図面 (/)

技術 セキュリティシステム、セキュリティオペレーション方法、及び統括インシデント管理装置

出願人 株式会社日立製作所学校法人慶應義塾
発明者 中村修砂原秀樹近藤賢郎藤井康広鬼頭哲郎藤井翔太重本倫宏
出願日 2018年1月29日 (2年5ヶ月経過) 出願番号 2018-012789
公開日 2019年8月8日 (10ヶ月経過) 公開番号 2019-133258
状態 未査定
技術分野 ストアードプログラムにおける機密保護 計算機・データ通信
主要キーワード 現場システム 対策立案 処理依頼情報 フォレンジック 部分開 専用ハードウェア回路 ケーパビリティ情報 影響分析
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2019年8月8日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (12)

課題

インシデント発生時におけるインシデント対応処理を迅速に実行できるようにしたセキュリティシステムセキュリティオペレーション方法及び統括インシデント管理装置を提供する。

解決手段

セキュリティを管理し、インシデント対応処理を実行可能な1以上のインシデント管理装置105と、統括インシデント管理装置101とを含むセキュリティシステム1において、インシデント管理装置105は、インシデントの発生を検知した場合に、インシデントの発生を統括インシデント管理装置101に通知する通知部を備える。統括インシデント管理装置101は、インシデント管理装置105からインシデントの発生の通知を受けた場合に、インシデントに対応するインシデント対応処理の実行要求を、他のインシデント管理装置105に送信する処理実行要求部を備える。他のインシデント管理装置105は、インシデント対応処理を実行する処理実行部を備える。

概要

背景

従来、或るシステム内においてセキュリティ等に関するインシデントが発生した場合に、インシデントの発生をそのシステム内に設置されたセキュリティを担当するインシデント管理装置通知するようにしている。このようなインシデント管理装置においては、例えば、インシデント管理装置の管理者等が、発生したインシデントに対応する処理(インシデント対応処理:アラート分析、判断、対処等)の実行を遂行することが行われる。

例えば、インシデントに対処しようとする場合には、管理者が分析処理に必要なインシデントが発生した装置におけるログデータ等を、ログデータ等を管理している他のシステムから取得する手配を行って取得し、取得したログデータ等を、その分析処理を行うシステム等に送信して実行させ、その分析結果に基づいて、インシデントに対処する等の管理者による種々の処理が発生する。

例えば、ネットワークシステムのセキュリティに関する技術として、ネットワークシステムへの不正侵入防御するためのセキュリティシステムが知られている(例えば、特許文献1参照)。

概要

インシデント発生時におけるインシデント対応処理を迅速に実行できるようにしたセキュリティシステム、セキュリティオペレーション方法及び統括インシデント管理装置を提供する。セキュリティを管理し、インシデント対応処理を実行可能な1以上のインシデント管理装置105と、統括インシデント管理装置101とを含むセキュリティシステム1において、インシデント管理装置105は、インシデントの発生を検知した場合に、インシデントの発生を統括インシデント管理装置101に通知する通知部を備える。統括インシデント管理装置101は、インシデント管理装置105からインシデントの発生の通知を受けた場合に、インシデントに対応するインシデント対応処理の実行要求を、他のインシデント管理装置105に送信する処理実行要求部を備える。他のインシデント管理装置105は、インシデント対応処理を実行する処理実行部を備える。

目的

本発明は、上記事情に鑑みなされたものであり、その目的は、インシデント発生時におけるインシデント対応処理を迅速に実行することのできる技術を提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

所定の管理対象システム内のセキュリティを管理する1以上のインシデント管理装置と、前記1以上のインシデント管理装置を統括する統括インシデント管理装置と、インシデントに対応する処理であるインシデント対応処理を実行可能な1以上のレスポンス処理装置とを含むセキュリティシステムであって、前記インシデント管理装置は、インシデントの発生を検知した場合に、前記インシデントの発生を前記統括インシデント管理装置に通知する通知部を備え、前記統括インシデント管理装置は、前記インシデント管理装置からインシデントの発生の通知を受けた場合に、前記インシデントに対応するインシデント対応処理の実行要求を、前記レスポンス処理装置に送信する処理実行要求部を備え、前記レスポンス処理装置は、前記インシデント対応処理を実行する処理実行部を備えるセキュリティシステム。

請求項2

前記統括インシデント管理装置は、発生した前記インシデントに対応する実行すべきインシデント対応処理を決定する処理決定部と、前記決定された前記インシデント対応処理を実行させる前記レスポンス処理装置を決定する実行装置決定部と、をさらに有し、前記処理実行要求部は、前記決定された前記レスポンス処理装置に、前記インシデント対応処理を実行させる処理要求を送信する請求項1に記載のセキュリティシステム。

請求項3

前記統括インシデント管理装置は、前記レスポンス処理装置の実行能力を有するインシデント対応処理を示すケーパビリティ情報を記憶するケーパビリティ情報記憶部をさらに備え、前記実行装置決定部は、前記ケーパビリティ情報に基づいて、前記インシデントに対応する前記インシデント対応処理を実行させるレスポンス処理装置を決定する請求項2に記載のセキュリティシステム。

請求項4

前記統括インシデント管理装置は、前記インシデント管理装置の所有主体と、前記レスポンス処理装置の所有主体との間の情報開示に関する取り決めの情報である情報開示情報を記憶する情報開示情報記憶部をさらに備え、前記実行装置決定部は、前記情報開示情報記憶部の前記情報開示情報に基づいて、前記インシデント対応処理を実行させる前記レスポンス処理装置を決定する請求項3に記載のセキュリティシステム。

請求項5

前記統括インシデント管理装置は、前記決定された前記インシデント対応処理を実行する能力を有する前記レスポンス処理装置に対して前記インシデント対応処理の実行可否を問い合わせる実行可否確認部をさらに有し、前記実行装置決定部は、前記インシデント対応処理の実行が可であるレスポンス処理装置を、前記インシデント対応処理を実行させる前記レスポンス処理装置に決定する請求項2から請求項4のいずれか一項に記載のセキュリティシステム。

請求項6

前記インシデント管理装置は、前記インシデント対応処理の少なくとも一部を実行可能な、処理実行部をさらに有し、前記処理実行部は、前記インシデントに対応する実行すべきインシデント対応処理のうちの実行可能な処理を実行し、前記統括インシデント管理装置の前記処理実行要求部は、前記インシデント対応処理のうちの実行不可能な処理について、前記レスポンス処理装置に実行要求を送信する請求項1から請求項5のいずれか一項に記載のセキュリティシステム。

請求項7

前記レスポンス処理装置は、前記インシデント管理処理の実行結果を、前記統括インシデント管理装置に送信する実行結果送信部をさらに有する請求項1から請求項6のいずれか一項に記載のセキュリティシステム。

請求項8

前記統括インシデント管理装置は、前記実行要求を送信した全ての前記レスポンス処理装置からの実行結果に基づいて、前記インシデントに関連する総合的な実行結果を表示させる結果表示制御部をさらに有する請求項7に記載のセキュリティシステム。

請求項9

前記統括インシデント管理装置は、前記実行要求を行った前記インシデント対応処理に必要なデータを、前記データを管理している装置から前記統括インシデント管理装置を経由せずに前記実行要求先の前記レスポンス処理装置に送信させるように制御する送信制御部をさらに有する請求項1から請求項8のいずれか一項に記載のセキュリティシステム。

請求項10

前記統括インシデント管理装置は、前記レスポンス処理装置にアクセスするためのアクセス情報を記憶するアクセス情報記憶部をさらに有し、前記レスポンス処理装置の少なくとも1つは、前記インシデント対応処理を実行することにより、インシデントに関連する他のシステムのレスポンス処理装置を検出可能な関連システム検出部と、前記検出された他のシステムのレスポンス処理装置にアクセスするためのアクセス情報を前記統括インシデント管理装置に送信するアクセス情報送信部とをさらに有し、前記統括インシデント管理装置は、送信された前記アクセス情報を前記アクセス情報記憶部に登録するアクセス情報追加登録部をさらに有する請求項1から請求項9のいずれか一項に記載のセキュリティシステム。

請求項11

所定の管理対象システム内のセキュリティを管理する1以上のインシデント管理装置と、前記1以上のインシデント管理装置を統括する統括インシデント管理装置と、インシデントに対応する処理であるインシデント対応処理を実行可能な1以上のレスポンス処理装置とを含むセキュリティシステムによるセキュリティオペレーション方法であって、インシデントの発生を検知した場合に、前記インシデントの発生を前記統括インシデント管理装置に通知し、前記統括インシデント管理装置は、前記インシデント管理装置からインシデントの発生の通知を受けた場合に、前記インシデントに対応するインシデント対応処理の実行要求を、前記レスポンス処理装置に送信し、前記レスポンス処理装置は、前記インシデント対応処理の実行要求を受けた場合に、前記インシデント対応処理を実行するセキュリティオペレーション方法。

請求項12

前記統括インシデント管理装置は、発生した前記インシデントに対応する実行すべきインシデント対応処理を決定し、前記決定された前記インシデント対応処理を実行させる前記レスポンス処理装置を決定し、前記決定された前記レスポンス処理装置に、前記インシデント対応処理を実行させる処理要求を送信する請求項11に記載のセキュリティオペレーション方法。

請求項13

前記統括インシデント管理装置は、前記実行要求を行った前記インシデント対応処理に必要なデータを、前記データを管理している装置から前記統括インシデント管理装置を経由せずに前記実行要求先の前記レスポンス処理装置に送信させるように制御する請求項11又は請求項12に記載のセキュリティオペレーション方法。

請求項14

前記レスポンス処理装置の少なくとも1つは、前記インシデント対応処理を実行することにより、インシデントに関連する他のシステムのレスポンス処理装置を検出し、前記検出された他のシステムのレスポンス処理装置にアクセスするためのアクセス情報を前記統括インシデント管理装置に送信し前記統括インシデント管理装置は、送信された前記アクセス情報を前記レスポンス処理装置にアクセスするためのアクセス情報を記憶するアクセス情報記憶部に記憶する請求項11から請求項13のいずれか一項に記載のセキュリティオペレーション方法。

請求項15

インシデントに対応する処理であるインシデント対応処理の実行を管理する統括インシデント管理装置であって、インシデントの発生の通知を受けた場合に、発生した前記インシデントに対応する実行すべきインシデント対応処理を決定する処理決定部と、前記決定された前記インシデント対応処理の実行を実行させるレスポンス処理装置を決定する実行装置決定部と、前記インシデントに対応するインシデント対応処理の実行要求を、前記レスポンス処理装置に送信する処理実行要求部と、を備える統括インシデント管理装置。

技術分野

0001

本発明は、インシデントの発生時におけるインシデント対応処理(レスポンス)の実行制御の技術に関する。

背景技術

0002

従来、或るシステム内においてセキュリティ等に関するインシデントが発生した場合に、インシデントの発生をそのシステム内に設置されたセキュリティを担当するインシデント管理装置通知するようにしている。このようなインシデント管理装置においては、例えば、インシデント管理装置の管理者等が、発生したインシデントに対応する処理(インシデント対応処理:アラート分析、判断、対処等)の実行を遂行することが行われる。

0003

例えば、インシデントに対処しようとする場合には、管理者が分析処理に必要なインシデントが発生した装置におけるログデータ等を、ログデータ等を管理している他のシステムから取得する手配を行って取得し、取得したログデータ等を、その分析処理を行うシステム等に送信して実行させ、その分析結果に基づいて、インシデントに対処する等の管理者による種々の処理が発生する。

0004

例えば、ネットワークシステムのセキュリティに関する技術として、ネットワークシステムへの不正侵入防御するためのセキュリティシステムが知られている(例えば、特許文献1参照)。

先行技術

0005

国際公開第2016/031101号

発明が解決しようとする課題

0006

近年、サイバー攻撃が高度化・大規模化しており、或るシステム内のインシデント管理装置及びその管理者によって対処しようとすると、インシデント管理装置やその管理者による対処がボトルネックとなりやすく、サイバー攻撃に起因するインシデントの発生に迅速且つ適切に対処することが困難となっている。

0007

本発明は、上記事情に鑑みなされたものであり、その目的は、インシデント発生時におけるインシデント対応処理を迅速に実行することのできる技術を提供することにある。

課題を解決するための手段

0008

上記目的を達成するため、一観点に係るセキュリティシステムは、所定の管理対象システム内のセキュリティを管理する1以上のインシデント管理装置と、1以上のインシデント管理装置を統括する統括インシデント管理装置と、インシデントに対応する処理であるインシデント対応処理を実行可能な1以上のレスポンス処理装置とを含むセキュリティシステムであって、インシデント管理装置は、インシデントの発生を検知した場合に、インシデントの発生を統括インシデント管理装置に通知する通知部を備え、統括インシデント管理装置は、インシデント管理装置からインシデントの発生の通知を受けた場合に、インシデントに対応するインシデント対応処理の実行要求を、レスポンス処理装置に送信する処理実行要求部を備え、レスポンス処理装置は、インシデント対応処理を実行する処理実行部を備える。

発明の効果

0009

本発明によれば、インシデント発生時におけるインシデント対応処理を迅速に実行することができる。

図面の簡単な説明

0010

図1は、一実施形態に係るセキュリティシステムの全体構成図である。
図2は、一実施形態に係る統括インシデント管理装置の構成図である。
図3は、一実施形態に係るインシデント対応処理の実行手順を示す図である。
図4は、一実施形態に係る処理依頼情報の一例を示す図である。
図5は、一実施形態に係るアドレス管理テーブルの構成図である。
図6は、一実施形態に係る情報開示契約管理表の構成図である。
図7は、一実施形態に係るケーパビリティ一覧テーブルの構成図である。
図8は、一実施形態に係るインシデント発生時処理のフローチャートである。
図9は、一実施形態に係るインシデント発生時処理のステップS308の詳細なフローチャートである。
図10は、一実施形態に係るインシデント発生時処理のステップS311の詳細なフローチャートである。
図11は、変形例に係るインシデント発生時処理のフローチャートである。

実施例

0011

実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。

0012

以下の説明では、「AAAテーブル」の表現にて情報を説明することがあるが、情報は、どのようなデータ構造で表現されていてもよい。すなわち、情報がデータ構造に依存しないことを示すために、「AAAテーブル」を「AAA情報」と呼ぶことができる。

0013

また、以下の説明では、「プログラム」を主語として処理を説明する場合があるが、プログラムは、演算装置プロセッサ、例えばCPU(Central Processing Unit))によって実行されることで、定められた処理を、適宜に記憶部(例えばメモリ)及び/又はインターフェースデバイス(例えば通信ポート)等を用いながら行うため、処理の主語が、演算装置(或いは、プロセッサ、そのプロセッサを有する装置又はシステム)とされてもよい。また、演算装置は、処理の一部または全部を行う専用ハードウェア回路を含んでもよい。プログラムは、プログラムソースから計算機のような装置にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバまたは計算機が読み取り可能な記憶メディアであってもよい。また、以下の説明において、2以上のプログラムが1つのプログラムとして実現されてもよいし、1つのプログラムが2以上のプログラムとして実現されてもよい。

0014

まず、一実施形態について説明する。

0015

図1は、一実施形態に係るセキュリティシステムの全体構成図である。

0016

セキュリティシステム1は、複数の現場システム10(10A,10B,10X)を備える。現場システム10A,10B,10Xは、ネットワーク40を介して接続されている。ネットワーク40は、LAN(Local Area Network)、WAN(Wide Area Networm)等の通信路である。

0017

現場システム10A(現場システムA)は、ファイヤーウォール100と、統括インシデント管理装置101と、サーバ102と、SIEM(Security Information Event Management)103と、端末104とを備える。

0018

ファイヤーウォール100は、現場システムAのネットワーク40側の最先端部に配置され、ネットワーク40から現場システム10A内への通信可否と、現場システム10A内からネットワーク40への通信の可否を制御する。

0019

端末104は、ユーザの指示に基づいて各種処理を実行する。サーバ102は、端末104に対して各種機能を提供する。また、サーバ102は、例えば、各端末104による通信のログや、処理のログを記憶する。SIEM103は、サーバ102におけるログ等を取得し、ログ等を分析することにより、セキュリティに関するインシデント(セキュリティインシデント:単にインシデントともいう)の発生を検出し、インシデントの発生を示すアラートを統括インシデント管理装置101に出力する。

0020

統括インシデント管理装置101は、自身の所属する現場システム10Aからのアラートを受領した場合、または、他の現場システム10のインシデント管理装置105からのアラートを受領した場合に、アラートに対応するインシデントに対応する処理(インシデント対応処理)の実行を統括制御する。

0021

現場システム10B,10Xは、ファイヤーウォール100と、サーバ102と、SIEM(Security Information Event Management)103と、端末104と、インシデント処理装置の一例としてのインシデント管理装置105とを備える。なお、現場システム10Aと同様な構成については、同一の符号を付している。

0022

インシデント管理装置105は、自身の所属する現場システム10のSIEM103からのアラートを受領した場合に、統括インシデント管理装置101にアラートの種別と、アラートが示すインシデントに対応するインシデント対応処理の実行手順(実行内容)を通知する。なお、インシデント管理装置105は、インシデント対応処理のうち、自身が実行できる処理を実行し、自身が実行できない処理の実行手順のみを統括インシデント管理装置101に通知するようにしてもよい。

0023

次に、統括インシデント管理装置101及びインシデント管理装置105について説明する。

0024

図2は、一実施形態に係る統括インシデント管理装置の構成図である。

0025

統括インシデント管理装置101は、例えば、PC(Personal Computer)、又はサーバ装置によって構成されており、演算装置200と、メモリ201と、記憶装置202とを備える。メモリ201は、ケーパビリティ情報記憶部、情報開示情報記憶部、及びアクセス情報記憶部の一例である。

0026

演算装置200は、例えば、1以上のプロセッサ(CPU(Central Processing Unit))を備え、メモリ201に格納されているプログラムに従って各種処理を実行する。

0027

記憶装置202は、例えば、ハードディスクフラッシュメモリなどであり、演算装置200で実行されるプログラムや、演算装置200に利用されるデータを記憶する。

0028

メモリ201は、例えば、RAM(RANDOACCESMEMORY)であり、演算装置200で実行されるプログラムや、必要な情報を記憶する。本実施形態では、メモリ201は、状況分析プログラム211と、レスポンス決定プログラム212と、対応主体決定プログラム213と、認証認可プログラム214と、レスポンス実行プログラム215と、アドレス管理テーブル216と、情報開示契約管理表217と、ケーパビリティ一覧テーブル218とを記憶する。

0029

状況分析プログラム211は、演算装置200に実行されることにより機能部を構成し、受領したアラートが、誤報であるか否かを判断する。レスポンス決定プログラム212は、演算装置200に実行されることにより機能部(処理決定部の一例)を構成し、アラートが示すインシデントに対して実行するインシデント対応処理(レスポンス)を決定する。

0030

対応主体決定プログラム213は、演算装置200に実行されることにより機能部(実行装置決定部、実行可否確認部の一例)を構成し、インシデント対応処理を実行する装置(本実施形態では、例えば、インシデント管理装置)を決定する。認証認可プログラム214は、演算装置200に実行されることにより機能部(処理実行要求部、送信制御部及び結果表示制御部の一例)を構成し、決定された装置に対して、インシデント対応処理の実行要求を送信する。レスポンス実行プログラム215は、演算装置200に実行されることにより機能部(処理実行部の一例)を構成し、インシデント対応処理の少なくとも1つを実行する。

0031

インシデント管理装置105は、統括インシデント管理装置101と同様に、演算装置200と、メモリ201と、記憶装置202とを備える。メモリ201には、レスポンス実行プログラム215が格納されていればよい。なお、インシデント管理装置105のレスポンス実行プログラム215は、演算装置200に実行されることにより機能部(通知部及び実行結果送信部の一例)を構成し、統括インシデント管理装置101におけるレスポンス実行プログラム215の機能に加えて、自身の所属する現場システム10のSIEM103からのアラートを受領した場合に、統括インシデント管理装置101にアラートの種別と、アラートが示すインシデントに対応するインシデント対応処理の実行手順(実行内容)を通知する機能を有する。

0032

次に、インシデント対応処理及びその実行手順について説明する。

0033

図3は、一実施形態に係るインシデント対応処理の実行手順を示す図である。図3は、インシデントとして、例えば、端末104のウイルス感染、ファイヤーウォール100における不正パケットの流入、ファイヤーウォール100における不正パケットの流出、及びDos攻撃の発生を想定した場合におけるインシデント対応処理の実行手順を示している。なお、いずれか1つのインシデントの場合には、これら実行手順のうちの一部が選択されて実行されることとなる。

0034

第1段階の初期対応におけるインシデント対応処理としては、例えば、アラート内容確認ログ分析PCAP(Packet Capture)分析がある。第2段階の方針決定におけるインシデント対応処理としては、例えば、サービス停止範囲決定、関係者召集がある。第3段階の一次対処におけるインシデント対応処理としては、例えば、証拠収集サービス一時停止がある。第4段階の詳細分析におけるインシデント対応処理としては、例えば、侵入手口の分析、マルウェア分析フォレンジック、業務影響分析対策立案がある。第5段階の根本対策におけるインシデント対応処理としては、例えば、復旧更新がある。第6段階の報告におけるインシデント対応処理としては、例えば、レポート作成、社内外に報告がある。

0035

次に、処理依頼情報について説明する。
図4は、一実施形態に係る処理依頼情報の一例を示す図である。

0036

処理依頼情報は、統括インシデント管理装置101からインシデント対応処理を実行する装置として決定されたインシデント管理装置105に送信される情報である。依頼処理情報には、依頼するインシデント対応処理名が格納されている。例えば、1番目の依頼処理情報は、インシデント対応処理として、侵入手口の分析を依頼する場合の例を示している。

0037

次に、アドレス管理テーブル216について詳細に説明する。

0038

図5は、一実施形態に係るアドレス管理テーブルの構成図である。

0039

アドレス管理テーブル216は、把握している現場システムのインシデント管理装置毎に対応するエントリを記憶する。アドレス管理テーブル216のエントリは、エントリ番号2161と、組織名2162と、インシデント管理装置のアドレス2163とのフィールドを含む。

0040

エントリ番号2161には、エントリの番号が格納される。組織名2162には、エントリに対応するインシデント管理装置105を含む現場システム10を管理する主体である組織の名前(組織名)が格納される。インシデント管理装置のアドレス2163には、エントリに対応するインシデント管理装置105のアドレス(例えば、IPアドレス)が格納される。

0041

次に、情報開示契約管理表217について詳細に説明する。

0042

図6は、一実施形態に係る情報開示契約管理表の構成図である。

0043

情報開示契約管理表217は、縦軸方向に情報開示元の組織名が並び、横軸方向に情報開示先の組織名が並び、その交点には、その交点に対応する情報開示元と、情報開示先との間の情報開示に関する契約の内容が格納されている。例えば、企業Aから企業Bに開示する場合には、個人情報を削除した部分開示が契約で許容されていることを示し、企業Aから団体1に開示する場合には、不審ファイルのみ開示することが契約で許容されていることを示す。

0044

次に、ケーパビリティ一覧テーブル218について詳細に説明する。

0045

図7は、一実施形態に係るケーパビリティ一覧テーブルの構成図である。

0046

ケーパビリティ一覧テーブル218は、各組織が管理するシステムにおいて実行する能力を有するインシデント対応処理(セキュリティオペレーションに相当)を管理するテーブルであり、各組織毎のエントリを記憶する。ケーパビリティ一覧テーブル218のエントリは、エントリ番号2181と、組織名2182と、実行可能なセキュリティオペレーション2183とを含む。

0047

エントリ番号2181には、エントリの番号が格納される。組織名2182には、エントリに対応する組織の名前(組織名)が格納される。実行可能なセキュリティオペレーション2183には、エントリに対応する組織の現場システム10(厳密には、インシデント管理装置105)において能力的に実行可能なセキュリティオペレーションが格納される。

0048

次に、セキュリティシステム1の動作について説明する。

0049

図8は、一実施形態に係るインシデント発生時処理のフローチャートである。

0050

現場システム10においてSIEM103は、インシデントの発生を検出すると、インシデントの発生を示すアラートを、その現場システム10内のインシデント管理装置105に対して送信する。このアラートをインシデント管理装置105が受領すると(ステップS300)、アラートを受領したインシデント管理装置105は、初期対応に対応する自身が実行可能なインシデント対応処理を実行する(ステップS301)。

0051

インシデント管理装置105は、実行した初期対応のインシデント対応処理によって、インシデントの発生を示すアラートが解消されたか否か、すなわち、インシデントが解決されたか否かを判定する(ステップS302)。この結果、インシデントが解決された場合(ステップS302:YES)には、これ以上の処理を実行する必要がないので、インシデント管理装置105は、インシデント発生時処理を終了する。

0052

一方、インシデントが解決されていない場合(ステップS302:NO)には、インシデント管理装置105のレスポンス実行プログラム215は、アラートの種類と、アラートが示すインシデントに対応するインシデント対応処理のうち、実行していないインシデント対応処理の内容とを含むインシデント情報を統括インシデント管理装置101に送信する(ステップS304)。

0053

統括インシデント管理装置101の状況分析プログラム211(正確には、状況分析プログラム211を実行する演算装置200)は、受信したインシデント情報に基づいて、状況分析を行う(ステップS304)。ここで、状況分析としては、アラートが、誤報であるか否かを分析するようにしてもよい。なお、誤報と判定した場合には、状況分析プログラム211は、直ちに処理を終了してもよい。

0054

次いで、統括インシデント管理装置101のレスポンス決定プログラム212は、受信したインシデント情報のアラートの種類に基づいて、実行するインシデント対応処理(レスポンス)の実行手順(実行内容)を決定する(ステップS308)。

0055

次いで、統括インシデント管理装置101の対応主体決定プログラム213が、決定したインシデント対応処理を実際に実行可能なインシデント管理装置105を募集する通知(募集通知)を送信する(ステップS309)。

0056

具体的には、まず、対応主体決定プログラム213は、ケーパビリティ一覧テーブル218を参照し、決定したインシデント対応処理を能力的に実行可能なインシデント管理装置を有する1以上の組織を特定する。次いで、対応主体決定プログラム213は、特定した組織と、インシデントを発生させたインシデント管理装置105が所属する現場システムの所有主体である組織との間で、決定したインシデント対応処理で必要な情報の受け渡しが可能な情報開示契約が存在するか否かを、情報開示契約管理表217を参照して確認し、特定した組織の中で、必要な情報の受け渡しが可能な情報開示契約が存在する1以上の組織を選択する。次いで、対応主体決定プログラム213は、アドレス管理テーブル216を参照し、選択した1以上の組織のインシデント管理装置105のアドレスを取得する。次いで、対応主体決定プログラム213は、取得したすべてのアドレス宛に、決定したインシデント対応処理の実行が可能であるか否かを確認する募集通知を送信する。決定したインシデント対応処理が複数ある場合には、対応主体決定プログラム213は、それぞれの処理に対して上記同様な処理を行う。

0057

なお、募集通知を受け取ったインシデント管理装置105は、インシデント対応処理を実行可能であれば、その旨を含む応答を、統括インシデント管理装置101に対して送信することとなる。

0058

対応主体決定プログラム213は、募集通知の応答を受け取ると、応答を行ったインシデント管理装置105を、インシデント対応処理を実行させるインシデント管理装置105に決定し、その旨を認証認可プログラム214に通知する。通知を受けた認証認可プログラム214は、決定されたインシデント管理装置105に対して、インシデント対応処理の実行依頼を送信する(ステップS310)。なお、複数のインシデント対応処理について、異なるインシデント管理装置105に実行させるように決定された場合には、各インシデント管理装置105に対して、そのインシデント管理装置105に実行させるインシデント対応処理の実行依頼を送信する。

0059

また、認証認可プログラム214は、実行依頼をしたインシデント対応処理に必要な情報(ログデータ等)がある場合には、その情報を、実行依頼先で取得できるようにする依頼を併せて行う。具体的には、実行依頼をしたインシデント対応処理に必要な情報がある場合には、必要な情報を格納している装置等に対して、実行依頼先のインシデント管理装置に必要な情報を送信する指示を行うと共に、実行依頼先に必要な情報が送信されることを通知するようにしてもよく、実行依頼先のインシデント管理装置105に、必要な情報を格納している装置等から情報を取得させる指示を行うようにしてもよい。このようにすることにより、実行依頼先が必要な情報を、統括インシデント管理装置101を経由せずに、実行依頼先のインシデント管理装置105で取得できるようにすることができ、統括インシデント管理装置101における負荷を低減することができる。

0060

実行依頼を受け取ったインシデント管理装置105のレスポンス実行プログラム215は、実行依頼に基づいて、インシデント対応処理を実行する(ステップS311)。次いで、レスポンス実行プログラム215は、インシデント対応処理の実行結果を統括インシデント管理装置101に送信する(ステップS312)。この結果、統括インシデント管理装置101には、実行すると決定された全てのインシデント対応処理の処理結果が集約されることとなる。この統括インシデント管理装置101の認証認可プログラム214は、各処理結果について、図示しない表示装置に表示させる等する。

0061

次に、インシデント発生時処理のステップS308の詳細を説明する。

0062

図9は、一実施形態に係るインシデント発生時処理のステップS308の詳細なフローチャートである。

0063

統括インシデント管理装置101のレスポンス決定プログラム212は、受信したインシデント情報のアラートの種類に基づいて、インシデントの証拠情報の収集を関与する現場システムのインシデント管理装置105に指示する(ステップS3081)。

0064

次いで、統括インシデント管理装置101のレスポンス決定プログラム212は、インシデント情報に含まれるアラートの種類に応じて、侵入手口の分析の必要性判定(S3082)と、マルウェアの分析の必要性判定(S3083)と、フォレンジックの必要判定性(S3084)と、業務影響の分析の必要性判定(S3085)との少なくとも1つを実行し、その後、ステップS3082〜S3085の結果に基づいて、対策の実現方法立案の必要性判定(S3086)を行う。これらの処理ステップにより、必要であると判定された各処理が、実行が必要なインシデント対応処理である。

0065

次に、インシデント発生時処理のステップS311の詳細を説明する。

0066

図10は、一実施形態に係るインシデント発生時処理のステップS311の詳細なフローチャートである。

0067

実行依頼を受け取ったインシデント管理装置105のレスポンス実行プログラム215は、侵入手口の分析の実行(ステップS3111)と、マルウェアの分析の実行(ステップS3112)と、フォレンジックの実行(ステップS3113)と、業務影響の分析の実行(ステップS3114)とのうちの実行依頼として依頼を受けた全ての処理を実行し、その後、対策の実現方法立案を実行する(ステップS3115)。これにより、実行依頼を受けたインシデント対応処理が実行されることとなる。

0068

以上説明したように、本実施形態に係るセキュリティシステム1によると、或る現場システム10においてインシデントが発生してアラートが発生した場合には、その現場システム10のインシデント管理装置105から統括インシデント管理装置101に通知され、必要なインシデント対応処理を他のインシデント管理装置105に振り分けることができる。これにより、必要なインシデント対応処理を迅速且つ適切に実行させることができる。また、インシデント対応処理に必要なログデータ等を、統括インシデント管理装置101を経由せずに、インシデント対応処理を実行するインシデント管理装置105に取得させることができるので、統括インシデント管理装置101の負荷を軽減することができる。

0069

次に、変形例に係るセキュリティシステムについて説明する。

0070

変形例に係るセキュリティシステムは、上記した実施形態に係るセキュリティシステムとは、一部の機能が異なっており、インシデント発生時処理の一部が異なっている。

0071

図11は、変形例に係るインシデント発生時処理のフローチャートである。なお、実施形態に係るインシデント発生時処理と同様なステップには、同一の符号を付し、ここでは、異なる点を中心に説明する。

0072

ステップS311で、インシデント対応処理を実行したインシデント管理装置105のレスポンス実行プログラム215は、インシデント対応処理に含まれる解析処理等でインシデントに関与する別のシステム(現場システム等)が検出されたか否かを判定する(ステップS313)。この結果、インシデントに関与する別のシステムが検出されなかった場合(ステップS313:NO)には、レスポンス実行プログラム215は、処理をステップS312に進める。

0073

一方、インシデントに関与する別のシステムが検出された場合(ステップS313:YES)には、レスポンス実行プログラム215(具体的には、レスポンス実行プログラム215を実行する演算装置200:関連システム検出部及びアクセス情報送信部の一例)は、検出された別システムの組織名と、そのシステムのインシデント対応処理を実行する装置(本実施形態では、インシデント管理装置105)のアドレスを取得するとともに、インシデント管理装置105の能力的に実行可能なインシデント対応処理を示すケーパビリティ情報を取得し(ステップS314)、取得した組織名及びアドレスと、ケーパビリティ情報とを統括インシデント管理装置101に送信し(ステップS315)、処理をステップS312に進める。

0074

ステップS315で送信された別システムの組織名及びアドレスとケーパビリティ情報とを統括インシデント管理装置101が受信すると、レスポンス決定プログラム212(具体的には、レスポンス決定プログラム212を実行する演算装置200:アクセス情報追加登録部の一例)が、組織名とアドレスとを含む新たなエントリをアドレス管理テーブル216に追加するとともに、組織名とケーパビリティ情報とを含むエントリをケーパビリティ一覧テーブル218に追加する。更に、レスポンス決定プログラム212は、情報開示契約管理表の開示元と開示先とに、取得した組織名を追加するとともに、この組織と他の組織との各交点に、情報開示契約を設定する。この時点での情報開示契約としては、最低限の情報開示契約内容としてもよい。なお、以降において、情報開示契約を結んだ場合には、その内容に応じてその情報開示契約内容を変更すればよい。

0075

上記した変形例に係る処理によれば、新たに検出されたシステムのインシデント対応処理を実行可能な装置を、後の処理におけるインシデント対応処理を実行させる候補として選択できるようになり、より広範なインシデント対応処理に対応できるようにすることができる。

0076

なお、本発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で、適宜変形して実施することが可能である。

0077

例えば、上記実施形態では、インシデント管理装置105、統括インシデント管理装置101がインシデント対応処理を実行可能な構成となっていたが、例えば、インシデント対応処理を実行する装置(レスポンス処理装置)を、インシデント管理装置105又は統括インシデント管理装置101とは別に備えるようにしてもよい。

0078

また、上記実施形態では、インシデント対応処理の実行の募集を行い、募集に応答したインシデント管理装置105に対してインシデント対応処理の実行要求を送信するようにしていたが、募集を経ずに、インシデント管理装置105にインシデント対応処理の実行要求を行うようにしてもよい。

0079

また、上記実施形態においては、インシデント対応処理の依頼先を決定する際に、インシデント対応処理で必要な情報の受け渡しが可能な情報開示契約が存在するか否かを判定するようにしていたが、本発明はこれに限られず、情報開示において問題のない組織のみをセキュリティシステムの対象としている場合においては、情報開示契約が存在するか否かを判定する処理を実行しなくてもよく、また、その処理に必要な情報開示契約管理表を備えなくてもよい。

0080

また、上記実施形態において、演算装置200が行っていた処理の一部又は全部を、専用のハードウェア回路で行うようにしてもよい。また、上記実施形態におけるプログラムは、プログラムソースからインストールされてよい。プログラムソースは、プログラム配布サーバ又は記憶メディア(例えば可搬型の非一時的記憶メディア)であってもよい。

0081

1…セキュリティシステム、10,10A,10B,10X…現場システム、101…統括インシデント管理装置、105…インシデント管理装置、200…演算装置、201…メモリ、211…状況分析プログラム、212…レスポンス決定プログラム、213…対応主体決定プログラム、214…認証認可プログラム、215…レスポンス実行プログラム、216…アドレス管理テーブル、217…情報開示契約管理表、218…ケーパビリティ一覧テーブル

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

  • シャープ株式会社の「 電気機器およびネットワークシステム」が 公開されました。( 2020/04/30)

    【課題】効率的に電子機器同士が接続中であることを確認するための技術を提供する。【解決手段】他の装置と通信するための通信インターフェイスと、接続中であることを確認するための処理の結果の履歴に基づいて、電... 詳細

  • オムロン株式会社の「 制御装置」が 公開されました。( 2020/04/30)

    【課題】異常検知処理に係るノウハウを適切に保護できる仕組みを提供する。【解決手段】制御装置は、1または複数の状態値から1または複数の特徴量を算出する特徴抽出部と、学習モデルを参照して、特徴抽出部により... 詳細

  • シャープ株式会社の「 ネットワークシステムおよび電気機器」が 公開されました。( 2020/04/30)

    【課題】容易に電気機器を各種サービスに登録することができる技術を提供する。【解決手段】ルータ400を介してサービス用のIDの要求をブロードキャストし、他の機器100Aからサービス用のIDを取得してサー... 詳細

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ