特許ウォッチ

公開番号2025171010
公報種別公開特許公報(A)
公開日2025-11-20
出願番号2024075950
出願日2024-05-08
発明の名称セキュリティ対策管理装置および方法
出願人株式会社日立ハイテク
代理人弁理士法人ウィルフォート国際特許事務所
主分類G06F 21/57 20130101AFI20251113BHJP(計算;計数)
要約【課題】コンピュータシステムへの悪影響を抑制するような脆弱性に対する対策の効率的な実施を可能にする。
【解決手段】セキュリティ対策管理装置は、管理の対象とするコンピュータシステムである管理対象システムに関する情報を記憶する構成情報記憶部と、前記管理対象システムに対して入力されうる脅威のそれぞれの分析の結果に関する情報を記憶する分析結果記憶部と、脆弱性に関する情報である脆弱性情報を取得し、前記管理対象システムに関する情報と前記分析の結果に関する情報とに基づいて、前記脆弱性を利用した攻撃による要対策脅威を特定し、前記要対策脅威を、緊急対応を要するものと要しないものとに分類する緊急対応要否判断部と、緊急対応を要しないと分類された要対策脅威に対して、現時点における対策の実施に関する優先の度合いを決定する残留リスク監視部と、を有している。
【選択図】図1
特許請求の範囲【請求項１】
管理の対象とするコンピュータシステムである管理対象システムに関する情報を記憶する構成情報記憶部と、
前記管理対象システムに対して入力されうる脅威のそれぞれの分析の結果に関する情報を記憶する分析結果記憶部と、
脆弱性に関する情報である脆弱性情報を取得し、前記管理対象システムに関する情報と前記分析の結果に関する情報とに基づいて、前記脆弱性を利用した攻撃による要対策脅威を特定し、前記要対策脅威を、緊急対応を要するものと要しないものとに分類する緊急対応要否判断部と、
緊急対応を要しないと分類された要対策脅威に対して、現時点における対策の実施に関する優先の度合いを決定する残留リスク監視部と、
を有するセキュリティ対策管理装置。
続きを表示（約 2,300 文字）【請求項２】
前記分析の結果には前記脅威の攻撃経路が含まれており、
前記緊急対応要否判断部は、前記攻撃経路における前記脆弱性を利用した攻撃の攻撃ステップ以外の攻撃ステップの中に、対策が実施されていない攻撃ステップが含まれているか否かにより、緊急対応の要否を判断する、
請求項１に記載のセキュリティ対策管理装置。
【請求項３】
前記残留リスク監視部は、脅威の攻撃経路における各攻撃ステップに対応する攻撃手法による攻撃が行われるリスクを示す指標値に基づいて、前記脅威のリスクを推定する指標値である脅威指標値を算出する、
請求項２に記載のセキュリティ対策管理装置。
【請求項４】
前記残留リスク監視部は、脆弱性の報告情報、前記脆弱性を利用した攻撃の事例情報、および／または前記脆弱性に関する学術情報が所定期間に発表された回数を計数し、該回数に基づいて前記脆弱性を利用した攻撃の攻撃ステップに対応する攻撃手法の指標値を算出する、
請求項３に記載のセキュリティ対策管理装置。
【請求項５】
前記残留リスク監視部は、前記脅威指標値の算出を所定時間間隔で継続的に実行し、前記脅威指標値が所定の閾値を超えると、前記脅威に対する対策を実施すべき状態となった旨の通知を出力する、
請求項３に記載のセキュリティ対策管理装置。
【請求項６】
前記残留リスク監視部は、前記脅威の攻撃経路における各攻撃ステップに対応する攻撃手法の指標値の総和を前記脅威指標値として算出する、
請求項３に記載のセキュリティ対策管理装置。
【請求項７】
前記残留リスク監視部は、前記攻撃経路における各攻撃ステップに対応する攻撃手法の指標値に前記攻撃経路における当該攻撃ステップの深さに応じた重みを乗算した値の総和を前記脅威指標値として算出する、
請求項３に記載のセキュリティ対策管理装置。
【請求項８】
前記緊急対応要否判断部は、前記要対策脅威が緊急対応を要するものであるか要しないものであるかを示す情報を提示する、
請求項１に記載のセキュリティ対策管理装置。
【請求項９】
前記残留リスク監視部は、前記要対策脅威を前記優先の度合いにより順位付けした情報を提示する、
請求項１に記載のセキュリティ対策管理装置。
【請求項１０】
前記管理対象システムに関する情報は、前記管理対象システムに含まれるソフトウェアである管理対象システム内ソフトウェアと、前記管理対象システム内ソフトウェアのそれぞれが関連する、前記管理対象システムを構成するコンポーネントである管理対象システム内コンポーネントと、前記管理対象システム内ソフトウェアのそれぞれが寄与する、前記管理対象システムに備えらえた保護資産である管理対象システム内保護資産と、を示すソフトウェア関係性情報であり、
前記分析の結果に関する情報は、前記管理対象システムに対して入力されうる脅威のそれぞれについて、該脅威により影響を受ける保護資産である脅威保護資産と、該脅威のエントリポイントである脅威エントリポイントと、該脅威のターゲットである脅威ターゲットと、該脅威の攻撃経路を構成する攻撃ステップを示す脅威攻撃ステップとを含むセキュリティ分析結果情報であり、
前記緊急対応要否判断部は：
脆弱性が該当するソフトウェアである脆弱性ソフトウェアと、脆弱性を利用した攻撃のエントリポイントである脆弱性エントリポイントと、前記攻撃の種類である脆弱性攻撃種類とを知得可能にする脆弱性情報を取得し、
前記脆弱性ソフトウェアである管理対象システム内ソフトウェアが関連する管理対象システム内コンポーネントと、前記脆弱性ソフトウェアである管理対象システム内ソフトウェアが寄与する管理対象システム内保護資産とを特定し、
前記管理対象システム内保護資産を脅威保護資産としている脅威のうち、脅威エントリポイントが前記脆弱性エントリポイントであり、脅威ターゲットが前記管理対象システム内コンポーネントのうち前記脆弱性エントリポイントとなり得ない管理対象システム内コンポーネントである脅威を特定し、
特定した前記脅威のうち、脅威攻撃ステップの中に、前記脆弱性攻撃種類に関する攻撃ステップが存在する脅威を要対策脅威とし、前記要対策脅威における前記脆弱性攻撃種類に関する攻撃ステップ以外の攻撃ステップについて対策が済であるか否か判定し、
前記脆弱性攻撃種類に関する攻撃ステップ以外の攻撃ステップの中に対策が済んでいる攻撃ステップが含まれていれば、当該要対策脅威は緊急対応を要しないものであると判断し、
前記脆弱性攻撃種類に関する攻撃ステップ以外の全ての攻撃ステップの対策が済んでいないならば、当該要対策脅威は緊急対応を要するものであると判断し、
前記残留リスク監視部は：
緊急対応を要しないと判断された要対策脅威について、当該要対策脅威の脅威攻撃ステップのそれぞれに対応する攻撃手法の攻撃が行われるリスクを示す指標値を算出し、前記脅威攻撃ステップに対応する攻撃手法の指標値に基づいて当該要対策脅威の脅威指標値を算出し、該脅威指標値に基づいて該要対策脅威に対策の実施に関する優先度を付与することを、継続的に実施する、
請求項１に記載のセキュリティ対策管理装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、コンピュータシステムのセキュリティに関する脅威に対する対策の実施を管理する技術に関する。
続きを表示（約 2,200 文字）【背景技術】
【０００２】
ＤｅｖＳｅｃＯｐｓ型開発が広く行われるようになったことにより、コンピュータシステムの提供者には、コンピュータシステムを製品としてリリースした後に新たに公開されたセキュリティ上の脆弱性に対しても対応が求められるようになっている。コンピュータシステムに損害などの悪影響が生じないようにするためには、新たに公開された脆弱性に対して迅速に対策を実施することが望まれる。しかしながら、頻繁に様々なセキュリティ上の脆弱性が発見され、日々新たな脆弱性の情報が公開されるので、コンピュータシステムの提供者が全ての脆弱性に即座に対策を実施することは容易でない。そのため、コンピュータシステムに生じる損害などの悪影響を適切に抑制するように、効率よく対策の実施を進めることが求められる。
【０００３】
これに関連して、特許文献１には、脆弱性が悪用される確率を評価する技術が開示されている。特許文献１の手法は、公開された脆弱性データと、脆弱性を悪用するための公開された攻撃用コードとを取得し、各脆弱性について、脆弱性データが公開された時点から、当該脆弱性を悪用するための攻撃用コードが公開された時点までの経過時間を特定し、経過時間の分布を基に各脆弱性が悪用される確率を算出するというものである。
【先行技術文献】
【特許文献】
【０００４】
国際特許公開ＷＯ２０２３／１０５５９０号明細書
【発明の概要】
【発明が解決しようとする課題】
【０００５】
上述したように、特許文献１の手法は、脆弱性データが公開されてから攻撃用コードが公開されるまでの経過時間を評価指標としている。そのため、攻撃用コードが公開されるまで脆弱性の評価指標の値が決まらないので、新たに公開された緊急度の高い脆弱性を含むトリアージの判断には不向きである。また、短時間に攻撃事例が急激に増加する脆弱性や短時間に認知度が急激に上昇する脆弱性は悪用される可能性が急激に高まる傾向にあり、対応の緊急度が高いと考えられるが、特許文献１の手法では、経過時間を評価指標としているため、悪用される可能性が急激に高まる場合の緊急度を捉えることができない。
本開示に含まれるひとつの目的は、コンピュータシステムへの悪影響を効率よく抑制するような対応を可能にする技術を提供することである。
【課題を解決するための手段】
【０００６】
本開示に含まれるひとつの態様によるセキュリティ対策管理装置は、管理の対象とするコンピュータシステムである管理対象システムに関する情報を記憶する構成情報記憶部と、前記管理対象システムに対して入力されうる脅威のそれぞれの分析の結果に関する情報を記憶する分析結果記憶部と、脆弱性に関する情報である脆弱性情報を取得し、前記管理対象システムに関する情報と前記分析の結果に関する情報とに基づいて、前記脆弱性を利用した攻撃による要対策脅威を特定し、前記要対策脅威を、緊急対応を要するものと要しないものとに分類する緊急対応要否判断部と、緊急対応を要しないと分類された要対策脅威に対して、現時点における対策の実施に関する優先の度合いを決定する残留リスク監視部と、を有している。
【発明の効果】
【０００７】
本開示に含まれるひとつの態様によれば、コンピュータシステムへの悪影響を抑制するような脆弱性に対する対策の効率的な実施が可能になる。
【図面の簡単な説明】
【０００８】
本実施形態によるセキュリティ対策管理装置の機能構成を示すブロック図である。
本実施形態によるセキュリティ対策管理装置のハードウェア構成を示すブロック図である。
セキュリティ対策管理処理のフローチャートである。
ソフトウェア関係性情報の一例を示す図である。
セキュリティ分析結果の一例を示す図である。
セキュリティ分析結果の一例を示す図である。
緊急対応要否判断処理のフローチャートである。
脆弱性情報の一例を示す図である。
緊急対応を要しないと判断される実施状況を示す図である。
緊急対応を要すると判断される実施状況を示す図である。
残留リスク監視処理のフローチャートである。
トレンド値の算出について説明するための図である。
脅威トレンド値の算出について説明するための図である。
セキュリティ対策実施処理のフローチャートである。
緊急対応が必要である旨を通知する画面表示の一例を示す図である。
対策の優先順位を示す画面表示の一例を示す図である。
実施を要する対策を示す画面表示の一例を示す図である。
実施済み対策を示す画面表示の一例を示す図である。
【発明を実施するための形態】
【０００９】
以下、本発明の実施形態について図面を参照して説明する。
＜セキュリティ対策管理装置の概要＞
【００１０】
図１は、本実施形態によるセキュリティ対策管理装置の機能構成を示すブロック図である。図２は、本実施形態によるセキュリティ対策管理装置のハードウェア構成を示すブロック図である。
（【００１１】以降は省略されています）

関連特許