WO2022059146A1 - Risk value calculation device, risk value calculation method, and risk value calculation program - Google Patents
Risk value calculation device, risk value calculation method, and risk value calculation program Download PDFInfo
- Publication number
- WO2022059146A1 WO2022059146A1 PCT/JP2020/035301 JP2020035301W WO2022059146A1 WO 2022059146 A1 WO2022059146 A1 WO 2022059146A1 JP 2020035301 W JP2020035301 W JP 2020035301W WO 2022059146 A1 WO2022059146 A1 WO 2022059146A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- unit
- risk value
- information system
- value calculation
- web content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
Definitions
- the present invention relates to a risk value calculation device, a risk value calculation method, and a risk value calculation program.
- CVSS Common Vulnerability Scoring System
- risk value the risk evaluation value
- CVSS is a quantitative index for evaluating vulnerabilities based on a unified evaluation standard, and companies often use CVSS as an index when considering security measures.
- CVSS cardiovascular disease
- the present invention determines the access log to the information system to be analyzed, the input unit that accepts the input of the Web contents constituting the information system, and the number of accesses from the access log to the information system.
- the aggregation processing unit that aggregates and aggregates the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters from the content of the Web content, and the aggregated number of accesses to the information system. It is characterized by including an asset impact calculation unit that calculates the asset impact of the information system based on the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters.
- the risk value of the information system can be calculated accurately.
- FIG. 1 is a diagram showing a configuration example of a risk value calculation device.
- FIG. 2 is a diagram showing a configuration example of the data collection unit of FIG.
- FIG. 3 is a flowchart showing an example of the processing procedure of the data collection unit of FIG.
- FIG. 4 is a diagram showing a configuration example of the asset impact calculation unit of FIG.
- FIG. 5 is a flowchart showing an example of the processing procedure of FIG.
- FIG. 6 is a flowchart showing a specific example of the process of S24 of FIG.
- FIG. 7 is a diagram showing a configuration example of the risk value calculation unit of FIG.
- FIG. 8 is a flowchart showing an example of the processing procedure of the risk value calculation unit of FIG.
- FIG. 9 is a diagram showing a configuration example of a computer that executes a risk value calculation program.
- the risk value calculation device 10 calculates the risk value of the information system using the Web contents of the information system to be analyzed, the access log to the information system, and the vulnerability information of the information system.
- the FQDN Frully Qualified Domain Name
- the FQDN Frully Qualified Domain Name
- the risk value calculation device 10 includes a data collection unit 11, an asset impact calculation unit 12, and a risk value calculation unit 13. First, the data collection unit 11 acquires the Web contents constituting the information system based on the FQDN of the information system to be analyzed (S1).
- the asset impact calculation unit 12 calculates the asset impact of the information system by a predetermined evaluation formula using the Web content acquired by the data collection unit 11 and the access log of the information system (the asset impact calculation unit 12). S2). For example, the asset impact calculation unit 12 is based on the number of accesses obtained from the access log to the Web content, the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters. Calculate the degree of asset impact of.
- the risk value calculation unit 13 calculates and outputs the risk value of the information system based on the asset impact degree of the information system calculated by the asset impact calculation unit 12 and the vulnerability information of the information system. (S3).
- the risk value calculation device 10 calculates the degree of asset impact used for calculating the risk value of the information system, the number of accesses obtained from the access log to the Web content, the number of files included in the Web content, and the password. Use the number of input forms, the number of actions, and the number of parameters. By doing so, the risk value calculation device 10 can calculate the degree of asset impact in consideration of the magnitude of the impact on the user when an incident occurs in the information system.
- the data collection unit 11 includes, for example, an input unit 111, an environment setting file 112, a data collection processing unit 113, and an output unit 118.
- the input unit 111 accepts the input of the FQDN of the information system to be analyzed.
- the environment setting file 112 is a file showing setting information referred to when the data collection processing unit 113 operates.
- the environment setting file 112 is, for example, a file showing the number of search layers, the threshold value of similarity, the path of a folder (working folder), and the like.
- the number of search layers is a value indicating to which level the links are searched when creating the link list of the Web contents of the information system.
- the default value of the number of search layers is, for example, "3".
- the similarity threshold is a threshold used when grouping links that are similar to each other.
- the default value of this similarity threshold is, for example, "0.95".
- the folder path is the path of the working folder that stores the result (Web content) after the data collection process.
- the environment setting file 112 is stored, for example, in a storage unit (not shown) of the risk value calculation device 10.
- the data collection processing unit 113 collects Web contents constituting the information system from the information system based on the input FQDN of the information system to be analyzed.
- the data collection processing unit 113 includes, for example, a collection unit 114, a communication control unit 115, an analysis unit 116, and an evaluation unit 117.
- the collection unit 114 acquires Web content from the information system to be analyzed through the communication control unit 115.
- the communication control unit 115 communicates with other devices by, for example, the HTTP protocol.
- the collection unit 114 stores the Web content acquired from the information system to be analyzed (hereinafter, appropriately referred to as the analysis target system) through the communication control unit 115 in the storage unit (not shown). Further, the collection unit 114 stores the links accessed through the communication control unit 115 among the link destinations of the Web contents in the storage unit (not shown).
- the analysis unit 116 analyzes the Web content acquired by the collection unit 114. For example, the analysis unit 116 detects the a tag in the page of the Web content acquired by the collection unit 114, extracts the href value (page link), and creates a linked list.
- the evaluation unit 117 selects the link list created by the analysis unit 116. For example, the evaluation unit 117 performs the following processing on the link described in the link list.
- the evaluation unit 117 deletes the link that has already been accessed. -The evaluation unit 117 takes out two from the link list and calculates the similarity between the links using the FQDN of the link as a character string. For example, the Levenshtein distance is used to calculate the similarity. When the calculated similarity between the links is equal to or greater than the threshold value, the evaluation unit 117 deletes one of the links. The evaluation unit 117 performs the above processing for all combinations of links. -In addition, the evaluation unit 117 calculates the degree of similarity between the accessed link and the link in the link list, and deletes the link if the degree of similarity is equal to or higher than the threshold value in the link list.
- the link list selected by the evaluation unit 117 is passed to the communication control unit 115. Then, the communication control unit 115 acquires the Web content corresponding to the link in the link list.
- the collection unit 114 stores the Web content acquired from the analysis target system through the communication control unit 115 in the storage unit (not shown). Further, the collection unit 114 stores the links accessed through the communication control unit 115 among the link destinations of the Web contents in the storage unit (not shown).
- the analysis unit 116 and the evaluation unit 117 are processed, a new linked list is created, and the above processing is repeated.
- the number of repetitions here is the number of search layers (for example, 3) shown in the environment setting file 112.
- the output unit 118 outputs the Web content for each FQDN processed by the data collection processing unit 113.
- the output unit 118 outputs the Web content for each FQDN processed by the data collection processing unit 113 to the working folder shown in the environment setting file 112.
- the input unit 111 of the data collection unit 11 reads the FQDN of the analysis target system (S11).
- the collection unit 114 acquires the Web content of the analysis target system based on the FQDN read in S11 (S12).
- the analysis unit 116 analyzes the Web content acquired in S12 and creates a linked list (S13).
- the evaluation unit 117 selects the links in the link list by deleting the links similar to each other, deleting the links similar to the accessed links, etc. among the links included in the link list created in S13. (S14: Select the link list).
- the collecting unit 114 acquires the Web content corresponding to the link in the link list (S15), and determines whether or not the Web content of the link having a predetermined number of search layers has been acquired (S16).
- the process proceeds to S17.
- the output unit 118 outputs the Web content for each FQDN acquired by the collection unit 114 (S17).
- the process returns to S13.
- the data collection unit 11 can acquire the Web content traced to a predetermined number of layers of the Web content of the analysis target system.
- the asset impact calculation unit 12 includes, for example, an input unit 121, an environment setting file 122, an asset impact calculation processing unit 123, and an output unit 127.
- the input unit 121 receives the access log of the analysis target system and the input of the FQDN and the Web content output from the data collection unit 11.
- the environment setting file 122 is a file showing the setting information referred to when the asset impact calculation processing unit 123 operates.
- the environment setting file 122 is, for example, a file showing a list of file extensions to be excluded from the asset impact calculation process, a folder (working folder) path for storing the result of the asset impact calculation process, and the like. Is.
- the file extensions that are excluded from the asset impact calculation process are, for example, .css, .jpg, .png, .js, and the like.
- the environment setting file 122 is stored, for example, in a storage unit (not shown) of the risk value calculation device 10.
- the asset impact calculation processing unit 123 calculates the asset impact of the analysis target system based on the access log of the analysis target system and the Web contents of the analysis target system.
- the asset impact calculation unit 12 includes an aggregation unit 124, an analysis unit 125, and an evaluation unit 126.
- the totaling unit 124 counts the number of Web content files (A) received by the input unit 121. Further, the aggregation unit 124 counts the number of IP addresses (B) excluding duplicates from the access destination IP addresses shown in the access log received by the input unit 121.
- the analysis unit 125 counts the number of parameters included in a predetermined file among the Web content files received by the input unit 121.
- the analysis unit 125 has an extension (for example, .css, .jpg, .png, .js, etc.) whose file extension is shown in the environment setting file 122 among the Web content files received by the input unit 121.
- the parameters to be counted by the analysis unit 125 are, for example, password, name, id, action attribute and the like.
- the analysis unit 125 can count the number of password input forms, the number of actions, the number of parameters such as name and id included in the target file.
- the analysis unit 125 counts the number of times (D) that the name tag or id tag exists in the input tag. However, if the target name tag or id tag has already been counted, the analysis unit 125 does not count the tag. Further, if the form tag and the input tag exist in the target file, but neither the name tag nor the id tag exists in the tag and the action attribute exists, the analysis unit 125 determines the number of times the action attribute exists (D). To count.
- the evaluation unit 126 calculates the asset impact degree of the analysis target system using the values obtained by the aggregation unit 124 and the analysis unit 125. For example, the evaluation unit 126 is based on the number of accesses to the analysis target system obtained by the aggregation unit 124 and the analysis unit 125, the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters. , Calculate the asset impact of the system to be analyzed.
- the following values A to D are obtained for each FQDN by the processing of the aggregation unit 124 and the analysis unit 125.
- ⁇ (w i ) in the equation (1) is a value corresponding to the availability of the website w i
- ⁇ (w i ) is a value corresponding to the confidentiality of the website w i
- ⁇ ( w i ) is the value corresponding to the completeness of the website w i .
- the evaluation unit 126 calculates ⁇ (w i ), ⁇ (w i ), and ⁇ ( wi ) in the equation (1) using the above values A to D to obtain the analysis target system.
- the degree of asset impact can be calculated.
- ⁇ (w i ), ⁇ (w i ), and ⁇ (w i ) are values between 0 and 1, respectively.
- the evaluation unit 126 sets the maximum value of the number of accesses (B above) obtained for each FQDN as the base of the logarithm, and sets the number of accesses of each FQDN as the antilogarithm, thereby setting ⁇ (w i ) above. Calculate (see equation (2)). By setting the maximum value of the number of accesses to the bottom of the log, the influence of the singular value of the number of accesses can be mitigated.
- the ⁇ (w i ) calculated by the above equation (3) becomes larger as the website w i has a password input form (login form) and the number of uses (accesses) increases.
- the evaluation unit 126 calculates the above ⁇ ( wi ) (value corresponding to the integrity), the number of contents (corresponding to the “number of files” shown in A above) and the number of accesses (the above). B) and the number of parameters (D above) are used.
- the evaluation unit 126 calculates a value (first value) with the largest value among the number of Web content files of each FQDN as the base of the logarithm and the number of Web content files of each FQDN as the true number. do. Further, the evaluation unit 126 calculates a value (second value) in which the largest value among the number of parameters in the Web content in each FQDN is the base of the logarithm and the number of parameters in each FQDN is the true number. do. Then, the evaluation unit 126 sets the value obtained by dividing the sum of the first value and the second value by 2 as the above ⁇ ( wi ) (see equation (4)).
- the ⁇ (w i ) calculated by the above equation (4) becomes a larger value as the number of contents, the number of actions, and the number of parameters of the website w i increase.
- the number of actions and the number of parameters of the Web content can be obtained by the evaluation unit 126 confirming the number of form tags (action attribute) and input tags (name attribute) of the Web content.
- the evaluation unit 126 calculates the asset impact degree by substituting the calculated ⁇ (w i ), ⁇ (w i ) and ⁇ (w i ) into the equation (1) for each FQDN.
- the output unit 127 outputs the asset impact degree for each FQDN calculated by the evaluation unit 126.
- the output unit 127 stores the asset impact degree for each FQDN calculated by the evaluation unit 126 in a predetermined working folder.
- the above evaluation unit 126 may perform ranking based on the high degree of asset impact obtained for each FQDN, and may give a score of asset impact according to the result of the ranking. In that case, the output unit 127 outputs the score of the asset impact degree for each FQDN given by the evaluation unit 126.
- the input unit 121 of the asset impact calculation unit 12 acquires the Web content output from the data collection unit 11 and the access log of the analysis target system (S21: Acquires the Web content and the access log).
- the aggregation unit 124 counts the number of Web content files acquired in S21 (S22). Further, the aggregation unit 124 counts the number of IP addresses (access counts) excluding duplicates from the access log acquired in S21 (S23).
- the analysis unit 125 scans the inside of the predetermined file of the Web content acquired in S21 and counts the number of parameters in the file (S24). For example, the analysis unit 125 counts the number of password input forms, the number of actions, the number of parameters such as name and id included in the target file. Details of the processing of S24 will be described later using a specific example.
- the evaluation unit 126 determines the number of Web content files acquired in S21, the number of accesses to the analysis target system, the number of password input forms counted in S24, the number of actions, the number of parameters such as name and id.
- the degree of asset impact is calculated using (S25).
- the asset impact calculation processing unit 123 executes the above-mentioned processes S21 to S25 for each FDQN. After that, the output unit 127 outputs the asset impact degree calculated for each FQDN (S26).
- analysis unit 125 determines in S241 that the form tag does not exist in the file (No in S241), it skips S242 and S243 and proceeds to S244. If the analysis unit 125 determines in S244 that the input tag does not exist in the file (No in S244), it skips S245 and proceeds to S246.
- the analysis unit 125 counts the number of password input forms, the number of actions, the number of parameters such as name and id included in the target file.
- the risk value calculation unit 13 includes, for example, an input unit 131, an environment setting file 132, a risk value calculation processing unit 133, and an output unit 136.
- the input unit 131 receives the asset impact degree (for example, the asset impact score) for each FQDN output from the asset impact calculation unit 12. Further, the input unit 131 accepts the input of vulnerability information.
- This vulnerability information is, for example, vulnerability information based on CVSS v3.
- the environment setting file 132 is a file showing the setting information referred to when the risk value calculation processing unit 133 operates.
- the environment setting file 132 is, for example, a file showing the path of a folder (working folder) for storing the result of the calculation process of the risk value calculation process unit 133.
- the environment setting file 132 is stored, for example, in a storage unit (not shown) of the risk value calculation device 10.
- the risk value calculation processing unit 133 calculates the risk value of the analysis target system. For example, the risk value calculation processing unit 133 has a risk value for each FQDN (for example, a risk score) based on the asset impact score for each FQDN output from the asset impact calculation unit 12 and the above vulnerability information. ) Is calculated.
- a risk value for each FQDN for example, a risk score
- the risk value calculation processing unit 133 includes an aggregation unit 134 and an evaluation unit 135. From the above vulnerability information, the aggregation unit 134 acquires a value (C) indicating an impact on confidentiality, a value (I) indicating an impact on integrity, and a value (A) indicating an impact on availability. In addition, the aggregation unit 134 acquires the attack easiness value from the vulnerability information.
- the evaluation unit 135 calculates the risk value of the analysis target system using the asset impact value of the analysis target system calculated by the asset impact calculation unit 12. For example, the evaluation unit 135 calculates the CVSS value (risk value) based on the asset impact value based on the Environmental Metrics of CVSSv3 for each vulnerability possessed by the analysis target system.
- the evaluation unit 135 uses ⁇ , ⁇ , and ⁇ used to calculate the asset impact degree, and uses the following equation (5) to determine the security requirement (CR, IR, AR) of the analysis target system. Calculate the called value. That is, the evaluation unit 135 calculates the value obtained by adding the above-mentioned C, R or I influence degree ( ⁇ , ⁇ or ⁇ ) to the asset influence degree as the security requirement degree (CR, IR, AR) of the analysis target system. do.
- CR is a value indicating the security requirement level regarding confidentiality
- IR is a value indicating the security requirement level regarding integrity
- AR is a value indicating the security requirement level regarding availability.
- the evaluation unit 135 uses the above C, I, A and the CR, IR, and AR calculated by the above equation (5), and the influence of the analysis target system by the following equation (6). Calculate the degree.
- the evaluation unit 135 calculates the CVSS value (risk value) by the following formula (7) using the above attack easiness and the influence degree calculated by the above formula (6).
- RoundUp1 in the equation (7) indicates rounding up to the first decimal place.
- the evaluation unit 135 performs the above risk value calculation process for all the vulnerabilities possessed by the analysis target system. As a result, the evaluation unit 135 can obtain risk values for all the vulnerabilities possessed by the analysis target system.
- the output unit 136 outputs the risk value for each FQDN calculated by the evaluation unit 135. For example, the output unit 136 stores the risk value for each FQDN calculated by the evaluation unit 135 in a predetermined working folder.
- the input unit 131 of the risk value calculation unit 13 acquires the asset impact score and vulnerability information for each FQDN (S31).
- the aggregation unit 134 uses the vulnerability information acquired in S31 to indicate a value indicating the effect on confidentiality (C), a value indicating the effect on integrity (I), and a value indicating the effect on availability (A). ), And the value of attack susceptibility is acquired (S32).
- the evaluation unit 135 calculates the CVSS value (risk score) from the asset impact score based on the Environmental Metrics of CVSSv3 for each vulnerability possessed by the analysis target system (S33). For example, the evaluation unit 135 has a score of the degree of asset impact for each FQDN acquired in S31, a value (C) indicating the effect on confidentiality, and a value (I) indicating the effect on integrity, acquired in S32.
- the CVSS value (risk score) for each FQDN is calculated using the above equations (5) to (7) using the value (A) indicating the influence on availability and the attack susceptibility value.
- the output unit 136 outputs the risk score calculated for each FQDN (S34).
- the risk value calculation unit 13 can calculate the risk value of each vulnerability in consideration of the asset impact degree for each FQDN.
- the asset impact calculation unit 12 calculates the asset impact by a metric of the number of accesses to the analysis target system, but the present invention is not limited to this.
- the asset impact calculation unit 12 has continuous operation time of the system to be analyzed, failure recovery time, database size, system acquisition cost, maintenance cost, number of transactions, communication size, number of servers, number of general accounts, number of administrator accounts. , Number of folders, number of files, number of files limited to administrators, number of links with other systems, number of ports used, number of protocols used, information update interval, number of credit card information, number of charts, number of patents, etc. It may be used as a metric to calculate the degree of asset impact.
- the risk value calculation device 10 of the present embodiment calculates the asset impact degree by focusing on the information system itself to be analyzed, and recalculates the risk value according to the asset impact degree. As a result, the risk value calculation device 10 can obtain a risk value that reflects the information system itself to be analyzed. This makes it easier for information system administrators to prioritize countermeasures against information system vulnerabilities.
- the risk value calculation device 10 calculates the degree of asset impact of the information system to be analyzed, it is possible to quantitatively determine the superiority or inferiority between the information systems. As a result, the information system administrator can easily prioritize security measures such as which information system the new security measure device should be introduced to.
- each component of each of the illustrated parts is a functional concept, and does not necessarily have to be physically configured as shown in the figure. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or part of them may be functionally or physically distributed / physically in arbitrary units according to various loads and usage conditions. Can be integrated and configured. Further, each processing function performed by each device may be realized by a CPU and a program executed by the CPU, or may be realized as hardware by wired logic.
- the risk value calculation device 10 described above can be implemented by installing a program as package software or online software on a desired computer. For example, by causing the information processing device to execute the above program, the information processing device can function as the risk value calculation device of each embodiment.
- the information processing device referred to here includes a desktop type or notebook type personal computer.
- information processing devices include smartphones, mobile communication terminals such as mobile phones and PHS (Personal Handyphone System), and slate terminals such as PDAs (Personal Digital Assistants).
- the risk value calculation device 10 can be implemented as a server device in which the terminal device used by the user is a client and the service related to the above processing is provided to the client.
- the server device may be implemented as a Web server, or may be implemented as a cloud that provides services related to the above processing by outsourcing.
- FIG. 9 is a diagram showing an example of a computer that executes a risk value program.
- the computer 1000 has, for example, a memory 1010 and a CPU 1020.
- the computer 1000 also has a hard disk drive interface 1030, a disk drive interface 1040, a serial port interface 1050, a video adapter 1060, and a network interface 1070. Each of these parts is connected by a bus 1080.
- the memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM 1012.
- the ROM 1011 stores, for example, a boot program such as a BIOS (Basic Input Output System).
- BIOS Basic Input Output System
- the hard disk drive interface 1030 is connected to the hard disk drive 1090.
- the disk drive interface 1040 is connected to the disk drive 1100.
- a removable storage medium such as a magnetic disk or an optical disk is inserted into the disk drive 1100.
- the serial port interface 1050 is connected to, for example, a mouse 1110 and a keyboard 1120.
- the video adapter 1060 is connected to, for example, the display 1130.
- the hard disk drive 1090 stores, for example, OS1091, application program 1092, program module 1093, and program data 1094. That is, the program that defines each process executed by the risk value calculation device 10 is implemented as a program module 1093 in which a code that can be executed by a computer is described.
- the program module 1093 is stored in, for example, the hard disk drive 1090.
- the program module 1093 for executing the same processing as the functional configuration in the risk value calculation device of each embodiment is stored in the hard disk drive 1090.
- the hard disk drive 1090 may be replaced by an SSD.
- the environment setting files 112, 122, 132 used in the processing of the above-described embodiment are stored as program data 1094 in, for example, the memory 1010 or the hard disk drive 1090. Then, the CPU 1020 reads the program module 1093 and the program data 1094 stored in the memory 1010 and the hard disk drive 1090 into the RAM 1012 and executes them as needed.
- the program module 1093 and the program data 1094 are not limited to those stored in the hard disk drive 1090, but may be stored in, for example, a removable storage medium and read by the CPU 1020 via the disk drive 1100 or the like. Alternatively, the program module 1093 and the program data 1094 may be stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.). Then, the program module 1093 and the program data 1094 may be read from another computer by the CPU 1020 via the network interface 1070.
- LAN Local Area Network
- WAN Wide Area Network
- Risk value calculation device 11
- Asset impact calculation unit 13
- Risk value calculation unit 111, 121, 131 Input unit 112, 122, 132 Environment setting file 113
- Data collection processing unit 114
- Collection unit 115 Communication control unit 116, 125 Analysis unit 117,126,135 Evaluation unit 124,134 Aggregation unit
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、リスク値算出装置、リスク値算出方法、および、リスク値算出プログラムに関する。 The present invention relates to a risk value calculation device, a risk value calculation method, and a risk value calculation program.
一般的に、リスクは、資産×脆弱性×脅威で表現され、リスクの評価値(以下、適宜リスク値と称す)として、例えば、CVSS(Common Vulnerability Scoring System)が使用される。CVSSは、統一された評価基準により、脆弱性を評価するための定量的な指標であり、企業においてもCVSSをセキュリティ対応検討時の指標とすることが多い。 Generally, risk is expressed as asset x vulnerability x threat, and for example, CVSS (Common Vulnerability Scoring System) is used as the risk evaluation value (hereinafter, appropriately referred to as risk value). CVSS is a quantitative index for evaluating vulnerabilities based on a unified evaluation standard, and companies often use CVSS as an index when considering security measures.
しかし、CVSSは、脆弱性と脅威にフォーカスした指標であるため、情報システムの資産情報を反映しておらず、情報システムのリスク値を正確には表現できていない。また、従来技術においても情報システムの資産影響度を考慮したリスク評価手法は提案されているが、当該技術は情報システムが保有する脆弱性のCVSS値の総和を資産影響度としていたため、情報システムのリスク値を正確には表現できていない。 However, since CVSS is an index focusing on vulnerabilities and threats, it does not reflect the asset information of information systems and cannot accurately express the risk values of information systems. In addition, a risk assessment method that considers the asset impact of information systems has also been proposed in the prior art, but since this technology used the sum of the CVSS values of vulnerabilities possessed by information systems as the asset impact, information systems. The risk value of is not accurately expressed.
そこで、本発明は、前記した問題を解決し、情報システムのリスク値を正確に算出することを課題とする。 Therefore, it is an object of the present invention to solve the above-mentioned problems and accurately calculate the risk value of the information system.
前記した課題を解決するため、本発明は、分析対象の情報システムへのアクセスログと前記情報システムを構成するWebコンテンツの入力を受け付ける入力部と、前記アクセスログから前記情報システムへのアクセス数を集計し、前記Webコンテンツの内容から、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数を集計する集計処理部と、前記集計された前記情報システムへのアクセス数と、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数とに基づき、前記情報システムの資産影響度を算出する資産影響度算出部と、を備えることを特徴とする。 In order to solve the above-mentioned problems, the present invention determines the access log to the information system to be analyzed, the input unit that accepts the input of the Web contents constituting the information system, and the number of accesses from the access log to the information system. The aggregation processing unit that aggregates and aggregates the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters from the content of the Web content, and the aggregated number of accesses to the information system. It is characterized by including an asset impact calculation unit that calculates the asset impact of the information system based on the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters.
本発明によれば、情報システムのリスク値を正確に算出することができる。 According to the present invention, the risk value of the information system can be calculated accurately.
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、以下に説明する実施形態に限定されない。 Hereinafter, embodiments (embodiments) for carrying out the present invention will be described with reference to the drawings. The present invention is not limited to the embodiments described below.
[概要]
まず、図1を用いて、本実施形態のリスク値算出装置10の概要を説明する。リスク値算出装置10は、分析対象の情報システムのWebコンテンツと、当該情報システムへのアクセスログと、当該情報システムの脆弱性情報とを用いて、当該情報システムのリスク値を、算出する。なお、以下の説明において、情報システムのFQDN(Fully Qualified Domain Name)は、分析対象の情報システムの識別子に相当する。
[Overview]
First, the outline of the risk
リスク値算出装置10は、データ収集部11と、資産影響度算出部12と、リスク値算出部13とを備える。まず、データ収集部11は、分析対象の情報システムのFQDNに基づき、当該情報システムを構成するWebコンテンツを取得する(S1)。
The risk
次に、資産影響度算出部12は、データ収集部11により取得されたWebコンテンツと、当該情報システムのアクセスログとを用いた所定の評価式により、当該情報システムの資産影響度を算出する(S2)。例えば、資産影響度算出部12は、Webコンテンツへのアクセスログから求めたアクセス数と、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数とに基づき、当該情報システムの資産影響度を算出する。
Next, the asset
その後、リスク値算出部13は、資産影響度算出部12により算出された当該情報システムの資産影響度と、当該情報システムの脆弱性情報とに基づき、当該情報システムのリスク値を算出し、出力する(S3)。
After that, the risk
このようにリスク値算出装置10は、情報システムのリスク値の算出に用いる資産影響度の算出に、Webコンテンツへのアクセスログから求めたアクセス数と、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数とを用いる。このようにすることで、リスク値算出装置10は、情報システムにインシデントが発生した場合における利用者への影響の大きさを考慮して資産影響度を算出することができる。
In this way, the risk
[構成例]
次に、リスク値算出装置10の各部の構成例を説明する。
[Configuration example]
Next, a configuration example of each part of the risk
[データ収集部の構成例]
まず、図2を用いて、データ収集部11の構成例を説明する。データ収集部11は、例えば、入力部111と、環境設定ファイル112と、データ収集処理部113と、出力部118とを備える。
[Configuration example of data collection unit]
First, a configuration example of the
入力部111は、分析対象の情報システムのFQDNの入力を受け付ける。環境設定ファイル112は、データ収集処理部113が動作する際に参照される設定情報を示したファイルである。
The
環境設定ファイル112は、例えば、探索階層数、類似度の閾値、フォルダ(作業フォルダ)のパス等を示したファイルである。探索階層数は、情報システムのWebコンテンツのリンクリストを作成する際、どの階層までのリンクを探索するかを示す値である。この探索階層数のデフォルト値は、例えば、「3」である。類似度の閾値は、互いに類似するリンク同士をまとめる際に用いる閾値である。この類似度の閾値のデフォルト値は、例えば、「0.95」である。また、フォルダのパスは、データ収集処理後の結果(Webコンテンツ)を格納する作業フォルダのパスである。なお、環境設定ファイル112は、例えば、リスク値算出装置10の記憶部(図示省略)に記憶される。
The
データ収集処理部113は、入力された分析対象の情報システムのFQDNに基づき、当該情報システムから当該情報システムを構成するWebコンテンツを収集する。データ収集処理部113は、例えば、収集部114と、通信制御部115と、解析部116と、評価部117とを備える。
The data
収集部114は、通信制御部115を通じて分析対象の情報システムからWebコンテンツを取得する。通信制御部115は、例えば、HTTPプロトコルにより、他の装置との通信を行う。収集部114は、通信制御部115を通じて分析対象の情報システム(以下、適宜、分析対象システムと称す)から取得したWebコンテンツを記憶部(図示省略)に保存する。また、収集部114は、Webコンテンツのリンク先のうち、通信制御部115を通じてアクセス済のリンクを記憶部(図示省略)に保存する。 The collection unit 114 acquires Web content from the information system to be analyzed through the communication control unit 115. The communication control unit 115 communicates with other devices by, for example, the HTTP protocol. The collection unit 114 stores the Web content acquired from the information system to be analyzed (hereinafter, appropriately referred to as the analysis target system) through the communication control unit 115 in the storage unit (not shown). Further, the collection unit 114 stores the links accessed through the communication control unit 115 among the link destinations of the Web contents in the storage unit (not shown).
解析部116は、収集部114により取得されたWebコンテンツを解析する。例えば、解析部116は、収集部114により取得されたWebコンテンツのページ内にあるaタグを検出し、hrefの値(ページのリンク)を抽出し、リンクリストを作成する。 The analysis unit 116 analyzes the Web content acquired by the collection unit 114. For example, the analysis unit 116 detects the a tag in the page of the Web content acquired by the collection unit 114, extracts the href value (page link), and creates a linked list.
評価部117は、解析部116により作成されたリンクリストの選定を行う。例えば、評価部117は、リンクリストに記載されたリンクについて以下の処理を行う。 The evaluation unit 117 selects the link list created by the analysis unit 116. For example, the evaluation unit 117 performs the following processing on the link described in the link list.
・評価部117は、すでにアクセス済みのリンクは削除する。
・評価部117は、リンクリスト内の中から2つを取り出し、リンクのFQDNを文字列としてリンク間の類似度を計算する。類似度の計算には、例えば、レーベンシュタイン距離を用いる。評価部117は、計算したリンク間の類似度が閾値以上の場合、リンクの一方を削除する。評価部117は、上記の処理をすべてのリンクの組み合わせについて行う。
・また、評価部117は、アクセス済みのリンクとリンクリスト内のリンクと類似度を計算し、リンクリスト内に類似度が閾値以上のリンクがあれば当該リンクを削除する。
-The evaluation unit 117 deletes the link that has already been accessed.
-The evaluation unit 117 takes out two from the link list and calculates the similarity between the links using the FQDN of the link as a character string. For example, the Levenshtein distance is used to calculate the similarity. When the calculated similarity between the links is equal to or greater than the threshold value, the evaluation unit 117 deletes one of the links. The evaluation unit 117 performs the above processing for all combinations of links.
-In addition, the evaluation unit 117 calculates the degree of similarity between the accessed link and the link in the link list, and deletes the link if the degree of similarity is equal to or higher than the threshold value in the link list.
評価部117により選定されたリンクリストは、通信制御部115に渡される。そして、通信制御部115は、当該リンクリスト内のリンクに応じたWebコンテンツを取得する。収集部114は、通信制御部115を通じて分析対象システムから取得したWebコンテンツを記憶部(図示省略)に保存する。また、収集部114は、Webコンテンツのリンク先のうち、通信制御部115を通じてアクセス済のリンクを記憶部(図示省略)に保存する。 The link list selected by the evaluation unit 117 is passed to the communication control unit 115. Then, the communication control unit 115 acquires the Web content corresponding to the link in the link list. The collection unit 114 stores the Web content acquired from the analysis target system through the communication control unit 115 in the storage unit (not shown). Further, the collection unit 114 stores the links accessed through the communication control unit 115 among the link destinations of the Web contents in the storage unit (not shown).
そして、分析対象システムから取得されたWebコンテンツを対象に、解析部116および評価部117の処理を行い、新たなリンクリストを作成し、上記の処理を繰り返す。ここでの繰り返しの回数は、環境設定ファイル112に示される探索階層数(例えば、3)である。
Then, for the Web content acquired from the analysis target system, the analysis unit 116 and the evaluation unit 117 are processed, a new linked list is created, and the above processing is repeated. The number of repetitions here is the number of search layers (for example, 3) shown in the
上記の繰り返し処理が完了した後、出力部118は、データ収集処理部113により処理されたFQDNごとのWebコンテンツを出力する。例えば、出力部118は、データ収集処理部113により処理されたFQDNごとのWebコンテンツを、環境設定ファイル112に示される作業フォルダに出力する。
After the above repetitive processing is completed, the
[データ収集部の処理手順の例]
次に、図3を用いて、データ収集部11の処理手順の例を説明する。まず、データ収集部11の入力部111は、分析対象システムのFQDNを読み込む(S11)。収集部114は、S11で読み込んだFQDNに基づき、分析対象システムのWebコンテンツを取得する(S12)。次に、解析部116は、S12で取得したWebコンテンツを解析し、リンクリストを作成する(S13)。そして、評価部117は、S13で作成したリンクリストに含まれるリンクのうち、互いに類似するリンクの削除、アクセス済みのリンクに類似するリンクの削除等を行うことにより、リンクリスト内のリンクの選定を行う(S14:リンクリストの選定を行う)。
[Example of processing procedure of data collection unit]
Next, an example of the processing procedure of the
S14の後、収集部114は、リンクリスト内のリンクに応じたWebコンテンツを取得し(S15)、所定の探索階層数のリンクのWebコンテンツを取得済みか否かを判定する(S16)。ここで、収集部114が、所定の探索階層数のリンクのWebコンテンツを取得済みであると判定した場合(S16でYes)、S17へ進む。そして、出力部118は、収集部114により取得されたFQDNごとのWebコンテンツを出力する(S17)。
After S14, the collecting unit 114 acquires the Web content corresponding to the link in the link list (S15), and determines whether or not the Web content of the link having a predetermined number of search layers has been acquired (S16). Here, when the collecting unit 114 determines that the Web content of the link having a predetermined number of search layers has been acquired (Yes in S16), the process proceeds to S17. Then, the
一方、収集部114が、所定の探索階層数のリンクのWebコンテンツをまだ取得していないと判定した場合(S16でNo)、S13へ戻る。 On the other hand, if the collecting unit 114 determines that the Web content of the link having a predetermined number of search layers has not been acquired yet (No in S16), the process returns to S13.
このようにすることでデータ収集部11は、分析対象システムのWebコンテンツについて所定階層数のリンクまで辿ったWebコンテンツを取得することができる。
By doing so, the
[資産影響度算出部の構成例]
次に、図4を用いて、資産影響度算出部12の構成例を説明する。資産影響度算出部12は、例えば、入力部121と、環境設定ファイル122と、資産影響度算出処理部123と、出力部127とを備える。
[Structure example of asset impact calculation unit]
Next, a configuration example of the asset
入力部121は、分析対象システムのアクセスログと、データ収集部11から出力されたFQDNおよびWebコンテンツの入力を受け付ける。
The
環境設定ファイル122は、資産影響度算出処理部123が動作する際に参照される設定情報を示したファイルである。この環境設定ファイル122は、例えば、資産影響度の算出処理の対象外とするファイルの拡張子のリスト、資産影響度の算出処理の結果を格納するフォルダ(作業フォルダ)のパス等を示したファイルである。なお、資産影響度の算出処理の対象外とするファイルの拡張子は、例えば、.css、.jpg、.png、.js等である。環境設定ファイル122は、例えば、リスク値算出装置10の記憶部(図示省略)に記憶される。
The environment setting file 122 is a file showing the setting information referred to when the asset impact
資産影響度算出処理部123は、分析対象システムのアクセスログと、当該分析対象システムのWebコンテンツとに基づき、当該分析対象システムの資産影響度を算出する。資産影響度算出部12は、集計部124と、解析部125と、評価部126とを備える。
The asset impact
集計部124は、入力部121で受け付けたWebコンテンツのファイル数(A)をカウントする。また、集計部124は、入力部121で受け付けたアクセスログに示されるアクセス先のIPアドレスから、重複を除いたIPアドレス数(B)をカウントする。
The totaling
解析部125は、入力部121で受け付けたWebコンテンツのファイルのうち、所定のファイルに含まれるパラメータ数をカウントする。
The analysis unit 125 counts the number of parameters included in a predetermined file among the Web content files received by the
例えば、解析部125は、入力部121で受け付けたWebコンテンツのファイルのうち、ファイルの拡張子が環境設定ファイル122に示される拡張子(例えば、.css、.jpg、.png、.js等)ではないファイルを対象に、当該ファイルに含まれるパラメータ数をカウントする。解析部125がカウントの対象とするパラメータは、例えば、password、name、id、action属性等である。これにより、解析部125は、対象ファイルに含まれるパスワードの入力フォームの数、アクション数、name、id等のパラメータ数をカウントすることができる。
For example, the analysis unit 125 has an extension (for example, .css, .jpg, .png, .js, etc.) whose file extension is shown in the environment setting file 122 among the Web content files received by the
上記のパラメータ数のカウントの具体例を挙げる。例えば、対象ファイル内にformタグが存在する場合、解析部125は、当該formタグ内にtype=“password”が存在する回数(C)をカウントする。また、対象ファイル内にformタグが存在し、かつ、当該formタグ内にnameタグもしくはidタグが存在する場合、解析部125は、nameタグもしくはidタグが存在する回数(D)をカウントする。ただし、対象のnameタグもしくはidタグがカウント済みである場合、解析部125は当該タグをカウントしない。 A specific example of counting the number of parameters above is given. For example, when the form tag exists in the target file, the analysis unit 125 counts the number of times (C) that type = “password” exists in the form tag. If the form tag exists in the target file and the name tag or id tag exists in the form tag, the analysis unit 125 counts the number of times (D) that the name tag or id tag exists. However, if the target name tag or id tag has already been counted, the analysis unit 125 does not count the tag.
また、対象ファイル内にinputタグが存在する場合、解析部125は、当該inputタグ内にnameタグもしくはidタグが存在する回数(D)をカウントする。ただし、対象のnameタグもしくはidタグがカウント済みの場合、解析部125は当該タグをカウントしない。また、対象ファイル内にformタグおよびinputタグが存在するが、当該タグ内に、nameタグもidタグも存在せず、action属性があれば、解析部125は、action属性の存在回数(D)をカウントする。 If the input tag exists in the target file, the analysis unit 125 counts the number of times (D) that the name tag or id tag exists in the input tag. However, if the target name tag or id tag has already been counted, the analysis unit 125 does not count the tag. Further, if the form tag and the input tag exist in the target file, but neither the name tag nor the id tag exists in the tag and the action attribute exists, the analysis unit 125 determines the number of times the action attribute exists (D). To count.
[評価部]
評価部126は、集計部124および解析部125によって得られた値を用いて、分析対象システムの資産影響度を算出する。例えば、評価部126は、集計部124および解析部125によって得られた、分析対象システムへのアクセス数と、Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数とに基づき、分析対象システムの資産影響度を算出する。
[Evaluation Department]
The evaluation unit 126 calculates the asset impact degree of the analysis target system using the values obtained by the
例えば、集計部124および解析部125の処理によって、FQDNごとに以下のA~Dの値が得られている。
For example, the following values A to D are obtained for each FQDN by the processing of the
A. Webコンテンツのファイル数
B. 重複を除いたIPアドレス数(アクセス数)
C. パスワードの入力フォームの数
D. Webコンテンツ内のパラメータ数
A. Number of Web content files B. Number of IP addresses excluding duplicates (number of accesses)
C. Number of password input forms D. Number of parameters in the web content
また、Webサイトwi(i=1,2,…,n)における影響度Sは、以下の式(1)により求めることができる。なお、式(1)におけるα(wi)は、Webサイトwiの可用性に対応する値であり、β(wi)は、Webサイトwiの機密性に対応する値であり、γ(wi)は、Webサイトwiの完全性に対応する値である。 Further, the degree of influence S on the website w i (i = 1,2, ..., N) can be obtained by the following equation (1). In addition, α (w i ) in the equation (1) is a value corresponding to the availability of the website w i , and β (w i ) is a value corresponding to the confidentiality of the website w i , and γ ( w i ) is the value corresponding to the completeness of the website w i .
よって、評価部126は、上記のA~Dの値を用いて、式(1)におけるα(wi)、β(wi)、γ(wi)を算出することで、分析対象システムの資産影響度を算出することができる。なお、α(wi)、β(wi)、γ(wi)は、それぞれ0~1の間の値とする。 Therefore, the evaluation unit 126 calculates α (w i ), β (w i ), and γ ( wi ) in the equation (1) using the above values A to D to obtain the analysis target system. The degree of asset impact can be calculated. In addition, α (w i ), β (w i ), and γ (w i ) are values between 0 and 1, respectively.
[α(wi)について]
α(wi)の値(可用性に対応する値)の算出について説明する。分析対象システム(Webサイト)のアクセス数が多いほど、システムのインシデント発生時における、利用者への影響は大きいと考えられる。よって、評価部126が、上記のα(wi)(可用性に対応する値)を算出する際には、Webサイトのアクセス数(上記のB)を用いる。
[About α (w i )]
The calculation of the value of α (w i ) (value corresponding to availability) will be described. It is considered that the greater the number of accesses to the analysis target system (Web site), the greater the impact on the user when a system incident occurs. Therefore, when the evaluation unit 126 calculates the above α ( wi ) (value corresponding to availability), the number of access to the website (B above) is used.
例えば、評価部126は、FQDNごとに得られたアクセス数(上記のB)の最大値を対数の底とし、各FQDNのアクセス数を真数とすることで、上記のα(wi)を算出する(式(2)参照)。なお、アクセス数の最大値をlogの底にすることで、アクセス数の特異値の影響を緩和するこができる。 For example, the evaluation unit 126 sets the maximum value of the number of accesses (B above) obtained for each FQDN as the base of the logarithm, and sets the number of accesses of each FQDN as the antilogarithm, thereby setting α (w i ) above. Calculate (see equation (2)). By setting the maximum value of the number of accesses to the bottom of the log, the influence of the singular value of the number of accesses can be mitigated.
上記の式(2)により算出されるα(wi)は、Webサイトwiの利用数(アクセス数)が多いほど大きな値になる。 The α (w i ) calculated by the above equation (2) becomes larger as the number of uses (accesses) of the website w i increases.
[β(wi)について]
次に、β(wi)の値(機密性に対応する値)の算出について説明する。分析対象システム(Webサイト)が機密情報を有する場合、ログインフォームを用いた適切な認証または認可機能が装備される。さらに、利用数(アクセス数)の多さは機密情報量に直結するため、システムのインシデント発生時の利用者への影響は大きいと考えられる。そこで、評価部126が、上記のβ(wi)を算出する際には、パスワードの入力フォームの数(上記のC)とアクセス数(上記のB)とを用いる。
[About β (w i )]
Next, the calculation of the β (w i ) value (value corresponding to confidentiality) will be described. If the system to be analyzed (website) has confidential information, it will be equipped with appropriate authentication or authorization function using a login form. Furthermore, since the large number of uses (accesses) is directly linked to the amount of confidential information, it is considered that the impact on users when a system incident occurs is large. Therefore, when the evaluation unit 126 calculates the above β ( wi ), the number of password input forms (above C) and the number of accesses (above B) are used.
例えば、評価部126は、パスワードの入力フォームの数(上記のC)>0であるFQDNの中で、アクセス数が最も大きい値を対数の底とし、各FQDNのアクセス数を真数とすることで、上記のβ(wi)を算出する(式(3)参照)。なお、上記の式(3)において、パスワードの入力フォームの数=0であるFQDNに関するβは0とする。 For example, the evaluation unit 126 sets the value with the largest number of accesses as the base of the logarithm among the FQDNs in which the number of password input forms (C above)> 0, and sets the number of accesses of each FQDN as the antilogarithm. Then, the above β ( wi ) is calculated (see equation (3)). In the above equation (3), β regarding the FQDN in which the number of password input forms = 0 is set to 0.
上記の式(3)により算出されるβ(wi)は、Webサイトwiがパスワードの入力フォーム(ログインフォーム)を有し、かつ、利用数(アクセス数)が多いほど大きな値になる。 The β (w i ) calculated by the above equation (3) becomes larger as the website w i has a password input form (login form) and the number of uses (accesses) increases.
[γ(wi)について]
次に、γ(wi)の値(完全性に対応する値)の算出について説明する。分析対象システム(Webサイト)が、ユーザからの入力を受け付ける機能(例えば、inputタグやformタグが設定される部分)を備える場合、当該機能が悪用され、改ざん等が発生する可能性が高いと考えられる。よって、悪用されうる機能の数(アクション数、パラメータ数)や、改ざんされうる対象の数(コンテンツ数)が多いほど、システムのインシデント発生時における影響は大きいと考えられる。そこで、評価部126は、上記のγ(wi)(完全性に対応する値)を算出する際には、コンテンツ数(上記のAに示す「ファイル数」に相当)と、アクセス数(上記のB)と、パラメータ数(上記のD)とを用いる。
[About γ (w i )]
Next, the calculation of the value of γ (w i ) (the value corresponding to the integrity) will be described. If the analysis target system (Web site) has a function to accept input from the user (for example, the part where the input tag and form tag are set), there is a high possibility that the function will be abused and falsification will occur. Conceivable. Therefore, it is considered that the larger the number of functions that can be abused (number of actions, the number of parameters) and the number of targets that can be tampered with (the number of contents), the greater the impact when an incident occurs in the system. Therefore, when the evaluation unit 126 calculates the above γ ( wi ) (value corresponding to the integrity), the number of contents (corresponding to the “number of files” shown in A above) and the number of accesses (the above). B) and the number of parameters (D above) are used.
例えば、評価部126は、各FQDNのWebコンテンツのファイル数の中で、最も大きい値を対数の底とし、各FQDNのWebコンテンツのファイル数を真数とした値(第1の値)を算出する。また、評価部126は、各FQDNの中でWebコンテンツ内のパラメータ数の中で、最も大きい値を対数の底とし、各FQDNのパラメータ数を真数とした値(第2の値)を算出する。そして、評価部126は、上記の第1の値と第2の値との和を2で割った値を、上記のγ(wi)とする(式(4)参照)。 For example, the evaluation unit 126 calculates a value (first value) with the largest value among the number of Web content files of each FQDN as the base of the logarithm and the number of Web content files of each FQDN as the true number. do. Further, the evaluation unit 126 calculates a value (second value) in which the largest value among the number of parameters in the Web content in each FQDN is the base of the logarithm and the number of parameters in each FQDN is the true number. do. Then, the evaluation unit 126 sets the value obtained by dividing the sum of the first value and the second value by 2 as the above γ ( wi ) (see equation (4)).
上記の式(4)により算出されるγ(wi)は、Webサイトwiのコンテンツ数、アクション数、パラメータ数が多いほど大きな値になる。なお、Webコンテンツのアクション数やパラメータ数は、評価部126が、当該Webコンテンツのformタグ(action属性)やinputタグ(name属性)の数を確認することで得ることができる。 The γ (w i ) calculated by the above equation (4) becomes a larger value as the number of contents, the number of actions, and the number of parameters of the website w i increase. The number of actions and the number of parameters of the Web content can be obtained by the evaluation unit 126 confirming the number of form tags (action attribute) and input tags (name attribute) of the Web content.
そして、評価部126は、FQDNごとに、算出したα(wi)、β(wi)およびγ(wi)を式(1)に代入することにより、資産影響度を算出する。 Then, the evaluation unit 126 calculates the asset impact degree by substituting the calculated α (w i ), β (w i ) and γ (w i ) into the equation (1) for each FQDN.
出力部127は、評価部126により算出されたFQDNごとの資産影響度を出力する。例えば、出力部127は、評価部126により算出されたFQDNごとの資産影響度を所定の作業フォルダに格納する。
The
なお、上記の評価部126は、FQDNごとに得られた資産影響度の高さに基づき順位付けを行い、その順位付けの結果に応じて資産影響度のスコアを付与してもよい。その場合、出力部127は、評価部126により付与された、FQDNごとの資産影響度のスコアを出力する。
Note that the above evaluation unit 126 may perform ranking based on the high degree of asset impact obtained for each FQDN, and may give a score of asset impact according to the result of the ranking. In that case, the
[資産影響度算出部の処理手順の例]
次に、図5を用いて、資産影響度算出部12の処理手順の例を説明する。まず、資産影響度算出部12の入力部121は、データ収集部11から出力されたWebコンテンツと、分析対象システムのアクセスログとを取得する(S21:Webコンテンツとアクセスログを取得)。
[Example of processing procedure of asset impact calculation unit]
Next, an example of the processing procedure of the asset
次に、集計部124は、S21で取得したWebコンテンツのファイル数をカウントする(S22)。また、集計部124は、S21で取得したアクセスログの中から重複を除いたIPアドレス数(アクセス数)をカウントする(S23)。
Next, the
S23の後、解析部125は、S21で取得されたWebコンテンツの所定のファイル内をスキャンし、ファイル内のパラメータ数をカウントする(S24)。例えば、解析部125は、対象ファイルに含まれるパスワードの入力フォームの数、アクション数、name、id等のパラメータ数をカウントする。S24の処理の詳細は、具体例を用いて後記する。 After S23, the analysis unit 125 scans the inside of the predetermined file of the Web content acquired in S21 and counts the number of parameters in the file (S24). For example, the analysis unit 125 counts the number of password input forms, the number of actions, the number of parameters such as name and id included in the target file. Details of the processing of S24 will be described later using a specific example.
S24の後、評価部126は、S21で取得されたWebコンテンツのファイル数、分析対象システムのアクセス数、S24でカウントされたパスワードの入力フォームの数、アクション数、name、id等のパラメータ数を用いて資産影響度を算出する(S25)。資産影響度算出処理部123は、上記のS21~S25の処理を、FDQNごとに実行する。その後、出力部127は、FQDNごとに算出された資産影響度を出力する(S26)。
After S24, the evaluation unit 126 determines the number of Web content files acquired in S21, the number of accesses to the analysis target system, the number of password input forms counted in S24, the number of actions, the number of parameters such as name and id. The degree of asset impact is calculated using (S25). The asset impact
次に、図6を用いて、図5のS24の処理の具体例を説明する。 Next, a specific example of the process of S24 in FIG. 5 will be described with reference to FIG.
例えば、解析部125は、図4のS21で取得したWebコンテンツのファイル内にformタグが存在するか否かを判定し(S241)、ファイル内にformタグが存在すると判定した場合(S241でYes)、formタグ内にtype=“password”が存在する回数をカウントする(S242)。また、解析部125は、formタグ内にnameタグもしくはidタグが存在する回数をカウントする(S243)。その後、解析部125は、当該ファイル内にinputタグが存在するか否かを判定する(S244)。ここで解析部125が、当該ファイル内にinputタグが存在すると判定した場合(S244でYes)、当該ファイルのinputタグ内にnameタグもしくはidタグが存在する回数をカウントする(S245)。その後、S246へ進む。 For example, when the analysis unit 125 determines whether or not the form tag exists in the Web content file acquired in S21 of FIG. 4 (S241) and determines that the form tag exists in the file (Yes in S241). ), Count the number of times type = “password” exists in the form tag (S242). Further, the analysis unit 125 counts the number of times that the name tag or id tag exists in the form tag (S243). After that, the analysis unit 125 determines whether or not the input tag exists in the file (S244). Here, when the analysis unit 125 determines that the input tag exists in the file (Yes in S244), the number of times the name tag or id tag exists in the input tag of the file is counted (S245). Then, proceed to S246.
なお、S241で、解析部125がファイル内にformタグが存在しないと判定した場合(S241でNo)、S242とS243をスキップして、S244へ進む。また、S244で、解析部125が、ファイル内にinputタグが存在しないと判定した場合(S244でNo)、S245をスキップして、S246へ進む。 If the analysis unit 125 determines in S241 that the form tag does not exist in the file (No in S241), it skips S242 and S243 and proceeds to S244. If the analysis unit 125 determines in S244 that the input tag does not exist in the file (No in S244), it skips S245 and proceeds to S246.
S246において、解析部125は、当該ファイルにformタグおよびinputタグが存在するが、当該タグ内に、nameタグもidタグも無いと判定した場合(S246でYes)、当該タグ内のaction属性の数をカウントする(S247)。そして、処理を終了する。 In S246, when the analysis unit 125 determines that the file has a form tag and an input tag, but there is neither a name tag nor an id tag in the tag (Yes in S246), the action attribute in the tag Count the number (S247). Then, the process is terminated.
一方、解析部125が、当該ファイルにformタグもinputタグも存在しないと判定した場合(S246でNo)、S247の処理は実行せず、処理を終了する。 On the other hand, when the analysis unit 125 determines that neither the form tag nor the input tag exists in the file (No in S246), the process of S247 is not executed and the process ends.
上記の処理により解析部125は、対象ファイルに含まれるパスワードの入力フォームの数、アクション数、name、id等のパラメータ数をカウントする。 By the above processing, the analysis unit 125 counts the number of password input forms, the number of actions, the number of parameters such as name and id included in the target file.
[リスク値算出部]
次に、図7を用いて、リスク値算出部13の構成例を説明する。リスク値算出部13は、例えば、入力部131と、環境設定ファイル132と、リスク値算出処理部133と、出力部136とを備える。
[Risk value calculation unit]
Next, a configuration example of the risk
入力部131は、資産影響度算出部12から出力されたFQDNごとの資産影響度(例えば、資産影響度のスコア)を受け付ける。また、入力部131は、脆弱性情報の入力を受け付ける。この脆弱性情報は、例えば、CVSSv3に基づく脆弱性情報である。
The
環境設定ファイル132は、リスク値算出処理部133が動作する際に参照される設定情報を示したファイルである。この環境設定ファイル132は、例えば、リスク値算出処理部133の算出処理の結果を格納するフォルダ(作業フォルダ)のパス等を示したファイルである。環境設定ファイル132は、例えば、リスク値算出装置10の記憶部(図示省略)に記憶される。
The
リスク値算出処理部133は、分析対象システムのリスク値を算出する。例えば、リスク値算出処理部133は、資産影響度算出部12から出力された、FQDNごとの資産影響度のスコアと、上記の脆弱性情報とに基づき、FQDNごとのリスク値(例えば、リスクスコア)を算出する。
The risk value
リスク値算出処理部133は、集計部134と評価部135とを備える。集計部134は、上記の脆弱性情報から、機密性への影響を示す値(C)、完全性への影響を示す値(I)、可用性への影響を示す値(A)を取得する。また、集計部134は、脆弱性情報から攻撃容易性の値を取得する。
The risk value
評価部135は、資産影響度算出部12により算出された分析対象システムの資産影響度の値を用いて、当該分析対象システムのリスク値を算出する。例えば、評価部135は、分析対象システムが保有する脆弱性ごとに、CVSSv3のEnvironmental Metricsをもとに、資産影響度の値によってCVSSの値(リスク値)を算出する。
The
評価部135による、リスク値の算出の例を説明する。例えば、まず、評価部135は、資産影響度の算出に用いたα、β、γを用いて、以下に示す式(5)により、分析対象システムのセキュリティ要求度(CR、IR、AR)と呼ばれる値を算出する。つまり、評価部135は、資産影響度に、上記のC、RまたはIの影響度(β、γまたはα)を加算した値を分析対象システムのセキュリティ要求度(CR、IR、AR)として算出する。なお、CRは、機密性に関するセキュリティ要求度を示す値であり、IRは、完全性に関するセキュリティ要求度を示す値であり、ARは、可用性に関するセキュリティ要求度を示す値である。
An example of calculating the risk value by the
次に、評価部135は、上記のC、I、Aと、上記の式(5)により算出したCR、IR、ARとを用いて、以下に示す式(6)により、分析対象システムの影響度を算出する。
Next, the
その後、評価部135は、上記の攻撃容易性と、上記の式(6)により算出した影響度とを用いて、以下に示す式(7)により、CVSSの値(リスク値)を算出する。なお、式(7)における、RoundUp1は小数点第1位の切り上げを示す。
After that, the
評価部135は、上記のリスク値の算出処理を、分析対象システムが保有するすべての脆弱性に対し行う。これにより、評価部135は、分析対象システムが保有するすべての脆弱性に関するリスク値を得ることができる。
The
出力部136は、評価部135により算出されたFQDNごとのリスク値を出力する。例えば、出力部136は、評価部135により算出されたFQDNごとのリスク値を所定の作業フォルダに格納する。
The
[リスク値算出部の処理手順の例]
次に、図8を用いて、リスク値算出部13の処理手順の例を説明する。例えば、リスク値算出部13の入力部131は、FQDNごとの資産影響度のスコアと脆弱性情報とを取得する(S31)。次に、集計部134は、S31で取得した脆弱性情報から、機密性への影響を示す値(C)、完全性への影響を示す値(I)、可用性への影響を示す値(A)を取得し、また、攻撃容易性の値を取得する(S32)。
[Example of processing procedure of risk value calculation unit]
Next, an example of the processing procedure of the risk
S32の後、評価部135は、分析対象システムが保有する脆弱性ごとに、CVSSv3のEnvironmental Metricsをもとに、資産影響度のスコアによってCVSSの値(リスクスコア)を算出する(S33)。例えば、評価部135は、S31で取得したFQDNごとの資産影響度のスコアと、S32で取得した、機密性への影響を示す値(C)、完全性への影響を示す値(I)、可用性への影響を示す値(A)、攻撃容易性の値とを用いて、上記の式(5)~式(7)を用いて、FQDNごとのCVSSの値(リスクスコア)を算出する。S33の後、出力部136はFQDNごとに算出されたリスクスコアを出力する(S34)。
After S32, the
このようにすることで、リスク値算出部13は、FQDNごとの資産影響度を考慮した各脆弱性のリスク値を算出することができる。
By doing so, the risk
[その他の実施形態]
なお、資産影響度算出部12は、運用の容易性の観点から、分析対象システムへのアクセス数というメトリックにより資産影響度を算出しているが、これに限定されない。例えば、資産影響度算出部12は、分析対象システムの連続動作時間、障害復旧時間、データベースのサイズ、システム取得費用、保守費用、トランザクション件数、通信サイズ、サーバ台数、一般アカウント数、管理者アカウント数、フォルダ数、ファイル数、管理者に限定されたファイル数、他システムとの連携数、利用ポート数、利用プロトコル数、情報更新間隔、クレジットカード情報の件数、カルテの件数、特許の件数等をメトリックとして用いて、資産影響度を算出してもよい。
[Other embodiments]
From the viewpoint of ease of operation, the asset
[効果]
従来、情報システムのリスクの分析には、分析者に高い熟練度が求められていた。しかし、本実施形態のリスク値算出装置10によれば、情報システムのリスク値の算出は定量的に行われる。その結果、情報システムのリスク値の算出を熟練者でなくても容易に行うことができる。
[effect]
Traditionally, analysis of information system risks has required a high degree of skill from the analyst. However, according to the risk
また、従来、CVSSでは脆弱性ごとにリスクスコアが付与されていたため、脆弱性を有する情報システム間で対処の優先付けができなかった。しかし、本実施形態のリスク値算出装置10は、分析対象の情報システム自体に着目して資産影響度を算出し、その資産影響度によってリスク値を再計算する。これにより、リスク値算出装置10は、分析対象の情報システム自体を反映したリスク値を求めることができる。これにより、情報システムの管理者は、情報システムの脆弱性に対する対処の優先付けをしやすくなる。
Also, in the past, in CVSS, a risk score was given for each vulnerability, so it was not possible to prioritize countermeasures among information systems with vulnerabilities. However, the risk
また、リスク値算出装置10は、分析対象の情報システムの資産影響度を算出するので、定量的に情報システム間の優劣をつけられる。その結果、情報システムの管理者は、どの情報システムを対象に、新規のセキュリティ対策装置を導入すべきか等、セキュリティ対策の優先付けをしやすくなる。
Further, since the risk
[システム構成等]
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
[System configuration, etc.]
Further, each component of each of the illustrated parts is a functional concept, and does not necessarily have to be physically configured as shown in the figure. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or part of them may be functionally or physically distributed / physically in arbitrary units according to various loads and usage conditions. Can be integrated and configured. Further, each processing function performed by each device may be realized by a CPU and a program executed by the CPU, or may be realized as hardware by wired logic.
また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 Further, among the processes described in the above-described embodiment, all or part of the processes described as being automatically performed can be manually performed, or the processes described as being manually performed can be performed. All or part of it can be done automatically by a known method. In addition, the processing procedure, control procedure, specific name, and information including various data and parameters shown in the above document and drawings can be arbitrarily changed unless otherwise specified.
[プログラム]
前記したリスク値算出装置10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を各実施形態のリスク値算出装置として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。
[program]
The risk
また、リスク値算出装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
Further, the risk
図9は、リスク値プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
FIG. 9 is a diagram showing an example of a computer that executes a risk value program. The
メモリ1010は、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
The
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のリスク値算出装置10が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、各実施形態のリスク値算出装置における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSDにより代替されてもよい。
The hard disk drive 1090 stores, for example, OS1091,
また、上述した実施形態の処理で用いられる環境設定ファイル112,122,132は、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
Further, the
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワされたーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
10 リスク値算出装置
11 データ収集部
12 資産影響度算出部
13 リスク値算出部
111,121,131 入力部
112,122,132 環境設定ファイル
113 データ収集処理部
114 収集部
115 通信制御部
116,125 解析部
117,126,135 評価部
124,134 集計部
10 Risk
Claims (5)
前記アクセスログから前記情報システムへのアクセス数を集計し、前記Webコンテンツの内容から、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数を集計する集計処理部と、
前記集計された前記情報システムへのアクセス数と、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数とに基づき、前記情報システムの資産影響度を算出する資産影響度算出部と、
を備えることを特徴とするリスク値算出装置。 An input unit that accepts the access log to the information system to be analyzed and the input of the Web contents that make up the information system,
An aggregation processing unit that aggregates the number of accesses to the information system from the access log and aggregates the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters from the contents of the Web content.
The asset impact degree that calculates the asset impact degree of the information system based on the aggregated number of accesses to the information system, the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters. Calculation unit and
A risk value calculation device characterized by being equipped with.
前記集計された前記Webコンテンツへのアクセス数、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数が大きいほど、当該Webコンテンツの資産影響度を高く算出する
ことを特徴とする請求項1に記載のリスク値算出装置。 The asset impact calculation unit
The larger the total number of accesses to the Web content, the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters, the higher the degree of asset impact of the Web content is calculated. The risk value calculation device according to claim 1.
をさらに備えることを特徴とする請求項1に記載のリスク値算出装置。 Further provided with a risk value calculation unit that calculates the risk value for each vulnerability of the information system by combining the calculated asset impact degree of the information system with the value of each vulnerability of the information system. The risk value calculation device according to claim 1, wherein the risk value calculation device is characterized.
分析対象の情報システムへのアクセスログと前記情報システムを構成するWebコンテンツの入力を受け付ける工程と、
前記アクセスログから前記情報システムへのアクセス数を集計し、前記Webコンテンツの内容から、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数を集計する工程と、
前記集計された前記情報システムへのアクセス数と、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数とに基づき、前記情報システムの資産影響度を算出する工程と、
を含むことを特徴とするリスク値算出方法。 It is a risk value calculation method executed by the risk value calculation device.
The process of accepting the access log to the information system to be analyzed and the input of the Web contents constituting the information system, and
A process of totaling the number of accesses to the information system from the access log and totaling the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters from the content of the Web content.
A process of calculating the asset impact of the information system based on the aggregated number of accesses to the information system, the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters.
A risk value calculation method characterized by including.
前記アクセスログから前記情報システムへのアクセス数を集計し、前記Webコンテンツの内容から、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数を集計する工程と、
前記集計された前記情報システムへのアクセス数と、当該Webコンテンツに含まれるファイル数、パスワードの入力フォーム数、アクション数およびパラメータ数とに基づき、前記情報システムの資産影響度を算出する工程と、
をコンピュータに実行させることを特徴とするリスク値算出プログラム。 The process of accepting the access log to the information system to be analyzed and the input of the Web contents constituting the information system, and
A process of totaling the number of accesses to the information system from the access log and totaling the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters from the content of the Web content.
A process of calculating the asset impact of the information system based on the aggregated number of accesses to the information system, the number of files included in the Web content, the number of password input forms, the number of actions, and the number of parameters.
A risk value calculation program characterized by having a computer execute.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/035301 WO2022059146A1 (en) | 2020-09-17 | 2020-09-17 | Risk value calculation device, risk value calculation method, and risk value calculation program |
| JP2022550273A JP7509217B2 (en) | 2020-09-17 | 2020-09-17 | Risk value calculation device, risk value calculation method, and risk value calculation program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2020/035301 WO2022059146A1 (en) | 2020-09-17 | 2020-09-17 | Risk value calculation device, risk value calculation method, and risk value calculation program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2022059146A1 true WO2022059146A1 (en) | 2022-03-24 |
Family
ID=80776602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2020/035301 Ceased WO2022059146A1 (en) | 2020-09-17 | 2020-09-17 | Risk value calculation device, risk value calculation method, and risk value calculation program |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7509217B2 (en) |
| WO (1) | WO2022059146A1 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114861213A (en) * | 2022-07-07 | 2022-08-05 | 广东省科技基础条件平台中心 | Scientific and technological project full-period intelligent management system and method |
| JP2024007581A (en) * | 2022-07-06 | 2024-01-19 | 株式会社東芝 | Risk assessment device, risk assessment method and program |
| JP7464804B1 (en) | 2024-01-10 | 2024-04-09 | 株式会社ユービーセキュア | Security Test System |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090099885A1 (en) * | 2007-10-12 | 2009-04-16 | Yune-Gie Sung | Method for risk analysis using information asset modelling |
| US20120304300A1 (en) * | 2011-05-23 | 2012-11-29 | Lockheed Martin Corporation | Enterprise vulnerability management |
| US20130074188A1 (en) * | 2011-09-16 | 2013-03-21 | Rapid7 LLC. | Methods and systems for improved risk scoring of vulnerabilities |
| JP2020113090A (en) * | 2019-01-15 | 2020-07-27 | 三菱電機株式会社 | Vulnerability influence evaluation system |
-
2020
- 2020-09-17 JP JP2022550273A patent/JP7509217B2/en active Active
- 2020-09-17 WO PCT/JP2020/035301 patent/WO2022059146A1/en not_active Ceased
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090099885A1 (en) * | 2007-10-12 | 2009-04-16 | Yune-Gie Sung | Method for risk analysis using information asset modelling |
| US20120304300A1 (en) * | 2011-05-23 | 2012-11-29 | Lockheed Martin Corporation | Enterprise vulnerability management |
| US20130074188A1 (en) * | 2011-09-16 | 2013-03-21 | Rapid7 LLC. | Methods and systems for improved risk scoring of vulnerabilities |
| JP2020113090A (en) * | 2019-01-15 | 2020-07-27 | 三菱電機株式会社 | Vulnerability influence evaluation system |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2024007581A (en) * | 2022-07-06 | 2024-01-19 | 株式会社東芝 | Risk assessment device, risk assessment method and program |
| JP7735229B2 (en) | 2022-07-06 | 2025-09-08 | 株式会社東芝 | Risk assessment device, risk assessment method, and program |
| CN114861213A (en) * | 2022-07-07 | 2022-08-05 | 广东省科技基础条件平台中心 | Scientific and technological project full-period intelligent management system and method |
| JP7464804B1 (en) | 2024-01-10 | 2024-04-09 | 株式会社ユービーセキュア | Security Test System |
| JP2025108180A (en) * | 2024-01-10 | 2025-07-23 | 株式会社ユービーセキュア | Security Test System |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7509217B2 (en) | 2024-07-02 |
| JPWO2022059146A1 (en) | 2022-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jacobs et al. | Improving vulnerability remediation through better exploit prediction | |
| Golla et al. | On the accuracy of password strength meters | |
| US10511635B2 (en) | Inferential analysis using feedback for extracting and combining cyber risk information | |
| US8438644B2 (en) | Information system security based on threat vectors | |
| Hurier et al. | On the lack of consensus in anti-virus decisions: Metrics and insights on building ground truths of android malware | |
| Kotenko et al. | Security assessment of computer networks based on attack graphs and security events | |
| US20240364710A1 (en) | Verification platform | |
| JP7509217B2 (en) | Risk value calculation device, risk value calculation method, and risk value calculation program | |
| JP2012524937A (en) | System and method for developing risk profiles for Internet resources | |
| Dobolyi et al. | Phishmonger: A free and open source public archive of real-world phishing websites | |
| JP7409978B2 (en) | Risk assessment system and risk assessment method | |
| US12355820B2 (en) | Inferential analysis using feedback for extracting and combining cyber risk information | |
| JPWO2018159337A1 (en) | Profile generation device, attack detection device, profile generation method, and profile generation program | |
| US20220147533A1 (en) | Systems and methods for automated importance ranking of computing elements | |
| JP2019191657A (en) | Threat information sharing system between a plurality of organizations and method | |
| US8972328B2 (en) | Determining document classification probabilistically through classification rule analysis | |
| Surwade | Phishing e-mail is an increasing menace | |
| RU2758359C1 (en) | System and method for detecting mass fraudulent activities in the interaction of users with banking services | |
| US20230237467A1 (en) | Risk Analysis System for Cold Restore Requests for Digital Wallets | |
| US10819732B1 (en) | Computing device, software application, and computer-implemented method for system-specific real-time threat monitoring | |
| EP3761197A1 (en) | Method and system for producing a scoring model | |
| Caballero et al. | Goodfatr: a platform for automated threat report collection and ioc extraction | |
| Nurhayati et al. | Decision making model design for antivirus software selection using Factor Analysis and Analytical Hierarchy Process | |
| Modi | CSM Automated Confidence Score Measurement of Threat Indicators | |
| Nhlabatsi et al. | Design and Implementation of a Threat-Specific Security Risk Assessment Tool |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20954131 Country of ref document: EP Kind code of ref document: A1 |
|
| ENP | Entry into the national phase |
Ref document number: 2022550273 Country of ref document: JP Kind code of ref document: A |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 20954131 Country of ref document: EP Kind code of ref document: A1 |