JP5148442B2 - 脆弱性対応優先度表示装置及びプログラム - Google Patents
脆弱性対応優先度表示装置及びプログラム Download PDFInfo
- Publication number
- JP5148442B2 JP5148442B2 JP2008255235A JP2008255235A JP5148442B2 JP 5148442 B2 JP5148442 B2 JP 5148442B2 JP 2008255235 A JP2008255235 A JP 2008255235A JP 2008255235 A JP2008255235 A JP 2008255235A JP 5148442 B2 JP5148442 B2 JP 5148442B2
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- information
- read
- reading
- monitoring item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、複数のシステムを管理するシステム管理者に対して、脆弱性への効率的な保守対応を支援し得る脆弱性対応優先度表示装置及びプログラムに関する。
近年、あらゆる企業において複数の製品から構成される情報システムが導入されている。情報システムでは、個々の構成装置に複数のソフトウェア製品がインストールされている。そのため、情報システムを安定稼動させるためには、脆弱性が予想されるソフトウェアに対して、随時修正パッチを適用することが必要となる。
しかしながら、複数の情報システムを管理するシステム管理者にとっては、個々のソフトウェア製品に対する脆弱性の修正パッチを確認する作業は煩雑である。
具体的には、システム管理者は、多くの工数を要する作業を行ない、システムにインストールされているソフトウェア製品に該当する全ての脆弱性情報を取得し、その対策としての修正パッチを取得し、修正パッチをインストールした後に動作確認をしなければならない。また、システムの特性によっては、ソフトウェア製品に脆弱性があっても対応しなくてもよい場合もある。
そこで、対象製品の顧客の利用頻度や、ベンダ提供の修正パッチのダウンロード実績に応じて、修正パッチを選別する予防保守装置が提案されている(例えば、特許文献1参照)。この特許文献1に係る予防保守装置では、利用頻度の高いソフトウェア製品に優先的に修正パッチを適用したり、多くの顧客が必要としているという前提でダウンロード率が高い修正パッチを適用したりしている。
特開2005−99967号公報
しかしながら、上述した特許文献1の装置では、修正パッチを適用するシステム側の脆弱性を考慮しておらず、保守対応する必要がない修正パッチが選択される場合もある。
この点、本発明者らの検討によれば、1ヶ月あたり100件前後の脆弱性情報があり、システム管理者の保守対応の負荷が高いものとなっている。
本発明は上記実情に鑑みてなされたものであり、複数のシステムを管理するシステム管理者に対して、脆弱性への効率的な保守対応を支援し得る脆弱性対応優先度表示装置及びプログラムを提供することを目的とする。
本発明は上記課題を解決するために、複数のシステムの監視項目毎に劣化レベルを算出し、セキュリティ劣化の防止を支援するセキュリティ劣化防止支援装置と、製品名毎に脆弱性影響情報を提供する脆弱性情報提供サーバと、の両装置と接続可能に接続する脆弱性対応優先度表示装置であって、前記セキュリティ劣化防止支援装置から各システムの監視項目毎の劣化レベルを取得するシステム毎監視項目毎劣化レベル取得手段と、前記各システムの監視項目毎の劣化レベルを記憶するシステム毎監視項目毎劣化レベル記憶手段と、前記各システムを構成する製品名の情報と該各システムとを関連付けて記憶するシステム毎構成情報記憶手段と、前記脆弱性情報提供サーバから前記製品名に対応する脆弱性影響情報を収集する脆弱性情報収集手段と、前記脆弱性情報収集手段により収集した脆弱性影響情報を製品名と関連付けて記憶する脆弱性情報記憶手段と、前記システムの各監視項目と、前記脆弱性影響情報及び影響度とを対応付けて記憶する監視項目毎影響度記憶手段と、前記システム毎監視項目毎劣化レベル記憶手段に記憶された各システムの監視項目毎の劣化レベルを読み出す第1読出手段と、前記第1読出手段により劣化レベルが読み出された各監視項目に対応する脆弱性影響情報及び影響度を前記監視項目毎影響度記憶手段から読み出す第2読出手段と、前記第2読出手段により読み出された脆弱性影響情報に対応する製品名を前記脆弱性情報記憶手段から読み出す第3読出手段と、前記第3読出手段により読み出された製品名が、前記第1読出手段により劣化レベルが読み出されたシステムに含まれているか否かを、前記システム毎構成情報記憶手段を検索することで判定する判定手段と、前記判定手段により含まれていると判定された場合、前記第1読出手段により読み出された劣化レベルと前記第2読出手段により読み出された影響度との積を求め、該システムを構成する製品名に対応させて脆弱性対応優先度を算出する脆弱性対応優先度算出手段と、前記脆弱性対応優先度算出手段により算出された脆弱性対応優先度順に、前記各システムの製品名を表示する脆弱性対応優先度表示手段と、を備えた脆弱性対応優先度表示装置を提供する。
<作用>
従って、本発明は、システム毎監視項目毎劣化レベル記憶手段に記憶された各システムの監視項目毎の劣化レベルを読み出す第1読出手段と、第1読出手段により劣化レベルが読み出された各監視項目に対応する脆弱性影響情報及び影響度を監視項目毎影響度記憶手段から読み出す第2読出手段と、第2読出手段により読み出された脆弱性影響情報に対応する製品名を脆弱性情報記憶手段から読み出す第3読出手段と、第3読出手段により読み出された製品名が、第1読出手段により劣化レベルが読み出されたシステムに含まれているか否かを、システム毎構成情報記憶手段を検索することで判定する判定手段と、判定手段により含まれていると判定された場合、第1読出手段により読み出された劣化レベルと第2読出手段により読み出された影響度との積を求め、システムを構成する製品名に対応させて脆弱性対応優先度を算出する脆弱性対応優先度算出手段と、脆弱性対応優先度順に各システムの製品名を表示する脆弱性対応優先度表示手段とを備えているので、複数のシステムを管理するシステム管理者に対して、脆弱性への効率的な保守対応を支援し得る脆弱性対応優先度表示装置を提供できる。
従って、本発明は、システム毎監視項目毎劣化レベル記憶手段に記憶された各システムの監視項目毎の劣化レベルを読み出す第1読出手段と、第1読出手段により劣化レベルが読み出された各監視項目に対応する脆弱性影響情報及び影響度を監視項目毎影響度記憶手段から読み出す第2読出手段と、第2読出手段により読み出された脆弱性影響情報に対応する製品名を脆弱性情報記憶手段から読み出す第3読出手段と、第3読出手段により読み出された製品名が、第1読出手段により劣化レベルが読み出されたシステムに含まれているか否かを、システム毎構成情報記憶手段を検索することで判定する判定手段と、判定手段により含まれていると判定された場合、第1読出手段により読み出された劣化レベルと第2読出手段により読み出された影響度との積を求め、システムを構成する製品名に対応させて脆弱性対応優先度を算出する脆弱性対応優先度算出手段と、脆弱性対応優先度順に各システムの製品名を表示する脆弱性対応優先度表示手段とを備えているので、複数のシステムを管理するシステム管理者に対して、脆弱性への効率的な保守対応を支援し得る脆弱性対応優先度表示装置を提供できる。
本発明によれば、複数のシステムを管理するシステム管理者に対して、脆弱性への効率的な保守対応を支援することが可能となる。
以下、図面を参照して本発明の実施形態を説明する。
<第1の実施形態>
(脆弱性対応優先度表示装置の構成)
図1は本発明の第1の実施形態に係る脆弱性対応優先度表示装置10の構成を示す模式図である。
(脆弱性対応優先度表示装置の構成)
図1は本発明の第1の実施形態に係る脆弱性対応優先度表示装置10の構成を示す模式図である。
前提として、脆弱性対応優先度表示装置10は、複数のシステムA〜Cの監視項目W1〜W4毎に劣化レベルを算出し、セキュリティ劣化の防止を支援するセキュリティ劣化防止支援装置5と、製品名毎に脆弱性影響情報を提供する脆弱性情報提供サーバ6と、の両装置と接続可能に接続する。なお、以下の説明において、システム数、監視項目の内容、脆弱性影響情報の内容等は例示であり、これに限るものではない。
セキュリティ劣化防止支援装置5は、セキュリティに関して、ポリシーとして決めた設定値と実際に運用するシステムの設定値とが異なる場合、セキュリティ強度が劣化していると判定し、劣化の度合いを示す「劣化レベル」を表示する装置である。具体的には、セキュリティ劣化防止支援装置5は、対象となるシステムA〜Cにおいて、セキュリティ的にどの程度弱くなっているかを予め決めた監視項目W1〜W4ごとに判定し、システム毎監視項目毎の劣化レベルを求める。ここでは、監視項目W1〜W4はそれぞれ、「許可されていないユーザの数」、「許可されていないサービスの稼働数」、「アクセスコントロールの変更数」、「FWの設定が変更されている数」とする。なお、ここでは、説明の便宜上、「許可されていないユーザの数」といった実際の内容で監視項目を表記しているが、実際のシステム上では記号で管理される。また、劣化レベルの値は高いほど劣化が進んでいる、つまりシステムが危険な状態にあることを示す。なお、セキュリティ劣化防止支援装置5の詳しい構成は、特願2007−306092号明細書に開示されている。
脆弱性情報提供サーバ6は、ネットワーク等を介して脆弱性対応優先度表示装置10と接続し、製品名に対応する脆弱性情報を提供する。例えばJVN(Japan Vulnerability Notes)などのサイトを脆弱性情報提供サーバ6として用いることができる。また、例えば、JVNからは、脆弱性情報ID: JVNDB-2005-000804,製品名:Apache Tomcat 4.0.6,およびそれ以前、想定される影響:「任意のコードを実行される可能性があります。」等の形式で脆弱性情報が提供される。なお、「製品名」は各システムを構成するソフトウェア製品の名称を示している。
脆弱性対応優先度表示装置10は、システム毎監視項目毎劣化レベル記憶部11・システム毎構成情報記憶部12・脆弱性情報記憶部13・監視項目毎影響度記憶部14・脆弱性対応優先度記憶部15・システム毎監視項目毎劣化レベル取得部16・システム毎構成情報取得部17・脆弱性情報収集部18・脆弱性対応優先度算出部19・脆弱性対応優先度表示部20を備えている。
なお、脆弱性対応優先度表示装置10は、ハードウェア構成とソフトウェア構成との組合せにより実現可能である。ソフトウェア構成は、予めコンピュータ読み取り可能な記憶媒体またはネットワークから得られた「プログラム」がコンピュータのメモリにインストールされることにより、脆弱性対応優先度表示装置10としての各機能を実現する。
システム毎監視項目毎劣化レベル記憶部11は、図2に示すように、各システムA〜Cの監視項目W1〜W4毎の「劣化レベル」を記憶する記憶装置である。要するに、劣化レベルは、システム毎及び監視項目毎に区分けされて設定される。
システム毎構成情報記憶部12は、図3に示すように、システム毎構成情報取得部17により取得した各システムを構成する製品名の情報をシステム毎に記憶する記憶装置である。ここでいう製品名とは、各システムA〜Cに使用されているOS(operating system),MW(middleware),使用しているツールなどが挙げられる。なお、図3において「MW b」などと表記しているが、実際は、「Adobe Reader 7.0」,「Apache Tomcat 6.0」のように、バージョンを示す番号とともに記憶される。
脆弱性情報記憶部13は、図4に示すように、脆弱性情報収集部18により収集した脆弱性影響情報を製品名と関連付けて記憶する記憶装置である。なお、ここでは、製品名と脆弱性影響情報とが脆弱性情報IDで一意に識別されて、脆弱性情報として記憶される。また、脆弱性影響情報は、「Dos攻撃」、「第三者による任意のコード実行」といった表現で表される。
監視項目毎影響度記憶部14は、図5に示すように、システムの各監視項目W1〜W4と、脆弱性影響情報及び「影響度」とを対応付けて記憶する記憶装置である。例えば、監視項目毎影響度記憶部14は、劣化の状況として、許可されていないユーザが登録されている度合いが高い場合は、悪意のある第三者によりシステムを操作される可能性が高いので、「許可されていないユーザの数」という監視項目W1と、「第三者による任意のコード実行」という脆弱性情報とを対応付けて記憶する。さらに、監視項目毎影響度記憶部14では、監視項目「許可されていないユーザの数」が増えることが脆弱性影響情報「第三者による任意のコード実行」へ、どの程度影響を及ぼすかを数値化した影響度を記憶する。
脆弱性対応優先度記憶部15は、図6に示すように、脆弱性対応優先度算出部19により算出された脆弱性対応優先度を各システムA〜Cを構成する製品名毎に記憶する記憶装置である。
システム毎監視項目毎劣化レベル取得部16は、セキュリティ劣化防止支援装置5から各システムA〜Cの監視項目W1〜W4毎の劣化レベルを取得し、システム毎監視項目毎劣化レベル記憶部11に書き込むものである。
システム毎構成情報取得部17は、各システムA〜Cを構成する製品情報を取得し、システム構成情報記憶部12に書き込むものである。
脆弱性情報収集部18は、脆弱性情報提供サーバ6から製品名に対応する脆弱性影響情報を収集し、脆弱性情報記憶部13に書き込むものである。
脆弱性対応優先度算出部19は、各システムA〜Cを構成する製品情報毎に「脆弱性対応優先度」を算出し、脆弱性対応優先度記憶部15に書き込むものである。詳しくは、脆弱性対応優先度算出部19は、第1読出機能19A・第2読出機能19B・第3読出機能19C・判定機能19D・第1算出機能19Eを有している。
第1読出機能19Aは、システム毎監視項目毎劣化レベル記憶部11に記憶された各システムの監視項目毎に対応する劣化レベルを読み出す機能である。
第2読出機能19Bは、第1読出機能19Aにより劣化レベルが読み出されたシステムの監視項目に対応する脆弱性影響情報及び影響度を監視項目毎影響度記憶部14から読み出す機能である。
第3読出機能19Cは、第2読出機能19Bにより読み出された脆弱性影響情報に対応する製品名を脆弱性情報記憶部13から読み出す機能である。
判定機能部19Dは、第3読出機能19Cにより読み出された製品名が、第1読出機能19Aにより劣化レベルが読み出されたシステムに含まれるか否かを、システム毎構成情報記憶部12を検索することで判定する機能である。
第1算出機能19Eは、判定機能19Dにより含まれていると判定された場合、第1読出機能19Aにより読み出された劣化レベルと第2読出機能19Bにより読み出された影響度との積を求めて、各システムA〜Cを構成する製品名毎の脆弱性対応優先度を算出する機能である。
脆弱性対応優先度表示部20は、脆弱性対応優先度記憶部15により記憶された脆弱性対応優先度順にソートして、各システムの製品名を表示するものである。このときに示される脆弱性対応優先度の値によって、システムを運用管理するユーザは対応する脆弱性情報の優先順位を判断できるようになる。
(脆弱性対応優先度表示装置の動作)
次に本実施形態に係る脆弱性対応優先度表示装置10の動作を図7のフローチャートを用いて説明する。
次に本実施形態に係る脆弱性対応優先度表示装置10の動作を図7のフローチャートを用いて説明する。
前提として、セキュリティ劣化防止支援装置5により複数のシステムA〜Cにおけるセキュリティ強度の劣化が判定されると、監視項目W1〜W4毎に劣化レベルが求められる。また、脆弱性情報提供サーバ6により製品名毎に脆弱性影響情報が提供される。
かかる前提のもと、脆弱性対応優先度表示装置10において、ユーザの操作により、脆弱性対応優先度表示命令が送出されると、システム毎構成項目毎劣化レベル取得部16により、セキュリティ劣化防止支援装置5から各システムA〜Cの監視項目毎W1〜W4の劣化レベルが取得され、システム毎監視項目毎記憶部11に書き込まれる(S1)。
次に、脆弱性対応優先度表示装置10では、システム毎構成情報取得部17により、システム毎監視項目毎劣化レベル取得部16により劣化レベルが取得されたシステムA〜Cを構成する製品名の情報が取得され、システム毎構成情報記憶部12に書き込まれる(S2)。例えば、システム毎構成情報取得部17により、各システムA〜CからOS,MW(middleware),使用しているツールなどの構成情報が取得される。
次に、脆弱性対応優先度表示装置10では、脆弱性情報収集部18を介して、システムA〜Cを構成する製品名(OS a,OS c,MW b,ツールd,ツールe)の情報に対応する脆弱性情報が脆弱性情報提供サーバ6から収集される(S3)。収集された脆弱性情報は、脆弱性情報記憶部13に書き込まれる。
この後、脆弱性対応優先度表示装置10では、脆弱性対応優先度算出部19により後述する図8の手順で「脆弱性対応優先度」の算出処理が実行される(S4)。脆弱性対応優先度表示装置10により脆弱性対応優先度が算出されると、この脆弱性対応優先度順に各システムを構成する製品名が脆弱性優先度記憶部15に書き込まれる。
そして、ユーザの操作に応じて、脆弱性対応優先度記憶部15に記憶された脆弱性対応優先度順にソートされた各システムの製品名が脆弱性対応優先度表示部20に表示される(S5)。
図8は脆弱性対応優先度算出部19による「脆弱性対応優先度」の算出手順を示すフローチャートである。
まず、脆弱性対応優先度算出部19の第1読出機能19Aにより、各システムA〜Cの監視項目W1〜W4毎の劣化レベルがシステム毎監視項目毎劣化レベル記憶部11から劣化レベルの値が0より大きい監視項目が読み出される(T1,T2)。例えば、システムAの監視項目W1の「許可されていないユーザの数」の劣化レベルは10であり、監視項目W2の「許可されていないサービスの稼動数」の劣化レベルは5であるので、0より大きく、読み出されることになる。
続いて、第2読出機能19Bにより、第1読出機能19Aにより劣化レベルが読み出された監視項目が読み出され(T3)、その監視項目に対応する脆弱性影響情報及び影響度が監視項目毎影響度記憶部14から読み出される(T4)。前記の監視項目W1に対しては、「第三者による任意のコード実行1」を示す脆弱性影響情報と影響度0.5とが読み出される。また監視項目W2に対しては、「Dos攻撃1」及び影響度0.8と、「スパムメールの発信の踏み台1」及び影響度0.5とが読み出される。
続いて、脆弱性対応優先度算出部19の第3読出機能19Cにより、第2読出機能19Bで読み出された脆弱性影響情報に対応する製品名が脆弱性情報記憶部13から読み出される(T5)。例えば、「第三者による任意のコード実行1」に対して、脆弱性情報ID「v08050002」に該当する製品名OS bが読み出される。また、「Dos攻撃1」と「スパムメールの発信の踏み台1」とに対して、それぞれ、脆弱性情報ID「v08050001」と「v08050004」とに該当する製品名OS a とMW bとが読み出される。
次に、脆弱性対応優先度算出部19の判定機能19Dにより、第3読出機能19Cで読み出された製品名が、第1読出機能19Aにより劣化レベルが読み出されたシステムに含まれているか否かが、システム毎構成情報記憶部12に記憶された情報に基づいて判定される(T6)。前記の例では、第3読出機能19Cにより、システムAの監視項目W1に対して、OS bが製品名として読み出されているが、システム毎構成情報記憶部12にはOS bはシステムAに関連付けられていないので、“含まれていない”と判定される。一方、監視項目W2に関連して読み出された製品名OS a及びMW bはいずれもシステムAの構成情報に“含まれている”と判定される。
脆弱性対応優先度算出部19では、判定機能19Dにより“含まれている”と判定された場合、第1読出機能19Aにより読み出された劣化レベルと第2読出機能19Bにより読み出された影響度との積が第1算出機能19Eにより求められる(T6−Yes,T7)。前記の例では、まず、システムAの監視項目W2「許可されていないサービスの稼働数」の劣化レベル5と、脆弱性情報ID「v08050001」の製品名OS aに対応する「Dos攻撃1」の影響度0.8及び脆弱性情報ID「v08050004」の製品名MW bに対応する「スパムメールの発信の踏み台1」の影響度0.5とが読み出される。そして、製品名OS aに関しては、5×0.8=4と脆弱性対応優先度が求められ、製品名MW bに関しては、5×0.5=2.5と脆弱性対応優先度が求められる。
このようにして、システムを構成する製品名に対応して脆弱性対応優先度が算出され、この脆弱性対応優先度順に各システムを構成する製品名が脆弱性対応優先度記憶部15に書き込まれる。
(脆弱性対応優先度表示装置の効果)
以上説明したように、本実施形態に係る脆弱性対応優先度表示装置10は、システム毎監視項目毎劣化レベル記憶部11に記憶された各システムA〜Cの監視項目W1〜W4毎の「劣化レベル」を読み出す第1読出機能19Aと、第1読出機能19Aにより劣化レベルが読み出された各監視項目W1〜W4に対応する脆弱性影響情報及び「影響度」を監視項目毎影響度記憶部14から読み出す第2読出機能19Bと、第2読出機能19Bにより読み出された脆弱性影響情報に対応する製品名を脆弱性情報記憶部13から読み出す第3読出機能19Cと、第3読出機能19Cにより読み出された製品名が、第1読出機能19Aにより劣化レベルが読み出されたシステムに含まれるか否かを、システム毎構成情報記憶部12を検索することで判定する判定機能19Dと、判定機能19Dにより含まれていると判定された場合、第1読出機能19Aにより読み出された劣化レベルと第2読出機能19Bにより読み出された影響度との積を求め、システムを構成する製品名に対応させて「脆弱性対応優先度」を算出する第1算出機能19Eを有する脆弱性対応優先度算出部19と、脆弱性対応優先度順に各システムの製品名を表示する脆弱性対応優先度表示部20とを備えているので、複数のシステムを管理するシステム管理者に対して、脆弱性への効率的な保守対応を支援することができる。
以上説明したように、本実施形態に係る脆弱性対応優先度表示装置10は、システム毎監視項目毎劣化レベル記憶部11に記憶された各システムA〜Cの監視項目W1〜W4毎の「劣化レベル」を読み出す第1読出機能19Aと、第1読出機能19Aにより劣化レベルが読み出された各監視項目W1〜W4に対応する脆弱性影響情報及び「影響度」を監視項目毎影響度記憶部14から読み出す第2読出機能19Bと、第2読出機能19Bにより読み出された脆弱性影響情報に対応する製品名を脆弱性情報記憶部13から読み出す第3読出機能19Cと、第3読出機能19Cにより読み出された製品名が、第1読出機能19Aにより劣化レベルが読み出されたシステムに含まれるか否かを、システム毎構成情報記憶部12を検索することで判定する判定機能19Dと、判定機能19Dにより含まれていると判定された場合、第1読出機能19Aにより読み出された劣化レベルと第2読出機能19Bにより読み出された影響度との積を求め、システムを構成する製品名に対応させて「脆弱性対応優先度」を算出する第1算出機能19Eを有する脆弱性対応優先度算出部19と、脆弱性対応優先度順に各システムの製品名を表示する脆弱性対応優先度表示部20とを備えているので、複数のシステムを管理するシステム管理者に対して、脆弱性への効率的な保守対応を支援することができる。
<第2の実施形態>
図9は本発明の第2の実施形態に係る脆弱性対応優先度表示装置10Sの構成を示す模式図である。なお、既に説明した部分と同一部分には同一符号を付し、特に説明がない限りは重複した説明を省略することがある。同様に、以下の各実施形態においても重複した説明を省略することがある。
図9は本発明の第2の実施形態に係る脆弱性対応優先度表示装置10Sの構成を示す模式図である。なお、既に説明した部分と同一部分には同一符号を付し、特に説明がない限りは重複した説明を省略することがある。同様に、以下の各実施形態においても重複した説明を省略することがある。
本実施形態に係る脆弱性対応優先度表示装置10Sは、第1の実施形態に係る脆弱性対応優先度表示装置10がシステム重要度記憶部21をさらに備えている。このシステム重要度記憶部21は、図10に示すように、各システムA〜Cの重要度を記憶する記憶装置である。ここでは、数値が高いほど重要であることを示しており、システムA,B,Cの重要度はそれぞれ3,2,1とする。
また、本実施形態では、脆弱性対応優先度算出部19Sが、脆弱性対応優先度と重要度との積を求めて、新たな脆弱性対応優先度を算出する第2算出機能19Fを有している。この第2算出機能19Fによれば、たとえば、システムAの重要度が3なので、第1の実施形態に係る脆弱性対応優先度算出部19により算出された、システムAにおける脆弱性情報ID「v08050001」の脆弱性対応優先度の4に対し3が掛けられて、4×3=12が新たな脆弱性対応優先度として算出される。同様に、システムAに対する脆弱性情報ID「v08050004」の脆弱性対応優先度の値は、2.5×3=7.5と新たに算出される。
システムB,Cについても同様に計算され、脆弱性対応優先度は図11(A)に示す値から図11(B)に示す値に更新される。この結果、脆弱性対応優先度記憶部15では、図12に示すようにデータがソートされる。
以上説明したように、本実施形態に係る脆弱性対応優先度表示装置10Sは、各システムA〜Cの重要度を記憶するシステム重要度記憶部21をさらに備え、脆弱性対応優先度算出部19Sが、脆弱性対応優先度と重要度との積を求めて、新たな脆弱性対応優先度を算出するので、より精度の高い脆弱性対応優先度をシステム管理者に示すことができる。例えば、脆弱性対応優先度表示装置10Sでは、重要な保護資産を保存している等の重要度の高いシステムの脆弱性対応優先度が高く表示されることになる。
<第3の実施形態>
図13は本発明の第3の実施形態に係る脆弱性対応優先度表示装置10Tの構成を示す模式図である。
図13は本発明の第3の実施形態に係る脆弱性対応優先度表示装置10Tの構成を示す模式図である。
本実施形態に係る脆弱性対応優先度表示装置10Tは、第1の実施形態に係る脆弱性対応優先度表示装置10が、システム毎特性情報記憶部31・システム毎対応先送脆弱性情報記憶部32をさらに備えたものである。
システム毎特性情報記憶部31は、図14に示すように、各システムの特性を示す「特性情報」を該システム毎に記憶する記憶装置である。例えば、システム毎特性情報記憶部31は、システムの特性情報として「保護資産の重要度が低い」や、「社内LANで閉じられた環境にある」等の内容を示す情報を記憶する。
システム毎対応先送脆弱性情報記憶部32は、図15に示すように、各システムの特性情報と、保守作業の対応を先送りしてもよい脆弱性影響情報のキーワード及び影響係数とを対応付けて記憶する記憶装置である。補足すると、システムの特性情報として、「社内LANで閉じられた環境にある」が記憶されている場合は、そのシステムを構成する製品の脆弱性影響情報に「Dos攻撃」や「踏み台」というキーワードがあっても、外部から攻撃を受けることが無いので、その対応を先送りしてよいことになる。そこで、システム毎対応先送脆弱性情報記憶部32では、「保護資産の重要度が低い」の特性情報と「情報漏洩」という脆弱性影響情報のキーワードとを関連付けて記憶する。他にも、システム毎対応先送脆弱性情報記憶部32では、「社内LANで閉じられた環境にある」の特性情報と「Dos攻撃」や「踏み台」という脆弱性影響情報のキーワードとを関連付けて記憶する。なお、ここでは影響係数はすべて0とする。
また、本実施形態に係る脆弱性対応優先度算出部19Tは、第1の実施形態に係る脆弱性対応優先度算出部19が、第4読出機能19G・第5読出機能19H・第3算出機能19Iをさらに有しているものである。
第4読出機能19Gは、システム毎特性情報記憶部31からシステムの特性情報を読み出す機能である。
第5読出機能19Hは、第4読出機能19Gにより読み出した特性情報に対応する脆弱性影響情報と影響係数とをシステム毎対応先送脆弱性情報記憶部32から読み出す機能である。
第3算出機能19Iは、第5読出機能19Hから読み出した脆弱性影響情報が、第2読出機能19Bにより読み出した脆弱性影響情報に含まれる場合、第1算出機能19Eにより算出された脆弱性対応優先度に影響係数を掛けて、新たな脆弱性対応優先度を算出する機能である。なお、ここでは、影響係数が全て0なので、新たな脆弱性対応優先度は0となる。
上述した構成により、脆弱性対応優先度表示装置10Tでは、システムの特性に応じて、保守対応を先送りしてよい脆弱性影響情報がある場合、影響係数を乗じて、その脆弱性対応優先度を下げることができる。例えば、システムAには「社内LANで閉じている」の特性情報が対応付けられており、構成製品であるOS a やMW bの脆弱性影響情報に「Dos攻撃」や「踏み台」というキーワードがあっても、外部から攻撃を受けることが無いので、脆弱性対応優先度が下がることになる。同様に、システムBには「保護資産の重要度が低い」の特性情報が対応付けられており、構成製品であるOS cの脆弱性影響情報に「情報漏洩」というキーワードがあっても、保守対応の緊急度が低く、脆弱性対応優先度が下がることになる。なお、ここでは、影響係数が全て0なので、システムAの構成製品のうち、脆弱性影響情報「Dos攻撃」に対応する製品名OS aや脆弱性影響情報「スパムメールの踏み台」に対応する製品名MW bの脆弱性対応優先度は0となる。
換言すると、脆弱性対応優先度表示装置10Tによれば、各システムの特性を考慮し、保守対応を先延ばしにしてよい製品名の脆弱性対応優先度を低くするので、より効果的な脆弱性対応優先度をユーザに示すことができる。
<第4の実施形態>
図16は本発明の第4の実施形態に係るセキュリティ劣化防止支援装置51の構成を示す模式図である。第1〜第3の実施形態に係る脆弱性対応優先度表示装置10・10S・10Tは、前述のセキュリティ劣化防止支援装置5として、本実施形態に係るセキュリティ劣化防止支援装置51を適用し、劣化レベルを取得することができる。なお、以下の説明において監視項目を単に「項目」と呼ぶ。また、以下の説明における「差異」を規格化した値が「劣化レベル」に相当する。
図16は本発明の第4の実施形態に係るセキュリティ劣化防止支援装置51の構成を示す模式図である。第1〜第3の実施形態に係る脆弱性対応優先度表示装置10・10S・10Tは、前述のセキュリティ劣化防止支援装置5として、本実施形態に係るセキュリティ劣化防止支援装置51を適用し、劣化レベルを取得することができる。なお、以下の説明において監視項目を単に「項目」と呼ぶ。また、以下の説明における「差異」を規格化した値が「劣化レベル」に相当する。
セキュリティ劣化防止支援装置51は、コンピュータからなり、企業や団体内などに構築された情報システム52におけるセキュリティに関する各項目の設定値を監視して、セキュリティ上の劣化事象(現象)が生じた時、セキュリティ劣化解消の指示を出力するものである。
監視対象の情報システム52は、例えば、図17(a)に示すように、当該情報システムを用いて主たる業務を行うための業務サーバ52a、DB(データベース)サーバ52b、担当者端末52c、管理者端末52d、上長端末52e、インターネット52fなどに接続されたFWとしてのルータ52g、セキュリティ劣化防止支援装置51に接続された通信IF52hなどが、社内LAN52iなどに組み入れられている。
そして、この情報システム52のセキュリティを確保するために、上記業務サーバ52aやDBサーバ52bなどに対して、サーバ毎に、当該サーバにアクセス許可される担当者(ユーザ)のリストがこの情報システム52の管理者にて、各サーバ内に設定されている。例えば図17(b)に主業務サーバ52aに対するアクセスが許可されたユーザリスト52jを示す。このユーザリスト52jには、図17(b)に示すように現在時点で8人のユーザが設定されているものとする。
同様に、社内LAN52iとインターネット52fとの間には、ルータ52gにFW(ファイァ・ウォール)の機能が組み入れられており、このルータ52g(FW)を通過する各種情報の許可された送信者のリストが当該FW(ファイア・ウォール)に設定されている。
さらに、業務サーバ52a、DBサーバ52b、FWなどは、多数の入出力ポートを有しているが、そのうちで有効なポートのポート番号を設定しており、設定されていないポート番号のポートに各種信号を印加しても、この業務サーバ52a、DBサーバ52b、FWなどをアクセスできない。
セキュリティ劣化防止支援装置51内には、図16に示すように、管理者が各種の指示を入力するためのキーボードやマウスなどからなる操作部53、現在時刻(月日)を計時する時計回路54、算出された「差異」や「傾きK(増加量)」を経過時間(日)を横軸としてグラフィック表示する表示器55、各種情報を記憶する例えばHDDなどで構成された記憶部56などのハードウェア資源が設けられている。
この記憶部56内には、セキュリティ劣化防止支援装置51が実行する各種の処理動作のアプリケーション・プログラムを記憶するプログラムメモリ57、基準設定値メモリ58、設定リスト59、セキュリティ劣化テーブル60、対応処理メモリ61が設けられている。
さらに、このセキュリティ劣化防止支援装置51内には、前記プログラムメモリ57のアプリケーション・プログラム上に形成された、設定部62、現状セキュリティ検出部63、差異検出部64、セキュリティ劣化テーブル書込部65、傾き算出部66、対応処理決定部67、対応処理実行部68、編集部69、表示制御部70、現状設定値変更部71、基準設定値変更部72などが形成されている。
以下各部の詳細構成及び動作を順番に説明する。
基準設定値メモリ58内には、図18に示すように、情報システム52におけるセキュリティの図17(a)、(b)で説明した各項目73の基準設定値が記憶されている。この実施形態においては1〜7の項目番号が付された7個の項目73が記憶されている。
基準設定値メモリ58内には、図18に示すように、情報システム52におけるセキュリティの図17(a)、(b)で説明した各項目73の基準設定値が記憶されている。この実施形態においては1〜7の項目番号が付された7個の項目73が記憶されている。
項目番号「1」の項目73には、「業務サーバアクセスユーザ」の項目名、「業務サーバに対するアクセスを許可されたユーザ」の内容、実際に設定値のデータが格納されている「業務サーバユーザリスト」のファイル名が設定されている。このファイルは、設定リスト59内に、図19(a)の形式で示される。具体的には、業務サーバ52aに対して山田一郎を含み5名が許可されたユーザとして設定されている。したがって、この1番の項目73の基準設定値は「5」となる。
これに対して、情報システム52に現時点(ある時点)で業務サーバ52aに対してアクセス許可されたユーザ数は図17(b)に示したように8名であるので、現状設定値は「8」となり、セキュリティ劣化の量を示す「差異」は「3」となる。
なお、基準設定値メモリ58内に設定されている人数と、情報システム52における現状設定値の人数がたとえ一致していたとしても、設定されている氏名が異なる場合は、異なる氏名の数を「差異」とすることも可能である。例えば、基準設定値メモリ58内に「山田、鈴木、高橋」と設定されていて、情報システム52における現状設定として「山田、鈴木、大阪」である場合は、1名が異なるので、「差異」=1となる。
項目番号「2」の項目73は、図17(a)のDBサーバ52bに対するアクセス許可されたユーザ名が前述した設定リスト59に設定されている。したがって、この項目73の基準設定値は設定されたユーザの人数である。
項目番号「3」の項目73は、図17(a)の前述したFW(ファイア・ウォール)を各種情報が通過するための条件情報が前述した設定リスト59に設定されている。例えば、ここでいう条件情報とは、当該FWを通過する各種情報を発信(送信)した送信者のユーザ名が該当する。したがって、この項目73の基準設定値は設定されたユーザの人数である。
項目番号「4」の項目73は、FW(ルータ52g)を通過可能な情報の種別であり、設定リスト59に、図19(b)に示す状態で設定されている。この項目73の基準設定値は設定された通過可能な情報の種別の数である。たとえば、ここで「データ削除要求」に関しては、FW(ルータ52g)は通過しないという条件となっていることがわかる。
項目番号「5」の項目73は、業務サーバ52aにおける有効なポートのポート番号であり、設定リスト59に、図19(c)に示す状態で設定されている。この項目73の基準設定値は有効に設定されたポート番号の総数であり、この実施形態においては、基準設定値は「5」である。
項目番号「6」の項目73は、DBサーバ52bにおける有効なポートのポート番号であり、設定リスト59に設定されている。この項目73の基準設定値は有効に設定されたポート番号の総数である。
項目番号「7」の項目73は、FWにおける有効なポートのポート番号であり、設定リスト59に設定されている。この項目73の基準設定値は有効に設定されたポート番号の総数である。
この業務システム52の管理責任者又はセキュリティ劣化防止支援装置51の管理責任者が操作部53を介して操作入力すると、設定部62は基準設定値メモリ58内の各基準設定値を基準設定値メモリ58に設定する。
セキュリティ劣化テーブル60内には、図20に示すように、前述した「1」番から「7」番までの7つのセキュリティの項目73毎に、10月1日から10月8まで1日(期間)毎に監視、算出された「差異」、「傾き」が書込まれている。
現状セキュリティ検出部63は、時計回路54の例えば1日などの一定期間毎の時間割込に応じて、監視対象の情報システム52に対して、前述した「1」番から「7」番までの7つの項目73に対して、現時点において、当該情報システム52に設定されている現状設定値を読出して、差異検出部64へ送出する。
差異検出部64は、検出された情報システム52の各項目73の「現状設定値」から、基準設定値メモリ58に記憶されている同一項目73の「基準設定値」を減算して、セキュリティ劣化を示す「差異」を算出する。
「(設定値の)差異」=「現状設定値」―「基準設定値」
但し、「現状設定値」が「基準設定値」に等しい場合、又は下回る場合は、該当項目73に対して、セキュリティ劣化事象(現象)は生じていないので、強制的に、「差異」=0としている。セキュリティ劣化テーブル書込部65は、算出された各項目73の差異をセキュリティ劣化テーブル60内の当該日付の差異欄に書込む。例えば、今日が10月2日の場合、項目番号「1」の項目73の業務サーバ52aの基準設定値は図19(a)に示す「5(人)」であるのに対して、実際の業務サーバ52aの現状設定値は図17(b)に示す「8(人)」であるので、セキュリティ劣化を示す「差異」は、8−5=3となる。
但し、「現状設定値」が「基準設定値」に等しい場合、又は下回る場合は、該当項目73に対して、セキュリティ劣化事象(現象)は生じていないので、強制的に、「差異」=0としている。セキュリティ劣化テーブル書込部65は、算出された各項目73の差異をセキュリティ劣化テーブル60内の当該日付の差異欄に書込む。例えば、今日が10月2日の場合、項目番号「1」の項目73の業務サーバ52aの基準設定値は図19(a)に示す「5(人)」であるのに対して、実際の業務サーバ52aの現状設定値は図17(b)に示す「8(人)」であるので、セキュリティ劣化を示す「差異」は、8−5=3となる。
増加量算出手段としての傾き算出部66は、1日などの一定期間毎に算出される各「差異」の一つ前の期間における「差異」からの当該差異が増加する方向の「増加量」を「傾きK」として算出する。この場合、差異が減少した場合は、セキュリティ劣化が改善されたので、「増加量」を示す「傾きK」=0とする。
例えば、今日が10月2日の場合、「1」番の項目73の業務サーバ52aの差異=3で、前日(10月1日)の差異=0であるので、「増加量」を示す「傾きK」=3となる。10月3日に実際の業務サーバ52aの現状設定値が5に設定変更されたとすると、差異=0となるので、「増加量」を示す「傾きK」=0となる。
対応処理メモリ61内には、図21に示すように、この算出されたセキュリティ劣化の「増加量」を示す「傾きK」に対応したセキュリティ劣化解消の指示(対策)が記憶されている。傾きK=1に対しては管理者端末52dへの通知を指示し、傾きK=2に対しては管理者端末52d及び上長端末52eへの通知を指示し、傾きK≧3に対しては、当該機器(端末)をLANなどのネットワークから強制的に切り離す指示を出す。
対応処理決定部67は、傾き算出部66で、1以上の傾きKが算出されると、対応処理メモリ61から傾きKに対応するセキュリティ劣化解消の指示を決定する。対応処理実行部68は、この決定した対応処理を情報システム52に対して実行する。
編集部69は、操作者の指示に基づいて、図20に示すセキュリティ劣化テーブル60における1日毎の7つの項目73の「合計差異」と「合計傾きK」とを算出する。表示制御部70は、編集部69で編集された、セキュリティ劣化テーブル60に書込まれた各項目73の「差異」、「傾きK」を、図22、図23に示すように、表示器55に、日付を横軸にグラフィック表示する。
さらに、現状設定値変更部71は、操作者の指示に基づいて、前述した図17(a)で示した、「差異」が検出された情報システム52のセキュリティに関する各項目73の現状設定値を基準設定値メモリ58に記憶された当該項目73の基準設定値に変更する。
また、逆に、基準設定値変更部72は、操作者の指示に基づいて、「差異」が検出された基準設定値メモリ58に記憶された項目の基準設定値を情報システム52の当該項目の現状設定値に変更する。
このように、必要に応じて、基準設定値メモリ58に記憶された項目の基準設定値と情報システム52の各項目の現状設定値とをいずれか一方の設定値に書き替えることによって、両者を同一値とすることが可能である。
図24は、このような構成のセキュリティ劣化防止支援装置51の全体動作を示す流れ図である。1日の期間ΔTが経過すると、(ステップW1)、項目73の番号mを1に初期設定(W2)し、項目番号mの項目73の情報システム52における現状のセキュリティ値である現状設定値を読取る(W3)。
次に、基準設定値メモリ58に記憶された同一項目73の基準設定値を読取り(W4)、両者の差異Dを算出する(W5)。算出した差異をセキュリティ劣化テーブル60に書込む(W6)。そして、一つ前の期間における「差異」からの当該差異が増加する方向の「増加量」を「傾きK」(K=D―D-1)として算出する(W7)。
そして、「傾きK」が、0でなく、1以上の場合(W8)で、傾きK=1のとき(W9)、管理者端末52dへの通知を指示する(W10)。また、傾きK=2のとき(W11)、管理者端末52d及び上長端末52eへの通知を指示する(W12)。最後に、傾きK≧3のとき(W13)、当該機器(端末)をLANなどのネットワークから強制的に切り離す指示を出す(W14)。
以上で、項目番号mの項目73の設定値に対する処理が終了したので、項目番号mを更新し(W15)、更新後の項目番号mが最大値7(本実施例の場合は最大値7)を超えていないことを確認する(W16)。そして、W3へ戻り、次の項目73に対する処理を開始する。なお、W8にて、「傾きK」が0の場合は、W15へ進み、項目番号mを更新する。
W16にて、全部の項目73に対する1日分の処理が終了すると、合計差異、合計傾きを算出して、セキュリティ劣化テーブル60に書込む(W17)。そして、操作者から表示指示が操作入力された場合は(W18)、セキュリティ劣化テーブル60に書込まれている現在時刻(日)までの差異D、傾きKを表示器55にグラフィック表示する(W19)。そして、終了指示が入力されないと(W20)、W1へ戻り、1日待って、次の日にセキュリティ監視処理を開始する。
このように構成されたセキュリティ劣化防止支援装置51においては、1日などの一定期間毎に情報システム52におけるセキュリティの1番から7番までの各項目73の現状設定値が検出され、セキュリティ劣化防止支援装置51内の記憶部56内に設けられた基準設定値メモリ58に記憶された同一項目73の基準設定値からの差異Dが計算される。
さらに、この「差異」の一つ前の期間(1日前)における差異D-1からの増加量がセキュリティ劣化の加速度を示す「傾きK」(K=D―D-1)として算出され、この「傾きK」(K=1、K=2、K≧3)に対応した、図21に示す3種類のセキュリティ劣化解消の指示が出力される。
このように差異が増加する毎に、より効果的なセキュリティ劣化解消の指示が出力されるので、長期間に亘って、大きな差異が生じたままで放置されることが防止される。
前述したように、図22は、セキュリティに関する各項目の「差異」の経時変化を示し、図23は、セキュリティに関する各項目の「差異」の増加量(傾きK)の経時変化を示した図である。管理者は、この傾きKの変遷を確認することにより、前記「傾きK」に対応したセキュリティ劣化解消の対策が実施されずに放置されたことが明確に解る。要するに、管理者に対する注意を喚起できる。
さらに、傾きK≧3に対しては、当該機器(端末)をLANなどのネットワークから切り離す実力行使となるので、最低限のセキュリティは確保される。
<その他>
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に構成要素を適宜組み合わせてもよい。
なお、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に構成要素を適宜組み合わせてもよい。
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
5・・・セキュリティ劣化防止支援装置、6・・・脆弱性情報提供サーバ、10,10S,10T・・・脆弱性対応優先度表示装置、11・・・システム毎監視項目毎劣化レベル記憶部、12・・・システム毎構成情報記憶部、13・・・脆弱性情報記憶部、14・・・監視項目毎影響度記憶部、15・・・脆弱性対応優先度記憶部、16・・・システム毎監視項目毎劣化レベル取得部、17・・・システム毎構成情報取得部、18・・・脆弱性情報収集部、19・・・脆弱性対応優先度算出部、19A・・・第1読出機能、19B・・・第2読出機能、19C・・・第3読出機能、19D・・・判定機能、19E・・・第1算出機能、19F・・・第2算出機能、19G・・・第4読出機能、19H・・・第5読出機能、19I・・・第3算出機能、20・・・脆弱性対応優先度表示部。
Claims (4)
- 複数のシステムの監視項目毎に劣化レベルを算出し、セキュリティ劣化の防止を支援するセキュリティ劣化防止支援装置と、
製品名毎に脆弱性影響情報を提供する脆弱性情報提供サーバと、
の両装置と接続可能に接続する脆弱性対応優先度表示装置であって、
前記セキュリティ劣化防止支援装置から各システムの監視項目毎の劣化レベルを取得するシステム毎監視項目毎劣化レベル取得手段と、
前記各システムの監視項目毎の劣化レベルを記憶するシステム毎監視項目毎劣化レベル記憶手段と、
前記各システムを構成する製品名の情報と該各システムとを関連付けて記憶するシステム毎構成情報記憶手段と、
前記脆弱性情報提供サーバから前記製品名に対応する脆弱性影響情報を収集する脆弱性情報収集手段と、
前記脆弱性情報収集手段により収集した脆弱性影響情報を製品名と関連付けて記憶する脆弱性情報記憶手段と、
前記システムの各監視項目と、前記脆弱性影響情報及び影響度とを対応付けて記憶する監視項目毎影響度記憶手段と、
前記システム毎監視項目毎劣化レベル記憶手段に記憶された各システムの監視項目毎の劣化レベルを読み出す第1読出手段と、
前記第1読出手段により劣化レベルが読み出された各監視項目に対応する脆弱性影響情報及び影響度を前記監視項目毎影響度記憶手段から読み出す第2読出手段と、
前記第2読出手段により読み出された脆弱性影響情報に対応する製品名を前記脆弱性情報記憶手段から読み出す第3読出手段と、
前記第3読出手段により読み出された製品名が、前記第1読出手段により劣化レベルが読み出されたシステムに含まれているか否かを、前記システム毎構成情報記憶手段を検索することで判定する判定手段と、
前記判定手段により含まれていると判定された場合、前記第1読出手段により読み出された劣化レベルと前記第2読出手段により読み出された影響度との積を求め、該システムを構成する製品名に対応させて脆弱性対応優先度を算出する脆弱性対応優先度算出手段と、
前記脆弱性対応優先度算出手段により算出された脆弱性対応優先度順に、前記各システムの製品名を表示する脆弱性対応優先度表示手段と、
を備えたことを特徴とする脆弱性対応優先度表示装置。 - 請求項1に記載の脆弱性対応優先度表示装置において、
前記各システムの重要度を記憶するシステム重要度記憶手段と、
前記脆弱性対応優先度と前記重要度との積を求めて、新たな脆弱性対応優先度を算出する手段と、
をさらに備えたことを特徴とする脆弱性対応優先度表示装置。 - 請求項1又は請求項2のいずれか1項に記載の脆弱性対応優先度表示装置において、
前記各システムの特性を示す特性情報を該システム毎に記憶するシステム毎特性情報記憶手段と、
前記各システムの特性情報と、保守作業の対応を先送りしてもよい脆弱性影響情報及び影響係数とを対応付けて記憶するシステム毎対応先送脆弱性情報記憶手段と、
前記システム毎特性情報記憶手段から前記システムの特性情報を読み出す第4読出手段と、
前記第4読出手段により読み出した特性情報に対応する脆弱性影響情報及び前記影響係数を前記システム毎対応先送脆弱性情報記憶手段から読み出す第5読出手段と、
前記第5読出手段から読み出した脆弱性影響情報が、前記第2読出手段により読み出した脆弱性影響情報に含まれる場合、前記脆弱性対応優先度算出手段により算出された脆弱性対応優先度に前記影響係数を掛けて、新たな脆弱性対応優先度を算出する手段と、
を備えたことを特徴とする脆弱性対応優先度表示装置。 - 複数のシステムの監視項目毎に劣化レベルを算出し、セキュリティ劣化の防止を支援するセキュリティ劣化防止支援装置と、
製品名毎に脆弱性影響情報を提供する脆弱性情報提供サーバと、
の両装置と接続可能に接続する脆弱性対応優先度表示装置のメモリに組み込まれるプログラムであって、
前記脆弱性対応優先度表示装置のコンピュータを、
前記セキュリティ劣化防止支援装置から各システムの監視項目毎の劣化レベルを取得するシステム毎監視項目毎劣化レベル取得手段、
前記各システムの監視項目毎の劣化レベルを記憶するシステム毎監視項目毎劣化レベル記憶手段、
前記各システムを構成する製品名の情報と該各システムとを関連付けて記憶するシステム毎構成情報記憶手段、
前記脆弱性情報提供サーバから前記製品名に対応する脆弱性影響情報を収集する脆弱性情報収集手段、
前記脆弱性情報収集手段により収集した脆弱性影響情報を製品名と関連付けて記憶する脆弱性情報記憶手段、
前記システムの各監視項目と、前記脆弱性影響情報及び影響度とを対応付けて記憶する監視項目毎影響度記憶手段、
前記システム毎監視項目毎劣化レベル記憶手段に記憶された各システムの監視項目毎の劣化レベルを読み出す第1読出手段、
前記第1読出手段により劣化レベルが読み出された各監視項目に対応する脆弱性影響情報及び影響度を前記監視項目毎影響度記憶手段から読み出す第2読出手段、
前記第2読出手段により読み出された脆弱性影響情報に対応する製品名を前記脆弱性情報記憶手段から読み出す第3読出手段、
前記第3読出手段により読み出された製品名が、前記第1読出手段により劣化レベルが読み出されたシステムに含まれているか否かを、前記システム毎構成情報記憶手段を検索することで判定する判定手段、
前記判定手段により含まれていると判定された場合、前記第1読出手段により読み出された劣化レベルと前記第2読出手段により読み出された影響度との積を求め、該システムを構成する製品名に対応させて脆弱性対応優先度を算出する脆弱性対応優先度算出手段、
前記脆弱性対応優先度算出手段により算出された脆弱性対応優先度順に、前記各システムの製品名を表示する脆弱性対応優先度表示手段、
として実現させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008255235A JP5148442B2 (ja) | 2008-09-30 | 2008-09-30 | 脆弱性対応優先度表示装置及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008255235A JP5148442B2 (ja) | 2008-09-30 | 2008-09-30 | 脆弱性対応優先度表示装置及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010086311A JP2010086311A (ja) | 2010-04-15 |
| JP5148442B2 true JP5148442B2 (ja) | 2013-02-20 |
Family
ID=42250204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008255235A Active JP5148442B2 (ja) | 2008-09-30 | 2008-09-30 | 脆弱性対応優先度表示装置及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5148442B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012208863A (ja) * | 2011-03-30 | 2012-10-25 | Hitachi Ltd | 脆弱性判定システム、脆弱性判定方法、および、脆弱性判定プログラム |
| JP5746565B2 (ja) * | 2011-06-08 | 2015-07-08 | 株式会社日立システムズ | 保守管理システム、作業優先順位算出方法およびプログラム |
| JP2014174678A (ja) * | 2013-03-07 | 2014-09-22 | Canon Inc | 情報処理装置及びその制御方法 |
| JP6298680B2 (ja) * | 2014-03-28 | 2018-03-20 | 株式会社日立製作所 | セキュリティ対処支援システム |
| JP7005936B2 (ja) * | 2017-05-19 | 2022-02-10 | 富士通株式会社 | 評価プログラム、評価方法および情報処理装置 |
| US10540496B2 (en) | 2017-09-29 | 2020-01-21 | International Business Machines Corporation | Dynamic re-composition of patch groups using stream clustering |
| JP2020113090A (ja) | 2019-01-15 | 2020-07-27 | 三菱電機株式会社 | 脆弱性影響評価システム |
| WO2021144975A1 (ja) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | 情報処理装置及びプログラム |
| JP2024021523A (ja) * | 2022-08-03 | 2024-02-16 | 株式会社日立製作所 | ソフトウェア情報管理装置、ソフトウェア情報管理方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004054706A (ja) * | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
| US7536456B2 (en) * | 2003-02-14 | 2009-05-19 | Preventsys, Inc. | System and method for applying a machine-processable policy rule to information gathered about a network |
| JP2006268167A (ja) * | 2005-03-22 | 2006-10-05 | Nec Fielding Ltd | セキュリティシステム、セキュリティ方法及びそのプログラム |
| JP2007058514A (ja) * | 2005-08-24 | 2007-03-08 | Mitsubishi Electric Corp | 情報処理装置及び情報処理方法及びプログラム |
| US7627893B2 (en) * | 2005-10-20 | 2009-12-01 | International Business Machines Corporation | Method and system for dynamic adjustment of computer security based on network activity of users |
| WO2008004498A1 (fr) * | 2006-07-06 | 2008-01-10 | Nec Corporation | Système, dispositif, procédé et programme de gestion des risques de sécurité |
| JP2008176634A (ja) * | 2007-01-19 | 2008-07-31 | Toshiba Corp | セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム |
-
2008
- 2008-09-30 JP JP2008255235A patent/JP5148442B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010086311A (ja) | 2010-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5148442B2 (ja) | 脆弱性対応優先度表示装置及びプログラム | |
| JP5346374B2 (ja) | ウェブページプライバシーリスク保護方法及びシステム | |
| JP4152108B2 (ja) | 脆弱点監視方法及びシステム | |
| JP5018774B2 (ja) | 監視装置、監視システム、監視方法およびプログラム | |
| KR20090007566A (ko) | 모델 기반 이벤트 프로세싱을 위한 방법 및 컴퓨터 판독가능 매체 | |
| US20080065641A1 (en) | Method, system and program product for verifying access to a data object | |
| US20060282473A1 (en) | Rules-based data evaluation and process trigger system and method | |
| TWI804386B (zh) | 用於計算系統中資料之合規風險管理 | |
| JP4865511B2 (ja) | サービス管理装置 | |
| JP2016186695A (ja) | ファイル管理装置 | |
| JP2011070348A (ja) | 情報処理システム、情報処理方法、およびプログラム | |
| US20040015742A1 (en) | Method and system for allowing customization of remote data collection in the event of a system error | |
| US8291494B1 (en) | System, method, and computer program product for detecting unwanted activity associated with an object, based on an attribute associated with the object | |
| US8244761B1 (en) | Systems and methods for restricting access to internal data of an organization by external entity | |
| JP2005251186A (ja) | 営業者選択装置 | |
| JP3818449B2 (ja) | 業務管理装置及び方法並びに業務管理プログラム | |
| JP3404032B1 (ja) | コンピュータウィルス対策システム及びコンピュータウィルス対策方法 | |
| JP2007041828A (ja) | Sla達成状況判定方法 | |
| JP5197128B2 (ja) | 依存関係推定装置及び依存関係推定プログラム及び記録媒体 | |
| JP2005293267A (ja) | 情報セキュリティマネジメント支援システム及びプログラム | |
| JP2013003681A (ja) | サービス運用管理装置 | |
| JP6196848B2 (ja) | 情報処理装置、情報処理方法、及びプログラム | |
| JP5492031B2 (ja) | 作業管理システム | |
| JP5545722B2 (ja) | 契約管理システム、契約管理方法、クライアント装置、サーバ装置、及びプログラム | |
| JP2005031748A (ja) | 資産管理プログラム及び資産管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110223 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120726 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121030 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121128 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5148442 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151207 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |