TOP
|
特許
|
意匠
|
商標
特許ウォッチ
Twitter
他の特許を見る
10個以上の画像は省略されています。
公開番号
2025076088
公報種別
公開特許公報(A)
公開日
2025-05-15
出願番号
2023187793
出願日
2023-11-01
発明の名称
攻撃検知ルール生成装置および攻撃検知ルール生成方法
出願人
株式会社日立製作所
代理人
ポレール弁理士法人
主分類
G06F
21/55 20130101AFI20250508BHJP(計算;計数)
要約
【課題】
より実態に即したセキュリティ攻撃を検知可能とすること。
【解決手段】
監視対象システムに対するセキュリティ攻撃を検知するための攻撃検知ルールを生成する攻撃検知ルール生成装置200において、前記監視対象システムの機器構成モデル201、および、前記監視対象システムの各構成機器が異常事象を受けた場合に発生し得る結果事象およびその影響を示す異常事象モデル202を記憶する記憶部と、前記機器構成モデル201および前記異常事象モデル202に基づいて、前記監視対象システムに対する攻撃シナリオ211および当該攻撃シナリオのリスク値212を特定する攻撃シナリオ特定部210と、前記リスク値212に基づく優先順位で攻撃シナリオに該当するセキュリティ攻撃を検知する攻撃検知ルール231を生成する攻撃検知ルール生成部230を有する攻撃検知ルール生成装置200。
【選択図】 図3
特許請求の範囲
【請求項1】
監視対象システムに対するセキュリティ攻撃を検知するための攻撃検知ルールを生成する攻撃検知ルール生成装置において、
前記監視対象システムの機器構成モデルと、前記監視対象システムの各構成機器が異常事象を受けた場合に発生し得る結果事象およびその影響を示す異常事象モデルとを記憶する記憶部と、
前記機器構成モデルおよび前記異常事象モデルに基づいて、前記監視対象システムに対する攻撃シナリオを特定し、当該攻撃シナリオのリスク値を特定する攻撃シナリオ特定部と、
前記リスク値に基づく優先順位で攻撃シナリオに該当するセキュリティ攻撃を検知する攻撃検知ルールを生成する攻撃検知ルール生成部を有し、
前記攻撃検知ルールに応じた情報をユーザに提示可能とする攻撃検知ルール生成装置。
続きを表示(約 1,500 文字)
【請求項2】
請求項1に記載の攻撃検知ルール生成装置において、
さらに、前記攻撃シナリオのリスク値から前記監視対象システムに対するセキュリティ攻撃の監視優先度を決定する監視優先度決定部を有し、
前記攻撃検知ルール生成部は、前記監視優先度の優先度が大きい攻撃シナリオに該当するセキュリティ攻撃ほど優先的に検知する攻撃検知ルールを生成する攻撃検知ルール生成装置。
【請求項3】
請求項2に記載の攻撃検知ルール生成装置において、
セキュリティ監視装置から通知される、前記攻撃検知ルールを用いて検知されたセキュリティ攻撃に該当する攻撃シナリオを判別する攻撃シナリオ判別部をさらに有し、
前記監視優先度決定部は、判別された前記攻撃シナリオの監視優先度を更新する攻撃検知ルール生成装置。
【請求項4】
請求項1に記載の攻撃検知ルール生成装置において、
前記監視対象システムは、複数の構成機器で構成され、
前記攻撃シナリオ特定部は、前記構成機器それぞれの入力元および出力先を用いて、前記セキュリティ攻撃の原因機器から外部インタフェースを連鎖的に特定することで、前記セキュリティ攻撃の進行経路を構成する構成機器を特定する攻撃検知ルール生成装置。
【請求項5】
攻撃検知ルール生成装置による実行され、監視対象システムに対するセキュリティ攻撃を検知するための攻撃検知ルールを生成する攻撃検知ルール生成方法において、
記憶部に、前記監視対象システムの機器構成モデルと、前記監視対象システムの各構成機器が異常事象を受けた場合に発生し得る結果事象およびその影響を示す異常事象モデルとを記憶し、
攻撃シナリオ特定部により、前記機器構成モデルおよび前記異常事象モデルに基づいて、前記監視対象システムに対する攻撃シナリオおよび当該攻撃シナリオのリスク値を特定し、
攻撃検知ルール生成部により、前記リスク値に基づく優先順位で攻撃シナリオに該当するセキュリティ攻撃を検知する攻撃検知ルールを生成することで、
前記攻撃検知ルールに応じた情報をユーザに提示可能とする攻撃検知ルール生成方法。
【請求項6】
請求項5に記載の攻撃検知ルール生成方法において、
さらに、監視優先度決定部により、前記攻撃シナリオのリスク値から前記監視対象システムに対するセキュリティ攻撃の監視優先度を決定し、
前記攻撃検知ルール生成部により、前記監視優先度の優先度が大きい攻撃シナリオに該当するセキュリティ攻撃ほど優先的に検知する攻撃検知ルールを生成する攻撃検知ルール生成方法。
【請求項7】
請求項6に記載の攻撃検知ルール生成方法において、
さらに、攻撃シナリオ判別部により、セキュリティ監視装置から通知される、前記攻撃検知ルールを用いて検知されたセキュリティ攻撃に該当する攻撃シナリオを判別し、
前記監視優先度決定部により、判別された前記攻撃シナリオの監視優先度を更新する攻撃検知ルール生成方法。
【請求項8】
請求項5に記載の攻撃検知ルール生成方法において、
前記監視対象システムは、複数の構成機器で構成され、
前記攻撃シナリオ特定部により、前記構成機器それぞれの入力元および出力先を用いて、前記セキュリティ攻撃の原因機器から外部インタフェースを連鎖的に特定することで、前記セキュリティ攻撃の進行経路を構成する構成機器を特定する攻撃検知ルール生成方法。
発明の詳細な説明
【技術分野】
【0001】
本発明は、不正アクセスなどを含むセキュリティ攻撃による情報処理システムにおけるセキュリティ異常への対処を支援するための技術に関する。
続きを表示(約 1,900 文字)
【背景技術】
【0002】
情報(IT)システムや、社会インフラや産業などの制御(OT)システム(以下システム)が市民生活において大きな役割を果たすようになっている。その一方、これらのシステムに対するセキュリティ攻撃(いわゆるサイバー攻撃)によって生活の利便性のみならず、人命や環境への影響が生じるリスクも懸念されており、それらを未然に防止することが求められている。そのためには、システムに対する攻撃によって発生する異常を迅速に検知し、それらに適切に対処することが必要となる。
【0003】
このために、Security Information and Event Management(SIEM)と呼ばれる技術が提案されている。SIEMでは、システムを構成する機器が生成する動作ログや、機器間の通信内容を収集し、それらが期待した動作状態から逸脱していないかを予め設定したルールによって監視する。
【0004】
但し、SIEMでは、設定するルールによってはセキュリティ攻撃の重要な特徴や兆候だけでなく、正常動作時のログや重要度の低い異常を検知し、警告を出力してしまう場合がある。後者による警告はときとして大量に発生し、前者に関する警告がその中に埋もれて見過ごされてしまう場合もある。このため、SIEMの運用には監視対象のシステムや攻撃手段に精通した人員を要し、検知結果の検討にも多くの工数が必要となる。
【0005】
この課題に関連した先行技術として、特許文献1が提案されている。特許文献1では、予め監視対象システムにおいて発生しうる攻撃シナリオとそれを構成する攻撃を特定しておき、監視対象システムから取得したログにおいて前記の特定した攻撃に対応するイベントを検知した場合に、前記攻撃シナリオにおいて攻撃が進行した可能性のある段階や、検知したイベントにおける攻撃シナリオ内での重要性を評価してユーザに通知する。
【先行技術文献】
【特許文献】
【0006】
特開2023-060483号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
ここで、システムに対するセキュリティ攻撃の攻撃シナリオは、複数想定される。そして、それぞれの攻撃シナリオが最終的な攻撃目標に到達した場合に引き起こされる結果事象のリスクが異なることがある。ここで、結果事象としては、例えば、制御対象のプラントが誤動作して爆発する、生産ラインが停止して製品が生産されなくなることなどが想定され、リスクとしては、例えば、国際標準IEC 62443などで例示されている、当該事象の発生見込みと影響の大きさによって定義されるリスクが想定される。
【0008】
このような場合には、結果事象のリスクが大きな攻撃シナリオをより警戒することが望ましい。このことから、そのような攻撃シナリオを構成するイベントが他の攻撃シナリオのイベントに埋もれないよう、より高い優先度に従ってユーザに提示する必要がある。しかし、特許文献1では、リスクの異なる複数の攻撃シナリオが想定される場合に、検知されたイベントの重要度に対して攻撃シナリオ間のリスクの差を反映させる手段が必ずしも明確でない。そこで、本発明では、その重要性や必要性に応じたより適切なセキュリティ攻撃を検知することを課題とする。
【課題を解決するための手段】
【0009】
本発明は上記の課題に鑑みてなされたものであり、リスク値に基づき、特にリスク値に応じた監視優先度に応じて、セキュリティ攻撃を検知する。
【0010】
その具体的な構成の一例は、監視対象システムに対するセキュリティ攻撃を検知するための攻撃検知ルールを生成する攻撃検知ルール生成装置において、前記監視対象システムの機器構成モデル、および、前記監視対象システムの各構成機器が異常事象を受けた場合に発生し得る結果事象およびその影響を示す異常事象モデルを記憶する記憶部と、前記機器構成モデルおよび前記異常事象モデルに基づいて、前記監視対象システムに対する攻撃シナリオおよび当該攻撃シナリオのリスク値を特定する攻撃シナリオ特定部と、前記リスク値に基づく優先順位で攻撃シナリオに該当するセキュリティ攻撃を検知する攻撃検知ルールを生成する攻撃検知ルール生成部を有する攻撃検知ルール生成装置である。
(【0011】以降は省略されています)
この特許をJ-PlatPatで参照する
関連特許
株式会社日立製作所
回転電機
4日前
株式会社日立製作所
軌条車両
5日前
株式会社日立製作所
電力変換装置
9日前
株式会社日立製作所
電力変換装置
15日前
株式会社日立製作所
気体圧縮装置
1日前
株式会社日立製作所
電力変換装置
15日前
株式会社日立製作所
電力変換装置
15日前
株式会社日立製作所
水電解システム
8日前
株式会社日立製作所
軌道計画システム
4日前
株式会社日立製作所
作業支援システム
2日前
株式会社日立製作所
電力変換装置の冷却構造
15日前
株式会社日立製作所
巻上機及びエレベーター
15日前
株式会社日立製作所
診断装置および診断方法
1日前
株式会社日立製作所
再生品販売支援システム
4日前
株式会社日立製作所
乗りかご及びエレベーター
4日前
株式会社日立製作所
設計支援システムおよび方法
5日前
株式会社日立製作所
乗り場ドア及びエレベーター
5日前
株式会社日立製作所
制御装置、及び情報提示方法
3日前
株式会社日立製作所
最適化システム及び最適化方法
4日前
株式会社日立製作所
人工衛星及び人工衛星システム
4日前
株式会社日立製作所
漏水検出装置及びシステム、方法
9日前
株式会社日立製作所
電力変換装置および電力変換方法
4日前
株式会社日立製作所
蓄電池部分の輸送および保管方法
4日前
株式会社日立製作所
品目検索システム及び品目検索方法
8日前
株式会社日立製作所
欠陥検査システム及び欠陥検査方法
9日前
株式会社日立製作所
雲高計測システム及び雲高計測方法
4日前
株式会社日立製作所
計算機システム及びデータ管理方法
15日前
株式会社日立製作所
原料照合システム及び原料照合方法
4日前
株式会社日立製作所
超電導コイルおよび超電導磁石装置
5日前
株式会社日立製作所
障害検知システム、及び障害検知方法
2日前
株式会社日立製作所
電力取引システム及び電力取引方法。
2日前
株式会社日立製作所
材料情報管理システム及び審査支援方法
4日前
株式会社日立製作所
設計製造支援装置及び設計製造支援方法
9日前
株式会社日立製作所
意思決定支援システム及び意思決定方法
4日前
株式会社日立製作所
支援装置、支援方法、及び支援プログラム
4日前
株式会社日立製作所
制御装置、制御システム、および制御方法
9日前
続きを見る
他の特許を見る
特許ウォッチ
