[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP7040535B2 - セキュリティ情報処理装置、情報処理方法及びプログラム - Google Patents

セキュリティ情報処理装置、情報処理方法及びプログラム Download PDF

Info

Publication number
JP7040535B2
JP7040535B2 JP2019565674A JP2019565674A JP7040535B2 JP 7040535 B2 JP7040535 B2 JP 7040535B2 JP 2019565674 A JP2019565674 A JP 2019565674A JP 2019565674 A JP2019565674 A JP 2019565674A JP 7040535 B2 JP7040535 B2 JP 7040535B2
Authority
JP
Japan
Prior art keywords
information
threat information
threat
product
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019565674A
Other languages
English (en)
Other versions
JPWO2019142345A1 (ja
Inventor
将 川北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2019142345A1 publication Critical patent/JPWO2019142345A1/ja
Application granted granted Critical
Publication of JP7040535B2 publication Critical patent/JP7040535B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Algebra (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、製品のセキュリティに関する情報を収集する技術に関する。
情報処理システムに限らず、その他のシステム(例えば制御システム等)を標的としたセキュリティに関する攻撃(サイバー攻撃等)が発生している。
製品に関連するリスクを評価する技術に関連して、例えば、特許文献1には、過去の発注履歴を参照して、ある部品を末端サプライヤから購入する際の調達リスクを算出する技術が記載されている。
特許文献2には、定常時と、リスク事象発生時とに個別に対応したサプライチェーンモデルを用意し、サプライチェーンからの実績データに基づいてリスク事象が発生したと判定した場合には、リスク対応のサプライチェーンモデルを用いてリスク損失を最小化するサプライチェーン体制を導出する技術が記載されている。
特許文献3には、違法又は有害情報を含むWebページを提供するサーバに特徴的な情報を用いて、あるwebページが違法又は有害情報を含むか否かを判定するスコアを算出する技術が記載されている。
特開2013-196403号公報 特開2011-227852号公報 特開2011-248500号公報
ある製品(例えば、制御システム等)に関するセキュリティのリスクを評価する際、その製品を構成する構成要素(サブシステム、各種装置、ハードウェア及びソフトウェア部品等)に含まれ得る未知及び既知の脆弱性に関する情報を収集して調査することは、必ずしも容易ではない。
上記特許文献1、2に記載された技術は、いずれも製品のサプライチェーンにおいて発生するリスクを評価する技術である。また、上記特許文献3に記載された技術は、あるWebページが有害情報を含むか否かを判定する技術である。すなわち、これらの技術は、製品のセキュリティに関するリスクの評価に適切な技術ではない。
本開示に係る技術は、上記のような事情を鑑みて開発されたものである。即ち、本開示は、ある製品に影響し得るセキュリティの脅威を効率的に調査可能とする技術を提供することを、その目的の一つとする。
上記目的を達成すべく、本開示の一態様に係るセキュリティ情報処理装置は、以下のような構成を備える。即ち、本開示の一態様に係るセキュリティ情報処理装置はセキュリティに関する脅威を表す脅威情報を含む第1脅威情報を用いて、ある情報を前記脅威情報に分類可能な脅威情報モデルを生成する脅威情報モデル生成部と、セキュリティに関連する情報を提供する情報源から、脅威情報の候補である脅威情報候補を収集する収集部と、ある製品を構成する構成要素に関する情報と、脅威情報モデルとを用いて、収集した脅威情報候補から、製品に影響し得る脅威情報を含む第2脅威情報を検出する検出部と、を備える。
また、本開示の他の一態様に係る情報処理方法は、以下のような構成を備える。即ち、本開示の一態様に係るセキュリティ情報処理方法は、情報処理装置が、セキュリティに関する脅威を表す脅威情報を含む第1脅威情報を用いて、ある情報を前記脅威情報に分類可能な脅威情報モデルを生成し、セキュリティに関連する情報を提供する情報源から、脅威情報の候補である脅威情報候補を収集し、ある製品を構成する構成要素に関する情報と、脅威情報モデルとを用いて、収集した脅威情報候補から、製品に影響し得る脅威情報を含む第2脅威情報を検出することを含む。
また、上記目的は、上記構成を有するセキュリティ情報処理装置、情報処理方法等をコンピュータによって実現するコンピュータ・プログラム、及び、そのコンピュータ・プログラムが格納されているコンピュータ読み取り可能な記録媒体等によっても達成される。
本開示の他の一態様に係るセキュリティ情報処理プログラムは、以下のような構成を備える。即ち、本開示の一態様に係るセキュリティ情報処理プログラムは、セキュリティに関する脅威を表す脅威情報を含む第1脅威情報を用いて、ある情報を前記脅威情報に分類可能な脅威情報モデルを生成する処理と、セキュリティに関連する情報を提供する情報源から、脅威情報の候補である脅威情報候補を収集する処理と、ある製品を構成する構成要素に関する情報と、脅威情報モデルとを用いて、収集した脅威情報候補から、製品に影響し得る脅威情報を含む第2脅威情報を検出する処理と、をコンピュータに実行させる。なお、本開示の一態様に係る記録媒体には、上記したコンピュータ・プログラムが記録されてもよい。
本開示によれば、ある製品に影響し得るセキュリティの脅威を効率的に調査することができる。
図1は、本開示の第1実施形態におけるセキュリティ情報処理装置の機能的な構成を例示するブロック図である。 図2は、本開示の第1実施形態におけるセキュリティ情報処理装置における処理を概念的に表す説明図である。 図3は、本開示の第1実施形態におけるセキュリティ情報処理装置の動作の一例を示すフローチャートである。 図4は、本開示の第2実施形態におけるセキュリティ情報処理装置の機能的な構成を例示するブロック図である。 図5は、既知脅威情報データベースの具体例を示す説明図である。 図6は、収集サイト設定データベースの具体例を示す説明図である。 図7は、情報源から脅威情報の候補を収集する過程を例示する説明図である。 図8は、脅威情報候補データベースの具体例を示す説明図である。 図9は、構成情報データベースの具体例を示す説明図である。 図10は、本開示の第2実施形態におけるセキュリティ情報処理装置の動作の一例を示すフローチャート(その1)である。 図11は、本開示の第2実施形態におけるセキュリティ情報処理装置の動作の一例を示すフローチャート(その2)である。 図12は、本開示の第2実施形態におけるセキュリティ情報処理装置の動作の一例を示すフローチャート(その3)である。 図13は、本開示の第2実施形態におけるセキュリティ情報処理装置の動作の一例を示すフローチャート(その4)である。 図14は、本開示の第3実施形態に係るセキュリティ情報処理装置の機能的な構成を例示するブロック図である。 図15は、売上データベースの具体例を示す説明図である。 図16は、本開示の第3実施形態におけるセキュリティ情報処理装置の動作の一例を示すフローチャートである。 図17は、本開示の各実施形態を実現可能なハードウェア装置の構成を例示する説明図である。
各実施形態の詳細な説明に先立って、本開示に関する技術的な検討事項等について詳細に説明する。
以下、説明の便宜上、セキュリティに関連する攻撃を総称して、サイバー攻撃と記載する。
以下、説明の便宜上、外部から制御可能な構成要素を含むシステムのうち、主に情報通信装置等により構成される情報システム以外のシステムを総称して、「制御システム」と記載する。すなわち、本開示における「制御システム」は特定の分野、領域に限定されず、例えば、各種社会基盤(インフラストラクチャー)、各種プラント、各種産業機械、各種交通システム、各種輸送機器、空調、ロボット、各種センサなどを制御対象とするシステム(又は、そのようなシステムを構成するサブシステム)が含まれてよい。また、以下においては、制御システムを含む製品を、「制御システム製品」、又は、単に「製品」と記載することがある。
制御システムは、通信回線に接続されずに、オフラインで稼働することが比較的多かったものの、インターネット、汎用バス等の普及にともない、通信回線と接続したオンライン状態で稼働する制御システムが増えている。
これにともない、例えば、情報通信機器において広く用いられているオペレーティングシステム、アプリケーションなどが、制御システムの一部として採用される機会が増加している。このため、制御システムについても、情報システムと同様に、オペレーティングシステムやアプリケーションの欠陥を攻撃する脆弱性攻撃の対象となりえる。
脆弱性攻撃の手法や被害状況等、セキュリティ上の脅威に関する内容が記載された情報(以下「脅威情報」と記載する)は、公的機関やベンダによって一般に開示されることがある。情報通信機器の場合、例えば、自己更新機能などを用いて脆弱性を自動的に修正することが、現在では一般的に実行されている。一方、制御システムを構成する構成要素は、必ずしも自動更新のような機能を備えているとは限らない。また、自動更新機能を実行できる環境が用意されていないこともある。
制御システムにおいては、複数の構成要素(例えば、ハードウェア部品、ソフトウェア部品等)を組み合わせることにより、一つの製品が構成されることが多い。このため、ある製品(制御システム)について検討を要する脅威情報の範囲は、その製品の複雑度(例えば、構成要素の数)に比例して増大する。また、製品ごとに検討を要する脅威情報が異なる。
セキュリティ上の脅威に関する情報(特に、未知の脅威に関する情報)は、例えば、インターネットにおけるソーシャルメディア等を介して流通することが多い。有用な情報を得るためには、脅威情報を検索するサイトやソーシャルメディアを適切に選択する必要がある。また、流通する情報が多いことから、例えば、制御システムに関連する部品等の名称をキーワードとして適切に指定しないと、脅威情報を的確に検索できないことがある。
ある制御システムの製品に関する脅威が顕在化した場合の被害は、脅威にさらされる構成要素(制御システムの部品)を用いた製品の売上に応じて拡大する。このような事情から、制御システムの提供者(ベンダ)は、制御システムを構成する構成要素について、セキュリティ上の脅威に関する情報を適切に調査・収集し、リスクを検討することを求められる。
しかしながら、上記したように、調査すべき制御システムの構成要素の数が制御システムの複雑度に応じて増大することから、制御システムに含まれ得る既知及び未知の脆弱性を把握することは容易ではない。また、大量の脆弱性情報のなかから、制御システム(及びその構成要素)に影響する可能性があるセキュリティ上の脅威に関する情報を適切に検索することも、容易ではない。
上記のような状況から、本発明者らは、流通している情報(セキュリティの脅威に関する情報)のうち、制御システムを構成する構成要素(例えば、ソフトウェア部品、ハードウェア部品等)に影響する可能性がある情報を適切に検出可能な、本開示に係る技術を着想するに至った。
以下において説明する本開示に係る技術の一態様であるセキュリティ情報処理装置は、例えば、セキュリティに関する脅威を表す情報である脅威情報に基づいて、ある情報を脅威情報に分類可能な脅威情報モデルを生成するよう構成されてもよい。なお、セキュリティ情報処理装置は、この際、公的機関やベンダによって一般に開示された既知の脅威情報を用いて、脅威情報モデルを作成してもよい。セキュリティ情報処理装置は、例えば、特定の情報源(例えば、脅威情報を提供するwebサイトやソーシャルネットワーク等)から、ある製品に影響し得る脅威情報の候補である脅威情報候補を収集するよう構成されてもよい。セキュリティ情報処理装置は、例えば、生成した脅威情報モデルを用いて、上記収集した脅威情報候補のうち、ある製品に影響し得る脅威情報を含む脅威情報候補を検出するよう構成されてもよい。
上記のような構成を含む本開示に係る技術によれば、ある製品(例えば、制御システム等)に影響し得るセキュリティの脅威を効率的に調査することが可能となる。その理由は、既知の脅威情報を用いて作成した脅威情報モデルを用いて、情報源から収集した脅威情報の候補のうち、ある製品に影響し得る脅威情報を検出することができるからである。
以下、本開示に係る技術について、具体的な実施形態を用いて具体的に説明する。以下の具体的な実施形態の構成は例示であり、本開示に係る技術の技術範囲は、それらには限定されない。以下の各実施形態を構成する構成要素の分割(例えば、機能的な単位による分割)は、その実施形態を実現可能な一例である。各実施形態を実現可能な構成は、以下の例示に限定されず、様々な構成が想定され得る。以下の各実施形態を構成する構成要素は、更に分割されてもよく、また、以下の各実施形態を構成する1以上の構成要素が統合されてもよい。
以下に例示する各実施形態が1以上の物理的装置、仮想的装置、及びその組合せを用いて実現される場合、1以上の構成要素が1以上の装置により実現されてもよく、1つの構成要素が複数の装置を用いて実現されてもよい。なお、各実施形態を実現可能な装置のハードウェア構成の具体例については、後述する。
<第1実施形態>
以下、本開示に係る技術の基本的な実施形態である第1実施形態について説明する。
〔構成〕
図1は、本実施形態におけるセキュリティ情報処理装置100の機能的な構成を例示するブロック図である。
図1に例示するように、セキュリティ情報処理装置100は、脅威情報モデル生成部101(脅威情報モデル生成手段)と、収集部102(収集手段)と、検出部103(検出手段)と、を有する。セキュリティ情報処理装置100を構成するこれらの構成要素の間は、適切な方法を用いて通信可能に接続されていてもよい。セキュリティ情報処理装置100は、専用のハードウェア装置を用いて実装されてもよく、汎用のハードウェア装置とソフトウェア・プログラムとを用いて実装されてもよい。なお、セキュリティ情報処理装置100を構成するハードウェア装置は、物理的な装置であってもよく、適切な仮想化基盤を用いて構築された仮想ハードウェア装置(例えば、仮想マシン)であってもよい。
セキュリティ情報処理装置100が物理的ハードウェア装置を用いて実装される場合、セキュリティ情報処理装置100に含まれる各構成要素は、例えば、適切な回路デバイス(通信デバイス、演算デバイス、記憶デバイス等)を用いて実現されてよい。セキュリティ情報処理装置100が汎用のハードウェア装置とソフトウェア・プログラムとを用いて実装される場合、セキュリティ情報処理装置100に含まれる各構成要素は、例えば、適切なソフトウェアモジュールとして実現されてよい。
以下、セキュリティ情報処理装置100の各構成要素について説明する。
脅威情報モデル生成部101は、セキュリティに関する脅威を表す脅威情報を含む第1脅威情報に基づいて、ある情報を脅威情報に分類可能な脅威情報モデルを生成するよう構成される。
第1脅威情報は、例えば、公的機関、セキュリティベンダ、セキュリティ研究者等によって公開されている、既知の脅威情報であってよい。すなわち、第1脅威情報は、何らかのセキュリティ上の脅威を表す情報が含まれていると判定されている情報(換言すると、セキュリティ上の脅威を表す情報が含まれていることが既知である情報)である。これらの情報は、例えば、インターネットなどを介して適宜入手することが可能である。
本実施形態においては、予め収集された第1脅威情報が、セキュリティ情報処理装置100(脅威情報モデル生成部101)に提供されてもよく、セキュリティ情報処理装置100が、第1脅威情報を収集してもよい。第1脅威情報は、セキュリティ情報処理装置100からアクセス可能な外部の記憶装置に記憶されてもよく、セキュリティ情報処理装置100に記憶されてもよい。
収集される第1脅威情報は、例えば、セキュリティの脅威に関する情報を含む文書(テキスト)データであってよい。なお、第1脅威情報として、音声、画像(静止画、動画含む)などのデータが収集された場合、セキュリティ情報処理装置100は、適切な方法(例えば、音声認識、画像解析等)を用いて、これらのデータから文書データ(テキストデータ)を生成してもよい。
脅威情報モデル生成部101は、例えば、収集した第1脅威情報を用いて、ある情報を脅威情報に分類可能な脅威情報モデルを生成する。具体的には、脅威情報モデルは、例えば、ある情報が、脅威情報か否か(又は、脅威情報に類似する情報であるか否か)を分類可能なモデルであってよい。脅威情報モデルは、例えば、ある情報を入力した際に、その情報が脅威情報であるか否かを表すバイナリ値(例えば”0”と”1”)を算出可能なモデルであってもよく、確率を算出可能なモデルであってもよく、スコアを算出可能なモデルであってもよく、信頼度を算出可能なモデルであってもよい。
脅威情報モデルを実現する具体的なモデル表現は特に限定されない。一例として、脅威情報モデル生成部101は、ロジスティクス回帰モデルを用いて、脅威情報モデルを実現してもよい。また、脅威情報モデル生成部101は、例えば、パターン認識の分野において一般的に使用可能な分類器(識別器)を用いて、脅威情報モデルを実現してもよい。
脅威情報モデル生成部101は、収集した第1脅威情報を、適切な形式の特徴量データに変換し、その特徴量データを用いて、脅威情報モデルを学習してもよい。第1脅威情報が文書データ(テキストデータ)である場合、脅威情報モデル生成部101は、適切な方法を用いてその文書データを文書ベクトルに変換し、その文書ベクトルを特徴量データとして用いてよい。
脅威情報モデル生成部101は、例えば、生成した脅威情報モデルを記憶してもよく、検出部103に適宜提供してもよい。
収集部102は、特定の情報源から、脅威情報の候補である脅威情報候補を収集するよう構成される。具体的には、収集部102は、例えば、特定の情報源として、脅威情報が流通している各種サイト、ソーシャルネットワーク、各種データベース等を用いてもよい。情報源を特定する設定情報は、例えば、セキュリティ情報処理装置100に予め設定されていてもよく、セキュリティ情報処理装置100のユーザなどが適宜設定してもよい。各情報源から収集される脅威情報候補は、ある製品のセキュリティに影響するか否かが不明(未確認)な脅威情報である。なお、脅威情報候補には、例えば、既知の脆弱性に関する情報が含まれてもよく、未知の脆弱性に関する情報が含まれてもよい。
収集部102は、例えば、ある製品(例えば、制御システム)を構成する構成要素に関連する情報を、脅威情報候補として収集するよう構成されてもよい。この場合、ある製品(例えば制御システム)を構成する構成要素(例えば、ソフトウェア部品、ハードウェア部品)の情報は、例えば、データベースなどの形式で予めセキュリティ情報処理装置100に与えられてよい。各情報源において検索処理(例えば、キーワード検索等)を実行可能な場合、収集部102は、例えば、製品を構成する構成要素をキーワードとして検索し、その検索結果を脅威情報候補として収集してもよい。なお、収集部102は、例えば、各情報源が発信している情報をそのまま取得してもよい。この場合、収集部102は、例えば、情報源から取得した情報のうち、製品を構成する構成要素に関連する情報(例えば、製品を構成する構成要素の名称などを含む情報)を、脅威情報候補として選択してもよい。
検出部103は、ある製品を構成する構成要素に関する情報と、脅威情報モデルとを用いて、収集部102が収集した脅威情報候補から、製品に影響し得る脅威情報を含む第2脅威情報を選択するよう構成される。
検出部103は、例えば、脅威情報モデル生成部101により生成された脅威情報モデルを用いて、収集部102により収集された脅威情報候補が、セキュリティ上の脅威に関連する脅威情報であるか否かを分類(判定)する。具体的には、検出部103は、例えば、脅威情報候補が文書データである場合、その文書データから特徴量データ(文書ベクトル)を作成する。検出部103は、例えば、脅威情報モデル生成部101が第1脅威情報から特徴量データを作成する方法と同じ方法を用いて、特徴量データを作成してよい。検出部103は、例えば、脅威情報候補から作成された特徴量データを脅威情報モデルに入力することで得られる出力から、ある脅威情報候補が、製品に影響し得る脅威情報(第2脅威情報)であるか否かを判定してもよい。
具体例として、脅威情報モデルが確率値を出力するモデルである場合を想定する。検出部103は、例えば、ある特徴量データを入力した際に得られる確率値が、ある特定の閾値以上であれば、その特徴量データを作成する元となった脅威情報候補が、製品に影響し得る脅威情報(第2脅威情報)であると判定してもよい。これにより、検出部103は、収集部102により収集された脅威情報候補のうち、ある製品(より具体的には、その製品の構成要素)に影響し得る脅威情報を検出することができる。
〔動作〕
以下、上記のように構成されたセキュリティ情報処理装置100の動作について図2、図3を参照して説明する。
図2は、セキュリティ情報処理装置100において実行される各種処理を概念的に示す説明図である。なお、図2は説明のための具体例を示しており、本実施形態は図2に示す具体例に限定されない。
セキュリティ情報処理装置100(脅威情報モデル生成部101)は、第1脅威情報(図2の201)を用いて、脅威情報モデル(図2の202)を生成する。上記したように、第1脅威情報は、予め収集された既知の脅威情報であってもよい。
セキュリティ情報処理装置100(収集部102)は、各種情報源(図2の203)から、脅威情報候補(図2の204)を収集する。この際、セキュリティ情報処理装置100は、ある製品を構成する構成要素に関する情報を、脅威情報候補として収集してもよい。ある製品を構成する構成要素に関する情報は、例えば、データベース(図2の205)として提供されてもよい。
セキュリティ情報処理装置100(検出部103)は、作成された脅威情報モデル202を用いて、各脅威情報候補204のうち、製品(具体的には製品の構成要素)に対するセキュリティの脅威を含む脅威情報候補204を、第2脅威情報(図2の206)として選択する。これにより、検出部103は、製品(具体的には製品の構成要素)に対するセキュリティの脅威を含む脅威情報を検出することができる。
以下、図3に例示するフローチャートを参照して、本実施形態におけるセキュリティ情報処理装置100の動作について説明する。
セキュリティ情報処理装置100(脅威情報モデル生成部101)は、セキュリティに関する脅威を表す脅威情報を含む第1脅威情報を取得する(ステップS301)。上記したように、第1脅威情報は、予め収集され、セキュリティ情報処理装置100に提供されてもよい。
セキュリティ情報処理装置100(脅威情報モデル生成部101)は、取得した第1脅威情報を用いて、脅威情報を分類可能な脅威情報モデルを生成する(ステップS302)。具体的には、セキュリティ情報処理装置100は、第1脅威情報から特徴量データを作成し、その特徴量データを用いて、ある情報が脅威情報であるか否かを分類(判定)可能な脅威情報モデルを学習してもよい。
セキュリティ情報処理装置100(収集部102)は、セキュリティに関連する情報を提供する情報源から、脅威情報の候補である脅威情報候補を収集する(ステップS303)。情報源は、例えば、脆弱性情報を流通するサイトや、ソーシャルネットワークであってよい。
セキュリティ情報処理装置100(検出部103)は、ある製品を構成する構成要素に関する情報と、作成した脅威情報モデルとを用いて、脅威情報候補から、製品に影響し得る脅威情報を含む第2脅威情報を選択する(ステップS304)。
具体的には、セキュリティ情報処理装置100は、例えば、収集された各脅威情報候補から特徴量データを作成し、その特徴量データを脅威情報モデルに入力することで得られる出力に基づいて、その特徴量データの元となった脅威情報候補が、製品に影響し得る脅威情報(第2脅威情報)であるか否かを分類してもよい。
上記のように構成された本実施形態におけるセキュリティ情報処理装置100によれば、あるシステムに影響し得るセキュリティの脅威を効率的に調査することが可能となる。その理由は、既知の脅威情報を用いて作成した脅威情報モデルを用いて、情報源から収集した脅威情報の候補のうち、ある製品に影響し得る脅威情報を選択することができるからである。すなわち、比較的入手が容易な既知の脅威情報を用いて作成した脅威情報モデルを用いることで、未確認の脅威情報の候補から、有用な情報を選択することができるからである。情報源の数や、各情報源が提供する情報の量に応じて、収集部102は、比較的多くの脅威情報の候補を収集することがあり、そのなかには有用な情報と、有用ではない情報とが混在している。例えば、このような情報のなかから、ある製品に関する有用な情報(セキュリティの脅威に関する情報)を人手により検出することは容易ではない。これに対して、本実施形態におけるセキュリティ情報処理装置100においては、例えば、収集された脅威情報の候補を、脅威情報モデルを用いて分類する(脅威情報であるか否かを判定する)ことで、脅威情報の候補のなかから、有用な情報(第2の脅威情報)を効率的に検出することが可能である。
<第2実施形態>
以下、本開示に係る技術の第2実施形態について説明する。第2実施形態におけるセキュリティ情報処理装置4000(後述)は、例えば、第1実施形態におけるセキュリティ情報処理装置100の機能を拡張した装置として実現されてよい。
〔構成〕
本実施形態におけるセキュリティ情報処理装置4000は、製品のライフサイクルを管理する製品管理システム(例えば、PLM(Products Lifecycle Management)システム)と連携可能であり、製品管理システムにおいて管理されている製品(例えば、制御システム)に影響し得るセキュリティの脅威を表す情報を検出するよう構成される。
図4は、本実施形態におけるセキュリティ情報処理装置4000の機能的な構成及びセキュリティ情報処理装置4000が配置(デプロイ)される環境を例示するブロック図である。
図4に例示するように、セキュリティ情報処理装置4000は、情報源4100(後述)及び、製品管理システム4200(後述)と、適切な通信方法を用いて通信可能に接続される。セキュリティ情報処理装置4000は、また、既知脅威情報設定装置4300(後述)、収集サイト設定装置4400(後述)と、適切な通信方法を用いて通信可能に接続されてもよい。
情報源4100は、上記第1実施形態と同様、セキュリティに関する各種情報(脅威情報を含む)が流通している各種サイト、ソーシャルネットワーク、各種データベース等であってよい。セキュリティ情報処理装置4000は、例えば、インターネットなどの通信ネットワークを介して、情報源4100から、脅威情報(より具体的には、脅威情報の候補)を取得してよい。
製品管理システム4200は、例えば、製品のライフサイクルを管理可能な情報システムであり、例えば、各種サーバやデータベースなどを用いて実現されてよい。本実施形態においては、具体例として、製品管理システム4200が、製造業において取り扱う製品(例えば、制御システム)のライフサイクルを一元管理するシステムである、PLMシステムにより実現されることを想定する。
製品管理システム4200が、ある製品に関して管理する情報は特に限定されない。製品管理システム4200は、例えば、ある製品に関する様々なデータを、データベースなどの適切な形式で管理してよい。製品管理システム4200は、例えば、ある製品を構成する構成要素(構成部品)に関するデータ(部品表)を、データベースに保持してもよい。製品管理システム4200は、例えば、ある製品に関する設計データ(例えば、CAD(computer-aided design)データ、回路設計データ、プログラム設計データ等)を、データベースに保持してもよい。製品管理システム4200は、例えば、ある製品の納品先や、販売情報(売上数量、売り上げ金額等)を、データベースに保持してもよい。
製品管理システム4200は、要求に応じて、管理しているデータを適宜提供するよう構成される。製品管理システム4200は、この際、各データを管理しているデータベースへのアクセスを提供してもよい。
既知脅威情報設定装置4300は、後述する脅威情報モデル生成部4001に対して、既知の脅威情報を第1脅威情報として提供する装置である。
既知脅威情報設定装置4300は、例えば、ローカルのファイルシステム上のファイル、通信ネットワーク上の各種ホストが提供するファイルなどから、既知の脅威情報を取得してもよい。既知脅威情報設定装置4300は、既知脅威情報設定装置4300に接続された入出力装置(例えば、キーボード、マウス、ディスプレイ)などを介して、既知の脅威情報の入力を受け付けてもよい。この場合、既知脅威情報設定装置4300は、例えば、情報源のURL(Uniform Resource Locator)、タイトル、及び、本文を受け付ける画面を入力画面として提示し、入力画面に入力された内容を受け付けてもよい。また、既知脅威情報設定装置4300は、例えば、公的機関、セキュリティベンダ、セキュリティ研究者等によって公開されている既知の脅威情報を、インターネットなどの通信回線を介して取得してもよい。既知脅威情報設定装置4300は、既知の脅威情報を取得する処理を、ある特定のタイミングで実行してもよく、定期的に実行してもよい。
既知脅威情報設定装置4300が提供する第1脅威情報は、セキュリティの脅威に関する情報を含む文書(テキスト)データであってよい。なお、既知の脅威情報として、音声、画像(静止画、動画含む)などのデータが収集された場合、既知脅威情報設定装置4300は、適切な方法(例えば、音声認識、画像解析等)を用いて、これらのデータから文書データ(テキストデータ)を生成し、第1脅威情報として脅威情報モデル生成部4001に提供してよい。
既知脅威情報設定装置4300は、例えば、取得した既知の脅威情報を、第1脅威情報として脅威情報モデル生成部4001に提供する。既知脅威情報設定装置4300が脅威情報モデル生成部4001に提供する第1脅威情報には、例えば、その情報を取得した情報源のURLと、コンテンツ(例えば、タイトル及び本文)とが含まれてもよい。
収集サイト設定装置4400は、後述する収集部4002に対して、脅威情報候補を収集する情報源4100を特定可能な情報を設定する装置である。収集サイト設定装置4400は、例えば、ローカルのファイルシステム上のファイル、通信ネットワーク上の各種ホストが提供するファイル、又は、収集サイト設定装置4400に接続された入力装置を介した入力等から、情報源4100を特定可能な情報を取得してもよい。収集サイト設定装置4400は、情報源4100を特定可能な情報として、例えば、情報源4100のURLと、情報源4100において情報を取得する際の探索の深さを表すデータとを、収集部4002に提供してよい。
以下、セキュリティ情報処理装置4000の具体的な構成について説明する。セキュリティ情報処理装置4000は、脅威情報モデル生成部4001と、収集部4002と、検出部4003とを含む。セキュリティ情報処理装置4000は、また、未知脅威情報出力部4004を含んでもよい。セキュリティ情報処理装置4000を構成するこれらの構成要素の間は、適切な通信方法を用いて通信可能に接続されていてよい。以下、セキュリティ情報処理装置4000を構成するこれらの構成要素について説明する。
〔脅威情報モデル生成部〕
脅威情報モデル生成部4001(脅威情報モデル生成手段)は、第1実施形態における脅威情報モデル生成部101と同様、セキュリティに関する脅威を表す脅威情報を含む第1脅威情報に基づいて、ある情報を脅威情報に分類可能な脅威情報モデルを生成するよう構成される。脅威情報モデル生成部4001は、脅威情報モデル生成部101の機能を拡張可能な構成を備えてよい。
具体的には、脅威情報モデル生成部4001は、図4に例示するように、既知脅威情報データベース4001a、モデル学習部4001b、及び、脅威情報モデルデータベース4001cを有してもよい。
既知脅威情報データベース4001aは、既知脅威情報設定装置4300から提供された、第1脅威情報を記憶する。図5は、既知脅威情報データベース4001aの具体例を示す説明図である。図5に例示するように、既知脅威情報データベース4001aは、第1脅威情報がレコードとして記録された脅威情報テーブル500を格納する。脅威情報テーブル500には、第1脅威情報として、例えば、ある脅威情報を提供した情報源を特定可能なURL(図5の501)と、脅威情報を含むコンテンツ(図5の502)と、が登録される。コンテンツ502は、例えば、URL501により特定されるリソースのタイトルと本文の文書データであってもよい。この際、文書データは、テキストデータとして格納されてもよい。なお、第1脅威情報に含まれる情報は特に制限されず、セキュリティの脅威に関連する情報を表す文書データが含まれればよい。すなわち、第1脅威情報には、URL及びコンテンツ以外の情報が含まれてもよい。また、第1脅威情報には、URLが含まれなくてもよい。なお、図5に例示する具体例に限定されず、既知脅威情報データベース4001aは、テーブル以外の適切なデータ構造により、第1脅威情報を記憶してよい。
なお、既知脅威情報データベース4001aは、後述する検出部4003(具体的には、影響範囲計測部4003b)に対して、脅威情報テーブル500に登録されたデータ(例えば、コンテンツ(図5の502)に登録されたデータ)を提供してもよい。
モデル学習部4001bは、既知脅威情報データベース4001aに格納された第1脅威情報を用いて、脅威情報を分類可能な脅威情報モデルを生成する。具体的には、脅威情報モデルは、例えば、ある情報が、脅威情報か否か(又は、脅威情報に類似する情報であるか否か)を分類可能なモデルであってよい。
一具体例として、本実施形態におけるモデル学習部4001bは、既知脅威情報データベース4001aに格納された第1脅威情報に含まれるコンテンツ(タイトルと本文の文書データ)から文書ベクトルを作成し、その文書ベクトルを特徴量として用いて脅威情報モデルを学習する。以下、第1脅威情報に含まれるコンテンツを、単に「文書データ」と記載することがある。
モデル学習部4001bが文書データから文書ベクトルを作成する方法は特に限定されず、文書データを数値として表現可能な種々の方法を採用可能である。
一例として、モデル学習部4001bは、例えば、文書データに含まれる単語に着目して、文書データをベクトル化する方法として、BoW(Bag of Words)を用いてもよい。BoWは、1以上の文書データの集合に出現する単語を全て数え上げ、各単語の出現頻度をベクトルの要素として並べたベクトル表現である。BoWの次元数は、元の文書データに含まれる単語の数に応じて増大する。このため、本実施形態におけるモデル学習部4001bは、トピックモデリングに使用される技術を用いて、より低次元の文書ベクトルを作成してもよい。
トピックモデリングは、文書データに含まれる単語(ワード)の出現頻度等から、単語の重みベクトルを生成し、文書が含まれるカテゴリを分類することや、文書に関連するトピックを抽出することが可能な技術である。トピックモデリングを用いることで、例えば、ある文書データが脅威情報のカテゴリに分類されるか否かを判定することも可能である。
トピックモデリングの実現手段としては、種々の方法を採用可能である。具体的には、モデル学習部4001bは、例えば、潜在意味解析(LSA(Latent Semantic Analysis)、LSI(Latent Semantic Indexing))、潜在ディリクレ配分法(LDA(Latent Dirichlet Allocation))、doc2vec等において用いられる文書のベクトル化手法を用いて、第1脅威情報の文書データを、文書ベクトルに変換してよい。
例えば、潜在意味解析(LSA)を用いる場合、モデル学習部4001bは、以下のような処理を実行することで、第1脅威情報の文書データから、文書ベクトルを作成することができる。すなわち、モデル学習部4001bは、既知脅威情報データベース4001aに含まれる1以上の第1脅威情報の文書データを、例えばBoW(Bag of Words)の行列表現(文書行列)に変換する。BoWは、ある文書データに出現する単語を全て数え上げ、各単語の出現頻度をベクトルの要素として並べたベクトル表現である。この場合、例えば、モデル学習部4001bは、文書行列の各列が1つの文書データ(第1脅威情報の文書データ)に対応し、各行が、文書に含まれる単語の種類に対応するように、文書行列を作成してもよい。モデル学習部4001bは、係る文書行列を特異値分解(SVD:singular value decomposition)して、大きい順に特定個(例えばk個)の特異値のみを用いて、近似行列を構築する。モデル学習部4001bは、このようにして作成した近似行列の列ベクトルを、文書データの特徴を表す文書ベクトルとして採用してよい。なお、モデル学習部4001bは、文書行列の各行が文書データに対応し、各列が単語の種類に対応するように、文書行列を作成してもよい。この場合、近似行列の行ベクトルを、文書データを表す文書ベクトルとして採用してよい。
また、モデル学習部4001bは、LDAを用いる場合、例えば以下のような処理を実行することで、第1脅威情報の文書データから、文書ベクトルを作成することができる。すなわち、モデル学習部4001bは、既知脅威情報データベース4001aに含まれる1以上の第1脅威情報の文書データをBoWの行列表現(文書行列)に変換する。この際、モデル学習部4001bは、TF-IDF(TF:Term Frequency、IDF:Inverse Document Frequency)を計算することで、文書行列の各要素を重みづけしてもよい。モデル学習部4001bは、文書行列と、特定のトピック数(例えば”k”個)とに基づいて、ある文書データに対するトピックの選択確率に関する確率分布と、各トピックに対する単語の生成確率に関する確率分布とを推定する。なお、トピックの数(”k”)は、予め与えられてもよく、予備的な実験などを通じて適切な値が選択されてもよい。LDAを用いる場合、モデル学習部4001bは、ある文書を、各トピックの重みを要素と有する”k”次元の文書ベクトルとしてあらわすことができる。なお、LDAを用いて文書データを解析する方法については、例えば、下記(参考文献1)に記載された方法が知られている。
(参考文献1)
岩田具治著、「トピックモデル 機械学習プロフェッショナルシリーズ」、第1版、講談社、2015年4月、p.55-77.
また、モデル学習部4001bは、word2vecを用いる場合、例えば以下の、参考文献2、参考文献3に開示された処理を実行することで、第1脅威情報の文書データから、文書ベクトルを作成することができる。
(参考文献2)
Tomas Mikolov, Kai Chen, Greg Corrado, and Jeffrey Dean. Efficient Estimation of Word Representations in Vector Space. In Proceedings of Workshop at ICLR, 2013.
(参考文献3)
Tomas Mikolov, Ilya Sutskever, Kai Chen, Greg Corrado, and Jeffrey Dean. Distributed Representations of Words and Phrases and their Compositionality. In Proceedings of Advances in Neural Information Processing Systems 26 (NIPS 2013), 2013.
モデル学習部4001bは、文書データから作成された特徴量(文書ベクトル)を用いて、脅威情報モデルを学習する。本実施形態において脅威情報モデルは特定のモデルに限定されず、モデル学習部4001bは適切なモデルを選択してよい。
一例として、モデル学習部4001bは、ロジスティック回帰モデルを用いてもよい。上記したように、第1脅威情報は、何らかのセキュリティ上の脅威を表す情報が含まれていると判定されている情報(即ち、セキュリティ上の脅威を表す情報が含まれていることが既知である情報)である。このため、モデル学習部4001bは、第1脅威情報の文書データから作成された文書ベクトルを学習データとして用いることで、ある入力データ(文書データ)が、脅威情報である確率を推定可能な、ロジスティック回帰モデルを作成(学習)することができる。
ロジスティック回帰モデルは、例えば、ロジスティック関数を用いて、ある入力(例えば、文書ベクトル)が与えられた際の、出力の確率(その文書ベクトルに相当する文書データが脅威情報である確率)を算出可能なモデルである。モデル学習部4001bは、例えば、学習データを用いた最尤推定法により、ロジスティック回帰モデル(具体的には、モデルのパラメータ)を学習することができる。ロジスティック回帰モデルの学習は、例えば、公知技術を用いて実現可能である。なお、モデル学習部4001bは、ロジスティック回帰モデル以外の適切なモデル表現を用いて、脅威情報モデルを作成してもよい。
モデル学習部4001bは、作成した脅威情報モデルを、脅威情報モデルデータベース4001cに提供してよい。
脅威情報モデルデータベース4001cは、モデル学習部4001bにより作成された脅威情報モデルを記憶する。脅威情報モデルデータベース4001cは、複数の脅威情報モデルを記憶してもよい。脅威情報モデルデータベース4001cは、例えば、テーブル形式のデータ構造を用いて脅威情報モデルを記憶してもよく、テーブル形式以外の適切なデータ構造を用いて脅威情報モデルを記憶してもよい。
〔収集部〕
以下、収集部4002の具体的な構成について説明する。第1実施形態における収集部102と同様、収集部4002(収集手段)は、特定の情報源から、脅威情報の候補である脅威情報候補を収集するよう構成される。収集部4002は、収集部102の機能を拡張可能な構成を備えてよい。図4に例示するように収集部4002は、収集サイト設定データベース4002a、脅威情報収集部4002b、及び、脅威情報候補データベース4002cを有してもよい。
収集サイト設定データベース4002aは、図6に例示するように、セキュリティに関連する各種情報(脅威情報を含む)を発信する情報源4100を特定可能なデータを記憶する。図6は、収集サイト設定データベース4002aの具体例を示す説明図である。図6に例示するように、収集サイト設定データベース4002aは、情報源4100を特定可能な情報(図6の601)と、その情報源において脅威情報収集部4002b(後述)が実行する探索処理の深さを表す情報(図6の602)とがレコードとして記録された収集サイトテーブル600を格納する。図6に示す具体例の場合、情報源4100を特定可能な情報として、URLが用いられているが、本実施形態はこれには限定されず、情報源4100を特定可能な他の情報(例えば、ユニークなアドレス等)が用いられてもよい。収集サイト設定データベース4002aは、脅威情報収集部4002bに対して、収集サイトテーブル600に登録された情報を適宜提供可能である。
収集サイトテーブル600に記録された情報源4100のURLには、情報源4100において検索(例えばキーワード検索)を実行する際に用いられるクエリ部分が含まれていてもよい。例えば、図6に示す具体例の場合、URLに含まれる文字列”%QUERY”が、クエリ部分に該当する。URLに含まれるクエリ部分は、後述する脅威情報収集部4002bが情報源4100において検索処理(キーワード検索等)を実行する際に、検索される文言(キーワード等)に置き換えられる。この場合、脅威情報収集部4002bは、クエリ部分が置き換えられたURLを、情報源4100に送信する。
図6に例示する具体例に限定されず、収集サイトテーブル600には、URLとは別にクエリ部を表すデータが登録されてもよい。その場合、例えば、後述する脅威情報収集部4002bが情報源4100において検索処理(キーワード検索等)を実行する際に、クエリ部分が置き換えられたデータ(例えば、HTTP(Hypertext Transfer Protocol)通信におけるボディ部分)を、情報源4100に送信してもよい。
収集サイトテーブル600に記録された探索の深さ(図6の602)は、URL(図の601)により特定される情報源4100において、脅威情報収集部4002bが反復して(あるいは再帰的に)実行する検索処理の回数を表す。
脅威情報収集部4002bは、収集サイト設定データベース4002aに格納された収集サイトテーブル600に記録されたURLから、ある製品に関する脅威情報の候補である脅威情報候補を収集する。具体的には、脅威情報収集部4002bは、後述する構成情報データベース4003aに格納された、構成テーブル(後述)を参照する。構成テーブルには、ある製品を構成する構成要素(例えば、ソフトウェア部品、ハードウェア部品等)を表すデータなどが記録される。
脅威情報収集部4002bは、構成テーブルに記録された1以上のレコードを選択する。なお、この際、脅威情報収集部4002bは、構成テーブルに記録された全てのレコードを選択してもよく、セキュリティ情報処理装置4000のユーザ等により指定された特定の範囲のレコードを取得してもよい。脅威情報収集部4002bは、取得したレコードの重複を取り除くことで、ある製品を構成する構成要素である構成部品を表すデータ(構成部品データ)を取得する。構成部品データは、例えば、構成要素を特定可能な情報(例えば、名称、型番等)を表してもよい。
脅威情報収集部4002bは、収集サイトテーブル600に記録されたURL(図6の601)のクエリ部分を、構成部品データに置き換えた、検索用URLを作成する。複数の(例えば”N”個(”N”は1以上の自然数))構成部品データが得られた場合、脅威情報収集部4002bは、各構成部品データに対応する検索用URL(”N”個)を作成してもよい。収集サイトテーブル600に記録されたURLにクエリ部が含まれない場合、脅威情報収集部4002bは、そのURLをそのまま用いてもよい。
脅威情報収集部4002bは、作成したURLにより特定されるコンテンツを、情報源4100から取得する。脅威情報収集部4002bは、また、取得したコンテンツを解析し、そのコンテンツに含まれるリンクを抽出する。脅威情報収集部4002bは、収集サイトテーブル600に記録された探索の深さ(図の602)に応じて、抽出したリンクからコンテンツを取得する処理を繰り返す。リンクは、他のコンテンツの所在を特定可能な情報である。リンクは、URLを用いて表されてもよく、URL以外の適切な方法を用いて表されてもよい。以下、具体例を用いて説明する。以下の具体例においては、リンクとしてURLが用いられることを想定する。
一例として、収集サイトテーブル600において、あるURL(601)に対する探索の深さ(602)に「1」が設定されている場合を想定する。この場合、脅威情報収集部4002bは、収集サイトテーブル600に設定されたURL(601)(以下、「第1レベルのURL」と記載することがある)から、コンテンツを取得する。
他の一例として、収集サイトテーブル600において、あるURL(601)に対する探索の深さ(602)に「2」が設定されている場合を想定する。この場合、脅威情報収集部4002bは、収集サイトテーブル600に設定された第1レベルのURLから、コンテンツを取得する。脅威情報収集部4002bは、更に、第1レベルのURLから取得したコンテンツを解析することで、そのコンテンツに含まれるURL(以下「第2レベルのURL」)を抽出する。第2レベルのURLが抽出された場合、脅威情報収集部4002bは、第2レベルのURLから、更にコンテンツを取得する。
このようにして、脅威情報収集部4002bは、例えば、探索の深さ(図6の602)に”(N+1)”(Nは1以上の自然数)が設定されている場合、第”N”レベル(Nは1以上の自然数)のURLからコンテンツを取得し、そのコンテンツに含まれるURL(第”N+1”レベルのURL)を抽出する(図7参照)。第”N+1”レベルのURLが抽出された場合、脅威情報収集部4002bは、それらのURLにより特定される情報源4100から、コンテンツを更に取得する、という処理を繰り返してよい。なお、第”N+1”レベルのURLが複数抽出された場合、脅威情報収集部4002bは、例えば、設定等に応じて、抽出された第”N+1”レベルのURLの一部からコンテンツを取得してもよく、全部からコンテンツを取得してもよい。そのような設定は、例えば、収集サイトテーブル600のレコードとして登録されてもよい。
脅威情報収集部4002bは、上記のように取得したコンテンツを、ある製品に関連する脅威情報候補として、後述する脅威情報候補データベース4002cに格納してもよい。具体的には、脅威情報収集部4002bは、取得したコンテンツのURLと、コンテンツ本文との組を、脅威情報候補として、脅威情報候補データベース4002cに格納してもよい。なお、取得されたコンテンツが文書データ(テキストデータ)である場合、脅威情報収集部4002bは、その文書データをそのまま脅威情報候補データベース4002cに格納してもよい。取得されたコンテンツが音声データ、画像データ(動画、静止画含む)などのデータである場合、脅威情報収集部4002bは、適切な方法(例えば、音声認識、画像認識等)を用いて、コンテンツを文書データに変換して、脅威情報候補データベース4002cに格納してもよい。
脅威情報候補データベース4002cは、脅威情報収集部4002bにより収集された脅威情報候補を記憶する。脅威情報候補データベース4002cは、例えば、図8に例示するように、脅威情報収集部4002bにより収集されたコンテンツ(脅威情報候補、図8の802)と、そのコンテンツが収集されたURL(図8の801)とをレコードとして含む、候補テーブル800を格納してもよい。
脅威情報候補データベース4002c(候補テーブル800)には、上記したように、脅威情報収集部4002bにより収集された、ある製品に関する脅威情報の候補が登録される。候補テーブル800に登録される脅威情報候補(図8の802)は、ある製品に関する脅威情報であるか否かが確認されていない情報(ある製品に関するセキュリティの脅威を表す情報が含まれるか否かが未知である情報)である。以下、脅威情報候補データベース4002cに格納される脅威情報の候補を、「未知脅威情報」と記載することがある。
〔検出部〕
以下、検出部4003の具体的な構成について説明する。検出部4003(検出手段)は、脅威情報モデル生成部4001において作成された脅威情報モデルを用いて、収集部4002により収集された脅威情報候補のうち、ある製品に対するセキュリティの脅威を含む脅威情報(第2脅威情報)を選択する。検出部4003は、第1実施形態における検出部103の機能を拡張可能な構成を備えてもよい。図4に例示するように、検出部4003は、構成情報データベース4003aと、影響範囲計測部4003bと、未知脅威情報抽出部4003cと、を有してよい。
構成情報データベース4003aは、製品管理システム4200において管理される製品及びその構成要素に関する情報を記憶する。以下、本開示においては、構成情報データベース4003aを、構成情報記憶部(構成情報記憶手段)と記載することがある。構成情報データベース4003aは、例えば、図9に例示するように、構成テーブル900を格納してもよい。構成テーブル900には、ある製品を特定可能な製品名(図9の901)と、その製品を構成する構成要素を表す構成部品群(図9の902)とが、レコードとして登録されてよい。構成情報データベース4003aは、上記したように、脅威情報収集部4002bに対して、構成テーブル900に登録された情報を提供してもよい。
製品名(901)には、ある製品を特定可能な情報(例えば、製品の名称)が登録される。なお、製品名(図9の901)は、ある製品の名称に限定されず、その製品を特定可能な他の情報(例えば、型番、製品コード等)が登録されてもよい。
構成部品群(図9の902)には、製品名(図9の901)により特定される製品を構成する構成要素(より具体的には、その製品を実現するために用いられる構成部品)を特定可能な情報が登録される。具体例として、構成部品群には、ある製品を構成するハードウェア部品、ソフトウェア部品、サブシステム等を特定可能な情報が登録されてもよい。図9に例示する具体例の場合、例えば、製品名「画像処理カメラ1001」を構成する部品(ソフトウェア部品)として、「Linux Kernel 3.4」(なお、Linuxは登録商標である。以下同様)、「OpenCV 1.1」、「glibc 2.2」などが登録されている。構成部品群(図9の902)に登録されるデータは、ある構成要素(部品)の名称を表すデータであってもよく、その要素を特定可能な他のデータ(例えば、型番、製品コード等)であってもよい。
なお、本実施形態においては、例えば、上記した製品管理システム4200において管理される製品の情報が更新される際に、製品管理システム4200において管理される情報と整合するように、構成情報データベース4003aが更新されてもよい。また、構成情報データベース4003aは、例えば、製品管理システム4200に配置されてもよい。
影響範囲計測部4003bは、ある構成要素を有する製品の範囲を特定する。より具体的には、影響範囲計測部4003bは、ある特定の用語(例えば、ある特定の固有名詞)により特定可能な構成要素を有する製品の範囲を特定する。以下、影響範囲計測部4003bの具体的な処理について説明する。
影響範囲計測部4003bは、例えば、上記した既知脅威情報データベース4001a(脅威情報テーブル500)に登録されたコンテンツ(図5の502)を解析し、特徴的な用語を表す固有名詞を抽出してもよい。固有名詞を抽出する方法は、特に限定されず、適切な方法(例えば、形態素解析及び辞書を用いた固有表現抽出等)を適宜採用してよい。これにより、影響範囲計測部4003bは、例えば、ある製品について特徴的な部品(例えば、製品を構成する特徴的な構成要素(構成部品)等)を表す特徴的な用語(以下、「特徴的用語」と記載することがある)抽出することができる。一例として、影響範囲計測部4003bは、例えば、”Linux Kernel”、”Android”、”CAN”(CAN:Controller Area Network)、”FlexRay”などを、特徴的用語として抽出することができる。(なお、Androidは登録商標である。以下同様。)
影響範囲計測部4003bは、上記に限定されず、例えば、構成情報データベース4003a(構成テーブル900)の構成部品群(図9の902)に登録されたいずれかのデータから、特徴的用語を抽出してもよい。
影響範囲計測部4003bは、抽出した構成情報データベース4003a(構成テーブル900)から、特徴的用語を含む構成部品群(図9の902)及びそれに対応する製品名(図9の901)を特定する。これにより、影響範囲計測部4003bは、例えば、ある特徴的用語が表す構成要素(部品)にセキュリティの脅威が見つかった場合に、影響を受ける製品の範囲を特定することができる。以下、影響範囲計測部4003bにより特定された構成部品群を、「特定構成部品」と記載することがある。具体例として、影響範囲計測部4003bが、特徴的用語として、”Linux Kernel”を抽出したことを想定する。構成情報データベース4003aに、図9に例示する構成テーブル900が格納されている場合、影響範囲計測部4003bは、構成テーブル900から、”Linux Kernel”を含む構成部品群(例えば、図9における”Linux Kernel 3.4”、”Linux Kernel 2.6”、”Linux Kernel 4.2”等)を特定構成部品として抽出する。この際、影響範囲計測部4003bは、特定構成部品を含む製品名(例えば、図9の”画像処理カメラ1001”、”画像処理カメラ1002”、”リモートセキュリティECU3001”等)を併せて抽出してもよい。
影響範囲計測部4003bは、抽出した特定構成部品を表す情報(例えば、特定構成部品の名称)を、後述する未知脅威情報抽出部4003cに提供してもよい。
未知脅威情報抽出部4003cは、脅威情報候補データベース4002cに格納された各脅威情報候補から、ある製品に影響するセキュリティの脅威を表す脅威情報を抽出する。以下、未知脅威情報抽出部4003cの具体的な処理について説明する。
未知脅威情報抽出部4003cは、脅威情報候補データベース4002cに格納された各脅威情報候補を取得する。この際、未知脅威情報抽出部4003cは、例えば、
脅威情報モデルデータベース4001cに登録された脅威情報モデルを用いて、候補テーブル800の各行に登録されたコンテンツ(図8の802)を取得してもよい。
未知脅威情報抽出部4003cは、また、脅威情報モデルデータベース4001cから、脅威情報モデル生成部4001により作成された脅威情報モデルを取得する。
未知脅威情報抽出部4003cは、脅威情報候補データベース4002cから取得した各脅威情報候補のデータ(文書データ)を特徴量(文書ベクトル)に変換し、その特徴量を、脅威情報モデルに入力する。これにより、未知脅威情報抽出部4003cは、ある脅威情報候補が、セキュリティ上の脅威を表す情報に分類されるか否かを判定する。なお、脅威情報候補を表す文書データを特徴量(文書ベクトル)に変換する方法は、特に限定されず、適宜選択可能である。一例として、モデル学習部4001bが第1脅威情報を表す文書データから文書ベクトルを作成する方法と同様の方法を用いて、脅威情報候補を表す文書データから文書ベクトルが作成されてもよい。
一例として、脅威情報モデルがロジスティック回帰モデルである場合、未知脅威情報抽出部4003cは、ある特徴量を脅威情報モデルに入力することで、その特徴量の元となった脅威情報候補が、セキュリティに関する脅威情報であるか否かを判定可能な値(この場合は確率)を算出することができる。未知脅威情報抽出部4003cは、例えば、算出された値と、閾値とを比較することで、ある特徴量の元となった脅威情報候補が、セキュリティに関する脅威情報であるか否かを評価(判定)してもよい。未知脅威情報抽出部4003cは、このように、既知の脅威情報を用いて学習された脅威情報モデルを用いて、既知の脅威情報に類似する脅威情報候補を、新たに脅威情報として抽出することができる。
未知脅威情報抽出部4003cは、上記のように脅威情報モデルを用いて抽出された脅威情報候補のうち、影響範囲計測部4003bにおいて抽出された特定構成部品を表す情報を含む脅威情報候補を、第2脅威情報として選択する。
具体的には、未知脅威情報抽出部4003cは、特定構成部品を表す情報を含む脅威情報候補を選択する際、例えば、特定構成部品を表す文字列を部分的に含む脅威情報候補を選択してもよい。未知脅威情報抽出部4003cは、また、特定構成部品を表す文字列に含まれる当業者にとって特有の表記を適切に解釈して、特定構成部品に関連する文字列表記を含む脅威情報候補を選択してもよい。具体例として、特定構成部品の文字列表記に、ある部品のバージョン番号(例えば、”Linux Kernel 2.6”のうち、”2.6”の部分)が含まれることを想定する。この場合、未知脅威情報抽出部4003cは、例えば、文字列”Linux Kernel 2.6”を含む脅威情報候補だけではなく、例えば、文字列”Linux Kernel 2.x”を含む脅威情報候補を選択してもよい。特定構成部品を表す文字列に含まれる特有の表記を解釈する具体的な処理方法は、特に限定されず、言語処理やパターン認識の分野で使用可能な方法を適宜採用することができる。一つの具体例として、未知脅威情報抽出部4003cは、例えば、正規表現を用いて、特定構成部品を表す文字列に含まれる、当業者にとって特有の表記を解釈してよい。
未知脅威情報抽出部4003cにより選択される第2脅威情報には、ある製品(より具体的には、その製品の構成要素である特定構成部品)に影響するセキュリティの脅威に関する情報が含まれる。これにより、未知脅威情報抽出部4003cは、脅威情報候補データベース4002cに格納された脅威情報候補のうち、ある製品(より具体的には、その製品の構成要素(構成部品))に影響するセキュリティの脅威に関する情報を含む脅威情報候補を、第2脅威情報として選択することができる。
未知脅威情報抽出部4003cは、選択した第2脅威情報を、未知脅威情報出力部4004(後述)に提供してもよい。この際、未知脅威情報抽出部4003cは、特定構成部品を表す情報及び特定構成部品を含む製品を表す情報を、未知脅威情報出力部4004に提供してもよい。
〔未知脅威情報出力部〕
未知脅威情報出力部4004(未知脅威情報出力手段)は、検出部4003により選択された第2脅威情報を出力するよう構成される。なお、未知脅威情報出力部4004は、第2脅威情報と合わせて、特定構成部品を表す情報及び特定構成部品を含む製品を表す情報を出力してもよい。
未知脅威情報出力部4004が各種情報を出力する対象(出力先)は特に限定されず、適宜選択されてよい。一例として、未知脅威情報出力部4004は、例えば、セキュリティ情報処理装置4000のユーザに対して各種情報を表示可能なユーザインタフェースを表示する表示装置に対して、上記各情報を出力してもよい。未知脅威情報出力部4004は、例えば、脅威情報候補データベース4002cにおける候補テーブル800のうち、第2脅威情報に該当する行を表示するよう、表示装置を制御してもよい。未知脅威情報出力部4004は、例えば、構成情報データベース4003aにおける構成テーブル900のうち、第2脅威情報に含まれる特定構成部品及び特定構成部品を含む製品に該当する行を表示するよう、表示装置を制御してもよい。表示装置の具体的な構成は特に限定されず、各種の表示デバイス(例えば、液晶パネル等)を含む装置を適宜選択してよい。
他の例として、未知脅威情報出力部4004は、例えば、上記した各種情報を、ファイルシステムにおけるファイルに出力してもよく、通信ネットワークを介して他のシステムなどに送信してもよく、印刷装置を介して印刷物として出力してもよい。
セキュリティ情報処理装置4000のユーザは、未知脅威情報出力部4004の出力を確認することで、ある製品に関するセキュリティ上の脅威を表す情報を確認することが可能である。
〔動作〕
上記のように構成されたセキュリティ情報処理装置4000の動作について、図10に例示するフローチャートを参照して説明する。
セキュリティ情報処理装置4000(具体的には、脅威情報モデル生成部4001)は、各種情報源等から収集された既知の脅威情報を取得する(ステップS1001)。この際、脅威情報モデル生成部4001は、例えば、上記したように、既知脅威情報設定装置4300により収集された既知の脅威情報を第1脅威情報として、既知脅威情報データベース4001aに格納してよい。
セキュリティ情報処理装置4000(具体的には、モデル学習部4001b)は、取得した第1脅威情報に基づいて、脅威情報を分類可能な脅威情報モデルを生成する(ステップS1002)。以下、ステップS1002における処理について、図11に例示するフローチャートを参照して説明する。
上記したように、モデル学習部4001bは、例えば、既知脅威情報データベース4001aに格納された既知脅威情報を表す文書データから、特徴量(文書ベクトル)を作成する(ステップS1101)。文書ベクトルの作成方法は特に限定されず、例えば、トピックモデリングの手法が採用されてもよい。
モデル学習部4001bは、作成した特徴量(文書ベクトル)を用いて、脅威情報モデルを学習し(ステップS1102)、学習された脅威情報モデルを脅威情報モデルデータベース4001cに格納する(ステップS1103)。上記したように、脅威情報モデルとして、ロジスティック回帰モデルが採用されてもよい。
以下、図10に例示するフローチャートに戻って説明を継続する。
セキュリティ情報処理装置4000(具体的には、収集部4002)は、情報源4100から、製品の構成を示す構成情報を含む脅威情報の候補を収集する(ステップS1003)。以下、ステップS1003における処理を、図12に例示するフローチャートを参照して説明する。
収集部4002における脅威情報収集部4002bは、収集サイト設定データベース4002aを参照し、脅威情報候補を収集する情報源4100を特定する(ステップS1201)。具体的には、脅威情報収集部4002bは、収集サイト設定データベース4002aから、情報源4100のURL)を取得する。なお、本実施形態においては、例えば、収集サイト設定装置4400により、脅威情報候補の収集に用いられる情報が、収集サイト設定データベース4002aに格納されてもよい。
収集部4002における脅威情報収集部4002bは、情報源4100から、脅威情報候補を取得する(ステップS1202)。上記したように、脅威情報収集部4002bは、構成情報データベース4003aを参照し、収集サイト設定データベース4002aから取得したURLのクエリ部分を構成部品データに置き換えた、検索用URLを作成してもよい。
また、脅威情報収集部4002bは、収集サイト設定データベース4002aに設定された探索の深さに応じて、情報源4100から脅威情報候補を取得する処理を繰り返してもよい。
脅威情報収集部4002bは、収集した脅威情報候補を、脅威情報候補データベース4002cに格納する(ステップS1203)。
以下、図10に例示するフローチャートに戻って説明を継続する。
セキュリティ情報処理装置4000(具体的には、検出部4003)は、収集部4002が収集した脅威情報から、脅威情報モデル生成部4001が生成した脅威情報モデルを用いて、ある製品に関するセキュリティの脅威を表す第2脅威情報を選択する(ステップS1004)。以下、図13に例示するフローチャートを参照して、ステップS1004における処理について説明する。
検出部4003における影響範囲計測部4003bは、既知脅威情報データベース4001aを参照して特徴的用語を抽出し、構成情報データベースから、特徴的用語(製品を構成する特徴的な構成部品を示す用語)を含む特定構成部品を抽出する(ステップS1301)。この際、影響範囲計測部4003bは、構成情報データベース4003aから、特徴的用語を抽出してもよい。
未知脅威情報抽出部4003cは、脅威情報モデルデータベース4001cに格納された脅威情報モデルを用いて、脅威情報候補データベース4002cに登録された脅威情報候補を評価する(ステップS1302)。具体的には、未知脅威情報抽出部4003cは、上記したように、脅威情報候補データベース4002cに登録された脅威情報候補の文書データから特徴量(文書ベクトル)を作成し、その特徴量を脅威情報モデルに入力する。脅威情報モデルは、ある脅威情報候補から作成された特徴量が脅威情報であるか否かを判定可能な値(より具体的には、脅威情報である確率)を算出する。
未知脅威情報抽出部4003cは、ステップS1302における評価に応じて、脅威情報候補から、セキュリティの脅威を表す脅威情報を抽出する(ステップS1303)。具体的には、未知脅威情報抽出部4003cは、脅威情報モデルにより算出される値に応じて、脅威情報候補から、セキュリティの脅威を表す脅威情報を抽出する。
未知脅威情報抽出部4003cは、ステップS1303において抽出した脅威情報候補のうち、製品に影響し得る脅威情報を、第2脅威情報として選択する(ステップS1304)。上記したように、未知脅威情報抽出部4003cは、例えば、ステップS1303において抽出した脅威情報候補のうち、影響範囲計測部4003bにより抽出された特定構成部品に関する情報(例えば、特定構成部品を表す名称の文字列)を含む脅威情報候補を、第2脅威情報として選択してよい。
これにより、未知脅威情報抽出部4003cは、収集部4002により収集された脅威情報候補のうち、ある製品(より具体的には、ある製品を構成する構成要素(構成部品))に影響し得る脅威情報を、第2脅威情報として選択することが可能である。また、影響範囲計測部4003bは、構成情報データベース4003aから、特定構成部品と特定構成部品を含む製品とを抽出可能であることから、第2脅威情報により影響を受ける可能性がある製品の範囲を特定することが可能である。
検出部4003(具体的には、影響範囲計測部4003b、未知脅威情報抽出部4003c)は、選択した第2脅威情報を、未知脅威情報出力部4004に提供してよい。
以下、図10に例示するフローチャートに戻って説明を継続する。
セキュリティ情報処理装置4000(具体的には、未知脅威情報出力部4004)は、ステップS1004において選択された第2脅威情報を出力する(ステップS1005)。未知脅威情報出力部4004は、例えば、上記したように、第2脅威情報を表示装置に出力してもよく、ファイルに出力してもよく、通信ネットワークを介して他のシステムなどに送信してもよく、印刷してもよい。
上記のように構成された本実施形態におけるセキュリティ情報処理装置4000によれば、あるシステムに影響し得るセキュリティの脅威を効率的に調査することが可能となる。その理由は、セキュリティ情報処理装置4000は、既知の脅威情報(例えば、既知脅威情報データベース4001aに格納された第1脅威情報)を用いて作成した脅威情報モデルを用いて、情報源4100から収集した脅威情報の候補(例えば、脅威情報候補データベース4002cに格納された脅威情報候補)のうち、ある製品に影響し得る脅威情報(例えば、特定構成部品を含む製品に関する第2脅威情報)を選択することができるからである。すなわち、セキュリティ情報処理装置4000は、比較的入手が容易な既知の脅威情報を用いて作成した脅威情報モデルを用いることで、未確認の脅威情報の候補から、有用な情報を選択することができるからである。
情報源4100の数や、各情報源が提供する情報の量に応じて、収集部4002は、多くの脅威情報の候補を収集可能であり、そのなかには有用な情報と、有用ではない情報とが混在している。本実施形態におけるセキュリティ情報処理装置4000は、例えば、既知の脅威情報(第1脅威情報)を用いて学習された脅威情報モデルを用いることで、収集された脅威情報の候補のなかから、セキュリティ上の脅威を含む可能性が高い情報(既知の脅威情報に類似する情報)を抽出することができる。また、セキュリティ情報処理装置4000(検出部4003)は、抽出した脅威情報の候補のなかから、特性構成部品に関する情報を含む脅威情報の候補を、第2脅威情報として選択することができる。以上より、セキュリティ情報処理装置4000は、各種情報源から収集された未知の脅威情報候補のなかから、ある製品に対するセキュリティの脅威を含む情報(第2脅威情報)を人手によらず効率的に検出することが可能であり、ある製品に影響し得るセキュリティの脅威を効率的に調査することができる。
<第3実施形態>
以下、本開示に係る技術の第3実施形態について説明する。図14は、第3実施形態におけるセキュリティ情報処理装置5000の機能的な構成を例示するブロック図である。
本実施形態におけるセキュリティ情報処理装置5000は、第2実施形態におけるセキュリティ情報処理装置4000に相当する構成を備え、更に、その一部の構成が拡張されている。具体的には、図14に例示するように、セキュリティ情報処理装置5000は、第2実施形態におけるセキュリティ情報処理装置4000に対して、損失算出部5001と、予測損失出力部5002とを更に備えてよい。セキュリティ情報処理装置5000を構成するその他の構成要素は、第2実施形態におけるセキュリティ情報処理装置4000と概略同様としてよい。以下、第2実施形態との主要な差異について説明し、第2実施形態と同様の構成についてはその説明を省略する。
〔損失算出部〕
損失算出部5001(損失算出手段)は、検出部4003により検出(選択)された第2脅威情報に影響され得る製品に関して発生し得る損失を算出する。損失算出部5001は、売上データベース5001aと、損失予測部5001bとを有する。
売上データベース5001aは、ある製品に関する売上を記憶するデータベースであり、図15に例示するように、製品名(図15の1501)、顧客名(図15の1502)、及び、売上(図15の1503)がレコードとして登録された売上テーブル1500を記憶するよう構成される。以下、本開示においては、売上データベース5001aを、「売上記憶部」(売上記憶手段)と記載することがある。製品名(1501)には、構成情報データベース4003aにおける構成テーブル900の製品名(図9の901)と同じデータが登録されてよい。顧客名(1502)には、ある製品を購入した顧客を特定可能なデータ(例えば、顧客の名称や、識別番号等)が登録されてよい。売上(1503)には、ある製品の売上金額が登録されてよい。
なお、売上データベース5001aに格納されるデータは、例えば、製品管理システム4200から提供されてもよい。具体的には、製品管理システム4200において、管理される製品の売上情報が更新された際に、製品管理システム4200が、売上データベース5001aの内容を更新してもよい。また、損失算出部5001が、製品管理システム4200において管理される製品の売上情報を参照し、売上データベース5001aを更新してもよい。なお、図14に例示する具体例においては、損失算出部5001に売上データベース5001aが含まれるが、本実施形態はこれに限定されない。即ち、本実施形態においては、損失算出部5001に売上データベース5001aを設けず、損失予測部5001b(後述)が、製品管理システム4200において管理される売上情報を直接参照してもよい。
損失予測部5001bは、検出部4003において選択された第2脅威情報の影響を受ける可能性がある製品を特定し、その製品に関して発生し得る損失を、予測損失額として算出するよう構成される。具体的には、損失予測部5001bは、検出部4003から、第2脅威情報により影響される製品を特定可能な情報を受付け、売上データベース5001aに登録された売上を参照して、第2脅威情報により影響される製品に関連する損失額を算出する。損失予測部5001bの具体的な処理について、後述する。
予測損失出力部5002(予測損失表示手段)は、損失算出部5001により算出された損失額を出力する。予測損失出力部5002が算出された損失額を出力する対象(出力先)は特に限定されず、適宜選択されてよい。一例として、予測損失出力部5002は、例えば、セキュリティ情報処理装置5000のユーザに対して各種情報を表示可能なユーザインタフェースを表示する表示装置に対して、損失額を出力してもよい。他の例として、予測損失出力部5002は、例えば、算出した損失額を、ファイルシステムにおけるファイルに出力してもよく、通信ネットワークを介して他のシステムなどに送信してもよく、印刷装置を介して印刷物として出力してもよい。なお、未知脅威情報出力部4004と、予測損失出力部5002とは、図14に例示するように、個別に実現されてもよく、一つに統合されてもよい。
〔動作〕
以下、上記のように構成された本実施形態におけるセキュリティ情報処理装置5000の動作について、図16に例示するフローチャートを参照して説明する。以下においては、主に、損失算出部5001及び予測損失出力部5002の動作について説明する。セキュリティ情報処理装置5000を構成する他の構成要素の動作は、概ね上記第2実施形態と同様としてよい。
損失算出部5001は、製品管理システム4200において管理されている売上データを取得し、売上データベース5001aに格納する(ステップS1601)。
損失算出部5001(損失予測部5001b)は、第2脅威情報により影響される可能性がある製品を特定する(ステップS1602)。具体的には、損失予測部5001bは、検出部4003から、影響範囲計測部4003bにより特定された、第2脅威情報により影響される可能性がある製品を特定可能な情報を受け付けてもよい。
損失予測部5001bは、第2脅威情報により影響される可能性がある製品に関する損失額を算出する(ステップS1603)。
具体的には、損失予測部5001bは、売上データベース5001aに格納された売上テーブル1500のうち、第2脅威情報の影響を受ける製品を含む行を抽出する。損失予測部5001bは、抽出した各行について、予測直接損失額を算出する。想定直接損失額は、第2脅威情報により特定されるセキュリティの脅威が顕在化した場合に、その第2脅威情報により影響される製品に関して発生し得る直接損失の想定値である。
想定直接損失額を算出する方法は特に限定されず、適切な方法を選択してよい。一例として、損失予測部5001bは、売上テーブル1500から抽出された各行(製品)について、式(1)を用いて、想定直接損失額を算出してもよい。
[数1]
(想定直接損失額)=(売上)×(製品に含まれる部品に関する脅威情報の総数) (1).
上記したように、一つの製品は複数の構成要素(部品)を含むことがある。また、ある一つの第2脅威情報が複数の製品(より具体的には、製品を構成する構成要素(部品))に影響する可能性があり、また、ある一つの製品に複数の第2脅威情報が影響する可能性がある。即ち、ある製品に影響し得る第2脅威情報の数は、その製品に含まれる部品(特定構成部品)に影響し得る第2脅威情報の総数となる。このため、式(1)においては、ある製品に含まれる部品に関する脅威情報の総数を考慮して、その製品に関する想定直接損失額を算出する。なお、式(1)において、”A”は、適宜選択可能な設定値である。”A”の値は、例えば、経験則に基づいて適宜設定されてもよく、予備的な実験などにより適切な値が求められてもよい。一例として、”A”の値として”0.02”が設定されてもよい。
また、損失予測部5001bは、例えば、製品ごとの想定直接損失額を算出してもよい。この場合、損失予測部5001bは、式(1)により算出した値を、製品ごとに集計すればよい。図15に例示する具体例において、「画像処理カメラ1001」に関する想定直接損失額を算出する場合を想定する。この場合、損失予測部5001bは、売上テーブルの1行目から算出した想定直接損失額と、2行目から算出した想定直接損失額とを集計すればよい。
また、損失予測部5001bは、例えば、顧客ごとの想定直接損失額を算出してもよい。この場合、損失予測部5001bは、各製品について想定直接損失額を算出し、売上テーブル1500を参照して、顧客ごとに想定直接損失額を集計すればよい。
また、損失予測部5001bは、例えば、第2脅威情報ごとに想定直接損失額を算出してもよい。この場合、損失予測部5001bは、各第2脅威情報が関連する製品(ある第2脅威情報により影響を受ける部品を含む製品)を特定し、その製品に関する想定直接損失額を集計すればよい。
予測損失出力部5002は、損失算出部5001において算出された想定直接損失額を出力する(ステップS1604)。上記したように、予測損失出力部5002は、例えば、損失算出部5001において算出された想定直接損失額を表示装置に表示してもよく、ファイルに保存してもよく、通信ネットワークを介して他のシステムに送信してもよく、印刷してもよい。
上記のように構成されたセキュリティ情報処理装置5000は脅威が顕在化した際に想定される損失額(想定直接損失額)を算出することができる。このため、セキュリティ情報処理装置5000のユーザは、例えば、算出された想定直接損失額に基づいて、セキュリティ対策の方針を検討することができる。具体的には、ユーザは、検出部4003により選択された第2脅威情報に起因して発生し得る損失の総額を確認することができる。また、製品ごとの想定直接損失額が提供された場合、セキュリティ情報処理装置5000のユーザは、例えば、想定直接損失額の大きい製品からセキュリティ対策を実行することができる。また、顧客ごとの想定直接損失額が提供された場合、セキュリティ情報処理装置5000のユーザは、例えば、想定直接損失額の大きい顧客向けの製品からセキュリティ対策を実行することができる。
なお、セキュリティ情報処理装置5000は、第2実施形態におけるセキュリティ情報処理装置4000と概略同様の構成を備えることから、あるシステムに影響し得るセキュリティの脅威を効率的に調査することができる。
<ハードウェア及びソフトウェア・プログラム(コンピュータ・プログラム)の構成>
以下、上記説明した各実施形態を実現可能なハードウェア構成について説明する。以下の説明においては、上記各実施形態において説明した各セキュリティ情報処理装置(100、4000、5000)を、まとめて「セキュリティ情報処理装置」と記載する。
上記各実施形態において説明した各セキュリティ情報処理装置は、1つ又は複数の専用のハードウェア装置により構成されてもよい。その場合、上記各図(例えば、図1、4、14)に示した各構成要素は、一部又は全部を統合したハードウェア(処理ロジックを実装した集積回路等)として実現してもよい。例えば、セキュリティ情報処理装置をハードウェア装置により実現する場合、セキュリティ情報処理装置の構成要素は、それぞれの機能を提供可能な集積回路(例えば、SoC(System on a Chip)等)として実装されてもよい。この場合、例えば、セキュリティ情報処理装置の構成要素が有するデータは、SoCに統合されたRAM(Random Access Memory)領域やフラッシュメモリ領域に記憶されてもよい。
この場合、セキュリティ情報処理装置は、例えば、脅威情報モデル生成部(101、4001)、収集部(102、4002)、検出部(103、4003)、未知脅威情報出力部4004、損失算出部5001、及び、予測損失出力部5002の機能を実現可能な1以上の処理回路(processing circuitry)、通信回路、及び記憶回路等を用いて実現されてよい。なお、セキュリティ情報処理装置を実現する回路構成の実装においては、様々なバリエーションが想定される。セキュリティ情報処理装置を複数のハードウェア装置により構成する場合、それぞれのハードウェア装置の間は、適切な通信方法(有線、無線、またはそれらの組み合わせ)により通信可能に接続されていてもよい。
また、上述したセキュリティ情報処理装置は、図17に例示するような汎用のハードウェア装置1700と、ハードウェア装置1700によって実行される各種ソフトウェア・プログラム(コンピュータ・プログラム)とによって構成されてもよい。この場合、セキュリティ情報処理装置は、1以上の適切な数のハードウェア装置1700及びソフトウェア・プログラムにより構成されてもよい。
図17におけるプロセッサ1701は、例えば、汎用のCPU(中央処理装置:Central Processing Unit)やマイクロプロセッサである。プロセッサ1701は、例えば、後述する不揮発性記憶装置1703に記憶された各種ソフトウェア・プログラムをメモリ1702に読み出し、そのソフトウェア・プログラムに従って処理を実行してもよい。この場合、上記各実施形態におけるセキュリティ情報処理装置の構成要素は、例えば、プロセッサ1701により実行されるソフトウェア・プログラムとして実現可能である。
この場合、上記各実施形態におけるセキュリティ情報処理装置は、例えば、脅威情報モデル生成部(101、4001)、収集部(102、4002)、検出部(103、4003)、未知脅威情報出力部4004、損失算出部5001、及び、予測損失出力部5002の機能を実現可能な1以上のプログラムにより実現されてよい。なお、係るプログラムの実装においては、様々なバリエーションが想定される。
メモリ1702は、プロセッサ1701から参照可能な、RAM等のメモリデバイスであり、ソフトウェア・プログラムや各種データ等を記憶する。なお、メモリ1702は、揮発性のメモリデバイスであってもよい。
不揮発性記憶装置1703は、例えば磁気ディスクドライブや、半導体記憶装置(フラッシュメモリ等)のような、不揮発性の記憶装置である。不揮発性記憶装置1703は、各種ソフトウェア・プログラムやデータ等を記憶可能である。上記セキュリティ情報処理装置における各種データベースは、例えば、不揮発性記憶装置1703に記憶されてもよい。
リーダライタ1704は、例えば、後述する記録媒体1705に対するデータの読み込みや書き込みを処理する装置である。セキュリティ情報処理装置は、例えば、リーダライタ1704を介して、記録媒体1705に記録された第1脅威情報を読み込んでもよい。
記録媒体1705は、例えば光ディスク、光磁気ディスク、半導体フラッシュメモリ等、データを記録可能な記録媒体である。本開示において、記録媒体の種類及び記録方法(フォーマット)は、特に限定されず、適宜選択されてよい。
ネットワークインタフェース1706は、通信ネットワークに接続するインタフェース装置であり、例えば有線及び無線のLAN(Local Area Network)接続用インタフェース装置等を採用してもよい。セキュリティ情報処理装置は、例えば、ネットワークインタフェース1706を介して、各種情報源4100、製品管理システム4200、既知脅威情報設定装置4300、及び収集サイト設定装置4400と通信可能に接続されていてよい。
入出力インタフェース1707は、外部装置との間の入出力を制御する装置である。外部装置は、例えば、ユーザからの入力を受付け可能な入力機器(例えば、キーボード、マウス、タッチパネル等)であってもよい。また、外部装置は、例えばユーザに対して各種出力を提示可能な出力機器(例えば、モニタ画面、プリンタ等)であってもよい。セキュリティ情報処理装置における未知脅威情報出力部4004及び予測損失出力部5002は、例えば、入出力インタフェースを介して各種データを出力してよい。
本開示に係る技術は、例えば、ハードウェア装置1700に対して供給されたソフトウェア・プログラムを、プロセッサ1701が実行することによって実現されてもよい。この場合、ハードウェア装置1700で稼働しているオペレーティングシステムや、データベース管理ソフト、ネットワークソフト等のミドルウェアなどが、各処理の一部を実行してもよい。
上述した各実施形態において、上記各図に示した各部は、上述したハードウェアにより実行されるソフトウェア・プログラムの機能(処理)の単位である、ソフトウェアモジュールとして実現されてもよい。例えば、上記各部をソフトウェアモジュールとして実現する場合、これらのソフトウェアモジュールは、不揮発性記憶装置1703に記憶されてもよい。そして、プロセッサ1701が、それぞれの処理を実行する際に、これらのソフトウェアモジュールをメモリ1702に読み出してもよい。また、これらのソフトウェアモジュールは、共有メモリやプロセス間通信等の適宜の方法により、相互に各種データを伝達できるように構成されてもよい。
更に、上記各ソフトウェア・プログラムは、記録媒体1705に記録されてもよい。この場合、上記各ソフトウェア・プログラムは、適当な治具(ツール)を利用してハードウェア装置1700内にインストールされてもよい。また、各種ソフトウェア・プログラムは、インターネット等の通信回線を介して外部からダウンロードされてもよい。ソフトウェア・プログラムを供給する方法として、各種の一般的な手順を採用することができる。
このような場合において、本開示に係る技術は、ソフトウェア・プログラムを構成するコード、あるいはコードが記録されたところの、コンピュータ読み取り可能な記録媒体によって構成されてもよい。この場合、記録媒体は、ハードウェア装置1700と独立した非一時的な記録媒体であってもよく、LANやインターネットなどにより伝送されたソフトウェア・プログラムをダウンロードして記憶又は一時記憶した記録媒体であってもよい。
また、上述したセキュリティ情報処理装置、あるいは、当該セキュリティ情報処理装置の構成要素は、図17に例示するハードウェア装置1700を仮想化した仮想環境と、その仮想環境において実行されるソフトウェア・プログラム(コンピュータ・プログラム)とによって構成されてもよい。この場合、図17に例示するハードウェア装置1700の構成要素は、仮想環境における仮想デバイスとして提供される。
以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができ、上記各実施形態の変形例や、その組合せも、本発明の技術的範囲に含まれる。
100、4000、5000 セキュリティ情報処理装置
101、4001 脅威情報モデル生成部
102、4002 収集部
103、4003 検出部
4004 未知脅威情報出力部
4100 情報源
4200 製品管理システム
4300 既知脅威情報設定装置
4400 収集サイト設定装置
5001 損失算出部
5002 予測損失出力部
1701 プロセッサ
1702 メモリ
1703 不揮発性記憶装置
1704 リーダライタ
1705 記録媒体
1706 ネットワークインタフェース
1707 入出力インタフェース

Claims (6)

  1. セキュリティに関する脅威を表す脅威情報を含む第1脅威情報を用いて、ある情報が脅威情報に該当するか否かを分類するモデル、あるいは、前記ある情報が脅威情報に類似する情報に該当するか否かを分類するモデルの少なくともどちらか一方の脅威情報モデルを生成する脅威情報モデル生成手段と、
    セキュリティに関連する情報を提供する情報源から、前記脅威情報の候補である脅威情報候補を収集する収集手段と、
    ある製品を構成する構成要素に関する情報と、前記脅威情報モデルとを用いて、収集した前記脅威情報候補から、その製品に影響し得る前記脅威情報を含む第2脅威情報を検出する検出手段と、を備え
    前記収集手段は、
    ある製品を構成する構成要素である構成部品を表す構成部品データを取得し、
    前記情報源において、前記構成部品データを含む情報を検索することで、前記脅威情報候補を収集し、
    前記検出手段は、前記構成部品データを含む前記脅威情報候補のうち、前記脅威情報モデルにより前記脅威情報又は前記脅威情報に類似する情報に分類された前記脅威情報候補を抽出し
    抽出された前記脅威情報候補のうち、ある製品を構成する構成要素に関する情報を含む前記脅威情報候補を、その製品の構成に影響し得る前記第2脅威情報として選択する、
    セキュリティ情報処理装置。
  2. 前記脅威情報モデルは、ある情報を表す文書データが前記脅威情報である確率を算出可能なモデルであり、
    前記検出手段は、前記脅威情報モデルを用いて各前記脅威情報候補から算出された確率に応じて、各前記脅威情報候補が前記脅威情報又は前記脅威情報に類似する情報に分類されるか否かを判定する
    請求項に記載のセキュリティ情報処理装置。
  3. ある製品に含まれる前記構成部品データを記憶する構成情報記憶手段を更に備え、
    前記検出手段は、
    前記第1脅威情報から特定の用語を抽出し、
    前記構成情報記憶手段に記憶されている前記構成部品データのうち、その用語に該当する前記構成部品データを、特定構成部品として特定し、
    前記脅威情報モデルにより前記脅威情報又は前記脅威情報に類似する情報に分類された前記脅威情報候補のうち、前記特定構成部品を含む前記脅威情報候補を、前記第2脅威情報として選択する
    請求項又は請求項に記載のセキュリティ情報処理装置。
  4. ある製品と、その製品の売上を記憶する売上記憶手段を参照し、前記検出手段により検出された前記第2脅威情報により影響される可能性がある製品を特定し、
    特定した製品の売上から、前記第2脅威情報により表される脅威が顕在化した際の損失額を算出する損失算出手段を更に備える
    請求項1から請求項のいずれか一項に記載のセキュリティ情報処理装置。
  5. 情報処理装置が、
    セキュリティに関する脅威を表す脅威情報を含む第1脅威情報を用いて、ある情報が脅威情報に該当するか否かを分類する脅威情報モデル、あるいは、前記ある情報が脅威情報に類似する情報に該当するか否かを分類する脅威情報モデルの少なくともどちらか一方の脅威情報モデルを生成し、
    セキュリティに関連する情報を提供する情報源から、前記脅威情報の候補である脅威情報候補を収集し、
    ある製品を構成する構成要素に関する情報と、前記脅威情報モデルとを用いて、収集した前記脅威情報候補から、その製品に影響し得る前記脅威情報を含む第2脅威情報を検出し、
    前記脅威情報候補を収集することは、
    ある製品を構成する構成要素である構成部品を表す構成部品データを取得することと、
    前記情報源において、前記構成部品データを含む情報を検索することで、前記脅威情報候補を収集することと、を含み、
    前記第2脅威情報を検出することは、
    前記脅威情報候補のうち、前記脅威情報モデルにより前記脅威情報又は前記脅威情報に類似する情報に分類された前記脅威情報候補を抽出することと、
    抽出された前記脅威情報候補のうち、ある製品を構成する構成要素に関する情報を含む前記脅威情報候補を、その製品の構成に影響し得る前記第2脅威情報として選択することと、を含む
    情報処理方法。
  6. セキュリティに関する脅威を表す脅威情報を含む第1脅威情報を用いて、ある情報が脅威情報に該当するか否かを分類する脅威情報モデル、あるいは、前記ある情報が脅威情報に類似する情報に該当するか否かを分類する脅威情報モデルの少なくともどちらか一方の脅威情報モデルを生成する処理と、
    セキュリティに関連する情報を提供する情報源から、前記脅威情報の候補である脅威情報候補を収集する処理と、
    ある製品を構成する構成要素に関する情報と、前記脅威情報モデルとを用いて、収集した前記脅威情報候補から、前記製品に影響し得る前記脅威情報を含む第2脅威情報を検出する処理と、
    をコンピュータに実行させ
    前記収集する処理は、
    ある製品を構成する構成要素である構成部品を表す構成部品データを取得する処理と、
    前記情報源において、前記構成部品データを含む情報を検索することで、前記脅威情報候補を収集する処理を含み、
    前記第2脅威情報を検出する処理は、
    前記脅威情報候補のうち、前記脅威情報モデルにより前記脅威情報又は前記脅威情報に類似する情報に分類された前記脅威情報候補を抽出する処理と、
    抽出された前記脅威情報候補のうち、ある製品を構成する構成要素に関する情報を含む前記脅威情報候補を、その製品の構成に影響し得る前記第2脅威情報として選択する処理と、を含む、
    コンピュータ・プログラム。
JP2019565674A 2018-01-22 2018-01-22 セキュリティ情報処理装置、情報処理方法及びプログラム Active JP7040535B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/001727 WO2019142345A1 (ja) 2018-01-22 2018-01-22 セキュリティ情報処理装置、情報処理方法及び記録媒体

Publications (2)

Publication Number Publication Date
JPWO2019142345A1 JPWO2019142345A1 (ja) 2021-01-07
JP7040535B2 true JP7040535B2 (ja) 2022-03-23

Family

ID=67301625

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019565674A Active JP7040535B2 (ja) 2018-01-22 2018-01-22 セキュリティ情報処理装置、情報処理方法及びプログラム

Country Status (3)

Country Link
US (1) US11409888B2 (ja)
JP (1) JP7040535B2 (ja)
WO (1) WO2019142345A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11500997B1 (en) * 2018-09-20 2022-11-15 Bentley Systems, Incorporated ICS threat modeling and intelligence framework
WO2021002884A1 (en) * 2019-07-03 2021-01-07 Cyber Team Six, Llc Data breach prevention and remediation
JP2021022070A (ja) * 2019-07-25 2021-02-18 東京電力ホールディングス株式会社 情報処理方法、情報処理装置及びプログラム
US11457033B2 (en) * 2019-09-11 2022-09-27 Artificial Intelligence Foundation, Inc. Rapid model retraining for a new attack vector
US12118088B2 (en) * 2020-04-22 2024-10-15 Arm Limited Moderator system for a security analytics framework
EP3987423B1 (en) * 2020-08-24 2022-08-17 Google LLC Undefined lifecycle state identifier for managing security of an integrated circuit device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008197877A (ja) 2007-02-13 2008-08-28 Nec Corp セキュリティ運用管理システム、方法およびプログラム
WO2016190883A1 (en) 2015-05-28 2016-12-01 Hewlett Packard Enterprise Development Lp Security vulnerability detection
JP2017224053A (ja) 2016-06-13 2017-12-21 株式会社日立製作所 脆弱性リスク評価システムおよび脆弱性リスク評価方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7072841B1 (en) * 1999-04-29 2006-07-04 International Business Machines Corporation Method for constructing segmentation-based predictive models from data that is particularly well-suited for insurance risk or profitability modeling purposes
US20040215551A1 (en) * 2001-11-28 2004-10-28 Eder Jeff S. Value and risk management system for multi-enterprise organization
US20090043637A1 (en) * 2004-06-01 2009-02-12 Eder Jeffrey Scott Extended value and risk management system
US8688501B2 (en) * 2010-01-20 2014-04-01 International Business Machines Corporation Method and system enabling dynamic composition of heterogenous risk models
JP2011227852A (ja) 2010-04-23 2011-11-10 Konica Minolta Holdings Inc サプライチェーン支援システム
JP5462713B2 (ja) 2010-05-25 2014-04-02 株式会社Kddi研究所 Webページ収集装置、方法及びプログラム
US20120316981A1 (en) * 2011-06-08 2012-12-13 Accenture Global Services Limited High-risk procurement analytics and scoring system
JP5836170B2 (ja) 2012-03-21 2015-12-24 株式会社日立製作所 調達リスク算出方法、調達リスク算出装置および調達リスク算出プログラム
US20140172495A1 (en) * 2012-12-16 2014-06-19 Mcafee, Inc. System and method for automated brand protection
US9680855B2 (en) * 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting
US10783254B2 (en) * 2014-10-02 2020-09-22 Massachusetts Institute Of Technology Systems and methods for risk rating framework for mobile applications
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10681071B1 (en) * 2016-08-02 2020-06-09 ThreatConnect, Inc. Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events
WO2019108603A1 (en) * 2017-11-28 2019-06-06 Sigma Ratings, Inc. Machine learning techniques for evaluating entities
US10769570B2 (en) * 2017-12-27 2020-09-08 Accenture Global Solutions Limited Artificial intelligence based risk and knowledge management

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008197877A (ja) 2007-02-13 2008-08-28 Nec Corp セキュリティ運用管理システム、方法およびプログラム
WO2016190883A1 (en) 2015-05-28 2016-12-01 Hewlett Packard Enterprise Development Lp Security vulnerability detection
JP2017224053A (ja) 2016-06-13 2017-12-21 株式会社日立製作所 脆弱性リスク評価システムおよび脆弱性リスク評価方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
熊谷充敏他,セキュリティに関するつぶやきの抽出法,電子情報通信学会技術研究報告 Vol.114 No.253,日本,一般社団法人電子情報通信学会,2014年10月09日,第114巻,第253号,p.13-p.18

Also Published As

Publication number Publication date
US20210064761A1 (en) 2021-03-04
US11409888B2 (en) 2022-08-09
JPWO2019142345A1 (ja) 2021-01-07
WO2019142345A1 (ja) 2019-07-25

Similar Documents

Publication Publication Date Title
JP7040535B2 (ja) セキュリティ情報処理装置、情報処理方法及びプログラム
CN111177569B (zh) 基于人工智能的推荐处理方法、装置及设备
JP6860070B2 (ja) 分析装置、ログの分析方法及び分析プログラム
López et al. ModelSet: a dataset for machine learning in model-driven engineering
CN104160390B (zh) 来自潜在关系数据的实体扩充服务
JP5697172B2 (ja) 情報ストリームの情報を処理する方法およびシステム
US10984077B2 (en) Information processing apparatus, information processing method, and information processing program
Soni et al. Sentiment analysis of customer reviews based on hidden markov model
JP6053131B2 (ja) 情報処理装置、情報処理方法、およびプログラム
CN105824822A (zh) 一种由钓鱼网页聚类定位目标网页的方法
WO2019061664A1 (zh) 电子装置、基于用户上网数据的产品推荐方法及存储介质
Rau et al. Transferring tests across web applications
US11797617B2 (en) Method and apparatus for collecting information regarding dark web
CN113592605A (zh) 基于相似产品的产品推荐方法、装置、设备及存储介质
JP7409061B2 (ja) 文書管理装置及び文書管理プログラム
CN117112775A (zh) 自动填写输入表单以生成列表的技术
JP7041299B1 (ja) 情報処理装置、情報処理方法および情報処理プログラム
Jannach et al. Recommendation-based modeling support for data mining processes
KR102299525B1 (ko) 제품 평가 마이닝 방법 및 이를 수행하는 장치
US11699177B1 (en) Systems and methods for automated modeling of quality for products and services based on contextual relevance
CN110069691A (zh) 用于处理点击行为数据的方法和装置
CN113127597A (zh) 搜索信息的处理方法、装置及电子设备
KR102527129B1 (ko) 수익 창출을 위한 참여형 웹툰 컨텐츠를 생성 및 제공하는 방법, 장치 및 컴퓨터-판독 가능 기록 매체
Samosir et al. Identifying Requirements Association Based on Class Diagram Using Semantic Similarity
An et al. A modeling framework of cyber-physical-social systems with human behavior classification based on machine learning

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200716

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200716

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211004

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20211021

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20211026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220111

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20220111

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20220121

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20220125

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220221

R151 Written notification of patent or utility model registration

Ref document number: 7040535

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151