分析装置、分析方法およびプログラム
【課題】情報が漏洩するリスクを、包括的にかつ適切に評価する。
【解決手段】情報を記憶する複数の装置から構成されたシステムと接続された分析装置の記憶パターン特定部は、複数の装置の間の通信接続関係および装置の設置場所を示す構成情報と、記憶された情報に対する装置の動作を示す運用ポリシーとに基づいて、情報が装置に記憶される記憶パターンを特定する。そして、リスク分析部は、特定した記憶パターンに基づいて、情報がシステム外へ漏洩するリスクの程度を示すリスク評価指標を算出する。
【解決手段】情報を記憶する複数の装置から構成されたシステムと接続された分析装置の記憶パターン特定部は、複数の装置の間の通信接続関係および装置の設置場所を示す構成情報と、記憶された情報に対する装置の動作を示す運用ポリシーとに基づいて、情報が装置に記憶される記憶パターンを特定する。そして、リスク分析部は、特定した記憶パターンに基づいて、情報がシステム外へ漏洩するリスクの程度を示すリスク評価指標を算出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、分析装置、分析方法およびプログラムに関する。
【背景技術】
【0002】
近年、インターネット技術の発展に伴い、企業の内部情報や顧客の個人情報などに代表される機密情報の資産的価値が飛躍的に向上すると共に、機密情報の漏洩事故が多発している。これらの事故は、実に様々な要因によって引き起こされる。
【0003】
例えば、OS(Operating System)やソフトウェアの脆弱性を利用した外部からの攻撃やマルウェア(不正ソフトウェア)感染によるものや、ファイル共有ソフトなどを通じて重要なデータが流出することもある。特に多いのが、機密情報を記憶しているノートPC(Personal Computer)やUSB(Universal Serial Bus)メモリなどの外部記憶装置の盗難・紛失によって内部から機密情報が漏洩するケースである。
【0004】
このように、種々の要因が複雑に関与しあって引き起こされるセキュリティ事故の脅威から機密情報を守るためには、その機密情報が存在する情報システム全体において、どのような効果を発揮するセキュリティ対策が講じられていて、どの位のリスクが存在するかを的確に分析することで、そのシステムの状態を正しく把握する必要がある。
【0005】
この種の一般的な技術として、特許文献1では、分析対象となるシステムの設定状態を収集し、ネットワーク上のデータの流れ(受け渡し)を明らかにする技術が開示されている。この文献に記載されたシステムでは、あらかじめ定義した不正なデータの流れが発生するかどうかを、アクセス権の設定状態によって判別している。
【0006】
また、この種の他の一般的な技術として、特許文献2では、検査対象システムにおいて脆弱性が存在する機器同士の繋がりから、不正侵入されるおそれのあるルートを探索するセキュリティ管理システムが開示されている。同文献に記載された技術では、機器に存在する脆弱性によって検査対象システムのどこまで侵入できるかを「侵入深度」という量で測り、分析対象となるシステムの危険度を評価している。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2005−196728号公報
【特許文献2】特開2008−257577号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
上記のように、システムにおいては、導入されているセキュリティ対策の有効度に応じて、保護対象となる機密情報に対するリスクの大きさを適切に把握することが重要である。このような分析を漏れや重複がないように網羅的に行うためには、セキュリティ製品の機能だけではなく、どのような運用ポリシーや管理ルールが策定されているかについても考慮する必要がある。
【0009】
例えば、機密情報を有する機器に対して、ネットワークを経由した外部からの攻撃に対しては強固なセキュリティ対策が講じられていても、その機器自体が、誰でも出入り自由な場所に置かれていては、そこに保存された機密情報が外部に流出してしまうリスクは非常に高い。
【0010】
また、機密情報を守るためには単にセキュリティ効果の高い機器を導入するだけでなく、どのようなセキュリティポリシーに基づいてシステムの運用管理を行うかが非常に重要である。
【0011】
しかし、特許文献1に開示された技術においては、ネットワーク経由の攻撃に対する各システム構成機器の設定検証を行っているものの、セキュリティポリシーの策定などの運用管理的なセキュリティ対策の効果などについては考慮されていない。
【0012】
また、特許文献2に開示された技術においては、システムへの物理的な侵入経路に加え、運用管理的な脆弱性についても扱っているが、ごく一部の限定されたものだけである。
【0013】
また、この技術においては、脆弱性が存在するという単一の原因だけではなく、システムを構成する機器の設定状態や運用形態などの様々な条件が重なることで発生する脅威については取り扱うことができない。
【0014】
例えば、機密情報が強固なセキュリティ対策が施されたデータベース上に保管されているが、その機密情報を外部記憶媒体に保存して持ち出すことが許可されている、という状況について考察する。
【0015】
すなわち、機密情報は、データベース上、又は、外部記憶媒体上に保存されているという複数の状態が考えられ、そのどちらに存在するかによって、機密情報の漏洩リスクは変化する。また、このような場合、外部記憶媒体の紛失などによる情報漏洩事故に対する抑止として、機密情報を外部記憶媒体に保存して持ち出す際には、携行品管理システムに登録しておき上司の承認を得る、といった機密情報の取り扱いに関する運用ポリシーを定めることが多い。
【0016】
しかし、このような運用管理的なセキュリティ対策による効果は、ファイアウォールによるパケットフィルタリングなどと比べると、曖昧で不確実なものであり、ルール自体がきちんと守られていないこともある。特許文献2に開示された技術では、上記のような複雑な状況には対応することができない。
【0017】
また、侵入深度という量でセキュリティリスクを評価しているが、これは単に脆弱性を持つ機器同士の接続状態のみから、システムのどこまで侵入可能であるかを分析するもので、分析対象のシステムにおける状態変化などを考慮したリスクを適切に評価することはできない。
【0018】
本発明は、上述した課題を解決する分析装置、分析方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0019】
上記課題を解決するために、本発明の分析装置は、情報を記憶する複数の装置から構成されたシステムと接続された分析装置であって、前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定部と、前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析部とを有する。
【0020】
上記課題を解決するために、本発明の分析方法は、情報を記憶する複数の装置から構成されたシステムの分析方法であって、前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定処理と、前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析処理とを有する。
【0021】
また、コンピュータに実行させるプログラムであって、情報を記憶する複数の装置から構成されたシステムと接続された分析装置に、前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定手順と、前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析手順とを実行させる。
【発明の効果】
【0022】
本発明によれば、情報が漏洩するリスクを、包括的にかつ適切に評価することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の実施形態1に従った分析装置と、分析対象となるシステムとの接続形態を示す図である。
【図2】分析対象のシステムにおける配置状態および通信接続状態の一例を示す図である。
【図3】実施形態1の分析装置の構成を示す図である。
【図4】構成情報のデータ構造の一例を示す図である。
【図5】ポリシー情報のデータ構造の一例を示す図である。
【図6】分析対象のシステムにおける機密情報の記憶パターンの第1の例を示す図である。
【図7】分析対象のシステムにおける機密情報の記憶パターンの第2の例を示す図である。
【図8】分析対象のシステムにおける機密情報の記憶パターンの第3の例を示す図である。
【図9】分析対象のシステムにおける機密情報の記憶パターンの第4の例を示す図である。
【図10】配置情報のデータ構造の一例を示す図である。
【図11】リスク情報のデータ構造の一例を示す図である。
【図12】実施形態1の分析装置がリスク評価指標を算出する動作を示すフローチャート図である。
【図13】実施形態2の分析装置の構成を示す図である。
【図14】基準パターン情報のデータ構造の一例を示す図である。
【図15】遷移パターン情報のデータ構造の一例を示す図である。
【図16】実施形態2の分析装置がリスク評価指標を算出する動作を示すフローチャート図である。
【図17】実施形態3の分析装置の構成を示す図である。
【図18】セキュリティ対策情報のデータ構造の一例を示す図である。
【図19】実施形態3の分析装置がリスク評価指標を算出する動作を示すフローチャート図である。
【発明を実施するための形態】
【0024】
(実施形態1)
以下、本発明の実施形態1に従った分析装置(分析方法およびプログラムを含む)について説明する。
【0025】
図1に示すように、実施形態1の分析装置1は、当該分析装置1によるセキュリティリスクの分析対象となるシステム2と接続されている。
【0026】
システム2は、複数の「装置」から構成される任意のシステムでよい。この装置の例としては、クライアントPC、ファイアウォール、侵入検知装置(IDS(Intrusion Detection System))、サーバ機器などが挙げられる。本実施形態では、システム2に設けられた「装置」が、Webサーバ2−1、2−2と、PC2−3と、ファイアウォール2−4とである場合を例に挙げて説明する。
【0027】
また、Webサーバ2−1、2−2、PC2−3、ファイアウォール2−4が、図2に破線でそれぞれ示す拠点やサーバ室などの任意の場所に物理的に配置されている場合を例に挙げて説明する。
【0028】
本発明の分析装置1は、漏洩防止からの保護対象となる任意の「情報」(例えば、データファイルなど)がこれらの装置に記憶されている記憶パターンや、第三者の出入りを防止する当該装置の設置場所に設けられたセキュリティゲートなどの物理的な侵入防止装置なども考慮して、機密情報が漏洩するリスクを分析することが可能である。
【0029】
また、分析装置1は、外部からシステム2内部への攻撃に対する情報の漏洩リスクと、システム2内部から外部への「情報」の漏洩リスクとのどちらも分析することが可能である。以下では、外部からの通信を介した攻撃に対する、機密情報(「情報」)の漏洩リスクを分析する場合を例に挙げて説明する。
【0030】
つぎに、図1に示した分析装置1の構成について、図3を参照して説明する。
【0031】
図3に示すように、分析装置1は、取得部11と、構成データベース12と、ポリシーデータベース13と、記憶パターン特定部14と、発生確率算出部141と、配置データベース15と、リスク分析部16とを有する。
【0032】
取得部11は、システム2内の各装置(Webサーバ2−1、2−2、PC2−3、ファイアウォール2−4)と通信を行うことにより当該装置それぞれに付随する「設定情報」を取得する。
【0033】
この設定情報は、各装置が接続されている他の装置を示す情報、その装置の設置場所を示す情報のことを指す。設定情報の具体例としては、システム2のネットワークトポロジーに関する情報、各装置の物理的な設置場所に関する情報などが挙げられる。
【0034】
そして、取得部11は、設定情報に基づいて、これらの装置間の「通信接続関係」と、各装置の設置場所である「装置配置関係」とを示す構成情報を生成する。
【0035】
ここで、「通信接続関係」とは、ファイアウォールやIDSなどのようにシステム2内で各装置間の通信接続を制御する通信制御装置と、各装置との接続関係のことを指す。
【0036】
また、「装置配置関係」とは、システム2が具備する各装置と、これらの装置の設置場所または当該設置場所に設けられたセキュリティゲートのような第三者の出入りを制御する装置との関係のことを指す。
【0037】
本実施形態では、図4に示すように、取得部11は、システム2の構成要素(設置場所や装置)と、この構成要素を固有に識別するための要素識別子と、この構成要素に付随する装置配置関係と、この構成要素に付随する通信接続関係とを対応付ける情報を、「構成情報121」として生成する。
【0038】
そして、取得部11は、生成した構成情報121を構成データベース12へ書込む。
【0039】
図2に示した例では、Webサーバ2−1、2−2やPC2−3は、ファイアウォール2−4と通信可能に接続された通信接続関係を有する。そのため、図4に示した構成情報121において、Webサーバ2−1、2−2、PC2−3のそれぞれは、ファイアウォール2−4と対応付けて記憶されている。
【0040】
また、図2に示した例では、PC2−3は、拠点のセキュリティゲートに設けられた装置配置関係を有する。そのため、構成情報121においては、PC2−3(要素識別子g6)と、拠点のセキュリティゲート(要素識別子g1)とが対応付けて記憶されている。
【0041】
ポリシーデータベース13は、ポリシー情報131を記憶している。
【0042】
図5に示すように、「ポリシー情報131」は、保護対象となる機密情報に対してシステム2で定められている「運用ポリシー」と、機密情報と、運用ポリシーにより機密情報が配置されることが許可されている構成要素を示す「情報配置関係」と、その運用ポリシーに従った場合に当該構成要素に当該機密情報が配置されている「情報存在確率」とを対応付ける情報である。なお、本実施形態では、ポリシー情報131が、あらかじめ設定された情報である場合を例に挙げて説明する。
【0043】
また、本実施形態では、PC2−3内の暗号化ファイルが不正に復号化されることを回避するためにシステム2における運用ポリシーとして、以下の運用ポリシーOPE1〜OPE4が定められている場合を例に挙げて説明する。
【0044】
運用ポリシーOPE1として、PC2−3は、PC2−3内の暗号化ファイルを復号化する場合、Webサーバ2−1を指定して復号鍵ダウンロード用のWebページにログインする。
【0045】
この運用ポリシーOPE1に従った場合、図6に示す記憶パターンL1のように、PC2−3が暗号化ファイルの復号処理を行う前における機密情報の記憶パターンL1では、Webサーバ2−1は、復号鍵およびインポートパスワードを記憶している。
【0046】
また、運用ポリシーOPE2として、PC2−1は、Webサーバ2−1上に保存されている復号鍵を当該PC2−1のローカルディスクにダウンロードする。
【0047】
この運用ポリシーOPE2に従った場合、図7に示すように、PC2−3が、暗号化ファイルの復号処理を行うために、Webサーバ2−1に記憶されている復号鍵をダウンロードすることにより、システム2における機密情報の記憶パターンは、図6に示した記憶パターンL1から記憶パターンL2へ遷移する。
【0048】
また、運用ポリシーOPE3として、復号鍵ダウンロード用のWebページに記載されているパスワードを入力し、ダウンロードした復号鍵を復号鍵の管理ツールへインポートする。
【0049】
この運用ポリシーOPE3に従った場合、図8に示すように、Webサーバ2−2が、Webサーバ2−1に記憶されているインポートパスワードをダウンロードすることにより、システム2における機密情報の記憶パターンは、図7に示した記憶パターンL2から記憶パターンL3へ遷移する。
【0050】
運用ポリシーOPE4として、PC2−3は、当該PC2−3が備えるローカルディスクに保存された暗号化ファイルの復号化を行う。
【0051】
その後、図9に示すように、PC2−3が、暗号化ファイルの復号化が終了して当該PC2−3から復号鍵を削除した場合、システム2における機密情報の記憶パターンは、図8に示した記憶パターンL3から記憶パターンL4へ遷移する。
【0052】
なお、運用ポリシーが示す各装置の機密情報に対する動作は、後述の実施形態3で例に挙げて説明する外部からの攻撃を行う手順と共通する。つまり、この説明例では、暗号化ファイルの復号化を行うために入手する必要のある機密情報が、攻撃者からの保護対象に相当する。
【0053】
なお、ポリシー情報131のデータ構造は、対応表、オントロジーなどの知識構造を含む任意のものでよい。また、ポリシー情報131は、特定の複数のパターンに対してあらかじめ記述しておき、分析装置1の利用者が随時編集することにより、あらかじめ記述されている運用ポリシー以外の運用ポリシーを追加することも可能である。
【0054】
記憶パターン特定部14は、構成情報121とポリシー情報131とに基づいて、ポリシー情報131内の運用ポリシーOPE1〜OPE3に従った場合にシステム2において起こり得る機密情報のすべての「記憶パターン」を決定する。
【0055】
本実施形態では、記憶パターン特定部14は、ポリシー情報131内の運用ポリシーに対応する機密情報の種類を特定する。図5の例では、記憶パターン特定部14は、運用ポリシーOPE1に対する機密情報として、暗号化ファイルと復号鍵とインポートパスワードとを特定し、図10に示す配置情報151へ書込む。
【0056】
また、記憶パターン特定部14は、ポリシー情報131内でこれらの機密情報と対応付けられている情報配置関係が示す装置をそれぞれ特定するとともに、この装置に対して通信接続関係を有する装置すべてを構成情報121を用いて特定する。
【0057】
上述した運用ポリシーOPE1の例では、記憶パターン特定部14は、機密情報と対応付けられた通信接続関係が示す要素識別子g4(Webサーバ2−1)、g6(PC2−3)を特定する。また、記憶パターン特定部14は、構成情報121に基づいて、g4およびg6はファイアウォール2−4を介してg5(Webサーバ2−2)と接続されていることを特定する。そして、記憶パターン特定部14は、これらの特定した情報を、配置データベース15内の配置情報151へ書込む。
【0058】
図10に示すように、配置情報151は、ポリシー情報131が示すシステム2に対して定められた各運用ポリシーOPE1、OPE2、OPE3の下で、機密情報がシステム2内の各装置に配置される「記憶パターンL1〜L4」と、その記憶パターンが起こる「発生確率」とを対応付ける情報である。
【0059】
なお、図10の例では、記憶パターンを、各機密情報(暗号化ファイル、復号鍵、インポートパスワード)のそれぞれに対する情報配置フラグで示している。
【0060】
情報配置フラグとは、機密情報が、当該情報配置フラグと対応付けられている要素識別子が付与された装置に配置(記憶)されているかどうかを示す情報である。本実施形態では、情報配置フラグは、その値が「0」である場合、機密情報が配置されていないことを示し、その値が「1」である場合、機密情報が配置されていることを示す。
【0061】
発生確率算出部141は、記憶パターン特定部14が特定した記憶パターンと、ポリシー情報131内の各装置に機密情報が配置されている情報存在確率とに基づいて、記憶パターン特定部14が特定した記憶パターンL1〜L4が起こる発生確率を算出する。
【0062】
例えば、発生確率算出部141は、ある記憶パターンにおいて、暗号化ファイルが配置されている情報存在確率と、復号鍵が配置されている情報存在確率と、インポートパスワードが配置されている情報存在確率とを乗算した値を、その記憶パターンの発生確率として算出する。
【0063】
そして、遷移確率算出部141は、算出した発生確率と、配置情報151に記憶されている機密情報に対する記憶パターンとを対応付けて当該配置情報151に書込む。
【0064】
リスク分析部16は、配置データベース15を参照し、システム2内の機密情報が漏洩するリスクの程度を示す「リスク評価指標」を算出する。
【0065】
なお、本実施形態では、リスク分析部16は、図11に示すリスク情報を記憶している。このリスク情報は、システム2内の各装置(この例では、Webサーバ2−1、2−2、PC2−3)と、当該装置に対してそれぞれ想定されるリスクの程度を数値で表したリスク想定値とを対応付けてあらかじめ設定された情報である。
【0066】
この例では、リスク分析部16は、配置データベース15内の配置情報151に記述されている発生確率を用いてリスク想定値に対する重み付けを行うことにより得られた数値を、各装置に対する「リスク評価指標」として算出する。
【0067】
例えば、図10に示したパターン識別子L1においてWebサーバ2−1(要素識別子g4)に復号鍵およびインポートパスワードが記憶される発生確率は「1」である。また、図11に示したリスク情報内のWebサーバ2−1のリスク想定値は「2」である。
【0068】
そのため、リスク分析部16は、発生確率「1」とリスク想定値「2」との乗算値を、パターン識別子L1におけるWebサーバ2−1のリスク評価指標として算出する。なお、リスク分析部16は、L1以外の他のパターン識別子L2〜L4におけるWebサーバ2−1のリスク評価指標も算出し、パターン識別子L1〜L4それぞれにおけるWebサーバ2−1のリスク評価指標の合計値を、Webサーバ2−1のリスク評価指標として算出する。
【0069】
なお、リスク分析部16は、各装置についてそれぞれ得られたリスク評価指標同士を比較し、それらの大小関係を特定して得られたランク付け結果を、分析装置1と接続された任意の出力装置(図示せず)へ出力してもよい。
【0070】
つぎに、実施形態1の分析装置1がリスク評価指標を算出する動作について、図12に示すフローチャートを参照して説明する。
【0071】
まず、取得部11は、システム2内の各装置から当該装置の構成情報を取得する。
【0072】
そして、図12に示すステップ31にて、取得部11は、設定情報に基づいて、これらの装置間の通信接続関係と、各装置の設置場所を示す装置配置関係とを示す構成情報121を生成し、構成データベース12へ書込む。
【0073】
続いて、記憶パターン特定部14は、システム2が有する機密情報に対して定められている運用ポリシーOPE1〜OPE3を参照する。そして、ステップ32にて、記憶パターン特定部14は、ポリシー情報131内の運用ポリシーに対応する機密情報の種類を特定して配置情報151へ書込む。
【0074】
また、ステップ33にて、記憶パターン特定部14は、ポリシー情報131内でこれらの機密情報と対応付けられている情報配置関係が示す装置、つまり、機密情報が配置される装置をそれぞれ特定する。
【0075】
さらに、記憶パターン特定部14は、機密情報が配置される装置に対して通信接続関係を有する装置すべてを構成情報121にて特定する。これにより、ステップ34にて、記憶パターン特定部14は、構成情報121とポリシー情報131とに基づいて、ポリシー情報131内の運用ポリシーOPE1〜OPE3に従った場合にシステム2において起こり得る機密情報のすべての「記憶パターン」を特定する。
【0076】
なお、本実施形態では、記憶パターン特定部14は、特定した記憶パターンを各装置に対する情報配置フラグで表した形式で求め、各情報配置フラグを配置データベース15内の配置情報151へ書込む。
【0077】
そして、ステップ35にて、発生確率算出部141は、ポリシー情報131内の機密情報の情報存在確率に基づいて、配置情報151へ書込まれた記憶パターンがシステム2において起こる発生確率を決定する。そして、発生確率算出部141は、決定した発生確率を、図10に示した配置情報151へ書込む。
【0078】
その後、ステップ36にて、リスク分析部16によって、ステップ34で特定した機密情報の記憶パターンそれぞれにおけるリスク評価指標を、その記憶パターンが起こる発生確率に基づいて算出する。
【0079】
以上で、実施形態1の分析装置1がリスク評価指標を算出する一連の動作が終了する。
【0080】
以上説明したように、本発明の実施形態1によれば、運用管理面により奏する機密情報の保護に対する効果を、機密情報のある記憶パターンから別の記憶パターンへの状態遷移によって表現することで、システム的なセキュリティ対策(ファイアウォールでのパケットフィルタリングなど)による効果と、運用管理的な対策の効果を同時に考慮したリスク分析を行うことが可能となる。
【0081】
すなわち、資産的価値の高い機密情報の取り扱いを定める運用ポリシーに基づいて、ある記憶パターンがどの位の確率で起こるかを決定することで、複雑な運用形態に対応して包括的にかつ適切にシステム2における機密情報の漏洩リスクを分析することができる。
(実施形態2)
つぎに、実施形態2の分析装置について説明する。
【0082】
まず、実施形態2の分析装置の構成について説明する。
【0083】
実施形態2の分析装置1Aは、図2に示したポリシーデータベース13に代えて、図13に示す基準配置データベース171と遷移配置データベース173とを有する点で、実施形態1の分析装置1と異なる。
【0084】
基準配置データベース171は、ある機密情報に対する全記憶パターンのうちからシステム2の基準状態としてあらかじめ定められた特定の記憶パターン(以下、「基準記憶パターン」という)を示す基準パターン情報172を記憶している。
【0085】
以下では、図5に示した記憶パターンL1を基準記憶パターンとして決定した場合を例に挙げて説明する。この場合、基準パターン情報172は、図14に示すデータ構造を有している。
【0086】
また、遷移配置データベース173は、遷移パターン情報174を記憶している。
【0087】
遷移パターン情報174とは、ある機密情報に対する基準記憶パターンから、その機密情報に対する残りの記憶パターン(以下、「遷移記憶パターン」という)それぞれへ遷移する遷移確率を示す情報である。
【0088】
本実施形態では、図15に示すように、遷移パターン情報174は、運用ポリシーを識別するための番号と、運用ポリシーと、その運用ポリシーに従ったときの機密情報に対する遷移記憶パターンと、その運用ポリシーに従ったときの機密情報に対する基準記憶パターンから遷移記憶パターンへ遷移する「遷移確率」とを対応付ける情報である。
【0089】
なお、本実施形態では、遷移確率を、以下の式1〜4に示すような遷移行列を用いて表す。
【0090】
【数1】
【0091】
【数2】
【0092】
【数3】
【0093】
【数4】
【0094】
上述した式1の右辺第1式において、1行目の成分T(1,0,0)→(1,0,0)およびT(1,0,0)→(1,1,0)は、PC2−3(要素識別子g6)が暗号化ファイルのみを記憶している図5に示した記憶パターンL1が、PC2−3が暗号化ファイルおよび復号鍵を記憶している図6に示した記憶パターンL2へ遷移するかどうかを示す成分である。なお、1行目の2つの成分T(1,0,0)→(1,0,0)とT(1,0,0)→(1,1,0)との和は「1」である。
【0095】
これらのうち1行1列成分T(1,0,0)→(1,0,0)は、PC2−3が暗号化ファイルのみを記憶している記憶パターンL1がそのまま維持されて記憶パターンL2へ遷移しない確率を示している。なお、式1は、記憶パターンL1から記憶パターンL2へ遷移しない確率が「0.5」としてあらかじめ設定されている例である。
【0096】
また、1行2列成分T(1,0,0)→(1,1,0)は、PC2−3が復号鍵をWebサーバ2−1からダウンロードすることにより、配置状態L1から配置状態L2へ遷移する確率を示している。なお、式1は、記憶パターンL1から記憶パターンL2へ遷移する確率が「0.5」としてあらかじめ設定されている例である。
【0097】
また、上述の式1の右辺第1式において、2行目の成分T(1,1,0)→(1,0,0)およびT(1,1,0)→(1,1,0)は、PC2−3が暗号化ファイルおよび復号鍵を記憶している記憶パターンL2が、PC2−3が暗号化ファイルのみを記憶している記憶パターンL1へ遷移するかどうかを示す成分である。
【0098】
これらのうち2行1列成分T(1,1,0)→(1,0,0)は、PC2−3が暗号化ファイルおよび復号鍵を記憶している記憶パターンL2から、暗号化ファイルのみを記憶している記憶パターンL1へ遷移する確率を示している。なお、式1は、ファイル復号後にPC2−3内から復号鍵が削除されて記憶パターンL2から記憶パターンL1へ遷移する確率が「0.2」としてあらかじめ設定されている例である。
【0099】
また、2行2列成分T(1,1,0)→(1,1,0)は、PC2−3が暗号化ファイルおよび復号鍵を記憶している記憶パターンL2がそのまま維持されて記憶パターンL1へ遷移しない確率を示している。式1は、ファイル復号後にPC2−3内から復号鍵が削除されて記憶パターンL2から記憶パターンL1へ遷移しない確率が「0.8」としてあらかじめ設定されている例である。
【0100】
本実施形態では、発生確率算出部141は、上述の式1〜式4に示した機密情報の記憶パターンが相互に遷移する「遷移確率」に基づいて、機密情報の記憶パターンの発生確率を算出する。
【0101】
具体的には、式1〜式4の条件の下で、以下の式5および式6に示すような線型一次方程式を解くための演算を行うことにより、発生確率算出部141は、システム2内でそれぞれの記憶パターンが起こる発生確率を決定する。
【0102】
【数5】
【0103】
【数6】
【0104】
つぎに、上記構成を有する実施形態2の分析装置1Aの動作について、図16に示すフローチャートを参照して説明する。
【0105】
まず、分析装置1Aの取得部11は、システム2内の各装置から当該装置の設定情報を取得する。
【0106】
そして、図16に示すステップ41にて、取得部11は、設定情報に基づいて、これらの装置間の通信接続関係と各装置の設置場所を示す装置配置関係とを示す構成情報121を生成して構成データベース12へ書込む。
【0107】
続いて、ステップ42にて、記憶パターン特定部14は、遷移パターン情報174に基づいて、機密情報に対して定められている運用ポリシーOPE1〜OPE3に対応する機密情報の種類を特定して配置情報151へ書込む。
【0108】
また、ステップ43にて、記憶パターン特定部14は、遷移パターン情報174内でこれらの機密情報と対応付けられている情報配置関係が示す装置、つまり、機密情報が配置される装置をそれぞれ特定する。
【0109】
さらに、記憶パターン特定部14は、構成情報121を用いて、機密情報が配置される装置に対して通信接続関係を有する装置すべてを特定する。これにより、ステップ44にて、記憶パターン特定部14は、構成情報121と遷移パターン情報174とに基づいて、遷移パターン情報174内の運用ポリシーOPE1〜OPE3に従った場合に基準遷移パターンからの遷移によって起こり得るすべての機密情報の記憶パターンを特定する。
【0110】
なお、本実施形態では、記憶パターン特定部14は、特定した記憶パターンを各装置に対する情報配置フラグで表した形式で求め、各情報配置フラグを配置データベース15内の配置情報151へ書込む。
【0111】
そして、ステップ45にて、発生確率算出部141は、遷移パターン情報174内の記憶パターンの遷移確率に基づいて、配置情報151へ書込まれた記憶パターンがシステム2において起こる発生確率を決定する。そして、発生確率算出部141は、決定した発生確率を、図10に示した配置情報151へ書込む。
【0112】
その後、ステップ46にて、リスク分析部16は、ステップ44で特定した機密情報の記憶パターンそれぞれにおけるリスク評価指標を、その記憶パターンが起こる発生確率に基づいて算出する。例えば、リスク分析部16は、この発生確率を用いて、図11に示したリスク情報内のリスク想定値に対して重み付けすることにより得られた数値を、各装置に対する「リスク評価指標」として算出する。
【0113】
以上で、実施形態2の分析装置1Aがリスク評価指標を算出する一連の動作が終了する。
【0114】
以上説明したように、実施形態2によれば、複数の記憶パターンの間で相互に遷移する遷移確率に基づいて、その記憶パターンの発生確率を決定し、リスク評価指標の値の変化を求める。
【0115】
これにより、システム2に対して定められている運用ポリシーに従った場合の記憶パターンの変化を、利用者がより直感的に理解しやすい形で示すことが可能となる。
(実施形態3)
つぎに、実施形態3の分析装置について説明する。
【0116】
実施形態3の分析装置1Bは、図17に示す発生条件決定部191、到達確率算出部192、対策データベース181、対策状況決定部183を備える点で、実施形態1の分析装置1と異なる。
【0117】
対策データベース181は、セキュリティ対策情報182を記憶している。
【0118】
図18に示すように、セキュリティ対策情報182は、システム2内において構成要素(設置場所や装置)に固有に付与された要素識別子と、当該構成要素に対して施されているセキュリティ対策の種類と、そのセキュリティ機能の「有効度」とを対応付ける情報である。
【0119】
ここで、「有効度」とは、ある構成要素(設置場所または装置)に施されたセキュリティ対策の強制力の程度を表す量、つまり、機密情報に対する不正なアクセスの防止に寄与する有利な効果の程度を示す評価指標のことを指す。
【0120】
例えば、ファイアウォールが有するパケットフィルタリング機能のように人手を介さずに機械的に実行されるセキュリティ対策は、一定して強い強制力を有する。これに対し、ノートPCの持出し制限のような人手による運用面のルールを定めることによるセキュリティ対策の強制力の強さにはばらつきがある。そのため、構成要素に施されたセキュリティ対策の種類に応じて、機密情報の漏洩に対するリスク評価指標は大きく変動すると考えられる。このような観点から、実施形態3では、リスク分析部16は、有効度を考慮してリスク評価指標を算出する。
【0121】
そのために、まず、対策状況決定部183は、構成情報121とセキュリティ対策情報182とに基づいて、システム2内の構成要素(設置場所または装置)に対して実際に施されているセキュリティ対策と、そのセキュリティ対策による有効度とを特定する。そして、対策状況決定部183は、特定したセキュリティ対策と有効度とを到達確率算出部192へ出力する。
【0122】
発生条件決定部191は、ポリシー情報131に記述されている運用ポリシーに基づいて、システム2において想定される脅威発生条件を決定して到達確率算出部192へ出力する。
【0123】
ここで、「脅威発生条件」とは、保護対象となる資産的価値を有する機密情報に対する攻撃手順のことを指す。
【0124】
具体的には、本実施形態における脅威発生条件は、システム2に対する脅威が発生する際に必要となる機密情報の種類と、システム2の外部から当該機密情報に到達するまでの経路上に設けられた装置とを示す。
【0125】
本実施形態では、発生条件決定部191は、ポリシー情報131内の運用ポリシーが示す各装置の機密情報に対する動作を、脅威発生条件として決定する。これは、例えば、攻撃者は、暗号化ファイルの復号化を行うためにポリシー情報131内に記述された機密情報を入手する必要があり、この入手時の手順は運用ポリシーが示す機密情報に対する動作と一致するためである。
【0126】
到達確率算出部192は、発生条件決定部191から出力されてきた脅威発生条件に基づいて、機密情報と、外部からその機密情報に到達する経路上の装置とを特定する。
【0127】
そして、到達確率算出部192は、脅威発生条件を満たすときの配置データベース15内の各記憶パターンにおいて各機密情報まで到達する「情報到達確率」を、論理演算(例えば、論理積ANDや論理和OR)を用いて算出する。そして、到達確率算出部192は、算出した情報到達確率をリスク分析部16へ出力する。
【0128】
本実施形態では、到達確率算出部192は、発生条件決定部191からの脅威発生条件に基づいて特定した装置について、対策状況決定部183から出力されてきた有効度の値を「1」から減算した値を、システム2の外部からその装置まで到達できる「装置到達確率」として算出する。
【0129】
ただし、脅威発生条件を満たすために複数の機密情報を攻撃者が入手する必要があり、それらのうちの第1の機密情報に対する攻撃者からの経路の一部または全部と、第1の機密情報と異なる第2の機密情報に対する経路とが共通している場合、これらの経路上の共通部分に設けられている構成要素(装置)のセキュリティ対策(アクセス制御)は、第1の機密情報に対する攻撃と第2の機密情報に対する攻撃とのどちらか一方の攻撃に対してのみ有効となる。
【0130】
この場合、到達確率算出部192は、第1の機密情報に対する経路と第2の機密情報に対する経路との共通部分に設けられた構成要素(装置)に対する装置到達確率の値として、「1」を算出する。
【0131】
換言すれば、特定の機密情報に対する情報到達確率は、攻撃者がどの構成要素まで到達したかという「条件」(事前状況)に応じて異なる。そのため、到達確率算出部192が算出する「情報到達確率」は、所定の条件を満たした上で機密情報に到達できる「条件付きの確率」に相当し、特定の機密情報に対する情報到達確率と、その機密情報以外の別の機密情報に対する情報到達確率とは、互いに独立した関係には立たず互いに従属的な関係にある。
【0132】
到達確率算出部192は、各記憶パターンにおける到達確率に基づいて、ある脅威発生条件を満たすために必要となる全機密情報までの条件付きの「情報到達確率」を算出する。
【0133】
なお、ここでいう情報到達確率は、システム2の外部から機密情報へ至る経路上に設けられた構成要素のセキュリティ対策を攻撃者が突破することにより当該機密情報に到達されてしまう確率である。そのため、当該到達確率は、システム2に対する脅威が発生する「脅威発生確率」に相当する。
【0134】
また、実施形態3のリスク分析部16は、到達確率算出部192が算出した情報到達確率と、その記憶パターンが発生する発生確率と、資産的価値との乗算値を、リスク評価指標として算出する。なお、機密情報のそれぞれが有する資産的価値の決定方法は任意でよい。
【0135】
つまり、実施形態3においては、「リスク評価指標」は、「ある記憶パターンにおける情報到達確率」×「その記憶パターンが起こる発生確率」×「資産的価値」で表される。
【0136】
以下、実施形態3において、分析装置1Bがリスク評価指標を算出する具体例について詳細に説明する。
【0137】
なお、以下では、図5に示した運用ポリシーOPE1、つまり、PC2−3が復号鍵をインポートする場合にパスワード認証を行うことが定められている場合を例に挙げて説明する。また、以下では、暗号化ファイルをa、Webサーバ2−1上にある復号鍵をb、PC2−3内にある復号鍵をb’、インポートパスワードをcと表記する。
【0138】
この場合、記憶パターン特定部14は、ポリシー情報131に基づいて、保護対象が暗号化ファイルと復号鍵とインポートパスワードとであることを特定する。そして、記憶パターン特定部14は、構成情報121に基づいて、機密情報が配置される記憶パターンとして記憶パターンL1およびL2を特定する。そして、記憶パターン特定部14は、特定した記憶パターンを配置データベース15内の配置情報151へ書込む。
【0139】
また、発生確率算出部141は、配置情報151内の記憶パターンとポリシー情報131内の情報存在確率とに基づいて、記憶パターンL1の発生確率として発生確率P1(L1)=0.2を算出し、記憶パターンL2の発生確率として発生確率P1(L2)=0.8を算出する。そして、発生確率算出部141は、発生確率を配置データベース15へ書込む。これは、運用ポリシーOPE1においては、PC2−3が暗号化ファイルaの復号化を終了した後の復号鍵b’の取り扱いについては定められていないため、復号鍵b’の記憶パターンとしては、記憶パターンL2が起こる発生確率が高いことを意味する。
【0140】
その後、対策状況決定部183は、セキュリティ対策情報182に記述されているセキュリティ対策のうちから、システム2内の構成要素(設置場所または装置)に実際に施されているセキュリティ対策と、そのセキュリティ対策の有効度とを特定する。
【0141】
例えば、対策状況決定部183は、図18に示したセキュリティ対策情報182のうちから、セキュリティ対策の種類として、ファイアウォール2−4で外部からの受信パケットを制限する対策と、Webサーバ2−1へのログイン時にパスワード認証を行う対策と、PC2−3へのログオンパスワード(文字数制限なし)を設定する対策とを特定する。
【0142】
さらに、対策状況決定部183は、これらのセキュリティ対策のそれぞれと対応付けられた有効度を特定して到達確率算出部192へ出力する。なお、図18の例では、ファイアウォール2−4による受信パケット制限の有効度は「0.9」であり、Webサーバ2−1によるログイン時のパスワード認証の有効度は「0.85」であり、PC2−3によるログオンパスワード(文字数制限なし)設定の有効度は「0.7」である。
【0143】
次に、発生条件決定部191は、ポリシー情報131に記述されている運用ポリシーに基づいて、システム2において想定される脅威発生条件を決定して到達確率算出部192へ出力する。
【0144】
この説明例では、攻撃者が、暗号化ファイルa、復号鍵b、インポートパスワードを同時に入手できた場合に限り、PC2−3内に存在する暗号化ファイルが不正に復号されてしまうという脅威が発生すると考えられる。そのため、発生条件決定部191は、PC2−3内の暗号化ファイルaへ到達できることと、PC2−3内の復号鍵b’またはWebサーバ2−1内の復号鍵bへ到達できることと、Webサーバ2−1内のインポートパスワードcへ到達できることとを、脅威発生条件として決定する。
【0145】
なお、記憶パターンL2に対する脅威発生条件は、以下の式7で表すことができる。なお、式7における記号「∧」は論理積を表し、記号「∨」は論理和を表す。
【0146】
【数7】
【0147】
また、記憶パターンL1に対する脅威発生条件は、以下の式8で表わすことができる。
【0148】
【数8】
【0149】
また、脅威発生条件は、機密情報に対する攻撃手順を示す役割を果たす。つまり、記憶パターンL1の例では、攻撃者は、まず暗号化ファイルaを入手してから、つぎに復号鍵bを入手し、その後にインポートパスワードcを入手するという手順で脅威を発生させることに相当する。また、記憶パターンL2の例では、攻撃者は、まず暗号化ファイルaを入手してから、つぎに復号鍵b’を入手し、その後にインポートパスワードcを入手するという手順で脅威を発生させることに相当する。
【0150】
次に、到達確率算出部192は、記憶パターンL1において攻撃者が各機密情報まで到達できる情報到達確率と、記憶パターンL2において攻撃者が各機密情報まで到達できる情報到達確率とを求める。
【0151】
なお、本実施形態では、機密情報への経路上に存在する構成要素が当該機密情報以外の機密情報へ到達するときにすでに通過したものである場合、その構成要素の有効度は「0」(すなわち、装置到達確率は1)として、当該機密情報への情報到達確率を算出する。
【0152】
これは、ある構成要素(例えば、ファイアウォール2−4)の下位にそれぞれ並列して存在する複数の装置への装置到達確率については、一度、上位の構成要素(ファイアウォール2−4)に施されたアクセス制御を突破してシステム2の内部に侵入できれば、それ以後、その構成要素の下位の装置まで到達できてしまうためである。
【0153】
そのため、本実施形態では、脅威発生条件として、各機密情報への攻撃が行われる順序や手順も考慮した上で、リスク評価指標を算出する。このように複数の機密情報までの情報到達確率を算出することで、攻撃発生の手順まで含めてモデル化することが可能である。
【0154】
その後、到達確率算出部192は、システム2の外部からシステム2内の装置それぞれに到達する装置到達確率に基づいて、条件付きの情報到達確率を算出する。
【0155】
まず、外部の攻撃者からPC2−3内の暗号化ファイルaまでの経路上に存在するセキュリティ対策(アクセス制御)が施された構成要素(装置)は、ファイアウォール2−4、PC2−3である。
【0156】
対策状況決定部183は、ファイアウォール2−4におけるセキュリティ対策の有効度は「0.9」であり、PC2−3におけるセキュリティ対策の有効度は「0.7」である。
【0157】
そのため、到達確率算出部192は、「1」から各有効度を減算した値を、装置到達確率として算出する。つまり、到達確率算出部192は、ファイアウォール2−4に対する装置到達確率として「0.1」(=1−0.9)を算出し、PC2−3に対する装置到達確率として「0.3」(=1−0.7)を算出する。
【0158】
そして、到達確率算出部192は、外部から暗号化ファイルaまでの情報到達確率として、「0.1×0.3」を算出する。
【0159】
つぎに、到達確率算出部192は、外部から復号鍵b’までの情報到達確率を算出する。なお、外部から復号鍵b’までの経路上に存在する構成要素は、ファイアウォール2−4およびPC2−3である。
【0160】
ここで、セキュリティ対策情報182が示す有効度を「1」から減算した場合、ファイアウォール2−4に対する到達確率は「0.1」であり、PC2−3に対する到達確率は「0.3」である。
【0161】
しかし、上述した暗号化ファイルaまでの情報到達確率を算出する際、すでにこれらの装置に対する装置到達確率の値「0.1」、「0.3」を用いている。そのため、到達確率算出部192は、復号鍵b’までの情報到達確率を算出する場合、両構成要素(ファイアウォール2−4およびPC2−3)までの各装置到達確率として、「1」をそれぞれ算出する。
【0162】
これは、外部から暗号化ファイルaまで到達する際、ファイアウォール2−4、PC2−3それぞれのアクセス制御はすでに突破されているという観点からである。すなわち、外部の攻撃者がPC2−3内の暗号化ファイルaへ到達可能である場合、その攻撃者は同じ構成要素(PC2−3)に存在する機密情報(復号鍵b’)へ到達することが可能であり、暗号化ファイルaへの経路と復号鍵b’への経路との共通部分にあるアクセス制御機能は意味をなさないためである。
【0163】
よって、外部から暗号化ファイルaまですでに到達されているという状況下では、外部から復号鍵b’までの到達確率は、ファイアウォール2−4までの装置到達確率「1」とPC2−3までの装置到達確率「1」との乗算値「1×1」となる。
【0164】
つぎに、到達確率算出部192は、外部からWebサーバ2−1上の復号鍵bまでの情報到達確率を算出する。なお、外部から復号鍵bまでの経路上に存在する構成要素(装置)は、ファイアウォール2−4およびWebサーバ2−1である。
【0165】
ここで、セキュリティ対策情報182が示す有効度を「1」から減算した場合、ファイアウォール2−4に対する装置到達確率は「0.1」である。しかし、上述した暗号化ファイルaまたは復号鍵b’までの情報到達確率を算出する際、ファイアウォール2−4に対する装置到達確率「0.1」をすでに用いている。そのため、到達確率算出部192は、復号鍵bまでの情報到達確率を算出する場合、ファイアウォール2−4までの装置到達確率として「1」を算出する。
【0166】
また、対策状況決定部183は、Webサーバ2−1におけるセキュリティ対策の有効度は「0.85」として決定する。そのため、到達確率算出部192は、「1」から当該有効度「0.85」を減算した値「0.15」を、Webサーバ2−1に対する装置到達確率として算出する。
【0167】
そして、到達確率算出部192は、外部から復号鍵bまでの情報到達確率として、「1×0.15」を算出する。
【0168】
さらに、到達確率算出部192は、外部からインポートパスワードcまでの情報到達確率を算出する。
【0169】
なお、外部からインポートパスワードcまでの経路上に存在する構成要素は、ファイアウォール2−4およびWebサーバ2−1である。インポートパスワードcへの経路における構成要素は、Webサーバ2−1上の復号鍵bへの経路における構成要素と同じである。そのため、bまで到達された場合、インポートパスワードcに対する到達確率を算出するときの各構成要素への装置到達確率として、それぞれ「1」を用いる必要がある。よって、外部から復号鍵bまではすでに到達されているという状況下においては、到達確率算出部192は、外部からインポートパスワードcまでの情報到達確率を「1×1」に算出する。
【0170】
一方、復号鍵を入手するために、Webサーバ2−1内の復号鍵bではなく、PC2−3内の復号鍵b’を入手するという攻撃経路が利用された場合、すでに突破された構成要素はファイアウォール2−4のみであり、Webサーバ2−1におけるアクセス制御は有効なままである。
【0171】
この場合、到達確率算出部192は、ファイアウォール2−4への装置到達確率として「1」を算出するとともに、ファイアウォール2−4からWebサーバ2−1への装置到達確率として、セキュリティ対策情報182内の有効度「0.85」を「1」から減算した値「0.15」を算出する。
【0172】
これは、インポートパスワードcまでの到達確率は、復号鍵に対する到達経路として、ファイアウォール2−4からPC2−3へ到達した場合、またはファイアウォール2−4からWebサーバ2−1へ到達した場合に応じて変化するため、両方の場合を考慮する必要があるからである。よって、外部からPC2−3まではすでに到達されているが、Webサーバ2−1までは到達されていないという状況下においては、到達確率算出部192は、外部からインポートパスワードcまでの情報到達確率として「1×0.15」を算出する。
【0173】
以上をまとめると、この説明例では、到達確率算出部192は、それぞれの機密情報までの条件付きの情報到達確率として、以下の式9に示す値を算出する。
【0174】
【数9】
【0175】
なお、式9のなかのP(b’|a)は、暗号化ファイルaまで到達されているという条件の下で復号鍵b’まで到達できるという条件付きの情報到達確率を表す。
【0176】
続いて、リスク分析部16は、記憶パターンL1、L2において脅威発生条件が満たされる確率(リスク評価指標)を、到達確率算出部192が算出した到達確率に対する論理演算(論理積AND、論理和OR)により算出する。本実施例では、それぞれの記憶パターンL1、L2における各リスク評価指標R(L1)、R(L2)は、以下の式10に示す値となる。
【0177】
【数10】
【0178】
以上より、運用ポリシーOPE1に対して脅威が発生するリスク評価指標R1は、以下の式11に示す値となる。
【0179】
【数11】
【0180】
つぎに、上述した運用ポリシーOPE1に加えて、「復号鍵をインポートした場合、その復号鍵を直ちに削除する」という運用ポリシーOPE2が定められている場合のリスク評価指標の算出方法について説明する。
【0181】
この場合、当該運用ポリシーOPE2がシステム2において遵守されていれば、復号鍵b’がPC2−3内に存在することはない。なお、以下では、運用ポリシーOPE2の有効度が「0.9」である場合を例に挙げて説明する。
【0182】
つまり、運用ポリシーOPE2に対する脅威発生のリスク評価指標R2を算出する場合、記憶パターンL1が起こる発生確率を、式11中のP1(L1)に代えてP2(L1)=0.9と変更すればよい。また、この場合、記憶パターンL2が起こる発生確率を、式11中のP1(L2)に代えてP2(L2)=0.1と変更すればよい。
【0183】
つまり、運用ポリシーOPE2に変更した後の脅威発生のリスク評価指標R2は、以下の式12に示すように変化する。
【0184】
【数12】
【0185】
なお、式12に示したR(L1)およびR(L2)それぞれの値としては、リスク分析部16が算出したリスク評価指標を用いればよい。これにより、運用ポリシーOPE1に加えて運用ポリシーOPE2を新たに定めたことにより記憶パターンL1、L2が起こる発生確率が変化した場合でも、それに伴って変化したリスク評価指標の値を算出することが可能である。
【0186】
つぎに、実施形態3の分析装置1Bがリスク評価指標を算出する動作について、図19に示すフローチャートを参照して説明する。
【0187】
まず、分析装置1Bの取得部11は、システム2内の各装置から当該装置の設定情報を取得する。そして、図19に示すステップ51にて、取得部11は、設定情報に基づいて、これらの装置間の通信接続関係と、各装置の設置場所とを示す構成情報121を生成し、構成データベース12へ書込む。
【0188】
続いて、記憶パターン特定部14は、機密情報に対して定められている運用ポリシーOPE1〜OPE3を参照する。そして、ステップ52にて、記憶パターン特定部14は、ポリシー情報131内の運用ポリシーに対応する機密情報の種類を特定して配置情報151へ書込む。
【0189】
また、ステップ53にて、記憶パターン特定部14は、ポリシー情報131内でこれらの機密情報と対応付けられている情報配置関係が示す装置、つまり、機密情報が配置される装置をそれぞれ特定する。
【0190】
さらに、記憶パターン特定部14は、構成情報121を用いて、機密情報が配置される装置に対して通信接続関係を有する装置すべてを特定する。これにより、ステップ54にて、記憶パターン特定部14は、構成情報121とポリシー情報131とに基づいて、ポリシー情報131内の運用ポリシーOPE1〜OPE3に従った場合にシステム2において起こり得る機密情報のすべての記憶パターンを特定する。
【0191】
そして、ステップ55にて、発生確率算出部141は、ポリシー情報131内の機密情報の情報存在確率に基づいて、配置情報151へ書込まれた記憶パターンがシステム2において起こる発生確率を算出する。
【0192】
続いて、ステップ56にて、対策状況決定部183は、セキュリティ対策情報182に基づいて、システム2内の各構成要素に実際に施されているセキュリティ対策とその有効度とを特定して到達確率算出部192へ出力する。
【0193】
続いて、ステップ57にて、発生条件決定部191は、ポリシー情報131に記述されている運用ポリシーに基づいて、システム2において想定される脅威発生条件を決定して到達確率算出部192へ出力する。
【0194】
すると、ステップ58にて、到達確率算出部192は、攻撃者から特定の機密情報までの経路上に存在するセキュリティ対策が施された構成要素を特定する。
【0195】
続いて、ステップ59にて、到達確率算出部192は、その構成要素が、特定の機密情報以外の他の機密情報への経路上にも存在するかどうかを判別する。
【0196】
この判別の結果、その構成要素が他の機密情報への経路上には存在しないと判別した場合、ステップ510にて、到達確率算出部192は、対策状況決定部183から出力されてきた有効度を、その構成要素の有効度として算出する。
【0197】
一方、ステップ511にて、その構成要素が他の機密情報への経路上にも存在すると判別した場合、到達確率算出部192は、その構成要素の有効度として「0」を算出する。
【0198】
ステップ512にて、攻撃者と機密情報との経路上に存在するすべての構成要素について有効度の算出が完了したと判別するまで、到達確率算出部192は、上述したステップ58〜ステップ511の処理を繰り返す。
【0199】
その後、到達確率算出部192は、機密情報への経路上に存在する構成要素それぞれの有効度に基づいて、当該構成要素までの装置到達確率を算出する。
【0200】
さらに、ステップ513にて、到達確率算出部192は、それぞれの構成要素の装置到達確率に対する論理演算(論理積AND、論理和OR)により、脅威発生条件を満たすために必要となるすべての機密情報に対する条件付きの情報到達確率を算出する。
【0201】
そして、ステップ514にて、リスク分析部16は、この情報到達確率と、配置情報151内の記憶パターンが起こる発生確率とを乗算することで、システム2の運用ポリシーに対して脅威が発生するリスク評価指標を算出する。なお、リスク分析部16は、情報到達確率と発生確率との乗算値に、さらに機密情報の資産的価値を乗算した値を、リスク評価指標として算出してもよい。
【0202】
以上で、実施形態3の分析装置1Bがリスク評価指標を算出するときの一連の動作が終了する。
【0203】
以上説明したように、実施形態3によれば、ある記憶パターンにおける一定のリスク評価指標とその記憶パターンが起こる確率との期待値を用いて、リスク評価指標を算出する。
【0204】
これにより、システム2の運用状況によって流動的に変化するセキュリティリスクを評価することが可能となる。
【0205】
また、実施形態3によれば、攻撃者が機密情報に到達するまでの攻撃経路を考慮して、脅威が発生する条件付きの到達確率を算出することで、独立事象でない従属的に発生する事象についてのリスク評価指標を適切に取り扱うことができる。
【0206】
なお、本発明の要旨を逸脱しない範囲で各種の変形が可能である。
【0207】
取得部11の機能は、システム2内の各装置の構成を検査するための一般的な検査・管理ツールを用いて実現するようにしてもよい。
【0208】
また、取得部11は、検査・管理ツールなどを用いて自動的に取得できない情報については、分析を行う利用者から当該情報の入力を受け付けるようにしてもよい。
【0209】
例えば、取得部11は、通信接続関係を示す設定情報を検査・管理ツールを用いて取得可能であり、装置配置関係を示す情報を検査・管理ツールを用いて取得できない場合、通信接続関係を示す設定情報を検査・管理ツールを用いて自動的に取得するとともに、装置配置関係を示す設定情報の入力を利用者から受付けるようにしてもよい。
【0210】
また、上述した実施形態では、想定する脅威として「情報が外部の攻撃者に読まれること(情報漏洩)」を例に挙げ、脅威発生条件として「外部の攻撃者が暗号化ファイルを復号できること」を例に挙げて説明した。しかしながら、本発明の分析装置1Bは、機密情報の改竄や機密情報に対するコンピュータウイルスの感染などに代表されるセキュリティに対する脅威となる任意の事象を取り扱うことが可能である。この場合、保護対象となる機密情報や脅威発生条件を状況に応じて変更すればよい。
【0211】
なお、本発明においては、分析装置1内の処理は上述の専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを分析装置1にて読取可能な記録媒体に記録し、この記録媒体に記録されたプログラムを分析装置1に読み込ませ、実行するものであってもよい。分析装置1にて読取可能な記録媒体とは、フロッピーディスク(登録商標)、光磁気ディスク、DVD、CDなどの移設可能な記録媒体の他、分析装置1に内蔵されたHDD等を指す。この記録媒体に記録されたプログラムは、例えば、分析装置1が有する記憶パターン特定部14、発生確率算出部141およびリスク分析部16にて読み込まれ、記憶パターン特定部14、発生確率算出部141およびリスク分析部16の制御によって、上述したものと同様の処理が行われる。
【0212】
ここで、分析装置1が有する記憶パターン特定部14、発生確率算出部141およびリスク分析部16は、プログラムが記録された記録媒体から読み込まれたプログラムを実行するコンピュータとして動作するものである。
【0213】
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明の要旨を逸脱しない範囲で当業者が理解し得る各種の変形が可能である。
【符号の説明】
【0214】
1、1A、1B 分析装置
11 取得部
12 構成データベース
13 ポリシーデータベース
14 記憶パターン特定部
141 発生確率算出部
15 配置データベース
16 リスク分析部
171 基準配置データベース
172 基準パターン情報
173 遷移配置データベース
174 遷移パターン情報
181 対策データベース
182 セキュリティ対策情報
183 対策状況決定部
191 発生条件決定部
192 到達確率算出部
2 システム
2−1、2−2 Webサーバ
2−3 PC
2−4 ファイアウォール
【技術分野】
【0001】
本発明は、分析装置、分析方法およびプログラムに関する。
【背景技術】
【0002】
近年、インターネット技術の発展に伴い、企業の内部情報や顧客の個人情報などに代表される機密情報の資産的価値が飛躍的に向上すると共に、機密情報の漏洩事故が多発している。これらの事故は、実に様々な要因によって引き起こされる。
【0003】
例えば、OS(Operating System)やソフトウェアの脆弱性を利用した外部からの攻撃やマルウェア(不正ソフトウェア)感染によるものや、ファイル共有ソフトなどを通じて重要なデータが流出することもある。特に多いのが、機密情報を記憶しているノートPC(Personal Computer)やUSB(Universal Serial Bus)メモリなどの外部記憶装置の盗難・紛失によって内部から機密情報が漏洩するケースである。
【0004】
このように、種々の要因が複雑に関与しあって引き起こされるセキュリティ事故の脅威から機密情報を守るためには、その機密情報が存在する情報システム全体において、どのような効果を発揮するセキュリティ対策が講じられていて、どの位のリスクが存在するかを的確に分析することで、そのシステムの状態を正しく把握する必要がある。
【0005】
この種の一般的な技術として、特許文献1では、分析対象となるシステムの設定状態を収集し、ネットワーク上のデータの流れ(受け渡し)を明らかにする技術が開示されている。この文献に記載されたシステムでは、あらかじめ定義した不正なデータの流れが発生するかどうかを、アクセス権の設定状態によって判別している。
【0006】
また、この種の他の一般的な技術として、特許文献2では、検査対象システムにおいて脆弱性が存在する機器同士の繋がりから、不正侵入されるおそれのあるルートを探索するセキュリティ管理システムが開示されている。同文献に記載された技術では、機器に存在する脆弱性によって検査対象システムのどこまで侵入できるかを「侵入深度」という量で測り、分析対象となるシステムの危険度を評価している。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2005−196728号公報
【特許文献2】特開2008−257577号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
上記のように、システムにおいては、導入されているセキュリティ対策の有効度に応じて、保護対象となる機密情報に対するリスクの大きさを適切に把握することが重要である。このような分析を漏れや重複がないように網羅的に行うためには、セキュリティ製品の機能だけではなく、どのような運用ポリシーや管理ルールが策定されているかについても考慮する必要がある。
【0009】
例えば、機密情報を有する機器に対して、ネットワークを経由した外部からの攻撃に対しては強固なセキュリティ対策が講じられていても、その機器自体が、誰でも出入り自由な場所に置かれていては、そこに保存された機密情報が外部に流出してしまうリスクは非常に高い。
【0010】
また、機密情報を守るためには単にセキュリティ効果の高い機器を導入するだけでなく、どのようなセキュリティポリシーに基づいてシステムの運用管理を行うかが非常に重要である。
【0011】
しかし、特許文献1に開示された技術においては、ネットワーク経由の攻撃に対する各システム構成機器の設定検証を行っているものの、セキュリティポリシーの策定などの運用管理的なセキュリティ対策の効果などについては考慮されていない。
【0012】
また、特許文献2に開示された技術においては、システムへの物理的な侵入経路に加え、運用管理的な脆弱性についても扱っているが、ごく一部の限定されたものだけである。
【0013】
また、この技術においては、脆弱性が存在するという単一の原因だけではなく、システムを構成する機器の設定状態や運用形態などの様々な条件が重なることで発生する脅威については取り扱うことができない。
【0014】
例えば、機密情報が強固なセキュリティ対策が施されたデータベース上に保管されているが、その機密情報を外部記憶媒体に保存して持ち出すことが許可されている、という状況について考察する。
【0015】
すなわち、機密情報は、データベース上、又は、外部記憶媒体上に保存されているという複数の状態が考えられ、そのどちらに存在するかによって、機密情報の漏洩リスクは変化する。また、このような場合、外部記憶媒体の紛失などによる情報漏洩事故に対する抑止として、機密情報を外部記憶媒体に保存して持ち出す際には、携行品管理システムに登録しておき上司の承認を得る、といった機密情報の取り扱いに関する運用ポリシーを定めることが多い。
【0016】
しかし、このような運用管理的なセキュリティ対策による効果は、ファイアウォールによるパケットフィルタリングなどと比べると、曖昧で不確実なものであり、ルール自体がきちんと守られていないこともある。特許文献2に開示された技術では、上記のような複雑な状況には対応することができない。
【0017】
また、侵入深度という量でセキュリティリスクを評価しているが、これは単に脆弱性を持つ機器同士の接続状態のみから、システムのどこまで侵入可能であるかを分析するもので、分析対象のシステムにおける状態変化などを考慮したリスクを適切に評価することはできない。
【0018】
本発明は、上述した課題を解決する分析装置、分析方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0019】
上記課題を解決するために、本発明の分析装置は、情報を記憶する複数の装置から構成されたシステムと接続された分析装置であって、前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定部と、前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析部とを有する。
【0020】
上記課題を解決するために、本発明の分析方法は、情報を記憶する複数の装置から構成されたシステムの分析方法であって、前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定処理と、前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析処理とを有する。
【0021】
また、コンピュータに実行させるプログラムであって、情報を記憶する複数の装置から構成されたシステムと接続された分析装置に、前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定手順と、前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析手順とを実行させる。
【発明の効果】
【0022】
本発明によれば、情報が漏洩するリスクを、包括的にかつ適切に評価することができる。
【図面の簡単な説明】
【0023】
【図1】本発明の実施形態1に従った分析装置と、分析対象となるシステムとの接続形態を示す図である。
【図2】分析対象のシステムにおける配置状態および通信接続状態の一例を示す図である。
【図3】実施形態1の分析装置の構成を示す図である。
【図4】構成情報のデータ構造の一例を示す図である。
【図5】ポリシー情報のデータ構造の一例を示す図である。
【図6】分析対象のシステムにおける機密情報の記憶パターンの第1の例を示す図である。
【図7】分析対象のシステムにおける機密情報の記憶パターンの第2の例を示す図である。
【図8】分析対象のシステムにおける機密情報の記憶パターンの第3の例を示す図である。
【図9】分析対象のシステムにおける機密情報の記憶パターンの第4の例を示す図である。
【図10】配置情報のデータ構造の一例を示す図である。
【図11】リスク情報のデータ構造の一例を示す図である。
【図12】実施形態1の分析装置がリスク評価指標を算出する動作を示すフローチャート図である。
【図13】実施形態2の分析装置の構成を示す図である。
【図14】基準パターン情報のデータ構造の一例を示す図である。
【図15】遷移パターン情報のデータ構造の一例を示す図である。
【図16】実施形態2の分析装置がリスク評価指標を算出する動作を示すフローチャート図である。
【図17】実施形態3の分析装置の構成を示す図である。
【図18】セキュリティ対策情報のデータ構造の一例を示す図である。
【図19】実施形態3の分析装置がリスク評価指標を算出する動作を示すフローチャート図である。
【発明を実施するための形態】
【0024】
(実施形態1)
以下、本発明の実施形態1に従った分析装置(分析方法およびプログラムを含む)について説明する。
【0025】
図1に示すように、実施形態1の分析装置1は、当該分析装置1によるセキュリティリスクの分析対象となるシステム2と接続されている。
【0026】
システム2は、複数の「装置」から構成される任意のシステムでよい。この装置の例としては、クライアントPC、ファイアウォール、侵入検知装置(IDS(Intrusion Detection System))、サーバ機器などが挙げられる。本実施形態では、システム2に設けられた「装置」が、Webサーバ2−1、2−2と、PC2−3と、ファイアウォール2−4とである場合を例に挙げて説明する。
【0027】
また、Webサーバ2−1、2−2、PC2−3、ファイアウォール2−4が、図2に破線でそれぞれ示す拠点やサーバ室などの任意の場所に物理的に配置されている場合を例に挙げて説明する。
【0028】
本発明の分析装置1は、漏洩防止からの保護対象となる任意の「情報」(例えば、データファイルなど)がこれらの装置に記憶されている記憶パターンや、第三者の出入りを防止する当該装置の設置場所に設けられたセキュリティゲートなどの物理的な侵入防止装置なども考慮して、機密情報が漏洩するリスクを分析することが可能である。
【0029】
また、分析装置1は、外部からシステム2内部への攻撃に対する情報の漏洩リスクと、システム2内部から外部への「情報」の漏洩リスクとのどちらも分析することが可能である。以下では、外部からの通信を介した攻撃に対する、機密情報(「情報」)の漏洩リスクを分析する場合を例に挙げて説明する。
【0030】
つぎに、図1に示した分析装置1の構成について、図3を参照して説明する。
【0031】
図3に示すように、分析装置1は、取得部11と、構成データベース12と、ポリシーデータベース13と、記憶パターン特定部14と、発生確率算出部141と、配置データベース15と、リスク分析部16とを有する。
【0032】
取得部11は、システム2内の各装置(Webサーバ2−1、2−2、PC2−3、ファイアウォール2−4)と通信を行うことにより当該装置それぞれに付随する「設定情報」を取得する。
【0033】
この設定情報は、各装置が接続されている他の装置を示す情報、その装置の設置場所を示す情報のことを指す。設定情報の具体例としては、システム2のネットワークトポロジーに関する情報、各装置の物理的な設置場所に関する情報などが挙げられる。
【0034】
そして、取得部11は、設定情報に基づいて、これらの装置間の「通信接続関係」と、各装置の設置場所である「装置配置関係」とを示す構成情報を生成する。
【0035】
ここで、「通信接続関係」とは、ファイアウォールやIDSなどのようにシステム2内で各装置間の通信接続を制御する通信制御装置と、各装置との接続関係のことを指す。
【0036】
また、「装置配置関係」とは、システム2が具備する各装置と、これらの装置の設置場所または当該設置場所に設けられたセキュリティゲートのような第三者の出入りを制御する装置との関係のことを指す。
【0037】
本実施形態では、図4に示すように、取得部11は、システム2の構成要素(設置場所や装置)と、この構成要素を固有に識別するための要素識別子と、この構成要素に付随する装置配置関係と、この構成要素に付随する通信接続関係とを対応付ける情報を、「構成情報121」として生成する。
【0038】
そして、取得部11は、生成した構成情報121を構成データベース12へ書込む。
【0039】
図2に示した例では、Webサーバ2−1、2−2やPC2−3は、ファイアウォール2−4と通信可能に接続された通信接続関係を有する。そのため、図4に示した構成情報121において、Webサーバ2−1、2−2、PC2−3のそれぞれは、ファイアウォール2−4と対応付けて記憶されている。
【0040】
また、図2に示した例では、PC2−3は、拠点のセキュリティゲートに設けられた装置配置関係を有する。そのため、構成情報121においては、PC2−3(要素識別子g6)と、拠点のセキュリティゲート(要素識別子g1)とが対応付けて記憶されている。
【0041】
ポリシーデータベース13は、ポリシー情報131を記憶している。
【0042】
図5に示すように、「ポリシー情報131」は、保護対象となる機密情報に対してシステム2で定められている「運用ポリシー」と、機密情報と、運用ポリシーにより機密情報が配置されることが許可されている構成要素を示す「情報配置関係」と、その運用ポリシーに従った場合に当該構成要素に当該機密情報が配置されている「情報存在確率」とを対応付ける情報である。なお、本実施形態では、ポリシー情報131が、あらかじめ設定された情報である場合を例に挙げて説明する。
【0043】
また、本実施形態では、PC2−3内の暗号化ファイルが不正に復号化されることを回避するためにシステム2における運用ポリシーとして、以下の運用ポリシーOPE1〜OPE4が定められている場合を例に挙げて説明する。
【0044】
運用ポリシーOPE1として、PC2−3は、PC2−3内の暗号化ファイルを復号化する場合、Webサーバ2−1を指定して復号鍵ダウンロード用のWebページにログインする。
【0045】
この運用ポリシーOPE1に従った場合、図6に示す記憶パターンL1のように、PC2−3が暗号化ファイルの復号処理を行う前における機密情報の記憶パターンL1では、Webサーバ2−1は、復号鍵およびインポートパスワードを記憶している。
【0046】
また、運用ポリシーOPE2として、PC2−1は、Webサーバ2−1上に保存されている復号鍵を当該PC2−1のローカルディスクにダウンロードする。
【0047】
この運用ポリシーOPE2に従った場合、図7に示すように、PC2−3が、暗号化ファイルの復号処理を行うために、Webサーバ2−1に記憶されている復号鍵をダウンロードすることにより、システム2における機密情報の記憶パターンは、図6に示した記憶パターンL1から記憶パターンL2へ遷移する。
【0048】
また、運用ポリシーOPE3として、復号鍵ダウンロード用のWebページに記載されているパスワードを入力し、ダウンロードした復号鍵を復号鍵の管理ツールへインポートする。
【0049】
この運用ポリシーOPE3に従った場合、図8に示すように、Webサーバ2−2が、Webサーバ2−1に記憶されているインポートパスワードをダウンロードすることにより、システム2における機密情報の記憶パターンは、図7に示した記憶パターンL2から記憶パターンL3へ遷移する。
【0050】
運用ポリシーOPE4として、PC2−3は、当該PC2−3が備えるローカルディスクに保存された暗号化ファイルの復号化を行う。
【0051】
その後、図9に示すように、PC2−3が、暗号化ファイルの復号化が終了して当該PC2−3から復号鍵を削除した場合、システム2における機密情報の記憶パターンは、図8に示した記憶パターンL3から記憶パターンL4へ遷移する。
【0052】
なお、運用ポリシーが示す各装置の機密情報に対する動作は、後述の実施形態3で例に挙げて説明する外部からの攻撃を行う手順と共通する。つまり、この説明例では、暗号化ファイルの復号化を行うために入手する必要のある機密情報が、攻撃者からの保護対象に相当する。
【0053】
なお、ポリシー情報131のデータ構造は、対応表、オントロジーなどの知識構造を含む任意のものでよい。また、ポリシー情報131は、特定の複数のパターンに対してあらかじめ記述しておき、分析装置1の利用者が随時編集することにより、あらかじめ記述されている運用ポリシー以外の運用ポリシーを追加することも可能である。
【0054】
記憶パターン特定部14は、構成情報121とポリシー情報131とに基づいて、ポリシー情報131内の運用ポリシーOPE1〜OPE3に従った場合にシステム2において起こり得る機密情報のすべての「記憶パターン」を決定する。
【0055】
本実施形態では、記憶パターン特定部14は、ポリシー情報131内の運用ポリシーに対応する機密情報の種類を特定する。図5の例では、記憶パターン特定部14は、運用ポリシーOPE1に対する機密情報として、暗号化ファイルと復号鍵とインポートパスワードとを特定し、図10に示す配置情報151へ書込む。
【0056】
また、記憶パターン特定部14は、ポリシー情報131内でこれらの機密情報と対応付けられている情報配置関係が示す装置をそれぞれ特定するとともに、この装置に対して通信接続関係を有する装置すべてを構成情報121を用いて特定する。
【0057】
上述した運用ポリシーOPE1の例では、記憶パターン特定部14は、機密情報と対応付けられた通信接続関係が示す要素識別子g4(Webサーバ2−1)、g6(PC2−3)を特定する。また、記憶パターン特定部14は、構成情報121に基づいて、g4およびg6はファイアウォール2−4を介してg5(Webサーバ2−2)と接続されていることを特定する。そして、記憶パターン特定部14は、これらの特定した情報を、配置データベース15内の配置情報151へ書込む。
【0058】
図10に示すように、配置情報151は、ポリシー情報131が示すシステム2に対して定められた各運用ポリシーOPE1、OPE2、OPE3の下で、機密情報がシステム2内の各装置に配置される「記憶パターンL1〜L4」と、その記憶パターンが起こる「発生確率」とを対応付ける情報である。
【0059】
なお、図10の例では、記憶パターンを、各機密情報(暗号化ファイル、復号鍵、インポートパスワード)のそれぞれに対する情報配置フラグで示している。
【0060】
情報配置フラグとは、機密情報が、当該情報配置フラグと対応付けられている要素識別子が付与された装置に配置(記憶)されているかどうかを示す情報である。本実施形態では、情報配置フラグは、その値が「0」である場合、機密情報が配置されていないことを示し、その値が「1」である場合、機密情報が配置されていることを示す。
【0061】
発生確率算出部141は、記憶パターン特定部14が特定した記憶パターンと、ポリシー情報131内の各装置に機密情報が配置されている情報存在確率とに基づいて、記憶パターン特定部14が特定した記憶パターンL1〜L4が起こる発生確率を算出する。
【0062】
例えば、発生確率算出部141は、ある記憶パターンにおいて、暗号化ファイルが配置されている情報存在確率と、復号鍵が配置されている情報存在確率と、インポートパスワードが配置されている情報存在確率とを乗算した値を、その記憶パターンの発生確率として算出する。
【0063】
そして、遷移確率算出部141は、算出した発生確率と、配置情報151に記憶されている機密情報に対する記憶パターンとを対応付けて当該配置情報151に書込む。
【0064】
リスク分析部16は、配置データベース15を参照し、システム2内の機密情報が漏洩するリスクの程度を示す「リスク評価指標」を算出する。
【0065】
なお、本実施形態では、リスク分析部16は、図11に示すリスク情報を記憶している。このリスク情報は、システム2内の各装置(この例では、Webサーバ2−1、2−2、PC2−3)と、当該装置に対してそれぞれ想定されるリスクの程度を数値で表したリスク想定値とを対応付けてあらかじめ設定された情報である。
【0066】
この例では、リスク分析部16は、配置データベース15内の配置情報151に記述されている発生確率を用いてリスク想定値に対する重み付けを行うことにより得られた数値を、各装置に対する「リスク評価指標」として算出する。
【0067】
例えば、図10に示したパターン識別子L1においてWebサーバ2−1(要素識別子g4)に復号鍵およびインポートパスワードが記憶される発生確率は「1」である。また、図11に示したリスク情報内のWebサーバ2−1のリスク想定値は「2」である。
【0068】
そのため、リスク分析部16は、発生確率「1」とリスク想定値「2」との乗算値を、パターン識別子L1におけるWebサーバ2−1のリスク評価指標として算出する。なお、リスク分析部16は、L1以外の他のパターン識別子L2〜L4におけるWebサーバ2−1のリスク評価指標も算出し、パターン識別子L1〜L4それぞれにおけるWebサーバ2−1のリスク評価指標の合計値を、Webサーバ2−1のリスク評価指標として算出する。
【0069】
なお、リスク分析部16は、各装置についてそれぞれ得られたリスク評価指標同士を比較し、それらの大小関係を特定して得られたランク付け結果を、分析装置1と接続された任意の出力装置(図示せず)へ出力してもよい。
【0070】
つぎに、実施形態1の分析装置1がリスク評価指標を算出する動作について、図12に示すフローチャートを参照して説明する。
【0071】
まず、取得部11は、システム2内の各装置から当該装置の構成情報を取得する。
【0072】
そして、図12に示すステップ31にて、取得部11は、設定情報に基づいて、これらの装置間の通信接続関係と、各装置の設置場所を示す装置配置関係とを示す構成情報121を生成し、構成データベース12へ書込む。
【0073】
続いて、記憶パターン特定部14は、システム2が有する機密情報に対して定められている運用ポリシーOPE1〜OPE3を参照する。そして、ステップ32にて、記憶パターン特定部14は、ポリシー情報131内の運用ポリシーに対応する機密情報の種類を特定して配置情報151へ書込む。
【0074】
また、ステップ33にて、記憶パターン特定部14は、ポリシー情報131内でこれらの機密情報と対応付けられている情報配置関係が示す装置、つまり、機密情報が配置される装置をそれぞれ特定する。
【0075】
さらに、記憶パターン特定部14は、機密情報が配置される装置に対して通信接続関係を有する装置すべてを構成情報121にて特定する。これにより、ステップ34にて、記憶パターン特定部14は、構成情報121とポリシー情報131とに基づいて、ポリシー情報131内の運用ポリシーOPE1〜OPE3に従った場合にシステム2において起こり得る機密情報のすべての「記憶パターン」を特定する。
【0076】
なお、本実施形態では、記憶パターン特定部14は、特定した記憶パターンを各装置に対する情報配置フラグで表した形式で求め、各情報配置フラグを配置データベース15内の配置情報151へ書込む。
【0077】
そして、ステップ35にて、発生確率算出部141は、ポリシー情報131内の機密情報の情報存在確率に基づいて、配置情報151へ書込まれた記憶パターンがシステム2において起こる発生確率を決定する。そして、発生確率算出部141は、決定した発生確率を、図10に示した配置情報151へ書込む。
【0078】
その後、ステップ36にて、リスク分析部16によって、ステップ34で特定した機密情報の記憶パターンそれぞれにおけるリスク評価指標を、その記憶パターンが起こる発生確率に基づいて算出する。
【0079】
以上で、実施形態1の分析装置1がリスク評価指標を算出する一連の動作が終了する。
【0080】
以上説明したように、本発明の実施形態1によれば、運用管理面により奏する機密情報の保護に対する効果を、機密情報のある記憶パターンから別の記憶パターンへの状態遷移によって表現することで、システム的なセキュリティ対策(ファイアウォールでのパケットフィルタリングなど)による効果と、運用管理的な対策の効果を同時に考慮したリスク分析を行うことが可能となる。
【0081】
すなわち、資産的価値の高い機密情報の取り扱いを定める運用ポリシーに基づいて、ある記憶パターンがどの位の確率で起こるかを決定することで、複雑な運用形態に対応して包括的にかつ適切にシステム2における機密情報の漏洩リスクを分析することができる。
(実施形態2)
つぎに、実施形態2の分析装置について説明する。
【0082】
まず、実施形態2の分析装置の構成について説明する。
【0083】
実施形態2の分析装置1Aは、図2に示したポリシーデータベース13に代えて、図13に示す基準配置データベース171と遷移配置データベース173とを有する点で、実施形態1の分析装置1と異なる。
【0084】
基準配置データベース171は、ある機密情報に対する全記憶パターンのうちからシステム2の基準状態としてあらかじめ定められた特定の記憶パターン(以下、「基準記憶パターン」という)を示す基準パターン情報172を記憶している。
【0085】
以下では、図5に示した記憶パターンL1を基準記憶パターンとして決定した場合を例に挙げて説明する。この場合、基準パターン情報172は、図14に示すデータ構造を有している。
【0086】
また、遷移配置データベース173は、遷移パターン情報174を記憶している。
【0087】
遷移パターン情報174とは、ある機密情報に対する基準記憶パターンから、その機密情報に対する残りの記憶パターン(以下、「遷移記憶パターン」という)それぞれへ遷移する遷移確率を示す情報である。
【0088】
本実施形態では、図15に示すように、遷移パターン情報174は、運用ポリシーを識別するための番号と、運用ポリシーと、その運用ポリシーに従ったときの機密情報に対する遷移記憶パターンと、その運用ポリシーに従ったときの機密情報に対する基準記憶パターンから遷移記憶パターンへ遷移する「遷移確率」とを対応付ける情報である。
【0089】
なお、本実施形態では、遷移確率を、以下の式1〜4に示すような遷移行列を用いて表す。
【0090】
【数1】
【0091】
【数2】
【0092】
【数3】
【0093】
【数4】
【0094】
上述した式1の右辺第1式において、1行目の成分T(1,0,0)→(1,0,0)およびT(1,0,0)→(1,1,0)は、PC2−3(要素識別子g6)が暗号化ファイルのみを記憶している図5に示した記憶パターンL1が、PC2−3が暗号化ファイルおよび復号鍵を記憶している図6に示した記憶パターンL2へ遷移するかどうかを示す成分である。なお、1行目の2つの成分T(1,0,0)→(1,0,0)とT(1,0,0)→(1,1,0)との和は「1」である。
【0095】
これらのうち1行1列成分T(1,0,0)→(1,0,0)は、PC2−3が暗号化ファイルのみを記憶している記憶パターンL1がそのまま維持されて記憶パターンL2へ遷移しない確率を示している。なお、式1は、記憶パターンL1から記憶パターンL2へ遷移しない確率が「0.5」としてあらかじめ設定されている例である。
【0096】
また、1行2列成分T(1,0,0)→(1,1,0)は、PC2−3が復号鍵をWebサーバ2−1からダウンロードすることにより、配置状態L1から配置状態L2へ遷移する確率を示している。なお、式1は、記憶パターンL1から記憶パターンL2へ遷移する確率が「0.5」としてあらかじめ設定されている例である。
【0097】
また、上述の式1の右辺第1式において、2行目の成分T(1,1,0)→(1,0,0)およびT(1,1,0)→(1,1,0)は、PC2−3が暗号化ファイルおよび復号鍵を記憶している記憶パターンL2が、PC2−3が暗号化ファイルのみを記憶している記憶パターンL1へ遷移するかどうかを示す成分である。
【0098】
これらのうち2行1列成分T(1,1,0)→(1,0,0)は、PC2−3が暗号化ファイルおよび復号鍵を記憶している記憶パターンL2から、暗号化ファイルのみを記憶している記憶パターンL1へ遷移する確率を示している。なお、式1は、ファイル復号後にPC2−3内から復号鍵が削除されて記憶パターンL2から記憶パターンL1へ遷移する確率が「0.2」としてあらかじめ設定されている例である。
【0099】
また、2行2列成分T(1,1,0)→(1,1,0)は、PC2−3が暗号化ファイルおよび復号鍵を記憶している記憶パターンL2がそのまま維持されて記憶パターンL1へ遷移しない確率を示している。式1は、ファイル復号後にPC2−3内から復号鍵が削除されて記憶パターンL2から記憶パターンL1へ遷移しない確率が「0.8」としてあらかじめ設定されている例である。
【0100】
本実施形態では、発生確率算出部141は、上述の式1〜式4に示した機密情報の記憶パターンが相互に遷移する「遷移確率」に基づいて、機密情報の記憶パターンの発生確率を算出する。
【0101】
具体的には、式1〜式4の条件の下で、以下の式5および式6に示すような線型一次方程式を解くための演算を行うことにより、発生確率算出部141は、システム2内でそれぞれの記憶パターンが起こる発生確率を決定する。
【0102】
【数5】
【0103】
【数6】
【0104】
つぎに、上記構成を有する実施形態2の分析装置1Aの動作について、図16に示すフローチャートを参照して説明する。
【0105】
まず、分析装置1Aの取得部11は、システム2内の各装置から当該装置の設定情報を取得する。
【0106】
そして、図16に示すステップ41にて、取得部11は、設定情報に基づいて、これらの装置間の通信接続関係と各装置の設置場所を示す装置配置関係とを示す構成情報121を生成して構成データベース12へ書込む。
【0107】
続いて、ステップ42にて、記憶パターン特定部14は、遷移パターン情報174に基づいて、機密情報に対して定められている運用ポリシーOPE1〜OPE3に対応する機密情報の種類を特定して配置情報151へ書込む。
【0108】
また、ステップ43にて、記憶パターン特定部14は、遷移パターン情報174内でこれらの機密情報と対応付けられている情報配置関係が示す装置、つまり、機密情報が配置される装置をそれぞれ特定する。
【0109】
さらに、記憶パターン特定部14は、構成情報121を用いて、機密情報が配置される装置に対して通信接続関係を有する装置すべてを特定する。これにより、ステップ44にて、記憶パターン特定部14は、構成情報121と遷移パターン情報174とに基づいて、遷移パターン情報174内の運用ポリシーOPE1〜OPE3に従った場合に基準遷移パターンからの遷移によって起こり得るすべての機密情報の記憶パターンを特定する。
【0110】
なお、本実施形態では、記憶パターン特定部14は、特定した記憶パターンを各装置に対する情報配置フラグで表した形式で求め、各情報配置フラグを配置データベース15内の配置情報151へ書込む。
【0111】
そして、ステップ45にて、発生確率算出部141は、遷移パターン情報174内の記憶パターンの遷移確率に基づいて、配置情報151へ書込まれた記憶パターンがシステム2において起こる発生確率を決定する。そして、発生確率算出部141は、決定した発生確率を、図10に示した配置情報151へ書込む。
【0112】
その後、ステップ46にて、リスク分析部16は、ステップ44で特定した機密情報の記憶パターンそれぞれにおけるリスク評価指標を、その記憶パターンが起こる発生確率に基づいて算出する。例えば、リスク分析部16は、この発生確率を用いて、図11に示したリスク情報内のリスク想定値に対して重み付けすることにより得られた数値を、各装置に対する「リスク評価指標」として算出する。
【0113】
以上で、実施形態2の分析装置1Aがリスク評価指標を算出する一連の動作が終了する。
【0114】
以上説明したように、実施形態2によれば、複数の記憶パターンの間で相互に遷移する遷移確率に基づいて、その記憶パターンの発生確率を決定し、リスク評価指標の値の変化を求める。
【0115】
これにより、システム2に対して定められている運用ポリシーに従った場合の記憶パターンの変化を、利用者がより直感的に理解しやすい形で示すことが可能となる。
(実施形態3)
つぎに、実施形態3の分析装置について説明する。
【0116】
実施形態3の分析装置1Bは、図17に示す発生条件決定部191、到達確率算出部192、対策データベース181、対策状況決定部183を備える点で、実施形態1の分析装置1と異なる。
【0117】
対策データベース181は、セキュリティ対策情報182を記憶している。
【0118】
図18に示すように、セキュリティ対策情報182は、システム2内において構成要素(設置場所や装置)に固有に付与された要素識別子と、当該構成要素に対して施されているセキュリティ対策の種類と、そのセキュリティ機能の「有効度」とを対応付ける情報である。
【0119】
ここで、「有効度」とは、ある構成要素(設置場所または装置)に施されたセキュリティ対策の強制力の程度を表す量、つまり、機密情報に対する不正なアクセスの防止に寄与する有利な効果の程度を示す評価指標のことを指す。
【0120】
例えば、ファイアウォールが有するパケットフィルタリング機能のように人手を介さずに機械的に実行されるセキュリティ対策は、一定して強い強制力を有する。これに対し、ノートPCの持出し制限のような人手による運用面のルールを定めることによるセキュリティ対策の強制力の強さにはばらつきがある。そのため、構成要素に施されたセキュリティ対策の種類に応じて、機密情報の漏洩に対するリスク評価指標は大きく変動すると考えられる。このような観点から、実施形態3では、リスク分析部16は、有効度を考慮してリスク評価指標を算出する。
【0121】
そのために、まず、対策状況決定部183は、構成情報121とセキュリティ対策情報182とに基づいて、システム2内の構成要素(設置場所または装置)に対して実際に施されているセキュリティ対策と、そのセキュリティ対策による有効度とを特定する。そして、対策状況決定部183は、特定したセキュリティ対策と有効度とを到達確率算出部192へ出力する。
【0122】
発生条件決定部191は、ポリシー情報131に記述されている運用ポリシーに基づいて、システム2において想定される脅威発生条件を決定して到達確率算出部192へ出力する。
【0123】
ここで、「脅威発生条件」とは、保護対象となる資産的価値を有する機密情報に対する攻撃手順のことを指す。
【0124】
具体的には、本実施形態における脅威発生条件は、システム2に対する脅威が発生する際に必要となる機密情報の種類と、システム2の外部から当該機密情報に到達するまでの経路上に設けられた装置とを示す。
【0125】
本実施形態では、発生条件決定部191は、ポリシー情報131内の運用ポリシーが示す各装置の機密情報に対する動作を、脅威発生条件として決定する。これは、例えば、攻撃者は、暗号化ファイルの復号化を行うためにポリシー情報131内に記述された機密情報を入手する必要があり、この入手時の手順は運用ポリシーが示す機密情報に対する動作と一致するためである。
【0126】
到達確率算出部192は、発生条件決定部191から出力されてきた脅威発生条件に基づいて、機密情報と、外部からその機密情報に到達する経路上の装置とを特定する。
【0127】
そして、到達確率算出部192は、脅威発生条件を満たすときの配置データベース15内の各記憶パターンにおいて各機密情報まで到達する「情報到達確率」を、論理演算(例えば、論理積ANDや論理和OR)を用いて算出する。そして、到達確率算出部192は、算出した情報到達確率をリスク分析部16へ出力する。
【0128】
本実施形態では、到達確率算出部192は、発生条件決定部191からの脅威発生条件に基づいて特定した装置について、対策状況決定部183から出力されてきた有効度の値を「1」から減算した値を、システム2の外部からその装置まで到達できる「装置到達確率」として算出する。
【0129】
ただし、脅威発生条件を満たすために複数の機密情報を攻撃者が入手する必要があり、それらのうちの第1の機密情報に対する攻撃者からの経路の一部または全部と、第1の機密情報と異なる第2の機密情報に対する経路とが共通している場合、これらの経路上の共通部分に設けられている構成要素(装置)のセキュリティ対策(アクセス制御)は、第1の機密情報に対する攻撃と第2の機密情報に対する攻撃とのどちらか一方の攻撃に対してのみ有効となる。
【0130】
この場合、到達確率算出部192は、第1の機密情報に対する経路と第2の機密情報に対する経路との共通部分に設けられた構成要素(装置)に対する装置到達確率の値として、「1」を算出する。
【0131】
換言すれば、特定の機密情報に対する情報到達確率は、攻撃者がどの構成要素まで到達したかという「条件」(事前状況)に応じて異なる。そのため、到達確率算出部192が算出する「情報到達確率」は、所定の条件を満たした上で機密情報に到達できる「条件付きの確率」に相当し、特定の機密情報に対する情報到達確率と、その機密情報以外の別の機密情報に対する情報到達確率とは、互いに独立した関係には立たず互いに従属的な関係にある。
【0132】
到達確率算出部192は、各記憶パターンにおける到達確率に基づいて、ある脅威発生条件を満たすために必要となる全機密情報までの条件付きの「情報到達確率」を算出する。
【0133】
なお、ここでいう情報到達確率は、システム2の外部から機密情報へ至る経路上に設けられた構成要素のセキュリティ対策を攻撃者が突破することにより当該機密情報に到達されてしまう確率である。そのため、当該到達確率は、システム2に対する脅威が発生する「脅威発生確率」に相当する。
【0134】
また、実施形態3のリスク分析部16は、到達確率算出部192が算出した情報到達確率と、その記憶パターンが発生する発生確率と、資産的価値との乗算値を、リスク評価指標として算出する。なお、機密情報のそれぞれが有する資産的価値の決定方法は任意でよい。
【0135】
つまり、実施形態3においては、「リスク評価指標」は、「ある記憶パターンにおける情報到達確率」×「その記憶パターンが起こる発生確率」×「資産的価値」で表される。
【0136】
以下、実施形態3において、分析装置1Bがリスク評価指標を算出する具体例について詳細に説明する。
【0137】
なお、以下では、図5に示した運用ポリシーOPE1、つまり、PC2−3が復号鍵をインポートする場合にパスワード認証を行うことが定められている場合を例に挙げて説明する。また、以下では、暗号化ファイルをa、Webサーバ2−1上にある復号鍵をb、PC2−3内にある復号鍵をb’、インポートパスワードをcと表記する。
【0138】
この場合、記憶パターン特定部14は、ポリシー情報131に基づいて、保護対象が暗号化ファイルと復号鍵とインポートパスワードとであることを特定する。そして、記憶パターン特定部14は、構成情報121に基づいて、機密情報が配置される記憶パターンとして記憶パターンL1およびL2を特定する。そして、記憶パターン特定部14は、特定した記憶パターンを配置データベース15内の配置情報151へ書込む。
【0139】
また、発生確率算出部141は、配置情報151内の記憶パターンとポリシー情報131内の情報存在確率とに基づいて、記憶パターンL1の発生確率として発生確率P1(L1)=0.2を算出し、記憶パターンL2の発生確率として発生確率P1(L2)=0.8を算出する。そして、発生確率算出部141は、発生確率を配置データベース15へ書込む。これは、運用ポリシーOPE1においては、PC2−3が暗号化ファイルaの復号化を終了した後の復号鍵b’の取り扱いについては定められていないため、復号鍵b’の記憶パターンとしては、記憶パターンL2が起こる発生確率が高いことを意味する。
【0140】
その後、対策状況決定部183は、セキュリティ対策情報182に記述されているセキュリティ対策のうちから、システム2内の構成要素(設置場所または装置)に実際に施されているセキュリティ対策と、そのセキュリティ対策の有効度とを特定する。
【0141】
例えば、対策状況決定部183は、図18に示したセキュリティ対策情報182のうちから、セキュリティ対策の種類として、ファイアウォール2−4で外部からの受信パケットを制限する対策と、Webサーバ2−1へのログイン時にパスワード認証を行う対策と、PC2−3へのログオンパスワード(文字数制限なし)を設定する対策とを特定する。
【0142】
さらに、対策状況決定部183は、これらのセキュリティ対策のそれぞれと対応付けられた有効度を特定して到達確率算出部192へ出力する。なお、図18の例では、ファイアウォール2−4による受信パケット制限の有効度は「0.9」であり、Webサーバ2−1によるログイン時のパスワード認証の有効度は「0.85」であり、PC2−3によるログオンパスワード(文字数制限なし)設定の有効度は「0.7」である。
【0143】
次に、発生条件決定部191は、ポリシー情報131に記述されている運用ポリシーに基づいて、システム2において想定される脅威発生条件を決定して到達確率算出部192へ出力する。
【0144】
この説明例では、攻撃者が、暗号化ファイルa、復号鍵b、インポートパスワードを同時に入手できた場合に限り、PC2−3内に存在する暗号化ファイルが不正に復号されてしまうという脅威が発生すると考えられる。そのため、発生条件決定部191は、PC2−3内の暗号化ファイルaへ到達できることと、PC2−3内の復号鍵b’またはWebサーバ2−1内の復号鍵bへ到達できることと、Webサーバ2−1内のインポートパスワードcへ到達できることとを、脅威発生条件として決定する。
【0145】
なお、記憶パターンL2に対する脅威発生条件は、以下の式7で表すことができる。なお、式7における記号「∧」は論理積を表し、記号「∨」は論理和を表す。
【0146】
【数7】
【0147】
また、記憶パターンL1に対する脅威発生条件は、以下の式8で表わすことができる。
【0148】
【数8】
【0149】
また、脅威発生条件は、機密情報に対する攻撃手順を示す役割を果たす。つまり、記憶パターンL1の例では、攻撃者は、まず暗号化ファイルaを入手してから、つぎに復号鍵bを入手し、その後にインポートパスワードcを入手するという手順で脅威を発生させることに相当する。また、記憶パターンL2の例では、攻撃者は、まず暗号化ファイルaを入手してから、つぎに復号鍵b’を入手し、その後にインポートパスワードcを入手するという手順で脅威を発生させることに相当する。
【0150】
次に、到達確率算出部192は、記憶パターンL1において攻撃者が各機密情報まで到達できる情報到達確率と、記憶パターンL2において攻撃者が各機密情報まで到達できる情報到達確率とを求める。
【0151】
なお、本実施形態では、機密情報への経路上に存在する構成要素が当該機密情報以外の機密情報へ到達するときにすでに通過したものである場合、その構成要素の有効度は「0」(すなわち、装置到達確率は1)として、当該機密情報への情報到達確率を算出する。
【0152】
これは、ある構成要素(例えば、ファイアウォール2−4)の下位にそれぞれ並列して存在する複数の装置への装置到達確率については、一度、上位の構成要素(ファイアウォール2−4)に施されたアクセス制御を突破してシステム2の内部に侵入できれば、それ以後、その構成要素の下位の装置まで到達できてしまうためである。
【0153】
そのため、本実施形態では、脅威発生条件として、各機密情報への攻撃が行われる順序や手順も考慮した上で、リスク評価指標を算出する。このように複数の機密情報までの情報到達確率を算出することで、攻撃発生の手順まで含めてモデル化することが可能である。
【0154】
その後、到達確率算出部192は、システム2の外部からシステム2内の装置それぞれに到達する装置到達確率に基づいて、条件付きの情報到達確率を算出する。
【0155】
まず、外部の攻撃者からPC2−3内の暗号化ファイルaまでの経路上に存在するセキュリティ対策(アクセス制御)が施された構成要素(装置)は、ファイアウォール2−4、PC2−3である。
【0156】
対策状況決定部183は、ファイアウォール2−4におけるセキュリティ対策の有効度は「0.9」であり、PC2−3におけるセキュリティ対策の有効度は「0.7」である。
【0157】
そのため、到達確率算出部192は、「1」から各有効度を減算した値を、装置到達確率として算出する。つまり、到達確率算出部192は、ファイアウォール2−4に対する装置到達確率として「0.1」(=1−0.9)を算出し、PC2−3に対する装置到達確率として「0.3」(=1−0.7)を算出する。
【0158】
そして、到達確率算出部192は、外部から暗号化ファイルaまでの情報到達確率として、「0.1×0.3」を算出する。
【0159】
つぎに、到達確率算出部192は、外部から復号鍵b’までの情報到達確率を算出する。なお、外部から復号鍵b’までの経路上に存在する構成要素は、ファイアウォール2−4およびPC2−3である。
【0160】
ここで、セキュリティ対策情報182が示す有効度を「1」から減算した場合、ファイアウォール2−4に対する到達確率は「0.1」であり、PC2−3に対する到達確率は「0.3」である。
【0161】
しかし、上述した暗号化ファイルaまでの情報到達確率を算出する際、すでにこれらの装置に対する装置到達確率の値「0.1」、「0.3」を用いている。そのため、到達確率算出部192は、復号鍵b’までの情報到達確率を算出する場合、両構成要素(ファイアウォール2−4およびPC2−3)までの各装置到達確率として、「1」をそれぞれ算出する。
【0162】
これは、外部から暗号化ファイルaまで到達する際、ファイアウォール2−4、PC2−3それぞれのアクセス制御はすでに突破されているという観点からである。すなわち、外部の攻撃者がPC2−3内の暗号化ファイルaへ到達可能である場合、その攻撃者は同じ構成要素(PC2−3)に存在する機密情報(復号鍵b’)へ到達することが可能であり、暗号化ファイルaへの経路と復号鍵b’への経路との共通部分にあるアクセス制御機能は意味をなさないためである。
【0163】
よって、外部から暗号化ファイルaまですでに到達されているという状況下では、外部から復号鍵b’までの到達確率は、ファイアウォール2−4までの装置到達確率「1」とPC2−3までの装置到達確率「1」との乗算値「1×1」となる。
【0164】
つぎに、到達確率算出部192は、外部からWebサーバ2−1上の復号鍵bまでの情報到達確率を算出する。なお、外部から復号鍵bまでの経路上に存在する構成要素(装置)は、ファイアウォール2−4およびWebサーバ2−1である。
【0165】
ここで、セキュリティ対策情報182が示す有効度を「1」から減算した場合、ファイアウォール2−4に対する装置到達確率は「0.1」である。しかし、上述した暗号化ファイルaまたは復号鍵b’までの情報到達確率を算出する際、ファイアウォール2−4に対する装置到達確率「0.1」をすでに用いている。そのため、到達確率算出部192は、復号鍵bまでの情報到達確率を算出する場合、ファイアウォール2−4までの装置到達確率として「1」を算出する。
【0166】
また、対策状況決定部183は、Webサーバ2−1におけるセキュリティ対策の有効度は「0.85」として決定する。そのため、到達確率算出部192は、「1」から当該有効度「0.85」を減算した値「0.15」を、Webサーバ2−1に対する装置到達確率として算出する。
【0167】
そして、到達確率算出部192は、外部から復号鍵bまでの情報到達確率として、「1×0.15」を算出する。
【0168】
さらに、到達確率算出部192は、外部からインポートパスワードcまでの情報到達確率を算出する。
【0169】
なお、外部からインポートパスワードcまでの経路上に存在する構成要素は、ファイアウォール2−4およびWebサーバ2−1である。インポートパスワードcへの経路における構成要素は、Webサーバ2−1上の復号鍵bへの経路における構成要素と同じである。そのため、bまで到達された場合、インポートパスワードcに対する到達確率を算出するときの各構成要素への装置到達確率として、それぞれ「1」を用いる必要がある。よって、外部から復号鍵bまではすでに到達されているという状況下においては、到達確率算出部192は、外部からインポートパスワードcまでの情報到達確率を「1×1」に算出する。
【0170】
一方、復号鍵を入手するために、Webサーバ2−1内の復号鍵bではなく、PC2−3内の復号鍵b’を入手するという攻撃経路が利用された場合、すでに突破された構成要素はファイアウォール2−4のみであり、Webサーバ2−1におけるアクセス制御は有効なままである。
【0171】
この場合、到達確率算出部192は、ファイアウォール2−4への装置到達確率として「1」を算出するとともに、ファイアウォール2−4からWebサーバ2−1への装置到達確率として、セキュリティ対策情報182内の有効度「0.85」を「1」から減算した値「0.15」を算出する。
【0172】
これは、インポートパスワードcまでの到達確率は、復号鍵に対する到達経路として、ファイアウォール2−4からPC2−3へ到達した場合、またはファイアウォール2−4からWebサーバ2−1へ到達した場合に応じて変化するため、両方の場合を考慮する必要があるからである。よって、外部からPC2−3まではすでに到達されているが、Webサーバ2−1までは到達されていないという状況下においては、到達確率算出部192は、外部からインポートパスワードcまでの情報到達確率として「1×0.15」を算出する。
【0173】
以上をまとめると、この説明例では、到達確率算出部192は、それぞれの機密情報までの条件付きの情報到達確率として、以下の式9に示す値を算出する。
【0174】
【数9】
【0175】
なお、式9のなかのP(b’|a)は、暗号化ファイルaまで到達されているという条件の下で復号鍵b’まで到達できるという条件付きの情報到達確率を表す。
【0176】
続いて、リスク分析部16は、記憶パターンL1、L2において脅威発生条件が満たされる確率(リスク評価指標)を、到達確率算出部192が算出した到達確率に対する論理演算(論理積AND、論理和OR)により算出する。本実施例では、それぞれの記憶パターンL1、L2における各リスク評価指標R(L1)、R(L2)は、以下の式10に示す値となる。
【0177】
【数10】
【0178】
以上より、運用ポリシーOPE1に対して脅威が発生するリスク評価指標R1は、以下の式11に示す値となる。
【0179】
【数11】
【0180】
つぎに、上述した運用ポリシーOPE1に加えて、「復号鍵をインポートした場合、その復号鍵を直ちに削除する」という運用ポリシーOPE2が定められている場合のリスク評価指標の算出方法について説明する。
【0181】
この場合、当該運用ポリシーOPE2がシステム2において遵守されていれば、復号鍵b’がPC2−3内に存在することはない。なお、以下では、運用ポリシーOPE2の有効度が「0.9」である場合を例に挙げて説明する。
【0182】
つまり、運用ポリシーOPE2に対する脅威発生のリスク評価指標R2を算出する場合、記憶パターンL1が起こる発生確率を、式11中のP1(L1)に代えてP2(L1)=0.9と変更すればよい。また、この場合、記憶パターンL2が起こる発生確率を、式11中のP1(L2)に代えてP2(L2)=0.1と変更すればよい。
【0183】
つまり、運用ポリシーOPE2に変更した後の脅威発生のリスク評価指標R2は、以下の式12に示すように変化する。
【0184】
【数12】
【0185】
なお、式12に示したR(L1)およびR(L2)それぞれの値としては、リスク分析部16が算出したリスク評価指標を用いればよい。これにより、運用ポリシーOPE1に加えて運用ポリシーOPE2を新たに定めたことにより記憶パターンL1、L2が起こる発生確率が変化した場合でも、それに伴って変化したリスク評価指標の値を算出することが可能である。
【0186】
つぎに、実施形態3の分析装置1Bがリスク評価指標を算出する動作について、図19に示すフローチャートを参照して説明する。
【0187】
まず、分析装置1Bの取得部11は、システム2内の各装置から当該装置の設定情報を取得する。そして、図19に示すステップ51にて、取得部11は、設定情報に基づいて、これらの装置間の通信接続関係と、各装置の設置場所とを示す構成情報121を生成し、構成データベース12へ書込む。
【0188】
続いて、記憶パターン特定部14は、機密情報に対して定められている運用ポリシーOPE1〜OPE3を参照する。そして、ステップ52にて、記憶パターン特定部14は、ポリシー情報131内の運用ポリシーに対応する機密情報の種類を特定して配置情報151へ書込む。
【0189】
また、ステップ53にて、記憶パターン特定部14は、ポリシー情報131内でこれらの機密情報と対応付けられている情報配置関係が示す装置、つまり、機密情報が配置される装置をそれぞれ特定する。
【0190】
さらに、記憶パターン特定部14は、構成情報121を用いて、機密情報が配置される装置に対して通信接続関係を有する装置すべてを特定する。これにより、ステップ54にて、記憶パターン特定部14は、構成情報121とポリシー情報131とに基づいて、ポリシー情報131内の運用ポリシーOPE1〜OPE3に従った場合にシステム2において起こり得る機密情報のすべての記憶パターンを特定する。
【0191】
そして、ステップ55にて、発生確率算出部141は、ポリシー情報131内の機密情報の情報存在確率に基づいて、配置情報151へ書込まれた記憶パターンがシステム2において起こる発生確率を算出する。
【0192】
続いて、ステップ56にて、対策状況決定部183は、セキュリティ対策情報182に基づいて、システム2内の各構成要素に実際に施されているセキュリティ対策とその有効度とを特定して到達確率算出部192へ出力する。
【0193】
続いて、ステップ57にて、発生条件決定部191は、ポリシー情報131に記述されている運用ポリシーに基づいて、システム2において想定される脅威発生条件を決定して到達確率算出部192へ出力する。
【0194】
すると、ステップ58にて、到達確率算出部192は、攻撃者から特定の機密情報までの経路上に存在するセキュリティ対策が施された構成要素を特定する。
【0195】
続いて、ステップ59にて、到達確率算出部192は、その構成要素が、特定の機密情報以外の他の機密情報への経路上にも存在するかどうかを判別する。
【0196】
この判別の結果、その構成要素が他の機密情報への経路上には存在しないと判別した場合、ステップ510にて、到達確率算出部192は、対策状況決定部183から出力されてきた有効度を、その構成要素の有効度として算出する。
【0197】
一方、ステップ511にて、その構成要素が他の機密情報への経路上にも存在すると判別した場合、到達確率算出部192は、その構成要素の有効度として「0」を算出する。
【0198】
ステップ512にて、攻撃者と機密情報との経路上に存在するすべての構成要素について有効度の算出が完了したと判別するまで、到達確率算出部192は、上述したステップ58〜ステップ511の処理を繰り返す。
【0199】
その後、到達確率算出部192は、機密情報への経路上に存在する構成要素それぞれの有効度に基づいて、当該構成要素までの装置到達確率を算出する。
【0200】
さらに、ステップ513にて、到達確率算出部192は、それぞれの構成要素の装置到達確率に対する論理演算(論理積AND、論理和OR)により、脅威発生条件を満たすために必要となるすべての機密情報に対する条件付きの情報到達確率を算出する。
【0201】
そして、ステップ514にて、リスク分析部16は、この情報到達確率と、配置情報151内の記憶パターンが起こる発生確率とを乗算することで、システム2の運用ポリシーに対して脅威が発生するリスク評価指標を算出する。なお、リスク分析部16は、情報到達確率と発生確率との乗算値に、さらに機密情報の資産的価値を乗算した値を、リスク評価指標として算出してもよい。
【0202】
以上で、実施形態3の分析装置1Bがリスク評価指標を算出するときの一連の動作が終了する。
【0203】
以上説明したように、実施形態3によれば、ある記憶パターンにおける一定のリスク評価指標とその記憶パターンが起こる確率との期待値を用いて、リスク評価指標を算出する。
【0204】
これにより、システム2の運用状況によって流動的に変化するセキュリティリスクを評価することが可能となる。
【0205】
また、実施形態3によれば、攻撃者が機密情報に到達するまでの攻撃経路を考慮して、脅威が発生する条件付きの到達確率を算出することで、独立事象でない従属的に発生する事象についてのリスク評価指標を適切に取り扱うことができる。
【0206】
なお、本発明の要旨を逸脱しない範囲で各種の変形が可能である。
【0207】
取得部11の機能は、システム2内の各装置の構成を検査するための一般的な検査・管理ツールを用いて実現するようにしてもよい。
【0208】
また、取得部11は、検査・管理ツールなどを用いて自動的に取得できない情報については、分析を行う利用者から当該情報の入力を受け付けるようにしてもよい。
【0209】
例えば、取得部11は、通信接続関係を示す設定情報を検査・管理ツールを用いて取得可能であり、装置配置関係を示す情報を検査・管理ツールを用いて取得できない場合、通信接続関係を示す設定情報を検査・管理ツールを用いて自動的に取得するとともに、装置配置関係を示す設定情報の入力を利用者から受付けるようにしてもよい。
【0210】
また、上述した実施形態では、想定する脅威として「情報が外部の攻撃者に読まれること(情報漏洩)」を例に挙げ、脅威発生条件として「外部の攻撃者が暗号化ファイルを復号できること」を例に挙げて説明した。しかしながら、本発明の分析装置1Bは、機密情報の改竄や機密情報に対するコンピュータウイルスの感染などに代表されるセキュリティに対する脅威となる任意の事象を取り扱うことが可能である。この場合、保護対象となる機密情報や脅威発生条件を状況に応じて変更すればよい。
【0211】
なお、本発明においては、分析装置1内の処理は上述の専用のハードウェアにより実現されるもの以外に、その機能を実現するためのプログラムを分析装置1にて読取可能な記録媒体に記録し、この記録媒体に記録されたプログラムを分析装置1に読み込ませ、実行するものであってもよい。分析装置1にて読取可能な記録媒体とは、フロッピーディスク(登録商標)、光磁気ディスク、DVD、CDなどの移設可能な記録媒体の他、分析装置1に内蔵されたHDD等を指す。この記録媒体に記録されたプログラムは、例えば、分析装置1が有する記憶パターン特定部14、発生確率算出部141およびリスク分析部16にて読み込まれ、記憶パターン特定部14、発生確率算出部141およびリスク分析部16の制御によって、上述したものと同様の処理が行われる。
【0212】
ここで、分析装置1が有する記憶パターン特定部14、発生確率算出部141およびリスク分析部16は、プログラムが記録された記録媒体から読み込まれたプログラムを実行するコンピュータとして動作するものである。
【0213】
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明の要旨を逸脱しない範囲で当業者が理解し得る各種の変形が可能である。
【符号の説明】
【0214】
1、1A、1B 分析装置
11 取得部
12 構成データベース
13 ポリシーデータベース
14 記憶パターン特定部
141 発生確率算出部
15 配置データベース
16 リスク分析部
171 基準配置データベース
172 基準パターン情報
173 遷移配置データベース
174 遷移パターン情報
181 対策データベース
182 セキュリティ対策情報
183 対策状況決定部
191 発生条件決定部
192 到達確率算出部
2 システム
2−1、2−2 Webサーバ
2−3 PC
2−4 ファイアウォール
【特許請求の範囲】
【請求項1】
情報を記憶する複数の装置から構成されたシステムと接続された分析装置であって、
前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定部と、
前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析部とを有する分析装置。
【請求項2】
請求項1に記載の分析装置において、
前記記憶パターン特定部が特定したすべての記憶パターンのうちから基準記憶パターンとして定められた記憶パターンと、前記運用ポリシーに従った場合に前記基準記憶パターンから遷移可能な前記情報の遷移記憶パターンと、該基準記憶パターンと該遷移記憶パターンとの間で相互に遷移する遷移確率とに基づいて、前記記憶パターンが起こる発生確率を算出する発生確率算出部を有し、
前記リスク分析部は、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析装置。
【請求項3】
請求項1に記載の分析装置において、
前記記憶パターン特定部が特定した記憶パターンと、該記憶パターンにおいて前記情報が前記装置に存在する情報存在確率とに基づいて、該記憶パターンが起こる発生確率を算出する発生確率算出部を有し、
前記リスク分析部は、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析装置。
【請求項4】
請求項3に記載の分析装置において、
前記システム外から前記情報までの経路上に設けられた前記装置に施されているセキュリティ対策の該情報の漏洩に対する効果の程度を示す有効度を特定する対策状況決定部と、
前記有効度に基づいて前記記憶パターン特定部が特定した記憶パターンにおける前記システム外から前記装置に到達する装置到達確率を算出し、該装置到達確率に基づいて該記憶パターンにおける前記システム外から前記情報まで到達する情報到達確率を算出する到達確率算出部とをさらに有し、
前記リスク分析部は、前記情報に対するすべての記憶パターンと、該記憶パターンそれぞれの発生確率と、該記憶パターンにおける情報到達確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析装置。
【請求項5】
請求項4に記載の分析装置において、
前記運用ポリシーに基づいて、前記情報に対する脅威が発生する条件である脅威発生条件を特定する発生条件決定部をさらに有し、
前記到達確率算出部は、前記脅威発生条件を満たすために必要となる前記情報を特定し、前記システム外から該特定した情報までの経路上に設けられた前記装置に対する有効度に基づいて、該装置の装置到達確率を算出することを特徴とする分析装置。
【請求項6】
請求項1乃至5のいずれか1項に記載の分析装置において、
前記複数の装置のそれぞれから該装置が接続されている装置と該装置の設置場所とを示す設定情報を取得し、該設定情報に基づいて前記構成情報を生成する取得部を有することを特徴とする分析装置。
【請求項7】
情報を記憶する複数の装置から構成されたシステムの分析方法であって、
前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定処理と、
前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析処理とを有する分析方法。
【請求項8】
請求項7に記載の分析方法において、
前記記憶パターン特定処理にて特定したすべての記憶パターンのうちから基準記憶パターンとして定められた記憶パターンと、前記運用ポリシーに従った場合に前記基準記憶パターンから遷移可能な前記情報の遷移記憶パターンと、該基準記憶パターンと該遷移記憶パターンとの間で相互に遷移する遷移確率とに基づいて、前記記憶パターンが起こる発生確率を算出する発生確率算出処理を有し、
前記リスク分析処理では、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析方法。
【請求項9】
請求項7に記載の分析方法において、
前記記憶パターン特定処理にて特定した記憶パターンと、該記憶パターンにおいて前記情報が前記装置に存在する情報存在確率とに基づいて、該記憶パターンが起こる発生確率を算出する発生確率算出処理を有し、
前記リスク分析処理では、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析方法。
【請求項10】
請求項9に記載の分析方法において、
前記システム外から前記情報までの経路上に設けられた前記装置に施されているセキュリティ対策の該情報の漏洩に対する効果の程度を示す有効度を特定する対策状況決定処理と、
前記有効度に基づいて前記記憶パターン特定処理にて特定した記憶パターンにおける前記システム外から前記装置に到達する装置到達確率を算出し、該装置到達確率に基づいて該記憶パターンにおける前記システム外から前記情報まで到達する情報到達確率を算出する到達確率算出処理とをさらに有し、
前記リスク分析処理では、前記情報に対するすべての記憶パターンと、該記憶パターンそれぞれの発生確率と、該記憶パターンにおける情報到達確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析方法。
【請求項11】
請求項10に記載の分析方法において、
前記運用ポリシーに基づいて、前記情報に対する脅威が発生する条件である脅威発生条件を特定する発生条件決定処理をさらに有し、
前記到達確率算出処理では、前記脅威発生条件を満たすために必要となる前記情報を特定し、前記システム外から該特定した情報までの経路上に設けられた前記装置に対する有効度に基づいて、該装置の装置到達確率を算出することを特徴とする分析方法。
【請求項12】
請求項7乃至11のいずれか1項に記載の分析方法において、
前記複数の装置のそれぞれから該装置が接続されている装置と該装置の設置場所とを示す設定情報を取得し、該設定情報に基づいて前記構成情報を生成する取得処理を有することを特徴とする分析方法。
【請求項13】
情報を記憶する複数の装置から構成されたシステムと接続された分析装置に、
前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定手順と、
前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析手順とを実行させるためのプログラム。
【請求項14】
請求項13に記載のプログラムにおいて、
前記記憶パターン特定手順にて特定したすべての記憶パターンのうちから基準記憶パターンとして定められた記憶パターンと、前記運用ポリシーに従った場合に前記基準記憶パターンから遷移可能な前記情報の遷移記憶パターンと、該基準記憶パターンと該遷移記憶パターンとの間で相互に遷移する遷移確率とに基づいて、前記記憶パターンが起こる発生確率を算出する発生確率算出手順を前記分析装置に実行させ、
前記リスク分析手順では、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とするプログラム。
【請求項15】
請求項13に記載のプログラムにおいて、
前記記憶パターン特定手順にて特定した記憶パターンと、該記憶パターンにおいて前記情報が前記装置に存在する情報存在確率とに基づいて、該記憶パターンが起こる発生確率を算出する発生確率算出手順を前記分析装置に実行させ、
前記リスク分析手順では、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とするプログラム。
【請求項16】
請求項15に記載のプログラムにおいて、
前記システム外から前記情報までの経路上に設けられた前記装置に施されているセキュリティ対策の該情報の漏洩に対する効果の程度を示す有効度を特定する対策状況決定手順と、
前記有効度に基づいて前記記憶パターン特定手順にて特定した記憶パターンにおける前記システム外から前記装置に到達する装置到達確率を算出し、該装置到達確率に基づいて該記憶パターンにおける前記システム外から前記情報まで到達する情報到達確率を算出する到達確率算出手順とを前記分析装置にさらに実行させ、
前記リスク分析手順では、前記情報に対するすべての記憶パターンと、該記憶パターンそれぞれの発生確率と、該記憶パターンにおける情報到達確率とに基づいて、前記リスク評価指標を算出することを特徴とするプログラム。
【請求項17】
請求項16に記載のプログラムにおいて、
前記運用ポリシーに基づいて、前記情報に対する脅威が発生する条件である脅威発生条件を特定する発生条件決定手順を前記分析装置にさらに実行させ、
前記到達確率算出手順では、前記脅威発生条件を満たすために必要となる前記情報を特定し、前記システム外から該特定した情報までの経路上に設けられた前記装置に対する有効度に基づいて、該装置の装置到達確率を算出することを特徴とするプログラム。
【請求項18】
請求項13乃至17のいずれか1項に記載のプログラムにおいて、
前記複数の装置のそれぞれから該装置が接続されている装置と該装置の設置場所とを示す設定情報を取得し、該設定情報に基づいて前記構成情報を生成する取得手順を前記分析装置に実行させることを特徴とするプログラム。
【請求項1】
情報を記憶する複数の装置から構成されたシステムと接続された分析装置であって、
前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定部と、
前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析部とを有する分析装置。
【請求項2】
請求項1に記載の分析装置において、
前記記憶パターン特定部が特定したすべての記憶パターンのうちから基準記憶パターンとして定められた記憶パターンと、前記運用ポリシーに従った場合に前記基準記憶パターンから遷移可能な前記情報の遷移記憶パターンと、該基準記憶パターンと該遷移記憶パターンとの間で相互に遷移する遷移確率とに基づいて、前記記憶パターンが起こる発生確率を算出する発生確率算出部を有し、
前記リスク分析部は、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析装置。
【請求項3】
請求項1に記載の分析装置において、
前記記憶パターン特定部が特定した記憶パターンと、該記憶パターンにおいて前記情報が前記装置に存在する情報存在確率とに基づいて、該記憶パターンが起こる発生確率を算出する発生確率算出部を有し、
前記リスク分析部は、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析装置。
【請求項4】
請求項3に記載の分析装置において、
前記システム外から前記情報までの経路上に設けられた前記装置に施されているセキュリティ対策の該情報の漏洩に対する効果の程度を示す有効度を特定する対策状況決定部と、
前記有効度に基づいて前記記憶パターン特定部が特定した記憶パターンにおける前記システム外から前記装置に到達する装置到達確率を算出し、該装置到達確率に基づいて該記憶パターンにおける前記システム外から前記情報まで到達する情報到達確率を算出する到達確率算出部とをさらに有し、
前記リスク分析部は、前記情報に対するすべての記憶パターンと、該記憶パターンそれぞれの発生確率と、該記憶パターンにおける情報到達確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析装置。
【請求項5】
請求項4に記載の分析装置において、
前記運用ポリシーに基づいて、前記情報に対する脅威が発生する条件である脅威発生条件を特定する発生条件決定部をさらに有し、
前記到達確率算出部は、前記脅威発生条件を満たすために必要となる前記情報を特定し、前記システム外から該特定した情報までの経路上に設けられた前記装置に対する有効度に基づいて、該装置の装置到達確率を算出することを特徴とする分析装置。
【請求項6】
請求項1乃至5のいずれか1項に記載の分析装置において、
前記複数の装置のそれぞれから該装置が接続されている装置と該装置の設置場所とを示す設定情報を取得し、該設定情報に基づいて前記構成情報を生成する取得部を有することを特徴とする分析装置。
【請求項7】
情報を記憶する複数の装置から構成されたシステムの分析方法であって、
前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定処理と、
前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析処理とを有する分析方法。
【請求項8】
請求項7に記載の分析方法において、
前記記憶パターン特定処理にて特定したすべての記憶パターンのうちから基準記憶パターンとして定められた記憶パターンと、前記運用ポリシーに従った場合に前記基準記憶パターンから遷移可能な前記情報の遷移記憶パターンと、該基準記憶パターンと該遷移記憶パターンとの間で相互に遷移する遷移確率とに基づいて、前記記憶パターンが起こる発生確率を算出する発生確率算出処理を有し、
前記リスク分析処理では、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析方法。
【請求項9】
請求項7に記載の分析方法において、
前記記憶パターン特定処理にて特定した記憶パターンと、該記憶パターンにおいて前記情報が前記装置に存在する情報存在確率とに基づいて、該記憶パターンが起こる発生確率を算出する発生確率算出処理を有し、
前記リスク分析処理では、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析方法。
【請求項10】
請求項9に記載の分析方法において、
前記システム外から前記情報までの経路上に設けられた前記装置に施されているセキュリティ対策の該情報の漏洩に対する効果の程度を示す有効度を特定する対策状況決定処理と、
前記有効度に基づいて前記記憶パターン特定処理にて特定した記憶パターンにおける前記システム外から前記装置に到達する装置到達確率を算出し、該装置到達確率に基づいて該記憶パターンにおける前記システム外から前記情報まで到達する情報到達確率を算出する到達確率算出処理とをさらに有し、
前記リスク分析処理では、前記情報に対するすべての記憶パターンと、該記憶パターンそれぞれの発生確率と、該記憶パターンにおける情報到達確率とに基づいて、前記リスク評価指標を算出することを特徴とする分析方法。
【請求項11】
請求項10に記載の分析方法において、
前記運用ポリシーに基づいて、前記情報に対する脅威が発生する条件である脅威発生条件を特定する発生条件決定処理をさらに有し、
前記到達確率算出処理では、前記脅威発生条件を満たすために必要となる前記情報を特定し、前記システム外から該特定した情報までの経路上に設けられた前記装置に対する有効度に基づいて、該装置の装置到達確率を算出することを特徴とする分析方法。
【請求項12】
請求項7乃至11のいずれか1項に記載の分析方法において、
前記複数の装置のそれぞれから該装置が接続されている装置と該装置の設置場所とを示す設定情報を取得し、該設定情報に基づいて前記構成情報を生成する取得処理を有することを特徴とする分析方法。
【請求項13】
情報を記憶する複数の装置から構成されたシステムと接続された分析装置に、
前記複数の装置の間の通信接続関係および該装置の設置場所を示す構成情報と、前記記憶された情報に対する前記装置の動作を示す運用ポリシーとに基づいて、前記情報が前記装置に記憶される記憶パターンを特定する記憶パターン特定手順と、
前記特定した記憶パターンに基づいて、前記情報が前記システム外へ漏洩するリスクの程度を示すリスク評価指標を算出するリスク分析手順とを実行させるためのプログラム。
【請求項14】
請求項13に記載のプログラムにおいて、
前記記憶パターン特定手順にて特定したすべての記憶パターンのうちから基準記憶パターンとして定められた記憶パターンと、前記運用ポリシーに従った場合に前記基準記憶パターンから遷移可能な前記情報の遷移記憶パターンと、該基準記憶パターンと該遷移記憶パターンとの間で相互に遷移する遷移確率とに基づいて、前記記憶パターンが起こる発生確率を算出する発生確率算出手順を前記分析装置に実行させ、
前記リスク分析手順では、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とするプログラム。
【請求項15】
請求項13に記載のプログラムにおいて、
前記記憶パターン特定手順にて特定した記憶パターンと、該記憶パターンにおいて前記情報が前記装置に存在する情報存在確率とに基づいて、該記憶パターンが起こる発生確率を算出する発生確率算出手順を前記分析装置に実行させ、
前記リスク分析手順では、前記情報に対するすべての記憶パターンと該記憶パターンそれぞれの発生確率とに基づいて、前記リスク評価指標を算出することを特徴とするプログラム。
【請求項16】
請求項15に記載のプログラムにおいて、
前記システム外から前記情報までの経路上に設けられた前記装置に施されているセキュリティ対策の該情報の漏洩に対する効果の程度を示す有効度を特定する対策状況決定手順と、
前記有効度に基づいて前記記憶パターン特定手順にて特定した記憶パターンにおける前記システム外から前記装置に到達する装置到達確率を算出し、該装置到達確率に基づいて該記憶パターンにおける前記システム外から前記情報まで到達する情報到達確率を算出する到達確率算出手順とを前記分析装置にさらに実行させ、
前記リスク分析手順では、前記情報に対するすべての記憶パターンと、該記憶パターンそれぞれの発生確率と、該記憶パターンにおける情報到達確率とに基づいて、前記リスク評価指標を算出することを特徴とするプログラム。
【請求項17】
請求項16に記載のプログラムにおいて、
前記運用ポリシーに基づいて、前記情報に対する脅威が発生する条件である脅威発生条件を特定する発生条件決定手順を前記分析装置にさらに実行させ、
前記到達確率算出手順では、前記脅威発生条件を満たすために必要となる前記情報を特定し、前記システム外から該特定した情報までの経路上に設けられた前記装置に対する有効度に基づいて、該装置の装置到達確率を算出することを特徴とするプログラム。
【請求項18】
請求項13乃至17のいずれか1項に記載のプログラムにおいて、
前記複数の装置のそれぞれから該装置が接続されている装置と該装置の設置場所とを示す設定情報を取得し、該設定情報に基づいて前記構成情報を生成する取得手順を前記分析装置に実行させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2011−22903(P2011−22903A)
【公開日】平成23年2月3日(2011.2.3)
【国際特許分類】
【出願番号】特願2009−168889(P2009−168889)
【出願日】平成21年7月17日(2009.7.17)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年2月3日(2011.2.3)
【国際特許分類】
【出願日】平成21年7月17日(2009.7.17)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]