JP2017182272A - Information processing apparatus, information processing method and program - Google Patents

Information processing apparatus, information processing method and program Download PDF

Info

Publication number
JP2017182272A
JP2017182272A JP2016065697A JP2016065697A JP2017182272A JP 2017182272 A JP2017182272 A JP 2017182272A JP 2016065697 A JP2016065697 A JP 2016065697A JP 2016065697 A JP2016065697 A JP 2016065697A JP 2017182272 A JP2017182272 A JP 2017182272A
Authority
JP
Japan
Prior art keywords
component
information
countermeasure
unit
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016065697A
Other languages
Japanese (ja)
Other versions
JP6716995B2 (en
Inventor
宏仁 大脇
Hirohito Owaki
宏仁 大脇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2016065697A priority Critical patent/JP6716995B2/en
Publication of JP2017182272A publication Critical patent/JP2017182272A/en
Application granted granted Critical
Publication of JP6716995B2 publication Critical patent/JP6716995B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an information processing apparatus, an information processing method and a program which allow a countermeasure to be taken for components other than components managed by a prescribed manager, on the basis of an instruction from the manager in order to cope with the security risk of the components managed by the manager.SOLUTION: The information processing apparatus includes: a specifying unit which specifies a second component associated with a countermeasure against a security risk for a first component; an accepting unit which accepts instruction information of a countermeasure for the second component from a manager of the first component; and an execution unit which takes the countermeasure on the basis of the instruction information.SELECTED DRAWING: Figure 2

Description

本発明は、情報処理装置、情報処理方法、およびプログラムに関する。   The present invention relates to an information processing apparatus, an information processing method, and a program.

多くのシステムは、複数の構成要素から構成される。構成要素は例えばネットワークを構成するネットワーク装置と、当該ネットワークに接続された装置である。ネットワークに接続された装置は例えばプリンタやサーバ等である。ネットワークに接続された装置は、脆弱性や外部からのサイバー攻撃によって生じる脅威などに対するセキュリティ上の問題を有する。セキュリティ上の問題は、情報セキュリティリスク、又は、単にセキュリティリスクとも呼ばれる。システムを安全に運用するために、セキュリティリスクを有する装置がネットワーク上に存在するか否かを調査し、必要な対策を講じる技術がある。ネットワーク装置と、ネットワークに接続された装置とを含むシステムにおいて、ネットワーク装置の管理者と、当該ネットワークに接続された装置の管理者とが異なる管理者である場合が多い。装置の管理者とネットワークの管理者とが分かれている運用において、ある装置にセキュリティリスクが存在し、当該セキュリティリスクへの対策としてネットワークの設定変更を行う必要がある場合、例えばファイアウォールを有効にすることにより通信を制限する必要がある場合等は、セキュリティリスクが存在する装置の管理者がネットワーク装置の管理者に連絡し、当該連絡を受けたネットワーク装置の管理者が必要な対策を講じることになる。   Many systems are composed of multiple components. The constituent elements are, for example, a network device configuring a network and a device connected to the network. A device connected to the network is, for example, a printer or a server. A device connected to a network has security problems against vulnerabilities and threats caused by external cyber attacks. Security problems are also called information security risks or simply security risks. In order to operate the system safely, there is a technique for investigating whether a device having a security risk exists on the network and taking necessary measures. In a system including a network device and a device connected to the network, the administrator of the network device and the administrator of the device connected to the network are often different administrators. In an operation where the device administrator and the network administrator are separated, if a security risk exists in a device and it is necessary to change the network settings as a countermeasure against the security risk, for example, enable a firewall. If there is a need to restrict communication, the administrator of the device with a security risk contacts the administrator of the network device, and the administrator of the network device that receives the notification takes the necessary measures. Become.

関連技術には、以下の特許文献1及び2がある。   Related art includes the following Patent Documents 1 and 2.

特許文献1には、複数のWebサービスを連携させる場合に発生するセキュリティリスクに関する情報を提示するセキュリティリスク情報提供装置が開示されている。当該セキュリティリスク情報提供装置は、Webサービス提供装置により提供されるサービスを利用する際のセキュリティポリシを設定する。そして、ユーザにより利用されるサービスの利用状況を示すサービス利用状況情報及びユーザにより利用されるサービス間の連携情報を示すサービス連携情報を用いて、ユーザのサービス利用状況がセキュリティポリシに適合しているかを判定する。   Patent Document 1 discloses a security risk information providing apparatus that presents information on security risks that occur when a plurality of Web services are linked. The security risk information providing apparatus sets a security policy when using a service provided by the Web service providing apparatus. Whether the service usage status of the user conforms to the security policy using the service usage status information indicating the usage status of the service used by the user and the service linkage information indicating the linkage information between services used by the user. Determine.

特許文献2には、管理計算機上のボリューム管理範囲と、ストレージ内のストレージ分割によるボリューム管理範囲との不一致を検出する管理計算機が開示されている。当該管理計算機は、ユーザの管理対象として複数のボリュームが指定されたとき、指定された複数のボリュームが属するボリュームグループの識別子をストレージから取得する。そして、ボリュームグループの識別子とユーザの識別子との対応を格納するストレージ管理情報を参照し、取得したボリュームグループが同一のユーザの管理範囲となるか否か判定する。   Patent Document 2 discloses a management computer that detects a mismatch between a volume management range on a management computer and a volume management range due to storage division within the storage. When a plurality of volumes are designated as user management targets, the management computer acquires the identifiers of the volume groups to which the designated plurality of volumes belong from the storage. Then, the storage management information that stores the correspondence between the identifier of the volume group and the identifier of the user is referred to, and it is determined whether or not the acquired volume group falls within the management range of the same user.

特開2013−196422号公報JP 2013-196422 A 特開2005−322102号公報JP-A-2005-322102

セキュリティリスクに対しては一刻でも早く対策を講じる必要がある場合がある。しかし、上述のようにシステムを構成する複数の構成要素のそれぞれの管理者が分かれている場合、一の構成要素のセキュリティリスクへの対処として他の構成要素における作業を行う必要があるときに早急に対策を講じることができないという問題があった。   It may be necessary to take countermeasures as soon as possible for security risks. However, when the managers of a plurality of components constituting the system are divided as described above, it is urgent to work on other components as a countermeasure to the security risk of one component. There was a problem that no measures could be taken.

特許文献1及び2には、当該問題を解決する手段が開示されていない。   Patent Documents 1 and 2 do not disclose means for solving the problem.

本発明の目的は、上述の課題を解決する情報処理装置、情報処理方法、およびプログラムを提供することにある。   The objective of this invention is providing the information processing apparatus, the information processing method, and program which solve the above-mentioned subject.

本発明の情報処理装置は、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定部と、第1の構成要素の管理者から、第2の構成要素における前記対処の指示情報を受け付ける受付部と、指示情報に基づいて、対処を実行する実行部と、を備える。   An information processing apparatus according to the present invention includes: a specifying unit that specifies a second component related to the countermeasure against the security risk related to the first component; and a manager of the first component, and the administrator in the second component. A receiving unit that receives instruction information for handling, and an execution unit that executes handling based on the instruction information.

本発明の情報処理方法は、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定ステップと、第1の構成要素の管理者から、第2の構成要素における対処の指示情報を受け付ける受付ステップと、指示情報に基づいて、対処を実行する実行ステップと、を含む。   The information processing method according to the present invention includes a specific step of identifying a second component related to a countermeasure against a security risk related to the first component, and a countermeasure in the second component from the administrator of the first component. A reception step for receiving the instruction information, and an execution step for executing a countermeasure based on the instruction information.

本発明のプログラムは、コンピュータに、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定処理と、第1の構成要素の管理者から、第2の構成要素における対処の指示情報を受け付ける受付処理と、指示情報に基づいて、対処を実行する実行処理と、を実行させる。   The program according to the present invention is a program for specifying a second component related to a security risk countermeasure related to the first component in the computer, and from the administrator of the first component to the second component. A reception process for receiving the instruction information for handling and an execution process for executing the handling based on the instruction information are executed.

本発明によれば、所定の管理者が管理する構成要素のセキュリティリスクに対処するために、当該管理者からの指示に基づいて、当該管理者が管理する構成要素以外の構成要素における対処を実行することのできる情報処理装置、情報処理方法及びプログラムを提供することができる。   According to the present invention, in order to deal with a security risk of a component managed by a predetermined administrator, based on an instruction from the administrator, a measure in a component other than the component managed by the administrator is executed. An information processing apparatus, an information processing method, and a program can be provided.

第1の実施形態にかかるシステム1000の構成を示す図である。It is a figure which shows the structure of the system 1000 concerning 1st Embodiment. 第1の実施形態にかかる情報処理装置100の構成を示す図である。It is a figure showing composition of information processor 100 concerning a 1st embodiment. 情報処理装置100の動作を説明する図である。6 is a diagram for explaining the operation of the information processing apparatus 100. FIG. 第2の実施形態にかかるシステム2000の構成を示す図である。It is a figure which shows the structure of the system 2000 concerning 2nd Embodiment. 第2の実施形態にかかる情報処理装置110の構成を示す図である。It is a figure which shows the structure of the information processing apparatus 110 concerning 2nd Embodiment. 格納部112が格納する情報の一例を示す図である。It is a figure which shows an example of the information which the storage part 112 stores. 情報処理装置110のハードウェア構成を示す図である。2 is a diagram illustrating a hardware configuration of an information processing apparatus 110. FIG. 情報処理装置110の動作を説明する図である。FIG. 11 is a diagram for explaining the operation of the information processing apparatus 110. 第3の実施形態にかかる情報処理装置120の構成を示す図である。It is a figure which shows the structure of the information processing apparatus 120 concerning 3rd Embodiment. 管理者への通知画面の一例を示す図である。It is a figure which shows an example of the notification screen to an administrator. 情報処理装置120の動作を説明する図である。6 is a diagram for explaining the operation of the information processing apparatus 120. FIG. 第4の実施形態にかかる情報処理装置130の構成を示す図である。It is a figure which shows the structure of the information processing apparatus 130 concerning 4th Embodiment. 格納部132が格納する情報の一例を示す図である。It is a figure which shows an example of the information which the storage part 132 stores. 情報処理装置130の動作を説明する図である。FIG. 11 is a diagram for explaining the operation of the information processing apparatus 130.

[第1の実施形態]
[処理構成]
図1は、第1の実施形態にかかるシステム1000の構成を示す図である。システム1000は、情報処理装置100、構成要素200及び構成要素300を含む。 [First Embodiment]
[Processing configuration]
FIG. 1 is a diagram illustrating a configuration of a system 1000 according to the first embodiment. The system 1000 includes an information processing apparatus 100, a component 200, and a component 300.

構成要素200及び構成要素300は、Information Technology基盤の構成要素(configuration item; CI)である。構成要素200及び構成要素300は、例えばコンピュータ、サーバ、プリンタ等の装置である。また、構成要素200及び構成要素300は、サービス、ソフトウェア、オペレーティングシステム、アプリケーション等装置以外の構成要素であってもよい。管理者が別れている運用の例として、ネットワーク装置の管理者と、当該ネットワークに接続された装置の管理者とが異なる管理者である運用がある。また、管理者が別れている運用の他の例として、ウェブサイト管理者とサーバ管理者とが別の管理者である運用がある。ウェブサイト管理者とサーバ管理者とが別の管理者である運用において、例えば、ディレクトリのパーミッションの設定に関する権限はウェブサイト管理者に与えられていないが、ウェブサイトのセキュリティリスクに即対処するために、ウェブサイト管理者がサーバのCドライブのパーミッションの設定をする必要がある場合がある。   The component 200 and the component 300 are information technology-based components (configuration items; CI). The component 200 and the component 300 are devices such as a computer, a server, and a printer. In addition, the constituent element 200 and the constituent element 300 may be constituent elements other than devices such as services, software, operating systems, and applications. As an example of the operation in which the administrator is separated, there is an operation in which the administrator of the network device and the administrator of the device connected to the network are different administrators. As another example of the operation in which the administrator is separated, there is an operation in which the website administrator and the server administrator are different administrators. In operations where the website administrator and the server administrator are different administrators, for example, the website administrator is not authorized to set directory permissions, but to deal immediately with the security risks of the website. In addition, the website administrator may need to set permissions for the C drive of the server.

ここで、セキュリティリスクは、構成要素200に存在する脆弱性、構成要素200に対する外部からの攻撃によって生じる脅威、または、非セキュアな運用設定(セキュリティリスクに対して弱い設定)のまま運用される場合のリスクを含む。また対処とは、セキュリティリスクを解消、回避、または低減させる措置である。   Here, when the security risk is operated with a vulnerability existing in the component 200, a threat caused by an external attack on the component 200, or a non-secure operation setting (a setting weak against the security risk). Including risks. Countermeasures are measures to eliminate, avoid, or reduce security risks.

図2は、第1の実施形態にかかる情報処理装置100の構成を示す図である。情報処理装置100は、特定部101、受付部102及び実行部103を備える。   FIG. 2 is a diagram illustrating a configuration of the information processing apparatus 100 according to the first embodiment. The information processing apparatus 100 includes a specifying unit 101, a receiving unit 102, and an execution unit 103.

特定部101は、構成要素200に関するセキュリティリスクに対する対処に関連する構成要素を特定する。特定部101による特定方法の例について説明する。先述のネットワーク装置の管理者と、当該ネットワークに接続された装置の管理者とが異なる管理者である運用では、構成要素200がネットワークに接続された装置(第1の装置)であり、構成要素300がネットワーク装置(第2の装置)である。特定部101は、例えば、第1の装置の通信ログを参照し、セキュリティリスクに関係する通信の履歴がある第2の装置を対処に関連する装置として特定する。また、特定部101は、システムのトポロジ情報を参照して、第1の装置のネットワークに関する対処を実施する場合に対応する第2の装置を特定する。例えばネットワークに関する対処が「外部端末からの第1の装置の特定ポートに対するアクセスの閉塞」であれば、第1の装置と外部端末とが通信する際に通過するファイアウォール装置、又はファイアウォール機能を有するネットワーク装置を、システムのトポロジ情報に基づいて特定して、特定された装置を第2の装置とする。システムのトポロジ情報は、装置間のネットワーク接続関係や、装置とディスク等周辺機器との接続関係、ネットワークにおける自ドメインの範囲、などを示す情報である。システムのトポロジ情報は、外部のサブシステムから特定部101が適宜必要に応じて参照ないし取得するように構成してもよい。外部のサブシステムは、例えば、ネットワークの物理および論理構成、及び、装置と周辺機器の関係の少なくとも一部を含む情報を、ユーザの入力により蓄積し、又は、ディスカバリ機能により発見して、保持することができる。また、ウェブサイト管理者とサーバ管理者とが別の管理者である運用では、構成要素200がアプリケーションであり、構成要素300がサーバである。ウェブサイトへの攻撃が発生した場合、特定部101は、当該ウェブサイトに関連するアプリケーションが稼働するサーバを当該攻撃に対する対処に関連する装置として特定する。   The identifying unit 101 identifies a component related to the countermeasure against the security risk related to the component 200. An example of a specifying method by the specifying unit 101 will be described. In the operation in which the administrator of the network device is different from the administrator of the device connected to the network, the component 200 is a device connected to the network (first device), and the component Reference numeral 300 denotes a network device (second device). For example, the identifying unit 101 refers to the communication log of the first device, and identifies the second device having a communication history related to the security risk as the device related to the countermeasure. The identifying unit 101 refers to the system topology information and identifies the second device corresponding to the case where the countermeasure regarding the network of the first device is performed. For example, if the countermeasure for the network is “blocking access to a specific port of the first device from the external terminal”, a firewall device that passes when the first device communicates with the external terminal, or a network having a firewall function The device is specified based on the system topology information, and the specified device is set as the second device. The system topology information is information indicating a network connection relationship between devices, a connection relationship between devices and peripheral devices such as disks, a range of a domain in the network, and the like. The system topology information may be configured so that the specifying unit 101 appropriately refers to or obtains information from an external subsystem as necessary. The external subsystem stores, for example, information including at least a part of the physical and logical configuration of the network and the relationship between the device and the peripheral device by user input, or is discovered by the discovery function and retained. be able to. In the operation in which the website administrator and the server administrator are different administrators, the component 200 is an application and the component 300 is a server. When an attack on the website occurs, the specifying unit 101 specifies a server on which an application related to the website is operated as an apparatus related to the countermeasure against the attack.

受付部102は、構成要素200の管理者から、構成要素300における対処の指示情報を受け付ける。   The receiving unit 102 receives instruction information for handling in the component 300 from the administrator of the component 200.

実行部103は、受付部102が受け付けた指示情報に基づいて、対処を実行する。   The execution unit 103 executes a countermeasure based on the instruction information received by the reception unit 102.

[動作]
図3は、情報処理装置100の動作を説明するフローチャートである。 [Operation]
FIG. 3 is a flowchart for explaining the operation of the information processing apparatus 100.

特定部101は、構成要素200に関するセキュリティリスクに対する対処に関連する構成要素300を特定する(ステップS11)。受付部102は、構成要素200の管理者から、構成要素300における対処の指示情報を受け付ける(ステップS13)。実行部103は、ステップS13で受付部103が受け付けた指示情報に基づいて、対処を実行する(ステップS15)。   The specifying unit 101 specifies the component 300 related to the countermeasure against the security risk related to the component 200 (step S11). The accepting unit 102 accepts instruction information for handling in the component 300 from the administrator of the component 200 (step S13). The executing unit 103 executes a countermeasure based on the instruction information received by the receiving unit 103 in step S13 (step S15).

[効果]
本実施形態の情報処理装置100によれば、所定の管理者が管理する構成要素のセキュリティリスクに対処するために、当該管理者からの指示に基づいて、当該管理者が管理する構成要素以外の構成要素における対処を実行することができる。その結果、システムを構成する複数の構成要素のそれぞれの管理者が分かれている場合であっても、一の構成要素のセキュリティリスクへの対処として他の構成要素における作業を行う必要があるときに早急に対策を講じることができる。 [effect]
According to the information processing apparatus 100 of the present embodiment, in order to deal with the security risk of a component managed by a predetermined administrator, a component other than the component managed by the administrator based on an instruction from the administrator. Actions on the component can be performed. As a result, even when the administrators of multiple components that make up the system are separated, it is necessary to work on other components as a countermeasure to the security risk of one component Measures can be taken immediately.

[第2の実施形態]
[処理構成]
図4は、第2の実施形態にかかるシステム2000の構成を示す図である。システム2000は、情報処理装置110及び装置210を含む。情報処理装置110及び装置210はネットワーク310に接続されている。本実施形態では、装置210が第1の実施形態における構成要素200に対応し、ネットワーク310が第1の実施形態における構成要素300に対応する。なお、ネットワーク310は、ネットワーク装置を含む。 [Second Embodiment]
[Processing configuration]
FIG. 4 is a diagram illustrating a configuration of a system 2000 according to the second embodiment. The system 2000 includes an information processing device 110 and a device 210. The information processing apparatus 110 and the apparatus 210 are connected to the network 310. In the present embodiment, the device 210 corresponds to the component 200 in the first embodiment, and the network 310 corresponds to the component 300 in the first embodiment. The network 310 includes a network device.

図5は情報処理装置110の構成を示す図である。情報処理装置110は、装置210のセキュリティリスクを管理する装置である。情報処理装置110は、取得部111、格納部112、受付部113、解析部114、判定部115及び実行部116を備える。   FIG. 5 is a diagram illustrating a configuration of the information processing apparatus 110. The information processing apparatus 110 is an apparatus that manages security risks of the apparatus 210. The information processing apparatus 110 includes an acquisition unit 111, a storage unit 112, a reception unit 113, an analysis unit 114, a determination unit 115, and an execution unit 116.

取得部111は、装置210のセキュリティリスクの調査結果を取得する。セキュリティリスクの調査とは、例えば各ベンダーなどから提供される、セキュリティリスクおよびその対処などを示す情報に基づいて行われる調査であり、装置210の調査部212(後述)で行われる調査である。以降、セキュリティリスクおよびその対処などを示す情報をセキュリティリスク情報とも表記する。セキュリティリスク情報には各ベンダーや調査機関から提供された装置の脆弱性情報が含まれていてもよい。セキュリティリスクには装置の非セキュアな運用設定に関する情報が含まれていてもよい。セキュリティリスクの調査結果は、セキュリティリスクを有する装置210、セキュリティリスクの種類及びその対処を示す情報を含む。取得部111は、装置210が情報処理装置110からの調査依頼に応じて行ったセキュリティリスク調査の結果を装置210から取得してもよい。また、取得部111は、装置210が情報処理装置110以外の装置からの調査依頼に応じて、あるいは独自に行ったセキュリティリスク調査の結果を取得してもよい。また、システム2000内に、情報処理装置110及び装置210とは別に格納装置を備え、当該格納装置に装置210におけるセキュリティリスク調査の結果を格納してもよい。この場合、取得部111は、当該格納装置からセキュリティリスク調査の結果を取得する。   The acquisition unit 111 acquires the security risk investigation result of the device 210. The security risk survey is a survey conducted on the basis of information indicating security risks and countermeasures provided from each vendor, for example, and is a survey conducted by a survey unit 212 (described later) of the apparatus 210. Hereinafter, information indicating security risks and countermeasures is also referred to as security risk information. The security risk information may include device vulnerability information provided by each vendor or research organization. The security risk may include information related to the non-secure operation setting of the device. The security risk survey result includes information indicating the device 210 having the security risk, the type of the security risk, and the countermeasure. The acquisition unit 111 may acquire the result of the security risk investigation performed by the apparatus 210 in response to the investigation request from the information processing apparatus 110 from the apparatus 210. In addition, the acquisition unit 111 may acquire the result of a security risk investigation performed by the apparatus 210 in response to an investigation request from an apparatus other than the information processing apparatus 110 or independently. Further, a storage device may be provided in the system 2000 separately from the information processing device 110 and the device 210, and the security risk investigation result in the device 210 may be stored in the storage device. In this case, the acquisition unit 111 acquires the result of the security risk investigation from the storage device.

セキュリティリスクの調査結果を取得した情報処理装置110は、セキュリティリスクの調査結果を装置の管理者に通知することができる。通知方法としては、装置210の表示部(不図示)に表示する方法や、管理者宛てに電子メールを送付する方法がある。   The information processing apparatus 110 that has acquired the security risk investigation result can notify the administrator of the apparatus of the security risk investigation result. As a notification method, there are a method of displaying on a display unit (not shown) of the apparatus 210 and a method of sending an e-mail to an administrator.

格納部112は、取得部111が取得した調査結果に含まれるセキュリティリスクに対して適用可能な対処が装置210ごとに対応づけられた構成要素別対処情報10を格納する。図6を参照すると、構成要素別対処情報10は、セキュリティリスクの調査識別子(調査ID)11、装置識別子(装置ID)12及び適用可能な対処13が対応づけられた情報である。適用可能な対処13は、セキュリティリスクを有する装置210に当該対処を適用した場合に、当該セキュリティリスクが解消する対処をいう。構成要素別対処情報10は、例えば各ベンダーなどから提供される、セキュリティリスクの種類及びその対処法などを示す情報(セキュリティリスク情報)に基づいて装置210を調査することで生成される。また、格納部112は、装置210の管理者の識別子である管理者識別子(管理者ID)21と装置ID22とが対応づけられた情報20を格納する。図6を参照すると、例えば管理者ID11「user01」で識別される管理者は、装置ID「A」及び「B」で識別される装置210に関する操作や情報取得が可能である。装置ID12及び装置ID22は、装置210の製造番号、Media Access Controlアドレス、Internet Protocol(IP)アドレスあるいは装置210が備えるポートの番号である。   The storage unit 112 stores the component-specific countermeasure information 10 in which countermeasures applicable to the security risks included in the investigation result acquired by the acquisition unit 111 are associated with each device 210. Referring to FIG. 6, the component-specific countermeasure information 10 is information in which a security risk investigation identifier (survey ID) 11, a device identifier (device ID) 12, and an applicable countermeasure 13 are associated with each other. Applicable countermeasure 13 refers to a countermeasure that eliminates the security risk when the countermeasure is applied to the device 210 having the security risk. The component-specific countermeasure information 10 is generated by investigating the apparatus 210 based on information (security risk information) indicating, for example, the types of security risks and countermeasures provided from each vendor. In addition, the storage unit 112 stores information 20 in which an administrator identifier (administrator ID) 21 that is an identifier of an administrator of the apparatus 210 is associated with the apparatus ID 22. Referring to FIG. 6, for example, the administrator identified by the administrator ID 11 “user01” can perform operations and information regarding the device 210 identified by the device IDs “A” and “B”. The device ID 12 and the device ID 22 are a manufacturing number, a Media Access Control address, an Internet Protocol (IP) address, or a port number provided in the device 210.

受付部113は、ネットワークの設定変更に関する指示情報と管理者ID11とを管理者から受け付ける。ネットワークの設定変更に関する指示情報は、例えば「装置Aについて、IPアドレス123.456.7.8からの通信を遮断する」、「装置BのポートBBを閉じる」等の内容の指示情報である。受付部113は、第1の実施形態にかかる情報処理装置100の受付部102に対応する。   The accepting unit 113 accepts the instruction information related to the network setting change and the administrator ID 11 from the administrator. The instruction information regarding the network setting change is, for example, instruction information having contents such as “blocking communication from the IP address 123.456.7.8 for the device A” and “closing the port BB of the device B”. The reception unit 113 corresponds to the reception unit 102 of the information processing apparatus 100 according to the first embodiment.

解析部114は、受付部113が受け付けた指示情報を解析し、格納部112を参照して、当該指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含むか否か判定する。これは、受付部113が受け付けた、ネットワークの設定変更に関する指示情報がセキュリティリスクへの対処上適用可能でない指示情報を含む場合に、ネットワークの設定変更に関する権限を装置210の管理者にむやみに付与しないようにするためである。図6を用いて解析部114の処理を具体的に説明すると、受付部113が受け付けた指示情報に含まれる装置ID12をキーとして適用可能な対処13を検索し、検索した対処13と、受付部113が受け付けた指示情報に含まれる対処と比較する。   The analysis unit 114 analyzes the instruction information received by the reception unit 113 and refers to the storage unit 112 to determine whether or not the instruction information includes instruction information related to a countermeasure applicable to the device 210 against the security risk. To do. When the instruction information regarding the network setting change received by the receiving unit 113 includes instruction information that is not applicable in order to deal with the security risk, the administrator of the apparatus 210 is unnecessarily granted the authority regarding the network setting change. This is to prevent it from happening. The processing of the analysis unit 114 will be described in detail with reference to FIG. 6. The applicable countermeasure 13 is searched using the device ID 12 included in the instruction information received by the reception unit 113 as a key, and the searched countermeasure 13 and the reception unit Compared with the countermeasure included in the instruction information received by 113.

判定部115は、受付部113が受け付けた指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含む場合に、格納部112を参照して、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しいか否か判定する。   The determination unit 115 refers to the storage unit 112 when the instruction information received by the reception unit 113 includes instruction information related to countermeasures applicable to the device 210 against the security risk. It is determined whether or not the correspondence between the device ID 22 included in the ID and the administrator ID 21 received by the receiving unit 113 is correct.

解析部114及び判定部115は、第1の実施形態の情報処理装置100における特定部101に対応する。   The analysis unit 114 and the determination unit 115 correspond to the specifying unit 101 in the information processing apparatus 100 according to the first embodiment.

実行部116は、判定部115による判定の結果、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しい場合に、受付部113が受け付けた対処指示情報に基づいて対処を実行する。ネットワークに対する設定変更としては、ファイアウォールの設定を変更することで特定のIPアドレスからの通信を遮断することや、特定のポートを閉じることなどが挙げられる。実行部116は、第1の実施形態の情報処理装置100における実行部103に対応する。   As a result of the determination by the determination unit 115, the execution unit 116 accepts the reception unit 113 when the correspondence between the device ID 22 included in the instruction information received by the reception unit 113 and the administrator ID 21 received by the reception unit 113 is correct. Take corrective action based on the corrective action information. Examples of setting changes to the network include blocking the communication from a specific IP address by changing the firewall settings and closing a specific port. The execution unit 116 corresponds to the execution unit 103 in the information processing apparatus 100 according to the first embodiment.

装置210は、クライアントパーソナルコンピュータ(以下、パソコンと表記する)やサーバ、プリンタ等の装置である。ただし、装置210は、ここで挙げた例に限定されない。装置210は、通信部211及び調査部212を備える。   The device 210 is a client personal computer (hereinafter referred to as a personal computer), a server, a printer, or the like. However, the apparatus 210 is not limited to the example given here. The device 210 includes a communication unit 211 and a survey unit 212.

通信部211は、ネットワーク310を介して外部装置(例えば情報処理装置110)と通信を行う。通信部211は、各ベンダーなどから提供されるセキュリティリスク情報を取得する。   The communication unit 211 communicates with an external device (for example, the information processing device 110) via the network 310. The communication unit 211 acquires security risk information provided from each vendor.

調査部212は、装置210のOperating System(OS)の種別、OSのバージョン、装置210にインストールされている各種アプリケーションに関する情報と、通信部211が取得したセキュリティリスク情報などとを照らし合わせて、セキュリティリスクのある装置210を調査する。   The investigation unit 212 compares the operating system (OS) type of the device 210, the OS version, information on various applications installed in the device 210 with the security risk information acquired by the communication unit 211, and the like. Investigate the device 210 at risk.

なお、調査部212がセキュリティリスクの調査を行う代わりに、情報処理装置110または他の装置に調査部を設け、当該調査部が調査をおこなってもよい。情報処理装置110または他の装置の調査部がセキュリティリスクの調査を行う場合、装置210は、情報処理装置110または他の装置の調査部に調査に必要な情報を送信する。調査に必要な情報とは、例えば装置210上で稼働するOSやアプリケーションのプロダクトバージョン等である。調査に必要な情報の送信の形態は、Push式でもPull式でもよい。例えば装置210がパソコンである場合、当該パソコンにインストールされたエージェントソフトウェアにより調査に必要な情報の送信を実現することができる。また、装置210がプリンタやネットワーク機器である場合、Simple Network Management Protocolサーバにより調査に必要な情報の送信を実現することができる。   Instead of investigating the security risk by the investigation unit 212, an investigation unit may be provided in the information processing apparatus 110 or another device, and the investigation unit may conduct the investigation. When the investigation unit of the information processing device 110 or another device conducts a security risk investigation, the device 210 transmits information necessary for the investigation to the information processing device 110 or the investigation unit of the other device. The information necessary for the investigation is, for example, an OS running on the apparatus 210 or a product version of an application. The form of transmitting information necessary for the investigation may be a push type or a pull type. For example, when the device 210 is a personal computer, transmission of information necessary for the investigation can be realized by agent software installed in the personal computer. In addition, when the device 210 is a printer or a network device, it is possible to transmit information necessary for the investigation by the Simple Network Management Protocol server.

ネットワーク310は、Local Area Networkでもよいし、インターネットや電話回線網、衛星通信等の公衆回線網でもよい。   The network 310 may be a local area network or a public line network such as the Internet, a telephone line network, or satellite communication.

[ハードウェア構成]
図7は、情報処理装置110のハードウェア構成を示す図である。情報処理装置110は、プロセッサ110a、メモリ110b、ストレージ110c、入出力インタフェース(入出力I/F)110d及び通信インタフェース(通信I/F)110eを備える。プロセッサ110a、メモリ110b、ストレージ110c、入出力インタフェース110d及び通信インタフェース110eは、相互にデータを送受信するためのデータ伝送路110fで接続されている。 [Hardware configuration]
FIG. 7 is a diagram illustrating a hardware configuration of the information processing apparatus 110. The information processing apparatus 110 includes a processor 110a, a memory 110b, a storage 110c, an input / output interface (input / output I / F) 110d, and a communication interface (communication I / F) 110e. The processor 110a, the memory 110b, the storage 110c, the input / output interface 110d, and the communication interface 110e are connected by a data transmission path 110f for transmitting / receiving data to / from each other.

プロセッサ110aは、例えばCentral Processing UnitやGraphics Processing Unitなどの演算処理装置である。プロセッサ110aは、後述するストレージ110cに格納されている各プログラムを実行することで、各処理部の機能をそれぞれ実現する。ここで、プロセッサ110aは、各プログラムを実行する際、これらのプログラムを後述するメモリ110b上に読み出してから実行しても良いし、メモリ110b上に読み出さずに実行しても良い。   The processor 110a is an arithmetic processing device such as a Central Processing Unit or a Graphics Processing Unit. The processor 110a implements the functions of each processing unit by executing each program stored in the storage 110c described later. Here, when executing each program, the processor 110a may execute these programs after reading them onto a memory 110b described later, or may execute them without reading them onto the memory 110b.

メモリ110bは、例えばRandom Access Memory(RAM)やRead Only Memory(ROM)などのメモリである。   The memory 110b is a memory such as a random access memory (RAM) or a read only memory (ROM).

ストレージ110cは、例えばHard Disk Drive、Solid State Drive、又はメモリカードなどの記憶装置である。また、ストレージ110cは、RAMやROM等のメモリであってもよい。ストレージ110cは、各処理部の機能を実現するプログラムを格納する。   The storage 110c is a storage device such as a hard disk drive, a solid state drive, or a memory card. The storage 110c may be a memory such as a RAM or a ROM. The storage 110c stores programs that realize the functions of the processing units.

通信インタフェース110eは、外部装置や外部ネットワークとの間でデータを送受信する。通信インタフェース110eは、例えば有線ネットワーク又は無線ネットワークを介して外部装置や外部ネットワークと通信する。なお、情報処理装置110のハードウェア構成は、図7に示される構成に制限されない。   The communication interface 110e transmits / receives data to / from an external device or an external network. The communication interface 110e communicates with an external device or an external network via a wired network or a wireless network, for example. Note that the hardware configuration of the information processing apparatus 110 is not limited to the configuration shown in FIG.

[動作]
図8を用いて、情報処理装置110の動作を説明する。 [Operation]
The operation of the information processing apparatus 110 will be described with reference to FIG.

図4及び8を参照すると、取得部111は、装置210のセキュリティリスクの調査結果を取得する(ステップS21)。受付部113は、ネットワークの設定変更に関する指示情報と管理者ID11とを管理者から受け付ける(ステップS23)。指示情報と管理者ID11とを管理者から受け付けなかった場合(ステップS23でno)、情報処理装置110は動作を終了する。指示情報と管理者ID11とを管理者から受け付けた場合(ステップS23でyes)、解析部114は、受付部113が受け付けた指示情報を解析し、格納部112を参照して、当該指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含むか否か判定する(ステップS25)。   4 and 8, the acquisition unit 111 acquires the security risk investigation result of the device 210 (step S21). The accepting unit 113 accepts the instruction information related to the network setting change and the administrator ID 11 from the administrator (step S23). When the instruction information and the manager ID 11 are not received from the manager (no in step S23), the information processing apparatus 110 ends the operation. When the instruction information and the administrator ID 11 are received from the administrator (yes in step S23), the analysis unit 114 analyzes the instruction information received by the reception unit 113, refers to the storage unit 112, and the instruction information is It is determined whether or not the instruction information regarding the countermeasure applicable to the device 210 for the security risk is included (step S25).

ステップS25における解析の結果、受付部113が受け付けた指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含まない場合(ステップS25でno)、情報処理装置110は動作を終了する。受付部113が受け付けた指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含む場合(ステップS25でyes)、判定部115は、格納部112を参照して、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しいか否か判定する(ステップS27)。   As a result of the analysis in step S25, when the instruction information received by the receiving unit 113 does not include instruction information related to countermeasures applicable to the device 210 with respect to the security risk (no in step S25), the information processing apparatus 110 ends the operation. To do. When the instruction information received by the reception unit 113 includes instruction information regarding a countermeasure applicable to the device 210 against the security risk (Yes in step S25), the determination unit 115 refers to the storage unit 112 and receives the reception unit 113. It is determined whether or not the correspondence relationship between the device ID 22 included in the instruction information received by the manager ID 21 and the manager ID 21 received by the receiving unit 113 is correct (step S27).

ステップS27における判定の結果、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しい場合に(ステップS27でyes)、実行部116は、受付部113が受け付けた指示情報に基づいてネットワークに対する設定変更を実行する(ステップS29)。受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しくない場合(ステップS27でno)、情報処理装置110は動作を終了する。   As a result of the determination in step S27, when the correspondence between the device ID 22 included in the instruction information received by the receiving unit 113 and the administrator ID 21 received by the receiving unit 113 is correct (yes in step S27), the execution unit 116 Based on the instruction information received by the receiving unit 113, a setting change for the network is executed (step S29). If the correspondence between the device ID 22 included in the instruction information received by the receiving unit 113 and the administrator ID 21 received by the receiving unit 113 is not correct (no in step S27), the information processing device 110 ends the operation.

[効果]
第2の実施形態にかかる情報処理装置110によれば、所定の管理者が管理する構成要素のセキュリティリスクに対処するために、当該管理者からの指示に基づいて、当該管理者が管理する構成要素以外の構成要素における対処を実行することができる。 [effect]
According to the information processing apparatus 110 according to the second embodiment, a configuration managed by the administrator based on an instruction from the administrator in order to deal with a security risk of a component managed by a predetermined administrator. Actions on components other than elements can be executed.

[第3の実施形態]
[処理構成]
図9は、第3の実施形態にかかる情報処理装置120の構成を示す図である。情報処理装置120は、取得部121、格納部122、受付部123、解析部124、判定部125及び実行部126を備える。特に説明をしない構成については、第1及び第2の実施形態にかかる情報処理装置100及び情報処理装置110と同様の構成とする。 [Third Embodiment]
[Processing configuration]
FIG. 9 is a diagram illustrating a configuration of the information processing apparatus 120 according to the third embodiment. The information processing apparatus 120 includes an acquisition unit 121, a storage unit 122, a reception unit 123, an analysis unit 124, a determination unit 125, and an execution unit 126. The configurations that are not particularly described are the same as those of the information processing apparatus 100 and the information processing apparatus 110 according to the first and second embodiments.

取得部121は、セキュリティリスクの調査結果の他、装置220の稼働情報を取得する。稼働情報とは、装置220で行われた動作や処理の履歴を示す情報(稼働履歴情報)、又は、装置220でこれから行われる予定の動作や処理を示す情報(稼働予定情報)の少なくとも一方を含む情報である。これらの稼働情報は、装置220での所定の動作や処理の実行または所定の動作や処理の実行予定の入力に応じて、装置220で生成されて装置220の格納部122に格納される。   The acquisition unit 121 acquires the operation information of the device 220 in addition to the security risk investigation result. The operation information is at least one of information (operation history information) indicating a history of operations and processes performed by the device 220 and information (operation schedule information) indicating operations and processes scheduled to be performed in the device 220 from now on. It is information to include. The operation information is generated by the apparatus 220 and stored in the storage unit 122 of the apparatus 220 in response to an execution of a predetermined operation or process in the apparatus 220 or an input of a predetermined operation or process execution schedule.

判定部125は、受付部123が受け付けた指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含む場合に、格納部122を参照して、受付部123が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しいか否か判定する。また、判定部125は、取得部121が取得した稼働情報に基づいて、セキュリティリスクに対する対処の推奨実行時刻(対処推奨時刻)を算出する。セキュリティリスクへの対処としてファイアウォールの設定変更やポートの閉鎖という対処が必要である場合、これらの対処の実行にともない装置220の再起動が必要となる場合がある。例えば、取得部121が取得した稼働情報において毎週木曜日に再起動を行っている装置220の場合、当該定期的な再起動のタイミングに合わせてセキュリティリスクへの対処を実行し、対処の実行にともなう再起動を行うと効率がよい。   The determination unit 125 refers to the storage unit 122 when the instruction information received by the reception unit 123 includes instruction information related to a countermeasure applicable to the device 220 with respect to the security risk. It is determined whether or not the correspondence between the device ID 22 included in the ID and the administrator ID 21 received by the receiving unit 123 is correct. Also, the determination unit 125 calculates a recommended execution time (recommended action time) for dealing with a security risk based on the operation information obtained by the obtaining unit 121. When countermeasures such as changing firewall settings or closing ports are necessary as countermeasures against security risks, the apparatus 220 may need to be restarted in accordance with the execution of these countermeasures. For example, in the case of the apparatus 220 that is restarted every Thursday in the operation information acquired by the acquisition unit 121, countermeasures for security risks are executed in accordance with the timing of the periodic restart, and the countermeasures are executed. Rebooting is efficient.

実行部126は、適用可能な対処を判定部125が算出した実行時刻に実行する。   The execution unit 126 executes applicable measures at the execution time calculated by the determination unit 125.

装置220の稼働停止時間を最小限にすることよりも、一刻も早くセキュリティリスクへの対処を実行することの方が優先される場合がある。この場合は、稼働状況に基づいて決定された実行時刻を管理者に通知し(図10)、対処を即実行するのか、稼働状況に基づいて算出された対処推奨時刻に実行するのかを選択させることもできる。   There may be a case where priority is given to addressing the security risk as soon as possible rather than minimizing the downtime of the device 220. In this case, the administrator is notified of the execution time determined based on the operating status (FIG. 10), and the user selects whether to execute the countermeasure immediately or at the recommended countermeasure time calculated based on the operating status. You can also

[動作]
図11を用いて、情報処理装置120の動作を説明する。 [Operation]
The operation of the information processing apparatus 120 will be described with reference to FIG.

取得部121は、装置220のセキュリティリスクの調査結果を取得する(ステップS31)。そして、取得部121は、装置220の稼働情報を取得する(ステップS33)。受付部123は、ネットワークの設定変更に関する指示情報と管理者ID11とを管理者から受け付ける(ステップS35)。指示情報と管理者ID11とを管理者から受け付けなかった場合(ステップS35でno)、情報処理装置120は動作を終了する。指示情報と管理者ID11とを管理者から受け付けた場合(ステップS35でyes)、解析部124は、受付部123が受け付けた指示情報を解析し、格納部112を参照して、当該指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含むか否か判定する(ステップS37)。   The acquisition unit 121 acquires the security risk investigation result of the device 220 (step S31). And the acquisition part 121 acquires the operation information of the apparatus 220 (step S33). The accepting unit 123 accepts the instruction information related to the network setting change and the administrator ID 11 from the administrator (step S35). When the instruction information and the manager ID 11 are not received from the manager (no in step S35), the information processing apparatus 120 ends the operation. When the instruction information and the administrator ID 11 are received from the administrator (yes in step S35), the analysis unit 124 analyzes the instruction information received by the reception unit 123, refers to the storage unit 112, and the instruction information is It is determined whether or not the instruction information regarding the countermeasure applicable to the device 220 is included for the security risk (step S37).

ステップS37における解析の結果、受付部123が受け付けた指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含まない場合(ステップS37でno)、情報処理装置120は動作を終了する。受付部123が受け付けた指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含む場合(ステップS37でyes)、判定部125は、格納部122を参照して、受付部123が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しいか否か判定する(ステップS39)。   As a result of the analysis in step S37, when the instruction information received by the receiving unit 123 does not include instruction information related to countermeasures applicable to the device 220 with respect to the security risk (no in step S37), the information processing apparatus 120 ends the operation. To do. When the instruction information received by the reception unit 123 includes instruction information related to a countermeasure applicable to the device 220 with respect to the security risk (yes in step S37), the determination unit 125 refers to the storage unit 122 and receives the reception unit 123. It is determined whether or not the correspondence relationship between the device ID 22 included in the instruction information received by the manager ID 21 and the administrator ID 21 received by the receiving unit 123 is correct (step S39).

ステップS39における判定の結果、受付部123が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しい場合に(ステップS39でyes)、判定部125は、ステップS33で取得部121が取得した稼働情報に基づいて対処推奨時刻を算出する(ステップS41)。受付部113が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しくない場合(ステップS39でno)、情報処理装置120は動作を終了する。   As a result of the determination in step S39, when the correspondence between the device ID 22 included in the instruction information received by the reception unit 123 and the administrator ID 21 received by the reception unit 123 is correct (yes in step S39), the determination unit 125 The recommended handling time is calculated based on the operation information acquired by the acquisition unit 121 in step S33 (step S41). If the correspondence between the device ID 22 included in the instruction information received by the receiving unit 113 and the administrator ID 21 received by the receiving unit 123 is not correct (no in step S39), the information processing device 120 ends the operation.

実行部126は、現在時刻がステップS41で算出された対処推奨時刻になった場合(ステップS43でyes)、受付部123が受け付けた指示情報に基づいてネットワークに対する設定変更を実行する(ステップS45)。   When the current time is the recommended handling time calculated in step S41 (yes in step S43), the execution unit 126 executes setting change for the network based on the instruction information received by the reception unit 123 (step S45). .

[作用効果]
第3の実施形態にかかる情報処理装置120によれば、セキュリティリスクに対する対処を装置220の稼働状況にあわせて効果的に実行することができる。 [Function and effect]
According to the information processing apparatus 120 according to the third embodiment, it is possible to effectively execute countermeasures against security risks in accordance with the operation status of the apparatus 220.

[第4の実施形態]
[処理構成]
図12は、第4の実施形態にかかる情報処理装置130の構成を示す図である。情報処理装置130は、取得部131、格納部132、受付部133、解析部134、判定部135及び実行部136を備える。特に説明をしない構成については、第1乃至3の実施形態にかかる情報処理装置100、情報処理装置110、情報処理装置120と同様の構成とする。 [Fourth Embodiment]
[Processing configuration]
FIG. 12 is a diagram illustrating a configuration of the information processing apparatus 130 according to the fourth embodiment. The information processing apparatus 130 includes an acquisition unit 131, a storage unit 132, a reception unit 133, an analysis unit 134, a determination unit 135, and an execution unit 136. The configurations that are not particularly described are the same as those of the information processing device 100, the information processing device 110, and the information processing device 120 according to the first to third embodiments.

格納部132は、第2の実施形態における構成要素別対処情報10に対応する情報を格納する。また、格納部132は、第2の実施形態における情報20に対応する情報、すなわち、管理者ID21と装置ID22とが対応づけられた情報を格納する。図13は、情報20に対応する情報30の一例を示す図である。情報30では、実行部136による対処の実行が完了したか否かを示すフラグ(対処完了フラグ)34が装置IDに対応付られて格納されている。図13において、対処完了フラグ34の「1」は対処の実行が完了していることを示し、「0」は対処の実行が完了していないことを示す。対処完了フラグ34の代わりに対処の進捗状況に関する情報を格納し、当該情報に基づいて管理者に対処の進捗状況を提示することもできる。   The storage unit 132 stores information corresponding to the component-specific countermeasure information 10 in the second embodiment. The storage unit 132 stores information corresponding to the information 20 in the second embodiment, that is, information in which the administrator ID 21 and the device ID 22 are associated with each other. FIG. 13 is a diagram illustrating an example of information 30 corresponding to the information 20. In the information 30, a flag (handling completion flag) 34 indicating whether or not the execution of the countermeasure by the execution unit 136 is completed is stored in association with the device ID. In FIG. 13, “1” of the countermeasure completion flag 34 indicates that the execution of the countermeasure has been completed, and “0” indicates that the execution of the countermeasure has not been completed. Instead of the countermeasure completion flag 34, information regarding the progress of countermeasures can be stored, and the progress of countermeasures can be presented to the administrator based on the information.

判定部135は、受付部133がネットワークの設定変更に関する指示情報と管理者ID11とを管理者から受け付けた場合に、格納部132を参照し、実行部136による対処の実行が完了しているか否かを判定する。判定部135は、実行部136による対処の実行が完了していると判定した場合に、当該指示情報を無効化する。具体的には、判定部135は、当該指示情報を破棄し、既に対処の実行が完了していることを管理者に通知する。通知には、電子メール送信による通知や、管理者が管理する装置等の表示画面での表示による通知がある。   The determination unit 135 refers to the storage unit 132 when the reception unit 133 receives the instruction information regarding the network setting change and the administrator ID 11 from the administrator, and whether or not the execution of the countermeasure by the execution unit 136 is completed. Determine whether. If the determination unit 135 determines that the execution of the countermeasure by the execution unit 136 has been completed, the determination unit 135 invalidates the instruction information. Specifically, the determination unit 135 discards the instruction information and notifies the administrator that the execution of the countermeasure has already been completed. The notification includes notification by e-mail transmission and notification by display on a display screen of a device managed by the administrator.

[動作]
図14を用いて、情報処理装置130の動作を説明する。 [Operation]
The operation of the information processing apparatus 130 will be described with reference to FIG.

ステップS51乃至ステップS55は図8のステップS21乃至ステップS25と同様である。   Steps S51 through S55 are the same as steps S21 through S25 in FIG.

図14では、受付部133が受け付けた指示情報がセキュリティリスクに対して装置230に適用可能な対処に関する指示情報を含む場合(ステップS55でyes)、判定部135は、格納部132を参照し、実行部136による対処の実行が完了しているか否かを判定する(ステップS57)。ステップS55における判定の結果、実行部136による対処の実行が完了している場合(ステップS57でyes)、情報処理装置130は動作を終了する。実行部136による対処の実行が完了していない場合(ステップS57でno)、ステップS59に進む。ステップS59及びステップS61は図8のステップS27及びステップS29と同様である。   In FIG. 14, when the instruction information received by the reception unit 133 includes instruction information regarding a countermeasure applicable to the device 230 against the security risk (yes in step S55), the determination unit 135 refers to the storage unit 132, It is determined whether or not the execution of the countermeasure by the execution unit 136 has been completed (step S57). As a result of the determination in step S55, when the execution of the countermeasure by the execution unit 136 is completed (yes in step S57), the information processing apparatus 130 ends the operation. When the execution of the countermeasure by the execution unit 136 has not been completed (No in step S57), the process proceeds to step S59. Step S59 and step S61 are the same as step S27 and step S29 of FIG.

[作用効果]
第4の実施形態にかかる情報処理装置130によれば、受付部133が、セキュリティリスクの調査の結果必要となった対処と同内容の指示情報を受け付けたとしても、対処が完了している場合には判定部135が、当該指示情報を破棄する。そのため、対処の重複した実行を防ぐことができるとともに、ネットワークの設定変更に関する権限の付与範囲を必要以上に拡大することを防ぐことができる。 [Function and effect]
According to the information processing apparatus 130 according to the fourth embodiment, even when the reception unit 133 receives instruction information having the same content as the countermeasure required as a result of the security risk investigation, the countermeasure has been completed. In this case, the determination unit 135 discards the instruction information. Therefore, it is possible to prevent duplicated execution of countermeasures, and it is possible to prevent the scope of granting authority regarding network setting changes from being unnecessarily expanded.

以上、本発明の実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の趣旨を逸脱しない限りにおいて他の変形例、応用例を含むことは言うまでもない。   As mentioned above, although embodiment of this invention was described, this invention is not limited to the said embodiment, It cannot be overemphasized that another modification and an application example are included unless it deviates from the meaning of this invention.

10 構成要素別対処情報
11、31、 調査ID
12、22、32 装置ID
13、33 適用可能な対処
21 管理者ID
20、30 情報
34 対処完了フラグ
100、110、120、130 情報処理装置
101 特定部
102、113、123、133 受付部
103、116、126、136 実行部
110a プロセッサ
110b メモリ
110c ストレージ
110d 入出力インタフェース
110e 通信インタフェース
110f データ伝送路
111、121、131 取得部
112、122、132 格納部
114、124、134 解析部
115、125、135 判定部
200、300 構成要素
210、220、230 装置
310、320、330 ネットワーク
211 通信部
212 調査部
1000、2000 システム 10 Countermeasure information by component 11, 31, survey ID
12, 22, 32 Device ID
13, 33 Applicable measures 21 Administrator ID
20, 30 Information 34 Countermeasure completion flag 100, 110, 120, 130 Information processing apparatus 101 Identification unit 102, 113, 123, 133 Reception unit 103, 116, 126, 136 Execution unit 110a Processor 110b Memory 110c Storage 110d Input / output interface 110e Communication interface 110f Data transmission path 111, 121, 131 Acquisition unit 112, 122, 132 Storage unit 114, 124, 134 Analysis unit 115, 125, 135 Determination unit 200, 300 Component 210, 220, 230 Device 310, 320, 330 Network 211 Communication unit 212 Survey unit 1000, 2000 System

Claims (10)

第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定部と、
前記第1の構成要素の管理者から、前記第2の構成要素における前記対処の指示情報を受け付ける受付部と、
前記指示情報に基づいて、前記対処を実行する実行部と、
を備える情報処理装置。 A specifying unit for specifying a second component related to the countermeasure against the security risk related to the first component;
A receiving unit that receives, from the administrator of the first component, the instruction information of the countermeasure in the second component;
An execution unit that executes the countermeasure based on the instruction information;
An information processing apparatus comprising: 前記特定部は、前記第1の構成要素の通信履歴情報に基づいて前記第2の構成要素を特定する、請求項1に記載の情報処理装置。   The information processing apparatus according to claim 1, wherein the specifying unit specifies the second component based on communication history information of the first component. 前記セキュリティリスクに対して前記第1の構成要素ごとに適用可能な対処を示す構成要素別対処情報を格納する格納部と、を備え、
前記特定部は、前記格納部に格納された前記構成要素別対処情報を参照して前記第2の構成要素を特定する、請求項1又は2に記載の情報処理装置。 A storage unit that stores countermeasure information for each component that indicates a countermeasure applicable to each of the first components for the security risk, and
The information processing apparatus according to claim 1, wherein the specifying unit specifies the second component element with reference to the component-specific countermeasure information stored in the storage unit. 前記第1の構成要素の稼働履歴情報及び稼働予定情報を含む稼働情報を取得する取得部を備え、
前記実行部は、前記取得部が取得した前記稼働情報に基づいて、前記セキュリティリスクに対して前記第1の構成要素に適用可能な対処の実行時刻を算出し、前記適用可能な対処を当該算出した実行時刻に実行する、請求項1乃至3に記載の情報処理装置。 An acquisition unit for acquiring operation information including operation history information and operation schedule information of the first component;
The execution unit calculates an execution time of a countermeasure applicable to the first component against the security risk based on the operation information acquired by the acquisition unit, and calculates the applicable countermeasure The information processing apparatus according to claim 1, wherein the information processing apparatus is executed at the execution time. 第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定ステップと、
前記第1の構成要素の管理者から、前記第2の構成要素における前記対処の指示情報を受け付ける受付ステップと、
前記指示情報に基づいて、前記対処を実行する実行ステップと、を含む情報処理方法。 A specific step of identifying a second component associated with addressing a security risk associated with the first component;
An accepting step of receiving, from the administrator of the first component, the instruction information for handling in the second component;
An information processing method comprising: an execution step of executing the countermeasure based on the instruction information. 前記特定ステップでは、前記第1の構成要素の通信履歴情報に基づいて前記第2の構成要素を特定する、請求項5に記載の情報処理方法。   The information processing method according to claim 5, wherein in the specifying step, the second component is specified based on communication history information of the first component. 前記特定ステップでは、前記セキュリティリスクに対して前記第1の構成要素ごとに適用可能な対処を示す構成要素別対処情報を参照して前記第2の構成要素を特定する、請求項5又は6に記載の情報処理方法。   In the specifying step, the second component is specified with reference to component-specific countermeasure information indicating a countermeasure applicable to the security risk for each first component. The information processing method described. 前記第1の構成要素の稼働履歴情報及び稼働予定情報を含む稼働情報を取得する取得ステップを含み、
前記実行ステップでは、前記取得ステップにて取得した前記稼働情報に基づいて、前記セキュリティリスクに対して前記第1の構成要素に適用可能な対処の実行時刻を算出し、前記適用可能な対処を当該算出した実行時刻に実行する、請求項5乃至7に記載の情報処理方法。 Including an acquisition step of acquiring operation information including operation history information and operation schedule information of the first component;
In the execution step, based on the operation information acquired in the acquisition step, the execution time of a countermeasure applicable to the first component against the security risk is calculated, and the applicable countermeasure is The information processing method according to claim 5, wherein the information processing method is executed at the calculated execution time. コンピュータに、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定処理と、
前記第1の構成要素の管理者から、前記第2の構成要素における前記対処の指示情報を受け付ける受付処理と、
前記指示情報に基づいて、前記対処を実行する実行処理と、を実行させるプログラム。 Specific processing for identifying a second component related to addressing a security risk associated with the first component in a computer;
An accepting process for accepting the handling instruction information in the second component from the administrator of the first component;
A program for executing an execution process for executing the countermeasure based on the instruction information. 前記特定処理では、前記第1の構成要素の通信履歴情報に基づいて前記第2の構成要素を特定する、請求項9に記載のプログラム。   The program according to claim 9, wherein in the specifying process, the second component is specified based on communication history information of the first component.
JP2016065697A 2016-03-29 2016-03-29 Information processing apparatus, information processing method, and program Active JP6716995B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016065697A JP6716995B2 (en) 2016-03-29 2016-03-29 Information processing apparatus, information processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016065697A JP6716995B2 (en) 2016-03-29 2016-03-29 Information processing apparatus, information processing method, and program

Publications (2)

Publication Number Publication Date
JP2017182272A true JP2017182272A (en) 2017-10-05
JP6716995B2 JP6716995B2 (en) 2020-07-01

Family

ID=60006192

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016065697A Active JP6716995B2 (en) 2016-03-29 2016-03-29 Information processing apparatus, information processing method, and program

Country Status (1)

Country Link
JP (1) JP6716995B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004258777A (en) * 2003-02-24 2004-09-16 Fujitsu Ltd Security monitoring device, its system, its method and its program
JP2005301551A (en) * 2004-04-09 2005-10-27 Hitachi Ltd Security measure system and integrated security system
WO2008004498A1 (en) * 2006-07-06 2008-01-10 Nec Corporation Security risk management system, device, method, and program
JP2010250749A (en) * 2009-04-20 2010-11-04 Hitachi Software Eng Co Ltd Patch application system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004258777A (en) * 2003-02-24 2004-09-16 Fujitsu Ltd Security monitoring device, its system, its method and its program
JP2005301551A (en) * 2004-04-09 2005-10-27 Hitachi Ltd Security measure system and integrated security system
WO2008004498A1 (en) * 2006-07-06 2008-01-10 Nec Corporation Security risk management system, device, method, and program
JP2010250749A (en) * 2009-04-20 2010-11-04 Hitachi Software Eng Co Ltd Patch application system

Also Published As

Publication number Publication date
JP6716995B2 (en) 2020-07-01

Similar Documents

Publication Publication Date Title
US10554687B1 (en) Incident response management based on environmental characteristics
US10812521B1 (en) Security monitoring system for internet of things (IOT) device environments
US10637888B2 (en) Automated lifecycle system operations for threat mitigation
EP3654582B1 (en) Method and system for secure delivery of information to computing environments
KR102146034B1 (en) User Interface For Security Protection And Remote Management Of Network Endpoints
EP3127301B1 (en) Using trust profiles for network breach detection
US8789190B2 (en) System and method for scanning for computer vulnerabilities in a network environment
US10320814B2 (en) Detection of advanced persistent threat attack on a private computer network
GB2609363A (en) Endpoint security
US20130246685A1 (en) System and method for passive threat detection using virtual memory inspection
US20070192867A1 (en) Security appliances
US11411984B2 (en) Replacing a potentially threatening virtual asset
JP6716995B2 (en) Information processing apparatus, information processing method, and program
US11570200B2 (en) Automatic vulnerability mitigation in cloud environments
US10853478B1 (en) Encrypted storage and provision of authentication information for use when responding to an information technology incident
Team TREND MICRO DEEP SECURITY

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200512

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200525

R150 Certificate of patent or registration of utility model

Ref document number: 6716995

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150