特許ウォッチ

公開番号2025076555
公報種別公開特許公報(A)
公開日2025-05-16
出願番号2023188149
出願日2023-11-02
発明の名称セキュリティ設計支援装置、セキュリティ設計支援方法、及びセキュリティ設計支援プログラム
出願人株式会社デンソー
代理人個人,個人
主分類G06F 21/57 20130101AFI20250509BHJP(計算;計数)
要約【課題】実現可能性の低いマルチホップの脅威シナリオの生成量を抑制するセキュリティ設計支援装置、方法及びプログラムを提供する。
【解決手段】セキュリティ設計支援装置100は、システム情報を入力する入力部101、起こりうるセキュリティ上の脅威を示す第1の脅威シナリオを生成する脅威シナリオ生成部105、第1の脅威シナリオのリスクレベルを求めるリスクレベル評価部108、リスクレベルが所定レベル以上の第1の脅威シナリオに対し必要な対策を施した場合の第1の脅威シナリオの実現可能性である第2の実現可能性を用いて、サブシステムが乗っ取られる可能性を推定する乗っ取り可能性評価部112、乗っ取り可能性が所定レベル以上の場合、乗っ取られる可能性のあるサブシステムを起点に起こりうるセキュリティ上の脅威を示す第2の脅威シナリオを生成する追加脅威シナリオ生成部113及び第2の脅威シナリオを出力する出力部115を含む。
【選択図】図3
特許請求の範囲【請求項１】
システム（１）の構成要素を示し、前記システムの前記構成要素として前記システムを構成するサブシステム（２，３，４）を示す情報を含むシステム情報を入力する入力部（１０１，２０１）と、
前記システム情報及び前記システムの保護資産を示す保護資産情報から、脅威シナリオの予め定めた構成要素を用いて、起こりうるセキュリティ上の脅威を示す第１の脅威シナリオを生成する脅威シナリオ生成部（１０５，２０５）と、
前記第１の脅威シナリオの実現可能性である第１の実現可能性を用いて、前記第１の脅威シナリオのリスクレベルを求めるリスクレベル評価部（１０８，２０８）と、
前記リスクレベルが所定のレベル以上の前記第１の脅威シナリオに対し必要な対策を施した場合の前記第１の脅威シナリオの実現可能性である第２の実現可能性を用いて、前記サブシステムが乗っ取られる可能性である乗っ取り可能性を推定する乗っ取り可能性評価部（１１２，２１２）と、
前記乗っ取り可能性が所定のレベル以上の場合、乗っ取られる可能性のある前記サブシステムを起点に起こりうるセキュリティ上の脅威を示す第２の脅威シナリオを生成する追加脅威シナリオ生成部（１１３，２１３）と、
前記第２の脅威シナリオを出力する出力部（１１５，２１５）と、を有する、
セキュリティ設計支援装置（１００，２００，３００）。
続きを表示（約 2,200 文字）【請求項２】
さらに、前記システム情報から、前記保護資産情報を求める保護資産抽出部（１０３）と、
前記第１の脅威シナリオの実現可能性である前記第１の実現可能性を求める実現可能性評価部（１０７）と、
前記リスクレベルが所定のレベル以上の前記第１の脅威シナリオに対し、前記必要な対策を決定するセキュリティ対策決定部（１０９）と、
前記必要な対策を施した場合の前記第１の脅威シナリオの実現可能性である前記第２の実現可能性を求める実現可能性再評価部（１１１）、の少なくとも１つを有する、
請求項１記載のセキュリティ設計支援装置（１００，３００）。
【請求項３】
前記入力部は、さらに、前記保護資産情報、前記第１の実現可能性、前記必要な対策、前記第２の実現可能性、の少なくとも１つを入力する、
請求項１記載のセキュリティ設計支援装置（２００，３００）。
【請求項４】
脅威の起点を示す前記脅威シナリオの前記構成要素を、前記サブシステム内又は前記サブシステム外のいずれかとする、
請求項１記載のセキュリティ設計支援装置。
【請求項５】
前記乗っ取り可能性評価部は、前記第２の実現可能性を求めた前記第１の脅威シナリオのうち、乗っ取りの経路に合致する条件、乗っ取りの主観が合致する条件、乗っ取りの結果が合致する条件、及び乗っ取りの手段が合致する条件の少なくとも１つを満たす前記第１の脅威シナリオを特定し、特定した前記第１の脅威シナリオが対象とする保護資産である前記サブシステム毎に特定した前記第１の脅威シナリオを分類し、前記サブシステム毎に、前記第１の脅威シナリオのそれぞれの前記第２の実現可能性に基づき前記乗っ取り可能性を求める、
請求項１記載のセキュリティ設計支援装置。
【請求項６】
前記追加脅威シナリオ生成部は、前記脅威シナリオ生成部で生成した前記第１の脅威シナリオにおける前記脅威の起点を、乗っ取られる可能性のある前記サブシステムに書き換えることにより前記第２の脅威シナリオを生成する、
請求項４記載のセキュリティ設計支援装置。
【請求項７】
さらに、リスクに対する前記保護資産の影響度を求める影響度評価部（１０４）を有し、
前記リスクレベル評価部は、前記第１の実現可能性及び前記影響度を用いて、前記第１の脅威シナリオの前記リスクレベルを求める、
請求項１記載のセキュリティ設計支援装置。
【請求項８】
セキュリティ設計支援装置で実行されるセキュリティ設計支援方法であって、
システム（１）の構成要素を示し、前記システムの前記構成要素として前記システムを構成するサブシステム（２，３，４）を示す情報を含むシステム情報を入力し（Ｓ１０１）、
前記システム情報及び前記システムの保護資産を示す保護資産情報から、脅威シナリオの予め定めた構成要素を用いて、起こりうるセキュリティ上の脅威を示す第１の脅威シナリオを生成し（Ｓ１０３）、
前記第１の脅威シナリオの実現可能性である第１の実現可能性を用いて、前記第１の脅威シナリオのリスクレベルを求め（Ｓ１０５）、
前記リスクレベルが所定のレベル以上の前記第１の脅威シナリオに対し必要な対策を施した場合の前記第１の脅威シナリオの実現可能性である第２の実現可能性を用いて、前記サブシステムが乗っ取られる可能性である乗っ取り可能性を推定し（Ｓ１０８）、
前記乗っ取り可能性が所定のレベル以上の場合、乗っ取られる可能性のある前記サブシステムを起点に起こりうるセキュリティ上の脅威を示す第２の脅威シナリオを生成し（Ｓ１１０）、
前記第２の脅威シナリオを出力する、
セキュリティ設計支援方法。
【請求項９】
セキュリティ設計支援装置で実行可能なセキュリティ設計支援プログラムであって、
システム（１）の構成要素を示し、前記システムの前記構成要素として前記システムを構成するサブシステム（２，３，４）を示す情報を含むシステム情報を入力し（Ｓ１０１）、
前記システム情報及び前記システムの保護資産を示す保護資産情報から、脅威シナリオの予め定めた構成要素を用いて、起こりうるセキュリティ上の脅威を示す第１の脅威シナリオを生成し（Ｓ１０３）、
前記第１の脅威シナリオの実現可能性である第１の実現可能性を用いて、前記第１の脅威シナリオのリスクレベルを求め（Ｓ１０５）、
前記リスクレベルが所定のレベル以上の前記第１の脅威シナリオに対し必要な対策を施した場合の前記第１の脅威シナリオの実現可能性である第２の実現可能性を用いて、前記サブシステムが乗っ取られる可能性である乗っ取り可能性を推定し（Ｓ１０８）、
前記乗っ取り可能性が所定のレベル以上の場合、乗っ取られる可能性のある前記サブシステムを起点に起こりうるセキュリティ上の脅威を示す第２の脅威シナリオを生成し（Ｓ１１０）、
前記第２の脅威シナリオを出力する、
ことを前記セキュリティ設計支援装置に実行させる、セキュリティ設計支援プログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、システムに対する脅威分析及びリスク評価を効率的に行うことができるよう支援する装置、方法、及びプログラムに関する。
続きを表示（約 2,200 文字）【背景技術】
【０００２】
近年、車車間通信や路車間通信のようなＶ２Ｘをはじめ、運転支援や自動運転制御を行う技術が注目されている。これに伴い、車両が通信機能を備えるようになり、いわゆる車両のコネクティッド化が進んでいる。この結果、車両が不正アクセスといったサイバー攻撃を受ける可能性が増加している。そのため、車両に想定されるリスクを特定、分析、評価し、その結果にしがって想定されるリスクを低減する必要がある。このようなリスクアセスメント活動は、ＩＳＯ／ＳＡＥ２１４３４において、脅威分析とリスク評価（ＴＡＲＡ：Threat Analysis and Risk Assessment）としてまとめられ、推奨されている。
【０００３】
例えば、特許文献１には、大規模システムの膨大な資産において発生しうる脅威を効率的に抽出するために、脅威に対する知見を格納したデータベースに対し、対象システムの脅威の特徴をデータベースと照合して類似脅威群を特定し、類似脅威群が含む類似脅威に対応づけられた対策方針群のうち、類似脅威間での出現頻度が所定以上の対策方針を特定する構成が開示されている。
【０００４】
また、特許文献２には、５Ｗ情報を入力し、５Ｗ情報を構成する要素（element）を組み合わせて脅威事象を表す５Ｗレコードリストを生成し、明らかに脅威とはならない事象を定義した前提条件を入力し、前提条件に応じた脅威事象を表す５Ｗレコードを５Ｗレコードリストから除外する構成が開示されている。
【先行技術文献】
【特許文献】
【０００５】
特開２０１６－４５７３６号公報
特開２０２２－１０１７１６号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
ここで、本発明者は、以下の課題を見出した。
脅威分析においては、保護資産の数、システムの構成要素（component）、及び通信経路が増加するほど脅威シナリオを構成する要素（element）のバリエーションが増え、脅威シナリオを構成する要素の組み合わせが爆発的に増加し、その結果脅威分析の分析量が膨大となる。特に、システムを構成するサブシステムを乗っ取り、乗っ取ったサブシステムを介して引き起こされるような乗っ取りが介在する脅威を含むすべての脅威シナリオを作成した場合、その数は増加する。乗っ取りの回数が複数回である場合も考慮するとその数はさらに増加する。しかし、乗っ取りが介在する脅威の評価を省略した場合、十分なリスク低減が実現できない可能性がある。なお、乗っ取りが介在する脅威は、乗っ取りの回数が複数回の場合も含むことに着目し、以後『マルチホップの脅威』や『マルチホップの脅威シナリオ』との表現を用いる。
【０００７】
そこで、本発明は、実現可能性の低いマルチホップの脅威シナリオの生成量を抑制することにより、マルチホップの脅威シナリオを含めた有意な脅威シナリオを網羅しつつ、分析量を抑制するセキュリティ設計支援装置等を実現することを目的とする。
【課題を解決するための手段】
【０００８】
本開示のセキュリティ設計支援装置（１００，２００，３００）は、
システム（１）の構成要素（component）を示し、前記システムの前記構成要素（component）として前記システムを構成するサブシステム（２，３，４）を示す情報を含むシステム情報を入力する入力部（１０１，２０１）と、
前記システム情報及び前記システムの保護資産を示す保護資産情報から、脅威シナリオの予め定めた構成要素（element）を用いて、起こりうるセキュリティ上の脅威を示す第１の脅威シナリオを生成する脅威シナリオ生成部（１０５，２０５）と、
前記第１の脅威シナリオの実現可能性である第１の実現可能性を用いて、前記第１の脅威シナリオのリスクレベルを求めるリスクレベル評価部（１０８，２０８）と、
前記リスクレベルが所定のレベル以上の前記第１の脅威シナリオに対し必要な対策を施した場合の前記第１の脅威シナリオの実現可能性である第２の実現可能性を用いて、前記サブシステムが乗っ取られる可能性である乗っ取り可能性を推定する乗っ取り可能性評価部（１１２，２１２）と、
前記乗っ取り可能性が所定のレベル以上の場合、乗っ取られる可能性のある前記サブシステムを起点に起こりうるセキュリティ上の脅威を示す第２の脅威シナリオを生成する追加脅威シナリオ生成部（１１３，２１３）と、
前記第２の脅威シナリオを出力する出力部（１１５，２１５）と、
を備える。
【０００９】
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
【発明の効果】
【００１０】
上述のような構成により、本開示のセキュリティ設計支援装置等は、実現可能性の低いマルチホップの脅威シナリオの生成量を抑制することにより、マルチホップの脅威シナリオを含めた有意な脅威シナリオを網羅しつつ、分析量を抑制することができる。
【図面の簡単な説明】
（【００１１】以降は省略されています）

関連特許