セキュリティ評価方法、セキュリティ評価装置
【課題】評価対象のシステムにおいてログ記録を重視すべき部分を判別することができ、ログ記録の配置状況とログ記録評価値合いとの関連について定量的な評価を行うことのできるセキュリティ評価方法及びセキュリティ評価装置を提供する。
【解決手段】ログ記録評価値算出部は、端末ごとに、当該端末において設定されたログ記録十分度(当該端末へのアクセスに対してログ記録をどの程度行うかを示す相対値)と、発生した脅威の数に対する当該端末を通過する脅威の数の割合とを乗算してログ記録の重要性を考慮した第2ログ記録十分度を算出する。また、ログ記録評価値算出部は、各端末A,Bについてそれぞれ得られた第2ログ記録十分度を加算し、その加算値を、発生した脅威Xが資産情報Wに到達するまでの経路全体におけるログ記録の充実度合いであるログ記録評価値として導出する。
【解決手段】ログ記録評価値算出部は、端末ごとに、当該端末において設定されたログ記録十分度(当該端末へのアクセスに対してログ記録をどの程度行うかを示す相対値)と、発生した脅威の数に対する当該端末を通過する脅威の数の割合とを乗算してログ記録の重要性を考慮した第2ログ記録十分度を算出する。また、ログ記録評価値算出部は、各端末A,Bについてそれぞれ得られた第2ログ記録十分度を加算し、その加算値を、発生した脅威Xが資産情報Wに到達するまでの経路全体におけるログ記録の充実度合いであるログ記録評価値として導出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークにおけるセキュリティに関する技術分野であり、特に、セキュリティ対策の導入パターンに係る判断を行うためのセキュリティレベル評価に関するものである。
【背景技術】
【0002】
近年、電子情報の重要性がますます高まるにつれて、該電子情報を保護するためのセキュリティ対策も重要なものとなっている。セキュリティの一般的な定義の一つに、保護対象の電子情報(以下、資産情報という)の機密性(アクセス権の所有者のみが資産情報にアクセス可能であること)、完全性(資産情報及びその処理が正確かつ完全であることが保証されていること)及び可用性(アクセス許可された利用者が必要なときに資産情報にアクセス可能であること)の3つの要素を満たすことであるというものがあり、資産情報を使用するため又は資産情報を保護するために構成される、セキュリティに対する評価は、これら3要素の侵害防止の程度によって行われることが多い。
【0003】
ところで、セキュリティレベルが高くなるようにセキュリティ対策を施せば施すほど、セキュリティレベルの点ではより好ましい状態になる。しかし、セキュリティ対策を施さなくてもほとんど資産情報の侵害が発生しない場合(資産情報の侵害につながる脅威の発生頻度が少ない場合)や、仮に資産情報の侵害が発生したとしてもその侵害によって発生する損害は微小な場合(資産情報の価値が小さい場合)などでは、新たなセキュリティ対策の導入や維持に膨大なコストを投じてまでセキュリティ対策を施す必要は無いと考えるのが一般的である。すなわち、セキュリティの評価は、導入コストと導入効果との兼ね合いを考慮することが必要になる。
【0004】
その際、導入コストは定量的に算出可能な数値であるため、必然的に導入効果についても定量的であることが好ましい。また、セキュリティの評価は、属人的な要素が少なく且つ簡易な方法で行われることが好ましい。なぜなら、属人的である場合、評価者の主観的な情報によって評価結果が大きく変わり得るからであり、それを抑制するためには評価者に高度な知識が要求され、評価者にかかる評価作業の負担が大きくなる。また、評価方法が複雑である場合も、同様に評価者によって評価値が変わったり評価作業の負担が高くなったりする。そして、定性的な評価であるほど属人的な評価結果になるため、定量的であることが必要である。
【0005】
下記特許文献1には、定性的リスク分析手法で用いる評価項目を合成したデータベースと、データベースの評価項目に入力されたランク値からリスクを算出し、そのリスクからセキュリティポリシーの優先度を算出する技術が開示されている。
【0006】
下記特許文献2には、複数のセキュリティ対策の名称、各対策のリスク低減率、各対策が有効に機能する情報資産の格納場所、各対策を施すためのコスト等のデータからなる対策定義ファイルを格納する対策定義ファイル格納手段と、キーボード等からなる入力手段から入力された、適用済み又は適用することが決定されている対策の名称を示す適用対策名データと、前記対策定義ファイルとを基に、想定される対策(適用する候補である対策)全てに対して適用済み及び適用を決定した対策がどの程度の充足率であるかを計算する対策充足率算出手段とを備えた情報セキュリティ評価装置が開示されている。
【特許文献1】特開2002−352062号公報
【特許文献2】特開2002−24526号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
前述のようにセキュリティ対策を施したとしても、以下のような要因1〜3によって完全には資産情報の侵害が無くなっていない場合が多いというのが現状である。
【0008】
要因1.IT(Information Technology)に係る犯罪レベルの高度化や環境変化により、脅威の侵害強度が、セキュリティ対策導入検討時の想定レベルを超越し、セキュリティ対策の性能を上回る場合がある。
【0009】
要因2.導入コストやユーザビリティとセキュリティレベルとの兼ね合いを考慮して、意図的に部分的にしかセキュリティ対策を施さない場合がある。
【0010】
要因3.セキュリティ対策にセキュリティホールや設定ミス等の不備が存在する場合がある。
【0011】
これら要因1〜3に示す場合においては、脅威は完全に防御されず、一部の脅威は資産情報の侵害につながり得ることになる。
【0012】
そこで、セキュリティ対策を考慮する上で重要な項目として、前述の資産情報の機密性、完全性及び可用性の3要素の侵害防止の程度に関する項目の他に、アクセスや操作等に関するログ記録がある。このログ記録は、ISO15408等の認証取得や、JSOX法等の法対応において、セキュリティが十分であることの証明(侵害が無いことの証明)としての位置づけにあり、セキュリティ対策の一つとして以下のような点で大きな意義を有するものである。
【0013】
・ログ記録が取られていることを周知させることによる脅威発生の抑止効果を期待できる点。
【0014】
・脅威レベルが導入対策当初の想定レベルを超越したり、セキュリティ対策に不備が存在したり、或いは想定自体に間違いが存在することを感知することで、更なるセキュリティ対策を検討するための情報収集となる点。
【0015】
・資産情報の侵害発生時に、侵害による損失状況を把握或いは予測することで、損失拡大の防止措置を検討したり、侵害された資産情報についての利害関係を共有する関係者へ迅速に状況報告を行ったりするための情報となる点。
【0016】
・脅威が人為的なものである場合に、資産情報の侵害者を特定し、教育や訴訟を行えるようにすることができる点。
【0017】
このように、ログ記録は、侵害防止対策が十分なものであることの証明を行う場合だけでなく、侵害防止対策が十分でない場合においても、非常に重要なセキュリティ対策の一項目になり得ることが判る。そして、ログ記録に対しても、セキュリティ対策の導入の必要性やその必要性の程度を考慮するために、セキュリティ上の効果の程度を評価することが必要となる。ただし、このログ記録の評価として、ログ記録状況が十分であるか否かの定性的なものでは不十分であり、侵害防止の程度と同様に、定量的に評価できること及び属人的な要素が少なくなることが好ましい。
【0018】
従来のセキュリティ評価方法の1つとして、図17に示すようなチェックシートによって得られた回答に基づいて評価値を算出する方法が知られている。例えば、大項目「脅威」における中項目「不正ログイン」の小項目「脅威発生頻度」について、選択肢「頻繁に発生」、「たまに発生」、「ほとんど発生しない」が設けられており、評価者がこれらの選択肢の中から当てはまると思う選択肢を選択し、選択された選択肢の統計値に基づいて評価値を算出するものである。しかしながら、この方法では、選択的な記入が行われるため、定性的な評価結果になる。
【0019】
この評価方法とは別に、図18に示すように、各セキュリティ手段が有する防御性能値(リスク低減率)に基づいて全体的な防御性能値を算出するものがある。たとえば、図18に示す例のパターン1では、端末A〜Dのうち、端末A、端末B、端末Cでセキュリティ対策が施されているため、パターン1の全体的な防御性能値は、1−(1−端末Aのリスク低減率)×(1−端末Bのリスク低減率)×(1−端末Cのリスク低減率)=1−0.4×0.7×0.1=99.972と算出されている。この評価方法では、定量的な評価に基づいて、コストとの比較によってどの対策パターンを採用するかを選択することができる。
【0020】
そこで、ログ記録についてのセキュリティ上の効果の程度を評価するべく、図18に示す防御性能値を用いたセキュリティ評価方法における「防御性能値」を、各セキュリティ手段においてログ記録がどの程度充実しているかを示すログ記録十分度合いに置換し、各セキュリティ手段におけるログ記録十分度合いの積や和をとることでシステム全体のログ記録評価値を算出する方法が考えられる。
【0021】
しかしながら、各セキュリティ手段における「ログ記録十分度合い」のみでは、ログ記録を重視する場所や、ログ記録の配置状況とログ記録評価値合との関連について、定量的な評価を行うことができない。
【0022】
すなわち、例えば図19に示すように、脅威が端末A或いは端末Bに最初に侵入し、端末C或いは端末Dを経て資産情報に到達する構成におけるログ記録評価値を算出する場合、図18に示すような方法と同様の方法で、端末A〜Dの各々のログ記録十分度合いだけを基に全体的な評価値を算出しても、どの端末におけるログ記録が重要であるのかが不明である。例えば、ログ記録の記録容量やログ記録の管理負荷等を考慮して端末A〜Dのうちのどれか1つはログ記録を行わないようにしたいと考えても、ログ記録を実行しない対象の端末を端末A〜Dのどれにすると、全体としてのログ記録十分度合いの低下を防止又は最も抑制することができるのかということは不明である。
【0023】
本発明は、これに鑑みてなされたものであり、評価対象のシステムにおいてログ記録を重視すべき部分を判別することができ、ログ記録の配置状況とログ記録評価値合いとの関連について定量的な評価を行うことのできるセキュリティ評価方法及びセキュリティ評価装置を提供する。
【課題を解決するための手段】
【0024】
請求項1に記載の発明は、通信経路のセキュリティの評価方法であって、評価値算出部が、1又は複数の通信経路について、当該通信経路におけるログ記録の重要性を示す重要度又は該重要度を決定するための第1パラメータの値の入力を受け付ける重要度受付ステップと、前記評価値算出部が、前記1又は複数の通信経路について、当該通信経路におけるログ記録の充実度合いを示すログ記録十分度又は該ログ記録十分度を決定するための第2パラメータの値の入力を受け付けるログ記録十分度受付ステップと、前記評価値算出部が、受け付けた前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出する評価値算出ステップとを備えるものである。
【0025】
請求項7に記載の発明は、通信経路のセキュリティの評価装置であって、1又は複数の通信経路について、当該通信経路におけるログ記録の重要性を示す重要度又は該重要度を決定するための第1パラメータの値を入力するための第1の入力部と、前記1又は複数の通信経路について、当該通信経路におけるログ記録の充実度合いを示すログ記録十分度又は該ログ記録十分度を決定するための第2パラメータの値を入力するための第2の入力部と、前記第1及び第2の入力部により入力された前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出する評価値算出部とを備えるものである。
【0026】
これらの発明によれば、1又は複数の通信経路について入力された前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出するようにしたので、評価者は、前記重要度又は第1パラメータの値、ログ記録十分度又は第2パラメータの値及び前記評価値を比較することで、ログ記録を重視すべきシステム上の場所や、ログ記録の配置状況と評価値との関連を定量的に評価することができる。
【0027】
請求項2に記載の発明は、請求項1に記載のセキュリティの評価方法において、前記通信経路は、受信した情報に対してセキュリティ処理を行う1又は複数の中継点を備えて構成されており、前記重要度受付ステップは、前記評価値算出部が、前記中継点におけるログ記録の重要性を示す重要度の入力を受け付けるステップであり、前記ログ記録十分度入力ステップは、前記評価値算出部が、前記中継点におけるログ記録の充実度合いを示すログ記録十分度の入力を受け付けるステップであり、前記評価値算出ステップは、前記評価値算出部が、受け付けた中継点についての前記重要度及びログ記録十分度に基づいて、該中継点を含む通信経路についてのログ記録十分度を算出するステップと、この算出したログ記録十分度に基づき、前記システム全体におけるログ記録の充実度合いを示す評価値を算出するステップとを含むものである。
【0028】
請求項3に記載の発明は、請求項1または2に記載のセキュリティの評価方法において、前記中継点は、前記セキュリティプログラムを搭載した端末である。
【0029】
請求項2及び3に記載の発明によれば、ログ記録を重視すべきシステム上の場所や、ログ記録の配置状況と評価値との関連について、より詳細に定量的な評価を行うことができる。
【0030】
請求項4に記載の発明は、請求項3に記載のセキュリティの評価方法において、前記重要度及び第1パラメータ値は、端末に搭載されたセキュリティプログラムの脆弱性に基づく値を含むものである。
【0031】
請求項5に記載の発明は、請求項4に記載のセキュリティの評価方法において、前記セキュリティプログラムの脆弱性は、当該セキュリティプログラムの防御性能値に基づくものである。
【0032】
請求項4及び5に記載の発明によれば、セキュリティプログラムの脆弱性が高いほど(セキュリティプログラムの防御性能値が小さいほど)、当該中継点でのログ記録の重要性が高いことから、前記各通信経路における重要度をセキュリティプログラムの脆弱性に応じて設定することで、ログ記録の導入コストに対して効率的に高い評価値を得ることが可能となる。
【0033】
請求項6に記載の発明は、請求項1ないし5のいずれかに記載のセキュリティの評価方法において、前記重要度及び第1パラメータ値は、セキュリティの起動頻度及び該セキュリティの失敗頻度のうち少なくとも一方を含むものである。
【0034】
この発明によれば、セキュリティの起動頻度及び該セキュリティの失敗頻度が大きいほど、当該通信経路でのログ記録の重要性が高いことから、前記前記重要度及び第1パラメータ値が、セキュリティの起動頻度及び該セキュリティの失敗頻度のうち少なくとも一方を含むようにすることで、ログ記録の導入コストに対して効率的に高い評価値を得ることが可能となる。
【発明の効果】
【0035】
本発明によれば、評価者は、前記重要度又は第1パラメータの値、ログ記録十分度又は第2パラメータの値及び前記評価値を比較することで、ログ記録を重視すべきシステム上の場所や、ログ記録の配置状況と評価値との関連を定量的に評価することができる。
【発明を実施するための最良の形態】
【0036】
以下、本発明に係るセキュリティ評価方法及びセキュリティ評価装置の実施形態について説明する。図1は、本発明の第1の実施形態を示す図である。
【0037】
図1に示すように、本実施形態では、パーソナルコンピュータからなる端末A,Bを通過して、脅威Xが、端末Bにより格納及び管理されている資産情報Wに到達する状況を想定する。資産情報Wとは、個人情報、データベース、会社の機密情報、システム運用のために重要となる管理情報、ソフトウェアなどの電子情報を総称したものをいい、脅威Xとは、このような資産情報Wを格納する端末等の格納部から、該資産情報Wを消去したり、害資産情報Wを改変したり、他の不特定の端末に送信したり(ばらまいたり)、或いは前記資産情報Wを不正に取得したり、端末の動作を妨害したりするコンピュータウィルス、不正アクセス(成り済まし)やDos攻撃等の資産情報Wを侵害するものをいう。
【0038】
端末A,Bは、例えば図2(a)に示すように、キーボード及びマウス等からなる入力部2と、各種画面を表示する表示部3と、制御部4とを備えて構成されている。制御部4は、それぞれ制御プログラム等を記憶するROM、一時的にデータを格納するRAM、及び制御プログラム等をROMから読み出して実行する中央演算処理装置等からなり、該制御部4が所定の記憶部から供給されるセキュリティプログラムにより、端末Aはセキュリティ部Aとしての機能が、また、端末Bはセキュリティ部Bとしての機能がそれぞれ搭載されている。なお、図2(a)では、セキュリティ部A,Bをセキュリティ部5と表している。
【0039】
端末Aに搭載されているセキュリティ部Aは、例えばIP(Internet Protocol)アドレスやアクセス内容(資産情報Wの操作内容や資産情報Wに対するアクセス頻度)に基づくフィルタリング(与えられたデータ(IPアドレスやアクセス内容)に対して、指定した条件に合致するものだけを抜き出す処理)を行うものである。端末Bに搭載されているセキュリティ部Bは、例えば個人認証やファイルアクセス管理等を行うものである。以下、説明の簡単化のため、本実施形態では、脅威Xは不正アクセス、セキュリティ部Bは個人認証であるものとする。なお、セキュリティ部A,Bは、前記フィルタリングや個人認証以外のセキュリティ機能、たとえばデバイスの論理的認証(たとえばIPアドレス等の認証)や物理的認証(たとえばMACアドレス等の認証)、アンチウィルスソフトによる処理、あるいは通信装置の暗号化等のセキュリティ機能を有するものでも良い。これらの処理は、前記セキュリティ処理に相当する。
【0040】
このように端末Aにセキュリティ部Aを搭載し該セキュリティ部AによりIPアドレスやアクセス内容のフィルタリングを行うようにしても、アクセス内容が正規のアクセスとの間に差がほとんどなかったりIPアドレスが詐称されたりすることで、一部の不正アクセスはセキュリティ部Aでは防御し切れず、資産情報Wに対する不正アクセスが成功する場合が考えられる。また、端末Bにセキュリティ部Bを搭載し該セキュリティ部Bにより個人認証を行うようにしても、認証パスワードの漏洩や推測によって一部の不正アクセスは防御し切れず、資産情報Wに対する不正アクセスが成功する場合が考えられる。
【0041】
このような不正アクセスの成功がどの程度なされおり、前記不正アクセスをどの程度防御できているのかは、過去の統計量やセキュリティ部A,Bのアルゴリズム等に基づいて評価者が設定することができる。例えば、利用者に対して実験的に故意に不正アクセスを促した場合に成功した事例の計数値に基づいて評価者が設定したり、或いは、セキュリティ部Aで防御された脅威数と防御されずにセキュリティ部Aを通過して後段のセキュリティ部Bで検出された脅威数との比率や、セキュリティ部A、Bを製品として販売している企業や公的機関による開示情報(例えばセキュリティ部A,Bがアンチウィルスソフトである場合には、ウィルス発生総数と新規ウィルス被害件数等が開示されている場合がある)を用いることで統計的な数値に基づいて評価者が設定したりすることが可能である。また、個人認証に用いる暗証番号が単純な4桁数字の暗証番号である場合には、暗証番号のパターンは10000通りしかないため、暗証番号の漏洩が無かったとしても1/10000の確率で認証が成功することになるため、この成功率に基づいて設定したり、また、個人認証に用いる暗証番号が誕生日である場合にはなり済ましは確実に行われるものと想定した場合には、誕生日を暗証番号に設定している利用者の数を調査し、その割合を設定したりすることが可能である。
【0042】
図1に示すように、各端末A,Bに設定された防御確率は、このような方法によって設定された各セキュリティ部A,Bにおける不正アクセスの防御性能を表す数値の一例であり、前記各セキュリティ部A,Bの脆弱性を示す指標の一例である。なお、前記防御性能を表す数値は、防御確率以外に、例えば複数の段階にレベル分けされた防御レベルなどがある。また、前記脆弱性とは、一般的に、コンピュータやネットワークなどの情報システムにおいて、第三者が保安上の脅威となる行為に利用できる可能性のあるシステム上の欠陥や仕様上の問題点をいい、本実施形態におけるセキュリティ部A,Bの脆弱性とは、当該セキュリティ部を前記脅威が通過しうるプログラム上の欠陥や仕様上の問題点をいう。
図1では、セキュリティ部Aの防御確率が0.2(端末Aに侵入した脅威Xが80%の確率で端末Aを通過する)、セキュリティ部Bの防御確率が0.7(端末Bに侵入した脅威Xが30%の確率で端末Bを通過する)となっている。
【0043】
この場合、発生頻度α(例えば1ヶ月あたりに発生する脅威Xの件数)で発生する脅威Xのうち、防御確率0.2のセキュリティ部Aにより0.2α(件)の脅威Xは防御されるが、残りの0.8α(件)の脅威Xは端末Aを通過する。また、この0.8α(件)の脅威Xのうち、防御確率0.7のセキュリティ部Bにより0.8α×0.7(件)の脅威Xは防御されるが、残りの0.8α×(1−0.7)=0.24αは端末Bを通過し資産情報Wに到達することとなる。すなわち、端末A及び端末Bを含む通信経路では、脅威Xは(1−0.2)×(1−0.7)=0.24の確率で資産情報Wに到達することになり、このとき、該通信経路の防御確率は1−0.24=0.76であるということになる。
【0044】
このように、各端末A,Bにセキュリティ部A,Bを搭載したとしても、脅威Xは完全に防御されず、一部の脅威Xは資産情報Wの侵害につながり得ることになることに鑑みて、本実施形態では、ログ記録をセキュリティ対策の一手段として採用している。ログ記録は、通信状況や端末の利用状況等の記録を行うことであり、その記録対象は、例えば送信元、宛先、時刻、IPアドレス、ポート番号、ID、パスワード等がある。
【0045】
ここで、ログ記録は、セキュリティ部Aやセキュリティ部Bで防御できない脅威Xに対して特に有効なものであるから、各端末A,Bにおいて、当該端末に対して行われたアクセスに対してログ記録をどの程度行うかによっても、セキュリティ上の効果が変化するものと考えられる。
【0046】
本実施形態では、当該端末へのアクセスに対してログ記録をどの程度行うかを示す相対値(以下、ログ記録十分度という)を評価者が設定できるように構成されている。例えば全てのアクセスに対してログ記録を行う場合のログ記録十分度の値を「1」、全てのアクセスに対してログ記録を行わない場合のログ記録十分度の値を「0」とするものとすると、例えば図1では、端末Aは全てのアクセスに対してログ記録を行い、端末Bは、全てのアクセスに対してログ記録を行わないように、評価者によって設定されていることを示している。
【0047】
また、ログ記録十分度の設定パターンの他の例として、図4では、端末Aのログ記録十分度が「0」、端末Bのログ記録十分度が「1」と設定されている例を示し、図5では、端末Aのログ記録十分度も端末Bのログ記録十分度も「1」と設定されている例を示している。
【0048】
なお、本実施形態では、ログ記録十分度を示す数値として、ログ記録を実行する場合を示す「1」と、ログ記録を実行しない場合を示す「0」との2値を採用し、デジタル的にログ記録十分度を表すようにしたが、これに限らず、例えば図6に示すように、「0.1」とか「0.4」等のように、アナログ的にログ記録十分度を表すようにしてもよい。
【0049】
この場合、例えば、全てのアクセスにおいて例えば10回ごとに1回の割合でログ記録を行う場合には0.1とするというように、全てのアクセスのうち一部のアクセスに対してログ記録を行うようにした場合の、ログ記録を行う対象のアクセスの数のアクセス総数に対する割合をログ記録十分度として設定してもよいし、タイムスタンプ、IPアドレス、アカウント、コマンド、アクセス対象データ等の項目の中から記録対象に設定する割合に基づいてログ記録十分度を設定してもよい。また、単に、ログ記録回数や記録データ量などの数値をログ記録十分度に設定してもよい。さらには、過去の経験や計測データ、企業・公的機関・研究機関の開示情報に基づいてログ記録十分度を設定してもよいし、更には、評価者の知識に基づく感覚的な値をログ記録十分度として設定してもよい。
【0050】
このようなログ記録は、前述したように、セキュリティ部Aやセキュリティ部Bで防御できなかった脅威Xに対して特に有効なものであるから、セキュリティ部で防御できない脅威Xの数が多いほど、該セキュリティ部を搭載する端末におけるログ記録の重要性が高い。すなわち、防御性能(防御確率)は、当該端末におけるログ記録の重要性を表す1パラメータである。
【0051】
そのため、本実施形態では、端末ごとに、ログ記録の重要性を考慮(加味)したログ記録十分度を算出するとともに、これらのログ記録十分度に基づき、発生した脅威Xが資産情報Wに到達するまでの経路全体におけるログ記録の充実度合い(以下、ログ記録評価値という)を算出するようにしている。
【0052】
すなわち、図2に示すように、端末A,Bは、制御部4が所定の記憶部から供給されるセキュリティ評価プログラムにより、ログ記録評価値算出部1としての機能がそれぞれ搭載されている。ログ記録評価値算出部1は、図2(b)に示すように、入出力制御プログラムに基づいて制御部4により実現される、入力部2による入力情報を取り扱う入出力制御部6との間で通信可能に構成されており、当該端末に入力されたログ記録十分度と前記防御確率とを用いてログ記録評価値を算出するものである。以下、ログ記録評価値の具体的な算出方法について説明する。
【0053】
ログ記録評価値算出部1は、各端末A、Bにおいてそれぞれ設定されたログ記録十分度と、発生した脅威Xの数に対する当該端末を通過する脅威Xの数の割合とを乗算する。すなわち、ログ記録評価値算出部1は、図3に示すように端末A,Bに対するログ記録十分度が設定されている場合、端末Aについては、当該端末Aに設定されたログ記録十分度「1」と、発生した脅威Xの数に対して当該端末Aを通過する脅威Xの数の割合「0.8(=1−0.2)」とを乗算した「0.8」を導出する。また、ログ記録評価値算出部1は、端末Bについては、当該端末Bに設定されたログ記録十分度「0」と、発生した脅威Xの数に対して当該端末Bを通過する脅威Xの数の割合「0.8×(1−0.7)」とを乗算した「0」を導出する。これらの乗算値は、当該端末におけるログ記録の重要度(重み)を考慮したログ記録十分度であり、以下、これを第2ログ記録十分度というものとする。
【0054】
そして、ログ記録評価値算出部1は、各端末A,Bについてそれぞれ得られた第2ログ記録十分度を加算し、その加算値をログ記録評価値として導出する。図3に示す例では、前記加算値「0.8」がログ記録評価値として導出される。
【0055】
同様に、図4に示すように各セキュリティ部A,Bに対するログ記録十分度が設定されている場合、ログ記録評価値算出部1は、端末Aについては、当該端末Aに設定されたログ記録十分度「0」と、発生した脅威Xの数に対して当該端末Aを通過する脅威Xの数の割合「0.8(=1−0.2)」とを乗算した「0」を第2ログ記録十分度として導出するとともに、端末Bについては、当該端末Bに設定されたログ記録十分度「1」と、発生した脅威Xの数に対して当該端末Bを通過する脅威Xの数の割合「0.8×(1−0.7)」とを乗算した「0.24」を第2ログ記録十分度として導出し、これらの第2ログ記録十分度の和「0.24」をログ記録評価値として導出する。
【0056】
また、図5に示すように各端末A,Bに対するログ記録十分度が設定されている場合、ログ記録評価値算出部1は、端末Aについては、当該端末Aに設定されたログ記録十分度「1」と、発生した脅威Xの数に対して当該端末Aを通過する脅威Xの数の割合「0.8(=1−0.2)」とを乗算した「0.8」を第2ログ記録十分度として導出するとともに、端末Bについては、当該端末Bに設定されたログ記録十分度「1」と、発生した脅威Xの数に対して当該端末Bを通過する脅威Xの数の割合「0.8×(1−0.7)」とを乗算した「0.3」を第2ログ記録十分度として導出し、これらの第2ログ記録十分度の和「1.04」をログ記録評価値として導出する。
【0057】
本実施形態によれば、評価者は、各端末A,Bに対してそれぞれ設定したログ記録十分度についての複数の設定パターン、例えば図3〜図5に示すログ記録十分度の各設定パターンについて算出したログ記録評価値を互いに比較することで、費用対効果を考慮しながらログ記録十分度の設定パターンを選択することができる。
【0058】
すなわち、図3に示すログ記録十分度の設定パターンにおけるログ記録評価値「0.8」は、図4に示すログ記録十分度の設定パターンにおけるログ記録評価値「0.24」より大幅に大きいので、評価者は、図3に示すログ記録十分度の設定パターンの方がより効率的に脅威Xを抑止できると判別することができる。また、図5に示すログ記録十分度の設定パターンにおけるログ記録評価値「1.04」は、図3に示すログ記録十分度の設定パターンにおけるログ記録評価値「0.8」より大きいので、評価者は、図5に示すログ記録十分度の設定パターンの方が、より効率的に脅威Xを抑止できると判別することができる。さらに、評価者は、図5に示すログ記録十分度の設定パターンにおけるログ記録評価値「1.04」と、図3に示すログ記録十分度の設定パターンにおけるログ記録評価値「0.8」との差「0.24」について、導入コストとの兼ね合いから効率的なものであるか否かを判断し、図3に示すログ記録十分度の設定パターンを採用するか、図5に示すログ記録十分度の設定パターンを採用するかの判断を行うことができる。
【0059】
このようなログ記録表価値の設定作業は、表示部3に表示される例えば図7に示す画面Dにおいて行うことができる。図7に示す画面Dは、端末の種類を設定し設定した端末を表示する端末設定/表示部7と、端末設定/表示部7で設定した端末について、防御確率、ログ記録十分度、第2ログ記録十分度の各項目についての数値を設定し設定した各数値を表示する数値設定/表示部8と、数値設定/表示部8により設定した各項目の数値に基づいて前記ログ記録評価値算出部1により算出されたログ記録評価値を表示するログ記録評価値表示部9とを備える。数値設定/表示部8において、前記各項目についての数値を設定した後、演算ボタン10に対して操作を行うことで、ログ記録評価値算出部1により算出されたログ記録評価値がログ記録評価値表示部9に表示される。
【0060】
なお、前記画面Dにおける「演算」ボタン10は、評価者が端末にログ記録評価値の演算を指示するためのボタンであり、「更新」ボタン11は、設定した端末を更新する指示を端末に入力するためのボタンであり、「保存」ボタン12は、入力した防御確率及びログ記録十分度や算出されたログ記録評価値を当該端末に記憶させる指示を端末に入力するためのボタンであり、「印刷」ボタン13は、画面Dをプリントアウトする指示を端末に入力するためのボタンであり、「終了」ボタン14は、当該画面Dの起動を終了するためのボタンであり、「キャンセル」ボタン15は、端末設定/表示部7に入力した端末を取り消す指示を入力するためのボタンである。
【0061】
図8は、前記入出力制御部6及びログ記録評価値算出部1の処理を示すフローチャートである。
【0062】
図8に示すように、入出力制御部6は、評価者により例えば図7に示す画面において端末設定の項目に対して入力が行われ(ステップ♯1)、図7に示す画面Dの更新ボタン11の押下を検出すると(ステップ♯2でYES)、その検出信号及び入力内容を示す情報をログ記録評価値算出部1に送信する。
【0063】
ログ記録評価値算出部1は、前記検出信号及び入力内容を示す情報を受信すると(ステップ♯11でYES)、前記入力内容を示す情報に基づいて設定処理を行い(ステップ♯12)、その設定処理が完了すると、その旨を報知する信号を入出力制御部6に出力する(ステップ♯13)。
【0064】
入出力制御部6は、その報知信号を受信すると(ステップ♯3でYES)、評価者により防御確率及びログ記録十分度の入力が行われるのを待機する。入出力制御部6は、評価者により防御確率及びログ記録十分度の入力が行われ(ステップ♯4)、演算ボタン10の押下を検出すると(ステップ♯5でYES)、その検出信号及びステップ♯4での入力内容を示す情報をログ記録評価値算出部1に送信する。
【0065】
ログ記録評価値算出部1は、前記検出信号及びステップ♯4での入力内容を示す情報を受信すると(ステップ♯14でYES)、前記検出信号及びステップ♯4での入力内容を示す情報に基づきログ記録評価値の演算を行い(ステップ♯15)、第2ログ記録十分度等の中間算出値とログ記録評価値とを入出力制御部6に送信する(ステップ♯16)。
【0066】
入出力制御部6は、第2ログ記録十分度等の中間算出値とログ記録評価値を受信すると(ステップ♯6でYES)、第2ログ記録十分度やログ記録評価値を表示部3に表示させる(ステップ♯7)。
【0067】
以上のように、本実施形態では、各端末に設定された防御確率を、当該端末におけるログ記録の重要度を表す1パラメータとし、当該端末に設定された防御確率及びログ記録十分度に基づき、前記重要度を考慮したログ記録十分度(前記第2ログ記録十分度)を算出し、各端末についての第2ログ記録十分度に基づいてログ記録評価値を算出する構成を実現したので、評価者は、前記防御確率、ログ記録十分度、第2ログ記録十分度及びログ記録評価値についての複数のパターンを比較することで、ログ記録を重視すべきシステム上の場所や、ログ記録の配置状況と評価値との関連を定量的に評価することができる。その結果、評価者は、導入コストとの兼ね合いに応じて、最適なログ記録の配置状況を設定することができる。
【0068】
本件は、前記第1の実施形態に限らず、該第1の実施形態に代えて、またはそれに加えて次の変形形態も採用可能である。
【0069】
[1]前記第1の実施形態では、ログ記録の重要度を表す1パラメータとして防御確率を設定し、セキュリティ部A,Bごとに設定された防御確率に基づいて端末A,Bにおけるログ記録の重要度を設定したが、ログ記録の重要度を表す他のパラメータとして、当該端末を通過する脅威Xの頻度を設定してもよい。
【0070】
第1の実施形態のように、防御確率をログ記録の重要度を表す1パラメータとして採用する場合、脅威Xがどの程度の頻度で発生するのかに関係なく、その脅威Xが発生した場合にどの程度の割合で防御されることなく当該端末を通過するのかを数値化したものがログ記録の重要度に影響を与えるという考えに基づくものであるのに対して、当該端末を通過する脅威Xの頻度をログ記録の重要度を表す1パラメータとして設定した場合、脅威Xの発生数の多少に関係なく、結果的に当該端末を通過する頻度がログ記録の重要度に影響を与えるという考えに基づくものである。
【0071】
この場合、例えば図9に示すように、評価者は、端末ごとに通過する脅威Xの頻度を設定する。図9では、脅威Xが端末Aを通過する頻度が1ヶ月当たり6件と設定され、脅威Xが端末Bを通過する頻度が1ヶ月当たり2件と設定された例を示している。この場合、ログ記録評価値算出部1は、各端末A,Bについての第2ログ記録十分度を、当該端末に設定されたログ記録十分度と脅威Xが当該端末を通過する頻度との積により算出し、それらの乗算値の和6×0.1+2×0.4=1.4を、この経路におけるログ記録評価値として算出する。
【0072】
本実施形態によれば、実際に脅威Xが当該端末をどのくらいの頻度で通過するかを加味してログ記録評価値を算出することができるとともに、図9に示すようなシステムのモデル化を厳密に行わなくても重要度の設定を行いやすいというメリットがある。
【0073】
[2]脅威Xが資産情報Wに到達する経路が複数存在する場合には、経路ごとにログ記録の重要度を設定し、設定した各重要度に基づきログ記録評価値を算出するようにしてもよい。今、図10に示すように、端末A,Bの後段に端末C,Dが存在し、脅威Xが端末A又は端末Bを通過した後、端末C又は端末Dを経て資産情報Wに到達する場合について説明する。なお、端末Aにはセキュリティ部Aが、端末Bにはセキュリティ部Bが、端末Cにはセキュリティ部Cが、端末Dにはセキュリティ部Dがそれぞれ搭載されているものとする。
【0074】
図10に示す構成においては、脅威Xが端末A及び端末Cを通過して資産情報Wに到達する経路1、脅威Xが端末B及び端末Cを通過して資産情報Wに到達する経路2、脅威Xが端末A及び端末Dを通過して資産情報Wに到達する経路3、脅威Xが端末B及び端末Dを通過して資産情報Wに到達する経路4が想定される。このように経路別に分けて表したモデルを図11に示す。
【0075】
図10に示す構成において、発生する脅威Xのうち80(%)の脅威Xは端末Aから侵入を試み、残りの20(%)の脅威Xは端末Bから侵入を試みる場合を想定する。このとき、端末Aを通過する脅威Xは、端末Aに施された防御確率「0.2」のセキュリティ部Aによって防御されるので、αの頻度で発生する脅威Xに対して、0.8α×(1−0.2)=0.64αの頻度で端末Aを通過すると予測される。また、この0.64αの脅威Xのうち70(%)の脅威X(0.448αの脅威)は端末Cに向かうと想定される。さらに、0.448αの脅威Xのうち端末Cを通過する脅威Xは、端末Cに施された防御確率「0.3」のセキュリティ部Cによって防御されるので、0.448αの頻度で端末Cに侵入する脅威Xに対して、0.3136α(=0.64α×0.7×0.7)の頻度で脅威Xが端末Cを通過すると予測される。
【0076】
一方、端末Bを通過する脅威Xは、端末Bに施された防御確率「0.5」のセキュリティ部Bによって防御されるので、αの頻度で発生する脅威Xに対して、0.2α×(1−0.5)=0.1αの頻度で端末Bを通過すると予測される。また、この0.1αの脅威Xのうち60(%)の脅威(X0.06αの脅威)は、端末Cに向かうと想定される。さらに、0.06αの脅威Xのうち端末Cを通過する脅威Xは、端末Cに施された防御確率「0.3」のセキュリティ部Cによって防御されるので、0.06αの頻度で端末Cに侵入する脅威Xに対して、0.042α(0.1α×0.6×0.7)の頻度で端末Cを通過すると予測される。
【0077】
したがって、図10に示す構成において、端末Cを通過して資産情報Wに向かう脅威Xは、0.3136α+0.042α=0.3556αの頻度で発生するものと予測される。同様にして、端末Dを通過して資産情報Wに向かう脅威Xも算出することができる。なお、以上のようにして求めた各端末A〜Dを通過する脅威Xの到達頻度を図11,図12に示す。図11を参照すると、各経路1〜4のうち、経路1が資産情報Wに到達する脅威Xの数が最も多く、経路4が資産情報Wに到達する脅威Xの数が最も少ないことが判る。
【0078】
ここで、図10に示す構成におけるログ記録の評価を行うことを考える。各経路1〜4における脅威Xの到達頻度は、
経路1:0.3136α
経路2:0.1344α
経路3:0.049α
経路4:0.021α
である。
【0079】
本実施形態では、これらの各経路1〜4における脅威Xの到達頻度をログ記録の重要度として設定し、ログ記録評価値算出部1は、この重要度と各端末A〜Dに設定されたログ記録十分度とを用いて、経路ごとに第2ログ記録十分度を算出する。
【0080】
まず、各端末において、ログ記録を完全にとる場合のログ記録十分度「1」と表すとき、完全にログ記録をとる端末のみで構成される経路についてのログ記録十分度も「1」と表されるべきである。この点から、当該経路についてのログ記録十分度を、各端末についてのログ記録十分度の平均により算出する。すなわち、経路1についてのログ記録十分度は、端末Aのログ記録十分度「0.9」と端末Cのログ記録十分度「0.6」との平均値「0.75」となる。同様にして、経路2についてのログ記録十分度は、端末Aのログ記録十分度「0.9」と端末Dのログ記録十分度「0.4」との平均値「0.65」となり、経路3についてのログ記録十分度は、端末Bのログ記録十分度「0.3」と端末Cのログ記録十分度「0.6」との平均値「0.45」となり、経路4についてのログ記録十分度は、端末Bのログ記録十分度「0.3」と端末Dのログ記録十分度「0.4」との平均値「0.35」となる。
【0081】
次に、ログ記録評価値算出部1は、各端末A〜Dについてのログ記録十分度と当該端末におけるログ記録の重要度(本実施形態では、脅威Xの発生頻度)との積により、各経路1〜4についての第2ログ記録十分度を次のように算出する。
経路1:0.3136α×0.75=0.2352α
経路2:0.1344α×0.65=0.08736α
経路3:0.049α×0.45=0.02205α
経路4:0.021α×0.35=0.00735α
【0082】
そして、ログ記録評価値算出部1は、各経路1〜4についての第2ログ記録十分度の加算値0.35196αをログ記録評価値として算出する。
【0083】
本実施形態によれば、各端末A〜Dについてのログ記録十分度を以上のように設定した場合には、ログ記録評価値は0.35196αとなるが、例えば、いずれかの端末でログ記録を行わないようにした場合のログ記録評価値を前述と同様の方法により算出し、その算出結果と前記ログ記録評価値0.35196αとを比較することで、ログ記録を行わないようにした端末でのログ記録の必要性を判断することができる。
【0084】
例えば、前記算出結果が前記ログ記録評価値0.35196αとほとんど変わらない場合には、ログ記録を行わないようにした端末ではログ記録の必要性は低い又は費用対効果が低いと考えられることから、評価者は、その端末ではログ記録を行わないようにすると判断することができる一方、前記算出結果が前記ログ記録評価値0.35196αより大幅に小さくなった場合には、ログ記録を行わないようにした端末ではログ記録の必要性は高いと考えられることから、評価者は、その端末ではログ記録を行うと判断することができる。
【0085】
また、ログ記録十分度の値を変更したり、或いは複数の端末間でログ記録十分度の値の入れ替えを行ったりした場合のログ記録評価値を、前述と同様の方法により算出し、その算出結果と前記ログ記録評価値0.35196αとを比較することで、ログ記録十分度の値を変更したり、或いは複数の端末間で入れ替えたりした端末におけるログ記録の重要性を判断することができる。
【0086】
なお、本実施形態では、各経路についてのログ記録十分度を、当該経路上に設置された端末についてのログ記録十分度の平均により算出するようにしたが、これに限られない。また、各端末に設定されたログ記録十分度に基づいて経路についてのログ記録十分度を算出する形態に限らず、各経路で得られた過去のログ記録十分度をそのまま各経路についてのログ記録十分度として設定したり、そのログ記録十分度をベースにして種々の状況を考慮して修正した値を各経路についてのログ記録十分度として設定したりする等、経験等に基づいて経路についてのログ記録十分度を導出する、換言すると、各経路で得られた過去のログ記録十分度に基づいて各経路についてのログ記録十分度として設定するようにしてもよい。
【0087】
また、脅威Xの発生頻度αをログ記録の重要度を表す1パラメータとして採用したが、この発生頻度αを考慮しないで重要度を設定してもよい。評価者が、発生頻度αを考慮したログ記録評価値を要求するか、発生頻度αを考慮しないログ記録評価値を要求するかに応じて、脅威Xの発生頻度αを考慮して重要度を設定するか、脅威Xの発生頻度αを考慮しないで重要度を設定するかを決定するとよい。
【0088】
また、図13に示すように、複数の経路からなる集合体を1つの経路とみなし、各セキュリティ部についてのログ記録十分度をそれぞれ設定しないで、この経路におけるログ記録の重要度を設定するようにしてもよい。図13は、脅威Xが端末A,Cを通過して資産情報Wに到達する経路と、脅威Xが端末A,Dを通過して資産情報Wに到達する経路と、脅威Xが端末B,Cを通過して資産情報Wに到達する経路と、脅威Xが端末B,Dを通過して資産情報Wに到達する経路との4つの経路の集合体を経路1として設定し、また、脅威Xが端末E,Fを通過して資産情報Wに到達する経路を経路2として設定されていることを示している。
【0089】
これによれば、各セキュリティ部についてそれぞれログ記録十分度を設定する場合に比して、ログ記録十分度等の設定項目の数を低減することができるため、評価者の負担を軽減することができる。
【0090】
[3]前記変形形態[2]では、或る端末から後段の端末に向かう経路が複数存在する場合に、経路ごとに、当該経路を通る脅威Xの通過頻度を考慮してログ記録評価値を算出するようにしたが、次に説明するように、経路ごとに、当該経路を通る脅威Xの通過頻度を考慮しないでログ記録評価値を算出するようにしてもよい。
【0091】
ここでは、図14に示すように、セキュリティ部A〜Gを備えた端末A〜Gを有し、脅威Xが端末A,C,Eを通過して資産情報Wに到達する経路1と、脅威Xが端末A,Fを通過して資産情報Wに到達する経路2と、脅威Xが端末B,D,Fを通過して資産情報Wに到達する経路3と、脅威Xが端末B,D,Gを通過して資産情報Wに到達する経路4とを備えた構成を想定する。このように経路別に分けて表したモデルを図15に示す。
【0092】
また、端末Aの防御確率は0.9、ログ記録十分度は0.8、端末Bの防御確率は0.7、ログ記録十分度は0.0、端末Cの防御確率は0.8、ログ記録十分度は0.9、端末Dの防御確率は0.4、ログ記録十分度は1.0、端末Eの防御確率は0.5、ログ記録十分度は0.7、端末Fの防御確率は0.3、ログ記録十分度は0.0、端末Gの防御確率は0.8、ログ記録十分度は0.8とし、図14に示す構成において、発生する脅威Xのうち70(%)の脅威Xは端末Aから侵入を試み、残りの30(%)の脅威Xは端末Bから侵入を試みる場合を想定する。
【0093】
このような構成において、本実施形態のログ記録評価値算出部1は、経路ごとに、脅威Xが資産情報Wに到達する確率を、防御確率を用いて算出する。すなわち、ログ記録評価値算出部1は、経路1については、発生した脅威Xが端末Aに侵入する割合0.7と、端末A,C,Eが脅威Xを防御できない確率0.1(=1−0.9),0.2(=1−0.8),0.4(=1−0.6)とを乗算し、脅威Xが経路1を通過する確率0.0056を経路1におけるログ記録の重要度として算出する。
【0094】
同様の算出方法により、ログ記録評価値算出部1は、脅威Xが経路2を通過する確率0.049を経路2におけるログ記録の重要度として算出し、脅威Xが経路3を通過する確率0.0378を経路3におけるログ記録の重要度として算出し、脅威Xが経路4を通過する確率0.0108を経路4におけるログ記録の重要度として算出する。
【0095】
一方、ログ記録評価値算出部1は、経路1上に設置されている各端末A,C,Eのログ記録十分度0.8,0.9,0.7の平均値0.8を、当該経路1についてのログ記録十分度として算出する。同様の算出方法により、ログ記録評価値算出部1は、経路2上に設置された各端末A,Fのログ記録十分度0.8,0.0の平均値0.4を当該経路2についてのログ記録十分度として算出し、経路3上に設置された各端末B,D,Fのログ記録十分度0.0,1.0,0.0の平均値0.3333を当該経路3についてのログ記録十分度として算出し、経路4上に設置された各端末B,D,Gのログ記録十分度0.0,1.0,0.8の平均値0.6を当該経路4についてのログ記録十分度として算出する。
【0096】
そして、ログ記録評価値算出部1は、各経路1〜4についてのログ記録十分度と、各経路1〜4におけるログ記録の重要度との乗算値0.8×0.0056,0.4×0.049,0.3333×0.0378,0.6×0.0108を算出し、それらの乗算値の和0.04316をログ記録評価値として算出する。
【0097】
なお、ここでは、各経路1〜4についてのログ記録十分度を、当該経路上に設置された端末についてのログ記録十分度の平均により算出するようにしたが、これに限らず、例えば次のような算出方法で算出した値をログ記録十分度として採用することもできる。
【0098】
すなわち、ログ記録評価値算出部1は、下記式(1),(2)により各経路についてのログ記録十分度Vを算出する。
【0099】
V=1−1/(Xsum(A1,A2,・・・,An)) ・・・(1)
sum(A1,A2,・・・,An)=A1+A2+・・・+An ・・・(2)
A1,A2,・・・,Anは、各端末についてのログ記録十分度
例えば、図14,図15に示す経路1についてのログ記録十分度V1は、X=10とした場合には、V1=1−1(10(0.8+0.9+0.7))=0.99602となる。同様の算出方法により経路2〜4についてのログ記録十分度V2〜V4は、0.84151,0.9,0.98415と算出される。
【0100】
したがって、ログ記録評価値算出部1は、各経路1〜4についてのログ記録十分度と、各経路1〜4におけるログ記録の重要度との乗算値0.99602×0.0056,0.84151×0.049,0.9×0.0378,0.98415×0.0108を算出し、それらの乗算値の和0.091461をログ記録評価値として算出する。
【0101】
各端末についてのログ記録十分度の平均により経路についてのログ記録十分度を算出する前者の算出方法と、前記式(1),(2)を用いて経路についてのログ記録十分度を算出する後者の算出方法とを比較した場合、前者の算出方法においては、経路上に設置された全ての端末のうちどれだけの割合でログ記録がなされているかを重視する場合に用いる数値が、経路についてのログ記録十分度として算出され、セキュリティ部を数多く繋げても、経路上にログ記録を行わない端末が含まれる場合には、当該経路についてのログ記録十分度の値は小さくなる。これに対し、後者の算出方法においては、経路上に設置された全ての端末のうちどれだけの数の端末でログ記録がなされているかを重視する場合に用いる数値が、経路についてのログ記録十分度として算出され、セキュリティ部を数多く繋げるほど、経路についてのログ記録十分度の値は大きくなる。
【0102】
また、ログ記録のために割くことのできるリソースに比較的余裕がある場合や、経路上の不明箇所(ログ記録が無い通信路や端末)をできるだけなくしたい場合に前者の算出方法が適しており、一方、ログ記録のために割くことのできるリソースに比較的余裕がない場合や、ログ記録をとる場所の多さでログ記録の効果(脅威Xの抑止効果や脅威発生検出効果)を得たい場合に後者の算出方法が適している。
【0103】
なお、前記演算式(1)におけるXは「10」に限られるものではない。また、演算式(1),(2)も一例であり、前記演算式(1),(2)の他に、たとえば下記演算式(3)〜(6)も採用可能である。
【0104】
V=A11/2+A21/2+…+An1/2 ・・・(3)
V=log|A1+A2+…+An| ・・・(4)
V=(A12+A22+…+An2)/n ・・・(5)
V=log|(A1+A2+…+An)/n| ・・・(6)
演算式(3),(4)は、経路上に設置された全ての端末のうちどれだけの数の端末でログ記録がなされているかを重視する場合に用いるのが好適な演算式であり、演算式(5),(6)は、経路上に設置された全ての端末のうちどれだけの割合でログ記録がなされているかを重視する場合に用いるのが好適な演算式である。
【0105】
また、前記演算式(1)において、Xの指数部sum(A1,A2,・・・,An)に代えて、前記演算式(3)〜(6)のいずれかの右辺を代入した演算式でもよい。この場合、各経路についてのログ記録十分度Vの値を0〜1に正規化することができる。
【0106】
[4]本件は、前記第1の実施形態のように、前記入出力制御部6とログ記録評価値算出部1とが同一のパーソナルコンピュータに搭載されている形態に限らず、入出力制御部6とログ記録評価値算出部1とを異なるコンピュータに搭載する形態、例えば図16に示すように、一方をセキュリティ評価サーバに、他方をクライアントに搭載する形態も含む。
【0107】
[5]各端末におけるログ記録の重要度を表すパラメータとして、第1の実施形態では、1つの経路を想定して、該経路上に設置された各端末の防御確率を採用し、前記変形形態[1]では、複数の経路を想定して、各経路を通過する脅威Xの頻度を採用したが、経路の数と重要度を表すパラメータの組合せは適宜設定可能である。
【図面の簡単な説明】
【0108】
【図1】本発明の第1の実施形態を示す図である。
【図2】端末の構成図である。
【図3】図1に示す構成において、端末A,Bに対するログ記録十分度の設定パターンの一例である。
【図4】図1に示す構成において、端末A,Bに対するログ記録十分度の設定パターンの一例である。
【図5】図1に示す構成において、端末A,Bに対するログ記録十分度の設定パターンの一例である。
【図6】図1に示す構成において、端末A,Bに対するログ記録十分度の設定パターンの一例である。
【図7】ログ記録表価値の設定作業を行うための画面の一例を示す図である。
【図8】前記入出力制御部及びログ記録評価値算出部の処理を示すフローチャートである。
【図9】ログ記録の重要度を表すパラメータとして、当該端末を通過する脅威の頻度を設定した場合の構成図である。
【図10】端末A,Bの後段に端末C,Dが存在し、脅威Xが端末A又は端末Bを通過した後、端末C又は端末Dを経て資産情報Wに到達するシステムの構成図である。
【図11】図10に示す構成を経路別に分けて表したモデルを示す図である。
【図12】図10に示す構成において、各端末を通過する脅威の頻度や資産に到達する脅威の頻度を示した図である。
【図13】複数の経路からなる集合体を1つの経路とみなし、各セキュリティ部についてのログ記録十分度をそれぞれ設定しないで、該経路におけるログ記録の重要度を設定する場合の説明図である。
【図14】経路ごとに、当該経路を通る脅威Xの通過頻度を考慮しないでログ記録評価値を算出する場合の説明図である。
【図15】図14に示す構成を経路別に分けて表したモデルを示す図である。
【図16】本発明の変形形態を示す図である。
【図17】従来技術の説明図である。
【図18】従来技術の説明図である。
【図19】従来技術の説明図である。
【符号の説明】
【0109】
1 ログ記録評価値算出部
2 入力部
3 表示部
4 制御部
5 セキュリティ部
6 入出力制御部
【技術分野】
【0001】
本発明は、通信ネットワークにおけるセキュリティに関する技術分野であり、特に、セキュリティ対策の導入パターンに係る判断を行うためのセキュリティレベル評価に関するものである。
【背景技術】
【0002】
近年、電子情報の重要性がますます高まるにつれて、該電子情報を保護するためのセキュリティ対策も重要なものとなっている。セキュリティの一般的な定義の一つに、保護対象の電子情報(以下、資産情報という)の機密性(アクセス権の所有者のみが資産情報にアクセス可能であること)、完全性(資産情報及びその処理が正確かつ完全であることが保証されていること)及び可用性(アクセス許可された利用者が必要なときに資産情報にアクセス可能であること)の3つの要素を満たすことであるというものがあり、資産情報を使用するため又は資産情報を保護するために構成される、セキュリティに対する評価は、これら3要素の侵害防止の程度によって行われることが多い。
【0003】
ところで、セキュリティレベルが高くなるようにセキュリティ対策を施せば施すほど、セキュリティレベルの点ではより好ましい状態になる。しかし、セキュリティ対策を施さなくてもほとんど資産情報の侵害が発生しない場合(資産情報の侵害につながる脅威の発生頻度が少ない場合)や、仮に資産情報の侵害が発生したとしてもその侵害によって発生する損害は微小な場合(資産情報の価値が小さい場合)などでは、新たなセキュリティ対策の導入や維持に膨大なコストを投じてまでセキュリティ対策を施す必要は無いと考えるのが一般的である。すなわち、セキュリティの評価は、導入コストと導入効果との兼ね合いを考慮することが必要になる。
【0004】
その際、導入コストは定量的に算出可能な数値であるため、必然的に導入効果についても定量的であることが好ましい。また、セキュリティの評価は、属人的な要素が少なく且つ簡易な方法で行われることが好ましい。なぜなら、属人的である場合、評価者の主観的な情報によって評価結果が大きく変わり得るからであり、それを抑制するためには評価者に高度な知識が要求され、評価者にかかる評価作業の負担が大きくなる。また、評価方法が複雑である場合も、同様に評価者によって評価値が変わったり評価作業の負担が高くなったりする。そして、定性的な評価であるほど属人的な評価結果になるため、定量的であることが必要である。
【0005】
下記特許文献1には、定性的リスク分析手法で用いる評価項目を合成したデータベースと、データベースの評価項目に入力されたランク値からリスクを算出し、そのリスクからセキュリティポリシーの優先度を算出する技術が開示されている。
【0006】
下記特許文献2には、複数のセキュリティ対策の名称、各対策のリスク低減率、各対策が有効に機能する情報資産の格納場所、各対策を施すためのコスト等のデータからなる対策定義ファイルを格納する対策定義ファイル格納手段と、キーボード等からなる入力手段から入力された、適用済み又は適用することが決定されている対策の名称を示す適用対策名データと、前記対策定義ファイルとを基に、想定される対策(適用する候補である対策)全てに対して適用済み及び適用を決定した対策がどの程度の充足率であるかを計算する対策充足率算出手段とを備えた情報セキュリティ評価装置が開示されている。
【特許文献1】特開2002−352062号公報
【特許文献2】特開2002−24526号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
前述のようにセキュリティ対策を施したとしても、以下のような要因1〜3によって完全には資産情報の侵害が無くなっていない場合が多いというのが現状である。
【0008】
要因1.IT(Information Technology)に係る犯罪レベルの高度化や環境変化により、脅威の侵害強度が、セキュリティ対策導入検討時の想定レベルを超越し、セキュリティ対策の性能を上回る場合がある。
【0009】
要因2.導入コストやユーザビリティとセキュリティレベルとの兼ね合いを考慮して、意図的に部分的にしかセキュリティ対策を施さない場合がある。
【0010】
要因3.セキュリティ対策にセキュリティホールや設定ミス等の不備が存在する場合がある。
【0011】
これら要因1〜3に示す場合においては、脅威は完全に防御されず、一部の脅威は資産情報の侵害につながり得ることになる。
【0012】
そこで、セキュリティ対策を考慮する上で重要な項目として、前述の資産情報の機密性、完全性及び可用性の3要素の侵害防止の程度に関する項目の他に、アクセスや操作等に関するログ記録がある。このログ記録は、ISO15408等の認証取得や、JSOX法等の法対応において、セキュリティが十分であることの証明(侵害が無いことの証明)としての位置づけにあり、セキュリティ対策の一つとして以下のような点で大きな意義を有するものである。
【0013】
・ログ記録が取られていることを周知させることによる脅威発生の抑止効果を期待できる点。
【0014】
・脅威レベルが導入対策当初の想定レベルを超越したり、セキュリティ対策に不備が存在したり、或いは想定自体に間違いが存在することを感知することで、更なるセキュリティ対策を検討するための情報収集となる点。
【0015】
・資産情報の侵害発生時に、侵害による損失状況を把握或いは予測することで、損失拡大の防止措置を検討したり、侵害された資産情報についての利害関係を共有する関係者へ迅速に状況報告を行ったりするための情報となる点。
【0016】
・脅威が人為的なものである場合に、資産情報の侵害者を特定し、教育や訴訟を行えるようにすることができる点。
【0017】
このように、ログ記録は、侵害防止対策が十分なものであることの証明を行う場合だけでなく、侵害防止対策が十分でない場合においても、非常に重要なセキュリティ対策の一項目になり得ることが判る。そして、ログ記録に対しても、セキュリティ対策の導入の必要性やその必要性の程度を考慮するために、セキュリティ上の効果の程度を評価することが必要となる。ただし、このログ記録の評価として、ログ記録状況が十分であるか否かの定性的なものでは不十分であり、侵害防止の程度と同様に、定量的に評価できること及び属人的な要素が少なくなることが好ましい。
【0018】
従来のセキュリティ評価方法の1つとして、図17に示すようなチェックシートによって得られた回答に基づいて評価値を算出する方法が知られている。例えば、大項目「脅威」における中項目「不正ログイン」の小項目「脅威発生頻度」について、選択肢「頻繁に発生」、「たまに発生」、「ほとんど発生しない」が設けられており、評価者がこれらの選択肢の中から当てはまると思う選択肢を選択し、選択された選択肢の統計値に基づいて評価値を算出するものである。しかしながら、この方法では、選択的な記入が行われるため、定性的な評価結果になる。
【0019】
この評価方法とは別に、図18に示すように、各セキュリティ手段が有する防御性能値(リスク低減率)に基づいて全体的な防御性能値を算出するものがある。たとえば、図18に示す例のパターン1では、端末A〜Dのうち、端末A、端末B、端末Cでセキュリティ対策が施されているため、パターン1の全体的な防御性能値は、1−(1−端末Aのリスク低減率)×(1−端末Bのリスク低減率)×(1−端末Cのリスク低減率)=1−0.4×0.7×0.1=99.972と算出されている。この評価方法では、定量的な評価に基づいて、コストとの比較によってどの対策パターンを採用するかを選択することができる。
【0020】
そこで、ログ記録についてのセキュリティ上の効果の程度を評価するべく、図18に示す防御性能値を用いたセキュリティ評価方法における「防御性能値」を、各セキュリティ手段においてログ記録がどの程度充実しているかを示すログ記録十分度合いに置換し、各セキュリティ手段におけるログ記録十分度合いの積や和をとることでシステム全体のログ記録評価値を算出する方法が考えられる。
【0021】
しかしながら、各セキュリティ手段における「ログ記録十分度合い」のみでは、ログ記録を重視する場所や、ログ記録の配置状況とログ記録評価値合との関連について、定量的な評価を行うことができない。
【0022】
すなわち、例えば図19に示すように、脅威が端末A或いは端末Bに最初に侵入し、端末C或いは端末Dを経て資産情報に到達する構成におけるログ記録評価値を算出する場合、図18に示すような方法と同様の方法で、端末A〜Dの各々のログ記録十分度合いだけを基に全体的な評価値を算出しても、どの端末におけるログ記録が重要であるのかが不明である。例えば、ログ記録の記録容量やログ記録の管理負荷等を考慮して端末A〜Dのうちのどれか1つはログ記録を行わないようにしたいと考えても、ログ記録を実行しない対象の端末を端末A〜Dのどれにすると、全体としてのログ記録十分度合いの低下を防止又は最も抑制することができるのかということは不明である。
【0023】
本発明は、これに鑑みてなされたものであり、評価対象のシステムにおいてログ記録を重視すべき部分を判別することができ、ログ記録の配置状況とログ記録評価値合いとの関連について定量的な評価を行うことのできるセキュリティ評価方法及びセキュリティ評価装置を提供する。
【課題を解決するための手段】
【0024】
請求項1に記載の発明は、通信経路のセキュリティの評価方法であって、評価値算出部が、1又は複数の通信経路について、当該通信経路におけるログ記録の重要性を示す重要度又は該重要度を決定するための第1パラメータの値の入力を受け付ける重要度受付ステップと、前記評価値算出部が、前記1又は複数の通信経路について、当該通信経路におけるログ記録の充実度合いを示すログ記録十分度又は該ログ記録十分度を決定するための第2パラメータの値の入力を受け付けるログ記録十分度受付ステップと、前記評価値算出部が、受け付けた前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出する評価値算出ステップとを備えるものである。
【0025】
請求項7に記載の発明は、通信経路のセキュリティの評価装置であって、1又は複数の通信経路について、当該通信経路におけるログ記録の重要性を示す重要度又は該重要度を決定するための第1パラメータの値を入力するための第1の入力部と、前記1又は複数の通信経路について、当該通信経路におけるログ記録の充実度合いを示すログ記録十分度又は該ログ記録十分度を決定するための第2パラメータの値を入力するための第2の入力部と、前記第1及び第2の入力部により入力された前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出する評価値算出部とを備えるものである。
【0026】
これらの発明によれば、1又は複数の通信経路について入力された前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出するようにしたので、評価者は、前記重要度又は第1パラメータの値、ログ記録十分度又は第2パラメータの値及び前記評価値を比較することで、ログ記録を重視すべきシステム上の場所や、ログ記録の配置状況と評価値との関連を定量的に評価することができる。
【0027】
請求項2に記載の発明は、請求項1に記載のセキュリティの評価方法において、前記通信経路は、受信した情報に対してセキュリティ処理を行う1又は複数の中継点を備えて構成されており、前記重要度受付ステップは、前記評価値算出部が、前記中継点におけるログ記録の重要性を示す重要度の入力を受け付けるステップであり、前記ログ記録十分度入力ステップは、前記評価値算出部が、前記中継点におけるログ記録の充実度合いを示すログ記録十分度の入力を受け付けるステップであり、前記評価値算出ステップは、前記評価値算出部が、受け付けた中継点についての前記重要度及びログ記録十分度に基づいて、該中継点を含む通信経路についてのログ記録十分度を算出するステップと、この算出したログ記録十分度に基づき、前記システム全体におけるログ記録の充実度合いを示す評価値を算出するステップとを含むものである。
【0028】
請求項3に記載の発明は、請求項1または2に記載のセキュリティの評価方法において、前記中継点は、前記セキュリティプログラムを搭載した端末である。
【0029】
請求項2及び3に記載の発明によれば、ログ記録を重視すべきシステム上の場所や、ログ記録の配置状況と評価値との関連について、より詳細に定量的な評価を行うことができる。
【0030】
請求項4に記載の発明は、請求項3に記載のセキュリティの評価方法において、前記重要度及び第1パラメータ値は、端末に搭載されたセキュリティプログラムの脆弱性に基づく値を含むものである。
【0031】
請求項5に記載の発明は、請求項4に記載のセキュリティの評価方法において、前記セキュリティプログラムの脆弱性は、当該セキュリティプログラムの防御性能値に基づくものである。
【0032】
請求項4及び5に記載の発明によれば、セキュリティプログラムの脆弱性が高いほど(セキュリティプログラムの防御性能値が小さいほど)、当該中継点でのログ記録の重要性が高いことから、前記各通信経路における重要度をセキュリティプログラムの脆弱性に応じて設定することで、ログ記録の導入コストに対して効率的に高い評価値を得ることが可能となる。
【0033】
請求項6に記載の発明は、請求項1ないし5のいずれかに記載のセキュリティの評価方法において、前記重要度及び第1パラメータ値は、セキュリティの起動頻度及び該セキュリティの失敗頻度のうち少なくとも一方を含むものである。
【0034】
この発明によれば、セキュリティの起動頻度及び該セキュリティの失敗頻度が大きいほど、当該通信経路でのログ記録の重要性が高いことから、前記前記重要度及び第1パラメータ値が、セキュリティの起動頻度及び該セキュリティの失敗頻度のうち少なくとも一方を含むようにすることで、ログ記録の導入コストに対して効率的に高い評価値を得ることが可能となる。
【発明の効果】
【0035】
本発明によれば、評価者は、前記重要度又は第1パラメータの値、ログ記録十分度又は第2パラメータの値及び前記評価値を比較することで、ログ記録を重視すべきシステム上の場所や、ログ記録の配置状況と評価値との関連を定量的に評価することができる。
【発明を実施するための最良の形態】
【0036】
以下、本発明に係るセキュリティ評価方法及びセキュリティ評価装置の実施形態について説明する。図1は、本発明の第1の実施形態を示す図である。
【0037】
図1に示すように、本実施形態では、パーソナルコンピュータからなる端末A,Bを通過して、脅威Xが、端末Bにより格納及び管理されている資産情報Wに到達する状況を想定する。資産情報Wとは、個人情報、データベース、会社の機密情報、システム運用のために重要となる管理情報、ソフトウェアなどの電子情報を総称したものをいい、脅威Xとは、このような資産情報Wを格納する端末等の格納部から、該資産情報Wを消去したり、害資産情報Wを改変したり、他の不特定の端末に送信したり(ばらまいたり)、或いは前記資産情報Wを不正に取得したり、端末の動作を妨害したりするコンピュータウィルス、不正アクセス(成り済まし)やDos攻撃等の資産情報Wを侵害するものをいう。
【0038】
端末A,Bは、例えば図2(a)に示すように、キーボード及びマウス等からなる入力部2と、各種画面を表示する表示部3と、制御部4とを備えて構成されている。制御部4は、それぞれ制御プログラム等を記憶するROM、一時的にデータを格納するRAM、及び制御プログラム等をROMから読み出して実行する中央演算処理装置等からなり、該制御部4が所定の記憶部から供給されるセキュリティプログラムにより、端末Aはセキュリティ部Aとしての機能が、また、端末Bはセキュリティ部Bとしての機能がそれぞれ搭載されている。なお、図2(a)では、セキュリティ部A,Bをセキュリティ部5と表している。
【0039】
端末Aに搭載されているセキュリティ部Aは、例えばIP(Internet Protocol)アドレスやアクセス内容(資産情報Wの操作内容や資産情報Wに対するアクセス頻度)に基づくフィルタリング(与えられたデータ(IPアドレスやアクセス内容)に対して、指定した条件に合致するものだけを抜き出す処理)を行うものである。端末Bに搭載されているセキュリティ部Bは、例えば個人認証やファイルアクセス管理等を行うものである。以下、説明の簡単化のため、本実施形態では、脅威Xは不正アクセス、セキュリティ部Bは個人認証であるものとする。なお、セキュリティ部A,Bは、前記フィルタリングや個人認証以外のセキュリティ機能、たとえばデバイスの論理的認証(たとえばIPアドレス等の認証)や物理的認証(たとえばMACアドレス等の認証)、アンチウィルスソフトによる処理、あるいは通信装置の暗号化等のセキュリティ機能を有するものでも良い。これらの処理は、前記セキュリティ処理に相当する。
【0040】
このように端末Aにセキュリティ部Aを搭載し該セキュリティ部AによりIPアドレスやアクセス内容のフィルタリングを行うようにしても、アクセス内容が正規のアクセスとの間に差がほとんどなかったりIPアドレスが詐称されたりすることで、一部の不正アクセスはセキュリティ部Aでは防御し切れず、資産情報Wに対する不正アクセスが成功する場合が考えられる。また、端末Bにセキュリティ部Bを搭載し該セキュリティ部Bにより個人認証を行うようにしても、認証パスワードの漏洩や推測によって一部の不正アクセスは防御し切れず、資産情報Wに対する不正アクセスが成功する場合が考えられる。
【0041】
このような不正アクセスの成功がどの程度なされおり、前記不正アクセスをどの程度防御できているのかは、過去の統計量やセキュリティ部A,Bのアルゴリズム等に基づいて評価者が設定することができる。例えば、利用者に対して実験的に故意に不正アクセスを促した場合に成功した事例の計数値に基づいて評価者が設定したり、或いは、セキュリティ部Aで防御された脅威数と防御されずにセキュリティ部Aを通過して後段のセキュリティ部Bで検出された脅威数との比率や、セキュリティ部A、Bを製品として販売している企業や公的機関による開示情報(例えばセキュリティ部A,Bがアンチウィルスソフトである場合には、ウィルス発生総数と新規ウィルス被害件数等が開示されている場合がある)を用いることで統計的な数値に基づいて評価者が設定したりすることが可能である。また、個人認証に用いる暗証番号が単純な4桁数字の暗証番号である場合には、暗証番号のパターンは10000通りしかないため、暗証番号の漏洩が無かったとしても1/10000の確率で認証が成功することになるため、この成功率に基づいて設定したり、また、個人認証に用いる暗証番号が誕生日である場合にはなり済ましは確実に行われるものと想定した場合には、誕生日を暗証番号に設定している利用者の数を調査し、その割合を設定したりすることが可能である。
【0042】
図1に示すように、各端末A,Bに設定された防御確率は、このような方法によって設定された各セキュリティ部A,Bにおける不正アクセスの防御性能を表す数値の一例であり、前記各セキュリティ部A,Bの脆弱性を示す指標の一例である。なお、前記防御性能を表す数値は、防御確率以外に、例えば複数の段階にレベル分けされた防御レベルなどがある。また、前記脆弱性とは、一般的に、コンピュータやネットワークなどの情報システムにおいて、第三者が保安上の脅威となる行為に利用できる可能性のあるシステム上の欠陥や仕様上の問題点をいい、本実施形態におけるセキュリティ部A,Bの脆弱性とは、当該セキュリティ部を前記脅威が通過しうるプログラム上の欠陥や仕様上の問題点をいう。
図1では、セキュリティ部Aの防御確率が0.2(端末Aに侵入した脅威Xが80%の確率で端末Aを通過する)、セキュリティ部Bの防御確率が0.7(端末Bに侵入した脅威Xが30%の確率で端末Bを通過する)となっている。
【0043】
この場合、発生頻度α(例えば1ヶ月あたりに発生する脅威Xの件数)で発生する脅威Xのうち、防御確率0.2のセキュリティ部Aにより0.2α(件)の脅威Xは防御されるが、残りの0.8α(件)の脅威Xは端末Aを通過する。また、この0.8α(件)の脅威Xのうち、防御確率0.7のセキュリティ部Bにより0.8α×0.7(件)の脅威Xは防御されるが、残りの0.8α×(1−0.7)=0.24αは端末Bを通過し資産情報Wに到達することとなる。すなわち、端末A及び端末Bを含む通信経路では、脅威Xは(1−0.2)×(1−0.7)=0.24の確率で資産情報Wに到達することになり、このとき、該通信経路の防御確率は1−0.24=0.76であるということになる。
【0044】
このように、各端末A,Bにセキュリティ部A,Bを搭載したとしても、脅威Xは完全に防御されず、一部の脅威Xは資産情報Wの侵害につながり得ることになることに鑑みて、本実施形態では、ログ記録をセキュリティ対策の一手段として採用している。ログ記録は、通信状況や端末の利用状況等の記録を行うことであり、その記録対象は、例えば送信元、宛先、時刻、IPアドレス、ポート番号、ID、パスワード等がある。
【0045】
ここで、ログ記録は、セキュリティ部Aやセキュリティ部Bで防御できない脅威Xに対して特に有効なものであるから、各端末A,Bにおいて、当該端末に対して行われたアクセスに対してログ記録をどの程度行うかによっても、セキュリティ上の効果が変化するものと考えられる。
【0046】
本実施形態では、当該端末へのアクセスに対してログ記録をどの程度行うかを示す相対値(以下、ログ記録十分度という)を評価者が設定できるように構成されている。例えば全てのアクセスに対してログ記録を行う場合のログ記録十分度の値を「1」、全てのアクセスに対してログ記録を行わない場合のログ記録十分度の値を「0」とするものとすると、例えば図1では、端末Aは全てのアクセスに対してログ記録を行い、端末Bは、全てのアクセスに対してログ記録を行わないように、評価者によって設定されていることを示している。
【0047】
また、ログ記録十分度の設定パターンの他の例として、図4では、端末Aのログ記録十分度が「0」、端末Bのログ記録十分度が「1」と設定されている例を示し、図5では、端末Aのログ記録十分度も端末Bのログ記録十分度も「1」と設定されている例を示している。
【0048】
なお、本実施形態では、ログ記録十分度を示す数値として、ログ記録を実行する場合を示す「1」と、ログ記録を実行しない場合を示す「0」との2値を採用し、デジタル的にログ記録十分度を表すようにしたが、これに限らず、例えば図6に示すように、「0.1」とか「0.4」等のように、アナログ的にログ記録十分度を表すようにしてもよい。
【0049】
この場合、例えば、全てのアクセスにおいて例えば10回ごとに1回の割合でログ記録を行う場合には0.1とするというように、全てのアクセスのうち一部のアクセスに対してログ記録を行うようにした場合の、ログ記録を行う対象のアクセスの数のアクセス総数に対する割合をログ記録十分度として設定してもよいし、タイムスタンプ、IPアドレス、アカウント、コマンド、アクセス対象データ等の項目の中から記録対象に設定する割合に基づいてログ記録十分度を設定してもよい。また、単に、ログ記録回数や記録データ量などの数値をログ記録十分度に設定してもよい。さらには、過去の経験や計測データ、企業・公的機関・研究機関の開示情報に基づいてログ記録十分度を設定してもよいし、更には、評価者の知識に基づく感覚的な値をログ記録十分度として設定してもよい。
【0050】
このようなログ記録は、前述したように、セキュリティ部Aやセキュリティ部Bで防御できなかった脅威Xに対して特に有効なものであるから、セキュリティ部で防御できない脅威Xの数が多いほど、該セキュリティ部を搭載する端末におけるログ記録の重要性が高い。すなわち、防御性能(防御確率)は、当該端末におけるログ記録の重要性を表す1パラメータである。
【0051】
そのため、本実施形態では、端末ごとに、ログ記録の重要性を考慮(加味)したログ記録十分度を算出するとともに、これらのログ記録十分度に基づき、発生した脅威Xが資産情報Wに到達するまでの経路全体におけるログ記録の充実度合い(以下、ログ記録評価値という)を算出するようにしている。
【0052】
すなわち、図2に示すように、端末A,Bは、制御部4が所定の記憶部から供給されるセキュリティ評価プログラムにより、ログ記録評価値算出部1としての機能がそれぞれ搭載されている。ログ記録評価値算出部1は、図2(b)に示すように、入出力制御プログラムに基づいて制御部4により実現される、入力部2による入力情報を取り扱う入出力制御部6との間で通信可能に構成されており、当該端末に入力されたログ記録十分度と前記防御確率とを用いてログ記録評価値を算出するものである。以下、ログ記録評価値の具体的な算出方法について説明する。
【0053】
ログ記録評価値算出部1は、各端末A、Bにおいてそれぞれ設定されたログ記録十分度と、発生した脅威Xの数に対する当該端末を通過する脅威Xの数の割合とを乗算する。すなわち、ログ記録評価値算出部1は、図3に示すように端末A,Bに対するログ記録十分度が設定されている場合、端末Aについては、当該端末Aに設定されたログ記録十分度「1」と、発生した脅威Xの数に対して当該端末Aを通過する脅威Xの数の割合「0.8(=1−0.2)」とを乗算した「0.8」を導出する。また、ログ記録評価値算出部1は、端末Bについては、当該端末Bに設定されたログ記録十分度「0」と、発生した脅威Xの数に対して当該端末Bを通過する脅威Xの数の割合「0.8×(1−0.7)」とを乗算した「0」を導出する。これらの乗算値は、当該端末におけるログ記録の重要度(重み)を考慮したログ記録十分度であり、以下、これを第2ログ記録十分度というものとする。
【0054】
そして、ログ記録評価値算出部1は、各端末A,Bについてそれぞれ得られた第2ログ記録十分度を加算し、その加算値をログ記録評価値として導出する。図3に示す例では、前記加算値「0.8」がログ記録評価値として導出される。
【0055】
同様に、図4に示すように各セキュリティ部A,Bに対するログ記録十分度が設定されている場合、ログ記録評価値算出部1は、端末Aについては、当該端末Aに設定されたログ記録十分度「0」と、発生した脅威Xの数に対して当該端末Aを通過する脅威Xの数の割合「0.8(=1−0.2)」とを乗算した「0」を第2ログ記録十分度として導出するとともに、端末Bについては、当該端末Bに設定されたログ記録十分度「1」と、発生した脅威Xの数に対して当該端末Bを通過する脅威Xの数の割合「0.8×(1−0.7)」とを乗算した「0.24」を第2ログ記録十分度として導出し、これらの第2ログ記録十分度の和「0.24」をログ記録評価値として導出する。
【0056】
また、図5に示すように各端末A,Bに対するログ記録十分度が設定されている場合、ログ記録評価値算出部1は、端末Aについては、当該端末Aに設定されたログ記録十分度「1」と、発生した脅威Xの数に対して当該端末Aを通過する脅威Xの数の割合「0.8(=1−0.2)」とを乗算した「0.8」を第2ログ記録十分度として導出するとともに、端末Bについては、当該端末Bに設定されたログ記録十分度「1」と、発生した脅威Xの数に対して当該端末Bを通過する脅威Xの数の割合「0.8×(1−0.7)」とを乗算した「0.3」を第2ログ記録十分度として導出し、これらの第2ログ記録十分度の和「1.04」をログ記録評価値として導出する。
【0057】
本実施形態によれば、評価者は、各端末A,Bに対してそれぞれ設定したログ記録十分度についての複数の設定パターン、例えば図3〜図5に示すログ記録十分度の各設定パターンについて算出したログ記録評価値を互いに比較することで、費用対効果を考慮しながらログ記録十分度の設定パターンを選択することができる。
【0058】
すなわち、図3に示すログ記録十分度の設定パターンにおけるログ記録評価値「0.8」は、図4に示すログ記録十分度の設定パターンにおけるログ記録評価値「0.24」より大幅に大きいので、評価者は、図3に示すログ記録十分度の設定パターンの方がより効率的に脅威Xを抑止できると判別することができる。また、図5に示すログ記録十分度の設定パターンにおけるログ記録評価値「1.04」は、図3に示すログ記録十分度の設定パターンにおけるログ記録評価値「0.8」より大きいので、評価者は、図5に示すログ記録十分度の設定パターンの方が、より効率的に脅威Xを抑止できると判別することができる。さらに、評価者は、図5に示すログ記録十分度の設定パターンにおけるログ記録評価値「1.04」と、図3に示すログ記録十分度の設定パターンにおけるログ記録評価値「0.8」との差「0.24」について、導入コストとの兼ね合いから効率的なものであるか否かを判断し、図3に示すログ記録十分度の設定パターンを採用するか、図5に示すログ記録十分度の設定パターンを採用するかの判断を行うことができる。
【0059】
このようなログ記録表価値の設定作業は、表示部3に表示される例えば図7に示す画面Dにおいて行うことができる。図7に示す画面Dは、端末の種類を設定し設定した端末を表示する端末設定/表示部7と、端末設定/表示部7で設定した端末について、防御確率、ログ記録十分度、第2ログ記録十分度の各項目についての数値を設定し設定した各数値を表示する数値設定/表示部8と、数値設定/表示部8により設定した各項目の数値に基づいて前記ログ記録評価値算出部1により算出されたログ記録評価値を表示するログ記録評価値表示部9とを備える。数値設定/表示部8において、前記各項目についての数値を設定した後、演算ボタン10に対して操作を行うことで、ログ記録評価値算出部1により算出されたログ記録評価値がログ記録評価値表示部9に表示される。
【0060】
なお、前記画面Dにおける「演算」ボタン10は、評価者が端末にログ記録評価値の演算を指示するためのボタンであり、「更新」ボタン11は、設定した端末を更新する指示を端末に入力するためのボタンであり、「保存」ボタン12は、入力した防御確率及びログ記録十分度や算出されたログ記録評価値を当該端末に記憶させる指示を端末に入力するためのボタンであり、「印刷」ボタン13は、画面Dをプリントアウトする指示を端末に入力するためのボタンであり、「終了」ボタン14は、当該画面Dの起動を終了するためのボタンであり、「キャンセル」ボタン15は、端末設定/表示部7に入力した端末を取り消す指示を入力するためのボタンである。
【0061】
図8は、前記入出力制御部6及びログ記録評価値算出部1の処理を示すフローチャートである。
【0062】
図8に示すように、入出力制御部6は、評価者により例えば図7に示す画面において端末設定の項目に対して入力が行われ(ステップ♯1)、図7に示す画面Dの更新ボタン11の押下を検出すると(ステップ♯2でYES)、その検出信号及び入力内容を示す情報をログ記録評価値算出部1に送信する。
【0063】
ログ記録評価値算出部1は、前記検出信号及び入力内容を示す情報を受信すると(ステップ♯11でYES)、前記入力内容を示す情報に基づいて設定処理を行い(ステップ♯12)、その設定処理が完了すると、その旨を報知する信号を入出力制御部6に出力する(ステップ♯13)。
【0064】
入出力制御部6は、その報知信号を受信すると(ステップ♯3でYES)、評価者により防御確率及びログ記録十分度の入力が行われるのを待機する。入出力制御部6は、評価者により防御確率及びログ記録十分度の入力が行われ(ステップ♯4)、演算ボタン10の押下を検出すると(ステップ♯5でYES)、その検出信号及びステップ♯4での入力内容を示す情報をログ記録評価値算出部1に送信する。
【0065】
ログ記録評価値算出部1は、前記検出信号及びステップ♯4での入力内容を示す情報を受信すると(ステップ♯14でYES)、前記検出信号及びステップ♯4での入力内容を示す情報に基づきログ記録評価値の演算を行い(ステップ♯15)、第2ログ記録十分度等の中間算出値とログ記録評価値とを入出力制御部6に送信する(ステップ♯16)。
【0066】
入出力制御部6は、第2ログ記録十分度等の中間算出値とログ記録評価値を受信すると(ステップ♯6でYES)、第2ログ記録十分度やログ記録評価値を表示部3に表示させる(ステップ♯7)。
【0067】
以上のように、本実施形態では、各端末に設定された防御確率を、当該端末におけるログ記録の重要度を表す1パラメータとし、当該端末に設定された防御確率及びログ記録十分度に基づき、前記重要度を考慮したログ記録十分度(前記第2ログ記録十分度)を算出し、各端末についての第2ログ記録十分度に基づいてログ記録評価値を算出する構成を実現したので、評価者は、前記防御確率、ログ記録十分度、第2ログ記録十分度及びログ記録評価値についての複数のパターンを比較することで、ログ記録を重視すべきシステム上の場所や、ログ記録の配置状況と評価値との関連を定量的に評価することができる。その結果、評価者は、導入コストとの兼ね合いに応じて、最適なログ記録の配置状況を設定することができる。
【0068】
本件は、前記第1の実施形態に限らず、該第1の実施形態に代えて、またはそれに加えて次の変形形態も採用可能である。
【0069】
[1]前記第1の実施形態では、ログ記録の重要度を表す1パラメータとして防御確率を設定し、セキュリティ部A,Bごとに設定された防御確率に基づいて端末A,Bにおけるログ記録の重要度を設定したが、ログ記録の重要度を表す他のパラメータとして、当該端末を通過する脅威Xの頻度を設定してもよい。
【0070】
第1の実施形態のように、防御確率をログ記録の重要度を表す1パラメータとして採用する場合、脅威Xがどの程度の頻度で発生するのかに関係なく、その脅威Xが発生した場合にどの程度の割合で防御されることなく当該端末を通過するのかを数値化したものがログ記録の重要度に影響を与えるという考えに基づくものであるのに対して、当該端末を通過する脅威Xの頻度をログ記録の重要度を表す1パラメータとして設定した場合、脅威Xの発生数の多少に関係なく、結果的に当該端末を通過する頻度がログ記録の重要度に影響を与えるという考えに基づくものである。
【0071】
この場合、例えば図9に示すように、評価者は、端末ごとに通過する脅威Xの頻度を設定する。図9では、脅威Xが端末Aを通過する頻度が1ヶ月当たり6件と設定され、脅威Xが端末Bを通過する頻度が1ヶ月当たり2件と設定された例を示している。この場合、ログ記録評価値算出部1は、各端末A,Bについての第2ログ記録十分度を、当該端末に設定されたログ記録十分度と脅威Xが当該端末を通過する頻度との積により算出し、それらの乗算値の和6×0.1+2×0.4=1.4を、この経路におけるログ記録評価値として算出する。
【0072】
本実施形態によれば、実際に脅威Xが当該端末をどのくらいの頻度で通過するかを加味してログ記録評価値を算出することができるとともに、図9に示すようなシステムのモデル化を厳密に行わなくても重要度の設定を行いやすいというメリットがある。
【0073】
[2]脅威Xが資産情報Wに到達する経路が複数存在する場合には、経路ごとにログ記録の重要度を設定し、設定した各重要度に基づきログ記録評価値を算出するようにしてもよい。今、図10に示すように、端末A,Bの後段に端末C,Dが存在し、脅威Xが端末A又は端末Bを通過した後、端末C又は端末Dを経て資産情報Wに到達する場合について説明する。なお、端末Aにはセキュリティ部Aが、端末Bにはセキュリティ部Bが、端末Cにはセキュリティ部Cが、端末Dにはセキュリティ部Dがそれぞれ搭載されているものとする。
【0074】
図10に示す構成においては、脅威Xが端末A及び端末Cを通過して資産情報Wに到達する経路1、脅威Xが端末B及び端末Cを通過して資産情報Wに到達する経路2、脅威Xが端末A及び端末Dを通過して資産情報Wに到達する経路3、脅威Xが端末B及び端末Dを通過して資産情報Wに到達する経路4が想定される。このように経路別に分けて表したモデルを図11に示す。
【0075】
図10に示す構成において、発生する脅威Xのうち80(%)の脅威Xは端末Aから侵入を試み、残りの20(%)の脅威Xは端末Bから侵入を試みる場合を想定する。このとき、端末Aを通過する脅威Xは、端末Aに施された防御確率「0.2」のセキュリティ部Aによって防御されるので、αの頻度で発生する脅威Xに対して、0.8α×(1−0.2)=0.64αの頻度で端末Aを通過すると予測される。また、この0.64αの脅威Xのうち70(%)の脅威X(0.448αの脅威)は端末Cに向かうと想定される。さらに、0.448αの脅威Xのうち端末Cを通過する脅威Xは、端末Cに施された防御確率「0.3」のセキュリティ部Cによって防御されるので、0.448αの頻度で端末Cに侵入する脅威Xに対して、0.3136α(=0.64α×0.7×0.7)の頻度で脅威Xが端末Cを通過すると予測される。
【0076】
一方、端末Bを通過する脅威Xは、端末Bに施された防御確率「0.5」のセキュリティ部Bによって防御されるので、αの頻度で発生する脅威Xに対して、0.2α×(1−0.5)=0.1αの頻度で端末Bを通過すると予測される。また、この0.1αの脅威Xのうち60(%)の脅威(X0.06αの脅威)は、端末Cに向かうと想定される。さらに、0.06αの脅威Xのうち端末Cを通過する脅威Xは、端末Cに施された防御確率「0.3」のセキュリティ部Cによって防御されるので、0.06αの頻度で端末Cに侵入する脅威Xに対して、0.042α(0.1α×0.6×0.7)の頻度で端末Cを通過すると予測される。
【0077】
したがって、図10に示す構成において、端末Cを通過して資産情報Wに向かう脅威Xは、0.3136α+0.042α=0.3556αの頻度で発生するものと予測される。同様にして、端末Dを通過して資産情報Wに向かう脅威Xも算出することができる。なお、以上のようにして求めた各端末A〜Dを通過する脅威Xの到達頻度を図11,図12に示す。図11を参照すると、各経路1〜4のうち、経路1が資産情報Wに到達する脅威Xの数が最も多く、経路4が資産情報Wに到達する脅威Xの数が最も少ないことが判る。
【0078】
ここで、図10に示す構成におけるログ記録の評価を行うことを考える。各経路1〜4における脅威Xの到達頻度は、
経路1:0.3136α
経路2:0.1344α
経路3:0.049α
経路4:0.021α
である。
【0079】
本実施形態では、これらの各経路1〜4における脅威Xの到達頻度をログ記録の重要度として設定し、ログ記録評価値算出部1は、この重要度と各端末A〜Dに設定されたログ記録十分度とを用いて、経路ごとに第2ログ記録十分度を算出する。
【0080】
まず、各端末において、ログ記録を完全にとる場合のログ記録十分度「1」と表すとき、完全にログ記録をとる端末のみで構成される経路についてのログ記録十分度も「1」と表されるべきである。この点から、当該経路についてのログ記録十分度を、各端末についてのログ記録十分度の平均により算出する。すなわち、経路1についてのログ記録十分度は、端末Aのログ記録十分度「0.9」と端末Cのログ記録十分度「0.6」との平均値「0.75」となる。同様にして、経路2についてのログ記録十分度は、端末Aのログ記録十分度「0.9」と端末Dのログ記録十分度「0.4」との平均値「0.65」となり、経路3についてのログ記録十分度は、端末Bのログ記録十分度「0.3」と端末Cのログ記録十分度「0.6」との平均値「0.45」となり、経路4についてのログ記録十分度は、端末Bのログ記録十分度「0.3」と端末Dのログ記録十分度「0.4」との平均値「0.35」となる。
【0081】
次に、ログ記録評価値算出部1は、各端末A〜Dについてのログ記録十分度と当該端末におけるログ記録の重要度(本実施形態では、脅威Xの発生頻度)との積により、各経路1〜4についての第2ログ記録十分度を次のように算出する。
経路1:0.3136α×0.75=0.2352α
経路2:0.1344α×0.65=0.08736α
経路3:0.049α×0.45=0.02205α
経路4:0.021α×0.35=0.00735α
【0082】
そして、ログ記録評価値算出部1は、各経路1〜4についての第2ログ記録十分度の加算値0.35196αをログ記録評価値として算出する。
【0083】
本実施形態によれば、各端末A〜Dについてのログ記録十分度を以上のように設定した場合には、ログ記録評価値は0.35196αとなるが、例えば、いずれかの端末でログ記録を行わないようにした場合のログ記録評価値を前述と同様の方法により算出し、その算出結果と前記ログ記録評価値0.35196αとを比較することで、ログ記録を行わないようにした端末でのログ記録の必要性を判断することができる。
【0084】
例えば、前記算出結果が前記ログ記録評価値0.35196αとほとんど変わらない場合には、ログ記録を行わないようにした端末ではログ記録の必要性は低い又は費用対効果が低いと考えられることから、評価者は、その端末ではログ記録を行わないようにすると判断することができる一方、前記算出結果が前記ログ記録評価値0.35196αより大幅に小さくなった場合には、ログ記録を行わないようにした端末ではログ記録の必要性は高いと考えられることから、評価者は、その端末ではログ記録を行うと判断することができる。
【0085】
また、ログ記録十分度の値を変更したり、或いは複数の端末間でログ記録十分度の値の入れ替えを行ったりした場合のログ記録評価値を、前述と同様の方法により算出し、その算出結果と前記ログ記録評価値0.35196αとを比較することで、ログ記録十分度の値を変更したり、或いは複数の端末間で入れ替えたりした端末におけるログ記録の重要性を判断することができる。
【0086】
なお、本実施形態では、各経路についてのログ記録十分度を、当該経路上に設置された端末についてのログ記録十分度の平均により算出するようにしたが、これに限られない。また、各端末に設定されたログ記録十分度に基づいて経路についてのログ記録十分度を算出する形態に限らず、各経路で得られた過去のログ記録十分度をそのまま各経路についてのログ記録十分度として設定したり、そのログ記録十分度をベースにして種々の状況を考慮して修正した値を各経路についてのログ記録十分度として設定したりする等、経験等に基づいて経路についてのログ記録十分度を導出する、換言すると、各経路で得られた過去のログ記録十分度に基づいて各経路についてのログ記録十分度として設定するようにしてもよい。
【0087】
また、脅威Xの発生頻度αをログ記録の重要度を表す1パラメータとして採用したが、この発生頻度αを考慮しないで重要度を設定してもよい。評価者が、発生頻度αを考慮したログ記録評価値を要求するか、発生頻度αを考慮しないログ記録評価値を要求するかに応じて、脅威Xの発生頻度αを考慮して重要度を設定するか、脅威Xの発生頻度αを考慮しないで重要度を設定するかを決定するとよい。
【0088】
また、図13に示すように、複数の経路からなる集合体を1つの経路とみなし、各セキュリティ部についてのログ記録十分度をそれぞれ設定しないで、この経路におけるログ記録の重要度を設定するようにしてもよい。図13は、脅威Xが端末A,Cを通過して資産情報Wに到達する経路と、脅威Xが端末A,Dを通過して資産情報Wに到達する経路と、脅威Xが端末B,Cを通過して資産情報Wに到達する経路と、脅威Xが端末B,Dを通過して資産情報Wに到達する経路との4つの経路の集合体を経路1として設定し、また、脅威Xが端末E,Fを通過して資産情報Wに到達する経路を経路2として設定されていることを示している。
【0089】
これによれば、各セキュリティ部についてそれぞれログ記録十分度を設定する場合に比して、ログ記録十分度等の設定項目の数を低減することができるため、評価者の負担を軽減することができる。
【0090】
[3]前記変形形態[2]では、或る端末から後段の端末に向かう経路が複数存在する場合に、経路ごとに、当該経路を通る脅威Xの通過頻度を考慮してログ記録評価値を算出するようにしたが、次に説明するように、経路ごとに、当該経路を通る脅威Xの通過頻度を考慮しないでログ記録評価値を算出するようにしてもよい。
【0091】
ここでは、図14に示すように、セキュリティ部A〜Gを備えた端末A〜Gを有し、脅威Xが端末A,C,Eを通過して資産情報Wに到達する経路1と、脅威Xが端末A,Fを通過して資産情報Wに到達する経路2と、脅威Xが端末B,D,Fを通過して資産情報Wに到達する経路3と、脅威Xが端末B,D,Gを通過して資産情報Wに到達する経路4とを備えた構成を想定する。このように経路別に分けて表したモデルを図15に示す。
【0092】
また、端末Aの防御確率は0.9、ログ記録十分度は0.8、端末Bの防御確率は0.7、ログ記録十分度は0.0、端末Cの防御確率は0.8、ログ記録十分度は0.9、端末Dの防御確率は0.4、ログ記録十分度は1.0、端末Eの防御確率は0.5、ログ記録十分度は0.7、端末Fの防御確率は0.3、ログ記録十分度は0.0、端末Gの防御確率は0.8、ログ記録十分度は0.8とし、図14に示す構成において、発生する脅威Xのうち70(%)の脅威Xは端末Aから侵入を試み、残りの30(%)の脅威Xは端末Bから侵入を試みる場合を想定する。
【0093】
このような構成において、本実施形態のログ記録評価値算出部1は、経路ごとに、脅威Xが資産情報Wに到達する確率を、防御確率を用いて算出する。すなわち、ログ記録評価値算出部1は、経路1については、発生した脅威Xが端末Aに侵入する割合0.7と、端末A,C,Eが脅威Xを防御できない確率0.1(=1−0.9),0.2(=1−0.8),0.4(=1−0.6)とを乗算し、脅威Xが経路1を通過する確率0.0056を経路1におけるログ記録の重要度として算出する。
【0094】
同様の算出方法により、ログ記録評価値算出部1は、脅威Xが経路2を通過する確率0.049を経路2におけるログ記録の重要度として算出し、脅威Xが経路3を通過する確率0.0378を経路3におけるログ記録の重要度として算出し、脅威Xが経路4を通過する確率0.0108を経路4におけるログ記録の重要度として算出する。
【0095】
一方、ログ記録評価値算出部1は、経路1上に設置されている各端末A,C,Eのログ記録十分度0.8,0.9,0.7の平均値0.8を、当該経路1についてのログ記録十分度として算出する。同様の算出方法により、ログ記録評価値算出部1は、経路2上に設置された各端末A,Fのログ記録十分度0.8,0.0の平均値0.4を当該経路2についてのログ記録十分度として算出し、経路3上に設置された各端末B,D,Fのログ記録十分度0.0,1.0,0.0の平均値0.3333を当該経路3についてのログ記録十分度として算出し、経路4上に設置された各端末B,D,Gのログ記録十分度0.0,1.0,0.8の平均値0.6を当該経路4についてのログ記録十分度として算出する。
【0096】
そして、ログ記録評価値算出部1は、各経路1〜4についてのログ記録十分度と、各経路1〜4におけるログ記録の重要度との乗算値0.8×0.0056,0.4×0.049,0.3333×0.0378,0.6×0.0108を算出し、それらの乗算値の和0.04316をログ記録評価値として算出する。
【0097】
なお、ここでは、各経路1〜4についてのログ記録十分度を、当該経路上に設置された端末についてのログ記録十分度の平均により算出するようにしたが、これに限らず、例えば次のような算出方法で算出した値をログ記録十分度として採用することもできる。
【0098】
すなわち、ログ記録評価値算出部1は、下記式(1),(2)により各経路についてのログ記録十分度Vを算出する。
【0099】
V=1−1/(Xsum(A1,A2,・・・,An)) ・・・(1)
sum(A1,A2,・・・,An)=A1+A2+・・・+An ・・・(2)
A1,A2,・・・,Anは、各端末についてのログ記録十分度
例えば、図14,図15に示す経路1についてのログ記録十分度V1は、X=10とした場合には、V1=1−1(10(0.8+0.9+0.7))=0.99602となる。同様の算出方法により経路2〜4についてのログ記録十分度V2〜V4は、0.84151,0.9,0.98415と算出される。
【0100】
したがって、ログ記録評価値算出部1は、各経路1〜4についてのログ記録十分度と、各経路1〜4におけるログ記録の重要度との乗算値0.99602×0.0056,0.84151×0.049,0.9×0.0378,0.98415×0.0108を算出し、それらの乗算値の和0.091461をログ記録評価値として算出する。
【0101】
各端末についてのログ記録十分度の平均により経路についてのログ記録十分度を算出する前者の算出方法と、前記式(1),(2)を用いて経路についてのログ記録十分度を算出する後者の算出方法とを比較した場合、前者の算出方法においては、経路上に設置された全ての端末のうちどれだけの割合でログ記録がなされているかを重視する場合に用いる数値が、経路についてのログ記録十分度として算出され、セキュリティ部を数多く繋げても、経路上にログ記録を行わない端末が含まれる場合には、当該経路についてのログ記録十分度の値は小さくなる。これに対し、後者の算出方法においては、経路上に設置された全ての端末のうちどれだけの数の端末でログ記録がなされているかを重視する場合に用いる数値が、経路についてのログ記録十分度として算出され、セキュリティ部を数多く繋げるほど、経路についてのログ記録十分度の値は大きくなる。
【0102】
また、ログ記録のために割くことのできるリソースに比較的余裕がある場合や、経路上の不明箇所(ログ記録が無い通信路や端末)をできるだけなくしたい場合に前者の算出方法が適しており、一方、ログ記録のために割くことのできるリソースに比較的余裕がない場合や、ログ記録をとる場所の多さでログ記録の効果(脅威Xの抑止効果や脅威発生検出効果)を得たい場合に後者の算出方法が適している。
【0103】
なお、前記演算式(1)におけるXは「10」に限られるものではない。また、演算式(1),(2)も一例であり、前記演算式(1),(2)の他に、たとえば下記演算式(3)〜(6)も採用可能である。
【0104】
V=A11/2+A21/2+…+An1/2 ・・・(3)
V=log|A1+A2+…+An| ・・・(4)
V=(A12+A22+…+An2)/n ・・・(5)
V=log|(A1+A2+…+An)/n| ・・・(6)
演算式(3),(4)は、経路上に設置された全ての端末のうちどれだけの数の端末でログ記録がなされているかを重視する場合に用いるのが好適な演算式であり、演算式(5),(6)は、経路上に設置された全ての端末のうちどれだけの割合でログ記録がなされているかを重視する場合に用いるのが好適な演算式である。
【0105】
また、前記演算式(1)において、Xの指数部sum(A1,A2,・・・,An)に代えて、前記演算式(3)〜(6)のいずれかの右辺を代入した演算式でもよい。この場合、各経路についてのログ記録十分度Vの値を0〜1に正規化することができる。
【0106】
[4]本件は、前記第1の実施形態のように、前記入出力制御部6とログ記録評価値算出部1とが同一のパーソナルコンピュータに搭載されている形態に限らず、入出力制御部6とログ記録評価値算出部1とを異なるコンピュータに搭載する形態、例えば図16に示すように、一方をセキュリティ評価サーバに、他方をクライアントに搭載する形態も含む。
【0107】
[5]各端末におけるログ記録の重要度を表すパラメータとして、第1の実施形態では、1つの経路を想定して、該経路上に設置された各端末の防御確率を採用し、前記変形形態[1]では、複数の経路を想定して、各経路を通過する脅威Xの頻度を採用したが、経路の数と重要度を表すパラメータの組合せは適宜設定可能である。
【図面の簡単な説明】
【0108】
【図1】本発明の第1の実施形態を示す図である。
【図2】端末の構成図である。
【図3】図1に示す構成において、端末A,Bに対するログ記録十分度の設定パターンの一例である。
【図4】図1に示す構成において、端末A,Bに対するログ記録十分度の設定パターンの一例である。
【図5】図1に示す構成において、端末A,Bに対するログ記録十分度の設定パターンの一例である。
【図6】図1に示す構成において、端末A,Bに対するログ記録十分度の設定パターンの一例である。
【図7】ログ記録表価値の設定作業を行うための画面の一例を示す図である。
【図8】前記入出力制御部及びログ記録評価値算出部の処理を示すフローチャートである。
【図9】ログ記録の重要度を表すパラメータとして、当該端末を通過する脅威の頻度を設定した場合の構成図である。
【図10】端末A,Bの後段に端末C,Dが存在し、脅威Xが端末A又は端末Bを通過した後、端末C又は端末Dを経て資産情報Wに到達するシステムの構成図である。
【図11】図10に示す構成を経路別に分けて表したモデルを示す図である。
【図12】図10に示す構成において、各端末を通過する脅威の頻度や資産に到達する脅威の頻度を示した図である。
【図13】複数の経路からなる集合体を1つの経路とみなし、各セキュリティ部についてのログ記録十分度をそれぞれ設定しないで、該経路におけるログ記録の重要度を設定する場合の説明図である。
【図14】経路ごとに、当該経路を通る脅威Xの通過頻度を考慮しないでログ記録評価値を算出する場合の説明図である。
【図15】図14に示す構成を経路別に分けて表したモデルを示す図である。
【図16】本発明の変形形態を示す図である。
【図17】従来技術の説明図である。
【図18】従来技術の説明図である。
【図19】従来技術の説明図である。
【符号の説明】
【0109】
1 ログ記録評価値算出部
2 入力部
3 表示部
4 制御部
5 セキュリティ部
6 入出力制御部
【特許請求の範囲】
【請求項1】
通信経路のセキュリティの評価方法であって、
評価値算出部が、1又は複数の通信経路について、当該通信経路におけるログ記録の重要性を示す重要度又は該重要度を決定するための第1パラメータの値の入力を受け付ける重要度受付ステップと、
前記評価値算出部が、前記1又は複数の通信経路について、当該通信経路におけるログ記録の充実度合いを示すログ記録十分度又は該ログ記録十分度を決定するための第2パラメータの値の入力を受け付けるログ記録十分度受付ステップと、
前記評価値算出部が、受け付けた前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出する評価値算出ステップと
を備えるセキュリティの評価方法。
【請求項2】
前記通信経路は、受信した情報に対してセキュリティ処理を行う1又は複数の中継点を備えて構成されており、
前記重要度受付ステップは、前記評価値算出部が、前記中継点におけるログ記録の重要性を示す重要度の入力を受け付けるステップであり、
前記ログ記録十分度入力ステップは、前記評価値算出部が、前記中継点におけるログ記録の充実度合いを示すログ記録十分度の入力を受け付けるステップであり、
前記評価値算出ステップは、前記評価値算出部が、受け付けた中継点についての前記重要度及びログ記録十分度に基づいて、該中継点を含む通信経路についてのログ記録十分度を算出するステップと、この算出したログ記録十分度に基づき、前記システム全体におけるログ記録の充実度合いを示す評価値を算出するステップとを含む請求項1に記載のセキュリティの評価方法。
【請求項3】
前記中継点は、前記セキュリティプログラムを搭載した端末である請求項1または2に記載のセキュリティの評価方法。
【請求項4】
前記重要度及び第1パラメータ値は、端末に搭載されたセキュリティプログラムの脆弱性に基づく値を含む請求項3に記載のセキュリティの評価方法。
【請求項5】
前記セキュリティプログラムの脆弱性は、当該セキュリティプログラムの防御性能値に基づくものである請求項4に記載のセキュリティの評価方法。
【請求項6】
前記重要度及び第1パラメータ値は、セキュリティの起動頻度及び該セキュリティの失敗頻度のうち少なくとも一方を含む請求項1ないし5のいずれかに記載のセキュリティの評価方法。
【請求項7】
通信経路のセキュリティの評価装置であって、
1又は複数の通信経路について、当該通信経路におけるログ記録の重要性を示す重要度又は該重要度を決定するための第1パラメータの値を入力するための第1の入力部と、
前記1又は複数の通信経路について、当該通信経路におけるログ記録の充実度合いを示すログ記録十分度又は該ログ記録十分度を決定するための第2パラメータの値を入力するための第2の入力部と、
前記第1及び第2の入力部により入力された前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出する評価値算出部と
を備えるセキュリティの評価装置。
【請求項1】
通信経路のセキュリティの評価方法であって、
評価値算出部が、1又は複数の通信経路について、当該通信経路におけるログ記録の重要性を示す重要度又は該重要度を決定するための第1パラメータの値の入力を受け付ける重要度受付ステップと、
前記評価値算出部が、前記1又は複数の通信経路について、当該通信経路におけるログ記録の充実度合いを示すログ記録十分度又は該ログ記録十分度を決定するための第2パラメータの値の入力を受け付けるログ記録十分度受付ステップと、
前記評価値算出部が、受け付けた前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出する評価値算出ステップと
を備えるセキュリティの評価方法。
【請求項2】
前記通信経路は、受信した情報に対してセキュリティ処理を行う1又は複数の中継点を備えて構成されており、
前記重要度受付ステップは、前記評価値算出部が、前記中継点におけるログ記録の重要性を示す重要度の入力を受け付けるステップであり、
前記ログ記録十分度入力ステップは、前記評価値算出部が、前記中継点におけるログ記録の充実度合いを示すログ記録十分度の入力を受け付けるステップであり、
前記評価値算出ステップは、前記評価値算出部が、受け付けた中継点についての前記重要度及びログ記録十分度に基づいて、該中継点を含む通信経路についてのログ記録十分度を算出するステップと、この算出したログ記録十分度に基づき、前記システム全体におけるログ記録の充実度合いを示す評価値を算出するステップとを含む請求項1に記載のセキュリティの評価方法。
【請求項3】
前記中継点は、前記セキュリティプログラムを搭載した端末である請求項1または2に記載のセキュリティの評価方法。
【請求項4】
前記重要度及び第1パラメータ値は、端末に搭載されたセキュリティプログラムの脆弱性に基づく値を含む請求項3に記載のセキュリティの評価方法。
【請求項5】
前記セキュリティプログラムの脆弱性は、当該セキュリティプログラムの防御性能値に基づくものである請求項4に記載のセキュリティの評価方法。
【請求項6】
前記重要度及び第1パラメータ値は、セキュリティの起動頻度及び該セキュリティの失敗頻度のうち少なくとも一方を含む請求項1ないし5のいずれかに記載のセキュリティの評価方法。
【請求項7】
通信経路のセキュリティの評価装置であって、
1又は複数の通信経路について、当該通信経路におけるログ記録の重要性を示す重要度又は該重要度を決定するための第1パラメータの値を入力するための第1の入力部と、
前記1又は複数の通信経路について、当該通信経路におけるログ記録の充実度合いを示すログ記録十分度又は該ログ記録十分度を決定するための第2パラメータの値を入力するための第2の入力部と、
前記第1及び第2の入力部により入力された前記重要度又は前記第1パラメータ値及び前記ログ記録十分度又は前記第2パラメータ値に基づき、前記1又は複数の通信経路からなるシステム全体におけるログ記録の充実度合いを示す評価値を算出する評価値算出部と
を備えるセキュリティの評価装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2009−48317(P2009−48317A)
【公開日】平成21年3月5日(2009.3.5)
【国際特許分類】
【出願番号】特願2007−212052(P2007−212052)
【出願日】平成19年8月16日(2007.8.16)
【出願人】(000001270)コニカミノルタホールディングス株式会社 (4,463)
【Fターム(参考)】
【公開日】平成21年3月5日(2009.3.5)
【国際特許分類】
【出願日】平成19年8月16日(2007.8.16)
【出願人】(000001270)コニカミノルタホールディングス株式会社 (4,463)
【Fターム(参考)】
[ Back to top ]