JP7078562B2 - 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 - Google Patents

計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 Download PDF

Info

Publication number
JP7078562B2
JP7078562B2 JP2019020335A JP2019020335A JP7078562B2 JP 7078562 B2 JP7078562 B2 JP 7078562B2 JP 2019020335 A JP2019020335 A JP 2019020335A JP 2019020335 A JP2019020335 A JP 2019020335A JP 7078562 B2 JP7078562 B2 JP 7078562B2
Authority
JP
Japan
Prior art keywords
business system
incident
evaluation
business
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019020335A
Other languages
English (en)
Other versions
JP2020129166A (ja
Inventor
倫宏 重本
哲郎 鬼頭
翔太 藤井
康広 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019020335A priority Critical patent/JP7078562B2/ja
Publication of JP2020129166A publication Critical patent/JP2020129166A/ja
Application granted granted Critical
Publication of JP7078562B2 publication Critical patent/JP7078562B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、インシデントが業務システムに与える影響を防止するためのセキュリティ対策を立案する技術に関する。
近年、民間企業、防衛関連企業、及び公的機関等を狙ったサイバ攻撃が顕在化しており、個人、企業、及び国家の利益及び安全性を損なうリスクが高まっている。また、攻撃手法の巧妙化しており、高度なマルウェアを巧みに活用して特定の官庁、企業、及び組織のネットワークに侵入し、機密情報の窃取及びシステム破壊を行う標的型攻撃は、セキュリティ上の大きな脅威となっている。このような背景から、迅速な脅威の解析と、解析結果に基づく対策の立案が重要となる。
例えば、特許文献1には、FW(FireWall)からマルウェア候補サンプルを受信し、マルウェア候補サンプルがマルウェアであるか否かを判定するために仮想マシンを用いてマルウェア候補サンプルを解析し、マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャを自動的に生成するシステムが開示されている。
特表2014-519113号公報
特許文献1の技術を用いることによって、一般的なウィルス対策ソフトでは防ぐことができない未知のマルウェアによる攻撃を防ぐことができる。
しかし、特許文献1の技術は、複数の業務システムへの影響を評価する技術ではない。そのため、他の業務システム(例えば、ある企業が運用する業務システム)で発生したインシデントに関する情報を活用して、当該インシデントが評価対象の業務システム(例えば、自社が運用する業務システム)に与える影響の有無を判定し、当該影響を防止するための対策を立案することができない。例えば、他の業務システムで検出されたマルウェアが評価対象の業務システムに影響を与えないにもかかわらずシグネチャが生成され、生成されたシグネチャが業務システムに悪影響を与えてしまう可能性がある。
本発明は、他の業務システムで発生したインシデントに関する情報を活用して、当該インシデントが評価対象の業務システムへ与える影響を分析することを目的とする。
本発明の代表的な一例は、以下の通りである。すなわち、複数の計算機を備える計算機システムであって、前記複数の計算機の各々は、プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有し、前記計算機システムは、業務を実行する複数の業務システムと接続し、前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を管理し、第1の業務システムにおいて発生したインシデントに関する情報、前記第1の業務システムにおける影響の検出方法に関する情報、及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含むインシデントデータを取得する第1の処理と前記業務システム管理情報に基づいて、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する第2の処理と、前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第3の処理と、前記分析の結果を出力する第4の処理と、を実行し、前記第3の処理では、前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定する処理と、前記評価業務システムの判定基準を満たすと判定された場合、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用する処理と、前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する処理と、が実行される
本発明の一形態によれば、他の業務システムで発生したインシデントに関する情報を活用して、インシデントが評価対象の業務システムへ与える影響を分析できる。上記した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
実施例1に係る計算機システムの構成例を示す図である。 実施例1のインシデントデータ管理情報のデータ構造の一例を示す図である。 実施例1の業務システム管理情報のデータ構造の一例を示す図である。 実施例1のインシデント再現結果管理情報のデータ構造の一例を示す図である。 実施例1のインシデント再現装置が実行する処理の一例を説明するフローチャートである。 実施例1のインシデント再現装置が実行するインシデント再現処理の一例を説明するフローチャートである。 実施例1のインシデント再現結果を表示する表示画面の一例を示す図である。 実施例2のインシデント再現装置の構成例を示す図である。 実施例2の攻撃手法管理情報のデータ構造の一例を示す図である。 実施例2のインシデント再現装置が実行する処理の一例を説明するフローチャートである。 実施例2のインシデント再現装置が実行するインシデント再現処理の一例を説明するフローチャートである。
まず、実発明の概要について説明する。
本明細書では、業務システムを運用する個人、企業、及び国等を区別しない場合、組織と記載する。
インシデント(セキュリティインシデント)が発生した業務システムを運用する組織では、組織の中に存在するSOC(Security Operation Center)及びCSIRT(Computer Security Incident Response Team)等でインシデントの原因である脅威の特定、脅威の検出方法の確立、脅威への対策が行われる。
本発明では、インシデント再現装置110(図1を参照)が、ある組織で特定された脅威、脅威の検出方法、及び脅威による影響を解消するために行われた対処に関する情報を含むインシデントデータを取得し、評価対象の組織が運用する業務システム上でインシデントを再現する。インシデント再現装置110は、当該インシデントによる業務システムへの影響がある場合、当該影響を防止するための対策を立案する。
以上のような処理が実行されることによって、ある業務システムで発生したインシデントが評価対象の業務システムに与える影響を防止する対策を立案することができる。これによって、複数の業務システムにおいて同様のインシデントの発生を予防することが可能となる。
以下、本発明の実施例を、図面を用いて説明する。ただし、本発明は以下に示す実施例の記載内容に限定して解釈されるものではない。本発明の思想ないし趣旨から逸脱しない範囲で、その具体的構成を変更し得ることは当業者であれば容易に理解される。
以下に説明する発明の構成において、同一又は類似する構成又は機能には同一の符号を付し、重複する説明は省略する。
本明細書等における「第1」、「第2」、「第3」等の表記は、構成要素を識別するために付するものであり、必ずしも、数又は順序を限定するものではない。
図面等において示す各構成の位置、大きさ、形状、及び範囲等は、発明の理解を容易にするため、実際の位置、大きさ、形状、及び範囲等を表していない場合がある。したがって、本発明では、図面等に開示された位置、大きさ、形状、及び範囲等に限定されない。
図1は、実施例1に係る計算機システムの構成例を示す図である。
計算機システムは、異なる組織が運用するシステム100から構成される。図1では、組織A、B、C、Dが運用するシステム100A、100B、100C、100Dから構成される。なお、本発明は計算機システムを構成するシステム100の数に限定されない。
各システム100A、100B、100C、100Dは、ネットワーク101を介して互いに接続される。ネットワーク101は、例えば、WAN(Wide Area Network)等である。ネットワーク101の接続方式は有線及び無線のいずれでもよい。
システム100Aは、インシデント再現装置110、評価環境140、及び本番環境150から構成される。なお、一つのシステム100にのみインシデント再現装置110が存在する構成でもよい。
本番環境150は、実際に業務を行う業務システム(図示省略)を構築するための環境である。例えば、ファイルサーバ、WEBサーバ、DNS(Domain Name System)サーバ等が業務システムとして挙げられる。本番環境150には、複数の計算機及びネットワーク装置、並びに、各種ソフトウェアが含まれる。
評価環境140は、インシデントの影響を分析する業務システムを模擬する評価業務システム141を構築するための環境である。図1の評価環境140には、評価業務システムA141A、評価業務システムB141B、評価業務システムC141Cが構築される。各評価業務システム141は、ネットワーク142を介してインシデント再現装置110と接続する。ネットワーク142は、例えば、LAN(Local Area Network)等である。ネットワーク142の接続方式は有線及び無線のいずれでもよい。
実施例1では、自システム100A内で稼働する業務システムを模擬した評価業務システム141が評価環境140に構築される。なお、他のシステム100B、100C、100Dで稼働する業務システムを模擬した評価業務システム141が構築されてよい。
インシデント再現装置110は、評価環境140に評価業務システム141を構築し、評価業務システム141上でインシデントを再現し、当該インシデントによる評価業務システム141への影響を分析する。
インシデント再現装置110は、CPU(Central Processing Unit)113、メインメモリ114、記憶装置115、インタフェース112、及び入出力装置116を有する計算機である。各ハードウェアは通信路117を介して互いに接続される。通信路117は、例えば、バス及びケーブル等の情報伝達媒体である。
CPU113は、メインメモリ114に格納されたプログラムを実行する。CPU113がプログラムにしたがって処理を実行することによって、特定の機能を実現する機能部(モジュール)として動作する。
メインメモリ114は、CPU113が実行するプログラム及び当該プログラムの実行時に使用するデータを格納する。また、メインメモリ114は、プログラムが一時的に使用するワークエリアを含む。メインメモリ114に格納されるプログラムの詳細は後述する。
記憶装置115は大量のデータを永続的に格納する。記憶装置115は、例えば、HDD(Hard Disk Drive)及びフラッシュメモリ等である。記憶装置115に格納されるデータの詳細は後述する。
インタフェース112は、他の装置と通信するためのインタフェースである。インタフェース112は、例えば、NIC(Network Interface Card)である。図1では、インシデント再現装置110は、インタフェース112Aを介して他のシステム100B、100C、100Dと通信し、また、インタフェース112Bを介して、評価環境140及び本番環境150と通信する。
入出力装置116は、インシデント再現装置110にデータを入力し、インシデント再現装置110からデータを出力するための装置である。入出力装置116は、例えば、キーボード、マウス、タッチパネル、及びディスプレイ等から構成される。
ここで、メインメモリ114に格納されるプログラムについて説明する。メインメモリ114は、インシデントデータ受信プログラム121、業務システム構築プログラム122、インシデント再現プログラム123、影響分析プログラム124、対策適用プログラム125、及び提示プログラム126を格納する。
メインメモリ114に格納されるプログラムは、記憶装置115に格納されていてもよいし、外部の装置に格納されてもよい。記憶装置115にプログラムが格納されている場合、CPU113は、記憶装置115からプログラムを読み出し、メインメモリ114にロードする。外部の装置にプログラムが格納されている場合、CPU113は、入出力装置116又はインタフェース112を介して外部装置からプログラムを取得し、メインメモリ114にインストール(ロード)する。
インシデントデータ受信プログラム121は、他組織のシステム100上で稼働する業務システムで発生したインシデントに関連する情報を含むインシデントデータを受信するために実行されるプログラムである。
業務システム構築プログラム122は、評価環境140に評価業務システム141を構築するために実行されるプログラムである。
インシデント再現プログラム123は、評価業務システム141上でインシデントを再現するために実行されるプログラムである。
影響分析プログラム124は、再現されたインシデントによる評価業務システム141への影響を分析するために実行されるプログラムである。
対策適用プログラム125は、評価業務システム141に対策を適用するために実行されるプログラムである。
提示プログラム126は、ユーザに分析の結果をインシデント再現結果として提示するために実行されるプログラムである。例えば、提示プログラム126が実行されることによって、情報の可視化(画面の表示)又は音声の再生等が行われる。
なお、メインメモリ114に格納されるプログラムは、複数のプログラムを一つのプログラムにまとめてもよいし、一つのプログラムを複数のプログラムに分けてもよい。例えば、インシデント再現プログラム123及び影響分析プログラム124を一つのプログラムにしてよい。
次に、記憶装置115に格納されるデータについて説明する。記憶装置115は、インシデントデータ管理情報131、業務システム管理情報132、及びインシデント再現結果管理情報133を格納する。
インシデントデータ管理情報131は、インシデントデータを管理するための情報である。インシデントデータ管理情報131のデータ構造の詳細は図2を用いて説明する。
業務システム管理情報132は、業務システムの構成及び影響の確認方法等を管理するための情報である。業務システム管理情報132のデータ構造の詳細は図3を用いて説明する。
インシデント再現結果管理情報133は、インシデント再現結果を管理するための情報である。インシデント再現結果管理情報133のデータ構造の詳細は図4を用いて説明する。
図2は、実施例1のインシデントデータ管理情報131のデータ構造の一例を示す図である。
インシデントデータ管理情報131は、ID201、日時202、組織203、脅威204、検出方法205、及び対処手段206から構成されるエントリを格納する。一つのエントリが一つのインシデントデータに対応する。
ID201は、インシデントデータ(エントリ)を一意に識別するための識別情報を格納するフィールドである。
日時202は、インシデントが発生した日時を格納するフィールドである。各システム100が管理する時刻は同期が行われているものとする。
組織203は、インシデントが発生したシステム100、すなわち、インシデントデータの送信元の組織を識別するための識別情報を格納するフィールドである。
脅威204は、インシデントの原因である脅威を示す情報を格納するフィールドである。本明細書では、業務システムに対する攻撃を行う主体(プログラム)及び業務システムに対する攻撃の契機となる行為を「脅威」と定義する。
検出方法205は、脅威を検出する方法を格納するフィールドである。複数の検出方法が存在する場合、検出方法205には複数の検出方法が格納される。また、検出方法が不明の場合、検出方法205は空欄となる。
対処手段206は、検出された脅威に対して行われた処理及び行動等の対処に関する情報を格納するフィールドである。インシデントに対して複数の対処が行われた場合、対処手段206には複数の対処を示す情報が格納される。また、対処が不明の場合、対処手段206は空欄となる。
ID201が「1」に対応するインシデントデータは、組織B(システム100B)において、2018/1/1の00:00:00に、マルウェアAが脅威として検出されたこと、マルウェアAの感染により、サイトAへの通信及びa.exeの生成が観測されたこと、サイトAへの通信の遮断及びパッチAの適用が対処として行われたことを表す。
ID201が「4」に対応するインシデントデータは、組織D(システム100D)において、2018/1/1の00:00:30に、マルウェアCが脅威として特定されたこと、検出方法及び対処が不明であることを表す。
なお、インシデントデータは、説明の都合上、実際に組織(システム100)で発生したインシデントに関連する情報を含むものと説明しているが、必ずしもインシデントが発生している必要はない。インシデントデータ管理情報131には、既知の脅威に関する情報を含むインシデントデータが格納されてもよい。
インシデントデータ管理情報131は、インシデントデータ受信プログラム121を実行するCPU113によって生成される。また、インシデントデータ管理情報131は、業務システム上でのインシデントの再現、インシデントが業務システムへ与える影響の分析、及び業務システムへの対策の適用を行う場合、並びに、インシデント再現結果を提示する場合に用いられる。
図3は、実施例1の業務システム管理情報132のデータ構造の一例を示す図である。
業務システム管理情報132は、ID301、システム名302、OS303、アプリケーション304、及び判定基準305から構成されるエントリを格納する。一つのエントリが一つの業務システムに対応する。
ID301は、業務システム(エントリ)を一意に識別するための識別情報を格納するフィールドである。
システム名302は、業務システムの名前を格納するフィールドである。OS303は、業務システムで用いられるOS(Operating System)を示す情報を格納するフィールドである。アプリケーション304は、業務システムで用いられるアプリケーションを示す情報を格納するフィールドである。
判定基準305は、インシデントによる業務システムへの影響の有無を判定するための基準に関する情報を格納するフィールドである。判定基準305には、複数の判定基準を示す情報が格納されてもよい。この場合、インシデント再現装置110は、いずれかの判定基準を満たす場合、インシデントによる業務システムへの影響があると判定する。
ID301が「1」に対応する業務システムは、OSAを利用すること、OSA上で業務アプリケーションA及びデータベースAがインストールされること、業務アプリケーションAの停止、データの改ざん、又はマルウェアの感染が判定基準として設定されていることを表す。
業務システム管理情報132は、予め設定されているものとする。ただし、計算機システムの管理者等が必要に応じて、エントリの追加、削除、及び更新を行ってもよい。業務システム管理情報132は、評価環境140に評価業務システム141を構築する場合に用いられる。
図4は、実施例1のインシデント再現結果管理情報133のデータ構造の一例を示す図である。
インシデント再現結果管理情報133は、ID401、インシデントID402、業務システムID403、影響404、対策405、及び適用後影響406から構成されるエントリを格納する。一つのエントリが一つのインシデント再現結果に対応する。
ID401は、インシデント再現結果を一意に識別するための識別情報を格納するフィールドである。
インシデントID402は、再現したインシデントの識別情報を格納するフィールドである。インシデントID402はID201に対応する。
業務システムID403は、インシデントの再現が行われた評価業務システム141の識別情報を格納するフィールドである。業務システムID403はID301に対応する。
影響404は、再現されたインシデントによる評価業務システム141への影響の有無を示す情報を格納する。影響404には「あり」又は「なし」のいずれかが格納される。「あり」は影響があることを示し、「なし」は影響がないことを示す。
対策405は、業務システムに対して適用した対策を示す情報を格納する。
適用後影響406は、再現されたインシデントによる、対策が適用された後の業務システムへの影響の有無を示す情報を格納する。適用後影響406には「あり」又は「なし」のいずれかが格納される。
ID401が「1」に対応するインシデント再現結果は、業務システムAがID201が「1」のインシデントによる影響を受けること、また、「サイトA遮断」の対策を適用した業務システムAも当該インシデントの影響を受けることを表す。
インシデント再現結果管理情報133は、影響分析プログラム124を実行するCPU113によって生成される。インシデント再現結果管理情報133は、インシデント再現結果を提示する場合に用いられる。
次に、インシデント再現装置110が実行する処理の詳細について説明する。
図5は、実施例1のインシデント再現装置110が実行する処理の一例を説明するフローチャートである。
インシデント再現装置110は、インタフェース112Aを介して、任意のシステム100からインシデントデータを受信した場合(ステップS501)、当該インシデントデータに対応するインシデントが未知の脅威に起因するインシデントであるか否かを判定する(ステップS502)。
具体的には、インシデントデータ受信プログラム121を実行するCPU113は、受信したインシデントから脅威に関する情報を取得する。CPU113は、インシデントデータ管理情報131を参照し、脅威204が取得した脅威に関する情報と一致するエントリが存在するか否かを判定する。前述の条件を満たすエントリが存在しない場合、CPU113は、受信したインシデントデータに対応するインシデントが未知の脅威に起因するインシデントであると判定する。
受信したインシデントデータに対応するインシデントが未知の脅威に起因するインシデントでないと判定された場合、インシデント再現装置110は処理を終了する。この場合、インシデントデータ受信プログラム121を実行するCPU113は、受信したインシデントデータをインシデントデータ管理情報131に登録せずに、処理を終了する。
受信したインシデントデータに対応するインシデントが未知の脅威に起因するインシデントであると判定された場合、インシデント再現装置110は業務システムのループ処理を開始する(ステップS503)。
具体的には、インシデントデータ受信プログラム121を実行するCPU113は、インシデントデータ管理情報131に受信したインシデントデータを登録し、業務システム構築プログラム122を起動する。業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132に格納されるエントリから一つのエントリを選択する。以下では、選択されたエントリに対応する業務システムをターゲット業務システムと記載する。
次に、インシデント再現装置110は、評価環境140に、ターゲット業務システムに対応する評価業務システム141を構築する(ステップS504)。
具体的には、業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132から選択されたエントリのOS303及びアプリケーション304に基づいて、評価環境140に評価業務システム141を構築する。その後、CPU113は、インシデント再現プログラム123を起動する。
次に、インシデント再現装置110は、構築された評価業務システム141に対してインシデント再現処理を実行する(ステップS505)。インシデント再現処理の詳細は図6を用いて説明する。
次に、インシデント再現装置110は、全ての業務システムについて処理が完了したか否かを判定する(ステップS506)。
全ての業務システムについて処理が完了していないと判定された場合、インシデント再現装置110は、ステップS503に戻り、同様の処理を実行する。
具体的には、影響分析プログラム124を実行するCPU113は、業務システム構築プログラム122を起動する。
全ての業務システムについて処理が完了したと判定された場合、インシデント再現装置110は、インシデント再現結果を提示し(ステップS507)、その後、処理を終了する。
具体的には、影響分析プログラム124を実行するCPU113は、提示プログラム126を起動する。提示プログラム126を実行するCPU113は、インシデント再現結果を提示するための情報(表示情報及び音声情報等)を生成し、出力する。表示情報に基づいて表示される画面については図7を用いて説明する。
図6は、実施例1のインシデント再現装置110が実行するインシデント再現処理の一例を説明するフローチャートである。
インシデント再現装置110は、構築された評価業務システム141上で、受信したインシデントデータに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS601)。具体的には、以下のような処理が実行される。
インシデント再現プログラム123を実行するCPU113は、インシデントデータに基づいて、評価業務システム141上でインシデントを再現する。例えば、脅威204に対応するプログラム(マルウェア)を実行し、又は、脅威204に対する行為(サイトへのアクセス)を実行する。インシデント再現プログラム123を実行するCPU113は、影響分析プログラム124を起動する。
影響分析プログラム124を実行するCPU113は、インシデントが再現された評価業務システム141の挙動を監視し、ステップS503において選択されたエントリの判定基準305に設定された判定基準を満たすか否かを判定する。このとき、CPU113は、予め設定されたポリシ、又は、受信したインシデントデータの検出方法205を用いて評価業務システム141の挙動を監視する。予め設定されたポリシに基づく評価業務システム141の挙動の監視には、稼働するプロセス、CPU113の使用率、データ改ざんの有無等を確認するためのプログラムを評価業務システム141にインストールし、利用してもよい。
以上がステップS601の処理の説明である。
次に、インシデント再現装置110は、再現されたインシデントによる評価業務システム141への影響があるか否かを判定する(ステップS602)。
具体的には、影響分析プログラム124を実行するCPU113は、判定基準305に設定された判定基準を満たすか否かが判定される。判定基準305に設定された判定基準を満たす場合、CPU113は、再現されたインシデントによる評価業務システム141への影響があると判定する。
再現されたインシデントによる評価業務システム141への影響がないと判定された場合、インシデント再現装置110は、インシデント再現結果管理情報133を更新し(ステップS603)、その後、インシデント再現処理を終了する。
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「なし」を格納する。この場合、対策405及び適用後影響406は空欄となる。
再現されたインシデントによる評価業務システム141への影響があると判定された場合、インシデント再現装置110は、対処のループ処理を開始する(ステップS604)。具体的には、以下のような処理が実行される。
影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。
対策適用プログラム125を実行するCPU113は、インシデントデータ管理情報131を参照し、受信したインシデントデータに対応するエントリを検索する。CPU113は、検索されたエントリの対処手段206に設定された対処の中から一つの対処を選択する。
以上がステップS604の処理の説明である。
次に、インシデント再現装置110は、選択された対処を対策として評価業務システム141に適用する(ステップS605)。
具体的には、対策適用プログラム125を実行するCPU113は、選択された対処を対策として評価業務システム141に適用する。CPU113は、インシデント再現プログラム123を起動する。
次に、インシデント再現装置110は、対策が適用された評価業務システム141上で、受信したインシデントデータに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS606)。ステップS606の処理はステップS601の処理と同一である。
次に、インシデント再現装置110は、インシデント再現結果管理情報133を更新する(ステップS607)。
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、また、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「あり」を格納する。CPU113は、追加されたエントリの対策405にステップS604で選択された対処を示す情報を格納し、適用後影響406に分析結果を格納する。分析結果は「あり」又は「なし」のいずれかである。
次に、インシデント再現装置110は、全ての対処について処理が完了したか否かを判定する(ステップS608)。
全ての対処について処理が完了していないと判定された場合、インシデント再現装置110は、ステップS604に戻り、同様の処理を実行する。
具体的には、影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。
全ての対処について処理が完了したと判定された場合、インシデント再現装置110は、インシデント再現処理を終了する。
複数の対処を検証することにより、適用しやすい対策又はコストの低い対策の抽出等、適用可能な対策の選択の幅を広げることができる。
図7は、実施例1のインシデント再現結果を表示する表示画面の一例を示す図である。
表示画面700は、例えば、入出力装置116に表示される画面であり、パス欄701、インシデント情報欄702、対策欄703、及びインシデント再現結果欄704を含む。なお、図7に示す表示画面700は一例であり、これに限定されない。図示しない欄を含んでもよいし、また、いずれかの欄を含まなくてもよい。
パス欄701は、インシデント再現結果管理情報133が格納されるパスを表示する欄である。
インシデント情報欄702は、他組織で発生したインシデントに関する情報を表示する欄である。インシデント情報欄702には、受信したインシデントデータに含まれる情報が表示される。例えば、インシデント情報欄702には、インシデントが発生した日時、インシデントが発生した組織、特定された脅威等が表示される。
対策欄703は、業務システム毎に推奨される対策を表示する欄である。対策欄703には、影響404が「あり」かつ適用後影響406が「なし」であるエントリの対策405が表示される。
なお、一つの業務システムについて、前述の条件を満たすエントリが複数存在する場合、全てのエントリの対策405を表示してもよいし、また、一部のエントリの対策405を表示してもよい。
なお、一つの業務システムについて、影響404が「あり」かつ適用後影響406が「あり」であるエントリしか存在しない場合、管理者に注意喚起を行うために、「不明」が表示される。
インシデント再現結果欄704は、各業務システムのインシデントの再現結果を表示する欄である。
インシデント再現結果欄704には、インシデント再現結果管理情報133に設定された情報が表示される。
ここで、具体例を用いて、インシデント再現装置110が実行する処理について説明する。なお、説明の都合上、インシデントデータ管理情報131及びインシデント再現結果管理情報133にはエントリが存在しないものとする。また、業務システム管理情報132には、業務システムA及び業務システムBのエントリのみが存在するものとする。
この例では、次のようなインシデントを想定する。組織Bのシステム100Bにおいて、2018/1/1の00:00:00にインシデントが発生した。組織BのSOCチームは、マルウェアAを脅威として特定し、マルウェアAに感染した端末がサイトAに通信し、またa.exeを生成することを特定した。これに対して、組織BのSOCチームは、感染端末に対して、サイトAの遮断及びパッチAの適用を対処として行った。
インシデント再現装置110は、上記のインシデントに関する情報を含むインシデントデータを受信する(ステップS501)。
ステップS502において、インシデントデータ受信プログラム121を実行するCPU113は、インシデントデータ管理情報131が空であるため、未知の脅威に起因するインシデントであると判定する。このとき、CPU113は、インシデントデータ管理情報131にエントリを追加し、追加されたエントリのID201に「1」を格納し、日時202に「2018/1/1 00:00:00」を格納し、組織203に「組織B」を格納し、脅威204に「マルウェアA」を格納し、検出方法205に「サイトAへの通信」及び「a.exeの生成」を格納し、対処手段206に「サイトA遮断」及び「パッチA適用」を格納する。
業務システムA及び業務システムBのそれぞれについて、ステップS504及びステップS505の処理が実行される。
まず、業務システム構築プログラム122を実行するCPU113は、ID301が「1」のエントリを選択し(ステップS503)、評価環境140に業務システムAに対応する評価業務システムA141Aを構築する(ステップS504)。
インシデント再現プログラム123を実行するCPU113は、評価業務システムA141A上でマルウェアAを実行させる(ステップS601)。
影響分析プログラム124を実行するCPU113は、業務システム管理情報132から選択したエントリの判定基準305を取得し、業務アプリAの停止、データ改ざん、及びマルウェア感染の発生を監視する。マルウェア感染については、インシデントデータの検出方法205に基づいて監視が行われる。「サイトAへの通信」及び「a.exeの生成」の少なくともいずれか検出された場合、CPU113はマルウェアAの感染と判定する。
この例では、「サイトAへの通信」及び「a.exeの生成」のいずれもが検出されたものとする。すなわち、マルウェアAの感染が検出されたものとする。この場合、影響分析プログラム124を実行するCPU113は、再現されたインシデントによる評価業務システムA141Aへの影響があると判定し(ステップS602がYes)、対策適用プログラム125を起動する。
対策適用プログラム125を実行するCPU113は、対処手段206に格納される「サイトA遮断」及び「パッチA適用」のいずれかを選択する(ステップS604)。ここでは、「サイトA遮断」が選択されたものとする。
対策適用プログラム125を実行するCPU113は、「サイトA遮断」を実現するための設定及び変更等を評価業務システムA141Aに適用する(ステップS605)。例えば、評価業務システムA141A上でサイトAへの通信を遮断するように設定を変更し、又は、ネットワーク142にサイトAへの通信を遮断するためのFireWallを設置する。
インシデント再現プログラム123を実行するCPU113は、「サイトA遮断」の対策が適用された評価業務システムA141A上でマルウェアAを実行させる(ステップS606)。ここでは、a.exeの生成が検出されたものとする。
影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「1」を格納し、インシデントID402に「1」を格納し、業務システムID403に「1」を格納し、影響404に「あり」を格納し、対策405に「サイトA遮断」を格納し、適用後影響406に「あり」を設定する。
ステップS608では、未処理の対処が存在するため、影響分析プログラム124を実行するCPU113は、ステップS604に戻り、対策適用プログラム125を起動する。対策適用プログラム125を実行するCPU113は、「パッチA適用」を選択する。
対策適用プログラム125を実行するCPU113は、パッチAを評価業務システムA141Aに適用する(ステップS605)。
インシデント再現プログラム123を実行するCPU113は、「パッチA適用」の対策が適用された評価業務システムA141A上でマルウェアAを実行させる(ステップS606)。ここでは、業務アプリAの停止、データ改ざん、及びマルウェア感染のいずれも検出されなかったものとする。
影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「2」を格納し、インシデントID402に「1」を格納し、業務システムID403に「1」を格納し、影響404に「あり」を格納し、対策405に「パッチA適用」を格納し、適用後影響406に「なし」を設定する。
ステップS608では、全ての対処の処理が完了したため、インシデント再現装置110はインシデント再現処理を終了する。
ステップS506において、未処理の業務システムが存在するため、影響分析プログラム124を実行するCPU113は、ステップS503に戻り、業務システム構築プログラム122を起動する。業務システム構築プログラム122を実行するCPU113は、ID301が「2」のエントリを選択し(ステップS503)、評価環境140に業務システムBに対応する評価業務システムB141Bを構築する(ステップS504)。
インシデント再現プログラム123を実行するCPU113は、評価業務システムB141B上でマルウェアAを実行させる(ステップS601)。
影響分析プログラム124を実行するCPU113は、業務システム管理情報132から選択したエントリの判定基準305を取得し、業務アプリBの停止及びデータ漏洩の発生を監視する。
この例では、データ漏洩が検出されたものとする。この場合、影響分析プログラム124を実行するCPU113は、再現されたインシデントによる評価業務システムB141Bへの影響があると判定し(ステップS602がYes)、対策適用プログラム125を起動する。
対策適用プログラム125を実行するCPU113は、対処手段206に格納される「サイトA遮断」及び「パッチA適用」のいずれかを選択する(ステップS604)。ここでは、「サイトA遮断」が選択されたものとする。
対策適用プログラム125を実行するCPU113は、「サイトA遮断」を実現するための設定及び変更等を評価業務システムB141Bに適用する(ステップS605)。例えば、評価業務システムB141B上でサイトAへの通信を遮断するように設定を変更し、又は、ネットワーク142にサイトAへの通信を遮断するためのFireWallを設置する。
インシデント再現プログラム123を実行するCPU113は、「サイトA遮断」の対策が適用された評価業務システムB141B上でマルウェアAを実行させる(ステップS606)。ここでは、データ漏洩が検出されたものとする。
影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「3」を格納し、インシデントID402に「1」を格納し、業務システムID403に「2」を格納し、影響404に「あり」を格納し、対策405に「サイトA遮断」を格納し、適用後影響406に「あり」を設定する。
ステップS608では、未処理の対処が存在するため、影響分析プログラム124を実行するCPU113は、ステップS604に戻り、対策適用プログラム125を起動する。対策適用プログラム125を実行するCPU113は、「パッチA適用」を選択する。
対策適用プログラム125を実行するCPU113は、パッチAを評価業務システムB141Bに適用する(ステップS605)。
インシデント再現プログラム123を実行するCPU113は、「パッチA適用」の対策が適用された評価業務システムB141B上でマルウェアAを実行させる(ステップS606)。ここでは、業務アプリBの停止が検出されたものとする。
影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133を更新する(ステップS607)。具体的には、CPU113は、インシデント再現結果管理情報133にエントリを追加し、ID401に「4」を格納し、インシデントID402に「1」を格納し、業務システムID403に「2」を格納し、影響404に「あり」を格納し、対策405に「パッチA適用」を格納し、適用後影響406に「あり」を設定する。
ステップS608では、全ての対処の処理が完了したため、インシデント再現装置110はインシデント再現処理を終了する。
ステップS506において、全ての業務システムの処理が完了したため、影響分析プログラム124を実行するCPU113は、提示プログラム126を起動する。提示プログラム126を実行するCPU113は、インシデント再現結果を提示するための情報を生成し、出力する(ステップS507)。この結果、図7に示すような表示画面700がユーザに対して提示される。
なお、実施例1は以下のような変形例も考えられる。
(変形例1)インシデント再現装置110は、業務システムの構成の変化に伴って業務システム管理情報132を更新した後、インシデントデータ管理情報131に格納されるインシデントデータを用いて処理を実行してもよい。これによって、最新の業務システムに対するインシデントの影響を分析できる。
(変形例2)インシデント再現装置110は、推薦された対策を業務システムに自動的に適用してもよい。例えば、ある業務システムに適用した対策により、インシデントの影響がないと判定された場合、インシデント再現装置110は、全て、又は、特定の業務システムに対して当該対策を自動的に適用する。これによって、迅速に対策を業務システムに適用できる。
(変形例3)判定基準305に影響のレベルを追加する。例えば、影響が小、中、大の各々の判定基準を定義し、影響レベル及び対策と、分析結果とを提示する。これによって、対策の適用による影響が小さい場合に対策を適用する等、柔軟な対策の適用処理を実現できる。
(変形例4)対策適用プログラム125を実行するCPU113は、受信したインシデントデータに含まれる対処とは異なる対処を選択してもよい。例えば、CPU113は、インシデントデータ管理情報131に格納されるインシデントデータに含まれる対処を選択してもよい。これによって、例えば、亜種のウィルスの出現等、対策が明らかになっていない脅威に対しても対策を講じることができる。
(変形例5)業務システム構築プログラム122を実行するCPU113は、予め評価環境140に評価業務システム141を構築してもよい。これによって、インシデントの再現及び分析に要する時間を短縮できる。
(変形例6)影響分析プログラム124を実行するCPU113は、業務システムに対するインシデントの影響がない対策が特定された場合に、ステップS604からステップS608までのループ処理を終了してよい。これによって、迅速に対策を適用できる。
(変形例7)対策適用プログラム125を実行するCPU113は、複数の対処を組み合わせた対策を適用してもよい。これによって、適用しやすい対策又はコストの低い対策の抽出等、適用可能な対策の選択の幅を広げることができる。
以上で説明したように、実施例1によれば、他の組織で発生したインシデントに関する情報を活用し、当該インシデントが自組織の業務システムに与える影響を分析できる。また、分析結果を用いて有効な対策を立案し、未然に同様のインシデントの発生を防止することができる。
実施例2では、インシデント再現装置110は未知の攻撃に起因するインシデントを再現する。実施例1では、他の組織で実際に発生したインシデントを業務システム上で再現し、その影響の分析が行われていた。しかし、攻撃手法は日々進化しており、未知の脅威に起因するインシデントの発生を未然に防ぐことが望ましい。
以下、実施例1との差異を中心に実施例2について説明する。
実施例2の計算機システムの構成は実施例1と同一である。実施例2では、インシデント再現装置110の構成が一部異なる。
図8は、実施例2のインシデント再現装置110の構成例を示す図である。
実施例2のインシデント再現装置110のハードウェア構成は実施例1と同一である。また、実施例2のメインメモリ114に格納されるプログラムも実施例1と同一である。
実施例2では、記憶装置115に格納される情報が一部異なる。具体的には、実施例2の記憶装置115は、インシデントデータ管理情報131、業務システム管理情報132、及びインシデント再現結果管理情報133に加えて、攻撃手法管理情報800を格納する。攻撃手法管理情報800のデータ構造の詳細は図9を用いて説明する。
実施例2では、インシデントデータは、脅威として攻撃シナリオを含む。ここで、攻撃シナリオとは、特定の目的を達成するための攻撃手法群であり、複数の攻撃手法から構成されるシナリオである。
例えば、標的型攻撃では、添付メール又は水飲み場攻撃等を用いて組織に侵入したマルウェアが、攻撃者が運用するC&C(Command&Control)サーバと通信することによって新たなマルウェア及び攻撃ツールをダウンロードし、組織内の偵察し、攻撃基盤の確立し、破壊及び情報窃取等の最終目的を達成する。
ここで、攻撃者が、OS調査プログラムAを用いてOSの調査を行い、マルウェアAを用いて組織に侵入し、認証窃取プログラムAを用いて認証情報の窃取を行い、リモート実行プログラムAを用いて感染を拡大し、情報窃取プログラムAを用いて情報を窃取する攻撃を想定する。この場合、攻撃シナリオは、「OS調査(OS調査プログラムA)、マルウェア実行(マルウェアA)、認証窃取(認証窃取プログラムA)、リモート実行(リモート実行プログラムA)、情報窃取(情報窃取プログラムA)」となる。攻撃手法の順番は実行順を表す。
実施例2では、インシデントデータには、攻撃シナリオと共に、攻撃シナリオに対応する攻撃に使用する攻撃コード(OS調査プログラムA、マルウェアA、認証窃取プログラムA、リモート実行プログラムA、情報窃取プログラムA等)も含まれるものとする。
図9は、実施例2の攻撃手法管理情報800のデータ構造の一例を示す図である。
攻撃手法管理情報800は、ID901、攻撃分類902、攻撃手法903、前提条件904、及び攻撃コード905から構成されるエントリを含む。一つのエントリが一つの攻撃手法に対応する。
ID901は、攻撃手法(エントリ)を一意に識別するための識別情報を格納するフィールドである。
攻撃分類902は、攻撃手法の大まかな分類を示す情報を格納するフィールドである。
攻撃手法903は、攻撃手法を示す情報を格納するフィールドである。
前提条件904は、攻撃手法903に対応する攻撃手法を実行するための前提条件を示す情報を格納するフィールドである。
攻撃コード905は、攻撃手法903に対応する攻撃手法を実現するための攻撃コードを格納するフィールドである。
ID901が「1」に対応する攻撃手法は、OS調査プログラムAを用いて、OSの調査を目的とした偵察行動を行うことを表す。
実施例2では、攻撃手法管理情報800は予め設定されているものとする。なお、管理者等が必要に応じて、攻撃手法管理情報800のエントリの追加、削除、及び更新を行ってもよい。
攻撃手法管理情報800は、インシデントを再現する場合に用いられる。
図10は、実施例2のインシデント再現装置110が実行する処理の一例を説明するフローチャートである。
インシデント再現装置110は、インタフェース112Aを介して、インシデントデータを受信した場合(ステップS1001)、業務システムのループ処理を開始する(ステップS1002)。
具体的には、インシデントデータ受信プログラム121を実行するCPU113は、インシデントデータ管理情報131に受信したインシデントデータを登録し、業務システム構築プログラム122を起動する。業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132に格納されるエントリから一つのエントリを選択する。以下では、選択されたエントリに対応する業務システムをターゲット業務システムと記載する。
次に、インシデント再現装置110は、ターゲット業務システムに対応する評価業務システム141を構築する(ステップS1003)。
具体的には、業務システム構築プログラム122を実行するCPU113は、業務システム管理情報132から選択されたエントリのOS303及びアプリケーション304に基づいて、評価環境140に評価業務システム141を構築する。その後、CPU113は、インシデント再現プログラム123を起動する。
次に、インシデント再現装置110は、構築された評価業務システム141に対してインシデント再現処理を実行する(ステップS1004)。インシデント再現処理の詳細は図11を用いて説明する。
次に、インシデント再現装置110は、全ての業務システムについて処理が完了したか否かを判定する(ステップS1005)。
全ての業務システムについて処理が完了していないと判定された場合、インシデント再現装置110は、ステップS1002に戻り、同様の処理を実行する。
具体的には、影響分析プログラム124を実行するCPU113は、業務システム構築プログラム122を起動する。
全ての業務システムについて処理が完了したと判定された場合、インシデント再現装置110は、インシデント再現結果を提示し(ステップS1006)、その後、処理を終了する。
具体的には、影響分析プログラム124を実行するCPU113は、提示プログラム126を起動する。提示プログラム126を実行するCPU113は、インシデント再現結果を提示するための情報を生成し、出力する。
図11は、実施例2のインシデント再現装置110が実行するインシデント再現処理の一例を説明するフローチャートである。
インシデント再現装置110は、攻撃シナリオのループを開始する(ステップS1101)。具体的には、以下のような処理が実行される。
インシデント再現プログラム123を実行するCPU113は、攻撃手法管理情報800を参照し、インシデントデータに含まれる攻撃シナリオを構成する攻撃手法を変更することによって、新たな攻撃シナリオ(検証用攻撃シナリオ)を生成する。
インシデント再現プログラム123を実行するCPU113は、生成された攻撃シナリオの中から一つの攻撃シナリオを選択する。
例えば、インシデントデータに含まれる攻撃シナリオが「OS調査(OS調査プログラムA)、マルウェア実行(マルウェアA)、認証窃取(認証窃取プログラムA)、リモート実行(リモート実行プログラムA)、情報窃取(情報窃取プログラムA)」である場合、以下のような処理が実行される。
「OS調査(OS調査プログラムA)」を変更対象の攻撃手法として選択した場合、インシデント再現プログラム123を実行するCPU113は、攻撃分類902が「偵察」であるエントリを検索する。CPU113は、攻撃シナリオの「OS調査(OS調査プログラムA)」を、「脆弱性調査(脆弱性調査プログラムA)」に置き換えた攻撃シナリオと、「脆弱性調査(脆弱性調査プログラムB)」に置き換えた攻撃シナリオとを生成する。
「マルウェア実行(マルウェアA)」を変更対象の攻撃手法として選択した場合、インシデント再現プログラム123を実行するCPU113は、攻撃分類902が「初期侵入」であるエントリを検索する。CPU113は、攻撃シナリオの「マルウェア実行(マルウェアA)」を、「マルウェア実行(マルウェアB)」に置き換えた攻撃シナリオと、「脆弱性利用(エクスプロイトA)」に置き換えた攻撃シナリオとを生成する。
同様の処理を実行することによって、複数の攻撃シナリオが生成される。なお、前提条件904が設定されている場合には、前提条件を満たす場合に攻撃手法が置き換えられる。
なお、受信したインシデントデータに含まれる攻撃シナリオも検証用攻撃シナリオとして出力されてもよい。以上がステップS1101の処理の説明である。
次に、インシデント再現装置110は、構築された評価業務システム141上で、選択された攻撃シナリオに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS1102)。具体的には、以下のような処理が実行される。
インシデント再現プログラム123を実行するCPU113は、選択された攻撃シナリオに基づいて、評価業務システム141上でインシデントを再現する。インシデント再現プログラム123を実行するCPU113は、影響分析プログラム124を起動する。
影響分析プログラム124を実行するCPU113は、インシデントが再現された評価業務システム141の挙動を監視し、ステップS1002において選択されたエントリの判定基準305に設定された判定基準を満たすか否かを判定する。このとき、CPU113は、予め設定されたポリシ、又は、受信したインシデントデータの検出方法205を用いて評価業務システム141の挙動を監視する。予め設定されたポリシに基づく評価業務システム141の挙動の監視には、稼働するプロセス、CPU113の使用率、データ改ざんの有無等を確認するためのプログラムを利用してもよい。
以上がステップS1102の処理の説明である。
次に、インシデント再現装置110は、再現されたインシデントによる評価業務システム141への影響があるか否かを判定する(ステップS1103)。
具体的には、影響分析プログラム124を実行するCPU113は、判定基準305に設定された判定基準を満たすか否かが判定される。判定基準305に設定された判定基準を満たす場合、CPU113は、再現されたインシデントによる評価業務システム141への影響があると判定する。
再現されたインシデントによる評価業務システム141への影響がないと判定された場合、インシデント再現装置110は、インシデント再現結果管理情報133を更新し(ステップS1104)、その後、インシデント再現処理を終了する。
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「なし」を格納する。この場合、対策405及び適用後影響406は空欄となる。
再現されたインシデントによる評価業務システム141への影響があると判定された場合、インシデント再現装置110は、対処のループ処理を開始する(ステップS1105)。具体的には、以下のような処理が実行される。
影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。
対策適用プログラム125を実行するCPU113は、インシデントデータ管理情報131を参照し、受信したインシデントデータに対応するエントリを検索する。CPU113は、検索されたエントリの対処手段206に設定された対処の中から一つの対処を選択する。
以上がステップS1105の処理の説明である。
次に、インシデント再現装置110は、選択された対処を対策として評価業務システム141に適用する(ステップS1106)。
具体的には、対策適用プログラム125を実行するCPU113は、選択された対処を対策として評価業務システム141に適用する。CPU113は、インシデント再現プログラム123を起動する。
次に、インシデント再現装置110は、対策が適用された評価業務システム141上で、受信したインシデントデータに対応するインシデントを再現し、当該インシデントの影響を分析する(ステップS1107)。ステップS1107の処理はステップS1102の処理と同一である。
次に、インシデント再現装置110は、インシデント再現結果管理情報133を更新する(ステップS1108)。
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現結果管理情報133にエントリを追加し、追加されたエントリのID401に識別情報を設定する。CPU113は、追加されたエントリのインシデントID402に再現されたインシデントの識別情報を格納し、また、業務システムID403にターゲット業務システムの識別情報を格納し、影響404に「あり」を格納する。CPU113は、追加されたエントリの対策405にステップS604で選択された対処を示す情報を格納し、適用後影響406に分析結果を格納する。分析結果は「あり」又は「なし」のいずれかである。
次に、インシデント再現装置110は、全ての対処について処理が完了したか否かを判定する(ステップS1109)。
全ての対処について処理が完了していないと判定された場合、インシデント再現装置110は、ステップS1105に戻り、同様の処理を実行する。
具体的には、影響分析プログラム124を実行するCPU113は、対策適用プログラム125を起動する。
全ての対処について処理が完了したと判定された場合、インシデント再現装置110は、全ての攻撃シナリオについて処理が完了したか否かを判定する(ステップS1110)。
全ての攻撃シナリオについて処理が完了していないと判定された場合、インシデント再現装置110は、ステップS1101に戻り、同様の処理を実行する。
具体的には、影響分析プログラム124を実行するCPU113は、インシデント再現プログラム123を起動する。インシデント再現プログラム123を実行するCPU113は、生成された攻撃シナリオの中から未処理の攻撃シナリオを選択する。
全ての攻撃シナリオについて処理が完了したと判定された場合、インシデント再現装置110はインシデント再現処理を終了する。
なお、実施例2は以下のような変形例も考えられる。
(変形例1)インシデント再現装置110は、インターネット等で公開された攻撃コードを収集し、攻撃手法管理情報800を生成又は更新してもよい。これによって、最新の攻撃手法を含む攻撃シナリオを生成できる。
(変形例2)インシデント再現装置110は、インシデントデータに含まれる攻撃シナリオから新たな攻撃シナリオを生成する代わりに、インターネット等で公開された攻撃シナリオを用いる。これによって、多様な攻撃シナリオに起因するインシデントを再現することができ、適用可能な対策の選択の幅を広げることができる。
以上で説明したように、実施例2によれば、いずれの組織でも発生していない攻撃シナリオに起因するインシデントを再現し、その影響を分析できる。これによって、今後発生する可能性がある攻撃に対する対策を講じることができる。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。また、例えば、上記した実施例は本発明を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施例の構成の一部について、他の構成に追加、削除、置換することが可能である。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるプロセッサが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD-ROM、DVD-ROM、ハードディスク、SSD(Solid State Drive)、光ディスク、光磁気ディスク、CD-R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。
また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Python、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。
さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD-RW、CD-R等の記憶媒体に格納し、コンピュータが備えるプロセッサが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。
上述の実施例において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。
100 システム
101、142 ネットワーク
110 インシデント再現装置
112 インタフェース
113 CPU
114 メインメモリ
115 記憶装置
116 入出力装置
117 通信路
121 インシデントデータ受信プログラム
122 業務システム構築プログラム
123 インシデント再現プログラム
124 影響分析プログラム
125 対策適用プログラム
126 提示プログラム
131 インシデントデータ管理情報
132 業務システム管理情報
133 インシデント再現結果管理情報
140 評価環境
141 評価業務システム
150 本番環境
700 表示画面
800 攻撃手法管理情報

Claims (6)

  1. 複数の計算機を備える計算機システムであって、
    前記複数の計算機の各々は、プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有し、
    前記計算機システムは、
    業務を実行する複数の業務システムと接続し、
    前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を管理し、
    第1の業務システムにおいて発生したインシデントに関する情報、前記第1の業務システムにおける影響の検出方法に関する情報、及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含むインシデントデータを取得する第1の処理と
    前記業務システム管理情報に基づいて、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する第2の処理と
    前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第3の処理と
    前記分析の結果を出力する第4の処理と、を実行し、
    前記第3の処理では、
    前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定する処理と、
    前記評価業務システムの判定基準を満たすと判定された場合、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用する処理と、
    前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する処理と、が実行されることを特徴とする計算機システム。
  2. 複数の計算機を備える計算機システムであって、
    前記複数の計算機の各々は、プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有し、
    前記計算機システムは、
    業務を実行する複数の業務システムと接続し、
    第1の業務システムにおいて発生したインシデントに関する情報、及び前記第1の業務システムに対する複数の攻撃の組み合わせとして定義された攻撃シナリオを含むインシデントデータを取得し、
    前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築し、
    前記インシデントデータに含まれる前記攻撃シナリオを構成する前記複数の攻撃の少なくとも一つを変更することによって、検証用攻撃シナリオを生成し、
    前記検証用攻撃シナリオに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析し、
    前記分析の結果を出力することを特徴とする計算機システム。
  3. 計算機システムが実行するインシデントによる業務システムへの影響の分析方法であって、
    前記計算機システムは、
    プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有する複数の計算機を含み、
    業務を実行する複数の業務システムと接続し、
    前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を管理し、
    前記分析方法は、
    少なくとも一つの計算機が、第1の業務システムにおいて発生したインシデントに関する情報、前記第1の業務システムにおける影響の検出方法に関する情報、及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含むインシデントデータを取得する第1のステップと、
    前記少なくとも一つの計算機が、前記業務システム管理情報に基づいて、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する第2のステップと、
    前記少なくとも一つの計算機が、前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第3のステップと、
    前記少なくとも一つの計算機が、前記分析の結果を出力する第4のステップと、を含み、
    前記第3のステップは、
    前記少なくとも一つの計算機が、前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定するステップと、
    前記評価業務システムの判定基準を満たすと判定された場合、前記少なくとも一つの計算機が、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用するステップと、
    前記少なくとも一つの計算機が、前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析するステップと、を含むことを特徴とする分析方法。
  4. 計算機システムが実行するインシデントによる業務システムへの影響の分析方法であって、
    前記計算機システムは、
    プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有する複数の計算機を含み、
    業務を実行する複数の業務システムと接続し、
    前記分析方法は、
    少なくとも一つの計算機が、第1の業務システムにおいて発生したインシデントに関する情報及び前記第1の業務システムに対する複数の攻撃の組み合わせとして定義された攻撃シナリオを含むインシデントデータを取得する第1のステップと、
    前記少なくとも一つの計算機が、前記計算機システムと接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する第2のステップと、
    前記少なくとも一つの計算機が、前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する第3のステップと、
    前記少なくとも一つの計算機が、前記分析の結果を出力する第4のステップと、を含み、
    前記第3のステップは、
    前記少なくとも一つの計算機が、前記攻撃シナリオを構成する前記複数の攻撃の少なくとも一つを変更することによって、検証用攻撃シナリオを生成するステップと、
    前記少なくとも一つの計算機が、前記検証用攻撃シナリオに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現するステップと、を含むことを特徴とする分析方法。
  5. プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有する分析装置であって、
    業務を実行する複数の業務システムと接続し、
    前記複数の業務システムの各々の構成及び影響の有無を判定するための判定基準を定義した業務システム管理情報を保持し、
    第1の業務システムにおいて発生したインシデントに関する情報、前記第1の業務システムにおける影響の検出方法に関する情報、及び前記第1の業務システムにおける影響を解消するために行われた対処に関する情報を含むインシデントデータを取得する受信部と、
    前記分析装置と接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する構築部と、
    前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する分析部と、
    前記分析部によって、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定された場合、前記評価業務システムに対して当該インシデントによる影響を防止するための対策を適用する対策適用部と、
    前記分析の結果を出力する提示部と、を備え、
    前記構築部は、前記業務システム管理情報に基づいて、前記評価業務システムを構築し、
    前記分析部は、
    前記第1の業務システムにおける影響の検出方法に基づいて、前記評価業務システムの前記判定基準を満たすか否かを判定し、
    前記評価業務システムの判定基準を満たすと判定された場合、前記第1の業務システムにおいて発生したインシデントによる前記評価業務システムへの影響があると判定し、
    前記対策適用部は、前記評価業務システムに対して、前記第1の業務システムにおける影響を解消するために行われた対処に対応する対策を適用し、
    前記分析部は、前記対策が適用された評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析することを特徴とする分析装置。
  6. プロセッサ、前記プロセッサに接続される記憶装置、及び前記プロセッサに接続されるインタフェースを有する分析装置であって、
    業務を実行する複数の業務システムと接続し、
    第1の業務システムにおいて発生したインシデントに関する情報及び前記第1の業務システムに対する複数の攻撃の組み合わせとして定義された攻撃シナリオを含むインシデントデータを取得する受信部と、
    前記分析装置と接続する業務システムであり、かつ、前記第1の業務システムとは異なる業務システムを模擬する評価業務システムを構築する構築部と、
    前記インシデントデータに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現し、当該インシデントによる前記評価業務システムの影響を分析する分析部と、
    前記分析の結果を出力する提示部と、を備え、
    前記分析部は、
    前記攻撃シナリオを構成する前記複数の攻撃の少なくとも一つを変更することによって、検証用攻撃シナリオを生成し、
    前記検証用攻撃シナリオに基づいて、前記評価業務システム上で前記第1の業務システムにおいて発生したインシデントを再現することを特徴とする分析装置。
JP2019020335A 2019-02-07 2019-02-07 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 Active JP7078562B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019020335A JP7078562B2 (ja) 2019-02-07 2019-02-07 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019020335A JP7078562B2 (ja) 2019-02-07 2019-02-07 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置

Publications (2)

Publication Number Publication Date
JP2020129166A JP2020129166A (ja) 2020-08-27
JP7078562B2 true JP7078562B2 (ja) 2022-05-31

Family

ID=72174593

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019020335A Active JP7078562B2 (ja) 2019-02-07 2019-02-07 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置

Country Status (1)

Country Link
JP (1) JP7078562B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022085150A1 (ja) * 2020-10-22 2022-04-28 日本電気株式会社 攻撃シナリオ生成装置、リスク分析装置、方法、及びコンピュータ可読媒体

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3404032B1 (ja) 2002-04-09 2003-05-06 さくら情報システム株式会社 コンピュータウィルス対策システム及びコンピュータウィルス対策方法
JP2016099857A (ja) 2014-11-25 2016-05-30 株式会社日立システムズ 不正プログラム対策システムおよび不正プログラム対策方法
JP2018045327A (ja) 2016-09-12 2018-03-22 株式会社日立アドバンストシステムズ セキュリティ対策装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3404032B1 (ja) 2002-04-09 2003-05-06 さくら情報システム株式会社 コンピュータウィルス対策システム及びコンピュータウィルス対策方法
JP2016099857A (ja) 2014-11-25 2016-05-30 株式会社日立システムズ 不正プログラム対策システムおよび不正プログラム対策方法
JP2018045327A (ja) 2016-09-12 2018-03-22 株式会社日立アドバンストシステムズ セキュリティ対策装置

Also Published As

Publication number Publication date
JP2020129166A (ja) 2020-08-27

Similar Documents

Publication Publication Date Title
US20200153852A1 (en) Locally Detecting Phishing Weakness
US11831785B2 (en) Systems and methods for digital certificate security
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
EP2498198B1 (en) Information system security based on threat vectors
US20170026401A1 (en) System and method for threat visualization and risk correlation of connected software applications
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
US11856015B2 (en) Anomalous action security assessor
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
JP2020160611A (ja) テストシナリオ生成装置、テストシナリオ生成方法、テストシナリオ生成プログラム
US20180034780A1 (en) Generation of asset data used in creating testing events
WO2018211827A1 (ja) 評価プログラム、評価方法および情報処理装置
JP5413010B2 (ja) 分析装置、分析方法およびプログラム
JP5656266B2 (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
JP7078562B2 (ja) 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置
JP7000271B2 (ja) 車両不正アクセス対策装置、及び車両不正アクセス対策方法
JP7384208B2 (ja) セキュリティリスク分析支援装置、方法、及びプログラム
CN112711772B (zh) 一种服务中功能执行时的审计***、方法及存储介质
WO2020246227A1 (ja) ルール生成装置、ルール生成方法、及びコンピュータ読み取り可能な記録媒体
Aziz Ransomware in High-Risk Environments
US20210218763A1 (en) Correlation-based network security
WO2023175953A1 (ja) 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体
Karagiannis et al. Automated and On-Demand Cybersecurity Certification
Owen Threat intelligence & siem
Edwards et al. Effectively Testing APT Defences: Defining threats, addressing objections to testing and suggesting some practical approaches
Andersen Ransomware Simulator for In-Depth Analysis and Detection: Leveraging Centralized Logging and Sysmon for Improved Cybersecurity

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210302

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211222

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220519

R150 Certificate of patent or registration of utility model

Ref document number: 7078562

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150