処理中

しばらくお待ちください...

設定

設定

出願の表示

1. WO2020195230 - 分析システム、方法およびプログラム

Document

明 細 書

発明の名称 分析システム、方法およびプログラム

技術分野

0001  

背景技術

0002   0003   0004   0005   0006  

先行技術文献

特許文献

0007  

発明の概要

発明が解決しようとする課題

0008   0009   0010   0011   0012  

課題を解決するための手段

0013   0014   0015  

発明の効果

0016  

図面の簡単な説明

0017  

産業上の利用の可能性

0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087   0088   0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101   0102   0103   0104   0105   0106   0107   0108   0109   0110   0111   0112   0113   0114   0115   0116   0117   0118   0119   0120   0121   0122   0123   0124   0125   0126   0127   0128   0129   0130   0131  

符号の説明

0132  

請求の範囲

1   2   3   4   5   6   7   8   9   10  

図面

1   2   3   4   5   6   7   8   9   10   11   12   13   14  

明 細 書

発明の名称 : 分析システム、方法およびプログラム

技術分野

[0001]
 本発明は、診断対象システムへの攻撃に対する対処に関する判断材料となる情報を表示する分析システム、分析方法および分析プログラムに関する。

背景技術

[0002]
 複数のコンピュータ等を含む情報処理システムにおいて、情報資産をサイバー攻撃等から守るためのセキュリティ対策をとることが求められている。セキュリティ対策としては、対象となるシステムの脆弱性等を診断し、必要に応じて脆弱性を取り除くこと等が挙げられる。
[0003]
 特許文献1には、脅威データベースを有するソフトウェア開発システムが記載されている。特許文献1に記載されているソフトウェア開発システムは、開発対象の設計情報から作成された制御モデルであって開発対象を模擬した実行可能モデルである制御モデルの個々の構成要素に対して、脅威データベースから該当する脅威のデータを抽出する。脅威のデータを抽出することによって、特許文献1に記載されているソフトウェア開発システムは、制御モデルに対する複数の脅威を示す脅威一覧のデータを作成して出力する。
[0004]
 また、特許文献2には、攻撃が開始される前に発生する恐れのある攻撃の全容を把握することの可能な不正アクセス検知装置が記載されている。特許文献2に記載されている不正アクセス検知装置は、発生する恐れのある分散型サービス不能化攻撃の全容を把握できる。
[0005]
 また、特許文献3には、利用者のシステムに関連する脆弱性について直観的にわかりやすく利用者に提示することで、利用者が適切な対策を積極的に行うことを補助する脆弱性分析装置が記載されている。
[0006]
 また、特許文献4には、技術的観点だけではなくビジネスの観点からも、脆弱性が情報処理システムにもたらすリスクを評価できるようにした脆弱性リスク評価システムが記載されている。

先行技術文献

特許文献

[0007]
特許文献1 : 特開2017-68825号公報
特許文献2 : 特開2005-341217号公報
特許文献3 : 特開2014-130502号公報
特許文献4 : 特開2017-224053号公報

発明の概要

発明が解決しようとする課題

[0008]
 セキュリティ診断の対象となるシステムを、診断対象システムと記す。また、診断対象システムにおいて実行可能な攻撃の流れを攻撃ルートと記す。
[0009]
 セキュリティに関する対策をとるために、各脆弱性による影響を評価することが一般的である。
[0010]
 しかし、診断対象システムの構成は、診断対象システム毎にそれぞれ異なるので、脆弱性による影響の評価のみでは、攻撃による診断対象システムへの影響を把握することは困難である。
[0011]
 また、攻撃ルート上の機器が攻撃を受けた場合、具体的にどのような被害が発生する可能性があるかをセキュリティ管理者が容易に把握できることが好ましい。
[0012]
 そこで、本発明は、攻撃ルート上の機器が攻撃を受けたときに発生する可能性がある被害を分析できる分析システム、分析方法および分析プログラムを提供することを目的とする。

課題を解決するための手段

[0013]
 本発明による分析システムは、診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定部と、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出する検出部と、第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する被害特定部とを備え、検出部は、被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、セキュリティの情報と特定された被害情報とに基づいて検出することを特徴とする。
[0014]
 本発明による分析方法は、コンピュータが、診断対象システムに含まれる機器のネットワークトポロジを特定し、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出し、第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定し、被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、セキュリティの情報と特定された被害情報とに基づいて検出することを特徴とする分析方法。
[0015]
 本発明による分析プログラムは、コンピュータに、診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定処理、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出する第1検出処理、第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する被害特定処理、および被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、セキュリティの情報と特定された被害情報とに基づいて検出する第2検出処理を実行させることを特徴とする。また、本発明は、上記の分析プログラムを記録したコンピュータ読み取り可能な記録媒体であってもよい。

発明の効果

[0016]
 本発明によれば、攻撃ルート上の機器が攻撃を受けたときに発生する可能性がある被害を分析できる。

図面の簡単な説明

[0017]
[図1] 本発明の第1の実施形態の分析システムの例を示すブロック図である。
[図2] トポロジ特定部によって特定されるネットワークトポロジの例を示す模式図である。
[図3] 「機器と攻撃状態との組合せ」の複数の遷移関係を示す情報の例を示す模式図である。
[図4] リスク情報記憶部に記憶されている情報の例を示す模式図である。
[図5] 被害情報記憶部が記憶する情報の例を示す模式図である。
[図6] 第1の実施形態における第1攻撃ルートの表示例を示す模式図である。
[図7] 第1の実施形態における第1攻撃ルートの他の表示例を示す模式図である。
[図8] 第1の実施形態における第2攻撃ルートの表示例を示す模式図である。
[図9] 第1の実施形態における第1攻撃ルートと第2攻撃ルートの表示例を示す模式図である。
[図10] 第1の実施形態における第1攻撃ルートと第2攻撃ルートの他の表示例を示す模式図である。
[図11] 第1の実施形態における第2攻撃ルートの他の表示例を示す模式図である。
[図12] 第1の実施形態の分析システムの処理経過の例を示すフローチャートである。
[図13] 本発明の実施形態の分析システムに係るコンピュータの構成例を示す概略ブロック図である。
[図14] 本発明の分析システムの概要を示すブロック図である。
[0018]
 以下、本発明の実施形態を図面を参照して説明する。
[0019]
実施形態1.
 図1は、本発明の第1の実施形態の分析システムの例を示すブロック図である。第1の実施形態の分析システム1は、データ収集部2と、データ記憶部3と、トポロジ特定部4と、検出部5と、表示制御部6と、ディスプレイ装置7と、被害特定部8と、リスク情報記憶部9と、被害情報記憶部10とを備える。
[0020]
 本実施形態における分析システム1として、診断対象システムを仮想化し、各機器の情報等に基づいてシミュレーションを行うことによって、診断対象システムの分析を行う分析システムが想定されている。
[0021]
 データ収集部2は、診断対象システム(セキュリティ診断の対象となるシステム)に含まれる各機器に関する情報を収集する。
[0022]
 診断対象システムの例として、例えば、企業内のIT(Information Technology)システムや、工場やプラント等を制御するためのいわゆるOT(Operational Technology)システム等が挙げられる。ただし、診断対象システムは、これらのシステムに限られない。複数の機器が通信ネットワークを介して接続されたシステムが、診断対象システムとなり得る。
[0023]
 診断対象システムに含まれる各機器は、通信ネットワークを介して接続されている。診断対象システムに含まれる機器の例として、例えば、パーソナルコンピュータ、サーバ、スイッチ、ルータ、工場に設置される工作機器、工作機器の制御装置等が挙げられる。ただし、機器は、上記の例に限定されない。また、機器は、物理的な機器であっても、仮想的な機器であってもよい。
[0024]
 データ収集部2が収集する情報の例として、例えば、機器に搭載されているOS(Operating System)やそのバージョン情報、機器に搭載されているハードウェアの構成情報、機器に搭載されているソフトウェアやそのバージョン情報、機器が他の機器との間で授受する通信データやその通信データの授受に用いた通信プロトコルの情報、機器のポートの状態を示す情報(どのポートが開いているか)等が挙げられる。通信データには、その通信データの送信元や送信先の情報が含まれている。ただし、データ収集部2が収集する情報の例は、上記の例に限定されない。データ収集部2は、機器に関する情報として、他の情報を収集してもよい。
[0025]
 データ収集部2は、診断対象システムに含まれる各機器から、直接、機器に関する情報を収集してもよい。この場合、分析システム1が各機器と通信ネットワークを介して接続されていれば、データ収集部2は、通信ネットワークを介して、各機器から情報を収集すればよい。
[0026]
 あるいは、データ収集部2は、各機器の情報を収集する情報収集サーバから、各機器に関する情報を取得してもよい。この場合、分析システム1が情報収集サーバと通信ネットワークを介して接続されていれば、データ収集部2は、通信ネットワークを介して、情報収集サーバから各機器に関する情報を収集すればよい。
[0027]
 また、各機器にエージェントが搭載されている場合には、データ収集部2は、エージェントを介して各機器に関する情報を収集してもよく、エージェントを介して各機器の情報を収集した情報収集サーバから各機器に関する情報を取得してもよい。
[0028]
 各機器に搭載されたエージェントがそれぞれ、機器に関する情報を情報収集サーバに送信してもよい。また、データ収集部2は、その情報収集サーバから、診断対象システムに含まれる各機器に関する情報を収集してもよい。この場合、例えば、分析システム1が情報収集サーバと通信ネットワークを介して接続されていれば、データ収集部2は、通信ネットワークを介して、その情報収集サーバから各機器に関する情報を収集すればよい。
[0029]
 データ収集部2は、診断対象システムに含まれる各機器に関する情報を収集すると、その情報を、データ記憶部3に記憶させる。
[0030]
 データ記憶部3は、データ収集部2が収集した各機器に関する情報を記憶する記憶装置である。
[0031]
 トポロジ特定部4は、各機器のネットワークトポロジを特定する。具体的には、トポロジ特定部4は、セキュリティ管理者(以下、単に管理者と記す。)から与えられたネットワークトポロジの構成を基に、各機器のネットワークトポロジを特定してもよい。また、トポロジ特定部4は、データ記憶部3に記憶された各機器に関する情報を基に、各機器のネットワークトポロジを特定してもよい。図2は、トポロジ特定部4によって特定されるネットワークトポロジの例を示す模式図である。図2は、複数の機器が通信ネットワークを介して接続されている状況を示している。
[0032]
 検出部5は、データ記憶部3に記憶された各機器に関するセキュリティの情報に基づいて、診断対象システムにおける攻撃ルートを検出する。具体的に、機器に関するセキュリティの情報は、機器に関するセキュリティ対応状況等を含む。以下、後述する被害情報が使用されずに検出される攻撃ルートを第1攻撃ルートと記す場合がある。
[0033]
 上述したように、攻撃ルートは、診断対象システムにおいて、実行可能な攻撃の流れを示すものである。具体的には、攻撃ルートは、攻撃の起点となる機器から攻撃の終点となる機器までの、攻撃を受ける機器の順を示すルートである。
[0034]
 検出部5は、各機器に関するセキュリティの情報と、予め定められた分析ルールとに基づいて、攻撃ルートを検出してもよい。
[0035]
 また、例えば、検出部5は、以下に示す方法で攻撃ルートを検出してもよい。
[0036]
 まず、攻撃には複数の種類があり、機器の有する脆弱性に応じて、受ける可能性がある攻撃が異なる。そこで、本発明の実施形態では、脆弱性によって攻撃を受ける可能性がある機器の状態を攻撃状態と定義する。例えば、攻撃状態として、「コードを実行できる状態(以下、execCodeと記す。)」、「データを改ざんできる状態(以下、dataInjectと記す。)」、「ファイルにアクセスできる状態(以下、accessFileと記す。)」、「アカウント情報を持っている状態(以下、hasAccountと記す。)」、「DoS(Denial of Service )攻撃を行える状態」等が挙げられる。
[0037]
 また、「機器と攻撃状態との組合せ」から別の「機器と攻撃状態との組合せ」への遷移を示す情報を攻撃シナリオと称することとする。「機器と攻撃状態との組合せ」から別の「機器と攻撃状態との組合せ」への遷移とは、ある機器にてある攻撃が可能になることで、その機器または別の機器で別のある攻撃が可能になることを示すものである。検出部5は、各機器に関するセキュリティの情報と、予め定められた分析ルールとに基づいて、診断対象システムで起こり得る攻撃シナリオを検出する。検出部5は、検出した複数の攻撃シナリオにおいて、「機器と攻撃状態との組合せ」をノードとみなし、共通のノードを繋げることで、「機器と攻撃状態との組合せ」の複数の遷移関係を示す情報を得る。図3は、この情報の例を模式的に示す模式図である。図3において、“A”,“B”,“U”,“W”,“X”,“Y”,“Z”はそれぞれ機器を表している。ここでは、図3に示す情報が得られた場合を例に説明する。
[0038]
 また、検出部5は、ユーザインタフェース(図示略)を介して、管理者から、分析対象の指定を受け付ける。分析対象は、攻撃の起点となる機器、攻撃の終点となる機器、および、それらの組み合わせ等でもよい。また、複数の分析対象の指定があってもよい。検出部5は、管理者から指定された分析対象に関して、「機器と攻撃状態との組合せ」の複数の遷移関係を示す情報(図3参照)に基づいて、攻撃ルートを検出する。
[0039]
 例えば、攻撃の起点となる機器Xと攻撃の終点となる機器Zとが管理者によって指定された場合、検出部5は、図3に模式的に示す情報に基づいて、「X→A→Y→Z」という攻撃ルート(以下、攻撃ルート1と記す。)、および、「X→A→B→Z」という攻撃ルート(以下、攻撃ルート2と記す。)を検出することができる。このように、1つの起点および1つの終点が指定された場合であっても、複数の攻撃ルートが存在することもあり得る。
[0040]
 また、例えば、攻撃の起点となる機器Xと攻撃の終点となる機器Wとが管理者によって指定された場合、検出部5は、図3に模式的に示す情報に基づいて、「X→A→Y→W」という攻撃ルートを検出することができる。
[0041]
 この方法は、検出部5が攻撃ルートを検出する方法の一例である。
[0042]
 上記の方法において、異なる攻撃ルート上に共通の機器が存在する場合であっても、その機器の攻撃状態が同一であるとは限らない。機器が複数の脆弱性を有していたり、1つの脆弱性によって複数の攻撃を受けてしまう可能性もあるため、異なる攻撃ルート上の共通の機器の攻撃状態が異なる場合がある。例えば、上記の攻撃ルート1では、機器Aの攻撃状態は“dataInject”である。また、上記の攻撃ルート2では、機器Aの攻撃状態は“hasAccount”である(図3参照)。
[0043]
 また、管理者に指定された分析対象に対して、必ず攻撃ルートが検出されるとは限らない。例えば、攻撃の起点となる機器Zと攻撃の終点となる機器Xとが管理者によって指定された場合、攻撃ルートは検出されない(図3参照)。すなわち、機器Zから機器Xに至る攻撃は存在しないということである。
[0044]
 また、管理者が起点のみを指定する場合、検出部5は、重要機器を終点として設定してもよい。また、管理者が終点のみを指定する場合、検出部5は、起点となりうる可能性の高い所定の端末を起点として設定してもよい。
[0045]
 被害特定部8は、攻撃ルート上の機器毎に、被害情報を特定する。被害特定部8は、この処理を、攻撃ルート毎に行う。ただし、攻撃ルート上には、被害情報が特定されない機器が存在していてもよい。
[0046]
 以下、被害特定部8が1つの攻撃ルートの機器毎に被害情報を特定する方法の例を説明する。被害特定部8は、着目している攻撃ルートの機器毎に、脆弱性と、機器の機能とを特定する。
[0047]
 機器の脆弱性の特定方法として、被害特定部8は、着目している攻撃ルート上の機器毎に、機器に搭載されている各ソフトウェアを確認し、リスク情報記憶部9に記憶されているリスクテーブル(図4参照)を参照することによって、機器に搭載されている各ソフトウェアに対応する各脆弱性を判定する。さらに、被害特定部8は、着目している攻撃ルート上の機器毎に、判定した脆弱性の中から、攻撃ルートに応じた脆弱性を特定する。
[0048]
 リスク情報記憶部9に記憶されている情報について説明する。図4は、リスク情報記憶部9に記憶されている情報の例を示す模式図である。
[0049]
 種々のソフトウェアと種々のセキュリティ上の脆弱性との関係は予め定められている。リスク情報記憶部9は、種々のソフトウェアと種々の脆弱性との関係を示す情報を、例えば、テーブル形式で記憶する(図4に示すテーブルを参照)。以下、ソフトウェアと脆弱性との関係を示すテーブルをリスクテーブルと記す。管理者は、リスクテーブルを予めリスク情報記憶部9に記憶させておけばよい。
[0050]
 セキュリティ上の脆弱性は、大きく2種類に分類される。第1の脆弱性は、ソフトウェアや機器(ルータ等)の不具合が原因の脆弱性である。この脆弱性については、様々な機関によって情報が収集または分類される。脆弱性は、適宜、採番される。一例として、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)では、発見された脆弱性に対して“CVE-****-**** ”という形式の識別子が割り当てられる。第2の脆弱性は、プロトコルの仕様が原因の脆弱性である。このような脆弱性の例として、「FTP(File Transfer Protocol)の悪用」、「Telnetの悪用」等が挙げられる。本発明の実施形態において、脆弱性は、この第1の脆弱性および第2の脆弱性を含む。
[0051]
 また、被害特定部8は、例えば、以下のように各機器の機能を特定する。
[0052]
 予め、機器の機能に応じた条件が定められている。例えば、「アカウントサーバ機能」に対しては、「アカウントサーバ用のソフトウェアが搭載されている」、「所定のプロトコルで他の機器と通信データを授受する機器である」、あるいは、「所定のポートが開いた状態になっている」という条件のいずれか1つ、あるいは、2つ以上が予め定められている。
[0053]
 また、例えば、「人事情報管理サーバ機能」に対しては、「人事情報管理サーバ用のソフトウェアが搭載されている」という条件が予め定められている。
[0054]
 被害特定部8は、機能を特定しようとしている機器に関する情報を参照し、その情報がどの機能に応じた条件を満たしているのかを判定することによって、その機器の機能を特定すればよい。なお、被害特定部8は、機器に関する情報がどの機能に応じた条件も満たしていないならば、その機器の機能として、「該当する機能なし」という結果を導出してもよい。
[0055]
 上記のような方法で、被害特定部8は、着目している攻撃ルート上の各機器の機能を特定する。
[0056]
 ただし、被害特定部8は、他の方法で機器の機能を特定してもよい。例えば、被害特定部8は、攻撃ルート上の各機器の機能の指定を、ユーザインタフェース(図示略)を介して管理者から受け付けることによって、攻撃ルート上の各機器の機能を特定してもよい。
[0057]
 また、被害特定部8は、通信ネットワーク上に流れているデータを基に、機器の機能を特定してもよい。例えば、被害特定部8は、任意の機器から送信されたパケットを解析することによって、任意の機器がクラウドコンピューティングで実現されている経理システムにアクセスする機能を有していると特定できる。
[0058]
 なお、被害特定部8は、通信ネットワーク上で流れているデータを基に、任意の機器がアクセスしているポートや、任意の機器が実行している認証方法(例えば、Kerberos認証)を推測してもよい。
[0059]
 被害特定部8は、着目している攻撃ルート上の1つの機器に関して、脆弱性および機能を特定したならば、その機能に合致するレコードを被害情報記憶部10が記憶しているテーブル(図5参照)から検索する。
[0060]
 被害情報記憶部10は、機器の機能に応じた被害情報(攻撃された場合に受ける被害内容を示す情報)を記憶する記憶装置である。図5は、被害情報記憶部10が記憶する情報の例を示す模式図である。
[0061]
 被害情報記憶部10は、例えば、図5に例示するように、機器の機能と、攻撃種類と、被害情報とを対応付けたテーブルを記憶する。攻撃種類は、機器の機能が特定されることにより、特定される。
[0062]
 該当するレコードがあれば、被害特定部8は、そのレコードに含まれている被害情報を読み込み、読み込んだ被害情報を、その機器の被害情報として特定する。該当するレコードがなければ、被害特定部8は、その機器の被害情報はないと判定する。被害特定部8は、着目している攻撃ルート上の各機器に対して、この動作を行う。この結果、着目している攻撃ルート上の各機器の被害情報が定まる。
[0063]
 被害特定部8は、攻撃ルート毎に上記と同様の動作を行い、各攻撃ルート上の各機器の被害情報を特定する。ただし、前述のように、被害情報が特定されない機器が存在していてもよい。
[0064]
 以上の説明では、被害特定部8が機器の機能に基づいて被害情報を定める場合を示した。他にも被害特定部8は、機器の機能と機器の脆弱性に基づいて被害情報を特定してもよく、攻撃種類等に基づいて特定してもよい。さらに、被害特定部8は、機器の機能と攻撃状態との組から被害情報を特定してもよい。
[0065]
 表示制御部6は、トポロジ特定部4によって特定されたネットワークトポロジに重畳させて攻撃ルートをディスプレイ装置7上に表示する。図6は、第1の実施形態における第1攻撃ルートの表示例を示す模式図である。
[0066]
 図6に示す例では、表示制御部6は、「機器a→機器c→機器b」という攻撃ルート(以下、符号“50”で表し、攻撃ルート50と記す。)を表示している。また、表示制御部6は、「機器d→機器e」という攻撃ルート(以下、符号“51”で表し、攻撃ルート51と記す。)も表示している。
[0067]
 なお、ディスプレイ装置7は、情報を表示する装置であり、一般的なディスプレイ装置でよい。なお、分析システム1がクラウド上に存在する場合には、ディスプレイ装置7は、クラウドに接続される端末のディスプレイ装置等であってもよい。
[0068]
 また、表示制御部6は、各攻撃ルートを表示するとともに、被害情報が特定された機器の近傍に被害情報(すなわち、攻撃された場合に受ける被害内容を示す情報)を表示してもよい。図7は、第1の実施形態における第1攻撃ルートの他の表示例を示す模式図である。
[0069]
 図7に示す例では、前述の攻撃ルート50上の機器c,bについて、それぞれ被害情報が特定され、表示制御部6が、ディスプレイ装置7上に表示した機器c,bそれぞれの近傍に、対応する被害情報を表示した状態を示している。ここで、表示制御部6は、各攻撃ルートを表示するとともに、機器の近傍にその機器が有する脆弱性等のセキュリティに関する情報を併せて表示してもよい。
[0070]
 なお、表示制御部6は、被害情報が示す被害内容の大きさに応じて文字、ポップアップの大きさ、色を変えてもよい。例えば、予め、被害情報の内容にランクを付しておき、表示制御部6は、被害情報を表示するときに、そのランクに応じて、文字、ポップアップの大きさ、色を定めてもよい。
[0071]
 また、被害情報の表示態様は、上記の例に限定されない。例えば、表示制御部6は、被害情報が特定された機器の近傍に、その機器に関する被害情報があることを表わすアイコンを表示してもよい。そして、表示制御部6は、そのアイコンがマウス等によってクリックされた場合に、その機器に関する被害情報を表示してもよい。あるいは、表示制御部6は、そのアイコンがマウスオーバ状態になったときに、その機器に関する被害情報を表示してもよい(ロールオーバ)。また、表示制御部6は、被害情報をポップアップ表示し、マウス等による操作に応じて、そのポップアップ表示の大きさを変化させてもよい。
[0072]
 被害特定部8が特定した任意の機器における被害情報を基に、検出部5は、任意の機器が攻撃を受けたときの攻撃ルートをさらに検出する。以下、被害内容に起因して実行可能な攻撃の流れを示す攻撃ルートを第2攻撃ルートと記す場合がある。本実施形態の検出部5は、攻撃を受けた被装置の役割に応じて、被害内容をより具体的に予測する。
[0073]
 例えば、上記の例で機能が「アカウントサーバ機能」と特定された機器cは、ID管理サーバである可能性がある。ID管理サーバが攻撃を受けると、管理されている個人情報と認証情報の組(例えば、IDとパスワードの組)が流出する。
[0074]
 IDとパスワードが盗まれた場合、認証情報が求められる攻撃が成立する可能性がある。具体的には、IDとパスワードが盗まれた場合、機器cが管理しているIDとパスワードをログインに要する機器への攻撃、またはその機器からの攻撃が、理論的には成立する可能性がある。ただし、盗まれたIDの権限が管理者権限ではなく一般権限であった場合には、その限りではない。
[0075]
 例えば、データ収集部2が各機器間のデータフローに関する情報を収集した場合、検出部5は、機器cにログイン用のIDとパスワードを登録している機器を推定できる。
[0076]
 次いで、検出部5は、特定された被害情報を基に、第2攻撃ルートを検出する。具体的には、機器cが管理しているIDとパスワードが盗まれた場合に、検出部5は、盗まれたIDとパスワードを利用して実行可能な攻撃の流れを示す攻撃ルートである第2攻撃ルートを特定する。
[0077]
 第2攻撃ルートを特定する際も、検出部5は、収集されたデータフローに関する情報を用いてもよい。なお、第2攻撃ルートは、検出部5に予め管理者から与えられていてもよい。また、第1攻撃ルートと第2攻撃ルートは、基本的に異なる攻撃ルートであるが、同一の攻撃ルートでもよい。
[0078]
 図8は、第1の実施形態における第2攻撃ルートの表示例を示す模式図である。図8に示す表示例は、機器cが攻撃を受けたときの攻撃ルートを表示するように管理者から指示を受けた表示制御部6がディスプレイ装置7に表示する例である。
[0079]
 なお、表示制御部6は、例えば第1攻撃ルート上の各機器の指定を、グラフィカルユーザインタフェース(Graphical User Interface)(図示略)を介して管理者から受け付ける。
[0080]
 図8に示す例では、表示制御部6は、「機器f→機器g」という攻撃ルート(以下、符号“52”で表し、攻撃ルート52と記す。)、「機器h→機器i」という攻撃ルート(以下、符号“53”で表し、攻撃ルート53と記す。)、「機器j→機器k」という攻撃ルート(以下、符号“54”で表し、攻撃ルート54と記す。)をそれぞれ表示している。すなわち、本例では機器cが機器f、機器h、機器jそれぞれへのログインに要するIDとパスワードを管理していたため、検出部5は、図8に示す攻撃ルート52、53、54を特定した。
[0081]
 また、攻撃ルート(第1攻撃ルート)上の重要な機器が指定された場合、表示制御部6は、指定されたサーバを強調して表示してもよい。図8に示すように、重要な機器である機器cは、破線の矩形で強調されて表示されている。
[0082]
 なお、表示制御部6は、第1攻撃ルートと第2攻撃ルートを併せて表示してもよいし、第2攻撃ルートだけを表示してもよい。表示制御部6は、例えば図9に示すように、ディスプレイ装置7が表示する2つの画面それぞれに第1攻撃ルートと第2攻撃ルートを分けて表示する。図9は、第1の実施形態における第1攻撃ルートと第2攻撃ルートの表示例を示す模式図である。
[0083]
 併せて表示する場合、表示制御部6は、例えば図10に示すように、ディスプレイ装置7が表示する1つの画面に第1攻撃ルートと第2攻撃ルートを併せて表示する。図10は、第1の実施形態における第1攻撃ルートと第2攻撃ルートの他の表示例を示す模式図である。
[0084]
 なお、表示制御部6は、太さや色を変える等の方法で、第1攻撃ルートと第2攻撃ルートを区別して表示する。図10に示す例では、第1攻撃ルートの方が第2攻撃ルートよりも太く表示されている。また、表示制御部6は、管理者からの指示に従って、第1攻撃ルートと第2攻撃ルートの表示方法を切り替えてもよい。
[0085]
 また、表示制御部6は、第1攻撃ルートのうち、より多くの第2攻撃ルートの検出に関連する第1攻撃ルートを特に強調して表示してもよい。強調されて表示されると、管理者は、強調された第1攻撃ルートが示す攻撃を防ぐことができれば、より多くの第2攻撃ルートが示す攻撃も併せて防ぐことができる可能性があると認識できる。
[0086]
 また、表示制御部6は、対応する第2攻撃ルートが存在しない第1攻撃ルートを、強調せずに表示してもよい。その理由は、対応する第2攻撃ルートが存在しない第1攻撃ルートを基に被害が広がる可能性が他の第1攻撃ルートよりも低いためである。
[0087]
 また、表示制御部6は、第1攻撃ルートと第2攻撃ルートのいずれに関しても、被害内容の大きさに応じて表示方法を変えてもよい。このように表示方法が変えられると、管理者は、システムへの影響が大きい攻撃ルートを特定できる。
[0088]
 なお、被害特定部8は、検出部5が新たに特定した攻撃ルート(第2攻撃ルート)上の機器毎にも被害情報を特定してもよい。さらに、表示制御部6は、各攻撃ルートを表示するとともに、被害情報が特定された機器の近傍に被害情報を表示してもよい。図11は、第1の実施形態における第2攻撃ルートの他の表示例を示す模式図である。
[0089]
 図11に示す例では、前述の攻撃ルート52上の機器g、攻撃ルート53上の機器i、および攻撃ルート54上の機器kについてそれぞれ被害情報が特定され、表示制御部6がディスプレイ装置7上に表示した機器g,i,kそれぞれの近傍に、対応する被害情報を表示した状態が示されている。
[0090]
 図11に示すように、機器gの近傍には、「秘密鍵の流出」と表示されている。また、機器iの近傍には、「経営、資産情報の流出」と表示されている。また、機器kの近傍には、「機器がダウン」と表示されている。
[0091]
 なお、名前や生年月日等の個人情報が盗まれた場合、盗まれた個人情報からIDとパスワードを推察することが可能な場合もある。すなわち、ID管理サーバではなく任意の個人情報を管理しているサーバが指定された場合にも、検出部5は、図8に示す攻撃ルート(第2攻撃ルート)を特定できる場合がある。具体的には、検出部5は、盗まれた個人情報から推察されたIDとパスワードを利用して実行可能な攻撃の流れを示す攻撃ルートである第2攻撃ルートを特定する。
[0092]
 また、システムの管理者権限に関する情報が盗まれた場合には、システム内の機器が管理しているデータのうち、盗まれるデータの種類が格段に増える。また、システム内の機器に対して、マルウェアのインストール、機器のダウン、機器が提供するサービスの停止等のどのような攻撃も成立する。
[0093]
 その理由は、管理者権限に関する情報が利用されて突破されるセキュリティが一般権限に関する情報が利用されて突破されるセキュリティよりも多いためである。よって、管理者権限に関する情報が盗まれた場合、検出部5は、より多くの攻撃ルート(第2攻撃ルート)を特定する。
[0094]
 データ収集部2は、例えば、分析プログラムに従って動作するコンピュータのCPU(Central
Processing Unit )、および、そのコンピュータの通信インタフェースによって実現される。例えば、CPUが、コンピュータのプログラム記憶装置等のプログラム記録媒体から分析プログラムを読み込み、そのプログラムに従って、通信インタフェースを用いて、データ収集部2として動作すればよい。また、トポロジ特定部4、検出部5、表示制御部6および被害特定部8は、例えば、分析プログラムに従って動作するコンピュータのCPUによって実現される。例えば、CPUが上記のようにプログラム記録媒体から分析プログラムを読み込み、そのプログラムに従って、トポロジ特定部4、検出部5、表示制御部6および被害特定部8として動作すればよい。データ記憶部3、リスク情報記憶部9および被害情報記憶部10は、例えば、コンピュータが備える記憶装置によって実現される。
[0095]
 次に、処理経過について説明する。図12は、第1の実施形態の分析システム1の処理経過の例を示すフローチャートである。既に説明した事項については説明を省略する。
[0096]
 まず、データ収集部2が、診断対象システムに含まれる各機器に関する情報を収集する(ステップS1)。データ収集部2は、収集した情報をデータ記憶部3に記憶させる。
[0097]
 次に、トポロジ特定部4が、各機器のネットワークトポロジを特定する(ステップS2)。
[0098]
 次に、検出部5が、各機器に関するセキュリティの情報に基づいて、診断対象システムにおける攻撃ルート(第1攻撃ルート)を検出する(ステップS3)。
[0099]
 次に、被害特定部8が、ステップS3で検出された各攻撃ルート上の各機器の被害情報を特定する(ステップS4)。
[0100]
 次に、表示制御部6が、ネットワークトポロジに重畳させて、ステップS3で検出された攻撃ルートを、ステップS4で特定された被害情報とともにディスプレイ装置7上に表示する(ステップS5)。
[0101]
 次に、管理者が、指定する機器を示す情報を表示制御部6に入力する。管理者は、例えばステップS5で表示された攻撃ルート上の機器をマウス等でクリックすることによって、対象の機器を指定する(ステップS6)。
[0102]
 次に、表示制御部6は、入力された情報を検出部5に入力する。次に、検出部5が、管理者から指定された機器が攻撃を受けたときの攻撃ルート(第2攻撃ルート)を検出する(ステップS7)。
[0103]
 次に、被害特定部8が、ステップS7で検出された各攻撃ルート上の各機器の被害情報を特定する(ステップS8)。なお、ステップS8の処理は、省略されてもよい。
[0104]
 次に、表示制御部6が、ネットワークトポロジに重畳させて、ステップS7で検出された攻撃ルートを、ステップS8で特定された被害情報とともにディスプレイ装置7上に表示する(ステップS9)。なお、ステップS8の処理が省略された場合、表示制御部6は、被害情報をディスプレイ装置7上に表示しなくてもよい。
[0105]
 ステップS9の処理が終了した段階で、管理者は、他の機器が攻撃を受けたときの攻撃ルート(第2攻撃ルート)を表示するように分析システム1に新たに指示してもよい。新たな指示が入力された場合、ステップS7~ステップS9の各処理が繰り返し実行される。
[0106]
 本実施形態の検出部5は、上記のように、任意の機器が攻撃を受けたときの攻撃ルートをさらに検出できる。すなわち、本実施形態の分析システム1は、所定の攻撃ルート上の機器が攻撃を受けた場合、攻撃を受けた機器の被害内容をより具体的に予測できる。
[0107]
 よって、本実施形態の分析システム1が使用されると、攻撃が発生した場合にどのようなデータが盗まれるか、またはどの程度の影響がシステムに及ぶかが明確になる。すなわち、本実施形態の分析システム1が使用されると、セキュリティ管理者は、攻撃ルート上の機器が攻撃を受けたときに発生する可能性がある被害を容易に把握できる。
[0108]
 図13は、本発明の実施形態の分析システム1に係るコンピュータの構成例を示す概略ブロック図である。コンピュータ1000は、CPU1001と、主記憶装置1002と、補助記憶装置1003と、インタフェース1004と、ディスプレイ装置1005と、通信インタフェース1006とを備える。
[0109]
 本発明の実施形態の分析システム1は、コンピュータ1000によって実現される。分析システム1の動作は、分析プログラムの形式で補助記憶装置1003に記憶されている。CPU1001は、その分析プログラムを補助記憶装置1003から読み出して主記憶装置1002に展開し、その分析プログラムに従って、上記の実施形態で説明した処理を実行する。
[0110]
 補助記憶装置1003は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース1004を介して接続される磁気ディスク、光磁気ディスク、CD-ROM(Compact Disk Read Only Memory )、DVD-ROM(Digital Versatile Disk Read Only Memory )、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ1000に配信される場合、配信を受けたコンピュータ1000がそのプログラムを主記憶装置1002に展開し、そのプログラムに従って上記の実施形態で説明した処理を実行してもよい。
[0111]
 また、各構成要素の一部または全部は、汎用または専用の回路(circuitry )、プロセッサ等やこれらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。
[0112]
 各構成要素の一部または全部が複数の情報処理装置や回路等により実現される場合には、複数の情報処理装置や回路等は集中配置されてもよいし、分散配置されてもよい。例えば、情報処理装置や回路等は、クライアントアンドサーバシステム、クラウドコンピューティングシステム等、各々が通信ネットワークを介して接続される形態として実現されてもよい。
[0113]
 次に、本発明の概要について説明する。図14は、本発明の分析システムの概要を示すブロック図である。本発明の分析システムは、トポロジ特定部4と、検出部5と、被害特定部8とを備える。
[0114]
 トポロジ特定部4は、診断対象システムに含まれる機器のネットワークトポロジを特定する。
[0115]
 検出部5は、機器に関するセキュリティの情報に基づいて、診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出する。
[0116]
 被害特定部8は、第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する。検出部5は、被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、セキュリティの情報と特定された被害情報とに基づいて検出する。
[0117]
 そのような構成によって、攻撃ルート上の機器が攻撃を受けたときに発生する可能性がある被害を分析できる。
[0118]
 上記の本発明の実施形態は、以下の付記のようにも記載され得るが、以下に限定されるわけではない。
[0119]
(付記1)
 診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定部と、
 機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出する検出部と、
 前記第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する被害特定部とを備え、
 前記検出部は、
 前記被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、前記セキュリティの情報と特定された被害情報とに基づいて検出する
 ことを特徴とする分析システム。
[0120]
(付記2)
 ネットワークトポロジに重畳させて第1攻撃ルートと第2攻撃ルートをディスプレイ装置上に表示する表示制御部を備える
 付記1に記載の分析システム。
[0121]
(付記3)
 表示制御部は、
 ディスプレイ装置が表示する1つの画面に第1攻撃ルートと第2攻撃ルートを併せて表示する
 付記2に記載の分析システム。
[0122]
(付記4)
 表示制御部は、
 ディスプレイ装置が表示する2つの画面それぞれに第1攻撃ルートと第2攻撃ルートを分けて表示する
 付記2に記載の分析システム。
[0123]
(付記5)
 表示制御部は、
 第1攻撃ルート上の機器の近傍に被害情報を表示する
 付記2から付記4のうちのいずれかに記載の分析システム。
[0124]
(付記6)
 被害特定部は、
第2攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する
 付記2から付記5のうちのいずれかに記載の分析システム。
[0125]
(付記7)
 表示制御部は、
 第2攻撃ルート上の機器の近傍に被害情報を表示する
 付記6に記載の分析システム。
[0126]
(付記8)
 検出部は、
 外部から指定された第1攻撃ルート上の機器が攻撃された場合に受ける被害内容に起因する攻撃に関する第2攻撃ルートを検出する
 付記1から付記7のうちのいずれかに記載の分析システム。
[0127]
(付記9)
 コンピュータが、
 診断対象システムに含まれる機器のネットワークトポロジを特定し、
 機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出し、
 前記第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定し、
 前記被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、前記セキュリティの情報と特定された被害情報とに基づいて検出する
 ことを特徴とする分析方法。
[0128]
(付記10)
 コンピュータに、
 診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定処理、
 機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出する第1検出処理、
 前記第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する被害特定処理、および
 前記被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、前記セキュリティの情報と特定された被害情報とに基づいて検出する第2検出処理
 を実行させるための分析プログラムを記録したコンピュータ読み取り可能な記録媒体。
[0129]
 以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
[0130]
 この出願は、2019年3月28日に出願された日本特許出願2019-063599を基礎とする優先権を主張し、その開示の全てをここに取り込む。

産業上の利用の可能性

[0131]
 本発明は、攻撃ルートを表示する分析システムに好適に適用される。

符号の説明

[0132]
 1 分析システム
 2 データ収集部
 3 データ記憶部
 4 トポロジ特定部
 5 検出部
 6 表示制御部
 7 ディスプレイ装置
 8 被害特定部
 9 リスク情報記憶部
 10 被害情報記憶部

請求の範囲

[請求項1]
 診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定部と、
 機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出する検出部と、
 前記第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する被害特定部とを備え、
 前記検出部は、
 前記被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、前記セキュリティの情報と特定された被害情報とに基づいて検出する
 ことを特徴とする分析システム。
[請求項2]
 ネットワークトポロジに重畳させて第1攻撃ルートと第2攻撃ルートをディスプレイ装置上に表示する表示制御部を備える
 請求項1に記載の分析システム。
[請求項3]
 表示制御部は、
 ディスプレイ装置が表示する1つの画面に第1攻撃ルートと第2攻撃ルートを併せて表示する
 請求項2に記載の分析システム。
[請求項4]
 表示制御部は、
 ディスプレイ装置が表示する2つの画面それぞれに第1攻撃ルートと第2攻撃ルートを分けて表示する
 請求項2に記載の分析システム。
[請求項5]
 表示制御部は、
 第1攻撃ルート上の機器の近傍に被害情報を表示する
 請求項2から請求項4のうちのいずれか1項に記載の分析システム。
[請求項6]
 被害特定部は、
第2攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する
 請求項2から請求項5のうちのいずれか1項に記載の分析システム。
[請求項7]
 表示制御部は、
 第2攻撃ルート上の機器の近傍に被害情報を表示する
 請求項6に記載の分析システム。
[請求項8]
 検出部は、
 外部から指定された第1攻撃ルート上の機器が攻撃された場合に受ける被害内容に起因する攻撃に関する第2攻撃ルートを検出する
 請求項1から請求項7のうちのいずれか1項に記載の分析システム。
[請求項9]
 コンピュータが、
 診断対象システムに含まれる機器のネットワークトポロジを特定し、
 機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出し、
 前記第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定し、
 前記被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、前記セキュリティの情報と特定された被害情報とに基づいて検出する
 ことを特徴とする分析方法。
[請求項10]
 コンピュータに、
 診断対象システムに含まれる機器のネットワークトポロジを特定するトポロジ特定処理、
 機器に関するセキュリティの情報に基づいて、前記診断対象システムにおいて、実行可能な攻撃の流れを示す第1攻撃ルートを検出する第1検出処理、
 前記第1攻撃ルート上の機器が攻撃された場合に受ける被害内容を示す被害情報を特定する被害特定処理、および
 前記被害内容に起因して実行可能な攻撃の流れを示す第2攻撃ルートを、前記セキュリティの情報と特定された被害情報とに基づいて検出する第2検出処理
 を実行させるための分析プログラムを記録したコンピュータ読み取り可能な記録媒体。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]

[ 図 11]

[ 図 12]

[ 図 13]

[ 図 14]