不正アクセス被害予測のためのデータ作成支援ツールの検討

不正アクセス被害予測のためのデータ作成支援ツールの検討

*

大谷尚通 井上潮 桑田喜隆†

(株)NTTデータ 技術開発本部§

* _{Consideration of Data Collector and Editor for Network-Security Damage Estimation System．} †_{Hisamichi Ohtani, Ushio Inoue, and Yoshitaka Kuwata}

§

Research and Development Headquaters, NTTDATA Corporation．

1

はじめに 大規模で複雑なシステムにおいて,不正アクセスに よって引き起こされる被害を正確かつ迅速に見積も ることは難しい．そこで筆者らはリソース依存モデ ルを用いた被害予測システム[1]を提案した．本シス テムは,不正アクセスを受けたシステムの状態をシミ ュレーションする事によって,副次的な影響を含む全 体の被害状態を迅速に予測できる．本稿では,実シス テムを効率良くモデル化できるようにするための階 層化手法と依存関係情報の収集及びモデル構築支援 ツールについて述べる．

2

リソース依存モデル リソースとは,システムを構成する計算機やネット ワークインフラのような物理的なものだけでなく,ソ フトウェアや人,業務のように無形のものも含む．あ るリソースが他のリソースを使用したり,他のリソー スの状態に影響を受けたりする場合,この間には依存 関係があると言う．あるシステムに関するリソース と依存関係の情報を記述したものがリソース依存モ デルである．リソース依存モデルは,依存関係を有向 グラフで表現した図1を基本構造とする．不正アクセ スが,ある一つのリソースに影響を与えた場合,その 影響は関係するリソースへ次々と伝播していく．本 システムは,この影響の伝播をシミュレートし,影響 を受けたリソースの資産価値等から,損害や逸失利益 等を算出する．なお,リソース依存モデルはXMLを用 いて記述する． 図 1：依存関係のあるリソース間の表現

3

実システム適用時の課題と対策 大規模で複雑なシステムをモデル化する場合,以下 の課題を解決する必要がある． 1. リソース依存モデルの設計 数多くのリソースが複雑に組み合わされている ため,依存リンク構造が複雑になり設計が容易 でない．全リソースを忠実にモデル化しようと すると,作成コストが高くなる． 2. 依存関係情報の収集 収集すべき情報量が多い．また,システム構成の 変更に伴うモデルの修正にコストがかかる． 3. モデルの記述作業 手作業によるモデルの正確な記述作業は困難で ある． 前記の三つの課題に対し,以下の解決方法をとる． 1. 三層モデルによる典型的なリソース依存モデル の提供 2. 依存関係情報の自動収集と自動生成 3. XMLで記述されたモデルの編集支援 以下,それぞれについて説明する．

4

リソース依存モデルの作成手法 4.1 典型的なリソース依存モデルおよび作成手法 被害予測を行うには,業務全体を一つのシステムと して捉えてモデル化する必要がある．そこで,まずシ ステム全体を業務,ワークフロー,組織,人員などの業 務系,サーバ/クライアントソフト,DB等のアプリケー ション系,通信,OS,ハードウェア等の基本システム系 の三つに分類する(図2)．次にこの三つのそれぞれに 適した方法を用いてリソース依存モデルを構築する． 図 2：被害予測の三層モデル 業務系レイヤは,業務や組織によってさまざまな形 態が存在し,典型的なモデルに当てはめることが難し い．従って,このレイヤは,ヒアリング等によって業務 体系やワークフローの情報を収集し,手作業によって モデル化する． アプリケーション系レイヤは,クライアントサーバ や三層アーキテクチャ等に基づいて構成されている ことが多いため,いくつかの典型的なモデルに当ては 子リソース Ｒ_i リソース状態値：Ｓi 資産価値 ：Ｖi 親リソース Ｒ_k リソース状態値：Ｓｋ 資産価値 ：Ｖｋ 親リソース Ｒ_j リソース状態値：Ｓｊ 資産価値 ：Ｖｊ 重み：Ｗi,k 重み：Ｗi,ｊ 依存リンク：Ｌi,k 依存リンク：Ｌi,ｊ 依存成立式：ｆi 業務 ワークフロー 人・組織 オペレーション・エリア ワーク・エリア システム構成 各アプリ、プロセスの 構成、連携、通信 セッション層 プレゼンテーション層 アプリケーション層 システム・エリア 通信 ネットワーク ハードウェア 物理層 MAC層 データリンク層 ネットワーク層 トランスポート層 業務系レイヤモデル アプリケーション系レイヤモデル 基本システム系レイヤモデル 業務 ワークフロー 人・組織 オペレーション・エリア ワーク・エリア オペレーション・エリア ワーク・エリア システム構成 各アプリ、プロセスの 構成、連携、通信 セッション層 プレゼンテーション層 アプリケーション層 システム・エリア セッション層 プレゼンテーション層 アプリケーション層 セッション層 プレゼンテーション層 アプリケーション層 システム・エリア 通信 ネットワーク ハードウェア 物理層 MAC層 データリンク層 ネットワーク層 トランスポート層 物理層 MAC層 データリンク層 ネットワーク層 トランスポート層 MAC層 データリンク層 ネットワーク層 トランスポート層 業務系レイヤモデル アプリケーション系レイヤモデル 基本システム系レイヤモデル

3−201

3D-7

情報処理学会第65回全国大会

めることができる．従って,情報収集の自動化とモデ ル作成の手順化を行なう． 基本システム系レイヤは,計算機本体やネットワー クセグメント等,個々の独立した要素から構成される． 各リソースは独立性が高く,記述すべき依存関係は少 ない．従って,複雑なリソース依存モデルは必要無く, リソース情報の自動収集もしくは他システムからの 転用によってモデルを作成する． 4.2 依存関係情報の自動収集と自動生成 最近普及しているWebアプリケーションは,クライ アント管理が不要なため,クライアントの特定が難し い．その他のアプリケーションにおいても,それらの 間に成り立っている依存関係の抽出とモデル化にコ ストがかかる．そこで,アプリケーション系レイヤに おいては,依存関係情報を自動的に収集する方法を用 いる．アプリ間の通信を傍受し,分析して,リソース依 存関係の情報の記述フォーマット(XML)にあわせて 出力するツールを開発した．このツールは,ネットワ ーク上を通過するパケットをキャプチャし,TCPパケ ットの場合はさらにプロトコルエンジンを用いてセ ッションを解析し,各アプリ間の通信記録から,その 間の依存関係の情報を生成する．(図3) 図 3：自動収集ツール構成図 4.3 リソース依存モデル編集支援エディタ 業務系レイヤのモデル作成は,手作業中心である． また,アプリケーション系レイヤの自動的に収集・出 力された情報も目的に応じて手動により修正する必 要がある．最終的には,基本システム系レイヤの情報 も含め,各レイヤの情報を手動でまとめて,全体のリ ソース依存モデルを完成させなければならない．リ ソース依存モデルはXMLで記述されるため,テキス トエディタを用いた編集も可能である．しかし,モデ ルの規模が大きくなれば、作業コストが上昇し,作業 効率も悪化する。そこでリソース依存モデル専用の 編集支援エディタを開発した． 図 4：支援エディタ画面(依存関係エディタと図形エディタ) リソース依存モデルを記述したXMLデータは,依 存関係を記述する部分と,それを表現するための図形 をSVG(Scalable Vector Graphics)を用いて記述す る部分との性質の異なる二種類のデータから構成さ れる．従って,グラフィカルな編集機能を備えた二つ のキャンパスウィンドウ(図4)とその二種類のデータ の間を関連付ける処理パネルを中心として構成され る．(図5) 図 5：支援エディタ構成図

5

関連動向 不正アクセスによる業務停止時の逸失利益や浪費 された人件費だけでなく,対策・復旧作業の人件費, 損害賠償に要した費用,イメージダウンによる損害額 等を含めたインシデント全体の被害額を求めるため の被害額算出モデル[2]も提案されている．本システ ムによる逸失利益や浪費コストの予測算出と上記モ デルを用いた広範囲な被害額算出により,対策投資額 の見積もりや投資効果などを測定し,コストという明 確な指標を用いた効率的な情報セキュリティマネジ メントを実現することが可能になる．

6

まとめ 本稿では,リソース依存モデルを用いた被害予測シ ステムの実用化に向けたモデル化手法の検討および 構築支援ツールの開発について述べた．このように, 被害予測対象のシステムを三つの構成要素に分類し, それぞれ適切な方式によってモデル化する手法をも とにして,依存関係情報の自動収集ツールとリソース 依存モデル編集支援エディタによる構築支援を組み 合わせた,効率的なモデル作成手法を実現した． 今後は,より多くの実システムをモデル化して実証 実験を実施し,本被害予測システムおよびモデル化手 法の有効性を確認したい． 参考文献 [1] 大谷尚通,桑田喜隆,小迫明徳,井上潮,“依存モデルを 用いたセキュリティ・アセスメントのための被害予測 システムの検討”,第16回コンピュータセキュリティ 研究会,2002． [2] 日本ネットワークセキュリティ協会,“情報セキュリ ティインシデントに係る調査”,IPA 平成13年度調 査・研究報告書,2002． 完 全 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L ） 完 全 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 未 完 成 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 未 完 成 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L ） 部 分 的 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 部 分 的 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） デ ー タ 入 力 部 依存モデルDB 依存データ 属性データ 図形データ 依存データ エディタ部 図形データ エディタ部 関 連 付 け 依存データ・図形データ 対応付けエディタ部 データ出力部 未完成なリソース依存 モデル データ（XML） 未完成なリソース依存 モデル データ（XML） モデル データ（完全なリソース依存XML） 完全なリソース依存 モデル データ（XML） ま た は 完 全 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L ） 完 全 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 未 完 成 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 未 完 成 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L ） 部 分 的 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 部 分 的 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 完 全 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L ） 完 全 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 未 完 成 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 未 完 成 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L ） 部 分 的 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） 部 分 的 な リ ソ ー ス 依 存 モ デ ル デ ー タ （XM L_） デ ー タ 入 力 部 依存モデルDB 依存データ 属性データ 図形データ 依存データ エディタ部 図形データ エディタ部 関 連 付 け 依存データ・図形データ 対応付けエディタ部 関 連 付 け 依存データ・図形データ 対応付けエディタ部 データ出力部 未完成なリソース依存 モデル データ（XML） 未完成なリソース依存 モデル データ（XML） モデル データ（完全なリソース依存XML） 完全なリソース依存 モデル データ（XML） ま た は 未完成なリソース依存 モデル データ（XML） 未完成なリソース依存 モデル データ（XML） モデル データ（完全なリソース依存XML） 完全なリソース依存 モデル データ（XML） ま た は パ ケ ッ ト キ ャ プ チ ャ 部 依存関係DB UDP TCP 依存関係ペア 情報抽出部 データ出力部 （ＸＭＬ） 部分的なリソース依存 モデル データ（XML） 部分的なリソース依存 モデル データ（XML） パ ケ ッ ト パ ケ ッ ト 分 類 部 IP ARP ICMP TCP UDP Ｔ Ｃ Ｐ セ ッ シ ョ ン 再 構 成 部 リソース名称 処理部 Ne tw ork パ ケ ッ ト キ ャ プ チ ャ 部 依存関係DB UDP TCP 依存関係ペア 情報抽出部 データ出力部 （ＸＭＬ） 部分的なリソース依存 モデル データ（XML） 部分的なリソース依存 モデル データ（XML） パ ケ ッ ト パ ケ ッ ト パ ケ ッ ト パ ケ ッ ト 分 類 部 IP ARP ICMP TCP UDP Ｔ Ｃ Ｐ セ ッ シ ョ ン 再 構 成 部 リソース名称 処理部 Ne tw ork

3−202