WO2014112185A1

WO2014112185A1 - 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム

Info

Publication number: WO2014112185A1
Application number: PCT/JP2013/080252
Authority: WO
Inventors: 裕之榊原; 鐘治桜井; 河内　清人
Original assignee: Mitsubishi Electric Corp
Current assignee: Mitsubishi Electric Corp
Priority date: 2013-01-21
Filing date: 2013-11-08
Publication date: 2014-07-24
Anticipated expiration: 2015-07-21
Also published as: EP2947595A4; JPWO2014112185A1; CN104937605A; US20150256554A1; EP2947595A1; US9853994B2; JP5972401B2; CN104937605B

Abstract

　通信機器９０４のログを収集して記憶装置に記憶するロガー９０１と、攻撃を検知するＳＩＥＭ装置９０２と、ロガー９０１により収集されたログを分析するログ分析装置９０３とを備えるログ分析連携システム１０００において、ログ分析連携装置１が攻撃シナリオ１１０４を記憶装置に記憶し、検知した攻撃の情報を含む警告情報１２０１'をＳＩＥＭ装置９０２から受信し、警告情報１２０１'と攻撃シナリオ１１０４とに基づいて、検知した攻撃の次に発生すると予測される攻撃の予測発生時期を算出し、算出した予測発生時期にログを検索するようにスケジュール検索９１５をログ分析装置９０３に送信し、ログ分析装置９０３は予測発生時期にログを検索するようにスケジュール検索９１６をロガー９０１に送信する。

Description

攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム

　本発明は、攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラムに関する。特に、攻撃検知システムとログ分析システムとを連携して効率的に攻撃分析を行う攻撃分析システムに関する。

　近年、マルウェアが機密情報を組織外に漏洩させる事故が問題となっている。マルウェアを用いたサイバー攻撃は高度化されつつあり、例えば、非特許文献１に示されるＡＰＴ（高度かつ継続的な脅威：Ａｄｖａｎｃｅｄ・Ｐｅｒｓｉｓｔｅｎｔ・Ｔｈｒｅａｔ）と呼ばれる攻撃等がある。

　ＡＰＴでは、添付メールなどで組織に侵入したマルウェアが、計算機に感染し、さらに、攻撃者が運用するインターネット上のＣ＆Ｃ（Ｃｏｍｍａｎｄ＆Ｃｏｎｔｒｏｌ）サーバと通信し、新しいマルウェアや攻撃ツールをダウンロードしたり自身をアップデートする。そして、組織内を偵察し、ファイルサーバを見つけ、機密ファイルをＣ＆Ｃサーバへ漏洩する。これらの各活動を、攻撃とみなした場合、各攻撃は、長時間かけて段階的に行われる。例えば、計算機に感染したマルウェアは、感染後、１ヶ月は活動せず身を潜め、１ヵ月後にＣ＆Ｃサーバと通信を開始する。
　このように、ＡＰＴでは、複数の攻撃が、時間をおいて行われる。

　ＡＰＴの対策には、様々な方法がある。ＡＰＴ対策の製品として、メールによる侵入を防止する製品、情報漏洩を防止する製品などがある。
　また、ＡＰＴ対策の方法の一つとして自動的にログ分析する方法がある。自動的にログ分析する方法は、計算機、サーバ、ルータ等のネットワーク機器、ファイアウォール、侵入検知システム等のセキュリティ機器等のログを分析し、相互の相関関係を調べる、あるいはログから異常な記録を見つける。自動的にログ分析する方法は、このような分析をすることにより、ＡＰＴを検知する、あるいは経過を観察する方法である。

　ファイアウォール、あるいは侵入検知システム等のセキュリティ機器のログなどの相関関係を調べることで自動的に異常を検知する製品の例として、ＳＩＥＭ（セキュリティ情報およびイベント管理：Ｓｅｃｕｒｉｔｙ・Ｉｎｆｏｒｍａｔｉｏｎ・ａｎｄ・Ｅｖｅｎｔ・Ｍａｎａｇｅｍｅｎｔ）システムがある（特許文献１参照）。ＳＩＥＭシステムは、統合ログ監視システムなどと呼ばれることもある。

　また、各種ログを様々なキーワードでドリルダウンする、あるいは時系列で状況変化を表示する等により、人間が異常を発見するログ分析システムがある。

　特許文献１では、業務システム用サーバとは別に中継サーバを導入し、中継サーバにおいてユーザ認証を行なうとともに、利用ログを収集する方法が提案されている。

特表２００４－５３７０７５号公報

「新しいタイプの攻撃」の対策に向けた設計・運用ガイド，改訂第２版，ＩＰＡ

　ＳＩＥＭシステムでは、オンメモリでリアルタイムにイベントを監視しているので、複雑な相関分析や多発するイベントの相関分析は実質的にはできないため、ＡＰＴに対して十分な対策がとれないという課題がある。

　また、ログ分析システムでは、複数のログに対して複雑な検索を実行することができるが、相関分析のようにリアルタイムにイベントを検知するためには検索を短時間に繰り返し実行する必要がある。したがって、複数の検索式を多数同時に行うために、膨大な計算リソースが必要であるという課題がある。

　つまり、ログを分析する方法によるＡＰＴの検知においては、ＳＩＥＭシステムもログ分析ステムも単体では対応しきれないという課題がある。

　本発明は、上記のような課題を解決するためになされたものであり、ＳＩＥＭシステムで検知した攻撃について、攻撃シナリオを元にログ分析システムを連携させ、将来起こる可能性のある攻撃の痕跡をログから効率よく発見することを目的とする。

　本発明に係る攻撃分析システムは、
　監視対象ネットワークに接続される少なくとも１つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを備える攻撃分析システムにおいて、
　前記検知装置に接続されるとともに、前記分析装置に接続される連携装置を備え、
　前記検知装置は、
　前記監視対象ネットワークに対する攻撃を検知すると、検知した攻撃を識別する攻撃識別子と前記検知した攻撃が発生した攻撃発生時期とを含む警告情報を前記連携装置に送信し、
　前記連携装置は、
　前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報であって、前記複数の攻撃の発生する順番と、前記順番が連続する２つの攻撃の発生間隔とを含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部と、
　前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記検知した攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を処理装置により算出し、算出した前記予測発生時期の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求部と
を備え、
　前記分析装置は、
　前記連携装置の前記スケジュール分析要求部から送信された前記スケジュール分析要求に基づいて、前記予測発生時期の前記ログ情報を分析することを特徴とする。

　本発明に係る攻撃分析システムによれば、連携装置が攻撃シナリオ情報を記憶装置に記憶し、検知した攻撃の情報を含む警告情報を検知装置から受信し、警告情報と攻撃シナリオ情報とに基づいて、検知した攻撃の次に発生すると予測される攻撃の予測発生時期を算出し、算出した予測発生時期にログ情報を検索するようにスケジュール検索を分析装置に送信するので、検知装置と分析装置を連携させることにより、将来起こる可能性のある攻撃の痕跡をログ情報から効率よく発見することができるという効果を奏する。

実施の形態１に係るログ分析連携システム１０００の全体構成を示す図である。実施の形態１に係るログ分析連携装置１、ロガー９０１、ＳＩＥＭ装置９０２、ログ分析装置９０３のハードウェア構成の一例を示す図である。実施の形態１に係るログ分析連携装置１の構成及び動作の概要を示す図である。実施の形態１に係る警告情報１２０１の構成の一例を示す図である。実施の形態１に係る攻撃シナリオ１１０４の構成の一例を示す図である。実施の形態１に係る対策情報１１０７の構成の一例を示す図である。実施の形態１に係る資産情報１１０９の構成の一例を示す図である。実施の形態１に係る攻撃可否判定部１０７の攻撃可否判定処理を示すフローチャートである。実施の形態２に係るログ分析連携装置１の構成及び動作の概要を示す図である。実施の形態４に係るログ分析連携装置１の構成及び動作の概要を示す図である。実施の形態４に係る認証サーバ１０の構成と動作とを示す図である。実施の形態４に係るパスワードリセット装置１１により生成される電子メールの一例を示す図である。実施の形態４に係るパスワードリセット装置１１の構成と動作とを示す図である。実施の形態４に係るパスワードリセット装置１１のリセット用パスワード８２０３及びパスワードリセット通知文面８２０２の生成方法を示す図である。

　実施の形態１．
　図１は、本実施の形態に係るログ分析連携システム１０００の全体構成を示す図である。図１を用いて、本実施の形態に係るログ分析連携システム１０００（攻撃分析システムの一例）の全体構成と動作の概要について説明する。

　図１において、ログ分析連携システム１０００は、ロガー９０１（ログ収集装置の一例）、ＳＩＥＭ装置９０２（検知装置の一例）、ログ分析装置９０３（分析装置の一例）、ログ分析連携装置１（連携装置の一例）を備える。

　ロガー９０１は、監視対象ネットワークが備える少なくとも１つの機器（通信機器９０４）のログを収集して記憶装置にログ情報として記憶する。
　ロガー９０１は、監視対象のＰＣやサーバなどの計算機９０４ａ、ルータなどのネットワーク機器９０４ｂ、ファイアウォールや侵入検知装置などのセキュリティ機器９０４ｃ、スマートフォンやタブレットＰＣなどのモバイル機器９０５と接続する。
　ロガー９０１は、計算機９０４ａ、ネットワーク機器９０４ｂ、セキュリティ機器９０４ｃ、モバイル機器９０５等のログを収集、蓄積する。

　ＳＩＥＭ装置９０２は、ロガー９０１に蓄積されたログを相関分析するなどして異常を検知する。ＳＩＥＭ装置９０２は、検知ルール９１２を備える。ＳＩＥＭ装置９０２は、例えば、検知ルール９１２を記憶装置に記憶する。
　検知ルール９１２は、攻撃などの異常を検知するためのログ分析のルールである。検知ルール９１２は、例えば、相関分析のルールである。

　ログ分析装置９０３は、オペレータによる操作により、ロガー９０１に蓄積されたログをキーワード検索でドリルダウンする等の分析をする。また、ログ分析装置９０３は、オペレータによる操作により、特定のサーバへのアクセス状況を可視化し、状況を目視できるように表示する。このように、ログ分析装置９０３では、オペレータによる操作によりログを分析し、オペレータが異常を発見する。

　ログ分析連携装置１は、ＳＩＥＭ装置９０２とログ分析装置９０３との間に位置し、ＳＩＥＭ装置９０２と接続するとともにログ分析装置９０３と接続する。
　ログ分析連携装置１は、ＳＩＥＭ装置９０２とログ分析装置９０３とを連携する。
　ログ分析連携装置１は、攻撃シナリオＤＢ１０１３、資産ＤＢ１０１５、セキュリティ対策ＤＢ１０１４を備える。

　ログ分析連携装置１がＳＩＥＭ装置９０２とログ分析装置９０３とを連携する動作の概要について説明する。

　ＳＩＥＭ装置９０２は、ロガー９０１からログ９１１を収集し、検知ルール９１２を用いて、リアルタイムの相関分析を実行する。このように、ＳＩＥＭ装置９０２は、常に異常検知を実行している。
　以下に、図１を用いて、ＳＩＥＭ装置９０２が異常を検知した場合の動作（攻撃分析連携方法）の一例について説明する。以下の（１）～（８）は、図１の（１）～（８）に対応する。

　（１）ＳＩＥＭ装置９０２は、検知ルール９１２における検知ルールＢにより、攻撃ｂ（検知攻撃）を検知する。
　（２）ＳＩＥＭ装置９０２は、攻撃ｂを検知したことを警告情報１２０１’として、ログ分析連携装置１に通知する（警告情報送信処理，警告情報送信工程）。ログ分析連携装置１は、警告情報を受信する（警告情報受信処理，警告情報受信工程）。
　（３）ログ分析連携装置１は、攻撃ｂの次に起こると予測される攻撃ｃ（次攻撃）を、ＤＢから検索する。ログ分析連携装置１は、攻撃ｂの後に起こる攻撃ｃの発生の可能性を、攻撃シナリオＤＢ１０１３、資産ＤＢ１０１５、セキュリティ対策ＤＢ１０１４から判断する。攻撃シナリオＤＢ１０１３、資産ＤＢ１０１５、セキュリティ対策ＤＢ１０１４は、例えば、ログ分析連携装置１の備える記憶装置１’に記憶されている。

　（４）ログ分析連携装置１は、ログ分析装置９０３に対し、攻撃ｃの痕跡をログから検索するためにスケジュール検索９１５を依頼する。言い換えると、ログ分析連携装置１は、攻撃ｂ（検知攻撃、検知した攻撃）の次に発生すると予測される攻撃ｃ（次攻撃、分析対象攻撃）が発生すると予測される時期（予測発生時期）を算出し、攻撃ｃ（次攻撃）が発生すると予測される時期（予測発生時期）のログをスケジュール検索するために、ログ分析装置９０３に対し、スケジュール検索９１５を依頼する（（３），（４）の処理は、スケジュール分析要求処理，スケジュール分析要求工程）。
　（５）ログ分析装置９０３は、スケジュール検索９１５の依頼にもとづき、ロガー９０１に対してスケジュール検索９１６を実行する。
　（６）ログ分析装置９０３は、スケジュール検索９１６の検索結果９１７を受信する。
　（７）ログ分析装置９０３は、受信した検索結果９１７を検索結果９１８として、ログ分析連携装置１へ送信する。

　（８）ログ分析連携装置１は、（７）の結果を受信し、（７）の結果に応じた処理を実行する（ログ情報分析処理，ログ情報分析工程）。
　ログ分析連携装置１は、（７）の結果、攻撃ｃが検出されなかった場合、攻撃ｃの発生時期が攻撃シナリオ１１０４と合っていない可能性があると判断する。そして、ログ分析連携装置１は、スケジュール検索９１５のタイミングを変更し、さらに、ログ分析装置９０３へスケジュール検索９１５を発行する。
　ログ分析連携装置１は、（７）の結果、攻撃ｃが検出された場合は、攻撃ｃが検索されたことをＧＵＩ上でオペレータに通知する。オペレータは、この通知を受け、ログ分析装置９０３を用いてさらに詳しく攻撃ｃの痕跡などを分析する。

　モバイル機器９０５（特定の機器）は、ＣＰＵ、メモリ、回線等の制約により、常にログを収集することが難しい場合がある。したがって、ロガー９０１は、通常は、モバイル機器９０５からのログは行わない。あるいは、ロガー９０１は、１日に１回等の定期的あるいは不定期に、モバイル機器９０５からログを収集するとしてもよい。

　ログ分析連携装置１は、（１）～（３）において、攻撃ｃがモバイル機器９０５で発生すると判断した場合、（４）のスケジュール検索９１５のタイミングで、（４）のスケジュール検索９１５の前にスケジュール収集９１５’をログ分析装置９０３へ通知する（（４）’）。
　ログ分析装置９０３は、ログ分析連携装置１から通知されたスケジュール収集９１５’を、スケジュール収集９１６’としてロガー９０１へ通知する（（５）’）。

　ロガー９０１は、ログ分析装置９０３からスケジュール収集９１６’を通知されると、モバイル機器９０５にスケジュール収集９１６’’を通知し（（５）’’）、モバイル機器９０５からログ９１７’’を収集する（（６）’’）。ロガー９０１は、モバイル機器９０５からのログの収集結果を、収集結果９１７’として、ログ分析装置９０３へ送信する（（６）’）。
　ログ分析装置９０３は、ロガー９０１から収集結果９１７’を受信すると、収集結果９１８’としてログ分析連携装置１へ送信する（（７）’）。
　この後、ログ分析連携装置１、ログ分析装置９０３、ロガー９０１は、上記（４）～（７）を実行する。

　以上で、ログ分析連携システム１０００の全体構成と動作の概要についての説明を終わる。

　図２は、本実施の形態に係るログ分析連携装置１、ロガー９０１、ＳＩＥＭ装置９０２、ログ分析装置９０３のハードウェア構成の一例を示す図である。

　図２において、ログ分析連携装置１、ロガー９０１、ＳＩＥＭ装置９０２、ログ分析装置９０３は、コンピュータであり、ＬＣＤ１９０１（Ｌｉｑｕｉｄ・Ｃｒｙｓｔａｌ・Ｄｉｓｐｌａｙ）、キーボード１９０２（Ｋ／Ｂ）、マウス１９０３、ＦＤＤ１９０４（Ｆｌｅｘｉｂｌｅ・Ｄｉｓｃ・Ｄｒｉｖｅ）、ＣＤＤ１９０５（Ｃｏｍｐａｃｔ・Ｄｉｓｃ・Ｄｒｉｖｅ）、プリンタ１９０６といったハードウェアデバイスを備えている。これらのハードウェアデバイスはケーブルや信号線で接続されている。ＬＣＤ１９０１の代わりに、ＣＲＴ（Ｃａｔｈｏｄｅ・Ｒａｙ・Ｔｕｂｅ）、あるいは、その他の表示装置が用いられてもよい。マウス１９０３の代わりに、タッチパネル、タッチパッド、トラックボール、ペンタブレット、あるいは、その他のポインティングデバイスが用いられてもよい。

　ログ分析連携装置１、ロガー９０１、ＳＩＥＭ装置９０２、ログ分析装置９０３は、プログラムを実行するＣＰＵ１９１１（Ｃｅｎｔｒａｌ・Ｐｒｏｃｅｓｓｉｎｇ・Ｕｎｉｔ）を備えている。ＣＰＵ１９１１は、処理装置の一例である。ＣＰＵ１９１１は、バス１９１２を介してＲＯＭ１９１３（Ｒｅａｄ・Ｏｎｌｙ・Ｍｅｍｏｒｙ）、ＲＡＭ１９１４（Ｒａｎｄｏｍ・Ａｃｃｅｓｓ・Ｍｅｍｏｒｙ）、通信ボード１９１５、ＬＣＤ１９０１、キーボード１９０２、マウス１９０３、ＦＤＤ１９０４、ＣＤＤ１９０５、プリンタ１９０６、ＨＤＤ１９２０（Ｈａｒｄ・Ｄｉｓｋ・Ｄｒｉｖｅ）と接続され、これらのハードウェアデバイスを制御する。ＨＤＤ１９２０の代わりに、フラッシュメモリ、光ディスク装置、メモリカードリーダライタ、あるいは、その他の記録媒体が用いられてもよい。

　ＲＡＭ１９１４は、揮発性メモリの一例である。ＲＯＭ１９１３、ＦＤＤ１９０４、ＣＤＤ１９０５、ＨＤＤ１９２０は、不揮発性メモリの一例である。これらは、記憶装置、記憶部の一例である。通信ボード１９１５、キーボード１９０２、マウス１９０３、ＦＤＤ１９０４、ＣＤＤ１９０５は、入力装置の一例である。また、通信ボード１９１５、ＬＣＤ１９０１、プリンタ１９０６は、出力装置の一例である。

　通信ボード１９１５は、ＬＡＮ（Ｌｏｃａｌ・Ａｒｅａ・Ｎｅｔｗｏｒｋ）等に接続されている。通信ボード１９１５は、ＬＡＮに限らず、ＩＰ－ＶＰＮ（Ｉｎｔｅｒｎｅｔ・Ｐｒｏｔｏｃｏｌ・Ｖｉｒｔｕａｌ・Ｐｒｉｖａｔｅ・Ｎｅｔｗｏｒｋ）、広域ＬＡＮ、ＡＴＭ（Ａｓｙｎｃｈｒｏｎｏｕｓ・Ｔｒａｎｓｆｅｒ・Ｍｏｄｅ）ネットワークといったＷＡＮ（Ｗｉｄｅ・Ａｒｅａ・Ｎｅｔｗｏｒｋ）、あるいは、インターネットに接続されていても構わない。ＬＡＮ、ＷＡＮ、インターネットは、ネットワークの一例である。

　ＨＤＤ１９２０には、オペレーティングシステム１９２１（ＯＳ）、ウィンドウシステム１９２２、プログラム群１９２３、ファイル群１９２４が記憶されている。プログラム群１９２３のプログラムは、ＣＰＵ１９１１、オペレーティングシステム１９２１、ウィンドウシステム１９２２により実行される。プログラム群１９２３には、本実施の形態の説明において「～部」として説明する機能を実行するプログラムが含まれている。プログラムは、ＣＰＵ１９１１により読み出され実行される。ファイル群１９２４には、本実施の形態の説明において、「～データ」、「～情報」、「～ＩＤ（識別子）」、「～フラグ」、「～結果」として説明するデータや情報や信号値や変数値やパラメータが、「～ファイル」や「～データベース」や「～テーブル」の各項目として含まれている。「～ファイル」や「～データベース」や「～テーブル」は、ＲＡＭ１９１４やＨＤＤ１９２０等の記録媒体に記憶される。ＲＡＭ１９１４やＨＤＤ１９２０等の記録媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してＣＰＵ１９１１によりメインメモリやキャッシュメモリに読み出され、抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったＣＰＵ１９１１の処理（動作）に用いられる。抽出、検索、参照、比較、演算、計算、制御、出力、印刷、表示といったＣＰＵ１９１１の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。

　本実施の形態の説明において用いるブロック図やフローチャートの矢印の部分は主としてデータや信号の入出力を示す。データや信号は、ＲＡＭ１９１４等のメモリ、ＦＤＤ１９０４のフレキシブルディスク（ＦＤ）、ＣＤＤ１９０５のコンパクトディスク（ＣＤ）、ＨＤＤ１９２０の磁気ディスク、光ディスク、ＤＶＤ（Ｄｉｇｉｔａｌ・Ｖｅｒｓａｔｉｌｅ・Ｄｉｓｃ）、あるいは、その他の記録媒体に記録される。また、データや信号は、バス１９１２、信号線、ケーブル、あるいは、その他の伝送媒体により伝送される。

　本実施の形態の説明において「～部」として説明するものは、「～回路」、「～装置」、「～機器」であってもよく、また、「～ステップ」、「～工程」、「～手順」、「～処理」であってもよい。即ち、「～部」として説明するものは、ＲＯＭ１９１３に記憶されたファームウェアで実現されていても構わない。あるいは、「～部」として説明するものは、ソフトウェアのみ、あるいは、素子、デバイス、基板、配線といったハードウェアのみで実現されていても構わない。あるいは、「～部」として説明するものは、ソフトウェアとハードウェアとの組み合わせ、あるいは、ソフトウェアとハードウェアとファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、フレキシブルディスク、コンパクトディスク、磁気ディスク、光ディスク、ＤＶＤ等の記録媒体に記憶される。プログラムはＣＰＵ１９１１により読み出され、ＣＰＵ１９１１により実行される。即ち、プログラムは、本実施の形態の説明で述べる「～部」としてコンピュータを機能させるものである。あるいは、プログラムは、本実施の形態の説明で述べる「～部」の手順や方法をコンピュータに実行させるものである。

　図３は、本実施の形態に係るログ分析連携装置１の構成及び動作の概要を示す図である。
　図３を用いて、本実施の形態に係るログ分析連携装置１の構成を説明する。本実施の形態では、ログ分析連携装置１は、スケジュール収集部１０８、収集スケジュール条件１２０４、外部連携部（収集）１０９は使用しない。

　図３に示すように、ログ分析連携装置１は、入力部１０１、警告解釈部１０２、攻撃シナリオＤＢ検索部１０３、関連攻撃抽出部１０４、セキュリティ対策検索部１０５、資産ＤＢ検索部１０６、攻撃可否判定部１０７、スケジュール検索部１０１０、外部連携部（検索）１０１１、出力部１０１２を備える。
　また、ログ分析連携装置１は、攻撃シナリオＤＢ１０１３、セキュリティ対策ＤＢ１０１４、資産ＤＢ１０１５を記憶装置に記憶する。

　入力部１０１は、警告情報１２０１’を入力し、データ１１０１を出力する。
　警告解釈部１０２は、データ１１０１を入力し、警告情報１１０２と資産検索情報１１０８を出力する。

　攻撃シナリオＤＢ検索部１０３は、シナリオ抽出条件１２０２を入力し、攻撃識別情報１１０３を用いて攻撃シナリオＤＢ１０１３を検索する。攻撃シナリオＤＢ検索部１０３は、検索結果である攻撃シナリオ１１０４を入力する。また、攻撃シナリオＤＢ検索部１０３は、入力した攻撃シナリオ１１０４を関連攻撃抽出部１０４へ出力する。

　攻撃シナリオＤＢ１０１３は、ＡＰＴ（高度かつ継続的な脅威）を実行する複数の攻撃のシーケンスと、その時間間隔などの情報をシナリオとして保存する。
　攻撃シナリオＤＢ１０１３は、監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報であって、複数の攻撃の発生する順番と、順番が連続する２つの攻撃の発生間隔とを含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部の一例である。

　関連攻撃抽出部１０４は、関連攻撃抽出条件１２０３を入力し、関連攻撃情報１１０５をセキュリティ対策検索部１０５と、攻撃可否判定部１０７へ出力する。
　セキュリティ対策検索部１０５は、関連攻撃情報１１０５を入力し、関連攻撃検索情報１１０６を用いて、セキュリティ対策ＤＢ１０１４を検索する。そして、セキュリティ対策検索部１０５は、その検索結果である、対策有無１１０７’を入力する。セキュリティ対策検索部１０５は、対策有無１１０７’を攻撃可否判定部１０７へ出力する。

　セキュリティ対策ＤＢ１０１４は、侵入検知／防御装置などによる攻撃への対策実施に関わる情報を保存する。

　資産ＤＢ検索部１０６は、資産検索情報１１０８を入力し、資産検索情報１１０８を用いて資産ＤＢ１０１５を検索する。資産ＤＢ検索部１０６は、その検索結果である資産情報１１０９を入力する。
　資産ＤＢ１０１５は、ＰＣやサーバなどの、資産ＩＤ、ＩＰアドレス、使用ＯＳやアプリケーション、パッチ適用状況などの情報を保存する。

　攻撃可否判定部１０７は、資産情報１１０９と、関連攻撃情報１１０５と、対策有無１１０７’とを入力し、ログ検索情報１１１３をスケジュール検索部１０１０に出力する。

　攻撃シナリオＤＢ検索部１０３、関連攻撃抽出部１０４、資産ＤＢ検索部１０６、攻撃可否判定部１０７は、次攻撃情報取得部の一例である。

　スケジュール検索部１０１０は、検索スケジュール条件１２０５とログ検索情報１１１３とを入力し、検索命令１１１４を外部連携部（検索）１０１１へ出力する。スケジュール検索部１０１０は、検索命令１１１４に対する結果である、検索結果１１１５を入力する。スケジュール検索部１０１０は、予測発生時期のログ情報を分析する要求である検索命令１１１４（スケジュール分析要求）をログ分析装置９０３に送信するスケジュール分析要求部の一例である。

　外部連携部（検索）１０１１は、スケジュール検索部１０１０から検索命令１１１４を入力し、外部へ検索命令１２０８を出力する。外部連携部（検索）１０１１は、検索命令１２０８の結果である検索結果１２０９を入力し、スケジュール検索部１０１０へ検索結果１１１５を出力する。

　出力部１０１２は、スケジュール検索部１０１０から検索結果１１１６を入力し、検知結果１２１０を外部へ出力する。

　図４は、本実施の形態に係る警告情報１２０１の構成の一例を示す図である。図５は、本実施の形態に係る攻撃シナリオ１１０４の構成の一例を示す図である。図６は、本実施の形態に係る対策情報１１０７の構成の一例を示す図である。図７は、本実施の形態に係る資産情報１１０９の構成の一例を示す図である。
　次に、図１、図３～図７を用いて、ログ分析連携装置１の動作について説明する。

　図１及び図３に示すように、入力部１０１は、ＳＩＥＭ装置９０２から警告情報１２０１’を入力する。
　警告情報１２０１’は、図４に示す警告情報１２０１が、フォーマット化された情報である。図４に示すように、警告情報１２０１は、以下の内容から構成される。
　（ａ）日時：攻撃が発生した日時。
　（ｂ）攻撃ＩＤ：攻撃を識別する情報。
　（ｃ）攻撃種別：攻撃の種別（例えば、ＤｏＳ（Ｄｅｎｉａｌ・ｏｆ・Ｓｅｒｖｉｃｅ）攻撃、権限昇格など）。
　（ｄ）脆弱性ＩＤ：攻撃がソフトウェアなどの脆弱性を悪用することで成り立つ場合、その識別情報（例えば、ＣＶＥ番号（脆弱性識別番号））。
　（ｅ）攻撃元情報：ＳｏｕｒｃｅＩＰ／Ｐｏｒｔ、資産ＩＤなど攻撃元に関する情報。
　（ｆ）攻撃先情報：ＤｅｓｔｉｎａｔｉｏｎＩＰ／Ｐｏｒｔ、資産ＩＤなど攻撃先に関する情報。

　ログ分析連携装置１は、警告情報１２０１’を、例えば、ＵＤＰやＴＣＰパケットとして入力する。警告情報１２０１’は、パケットのボディ部に警告情報１２０１を格納する形でフォーマット化される。
　入力部１０１は、警告情報１２０１がフォーマット化された情報である警告情報１２０１’から、パケットのボディ部であるデータ１１０１を取り出し、警告解釈部１０２へ出力する。すなわち、データ１１０１とは、警告情報１２０１のことである。

　警告解釈部１０２は、警告情報１２０１であるデータ１１０１を入力する。警告解釈部１０２は、入力したデータ１１０１を、日時、攻撃ＩＤ、攻撃種別、脆弱性ＩＤ、攻撃元情報、攻撃先情報などの構成要素に分解する（解釈する）。警告解釈部１０２は、この結果を、警告情報１１０２とし、攻撃シナリオＤＢ検索部１０３へ出力する。警告情報１１０２の内容は、警告情報１２０１の内容と同じである。

　攻撃シナリオＤＢ検索部１０３は、警告情報１１０２から、攻撃ＩＤ、攻撃種別、脆弱性ＩＤを抽出し、攻撃識別情報１１０３として、攻撃シナリオＤＢ１０１３に出力する。
　このとき、攻撃シナリオＤＢ検索部１０３は、シナリオ抽出条件１２０２を入力する。シナリオ抽出条件１２０２とは、攻撃シナリオＤＢ１０１３から検索する攻撃シナリオ１１０４の数を指定する条件である。シナリオ抽出条件１２０２としては、例えば、１つ、複数、あるいは指定された数を条件とする。ここでは、シナリオ抽出条件１２０２として、攻撃シナリオＤＢ１０１３から検索する攻撃シナリオ１１０４の数は「１つ」として指定するものとする。

　次に、図５を用いて、攻撃シナリオ１１０４について説明する。
　攻撃シナリオＤＢ１０１３では、攻撃識別情報１１０３に基づいて、攻撃ＩＤ若しく脆弱性ＩＤが含まれる攻撃シナリオを検索する。

　図５に示すように、攻撃シナリオ１１０４は、以下のように構成される。
　１１０４＿ｅ１：攻撃シナリオ要素１→１１０４＿ｓ１：間隔１→１１０４＿ｅ２：攻撃シナリオ要素２→１１０４＿ｓ２：間隔２→１１０４＿ｅ３：攻撃シナリオ要素３。

　攻撃シナリオ要素１１０４＿ｅｉ（ｉ＝１，２，３）は、１つ１つの攻撃の情報である。
　それぞれの攻撃シナリオ要素１１０４＿ｅｉ（ｉ＝１，２，３）は、攻撃識別情報１１０４＿ａ、攻撃情報１１０４＿ｂ、対策識別情報１１０４＿ｃ、対策情報１１０４＿ｄから構成される。これらの情報は、攻撃を識別する攻撃識別子の一例である。

　図５に示すように、攻撃識別情報１１０４＿ａ、攻撃情報１１０４＿ｂ、対策識別情報１１０４＿ｃ、対策情報１１０４＿ｄとは、以下の情報である。
　（ａ）攻撃識別情報１１０４＿ａ：攻撃ＩＤ、攻撃種別、脆弱性ＩＤ。
　（ｂ）攻撃情報１１０４＿ｂ：影響を受ける製品（製品ＩＤ、バージョン情報、パッチＩＤ）、必要とする実行権限、キーワード、その他の情報。
　（ｃ）対策識別情報１１０４＿ｃ：対策ＩＤ。
　（ｄ）対策情報１１０４＿ｄ：パッチＩＤ、回避策ＩＤ、回避策内容、その他の情報。

　ここで、攻撃情報１１０４＿ｂのキーワードとは、攻撃発生において起こりうる事象を示すもので、例えば、ＯＳのレジストリの書き換えが発生するのであれば、キーワードは、「ＯＳ、ｒｅｇｉｓｔｒｙ、ｍｏｄｉｆｙ」である。

　図５に示す攻撃シナリオ１１０４は、攻撃シナリオ要素１：１１０４＿ｅ１が最初に発生し、間隔１：１１０４＿ｓ１の後、攻撃シナリオ要素２：１１０４＿ｅ２が発生し、間隔２：１１０４＿ｓ２の後、攻撃シナリオ要素３：１１０４＿ｅ３が発生するというシナリオを示している。

　間隔１：１１０４＿ｓ１は、例えば「２４時間」である。これは、攻撃シナリオ要素１：１１０４＿ｅ１の後、２４時間後に攻撃シナリオ要素２：１１０４＿ｅ２が発生することを示す。

　ログ分析連携装置１は、攻撃シナリオＤＢ記憶部（図３参照）を備える。攻撃シナリオＤＢ記憶部は、過去の事例に基づき、上記のような攻撃シナリオ１１０４を作成し、攻撃シナリオＤＢ１０１３に保存する。
　なお、攻撃シナリオ１１０４を構成する攻撃シナリオ要素１１０４＿ｅｉは１つ以上であり、２つでも、３つでも、それ以上でも構わない。

　攻撃シナリオＤＢ検索部１０３は、攻撃識別情報１１０３を用いて、攻撃シナリオＤＢ１０１３を検索する。攻撃シナリオＤＢ検索部１０３は、例えば、攻撃識別情報１１０３の構成要素である攻撃ＩＤが、「攻撃シナリオ要素１１０４＿ｅの攻撃識別情報１１０４＿ａに含まれる攻撃シナリオ」を検索する。

　攻撃シナリオＤＢ検索部１０３は、攻撃ＩＤで検索結果を得ることができなければ、脆弱性ＩＤで検索する。
　攻撃シナリオＤＢ検索部１０３は、上記の様にして検索された結果を、攻撃シナリオ１１０４として、攻撃シナリオＤＢ１０１３から抽出する。

　以上のように、ログ分析連携装置１は、ＳＩＥＭ装置９０２から受信した警告情報１２０１’により通知された攻撃が含まれる攻撃シナリオ１１０４を、攻撃シナリオＤＢ１０１３から抽出する。

　攻撃シナリオＤＢ検索部１０３は、攻撃シナリオＤＢ１０１３から入力された攻撃シナリオ１１０４を関連攻撃抽出部１０４へ出力する。

　関連攻撃抽出部１０４は、攻撃シナリオ１１０４を入力し、処理装置により、攻撃シナリオ１１０４を分析する。関連攻撃抽出部１０４は、通知された攻撃シナリオ１１０４に含まれる攻撃に関連する情報を抽出する。

　このとき、関連攻撃抽出部１０４は、関連攻撃抽出条件１２０３を入力する。関連攻撃抽出条件１２０３とは、以下の内容である。
　（ａ）通知された攻撃の以降に発生する攻撃：ｎ個（１～ａｌｌ）、又は、通知された攻撃の以前に発生する攻撃：ｍ個（１～ａｌｌ）

　例えば、関連攻撃抽出条件１２０３が、「通知された攻撃の以降に発生する攻撃：１個」と指定された場合、通知された攻撃の次に起こる攻撃と、その間隔に関しての情報のみを抽出する。ａｌｌと指定された場合は、通知された攻撃の後に起こる全ての攻撃とその間隔に関しての情報を抽出する。
　関連攻撃抽出部１０４により抽出される攻撃は、通知された攻撃の前後の時期において発生すると予測される分析対象攻撃の一例である。

　例えば、関連攻撃抽出条件１２０３が、「通知された攻撃の以前に発生する攻撃：１個」と指定された場合、通知された攻撃の前に起こる攻撃とその間隔に関しての情報のみを抽出する。ａｌｌと指定された場合は、通知された攻撃の前に起こる全ての攻撃とその間隔に関しての情報を抽出する。

　ここでは、関連攻撃抽出条件１２０３は、「通知された攻撃の以降に発生する攻撃：１個」と指定されたものとする。

　例えば、警告情報１１０２に含まれる攻撃ＩＤが攻撃シナリオ要素２：１１０４＿ｅ２の攻撃ＩＤであるとする。
　攻撃シナリオＤＢ検索部１０３は、図５に示す攻撃シナリオ１１０４を攻撃シナリオＤＢ１０１３から抽出する。
　そして、関連攻撃抽出部１０４は、関連攻撃抽出条件１２０３である「通知された攻撃の以降に発生する攻撃：１個」を入力し、攻撃シナリオ１１０４から攻撃シナリオ要素２：１１０４＿ｅ２（通知された攻撃）の以降の攻撃として「攻撃シナリオ要素３：１１０４＿ｅ３」を抽出し、「間隔」として「間隔２：１１０４＿ｓ２」を抽出する。
　すなわち、関連攻撃抽出部１０４が抽出した関連攻撃情報１１０５は、「通知された攻撃の以降に発生する攻撃」（次攻撃）（分析対象攻撃）として「攻撃シナリオ要素３：１１０４＿ｅ３」、「間隔」として「間隔２：１１０４＿ｓ２」（次発生間隔）である。
　以上のように、関連攻撃抽出部１０４は、関連攻撃情報１１０５を抽出する。

　次に、関連攻撃抽出部１０４は、関連攻撃情報１１０５をセキュリティ対策検索部１０５に出力する。
　セキュリティ対策検索部１０５は、入力した関連攻撃情報１１０５を用いて、セキュリティ対策ＤＢ１０１４を検索する。具体的には、セキュリティ対策検索部１０５は、入力した関連攻撃情報１１０５に含まれる「攻撃シナリオ要素３：１１０４＿ｅ３」、「間隔２：１１０４＿ｓ２」を用いて、セキュリティ対策ＤＢ１０１４を検索する。

　図６は、セキュリティ対策ＤＢ１０１４に格納される対策情報１１０７の構成を示す図である。
　図６を用いて、対策情報１１０７の構成について説明する。

　対策情報１１０７は、攻撃識別情報１１０７＿ａ、攻撃情報１１０７＿ｂ、対策識別情報１１０７＿ｃ、対策情報１１０７＿ｄ、対策実施情報１１０７＿ｅから構成される。
　攻撃識別情報１１０７＿ａ、攻撃情報１１０７＿ｂ、対策識別情報１１０７＿ｃ、対策情報１１０７＿ｄ、対策実施情報１１０７＿ｅの内容は、以下の情報である。
　（ａ）攻撃識別情報１１０７＿ａ：攻撃ＩＤ、攻撃種別、脆弱性ＩＤ。
　（ｂ）攻撃情報１１０７＿ｂ：影響を受ける製品（製品ＩＤ、バージョン情報、パッチＩＤ）、必要とする実行権限、キーワード、その他の情報。
　（ｃ）対策識別情報１１０７＿ｃ：対策ＩＤ。
　（ｄ）対策情報１１０７＿ｄ：パッチＩＤ、回避策ＩＤ、回避策内容、その他の情報。
　（ｅ）対策実施情報１１０７＿ｅ：対策実施の有無（現在、侵入検知装置などで対策を実施しているか否か）。

　セキュリティ対策検索部１０５は、入力した関連攻撃情報１１０５を用いて、セキュリティ対策ＤＢ１０１４から対応する対策情報１１０７を抽出する。具体的には、セキュリティ対策検索部１０５は、入力した関連攻撃情報１１０５に含まれる「攻撃シナリオ要素３：１１０４＿ｅ３」を構成する「攻撃識別情報１１０４＿ａ」に含まれる攻撃ＩＤあるいは脆弱性ＩＤを含む対策情報１１０７のエントリをセキュリティ対策ＤＢ１０１４から抽出する。

　セキュリティ対策検索部１０５は、抽出した対策情報１１０７のエントリにおける対策実施情報１１０７＿ｅを抽出する。セキュリティ対策検索部１０５は、抽出した対策実施情報１１０７＿ｅの内容である対策実施の有無を対策有無１１０７’として抽出する。
　セキュリティ対策検索部１０５は、セキュリティ対策ＤＢ１０１４から抽出した対策有無１１０７’を攻撃可否判定部１０７へ出力する。

　資産ＤＢ検索部１０６は、警告解釈部１０２から資産検索情報１１０８を入力する。
　資産検索情報１１０８は、警告情報１１０２（図４の警告情報１２０１に相当）の一部の情報であり、攻撃先情報が該当する。
　攻撃先情報は、ＤｅｓｔｉｎａｔｉｏｎＩＰ／Ｐｏｒｔ、資産ＩＤなど攻撃先に関する情報である。

　資産ＤＢ検索部１０６は、この攻撃先情報のうち、ＤｅｓｔｉｎａｔｉｏｎＩＰ（或いはＭＡＣ）、資産ＩＤなど、資産を特定できる情報を資産検索情報１１０８とする。
　資産ＤＢ検索部１０６は、資産検索情報１１０８を資産ＤＢ１０１５に出力する。
　資産ＤＢ検索部１０６は、資産検索情報１１０８（資産を特定できる情報）を用いて、資産ＤＢ１０１５を検索する。

　資産ＤＢ検索部１０６は、資産検索情報１１０８にマッチするエントリを資産ＤＢ１０１５から資産情報１１０９として抽出する。

　図７は、資産ＤＢ１０１５で管理する資産情報１１０９の構成を示す図である。
　図７を用いて、資産情報１１０９の構成について説明する。

　資産情報１１０９は、資産識別情報１１０９＿ａ、資産ＯＳ情報１１０９＿ｂ、資産アプリ情報１１０９＿ｃ、資産実行情報１１０９＿ｄ、資産セキュリティ施策情報１１０９＿ｅから構成される。資産情報１１０９を構成する資産識別情報１１０９＿ａ、資産ＯＳ情報１１０９＿ｂ、資産アプリ情報１１０９＿ｃ、資産実行情報１１０９＿ｄ、資産セキュリティ施策情報１１０９＿ｅの内容は、例えば、以下の情報である。
　（ａ）資産識別情報１１０９＿ａ：資産ＩＤ、ＩＰアドレス、ＭＡＣアドレス、ユーザＩＤ。
　（ｂ）資産ＯＳ情報１１０９＿ｂ：ＯＳ（製品ＩＤ、バージョン情報）、適用パッチ（パッチＩＤ）／適用回避策（回避策ＩＤ）。
　（ｃ）資産アプリ情報１１０９＿ｃ：アプリ（製品ＩＤ、バージョン情報）、適用パッチ（パッチＩＤ）／適用回避策（回避策ＩＤ）。
　（ｄ）資産実行情報１１０９＿ｄ：実行権限。
　（ｅ）資産セキュリティ施策情報１１０９＿ｅ：セキュリティ施策（セキュリティ設定、ソフトなど）。

　つまり、資産ＤＢ１０１５は、資産検索情報１１０８（攻撃先情報）のＤｅｓｔｉｎａｔｉｏｎＩＰ（或いはＭＡＣ）／資産ＩＤが、資産識別情報１１０９＿ａにマッチするエントリを、自身に保存しているエントリから検索し、資産情報１１０９として資産ＤＢ検索部１０６へ出力する。

　資産ＤＢ検索部１０６は、資産ＤＢ１０１５から入力した資産情報１１０９を攻撃可否判定部１０７へ出力する。

　攻撃可否判定部１０７は、資産情報１１０９、関連攻撃情報１１０５、対策有無１１０７’を入力し、ログ検索情報１１１３を出力する。
　攻撃可否判定部１０７は、攻撃可否判定処理を実行することにより、ログ検索情報１１１３を出力する。

　図８は、本実施の形態に係る攻撃可否判定部１０７の攻撃可否判定処理を示すフローチャートである。図８を用いて、攻撃可否判定部１０７の攻撃可否判定処理について説明する。

　Ｓ１０７＿１において、攻撃可否判定部１０７は、関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅ）に含まれる攻撃識別情報１１０４＿ａで識別される攻撃が侵入検知装置などで対策されているか否かについて、対策有無１１０７’を用いて、処理装置により判断する。以下、関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅ）に含まれる攻撃識別情報１１０４＿ａで識別される攻撃を、判定対象攻撃とする。
　具体的には、攻撃可否判定部１０７は、通知された攻撃（攻撃シナリオ要素２：１１０４＿ｅ２）の次の攻撃（攻撃シナリオ要素３：１１０４＿ｅ３）の攻撃識別情報１１０４＿ａで識別される攻撃（判定対象攻撃）が侵入検知装置などで対策されているか否かについて、対策有無１１０７’を用いて、処理装置により判断する。

　攻撃可否判定部１０７は、判定対象攻撃が対策実施済であれば（Ｓ１０７＿１でＹＥＳ）、Ｓ１０７＿９に処理を進める。攻撃可否判定部１０７は、判定対象攻撃が対策未実施であれば（Ｓ１０７＿１でＮＯ）、Ｓ１０７＿２に処理を進める。

　Ｓ１０７＿２において、攻撃可否判定部１０７は、判定対象攻撃について、攻撃対象となる資産は、該当するＯＳやアプリケーションを使用しているか調べる。
　この処理は、以下のように実行される。

　上述したように、攻撃可否判定部１０７は、判定対象攻撃に対応する関連攻撃情報１１０５を入力する。関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅ）における攻撃情報１１０４＿ｂには、影響を受ける製品の情報が「製品ＩＤ、バージョン情報、パッチＩＤ」として含まれている（図５参照）。

　また、上述したように、攻撃可否判定部１０７は、判定対象攻撃に対応する資産情報１１０９を入力する。
　資産情報１１０９には、資産ＯＳ情報１１０９＿ｂ（ＯＳ（製品ＩＤ、バージョン情報）、適用パッチ（パッチＩＤ）／適用回避策（回避策ＩＤ）、資産アプリ情報１１０９＿ｃ（アプリ（製品ＩＤ、バージョン情報）、適用パッチ（パッチＩＤ）／適用回避策（回避策ＩＤ）が含まれている。資産ＯＳ情報１１０９＿ｂ、資産アプリ情報１１０９＿ｃにおける適用回避策（回避策ＩＤ）は、施策設定でもよい。

　攻撃可否判定部１０７は、判定対象攻撃に対応する関連攻撃情報１１０５と判定対象攻撃に対応する資産情報１１０９とに基づいて、攻撃の対象となる資産が、影響を受ける製品を使っているかどうかを処理装置により判断する。

　具体的には、攻撃可否判定部１０７は、攻撃情報１１０４＿ｂの影響を受ける製品の情報「製品ＩＤ、バージョン情報、パッチＩＤ」が、資産ＯＳ情報１１０９＿ｂの「ＯＳ（製品ＩＤ、バージョン情報）、適用パッチ（パッチＩＤ）」に該当するか、あるいは、資産アプリ情報１１０９＿ｃの「アプリ（製品ＩＤ、バージョン情報）、適用パッチ（パッチＩＤ）」に該当するかを処理装置により判定する。
　つまり、「製品ＩＤ、バージョン情報、パッチＩＤ」は、攻撃情報１１０４＿ｂ、資産ＯＳ情報１１０９＿ｂ、資産アプリ情報１１０９＿ｃの何れにも含まれる情報であるから、該当するものがあるか無いかは、製品ＩＤ、バージョン情報、パッチＩＤのマッチングを取れば判断できる。

　攻撃可否判定部１０７は、攻撃の対象となる資産が影響を受ける製品を使っていると判断した場合は（Ｓ１０７＿２でＹＥＳ）、Ｓ１０７＿３に処理を進める。攻撃可否判定部１０７は、攻撃の対象となる資産が影響を受ける製品を使っていないと判断した場合は（Ｓ１０７＿２でＮＯ）、Ｓ１０７＿９に処理を進める。

　Ｓ１０７＿３において、攻撃可否判定部１０７は、関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅに該当）に含まれる攻撃識別情報１１０４＿ａで識別される攻撃について、パッチが存在するか否かを処理装置により判断する。
　これは、関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅに該当）に含まれる、対策情報１１０４＿ｄの情報において、パッチＩＤが存在するか否かで判断する。

　攻撃可否判定部１０７は、パッチＩＤが存在すると判断した場合は（Ｓ１０７＿３でＹＥＳ）、Ｓ１０７＿４に処理を進める。攻撃可否判定部１０７は、パッチＩＤが存在しないと判断した場合は（Ｓ１０７＿３でＮＯ）、Ｓ１０７＿５に処理を進める。

　Ｓ１０７＿４において、攻撃可否判定部１０７は、関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅに該当）に含まれる攻撃識別情報１１０４＿ａで識別される攻撃について、パッチを適用しているか否かを処理装置により判断する。
　これは、関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅに該当）に含まれる、対策情報１１０４＿ｄの情報におけるパッチＩＤが、資産情報１１０９の、資産ＯＳ情報１１０９＿ｂ或いは資産アプリ情報１１０９＿ｃにおけるパッチＩＤに一致するか否かで判断する。

　攻撃可否判定部１０７は、パッチＩＤが一致すると判断した場合は（Ｓ１０７＿４でＹＥＳ）、Ｓ１０７＿９に処理を進める。攻撃可否判定部１０７は、パッチＩＤが一致しないと判断した場合は（Ｓ１０７＿４でＮＯ）、Ｓ１０７＿５に処理を進める。

　Ｓ１０７＿５において、攻撃可否判定部１０７は、関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅに該当）に含まれる攻撃識別情報１１０４＿ａで識別される攻撃について、回避策はあるか否かを処理装置により判断する。
　これは、関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅに該当）に含まれる、対策情報１１０４＿ｄの情報において、回避策ＩＤが存在するか否かで判断する。

　攻撃可否判定部１０７は回避策ＩＤが存在すると判断した場合は（Ｓ１０７＿５でＹＥＳ）、Ｓ１０７＿６に処理を進める。攻撃可否判定部１０７は、回避策ＩＤが存在しないと判断した場合は（Ｓ１０７＿５でＮＯ）、Ｓ１０７＿７に処理を進める。

　Ｓ１０７＿６において、攻撃可否判定部１０７は、攻撃対象となる資産は、Ｓ１０７＿５で存在すると判断した回避策を実施しているか否かを処理装置により判断する。
　これは、資産情報１１０９に含まれる資産ＯＳ情報１１０９＿ｂ、又は、資産アプリ情報１１０９＿ｃにおいて、適用回避策（回避策ＩＤ）がＳ１０７＿５において識別した回避策ＩＤと一致するか否かで判断する。

　攻撃可否判定部１０７は回避策ＩＤが一致すると判断した場合は（Ｓ１０７＿６でＹＥＳ）、Ｓ１０７＿９に処理を進める。攻撃可否判定部１０７は、回避策ＩＤが一致しないと判断した場合は（Ｓ１０７＿６でＮＯ）、Ｓ１０７＿７に処理を進める。

　Ｓ１０７＿７において、攻撃可否判定部１０７は、攻撃対象となる資産は、関連攻撃情報１１０５（攻撃シナリオ要素１１０４＿ｅに該当）に含まれる攻撃識別情報１１０４＿ａで識別される攻撃が必要とする実行権限で実行されているか否かを処理装置により判断する。
　これは、攻撃シナリオ要素１１０４＿ｅに含まれる攻撃情報１１０４＿ｂの必要とする実行権限と、資産情報１１０９の資産実行情報１１０９＿ｄの実行権限とが一致するか否かを処理装置により判定すればよい。
　攻撃シナリオ要素１１０４＿ｅに含まれる攻撃情報１１０４＿ｂ、及び、資産情報１１０９の資産実行情報１１０９＿ｄに実行権限を実装する場合においては、実行権限の種類別にＩＤ（識別子）を付与することにより、実行権限の比較が容易となる。

　攻撃可否判定部１０７は、実行権限が一致すると判断した場合は（Ｓ１０７＿７でＹＥＳ）、Ｓ１０７＿８に処理を進める。攻撃可否判定部１０７は、実行権限が一致しないと判断した場は（Ｓ１０７＿７でＮＯ）、Ｓ１０７＿９に処理を進める。

　最後に、Ｓ１０７＿８において、攻撃可否判定部１０７は、「攻撃は成功する」という判断をする。
　また、Ｓ１０７＿９において、攻撃可否判定部１０７は、「攻撃は成功しない」という判断をする。
　以上で、攻撃可否判定部１０７による攻撃可否判定処理の説明を終わる。

　以上のように、攻撃可否判定部１０７は、図８に示す攻撃可否判定処理を実行し、攻撃が成功する、あるいは、攻撃が成功しない、の判断を実行する。
　攻撃可否判定部１０７は、攻撃が成功する、と判断した場合、ログ検索情報１１１３を生成し、スケジュール検索部１０１０へ出力する。

　攻撃可否判定部１０７は、以下の情報であるログ検索情報１１１３を生成する。
　攻撃可否判定部１０７は、関連攻撃情報１１０５における「間隔２：１１０４＿ｓ２」から、次に攻撃シナリオ要素３が発生する時期を計算する。例えば、警告情報１２０１において、通知された攻撃（攻撃シナリオ要素２）の日時（攻撃発生日時）が「２０１２／０９／２４，０９：００：００」であり、「間隔２：１１０４＿ｓ２」が「２４時間」であれば、「２０１２／０９／２５，０９：００：００」が攻撃発生予想日時として算出される。

　攻撃可否判定部１０７は、攻撃発生予想日時と、資産情報１１０９における資産識別情報１１０９＿ａとから、ログを検索する命令を生成する。

　例えば、この資産へのアクセスをファイアウォールログから検索する場合のファイアウォールログ検索命令は以下のようになる。
　判定対象攻撃では、ファイアウォールログで一部ｄｅｎｙが発生すると仮定する。この情報は、攻撃シナリオ要素３の構成要素である攻撃情報１１０４＿ｂのキーワードに記録されているものとする。

　＜ファイアウォールログ検索命令＞
　（ａ）検索条件：「攻撃発生予想日時」ａｎｄ「ＩＰアドレス（該当資産のもの）が宛先」ａｎｄ「キーワード（ファイアウォール、ｄｅｎｙ）」
　（ｂ）検索対象ログ：ファイアウォールログ

　また、判定対象攻撃において攻撃の対象となる資産における資産ログを検索する場合の、資産ログ検索命令は以下のようになる。
　判定対象攻撃では、ＯＳのログでレジストリの書き換えが発生すると仮定する。この情報は、攻撃シナリオ要素３の構成要素である攻撃情報１１０４＿ｂに記録されている。

　＜資産ログ検索命令＞
　（ａ）検索条件：「攻撃発生予想日時」ａｎｄ「（「ＩＰアドレス」ｏｒ「ＭＡＣアドレス」ｏｒ「資産ＩＤ」）（何れも該当資産のもの）」ａｎｄ「キーワード（ＯＳ，ｒｅｇｉｓｔｒｙ，ｍｏｄｉｆｙ）」。
　（ｂ）検索対象ログ：該当資産のログ（ＯＳ、アプリなど）。

　以上のように、攻撃可否判定部１０７は、攻撃発生予想日時に、該当資産へのアクセスや該当資産上のＯＳやアプリの状況を把握できるログを対象として、ログ検索情報１１１３を生成する。
　ログ検索情報１１１３は、上述したファイアウォールログ検索命令、資産ログ検索命令等である。
　攻撃可否判定部１０７は、生成したログ検索情報１１１３を、スケジュール検索部１０１０に出力する。

　スケジュール検索部１０１０は、攻撃可否判定部１０７からログ検索情報１１１３を入力する。
　さらに、スケジュール検索部１０１０は、検索スケジュール条件１２０５を入力する。
　検索スケジュール条件１２０５は、スケジュールによりログ分析装置９０３で検索を行う場合の条件を指定するものである。例えば、攻撃発生予想日時から、１時間にわたり、ログを検索するなどの条件を指定できる。
　ここでは、検索スケジュール条件１２０５では何も指定しないとする。

　スケジュール検索部１０１０は、ログ検索情報１１１３と検索スケジュール条件１２０５とを入力し、ログ検索情報１１１３と検索スケジュール条件１２０５とをログ分析装置９０３が解釈可能な検索命令１１１４に変換する。スケジュール検索部１０１０は、変換した検索命令１１１４を、外部連携部（検索）１０１１に出力する。

　外部連携部（検索）１０１１は、検索命令１１１４を入力し、入力した検索命令１１１４を検索命令１２０８として、ログ分析連携装置１の外部に存在するログ分析装置９０３（ログ分析システム）向けに送信する。この処理は、図１の（４）スケジュール検索９１５に相当する。

　ログ分析装置９０３は、検索命令１２０８を受信する。ログ分析装置９０３は、受信した検索命令１２０８にしたがって、攻撃発生予想日時に検索を実行する。この処理は、図１の（５）スケジュール検索９１６に相当する。

　ログ分析装置９０３は、スケジュール検索によりエントリが検索されたか否か（エントリ有／無し）を検索結果１２０９として、ログ分析連携装置１に送信する。

　ログ分析連携装置１の外部連携部（検索）１０１１は、ログ分析装置９０３から検索結果１２０９を受信する。外部連携部（検索）１０１１は、受信した検索結果１２０９を検索結果１１１５としてスケジュール検索部１０１０へ出力する。スケジュール検索部１０１０は、例えば、以下のようなメッセージ（検索結果１１１６）を作成する。

　＜検索結果１１１６＞
　（メッセージ）「２０１２／０９／２５，０９：００：００に、資産Ｘにおいて、攻撃３が検知されました」
　攻撃３は、攻撃シナリオ要素３に対応する攻撃の情報であり、攻撃シナリオにしたがって、攻撃発生予想日時に発生が予想されたものである。資産Ｘは、攻撃シナリオ要素２の攻撃を受けた資産である。
　上記のメッセージは、ログ検索情報１１１３から生成可能である。

　スケジュール検索部１０１０は、上記のメッセージを、検索結果１１１６として出力部１０１２に出力する。
　出力部１０１２は、検索結果１１１６を検知結果１２１０として、ログ分析連携装置１の表示画面のＧＵＩ等に表示する。

　このメッセージをＧＵＩで表示された、ログ分析連携装置１のオペレータは、ログ分析装置９０３（図３）のオペレータに、当メッセージに基づき、ログ分析装置９０３を用いて詳細にログを分析する、あるいは、レポートを作成するなどを指示することができる。

　以上のように、本実施の形態に係るログ分析連携システム１０００では、ＳＩＥＭ装置９０２（ＳＩＥＭシステム）で検知可能な攻撃を基点として、ログ分析連携装置１（ログ分析連携システム）が次に起こりうる攻撃について、攻撃シナリオを用いて、攻撃発生の予想日時を求める。そして、ログ分析連携装置１は、攻撃発生の予想日時に基づいて、ログ分析装置９０３（ログ分析システム）をスケジュール検索することで、効率よく、攻撃の痕跡をログ分析装置９０３（ログ分析システム）で検索することができるという効果を奏する。

　実施の形態２．
　本実施の形態では、主に、実施の形態１との差異について説明する。
　図９は、本実施の形態に係るログ分析連携装置１の構成及び動作の概要を示す図である。図９は、図１に対応する図であり、図１と同様の機能構成については同一の符号を付し、その説明を省略する。

　本実施の形態では、モバイル機器９０５等のように、リソース制約の関係からログ収集を常に実施できない場合におけるログ分析方法の態様について説明する。

　図９に示すように、本実施の形態に係るログ分析連携装置１の構成及び動作についての実施の形態１との差異は、スケジュール収集部１０８と、外部連携部（収集）１０９と、収集スケジュール条件１２０４との使用が加わったことである。

　入力部１０１から攻撃可否判定部１０７までの処理、及び入力部１０１から攻撃可否判定部１０７までの処理に関わる各情報は、実施の形態１と同様であるため、その説明を省略する。

　攻撃可否判定部１０７は、ログ検索情報１１１３のスケジュール検索部１０１０への出力に加えて、ログ収集情報１１１０をスケジュール収集部１０８に出力する。

　攻撃可否判定部１０７は、以下の情報であるログ収集情報１１１０を生成する。攻撃可否判定部１０７は、例えば、収集スケジュール条件１２０４を入力し、入力した収集スケジュール条件１２０４に基づいてログ収集情報１１１０を生成するとしてもよい。

　まず、攻撃可否判定部１０７は、関連攻撃情報１１０５における「間隔２：１１０４＿ｓ２」から、次に攻撃シナリオ要素３が発生する時期を計算する。例えば、警告情報１２０１において、通知された攻撃（攻撃シナリオ要素２）の日時（攻撃発生日時）が「２０１２／０９／２４，０９：００：００」であり、「間隔２：１１０４＿ｓ２」が「２４時間」であれば、「２０１２／０９／２５，０９：００：００」が攻撃発生予想日時として算出される。

　また、攻撃可否判定部１０７は、攻撃発生予想日時と、資産情報１１０９における資産識別情報１１０９＿ａとから、ログを収集する命令（ログ収集命令）を生成する。

　例えば、ログ収集命令は以下のようになる。
　（ａ）収集条件：攻撃発生予想日時。
　（ｂ）検索対象ログ：「ＩＰアドレス」ｏｒ「ＭＡＣアドレス」ｏｒ「資産ＩＤ」（何れも該当資産のもの）
　攻撃可否判定部１０７は、上記のようなログ収集命令をログ収集情報１１１０として生成する。

　なお、収集スケジュール条件１２０４は、例えば、攻撃発生予想日時の前後１時間のログを収集するというような収集の付加条件である。収集スケジュール条件１２０４は、ログ収集情報１１１０に対してさらに条件を加えるものである。この場合は、スケジュール収集部１０８が、以下のようにログ収集情報１１１０を加工する。
　（ａ）収集条件：攻撃発生予想日時プラスマイナス１時間。
　（ｂ）検索対象ログ：「ＩＰアドレス」ｏｒ「ＭＡＣアドレス」ｏｒ「資産ＩＤ」（何れも該当資産のもの）。

　攻撃可否判定部１０７がログ収集情報１１１０をスケジュール収集部１０８へ出力すると、スケジュール収集部１０８は、ログ収集情報１１１０をログ分析装置９０３が解釈可能な収集命令１１１１に変換して、外部連携部（収集）１０９に出力する。

　外部連携部（収集）１０９は、ログ分析連携装置１の外部に存在するログ分析装置９０３に対して、収集命令１２０６を送信する。この処理は、図１の（４）’スケジュール収集９１５’に相当する。

　ログ分析装置９０３は、受信した収集命令１２０６にしたがって、攻撃発生予想日時（攻撃発生予想日時の前後１時間）に該当資産からログ収集を実行するように（スケジュール収集）、ロガー９０１に指示を出す。この処理は、図１の（５）’スケジュール収集９１６’に相当する。

　ロガー９０１は、スケジュール収集により、攻撃発生予想日時（攻撃発生予想日時の前後１時間）のみ、モバイル機器９０５からログを収集する。この処理は、図１の（５）’’スケジュール収集９１６’’、（６）’’ログ９１７’’に相当する。

　ロガー９０１は、ログを収集した結果をログ分析装置９０３へ収集結果９１７’’として通知する。ログ分析装置９０３は、ロガー９０１から通知された収集結果９１７’’を収集結果１２０７として、ログ分析連携装置１に送信する。

　ログ分析連携装置１の外部連携部（収集）１０９は、収集結果１２０７を入力し、収集結果１１１２としてスケジュール収集部１０８へ出力する。

　以上のようなスケジュール収集部１０８の処理により、モバイル機器９０５からログがロガー９０１にスケジュール収集された。これ以降は、実施の形態１における、スケジュール検索部１０１０、外部連携部（検索）１０１１、出力部１０１２の処理を実行する。

　本実施の形態では、ロガー９０１がモバイル機器９０５に対してログの収集を行う機能を有しており、例えば、モバイル機器９０５にログ収集用エージェントをインストールし、ロガー９０１が、モバイル機器９０５のログ収集用エージェントに対して、ログの送信命令を送ることで、ロガー９０１にモバイル機器９０５のログを送信させるような仕組みが考えられる。この様な仕組みは既存の技術を用いればよく、ログ収集の仕組みは、エージェント方式に限定せず、エージェントレス方式であっても良い。また、収集命令１２０６を直接ロガー９０１に送信するような方式でも良い。

　本実施の形態では、常にログ収集が不可能なモバイル機器に対して、分析に必要なログをそのときだけに限り収集するので、モバイル機器に負担をかけずに、ログの収集が可能となる効果がある。

　実施の形態３．
　本実施の形態では、主に、実施の形態１，２との差異について図９を用いて説明する。
　実施の形態１では、検索スケジュール条件１２０５には、何も指定しない場合について説明した。本実施の形態では、検索スケジュール条件１２０５として、例えば、以下のように指定することで検索のバリエーションを増やすことができる態様について説明する。

　スケジュール検索部１０１０は、検索スケジュール条件１２０５として、「攻撃発生予想日時の前１時間から攻撃発生予想日時まで検索する」、あるいは、「攻撃発生予想日時の前後１時間を検索する」等と指定された条件を入力する。
　これらの指定は、スケジュール検索部１０７により、ログ検索情報１１１３の検索条件に反映され、検索命令１１１４が生成される。

　また、検索結果１１１５において、エントリが検索されなかったことが判明した場合には、スケジュール検索を更に延長する指示を予め検索スケジュール条件１２０５として指定してもよい。
　例えば、スケジュール検索部１０１０は、「１度目の検索結果１１１５においてエントリが検索されなかった場合、ｍ時間おきに、ｎ回、同様のスケジュール検索を行う」と指定された検索スケジュール条件１２０５を入力する。この場合、スケジュール検索部１０１０は、検索条件の検索日時に「ｍ時間おき・ｎ回」という条件を反映し、検索命令１１１４を生成する。
　具体的には、検索スケジュール条件１２０５に「１度目の検索結果１１１５においてエントリが検索されなかった場合、１時間おきに、２回、同様のスケジュール検索を行う」と指定された場合、以下の（ａ）～（ｃ）のスケジュール検索が実行される。
　（ａ）最初の検索における検索日時：２０１２／０９／２５，０９：００：００。
　（ｂ）２回目の検索における検索日時：２０１２／０９／２５，１０：００：００。
　（ｃ）３回目の検索における検索日時：２０１２／０９／２５，１１：００：００。

　また、関連攻撃抽出部１０４は、関連攻撃抽出条件１２０３において「検知された攻撃の以前に発生した攻撃」が指定されていた場合、攻撃シナリオ１１０４から検知された攻撃よりも前に発生していたであろう攻撃の情報を抽出する。その場合、検索スケジュール条件１２０５を以下の様に指定する。これにより、スケジュール検索部１０１０（期間指定分析要求部）は、検知された攻撃よりも前に発生していたであろう攻撃の痕跡について、ログ分析装置９０３に検索命令１１１４（検索命令１２０８）を送信して、検索を依頼することができる。

　例えば、ＳＩＥＭ装置９０２により検知された攻撃（警告情報１２０１’により通知された攻撃）が、「攻撃シナリオ要素２：１１０４＿ｅ２」に該当したとする（図５参照）。その場合、「攻撃シナリオ要素１：１１０４＿ｅ１」（前攻撃）が、「攻撃シナリオ要素２：１１０４＿ｅ２」の攻撃の発生日時の「間隔１：１１０４＿ｓ１」（前発生間隔）前の日時に発生している可能性がある。
　「間隔１：１１０４＿ｓ１」が「２４時間」であったとする。この情報を利用し、例えば、検索スケジュール条件１２０５には、警告情報１２０１’における日時（攻撃発生日時：２０１２／０９／２４，０９：００：００）よりも２４時間前を検索日時として指定する。つまり、検索スケジュール条件１２０５には、「２０１２／０９／２３，０９：００：００を検索する」と指定する。

　但し、この場合は、既に過去の時間帯の検索なので、スケジューリングで検索するのではなく、直ぐに検索をするように指示する。
　また、検索に用いるキーワードなどの指定は、実施の形態１と同様の考え方であり、攻撃シナリオ要素１：１１０４＿ｅ１（前段の攻撃）から引用する。
　攻撃シナリオＤＢ検索部１０３、関連攻撃抽出部１０４、資産ＤＢ検索部１０６、攻撃可否判定部１０７は、前攻撃情報取得部の一例である。

　本実施の形態では、検索スケジュール条件１２０５を指定することで、検索日時に幅を持たせたり、１回目の検索でエントリが検索されなかった場合の、その後の検索方法を指定することが可能であり、この結果、攻撃発生予想日時がずれた場合にも対応できる効果がある。また、検知された攻撃の前段階の攻撃の痕跡をログから調べるため、攻撃シナリオを参照し、攻撃発生日時と攻撃の間隔を利用することで、検索対象の時期を適切な過去に指定した上で、該当する過去の攻撃の痕跡について、ログを検索することができる。

　実施の形態４．
　本実施の形態では、主に、実施の形態１～３との差異について説明する。
　実施の形態１～３において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。

　本実施の形態では、ＳＩＥＭ装置９０２から出力される警告情報１２０１’の攻撃について、次に発生が予想される攻撃として成りすましによる不正アクセスが予想された場合の対策について説明する。

　ＡＰＴにおいては、「パスワードハッシュによる成りすましによる不正アクセス」が使われることがある。
　「パスワードハッシュによる成りすましによる不正アクセス」とは、次のような攻撃をいう。

　様々な認証において、パスワードのハッシュがメモリ上にキャッシュされる、あるいはファイルに保存されることがある。このパスワードのハッシュを盗めば、盗んだパスワードのハッシュのみで、パスワード自体を知らなくとも、成りすましが成功することがある。
　これは、パスワードをハッシュで変換した値を認証で用いる認証方式が多いことを悪用している。ハッカーは、このパスワードハッシュを盗み、悪用しようとするが、一般的には、ＯＳが管理者権限で動いていないと、マルウェアがパスワードハッシュを盗むことができないとされる。

　そこで、本実施の形態では、上記のような「パスワードハッシュによる成りすましによる不正アクセス」攻撃が発生することが予測された場合に、パスワードハッシュを悪用する成りすましを検知・防止する方式について説明する。

　例えば、実施の形態１において説明した予想される攻撃（次攻撃）が、「攻撃シナリオ要素３：１１０４＿ｅ３」であり、「攻撃シナリオ要素３：１１０４＿ｅ３」においては、「パスワードハッシュによる成りすましによる不正アクセス」が以下のように定義されているとする。

　＜攻撃シナリオ要素３：１１０４＿ｅ３の内容＞
　（ａ）攻撃識別情報１１０４＿ａ：「攻撃ＩＤ＝１２３４」、「攻撃種別＝９（パスワードハッシュによる成りすましによる不正アクセス）」、「脆弱性ＩＤ＝無し」。
　（ｂ）攻撃情報１１０４＿ｂ：「影響を受ける製品（製品ＩＤ＝ＯＳ＿○○○、バージョン情報＝ｖｅｒ１、パッチＩＤ＝１，２，３，４，５）」、「必要とする実行権限＝管理者」、「キーワード＝無し」、「その他情報＝無し」。
　（ｃ）対策識別情報ＩＤ１１０４＿ｃ：「対策ＩＤ＝１２３４’」。
　（ｄ）対策情報１１０４＿ｄ：「パッチＩＤ＝無し」、「回避策ＩＤ＝７８９」、「回避策内容（管理者権限での実行を止める）」、「その他情報＝無し」。
　攻撃識別情報１１０４＿ａの攻撃種別には、「パスワードハッシュによる成りすましによる不正アクセス」を識別するＩＤである「９」が付与されている。

　また、攻撃対象の資産Ｘの資産情報１１０９において、攻撃対象の資産の実行権限１１０９＿ｄは、「管理者」であるとする。
　ＯＳのパッチやアプリケーションのインストールを行うためには、管理者の権限が必要であることが多く、利便性を優先し、管理者権限で実行している場合がある。

　図１０は、本実施の形態に係るログ分析連携装置１の構成及び動作の概要を示す図である。図１０は、図９に対応する図であり、図９と同様の機能構成については同一の符号を付し、その説明を省略する。

　図１０は、図９の構成に加え、外部連携部（対策）１０７１を備える。
　入力部１０１から資産ＤＢ検索部１０６までの処理は、実施の形態１で説明したものと同様なので説明を省略する。

　攻撃可否判定部１０７は、図８の攻撃可否判定処理のフローを実施した際に、Ｓ１０７＿７において、資産が攻撃に必要な権限（管理者）で実行されていることを確認するので、Ｓ１０７＿７においてＹＥＳとなり、Ｓ１０７＿８の「攻撃は成功する」の判断となる。

　上記の処理に加えて、本実施の形態では、攻撃可否判定部１０７は、攻撃種別が９「パスワードハッシュによる成りすましによる不正アクセス」であった場合に、以下の処理を行う。

　図１０において、攻撃可否判定部１０７は、以下の情報を生成し、外部連携部（対策）１０７１へ出力する。
　（ａ）権限変更命令１１１９：資産Ｘにおいて、管理者権限で実行している場合、管理者権限以外の権限で実行するように変更する命令。
　（ｂ）パスワードリセット命令１１１７：資産Ｘにおける管理者のパスワードを変更する命令。

　外部連携部（対策）１０７１は、攻撃可否判定部１０７から権限変更命令１１１９とパスワードリセット命令１１１７とを入力する。外部連携部（対策）１０７１は、入力した権限変更命令１１１９を権限変更命令１２１１に変換するとともに、入力したパスワードリセット命令１１１７をパスワードリセット命令１２１２に変換し、ログ分析連携装置１の外部に出力する。

　監視対象システムは、認証サーバ１０（あるいは、認証サーバに類する管理システム）（認証装置）を備える。認証サーバ１０は、監視対象システム、監視対象システムに接続されている通信機器９０４、モバイル機器９０５等へのアクセス権限を認証情報により認証する。認証情報とは、例えば、ユーザＩＤ、パスワード等である。

　外部連携部（対策）１０７１は、権限変更命令１２１１とパスワードリセット命令１２１２とを、システム全体を管理している認証サーバ１０へ送信する。

　図１１は、本実施の形態に係る認証サーバ１０の構成と動作とを示す図である。
　図１１に示すように、認証サーバ１０は、ログ分析連携装置１から権限変更命令１２１１を受けて、該当する資産の実行権限を管理者以外に変更する（Ｓ１００１）。認証サーバ１０は、入力した権限変更命令１２１１により、該当する資産の実行権限を管理者以外に変更する権限変更機能を備える。

　また、図１１に示すように、認証サーバ１０は、パスワードリセット装置１１を備える。認証サーバ１０は、ログ分析連携装置１からパスワードリセット命令１２１２を入力し、入力したパスワードリセット命令１２１２をパスワードリセット命令８２０１に変換し、パスワードリセット装置１１に入力する。

　パスワードリセット装置１１は、パスワードリセット命令８２０１を入力すると、通信機器９０４のパスワードをリセットするためのリセット用パスワード８２０３、パスワードリセット通知文面８２０２を生成する。パスワードリセット装置１１は、リセット用パスワード８２０３、パスワードリセット通知文面８２０２を通信機器９０４等に送信する（Ｓ１００２，Ｓ１００３）。リセット用パスワード８２０３及びパスワードリセット通知文面８２０２を生成する処理の詳細については後述する。

　ログ分析連携装置１の外部連携部（対策）１０７１は、権限変更命令１１１９を、上記権限変更機能が解釈する権限変更命令１２１１として変換する。同様に、外部連携部（対策）１０７１は、パスワードリセット命令１１１７をパスワードリセット機能が解釈するパスワードリセット命令１２１２として変換する。

　このような権限変更機能、パスワードリセット機能としては、例えば、ソフトウェア開発ライブラリなどが用意されていたり、あるいは、命令フォーマットや通信方式が開示されていることが多い。

　権限変更命令１２１１は、外部連携部（対策）１０７１から、認証サーバ１０（或いは類する管理システム）へ送信される。認証サーバ１０は、権限変更機能を用いて、資産Ｘの実行権限を変更する。

　次に、外部連携部（対策）１０７１は、パスワードリセット命令１２１２を認証サーバ１０（或いは類する管理システム）へ送信する。
　この時、認証サーバ１０（或いは類する管理システム）においては、このパスワードリセット命令１２１２にしたがって、パスワードリセット機能を実装するモジュールを呼び出す。

　ここで、パスワードリセット命令１２１２を受けて、認証サーバ１０（或いは類する管理システム）で呼び出すモジュールの処理を以下に示す。
　当モジュールは、資産Ｘの管理者のパスワードを、下記に示すリセット用パスワードでリセットしたうえで、リセット後のパスワードを、下記に示す文面でユーザに通知する。

　なお、該当資産のパスワードのリセットは、認証サーバ１０（或いは類する管理システム）からリモートで実行するパスワードリセット機能を使用する。

　本実施の形態に係るパスワードリセット装置１１は、パスワードリセットのためのパスワード生成機能と、リセット後のパスワードを通知するパスワードリセット通知機能とを備える。

　パスワードリセット装置１１は、パスワードのリセットのために以下の処理を実行する。
（１）安全なパスワードとして、「ｐａｓｓ＿１」を生成する。
（２）作成したパスワードについて、予め用意した変換方法を適用し、新しいパスワード「ｐａｓｓ＿２」を生成する。
（３）変換したパスワード「ｐａｓｓ＿２」を用いて、該当資産の管理者のパスワードをリセットする。
（４）「ｐａｓｓ＿１」と「（２）で適用した変換方法」とを示した電子メールを資産Ｘのユーザに送信する。

　上記のような処理により、「パスワードハッシュによる成りすましによる不正アクセス」攻撃が発生することが予測された場合、監視対象システムあるいは監視対象機器においてパスワードが自動的にリセットされ、リセット後のパスワードはユーザに電子メールなどで通知されることとなる。

　図１２は、本実施の形態に係るパスワードリセット装置１１により生成される電子メールを示す図であり、（ａ）は電子メールの一例、（ｂ）は電子メールの他の例を示した図である。

　図１２（ａ）に示す「Ｊ９－ｎ１＊％４＞＾ｑ」が「ｐａｓｓ＿１」である。そして、「！Ｊ９－ｎ１＊％４＞＾ｑ）」が「ｐａｓｓ＿２」である。
　図１２（ａ）に示すように、「ｐａｓｓ＿１」から「ｐａｓｓ＿２」への変換方法（「（２）で適用した変換方法」）は、「下記のパスワードの直前に’！’を末尾に’）’を追加し、パスワードとして入力してください。」と、メールの文面で指示する。

　図１３は、本実施の形態に係るパスワードリセット装置１１の構成と動作とを示す図である。
　図１２（ａ）に示すパスワードのリセット文面は、図１３に示すパスワードリセット装置１１により生成される。

　パスワードリセット装置１１は、パスワード生成部８０１、変換ルール選択部８０２，変換パラメータ値生成部８０３、文書テンプレート選択部８０４、パスワードリセット通知文書生成部８０５、変換ルール文書テンプレートＤＢ８０６を備える。

　パスワード生成部８０１は、安全なパスワードを生成する。
　変換ルール選択部８０２は、パスワード生成部８０１で生成したパスワードを変換するルールを選択する。変換ルール選択部８０２は、変換ルールを、変換ルール文書テンプレートＤＢ８０６から検索し取得する。

　変換パラメータ値生成部８０３は、パスワードを変換する際に使用する変換用パラメータを生成する。
　文書テンプレート選択部８０４は、パスワードを変換するルールと対になる文書テンプレートを、変換ルール文書テンプレートＤＢ８０６から検索し取得する。

　パスワードリセット通知文書作成部８０５は、パスワードリセットを指示する文書を作成し、パスワードリセット通知文面８２０２と、リセット用パスワード８２０３とを出力する。
　変換ルール文書テンプレートＤＢ８０６は、パスワードの変換ルールと文書テンプレートとの対を保存するＤＢである。パスワード変換ルールと文書テンプレートとの対（以下、パスワード変換ルール＋文書テンプレートと記載する）は、この対を識別するＩＤにより、以下のように保存・管理されている。
　ＩＤ１：パスワード変換ルール１＋文書テンプレート１
　ＩＤ２：パスワード変換ルール２＋文書テンプレート２
　・・・
　ＩＤｎ：パスワード変換ルールｎ＋文書テンプレートｎ

　図１４は、本実施の形態に係るパスワードリセット装置１１のリセット用パスワード８２０３及びパスワードリセット通知文面８２０２の生成方法を示す図である。
　図１３及び図１４を用いて、パスワードリセット装置１１の動作について説明する。

　パスワードリセット装置１１は、パスワードリセット命令８２０１（認証サーバ１０（或いは類する管理システム）における指示）を入力する。入力されたパスワードリセット命令８２０１は、パスワード生成部８０１と変換ルール選択部８０２とに入力される。

　パスワード生成部８０１は、所定のアルゴリズムで、安全なパスワードを生成し、ベースパスワード８１０１を生成する。

　変換ルール選択部８０２は、ランダムに、パスワード変換ルール＋文書テンプレートの対を管理しているＩＤを選択する。例えば、変換ルール選択部８０２は、「ＩＤ１」を選択する。続けて、変換ルール選択部８０２は、選択した「ＩＤ１」を変換ルール文書テンプレートＤＢ８０６に送信し、該当するエントリの、変換ルール８１０６を取得する。

　ここでは、以下のように「ＩＤ１」に対応するエントリから、パスワード変換ルール１を取得する。
　ＩＤ１：パスワード変換ルール１＋文書テンプレート１

　変換ルール選択部８０２は、パスワード変換ルール１をパスワード変換ルール８１０２として、変換パラメータ値生成部８０３に出力する。

　ここで、パスワード変換ルール１は、以下のように記述されているとする。
　＜パスワード変換ルール１＞
ａｐｐｅｎｄ
　ｐａｒａｍ１＝ｔｏｐ，’！’
　ｐａｒａｍ２＝ｔａｉｌ，’）’

　次に、変換パラメータ値生成部８０３は、このパスワード変換ルール１を解釈し、変換パラメータ値８１０３を以下のように生成する（図１４参照）。
ａｐｐｅｎｄ
　ｐａｒａｍ１＝ｔｏｐ，’！’
　ｐａｒａｍ２＝ｔａｉｌ，’）’

　ここでは、ｐａｒａｍ１とｐａｒａｍ２とに、既に値が指定されているため、変換パラメータ値生成部８０３は、パスワード変換ルール１をそのまま変換パラメータ値８１０３として出力する。

　パラメータに値が設定されていない場合は、変換パラメータ値生成部８０３は、パラメータに値を設定してパラメータ値８１０３を生成する。

　パラメータに値が設定されていない場合の変換パラメータ値８１０３は、以下のようになる。
ａｐｐｅｎｄ
　ｐａｒａｍ１＝ｔｏｐ，＊
　ｐａｒａｍ２＝ｔａｉｌ，＊

　上記のようにパラメータに値が設定されていない場合の変換パラメータ値８１０３が指定された場合は、変換パラメータ値生成部８０３は、任意の文字をその場で選択して当てはめる。「＊」に当てはめる。

　例えば、変換パラメータ値生成部８０３は、’］’と’＞’を選択したのであれば、
ａｐｐｅｎｄ
　ｐａｒａｍ１＝ｔｏｐ，’］’
　ｐａｒａｍ２＝ｔａｉｌ，’＞’
と解釈する。文字数は１文字以上であればよい。
　この場合、リセット用パスワードは、「］Ｊ９－ｎ１＊％４＞＾ｑ＞」となる。

　次に、変換ルール選択部８０２は、選択した「ＩＤ１」をＩＤ８１０４として文書テンプレート選択部８０４へ出力する。

　文書テンプレート選択部８０４は、変換ルール選択部８０２からＩＤ８１０４（ＩＤ１）を入力する。文書テンプレート選択部８０４は、入力したＩＤ８１０４（ＩＤ１）を用いて、変換ルール文書テンプレートＤＢ８０６を検索する。文書テンプレート選択部８０４は、ＩＤ８１０４（ＩＤ１）に対応する文書テンプレート１を文書テンプレート８１０７として取得する。さらに、文書テンプレート選択部８０４は、パスワードリセット通知文書生成部８０５に取得した文書テンプレート１を出力する。

　ここで、文書テンプレート１は、以下のように記述されているとする（図１４参照）。
　＜文書テンプレート１＞
Ｉｎｓｔｒｕｃｔｉｏｎ：
下記のパスワードのｗｈｅｒｅ１にｖａｌｕｅ１をｗｈｅｒｅ２にｖａｌｕｅ２をｄｏ１し、パスワードとして入力してください。
ＴｏＢｅＣｈａｎｇｅｄ：
ｗｈｅｒｅ１，ｖａｌｕｅ１
ｗｈｅｒｅ２，ｖａｌｕｅ２
ｄｏ１

　パスワードリセット通知文書生成部８０５は、入力した変換パラメータ値８１０３を参照する。
　＜変換パラメータ値８１０３＞
ａｐｐｅｎｄ
　ｐａｒａｍ１＝ｔｏｐ，’！’
　ｐａｒａｍ２＝ｔａｉｌ，’）’

　ここで、パスワードリセット通知文書生成部８０５は、図１４に示す変換表８０４ａを備えるものとする。
　変換表８０４ａは、例えば、ｗｈｅｒｅの位置に表される変数と、文書中の変換についての対応を記載したものである。変換表８０４ａは、例えば、次のような内容が記載されている。

　（ａ）ｔｏｐ→先頭：ｔｏｐは先頭と変換する（図１４の＊２）。
　（ｂ）ｔａｉｌ→末尾：ｔａｉｌは末尾と変換する（図１４の＊３）。

　上記の内容の他に、例えば、以下の内容等を指定する（図示は無し）。
　（ｃ）１→先頭から１番目：１は先頭から１番目を意味する。
　（ｄ）２→先頭から２番目：２は先頭から２番目を意味する。

　パスワードリセット通知文書生成部８０５は、例えば、変換表８０４ａに基づいて、上記変換パラメータ値８１０３を、次のように解釈する。
　（１）ａｐｐｅｎｄなので、指定された値を、指定された箇所に追加する。
＜指定された値＞
　ｐａｒａｍ１より、１つ目：’！’
　ｐａｒａｍ２より、２つ目：’）’
＜指定された箇所＞
　ｐａｒａｍ１より、１つ目：ｔｏｐ→先頭
　ｐａｒａｍ２より、２つ目：ｔａｉｌ→末尾

　そして、パスワードリセット通知文書生成部８０５は、リセット用のパスワードを以下のように生成する。
　（１）ベースパスワード８１０１（Ｊ９－ｎ１＊％４＞＾ｑ）に対するリセット用パスワード：「！Ｊ９－ｎ１＊％４＞＾ｑ）」。
　これは、「Ｊ９－ｎ１＊％４＞＾ｑ」の先頭に’！’を追加し、末尾に’）’を追加したものである。

　次に、パスワードリセット通知文書生成部８０５は、入力した文書テンプレート８１０５（文書テンプレート１）を参照し、以下のように解釈する。
　（１）Ｉｎｓｔｒｕｃｔｉｏｎ：以降の文字列を読み込み、パスワードの変換指示の文書と解釈する。
　下記のパスワードのｗｈｅｒｅ１にｖａｌｕｅ１をｗｈｅｒｅ２にｖａｌｕｅ２をｄｏ１し、パスワードとして入力してください。
　（２）ＴｏＢｅＣｈａｎｇｅｄ：の箇所を特定し、１行ずつ読み込む。
　（ｗｈｅｒｅ１，ｖａｌｕｅ１）、（ｗｈｅｒｅ２，ｖａｌｕｅ２）、（ｄｏ１）を得る。

　そして、パスワードリセット通知文書生成部８０５は、以下を解釈する。
　パスワードの変換指示の文書「下記のパスワードのｗｈｅｒｅ１にｖａｌｕｅ１をｗｈｅｒｅ２にｖａｌｕｅ２をｄｏ１し、パスワードとして入力してください」において、
　’ｗｈｅｒｅ１’とマッチする箇所を、１つ目の変換箇所を示す文字列で置換する。
　’ｖａｌｕｅ１’とマッチする箇所を、１つ目の変換用の値で置換する。
　’ｗｈｅｒｅ２’とマッチする箇所を、２つ目の変換箇所を示す文字列で置換する。
　’ｖａｌｕｅ２’とマッチする箇所を、２つ目の変換用の値で置換する。
　’ｄｏ１’とマッチする箇所を、変換方法を示す文字列で置換する。

　次に、パスワードリセット通知文書生成部８０５は、変換パラメータ値８１０３を参照する。
ａｐｐｅｎｄ
　ｐａｒａｍ１＝ｔｏｐ，’！’
　ｐａｒａｍ２＝ｔａｉｌ，’）’

　この変換パラメータ値８１０３は、既に、次のように解釈されている。
　（１）ａｐｐｅｎｄなので、指定された値を、指定された箇所に追加する。
＜指定された値＞
　ｐａｒａｍ１より、１つ目：’！’
　ｐａｒａｍ２より、２つ目：’）’
＜指定された箇所＞
　ｐａｒａｍ１より、１つ目：ｔｏｐ→先頭
　ｐａｒａｍ２より、２つ目：ｔａｉｌ→末尾

　以上より、パスワードリセット通知文書生成部８０５は、次の変換を行う。
　’ｗｈｅｒｅ１’とマッチする箇所を１つ目の変換箇所を示す文字列で置換する→’先頭’。
　’ｖａｌｕｅ１’とマッチする箇所を、１つ目の変換用の値で置換する→’！’。

　この結果、パスワードの変換指示の文書（以下、変換指示文書とする）は、以下のように変換される。
　変換指示文書：「下記のパスワードの先頭に’！’をｗｈｅｒｅ２にｖａｌｕｅ２をｄｏ１し、パスワードとして入力してください」。
　ここでは、「先頭」と「’！’」とが、変換された部分である。

　同様に、パスワードリセット通知文書生成部８０５は、次の変換を行う。
　’ｗｈｅｒｅ２’とマッチする箇所を２つ目の変換箇所を示す文字列で置換する→’末尾’。
　’ｖａｌｕｅ２’とマッチする箇所を、２つ目の変換用の値で置換する→’）’。

　この結果、パスワードの変換指示文書は、以下のように変換される。
　変換指示文書：「下記のパスワードの先頭に’！’を末尾に’）’をｄｏ１し、パスワードとして入力してください」。
　ここでは、「末尾」と「’）’」とが、変換された部分である。

　最後に、パスワードリセット通知文書生成部８０５は、次の変換を行う。
　ｄｏ１の箇所を、変換指示である「ａｐｐｅｎｄ→’追加’」で置換する。

　この結果、パスワードの変換指示文書は、以下のように変換される。
　変換指示文書：「下記のパスワードの先頭に’！’を末尾に’）’を追加し、パスワードとして入力してください」。
　ここでは、「追加」が、変換された部分である。

　パスワードリセット通知文書生成部８０５は、最後に、変換指示文書の末尾にベースパスワード８１０１を追加し、最終的にパスワードリセット文書（変換指示文書）を以下のように生成する（図１２（ａ）参照）。
　変換指示文書：
下記のパスワードの直前に’！’を末尾に’）’を加えてから、パスワードとして入力してください。
Ｊ９－ｎ１＊％４＞＾ｑ

　そして、パスワードリセット通知文書生成部８０５は、パスワードリセット文書（変換指示文書）をパスワードリセット通知文書８２０２として出力する。また、パスワードリセット通知文書生成部８０５は、リセット用パスワード８２０３を出力する。

　認証サーバ１０（或いは類する管理システム）は、パスワードリセット装置１１の出力であるリセット用パスワード８２０３を用いて、資産Ｘの管理者用パスワードをリセットする（図１０のＳ１００２）。

　さらに、認証サーバ１０（或いは類する管理システム）は、パスワードリセット装置１１の出力であるパスワードリセット通知文書８２０２を受け取り、パスワードリセット通知文書８２０２をメールの文面とし、資産Ｘのユーザへ電子メールを送信する（図１１のＳ１００３）。
　資産Ｘのユーザは、この電子メールを受け取ると、メールの文面を読んで指示に従い、リセット用パスワードをリセット後のパスワードとして入力する。
　その後、さらにユーザ自身でパスワードをリセットしても良い。

　次に、パスワードリセット装置１１において、パスワードリセット処理の他の実装の方法について説明する。

　図１２（ｂ）に示すように、パスワードリセット通知文書８２０２として以下のような文面を生成する方法がある。
　図１２（ｂ）に示すメール文面は、「画像と一致する動物の番号を選択して、下記のパスワードの末尾に、その名前を追加しパスワードとしてください」として、その後にベースパスワード「Ｊ９－ｎ１＊％４＞＾ｑ」が表示される。また、その後には魚の画像が添付され、選択枝「１．ｔｉｇｅｒ，２．ｓｎａｋｅ，３．ｆｉｓｈ，４．Ｍｉｃｈｅｌ」が表示される。魚の画像と選択肢の位置は、逆でもよい。

　この場合、変換ルール文書テンプレートＤＢ８０６では、以下を管理する。
　ＩＤ１：パスワード変換ルールｇ＋文書テンプレートｇ＋画像テンプレートｇ。

　パスワード変換ルールｇは、以下の内容となる。
　＜パスワード変換ルールｇ＞
ａｐｐｅｎｄ
　ｐａｒａｍ１＝ｔａｉｌ，’ｆｉｓｈ’

　文書テンプレートｇは、以下の内容となる。
　＜文書テンプレートｇ＞
Ｉｎｓｔｒｕｃｔｉｏｎ：
画像と一致する動物の番号を選択して、下記のパスワードのｗｈｅｒｅ１に、その名前をｄｏ１しパスワードとしてください。
ＴｏＢｅＣｈａｎｇｅｄ：
ｗｈｅｒｅ１←ｖａｌｕｅ１は無い。
ｄｏ１

　画像テンプレートｇは、以下の内容となる。
　＜画像テンプレートｇ＞
　「魚の画像」
　「１．ｔｉｇｅｒ，２．ｓｎａｋｅ，３．ｆｉｓｈ，４．Ｍｉｃｈｅｌ」

　パスワード生成部８０１、変換ルール選択部８０２、変換パラメータ値生成部８０３の処理は、図１２（ａ）のメールを生成する場合の処理と同様である。
　文書テンプレート選択部８０４は、文書テンプレートｇに加え、画像テンプレートｇも取得し、パスワードリセット通知文書生成部８０５へ出力する。

　パスワードリセット通知文書生成部８０５は、上述した処理と同様に、以下のようにパスワードリセット通知文書８２０２（変換指示文書）を生成する。但し、文書テンプレートｇには、ＴｏＢｅＣｈａｎｇｅｄのｖａｌｕｅ１は存在せず、Ｉｎｓｔｒｕｃｔｉｏｎの文書中にもｖａｌｕｅ１に相当する箇所は無いので、この置換に関する処理は行わない。

　パスワードリセット通知文書生成部８０５は、変換指示文書：「画像と一致する動物の番号を選択して、下記のパスワードの末尾に、その名前を追加しパスワードとしてください」の後に、ベースパスワード「Ｊ９－ｎ１＊％４＞＾ｑ」を追加する。
　次に、パスワードリセット通知文書生成部８０５は、末尾に、画像テンプレートｇにおける、’１．ｔｉｇｅｒ，２．ｓｎａｋｅ，３．ｆｉｓｈ，４．Ｍｉｃｈｅｌ’を追加する。
　さらに、パスワードリセット通知文書生成部８０５は、パスワードリセット通知文書８２０２に、魚の画像を添付する。

　以上のように、パスワードリセット通知文書生成部８０５は、パスワードリセット通知文書８２０２を生成する。また、パスワードリセット通知文書生成部８０５は、ルールに従い、「Ｊ９－ｎ１＊％４＞＾ｑｆｉｓｈ」をリセット用パスワード８２０３として生成する。

　上記は実装の一例であるが、パスワード変換ルール、文書テンプレートの実装を変え、ベースパスワードに対する置換の方法を変えたり、文字を削除したり、ベースパスワードを半分に分割しそれらを入れ替えるなど、様々なパスワード生成方法が考えられる。

　以上のように、本実施の形態に係るログ分析連携システム１０００は、次のような特徴を備えることを説明した。
　ログ分析連携装置は、将来に起こりうる攻撃の情報に、パスワードハッシュによる不正アクセスが含まれていた場合、認証システムに、管理者権限による資産の実行を、その他の権限による実行に変更する命令を出力する。
　さらに、ログ分析連携装置は、既存の認証システムにアドオンする装置により、新しい管理者用パスワードを生成し、認証システムから、そのパスワードで該当資産のパスワードをリセットする。さらに、リセットしたパスワードを通知する文章をメールで、該当資産のユーザに通知する。その際に、メールの文章は、「ベースパスワード」、「ベースパスワードの変換方法（文書）」、「ベースパスワードに対して、文書で示された変換方法を施したパスワードが、リセットに使用したパスワードであること」を示す内容である。

　上述したパスワード生成方法において特徴的なのは、「人間が文書を読まないとパスワード生成方法は分からない」点である。マルウェアは、パスワードリセット通知文書８２０２を含んだメールを受け取っても、その変換ルールを解釈できないので、マルウェアによるリセット用パスワードの悪用防止となる。

　以上のように、本実施の形態に係るログ分析連携システム１０００によれば、攻撃シナリオにおいて、将来、パスワードハッシュによる成りすましによる不正アクセスが起こると判断された場合、資産情報から攻撃対象の資産の実行権限が管理者権限か調べ、管理者権限で実行されている場合は、認証サーバ経由で、実行権限を管理者権限以外にすることで、パスワードハッシュがマルウェアにより盗まれ、成りすましに悪用されることを防ぐ効果がある。

　さらに、本実施の形態に係るログ分析連携システム１０００によれば、成りすましを防止するため、攻撃対象の資産におけるユーザ（管理者）のパスワードを強制リセットし、そのリセットしたパスワードを攻撃対象の資産におけるユーザ（管理者）へメールで通知する場合に、人間が文章を理解しないと、リセットしたパスワードを判断できないようにしたので、マルウェアがパスワードの通知メールを入手しても、パスワードが分からず、悪用できないという効果がある。

　実施の形態５．
　本実施の形態では、主に、実施の形態１～４との差異について説明する。
　実施の形態１～４において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。

　実施の形態１～４において、ログ分析連携システム１０００は、警告情報で通知された攻撃を含む攻撃シナリオに基づいて、将来起こりうる攻撃の発生を攻撃発生が予想される時期にログから検索する、あるいは過去に起こり得た攻撃の痕跡を攻撃発生したであろう時期についてログから検索する方式について説明した。

　例えば、攻撃発生が予想される時期／攻撃発生したであろう時期を指定してログを検索しても、該当する攻撃の痕跡が検索されないことが考えられる。
　本実施の形態では、ログ分析連携装置１は、検索されたエントリが無かったことが示された場合は、攻撃シナリオ１１０４を修正して修正シナリオを生成する処理について説明する。

　ログ分析連携装置１は、図１の検索結果１２０９に、検索されたエントリが無かったことが示された場合は、そのとき参照した攻撃シナリオ１１０４から、ログ分析装置９０３へ検索を依頼した対象の攻撃を削除した修正シナリオを生成し、攻撃シナリオＤＢ１０１３に追加する。

　例えば、図５の攻撃シナリオ１１０４において、ログのスケジュール検索をしても「攻撃シナリオ要素３：１１０４＿ｅ３」について痕跡が見つからなかった場合について説明する。この場合、ログ分析連携装置１は、攻撃シナリオ１１０４から、「攻撃シナリオ要素３：１１０４＿ｅ３」を削除して、新たな攻撃シナリオ１１０４’を生成する。

　新たな攻撃シナリオ１１０４’は、以下のような内容となる。
　攻撃シナリオ１１０４’：「１１０４＿ｅ１：攻撃シナリオ要素１→１１０４＿ｓ１：間隔１→１１０４＿ｅ２：攻撃シナリオ要素２」。

　ログ分析連携装置１は、新たに生成した攻撃シナリオ１１０４’を追加シナリオとして攻撃シナリオＤＢ１０１３に追加する。

　また、「１１０４＿ｓ２：間隔２」の値に基づいた攻撃発生が予想される時期が、実際にログ分析システムで検索された時期に対して、進んでいたり、遅れていたりした場合について説明する。

　ログ分析連携装置１は、予想発生時期と実際の発生時期とのずれを「１１０４＿ｓ２：間隔２」に反映（修正）し、攻撃シナリオ１１０４を修正しても良い。例えば、修正前は「１１０４＿ｓ２：間隔２＝２４時間」であった情報を、予想発生時期と実際の発生時期とのずれ（例えば、２４時間のずれ）を反映して修正した結果、「１１０４＿ｓ２：間隔２＝４８時間」としてもよい。
　或いは、予想発生時期と実際の発生時期とのずれ（例えば、２４時間のずれ）を加味して修正してもよい。この場合は、予想発生時期と実際の発生時期とのずれ（例えば、２４時間のずれ）を反映して修正した結果、「１１０４＿ｓ２：間隔２＝２４～４８時間」としてもよい。

　以上のように、本実施の形態に係るログ分析連携システム１０００によれば、予想発生時期と実際の発生時期とのずれを攻撃シナリオに反映させることができるので、精度の高いスケジュール検索を実行することができる。

　実施の形態６．
　本実施の形態では、主に、実施の形態１～５との差異について説明する。
　実施の形態１～５において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。

　攻撃の種類によっては、攻撃の間隔についての情報が不明な場合がある。本実施の形態では、攻撃シナリオ１１０４に間隔を含まない場合のシナリオを用いたログ分析連携システム１０００の動作について記述する。

　図５の攻撃シナリオ１１０４において、間隔１：１１０４＿ｓ１、間隔２：１１０４＿ｓ２が記述されているが、本実施の形態では、間隔１、間隔２という攻撃間の発生時間を含まない攻撃シナリオ１１０４を用いる。
　つまり、本実施の形態では、攻撃シナリオ１１０４は以下である。
　攻撃シナリオ要素１：１１０４＿ｅ１→攻撃シナリオ要素２：１１０４＿ｅ２→攻撃シナリオ要素３：１１０４＿ｅ３。

　以下に、実施の形態１におけるログ分析連携装置１の動作と、本実施の形態におけるログ分析連携装置１の動作との差分について説明する。
　本実施の形態では、攻撃シナリオにおいて間隔を含まないため、関連攻撃情報１１０５には「攻撃シナリオ要素３：１１０４＿ｅ３」が該当する。

　実施の形態１では、ログ検索情報１１１３に含まれる攻撃発生予想日時の生成に、関連攻撃情報１１０５に含まれる間隔２を使用するが、本実施の形態では「間隔」の情報が無い。本実施の形態に係るログ分析連携装置１は、「間隔」の情報の代わりに、検索スケジュール条件１２０５において、例えば、以下のような指示を行う。

　＜本実施の形態に係る検索スケジュール条件１２０５の具体例＞
　例１：「攻撃発生日時からｍ時間おきにｐ時間の期間をｎ回検索せよ」。
　例２：「攻撃発生日時から１回検索、
　２回目は１回目の検索後１×ｍ時間後にｐ１時間の期間、
３回目は２回目の検索後２×ｍ時間後にｐ２時間の期間、
４回目は３回目の検索後３×ｍ時間後にｐ３時間の期間、
・・・同様にｎ回検索せよ」。例２では検索から次の検索までの期間が段々長くなる。
　例３：「攻撃発生日時から１回検索、
２回目は１回目の検索後１×ｍ時間後にｐ１時間の期間、
３回目は２回目の検索後２×ｍ時間後にｐ２時間の期間、
４回目は３回目の検索後４×ｍ時間後にｐ３時間の期間、
・・・同様にｎ回検索せよ」。例３では検索から次の検索までの期間が倍で長くなる。
　また、ｐ１、ｐ２、ｐ３は同じでも異なっても良い。
　また、「攻撃発生日時から」という部分も、「現在の時刻から」「今からｐ時間から」「次の０時から」などに置き換えても良い。

　スケジュール検索部１０１０は、このようにスケジュール検索を行う時期・期間・回数などの情報を検索スケジュール条件１２０５として受け取り、検索命令１１１４を生成する。
　攻撃発生予想日時は、検索スケジュール条件１２０５をもとに生成される。例えば、検索スケジュール条件１２０５で、「攻撃発生日時からｍ時間おき」という条件が含まれていた場合は、攻撃発生予想日時は、「攻撃発生日時＋ｍ時間後」（以後ｍ時間後）である。

　本実施の形態では、攻撃可否判定部１０７では攻撃発生予想日時を生成せず、スケジュール検索部１０１０で生成する。従って、実施の形態１では攻撃可否判定部１０７が出力するログ検索情報１１１３に検索条件として検索の日時が含まれていたが、本実施の形態では含まれず、スケジュール検索部１０１０で生成・追加する。

　また、実施の形態２においては、攻撃可否判定部１０７がログ収集情報１１１０を生成する。このログ収集情報１１１０には、収集条件として攻撃発生予想日時をもとにした収集条件が含まれている。この攻撃発生予想日時は攻撃シナリオに含まれる間隔を元に算出される。
　一方、本実施の形態では、攻撃発生予想日時は、スケジュール収集部１０８において、収集スケジュール条件１２０４をもとに生成される。この場合、収集スケジュール条件１２０４は、本実施の形態における検索スケジュール条件１２０５と同様の記述となる（「検索せよ」という記述が「収集せよ」と置き換わる）。

　また、本実施の形態における検索スケジュール条件１２０５を攻撃可否判定部１０７に入力し、攻撃可否判定部１０７が検索スケジュール条件１２０５から検索のための攻撃発生予想日時を算出しても良い。
　また、本実施の形態における収集スケジュール条件１２０４を攻撃可否判定部１０７に入力し、攻撃可否判定部１０７が収集スケジュール条件１２０４から収集のための攻撃発生予想日時を算出しても良い。
　また、上記の例では、攻撃発生日時を未来としたが、過去に遡って発生していたであろう攻撃を検索したり、ログを収集する場合は、ｍ（時間）をマイナスの値に指定すればよい。

　なお、本実施の形態では、関連攻撃情報１１０５に含まれる攻撃シナリオ要素が「攻撃シナリオ要素３：１１０４＿ｅ３」である場合を示した。
　しかし、例えば、検索された攻撃シナリオ１１０４が以下のとおりであり、関連攻撃情報１１０５に含まれる攻撃シナリオ要素の数が複数の場合もある。

　検索された攻撃シナリオ１１０４：「攻撃シナリオ要素１：１１０４＿ｅ１→攻撃シナリオ要素２：１１０４＿ｅ２→攻撃シナリオ要素３：１１０４＿ｅ３→攻撃シナリオ要素４：１１０４＿ｅ４→攻撃シナリオ要素５：１１０４＿ｅ５」。
　関連攻撃情報１１０５に含まれる攻撃シナリオ要素：「攻撃シナリオ要素３：１１０４＿ｅ３、攻撃シナリオ要素４：１１０４＿ｅ４、攻撃シナリオ要素５：１１０４＿ｅ５」。
　すなわち、関連攻撃情報１１０５に含まれる攻撃シナリオ要素が複数の場合である。

　この場合、攻撃可否判定部１０７、スケジュール検索部１０１０、スケジュール収集部１０８は、関連攻撃情報１１０５に含まれる、これらの複数の攻撃シナリオ要素について、上述した攻撃シナリオ要素３：１１０４＿ｅ３に対する処理と同様の処理を行っても良い。

　以下に処理の例を示す。
　関連攻撃情報１１０５に含まれる攻撃シナリオ要素が複数であるため、対策情報１１０７、対策有無１１０７’は、セキュリティ対策検索部１０５により各攻撃シナリオ要素に対応したものが返される。
　攻撃可否判定部１０７は、各攻撃シナリオ要素に含まれる攻撃が、該当する資産情報１１０９で示される資産において発生するか否かを、図８にしたがって判定する。
　図８の処理により該当する資産情報１１０９で示される資産で発生すると判断された攻撃シナリオ要素について、スケジュール検索部１０１０は、ログの検索を実行する。

　次に、攻撃シナリオ要素３：１１０４＿ｅ３、攻撃シナリオ要素４：１１０４＿ｅ４、攻撃シナリオ要素５：１１０４＿ｅ５に含まれる各攻撃が、該当する各資産情報１１０９で示される資産で発生すると判断された場合について説明する。

　まず、攻撃シナリオ要素３：１１０４＿ｅ３に該当する攻撃が、スケジュール検索部１０１０によってログから検索される。その後、スケジュール検索部１０１０は、ログに記録された攻撃シナリオ要素３：１１０４＿ｅ３の攻撃が発生した日時を攻撃発生日時として、検索スケジュール条件１２０５に含まれるスケジュール検索を行う時期・期間・回数などを適用して、さらに、攻撃シナリオ要素４：１１０４＿ｅ４をスケジュール検索する。

　次に、スケジュール検索部１０１０は、攻撃シナリオ要素４：１１０４＿ｅ４がログから検索された場合は、ログに記録された攻撃シナリオ要素４：１１０４＿ｅ４の攻撃が発生した日時を攻撃発生日時として、検索スケジュール条件１２０５に含まれるスケジュール検索を行う時期・期間・回数などを適用して、さらに、攻撃シナリオ要素５：１１０４＿ｅ５をスケジュール検索する。

　なお、スケジュール検索部１０１０は、各攻撃シナリオ要素がログから検索されるたびに検索結果１１１６を出力部１０１２に出力しても良いし、攻撃シナリオ要素５：１１０４＿ｅ５が検索された場合に、まとめて、全ての検索結果を出力しても良い。
　この場合、関連攻撃情報１１０５に含まれる攻撃シナリオ要素は複数であり、スケジュール収集部１０８は、スケジュール検索部１０１０の処理と同様に、後続する攻撃シナリオ要素を含む可能性のあるログをスケジュール収集しても良い。

　また、攻撃可否判定部１０７が、攻撃シナリオ要素３：１１０４＿ｅ３、攻撃シナリオ要素４：１１０４＿ｅ４、攻撃シナリオ要素５：１１０４＿ｅ５のうち、一部の攻撃シナリオ要素のみ攻撃が発生すると判定した場合は、その発生すると判定した攻撃シナリオ要素を対象として、スケジュール検索部１０１０で処理を行う様にしてもよい。或いは、判定結果に関わらず、攻撃シナリオ要素３：１１０４＿ｅ３、攻撃シナリオ要素４：１１０４＿ｅ４、攻撃シナリオ要素５：１１０４＿ｅ５の全てについてスケジュール検索部１０１０で処理しても良い。

　以上のように、本実施の形態に係るログ分析連携システムによれば、内包する攻撃間の発生間隔が不明な攻撃シナリオでも、検索スケジュール条件において検索時期や間隔に関する情報を与えることで攻撃発生予想日時を算出しスケジュール検索することが可能である。
　また、収集スケジュール条件においても収集時期や間隔に関する情報を与えることで攻撃発生予想日時を算出しログのスケジュール収集をすることが可能である。

　実施の形態７．
　本実施の形態では、主に、実施の形態１～６との差異について説明する。
　実施の形態１～６において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。

　攻撃の種類によっては、間隔の情報や攻撃間の繋がりが不明な場合がある。本実施の形態では、攻撃シナリオ１１０４に間隔も攻撃間の繋がりも含まない場合のシナリオを用いたログ分析連携システム１０００の動作について記述する。

　図５の攻撃シナリオ１１０４において、間隔１：１１０４＿ｓ１、間隔２：１１０４＿ｓ２、また、攻撃間の繋がりとしてその順番が→で記述されているが、本実施の形態では、間隔１、間隔２という攻撃間の発生時間も、攻撃間の繋がりも含まない攻撃シナリオ１１０４を用いる。
　つまり、攻撃シナリオ１１０４は例えば以下である。
　攻撃シナリオ要素１：１１０４＿ｅ１、攻撃シナリオ要素２：１１０４＿ｅ２、攻撃シナリオ要素３：１１０４＿ｅ３、攻撃シナリオ要素４：１１０４＿ｅ４、攻撃シナリオ要素５：１１０４＿ｅ５。
　このように、本実施の形態に係る攻撃シナリオ１１０４は、「間隔」も「→」も無く、攻撃シナリオを構成する攻撃群を意味する。

　以下に、実施の形態６におけるログ分析連携装置１の動作との差分について説明する。
　本実施の形態では、攻撃シナリオＤＢ検索部１０３は、攻撃識別情報１１０３（実施の形態１における例と同じとする）を攻撃シナリオＤＢ１０１３に出力し、攻撃シナリオ１１０４を取得する。この場合、攻撃シナリオＤＢ検索部１０３は、例えば、攻撃識別情報１１０３の構成要素である攻撃ＩＤが、「攻撃シナリオ要素１１０４＿ｅの攻撃識別情報１１０４＿ａに含まれる攻撃シナリオ」を検索する。

　関連攻撃抽出部１０４は、攻撃シナリオ１１０４を入力し、処理装置により、攻撃シナリオ１１０４を分析する。関連攻撃抽出部１０４は、通知された攻撃シナリオ１１０４に含まれる攻撃に関連する情報を抽出する。このとき、関連攻撃抽出部１０４は、関連攻撃抽出条件１２０３を入力する。関連攻撃抽出条件１２０３は「通知された攻撃を除く全ての攻撃」である。

　攻撃シナリオ１１０４が以下であり、警告情報１１０２に含まれる攻撃ＩＤが攻撃シナリオ要素２：１１０４＿ｅ２の攻撃ＩＤであるとする。
　「攻撃シナリオ要素１：１１０４＿ｅ１、攻撃シナリオ要素２：１１０４＿ｅ２、攻撃シナリオ要素３：１１０４＿ｅ３、攻撃シナリオ要素４：１１０４＿ｅ４、攻撃シナリオ要素５：１１０４＿ｅ５」。

　関連攻撃抽出部１０４で抽出される関連攻撃情報１１０５は、攻撃シナリオ１１０４から攻撃シナリオ要素２を除いた以下である。
　「攻撃シナリオ要素１：１１０４＿ｅ１、攻撃シナリオ要素３：１１０４＿ｅ３、攻撃シナリオ要素４：１１０４＿ｅ４、攻撃シナリオ要素５：１１０４＿ｅ５」。

　次に、関連攻撃抽出部１０４、攻撃可否判定部１０７、スケジュール検索部１０１０、スケジュール収集部１０８は、攻撃シナリオ要素１、攻撃シナリオ要素３、攻撃シナリオ要素４、攻撃シナリオ要素５の各々について、実施の形態６と同様の処理を行う。
　つまり、スケジュール検索部１０１０では、各攻撃シナリオ要素について、個別に、検索スケジュール条件１２０５に示される検索する時期・期間・回数を、攻撃シナリオ要素２：１１０４＿ｅ２の攻撃発生日時に適用して、ログの検索を行う。そして、スケジュール検索部１０１０は、各々の攻撃シナリオ要素についての検索結果１１１５を入力する。
　また、同様にスケジュール収集部１０８はログの収集を行う。

　本実施の形態では、検索スケジュール条件１２０５において、例えば、「攻撃シナリオ１１０４における攻撃シナリオ要素の数のｓ％がｔ時間以内にスケジュール検索で検索された場合に、シナリオに沿った攻撃が進行と判断」という条件を加える。ｔは０でもプラス（未来）でもマイナス（過去）でもプラスマイナス（攻撃発生予想日時を基点とした前後）でも０でも良い。
　スケジュール検索部１０１０は、例えば、ｓ＝６０％、ｔ＝７２０の場合、攻撃シナリオ要素１、攻撃シナリオ要素３、攻撃シナリオ要素４、攻撃シナリオ要素５のうち、いずれか２つ以上が（攻撃シナリオ要素２とあわせて３つ以上）が７２０時間（３０日）以内に検索された場合に、攻撃シナリオに従った攻撃が進行していると判断して、検索結果１１１６を出力部１０１２に出力する。攻撃進行の判断とは別に、毎回の検索結果を検索結果１１１６として出力しても良い。

　あるいは、検索スケジュール条件１２０５において、「攻撃シナリオ１１０４における攻撃のｓ％がｔ時間以内にスケジュール検索で検索された場合に、シナリオに沿った攻撃が進行と判断、同じ攻撃が複数回の場合もカウントに数える」のように、同じ攻撃シナリオ要素が複数回検索された場合もカウントに含める指示を与えても良い。

　以上のように、本実施の形態に係るログ分析連携システムによれば、内包する攻撃間の発生間隔が不明であり、かつ、その繋がりが不明な攻撃シナリオでも、検索スケジュール条件で検索時期や間隔に関する情報を与え、攻撃シナリオに含まれる要素の一定個数が検索されたことを攻撃成立の条件とすることで、シナリオに沿った攻撃を検索・攻撃成立を判断することが可能となる効果がある。

　また、本実施の形態に係るログ分析連携システムによれば、収集スケジュール条件で収集時期や間隔に関する情報を与えることで攻撃発生予想日時を算出しログのスケジュール収集が可能となる効果がある。本実施の形態においては収集スケジュール条件で与える収集時期や間隔に関する情報とは、例えば、「攻撃発生予想日時を基点としてｔ時間以内」などの情報であり、この点が実施の形態６と異なる点である。

　実施の形態８．
　本実施の形態では、主に、実施の形態１～７との差異について説明する。
　実施の形態１～７において説明した機能構成と同様の機能構成については同一の符号を付し、その説明を省略する場合がある。

　実施の形態１においては、攻撃シナリオにおける攻撃対象は、警告情報１１０２で示される資産とした。しかし、攻撃によっては他の資産へ攻撃が行われる可能性がある。

　本実施の形態では、資産検索情報１１０８の攻撃先情報として、ＤｅｓｔｉｎａｔｉｏｎＩＰ／Ｐｏｒｔ、資産ＩＤなどが資産ＤＢ検索部１０６に入力され、資産検索情報１１０８として資産ＤＢ１０１５に出力された場合、資産ＤＢ１０１５は、ＤｅｓｔｉｎａｔｉｏｎＩＰや資産ＩＤで示される資産と、そのＤｅｓｔｉｎａｔｉｏｎＩＰからネットワークを介して接続可能な他の資産についての情報を資産情報１１０９として資産ＤＢ検索部１０６へ返す。
　資産検索情報１１０８にＰｏｒｔが示された場合は、そのＰｏｒｔを使用している資産の情報を、資産ＤＢ１０１５は資産情報１１０９として返す。
　つまり、場合によっては資産情報１１０９は複数である。

　また、資産ＤＢ１０１５は、ＤｅｓｔｉｎａｔｉｏｎＩＰ／Ｐｏｒｔ、資産ＩＤで識別される資産と同じＯＳやアプリケーション（バージョン、パッチ適用状態が同じもの）を使用している資産を抽出してもよい。

　また、資産ＤＢ検索部１０６は、（図示していないが）関連攻撃情報１１０５を入力し、含まれる攻撃シナリオ要素１１０４＿ｅにおける攻撃情報１１０４＿ｂに含まれる、影響を受ける製品（製品ＩＤ、バージョン情報、パッチＩＤ）の情報などから、攻撃を受けうる資産の情報を資産検索情報１１０８に含めて資産ＤＢ１０１５に出力しても良い。この場合、資産ＤＢ１０１５は攻撃の影響を受けうる製品を使用している資産を資産情報１１０９として出力する。

　また、攻撃情報１１０４＿ｂに含まれる、キーワード／その他の情報として、例えば、認証サーバ／ファイルサーバ／ＤＢサーバ／ルータ／スイッチといった攻撃対象の種別が示されている場合は、その種別をもとに資産ＤＢ１０１５は検索を行い資産情報１１０９を出力してもよい。
　なお、攻撃シナリオ要素１１０４＿ｅは１つ以上ありえるので、その場合は各々について検索を行う。

　以上のようにすることで、次に起こりうる攻撃の対象となる資産の情報を得ることができる。
　そして、攻撃可否判定部１０７は、１つ以上の資産情報１１０９の各々について、実施の形態１と同様の処理を行う（攻撃可否判定部１０７、スケジュール検索部１０１０、スケジュール収集部１０８、出力部１０１２）。

　本実施の形態に係るログ分析連携装置１では、上記に示される、例えば、「ＤｅｓｔｉｎａｔｉｏｎＩＰで示される資産とそのＤｅｓｔｉｎａｔｉｏｎＩＰから接続可能な他の資産についての情報を検索せよ」という条件は、（図示していないが）資産検索条件として、資産ＤＢ検索部１０６に入力される。

　以上のように、本実施の形態に係るログ分析連携システムによれば、攻撃を受けうる資産について、攻撃を受けた資産以外も検索できるようにしたので、シナリオに沿って攻撃を受けうる資産についてログ検索の範囲を拡大でき、ログ検索の取りこぼしを低減する効果がある。

　以上のように、実施の形態１～８において、次のような特徴を備えるログ分析連携システム１０００について説明した。
　ログ分析連携装置（ログ分析システム）は、ＳＩＥＭ装置（ＳＩＥＭシステム）から攻撃の検知を受け取る。
　ログ分析連携装置は、ＳＩＥＭシステムから受け取った、検知された攻撃の情報が含まれる、攻撃シナリオを参照し、その攻撃シナリオに記載される、将来に起こりうる攻撃の情報を抽出する。
　ログ分析連携装置は、攻撃対象の資産の資産情報を参照し、セキュリティ対策を参照し、将来に起こりうる攻撃の情報と突合せ、将来に起こりうる攻撃が、実際に起こるか判定する。
　ログ分析連携装置は、将来に起こりうる攻撃が、実際に起こると判定した場合に、ログ分析システムに、予想される攻撃発生時期に、攻撃の痕跡が残るログを検索する命令をスケジュール実行するように指示する。
　ログ分析連携装置は、攻撃シナリオにより、過去に発生した可能性のある攻撃の情報を取得し、ログ分析システムにその痕跡を検索するように指示する。

　上記ログ分析連携システム１０００によれば、ログ分析によるＡＰＴ（攻撃）の検知／経過観察において、ＳＩＥＭシステムとログ分析システムの特長を活かし、ＡＰＴの検知／経過観察を効率化する。そのため、ログ分析連携システム１０００では、ＳＩＥＭシステムを複雑・多発ではないイベントの相関分析によるＡＰＴ検知に使用する。また、後続するＡＰＴの攻撃については、ＡＰＴ攻撃のシナリオに従い、後続する攻撃の発生予想時期に、ログ分析システムをスケジュール検索することで、ログ分析の効率化を実現することができる。

　また、実施の形態１～８において、次のような特徴を備えるログ分析連携システム１０００について説明した。
　ログ分析連携装置は、将来に起こりうる攻撃が、実際に起こると判定した場合に、ログ分析システム（或いはロガーなど）に、予想される攻撃発生時期に攻撃の痕跡が残るログを収集する命令を出力する。
　これにより、常にログの収集が困難な機器においても、効率的なログ収集を行うことができる。

　なお、これらの実施の形態では、セキュリティ対策ＤＢ１０１４や資産ＤＢ１０１５において、該当するエントリが検索される場合を記述しているが、該当するエントリが未登録の場合や検索されない場合がある。
　その場合は、該当する対策有無１１０７’や資産情報１１０９は空になるが、攻撃可否判定部１０７は、関連攻撃情報１１０５が発生するものとして処理を進めてよい。関連攻撃情報１１０５に複数の攻撃シナリオ要素が含まれ、一部について対策有無１１０７’や資産情報１１０９が検索され、残りについて検索されない場合は、検索されなかった攻撃シナリオ要素については、攻撃が発生するものとして処理を進めてよい。

　以上、本発明の実施の形態について説明したが、これらの実施の形態のうち、２つ以上を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、１つを部分的に実施しても構わない。あるいは、これらの実施の形態のうち、２つ以上を部分的に組み合わせて実施しても構わない。なお、本発明は、これらの実施の形態に限定されるものではなく、必要に応じて種々の変更が可能である。

　１　ログ分析連携装置、１０　認証サーバ、１１　パスワードリセット装置、１０１　入力部、１０２　警告解釈部、１０３　攻撃シナリオＤＢ検索部、１０４　関連攻撃抽出部、１０５　セキュリティ対策検索部、１０６　資産ＤＢ検索部、１０７　攻撃可否判定部、１０８　スケジュール収集部、１０９　外部連携部（収集）、８０１　パスワード生成部、８０２　変換ルール選択部、８０３　変換パラメータ値生成部、８０４　文書テンプレート選択部、８０４ａ　変換表、８０５　パスワードリセット通知文書生成部、８０６　変換ルール文書テンプレートＤＢ、９０１　ロガー、９０２　ＳＩＥＭ装置、９０３　ログ分析装置、９０４　通信機器、９０４ａ　計算機、９０４ｂ　ネットワーク機器、９０４ｃ　セキュリティ機器、９０５　モバイル機器、９１１　ログ、９１２　検知ルール、９１５，９１６　スケジュール検索、９１７，９１８　検索結果、１０００　ログ分析連携システム、１０１０　スケジュール検索部、１０１１　外部連携部（検索）、１０１２　出力部、１０１３　攻撃シナリオＤＢ、１０１４　セキュリティ対策ＤＢ、１０１５　資産ＤＢ、１０１４　セキュリティ対策ＤＢ、１０７１　外部連携部（対策）、１１０１　データ、１１０２　警告情報、１１０３　攻撃識別情報、１１０４　攻撃シナリオ、１１０５　関連攻撃情報、１１０６　関連攻撃検索情報、１１０７　対策情報、１１０７’　対策有無、１１０８　資産検索情報、１１０９　資産情報、１１１０　ログ収集情報、１１１１　収集命令、１１１２　収集結果、１１１３　ログ検索情報、１１１４　検索命令、１１１５　検索結果、１１１６　検索結果、１１１７　パスワードリセット命令、１１１９　権限変更命令、１２０１，１２０１’　警告情報、１２０２　シナリオ抽出条件、１２０３　関連攻撃抽出条件、１２０４　収集スケジュール条件、１２０５　検索スケジュール条件、１２０６　収集命令、１２０７　収集結果、１２０８　検索命令、１２０９　検索結果、１２１１　権限変更命令、１２１２　パスワードリセット命令、１９０１　ＬＣＤ、１９０２　キーボード、１９０３　マウス、１９０４　ＦＤＤ、１９０５　ＣＤＤ、１９０６　プリンタ、１９１１　ＣＰＵ、１９１２　バス、１９１３　ＲＯＭ、１９１４　ＲＡＭ、１９１５　通信ボード、１９２０　ＨＤＤ、１９２１　オペレーティングシステム、１９２２　ウィンドウシステム、１９２３　プログラム群、１９２４　ファイル群、８２０１　パスワードリセット命令、８２０２　パスワードリセット通知文面、８２０３　リセット用パスワード。

Claims

　監視対象ネットワークに接続される少なくとも１つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを備える攻撃分析システムにおいて、
　前記検知装置に接続されるとともに、前記分析装置に接続される連携装置を備え、
　前記検知装置は、
　前記監視対象ネットワークに対する攻撃を検知すると、検知した攻撃を識別する攻撃識別子と前記検知した攻撃が発生した攻撃発生時期とを含む警告情報を前記連携装置に送信し、
　前記連携装置は、
　前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部と、
　前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記検知した攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を処理装置により算出し、算出した前記予測発生時期の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求部と
を備え、
　前記分析装置は、
　前記連携装置の前記スケジュール分析要求部から送信された前記スケジュール分析要求に基づいて、前記予測発生時期の前記ログ情報を分析する
ことを特徴とする攻撃分析システム。
　前記連携装置は、
　前記攻撃シナリオ情報から前記分析対象攻撃の攻撃識別子を取得する次攻撃情報取得部を備え、
　前記スケジュール分析要求部は、
　前記次攻撃情報取得部により取得された前記分析対象攻撃の攻撃識別子と前記予測発生時期とを前記スケジュール分析要求に含めて送信し、
　前記分析装置は、
　前記スケジュール分析要求部から送信された前記スケジュール分析要求に含まれる前記分析対象攻撃の攻撃識別子と前記予測発生時期とに基づいて、前記予測発生時期の前記ログ情報を処理装置により分析し、前記予測発生時期に前記分析対象攻撃が発生したか否かを判定する
ことを特徴とする請求項１に記載の攻撃分析システム。
　前記攻撃シナリオ情報記憶部は、
　前記複数の攻撃の発生する順番と、前記順番が連続する２つの攻撃の発生間隔とを含む前記攻撃シナリオ情報を予め記憶装置に記憶し、
　前記次攻撃情報取得部は、
　前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の次に発生すると予測される次攻撃である前記分析対象攻撃の攻撃識別子と、前記警告情報に含まれる攻撃識別子により識別される攻撃と前記次攻撃との発生間隔である次発生間隔とを取得し、　前記スケジュール分析要求部は、
　前記次攻撃情報取得部により取得された前記次発生間隔と、前記警告情報に含まれる前記攻撃発生時期とに基づいて、前記次攻撃が発生すると予測される前記予測発生時期を算出することを特徴とする請求項２に記載の攻撃分析システム。
　前記連携装置は、
　前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の１つ前に発生した可能性のある前攻撃である前記分析対象攻撃の攻撃識別子と、前記前攻撃と前記警告情報に含まれる攻撃識別子により識別される攻撃との発生間隔である前発生間隔とを取得する前攻撃情報取得部と、
　前記前攻撃情報取得部により取得された前記前発生間隔と、前記警告情報に含まれる前記攻撃発生時期とに基づいて、前記前攻撃が発生した可能性のある発生可能時期を算出し、算出した前記発生可能時期の前記ログ情報を分析する要求である期間指定分析要求を前記分析装置に送信する期間指定分析要求部と
を備え、
　前記分析装置は、
　前記連携装置の前記期間指定分析要求部から送信された前記期間指定分析要求に基づいて、前記発生可能時期の前記ログ情報を分析する
ことを特徴とする請求項３に記載の攻撃分析システム。
　前記攻撃シナリオ情報記憶部は、
　前記複数の攻撃の発生する順番を含む前記攻撃シナリオ情報を予め記憶装置に記憶し、
　前記次攻撃情報取得部は、
　前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の次に発生すると予測される次攻撃を前記分析対象攻撃とし、前記分析対象攻撃の攻撃識別子を取得し、
　前記スケジュール分析要求部は、
　前記予測発生時期を算出するための検索スケジュール条件を入力し、入力した検索スケジュール条件と前記攻撃発生時期とに基づいて、前記予測発生時期を算出することを特徴とする請求項２に記載の攻撃分析システム。
　前記スケジュール分析要求部は、
　前記攻撃発生時期を基点とする検索時期及び検索間隔を含む前記検索スケジュール条件を入力することを特徴とする請求項５に記載の攻撃分析システム。
　前記次攻撃情報取得部は、
　前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃以外の攻撃を前記分析対象攻撃とし、前記分析対象攻撃の攻撃識別子を取得し、
　前記スケジュール分析要求部は、
　前記予測発生時期を算出するための検索スケジュール条件を入力し、入力した検索スケジュール条件と前記攻撃発生時期とに基づいて、前記予測発生時期を算出することを特徴とする請求項２に記載の攻撃分析システム。
　前記スケジュール分析要求部は、
　前記攻撃発生時期を基点とする検索時期を含むとともに、前記分析対象攻撃が発生したと判定するための判定条件を含む前記検索スケジュール条件を入力し、　前記スケジュール分析要求部は、さらに、
　前記スケジュール分析要求に前記判定条件を含めて送信し、
　前記分析装置は、
　前記スケジュール分析要求部から送信された前記スケジュール分析要求に含まれる前記分析対象攻撃の攻撃識別子と前記予測発生時期と前記判定条件とに基づいて、前記予測発生時期に前記分析対象攻撃が発生したか否かを判定することを特徴とする請求項７に記載の攻撃分析システム。
　前記警告情報は、さらに、
　前記検知した攻撃の対象となる資産である攻撃対象資産の情報を含み、
　前記次攻撃情報取得部は、さらに、
　前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記警告情報に含まれる攻撃識別子により識別される攻撃の攻撃対象資産の情報を抽出するとともに、抽出した前記攻撃対象資産の情報に関連する資産の情報である対象関連資産を攻撃の対象とする関連攻撃を前記分析対象攻撃に含めることを特徴とする請求項５～８のいずれかに記載の攻撃分析システム。
　前記監視対象ネットワークは、
　前記ログ収集装置がログ収集命令を受信した場合に前記ログ収集装置によりログが収集される特定の機器を接続し、
　前記スケジュール分析要求部は、
　前記スケジュール分析要求を前記分析装置に送信する前に、前記特定の機器の前記予測発生時期のログを収集する命令である前記ログ収集命令を前記ログ収集装置に送信し、
　前記ログ収集装置は、
　前記スケジュール分析要求部から前記ログ収集命令を受信すると、受信した前記ログ収集命令に基づいて、前記特定の機器の前記予測発生時期のログを収集し、収集したログを特定機器ログ情報として記憶装置に記憶するとともに、前記ログ収集命令に対するログ収集応答を前記連携装置に送信し、
　前記スケジュール分析要求部は、
　前記ログ収集装置から前記ログ収集応答を受信すると、前記予測発生時期の前記特定機器ログ情報を分析する要求である特定機器分析要求を前記分析装置に送信する
ことを特徴とする請求項１～９のいずれかに記載の攻撃分析システム。
　前記次攻撃情報取得部は、
　前記検知装置から受信した前記警告情報に含まれる攻撃識別子により識別される攻撃の次に発生すると予測された次攻撃が成功するか否かを処理装置により判定し、前記次攻撃が成功すると判定した場合に、前記次攻撃の攻撃識別子と前記次発生間隔とを取得する
ことを特徴とする請求項３または４に記載の攻撃分析システム。
　前記監視対象ネットワークは、
　前記機器へのアクセス権限を認証情報により認証する認証装置を備え、
　前記次攻撃情報取得部は、
　前記次攻撃が成功すると判定した場合に、前記次攻撃が成りすましによる不正アクセスであるか否かを処理装置により判定し、前記次攻撃が成りすましによる不正アクセスであると判定した場合に、前記機器へのアクセス権限を変更する要求である権限変更要求を前記認証装置に送信する
ことを特徴とする請求項１１に記載の攻撃分析システム。
　前記認証装置は、
　前記認証情報としてパスワードを用いて認証し、　前記次攻撃情報取得部は、
　前記次攻撃が成りすましによる不正アクセスであると判定した場合に、さらに、前記パスワードを変更する要求であるパスワード変更要求を前記認証装置に送信する
ことを特徴とする請求項１２に記載の攻撃分析システム。
　監視対象ネットワークが備える少なくとも１つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを具備する攻撃分析システムに備えられる連携装置において、
　前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部と、
　前記検知装置から送信される警告情報であって、前記監視対象ネットワークに対する攻撃を識別する攻撃識別子と前記監視対象ネットワークに対する攻撃が発生した攻撃発生時期とを含む警告情報を受信し、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記警告情報に含まれる攻撃識別子により識別される攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を算出し、算出した前記予測発生時期を含む期間の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求部と
を備えることを特徴とする連携装置。
　監視対象ネットワークに接続される少なくとも１つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、
　前記監視対象ネットワークに対する攻撃を検知する検知装置と、
　前記ログ収集装置により収集された前記ログ情報を分析する分析装置と、
　前記検知装置に接続されるとともに前記分析装置に接続され、前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部を備える連携装置と
を備える攻撃分析システムの攻撃分析連携方法において、
　前記検知装置が、前記監視対象ネットワークに対する攻撃を検知すると、検知した攻撃を識別する攻撃識別子と前記検知した攻撃が発生した攻撃発生時期とを含む警告情報を前記連携装置に送信し、
　前記連携装置のスケジュール分析要求部が、前記検知装置から前記警告情報を受信すると、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記検知した攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を算出し、算出した前記予測発生時期の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信し、
　前記分析装置が、前記連携装置の前記スケジュール分析要求部から送信された前記スケジュール分析要求に基づいて、前記予測発生時期の前記ログ情報を分析する
ことを特徴とする攻撃分析連携方法。
　監視対象ネットワークが備える少なくとも１つの機器のログを収集して記憶装置にログ情報として記憶するログ収集装置と、前記監視対象ネットワークに対する攻撃を検知する検知装置と、前記ログ収集装置により収集された前記ログ情報を分析する分析装置とを具備する攻撃分析システムに備えられ、前記監視対象ネットワークに対して発生すると予測される複数の攻撃の各々を識別する複数の攻撃識別子を含む攻撃シナリオ情報を予め記憶装置に記憶する攻撃シナリオ情報記憶部を備える連携装置のプログラムにおいて、
　処理装置が、前記検知装置から送信される警告情報であって、前記監視対象ネットワークに対する攻撃を識別する攻撃識別子と前記監視対象ネットワークに対する攻撃が発生した攻撃発生時期とを含む警告情報を受信する警告情報受信処理と、
　処理装置が、受信した前記警告情報と前記攻撃シナリオ情報記憶部により記憶された前記攻撃シナリオ情報とに基づいて、前記攻撃シナリオ情報に含まれる前記複数の攻撃のうち前記攻撃発生時期の前後の時期において発生すると予測される攻撃である分析対象攻撃であって、前記警告情報に含まれる攻撃識別子により識別される攻撃とは別の攻撃である分析対象攻撃が発生すると予測される予測発生時期を算出し、算出した前記予測発生時期を含む期間の前記ログ情報を分析する要求であるスケジュール分析要求を前記分析装置に送信するスケジュール分析要求処理と
をコンピュータである前記連携装置に実行させることを特徴とするプログラム。