特許ウォッチ

公開番号2025117325
公報種別公開特許公報(A)
公開日2025-08-12
出願番号2024012105
出願日2024-01-30
発明の名称情報処理装置、情報処理方法、及びプログラム
出願人日本電気株式会社
代理人弁理士法人ブライタス
主分類G06F 8/61 20180101AFI20250804BHJP(計算;計数)
要約【課題】CTIにおけるインテリジェンスサイクルの効率化を図る。
【解決手段】情報処理装置10は、特定のフォーマットで記述されたサイバー攻撃を検知するためのルールをシステムにて実装可能なフォーマットに変換する、ツールによる変換処理が成功したルールの件数と、変換処理が失敗したルールの件数とを提示する、情報提示部11を備える。
【選択図】図1
特許請求の範囲【請求項１】
特定のフォーマットで記述されたサイバー攻撃を検知するためのルールをシステムにて実装可能なフォーマットに変換する、ツールによる変換処理が成功した前記ルールの件数と、前記変換処理が失敗した前記ルールの件数とを提示する、情報提示手段を備える、
情報処理装置。
続きを表示（約 1,300 文字）【請求項２】
前記情報提示手段が、前記ツールによる変換処理が失敗した前記ルールにおける、前記ツールとは異なる第２ツールによる変換処理が成功した件数と、前記第２ツールによる変換処理が成功しなかった件数とを提示し、
前記第２ツールは、前記ルールを前記フォーマットに変換するツールである、
請求項１に記載の情報処理装置。
【請求項３】
前記ルールを収集する、ルール収集手段と、
前記ツールを用いて前記ルールを前記フォーマットに変換する、第１変換手段と、
前記第２ツールである生成ＡＩに、前記ツールによる変換処理が失敗したルールを入力して、前記フォーマットに変換する、第２変換手段と、
を更に備えている、
請求項２に記載の情報処理装置。
【請求項４】
前記情報提示手段が、前記ルールにおける人手による前記変換処理の削減の程度を示す指標を更に提示する、
請求項１に記載の情報処理装置。
【請求項５】
特定のフォーマットで記述されたサイバー攻撃を検知するためのルールをシステムにて実装可能なフォーマットに変換する、ツールによる変換処理が成功した前記ルールの件数と、前記変換処理が失敗した前記ルールの件数とを提示する、
情報処理方法。
【請求項６】
前記ツールによる変換処理が失敗した前記ルールにおける、前記ツールとは異なる第２ツールによる変換処理が成功した件数と、前記第２ツールによる変換処理が成功しなかった件数とを更に提示し、
前記第２ツールは、前記ルールを前記フォーマットに変換するツールである、
請求項５に記載の情報処理方法。
【請求項７】
前記ルールを収集し、
前記ツールを用いて前記ルールを前記フォーマットに変換し、
前記第２ツールである生成ＡＩに、前記ツールによる変換処理が失敗したルールを入力して、前記フォーマットに変換する、
請求項６に記載の情報処理方法。
【請求項８】
前記ルールにおける人手による前記変換処理の削減の程度を示す指標を更に提示する、
請求項５に記載の情報処理方法。
【請求項９】
コンピュータに、
特定のフォーマットで記述されたサイバー攻撃を検知するためのルールをシステムにて実装可能なフォーマットに変換する、ツールによる変換処理が成功した前記ルールの件数と、前記変換処理が失敗した前記ルールの件数とを提示させる、
プログラム。
【請求項１０】
前記コンピュータに、
前記ツールによる変換処理が失敗した前記ルールにおける、前記ツールとは異なる第２ツールによる変換処理が成功した件数と、前記第２ツールによる変換処理が成功しなかった件数とを更に提示させ、
前記第２ツールは、前記ルールを前記フォーマットに変換するツールである、
請求項９に記載のプログラム。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、ＣＴＩ（Cyber Threat Intelligence）の活用を図るための情報を提示する、情報処理装置及び情報処理方法に関し、更には、これらを実現するためのプログラムに関する。
続きを表示（約 1,200 文字）【背景技術】
【０００２】
近年、複雑化、巧妙化していくサイバー攻撃を防ぐために、種々のコンピュータシステムが提案されている（例えば、特許文献１参照。）。更に、このようなコンピュータシステムにおいては、ＣＴＩ（Cyber Threat Intelligence）の活用が注目されている。
【０００３】
ＣＴＩは、サイバー攻撃という脅威に対し、サイバー攻撃に関する膨大な情報、例えば、オープンソース情報、脆弱性情報、マルウェアの解析結果、不正なＩＰ情報、不正なドメイン情報等を収集、蓄積、及び分析することによって、セキュリティ対策に活かす取り組みを意味する。また、インテリジェンスは、諜報活動又は分析活動を表す軍事用語である。
【０００４】
そして、ＣＴＩを活用するためには、インテリジェンスサイクルを回すことが重要となる。インテリジェンスサイクルは、脅威インテリジェンス（Threat Intelligence）の収集から消費（実装）までの一連の処理であり、主に、「収集」、「処理」、及び「実装」で構成されている。
【０００５】
具体的には、まず、最初に、脅威インテリジェンスの「収集」として、Ｓｉｇｍａルールの収集が行われる。「Ｓｉｇｍａ」は、ログイベントをわかりやすく記述するための汎用的なシグネチャフォーマットである。Ｓｉｇｍａルールは、マルウェア等の悪意のあるファイルに対する検知ルールであり、Ｓｉｇｍａによって記述されている。
【０００６】
次に、「処理」として、収集されたＳｉｇｍａルールをシステムに実装可能な検知ルールに変換する処理が行われる。また、この変換処理は、既存のツールを用いて自動的に行われる。Ｓｉｇｍａルールは、日々更新されるため、更新されたＳｉｇｍａルールを検知ルールに変換することは極めて重要である。
【０００７】
その後、Ｓｉｇｍａルールから変換された検知ルールが、システムに実装される。このような、「収集」、「処理」、及び「実装」は、定期的に実行される。
【先行技術文献】
【特許文献】
【０００８】
特開２０２３－０２３０００号公報
【発明の概要】
【発明が解決しようとする課題】
【０００９】
ところで、上述したように、収集されたＳｉｇｍａルールは日々更新されることから、既存のツールを利用して自動的に変換できない場合がある。この場合は、システムの管理者が手動で変換を行うことになるが、管理者において変換処理の自動化効率を知る手段がない。このため、従来からのインテリジェンスサイクルでは、変換処理が停滞する場合があり、結果、インテリジェンスサイクル全体の効率化を図れないという問題がある。
【００１０】
本開示の目的の一例は、ＣＴＩにおけるインテリジェンスサイクルの効率化を図ることにある。
【課題を解決するための手段】
（【００１１】以降は省略されています）

関連特許