日立製作所(日立)は2月26日、ソフトウェアの脆弱性に対する攻撃リスクを自動的に算出して対策優先度を提示することで、情報システム管理者による迅速な対処を支援するセキュリティリスク評価技術を開発したと発表した。
この技術により、サイバー攻撃の進入経路の推定や脆弱性対策の優先度付け等の処理を自動化して、容易かつ迅速にセキュリティ対策を行えるようになるほか、脆弱性対策に関わるコスト低減を実現する。
典型的なWebシステムの場合、一般的な方法と比較して対策すべき脆弱性の数を約1/3まで絞り込むことが可能になるという。
脆弱性情報とシステム構成情報に基づく脆弱性の有無を特定する技術
公開されている脆弱性情報には、脆弱性の内容とともに、対象となるソフトウェアの識別子が記載されている。識別子と構成管理ツールなどから取得するソフトウェア名称が一致しないケースが存在しており、機器内に存在する脆弱性を機械的に特定することが難しかったという。
同社は、機器から取得したソフトウェア名称と識別子の類似度を算出することでこの問題を解決。公開脆弱性情報と突き合わせて、脆弱性の有無を自動的に特定する。
サイバー攻撃の侵入経路を考慮したリスク定量化技術
これは、システムの構成情報からサイバー攻撃の到達可能性を自動解析し、侵入可能な経路を網羅的に抽出する技術。抽出するだけではなく、侵入経路をベイジアンネットワークで解析可能な有効非巡回グラフ化している。ベイジアンネットワークは、様々な原因と結果の関係性を記述したグラフから、発生しうる現象を確率的に推論するモデルのこと。
このグラフによって、各経路における侵入確率と各脆弱性の影響度を算出。機器ごとの脆弱性の有無だけではなく、脆弱性のリスクを定量的に評価することで、脆弱性対策の優先度付けを一律に行えるようになるメリットがある。
これらの技術は、3月5日、6日に法政大学で開催される「第68回コンピュータセキュリティ研究会(CSEC)」で詳細を発表するとしている。
