JP6407184B2 - 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム - Google Patents
攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム Download PDFInfo
- Publication number
- JP6407184B2 JP6407184B2 JP2016050471A JP2016050471A JP6407184B2 JP 6407184 B2 JP6407184 B2 JP 6407184B2 JP 2016050471 A JP2016050471 A JP 2016050471A JP 2016050471 A JP2016050471 A JP 2016050471A JP 6407184 B2 JP6407184 B2 JP 6407184B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- detection
- countermeasure
- information
- organization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
ここで、検知と対策について説明する。
検知は攻撃手段を見つけることである。具体例として、攻撃パケットをIDS(Intrusion・Detection・System)で検知することが該当する。
対策は、実施することでその攻撃手段が実行されても被害を受けない施策である。具体例として、ソフトウェアの脆弱性修正パッチを適用することで、その脆弱性への攻撃が発生しても影響を受けないような、パッチ適用が該当する。
また、マルウェアについては、アンチマルウェアソフトで検知して駆除する場合がある。この施策は検知と対策の両方を含んだものである。
以後、検知、対策という文言は、上記の様な意味で使用するものとする。
さらに、ある攻撃手段について、その攻撃手段を検知する機能があるセキュリティ製品や検知技術を検知・対策として適用したとしても、その方法によっては、検知漏れが発生する場合がある。具体例として、プログラムの不審な振る舞いを検知することでウィルスなどの不正プログラムを検知する製品があったとしても、不正プログラムが正常なプログラムに似た振る舞いの範囲で不正な活動をすれば検知漏れすることがある。また、誤検知が多い製品の場合は、一定時間内に同じ検知アラートが閾値回数以上発生した場合にのみ、攻撃を検知したと判断する運用があり、この条件を満たさない攻撃は検知漏れすることになる。従って、攻撃手段について、検知・対策を実施していても、検知漏れする場合があるため、検知を強化する必要がある。
特許文献1では、現在発生している攻撃手段について、契約している検知・対策サービスメニューを、予め用意された別の検知・対策サービスメニューの中から適切なものに変更することで、対応することが示されている。しかし、用意している検知・対策サービスメニューについて、検知漏れや誤検知を考慮したうえでこれらを強化する方式については示されていない。
サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成部と、
前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定部と
を備えた。
***構成の説明***
図1を用いて、本実施の形態に係る対策状況生成装置1、攻撃事例判定装置2、対策候補抽出装置3の関係について説明する。
対策状況生成装置1は、攻撃情報11に対して、検知対策手段情報12、組織対策情報15、攻撃事例情報13、及び重みづけ情報14を用いて、対策状況情報16を出力する。攻撃情報11は、攻撃手段に関する情報である。検知対策手段情報12は、検知漏れ、誤検知可能性の情報を含む検知・対策の情報である。組織対策情報15は、対策状況生成装置1により攻撃への対策状況を調査する対象の組織における実施済の対策情報である。攻撃事例情報13は、サイバー攻撃の事例情報である。重みづけ情報14は、危険度を判定するための情報である。対策状況情報16は、攻撃情報11に含まれる攻撃手段に対する組織の対策状況に対する評価判定を含む情報である。
本実施の形態において、対策状況生成装置1は、コンピュータである。対策状況生成装置1は、プロセッサ910、記憶装置920、入力インタフェース930、出力インタフェース940といったハードウェアを備える。
また、対策状況生成装置1は、機能構成として、攻撃情報生成部101と、検知情報生成部102と、危険度判定部103と、対策状況判定部104と、対策状況出力部105、記憶部150とを備える。以下の説明では、対策状況生成装置1における攻撃情報生成部101と、検知情報生成部102と、危険度判定部103と、対策状況判定部104と、対策状況出力部105との機能を、対策状況生成装置1の「部」の機能という。対策状況生成装置1の「部」の機能は、ソフトウェアで実現される。
また、記憶部150は、記憶装置920で実現される。記憶部150には、攻撃手段情報111と、攻撃検知情報121と、攻撃検知危険度情報131とが記憶される。対策状況出力部105により出力される対策状況情報16が記憶されていてもよい。
プロセッサ910は、プロセッシングを行うIC(Integrated・Circuit)である。プロセッサ910は、具体的には、CPU(Central・Processing・Unit)である。
なお、「部」の機能を実現するプログラムを攻撃対策判定プログラム520ともいう。攻撃対策判定プログラムは、「部」として説明している機能を実現するプログラムである。また、攻撃対策判定プログラムプロダクトと称されるものは、攻撃対策判定プログラムが記録された記憶媒体及び記憶装置であり、見た目の形式に関わらず、コンピュータ読み取り可能なプログラムをロードしているものである。
図3は、本実施の形態に係る攻撃対策判定方法510及び攻撃対策判定プログラム520の攻撃対策判定処理S100のフロー図である。
図3に示すように、攻撃対策判定処理S100は、攻撃情報生成処理S110と、検知情報生成処理S120と、危険度判定処理S130と、対策状況判定処理S140と、対策状況出力処理S150とを有する。
図4を用いて、本実施の形態に係る攻撃情報生成処理S110の入出力の構成について説明する。
攻撃情報生成部101は、サイバー攻撃の攻撃手段を表現したCAPECなどの複数の攻撃情報11を入力とし、攻撃手段情報111を出力する。攻撃情報11は、攻撃手段ID、攻撃名称、説明文、重大度、検知・対策、影響を受けるソフトウェア名の情報などで構成される。本実施の形態では、攻撃情報生成部101は、1つの攻撃情報11から、攻撃手段ID、攻撃名称、説明文を抽出して、攻撃手段情報111において1行の情報として記録する。1行の情報をエントリともいう。この処理を全ての攻撃情報11について行う。この結果、攻撃情報生成部101は図4に示す攻撃手段情報111を出力する。図4では、攻撃手段情報111を表として表現している。なお、少なくとも攻撃手段ID或いは攻撃名称のいずれかからサイバー攻撃の攻撃手段21が特定されるものとする。説明文は単に説明ともいう。
ステップS111において、攻撃情報生成部101は、aという変数に攻撃情報11の数、すなわち幾つの攻撃情報11が存在するかを設定する。さらに、攻撃情報生成部101は、攻撃情報11から、攻撃情報iを選択する。ここで、iは1から攻撃情報11の数までの自然数をとる。
ステップS112において、攻撃情報生成部101は、i>aである場合は、処理を終わる。i>aで無い場合は、ステップS113へ進む。
ステップS113において、攻撃情報生成部101は、攻撃情報iから、攻撃手段ID、攻撃名称、説明を抽出して、攻撃手段情報111に1行の情報として加える。
ステップS114において、攻撃情報生成部101は、iをインクリメントする。
図6を用いて、本実施の形態に係る検知情報生成処理S120の入出力の構成について説明する。
検知情報生成部102は、サイバー攻撃の攻撃手段21と、攻撃手段21を検知する検知手段22と、攻撃手段21に対する検知手段22の検知精度23とを含む攻撃検知情報121を生成する。
ここで、「検知手段22が、攻撃手段21を誤検知する」とは、検知手段22が攻撃手段21以外の正常な通信/処理、攻撃手段21以外の攻撃を誤って攻撃手段21として検知してしまうことを意味する。
「CM_ID」は、1つの検知・対策情報を区別するためのIDである。
「製品カテゴリ」は、FW、振る舞い検知などの、セキュリティ製品のカテゴリを示す。ここで、製品カテゴリには、ハードウェア、ソフトウェア、システムなどの製品のカテゴリ、無償で公開されているハードウェア、ソフトウェア、システムなどのカテゴリ、セキュリティ技術のカテゴリなどが含まれる。
「検知可能」は、当製品で検知できる攻撃手段を示す。
「検知不可能」は、当製品で検知できない攻撃手段を示す。
「誤検知」は、当製品で誤って検知する処理や通信を示す。
「CM_ID」がCM_ID_1のセキュリティ製品である。
「製品カテゴリ」は次世代FWであり、「製品カテゴリ」を示す名称“次世代FW”と、この「製品カテゴリ」を示すキーワードとして、[NGFW](Next・Generation・Fire・Wall)が設定される。当製品は、レピュテーション機能と、大量のHTTP通信量が発生した場合に不審なHTTP通信として検知する製品である。ここで、レピュテーション機能とは、様々なWebサイトについて悪性か否かを判定した情報を蓄積したデータベースを用いて、HTTP通信しているWebサイトが不正か否か判断し、不正であると判断した場合は、不審なHTTP通信が行われていると検知する機能である。
「検知可能」は、“不審なHTTP通信”であり、当製品に備わっているレピュテーション機能や大量のHTTP通信の検知機能により不審なHTTP通信として検知可能、という意味である。“不審なHTTP通信”を示すキーワードとして[URL,Suspicious,HTTP]が設定される。
「検知不可能」は、“改ざんされた正規サイトとのHTTP通信”である。レピュテーション機能は、改ざんされた正規サイトについて、改ざんされてすぐの場合は、データベースに「改ざんされており悪性のWebサイトである」という情報が反映されない場合があり、その場合このWebサイトとの通信を不審として検知しない。“改ざんされた正規サイトとのHTTP通信”を示すキーワードとして[URL,legitimate,HTTP]が設定される。
「誤検知」は、“正規の大量のHTTP通信”である。正規Webサイトとの通信が、偶然に大量に発生した場合に、不審な通信として誤検知する。“正規の大量のHTTP通信”を示すキーワードとして[URL,Legitimate,HTTP]が設定される。
なお、2行目のCM_ID_2は振る舞い検知(AP:Appliance)、3行目のCM_ID_3はIDS(シグネチャ型)についての例である。なお、CM_ID_3の誤検知の様に該当する事項が無い場合は無と記述している。
また、キーワードについては、後で使い方を詳しく説明する。
以上のように、図7の検知対策手段情報12では、セキュリティ製品の種類ごとに、検知可能、検知不可能、誤検知可能性の情報を格納する。
「CM_ID」は、1つの検知・対策を区別するためのIDである。
「ログ種類」は、攻撃手段を検知するために分析するログの種類を示す。
「検知可能」は、当ログ分析で検知できる攻撃手段を示す。
「検知不可能」は、当ログ分析で検知できない攻撃手段を示す。
「誤検知」は、当ログ分析で誤って検知する処理や通信を示す。
「CM_ID」がCM_ID_11のログ分析である。
「ログ種類」はプロキシログであり、「ログ種類」を示す名称“プロキシログ”と、この「製品カテゴリ」を示すキーワードとして、[PROXY]が設定される。
当ログ分析は、1つのWebサイトと1つの端末が、単位時間あたりに通信する回数が閾値以上である場合にであって定期的(Periodic)に通信している場合に攻撃(不審な通信)として検知する。
「検知可能」は、“定期的なC&C通信”であり、1つのWebサイト(C&Cサーバ)と1つの端末が、単位時間あたりに通信する回数が閾値以上である場合、C&Cサーバと通信していると検知する。“定期的なC&C通信”を示すキーワードとして[HTTP,Periodic]が設定される。
「検知不可能」は、“不定期なC&C通信”である。具体例として、1つのWebサイト(C&Cサーバ)と1つの端末がランダムな間隔で通信した場合、1つのWebサイトと1つの端末が、単位時間あたりに通信する回数が閾値以上にならないことがあり、この場合は検知できない。“不定期なC&C通信”を示すキーワードとして[HTTP,unperiodic]が設定される。
「誤検知」は、“正規のHTTP通信”である。1つの正規Webサイトと1つの端末が、単位時間あたりに通信する回数が閾値以上であった場合に誤検知する。“正規のHTTP通信”を示すキーワードとして[HTTP,unintentional,periodic]が設定される。
なお、2行目のCM_ID_12はOSなどの監査ログで認証エラーなどのイベントが記録されるものであり、3行目のCM_ID_13はFW(Fire・Wall)で、ポリシー違反の通信などが記録される例である。
以上のように、図8の検知対策手段情報12では、分析するログと分析内容ごとに、検知可能、検知不可能、誤検知可能性の情報を格納する。
検知対策手段情報12は、製品カテゴリ、技術カテゴリから、上記のような手法を用いて、対策状況生成装置1の外で予め作成される。なお、検知対策手段情報12は、製品カテゴリ、技術カテゴリから、上記のような手法を用いて予め手動で作成されてもよい。
もし、攻撃情報11、攻撃事例情報13、検知対策手段情報12において、攻撃手段を表現する文言、検知手段(製品カテゴリ、ログ種類などの検知・対策)を共通化できない場合は、これらの文言間でキーワード変換表を作成し、対策状況生成装置1に保存する。
図9のキーワード変換表の例では、No1の行において、検知対策手段情報12における“Virus”というキーワードは、攻撃情報11における「説明文」内の該当する文言である“Malware”と同一とみなす。攻撃情報11は複数の攻撃情報11を含むが、これらの「説明文」においては一般的に用語が統一されているため、この様な1つの変換を定義すればよい。同様にNo2において、検知対策手段情報12おける“Web”は、攻撃事例情報13における「説明文」では“URL”、又は、“Web site”と変換される。No3では、“Malicious”は“Suspicious”に変換される。No4では、“HTTP”は同一の“HTTP”に変換される。No5では、攻撃情報11における「説明文」内の該当する文言には存在する“HTTPS”は、検知対策手段情報12では該当するキーワードは無いため斜線で表している。
この様なキーワード変換表の作成は、対策状況生成装置1の外で行う。
まず、以下に、検知情報生成処理S120の概要について説明する。
検知情報生成部102は、サイバー攻撃の攻撃手段21と、攻撃手段21を検知する検知手段22と、攻撃手段21に対する検知手段22の検知精度23とを含む攻撃検知情報121を生成する。検知情報生成部102は、攻撃手段21を説明する説明文を含む攻撃手段情報111と、検知手段22が検知する攻撃手段21を検知精度23に応じて取得するためのキーワードを含む検知対策手段情報12とを取得する。そして、検知情報生成部102は、キーワードを用いて攻撃手段情報111に含まれる説明文を検索し、検知手段22が検知する攻撃手段21を検知精度23に応じて検出する。そして、検知情報生成部102は、検知精度23に応じて検出した攻撃手段21の情報を用いて攻撃検知情報121を生成する。
検知情報生成部102は、入力された攻撃手段情報111の1つの行を抽出する。抽出した行に対応する攻撃手段IDを攻撃手段ID_jで示す。ここで、jは1から攻撃手段IDの数(すなわち攻撃手段情報111の行の数)までの自然数をとる。検知対策手段情報12は、CM_ID_iで構成されるとする。ここで、iは1から検知対策手段情報12の行の数までの自然数をとる。ここで、検知対策手段情報12の行の数をnとする。
ステップS122において、検知情報生成部102は、攻撃手段ID_jに該当する、攻撃手段情報111のエントリにおける「説明文」を抽出する。具体例として、「説明文」が「A malware maliciously accesses data files on an infected computer, then leaks
them to a C&C server by HTTP. URLs of the C&C server could be suspicious.」という記述であったとする。
ステップS123において、検知情報生成部102は、i>nか否かを判定する。「はい」の場合、処理を終了する。「いいえ」の場合、ステップS124に進む。
ステップS124において、検知情報生成部102は、検知対策手段情報12から、CM_ID_iのエントリを取り出す。
また、検知対策手段情報12のキーワードと、攻撃情報11の「説明文」における文言を共通にできない場合は、キーワード変換表を用いる。この場合、CM_ID_iのエントリにおける「検知可能」のキーワードについて、キーワード変換表を用いて文言を変換して、変換した文言が、「説明文」に含まれるか検索する。
また、キーワード変換表を用いない場合は、「検知可能」のキーワードと「説明文」に含まれる文言間の類似度を、既存の技術を使用して調べ、類似している場合に、「検知可能」のキーワードが含まれると判定することで、「検知可能」のキーワードが含まれるかの検索処理としても良い。ここで、文言間の類似度を調べる既存の技術とは、文字列の類似度、長さなどから同じ意味を持つキーワードを特定してマッピングする技術である。具体例としては、レーベンシュタイン距離を利用する技術がある。
ステップS127において、検知情報生成部102は、攻撃手段ID_jで識別される攻撃手段について、CM_ID_iで検知可能と判定し、detect_flag=Trueに設定する。
ステップS129において、検知情報生成部102は、「検知不可能」が空の場合、ステップS1211に進む。ステップS129において、検知情報生成部102は、「検知不可能」が空ではない場合、「検知不可能」となることがあるので、ステップS1210において、undetect_flag=Trueに設定する。
なお、図7において、「検知不可能」にもキーワードが設定されているが、本実施の形態では、このキーワードが「説明文」に有るかを調べずに、フラグをTrueに設定している。これは、「検知不可能」がある、と製品カテゴリやログ分析の機能の制限が図7で示されているためである。一方、ステップS125における「検知可能」については、攻撃手段に対し、検知対策手段情報12に列挙された検知対策の手段が該当するかは必ず調べなくてはならないため、キーワードによる検索は必須となる。つまり、「検知可能」のキーワードが「説明文」に含まれるかを調べて、検知対策の手段が攻撃手段への検知・対策として該当するか判断する。その後、場合によって検知不可能であったり(誤検知であったり)の制限があるかを調べる。
ステップS1212において、検知情報生成部102は、「誤検知」が空の場合、ステップS1214に進む。ステップS1212において、検知情報生成部102は、「誤検知」が空ではない場合、「誤検知」となることがあるので、ステップS1213において、検知情報生成部102は、falsedetect_flag=Trueに設定する。
なお、図7において、「誤検知」にもキーワードが設定されているが、本実施の形態では、このキーワードが「説明文」に有るかを調べずに、フラグをTrueに設定している。これは、「誤検知」がある、と製品カテゴリやログ分析の機能の制限が図7で示されているためである。
ステップS1214において、検知情報生成部102は、図11の判定表1201を参照し、detect_flag、undetect_flag、falsedetect_flagの値から、CM_ID_iで識別される検知・対策の効果において、○、△、□、◇、×を判定する。これらの記号は以下の意味である。
○:検知可能
×:検知不可能
△:誤検知の可能性あり
□:検知漏れの可能性あり
◇:検知可能・検知不可能・誤検知あり
検知漏れについては、CM_ID_iで識別される検知・対策を用いた場合、この攻撃手段を検知可能であるが、その検知・対策の方法の機能や性能の制限により検知・対策を回避されてしまい、検知漏れが生じる可能性があることを示す。
ステップS1216において、検知情報生成部102は、iをインクリメントし、S123に戻る。
また、図6には図示していないが、攻撃検知情報121における検知手段情報162の要素(IDSやFWなど)には、該当するCM_ID_iが紐づけられている。
図12を用いて、本実施の形態に係る危険度判定処理S130の入出力の構成について説明する。
危険度判定部103は、攻撃検知情報121と、攻撃事例情報13と、重みづけ情報14とを入力とし、攻撃検知危険度情報131を出力する。危険度判定部103は、検知手段22の検知精度23に基づいて、攻撃手段21の危険度163を判定する。また、危険度判定部103は、検知手段22の検知精度23と、攻撃手段21が実施されるサイバー攻撃における攻撃フェーズとに基づいて、危険度163を判定する。
図12において、攻撃事例情報13は、サイバー攻撃の事例を表現したデータであり、どの様な攻撃手段がどの様な順番で、すなわち、どの攻撃フェーズで活動したかを示した情報である。
サイバー攻撃は複数の攻撃フェーズで行われるが、一般的には、攻撃相手を調査してメールアドレスを入手するなどの“事前調査”フェーズ、マルウェアを添付したメールなどで侵入する“侵入”フェーズ、攻撃者がマルウェアと通信しながら攻撃を送受信して活動を行う“バックドア通信”フェーズ、侵入した組織内にどの様なサーバが存在するかを調べる“内部偵察”フェーズ、情報漏えいを行う“情報漏えい”フェーズで構成される。この様な複数の攻撃フェーズ31で構成された一連の流れをキルチェーンという。また、各々の攻撃フェーズを実現するために、各攻撃フェーズにおいて1つ以上の攻撃手段を用いて攻撃が行われる。攻撃事例情報13は、エントリを識別するNoと、キルチェーンにおける攻撃フェーズと、各攻撃フェーズで実施される攻撃手段の攻撃手段ID及び攻撃名称で構成される。
図13における以降の攻撃フェーズについては、同様の情報構成なので説明を省略する。
図14は、本実施の形態に係る重みづけ情報14の一例を示す図である。
上述したように、危険度判定部103は、検知手段22の検知精度23と、攻撃手段21が実施されるサイバー攻撃における攻撃フェーズとに基づいて、危険度163を判定する。本実施の形態における重みづけ情報14は、攻撃手段21がどの攻撃フェーズで使用されるかにより、重みを定義したものである。図14は、事前調査に用いられる攻撃手段の場合、事前調査自体は未だ攻撃が始まってないため、重みは5と低いが、情報漏えいは最も被害が大きくなるため100と高くなっており、攻撃フェーズが進むにつれて重みが大きくなる例である。図14における重みの値の設定は一例であり、侵入やバックドア通信などの攻撃フェーズの初期から中期について重みを大きくしてもよい。各々のエントリには通し番号がNoとして付与される。
ステップS131において、危険度判定部103は、攻撃検知情報121の攻撃手段情報161における攻撃手段IDを1つ選択し攻撃手段ID_iとする。ここで、iは1から攻撃手段情報161における攻撃手段IDの数までの自然数をとる。
ステップS132において、危険度判定部103は、攻撃事例情報13におけるNoをjとして参照するため、j=1とする。ここで、jは1からnまでの自然数をとる。nは、攻撃事例情報13におけるNoの最大値とする。
ステップS134において、危険度判定部103は、攻撃事例情報13からNo=jに該当するエントリを取り出す。
ステップS135において、危険度判定部103は、攻撃事例情報13のNo=jのエントリにおける攻撃手段ID、すなわち攻撃手段ID_jを取り出す。
ステップS136において、危険度判定部103は、攻撃手段ID_iと攻撃手段ID_jとが同じか調べる。同じであれば、ステップS137に進み、同じでなければ、ステップS1313に進む。
ステップS138において、危険度判定部103は、k>mか調べる。k>mであれば、ステップS1313に進み、k>mでなければ、ステップS139に進む。
ステップS139において、危険度判定部103は、攻撃事例情報13のNo=jのエントリにおける「攻撃フェーズ」が、重みづけ情報14のNo=kのエントリにおける「攻撃手段が用いられるキルチェーンの攻撃フェーズ」と同じかを調べる。ステップS1310において、危険度判定部103は、同じであればS1311に進み、同じでなければS1314に進む。
ステップS1312において、危険度判定部103は、攻撃手段ID_iの危険度を、取得した「重み」に設定し、ステップS1313に進む。
ステップS1313において、危険度判定部103は、jをインクリメントし、ステップS133へ進む。
ステップS1314において、危険度判定部103は、kをインクリメントし、ステップS138へ進む。
図16を用いて、本実施の形態に係る攻撃対策状況判定処理S140の入出力の構成について説明する。
図16に示すように、対策状況判定部104は、危険度判定部103により生成された攻撃検知危険度情報131と組織対策情報15とを入力とし、攻撃手段に対する組織の対策の効果度を含む対策状況情報16を出力する。
組織対策情報15では、各エントリ(各行)を識別するIDとしてCMA_IDが付与され、各エントリにおける検知手段のIDに該当する情報を「対応するCM_ID」とする。さらに、各エントリに対して「運用上の制限」の情報が付与される。「運用上の制限」は、「閾値抑制(回数)」と、「閾値抑制(重大度)」と、「ホワイトリスト」とにより構成される。「閾値抑制(回数)」は、同じ検知が閾値回数以上発生した場合に検知として通報する運用を示す。「閾値抑制(重大度)」は、一定の重大度以上の検知のみを通報する運用を示す。「ホワイトリスト」は、検知が発生してもホワイトリストに記載されたプログラムの処理であれば通報しない運用を示す。或いは、「ホワイトリスト」は、ホワイトリストに記載された端末からの通信は検知しても通報しないなどの運用でもよい。組織対策情報15において、組織において対応する運用を適用している場合は「適用」、組織において対応する運用を適用していない場合は「未適用」が設定される。
ステップS142において、対策状況判定部104は、攻撃検知危険度情報131のエントリ、すなわち行を1つ選択し、該当する攻撃手段情報161の攻撃手段ID_iと、組織対策状況情報164_iを取得する。ここで、iは1から攻撃手段情報161の攻撃手段IDの数までの自然数をとる。
ステップS143において、対策状況判定部104は、組織対策情報15におけるCMA_IDを1つ選択し、CMA_ID_jとする。また、CMA_ID_jに「対応するCM_ID」を、CM_ID_jとする。ここで、jは、1からpまでの自然数をとる。pは、組織対策情報15におけるCMA_IDの数、すなわち組織対策情報15のエントリ数である。
ステップS144において、対策状況判定部104は、j>pか確認し、j>pである場合、処理を終了する。また、j>pでない場合、S145に進む。
ステップS146において、対策状況判定部104は、組織対策状況情報164_iを構成する要素に紐づけられたCM_IDを、CM_ID_i_kとする。組織対策状況情報164はステップS141において、検知手段情報162のコピーとして生成されており、検知手段情報162に紐づいているCM_IDも同様にコピーされている。具体的には、組織対策状況情報164_iは、図16においてはIDS(k=1)やFW(k=2)などの要素で構成されており、各々に識別子であるCM_IDが付与されている。なお、iが変化しても、kが同じであれば同じCM_IDである。つまり、組織対策状況情報164の1つの列(kで参照)で見た場合、攻撃手段ID(iで参照)が何であっても、同じCM_IDである。具体的には、図16の組織対策状況情報164のk=1はIDSであり、攻撃手段IDが何であっても、列として見るのでIDSのCM_IDが参照される。また、上述したように、組織対策状況情報164では、検知手段情報162の攻撃手段IDごとの○△□◇×の判定、すなわち検知精度23は、メモリに記憶されている。したがって、検知手段情報162の攻撃手段IDごとの○△□◇×の判定は、メモリに記憶されている情報から取得するものとする。
ステップS148において、対策状況判定部104は、CM_ID_i_kはCM_ID_jと同じかを調べる。同じ場合、対策状況判定部104は、ステップS149に進み、CM_ID_i_kに該当する組織対策状況情報164_iのマスに値を設定する。同じでない場合、対策状況判定部104は、ステップS1410に進む。
ステップS1410において、対策状況判定部104は、kをインクリメントしてS147へ進む。
以上のように、対策状況判定部104は、攻撃検知情報121と、サイバー攻撃の対象となる組織においてサイバー攻撃に対する対策として実施されている検知手段22を組織検知手段として含む組織対策情報15とを取得し、攻撃検知情報121に含まれる検知精度23と組織対策情報15とに基づいて、組織における対策の効果の程度を表す効果度1651を判定する。また、対策状況判定部104は、検知手段22の検知精度23と、検知手段22が組織において実施されているか否かを示す情報(組織対策状況情報164)とに基づいて、効果度1651を判定する。
対策状況判定部104は、図16の対策状況情報16における1つの攻撃手段IDについて、組織対策状況情報164が「済」である構成要素に該当する検知手段情報162の値を全て抽出する。対策状況判定部104は、抽出した値に基づいて以下(a1)から(a5)のように「効果度1651」を設定する。
(a1)抽出した値の中に○が含まれていれば効果度1651に○を設定する。
(a2)(a1)に当てはまらない場合、抽出した値の中に△が含まれていれば△を効果度1651に設定する。
(a3)(a2)に当てはまらない場合、抽出した値の中に□が含まれていれば□を効果度1651に設定する。
(a4)(a3)に当てはまらない場合、抽出した値の中に◇が含まれていれば◇を効果度1651に設定する。
(a5)(a4)に当てはまらない場合、×を効果度1651に設定する。
図16の対策状況情報16では、組織対策状況情報164が「済」である構成要素が複数ある場合は、該当する検知手段情報162も複数になる。従って、複数の検知手段情報162において、全て○であったり、○、△、□、◇が混在することがありうるが、上記の処理(a1)から(a5)に従えば、「効果度1651」は1つに決定される。
具体例として、図16の攻撃手段ID=542においては、IDS、メールフィルタ、振る舞い検知(端末)が「済」であり、上記の処理に従えば、振る舞い検知(端末)が△なので、効果度1651は△が設定される。
図16の対策状況情報16における1つの攻撃手段IDについて、「効果度1651」が○以外の項目を、「優先的対策項目1652」として判定し、「該当」を設定する。
対策状況出力処理S150において、対策状況出力部105は、攻撃検知情報121(攻撃手段情報161及び検知手段情報162)と効果度1651とを含む対策状況情報16を出力する。対策状況情報16には、危険度163が含まれる。
対策状況出力部105は、出力インタフェース940を介して対策状況情報16を表示装置などに表示する。
本実施の形態では、対策状況生成装置1は、入力インタフェース930を介して情報を取得し、出力インタフェース940を介して情報を出力する構成であった。しかし、対策状況生成装置1が通信装置を備え、通信装置を介して情報を受信してもよい。また、対策状況生成装置1は、通信装置を介して情報を送信してもよい。この場合、通信装置はレシーバとトランスミッタとを備える。具体的には、通信装置は通信チップまたはNIC(Network・Interface・Card)である。通信装置はデータを通信する通信部として機能する。レシーバはデータを受信する受信部として機能し、トランスミッタはデータを送信する送信部として機能する。
第1に、対策状況出力部105は、攻撃手段21と効果度163とからなる対策状況情報16を出力する。すなわち、図16に示す攻撃手段情報161と効果度1651とを対策状況情報16として出力してもよい。
第2に、対策状況出力部105は、攻撃手段21と効果度163とからなる対策状況情報16に、攻撃手段21を検知する検知手段22と、検知手段22の検知精度23とを含めて出力する。すなわち、図16に示す攻撃手段情報161と検知手段情報162と効果度1651とを対策状況情報16として出力してもよい。
第3に、対策状況出力部105は、攻撃手段21と効果度163と検知手段22と検知精度23とからなる対策状況情報16に、組織対策状況情報164を含めて出力する。すなわち、図16に示す攻撃手段情報161と検知手段情報162と組織対策状況情報164と効果度1651とを対策状況情報16として出力してもよい。
図19を用いて、本実施の形態の変形例に係る対策状況生成装置1の構成について説明する。
図19に示すように、変形例の対策状況生成装置1では、図2のプロセッサ910及び記憶装置920に替えて、処理回路909を備える。
以上の様にして、対策状況生成装置1の対策状況判定部104は、図16に示す対策状況情報16を生成し、表示装置に表示する。
本実施の形態における対策状況生成装置1は、攻撃情報に対して、検知・対策情報のマッピングを示し、さらに、攻撃事例情報から危険度を付与し、さらに、組織の攻撃対策実施の状況から攻撃情報への対策状況を図示できる効果がある。さらに、検知・対策手段情報から効果度1651を判定するとともに、優先的対策項目1652を図示できる効果がある。
本実施の形態における対策状況生成装置1の利用者は、自組織のセキュリティ対策が、様々な攻撃情報(手段)に対して有効であるか無効であるか効果度1651で確認でき、さらに、対策を強化すべき攻撃手段について優先的対策項目1652を確認できる。
本実施の形態では、主に、実施の形態1に追加する部分あるいは実施の形態1と異なる部分について説明する。本実施の形態において、実施の形態1と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1と同様の機能についてもその説明を省略する。
本実施の形態では、図1に示す攻撃事例判定装置2が、個別の攻撃事例情報13aを用いて、組織の対策状況の判定を行う処理について説明する。
図20を用いて、本実施の形態に係る攻撃事例判定装置2の構成及び入出力について説明する。
攻撃事例判定装置2は、コンピュータであり、図示はないが実施の形態1の図1で説明した対策状況生成装置1と同様のハードウェアを備える。また、攻撃事例判定装置2は、機能構成として攻撃事例判定部201を備える。すなわち、攻撃事例判定装置2の「部」の機能とは、攻撃事例判定部201の機能である。対策状況生成装置1と同様に、「部」の機能は、ソフトウェアで実現される。また、対策状況生成装置1と同様に、「部」の機能が処理回路909等のハードウェアで実現されていてもよい。
本実施の形態では、攻撃事例判定装置2は、対策状況情報16を用いて、攻撃事例情報13aへの対策状況を攻撃事例対応情報17として出力する。本実施の形態では攻撃事例対応情報17を表で表現する。
図21を用いて、本実施の形態に係る攻撃事例判定部201による攻撃事例判定処理S200について説明する。
攻撃事例判定処理S200において、攻撃事例判定部201は、対策状況情報16と、攻撃事例情報13aとを入力とし、図21に示す以下の処理を行う。攻撃事例情報13aは、図13の攻撃事例情報13の1つの例である。
攻撃事例判定部201は、サイバー攻撃の攻撃フェーズと攻撃フェーズにおいて実施される攻撃手段とを含む攻撃事例情報13aと、対策状況情報16とを取得し、対策状況情報16を用いて、攻撃事例情報13aについて攻撃フェーズの攻撃手段ごとに組織の対策状況を判定する。また、攻撃事例判定部201は、攻撃事例情報13aと、判定した組織の対策状況とを攻撃事例対応情報17として出力する。
ステップS212において、攻撃事例判定部201は、攻撃事例情報13aの一連の攻撃における最後の攻撃手段IDまで参照した場合は、S2111に進む。そうで無い場合はS213に進む。
ステップS213において、攻撃事例判定部201は、攻撃事例情報13aにおける攻撃フェーズに含まれる攻撃手段IDを抽出する。これを、参照攻撃手段IDとする。
ステップS214において、攻撃事例判定部201は、参照攻撃手段IDを、対策状況情報16から検索する。
ステップS215において、攻撃事例判定部201は、対策状況情報16における検索された攻撃手段ID、すなわち参照攻撃手段IDについて、その行の情報を参照する。この行には、検知手段情報162の情報などが含まれる。
ステップS216において、攻撃事例判定部201は、対策状況情報16における、参照攻撃手段IDに該当する検知手段情報162において、「×」が付いている構成要素(FWやIDSなどの検知・対策)以外を選択し、名称を抽出する。つまり、攻撃事例判定部201は、何かしらの効果がある構成要素の名称を抽出する。
ステップS217において、攻撃事例判定部201は、攻撃事例情報13aにおいて、参照攻撃手段IDに該当する行に「検知・対策の手段」(列)を追加し、ステップS216で抽出した構成要素の名称を設定する。ステップS216において複数抽出されている場合はそれらを全て設定する。
具体例を用いて説明する。図20に示すように、攻撃手段ID=163であれば、メールフィルタが該当する。また、攻撃手段ID=542であれば、IDS、メールフィルタ、振る舞い検知(端末)、振る舞い検知(AP)、ログ分析(端末)が該当する。検知手段情報162で「×」しかない場合は、「無」を設定する。
ステップS219において、攻撃事例判定部201は、攻撃事例情報13aにおける参照攻撃手段IDについて「組織の対策状況」(列)を追加し、ステップS218で抽出した「効果度1651」を設定する。具体例として、攻撃手段ID=542であれば、図16及び図20に示すように△が該当する。上述したように、この「効果度1651」(□や△など)の意味は、図11の判定表1201のとおりである。
ステップS2110において、攻撃事例判定部201は、攻撃事例情報13aにおける次の攻撃手段IDを参照し、ステップS212に戻る。
侵入など、初期の攻撃フェーズについて、組織の対策状況が○であれば、「優」とする。
バックドア通信など、初期の次の攻撃フェーズについて組織の対策状況が○であれば、「良」とする。これは、侵入は許すが次の段階で検知できるためである。
さらに後続の攻撃フェーズについて組織の対策状況が○であれば、「可」とする。
初期や、初期の次の攻撃フェーズについて組織の対策状況が△であれば、「可」とする。
これらに当てはまらなければ、「不可」とする。
なお、「総合判定」は、攻撃事例情報13aに付与するもので、攻撃手段IDごとに付与するものではない。
また、本実施の形態における総合判定の方法(優、良、可、不可の判定方法)は、上記に限らない。具体例として、初期と初期の次の攻撃フェーズの何れかに○が付かなければ全て不可、としても良いし、情報漏えいの攻撃フェーズに○が付いていれば、良、としても良い。
この様に、攻撃事例判定部201は、攻撃事例情報13aに対して、対策状況情報16を用いて組織の対策状況を判定し、総合判定の情報を付与した攻撃事例対応情報17を出力する。
以上のように、本実施の形態に係る攻撃事例判定装置2によれば、攻撃事例対応情報17を参照することで、攻撃事例情報13aにおける攻撃手段IDごとの組織の対策状況を確認できる。具体例として、組織の対策状況が□や◇の攻撃手段IDについては、対策しているが検知漏れ(回避)が発生する場合があることを意味し、△や◇の攻撃手段IDについては、対策しているが誤検知が発生する場合があることを意味する。また、この攻撃事例情報に対する総合判定も確認できる。
また、本実施の形態に係る攻撃事例判定装置2によれば、攻撃事例情報13aに対して、対策状況情報16を用いて組織の対策状況を攻撃事例対応情報17として図示できる効果がある。本実施の形態に係る攻撃事例判定装置2の利用者は、攻撃事例対応情報17の総合判定を確認することで、優・良であれば組織の対策はできていると判断し、可・不可であれば追加対策を検討する、といった判断が可能である。
本実施の形態では、主に、実施の形態1及び2に追加する部分あるいは実施の形態1及び2と異なる部分について説明する。本実施の形態において、実施の形態1及び2と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1及び2と同様の機能についてその説明を省略する。
本実施の形態では、図1に示す対策候補抽出装置3が、追加対策を判定する処理について説明する。
図22及び図23を用いて、本実施の形態に係る対策候補抽出装置3の構成及び入出力について説明する。
対策候補抽出装置3は、コンピュータであり、図示はないが実施の形態1の対策状況生成装置1及び実施の形態2の攻撃事例判定装置2と同様のハードウェアを備える。また、対策候補抽出装置3は、機能構成として対策候補抽出部301を備える。すなわち、対策候補抽出装置3の「部」の機能とは、対策候補抽出部301の機能である。対策状況生成装置1及び攻撃事例判定装置2と同様に、「部」の機能は、ソフトウェアで実現される。また、対策状況生成装置1及び攻撃事例判定装置2と同様に、「部」の機能が処理回路909等のハードウェアで実現されていてもよい。
なお、「誤検知の多い攻撃手段X」とは、攻撃手段Xに対する組織の対策では、攻撃手段X以外を誤って攻撃手段Xとして検知してしまうことが多い、という意味である。
対策候補抽出装置3による対策候補抽出処理S300を以下に説明する。
まず、対策候補抽出装置3は、攻撃手段Xの攻撃手段ID_Xを抽出する。
次に、対策候補抽出装置3は、攻撃手段ID_Xを含む攻撃事例情報13を、1つ又は複数の攻撃事例情報133から抽出する。ここで、対策候補抽出装置3は、攻撃事例情報13を1つ以上抽出する。抽出結果を、攻撃事例情報13_iとする。
攻撃事例情報13_1={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_f、攻撃手段ID_g}
攻撃事例情報13_2={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_g、攻撃手段ID_h}
攻撃事例情報13_3={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_i、攻撃手段ID_j}
この時、攻撃手段ID_eは攻撃事例情報13_1、攻撃事例情報13_2、攻撃事例情報13_3の全てに含まれるため、出現数は3である。同様に、攻撃手段ID_gの出現数は2、攻撃手段ID_f、攻撃手段ID_h、攻撃手段ID_i、攻撃手段ID_jの出現数は1である。
すなわち、攻撃手段ID_Xが含まれる上記3つの攻撃事例情報13_iでは、攻撃手段ID_X以外に、攻撃手段ID_eが全てに含まれ、攻撃手段ID_gが2つに含まれている。従って、これらの攻撃事例情報13においては、攻撃手段ID_Xと攻撃手段ID_eは常に併用されており、次に、攻撃手段ID_gが併用されていることが分かる。
対策候補抽出装置3は、この様に抽出した攻撃手段ID_e、攻撃手段ID_gを攻撃手段ID_Xと組み合わせて検知すべき攻撃手段Yを強化対策情報18として出力する。
ステップS311において、対策候補抽出部301は、攻撃事例情報13_iから攻撃手段ID_Xを含むものを抽出する。ここで、iは1からrまでの自然数とする。rは攻撃事例情報13の数である。
ステップS312において、対策候補抽出部301は、続く処理のために、抽出した攻撃事例情報を、抽出攻撃事例情報jとする。ここで、jは1からsまでの自然数とする。sは、ステップS311において抽出された攻撃事例情報13の数である。
ステップS313において、対策候補抽出部301は、変数jを1に設定し、空の攻撃手段IDリストを用意する。
ステップS314において、対策候補抽出部301は、j>sか調べ、j>sである場合は処理を終了し、j>sでない場合はステップS315へ進む。
ステップS316において、対策候補抽出部301は、変数kを1に設定する。
ステップS317において、対策候補抽出部301は、k>tか調べ、k>tである場合はステップS3113へ進み、k>tでない場合はステップS318へ進む。
ステップS319において、対策候補抽出部301は、攻撃手段ID_kが、攻撃手段IDリストに存在するか調べ、存在すればステップS3111に進み、存在しなければ、ステップS3110へ進む。
ステップS3110において、対策候補抽出部301は、攻撃手段IDリストの末尾に攻撃手段ID_kを追加し、そのcountを1に設定する。ここで、攻撃手段IDリストは以下のような構造の情報である。
攻撃手段IDリスト={(攻撃手段ID_1、count_1)、(攻撃手段ID_2、count_2)、…}
ここで、中カッコは情報の並びである。小カッコの中は攻撃手段IDの値と、その攻撃手段IDが複数の攻撃事例情報に渡って出現した回数を表している。
ステップS3112において、対策候補抽出部301は、kをインクリメントする。
ステップS3113において、対策候補抽出部301は、jをインクリメントする。
また、図22の(b)に示すように、対策候補抽出装置3は、攻撃事例情報133と、攻撃事例対応情報17における組織の対策状況で□か◇のついた攻撃手段(攻撃手段X1)(選択攻撃手段171)とを入力としてもよい。□か◇のついた攻撃手段(攻撃手段X1)とは、検知漏れ(回避)する可能性がある攻撃手段(攻撃手段X1)である。そして、対策候補抽出装置3は、攻撃手段X1の検知漏れを低減するために、併せて検知すべき攻撃手段を抽出する。
ここで、対策候補抽出装置3の処理は、攻撃手段Xの場合(図22の(a))と同じである。処理の結果、対策候補抽出装置3は、この様に抽出した攻撃手段ID_e、攻撃手段ID_gを攻撃手段ID_X1と組み合わせて検知すべき攻撃手段攻Y1として出力する。
本実施の形態に係る対策候補抽出装置3は、誤検知や検知漏れがある攻撃手段について、攻撃事例情報からの統計により、併用して使用される頻度の高い攻撃手段を抽出する。そして、抽出した攻撃手段を、誤検知や検知漏れがある攻撃手段と併せて検知を試みる候補となる攻撃手段として提示することができる。この結果、本実施の形態に係る対策候補抽出装置3によれば、提示された攻撃手段と、誤検知や検知漏れがある攻撃手段とを併せて検知することで、誤検知や検知漏れを低減することが可能となる効果がある。
本実施の形態では、主に、実施の形態3と異なる点について説明する。本実施の形態において、実施の形態1から3と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から3と同様の機能についてその説明を省略する。
本実施の形態では、実施の形態3で説明した対策候補抽出装置3による追加対策を提示する処理が実施の形態3と異なる。
図25に示すように、対策候補抽出装置3は、1つ又は複数の攻撃事例情報133と、攻撃事例対応情報17における組織の対策状況で△か◇のついた、誤検知の多い攻撃手段X、又は、攻撃事例対応情報17における組織の対策状況で□か◇のついた、検知漏れする可能性がある攻撃手段X1、又は、対策状況情報16における優先的対策項目1652が「該当」である攻撃手段Uを入力とする。さらに、対策状況情報16を入力する。
本実施の形態では、組み合わせて検知すべき攻撃手段のうち、対策状況情報16を利用して既に組織で対策しているものに絞り提示する。
具体例として、組み合わせて検知すべき攻撃手段が、図16の対策状況情報16における攻撃手段ID=542であった場合、組織対策状況情報164において「済」になっているIDS/メールフィルタ/振る舞い検知(端末)を抽出し、この攻撃手段ID=542の情報に加えて攻撃手段Wを強化対策情報18として出力する。
もし、組み合わせて検知すべき攻撃手段について、対策状況情報16において、組織対策状況情報164に「済」が付くものが無い場合は、該当する攻撃手段Wは無い。よって、攻撃手段Wを出力しない、あるいは、強化対策情報18がないとの警告を出力してもよい。
本実施の形態における対策候補抽出装置3は、実施の形態3の、入力された攻撃手段と組み合わせて検知すべき攻撃手段について、組織対策状況情報164を参照して既に組織で対策済みの攻撃手段に限定して提示することで、組織で既に適用している対策を利用し、検知を強化することが可能となる効果がある。
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から4と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から4と同様の機能についてその説明を省略する。
本実施の形態では、検知対策手段情報12のCM_ID_iのエントリにおける「検知可能」において、キーワードの代わりに「検知可能」な攻撃手段IDが含まれているものについて説明する。「検知不可能」「誤検知」の項目についても同様である。すなわち、検知情報生成部102は、検知手段により検知される攻撃手段であって検知手段の検知精度に応じた攻撃手段を含む検知対策手段情報12を取得し、この検知対策手段情報12に基づいて、検知手段が検知する攻撃手段を検知精度に応じて検出する。
本実施の形態においては、上記の検知対策手段情報12を生成する際に、キーワードの代わりに攻撃手段IDを設定することを前提としている。なお、実施の形態1で説明したように、キーワードの代わりに攻撃手段IDを含む検知対策手段情報12の生成は、対策状況生成装置1の外で行う。
本実施の形態における対策状況生成装置1は、実施の形態1に係る検知対策手段情報12の「検知可能」において、キーワードを用いる代わりに、攻撃手段IDを用いることにより、実施の形態1と同じ効果が得られる。
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から5と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から5と同様の機能についてその説明を省略する。
本実施の形態における対策状況生成装置1は、攻撃情報11に危険度(危険度レベル)の情報が含まれる場合、これを、対策状況情報16における、危険度163に設定できる効果がある。
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から6と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から6と同様の機能についてその説明を省略する。
対策状況情報16の攻撃手段ID=Add_0001における組織対策状況情報164のログ分析・プロキシログのマスの設定例を以下に示す。
・済
・検知不可能:改ざんされた正規サイトとのHTTP通信
・誤検知:正規のHTTP通信
本実施の形態における対策状況生成装置1は、対策状況情報16において、攻撃手段の対策状況を確認できるとともに、対策済みであった場合の、検知不可能(検知漏れ)や誤検知の発生の可能性について含めることができる。このため、対策状況生成装置1の利用者は、ある攻撃手段が対策済みであっても、検知不可能(検知漏れ)や誤検知のリスクについて把握することが可能となる。
本実施の形態では、主に、実施の形態3及び4と異なる点について説明する。本実施の形態において、実施の形態1から7と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から7と同様の機能についてその説明を省略する。
実施の形態3で説明した以下の3つの攻撃事例情報を用いて説明する。ここでは攻撃手段Xについて併せて検知する他の攻撃手段を抽出する場合を挙げる。
攻撃事例情報13_1={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_f、攻撃手段ID_g}
攻撃事例情報13_2={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_g、攻撃手段ID_h}
攻撃事例情報13_3={攻撃手段ID_X、攻撃手段ID_e、攻撃手段ID_i、攻撃手段ID_j}
これらの攻撃事例情報に対して図18の処理を実行すると、攻撃手段IDリスト={(攻撃手段ID_e、count_e=3)、(攻撃手段ID_g、count_g=2)}となる。
(b1)攻撃手段IDリストに記録された攻撃手段IDで、対策状況情報16の検知手段情報162において、○がつく検知・対策手段情報があるものを抽出し、この様に抽出された攻撃手段IDを攻撃手段Yとして出力する。攻撃手段IDリスト上にこの条件に該当する攻撃手段IDが複数あれば、これらを攻撃手段Yとして出力する。具体例として、攻撃手段ID_eについて、対策状況情報16の検知手段情報162において振る舞い検知(端末)に○が設定されていた場合は、攻撃手段ID_eを攻撃手段Yとして出力する。(b2)(b1)の処理において○が付く攻撃手段が無い場合は、対策状況情報16の検知手段情報162において△がつく攻撃手段IDを抽出する。抽出された攻撃手段IDを攻撃手段Yとして出力する。
(b3)(b2)の処理において△が付く攻撃手段が無い場合は、対策状況情報16の検知手段情報162において□がつく攻撃手段IDを抽出する。抽出された攻撃手段IDを攻撃手段Yとして出力する。
なお、(b1)のみを処理しても良いし、(b1)と(b2)のみを処理しても良いし、(b1)と(b2)と(b3)とを処理してもよい。
さらに、(b1)の処理で抽出した攻撃手段IDについて、○が示される検知手段情報162(具体例として、IDS)を、攻撃手段IDと併せて攻撃手段Yとして出力しても良い。同様に(b2)では△である検知手段情報162を、(b3)では□である検知手段情報162を攻撃手段IDと併せて攻撃手段Yとして出力しても良い。
実施の形態4では、攻撃手段Xや攻撃手段X1や攻撃手段Uについて、組み合わせて検知すべき攻撃手段のうち、対策状況情報16を利用して既に組織で検知手段を実施しているものに絞り提示した。本実施の形態では、さらに、これらについて、(b1)(b2)(b3)の様に、○がつくもの、△がつくもの、□が付くものを抽出して、攻撃手段W1として出力する。
本実施の形態における対策候補抽出装置3は、実施の形態3及び4の効果に加えて、併せて対策すべき攻撃手段について、具体的にどのような検知手段を適用すればよいか判断できる効果がある。
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から8と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から8と同様の機能についてもその説明を省略する。
実施の形態1のステップS149のでは、実施の形態1においてCM_ID_i_kに該当する組織対策状況情報164_iの欄の設定について「済」と判定した場合、さらに、CM_ID_j(CM_ID_i_kに等しい)に該当する組織対策情報15のエントリを参照し、該当する運用上の制限を参照する。この運用上の制限において、閾値抑制(回数)、閾値抑制(重大度)、ホワイトリストにおいて適用がある場合は、組織対策状況情報164_iの欄に「済」の代わりに「済・回避」を設定する。
併せて、閾値抑制(回数)、閾値抑制(重大度)、ホワイトリストなど運用上の抑制措置について、その内容(組織対策情報15上の項目名)を追加情報として設定しても良い。対策状況生成装置1の利用者は、この追加情報を参照することで、検知手段は行っているが回避可能である理由を知ることができる(例:閾値抑制(回数))。
組織対策状況情報164が「済・回避」の場合は、該当する検知手段情報162の構成要素の設定値(○△□◇×)を抽出し、○は□に、△は□に変換して実施検知手段情報1621として対策状況判定部104に保存する。対策状況判定部104は、この様に抽出・変換した、実施検知手段情報1621について以下の様に処理する。
(c1)実施検知手段情報1621に○が含まれていれば効果度1651に○を設定する。
(c2)(c1)に当てはまらない場合、△が含まれていれば△を効果度1651に設定する。
(c3)(c2)に当てはまらない場合、□が含まれていれば□を効果度1651に設定する。
(c4)(c3)に当てはまらない場合、◇が含まれていれば◇を効果度1651に設定する。
(c5)(c4)に当てはまらない場合、×を効果度1651に設定する。
具体例として、ある攻撃手段IDについて、組織対策状況情報164の振る舞い検知(AP)が「済・回避」であり、検知手段情報162の振る舞い検知(AP)が△であったとする。この場合は、振る舞い検知(AP)の検知手段情報162を△から□にして、実施検知手段情報1621に保存する。同じ攻撃手段IDについて、組織対策状況情報164のIDSが「済」であり、検知手段情報162のIDSが□であったとする。この場合は、IDSの検知手段情報162は変換せず□として実施検知手段情報1621に保存する。このとき、実施検知手段情報1621は□(振る舞い検知(AP))、□(IDS)であり、上記(c3)に該当するので、効果度1651に□を設定する。
本実施の形態における対策状況生成装置1は、組織対策情報15を参照することで、攻撃手段への対策として実施している検知・対策が、運用上の制限により、検知漏れ(回避)を起こすことを、対策状況情報16に示すことが可能となり、利用者は、運用制限による検知漏れのリスクを認識できる。
本実施の形態では、主に、実施の形態1と異なる点について説明する。本実施の形態において、実施の形態1から9と同様の構成には同一の符号を付し、その説明を省略する。また、実施の形態1から9と同様の機能についてもその説明を省略する。
本実施の形態において、対策状況生成装置1における、攻撃情報生成部101の処理は、実施の形態1と同じである。
その他の対策状況生成装置1の処理は実施の形態1に同じである。
図26は、本実施の形態に係る組織対策情報15aの構成の一例を示す図である。組織対策情報15aの各行は、組織で実施済の検知手段の情報と、その運用上の制限で構成される。
本実施の形態における対策状況生成装置1は、検知対策手段情報12に代わりに、実施済の検知・対策手段情報と運用上の制限の情報を組み合わせた組織対策情報15aを参照することで、実施済の検知・対策について、効果の状況を出力することができる。
なお、上記の実施の形態は、本質的に好ましい例示であって、本発明、その適用物や用途の範囲を制限することを意図するものではなく、必要に応じて種々の変更が可能である。
対策状況出力部、150 記憶部、111,161 攻撃手段情報、121 攻撃検知情報、131 攻撃検知危険度情報、133 攻撃事例情報、162 検知手段情報、1621 実施検知手段情報、163 危険度、164 組織対策状況情報、165 判定情報、1651 効果度、1652 優先的対策項目、171 選択攻撃手段、2 攻撃事例判定装置、201 攻撃事例判定部、3 対策候補抽出装置、301 対策候補抽出部、500 攻撃対策判定システム、510 攻撃対策判定方法、520 攻撃対策判定プログラム、909 処理回路、910 プロセッサ、920 記憶装置、921 補助記憶装置、922 メモリ、930 入力インタフェース、940 出力インタフェース、S100 攻撃対策判定処理、S110 攻撃情報生成処理、S120 検知情報生成処理、S130 危険度判定処理、S140 対策状況判定処理、S150 対策状況出力処理。
Claims (17)
- サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成部と、
前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定部と、
前記検知手段の前記検知精度と前記攻撃手段が実施される前記サイバー攻撃における攻撃フェーズとに基づいて、前記攻撃手段の危険度を判定する危険度判定部と
を備えた攻撃対策判定システム。 - 前記攻撃対策判定システムは、さらに、
前記攻撃手段と前記効果度とを対策状況情報として出力する対策状況出力部を備えた請求項1に記載の攻撃対策判定システム。 - 前記対策状況出力部は、
前記攻撃手段を検知する前記検知手段と、前記検知手段の前記検知精度とを前記対策状況情報に含める請求項2に記載の攻撃対策判定システム。 - 前記対策状況判定部は、
前記検知精度と前記組織対策情報とに基づいて、前記検知手段が前記組織において実施されているか否かを示す組織対策状況情報を生成し、前記組織対策状況情報に基づいて前記効果度を判定する請求項2又は3に記載の攻撃対策判定システム。 - 前記対策状況出力部は、
前記組織対策状況情報を前記対策状況情報に含める請求項4に記載の攻撃対策判定システム。 - 前記対策状況出力部は、
前記攻撃手段の危険度を前記対策状況情報に含める請求項2から5のいずれか1項に記載の攻撃対策判定システム。 - 前記検知情報生成部は、
前記攻撃手段を説明する説明文を含む攻撃手段情報と、前記検知手段が検知する攻撃手段を前記検知精度に応じて取得するためのキーワードを含む検知対策手段情報とを取得し、前記キーワードを用いて前記攻撃手段情報に含まれる前記説明文を検索し、前記検知手段が検知する攻撃手段を前記検知精度に応じて検出する請求項1から6のいずれか1項に記載の攻撃対策判定システム。 - 前記検知情報生成部は、
前記検知手段により検知される攻撃手段であって前記検知手段の前記検知精度に応じた攻撃手段を含む検知対策手段情報を取得し、前記検知対策手段情報に基づいて、前記検知手段が検知する攻撃手段を前記検知精度に応じて検出する請求項1から6のいずれか1項に記載の攻撃対策判定システム。 - 前記検知情報生成部は、
前記検知精度として、前記検知手段が前記攻撃手段を検知できない第1検知精度と、前記検知手段による前記攻撃手段の検知漏れの場合がある第2検知精度と、前記検知手段が前記攻撃手段を誤検知する場合がある第3検知精度と、前記検知手段が前記攻撃手段を誤検知せず、かつ、前記検知手段による前記攻撃手段の検知漏れがない第4検知精度と、前記検知手段が前記攻撃手段を検知できる場合と、前記検知手段が前記攻撃手段を検知できない場合と、前記検知手段が前記攻撃手段を誤検知する場合とがある第5検知精度との少なくともいずれかを有する請求項1から8のいずれか1項に記載の攻撃対策判定システム。 - サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成部と、
前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定部と
を備え、
前記検知情報生成部は、
前記攻撃手段を説明する説明文を含む攻撃手段情報と、前記検知手段が検知する攻撃手段を前記検知精度に応じて取得するためのキーワードを含む検知対策手段情報とを取得し、前記キーワードを用いて前記攻撃手段情報に含まれる前記説明文を検索し、前記検知手段が検知する攻撃手段を前記検知精度に応じて検出する攻撃対策判定システム。 - 前記検知情報生成部は、
前記検知精度として、前記検知手段が前記攻撃手段を検知できない第1検知精度と、前記検知手段による前記攻撃手段の検知漏れの場合がある第2検知精度と、前記検知手段が前記攻撃手段を誤検知する場合がある第3検知精度と、前記検知手段が前記攻撃手段を誤検知せず、かつ、前記検知手段による前記攻撃手段の検知漏れがない第4検知精度と、前記検知手段が前記攻撃手段を検知できる場合と、前記検知手段が前記攻撃手段を検知できない場合と、前記検知手段が前記攻撃手段を誤検知する場合とがある第5検知精度との少なくともいずれかを有する請求項10に記載の攻撃対策判定システム。 - サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成部と、
前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定部と、
前記攻撃手段と前記効果度とを対策状況情報として出力する対策状況出力部と、
前記サイバー攻撃の攻撃フェーズと前記攻撃フェーズにおいて実施される攻撃手段とを含む攻撃事例情報と、前記対策状況情報とを取得し、前記対策状況情報を用いて、前記攻撃事例情報について前記攻撃フェーズの攻撃手段ごとに前記組織の対策状況を判定する攻撃事例判定部と
を備えた攻撃対策判定システム。 - 前記攻撃事例判定部は、
前記攻撃事例情報と前記組織の対策状況とを攻撃事例対応情報として出力する請求項12に記載の攻撃対策判定システム。 - 前記攻撃対策判定システムは、さらに、
前記組織の対策状況に基づいて選択された選択攻撃手段と前記選択攻撃手段以外の攻撃手段とを含む前記攻撃事例情報を取得し、前記選択攻撃手段と組み合わせて使用される攻撃手段を前記攻撃事例情報から判定する対策候補抽出部を備えた請求項12または13に記載の攻撃対策判定システム。 - 前記対策候補抽出部は、
前記選択攻撃手段と組み合わせて使用される攻撃手段を強化対策情報として出力する請求項14に記載の攻撃対策判定システム。 - 検知情報生成部が、サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成し、
対策状況判定部が、前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定し、
危険度判定部が、前記検知手段の前記検知精度と前記攻撃手段が実施される前記サイバー攻撃における攻撃フェーズとに基づいて、前記攻撃手段の危険度を判定する攻撃対策判定方法。 - サイバー攻撃の攻撃手段と、前記攻撃手段を検知する検知手段と、前記攻撃手段に対する前記検知手段の検知精度とを含む攻撃検知情報を生成する検知情報生成処理と、
前記攻撃検知情報と、前記サイバー攻撃の対象となる組織において前記攻撃手段に対する対策として実施されている検知手段を組織検知手段として含む組織対策情報とを取得し、前記攻撃検知情報に含まれる前記検知精度と前記組織対策情報とに基づいて、前記組織における前記対策の効果の程度を表す効果度を判定する対策状況判定処理と、
前記検知手段の前記検知精度と前記攻撃手段が実施される前記サイバー攻撃における攻撃フェーズとに基づいて、前記攻撃手段の危険度を判定する危険度判定処理とをコンピュータに実行させる攻撃対策判定プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016050471A JP6407184B2 (ja) | 2016-03-15 | 2016-03-15 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016050471A JP6407184B2 (ja) | 2016-03-15 | 2016-03-15 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017167695A JP2017167695A (ja) | 2017-09-21 |
JP6407184B2 true JP6407184B2 (ja) | 2018-10-17 |
Family
ID=59913975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016050471A Active JP6407184B2 (ja) | 2016-03-15 | 2016-03-15 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6407184B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6977577B2 (ja) * | 2018-01-18 | 2021-12-08 | 富士通株式会社 | サイバー脅威評価装置、サイバー脅威評価プログラムおよびサイバー脅威評価方法 |
JP7105096B2 (ja) * | 2018-04-18 | 2022-07-22 | 株式会社日立システムズ | 複数組織間の脅威情報共有システム及び方法 |
JP7186637B2 (ja) * | 2019-02-21 | 2022-12-09 | 三菱電機株式会社 | 検知ルール群調整装置および検知ルール群調整プログラム |
WO2023084563A1 (ja) * | 2021-11-09 | 2023-05-19 | 日本電気株式会社 | 共有システム、共有方法、対策装置、対策方法及び記憶媒体 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005202664A (ja) * | 2004-01-15 | 2005-07-28 | Mitsubishi Electric Corp | 不正アクセス統合対応システム |
JP5020776B2 (ja) * | 2007-10-29 | 2012-09-05 | 株式会社エヌ・ティ・ティ・データ | 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム |
EP2385676B1 (en) * | 2010-05-07 | 2019-06-26 | Alcatel Lucent | Method for adapting security policies of an information system infrastructure |
JP2015026182A (ja) * | 2013-07-25 | 2015-02-05 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | セキュリティサービス効果表示システム、セキュリティサービス効果表示方法、及びセキュリティサービス効果表示プログラム |
-
2016
- 2016-03-15 JP JP2016050471A patent/JP6407184B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017167695A (ja) | 2017-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9853997B2 (en) | Multi-channel change-point malware detection | |
US8312536B2 (en) | Hygiene-based computer security | |
US9237161B2 (en) | Malware detection and identification | |
JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
JP5510937B2 (ja) | エンティティのレピュテーションスコアの簡易化された伝達 | |
EP2310974B1 (en) | Intelligent hashes for centralized malware detection | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的***和方法 | |
Wang et al. | NetSpy: Automatic generation of spyware signatures for NIDS | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
WO2008067371A2 (en) | System for automatic detection of spyware | |
JP6407184B2 (ja) | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム | |
JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
Villalba et al. | Ransomware automatic data acquisition tool | |
JP5656266B2 (ja) | ブラックリスト抽出装置、抽出方法および抽出プログラム | |
US8516100B1 (en) | Method and apparatus for detecting system message misrepresentation using a keyword analysis | |
Khan et al. | Malware detection and analysis | |
US9075991B1 (en) | Looting detection and remediation | |
JP2016525750A (ja) | 合法的オブジェクトの誤用の識別 | |
Kono et al. | An unknown malware detection using execution registry access | |
Kaur | Network Security: Anti-virus. | |
US11436326B2 (en) | False alarm detection for malware scanning | |
JP7023433B2 (ja) | インシデント対応効率化システム、インシデント対応効率化方法およびインシデント対応効率化プログラム | |
Shevchenko | Malicious code detection technologies | |
CN106372509A (zh) | 一种查杀未知可疑应用程序的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170907 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180419 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180605 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180727 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180821 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180918 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6407184 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |