特許ウォッチ

公開番号2025080797
公報種別公開特許公報(A)
公開日2025-05-27
出願番号2023194055
出願日2023-11-15
発明の名称セキュリティ管理装置およびセキュリティ管理方法
出願人富士電機株式会社
代理人インフォート弁理士法人
主分類G06F 21/55 20130101AFI20250520BHJP(計算;計数)
要約【課題】サイバー攻撃に対して迅速に対応できる装置および方法を提供する。
【解決手段】セキュリティ管理装置は、ログ情報収集部、攻撃検知部、攻撃検知履歴保存部、攻撃パターン情報保存部、攻撃量算出部、および攻撃対処部を備える。ログ情報収集部は、監視対象システムのログ情報を収集する。攻撃検知部は、ログ情報に基づいて監視対象システムへの攻撃手法を検知する。保存部には、攻撃検知部により検知された攻撃手法が記録される攻撃検知履歴、および、複数の攻撃手法から構成される攻撃パターンを表す攻撃パターン情報が保存される。攻撃量算出部は、攻撃パターン情報が表す攻撃パターンを構成する複数の攻撃手法のうちから、攻撃検知履歴に記録されている攻撃手法を抽出し、抽出した攻撃手法に基づいて攻撃量を算出する。攻撃対処部は、攻撃量算出部により算出された攻撃量に基づいて、監視対象システムへの攻撃に対する対応処理を実施する。
【選択図】図1
特許請求の範囲【請求項１】
監視対象システムにおいて発生した事象を表すログ情報を収集するログ収集部と、
前記ログ情報に基づいて前記監視対象システムへの攻撃手法を検知する攻撃検知部と、
前記攻撃検知部により検知された攻撃手法が記録される攻撃検知履歴を保存する攻撃検知履歴保存部と、
脅威情報収集ベンダが提供する脅威情報に基づいて作成される、複数の攻撃手法から構成される攻撃パターンを表す攻撃パターン情報を保存する攻撃パターン情報保存部と、
前記攻撃パターン情報が表す攻撃パターンを構成する複数の攻撃手法のうちから、前記攻撃検知履歴に記録されている攻撃手法を抽出し、抽出した攻撃手法に基づいて攻撃量を算出する攻撃量算出部と、
前記攻撃量算出部により算出された攻撃量に基づいて、前記監視対象システムへの攻撃に対する対応処理を実施する攻撃対処部と、
を備えるセキュリティ管理装置。
続きを表示（約 1,300 文字）【請求項２】
前記攻撃パターン情報は、前記攻撃パターンを構成する複数の攻撃手法それぞれについての重みを表す重み情報を含み、
前記攻撃量算出部は、前記攻撃パターン情報から抽出した攻撃手法に対応する重みを、前記攻撃検知部により検知された順番に足し合わせることで、前記攻撃量を算出する
ことを特徴とする請求項１に記載のセキュリティ管理装置。
【請求項３】
前記攻撃パターン情報は、前記攻撃パターンを構成する複数の攻撃手法それぞれについて設定された対応処理を表す対応処理情報を含み、
前記攻撃検知部により第１の攻撃手法が検知されことに起因して前記攻撃量が所定の閾値を超えたときに、前記攻撃対処部は、前記第１の攻撃手法に対して設定されている対応処理を前記監視対象システムに対して実施する
ことを特徴とする請求項２に記載のセキュリティ管理装置。
【請求項４】
前記攻撃対処部は、前記対応処理情報に基づいて、前記第１の攻撃手法に対して設定されている対応処理および前記第１の攻撃手法以降に検知される攻撃手法に対して設定されている対応処理を前記監視対象システムに対して実施する
ことを特徴とする請求項３に記載のセキュリティ管理装置。
【請求項５】
前記攻撃パターン情報保存部には、複数の攻撃パターンに対応する複数の攻撃パターン情報が保存されており、
前記攻撃量算出部は、前記脅威情報収集ベンダが提供する脅威情報に基づいて複数の攻撃パターン情報の中から選択される攻撃パターン情報を利用して前記攻撃量を算出する
ことを特徴とする請求項２に記載のセキュリティ管理装置。
【請求項６】
前記攻撃パターン情報保存部には、複数の攻撃パターンに対応する複数の攻撃パターン情報が保存されており、
前記攻撃量算出部は、前記複数の攻撃パターンそれぞれに対して攻撃量を算出し、
前記攻撃対処部は、前記攻撃量算出部により算出される攻撃量が最初に所定の閾値を超えた攻撃パターンに基づいて、或いは、前記攻撃量算出部により算出される攻撃量が最も大きくなる攻撃パターンに基づいて、前記監視対象システムに対して対応処理を実施する
ことを特徴とする請求項２に記載のセキュリティ管理装置。
【請求項７】
監視対象システムにおいて発生した事象を表すログ情報を収集し、
前記ログ情報に基づいて前記監視対象システムへの攻撃手法を検知し、
検知した攻撃手法を記録した攻撃検知履歴を保存し、
脅威情報収集ベンダが提供する脅威情報に基づいて作成される、複数の攻撃手法から構成される攻撃パターンを表す攻撃パターン情報を保存し、
前記攻撃パターン情報が表す攻撃パターンを構成する複数の攻撃手法のうちから、前記攻撃検知履歴に記録されている攻撃手法を抽出し、抽出した攻撃手法に基づいて攻撃量を算出し、
算出した攻撃量に基づいて、前記監視対象システムへの攻撃に対する対応処理を実施する、
ことを特徴とするセキュリティ管理方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、サイバー攻撃に対するセキュリティを管理する装置および方法に係わる。
続きを表示（約 1,800 文字）【背景技術】
【０００２】
情報処理システムまたは設備に対するサイバー攻撃を検知する技術の１つとして、ＳＩＥＭ（Security Information and Event Management）等のセキュリティ管理ツールが知られている。ＳＩＥＭツールは、一元的に管理するログ情報を分析することで、セキュリティ脅威を検知する。そして、脅威を検知すると、ＳＩＥＭツールは、対応処理を指示する情報を出力する。なお、サイバー攻撃に対する対策を実行するか否かを判断する方法が提案されている（例えば、特許文献１）。
【先行技術文献】
【特許文献】
【０００３】
特開２０２１－１４０４６０号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
ところが、従来のセキュリティ管理ツールによる判定結果は、多くの擬陽性（即ち、実際には脅威ではない事象）を含むことがある。このため、セキュリティアナリスト等の専門家がセキュリティ管理ツールの判定結果を分析し、対策の要否を決定する作業が必要になる。この結果、人的な作業負荷が大きくなると共に、脅威に対する対策が遅れるおそれがある。
【０００５】
本発明の１つの側面に係わる目的は、サイバー攻撃に対して迅速に対応できる装置および方法を提供することである。
【課題を解決するための手段】
【０００６】
本発明の１つの態様に係わるセキュリティ管理装置は、監視対象システムにおいて発生した事象を表すログ情報を収集するログ収集部と、前記ログ情報に基づいて前記監視対象システムへの攻撃手法を検知する攻撃検知部と、前記攻撃検知部により検知された攻撃手法が記録される攻撃検知履歴を保存する攻撃検知履歴保存部と、脅威情報収集ベンダが提供する脅威情報に基づいて作成される、複数の攻撃手法から構成される攻撃パターンを表す攻撃パターン情報を保存する攻撃パターン情報保存部と、前記攻撃パターン情報が表す攻撃パターンを構成する複数の攻撃手法のうちから、前記攻撃検知履歴に記録されている攻撃手法を抽出し、抽出した攻撃手法に基づいて攻撃量を算出する攻撃量算出部と、前記攻撃量算出部により算出された攻撃量に基づいて、前記監視対象システムへの攻撃に対する対応処理を実施する攻撃対処部と、を備える。
【発明の効果】
【０００７】
上述の態様によれば、サイバー攻撃に対して迅速な対応が可能になる。
【図面の簡単な説明】
【０００８】
本発明の実施形態に係わるセキュリティ管理装置の機能構成の一例を示す図である。
ＭＩＴＲＥが提供する敵対的な戦術とテクニックおよび共通知識（ＡＴＴ＆ＣＫ）を説明する図である。
ログ情報に基づいて作成される攻撃検知履歴の一例を示す図である。
攻撃パターン情報を作成する方法の一例を示す図である。
攻撃量算出部により算出された攻撃量の一例を示す図である。
セキュリティ管理装置の動作の一例を示すフローチャートである。
セキュリティ管理装置が保持する複数の攻撃パターン情報の例を示す図である。
セキュリティ管理装置のハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【０００９】
図１は、本発明の実施形態に係わるセキュリティ管理装置の機能構成の一例を示す。本発明の実施形態に係わるセキュリティ管理装置１０は、監視対象システム２０への攻撃をモニタし、必要に応じて対応処理を実施する。監視対象システム２０は、特に限定されるものではないが、１または複数のコンピュータを備える。監視対象システム２０は、クラウドコンピュータシステムであってもよい。また、監視対象システム２０は、１または複数のエッジデバイスが接続されていてもよい。
【００１０】
セキュリティ管理装置１０は、ログ収集部１１、攻撃検知部１２、攻撃検知履歴保存部１３、攻撃パターン情報作成部１４、攻撃パターン情報保存部１５、攻撃量算出部１６、および攻撃対処部１７を備える。なお、セキュリティ管理装置１０は、図１に示していない他の機能を備えてもよい。また、図１においては、通信機能は省略されている。
（【００１１】以降は省略されています）

関連特許