説明

セキュリティ運用管理システム、方法、及び、プログラム

【課題】システム構成に依存しない脅威対策知識を用いて情報システムのリスク分析を行う。
【解決手段】リスク値計算システム構成情報反映手段102は、システム構成情報に依存しない共通脅威対策知識に、システム構成情報をあてはめることで、システム構成情報を反映したリスク値を計算するための計算式を導出する。リスク分析手段104は、計算式とシステム構成情報とを用いて情報システムのリスクを分析する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報システムのセキュリティ施策を管理するセキュリティ運用管理システム、方法、及び、プログラムに関し、特に、管理対象である情報システムの構成情報とは独立して作成した脅威対策知識と、個々の情報システムの構成情報とに基づいて、情報システムのリスクを分析することを可能にしたセキュリティ運用管理システム、方法、及び、プログラムに関する。
【背景技術】
【0002】
企業活動はもちろん、一般消費者の活動においても、多くの活動が情報システム技術に対して高度に依存するようになってきている。特に重要な情報の伝達や保存には、情報システムを活用することが多く、情報システムでは、重要な情報を守るために必要な施策が施されている。情報を守るための施策は、一般に、セキュリティ施策又はセキュリティ対策と呼ばれ、セキュリティゲートなどの物理的な施策から、ネットワーク上の施策、サーバ、クライアント上の施策、及びコンテンツそのものに対する施策など、さまざまな階層での施策が提案されている。しかし、守りたい情報の特質や想定される脅威の特質にあわせて最適な組み合わせを決定し、施策を実施することは一般に困難である。
【0003】
また、情報システムの状態は、ユーザの動作や新たな脅威の出現などで日々変化する。そのため、各種のセキュリティ施策を実施したとしても、現在のシステムが十分に安全な状態にあるか否かを検証することは困難である。更には、セキュリティ施策が十分でないと判断できたとしても、その状態に合わせて最適なセキュリティ施策を実施することは困難である。セキュリティ対策システムは、例えば、特許文献1〜4、及び、非特許文献1に記載されている。
【0004】
特許文献1〜3に記載の技術では、情報システムのセキュリティ状態を、脅威によるリスク値などで評価し、リスク値を低減するための施策を決定する方式を採用する。上記方式では、例えば図15に示すように、予め脅威とセキュリティ施策とを対応付けた情報として故障の木解析(FTA)D2を用いる。それぞれのセキュリティ施策には、セキュリティ施策が脅威を低減させる程度、及び、その施策を実施するために必要なコストが定義されている。分析部301は、分析対象の情報システム302でセキュリティ施策が満たすべきポリシー(D1)に基づいて、脅威を一定レベル以下にするコスト最小な対策の組合せ(D3)を探索する。分析対象の情報システム302で既に施されているセキュリティ対策と、出力として得られたセキュリティ対策とを比較し、不足なセキュリティ対策を追加実行する。これにより、分析対象情報システム302の状態に合わせた最適な対策を実施することができる。
【0005】
ところで、上記技術では、リスク分析を実施する資源ごとに脅威対策知識を作成することが前提になっており、その資源を利用するためにユーザが利用するネットワーク構成や対策の実施位置などが暗黙の知識として脅威対策知識に反映されている。このため、脅威対策知識を作成するためには、分析対象の情報システムのトポロジー構造を熟知する必要があり、非常に高度な技術が必要となる。さらに、脅威対策知識を作成するためにはシステム構成情報が必要なため、リスク分析を実施する情報システムにあわせて、そのつど脅威対策知識を作成する必要があり、脅威対策知識を構築するために多大な工数が必要になる。
【0006】
また、セキュリティ施策は他のサービスを阻害することが多いものの、上記方法では必要なサービスに合わせて対策を決定することが困難である。そこで、特許文献4に記載の技術では、必要なサービスを選択し、そのサービスにあわせたセキュリティ施策を実施する。この方式では、事前にサービスとそのサービスを実施するときに必要なセキュリティ施策とを対応付けて記憶しておき、サービスが実施されるときに、そのサービスに関連付けられたセキュリティ施策を同時に実施する。図16は、サービスとセキュリティ対策とを関連づけた表を示しており、音楽配信サービスやメール配信サービスに関連づけられたセキュリティ対策を例示している。
【0007】
しかし、上記特許文献の方式では、サービスとセキュリティ施策との関係が固定されており、従って、情報システムの構成に合わせて、予め脅威分析をした上でサービスとセキュリティ施策とを関係付ける必要がある。この場合、個々の情報システムの構成情報に合わせた詳細な脅威分析をすることなく、セキュリティ施策を実施することはできない。
【0008】
非特許文献1は、機器やソフトウエアなどを含む資源とその利便性に影響を与えるセキュリティ施策とを関連づけ、セキュリティ施策の組み合わせによってどの程度利便性が低下するかを評価する方法を記載している。この方式では、例えば図17に示すように、脅威(リスク)と脅威に対抗するセキュリティ施策とを表現した脅威セキュリティ施策FTA(D4)と、サービスとそのサービスで必要なセキュリティ施策とを表現したサービスセキュリティ施策FTA(D5)とを予め作成し、分析対象情報システム402の情報収集部で、セキュリティ施策を種々に組み合せ、そのコストを分析部401で分析して、対策コスト(D6)を表示する。この方式では、図18に示すように、脅威セキュリティ施策FTA(脅威対策知識)D4は、リスクに対応するセキュリティ施策をツリーで辿り、各セキュリティ施策の実施・未実施により、リスクの発生確率がどの程度に変化するかを定義している。
【0009】
サービスセキュリティ対策FTA(サービス対策知識)では、図19に示すように、各資源又はサービスと、セキュリティ対策実施に起因する資源の利便性への影響を表現し、対策実施によって利便性にどの程度の影響を与えるかを定義する。これにより、セキュリティ対策を実施すると、脅威への影響度(リスク低減)だけでなく、そのセキュリティ対策によって不便を強いられるサービスとその度合いも計算することができる。
【0010】
しかし、非特許文献1には、複数の評価値を用いて、どのように対策を決定するかは開示されておらず、また、上記複数のFTAを用いて複数の値を最適化することは、前記特許文献1〜4に記載の技術では実現できない。そのため、上記特許文献1〜4及び非特許文献1に記載の技術を単純に組み合わせただけでは、複数の評価値を最適化するように対策の組合せを決定することはできない。
【0011】
非特許文献1では、各サービスについて特定のサーバやアプリケーションを指定し、そのサーバやアプリケーションを守るための対策を列挙することで、サービスの利便性を算出している。しかし、ユーザや管理者が必要なサービスを指定するときには、どのような機器が利用できるかではなく、その機器を用いるサービスが利用できるかどうかが重要である。例えば、場合によっては機器が変更になったとしても、その機器を用いて実施したい処理(例えばファイル共有など)ができれば十分目的を達成できるので、その変更自体は問題ではないことが多い。そのためには、機器そのものだけではなく、サービスの種別を制約として指定可能な対策立案が必要である。
【特許文献1】特開2003−150748号公報
【特許文献2】特開2005−301551号公報
【特許文献3】特開2006−331383号公報
【特許文献4】特開2006−338554号公報
【非特許文献1】2007年3月、「利便性とセキュリティの動的移行によるユーザ要求の自動交渉方式の検討」、社団法人情報処理学会 研究報告、加藤弘一他、pp219-224
【発明の開示】
【発明が解決しようとする課題】
【0012】
上記公知のセキュリティ運用管理手法では、セキュリティ対策の効果は、対策の実施場所とリスク評価対象の位置関係とに依存するため、リスク分析に用いる脅威対策知識中には、対策の実施場所を含むトポロジー情報を含む必要がある。従って、脅威対策知識は、リスク評価対象の情報システム毎に、関連する脅威と対策から作る必要がある。このため、脅威対策知識は、分析対象システム毎にそれ合わせて構築しなくてはならず、脅威対策知識を構築する際の負担が増大するという問題がある。
【0013】
本発明は、例えば脅威対策知識などの知識を用いたセキュリティ運用管理において、システム構成が異なる情報システムであっても、複数の情報システムに共通に適応可能な知識を用いることによって、そのような知識を構築する管理者の負担を軽減可能なセキュリティ運用管理システム、方法、及び、プログラムを提供することを目的とする。
【課題を解決するための手段】
【0014】
本発明は、第1の態様において、複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムのリスクを分析することを特徴とするセキュリティ運用管理方法を提供する。
【0015】
本発明は、第2の態様において、複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案することを特徴とするセキュリティ運用管理方法を提供する。
【0016】
本発明は、第3の態様において、複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムのリスクを分析する分析手段を有することを特徴とするセキュリティ運用管理システムを提供する。
【0017】
本発明は、第4の態様において、複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案する立案手段を備えることを特徴とするセキュリティ運用管理システムを提供する。
【0018】
本発明は、第5の態様において、情報システムのセキュリティを運用管理するコンピュータのためのプログラムであって、前記コンピュータに、
複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムのリスクを分析する処理を実行させることを特徴とするセキュリティ運用管理プログラムを提供する。
【0019】
本発明は、第6の態様において、情報システムのセキュリティを運用管理するコンピュータのためのプログラムであって、前記コンピュータに、
複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案する処理を実行させることを特徴とするプログラムを提供する。
【発明の効果】
【0020】
本発明のセキュリティ運用管理システム、方法、及び、プログラムでは、複数の情報システムに共通に適応可能な脅威対策知識、又は、共通サービス対策知識を用いることによって、リスク分析対象となる個々の情報システムの構成情報に合わせて脅威対策知識、又は、共通サービス対策知識を構築する必要性を省いたので、情報システムの管理者の負担を軽減する効果がある。
【発明を実施するための最良の形態】
【0021】
以下本発明の実施形態について図面を参照して詳細に説明する。図1のブロック図を参照すると、本発明の第1の実施形態に係るセキュリティ運用管理システムは、共通脅威対策知識格納手段100と、システム構成情報収集手段101と、リスク値計算システム構成情報反映手段102と、対策実施情報収集手段103と、リスク分析手段104と、リスク提示手段105と、システム構成情報格納手段106とを備える。各手段は、1つ以上のコンピュータに搭載されるプログラムによって実現される。これら手段は、それぞれ次のように動作する。
【0022】
共通脅威対策知識格納手段100は、磁気ディスク、光ディスクなどの記録媒体であって、システム構成が異なるシステムであっても有効な共通脅威対策知識が格納されている。共通脅威対策知識は、脅威の種類とそれに対応する対策、及び、対策が実施されたときの効果の程度が、FTAとして示されている。共通脅威対策知識の具体例を図2に示す。共通脅威対策知識は、ある特定の脅威(リスク)、例えば“情報が漏洩する”をトップ事象として作成され、その情報の漏洩を引き起こすユーザ(e1,e2)、情報の漏洩で利益を得るユーザ(u1〜u3)、及び、関係するユーザが利用する物理的な資源及びサービス(s1〜s3)毎に、その資源やサービスで発生する基本事象である攻撃手段(w1〜w4)が示されている。更に、得られた基本事象である各攻撃手段(w1〜w4)に対して採用できる対策の種類(k1〜k12)、及び、その対策機能を採用した場合の効果の程度が示されている。対策の種類は、以下では対策機能とも呼ばれ、具体的な対策ではなく、その対策が果たす機能を示すものである。図2の共通脅威対策知識は、例えば、トップ事象の脅威の種類からFTAで辿られた基本事象である個々の脅威(攻撃手段)について、そのリスク値を計算するために用いられる。
【0023】
図2において、“or”で互いに接続された対策機能は、それらの対策機能が重ね合わせられることを示しており、また、“max”で互いに接続された対策は実施数に関係なく、それらの対策の何れによっても最大の効果が得られることを示している。図2の脅威対策知識は、特定の情報システムに向けたものではなく、何れの情報システムであっても、ある特定のリスクについて、何れの情報システムにおいても当てはまる基本リスク、その対策、及び、対策による効果が示されている。
【0024】
システム構成情報収集手段101は、セキュリティ運用管理対象のシステム構成情報を収集し、これをシステム構成情報格納手段106に格納する。システム構成情報は、ネットワーク構成情報と、アプリケーション情報とからなる。ネットワーク構成情報の具体例を図3に、アプリケーション情報の具体例を図4に示す。ネットワーク構成情報は、情報システム内に設備されたサーバ、クライアント、ネットワーク機器、及び、それらに搭載されるソフトウェアを含む資源情報と、各資源のネットワーク上における接続関係の情報とを含む。アプリケーション情報は、各機器(p1〜p9)と、その機器上で実施している対策(c1〜c22,c25〜c29)と、その対策の種類(k1〜k6、k10,k12)と、その機器で利用されるサービス(s2,s3)及び関連する機器とを対応させた情報を含む。
【0025】
リスク値計算システム構成情報反映手段102は、システム構成に依存しない共通脅威対策知識からリスク値を計算するために、セキュリティ運用管理を実施する対象となる情報システムのシステム構成情報を共通脅威対策知識に反映し、リスク値計算式を生成する。リスク値計算式を生成するために、対象となる情報システムのシステム構成情報と共通脅威対策知識とから、分析対象のリスクにおける攻撃者と利用するサービスとを特定し、攻撃者がサービスを利用する時の通信経路を、システム構成情報のネットワーク情報に基づいて決定する。決定した通信経路上の機器に搭載されている対策のうち、分析対象の脅威に関連付けられている対策機能に一致するものを取り出す。このようにして、取り出された対策が、リスク値の分析に必要な対策となる。
【0026】
対策実施情報収集手段103は、リスク値計算システム構成情報反映手段102が特定した対策(c1,c2...)について、実際に対策が実施されているかどうかをセキュリティ運用管理対象システムから収集する。リスク分析手段104は、対策実施情報収集手段103が収集した対策の実施の有無を、共通脅威対策知識に当てはめてリスク値を計算する。ここで、リスク分析手段104は、脅威対策知識格納手段100に格納された脅威対策知識を用いてリスク値を分析する。リスク提示手段105は、リスク分析手段104が分析した結果を表示する表示装置又は印字手段として構成される。
【0027】
次に、図5を参照し、図1の実施形態に係るセキュリティ運用管理システムにおける処理について詳細に説明する。まず、システム構成情報収集手段101が、管理対象となる情報システムのシステム構成情報を収集する(ステップA1)。次に、リスク値計算システム構成情報反映手段102が、リスク値を計算する分析対象の脅威(リスク)、例えば“情報の漏洩”のFTAにシステム構成情報をあてはめ、リスク分析に必要な対策を決定する(ステップA2)。
【0028】
次いで、対策実施情報収集手段103が、セキュリティ運用管理対象システムから、ステップA2で取り出した対策の実施の有無を収集する(ステップA3)。さらに、リスク分析手段104が、対策実施情報収集手段103が収集した対策の実施状況を共通脅威対策知識にあてはめ、リスク値を計算する(ステップA4)。これらステップを分析対象となる脅威がなくなるまで繰り返す(ステップA5)。最後に、リスク提示手段105が、計算したリスク値を表示する(ステップA6)。
【0029】
本実施形態では、予めシステム構成とは独立に用意された共通脅威対策知識を用い、分析対象の情報システムのシステム構成情報にあわせて、分析対象となる対策を決定し、情報システムで実施されている対策の有無に従ってリスクを分析するという処理を行う。このため、個々の情報システムに合わせた個別の脅威対策知識を構築する必要がないので、脅威対策知識の作成に必要な工数を減らすことができる。
【0030】
次に、本発明の第2の実施形態について図面を参照して説明する。図6を参照すると、本発明の第2の実施形態に係るセキュリティ運用管理システムは、第1の実施形態の構成において、リスク分析手段104に代えて、対策立案手段203を備え、さらに、共通サービス対策知識格納手段200と、サービス制約ポリシー入力手段202と、対策実行手段204と、サービス対策システム構成情報反映手段201とを備える。
【0031】
共通サービス対策知識格納手段200には、システム構成が変わっても適用可能なサービスの内容と、そのサービスを妨害する脅威に対抗する対策とが関連付けられて格納されている。共通サービス対策知識の具体例を図10に示す。共通サービス対策知識は、サービスと、そのサービスを阻害する対策及びその程度とを関連づけて示している。
【0032】
サービス対策システム構成情報反映手段201は、共通サービス対策知識に、セキュリティ運用管理対象のシステム構成情報を反映し、セキュリティ運用管理対象システムの構成情報にあわせたサービス制約式を作成する。サービス制約ポリシー入力手段202は、セキュリティ運用管理システムの対策立案を実施するときに、管理者により決定されたサービス制約ポリシーを入力する。サービス制約ポリシーの具体例を図11に示す。サービス制約ポリシーは、指定されたサービスの種別について、そのサービスを利用するユーザ、及び、情報システムにおける具体的なサービス内容を特定し、且つ、そのサービスが必須であるか否かを、情報システムの運用ポリシーとして指定する。
【0033】
サービス対策システム構成情報反映手段201は、サービス制約ポリシー入力手段202で入力されたサービスについて、そのサービスの種別とサービスを利用するユーザとから、サービスを利用するために必要な機器を、システム構成情報格納手段106に格納されたシステム構成情報を参照して決定する。さらに、サービス制約ポリシーとして入力されたサービス種別を利用するために必要なサービス(サービス機能)を阻害する対策機能と、共通サービス対策知識格納手段200に格納された共通サービス対策知識とから、ポリシーで指定されたサービス種別が利用するサービスを阻害する対策を決定し、サービスの利用の可否を表す制約式を作成する。
【0034】
対策立案手段203では、リスク値計算システム構成情報反映手段102が作成したリスク値の計算式と、サービス対策システム構成情報反映手段201が作成したサービスの利用の可否を表す制約式とを用いて、脅威の発現を抑えつつ、サービス制約ポリシー入力手段202を用いて入力されたポリシーを満たす対策を立案する。対策実行手段204では、対策立案手段203で立案された対策を実行する。対策実施情報収集手段103は、例えば、各機器にそのような対策機能が付加されているか否か、或いは、対策機能が付加されていてもその機能が有効に発揮されているか否かを判断し、システム構成情報にその情報を付け加える。
【0035】
次に、第2の実施形態のセキュリティ運用管理システムの処理を、図6及び図7を参照して詳細に説明する。本実施形態では、まず、第1の実施形態と同様に、セキュリティ運用管理対象システムのシステム構成情報を収集し、対策実施状況を含んだシステム構成情報を作成する(ステップB1)。さらに、共通脅威対策知識に、システム構成情報をあてはめて、リスク値の計算に必要な対策を決定する(ステップB2)。このとき、システム構成情報から抜き出した対策を、共通脅威対策知識にあてはめて、リスク値を計算するために必要な計算式を作成する。次に、サービス制約ポリシー入力手段202を用いて、サービス制約ポリシーを入力し、サービスの優先順位を入力する(ステップB3)。サービス制約ポリシーでは、図11に示すような、特定のサービス種別に関わる社内又は社外の1人以上のユーザと、そのサービスを実現するサービス機能及びその必要性とを入力する。さらに、共通サービス対策知識のうち、サービス制約ポリシー入力手段202で指定されたサービス種別のユーザ及びサービス機能をシステム構成情報にあてはめ、サービスを妨害する対策機能を決定し、サービス制約ポリシーに基づく制約式を作成する(ステップB4)。
【0036】
次いで、脅威に関わるサービスの制約式に基づいて制約プログラミングを用いて、対策立案を実施する(ステップB5)。このとき、リスク値が最小となるように対策立案を実施してもよく、或いは、リスク値の目標値を予め与え、その値を満たすように制約プログラミングを用いて対策立案しても良い。次いで、対策実行手段204を用いて立案した対策を実行する(ステップB6)。このとき、自動実行できない場合には、対策を管理者に提示するだけでもよい。
【0037】
本実施形態では、サービス制約ポリシーと、共通サービス対策知識と、システム構成情報とから、サービス制約を指定する制約式を作成し、管理者が指定したサービス制約を満たすように対策立案する。このため、管理者は、システム構成を詳しく知ることなく簡単にサービス制約を指定することが可能になる。また、共通サービス対策知識は、システム構成に依存せず、異なるシステム構成情報を持つ情報システムであっても、共通サービス対策知識を作り変えることなく対策立案ができ、対策の作成に必要な管理者の工数を大幅に減らすことが可能である。
【0038】
次に、本発明の第3の実施形態について、図面を参照して詳細に説明する。図8は、本実施形態の構成を示すブロック図である。本実施形態では、第2の実施形態の構成に加えて、脅威対策制約ポリシー入力手段205と、脅威対策システム構成情報反映手段206とを備える。脅威対策制約ポリシーとは、管理者が特定の脅威について、対策機能を予め指定しておきたいときに、脅威の種類とその脅威に対応する対策機能とを入力する。脅威対策制約ポリシーの具体例を図12に示す。脅威対策制約ポリシーは、脅威の種類と、脅威を発現させるユーザを含む脅威の詳細と、必要な対策レベルとを含み、脅威への対応方法を予め指定するものである。
【0039】
脅威対策システム構成情報反映手段206は、脅威対策制約ポリシー入力手段205にて入力された脅威を共通脅威対策知識にあてはめ、入力されたポリシーに関係する対策機能を取り出す。次いで、システム構成情報から、入力されたポリシーに関連する機器についての脅威対策制約ポリシーを満たす制約式を作成するために必要な対策を、対策機能に基づいて取り出す。さらに、取り出した対策を、共通脅威対策知識にあてはめ、脅威対策制約ポリシーを満たす制約式を作成する。
【0040】
次に、第3の実施形態のセキュリティ運用管理システムの処理について図8及び図9を参照して説明する。本実施形態のセキュリティ運用管理システムの処理におけるステップC1からステップC4までは、それぞれ、第2の実施形態のステップB1からステップB4までと同様である。ステップC4に後続し、脅威対策ポリシーとして入力されたポリシーと、共通脅威対策知識とから、入力されたポリシーに関連する対策機能を抜き出す。次いで、抜き出した対策機能と入力されたポリシーとを用いて、システム構成情報からポリシーに関連する対策機能を取り出す。取り出した対策機能を共通脅威対策知識にあてはめ、入力されたポリシーを満たす制約式を作成する(ステップC5)。
【0041】
次いで、対策立案手段203が、リスク値の計算式と、各ポリシーから生成された制約とに基づいて制約プログラミングを用いて対策を立案する(ステップC6)。立案した対策を、対策実行手段204を用いて実施する(ステップC7)。
【0042】
上記第3の実施形態では、脅威への対応指針を表す脅威対策ポリシーに基づいて、システム構成情報と、システム構成に依存しないのでシステム構成が異なっても適用可能な共通脅威対策ポリシーとを用いて、そのポリシーを満たすことができる制約式を作成する。このため、管理者によって明示された脅威への対応指針を明示した対策立案の実行が可能になる。また、脅威への対応指針を与えるときに、共通脅威対策知識を変更する必要がなく、システム構成が変わっても同じ脅威対策知識を利用することができるため、脅威と対策との関連知識を作成する工数を削減することができる。
【実施例】
【0043】
以下、具体的な実施例を示す。この実施例では、図3で示したネットワーク構成と、図4で示すアプリケーション情報とを有する対象情報システムに、セキュリティ運用管理方法を適用した例で説明する。
【0044】
図2は、“情報の漏洩”に関する脅威とその対策との関係をツリー構造で示す共通脅威対策知識の一例を示している。共通脅威対策知識では、各脅威は、内部犯、外部犯を含み脅威を発現させる行為の実行者e1,e2と、脅威の発現によって利益を得る攻撃者u1,u2,u3と、攻撃が利用する機器及びサービス(以下、双方を併せてサービスと呼ぶことがある)s1,s2,s3とを含む関連要素毎に、攻撃手段(脅威)w1,w2,w3,w4が示される。さらに、それぞれの攻撃手段に対して、所望の効果を発揮する対策の種類が関連付けられている。このように、対策は、対策の機能ごとにまとめることによって、情報システムのシステム構成から独立しており、対策機能とその対策機能が効果を発揮する脅威とが関係付けられている。
【0045】
図3のネットワーク構成情報には、ネットワーク上にあるネットワーク機器、サーバ、クライアントなどの資源である情報システム機器の情報と、情報システム機器の相互間の接続状態とが含まれる。図4のアプリケーション情報には、各機器に搭載されている対策と、その対策の種類(対策機能)及び各機器が提供するサービスと、サービスを利用するクライアントの有無及びそのクライアントが利用するサービスを提供する機器とが含まれている。このようなシステム構成情報は、セキュリティ運用管理ツールを用いて自動作成が可能である。また、管理者が自ら入力しても良い。
【0046】
システム構成情報のうちネットワーク構成は、ネットワーク管理ツール、例えば、WebSAN NetvisorProなどを用いて収集することができる。また、アプリケーション情報については、ソフトウエア資産管理ツール、例えば、WebSAM Asset Suiteなどを用いることで収集することができる。機器p9のように、一般的な資産管理ツールの管理外にあるものは、一般的なクライアントを想定して予め作成しておく。
【0047】
次に、図2の共通脅威対策知識において、社内のユーザによるメールを利用した社外への情報漏えいのリスクを分析する手順を説明する。同図に示した例では、社内のユーザによるメールを利用した社外への情報漏えいリスクは、ツリー構造e1,u2,s2,w2、及び、それに関連付けられた対策機能k1,k2,k3,k4,k6に対応することを示している。本実施例では、リスク分析を実施するために各対策機能k1,k2、k3、k4、k6に対応する、セキュリティ運用管理対象システムに含まれる実際の対策を特定し、その実施の有無を調査する。
【0048】
そのためには、まずシステム構成情報のうちネットワーク構成情報と、共通脅威対策知識内のe1,u2,s2,w2とを用いて、分析に必要な機器を特定する。ここでは、社内のユーザの行動による社外の非ユーザに対するリスクであるので、図3のネットワーク構成情報を参照して、社内のユーザが利用する機器であるp8及びp7と、社外の非ユーザが利用する機器p9とを特定する。さらに、図4のアプリケーション情報を参照し、p7,p8,p9の機器を利用するユーザがメールサービス(s2)を用いて通信するために必要な機器を特定する。
【0049】
p8とp9との間で、メールサービス(s2)を利用する場合には、アプリケーション情報よりメールサービス(s2)に関連付けられたメールクライアントがあり、このメールクライアントが機器p6と関連付けられていることが判る。このことから、p8とp9の間の通信経路は、p8,p6,p9であることが判る。更に、ネットワーク構成情報を参照して、p8,p6,p9の間には、それぞれp1,p4及び、p5,p2があることを認める。つまり、p8とp9の通信には、p8,p1,p4,p6,p5,p2,p9の機器が利用されることが特定できる。
【0050】
次に、図4のアプリケーション情報と、共通脅威対策知識上のリスク分析に関連付けられた対策機能k1,k2,k3,k4,k6とに基づいて、リスク分析に必要な対策を特定する。つまり、リスク分析を実施する脅威に関連付けられた対策機能と同じ機能を持つ対策を、機器p8,p1,p4,p6,p5,p2,p9に搭載されている対策の中から抜き出す。ここでは、図4から、c1,c5,c9,c13,c19,c27,c21,c25,c14,c18,c3,c7,c11,c29,c2,c6,c10,c15が得られる。これによって、社内のユーザによるメールを利用した社外への情報漏えいリスクを分析するために必要な対策を決定できる。
【0051】
次に、これらの対策の実施の有無を、対策実施情報収集手段103より収集する。このとき収集した対策の実施状況の例を図13に示す。このような実施状況のときに、共通脅威対策知識の対策間のor,maxの接続関係を参照すると、リスク値は次のように計算できる。つまり、共通脅威対策知識上の脅威の種類や、対策の目的などでグループ化されている接続関係は、orで接続されているとして計算すると、次のようになる。
【0052】
【数1】

式(1)で、x1,x2,x3,x5,x6,x7,x9,x10,x11,x13,x14,x15,x18,x21,x27,x29は、各対策c1,c2,c3,c5,c6,c7,c9,c10,c11,c13,c14,c15,c18,c21,c27,c29の実施の有無を示す変数である。x=0は対策の未実施を、x=1は対策の実施をそれぞれ表す。この式に、対策実施情報収集手段103により収集した、図13の実施状況のデータを代入すると、
【数2】

【0053】
ここで、max演算子は、最大値を選択する演算子であり、or演算子は、計算式の一般性を失われない範囲で、次式で線形近似した。
【数3】

【0054】
他の脅威についても同様にリスク値を計算し、脅威とリスク値を図14に示すようにそれぞれ表示する。同図では、図2の“情報漏洩”のリスクの全体が数値“1”で示され、ツリーの各枝部分に対応して計算されたリスク値が各欄に示されている。
【0055】
本実施例では、まず、使用可能な対策の対策機能に基づいて共通脅威対策知識を作成する。次いで、システム構成情報を利用して、リスク値の計算に必要な対策機能を特定し、システム構成情報を反映したリスク計算式を作成する。更に、特定した対策機能の実施の有無を収集し、リスク値を計算しそれを提示する。これにより、リスク値の計算に際して、システム構成情報を知ることなく共通脅威対策知識が作成でき、この脅威対策知識は、複数の情報システムに共通に用いることが出来るため、脅威対策知識作成の手間を軽減することができる。
【0056】
次に、脅威に対する対策立案を実施する処理について説明する。対策立案では、リスクの最小化と共に、コストや利便性のバランスをとることが好ましい。コストは各対策に割り当てられたコストを単純に加算すれば良いが、利便性は、単純には計算できない。そこで、利便性を評価するために、脅威と対策機能との関係を表した脅威対策知識と同様に、サービスと対策機能との関係を表したサービス対策知識を作成する。図10で示したサービス対策知識を用いる例で説明する。
【0057】
サービス対策知識では、サービス(s1,s2,s3)ごとに、そのサービスの実現を阻害する可能性がある対策機能が関連付けられている。図2で脅威に対する対策機能の効果を付加したのと同様に、図10の各対策機能には、対策を阻害する割合を付加する。対策を阻害する割合は、1から0の間であり、1の場合は、そのサービスが完全に利用できないことを表し、0に近いほど利便性を低下させないことを表している。対策立案の立案方針を示すサービス制約ポリシーは図11に示されている。図11では、社内での共有サーバを用いたファイル共有を必須として対策を立案するという対策指針が入力されている。以下、本サービス制約ポリシーのときの対策立案の処理を説明する。
【0058】
まず、前述の実施例と同様に、リスク値を計算するための計算式を作成する。次に、対策立案ポリシーで示されたポリシーを満たすように、制約式を作成する。対策立案ポリシーを満たす制約式は、次のように作成する。はじめに、サービス制約ポリシーから通信の両端にあたるユーザ(もしくは非ユーザ)を取り出す。本ポリシーの場合は、社内のユーザと社内のユーザである。取り出したユーザをシステム構成情報にあてはめると、p8クライアント上のユーザ及びp7クライアント上のユーザとなる。さらに、対策制約ポリシーから利用するサービスを取り出す。この場合は、ファイル共有サービス(s3)である。サービスもユーザと同様に、サービスを提供する機器をシステム構成情報のアプリケーション情報から取り出す。この場合は、p7とp8となる。
【0059】
上記構成により、サービス制約ポリシーを満たすために必要なユーザと機器の組合せは、p7,p8上のユーザとp7上のサービス、p7,p8上のユーザとp8上のサービスの二通りとなる。このそれぞれについて、対策立案時の制約式を作成すればよい。ここでは、前者の場合の制約式の作成の仕方を説明する。まず、ネットワーク構成情報にp7,p8をあてはめ、サービス利用時に使用するネットワーク上の機器を特定する。p7,p8を両端とすると、p3,p4,p1がその途中経路となることが判る。次に、これらの機器上の対策であって、サービス制約ポリシーで指定されたサービスに関連する対策だけを抜き出す。サービス対策知識によると、サービス制約ポリシーで指定されたサービスである共有サーバ経由(s3)を阻害する対策機能は、k4,k5,k10の3種類である。
【0060】
次に、この対策機能に当てはまる対策を、サービスに関連する機器であるp7,p3,p4,p1,p8からアプリケーション情報を用いて抜き出す。アプリケーション情報によると、機器p7,p3,p4,p1,p8上にある対策機能k4,k5,k10にあてはまる対策は、c17,c20,c26,c16,c18,c14,c13,c19,c25である。これらの対策の実施の有無をx17,x20,x26,x16,x18,x14,x13,x19,x25とすると、当該ポリシーを満たすかどうかを判断する制約式は、これらの対策とサービス対策知識を利用して、
【数4】

となる。このサービスが「必須」であるから、このサービスを阻害する対策を実施してはいけないので、
【数5】

となる。
【0061】
次に、従来技術と同様に、対策立案時に脅威を最小とする対策を決定する際に、脅威を最小とする制約式に加え前述の制約式を追加する。このように、システム構成に依存しない共通のサービス対策知識を作成することで、指定されたサービスを阻害することのない対策を立案することができ、システム構成に依存したサービス対策知識を事前に準備する際の工数を削減することができる。
【0062】
次に、図12に示す脅威対策制約ポリシーを用いて、実施すべき対策を指定できる第3の実施形態のセキュリティ運用管理システムについての実施例を説明する。図中の対策実施ポリシーは、PC紛失による情報漏えいは、その抑止策を実施する旨を指定している。この場合には、図2の脅威対策知識によると、w1と関連付けられた防止策の対策機能のいずれかが実施されればよい。そこで、リスク値を計算する手順と同様に、対策機能k6,k9,k10,k11に含まれる対策を脅威の対象となっている経路上の機器から決定する。脅威の対象となっている経路上の機器は、リスク値の計算に用いたものと同様であるから、p8,p1,p4,p6,p5,p2,p9となり、これらの機器上の対策で、対策機能がk6,k9,k10,k11であるものを、アプリケーション情報から抜き出すと、c25のみが対象となる。そこで、x25=1となる制約を加え、対策立案を実施する。このような対策立案を実施することで、管理者が対策の方法を指定した対策立案が可能となる。
【0063】
上記実施形態に係るセキュリティ運用システムにより得られる第1の効果は、システム構成情報を別に管理し、システム構成情報が変化しても利用可能な共通脅威対策知識や共通サービス対策知識を用いることで、分析対象システムにあわせて脅威対策知識や共通サービス対策知識を構築する必要がなくなるため、リスク分析者の負担を軽減することができることである。
【0064】
第2の効果は、システム構成情報を別に管理することで、分析対象システムのトポロジーに依存しないサービスモデルが生成でき、工数が削減できることである。
【0065】
第3の効果は、システム構成情報を別に管理することで、対策立案のポリシーとして主体、対象、アクションからなるサービスポリシーを入力とすることができ、管理者が求めるサービスの直感にあったポリシーを作成することができることである。
【0066】
なお、上記実施形態では、脅威対策知識のトップ事象の脅威として“情報の漏洩”を挙げたが、脅威としては、他に、情報の喪失、システムの処理不能、負担増大などが挙げられる。また、中間事象や基本事象も想定される脅威の内容や、システムの目的や機能などによって適宜選択可能である。
【0067】
以上、本発明をその好適な実施態様に基づいて説明したが、本発明のセキュリティ管理システム、方法、及び、プログラムは、上記実施態様の構成にのみ限定されるものではなく、上記実施態様の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。
【図面の簡単な説明】
【0068】
【図1】本発明の第1の実施形態に係るセキュリティ運用管理システムの構成を示すブロック図である。
【図2】図1のセキュリティ運用管理システムで使用される共通脅威対策知識の具体例を示す線図である。
【図3】管理対象の情報システムのシステム構成情報のうち、ネットワーク構成情報の具体例を示すブロック図である。
【図4】管理対象の情報システムのシステム構成情報のうち、アプリケーション情報の具体例を示す図である。
【図5】図1のセキュリティ運用管理システムの処理を示すフローチャートである。
【図6】本発明の第2の実施形態のセキュリティ運用管理システムの構成を示すブロック図である。
【図7】図6のセキュリティ運用管理システムの処理を示すフローチャートである。
【図8】本発明の第3の実施形態のセキュリティ運用管理システムの構成を示すブロック図である。
【図9】図8のセキュリティ運用管理システムの処理を示すフローチャートである。
【図10】共通サービス対策知識の具体例を示す図である。
【図11】サービス制約ポリシーの具体例を示す図である。
【図12】脅威対策制約ポリシーの具体例を示す図である。
【図13】(a)及び(b)はそれぞれ、対策の実施状況及び対策の効果の具体例を示す図である。
【図14】リスク値表示手段の具体例を示す図である。
【図15】従来技術の構成を表すブロック図である。
【図16】従来技術のサービス対策知識の具体例を示す図である。
【図17】従来技術の構成を表すブロック図とその出力の具体例を示す図である。
【図18】従来技術の脅威対策知識の具体例を示す図である。
【図19】従来技術のサービス対策知識の具体例を示す図である。
【符号の説明】
【0069】
100:共通脅威対策知識格納手段
101:システム構成情報収集手段
102:リスク値計算システム構成情報反映手段
103:対策実施情報収集手段
104:リスク分析手段
105:リスク提示手段
106:システム構成情報格納手段
200:共通サービス対策知識格納手段
201:サービス対策システム構成情報反映手段
202:サービス制約ポリシー入力手段
203:対策立案手段
204:対策実行手段
205:脅威対策制約ポリシー入力手段
206:脅威対策システム構成情報反映手段

【特許請求の範囲】
【請求項1】
複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムにおけるリスクを分析することを特徴とするセキュリティ運用管理方法。
【請求項2】
前記共通脅威対策知識は、少なくとも1つの脅威と、情報システムを利用するユーザ、情報システムで提供されるサービス、及び/又は、情報システム内に含まれる資源について想定される攻撃手段と、該攻撃手段に対抗するための対策、及び、該対策によって期待される効果の程度とを関連づけた故障の木解析情報を1つ以上含む、請求項1に記載のセキュリティ運用管理方法。
【請求項3】
前記管理対象のシステム構成情報は、管理対象のトポロジー情報と、管理対象に含まれる機器、該機器に搭載されている対策、及び、該機器が提供するサービスの情報を含むアプリケーション情報とを含む、請求項1又は2に記載のセキュリティ運用管理方法。
【請求項4】
前記管理対象のシステム構成情報と、前記共通脅威対策知識と、前記管理対象における脅威対策の実施状況とに基づいて、当該情報システムのリスク値を計算する、請求項1〜3の何れか一に記載のセキュリティ運用管理方法。
【請求項5】
前記管理対象のシステム構成情報と、前記共通脅威対策知識と、複数の情報システムに共通に適応可能なサービスとサービスを阻害する対策との関係を定義した共通サービス対策知識と、前記管理対象に含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案する、請求項1〜4の何れか一に記載のセキュリティ運用管理方法。
【請求項6】
前記管理対象のシステム構成情報と、前記共通脅威対策知識と、前記管理対象で想定される少なくとも1つの脅威について該脅威を抑止すべき対策レベルを指定した脅威対策制約ポリシーとに基づいて、情報システムの脅威対策を立案する、請求項1〜5の何れか一に記載のセキュリティ運用管理方法。
【請求項7】
複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案することを特徴とするセキュリティ運用管理方法。
【請求項8】
複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムのリスクを分析する分析手段を備えることを特徴とするセキュリティ運用管理システム。
【請求項9】
複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案する立案手段を備えることを特徴とするセキュリティ運用管理システム。
【請求項10】
情報システムのセキュリティを運用管理するコンピュータのためのプログラムであって、前記コンピュータに、
複数の情報システムに共通に適応可能な脅威と対策との関係を定義した共通脅威対策知識と、管理対象を構成する情報システムのシステム構成情報とに基づいて、前記管理対象の情報システムのリスクを分析する処理を実行させることを特徴とするプログラム。
【請求項11】
情報システムのセキュリティを運用管理するコンピュータのためのプログラムであって、前記コンピュータに、
複数の情報システムに共通に適応可能なサービスと該サービスを阻害する対策との関係を定義した共通サービス対策知識と、管理対象を構成する情報システムのシステム構成情報と、前記管理対象の情報システムに含まれる少なくとも1つのサービスについて該サービスが満たすべきサービスレベルを指定したサービス制約ポリシーとに基づいて、情報システムの脅威対策を立案する処理を実行させることを特徴とするプログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate

【図15】
image rotate

【図16】
image rotate

【図17】
image rotate

【図18】
image rotate

【図19】
image rotate