に対して、迅速に対応することは容易ではない。脆弱性の対処では、システム管理者が日常的に漏れなく公開された脆弱性情報を確認し、自身が管理するシステムに関係するかを特定し、その脆弱性の影響を評価する必要があり、多くの工数と時間とがかかってしまう。
そこで、システム情報および脆弱性情報を収集し、システムに内在する脆弱性を特定し、その脆弱性がシステムにもたらすリスクを評価する技術が必要となっている。このようなシステムの脆弱性を管理、評価する従来技術としては、例えば、製品DB(database)および脆弱性キーワードDBに脆弱性の特性を示すキーワードを複数記憶させておき、キーワード抽出部が、脆弱性関連情報収集部により収集した脆弱性情報から、製品DBおよび脆弱性キーワードDBに蓄積されているキーワードに合致するキーワードを抽出し、優先度判定部が、優先度判定DBの内容に従い、キーワード抽出結果に基づいて脆弱性情報の優先度を判定し、出力部が優先度の判定結果を出力する情報処理装置が提案されている(特許文献1参照)。この技術においては、製品情報と脆弱性情報とから脅威分析することで、脆弱性対策の効率化を図っている。
特開2007−058514号公報
従来技術では、脆弱性情報と製品情報とをキーワードに基づいて対応付けることで、膨大な脆弱性情報の中から管理対象のシステムに関係する脆弱性を特定可能にする。また、脆弱性の技術的な側面を分析することで、システムを構成する機器単位で脅威を分析することが可能になっている。
しかしながら、昨今では、インターネットを介してITシステムに医療機器、インフラ装置などが繋がることが多く、機器単位で脅威を分析するだけでは不十分になってきている。なぜなら、医療機器などは人体への影響を与え得るモノであるため、機器の停止、機器からの情報漏えいといった機器単位で発生する脅威よりも、人体への悪影響といった事業者視点からみた脅威の方がセキュリティ要件として重要となっているからである。
本発明は以上の点を考慮してなされたもので、よりシステムのセキュリティ要件に適した脅威分析を可能にする脅威分析システムおよび分析方法を提案しようとするものである。
かかる課題を解決するため本発明においては、脅威分析対象システムを構成する機器と前記機器に含まれる脆弱性とが対応付けられた第1情報と、前記機器と前記脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第2情報と、を記憶する記憶部と、前記記憶部に記憶されている第1情報と第2情報とに基づいて、前記機器に含まれる脆弱性と前記脅威分析対象システムにおける脅威とを関連付ける脅威分析処理部と、前記脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する脅威分析結果出力部と、を設けるようにした。
また本発明においては、脅威分析対象システムを構成する機器と前記機器に含まれる脆弱性とが対応付けられた第1情報と、前記機器と前記脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第2情報と、を記憶する記憶部を有する脅威分析システムにおける分析方法であって、脅威分析処理部が、前記記憶部に記憶されている第1情報と第2情報とに基づいて、前記機器に含まれる脆弱性と前記脅威分析対象システムにおける脅威とを関連付ける第1のステップと、脅威分析結果出力部が、前記脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する第2のステップと、を設けるようにした。
上記構成によれば、脆弱性と事業者視点の脅威との関係を分析することができる。
本発明によれば、よりシステムのセキュリティ要件に適した脅威分析が可能となる。
第1の実施の形態による脅威分析システムに係る構成の一例を示す図である。 第1の実施の形態による管理対象機器の機能構成の一例を示す図である。 第1の実施の形態による脆弱性検出装置の機能構成の一例を示す図である。 第1の実施の形態による脆弱性情報公開機関の機能構成の一例を示す図である。 第1の実施の形態による脅威分析サーバの機能構成の一例を示す図である。 第1の実施の形態によるクライアント装置の機能構成の一例を示す図である。 第1の実施の形態によるコンピュータのハードウェア構成の一例を示す図である。 第1の実施の形態によるデータベース上に格納されるデータテーブルの一例を示す図である。 第1の実施の形態による脆弱性検出結果テーブルの一例を示す図である。 第1の実施の形態による脆弱性情報テーブルの一例を示す図である。 第1の実施の形態による脅威情報テーブルの一例を示す図である。 第1の実施の形態による制御操作情報テーブルの一例を示す図である。 第1の実施の形態による脆弱性/制御操作対応テーブルの一例を示す図である。 第1の実施の形態による脅威分析結果テーブルの一例を示す図である。 第1の実施の形態による脆弱性検出処理に係る処理手順を示すフローの一例を示す図である。 第1の実施の形態による脆弱性情報取得処理に係る処理手順を示すフローの一例を示す図である。 第1の実施の形態による設計情報入力処理に係る処理手順を示すフローの一例を示す図である。 第1の実施の形態による脅威分析処理に係る処理手順を示すフローの一例を示す図である。 第1の実施の形態による脅威分析処理に係るフローチャートの一例を示す図である。 第1の実施の形態による影響度評価処理に係るフローチャートの一例を示す図である。 第1の実施の形態によるベイジアンネットワークモデルの一例を示す図である。 第1の実施の形態による脅威分析結果画面の一例を示す図である。
以下図面について、本発明の一実施の形態を詳述する。
(1)第1の実施の形態
図1において、10は第1の実施の形態による脅威分析システムを示す。
(システム構成)
図1は、本実施の形態の脅威分析システム10に係る構成の一例を示す図である。脅威分析システム10は、脆弱性情報、脆弱性がもたらす機器単位での脅威の情報に加え、脆弱性と事業者視点の脅威との関係を分析し、よりシステムのセキュリティ要件に適した脅威分析を可能とするコンピュータシステムである。
脅威分析システム10は、脅威分析サーバ105とデータベース107とを備え、ネットワーク102(ネットワーク102_1、ネットワーク102_2、インターネット102_3等)を介して、管理対象機器101(管理対象機器101_1〜101_n)の脆弱性を検出する脆弱性検出装置103、脆弱性情報公開機関104、およびクライアント装置106と通信可能に接続されている。
管理対象機器101は、管理者が脅威分析対象として管理するシステム(脅威分析対象システム)を構成する機器であり、一または複数の管理対象機器101を含んで構成される。本実施の形態において評価対象となるのは、管理対象機器101が保有する脆弱性がもたらすリスクである。
脆弱性検出装置103は、脅威分析の対象システム、すなわち管理対象機器101に関する情報(システム情報、各管理対象機器101の識別情報など)を収集し、管理対象機器101が保有する脆弱性を検出する装置である。
脆弱性情報公開機関104は、インターネット102_3上で脆弱性情報を公開している所定機関のサーバ装置である。脆弱性情報公開機関104の運営機関の例としては、コンピュータウィルスの検出と対処など各種セキュリティ対策サービスを提供する企業、OS(Operating System)の提供企業などが想定できる。こうした運営機関は、特定の情報処理装置、OS、またはソフトウェアに関して得ている、情報セキュリティに関する脆弱性情報を脆弱性情報公開機関104によって公開する。
脅威分析サーバ105は、データベース107上の情報と、クライアント装置106を介して受けた管理者の要求とに基づいて、本実施の形態の脅威分析方法に対応する各手順を実行するサーバ装置である。脅威分析サーバ105は、脆弱性検出装置103の機能(構成)を含んで構成してもよい。
クライアント装置106は、管理者が直接操作する一般的なコンピュータ端末であり、脅威分析サーバ105による処理結果、すなわち脅威分析結果の主たる出力先となる装置となる。
データベース107は、脆弱性検出装置103が導出した脆弱性検出結果と、脅威分析サーバ105が収集した脆弱性情報、脅威分析サーバ105が導出した脅威分析結果などを格納する記憶装置であり、ネットワーク102_2を介して脅威分析サーバ105と通信可能に接続されている。なお、データベース107は、脅威分析サーバ105の外部記憶装置704(図7参照)に格納さる構成としても好適である。
脅威分析システム10については、脅威分析サーバ105がデータベース107にアクセス可能である構成を適宜に採用でき、脅威分析システム10は、データベース107を含んでいてもよいし、含んでいなくてもよい。また、脅威分析システム10は、脅威分析サーバ105以外の装置(脆弱性検出装置103、クライアント装置106等)を適宜含んで構成されてもよい。
なお、管理対象機器101と脆弱性検出装置103とは、ネットワーク102_1を介して接続され、脆弱性情報公開機関104と脅威分析サーバ105とは、インターネット102_3を介して接続されている。ただし、ネットワーク102_1,102_3は、必須ではなく、脆弱性検出装置103がUSB(Universal Serial Bus)からの読み取り、適宜なインタフェースからのユーザ入力動作を受けてデータを取得する構成としてもよい。また、本実施の形態においては、ネットワーク102_1,102_2,102_3については異なるネットワークとして例示したが、同一のネットワークであってもよい。付言するならば、図1に示す構成において符号を付した構成要素は、実施の形態に応じて複数であるとしてもよい。
(機能構成)
脅威分析システム10が備える機能について説明する。ここでは、脅威分析サーバ105のみならず、例えば脅威分析システム10を含む各装置が、そのメモリ703ないし外部記憶装置704(図7参照)にて備える適宜なプログラムを実行することで実装(実現)される機能についてそれぞれ説明するものとする。
図2は、管理対象機器101の機能構成の一例を示す図である。管理対象機器101は、送受信部201および制御部202を含んで構成されている。
送受信部201は、ネットワーク102_1を介して、脆弱性検出装置103との間で情報の送受信を行う処理部である。
制御部202は、システム情報出力部203を含んで構成されている。システム情報出力部203は、管理対象機器101の識別情報を示すID(identification)、機器名などの機器に関する情報を収集し、収集した機器に関する情報を送受信部201を介して脆弱性検出装置103に送信する処理部である。
システム情報出力部203における情報収集には、管理対象機器101におけるOSの標準的な機能を利用することができるが、その他にも、セキュリティ検査言語(OVAL:Open Vulnerability and Assessment Language)で定義された検査仕様に基づく情報収集ツールなどを利用してもよく、形態は限定しない。
図3は、脆弱性検出装置103の機能構成の一例を示す図である。脆弱性検出装置103は、送受信部301および制御部302を含んで構成されている。
送受信部301は、ネットワーク102_1,102_2を介して情報の送受信を行う処理部である。
制御部302は、システム情報収集部303、脆弱性検出処理部304、および脆弱性検出結果出力部305を含んで構成されている。システム情報収集部303は、送受信部301を介して、管理対象機器101からシステム情報を受信する処理部である。脆弱性検出処理部304は、所定のアルゴリズムに基づいて機器が保有する脆弱性を検出する処理部である。なお、脆弱性を検出する方法としては、管理対象機器101が保有するソフトウェア情報から関連する脆弱性を検索する方法、管理対象機器101上で検査コードを実行する方法などを利用してもよく、形態は限定しない。脆弱性検出結果出力部305は、脆弱性検出処理部304の処理結果(脆弱性検出結果)を、送受信部301を介して脅威分析サーバ105に送信する処理部である。
図4は、脆弱性情報公開機関104の機能構成の一例を示す図である。脆弱性情報公開機関104は、送受信部401および制御部402を含んで構成されている。
送受信部401は、ネットワーク102_3を介して脅威分析サーバ105との間で情報の送受信を行う処理部である。
制御部402は、脆弱性情報出力部403を含んで構成されている。脆弱性情報出力部403は、送受信部401を介して、脅威分析サーバ105に対して脆弱性情報を送信する。脆弱性情報公開機関104における情報の収集、管理の手法は、脆弱性情報公開機関104の仕様、脆弱性情報公開機関104の運営企業などにより異なるため、ここでは特に限定しない。また、本実施の形態では、一の(全て同じ)脆弱性情報公開機関104から情報を受信する例を挙げているが、異なる脆弱性情報公開機関104から情報を受信してもよく、形態は限定しない。
図5は、脅威分析サーバ105の機能構成の一例を示す図である。脅威分析サーバ105は、送受信部501および制御部502を含んで構成されている。
送受信部501は、ネットワーク102_2,102_3を介して情報の送受信を行う処理部である。
制御部502は、脆弱性検出結果収集部503、脆弱性情報収集部504、設計情報収集部505、脅威分析処理部506、影響度評価処理部507、および脅威分析結果出力部508を含んで構成されている。
脆弱性検出結果収集部503は、送受信部501を介して脆弱性検出装置103から脆弱性検出結果を受信し、受信した脆弱性検出結果をデータベース107に保存する処理部である。
脆弱性情報収集部504は、送受信部501を介して脆弱性情報公開機関104から脆弱性情報を受信し、受信した脆弱性情報をデータベース107に保存する処理部である。
設計情報収集部505は、送受信部501を介してクライアント装置106から設計情報を受信し、受信した設計情報をデータベース107に保存する処理部である。
脅威分析処理部506は、データベース107上の各情報を利用して、例えば、管理対象機器101が保有する脆弱性が設計情報で定義された事業者視点での脅威に関連するかを分析する処理部である。
付言するならば、脅威分析処理部506は、例えば、記憶部(例えば、データベース107)に記憶されている、脅威分析対象システムを構成する機器(例えば、管理対象機器101)と機器に含まれる脆弱性とが対応付けられた第1情報(例えば、後述の脆弱性検出結果テーブル801における機器ID901および脆弱性ID902)と、機器と脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第2情報(例えば、後述の制御操作情報テーブル804における脅威ID1202、並びに、始点機器ID1204および/または終点機器ID1205)と、に基づいて、機器に含まれる脆弱性と脅威分析対象システムにおける脅威とを関連付ける。また、例えば、脅威分析処理部506は、記憶部に記憶されている、機器に含まれる脆弱性の種別と、機器に係る制御操作の種別と、脆弱性が制御操作に与える脆弱性影響度とが対応付けられた第3情報(例えば、後述の脆弱性/制御操作対応テーブル805における脆弱性種別1301、制御操作種別1302、および脆弱性影響度1304)に基づいて、機器に含まれる脆弱性の種別と機器に係る制御操作の種別とに対応する脆弱性影響度が所定の値(例えば、0%より大きい値)である制御操作を更に関連付ける。
影響度評価処理部507は、脅威分析処理部506が導き出した脅威分析の結果から、例えば、管理対象機器101が保有する脆弱性が設計情報で定義された事業者視点での脅威に与える影響の大きさを算定する処理部である。付言するならば、影響度評価処理部507は、例えば、機器(例えば、管理対象機器101)に含まれる脆弱性が脅威分析対象システムにおける脅威に与える影響の大きさを所定のアルゴリズム(例えば、ベイジアンネットワーク)を用いて評価する。
脅威分析結果出力部508は、送受信部501を介して、クライアント装置106に対し、脅威分析処理部506および影響度評価処理部507が導き出した脅威分析結果を送信する処理部である。
脅威分析サーバ105における各機能部による処理の詳細については、図19および図20を用いて後述するものとする。
図6は、クライアント装置106の機能構成の一例を示す図である。クライアント装置106は、送受信部601、入出力部602、および制御部603を含んで構成されている。
送受信部601は、ネットワーク102_2を介して情報の送受信を行う処理部である。
入出力部602は、キーボード、ポインティングデバイスなどのインタフェース機器を介してシステム管理者などのユーザからの入力を制御し、モニタなどのインタフェース機器を介してユーザ向けの出力処理を制御する処理部である。
制御部603は、設計情報入力画面表示部604、設計情報出力部605、脅威分析結果収集部606、および脅威分析結果画面表示部607を含んで構成されている。設計情報入力画面表示部604は、入出力部602を介して、ユーザに対して情報入力のための画面を表示し、脅威分析対象システムの設計情報の入力を受け付ける処理部である。設計情報出力部605は、送受信部601を介して、設計情報入力画面表示部604で受け付けた設計情報を脅威分析サーバ105に送信する処理部である。脅威分析結果収集部606は、送受信部601を介して、脅威分析サーバ105から脅威分析結果を受信する処理部である。脅威分析結果画面表示部607は、入出力部602を介して、ユーザに対して脅威分析結果収集部606が受信した脅威分析結果を表示する処理部である。
(ハードウェア構成)
図7は、コンピュータ701のハードウェア構成の一例を示す図である。管理対象機器101、脆弱性検出装置103、脆弱性情報公開機関104、および脅威分析サーバ105の各々は、コンピュータ701により構成される。
コンピュータ701は、CPU702(Central Processing Unit)、RAM(Random Access Memory)など揮発性記憶素子で構成されるメモリ703、SSD(Solid State Drive)、ハードディスクドライブなど適宜な不揮発性記憶素子で構成される外部記憶装置704、ネットワークインターフェイスカード(NIC:Network Interface Card)などの送受信装置705、ディスプレイなどの出力装置706、およびポインティングデバイス、キーボードなどの入力装置707を含んで構成されている。
出力装置706および入力装置707については、管理対象機器101、脆弱性検出装置103、脆弱性情報公開機関104、および脅威分析サーバ105のいずれも備えないとしてもよい。
また、図2〜図6で例示した各装置の制御部202,302,402,502,603、送受信部201,301,401,501,601、および入出力部602は、CPU702が上述の外部記憶装置704に記憶された適宜なプログラムをメモリ703にロードし実行することで実装される。なお、送受信部201,301,401,501,601は、送受信装置705により実装されてもよい。また、入出力部602は、出力装置706および入力装置707により実装されてもよい。
(データ構成)
脅威分析サーバ105が利用するデータの構成例について説明する。脅威分析サーバ105にて利用するデータは、少なくとも、脆弱性検出装置103により管理対象機器101が保有する脆弱性を検出した脆弱性検出結果情報、脆弱性情報公開機関104が公開する脆弱性情報、ユーザが入力する脅威分析対象システムの設計情報、および脆弱性と脅威とを対応付けるためのルールとなる対応付け情報を含んでいる。
図8は、データベース107上に格納されるデータテーブルの一例を示す図である。データベース107では、脆弱性検出結果テーブル801、脆弱性情報テーブル802、事業者視点の脅威情報テーブル803、制御操作情報テーブル804、脆弱性/制御操作対応テーブル805、脅威分析結果テーブル806等を格納している。各テーブル間は、互いのレコードが含む所定のIDなどにより相互に関連付けられている。各テーブルの詳細について図9〜図14を用いて説明する。
図9は、脆弱性検出結果テーブル801の一例を示す図である。図9において、脆弱性検出結果テーブル801は、機器ID901、脆弱性ID902、およびその他機器情報903をデータ項目として有する。
機器ID901は、機器に対してユニークに割り当てられた識別子である。脆弱性ID902は、対応する機器ID901が表す機器が保有する脆弱性のIDである。図9の例では、機器ID901と脆弱性ID902との組により機器と脆弱性との保有関係を管理している。その他機器情報903は、機器名など、機器に関する情報である。例えば、ユーザが「鉄道の踏切制御システム」を脅威分析対象システムとしており、機器名「踏切制御装置」という機器(機器の識別子「DEV111」)が脆弱性「VUL−2017−0930」という脆弱性を保有していた場合、本実施の形態では、機器ID901に「DEV111」、脆弱性ID902に「VUL−2017−0930」、その他機器情報903に「踏切制御装置」を持つレコードが格納される。
図10は、脆弱性情報テーブル802の一例を示す図である。図10において、脆弱性情報テーブル802は、脆弱性ID1001、脆弱性種別1002、攻撃容易性1003、およびその他脆弱性情報1004をデータ項目として有する。
脆弱性ID1001は、脆弱性に対してユニークに割り当てられた識別子である。脆弱性種別1002は、脆弱性の種別である。一般的に、脆弱性情報公開機関104では、CWE(Common Weakness Enumeration)などの標準的なセキュリティ規格に基づいて、個々の脆弱性に対して、種別を付与してセキュリティ情報を公開しており、脆弱性種別1002として、同種別を利用することが可能である。攻撃容易性1003は、脆弱性を狙った攻撃の発生確率、またはスコアである。一般的に、脆弱性情報公開機関104では、CVSS(Common Vulnerability Scoring System)などの標準的なセキュリティ規格に基づいて、個々の脆弱性に対して、技術特性の観点から攻撃容易性、機器への影響度などのスコアを付与してセキュリティ情報を公開しており、攻撃容易性1003として、同スコアを利用することが可能である。その他脆弱性情報1004は、脆弱性の概要など、脆弱性に関する情報である。
図11は、事業者視点の脅威情報テーブル803の一例を示す図である。図11において、事業者視点の脅威情報テーブル803は、脅威ID1101、脅威度1102、およびその他脅威情報1103をデータ項目として有する。
脅威ID1101は、脅威に対してユニークに割り当てられた識別子である。脅威度1102は、脅威が発生した場合に被る被害の大きさのスコアである。その他脅威情報1103は、脅威名など、脅威に関する情報である。本実施の形態では、脅威情報は、ユーザが入力する情報であり、設計方法により形態は異なる。例えば、設計方法としては、STAMP/STPA(System Theoretic Accident Model and Processes / System Theoretic Process Analysis)を利用してもよく、その場合は、STAMP/STPAで定義される「アクシデント」が本実施の形態における脅威となる。
図12は、制御操作情報テーブル804の一例を示す図である。図12において、制御操作情報テーブル804は、制御操作ID1201、脅威ID1202、制御操作種別1203、始点機器ID1204、終点機器ID1205、およびその他制御操作情報1206をデータ項目として有する。
制御操作ID1201は、制御操作(制御指示)に対してユニークに割り当てられた識別子である。脅威ID1202は、対応する制御操作ID1201に関係する脅威のIDである。図12の例では、制御操作ID1201と脅威ID1202との組により制御操作と脅威との関係を管理している。制御操作種別1203は、制御操作の種別である。例えば、STAMP/STPAでは、制御操作を分類しており、制御操作種別1203として同種別を利用するが可能である。始点機器ID1204は、対応する制御操作を実施/送信する機器のIDである。終点機器ID1205は、対応する制御操作を受信する機器のIDである。図12の例では、始点機器ID1204と終点機器ID1205との組により制御操作を実施する機器とその制御操作を受ける機器との関係を管理している。なお、制御操作を受ける対象となる機器がない場合は、終点機器IDを空欄にすることで管理する方法が可能である。
その他制御操作情報1206は、制御操作名など、制御操作に関する情報である。例えば、上述の「鉄道の踏切制御システム」に対して行った、STAMP/STPAを用いた設計で、機器名「踏切制御装置」(機器ID「DEV111」)から機器名「障害物検出装置」(機器ID「DEV222」)への制御操作「障害物検出開始の指示」(制御操作ID「AC333」)の不具合が脅威「踏切内で自動車と衝突する」(脅威ID「T444」)に繋がるという設計結果が得られた場合、本実施の形態では、制御操作ID1201に「AC333」、脅威ID1202に「T444」、始点機器ID1204に「DEV111」、終点機器ID1205に「DEV222」、その他制御操作情報1206に「障害物検出開始の指示」を持つレコードを格納する。
図13は、脆弱性/制御操作対応テーブル805の一例を示す図である。図13において、脆弱性/制御操作対応テーブル805は、脆弱性種別1301、制御操作種別1302、制御操作点1303、および脆弱性影響度1304をデータ項目として有する。
脆弱性種別1301は、脆弱性の種別である。制御操作種別1302は、制御操作の種別である。図13の例では、脆弱性種別1301と制御操作種別1302との組によりそれぞれの種別単位で脆弱性と制御操作との関係を管理している。制御操作点1303は、脆弱性が存在する機器が制御操作の始点にあるか、または終点にあるかを表す2値の値である。脆弱性影響度1304は、脆弱性が攻撃された場合、制御操作が阻害される確率、またはスコアである。本実施の形態では、脆弱性/制御操作対応情報については、有識者が事前に定義し、脅威分析システム10が稼動する前に格納しておく情報である。
図14は、脅威分析結果テーブル806の一例を示す図である。図14において、脅威分析結果テーブル806は、機器ID1401、脆弱性ID1402、脆弱性種別1403、制御操作IDのリスト1404、制御操作影響度のリスト1405、脅威IDのリスト1406、脅威影響度のリスト1407、およびシステム影響度1408をデータ項目として有する。
機器ID1401は、機器に対してユニークに割り当てられた識別子である。脆弱性ID1402は、対応する機器ID1401が表す機器が保有する脆弱性のIDである。図14の例では、機器ID1401と脆弱性ID1402との組により、脆弱性検出結果テーブル801の脆弱性検出結果と脅威分析結果とを対応付けており、1レコードに検出された脆弱性1つに対する脅威分析結果を格納している。脆弱性種別1403は、脆弱性の種別である。
制御操作IDのリスト1404は、検出された脆弱性に関係する制御操作のIDのリストである。制御操作影響度のリスト1405は、制御操作が阻害される確率、またはスコアのリストである。制御操作影響度のリスト1405には、制御操作IDのリスト1404の制御操作ID毎に対応する制御操作影響度がリスト化されている。脅威IDのリスト1406は、検出された脆弱性に関係する脅威のIDのリストである。脅威影響度のリスト1407は、脅威が発生される確率、またはスコアのリストである。脅威影響度のリスト1407には、脅威IDのリスト1406の脅威ID毎に対応する脅威影響度がリスト化されている。システム影響度1408は、検出された脆弱性がシステム全体に与える影響度である。本実施の形態では、脅威分析サーバ105が所定のアルゴリズムにより脅威分析した処理結果を脅威分析結果テーブル806に格納する。
なお、本実施の形態においては、脆弱性検出結果テーブル801、脆弱性情報テーブル802、事業者視点の脅威情報テーブル803、制御操作情報テーブル804、脆弱性/制御操作対応テーブル805、および脅威分析結果テーブル806をデータベース107上に構築しているが、脅威分析サーバ105にて格納するとしてもよい。また、上述の各テーブルの少なくともいずれかが結合した1つのテーブルであってもよいし、より正規化されたテーブルであってもよい。
(分析方法)
以下、本実施の形態における脅威分析方法の実際手順について図を用いて説明する。以下で説明する脅威分析方法に対応する各種動作は、脅威分析システム10を構成する、例えば脅威分析サーバ105がメモリ703などに読み出して実行するプログラムによって実現される。そしてこのプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。なお、以下の説明においては、脅威分析サーバ105が実行する処理のみならず、他の装置が実行する処理についても適宜説明するものとする。
(脆弱性検出処理に係るフロー)
図15は、本実施の形態における脆弱性検出処理に係る処理手順を示すフローの一例を示す図である。ここでは、主に、脆弱性検出装置103の脆弱性検出処理について説明する。かかる処理は、脅威分析サーバ105において、脅威分析処理を行う前(少なくとも直前)に、予め実行しておく必要がある。また、システム情報(管理対象機器101から得られる情報)、脆弱性情報(脆弱性情報公開機関104から得られる情報)などは、管理対象機器101、脆弱性情報公開機関104等にて随時、追加、更新などがなされているため、脅威分析システム10(に含まれる若しくは協働する管理対象機器101、脆弱性検出装置103、または脅威分析サーバ105)においては、これら各情報の取得処理をバックグラウンドの処理として実行するとすれば好適である。
まず、脆弱性検出装置103のシステム情報収集部303は、管理対象機器101にシステム情報収集の処理を依頼する。同依頼を受けた管理対象機器101は、システム情報出力部203を起動し、自身のOSにおける標準機能により、システム情報を収集し、脆弱性検出装置103に送信する(ステップS1501)。
次に、脆弱性検出装置103における脆弱性検出処理部304は、システム情報に基づいて、管理対象機器101が保有する脆弱性を検出する(ステップS1502)。なお、脆弱性を検出する方法としては、セキュリティ検査言語(OVAL)で定義された検査仕様に基づくツールを利用してもよく、形態は限定しない。
次に、脆弱性検出装置103における脆弱性検出結果出力部305は、送受信部301を介して、脆弱性検出処理部304の脆弱性検出結果を脅威分析サーバ105に送信する(ステップS1503)。
脆弱性検出装置103から脆弱性検出結果を受信した脅威分析サーバ105の脆弱性検出結果収集部503は、データベース107の脆弱性検出結果テーブル801に対して、データの追加を行う(ステップS1504)。データベース107は、データの追加のリクエストを受けて、リクエストが含む機器IDと脆弱性IDとの組をキーに脆弱性検出結果テーブル801を検索し、該当機器IDと脆弱性IDとの組に関するレコードがない場合、新規にレコードを生成し、リクエストが含む脆弱性検出結果のうち該当項目の値をセットする。また、データベース107は、脆弱性検出結果テーブル801にて該当機器IDと脆弱性IDとの組に関するレコードが既に存在する場合、該当レコードにおいて、リクエストが含む脆弱性検出結果のうち該当項目の値でデータ更新を行う。
以上の処理(ステップS1501〜ステップS1504)は、管理対象機器101毎に実行され、管理対象機器101の数だけ反復されることとなる。本実施の形態では、管理対象機器101と脆弱性検出装置103との間でクライアントサーバ構成を採っており、システム情報などの取得処理を自動化して運用を効率化している。
ただし、クライアント装置106などを利用するユーザの手によって、データファイル形式で管理対象機器101のシステム情報を記述し、これを脆弱性検出装置103に入力するとしてもよい。このようにユーザの手によりシステム情報の入力を行うことで、管理対象機器101をエージェントレスで動作させることができる利点はある。また、本実施の形態では、定期的にシステム情報を送信する実施の形態としているが、システム情報の変化を検出し、システム情報が変化したタイミングで同システム情報を送信してもよい。
(脆弱性情報取得処理に係るフロー)
脆弱性情報公開機関104から脆弱性情報を取得する処理について図16を用いて説明する。
図16は、本実施の形態における脆弱性情報取得処理に係る処理手順を示すフローの一例を示す図である。この場合、まず、脅威分析サーバ105の脆弱性情報収集部504は、脆弱性情報公開機関104に脆弱性情報送信の処理を依頼する。同依頼を受けた脆弱性情報公開機関104は、脆弱性情報出力部403を起動し、脆弱性情報を脅威分析サーバ105に送信する(ステップS1601)。なお、脆弱性情報公開機関104と脅威分析サーバ105との間での情報授受の手法は、脆弱性情報公開機関104の仕様に基づくものとする。
脆弱性情報公開機関104から脆弱性情報を受信した脅威分析サーバ105の脆弱性情報収集部504は、データベース107の脆弱性情報テーブル802に対して、データの追加を行う(ステップS1602)。データベース107は、データの追加のリクエストを受けて、リクエストが含む脆弱性IDをキーに脆弱性情報テーブル802を検索し、該当脆弱性IDに関するレコードがない場合、新規にレコードを生成し、リクエストが含む脆弱性情報のうち該当項目の値をセットする。また、データベース107は、脆弱性情報テーブル802にて該当脆弱性IDに関するレコードが既に存在する場合、該当レコードにおいて、リクエストが含む脆弱性情報のうち該当項目の値でデータ更新を行う。
本実施の形態では、脆弱性情報公開機関104と脅威分析サーバ105との間で、脆弱性情報取得処理を自動化して運用を効率化している。
(設計情報入力処理に係るフロー)
ユーザがクライアント装置106を介して設計情報を入力する処理について図17を用いて説明する。
図17は、本実施の形態における設計情報入力処理に係る処理手順を示すフローの一例を示す図である。この場合、まず、クライアント装置106の設計情報入力画面表示部604は、入出力部602を介して、ユーザに設計情報入力用の画面を表示し、ユーザから設計情報(事業者視点の脅威情報、制御操作情報など)の入力を受け付ける(ステップS1701)。なお、設計情報の入力方法としては、GUI(Graphical User Interface)を介してデータをフォームに入力する方法、XML(Extensible Markup Language)などのファイル形式の設計情報を読み込む方法などが可能であり、形態は限定しない。
次に、クライアント装置106は、送受信部601を介して、設計情報を脅威分析サーバ105に送信する(ステップS1702)。
クライアント装置106から設計情報を受信した脅威分析サーバ105の設計情報収集部505は、データベース107の事業者視点の脅威情報テーブル803、制御操作情報テーブル804に対して、データの追加を行う(ステップS1703)。データベース107は、データの追加のリクエストを受けて、リクエストが含む脅威IDをキーに事業者視点の脅威情報テーブル803を検索し、該当脅威IDに関するレコードがない場合、新規にレコードを生成し、リクエストが含む事業者視点の脅威情報のうち該当項目の値をセットする。また、データベース107は、事業者視点の脅威情報テーブル803にて該当脅威IDに関するレコードが既に存在する場合、該当レコードにおいて、リクエストが含む事業者視点の脅威情報のうち該当項目の値でデータ更新を行う。また、データベース107は、データ追加のリクエストを受けて、リクエストが含む制御操作IDをキーに制御操作情報テーブル804を検索し、該当制御操作IDに関するレコードがない場合、新規にレコードを生成し、リクエストが含む制御操作情報のうち該当項目の値をセットする。また、データベース107は、制御操作情報テーブル804にて該当制御操作IDに関するレコードが既に存在る場合、該当レコードにおいて、リクエストが含む制御操作情報のうち該当項目の値でデータ更新を行う。
(脅威分析処理に係るフロー(メインフロー))
次に、脅威分析サーバ105が脅威分析する処理について図18を用いて説明する。
図18は、本実施の形態における脅威分析処理に係る処理手順を示すフローの一例を示す図である。この場合、まず、クライアント装置106は、入出力部602を介して、ユーザの要求を受け付け、脅威分析サーバ105に脅威分析処理を依頼する(ステップS1801)。
クライアント装置106から脅威分析処理の依頼を受信した脅威分析サーバ105は、脅威分析処理部506を起動し、データベース107上の脆弱性検出結果テーブル801、脆弱性情報テーブル802、事業者視点の脅威情報テーブル803、制御操作情報テーブル804、脆弱性/制御操作対応テーブル805、脅威分析結果テーブル806から各情報を取得する(ステップS1802)。なお、本実施の形態では、脅威分析サーバ105が、脅威分析処理に必要となる情報をステップS1802にて一括取得し、メモリ703上に展開する形態としているが、脅威分析処理の各ステップで情報が必要となったタイミングで、都度データベース107にアクセスし、必要な情報のみに限定して取得するとしてもよい。
次に、脅威分析サーバ105の脅威分析処理部506は、取得した各情報に基づいて脅威分析処理を実施する(ステップS1803)。ここで、脅威分析処理(ステップS1803)について図19を用いて説明する。
図19は、脅威分析処理に係るフローチャートの一例を示す図である。
まず、脅威分析処理部506は、脆弱性検出結果テーブル801の脆弱性検出結果情報に基づいて、検出された脆弱性全てに対して、ステップS1902〜ステップS1909の処理を実施する(ステップS1901)。ステップS1902〜ステップS1909の詳細については後述する。
ステップS1902では、脅威分析処理部506は、検出された脆弱性を保有する機器と該当脆弱性の種別とが一致する脅威分析結果の有無を判定する。脅威分析処理部506は、脆弱性検出結果情報に含まれる脆弱性IDをキーに脆弱性情報テーブル802を検索し、該当脆弱性IDに関係する脆弱性種別を取得する。また、脅威分析処理部506は、脆弱性検出結果情報に含まれる機器IDと該当脆弱性種別との組をキーに脅威分析結果テーブル806を検索し、該当機器IDと脆弱性種別との組に関するレコードがないと判定した場合、ステップS1903〜ステップS1906の処理を実施する。他方、脅威分析処理部506は、脅威分析結果テーブル806にて該当機器IDと脆弱性種別との組に関するレコードが既に存在すると判定した場合、ステップS1907の処理を実施する。本実施の形態では、脅威分析結果情報を機器IDと脆弱性種別とに関連付けてデータベース107に格納しておき、ステップS1902の処理で脆弱性検出結果の有無を判定することで、ステップS1903〜ステップS1906の処理を省略可能とし、脅威分析処理の計算量を削減している。なお、ステップS1903〜ステップS1906の詳細については後述するが、検出された脆弱性を保有する機器と該当脆弱性の種別とが一致する場合、同じ結果が得られる処理である。ステップS1907の詳細についても後述する。
次に、ステップS1902の処理で関連する脅威検出結果がないと判定した場合、脅威分析処理部506は、検出された脆弱性に関連する制御操作の集合を生成する(ステップS1903)。該当集合は、まず空集合として生成され、ステップS1904〜ステップS1906の処理で検出された脆弱性に関連する制御操作が追加される。
次に、脅威分析処理部506は、制御操作情報テーブル804の制御操作情報に基づいて、制御操作全てに対して、ステップS1905およびステップS1906の処理を実施する(ステップS1904)。
ステップS1905では、脅威分析処理部506は、検知された脆弱性と制御操作との関連の有無を判定する。脅威分析処理部506は、脆弱性検出結果情報に含まれる機器IDと制御操作情報に含まれる始点機器IDまたは終点機器IDが一致するか否かを判定し、該当機器IDが該当始点機器IDまたは該当終点機器IDと一致しないと判定した場合、ステップS1905を終了し、ステップS1906を省略する。脅威分析処理部506は、該当機器IDが該当始点機器IDと一致すると判定した場合、制御操作点を「始点」とする。脅威分析処理部506は、該当機器IDが該当終点機器IDと一致すると判定した場合、制御操作点を「終点」とする。なお、制御操作点は、前述のように脆弱性が存在する機器が制御操作の始点にあるか、または終点にあるかを意味する。また、脅威分析処理部506は、脆弱性検出結果情報に含まれる脆弱性IDをキーに脆弱性情報テーブル802を検索し、該当脆弱性IDに関係する脆弱性種別を取得する。また、脅威分析処理部506は、該当脆弱性種別と制御操作情報に含まれる制御操作種別と該当制御操作点との組をキーに脆弱性/制御操作対応テーブル805を検索し、該当脆弱性種別と制御操作種別と制御操作点との組に関する脆弱性影響度を取得し、取得した脆弱性影響度が「0%」であると判定した場合、ステップS1906を省略する。脅威分析処理部506は、脆弱性影響度が「0%」より大きいと判定した場合、ステップS1906を実施する。
次に、脅威分析処理部506は、ステップS1905の処理で、検知された脆弱性と制御操作との関連があると判定した場合、該当制御操作を検出された脆弱性に関連する制御操作の集合に追加する。
一方、脅威分析処理部506は、ステップS1902の処理で、関連する脅威検出結果があると判定した場合、脅威分析処理部506は、該当脅威検出結果に含まれる制御操作の集合を取得し、複製する(ステップS1907)。
次に、脅威分析処理部506は、脆弱性検出結果に対応する脅威分析結果が格納済であるか否かを判定する(ステップS1908)。脅威分析処理部506は、脆弱性検出結果に含まれる機器IDと該当脆弱性IDとの組をキーに脅威分析結果テーブル806を検索し、該当機器IDと脆弱性IDとの組に関するレコードがないと判定した場合、新規にレコードを生成し、脆弱性検出結果情報と脆弱性とに関連する制御操作の集合のうち該当項目の値をセットする(ステップS1909)。なお、制御操作影響度のリスト1405、脅威影響度のリスト1407、およびシステム影響度1408については、図20に示す影響度評価処理により算出された値が格納される。また、脅威分析処理部506は、脅威分析結果テーブル806にて該当機器IDと脆弱性IDとの組に関するレコードが既に存在すると判定した場合、ステップS1909の処理を省略する。
以上のステップS1901〜ステップS1909の処理により、脅威分析処理(ステップS1803)が実現される。
ここで、図18のフローの説明に戻る。脅威分析サーバ105は、脅威分析処理(ステップS1803)の終了後、影響度評価処理を実施する(ステップS1804)。
影響度評価処理(ステップS1804)について図20を用いて説明する。なお、ベイジアンネットワークでは、任意のオブジェクトをノードとし、ノードの親子関係を示すアークと呼ばれる一方向性の矢印で接続したグラフを利用して確率計算を実行するため、説明の必要上、図21に例示する、ベイジアンネットワークグラフモデル2101を随時参照するものとする。
図20は、影響度評価処理に係るフローチャートの一例を示す図である。
まず、影響度評価処理部507は、脆弱性検出結果テーブル801の脆弱性検出結果情報に基づいて、検出された脆弱性全てに対して、ステップS2002〜ステップS2008の処理を実施する(ステップS2001)。ステップS2002〜ステップS2008の詳細については後述する。
次に、影響度評価処理部507は、脆弱性に関係する制御操作の集合を取得する(ステップS2002)。影響度評価処理部507は、脆弱性検出結果情報に含まれる機器IDと脆弱性IDとの組をキーに脅威分析結果テーブル806を検索し、該当機器IDと脆弱性IDとの組に関係する制御操作の集合を取得する。
次に、影響度評価処理部507は、ベイジアンネットワークに制御操作ノードを追加する(ステップS2003)。影響度評価処理部507は、制御操作の集合に含まれる制御操作をベイジアンネットワークのノードとして追加する。ただし、既に追加済の制御操作の重複した追加はしない。図21のベイジアンネットワークモデルの例では、制御操作ノード2102(制御操作ノード2102_1〜制御操作ノード2102_n)が全て追加された状態になる。
次に、影響度評価処理部507は、ベイジアンネットワークに脆弱性ノードと脅威ノードとシステムノードとを追加する(ステップS2004)。影響度評価処理部507は、脆弱性検出結果情報に含まれる脆弱性IDに対応する脆弱性をベイジアンネットワークのノードとして追加する。図21のベイジアンネットワークモデルの例では、脆弱性ノード2103が1つ追加された状態になる。また、制御操作の集合に含まれる制御操作IDをキーに制御操作情報テーブル804を検索し、該当制御操作IDに関する脅威IDを取得し、該当脅威IDに対応する脅威をベイジアンネットワークのノードとして追加する。図21のベイジアンネットワークモデルの例では、脅威ノード2104(脅威ノード2104_1〜脅威ノード2104_m)が全て追加された状態になる。また、影響度評価処理部507は、脅威分析対象システムをベイジアンネットワークのノードとして追加する。図21のベイジアンネットワークモデルの例では、システムノード2107が1つ追加された状態になる。
次に、影響度評価処理部507は、ノード間のアークを接続する(ステップS2005)。影響度評価処理部507は、脆弱性ノードから全制御操作ノードへ一方向性のアークを接続する。図21のベイジアンネットワークモデルの例では、脆弱性ノード2103から制御操作ノード2102へのアーク2105(アーク2105_1〜アーク2105_n)が全て接続された状態になる。また、影響度評価処理部507は、制御操作情報に含まれる制御操作IDと脅威IDとの関係から、関係性がある制御操作ノードから脅威ノードへ一方向性のアークを接続する。図21のベイジアンネットワークモデルの例では、制御操作ノード2102から脅威ノード2104へのアーク2106(アーク2106_1〜アーク2106_k)が全て接続された状態になる。また、影響度評価処理部507は、全脅威ノードからシステムノードへ一方向性のアークを接続する。図21のベイジアンネットワークモデルの例では、脅威ノード2104からシステムノード2107へのアーク2108(アーク2108_1〜アーク2108_m)が全て接続された状態になる。
次に、影響度評価処理部507は、ベイジアンネットワークのパラメータである条件付確率表を設定する(ステップS2006)。本実施の形態では、影響度評価処理部507は、脆弱性情報テーブル802に含まれる攻撃容易性1003、および脆弱性/制御操作対応テーブル805の脆弱性影響度1304に基づいてパラメータを設定する。
次に、影響度評価処理部507は、ベイジアンネットワークにより確率計算する(ステップS2007)。確率計算方法は、確率伝播法などが利用でき、その形態は限定しない。本実施の形態では、影響度評価処理部507は、ベイジアンネットワークで算定した制御操作ノードの周辺確率を制御操作影響度、脅威ノードの周辺確率を脅威影響度、システムノードの周辺確率をシステム影響度としている。なお、脅威影響度を重み付き平均評価したものをシステム影響度としてもよい。
次に、影響度評価処理部507は、データベース107に影響度評価処理部507の処理結果を保存する(ステップS2008)。影響度評価処理部507は、脆弱性検出結果情報に含まれる機器IDと脆弱性IDとの組をキーに脅威分析結果テーブル806を検索し、該当機器IDと脆弱性IDとの組に関係するレコードにおいて、影響度評価処理部507の処理結果のうち該当項目の値でデータ更新を行う。
以上のステップS2001〜ステップS2008の処理により、影響度評価処理が実現される。
ここで、図18のフローの説明に戻る。脅威分析サーバ105は、影響度評価処理(ステップS1804)の終了後、脅威分析結果出力部508を起動し、送受信部501を介して、クライアント装置106の脅威分析結果収集部606に脅威分析結果を送信する(ステップS1805)。
脅威分析結果を受け付けたクライアント装置106は、脅威分析結果画面表示部607を起動し、入出力部602を介してユーザに脅威分析結果画面を表示する。
図22は、脅威分析結果画面の一例を示す図である。本実施の形態では、脅威分析結果画面2201の第1表示領域2202に、脆弱性検出結果テーブル801の脆弱性検出結果情報に基づいて、検出された脆弱性のリストが表示される。第1表示領域2202には、脆弱性検出結果情報に含まれる脆弱性ID、その他機器情報などが表示される。
次に、脅威分析結果画面2201は、検出された脆弱性を選択するチェックボックス2203を備えている。なお、脆弱性を選択する方法としては、プルダウン、フォームでのキーワード入力などが利用でき、形態は限定しない。
次に、脅威分析結果画面2201の第2表示領域2204には、脅威分析結果テーブル806の脅威分析結果情報に基づいて、選択された脆弱性のシステム影響度が表示される。
次に、脅威分析結果画面2201の第3表示領域2205には、脅威分析結果テーブル806の脅威分析結果情報に基づいて、選択された脆弱性に関係する制御操作、その制御操作影響度、脅威、その脅威影響度がテーブル化されて表示される。なお、本実施の形態では、検知された脆弱性を選択し、該当脆弱性に関係する脅威分析結果のみ表示することで、大きさに制限のある画面における効率的な表示を可能としている。脆弱性を選択せずに、全ての脅威分析結果を一覧化して表示してもよい。
次に、脅威分析結果画面2201は、設計情報入力画面に遷移するためのボタン2206を備えている。
以上のように、脆弱性と脅威との関係を分析することで、機器単位で脅威を分析した結果を、事前に人手で行った安全設計情報に基づいて、事業者視点での脅威分析へと変換を可能にする。また、脅威分析結果画面2201をクライアント装置106に表示することにより、これを閲覧するユーザなどは、例えば脆弱性が引き起こし得る事業者視点の脅威、その影響の大きさを素早く把握し、現状のシステムがセキュリティ要件を満たしているか容易に把握でき、対策すべき脆弱性の優先度を決定可能になる。
(2)他の実施の形態
なお上述の実施の形態においては、本発明を脅威分析システム10に適用するようにした場合について述べたが、本発明はこれに限らず、この他種々の分析システム、分析方法などに広く適用することができる。
また上述の実施の形態においては、図22に示すような脅威分析結果画面(関連付けられた脆弱性と脅威との関係などを含む脅威分析結果)を表示する場合について述べたが、本発明はこれに限らず、脅威分析結果を出力する方法としては、例えば、紙などの媒体に印刷したり、電子メールにより所定のメールアドレスに送信したり、外部記憶装置に記憶したりするようにしてもよい。
また上述した構成については、本発明の要旨を超えない範囲において、適宜に、変更したり、組み替えたり、組み合わせたり、省略したりしてもよい。例えば、機器に含まれる脆弱性と脅威分析対象システムにおける脅威とを関連付け、関連付けた脆弱性と脅威との関係を出力してもよいし、機器に含まれる脆弱性と脅威分析対象システムにおける脅威と機器に係る制御操作とを関連付け、関連付けた脆弱性と脅威と制御操作との関係を出力してもよい。また、例えば、機器に含まれる脆弱性が脅威分析対象システムにおける脅威に与える影響の大きさを所定のアルゴリズム(例えば、ベイジアンネットワーク)を用いて評価してもよいし、機器に含まれる脆弱性が脅威分析対象システムにおける脅威に与える影響の大きさと、機器に含まれる脆弱性が機器に係る制御操作に与える影響の大きさをと、を所定のアルゴリズム(例えば、ベイジアンネットワーク)を用いて評価してもよい。評価した結果は、出力してもよいし、内部的な処理(例えば、表示順の制御)に用いる等して出力しなくてもよい。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は、本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また、上記の各構成、機能、処理部、処理手段などは、それらの一部または全部を、例えば集積回路で設計するなどによりハードウェアで実現してもよい。また、上記の各構成、機能などは、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイルなどの情報は、メモリや、ハードディスク、SSD(Solid State Drive)などの記録装置、または、ICカード、SDカード、DVDなどの記録媒体に置くことができる。
また、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
こうした本実施の形態によれば、脆弱性情報、脆弱性がもたらす機器単位での脅威の情報に加え、脆弱性と事業者視点の脅威の関係を分析し、よりシステムのセキュリティ要件に適した脅威分析が可能となる。
したがって、システムを運用している企業のシステム管理者や業務システムを開発したエンジニア(SE)に対して、脆弱性と事業者視点の脅威との関係について、設計時に考慮した脅威を踏まえつつ、脆弱性対策の優先度を理解しやすく提示し、ユーザによる脆弱性対策の必要性や重要性の判断を支援できる。
10……脅威分析システム、101……管理対象機器、102……ネットワーク、103……脆弱性検出装置、104……脆弱性情報公開機関、105……脅威分析サーバ、106……クライアント装置、107……データベース。

Claims (6)

  1. 脅威分析対象システムを構成する機器と前記機器に含まれる脆弱性とが対応付けられた第1情報と、前記機器と前記脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第2情報と、を記憶する記憶部と、
    前記記憶部に記憶されている第1情報と第2情報とに基づいて、前記機器に含まれる脆弱性と前記脅威分析対象システムにおける脅威とを関連付ける脅威分析処理部と、
    前記脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する脅威分析結果出力部と、
    を備えることを特徴とする脅威分析システム。
  2. 前記記憶部には、前記機器に含まれる脆弱性の種別と、前記機器に係る制御操作の種別と、前記脆弱性が前記制御操作に与える脆弱性影響度とが対応付けられた第3情報が更に記憶され、
    前記脅威分析処理部は、前記記憶部に記憶されている第3情報に基づいて、前記機器に含まれる脆弱性の種別と前記機器に係る制御操作の種別とに対応する脆弱性影響度が所定の値である制御操作を更に関連付け、
    前記脅威分析結果出力部は、前記脅威分析処理部により関連付けられた脆弱性と脅威と制御操作との関係を出力する、
    ことを特徴とする請求項1に記載の脅威分析システム。
  3. 前記脅威分析処理部は、
    前記機器と、前記機器に含まれる脆弱性の種別とに対応付けて、関連付けた制御操作の情報を前記記憶部に記憶し、
    制御操作の関連付けの際、前記機器と、前記機器に含まれる脆弱性の種別とに対応付けられた制御操作の情報が前記記憶部に存在する場合、前記記憶部に記憶された制御操作の情報を用いる、
    ことを特徴とする請求項2に記載の脅威分析システム。
  4. 前記機器に含まれる脆弱性が前記脅威分析対象システムにおける脅威に与える影響の大きさを所定のアルゴリズムを用いて評価する影響度評価処理部を更に備える、
    ことを特徴とする請求項1に記載の脅威分析システム。
  5. 前記影響度評価処理部は、前記機器に含まれる脆弱性、前記機器に係る制御操作、および前記脅威分析対象システムにおける脅威をノードとしてベイジアンネットワークを用いて、前記機器に含まれる脆弱性が前記脅威分析対象システムにおける脅威に与える影響の大きさと、前記機器に含まれる脆弱性が前記機器に係る制御操作に与える影響の大きさをと、を評価し、
    前記脅威分析結果出力部は、前記影響度評価処理部により評価された結果を出力する、
    ことを特徴とする請求項4に記載の脅威分析システム。
  6. 脅威分析対象システムを構成する機器と前記機器に含まれる脆弱性とが対応付けられた第1情報と、前記機器と前記脅威分析対象システムで想定される事業者視点の脅威とが対応付けられた第2情報と、を記憶する記憶部を有する脅威分析システムにおける分析方法であって、
    前記脅威分析システムが備える脅威分析処理部が、前記記憶部に記憶されている第1情報と第2情報とに基づいて、前記機器に含まれる脆弱性と前記脅威分析対象システムにおける脅威とを関連付ける第1のステップと、
    前記脅威分析システムが備える脅威分析結果出力部が、前記脅威分析処理部により関連付けられた脆弱性と脅威との関係を出力する第2のステップと、
    を備えることを特徴とする分析方法。
JP2018031377A 2018-02-23 2018-02-23 脅威分析システムおよび分析方法 Active JP6718476B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018031377A JP6718476B2 (ja) 2018-02-23 2018-02-23 脅威分析システムおよび分析方法
US16/971,331 US11418534B2 (en) 2018-02-23 2019-02-22 Threat analysis system and threat analysis method
PCT/JP2019/006925 WO2019163972A1 (ja) 2018-02-23 2019-02-22 脅威分析システムおよび分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018031377A JP6718476B2 (ja) 2018-02-23 2018-02-23 脅威分析システムおよび分析方法

Publications (2)

Publication Number Publication Date
JP2019145053A JP2019145053A (ja) 2019-08-29
JP6718476B2 true JP6718476B2 (ja) 2020-07-08

Family

ID=67688414

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018031377A Active JP6718476B2 (ja) 2018-02-23 2018-02-23 脅威分析システムおよび分析方法

Country Status (3)

Country Link
US (1) US11418534B2 (ja)
JP (1) JP6718476B2 (ja)
WO (1) WO2019163972A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11841952B2 (en) 2020-02-26 2023-12-12 Armis Security Ltd. Techniques for detecting exploitation of manufacturing device vulnerabilities
US11481503B2 (en) * 2020-02-26 2022-10-25 Armis Security Ltd. Techniques for detecting exploitation of medical device vulnerabilities
EP3896591B1 (en) * 2020-04-17 2024-07-31 DeepInspect S.r.l. Method and system for security assessment of iot devices
US11483351B2 (en) * 2020-08-26 2022-10-25 Cisco Technology, Inc. Securing network resources from known threats
US20230188540A1 (en) * 2021-12-10 2023-06-15 Palo Alto Networks, Inc. Iot adaptive threat prevention
JP7482159B2 (ja) 2022-02-01 2024-05-13 株式会社日立製作所 計算機システム及びセキュリティリスクの影響分析方法
CN114978569B (zh) * 2022-03-09 2023-05-05 西南交通大学 一种信息物理融合的铁路信号控制系统威胁分析方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007058514A (ja) 2005-08-24 2007-03-08 Mitsubishi Electric Corp 情報処理装置及び情報処理方法及びプログラム
WO2008004498A1 (fr) * 2006-07-06 2008-01-10 Nec Corporation Système, dispositif, procédé et programme de gestion des risques de sécurité
JP5077427B2 (ja) * 2008-03-21 2012-11-21 富士通株式会社 対策選択プログラム、対策選択装置および対策選択方法
US8601587B1 (en) * 2009-09-04 2013-12-03 Raytheon Company System, method, and software for cyber threat analysis
US20140137257A1 (en) * 2012-11-12 2014-05-15 Board Of Regents, The University Of Texas System System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure
US9712551B2 (en) * 2012-11-30 2017-07-18 The Boeing Company Methods and systems for architecture-centric threat modeling, analysis and visualization
US9692778B1 (en) * 2014-11-11 2017-06-27 Symantec Corporation Method and system to prioritize vulnerabilities based on contextual correlation
JP6392170B2 (ja) * 2015-05-26 2018-09-19 日本電信電話株式会社 脅威分析支援方法、脅威分析支援装置、及び脅威分析支援プログラム
JP6676480B2 (ja) * 2016-06-13 2020-04-08 株式会社日立製作所 脆弱性リスク評価システム
EP3545418A4 (en) * 2016-11-22 2020-08-12 AON Global Operations PLC, Singapore Branch SYSTEMS AND PROCEDURES FOR RISK ASSESSMENT OF CYBERSECURITY
US10521584B1 (en) * 2017-08-28 2019-12-31 Amazon Technologies, Inc. Computer threat analysis service
US10740469B2 (en) * 2017-12-28 2020-08-11 Fmr Llc Automated secure software development management, risk assessment, and risk remediation

Also Published As

Publication number Publication date
WO2019163972A1 (ja) 2019-08-29
US20210029153A1 (en) 2021-01-28
JP2019145053A (ja) 2019-08-29
US11418534B2 (en) 2022-08-16

Similar Documents

Publication Publication Date Title
JP6718476B2 (ja) 脅威分析システムおよび分析方法
JP6307453B2 (ja) リスク評価システムおよびリスク評価方法
Menzies et al. Automated severity assessment of software defect reports
US8423616B2 (en) Identifying and correlating electronic mail messages
JP4997856B2 (ja) データベース分析プログラム、データベース分析装置、データベース分析方法
JP6312578B2 (ja) リスク評価システムおよびリスク評価方法
US20080148398A1 (en) System and Method for Definition and Automated Analysis of Computer Security Threat Models
US8141149B1 (en) Keyword obfuscation
KR102291142B1 (ko) 시스템 운용 상태 정보를 이용한 사이버 자산 피해 분석 장치, 방법, 기록 매체 및 컴퓨터 프로그램
JP2009110177A (ja) 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム
KR20120071834A (ko) 악성코드 그룹 및 변종 자동 관리 시스템
US11822578B2 (en) Matching machine generated data entries to pattern clusters
WO2021084020A1 (en) Detection of security threats in a network environment
JP6294847B2 (ja) ログ管理制御システムおよびログ管理制御方法
US20120151581A1 (en) Method and system for information property management
US11436322B2 (en) Vehicle unauthorized access countermeasure taking apparatus and vehicle unauthorized access countermeasure taking method
JP2022071645A (ja) 情報処理プログラム、情報処理方法、および情報処理装置
Michalas et al. MemTri: A memory forensics triage tool using bayesian network and volatility
Bhuiyan et al. Can we use software bug reports to identify vulnerability discovery strategies?
EP3402153A1 (en) Cloud infrastructure vulnerabilities assessment background
JP7033560B2 (ja) 分析装置および分析方法
WO2020152845A1 (ja) セキュリティ情報分析装置、システム、方法およびプログラム
KR101923996B1 (ko) 사이버 정보 유출 행위 추출 시스템
JP7408530B2 (ja) セキュリティ管理システム、及びセキュリティ管理方法
US20220253529A1 (en) Information processing apparatus, information processing method, and computer readable medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200318

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200520

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200612

R150 Certificate of patent or registration of utility model

Ref document number: 6718476

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150