特許ウォッチ

公開番号2025152311
公報種別公開特許公報(A)
公開日2025-10-09
出願番号2024054144
出願日2024-03-28
発明の名称脅威インテリジェンス生成装置、及び脅威インテリジェンス生成方法
出願人株式会社日立製作所
代理人藤央弁理士法人
主分類G06F 21/55 20130101AFI20251002BHJP(計算;計数)
要約【課題】情報漏洩を防止し、異なる複数の組織から得た情報を統合して脅威インテリジェンスを生成し、共有する。
【解決手段】脅威インテリジェンス生成装置は、脅威インテリジェンス生成装置が設けられた第1の組織において発生したインシデントの被害ユーザ、及び被害機器の少なくとも一方を特定し、特定した前記被害ユーザ、及び前記被害機器の少なくとも一方に関する第1のインシデント関連情報を収集し、前記第1の組織と異なる第2の組織において発生した、前記第1の組織において発生した前記インシデントと同一のインシデントの被害ユーザ、及び被害機器の少なくとも一方に関する第2のインシデント関連情報を収集し、第1のインシデント関連情報と、第2のインシデント関連情報とを突合して共通点を抽出し、前記共通点のうち、前記脅威インテリジェンスである蓋然性が低い情報を除外し、除外しなかった前記共通点を提示する。
【選択図】図1
特許請求の範囲【請求項１】
サイバー攻撃に起因するインシデントに関連する脅威インテリジェンスを生成する脅威インテリジェンス生成装置であって、
１以上の演算装置と、１以上のメモリリソースと、１以上の記憶装置と、を備え、
前記演算装置は、
前記脅威インテリジェンス生成装置が設けられた第１の組織において発生した前記インシデントの被害ユーザ、及び被害機器の少なくとも一方を特定し、
特定した前記被害ユーザ、及び前記被害機器の少なくとも一方に関する第１のインシデント関連情報を収集し、
前記第１の組織と異なる第２の組織において発生した、前記第１の組織において発生した前記インシデントと同一のインシデントの被害ユーザ、及び被害機器の少なくとも一方に関する第２のインシデント関連情報を収集し、
前記第１のインシデント関連情報と、前記第２のインシデント関連情報とを突合して共通点を抽出し、
抽出した前記共通点のうち、前記脅威インテリジェンスである蓋然性が低い情報を除外し、
除外しなかった前記共通点を提示することを特徴とする脅威インテリジェンス生成装置。
続きを表示（約 1,200 文字）【請求項２】
請求項１に記載の脅威インテリジェンス生成装置であって、
前記演算装置は、前記第１のインシデント関連情報と前記第２のインシデント関連情報との突合に際し、機微性の高い情報を暗号化した状態で突合することを特徴とする脅威インテリジェンス生成装置。
【請求項３】
請求項１に記載の脅威インテリジェンス生成装置であって、
前記演算装置は、前記第１のインシデント関連情報と前記第２のインシデント関連情報との突合に際し、組織毎に異なるローカルな情報を抽象化して突合することを特徴とする脅威インテリジェンス生成装置。
【請求項４】
請求項１に記載の脅威インテリジェンス生成装置であって、
前記演算装置は、所定のタイムウィンドウにおいて、前記第１のインシデント関連情報と前記第２のインシデント関連情報との突合することを特徴とする脅威インテリジェンス生成装置。
【請求項５】
請求項１に記載の脅威インテリジェンス生成装置であって、
前記演算装置は、前記第１の組織、及び前記第２の組織において発生した前記同一のインシデントの前記被害ユーザ、及び前記被害機器の少なくとも一方に共通するイベントと、共通していないが不審度が高いイベントとを時系列に表す時系列イベント描画画面を表示することを特徴とする脅威インテリジェンス生成装置。
【請求項６】
サイバー攻撃に起因するインシデントに関連する脅威インテリジェンスを生成する脅威インテリジェンス生成装置による脅威インテリジェンス生成方法であって、
１以上の演算装置と、１以上のメモリリソースと、１以上の記憶装置と、を有し、
前記脅威インテリジェンス生成方法は、
前記演算装置が、前記脅威インテリジェンス生成装置が設けられた第１の組織において発生した前記インシデントの被害ユーザ、及び被害機器の少なくとも一方を特定するステップと、
前記演算装置が、特定した前記被害ユーザ、及び前記被害機器の少なくとも一方に関する第１のインシデント関連情報を収集するステップと、
前記演算装置が、前記第１の組織と異なる第２の組織において発生した、前記第１の組織において発生した前記インシデントと同一のインシデントの被害ユーザ、及び被害機器の少なくとも一方に関する第２のインシデント関連情報を収集するステップと、
前記演算装置が、前記第１のインシデント関連情報と、前記第２のインシデント関連情報とを突合して共通点を抽出するステップと、
前記演算装置が、抽出した前記共通点のうち、前記脅威インテリジェンスである蓋然性が低い情報を除外するステップと、
除外しなかった前記共通点を提示するステップと、を含むことを特徴とする脅威インテリジェンス生成方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、脅威インテリジェンス生成装置、及び脅威インテリジェンス生成方法に関する。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
近年、官公庁や企業、研究所、学校等の様々な組織に対するサイバー攻撃が活発になっており、各組織はサイバーセキュリティの重要性を認識し、対策を講じる必要性が高まっている。しかしながら、サイバー攻撃は巧妙、且つ複雑化しており、対策を講じるためには、より高度で継続的な情報収集が求められている。
【０００３】
サイバー攻撃に関する情報には、攻撃者の目的や手口、攻撃ターゲット等が含まれ、これらは一括して脅威インテリジェンスと称される。
【０００４】
現状、サイバー攻撃に対処するための脅威インテリジェンスの生成、活用に関しては、いくつかの課題が存在する。具体的には、サイバー攻撃に関する情報共有が属人的でシステム化されておらず、異なる組織間での連携が不足していることが挙げられる。そして、情報共有の課題としては機微情報の存在が挙げられる。組織が抱える情報には、機密性の高い情報が多く含まれており、これらを他の組織と共有することが難しく、これが一因となって効果的な脅威インテリジェンスの生成や攻撃パターンの予測が制約されている。
【０００５】
さらに、サイバー攻撃に関連した情報を高精度で分析し、脅威インテリジェンスを生成する方法が確立されていないという課題もある。サイバー攻撃者の動機や目的、使用する手法は日々変化しており、これに対応するためには即座かつ正確な情報収集と分析が必要であるが、そのための適切な手法やツールが不足している。
【０００６】
サイバー脅威に対する脅威インテリジェンスに関し、例えば特許文献１には「第１のシステムが第１のユーザ端末からサイバー攻撃に関する情報を受信した場合に、記憶装置に前記情報を、前記第１のシステムにアクセス可能な第２のユーザ端末からのアクセスが可能な状態で記憶するとともに、前記情報のデータ構造を、前記第１のシステムと異なる第２のシステムにおいて利用可能な状態に変換して前記第２のシステムからアクセス可能な前記記憶装置に記憶、または前記第２のシステムに記憶する登録部と、前記第２のシステムにサイバー攻撃に関する他の情報が追加された場合、前記第１のシステムが前記第２のシステム、または前記記憶装置から受信する前記他の情報を前記第２のユーザ端末からアクセス可能な状態に変換して出力する出力部と、を有することを特徴とする情報処理装置」が記載されている。
【先行技術文献】
【特許文献】
【０００７】
特開２０１９－４０５３３号公報
【発明の概要】
【発明が解決しようとする課題】
【０００８】
特許文献１に記載の技術によれば、様々な情報源から情報を収集し、集計、蓄積して、他システムからもアクセスできる脅威インテリジェンスを生成できる。また、共有される脅威インテリジェンスには、ＴＬＰ(Traffic Light Protocol)等のアクセス範囲を示す情報が含まれ、アクセス範囲を制御することができる。
【０００９】
しかしながら、特許文献１に記載の技術では、複数組織が持つ情報を統合し、新たな脅威インテリジェンスを生成することはできない。また、共有される機微情報に対して、ＴＬＰ等による制御をしており、当該方法により共通する情報のアクセスを制御することはできるが、各組織が持つ機微情報を統合して分析することはできない。
【００１０】
本発明は、前述の点に鑑みてなされたものであり、情報漏洩を防止しつつ、異なる複数の組織から得た情報を統合して脅威インテリジェンスを生成、共有できるようにすることを目的とする。
【課題を解決するための手段】
（【００１１】以降は省略されています）

関連特許