wavefront-banner

トップページ > 設備保全管理ソリューション > 信頼性解析 >アタックツリー分析

>AttackTree アタックツリー分析

AttackTreeの概要

開発元:ISOGRAPH Ltd. (UK/USA/CANADA)

モジュールの構成

  1. Threat Analysis
  2. Attack tree
  3. Mitigation tree

AttackTreeは安全に対する脅威分析をJ3061、ISO 26262、ISO/SAE 21434等のフレームワークに沿って実施できます。

* J3061,SAE J3061: サイバーフィジカル自動車システムに対するサイバーセキュリティのガイドブック
* ISO26262: Automotiveに関する機能安全規格
* ISO/SAE 21434: Road vehicles Cybersecurity engineering

AttackTreeの機能

1.脅威分析

脅威分析対応マトリクス

  • HEAVENS
  • EVITA
  • ISO26262
  • ユーザカスタム


脅威の定義とインパクト、リスク評価の例 (クリックで拡大を表示)

2.アタックツリーの構築

アタックツリーの作成

分析するシステムのアタックツリー作成には脅威となりうる攻撃を特定することから始まります。 達成される可能性のあるすべての攻撃方法を特定できたらシステムモデルのトップレベルが生成されます。 次にアタックツリーにおける各攻撃を基本条件に分解します。 するとすべてのツリーの分岐を単一の定量化可能なイベントで終わる完全なアタックツリーを生成することができます。

アタックツリーダイアグラムの例 (クリックで拡大を表示)

攻撃頻度の指定

ツリー構造が完成したら、各攻撃の可能性のある頻度を指定する必要があります。 次に、各イベント発生確率を指定します。 アタックツリーは、攻撃が成功する確率を分析するだけでなく、アタッカーのコストを記述するためのインジケータや、 特別な設備や装置が必要かどうかなどを示すこともできます。

攻撃結果のモデル化

最後に攻撃結果を定義し、アタックツリー内のゲート部分に張り付けます。このようにして攻撃の成否をモデル化します。 この方法は攻撃の種類が多岐にわたる場合、また攻撃が完全ではなく部分的に成功する場合を表すときに、非常に便利になります。

3.緩和ツリーの作成

緩和ツリー概要

AttackTreeを使うと攻撃が成功した場合に、その効果を軽減する緩和策をモデル化することも可能です。 データ侵害の影響を軽減する手順、緊急対応を迅速に行う方法など、AttackTree内の緩和ツリー機能によって視覚的に表せます。

緩和ツリーダイアグラムの例 (クリックで拡大を表示)

4.分析の実行

アタックツリーの分析では以下の事が行われています。

  • 各ゲートの最小カットセットの決定
  • 各カットセットの確率の決定
  • 各カットセットのインジケータ値の決定
  • 各ゲートの確率の計算
  • 各ゲートのインジケータ値の計算
  • 各結果の最小カットセットの決定
  • 各結果の確率の決定
  • 各結果カテゴリのリスク値の決定

このプロセスでは、攻撃の成功につながるすべてのイベントの組み合わせを、 成功の確率でランク付けして表示することができます。 また作成したリストをインジケータ値に従ってフィルタンリングしたり、 セキュリティが最も効率的に改善されるであろう重要度ラインキングを表示することが可能です。

5.レポートデザイナー機能

信頼性または安全性研究の最も重要な仕事の1つは、プロフェッショナルレポートを作成することです。 プロフェッショナルなレポートを使用すると、同僚、管理者、顧客、規制当局に 明確かつ容易に理解可能な形で結果を提示でき、安全性に繋がります。

Isograph社の信頼性ソフトウェア製品は、テキスト、グラフ、またはダイアグラムを含むレポートを作成する 共通の機能を共有しています。 AttackTreeにもIsograph社のインポート/エクスポート機能が標準機能として含まれており、 この機能ではMicrosoft Excel、Access、テキストファイルなどをインポート/エクスポートすることが可能です。 信頼性アプリケーションの入力データと出力結果は、データベースに保存されます。 この情報は、レポートデザイナーで検査、フィルタリング、並べ替え、表示することができます。 Isographによって提供されたレポートを使用して、データを印刷または印刷プレビューできます。 製品に適した一連のレポート形式が各製品に付属しています。 またレポートはPDFやWordの形式で、エクスポートすることも可能です。

6.デモ版とパンフレットのご案内

AttackTreeは無償デモ版とISO/SAE 21434 Anex Gを例題にした評価キットを提供しております。
ご希望の方は下記までご連絡ください。
sales@wavefrtont.co.jp
ISO/SAE 21434評価キットのパンフレット
AttackTreeパンフレット