JP5413010B2 - Analysis apparatus, analysis method, and program - Google Patents
Analysis apparatus, analysis method, and program Download PDFInfo
- Publication number
- JP5413010B2 JP5413010B2 JP2009168889A JP2009168889A JP5413010B2 JP 5413010 B2 JP5413010 B2 JP 5413010B2 JP 2009168889 A JP2009168889 A JP 2009168889A JP 2009168889 A JP2009168889 A JP 2009168889A JP 5413010 B2 JP5413010 B2 JP 5413010B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- confidential information
- probability
- pattern
- storage pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 58
- 230000007704 transition Effects 0.000 claims description 64
- 238000004364 calculation method Methods 0.000 claims description 62
- 238000011156 evaluation Methods 0.000 claims description 44
- 238000012502 risk assessment Methods 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 24
- 238000000034 method Methods 0.000 claims description 22
- 238000009434 installation Methods 0.000 claims description 19
- 238000007726 management method Methods 0.000 claims description 18
- 230000008676 import Effects 0.000 description 20
- 230000014509 gene expression Effects 0.000 description 11
- 230000000694 effects Effects 0.000 description 7
- 238000007689 inspection Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000012530 fluid Substances 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Description
本発明は、分析装置、分析方法およびプログラムに関する。 The present invention relates to an analysis apparatus, an analysis method, and a program.
近年、インターネット技術の発展に伴い、企業の内部情報や顧客の個人情報などに代表される機密情報の資産的価値が飛躍的に向上すると共に、機密情報の漏洩事故が多発している。これらの事故は、実に様々な要因によって引き起こされる。 In recent years, with the development of Internet technology, the asset value of confidential information represented by internal information of companies and personal information of customers has improved dramatically, and accidents of leakage of confidential information have frequently occurred. These accidents can be caused by a variety of factors.
例えば、OS(Operating System)やソフトウェアの脆弱性を利用した外部からの攻撃やマルウェア(不正ソフトウェア)感染によるものや、ファイル共有ソフトなどを通じて重要なデータが流出することもある。特に多いのが、機密情報を記憶しているノートPC(Personal Computer)やUSB(Universal Serial Bus)メモリなどの外部記憶装置の盗難・紛失によって内部から機密情報が漏洩するケースである。 For example, important data may be leaked through an external attack using a vulnerability of an OS (Operating System) or software, malware (illegal software) infection, or file sharing software. In particular, there are cases where confidential information leaks from the inside due to theft or loss of an external storage device such as a notebook PC (Personal Computer) or a USB (Universal Serial Bus) memory storing the confidential information.
このように、種々の要因が複雑に関与しあって引き起こされるセキュリティ事故の脅威から機密情報を守るためには、その機密情報が存在する情報システム全体において、どのような効果を発揮するセキュリティ対策が講じられていて、どの位のリスクが存在するかを的確に分析することで、そのシステムの状態を正しく把握する必要がある。 In this way, in order to protect confidential information from threats of security incidents caused by complicated involvement of various factors, what kind of security measures are effective for the entire information system in which the confidential information exists. It is necessary to accurately grasp the state of the system by accurately analyzing how much risk is present.
この種の一般的な技術として、特許文献1では、分析対象となるシステムの設定状態を収集し、ネットワーク上のデータの流れ(受け渡し)を明らかにする技術が開示されている。この文献に記載されたシステムでは、あらかじめ定義した不正なデータの流れが発生するかどうかを、アクセス権の設定状態によって判別している。
As a general technique of this type,
また、この種の他の一般的な技術として、特許文献2では、検査対象システムにおいて脆弱性が存在する機器同士の繋がりから、不正侵入されるおそれのあるルートを探索するセキュリティ管理システムが開示されている。同文献に記載された技術では、機器に存在する脆弱性によって検査対象システムのどこまで侵入できるかを「侵入深度」という量で測り、分析対象となるシステムの危険度を評価している。
As another general technique of this type,
上記のように、システムにおいては、導入されているセキュリティ対策の有効度に応じて、保護対象となる機密情報に対するリスクの大きさを適切に把握することが重要である。このような分析を漏れや重複がないように網羅的に行うためには、セキュリティ製品の機能だけではなく、どのような運用ポリシーや管理ルールが策定されているかについても考慮する必要がある。 As described above, in the system, it is important to appropriately grasp the magnitude of risk for confidential information to be protected according to the effectiveness of the introduced security measures. In order to perform such an analysis comprehensively without omissions or duplications, it is necessary to consider not only the functions of security products but also what operational policies and management rules are established.
例えば、機密情報を有する機器に対して、ネットワークを経由した外部からの攻撃に対しては強固なセキュリティ対策が講じられていても、その機器自体が、誰でも出入り自由な場所に置かれていては、そこに保存された機密情報が外部に流出してしまうリスクは非常に高い。 For example, even if a device with confidential information has strong security measures against external attacks via the network, the device itself is placed in a place where anyone can enter and exit. The risk of leaking confidential information stored there is very high.
また、機密情報を守るためには単にセキュリティ効果の高い機器を導入するだけでなく、どのようなセキュリティポリシーに基づいてシステムの運用管理を行うかが非常に重要である。 In addition, in order to protect confidential information, it is very important not only to introduce a device having a high security effect, but also what security policy should be used for system operation management.
しかし、特許文献1に開示された技術においては、ネットワーク経由の攻撃に対する各システム構成機器の設定検証を行っているものの、セキュリティポリシーの策定などの運用管理的なセキュリティ対策の効果などについては考慮されていない。
However, although the technique disclosed in
また、特許文献2に開示された技術においては、システムへの物理的な侵入経路に加え、運用管理的な脆弱性についても扱っているが、ごく一部の限定されたものだけである。
In addition, the technique disclosed in
また、この技術においては、脆弱性が存在するという単一の原因だけではなく、システムを構成する機器の設定状態や運用形態などの様々な条件が重なることで発生する脅威については取り扱うことができない。 In addition, this technology cannot handle not only the single cause of vulnerability, but also the threat that occurs due to the overlap of various conditions such as the setting status and operation mode of the devices that make up the system. .
例えば、機密情報が強固なセキュリティ対策が施されたデータベース上に保管されているが、その機密情報を外部記憶媒体に保存して持ち出すことが許可されている、という状況について考察する。 For example, consider a situation in which confidential information is stored on a database with a strong security measure, but the confidential information is allowed to be saved on an external storage medium and taken out.
すなわち、機密情報は、データベース上、又は、外部記憶媒体上に保存されているという複数の状態が考えられ、そのどちらに存在するかによって、機密情報の漏洩リスクは変化する。また、このような場合、外部記憶媒体の紛失などによる情報漏洩事故に対する抑止として、機密情報を外部記憶媒体に保存して持ち出す際には、携行品管理システムに登録しておき上司の承認を得る、といった機密情報の取り扱いに関する運用ポリシーを定めることが多い。 That is, there are a plurality of states in which confidential information is stored on a database or an external storage medium, and the risk of leakage of confidential information varies depending on which state exists. Also, in such a case, as a measure against information leakage accidents due to loss of the external storage medium, when storing confidential information on an external storage medium and taking it out, register it in the carry-on item management system and obtain approval from the supervisor In many cases, operational policies regarding the handling of confidential information such as
しかし、このような運用管理的なセキュリティ対策による効果は、ファイアウォールによるパケットフィルタリングなどと比べると、曖昧で不確実なものであり、ルール自体がきちんと守られていないこともある。特許文献2に開示された技術では、上記のような複雑な状況には対応することができない。
However, the effects of such operational management security measures are vague and uncertain compared to packet filtering by a firewall, and the rules themselves may not be properly observed. The technique disclosed in
また、侵入深度という量でセキュリティリスクを評価しているが、これは単に脆弱性を持つ機器同士の接続状態のみから、システムのどこまで侵入可能であるかを分析するもので、分析対象のシステムにおける状態変化などを考慮したリスクを適切に評価することはできない。 Security risk is evaluated by the amount of penetration depth. This is simply an analysis of how far the system can be penetrated from the connection status of vulnerable devices. Risks that take into account changes in state cannot be assessed appropriately.
本発明は、上述した課題を解決する分析装置、分析方法およびプログラムを提供することを目的とする。 An object of this invention is to provide the analyzer, the analysis method, and program which solve the subject mentioned above.
上記課題を解決するために、本発明の分析装置は、機密情報を記憶する複数の装置から構成されたシステムと接続された分析装置であって、前記複数の装置の通信接続関係および該装置の設置場所を示す構成情報を記憶する構成データベースと、前記構成情報と前記機密情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記複数の装置のうち、前記機密情報が記憶される可能性がある装置を示すパターンである記憶パターンを全て特定する記憶パターン特定部と、前記運用ポリシーと、前記機密情報に対する全記憶パターンのうち、基準状態として予め定められた記憶パターンである基準記憶パターンと、前記運用ポリシーに従った場合に、前記基準記憶パターンが遷移可能な他の記憶パターンである遷移記憶パターンと、前記基準記憶パターンから前記遷移記憶パターンへ遷移する確率である遷移確率とを記憶する配置データベースと、前記遷移確率に基づいて、前記機密情報の前記記憶パターンの発生確率を算出する発生確率算出部と、前記発生確率および前記機密情報の重要度に基づいて、前記機密情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析部と、を有する。 In order to solve the above problems, the analyzer of the present invention is an analysis device connected to the system configuration of a plurality of devices for storing sensitive information, communication connection relationship and the device of the plurality of devices a configuration database that stores configuration information indicating the location of, based on the management policy showing the operation of the device with respect to the confidential information and the configuration information, among the plurality of devices, capable of the sensitive information is stored reference storage pattern and the memory patterns identifying unit that identifies all storage pattern is a pattern showing a certain sexual apparatus, wherein the operation policy, of all the storage pattern for the confidential information is a predetermined storage pattern as the reference state A transition storage pattern that is another storage pattern to which the reference storage pattern can transition when the operation policy is followed, An arrangement database that stores a transition probability that is a probability of transition from a reference storage pattern to the transition storage pattern; an occurrence probability calculation unit that calculates an occurrence probability of the storage pattern of the confidential information based on the transition probability; based on the importance of the probability and the confidential information, the confidential information; and a risk analysis unit that calculates a risk evaluation index indicating the degree of risk of leakage outside the system.
上記課題を解決するために、本発明の分析方法は、機密情報を記憶する複数の装置から構成されたシステムと接続された分析装置による分析方法であって、前記分析装置の記憶パターン特定部が、前記複数の装置の通信接続関係および該装置の設置場所を示す構成情報と前記機密情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記複数の装置のうち、前記機密情報が記憶される可能性がある装置を示すパターンである記憶パターンを全て特定し、前記分析装置の発生確率算出部が、前記機密情報に対する全記憶パターンのうち、基準状態として予め定められた記憶パターンである基準記憶パターンが、前記運用ポリシーに従った場合に、前記基準記憶パターンが遷移可能な他の記憶パターンである遷移記憶パターンへ遷移する確率である遷移確率に基づいて、前記機密情報の前記記憶パターンの発生確率を算出し、前記分析装置のリスク分析部が、前記発生確率および前記機密情報の重要度に基づいて、前記機密情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するものである。 In order to solve the above-described problem, an analysis method of the present invention is an analysis method by an analysis device connected to a system composed of a plurality of devices that store confidential information, wherein a storage pattern specifying unit of the analysis device is , based on the management policy showing the operation of the device configuration information indicating the installation location of the communication connection relationship and the device of the plurality of devices with respect to the confidential information, among the plurality of devices, the confidential information storage All the storage patterns that are patterns indicating devices that may be used are identified, and the occurrence probability calculation unit of the analysis device is a storage pattern that is predetermined as a reference state among all the storage patterns for the confidential information When the reference storage pattern conforms to the operation policy, the transition to the transition storage pattern that is another storage pattern to which the reference storage pattern can transition is made. Based on the transition probability is the probability to calculate the probability of the storage pattern of the confidential information, the risk analysis portion of the analyzer, based on the importance of the probability and the confidential information, the confidential information a shall be calculated risk evaluation index indicating the degree of risk of leakage outside the system.
また、コンピュータに実行させるプログラムであって、機密情報を記憶する複数の装置から構成されたシステムと接続された分析装置に、前記複数の装置の通信接続関係および該装置の設置場所を示す構成情報と前記機密情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記複数の装置のうち、前記機密情報が記憶される可能性がある装置を示すパターンである記憶パターンを全て特定する記憶パターン特定手順と、前記機密情報に対する全記憶パターンのうち、基準状態として予め定められた記憶パターンである基準記憶パターンが、前記運用ポリシーに従った場合に、前記基準記憶パターンが遷移可能な他の記憶パターンである遷移記憶パターンへ遷移する確率である遷移確率に基づいて、前記機密情報の前記記憶パターンの発生確率を算出する発生確率算出手順と、前記発生確率および前記機密情報の重要度に基づいて、前記機密情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析手順とを実行させる。 Further, a program executed by a computer, the plurality of analysis devices connected to the system made up of devices for storing sensitive information, indicating the location of the communication connection relationship and the apparatus of said plurality of device configuration A storage that identifies all storage patterns that are patterns indicating devices in which the confidential information may be stored , among the plurality of devices , based on information and an operation policy indicating the operation of the device with respect to the confidential information. When the reference storage pattern that is a predetermined storage pattern as a reference state among all the storage patterns for the confidential information according to the pattern specifying procedure conforms to the operation policy, Based on a transition probability that is a probability of transition to a transition storage pattern that is a storage pattern, the storage pattern of the confidential information A probability calculation step of calculating the occurrence probabilities of, based on the importance of the probability and the confidential information, the risk analysis procedure confidential information to calculate the risk evaluation index indicating the degree of risk of leakage to the outside of the system And execute.
本発明によれば、情報が漏洩するリスクを、包括的にかつ適切に評価することができる。 According to the present invention, it is possible to comprehensively and appropriately evaluate the risk of information leakage.
(実施形態1)
以下、本発明の実施形態1に従った分析装置(分析方法およびプログラムを含む)について説明する。
(Embodiment 1)
Hereinafter, an analysis apparatus (including an analysis method and a program) according to the first embodiment of the present invention will be described.
図1に示すように、実施形態1の分析装置1は、当該分析装置1によるセキュリティリスクの分析対象となるシステム2と接続されている。
As shown in FIG. 1, the
システム2は、複数の「装置」から構成される任意のシステムでよい。この装置の例としては、クライアントPC、ファイアウォール、侵入検知装置(IDS(Intrusion Detection System))、サーバ機器などが挙げられる。本実施形態では、システム2に設けられた「装置」が、Webサーバ2−1、2−2と、PC2−3と、ファイアウォール2−4とである場合を例に挙げて説明する。
The
また、Webサーバ2−1、2−2、PC2−3、ファイアウォール2−4が、図2に破線でそれぞれ示す拠点やサーバ室などの任意の場所に物理的に配置されている場合を例に挙げて説明する。 Further, the case where the Web servers 2-1 and 2-2, the PC 2-3, and the firewall 2-4 are physically arranged at arbitrary locations such as bases and server rooms indicated by broken lines in FIG. 2 is taken as an example. I will give a description.
本発明の分析装置1は、漏洩防止からの保護対象となる任意の「情報」(例えば、データファイルなど)がこれらの装置に記憶されている記憶パターンや、第三者の出入りを防止する当該装置の設置場所に設けられたセキュリティゲートなどの物理的な侵入防止装置なども考慮して、機密情報が漏洩するリスクを分析することが可能である。
The
また、分析装置1は、外部からシステム2内部への攻撃に対する情報の漏洩リスクと、システム2内部から外部への「情報」の漏洩リスクとのどちらも分析することが可能である。以下では、外部からの通信を介した攻撃に対する、機密情報(「情報」)の漏洩リスクを分析する場合を例に挙げて説明する。
Further, the
つぎに、図1に示した分析装置1の構成について、図3を参照して説明する。
Next, the configuration of the
図3に示すように、分析装置1は、取得部11と、構成データベース12と、ポリシーデータベース13と、記憶パターン特定部14と、発生確率算出部141と、配置データベース15と、リスク分析部16とを有する。
As shown in FIG. 3, the
取得部11は、システム2内の各装置(Webサーバ2−1、2−2、PC2−3、ファイアウォール2−4)と通信を行うことにより当該装置それぞれに付随する「設定情報」を取得する。
The
この設定情報は、各装置が接続されている他の装置を示す情報、その装置の設置場所を示す情報のことを指す。設定情報の具体例としては、システム2のネットワークトポロジーに関する情報、各装置の物理的な設置場所に関する情報などが挙げられる。
This setting information indicates information indicating other devices to which each device is connected and information indicating the installation location of the device. Specific examples of the setting information include information regarding the network topology of the
そして、取得部11は、設定情報に基づいて、これらの装置間の「通信接続関係」と、各装置の設置場所である「装置配置関係」とを示す構成情報を生成する。
Then, the
ここで、「通信接続関係」とは、ファイアウォールやIDSなどのようにシステム2内で各装置間の通信接続を制御する通信制御装置と、各装置との接続関係のことを指す。
Here, the “communication connection relationship” refers to a connection relationship between each device and a communication control device that controls communication connection between the devices in the
また、「装置配置関係」とは、システム2が具備する各装置と、これらの装置の設置場所または当該設置場所に設けられたセキュリティゲートのような第三者の出入りを制御する装置との関係のことを指す。
In addition, “apparatus arrangement relationship” refers to the relationship between each device included in the
本実施形態では、図4に示すように、取得部11は、システム2の構成要素(設置場所や装置)と、この構成要素を固有に識別するための要素識別子と、この構成要素に付随する装置配置関係と、この構成要素に付随する通信接続関係とを対応付ける情報を、「構成情報121」として生成する。
In the present embodiment, as illustrated in FIG. 4, the
そして、取得部11は、生成した構成情報121を構成データベース12へ書込む。
Then, the
図2に示した例では、Webサーバ2−1、2−2やPC2−3は、ファイアウォール2−4と通信可能に接続された通信接続関係を有する。そのため、図4に示した構成情報121において、Webサーバ2−1、2−2、PC2−3のそれぞれは、ファイアウォール2−4と対応付けて記憶されている。
In the example illustrated in FIG. 2, the Web servers 2-1 and 2-2 and the PC 2-3 have a communication connection relationship that is communicably connected to the firewall 2-4. Therefore, in the
また、図2に示した例では、PC2−3は、拠点のセキュリティゲートに設けられた装置配置関係を有する。そのため、構成情報121においては、PC2−3(要素識別子g6)と、拠点のセキュリティゲート(要素識別子g1)とが対応付けて記憶されている。
In the example illustrated in FIG. 2, the PC 2-3 has a device arrangement relationship provided in the security gate at the base. Therefore, in the
ポリシーデータベース13は、ポリシー情報131を記憶している。
The
図5に示すように、「ポリシー情報131」は、保護対象となる機密情報に対してシステム2で定められている「運用ポリシー」と、機密情報と、運用ポリシーにより機密情報が配置されることが許可されている構成要素を示す「情報配置関係」と、その運用ポリシーに従った場合に当該構成要素に当該機密情報が配置されている「情報存在確率」とを対応付ける情報である。なお、本実施形態では、ポリシー情報131が、あらかじめ設定された情報である場合を例に挙げて説明する。
As shown in FIG. 5, “
また、本実施形態では、PC2−3内の暗号化ファイルが不正に復号化されることを回避するためにシステム2における運用ポリシーとして、以下の運用ポリシーOPE1〜OPE4が定められている場合を例に挙げて説明する。
Further, in the present embodiment, an example in which the following operation policies OPE1 to OPE4 are defined as operation policies in the
運用ポリシーOPE1として、PC2−3は、PC2−3内の暗号化ファイルを復号化する場合、Webサーバ2−1を指定して復号鍵ダウンロード用のWebページにログインする。 As the operation policy OPE1, when decrypting the encrypted file in the PC 2-3, the PC 2-3 designates the Web server 2-1 and logs in to the Web page for downloading the decryption key.
この運用ポリシーOPE1に従った場合、図6に示す記憶パターンL1のように、PC2−3が暗号化ファイルの復号処理を行う前における機密情報の記憶パターンL1では、Webサーバ2−1は、復号鍵およびインポートパスワードを記憶している。 When the operation policy OPE1 is followed, as shown in the storage pattern L1 shown in FIG. 6, the Web server 2-1 decrypts the confidential information storage pattern L1 before the PC 2-3 performs the decryption processing of the encrypted file. Remember key and import password.
また、運用ポリシーOPE2として、PC2−1は、Webサーバ2−1上に保存されている復号鍵を当該PC2−1のローカルディスクにダウンロードする。 Further, as the operation policy OPE2, the PC 2-1 downloads the decryption key stored on the Web server 2-1 to the local disk of the PC 2-1.
この運用ポリシーOPE2に従った場合、図7に示すように、PC2−3が、暗号化ファイルの復号処理を行うために、Webサーバ2−1に記憶されている復号鍵をダウンロードすることにより、システム2における機密情報の記憶パターンは、図6に示した記憶パターンL1から記憶パターンL2へ遷移する。
When the operation policy OPE2 is followed, as shown in FIG. 7, the PC 2-3 downloads a decryption key stored in the Web server 2-1 in order to perform decryption processing of the encrypted file. The storage pattern of confidential information in the
また、運用ポリシーOPE3として、復号鍵ダウンロード用のWebページに記載されているパスワードを入力し、ダウンロードした復号鍵を復号鍵の管理ツールへインポートする。 Further, as the operation policy OPE3, the password described in the Web page for downloading the decryption key is input, and the downloaded decryption key is imported into the decryption key management tool.
この運用ポリシーOPE3に従った場合、図8に示すように、Webサーバ2−2が、Webサーバ2−1に記憶されているインポートパスワードをダウンロードすることにより、システム2における機密情報の記憶パターンは、図7に示した記憶パターンL2から記憶パターンL3へ遷移する。
When this operation policy OPE3 is followed, as shown in FIG. 8, when the Web server 2-2 downloads the import password stored in the Web server 2-1, the storage pattern of the confidential information in the
運用ポリシーOPE4として、PC2−3は、当該PC2−3が備えるローカルディスクに保存された暗号化ファイルの復号化を行う。 As the operation policy OPE4, the PC 2-3 performs decryption of the encrypted file stored in the local disk included in the PC 2-3.
その後、図9に示すように、PC2−3が、暗号化ファイルの復号化が終了して当該PC2−3から復号鍵を削除した場合、システム2における機密情報の記憶パターンは、図8に示した記憶パターンL3から記憶パターンL4へ遷移する。
Thereafter, as shown in FIG. 9, when the PC 2-3 completes the decryption of the encrypted file and deletes the decryption key from the PC 2-3, the storage pattern of the confidential information in the
なお、運用ポリシーが示す各装置の機密情報に対する動作は、後述の実施形態3で例に挙げて説明する外部からの攻撃を行う手順と共通する。つまり、この説明例では、暗号化ファイルの復号化を行うために入手する必要のある機密情報が、攻撃者からの保護対象に相当する。 In addition, the operation | movement with respect to the confidential information of each apparatus which an operation policy shows is common in the procedure which performs the attack from the outside mentioned as an example in Embodiment 3 mentioned later. That is, in this example, confidential information that needs to be obtained in order to decrypt an encrypted file corresponds to a protection target from an attacker.
なお、ポリシー情報131のデータ構造は、対応表、オントロジーなどの知識構造を含む任意のものでよい。また、ポリシー情報131は、特定の複数のパターンに対してあらかじめ記述しておき、分析装置1の利用者が随時編集することにより、あらかじめ記述されている運用ポリシー以外の運用ポリシーを追加することも可能である。
The data structure of the
記憶パターン特定部14は、構成情報121とポリシー情報131とに基づいて、ポリシー情報131内の運用ポリシーOPE1〜OPE3に従った場合にシステム2において起こり得る機密情報のすべての「記憶パターン」を決定する。
Based on the
本実施形態では、記憶パターン特定部14は、ポリシー情報131内の運用ポリシーに対応する機密情報の種類を特定する。図5の例では、記憶パターン特定部14は、運用ポリシーOPE1に対する機密情報として、暗号化ファイルと復号鍵とインポートパスワードとを特定し、図10に示す配置情報151へ書込む。
In the present embodiment, the storage
また、記憶パターン特定部14は、ポリシー情報131内でこれらの機密情報と対応付けられている情報配置関係が示す装置をそれぞれ特定するとともに、この装置に対して通信接続関係を有する装置すべてを構成情報121を用いて特定する。
In addition, the storage
上述した運用ポリシーOPE1の例では、記憶パターン特定部14は、機密情報と対応付けられた通信接続関係が示す要素識別子g4(Webサーバ2−1)、g6(PC2−3)を特定する。また、記憶パターン特定部14は、構成情報121に基づいて、g4およびg6はファイアウォール2−4を介してg5(Webサーバ2−2)と接続されていることを特定する。そして、記憶パターン特定部14は、これらの特定した情報を、配置データベース15内の配置情報151へ書込む。
In the example of the operation policy OPE1 described above, the storage
図10に示すように、配置情報151は、ポリシー情報131が示すシステム2に対して定められた各運用ポリシーOPE1、OPE2、OPE3の下で、機密情報がシステム2内の各装置に配置される「記憶パターンL1〜L4」と、その記憶パターンが起こる「発生確率」とを対応付ける情報である。
As shown in FIG. 10, in the
なお、図10の例では、記憶パターンを、各機密情報(暗号化ファイル、復号鍵、インポートパスワード)のそれぞれに対する情報配置フラグで示している。 In the example of FIG. 10, the storage pattern is indicated by an information arrangement flag for each confidential information (encrypted file, decryption key, import password).
情報配置フラグとは、機密情報が、当該情報配置フラグと対応付けられている要素識別子が付与された装置に配置(記憶)されているかどうかを示す情報である。本実施形態では、情報配置フラグは、その値が「0」である場合、機密情報が配置されていないことを示し、その値が「1」である場合、機密情報が配置されていることを示す。 The information arrangement flag is information indicating whether confidential information is arranged (stored) in a device to which an element identifier associated with the information arrangement flag is assigned. In the present embodiment, when the value of the information arrangement flag is “0”, it indicates that the confidential information is not arranged, and when the value is “1”, it indicates that the confidential information is arranged. Show.
発生確率算出部141は、記憶パターン特定部14が特定した記憶パターンと、ポリシー情報131内の各装置に機密情報が配置されている情報存在確率とに基づいて、記憶パターン特定部14が特定した記憶パターンL1〜L4が起こる発生確率を算出する。
The occurrence
例えば、発生確率算出部141は、ある記憶パターンにおいて、暗号化ファイルが配置されている情報存在確率と、復号鍵が配置されている情報存在確率と、インポートパスワードが配置されている情報存在確率とを乗算した値を、その記憶パターンの発生確率として算出する。
For example, the occurrence
そして、遷移確率算出部141は、算出した発生確率と、配置情報151に記憶されている機密情報に対する記憶パターンとを対応付けて当該配置情報151に書込む。
The transition
リスク分析部16は、配置データベース15を参照し、システム2内の機密情報が漏洩するリスクの程度を示す「リスク評価指標」を算出する。
The
なお、本実施形態では、リスク分析部16は、図11に示すリスク情報を記憶している。このリスク情報は、システム2内の各装置(この例では、Webサーバ2−1、2−2、PC2−3)と、当該装置に対してそれぞれ想定されるリスクの程度を数値で表したリスク想定値とを対応付けてあらかじめ設定された情報である。
In this embodiment, the
この例では、リスク分析部16は、配置データベース15内の配置情報151に記述されている発生確率を用いてリスク想定値に対する重み付けを行うことにより得られた数値を、各装置に対する「リスク評価指標」として算出する。
In this example, the
例えば、図10に示したパターン識別子L1においてWebサーバ2−1(要素識別子g4)に復号鍵およびインポートパスワードが記憶される発生確率は「1」である。また、図11に示したリスク情報内のWebサーバ2−1のリスク想定値は「2」である。 For example, in the pattern identifier L1 shown in FIG. 10, the probability that the decryption key and the import password are stored in the Web server 2-1 (element identifier g4) is “1”. Further, the assumed risk value of the Web server 2-1 in the risk information shown in FIG. 11 is “2”.
そのため、リスク分析部16は、発生確率「1」とリスク想定値「2」との乗算値を、パターン識別子L1におけるWebサーバ2−1のリスク評価指標として算出する。なお、リスク分析部16は、L1以外の他のパターン識別子L2〜L4におけるWebサーバ2−1のリスク評価指標も算出し、パターン識別子L1〜L4それぞれにおけるWebサーバ2−1のリスク評価指標の合計値を、Webサーバ2−1のリスク評価指標として算出する。
Therefore, the
なお、リスク分析部16は、各装置についてそれぞれ得られたリスク評価指標同士を比較し、それらの大小関係を特定して得られたランク付け結果を、分析装置1と接続された任意の出力装置(図示せず)へ出力してもよい。
The
つぎに、実施形態1の分析装置1がリスク評価指標を算出する動作について、図12に示すフローチャートを参照して説明する。
Next, an operation in which the
まず、取得部11は、システム2内の各装置から当該装置の構成情報を取得する。
First, the
そして、図12に示すステップ31にて、取得部11は、設定情報に基づいて、これらの装置間の通信接続関係と、各装置の設置場所を示す装置配置関係とを示す構成情報121を生成し、構成データベース12へ書込む。
Then, in
続いて、記憶パターン特定部14は、システム2が有する機密情報に対して定められている運用ポリシーOPE1〜OPE3を参照する。そして、ステップ32にて、記憶パターン特定部14は、ポリシー情報131内の運用ポリシーに対応する機密情報の種類を特定して配置情報151へ書込む。
Subsequently, the storage
また、ステップ33にて、記憶パターン特定部14は、ポリシー情報131内でこれらの機密情報と対応付けられている情報配置関係が示す装置、つまり、機密情報が配置される装置をそれぞれ特定する。
Further, in
さらに、記憶パターン特定部14は、機密情報が配置される装置に対して通信接続関係を有する装置すべてを構成情報121にて特定する。これにより、ステップ34にて、記憶パターン特定部14は、構成情報121とポリシー情報131とに基づいて、ポリシー情報131内の運用ポリシーOPE1〜OPE3に従った場合にシステム2において起こり得る機密情報のすべての「記憶パターン」を特定する。
Further, the storage
なお、本実施形態では、記憶パターン特定部14は、特定した記憶パターンを各装置に対する情報配置フラグで表した形式で求め、各情報配置フラグを配置データベース15内の配置情報151へ書込む。
In the present embodiment, the storage
そして、ステップ35にて、発生確率算出部141は、ポリシー情報131内の機密情報の情報存在確率に基づいて、配置情報151へ書込まれた記憶パターンがシステム2において起こる発生確率を決定する。そして、発生確率算出部141は、決定した発生確率を、図10に示した配置情報151へ書込む。
In
その後、ステップ36にて、リスク分析部16によって、ステップ34で特定した機密情報の記憶パターンそれぞれにおけるリスク評価指標を、その記憶パターンが起こる発生確率に基づいて算出する。
Thereafter, in
以上で、実施形態1の分析装置1がリスク評価指標を算出する一連の動作が終了する。
Thus, a series of operations in which the
以上説明したように、本発明の実施形態1によれば、運用管理面により奏する機密情報の保護に対する効果を、機密情報のある記憶パターンから別の記憶パターンへの状態遷移によって表現することで、システム的なセキュリティ対策(ファイアウォールでのパケットフィルタリングなど)による効果と、運用管理的な対策の効果を同時に考慮したリスク分析を行うことが可能となる。 As described above, according to the first embodiment of the present invention, by expressing the effect on the protection of confidential information from the operational management side by the state transition from a storage pattern having confidential information to another storage pattern, It is possible to perform risk analysis that takes into account the effects of systematic security measures (such as packet filtering at the firewall) and the effects of operational management measures at the same time.
すなわち、資産的価値の高い機密情報の取り扱いを定める運用ポリシーに基づいて、ある記憶パターンがどの位の確率で起こるかを決定することで、複雑な運用形態に対応して包括的にかつ適切にシステム2における機密情報の漏洩リスクを分析することができる。
(実施形態2)
つぎに、実施形態2の分析装置について説明する。
In other words, by determining the probability of a certain memory pattern occurring based on the operation policy that defines the handling of confidential information with high asset value, it is comprehensive and appropriate for complex operation forms. The risk of leakage of confidential information in the
(Embodiment 2)
Next, the analyzer according to the second embodiment will be described.
まず、実施形態2の分析装置の構成について説明する。 First, the configuration of the analyzer according to the second embodiment will be described.
実施形態2の分析装置1Aは、図2に示したポリシーデータベース13に代えて、図13に示す基準配置データベース171と遷移配置データベース173とを有する点で、実施形態1の分析装置1と異なる。
The analysis apparatus 1A of the second embodiment is different from the
基準配置データベース171は、ある機密情報に対する全記憶パターンのうちからシステム2の基準状態としてあらかじめ定められた特定の記憶パターン(以下、「基準記憶パターン」という)を示す基準パターン情報172を記憶している。
The
以下では、図5に示した記憶パターンL1を基準記憶パターンとして決定した場合を例に挙げて説明する。この場合、基準パターン情報172は、図14に示すデータ構造を有している。
Hereinafter, a case where the storage pattern L1 shown in FIG. 5 is determined as the reference storage pattern will be described as an example. In this case, the
また、遷移配置データベース173は、遷移パターン情報174を記憶している。
The
遷移パターン情報174とは、ある機密情報に対する基準記憶パターンから、その機密情報に対する残りの記憶パターン(以下、「遷移記憶パターン」という)それぞれへ遷移する遷移確率を示す情報である。
The
本実施形態では、図15に示すように、遷移パターン情報174は、運用ポリシーを識別するための番号と、運用ポリシーと、その運用ポリシーに従ったときの機密情報に対する遷移記憶パターンと、その運用ポリシーに従ったときの機密情報に対する基準記憶パターンから遷移記憶パターンへ遷移する「遷移確率」とを対応付ける情報である。
In this embodiment, as shown in FIG. 15, the
なお、本実施形態では、遷移確率を、以下の式1〜4に示すような遷移行列を用いて表す。
In the present embodiment, the transition probability is expressed using a transition matrix as shown in the following
上述した式1の右辺第1式において、1行目の成分T(1,0,0)→(1,0,0)およびT(1,0,0)→(1,1,0)は、PC2−3(要素識別子g6)が暗号化ファイルのみを記憶している図5に示した記憶パターンL1が、PC2−3が暗号化ファイルおよび復号鍵を記憶している図6に示した記憶パターンL2へ遷移するかどうかを示す成分である。なお、1行目の2つの成分T(1,0,0)→(1,0,0)とT(1,0,0)→(1,1,0)との和は「1」である。
In the first equation on the right side of
これらのうち1行1列成分T(1,0,0)→(1,0,0)は、PC2−3が暗号化ファイルのみを記憶している記憶パターンL1がそのまま維持されて記憶パターンL2へ遷移しない確率を示している。なお、式1は、記憶パターンL1から記憶パターンL2へ遷移しない確率が「0.5」としてあらかじめ設定されている例である。
Among these, the 1st row and 1st
また、1行2列成分T(1,0,0)→(1,1,0)は、PC2−3が復号鍵をWebサーバ2−1からダウンロードすることにより、配置状態L1から配置状態L2へ遷移する確率を示している。なお、式1は、記憶パターンL1から記憶パターンL2へ遷移する確率が「0.5」としてあらかじめ設定されている例である。
Further, the 1-row / 2-
また、上述の式1の右辺第1式において、2行目の成分T(1,1,0)→(1,0,0)およびT(1,1,0)→(1,1,0)は、PC2−3が暗号化ファイルおよび復号鍵を記憶している記憶パターンL2が、PC2−3が暗号化ファイルのみを記憶している記憶パターンL1へ遷移するかどうかを示す成分である。
Further, in the first expression on the right side of the
これらのうち2行1列成分T(1,1,0)→(1,0,0)は、PC2−3が暗号化ファイルおよび復号鍵を記憶している記憶パターンL2から、暗号化ファイルのみを記憶している記憶パターンL1へ遷移する確率を示している。なお、式1は、ファイル復号後にPC2−3内から復号鍵が削除されて記憶パターンL2から記憶パターンL1へ遷移する確率が「0.2」としてあらかじめ設定されている例である。
Among these, 2 rows and 1 column component T (1,1,0) → ( 1,0,0 ) is obtained only from the storage pattern L2 in which the PC 2-3 stores the encrypted file and the decryption key. The probability of transition to the memory pattern L1 storing the
また、2行2列成分T(1,1,0)→(1,1,0)は、PC2−3が暗号化ファイルおよび復号鍵を記憶している記憶パターンL2がそのまま維持されて記憶パターンL1へ遷移しない確率を示している。式1は、ファイル復号後にPC2−3内から復号鍵が削除されて記憶パターンL2から記憶パターンL1へ遷移しない確率が「0.8」としてあらかじめ設定されている例である。
In addition, the 2 × 2 component T (1,1,0) → (1,1,0) is stored in the storage pattern L2 in which the PC 2-3 stores the encrypted file and the decryption key as they are. The probability of not making a transition to L1 is shown.
本実施形態では、発生確率算出部141は、上述の式1〜式4に示した機密情報の記憶パターンが相互に遷移する「遷移確率」に基づいて、機密情報の記憶パターンの発生確率を算出する。
In the present embodiment, the occurrence
具体的には、式1〜式4の条件の下で、以下の式5および式6に示すような線型一次方程式を解くための演算を行うことにより、発生確率算出部141は、システム2内でそれぞれの記憶パターンが起こる発生確率を決定する。
Specifically, the occurrence
つぎに、上記構成を有する実施形態2の分析装置1Aの動作について、図16に示すフローチャートを参照して説明する。 Next, the operation of the analyzer 1A of the second embodiment having the above-described configuration will be described with reference to the flowchart shown in FIG.
まず、分析装置1Aの取得部11は、システム2内の各装置から当該装置の設定情報を取得する。
First, the
そして、図16に示すステップ41にて、取得部11は、設定情報に基づいて、これらの装置間の通信接続関係と各装置の設置場所を示す装置配置関係とを示す構成情報121を生成して構成データベース12へ書込む。
In
続いて、ステップ42にて、記憶パターン特定部14は、遷移パターン情報174に基づいて、機密情報に対して定められている運用ポリシーOPE1〜OPE3に対応する機密情報の種類を特定して配置情報151へ書込む。
Subsequently, in
また、ステップ43にて、記憶パターン特定部14は、遷移パターン情報174内でこれらの機密情報と対応付けられている情報配置関係が示す装置、つまり、機密情報が配置される装置をそれぞれ特定する。
Further, in
さらに、記憶パターン特定部14は、構成情報121を用いて、機密情報が配置される装置に対して通信接続関係を有する装置すべてを特定する。これにより、ステップ44にて、記憶パターン特定部14は、構成情報121と遷移パターン情報174とに基づいて、遷移パターン情報174内の運用ポリシーOPE1〜OPE3に従った場合に基準遷移パターンからの遷移によって起こり得るすべての機密情報の記憶パターンを特定する。
Furthermore, the storage
なお、本実施形態では、記憶パターン特定部14は、特定した記憶パターンを各装置に対する情報配置フラグで表した形式で求め、各情報配置フラグを配置データベース15内の配置情報151へ書込む。
In the present embodiment, the storage
そして、ステップ45にて、発生確率算出部141は、遷移パターン情報174内の記憶パターンの遷移確率に基づいて、配置情報151へ書込まれた記憶パターンがシステム2において起こる発生確率を決定する。そして、発生確率算出部141は、決定した発生確率を、図10に示した配置情報151へ書込む。
In
その後、ステップ46にて、リスク分析部16は、ステップ44で特定した機密情報の記憶パターンそれぞれにおけるリスク評価指標を、その記憶パターンが起こる発生確率に基づいて算出する。例えば、リスク分析部16は、この発生確率を用いて、図11に示したリスク情報内のリスク想定値に対して重み付けすることにより得られた数値を、各装置に対する「リスク評価指標」として算出する。
Thereafter, in
以上で、実施形態2の分析装置1Aがリスク評価指標を算出する一連の動作が終了する。 Thus, a series of operations in which the analysis apparatus 1A of the second embodiment calculates the risk evaluation index is completed.
以上説明したように、実施形態2によれば、複数の記憶パターンの間で相互に遷移する遷移確率に基づいて、その記憶パターンの発生確率を決定し、リスク評価指標の値の変化を求める。 As described above, according to the second embodiment, the occurrence probability of the storage pattern is determined based on the transition probability of transition between a plurality of storage patterns, and the change in the value of the risk evaluation index is obtained.
これにより、システム2に対して定められている運用ポリシーに従った場合の記憶パターンの変化を、利用者がより直感的に理解しやすい形で示すことが可能となる。
(実施形態3)
つぎに、実施形態3の分析装置について説明する。
Thereby, it becomes possible to show the change of the storage pattern when following the operation policy defined for the
(Embodiment 3)
Next, an analysis apparatus according to Embodiment 3 will be described.
実施形態3の分析装置1Bは、図17に示す発生条件決定部191、到達確率算出部192、対策データベース181、対策状況決定部183を備える点で、実施形態1の分析装置1と異なる。
The
対策データベース181は、セキュリティ対策情報182を記憶している。
The
図18に示すように、セキュリティ対策情報182は、システム2内において構成要素(設置場所や装置)に固有に付与された要素識別子と、当該構成要素に対して施されているセキュリティ対策の種類と、そのセキュリティ機能の「有効度」とを対応付ける情報である。
As shown in FIG. 18, the
ここで、「有効度」とは、ある構成要素(設置場所または装置)に施されたセキュリティ対策の強制力の程度を表す量、つまり、機密情報に対する不正なアクセスの防止に寄与する有利な効果の程度を示す評価指標のことを指す。 Here, the “effectiveness” is an amount representing the degree of compulsory security measures applied to a certain component (installation location or device), that is, an advantageous effect that contributes to prevention of unauthorized access to confidential information. It refers to an evaluation index that indicates the degree of.
例えば、ファイアウォールが有するパケットフィルタリング機能のように人手を介さずに機械的に実行されるセキュリティ対策は、一定して強い強制力を有する。これに対し、ノートPCの持出し制限のような人手による運用面のルールを定めることによるセキュリティ対策の強制力の強さにはばらつきがある。そのため、構成要素に施されたセキュリティ対策の種類に応じて、機密情報の漏洩に対するリスク評価指標は大きく変動すると考えられる。このような観点から、実施形態3では、リスク分析部16は、有効度を考慮してリスク評価指標を算出する。
For example, a security measure that is mechanically executed without human intervention, such as a packet filtering function of a firewall, has a constant strong force. On the other hand, there is a variation in the strength of security measures forcing by manually setting operational rules such as taking out notebook PCs. Therefore, it is considered that the risk evaluation index for leakage of confidential information varies greatly depending on the type of security measures applied to the constituent elements. From such a viewpoint, in the third embodiment, the
そのために、まず、対策状況決定部183は、構成情報121とセキュリティ対策情報182とに基づいて、システム2内の構成要素(設置場所または装置)に対して実際に施されているセキュリティ対策と、そのセキュリティ対策による有効度とを特定する。そして、対策状況決定部183は、特定したセキュリティ対策と有効度とを到達確率算出部192へ出力する。
For this purpose, first, the countermeasure
発生条件決定部191は、ポリシー情報131に記述されている運用ポリシーに基づいて、システム2において想定される脅威発生条件を決定して到達確率算出部192へ出力する。
The occurrence
ここで、「脅威発生条件」とは、保護対象となる資産的価値を有する機密情報に対する攻撃手順のことを指す。 Here, the “threat generation condition” refers to an attack procedure for confidential information having asset value to be protected.
具体的には、本実施形態における脅威発生条件は、システム2に対する脅威が発生する際に必要となる機密情報の種類と、システム2の外部から当該機密情報に到達するまでの経路上に設けられた装置とを示す。
Specifically, the threat generation conditions in the present embodiment are provided on the type of confidential information required when a threat to the
本実施形態では、発生条件決定部191は、ポリシー情報131内の運用ポリシーが示す各装置の機密情報に対する動作を、脅威発生条件として決定する。これは、例えば、攻撃者は、暗号化ファイルの復号化を行うためにポリシー情報131内に記述された機密情報を入手する必要があり、この入手時の手順は運用ポリシーが示す機密情報に対する動作と一致するためである。
In the present embodiment, the generation
到達確率算出部192は、発生条件決定部191から出力されてきた脅威発生条件に基づいて、機密情報と、外部からその機密情報に到達する経路上の装置とを特定する。
The arrival
そして、到達確率算出部192は、脅威発生条件を満たすときの配置データベース15内の各記憶パターンにおいて各機密情報まで到達する「情報到達確率」を、論理演算(例えば、論理積ANDや論理和OR)を用いて算出する。そして、到達確率算出部192は、算出した情報到達確率をリスク分析部16へ出力する。
Then, the arrival
本実施形態では、到達確率算出部192は、発生条件決定部191からの脅威発生条件に基づいて特定した装置について、対策状況決定部183から出力されてきた有効度の値を「1」から減算した値を、システム2の外部からその装置まで到達できる「装置到達確率」として算出する。
In the present embodiment, the arrival
ただし、脅威発生条件を満たすために複数の機密情報を攻撃者が入手する必要があり、それらのうちの第1の機密情報に対する攻撃者からの経路の一部または全部と、第1の機密情報と異なる第2の機密情報に対する経路とが共通している場合、これらの経路上の共通部分に設けられている構成要素(装置)のセキュリティ対策(アクセス制御)は、第1の機密情報に対する攻撃と第2の機密情報に対する攻撃とのどちらか一方の攻撃に対してのみ有効となる。 However, it is necessary for the attacker to obtain a plurality of confidential information in order to satisfy the threat occurrence condition, and part or all of the path from the attacker to the first confidential information among them, and the first confidential information When the path for the second confidential information different from the above is common, the security measures (access control) of the component (device) provided in the common part on these paths are attacks on the first confidential information. It is effective only for either one of the attack on the second confidential information and the attack on the second confidential information.
この場合、到達確率算出部192は、第1の機密情報に対する経路と第2の機密情報に対する経路との共通部分に設けられた構成要素(装置)に対する装置到達確率の値として、「1」を算出する。
In this case, the arrival
換言すれば、特定の機密情報に対する情報到達確率は、攻撃者がどの構成要素まで到達したかという「条件」(事前状況)に応じて異なる。そのため、到達確率算出部192が算出する「情報到達確率」は、所定の条件を満たした上で機密情報に到達できる「条件付きの確率」に相当し、特定の機密情報に対する情報到達確率と、その機密情報以外の別の機密情報に対する情報到達確率とは、互いに独立した関係には立たず互いに従属的な関係にある。
In other words, the information arrival probability with respect to specific confidential information differs according to the “condition” (prior situation) indicating which component the attacker has reached. Therefore, the “information arrival probability” calculated by the arrival
到達確率算出部192は、各記憶パターンにおける到達確率に基づいて、ある脅威発生条件を満たすために必要となる全機密情報までの条件付きの「情報到達確率」を算出する。
The arrival
なお、ここでいう情報到達確率は、システム2の外部から機密情報へ至る経路上に設けられた構成要素のセキュリティ対策を攻撃者が突破することにより当該機密情報に到達されてしまう確率である。そのため、当該到達確率は、システム2に対する脅威が発生する「脅威発生確率」に相当する。
The information arrival probability here is the probability that the attacker will reach the confidential information when the attacker breaks through the security measures of the components provided on the path from the outside of the
また、実施形態3のリスク分析部16は、到達確率算出部192が算出した情報到達確率と、その記憶パターンが発生する発生確率と、資産的価値との乗算値を、リスク評価指標として算出する。なお、機密情報のそれぞれが有する資産的価値の決定方法は任意でよい。
Further, the
つまり、実施形態3においては、「リスク評価指標」は、「ある記憶パターンにおける情報到達確率」×「その記憶パターンが起こる発生確率」×「資産的価値」で表される。 That is, in the third embodiment, the “risk evaluation index” is represented by “information arrival probability in a certain storage pattern” × “probability of occurrence of the storage pattern” × “asset value”.
以下、実施形態3において、分析装置1Bがリスク評価指標を算出する具体例について詳細に説明する。
Hereinafter, in the third embodiment, a specific example in which the
なお、以下では、図5に示した運用ポリシーOPE1、つまり、PC2−3が復号鍵をインポートする場合にパスワード認証を行うことが定められている場合を例に挙げて説明する。また、以下では、暗号化ファイルをa、Webサーバ2−1上にある復号鍵をb、PC2−3内にある復号鍵をb’、インポートパスワードをcと表記する。 Hereinafter, the operation policy OPE1 illustrated in FIG. 5, that is, a case where password authentication is defined when the PC 2-3 imports a decryption key will be described as an example. In the following description, the encrypted file is denoted as a, the decryption key on the Web server 2-1 as b, the decryption key in the PC 2-3 as b ', and the import password as c.
この場合、記憶パターン特定部14は、ポリシー情報131に基づいて、保護対象が暗号化ファイルと復号鍵とインポートパスワードとであることを特定する。そして、記憶パターン特定部14は、構成情報121に基づいて、機密情報が配置される記憶パターンとして記憶パターンL1およびL2を特定する。そして、記憶パターン特定部14は、特定した記憶パターンを配置データベース15内の配置情報151へ書込む。
In this case, the storage
また、発生確率算出部141は、配置情報151内の記憶パターンとポリシー情報131内の情報存在確率とに基づいて、記憶パターンL1の発生確率として発生確率P1(L1)=0.2を算出し、記憶パターンL2の発生確率として発生確率P1(L2)=0.8を算出する。そして、発生確率算出部141は、発生確率を配置データベース15へ書込む。これは、運用ポリシーOPE1においては、PC2−3が暗号化ファイルaの復号化を終了した後の復号鍵b’の取り扱いについては定められていないため、復号鍵b’の記憶パターンとしては、記憶パターンL2が起こる発生確率が高いことを意味する。
Further, the occurrence
その後、対策状況決定部183は、セキュリティ対策情報182に記述されているセキュリティ対策のうちから、システム2内の構成要素(設置場所または装置)に実際に施されているセキュリティ対策と、そのセキュリティ対策の有効度とを特定する。
After that, the countermeasure
例えば、対策状況決定部183は、図18に示したセキュリティ対策情報182のうちから、セキュリティ対策の種類として、ファイアウォール2−4で外部からの受信パケットを制限する対策と、Webサーバ2−1へのログイン時にパスワード認証を行う対策と、PC2−3へのログオンパスワード(文字数制限なし)を設定する対策とを特定する。
For example, the countermeasure
さらに、対策状況決定部183は、これらのセキュリティ対策のそれぞれと対応付けられた有効度を特定して到達確率算出部192へ出力する。なお、図18の例では、ファイアウォール2−4による受信パケット制限の有効度は「0.9」であり、Webサーバ2−1によるログイン時のパスワード認証の有効度は「0.85」であり、PC2−3によるログオンパスワード(文字数制限なし)設定の有効度は「0.7」である。
Furthermore, the countermeasure
次に、発生条件決定部191は、ポリシー情報131に記述されている運用ポリシーに基づいて、システム2において想定される脅威発生条件を決定して到達確率算出部192へ出力する。
Next, the occurrence
この説明例では、攻撃者が、暗号化ファイルa、復号鍵b、インポートパスワードを同時に入手できた場合に限り、PC2−3内に存在する暗号化ファイルが不正に復号されてしまうという脅威が発生すると考えられる。そのため、発生条件決定部191は、PC2−3内の暗号化ファイルaへ到達できることと、PC2−3内の復号鍵b’またはWebサーバ2−1内の復号鍵bへ到達できることと、Webサーバ2−1内のインポートパスワードcへ到達できることとを、脅威発生条件として決定する。
In this example, there is a threat that the encrypted file existing in the PC 2-3 is illegally decrypted only when the attacker can obtain the encrypted file a, the decryption key b, and the import password at the same time. I think that. Therefore, the generation
なお、記憶パターンL2に対する脅威発生条件は、以下の式7で表すことができる。なお、式7における記号「∧」は論理積を表し、記号「∨」は論理和を表す。 The threat generation condition for the storage pattern L2 can be expressed by the following formula 7. In Expression 7, the symbol “∧” represents a logical product, and the symbol “∨” represents a logical sum.
また、記憶パターンL1に対する脅威発生条件は、以下の式8で表わすことができる。 Further, the threat generation condition for the storage pattern L1 can be expressed by the following Expression 8.
また、脅威発生条件は、機密情報に対する攻撃手順を示す役割を果たす。つまり、記憶パターンL1の例では、攻撃者は、まず暗号化ファイルaを入手してから、つぎに復号鍵bを入手し、その後にインポートパスワードcを入手するという手順で脅威を発生させることに相当する。また、記憶パターンL2の例では、攻撃者は、まず暗号化ファイルaを入手してから、つぎに復号鍵b’を入手し、その後にインポートパスワードcを入手するという手順で脅威を発生させることに相当する。 The threat generation condition plays a role of indicating an attack procedure for confidential information. In other words, in the example of the storage pattern L1, the attacker first generates the encrypted file a, then obtains the decryption key b, and then obtains the import password c, and then generates a threat. Equivalent to. In the example of the storage pattern L2, the attacker first generates the encrypted file a, then obtains the decryption key b ′, and then obtains the import password c, and then generates a threat. It corresponds to.
次に、到達確率算出部192は、記憶パターンL1において攻撃者が各機密情報まで到達できる情報到達確率と、記憶パターンL2において攻撃者が各機密情報まで到達できる情報到達確率とを求める。
Next, the arrival
なお、本実施形態では、機密情報への経路上に存在する構成要素が当該機密情報以外の機密情報へ到達するときにすでに通過したものである場合、その構成要素の有効度は「0」(すなわち、装置到達確率は1)として、当該機密情報への情報到達確率を算出する。 In the present embodiment, if a component existing on the route to the confidential information has already passed when reaching the confidential information other than the confidential information, the validity of the component is “0” ( That is, the apparatus arrival probability is 1), and the information arrival probability for the confidential information is calculated.
これは、ある構成要素(例えば、ファイアウォール2−4)の下位にそれぞれ並列して存在する複数の装置への装置到達確率については、一度、上位の構成要素(ファイアウォール2−4)に施されたアクセス制御を突破してシステム2の内部に侵入できれば、それ以後、その構成要素の下位の装置まで到達できてしまうためである。
This was once applied to the upper component (firewall 2-4) with respect to the device arrival probability to a plurality of devices existing in parallel below the certain component (for example, the firewall 2-4). This is because if the access control can be broken and the
そのため、本実施形態では、脅威発生条件として、各機密情報への攻撃が行われる順序や手順も考慮した上で、リスク評価指標を算出する。このように複数の機密情報までの情報到達確率を算出することで、攻撃発生の手順まで含めてモデル化することが可能である。 Therefore, in the present embodiment, the risk evaluation index is calculated in consideration of the order and procedure in which attacks are performed on each confidential information as the threat generation condition. In this way, by calculating the information arrival probability up to a plurality of confidential information, it is possible to model including the procedure of attack occurrence.
その後、到達確率算出部192は、システム2の外部からシステム2内の装置それぞれに到達する装置到達確率に基づいて、条件付きの情報到達確率を算出する。
Thereafter, the arrival
まず、外部の攻撃者からPC2−3内の暗号化ファイルaまでの経路上に存在するセキュリティ対策(アクセス制御)が施された構成要素(装置)は、ファイアウォール2−4、PC2−3である。 First, components (apparatuses) to which security measures (access control) exist on the path from an external attacker to the encrypted file a in the PC 2-3 are the firewall 2-4 and the PC 2-3. .
対策状況決定部183は、ファイアウォール2−4におけるセキュリティ対策の有効度は「0.9」であり、PC2−3におけるセキュリティ対策の有効度は「0.7」である。
In the countermeasure
そのため、到達確率算出部192は、「1」から各有効度を減算した値を、装置到達確率として算出する。つまり、到達確率算出部192は、ファイアウォール2−4に対する装置到達確率として「0.1」(=1−0.9)を算出し、PC2−3に対する装置到達確率として「0.3」(=1−0.7)を算出する。
Therefore, the arrival
そして、到達確率算出部192は、外部から暗号化ファイルaまでの情報到達確率として、「0.1×0.3」を算出する。
Then, the arrival
つぎに、到達確率算出部192は、外部から復号鍵b’までの情報到達確率を算出する。なお、外部から復号鍵b’までの経路上に存在する構成要素は、ファイアウォール2−4およびPC2−3である。
Next, the arrival
ここで、セキュリティ対策情報182が示す有効度を「1」から減算した場合、ファイアウォール2−4に対する到達確率は「0.1」であり、PC2−3に対する到達確率は「0.3」である。
Here, when the effectiveness indicated by the
しかし、上述した暗号化ファイルaまでの情報到達確率を算出する際、すでにこれらの装置に対する装置到達確率の値「0.1」、「0.3」を用いている。そのため、到達確率算出部192は、復号鍵b’までの情報到達確率を算出する場合、両構成要素(ファイアウォール2−4およびPC2−3)までの各装置到達確率として、「1」をそれぞれ算出する。
However, when calculating the information arrival probability up to the encrypted file a described above, the device arrival probability values “0.1” and “0.3” for these devices are already used. Therefore, when calculating the information arrival probability up to the decryption key b ′, the arrival
これは、外部から暗号化ファイルaまで到達する際、ファイアウォール2−4、PC2−3それぞれのアクセス制御はすでに突破されているという観点からである。すなわち、外部の攻撃者がPC2−3内の暗号化ファイルaへ到達可能である場合、その攻撃者は同じ構成要素(PC2−3)に存在する機密情報(復号鍵b’)へ到達することが可能であり、暗号化ファイルaへの経路と復号鍵b’への経路との共通部分にあるアクセス制御機能は意味をなさないためである。 This is because the access control of each of the firewall 2-4 and the PC 2-3 has already been broken when the encrypted file a is reached from the outside. That is, if an external attacker can reach the encrypted file a in the PC 2-3, the attacker must reach the confidential information (decryption key b ′) existing in the same component (PC2-3). This is because the access control function in the common part of the path to the encrypted file a and the path to the decryption key b ′ does not make sense.
よって、外部から暗号化ファイルaまですでに到達されているという状況下では、外部から復号鍵b’までの到達確率は、ファイアウォール2−4までの装置到達確率「1」とPC2−3までの装置到達確率「1」との乗算値「1×1」となる。 Therefore, under the situation where the encrypted file a has already been reached from the outside, the arrival probability from the outside to the decryption key b ′ is the device arrival probability “1” to the firewall 2-4 and the device to the PC 2-3. The multiplication value “1 × 1” with the arrival probability “1” is obtained.
つぎに、到達確率算出部192は、外部からWebサーバ2−1上の復号鍵bまでの情報到達確率を算出する。なお、外部から復号鍵bまでの経路上に存在する構成要素(装置)は、ファイアウォール2−4およびWebサーバ2−1である。
Next, the arrival
ここで、セキュリティ対策情報182が示す有効度を「1」から減算した場合、ファイアウォール2−4に対する装置到達確率は「0.1」である。しかし、上述した暗号化ファイルaまたは復号鍵b’までの情報到達確率を算出する際、ファイアウォール2−4に対する装置到達確率「0.1」をすでに用いている。そのため、到達確率算出部192は、復号鍵bまでの情報到達確率を算出する場合、ファイアウォール2−4までの装置到達確率として「1」を算出する。
Here, when the effectiveness indicated by the
また、対策状況決定部183は、Webサーバ2−1におけるセキュリティ対策の有効度は「0.85」として決定する。そのため、到達確率算出部192は、「1」から当該有効度「0.85」を減算した値「0.15」を、Webサーバ2−1に対する装置到達確率として算出する。
Further, the countermeasure
そして、到達確率算出部192は、外部から復号鍵bまでの情報到達確率として、「1×0.15」を算出する。
Then, the arrival
さらに、到達確率算出部192は、外部からインポートパスワードcまでの情報到達確率を算出する。
Furthermore, the arrival
なお、外部からインポートパスワードcまでの経路上に存在する構成要素は、ファイアウォール2−4およびWebサーバ2−1である。インポートパスワードcへの経路における構成要素は、Webサーバ2−1上の復号鍵bへの経路における構成要素と同じである。そのため、bまで到達された場合、インポートパスワードcに対する到達確率を算出するときの各構成要素への装置到達確率として、それぞれ「1」を用いる必要がある。よって、外部から復号鍵bまではすでに到達されているという状況下においては、到達確率算出部192は、外部からインポートパスワードcまでの情報到達確率を「1×1」に算出する。
Note that the components existing on the path from the outside to the import password c are the firewall 2-4 and the Web server 2-1. The components in the route to the import password c are the same as the components in the route to the decryption key b on the Web server 2-1. Therefore, when reaching b, it is necessary to use “1” as the device arrival probability for each component when calculating the arrival probability for the import password c. Therefore, in a situation where the decryption key b has already been reached from the outside, the arrival
一方、復号鍵を入手するために、Webサーバ2−1内の復号鍵bではなく、PC2−3内の復号鍵b’を入手するという攻撃経路が利用された場合、すでに突破された構成要素はファイアウォール2−4のみであり、Webサーバ2−1におけるアクセス制御は有効なままである。 On the other hand, in order to obtain the decryption key, when the attack path of obtaining the decryption key b ′ in the PC 2-3 instead of the decryption key b in the Web server 2-1 is used, the already broken component Is only the firewall 2-4, and the access control in the Web server 2-1 remains valid.
この場合、到達確率算出部192は、ファイアウォール2−4への装置到達確率として「1」を算出するとともに、ファイアウォール2−4からWebサーバ2−1への装置到達確率として、セキュリティ対策情報182内の有効度「0.85」を「1」から減算した値「0.15」を算出する。
In this case, the arrival
これは、インポートパスワードcまでの到達確率は、復号鍵に対する到達経路として、ファイアウォール2−4からPC2−3へ到達した場合、またはファイアウォール2−4からWebサーバ2−1へ到達した場合に応じて変化するため、両方の場合を考慮する必要があるからである。よって、外部からPC2−3まではすでに到達されているが、Webサーバ2−1までは到達されていないという状況下においては、到達確率算出部192は、外部からインポートパスワードcまでの情報到達確率として「1×0.15」を算出する。
This is because the arrival probability up to the import password c depends on when the firewall 2-4 reaches the PC 2-3 as the arrival path for the decryption key or when the firewall 2-4 reaches the Web server 2-1. This is because both cases need to be taken into account. Therefore, in a situation where the PC 2-3 has already been reached from the outside but not the Web server 2-1, the arrival
以上をまとめると、この説明例では、到達確率算出部192は、それぞれの機密情報までの条件付きの情報到達確率として、以下の式9に示す値を算出する。
In summary, in this illustrative example, the arrival
なお、式9のなかのP(b’|a)は、暗号化ファイルaまで到達されているという条件の下で復号鍵b’まで到達できるという条件付きの情報到達確率を表す。 Note that P (b ′ | a) in Equation 9 represents a conditional information arrival probability that the decryption key b ′ can be reached under the condition that the encrypted file a has been reached.
続いて、リスク分析部16は、記憶パターンL1、L2において脅威発生条件が満たされる確率(リスク評価指標)を、到達確率算出部192が算出した到達確率に対する論理演算(論理積AND、論理和OR)により算出する。本実施例では、それぞれの記憶パターンL1、L2における各リスク評価指標R(L1)、R(L2)は、以下の式10に示す値となる。
Subsequently, the
以上より、運用ポリシーOPE1に対して脅威が発生するリスク評価指標R1は、以下の式11に示す値となる。
As described above, the risk evaluation index R1 that causes a threat to the operation policy OPE1 has a value represented by the following
つぎに、上述した運用ポリシーOPE1に加えて、「復号鍵をインポートした場合、その復号鍵を直ちに削除する」という運用ポリシーOPE2が定められている場合のリスク評価指標の算出方法について説明する。 Next, in addition to the above-described operation policy OPE1, a method for calculating a risk evaluation index when an operation policy OPE2 that “when a decryption key is imported, the decryption key is immediately deleted” is defined will be described.
この場合、当該運用ポリシーOPE2がシステム2において遵守されていれば、復号鍵b’がPC2−3内に存在することはない。なお、以下では、運用ポリシーOPE2の有効度が「0.9」である場合を例に挙げて説明する。
In this case, if the operation policy OPE2 is observed in the
つまり、運用ポリシーOPE2に対する脅威発生のリスク評価指標R2を算出する場合、記憶パターンL1が起こる発生確率を、式11中のP1(L1)に代えてP2(L1)=0.9と変更すればよい。また、この場合、記憶パターンL2が起こる発生確率を、式11中のP1(L2)に代えてP2(L2)=0.1と変更すればよい。
That is, when calculating the risk evaluation index R2 for the occurrence of a threat to the operation policy OPE2, if the occurrence probability of the storage pattern L1 is changed to P2 (L1) = 0.9 instead of P1 (L1) in
つまり、運用ポリシーOPE2に変更した後の脅威発生のリスク評価指標R2は、以下の式12に示すように変化する。
That is, the risk evaluation index R2 of the threat occurrence after changing to the operation policy OPE2 changes as shown in the following
なお、式12に示したR(L1)およびR(L2)それぞれの値としては、リスク分析部16が算出したリスク評価指標を用いればよい。これにより、運用ポリシーOPE1に加えて運用ポリシーOPE2を新たに定めたことにより記憶パターンL1、L2が起こる発生確率が変化した場合でも、それに伴って変化したリスク評価指標の値を算出することが可能である。
In addition, as each value of R (L1) and R (L2) shown in
つぎに、実施形態3の分析装置1Bがリスク評価指標を算出する動作について、図19に示すフローチャートを参照して説明する。
Next, an operation in which the
まず、分析装置1Bの取得部11は、システム2内の各装置から当該装置の設定情報を取得する。そして、図19に示すステップ51にて、取得部11は、設定情報に基づいて、これらの装置間の通信接続関係と、各装置の設置場所とを示す構成情報121を生成し、構成データベース12へ書込む。
First, the
続いて、記憶パターン特定部14は、機密情報に対して定められている運用ポリシーOPE1〜OPE3を参照する。そして、ステップ52にて、記憶パターン特定部14は、ポリシー情報131内の運用ポリシーに対応する機密情報の種類を特定して配置情報151へ書込む。
Subsequently, the storage
また、ステップ53にて、記憶パターン特定部14は、ポリシー情報131内でこれらの機密情報と対応付けられている情報配置関係が示す装置、つまり、機密情報が配置される装置をそれぞれ特定する。
Further, in
さらに、記憶パターン特定部14は、構成情報121を用いて、機密情報が配置される装置に対して通信接続関係を有する装置すべてを特定する。これにより、ステップ54にて、記憶パターン特定部14は、構成情報121とポリシー情報131とに基づいて、ポリシー情報131内の運用ポリシーOPE1〜OPE3に従った場合にシステム2において起こり得る機密情報のすべての記憶パターンを特定する。
Furthermore, the storage
そして、ステップ55にて、発生確率算出部141は、ポリシー情報131内の機密情報の情報存在確率に基づいて、配置情報151へ書込まれた記憶パターンがシステム2において起こる発生確率を算出する。
In
続いて、ステップ56にて、対策状況決定部183は、セキュリティ対策情報182に基づいて、システム2内の各構成要素に実際に施されているセキュリティ対策とその有効度とを特定して到達確率算出部192へ出力する。
Subsequently, at
続いて、ステップ57にて、発生条件決定部191は、ポリシー情報131に記述されている運用ポリシーに基づいて、システム2において想定される脅威発生条件を決定して到達確率算出部192へ出力する。
Subsequently, in
すると、ステップ58にて、到達確率算出部192は、攻撃者から特定の機密情報までの経路上に存在するセキュリティ対策が施された構成要素を特定する。
Then, in
続いて、ステップ59にて、到達確率算出部192は、その構成要素が、特定の機密情報以外の他の機密情報への経路上にも存在するかどうかを判別する。
Subsequently, at
この判別の結果、その構成要素が他の機密情報への経路上には存在しないと判別した場合、ステップ510にて、到達確率算出部192は、対策状況決定部183から出力されてきた有効度を、その構成要素の有効度として算出する。
If it is determined that the component does not exist on the route to other confidential information as a result of the determination, the arrival
一方、ステップ511にて、その構成要素が他の機密情報への経路上にも存在すると判別した場合、到達確率算出部192は、その構成要素の有効度として「0」を算出する。
On the other hand, when it is determined in
ステップ512にて、攻撃者と機密情報との経路上に存在するすべての構成要素について有効度の算出が完了したと判別するまで、到達確率算出部192は、上述したステップ58〜ステップ511の処理を繰り返す。
Until it is determined in
その後、到達確率算出部192は、機密情報への経路上に存在する構成要素それぞれの有効度に基づいて、当該構成要素までの装置到達確率を算出する。
Thereafter, the arrival
さらに、ステップ513にて、到達確率算出部192は、それぞれの構成要素の装置到達確率に対する論理演算(論理積AND、論理和OR)により、脅威発生条件を満たすために必要となるすべての機密情報に対する条件付きの情報到達確率を算出する。
Further, at
そして、ステップ514にて、リスク分析部16は、この情報到達確率と、配置情報151内の記憶パターンが起こる発生確率とを乗算することで、システム2の運用ポリシーに対して脅威が発生するリスク評価指標を算出する。なお、リスク分析部16は、情報到達確率と発生確率との乗算値に、さらに機密情報の資産的価値を乗算した値を、リスク評価指標として算出してもよい。
In
以上で、実施形態3の分析装置1Bがリスク評価指標を算出するときの一連の動作が終了する。
Thus, a series of operations when the
以上説明したように、実施形態3によれば、ある記憶パターンにおける一定のリスク評価指標とその記憶パターンが起こる確率との期待値を用いて、リスク評価指標を算出する。 As described above, according to the third embodiment, a risk evaluation index is calculated using an expected value of a certain risk evaluation index in a certain memory pattern and the probability that the memory pattern will occur.
これにより、システム2の運用状況によって流動的に変化するセキュリティリスクを評価することが可能となる。
As a result, it is possible to evaluate a security risk that changes in a fluid manner depending on the operation status of the
また、実施形態3によれば、攻撃者が機密情報に到達するまでの攻撃経路を考慮して、脅威が発生する条件付きの到達確率を算出することで、独立事象でない従属的に発生する事象についてのリスク評価指標を適切に取り扱うことができる。 In addition, according to the third embodiment, an event that occurs in a subordinate manner that is not an independent event is calculated by calculating a conditional arrival probability that a threat occurs in consideration of an attack path until the attacker reaches the confidential information. It is possible to appropriately handle risk assessment indicators for.
なお、本発明の要旨を逸脱しない範囲で各種の変形が可能である。 Various modifications can be made without departing from the scope of the present invention.
取得部11の機能は、システム2内の各装置の構成を検査するための一般的な検査・管理ツールを用いて実現するようにしてもよい。
The function of the
また、取得部11は、検査・管理ツールなどを用いて自動的に取得できない情報については、分析を行う利用者から当該情報の入力を受け付けるようにしてもよい。
The
例えば、取得部11は、通信接続関係を示す設定情報を検査・管理ツールを用いて取得可能であり、装置配置関係を示す情報を検査・管理ツールを用いて取得できない場合、通信接続関係を示す設定情報を検査・管理ツールを用いて自動的に取得するとともに、装置配置関係を示す設定情報の入力を利用者から受付けるようにしてもよい。
For example, the
また、上述した実施形態では、想定する脅威として「情報が外部の攻撃者に読まれること(情報漏洩)」を例に挙げ、脅威発生条件として「外部の攻撃者が暗号化ファイルを復号できること」を例に挙げて説明した。しかしながら、本発明の分析装置1Bは、機密情報の改竄や機密情報に対するコンピュータウイルスの感染などに代表されるセキュリティに対する脅威となる任意の事象を取り扱うことが可能である。この場合、保護対象となる機密情報や脅威発生条件を状況に応じて変更すればよい。
Further, in the above-described embodiment, an example is “information is read by an external attacker (information leakage)” as an assumed threat, and “an external attacker can decrypt an encrypted file” as a threat occurrence condition. Was described as an example. However, the
なお、本発明においては、分析装置1内の処理は上述の専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを分析装置1にて読取可能な記録媒体に記録し、この記録媒体に記録されたプログラムを分析装置1に読み込ませ、実行するものであってもよい。分析装置1にて読取可能な記録媒体とは、フロッピーディスク(登録商標)、光磁気ディスク、DVD、CDなどの移設可能な記録媒体の他、分析装置1に内蔵されたHDD等を指す。この記録媒体に記録されたプログラムは、例えば、分析装置1が有する記憶パターン特定部14、発生確率算出部141およびリスク分析部16にて読み込まれ、記憶パターン特定部14、発生確率算出部141およびリスク分析部16の制御によって、上述したものと同様の処理が行われる。
In the present invention, the processing in the
ここで、分析装置1が有する記憶パターン特定部14、発生確率算出部141およびリスク分析部16は、プログラムが記録された記録媒体から読み込まれたプログラムを実行するコンピュータとして動作するものである。
Here, the storage
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明の要旨を逸脱しない範囲で当業者が理解し得る各種の変形が可能である。 The present invention has been described above with reference to the embodiments, but the present invention is not limited to the above embodiments. Various modifications that can be understood by those skilled in the art can be made to the configuration and details of the present invention without departing from the gist of the present invention.
1、1A、1B 分析装置
11 取得部
12 構成データベース
13 ポリシーデータベース
14 記憶パターン特定部
141 発生確率算出部
15 配置データベース
16 リスク分析部
171 基準配置データベース
172 基準パターン情報
173 遷移配置データベース
174 遷移パターン情報
181 対策データベース
182 セキュリティ対策情報
183 対策状況決定部
191 発生条件決定部
192 到達確率算出部
2 システム
2−1、2−2 Webサーバ
2−3 PC
2−4 ファイアウォール
DESCRIPTION OF
2-4 Firewall
Claims (6)
前記複数の装置の通信接続関係および該装置の設置場所を示す構成情報を記憶する構成データベースと、
前記構成情報と前記機密情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記複数の装置のうち、前記機密情報が記憶される可能性がある装置を示すパターンである記憶パターンを全て特定する記憶パターン特定部と、
前記運用ポリシーと、前記機密情報に対する全記憶パターンのうち、基準状態として予め定められた記憶パターンである基準記憶パターンと、前記運用ポリシーに従った場合に、前記基準記憶パターンが遷移可能な他の記憶パターンである遷移記憶パターンと、前記基準記憶パターンから前記遷移記憶パターンへ遷移する確率である遷移確率とを記憶する配置データベースと、
前記遷移確率に基づいて、前記機密情報の前記記憶パターンの発生確率を算出する発生確率算出部と、
前記発生確率および前記機密情報の重要度に基づいて、前記機密情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析部と、
を有する分析装置。 An analysis device connected to a system composed of a plurality of devices for storing confidential information,
A configuration database that stores configuration information indicating the installation location of the communication connection relationship and the device of the plurality of devices,
Based on the configuration information and the operation policy indicating the operation of the device with respect to the confidential information, all the storage patterns that are the patterns indicating the devices that may store the confidential information among the plurality of devices are identified. A memory pattern specifying unit to perform,
Among the operation policy, a reference storage pattern that is a predetermined storage pattern as a reference state among all storage patterns for the confidential information, and another reference to which the reference storage pattern can transition when the operation policy is followed An arrangement database that stores a transition memory pattern that is a memory pattern and a transition probability that is a probability of transition from the reference memory pattern to the transition memory pattern;
An occurrence probability calculation unit for calculating an occurrence probability of the storage pattern of the confidential information based on the transition probability;
A risk analysis unit that calculates a risk evaluation index indicating a degree of risk that the confidential information leaks out of the system based on the occurrence probability and the importance of the confidential information ;
Analytical apparatus having
前記複数の装置のそれぞれから該装置が接続されている装置と該装置の設置場所とを示す設定情報を取得し、該設定情報に基づいて前記構成情報を生成する取得部を有することを特徴とする分析装置。 The analyzer according to claim 1 ,
A setting unit that acquires setting information indicating a device to which the device is connected and an installation location of the device from each of the plurality of devices, and generates the configuration information based on the setting information; Analysis equipment.
前記分析装置の記憶パターン特定部が、前記複数の装置の通信接続関係および該装置の設置場所を示す構成情報と前記機密情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記複数の装置のうち、前記機密情報が記憶される可能性がある装置を示すパターンである記憶パターンを全て特定し、
前記分析装置の発生確率算出部が、前記機密情報に対する全記憶パターンのうち、基準状態として予め定められた記憶パターンである基準記憶パターンが、前記運用ポリシーに従った場合に、前記基準記憶パターンが遷移可能な他の記憶パターンである遷移記憶パターンへ遷移する確率である遷移確率に基づいて、前記機密情報の前記記憶パターンの発生確率を算出し、
前記分析装置のリスク分析部が、前記発生確率および前記機密情報の重要度に基づいて、前記機密情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出する、分析方法。 An analysis method by an analyzer connected to a system composed of a plurality of devices for storing confidential information,
Storing pattern specifying unit of the analyzer, based on the management policy showing the operation of the device for the configuration information and the confidential information that indicates the location of communication connection relations and the apparatus of said plurality of devices, said plurality of of the devices, to identify all the memory patterns the confidential information is a pattern showing a device which may be stored,
If the reference storage pattern, which is a storage pattern predetermined as a reference state among all the storage patterns for the confidential information, is in accordance with the operation policy, the occurrence probability calculation unit of the analysis apparatus determines that the reference storage pattern is Based on a transition probability that is a probability of transition to a transition storage pattern that is another transitionable memory pattern, the probability of occurrence of the storage pattern of the confidential information is calculated,
Risk analysis portion of the analyzer, based on the importance of the probability and the confidential information, the confidential information you calculate the risk evaluation index indicating the degree of risk of leakage to the outside of the system, minute析方method.
前記分析装置の取得部が、前記複数の装置のそれぞれから該装置が接続されている装置と該装置の設置場所とを示す設定情報を取得し、該設定情報に基づいて前記構成情報を生成する取得処理を行うことを特徴とする分析方法。 The analysis method according to claim 3 ,
The acquisition unit of the analysis device acquires setting information indicating a device to which the device is connected and an installation location of the device from each of the plurality of devices, and generates the configuration information based on the setting information An analysis method characterized by performing an acquisition process.
前記複数の装置の通信接続関係および該装置の設置場所を示す構成情報と前記機密情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記複数の装置のうち、前記機密情報が記憶される可能性がある装置を示すパターンである記憶パターンを全て特定する記憶パターン特定手順と、
前記機密情報に対する全記憶パターンのうち、基準状態として予め定められた記憶パターンである基準記憶パターンが、前記運用ポリシーに従った場合に、前記基準記憶パターンが遷移可能な他の記憶パターンである遷移記憶パターンへ遷移する確率である遷移確率に基づいて、前記機密情報の前記記憶パターンの発生確率を算出する発生確率算出手順と、
前記発生確率および前記機密情報の重要度に基づいて、前記機密情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析手順とを実行させるためのプログラム。 To an analyzer connected to a system composed of multiple devices that store confidential information,
Based on the management policy showing the operation of the device for the configuration information and the confidential information that indicates the location of communication connection relationship and the device of the plurality of devices, among the plurality of devices, the confidential information is stored A memory pattern specifying procedure for specifying all memory patterns, which are patterns indicating devices that may be
Transition among other storage patterns to which the reference storage pattern can transition when a reference storage pattern that is a predetermined storage pattern as a reference state is in accordance with the operation policy among all storage patterns for the confidential information An occurrence probability calculation procedure for calculating an occurrence probability of the storage pattern of the confidential information based on a transition probability that is a probability of transition to a storage pattern;
A program for executing a risk analysis procedure for calculating a risk evaluation index indicating a degree of risk that the confidential information leaks out of the system based on the occurrence probability and the importance of the confidential information.
前記記憶パターン特定手順の前に、
前記複数の装置のそれぞれから該装置が接続されている装置と該装置の設置場所とを示す設定情報を取得し、該設定情報に基づいて前記構成情報を生成する取得手順を前記分析装置に実行させることを特徴とするプログラム。 The program according to claim 5 ,
Before the memory pattern specifying procedure,
Acquisition of setting information indicating the device to which the device is connected and the installation location of the device from each of the plurality of devices, and executing the acquisition procedure for generating the configuration information based on the setting information in the analysis device A program characterized by letting
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009168889A JP5413010B2 (en) | 2009-07-17 | 2009-07-17 | Analysis apparatus, analysis method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009168889A JP5413010B2 (en) | 2009-07-17 | 2009-07-17 | Analysis apparatus, analysis method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011022903A JP2011022903A (en) | 2011-02-03 |
| JP5413010B2 true JP5413010B2 (en) | 2014-02-12 |
Family
ID=43632910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009168889A Active JP5413010B2 (en) | 2009-07-17 | 2009-07-17 | Analysis apparatus, analysis method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5413010B2 (en) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130018921A1 (en) * | 2011-07-13 | 2013-01-17 | International Business Machines Corporation | Need-to-know information access using quantified risk |
| JP6047463B2 (en) * | 2013-08-21 | 2016-12-21 | 日立オートモティブシステムズ株式会社 | Evaluation apparatus and method for evaluating security threats |
| JP6384465B2 (en) * | 2015-12-15 | 2018-09-05 | 三菱電機株式会社 | Threat analysis device, threat analysis method, and threat analysis program |
| RU2634181C1 (en) * | 2016-06-02 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | System and method for detecting harmful computer systems |
| JP6324646B1 (en) * | 2016-06-20 | 2018-05-16 | 三菱電機株式会社 | Security measure determining device, security measure determining method, and security measure determining program |
| US10491626B1 (en) * | 2016-06-30 | 2019-11-26 | Symantec Corporation | Dynamically ranking and presentation of endpoints based on age of symptoms and importance of the endpoint in the environment |
| JP7352345B2 (en) * | 2018-11-28 | 2023-09-28 | キヤノン電子株式会社 | Information processing device, its control method, information processing system, and program |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4663484B2 (en) * | 2005-04-25 | 2011-04-06 | 株式会社日立製作所 | System security design / evaluation support tool, system security design support tool, system security design / evaluation support program, and system security design support program |
| JP5304243B2 (en) * | 2006-07-06 | 2013-10-02 | 日本電気株式会社 | Security risk management system, apparatus, method, and program |
| JP5125069B2 (en) * | 2006-11-16 | 2013-01-23 | 日本電気株式会社 | Security risk management system, security risk management method, and security risk management program |
| JP5145907B2 (en) * | 2007-12-04 | 2013-02-20 | 日本電気株式会社 | Security operation management system, method, and program |
| JP2009146260A (en) * | 2007-12-17 | 2009-07-02 | Konica Minolta Holdings Inc | Security evaluating method, and information processor |
-
2009
- 2009-07-17 JP JP2009168889A patent/JP5413010B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2011022903A (en) | 2011-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Karie et al. | A review of security standards and frameworks for IoT-based smart environments | |
| Diogenes et al. | Cybersecurity-attack and defense strategies: Infrastructure security with red team and blue team tactics | |
| US10154066B1 (en) | Context-aware compromise assessment | |
| JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
| US10771260B2 (en) | Systems and methods for digital certificate security | |
| JP6703616B2 (en) | System and method for detecting security threats | |
| US11206281B2 (en) | Validating the use of user credentials in a penetration testing campaign | |
| JP5413010B2 (en) | Analysis apparatus, analysis method, and program | |
| Song et al. | An analysis of technical security control requirements for digital I&C systems in nuclear power plants | |
| US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
| Kandasamy et al. | Digital healthcare-cyberattacks in asian organizations: an analysis of vulnerabilities, risks, nist perspectives, and recommendations | |
| Koch et al. | Attack trends in present computer networks | |
| Almulhem | Threat modeling for electronic health record systems | |
| EP4182823A1 (en) | Threat analysis and risk assessment for cyber-physical systems based on physical architecture and asset-centric threat modeling | |
| Bhuiyan et al. | API vulnerabilities: Current status and dependencies | |
| Alqudhaibi et al. | Cybersecurity 4.0: safeguarding trust and production in the digital food industry era | |
| Shravan et al. | Penetration Testing: A Review | |
| Sukhram et al. | Keystroke logs: are strong passwords enough? | |
| JP7078562B2 (en) | Computer system, analysis method of impact of incident on business system, and analysis equipment | |
| Kumar et al. | Generic security risk profile of e-governance applications—A case study | |
| Alsharabi et al. | Analysis of ransomware using reverse engineering techniques to develop effective countermeasures | |
| Möller et al. | Introduction to Cybersecurity | |
| CN117290823B (en) | APP intelligent detection and safety protection method, computer equipment and medium | |
| NOAH et al. | Security Risks Posed By Internet of things Among Home Users in Tanzania | |
| US20240163261A1 (en) | Dynamic authentication attack detection and enforcement at network, application, and host level |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120611 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130627 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130716 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130917 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131015 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131028 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5413010 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |