JP6023121B2 - Vulnerability visualization server, vulnerability visualization method, vulnerability visualization server program - Google Patents

Vulnerability visualization server, vulnerability visualization method, vulnerability visualization server program Download PDF

Info

Publication number
JP6023121B2
JP6023121B2 JP2014101850A JP2014101850A JP6023121B2 JP 6023121 B2 JP6023121 B2 JP 6023121B2 JP 2014101850 A JP2014101850 A JP 2014101850A JP 2014101850 A JP2014101850 A JP 2014101850A JP 6023121 B2 JP6023121 B2 JP 6023121B2
Authority
JP
Japan
Prior art keywords
vulnerability
information
asset
database
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014101850A
Other languages
Japanese (ja)
Other versions
JP2015219665A (en
Inventor
松野真一
松下聡史
茨木隆彰
Original Assignee
ゲヒルン株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ゲヒルン株式会社 filed Critical ゲヒルン株式会社
Priority to JP2014101850A priority Critical patent/JP6023121B2/en
Publication of JP2015219665A publication Critical patent/JP2015219665A/en
Application granted granted Critical
Publication of JP6023121B2 publication Critical patent/JP6023121B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、ユーザの資産として登録されたシステムに含まれる脆弱性を可視化する脆弱性可視化サーバ、脆弱性可視化方法、脆弱性可視化サーバ用プログラムに関する。   The present invention relates to a vulnerability visualization server, a vulnerability visualization method, and a vulnerability visualization server program for visualizing a vulnerability included in a system registered as a user asset.

近年、公衆回線網に接続された携帯端末をWebサーバ等と接続することで、ユーザに様々なサービスが提供されている。ここで、サービスの提供側に目を向けると、システムはフレームワーク、実行ソフトウェア、ライブラリ等様々な構成要素技術で成り立っていることが分かる。   In recent years, various services are provided to users by connecting a mobile terminal connected to a public network to a Web server or the like. Here, looking at the service provider side, it can be seen that the system is composed of various component technologies such as a framework, execution software, and library.

一方で、あらゆるソフトウェアはバグを内包している可能性があり、それをゼロにすることは実質的に不可能である。よって、ソフトウェアを多数組み合わせたシステムにおいても脆弱性がつきものであり、場合によっては顧客情報や決済情報の流出といった、サービス自体を破綻させうるような致命的な被害が発生する恐れがある。   On the other hand, any software may contain a bug and it is virtually impossible to zero it. Therefore, even a system in which a large number of softwares are combined is vulnerable, and in some cases, fatal damage that may cause the service itself to fail, such as leakage of customer information and payment information, may occur.

脆弱性は、ソフトウェアの提供者が認知すれば、それに対するアップデートを施すことで修正されるのが常である。しかしながら、システム管理者が管理しているシステムに含まれるソフトウェアを全て把握し、脆弱性情報を毎日チェックし、アップデート処理を施すことは困難であり、人件費もかかるといった問題があった。   Vulnerabilities are usually fixed by updating the software provider if they recognize it. However, there is a problem that it is difficult to grasp all software included in the system managed by the system administrator, to check the vulnerability information every day, and to perform the update process, and to increase the labor cost.

このような課題に対して、所定条件により、リクエストに対するレスポンスの内容を変えるようなウエブサーバ装置についても、SQLインジェクションなどの脆弱性を診断する脆弱性診断装置が開示されている。   In response to such a problem, a vulnerability diagnosis apparatus for diagnosing a vulnerability such as SQL injection has been disclosed for a web server apparatus that changes the content of a response to a request according to a predetermined condition.

特開2012−133406号公報JP 2012-133406 A

特許文献1によれば、正常レスポンス収集手段10は、登録されているユーザIDとパスワードを伴った正常リクエストREQNを複数回送信し、正常リクエストに対するウエブサーバからの複数のレスポンスRESN(正常レスポンスという)を受信することで、複数の正常レスポンスについて、共通領域抽出手段12によって共通領域が抽出される。その後、異常レスポンス収集手段18は、SQLインジェクションを、ウエブサーバに対して行い、レスポンスRESA(異常レスポンスという)を受信し、これを記録部16に記録する。判断手段14は、共通領域において、正常レスポンスと異常レスポンスが同一であれば、脆弱性があると判断する。   According to Patent Document 1, the normal response collection means 10 transmits a normal request REQN with a registered user ID and password a plurality of times, and a plurality of responses RESN (referred to as normal responses) from the web server for the normal request. Is received, the common area is extracted by the common area extracting means 12 for a plurality of normal responses. Thereafter, the abnormal response collection unit 18 performs SQL injection on the web server, receives a response RESA (referred to as an abnormal response), and records it in the recording unit 16. If the normal response and the abnormal response are the same in the common area, the determination unit 14 determines that there is a vulnerability.

しかしながら、特許文献1で開示されている方法は、SQLインジェクションを主とした脆弱性にしか対応できず、また、予め想定されているリクエスト以外に係る脆弱性には対応できないという課題があった。   However, the method disclosed in Patent Document 1 has a problem that it can deal only with vulnerabilities mainly using SQL injection and cannot deal with vulnerabilities related to requests other than those assumed in advance.

そこで、本発明の発明者は、システムに含まれる構成要素技術を抽出し、脆弱性情報と脅威情報を結びつけ、関連する脆弱性情報が発見され次第ユーザに通知するようなサーバを構成することで、一度システムを登録してしまえば、漏れなく、遅滞無く、自動で脆弱性情報をユーザに通知でき、脆弱性に関する運用コストを大幅に下げられる点に着目した。   Therefore, the inventor of the present invention extracts constituent element technologies included in the system, links vulnerability information and threat information, and configures a server that notifies the user as soon as related vulnerability information is found. We focused on the fact that once a system is registered, vulnerability information can be automatically notified to users without omission and without delay, and the operational costs related to the vulnerability can be greatly reduced.

本発明は、これらの課題に鑑み、ユーザが資産として登録したシステムに含まれる構成要素技術を抽出し、脆弱性情報、及び脅威情報を結びつけ、関連する脆弱性情報が発見された場合には、当該脆弱性情報を自動的にユーザへ通知する脆弱性可視化サーバ、脆弱性可視化方法、脆弱性可視化サーバ用プログラムを提供する。   In view of these problems, the present invention extracts component technology included in a system registered as an asset by a user, links vulnerability information and threat information, and when related vulnerability information is found, Provided are a vulnerability visualization server, a vulnerability visualization method, and a vulnerability visualization server program that automatically notify the user of the vulnerability information.

本発明では、以下のような解決手段を提供する。   The present invention provides the following solutions.

第1の特徴に係る発明は、ユーザが利用するユーザ端末と通信可能に接続され、記憶部に資産データベースと、脆弱性情報データベースとを備え、前記ユーザの資産たるシステムに含まれる脆弱性を可視化する脆弱性可視化サーバであって、
前記ユーザ端末から、システムの情報を受信するシステム情報受信手段と、
前記受信したシステムの情報を前記ユーザの資産として前記資産データベースに記憶させることで資産として登録する資産登録手段と、
前記登録された資産に、前記脆弱性情報データベース内に記憶された脆弱性が含まれるかを診断する脆弱性診断手段と、
前記診断の結果、前記資産に前記脆弱性が含まれている場合に、前記ユーザに当該資産及び当該脆弱性情報の通知を行うことで、当該資産に含まれる脆弱性を可視化する脆弱性情報可視化手段と、
を備えることを特徴とする脆弱性可視化サーバを提供する。 The invention according to the first feature is communicably connected to a user terminal used by a user, and includes an asset database and a vulnerability information database in a storage unit, and visualizes vulnerabilities included in the system that is the asset of the user Vulnerability visualization server that
System information receiving means for receiving system information from the user terminal;
Asset registration means for registering the received system information as an asset by storing it in the asset database as the user's asset;
Vulnerability diagnosis means for diagnosing whether the registered asset includes a vulnerability stored in the vulnerability information database;
As a result of the diagnosis, when the vulnerability is included in the asset, the vulnerability information visualization that visualizes the vulnerability included in the asset by notifying the user of the asset and the vulnerability information Means,
There is provided a vulnerability visualization server characterized by comprising:

第1の特徴に係る発明によれば、ユーザが利用するユーザ端末と通信可能に接続され、記憶部に資産データベースと、脆弱性情報データベースとを備え、前記ユーザの資産たるシステムに含まれる脆弱性を可視化する脆弱性可視化サーバは、前記ユーザ端末から、システムの情報を受信し、前記受信したシステムの情報を前記ユーザの資産として前記資産データベースに記憶させることで資産として登録し、前記登録された資産に、前記脆弱性情報データベース内に記憶された脆弱性が含まれるかを診断し、前記診断の結果、前記資産に前記脆弱性が含まれている場合に、前記ユーザに当該資産及び当該脆弱性情報の通知を行うことで、当該資産に含まれる脆弱性を可視化する。   According to the first aspect of the invention, the vulnerability included in the system that is the asset of the user, which is communicably connected to the user terminal used by the user and includes an asset database and a vulnerability information database in the storage unit. The vulnerability visualization server that visualizes the system receives system information from the user terminal, registers the received system information as the user asset in the asset database, and registers the asset as the asset. Diagnose whether the vulnerability stored in the vulnerability information database is included in the asset, and if the vulnerability is included in the asset as a result of the diagnosis, the asset and the vulnerability are Visualize vulnerabilities contained in the asset by notifying sex information.

第1の特徴に係る発明は、脆弱性可視化サーバのカテゴリであるが、脆弱性可視化方法、及び脆弱性可視化サーバ用プログラムのカテゴリにおいても、同一の作用、効果を奏する。   The invention according to the first feature is a category of vulnerability visualization server, but the same effect and effect are exhibited in the category of vulnerability visualization method and vulnerability visualization server program.

第2の特徴に係る発明は、記憶部に脅威情報データベースを備え、
前記脆弱性に対応する脅威を参照し、当該脆弱性に係る脆弱性情報を補強する脅威情報参照手段と、
前記通知の際に、前記診断された脆弱性に対応する前記脅威情報を通知に含める脅威情報可視化手段と、
を備えることを特徴とする第1の特徴に係る発明である脆弱性可視化サーバを提供する。 The invention according to the second feature comprises a threat information database in the storage unit,
Threat information reference means for referring to the threat corresponding to the vulnerability and reinforcing vulnerability information related to the vulnerability,
Threat information visualization means for including in the notification the threat information corresponding to the diagnosed vulnerability in the notification;
There is provided a vulnerability visualization server which is an invention according to the first feature.

第2の特徴に係る発明によれば、第1の特徴に係る発明である脆弱性可視化サーバは、記憶部に脅威情報データベースを備え、前記脆弱性に対応する脅威を参照し、当該脆弱性に係る脆弱性情報を補強し、前記通知の際に、前記診断された脆弱性に対応する前記脅威情報を通知に含める。   According to the second aspect of the invention, the vulnerability visualization server according to the first aspect of the invention includes a threat information database in the storage unit, refers to the threat corresponding to the vulnerability, and manages the vulnerability. Such vulnerability information is reinforced, and the threat information corresponding to the diagnosed vulnerability is included in the notification at the time of the notification.

第3の特徴に係る発明は、前記ユーザ端末と、前記資産として登録された前記システムとの少なくともいずれかから、当該システムの構成要素技術を取得する構成要素技術取得手段と、を備え、
前記取得した構成要素技術を元に、前記脆弱性が含まれるかの診断を行うことを特徴とする第1又は第2の特徴に係る発明である脆弱性可視化サーバを提供する。 The invention according to a third feature includes: component technology acquiring means for acquiring the component technology of the system from at least one of the user terminal and the system registered as the asset,
Provided is a vulnerability visualization server which is an invention according to the first or second feature, characterized in that it diagnoses whether or not the vulnerability is included based on the acquired component technology.

第3の特徴に係る発明によれば、第1又は第2の特徴に係る発明である脆弱性可視化サーバは、前記ユーザ端末と、前記資産として登録された前記システムとの少なくともいずれかから、当該システムの構成要素技術を取得し、前記取得した構成要素技術を元に、前記脆弱性が含まれるかの診断を行う。   According to the invention pertaining to the third feature, the vulnerability visualization server that is the invention pertaining to the first or second feature is based on at least one of the user terminal and the system registered as the asset. A system component technology is acquired, and a diagnosis of whether the vulnerability is included is performed based on the acquired component technology.

第4の特徴に係る発明は、前記資産に含まれると診断された前記脆弱性情報と、参照された前記脅威情報の少なくともいずれかについて、種類及び件数を診断時刻とともに記憶させる診断履歴記憶手段と、
前記診断の履歴を、統計情報として提供する統計情報提供手段と、
を備えることを特徴とする第1から第3のいずれかの特徴に係る発明である脆弱性可視化サーバを提供する。 According to a fourth aspect of the invention, diagnostic history storage means for storing the type and number of cases together with the diagnosis time for at least one of the vulnerability information diagnosed to be included in the asset and the referenced threat information; ,
Statistical information providing means for providing a history of the diagnosis as statistical information;
There is provided a vulnerability visualization server which is an invention according to any one of the first to third features.

第4の特徴に係る発明によれば、第1から第3のいずれかの特徴に係る発明である脆弱性可視化サーバは、前記資産に含まれると診断された前記脆弱性情報と、参照された前記脅威情報の少なくともいずれかについて、種類及び件数を診断時刻とともに記憶させ、前記診断の履歴を、統計情報として提供する。   According to the fourth aspect of the invention, the vulnerability visualization server according to any one of the first to third aspects is referred to the vulnerability information diagnosed to be included in the asset. For at least one of the threat information, the type and the number of cases are stored together with the diagnosis time, and the diagnosis history is provided as statistical information.

第5の特徴に係る発明は、ユーザが利用するユーザ端末と通信可能に接続され、記憶部に資産データベースと、脆弱性情報データベースとを備え、前記ユーザの資産たるシステムに含まれる脆弱性を可視化する脆弱性可視化サーバが実行する脆弱性可視化方法であって、
前記ユーザ端末から、システムの情報を受信するステップと、
前記受信したシステムの情報を前記ユーザの資産として登録するステップと、
前記登録された資産から、前記脆弱性情報データベース内に記憶された脆弱性が含まれるかを診断するステップと、
前記診断の結果、前記資産に前記脆弱性が含まれている場合に、前記ユーザに当該資産及び当該脆弱性情報の通知を行うことで、当該資産に含まれる脆弱性を可視化するステップと、
を備えることを特徴とする脆弱性可視化方法を提供する。 The invention according to a fifth aspect is connected to a user terminal used by a user so as to be communicable, and includes an asset database and a vulnerability information database in a storage unit, and visualizes vulnerabilities included in the user asset system The vulnerability visualization method executed by the vulnerability visualization server
Receiving system information from the user terminal;
Registering the received system information as an asset of the user;
Diagnosing whether a vulnerability stored in the vulnerability information database is included from the registered asset; and
As a result of the diagnosis, when the vulnerability is included in the asset, a step of visualizing the vulnerability included in the asset by notifying the user of the asset and the vulnerability information;
There is provided a vulnerability visualization method characterized by comprising:

第6の特徴に係る発明は、ユーザが利用するユーザ端末と通信可能に接続され、記憶部に資産データベースと、脆弱性情報データベースとを備え、前記ユーザの資産たるシステムに含まれる脆弱性を可視化する脆弱性可視化サーバに、
前記ユーザ端末から、システムの情報を受信するステップ、
前記受信したシステムの情報を前記ユーザの資産として登録するステップ、
前記登録された資産から、前記脆弱性情報データベース内に記憶された脆弱性が含まれるかを診断するステップ、
前記診断の結果、前記資産に前記脆弱性が含まれている場合に、前記ユーザに当該資産及び当該脆弱性情報の通知を行うことで、当該資産に含まれる脆弱性を可視化するステップ、
を実行させることを特徴とする脆弱性可視化サーバ用プログラムを提供する。 The invention according to a sixth aspect is connected to a user terminal used by a user so as to be communicable, and includes an asset database and a vulnerability information database in a storage unit, and visualizes vulnerabilities included in the user asset system To the vulnerability visualization server
Receiving system information from the user terminal;
Registering the received system information as an asset of the user;
Diagnosing whether the vulnerability stored in the vulnerability information database is included from the registered asset;
As a result of the diagnosis, when the vulnerability is included in the asset, a step of visualizing the vulnerability included in the asset by notifying the user of the asset and the vulnerability information;
Provided is a vulnerability visualization server program characterized by executing

本発明によれば、ユーザが資産として登録したシステムに含まれる構成要素技術を抽出し、脆弱性情報、及び脅威情報を結びつけ、関連する脆弱性情報が発見された場合には、当該脆弱性情報を自動的にユーザへ通知する脆弱性可視化サーバ、脆弱性可視化方法、脆弱性可視化サーバ用プログラムを提供する。   According to the present invention, when a component technology included in a system registered as an asset by a user is extracted, vulnerability information and threat information are linked, and related vulnerability information is found, the vulnerability information Vulnerability Visualization Server, Vulnerability Visualization Method, and Vulnerability Visualization Server Program are provided.

図1は、脆弱性可視化システム1の概要を説明するための図である。FIG. 1 is a diagram for explaining an overview of the vulnerability visualization system 1. 図2は、脆弱性可視化システム1の全体構成図である。FIG. 2 is an overall configuration diagram of the vulnerability visualization system 1. 図3は、ユーザ端末10、脆弱性可視化サーバ200の機能ブロック図である。FIG. 3 is a functional block diagram of the user terminal 10 and the vulnerability visualization server 200. 図4は、ユーザ端末10、脆弱性可視化サーバ200が実行する脆弱性可視化処理を示すフローチャート図である。FIG. 4 is a flowchart showing vulnerability visualization processing executed by the user terminal 10 and the vulnerability visualization server 200. 図5は、ユーザ端末10、脆弱性可視化サーバ200が実行する脆弱性診断処理を示すフローチャート図である。FIG. 5 is a flowchart showing vulnerability diagnosis processing executed by the user terminal 10 and the vulnerability visualization server 200. 図6は、通知の一例として表示されるプロジェクト一覧画面の一例である。FIG. 6 is an example of a project list screen displayed as an example of notification. 図7は、通知の一例として表示される脆弱性詳細画面の一例である。FIG. 7 is an example of the vulnerability details screen displayed as an example of notification. 図8は、資産データベース250内に記憶されている資産テーブルの一例である。FIG. 8 is an example of an asset table stored in the asset database 250. 図9は、脆弱性情報データベース251内に記憶されている脆弱性情報テーブルの一例である。FIG. 9 is an example of the vulnerability information table stored in the vulnerability information database 251. 図10は、脅威情報データベース252内に記憶されている脅威情報テーブルの一例である。FIG. 10 is an example of a threat information table stored in the threat information database 252. 図11は、診断履歴データベース253内の診断履歴テーブルの一例である。FIG. 11 is an example of a diagnosis history table in the diagnosis history database 253.

以下、本発明を実施するための最良の形態について図を参照しながら説明する。なお、これはあくまでも一例であって、本発明の技術的範囲はこれに限られるものではない。   Hereinafter, the best mode for carrying out the present invention will be described with reference to the drawings. This is merely an example, and the technical scope of the present invention is not limited to this.

[脆弱性可視化システム1の概要]
図1は、本発明の好適な実施形態である脆弱性可視化システム1の概要を説明するための図である。この図1に基づいて、脆弱性可視化システム1の概要を説明する。 [Overview of Vulnerability Visualization System 1]
FIG. 1 is a diagram for explaining an overview of a vulnerability visualization system 1 which is a preferred embodiment of the present invention. Based on this FIG. 1, the outline | summary of the vulnerability visualization system 1 is demonstrated.

脆弱性可視化システム1において、初めにユーザは、ユーザ端末10を用いてユーザの管理するシステムを資産として脆弱性可視化サーバ200に送信する(ステップS01)。ここで送信する情報としては、システムの名称、構成するサーバ等のハードウェア資源、フレームワークや実行系、ライブラリ等の構成要素技術が挙げられる。これらの構成要素技術は、CPE(Common Platform Enumeration)名により表される。   In the vulnerability visualization system 1, first, the user uses the user terminal 10 to transmit the system managed by the user as an asset to the vulnerability visualization server 200 (step S01). Examples of the information to be transmitted include system names, hardware resources such as constituent servers, component technologies such as a framework, an execution system, and a library. These component technologies are represented by CPE (Common Platform Enumeration) names.

脆弱性可視化サーバ200は、受信したシステム情報を、ユーザの資産として資産データベース250に登録する(ステップS02)。次に脆弱性可視化サーバ200は、脆弱性情報データベース251、及び脅威情報データベース252から、脆弱性情報と脅威情報を読み込む(ステップS03)。   The vulnerability visualization server 200 registers the received system information in the asset database 250 as a user asset (step S02). Next, the vulnerability visualization server 200 reads vulnerability information and threat information from the vulnerability information database 251 and the threat information database 252 (step S03).

ここで脆弱性とは、コンピュータやネットワーク等の情報システムに置いて、第三者が保安上の脅威となる行為、例えばシステムの乗っ取りや機密情報の漏洩等に利用できる可能性のある欠陥や仕様上の問題点を指す。又、脅威とは、脆弱性が特に顕在化しやすい状態にあり、組織や情報システムのセキュリティに損害や影響を与える可能性で あるリスクを引き起こしやすい要因として重要であることを指す。脆弱性と脅威は、後述するCVE-IDによって関連付けられる。   Vulnerability refers to flaws and specifications that can be used by third parties for security threats such as computer hijacking or leakage of confidential information in information systems such as computers and networks. Point to the above problem. Threats mean that vulnerabilities are particularly prone to manifest, and are important as factors that are likely to cause risks that may damage or affect the security of organizations and information systems. Vulnerabilities and threats are associated with each other by a CVE-ID described later.

脆弱性情報には、脆弱性の名称や詳細のほか、関連するプラットフォームのCPE名が含まれる。そこで、脆弱性可視化サーバ200は、資産データベース250を参照し、各システムにおいて、脆弱性に関連したCPE名を含むか否かにより、脆弱性の有無を診断する(ステップS04)。   Vulnerability information includes the name and details of the vulnerability and the CPE name of the relevant platform. Therefore, the vulnerability visualization server 200 refers to the asset database 250 and diagnoses the presence or absence of the vulnerability depending on whether each system includes a CPE name related to the vulnerability (step S04).

ここで、脆弱性が発見された場合は、ユーザ端末10に対して、脆弱性を持つ資産の存在とその詳細が通知される(ステップS05)。また、各脆弱性には一意にCVE(Common Vulnerabilities and Exposures)-IDが付与されており、各脅威情報には関連する脆弱性のCVE-IDが含まれる。よって、発見された脆弱性のCVE-IDによって関連する脅威情報を参照することで、通知に脅威情報をも含めることが可能となる。   Here, when a vulnerability is found, the existence of the asset having the vulnerability and its details are notified to the user terminal 10 (step S05). Each vulnerability is uniquely assigned with a CVE (Common Vulnerabilities and Exposures) -ID, and each threat information includes a CVE-ID of the related vulnerability. Therefore, it is possible to include threat information in the notification by referring to the related threat information by the CVE-ID of the discovered vulnerability.

次に、脆弱性可視化サーバ200は診断の結果、発見された脆弱性を、資産の情報や診断時刻とともに診断履歴データベース253に記憶させる(ステップS06)。この診断履歴の対応ステータス部分を更新することで、ユーザは対応ステータスを管理してもよい。また、対応ステータスが未対応のまま、一定期間放置された場合には、ユーザに定期的な通知を行ってもよい。なお、脆弱性情報に危険度が含まれる場合には、危険度を参照して定期通知の期間を調整してもよい。   Next, the vulnerability visualization server 200 stores the detected vulnerability as a result of diagnosis in the diagnosis history database 253 together with asset information and diagnosis time (step S06). The user may manage the response status by updating the response status portion of the diagnosis history. In addition, when the correspondence status is not supported and the device is left for a certain period of time, the user may be periodically notified. When the vulnerability information includes a risk level, the period of periodic notification may be adjusted with reference to the risk level.

なお、これらの脆弱性情報や脅威情報は、常に最新に更新されている必要がある。脆弱性可視化サーバ200は、数時間、あるいは数分毎に、脆弱性情報データベース251及び脅威情報データベース252を最新に更新してよい(ステップS07)。更新の情報源は、広く公開されている脆弱性情報の発信元であってもよいし、ユーザや管理者によって脆弱性情報等が提供されてもよい。以上が、脆弱性可視化システム1の概要である。   Note that these vulnerability information and threat information need to be updated to the latest. The vulnerability visualization server 200 may update the vulnerability information database 251 and the threat information database 252 to the latest every few hours or minutes (step S07). The information source of the update may be a source of vulnerability information that is widely disclosed, or vulnerability information or the like may be provided by a user or an administrator. The above is the outline of the vulnerability visualization system 1.

[脆弱性可視化システム1のシステム構成]
図2は、本発明の好適な実施形態である脆弱性可視化システム1のシステム構成図である。脆弱性可視化システム1は、公衆回線網3(インターネット網や移動体通信網など)、ユーザ端末10、脆弱性可視化サーバ200、資産データベース250、脆弱性情報データベース251、脅威情報データベース252、診断履歴データベース253から構成される。 [System configuration of vulnerability visualization system 1]
FIG. 2 is a system configuration diagram of the vulnerability visualization system 1 which is a preferred embodiment of the present invention. The vulnerability visualization system 1 includes a public network 3 (Internet network, mobile communication network, etc.), user terminal 10, vulnerability visualization server 200, asset database 250, vulnerability information database 251, threat information database 252, diagnosis history database. 253.

ユーザ端末10は、公衆回線網3を介して、脆弱性可視化サーバ200と通信可能に接続されている。脆弱性可視化システム1内の通信は、無線通信、有線通信を問わない。ユーザ端末10が公衆回線網3と接続するために、ルータ等のネットワーク機器を介して通信可能であってよい。   The user terminal 10 is communicably connected to the vulnerability visualization server 200 via the public line network 3. The communication in the vulnerability visualization system 1 may be wireless communication or wired communication. In order for the user terminal 10 to connect to the public line network 3, communication may be possible via a network device such as a router.

ユーザ端末10は、ユーザがシステムの認証を行い、機能を発揮させる一般的な情報端末であってよく、後述する機能を備える情報機器や電化製品である。ユーザ端末10は、例えば、携帯電話、スマートフォン、複合型プリンタ、テレビ、ルータ又はゲートウェイ等のネットワーク機器、コンピュータに加えて、冷蔵庫、洗濯機等の白物家電であってもよいし、電話機、ネットブック端末、スレート端末、電子書籍端末、電子辞書端末、携帯型音楽プレーヤ、携帯型コンテンツ再生・録画プレーヤ等の一般的な情報家電であってよい。   The user terminal 10 may be a general information terminal that allows a user to authenticate the system and exert its function, and is an information device or an electrical appliance having a function to be described later. The user terminal 10 may be, for example, a white appliance such as a refrigerator, a washing machine, a network device such as a mobile phone, a smartphone, a composite printer, a television, a router or a gateway, a computer, a telephone, a network It may be a general information appliance such as a book terminal, a slate terminal, an electronic book terminal, an electronic dictionary terminal, a portable music player, and a portable content playback / recording player.

脆弱性可視化サーバ200は、記憶部に資産データベース250、脆弱性情報データベース251、脅威情報データベース252、診断履歴データベース253を備え、ユーザ端末10に対して脆弱性可視化処理を行う、後述の機能を備えたサーバである。   The vulnerability visualization server 200 includes an asset database 250, a vulnerability information database 251, a threat information database 252, and a diagnosis history database 253 in a storage unit, and has a function to be described later that performs vulnerability visualization processing on the user terminal 10. Server.

[各機能の説明]
図3は、ユーザ端末10、脆弱性可視化サーバ200の機能ブロックと各機能の関係を示す図である。 [Description of each function]
FIG. 3 is a diagram illustrating the relationship between the function blocks of the user terminal 10 and the vulnerability visualization server 200 and each function.

ユーザ端末10は、制御部11として、CPU(Central Processing Unit),RAM(Random Access Memory),ROM(Read Only Memory)等を備え、通信部12として、例えば、IEEE802.11に準拠したWiFi(Wireless Fidelity)対応デバイス又は、移動体通信網を介して通信可能な無線デバイス等を備える(有線によるLAN接続であってもよい)。   The user terminal 10 includes a CPU (Central Processing Unit), a RAM (Random Access Memory), a ROM (Read Only Memory), and the like as the control unit 11, and the communication unit 12 is, for example, WiFi (Wireless) compliant with IEEE 802.11. (Fidelity) or a wireless device capable of communicating via a mobile communication network (may be a wired LAN connection).

ユーザ端末10において、制御部11が所定のプログラムを読み込むことで、通信部12と協働して、システム情報送信モジュール13、構成要素技術送信モジュール14、脆弱性情報可視化モジュール15、統計情報受信モジュール16を実現する。   In the user terminal 10, when the control unit 11 reads a predetermined program, the system information transmission module 13, the component technology transmission module 14, the vulnerability information visualization module 15, and the statistical information reception module cooperate with the communication unit 12. 16 is realized.

脆弱性可視化サーバ200は、同様に、制御部201として、CPU,RAM,ROM等を備え、通信部202として、例えば、IEEE802.11に準拠したWiFi対応デバイスを備える(有線であってもよい)。加えて、脆弱性可視化サーバ200は、記憶部203として、ハードディスクや半導体メモリによる、データのストレージ部を備える。脆弱性可視化サーバ200は、資産データベース250、脆弱性情報データベース251、脅威情報データベース252、診断履歴データベース253に備える。   Similarly, the vulnerability visualization server 200 includes a CPU, RAM, ROM, and the like as the control unit 201, and includes, for example, a WiFi-compatible device compliant with IEEE 802.11 (may be wired) as the communication unit 202. . In addition, the vulnerability visualization server 200 includes a data storage unit such as a hard disk or a semiconductor memory as the storage unit 203. The vulnerability visualization server 200 includes an asset database 250, a vulnerability information database 251, a threat information database 252, and a diagnosis history database 253.

脆弱性可視化サーバ200において、制御部201が所定のプログラムを読み込むことで、通信部202と協働して、システム情報受信モジュール204、脆弱性情報可視化モジュール205、脅威情報可視化モジュール206、構成要素技術取得モジュール207、統計情報提供モジュール208を実現する。また、脆弱性可視化サーバ200において、制御部201が所定のプログラムを読み込むことで、記憶部203と協働して、資産登録モジュール209、脆弱性診断モジュール210、脅威情報参照モジュール211、診断履歴記憶モジュール212を実現する。   In the vulnerability visualization server 200, when the control unit 201 reads a predetermined program, the system information reception module 204, the vulnerability information visualization module 205, the threat information visualization module 206, and the component technology cooperate with the communication unit 202. An acquisition module 207 and a statistical information provision module 208 are realized. In the vulnerability visualization server 200, the asset registration module 209, vulnerability diagnosis module 210, threat information reference module 211, diagnosis history storage in cooperation with the storage unit 203 by the control unit 201 reading a predetermined program. Module 212 is implemented.

[脆弱性可視化処理]
図4は、ユーザ端末10、脆弱性可視化サーバ200が実行する脆弱性可視化処理のフローチャートである。上述した各装置のモジュールが行う処理について、本処理にて併せて説明する。 [Vulnerability visualization processing]
FIG. 4 is a flowchart of vulnerability visualization processing executed by the user terminal 10 and the vulnerability visualization server 200. The processing performed by the module of each device described above will be described together with this processing.

はじめに、ユーザ端末10のシステム情報送信モジュール13は、脆弱性可視化サーバ200に対して、システム情報の送信を行う(ステップS11)。ここで送信する情報としては、システムの名称、構成するサーバ等のハードウェア資源等である。ここではCPE名で表されるフレームワークや実行系、ライブラリ等の構成要素技術を含んでもよいが、本フローチャートにおいては、後述の脆弱性診断処理において別途送信の機会を設けている。   First, the system information transmission module 13 of the user terminal 10 transmits system information to the vulnerability visualization server 200 (step S11). Information transmitted here includes the name of the system, hardware resources such as a server constituting the system, and the like. Here, component technologies such as a framework represented by a CPE name, an execution system, and a library may be included. However, in this flowchart, a separate transmission opportunity is provided in the vulnerability diagnosis processing described later.

脆弱性可視化サーバ200のシステム情報受信モジュール204は、システム情報を受信すると(ステップS12)、資産登録モジュール209により、送信を行ったユーザ端末10と関連付けて資産データベース250に記憶させることで、システムをユーザの資産として登録する(ステップS13)。   When the system information receiving module 204 of the vulnerability visualization server 200 receives the system information (step S12), the asset registration module 209 stores the system information in the asset database 250 in association with the user terminal 10 that performed the transmission. It registers as a user asset (step S13).

図8は、資産データベース250内の資産テーブルの一例である。各資産には、固有の資産IDが振られ、登録日時が管理される。また、各資産には構成要素技術数や、未対応の脆弱性数、脅威数が関連付けられて管理され、診断の度、あるいはユーザからのアップデートの度に更新される。診断の詳細に関しては、後述の脆弱性診断処理において詳述する。   FIG. 8 is an example of an asset table in the asset database 250. Each asset is assigned a unique asset ID, and the registration date and time is managed. Each asset is managed by associating the number of component technologies, the number of unsupported vulnerabilities, and the number of threats with each asset, and is updated at each diagnosis or each update from the user. Details of the diagnosis will be described in detail in the vulnerability diagnosis processing described later.

続けて、ユーザ端末10と脆弱性可視化サーバ200は、登録された資産、及び登録済みの資産について脆弱性診断処理を行う(ステップS14)   Subsequently, the user terminal 10 and the vulnerability visualization server 200 perform vulnerability diagnosis processing for the registered asset and the registered asset (step S14).

[脆弱性診断処理]
図5は、ユーザ端末10、脆弱性可視化サーバ200が実行する脆弱性診断処理のフローチャートである。上述した各装置のモジュールが行う処理について、本処理にて併せて説明する。 [Vulnerability diagnosis processing]
FIG. 5 is a flowchart of vulnerability diagnosis processing executed by the user terminal 10 and the vulnerability visualization server 200. The processing performed by the module of each device described above will be described together with this processing.

ここで、以降の診断は、登録済みの全ての資産について行われる(ステップS21)。初めに、ユーザ端末10の構成要素技術送信モジュール14は、診断中の資産について、構成要素技術を送信する(ステップS22)。この構成要素技術は、CPE名によって表される。なお、構成要素技術の送信は、変更が無い限り、各資産について一度ずつ行われていればよい。また、構成要素技術は、ユーザ端末10の送信のみならず、システム自体にインストールされたエージェント側のソフトウェアによって検出・収集され、自動的に脆弱性可視化サーバ200に送信されてよい。   Here, the subsequent diagnosis is performed for all registered assets (step S21). First, the component technology transmission module 14 of the user terminal 10 transmits the component technology for the asset being diagnosed (step S22). This component technology is represented by the CPE name. In addition, as long as there is no change, transmission of a component technology should just be performed once about each asset. The component technology may be detected and collected not only by the user terminal 10 but also by agent-side software installed in the system itself, and automatically transmitted to the vulnerability visualization server 200.

脆弱性可視化サーバ200の構成要素技術取得モジュール207が、ユーザ端末10又はシステムそれ自体から構成要素技術を受信する(ステップS23)と、脆弱性診断モジュール210は、脆弱性情報データベース251から、脆弱性情報を読み出す(ステップS24)。   When the component technology acquisition module 207 of the vulnerability visualization server 200 receives the component technology from the user terminal 10 or the system itself (step S23), the vulnerability diagnosis module 210 receives the vulnerability from the vulnerability information database 251. Information is read (step S24).

そして、受信した構成要素技術のCPE名と、読み出した脆弱性情報に含まれるCPE名とを紐付けることで、システムに含まれる構成要素技術に関連した脆弱性を検出する(ステップS25)。   Then, the vulnerability related to the component technology included in the system is detected by associating the CPE name of the received component technology with the CPE name included in the read vulnerability information (step S25).

図9は、脆弱性情報データベース251内の脆弱性情報テーブルの一例である。脆弱性情報テーブルには、一意に定められたCVE-IDと、関連するCPE名とともに、脆弱性の名称、概要、対応方法とが記録されている。   FIG. 9 is an example of a vulnerability information table in the vulnerability information database 251. In the vulnerability information table, a uniquely defined CVE-ID, a related CPE name, a vulnerability name, an outline, and a response method are recorded.

ここで、脆弱性が検出されなかった場合(ステップS26:「NO」の場合)は、この資産に関する診断を終了し、次の資産へ処理を移す(ステップS29)。一方、資産に脆弱性が検出された場合(ステップS26:「YES」の場合)は、以降の処理を続けて行う。   Here, when a vulnerability is not detected (step S26: "NO"), the diagnosis regarding this asset is complete | finished and a process is moved to the following asset (step S29). On the other hand, if a vulnerability is detected in the asset (step S26: "YES"), the subsequent processing is continued.

すなわち、脆弱性可視化サーバ200の脅威情報参照モジュール211は、検出された脆弱性情報が含むCVE-IDを用いて、脅威情報データベース252から、関連する脅威情報を参照する(ステップS27)。   That is, the threat information reference module 211 of the vulnerability visualization server 200 refers to related threat information from the threat information database 252 using the CVE-ID included in the detected vulnerability information (step S27).

図10は、脅威情報データベース252内の脅威情報テーブルの一例である。脅威情報テーブルには、関連する脆弱性のCVE-IDと、脅威の名称のほか、脅威の概要等が記憶されている。図では省略されているが、脆弱性や脅威に関する危険度等、さらに詳細な情報が追加されてもよい。   FIG. 10 is an example of the threat information table in the threat information database 252. The threat information table stores the CVE-ID of the related vulnerability, the name of the threat, the outline of the threat, and the like. Although not shown in the figure, more detailed information such as vulnerability and threat related risk may be added.

そして、脆弱性情報可視化モジュール205、及び脅威情報可視化モジュール206により、通知が通知待ち状態となり(ステップS28)、次の資産の診断に処理を移す(ステップS29)。   Then, the vulnerability information visualization module 205 and the threat information visualization module 206 make the notification awaiting notification (step S28), and the processing shifts to the diagnosis of the next asset (step S29).

ここで、通知は都度行ってもよいが、本実施例のように通知を一旦待ち状態とし、ユーザごとにまとめて通知を行ってもよい。以上の処理を全ての登録済み資産について実行すると、脆弱性診断処理を終える(ステップS21、ステップS29)。   Here, the notification may be performed each time, but the notification may be temporarily set as in the present embodiment, and the notification may be collectively performed for each user. When the above processing is executed for all registered assets, the vulnerability diagnosis processing is finished (steps S21 and S29).

脆弱性可視化処理に戻り、脆弱性を含む資産が一つでもあった場合(ステップS15:「YES」の場合)、脆弱性可視化サーバ200の脆弱性情報可視化モジュール205、及び脅威情報可視化モジュール206により、脆弱性情報及び脅威情報の通知が行われる(ステップS16)。一方、脆弱性を含む資産が存在しなかった場合(ステップS15:「NO」の場合)は、後述の統計情報の送信まで処理をスキップする。   Returning to the vulnerability visualization process, if there is even one asset including the vulnerability (step S15: “YES”), the vulnerability information visualization module 205 and the threat information visualization module 206 of the vulnerability visualization server 200 Vulnerability information and threat information are notified (step S16). On the other hand, when there is no asset including vulnerability (step S15: “NO”), the processing is skipped until transmission of statistical information described later.

ユーザ端末10の脆弱性情報可視化モジュール15は、脆弱性情報及び脅威情報の通知を受信する(ステップS17)。ここでユーザ端末10が表示部等を備える場合、通知を表示部に表示してよい。   The vulnerability information visualization module 15 of the user terminal 10 receives notification of vulnerability information and threat information (step S17). Here, when the user terminal 10 includes a display unit or the like, a notification may be displayed on the display unit.

図6は、通知の一例として表示されるプロジェクト一覧画面の一例である。図6では、ログイン中のユーザが資産として登録したシステムをプロジェクトと呼び、プロジェクト一覧画面に表示している。プロジェクト情報として、プロジェクト名61とともに、未対応の脆弱性数62、及び未対応の脅威数63、構成要素技術数64が各列に表示されている。すなわち、未対応の脆弱性数62、及び未対応の脅威数63が通知として表示される限り、脆弱性を含んでいることを表している。   FIG. 6 is an example of a project list screen displayed as an example of notification. In FIG. 6, a system registered as an asset by the logged-in user is called a project and displayed on the project list screen. As project information, along with the project name 61, the number of unsupported vulnerabilities 62, the number of unsupported threats 63, and the number of component technology 64 are displayed in each column. That is, as long as the number of unsupported vulnerabilities 62 and the number of unsupported threats 63 are displayed as notifications, this indicates that vulnerabilities are included.

図7は、通知の一例として表示される脆弱性詳細画面の一例である。図7において、
脆弱性の名称71、概要72、危険度73、詳細情報74、対策方法75が画面に表示され、ユーザは脆弱性についての情報を直観的に把握することが可能である。また、脆弱性に関連する脅威がある場合には、脅威情報へのリンク76が設置され、脅威情報の詳細を閲覧することも可能である。加えて、表示中の脆弱性を含むプロジェクト77が表示され、未対応の場合未対応マーク78が表示されることで、この脆弱性に関し対応が必要な資産が存在することをすぐに把握できる。なお、図6及び図7はあくまで通知の一例であって、同様の内容をメールやSNS等でユーザに送信したり、外部のタスク管理システムに登録したりすることで通知を行ってもよい。 FIG. 7 is an example of the vulnerability details screen displayed as an example of notification. In FIG.
Vulnerability name 71, overview 72, risk level 73, detailed information 74, and countermeasure method 75 are displayed on the screen, so that the user can intuitively grasp information on the vulnerability. Further, when there is a threat related to the vulnerability, a link 76 to the threat information is provided so that details of the threat information can be browsed. In addition, the project 77 including the displayed vulnerability is displayed. If the project 77 is not yet supported, an unsupported mark 78 is displayed, so that it is possible to immediately grasp that there is an asset that needs to be addressed regarding this vulnerability. 6 and 7 are merely examples of notification, and notification may be performed by transmitting the same content to the user by e-mail, SNS, or the like, or registering in an external task management system.

通知後、脆弱性可視化サーバ200の診断履歴記憶モジュール212は、検出された脆弱性について、資産、及び時刻とともに診断履歴データベース253に診断履歴として記憶する(ステップS18)。   After the notification, the diagnosis history storage module 212 of the vulnerability visualization server 200 stores the detected vulnerability as a diagnosis history in the diagnosis history database 253 along with the asset and time (step S18).

図11は、診断履歴データベース253内の診断履歴テーブルの一例である。診断履歴テーブルでは、関連する資産IDとともに、検出された脆弱性のCVE-IDと、紐付けに使われたCPE名が記憶されている。また、ユーザが手動で対応ステータスをアップデートする場合、診断履歴テーブル内に対応ステータスを記憶し、更新してよい。   FIG. 11 is an example of a diagnosis history table in the diagnosis history database 253. In the diagnosis history table, the CVE-ID of the detected vulnerability and the CPE name used for association are stored together with the related asset ID. When the user manually updates the response status, the response status may be stored and updated in the diagnosis history table.

以上の処理により、資産に含まれる脆弱性情報を検出し、関連する脅威情報を通知することが可能である。そして、その履歴は、ユーザや資産の情報を廃することで統計情報として活用可能である。そこで、脆弱性可視化サーバ200の統計情報提供モジュール208は、診断履歴データベース253内の情報を統計情報として加工し、ユーザ端末10に送信してもよい(ステップS19)。ユーザ端末10の統計情報受信モジュール16は、送信された統計情報を受信し、表示してよい(ステップS20)。   Through the above processing, it is possible to detect vulnerability information included in assets and notify related threat information. Then, the history can be used as statistical information by eliminating user and asset information. Therefore, the statistical information providing module 208 of the vulnerability visualization server 200 may process the information in the diagnosis history database 253 as statistical information and send it to the user terminal 10 (step S19). The statistical information receiving module 16 of the user terminal 10 may receive and display the transmitted statistical information (step S20).

以上の処理は、システム情報の資産登録を起点に開始されたが、脆弱性可視化処理は脆弱性情報及び脅威情報の更新に伴い定期的に実行されてよい。脆弱性情報や脅威情報は、それらを提供する情報源から定期的に取得することで更新するほか、ユーザや脆弱性可視化サーバ200の管理者が手動で更新を行ってもよい。   The above processing is started with asset registration of system information as a starting point. However, the vulnerability visualization processing may be periodically executed with the update of vulnerability information and threat information. Vulnerability information and threat information may be updated by periodically acquiring them from information sources that provide them, or may be manually updated by the user or the administrator of the vulnerability visualization server 200.

以上が、脆弱性可視化処理の手順である。   The above is the procedure of vulnerability visualization processing.

上述した手段、機能は、コンピュータ(CPU,情報処理装置,各種端末を含む)が、所定のプログラムを読み込んで、実行することによって実現される。プログラムは、例えば、フレキシブルディスク、CD(CD−ROMなど)、DVD(DVD−ROM、DVD−RAMなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体からプログラムを読み取って内部記憶装置または外部記憶装置に転送し記憶して実行する。また、そのプログラムを、例えば、磁気ディスク、光ディスク、光磁気ディスク等の記憶装置(記録媒体)に予め記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。   The means and functions described above are realized by a computer (including a CPU, an information processing apparatus, and various terminals) reading and executing a predetermined program. The program is provided in a form recorded on a computer-readable recording medium such as a flexible disk, CD (CD-ROM, etc.), DVD (DVD-ROM, DVD-RAM, etc.), for example. In this case, the computer reads the program from the recording medium, transfers it to the internal storage device or the external storage device, stores it, and executes it. The program may be recorded in advance in a storage device (recording medium) such as a magnetic disk, an optical disk, or a magneto-optical disk, and provided from the storage device to a computer via a communication line.

以上、本発明の実施形態について説明したが、本発明は上述したこれらの実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not limited to these embodiment mentioned above. The effects described in the embodiments of the present invention are only the most preferable effects resulting from the present invention, and the effects of the present invention are limited to those described in the embodiments of the present invention. is not.

1 脆弱性可視化システム、3 公衆回線網、10 ユーザ端末、200 脆弱性可視化サーバ、250 資産データベース、251 脆弱性情報データベース、252 脅威情報データベース、253 診断履歴データベース   1 Vulnerability Visualization System, 3 Public Line Network, 10 User Terminal, 200 Vulnerability Visualization Server, 250 Asset Database, 251 Vulnerability Information Database, 252 Threat Information Database, 253 Diagnosis History Database

Claims (4)

ユーザが利用するユーザ端末と通信可能に接続され、記憶部に資産データベースと、資産の、欠陥や仕様上の問題点である脆弱性が記憶された脆弱性情報データベースと、脆弱性が顕在化しやすい状態にあり、損害や影響を引き起こしやすい要因であることを指す情報である脅威情報が記憶された脅威情報データベースとを備え、
前記ユーザ端末から、システムの情報を受信するシステム情報受信手段と、
前記受信したシステムの情報を前記ユーザの資産として前記資産データベースに記憶させることで資産として登録する資産登録手段と、
前記資産として登録された前記システムから、当該システムの構成要素技術を自動的に取得する構成要素技術取得手段と
前記登録された資産に、前記脆弱性情報データベース内に記憶された脆弱性が含まれるかを、前記取得した構成要素技術を元に診断する脆弱性診断手段と、
前記診断の結果、前記資産に前記脆弱性が含まれている場合に、前記ユーザに当該資産及び当該脆弱性に関する情報である脆弱性情報の通知を行うことで、当該資産に含まれる脆弱性を可視化する脆弱性情報可視化手段と、
前記脆弱性に対応する脅威情報前記脅威情報データベースから抽出し、参照することで、当該脆弱性に係る脆弱性情報を補強する脅威情報参照手段と、
前記通知の際に、前記診断された脆弱性に対応する前記脅威情報を通知に含める脅威情報可視化手段と、
を備えることを特徴とする脆弱性可視化サーバ。 Vulnerability is likely to be manifested, and is connected to the user terminal used by the user so that it can communicate with the asset database in the storage unit, and the vulnerability information database stores the vulnerabilities that are defects and specifications problems of the assets. A threat information database in which threat information, which is information indicating that it is in a state and is likely to cause damage or influence,
System information receiving means for receiving system information from the user terminal;
Asset registration means for registering the received system information as an asset by storing it in the asset database as the user's asset;
Component component technology acquisition means for automatically acquiring component component technologies of the system from the system registered as the asset ;
Vulnerability diagnosis means for diagnosing whether the registered asset includes a vulnerability stored in the vulnerability information database based on the acquired component technology ;
As a result of the diagnosis, when the vulnerability is included in the asset, by notifying the user of vulnerability information that is information on the asset and the vulnerability , the vulnerability included in the asset is determined. Vulnerability information visualization means to visualize,
Threat information reference means for reinforcing the vulnerability information related to the vulnerability by extracting and referring to the threat information corresponding to the vulnerability from the threat information database ;
Threat information visualization means for including in the notification the threat information corresponding to the diagnosed vulnerability in the notification;
Vulnerability visualization server characterized by comprising: 前記資産に含まれると診断された前記脆弱性と、参照された前記脅威情報の少なくともいずれかについて、種類及び件数を診断時刻とともに記憶させる診断履歴記憶手段と、
前記診断の履歴を、統計情報として提供する統計情報提供手段と、
を備えることを特徴とする請求項に記載の脆弱性可視化サーバ。 Diagnostic history storage means for storing a type and the number of cases together with a diagnosis time for at least one of the vulnerability diagnosed as being included in the asset and the referenced threat information;
Statistical information providing means for providing a history of the diagnosis as statistical information;
The vulnerability visualization server according to claim 1 , further comprising: ユーザが利用するユーザ端末と通信可能に接続され、記憶部に資産データベースと、資産の、欠陥や仕様上の問題点である脆弱性が記憶された脆弱性情報データベースと、脆弱性が顕在化しやすい状態にあり、損害や影響を引き起こしやすい要因であることを指す情報である脅威情報が記憶された脅威情報データベースとを備え、前記ユーザの資産たるシステムに含まれる脆弱性を可視化する脆弱性可視化サーバが実行する脆弱性可視化方法であって、
前記ユーザ端末から、システムの情報を受信するステップと、
前記受信したシステムの情報を前記ユーザの資産として前記資産データベースに記憶させることで資産として登録するステップと、
前記資産として登録された前記システムから、当該システムの構成要素技術を自動的に取得するステップと
前記登録された資産に、前記脆弱性情報データベース内に記憶された脆弱性が含まれるかを、前記取得した構成要素技術を元に診断する脆弱性診断手段と、
前記診断の結果、前記資産に前記脆弱性が含まれている場合に、前記ユーザに当該資産及び当該脆弱性に関する情報である脆弱性情報の通知を行うことで、当該資産に含まれる脆弱性を可視化するステップと、
前記脆弱性に対応する脅威情報前記脅威情報データベースから抽出し、参照することで、当該脆弱性に係る脆弱性情報を補強するステップと、
前記通知の際に、前記診断された脆弱性に対応する前記脅威情報を通知に含めるステップと、
を備えることを特徴とする脆弱性可視化方法。 Vulnerability is likely to be manifested, and is connected to the user terminal used by the user so that it can communicate with the asset database in the storage unit, and the vulnerability information database stores the vulnerabilities that are defects and specifications problems of the assets A vulnerability visualization server that visualizes vulnerabilities included in the system that is the user's asset, including a threat information database that stores threat information that is information indicating that it is in a state and is likely to cause damage or influence Vulnerability visualization method executed by
Receiving system information from the user terminal;
Registering the received system information as an asset by storing it in the asset database as the asset of the user;
Automatically acquiring the component technology of the system from the system registered as the asset ;
Vulnerability diagnosis means for diagnosing whether the registered asset includes a vulnerability stored in the vulnerability information database based on the acquired component technology ;
As a result of the diagnosis, when the vulnerability is included in the asset, by notifying the user of vulnerability information that is information on the asset and the vulnerability , the vulnerability included in the asset is determined. Visualizing, and
Extracting the threat information corresponding to the vulnerability from the threat information database and referencing the vulnerability information related to the vulnerability; and
Including in the notification the threat information corresponding to the diagnosed vulnerability in the notification;
A vulnerability visualization method characterized by comprising: ユーザが利用するユーザ端末と通信可能に接続され、記憶部に資産データベースと、資産の、欠陥や仕様上の問題点である脆弱性が記憶された脆弱性情報データベースと、脆弱性が顕在化しやすい状態にあり、損害や影響を引き起こしやすい要因であることを指す情報である脅威情報が記憶された脅威情報データベースとを備え、前記ユーザの資産たるシステムに含まれる脆弱性を可視化する脆弱性可視化サーバに、
前記ユーザ端末から、システムの情報を受信するステップ、
前記受信したシステムの情報を前記ユーザの資産として前記資産データベースに記憶させることで登録するステップ、
前記資産として登録された前記システムから、当該システムの構成要素技術を自動的に取得するステップ
前記登録された資産から、前記脆弱性情報データベース内に記憶された脆弱性が含まれるかを、前記取得した構成要素技術を元に診断するステップ、
前記診断の結果、前記資産に前記脆弱性が含まれている場合に、前記ユーザに当該資産及び当該脆弱性情報に関する情報である脆弱性情報の通知を行うことで、当該資産に含まれる脆弱性を可視化するステップ、
前記脆弱性に対応する脅威情報前記脅威情報データベースから抽出し、参照することで、当該脆弱性に係る脆弱性情報を補強するステップ、
前記通知の際に、前記診断された脆弱性に対応する前記脅威情報を通知に含めるステップ、
を実行させることを特徴とする脆弱性可視化サーバ用プログラム。
Vulnerability is likely to be manifested, and is connected to the user terminal used by the user so that it can communicate with the asset database in the storage unit, and the vulnerability information database stores the vulnerabilities that are defects and specifications problems of the assets. A vulnerability visualization server that visualizes vulnerabilities included in the system that is the user's asset, including a threat information database that stores threat information that is information indicating that it is in a state and is likely to cause damage or influence In addition,
Receiving system information from the user terminal;
Registering the received system information by storing it in the asset database as the asset of the user;
Automatically obtaining the component technology of the system from the system registered as the asset ;
Diagnosing whether the vulnerability stored in the vulnerability information database is included from the registered asset based on the acquired component technology ;
As a result of the diagnosis, when the vulnerability is included in the asset, the vulnerability included in the asset is notified by notifying the user of vulnerability information that is information related to the asset and the vulnerability information. Visualizing the steps,
Extracting the threat information corresponding to the vulnerability from the threat information database and referring to it to reinforce the vulnerability information related to the vulnerability;
Including in the notification the threat information corresponding to the diagnosed vulnerability in the notification;
Vulnerability visualization server program characterized by having executed.
JP2014101850A 2014-05-15 2014-05-15 Vulnerability visualization server, vulnerability visualization method, vulnerability visualization server program Active JP6023121B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014101850A JP6023121B2 (en) 2014-05-15 2014-05-15 Vulnerability visualization server, vulnerability visualization method, vulnerability visualization server program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014101850A JP6023121B2 (en) 2014-05-15 2014-05-15 Vulnerability visualization server, vulnerability visualization method, vulnerability visualization server program

Publications (2)

Publication Number Publication Date
JP2015219665A JP2015219665A (en) 2015-12-07
JP6023121B2 true JP6023121B2 (en) 2016-11-09

Family

ID=54778990

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014101850A Active JP6023121B2 (en) 2014-05-15 2014-05-15 Vulnerability visualization server, vulnerability visualization method, vulnerability visualization server program

Country Status (1)

Country Link
JP (1) JP6023121B2 (en)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101859562B1 (en) * 2016-11-11 2018-05-21 한국인터넷진흥원 Method and Apparatus for Analyzing Vulnerability Information
JP6608569B1 (en) * 2018-01-19 2019-11-20 三菱電機株式会社 Security design apparatus, security design method, and security design program
KR102048141B1 (en) * 2018-03-07 2019-11-22 주식회사 신한디에스 Preemptive response system for new information security vulnerability, and method thereof
KR101935261B1 (en) * 2018-06-27 2019-01-04 한화시스템 주식회사 Risk asset warning system and operating method of thereof
JP7123659B2 (en) * 2018-06-27 2022-08-23 Nttテクノクロス株式会社 Vulnerability management device, vulnerability management method and program
KR101938563B1 (en) * 2018-06-29 2019-01-15 한화시스템 주식회사 Operating method of risk asset warning system
JP7173619B2 (en) * 2018-09-05 2022-11-16 Necソリューションイノベータ株式会社 Vulnerability information management device, vulnerability information management method, and program
CN111104677B (en) * 2019-12-18 2023-12-26 安天科技集团股份有限公司 Vulnerability patch detection method and device based on CPE specification

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4448307B2 (en) * 2003-09-29 2010-04-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 Security management device, security management method, and security management program
JP4369724B2 (en) * 2003-10-31 2009-11-25 株式会社富士通ソーシアルサイエンスラボラトリ Information security management program, information security management apparatus and management method
US8201257B1 (en) * 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
JP2006018766A (en) * 2004-07-05 2006-01-19 Nec Fielding Ltd Network connection management system
JP2007122372A (en) * 2005-10-27 2007-05-17 Toshiba Tec Corp Vulnerability determination system
JP4907241B2 (en) * 2006-06-30 2012-03-28 三菱電機株式会社 Server device, server device information management method, server device information management program, client device, client device information management method, client device information management program, information management system, and information management system information management method
JP2009015570A (en) * 2007-07-04 2009-01-22 Nippon Telegr & Teleph Corp <Ntt> System and method for distributing vulnerability information
JP4751431B2 (en) * 2008-09-12 2011-08-17 株式会社東芝 Vulnerability determination device and program

Also Published As

Publication number Publication date
JP2015219665A (en) 2015-12-07

Similar Documents

Publication Publication Date Title
JP6023121B2 (en) Vulnerability visualization server, vulnerability visualization method, vulnerability visualization server program
JP7148666B6 (en) Systems, methods, apparatus, and non-transitory computer-readable storage media for providing mobile device support services
JP6900531B2 (en) Systems, methods, equipment, and computer program products for providing mobile device support services
US8719634B2 (en) System health and performance care of computing devices
US20130276124A1 (en) Systems, methods, apparatuses and computer program products for providing mobile device protection
US20110221592A1 (en) Computer Monitoring and Reporting Infrastructure
US7688757B2 (en) Method and apparatus for assessing sourced elements
JPWO2013124947A1 (en) Information system management apparatus, information system management method, and program
JP6015750B2 (en) Log collection server, log collection system, and log collection method
US9354971B2 (en) Systems and methods for data storage remediation
JP2009110453A (en) Data management system
JP2017182169A (en) Information processing device, information processing method, and program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160306

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160726

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160826

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160913

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161006

R150 Certificate of patent or registration of utility model

Ref document number: 6023121

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250