JP2002157221A - セキュリティ脆弱点の対策設定自動化システム - Google Patents
セキュリティ脆弱点の対策設定自動化システムInfo
- Publication number
- JP2002157221A JP2002157221A JP2000353046A JP2000353046A JP2002157221A JP 2002157221 A JP2002157221 A JP 2002157221A JP 2000353046 A JP2000353046 A JP 2000353046A JP 2000353046 A JP2000353046 A JP 2000353046A JP 2002157221 A JP2002157221 A JP 2002157221A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- security
- countermeasure
- audited
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 専門技術と経験の少ないシステム管理者であ
ってもコンピュータのセキュリティ対策強化を容易に実
施することのできるセキュリティ脆弱点の対策設定自動
化システムを提供すること。 【解決手段】 監査コンピュータ10の監査プログラム
10aを用いてネットワーク100経由で被監査コンピ
ュータ20を擬似攻撃することにより被監査コンピュー
タ20のセキュリティ脆弱点を検出し、更に、検出した
セキュリティ脆弱点の克服に必要とされる対策を実行す
るための処理工程を含む対策実行ファイル10cを監査
コンピュータ10の対策設定プログラム10bによって
自動的に生成し、この対策実行ファイル10cを実行す
ることにより、セキュリティ脆弱点の克服に必要とされ
る対策をネットワーク経由100で自動的に被監査コン
ピュータ20に施す。これまでシステム管理者に委ねら
れていたセキュリティの対策作業を監査コンピュータ1
0に任せることで、システム管理者の経験不足や知識の
不足を補う。
ってもコンピュータのセキュリティ対策強化を容易に実
施することのできるセキュリティ脆弱点の対策設定自動
化システムを提供すること。 【解決手段】 監査コンピュータ10の監査プログラム
10aを用いてネットワーク100経由で被監査コンピ
ュータ20を擬似攻撃することにより被監査コンピュー
タ20のセキュリティ脆弱点を検出し、更に、検出した
セキュリティ脆弱点の克服に必要とされる対策を実行す
るための処理工程を含む対策実行ファイル10cを監査
コンピュータ10の対策設定プログラム10bによって
自動的に生成し、この対策実行ファイル10cを実行す
ることにより、セキュリティ脆弱点の克服に必要とされ
る対策をネットワーク経由100で自動的に被監査コン
ピュータ20に施す。これまでシステム管理者に委ねら
れていたセキュリティの対策作業を監査コンピュータ1
0に任せることで、システム管理者の経験不足や知識の
不足を補う。
Description
【0001】
【発明の属する技術分野】本発明は、コンピュータにお
けるセキュリティ脆弱点の検出とセキュリティの強化対
策を自動的に行うセキュリティ脆弱点の対策設定自動化
システムに関する。
けるセキュリティ脆弱点の検出とセキュリティの強化対
策を自動的に行うセキュリティ脆弱点の対策設定自動化
システムに関する。
【0002】
【従来の技術】従来のコンピュータセキュリティ対策強
化の方法では、セキュリティを専門とするベンダやソフ
トウェアベンダ等によって商品化されているセキュリテ
ィ監査製品、あるいは、インターネット上でフリーソフ
トウェアとして配布されているセキュリティ監査類のソ
フトウェア等を用い、システム管理者が、所有するコン
ピュータのセキュリティ脆弱点を監査して、その対策を
実施していた。
化の方法では、セキュリティを専門とするベンダやソフ
トウェアベンダ等によって商品化されているセキュリテ
ィ監査製品、あるいは、インターネット上でフリーソフ
トウェアとして配布されているセキュリティ監査類のソ
フトウェア等を用い、システム管理者が、所有するコン
ピュータのセキュリティ脆弱点を監査して、その対策を
実施していた。
【0003】
【発明が解決しようとする課題】しかし、このような従
来の方法では、検出されたセキュリティ脆弱点の対策設
定をシステム管理者が自ら実行しなければならなず、シ
ステム管理者に専門的な技術や知識が必要になるといっ
た欠点があった。その理由は、セキュリティ監査製品等
では、セキュリティ脆弱点を検出して報告する機能はあ
るが、その対策設定は行わないためである。
来の方法では、検出されたセキュリティ脆弱点の対策設
定をシステム管理者が自ら実行しなければならなず、シ
ステム管理者に専門的な技術や知識が必要になるといっ
た欠点があった。その理由は、セキュリティ監査製品等
では、セキュリティ脆弱点を検出して報告する機能はあ
るが、その対策設定は行わないためである。
【0004】セキュリティに対する脅威の検出や対策の
導出、および、セキュリティの目標の確立やセキュリテ
ィの機能設計を容易化するための支援ツールが特開20
00−132767で開示されているが、このものも、
最終的に支援ツールから出力されるのはセキュリティの
機能設計に必要とされる要素を明確化したワークシート
だけであり、対策設定を自動化するには至っておらず、
やはり、システム管理者に専門的な技術や知識が必要に
なる点では従来のセキュリティ対策強化の方法と違いが
ない。
導出、および、セキュリティの目標の確立やセキュリテ
ィの機能設計を容易化するための支援ツールが特開20
00−132767で開示されているが、このものも、
最終的に支援ツールから出力されるのはセキュリティの
機能設計に必要とされる要素を明確化したワークシート
だけであり、対策設定を自動化するには至っておらず、
やはり、システム管理者に専門的な技術や知識が必要に
なる点では従来のセキュリティ対策強化の方法と違いが
ない。
【0005】
【発明の目的】そこで、本発明の目的は、前記従来技術
の欠点を解消し、専門技術と経験の少ないシステム管理
者であっても、所有するコンピュータのセキュリティ対
策強化を容易に実施することのできるセキュリティ脆弱
点の対策設定自動化システムを提供することにある。
の欠点を解消し、専門技術と経験の少ないシステム管理
者であっても、所有するコンピュータのセキュリティ対
策強化を容易に実施することのできるセキュリティ脆弱
点の対策設定自動化システムを提供することにある。
【0006】
【課題を解決するための手段】本発明は、セキュリティ
強度の監査対象となる被監査コンピュータと被監査コン
ピュータのセキュリティ脆弱点を監査するための監査コ
ンピュータとを有し、被監査コンピュータと監査コンピ
ュータとの間をネットワークによって情報伝達可能に接
続したセキュリティ脆弱点の対策設定自動化システムで
あり、前記目的を達成するため、特に、前記監査コンピ
ュータに、ネットワークを介し被監査コンピュータを擬
似攻撃して被監査コンピュータのセキュリティ脆弱点を
検出するための監査機能と、この監査機能によって検出
されたセキュリティ脆弱点の克服に必要とされる対策を
実行するための処理工程を含む対策実行ファイルを生成
する対策実行ファイル生成機能と、前記対策実行ファイ
ルを実行し被監査コンピュータのセキュリティ脆弱点の
克服に必要とされる対策をネットワークを介して被監査
コンピュータに設定する対策実行機能とを備えたことを
特徴とする構成を有する。
強度の監査対象となる被監査コンピュータと被監査コン
ピュータのセキュリティ脆弱点を監査するための監査コ
ンピュータとを有し、被監査コンピュータと監査コンピ
ュータとの間をネットワークによって情報伝達可能に接
続したセキュリティ脆弱点の対策設定自動化システムで
あり、前記目的を達成するため、特に、前記監査コンピ
ュータに、ネットワークを介し被監査コンピュータを擬
似攻撃して被監査コンピュータのセキュリティ脆弱点を
検出するための監査機能と、この監査機能によって検出
されたセキュリティ脆弱点の克服に必要とされる対策を
実行するための処理工程を含む対策実行ファイルを生成
する対策実行ファイル生成機能と、前記対策実行ファイ
ルを実行し被監査コンピュータのセキュリティ脆弱点の
克服に必要とされる対策をネットワークを介して被監査
コンピュータに設定する対策実行機能とを備えたことを
特徴とする構成を有する。
【0007】このような構成によれば、監査コンピュー
タが監査機能を用いてネットワーク経由で被監査コンピ
ュータを擬似攻撃することにより被監査コンピュータの
セキュリティ脆弱点を検出し、更に、検出したセキュリ
ティ脆弱点の克服に必要とされる対策を実行するための
処理工程を含む対策実行ファイルが監査コンピュータの
対策実行ファイル生成機能によって自動的に生成され
る。そして、監査コンピュータが対策実行機能を使用し
て対策実行ファイルを実行することにより、被監査コン
ピュータのセキュリティ脆弱点の克服に必要とされる対
策がネットワークを介して自動的に被監査コンピュータ
に施されることになる。このように、被監査コンピュー
タのセキュリティ脆弱点の検出と脆弱点を克服するため
の対策とが監査コンピュータによって終始自動的に行わ
れるので、専門技術と経験の少ないシステム管理者であ
っても、被監査コンピュータのセキュリティ対策強化を
容易に実施することができるようになる。
タが監査機能を用いてネットワーク経由で被監査コンピ
ュータを擬似攻撃することにより被監査コンピュータの
セキュリティ脆弱点を検出し、更に、検出したセキュリ
ティ脆弱点の克服に必要とされる対策を実行するための
処理工程を含む対策実行ファイルが監査コンピュータの
対策実行ファイル生成機能によって自動的に生成され
る。そして、監査コンピュータが対策実行機能を使用し
て対策実行ファイルを実行することにより、被監査コン
ピュータのセキュリティ脆弱点の克服に必要とされる対
策がネットワークを介して自動的に被監査コンピュータ
に施されることになる。このように、被監査コンピュー
タのセキュリティ脆弱点の検出と脆弱点を克服するため
の対策とが監査コンピュータによって終始自動的に行わ
れるので、専門技術と経験の少ないシステム管理者であ
っても、被監査コンピュータのセキュリティ対策強化を
容易に実施することができるようになる。
【0008】また、前記監査コンピュータに、対策実行
機能に代わる転送機能、つまり、対策実行ファイルをネ
ットワークを介して被監査コンピュータに転送する機能
をもたせるようにしてもよい。
機能に代わる転送機能、つまり、対策実行ファイルをネ
ットワークを介して被監査コンピュータに転送する機能
をもたせるようにしてもよい。
【0009】この場合、ネットワークを介して対策実行
ファイルを受け取った被監査コンピュータが対策実行フ
ァイルを実行し、セキュリティ脆弱点の克服に必要とさ
れる対策を自らに施すことになる。対策実行ファイルを
実行する時間帯を被監査コンピュータの使用の都合に合
わせて決めることができるので、業務のスケジュールに
支障を来たすことなく被監査コンピュータのセキュリテ
ィ強化対策を行えるようになる。
ファイルを受け取った被監査コンピュータが対策実行フ
ァイルを実行し、セキュリティ脆弱点の克服に必要とさ
れる対策を自らに施すことになる。対策実行ファイルを
実行する時間帯を被監査コンピュータの使用の都合に合
わせて決めることができるので、業務のスケジュールに
支障を来たすことなく被監査コンピュータのセキュリテ
ィ強化対策を行えるようになる。
【0010】監査コンピュータの対策実行ファイル生成
機能は、被監査コンピュータのオペレーティングシステ
ムの種別に対応して対策実行ファイルを生成するように
構成されていることが望ましい。
機能は、被監査コンピュータのオペレーティングシステ
ムの種別に対応して対策実行ファイルを生成するように
構成されていることが望ましい。
【0011】被監査コンピュータのオペレーティングシ
ステムの種別に対応して対策実行ファイルを生成するこ
とにより、様々なオペレーティングシステムに対応する
だけの専門技術や経験がないシステム管理者であって
も、被監査コンピュータのセキュリティ対策強化を確実
に実施することができるようになる。また、ネットワー
クを介して監査コンピュータから被監査コンピュータに
対策実行ファイルを転送した場合であっても、被監査コ
ンピュータの内部処理によって対策実行ファイルを確実
に実行することができる。
ステムの種別に対応して対策実行ファイルを生成するこ
とにより、様々なオペレーティングシステムに対応する
だけの専門技術や経験がないシステム管理者であって
も、被監査コンピュータのセキュリティ対策強化を確実
に実施することができるようになる。また、ネットワー
クを介して監査コンピュータから被監査コンピュータに
対策実行ファイルを転送した場合であっても、被監査コ
ンピュータの内部処理によって対策実行ファイルを確実
に実行することができる。
【0012】また、監査コンピュータの監査機能は、監
査用データベースを用いて被監査コンピュータに対する
擬似攻撃を行うように構成することができる。ここでい
う監査用データベースとは、公的機関から報告されてい
る最新のセキュリティの弱点や既知の攻撃手法、およ
び、ハードウェア,ソフトウェアメーカから報告されて
いるセキュリティのバグ情報等から構成されたデータベ
ースである。
査用データベースを用いて被監査コンピュータに対する
擬似攻撃を行うように構成することができる。ここでい
う監査用データベースとは、公的機関から報告されてい
る最新のセキュリティの弱点や既知の攻撃手法、およ
び、ハードウェア,ソフトウェアメーカから報告されて
いるセキュリティのバグ情報等から構成されたデータベ
ースである。
【0013】このような監査用データベースを使用して
被監査コンピュータのセキュリティ脆弱点を検出するこ
とにより、常に最新のセキュリティ問題に対処すること
が可能となる。
被監査コンピュータのセキュリティ脆弱点を検出するこ
とにより、常に最新のセキュリティ問題に対処すること
が可能となる。
【0014】更に、監査コンピュータの監査機能には、
検出したセキュリティ脆弱点をモニタに表示する結果参
照機能を併設することも可能である。
検出したセキュリティ脆弱点をモニタに表示する結果参
照機能を併設することも可能である。
【0015】セキュリティ脆弱点をモニタに表示するこ
とにより、被監査コンピュータが現時点で有するセキュ
リティ上の問題点をシステム管理者が容易に把握できる
ようになり、また、これまでに生じていたセキュリティ
上の問題に起因する不利益を最小限度に抑制できる可能
性も生じる。
とにより、被監査コンピュータが現時点で有するセキュ
リティ上の問題点をシステム管理者が容易に把握できる
ようになり、また、これまでに生じていたセキュリティ
上の問題に起因する不利益を最小限度に抑制できる可能
性も生じる。
【0016】また、監査コンピュータの対策実行機能に
は、対策実行ファイルの実行後に監査機能を再起動する
再監査機能を併設することが望ましい。
は、対策実行ファイルの実行後に監査機能を再起動する
再監査機能を併設することが望ましい。
【0017】このような構成によれば、セキュリティ脆
弱点の克服に必要とされる対策が確実に行われたか否か
を容易に確認することができ、また、解決されなかった
問題によって生じるリスクを予め見込んで被監査コンピ
ュータを運用することも可能となる。
弱点の克服に必要とされる対策が確実に行われたか否か
を容易に確認することができ、また、解決されなかった
問題によって生じるリスクを予め見込んで被監査コンピ
ュータを運用することも可能となる。
【0018】更に、対策実行ファイルには、対策実行フ
ァイルの実行が完了したことをネットワークを介して監
査コンピュータに通知するコマンドを含ませることがで
きる。
ァイルの実行が完了したことをネットワークを介して監
査コンピュータに通知するコマンドを含ませることがで
きる。
【0019】対策実行ファイルを受け取った被監査コン
ピュータが対策実行ファイルを実行したか否かを監査コ
ンピュータの側で確認することができるようになるの
で、複数の被監査コンピュータを一つの監査コンピュー
タによって管理する場合に便利である。
ピュータが対策実行ファイルを実行したか否かを監査コ
ンピュータの側で確認することができるようになるの
で、複数の被監査コンピュータを一つの監査コンピュー
タによって管理する場合に便利である。
【0020】監査コンピュータによる擬似攻撃により、
少なくとも、遠隔ログインと遠隔コマンドの実行が試さ
れることが望ましい。
少なくとも、遠隔ログインと遠隔コマンドの実行が試さ
れることが望ましい。
【0021】コンピュータに対する侵入は、一般に、遠
隔ログインあるいは遠隔コマンドの不正使用によって達
成されるので、これらの項目に対するセキュリティを確
立することでセキュリティに関連する大半の問題を解消
することができる。
隔ログインあるいは遠隔コマンドの不正使用によって達
成されるので、これらの項目に対するセキュリティを確
立することでセキュリティに関連する大半の問題を解消
することができる。
【0022】
【発明の実施の形態】以下、図面を参照して本発明の実
施形態の幾つかについて説明する。
施形態の幾つかについて説明する。
【0023】図1は、本発明を適用したセキュリティ脆
弱点の対策設定自動化システム1の概要について示した
概念図である。
弱点の対策設定自動化システム1の概要について示した
概念図である。
【0024】このセキュリティ脆弱点の対策設定自動化
システム1は、概略において、被監査コンピュータ20
と監査コンピュータ10、および、両者を情報伝達可能
に接続するネットワーク100とによって構成される。
システム1は、概略において、被監査コンピュータ20
と監査コンピュータ10、および、両者を情報伝達可能
に接続するネットワーク100とによって構成される。
【0025】図1では、セキュリティ強度の監査対象と
なる被監査コンピュータ20を1台のみ示しているが、
ネットワーク100上に複数の被監査コンピュータ20
が存在しても構わない。
なる被監査コンピュータ20を1台のみ示しているが、
ネットワーク100上に複数の被監査コンピュータ20
が存在しても構わない。
【0026】ネットワーク100を介して被監査コンピ
ュータ20のセキュリティ脆弱点を監査する監査コンピ
ュータ10は、UNIX(登録商標)機器やパーソナル
コンピュータ等の情報処理装置により構成され、監査機
能,対策実行ファイル生成機能,対策実行機能,再監査
機能,結果参照機能,転送機能の各機能を有する。
ュータ20のセキュリティ脆弱点を監査する監査コンピ
ュータ10は、UNIX(登録商標)機器やパーソナル
コンピュータ等の情報処理装置により構成され、監査機
能,対策実行ファイル生成機能,対策実行機能,再監査
機能,結果参照機能,転送機能の各機能を有する。
【0027】監査機能とは、公的機関から報告されてい
る最新のセキュリティ弱点や既知の攻撃手法、ハードウ
ェア,ソフトウェアメーカから報告されているセキュリ
ティバグ情報等から構成される図2のような監査用デー
タベース2を用いて、図6に示されるようにして、被監
査コンピュータ20に対して順次疑似攻撃を行い、セキ
ュリティ脆弱点が潜在していないかを調べて、全ての疑
似攻撃項目を終えると結果を報告して監査を終了する機
能である。この監査機能は、実質的には、監査コンピュ
ータ10にインストールされた監査プログラム10aに
よって構成される。
る最新のセキュリティ弱点や既知の攻撃手法、ハードウ
ェア,ソフトウェアメーカから報告されているセキュリ
ティバグ情報等から構成される図2のような監査用デー
タベース2を用いて、図6に示されるようにして、被監
査コンピュータ20に対して順次疑似攻撃を行い、セキ
ュリティ脆弱点が潜在していないかを調べて、全ての疑
似攻撃項目を終えると結果を報告して監査を終了する機
能である。この監査機能は、実質的には、監査コンピュ
ータ10にインストールされた監査プログラム10aに
よって構成される。
【0028】ここでいう疑似攻撃とは、不正侵入の試
み,過負荷による機能妨害など、被監査コンピュータ2
0に対する不正アクセス行為を行うことであり、少なく
とも、遠隔ログインの試みと遠隔コマンドの実行の試み
が含まれる。ただし、実際に被監査コンピュータ20に
侵入したり、重要なファイルを破壊するようなことはし
ない。
み,過負荷による機能妨害など、被監査コンピュータ2
0に対する不正アクセス行為を行うことであり、少なく
とも、遠隔ログインの試みと遠隔コマンドの実行の試み
が含まれる。ただし、実際に被監査コンピュータ20に
侵入したり、重要なファイルを破壊するようなことはし
ない。
【0029】対策実行ファイル生成機能とは、様々なオ
ペレーティングシステム(BSD系UNIX,Syst
emV系UNIX,Linux等)に適合する対策設定
方法の情報から構成される図2に示されるような対策設
定用データベース3を用いて、被監査コンピュータ20
のセキュリティ脆弱点の各項目に対し、セキュリティ脆
弱点の克服に必要とされる対策設定を行う処理工程を含
んだ対策実行ファイル10cを被監査コンピュータ20
のオペレーティングシステムの種別に合わせて生成する
機能である。この対策実行ファイル生成機能は、実質的
には、監査コンピュータ10にインストールされた対策
設定プログラム10bによって構成される。
ペレーティングシステム(BSD系UNIX,Syst
emV系UNIX,Linux等)に適合する対策設定
方法の情報から構成される図2に示されるような対策設
定用データベース3を用いて、被監査コンピュータ20
のセキュリティ脆弱点の各項目に対し、セキュリティ脆
弱点の克服に必要とされる対策設定を行う処理工程を含
んだ対策実行ファイル10cを被監査コンピュータ20
のオペレーティングシステムの種別に合わせて生成する
機能である。この対策実行ファイル生成機能は、実質的
には、監査コンピュータ10にインストールされた対策
設定プログラム10bによって構成される。
【0030】対策実行機能とは、対策実行ファイル生成
機能によって生成された対策実行ファイル10cを実行
し、被監査コンピュータ20に対して、検出されたセキ
ュリティ脆弱点の克服に必要とされる設定を行う機能で
ある。
機能によって生成された対策実行ファイル10cを実行
し、被監査コンピュータ20に対して、検出されたセキ
ュリティ脆弱点の克服に必要とされる設定を行う機能で
ある。
【0031】再監査機能とは、対策実行ファイルの実行
後に再び監査プログラム10aを起動して被監査コンピ
ュータ20に前記と同様の擬似攻撃をしかけ、対策実行
機能によってセキュリティ脆弱点の克服に必要とされる
設定を施された被監査コンピュータ20のセキュリティ
脆弱点が十分に強化されているか否かを確認するための
機能である。
後に再び監査プログラム10aを起動して被監査コンピ
ュータ20に前記と同様の擬似攻撃をしかけ、対策実行
機能によってセキュリティ脆弱点の克服に必要とされる
設定を施された被監査コンピュータ20のセキュリティ
脆弱点が十分に強化されているか否かを確認するための
機能である。
【0032】結果参照機能は、監査機能あるいは再監査
機能によって検出されたセキュリティ上の問題を画面に
表示する機能である。
機能によって検出されたセキュリティ上の問題を画面に
表示する機能である。
【0033】転送機能は、対策実行ファイル生成機能に
よって生成された対策実行ファイルを、ネットワーク1
00を介して被監査コンピュータ20に転送する機能で
ある。
よって生成された対策実行ファイルを、ネットワーク1
00を介して被監査コンピュータ20に転送する機能で
ある。
【0034】被監査コンピュータ20は、UNIX機器
やパーソナルコンピュータ等の情報処理装置であり、ネ
ットワーク100を介して監査コンピュータ10との電
気通信を行う機能や、ネットワーク100を介して行わ
れる別のコンピュータからの遠隔ログイン,遠隔コマン
ドの実行を受けつけたり、複数のコンピュータ間でファ
イルを共有する等の機能を有する。
やパーソナルコンピュータ等の情報処理装置であり、ネ
ットワーク100を介して監査コンピュータ10との電
気通信を行う機能や、ネットワーク100を介して行わ
れる別のコンピュータからの遠隔ログイン,遠隔コマン
ドの実行を受けつけたり、複数のコンピュータ間でファ
イルを共有する等の機能を有する。
【0035】また、被監査コンピュータ20は、ネット
ワーク100を介して監査コンピュータ10からセキュ
リティに関する対策設定の指示を受け取って被監査コン
ピュータ20自身の対策設定を実行したり、被監査コン
ピュータ20から受け取った対策実行ファイルを自ら実
行して対策設定を施したり、更には、対策実行ファイル
の実行が完了したことをネットワーク100を介して監
査コンピュータ10に通知する機能を備える。対策実行
ファイルの実行完了をネットワーク100を介して監査
コンピュータ10に通知する機能は、監査コンピュータ
10が対策実行ファイル生成機能を用いて生成する対策
実行ファイルの最後の部分に所定のコマンドを添付して
被監査コンピュータ20に転送し、対策実行ファイルの
実行を終えた被監査コンピュータ20がこのコマンドを
起動することによって達成することができる。
ワーク100を介して監査コンピュータ10からセキュ
リティに関する対策設定の指示を受け取って被監査コン
ピュータ20自身の対策設定を実行したり、被監査コン
ピュータ20から受け取った対策実行ファイルを自ら実
行して対策設定を施したり、更には、対策実行ファイル
の実行が完了したことをネットワーク100を介して監
査コンピュータ10に通知する機能を備える。対策実行
ファイルの実行完了をネットワーク100を介して監査
コンピュータ10に通知する機能は、監査コンピュータ
10が対策実行ファイル生成機能を用いて生成する対策
実行ファイルの最後の部分に所定のコマンドを添付して
被監査コンピュータ20に転送し、対策実行ファイルの
実行を終えた被監査コンピュータ20がこのコマンドを
起動することによって達成することができる。
【0036】ネットワーク100は、建物内にルータや
Ethernet等で構築された情報通信ネットワーク
であり、監査コンピュータ10と被監査コンピュータ2
0との相互接続や、交換される情報データを運ぶ機能を
有する。
Ethernet等で構築された情報通信ネットワーク
であり、監査コンピュータ10と被監査コンピュータ2
0との相互接続や、交換される情報データを運ぶ機能を
有する。
【0037】次に、図3のフローチャートを参照して本
実施形態の具体的な動作について詳細に説明する。
実施形態の具体的な動作について詳細に説明する。
【0038】まず、監査コンピュータ10は、監査プロ
グラム10aを起動し、ネットワーク100を介して被
監査コンピュータ20に対し、監査用データベース2に
登録されている全ての疑似攻撃,設定不備の詮索等に関
するセキュリティ脆弱点の監査を実行する。
グラム10aを起動し、ネットワーク100を介して被
監査コンピュータ20に対し、監査用データベース2に
登録されている全ての疑似攻撃,設定不備の詮索等に関
するセキュリティ脆弱点の監査を実行する。
【0039】このとき、被監査コンピュータ20は、ネ
ットワーク100を介して、監査コンピュータ10から
遠隔ログインの試みや遠隔コマンドの実行などの疑似攻
撃を受け続け、あたかも正しいログイン要求やコマンド
の実行要求と解釈して、監査コンピュータ10に対して
応答を返す。監査コンピュータ10は、被監査コンピュ
ータ20からの応答内容からセキュリティ脆弱点がある
かを判断し、監査結果を保持する(ステップA1)。
ットワーク100を介して、監査コンピュータ10から
遠隔ログインの試みや遠隔コマンドの実行などの疑似攻
撃を受け続け、あたかも正しいログイン要求やコマンド
の実行要求と解釈して、監査コンピュータ10に対して
応答を返す。監査コンピュータ10は、被監査コンピュ
ータ20からの応答内容からセキュリティ脆弱点がある
かを判断し、監査結果を保持する(ステップA1)。
【0040】監査コンピュータ10は、監査プログラム
10aによる全ての疑似攻撃項目を終えると、完了の旨
を知らせるメッセージを図4に示されるようにしてモニ
タに表示して、監査を終了する。なお、この実施形態で
は、監査の対象となる被監査コンピュータ20をIPア
ドレスで指定して特定したり、ネットワーク100上の
全ての被監査コンピュータ20を監査対象として同時に
選択することも可能である。
10aによる全ての疑似攻撃項目を終えると、完了の旨
を知らせるメッセージを図4に示されるようにしてモニ
タに表示して、監査を終了する。なお、この実施形態で
は、監査の対象となる被監査コンピュータ20をIPア
ドレスで指定して特定したり、ネットワーク100上の
全ての被監査コンピュータ20を監査対象として同時に
選択することも可能である。
【0041】監査完了後、マウスによるクリック操作等
によって結果参照機能を選択して起動すると、セキュリ
ティ脆弱点に関連する検出番号や検出したセキュリティ
脆弱点の概要、および、その脆弱点によってどのような
リスクが生じるかといったコメントと、被監査コンピュ
ータ20のオペレーティングシステムに適用すべき対策
設定の具体的な方法等が図5に示されるようにしてモニ
タに表示される。
によって結果参照機能を選択して起動すると、セキュリ
ティ脆弱点に関連する検出番号や検出したセキュリティ
脆弱点の概要、および、その脆弱点によってどのような
リスクが生じるかといったコメントと、被監査コンピュ
ータ20のオペレーティングシステムに適用すべき対策
設定の具体的な方法等が図5に示されるようにしてモニ
タに表示される。
【0042】次に、監査コンピュータ10は、対策設定
プログラム10bを起動し、被監査コンピュータ20か
ら検出されたセキュリティ脆弱点の各項目に対し、脆弱
点の克服に必要とされる対策を実行するための処理工程
を含んだ対策実行ファイル10cを生成する(ステップ
A2)。前述した通り、この対策実行ファイル10cは
被監査コンピュータ20のオペレーティングシステムの
種別に対応して生成されるようになっている。
プログラム10bを起動し、被監査コンピュータ20か
ら検出されたセキュリティ脆弱点の各項目に対し、脆弱
点の克服に必要とされる対策を実行するための処理工程
を含んだ対策実行ファイル10cを生成する(ステップ
A2)。前述した通り、この対策実行ファイル10cは
被監査コンピュータ20のオペレーティングシステムの
種別に対応して生成されるようになっている。
【0043】次に、監査コンピュータ10は、対策実行
機能により、対策設定プログラム10bで生成された対
策実行ファイルを実行し、ネットワーク100を介して
被監査コンピュータ20に対して、検出されたセキュリ
ティ脆弱点の1つ目の項目を対策する設定を実行するよ
う指示する。被監査コンピュータ20は、監査コンピュ
ータ10から指示されたセキュリティ脆弱点の対策設定
方法の内容に従って対策設定を実行し、対策設定が終了
したことを監査コンピュータ10に報告する。次いで、
監査コンピュータ10は、2つ目のセキュリティ脆弱点
の項目を対策する設定を実行するよう指示する。被監査
コンピュータ20は、監査コンピュータ10から指示さ
れた、セキュリティ脆弱点の対策設定方法の内容に従っ
て対策設定を実行し、2つ目の対策設定が終了したこと
を監査コンピュータ10に報告する。
機能により、対策設定プログラム10bで生成された対
策実行ファイルを実行し、ネットワーク100を介して
被監査コンピュータ20に対して、検出されたセキュリ
ティ脆弱点の1つ目の項目を対策する設定を実行するよ
う指示する。被監査コンピュータ20は、監査コンピュ
ータ10から指示されたセキュリティ脆弱点の対策設定
方法の内容に従って対策設定を実行し、対策設定が終了
したことを監査コンピュータ10に報告する。次いで、
監査コンピュータ10は、2つ目のセキュリティ脆弱点
の項目を対策する設定を実行するよう指示する。被監査
コンピュータ20は、監査コンピュータ10から指示さ
れた、セキュリティ脆弱点の対策設定方法の内容に従っ
て対策設定を実行し、2つ目の対策設定が終了したこと
を監査コンピュータ10に報告する。
【0044】以下、前記と同様にして、更に3つ目、4
つ目と対策設定を順に実行していき、監査コンピュータ
10は、被監査コンピュータ20に指示するセキュリテ
ィ脆弱点の対策設定の項目がなくなると、対策実行機能
による対策設定が全て終了したことを知る(ステップA
3)。
つ目と対策設定を順に実行していき、監査コンピュータ
10は、被監査コンピュータ20に指示するセキュリテ
ィ脆弱点の対策設定の項目がなくなると、対策実行機能
による対策設定が全て終了したことを知る(ステップA
3)。
【0045】このようにして対策実行機能による対策設
定が終了すると、監査コンピュータ10は、被監査コン
ピュータ20のセキュリティ脆弱点が正常に対策された
ことを確認するために監査プログラム10aを再起動し
(再監査機能)、ネットワーク100を介して被監査コ
ンピュータ20に対してセキュリティ監査を再び実行
し、結果を保持する(ステップA4)。前記と同様、そ
の結果は、結果参照機能により、セキュリティ脆弱点に
関連する検出番号や検出したセキュリティ脆弱点の概
要、および、その脆弱点によってどのようなリスクが生
じるかといったコメントと、被監査コンピュータ20の
オペレーティングシステムに適用すべき対策設定の具体
的な方法等が図5に示されるようにしてモニタに表示さ
れる。
定が終了すると、監査コンピュータ10は、被監査コン
ピュータ20のセキュリティ脆弱点が正常に対策された
ことを確認するために監査プログラム10aを再起動し
(再監査機能)、ネットワーク100を介して被監査コ
ンピュータ20に対してセキュリティ監査を再び実行
し、結果を保持する(ステップA4)。前記と同様、そ
の結果は、結果参照機能により、セキュリティ脆弱点に
関連する検出番号や検出したセキュリティ脆弱点の概
要、および、その脆弱点によってどのようなリスクが生
じるかといったコメントと、被監査コンピュータ20の
オペレーティングシステムに適用すべき対策設定の具体
的な方法等が図5に示されるようにしてモニタに表示さ
れる。
【0046】先に実行した対策実行機能による被監査コ
ンピュータ20のセキュリティ脆弱点に対する対策設定
が有効となっているため、通常、モニタ画面にはセキュ
リティ脆弱点は何も表示されない。もしここでモニタ画
面にセキュリティ脆弱点が表示された場合には、対策設
定の実行中にエラーが生じている可能性があるので、対
策設定を再実行することが望ましい。
ンピュータ20のセキュリティ脆弱点に対する対策設定
が有効となっているため、通常、モニタ画面にはセキュ
リティ脆弱点は何も表示されない。もしここでモニタ画
面にセキュリティ脆弱点が表示された場合には、対策設
定の実行中にエラーが生じている可能性があるので、対
策設定を再実行することが望ましい。
【0047】次に、図7のフローチャートを参照して本
発明の他の実施形態について説明する。
発明の他の実施形態について説明する。
【0048】セキュリティ脆弱点の対策設定自動化シス
テムの全体的な構成については図1および図2と同様で
あるが、本実施形態では、監査コンピュータ10で生成
された対策実行ファイルをネットワーク100経由で被
監査コンピュータ20に転送し、この対策実行ファイル
を被監査コンピュータ20が自ら実行して対策設定を行
う点が前述の実施形態と相違する。
テムの全体的な構成については図1および図2と同様で
あるが、本実施形態では、監査コンピュータ10で生成
された対策実行ファイルをネットワーク100経由で被
監査コンピュータ20に転送し、この対策実行ファイル
を被監査コンピュータ20が自ら実行して対策設定を行
う点が前述の実施形態と相違する。
【0049】図7で、監査コンピュータ10は、監査機
能によるセキュリティ脆弱点の監査を実行し(ステップ
B1)、次に対策実行ファイル生成機能によって、被監
査コンピュータ20のセキュリティ脆弱点の各項目に対
し、適合する対策設定を行う処理工程を含んだ対策実行
ファイルを生成する(ステップB2)。以上の処理に関
しては前述した実施形態のステップA1,A2の処理と
全く同様である。
能によるセキュリティ脆弱点の監査を実行し(ステップ
B1)、次に対策実行ファイル生成機能によって、被監
査コンピュータ20のセキュリティ脆弱点の各項目に対
し、適合する対策設定を行う処理工程を含んだ対策実行
ファイルを生成する(ステップB2)。以上の処理に関
しては前述した実施形態のステップA1,A2の処理と
全く同様である。
【0050】次に監査コンピュータ10は、転送機能に
より、対策実行ファイル生成機能で生成された対策実行
ファイルを、ネットワーク100を介して被監査コンピ
ュータ20に転送する(ステップB3)。
より、対策実行ファイル生成機能で生成された対策実行
ファイルを、ネットワーク100を介して被監査コンピ
ュータ20に転送する(ステップB3)。
【0051】被監査コンピュータ20は、監査コンピュ
ータ10の転送機能によって転送されてきた対策実行フ
ァイルを実行し、1つ目のセキュリティ脆弱点の項目の
対策の設定を実行し、続いて2つ目のセキュリティ脆弱
点の項目の対策の設定を実行し、次に3つ目、4つ目と
繰り返す。そして、被監査コンピュータ20は、全ての
セキュリティ脆弱点の項目の対策の設定を実行し終える
と、結果を被監査コンピュータ20上に保持し、対策実
行ファイルに記述されている最後の実行命令である完了
通知用のコマンドを実行して、対策実行ファイルの実行
が終了したことをネットワーク100を介して監査コン
ピュータ10に伝えて処理を終了する(ステップB
4)。
ータ10の転送機能によって転送されてきた対策実行フ
ァイルを実行し、1つ目のセキュリティ脆弱点の項目の
対策の設定を実行し、続いて2つ目のセキュリティ脆弱
点の項目の対策の設定を実行し、次に3つ目、4つ目と
繰り返す。そして、被監査コンピュータ20は、全ての
セキュリティ脆弱点の項目の対策の設定を実行し終える
と、結果を被監査コンピュータ20上に保持し、対策実
行ファイルに記述されている最後の実行命令である完了
通知用のコマンドを実行して、対策実行ファイルの実行
が終了したことをネットワーク100を介して監査コン
ピュータ10に伝えて処理を終了する(ステップB
4)。
【0052】次に、監査コンピュータ10は、ネットワ
ーク100を介して被監査コンピュータ20から送られ
てきたコマンドにより、被監査コンピュータ20の対策
設定が全て終了したことを知る。
ーク100を介して被監査コンピュータ20から送られ
てきたコマンドにより、被監査コンピュータ20の対策
設定が全て終了したことを知る。
【0053】次に、監査コンピュータ10は、被監査コ
ンピュータ20のセキュリティ脆弱点が正常に対策され
たことを確認するために、ネットワーク100を介し被
監査コンピュータ20に対して、監査機能によるセキュ
リティ監査を再び実行し、結果を保持する(ステップB
5)。その結果は、結果参照機能により、セキュリティ
脆弱点に関連する検出番号や検出したセキュリティ脆弱
点の概要、および、その脆弱点によってどのようなリス
クが生じるかといったコメントと、被監査コンピュータ
20のオペレーティングシステムに適用すべき対策設定
の具体的な方法等が図5に示されるようにしてモニタに
表示される。
ンピュータ20のセキュリティ脆弱点が正常に対策され
たことを確認するために、ネットワーク100を介し被
監査コンピュータ20に対して、監査機能によるセキュ
リティ監査を再び実行し、結果を保持する(ステップB
5)。その結果は、結果参照機能により、セキュリティ
脆弱点に関連する検出番号や検出したセキュリティ脆弱
点の概要、および、その脆弱点によってどのようなリス
クが生じるかといったコメントと、被監査コンピュータ
20のオペレーティングシステムに適用すべき対策設定
の具体的な方法等が図5に示されるようにしてモニタに
表示される。
【0054】先に実行したステップB4の処理で被監査
コンピュータ20のセキュリティ脆弱点に対する対策設
定が有効となっているため、通常、モニタ画面にはセキ
ュリティ脆弱点は何も表示されないはずである。なお、
この実施形態の場合においては、ネットワーク100経
由で対策実行ファイルを受け取った被監査コンピュータ
20が直ちに対策実行ファイルを実行するとは限らない
ので、監査機能によるセキュリティ監査の再実行(再監
査機能の実行)は監査コンピュータ10が被監査コンピ
ュータ20からの完了通知を受けてからになる。
コンピュータ20のセキュリティ脆弱点に対する対策設
定が有効となっているため、通常、モニタ画面にはセキ
ュリティ脆弱点は何も表示されないはずである。なお、
この実施形態の場合においては、ネットワーク100経
由で対策実行ファイルを受け取った被監査コンピュータ
20が直ちに対策実行ファイルを実行するとは限らない
ので、監査機能によるセキュリティ監査の再実行(再監
査機能の実行)は監査コンピュータ10が被監査コンピ
ュータ20からの完了通知を受けてからになる。
【0055】以上に述べた通り、この実施形態では、監
査コンピュータ10の対策実行ファイル生成機能によっ
て生成された対策実行ファイルを被監査コンピュータ2
0にネットワーク100を介して転送する点と、被監査
コンピュータ20上で対策実行ファイルを実行する点
で、先に述べた実施例と異なる。
査コンピュータ10の対策実行ファイル生成機能によっ
て生成された対策実行ファイルを被監査コンピュータ2
0にネットワーク100を介して転送する点と、被監査
コンピュータ20上で対策実行ファイルを実行する点
で、先に述べた実施例と異なる。
【0056】これにより、被監査コンピュータ20を利
用する業務スケジュールの都合にあわせて、セキュリテ
ィ監査の実行終了から時間を置いて、都合の良いタイミ
ングで被監査コンピュータ20のセキュリティ脆弱点の
対策設定を実行することができるようになる。
用する業務スケジュールの都合にあわせて、セキュリテ
ィ監査の実行終了から時間を置いて、都合の良いタイミ
ングで被監査コンピュータ20のセキュリティ脆弱点の
対策設定を実行することができるようになる。
【0057】
【発明の効果】本発明によるセキュリティ脆弱点の対策
設定自動化システムは、監査コンピュータが監査機能を
用いてネットワーク経由で被監査コンピュータを擬似攻
撃することにより被監査コンピュータのセキュリティ脆
弱点を検出し、更に、検出したセキュリティ脆弱点の克
服に必要とされる対策を実行するための処理工程を含む
対策実行ファイルを監査コンピュータの対策実行ファイ
ル生成機能によって自動的に生成し、監査コンピュータ
自身が対策実行機能を使用してこの対策実行ファイルを
実行することにより、セキュリティ脆弱点の克服に必要
とされる対策をネットワーク経由で自動的に被監査コン
ピュータに施すようにしたので、専門技術と経験の少な
いシステム管理者であっても、被監査コンピュータのセ
キュリティ対策強化を容易に実施することができる。
設定自動化システムは、監査コンピュータが監査機能を
用いてネットワーク経由で被監査コンピュータを擬似攻
撃することにより被監査コンピュータのセキュリティ脆
弱点を検出し、更に、検出したセキュリティ脆弱点の克
服に必要とされる対策を実行するための処理工程を含む
対策実行ファイルを監査コンピュータの対策実行ファイ
ル生成機能によって自動的に生成し、監査コンピュータ
自身が対策実行機能を使用してこの対策実行ファイルを
実行することにより、セキュリティ脆弱点の克服に必要
とされる対策をネットワーク経由で自動的に被監査コン
ピュータに施すようにしたので、専門技術と経験の少な
いシステム管理者であっても、被監査コンピュータのセ
キュリティ対策強化を容易に実施することができる。
【0058】また、対策実行ファイルをネットワークを
介して被監査コンピュータに転送する転送機能を監査コ
ンピュータにもたせると共に、ネットワークを介して対
策実行ファイルを受け取った被監査コンピュータが対策
実行ファイルを実行することにより自らに対してセキュ
リティ脆弱点の克服に必要とされる対策を実行させるよ
うにしたので、対策実行ファイルを実行する時間帯、つ
まり、セキュリティ対策を実行する時間帯を被監査コン
ピュータの使用の都合に合わせて決めることができるよ
うになり、業務のスケジュールに支障を来たすことなく
被監査コンピュータのセキュリティ強化対策を行うこと
ができる。
介して被監査コンピュータに転送する転送機能を監査コ
ンピュータにもたせると共に、ネットワークを介して対
策実行ファイルを受け取った被監査コンピュータが対策
実行ファイルを実行することにより自らに対してセキュ
リティ脆弱点の克服に必要とされる対策を実行させるよ
うにしたので、対策実行ファイルを実行する時間帯、つ
まり、セキュリティ対策を実行する時間帯を被監査コン
ピュータの使用の都合に合わせて決めることができるよ
うになり、業務のスケジュールに支障を来たすことなく
被監査コンピュータのセキュリティ強化対策を行うこと
ができる。
【0059】しかも、監査コンピュータの対策実行ファ
イル生成機能は、被監査コンピュータのオペレーティン
グシステムの種別に対応して対策実行ファイルを生成す
るように構成されているので、様々なオペレーティング
システムに対応するだけの専門技術や経験がないシステ
ム管理者であっても、被監査コンピュータのセキュリテ
ィ対策強化を確実に実施することができるようになり、
また、ネットワークを介して監査コンピュータから被監
査コンピュータに対策実行ファイルを転送して実行させ
る場合であっても、被監査コンピュータの内部処理によ
って対策実行ファイルを適切に実行して確実なセキュリ
ティ対策強化を行うことが可能となる。
イル生成機能は、被監査コンピュータのオペレーティン
グシステムの種別に対応して対策実行ファイルを生成す
るように構成されているので、様々なオペレーティング
システムに対応するだけの専門技術や経験がないシステ
ム管理者であっても、被監査コンピュータのセキュリテ
ィ対策強化を確実に実施することができるようになり、
また、ネットワークを介して監査コンピュータから被監
査コンピュータに対策実行ファイルを転送して実行させ
る場合であっても、被監査コンピュータの内部処理によ
って対策実行ファイルを適切に実行して確実なセキュリ
ティ対策強化を行うことが可能となる。
【0060】また、監査コンピュータの監査機能は、公
的機関から報告されている最新のセキュリティの弱点や
既知の攻撃手法、および、ハードウェア,ソフトウェア
メーカから報告されているセキュリティのバグ情報等か
ら構成された監査用データベースを用いて被監査コンピ
ュータに対する擬似攻撃を行ってセキュリティ脆弱点を
検出するように構成されているので、常に最新のセキュ
リティ問題に対処することが可能である。
的機関から報告されている最新のセキュリティの弱点や
既知の攻撃手法、および、ハードウェア,ソフトウェア
メーカから報告されているセキュリティのバグ情報等か
ら構成された監査用データベースを用いて被監査コンピ
ュータに対する擬似攻撃を行ってセキュリティ脆弱点を
検出するように構成されているので、常に最新のセキュ
リティ問題に対処することが可能である。
【0061】更に、監査コンピュータの監査機能には、
検出したセキュリティ脆弱点をモニタに表示する結果参
照機能が併設されているため、被監査コンピュータが現
時点で有するセキュリティ上の問題点をシステム管理者
が容易に把握することができ、これまでに生じていたセ
キュリティ上の問題に起因する不利益を最小限度に抑制
することも可能となる。
検出したセキュリティ脆弱点をモニタに表示する結果参
照機能が併設されているため、被監査コンピュータが現
時点で有するセキュリティ上の問題点をシステム管理者
が容易に把握することができ、これまでに生じていたセ
キュリティ上の問題に起因する不利益を最小限度に抑制
することも可能となる。
【0062】また、監査コンピュータの対策実行機能に
は、対策実行ファイルの実行後に監査機能を再起動する
再監査機能を併設しているので、対策設定によってセキ
ュリティ脆弱点の克服に必要とされる対策が確実に行わ
れたか否かを容易に確認することができ、しかも、解決
されなかった問題によって生じるリスクを予め見込んで
被監査コンピュータを運用することも可能となる。
は、対策実行ファイルの実行後に監査機能を再起動する
再監査機能を併設しているので、対策設定によってセキ
ュリティ脆弱点の克服に必要とされる対策が確実に行わ
れたか否かを容易に確認することができ、しかも、解決
されなかった問題によって生じるリスクを予め見込んで
被監査コンピュータを運用することも可能となる。
【0063】更に、対策実行ファイルには、対策実行フ
ァイルの実行が完了したことをネットワークを介して監
査コンピュータに通知するコマンドを含ませるようにし
ているので、監査コンピュータで生成した対策実行ファ
イルをオペレーティングシステムが異なる複数の被監査
コンピュータに転送したような場合であっても、各々の
被監査コンピュータが対策実行ファイルを実行したか否
かを監査コンピュータの側から容易に確認することがで
きる。
ァイルの実行が完了したことをネットワークを介して監
査コンピュータに通知するコマンドを含ませるようにし
ているので、監査コンピュータで生成した対策実行ファ
イルをオペレーティングシステムが異なる複数の被監査
コンピュータに転送したような場合であっても、各々の
被監査コンピュータが対策実行ファイルを実行したか否
かを監査コンピュータの側から容易に確認することがで
きる。
【0064】監査コンピュータによる擬似攻撃によって
少なくとも遠隔ログインと遠隔コマンドに対するセキュ
リティを監査するようにしているので、特に、コンピュ
ータへの不正侵入に利用されがちなセキュリティ脆弱点
に対する強化対策を確実に実行することができ、被監査
コンピュータの信頼性を大幅に向上させることができ
る。
少なくとも遠隔ログインと遠隔コマンドに対するセキュ
リティを監査するようにしているので、特に、コンピュ
ータへの不正侵入に利用されがちなセキュリティ脆弱点
に対する強化対策を確実に実行することができ、被監査
コンピュータの信頼性を大幅に向上させることができ
る。
【図1】本発明を適用した一実施形態のセキュリティ脆
弱点の対策設定自動化システムの概要について示した概
念図である。
弱点の対策設定自動化システムの概要について示した概
念図である。
【図2】同実施形態の監査コンピュータが備える各種機
能の概略を示した機能ブロック図である。
能の概略を示した機能ブロック図である。
【図3】同実施形態の監査コンピュータによって実施さ
れる処理の概略を示したフローチャートである。
れる処理の概略を示したフローチャートである。
【図4】監査の完了を知らせるモニタ画面の一例を示し
た図である。
た図である。
【図5】監査結果の内容を知らせるモニタ画面の一例を
示した図である。
示した図である。
【図6】監査用データベースに基いて実施される擬似攻
撃の実行順序の一例を示した流れ図である。
撃の実行順序の一例を示した流れ図である。
【図7】他の実施形態における監査コンピュータおよび
被監査コンピュータによって実施される処理の概略を示
したフローチャートである。
被監査コンピュータによって実施される処理の概略を示
したフローチャートである。
1 セキュリティ脆弱点の対策設定自動化システム 2 監査用データベース 3 対策設定用データベース 10 監査コンピュータ 10a 監査プログラム 10b 対策設定プログラム 10c 対策実行ファイル 20 被監査コンピュータ 100 ネットワーク
Claims (8)
- 【請求項1】 セキュリティ強度の監査対象となる被監
査コンピュータと前記被監査コンピュータのセキュリテ
ィ脆弱点を監査するための監査コンピュータとを有し、
前記被監査コンピュータと前記監査コンピュータとの間
をネットワークによって情報伝達可能に接続したセキュ
リティ脆弱点の対策設定自動化システムであって、 前記監査コンピュータに、前記ネットワークを介し前記
被監査コンピュータを擬似攻撃して前記被監査コンピュ
ータのセキュリティ脆弱点を検出する監査機能と、前記
監査機能によって検出されたセキュリティ脆弱点の克服
に必要とされる対策を実行するための処理工程を含む対
策実行ファイルを生成する対策実行ファイル生成機能
と、前記対策実行ファイルを実行し前記被監査コンピュ
ータのセキュリティ脆弱点の克服に必要とされる対策を
前記ネットワークを介して前記被監査コンピュータに設
定する対策実行機能とを備えたことを特徴とするセキュ
リティ脆弱点の対策設定自動化システム。 - 【請求項2】 セキュリティ強度の監査対象となる被監
査コンピュータと前記被監査コンピュータのセキュリテ
ィ脆弱点を監査するための監査コンピュータとを有し、
前記被監査コンピュータと前記監査コンピュータとの間
をネットワークによって情報伝達可能に接続したセキュ
リティ脆弱点の対策設定自動化システムであって、 前記監査コンピュータに、前記ネットワークを介し前記
被監査コンピュータを擬似攻撃して前記被監査コンピュ
ータのセキュリティ脆弱点を検出する監査機能と、前記
監査機能によって検出されたセキュリティ脆弱点の克服
に必要とされる対策を実行するための処理工程を含む対
策実行ファイルを生成する対策実行ファイル生成機能
と、この対策実行ファイルを前記ネットワークを介して
前記被監査コンピュータに転送する転送機能とを備えた
ことを特徴とするセキュリティ脆弱点の対策設定自動化
システム。 - 【請求項3】 前記対策実行ファイル生成機能が、前記
被監査コンピュータのオペレーティングシステムの種別
に対応して前記対策実行ファイルを生成するように構成
されていることを特徴とする請求項1または請求項2記
載のセキュリティ脆弱点の対策設定自動化システム。 - 【請求項4】 前記監査機能が、公的機関から報告され
ている最新のセキュリティの弱点や既知の攻撃手法、ハ
ードウェア,ソフトウェアメーカから報告されているセ
キュリティのバグ情報等から構成される監査用データベ
ースを用いて前記擬似攻撃を行うように構成されている
ことを特徴とする請求項1,請求項2または請求項3記
載のセキュリティ脆弱点の対策設定自動化システム。 - 【請求項5】 前記監査機能には、検出したセキュリテ
ィ脆弱点を前記監査コンピュータのモニタに表示する結
果参照機能が併設されていることを特徴とする請求項
1,請求項2,請求項3または請求項4記載のセキュリ
ティ脆弱点の対策設定自動化システム。 - 【請求項6】 前記対策実行機能には、前記対策実行フ
ァイルの実行後に前記監査機能を再起動する再監査機能
が併設されていることを特徴とする請求項1記載のセキ
ュリティ脆弱点の対策設定自動化システム。 - 【請求項7】 前記対策実行ファイルには、前記対策実
行ファイルの実行が完了したことを前記ネットワークを
介して前記監査コンピュータに通知するコマンドが含ま
れていることを特徴とする請求項2記載のセキュリティ
脆弱点の対策設定自動化システム。 - 【請求項8】 前記擬似攻撃が少なくとも遠隔ログイン
の試みと遠隔コマンドの実行によって構成されているこ
とを特徴とする請求項1,請求項2,請求項3,請求項
4,請求項5,請求項6または請求項7記載のセキュリ
ティ脆弱点の対策設定自動化システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000353046A JP2002157221A (ja) | 2000-11-20 | 2000-11-20 | セキュリティ脆弱点の対策設定自動化システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000353046A JP2002157221A (ja) | 2000-11-20 | 2000-11-20 | セキュリティ脆弱点の対策設定自動化システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002157221A true JP2002157221A (ja) | 2002-05-31 |
Family
ID=18825867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000353046A Pending JP2002157221A (ja) | 2000-11-20 | 2000-11-20 | セキュリティ脆弱点の対策設定自動化システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002157221A (ja) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004234208A (ja) * | 2003-01-29 | 2004-08-19 | Mitsubishi Electric Corp | セキュリティ対策運用管理装置 |
| JP2005167884A (ja) * | 2003-12-05 | 2005-06-23 | Nec Corp | ネットワークへの接続参加受付システム、ネットワークヘのノード接続方法およびノードの設定方法 |
| JP2005242754A (ja) * | 2004-02-27 | 2005-09-08 | Mitsubishi Electric Corp | セキュリティ管理システム |
| JP2007279868A (ja) * | 2006-04-04 | 2007-10-25 | Hitachi Electronics Service Co Ltd | Mspサービス用過去事例提供システム及びmspサービス用過去事例提供方法 |
| US7739722B2 (en) | 2003-04-24 | 2010-06-15 | Nec Corporation | System for supporting security administration and method of doing the same |
| JP2010157211A (ja) * | 2008-12-31 | 2010-07-15 | Internatl Business Mach Corp <Ibm> | ブラックボックス・ウエブ・アプリケーション・セキュリティ走査をモニタするデータ処理システム、方法、およびコンピュータ・プログラム |
| JP2011198022A (ja) * | 2010-03-19 | 2011-10-06 | Nec Corp | 情報処理装置、情報処理システム、情報処理方法並びに情報処理プログラム |
| WO2012011270A1 (ja) * | 2010-07-21 | 2012-01-26 | 日本電気株式会社 | Web脆弱性補修装置、Webサーバ、Web脆弱性補修方法、及びプログラム |
| JP2017174378A (ja) * | 2016-03-18 | 2017-09-28 | エーオー カスペルスキー ラボAO Kaspersky Lab | スマートデバイスの脆弱性を除去する方法及びシステム |
| US10084812B2 (en) | 2016-03-18 | 2018-09-25 | AO Kaspersky Lab | Method and system of repairing vulnerabilities of smart devices |
| US10419472B2 (en) | 2016-03-18 | 2019-09-17 | AO Kaspersky Lab | System and method for repairing vulnerabilities of devices connected to a data network |
| EP3579133A1 (en) | 2018-06-04 | 2019-12-11 | Yazaki Corporation | Software security vulnerability evaluating apparatus |
| JP2021064046A (ja) * | 2019-10-10 | 2021-04-22 | 株式会社ユビキタスAiコーポレーション | 情報処理装置、ネットワーク機器、情報処理方法および情報処理プログラム |
| US11310262B1 (en) | 2003-07-01 | 2022-04-19 | Security Profiling, LLC | Real-time vulnerability monitoring |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06282527A (ja) * | 1993-03-29 | 1994-10-07 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
-
2000
- 2000-11-20 JP JP2000353046A patent/JP2002157221A/ja active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06282527A (ja) * | 1993-03-29 | 1994-10-07 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004234208A (ja) * | 2003-01-29 | 2004-08-19 | Mitsubishi Electric Corp | セキュリティ対策運用管理装置 |
| US7739722B2 (en) | 2003-04-24 | 2010-06-15 | Nec Corporation | System for supporting security administration and method of doing the same |
| US11632388B1 (en) | 2003-07-01 | 2023-04-18 | Securityprofiling, Llc | Real-time vulnerability monitoring |
| US11310262B1 (en) | 2003-07-01 | 2022-04-19 | Security Profiling, LLC | Real-time vulnerability monitoring |
| JP2005167884A (ja) * | 2003-12-05 | 2005-06-23 | Nec Corp | ネットワークへの接続参加受付システム、ネットワークヘのノード接続方法およびノードの設定方法 |
| JP4626741B2 (ja) * | 2003-12-05 | 2011-02-09 | 日本電気株式会社 | ネットワークへの接続参加受付システム、ネットワークヘのノード接続方法およびノードの設定方法 |
| JP2005242754A (ja) * | 2004-02-27 | 2005-09-08 | Mitsubishi Electric Corp | セキュリティ管理システム |
| JP2007279868A (ja) * | 2006-04-04 | 2007-10-25 | Hitachi Electronics Service Co Ltd | Mspサービス用過去事例提供システム及びmspサービス用過去事例提供方法 |
| JP2010157211A (ja) * | 2008-12-31 | 2010-07-15 | Internatl Business Mach Corp <Ibm> | ブラックボックス・ウエブ・アプリケーション・セキュリティ走査をモニタするデータ処理システム、方法、およびコンピュータ・プログラム |
| JP2011198022A (ja) * | 2010-03-19 | 2011-10-06 | Nec Corp | 情報処理装置、情報処理システム、情報処理方法並びに情報処理プログラム |
| US9392011B2 (en) | 2010-07-21 | 2016-07-12 | Nec Corporation | Web vulnerability repair apparatus, web server, web vulnerability repair method, and program |
| JP2012027618A (ja) * | 2010-07-21 | 2012-02-09 | Nec Corp | Web脆弱性補修装置、Webサーバ、Web脆弱性補修方法、及びプログラム |
| WO2012011270A1 (ja) * | 2010-07-21 | 2012-01-26 | 日本電気株式会社 | Web脆弱性補修装置、Webサーバ、Web脆弱性補修方法、及びプログラム |
| JP2017174378A (ja) * | 2016-03-18 | 2017-09-28 | エーオー カスペルスキー ラボAO Kaspersky Lab | スマートデバイスの脆弱性を除去する方法及びシステム |
| US10084812B2 (en) | 2016-03-18 | 2018-09-25 | AO Kaspersky Lab | Method and system of repairing vulnerabilities of smart devices |
| US10419472B2 (en) | 2016-03-18 | 2019-09-17 | AO Kaspersky Lab | System and method for repairing vulnerabilities of devices connected to a data network |
| US10484416B2 (en) | 2016-03-18 | 2019-11-19 | AO Kaspersky Lab | System and method for repairing vulnerabilities of objects connected to a data network |
| EP3579133A1 (en) | 2018-06-04 | 2019-12-11 | Yazaki Corporation | Software security vulnerability evaluating apparatus |
| JP2021064046A (ja) * | 2019-10-10 | 2021-04-22 | 株式会社ユビキタスAiコーポレーション | 情報処理装置、ネットワーク機器、情報処理方法および情報処理プログラム |
| JP7229533B2 (ja) | 2019-10-10 | 2023-02-28 | 株式会社ユビキタスAi | 情報処理装置、ネットワーク機器、情報処理方法および情報処理プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11080399B2 (en) | System and method for vetting mobile phone software applications | |
| CN101098226B (zh) | 一种病毒在线实时处理系统及其方法 | |
| US7010698B2 (en) | Systems and methods for creating a code inspection system | |
| US20180349602A1 (en) | Security testing framework including virtualized server-side platform | |
| JP2002157221A (ja) | セキュリティ脆弱点の対策設定自動化システム | |
| US9438617B2 (en) | Application security testing | |
| WO2018052979A1 (en) | Systems and methods for agent-based detection of hacking attempts | |
| JP2008547070A (ja) | アプリケーションを修理するための方法及びシステム | |
| Mirjalili et al. | A survey on web penetration test | |
| JP6449437B2 (ja) | 脆弱性ネットワークスキャナの制御装置および制御方法 | |
| CN106998323B (zh) | 应用层网络攻击仿真方法、装置及系统 | |
| KR101972825B1 (ko) | 하이브리드 분석 기술을 이용한 임베디드 기기 취약점 자동 분석 방법, 장치 및 그 방법을 실행하는 컴퓨터 프로그램 | |
| EP3958152B1 (en) | Attack scenario simulation device, attack scenario generation system, and attack scenario generation method | |
| Rathaus et al. | Open source fuzzing tools | |
| CN111245800B (zh) | 网络安全测试方法和装置、存储介质、电子装置 | |
| CN107766068B (zh) | 应用系统补丁安装方法、装置、计算机设备和存储介质 | |
| Permann et al. | Cyber assessment methods for SCADA security | |
| Su et al. | Crowdsourcing platform for collaboration management in vulnerability verification | |
| Vernotte et al. | Efficient detection of multi-step cross-site scripting vulnerabilities | |
| CN115361203A (zh) | 一种基于分布式扫描引擎的脆弱性分析方法 | |
| Malkawi et al. | Automation of active reconnaissance phase: an automated API-based port and vulnerability scanner | |
| Jing-wei et al. | A lightweight vulnerability scanning and security enhanced system for oracle database | |
| Dhar et al. | Integrikey: End-to-end integrity protection of user input | |
| Raffa | Testing antivirus in linux: An investigation on the effectiveness of solutions available for desktop computers | |
| Elsbroek et al. | Fidius: Intelligent support for vulnerability testing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041109 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041228 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050405 |