JP2003140987A - セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム - Google Patents

セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム

Info

Publication number
JP2003140987A
JP2003140987A JP2001341185A JP2001341185A JP2003140987A JP 2003140987 A JP2003140987 A JP 2003140987A JP 2001341185 A JP2001341185 A JP 2001341185A JP 2001341185 A JP2001341185 A JP 2001341185A JP 2003140987 A JP2003140987 A JP 2003140987A
Authority
JP
Japan
Prior art keywords
audit
security
node
result
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001341185A
Other languages
English (en)
Inventor
Koichi Takamura
光一 高村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Costumer Service Corp
Original Assignee
NTT Data Costumer Service Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Costumer Service Corp filed Critical NTT Data Costumer Service Corp
Priority to JP2001341185A priority Critical patent/JP2003140987A/ja
Publication of JP2003140987A publication Critical patent/JP2003140987A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 セキュリティ監査を自主的に行なえる環境作
りを行なうことで継続的なセキュリティ対策を支援し、
能動的なセキュリティ対策を実現する。 【解決手段】 監査登録設定手段22は、利用者によっ
て入力された条件を一時的な情報として保持して各件毎
セキュリティ監査実行管理コンピュータへ送信し、ま
た、監査結果公表部23は、セキュリティ監査実行管理
コンピュータから取り込んだデータの中から最新情報を
取得してシステムDB231へ反映させると共に、利用
者によって選択された情報に基づき結果を公表する。更
に、監査対象となるノードに管理者属性を持たせ、各管
理者には組織の所属属性を持たせることにより、アクセ
ス権限を持つ利用者のみがその監査結果を参照できる構
成とした。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、継続的なセキュリ
ティ対策を支援し、能動的なセキュリティ対策を実現す
る、セキュリティ監査支援システムおよび方法、ならび
にセキュリティ監査支援プログラムに関する。
【0002】
【従来の技術】企業内のネットワーク化が進み、また、
インターネットが地球規模のネットワークに成長した今
日、セキュリティ対策の重要性が日増しに高まってき
た。従来は、ウィルス対策ソフトによるウィルス検知と
駆除、外部公開サーバにおける厳重なセキュリティ対
策、RAS(Remote Access Service)環境における
ワンタイムパスワードの利用により、ほとんどの脅威か
らネットワークを守ることができた。
【0003】しかしながら最近では、ウィルス対策ソフ
トでは防ぐことが出来ないワームウィルス等が多く発生
するようになった。また、次々にOSのセキュリティホ
ールが発見され、今後益々OSの構造的欠陥を利用した
ウィルスの発生が予測され、従来通りの対策ではウィル
スの蔓延等を防ぐことはできない。そこで、企業内にお
いては、内部ネットワーク接続ノードのセキュア化が求
められるようになった。具体的には、ウィルス対策ソフ
トを導入と最新の定義ファイルの適用は必須とし、O
S、各サービスの適切なインストール、最新セキュリテ
ィパッチの適用、不要サービスの停止、不要アカウント
の削除、アクセスログの取得、監視、保存等であり、こ
れら対策をネットワークに接続される全てのノードにお
いて継続的に実行する必要がある。
【0004】ところが、上記した対策を必要とする項目
は200以上もあり、全てを手動で行なうのは、確実
性、効率性の点で無理である。そこで、従来は専用の監
査ツールを利用して上記の対策を施していた。具体的
に、利用者は、自ノードの監査結果を知るためには、専
用のコンソールで自ノードに関する情報を参照するか、
自ノードの情報のみを入手する必要があった。自ノード
への監査を行なうには管理者に依頼するか、あるいは自
分が専用のコンソールを利用して監査を実行する必要が
ある。更に、特定ノードのみの監査結果の参照はできず
融通性に乏しいものであった。
【0005】
【発明が解決しようとする課題】上記したように、従来
は、専用のコンソールで管理者が一方的に監査を実行す
るのみで、各利用者はその結果を知らされ、受動的にセ
キュリティ対策に臨んでいたため、継続的なセキュリテ
ィ対策の実施は期待薄であった。また、利用者が専用コ
ンソールを用いて監査を実行する場合、管理レベルでネ
ットワーク内の全てを覗くことになるためセキュリティ
を維持することができなかった。
【0006】本発明は上記事情に鑑みてなされたもので
あり、自ノードへの監査実行登録、ならひに自ノードの
監査結果の参照を、例えば、ウェブブラウザを用いて行
なう等、セキュリティ監査を自主的に行なえる環境作り
を行なうことで継続的なセキュリティ対策を支援し、能
動的なセキュリティ対策を実現する、セキュリティ監査
支援システムおよび方法、ならびにセキュリティ監査支
援プログラムを提供することを目的とする。
【0007】
【課題を解決するための手段】上記した課題を解決する
ために本発明は、セキュリティ監査の実行を管理する監
査実行管理コンピュータを備えたセキュリティ監査対象
ネットワークとは通信回線を介して接続されるセキュリ
ティ監査支援システムであって、前記セキュリティ監査
対象ネットワークを構成する各ノードから自ノードの監
査実行登録要求を受付け、前記監査実行管理コンピュー
タに監査実行を要求する監査実行登録設定手段と、前記
ノード毎、あらかじめ付与されたアクセス権限に応じて
前記監査実行管理コンピュータによる監査結果を公表す
る監査結果公表手段と、を備えたことを特徴とする。
【0008】また、本発明において、前記監査実行登録
設定手段は、前記ノードを介して入力される監査項目を
テンポラリな情報として保持し、前記監査実行登録設定
要求を前記監査実行管理コンピュータに転送する監査実
行登録要求送信手段を備えたことを特徴とする。
【0009】また、本発明において、前記監査結果公表
手段は、前記監査実行管理コンピュータから取り込んだ
監査結果の中から最新情報を取得してシステムDBに反
映させるDB更新手段と、前記ノードを利用する利用者
の選択に基づき前記監査結果を公表する監査結果送信手
段と、を備えたことを特徴とする。
【0010】また、本発明において、前記監査結果公表
手段は、前記アクセス権限を付与するために前記監査対
象となるノードが持つ管理者属性に基づき前記ノードに
監査結果の参照を許可するアクセス権限認証手段を備え
たことを特徴とする。
【0011】また、本発明において、前記監査結果公表
手段は、前記管理者属性に更に付与される組織の所属属
性に応じて前記監査結果を組織階層毎に公表し、前記ノ
ード利用者の要求に基づき前記それぞれの組織階層にお
いて前記監査項目別の監査結果も公表する監査結果公表
制御手段を備えたことを特徴とする。
【0012】上記構成により、監査登録設定手段は、利
用者によって入力された条件を一時的な情報として保持
して各件毎セキュリティ監査実行管理コンピュータへ送
信し、また、監査結果公表部は、セキュリティ監査実行
管理コンピュータから取り込んだデータの中から最新情
報を取得してシステムデータベースへ反映させると共
に、利用者によって選択された情報に基づき結果を公表
する。また、監査対象となるノードに管理者属性を持た
せ、各管理者には組織の所属属性を持たせることによ
り、アクセス権限を持つ利用者のみがその監査結果を参
照できる構成とした。このことにより、監査対象ネット
ワークを構成する各ネットワーク機器は、自ノードへの
監査実行登録、ならびに自ノードの監査結果の参照を、
例えば、ウェブブラウザを用いて行なうことができ、本
発明のセキュリティ監査支援システムによりセキュリテ
ィ監査を自主的に行なえる環境作りが構築でき、従っ
て、継続的なセキュリティ対策を支援し、能動的なセキ
ュリティ対策を実現することができる。なお、ここで、
「セキュリティ監査」とは、現在のセキュリティ対策状
況があらかじめ規定されたセキュリティポリシーに沿っ
たものであるか否かを調べることをいう。
【0013】上記した課題を解決するために本発明は、
セキュリティ監査の実行を管理する監査実行管理コンピ
ュータを備えたセキュリティ監査対象ネットワークとは
通信回線を介して接続されたセキュリティ監査システム
のためのセキュリティ監査支援方法であって、前記セキ
ュリティ監査対象ネットワークを構成するノードから自
ノードの監査実行登録要求を受付け、前記監査実行管理
コンピュータに監査実行を要求し、前記ノード毎、あら
かじめ付与されたアクセス権限に応じて前記監査実行管
理コンピュータによる監査結果を公表すること、を特徴
とする。
【0014】上記した課題を解決するために本発明は、
セキュリティ監査の実行を管理する監査実行管理コンピ
ュータを備えたセキュリティ監査対象ネットワークとは
通信回線を介して接続されたセキュリティ監査支援シス
テムに用いられるセキュリティ監査支援プログラムであ
って、前記セキュリティ監査対象ネットワークを構成す
るノードから自ノードの監査実行登録要求を受付け、前
記監査実行管理コンピュータに監査実行を要求する監査
実行登録設定ステップと、前記ノード毎、あらかじめ付
与されたアクセス権限に応じて前記監査実行管理コンピ
ュータによる監査結果を公表する監査結果公表ステップ
と、をコンピュータに実行させることを特徴とする。
【0015】また、本発明において、前記監査結果公表
ステップは、前記アクセス権限を付与するために前記監
査対象となるノードが持つ管理者属性に基づき前記ノー
ドに監査結果の参照を許可するステップを含み、前記ス
テップをコンピュータに実行させることを特徴とする。
【0016】また、本発明において、前記監査結果公表
ステップは、前記管理者属性に更に付与される組織の所
属属性に応じて前記監査結果を組織階層毎に公表するス
テップと、前記ノード利用者の要求に基づき前記それぞ
れの組織階層において前記監査項目別の監査結果も公表
するステップとを含み、前記各ステップをコンピュータ
に実行させる。
【0017】
【発明の実施の形態】図1は、本発明におけるセキュリ
ティ監査方法を実現するセキュリティ監査システムの構
成の一例を説明するために引用した図である。図1にお
いて、1はセキュリティ監査対象ネットワークであり、
本発明のセキュリティ監査支援システムが実装されるセ
キュリティ支援サーバ2とはIP(Internet Protoco
l)ネットワーク網を介して接続される。セキュリティ
監査対象ネットワーク1は、セキュリティ監査実行管理
サーバ11を核に、各ノードにサーバ12やクライアン
トとなる端末装置13、14、15等のネットワーク機
器が複数接続されて成る。なお、セキュリティ監査対象
ネットワーク1は、セキュリティ支援サーバ2にIPネ
ットワーク3を介して複数接続されるものとする。
【0018】図1を参照しながら概略説明を行なう。こ
こでは、セキュリティ監査支援サーバ2からセキュリテ
ィ監査実行管理サーバ11に対して監査の指令が発生す
ることでセキュリティ監査対象ネットワーク1の監査が
実行される。そして、セキュリティ監査支援サーバ2
は、監査実行管理サーバ11から監査結果の収集を行
い、結果を要求のあったセキュリティ監査対象ネットワ
ーク1のネットワーク機器へ転送する。監査結果を受け
たネットワーク機器の利用者は、セキュリティ対策を施
した後、セキュリティ監査支援サーバ2に対して監査実
行登録を行い、再度監査を依頼する。管理者は、監査内
容の更新を行なうと共に、対策状況の把握を行なう。こ
のように、ウェブを利用して監査結果を各利用者へフィ
ードバックすることにより、継続的なセキュリティ対策
の促進をはかっている。詳細は後述する。
【0019】図2に、本発明において使用されるセキュ
リティ監査実行管理サーバ11の概略内部構成が示され
ている。ここでは、セキュリティ監査実行管理サーバ1
1は、シマンテック社のセキュリティ監査ツールである
Enterprise Security Manager(ESM)を使用する
ものとする。周知のように、ESMは、ESMマネージ
ャ112を核とし、入出力となるESMコンソール11
1と、監査対象ノードにインストールされ、ESMマネ
ージャからの指令に従って監査を実行するESMエージ
ェント113、114によって構成される。
【0020】図3は、本発明のセキュリティ監査支援シ
ステムが実装されるセキュリティ監査支援サーバの内部
構成を機能展開して示したブロック図であり、本発明と
関係するブロックのみ抽出して示してある。以下に示す
各ブロックは、具体的には、CPUならびにメモリを含
む周辺LSIで構成され、CPUがメモリに記録された
プログラムを読み出し実行することにより、各ブロック
が持つそれぞれの機能を実現するものである。
【0021】セキュリティ監査支援サーバ2は、基本的
には、通信インタフェース部21と、監査登録設定部2
2と、監査結果公表部23で構成される。通信インタフ
ェース部21は、IPネットワーク網3を介して接続さ
れるセキュリティ監査対象ネットワークとのインタフェ
ースを司るものであり、ここでは、ウェブを用いている
ため、TCP/IP(Transport Protocol/Internet
Protocol)を実装しているものとする。監査登録設定
部22は、セキュリティ監査対象ネットワーク1を構成
する各ノードから自ノードの監査実行登録要求を受付
け、監査実行管理コンピュータであるセキュリティ監査
実行管理サーバ11に対して監査実行を要求する機能を
持つ。また、監査結果公表部23は、セキュリティ監査
対象ネットワーク1を構成するノード毎、あらかじめ付
与されたアクセス権限に応じてセキュリティ監査実行管
理サーバ11による監査結果を公表する機能を持つ。
【0022】監査実行登録設定部22は、監査実行登録
要求リストDB221と、監査実行登録設定要求送信部
222で構成される。監査実行登録設定要求送信部22
2は、監査対象ネットワーク1を構成するノードを介し
て入力される監査項目を監査実行登録設定要求リストD
B221にテンポラリ(一時的)な情報として保持し、
監査実行登録設定要求をセキュリティ監査実行管理サー
バ11に転送する機能を持つ。
【0023】監査結果公表部23は、システムDB23
1と、DB更新部232と、監査結果選択送信部233
と、アクセス権限認証部234と、監査結果公表制御部
235と、属性DB238で構成される。DB更新部2
32は、セキュリティ監査実行管理サーバ11から取り
込んだ監査結果の中から最新情報を取得してシステムD
B231に反映させる機能を持つ。監査結果選択送信部
233は、セキュリティ監査対象ネットワーク1のノー
ドを利用する利用者の選択に基づきセキュリティ監査実
行管理サーバ11による実行監査結果を公表する機能を
持つ。また、アクセス権限認証部234は、アクセス権
限を付与するために監査対象ネットワーク1を構成する
ノードが持つ管理者属性に基づきノードに監査結果の参
照を許可する機能を持つ。更に、監査結果公表制御部2
35は、管理者属性に更に付与される組織の所属属性に
応じて監査結果を組織階層毎に公表し、ノード利用者の
要求に基づきそれぞれの組織階層において監査項目別の
監査結果も公表する機能を持つ。システムDB231
と、属性DB238のテーブル(TBL)構造は図4に
示されている。
【0024】システムDB231は、エージェントTB
L232、監査項目TBL233、エージェント最新ジ
ョブTBL234、エージェントジョブ履歴TBL23
5、エージェント最新監査結果TBL236、エージェ
ント監査結果履歴TBL237で構成される。エージェ
ントTBL232は、エージェントのIPアドレスであ
るエージェントIDの他に、エージェント名、OSバー
ジョン、エージェントが提供するサービス名(HTT
P、FTP、TELNET、SMTP、DNS)、利用
者ID、エラー状態の各データフィールドから成り、ま
た、監査項目TBL233は、監査項目IDの他に、監
査項目名、モジュール名の各フィールドから構成され
る。
【0025】エージェント最新ジョブTBL234は、
エージェントID、監査項目IDの他に、監査ジョブを
実行したマネージャのIPアドレスであるマネージャI
D、ジョブ番号、監査開始日時、監査終了日時、NGフ
ラグから成り、エージェントジョブ履歴TBL235
は、エージェントID、監査項目IDの他に、マネージ
ャID、ジョブ番号、監査開始日時、監査終了日時、N
Gフラグの各データフィールドから構成される。エージ
ェント最新監査結果TBL236は、エージェントI
D、監査項目IDの他に、監査結果メッセージのそれぞ
れ、データ番号、タイトル、説明、名前、情報、レベル
の各データフィールドから成り、エージェント監査結果
履歴TBL237は、エージェントID、監査項目ID
の他に、監査結果メッセージのそれぞれ、データ番号、
タイトル、説明、名前、情報、レベルの各データフィー
ルドから構成される。
【0026】属性DB238は、利用者TBL239
と、所属属性TBL240で構成される。利用者TBL
239は、利用者のログインIDである利用者IDの他
に、パスワード、担当コード、権限種別(管理権限と一
般権限)を示す利用者種類から成る。また、所属属性T
BL240は、ここでは、事業本部、事業部、統括部、
担当の4組織階層で構成され、階層毎、事業本部コード
と事業本部名、事業部コードと事業部名と事業本部コー
ド(事業部が属す)、統括部コードと統括部名と事業部
コード(統括部が属す)、担当コードと担当名と統括部
コード(担当が属す)のそれぞれのデータフィールドか
ら成る。
【0027】図5、図6は、図1〜図5に示す本発明実
施形態の動作を説明するために引用したフローチャート
であり、具体的には、本発明のセキュリティ監査支援プ
ログラムの処理手順を示す。また、図7〜図11は、ネ
ットワーク機器に表示される表示画面構成の一例を示
す。以下、図5〜図11を参照しながら図1〜図4に示
す本発明実施形態の動作について詳細に説明する。
【0028】まず、セキュリティ監査対象ネットワーク
1のノード利用者は、自身のネットワーク機器を用いて
ログイン処理を行なう。すなわち、図示せぬ初期画面
に、利用者IDとパスワードを入力してログインを行な
う。ここで、利用者IDとは、システムへログインする
ためのIDであり、管理者権限と一般権限の別があるこ
とは上述したとおりである。ログインの結果、図7
(a)に示されるメニュー画面が表示される(ステップ
S501)。図7(a)に示されるように、ここでは、
3種類のメニュー選択が可能となっている。一つは、
「1.組織別監査結果概要」であり、ログインした利用
者IDの権限に従い、全社から担当に至る監査結果情報
の閲覧および監査実行登録設定が可能である。他の一つ
は、「2.自端末監査結果詳細」であり、ネットワーク
機器の監査結果情報を閲覧出来る。更に他の一つは、
「3.自端末への監査実行依頼」であり、ネットワーク
機器の監査実行登録設定が可能である。なお、メニュー
2、3共に、ログインした利用者が該当ネットワーク機
器の担当者であるか、権限を有する管理者である場合に
のみ選択可能である。
【0029】まず、ステップS502で「1.組織別監
査結果概要」が選択されたとする。このことにより、図
7(b)に示す全社(事業本部別)監査結果概要画面が
表示される(ステップS503)。ここでは、事業本部
別の監査結果NGとなった端末数、NG発生総数が表示
され、ここで事業本部名を選択する(ステップS50
4)ことによって図8(a)に示す事業部別監査結果概
要画面を表示することが可能である(ステップS50
5)。ここで、監査結果NGとなった端末数(NGエー
ジェント数)とは、いずれかの監査項目についてNGが
出ているエージェントの総数をいい、エージェントTB
L232からエラー状態が1または2のものを事業本部
毎に集計することにより求める。また、NG発生総数と
は、各事業本部毎の総NG数であり、エージェント最新
監査結果TBL236のレコードを事業本部毎に集計す
ることにより算出され、ここでは、レベルが1または2
のもののみカウントするものとする。
【0030】なお、管理者以外は、利用者が所属する事
業本部のみ選択が可能である。また、画面左下にある
「監査項目別一覧表示」ボタンを選択することにより、
図7(c)に示す監査項目別結果概要(全社)を表示す
ることもできる(ステップS516)。こごては、監査
項目として、アカウント完全性、パスワード強度、OS
パッチ等、具体的な監査項目毎のNGエージェント数、
NG数合計が示される。更に、監査項目別結果概要(全
社)画面右下にあるバックボタン(符号B)を選択(ス
テップS517)することにより、ステップS503の
全社監査結果概要用画面へ戻り、キャンセルボタン(符
号C)を選択することによりステップS501のメニュ
ー画面表示へ戻ることも可能である。
【0031】図8(a)に示す事業部別監査結果概要画
面において、事業部を選択(ステップS506)するこ
とにより、図8(c)に示す統括部別監査結果概要画面
が表示される(ステップS507)。なお、管理者以外
は、利用者が所属する事業部のみ選択が可能である。ま
た、画面左下にある「監査項目別一覧表示」ボタンを選
択することにより、図8(b)に示す監査項目別結果概
要(事業本部)を表示することもできる(ステップS5
18)。更に、画面右下にあるバックボタン(符号B)
を選択(ステップS519)することにより、ステップ
S505の事業部別監査結果概要用画面へ戻り、キャン
セルボタン(符号C)を選択することによりステップS
501のメニュー画面表示へ戻ることも可能である。
【0032】図8(c)に示す統括部別監査結果概要画
面において、統括部を選択(ステップS508)するこ
とにより、図9(b)に示す担当別監査結果概要画面が
表示される(ステップS509)。なお、管理者以外
は、利用者が所属する統括部のみ選択が可能である。ま
た、画面左下にある「監査項目別一覧表示」ボタンを選
択することにより、図9(c)に示す監査項目別結果概
要(統括部)を表示することもできる(ステップS52
0)。更に、画面右下にあるバックボタン(符号B)を
選択することにより(ステップS521)、ステップS
507の統括部別監査結果概要用画面へ戻り、キャンセ
ルボタン(符号C)を選択することによりステップS5
01のメニュー画面表示へ戻ることも可能である。
【0033】図9(b)に示す担当別監査結果概要画面
において、担当を選択(ステップS510)することに
より、図10(a)に示すエージェント別監査結果概要
画面が表示される(ステップS511)。なお、管理者
以外は、利用者が所属する統括部のみ選択が可能であ
る。また、画面左下にある「監査項目別一覧表示」ボタ
ンを選択することにより、図10(b)に示す監査項目
別結果概要(担当)を表示することもできる(ステップ
S522)。更に、画面右下にあるバックボタン(符号
B)を選択(ステップS523)することにより、ステ
ップS509の担当別監査結果概要用画面へ戻り、キャ
ンセルボタン(符号C)を選択することによりステップ
S501のメニュー画面表示へ戻ることも可能である。
【0034】図10(a)に示すエージェント別監査結
果概要画面において、エージェント名を選択することに
より(ステップS512)、図10(c)に示すエージ
ェント監査結果詳細画面が表示される(ステップS51
3)。ここでは、ステップS511で選択された対象エ
ージェントの監査結果の詳細(監査項目名、脆弱性名、
情報、レベル、監査終了日時)が表示される。また、画
面右下の監査依頼ボタンを選択することにより、これら
詳細に基づく監査登録設定が可能である。詳細は「3.
自端末への監査実行依頼」メニューのところで説明す
る。なお、図10(a)に示すエージェント別監査結果
概要画面において、画面右下の項目別一覧表示を選択
(ステップS514)することにより、図10(b)に
示す監査項目別結果詳細を表示することも可能である。
ここでは、監査項目について担当内エージェントについ
ての監査結果詳細が表示される(ステップS515)。
【0035】一方、ステップS501の処理において、
「2.自端末監査結果詳細」メニューが選択された場
合、アクセス権限がチェックされ(ステップS53
2)、ログインしたユーザが該当ネットワーク機器の担
当者であるか、権限を有する管理者である場合にのみメ
ニュー実行が許可される。ここでメニュー実行が許可さ
れた場合、図10(c)に示すエージェント監査結果詳
細画面が表示される(ステップS513)。
【0036】また、ステップS501の処理において、
「3.自端末への監査実行依頼」メニューが選択された
場合、アクセス権限がチェックされ(ステップS52
4)、ログインしたユーザが該当ネットワーク機器の担
当者であるか、権限を有する管理者である場合にのみメ
ニュー実行が許可される。ここで、メニュー実行が許可
された場合、図11(b)に示す、対象エージェントへ
の監査依頼画面が表示される(ステップS525)。こ
こで、利用者は、具体的な監査項目をチェックし(ステ
ップS526)、かつ、監査開始時刻を設定(ステップ
S527)して登録ボタンをクリックする(ステップS
528)。このことにより、図11(c)に示す監査依
頼確認画面が表示される(ステップS529)。なお、
監査依頼画面において、右下に示すバックボタン(符号
B)を選択することにより、図10(c)に示すエージ
ェント監査結果詳細画面に戻り、キャンセルボタン(符
号C)を選択することにより、図7(a)に示すメニュ
ー画面に戻る(ステップS530)。
【0037】登録ボタンを選択することにより(ステッ
プS530)、システムDB231の内容が更新され、
監査依頼確認画面として表示された監査項目がセキュリ
ティ監査実行管理サーバ11に渡され、EMSによる監
査が実行されるものとする(ステップS531)。
【0038】以上説明のように、本発明は、自ノードへ
の監査実行登録、ならひに自ノードの監査結果の参照
を、例えば、ウェブブラウザを用いて行なう等、セキュ
リティ監査を自主的に行なえる環境作りを行なうことで
継続的なセキュリティ対策を支援し、能動的なセキュリ
ティ対策を実現するものである。監査対象となるノード
には管理者属性を持たせ、各管理者には組織の所属属性
を持たせることにより、アクセス権限を持つ利用者のみ
が監査結果が参照できる構成となっており、更に、組織
毎集計情報を算出して比較表示を行うことにより、部門
別の自主的なセキュリティ対策の実施を競争させること
も可能である。なお、上記した本発明実施形態において
は、監査登録設定部22、監査結果公表部23、監査実
行登録設定要求送信部222、DB更新部232、監査
結果選択送信部233、アクセス権限認証部234、監
査結果公表制御部235のそれぞれで実行される手順を
コンピュータ読取り可能な記録媒体に記録し、この記録
媒体に記録されたプログラムをコンピュータシステムに
読み込ませ、実行することにより、本発明のループ広告
配信システムが実現されるものとする。ここでいうコン
ピュータシステムとは、OSや周辺機器等のハードウア
を含むものである。
【0039】更に、「コンピュータシステム」は、WW
Wシステムを利用している場合であれば、ホームページ
提供環境(あるいは表示環境)も含むものとする。ま
た、「コンピュータ読取り可能な記録媒体」とは、RO
Mの他に、フレキシブルディスク、光磁気ディスク、C
D−ROM等の可搬媒体、コンピュータシステムに内蔵
されるハードディスク等の記憶装置のことをいう。さら
に「コンピュータ読取り可能な記録媒体」とは、インタ
ーネット等のネットワークや電話回線等の通信回線を介
してプログラムが送信された場合のシステムやクライア
ントとなるコンピュータシステム内部の揮発性メモリ
(RAM)のように、一定時間プログラムを保持してい
るものも含むものとする。
【0040】また、上記プログラムは、このプログラム
を記憶装置等に格納したコンピュータシステムから、伝
送媒体を介して、あるいは、伝送媒体中の伝送波により
他のコンピュータシステムに伝送されてもよい。ここ
で、プログラムを伝送する「伝送媒体」は、インターネ
ット等のネットワーク(通信網)や電話回線等の通信回
線(通信線)のように情報を伝送する機能を有する媒体
のことをいう。また、上記プログラムは、前述した機能
の一部を実現するためのものであっても良い。さらに、
前述した機能をコンピュータシステムにすでに記録され
ているプログラムとの組み合わせで実現できるもの、い
わゆる差分ファイル(差分プログラム)であっても良
い。
【0041】以上、この発明の実施形態について図面を
参照して詳述してきたが、具体的な構成はこの実施形態
に限られるものではなく、この発明の要旨を逸脱しない
範囲の設計等も含まれる。
【0042】
【発明の効果】以上説明のように本発明によれば、監査
対象ネットワークを構成する各ネットワーク機器は、自
ノードへの監査実行登録、ならびに自ノードの監査結果
の参照を、例えば、ウェブブラウザを用いて行なうこと
ができ、利用者に利便性を提供する他に、対策実施後の
再監査により漏れのない対策が可能となり、自主的に監
査を行なう環境が整うため能動的なセキュリティ対策を
実現することができる。
【図面の簡単な説明】
【図1】 本発明におけるセキュリティ監査方法を実現
するセキュリティ監査システムの構成の一例を説明する
ために引用した図である。
【図2】 本発明において使用されるセキュリティ監査
実行管理サーバ11の概略内部構成を示すブロック図で
ある。
【図3】 本発明のセキュリティ監査支援システムが実
装されるセキュリティ監査支援サーバの内部構成を機能
展開して示したブロック図である。
【図4】 本発明において用いられるシステムDBと、
属性DB238のテーブル構造を説明するために引用し
た図である。
【図5】 本発明実施形態の動作を説明するために引用
したフローチャートである。
【図6】 本発明実施形態の動作を説明するために引用
したフローチャートである。
【図7】 本発明において使用されるネットワーク機器
の表示画面構成の一例を示す図である。
【図8】 本発明において使用されるネットワーク機器
の表示画面構成の一例を示す図である。
【図9】 本発明において使用されるネットワーク機器
の表示画面構成の一例を示す図である。
【図10】 本発明において使用されるネットワーク機
器の表示画面構成の一例を示す図である。
【図11】 本発明において使用されるネットワーク機
器の表示画面構成の一例を示す図である。
【符号の説明】
1…セキュリティ監視対象ネットワーク、2…セキュリ
ティ監査支援サーバ、3…IPネットワーク網、11…
セキュリティ監査実行管理サーバ、12(13、14、
15)…ネットワーク機器、21…通信インタフェース
部、22…監査登録設定部、23…監査結果公表部、2
21…監査実行登録設定要求リストDB、222…監査
実行登録設定要求送信部、231…システムDB、23
2…DB更新部、233…監査結果選択送信部、234
…アクセス権限認証部、235…監査結果公表制御部、
238…属性DB

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 セキュリティ監査の実行を管理する監査
    実行管理コンピュータを備えたセキュリティ監査対象ネ
    ットワークとは通信回線を介して接続されるセキュリテ
    ィ監査支援システムであって、 前記セキュリティ監査対象ネットワークを構成する各ノ
    ードから自ノードの監査実行登録要求を受付け、前記監
    査実行管理コンピュータに監査実行を要求する監査実行
    登録設定手段と、 前記ノード毎、あらかじめ付与されたアクセス権限に応
    じて前記監査実行管理コンピュータによる監査結果を公
    表する監査結果公表手段と、 を備えたことを特徴とするセキュリティ監査支援システ
    ム。
  2. 【請求項2】 前記監査実行登録設定手段は、 前記ノードを介して入力される監査項目をテンポラリな
    情報として保持し、前記監査実行登録設定要求を前記監
    査実行管理コンピュータに転送する監査実行登録要求送
    信手段を備えたことを特徴とする請求項1に記載のセキ
    ュリティ監査支援システム。
  3. 【請求項3】 前記監査結果公表手段は、 前記監査実行管理コンピュータから取り込んだ監査結果
    の中から最新情報を取得してシステムDBに反映させる
    DB更新手段と、 前記ノードを利用する利用者の選択に基づき前記監査結
    果を公表する監査結果送信手段と、 を備えたことを特徴とする請求項1に記載のセキュリテ
    ィ監査支援システム。
  4. 【請求項4】 前記監査結果公表手段は、 前記アクセス権限を付与するために前記監査対象となる
    ノードが持つ管理者属性に基づき前記ノードに監査結果
    の参照を許可するアクセス権限認証手段を備えたことを
    特徴とする請求項1から請求項3のうちいずれかに記載
    のセキュリティ監査支援システム。
  5. 【請求項5】 前記監査結果公表手段は、 前記管理者属性に更に付与される組織の所属属性に応じ
    て前記監査結果を組織階層毎に公表し、前記ノード利用
    者の要求に基づき前記それぞれの組織階層において前記
    監査項目別の監査結果も公表する監査結果公表制御手段
    を備えたことを特徴とする請求項4に記載のセキュリテ
    ィ監査支援システム。
  6. 【請求項6】 セキュリティ監査の実行を管理する監査
    実行管理コンピュータを備えたセキュリティ監査対象ネ
    ットワークとは通信回線を介して接続されたセキュリテ
    ィ監査システムのためのセキュリティ監査支援方法であ
    って、 前記セキュリティ監査対象ネットワークを構成するノー
    ドから自ノードの監査実行登録要求を受付け、前記監査
    実行管理コンピュータに監査実行を要求し、 前記ノード毎、あらかじめ付与されたアクセス権限に応
    じて前記監査実行管理コンピュータによる監査結果を公
    表すること、を特徴とするセキュリティ監査支援方法。
  7. 【請求項7】 セキュリティ監査の実行を管理する監査
    実行管理コンピュータを備えたセキュリティ監査対象ネ
    ットワークとは通信回線を介して接続されたセキュリテ
    ィ監査支援システムに用いられるセキュリティ監査支援
    プログラムであって、 前記セキュリティ監査対象ネットワークを構成するノー
    ドから自ノードの監査実行登録要求を受付け、前記監査
    実行管理コンピュータに監査実行を要求する監査実行登
    録設定ステップと、 前記ノード毎、あらかじめ付与されたアクセス権限に応
    じて前記監査実行管理コンピュータによる監査結果を公
    表する監査結果公表ステップと、をコンピュータに実行
    させるセキュリティ監査支援プログラム。
  8. 【請求項8】 前記監査結果公表ステップは、 前記アクセス権限を付与するために前記監査対象となる
    ノードが持つ管理者属性に基づき前記ノードに監査結果
    の参照を許可するステップを含み、前記ステップをコン
    ピュータに実行させる請求項7に記載のセキュリティ監
    査支援プログラム。
  9. 【請求項9】 前記監査結果公表ステップは、 前記管理者属性に更に付与される組織の所属属性に応じ
    て前記監査結果を組織階層毎に公表するステップと、 前記ノード利用者の要求に基づき前記それぞれの組織階
    層において前記監査項目別の監査結果も公表するステッ
    プとを含み、前記各ステップをコンピュータに実行させ
    る請求項8に記載のセキュリティ監査支援プログラム。
JP2001341185A 2001-11-06 2001-11-06 セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム Pending JP2003140987A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001341185A JP2003140987A (ja) 2001-11-06 2001-11-06 セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001341185A JP2003140987A (ja) 2001-11-06 2001-11-06 セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム

Publications (1)

Publication Number Publication Date
JP2003140987A true JP2003140987A (ja) 2003-05-16

Family

ID=19155257

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001341185A Pending JP2003140987A (ja) 2001-11-06 2001-11-06 セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム

Country Status (1)

Country Link
JP (1) JP2003140987A (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006235895A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム
JP2006244373A (ja) * 2005-03-07 2006-09-14 It Service:Kk 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム
JP2008070467A (ja) * 2006-09-12 2008-03-27 Ricoh Co Ltd 画像形成装置
JP2012048556A (ja) * 2010-08-27 2012-03-08 Toshiba It Service Kk リモートセキュリティ診断システム
JP2012088891A (ja) * 2010-10-19 2012-05-10 Hitachi Systems Ltd セキュリティ診断システムおよび方法ならびにプログラム
JP5751376B1 (ja) * 2014-09-17 2015-07-22 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
JP2021152929A (ja) * 2015-09-15 2021-09-30 日本電気株式会社 端末管理装置、端末管理方法、およびプログラム

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006235895A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム
JP4575190B2 (ja) * 2005-02-24 2010-11-04 三菱電機株式会社 監査ログ分析装置及び監査ログ分析方法及び監査ログ分析プログラム
JP2006244373A (ja) * 2005-03-07 2006-09-14 It Service:Kk 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム
JP4728017B2 (ja) * 2005-03-07 2011-07-20 東芝Itサービス株式会社 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム
JP2008070467A (ja) * 2006-09-12 2008-03-27 Ricoh Co Ltd 画像形成装置
JP2012048556A (ja) * 2010-08-27 2012-03-08 Toshiba It Service Kk リモートセキュリティ診断システム
JP2012088891A (ja) * 2010-10-19 2012-05-10 Hitachi Systems Ltd セキュリティ診断システムおよび方法ならびにプログラム
JP5751376B1 (ja) * 2014-09-17 2015-07-22 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
JP2021152929A (ja) * 2015-09-15 2021-09-30 日本電気株式会社 端末管理装置、端末管理方法、およびプログラム
JP7255636B2 (ja) 2015-09-15 2023-04-11 日本電気株式会社 端末管理装置、端末管理方法、およびプログラム

Similar Documents

Publication Publication Date Title
US7627891B2 (en) Network audit and policy assurance system
US9094434B2 (en) System and method for automated policy audit and remediation management
US7903656B2 (en) Method and system for message routing based on privacy policies
JP4692251B2 (ja) アクセスを提供するコンピュータシステム及びその管理方法
US8548916B2 (en) Managing passwords used when detecting information on configuration items disposed on a network
US20040002943A1 (en) Systems and methods for application delivery and configuration management of mobile devices
US20040205689A1 (en) System and method for managing a component-based system
US8255507B2 (en) Active directory object management methods and systems
US20060224623A1 (en) Computer status monitoring and support
JP2001514832A (ja) インターネットワークおよびイントラネットワーク活動を管理するための方法及び装置
US8086701B2 (en) Platform for managing and configuring network state
US20110271321A1 (en) Access control
US20050114625A1 (en) Processing device security setting configuration system and user interface
JP2003140987A (ja) セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム
US20050125689A1 (en) Processing device security management and configuration system and user interface
US7845001B2 (en) Method and system for managing secure platform administration
JP2003263325A (ja) 情報環境設定システム、プログラム及び方法
US7739328B1 (en) Traffic manager for distributed computing environments
US9137227B2 (en) Matching entitlement information for multiple sources
CN109829284A (zh) 一种整合Linux与Windows操作系统统一用户认证的方法
JP2011197807A (ja) アクセス制御システム、ポリシー生成方法、およびアクセス権限管理サーバ装置
JP2001202303A (ja) ネットワーク情報システム
Neumann et al. Universal Utility Data Exchange (UUDEX) Workflow Design

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040924

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070227

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070703