JP2010067216A - Vulnerability determination device and program - Google Patents

Vulnerability determination device and program Download PDF

Info

Publication number
JP2010067216A
JP2010067216A JP2008235465A JP2008235465A JP2010067216A JP 2010067216 A JP2010067216 A JP 2010067216A JP 2008235465 A JP2008235465 A JP 2008235465A JP 2008235465 A JP2008235465 A JP 2008235465A JP 2010067216 A JP2010067216 A JP 2010067216A
Authority
JP
Japan
Prior art keywords
information
vulnerability
software
configuration information
service setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008235465A
Other languages
Japanese (ja)
Other versions
JP4751431B2 (en
Inventor
Tomoaki Morijiri
智昭 森尻
Ikuya Odawara
育也 小田原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2008235465A priority Critical patent/JP4751431B2/en
Publication of JP2010067216A publication Critical patent/JP2010067216A/en
Application granted granted Critical
Publication of JP4751431B2 publication Critical patent/JP4751431B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To determine only software highly affecting security among pieces of softyware, for which vulnerability information is disclosed, to efficiently improve security. <P>SOLUTION: In a vulnerability determination device 40, when a vulnerability information acquiring part 41 acquires vulnerability information from a vulnerability information disclosing site device 30 and writes it in a vulnerability information storage part 42 and a configuration information requiring part 43 acquires configuration information from an electronic computer 20<SB>1</SB>and writes it in a configuration information storage part 44, a matching part 45 determines whether or not the configuration information in the configuration information storage part 44 relates to the vulnerability information in the vulnerability information storage part 42. According to the determination result by the matching part 45, an influence determination part 46 determines whether or not the configuration information related to the vulnerability information, is related to service setting information acquired from the electronic computer 20<SB>1</SB>. Based on this determination result, configuration information related to the service setting information is output. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、脆弱性判定装置及びそのプログラムに係り、例えば、脆弱性情報が公開されたソフトウェアのうち、安全性への影響度が高いソフトウェアのみを判定でき、効率よく安全性を向上し得る脆弱性判定装置及びプログラムに関する。   The present invention relates to a vulnerability determination device and a program thereof. For example, among software whose vulnerability information is disclosed, only software that has a high impact on safety can be determined, and a vulnerability that can improve safety efficiently. The present invention relates to a sex determination device and a program.

情報システムは、一般には、複数の電子計算機と、各電子計算機が使用する様々なOS(Operating System)、API(Application Program Interface)、アプリケーションなどの各ソフトウェアを組み合わせて構築されている。各ソフトウェアは、情報システム構築時には脆弱性が発見されなくても、時間の経過とともに様々な脆弱性が発見される可能性がある。   In general, an information system is constructed by combining a plurality of electronic computers and various software such as various operating systems (OSs), APIs (Application Program Interfaces), and applications used by the electronic computers. Each software may have various vulnerabilities discovered over time even if no vulnerabilities are found at the time of information system construction.

現在、このような各ソフトウェアに関する脆弱性情報を一般に公開するサイト(例えば、有限責任中間法人JPCERTコーディネーションセンター及び独立行政法人情報処理推進機構(IPA)によって運営されるJapan Vulnerability Notes−http://jvn.jp/−など)やソフトウェアメーカが運営して自社のソフトウェアの脆弱性情報を公開するサイトが存在している。   Currently, websites that publicly disclose vulnerability information related to each software (for example, Japan Vulnerability Notes-http: // jvn, operated by the JPCERT Coordination Center and IPA) .jp /-) and other websites that are run by software manufacturers and disclose vulnerability information about their software.

また、信用できるサイトから公開された脆弱性情報に基づいて、電子計算機が使用するソフトウェアの脆弱性の有無を検査し、企業内ネットワークへの接続可否の判断、ソフトウェアへのパッチの適用、電子計算機の設定変更などの対策を講じる脆弱性対策技術が知られている(例えば、特許文献1参照。)。
特開2004−258777号公報 In addition, based on vulnerability information published from a trusted site, the software used by the computer is checked for vulnerabilities, whether it can be connected to the corporate network, patches applied to the software, the computer Vulnerability countermeasure technology that takes countermeasures such as setting change is known (for example, see Patent Document 1).
JP 2004-258777 A

以上のような脆弱性対策技術は、電子計算機にインストールされたソフトウェアのうち、脆弱性情報によって脆弱性が周知されるソフトウェアに対策を講じるものであるので、本発明者の検討によれば、安全性向上のための効率を良くする余地がある。   The vulnerability countermeasure technology as described above takes measures against software whose vulnerability is well-known by vulnerability information among software installed in an electronic computer. There is room for improving efficiency for improving performance.

例えば、インストールしていても実際には使用しないソフトウェアであれば、脆弱性情報による安全性への影響度が低く、対策が不要な筈である。しかしながら、脆弱性情報への対策を講じていた点で、安全性向上のための効率が低い。   For example, software that has been installed but is not actually used should have a low impact on security due to vulnerability information and no countermeasures should be taken. However, in terms of taking measures against vulnerability information, efficiency for improving safety is low.

すなわち、効率よく安全性を向上させる観点から、脆弱性情報が公開されたソフトウェアのうち、安全性への影響度が高いソフトウェアのみを判定すればよい。   That is, from the viewpoint of improving safety efficiently, it is only necessary to determine only software that has a high degree of impact on safety among software whose vulnerability information has been disclosed.

また特に、他の電子計算機にサービスを提供するサーバ装置を管理するシステム管理者の場合、運用の都合上、パッチの頻繁な適用が困難であるため、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定する必要がある。   In particular, in the case of a system administrator who manages a server device that provides services to other electronic computers, it is difficult to frequently apply patches for operational reasons. It is necessary to determine only software that has a high impact on the safety of electronic computers.

本発明は上記実情を考慮してなされたもので、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定でき、かかる安全性を効率よく向上し得る脆弱性判定装置及びそのプログラムを提供することを目的とする。   The present invention has been made in consideration of the above circumstances, and among the software whose vulnerability information has been disclosed, it is possible to determine only software that has a high degree of impact on the safety of electronic computers, and this safety can be improved efficiently. An object of the present invention is to provide a vulnerability determination device and a program thereof.

本発明の一つの局面は、インストールされた複数のソフトウェアを示す各ソフトウェア名及び各バージョン情報からなる構成情報、並びに前記各ソフトウェア名のうちのサービス設定された各ソフトウェアの各ソフトウェア名を含むサービス設定情報を保持する手段と、脆弱性をもつ各ソフトウェアを示す各ソフトウェア名及び各対象バージョン情報からなる脆弱性情報を取得する手段と、前記脆弱性情報を記憶する手段と、前記構成情報を記憶する手段とを備えた脆弱性判定装置であって、前記脆弱性情報を取得して前記脆弱性情報を記憶する手段に前記脆弱性情報を書き込む手段、前記サービス設定情報を保持する手段から前記構成情報を取得して前記構成情報を記憶する手段に書き込む手段、前記構成情報を記憶する手段内の前記構成情報に対し、前記脆弱性情報を記憶する手段内の前記脆弱性情報との関連を有するか否かを判定する手段、この判定の結果、前記脆弱性情報との関連を有する前記構成情報に対し、前記サービス設定情報との関連を有するか否かを判定する手段、この判定の結果、前記サービス設定情報との関連を有する前記構成情報を出力する手段、を備えた脆弱性判定装置である。   One aspect of the present invention is a service setting including configuration information including each software name and version information indicating a plurality of installed software, and each software name of each software set as a service among the software names. Means for holding information; means for acquiring vulnerability information including each software name indicating each piece of software having vulnerability and each target version information; means for storing the vulnerability information; and storing the configuration information Means for acquiring the vulnerability information and writing the vulnerability information in the means for storing the vulnerability information; and means for storing the service setting information from the means for storing the configuration information. Means for acquiring and writing to the means for storing the configuration information, the configuration in the means for storing the configuration information Means for determining whether or not there is an association with the vulnerability information in the means for storing the vulnerability information, and as a result of this determination, for the configuration information having an association with the vulnerability information A vulnerability determination apparatus comprising: means for determining whether or not there is an association with the service setting information; and means for outputting the configuration information having an association with the service setting information as a result of the determination.

なお、本発明の一つの局面としては、装置の場合を説明したが、これに限らず、方法、プログラム、プログラムを記憶した記憶媒体として表現してもよい。   As one aspect of the present invention, the case of an apparatus has been described. However, the present invention is not limited to this, and a method, a program, and a storage medium storing the program may be expressed.

(作用)
本発明の一つの局面によれば、脆弱性情報との関連を有する構成情報に対し、電子計算機から取得したサービス設定情報との関連を有するか否かを判定する。そして、この判定の結果、サービス設定情報との関連を有する構成情報を出力する構成により、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定でき、効率よく安全性を向上することができる。 (Function)
According to one aspect of the present invention, it is determined whether or not the configuration information having an association with vulnerability information has an association with service setting information acquired from an electronic computer. As a result of the determination, the configuration that outputs the configuration information related to the service setting information can determine only the software whose vulnerability information has been disclosed that has a high impact on the safety of the electronic computer. , Can improve the safety efficiently.

以上説明したように本発明によれば、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定でき、効率よく安全性を向上できる。   As described above, according to the present invention, it is possible to determine only software that has a high degree of influence on the safety of the electronic computer from among the software whose vulnerability information is disclosed, and the safety can be improved efficiently.

以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。このような組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置の持つ電子計算機にインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. Each of the following devices can be implemented for each device with either a hardware configuration or a combination configuration of hardware resources and software. As the software having such a combination configuration, a program that is installed in advance from a network or a storage medium into an electronic computer of the corresponding device and that realizes the function of the corresponding device is used.

(第1の実施形態)
図1は本発明の第1の実施形態に係る脆弱性判定装置及びその周辺構成を示すブロック図である。図示するように、情報システム10を構成するn台(但し、1≦n)の電子計算機20〜20や、脆弱性情報公開サイト装置30がそれぞれ脆弱性判定装置40に通信可能に接続されている。 (First embodiment)
FIG. 1 is a block diagram showing a vulnerability determination device and its peripheral configuration according to the first embodiment of the present invention. As shown in the figure, n (however, 1 ≦ n) computers 20 1 to 20 n constituting the information system 10 and the vulnerability information disclosure site device 30 are connected to the vulnerability determination device 40 in a communicable manner. ing.

例えば、脆弱性判定装置40は、企業や団体内に構築された情報システム10に対して、脆弱性情報を監視及び評価する。なお、脆弱性判定装置40は、いずれかの電子計算機20〜20に一体的に設けられていてもよいが、ここでは、各電子計算機20〜20とは別のPC(Personal Computer)装置(脆弱性スキャナ)として設けられている。 For example, the vulnerability determination device 40 monitors and evaluates vulnerability information for the information system 10 built in a company or organization. The vulnerability determination device 40 may be provided integrally with any one of the computers 20 1 to 20 n , but here, a PC (Personal Computer) different from each of the computers 20 1 to 20 n is used. ) Device (vulnerability scanner).

情報システム10内の各電子計算機20〜20は、情報システム10において、クライアント端末又はサーバ装置のいずれとして用いられていてもよい。 Each of the computers 20 1 to 20 n in the information system 10 may be used as either a client terminal or a server device in the information system 10.

なお、各電子計算機20〜20は、構成情報の内容やサービス設定情報の内容は異なるものの、互いに同一の機能ブロック21〜24を有する構成である。従って、以下では電子計算機20を代表例に挙げて説明する。これは、第1の実施形態以下で説明する各実施形態でも同様である。また、1台の電子計算機20を対象として説明するが、複数台の電子計算機20,…を対象としても構わない。 The electronic computers 20 1 to 20 n have the same functional blocks 21 to 24, although the contents of the configuration information and the contents of the service setting information are different. Therefore, the following will be described as an representative example computer 20 1. The same applies to each embodiment described below in the first embodiment. Further, although the description of one of the computer 20 1 as the target, the computer 20 first plurality, may be ... as targets.

ここで、電子計算機20は、通常のコンピュータ機能を有し、図示しないOS及び各ソフトウェアがインストールされており、当該インストールされた複数のソフトウェアを示す各ソフトウェア名及び各バージョン情報からなる構成情報、並びに各ソフトウェア名のうちのサービス設定された各ソフトウェアの各ソフトウェア名を含むサービス設定情報を保持している。具体的には、電子計算機20は、構成情報記憶部21、構成情報取得部22、サービス設定情報記憶部23及びサービス設定取得部24を備えている。 Here, the electronic computer 20 1 has a usual computer functions are installed OS and the software (not shown), the configuration information comprising a respective software name and the version information indicating the installed plurality of software, In addition, service setting information including each software name of each software for which service setting is set out of each software name is held. Specifically, the computer 20 1, configuration information storage unit 21, the configuration information acquisition unit 22, and a service setting information storage unit 23 and a service setting acquisition unit 24.

構成情報記憶部21は、構成情報取得部22から読出/書込可能な記憶装置であり、図2に示すように、電子計算機20にインストールされているソフトウェア名と、そのソフトウェアのバージョン番号とからなる構成情報が記憶される。 Configuration information storage unit 21 is a configuration information acquisition unit 22 read / writable memory device, as shown in FIG. 2, the software name that is installed on the computer 20 1, and version number of the software The configuration information consisting of is stored.

構成情報におけるソフトウェア名とバージョン番号との組合せは、ソフトウェアの種類を特定するためのものであり、この組合せに限らず、バージョン番号の他にソフトウェアのバイナリのハッシュ値などを用いた組合せなどのように、ソフトウェアの種類を特定するための情報を含む組合せであれば、他の組合せでも構わない。   The combination of the software name and the version number in the configuration information is for specifying the type of software, and is not limited to this combination, such as a combination using a software hash value in addition to the version number. In addition, any other combination may be used as long as it includes information for specifying the type of software.

構成情報取得部22は、電子計算機20にインストールされているソフトウェアに関する構成情報を取得する。構成情報は、例えば、電子計算機20内にインストールされているソフトウェアがファイルに記録されている場合もある、また、別の電子計算機にデータベースとして記録されている場合もある、また、必要に応じて電子計算機20内に存在するファイルを走査することによって取得する場合もある。 The configuration information acquisition unit 22 acquires the configuration information about the software installed in the computer 20 1. Configuration information, for example, it may the software installed in the computer 20 1 is recorded in the file, and may have been recorded as a database to another computer, and optionally sometimes it is obtained by scanning a file present in the computer 20 in 1 Te.

サービス設定情報記憶部23は、サービス設定情報取得部24から読出/書込可能な記憶装置であり、図3に示すように、電子計算機20にインストールされているソフトウェアのうち、電子計算機20で実際に稼動するソフトウェアのソフトウェア名からなるサービス設定情報が記憶される。 Service setting information storage unit 23 is a readable / writable storage device from the service setting information acquisition unit 24, as shown in FIG. 3, of the software installed in the computer 20 1, the computer 20 1 The service setting information including the software name of the software that is actually running is stored.

サービス設定取得部24は、電子計算機20で実際に稼動するサービス設定に関するソフトウェアのソフトウェア名をサービス設定情報として取得してサービス設定情報記憶部23に書き込む機能と、サービス設定情報記憶部23内のサービス設定情報を脆弱性判定装置40に送信する機能とをもっている。ここで、一般に、サービス設定情報は、電子計算機20においてサービスを起動するための設定が予め記録されている。サービス設定取得部24では、例えば、オープンしているポートに対して、待ち受けを行っているソフトウェアのソフトウェア名をサービス設定情報として取得する。あるいは、現在起動しているソフトウェアを示すソフトウェア名や、特定のポートにアクセスがあった場合に起動するソフトウェアを示すソフトウェア名をサービス設定情報として取得してもよい。サービス設定情報を脆弱性判定装置40に送信するタイミングは、例えば、構成情報取得部22による構成情報の送信の直前又は直後とすればよい。 Service setting acquiring unit 24 has a function of writing the service setting information storage unit 23 obtains the software name software related service configuration running actually in the computer 20 1 as the service setting information, in the service setting information storage unit 23 And a function of transmitting service setting information to the vulnerability determination device 40. Here, in general, the service setting information, the setting for starting the service is recorded in advance in the electronic calculator 20 1. The service setting acquisition unit 24 acquires, for example, the software name of software that is waiting for an open port as service setting information. Alternatively, a software name indicating software that is currently activated or a software name indicating software that is activated when a specific port is accessed may be acquired as service setting information. The timing for transmitting the service setting information to the vulnerability determination device 40 may be, for example, immediately before or after the transmission of the configuration information by the configuration information acquisition unit 22.

脆弱性情報公開サイト装置30は、各種ソフトウェアについての脆弱性情報を公開するサイトであり、内部に脆弱性情報を保持し、この脆弱性情報を外部に公開している。外部への公開手段は、例えば、ネットワーク経由で公開する手法や、CD−ROMなどの記憶媒体を送付して公開する手法など、一般的な任意の手法が使用可能となっている。但し、ここではネットワーク経由で公開する手法を用いている。なお、このような脆弱性公開サイト装置30は複数が存在しても構わない。   The vulnerability information disclosure site device 30 is a site that discloses vulnerability information about various software, holds vulnerability information therein, and discloses this vulnerability information to the outside. As an external disclosure means, for example, a general arbitrary method such as a method of publishing via a network or a method of sending and publishing a storage medium such as a CD-ROM can be used. However, here, a method of publicizing via a network is used. A plurality of such vulnerability disclosure site devices 30 may exist.

また、脆弱性情報公開サイト装置30は、ウインドウズ(登録商標)・アップデートのサイト等のように、ソフトウェアメーカが運営して自社のソフトウェアの脆弱性情報を公開するサイトを想定している。しかし、これに限らず、IPAのような第三者が運営するサイトでもよく、特に限定されない。また、脆弱性情報公開サイト装置30は、脆弱性判定装置40を運営する会社に対し、同一の会社又は異なる会社のいずれに運営されていてもよい。これらの場合、脆弱性判定装置40が外部の脆弱性情報公開サイト装置30から脆弱性情報を収集することになる。   Further, the vulnerability information disclosure site device 30 is assumed to be a site that is operated by a software manufacturer and discloses vulnerability information of its software, such as a Windows (registered trademark) update site. However, the present invention is not limited to this and may be a site operated by a third party such as IPA, and is not particularly limited. Further, the vulnerability information disclosure site device 30 may be operated by either the same company or a different company with respect to the company that operates the vulnerability determination device 40. In these cases, the vulnerability determination device 40 collects vulnerability information from the external vulnerability information disclosure site device 30.

ここで、脆弱性情報公開サイト装置30は、具体的には、脆弱性情報記憶部31及び脆弱性情報管理部32を備えている。   Here, the vulnerability information disclosure site device 30 specifically includes a vulnerability information storage unit 31 and a vulnerability information management unit 32.

脆弱性情報記憶部31は、脆弱性情報管理部32から読出/書込可能な記憶装置であり、図4に示すように、脆弱性情報を記憶している。脆弱性情報は、脆弱性をもつ各ソフトウェアを示す各ソフトウェア名及び各対象バージョン番号が記されている。脆弱性情報におけるソフトウェア名と対象バージョン番号の組合せは、ソフトウェアの種類を特定するためのものであって、バージョン番号のほかにソフトウェアのバイナリのハッシュ値など、ソフトウェアの種類を特定するための情報であれば、他の組合せでも構わない。また、対象バージョン番号は、特定のバージョン番号を必ずしも記載する必要はなく、バージョン番号の範囲を記載しても構わない。   The vulnerability information storage unit 31 is a storage device that can be read / written from the vulnerability information management unit 32, and stores vulnerability information as shown in FIG. In the vulnerability information, each software name indicating each software having a vulnerability and each target version number are written. The combination of the software name and the target version number in the vulnerability information is for identifying the type of software. In addition to the version number, it is information for identifying the type of software such as the hash value of the software binary. Other combinations are possible as long as they are present. Further, the target version number does not necessarily have to describe a specific version number, and may describe a range of version numbers.

脆弱性情報管理部32は、脆弱性情報公開サイト装置30のサイト管理者の操作により、脆弱性情報記憶部31内の脆弱性情報を更新する機能と、脆弱性情報記憶部31内の脆弱性情報を公開する機能とをもっている。   The vulnerability information management unit 32 has a function of updating vulnerability information in the vulnerability information storage unit 31 and a vulnerability in the vulnerability information storage unit 31 by the operation of the site administrator of the vulnerability information disclosure site device 30. It has a function to disclose information.

脆弱性判定装置40は、脆弱性情報取得部41、脆弱性情報記憶部42、構成情報要求部43、構成情報記憶部44、マッチング部45及び影響度判定部46を備えている。   The vulnerability determination device 40 includes a vulnerability information acquisition unit 41, a vulnerability information storage unit 42, a configuration information request unit 43, a configuration information storage unit 44, a matching unit 45, and an influence level determination unit 46.

脆弱性情報取得部41は、例えば、脆弱性情報公開サイト装置30の更新頻度に準じ、脆弱性情報公開サイト装置30から脆弱性情報を取得して脆弱性情報記憶部42に書き込む機能をもっている。   The vulnerability information acquisition unit 41 has a function of acquiring vulnerability information from the vulnerability information disclosure site device 30 and writing it in the vulnerability information storage unit 42 according to, for example, the update frequency of the vulnerability information disclosure site device 30.

脆弱性情報記憶部42は、脆弱性情報取得部41から書込可能でマッチング部45から読出可能な記憶装置であり、脆弱性情報が記憶される。   The vulnerability information storage unit 42 is a storage device that can be written from the vulnerability information acquisition unit 41 and can be read from the matching unit 45, and stores vulnerability information.

構成情報要求部43は、電子計算機20に構成情報を要求する機能と、この要求により、電子計算機20から取得した構成情報を構成情報記憶部44に書き込む機能とをもっている。 Configuration information requesting unit 43 has a function of requesting the configuration information to the computer 20 1, this request, and a function of writing the acquired configuration information from the computer 20 1 in the configuration information storage unit 44.

構成情報記憶部44は、構成情報要求部43から書込可能でマッチング部45から読出可能な記憶装置であり、構成情報が記憶される。   The configuration information storage unit 44 is a storage device that can be written from the configuration information request unit 43 and can be read from the matching unit 45, and stores configuration information.

マッチング部45は、構成情報記憶部44内の構成情報と脆弱性情報記憶部42内の脆弱性情報とを照合する機能と、この照合により、構成情報記憶部44内の構成情報に対し、脆弱性情報記憶部42内の脆弱性情報との関連を有するか否かを判定する機能と、この判定の結果、図5に示すように、当該脆弱性情報との関連を有する構成情報を影響度判定部46に送出する機能とをもっている。   The matching unit 45 has a function of collating the configuration information in the configuration information storage unit 44 with the vulnerability information in the vulnerability information storage unit 42, and the configuration information in the configuration information storage unit 44 is weakened by this verification. A function for determining whether or not there is a relationship with vulnerability information in the sex information storage unit 42, and, as a result of this determination, as shown in FIG. And a function for sending to the determination unit 46.

影響度判定部46は、マッチング部45から送出された構成情報に対し、電子計算機20から取得したサービス設定情報との関連を有するか否かを判定する機能と、この判定の結果、当該サービス設定情報との関連を有する構成情報を出力する機能とをもっている。出力された構成情報は、他の電子計算機にサービスを提供するサーバ装置を管理するシステム管理者を置いているときは、図示しないシステム管理者の端末に通知される。 Impact determination unit 46, with respect to configuration information sent from the matching unit 45, and a function of determining whether or not having an association with the acquired service setting information from the computer 20 1, the result of this determination, the service And a function for outputting configuration information related to the setting information. The output configuration information is notified to a system administrator's terminal (not shown) when a system administrator who manages a server device that provides services to other electronic computers is placed.

次に、以上のように構成された脆弱性判定装置及びその周辺構成の動作を説明する。   Next, the operation of the vulnerability determination device configured as described above and its peripheral configuration will be described.

いま、脆弱性情報公開サイト装置30によって、脆弱性情報が公開されているとする。   Now, it is assumed that vulnerability information is disclosed by the vulnerability information disclosure site device 30.

脆弱性判定装置40においては、脆弱性情報取得部41が、脆弱性情報公開サイト装置30から脆弱性情報を取得して脆弱性情報記憶部42に書き込む。   In the vulnerability determination device 40, the vulnerability information acquisition unit 41 acquires vulnerability information from the vulnerability information disclosure site device 30 and writes it in the vulnerability information storage unit 42.

また、脆弱性判定装置40においては、構成情報要求部43が電子計算機20に構成情報を要求する。 Further, the vulnerability determination apparatus 40, the configuration information requesting unit 43 requests the configuration information to the computer 20 1.

電子計算機20は、この要求により、構成情報取得部22が構成情報記憶部21内の構成情報を脆弱性判定装置40に返信する。 Computer 20 1, this request, the configuration information acquisition unit 22 sends back the configuration information in the configuration information storage unit 21 in the vulnerability determination apparatus 40.

脆弱性判定装置40においては、構成情報要求部43が、電子計算機20から取得した構成情報を構成情報記憶部44に書き込む。 In vulnerability determination apparatus 40, the configuration information request unit 43 writes the acquired configuration information from the computer 20 1 in the configuration information storage unit 44.

マッチング部45は、構成情報記憶部44内の構成情報と脆弱性情報記憶部42内の脆弱性情報とを照合することにより、構成情報記憶部44内の構成情報に対し、脆弱性情報記憶部42内の脆弱性情報との関連を有するか否かを判定する。   The matching unit 45 collates the configuration information in the configuration information storage unit 44 with the vulnerability information in the vulnerability information storage unit 42, thereby matching the configuration information in the configuration information storage unit 44 with the vulnerability information storage unit. It is determined whether or not there is an association with the vulnerability information in 42.

また、マッチング部45は、この判定の結果、当該脆弱性情報との関連を有する構成情報を影響度判定部46に送出する。この例では、図2に示した構成情報のうち、ソフトウェア名“rpcbind”、“httpd”、“sshd”が図4に示した脆弱性情報に含まれるため、当該ソフトウェア名“rpcbind”、“httpd”、“sshd”との関連を有する構成情報が影響度判定部46に送出される。   In addition, as a result of this determination, the matching unit 45 sends configuration information having an association with the vulnerability information to the impact determination unit 46. In this example, since the software names “rpcbind”, “httpd”, and “sshd” in the configuration information shown in FIG. 2 are included in the vulnerability information shown in FIG. 4, the software names “rpcbind” and “httpd” “,“ Sshd ”and related information is sent to the influence determination unit 46.

影響度判定部46は、送出された構成情報に対し、電子計算機20から取得したサービス設定情報との関連を有するか否かを判定し、この判定の結果、当該サービス設定情報との関連を有する構成情報を出力する。この例では、図5に示したマッチング部46の出力のうち、ソフトウェア名“rpcbind”、“httpd”、“sshd”が図3に示したサービス設定情報に含まれるため、当該ソフトウェア名“rpcbind”、“httpd”、“sshd” との関連を有する構成情報が影響度判定部46から出力される。すなわち、この例では、マッチング部46の出力と、影響度判定部46の出力とは同じものとなる。 Impact determination unit 46, with respect to configuration information sent, it is determined whether or not having an association with the acquired service setting information from the computer 20 1, the result of this determination, the relationship between the service setting information The configuration information it has is output. In this example, among the outputs of the matching unit 46 shown in FIG. 5, the software names “rpcbind”, “httpd”, and “sshd” are included in the service setting information shown in FIG. 3, and therefore the software name “rpcbind”. , “Httpd” and “sshd” are output from the influence determination unit 46. That is, in this example, the output of the matching unit 46 and the output of the influence degree determination unit 46 are the same.

この出力結果を、例えば、システム管理者へ通知することにより、システム管理者は電子計算機20にインストールされている脆弱性を持つソフトウェアのうち、ソフトウェア名“rpcbind”、“httpd”、“sshd”のソフトウェアだけが実際に動作していることを確認でき、これらのソフトウェアにだけ対策を採ればよいことが分かるので、管理の手間を削減することができる。 The output result, for example, by notifying the system administrator, the system administrator of the software with the vulnerability that is installed in the computer 20 1, software name "rpcbind", "httpd", "sshd" It can be confirmed that only the software is actually operating, and it can be seen that it is necessary to take measures only for these software, so that the management effort can be reduced.

上述したように本実施形態によれば、脆弱性情報との関連を有する構成情報に対し、電子計算機から取得したサービス設定情報との関連を有するか否かを判定する。そして、この判定の結果、サービス設定情報との関連を有する構成情報を出力する構成により、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定でき、効率よく安全性を向上することができる。   As described above, according to the present embodiment, it is determined whether or not the configuration information having the association with the vulnerability information has the association with the service setting information acquired from the electronic computer. As a result of the determination, the configuration that outputs the configuration information related to the service setting information can determine only the software whose vulnerability information has been disclosed that has a high impact on the safety of the electronic computer. , Can improve the safety efficiently.

(第2の実施形態)
図6は本発明の第2の実施形態に係る脆弱性判定装置及びその周辺構成を示すブロック図であり、図1と略同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の実施形態も同様にして重複した説明を省略する。 (Second Embodiment)
FIG. 6 is a block diagram showing a vulnerability determination device and its peripheral configuration according to the second embodiment of the present invention. The same reference numerals are given to the substantially same parts as those in FIG. Then, the different parts are mainly described. In the following embodiments, the same description is omitted.

すなわち、本実施形態は、サービス設定されたソフトウェアについて脆弱性を判定した第1の実施形態の変形例であり、より詳しい判定を行う観点から、サービス設定されたソフトウェアとその依存関係にあるソフトウェアとの両者について、脆弱性情報に高い影響を受けるソフトウェアを判定する構成となっている。   That is, this embodiment is a modification of the first embodiment in which the vulnerability is determined for the software for which the service is set. From the viewpoint of performing a more detailed determination, the software for which the service is set and the software having the dependency relationship between In both cases, software that is highly influenced by vulnerability information is determined.

これに伴って、電子計算機20は、依存関係取得部25を更に備えている。また、脆弱性判定装置40は、前述した影響度判定部46に代えて、影響度判定部47を備えている。 Along with this, the computer 20 1 is further provided with a dependency acquisition section 25. The vulnerability determination device 40 includes an influence degree determination unit 47 instead of the influence degree determination unit 46 described above.

ここで、依存関係取得部25は、サービス設定取得部24により取得されたサービス設定情報が示す各ソフトウェアに対して、依存関係のある各ソフトウェアを示す、各ソフトウェア名からなる依存関係情報を取得する機能と、この依存関係情報を脆弱性判定装置40に送信する機能とをもっている。ここで、依存関係情報を脆弱性判定装置40に送信するタイミングは、例えば、構成情報取得部22による構成情報の送信の直前又は直後とすればよい。   Here, the dependency relationship acquisition unit 25 acquires dependency relationship information including each software name indicating each software having a dependency relationship with respect to each software indicated by the service setting information acquired by the service setting acquisition unit 24. A function and a function of transmitting the dependency relationship information to the vulnerability determination device 40. Here, the timing at which the dependency relationship information is transmitted to the vulnerability determination device 40 may be, for example, immediately before or immediately after the configuration information acquisition unit 22 transmits the configuration information.

一方、影響度判定部47は、マッチング部45から送出された構成情報に対し、電子計算機20から取得した依存関係情報との関連を有するか否かを判定する機能と、この判定の結果、当該依存関係情報との関連を有する構成情報を出力する機能とをもっている。出力された構成情報は、他の電子計算機にサービスを提供するサーバ装置を管理するシステム管理者を置いているときは、図示しないシステム管理者の端末に通知される。 On the other hand, the influence degree determination unit 47, with respect to configuration information sent from the matching unit 45, and a function of determining whether or not having an association with the acquired dependency information from the computer 20 1, the result of this determination, And a function for outputting configuration information having an association with the dependency relationship information. The output configuration information is notified to a system administrator's terminal (not shown) when a system administrator who manages a server device that provides services to other electronic computers is placed.

次に、以上のように構成された脆弱性判定装置及びその周辺構成の動作を説明する。   Next, the operation of the vulnerability determination device configured as described above and its peripheral configuration will be described.

いま、脆弱性情報公開サイト装置30は、前述同様に、脆弱性情報を公開しているとする。また、脆弱性判定装置40においては、前述同様に、脆弱性情報取得部41、構成情報要求部43及びマッチング部45が順次処理を実行し、マッチング部45が、脆弱性情報との関連を有する構成情報を影響度判定部47に送出したとする。   Now, it is assumed that the vulnerability information disclosure site device 30 discloses vulnerability information as described above. In the vulnerability determination device 40, as described above, the vulnerability information acquisition unit 41, the configuration information request unit 43, and the matching unit 45 sequentially execute processing, and the matching unit 45 has an association with vulnerability information. Assume that the configuration information is sent to the influence determination unit 47.

一方、電子計算機20においては、サービス設定取得部24が、サービス設定情報記憶部23内のサービス設定情報を依存関係取得部25に送出する。 On the other hand, in the computer 20 1, the service setting acquisition unit 24 supplies the service configuration information in the service setting information storage unit 23 in dependency acquisition section 25.

依存関係取得部25は、図7に示すように、サービス設定情報としてソフトウェア名が入力されると(ST1)、このソフトウェア名に対して依存関係にあるソフトウェアを走査する(ST2)。この走査は、例えば、OSに予めインストールされているソフトウェアパッケージ管理機能を用いて実行する。   As shown in FIG. 7, when the software name is input as the service setting information (ST1), the dependency relationship acquisition unit 25 scans software having a dependency relationship with the software name (ST2). This scanning is executed using, for example, a software package management function installed in advance in the OS.

走査の結果、依存関係にあるソフトウェアが検出された場合(ST3:NO)には、当該検出されたソフトウェアに対して、依存関係にあるソフトウェアを走査する。このステップST2からST3までの処理を依存関係が検出されなくなるまで再帰的に実行することにより、入力したソフトウェアと依存関係にある全てのソフトウェアを検出してそのソフトウェア名を取得することができる。依存関係にあるソフトウェアが無い場合(ST3:YES)には、依存関係取得部25は、図8に示すように、依存関係にあるソフトウェアのソフトウェア名を一覧して示す依存関係情報を取得する(ST4)。   As a result of scanning, when software having a dependency relationship is detected (ST3: NO), software having a dependency relationship is scanned with respect to the detected software. By executing the processes from step ST2 to ST3 recursively until no dependency is detected, all software having dependency with the input software can be detected and the software name can be acquired. If there is no software in the dependency relationship (ST3: YES), the dependency relationship acquisition unit 25 acquires dependency relationship information that lists the software names of the software in the dependency relationship as shown in FIG. ST4).

この依存関係情報の例では、ソフトウェア名“Expat”のソフトウェアは、ソフトウェア名“Expat−Devel”、“Avahi”に依存している。また、ソフトウェア名“rpcbind”のソフトウェアは、ソフトウェア名“ypbind”、“yptools”、“nfs−utils”の各ソフトウェアに依存している。また、ソフトウェア名“httpd”のソフトウェアは、ソフトウェア名“mod_ssl”、“gnome−user−share”、“mod_python”の各ソフトウェアに依存している。また、ソフトウェア名“ssh”のソフトウェアは、依存するソフトウェアが存在しないことが分かる。   In the example of the dependency relationship information, the software with the software name “Expat” depends on the software names “Expat-Level” and “Avahi”. The software with the software name “rpcbind” depends on the software with the software names “ypbind”, “yptools”, and “nfs-utils”. The software with the software name “httpd” depends on the software names “mod_ssl”, “gnome-user-share”, and “mod_python”. Further, it can be seen that there is no dependent software for the software name “ssh”.

依存関係取得部25は、ステップST4で取得した依存関係情報を脆弱性判定装置40に送信する。   The dependency relationship acquisition unit 25 transmits the dependency relationship information acquired in step ST4 to the vulnerability determination device 40.

脆弱性判定装置40においては、影響度判定部47が、マッチング部45から送出された構成情報に対し、電子計算機20から取得した依存関係情報との関連を有するか否かを判定し、この判定の結果、当該依存関係情報との関連を有する構成情報を出力する。 In vulnerability determination apparatus 40, the influence degree determination unit 47, with respect to configuration information sent from the matching unit 45 determines whether it has an association with the acquired dependency information from the computer 20 1, this As a result of the determination, configuration information having an association with the dependency relationship information is output.

上述したように本実施形態によれば、第1の実施形態の効果に加え、依存関係にあるソフトウェアの分だけ、より詳しい脆弱性判定を行うことができる。   As described above, according to the present embodiment, in addition to the effects of the first embodiment, more detailed vulnerability determination can be performed by the amount of software having a dependency relationship.

補足すると、本実施形態は、ソフトウェアの依存関係に基づいて、より正確な脆弱性情報を出力できる。一般に、ソフトウェアが動作するためには、別のソフトウェアが必要になる。このような依存関係を保持しているOSも多い。例えば、サービスAを提供するソフトウェアAが、ソフトウェアBに依存している場合、ソフトウェアBに脆弱性があれば、サービスAを介してソフトウェアBの脆弱性を突かれる可能性がある。   Supplementally, the present embodiment can output more accurate vulnerability information based on software dependency. Generally, in order for software to operate, another software is required. Many OSs maintain such dependency relationships. For example, when the software A that provides the service A depends on the software B, if the software B has a vulnerability, the vulnerability of the software B may be exploited via the service A.

これに対し、本実施形態によれば、各ソフトウェア間の依存関係情報に基づいて、より正確な脆弱性情報を出力することができる。   On the other hand, according to this embodiment, more accurate vulnerability information can be output based on the dependency relationship information between the softwares.

(第3の実施形態)
図9は本発明の第3の実施形態に係る脆弱性判定装置及びその周辺構成を示すブロック図である。 (Third embodiment)
FIG. 9 is a block diagram showing a vulnerability determination device and its peripheral configuration according to the third embodiment of the present invention.

本実施形態は、サービス設定されたソフトウェアについて脆弱性を判定した第1及び第2の実施形態の変形例であり、サービス設定されたソフトウェアのログインの要否に基づいて、脆弱性情報に高い影響度をもつソフトウェアを影響度と共に、通知する構成となっている。   This embodiment is a modification of the first and second embodiments in which the vulnerability is determined for the software for which the service is set, and the vulnerability information is highly influenced based on whether or not the login for the software for which the service is set is necessary. It is configured to notify the software with the degree of influence along with the degree of influence.

ここで、ソフトウェアの脆弱性の種類について補足する。脆弱性には大きく分けて2つのタイプがある。   Here, it supplements about the kind of vulnerability of software. There are two main types of vulnerabilities.

1つ目は、そのソフトウェアが提供しているサービスがネットワーク経由で利用可能でさえあれば、脆弱性が問題となるタイプである。具体的には、脆弱性を突くためにログインなどのユーザ認証を必要としないタイプである。このタイプの脆弱性は、ソフトウェアの利用権限の無いユーザでも攻撃可能であるので、影響度が高いといえる。   The first is a type in which vulnerability becomes a problem as long as the service provided by the software is available via the network. Specifically, it is a type that does not require user authentication such as login in order to exploit the vulnerability. This type of vulnerability can be attacked even by users who do not have the authority to use software, so it can be said that the impact is high.

2つ目は、そのソフトウェアが提供しているサービスが利用不可能であることから、脆弱性が問題とならないタイプである。具体的には、脆弱性を突くためにログインなどのユーザ認証を必要とするタイプである。このタイプの脆弱性は、ソフトウェアの利用権限の無いユーザからは攻撃できないので、影響度が低いといえる。   The second is a type in which the vulnerability is not a problem because the service provided by the software is not available. Specifically, it is a type that requires user authentication such as login in order to exploit the vulnerability. This type of vulnerability cannot be attacked by users who do not have the authority to use software, so it can be said that the degree of impact is low.

すなわち、本実施形態は、“脆弱性をもつ各ソフトウェアに関して当該脆弱性を攻撃するためにログインなどのユーザ認証が必要か否か”を示すログイン要否情報を、脆弱性情報記憶部31’内の脆弱性情報が更に含んでいる場合に、このログイン要否情報を考慮して脆弱性の影響度を判定するものである。   That is, in the present embodiment, login necessity information indicating whether or not user authentication such as login is necessary for attacking the vulnerability with respect to each piece of vulnerable software is stored in the vulnerability information storage unit 31 ′. When the vulnerability information further includes, the influence degree of the vulnerability is determined in consideration of the login necessity information.

これに伴い、脆弱性情報取得部41が取得して脆弱性情報記憶部42に書き込む脆弱性情報は、図10に示すように、ログイン要否情報としての脆弱性タイプを含む内容となる。図10中、脆弱性タイプは、ソフトウェア名“rpcbind”,“httpd”の各ソフトウェアについてはログインを必要としない脆弱性タイプ(NETWORKと表記)であり、ソフトウェア名“sshd”のソフトウェアについてはログインを必要とする脆弱性タイプ(ここではLOGINと表記)であることを表している。   Accordingly, the vulnerability information acquired by the vulnerability information acquisition unit 41 and written in the vulnerability information storage unit 42 has contents including a vulnerability type as login necessity information as shown in FIG. In FIG. 10, the vulnerability type is a vulnerability type (noted as NETWORK) that does not require login for each of software names “rpcbind” and “httpd”, and login for software name “sshd”. This indicates that the vulnerability type is required (indicated here as LOGIN).

また、電子計算機20は、サービスユーザ対応リスト記憶部26及びサービス利用ユーザ数取得部27を更に備えている。 Further, the computer 20 1 further comprises a service user correspondence list storage unit 26 and the service user number obtaining unit 27.

サービスユーザ対応リスト記憶部26は、サービス設定情報内のソフトウェア名と当該ソフトウェア名のソフトウェアを利用するユーザとを示すサービスユーザ対応リスト(リスト情報)を保持する記憶装置である。なお、本実施形態の電子計算機20は、他の電子計算機(クライアント端末)にサービスを提供するサーバ装置を想定している。一般的に電子計算機がサービスを提供する場合には、サービス毎に、そのサービスを受けられるユーザを記載したサービスユーザ対応リストを保持している。 The service user correspondence list storage unit 26 is a storage device that holds a service user correspondence list (list information) indicating software names in the service setting information and users who use the software with the software names. Incidentally, the computer 20 of the present embodiment is assumed to be a server device that provides services to other computer (the client terminal). Generally, when an electronic computer provides a service, for each service, a service user correspondence list describing users who can receive the service is held.

サービス利用ユーザ数取得部27は、サービスユーザ対応リストに基づいて、ソフトウェア名毎にユーザ数を示すサービス利用ユーザ数(ユーザ数情報)を取得する機能と、このサービス利用ユーザ数を脆弱性判定装置40に送信する機能とをもっている。   The service use user number acquisition unit 27 acquires a service use user number (user number information) indicating the number of users for each software name based on the service user correspondence list, and uses this service use user number as a vulnerability determination device. 40 and a function to transmit to 40.

サービス利用ユーザ数は、サービス利用ユーザ数取得部27が、サービス毎に存在するサービスユーザ対応リストの内容を読み込み、サービス対応ユーザリストに記載されたユーザをカウントして取得される。取得されたサービス利用ユーザ数は、例えば図11に示すように、ソフトウェア名“sshd”のソフトウェアの利用者が15人であり、ソフトウェア名“vsftpd”のソフトウェアの利用者が50人である場合を示している。   The number of service use users is acquired by the service use user number acquisition unit 27 reading the contents of the service user correspondence list existing for each service and counting the users described in the service correspondence user list. For example, as shown in FIG. 11, the acquired number of service users is a case where there are 15 software users with the software name “sshd” and 50 software users with the software name “vsftpd”. Show.

サービス利用ユーザ数を脆弱性判定装置40に送信するタイミングは、例えば、依存関係取得部25による依存関係情報の送信の直前又は直後とすればよい。   The timing at which the number of service users is transmitted to the vulnerability determination device 40 may be, for example, immediately before or immediately after the dependency relationship information is transmitted by the dependency relationship acquisition unit 25.

一方、影響度判定部47’は、前述した影響度判定部47に代えて、マッチング部45から送出された構成情報に対し、電子計算機20から取得した依存関係情報との関連を有するか否かを判定する機能と、この判定の結果、当該依存関係情報との関連を有する構成情報に対し、電子計算機20から取得したユーザ数情報が所定ユーザ数以上の場合又は脆弱性情報記憶部42内の脆弱性タイプ(ログイン要否情報)がログインの必要を示す場合に高い値となるように影響度(脆弱性影響度)を算出する機能と、算出した影響度及び依存関係情報との関連を有する構成情報内のソフトウェア名を互いに関連付けて出力する機能とをもっている。 On the other hand, if the influence degree determination unit 47 ', instead of the effect degree determination unit 47 described above, with respect to configuration information sent from the matching unit 45, having an association with the acquired dependency information from the computer 20 1 not a function of determining whether, as a result of the determination, the dependency to the configuration information having associated with related information, the computer 20 if one user number information acquired from the above predetermined number user or vulnerability information storage unit 42 Relationship between the function that calculates the impact level (vulnerability impact level) so that the vulnerability type (login necessity information) indicates a high value when login is necessary, and the calculated impact level and dependency information And a function for outputting the software names in the configuration information associated with each other.

ここで、例えば、影響度を1〜100の数値で表現し、影響度はユーザ数に比例すると仮定する。ユーザ数が100人以上の場合、ログイン処理の必要なしに脆弱性を突けることと同等に、影響度が大きいと仮定する。なお、ログインが必要ない脆弱性の影響度は影響度の最大値である100と仮定する。この仮定における影響度判定部47’の出力の一例を図12に示す。例えば、ソフトウェア名“sshd”のソフトウェアは、ユーザ数が15人なので、影響度が15となる。ソフトウェア名“rpcbind”,“httpd”の各ソフトウェアは、ログイン処理の必要なしに脆弱性を突けるため、影響度が100となる。なお、ソフトウェア名“vsftp”のソフトウェアは、脆弱性情報が未公開なので、脆弱性の評価対象にはならない。   Here, for example, it is assumed that the degree of influence is expressed by a numerical value of 1 to 100, and the degree of influence is proportional to the number of users. When the number of users is 100 or more, it is assumed that the degree of influence is as large as exploiting the vulnerability without the need for login processing. It is assumed that the impact level of the vulnerability that does not require login is 100, which is the maximum impact level. An example of the output of the influence determination unit 47 'under this assumption is shown in FIG. For example, the software with the software name “sshd” has 15 users and thus has an impact level of 15. The software names “rpcbind” and “httpd” have a degree of influence of 100 because they exploit the vulnerability without the need for login processing. Note that the software with the software name “vsftp” is not subject to vulnerability assessment because vulnerability information has not been disclosed.

次に、以上のように構成された脆弱性判定装置及びその周辺構成の動作を説明する。   Next, the operation of the vulnerability determination device configured as described above and its peripheral configuration will be described.

いま、脆弱性情報公開サイト装置30は、脆弱性タイプを含む脆弱性情報を公開しているとする。また、脆弱性判定装置40においては、前述同様に、脆弱性情報取得部41、構成情報要求部43及びマッチング部45が順次処理を実行し、マッチング部45が、脆弱性情報との関連を有する構成情報を影響度判定部47’に送出したとする。   Now, it is assumed that the vulnerability information disclosure site device 30 discloses vulnerability information including a vulnerability type. In the vulnerability determination device 40, as described above, the vulnerability information acquisition unit 41, the configuration information request unit 43, and the matching unit 45 sequentially execute processing, and the matching unit 45 has an association with vulnerability information. Assume that the configuration information is sent to the influence determination unit 47 ′.

一方、電子計算機20においては、前述同様に、依存関係取得部25が依存関係情報を取得して脆弱性判定装置40に送信する。 On the other hand, in the computer 20 1, as before, the dependency acquisition section 25 acquires dependency information to send the vulnerability determination apparatus 40.

また、電子計算機20においては、サービス利用ユーザ数取得部27が、サービスユーザ対応リスト記憶部26内のサービスユーザ対応リストに基づいて、ソフトウェア名毎にユーザ数を示すサービス利用ユーザ数を取得し、このサービス利用ユーザ数を脆弱性判定装置40に送信する。 In the computer 20 1, the service user number obtaining unit 27, the service based on the user service user correspondence list in the corresponding list in the storage unit 26, acquires the number of services available to users indicating the number of users for each software name The number of users using the service is transmitted to the vulnerability determination device 40.

一方、脆弱性判定装置40においては、影響度判定部47’が、マッチング部45から送出された構成情報に対し、電子計算機20から取得した依存関係情報との関連を有するか否かを判定する。 On the other hand, the vulnerability determination apparatus 40, the influence degree determination unit 47 'is, with respect to configuration information sent from the matching unit 45, whether or not having an association with the acquired dependency information from the computer 20 first determination To do.

また、影響度判定部47’は、この判定の結果、当該依存関係情報との関連を有する構成情報に対し、電子計算機20から取得したユーザ数情報が所定ユーザ数以上の場合又は脆弱性情報記憶部42内の脆弱性タイプがログインの必要を示す場合に高い値となるように影響度を算出する。 Further, the influence degree determination unit 47 'as a result of the determination, to the configuration information having an association with the dependency information, if the user number information acquired from the computer 20 1 is the predetermined number or more users or vulnerability information The degree of influence is calculated so that the vulnerability type in the storage unit 42 becomes a high value when the necessity of login is indicated.

しかる後、影響度判定部47’は、算出した影響度と、依存関係情報との関連を有する構成情報内のソフトウェア名とを互いに関連付けて出力する。   Thereafter, the influence degree determination unit 47 'outputs the calculated influence degree and the software name in the configuration information having the relation with the dependency relationship information in association with each other.

上述したように本実施形態によれば、第2の実施形態の効果に加え、ログイン要否情報としての脆弱性タイプに基づき、影響度の大きさを正確に把握することができる。   As described above, according to the present embodiment, in addition to the effects of the second embodiment, the magnitude of the influence degree can be accurately grasped based on the vulnerability type as the login necessity information.

補足すると、ソフトウェアの脆弱性には、その脆弱性を突くために、予めユーザ認証が必要なものと、ユーザ認証が不要なものがある。予めユーザ認証が必要な脆弱性については、脆弱性を突ける人数が限られることから、ユーザ認証が不要な脆弱性に比べ、影響度が低い。本実施形態は、ユーザ認証が不要な脆弱性は影響度が高いという関係に基づき、より正確な脆弱性の影響度を算出することができる。   Supplementally, software vulnerabilities include those that require user authentication in advance and those that do not require user authentication in order to exploit the vulnerability. Vulnerabilities that require user authentication in advance are less affected than vulnerabilities that do not require user authentication because the number of vulnerabilities is limited. In the present embodiment, based on the relationship that the vulnerability that does not require user authentication has a high influence, it is possible to calculate a more accurate influence of the vulnerability.

なお、上記実施形態に記載した手法は、電子計算機に実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。   The method described in the above embodiment is a program that can be executed by an electronic computer as a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), optical disk (CD-ROM, DVD, etc.), magneto-optical disk ( MO), and can be stored and distributed in a storage medium such as a semiconductor memory.

また、この記憶媒体としては、プログラムを記憶でき、かつ電子計算機が読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。   In addition, as long as the storage medium can store a program and can be read by an electronic computer, the storage format may be any form.

また、記憶媒体から電子計算機にインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(Operating System)や、データベース管理ソフト、ネットワークソフト等のMW(Middleware)等が上記実施形態を実現するための各処理の一部を実行しても良い。   Further, an OS (Operating System) running on a computer based on an instruction of a program installed in a computer from a storage medium, MW (Middleware) such as database management software, network software, and the like realize the above-described embodiment. A part of each process may be executed.

さらに、本発明における記憶媒体は、電子計算機と独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。   Furthermore, the storage medium in the present invention is not limited to a medium independent of the electronic computer, but also includes a storage medium in which a program transmitted via a LAN or the Internet is downloaded and stored or temporarily stored.

また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。   Further, the number of storage media is not limited to one, and the case where the processing in the above embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.

尚、本発明における電子計算機は、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、PC等の1つからなる装置、複数の装置がネットワーク接続された情報システム等の何れの構成であっても良い。   The electronic computer according to the present invention executes each process in the above embodiment based on a program stored in a storage medium, and a single device such as a PC or a plurality of devices are connected to a network. Any configuration such as an information system may be used.

また、本発明における電子計算機とは、PCに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。   In addition, the electronic computer in the present invention is not limited to a PC, and includes a processing unit, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. Yes.

なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。   Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Moreover, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, you may combine the component covering different embodiment suitably.

本発明の第1の実施形態に係る脆弱性判定装置及びその周辺構成を示すブロック図である。It is a block diagram which shows the vulnerability determination apparatus which concerns on the 1st Embodiment of this invention, and its periphery structure. 同実施形態における構成情報取得部の出力内容を示す模式図である。It is a schematic diagram which shows the output content of the structure information acquisition part in the embodiment. 同実施形態におけるサービス設定取得部の出力内容を示す模式図である。It is a schematic diagram which shows the output content of the service setting acquisition part in the embodiment. 同実施形態における脆弱性情報公開サイト装置が公開する脆弱性情報の構成を示す模式図である。It is a schematic diagram which shows the structure of the vulnerability information which the vulnerability information disclosure site apparatus in the same embodiment discloses. 同実施形態における影響度判定部の出力内容を示す模式図である。It is a schematic diagram which shows the output content of the influence determination part in the embodiment. 本発明の第2の実施形態に係る脆弱性判定装置及びその周辺構成を示すブロック図である。It is a block diagram which shows the vulnerability determination apparatus which concerns on the 2nd Embodiment of this invention, and its periphery structure. 同実施形態における依存関係取得部の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of the dependence relationship acquisition part in the embodiment. 同実施形態における依存関係取得部の出力内容を示す模式図である。It is a schematic diagram which shows the output content of the dependence relationship acquisition part in the embodiment. 本発明の第3の実施形態に係る脆弱性判定装置及びその周辺構成を示すブロック図である。It is a block diagram which shows the vulnerability determination apparatus which concerns on the 3rd Embodiment of this invention, and its periphery structure. 同実施形態における脆弱性情報の構成を示す模式図である。It is a schematic diagram which shows the structure of the vulnerability information in the embodiment. 同実施形態におけるサービス利用ユーザ数取得部の出力内容を示す模式図である。It is a schematic diagram which shows the output content of the service utilization user number acquisition part in the embodiment. 同実施形態における影響度判定部の出力内容を示す模式図である。It is a schematic diagram which shows the output content of the influence determination part in the embodiment.

符号の説明Explanation of symbols

10…情報システム、20〜20…電子計算機、21…構成情報記憶部、22…構成情報取得部、23…サービス設定情報記憶部、24…サービス設定取得部、25…依存関係取得部、26…サービスユーザ対応リスト記憶部、27…サービス利用ユーザ数取得部、30…脆弱性情報公開サイト装置、31,31’…脆弱性情報記憶部、32…脆弱性情報管理部、40…脆弱性判定装置、41…脆弱性情報取得部、42…脆弱性情報記憶部、43…構成情報要求部、44…構成情報記憶部、45…マッチング部、46,47,47’…影響度判定部、 DESCRIPTION OF SYMBOLS 10 ... Information system, 20 < 1 > -20n ... Computer, 21 ... Configuration information storage part, 22 ... Configuration information acquisition part, 23 ... Service setting information storage part, 24 ... Service setting acquisition part, 25 ... Dependency acquisition part, 26 ... Service user correspondence list storage unit, 27 ... Service use user number acquisition unit, 30 ... Vulnerability information disclosure site device, 31, 31 '... Vulnerability information storage unit, 32 ... Vulnerability information management unit, 40 ... Vulnerability Determining device, 41 ... Vulnerability information acquisition unit, 42 ... Vulnerability information storage unit, 43 ... Configuration information request unit, 44 ... Configuration information storage unit, 45 ... Matching unit, 46, 47, 47 '... Impact determination unit,

Claims (4)

インストールされた複数のソフトウェアを示す各ソフトウェア名及び各バージョン情報からなる構成情報、並びに前記各ソフトウェア名のうちのサービス設定された各ソフトウェアの各ソフトウェア名を含むサービス設定情報を保持する手段と、脆弱性をもつ各ソフトウェアを示す各ソフトウェア名及び各対象バージョン情報からなる脆弱性情報を取得する手段と、前記脆弱性情報を記憶する手段と、前記構成情報を記憶する手段とを備えた脆弱性判定装置であって、
前記脆弱性情報を取得して、前記脆弱性情報を記憶する手段に前記脆弱性情報を書き込む手段、
前記サービス設定情報を保持する手段から前記構成情報を取得して、前記構成情報記憶手段に書き込む手段、
前記構成情報を記憶する手段内の前記構成情報に対し、前記脆弱性情報を記憶する手段内の前記脆弱性情報との関連を有するか否かを判定する手段、
この判定の結果、前記脆弱性情報との関連を有する前記構成情報に対し、前記サービス設定情報との関連を有するか否かを判定する手段、
この判定の結果、前記サービス設定情報との関連を有する前記構成情報を出力する手段、
を備えたことを特徴とする脆弱性判定装置。 Means for holding configuration information including each software name and version information indicating a plurality of installed software, and service setting information including each software name of each software for which service setting is included in each of the software names; Vulnerability determination comprising: means for acquiring vulnerability information including each software name and each target version information indicating each piece of software having security; means for storing the vulnerability information; and means for storing the configuration information A device,
Means for acquiring the vulnerability information and writing the vulnerability information in a means for storing the vulnerability information;
Means for acquiring the configuration information from the means for holding the service setting information and writing it into the configuration information storage means;
Means for determining whether the configuration information in the means for storing the configuration information has an association with the vulnerability information in the means for storing the vulnerability information;
As a result of this determination, means for determining whether or not the configuration information having an association with the vulnerability information has an association with the service setting information;
As a result of this determination, means for outputting the configuration information having an association with the service setting information,
Vulnerability determination apparatus characterized by comprising: インストールされた複数のソフトウェアを示す各ソフトウェア名及び各バージョン情報からなる構成情報、並びに前記各ソフトウェア名のうちのサービス設定された各ソフトウェアの各ソフトウェア名を含むサービス設定情報を保持する手段と、脆弱性をもつ各ソフトウェアを示す各ソフトウェア名及び各対象バージョン情報を含む脆弱性情報を取得する手段と、前記脆弱性情報を記憶する手段と、前記構成情報を記憶する手段を備えた脆弱性判定装置に用いられるプログラムであって、
前記脆弱性判定装置を、
前記脆弱性情報を取得して、前記脆弱性情報を記憶する手段に前記脆弱性情報を書き込む手段、
前記サービス設定情報を保持する手段から前記構成情報を取得して、前記構成情報記憶手段に書き込む手段、
前記構成情報を記憶する手段内の前記構成情報に対し、前記脆弱性情報を記憶する手段内の前記脆弱性情報との関連を有するか否かを判定する手段、
この判定の結果、前記脆弱性情報との関連を有する構成情報に対し、前記サービス設定情報との関連を有するか否かを判定する手段、
この判定の結果、前記サービス設定情報にとの関連を有する前記構成情報を出力する手段、
として機能させるためのプログラム。 Means for holding configuration information including each software name and version information indicating a plurality of installed software, and service setting information including each software name of each software for which service setting is included in each of the software names; Vulnerability determination apparatus comprising: means for acquiring vulnerability information including each software name and each target version information indicating each software having a property; means for storing the vulnerability information; and means for storing the configuration information A program used for
The vulnerability determination device;
Means for acquiring the vulnerability information and writing the vulnerability information in a means for storing the vulnerability information;
Means for acquiring the configuration information from the means for holding the service setting information and writing it into the configuration information storage means;
Means for determining whether the configuration information in the means for storing the configuration information has an association with the vulnerability information in the means for storing the vulnerability information;
As a result of this determination, means for determining whether or not the configuration information having an association with the vulnerability information has an association with the service setting information;
As a result of this determination, means for outputting the configuration information having an association with the service setting information,
Program to function as. 請求項2に記載のプログラムにおいて、
前記サービス設定情報を保持する手段は、前記サービス設定情報が示す各ソフトウェアと依存関係にある各ソフトウェアを示す各ソフトウェア名からなる依存関係情報を取得する機能を更に備えているおり、
前記サービス設定情報との関連を有するか否かを判定する手段及び前記サービス設定情報との関連を有する前記構成情報を出力する手段に代えて、
前記構成情報が前記サービス設定情報との関連を有するか否かの判定の結果、前記脆弱性情報との関連を有する前記構成情報に対し、前記サービス設定情報を保持する手段から取得した依存関係情報との関連を有するか否かを判定する手段、
この判定の結果、前記依存関係情報との関連を有する前記構成情報を出力する手段、
として前記脆弱性判定装置を機能させるためのプログラム。 The program according to claim 2,
The means for holding the service setting information further includes a function of acquiring dependency information composed of software names indicating software having a dependency relationship with software indicated by the service setting information,
Instead of means for determining whether or not there is an association with the service setting information and means for outputting the configuration information having an association with the service setting information,
As a result of determining whether or not the configuration information has an association with the service setting information, dependency information acquired from the means for holding the service setting information with respect to the configuration information having an association with the vulnerability information Means for determining whether or not there is an association with
As a result of this determination, means for outputting the configuration information having an association with the dependency relationship information,
As a program for causing the vulnerability determination apparatus to function. 請求項3に記載のプログラムにおいて、
前記サービス設定情報を保持する手段は、前記サービス設定情報内のソフトウェア名とこのソフトウェア名のソフトウェアを利用するユーザとを示すリスト情報を更に保持し、且つ前記リスト情報に基づいて前記ソフトウェア名毎に前記ユーザの数を示すユーザ数情報を取得する機能を更に備えており、
前記脆弱性情報としては、前記脆弱性をもつ各前記ソフトウェアに関して、この脆弱性を狙って攻撃するためにログインが必要か否かを示すログイン要否情報を更に含んでいる場合に、
前記依存関係情報との関連を有する前記構成情報を出力する手段に代えて、
前記依存関係情報が前記サービス設定情報との関連を有するか否かの判定の結果、前記依存関係情報との関連を有する構成情報に対し、前記サービス設定情報を保持する手段から取得した前記ユーザ数情報が所定ユーザ数以上の場合又は前記脆弱性情報を記憶する手段内のログイン要否情報がログインの必要を示す場合に、高い値となるように脆弱性影響度を算出する手段と、
前記算出した脆弱性影響度と、前記依存関係情報との関連を有する前記構成情報内のソフトウェア名とを互いに関連付けて出力する手段、
として前記脆弱性判定装置を機能させるためのプログラム。 In the program according to claim 3,
The means for holding the service setting information further holds list information indicating a software name in the service setting information and a user who uses the software of the software name, and for each software name based on the list information. It further includes a function of acquiring user number information indicating the number of users,
As the vulnerability information, for each piece of software having the vulnerability, when it further includes login necessity information indicating whether or not login is necessary in order to attack the vulnerability,
Instead of means for outputting the configuration information having a relation with the dependency relationship information,
As a result of determining whether or not the dependency relationship information has an association with the service setting information, the number of users acquired from the means for holding the service setting information with respect to configuration information having an association with the dependency relationship information Means for calculating the vulnerability impact level to be a high value when the information is a predetermined number of users or when the login necessity information in the means for storing vulnerability information indicates the necessity of login;
Means for associating and outputting the calculated vulnerability impact and the software name in the configuration information having an association with the dependency relationship information;
As a program for causing the vulnerability determination apparatus to function.
JP2008235465A 2008-09-12 2008-09-12 Vulnerability determination device and program Active JP4751431B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008235465A JP4751431B2 (en) 2008-09-12 2008-09-12 Vulnerability determination device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008235465A JP4751431B2 (en) 2008-09-12 2008-09-12 Vulnerability determination device and program

Publications (2)

Publication Number Publication Date
JP2010067216A true JP2010067216A (en) 2010-03-25
JP4751431B2 JP4751431B2 (en) 2011-08-17

Family

ID=42192712

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008235465A Active JP4751431B2 (en) 2008-09-12 2008-09-12 Vulnerability determination device and program

Country Status (1)

Country Link
JP (1) JP4751431B2 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012132125A1 (en) * 2011-03-30 2012-10-04 株式会社日立製作所 Vulnerability assessment system, vulnerability assessment method, and vulnerability assessment program
WO2013035181A1 (en) * 2011-09-08 2013-03-14 株式会社日立製作所 Vulnerability countermeasure device, and vulnerability countermeasure method
JP2015219665A (en) * 2014-05-15 2015-12-07 ゲヒルン株式会社 Vulnerability visualization server, vulnerability visualization method, and vulnerability visualization server program
JP2016513324A (en) * 2013-02-25 2016-05-12 ビヨンドトラスト・ソフトウェア・インコーポレーテッド System and method for risk-based rules for application control
CN109154966A (en) * 2016-06-23 2019-01-04 国际商业机器公司 Pregnable application program detection
KR101941039B1 (en) * 2018-05-29 2019-01-23 한화시스템(주) System and method for forecasting cyber threat
WO2019066222A1 (en) * 2017-09-29 2019-04-04 주식회사 인사이너리 Method and system for identifying open source software package on basis of binary file
WO2023149008A1 (en) 2022-02-01 2023-08-10 株式会社日立製作所 Computer system and method for analyzing impact of security risk
WO2023152880A1 (en) * 2022-02-10 2023-08-17 三菱電機株式会社 Vulnerability analysis device and vulnerabilty analysis method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003108521A (en) * 2001-09-29 2003-04-11 Toshiba Corp Fragility evaluating program, method and system
JP2006040196A (en) * 2004-07-30 2006-02-09 Hitachi Information & Control Systems Inc Software monitoring system and monitoring method
JP2006127422A (en) * 2004-11-01 2006-05-18 Ntt Docomo Inc Terminal controller and terminal control method
JP2009169781A (en) * 2008-01-18 2009-07-30 Hitachi Ltd Network quarantine system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003108521A (en) * 2001-09-29 2003-04-11 Toshiba Corp Fragility evaluating program, method and system
JP2006040196A (en) * 2004-07-30 2006-02-09 Hitachi Information & Control Systems Inc Software monitoring system and monitoring method
JP2006127422A (en) * 2004-11-01 2006-05-18 Ntt Docomo Inc Terminal controller and terminal control method
JP2009169781A (en) * 2008-01-18 2009-07-30 Hitachi Ltd Network quarantine system

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012132125A1 (en) * 2011-03-30 2012-10-04 株式会社日立製作所 Vulnerability assessment system, vulnerability assessment method, and vulnerability assessment program
JP2012208863A (en) * 2011-03-30 2012-10-25 Hitachi Ltd Vulnerability determination system, vulnerability determination method and vulnerability determination program
US9372995B2 (en) 2011-09-08 2016-06-21 Hitachi, Ltd. Vulnerability countermeasure device and vulnerability countermeasure method
JPWO2013035181A1 (en) * 2011-09-08 2015-03-23 株式会社日立製作所 Vulnerability countermeasure device and vulnerability countermeasure method
WO2013035181A1 (en) * 2011-09-08 2013-03-14 株式会社日立製作所 Vulnerability countermeasure device, and vulnerability countermeasure method
JP2016513324A (en) * 2013-02-25 2016-05-12 ビヨンドトラスト・ソフトウェア・インコーポレーテッド System and method for risk-based rules for application control
JP2015219665A (en) * 2014-05-15 2015-12-07 ゲヒルン株式会社 Vulnerability visualization server, vulnerability visualization method, and vulnerability visualization server program
CN109154966A (en) * 2016-06-23 2019-01-04 国际商业机器公司 Pregnable application program detection
CN109154966B (en) * 2016-06-23 2021-09-10 国际商业机器公司 Vulnerable application detection
WO2019066222A1 (en) * 2017-09-29 2019-04-04 주식회사 인사이너리 Method and system for identifying open source software package on basis of binary file
US10296326B2 (en) 2017-09-29 2019-05-21 Insignary Inc. Method and system for identifying open-source software package based on binary files
KR101941039B1 (en) * 2018-05-29 2019-01-23 한화시스템(주) System and method for forecasting cyber threat
WO2023149008A1 (en) 2022-02-01 2023-08-10 株式会社日立製作所 Computer system and method for analyzing impact of security risk
WO2023152880A1 (en) * 2022-02-10 2023-08-17 三菱電機株式会社 Vulnerability analysis device and vulnerabilty analysis method

Also Published As

Publication number Publication date
JP4751431B2 (en) 2011-08-17

Similar Documents

Publication Publication Date Title
JP4751431B2 (en) Vulnerability determination device and program
JP5830102B2 (en) Reputation check of acquired file
US8984593B2 (en) Securing asynchronous client server transactions
JP4939851B2 (en) Information processing terminal, secure device, and state processing method
JP6061364B2 (en) Cloud-assisted methods and services for application security verification
US9135433B2 (en) Identifying reputation and trust information for software
JP5460698B2 (en) Secure application streaming
US8595510B2 (en) Methods, apparatus and systems to improve security in computer systems
US8615801B2 (en) Software authorization utilizing software reputation
US9325695B2 (en) Token caching in trust chain processing
US20060212939A1 (en) Virtualization of software configuration registers of the TPM cryptographic processor
JP2005301550A (en) Device, program and method for measuring platform configuration, device, program and method for authenticating platform configuration, device, program and method for verifying platform configuration, and device, program and method for disclosing platform configuration
US20060294355A1 (en) Secure variable/image storage and access
US10181953B1 (en) Trusted data verification
US10783277B2 (en) Blockchain-type data storage
Gallery et al. Trusted computing: Security and applications
US20180150411A1 (en) Remote attestation model for secure memory applications
US11954007B2 (en) Tracking usage of common libraries by means of digitally signed digests thereof
US20240160779A1 (en) Privacy preserving application and device error detection
KR101305755B1 (en) Appatatus and method for filtering execution of script based on address
JP2023079303A (en) Information processing device

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110520

R150 Certificate of patent or registration of utility model

Ref document number: 4751431

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140527

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350