JP7238987B2 - セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラム - Google Patents

セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラム Download PDF

Info

Publication number
JP7238987B2
JP7238987B2 JP2021528584A JP2021528584A JP7238987B2 JP 7238987 B2 JP7238987 B2 JP 7238987B2 JP 2021528584 A JP2021528584 A JP 2021528584A JP 2021528584 A JP2021528584 A JP 2021528584A JP 7238987 B2 JP7238987 B2 JP 7238987B2
Authority
JP
Japan
Prior art keywords
steps
scenario
database
targeted attack
training support
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021528584A
Other languages
English (en)
Other versions
JPWO2020255359A5 (ja
JPWO2020255359A1 (ja
Inventor
佑典 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020255359A1 publication Critical patent/JPWO2020255359A1/ja
Publication of JPWO2020255359A5 publication Critical patent/JPWO2020255359A5/ja
Application granted granted Critical
Publication of JP7238987B2 publication Critical patent/JP7238987B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/031Protect user input by software means

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、標的型攻撃に対する訓練の支援を行うための、セキュリティ訓練支援装置、及びセキュリティ訓練支援方法に関し、更には、これらを実行するためのプログラムに関する。
近年、企業、官庁、組織等を標的とするサイバー攻撃として、標的型攻撃が増加している。標的型攻撃では、標的のシステムに不正に侵入して、データの搾取、破壊、改竄等が実行される。また、標的型攻撃では、メールによって攻撃が開始されるが、受信したメールが標的型攻撃のためのメールであるかどうかを判断することは難しい場合もある。このため、特許文献1は、送信されてきたメールが、標的型攻撃のためのメールであるかどうかを判定するシステムを提案している。
具体的には、特許文献1に開示されたシステムは、まず、送信元からデータファイルを受信すると、受信したデータファイルのファイル名について、送信元に問い合わせを行う。そして、特許文献1に開示されたシステムは、問い合わせの結果、受信済のデータファイルのファイル名と対応しないファイル名を受信した場合、所定期間内に、問い合わせに応じたファイル名の受信を検出できない場合に、データファイルと送信元とが整合しないと判定する。
しかし、特許文献1に開示されたシステムによって、検知できるメールには、限度があり、標的型攻撃の防御は、特許文献1に開示されたシステムだけでは十分ではない。また、標的型攻撃では、攻撃者は、最終目標達成に向けてマイルストーンを設定し、これを達成するために、段階的にツールを選択し、更に、標的の情報を取得しながら攻撃を進行させる。
このため、標的型攻撃の防御の完全を図るためには、標的となるシステムの管理者において、標的型攻撃を受けたときを想定した訓練を行うことが重要となる。また、訓練は、予め設定された標的型攻撃のシナリオに沿って、攻撃側のログと、それに対応する防御側のログとを用いて行われる。
特開2018-173682号公報
しかしながら、標的型攻撃を受けた企業等は、セキュリティの関係上、攻撃側のログと防御側のログと(以下、これらのログを合わせて「ログ」と表記する)を公開することは無く、このようなログを取得することは極めて困難である。このため、訓練を万全に行うためには、様々なパターンのシナリオと、それに沿ったログとを、人手で作成する必要があり、作成コストが非常に高いという問題がある。
本発明の目的の一例は、上記問題を解消し、標的型攻撃の訓練において必要となるシナリオを自動生成し得る、セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラムを提供することにある。
上記目的を達成するため、本発明の一側面におけるセキュリティ訓練支援装置は、
時系列に沿った複数の工程で構成され、且つ、前記複数の工程それぞれには当該工程で実行される処理が定義されている、仮想の攻撃者による標的型攻撃のシナリオを生成するため、前記複数の工程の設定数を特定する情報を、少なくとも取得する、情報取得部と、
前記設定数が満たされるまで、
前記工程で実行可能な処理の要素が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で実行される処理を選択して、前記標的型攻撃のシナリオを生成する、シナリオ生成部と、
を備えている、ことを特徴とする。
また、上記目的を達成するため、本発明の一側面におけるセキュリティ訓練支援方法は、
(a)時系列に沿った複数の工程で構成され、且つ、前記複数の工程それぞれには当該工程で実行される処理が定義されている、仮想の攻撃者による標的型攻撃のシナリオを生成するため、前記複数の工程の設定数を特定する情報を、少なくとも取得する、ステップと、
(b)前記設定数が満たされるまで、
前記工程で実行可能な処理の要素が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で実行される処理を選択して、前記標的型攻撃のシナリオを生成する、ステップと、
を有する、ことを特徴とする。
更に、上記目的を達成するため、本発明の一側面におけるコプログラムは、
コンピュータに、
(a)時系列に沿った複数の工程で構成され、且つ、前記複数の工程それぞれには当該工程で実行される処理が定義されている、仮想の攻撃者による標的型攻撃のシナリオを生成するため、前記複数の工程の設定数を特定する情報を、少なくとも取得する、ステップと、
(b)前記設定数が満たされるまで、
前記工程で実行可能な処理の要素が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で実行される処理を選択して、前記標的型攻撃のシナリオを生成する、ステップと、
を実行させることを特徴とする。
以上のように、本発明によれば、標的型攻撃の訓練において必要となるシナリオを自動生成することができる。
図1は、本発明の実施の形態1におけるセキュリティ訓練支援装置の概略構成を示すブロック図である。 図2は、本発明の実施の形態におけるセキュリティ訓練支援装置の構成をより具体的に示すブロック図である。 図3は、本発明の実施の形態1においてデータベースに登録されている戦術情報の一例を示す図である。 図4は、本発明の実施の形態1においてデータベースに登録されている技術情報の一例を示す図である。 図5は、本発明の実施の形態1においてデータベースに登録されているソフトウェア情報の一例を示す図である。 図6は、本発明の実施の形態1においてシナリオ生成部12によって実行される処理を説明する図であり、図6(a)及び図6(b)は、一連の処理の経過を示している。 図7は、本発明の実施の形態1におけるセキュリティ訓練支援装置の動作を示すフロー図である。 図8は、本発明の実施の形態2におけるセキュリティ訓練支援装置の構成を示すブロック図である。 図9は、本発明の実施の形態2におけるセキュリティ訓練支援装置の動作を示すフロー図である。 図10は、本発明の実施の形態1及び2におけるセキュリティ訓練支援装置を実現するコンピュータの一例を示すブロック図である。
(実施の形態1)
以下、本発明の実施の形態1における、セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラムについて、図1~図7を参照しながら説明する。
[装置構成]
最初に、図1を用いて、本実施の形態1におけるセキュリティ訓練支援装置の構成について説明する。図1は、本発明の実施の形態1におけるセキュリティ訓練支援装置の概略構成を示すブロック図である。
図1に示す本実施の形態1におけるセキュリティ訓練支援装置10は、標的型攻撃のシナリオを生成して、標的型攻撃に対する訓練の支援を行う装置である。ここでいう標的型攻撃は、時系列に沿った複数の工程で構成され、且つ、複数の工程それぞれにはその工程で実行される処理が定義されている、仮想の攻撃者による攻撃である。
図1に示すように、セキュリティ訓練支援装置10は、情報取得部11と、シナリオ生成部12とを備えている。情報取得部11は、上述のシナリオ生成するため、標的型攻撃を構成する複数の工程の設定数を特定する情報を、少なくとも取得する。シナリオ生成部12は、工程の設定数が満たされるまで、各工程で実行可能な処理の要素が登録されたデータベース20から、工程毎に、その工程で実行される処理を選択して、標的型攻撃のシナリオを生成する。
以上のように、本実施の形態では、標的型攻撃を構成する工程の数が設定されると、それに合わせて各工程で実行される処理が選択され、標的型攻撃のシナリオが生成される。このため、本実施の形態によれば、標的型攻撃の訓練において必要となるシナリオを自動生成することができる。
続いて、図2を用いて、本実施の形態1におけるセキュリティ訓練支援装置の構成及び機能についてより詳細に説明する。図2は、本発明の実施の形態におけるセキュリティ訓練支援装置の構成をより具体的に示すブロック図である。
図2に示すように、本実施の形態1では、セキュリティ訓練支援装置10は、上述した情報取得部11及びシナリオ生成部12に加えて、状態特定部13と、記憶部14とを備えている。また、セキュリティ訓練支援装置10は、ネットワークを介してデータベース20に接続されている。
情報取得部11は、本実施の形態1では、管理者等の端末装置から、上述した設定数を特定する情報(以下「設定数情報」と表記する)に加えて、シナリオが実行される環境を特定する情報(以下「環境情報」と表記する)を取得する。シナリオが実行される環境を特定する情報の具体例としては、攻撃の対象となる端末で使用されているオペレーティングシステムの種類、攻撃の対象となる端末のIPアドレス、ネットワークトロポジ等が挙げられる。また、その他に、情報取得部11は、仮想の攻撃者によって採用される技術及びソフトウェア等を特定する情報も取得できる。更に、情報取得部11は、取得した情報を記憶部14に格納する。
状態特定部13は、シナリオ生成部12によって標的型攻撃のシナリオの工程が生成される度に、その時における、仮想の攻撃者の状態、及び仮想の攻撃者が取得している情報を特定する。また、状態特定部13は、特定した仮想の攻撃者の状態、及び仮想の攻撃者が取得している情報を、記憶部14に格納する。なお、仮想の攻撃者の状態の特定、及び仮想の攻撃者が取得している情報の特定は、後述するように、各工程で選択される戦術、技術、及びソフトウェアに基づいて行われる。
シナリオ生成部12は、本実施の形態1では、記憶部14に格納された、標的型攻撃のシナリオの生成済の工程での仮想の攻撃者の状態と、工程の設定数と、に基づいて、データベース20から、シナリオの工程毎に、その工程で実行される処理を選択する。
ここで、図3~図5を用いてデータベース20に登録されている情報について詳細に説明する。図3は、本発明の実施の形態1においてデータベースに登録されている戦術情報の一例を示す図である。図4は、本発明の実施の形態1においてデータベースに登録されている技術情報の一例を示す図である。図5は、本発明の実施の形態1においてデータベースに登録されているソフトウェア情報の一例を示す図である。
まず、本実施の形態1では、標的型攻撃のシナリオの複数の工程それぞれにおいては、各工程で実行される処理が、その工程における戦術と、その工程で利用される技術と、その工程の処理の実行に必要なソフトウェアとによって定義される。また、データベース20は、各工程における戦術の候補を特定する戦術情報21と、各工程で利用可能な技術の候補を特定する技術情報22と、各工程での処理の実行に利用可能なソフトウェアの候補を特定するソフトウェア情報23とを登録している。
具体的には、図3に示すように、戦術情報21は、戦術毎に、「戦術名」と、その戦術が採用される場合の仮想の攻撃者の状態を示す「状態」とで構成されている。また、図4に示すように、技術情報22は、技術毎に、「対応する戦術」と、「技術名」と、その技術が採用される場合の仮想の攻撃者の状態を示す「状態」と、その技術の採用後の仮想の攻撃者の状態を示す「次の状態」と、「必要な情報」と、「必要な権限」と、「対応する環境」と、「得られる結果」とで構成されている。なお、図4における「必要な情報」としては、例えば、上述の環境情報が挙げられる。また、「対応する環境」としては、仮想の攻撃者の操作対象となる端末の環境が挙げられる。
更に、図5に示すように、ソフトウェア情報23は、ソフトウェア毎に、「対応する技術」と、「ソフトウェア名」と、「対応する環境」と、「実行タイプ」と、「入力フォーマット」と、「出力フォーマット」とで構成されている。
続いて、図6を用いて、シナリオ生成部12及び状態特定部13の機能について詳細に説明する。図6は、本発明の実施の形態1においてシナリオ生成部12によって実行される処理を説明する図であり、図6(a)及び図6(b)は、一連の処理の経過を示している。
図6(a)に示すように、まず、シナリオ生成部12は、標的型攻撃を構成する工程(#=1,2,...)毎に、データベース20の戦術情報21から、その工程における戦術(TA1,TA2,TA3,...)を選択する。具体的には、シナリオ生成部12は、まず、記憶部14に格納されている情報から、仮想の攻撃者の「状態」と保有されている「環境情報」とを特定し、更に、戦術情報21から、特定した状態に合致する戦術を特定する。そして、シナリオ生成部12は、特定した戦術の中から、予め設定されたルールに沿って、選択の対象となっている工程における戦術を選択する。
次いで、シナリオ生成部12は、データベース20の技術情報22から、工程毎に、その工程で利用される技術(TE1,TE2,TE3, ...)を選択する。具体的には、シナリオ生成部12は、技術情報22に基づいて、先に選択した戦術に対応する技術の中から、先に特定した「状態」、保有されている「環境情報」、及び「仮想の攻撃者の操作対象となる端末の環境」、それぞれが合致する技術を特定する。更に、シナリオ生成部12は、特定した技術の中から、予め設定されたルールに沿って、選択の対象となっている工程における技術を選択する。
その後、シナリオ生成部12は、データベース20のソフトウェア情報23から、その工程での処理の実行に必要なソフトウェア(S1,S2,S3, ...)を選択する。具体的には、シナリオ生成部12は、ソフトウェア情報23に基づいて、先に選択した技術に対応するソフトウェアの中から、「仮想の攻撃者の操作対象となる端末の環境」が「対応する環境」と合致するソフトウェアを特定し、特定したソフトウェアを選択する。
また、上述したルールとしては、例えば、時系列に応じて変化するルールと、仮想の攻撃者の行動を模したルールとが挙げられる。このうち、時系列に応じて変化するルールとしては、例えば、「シナリオの初期の工程では感染範囲を拡大させる戦術及び技術を選択し、シナリオの中期の工程では重要情報を発見する戦術及び技術を選択し、シナリオの後期の工程では、発見した重要情報を外部に持ち出す戦術及び技術と、痕跡を消去する戦術及び技術とを選択する」といったルールが挙げられる。また、初期、中期、後期の区別は、工程の設定数に応じて適宜行われる。
感染範囲を拡大させる戦術としては、「Lateral Movement」が挙げられる。感染範囲を拡大させる技術としては、リモートデスクトップサービスを利用して感染範囲を拡大させる「Remote Desktop Protocol」、リモートサービス(SMB、MySQL等)の脆弱性を利用して感染範囲を拡大させる「Exploitation of Remote Services」が挙げられる。
重要情報を発見する戦術としては、「Discovery」が挙げられる。重要事項を発見する技術としては、侵入先のネットワーク環境において侵入先の端末以外の端末を探索する「Remote System Discovery」、侵入先の端末、ネットワーク上で、ファイル、ディレクトリのリスト、特定の情報を取得する「File and Directory Discovery」が挙げられる。また、「Remote System Discovery」の具体例としては、pingコマンド、net viewコマンドが挙げられる。「File and Directory Discovery」の具体例としては、dirコマンド、treeコマンドが挙げられる。
発見した重要情報を外部に持ち出す戦術としては、「Exfiltration」が挙げられる。発見した重要情報を外部に持ち出す技術としては、攻撃命令の通信経路と同じ経路で情報を外部に持ち出す「Exfiltration Over Command and Control Channel」と、物理的なメディアを介して情報を持ち出す「Exfiltration Over Physical Medium」とが挙げられる。「Exfiltration Over Command and Control Channel」の具体例としては、HTTP GET、emailが挙げられる。「Exfiltration Over Physical Medium」の具体例としては、USBドライブ、携帯電話が挙げられる。
痕跡を消去する戦術としては、「Defense Evasion」が挙げられる。痕跡を消去する技術としては、攻撃活動の痕跡が残っているログを削除する「Indicator Removal on Host」と、攻撃活動で使用したファイルを削除する「File Deletion」とが挙げられる。「Indicator Removal on Host」の具体例としては、wevtutil cl system (Windowsイベントログの削除)が挙げられる。「File Deletion」の具体例としては、rmコマンド、delコマンドが挙げられる。
また、仮想の攻撃者の行動を模したルールとしては、例えば、「現在、攻撃の対象となっている環境上にある端末において、攻撃の永続化に関する戦術及び技術が実施されていない場合に、この端末に対して攻撃の永続化に関する戦術及び技術を選択する」といったルールが挙げられる。
攻撃の永続化に関する戦術としては、「Persistence」が挙げられる。攻撃の永続化に関する技術としては、スケジュールタスクに、特定の時刻でのプログラムの実行又は定期的なプログラムの実行を設定する「Scheduled Task」が挙げられる。また、「Scheduled Task」の具体例としては、schtasksコマンド、atコマンドが挙げられる。
ところで、標的型攻撃では、対話的に攻撃が実行される。そして、この対話的な攻撃のための経路(TCPセッション、正規アカウントによる接続)は、システムの再起動、認証情報の変更等によって消失してしまう可能性がある。そのため、仮想の攻撃者は、侵入先の端末において攻撃を持続させるための戦術及び技術を採用する。それが、上述の、攻撃の永続化に関する戦術及び技術である。また、攻撃の永続化に関する技術の効果は、同一の端末に対しては、一度行なえば続くため、この技術は、未実施の端末のみに対して実行される。
例えば、侵入先の端末上でRATクライアントが動作しており、仮想の攻撃者の端末上でRATサーバが動作しているとする。この場合、仮想の攻撃者は、ファイアウォール越しに、攻撃に関する操作命令を送るため、一般的には、侵入先の端末のRATクライアント側から仮想の攻撃者の端末のRATサーバに対して、セッションが張られる。しかしながら、侵入先の端末が正規の利用者によってシャットダウンされてしまうと、再起動後にRATクライアントが実行されない限り、仮想の攻撃者は操作命令を送ることができなくなる。そのため、仮想の攻撃者は、上述の「Scheduled Task」によって、侵入先の端末のスケジュールタスクに、「起動時にRATクライアントを実行する」という設定を追加し,攻撃を持続できるような攻撃手法を実行する。
また、状態特定部13は、本実施の形態1では、シナリオ生成部12によって戦術、技術、ソフトウェアが選択されると、選択された戦術の「状態」を特定し、特定した「状態」を仮想の攻撃者の状態とする。また、状態特定部13は、選択された技術の「得られる結果」を特定し、それに基づいて、更に、仮想の攻撃者が取得している情報を特定する。そして、状態特定部13は、特定した仮想の攻撃者の状態と仮想の攻撃者が取得している情報とを、記憶部14に格納する。
そして、図6(b)に示すように、終了条件が満たされると、標的型攻撃のシナリオが完成する。終了条件としては、生成された工程の数、即ち、戦術、技術、及びソフトウェアが選択済の工程の数が設定数に達していること等が挙げられる。
また、シナリオ生成部12は、最終的に、選択したソフトウェアのシーケンスを取り出し、これを、標的型攻撃のシナリオに沿って仮想の標的型攻撃を実行可能なサーバ装置(以下「攻撃指令サーバ」と表記する)に送信することができる。なお、攻撃指令サーバの詳細については実施の形態2において説明する。
[装置動作]
次に、本発明の実施の形態1におけるセキュリティ訓練支援装置10の動作について図7を用いて説明する。図7は、本発明の実施の形態1におけるセキュリティ訓練支援装置の動作を示すフロー図である。以下の説明においては、適宜図1~図6を参照する。また、本実施の形態1では、セキュリティ訓練支援装置10を動作させることによって、セキュリティ訓練支援方法が実施される。よって、本実施の形態におけるセキュリティ訓練支援方法の説明は、以下のセキュリティ訓練支援装置10の動作説明に代える。
図7に示すように、最初に、情報取得部11は、セキュリティ訓練支援装置10の管理者等の端末から、設定数情報及び環境情報を取得する(ステップA1)。また、情報取得部11は、取得した設定数情報及び環境情報を記憶部14に格納する。
次に、シナリオ生成部12は、未だ後述のステップ3~5の対象となっておらず、且つ、番号が最も若い工程を選択する(ステップA2)。
次に、シナリオ生成部12は、記憶部14に格納されている情報から、仮想の攻撃者の「状態」、更には、保有されている「環境情報」を特定し、ステップA2で選択した工程について、データベース20の戦術情報21から、特定した仮想の攻撃者の状態に合致する戦術を選択する(ステップA3)。
次に、シナリオ生成部12は、データベース20の技術情報22から、ステップA2で選択した工程について、ステップAで選択した戦術に対応する技術の中から、先に特定した「状態」、保有されている「環境情報」、及び「仮想の攻撃者の操作対象となる端末の環境」、それぞれが合致する技術を選択する(ステップA4)。
次に、シナリオ生成部12は、データベース20のソフトウェア情報23から、ステップA2で選択した工程について、ステップA4で選択した技術に対応するソフトウェアの中から、「仮想の攻撃者の操作対象となる端末の環境」が「対応する環境」と合致するソフトウェアを選択する(ステップA5)。
次に、状態特定部13は、ステップA5の実行後、ステップA2で選択された工程について、仮想の攻撃者の状態、及び仮想の攻撃者が取得している情報を特定する(ステップA6)。また、状態特定部13は、特定した仮想の攻撃者の状態、及び仮想の攻撃者が取得している情報を、記憶部14に格納する。
次に、シナリオ生成部12は、ステップA6の実行後、終了条件を満たしているかどうかを判定する(ステップA7)。具体的には、シナリオ生成部12は、ステップA3~A5が実行された工程の数が、ステップA1で取得済の設定数情報で特定される設定数に達しているかどうかを判定する。
ステップA7の判定の結果、終了条件を満たしていない場合は、シナリオ生成部12は、再度ステップA2を実行する。一方、ステップA7の判定の結果、終了条件を満たしている場合は、シナリオ生成部12は、各工程で選択したソフトウェアのシーケンスを取り出し、これを、外部に出力する(ステップA8)。出力先としては、標的型攻撃のシナリオに沿って仮想の標的型攻撃を実行可能なサーバ装置(実施の形態2参照)が挙げられる。
[実施の形態1における効果]
以上のように、本実施の形態1では、標的型攻撃のシナリオが自動的に生成される。また、本実施の形態1では、シナリオ生成時に選択したソフトウェアのシーケンスを、仮想の標的型攻撃を実行する攻撃指令サーバに送信することができる。よって、この攻撃指令サーバによる攻撃時のログを取得することで、標的型攻撃のログの自動生成も可能となる。
[実施の形態1における変形例]
上述した例では、標的型攻撃のシナリオの各工程で実行される処理は、戦術、技術、及びソフトウェアの3層によって定義されているが、本実施の形態1は、この態様に限定されるものではない。本実施の形態1では、標的型攻撃のシナリオの各工程で実行される処理は、その工程における目的とその処理の実行に必要な手段との2層によって定義されていても良い。
この場合、データベース20は、各工程における目的の候補と、各工程での処理の実行に利用可能な手段の候補とを登録する。そして、シナリオ生成部12は、データベース20から、工程毎に、その工程における目的を選択し、更に、その工程での処理の実行に必要な手段を選択する。このように、各工程が2層で定義される場合は、工程がシンプルとなるので、人はシナリオを直感的に理解することができる。
また、本実施の形態1では、標的型攻撃のシナリオの各工程で実行される処理を定義する層は、上述した2層及び3層に限定されず、何層であっても良い。
[プログラム]
本実施の形態1におけるプログラムは、コンピュータに、図7に示すステップA1~A8を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態1におけるセキュリティ訓練支援装置10とセキュリティ訓練支援方法とを実現することができる。この場合、コンピュータのプロセッサは、情報取得部11、シナリオ生成部12、及び状態特定部13として機能し、処理を行なう。
また、本実施の形態1におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、情報取得部11、シナリオ生成部12、及び状態特定部13のいずれかとして機能しても良い。
(実施の形態2)
次に本発明の実施の形態2における、セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラムについて、図8~図9を参照しながら説明する。
[装置構成]
最初に、図8を用いて、本実施の形態2におけるセキュリティ訓練支援装置の構成について説明する。図8は、本発明の実施の形態2におけるセキュリティ訓練支援装置の構成を示すブロック図である。
図8に示すように、本実施の形態2におけるセキュリティ訓練支援装置30は、実施の形態1におけるセキュリティ訓練支援装置10と同様に、情報取得部11、シナリオ生成部12、状態特定部13、及び記憶部14を備えている。但し、本実施の形態2におけるセキュリティ訓練支援装置30は、これらに加えて、攻撃制御部31を備えており、この点で、実施の形態1と異なっている。以下、実施の形態1との相違点を中心に説明する。
攻撃制御部31は、シナリオ生成部12によって、標的型攻撃のシナリオの工程が生成されると、生成の度に、生成された工程の内容を、攻撃指令サーバ40に送信する。具体的には、攻撃制御部31は、生成された工程で選択されたソフトウェアの情報を、標的攻撃の対象となるシステムの実行環境に合わせてコマンド列のような実行可能な形式に変換し、形式が変換されたソフトウェアを、攻撃指令サーバ40に送信する。
攻撃指令サーバ40は、セキュリティ訓練支援装置30によって生成された標的型攻撃のシナリオに沿って、仮想の標的型攻撃を実行するサーバ装置であり、攻撃実行部41を備えている。攻撃実行部41は、攻撃指令サーバ40から工程の内容として、形式変換後のソフトウェアの情報、例えば、攻撃エージェントによって実行可能なコマンド列が送信されてくると、送信されてきたコマンド列を、攻撃エージェント51が駐在している端末50に送信する。これにより、端末50に駐在している攻撃エージェント51が起動し、送信されてきたコマンド列を実行して、他の端末52を攻撃する。
また、端末50において、攻撃エージェント51は、各端末52でのログ、各端末52が収集したファイル等を取得し、これらを攻撃の結果を示す情報(以下「攻撃結果情報」と表記する)として、攻撃実行部41に送信する。また、攻撃実行部41は、攻撃エージェント51から送信されてきた攻撃結果情報を、セキュリティ訓練支援装置30に送信する。
攻撃結果情報が送信されてくると、セキュリティ訓練支援装置30において、攻撃制御部31は、攻撃結果情報を取得し、取得した攻撃結果情報を状態特定部13に渡す。
状態特定部13は、本実施の形態2においても、実施の形態1と同様に、シナリオ生成部12による選択の後に、仮想の攻撃者の状態と仮想の攻撃者が取得している情報とを特定する。但し、本実施の形態2では、状態特定部13は、仮想の攻撃者が取得している情報については、攻撃制御部31から受け取った攻撃結果情報に基づいて特定する。
[装置動作]
次に、本発明の実施の形態2におけるセキュリティ訓練支援装置30の動作について図9を用いて説明する。図9は、本発明の実施の形態2におけるセキュリティ訓練支援装置の動作を示すフロー図である。以下の説明においては、適宜図8を参照する。また、本実施の形態2では、セキュリティ訓練支援装置30を動作させることによって、セキュリティ訓練支援方法が実施される。よって、本実施の形態におけるセキュリティ訓練支援方法の説明は、以下のセキュリティ訓練支援装置30の動作説明に代える。
図9に示すように、最初に、情報取得部11は、管理者等の端末装置から、設定数情報及び環境情報を取得する(ステップB1)。また、情報取得部11は、取得した設定数情報及び環境情報を記憶部14に格納する。
次に、シナリオ生成部12は、未だ後述のステップB3~B5の対象となっておらず、且つ、番号が最も若い工程を選択する(ステップB2)。
次に、シナリオ生成部12は、記憶部14に格納されている情報から、仮想の攻撃者の「状態」、更には、保有されている「環境情報」を特定し、ステップB2で選択した工程について、データベース20の戦術情報21から、特定した仮想の攻撃者の状態に合致する戦術を選択する(ステップB3)。
次に、シナリオ生成部12は、データベース20の技術情報22から、ステップB2で選択した工程について、ステップBで選択した戦術に対応する技術の中から、先に特定した「状態」、保有されている「環境情報」、及び「仮想の攻撃者の操作対象となる端末の環境」、それぞれが合致する技術を選択する(ステップB4)。
次に、シナリオ生成部12は、データベース20のソフトウェア情報23から、ステップB2で選択した工程について、ステップB4で選択した技術に対応するソフトウェアの中から、「仮想の攻撃者の操作対象となる端末の環境」が「対応する環境」と合致するソフトウェアを選択する(ステップB5)。ステップB1~B5は、実施の形態1で述べたステップA1~A5と同様のステップである。
ステップB5が終了すると、ステップB2で選択された工程について、シナリオが生成されたこととになる。よって、攻撃制御部31は、生成された工程の内容を、攻撃指令サーバ40に送信する(ステップB6)。
ステップB6が実行されると、攻撃指令サーバ40において、攻撃実行部41は、生成された工程の内容に沿って、端末50に駐在している攻撃エージェント51を起動させて、攻撃を実行する。また、攻撃実行部41は、攻撃エージェント51から攻撃結果情報を受け取ると、受け取った攻撃結果情報をセキュリティ訓練支援装置30に送信する。
次に、セキュリティ訓練支援装置30において、攻撃制御部31は、攻撃結果情報が送信されてくると、送信されてきた攻撃結果情報を取得し、取得した攻撃結果情報を状態特定部13に渡す(ステップB7)。
次に、状態特定部13は、ステップB2で選択された工程について、仮想の攻撃者の状態を特定し、更に、攻撃結果情報に基づいて、仮想の攻撃者が取得している情報を特定する(ステップB8)。また、状態特定部13は、特定した仮想の攻撃者の状態、及び仮想の攻撃者が取得している情報を、記憶部14に格納する。
次に、シナリオ生成部12は、ステップB8の実行後、終了条件を満たしているかどうかを判定する(ステップB9)。具体的には、シナリオ生成部12は、ステップB3~B5が実行された工程の数が、ステップB1で取得済の設定数情報で特定される設定数に達しているかどうかを判定する。
ステップB9の判定の結果、終了条件を満たしていない場合は、シナリオ生成部12は、再度ステップB2を実行する。一方、ステップB9の判定の結果、終了条件を満たしている場合は、セキュリティ訓練支援装置30における処理は終了する。
[プログラム]
本実施の形態2におけるプログラムは、コンピュータに、図9に示すステップB1~B9を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態2におけるセキュリティ訓練支援装置30とセキュリティ訓練支援方法とを実現することができる。この場合、コンピュータのプロセッサは、情報取得部11、シナリオ生成部12、状態特定部13、及び攻撃制御部31として機能し、処理を行なう。
また、本実施の形態2におけるプログラムは、複数のコンピュータによって構築されたコンピュータシステムによって実行されても良い。この場合は、例えば、各コンピュータが、それぞれ、情報取得部11、シナリオ生成部12、状態特定部13及び攻撃制御部31のいずれかとして機能しても良い。
[実施の形態2における効果]
以上のように、本実施の形態2でも、標的型攻撃のシナリオと標的型攻撃のログの自動生成が可能となる。また、本実施の形態2では、シナリオの工程毎に、攻撃結果がフィードバックされるので、より有効な標的型攻撃のシナリオが生成されることになる。
(物理構成)
ここで、実施の形態1及び2におけるプログラムを実行することによって、セキュリティ訓練支援装置を実現するコンピュータについて図10を用いて説明する。図10は、本発明の実施の形態1及び2におけるセキュリティ訓練支援装置を実現するコンピュータの一例を示すブロック図である。
図10に示すように、コンピュータ110は、CPU(Central Processing Unit)111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。また、コンピュータ110は、CPU111に加えて、又はCPU111に代えて、GPU(Graphics Processing Unit)、又はFPGA(Field-Programmable Gate Array)を備えていても良い。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記録媒体、又はCD-ROM(Compact Disk Read Only Memory)などの光学記録媒体が挙げられる。
なお、本実施の形態におけるセキュリティ訓練支援装置は、プログラムがインストールされたコンピュータではなく、各部に対応したハードウェアを用いることによっても実現可能である。更に、セキュリティ訓練支援装置は、一部がプログラムで実現され、残りの部分がハードウェアで実現されていてもよい。
上述した実施の形態の一部又は全部は、以下に記載する(付記1)~(付記15)によって表現することができるが、以下の記載に限定されるものではない。
(付記1)
時系列に沿った複数の工程で構成され、且つ、前記複数の工程それぞれには当該工程で実行される処理が定義されている、仮想の攻撃者による標的型攻撃のシナリオを生成するため、前記複数の工程の設定数を特定する情報を、少なくとも取得する、情報取得部と、
前記設定数が満たされるまで、
前記工程で実行可能な処理の要素が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で実行される処理を選択して、前記標的型攻撃のシナリオを生成する、シナリオ生成部と、
を備えている、
ことを特徴とするセキュリティ訓練支援装置。
(付記2)
付記1に記載のセキュリティ訓練支援装置であって、
前記シナリオ生成部が、前記標的型攻撃のシナリオの生成済の工程での、前記仮想の攻撃者の状態に基づいて、前記データベースから、前記複数の工程毎に、当該工程で実行される処理を選択する、
ことを特徴とするセキュリティ訓練支援装置。
(付記3)
付記1または2に記載のセキュリティ訓練支援装置であって、
前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における目的とその処理の実行に必要な手段とによって定義されており、
前記シナリオ生成部が、
前記工程における目的の候補が登録されたデータベースから、前記複数の工程毎に、当該工程における目的を選択し、
前記工程での処理の実行に利用可能な手段の候補が登録されたデータベースから、前記複数の工程毎に、当該工程での処理の実行に必要な手段を選択して、
前記標的型攻撃のシナリオを生成する、
ことを特徴とするセキュリティ訓練支援装置。
(付記4)
付記1または2に記載のセキュリティ訓練支援装置であって、
前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における戦術と、当該工程で利用される技術と、当該工程の処理の実行に必要なソフトウェアとによって定義されており、
前記シナリオ生成部が、
前記工程における戦術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程における戦術を選択し、
前記工程で利用可能な技術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で利用される技術を選択し、
前記工程での処理の実行に利用可能なソフトウェアの候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程での処理の実行に必要なソフトウェアを選択して、
前記標的型攻撃のシナリオを生成する、
ことを特徴とするセキュリティ訓練支援装置。
(付記5)
付記1~4のいずれかに記載のセキュリティ訓練支援装置であって、
前記シナリオ生成部によって、前記標的型攻撃のシナリオの工程が生成される度に、生成された工程の内容を、前記標的型攻撃のシナリオに沿って仮想の標的型攻撃を実行可能なサーバ装置に送信して、前記サーバ装置に、生成された工程を実行させ、実行の結果を取得する、攻撃制御部を更に備えている、
こと特徴とするセキュリティ訓練支援装置。
(付記6)
(a)時系列に沿った複数の工程で構成され、且つ、前記複数の工程それぞれには当該工程で実行される処理が定義されている、仮想の攻撃者による標的型攻撃のシナリオを生成するため、前記複数の工程の設定数を特定する情報を、少なくとも取得する、ステップと、
(b)前記設定数が満たされるまで、
前記工程で実行可能な処理の要素が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で実行される処理を選択して、前記標的型攻撃のシナリオを生成する、ステップと、
を有する、
ことを特徴とするセキュリティ訓練支援方法。
(付記7)
付記6に記載のセキュリティ訓練支援方法であって、
前記(b)のステップにおいて、前記標的型攻撃のシナリオの生成済の工程での、前記仮想の攻撃者の状態に基づいて、前記データベースから、前記複数の工程毎に、当該工程で実行される処理を選択する、
ことを特徴とするセキュリティ訓練支援方法。
(付記8)
付記6または7に記載のセキュリティ訓練支援方法であって、
前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における目的とその処理の実行に必要な手段とによって定義されており、
前記(b)のステップにおいて、
前記工程における目的の候補が登録されたデータベースから、前記複数の工程毎に、当該工程における目的を選択し、
前記工程での処理の実行に利用可能な手段の候補が登録されたデータベースから、前記複数の工程毎に、当該工程での処理の実行に必要な手段を選択して、
前記標的型攻撃のシナリオを生成する、
ことを特徴とするセキュリティ訓練支援方法。
(付記9)
付記6または7に記載のセキュリティ訓練支援方法であって、
前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における戦術と、当該工程で利用される技術と、当該工程の処理の実行に必要なソフトウェアとによって定義されており、
前記(b)のステップにおいて、
前記工程における戦術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程における戦術を選択し、
前記工程で利用可能な技術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で利用される技術を選択し、
前記工程での処理の実行に利用可能なソフトウェアの候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程での処理の実行に必要なソフトウェアを選択して、
前記標的型攻撃のシナリオを生成する、
ことを特徴とするセキュリティ訓練支援方法。
(付記10)
付記6~9のいずれかに記載のセキュリティ訓練支援方法であって、
(c)前記(b)のステップによって、前記標的型攻撃のシナリオの工程が生成される度に、生成された工程の内容を、前記標的型攻撃のシナリオに沿って仮想の標的型攻撃を実行可能なサーバ装置に送信して、前記サーバ装置に、生成された工程を実行させ、実行の結果を取得する、ステップを更に有する、
こと特徴とするセキュリティ訓練支援方法。
(付記11)
コンピュータに、
(a)時系列に沿った複数の工程で構成され、且つ、前記複数の工程それぞれには当該工程で実行される処理が定義されている、仮想の攻撃者による標的型攻撃のシナリオを生成するため、前記複数の工程の設定数を特定する情報を、少なくとも取得する、ステップと、
(b)前記設定数が満たされるまで、
前記工程で実行可能な処理の要素が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で実行される処理を選択して、前記標的型攻撃のシナリオを生成する、ステップと、
を実行させる、プログラム。
(付記12)
付記11に記載のプログラムであって、
前記(b)のステップにおいて、前記標的型攻撃のシナリオの生成済の工程での、前記仮想の攻撃者の状態に基づいて、前記データベースから、前記複数の工程毎に、当該工程で実行される処理を選択する、
ことを特徴とするプログラム
(付記13)
付記11または12に記載のプログラムであって、
前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における目的とその処理の実行に必要な手段とによって定義されており、
前記(b)のステップにおいて、
前記工程における目的の候補が登録されたデータベースから、前記複数の工程毎に、当該工程における目的を選択し、
前記工程での処理の実行に利用可能な手段の候補が登録されたデータベースから、前記複数の工程毎に、当該工程での処理の実行に必要な手段を選択して、
前記標的型攻撃のシナリオを生成する、
ことを特徴とするプログラム
(付記14)
付記11または12に記載のプログラムであって、
前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における戦術と、当該工程で利用される技術と、当該工程の処理の実行に必要なソフトウェアとによって定義されており、
前記(b)のステップにおいて、
前記工程における戦術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程における戦術を選択し、
前記工程で利用可能な技術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で利用される技術を選択し、
前記工程での処理の実行に利用可能なソフトウェアの候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程での処理の実行に必要なソフトウェアを選択して、
前記標的型攻撃のシナリオを生成する、
ことを特徴とするプログラム
(付記15)
付記11~14のいずれかに記載のプログラムであって、
前記コンピュータに
(c)前記(b)のステップによって、前記標的型攻撃のシナリオの工程が生成される度に、生成された工程の内容を、前記標的型攻撃のシナリオに沿って仮想の標的型攻撃を実行可能なサーバ装置に送信して、前記サーバ装置に、生成された工程を実行させ、実行の結果を取得する、ステップを更に実行させる
こと特徴とするプログラム
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記実施の形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
以上のように、本発明によれば、標的型攻撃の訓練において必要となるシナリオを自動生成することができる。本発明は、標的型攻撃に対抗するためのシステムに有用である。
10 セキュリティ訓練支援装置(実施の形態1)
11 情報取得部
12 シナリオ生成部
13 状態特定部
14 記憶部
20 データベース
21 戦術情報
22 技術情報
23 ソフトウェア情報
30 セキュリティ訓練支援装置(実施の形態2)
31 攻撃制御部
40 攻撃指令サーバ
50、52 端末
51 攻撃エージェント
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス

Claims (15)

  1. 時系列に沿った複数の工程で構成され、且つ、前記複数の工程それぞれには当該工程で実行される処理が定義されている、仮想の攻撃者による標的型攻撃のシナリオを生成するため、前記複数の工程の設定数を特定する情報を、少なくとも取得する、情報取得手段と、
    前記設定数が満たされるまで、
    前記工程で実行可能な処理の要素が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で実行される処理を選択して、前記標的型攻撃のシナリオを生成する、シナリオ生成手段と、
    を備えている、
    ことを特徴とするセキュリティ訓練支援装置。
  2. 請求項1に記載のセキュリティ訓練支援装置であって、
    前記シナリオ生成手段が、前記標的型攻撃のシナリオの生成済の工程での、前記仮想の攻撃者の状態に基づいて、前記データベースから、前記複数の工程毎に、当該工程で実行される処理を選択する、
    ことを特徴とするセキュリティ訓練支援装置。
  3. 請求項1または2に記載のセキュリティ訓練支援装置であって、
    前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における目的とその処理の実行に必要な手段とによって定義されており、
    前記シナリオ生成手段が、
    前記工程における目的の候補が登録されたデータベースから、前記複数の工程毎に、当該工程における目的を選択し、
    前記工程での処理の実行に利用可能な手段の候補が登録されたデータベースから、前記複数の工程毎に、当該工程での処理の実行に必要な手段を選択して、
    前記標的型攻撃のシナリオを生成する、
    ことを特徴とするセキュリティ訓練支援装置。
  4. 請求項1または2に記載のセキュリティ訓練支援装置であって、
    前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における戦術と、当該工程で利用される技術と、当該工程の処理の実行に必要なソフトウェアとによって定義されており、
    前記シナリオ生成手段が、
    前記工程における戦術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程における戦術を選択し、
    前記工程で利用可能な技術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で利用される技術を選択し、
    前記工程での処理の実行に利用可能なソフトウェアの候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程での処理の実行に必要なソフトウェアを選択して、
    前記標的型攻撃のシナリオを生成する、
    ことを特徴とするセキュリティ訓練支援装置。
  5. 請求項1~4のいずれかに記載のセキュリティ訓練支援装置であって、
    前記シナリオ生成手段によって、前記標的型攻撃のシナリオの工程が生成される度に、生成された工程の内容を、前記標的型攻撃のシナリオに沿って仮想の標的型攻撃を実行可能なサーバ装置に送信して、前記サーバ装置に、生成された工程を実行させ、実行の結果を取得する、攻撃制御手段を更に備えている、
    こと特徴とするセキュリティ訓練支援装置。
  6. コンピュータが実行する方法であって、
    (a)時系列に沿った複数の工程で構成され、且つ、前記複数の工程それぞれには当該工程で実行される処理が定義されている、仮想の攻撃者による標的型攻撃のシナリオを生成するため、前記複数の工程の設定数を特定する情報を、少なくとも取得し、
    (b)前記設定数が満たされるまで、
    前記工程で実行可能な処理の要素が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で実行される処理を選択して、前記標的型攻撃のシナリオを生成する、
    ことを特徴とするセキュリティ訓練支援方法。
  7. 請求項6に記載のセキュリティ訓練支援方法であって、
    前記(b)において、前記標的型攻撃のシナリオの生成済の工程での、前記仮想の攻撃者の状態に基づいて、前記データベースから、前記複数の工程毎に、当該工程で実行される処理を選択する、
    ことを特徴とするセキュリティ訓練支援方法。
  8. 請求項6または7に記載のセキュリティ訓練支援方法であって、
    前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における目的とその処理の実行に必要な手段とによって定義されており、
    前記(b)において、
    前記工程における目的の候補が登録されたデータベースから、前記複数の工程毎に、当該工程における目的を選択し、
    前記工程での処理の実行に利用可能な手段の候補が登録されたデータベースから、前記複数の工程毎に、当該工程での処理の実行に必要な手段を選択して、
    前記標的型攻撃のシナリオを生成する、
    ことを特徴とするセキュリティ訓練支援方法。
  9. 請求項6または7に記載のセキュリティ訓練支援方法であって、
    前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における戦術と、当該工程で利用される技術と、当該工程の処理の実行に必要なソフトウェアとによって定義されており、
    前記(b)において、
    前記工程における戦術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程における戦術を選択し、
    前記工程で利用可能な技術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で利用される技術を選択し、
    前記工程での処理の実行に利用可能なソフトウェアの候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程での処理の実行に必要なソフトウェアを選択して、
    前記標的型攻撃のシナリオを生成する、
    ことを特徴とするセキュリティ訓練支援方法。
  10. 請求項6~9のいずれかに記載のセキュリティ訓練支援方法であって、更に、
    (c)前記(b)のステップによって、前記標的型攻撃のシナリオの工程が生成される度に、生成された工程の内容を、前記標的型攻撃のシナリオに沿って仮想の標的型攻撃を実行可能なサーバ装置に送信して、前記サーバ装置に、生成された工程を実行させ、実行の結果を取得する、
    ことを特徴とするセキュリティ訓練支援方法。
  11. コンピュータに、
    (a)時系列に沿った複数の工程で構成され、且つ、前記複数の工程それぞれには当該工程で実行される処理が定義されている、仮想の攻撃者による標的型攻撃のシナリオを生成するため、前記複数の工程の設定数を特定する情報を、少なくとも取得する、ステップと、
    (b)前記設定数が満たされるまで、
    前記工程で実行可能な処理の要素が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で実行される処理を選択して、前記標的型攻撃のシナリオを生成する、ステップと、
    を実行させる、プログラム。
  12. 請求項11に記載のプログラムであって、
    前記(b)のステップにおいて、前記標的型攻撃のシナリオの生成済の工程での、前記仮想の攻撃者の状態に基づいて、前記データベースから、前記複数の工程毎に、当該工程で実行される処理を選択する、
    ことを特徴とするプログラム。
  13. 請求項11または12に記載のプログラムであって、
    前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における目的とその処理の実行に必要な手段とによって定義されており、
    前記(b)のステップにおいて、
    前記工程における目的の候補が登録されたデータベースから、前記複数の工程毎に、当該工程における目的を選択し、
    前記工程での処理の実行に利用可能な手段の候補が登録されたデータベースから、前記複数の工程毎に、当該工程での処理の実行に必要な手段を選択して、
    前記標的型攻撃のシナリオを生成する、
    ことを特徴とするプログラム。
  14. 請求項11または12に記載のプログラムであって、
    前記標的型攻撃のシナリオの前記複数の工程それぞれにおいて、当該工程で実行される処理が、当該工程における戦術と、当該工程で利用される技術と、当該工程の処理の実行に必要なソフトウェアとによって定義されており、
    前記(b)のステップにおいて、
    前記工程における戦術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程における戦術を選択し、
    前記工程で利用可能な技術の候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程で利用される技術を選択し、
    前記工程での処理の実行に利用可能なソフトウェアの候補が登録されたデータベースから、前記複数の工程それぞれ毎に、当該工程での処理の実行に必要なソフトウェアを選択して、
    前記標的型攻撃のシナリオを生成する、
    ことを特徴とするプログラム。
  15. 請求項11~14のいずれかに記載のプログラムであって、
    前記コンピュータに、
    (c)前記(b)のステップによって、前記標的型攻撃のシナリオの工程が生成される度に、生成された工程の内容を、前記標的型攻撃のシナリオに沿って仮想の標的型攻撃を実行可能なサーバ装置に送信して、前記サーバ装置に、生成された工程を実行させ、実行の結果を取得する、ステップを更に実行させる、
    ことを特徴とするプログラム。
JP2021528584A 2019-06-20 2019-06-20 セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラム Active JP7238987B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2019/024602 WO2020255359A1 (ja) 2019-06-20 2019-06-20 セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びコンピュータ読み取り可能な記録媒体

Publications (3)

Publication Number Publication Date
JPWO2020255359A1 JPWO2020255359A1 (ja) 2020-12-24
JPWO2020255359A5 JPWO2020255359A5 (ja) 2022-03-11
JP7238987B2 true JP7238987B2 (ja) 2023-03-14

Family

ID=74040434

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021528584A Active JP7238987B2 (ja) 2019-06-20 2019-06-20 セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラム

Country Status (3)

Country Link
US (1) US20220366041A1 (ja)
JP (1) JP7238987B2 (ja)
WO (1) WO2020255359A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022076159A (ja) * 2020-11-09 2022-05-19 株式会社日立製作所 サイバー攻撃シナリオ生成方法、および装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160285907A1 (en) 2015-03-27 2016-09-29 The Boeing Company System and Method for Developing a Cyber-Attack Scenario
WO2017126041A1 (ja) 2016-01-20 2017-07-27 三菱電機株式会社 訓練装置、訓練方法、及び訓練プログラム
JP2017198836A (ja) 2016-04-27 2017-11-02 三菱電機株式会社 原子力発電プラントのサイバーテロセキュリティシミュレータ

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10238948B2 (en) * 2015-09-24 2019-03-26 Circadence Corporation Mission-based, game-implemented cyber training system and method
US10382473B1 (en) * 2018-09-12 2019-08-13 Xm Cyber Ltd. Systems and methods for determining optimal remediation recommendations in penetration testing
US11277432B2 (en) * 2018-12-03 2022-03-15 Accenture Global Solutions Limited Generating attack graphs in agile security platforms

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160285907A1 (en) 2015-03-27 2016-09-29 The Boeing Company System and Method for Developing a Cyber-Attack Scenario
WO2017126041A1 (ja) 2016-01-20 2017-07-27 三菱電機株式会社 訓練装置、訓練方法、及び訓練プログラム
JP2017198836A (ja) 2016-04-27 2017-11-02 三菱電機株式会社 原子力発電プラントのサイバーテロセキュリティシミュレータ

Also Published As

Publication number Publication date
JPWO2020255359A1 (ja) 2020-12-24
WO2020255359A1 (ja) 2020-12-24
US20220366041A1 (en) 2022-11-17

Similar Documents

Publication Publication Date Title
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
JP6410588B2 (ja) 仮想組織体内においてマルウェアをインキュベートするシステムおよび方法
JP6568504B2 (ja) スクリプトの実行をブロックするシステム及び方法
US20170099302A1 (en) Methods, systems, and media for inhibiting attacks on embedded devices
JP6353498B2 (ja) ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法
US10887340B2 (en) Methods, systems, and media for inhibiting attacks on embedded devices
JP2019091435A (ja) 訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法
CN107463841B (zh) 检测恶意计算机***的***和方法
US10943008B2 (en) System and method of detecting hidden behavior of a browser extension
WO2016203759A1 (ja) 分析システム、分析方法、分析装置及び、コンピュータ・プログラムが記憶された記録媒体
US11595440B2 (en) Maintaining interactive session continuity in honeypot deployments
US20200145446A1 (en) Dynamic best path determination for penetration testing
JP7238987B2 (ja) セキュリティ訓練支援装置、セキュリティ訓練支援方法、及びプログラム
JP7207536B2 (ja) ルール生成装置、ルール生成方法、及びプログラム
EP3252645B1 (en) System and method of detecting malicious computer systems
JP7351399B2 (ja) ログ生成装置、ログ生成方法、及びプログラム
JP7168010B2 (ja) 行動計画推定装置、行動計画推定方法、及びプログラム
WO2023032015A1 (ja) 攻撃分析支援装置、攻撃分析支援方法、およびコンピュータ読み取り可能な記録媒体
WO2019220480A1 (ja) 監視装置、監視方法及びプログラム
JP7491372B2 (ja) 攻撃再現支援装置、攻撃再現支援方法、及びプログラム
Muhovic Behavioural analysis of malware using custom sandbox environments
RU2592383C1 (ru) Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти
Hovmark et al. Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS
EP3522057B1 (en) System and method of detecting hidden behavior of a browser extension
JP6498413B2 (ja) 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211216

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230118

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230213

R151 Written notification of patent or utility model registration

Ref document number: 7238987

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151