図面 (/)

技術 脆弱性リスク評価システムおよび脆弱性リスク評価方法

出願人 株式会社日立製作所
発明者 杉本暁彦磯部義明
出願日 2016年6月13日 (4年6ヶ月経過) 出願番号 2016-117282
公開日 2017年12月21日 (3年0ヶ月経過) 公開番号 2017-224053
状態 特許登録済
技術分野 ストアードプログラムにおける機密保護
主要キーワード テーブル表示領域 所定装置 影響関係 技術特性 注意喚起用 条件付き確率表 実装機器 グラフモデル
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2017年12月21日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (20)

課題

所定のビジネスに関する情報処理を実行するシステム脆弱性に関するリスクを評価すること。

解決手段

脆弱性リスク評価システム1は、システム構成情報セキュリティ情報に基づいて、機器の脆弱性を検出する脆弱性検出部F10と、脆弱性ノードと機器ノードを対応付けて配置することで、脆弱性が機器に生じさせうるリスクを評価する機器リスク評価モデルを生成する機器リスク評価モデル生成部F11と、ビジネス関連ノードを機器リスク評価モデルに追加配置し、ビジネス関連ノードと機器ノードとを対応付けることで、検出された脆弱性が所定のビジネス処理に生じさせうるリスクを評価するためのビジネス関連リスク評価モデルを生成するビジネス関連リスク評価モデル生成部F12と、を備える。

概要

背景

現在、多種多様ソフトウェアが利用されているが、ソフトウェアはコンピュータプログラム上の不具合仕様上の問題点など、ソフトウェア脆弱性(以下、脆弱性)と呼ばれる欠陥を有していることがある。

公的なセキュリティ団体は、脆弱性の情報をデータベース化して管理しており、多数の脆弱性を毎年公開して、注意喚起している。一方で、脆弱性情報の公開直後から、悪意のある攻撃者がその脆弱性を利用して攻撃する傾向が高いことも知られている。そのため、情報処理システムシステム管理者は、脆弱性に関する公開情報に敏感に反応し、迅速に対応することが求められる。

しかし、稼働中の情報処理システムについて脆弱性を対処する場合、テスト環境での動作確認や、システム停止に伴う業務およびサービスへの影響分析や、管理者による意思決定など、多くの工数と時間が必要となる。

そのため、システム管理者が、管理対象の情報処理システムに関する脆弱性情報を常に収集して、全ての脆弱性に対処することは、時間および手間の観点から難しい。さらに、脆弱性が情報処理システムにもたらすリスクは、情報処理システムの構成に依存するため、システム管理者が脆弱性のリスクを正しく評価するためには、システム構成に関する知識だけでは足りず、情報セキュリティについての高度な知識や経験が必要となる。そこで、脆弱性が情報処理システムにもたらすリスクを評価する技術が必要である。情報処理システムの脆弱性を管理し、評価する従来技術として、特許文献1が知られている。特許文献1では、製品DBおよび脆弱性キーワードDBに脆弱性の特性を示すキーワードを記憶させておき、収集した脆弱性情報から、製品DBおよび脆弱性キーワードDBに蓄積されているキーワードに合致するキーワードを抽出し、キーワード抽出結果に基づいて脆弱性情報の優先度を判定し、優先度の判定結果を出力する。

概要

所定のビジネスに関する情報処理を実行するシステムの脆弱性に関するリスクを評価すること。脆弱性リスク評価システム1は、システム構成情報セキュリティ情報に基づいて、機器の脆弱性を検出する脆弱性検出部F10と、脆弱性ノードと機器ノードを対応付けて配置することで、脆弱性が機器に生じさせうるリスクを評価する機器リスク評価モデルを生成する機器リスク評価モデル生成部F11と、ビジネス関連ノードを機器リスク評価モデルに追加配置し、ビジネス関連ノードと機器ノードとを対応付けることで、検出された脆弱性が所定のビジネス処理に生じさせうるリスクを評価するためのビジネス関連リスク評価モデルを生成するビジネス関連リスク評価モデル生成部F12と、を備える。

目的

本発明の目的は、技術的観点だけではなくビジネスの観点からも、脆弱性が情報処理システムにもたらすリスクを評価できるようにした脆弱性リスク評価システムおよび脆弱性リスク評価方法を提供する

効果

実績

技術文献被引用数
1件
牽制数
0件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

所定のビジネスに関する情報処理を実行する情報処理システム脆弱性に関するリスクを評価する脆弱性リスク評価システムであって、前記情報処理システムは少なくとも一つの機器を含んでおり、前記情報処理システムの構成に関するシステム構成情報と、情報セキュリティに関するセキュリティ情報とに基づいて、前記機器の脆弱性を検出する脆弱性検出部と、前記検出された脆弱性を示す脆弱性ノードと前記機器を示す機器ノードとを対応付けて配置することで、前記検出された脆弱性が前記機器に生じさせうるリスクを評価するための機器リスク評価モデルを生成する機器リスク評価モデル生成部と、前記所定のビジネスに関する情報処理に含まれるビジネス処理に関するビジネス関連ノードを前記機器リスク評価モデルに追加配置し、前記ビジネス関連ノードと前記機器ノードとを対応付けることで、前記検出された脆弱性が前記所定のビジネス処理に生じさせうるリスクを評価するためのビジネス関連リスク評価モデルを生成するビジネス関連リスク評価モデル生成部と、を備える脆弱性リスク評価システム。

請求項2

前記ビジネス関連リスク評価モデルを外部装置へ提供する提供部をさらに備える、請求項1に記載の脆弱性リスク評価システム。

請求項3

前記検出された脆弱性が前記ビジネス関連ノードに影響を与える可能性をリスク値として計算するリスク値計算部をさらに備え、前記提供部は、前記リスク値を前記ビジネス関連リスク評価モデルに対応付けて提供する、請求項2に記載の脆弱性リスク評価システム。

請求項4

前記ビジネス関連ノードには、前記ビジネス処理を構成する少なくとも一つのビジネスプロセスを示すビジネスプロセスノードが含まれている、請求項3に記載の脆弱性リスク評価システム。

請求項5

前記ビジネス関連ノードには、前記ビジネス処理を評価するビジネス指標を示すビジネス指標ノードが含まれている、請求項4に記載の脆弱性リスク評価システム。

請求項6

前記ビジネス指標ノードは、前記ビジネスプロセスノードまたは前記機器ノードのいずれかに対応付けられる、請求項5に記載の脆弱性リスク評価システム。

請求項7

前記提供部は、前記所定のビジネス処理を構成する各ビジネスプロセス間の関係を表示するビジネスプロセス表示部と、前記ビジネス関連リスク評価モデルを表示するリスク評価モデル表示部と、を備え、前記リスク値が所定の閾値を越えた場合、前記リスク値を持つ問題ビジネスプロセスノードについて、前記ビジネスプロセス表示部と前記リスク評価モデル表示部とで共通の注意喚起用表示要素を表示させる、請求項6に記載の脆弱性リスク評価システム。

請求項8

前記提供部は、前記問題ビジネスプロセスノードが選択されると、前記問題ビジネスプロセスノードが影響するビジネス指標と、前記リスク値が前記所定の閾値を越えた原因とを含む詳細情報を表示する、請求項7に記載の脆弱性リスク評価システム。

請求項9

前記ビジネス関連リスク評価モデルは、ベイジアンネットワーク推論アルゴリズムが適用された有向非循環グラフ構造を持つモデルとして生成される、請求項3に記載の脆弱性リスク評価システム。

請求項10

前記セキュリティ情報は、前記脆弱性に対する攻撃順序を想定した攻撃シナリオ情報を少なくとも一つ含んでおり、前記攻撃シナリオ情報に基づいて得られる学習データを用いることで、前記ベイジアンネットワークで用いる確率を修正する学習部をさらに備える、請求項9に記載の脆弱性リスク評価システム。

請求項11

前記学習部は、前記攻撃シナリオ情報に基づいて前記ビジネス関連リスク評価モデルを最上位ノードから走査することで、攻撃されうる侵害ノードと侵害経路とを判定し、前記侵害ノードを前記学習データとして使用する、請求項10に記載の脆弱性リスク評価システム。

請求項12

前記学習部は、前記攻撃シナリオ情報に含まれている機器と前記ビジネス関連リスク評価モデルに含まれる機器ノードとが同一種別である場合は、同一の機器であるとみなし、前記攻撃シナリオ情報に含まれている脆弱性と前記ビジネス関連リスク評価モデルに含まれる脆弱性ノードとが同一種別である場合は、同一の脆弱性であるとみなし、前記攻撃シナリオ情報に含まれている前記ビジネス処理と前記ビジネス関連リスク評価モデルに含まれるビジネス関連ノードに対応するビジネス処理とが同一種別である場合は、同一のビジネス処理であるとみなすものとして、前記攻撃シナリオ情報に基づいて前記ビジネス関連リスク評価モデルを最上位ノードから走査する、請求項11に記載の脆弱性リスク評価システム。

請求項13

前記学習部は、前記攻撃シナリオ情報に基づいて、前記ビジネス関連リスク評価モデルを最上位ノードから走査する際に、予め指定された数のノードを飛ばして走査することで、前記侵害ノードと前記侵害経路とを判定し、前記侵害ノードを前記学習データとして使用する、請求項12に記載の脆弱性リスク評価システム。

請求項14

所定のビジネスに関する情報処理を実行する情報処理システムの脆弱性に関するリスクをコンピュータを用いて評価する脆弱性リスク評価方法であって、前記情報処理システムは少なくとも一つの機器を含んでおり、前記コンピュータは、前記情報処理システムの構成に関するシステム構成情報と、情報セキュリティに関するセキュリティ情報とを取得し、前記システム構成情報と前記セキュリティ情報とに基づいて、前記機器の脆弱性を検出し、前記検出された脆弱性を示す脆弱性ノードと前記機器を示す機器ノードとを対応付けて配置することで、前記検出された脆弱性が前記機器に生じさせうるリスクを評価するための機器リスク評価モデルを生成し、前記所定のビジネスに関する情報処理に含まれるビジネス処理に関するビジネス関連ノードを前記機器リスク評価モデルに追加配置し、前記ビジネス関連ノードと前記機器ノードとを対応付けることで、前記検出された脆弱性が前記所定のビジネス処理に生じさせうるリスクを評価するためのビジネス関連リスク評価モデルを生成する、脆弱性リスク評価方法。

技術分野

0001

本発明は、脆弱性リスク評価システムおよび脆弱性リスク評価方法に関する。

背景技術

0002

現在、多種多様ソフトウェアが利用されているが、ソフトウェアはコンピュータプログラム上の不具合仕様上の問題点など、ソフトウェア脆弱性(以下、脆弱性)と呼ばれる欠陥を有していることがある。

0003

公的なセキュリティ団体は、脆弱性の情報をデータベース化して管理しており、多数の脆弱性を毎年公開して、注意喚起している。一方で、脆弱性情報の公開直後から、悪意のある攻撃者がその脆弱性を利用して攻撃する傾向が高いことも知られている。そのため、情報処理システムシステム管理者は、脆弱性に関する公開情報に敏感に反応し、迅速に対応することが求められる。

0004

しかし、稼働中の情報処理システムについて脆弱性を対処する場合、テスト環境での動作確認や、システム停止に伴う業務およびサービスへの影響分析や、管理者による意思決定など、多くの工数と時間が必要となる。

0005

そのため、システム管理者が、管理対象の情報処理システムに関する脆弱性情報を常に収集して、全ての脆弱性に対処することは、時間および手間の観点から難しい。さらに、脆弱性が情報処理システムにもたらすリスクは、情報処理システムの構成に依存するため、システム管理者が脆弱性のリスクを正しく評価するためには、システム構成に関する知識だけでは足りず、情報セキュリティについての高度な知識や経験が必要となる。そこで、脆弱性が情報処理システムにもたらすリスクを評価する技術が必要である。情報処理システムの脆弱性を管理し、評価する従来技術として、特許文献1が知られている。特許文献1では、製品DBおよび脆弱性キーワードDBに脆弱性の特性を示すキーワードを記憶させておき、収集した脆弱性情報から、製品DBおよび脆弱性キーワードDBに蓄積されているキーワードに合致するキーワードを抽出し、キーワード抽出結果に基づいて脆弱性情報の優先度を判定し、優先度の判定結果を出力する。

先行技術

0006

特開2007−058514公報

発明が解決しようとする課題

0007

従来技術では、脆弱性情報と製品情報とを対応付けることで、膨大な脆弱性情報の中から管理対象の情報処理システムに関係する脆弱性情報を選別し、選別した脆弱性情報が示す脆弱性の技術的な特性に基づいて、その脆弱性が情報処理システムにもたらすリスクを評価できる。

0008

しかし実際の脆弱性対処は、技術的な観点だけでなく、経営の観点からも判断する必要がある。脆弱性に対処するために情報処理システムを停止させると、業務の円滑な処理に支障を生じたり、売上が低下したりするなどの悪影響を生じるおそれがある。そこで、経営者視点での判断基準に基づいて、脆弱性に対処すべきか否かや、いつ対処すべきかを判断する必要がある。

0009

技術的にリスクの高い脆弱性が発見された場合でも、稼働中の情報処理システムを止めると、売上に著しい悪影響があると見込まれることがある。この場合、監視強化などの一時的な対処を施してその場をしのぎ、脆弱性への本格的な対処は、定期保守のタイミングまで延期すべきかもしれない。このように、脆弱性のリスクを評価する場合は、情報処理システムにおける技術的な影響を評価するだけでなく、ビジネスへの影響も評価できることが望まれる。

0010

そこで本発明の目的は、技術的観点だけではなくビジネスの観点からも、脆弱性が情報処理システムにもたらすリスクを評価できるようにした脆弱性リスク評価システムおよび脆弱性リスク評価方法を提供することにある。

課題を解決するための手段

0011

上記課題を解決すべく、本発明に従う脆弱性リスク評価システムは、所定のビジネスに関する情報処理を実行する情報処理システムの脆弱性に関するリスクを評価するシステムであって、情報処理システムは少なくとも一つの機器を含んでおり、情報処理システムの構成に関するシステム構成情報と、情報セキュリティに関するセキュリティ情報とに基づいて、機器の脆弱性を検出する脆弱性検出部と、検出された脆弱性を示す脆弱性ノードと機器を示す機器ノードとを対応付けて配置することで、検出された脆弱性が機器に生じさせうるリスクを評価するための機器リスク評価モデルを生成する機器リスク評価モデル生成部と、所定のビジネスに関する情報処理に含まれるビジネス処理に関するビジネス関連ノードを機器リスク評価モデルに追加配置し、ビジネス関連ノードと機器ノードとを対応付けることで、検出された脆弱性が所定のビジネス処理に生じさせうるリスクを評価するためのビジネス関連リスク評価モデルを生成するビジネス関連リスク評価モデル生成部と、を備える。

発明の効果

0012

本発明によれば、ビジネス関連ノードと機器ノードとを対応付けることで、検出された脆弱性が所定のビジネス処理に生じさせうるリスクを評価するためのビジネス関連リスク評価モデルを生成することができる。したがって、ビジネス関連リスク評価モデルを用いることで、ビジネスの観点から脆弱性が情報処理システムにもたらすリスクを評価することができる。

図面の簡単な説明

0013

本実施形態の全体概要を示す説明図である。
評価対象の情報処理システムとリスク評価システムを含む全体システムのネットワーク構成図である。
管理対象機器機能構成図である。
情報収集サーバの機能構成図である。
セキュリティナレッジ公開機関サーバの機能構成図である。
クライアント端末の機能構成図である。
リスク評価サーバの機能構成図である。
コンピュータ装置ハードウェア構成図である。
データベースに記憶されるデータテーブルを示す説明図である。
ユーザ情報テーブルの例である。
ネットワーク情報テーブルの例である。
機器情報テーブルの例である。
脆弱性情報テーブルの例である。
ビジネスプロセス情報テーブルの例である。
ビジネス指標情報テーブルの例である。
攻撃シナリオ情報テーブルの例である。
システム構成情報を取得する処理のフローチャートである。
セキュリティナレッジ公開機関サーバからセキュリティ情報等を取得する処理のフローチャートである。
リスク評価の画面を提供する処理のフローチャートである。
リスク評価システムの初期画面の例である。
ビジネスプロセス情報を取得する処理のフローチャートである。
リスク評価処理のフローチャートである。
機器リスク評価モデルを構築する処理のフローチャートである。
ビジネス指標リスク評価モデルを構築する処理のフローチャートである。
学習データを生成する処理のフローチャートである。
ビジネス指標リスク評価モデルの例である。
機器ノードの条件付き確率表の例である。
脆弱性ノードの条件付き確率表の例である。
ビジネスプロセスノードの条件付き確率表の例である。
ビジネス指標ノードの条件付き確率表の例である。
攻撃シナリオ情報の例を示す。
学習データの例を示す。
リスク評価システムのビジネスリスク表示画面の例である。

0014

以下、図面に基づいて、本発明の実施の形態を説明する。以下に述べるように、本実施形態は、脆弱性リスク評価システムおよびリスク評価方法に関するものであり、脆弱性がもたらす機器への影響に加えて、ビジネス指標への影響を評価し、経営的視点での判断を容易化する。

0015

本実施形態の脆弱性リスク評価システム1は、後述の実施例との関係では、データベース50を利用する制御部120を有する。データベース50は、リスク評価対象ビジネスのビジネスプロセスの情報、ビジネス指標の情報、ビジネスプロセスを実現する機能が実装されている機器20の情報、ネットワークの情報、および機器2に関する脆弱性の情報を、互いに関連付けて保持する。制御部120は、ビジネスプロセスの情報、ビジネス指標の情報、機器の情報、ネットワークの情報、および脆弱性の情報を、グラフ理論に基づく所定アルゴリズムに適用することで、機器とビジネスプロセスの関連に応じた脆弱性の影響関係について規定するリスク評価モデルM1を作成する。さらに、制御部120は、リスク評価モデルM1を、当該リスク評価モデルに対応する所定の推論アルゴリズムに適用して、評価対象の情報処理システムにおける脆弱性がビジネスにもたらすリスクを評価し、その評価結果を所定装置60に出力する。

0016

本実施形態の脆弱性リスク評価システムによれば、脆弱性情報やシステム構成情報などのシステムレベルの情報に加えて、ビジネス設計やビジネスの評価指標に基づいてリスクを評価することができる。したがって、ビジネスの展開状況に対応した有効性の高いリスク評価が可能となる。

0017

図1は、本実施形態の一つの例の概要を示す説明図である。図1は、本発明の理解および実施に必要な程度で実施形態の概要を示しており、本発明の範囲は図1に示す構成に限定されない。

0018

脆弱性リスク評価システム1は、ソフトウェアの脆弱性が情報処理システムに引きおこす技術的リスクだけでなく、その技術的リスクに関連するビジネス上のリスクも可視化することのできるモデルを生成する。

0019

脆弱性リスク評価システム1は、管理対象機器2と端末3とに接続されている。管理対象機器2は、リスク評価対象の情報処理システムに含まれている機器であり、例えば、ウェブサーバファイルサーバメールサーバアプリケーションサーバ、スイッチ、バーコードリーダ無線タグリーダプリンタストレージ装置などがある。管理対象機器2は、後述する実施例における管理対象機器20に対応する。以下の説明では、機器2と略記する場合がある。

0020

端末3は、「外部装置」の例である。端末3は、実施例におけるクライアント60に対応する。情報処理システムのシステム管理者や情報処理システムの運用責任者などは、端末3を用いて脆弱性リスク評価システム1にアクセスすることで、ビジネス上のリスクの評価を確認できる。

0021

脆弱性リスク評価システム1は、少なくとも一つのコンピュータから構成される。脆弱性リスク評価システム1は、複数のコンピュータを用いて構成してもよい。

0022

脆弱性リスク評価システム1は、例えば、脆弱性検出部F10、機器リスク評価モデル生成部F11、ビジネス指標リスク評価モデルF12、学習部F13、リスク値計算部F14、リスク評価提供部F15、脆弱性情報記憶部F16、システム構成情報記憶部F17、攻撃シナリオ情報記憶部F18、ビジネス情報記憶部F19、条件付き確率表記憶部F20を有する。

0023

脆弱性検出部F10は、脆弱性情報記憶部F16に記憶された脆弱性情報と、システム構成情報記憶部F17に記憶されたシステム構成情報とに基づいて、管理対象機器2の持つ脆弱性を検出する。

0024

脆弱性情報とは、ソフトウェアの持つ情報セキュリティ上の欠陥に関する情報であり、セキュリティホールとも呼ばれる。脆弱性情報は、実施例で後述するように、例えばセキュリティナレッジを公開する機関のサーバ40が配信する。脆弱性情報の配信元は、問わない。脆弱性情報は、ソフトウェアのセキュリティに関する情報の一部であるから、セキュリティ情報と呼ぶこともできる。後述する攻撃シナリオ情報も、セキュリティ情報の一部である。

0025

システム構成情報とは、情報処理システムの構成に関する情報である。システム構成情報は、例えば、各機器2についての情報である機器情報と、各機器2の接続関係の情報であるネットワーク情報とを含むことができる。機器情報は、例えば、機器2を特定する情報や、機器のネットワーク上の位置を示す情報、機器2にインストールされているソフトウェアのリストなどを含む。ネットワーク情報は、例えば、ネットワークセグメントを特定する情報、メッセージが到達可能である隣接ネットワークセグメントの情報、外部ネットワークとの接続が可能か否かを示す情報などを含む。

0026

機器リスク評価モデル生成部F11は、脆弱性検出部F10で検出された脆弱性と、システム構成情報と、攻撃シナリオ情報記憶部F18から読み出す攻撃シナリオ情報とを用いて、機器リスク評価モデルを生成する。

0027

機器リスク評価モデルとは、機器2にインストールされたソフトウェアの脆弱性がもたらすリスクを評価するためのモデルである。機器リスク評価モデルは、有向非循環グラフ構造をもって構成される。機器リスク評価モデルは、例えば、外部ネットワークに接続可能な機器2のノード(機器ノード)を最上位ノードとし、その最上位ノードに隣接する機器ノードを配置することで構成される。機器リスク評価モデルには、ベイジアンネットワークの推論アルゴリズムが適用される。これにより、ノード間の関係は、条件付き確率で表される。

0028

攻撃シナリオ情報とは、コンピュータウィルスなどの悪意あるソフトウェアが脆弱性を利用して攻撃する方法を含む情報である。攻撃シナリオ情報も、セキュリティナレッジを公開する機関のサーバから取得することができる。攻撃シナリオ情報は、セキュリティ情報の一種である。本実施形態では、攻撃シナリオ情報と脆弱性情報とを区別して説明するが、両方を合わせてセキュリティ情報と呼ぶことがある。

0029

ビジネス指標リスク評価モデル生成部F12は、「ビジネス関連リスク評価モデル生成部」の例である。ビジネス関連リスク評価モデル生成部F12は、攻撃シナリオ情報と、ビジネス関連情報記憶部F19から読み出すビジネス関連情報とに基づいて、ビジネス関連リスク評価モデルを生成する。

0030

ビジネス関連情報とは、各機器2を含む情報処理システムが実行するビジネス処理に関する情報である。ビジネス関連情報には、例えば、ビジネスプロセスに関する情報と、ビジネス指標に関する情報が含まれている。ビジネスプロセスに関する情報とは、ビジネス処理を構成する各ビジネスプロセス(例えば、受注在庫確認発注入荷確認、請求書発行入金確認等)を特定する情報や、プロセスの内容を示す情報である。ビジネス指標に関する情報とは、ビジネス上の評価基準、判断基準となる情報である。ビジネス指標としては、例えば、”収益性への影響”、”情報漏洩の懸念”、”社会的影響に係る費用”などがある。

0031

ビジネス関連リスク評価モデルは、機器リスク評価モデルに対して、ビジネス上の観点に基づくノード(後述するビジネスプロセスノード、ビジネス指標ノード)が追加されたモデルである。ビジネス関連リスク評価モデルは、機器リスク評価モデルを拡張したものであり、有向非循環グラフ構造を備える。

0032

ビジネス関連リスク評価モデルには、ベイジアンネットワークの推論アルゴリズムが適用され、ノード間の関係は確率で表される。条件付き確率表記憶部F20に記憶された条件付き確率表を用いることで、ノード間の関係を条件付き確率で表すことができる。

0033

学習部F13は、攻撃シナリオ情報に基づいて学習データを生成し、その学習データを用いて、条件付き確率表の値を修正する。

0034

リスク値計算部F14は、ビジネス関連リスク評価モデルと条件付き確率表に基づいて、ビジネス上の観点(ビジネス指標)からリスク値を算出する。リスク値には、条件付き確率の値をそのまま使用してもよいし、あるいは加工して使用してもよい。リスク値は、数字表現してもよいし、あるいは”警戒”、”要注意”、”早急に対応”のようにランク分けして表現してもよい。

0035

リスク評価提供部F15は、ビジネス関連リスク評価モデルとリスク値とを対応付けて、端末3へ提供する。

0036

図2図33を用いて第1実施例を説明する。図2は、脆弱性リスク評価システム1のネットワーク構成を示し、図3は管理対象機器20の機能構成を示し、図4は情報収集サーバ30の機能構成を示す。図5はセキュリティナレッジ公開機関サーバの機能構成を示し、図6はクライアント60の機能構成を示し、図7はリスク評価サーバ10の機能構成を示す。図7は、リスク評価サーバ10の物理的構成の例を示す。

0037

(システム構成)

0038

図2は、リスク評価システム1を含む全体システムのネットワーク構成例である。図2では、システム全体を脆弱性リスク評価システムとしているが、リスク評価サーバ10のみで脆弱性リスク評価システム1を構成することもできる。

0039

本実施例のリスク評価システム1は、脆弱性情報やシステム構成情報などのシステムレベルの情報と、ビジネス設計やビジネスの評価指標とに基づいて、評価対象である情報処理システムのリスクを評価する。リスク評価システム1は、ビジネスの展開状況に対応した有効性の高いリスク評価を行う。

0040

リスク評価システム1が含まれる通信ネットワークCNには、評価対象の情報処理システムを構成する管理対象機器20、情報収集サーバ30、セキュリティナレッジ公開機関サーバ40、データベース50、クライアント60、およびリスク評価サーバ10が接続されている。

0041

これら装置10〜60は、それぞれ少なくとも一つ存在すればよい。ただし、リスク評価サーバ10に情報収集サーバ30の機能とデータベース50の機能を設ける場合は、情報収集サーバ30とデータベース50を図2の構成から取り除くこともできる。リスク評価システム1は、少なくともリスク評価サーバ10から構成することができる。リスク評価サーバ10は、データベース50にアクセスすることで、情報処理システムの脆弱性の持つリスクをビジネス観点で評価できる。リスク評価システム1は、リスク評価サーバ10以外の装置を適宜含んで構成されてもよい。

0042

管理対象機器20は、システム管理者がリスク評価対象として管理するビジネス、すなわち対象ビジネスの各プロセスを実現する機能が実装された機器である。図2では、複数の管理対象機器20_1〜20_nを例示する。特に区別しない場合、管理対象機器20_1〜20_nを管理対象機器20と呼ぶ。また、管理対象機器20を機器20と略記する場合がある。本実施例の評価対象は、これら管理対象機器20の保有する脆弱性がビジネス処理にもたらすリスクである。

0043

情報収集サーバ30は、各機器20の有する脆弱性が情報処理システムで実行されるビジネス処理にもたらすリスクを評価するために必要な情報を収集し、収集した情報をデータベース50に記憶する。情報収集サーバ30は、「情報取得部」「情報収集部」と呼ぶこともできる。

0044

情報収集サーバ30の収集する情報としては、システム構成情報、セキュリティ情報、ビジネス関連情報がある。システム構成情報とは、例えば、各機器20の識別情報所属するネットワークに関する情報、トポロジに関する情報などの、情報処理システムの構成に関する情報である。

0045

セキュリティ情報とは、インターネットCN2上でセキュリティナレッジ公開機関サーバ40が公開した情報セキュリティに関する情報である。セキュリティ情報には、各機器20の持つ脆弱性についての情報と、攻撃シナリオ情報とが含まれる。

0046

ビジネス関連情報とは、情報処理システムで実行するビジネス処理に関する情報であり、ビジネスプロセス情報と、ビジネス指標情報とを含む。ビジネスプロセス情報は、例えば、ビジネスプロセスの識別情報、そのビジネスプロセスの種別、そのビジネスプロセスの重要度、そのビジネスプロセスの実行に必要な機能を特定する情報、その必要機能を有する機器20の情報などを含む。ビジネス指標情報は、例えば、ビジネス指標の識別情報、そのビジネス指標の種別、そのビジネス指標の重要度、そのビジネス指標に関連するビジネスプロセスを特定する情報などを含む。

0047

ビジネスプロセス情報は、システム管理者等のユーザがクライアント60からデータベース50へ入力してもよい。情報収集サーバ30は、ビジネス指標情報だけを収集してデータベース50へ格納すればよい。情報収集サーバ30がビジネスプロセス情報とビジネス指標情報の両方を収集して、データベース50へ記憶させる構成でもよい。

0048

セキュリティナレッジ公開機関サーバ40は、インターネットCN2上でセキュリティナレッジを公開する機関が運営するサーバ装置である。セキュリティナレッジ公開機関サーバ40の運営機関としては、例えば、コンピュータセキュリティを提供する企業、オペレーティングシステムウェブブラウザを提供する企業、コンピュータセキュリティについて研究するコミュニティなどがある。これら機関は、脆弱性情報をネットワークCN2に公開する。脆弱性情報としては、情報処理機器の持つ脆弱性情報、OS(Operation System)の脆弱性情報、ソフトウェアの脆弱性情報がある。

0049

各機器20と情報収集サーバ30とは、ネットワークCN1で接続されている。情報収集サーバ30とセキュリティナレッジ公開機関サーバ40とは、インターネットCN2で接続されている。

0050

データベース50は、情報収集サーバ30が収集したシステム構成情報とセキュリティ情報およびビジネス関連情報等を格納する記憶装置である。データベース50は、ネットワークCN3を介して、リスク評価サーバ10と通信可能に結ばれている。データベース50は、リスク評価サーバ10の外部記憶装置73(図8参照)に設けてもよい。

0051

クライアント60は、システム管理者等のユーザが直接操作するコンピュータ端末であり、「外部装置」に対応する。リスク評価サーバ10による処理結果、すなわちリスク評価結果は、クライアント60に出力される。

0052

リスク評価サーバ10は、データベース50上の情報と、クライアント60を介して受けたシステム管理者等のユーザからの要求とに基づいて、リスク評価方法に対応する各手順を実行するサーバ装置である。

0053

リスク評価サーバ10は、情報収集サーバ30の機能やデータベース50の機能を備えて構成されてもよい。リスク評価サーバ10は、複数の異なるコンピュータ(物理計算機または仮想計算機)を連携させることで構成してもよい。

0054

通信ネットワークCN1,CN2,CN3はそれぞれ異なるネットワークとして構成してもよいし、それらのうち2つ以上のネットワークを同一ネットワークとして構成してもよい。ネットワークCN1,CN2は必須ではなく、情報収集サーバ30は、例えばUSB(Universal Serial Bus)メモリなどの記録媒体を介して、システム構成情報、セキュリティ情報、ビジネス関連情報を取得してもよい。あるいは、システム管理者等のユーザがキーボードなどの情報入力装置を用いて、情報収集サーバ30へシステム構成情報、セキュリティ情報、ビジネス関連情報を入力する構成でもよい。

0055

(機能構成)

0056

リスク評価システム1の機能について説明する。図2に示す各装置10〜60は、図8で述べるコンピュータ装置の構成を備えており、メモリ72または外部記憶装置73に記憶されたコンピュータプログラムをCPU(Central Processing Unit)71が実行することで、所定の機能を実現するものとする。

0057

図3は、管理対象機器20の機能構成例を示す。機器20は、通信部210および制御部220を備える。通信部210は、ネットワークCN1を介して、情報収集サーバ30との間で情報を送受信する処理部である。

0058

制御部220は、機器20を制御する。制御部220は、システム構成情報を出力するシステム構成情報出力部221を備える。システム構成情報出力部221は、機器20からシステム構成情報を収集し、収集したシステム構成情報を通信部210から情報収集サーバ30へ送信する処理部である。システム構成情報には、例えば、機器20の識別情報(ID)、機器名、製品ID、ネットワークセグメント、および利用する中継機器といった情報が含まれる。

0059

システム構成情報出力部221は、機器20のOSが持つ標準的な機能を利用して、システム構成情報を収集することができる。これに限らず、セキュリティ検査言語(OVAL:Open Vulnerability and Assessment Language)で定義された検査仕様に基づく情報収集ツール等を利用しても良い。情報収集の方法や形態は限定しない。

0060

図4は、情報収集サーバ30の機能構成例を示す。情報収集サーバ30は、通信部310および制御部320を備える。通信部310は、ネットワークCN1,CN2,CN3を介して、情報を送受信する処理部である。

0061

制御部320は、情報収集サーバ30を制御する処理部である。制御部320は、例えば、システム構成情報収集部321、脆弱性情報収集部322、攻撃シナリオ情報収集部323、およびビジネス指標情報収集部324を含む。

0062

システム構成情報収集部321は、通信部310を介して、機器20からシステム構成情報を受信し、受信したシステム構成情報をデータベース50に送信して記憶させる処理部である。

0063

脆弱性情報収集部322は、通信部310を介して、セキュリティナレッジ公開機関サーバ40から脆弱性情報を受信し、受信した脆弱性情報をデータベース50に送信して記憶させる処理部である。

0064

攻撃シナリオ情報収集部323は、通信部310を介して、セキュリティナレッジ公開機関サーバ40から攻撃シナリオ情報を受信し、受信した攻撃シナリオ情報をデータベース50へ送信して記憶させる処理部である。ここでは、脆弱性情報と攻撃シナリオ情報とを区別して説明するが、攻撃シナリオ情報と脆弱性情報の両方をセキュリティ情報として扱うこともできる。

0065

ビジネス指標情報収集部324は、通信部310を介して、セキュリティナレッジ公開機関サーバ40からビジネス指標情報を受信し、受信したビジネス指標情報をデータベース50へ格納する処理部である。本実施例では、ビジネス関連情報のうちビジネスプロセス情報は、システム管理者がクライアント60から情報収集サーバ30へ入力する。ビジネス関連情報のうちビジネス指標情報は、情報収集サーバ30がセキュリティナレッジ公開機関サーバ40から収集してデータベース50へ登録する。

0066

これに代えて、システム管理者がクライアント60を介して、ビジネスプロセス情報およびビジネス指標情報を情報収集サーバ30へ手動で入力してもよいし、あるいは、情報収集サーバ30がビジネスプロセス情報およびビジネス指標情報を自動的に収集して、データベース50へ登録してもよい。

0067

情報収集サーバ30は、同一のセキュリティナレッジ公開機関サーバ40から、脆弱性情報、攻撃シナリオ情報、およびビジネス指標情報を収集してもよいし、異なる複数のセキュリティナレッジ公開機関サーバ40から各情報をそれぞれ収集してもよい。

0068

図5は、セキュリティナレッジ公開機関サーバ40の機能構成例を示す。セキュリティナレッジ公開機関サーバ40は、通信部410および制御部420を含む。通信部410は、ネットワークCN2を介して情報収集サーバ30との間で情報を送受信する処理部である。

0069

制御部420は、セキュリティナレッジ公開機関サーバ40を制御する。制御部420は、例えば、脆弱性情報出力部421、攻撃シナリオ情報出力部422、およびビジネス指標情報出力部423を含む。

0070

脆弱性情報出力部421は、通信部410を介して、情報収集サーバ30へ脆弱性情報を送信する。攻撃シナリオ情報出力部422は、通信部410を介して、情報収集サーバ30へ攻撃シナリオ情報を送信する。ビジネス指標情報出力部423は、通信部410を介して、情報収集サーバ30へビジネス指標情報を送信する。

0071

セキュリティナレッジ公開機関サーバ40における、情報の収集および管理の手法は、サーバ40の仕様や運営企業により異なるため、ここでは特に限定しない。

0072

図6は、クライアント60の機能構成例を示す。クライアント60は、通信部610、制御部620、および入出力部630を含む。通信部610は、ネットワークCN3を介して情報を送受信する処理部である。入出力部630は、システム管理者等のユーザと情報を交換する処理部である。入出力部630は、例えばキーボード、タッチパネル音声指示装置等の情報入力部と、例えばディスプレイ、プリンタ、音声合成装置等の情報出力部とを備える。クライアント60は、情報入力部から入力された指示や設定値等をリスク評価サーバ10へ伝える。クライアント60は、リスク評価サーバ10から受信した情報を情報出力部を介してユーザへ提示する。

0073

制御部620は、クライアント60を制御する。制御部620は、例えば、画面表示処理部621、初期画面表示要求部622、ビジネスプロセス情報保存要求部623、およびビジネスリスク表示要求部624を含む。図6では、画面表示処理部621を画面表示部621と略記する。

0074

画面表示処理部621は、入出力部630を介して、ユーザへ画面を表示する処理部である。画面表示処理部621は、初期画面表示要求部622で取得した画面およびビジネスリスク表示要求部624で取得した画面をディスプレイへ表示する。

0075

初期画面表示要求部622は、通信部610を介して、リスク評価サーバ10へ初期画面の送信を要求する処理部である。初期画面とは、クライアント60がリスク評価サーバ10へ接続したときに、リスク評価サーバ10がユーザへ提示する画面である。

0076

ビジネスプロセス情報保存要求部623は、ユーザが入力したビジネスプロセス情報を、通信部610からリスク評価サーバ10へ送信し、保存させる処理部である。

0077

ビジネスリスク表示要求部624は、リスク評価サーバ10からビジネスリスクの評価結果を取得してディスプレイへ表示する処理部である。ビジネスリスク表示要求部624は、ビジネスリスクの評価結果に対する表示リクエストを、通信部610を介してリスク評価サーバ10へ送信する。ビジネスリスク表示要求部624は、リスク評価サーバ10からビジネスリスク評価結果の画面データを受信し、ディスプレイへ表示させる。

0078

図7は、リスク評価サーバ10の機能構成例を示す。リスク評価サーバ10は、通信部110および制御部120を含む。通信部110は、ネットワークCN3を介して情報を送受信する処理部である。

0079

制御部120ば、リスク評価サーバ10を制御する。制御部120は、例えば、初期画面表示処理部121、ビジネスプロセス情報保存処理部122、ビジネスリスク表示処理部123、脆弱性検出処理部124、機器リスク評価モデル構築処理部125、ビジネス指標リスク評価モデル構築処理部126、条件付き確率表設定処理部127、学習データ生成処理部128、条件付き確率表学習部129、およびリスク値計算処理部130を含んでいる。図7では、「処理部」を「部」と略記する。

0080

初期画面表示処理部121は、クライアント60からの要求に応じて、リスク評価の初期画面(図20の画面G1)をクライアント60へ送信する処理部である。初期画面表示処理部121は、通信部110を介してクライアント60から初期画面表示リクエストを受信すると、初期画面の表示に必要となる画面データを、例えばデータベース50から読み出して、クライアント60へ返信する。この場合、データベース50は、クライアント60で表示させる各画面データを予め保持しているものとする。画面データを、リスク評価サーバ10の外部記憶装置73に格納しておく構成でもよい。

0081

ビジネスプロセス情報保存処理部122は、クライアント60から受信したビジネスプロセス情報をデータベース50に保存する処理部である。ビジネスプロセス情報保存処理部122は、通信部110を介してクライアント60からビジネスプロセス情報の保存リクエストを受信すると、そのビジネスプロセス情報をデータベース50に送信して保存させる。

0082

ビジネスリスク表示処理部123は、クライアント60からの要求に応じて、ビジネスリスクの評価結果を示す画面(図33の画面G2)をクライアント60へ送信する処理部である。ビジネスリスク表示処理部123は、通信部110を介してクライアント60からビジネスリスク表示リクエストを受信すると、ビジネスリスク評価結果の画面データをクライアント60へ返信する。

0083

ビジネスリスク評価結果は、脆弱性検出処理部124、機器リスク評価モデル構築処理部125、ビジネス指標リスク評価モデル構築処理部126、条件付き確率表設定処理部127、学習データ生成処理部128、条件付き確率表学習処理部129、およびリスク値計算処理部130を用いることで得られる。

0084

脆弱性検出処理部124は、システム構成情報と脆弱性情報とを照合して、機器20に存在する情報セキュリティ上のリスク(脆弱性)を検出する処理部である。脆弱性検出処理部124は、システム構成情報に含まれる機器情報テーブル512(図12で後述)と、脆弱性情報に含まれる脆弱性情報テーブル513(図13で後述)を照合することで、機器20に関連する脆弱性を検出する。

0085

機器リスク評価モデル構築処理部125は、データベース50に記憶された情報に基づいて、脆弱性が機器20にもたらすリスクを評価するための機器リスク評価モデルを構築する処理部である。

0086

ビジネス指標リスク評価モデル構築処理部126は、機器リスク評価モデルとデータベース50に記憶された情報とに基づいて、脆弱性がビジネスにもたらすリスクを評価するためのビジネス指標リスク評価モデルM1を構築する処理部である。ビジネス指標リスク評価モデルM1については、後述する。

0087

条件付き確率表設定処理部127は、ビジネス指標リスク評価モデルに基づいてリスク評価するために使用する確率値図27図30参照)を設定する処理部である。

0088

学習データ生成処理部128は、攻撃シナリオ情報をビジネス指標リスク評価モデルに適用可能であるか判定し、有向非循環グラフの経路を、機械学習のための学習データとして生成する処理部である。

0089

条件付き確率表学習処理部129は、学習データに基づいて機械学習し、条件付き確率表の値を更新する処理部である。

0090

リスク値計算処理部130は、ビジネス指標リスク評価モデルに基づいてリスク値を計算する処理部である。上述した各機能部121〜130の処理の詳細は、後述する。

0091

(ハードウェア構成)

0092

図8は、サーバ10,30,40、機器20、端末60を実現するために使用可能なコンピュータ装置70のハードウェア構成例を示す。図8に示すコンピュータ装置70を用い、外部記憶装置73に所定のコンピュータプログラムを格納することで、サーバ10,30,40、機器20、端末60を実現することができる。

0093

コンピュータ装置70は、例えば、CPU71、メモリ72、外部記憶装置73、入力装置74、出力装置75、通信装置76を有する。

0094

メモリ72は、RAM(Random Access Memory)等の揮発性記憶素子で構成される。外部記憶装置73は、SSD(Solid State Drive)やハードディスクドライブ等の不揮発性記憶素子で構成される。通信装置76は、例えばネットワークインターフェイスカード(NIC:Network Interface Card)である。入力装置74は、例えばキーボード、タッチパネル、マウス、音声合成装置等である。出力装置75は、例えば、ディスプレイ、音声指示装置、プリンタ等である。

0095

入力装置74および出力装置75は、クライアント60のみが備えていればよく、管理対象機器20、セキュリティナレッジ公開機関サーバ40、情報収集サーバ30、およびリスク評価サーバ10では必ずしも要しない。

0096

図3図7で例示した各装置20,30,40,60,10の制御部220,320,420,620,120は、CPU71が外部記憶装置73に記憶された所定のコンピュータプログラムをメモリ72にロードして実行することで実装される。図3図7で例示した各装置20,30,40,60,10の通信部210,310,410,610,110は、通信装置76により実装される。図6で例示したクライアント60における入出力部630は、出力装置75および入力装置74により実装される。

0097

データ構成

0098

リスク評価サーバ10が利用するデータの構成例について説明する。リスク評価システム1にて利用するデータには、例えば、ユーザ情報510、管理対象の情報処理システムのネットワーク情報511と機器情報512、ユーザにより入力されるビジネスプロセス情報514、セキュリティナレッジとして公開されている脆弱性情報513、攻撃シナリオ情報516、ビジネス指標情報515がある。

0099

図9は、データベース50に格納されるデータテーブルの一覧を示す。データベース50は、例えば、ユーザ情報テーブル510、ネットワーク情報テーブル511、機器情報テーブル512、脆弱性情報テーブル512、ビジネスプロセス情報テーブル514、ビジネス指標情報テーブル515、および攻撃シナリオ情報テーブル516を格納する。これら各テーブル間は、互いのレコードが含む所定のID等によって、相互に関連付けられている。

0100

図10を用いて、ユーザ情報テーブル510の例を説明する。ユーザ情報テーブル510は、例えば、ユーザID(identification)5101、ユーザ情報5102、ビジネスリスト5103をデータ項目として有する。

0101

ユーザID5101は、ユーザに対してユニークに割り当てられたIDである。ユーザ情報5102は、ユーザID5101に対応するユーザの名前連絡先など、ユーザに関連する情報である。ビジネスリスト5103は、ユーザが管理するビジネスのIDと名前、および関連するビジネスプロセスIDをマップしたものである。ビジネスリスト5103には、例えば、ユーザが“**ビジネス”を管理している場合、そのビジネスIDと、“**ビジネス”という名前と、“**ビジネス”に関連するビジネスプロセスIDを持つ構造体のリストとを、格納する。

0102

図11を用いて、ネットワーク情報テーブル511の構成例を説明する。ネットワーク情報テーブル511は、例えば、ネットワークセグメントID5111、ネットワークセグメント情報5112、可達セグメントIDリスト5113、および外部接続性5114をデータ項目としたレコードを有する。

0103

ネットワークセグメントID5111は、ネットワークセグメントに対してユニークに割り当てられたIDである。ネットワークセグメント情報5112は、IPアドレスネットマスクなど、ネットワークセグメントに関連する情報である。

0104

可達セグメントIDリスト5113は、ネットワークセグメントID5111が示すネットワークセグメントからメッセージが到達可能な、隣接するセグメントのIDリストである。例えば、ネットワークセグメントID5111が“111”のネットワークセグメントからネットワークセグメントID5111が“222”のネットワークセグメントにメッセージが到達する場合、ネットワークセグメントID5111が“111”のレコードの可達セグメントIDリスト1103には、ネットワークセグメントID5111の“222”が格納される。

0105

外部接続性5114は、外部ネットワークへの接続の有無を表した真理値である。このネットワーク情報テーブル511は、リスク評価システム1の管理者等が予め生成してデータベース50に格納してあるものとする。

0106

図12を用いて、機器情報テーブル512の例を説明する。機器情報テーブル512は、例えば、機器ID5121、機器情報5122、ネットワークセグメントIDリスト5123、種別5124、ソフトウェアリスト5125をデータ項目として有する。

0107

機器ID5121は、機器20に対してユニークに割り当てられたIDである。機器情報5122は、マシン名など機器20に関連する情報である。ネットワークセグメントIDリスト5123は、機器ID5121で特定される機器20が所属しているネットワークセグメントのIDリストである。種別5124は、例えば、“WEBサーバ”や“DBサーバ”などの、機器20の種別である。ソフトウェアリスト5125は、機器20にインストールされているソフトウェアを特定するリストである。

0108

図13に、脆弱性情報テーブル512の例を示す。脆弱性情報テーブル512は、例えば、脆弱性ID5131、関連ソフトウェアリスト5132、脆弱性攻撃確率5133、機器影響確率5134、種別5135をデータ項目として有する。

0109

脆弱性ID5131は、脆弱性に対してユニークに割り当てられたIDである。脆弱性ID5131として、例えば、共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)、JVN番号(JVN:Japan Vulnerability Notes)、ベンダが独自に採番した脆弱性ID、を使用することができる。CVEとは、米国の非営利団体であるMITRE社が採番しており、国際的に利用されている脆弱性識別子である。JVN番号は、日本国内で使用されている。

0110

関連ソフトウェアリスト5132は、脆弱性ID5131で特定される脆弱性を抱えるソフトウェアのリストである。脆弱性攻撃確率5133は、脆弱性単体を突いた攻撃の発生確率、あるいはスコアである。脆弱性攻撃確率5133は、脆弱性の技術的な特性に基づいたスコアである。機器影響確率5134は、脆弱性への攻撃が機器20に影響を与える確率であり、脆弱性の技術的な特性に基づいたスコアである。

0111

一般に、セキュリティナレッジ公開機関では、CVSS(Common Vulnerability Scoring System)等の標準的なセキュリティ規格に基づき、個々のソフトウェア脆弱性に対して、技術特性の観点から攻撃容易性や機器への影響度などのスコアを付与する。セキュリティナレッジ公開機関は、脆弱性に対するスコアを含む脆弱性情報を公開する。したがって、セキュリティナレッジ公開機関サーバ40が付与するスコアを、脆弱性攻撃確率5133や機器影響確率5134として利用することができる。

0112

種別5135は、脆弱性の種別である。一般的にセキュリティナレッジ公開機関では、CWE(Common Weakness Enumeration)等の標準的なセキュリティ規格に基づき、個々のソフトウェア脆弱性に対して、種別を付与して、脆弱性情報を公開する。したがって、セキュリティナレッジ公開機関サーバ40が付与する種別を、種別5135として利用することができる。

0113

図14を用いて、ビジネスプロセス情報テーブル514の構成例を説明する。ビジネスプロセス情報テーブル514は、例えば、ビジネスプロセスID5141、必要機能を実装した機器ID5142、重要度5143、種別5144、およびビジネスプロセス図示情報5145、その他情報5146をデータ項目としたレコードを有する。

0114

ビジネスプロセスID5141は、ビジネスプロセスに対してユニークに割り当てられたIDである。必要機能を実装した機器ID5142は、ビジネスプロセスID5141で特定されるビジネスプロセスを実現するために必要な機能が実装されている機器20のIDである。重要度5143は、ビジネスプロセスの重要度のスコアである。種別5144は、ビジネスプロセスの種別である。

0115

ビジネスプロセス図示情報5145は、ビジネスプロセスを図示するのに必要な情報である。ビジネスプロセスの図示に必要な情報としては、例えば、ビジネスプロセスを実施するアクタビジネスプロセス間の関係等の情報がある。その他情報5146は、ビジネスプロセス名などのビジネスプロセスに関連する情報である。

0116

本実施例では、システム管理者等のユーザがクライアント60からビジネスプロセス情報を入力する。ユーザは、例えば、UML(Unified Modeling Language)のアクティビティ図等のツールを利用して、ビジネスプロセスを設計することができる。ビジネスプロセスの設計方法は限定しない。

0117

図15を用いて、ビジネス指標情報テーブル515の構成例を説明する。ビジネス指標情報テーブル515は、例えば、ビジネス指標ID5151、重要度5152、種別5153、関連プロセス種別5154、および関連機器種別5155をデータ項目としたレコードを有する。

0118

ビジネス指標ID5151は、ビジネス指標に対してユニークに割り当てられたIDである。重要度5152は、ビジネス指標ID5151で特定されるビジネス指標の重要度を示すスコアである。種別5153は、ビジネス指標の種別である。

0119

関連プロセス種別5154は、ビジネス指標ID5151で特定されるビジネス指標に関連するビジネスプロセスの種別である。関連機器種別5155は、そのビジネス指標に関連する機器20の種別である。一般に、いわゆるサイバー保険運用する企業では、発生し得るリスクに対して“収益への悪影響”や“情報漏洩の懸念”、“社会的影響に係る費用”等、リスクを評価するための指標を所持している。本実施例では、サイバー保険等で使用する指標をそのままで、あるいは変化させて、使用する。リスク評価システム1で独自に定義した指標を用いることもできる。

0120

図16を用いて、攻撃シナリオ情報テーブル516の構成例を説明する。攻撃シナリオ情報テーブル516は、例えば、攻撃シナリオID5161、攻撃手順5162、および種別5163をデータ項目としたレコードを有する。

0121

攻撃シナリオID5161は、いわゆるサイバー攻撃一連のシナリオに対してユニークに割り当てられたIDである。攻撃手順5162は、攻撃シナリオID5161で特定されるサイバー攻撃の一連の流れの中で、各工程において標的となる脆弱性のID、または、攻撃により影響を受けるビジネス指標のIDのリストである。例えば、脆弱性を狙う攻撃工程の場合、攻撃手順5162を構成するIDの1つとして、共通脆弱性識別子等の脆弱性ID5131が格納される。“システムの可用性”を阻害する攻撃工程の場合、“システムの可用性指標”に対応したビジネス指標IDが格納される。種別5163は、攻撃シナリオの種別である。

0122

なお、本実施例では、データベース50が、ユーザ情報テーブル510、ネットワーク情報テーブル511、機器情報テーブル512、脆弱性情報テーブル513、ビジネスプロセス情報テーブル514、ビジネス指標情報テーブル515、攻撃シナリオ情報テーブル516を持つ場合を説明する。これに代えて、リスク評価サーバ10が、上述のテーブル511,512,513,514,515,516を保持してもよい。上述の各テーブルのうち少なくともいずれか複数のテーブルを1つのテーブルとして結合させてもよいし、より正規化されたテーブルであっても良い。

0123

(情報収集、登録のフロー例)

0124

以下、脆弱性リスクを評価する方法について説明する。以下で説明するリスク評価方法に対応する各種動作は、例えば、リスク評価サーバ10のCPUが所定のコンピュータプログラムを実行することで実現される。このコンピュータプログラムは、以下に説明する各処理を行うためのコードから構成されている。以下の説明においては、リスク評価サーバ10が実行する処理のみならず、他の装置が実行する処理についても適宜説明するものとする。

0125

図17は、情報収集サーバ30が各機器20からシステム構成情報を収集して、データベース50に保存する処理を示す。情報収集サーバ30による管理対象機器20のシステム構成情報の取得と、システム構成情報をデータベース50へ保存する処理とは、リスク評価サーバ10におけるリスク評価処理の実行前に予め実行しておく必要がある。

0126

システム構成情報と、セキュリティ情報としての脆弱性情報および攻撃シナリオ情報と、ビジネス指標情報とは、機器20やセキュリティナレッジ公開機関サーバ40にて随時、追加されたり更新されたりする。そこで、リスク評価のために使用する情報の取得処理と保存処理とは、バックグラウンド処理として実行するのが好ましい。

0127

機器20は、例えば所定時間が到来すると、自身のOSが備えるスケジューラ呼出して、システム構成情報出力部221を起動する(S10,S13)。

0128

システム構成情報出力部221は、当該機器20のシステム構成情報を取得し、これを情報収集サーバ30へ送信する(S11,S14)。システム構成情報出力部221が取得するシステム構成情報は、ネットワーク情報テーブル511の情報や機器情報テーブル512の情報等である。

0129

情報収集サーバ30は、機器20からシステム構成情報を受信すると、データの新規追加またはデータ更新のリクエストをデータベース50へ送信する(S12,S15)。データベース50は、このリクエストを受けて、テーブルにレコードを追加したり、既存レコードを更新したりする。

0130

機器情報テーブル512を例に挙げて説明する。データベース50は、リクエストが含むシステム構成情報のうち、例えば機器IDをキーに機器情報テーブル512を検索し、該当機器IDに関するレコードがなければ新規にレコードを生成する。データベース50は、新規に生成したレコードに、リクエストに含まれるシステム構成情報の内容をセットする。

0131

データベース50は、リクエスト内のシステム構成情報に含まれている機器IDが機器情報テーブル512に既に存在する場合、既存レコードに格納された情報を、リクエストに含まれるシステム構成情報の内容に更新する。以上述べた、データを新規に追加する処理や既存データを更新する処理は、ネットワーク情報テーブル511についても同様に行われる。

0132

テップS10〜ステップS15の処理は、機器20毎に実行され、機器20の数だけ反復される。本実施例では、各機器20と情報収集サーバ30との間でクライアントサーバ構成を取っているため、システム構成情報等の取得処理および保存処理を自動化して、効率的な運用を実現する。

0133

システム構成情報等の自動的な収集処理に代えて、システム管理者等のユーザが、システム構成情報等をクライアント60を介して情報収集サーバ30へ入力してもよい。例えば、ユーザは、データファイル形式で機器20のシステム構成情報を用意し、これを情報収集サーバ30に入力してもよい。ユーザが手動でシステム構成情報を情報収集サーバ30へ入力することで、機器20をエージェントレスで動作させることができる。

0134

なお、本実施例では、各機器20は、定期的にシステム構成情報等を情報収集サーバ30へ送信する場合を述べた。これに代えて、各機器20のシステム構成情報出力部221は、システム構成情報等の変化を自動的に検知し、システム構成情報等が変化したときに情報収集サーバ30へ送信しても良い。

0135

図18を用いて、情報収集サーバ30が、セキュリティナレッジ公開機関サーバ40からセキュリティ情報やビジネス指標を収集して、データベース50に格納する処理を説明する。図18では、セキュリティナレッジ公開機関サーバをセキュリティナレッジサーバと略記する。本処理は、情報収集サーバ30がバックグラウンド処理として行う。

0136

情報収集サーバ30が、セキュリティナレッジ公開機関サーバ40から脆弱性情報を収集し、データベース50へ格納する場合を先に説明する。これと同様に、情報収集サーバ30は、セキュリティナレッジ公開機関サーバ40から攻撃シナリオ情報およびビジネス指標情報を収集して、データベース50へ格納することもできる。

0137

情報収集サーバ30は、OSのスケジューラ機能等により、所定時間が到来すると、脆弱性情報収集部322を起動する(S20)。脆弱性情報収集部322は、脆弱性情報の送信要求を、セキュリティナレッジ公開機関サーバ40に送信する(S21)。

0138

セキュリティナレッジ公開機関サーバ40は、脆弱性情報の送信要求を受領すると、脆弱性情報出力部421から情報収集サーバ30に脆弱性情報を返信する(S22)。

0139

情報収集サーバ30は、セキュリティナレッジ公開機関サーバ40から脆弱性情報を受信すると、脆弱性情報の新規追加または更新のリクエストをデータベース50へ要求する(S23)。

0140

データベース50は、このリクエストを受けて、リクエストが含む脆弱性IDをキーに脆弱性情報テーブル513を検索し、該当脆弱性ID等に関するレコードがなければ新規にレコードを生成する。データベース50は、リクエストに含まれる脆弱性情報のうち、該当項目の値を脆弱性情報テーブル513にセットする。

0141

これに対し、データベース50は、リクエストに含まれる脆弱性IDが脆弱性情報テーブル513に既に存在する場合、その既存レコードに記憶されたデータを、リクエストに含まれている脆弱性情報のうち該当項目のデータで更新する。

0142

情報収集サーバ30がセキュリティナレッジ公開機関サーバ40からビジネス指標情報を収集する場合を説明する。処理内容は同一のため、同じステップ番号を使用する。

0143

情報収集サーバ30は、例えば所定時間が到来すると、ビジネス指標情報収集部324を起動する(S20)。ビジネス指標情報収集部324は、ビジネス指標情報の送信要求を、セキュリティナレッジ公開機関サーバ40に送信する(S21)。

0144

セキュリティナレッジ公開機関サーバ40は、ビジネス指標情報の送信要求を受領すると、ビジネス指標情報出力部423から情報収集サーバ30に向けて、ビジネス指標情報を返信する(S22)。

0145

情報収集サーバ30は、セキュリティナレッジ公開機関サーバ40からビジネス指標情報を受信すると、ビジネス指標情報の新規追加または更新のリクエストをデータベース50へ要求する(S23)。

0146

データベース50は、リクエストが含むビジネス指標IDをキーにビジネス指標情報テーブル515を検索し、そのビジネス指標ID等に関するレコードがなければ新規にレコードを生成する。データベース50は、リクエストが含むビジネス指標情報のうち該当項目の値を、新規に生成したレコードへセットする。

0147

これに対し、データベース50は、ビジネス指標情報テーブル515において該当ビジネス指標ID等に関するレコードが既に存在する場合、その既存レコードに記憶されたデータを、リクエストが含むビジネス指標情報のうち該当項目のデータで更新する。

0148

情報収集サーバ30がセキュリティナレッジ公開機関サーバ40から攻撃シナリオ情報を収集する場合を説明する。処理内容は同一のため、同じステップ番号を使用する。

0149

情報収集サーバ30は、例えば所定時間が到来すると、攻撃シナリオ情報収集部323を起動する(S20)。攻撃シナリオ情報収集部323は、攻撃シナリオ情報の送信要求を、セキュリティナレッジ公開機関サーバ40に送信する(S21)。

0150

セキュリティナレッジ公開機関サーバ40は、攻撃シナリオ情報の送信要求を受領すると、攻撃シナリオ情報出力部422から情報収集サーバ30に、攻撃シナリオ情報を返信する(S22)。

0151

情報収集サーバ30は、セキュリティナレッジ公開機関サーバ40から攻撃シナリオ情報を受信すると、攻撃シナリオ情報の新規追加または更新のリクエストをデータベース50へ要求する(S23)。

0152

データベース50は、リクエストが含むビジネス指標IDをキーに攻撃シナリオ情報テーブル516を検索し、そのビジネス指標ID等に関するレコードがなければ新規にレコードを生成する。データベース50は、リクエストが含む攻撃シナリオ情報のうち該当項目の値を、新規に生成したレコードへセットする。

0153

これに対し、データベース50は、攻撃シナリオ情報テーブル516において該当ビジネス指標ID等に関するレコードが既に存在する場合、その既存レコードに記憶されたデータを、リクエストが含む攻撃シナリオ情報のうち該当項目のデータで更新する。

0154

上述のように、情報収集サーバ30は、セキュリティナレッジ公開機関サーバ40から、脆弱性情報、ビジネス指標情報および攻撃シナリオ情報を自動的に取得して、データベース50へ保存する。このため、情報収集処理および情報保存処理を効率的に運用することができる。但し、セキュリティナレッジ公開機関サーバ40と情報収集サーバ30との間での情報授受の手法は、セキュリティナレッジ公開機関サーバ40の仕様に基づくものとする。

0155

情報収集サーバ30は、脆弱性情報収集部322、攻撃シナリオ情報収集部323、ビジネス指標情報収集部324を略同時に起動させて、脆弱性情報、攻撃シナリオ情報およびビジネス指標情報をセキュリティナレッジ公開機関サーバ40から収集してもよいし、あるいは、脆弱性情報収集部322,攻撃シナリオ情報収集部323,ビジネス指標情報収集部324をそれぞれ別のタイミングで起動させて各情報を収集してもよい。

0156

(初期画面表示処理のフロー例)

0157

図19のフローチャートを用いて、脆弱性リスクによるビジネスへの影響を評価するための初期画面の表示処理を説明する。

0158

クライアント60は、ユーザからの指示を入出力部630から受け付けると、初期画面表示要求部622により、リスク評価サーバ10へ接続リクエストを送信する(S30)。リスク評価サーバ10の初期画面表示処理部121は、クライアント60へ出力すべき初期画面の表示データを、例えばデータベース50に要求して取得する(S31)。

0159

ここで、リスク評価サーバ10の外部記憶装置73には、例えば、リスク評価方法の各手順に対応する所定画面雛形データが予め格納されているものとする。リスク評価サーバ10は、クライアント60からの要求に応じて、該当手順に対応する画面の雛形データを外部記憶装置73から読み出し、読み出した雛形データにデータベース50から取得したデータを設定して、クライアント60へ出力するものとする。

0160

リスク評価サーバ10が、ステップS31にてデータベース50から取得するデータ、すなわち画面の雛形データに設定するデータは、例えば、接続リクエスト(S30)が含むユーザID5101をキーにユーザ情報テーブル510、ビジネスプロセス情報テーブル514のそれぞれから得られるデータである。具体的には、そのデータとは、ユーザID5101に関連付けられたユーザ情報5102、ビジネスリスト5103、および、このビジネスリスト5103が含むビジネスプロセスIDに関連付けられたビジネスプロセスID5141、機能実装機器ID5142、重要度5143、種別5144、ビジネスプロセス図示情報5145、その他情報5146等である。

0161

本実施例では、クライアント60からの接続リクエストにユーザID5101が含まれている例を説明した。このほかの例として、リスク評価サーバ10は接続リクエストに対して一般的なユーザ認証処理等を実行し、その認証処理等を通じてユーザID5101を特定してもよい。一般的なユーザ認証処理等とは、例えば、IDおよびパスワードの組の真正性を検証する本人認証等である。ユーザ認証処理等の形態は限定しない。

0162

図20は、リスク評価の初期画面G1の例を示す。リスク評価サーバ10の初期画面表示処理部121は、上述のように、データベース50のユーザ情報テーブル510およびビジネスプロセス情報テーブル514から得たデータを、初期画面の雛形データにセットして画面データを生成する。初期画面表示処理部121が画面データをクライアント60へに返信すると、クライアント60の入出力部630に図20に示す初期画面G1が表示される。

0163

初期画面G1は、例えば、ユーザ名の情報を表示するユーザ情報領域GP10と、ビジネスリストの情報を表示するビジネスリスト表示領域GP11と、設計保存ボタンGP12と、リスク評価ボタンGP13を含む。

0164

ビジネスリスト表示領域GP11は、ビジネスプロセス図表示領域GP15と、ビジネスプロセステーブル表示領域GP16を含む。ビジネスプロセス図表示領域GP15は、画面G1の左側に表示されたビジネスリストのうち、チェックボックスGP14でチェックがされたビジネスについて、ビジネスプロセス図表示領域GP15およびビジネスプロセステーブル表示領域GP16を表示する。

0165

ビジネスプロセス図表示領域GP15は、ビジネスプロセス図示情報5145に基づいて、アクティビティ図等のビジネスプロセス図を表示する領域である。ビジネスプロセステーブル表示領域GP16は、機能実装機器ID5142、重要度5143、種別5144、ビジネスプロセス図示情報5145、その他情報5146を、テーブルとして表示する領域である。

0166

詳細は後述するが、ユーザにより設計保存ボタンGP12が押下されると、ビジネスプロセス情報は保存される。ユーザによりリスク評価ボタンGP13が押下されると、その時点でチェックボックスGP14にチェックが入っているビジネスに関して、リスク評価を開始する。
(ビジネスプロセス情報保存処理のフロー例)

0167

図21を用いて、ビジネスプロセス情報を保存する処理を説明する。初期画面G1において、ユーザが設計保存ボタンGP12を押下すると、リスク評価サーバ10はビジネスプロセス情報を保存する。

0168

まず、クライアント60は、ユーザが入出力部630を介して入力した、XML(Extensible Markup Language)等のファイル形式のビジネスプロセス情報を受け付けると、リスク評価サーバ10へビジネスプロセス情報の保存を要求する(S80)。

0169

リスク評価サーバ10は、クライアント60からビジネスプロセス情報を受信すると、データベース50に対し、データの新規追加またはデータ更新のリクエストを送信する(S81)。

0170

データベース50は、リスク評価サーバ10からのリクエストを受けると、そのリクエストが含むビジネスプロセス情報のうち、例えばビジネスプロセスIDをキーにビジネスプロセス情報テーブル514を検索する。データベース50は、そのビジネスプロセスIDに対応するレコードが見つからない場合、新規レコードを生成し、リクエストが含むビジネスプロセス情報のうち該当項目の値をセットする。

0171

データベース50は、ビジネスプロセス情報テーブル514において該当ビジネスプロセスIDに対応するレコードが既に存在する場合、その既存レコードにおいて、リクエストが含むビジネスプロセス情報のうち該当項目の値でデータを更新する。

0172

データベース50は、接続リクエストが含むユーザID5102をキーにユーザ情報テーブル510を検索し、該当ユーザIDに対応するレコードのビジネスリスト5103に、クライアント60から提供されたビジネスプロセス情報に含まれるビジネスプロセスIDを追加する。
(リスク評価処理のフロー例(メインフロー))

0173

図22を用いて、ビジネスリスクを評価する処理を説明する。ユーザが初期画面G1のリスク評価ボタンGP13を押下すると、リスク評価サーバ10はビジネスリスク評価処理を実行する。

0174

クライアント60は、ユーザが入出力部630を介して指定した、リスク評価の対象ビジネスを受け付ける(S90)。本実施例では、クライアント60が対象ビジネスの選択をユーザから受け付けるインタフェースとして、図20の初期画面G1におけるチェックボックスGP14を使用する。

0175

クライアント60は、リスク評価サーバ10に対し、ビジネスリスク表示要求を送信する(S91)。この送信処理は、例えば初期画面G1のリスク評価ボタンGP13がユーザによりクリックされたことをトリガーとして実行される。送信されるビジネスリスク表示要求には、初期画面G1のチェックボックスGP14で選択されたビジネスを特定するビジネスIDが含まれる。以下、リスク評価の対象のビジネスを、対象ビジネスと呼ぶ場合がある。

0176

リスク評価サーバ10は、ビジネスリスク表示要求を受信すると、データベース50に格納された各テーブル511〜516から情報をそれぞれ取得する。具体的には、リスク評価サーバ10は、ビジネスリスク表示要求に含まれる情報をキーにして、ネットワーク情報テーブル511、機器情報テーブル512、脆弱性情報テーブル513、ビジネスプロセス情報テーブル514、ビジネス指標情報テーブル515、および攻撃シナリオ情報テーブル516を参照し、それぞれの情報を取得する(S92)。

0177

本実施例では、リスク評価サーバ10が、ステップS92にて、脆弱性リスクの評価と表示に必要な情報をデータベース50から一括取得して、メモリ72に展開する場合を説明する。これに限らず、脆弱性リスクの表示処理や評価処理で必要となったタイミングで、必要な情報をデータベース50から読み出してもよい。

0178

リスク評価サーバ10の脆弱性検出処理部124は、ステップS92で得た情報に基づいて、情報処理システムを構成する各機器20が持つ脆弱性を検出する(S93)。例えば、脆弱性検出処理部124は、機器情報テーブル512のソフトウェアリスト5125と、脆弱性情報テーブル513の関連ソフトウェアリスト5132とを照合することで、機器20に関連する脆弱性を検索する。

0179

リスク評価サーバ10の機器リスク評価モデル構築処理部125は、脆弱性検出処理(S93)の結果とステップS92で得た情報とに基づいて、機器リスク評価モデルを構築する(S94)。

0180

機器リスク評価モデル構築処理(S94)では、評価対象の情報処理システムの構成やネットワークトポロジに基づいてリスクを評価するために、各機器20と各機器20の脆弱性との関係性を表した有向非循環グラフを、対応する所定のグラフ理論に基づくアルゴリズムを用いることで、機器リスク評価モデルとして生成する。

0181

そのアルゴリズムは、後述の図23に示すフローチャートに対応するコンピュータプログラムが実現する。そのコンピュータプログラムは、リスク評価サーバ10の機器リスク評価モデル構築処理部125が保持する。

0182

上述の有向非循環グラフとは、任意のオブジェクトをノードとし、これらノード間をアークと呼ばれる一方向性の矢印で接続したグラフである。有向非循環グラフでは、ノードの間に親ノード子ノードの関係がある。子ノードから、親ノードを含む先祖のノードに向けてアークを接続することは許容されない。一般的に、子ノードから親ノードに向けたアークの接続関係がないことを“ループがない”と表現する。

0183

機器リスク評価モデル構築処理部125は、対象ビジネスを実現する情報処理システムを構成する各機器20と、各機器20が保有する脆弱性とを、それぞれをノードとしたグラフモデルを構築する。脆弱性を保有する機器20とその脆弱性との関係性を、アークとして接続する。

0184

機器リスク評価モデル構築処理部125は、ネットワークトポロジから、機器間での攻撃メッセージの到達性を判断する。機器リスク評価モデル構築処理部125は、或る機器20Aから他の機器20Bへネットワークを介して攻撃メッセージが到達する可能性がある場合、機器20Aを表すノードから機器20Bが保有する脆弱性を表すノードへ向けてアークを接続する。機器リスク評価モデル構築処理部125は、前述のようにノード間を接続することで、機器間の攻撃経路を表すグラフモデル、すなわち機器リスク評価モデルを構築することができる。ここで、機器間の関係を説明するために、一つの機器に符号20Aを付し、他の一つの機器に符号20Bを付す。図26に示す有向非循環グラフ上で各機器を区別する場合は、機器ノードに付与されたN1,N2などの符号を用いる。

0185

有向非循環グラフとして機器リスク評価モデルを構築することにより、ベイジアンネットワーク(Bayesian Network)と呼ばれる確率推論手法を用いて定量的に、脆弱性リスクを評価することができる。

0186

ベイジアンネットワークは、詳細は後述するが、ある事象に関する原因と結果との関係を複数組み合わせることにより、原因と結果が互いに影響を及ぼしながら発生する現象ネットワーク図と確率という形で可視化する推論技術である。ベイジアンネットワークは、過去に発生した原因と結果との積み重ねを統計的に処理する。これにより、ベイジアンネットワークは、所定の結果に繋がる原因や、或る原因から発生する結果を、確率をもって予測することができる。

0187

ベイジアンネットワークでは、実際に発生した事例のデータセットを学習データとすることで、確率推論に関わるパラメータを最適化することができる。リスク評価サーバ10は、メモリ72ないし外部記憶装置73において、このベイジアンネットワークに対応する推論プログラム学習プログラムとを予め保持しており、必要に応じて実行可能であるものとする。

0188

図23を用いて、機器リスク評価モデル構築処理(S94)の詳細を説明する。図23の説明では、図26に例示する、有向非循環グラフとして構成されるビジネス指標リスク評価モデルM1を適宜参照する。このビジネス指標リスク評価モデルM1は、ビジネス指標リスク評価モデル構築処理(S95)で生成される。ビジネス指標リスク評価モデル構築処理は、機器リスク評価モデルを拡張する処理であり、詳細は後述する。

0189

リスク評価サーバ10の機器リスク評価モデル構築処理部125は、攻撃起点を表すノードを1つ配置する(S110)。ここで、機器リスク評価モデルの描画要素アイコン、アーク等の表示要素)を画面に配置する処理は、リスク評価サーバ10が予め備える有向非循環グラフの描画プログラムによって実現される。有向非循環グラフの描画プログラムは、所定の描画平面内にて、ノードやアークに対応した描画要素(例:アイコンや線分等)を配置する。ビジネス指標リスク評価モデルM1を画面に描画する場合も、上述の描画プログラムにより実現される。なお、以下の説明では、機器リスク評価モデル構築処理部125を「モデル構築処理部125」と略記する場合がある。

0190

ステップS110を実行した時点では、有向非循環グラフにおいて、攻撃起点ノードMP10のみが配置される。

0191

以下では、脆弱性についてのノードを脆弱性ノードと、機器についてのノードを機器ノードと、ビジネスプロセスについてのノードをビジネスプロセスノードと、ビジネス指標についてのノードをビジネス指標ノードと、呼ぶ。したがって、脆弱性Va1のノードを脆弱性ノードVa1と、機器N1のノードを機器ノードN1と、ビジネスプロセスBP1のノードをビジネスプロセスノードBP1と、ビジネス指標BIaのノードをビジネス指標ノードBIaと呼ぶ。

0192

モデル構築処理部125は、対象ビジネスを構成する機器20を機器ノードN1〜N5として画面上に配置する(S111)。モデル構築処理部125は、ユーザ情報テーブル510のビジネスリスト5103から評価対象のビジネスIDに関連するビジネスプロセスIDを特定し、このビジネスプロセスIDをキーとして、ビジネスプロセス情報テーブル514の機能実装機器ID5142を検索する。これにより、モデル構築処理部125は、対象ビジネスに関連する機器20を特定することができ、画面上に配置できる。

0193

ステップS111を実行した結果、図26の有向非循環グラフにおいて、全ての機器ノードN1〜N5等が配置される。

0194

モデル構築処理部125は、対象ビジネスを構成する機器20に関連する脆弱性を脆弱性ノードVa1,Va2,Vb1,Vb2,Vc1,Vd1として画面上に配置する(S112)。モデル構築処理部125は、図22で述べた脆弱性検出処理(S93)の結果から、各機器20に関連する脆弱性を特定する。ステップS112が実行されると、図26の有向非循環グラフにおいて、全ての脆弱性ノードVa1,Va2,Vb1,Vb2,Vc1,Vd1が画面上に配置される。

0195

評価モデル構築処理部125は、脆弱性ノードからその脆弱性を保有する機器20へ向けてアークを接続する(S113)。ステップS113が実行されると、図26の有向非循環グラフにおいて、脆弱性ノードから機器ノードへ向かうアークMP13等が全て配置される。

0196

モデル構築処理部125は、機器ノードから他の機器が保有する脆弱性のノードへ向かうアークを接続する(S114)。モデル構築処理部125は、ネットワーク情報テーブル511のネットワーク関連情報に基づき、攻撃メッセージの到達性を判断する。モデル構築処理部125は、ある機器20Aから他の機器20Bへネットワークを介して攻撃メッセージが到達する可能性がある場合、機器20Aを表すノードから機器20Bが保有する脆弱性を表すノードへ向けてアークを接続する。ステップS114が実行されると、図26の有向非循環グラフにおいて、機器ノードから脆弱性ノードへ向かうアークMP14等が全て配置される。

0197

モデル構築処理部125は、攻撃起点ノードから脆弱性ノードへ向けてアークを接続する(S115)。モデル構築処理部125は、ネットワーク情報テーブル511の外部接続性5114と、機器20の所属しているネットワークセグメントリスト1103(機器情報テーブル512)とに基づいて、外部からの攻撃メッセージが到達しうる機器20を特定する。モデル構築処理部125は、攻撃起点ノードから、特定した機器20の保持する脆弱性のノードへ向けてアークを接続する。ステップS115が実行されると、図26の有向非循環グラフにおいて、攻撃起点ノードから脆弱性ノードへ向かうアークMP15等が全て配置される。

0198

モデル構築処理部125は、攻撃起点ノードから各ノードへのホップ数をそれぞれ計算する(S116)。本実施例では、アークの方向性に従い、攻撃起点ノードから各ノードに至る最短経路において、その過程中継したノード数をホップ数としている。図26の例では、機器ノードN4のホップ数は”1”である。機器ノードN5のホップ数は”3”である。

0199

モデル構築処理部125は、ステップS116で計算したホップ数に基づき、任意のノードから所定のホップ数以下であるノードへのアークを切断する(S117)。ステップS117を実行することで、上述した“ループがない”グラフモデルへ近似することができる。

0200

モデル構築処理部125は、上述のステップS110〜S117を実行することで、機器リスク評価モデルとして有向非循環グラフを構築する。図26は、機器リスク評価モデルをビジネス上の観点で拡張したビジネス指標リスク評価モデルM1を示す。基本構造は共通するので、機器リスク評価モデルに符号M1を使用することもできる。

0201

図22に戻る。機器リスク評価モデル構築処理(S94)の終了後、リスク評価サーバ10のビジネス指標リスク評価モデル構築処理部126は、機器リスク評価モデルとステップS92で得た情報とに基づいて、ビジネス指標リスク評価モデルM1を構築する処理を実行する(S95)。

0202

ビジネス指標リスク評価モデル構築処理(S95)では、評価対象のビジネス設計に基づいてリスクを評価するため、各機器20、各ビジネスプロセス、各ビジネス指標の関係性を示す描画要素(表示要素)を機器リスク評価モデルへ追加する。これにより、ビジネス指標リスク評価モデル構築処理部126は、有向非循環グラフの構造を持つビジネス指標評価モデルを生成する。

0203

図24のフローチャートを用いて、ビジネス指標リスク評価モデル構築処理(S95)の詳細を説明する。説明の必要上、図26に例示する、ビジネス指標リスク評価モデルM1を適宜参照する。

0204

リスク評価サーバ10のビジネス指標リスク評価モデル構築処理部126は、ユーザ情報テーブル510のビジネスリスト5103を用いて、評価対象ビジネスのビジネスプロセスIDを特定し、特定されたビジネスプロセスIDに対応するビジネスプロセスノードを画面へ配置する(S120)。

0205

ステップS120が実行されると、図26の有向非循環グラフにおいて、ビジネスプロセスノードMP16(BP1,BP2)が配置された状態となる。図中では、ビジネスプロセスを「BP」と略記している。なお、以下では、ビジネス指標リスク評価モデル構築処理部126を、評価モデル構築処理部126と略記する場合がある。

0206

評価モデル構築処理部126は、ビジネスプロセス情報テーブル514の機能実装機器ID5142からビジネスプロセスに関連する機器20を特定し、特定した機器のノードから関連するビジネスプロセスノードへアークを接続する(S121)。ステップS121が実行されると、図26の有向非循環グラフにおいて、機器ノードからビジネスプロセスノードへ向かうアークMP17等が全て配置される。

0207

次に、評価モデル構築処理部126は、ビジネス指標ノードを画面上に配置する(S122)。評価モデル構築処理部126は、対象ビジネスを実現する情報処理システムに関係するビジネス指標を特定し、画面に配置する。具体的には、評価モデル構築処理部126は、機器情報テーブル512の種別5124とビジネスプロセス情報テーブル514の種別5144とをキーとして、ビジネス指標情報テーブル515を検索することで、対象ビジネスに関連するビジネス指標を特定する。ステップS122が実行されると、図26の有向非循環グラフにおいて、ビジネス指標ノードMP18(BIa,BIb,BIc1,BIc2)が配置される。図中では、ビジネス指標を「BI」と表記している。

0208

評価モデル構築処理部126は、機器情報テーブル512の種別5124とビジネス指標情報テーブル515の関連機器種別5155とに基づいて、機器ノードから関連するビジネス指標ノードへアークを接続する(S123)。ステップS123が実行されると、図26の有向非循環グラフにおいて、機器ノードからビジネス指標ノードへ向かうアークMP19等が全て配置される。

0209

評価モデル構築処理部126は、ビジネスプロセス情報テーブル514の種別5144とビジネス指標情報テーブル515の関連プロセス種別5154とに基づいて、ビジネスプロセスノードから関連するビジネス指標ノードへアークを接続する(S124)。ステップS124が実行されると、図26の有向非循環グラフにおいて、ビジネスプロセスノードからビジネス指標ノードへ向かうアークMP20等が全て配置される。

0210

以上のステップS120〜S124の処理により、ビジネス指標リスク評価モデルM1が有向非循環グラフ構造を持って構築される。

0211

図22に戻る。ビジネス指標リスク評価モデル構築処理(S95)の終了後、リスク評価サーバ10の条件付き確率表設定処理部127は、ステップS92で得た情報に基づいて、ビジネス指標リスク評価モデルの各ノードに条件付き確率表を設定する処理を実行する(S96)。条件付き確率表設定処理(S96)では、図27図30に例示する条件付き確率表を設定する。

0212

図27を用いて、条件付き確率表設定処理(S96)において、機器ノードに設定する条件付き確率表130の例を説明する。一般的に、ベイジアンネットワークによる確率推論を実施するためには、各ノードに対して、親ノードがとり得る状態すべての組み合わせに対して、条件付確率を設定する必要がある。

0213

本実施例では、各ノードがとり得る状態を”侵害された”、あるいは”侵害されていない”の2値としている。例えば図27の機器ノードN2の場合、親ノードは、脆弱性ノードVc1と脆弱性ノードVd1の2つである。したがって、2つの親ノードの取り得る状態の組み合わせは、4パターンとなる。条件付き確率表設定処理部127は、それら4パターンについて条件付き確率を設定する。もしも親ノードの数が3つの場合、それら親ノードの取り得る状態の組合せパターンの数は、”8”となる。

0214

図27では、列名1301に親ノードがとり得る状態の組み合わせを記載し、行名1302に対象ノードのとり得る状態を記載する。取り得る状態には、”TRUE”と”FALSE”がある。”TRUE”は、その親ノードが攻撃された状態を示す。”FALSE”は、その親ノードが攻撃されていない状態を示す。

0215

図27の要素1303_1〜1303_3,1304には、条件付確率を記載する。図28図30の条件付き確率表でも同様に、列名には親ノードのとり得る状態の組合せを記載し、行名には対象ノードのとり得る状態を、条件付き確率の値で示す。

0216

機器ノードの条件付き確率表130の要素1303_1〜1303_3の値は、脆弱性情報テーブル513の機器影響確率5134に基づいて設定される。

0217

要素1303_1では、親ノードである脆弱性ノードVc1,Vd1がいずれも”TRUE”であるため、脆弱性ノードVc1の機器影響確率5134と脆弱性ノードVd1の機器影響確率5134のうち、いずれか大きい方の値が設定される。

0218

要素1303_2では、親ノードである脆弱性ノードVc1のみが”TRUE”であるため、脆弱性ノードVc1の機器影響確率5134が設定される。同様に、要素1303_3では、脆弱性ノードVd1の機器影響確率5134が設定される。

0219

要素1304では、親ノードである脆弱性ノードVc1,Vd1のいずれもが”FALSE”であるため、対象ノードが必ず”FALSE”の状態をとるように、最大値(ここでは”1”。以下同様)を設定する。

0220

図28を用いて、条件付き確率表設定処理(S96)における、脆弱性ノードに設定する条件付き確率表131の例を説明する。

0221

脆弱性ノードの条件付き確率表131の要素1311の値は、脆弱性情報テーブル513の脆弱性攻撃確率5133に基づいて設定される。要素1311_1〜1311_3は、親ノードである機器のいずれかが”TRUE”である場合、対象の脆弱性に脆弱性攻撃確率5133が設定される。要素1312は、親ノードの全てが”FALSE”であるため、対象ノードが必ず”FALSE”の状態をとるように最大値が設定される。

0222

図29を用いて、条件付き確率表設定処理(S96)における、ビジネスプロセスノードに設定する条件付き確率表132の例を説明する。

0223

ビジネスプロセスノードの条件付き確率表132の要素1321の値は、ビジネスプロセス情報テーブル514の重要度5143の値を”0”以上、かつ”1”未満の値に正規化して、設定される。

0224

要素1321は、親ノードのいずれかが”TRUE”である場合、対象のビジネスプロセスの重要度5143に基づいた値が設定される。要素1322は、親ノード全てが”FALSE”であるため、対象ノードが必ず”FALSE”の状態をとるように最大値が設定される。

0225

図30を用いて、条件付き確率表設定処理(S96)における、ビジネス指標ノードに設定する条件付き確率表133の例を説明する。ビジネス指標ノードの条件付き確率表133の要素1331の値は、ビジネス指標情報テーブル515のビジネス指標の重要度5152の値を”0”以上、かつ”1”未満の値に正規化して、設定される。

0226

要素1331は、親ノードのいずれかが”TRUE”である場合、対象のビジネス指標の重要度5152に基づいた値が設定される。要素1332は、親ノード全てが”FALSE”であるため、対象ノードが必ず”FALSE”の状態をとるように最大値が設定される。

0227

図22に戻る。条件付き確率表設定処理(S96)の終了後、リスク評価サーバ10の学習データ生成処理部128は、ビジネス指標リスク評価モデルとステップS92で得た情報とに基づいて、攻撃シナリオ情報から機械学習のための学習データを生成する処理を実行する(S97)。

0228

学習データ生成処理(S97)では、セキュリティナレッジ公開機関サーバ40等で配信する抽象化された攻撃シナリオ情報に沿った攻撃が、評価対象の情報処理システムに適用可能であるか判定し、攻撃の可能性のあるノードを侵害ノードとして抽出する。すなわち、学習データ生成処理部128は、攻撃シナリオ情報に基づく攻撃を、対象ビジネスを実現する情報処理システムに含まれる機器20に対して、実施できないか判定するために、ビジネス指標リスク評価モデルの最上位ノードから順に走査する。これにより、学習データ生成処理部128は、攻撃手順に沿って侵害され得るるノードを侵害ノードとして洗い出し、そのリストを学習データとする。

0229

図25を用いて、学習データ生成処理(S97)を説明する。図26に例示する、ビジネス指標リスク評価モデルM1と、図31に例示する、侵害ノードのリストとを適宜参照する。

0230

リスク評価サーバ10の学習データ生成処理部128は、攻撃シナリオ情報テーブル516から攻撃シナリオ情報を処理対象として1つ選択する(S130)。学習データ生成処理部128は、対象の攻撃シナリオ情報の攻撃手順5162に沿った攻撃経路がビジネス指標リスク評価モデルM1に存在するか探索するため、開始地点として探索位置pに攻撃起点を設定する(S131)。以下、学習データ生成処理部128を、学習処理部128と略記する場合がある。

0231

学習データ生成処理部128は、攻撃手順5162の最初の攻撃に対してステップS133〜S137の処理を実行し、攻撃手順5162の各工程が実行可能か判定する(S132)。図31の攻撃手順5162では、最初の工程である“脆弱性Va(の攻撃)”5171_1について判定する。

0232

学習データ生成処理部128は、探索位置pのノードを起点として、調査対象となるノードを特定する(S133)。探索対象を特定する処理S133では、探索位置pからのホップ数が”3”以下であるノードを探索対象とする。

0233

図26のビジネス指標リスク評価モデルM1では、探索位置pが攻撃起点ノードの場合、“脆弱性ノードVa1” 、“脆弱性ノードVa2” 、“脆弱性ノードVc1” 、“脆弱性ノードVd1”、“脆弱性ノードVb2”、“機器ノードN1”、“機器ノードN2”、“機器ノードN4”、“機器ノードN5”、“ビジネスプロセスノードBP1”、“ビジネス指標ノードBIa”が探索対象となる。

0234

学習データ生成処理部128は、探索位置pから直接攻撃できるノードだけでなく、間接的に攻撃可能なノードも探索対象としている。すなわち、学習データ生成処理部128は、ホップ数に基づいて探索対象となるノードを特定することで、間接的に攻撃できるノードも探索対象としている。

0235

セキュリティナレッジ公開機関サーバ40等で公開されている攻撃シナリオ情報は、個々の情報処理システムに則したものではなく、抽象化されている。したがって、公開されている攻撃シナリオ情報に示された攻撃手順通りでは、攻撃が成功しないケースが多い。このため、攻撃シナリオ情報そのままでは、学習データとして利用できないものが多くなってしまう。

0236

本実施例では、間接的に攻撃できるノードも探索対象に含めるため(S133)、攻撃手順通りでは学習できない攻撃シナリオであっても、学習データとして利用できる可能性が増す。

0237

学習データ生成処理部128は、探索対象のノードに攻撃標的となるものが存在するか探索する(S134)。図31の攻撃手順5162の最初の工程5171_1では、標的が“脆弱性Va1”となっている。そこで、学習データ生成処理部128は、探索対象ノードに脆弱性Va1を表すノードが存在するか探索する。これにより、学習データ生成処理部128は、“脆弱性ノードVa1”を発見する。

0238

続いて、学習データ生成処理部128は、探索対象のノードに攻撃標的となるものと同種のノードが存在するか探索する(S135)。ステップS135は、機器情報テーブル512の種別5124と、脆弱性情報テーブル513の種別5135と、ビジネスプロセス情報テーブル514の種別5144と、ビジネス指標情報テーブル515の種別5153とに基づいて実行される。

0239

図31の例で説明する。攻撃手順5162の最初の工程5171_1では、標的が“脆弱性Va”となっているため、学習データ生成処理部128は、探索対象ノードに脆弱性Vaと同種のノードがあるか探索する。これにより、“脆弱性ノードVa2”が発見される。なお、本実施例では、脆弱性Va1と脆弱性Va2とは同種の脆弱性である。

0240

本実施例の学習データ生成処理部128は、攻撃手順では標的となる脆弱性の種別と同一の種別である他の脆弱性や、攻撃手順では標的となるビジネス指標の種別と同一の種別である他のビジネス指標も、攻撃対象として扱う。

0241

セキュリティナレッジ公開機関サーバ40等で公開される脆弱性には、類似した特性を持つものが多く、ほぼ同様の攻撃手順でありながら異なる脆弱性を攻撃するケースが存在する。本実施例では、ステップS135を実行するため、1つの攻撃シナリオから派生する応用攻撃についても学習することができる。

0242

学習データ生成処理部128は、探索位置pのノードからステップS133とステップS134で発見されたノードに至る経路上のノードを、侵害ノードとしてリストアップする(S136)。複数の経路が存在する場合は、それぞれ異なるリストとする。

0243

図31の攻撃手順5162の最初の工程5171_1では、“攻撃起点ノード”から“脆弱性ノードVa1”へ至る経路上のノードと、”攻撃起点ノード”から“脆弱性ノードVa2”へ至る経路上のノードとが、それぞれリストアップされる。前者の経路からは、“脆弱性ノードVa1”(5171_1)、後者の経路からは、“脆弱性ノードVa2”(5171_2)が侵害ノードとして、それぞれ別のリストが生成される。

0244

このように、本実施例における学習データ生成処理部128は、侵入経路によって異なる侵害ノードリストを作成する(S136)。これは、後述する学習データ構造への変換処理(S140)において、それぞれの侵入経路を異なる学習データとするためである。これにより、後述する条件付き確率表学習処理S98において、全ての経路を学習することが可能になる。

0245

学習データ生成処理部128は、ステップS133とステップS134で発見されたノードのうち、脆弱性ノードが有る場合、その脆弱性を保有する機器20のノード全てを、次回の探索位置p’として格納する(S137)。

0246

図26の例では、ステップS133とステップS134でそれぞれ、脆弱性ノードVa1と脆弱性ノードVa2が発見されるため、その脆弱性を保有する機器ノードN1と機器ノードN4とが次回の探索位置p’として格納される。このようにステップS137では、次の攻撃工程の探索開始位置を更新する。

0247

以上、ステップS133〜ステップS137の処理により、図31の例では、攻撃手順5162の最初の攻撃工程、“脆弱性Va(の攻撃)”5171_1について実施可能か判定が完了した。

0248

次は、ステップS137で生成した次回の探索位置p’を探索位置pとし、次の攻撃(図31の例では、脆弱性Vbの攻撃51622)について、ステップS133〜ステップS137を実施し、判定を続ける。

0249

ステップS132の処理では、攻撃手順5162を構成する各攻撃工程に対して、順番にステップS133〜ステップS137を反復的に適用することで、順次攻撃が適用可能であるか判定していく。

0250

学習データ生成処理部128は、未処理ノードが有るか判定する(S138)。未処理ノードが有る場合(S138:YES)、ステップS132に戻る。未処理ノードが無い場合(S138:NO)、ステップS139へ移る。

0251

ステップS132の反復処理は、次回の探索位置p’が存在しない場合、あるいは、攻撃手順5162を構成する全ての攻撃工程に対して、処理を完了した場合に終了する(S138:NO)。

0252

学習データ生成処理部128は、攻撃シナリオが学習データとして利用可能であるか判定する(S139)。本実施例では、攻撃手順5162を構成する全ての攻撃工程に対して、ステップS133、またはステップS134の処理により1つ以上発見できた場合に、学習データとして利用可能と判断する。

0253

学習データ生成処理部128は、学習データとして利用可能な攻撃シナリオに関して、学習データ用の構造に変換する(S140)。図31の攻撃シナリオを学習データとした例を図32に示す。ベイジアンネットワークの学習データとしては、全ノードの状態を”TRUE”、”FALSE”、または”不明”の3値のいずれかで表す必要がある。本実施例では、ステップS136でリストアップした侵害ノードの状態の全てを”TRUE”とし、それ以外のノードの状態は不明とする。

0254

例えば、図31の侵害ノードリスト517_1から、図32のデータセット7001が生成される。図31の侵害ノードリスト517_2から、図32のデータセット7002が生成される。なお、図32の例では、学習データ生成処理部128は、侵害ノード以外のノードの状態を”不明”としたが、これに代えて”FALSE”としても良い。

0255

以上、ステップS131〜ステップS140の処理により、1つの攻撃シナリオから学習データを生成する処理を完了する。

0256

続いて、攻撃シナリオ情報テーブル516の中から、次の攻撃シナリオ情報を1つ選択し、ステップS131〜ステップS140を実施する(S130)。学習データ生成処理部128は、攻撃シナリオ情報テーブル516の全ての攻撃シナリオに対して、反復的にステップS130を実施する。実施の結果は、図32の学習データ700のレコードとして順次追加されていく。

0257

図22に戻る。学習データ生成処理(S97)の終了後、リスク評価サーバ10の条件付き確率表学習処理部129は、ビジネス指標リスク評価モデルとステップS97で得た学習データとに基づいて、条件付き確率表の値を学習により更新する処理を実行する(S98)。条件付き確率表学習処理(S98)は、ベイジアンネットワークに対応した所定の学習アルゴリズムを用いることで、各ノードの条件付き確率表の値を更新する。

0258

なお、学習データ生成処理(S97)では、全ての攻撃シナリオを区別せずに学習データとして利用している。これに代えて、攻撃シナリオの種別5163(攻撃シナリオ情報テーブル516由来)に基いて学習データを分類し、それぞれの種別毎に条件付き確率表を学習しても良い。この場合、攻撃シナリオの種別毎に対して、後述するリスク値計算処理S99を実行する。これにより、攻撃シナリオの種別5163毎の傾向を強く反映したリスク評価が可能となる。

0259

リスク評価サーバ10のリスク値計算部130は、ビジネス指標リスク評価モデルM1とステップS98で得た条件付き確率表とに基づいて、リスク値を計算する処理を実行する(S99)。リスク値計算処理(S99)では、ベイジアンネットワークにより計算された各ノードの周辺確率をリスク値としている。

0260

リスク値は、所定のアルゴリズムにより上述の周辺確率を変換し、確率以外の量的な形式で表示しても良い。あるいは、閾値を基準として上述の周辺確率をランク分けし、“高”、“低”等の質的な形式で表示しても良い。

0261

リスク評価サーバ10のビジネスリスク表示処理部123は、上述した一連の処理の結果であるビジネスリスク評価モデルM1、すなわち有向非循環グラフ構造を持つモデルM1を描画する画面データを生成し、この画面データと初期画面G1のビジネスプロセス図表示領域GP15に表示したビジネスプロセス図とをクライアント60へ送信する。

0262

図33を用いて、クライアント60で表示されるビジネスリスク表示画面G2の例を説明する。

0263

ビジネスリスク表示画面G2は、例えば、ビジネス情報領域GP20と、ビジネスプロセス図表示領域GP21と、ビジネス指標リスク評価モデル表示領域GP22と、戻るボタンGP23を含む。

0264

ビジネス情報領域GP20は、ビジネス名の情報を表示する。ビジネスプロセス図表示領域GP21は、アクティビティ図等のビジネスプロセスを表す図を表示する。ビジネス指標リスク評価モデル表示領域GP22は、有向非循環グラフ構造のビジネス指標リスク評価モデルM1を表示する。

0265

ビジネスプロセス図表示領域GP21とビジネス指標リスク評価モデル表示領域GP22とでは、リスク値計算部130により計算したリスク値の結果を閾値で判定する。所定値の閾値以上のリスク値を持つビジネスプロセスに関しては、図中の対応するオブジェクトを点滅させる等の表示方法で、ユーザへ注意を喚起する(GP24,GP25)。領域GP21に表示されるオブジェクト(S51)と、領域GP22に表示されるオブジェクト(BP1)とは対応しており、所定の閾値以上のリスク値を持つ。対応するオブジェクト同士が点滅等で強調表示されることで、ユーザは、ビジネスプロセス図表示領域とリスク評価モデル表示領域との対応関係を容易に把握でき、リスクの存在を確認することができる。なお、注意喚起の方法については限定しない。

0266

ビジネスプロセス図表示領域GP21とビジネス指標リスク評価モデル表示領域GP22では、表示されたビジネスプロセスに関係するオブジェクトがユーザにより押下されると、詳細情報GP26をポップアップにより表示する。

0267

詳細情報GP26では、ユーザの選択したビジネスプロセスからアークが接続されているビジネス指標ノードの情報と、ユーザの選択したビジネスプロセスに向けてアークが接続されている機器ノードの情報とを表示することができる。

0268

ここで、ビジネスプロセス図表示領域GP21中の符号S50〜S61の例を以下に記載する。

0269

S50:注文依頼、S51:受注、S52:在庫確認、S53:在庫有無の判定、S54:注文確定、S55:支払、S56:売上計上、S57:ピッキング、S58:入金、S59:集荷、S60:配達、S61:荷受

0270

詳細情報GP26の表示例を以下に記載する。

0271

「影響のある指標:収益への悪影響・・・0.75」「原因:脆弱性CVE−2015−0481機器:Eコマース用ウェブサーバ」

0272

このように構成される本実施例によれば、脆弱性がもたらす機器への影響に加えて、ビジネス指標への影響をも評価することができる。本実施例では、例えばビジネスリスク表示画面G2をシステム管理者や経営陣に提示することで、セキュリティの脆弱性への対応または未対応がビジネスに与える影響を容易に理解することができ、経営的視点での判断を支援できる。

0273

詳しくは、本実施例では、脆弱性、ビジネスプロセス、ビジネス指標の間の関係性を有向非循環グラフとして構築することで、脆弱性がビジネスに与える影響をリスク値として計算することが可能となる。

0274

本実施例では、リスク評価サーバ10が、ビジネスリスク表示画面G2をクライアント60に表示することにより、その画面G2を閲覧するユーザ等は、脆弱性が重要なビジネスプロセスに影響を与えているかどうかを例えばビジネス指標リスク評価モデル表示領域GP22から素早く把握し、対策すべき脆弱性の優先度を容易に把握することができ、効率的に脆弱性対策を行うことができる。

0275

本実施例では、攻撃シナリオ情報に記載された攻撃手順だけでなく、その攻撃手順に類似する攻撃手順まで考慮して学習データを生成することができる。したがって、本実施例では、現実の情報処理システムの実態に近い実践的な条件付き確率表を得ることができ、脆弱性がビジネスに与える影響をより正確に解析できる。

0276

本実施例によれば、脆弱性情報やシステム構成情報等のシステムレベルの情報に加え、ビジネス設計やビジネスの評価指標に基づいてリスクを評価し、ビジネスの展開状況に対応した有効性の高いリスク評価が可能となる。

0277

したがって、情報処理システムを運用している企業の経営者やシステム管理者や業務システムを開発したエンジニア(SE)に対して、脆弱性とビジネスの因果関係を、ビジネス設計やビジネスの評価指標を踏まえつつ、脆弱性対策の優先度を理解しやすく提示することができる。これにより、本実施例では、ユーザによる脆弱性対策の必要性や重要性の判断を支援できる。

0278

なお、本発明は上述の実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。

0279

実施例の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカードSDカード、DVD等の記録媒体に置くことができる。

0280

制御線情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。

0281

本発明は、例えば以下のように表現することもできる。

0282

表現1.
リスク評価の対象ビジネスのビジネスプロセス、ビジネス指標、前記ビジネスプロセスを実現する機能が実装されている機器、ネットワーク、および前記機器に関する脆弱性の各情報を互いに関連付けたデータベースを保持する記憶装置と、
前記ビジネスプロセス、前記ビジネス指標、前記機器、前記ネットワーク、および前記脆弱性の各情報を、グラフ理論に基づく所定アルゴリズムに適用して、機器とビジネスプロセスの関連に応じた脆弱性の影響関係について規定するリスク評価モデルを作成し、前記リスク評価モデルを、当該リスク評価モデルに対応する所定の推論アルゴリズムに適用して、前記対象ビジネスにおける脆弱性がビジネスにもたらすリスクを評価し、当該評価結果を所定装置に出力する演算装置と、
を備えることを特徴とするリスク評価システム。

0283

表現2.
前記演算装置は、
前記ビジネスプロセス、前記ビジネス指標、前記機器、前記ネットワーク、および前記脆弱性を、グラフ理論に基づく所定アルゴリズムに適用して、機器とビジネスプロセスの関連に応じた脆弱性の影響関係について規定する有向非循環グラフを、前記リスク評価モデルとして作成し、前記有向非循環グラフをベイジアンネットワークの推論アルゴリズムに適用して、前記対象ビジネスの脆弱性がもたらすリスクを評価し、当該評価結果を所定装置に出力するものである、
ことを特徴とする表現1に記載のリスク評価システム。

0284

表現3.
前記演算装置は、
前記ビジネスプロセス、前記ビジネス指標、前記機器、前記ネットワーク、および前記脆弱性を、グラフ理論に基づく所定アルゴリズムに適用して、前記ビジネスプロセス、前記ビジネス指標、前記機器、前記脆弱性をノードとし、前記ネットワーク情報が示す前記対象システムのネットワーク構成に基づいて、前記機器と前記脆弱性との間をアークで接続し、前記ビジネスプロセス情報が示す前記ビジネスプロセスと前記機器の関係に基づいて、前記機器と前記ビジネスプロセスとの間をアークで接続した有向非循環グラフを、前記リスク評価モデルとして作成し、前記有向非循環グラフをベイジアンネットワークの推論アルゴリズムに適用して、前記対象ビジネスの脆弱性がもたらすリスクを評価し、当該評価結果を所定装置に出力するものである、
ことを特徴とする表現1に記載のリスク評価システム。

0285

表現4.
前記記憶装置は、
前記データベースにおいて、攻撃シナリオに関する情報を更に記憶するものであり、
前記演算装置は、
前記ビジネス指標、前記機器、前記ネットワーク、および前記脆弱性を、グラフ理論に基づく所定アルゴリズムに適用して、機器とビジネスプロセスの関連に応じた脆弱性の影響関係について規定する有向非循環グラフを、前記リスク評価モデルとして作成し、
前記攻撃シナリオを所定のアルゴリズムに適用して、学習データとし、前記学習データと前記有向非循環グラフをベイジアンネットワークの学習アルゴリズムに適用して、ベイジアンネットワークの条件付き確率表を更新し、前記有向非循環グラフをベイジアンネットワークの推論アルゴリズムに適用して、前記対象ビジネスの脆弱性がもたらすリスクを評価し、当該評価結果を所定装置に出力するものである、
ことを特徴とする表現2に記載のリスク評価システム。

0286

表現5.
前記演算装置は、
前記ビジネス指標、前記機器、前記ネットワーク、および前記脆弱性を、グラフ理論に基づく所定アルゴリズムに適用して、機器とビジネスプロセスの関連に応じた脆弱性の影響関係について規定する有向非循環グラフを、前記リスク評価モデルとして作成し、
前記攻撃シナリオに沿って前記有向非循環グラフの最上位ノードから走査することで前記対象ビジネスにおいて攻撃され得る侵害ノードと侵害経路を判定し、前記侵害ノードを学習データとし、
前記学習データと前記有向非循環グラフをベイジアンネットワークの学習アルゴリズムに適用して、ベイジアンネットワークの条件付き確率表を更新し、前記有向非循環グラフをベイジアンネットワークの推論アルゴリズムに適用して、前記対象ビジネスの脆弱性がもたらすリスクを評価し、当該評価結果を所定装置に出力するものである、
ことを特徴とする表現4に記載のリスク評価システム。

0287

表現6.
前記演算装置は、
前記ビジネス指標、前記機器、前記ネットワーク、および前記脆弱性を、グラフ理論に基づく所定アルゴリズムに適用して、機器とビジネスプロセスの関連に応じた脆弱性の影響関係について規定する有向非循環グラフを、前記リスク評価モデルとして作成し、
前記機器の種別が同じ前記機器は同一とみなす条件と、前記脆弱性の種別が同じ前記脆弱性は同一とみなす条件と、前記ビジネスプロセスの種別が同じ前記ビジネスプロセスは同一とみなす条件と、前記ビジネス指標の種別が同じ前記ビジネス指標は同一とみなす条件とを満たすように、前記攻撃シナリオに沿って前記有向非循環グラフの最上位ノードから走査することで前記対象ビジネスにおいて攻撃され得る侵害ノードと侵害経路を判定し、前記侵害ノードを学習データとし、
前記学習データと前記有向非循環グラフをベイジアンネットワークの学習アルゴリズムに適用して、ベイジアンネットワークの条件付き確率表を更新し、前記有向非循環グラフをベイジアンネットワークの推論アルゴリズムに適用して、前記対象ビジネスの脆弱性がもたらすリスクを評価し、当該評価結果を所定装置に出力するものである、
ことを特徴とする表現5に記載のリスク評価システム。

0288

表現7.
前記演算装置は、
前記ビジネス指標、前記機器、前記ネットワーク、および前記脆弱性を、グラフ理論に基づく所定アルゴリズムに適用して、機器とビジネスプロセスの関連に応じた脆弱性の影響関係について規定する有向非循環グラフを、前記リスク評価モデルとして作成し、
前記攻撃シナリオに沿って前記有向非循環グラフの最上位ノードから走査する際に指定された回数だけノードを飛ばしても良いこととする条件を満たすように、前記攻撃シナリオに沿って前記有向非循環グラフの最上位ノードから走査することで前記対象ビジネスにおいて攻撃され得る侵害ノードと侵害経路を判定し、前記侵害ノードを学習データとし、
前記学習データと前記有向非循環グラフをベイジアンネットワークの学習アルゴリズムに適用して、ベイジアンネットワークの条件付き確率表を更新し、前記有向非循環グラフをベイジアンネットワークの推論アルゴリズムに適用して、前記対象ビジネスの脆弱性がもたらすリスクを評価し、当該評価結果を所定装置に出力するものである、
ことを特徴とする表現5に記載のリスク評価システム。

0289

表現8.
前記演算装置は、
前記ビジネス指標、前記機器、前記ネットワーク、および前記脆弱性を、グラフ理論に基づく所定アルゴリズムに適用して、機器とビジネスプロセスの関連に応じた脆弱性の影響関係について規定する有向非循環グラフを、前記リスク評価モデルとして作成し、
前記攻撃シナリオを前記攻撃シナリオの種別毎に所定のアルゴリズムに適用して、学習データとし、前記攻撃シナリオの種別毎に前記学習データと前記有向非循環グラフをベイジアンネットワークの学習アルゴリズムに適用して、前記攻撃シナリオの種別毎にベイジアンネットワークの条件付き確率表を更新し、前記攻撃シナリオの種別毎に前記有向非循環グラフをベイジアンネットワークの推論アルゴリズムに適用して、前記攻撃シナリオの種別毎に前記対象ビジネスの脆弱性がもたらすリスクを評価し、当該評価結果を所定装置に出力するものである、
ことを特徴とする表現4に記載のリスク評価システム。

実施例

0290

表現9.
コンピュータを、所定のビジネスに関する情報処理を実行する情報処理システムの脆弱性に関するリスクを評価する脆弱性リスク評価装置として機能させるコンピュータプログラムであって、
前記情報処理システムは少なくとも一つの機器を含んでおり、
前記コンピュータに、
前記情報処理システムの構成に関するシステム構成情報と、情報セキュリティに関する脆弱性情報とに基づいて、前記機器の脆弱性を検出する脆弱性検出部と、
前記検出された脆弱性を示す脆弱性ノードと前記機器を示す機器ノードとを対応付けて配置することで、前記検出された脆弱性が前記機器に生じさせうるリスクを評価するための機器リスク評価モデルを生成する機器リスク評価モデル生成部と、
前記所定のビジネスに関する情報処理に含まれるビジネス処理に関するビジネス関連ノードを前記機器リスク評価モデルに追加配置し、前記ビジネス関連ノードと前記機器ノードとを対応付けることで、前記検出された脆弱性が前記所定のビジネス処理に生じさせうるリスクを評価するためのビジネス関連リスク評価モデルを生成するビジネス関連リスク評価モデル生成部と、
を実現させるコンピュータプログラム。

0291

1:脆弱性リスク評価システム、2,20:管理対象機器、3,60:クライアント端末、10:リスク評価サーバ、30:情報収集サーバ、40:セキュリティナレッジ公開機関サーバ、50:データベース

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ