WO2021059471A1 - セキュリティリスク分析支援装置、方法、及びコンピュータ可読媒体 - Google Patents

Abstract

リスクの評価において客観的な指標をユーザに提示する。攻撃経路情報（２１）は、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む。脆弱性特定手段（１１）は、攻撃経路情報（２１）を参照し、攻撃ステップにおいて攻撃先への攻撃に使用される脆弱性を特定する。脆弱性情報ＤＢ（２２）は、脆弱性と、その脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する。診断評価生成手段（１２）は、脆弱性情報ＤＢ（２２）を参照し、特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、攻撃ステップに対して、特定された脆弱性の数、及び攻撃実証コードの有無を含むリスク診断評価を生成する。出力手段（１３）は、攻撃ステップとリスク診断評価とを対応付けて出力する。

Description

セキュリティリスク分析支援装置、方法、及びコンピュータ可読媒体

　本開示は、セキュリティリスク分析支援装置、方法、及びコンピュータ可読媒体に関する。

　近年、サイバー攻撃の脅威は、ＩＣＴ（Information and Communication Technology）分野にとどまらず、制御システムやＩｏＴ（Internet of Things）の分野でも被害事例が発生している。特に、制御システムにおいては、電力システムや工場の停止など、重要インフラの稼働を脅かす事案も起こっている。サイバー攻撃の脅威に対しては、システムが持つセキュリティリスクを明確化し、対策を実施し、リスクを下げることが重要である。

　上記に関連して、特許文献１は、大規模システムのセキュリティ設計におけるセキュリティ対策の立案を支援する技術を開示する。特許文献１に記載のセキュリティ対策立案支援装置には、システム構成情報、ネットワーク構成情報、及びリスク分析結果などが入力される。リスク分析結果は、各脅威項目のリスクを分析した結果を記録したデータである。リスク分析結果は、脅威項目、攻撃経路、攻撃者、脅威事象、攻撃方法、及びリスク値を含む。リスク値は、脅威項目の攻撃がシステムに与える損害の程度を示す。

　セキュリティ対策立案支援装置は、リスク値がしきい値を超えている脅威項目について、システム構成情報及びネットワーク構成情報から攻撃経路に含まれるコンポーネントを抽出する。セキュリティ対策立案装置は、脅威項目ごとに、抽出した攻撃経路に含まれるコンポーネントの情報を攻撃経路表として記録する。セキュリティ対策立案装置は、攻撃経路表、リスク分析結果、及び脅威－対策データベースを参照し、取り得るセキュリティ対策を列挙して対策一覧として記録する。

　ここで、独立行政法人情報処理推進機構セキュリティセンターが公開する非特許文献１では、リスク値は、脅威レベル、脆弱性レベル、及び事業被害レベルに基づいて決定される。脅威レベルついて、「個人の攻撃者（スキルは問わない）によって攻撃された場合、攻撃が成功する可能性が高い」場合、評価点は「３」である。また、「一定のスキルを持った攻撃者によって攻撃された場合、攻撃が成功する可能性がある」場合、評価点は「２」である。「国家レベルのサイバー攻撃者（軍隊及びそれに準ずる団体）によって攻撃された場合、攻撃が成功する可能性がある」場合、評価点は「１」である。

特開２０１８－７７５９７号公報

「制御システムのセキュリティリスク分析ガイド　第２版」、独立行政法人情報処理推進機構セキュリティセンター、https://www.ipa.go.jp/security/controlsystem/riskanalysis.html、２０１８年１０月

　特許文献１では、リスク分析結果の利用は記載されるものの、リスク分析をどのように実行するかは記載されていない。例えば、ある攻撃元から攻撃先に対して不正アクセスが実施される場合のリスクを評価する場合において、脅威レベルの評価値を決定するための客観的な指標はない。従って、リスク分析を行う者は、各脅威項目について、脅威レベルの評価値を「３」にすべきか、或いは「２」にすべきかといった判断に迷うことがある。非特許文献１についても、同様に、脅威レベルの評価値を決定するための客観的な指標は提示されない。

　本開示は、上記事情に鑑み、リスクの評価において客観的な指標をユーザに提示することができるセキュリティリスク分析支援装置、方法、及びコンピュータ可読媒体を提供することを目的とする。

　上記目的を達成するために、本開示は、分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路であって、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む攻撃経路情報を参照し、前記攻撃ステップに対して、該攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定する脆弱性特定手段と、前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成する診断評価生成手段と、前記攻撃ステップと前記リスク診断評価とを対応付けて出力する出力手段とを備えるセキュリティリスク分析支援装置を提供する。

　本開示は、分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路であって、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む攻撃経路情報を参照し、前記攻撃ステップに対して、該攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定し、前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成し、前記攻撃ステップと前記リスク診断評価とを対応付けて出力するセキュリティリスク分析支援方法を提供する。

　本開示は、分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路であって、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む攻撃経路情報を参照し、前記攻撃ステップに対して、該攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定し、前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成し、前記攻撃ステップと前記リスク診断評価とを対応付けて出力する処理をコンピュータに実行させるためのプログラムを記憶する非一時的なコンピュータ可読媒体を提供する。

　本開示に係るセキュリティリスク分析支援装置、方法、及びコンピュータ可読媒体は、リスクの評価において客観的な指標をユーザに提示することができる。

本開示に係るセキュリティリスク分析支援装置を概略的に示すブロック図。 本開示の第１実施形態に係るセキュリティリスク分析支援装置を示すブロック図。 攻撃経路の一例を示す図。 攻撃手法ＤＢに記憶されるテーブルの一例を示す図。 攻撃概要ＤＢに記憶される情報の一例を示す図。 セキュリティリスク分析の手順を示すフローチャート。 リスク診断評価の表示例を示す図。 本開示の第２実施形態に係るセキュリティリスク分析支援装置を示すブロック図。 脆弱性のリストの一例を示す図。 本開示の第３実施形態に係るセキュリティリスク分析支援装置を示すブロック図。 攻撃グラフの一例を示す図。 リスク診断評価の具体例を示す図。 変形例に係るリスク診断評価の具体例を示す図。 コンピュータ装置の構成例を示すブロック図。

　本開示の実施の形態の説明に先立って、本開示の概要を説明する。図１は、本開示に係るセキュリティリスク分析支援装置を概略的に示す。セキュリティリスク分析支援装置１０は、脆弱性特定手段１１、診断評価生成手段１２、及び出力手段１３を有する。セキュリティリスク分析支援装置１０は、攻撃経路情報２１、及び脆弱性情報データベース（ＤＢ：database）２２に記憶される情報を使用し、ユーザによるリスク評価を支援する。

　攻撃経路情報２１は、分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路の情報を含む。攻撃経路は、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む。脆弱性特定手段１１は、攻撃経路情報２１を参照し、攻撃経路に含まれる攻撃ステップに対して、その攻撃ステップにおいて攻撃先への攻撃に使用される脆弱性を特定する。

　脆弱性情報ＤＢ２４は、脆弱性と、その脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する。診断評価生成手段１２は、脆弱性情報ＤＢ２４を参照し、脆弱性特定手段１１で特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、攻撃ステップに対して、特定された脆弱性の数、及び攻撃実証コードの有無を含むリスク診断評価を生成する。出力手段１３は、攻撃ステップとリスク診断評価とを対応付けて出力する。

　本開示では、脆弱性特定手段１１は、攻撃経路に含まれる攻撃ステップについて、攻撃先への攻撃に使用され得る脆弱性を特定する。診断評価生成手段１２は、特定された脆弱性の数、及び特定された脆弱性に対する攻撃実証コードの有無を含むリスク診断評価を生成する。リスク診断評価は、攻撃ステップがどの程度のリスクを示すかを評価するための客観的な指標として使用され得る。本開示では、出力手段１３から、攻撃ステップとリスク診断評価とが対応付けて出力される。このようにすることで、本開示では、リスクの評価において客観的な指標をユーザに提示することができる。

　以下、図面を参照しつつ、本開示の実施の形態を詳細に説明する。図２は、本開示の第１実施形態に係るセキュリティリスク分析支援装置を示す。セキュリティリスク分析支援装置１００は、攻撃経路収集部１０１、脆弱性特定部１０２、診断評価生成部１０３、結果出力部１０４、攻撃経路ＤＢ１１１、攻撃手法ＤＢ１１２、システム情報ＤＢ１１３、脆弱性情報ＤＢ１１４、及び攻撃概要ＤＢ１１５を有する。

　なお、攻撃経路ＤＢ１１１、攻撃手法ＤＢ１１２、システム情報ＤＢ１１３、脆弱性情報ＤＢ１１４、及び攻撃概要ＤＢ１１５は、セキュリティリスク分析支援装置１００からアクセス可能であればよく、必ずしもその一部である必要はない。例えば、これらデータベースの少なくとも一部はクラウド上に配置され、セキュリティリスク分析支援装置１００がネットワークを介してクラウド上のデータベースにアクセスしてもよい。

　攻撃経路収集部１０１は、分析対象のシステムに対する攻撃の攻撃経路を収集する。攻撃経路は、システムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す。攻撃経路は、攻撃元、攻撃先、及び攻撃手法を含む。攻撃経路収集部１０１は、例えば攻撃経路生成器を用いて生成された攻撃経路を収集する。あるいは、攻撃経路収集部１０１は、人手で作成された攻撃経路を収集してもよい。攻撃経路収集部１０１は、収集した攻撃経路を攻撃経路ＤＢ１１１に記憶する。攻撃経路ＤＢ１１１に記憶される攻撃経路は、図１の攻撃経路情報２１に対応する。

　図３は、攻撃経路の一例を示す。この攻撃経路は、ホストＡを侵入口とし、ホストＣを攻撃ターゲットとする攻撃の経路を示す。攻撃経路上の矢印は、攻撃元と攻撃先とを示す。また、矢印に付された記号は、攻撃元から攻撃先への攻撃に使用される攻撃手法の識別子を示す。例えば、図３には、ホストＡを攻撃元とし、ホストＢを攻撃先とする攻撃に、「不正操作１」の攻撃手法が用いられることが示されている。このような攻撃経路は、システムに含まれるハードウェア資産、ソフトウェア資産、それらの接続関係、及び各資産が有する脆弱性などの情報を用いて自動的に生成することができる。攻撃経路ＤＢ１１１には、分析対象のシステムに対してなされ得る複数の攻撃について、それらに対応した攻撃経路が記憶される。

　なお、以下では、主に、攻撃元及び攻撃先の資産がサーバやクライアント端末などの装置である例が説明される。以下の説明において、サーバやクライアント端末などの装置は、「ホスト」とも呼ばれる。攻撃元及び攻撃先は、ホストには限定されず、例えばファイヤーウォール装置などのネットワーク機器であってもよい。

　攻撃手法ＤＢ１１２は、各脆弱性が、どの攻撃手法に適用可能かを分類したデータベースである。攻撃手法ＤＢ１１２は、攻撃手法と、その攻撃手法で使用される脆弱性とを対応付けて記憶する。攻撃手法ＤＢ１１２は、例えば攻撃手法の識別子と脆弱性の識別子をと対応づけたテーブルを記憶する。脆弱性の識別子には、例えばＣＶＥ（Common Vulnerabilities and Exposures）を用いることができる。

　図４は、攻撃手法ＤＢ１１２に記憶されるテーブルの一例を示す。攻撃手法ＤＢ１１２は、例えば攻撃手法「不正操作１」と、脆弱性「ＣＶＥ－ＸＸＸＸ－０１１１」、「ＣＶＥ－ＸＸＸＸ－０１１２」、「ＣＶＥ－ＸＸＸＸ－０１５０」、及び「ＣＶＥ－ＸＸＸＸ－０２００」とを対応付けて記憶する。また、攻撃手法ＤＢ１１２は、攻撃手法「データ改ざん１」と、脆弱性「ＣＶＥ－ＸＸＸＸ－０１１１」などとを対応付けて記憶する。この場合、攻撃手法ＤＢ１１２を参照することで、「不正操作１」の攻撃手法では、「ＣＶＥ－ＸＸＸＸ－０１１１」、「ＣＶＥ－ＸＸＸＸ－０１１２」、「ＣＶＥ－ＸＸＸＸ－０１５０」、及び「ＣＶＥ－ＸＸＸＸ－０２００」などが使用され得ることがわかる。また、「データ改ざん１」の攻撃手法では、「ＣＶＥ－ＸＸＸＸ－０－１１１」が使用され得ることがわかる。

　システム情報ＤＢ１１３は、分析対象のシステムに含まれるホストと、そのホストが有する脆弱性とを対応付けて記憶する。システム情報ＤＢ１１３は、システムに含まれる各ホストなどについて、各ホストのソフトウェアが有する脆弱性の識別子を記憶する。システム情報ＤＢ１１３は、例えば脆弱性スキャナを用いることで構築できる。あるいは、システム情報ＤＢ１１３は、分析対象のシステムの情報をもとにＮＶＤ（National Vulnerability Database）などの脆弱性データベースを参照することで構築できる。

　脆弱性特定部１０２は、攻撃経路ＤＢ１１１、攻撃手法ＤＢ１１２、及びシステム情報ＤＢ１１３を参照し、攻撃経路に含まれる各攻撃ステップに対し、各攻撃ステップにおいて攻撃先への攻撃に使用され得る脆弱性を特定する。脆弱性特定部１０２は、攻撃経路ＤＢ１１１に記憶される攻撃経路のそれぞれについて、各攻撃ステップにおいて攻撃先への攻撃に使用され得る脆弱性を特定する。脆弱性特定部１０２は、図１の脆弱性特定手段１１に対応する。

　脆弱性特定部１０２は、例えば、攻撃経路ＤＢ１１１から、攻撃元、攻撃先、及び攻撃手法を取得する。脆弱性特定部１０２は、攻撃手法ＤＢ１１２から、取得した攻撃手法に対応して記憶される脆弱性を取得する。脆弱性特定部１０２は、システム情報ＤＢ１１３を参照し、攻撃手法ＤＢ１１２から取得された脆弱性のうち、攻撃先のホストなどが有する脆弱性を、攻撃ステップにおいて攻撃先への攻撃に使用され得る脆弱性として特定する。脆弱性特定部１０２は、攻撃ステップの攻撃元、攻撃先、及び攻撃手法と、特定した脆弱性の識別子とを、攻撃概要ＤＢ１１５に記憶する。

　図５は、攻撃概要ＤＢ１１５に記憶される情報の一例を示す。脆弱性特定部１０２は、攻撃経路ＤＢ１１１から取得した各攻撃ステップの攻撃元、攻撃先、及び攻撃手法を、攻撃概要ＤＢ１１５の「攻撃元」、「攻撃先」、及び「攻撃手法」に記憶する。脆弱性特定部１０２は、攻撃先への攻撃に使用され得る脆弱性として特定した脆弱性を、攻撃概要ＤＢ１１５の「脆弱性」に記憶する。

　脆弱性特定部１０２は、例えば「不正操作１」の脆弱性を使用してホストＡからホストＢへの攻撃が行われる攻撃ステップについて、攻撃手法ＤＢ１１２（図４を参照）を参照し、「不正操作１」の攻撃手法に対応して記憶される「ＣＶＥ－ＸＸＸＸ－０１１１」、「ＣＶＥ－ＸＸＸＸ－０１１２」、「ＣＶＥ－ＸＸＸＸ－０１５０」、及び「ＣＶＥ－ＸＸＸＸ－０２００」を取得する。その後、脆弱性特定部１０２は、システム情報ＤＢ１１３を参照し、ホストＢが、「ＣＶＥ－ＸＸＸＸ－０１１１」、「ＣＶＥ－ＸＸＸＸ－０１１２」、「ＣＶＥ－ＸＸＸＸ－０１５０」、及び「ＣＶＥ－ＸＸＸＸ－０２００」の脆弱性を有しているか否かを調べる。脆弱性特定部１０２は、ホストＢが例えば「ＣＶＥ－ＸＸＸＸ－０１１１」及び「ＣＶＥ－ＸＸＸＸ－０１１２」の脆弱性を有している場合は、「ＣＶＥ－ＸＸＸＸ－０１１１」及び「ＣＶＥ－ＸＸＸＸ－０１１２」を、攻撃ステップにおいて攻撃先への攻撃に使用され得る脆弱性として特定する。

　上記の場合、脆弱性特定部１０２は、特定した脆弱性「ＣＶＥ－ＸＸＸＸ－０１１１」及び「ＣＶＥ－ＸＸＸＸ－０１１２」を、攻撃元「ホストＡ」、攻撃先「ホストＢ」、及び攻撃手法「不正操作１」に対応付けて攻撃概要ＤＢ１１５に記憶する。仮に、ホストＢが「ＣＶＥ－ＸＸＸＸ－０１１１」、「ＣＶＥ－ＸＸＸＸ－０１１２」、「ＣＶＥ－ＸＸＸＸ－０１５０」、及び「ＣＶＥ－ＸＸＸＸ－０２００」のうち、「ＣＶＥ－ＸＸＸＸ－０１１１」の脆弱性のみを有していたとする。その場合、脆弱性特定部１０２は、脆弱性「ＣＶＥ－ＸＸＸＸ－０１１１」を、攻撃元「ホストＡ」、攻撃先「ホストＢ」、及び攻撃手法「不正操作１」に対応付けて攻撃概要ＤＢ１１５に記憶する。

　脆弱性情報ＤＢ１１４は、脆弱性に関する情報を記憶するデータベースである。脆弱性情報ＤＢ１１４は、ソフトウェアの脆弱性（その識別子）と、その脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する。攻撃実証コードは、ベンダーから提供される脆弱性の存在確認用のコード、侵入調査ツールに含まれている攻撃モジュール、又は攻撃方法が公開されているかどうかを表す情報であってもよい。脆弱性情報ＤＢ１１４は、更に、ユーザが関与する脆弱性であるか否か、及び脆弱性を有するソフトウェアがデフォルトでインストールされるソフトウェアであるか否かを記憶してもよい。

　診断評価生成部１０３は、脆弱性情報ＤＢ１１４を参照し、攻撃概要ＤＢ１１５に記憶された脆弱性のそれぞれについて、攻撃実証コードが存在するか否かを調べる。診断評価生成部１０３は、攻撃ステップのそれぞれについて、各攻撃ステップで使用される脆弱性の数、及び攻撃実証コードの有無をリスク診断評価として生成する。例えば、診断評価生成部１０３は、ある攻撃ステップについて、使用される脆弱性の数が３つで、そのうち２つの脆弱性に対して攻撃実証コードが存在する場合は、脆弱性の数が「３」で、攻撃実証コードが「２」であることを示すリスク診断評価を生成する。診断評価生成部１０３は、図１の診断評価生成手段１２に対応する。

　結果出力部１０４は、攻撃ステップと、その攻撃ステップに対して生成されたリスク診断評価とを対応付けて出力する。結果出力部１０４は、例えば攻撃ステップの攻撃元、攻撃先、及び攻撃手法と、リスク診断評価とを並べてディスプレイ装置などの表示画面上に出力する。ユーザは、表示画面を参照することで、各攻撃ステップについて、攻撃ステップに使用される脆弱性の数、及び攻撃実証コードの有無などを知ることができる。ユーザは、攻撃ステップごとに、使用される脆弱性の数、及び攻撃実証コードの有無などに応じて、攻撃の起こりやすさを示す脅威レベルを決定することができる。結果出力部１０４は、図１の出力手段１３に対応する。

　以下、本実施形態に係るセキュリティリスク分析支援装置１０の動作手順（セキュリティリスク分析支援方法）を含むセキュリティリスク分析の手順を説明する。図６は、セキュリティリスク分析の手順を示す。ユーザは、分析対象のシステムに含まれるホストと、各ホストのセキュリティ状態とを調べる（ステップＳ１）。ユーザは、各ホストの事業被害レベルを決定する（ステップＳ２）。ユーザは、ステップＳ２では、例えば非特許文献１のガイドラインに従って、各ホストの事業被害レベルを決定する。

　ユーザは、分析対象のシステムにおける攻撃経路を作成する（ステップＳ３）。ユーザは、ステップＳ３では、例えばシステムの情報や各ホストが有する脆弱性の情報などに基づいて人手で攻撃経路を作成してもよい。あるいは、ユーザは、システムの情報や各ホストが有する脆弱性の情報などに基づいて自動的に攻撃経路を生成する攻撃経路生成器を用いて攻撃経路を作成してもよい。攻撃経路収集部１０１は、ステップＳ３で生成された作成された攻撃経路を収集し、収集した攻撃経路を攻撃経路ＤＢ１１１に記憶する。

　脆弱性特定部１０２は、攻撃経路ＤＢ１１１、攻撃手法ＤＢ１１２、及びシステム情報ＤＢ１１３を参照し、各攻撃ステップで攻撃先への攻撃に使用される脆弱性を特定する（ステップＳ４）。脆弱性特定部１０２は、ステップＳ４では、攻撃経路ＤＢ１１１から、攻撃元、攻撃先、及び攻撃手法を取得する。脆弱性特定部１０２は、攻撃手法ＤＢ１１２から、取得した攻撃手法に対応して記憶される脆弱性を取得する。脆弱性特定部１０２は、システム情報ＤＢ１１３を参照し、攻撃手法ＤＢ１１２から取得された脆弱性のうち、攻撃先のホストなどが有する脆弱性を、攻撃ステップにおいて攻撃先への攻撃に使用され得る脆弱性として特定する。脆弱性特定部１０２は、特定した脆弱性の識別子を攻撃概要ＤＢ１１５に記憶する。

　診断評価生成部１０３は、攻撃概要ＤＢ１１５及び脆弱性情報ＤＢ１１４を参照し、各攻撃ステップについて、使用される脆弱性の数と、攻撃実証コードの有無とを含む診断評価を生成する（ステップＳ５）。結果出力部１０４は、攻撃ステップと、リスク診断評価とを対応付けて出力する（ステップＳ６）。ユーザは、表示されたリスク診断評価を参考に、各攻撃ステップの脅威レベルを決定する（ステップＳ７）。脅威レベルの決定は、使用される脆弱性の数と攻撃実証コードの有無とに基づいて自動的に行ってもよい。例えば、図示しない脅威レベル決定部を用い、脅威レベル決定部が、攻撃実証コードがある脆弱性が使用される攻撃ステップの脅威レベルをレベル３と決定してもよい。また、脅威レベル決定部は、攻撃実証コードはないが使用される脆弱性の数が１０件あった場合は、その攻撃ステップの脅威レベルをレベル２と決定してもよい。脅威レベル決定部は、上記以外の場合は、攻撃ステップの脅威レベルを１と決定してもよい。

　ユーザは、ステップＳ７で決定した脅威レベルと、ステップＳ２で決定した事業被害レベルなどとに基づいて、リスク値を算出する（ステップＳ８）。リスク値の算出には、例えば非特許文献１に記載される算出手法が用いられる。リスク値の算出は、ユーザが行ってもよいし、リスク値の算出を行う装置が自動的に行ってもよい。

　図７は、リスク診断評価の表示例を示す。この表示例では、非特許文献１に記載される事業被害ベースのリスク分析シートに、リスク診断評価を表示する欄が追加された分析シートが用いられる。結果出力部１０４は、このような分析シートに、リスク診断評価の内容を記載する。図７には、侵入口は「ＰＣ（Personal Computer）」であり、攻撃ターゲットは「ホストＡ」であり、最終攻撃は「ＤｏＳ（Denial of Service）攻撃」である場合の攻撃ステップ（項番２から５を参照）が含まれる。例えば、項番「２」の攻撃ステップは、攻撃元が「ＰＣ」であり、攻撃先が「ホストＡ」であり、攻撃手法が「データ改ざん２」であることを示す。また、項番「３」の攻撃ステップは、攻撃元が「ホストＡ」であり、攻撃先が「ホストＡ」であり、攻撃手法が「不正操作２」であることを示す。

　項番「２」の攻撃ステップについて、その攻撃ステップで使用される脆弱性の数は「９」であり、そのうち攻撃実証コードが存在する脆弱性の数は「２」であることが、リスク分析シートに表示されている。ユーザは、この攻撃ステップでは攻撃実証コードが存在する脆弱性が使用され得ることから、脅威レベルを「３」と決定し、リスク分析シートに記入する。一方、項番「３」の攻撃ステップについては、その攻撃ステップで使用される脆弱性の数は「０」である。その場合、ユーザは、この攻撃ステップでは脆弱性が使用されないことから、脅威レベルを「１」と決定し、リスク分析シートに記入する。このように、ユーザは、リスク分析シートに含まれる客観的な指標に基づいて、脅威レベルを決定することができる。

　本実施形態では、脆弱性特定部１０２は、各攻撃ステップにおいて攻撃先への攻撃で使用される脆弱性を特定する。診断評価生成部１０３は、各攻撃ステップについて、攻撃先への攻撃で使用される脆弱性の数、及び攻撃実証コードの有無を含むリスク診断評価を生成する。結果出力部１０４は、攻撃ステップと、その攻撃ステップに対して生成されたリスク診断評価とを対応付けて出力する。このようにすることで、セキュリティリスク分析支援装置１００は、各攻撃ステップについて、攻撃ステップの攻撃容易性などを評価する場合の客観的な指標を、ユーザに提示できる。ユーザは、リスク診断評価を用いて、簡易に脅威レベルなどを決定することができる。

　なお、本実施形態では、事業被害ベースのリスク分析シートにリスク診断評価を表示する欄を追加する例を述べたが、本開示はこれには限定されない。例えば、セキュリティリスク分析支援装置１００は、非特許文献１に記載される資産ベースのリスク分析シートにリスク診断評価を表示する欄を追加してもよい。

　次いで、本開示の第２実施形態を説明する。図８は、本開示の第２実施形態に係るセキュリティリスク分析支援装置を示す。本実施形態に係るセキュリティリスク分析支援装置１００ａは、図２に示されるセキュリティリスク分析支援装置１００の構成要素に加えて、脆弱性リスト表示部１０５を有する。脆弱性リスト表示部（脆弱性リスト表示手段）１０５は、攻撃ステップで使用される脆弱性のリストを表示する。他の点は、第１実施形態と同様でよい。

　本実施形態において、結果出力部１０４は、例えば、一連の攻撃ステップと各攻撃ステップのリスク診断評価とを、画面上に表示する。ユーザは、表示された攻撃ステップの中から１つを選択することができる。脆弱性リスト表示部１０５は、攻撃ステップが選択された場合、攻撃概要ＤＢ１１５を参照し、選択された攻撃ステップ（その攻撃手法）で使用される脆弱性を特定する。脆弱性リスト表示部１０５は、特定した脆弱性のリストを表示面上に表示する。脆弱性のリストには、例えば各脆弱性の個別詳細情報へのリンクが埋め込まれる。ユーザは、リストから脆弱性を選択し、選択した脆弱性の個別詳細情報を表示画面上に表示できる。

　図９は、脆弱性のリストの一例を示す。図９に示される脆弱性のリストは、図７に示されるリスク分析シートに含まれる項番「２」の攻撃ステップで使用される脆弱性のリストに対応する。ここでは、攻撃先「ホストＡ」への攻撃手法「データ改ざん２」を用いた攻撃に使用され得る脆弱性が、脆弱性「ＣＶＥ－ＸＸＸＸ－０１１１」、「ＣＶＥ－ＸＸＸＸ－０２２２」、及び「ＣＶＥ－ＸＸＸＸ－０３３３」を含むものとする。ユーザが、図７に示されるリスク分析シートにおいて項番「２」の攻撃ステップを選択した場合、脆弱性リスト表示部１０５は、「ＣＶＥ－ＸＸＸＸ－０１１１」、「ＣＶＥ－ＸＸＸＸ－０２２２」、及び「ＣＶＥ－ＸＸＸＸ－０３３３」を含む計９件の脆弱性のリストを表示する。

　脆弱性リスト表示部１０５は、各脆弱性に対し、個別詳細情報へのリンクを表示する。脆弱性リスト表示部１０５は、１つの脆弱性に対して複数の個別詳細情報が提供されている場合、１つの脆弱性に対して複数のリンクを表示してもよい。ユーザは、表示されているリンクから、例えば「ＣＶＥ－ＸＸＸＸ－０２２２」の脆弱性に対応したリンクの１つを選択する。ユーザがリンクを選択すると、脆弱性リスト表示部１０５は、ブラウザなどを用いてリンク先のサイトを表示し、ユーザに、ＣＶＥ－ＸＸＸＸ－０２２２の個別詳細情報を提示する。ユーザは、個別詳細情報の内容を参照することで、攻撃ステップに対する対策などを考えることができる。

　本実施形態では、脆弱性リスト表示部１０５は、攻撃ステップで使用される脆弱性のリストを表示する。ユーザは、表示されたリストを参照することで、攻撃ステップにおいてどの脆弱性が使用されるかを知ることができる。また、脆弱性リスト表示部１０５は、各脆弱性の個別詳細情報が利用可能な場合は、個別詳細情報へのリンクを表示する。ユーザは、リンクを選択することで、脆弱性の詳細な情報を知ることができる。このようにすることで、ユーザは、簡単に攻撃ステップで使用される脆弱性の詳細情報にアクセスすることができる。

　続いて、本開示の第３実施形態を説明する。図１０は、本開示の第３実施形態に係るセキュリティリスク分析支援装置を示す。本実施形態におけるセキュリティリスク分析支援装置１００ｂは、攻撃手法ＤＢ１１２及びシステム情報ＤＢ１１３を有していない点で、図２に示される第１実施形態に係るセキュリティリスク分析支援装置１００と相違する。あるいは、本実施形態におけるセキュリティリスク分析支援装置は、攻撃手法ＤＢ１１２及びシステム情報ＤＢ１１３を有していない点で、図８に示される第２実施形態に係るセキュリティリスク分析支援装置１００ａと相違する。他の構成は、第１実施形態又は第２実施形態と同様でよい。

　本実施形態において、攻撃経路収集部１０１は、攻撃元、攻撃先、及び攻撃手法に加えて、攻撃手法で使用される脆弱性を含む攻撃経路（攻撃グラフ）を収集する。図１１は、収集される攻撃グラフの一例を示す。この攻撃グラフは、ホストＡを侵入口とし、ホストＣを攻撃ターゲットとする攻撃の経路を示す。攻撃グラフ上の矢印は、攻撃元と攻撃先とを示す。また、矢印に付された記号は、攻撃元から攻撃先への攻撃に使用される攻撃手法の識別子、及びその攻撃手法で使用される脆弱性の識別子を示す。

　例えば、図１１には、ホストＡを攻撃元とし、ホストＢを攻撃先とする攻撃に、「不正操作１」の攻撃手法が用いられ、かつその「不正操作１」の攻撃手法がＣＶＥ－ＸＸＸＸ－０１１１の脆弱性を使用することが示されている。また、図１１には、ホストＢを攻撃元とし、ホストＣを攻撃先とする攻撃に、「データ改ざん１」の攻撃手法が用いられ、かつその「データ改ざん１」の攻撃手法がＦＴＰ（File Transfer Protocol）の脆弱性を使用することが示されている。ここで、ＦＴＰの脆弱性は、プロトコルに関する脆弱性であるとする。

　上記攻撃グラフは、システムに含まれるハードウェア資産、ソフトウェア資産、それらの接続関係、及び各資産が有する脆弱性などの情報を用いて自動的に生成することができる。攻撃経路収集部１０１は、収集した攻撃グラフを攻撃経路ＤＢ１１１に記憶する。

　本実施形態において、脆弱性特定部１０２は、攻撃グラフから、各攻撃ステップで使用される脆弱性を特定する。脆弱性情報ＤＢ１１４は、第１実施形態で説明したソフトウェアの脆弱性に関する情報に加えて、プロトコルの脆弱性に関する情報を記憶する。プロトコルの脆弱性に関する情報は、暗号化の有無、ログインの必要の有無、及びファイル転送の有無、及びアカウント情報の窃取の有無の少なくとも１つを含む。

　診断評価生成部１０３は、ソフトウェアの脆弱性に関するリスク診断評価に加えて、プロトコルの脆弱性に関するリスク診断評価を生成してもよい。図１２は、リスク診断評価の具体例を示す。ソフトウェアに関するリスク診断評価は、図７の例と同様に、「脆弱性数」と「攻撃実証コード」とを含む。プロトコルに関するリスク診断評価は、「暗号化」、「ログイン」、「ファイル転送」、及び「アカウント窃取」を含む。

　診断評価生成部１０３は、例えば、プロトコルの脆弱性について暗号化が「あり」という情報が脆弱性情報ＤＢ１１４に記憶されていた場合、「暗号化」の項目に「ＹＥＳ」を書き込む。診断評価生成部１０３は、暗号化が「なし」という情報が脆弱性情報ＤＢ１１４に記憶されていた場合、「暗号化」の項目に「ＮＯ」を書き込む。同様に、診断評価生成部１０３は、脆弱性情報ＤＢ１１４に記憶される情報に従って、「ログイン」、「ファイル転送」、及び「アカウント窃取」に「ＹＥＳ」又は「ＮＯ」を書き込む。結果出力部１０４は、ソフトウェア及びプロトコルに関するリスク診断結果を、攻撃ステップに対応付けて表示してもよい。

　本実施形態では、攻撃元、攻撃先、及び攻撃手法に加えて、攻撃手法で使用される脆弱性を識別する情報を更に含む攻撃グラフが用いられる。脆弱性特定部１０２は、攻撃グラフを用いることで、攻撃手法ＤＢ及びシステム情報ＤＢを参照しなくても、各攻撃ステップで使用される脆弱性を特定することができる。また、診断評価生成部１０３は、攻撃先への攻撃にプロトコルの脆弱性が使用される場合、プロトコルに関するリスク診断評価を生成する。ユーザは、プロトコルに関するリスク診断評価を参照し、プロトコルの脆弱性を使用する攻撃ステップの脅威レベルなどを決定することができる。他の効果は、第１実施形態又は第２実施形態で得られる効果と同様である。

　なお、上記各実施形態では、ソフトウェアに関して、リスク診断評価が、攻撃ステップにおいて使用される脆弱性の数と、攻撃実証コードの有無とを含む例を説明したが、リスク診断評価は、上記したものには限定されない。例えば、リスク診断評価は、ユーザ関与の有無、及び同じ攻撃先に対する同じ攻撃手法を用いた攻撃の出現回数の少なくとも一方を含んでいてもよい。

　図１３は、変形例に係るリスク診断評価の具体例を示す。この例では、リスク診断評価は、「脆弱性数」及び「攻撃実証コード」に加えて、「ユーザ関与」及び「出現回数」を含む。脆弱性情報ＤＢ１１４は、脆弱性に対して、その脆弱性にユーザが関与するか否かを示す情報を記憶している。診断評価生成部１０３は、例えば、脆弱性にユーザが関与することを示す情報が脆弱性情報ＤＢ１１４に記憶されていた場合、「ユーザ関与」の項目に「ＹＥＳ」を書き込む。診断評価生成部１０３は、脆弱性にユーザが関与しないことを示す情報が脆弱性情報ＤＢ１１４に記憶されていた場合、「ユーザ関与」の項目に「ＮＯ」を書き込む。

　診断評価生成部１０３は、攻撃ステップにおける攻撃先と攻撃手法との組が、攻撃経路ＤＢ１１１に記憶される攻撃経路において、何回出現するかをカウントする。診断評価生成部１０３は、攻撃先と攻撃手法との組の出現回数を、リスク診断評価の「シナリオ出現回数」に記録する。シナリオ出現回数が多い攻撃ステップに対してセキュリティ対策を実行した場合、より多くの攻撃ステップに対してセキュリティ対策がなされたことになる。従って、シナリオ出現回数は、時間や費用などの制約のもと、どの攻撃ステップに対して優先的にセキュリティ対策を実施すればよいかを判断するための指標として用いることができる。

　続いて、セキュリティリスク分析支援装置の物理構成を説明する。図１４は、セキュリティリスク分析支援装置１００として用いられ得るコンピュータ装置の構成例を示す。コンピュータ装置５００は、制御部（ＣＰＵ：Central Processing Unit）５１０、記憶部５２０、ＲＯＭ（Read Only Memory）５３０、ＲＡＭ（Random Access Memory）５４０、通信インタフェース（ＩＦ：Interface）５５０、及びユーザインタフェース５６０を有する。

　通信インタフェース５５０は、有線通信手段又は無線通信手段などを介して、コンピュータ装置５００と通信ネットワークとを接続するためのインタフェースである。ユーザインタフェース５６０は、例えばディスプレイなどの表示部を含む。また、ユーザインタフェース５６０は、キーボード、マウス、及びタッチパネルなどの入力部を含む。

　記憶部５２０は、各種のデータを保持できる補助記憶装置である。記憶部５２０は、必ずしもコンピュータ装置５００の一部である必要はなく、外部記憶装置であってもよいし、ネットワークを介してコンピュータ装置５００に接続されたクラウドストレージであってもよい。記憶部５２０は、例えば図２に示される攻撃経路ＤＢ１１１、攻撃手法ＤＢ１１２、システム情報ＤＢ１１３、脆弱性情報ＤＢ１１４、及び攻撃概要ＤＢ１１５の少なくとも１つとして用いられ得る。

　ＲＯＭ５３０は、不揮発性の記憶装置である。ＲＯＭ５３０には、例えば比較的容量が少ないフラッシュメモリなどの半導体記憶装置が用いられる。ＣＰＵ５１０が実行するプログラムは、記憶部５２０又はＲＯＭ５３０に格納され得る。記憶部５２０又はＲＯＭ５３０は、例えばセキュリティリスク分析支援装置１００内の各部の機能を実現するための各種プログラムを記憶する。

　上記プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータ装置５００に供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記憶媒体を含む。非一時的なコンピュータ可読媒体の例は、例えばフレキシブルディスク、磁気テープ、又はハードディスクなどの磁気記録媒体、例えば光磁気ディスクなどの光磁気記録媒体、ＣＤ（compact disc）、又はＤＶＤ（digital versatile disk）などの光ディスク媒体、及び、マスクＲＯＭ、ＰＲＯＭ（programmable ROM）、ＥＰＲＯＭ（erasable PROM）、フラッシュＲＯＭ、又はＲＡＭなどの半導体メモリを含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体を用いてコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバなどの有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　ＲＡＭ５４０は、揮発性の記憶装置である。ＲＡＭ５４０には、ＤＲＡＭ（Dynamic Random Access Memory）又はＳＲＡＭ（Static Random Access Memory）などの各種半導体メモリデバイスが用いられる。ＲＡＭ５４０は、データなどを一時的に格納する内部バッファとして用いられ得る。ＣＰＵ５１０は、記憶部５２０又はＲＯＭ５３０に格納されたプログラムをＲＡＭ５４０に展開し、実行する。ＣＰＵ５１０がプログラムを実行することで、セキュリティリスク分析支援装置１００内の各部の機能が実現され得る。ＣＰＵ５１０は、データなどを一時的に格納できる内部バッファを有してもよい。

　以上、本開示の実施形態を詳細に説明したが、本開示は、上記した実施形態に限定されるものではなく、本開示の趣旨を逸脱しない範囲で上記実施形態に対して変更や修正を加えたものも、本開示に含まれる。

　例えば、上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。

　［付記１］
　分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路であって、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む攻撃経路情報を参照し、前記攻撃ステップに対して、該攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定する脆弱性特定手段と、
　前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成する診断評価生成手段と、
　前記攻撃ステップと前記リスク診断評価とを対応付けて出力する出力手段とを備えるセキュリティリスク分析支援装置。

　［付記２］
　前記出力手段は、事業被害ベースのリスク分析シートに前記リスク診断評価を記入する欄が追加された分析シート、及びに資産ベースのリスク分析シート前記リスク診断評価を記入する欄が追加された分析シートの少なくとも一方に、前記リスク診断評価の内容を記載して出力する付記１に記載のセキュリティリスク分析支援装置。

　［付記３］
　前記診断評価生成手段は、前記特定された脆弱性のうち、前記攻撃実証コードが存在する脆弱性の数を、前記リスク診断評価に含める付記１又は２に記載のセキュリティリスク分析支援装置。

　［付記４］
　前記脆弱性特定手段は、前記攻撃ステップと、前記特定した脆弱性とを対応付けて攻撃概要データベースに記憶する付記１から３何れか１つに記載のセキュリティリスク分析支援装置。

　［付記５］
　前記脆弱性情報データベースは、前記脆弱性と、ユーザ関与の有無を示す情報とを対応付けて更に記憶しており、
　前記診断評価生成手段は、前記脆弱性情報データベースから、前記特定された脆弱性に対応して記憶されるユーザ関与の有無を示す情報を取得し、該取得したユーザ関与の有無を示す情報を更に含むリスク診断評価を生成する付記１から４何れか１つに記載のセキュリティリスク分析支援装置。

　［付記６］
　前記診断評価生成手段は、前記攻撃ステップの攻撃先及び攻撃手法が前記攻撃経路情報に何回出現するかをカウントし、前記攻撃先及び前記攻撃手法の出現回数を更に含むリスク診断評価を生成する付記１から５何れか１つに記載のセキュリティリスク分析支援装置。

　［付記７］
　前記脆弱性特定手段が特定した脆弱性のリストを表示する脆弱性リスト表示手段を更に有する付記１から６何れか１つに記載のセキュリティリスク分析支援装置。

　［付記８］
　前記脆弱性リスト表示手段は、ユーザが攻撃ステップを選択した場合、該選択した攻撃ステップに対して前記脆弱性特定手段が特定した脆弱性のリストを表示する付記７に記載のセキュリティリスク分析支援装置。

　［付記９］
　前記脆弱性リスト表示手段は、前記脆弱性の詳細情報へのリンクを前記脆弱性のリストに表示する付記７又は８に記載のセキュリティリスク分析支援装置。

　［付記１０］
　前記脆弱性特定手段は、前記攻撃手法と該攻撃手法で使用され得る脆弱性とを対応付けて記憶する攻撃手法データベースと、前記システムに含まれる資産について、該資産が有する脆弱性を記憶するシステム情報データベースと更に参照し、前記攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定する付記１から９何れか１つに記載のセキュリティリスク分析支援装置。

　［付記１１］
　前記攻撃経路情報が、前記攻撃元から前記攻撃先への攻撃に使用される脆弱性を更に含み、前記脆弱性特定手段は、前記攻撃経路情報から前記攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を取得する付記１から９何れか１つに記載のセキュリティリスク分析支援装置。

　［付記１２］
　前記脆弱性はソフトウェアの脆弱性とプロトコルの脆弱性とを含み、前記脆弱性情報データベースは、前記ソフトウェアの脆弱性に対して前記攻撃実証コードの有無を記憶し、前記診断評価生成手段は、前記特定された脆弱性が前記ソフトウェアの脆弱性である場合、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成する付記１から１１何れか１つに記載のセキュリティリスク分析支援装置。

　［付記１３］
　前記脆弱性情報データベースは、更に、前記プロトコルの脆弱性と、暗号化の有無、ログインの有無、及びファイル転送の有無、及びアカウント情報の窃取の有無の少なくとも１つとを対応付けて記憶し、
　前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成する診断評価生成手段と、前記診断評価生成手段は、前記特定された脆弱性が前記プロトコルの脆弱性である場合、暗号化の有無、ログインの有無、及びファイル転送の有無、及びアカウント情報の窃取の有無の少なくとも１つを含むリスク診断評価を更に生成する付記１２に記載のセキュリティリスク分析支援装置。

　［付記１４］
　分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路であって、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む攻撃経路情報を参照し、前記攻撃ステップに対して、該攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定し、
　前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成し、
　前記攻撃ステップと前記リスク診断評価とを対応付けて出力するセキュリティリスク分析支援方法。

　［付記１５］
　分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路であって、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む攻撃経路情報を参照し、前記攻撃ステップに対して、該攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定し、
　前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成し、
　前記攻撃ステップと前記リスク診断評価とを対応付けて出力する処理をコンピュータに実行させるためのプログラムを記憶する非一時的なコンピュータ可読媒体。

１０：セキュリティリスク分析支援装置
１１：脆弱性特定手段
１２：診断評価生成手段
１３：出力手段
２１：攻撃経路情報
２２：脆弱性情報データベース
１００：セキュリティリスク分析支援装置
１０１：攻撃経路収集部
１０２：脆弱性特定部
１０３：診断評価生成部
１０４：結果出力部
１０５：脆弱性リスト表示部
１１１：攻撃経路データベース
１１２：攻撃手法データベース
１１３：システム情報データベース
１１４：脆弱性情報データベース
１１５：攻撃概要データベース

Claims (15)

1. 　分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路であって、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む攻撃経路情報を参照し、前記攻撃ステップに対して、該攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定する脆弱性特定手段と、
   　前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成する診断評価生成手段と、
   　前記攻撃ステップと前記リスク診断評価とを対応付けて出力する出力手段とを備えるセキュリティリスク分析支援装置。
2. 　前記出力手段は、事業被害ベースのリスク分析シートに前記リスク診断評価を記入する欄が追加された分析シート、及びに資産ベースのリスク分析シート前記リスク診断評価を記入する欄が追加された分析シートの少なくとも一方に、前記リスク診断評価の内容を記載して出力する請求項１に記載のセキュリティリスク分析支援装置。
3. 　前記診断評価生成手段は、前記特定された脆弱性のうち、前記攻撃実証コードが存在する脆弱性の数を、前記リスク診断評価に含める請求項１又は２に記載のセキュリティリスク分析支援装置。
4. 　前記脆弱性特定手段は、前記攻撃ステップと、前記特定した脆弱性とを対応付けて攻撃概要データベースに記憶する請求項１から３何れか１項に記載のセキュリティリスク分析支援装置。
5. 　前記脆弱性情報データベースは、前記脆弱性と、ユーザ関与の有無を示す情報とを対応付けて更に記憶しており、
   　前記診断評価生成手段は、前記脆弱性情報データベースから、前記特定された脆弱性に対応して記憶されるユーザ関与の有無を示す情報を取得し、該取得したユーザ関与の有無を示す情報を更に含むリスク診断評価を生成する請求項１から４何れか１項に記載のセキュリティリスク分析支援装置。
6. 　前記診断評価生成手段は、前記攻撃ステップの攻撃先及び攻撃手法が前記攻撃経路情報に何回出現するかをカウントし、前記攻撃先及び前記攻撃手法の出現回数を更に含むリスク診断評価を生成する請求項１から５何れか１項に記載のセキュリティリスク分析支援装置。
7. 　前記脆弱性特定手段が特定した脆弱性のリストを表示する脆弱性リスト表示手段を更に有する請求項１から６何れか１項に記載のセキュリティリスク分析支援装置。
8. 　前記脆弱性リスト表示手段は、ユーザが攻撃ステップを選択した場合、該選択した攻撃ステップに対して前記脆弱性特定手段が特定した脆弱性のリストを表示する請求項７に記載のセキュリティリスク分析支援装置。
9. 　前記脆弱性リスト表示手段は、前記脆弱性の詳細情報へのリンクを前記脆弱性のリストに表示する請求項７又は８に記載のセキュリティリスク分析支援装置。
10. 　前記脆弱性特定手段は、前記攻撃手法と該攻撃手法で使用され得る脆弱性とを対応付けて記憶する攻撃手法データベースと、前記システムに含まれる資産について、該資産が有する脆弱性を記憶するシステム情報データベースと更に参照し、前記攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定する請求項１から９何れか１項に記載のセキュリティリスク分析支援装置。
11. 　前記攻撃経路情報が、前記攻撃元から前記攻撃先への攻撃に使用される脆弱性を更に含み、前記脆弱性特定手段は、前記攻撃経路情報から前記攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を取得する請求項１から９何れか１項に記載のセキュリティリスク分析支援装置。
12. 　前記脆弱性はソフトウェアの脆弱性とプロトコルの脆弱性とを含み、前記脆弱性情報データベースは、前記ソフトウェアの脆弱性に対して前記攻撃実証コードの有無を記憶し、前記診断評価生成手段は、前記特定された脆弱性が前記ソフトウェアの脆弱性である場合、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成する請求項１から１１何れか１項に記載のセキュリティリスク分析支援装置。
13. 　前記脆弱性情報データベースは、更に、前記プロトコルの脆弱性と、暗号化の有無、ログインの有無、及びファイル転送の有無、及びアカウント情報の窃取の有無の少なくとも１つとを対応付けて記憶し、
    　前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成する診断評価生成手段と、前記診断評価生成手段は、前記特定された脆弱性が前記プロトコルの脆弱性である場合、暗号化の有無、ログインの有無、及びファイル転送の有無、及びアカウント情報の窃取の有無の少なくとも１つを含むリスク診断評価を更に生成する請求項１２に記載のセキュリティリスク分析支援装置。
14. 　分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路であって、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む攻撃経路情報を参照し、前記攻撃ステップに対して、該攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定し、
    　前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成し、
    　前記攻撃ステップと前記リスク診断評価とを対応付けて出力するセキュリティリスク分析支援方法。
15. 　分析対象のシステムに含まれる侵入口から攻撃ターゲットまでに経由する経路を示す攻撃経路であって、攻撃元と攻撃先と攻撃手法とを含む攻撃ステップを１以上含む攻撃経路の情報を含む攻撃経路情報を参照し、前記攻撃ステップに対して、該攻撃ステップにおいて前記攻撃先への攻撃に使用される脆弱性を特定し、
    　前記脆弱性と、該脆弱性に対する攻撃実証コードの有無とを対応付けて記憶する脆弱性情報データベースを参照し、前記特定された脆弱性に対して攻撃実証コードが存在するか否かを調べ、前記攻撃ステップに対して、前記特定された脆弱性の数、及び前記攻撃実証コードの有無を含むリスク診断評価を生成し、
    　前記攻撃ステップと前記リスク診断評価とを対応付けて出力する処理をコンピュータに実行させるためのプログラムを記憶する非一時的なコンピュータ可読媒体。
    
    
     

Images