JP4254988B2 - Security diagnostic system and security diagnostic method - Google Patents

Security diagnostic system and security diagnostic method Download PDF

Info

Publication number
JP4254988B2
JP4254988B2 JP2001076414A JP2001076414A JP4254988B2 JP 4254988 B2 JP4254988 B2 JP 4254988B2 JP 2001076414 A JP2001076414 A JP 2001076414A JP 2001076414 A JP2001076414 A JP 2001076414A JP 4254988 B2 JP4254988 B2 JP 4254988B2
Authority
JP
Japan
Prior art keywords
inspection
security
computer
analysis
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001076414A
Other languages
Japanese (ja)
Other versions
JP2002278797A (en
Inventor
賢 甲斐
信 萱島
真敏 寺田
光弘 角田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001076414A priority Critical patent/JP4254988B2/en
Publication of JP2002278797A publication Critical patent/JP2002278797A/en
Application granted granted Critical
Publication of JP4254988B2 publication Critical patent/JP4254988B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークに接続された計算機のセキュリティ上の弱点を診断する技術に関する。特にインターネットおよびイントラネットに接続された計算機のセキュリティ上の弱点を診断する技術に関する。
【0002】
【従来の技術】
文献 Unix Review's PERFORMANCE COMPUTING, April 1999 VOL.17 NO.4, pp60-61, "NETWORK SECURITY" によると、セキュリティ管理者がネットワークに接続された計算機のセキュリティ上の弱点を発見するためのセキュリティ診断ツールとして、SATAN (the Security Administrator's Tool for Analyzing Networks)が紹介されている。また文献 Data Communications International, November 1998 Vol.27 No.16, pp108, "Hackershield for Windows NT" によると、Windows NT 計算機を対象にセキュリティ上の弱点を発見するためのセキュリティ診断ツールが紹介されている。
【0003】
こうしたセキュリティ診断ツールはネットワークに接続された Webサーバ、DNSサーバ、ルータ、ファイアウォール等を対象に診断を適用するものであり、セキュリティホールの有無や設定不備の検査など数百種類もの検査項目を実施後、発見された問題点の列挙、影響度から見た危険度、セキュリティ対策情報などを含む結果レポートを出力する。
【0004】
セキュリティ管理者やセキュリティ・コンサルティングの作業者は、これらのセキュリティ診断ツールを利用し、ツールの出力である結果レポートから検査対象となる計算機のセキュリティ上の弱点を把握し、パッチを適用する等のセキュリティ対策の実施を検討する。またセキュリティ管理者らは、セキュリティ対策の検証を行うために、一度発見された問題点に対して対策を実施した後に再びセキュリティ診断を行い、問題点が修正されているかどうかを確認する。
【0005】
【発明が解決しようとする課題】
先に挙げた2つの文献によると、従来技術のセキュリティ診断ツールでは、診断を行った直後においてその診断だけに関する結果レポートを出力するまでの機能しかなく、セキュリティ診断後に行うべきセキュリティ対策が未実施のままであったり完了したりすることを把握するセキュリティ診断結果の時系列変化を分析することができなかった。セキュリティ管理者が前回の検査範囲と今回の検査範囲の差分を把握したり、また前回の検査結果と今回の検査結果との差分を把握したりするには手作業で行う手間が生じていた。
【0006】
本発明の目的は、セキュリティ診断を継続的に行い、その診断結果の時系列変化を自動的に分析することである。
【0007】
【課題を解決するための手段】
前記課題を解決するため、本発明においては、
計算機のセキュリティ上の弱点を検査するセキュリティ診断システムにおいて、
検査を実施する複数のタイミングを与えるスケジュール手段と、
該スケジュール手段から与えられた複数のタイミングにおいて、それぞれ計算機のセキュリティ上の弱点の検査を実施する検査手段と、
該検査手段により実施された、複数のタイミングにおける検査の結果について、検査時刻の推移に伴う検査結果の推移を時系列に分析する分析手段と、
該分析手段による分析結果を表示するインターフェイス手段と、
を備え、継続的にセキュリティ診断を行うことを特徴とするセキュリティ診断システムが構成される。
【0008】
また、本発明においては、
一つの検査当たりの処理動作を指定するシーケンス部と、前記シーケンス部に対応した前記計算機への送信データを指定するパラメータ部と、前記計算機における問題有無の確認方法を指定するフィルタ部と、からなる検査データを少なくともひとつ以上記憶する記憶手段を備えることができる。
【0009】
そして、前記検査手段は、前記検査データに基づき、前記計算機に対して、前記シーケンス部で指定された処理動作に沿って、前記パラメータ部で指定された送信データを送信し、前記計算機からの応答データに対して、前記フィルタ部で指定された確認方法により問題有無の確認を行うことにより検査を実施することができる。
【0010】
これにより、前記計算機の環境に適した検査データのカスタマイズが容易であることを特徴とするセキュリティ診断システムが構成される。
【0011】
さらに、本発明においては、
複数の計算機に共通的な検査内容を盛り込んだ検査ツールを記憶する記憶手段を備え、
前記検査ツールを実行して、前記計算機に対して、セキュリティ上の弱点の検査を実施する検査ツール実行手段を備え、
該検査ツール実行手段による検査の結果を、前記分析手段で分析することができる形式に変換する変換手段を備えて、
前記分析手段は、前記変換手段により変換された形式による検査結果に対しても、分析を行うこともできる。
【0012】
これにより、網羅的かつ体系的なセキュリティ診断を実施することができること特徴とするセキュリティ診断システムが構成される。
【0013】
【発明の実施の形態】
以下、本発明の実施の形態を詳細に説明する。
【0014】
図1は、本発明の第一の実施の形態を適用したセキュリティ診断システムの概略ブロック図である。セキュリティ診断システム201は、CPU11と、メモリ12と、ハードディスクなどの外部記憶装置13と、ネットワークに接続された通信装置14と、キーボードやマウスなどの入力装置15と、ディスプレイなどの表示装置16と、FDなどの可搬性を有する記憶媒体からデータを読み取る読取り装置17と、上述した各構成要素間のデータ送受信を司るバス18とを備えた電子計算機上に構築することができる。
【0015】
ここで、外部記憶装置13には、セキュリティ診断システム201を電子計算機上に構築するためのスケジュールプログラム121、検査エンジンプログラム122、分析エンジンプログラム123、インタフェースプログラム124が格納されている。CPU11がメモリ12上にロードされたスケジュールプログラム121を実行することにより、定期的および操作者の要求するタイミングで検査エンジンプログラム122を起動するスケジュール制御111のプロセスを実現する。また、CPU11がメモリ12上にロードされた検査エンジンプログラム122を実行することにより、複数の検査項目が格納された検査項目データベース132を検索し、通信装置14を通してネットワーク経由によるセキュリティ診断を行い、その診断結果を結果保存データベース133に出力する検査エンジン制御112のプロセスを実現する。また、CPU11がメモリ12上にロードされた分析エンジンプログラム123を実行することにより、結果保存データベース133に格納されたデータの処理を行い、対策情報データベース134の中から必要なデータを検索しインタフェース制御114を通して表示装置16に結果を出力する分析エンジン制御113のプロセスを実現する。また、CPU11がメモリ12上にロードされたインタフェースプログラム124を実行することにより、表示装置16に入力インタフェースを表示し入力装置15から操作者の入力を受け付け、設定情報データベース131に操作者からの入力内容を保存するインタフェース制御114のプロセスを実現する。
【0016】
図2は、本発明によるセキュリティ診断システムと、検査対象となる計算機のネットワーク接続の関係を表す図である。前記にて構築されたセキュリティ診断システム201は、セキュリティ上の弱点を発見する検査対象となる複数個の電子計算機203とネットワーク202を介して接続されている。検査対象203はWebサーバ、DNSサーバ、ルータ、ファイアウォール等である。ネットワーク202はインターネットあるいはLAN(Local Area Network)などTCP/IPプロトコルを使用して構築されるネットワークである。
【0017】
なお、図1において、外部記憶装置13上に構築されるデータベースとプログラムは、ソフトウェアとして単体のパッケージの形で配布することができる。
【0018】
また、図2において、セキュリティ診断システム201は、検査対象203自身の計算機上に構築することも可能である。以下では、セキュリティ診断システム201と検査対象203が別々の計算機である場合について説明する。
【0019】
図3および図4に、セキュリティ診断システムで使用するデータベースの一例を示す。
【0020】
図3は、セキュリティ診断で利用するセキュリティ上の弱点を調べるための検査項目に関する情報が格納された検査項目データベース132を表したものである。列301には、検査項目を一意に識別する検査IDを格納する。列302には同じ行の検査IDに対応する、検査項目を行う目的と検査内容の説明および本検査によって発見されるセキュリティ上の弱点の説明などの検査内容の説明を格納する。列303には同じ行の検査IDに対応する、検査エンジン制御112に引き渡す、検査に必要なデータや引数を格納した検査データを格納する。列304には同じ行の検査IDに対応する、該当検査項目を作成した日付、作成者の著作権情報、情報源に関する情報、関連する検査IDなどのメモを格納する。
【0021】
図3において、本実施の形態においては、さらに、一つの検査IDにつき一つのテキストファイルを用いて上記データを記述することにより検査項目データベースを構築している。この場合、検査ID311をそのテキストファイルの名前とし、ファイルの内容には「[」「]」で囲まれるラベルで区切られた個々のフィールドに、検査内容の説明312、検査データ313、メモ欄314をそれぞれ記述する。このテキストファイルのことを検査項目ファイル310と呼ぶことにする。
【0022】
図4は、セキュリティ診断の結果発見されるセキュリティ上の弱点に対する対策方法に関する情報が格納された対策情報データベース134を表したものである。列401には、対策情報を一意に識別するための対策IDを格納する。列402には同じ行の対策IDに対応する、検査対象にてセキュリティ上の弱点を発見する検査項目を識別するための検査ID301を格納する。例えば、検査ID「TEST1」に対応する対策情報が対策ID「INFO1」で与えられるならば、本欄には「TEST1」を記述する。ここで、必要ならば複数の検査IDを格納してもよい。列403には同じ行の対策IDに対応する、セキュリティ上の弱点が発見された場合に実施すべきセキュリティ対策の方法を格納する。列404には同じ行の対策IDに対応する、該当対策情報を作成した日付、作成者の著作権情報、情報源に関する情報、関連する対策IDなどを格納する。
【0023】
図4において、本実施の形態においては、さらに、一つの対策IDにつき一つのテキストファイルを用いて上記データを記述することにより対策情報データベースを構築している。この場合、対策ID411をそのテキストファイルの名前とし、ファイルの内容には「[」「]」で囲まれるラベルで区切られた個々のフィールドに、対応する検査ID412、対策方法413、メモ欄414をそれぞれ記述する。このテキストファイルのことを対策情報ファイル410と呼ぶことにする。
【0024】
検査項目データベース132と対策情報データベース134は、新たにCERT (Computer Emergency Response Team) 等で公表されたセキュリティ上の弱点および対策を、インタフェース制御114が表示装置16に表示する操作画面を通じて、あるいは通常のテキストエディタを利用して、検査項目ファイル310と対策情報ファイル410形式のテキストファイルを操作者が追加することで適宜更新が行われる。
【0025】
次に、上記構成のセキュリティ診断システムの動作について説明する。
【0026】
図5、図8、図9、図13はセキュリティ診断システムの動作を説明するためのフローチャートである。
【0027】
まず、図5は、セキュリティ診断システムの全体処理手順の概要を説明するためのフローチャートである。図5において、システム全体の処理手順は、セキュリティ診断システム201の検査対象となる計算機203に関する情報を登録するステップ501と、スケジュール制御111が継続的な起動トリガを発行するステップ502と、検査エンジン制御112がネットワーク経由により検査対象に対してセキュリティ診断を行うステップ503と、分析エンジン制御113が過去の診断結果と合わせて分析処理を行うステップ504を順に実行し、再びスケジュールに沿って起動トリガを発行するステップ502に戻ることで実現される。以下では各ステップの処理動作を説明する。
【0028】
ステップ501において、インタフェース制御114は、検査対象の登録を行うための入力インタフェースの画面を表示装置16に表示する。
【0029】
図6に示すGUI(Graphical User Interface)は入力インタフェースの一実施の形態であり、大きく3つのフィールドから構成される。
【0030】
(1)複数の検査対象の指定
図2に示したように、セキュリティ診断システム201はネットワークに接続された複数の計算機203を診断することができるため、本フィールドでは、一つのIPアドレスまたはホスト名を指定する手段を提供する入力ボックス601、前記指定したIPアドレス等を検査対象に追加する手段を提供するボタン602、前記指定したIPアドレス等を検査対象から削除する手段を提供するボタン603、および現在登録されているIPアドレス等の一覧を表示する手段を提供する表示部分604から構成される。
【0031】
(2)検査間隔の指定
定期的にセキュリティ診断を行う検査間隔を指定する選択ボックス605から構成される。
【0032】
(3)リアルタイム検査の指定
前記(2)の検査間隔以外に、操作者が任意のタイミングでのセキュリティ診断の実施を要求することのできるボタン606から構成される。その他に検査対象ごとに変化する、セキュリティ診断に必要な設定パラメータを指定する画面へと遷移するボタン607も本GUIに含まれる。
【0033】
図6において、操作者が入力ボックス601で指定したIPアドレスまたはホスト名は、追加ボタン602を押したタイミングでインタフェース制御114によりホスト名解決が行われ、一様にIPアドレスに統一されて表示部分604に表示される。図6において操作者がGUIで入力した、検査対象のIPアドレスや検査間隔の情報は、インタフェース制御114によって設定情報データベース131に格納される。
【0034】
図7に、設定情報データベース131の構成図を示す。設定情報データベース131には、図6に示すGUIを通じて操作者が入力した検査対象の情報と検査間隔の情報とを、一行あたり「(キー)=(値)」という文字列を記述したものが複数行並ぶテキストファイルの形式に格納する。例えば、図7において、検査対象の情報は、「IPADDRESS=(検査対象のIPアドレス)」という形式で複数行にわたって格納される。また、検査間隔の情報は、「INTERVAL=(特定の文字列)」という形式で格納される。特定の文字列としては、「1perday」(一日一回)あるいは「1perweek」(一週間に一回)あるいは「1permonth」(一月に一回)などをセットした上で格納される。
【0035】
ステップ502において、検査エンジン制御112を呼び出すための処理は、スケジュール制御111により、図8に示すフローチャートに沿って実行される。
【0036】
図8において、まず図6のボタン606が押された場合(ステップ701)、スケジュール制御111はリアルタイム検査を実行するために、即座に検査エンジン制御112を実行する(ステップ706)。また、図6の選択ボックスの指定が行われた場合、スケジュール制御111は検査間隔を指定された間隔に変更し、その間隔を設定情報データベース131に格納し(ステップ703)、そうでない場合スケジュール制御111はデフォルトで用意する検査間隔による指定間隔をセットする(ステップ704)。その後、スケジュール制御111は、現在時刻が上記における指定間隔に達した場合に、検査エンジン制御112を起動する(ステップ706)。以上の処理動作により、セキュリティ診断は自動的かつ継続的かつ定期的に行うことができ、さらに操作者の要求する任意のタイミングでのセキュリティ診断も実施可能である。
【0037】
なお前述の現在時刻が指定間隔に達することを実現するプログラムとして、Unixによるcronを利用してもよい。
【0038】
ステップ503において、検査対象203に対するセキュリティ診断の処理は、検査エンジンム制御112により、図9に示すフローチャートに沿って実行される。
【0039】
図9において、検査エンジン制御112は、図5におけるステップ502終了後に起動開始する(ステップ801)。まず検査エンジン制御112は設定情報データベース131を検索し、検査対象となる全てのIPアドレス情報を取得する(ステップ802)。次に検査エンジン制御112は検査項目データベース132を検索して検査項目ファイル310を読み込み(ステップ803)、検査項目ファイル310内の検査データ313の情報に基づき検査対象203に対して問題があるか否かを診断することを行う(ステップ804)。この操作を全ての検査項目が完了するまで(ステップ805)、かつ全ての検査対象に対して診断が完了するまで(ステップ806)行う。これらの診断結果は、結果保存データベース133に格納される(ステップ807)。
【0040】
前述のセキュリティ診断処理のステップ804に関してさらに具体的な説明図を図10に示す。検査対象203に対してセキュリティ診断を実施するステップ804は、検査エンジンプログラム122における次の処理を組み合わせることにより実現する。
【0041】
(1)インタプリタ処理901
本処理では、ステップ803で取り出された検査項目ファイル310の中から、処理動作を指定するシーケンス部921と送信データを指定するパラメータ部922と問題有無の選別方法を指定するフィルタ部923とからなる検査データ313を記述した部分を読み込み(処理911)、セキュリティ診断のための内部処理用データに変換する。
【0042】
ここで、図10に示した検査データ313の検査内容の一例について説明する。検査データ313の一例の検査内容は、侵入者が侵入の際に利用するネットワークのネットマスク情報を取得することができるかどうかを確認するというものである。シーケンス部921では、検査にかかわる全体スケジュールを指定する。検査データ313の一例では、まずpacket1を送信し、次にfilter2に合致するpacket2を受信することを行う。また、パケットの送受信を確認するためのprint表示を行う。パラメータ部922では、送信するパケットの内容を指定する。検査データ313の例では、宛先IPアドレス192.168.0.2に対して、送信元IPアドレス192.168.0.1がセットされたICMPネットマスクリクエストを送信する。フィルタ部923では、ネットワークから受信すべきパケットの内容を指定する。検査データ313の例では、ICMPネットマスクリプライパケットを受信する。検査データ313は、検査エンジンプログラム122が解釈することができるフォーマットで記述された独自言語で記述される。
【0043】
図11に、図10における検査エンジン制御112のインタプリタ処理901が、検査データ313を内部処理用データに変換した場合の構成図を示す。インタプリタ処理901においては、検査データ313を読み込み、検査スケジュールが指定されたシーケンス部921と、送信パケットの内容が指定されたパラメータ部922と、受信パケットの内容が指定されたフィルタ部923の情報から、送信パケットの内容3001および受信パケットの内容3002を、メモリ12に格納する。例えば、送信パケットを見た場合、「ip_p=ICMP」という情報から、IPヘッダの上位プロトコルの領域に、ICMPという情報がセットされる。
【0044】
(2)診断処理902
本処理では、処理(1)からの内部処理用データにもとづき、検査対象203に対してシーケンス部921に記述された動作について、通信装置14を通してネットワーク経由によるパラメータ部922に沿ったデータ送信を行い、検査対象203からの応答データをフィルタ部923に沿って解析を行い、検査対象203側において問題があるか否かを判断する。
【0045】
すなわち、検査エンジン制御112は、通信装置14を通じて、送信パケットの内容3001の内容をネットワークへと送信する。さらに、検査エンジン制御112は、通信装置14を通じて、ネットワークから、受信パケットの内容3002に合致するパケットを受信する。
【0046】
図11をもとに具体的な診断例を示す。診断により問題があると判断されるのは、通信装置14がfilter2に一致するパケットを受信した場合である。診断により問題がないと判断されるのは、通信装置14が受信したパケットがfilter2に一致しない場合である。つまり図11では、検査対象に対してICMPネットマスクリクエストのパケット3001をネットワークに送出したとき、検査対象からのICMPネットマスクリプライのパケット3002を通信装置14が受信した場合に、問題ありと判断する。
【0047】
(3)整形処理903
本処理では、処理(2)からの診断結果を、検査対象のIPアドレス情報とタイムスタンプ情報の組をファイル名とする一つのテキストファイルに、そのアドレス情報とタイムスタンプ情報に対応する検査結果を順次出力する。
【0048】
図12に前記ステップ807での出力形式の一例を示す。図12において出力形式は、診断を行った日時を表すタイムスタンプ情報と検査対象との組が一対となり、その組が一つのテキストファイルの名前となり、そのファイルの内容には該当組の全ての検査項目に対する診断結果が記録されたテキストファイル群という形式である。このテキストファイルのことを結果保存ファイルと呼ぶことにする。例えば図12において、1001の示す TS1, TS2, TS3 はタイムスタンプ情報、具体的には20000701(2000年7月1日)等を表し、WEB1, WEB2 は検査対象のIPアドレス、具体的には192.168.1.1等を表し、組の表現はアンダースコアでつなげた「20000701_192.168.1.1」でファイル名となる。このテキストファイルの内容は、空白を区切りとして、実施した検査項目の検査ID301とその検査結果が問題なかった場合には「○」、問題があった場合には「×」とが1行を形成し、検査ID301の全てに渡ってその検査結果が列方向に並んでいるものである。
【0049】
ステップ504において、検査結果の解析処理は、分析エンジン制御113により、図13に示すフローチャートに沿って実行される。
【0050】
図13において、分析エンジン制御113は、図5におけるステップ503終了後に、CPU11上のプロセスとして実行開始される(ステップ1101)。次に分析エンジン制御113は、設定情報データベース131にアクセスし検査対象のIPアドレス情報を取得する(ステップ1102)。取得したIPアドレスのうちの一つについて、結果保存データベース134からそのIPアドレスに対応する検査対象に関する結果保存ファイルを全て取り出し(ステップ1103)、取り出した検査結果をもとに時系列変化マトリックスをメモリ12上に作成する(ステップ1104)。この時系列変化マトリックスの一例を図14に示す。図14における時系列変化マトリックス1201は、検査ID301を行とし、時系列順のタイムスタンプ情報1202を列とするものであり、マトリックスの各要素には図12に示す結果保存データベース133に記録された検査結果がそれぞれセットされる。なお、検査結果が結果保存データベース134に見つからない場合には要素として「−」がセットされる。次に分析エンジン制御113は、この作成された時系列変化マトリックス1201を基に次のような計算などの処理を行う(ステップ1105)。
【0051】
(1)行方向処理
例えば、検査ID「TEST1」1205を見た場合、時系列変化マトリックス1201の行方向に沿った処理を行い、検査結果が「×」となっている最初と最後のタイムスタンプTS1とTS2から、その間はセキュリティ対策が未実施であったことを示す対策未実施期間RT1をRT1=TS2−TS1で計算する。その他の検査IDについても同様の計算処理を行い、対策未実施期間1203をメモリ12上に格納する。
【0052】
(2)列方向処理
全てのタイムスタンプについて同一列方向にある「×」印の個数をカウントし、その結果である問題点が発見された個数を示す対策未実施数1204をメモリ12上に格納する。
【0053】
(3)データベースとの対応づけ
例えば、検査ID「TEST1」1205を見た場合、検査項目データベース132を検索して検査IDに「TEST1」をもつ検査項目ファイル310を探し出し、ファイル内にある検査内容の説明312との対応づけ1206を行う。さらに対策情報データベース134を検索して、対応する検査IDに「TEST1」をもつ対策情報ファイル410を探し出し、ファイル内にある対策方法413との対応づけ1207を行う。これらの対応づけをメモリ12上に格納する。
【0054】
以上の処理を行った後、分析エンジン制御113は、一つの検査対象に関する対策レポートを表示装置16に出力し(ステップ1106)、以下全ての検査対象についても同様の処理を行う(ステップ1107)。
【0055】
図15〜図17に、前記の対策レポートの一例を示す。
【0056】
図15は最新結果に関する対策レポートの例である。操作者はタグ1301を選択することにより図16や図17に示す画面に遷移することができる。図15において、操作者は、検査対象Webサーバ1を対象に行った最新のセキュリティ診断の結果、発見された問題点の順番を表す項番1302、その問題点の検査IDとの対応づけ1206がなされた問題点の説明1303、その問題点の検査IDとの対応づけ1207がなされた対策方法1305、その問題点の検査IDに関して時系列変化マトリックス1201上で行方向計算した結果1203である対策未実施期間1306を列挙した一覧表を見ることができる。また前記の検査IDと対策方法との対応付け1207において、複数個の検査IDに対して一つの対策方法が対応する場合には、図15の矢印1304に示すように関連する対策方法が重複を除いたまとめた形でポイント表示される。操作者は本画面を通して、セキュリティ上の問題点と問題に対応して関連付けられた対策方法および、対策が未実施のままになっている期間を把握することが出来る。
【0057】
図16はセキュリティ対策の進捗状況に関する対策レポートの例である。操作者は、タグ1401を選択することにより、発見された問題点1403の時系列変化マトリックス1201の要素を基に出力された時系列変化1404を見ることが出来る。また、発見された問題点は、その影響度に応じて、時系列変化1404の中で色付け表示をしてもよく、操作者は本画面を通して、セキュリティ対策状況の時系列変化を把握することができる。
【0058】
図17はセキュリティ対策における対策未実施数に関する推移グラフである。操作者はタグ1501を選択することにより、縦軸1502が対策未実施の個数で横軸1503が時間軸を表す、時系列変化マトリックス1201上で列方向計算した結果1204である対策未実施数の棒グラフを見ることが出来る。操作者は本画面を通して、セキュリティ対策の進み具合と残りの個数を把握することが出来る。
【0059】
さらに、これらの時系列変化に関するデータをもとに、分析エンジン制御113は、一定のしきい値を越えた期間にわたって対策が未実施のままになっている問題点を列挙して表示装置16に出力したり、また電子メール等の手段を用いてセキュリティ管理者に対して通知することも可能である。
【0060】
さらに、分析エンジン制御113は、一度は問題があると診断された箇所がその後に続く診断では問題がない場合には、セキュリティ対策が完了したことを確認した旨の内容を表示装置16に出力することも可能である。本画面を通じて、操作者はセキュリティ対策の完了を確認することができる。
【0061】
以上の動作を用いて、セキュリティ診断システム201は、検査対象となる計算機203に対してセキュリティ診断のアフターフォローを継続的に行い、セキュリティ管理者およびセキュリティ・コンサルティングの作業者は、最初に一度だけ検査対象を登録しておくだけで、継続的にこれらの対策レポートの図15〜図17を得ることができ、セキュリティ対策の進捗状況を容易に把握することができる。これにより、本発明の目的を達成する。
【0062】
さらに、操作者は診断結果の時系列変化を把握した上で、検査を強化すべき項目などについて、インタフェース制御114が表示装置16に表示するデータベース操作画面を通じてあるいは通常のテキストエディタを利用して、検査項目ファイル310の検査データ313などの該当フィールドに対して追加や編集を行ったりすることもできる。また、バージョンアップなどによって変化する検査対象に応じて必要な対策情報ファイル410の対策方法413などの該当フィールドに対して追加や編集を行ったりすることで、操作者は対象環境に適した検査ノウハウを蓄積していくことができる。これにより、検査項目のカスタマイズを容易にし、対象環境に適した検査項目を構成しかつ検査結果からの効率的なフィードバックを可能とすることができる。
【0063】
本発明の第二の実施の形態として、図1に示すセキュリティ診断システムにおいて、検査項目データベース132と検査エンジンプログラム122の代わりに、第一の実施の形態で述べた以外の既存の商用ツールやフリーソフトを用いた場合を説明する。この場合の構成図を図18に示す。スケジュールプログラム121は他検査ツール1601を起動する。他検査ツール1601の出力結果は、変換アダプタ1602を設けることにより、分析エンジンプログラム123が処理可能な形式に変換される。例えば検査ツールの出力形式がHTMLファイルの場合には、変換アダプタ1602はHTMLファイルの内容から診断結果に関する情報を収集し、分析エンジンプログラム123が処理可能な図12の結果保存ファイルの形式に変換する。分析エンジン制御113は、変換アダプタを通した複数の診断結果をもとに、他検査ツールによる検査項目に関する時系列変化を分析する。
【0064】
この実施の形態によると、操作者は、既に入手した検査ツールあるいは既に利用している検査ツールを利用して、本発明による継続的なセキュリティ診断およびその時系列分析の自動化を実現することが可能であり、本発明の目的を達成することができる。
【0065】
次に、本発明の第二の実施の形態の詳細について説明する。
【0066】
変換アダプタ1602は、図19に示すように、他検査ツール1601の出力結果ファイル2101を、結果保存データベース133と整合性の有る結果保存ファイル1001に変換する。
【0067】
図20に、変換アダプタ1602の動作フローチャートを示す。
【0068】
まず、他検査ツール1601の検査項目一覧のファイルがある場合、変換アダプタ1602は、この検査項目一覧のファイルと検査項目データベース132との対応付けを行う(ステップ2001、ステップ2002)。ここで対応付けが確認された検査項目ファイルについては、その検査IDに「○」を対応させ、メモリ12に格納する(ステップ2003)。
【0069】
次に、他検査ツール1601の検査を行った後の出力結果ファイル2101に対して、検査項目データベース132との対応付けを行う(ステップ2004)。ここで対応付けが確認できた検査項目ファイルについては、その検査IDに「×」を対応させ、メモリ12に格納する(ステップ2005)。以上の処理が完了すれば、メモリ12に格納されている検査IDと「○」「×」とを、結果保存ファイル1001に出力する(ステップ2006)。
【0070】
次に、上記ステップ2002の対応付けと、上記ステップ2004の対応付けについて、詳細に説明する。
【0071】
まず、図21に示すように、検査項目ファイル310に、検査内容にかかわる言葉を集めた「キーワード」欄を追加しておく。
【0072】
図22に、ステップ2002の対応付けと、ステップ2004の対応付けとを行う際の動作を示すフローチャートを示す。
【0073】
図22のフローチャートにおいては、まず、入力ファイルに対して、その書式からタイトルや説明文を抽出する(ステップ2201)。ここで、「入力ファイル」とは、ステップ2002においては「他検査ツール1601の検査項目一覧」を指し、ステップ2004においては「他検査ツール1601の出力結果ファイル2101」を指す。
【0074】
次に、前記タイトルや説明文と、検査項目データベース132内の検査項目ファイル310のキーワード欄にある文字列とのパターンマッチを行い、合致したキーワードの個数をカウントし、メモリ12に格納する(ステップ2202)。
【0075】
次に、合致したキーワードの個数が最大である検査項目ファイル310の検査IDを対応付けができたと判断し、その検査IDをメモリ12に格納する(ステップ2203)。
【0076】
ここで、ステップ2002の対応付けの具体例を、図23に示す。図23においては、他検査ツール1601の検査項目一覧がHTMLファイル3101の場合を示す。図23の他検査ツール1601の検査項目一覧ファイル3101においては、二番目の検査項目に対して、検査ID「TEST3」の検査項目ファイルのキーワードが、最も多く合致している。この場合、他検査ツール1601の検査項目一覧ファイル3101のうち二番目の検査項目に対しては、検査ID「TEST3」が対応できたと判断し、検査ID「TEST3」に対して、「○」を対応させる。なお、こうした対応付けの結果、複数の検査IDに対応することが有ってもよい。また、どの検査項目ファイルにも合致しない場合には、対応付けができなかった旨を、表示装置16に表示する。
【0077】
次に、ステップ2004の対応付けの具体例を、図24に示す。図24においては、他検査ツール1601の出力結果ファイル2301の二番目の問題点に対して、検査ID「TEST3」の検査項目ファイルのキーワードが、最も多く合致している。この場合、他検査ツール1601の出力結果ファイル2301の二番目の問題点に対して、検査ID「TEST3」が対応できたと判断し、検査ID「TEST3」に対して、「×」を対応させる。なお、こうした対応付けの結果、複数の検査IDに対応することが有ってもよい。また、どの検査項目ファイルにも合致しない場合には、対応付けができなかった旨を、表示装置16に表示する。
【0078】
本発明の第三の実施の形態として、図1に示すセキュリティ診断システムにおいて、検査項目データベース132と検査エンジンプログラム122と組み合わせて、第一の実施の形態で述べた以外の既存の商用ツールやフリーソフトを用いた場合を説明する。この場合の構成図を図25に示す。スケジュールプログラム121は図1に示す実施の形態で述べた検査エンジンプログラム122とともに、その他の検査ツール1601を起動する。他の検査ツール1601の出力結果は、第二の実施の形態で説明した変換アダプタ1602を経由することにより、分析エンジンプログラム123が処理可能な形式に変換される。分析エンジン制御113は、図1に示す検査項目データベース132による検査項目とともに、他の検査ツールによる検査項目に関する時系列変化も合わせて分析する。
【0079】
この実施の形態によると操作者は、図1に示す対象環境に応じた個別な診断項目を実施する特徴をもつ診断システムと、一般的な対象環境に対して共通的な診断項目を実施する特徴をもつ検査ツールとを組み合わせることにより、検査対象に対してより網羅的かつ体系的なセキュリティ診断を実施することができる。
【0080】
次に、本発明の第三の実施の形態の詳細について説明する。
【0081】
まず、図26に示すフローチャートを使用して、本発明の第三の実施の形態における動作の説明を行う。
【0082】
図26においては、まず、スケジュールプログラム121が、定期間隔で起動トリガを発行し(ステップ2401)、他の検査ツール1601と検査エンジンプログラム122とが、最低一回ずつ起動する(ステップ2402)。まず、他の検査ツール1601が起動しセキュリティ検査を実施する(ステップ2403)。このセキュリティ検査後の出力結果については、変換アダプタ1602が、結果保存データベース133と整合性の有る結果保存ファイルへと、図19のように形式変換を行い(ステップ2404)、結果保存データベース133に格納する(ステップ2405)。その後、分析エンジンプログラム123が、全ての結果保存ファイルの解析を行い、一度目のレポート表示を行う(ステップ2408)。
【0083】
この表示を見た操作者により、検査項目データベース132にある検査項目ファイル310ならびに対策情報データベース134にある対策情報ファイル410のカスタマイズが必要か否かを指示され、この指示を受け付ける(ステップ2408.5)。カスタマイズが必要でない場合には、ステップ2401に戻る。カスタマイズが必要な場合には、操作者により、検査項目データベース132にある検査項目ファイル310ならびに対策情報データベース134にある対策情報ファイル410のカスタマイズを行われる。例えば、図10の検査データ313に相当する部分の追加あるいは修正、また図4の対応する検査ID402に相当する部分の追加あるいは修正を行われる(ステップ2409)。ここで、操作者により、図6に示したリアルタイム検査を実行するボタン606を押されると、ステップ2402へ戻り、検査エンジンプログラム122が、実行される。検査エンジンプログラム122は、操作者により追加された検査をも含めて検査を実施し(ステップ2406)、検査結果を結果保存ファイル1001として、結果保存データベース133に出力する(ステップ2407)。その後、再び、分析エンジンプログラム123が結果の解析を行い、レポート表示を行う(ステップ2408)。
【0084】
次に、図27および図28に、前記図26のステップ2405とステップ2407においての出力形式の一例を示す。すなわち、図27は、本発明の第三の実施の形態における結果保存ファイルの形式を示す。そして、図28は、本発明の第三の実施の形態における結果保存データベースの構成図を示す。
【0085】
図27および図28において、出力形式は、診断を行った日時を表すタイムスタンプ情報と、検査対象のIPアドレス情報との組が一対となり、その組がひとつのテキストファイルの名前となり、そのファイルの内容には、前記タイムスタンプと前記検査対象に対して実施された検査に対する全ての診断結果が記録されたテキストファイルという形式である。ただし、同一タイムスタンプかつ同一検査対象に関する診断結果が記録されたテキストファイルが既に存在する場合、ファイル出力を行うステップ2405およびステップ2407においては、ファイルの語尾にリビジョン情報を付加して出力を行う。
【0086】
例えば、図27は、操作者が、以下に示す手順を踏んで実施した検査結果の一例である。
【0087】
まず、タイムスタンプ「TS3」、検査対象「WEB1」に対して、図25に示す他の検査ツール1601により、検査項目全体にわたる検査を実施して、結果保存ファイル2501を得る。
【0088】
次に、前記検査において問題が発見された「TEST2」に関し、図25に示す検査エンジンプログラム122により、その検査内容をカスタマイズした検査「TEST2.1」、「TEST2.2」、「TEST2.3」を実施して、結果保存ファイル2502を得る。
【0089】
さらに、前記検査において問題が発見された「TEST2.2」に関し、図25に示す検査エンジンプログラム122により、その検査内容をカスタマイズした検査「TEST2.2.1」、「TEST2.2.2」、「TEST2.2.3」を実施して、結果保存ファイル2503を得る。
【0090】
このように、本実施の形態においては、直前の検査にてセキュリティ上の問題点が発見された個所をさらに細かく検査し、その結果を先に示した形式で保存することを特徴とする。
【0091】
図28においては、図27で示した結果保存ファイル2501、結果保存ファイル2502および結果保存ファイル2503が格納されている結果保存データベースの構成図が示されている。図28の丸囲み2601において、結果保存ファイル2501、結果保存ファイル2502および結果保存ファイル2503には、先に述べたような階層的な関係が存在する。
【0092】
このように、本実施の形態においては、結果保存データベースに、階層的な関係にある複数の結果保存ファイルを格納することができることを特徴とする。
【0093】
次に、図29に、分析エンジンプログラム123が段階的に結果を分析する動作のフローチャートを示す。図30に、分析エンジンプログラム123が出力する対策レポートの一例を示す。図29においては、図13に示した分析エンジン制御113の動作フローチャートに新たにステップ2701とステップ2702とが追加される。
【0094】
まず、ステップ2701について説明する。分析エンジン制御113は、同一タイムスタンプを有する結果保存ファイルをグループ化する。グループ化された範囲内で、一つの検査IDあたり複数の検査結果がある場合には、最新リビジョンの結果保存ファイルにある結果を、当タイムスタンプの検査結果とする。
【0095】
例えば、図28に示す結果保存データベースの場合、検査対象「WEB1」を対象に、タイムスタンプ「TS1」で一回、「TS2」で一回、「TS3」で三回の検査が行われている。特に、タイムスタンプ「TS3」の結果保存ファイルのグループ化を、丸囲み2601で示す。このグループ化の中で、分析エンジン制御113は、各検査IDごとに、最新リビジョンの検査結果を検索し、「TS3」の検査結果とする。これにより、それぞれの検査IDにつき、「TS3」のちょうど一つの検査結果が対応する。
【0096】
次に、ステップ2702について説明する。分析エンジン制御113は、検査IDに付けられたリビジョン情報をもとに、操作者がカスタマイズして実施した検査間の関連性を判断する。例えば、図28の丸囲み2601に着目した場合、「TEST2.2」が「TEST2」から派生され、「TEST2.2.1」が「TEST2.2」から派生されたと判断する。こうして判断された関連性は、図30の矢印2802で示すように視覚化して表示される。
【0097】
操作者は、対策レポート2801を見て、操作者がカスタマイズして行った検査の関連性を、容易に把握することができる。
【0098】
本発明の第四の実施の形態として、図1に示すセキュリティ診断システムにおいて、検査項目データベース132と対策情報データベース134は、通信装置14を利用してネットワーク202経由により他の計算機の外部記憶装置上に構築する場合を説明する。この場合の構成図を図31に示す。この場合の実施の形態では、複数のセキュリティ診断システム201は共通のデータベース132および134を利用する。セキュリティ管理者はデータベースの更新時において一個所だけのデータベース更新だけで済み、データベース更新の効率化を図ることができる。
【0099】
本発明の第五の実施の形態として、図1に示すセキュリティ診断システムにおいて、インタフェース制御114は、通信装置14を利用してネットワーク経由により他の計算機のCPU上に構築する場合を説明する。この場合の構成図を図32に示す。この場合の実施例では、インタフェースプログラム124はネットワーク202を経由してセキュリティ診断システム201を操作する。セキュリティ管理者はセキュリティ診断システムをリモートから操作できることにより、診断システムを構築した計算機の入力装置15のある場所に操作者が行かなくても、操作者の手元にある計算機の入力装置を用いることにより操作することが可能であり、システム操作の効率化を図ることができる。
【0100】
例えば、インタフェース制御114がCGI(Common Gateway Interface)を利用したWebインタフェースで提供される場合には、操作者側はWebブラウザを用意しておくだけで、本発明による診断システムをリモート操作することができる。
【0101】
以上に述べたように、本発明では、セキュリティ診断を継続的に行い、その診断結果の時系列変化を自動的に分析することができる。具体的には、本発明の実施の形態では、診断システムがスケジュール手段を用いてセキュリティ診断を継続的に行い、その診断結果の時系列変化を分析手段を用いて分析し、最新結果に関する対策レポートや、過去の結果と比較した進捗状況に関する対策レポート、あるいは対策未実施数に関する推移グラフをインターフェース手段を用いて提示することにより、セキュリティ管理者がセキュリティ対策の進捗状況を一目で確認し、一定レベルのセキュリティの維持を確認できることを可能にする。例えば、セキュリティ管理者が前回問題があると診断された検査項目が依然として問題になっている点を把握したり、また、前回も今回も問題がなくセキュリティ確保が行われていることを確認したり、また、前回は問題があったがセキュリティ対策を施したために今回は問題が発見されずといった対策の検証を行ったりすることができる。
【0102】
また、本発明では、検査項目のカスタマイズを容易にし、対象環境に適した検査項目を構成しかつ検査結果からの効率的なフィードバックを可能とすることができる。具体的には、本発明の実施の形態では、セキュリティ診断処理で利用する検査項目ファイルが、処理動作を指定するシーケンス部と送信データを指定するパラメータ部と問題有無の選別方法を指定するフィルタ部とからなる形式であり、操作者にとって追加などの操作が容易な形式にしたため、操作者は対象環境に適した検査項目の修正あるいは時系列結果分析から必要とされる検査項目の追加などを効率よく行うことができ、操作者がセキュリティ診断のノウハウを蓄積および学習していくことを可能にする。
【0103】
さらに、本発明では、一般的な対象環境に対して共通的な検査項目を実施する特徴をもつ診断ツールと、本発明による検査項目のカスタマイズが容易という特徴をもつ検査ツールとを組み合わせて、網羅的かつ体系的なセキュリティ診断を実施することができる。具体的には、本発明の実施の形態では、対象環境に応じた個別な診断項目を実施する特徴をもつ本発明の診断システムと、環境に対して共通的な診断項目を実施する特徴をもつ他の検査ツールとをスケジュール手段を用いて組み合わせ、それぞれの診断結果を分析手段を用いて統一的に処理することにより、セキュリティ管理者がより網羅的かつ体系的なセキュリティ診断を実施することを可能にする。
【0104】
【発明の効果】
以上のように、本発明によれば、セキュリティ診断を継続的に行い、その診断結果の時系列変化を自動的に分析することができる。
【図面の簡単な説明】
【図1】セキュリティ診断システムの概略ブロック図。
【図2】セキュリティ診断システムと診断対象のネットワーク接続図。
【図3】検査項目データベースの構成図。
【図4】対策情報データベースの構成図。
【図5】全体の処理手順の概略を与える動作フローチャート。
【図6】入力インタフェースの画面図。
【図7】設定情報データベースのデータ図。
【図8】スケジュール制御の動作フローチャート。
【図9】検査エンジン制御の動作フローチャート。
【図10】セキュリティ診断処理のブロック図。
【図11】内部処理用データの構成図。
【図12】結果保存データベースの構成図。
【図13】分析エンジン制御の動作フローチャート。
【図14】時系列変化マトリックスのデータテーブルを表す説明図。
【図15】対策レポート(最新結果)の画面図。
【図16】対策レポート(進捗状況)の画面図。
【図17】対策レポート(推移グラフ)の画面図。
【図18】本発明による検査プログラムの代わりに他検査ツールを利用する場合を示すブロック図。
【図19】変換アダプタによる形式変換の具体例を示す説明図。
【図20】変換アダプタの動作フローチャート。
【図21】検査項目データベースの構成図。
【図22】検査項目データベースとの対応付けを行うフローチャート。
【図23】検査項目データベースとの対応付けの具体例を示す説明図。
【図24】変換アダプタによるマッピングについての具体例を示す説明図。
【図25】本発明による検査プログラムと組み合わせて他検査ツールを利用する場合を示すブロック図。
【図26】第三の実施の形態の処理の動作を示すフローチャート。
【図27】第三の実施の形態における結果保存ファイルの形式を示す説明図。
【図28】第三の実施の形態における結果保存データベースの構成図。
【図29】第三の実施の形態における分析エンジンプログラムの動作フローチャート。
【図30】第三の実施の形態における対策レポートの具体例を示す説明図。
【図31】検査項目データベースと対策情報データベースを共通利用する場合を示すネットワーク接続図。
【図32】インタフェースプログラムが診断システムをリモートから利用する場合を示すネットワーク接続図。
【符号の説明】
11 CPU
111 スケジュール制御
112 検査エンジン制御
113 分析エンジン制御
114 インタフェース制御
12 メモリ
121 スケジュールプログラム
122 検査エンジンプログラム
123 分析エンジンプログラム
124 インタフェースプログラム
13 外部記憶装置
131 設定情報データベース
132 検査項目データベース
133 結果保存データベース
134 対策情報データベース
14 通信装置
15 入力装置
16 表示装置
17 読取り装置
18 バス[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a technique for diagnosing a security weakness of a computer connected to a network. In particular, the present invention relates to a technology for diagnosing weaknesses in security of computers connected to the Internet and an intranet.
[0002]
[Prior art]
According to the document Unix Review's PERFORMANCE COMPUTING, April 1999 VOL.17 NO.4, pp60-61, "NETWORK SECURITY" , SATA (the Security Administrator's Tool for Analyzing Networks) is introduced. Also, according to the document Data Communications International, November 1998 Vol.27 No.16, pp108, "Hackershield for Windows NT", a security diagnostic tool for finding security weaknesses in Windows NT computers is introduced.
[0003]
These security diagnostic tools apply diagnostics to Web servers, DNS servers, routers, firewalls, etc. connected to the network. After conducting hundreds of types of inspection items, such as checking for security holes and checking for incomplete settings. , Output a result report including enumeration of discovered problems, risk from the perspective of impact, security countermeasure information, etc.
[0004]
Security managers and security consulting workers use these security diagnostic tools to grasp the security weaknesses of the computers to be inspected from the result reports that are output from the tools, and to apply security such as applying patches. Consider implementing measures. In addition, in order to verify security measures, security managers conduct security measures again after taking measures against problems that have been discovered once, and check whether the problems have been corrected.
[0005]
[Problems to be solved by the invention]
According to the two documents listed above, the security diagnostic tool of the prior art has only a function to output a result report regarding only the diagnosis immediately after performing the diagnosis, and security measures to be taken after the security diagnosis are not yet implemented. It was not possible to analyze the time series change of the security diagnosis result that grasps whether it is left or completed. The security administrator had to manually perform the task of grasping the difference between the previous inspection range and the current inspection range, or grasping the difference between the previous inspection result and the current inspection result.
[0006]
An object of the present invention is to perform security diagnosis continuously and automatically analyze a time-series change of the diagnosis result.
[0007]
[Means for Solving the Problems]
In order to solve the above problems, in the present invention,
In the security diagnostic system that checks the security weaknesses of computers,
A scheduling means for providing a plurality of timings for performing the inspection;
An inspection unit for performing an inspection of a weak point in security of each computer at a plurality of timings given from the schedule unit;
Analyzing means for analyzing, in a time series, the transition of the inspection result accompanying the transition of the inspection time, with respect to the inspection results at a plurality of timings carried out by the inspection means;
Interface means for displaying an analysis result by the analysis means;
And a security diagnosis system characterized by continuously performing security diagnosis.
[0008]
In the present invention,
A sequence unit for designating a processing operation per test, a parameter unit for designating transmission data to the computer corresponding to the sequence unit, and a filter unit for designating a method for confirming whether there is a problem in the computer Storage means for storing at least one inspection data can be provided.
[0009]
Then, the inspection unit transmits the transmission data specified by the parameter unit to the computer in accordance with the processing operation specified by the sequence unit based on the inspection data, and a response from the computer The data can be inspected by confirming whether or not there is a problem by the confirmation method specified by the filter unit.
[0010]
Thus, a security diagnosis system is configured in which inspection data suitable for the environment of the computer can be easily customized.
[0011]
Furthermore, in the present invention,
A storage means for storing an inspection tool including inspection contents common to a plurality of computers is provided.
An inspection tool executing means for executing the inspection tool and inspecting the computer for a security weak point;
A conversion means for converting the result of the inspection by the inspection tool execution means into a format that can be analyzed by the analysis means;
The analysis means can also analyze the inspection result in the format converted by the conversion means.
[0012]
As a result, a security diagnosis system characterized in that comprehensive and systematic security diagnosis can be implemented.
[0013]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail.
[0014]
FIG. 1 is a schematic block diagram of a security diagnosis system to which the first embodiment of the present invention is applied. The security diagnosis system 201 includes a CPU 11, a memory 12, an external storage device 13 such as a hard disk, a communication device 14 connected to a network, an input device 15 such as a keyboard and a mouse, a display device 16 such as a display, It can be constructed on an electronic computer including a reading device 17 that reads data from a portable storage medium such as an FD and a bus 18 that controls data transmission / reception between the above-described components.
[0015]
Here, the external storage device 13 stores a schedule program 121, an inspection engine program 122, an analysis engine program 123, and an interface program 124 for constructing the security diagnosis system 201 on an electronic computer. By executing the schedule program 121 loaded on the memory 12 by the CPU 11, the process of the schedule control 111 for starting the inspection engine program 122 periodically and at the timing requested by the operator is realized. In addition, the CPU 11 executes the inspection engine program 122 loaded on the memory 12 to search the inspection item database 132 in which a plurality of inspection items are stored, perform security diagnosis via the network through the communication device 14, and The process of the inspection engine control 112 for outputting the diagnosis result to the result storage database 133 is realized. In addition, the CPU 11 executes the analysis engine program 123 loaded on the memory 12, thereby processing the data stored in the result storage database 133, searching the countermeasure information database 134 for necessary data, and controlling the interface. The process of the analysis engine control 113 for outputting the result to the display device 16 through 114 is realized. In addition, the CPU 11 executes the interface program 124 loaded on the memory 12 to display the input interface on the display device 16, accept the operator's input from the input device 15, and input the operator to the setting information database 131. The interface control 114 process for saving the contents is realized.
[0016]
FIG. 2 is a diagram showing the relationship between the security diagnosis system according to the present invention and the network connection of the computer to be inspected. The security diagnosis system 201 constructed as described above is connected via a network 202 to a plurality of electronic computers 203 to be inspected for finding weak points in security. The inspection target 203 is a Web server, DNS server, router, firewall, or the like. The network 202 is a network constructed using the TCP / IP protocol such as the Internet or a LAN (Local Area Network).
[0017]
In FIG. 1, the database and the program constructed on the external storage device 13 can be distributed as a single package as software.
[0018]
In FIG. 2, the security diagnosis system 201 can also be constructed on the computer of the inspection target 203 itself. Hereinafter, a case where the security diagnosis system 201 and the inspection target 203 are different computers will be described.
[0019]
3 and 4 show an example of a database used in the security diagnostic system.
[0020]
FIG. 3 shows an inspection item database 132 in which information on inspection items for examining security weaknesses used in security diagnosis is stored. A column 301 stores an inspection ID for uniquely identifying an inspection item. The column 302 stores the description of the inspection content such as the purpose of performing the inspection item, the description of the inspection content, and the description of the security weakness discovered by this inspection, corresponding to the inspection ID in the same row. In column 303, inspection data corresponding to the inspection ID of the same row and transferred to the inspection engine control 112 and storing data necessary for inspection and arguments are stored. A column 304 stores a memo corresponding to the inspection ID in the same row, such as the date when the corresponding inspection item was created, the copyright information of the creator, information about the information source, and the related inspection ID.
[0021]
In FIG. 3, in the present embodiment, an inspection item database is constructed by describing the above data using one text file for each inspection ID. In this case, the examination ID 311 is used as the name of the text file, and the contents of the file are divided into individual fields delimited by labels surrounded by “[” and “]”, the examination description 312, the examination data 313, and the memo column 314. Is described respectively. This text file is called an inspection item file 310.
[0022]
FIG. 4 shows a countermeasure information database 134 in which information on countermeasures against security weak points discovered as a result of security diagnosis is stored. A column 401 stores a countermeasure ID for uniquely identifying the countermeasure information. A column 402 stores an inspection ID 301 corresponding to the countermeasure ID in the same row for identifying an inspection item that finds a security weak point in the inspection target. For example, if the countermeasure information corresponding to the examination ID “TEST1” is given by the countermeasure ID “INFO1”, “TEST1” is described in this column. Here, if necessary, a plurality of examination IDs may be stored. A column 403 stores a security countermeasure method to be executed when a security weakness corresponding to the countermeasure ID in the same row is found. The column 404 stores the date when the corresponding countermeasure information corresponding to the countermeasure ID in the same row is created, the copyright information of the creator, information about the information source, the associated countermeasure ID, and the like.
[0023]
In FIG. 4, in the present embodiment, a countermeasure information database is constructed by describing the above data using one text file for each countermeasure ID. In this case, the countermeasure ID 411 is the name of the text file, and the contents of the file include the corresponding inspection ID 412, countermeasure method 413, and memo column 414 in each field separated by a label surrounded by “[” and “]”. Describe each. This text file is called a countermeasure information file 410.
[0024]
The inspection item database 132 and the countermeasure information database 134 are used to display the security weaknesses and countermeasures newly announced by the CERT (Computer Emergency Response Team) etc. through the operation screen displayed on the display device 16 by the interface control 114 or the normal Using a text editor, the operator adds a text file in the format of the inspection item file 310 and the countermeasure information file 410, and the update is performed as appropriate.
[0025]
Next, the operation of the security diagnostic system having the above configuration will be described.
[0026]
5, FIG. 8, FIG. 9, and FIG. 13 are flowcharts for explaining the operation of the security diagnosis system.
[0027]
First, FIG. 5 is a flowchart for explaining the outline of the entire processing procedure of the security diagnosis system. In FIG. 5, the processing procedure of the entire system includes step 501 for registering information on the computer 203 to be inspected by the security diagnostic system 201, step 502 for the schedule control 111 to issue a continuous activation trigger, and inspection engine control. Step 503 in which 112 performs security diagnosis on the inspection target via the network and step 504 in which analysis engine control 113 performs analysis processing in accordance with past diagnosis results are executed in order, and a start trigger is issued again according to the schedule. This is realized by returning to step 502. Hereinafter, the processing operation of each step will be described.
[0028]
In step 501, the interface control 114 displays an input interface screen for registering an inspection object on the display device 16.
[0029]
A GUI (Graphical User Interface) shown in FIG. 6 is an embodiment of an input interface, and is mainly composed of three fields.
[0030]
(1) Designation of multiple inspection targets
As shown in FIG. 2, since the security diagnosis system 201 can diagnose a plurality of computers 203 connected to the network, this field provides an input box that provides a means for specifying one IP address or host name. 601, a button 602 for providing a means for adding the designated IP address or the like to the inspection target, a button 603 for providing a means for deleting the designated IP address or the like from the inspection target, and a currently registered IP address, etc. It comprises a display portion 604 that provides a means for displaying a list.
[0031]
(2) Specify inspection interval
It comprises a selection box 605 for designating an inspection interval for periodically performing security diagnosis.
[0032]
(3) Real-time inspection designation
In addition to the inspection interval (2), the button 606 can be used by an operator to request the execution of security diagnosis at an arbitrary timing. In addition, a button 607 for changing to a screen for specifying a setting parameter necessary for security diagnosis, which changes for each inspection target, is also included in the GUI.
[0033]
In FIG. 6, the IP address or host name designated by the operator in the input box 601 is resolved by the interface control 114 at the timing when the add button 602 is pressed, and is uniformly displayed as the IP address. 604 is displayed. In FIG. 6, information on the IP address to be inspected and the inspection interval input by the operator using the GUI is stored in the setting information database 131 by the interface control 114.
[0034]
FIG. 7 shows a configuration diagram of the setting information database 131. In the setting information database 131, there are a plurality of items in which the information to be inspected and the information on the inspection interval input by the operator through the GUI shown in FIG. 6 are described in a character string “(key) = (value)” per line. Store in lined text file format. For example, in FIG. 7, the information to be inspected is stored over a plurality of lines in the format “IPADDRESS = (IP address to be inspected)”. In addition, the inspection interval information is stored in a format of “INTERVAL = (specific character string)”. As a specific character string, “1perday” (once a day), “1perweek” (once a week), “1permonth” (once a month) or the like is set and stored.
[0035]
In step 502, the process for calling the inspection engine control 112 is executed by the schedule control 111 along the flowchart shown in FIG.
[0036]
In FIG. 8, when the button 606 in FIG. 6 is first pressed (step 701), the schedule control 111 immediately executes the inspection engine control 112 to execute the real-time inspection (step 706). If the selection box in FIG. 6 is designated, the schedule control 111 changes the inspection interval to the designated interval, stores the interval in the setting information database 131 (step 703), and if not, schedule control is performed. 111 designates a specified interval based on an inspection interval prepared by default (step 704). Thereafter, the schedule control 111 activates the inspection engine control 112 when the current time reaches the specified interval in the above (step 706). With the above processing operation, the security diagnosis can be performed automatically, continuously, and periodically, and further, the security diagnosis can be performed at an arbitrary timing requested by the operator.
[0037]
Note that Unix cron may be used as a program for realizing that the current time reaches the specified interval.
[0038]
In step 503, the security diagnosis process for the inspection target 203 is executed by the inspection engine control 112 according to the flowchart shown in FIG.
[0039]
In FIG. 9, the inspection engine control 112 starts to start after step 502 in FIG. 5 ends (step 801). First, the inspection engine control 112 searches the setting information database 131 and acquires all IP address information to be inspected (step 802). Next, the inspection engine control 112 searches the inspection item database 132 and reads the inspection item file 310 (step 803). Based on the information of the inspection data 313 in the inspection item file 310, whether there is a problem with the inspection object 203 or not. (Step 804). This operation is performed until all inspection items are completed (step 805) and diagnosis is completed for all inspection objects (step 806). These diagnosis results are stored in the result storage database 133 (step 807).
[0040]
FIG. 10 shows a more specific explanatory diagram regarding step 804 of the security diagnosis processing described above. Step 804 of performing security diagnosis on the inspection object 203 is realized by combining the following processing in the inspection engine program 122.
[0041]
(1) Interpreter processing 901
This processing includes a sequence unit 921 that specifies processing operations, a parameter unit 922 that specifies transmission data, and a filter unit 923 that specifies a method for determining whether there is a problem from the inspection item file 310 extracted in step 803. The part describing the inspection data 313 is read (process 911) and converted into data for internal processing for security diagnosis.
[0042]
Here, an example of inspection contents of the inspection data 313 shown in FIG. 10 will be described. An example of the inspection content of the inspection data 313 is to confirm whether or not the intruder can acquire the netmask information of the network used at the time of intrusion. The sequence unit 921 designates the entire schedule related to the inspection. In an example of the inspection data 313, first, packet 1 is transmitted, and then packet 2 that matches filter 2 is received. Also, a print display for confirming packet transmission / reception is performed. The parameter unit 922 specifies the content of the packet to be transmitted. In the example of the inspection data 313, an ICMP netmask request in which the transmission source IP address 192.168.0.1 is set is transmitted to the destination IP address 192.168.0.2. The filter unit 923 specifies the content of a packet to be received from the network. In the example of the inspection data 313, an ICMP net mask reply packet is received. The inspection data 313 is described in a unique language described in a format that can be interpreted by the inspection engine program 122.
[0043]
FIG. 11 shows a configuration diagram when the interpreter process 901 of the inspection engine control 112 in FIG. 10 converts the inspection data 313 into internal processing data. In the interpreter process 901, the inspection data 313 is read, from the information of the sequence unit 921 in which the inspection schedule is specified, the parameter unit 922 in which the content of the transmission packet is specified, and the filter unit 923 in which the content of the received packet is specified The transmission packet content 3001 and the reception packet content 3002 are stored in the memory 12. For example, when a transmission packet is viewed, information “ICMP” is set in the upper protocol area of the IP header from information “ip_p = ICMP”.
[0044]
(2) Diagnosis processing 902
In this processing, based on the internal processing data from the processing (1), the operation described in the sequence unit 921 for the inspection target 203 is transmitted through the communication device 14 along the parameter unit 922 via the network. Then, the response data from the inspection object 203 is analyzed along the filter unit 923 to determine whether there is a problem on the inspection object 203 side.
[0045]
That is, the inspection engine control 112 transmits the content of the content 3001 of the transmission packet to the network through the communication device 14. Further, the inspection engine control 112 receives a packet that matches the content 3002 of the received packet from the network through the communication device 14.
[0046]
A specific diagnosis example is shown based on FIG. The diagnosis determines that there is a problem when the communication device 14 receives a packet that matches filter2. The diagnosis determines that there is no problem when the packet received by the communication device 14 does not match the filter 2. In other words, in FIG. 11, when the packet 3001 of the ICMP net mask request is sent to the inspection target to the network, it is determined that there is a problem when the communication device 14 receives the packet 3002 of the ICMP net mask reply from the inspection target. .
[0047]
(3) Shaping process 903
In this process, the diagnosis result from the process (2) is stored in a single text file with the combination of the IP address information and time stamp information to be inspected as the file name, and the inspection result corresponding to the address information and time stamp information. Output sequentially.
[0048]
FIG. 12 shows an example of the output format in step 807. In Fig. 12, the output format is a pair of time stamp information indicating the date and time of diagnosis and the inspection target, and the pair is the name of one text file, and the contents of the file include all the inspections of the corresponding group. It is in the form of a text file group in which diagnosis results for items are recorded. This text file is called a result storage file. For example, in FIG. 12, TS1, TS2, and TS3 indicated by 1001 represent time stamp information, specifically 20000701 (July 1, 2000), etc., and WEB1 and WEB2 are IP addresses to be inspected, specifically 192.168. Represents .1.1 etc., and the expression of the pair is “20000701_192.168.1.1” connected with an underscore, and becomes the file name. The contents of this text file are separated by a blank, and the inspection ID 301 of the inspection item performed and “○” if there is no problem, and “×” if there is a problem form one line. The inspection results are arranged in the column direction over the entire inspection ID 301.
[0049]
In step 504, the analysis processing of the inspection result is executed by the analysis engine control 113 along the flowchart shown in FIG.
[0050]
In FIG. 13, the analysis engine control 113 is started to be executed as a process on the CPU 11 after step 503 in FIG. 5 ends (step 1101). Next, the analysis engine control 113 accesses the setting information database 131 and acquires the IP address information to be inspected (step 1102). For one of the acquired IP addresses, all the result storage files related to the inspection target corresponding to the IP address are extracted from the result storage database 134 (step 1103), and the time series change matrix is stored in memory based on the extracted inspection results. 12 is created (step 1104). An example of this time series change matrix is shown in FIG. The time-series change matrix 1201 in FIG. 14 has the examination ID 301 as a row and the time-stamped time stamp information 1202 as a column, and each element of the matrix is recorded in the result storage database 133 shown in FIG. Each inspection result is set. If the inspection result is not found in the result storage database 134, “-” is set as an element. Next, the analysis engine control 113 performs processing such as the following calculation based on the created time series change matrix 1201 (step 1105).
[0051]
(1) Row direction processing
For example, when looking at the test ID “TEST1” 1205, the processing along the row direction of the time-series change matrix 1201 is performed. From the first and last time stamps TS1 and TS2 in which the test result is “x”, Calculates the countermeasure non-implementation period RT1 indicating that the security countermeasure has not been implemented by RT1 = TS2-TS1. The same calculation process is performed for other inspection IDs, and the countermeasure non-implementation period 1203 is stored in the memory 12.
[0052]
(2) Column direction processing
The number of “x” marks in the same column direction for all time stamps is counted, and the number of unimplemented measures 1204 indicating the number of problems found as a result is stored in the memory 12.
[0053]
(3) Correlation with database
For example, when the examination ID “TEST1” 1205 is viewed, the examination item database 132 is searched to find the examination item file 310 having “TEST1” as the examination ID, and is associated with the examination content description 312 in the file 1206. I do. Further, the countermeasure information database 134 is searched to find the countermeasure information file 410 having “TEST1” as the corresponding examination ID, and the association 1207 with the countermeasure method 413 in the file is performed. These correspondences are stored in the memory 12.
[0054]
After performing the above processing, the analysis engine control 113 outputs a countermeasure report related to one inspection target to the display device 16 (step 1106), and thereafter performs the same processing for all the inspection targets (step 1107).
[0055]
An example of the countermeasure report is shown in FIGS.
[0056]
FIG. 15 is an example of a countermeasure report regarding the latest results. The operator can transition to the screen shown in FIG. 16 or FIG. 17 by selecting the tag 1301. In FIG. 15, the operator has the item number 1302 indicating the order of the problems found as a result of the latest security diagnosis performed on the inspection target Web server 1, and the correspondence 1206 with the inspection ID of the problem. Description 1303 of the problem that has been made, countermeasure method 1305 in which 1207 is associated with the inspection ID of the problem, countermeasure 1203 that is the result 1203 of the result of the row-direction calculation on the time series change matrix 1201 regarding the inspection ID of the problem A list listing the implementation period 1306 can be seen. Further, in the association 1207 between the inspection ID and the countermeasure method, when one countermeasure method corresponds to a plurality of inspection IDs, the related countermeasure methods are duplicated as shown by an arrow 1304 in FIG. The points are displayed in a grouped form. Through this screen, the operator can grasp the security problem, the countermeasure method associated with the problem, and the period during which the countermeasure has not been implemented.
[0057]
FIG. 16 is an example of a countermeasure report regarding the progress of security countermeasures. By selecting the tag 1401, the operator can see the time series change 1404 output based on the elements of the time series change matrix 1201 of the found problem 1403. In addition, the discovered problems may be colored in the time series change 1404 according to the degree of influence, and the operator can grasp the time series change of the security countermeasure status through this screen. it can.
[0058]
FIG. 17 is a transition graph regarding the number of security measures that have not been taken. By selecting the tag 1501, the operator selects the number of measures not taken as a result 1204 of the column direction calculation on the time series change matrix 1201 where the vertical axis 1502 represents the number of measures not taken and the horizontal axis 1503 represents the time axis. You can see a bar graph. Through this screen, the operator can grasp the progress of security measures and the remaining number.
[0059]
Furthermore, based on the data regarding these time-series changes, the analysis engine control 113 lists problems that have not been implemented for a period exceeding a certain threshold in the display device 16. It is also possible to output or notify the security administrator using means such as electronic mail.
[0060]
Further, the analysis engine control 113 outputs, to the display device 16, the content that confirms that the security measures have been completed when there is no problem in the subsequent diagnosis where the portion diagnosed once has a problem. It is also possible. Through this screen, the operator can confirm the completion of security measures.
[0061]
Using the above operations, the security diagnosis system 201 continuously performs follow-up of the security diagnosis to the computer 203 to be inspected, and the security administrator and the security consulting worker perform the inspection only once at the beginning. By simply registering the target, it is possible to continuously obtain FIGS. 15 to 17 of these countermeasure reports and easily grasp the progress of the security countermeasures. This achieves the object of the present invention.
[0062]
Furthermore, the operator grasps the time-series change of the diagnosis result, and about the items that should be enhanced the examination, through the database operation screen displayed on the display device 16 by the interface control 114 or using a normal text editor, Applicable fields such as the inspection data 313 of the inspection item file 310 can be added or edited. In addition, by adding or editing the corresponding fields such as the countermeasure method 413 of the countermeasure information file 410 required according to the inspection target that changes due to version upgrade, etc., the operator can have the inspection know-how appropriate for the target environment. Can be accumulated. This facilitates customization of the inspection items, configures inspection items suitable for the target environment, and enables efficient feedback from the inspection results.
[0063]
As a second embodiment of the present invention, in the security diagnosis system shown in FIG. 1, in place of the inspection item database 132 and the inspection engine program 122, existing commercial tools or free tools other than those described in the first embodiment are used. A case where software is used will be described. A configuration diagram in this case is shown in FIG. The schedule program 121 activates the other inspection tool 1601. The output result of the other inspection tool 1601 is converted into a format that can be processed by the analysis engine program 123 by providing the conversion adapter 1602. For example, when the output format of the inspection tool is an HTML file, the conversion adapter 1602 collects information on the diagnosis result from the content of the HTML file, and converts it into the result storage file format of FIG. 12 that can be processed by the analysis engine program 123. . The analysis engine control 113 analyzes time-series changes related to the inspection items by other inspection tools based on a plurality of diagnosis results passed through the conversion adapter.
[0064]
According to this embodiment, the operator can use the already obtained inspection tool or the already used inspection tool to realize continuous security diagnosis and automation of time series analysis according to the present invention. Yes, the object of the present invention can be achieved.
[0065]
Next, details of the second embodiment of the present invention will be described.
[0066]
The conversion adapter 1602 converts the output result file 2101 of the other inspection tool 1601 into a result storage file 1001 that is consistent with the result storage database 133, as shown in FIG.
[0067]
FIG. 20 shows an operation flowchart of the conversion adapter 1602.
[0068]
First, if there is an inspection item list file of the other inspection tool 1601, the conversion adapter 1602 associates the inspection item list file with the inspection item database 132 (step 2001, step 2002). Here, for the inspection item file whose association is confirmed, “O” is associated with the inspection ID and stored in the memory 12 (step 2003).
[0069]
Next, the output result file 2101 after the inspection by the other inspection tool 1601 is associated with the inspection item database 132 (step 2004). Here, for the inspection item file whose association has been confirmed, “×” is associated with the inspection ID and stored in the memory 12 (step 2005). When the above processing is completed, the examination ID and “O” and “X” stored in the memory 12 are output to the result saving file 1001 (step 2006).
[0070]
Next, the association in step 2002 and the association in step 2004 will be described in detail.
[0071]
First, as shown in FIG. 21, a “keyword” column in which words related to the inspection contents are collected is added to the inspection item file 310.
[0072]
FIG. 22 is a flowchart showing an operation when the association in step 2002 and the association in step 2004 are performed.
[0073]
In the flowchart of FIG. 22, first, titles and explanations are extracted from the format of the input file (step 2201). Here, “input file” refers to “list of inspection items of other inspection tool 1601” in step 2002, and “output result file 2101 of other inspection tool 1601” in step 2004.
[0074]
Next, pattern matching is performed between the title and description and the character string in the keyword column of the inspection item file 310 in the inspection item database 132, the number of matching keywords is counted, and stored in the memory 12 (step 2202).
[0075]
Next, it is determined that the inspection ID of the inspection item file 310 having the largest number of matched keywords can be associated, and the inspection ID is stored in the memory 12 (step 2203).
[0076]
Here, a specific example of the association in step 2002 is shown in FIG. FIG. 23 shows a case where the inspection item list of the other inspection tool 1601 is an HTML file 3101. In the inspection item list file 3101 of the other inspection tool 1601 in FIG. 23, the keyword of the inspection item file with the inspection ID “TEST3” matches most with the second inspection item. In this case, it is determined that the inspection ID “TEST3” can be handled for the second inspection item in the inspection item list file 3101 of the other inspection tool 1601, and “○” is assigned to the inspection ID “TEST3”. Make it correspond. Note that, as a result of such association, it may be possible to correspond to a plurality of examination IDs. In addition, if it does not match any of the inspection item files, the display device 16 displays that the association could not be performed.
[0077]
Next, a specific example of the association in step 2004 is shown in FIG. In FIG. 24, the keyword of the inspection item file with the inspection ID “TEST3” most closely matches the second problem of the output result file 2301 of the other inspection tool 1601. In this case, it is determined that the inspection ID “TEST3” has been able to cope with the second problem in the output result file 2301 of the other inspection tool 1601, and “×” is associated with the inspection ID “TEST3”. Note that, as a result of such association, it may be possible to correspond to a plurality of examination IDs. In addition, if it does not match any of the inspection item files, the display device 16 displays that the association could not be performed.
[0078]
As a third embodiment of the present invention, in the security diagnosis system shown in FIG. 1, in combination with the inspection item database 132 and the inspection engine program 122, existing commercial tools and free tools other than those described in the first embodiment are used. A case where software is used will be described. A configuration diagram in this case is shown in FIG. The schedule program 121 activates the other inspection tool 1601 together with the inspection engine program 122 described in the embodiment shown in FIG. The output result of the other inspection tool 1601 is converted into a format that can be processed by the analysis engine program 123 via the conversion adapter 1602 described in the second embodiment. The analysis engine control 113 analyzes time series changes regarding the inspection items by other inspection tools together with the inspection items by the inspection item database 132 shown in FIG.
[0079]
According to this embodiment, the operator has a diagnostic system having a feature that performs individual diagnostic items corresponding to the target environment shown in FIG. 1 and a feature that performs common diagnostic items for a general target environment. By combining with an inspection tool having, a more comprehensive and systematic security diagnosis can be performed on the inspection object.
[0080]
Next, details of the third embodiment of the present invention will be described.
[0081]
First, the operation in the third embodiment of the present invention will be described using the flowchart shown in FIG.
[0082]
In FIG. 26, first, the schedule program 121 issues an activation trigger at regular intervals (step 2401), and the other inspection tools 1601 and the inspection engine program 122 are activated at least once (step 2402). First, another inspection tool 1601 is activated to perform a security inspection (step 2403). With respect to the output result after the security check, the conversion adapter 1602 converts the format into a result storage file that is consistent with the result storage database 133 as shown in FIG. 19 (step 2404) and stores it in the result storage database 133. (Step 2405). Thereafter, the analysis engine program 123 analyzes all the result storage files and displays the first report (step 2408).
[0083]
The operator who has seen this display is instructed whether or not the inspection item file 310 in the inspection item database 132 and the countermeasure information file 410 in the countermeasure information database 134 need to be customized, and accepts this instruction (step 2408.5). If customization is not necessary, the process returns to step 2401. When customization is required, the operator customizes the inspection item file 310 in the inspection item database 132 and the countermeasure information file 410 in the countermeasure information database 134. For example, a portion corresponding to the inspection data 313 in FIG. 10 is added or modified, and a portion corresponding to the corresponding inspection ID 402 in FIG. 4 is added or modified (step 2409). Here, when the operator presses the button 606 for executing the real-time inspection shown in FIG. 6, the process returns to step 2402, and the inspection engine program 122 is executed. The inspection engine program 122 performs inspection including the inspection added by the operator (step 2406), and outputs the inspection result to the result storage database 133 as a result storage file 1001 (step 2407). Thereafter, the analysis engine program 123 analyzes the result again and displays a report (step 2408).
[0084]
Next, FIGS. 27 and 28 show an example of the output format in steps 2405 and 2407 in FIG. That is, FIG. 27 shows the format of the result storage file in the third embodiment of the present invention. FIG. 28 shows a configuration diagram of a result storage database according to the third embodiment of the present invention.
[0085]
27 and 28, the output format is a pair of time stamp information indicating the date and time of diagnosis and the IP address information to be inspected, and the pair is the name of one text file, The content is in the form of a text file in which the time stamp and all the diagnostic results for the examination performed on the examination object are recorded. However, in the case where there are already text files in which diagnosis results relating to the same time stamp and the same inspection object are recorded, in step 2405 and step 2407 where the file is output, the revision information is added to the end of the file and output.
[0086]
For example, FIG. 27 is an example of a test result performed by the operator following the procedure shown below.
[0087]
First, the time stamp “TS3” and the inspection target “WEB1” are inspected over the entire inspection items by using another inspection tool 1601 shown in FIG. 25, and a result storage file 2501 is obtained.
[0088]
Next, regarding “TEST2” in which a problem has been found in the inspection, inspections “TEST2.1”, “TEST2.2”, and “TEST2.3” in which the inspection contents are customized by the inspection engine program 122 shown in FIG. To obtain a result storage file 2502.
[0089]
Further, regarding “TEST2.2” in which a problem has been found in the inspection, inspections “TEST2.2.1”, “TEST2.2.2”, “TEST2.2.3” in which the inspection contents are customized by the inspection engine program 122 shown in FIG. To obtain a result saving file 2503.
[0090]
As described above, the present embodiment is characterized in that a part where a security problem is found in the immediately preceding inspection is further inspected and the result is stored in the above-described format.
[0091]
FIG. 28 shows a configuration diagram of a result storage database in which the result storage file 2501, the result storage file 2502, and the result storage file 2503 shown in FIG. 27 are stored. In a circle 2601 in FIG. 28, the result storage file 2501, the result storage file 2502, and the result storage file 2503 have a hierarchical relationship as described above.
[0092]
Thus, the present embodiment is characterized in that a plurality of result storage files having a hierarchical relationship can be stored in the result storage database.
[0093]
Next, FIG. 29 shows a flowchart of an operation in which the analysis engine program 123 analyzes the results step by step. FIG. 30 shows an example of a countermeasure report output by the analysis engine program 123. In FIG. 29, steps 2701 and 2702 are newly added to the operation flowchart of the analysis engine control 113 shown in FIG.
[0094]
First, step 2701 will be described. The analysis engine control 113 groups the result storage files having the same time stamp. If there are multiple inspection results per inspection ID within the grouped range, the result in the latest revision result storage file is used as the inspection result of this time stamp.
[0095]
For example, in the case of the result storage database shown in FIG. 28, the inspection target “WEB1” is subject to the time stamp “TS1” once, “TS2” once, and “TS3” three times. . In particular, the grouping of the result storage files of the time stamp “TS3” is indicated by a circle 2601. In this grouping, the analysis engine control 113 searches the latest revision test result for each test ID and sets it as the test result of “TS3”. As a result, exactly one inspection result of “TS3” corresponds to each inspection ID.
[0096]
Next, step 2702 will be described. Based on the revision information attached to the inspection ID, the analysis engine control 113 determines the relevance between inspections customized by the operator. For example, when focusing on the circled 2601 in FIG. 28, it is determined that “TEST2.2” is derived from “TEST2” and “TEST2.2.1” is derived from “TEST2.2”. The relationship thus determined is visualized and displayed as indicated by an arrow 2802 in FIG.
[0097]
The operator can easily understand the relevance of the inspection customized by the operator by looking at the countermeasure report 2801.
[0098]
As a fourth embodiment of the present invention, in the security diagnosis system shown in FIG. 1, the inspection item database 132 and the countermeasure information database 134 are stored on an external storage device of another computer via the network 202 using the communication device 14. The case of building is described. FIG. 31 shows a configuration diagram in this case. In the embodiment in this case, the plurality of security diagnosis systems 201 use the common databases 132 and 134. The security administrator only needs to update the database at one place when updating the database, and can improve the efficiency of the database update.
[0099]
As a fifth embodiment of the present invention, a case will be described in which, in the security diagnostic system shown in FIG. 1, the interface control 114 is built on the CPU of another computer via the network using the communication device 14. FIG. 32 shows a configuration diagram in this case. In this embodiment, the interface program 124 operates the security diagnostic system 201 via the network 202. The security administrator can remotely operate the security diagnostic system, so that even if the operator does not go to the place where the computer input device 15 for which the diagnostic system is built, the computer input device at the operator's hand can be used. The system can be operated, and the efficiency of system operation can be improved.
[0100]
For example, when the interface control 114 is provided by a Web interface using CGI (Common Gateway Interface), the operator side can remotely operate the diagnostic system according to the present invention only by preparing a Web browser. it can.
[0101]
As described above, according to the present invention, security diagnosis can be continuously performed, and a time-series change in the diagnosis result can be automatically analyzed. Specifically, in the embodiment of the present invention, the diagnosis system continuously performs security diagnosis using the schedule means, analyzes the time series change of the diagnosis results using the analysis means, and reports the countermeasures regarding the latest results. In addition, by presenting a countermeasure report on the progress compared to past results or a transition graph regarding the number of countermeasures not yet implemented using the interface means, the security administrator can check the progress of security countermeasures at a glance, It makes it possible to confirm the maintenance of security. For example, the security administrator can grasp that the inspection item diagnosed as having a problem last time is still a problem, or confirm that security has been secured without any problems in the previous time and this time. In addition, it is possible to verify a countermeasure that a problem was not found this time because there was a problem in the last time but a security countermeasure was taken.
[0102]
Further, according to the present invention, inspection items can be easily customized, inspection items suitable for the target environment can be configured, and efficient feedback from inspection results can be made possible. Specifically, in the embodiment of the present invention, the inspection item file used in the security diagnosis process includes a sequence part for specifying a processing operation, a parameter part for specifying transmission data, and a filter part for specifying a problem presence / absence screening method. Since it is a format that makes it easy for the operator to perform operations such as addition, the operator can efficiently modify inspection items suitable for the target environment or add inspection items required from time-series analysis. It can be performed well and allows the operator to accumulate and learn the know-how of security diagnosis.
[0103]
Further, the present invention covers a combination of a diagnostic tool having a characteristic of performing a common inspection item for a general target environment and an inspection tool having the characteristic of easily customizing the inspection item according to the present invention. And systematic security diagnosis can be implemented. Specifically, in the embodiment of the present invention, the diagnostic system of the present invention having the feature of performing individual diagnostic items according to the target environment, and the feature of performing the common diagnostic items for the environment By combining with other inspection tools using schedule means and processing each diagnosis result uniformly using analysis means, it is possible for security managers to carry out more comprehensive and systematic security diagnosis To.
[0104]
【The invention's effect】
As described above, according to the present invention, security diagnosis can be continuously performed, and time-series changes in the diagnosis result can be automatically analyzed.
[Brief description of the drawings]
FIG. 1 is a schematic block diagram of a security diagnosis system.
FIG. 2 is a network connection diagram of a security diagnosis system and a diagnosis target.
FIG. 3 is a configuration diagram of an inspection item database.
FIG. 4 is a configuration diagram of a countermeasure information database.
FIG. 5 is an operation flowchart that gives an overview of the overall processing procedure;
FIG. 6 is a screen view of an input interface.
FIG. 7 is a data diagram of a setting information database.
FIG. 8 is an operation flowchart of schedule control.
FIG. 9 is an operation flowchart of inspection engine control.
FIG. 10 is a block diagram of security diagnosis processing.
FIG. 11 is a configuration diagram of internal processing data.
FIG. 12 is a configuration diagram of a result storage database.
FIG. 13 is an operation flowchart of analysis engine control.
FIG. 14 is an explanatory diagram illustrating a data table of a time series change matrix.
FIG. 15 is a screen view of a countermeasure report (latest result).
FIG. 16 is a screen view of a countermeasure report (progress status).
FIG. 17 is a screen view of a countermeasure report (transition graph).
FIG. 18 is a block diagram showing a case where another inspection tool is used instead of the inspection program according to the present invention.
FIG. 19 is an explanatory diagram showing a specific example of format conversion by a conversion adapter.
FIG. 20 is an operation flowchart of the conversion adapter.
FIG. 21 is a configuration diagram of an inspection item database.
FIG. 22 is a flowchart for associating with an inspection item database.
FIG. 23 is an explanatory diagram showing a specific example of association with an inspection item database.
FIG. 24 is an explanatory diagram showing a specific example of mapping by a conversion adapter.
FIG. 25 is a block diagram showing a case where another inspection tool is used in combination with the inspection program according to the present invention.
FIG. 26 is a flowchart showing the processing operation of the third embodiment;
FIG. 27 is an explanatory diagram showing a format of a result saving file according to the third embodiment.
FIG. 28 is a configuration diagram of a result storage database according to the third embodiment.
FIG. 29 is an operational flowchart of an analysis engine program according to the third embodiment.
FIG. 30 is an explanatory diagram showing a specific example of a countermeasure report in the third embodiment.
FIG. 31 is a network connection diagram showing a case where an inspection item database and a countermeasure information database are shared.
FIG. 32 is a network connection diagram showing a case where the interface program uses the diagnostic system remotely.
[Explanation of symbols]
11 CPU
111 Schedule control
112 Inspection engine control
113 Analysis engine control
114 Interface control
12 memory
121 Schedule program
122 inspection engine program
123 Analysis engine program
124 Interface program
13 External storage device
131 Setting information database
132 Inspection Item Database
133 Results database
134 Countermeasure information database
14 Communication equipment
15 Input device
16 Display device
17 Reader
18 Bus

Claims (15)

計算機のセキュリティ上の弱点を検査するセキュリティ診断システムにおいて、
検査を実施する複数のタイミングを与えるスケジュール手段と、
該スケジュール手段から与えられた複数のタイミングにおいて、それぞれ計算機のセキュリティ上の弱点の検査を実施する検査手段と、
該検査手段により実施された、複数のタイミングにおける検査の結果について、検査時刻の推移に伴う検査結果の推移を時系列に分析する分析手段と、
該分析手段による分析結果を表示するインターフェイス手段と、
を備え、継続的にセキュリティ診断を行うことを特徴とするセキュリティ診断システム。In the security diagnostic system that checks the security weaknesses of computers,
A scheduling means for providing a plurality of timings for performing the inspection;
An inspection unit for performing an inspection of a weak point in security of each computer at a plurality of timings given from the schedule unit;
Analyzing means for analyzing, in a time series, the transition of the inspection result accompanying the transition of the inspection time, with respect to the inspection results at a plurality of timings carried out by the inspection means;
Interface means for displaying an analysis result by the analysis means;
A security diagnostic system characterized by continuously performing security diagnostics. 請求項1において、
前記分析手段は、前記複数のタイミングによる検査時刻から、前記検査により発見された前記計算機のセキュリティ上の弱点についての対策が未実施であった期間を算出し、
前記インターフェイス手段は、前記計算機のセキュリティ上の弱点についての対策が未実施であった期間を、表示することを特徴とするセキュリティ診断システム。In claim 1,
The analysis means calculates a period during which countermeasures for security weaknesses of the computer discovered by the inspection have not been performed from the inspection times by the plurality of timings,
The said interface means displays the period when the countermeasure about the weak point on the security of the said computer was not implemented, The security diagnostic system characterized by the above-mentioned. 請求項1において、
前記分析手段は、前記検査時刻の推移に伴う、前記検査により発見された前記計算機のセキュリティ上の弱点の数の推移を算出し、
前記インターフェイス手段は、前記検査時刻の推移に伴う、前記検査により発見された前記計算機のセキュリティ上の弱点の数の推移を、表示することを特徴とするセキュリティ診断システム。In claim 1,
The analysis means calculates a change in the number of security weak points of the computer discovered by the inspection along with the change in the inspection time,
The interface means displays a transition of the number of security weak points of the computer discovered by the inspection, along with the transition of the inspection time. 請求項1において、
一つの検査当たりの処理動作を指定するシーケンス部と、前記シーケンス部に対応した前記計算機への送信データを指定するパラメータ部と、前記計算機における問題有無の確認方法を指定するフィルタ部と、からなる検査データを少なくともひとつ以上記憶する記憶手段を備え、
前記検査手段は、前記検査データに基づき、前記計算機に対して、前記シーケンス部で指定された処理動作に沿って、前記パラメータ部で指定された送信データを送信し、前記計算機からの応答データに対して、前記フィルタ部で指定された確認方法により問題有無の確認を行うことにより検査を実施し、前記計算機の環境に適した検査データのカスタマイズが容易であることを特徴とするセキュリティ診断システム。In claim 1,
A sequence unit for designating a processing operation per test, a parameter unit for designating transmission data to the computer corresponding to the sequence unit, and a filter unit for designating a method for confirming whether there is a problem in the computer A storage means for storing at least one inspection data;
The inspection means transmits the transmission data specified by the parameter unit to the computer in accordance with the processing operation specified by the sequence unit based on the inspection data, and sends response data from the computer to the response data. On the other hand, the security diagnosis system is characterized in that the inspection is performed by confirming the presence or absence of a problem by the confirmation method specified by the filter unit, and the inspection data suitable for the environment of the computer can be easily customized. 請求項1において、検査対象となる計算機が複数存在し、
前記複数の計算機の各々に対し実行する検査内容を盛り込んだ検査ツールを記憶する記憶手段を備え、
前記検査手段に代えて、前記検査ツールを実行して、前記計算機に対して、セキュリティ上の弱点の検査を実施する検査ツール実行手段を備え、
該検査ツール実行手段による検査の結果を、前記分析手段で分析することができる形式に変換する変換手段を備えて、
前記分析手段は、前記変換手段により変換された形式による検査結果に対して、分析を行うことを特徴とするセキュリティ診断システム。In claim 1, there are a plurality of computers to be inspected,
Storage means for storing an inspection tool including inspection contents to be executed for each of the plurality of computers;
In place of the inspection means, the inspection tool execution means for executing the inspection tool to inspect the computer for security weaknesses,
A conversion means for converting the result of the inspection by the inspection tool execution means into a format that can be analyzed by the analysis means;
The security diagnosis system, wherein the analysis unit analyzes the inspection result in the format converted by the conversion unit. 請求項4において、検査対象となる計算機が複数存在し、
前記複数の計算機の各々に対し実行する検査内容を盛り込んだ検査ツールを記憶する記憶手段を備え、
前記検査ツールを実行して、前記計算機に対して、セキュリティ上の弱点の検査を実施する検査ツール実行手段を備え、
該検査ツール実行手段による検査の結果を、前記分析手段で分析することができる形式に変換する変換手段を備えて、
前記分析手段は、前記変換手段により変換された形式による検査結果に対しても、分析を行うことを特徴とするセキュリティ診断システム。In claim 4, there are a plurality of computers to be inspected,
Storage means for storing an inspection tool including inspection contents to be executed for each of the plurality of computers;
An inspection tool executing means for executing the inspection tool and inspecting the computer for a security weak point;
A conversion means for converting the result of the inspection by the inspection tool execution means into a format that can be analyzed by the analysis means;
The security diagnosis system characterized in that the analysis means also analyzes an inspection result in a format converted by the conversion means. 請求項1において、
前記検査の検査項目と、該検査項目の検査において問題があった場合の対策方法とを対応付けた対策情報データを記憶する記憶手段を備え、
前記分析手段は、前記検査において問題があった検査項目に対応する対策方法を、前記対策情報データから取得し、前記時系列に分析した結果とあわせて分析結果として、該分析結果に基づいて対策レポートを作成し、
前記インターフェイス手段は、前記対策レポートを表示することを特徴とするセキュリティ診断システム。In claim 1,
Storage means for storing countermeasure information data in which the inspection item of the inspection is associated with a countermeasure method when there is a problem in the inspection of the inspection item,
The analysis means acquires a countermeasure method corresponding to an inspection item having a problem in the inspection from the countermeasure information data, and combines the result of analysis in time series as a result of the analysis based on the analysis result. Create a report,
The security diagnostic system, wherein the interface means displays the countermeasure report. 請求項7において、前記分析手段は、前記検査において問題があった複数の検査項目に対応する対策方法が同じであった場合に、重複する対策方法を一つにまとめて対策レポートを作成することを特徴とするセキュリティ診断システム。  8. The analysis means according to claim 7, wherein when the countermeasure methods corresponding to a plurality of inspection items having a problem in the inspection are the same, the analysis means creates a countermeasure report by combining the overlapping countermeasure methods. Security diagnostic system characterized by 請求項1記載のセキュリティ診断システムをネットワークを介して複数構築する場合において、
検査対象となる計算機のセキュリティ上の弱点の検査を実施するための検査データを記憶する検査項目記憶手段を、前記複数のシステムからネットワーク経由でアクセス可能に備え、
前記複数のシステムの検査手段は、自システムのスケジュール手段から与えられた複数のタイミングにおいて、それぞれのシステムの検査対象となる計算機のセキュリティ上の弱点の検査を、前記検査項目記憶手段に記憶された検査データに基づいて実施することにより、前記検査項目記憶手段の更新の効率化を図ることを特徴とするセキュリティ診断システム。In the case of constructing a plurality of security diagnosis systems according to claim 1 via a network,
Inspection item storage means for storing inspection data for performing inspection of security weak points of the computer to be inspected is provided so as to be accessible from the plurality of systems via a network,
The inspection unit of the plurality of systems stores, in the plurality of timings given from the schedule unit of the own system, an inspection of a weak point in terms of security of the computer to be inspected by each system is stored in the inspection item storage unit A security diagnostic system characterized in that the inspection item storage means is efficiently updated by performing the inspection based on inspection data. 請求項1において、前記システムは、
前記タイミングの指定を外部から受け付ける受付手段を、ネットワークを介して備え、
前記スケジュール手段は、前記受付手段により受け付けられたタイミングの指定に基づいて、前記検査手段にタイミングを与えることを特徴とするセキュリティ診断システム。The system of claim 1, wherein the system comprises:
A receiving means for receiving the timing designation from outside is provided via a network,
The schedule means gives the timing to the inspection means based on the designation of the timing accepted by the acceptance means. 請求項1において、前記システムは、
前記検査手段で検査すべき計算機の指定を外部から受け付ける受付手段を、ネットワークを介して備え、
前記検査手段は、前記受付手段により受け付けられた指定に基づいて、計算機の検査を実施することを特徴とするセキュリティ診断システム。The system of claim 1, wherein the system comprises:
An accepting means for accepting designation of a computer to be inspected by the inspecting means from outside is provided via a network.
The security diagnostic system according to claim 1, wherein the inspection unit performs a computer inspection based on the designation received by the reception unit. 請求項4において、前記システムは、
前記検査データを編集するための編集手段を、ネットワークを介して備え、
前記記憶手段は、前記編集手段により編集された検査データを記憶することを特徴とするセキュリティ診断システム。5. The system of claim 4, wherein the system is
An editing means for editing the inspection data is provided via a network,
The security diagnosis system, wherein the storage unit stores inspection data edited by the editing unit. セキュリティ診断システムにより、計算機のセキュリティ上の弱点を検査するセキュリティ診断方法において、
前記セキュリティ診断システムの演算装置が、
検査を実施する複数のタイミングを与え、
該与えられた複数のタイミングにおいて、それぞれ計算機のセキュリティ上の弱点の検査を実施し、
該実施された、複数のタイミングにおける検査の結果について、検査時刻の推移に伴う検査結果の推移を時系列に分析し、
分析結果を表示し、
継続的にセキュリティ診断を行うことを特徴とするセキュリティ診断方法。 In the security diagnosis method that checks the security weakness of the computer by the security diagnosis system ,
The arithmetic unit of the security diagnostic system is
Give multiple timings to perform the inspection,
At each of the given timings, the computer is checked for security weaknesses,
With respect to the results of the inspections conducted at a plurality of timings, the transition of the inspection results accompanying the transition of the inspection time is analyzed in time series
Display the analysis results,
A security diagnosis method characterized by continuously performing security diagnosis. 計算機のセキュリティ上の弱点を検査するセキュリティ診断方法をコンピュータに実行させるためのプログラムであって、
検査を実施する複数のタイミングを与える機能と、
該与えられた複数のタイミングにおいて、それぞれ計算機のセキュリティ上の弱点の検査を実施する機能と、
該実施された、複数のタイミングにおける検査の結果について、検査時刻の推移に伴う検査結果の推移を時系列に分析する機能と、
分析結果を表示する機能と、
を、コンピュータに実行させることを特徴とするプログラム。A program for causing a computer to execute a security diagnostic method for inspecting a security weakness of a computer,
The ability to give multiple timings to perform inspections;
A function of performing a security weakness check on each computer at the given timings;
A function of analyzing the results of the inspections performed at a plurality of timings in a time series with respect to the transition of the inspection results accompanying the transition of the inspection time;
A function to display the analysis results;
A program characterized by causing a computer to execute. 計算機のセキュリティ上の弱点を検査するセキュリティ診断方法をコンピュータに実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体であって、
前記プログラムは、
検査を実施する複数のタイミングを与える機能と、
該与えられた複数のタイミングにおいて、それぞれ計算機のセキュリティ上の弱点の検査を実施する機能と、
該実施された、複数のタイミングにおける検査の結果について、検査時刻の推移に伴う検査結果の推移を時系列に分析する機能と、
分析結果を表示する機能と、
を、コンピュータに実行させることを特徴とするコンピュータ読み取り可能な記録媒体。A computer-readable recording medium recording a program for causing a computer to execute a security diagnosis method for inspecting a computer security weakness,
The program is
The ability to give multiple timings to perform inspections;
A function of performing a security weakness check on each computer at the given timings;
A function of analyzing the results of the inspections performed at a plurality of timings in a time series with respect to the transition of the inspection results accompanying the transition of the inspection time;
A function to display the analysis results;
Is a computer-readable recording medium characterized by causing a computer to execute the above.
JP2001076414A 2001-03-16 2001-03-16 Security diagnostic system and security diagnostic method Expired - Fee Related JP4254988B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001076414A JP4254988B2 (en) 2001-03-16 2001-03-16 Security diagnostic system and security diagnostic method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001076414A JP4254988B2 (en) 2001-03-16 2001-03-16 Security diagnostic system and security diagnostic method

Publications (2)

Publication Number Publication Date
JP2002278797A JP2002278797A (en) 2002-09-27
JP4254988B2 true JP4254988B2 (en) 2009-04-15

Family

ID=18933351

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001076414A Expired - Fee Related JP4254988B2 (en) 2001-03-16 2001-03-16 Security diagnostic system and security diagnostic method

Country Status (1)

Country Link
JP (1) JP4254988B2 (en)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004126874A (en) * 2002-10-01 2004-04-22 Nec Corp Security level diagnostic method, diagnostic program, diagnostic device, and diagnostic system for public server
US7184844B2 (en) * 2002-12-20 2007-02-27 General Electric Company Central site architecture for remote service delivery
MXPA04007406A (en) * 2003-05-17 2005-02-17 Microsoft Corp Mechanism for evaluating security risks.
JP4516331B2 (en) * 2004-03-03 2010-08-04 東芝Itサービス株式会社 Business support device and business support program
JP4522128B2 (en) * 2004-03-31 2010-08-11 富士通株式会社 Security improvement auxiliary program, server device, security improvement auxiliary method
NZ556075A (en) 2004-12-21 2011-04-29 Ctre Pty Ltd Change management
JP4095076B2 (en) * 2005-03-28 2008-06-04 エヌ・ティ・ティ・コミュニケーションズ株式会社 Security management device, security management method, and security management program based on evaluation index calculation by security information exchange
JP2007094631A (en) * 2005-09-28 2007-04-12 Hitachi Electronics Service Co Ltd Application operation monitoring system, client application operation monitoring service providing system, and method, and client application operation monitoring service providing method
JP5106301B2 (en) * 2008-07-31 2012-12-26 三菱電機株式会社 Information processing apparatus and program
JP5274227B2 (en) * 2008-12-10 2013-08-28 株式会社ラック Web page inspection apparatus, computer system, web page inspection method, and program
JP5139485B2 (en) * 2010-08-27 2013-02-06 東芝Itサービス株式会社 Remote security diagnostic system
JP5581162B2 (en) * 2010-09-29 2014-08-27 株式会社Pfu Information processing apparatus, password diagnosis method, and program
CN102075347B (en) * 2010-11-18 2013-11-20 北京神州绿盟信息安全科技股份有限公司 Security configuration checking equipment and method, and network system adopting equipment
JP2012208863A (en) * 2011-03-30 2012-10-25 Hitachi Ltd Vulnerability determination system, vulnerability determination method and vulnerability determination program
JP5425883B2 (en) * 2011-12-26 2014-02-26 株式会社日立システムズ Application operation monitoring system and customer application operation monitoring service providing system
JP7435186B2 (en) 2020-04-08 2024-02-21 沖電気工業株式会社 Abnormality monitoring support device, program and method
JP7380877B2 (en) 2020-06-10 2023-11-15 日本電気株式会社 Security inspection device, security inspection method, and program

Also Published As

Publication number Publication date
JP2002278797A (en) 2002-09-27

Similar Documents

Publication Publication Date Title
JP4254988B2 (en) Security diagnostic system and security diagnostic method
JP3912895B2 (en) Structured data management system, computer-readable recording medium on which structured data management program is recorded, and structured data management method
JP5095629B2 (en) Automatic workflow model creation method especially for communication network intervention
WO2005067420A2 (en) Remote process capture, identification, cataloging and modeling
KR100970851B1 (en) System construction guide system
JP2009522627A5 (en)
CN110050237A (en) Transacter, method of data capture and program
CN104424539A (en) Maintenance information management system and method, and maintenance information display method
JP4501436B2 (en) Information collection system, information collection method, and information collection program
US6985786B2 (en) Method for managing manufacturing data
US7797590B2 (en) Consensus testing of electronic system
US20030061334A1 (en) Method, apparatus, system, computer program and computer program product of network management
US6966014B2 (en) Method for system obstacle correspondence support
JP2002259120A (en) Test progress management system
JP4257364B2 (en) COMMUNICATION ERROR INFORMATION OUTPUT PROGRAM, COMMUNICATION ERROR INFORMATION OUTPUT METHOD, AND COMMUNICATION ERROR INFORMATION OUTPUT DEVICE
JP2009104588A (en) System organizing guide system
JPH11296480A (en) Remote fault monitoring system
JP2609813B2 (en) Communication protocol failure analyzer
JP7036603B2 (en) Operation management system
JPH11306254A (en) Progress management system for data processing job
JP2021189780A (en) Scenario retrieval device, scenario retrieval system, scenario retrieval method, and program
JP2002351702A (en) Method and device for preparing terminal operation statistical data utilizing online
US20090192642A1 (en) Method and apparatus for operating a test plant
JP7109346B2 (en) Performance data management device
JP2005275713A (en) Maintenance information management system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050404

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20050404

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080520

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080722

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090106

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090122

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120206

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120206

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120206

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130206

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130206

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140206

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees