特許ウォッチ

公開番号2023001497
公報種別公開特許公報(A)
公開日2023-01-06
出願番号2021102264
出願日2021-06-21
発明の名称計算機システム
出願人三菱電機株式会社
代理人個人
主分類G06F 11/34 20060101AFI20221226BHJP(計算;計数)
要約【課題】システム全体における計算機のログ処理量が削減され、サイバー攻撃被害時における対処および解析処理が高速に実施され、かつ耐障害性が確保されること。
【解決手段】各計算機1,2,3は、複数種類のログを作成するログファイル生成部6と、複数種類のログの優先度に基づいて第1情報を作成して他の計算機に送信し、他の計算機から受信した第2情報に基づいて、複数種類のログのなかから自計算機が解析担当となるログである第1ログを除外したログを他の計算機に夫々送信する第1処理部と、他の計算機から受信した他の計算機についての第1ログを解析する解析部10と、第1ログの解析によって他の計算機にサイバー攻撃被害を含む異常が検出された場合、異常対処を行う異常対処部11と、を夫々備える。
【選択図】図1
特許請求の範囲【請求項１】
複数の計算機を備え、各計算機についての複数種類のログを管理する計算機システムであって、
各計算機は、
自計算機に関する複数種類の前記ログを作成するログファイル作成部と、
複数種類のログの優先度に基づいて自計算機が解析担当となるログの種類に関する情報の解析スケジュールである第１情報を作成して他の計算機に送信し、他の計算機から受信した他の計算機が解析担当となるログの種類に関する情報の解析スケジュールである第２情報に基づいて、作成された前記複数種類のログのなかから自計算機が解析担当となるログである第１ログを除外したログを選択し、選択されたログを対応する他の計算機に夫々送信する第１処理部と、
他の計算機から受信した他の計算機についての前記第１ログを解析する解析部と、
前記第１ログの解析によって他の計算機にサイバー攻撃被害を含む異常が検出された場合、異常対処を行う異常対処部と、
を夫々備えることを特徴とする計算機システム。
続きを表示（約 720 文字）【請求項２】
前記異常対処部は、
前記異常が検出された場合、異常発生を示す第３情報を他の計算機に送信し、
前記第３情報を他の計算機から受信すると、自計算機についての前記複数種類のログを他の計算機に送信し、
前記解析部は、
前記第３情報が送信された後に前記複数種類のログが他の計算機から受信されると、他の計算機から受信した他の計算機についての前記複数種類のログを解析し、
前記異常対処部は、
前記解析の結果、前記異常が検出された場合、前記異常が検出された他の計算機を前記計算機システムから切り離すことを特徴とする請求項１に記載の計算機システム。
【請求項３】
前記第１処理部は、前記第１情報に基づいて、ログの種類と送信先の計算機との対応を示す第４情報を作成し、作成された第４情報に基づいて、前記作成された複数種類のログのなかから前記第１ログを除外したログを選択し、選択されたログを対応する他の計算機に夫々送信することを特徴とする請求項１または２に記載の計算機システム。
【請求項４】
前記第１ログは、前記複数種類のログのうちの一種類のログであることを特徴とする請求項１から３の何れか一つに記載の計算機システム。
【請求項５】
前記第１ログは、前記複数種類のログのうちの二種類以上のログであることを特徴とする請求項１から３の何れか一つに記載の計算機システム。
【請求項６】
前記複数種類のログは、操作ログ、通信ログ、アプリケーションログ、およびイベントログを含むことを特徴とする請求項１から５の何れか一つに記載の計算機システム。

発明の詳細な説明【技術分野】
【０００１】
本開示は、サイバー攻撃に対処する計算機システムに関する。
続きを表示（約 1,900 文字）【背景技術】
【０００２】
サイバー攻撃に対する防護技術においては、検知、被害把握、対処、復旧を行うために、各計算機から操作ログ、通信ログ、アプリケーションログ、イベントログ等を含む各種ログ情報を収集し、収集されたログ情報を解析して通常と異なるふるまいを発見することで、サイバー攻撃の検知、被害把握を行い、被害にあった機器の切り離し等の対処を実施している。
【０００３】
従来、ログ情報の解析に関しては、サイバー攻撃に対して対処するための制御プロセスを特定の計算機に搭載しログの解析または被害範囲の推定等を集中的に実施する集中型配置方式（例えば、特許文献１）と、耐障害性を向上させるためにサイバー防護機能の制御プロセスを複数の計算機に分散して配置する分散型配置方式が採用されている。
【先行技術文献】
【特許文献】
【０００４】
国際公開第２０２０／１５８１１８号
【発明の概要】
【発明が解決しようとする課題】
【０００５】
特許文献１に記載のような、特定の計算機にてサイバー攻撃の検知およびインシデント対応等の対処を行うような集中型配置方式の場合、対処を行う機能を有している計算機がサイバー攻撃の被害にあった場合に、システム全体がサイバー攻撃から無防備な状態になるため、耐障害性が低下するという課題がある。また、分散型配置方式の場合、各計算機が各種ログ情報を相互に送受信し合い、それぞれの計算機においてログの解析、異常情報の検出、被害把握、対処、復旧の操作を行うことで、集中型配置方式と比較して耐障害性は向上する。しかし、分散型配置方式の場合、システム全体として見れば、計算機台数×ログの種類数分の大量のログを解析することになるため、システム全体における計算機のログ処理量が非常に多く、また、大量のログ情報を送受信し合い、通信帯域の圧迫も引き起こすことから、ログ解析から対処、復旧までに非常に長い時間を要するという課題がある。
【０００６】
本開示は、上記に鑑みてなされたものであり、システム全体における計算機のログ処理量を削減し、サイバー攻撃被害時における対処および解析処理を高速に実施し、かつ耐障害性が確保される計算機システムを得ることを目的とする。
【課題を解決するための手段】
【０００７】
上述した課題を解決し、目的を達成するために、本開示の計算機システムは、複数の計算機を備え、各計算機についての複数種類のログを管理する計算機システムである。各計算機は、自計算機に関する複数種類のログを作成するログファイル作成部と、複数種類のログの優先度に基づいて自計算機が解析担当となるログの種類に関する情報の解析スケジュールである第１情報を作成して他の計算機に送信し、他の計算機から受信した他の計算機が解析担当となるログの種類に関する情報の解析スケジュールである第２情報に基づいて、作成された複数種類のログのなかから自計算機が解析担当となるログである第１ログを除外したログを選択し、選択されたログを対応する他の計算機に夫々送信する第１処理部と、他の計算機から受信した他の計算機についての第１ログを解析する解析部と、第１ログの解析によって他の計算機にサイバー攻撃被害を含む異常が検出された場合、異常対処を行う異常対処部と、を夫々備えることを特徴とする。
【発明の効果】
【０００８】
本開示における計算機システムによれば、システム全体における計算機のログ処理量が削減され、サイバー攻撃被害時における対処および解析処理が高速に実施され、かつ耐障害性が確保されるという効果を奏する。
【図面の簡単な説明】
【０００９】
実施の形態１にかかる計算機システムの構成例を示すブロック図
実施の形態１にかかる計算機システムの各計算機の動作例を示すフローチャート
実施の形態１にかかる計算機システムにおける複数種類のログの管理状態を示すタイムチャート
実施の形態２にかかる計算機システムにおける複数種類のログの管理状態を示すタイムチャート
実施の形態１，２にかかる計算機システムの各計算機のハードウェア構成の一例を示すブロック図
【発明を実施するための形態】
【００１０】
以下に、実施の形態にかかる計算機システムを図面に基づいて詳細に説明する。
（【００１１】以降は省略されています）

関連特許