特許ウォッチ

公開番号2025057087
公報種別公開特許公報(A)
公開日2025-04-09
出願番号2023166740
出願日2023-09-28
発明の名称脆弱性分析装置、脆弱性分析方法及び脆弱性分析プログラム
出願人KDDI株式会社
代理人個人,個人
主分類G06F 21/57 20130101AFI20250402BHJP(計算;計数)
要約【課題】脆弱性が利用されるサイバー攻撃のTacticを予測できる脆弱性分析装置を提供すること。
【解決手段】脆弱性分析装置1は、脆弱性のMitigationに関する情報を取得する脆弱性情報取得部11と、当該情報と所定のデータベースにおける複数のMitigationの記述それぞれとの類似度を要素とした第1ベクトルを生成するベクトル生成部12と、第1ベクトルと複数のTechniqueそれぞれの複数のMitigationとの対応付けを表すベクトルそれぞれとの類似度を要素とした第2ベクトルを生成するTechnique分析部13と、第2ベクトルと複数のTacticそれぞれの複数のTechniqueとの対応付けを表すベクトルそれぞれとの類似度を算出するTactic分析部14と、算出された類似度により示される脆弱性に対応したTacticの評価結果を出力する結果出力部15と、を備える。
【選択図】図1
特許請求の範囲【請求項１】
脆弱性のＭｉｔｉｇａｔｉｏｎに関する情報を取得する脆弱性情報取得部と、
前記Ｍｉｔｉｇａｔｉｏｎに関する情報と所定のデータベースにおける複数のＭｉｔｉｇａｔｉｏｎの記述それぞれとの類似度を要素とした第１ベクトルを生成するベクトル生成部と、
前記第１ベクトルと、前記所定のデータベースにおいて定義されている複数のＴｅｃｈｎｉｑｕｅそれぞれの前記複数のＭｉｔｉｇａｔｉｏｎとの対応付けを表すベクトルそれぞれとの類似度を要素とした第２ベクトルを生成するＴｅｃｈｎｉｑｕｅ分析部と、
前記第２ベクトルと、前記所定のデータベースにおいて定義されている複数のＴａｃｔｉｃそれぞれの前記複数のＴｅｃｈｎｉｑｕｅとの対応付けを表すベクトルそれぞれとの類似度を算出するＴａｃｔｉｃ分析部と、
前記Ｔａｃｔｉｃ分析部により算出された類似度により示される前記脆弱性に対応したＴａｃｔｉｃの評価結果を出力する結果出力部と、を備える脆弱性分析装置。
続きを表示（約 1,900 文字）【請求項２】
脆弱性のＤｅｔｅｃｔｉｏｎに関する情報を取得する脆弱性情報取得部と、
前記Ｄｅｔｅｃｔｉｏｎに関する情報と所定のデータベースにおける複数のＤｅｔｅｃｔｉｏｎの記述それぞれとの類似度を要素とした第３ベクトルを生成するベクトル生成部と、
前記第３ベクトルと、前記所定のデータベースにおいて定義されている複数のＴｅｃｈｎｉｑｕｅそれぞれの前記複数のＤｅｔｅｃｔｉｏｎとの対応付けを表すベクトルそれぞれとの類似度を要素とした第４ベクトルを生成するＴｅｃｈｎｉｑｕｅ分析部と、
前記第４ベクトルと、前記所定のデータベースにおいて定義されている複数のＴａｃｔｉｃそれぞれの前記複数のＴｅｃｈｎｉｑｕｅとの対応付けを表すベクトルそれぞれとの類似度を算出するＴａｃｔｉｃ分析部と、
前記Ｔａｃｔｉｃ分析部により算出された類似度により示される前記脆弱性に対応したＴａｃｔｉｃの評価結果を出力する結果出力部と、を備える脆弱性分析装置。
【請求項３】
前記脆弱性情報取得部は、Ｄｅｔｅｃｔｉｏｎに関する情報をさらに取得し、
前記ベクトル生成部は、前記Ｄｅｔｅｃｔｉｏｎに関する情報と前記所定のデータベースにおける複数のＤｅｔｅｃｔｉｏｎの記述それぞれとの類似度を要素とした第３ベクトルをさらに生成し、
前記Ｔｅｃｈｎｉｑｕｅ分析部は、
前記第３ベクトルと、前記所定のデータベースにおいて定義されている複数のＴｅｃｈｎｉｑｕｅそれぞれの前記複数のＤｅｔｅｃｔｉｏｎとの対応付けを表すベクトルそれぞれとの類似度を要素とした第４ベクトルをさらに生成し、
前記第２ベクトル及び前記第４ベクトルを加重平均することにより、前記第２ベクトルを更新する請求項１に記載の脆弱性分析装置。
【請求項４】
前記ベクトル生成部は、前記Ｍｉｔｉｇａｔｉｏｎに関する情報と前記所定のデータベースにおける前記複数のＴｅｃｈｎｉｑｕｅに関するＭｉｔｉｇａｔｉｏｎの記述それぞれとの類似度を要素とした第５ベクトルをさらに生成し、
前記Ｔｅｃｈｎｉｑｕｅ分析部は、前記第２ベクトル、前記第４ベクトル、及び前記第５ベクトルを加重平均することにより、前記第２ベクトルを更新する請求項３に記載の脆弱性分析装置。
【請求項５】
脆弱性のＭｉｔｉｇａｔｉｏｎに関する情報を取得する脆弱性情報取得ステップと、
前記Ｍｉｔｉｇａｔｉｏｎに関する情報と所定のデータベースにおける複数のＭｉｔｉｇａｔｉｏｎの記述それぞれとの類似度を要素とした第１ベクトルを生成するベクトル生成ステップと、
前記第１ベクトルと、前記所定のデータベースにおいて定義されている複数のＴｅｃｈｎｉｑｕｅそれぞれの前記複数のＭｉｔｉｇａｔｉｏｎとの対応付けを表すベクトルそれぞれとの類似度を要素とした第２ベクトルを生成するＴｅｃｈｎｉｑｕｅ分析ステップと、
前記第２ベクトルと、前記所定のデータベースにおいて定義されている複数のＴａｃｔｉｃそれぞれの前記複数のＴｅｃｈｎｉｑｕｅとの対応付けを表すベクトルそれぞれとの類似度を算出するＴａｃｔｉｃ分析ステップと、
前記Ｔａｃｔｉｃ分析ステップにおいて算出された類似度により示される前記脆弱性に対応したＴａｃｔｉｃの評価結果を出力する結果出力ステップと、をコンピュータが実行する脆弱性分析方法。
【請求項６】
脆弱性のＤｅｔｅｃｔｉｏｎに関する情報を取得する脆弱性情報取得ステップと、
前記Ｄｅｔｅｃｔｉｏｎに関する情報と所定のデータベースにおける複数のＤｅｔｅｃｔｉｏｎの記述それぞれとの類似度を要素とした第３ベクトルを生成するベクトル生成ステップと、
前記第３ベクトルと、前記所定のデータベースにおいて定義されている複数のＴｅｃｈｎｉｑｕｅそれぞれの前記複数のＤｅｔｅｃｔｉｏｎとの対応付けを表すベクトルそれぞれとの類似度を要素とした第４ベクトルを生成するＴｅｃｈｎｉｑｕｅ分析ステップと、
前記第４ベクトルと、前記所定のデータベースにおいて定義されている複数のＴａｃｔｉｃそれぞれの前記複数のＴｅｃｈｎｉｑｕｅとの対応付けを表すベクトルそれぞれとの類似度を算出するＴａｃｔｉｃ分析ステップと、
前記Ｔａｃｔｉｃ分析ステップにおいて算出された類似度により示される前記脆弱性に対応したＴａｃｔｉｃの評価結果を出力する結果出力ステップと、をコンピュータが実行する脆弱性分析方法。
【請求項７】
請求項１から請求項４のいずれかに記載の脆弱性分析装置としてコンピュータを機能させるための脆弱性分析プログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、サイバー脅威情報の収集及び分析に関する。
続きを表示（約 2,900 文字）【背景技術】
【０００２】
近年、サイバー攻撃の急激な増加に伴い、早期の攻撃予知及び検知の必要性が高まっている。また、サイバー脅威に対しては、個別の対応ではなく、情報を共有し社会全体で対応していくことが求められ、脆弱性情報等の共通フォーマットの策定や、データベースの公開が進められ、さらに、企業のホームページ、ＳＮＳ、ブログ等からも各種情報が発信されている。
【０００３】
一般に公開されているソフトウェアの脆弱性を識別するためのＣＶＥ（ＣｏｍｍｏｎＶｕｌｎｅｒａｂｉｌｉｔｉｅｓａｎｄＥｘｐｏｓｕｒｅｓ）ＩＤは、セキュリティ対策の第一歩として多くのセキュリティ対策担当者やセキュリティ技術者に利用されている。例えばＮＩＳＴが管理するＮａｔｉｏｎａｌＶｕｌｎｅｒａｂｉｌｉｔｙＤａｔａｂａｓｅ（ＮＶＤ）（非特許文献１参照）には、各脆弱性についてＣＶＥＩＤとともに、その脆弱性情報の詳細、リスクの高さ、関連する製品等がまとめられている。
このＣＶＥＩＤをキーとして、ブログやＳＮＳの他、ＣＷＥ（ＣｏｍｍｏｎＷｅａｋｎｅｓｓＥｎｕｍｅｒａｔｉｏｎ）（非特許文献２参照）、ＣＡＰＥＣ（ＣｏｍｍｏｎＡｔｔａｃｋＰａｔｔｅｒｎＥｎｕｍｅｒａｔｉｏｎａｎｄＣｌａｓｓｉｆｉｃａｔｉｏｎ）（非特許文献３参照）等の公開データベース、ＯＴＸ（ＯｐｅｎＴｈｒｅａｔＥｘｃｈａｎｇｅ）等の脅威インテリジェンスプラットフォームをリンクさせることが可能であり、各脆弱性に対するデータエンリッチが可能となる。
【先行技術文献】
【非特許文献】
【０００４】
ＮＶＤ、インターネット、＜https://nvd.nist.gov/＞
ＣＷＥ、インターネット、＜https://cwe.mitre.org/＞
ＣＡＰＥＣ、インターネット、＜https://capec.mitre.org/＞
ＡＴＴ＆ＣＫ、インターネット、＜https://attack.mitre.org/＞
Aditya Kuppa et al., "Linking CVE’s to MITRE ATT&CK Techniques", Proceedings of the 16th International Conference on Availability, Reliability and Security (ARES 2021).
【発明の概要】
【発明が解決しようとする課題】
【０００５】
しかしながら、全てのデータベース及びブログ等のドキュメントに必ずしもＣＶＥＩＤが記載されているわけではない。特にＭＩＴＥＲ社のＡＴＴ＆ＣＫ（非特許文献４参照）は、構造化された攻撃手法をまとめたデータベースであり、利用価値が高いものの、ＣＶＥＩＤをキーとしたリンクはできない。
このリンク付けを目指した研究も存在し、例えば非特許文献５では、各脆弱性に利用されるＴｅｃｈｎｉｑｕｅ（技術・手法）の推定方法が提案されている。この方法では、Ｍｉｔｉｇａｔｉｏｎ（緩和策）情報を含む脆弱性に紐づく様々な大量のデータを利用し、直接Ｔｅｃｈｎｉｑｕｅの推定を目標としており、加えて実際に脆弱性とＴｅｃｈｎｉｑｕｅとを紐づけたデータも利用する。しかし、多くの組織において、大量のデータを保有しているケースは少なく、脆弱性に紐づくデータを精査するだけでもコストがかかっていた。
【０００６】
また、発見された脆弱性に対しては、この脆弱性を攻撃するＴｅｃｈｎｉｑｕｅ、さらには、使われた技術によって達成する目的であるＴａｃｔｉｃ（戦術）を予測することで、この脆弱性への対応の緊急性を評価できるため、これらの情報の関連付けが望まれている。
【０００７】
本発明は、脆弱性が利用されるサイバー攻撃のＴａｃｔｉｃを予測できる脆弱性分析装置、脆弱性分析方法及び脆弱性分析プログラムを提供することを目的とする。
【課題を解決するための手段】
【０００８】
本発明に係る第１の脆弱性分析装置は、脆弱性のＭｉｔｉｇａｔｉｏｎに関する情報を取得する脆弱性情報取得部と、前記Ｍｉｔｉｇａｔｉｏｎに関する情報と所定のデータベースにおける複数のＭｉｔｉｇａｔｉｏｎの記述それぞれとの類似度を要素とした第１ベクトルを生成するベクトル生成部と、前記第１ベクトルと、前記所定のデータベースにおいて定義されている複数のＴｅｃｈｎｉｑｕｅそれぞれの前記複数のＭｉｔｉｇａｔｉｏｎとの対応付けを表すベクトルそれぞれとの類似度を要素とした第２ベクトルを生成するＴｅｃｈｎｉｑｕｅ分析部と、前記第２ベクトルと、前記所定のデータベースにおいて定義されている複数のＴａｃｔｉｃそれぞれの前記複数のＴｅｃｈｎｉｑｕｅとの対応付けを表すベクトルそれぞれとの類似度を算出するＴａｃｔｉｃ分析部と、前記Ｔａｃｔｉｃ分析部により算出された類似度により示される前記脆弱性に対応したＴａｃｔｉｃの評価結果を出力する結果出力部と、を備える。
【０００９】
本発明に係る第２の脆弱性分析装置は、脆弱性のＤｅｔｅｃｔｉｏｎに関する情報を取得する脆弱性情報取得部と、前記Ｄｅｔｅｃｔｉｏｎに関する情報と所定のデータベースにおける複数のＤｅｔｅｃｔｉｏｎの記述それぞれとの類似度を要素とした第３ベクトルを生成するベクトル生成部と、前記第３ベクトルと、前記所定のデータベースにおいて定義されている複数のＴｅｃｈｎｉｑｕｅそれぞれの前記複数のＤｅｔｅｃｔｉｏｎとの対応付けを表すベクトルそれぞれとの類似度を要素とした第４ベクトルを生成するＴｅｃｈｎｉｑｕｅ分析部と、前記第４ベクトルと、前記所定のデータベースにおいて定義されている複数のＴａｃｔｉｃそれぞれの前記複数のＴｅｃｈｎｉｑｕｅとの対応付けを表すベクトルそれぞれとの類似度を算出するＴａｃｔｉｃ分析部と、前記Ｔａｃｔｉｃ分析部により算出された類似度により示される前記脆弱性に対応したＴａｃｔｉｃの評価結果を出力する結果出力部と、を備える。
【００１０】
前記第１の脆弱性分析装置において、前記脆弱性情報取得部は、Ｄｅｔｅｃｔｉｏｎに関する情報をさらに取得し、前記ベクトル生成部は、前記Ｄｅｔｅｃｔｉｏｎに関する情報と前記所定のデータベースにおける複数のＤｅｔｅｃｔｉｏｎの記述それぞれとの類似度を要素とした第３ベクトルをさらに生成し、前記Ｔｅｃｈｎｉｑｕｅ分析部は、前記第３ベクトルと、前記所定のデータベースにおいて定義されている複数のＴｅｃｈｎｉｑｕｅそれぞれの前記複数のＤｅｔｅｃｔｉｏｎとの対応付けを表すベクトルそれぞれとの類似度を要素とした第４ベクトルをさらに生成し、前記第２ベクトル及び前記第４ベクトルを加重平均することにより、前記第２ベクトルを更新してもよい。
（【００１１】以降は省略されています）

関連特許