INCIDENT ANALYSIS DEVICE AND ANALYSIS METHOD THEREOF

To provide an incident analysis device capable of identifying an estimated attack, even if a plurality of estimated attacks are found.SOLUTION: An incident analysis device of a control system in which a plurality of nodes connected in a network communicate has a countermeasure information table in which estimated attack paths and the number of countermeasure times are associated is stored and a memory in which a program to be executed by a CPU is stored. The CPU receives an alert including information on an attack source node and attack destination node, on the basis of the received alert information, identifies an attack path including the attack source node and attack destination node, searches the estimated attack path including the identified attack path in the countermeasure information table, acquires one or more countermeasure times associated with each of the one or more estimated attack paths of a search result from the countermeasure information table, on the basis of the one or more countermeasure times acquired, sets a priority, and on the basis of the set priority, selects the estimated attack path from among one or more estimated attack paths of the search result.SELECTED DRAWING: Figure 4 【課題】複数の推定される攻撃が見つかっても、推定攻撃を特定できるインシデント分析装置を提供する。【解決手段】ネットワークで接続された複数のノードが通信する制御システムのインシデント分析装置であって、推定攻撃経路と対処回数を対応付けた対処情報テーブルが格納され、ＣＰＵにより実行されるプログラムが格納されたメモリと、を備える。ＣＰＵは、攻撃元ノードと攻撃先ノードの情報を含むアラートを受信し、受信されたアラートの情報に基づいて、攻撃元ノードと攻撃先ノードを含む攻撃経路を特定し、特定された攻撃経路を含む推定攻撃経路を、対処情報テーブルで検索し、検索結果の１以上の推定攻撃経路それぞれと対応付けられた１以上の対処回数を、対処情報テーブルから取得し、取得された１以上の対処回数に基づいて、優先度を設定し、設定された優先度に基づいて、検索結果の１以上の推定攻撃経路の中から推定攻撃経路を選択する。【選択図】図４