JP2006146297A - Security management method, security management apparatus, and security management program - Google Patents

Security management method, security management apparatus, and security management program Download PDF

Info

Publication number
JP2006146297A
JP2006146297A JP2004331419A JP2004331419A JP2006146297A JP 2006146297 A JP2006146297 A JP 2006146297A JP 2004331419 A JP2004331419 A JP 2004331419A JP 2004331419 A JP2004331419 A JP 2004331419A JP 2006146297 A JP2006146297 A JP 2006146297A
Authority
JP
Japan
Prior art keywords
security
information
client
patch
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004331419A
Other languages
Japanese (ja)
Other versions
JP4414865B2 (en
Inventor
Norio Suzuki
則夫 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004331419A priority Critical patent/JP4414865B2/en
Publication of JP2006146297A publication Critical patent/JP2006146297A/en
Application granted granted Critical
Publication of JP4414865B2 publication Critical patent/JP4414865B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To reduce time and labor of a system manager for security measures by quickly performing security enhancement against any virus or illegal access which is likely to be caused in an early stage from vulnerability disclosure. <P>SOLUTION: This security management server 104 is configured to manage the application state of software and a patch installed in each client 115, and to perform the TCP/IP port opening/closing control of a router 113 to which the client 115 is connected on the basis of the latest security information acquired through a network 110 for realizing security management. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、セキュリティ管理サーバ、セキュリティ管理方法およびセキュリティ管理プログラムに関する。   The present invention relates to a security management server, a security management method, and a security management program.

近年、インターネット技術やネットワーク技術を用いた情報システムも増加している。それに伴い、情報システムの脆弱性を狙ったウィルスの感染の脅威が増加している。
情報システムに関する脆弱性は、日々インターネットに公開され、その脆弱性を防ぐためのパッチの提供が行われている。近年のウィルス発生の増加に伴い脆弱性の公開の頻度も増加し、脆弱性が公開されてから、その脆弱性を突いたクラッカーによる不正アクセスやウィルスの発生までの時間の短縮化の傾向が強まっている。
このような情報システムの脆弱性を狙った攻撃に対し、システム管理者やユーザはインターネットを介し、ベンダー等の発するセキュリティ情報を逐次チェックし、公開された情報システムの脆弱性に対し早期にパッチ適用を行う必要がある。 In recent years, information systems using Internet technology and network technology are also increasing. Along with this, the threat of virus infection targeting vulnerability of information systems is increasing.
Vulnerabilities related to information systems are released to the Internet every day, and patches are provided to prevent such vulnerabilities. The frequency of vulnerability disclosure has increased with the recent increase in virus occurrence, and the tendency to shorten the time from the disclosure of a vulnerability to unauthorized access by a cracker that exploits the vulnerability and the occurrence of a virus has increased. ing.
In response to such attacks targeting information system vulnerabilities, system administrators and users sequentially check security information issued by vendors over the Internet, and apply patches to vulnerabilities in published information systems early. Need to do.

現在、インターネットを介し複数のサイトからセキュリティ情報を取得し、情報の信頼度という観点でクライアントの使用ユーザに対し、必要なセキュリティ情報を提供し、パッチ適用を促す方法(特許文献1参照)や、管理対象の情報システムの環境情報と、監視対象の情報システムに対する脆弱性修正作業ログを管理することにより、システム全体の脆弱性に関する情報を、システム管理者および業務管理者に提供する方法(特許文献2参照)がある。
特開2003−216576号公報 特開2003−256370号公報 Currently, security information is acquired from a plurality of sites via the Internet, a method for providing necessary security information to a user using a client in terms of reliability of information, and encouraging patch application (see Patent Document 1), A method for providing system administrators and business managers with information on vulnerabilities in the entire system by managing environment information of managed information systems and vulnerability correction work logs for monitored information systems (Patent Literature) 2).
JP 2003-216576 A JP 2003-256370 A

しかし、前記した方法はいずれも、システム管理者またはクライアントの使用ユーザに適切なパッチ情報を提供して、パッチ適用を促したり、パッチ適用状況を確認したりするものに過ぎない。
よって、これらの方法は、情報システムの環境の違いや、使用するクライアントのユーザの作業等の要因により、パッチ情報が公開されてからすべてのクライアントに対しパッチ適用が完了するまで、タイムラグが生じてしまい、ウィルスや不正アクセス侵入のおそれがあるという問題がある。 However, any of the above-described methods merely provides appropriate patch information to the system administrator or the user using the client, and prompts the user to apply the patch or confirms the patch application status.
Therefore, these methods have a time lag between the release of patch information and the completion of patch application to all clients due to differences in the information system environment and the work of the user of the client to be used. Therefore, there is a problem that there is a risk of intrusion of viruses and unauthorized access.

本発明は、前記したような脆弱性公開から早期に発生する傾向のあるウィルスや不正アクセスに対し、セキュリティ強化を行うことを課題とする。また、システム管理者や使用ユーザが日々インターネットを介しセキュリティ情報をチェックする負担を軽減し、ネットワークに対する影響を少なく、迅速に安全な情報システムの運用管理を行うセキュリティ管理装置等を提供することを課題とする。   It is an object of the present invention to enhance security against viruses and unauthorized access that tend to occur at an early stage after vulnerability disclosure as described above. Another object is to provide a security management device and the like that reduces the burden of system administrators and users who check security information via the Internet every day, reduces the impact on the network, and manages the operation of a secure information system quickly. And

前記した課題を解決するため、本発明のセキュリティ管理装置(セキュリティ管理サーバ)を、ネットワーク経由で取得した最新のセキュリティ情報に基づき、脆弱性への攻撃経路となるルータ(ネットワーク接続機器)の特定のTCP/IP(Transmission Control Protocol/Internet Protocol)ポートを遮断する構成とした。つまり、ネットワーク経由で取得した最新のセキュリティ情報に基づき、クライアントに接続されるルータのTCP/IPポート開閉制御を行い、セキュリティ管理を行うセキュリティ管理装置を、前記各クライアントにインストールされているソフトウェア名および適用されているパッチ名を含むインベントリ情報、前記セキュリティ情報および前記ルータの識別情報を格納するデータベースと、所定のキーワードおよびこのキーワードにより示されるアプリケーションに関連するTCP/IPポートを示すセキュリティキーワードリストとを格納する記憶部と、前記各クライアントから、前記各クライアントのインベントリ情報を取得し、前記データベースに格納するインベントリ情報管理部と、前記ネットワーク経由で、前記最新のセキュリティ情報を取得するとともに、前記セキュリティ情報を解析し、このセキュリティ情報に前記セキュリティキーワードリストに示されたキーワードが有るとき、このセキュリティ情報を前記データベースに格納するページ取得解析部と、前記データベースを参照して、前記セキュリティ情報に基づくセキュリティ対策が必要なクライアントが有るか否かを判定するポート開閉判定部と、前記セキュリティ対策が必要なクライアントが有ったとき、前記データベースを参照して、前記セキュリティ対策が必要なクライアントに接続するルータに対し、前記パッチに関連するTCP/IPポートを閉鎖する制御信号を出力するポート開閉制御部とを備える構成とした。その他の構成については、後記する実施の形態で述べる。   In order to solve the above-described problem, the security management device (security management server) of the present invention is used to specify a router (network connection device) that becomes an attack path to a vulnerability based on the latest security information acquired via the network. The TCP / IP (Transmission Control Protocol / Internet Protocol) port is blocked. That is, based on the latest security information acquired via the network, the TCP / IP port opening / closing control of the router connected to the client is performed, and the security management device that performs security management is configured with software names and software installed on the clients. A database storing the inventory information including the applied patch name, the security information and the identification information of the router, and a security keyword list indicating a predetermined keyword and a TCP / IP port associated with the application indicated by the keyword A storage unit for storing, an inventory information management unit for acquiring inventory information of each client from each of the clients, and storing it in the database, and the latest security data via the network. The security information is analyzed, the security information is analyzed, and when the security information includes a keyword shown in the security keyword list, the security information is stored in the database. A port open / close determination unit that determines whether or not there is a client that requires security measures based on the security information; and when there is a client that requires the security measures, the security information is referred to by referring to the database. The router connected to the client that needs countermeasures is configured to include a port opening / closing control unit that outputs a control signal for closing the TCP / IP port related to the patch. Other configurations will be described in the embodiments described later.

本発明によれば、脆弱性公開から早期に発生するウィルスや不正アクセスに対し、ネットワーク機器(ルータ)の設定を変更することによりクライアントにセキュリティ対策を行うことができる。また、パッチ情報ページ(セキュリティ情報ページ)の内容について解析を行い、脆弱と判定されたウィルスや不正アクセスの進入経路と成り得るおそれのあるTCP/IPポートを閉鎖するため、クライアントが行う通信への影響を最小限にとどめることができる。   According to the present invention, it is possible to take security measures for a client by changing the setting of a network device (router) against a virus or unauthorized access that occurs early after vulnerability disclosure. In addition, it analyzes the contents of the patch information page (security information page) and closes the TCP / IP port that may be a path of entry of a virus or unauthorized access that is determined to be vulnerable. The impact can be minimized.

さらに、セキュリティ管理サーバは、システム管理者がセキュリティキーワードテーブルに設定した内容(セキュリティポリシ)に基づきセキュリティ対策を行うため、より柔軟に必要な箇所のセキュリティ対策を行うことが可能となる。また、システム管理者の負担軽減にもなる。
さらに、システム管理者の技術力によるクライアントごとのセキュリティ強度の違いを無くし、安全な情報システムの構築が可能となる。 Furthermore, since the security management server performs security measures based on the contents (security policy) set in the security keyword table by the system administrator, it becomes possible to perform security measures at necessary locations more flexibly. It also reduces the burden on the system administrator.
Furthermore, it is possible to construct a safe information system by eliminating the difference in security strength between clients due to the technical ability of the system administrator.

以下、本発明を実施するための最良の形態(以下、実施の形態とする)について、図面を参照して詳細に説明する。   Hereinafter, the best mode for carrying out the present invention (hereinafter referred to as an embodiment) will be described in detail with reference to the drawings.

《第1の実施の形態》
まず、本発明の第1の実施の形態を、図1を用いて説明する。図1は、本発明の第1の実施の形態のセキュリティ管理サーバ(セキュリティ管理装置)を含むシステムの構成を示すブロック図である。 << First Embodiment >>
First, a first embodiment of the present invention will be described with reference to FIG. FIG. 1 is a block diagram showing a configuration of a system including a security management server (security management apparatus) according to the first embodiment of this invention.

本実施の形態のシステムは、インターネット110経由でセキュリティ情報一覧ページ102、パッチ情報ページ103等を公開するWebサーバ101と、インターネット110経由で各種情報の送受信を行うクライアント115と、パッチ情報のダウンロード、パッチ情報の概要の解析およびルータ113のTCP/IPポート(以下、単にポートと略す)の開閉状態を制御するセキュリティ管理サーバ104と、クライアント115およびセキュリティ管理サーバ104をインターネット(ネットワーク)110に接続するためのルータ113と、クライアント115およびルータ113の管理情報や、前記セキュリティ情報等の管理情報を記憶するデータベース114とを含む。
なお、このデータベース114は、例えばハードディスク等の記憶装置により実現される。クライアント115およびセキュリティ管理サーバ104は、CPU、記憶部および入出力手段を備えるコンピュータにより実現される。データベース114のデータは、セキュリティ管理サーバ104の記憶部に格納するようにしてもよい。
また、Webサーバ101、クライアント115およびルータ113の数は、図1に示す数に限定されない。 The system according to this embodiment includes a Web server 101 that publishes a security information list page 102, a patch information page 103, and the like via the Internet 110, a client 115 that transmits and receives various types of information via the Internet 110, download of patch information, The security management server 104 that analyzes the summary of patch information and controls the open / close state of the TCP / IP port (hereinafter simply referred to as a port) of the router 113, the client 115, and the security management server 104 are connected to the Internet (network) 110. And a database 114 for storing management information of the client 115 and the router 113 and management information such as the security information.
The database 114 is realized by a storage device such as a hard disk. The client 115 and the security management server 104 are realized by a computer including a CPU, a storage unit, and input / output means. The data in the database 114 may be stored in the storage unit of the security management server 104.
Further, the numbers of Web servers 101, clients 115, and routers 113 are not limited to the numbers shown in FIG.

セキュリティ管理サーバ104は、インターネット110経由でパッチ情報(セキュリティ情報)をダウンロードし、このパッチ情報の解析を行うページ取得解析部105と、パッチ情報および各クライアント115にインストールされているソフトウェアおよび適用されているパッチの情報を参照して、セキュリティ対策が必要なクライアント115が有るか否か(どのクライアント115にセキュリティ対策を行えばよいか)を判定するポート開閉判定部109と、前記セキュリティ対策が必要なクライアント115に接続されるルータ113のポート開閉制御を行うポート開閉制御部111と、クライアント115にインストールされたソフトウェアおよび適用されているパッチの情報を管理するインベントリ情報管理部112と、記憶部100とを含んで構成される。   The security management server 104 downloads patch information (security information) via the Internet 110, analyzes the patch information, acquires the patch information, software installed in each client 115, and applied software. A port open / close determining unit 109 that determines whether or not there is a client 115 that requires security measures (referring to which client 115 should be subjected to security measures), and the security measures are required. A port opening / closing control unit 111 that performs port opening / closing control of the router 113 connected to the client 115, an inventory information management unit 112 that manages information of software installed in the client 115 and applied patches, Configured to include a section 100.

前記したページ取得解析部105、ポート開閉判定部109、ポート開閉制御部111およびインベントリ情報管理部112は、セキュリティ管理サーバ104のCPU(図示せず)が、記憶部100に格納されたセキュリティ管理プログラムを実行することにより実現される。   The page acquisition analysis unit 105, the port opening / closing determination unit 109, the port opening / closing control unit 111, and the inventory information management unit 112 are the security management program stored in the storage unit 100 by the CPU (not shown) of the security management server 104. It is realized by executing.

各クライアント115には、クライアント115のOS(Operating System)、インストールされているソフトウェア、パッチ等のインベントリ情報をセキュリティ管理サーバ104へアップロード(送信)するためのインベントリ収集エージェント116が存在する。このインベントリ収集エージェント116は、クライアント115に格納された所定プログラムの実行処理によって実現される。   Each client 115 includes an inventory collection agent 116 for uploading (transmitting) inventory information such as an operating system (OS) of the client 115, installed software, and patches to the security management server 104. The inventory collection agent 116 is realized by executing a predetermined program stored in the client 115.

Webサーバ101は、OSやソフトウェアのパッチ情報ページ103と、このパッチ情報ページ103へアクセスするためのURL(Uniform Resource Locator)の一覧を示すセキュリティ情報一覧ページ102とを格納し、これらのページをインターネット110経由で公開している。セキュリティ管理サーバ104は、インターネット110経由でセキュリティ情報一覧ページ102およびパッチ情報ページ103からパッチ情報を取得する。   The Web server 101 stores an OS or software patch information page 103 and a security information list page 102 indicating a list of URLs (Uniform Resource Locators) for accessing the patch information page 103. These pages are stored on the Internet. 110. The security management server 104 acquires patch information from the security information list page 102 and the patch information page 103 via the Internet 110.

システム管理者は、セキュリティ管理サーバ104が参照すべきセキュリティ情報ページURL106と、セキュリティキーワードリスト107と、公開された脆弱性の深刻度レベルに応じた対策の要否を記載した深刻度レベル対策設定リスト108とを、入力手段(図示せず)等を用いて記憶部100に登録しておく。
前記したページ取得解析部105は、この記憶部100に登録(記憶)された情報に基づいて、Webサーバ101からセキュリティ情報(パッチ情報)をダウンロードし、このパッチ情報の解析を行う。 The system administrator has a security information page URL 106 to be referred to by the security management server 104, a security keyword list 107, and a severity level countermeasure setting list describing necessity of countermeasures according to the severity level of the disclosed vulnerability. 108 is registered in the storage unit 100 using an input means (not shown) or the like.
The page acquisition / analysis unit 105 described above downloads security information (patch information) from the Web server 101 based on information registered (stored) in the storage unit 100, and analyzes the patch information.

なお、セキュリティキーワードリスト107は、システムの機能やソフトウェアの名称あるいはセキュリティに関するキーワードについて、そのキーワードにより示されるアプリケーション(ソフトウェア)に関連するポート番号を示したリストである。
例えば、キーワードに示されるアプリケーションがhttp(HyperText Transfer Protocol)を用いたアプリケーションであれば、httpで使用するポート番号「80」が記載される。 The security keyword list 107 is a list showing the port numbers related to the application (software) indicated by the keyword for keywords related to system functions, software names, or security.
For example, if the application indicated by the keyword is an application using http (HyperText Transfer Protocol), the port number “80” used in http is described.

図2は、図1の各構成要素の動作を説明する図である。図1を参照しつつ、図2を用いて図1の各構成要素の動作を説明する。   FIG. 2 is a diagram for explaining the operation of each component in FIG. The operation of each component in FIG. 1 will be described using FIG. 2 with reference to FIG.

まず、セキュリティ管理サーバ104のインベントリ情報管理部112は、クライアント115に対しインベントリ情報の収集要求を行う(ステップS201)。
なお、このインベントリ情報の収集要求先であるクライアント115は、データベース114に格納される管理対象クライアントテーブル210(後記)を参照して特定するものとする。 First, the inventory information management unit 112 of the security management server 104 requests the client 115 to collect inventory information (step S201).
The client 115 that is the inventory information collection request destination is specified with reference to the managed client table 210 (described later) stored in the database 114.

クライアント115のインベントリ収集エージェント116は、セキュリティ管理サーバ104からインベントリ収集要求を受け取ると、クライアント115のインベントリ情報をセキュリティ管理サーバ104にアップロードする。つまり、クライアント115は、セキュリティ管理サーバ104に対しインベントリ情報の通知を行う(ステップS202)。そして、インベントリ情報管理部112は、このインベントリ情報をデータベース114に格納する。   Upon receiving the inventory collection request from the security management server 104, the inventory collection agent 116 of the client 115 uploads the inventory information of the client 115 to the security management server 104. That is, the client 115 notifies inventory information to the security management server 104 (step S202). Then, the inventory information management unit 112 stores this inventory information in the database 114.

また、セキュリティ管理サーバ104のページ取得解析部105は、インターネット110(図1参照)経由で、Webサーバ101のセキュリティ情報一覧ページ102が更新されているか否かの確認を行う(ステップS203)。ここで、セキュリティ情報一覧ページ102が更新されている場合には、Webサーバ101にパッチ情報ページ103を要求し(ステップS204)、Webサーバ101はセキュリティ管理サーバ104に対してパッチ情報ページ103の情報を通知する(ステップS205)。
そして、ページ取得解析部105は、Webサーバ101から通知されたパッチ情報ページ103の情報をデータベース114に格納する。 Further, the page acquisition analysis unit 105 of the security management server 104 checks whether or not the security information list page 102 of the Web server 101 has been updated via the Internet 110 (see FIG. 1) (step S203). If the security information list page 102 has been updated, the web server 101 requests the patch information page 103 from the web server 101 (step S204), and the web server 101 sends information about the patch information page 103 to the security management server 104. Is notified (step S205).
The page acquisition / analysis unit 105 stores the information on the patch information page 103 notified from the Web server 101 in the database 114.

次に、セキュリティ管理サーバ104のページ取得解析部105は、ステップS205でWebサーバ101から取得したパッチ情報ページ103の解析を行う。そして、この解析結果をポート開閉判定部109に受け渡す。
なお、このときのページ取得解析部105の動作の詳細については後記する。 Next, the page acquisition analysis unit 105 of the security management server 104 analyzes the patch information page 103 acquired from the Web server 101 in step S205. Then, the analysis result is transferred to the port open / close determination unit 109.
Details of the operation of the page acquisition analysis unit 105 at this time will be described later.

ポート開閉判定部109は、パッチ情報ページ103の解析結果およびデータベース114から読み出したクライアント115のインベントリ情報から、クライアント115に接続されるルータ113のポート開閉判定を行う。そして、ポート開閉制御部111は、ポート開閉判定部109から受け取った判定結果に基づき、ルータ113に対しポートの開閉制御を行う(ステップS206)。   The port open / close determining unit 109 determines the port open / close of the router 113 connected to the client 115 from the analysis result of the patch information page 103 and the inventory information of the client 115 read from the database 114. Then, the port opening / closing control unit 111 performs port opening / closing control on the router 113 based on the determination result received from the port opening / closing determination unit 109 (step S206).

次に、データベース114に格納されるテーブルについて説明する。
データベース114には、クライアント115の管理情報を格納した管理対象クライアントテーブル210と、クライアント115にインストールされたソフトウェアおよびパッチの情報を格納したインストールソフトウェア情報テーブル211と、クライアント115におけるパッチの適用状態(パッチ未適用か、パッチ適用済みか、パッチ適用の対象外か)を示した適用済みパッチリストテーブル212とを格納する。また、管理対象のルータ113の管理情報(例えば、IPアドレス)を格納した管理対象ルータテーブル207と、ルータ113のポートの開閉状態を格納したポート状態管理テーブル208と、Webサーバ101から取得したパッチ情報を格納する管理対象パッチリストテーブル209とから構成される。 Next, a table stored in the database 114 will be described.
The database 114 includes a managed client table 210 that stores management information of the client 115, an installed software information table 211 that stores information about software and patches installed in the client 115, and patch application status (patch in the client 115). Stored is an applied patch list table 212 indicating whether it has not been applied, whether a patch has been applied, or a patch application target. Also, a managed router table 207 storing management information (for example, IP address) of the router 113 to be managed, a port state management table 208 storing the open / closed state of the port of the router 113, and a patch acquired from the Web server 101. The management target patch list table 209 stores information.

なお、管理対象クライアントテーブル210、インストールソフトウェア情報テーブル211および適用済みパッチリストテーブル212は別個のものとして説明するが、これらをまとめて1つのテーブルとしてもよい。
これらのテーブルの作成手順およびこれらのテーブルを参照した各構成要素の処理手順については、後記する。 Although the managed client table 210, the installed software information table 211, and the applied patch list table 212 are described as being separate, they may be combined into one table.
The creation procedure of these tables and the processing procedure of each component referring to these tables will be described later.

図3は、図1のWebサーバで公開されたパッチ情報ページの取得方法を説明する図である。適宜図1および図2を参照しつつ、図3を用いて、ページ取得解析部105のパッチ情報ページの取得方法を説明する。
図3の符号301は、Webサーバ101における更新前のセキュリティ情報一覧ページを例示したものであり、符号303は、Webサーバ101における更新後のセキュリティ情報一覧ページを例示したものである。
セキュリティ情報一覧ページ301(303)には、現在までに公開されているパッチ情報ページへのリンク(URL)のリスト302(304)が示されている。 FIG. 3 is a diagram for explaining a method for acquiring a patch information page published on the Web server of FIG. The patch information page acquisition method of the page acquisition analysis unit 105 will be described using FIG. 3 with reference to FIGS. 1 and 2 as appropriate.
3 exemplifies a security information list page before update in the Web server 101, and reference numeral 303 exemplifies a security information list page after update in the Web server 101.
The security information list page 301 (303) shows a list 302 (304) of links (URLs) to patch information pages that have been released so far.

例えば、符号302のリストは、「XXXの脆弱性(111111)」に関するパッチ情報のURLと、「YYYセキュリティ更新プログラム(222222)」に関するパッチ情報のURLとを示している。ここでは、各パッチ情報のタイトルのみが表示されているが、タイトル部分に各パッチ情報を提供するサイトのURLが埋め込まれているものとする、つまりタイトル部分に前記各パッチ情報ページへのハイパーリンクが設定されているものとする。また、図3に例示するように、セキュリティ情報一覧ページ301(303)に、各パッチ情報の更新日(更新日時)の情報を含めるようにしてもよい。
このようにすることで、新たに追加されたパッチ情報や、最新のパッチ情報を特定しやすくなる。 For example, the list of reference numeral 302 indicates the URL of patch information related to “XXX vulnerability (111111)” and the URL of patch information related to “YYY security update program (222222)”. Here, only the title of each patch information is displayed, but it is assumed that the URL of the site providing each patch information is embedded in the title portion, that is, the hyperlink to each patch information page in the title portion. Is set. Further, as illustrated in FIG. 3, the security information list page 301 (303) may include information on the update date (update date / time) of each patch information.
By doing so, it becomes easy to specify newly added patch information and the latest patch information.

図1のセキュリティ管理サーバ104のページ取得解析部105は、まず、Webサーバ101からセキュリティ情報一覧ページ102(図3の符号301)を取得し、この取得したページを記憶部100に格納しておく。次に、所定時間経過後、Webサーバ101から更新後のセキュリティ情報一覧ページ102(図3の符号303)を取得し、取得済みのセキュリティ情報一覧ページ102との内容の比較および比較した差分情報に含まれるURLの検索を行う。   The page acquisition analysis unit 105 of the security management server 104 in FIG. 1 first acquires the security information list page 102 (reference numeral 301 in FIG. 3) from the Web server 101 and stores the acquired page in the storage unit 100. . Next, after the elapse of a predetermined time, the updated security information list page 102 (reference numeral 303 in FIG. 3) is acquired from the Web server 101, the content is compared with the acquired security information list page 102, and the difference information is compared. Search for included URLs.

図3の例の場合、セキュリティ情報一覧ページ301とセキュリティ情報一覧ページ303との内容の比較をすると、セキュリティ情報一覧ページ303には、符号305の「ZZZの脆弱性により・・・(333333)」に関するパッチ情報が追加されている。つまり、この符号305の情報が差分情報となる。ページ取得解析部105は、この差分情報305から、新たに公開されたパッチ情報ページのURLを取得する。ここでは、例えばURL「http://aa.bb.cc」を取得し、このURLが示すパッチ情報ページ103にアクセスする。そして、パッチ情報ページ103の情報を取得する。   In the case of the example in FIG. 3, when the contents of the security information list page 301 and the security information list page 303 are compared, the security information list page 303 has a reference numeral 305 “due to the vulnerability of ZZZ (333333)”. Patch information about has been added. That is, the information indicated by reference numeral 305 is difference information. The page acquisition analysis unit 105 acquires the URL of the newly released patch information page from the difference information 305. Here, for example, the URL “http://aa.bb.cc” is acquired, and the patch information page 103 indicated by this URL is accessed. Then, information on the patch information page 103 is acquired.

図4は、図3で取得したパッチ情報ページの解析方法を説明する図である。パッチ情報ページ103は、パッチごとにユニークな番号が付加されたパッチ名401、公開された脆弱性に関する情報405、その脆弱性により影響を受けるソフトウェア名を示す影響ソフトウェア403、その脆弱性が与えるシステムへの影響度の度合いを示す深刻度402等の情報により構成される。   FIG. 4 is a diagram illustrating a method for analyzing the patch information page acquired in FIG. The patch information page 103 includes a patch name 401 to which a unique number is added for each patch, information 405 regarding the disclosed vulnerability, affected software 403 indicating the software name affected by the vulnerability, and a system given by the vulnerability It is composed of information such as a severity level 402 that indicates the degree of the degree of influence.

図1のページ取得解析部105は、このパッチ情報ページ103と、記憶部100の深刻度レベル対策設定リスト108と、セキュリティキーワードリスト107のセキュリティポリシとに従い、その脆弱性に対しセキュリティ強化(セキュリティ対策)を行うか否かを判定する。判定の結果、セキュリティ強化を行うべきと判定した場合には、パッチ情報ページ103に含まれる情報をデータベース114の管理対象パッチリストテーブル209に追加する。   The page acquisition / analysis unit 105 in FIG. 1 performs security enhancement (security countermeasures) against the vulnerability according to the patch information page 103, the severity level countermeasure setting list 108 in the storage unit 100, and the security policy in the security keyword list 107. ) Is determined. As a result of the determination, if it is determined that the security enhancement should be performed, the information included in the patch information page 103 is added to the management target patch list table 209 of the database 114.

なお、この深刻度レベル対策設定リスト108およびセキュリティキーワードリスト107の情報は、予めシステム管理者等が設定入力しておくものとする。   It should be noted that the information of the severity level countermeasure setting list 108 and the security keyword list 107 is set and inputted in advance by a system administrator or the like.

深刻度レベル対策設定リスト108は、パッチ情報ページ103の深刻度のレベルごとに、セキュリティ対策の要もしくは不要のフラグを設定した情報である。
例えば、図4の深刻度レベル対策設定リスト108では、パッチ情報ページ103の深刻度402が「緊急」であったときには、セキュリティ対策は「要」であることを示している。 The severity level countermeasure setting list 108 is information in which a flag indicating whether security countermeasures are necessary or unnecessary is set for each severity level of the patch information page 103.
For example, the severity level countermeasure setting list 108 in FIG. 4 indicates that the security countermeasure is “necessary” when the severity 402 of the patch information page 103 is “emergency”.

セキュリティキーワードリスト107には、システムの機能やソフトウェアの名称、あるいはセキュリティに関するキーワードごとに、そのキーワードの機能やソフトウェアが使用するTCP/IPのポート番号、通信プロトコルおよびそのキーワードが検出された場合のセキュリティ対策の要もしくは不要のフラグが設定してある。
例えば、図4のセキュリティキーワードリスト107では、公開されたパッチ情報ページ103の脆弱性に関する情報405に「AAAサービス」というキーワードが含まれていたときには、ポート番号「135」、プロトコル「TCP」についてのセキュリティ対策は「要」であることを示している。 In the security keyword list 107, for each function function or software name or keyword related to security, the TCP / IP port number used by the keyword function or software, the communication protocol, and the security when the keyword is detected. Flags that require countermeasures or are unnecessary are set.
For example, in the security keyword list 107 of FIG. 4, when the keyword “AAA service” is included in the vulnerability information 405 of the released patch information page 103, the port number “135” and the protocol “TCP” are related. It shows that security measures are “necessary”.

すなわち、図4に例示するパッチ情報ページ103をページ取得解析部105が解析するとき、深刻度402の情報「緊急」をキーとして深刻度レベル対策設定リスト108を検索して、セキュリティ対策の「要」という結果を得る。また、パッチ情報ページ103の公開された脆弱性に関する情報405の「AAAサービス」というキーワードから、ポート番号「135」、プロトコル「TCP」についてのセキュリティ対策は「要」という結果を得る。   That is, when the page acquisition analysis unit 105 analyzes the patch information page 103 illustrated in FIG. 4, the severity level countermeasure setting list 108 is searched using the information “Urgent” of the severity 402 as a key, and “ Results. Further, the security measure for the port number “135” and the protocol “TCP” is “necessary” from the keyword “AAA service” in the information 405 on the disclosed vulnerability on the patch information page 103.

ここで、深刻度レベル対策設定リスト108およびセキュリティキーワードリスト107の双方でセキュリティ対策が「要」なので、ページ取得解析部105は、このパッチ情報ページ103に基づくセキュリティ対策を行うと判定し、パッチ情報ページ103の情報を管理対象パッチリストテーブル209に追加する。
つまり、ページ取得解析部105は、パッチ情報ページ103から抽出したパッチ名401「333333」、影響ソフトウェア403「aaaXP」、深刻度402「緊急」および公開された脆弱性に関する情報405に含まれるキーワード「AAAサービス」を、管理対象パッチリストテーブル209に記録する。
なお、図4の管理対象パッチリストテーブル209の「サービスパック」の項目のように、影響ソフトウェア403のサービスパック名(またはバージョン名)に関する項目を設けてもよい。
このように、ページ取得解析部105は、パッチ情報ページ103のうち、セキュリティ管理サーバ104で管理するパッチ情報について、その概要情報を作成し、管理対象パッチリストテーブル209に登録する。 Here, since the security countermeasure is “necessary” in both the severity level countermeasure setting list 108 and the security keyword list 107, the page acquisition analysis unit 105 determines that the security countermeasure is to be performed based on the patch information page 103, and the patch information Information on the page 103 is added to the management target patch list table 209.
That is, the page acquisition analysis unit 105 extracts the keyword “included in the information 405 regarding the patch name 401“ 333333 ”, the affected software 403“ aaaXP ”, the severity 402“ emergency ”, and the disclosed vulnerability extracted from the patch information page 103. “AAA Service” is recorded in the management target patch list table 209.
It should be noted that an item related to the service pack name (or version name) of the affected software 403 may be provided, such as the “service pack” item in the management target patch list table 209 of FIG.
In this way, the page acquisition analysis unit 105 creates summary information about the patch information managed by the security management server 104 in the patch information page 103 and registers it in the managed patch list table 209.

図5は、図2の管理対象クライアントテーブル、インストールソフトウェア情報テーブルおよび適用済みパッチテーブルを例示した図である。
管理対象クライアントテーブル210は、管理対象となるクライアント115ごとに、クライアント115のホスト名およびIPアドレス、クライアント115にインストールされたOS、そのOSのサービスパック名等、クライアント115に関する各種情報が記憶されている。 FIG. 5 is a diagram illustrating the managed client table, the installed software information table, and the applied patch table in FIG.
The managed client table 210 stores various information about the client 115 such as the host name and IP address of the client 115, the OS installed in the client 115, and the service pack name of the OS for each client 115 to be managed. Yes.

例えば、図5の管理対象クライアントテーブル210には、ホスト名「ホストA」、IPアドレス「192.168.0.2」のクライアント115には、OS「aaa2000」の「SP(サービスパック)4」がインストールされていることを示している。
この管理対象クライアントテーブル210は、図1のセキュリティ管理サーバ104のインベントリ情報管理部112が、クライアント115のインベントリ収集エージェント116からアップロードされたインベントリ情報に基づき更新する。
なお、この管理対象クライアントテーブル210は、図5に例示するように各情報の更新日時に関する情報を含んでいてもよい。 For example, the managed client table 210 in FIG. 5 includes “SP (Service Pack) 4” of the OS “aaa2000” in the client 115 with the host name “Host A” and the IP address “192.168.0.2”. Indicates that it is installed.
The management target client table 210 is updated by the inventory information management unit 112 of the security management server 104 in FIG. 1 based on the inventory information uploaded from the inventory collection agent 116 of the client 115.
Note that the managed client table 210 may include information related to the update date and time of each information as illustrated in FIG.

インストールソフトウェア情報テーブル211は、管理対象クライアントテーブル210のホスト名501をキーに、クライアント115にインストールされているソフトウェア名、バージョン、サービスパック名、更新日時等の情報が格納される。このインストールソフトウェア情報テーブル211の情報は、セキュリティ管理サーバ104のインベントリ情報管理部112が、インベントリ収集エージェント116からアップロードされたインベントリ情報に基づき更新する。
なお、インベントリ情報管理部112によるクライアント115のインベントリ情報の取得は、所定期間ごと定期的に行うようにしてもよいし、不定期に行うようにしてもよい。 The installed software information table 211 stores information such as the software name, version, service pack name, update date and time installed in the client 115 using the host name 501 of the managed client table 210 as a key. Information in the installed software information table 211 is updated by the inventory information management unit 112 of the security management server 104 based on the inventory information uploaded from the inventory collection agent 116.
It should be noted that the inventory information of the client 115 by the inventory information management unit 112 may be periodically acquired every predetermined period or may be irregularly performed.

例えば、図5のインストールソフトウェア情報テーブル211は、「ホストA」のクライアント115には、「ソフトウェアA」のバージョン「9.0」の「SP4」および「ソフトウェアB」のバージョン「6.1」の「SP1」がインストールされていることを示している。   For example, the installed software information table 211 in FIG. 5 indicates that the client 115 of “host A” has “SP4” of version “9.0” of “software A” and version “6.1” of “software B”. It shows that “SP1” is installed.

ポート開閉判定部109は、クライアント115にパッチ情報ページ103に基づくセキュリティ対策が必要か否かをクライアント115にインストールされているソフトウェアの情報により判定する。
適用済みパッチリストテーブル212は、管理対象クライアントテーブル210のホスト名501ごとに、このクライアント115のパッチ適用状態を示すテーブルである。
この適用済みパッチリストテーブル212は、インベントリ収集エージェント116がアップロードしたインベントリ情報に基づき、インベントリ情報管理部112が更新する。 The port open / close determining unit 109 determines whether or not the client 115 needs security measures based on the patch information page 103 based on information on software installed in the client 115.
The applied patch list table 212 is a table indicating the patch application status of the client 115 for each host name 501 of the managed client table 210.
The applied patch list table 212 is updated by the inventory information management unit 112 based on the inventory information uploaded by the inventory collection agent 116.

例えば、図5の適用済みパッチリストテーブル212は、「ホストA」のクライアント115には、パッチ名「111111」のパッチは適用済み(インストール済み)であり、「222222」のパッチは未適用(未インストール)であり、「333333」のパッチは適用対象外であるという情報が格納されている。   For example, in the applied patch list table 212 of FIG. 5, the patch of the patch name “111111” has been applied (installed) and the patch of “222222” has not been applied (not yet applied) to the client 115 of “Host A”. Information indicating that the patch “333333” is not applicable.

なお、クライアント115にとって当該パッチが適用対象外であるか否かは、インベントリ情報管理部112が、管理対象クライアントテーブル210およびインストールソフトウェア情報テーブル211(クライアント115のOSやインストールされているソフトウェア)と、管理対象パッチリストテーブル209(パッチ情報)とに基づき判断する。
例えば、インベントリ情報管理部112において、ホストAのOS(aaa2000のSP4)およびインストールされているソフトウェア(ソフトウェアAのバージョン9.0のSP4)が、パッチ(333333)の適用対象のOSやソフトウェアでなければ、適用済みパッチリストテーブル212に「対象外」の情報を書き込む。
一方、ホストAにパッチの適用対象のOSやソフトウェアがインストールされているにもかかわらず、そのパッチが未だインストールされていない場合には、適用済みパッチリストテーブル212に「未インストール」の情報を書き込む。 Whether the patch is not applicable for the client 115 is determined by the inventory information management unit 112 by using the management target client table 210 and the installed software information table 211 (the OS of the client 115 and installed software), This is determined based on the management target patch list table 209 (patch information).
For example, in the inventory information management unit 112, the OS of host A (SP4 of aaa2000) and installed software (SP4 of version 9.0 of software A) must be the OS or software to which the patch (333333) is applied. For example, the information “not applicable” is written in the applied patch list table 212.
On the other hand, if an OS or software to which a patch is to be applied is installed on the host A but the patch has not been installed yet, information “not installed” is written in the applied patch list table 212. .

図6は、図2の管理対象ルータテーブルおよびポート状態管理テーブルを例示した図である。
管理対象ルータテーブル207は、図1のセキュリティ管理サーバ104の管理対象となるルータ113ごとのネットワーク情報が格納される。この管理対象ルータテーブル207は、例えば図6に示すように、ルータ113の名称(符号601)ごとに、このルータ113のIPアドレス(符号207)を示したものである。図6の管理対象ルータテーブル207は、「ルータA」のIPアドレスは「192.168.0.1」であることを示している。 FIG. 6 is a diagram illustrating the managed router table and the port status management table of FIG.
The managed router table 207 stores network information for each router 113 to be managed by the security management server 104 in FIG. This managed router table 207 shows the IP address (reference numeral 207) of the router 113 for each name (reference numeral 601) of the router 113 as shown in FIG. 6, for example. The managed router table 207 in FIG. 6 indicates that the IP address of “Router A” is “192.168.0.1”.

ポート状態管理テーブル208は、セキュリティ管理サーバ104(ポート開閉制御部111)が制御しているルータ113ごとにポート遮断状態(閉鎖状態)が格納される。ポート状態管理テーブル208は、例えば図6に示すように、ルータ113の名称ごとに、このルータ113のIPアドレス、通信ポート番号、プロトコル、ポート遮断の引き金となったパッチ名および該当ポートの遮断状態が格納される。   The port state management table 208 stores a port blocking state (closed state) for each router 113 controlled by the security management server 104 (port opening / closing control unit 111). For example, as shown in FIG. 6, the port status management table 208 includes, for each name of the router 113, the IP address of the router 113, the communication port number, the protocol, the patch name that triggered the port blocking, and the blocking status of the corresponding port. Is stored.

図6において管理対象である「ルータA」のIPアドレスは「192.168.0.1」であり、パッチ名「111111」により、通信ポート番号「1433」、プロトコル「TCP」のポートが「遮断(閉鎖)」された状態であることを示している。
このポート状態管理テーブル208は、ポート開閉制御部111がルータ113のポート開閉制御を行ったときに書き換える。
なお、このポート状態管理テーブル208には、閉鎖されたポートに関する情報のほかに、開放したポートに関する情報も併せて記録するようにしてもよい。 In FIG. 6, the IP address of the “router A” to be managed is “192.168.0.1”, the patch name “111111”, the communication port number “1433”, and the protocol “TCP” port is “blocked” (Closed) ”state.
The port state management table 208 is rewritten when the port opening / closing control unit 111 performs port opening / closing control of the router 113.
In this port state management table 208, in addition to information on closed ports, information on opened ports may be recorded together.

図7〜図9は、図1のページ取得解析部のパッチ情報ページの取得、解析手順(セキュリティ管理プログラムの実行手順)を示すフローチャートである。適宜図1〜図6を参照しつつ、図7〜図9を用いてセキュリティ管理サーバ104のページ取得解析部105の処理手順を説明する。   7 to 9 are flowcharts showing patch information page acquisition and analysis procedures (security management program execution procedure) of the page acquisition and analysis unit in FIG. The processing procedure of the page acquisition analysis unit 105 of the security management server 104 will be described with reference to FIGS. 7 to 9 with reference to FIGS.

まず、図1のセキュリティ管理サーバ104のページ取得解析部105は、システム管理者により予め登録されたセキュリティ情報一覧ページURL106を元に、インターネット110経由でWebサーバ101に接続する(ステップS701)。そして、ページ取得解析部105は、このWebサーバ101からセキュリティ情報一覧ページ102をダウンロードし、記憶部100(またはデータベース114)に格納する(ステップS702)。
その後、所定時間待機し(ステップS703)、再度Webサーバ101からセキュリティ情報一覧ページ102をダウンロードする(ステップS704)。この所定時間は、セキュリティ管理サーバ104の管理者が定義設定可能である。 First, the page acquisition analysis unit 105 of the security management server 104 in FIG. 1 connects to the Web server 101 via the Internet 110 based on the security information list page URL 106 registered in advance by the system administrator (step S701). Then, the page acquisition analysis unit 105 downloads the security information list page 102 from the Web server 101 and stores it in the storage unit 100 (or the database 114) (step S702).
Thereafter, the process waits for a predetermined time (step S703), and downloads the security information list page 102 from the Web server 101 again (step S704). This predetermined time can be defined and set by the administrator of the security management server 104.

次に、ステップS702で格納しておいたセキュリティ情報一覧ページ102とステップS704でダウンロードしたセキュリティ情報一覧ページ102との差分をチェックする(ステップ705)。ここで、ステップS704でダウンロードしたセキュリティ情報一覧ページ102に差分がない場合(ステップS706のNo)、つまり、セキュリティ情報一覧ページ102が更新されていない場合には、ステップS703へ戻り、所定時間待機した後に、再度Webサーバ101からセキュリティ情報一覧ページ102をダウンロードする。そして、セキュリティ情報一覧ページ102の差分を確認する。   Next, the difference between the security information list page 102 stored in step S702 and the security information list page 102 downloaded in step S704 is checked (step 705). If there is no difference in the security information list page 102 downloaded in step S704 (No in step S706), that is, if the security information list page 102 has not been updated, the process returns to step S703 and waits for a predetermined time. Later, the security information list page 102 is downloaded from the Web server 101 again. Then, the difference of the security information list page 102 is confirmed.

一方、セキュリティ情報一覧ページ102に差分がある場合(ステップS706のYes)には、その差分情報の解析を行う(ステップS707)。具体的には、ページ取得解析部105は、セキュリティ情報一覧ページ102の差分情報を抽出し、その差分情報についてHTML(HyperText Markup Language)のタグ解析を行う。そして、その解析結果から新たに追加された分のパッチ情報のタイトルおよびパッチ情報ページ103へのハイパーリンク(リンクされたURL)を取得する(ステップS708)。例えば、前記した図3の差分情報305でリンクされたパッチ情報ページ103のURL「http://aa.bb.cc」を取得する。そして、ステップS708で取得したURLから、パッチ情報ページ103をダウンロードする(ステップS709)。次に、ステップS708へ進む。   On the other hand, if there is a difference in the security information list page 102 (Yes in step S706), the difference information is analyzed (step S707). Specifically, the page acquisition analysis unit 105 extracts difference information of the security information list page 102, and performs HTML (HyperText Markup Language) tag analysis on the difference information. Then, the newly added patch information title and hyperlink (linked URL) to the patch information page 103 are acquired from the analysis result (step S708). For example, the URL “http://aa.bb.cc” of the patch information page 103 linked with the difference information 305 in FIG. 3 is acquired. Then, the patch information page 103 is downloaded from the URL acquired in step S708 (step S709). Next, the process proceeds to step S708.

図8のステップS710では、ページ取得解析部105は、図7のステップS709でダウンロードしたパッチ情報ページ103の解析を行い、パッチ名、深刻度レベルおよび影響ソフトウェアの情報を取得する。このときのパッチ情報ページ103の解析は、例えば、今まで公開されたパッチ情報ページ103を元に、パッチ名、深刻度レベルおよび影響ソフトウェア等の抽出すべき項目を表すキーワードやパッチ情報ページ103の標準的なフォーマット(書式)等を記憶部100に記憶しておき、これらの情報を参照して解析する。   In step S710 in FIG. 8, the page acquisition analysis unit 105 analyzes the patch information page 103 downloaded in step S709 in FIG. 7, and acquires information on the patch name, severity level, and affected software. The analysis of the patch information page 103 at this time is performed, for example, based on the patch information page 103 released so far, keywords indicating items to be extracted, such as the patch name, severity level, and affected software, and the patch information page 103 A standard format (format) or the like is stored in the storage unit 100 and is analyzed with reference to these pieces of information.

そして、ページ取得解析部105は、深刻度レベル対策設定リスト108から、取得したパッチ情報ページ103に示された深刻度レベルに対応する対策フラグを取得し(ステップS711)、この対策フラグが「要」であるか否かを判定する(ステップS712)。ここで、対策フラグが「要」である場合には(ステップS712のYes)、パッチ情報ページ103からセキュリティキーワードリスト107に登録されているキーワード、例えば、図4のセキュリティキーワードリスト107に記載される「AAAサービス」等を検索する(ステップS713)。
次に、パッチ情報ページ103にセキュリティキーワードリスト107に登録されているキーワード(「AAAサービス」)が有った場合、つまり検索に成功した場合(ステップS714のYes)、セキュリティキーワードリスト107から、そのキーワード(「AAAサービス」)に対する対策フラグを取得する。そして、取得した対策フラグが「要」であるか否かを判断し(ステップS715)、対策フラグが「要」の場合(ステップS715のYes)には、このパッチ情報ページ103の内容をセキュリティ管理サーバ104の管理対象とすべきと判断する。続いて、管理対象パッチリストテーブル209にパッチ情報ページ103におけるパッチ名、影響ソフトウェア、影響を受けるソフトウェアのサービスパック、深刻度レベルおよびステップS713で検索に成功したキーワード(「AAAサービス」)を追加する(ステップS716)。 Then, the page acquisition analysis unit 105 acquires a countermeasure flag corresponding to the severity level indicated in the acquired patch information page 103 from the severity level countermeasure setting list 108 (step S711). Is determined (step S712). If the countermeasure flag is “necessary” (Yes in step S712), the keyword registered in the security keyword list 107 from the patch information page 103, for example, the security keyword list 107 in FIG. “AAA service” and the like are searched (step S713).
Next, when there is a keyword ("AAA service") registered in the security keyword list 107 in the patch information page 103, that is, when the search is successful (Yes in step S714), the security keyword list 107 The countermeasure flag for the keyword (“AAA service”) is acquired. Then, it is determined whether or not the acquired countermeasure flag is “necessary” (step S715). If the countermeasure flag is “necessary” (Yes in step S715), the contents of the patch information page 103 are security managed. It is determined that the server 104 should be a management target. Subsequently, the patch name in the patch information page 103, the affected software, the service pack of the affected software, the severity level, and the keyword successfully searched in step S713 (“AAA service”) are added to the management target patch list table 209. (Step S716).

以上のような処理を、セキュリティキーワードリスト107の各キーワードについて行う。そして、該当のパッチ情報ページ103を検索し、当該キーワードの検索に成功した場合(パッチ情報ページ103にそのキーワードが含まれていた場合)には、キーワードの対策フラグを判断し、管理対象パッチリストテーブル209に登録する。
セキュリティキーワードリスト107のすべてのキーワードについて、検索が終了した場合には(ステップS717のYes)、図9のステップS718へ進む。ステップS718では、パッチ情報が複数追加された場合等を想定し、セキュリティ情報一覧ページ303の差分情報を再度検索し、解析していないパッチ情報のURLが存在するか否かを判断する。ここで、解析していないURLが存在する場合には(ステップS718のYes)、図7のステップS709へ戻り、新たにパッチ情報ページ103をダウンロードし、パッチ情報ページ103の解析処理を行う。そして、すべてのパッチ情報ページ103について解析が完了した場合(図9のステップS718のNo)、処理を終了する。 The above process is performed for each keyword in the security keyword list 107. Then, the corresponding patch information page 103 is searched, and when the keyword search is successful (when the keyword is included in the patch information page 103), the countermeasure flag of the keyword is determined, and the management target patch list Register in the table 209.
When the search is completed for all keywords in the security keyword list 107 (Yes in step S717), the process proceeds to step S718 in FIG. In step S718, assuming that a plurality of pieces of patch information are added, the difference information on the security information list page 303 is searched again, and it is determined whether or not there is a URL of patch information that has not been analyzed. If there is an unanalyzed URL (Yes in step S718), the process returns to step S709 in FIG. 7 to newly download the patch information page 103 and perform an analysis process on the patch information page 103. Then, when the analysis is completed for all the patch information pages 103 (No in step S718 in FIG. 9), the process ends.

続いて、適宜図1〜図9を参照しつつ、図10および図11を用いてセキュリティ管理サーバ104のポート開閉判定部109およびポート開閉制御部111の処理手順を説明する。図10は、図1のルータのポート閉鎖の流れを示すフローチャートであり、図11は、図1のルータのポートの開放の流れを示すフローチャートである。   Next, processing procedures of the port opening / closing determination unit 109 and the port opening / closing control unit 111 of the security management server 104 will be described using FIGS. 10 and 11 with reference to FIGS. 1 to 9 as appropriate. FIG. 10 is a flowchart showing a flow of port closing of the router of FIG. 1, and FIG. 11 is a flowchart showing a flow of opening the port of the router of FIG.

まず、図10を用いて、ルータ113のポート閉鎖の流れを説明する。
図1のセキュリティ管理サーバ104のポート開閉判定部109は、管理対象パッチリストテーブル209に追加されたパッチ名、例えば、図3の符号305に示される「ZZZの脆弱性により・・・・(333333)」を取得し(ステップS801)、このパッチの影響ソフトウェア名(例えば「aaaXP Service Pack 1」)を取得する(ステップS802)。そして、ポート開閉判定部109は、ステップS802で取得した影響ソフトウェアがインストールされているクライアント115を、インストールソフトウェア情報テーブル211から検索し(ステップS803)、影響ソフトウェアをインストール済みのクライアント115が有るか否かを判断する(ステップS804)。ここで、影響ソフトウェアをインストール済みのクライアント115が無かった場合(ステップS804のNo)、該当パッチに関して脆弱性のあるクライアント115は存在しないと判断し、処理を終了する。 First, the flow of closing the port of the router 113 will be described with reference to FIG.
The port open / close determining unit 109 of the security management server 104 in FIG. 1 uses the patch name added to the management target patch list table 209, for example, “By the vulnerability of ZZZ indicated by reference numeral 305 in FIG. 3 (333333). ”” (Step S801), and the affected software name (for example, “aaaXP Service Pack 1”) of this patch is acquired (step S802). Then, the port open / close determining unit 109 searches the installed software information table 211 for the client 115 in which the affected software acquired in step S802 is installed (step S803), and whether or not there is a client 115 in which the affected software has been installed. Is determined (step S804). If there is no client 115 in which the affected software has already been installed (No in step S804), it is determined that there is no client 115 that is vulnerable to the patch, and the process ends.

一方、影響ソフトウェアをインストール済みのクライアント115が有った場合(ステップS804のYes)、該当パッチの脆弱性が存在する可能性がある。そのため、ポート開閉判定部109は、ステップS803で検索した影響ソフトウェアがインストールされているクライアント115の名称(ホスト名)およびステップS801で取得したパッチ名をキーとして、適用済みパッチリストテーブル212を検索する(ステップS805)。   On the other hand, if there is the client 115 in which the affected software is already installed (Yes in step S804), there is a possibility that the vulnerability of the corresponding patch exists. Therefore, the port open / close determining unit 109 searches the applied patch list table 212 using the name (host name) of the client 115 in which the affected software searched in step S803 is installed and the patch name acquired in step S801 as keys. (Step S805).

ここで、適用済みパッチリストテーブル212において、該当パッチをインストールしていないクライアント115が有った場合、つまり該当パッチが各クライアント115にインストールされていなかった場合(ステップS806のNo)、ステップS807へ進む。一方、該当パッチを未インストールのクライアント115が無かった場合(ステップS806のYes)、そのまま処理を終了する。   Here, in the applied patch list table 212, if there is a client 115 in which the corresponding patch is not installed, that is, if the corresponding patch is not installed in each client 115 (No in step S806), the process proceeds to step S807. move on. On the other hand, when there is no client 115 in which the corresponding patch is not installed (Yes in step S806), the processing is ended as it is.

ステップS807では、ポート開閉判定部109がクライアント115について脆弱性ありと判定し、これを受けてポート開閉制御部111が、このクライアント115の接続するルータ113のポート閉鎖制御処理を行う。具体的には、まずポート開閉判定部109がポート開閉制御部111にポートの閉鎖を指示する信号を出力する。そして、セキュリティ管理サーバ104のポート開閉制御部111は、この信号を受けて、管理対象パッチリストテーブル209およびセキュリティキーワードリスト107から、該当パッチのTCP/IPポートおよびプロトコルに関する情報を取得する。例えば、パッチ「333333」のTCP/IPポート「135」番、プロトコル「TCP」という情報を取得する。
なお、このポートの閉鎖を指示する信号には未インストールのパッチ名、このパッチがインストールされていなかったクライアント115のホスト名およびIPアドレス等が含まれるものとする。 In step S807, the port opening / closing determination unit 109 determines that the client 115 is vulnerable, and the port opening / closing control unit 111 receives this, and performs port closing control processing of the router 113 to which the client 115 is connected. Specifically, the port open / close determining unit 109 first outputs a signal instructing the port open / close control unit 111 to close the port. In response to this signal, the port opening / closing control unit 111 of the security management server 104 acquires information on the TCP / IP port and protocol of the patch from the management target patch list table 209 and the security keyword list 107. For example, the information of the TCP / IP port “135” and the protocol “TCP” of the patch “333333” is acquired.
It is assumed that the signal for instructing the closing of the port includes the name of the patch that has not been installed, the host name and the IP address of the client 115 in which this patch has not been installed.

また、ポート開閉制御部111は、管理対象ルータテーブル207からセキュリティ強化(ポート閉鎖)を行うルータ113を特定する。ここでのルータ113の特定は、例えば、クライアント115のIPアドレスと、ルータ113のIPアドレスとに基づいて推測するものとする。そして、ポート開閉制御部111は、前記取得したTCP/IPポートおよびプロトロルの通信を遮断するよう、ルータ113に対してポート閉鎖制御処理を行う。例えば、ルータ113のフィルタリングテーブルを変更する制御信号を出力する。   In addition, the port opening / closing control unit 111 identifies the router 113 that performs security enhancement (port closing) from the managed router table 207. The identification of the router 113 here is assumed based on, for example, the IP address of the client 115 and the IP address of the router 113. Then, the port opening / closing control unit 111 performs a port closing control process on the router 113 so as to cut off the communication of the acquired TCP / IP port and protocol. For example, a control signal for changing the filtering table of the router 113 is output.

また、ポート開閉制御部111は、ルータ113のポート閉鎖制御処理に伴い、ポート開閉状態を管理するポート状態管理テーブル208に、ポートを閉鎖したルータ113の情報を追加する(ステップS808)。例えば、閉鎖制御処理を実施したルータ名、閉鎖したTCP/IPポート、プロトコル、パッチ名、ポートの状態等を追加する。   Further, the port opening / closing control unit 111 adds the information of the router 113 that has closed the port to the port state management table 208 that manages the port opening / closing state in accordance with the port closing control process of the router 113 (step S808). For example, the name of the router that executed the closing control process, the closed TCP / IP port, the protocol, the patch name, the port status, and the like are added.

セキュリティ管理サーバ104がこのような処理を行うことで、パッチ情報ページ103が新たに公開されたときに、ルータ113において対策が必要なポートを迅速に閉鎖できるので、クライアント115のセキュリティ強化を迅速に行うことができる。また、システム管理者のセキュリティ対策の手間を軽減することができる。   When the security management server 104 performs such processing, when the patch information page 103 is newly released, the router 113 can quickly close a port that needs countermeasures, so that the security of the client 115 can be strengthened quickly. It can be carried out. In addition, it is possible to reduce the trouble of security measures for the system administrator.

ポート開閉判定部109およびポート開閉制御部111が以上のようなポート閉鎖処理を行った後、ポート閉鎖の必要がなくなったポートについては、ポート開放をするようにしてもよい。図11を用いて、ルータ113のポート開放の流れを説明する。   After the port opening / closing determining unit 109 and the port opening / closing control unit 111 perform the port closing process as described above, ports that need not be closed may be opened. The port opening flow of the router 113 will be described with reference to FIG.

まず、図1のセキュリティ管理サーバ104のポート開閉判定部109は、ポート状態管理テーブル208のレコードから、パッチ名を抽出する(ステップS901)。次に、ポート開閉判定部109は、ステップS901で抽出したパッチ名をキーとして、適用済みパッチリストテーブル212から、該当パッチが未インストールとなっているクライアント115を検索する(ステップS902)。ここで、該当パッチを未インストールのクライアント115が有る場合には(ステップS903のNo)、該当パッチの脆弱性は存在すると判定し、該当パッチに関連するポートの閉鎖は維持し、ステップS906へ進む。   First, the port open / close determining unit 109 of the security management server 104 in FIG. 1 extracts a patch name from a record in the port state management table 208 (step S901). Next, the port open / close determination unit 109 searches the applied patch list table 212 for the client 115 in which the corresponding patch is not installed, using the patch name extracted in step S901 as a key (step S902). Here, if there is a client 115 in which the corresponding patch is not installed (No in step S903), it is determined that the vulnerability of the corresponding patch exists, the port related to the corresponding patch is kept closed, and the process proceeds to step S906. .

一方、該当パッチを未インストールのクライアント115が無い場合には(ステップS903のYes)、ポート開閉判定部109はシステム全体に脆弱性はないと判定し、ポート開閉制御部111に、ポート開閉制御部111にポートの開放を指示する信号を出力する。これを受けたポート開閉制御部111は、ポート状態管理テーブル208より該当パッチによりポートが閉鎖となっているルータ113の情報(ルータ113のIPアドレス等)を取得し、このルータ113のポート開放制御処理を行う(ステップS904)。つまり、ルータ113のフィルタリングテーブルの書き換えを行う。   On the other hand, if there is no client 115 in which the corresponding patch is not installed (Yes in step S903), the port opening / closing determination unit 109 determines that the entire system is not vulnerable, and the port opening / closing control unit 111 determines that the port opening / closing control unit 111 A signal for instructing opening of the port is output to 111. In response to this, the port opening / closing control unit 111 acquires information (such as the IP address of the router 113) of the router 113 whose port has been closed by the corresponding patch from the port state management table 208, and performs port opening control of this router 113. Processing is performed (step S904). That is, the filtering table of the router 113 is rewritten.

このルータ113のポート開放制御に伴い、ポート開閉判定部109は、ポート状態管理テーブル208を更新する(ステップS905)。具体的には、ポート状態管理テーブル208のレコードのうち、該当パッチのポートの開閉状態の欄の記述を、遮断から開放に書き換える。そして、ポート状態管理テーブル208に記載されたすべてのパッチ名について検索が完了したとき(ステップS906のYes)、そのまま処理を終了する。未だポート状態管理テーブル208に検索が完了していないパッチがあれば(ステップS906のNo)、ステップS901に戻る。   With the port opening control of the router 113, the port open / close determining unit 109 updates the port state management table 208 (step S905). Specifically, the description in the port opening / closing state column of the patch in the record of the port state management table 208 is rewritten from blocking to opening. Then, when the search is completed for all patch names described in the port state management table 208 (Yes in step S906), the processing is ended as it is. If there is a patch that has not yet been searched in the port state management table 208 (No in step S906), the process returns to step S901.

以上のように、セキュリティ管理サーバ104が、ポート閉鎖の必要がなくなったポートについてはポート開放するので、クライアント115が行う通信への影響を最小限にとどめつつウィルス対策や不正アクセスへの対策をすることができる。   As described above, the security management server 104 opens ports for which it is no longer necessary to close the ports, so that countermeasures against viruses and unauthorized access are taken while minimizing the influence on the communication performed by the client 115. be able to.

図12は、図1のインベントリ情報管理部の動作を示すフローチャートである。適宜図1〜図11を参照しつつ、図12を用いてインベントリ情報管理部112によるクライアント115のインベントリ情報収集の流れを説明する。   FIG. 12 is a flowchart showing the operation of the inventory information management unit of FIG. The flow of inventory information collection of the client 115 by the inventory information management unit 112 will be described with reference to FIGS.

まず、図1のセキュリティ管理サーバ104のインベントリ情報管理部112は、管理対象クライアントテーブル210に存在するクライアント115各々のインベントリ収集エージェント116に対し、インベントリ情報の取得実行を通知する(ステップS1001)。   First, the inventory information management unit 112 of the security management server 104 in FIG. 1 notifies the inventory collection agent 116 of each client 115 existing in the management target client table 210 of the execution of inventory information acquisition (step S1001).

この通知を受けた各クライアント115のインベントリ収集エージェント116では、自身にインストールされているクライアント115のインベントリ情報の収集を行い、セキュリティ管理サーバ104に対し、取得したインベントリ情報をアップロード(送信)する。
ここでアップロードされるインベントリ情報は、例えば、クライアント115のホスト名、IPアドレス、インストールされているOS、ソフトウェア、適用されているパッチ名等である。このOS、ソフトウェアの情報には、サービスパック名やバージョン等の情報を含めるようにしてもよい。 Upon receiving this notification, the inventory collection agent 116 of each client 115 collects inventory information of the client 115 installed in itself and uploads (transmits) the acquired inventory information to the security management server 104.
The inventory information uploaded here is, for example, the host name, IP address, installed OS, software, applied patch name, and the like of the client 115. The OS and software information may include information such as the service pack name and version.

インベントリ情報管理部112は、各インベントリ収集エージェント116からアップロードされた、インベントリ情報を受信し(ステップS1002)、受信した情報に基づき、管理対象クライアントテーブル210、インストールソフトウェア情報テーブル211および適用済みパッチリストテーブル212を更新する(ステップS1003)。   The inventory information management unit 112 receives the inventory information uploaded from each inventory collection agent 116 (step S1002), and based on the received information, the managed client table 210, the installed software information table 211, and the applied patch list table 212 is updated (step S1003).

テーブルの更新後、インベントリ情報管理部112は、適用済みパッチリストテーブル212においてパッチを未インストールのクライアント115が有るか否かを判断する(ステップS1004)。ここで、パッチを未インストールのクライアント115が無かった場合は、そのまま処理を終了する。
一方、パッチを未インストールのクライアント115が有った場合(ステップS1004のYes)、インベントリ情報管理部112は、適用済みパッチリストテーブル212からクライアント115のホスト名およびパッチ名を取得する。また、取得したパッチ名から、管理対象パッチリストテーブル209を参照し、このパッチの影響ソフトウェアを取得する。そして、インストールソフトウェア情報テーブル211から、取得した影響ソフトウェア名とクライアント115のホスト名を元に、該当のクライアント115に影響ソフトウェアがインストールされているか否かの判断を行う(ステップS1005)。
つまり、パッチを未インストールのクライアント115について、このパッチはクライアント115にとって必要にもかかわらずインストールされていないのか、それとも、このパッチは不要なのでインストールされていないのかを判断する。 After updating the table, the inventory information management unit 112 determines whether there is a client 115 in which the patch is not installed in the applied patch list table 212 (step S1004). Here, if there is no client 115 in which the patch is not installed, the processing is ended as it is.
On the other hand, when there is the client 115 in which the patch is not installed (Yes in step S1004), the inventory information management unit 112 acquires the host name and the patch name of the client 115 from the applied patch list table 212. Further, referring to the management target patch list table 209 from the acquired patch name, the affected software of the patch is acquired. Then, based on the acquired affected software name and the host name of the client 115 from the installed software information table 211, it is determined whether or not the affected software is installed in the corresponding client 115 (step S1005).
That is, for the client 115 in which the patch is not installed, it is determined whether this patch is not installed although it is necessary for the client 115 or whether the patch is not installed because it is unnecessary.

ここで、該当のクライアント115に影響ソフトウェアがインストールされていない場合には(ステップS1005のNo)、脆弱性の影響を受けないので、インベントリ情報管理部112は、適用済みパッチリストテーブル212の該当クライアント115の該当パッチのレコードを「未インストール」から「対象外」に変更する(ステップS1006)。この後、ステップS1004に戻り、適用済みパッチリストテーブル212においてパッチが未インストールとなっているクライアント115ごとにステップS1005以降の処理を繰り返す。   Here, if the affected software is not installed in the corresponding client 115 (No in step S1005), the inventory information management unit 112 determines that the corresponding client in the applied patch list table 212 is not affected by the vulnerability. The corresponding patch record 115 is changed from “not installed” to “not applicable” (step S1006). Thereafter, the process returns to step S1004, and the processes in and after step S1005 are repeated for each client 115 in which the patch is not installed in the applied patch list table 212.

このようにすることで、セキュリティ管理サーバ104は、各クライアント115におけるパッチの適用状態を最新のものに書き換えることができる。   In this way, the security management server 104 can rewrite the patch application state in each client 115 to the latest one.

前記した実施の形態によれば、Webサーバ101で新たなセキュリティ情報が公開されたとき、セキュリティ管理サーバ104が速やかにルータ113のポート開閉制御をするので、クライアント115のセキュリティ対策を迅速にすることができる。また、システム管理者や使用ユーザが日々インターネットを介しセキュリティ情報をチェックする負担を軽減することができる。さらに、セキュリティ管理サーバ104は、公開されたセキュリティ情報(パッチ情報)の内容を解析し、クライアント115にとって脆弱となるポートを開閉制御するので、クライアント115が行う通信への影響を最小限にとどめつつ、ウィルスや不正アクセスの防御が可能となる。   According to the above-described embodiment, when new security information is disclosed on the Web server 101, the security management server 104 promptly controls the opening / closing of the port of the router 113. Can do. In addition, it is possible to reduce the burden of system administrators and users who check security information via the Internet every day. Furthermore, since the security management server 104 analyzes the contents of the released security information (patch information) and controls opening / closing of ports that are vulnerable to the client 115, the influence on the communication performed by the client 115 is minimized. , Virus and unauthorized access can be protected.

また、システム管理者は、深刻度レベル対策設定リスト108およびセキュリティキーワードリスト107(図4参照)に、公開されたセキュリティ情報において深刻度がどのレベルならセキュリティ対策を行うか、また、どのキーワードが含まれていたらセキュリティ対策を行うかを設定できるので、柔軟なセキュリティポリシを設定可能である。   In addition, the system administrator includes the severity level countermeasure setting list 108 and the security keyword list 107 (see FIG. 4) as to which level of severity the security measures are taken in the disclosed security information, and which keywords are included. Since it can be set whether to take security measures if it is done, a flexible security policy can be set.

本実施の形態に係るセキュリティ管理サーバ104は、前記したような処理を実行させるセキュリティ管理用プログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、ネットワークを通して提供することも可能である。   The security management server 104 according to the present embodiment can be realized by a security management program that executes the processing as described above, and stores the program in a computer-readable storage medium (CD-ROM or the like). Can be provided. It is also possible to provide the program through a network.

本発明の第1の実施の形態のセキュリティ管理サーバを含むシステムの構成を示すブロック図である。It is a block diagram which shows the structure of the system containing the security management server of the 1st Embodiment of this invention. 図1の各構成要素の動作を説明する図である。It is a figure explaining operation | movement of each component of FIG. 図1のWebサーバで公開されたパッチ情報ページの取得方法を説明する図である。It is a figure explaining the acquisition method of the patch information page published by the Web server of FIG. 図3で取得したパッチ情報ページの解析方法を説明する図である。It is a figure explaining the analysis method of the patch information page acquired in FIG. 図2の管理対象クライアントテーブル、インストールソフトウェア情報テーブルおよび適用済みパッチテーブルを例示した図である。FIG. 3 is a diagram illustrating an example of a management target client table, an installed software information table, and an applied patch table in FIG. 2. 図2の管理対象ルータテーブルおよびポート状態管理テーブルを例示した図である。FIG. 3 is a diagram illustrating a managed router table and a port state management table in FIG. 2. 図1のページ取得解析部のパッチ情報ページの取得、解析手順を示すフローチャートである。It is a flowchart which shows the acquisition and analysis procedure of the patch information page of the page acquisition analysis part of FIG. 図1のページ取得解析部のパッチ情報ページの取得、解析手順を示すフローチャートである。It is a flowchart which shows the acquisition and analysis procedure of the patch information page of the page acquisition analysis part of FIG. 図1のページ取得解析部のパッチ情報ページの取得、解析手順を示すフローチャートである。It is a flowchart which shows the acquisition and analysis procedure of the patch information page of the page acquisition analysis part of FIG. 図1のルータのポート閉鎖の流れを示すフローチャートである。It is a flowchart which shows the flow of the port closing of the router of FIG. 図1のルータのポート開放の流れを示すフローチャートである。It is a flowchart which shows the flow of the port opening of the router of FIG. 図1のインベントリ情報管理部の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the inventory information management part of FIG.

符号の説明Explanation of symbols

100 記憶部
101 Webサーバ
103 パッチ情報ページ(セキュリティ情報)
104 セキュリティ管理サーバ(セキュリティ管理装置)
105 ページ取得解析部
107 セキュリティキーワードリスト
109 ポート開閉判定部
110 インターネット(ネットワーク)
111 ポート開閉制御部
112 インベントリ情報管理部
113 ルータ
114 データベース
115 クライアント 100 Storage Unit 101 Web Server 103 Patch Information Page (Security Information)
104 Security management server (security management device)
105 Page acquisition and analysis unit 107 Security keyword list 109 Port open / close determination unit 110 Internet (network)
111 Port Open / Close Control Unit 112 Inventory Information Management Unit 113 Router 114 Database 115 Client

Claims (5)

ネットワーク経由で取得した最新のセキュリティ情報に基づき、クライアントに接続されるルータのTCP/IPポート開閉制御を行い、セキュリティ管理を行うセキュリティ管理装置を用いたセキュリティ管理方法であって、
前記セキュリティ管理装置が、
前記各クライアントから、前記各クライアントのインベントリ情報を取得し、データベースに格納するステップと、
前記ネットワーク経由で、前記最新のセキュリティ情報を取得するステップと、
前記取得したセキュリティ情報を解析するステップと、
所定のキーワードおよびこのキーワードにより示されるアプリケーションに関連するTCP/IPポートを示すセキュリティキーワードリストを参照して、このセキュリティキーワードリストに示されたキーワードが前記解析したセキュリティ情報に含まれているか否かを判定するステップと、
このセキュリティキーワードリストに示されたキーワードが前記セキュリティ情報に含まれていると判断したとき、前記セキュリティ情報を前記データベースに格納するステップと、
前記データベースを参照して、前記セキュリティ情報に基づくセキュリティ対策が必要なクライアントが有るか否かを判定するステップと、
前記セキュリティ対策が必要なクライアントが有ったとき、前記データベースを参照して、前記セキュリティ対策が必要なクライアントに接続するルータを特定するステップと、
前記特定したルータに対し、前記パッチに関連するTCP/IPポートを閉鎖する制御信号を出力するステップと、
を実行することを特徴とするセキュリティ管理方法。 A security management method using a security management device that performs TCP / IP port opening / closing control of a router connected to a client based on the latest security information acquired via a network and performs security management,
The security management device is
Obtaining inventory information of each client from each client and storing it in a database;
Obtaining the latest security information via the network;
Analyzing the acquired security information;
With reference to a security keyword list indicating a predetermined keyword and a TCP / IP port related to an application indicated by the keyword, it is determined whether or not the keyword indicated in the security keyword list is included in the analyzed security information. A determining step;
Storing the security information in the database when it is determined that the keyword shown in the security keyword list is included in the security information;
Determining whether there is a client that needs security measures based on the security information with reference to the database; and
When there is a client requiring the security measure, referring to the database, and identifying a router connected to the client requiring the security measure;
Outputting to the identified router a control signal for closing a TCP / IP port associated with the patch;
The security management method characterized by performing. 前記ネットワーク経由で、前記最新のセキュリティ情報を取得するステップは、
前記ネットワーク経由で、前記セキュリティ情報を公開するWeb装置から前記最新のセキュリティ情報のページのダウンロードを実行し、
前記取得したセキュリティ情報を解析するステップは、
前回取得したセキュリティ情報のページとの差分情報から、前記最新のセキュリティ情報のページにおいて新たに追加されたセキュリティ情報を抽出し、解析することを特徴とする請求項1に記載のセキュリティ管理方法。 The step of obtaining the latest security information via the network includes:
Downloading the latest security information page from the Web device that publishes the security information via the network,
The step of analyzing the acquired security information includes:
The security management method according to claim 1, wherein security information newly added in the latest security information page is extracted and analyzed from difference information from the previously acquired security information page. 前記セキュリティ対策が必要なクライアントは、
前記セキュリティ情報に示される影響ソフトウェアがインストールされたクライアントであって、前記影響ソフトウェアのパッチが未適用のクライアントであることを特徴とする請求項1または請求項2に記載のセキュリティ管理方法。 Clients that need the security measures
3. The security management method according to claim 1 or 2, wherein the affected software indicated by the security information is a client installed, and the affected software patch is not applied. ネットワーク経由で取得した最新のセキュリティ情報に基づき、クライアントに接続されるルータのTCP/IPポート開閉制御を行い、セキュリティ管理を行うセキュリティ管理装置であって、
前記各クライアントにインストールされているソフトウェア名および適用されているパッチ名を含むインベントリ情報、前記セキュリティ情報および前記ルータの識別情報を格納するデータベースと、所定のキーワードおよびこのキーワードにより示されるアプリケーションに関連するTCP/IPポートを示すセキュリティキーワードリストとを格納する記憶部と、
前記各クライアントから、前記各クライアントのインベントリ情報を取得し、前記データベースに格納するインベントリ情報管理部と、
前記ネットワーク経由で、前記最新のセキュリティ情報を取得するとともに、前記セキュリティ情報を解析し、このセキュリティ情報に前記セキュリティキーワードリストに示されたキーワードが有るとき、このセキュリティ情報を前記データベースに格納するページ取得解析部と、
前記データベースを参照して、前記セキュリティ情報に基づくセキュリティ対策が必要なクライアントが有るか否かを判定するポート開閉判定部と、
前記セキュリティ対策が必要なクライアントが有ったとき、前記データベースを参照して、前記セキュリティ対策が必要なクライアントに接続するルータに対し、前記パッチに関連するTCP/IPポートを閉鎖する制御信号を出力するポート開閉制御部と、
を備えることを特徴とするセキュリティ管理装置。 A security management device that performs TCP / IP port opening / closing control of a router connected to a client based on the latest security information acquired via a network and performs security management,
Related to the inventory information including the software name installed on each client and the name of the applied patch, the database storing the security information and the identification information of the router, the predetermined keyword and the application indicated by the keyword A storage unit for storing a security keyword list indicating a TCP / IP port;
An inventory information management unit that acquires inventory information of each client from each of the clients and stores it in the database;
Obtaining the latest security information via the network, analyzing the security information, and obtaining a page for storing the security information in the database when the security information includes a keyword shown in the security keyword list An analysis unit;
A port open / close determining unit that refers to the database and determines whether or not there is a client that requires security measures based on the security information;
When there is a client requiring the security measure, the control signal for closing the TCP / IP port related to the patch is output to the router connected to the client requiring the security measure with reference to the database. A port opening / closing control unit,
A security management device comprising: 請求項1ないし請求項3のいずれか1項に記載のセキュリティ管理方法をコンピュータに実行させることを特徴とするセキュリティ管理プログラム。   A security management program for causing a computer to execute the security management method according to any one of claims 1 to 3.
JP2004331419A 2004-11-16 2004-11-16 Security management method, security management device, and security management program Expired - Fee Related JP4414865B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004331419A JP4414865B2 (en) 2004-11-16 2004-11-16 Security management method, security management device, and security management program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004331419A JP4414865B2 (en) 2004-11-16 2004-11-16 Security management method, security management device, and security management program

Publications (2)

Publication Number Publication Date
JP2006146297A true JP2006146297A (en) 2006-06-08
JP4414865B2 JP4414865B2 (en) 2010-02-10

Family

ID=36625939

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004331419A Expired - Fee Related JP4414865B2 (en) 2004-11-16 2004-11-16 Security management method, security management device, and security management program

Country Status (1)

Country Link
JP (1) JP4414865B2 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009015585A (en) * 2007-07-04 2009-01-22 Mitsubishi Electric Corp Management device, network system, program, and management method
JP2010044643A (en) * 2008-08-14 2010-02-25 Ricoh Co Ltd Information processor and program
JP2011188071A (en) * 2010-03-05 2011-09-22 Nec Corp Intrusion detection/prevention system, client computer, intrusion detection/prevention apparatus and method, and program
WO2013035181A1 (en) * 2011-09-08 2013-03-14 株式会社日立製作所 Vulnerability countermeasure device, and vulnerability countermeasure method
US8484729B2 (en) 2007-09-20 2013-07-09 Nec Corporation Security operation management system, security operation management method, and security operation management program
JP2013168763A (en) * 2012-02-15 2013-08-29 Hitachi Ltd Security monitoring system and security monitoring method
JP2017204058A (en) * 2016-05-10 2017-11-16 株式会社 ハンモック Vulnerability countermeasure management system
US10015329B2 (en) 2014-05-16 2018-07-03 Ricoh Company, Ltd. Information management apparatus, information management method, and information device
WO2023166610A1 (en) * 2022-03-02 2023-09-07 日本電気株式会社 System, system control unit, control method, and program

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009015585A (en) * 2007-07-04 2009-01-22 Mitsubishi Electric Corp Management device, network system, program, and management method
US8484729B2 (en) 2007-09-20 2013-07-09 Nec Corporation Security operation management system, security operation management method, and security operation management program
JP2010044643A (en) * 2008-08-14 2010-02-25 Ricoh Co Ltd Information processor and program
JP2011188071A (en) * 2010-03-05 2011-09-22 Nec Corp Intrusion detection/prevention system, client computer, intrusion detection/prevention apparatus and method, and program
WO2013035181A1 (en) * 2011-09-08 2013-03-14 株式会社日立製作所 Vulnerability countermeasure device, and vulnerability countermeasure method
JPWO2013035181A1 (en) * 2011-09-08 2015-03-23 株式会社日立製作所 Vulnerability countermeasure device and vulnerability countermeasure method
US9372995B2 (en) 2011-09-08 2016-06-21 Hitachi, Ltd. Vulnerability countermeasure device and vulnerability countermeasure method
JP2013168763A (en) * 2012-02-15 2013-08-29 Hitachi Ltd Security monitoring system and security monitoring method
US10015329B2 (en) 2014-05-16 2018-07-03 Ricoh Company, Ltd. Information management apparatus, information management method, and information device
JP2017204058A (en) * 2016-05-10 2017-11-16 株式会社 ハンモック Vulnerability countermeasure management system
WO2023166610A1 (en) * 2022-03-02 2023-09-07 日本電気株式会社 System, system control unit, control method, and program

Also Published As

Publication number Publication date
JP4414865B2 (en) 2010-02-10

Similar Documents

Publication Publication Date Title
US7313818B2 (en) Device, method and program for detecting unauthorized access
US20130167236A1 (en) Method and system for automatically generating virus descriptions
US20070169199A1 (en) Web service vulnerability metadata exchange system
US20030037138A1 (en) Method, apparatus, and program for identifying, restricting, and monitoring data sent from client computers
US20080229419A1 (en) Automated identification of firewall malware scanner deficiencies
KR20180066161A (en) Log information generating apparatus, recording medium, log information extracting apparatus, and recording medium
US20090064325A1 (en) Phishing notification service
CN103856524A (en) Method and system for identifying legal content on basis of white list of user agent
JP4414865B2 (en) Security management method, security management device, and security management program
JP2004520654A (en) Cracker tracking system and method, and authentication system and method using the same
US11528291B2 (en) Methods and apparatus for defending against exploitation of vulnerable software
RU2481633C2 (en) System and method for automatic investigation of safety incidents
KR101451323B1 (en) Application security system, security server, security client apparatus, and recording medium
US9705898B2 (en) Applying group policies
KR20190106103A (en) Preemptive response system for new information security vulnerability, and method thereof
Firoz et al. Performance optimization of layered signature based intrusion detection system using snort
US7516150B1 (en) Update protection system and method
CN116089940A (en) Multi-source security threat detection method and device
JP6084688B2 (en) Data conversion method and apparatus
Wilson et al. Mitigating data exfiltration in storage-as-a-service clouds
US20170085586A1 (en) Information processing device, communication history analysis method, and medium
JP2005321897A (en) Data communication processing program and aitivirus program acquisition processing program
KR101577404B1 (en) System and method for blocking access malware by using monitoring java-script object and computer program for executing the method
KR101535381B1 (en) Method for blocking internet access using uniform resource locator and ip address
TWI764618B (en) Cyber security protection system and related proactive suspicious domain alert system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060728

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090806

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091019

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091117

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091120

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121127

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121127

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131127

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees