特許ウォッチ

公開番号2025000446
公報種別公開特許公報(A)
公開日2025-01-07
出願番号2023100307
出願日2023-06-19
発明の名称情報処理装置および情報処理方法
出願人株式会社東芝
代理人個人,個人,個人
主分類G06F 21/55 20130101AFI20241224BHJP(計算;計数)
要約【課題】機器に実際に攻撃を行うことなく評価対象装置が機器への攻撃を検知可能か否か評価することを可能にする。
【解決手段】本実施形態の情報処理装置は、通信ネットワークにおいて第1機器に対する第1攻撃時に取得される前記第1攻撃の痕跡情報と、第2機器に対する第2攻撃の攻撃手法に関する情報とに基づき、前記第2攻撃の擬似的な痕跡情報を生成する擬似痕跡生成部と、前記第2攻撃の擬似的な痕跡情報を、攻撃の痕跡情報に基づき前記攻撃の検知を行う評価対象装置に送信する擬似痕跡送信部と、を備える。
【選択図】図1
特許請求の範囲【請求項１】
通信ネットワークにおいて第１機器に対する第１攻撃時に取得される前記第１攻撃の痕跡情報と、第２機器に対する第２攻撃の攻撃手法に関する情報とに基づき、前記第２攻撃の擬似的な痕跡情報を生成する擬似痕跡生成部と、
前記第２攻撃の擬似的な痕跡情報を、攻撃の痕跡情報に基づき前記攻撃の検知を行う評価対象装置に送信する擬似痕跡送信部と、
を備えた情報処理装置。
続きを表示（約 1,900 文字）【請求項２】
前記第２攻撃の攻撃手法に関する情報は、前記第２攻撃に関するパラメータを含み、
前記擬似痕跡生成部は、前記第１攻撃の痕跡情報を前記パラメータに基づき書き換えることで、前記第２攻撃の擬似的な痕跡情報を生成する
請求項１に記載の情報処理装置。
【請求項３】
前記第２機器は、前記第１機器と異なる機器または同一の機器であり、
前記第１攻撃の痕跡情報は、前記第１機器に関する情報を含み、
前記パラメータは、前記第２機器に関する情報を含み、
前記擬似痕跡生成部は、前記第1攻撃の痕跡情報に含まれる前記第１機器に関する情報を、前記パラメータに基づき前記第２機器に関する情報に書き換えることにより、前記第２攻撃の擬似的な痕跡情報を生成する、
請求項２に記載の情報処理装置。
【請求項４】
前記第１攻撃の痕跡情報は、前記第１攻撃時の時刻情報をさらに含み、
前記擬似痕跡生成部は、さらに前記第１攻撃の痕跡情報に含まれる前記第１攻撃時の時刻情報を現在時刻の時刻情報に書き換えることにより、前記第２攻撃の擬似的な痕跡情報を生成する
請求項３に記載の情報処理装置。
【請求項５】
前記第１機器に関する情報は、前記第１機器のアドレス情報を含み、
前記パラメータは、前記第２機器に関する情報として前記第２機器のアドレス情報を含み、
前記擬似痕跡生成部は、前記第１機器のアドレス情報を前記第２機器のアドレス情報に書き換える、
請求項３に記載の情報処理装置。
【請求項６】
前記擬似痕跡生成部は、前記攻撃手法に関する情報と前記第２攻撃の手法を識別する攻撃識別情報とを含む複数の攻撃シナリオから前記攻撃シナリオを選択し、前記第１攻撃の痕跡情報と前記第１攻撃の手法を識別する攻撃識別情報とを含む複数の攻撃痕跡データから、選択した前記攻撃シナリオに含まれる前記攻撃識別情報に一致する攻撃識別情報を含む攻撃痕跡データを選択し、
前記擬似痕跡生成部は、選択した前記攻撃痕跡データに含まれる前記第１攻撃の痕跡情報と、選択した前記攻撃シナリオに含まれる前記攻撃手法に関する情報に基づき、前記第２攻撃の擬似的な痕跡情報を生成する、
請求項１に記載の情報処理装置。
【請求項７】
前記評価対象装置は、攻撃時に前記通信ネットワークを流れる通信データを取得し、取得した前記通信データに基づき、前記攻撃の検知または遮断を行う装置であり、
前記第１攻撃の痕跡情報は、前記第１攻撃時に前記通信ネットワークを流れ、前記通信ネットワークから取得される通信データである、
請求項１に記載の情報処理装置。
【請求項８】
前記第１攻撃の痕跡情報は、前記第１攻撃時に前記第１機器で取得される動作のログであり、
前記評価対象装置は、前記攻撃の痕跡情報として前記攻撃時に前記攻撃の対象となった機器で取得される動作のログに基づき前記攻撃の検知を行う装置である、
請求項１に記載の情報処理装置。
【請求項９】
前記第２攻撃の擬似的な痕跡情報に基づく前記第２攻撃の検知の結果を示す出力情報を前記評価対象装置から受信し、前記出力情報に基づき、前記第２攻撃が前記評価対象装置で検知されたか否かを示す解析結果を生成する評価部、
を備えた請求項１に記載の情報処理装置。
【請求項１０】
前記擬似痕跡生成部は、前記第２攻撃に関するパラメータと、前記第２攻撃の手法を識別する攻撃識別情報とを含む複数の攻撃シナリオから前記攻撃シナリオを選択し、前記第１攻撃の痕跡情報と前記第１攻撃の手法を識別する攻撃識別情報とを含む複数の攻撃痕跡データから、選択した前記攻撃シナリオに含まれる前記攻撃識別情報に一致する攻撃識別情報を含む攻撃痕跡データを選択し、
前記擬似痕跡生成部は、選択した前記攻撃痕跡データに含まれる前記第１攻撃の痕跡情報と前記攻撃シナリオに含まれる前記パラメータに基づき、前記第２攻撃の擬似的な痕跡情報を生成し、
前記評価部は、前記第２攻撃の擬似的な痕跡情報を生成する元となった前記攻撃シナリオに含まれる前記攻撃識別情報を特定し、
前記評価部は、前記解析結果と、前記出力情報と、特定した前記攻撃識別情報とを含む評価結果を生成し、前記評価結果を出力する、
請求項９に記載の情報処理装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、情報処理装置および情報処理方法に関する。
続きを表示（約 2,200 文字）【背景技術】
【０００２】
システムに対するサイバー攻撃を検知または遮断するセキュリティ対策装置がある。セキュリティ対策装置の性能やシステム導入時の設定を評価するために、システムへ実際に攻撃を行い、攻撃時にネットワークに流れる通信データ、または、攻撃時に攻撃対象となったホストで取得されるログをセキュリティ対策装置に読み込ませる方法がある。しかしながら実際にシステムに攻撃を実行すると、システムに対して悪影響を及ぼす可能性がある。
【先行技術文献】
【特許文献】
【０００３】
特許第6101525号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
本実施形態は、機器に実際に攻撃を行うことなく評価対象装置が機器への攻撃を検知可能か否か評価することを可能にする情報処理装置および情報処理方法を提供する。
【課題を解決するための手段】
【０００５】
本実施形態の情報処理装置は、通信ネットワークにおいて第１機器に対する第１攻撃時に取得される前記第１攻撃の痕跡情報と、第２機器に対する第２攻撃の攻撃手法に関する情報とに基づき、前記第２攻撃の擬似的な痕跡情報を生成する擬似痕跡生成部と、前記第２攻撃の擬似的な痕跡情報を、攻撃の痕跡情報に基づき前記攻撃の検知を行う評価対象装置に送信する擬似痕跡送信部と、を備える。
【図面の簡単な説明】
【０００６】
第１実施形態に係るセキュリティ対策システムの例を示す図。
評価対象装置及びセキュリティ対策評価装置が組み込まれた監視対象システムの構成例を示す図。
セキュリティ対策評価装置の構成例を示す機能ブロック図。
攻撃シナリオの例を示す図。
ネットワーク構成情報の例を示す図。
攻撃痕跡記憶部に記憶された攻撃痕跡データ例を示す図。
図６の攻撃痕跡データにおける痕跡情報の例を示す図。
痕跡情報からパラメータに基づいて生成した擬似的な痕跡情報の例を示す図。
痕跡情報と擬似的な痕跡情報との具体例を示す図。
本実施形態に係るセキュリティ対策評価装置の処理手順の一例を示すフローチャート。
痕跡情報が通信データの場合に、擬似的な痕跡情報を生成する処理手順の一例を示すフローチャート。
痕跡情報がログの場合に、擬似的な痕跡情報を生成するための処理手順の一例を示すフローチャート。
第２実施形態に係るセキュリティ対策評価装置の構成例を示す機能ブロック図。
評価結果データの一例を示す図。
第２実施形態に係るセキュリティ対策評価装置の処理手順の一例を示すフローチャート。
第２実施形態の実施例１において評価結果を生成するための処理手順の一例を示すフローチャートである。
第２実施形態の実施例２において評価結果を生成するための処理手順の一例を示すフローチャートである。
第２実施形態の実施例３において評価結果を生成するための処理手順の一例を示すフローチャートである。
各実施形態に係る情報処理装置のハードウェア構成を示す。
【発明を実施するための形態】
【０００７】
以下、図面を参照しつつ、本実施形態について説明する。
【０００８】
（第１実施形態）
図１は、第１実施形態に係るセキュリティ対策システムの例を示す。図１のセキュリティ対策システムは、セキュリティ対策評価装置100と、評価対象装置200とを備えている。セキュリティ対策評価装置100は本実施形態に係る情報処理装置に対応する。セキュリティ対策評価装置100は、監視対象システムにおけるセキュリティ機能を担う評価対象装置200が攻撃を検知または遮断できるかなど、監視対象システムにおけるセキュリティ対策の評価を行う。監視対象システムは、１つまたは複数の機器を含む通信ネットワークである。通信ネットワークは、例えば、無線LANまたはイーサネット等のローカルエリアネットワークである。
【０００９】
評価対象装置200は、監視対象システムに一部として組み込まれていてもよいし、監視対象システムにおける機器（ホスト）にソフトウェアとして組み込まれていてもよい。あるいは、評価対象装置200は、監視対象システムとは分離して、存在してもよく、この場合、評価対象装置200がセキュリティ対策評価装置100に直接、通信ケーブル等で接続されていてもよい。
【００１０】
評価対象装置200は、通信ネットワークから取得される通信データ、またはホストのログをもとに攻撃を検知または遮断するなどのセキュリティ機能を実行する役割を担う装置である。攻撃を検知または遮断する機能は、例えば、異常なトラフィックを検知する機能または異常なトラフィックを遮断する機能である。評価対象装置200の具体例として、攻撃を検知可能なネットワーク型不正侵入検知システム（IDS：Intrusion Detection System）、攻撃を検知及び遮断可能なネットワーク型不正侵入防止システム（IPS：Intrusion Prevention System）、攻撃を検知断可能なソフトウェアとして攻撃検知ツール（ログ検知ツール）などがある。
（【００１１】以降は省略されています）

関連特許