JP2004178033A - 分散システムにおけるセキュリティ管理支援方法およびプログラム - Google Patents

分散システムにおけるセキュリティ管理支援方法およびプログラム Download PDF

Info

Publication number
JP2004178033A
JP2004178033A JP2002340266A JP2002340266A JP2004178033A JP 2004178033 A JP2004178033 A JP 2004178033A JP 2002340266 A JP2002340266 A JP 2002340266A JP 2002340266 A JP2002340266 A JP 2002340266A JP 2004178033 A JP2004178033 A JP 2004178033A
Authority
JP
Japan
Prior art keywords
agent
virus
information
security
priority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002340266A
Other languages
English (en)
Inventor
Motoharu Ito
元晴 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2002340266A priority Critical patent/JP2004178033A/ja
Publication of JP2004178033A publication Critical patent/JP2004178033A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】セキュリティ管理支援方法により、分散システムにおける計算機環境のウィルス対策やセキュリティホール対策を自動的に行う。
【解決手段】サーバエージェントは、新しいウィルスデータ(または、セキュリティホールデータ)が一つ更新される度に、対処するエージェントを一つ生成する。また、サーバエージェントは、更新サービスから提供されたウィルス情報やセキュリティホール情報を用いて、被害が大きそうな計算機から優先的にエージェントを送る。各計算機では、各エージェントが、ウィルス情報やセキュリティホール情報をもとに優先度を計算を行い、その結果を他のエージェントに通知し、優先度の高いエージェントから処理を実行する。それにより、被害をできるだけ低く抑える。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、エージェントを用いたセキュリティ管理支援方法に関するものである。
【0002】
【従来の技術】
従来、分散システムにおいて、セキュリティホール対策を行うためには、システム管理者が、必要な情報をWebやベンダから入手し、それをもとに分析し、判断を行い、システム全体の計算機に対して、対策を行っていた。このため、システム管理者にとって、セキュリティホール対策は大きな負担となっていた。
【0003】
また、ある装置がウィルスに感染していることを検出したときに、感染が検出された装置だけでなく、システム内の他の装置にも自動的にウィルス駆除プログラムを実行させ、システムを感染から守るものもあった(例えば、特許文献1参照)。
【0004】
しかし、このような従来のシステムは、ウィルスのみを対象としており、セキュリティホール対策も同時に行ってはいなかった。また、被害が大きいと予想されるウィルスやセキュリティホールから早急に対策を行ってはいなかった。このため、ウィルス感染やセキュリティホールにより多額の損害を被る可能性があった。
【0005】
【特許文献1】
特開平11−161517号公報(第2−3頁、第1図)
【0006】
【発明が解決しようとする課題】
システム管理者にとって、セキュリティホール対策やウィルス対策を行うために必要な情報を分析・判断を行う作業は、負担が大きい。システム管理者やユーザがウィルスやセキュリティホールなどの一つ一つの技術情報を理解して対策方法を考えなくても、エージェントを使って、被害が大きくなりそうな計算機から優先的に対策を行い、被害をできるだけ抑える。
【0007】
【課題を解決するための手段】
本発明におけるコンピュータを用いたセキュリティ管理支援方法であって、前記コンピュータは、他のコンピュータから、少なくともウイルス管理情報とセキュリテイ管理情報のいずれか1つを含む情報を受信し、前記受信した情報にもとづいて、他のコンピュータから受信した複数のエージェントプログラムの適用優先度を決定し、決定した前記エージェントプログラムの適用優先度にもとづいて、受信した複数の前記エージェントプログラムのうちのいずれかを実行する。
【0008】
また、本発明は、クライアントにインベントリ情報を持ち、サーバにウィルス情報リストとセキュリティホール情報リストとウィルス駆除プログラムとウィルス予防プログラムとセキュリティパッチを持ち、クライアントのインベントリ情報をもとに、ウィルス駆除プログラムやウィルス予防プログラムやセキュリティパッチを適用するための優先度を求め、ウィルス駆除プログラムやウィルス予防プログラムやセキュリティパッチをクライアントに適用することにより分散システムにおけるセキュリティ管理を行う。
【0009】
【発明の実施の形態】
本発明の実施の形態を、図面を用いて詳細に説明する。
図1は全体の構成図である。
図1において、データベース103、109と更新サービス100と管理サーバ104と複数の計算機110、112、113はネットワーク115を介して、接続されている。
【0010】
更新サービス100は情報提供プログラム101とデータベース更新プログラム102を含む。また、更新サービス100のデータベース103は、更新サービスから送られるウィルス名登録リスト(詳細を図10に示す)と更新サービスから送られるセキュリティホールリスト名登録リスト(詳細を図13に示す)とウィルス検出プログラムとウィルス駆除プログラムとウィルス予防プログラムとセキュリティ検出プログラムとセキュリティパッチを格納している。更新サービス100は管理サーバ104に一定時間おきにデータベース103の差分情報を提供する。
【0011】
管理サーバ104は、サーバエージェント105と情報受信プログラム106とウィルス対策エージェント107とセキュリティホール対策エージェント108を含んでいる。
【0012】
データベース109は、ウィルス感染リスト(詳細を図3に示す)とウィルス情報リストと更新サービスから送られるウィルス名登録リストとセキュリティホール検出リスト(詳細を図4に示す)とセキュリティホール情報リストと更新サービスから送られるセキュリティホールリスト名登録リストとウィルス検出プログラムとウィルス駆除プログラムとウィルス予防プログラムとセキュリティ検出プログラムとセキュリティパッチと分散システム内のウィルス感染件数リスト(詳細を図5に示す)と分散システム内のセキュリティホール検出件数リスト(詳細を図6に示す)とエージェント別対策済みの計算機チェックリスト(詳細を図15に示す)を格納している。データベース109の全ての情報は、更新サービスから送られてきた差分情報が送られてくる度に更新される。
【0013】
計算機110は、ウィルス対策エージェント107とセキュリティホール対策エージェント108が移動してきていることを示している。ウィルス対策エージェント107は、ウィルス情報リストとウィルス検出プログラム、ウィルス駆除プログラム、ウィルス予防プログラムを運んできていることを示している。セキュリティホール対策エージェント108は、セキュリティホール情報リストとセキュリティホール検出プログラム、セキュリティパッチを運んできていることを示している。
【0014】
また、計算機112は、セキュリティホール対策エージェント108のクローンエージェントが移動してきていることを示している。
【0015】
また、計算機113は、ウィルス対策エージェント107のクローンエージェントが移動してきていることを示している。
また、各計算機のデータ領域にはエージェント実行優先度リスト116が格納されている。
【0016】
図2はウィルス対策エージェント107とセキュリティホール対策エージェント108とサーバエージェント105の構成図である。ウィルス対策エージェント107はエージェント優先度情報管理部200とウィルス情報管理部201から構成される。エージェント優先度情報管理部200は、エージェント別対策済み計算機チェックリスト(詳細を図15に示す)を管理している。ウィルス情報管理部201は、ウィルス情報リストとウィルス診断履歴リスト(詳細を図11に示す)とウィルス検出プログラムとウィルス駆除プログラムとウィルス予防プログラムとウィルス感染リストを管理している。
【0017】
セキュリティホール対策エージェント108はエージェント優先度情報管理部202とセキュリティホール情報管理部203から構成される。エージェント優先度情報管理部202は、エージェント別対策済み計算機チェックリストを管理している。セキュリティホール情報管理部203は、更新サービスから送られるセキュリティホール情報リストとセキュリティホール検出リストとパッチ適用診断履歴リストとセキュリティホール検出プログラムとセキュリティパッチを管理し、最新の情報を一定時間おきに提供している。
【0018】
サーバエージェント105は、エージェント管理部204を持つ。エージェント管理部204でウィルス対策エージェント107、セキュリティホール対策エージェント108を生成するプログラムである。更新サービス100から新しい情報が届く度に、管理サーバにおいてサーバエージェント105が新しく作成される。エージェント管理部204は、最新のウィルス名登録リストを参照し、新しいウィルスデータが1つ登録される度に、ウィルス対策エージェント107を1つ生成する。次に、最新のセキュリティホール名登録リストを参照し、新しいセキュリティホールデータが1つ登録される度に、セキュリティホール対策エージェント108を1つ生成する。サーバエージェント105は、エージェント管理部204でウィルス対策エージェント107やセキュリティホール対策エージェント108を生成する際に、データベース109から各エージェントが必要なプログラムを取得し、エージェントに持たせる。エージェント管理部204は、ウィルス対策エージェント107やセキュリティホール対策エージェント108を送信する。
【0019】
図3のウィルス感染リストでは、分散システム内の各計算機が各ウィルスに対して感染しているか否かの情報を管理している。
【0020】
図4のセキュリティホール検出リストは、分散システム内の各計算機において、各セキュリティホールが検出されたか否かの情報を管理している。
【0021】
図5の分散システム内のウィルス感染件数リストは、各ウィルスに感染している分散システム内の計算機数の情報を管理している。このリストは、ウィルス対策エージェント107が分散システム内の計算機に移動し、ウィルス検出プログラムを使った結果を集計したものである。各ウィルス対策エージェント107の親エージェントが登録する。
【0022】
図6の分散システム内のセキュリティホール検出件数リストは、各セキュリティホールが検出された分散システム内の計算機数の情報を管理している。このリストは、セキュリティホール対策エージェント108が分散システム内の計算機に移動し、セキュリティホール検出プログラムを使った結果を集計したものである。各セキュリティホール対策エージェント108の親エージェントが登録する。
【0023】
図7のエージェント実行優先度リストは、エージェントIDと、エージェントの優先度を管理している。エージェント実行優先度リストは、各計算機がデータ格納領域に所持している。エージェントが移動先の計算機において処理を行う際に、他のクローンエージェントから優先度通知があった場合、相手のエージェントIDと優先度をエージェント実行優先度リストに登録する。
エージェントIDは、エージェントが作成されたときにつけられる。
【0024】
図8は、エージェントが他のエージェントに優先度を通知する際のパケット情報を示している。パケット情報として、エージェントIDと優先度を持っている。
【0025】
図9のウィルス情報リストは、作成日付、更新日付、ウィルスの危険度情報、世の中で報告されたウィルス感染の被害件数、検出プログラム名、駆除プログラム名、予防プログラム名が載っている。ウィルス情報リストには、更新サービスから送られるウィルス名登録リスト(詳細を図10に示す)の差分情報を登録する。サーバエージェント105が、ウィルス対策エージェント107を生成する際に参照する。
【0026】
図10の更新サービスから送られるウィルス名登録リストには、日付とウィルス名が登録された情報を管理している。更新サービスから送られてくるウィルス名登録リストは、一定時間おきに更新サービスから送られる。
【0027】
図11のウィルス診断履歴リストは、計算機名とウィルス名と日付を管理している。ウィルス診断履歴リストは、各計算機でいつ、どのウィルスを診断したかという情報を載せており、ウィルス対策エージェントが処理を終えた後に登録する。
【0028】
図12のセキュリティホール情報リストは、作成日付、更新日時、セキュリティホール名、危険度、検出プログラム名、セキュリティパッチ名、包含パッチ名、前提パッチ名を管理している。セキュリティホール情報リストには、更新サービスから送られるセキュリティホール名登録リスト(詳細を図13に示す)の差分情報を登録する。サーバエージェントが、セキュリティホール対策エージェントを生成する際に参照する。
【0029】
図13の更新サービスから送られるセキュリティホール名登録リストには、日付とセキュリティホール名、危険度、検出プログラム名、セキュリティパッチ名、包含パッチ名、前提パッチ名が登録されている。更新サービスから送られてくるセキュリティホール名登録リストは、一定時間おきに更新サービスから管理サーバに送られる。
【0030】
図14のパッチ適用診断診断履歴リストは、計算機名と日付とセキュリティパッチ名を管理している。パッチ適用診断履歴リストは、各計算機でいつ、どのセキュリティパッチを当てたかという情報を載せており、セキュリティホール対策エージェントが処理を終えた後に登録する。
【0031】
図15のエージェント別対策済み計算機チェックリストには、エージェントIDと計算機名とシステム種別とチェックの有無が管理されている。エージェント別対策済み計算機チェックリストは各エージェントが分散システム内の各計算機を対処したかどうかをチェックする。
【0032】
図16は、ウィルス対策エージェント107またはセキュリティホール対策エージェント108がクローンエージェントを作成し、エージェント優先度を計算するフローである。サーバエージェント105は、最新のウィルス名登録リスト、または最新のセキュリティホール名登録リストが更新サービスによって更新されるたびに新しいウィルスにつき一つ、または、新しいセキュリティホールにつき一つ親エージェントを生成する(ステップ1600)。次に、親エージェントに起動通知を出す(ステップ1601)。
【0033】
次に親エージェントはクローンエージェントの作成を行う(ステップ1602)(詳細を、図29に示す)。次に親エージェントは、各クローンエージェントに移動通知を出す(ステップ1602)。次に各クローンエージェントは、自分の担当する計算機に移動する(ステップ1603)。移動後、クローンエージェントは、ウィルス検出処理(親エージェントがウィルス対策エージェントの場合)、または、セキュリティホール検出処理(親エージェントが、セキュリティホール対策エージェントの場合)を行う(ステップ1605)。次に、クローンエージェントは、ウィルス検索処理結果(親エージェントがウィルス対策エージェントの場合)または、セキュリティホール検出処理結果(親エージェントがウィルス対策エージェントの場合)を親エージェントに通知する(ステップ1606)。
【0034】
親エージェントがウィルス対策エージェントの場合は、分散システム内のウィルス感染件数リストにウィルス感染件数を登録する。同様に、セキュリティホール対策エージェントの場合の親エージェントは、分散システム内のセキュリティホール感染件数リストにセキュリティホール検出件数を登録する。次に親エージェントは、エージェント優先度計算(ステップ1607)を行う。
【0035】
(ウィルス対策エージェントの場合の一例)
ウィルス対策エージェントの危険度をD1とする(ウィルス情報リストの危険度参照)。危険度は5段階である。数字が大きいほど危険度は高い。また、分散システム内の計算機においてウィルスに感染した計算機の数をC1とする(分散システム内のウィルス感染件数リストの感染件数参照)。また、分散システム内の全計算機の数をAとする。
【0036】
親エージェントは、D1、C1、Aの値を優先度算出式(数1)に代入し、優先度Pを計算する。
【0037】
【数1】
P = D1×{1+(C1)/A}
P: 優先度
D1: 危険度
C1: ウィルス感染した計算機の数
A: 全計算機の数
(セキュリティホール対策エージェントの場合の一例)
セキュリティホール対策エージェントの危険度をD2とする(セキュリティホール情報リストの危険度参照)。危険度は5段階である。数字が大きいほど危険度も高い。また、分散システム内の計算機においてセキュリティホールが検出された計算機の数をC2とする(分散システム内のセキュリティホール検出件数リストの検出件数参照)。また、分散システム内の全計算機の数をAとする。
【0038】
親エージェントは、D2、C2、Aの値を優先度算出式(数2)に代入し、優先度Pを計算する。優先度は数字が大きいほど優先度が高い。
【0039】
【数2】
P = D2×{1+(C2)/A}
P: 優先度
D2: 危険度
C2: セキュリティホールが検出された計算機の数
A: 全計算機の数
親エージェントは、エージェント優先度計算の結果を、各クローンエージェントに通知する(ステップ1608)。その後、クローンエージェントは、処理1(ウィルス対策エージェントの場合)または、処理2(セキュリティホール対策エージェントの場合)を行う。
【0040】
図17は、各計算機に送られたクローンエージェント(図17の説明において、エージェントと略す)がウィルス対策または、セキュリティホール対策を行う際に、他のエージェントによってエージェント優先度を通知された場合のフローを示している。ある計算機にエージェント1(1700)、エージェント2(1701)、エージェント3(1702)という順番で到着した例である。エージェント1は到着(ステップ1703)後、自分のエージェントIDと優先度を他のエージェントに通知する(ステップ1715)。
【0041】
しかし、この例では、他にエージェントがいないので、他エージェントからの通知がこない。エージェント1の優先度は1.362とする。通知後、処理を始める(ステップ1716)。エージェントは、優先度に応じて処理を進めることができる方式をとる。優先度が高ければ、早く進めることができるし、優先度が低ければ、処理を進めるのは遅くなる。これを実現するためには、一例としてタイマー処理を使う。優先度に応じて優先度が高いほど、処理の間に入る一定時間おきのスリープ処理が短いものとする。
【0042】
次にエージェント2が到着する(ステップ1704)。到着後、他のエージェントに自分のエージェントIDと優先度を他のエージェントに通知する(ステップ1705)。エージェント2の優先度は0.042とする。通知後、エージェント2は処理を始める(ステップ1706)。エージェント1は、エージェント実行優先度リストにエージェント2のエージェントIDと優先度を登録する。そして、優先度を比較する。しかし、エージェント1の優先度が高かったのでエージェント2に処理の中断通知を出す(ステップ1707)。
【0043】
次にエージェント3が、到着する(ステップ1708)。到着後、他のエージェントに自分のエージェントIDと優先度を他のエージェントに通知する(ステップ1709、1710)。エージェント3の優先度は0.097とする。通知後、エージェント3は処理を始める(ステップ1711)。エージェント1とエージェント2は、エージェント実行優先度リストにエージェント3のエージェントIDと優先度を登録する。そして、優先度を比較する。しかし、エージェント1の優先度が高かったのでエージェント3に処理の中断通知を出す(ステップ1712)。
【0044】
エージェント1が処理を終了すると、エージェント実行優先度リストを参照し、自分の次に優先度の高いエージェント3に実行通知を出す(ステップ1713)。エージェント3は、処理を再開する(ステップ1714)。
【0045】
優先度は、更新サービスからウィルス名登録リストまたは、セキュリティホール名登録リストが届く度に変わる。これは、更新サービスから情報を受け取ったサーバエージェントが親エージェントに通知し、親エージェントは各クローンエージェントに通知され、ウィルス情報リストや更新サービスから送られるウィルス名登録リストの情報が更新されるからである。更新される度に、各エージェントは、優先度を再度計算し、他のエージェントに通知し、処理を中断していたエージェントも処理を再開する。その後の処理は、上述と同様である。
【0046】
このように、受信したウイルス名登録リストやセキュリティホール名登録リストの内容と受信したタイミングに応じて優先度を変更することにより、コンピュータの環境およびネットワークの状況などに応じたセキュリティ対策が可能となる。
【0047】
図18は更新サービスによりウィルス情報リストまたはセキュリティホール情報リストが更新されたとき、クローンエージェントを作成する前までのフローである。
【0048】
まず、更新サービスから、最新のウィルス名登録リストまたはセキュリティホールリスト名登録リストが更新される(ステップ1800)。次に更新されたリストは、ウィルス名登録リストまたは、セキュリティホールリスト名登録リストのどちらかを判定する(ステップ1801)。
【0049】
もしウィルス名登録リストのデータが更新されていたら、クローンエージェントを作成する(ステップ1802)(詳細を図29に示す)。次に処理1(詳細を図19に示す)に続く。また、セキュリティホールリスト名登録リストが更新された(ステップ1801)場合も同様に、クローンエージェントを生成(ステップ1803)し、処理2(詳細を図24に示す)に続く。
【0050】
図19はクローンエージェントによるウィルス対策のフローである。クローンエージェントが移動する(ステップ1900)。次にエージェント実行優先度リストにエージェントIDと優先度を登録する(ステップ1901)。実行順番がくるのを待つ(ステップ1902)。次にウィルス検出プログラムを実行する(ステップ1903)。次にウィルス検索結果を親エージェントに通知する(ステップ1904)。通知結果から対象計算機がウィルスに感染しているか否かを判別し(ステップ1905)、もし、ウィルスに感染していないなら処理3(詳細を図20に示す)に行く。
【0051】
もし、対象計算機が、ウィルスに感染しているなら、親エージェントは、エージェント優先度を計算し、各クローンエージェントに通知する(ステップ1906)。次に、クローンエージェントは、ウィルス情報リストを検索し、必要なウィルス駆除プログラムを自分が所持しているかどうかを調べる(ステップ1907)。次にウィルス駆除プログラムがあるかないかを判別する(ステップ1908)。もしない場合なら処理5(詳細を図22に示す)へ行き、もしある場合は処理6(詳細を図23に示す)へ行く。
【0052】
図20はウィルス予防プログラム実行のフローである。まず、ウィルス情報リストを検索し、ウィルス予防プログラムを所持しているかどうかを調べる(ステップ2000)。もし、ウィルス予防プログラムを所持している場合は、処理6(詳細を図23に示す)に行く。所持していない場合は、スリープする(ステップ2001)。親エージェントが更新サーバからウィルス駆除プログラムを取得すると(ステップ2002)、クローンエージェントを新しく生成し(ステップ2003)、対象ホストに送信する(ステップ2004)。
【0053】
親エージェントは、古いクローンエージェントに消滅通知を出す(ステップ2005)。消滅通知を受け取った古いクローンエージェントは、消滅通知を受け取る直前まで行っていた処理情報を計算機上のデータ格納部に残しておく。次に処理6(図23)へ行く。
【0054】
図21は、他のエージェントにより、優先度の通知があった場合の処理を示すフローである。まず、自分の優先度と他のエージェントの優先度を比較し、同じであるか判定する(ステップ2100)。同じであれば処理11(詳細を図30に示す)にいく。次に、同じでない場合は、自分の優先度と他のエージェントの優先度を再度比較する(ステップ2101)。もし自分の優先度が他のエージェントの優先度より高ければ、通知してきたエージェントに処理の中断するよう通知を出す(ステップ2102)。次に処理が終了しているかを調べる(ステップ2103)。
【0055】
もし、終了しているならば、エージェント実行優先度リストから自分のエージェントIDを削除する(ステップ2104)。次にエージェント実行優先度リストから最も高いエージェントを探し、実行通知を出す(ステップ2105)。また、ステップ2101において自分の優先度の方が低いと判定されたとき、処理を中断する(ステップ2106)。次に実行通知があるか判定する(ステップ2107)。実行通知がなければこの判定処理を反復する。実行通知があれば中断していた処理を再開する(ステップ2108)。次に他のエージェントによる通知がないか判定する(ステップ2109)。通知があればステップ2100に行く。通知がなければステップ2103に行く。
【0056】
またステップ2103の処理終了判定において、処理が終了してなければ、ステップ2109に行く。
【0057】
図22は、ウィルス駆除対策をした後、分散システム内に、まだウィルス駆除対策を行っていない計算機がある場合の処理のフローである。最初、クローンエージェントはスリープ状態である(ステップ2200)。親エージェントが更新サーバからウィルス駆除プログラムを取得すると(ステップ2201)、クローンエージェントを新しく、生成し(ステップ2202)、対象ホストに送信する(ステップ2203)。親エージェントは、古いクローンエージェントに消滅通知を出す(ステップ2204)。消滅通知を受け取った古いクローンエージェントは、消滅通知を受け取る直前まで行っていた処理情報を計算機上のデータ格納部に残しておく。次に処理6(図23)へ行く。
【0058】
図23は、クローンエージェントがウィルス駆除処理またはウィルス予防処理がまだ行われていない計算機に移動するか消滅するフローである。まず実行順序が回ってきたら(ステップ2300)、適用するプログラムを実行する(ステップ2301)。このとき、古いクローンエージェントが以前に存在していた場合は、古いクローンエージェントが残した処理情報を先に計算機上のデータ格納部から取り出し、それを参照して処理を行う。次に他のクローンエージェントによるエージェント優先度の通知の有無を判定する(ステップ2302)。エージェント優先度の通知がある場合は、処理4へ行く(詳細を図21に示す)。通知がない場合は、処理を続け、終了する(ステップ2303)。
【0059】
次に、クローンエージェントは親エージェントに処理終了通知を出す(ステップ2304)。次に親エージェントによりウィルス対策がまだ行われていない計算機があるかどうかをエージェント別対策済み計算機チェックリストを検索し(ステップ2305)、なければ消滅(ステップ2306)する。ある場合は、親エージェントに未対処計算機を指定してもらい、移動する(ステップ2307)。
【0060】
図24は、セキュリティホール対策のフローである。まずクローンエージェントは、対象計算機に移動する(ステップ2400)。次にエージェント実行優先度リストにエージェントIDと優先度を登録する(ステップ2401)。次に、セキュリティホール検出プログラムを実行する(ステップ2402)。次にセキュリティホール検出結果を親エージェントに通知する(ステップ2403)。次に、セキュリティホールが検出されたかどうかを判別する(ステップ2404)。セキュリティホールが検出された場合、親エージェントはクローンエージェントにエージェント優先度結果を通知する(ステップ2405)。
【0061】
次に必要なセキュリティパッチを所持しているか調べる(ステップ2406)。セキュリティパッチを所持しているかどうかを判別し(ステップ2407)、もしセキュリティパッチがなければ、処理7(詳細を図25に示す)へ行く。セキュリティパッチがあれば処理8(詳細を図26に示す)に行く。また、他の親エージェントによるエージェント優先度通知があれば処理4(図21)にいく。また、セキュリティホールが検出されなかった場合、クローンエージェントは、親エージェントに対して処理終了通知を出す(ステップ2408)。
【0062】
次にまだ対策していない計算機があるか否かを確認する(ステップ2409)。もしあれば、その計算機に移動する(ステップ2411)。もしなければ、消滅してもよいし(ステップ2410)、スリープ状態に入ってもよい。
【0063】
図25は、セキュリティホール対策エージェントのクローンエージェントがセキュリティパッチを所持していないときのフローである。最初、クローンエージェントは、スリープ状態である(ステップ2500)。親エージェントが、セキュリティパッチを取得したら(ステップ2501)、それが新規パッチであるか(ステップ2502)を判別する。セキュリティパッチが無いときは、スリープし続ける。
【0064】
新規パッチではない場合、処理9(詳細を図27に示す)に行く。新規パッチである場合は、処理10(詳細は図28に示す)に行く。処理9または処理10が終了後、親エージェントは、クローンエージェントを生成する(ステップ2503)。次に、生成したクローンエージェントを対象計算機に送信する(ステップ2504)。次に親エージェントは、古いクローンエージェントに消滅通知を行う(ステップ2505)。実行順序が回ってくると(ステップ2506)、古いクローンエージェントが残した情報データを参照し、パッチ適用処理を実行する(ステップ2507)。他のクローンエージェントからのエージェント優先度通知の有無を調べる(ステップ2508)。
【0065】
もしエージェント優先度通知があれば、処理4(詳細を図21に示す)に行く。もしなければ、セキュリティホール情報リストにあるパッチ適用情報のパッチ実行形式に従って、パッチ適用処理を行う。次に、パッチ適用処理が成功したかどうかを調査する(ステップ2509)。もし成功していれば、クローンエージェントは、親エージェントに対して終了通知を行う(ステップ2510)。
【0066】
次にエージェントは、分散システム内に未対処計算機があるかどうかを確認し(ステップ2511)、あれば移動する(ステップ2512)。未対処計算機がなければ消滅する。また、パッチ適用処理が失敗した場合、ロールバック処理を行う(2513)。次にパッチ適用処理が失敗し、ロールバックを行ったことをセキュリティホール情報リストに登録し、ユーザにダイアログで通知する(ステップ2614)。最後にクローンエージェントは消滅する(ステップ2615)。
【0067】
図26はセキュリティホール対策エージェントのクローンエージェントがセキュリティパッチを所持している場合の処理フローである。まずセキュリティパッチが新規パッチであるかどうかを確認する(ステップ2600)。新規パッチである場合は処理10(詳細を図28に示す)に行く。従来パッチであるときは、処理9(詳細を図27に示す)に行く。処理9または処理10が終了後、セキュリティホール情報リストにある包含パッチ情報や前提パッチ情報(以下、パッチ適用情報と称す)に従って、パッチ適用処理を行う(ステップ2601)。
【0068】
次に、パッチ適用処理が成功したかどうかを調べる(ステップ2602)。もし成功していれば、クローンエージェントは、親エージェントに対して終了通知を行う(ステップ2603)。次にエージェントは、分散システム内にまだ対策していない計算機があるかどうかを確認し(ステップ2604)、あれば移動する(ステップ2605)。まだ対策していない計算機がなければ消滅する。また、パッチ適用処理が失敗したならば、ロールバック処理(ステップ2606)を行う。次にパッチ適用処理が失敗し、ロールバックを行ったことをセキュリティホール情報リストに登録し、ユーザにダイアログで通知する(ステップ2607)。最後にクローンエージェントは消滅する(ステップ2608)。
【0069】
図27は、既存のセキュリティパッチを適用するフローである。まず、セキュリティーホール情報リストのパッチ適用情報(包含パッチ、前提パッチ)を検索する(ステップ2700)。次に、パッチ適用情報にあるかどうかを確認する(ステップ2701)。もしあれば終了である。パッチ適用情報に登録済みでなければ登録する(ステップ2702)。次にパッチ適用情報の排他条件を検索する(ステップ2703)。
【0070】
次に、パッチが適用可能であるかどうかを確認する(ステップ2704)。もしパッチ適用が可能でないときは、終了する。もしパッチ適用が可能なとき(ステップ2704)は、包含関係検索処理を行う(ステップ2705)。包含関係検索処理は、公知例を用いる。包含関係検索処理が終了後、前後関係検索処理(ステップ2706)を行う。前後関係検索処理は公知例を用いる。
【0071】
図28は、新規のセキュリティパッチを適用するフローである。まず、計算機内のインベントリ情報を調べ(ステップ2800)、パッチ適用が可能かどうかを調べる(ステップ2801)。可能でなければ終了し、可能であればパッチ適用情報をセキュリティホール情報リストの包含パッチ名または、前提パッチ名に登録(ステップ2802)する。次に前後関係を検索する(ステップ2804)。最後に未適用の前提パッチおよび事後パッチを反映したパッチ適用情報をセキュリティホール情報リストのパッチ適用情報に登録する(ステップ2804)。
【0072】
図29はクローンエージェントの作成のフローである。まず、親エージェントはサーバエージェントから起動通知を受ける。(ステップ2900)。次に分散システム内の計算機の数が何台あるか調べる(ステップ2901)。分散システム内にある計算機の数分だけ、エージェントを作成する(ステップ2902)。
【0073】
図30は、エージェントの優先度比較処理のフローである。まず、自分が、ウィルス対策エージェントであるかを判定する(ステップ3000)。もし、ウィルス対策エージェントであった場合、通信相手がウィルス対策エージェントであるかどうかを判定する(ステップ3001)。もし、自分がセキュリティホール対策エージェントであった場合、図21の処理4−1へいく。
もし、相手がウィルス対策エージェントであったとき、通信相手にウィルス感染件数の増加率を問合せる(ステップ3002)。
【0074】
ウィルス感染件数の増加率は、前回取得分のウィルス情報リストの感染件数と今回取得分のウィルス情報リストの感染件数から計算する。同様に、自分のウィルス感染件数の増加率を計算する(ステップ3003)。次に通信相手のウィルス感染件数の増加率と自分のウィルス感染件数の増加率を比較する(ステップ3004)。
【0075】
次にウィルス感染件数の増加率は等しいかどうかを判定する(ステップ3005)。もし等しければ図21の処理4−1にいく。
もし等しくなければ増加率は自分の方が大きいかどうかを判定する(ステップ3006)。もし大きければ、図21の処理4−1にいく。もし小さければ、図21の処理4−2にいく。また、ステップ3001において相手がセキュリティホール対策エージェントであった場合、図21の処理4−2にいく。
【0076】
この例では、セキュリティホール対策エージェントを優先しているが、ウィルス対策エージェントを優先する方法も考えられる。また、システム管理者が、ウィルス対策エージェントを優先したいのであれば、ウィルス対策エージェントの優先度を高くするよう設定できる方法も考えられる。
【0077】
このように、本発明によれば、システム管理者が、セキュリティホール対策やウィルス対策を行うために必要な情報を入手・分析・判断を行う負担が少なくなり、セキュリティホール対策やウィルス対策が疎かになることがなくなる。また、システム管理者が被害の出そうな計算機を探して、急いで修復する必要がなくなる。
【0078】
また、本発明は、セキュリティホールなどひとつひとつの技術的対策を、エージェントを使って自動的に行い、セキュリティ管理支援をするものである。また、エージェントが自律的にウィルスの流行の兆候を検知して比較的被害が大きくなるであろうものを優先的にセキュリティ対策をするものである。これにより、コンピュータやネットワークの環境整備のためにかかる労力や時間を節約することができる。
【0079】
【発明の効果】
本発明の方法を用いてセキュリティホール対策やウィルス対策を行うことにより、システム管理者がコンピュータやネットワークの環境の整備のために必要な情報を入手するための手間を減らし、分析や判断を行うための労力を軽減することができる。
【図面の簡単な説明】
【図1】本発明における一実施例である。セキュリティ管理支援方法の全体構成を示すものである。
【図2】対策エージェントとセキュリティホール対策エージェントとサーバエージェントの構成を示すものである。
【図3】ウィルス情報リストのデータの一例である。
【図4】セキュリティホール検出リストのデータの一例である。
【図5】分散システム内のウィルス感染件数リストのデータの一例である。
【図6】分散システム内のセキュリティホール検出件数リストのデータの一例である。
【図7】エージェント実行優先度リストのデータの一例である。
【図8】エージェントが他のエージェントに優先度を通知する際のパケット情報である。
【図9】ウィルス情報リストのデータの一例である。
【図10】更新サービスから送られるウィルス名登録リストのデータの一例である。
【図11】ウィルス診断履歴リストのデータの一例である。
【図12】セキュリティホール情報リストの一例である。
【図13】最新のセキュリティホール名登録リストのデータの一例である。
【図14】パッチ適用診断履歴リストの一例である。
【図15】エージェント別対策済み計算機チェックリストのデータの一例である。
【図16】ウィルス対策エージェント107またはセキュリティホール対策エージェント108がクローンエージェントを作成し、エージェント優先度を計算するフローである。
【図17】クローンエージェントがウィルス対策または、セキュリティホール対策を行う際に、他のエージェントによってエージェント優先度を通知された場合のフローである。
【図18】更新サービスによりウィルス情報リストまたはセキュリティホール情報リストが更新されたとき、クローンエージェントを作成する前までのフローである。
【図19】クローンエージェントによるウィルス対策のフローである。
【図20】ウィルス予防プログラム実行のフローである。
【図21】他のエージェントにより、優先度の通知があった場合の処理を示すフローである。
【図22】ウィルス駆除対策をした後、分散システム内に、まだウィルス駆除対策を行っていない計算機がある場合の処理のフローである
【図23】クローンエージェントが消滅するかウィルス駆除処理がまだ行われていない計算機に移動するフローである。
【図24】セキュリティホール対策のフローである。
【図25】セキュリティホール対策エージェントのクローンエージェントがセキュリティパッチを所持していないときのフローである。
【図26】セキュリティホール対策エージェントのクローンエージェントがセキュリティパッチを所持している場合の処理フローである。
【図27】既存のセキュリティパッチを適用するフローである。
【図28】新規のセキュリティパッチを適用するフローである。
【図29】クローンエージェントの作成のフローである。
【図30】エージェントの優先度比較処理のフローである。
【符号の説明】
100 計算機(更新サービス)
101 情報提供プログラム
102 データベース更新プログラム
103 データベース
104 計算機(管理サーバ)
105 サーバエージェント
106 情報受信プログラム
107 ウィルス対策エージェント
108 セキュリティホール対策エージェント
109 データベース
110 計算機(クライアント)
111 ウィルス対策エージェントの管理するプログラムまたはリスト
112 計算機(クライアント)
113 計算機(クライアント)
114 セキュリティ対策エージェントの管理するプログラムまたはリスト
115 ネットワーク
116 エージェント実行優先度リスト
200 エージェント優先度情報管理部
201 ウィルス情報管理部
202 エージェント優先度情報管理部
203 セキュリティホール情報管理部
204 エージェント管理部

Claims (3)

  1. コンピュータを用いたセキュリティ管理支援方法であって、
    前記コンピュータは、他のコンピュータから、少なくともウイルス管理情報とセキュリテイ管理情報のいずれかを含む情報を受信し、
    前記受信した情報にもとづいて、他のコンピュータから受信した複数のエージェントプログラムの実行優先度を決定し、
    決定した前記エージェントプログラムの実行優先度にもとづいて、受信した複数の前記エージェントプログラムのうちのいずれかを実行することを特徴とするセキュリティ管理支援方法。
  2. セキュリティ管理支援プログラムであって、
    他のコンピュータから、少なくともウイルス管理情報とセキュリテイ管理情報のいずれか1つを含む情報を受信し、
    前記受信した情報にもとづいて、他のコンピュータから受信した複数のエージェントプログラムの適用優先度を決定し、
    決定した前記エージェントプログラムの適用優先度にもとづいて、受信した複数の前記エージェントプログラムのうちのいずれかを実行させることを特徴とするセキュリティ管理支援プログラム。
  3. クライアントコンピュータとサーバコンピュータが接続されたシステムにおけるセキュリティ管理支援方法であって、
    前記クライアントコンピュータは、予め記憶装置にインベントリ情報を格納し、
    前記サーバコンピュータから、ウィルス情報リスト、セキュリティホール情報リスト、ウィルス駆除プログラムとウィルス予防プログラム、セキュリティパッチのいずれかを含むデータを受信し前記記憶装置に格納し、
    格納された前記インベントリ情報にもとづいて、受信した前記データに含まれるウィルス駆除プログラム又はウィルス予防プログラム又はセキュリティパッチのうちいずれかを適用するための優先度を求め、
    前記求めた優先度にもとづいて、ウィルス駆除プログラム、ウィルス予防プログラム、セキュリティパッチのいずれかを前記クライアントコンピュータで適用することを特徴とするセキュリティ管理支援方法。
JP2002340266A 2002-11-25 2002-11-25 分散システムにおけるセキュリティ管理支援方法およびプログラム Pending JP2004178033A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002340266A JP2004178033A (ja) 2002-11-25 2002-11-25 分散システムにおけるセキュリティ管理支援方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002340266A JP2004178033A (ja) 2002-11-25 2002-11-25 分散システムにおけるセキュリティ管理支援方法およびプログラム

Publications (1)

Publication Number Publication Date
JP2004178033A true JP2004178033A (ja) 2004-06-24

Family

ID=32702937

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002340266A Pending JP2004178033A (ja) 2002-11-25 2002-11-25 分散システムにおけるセキュリティ管理支援方法およびプログラム

Country Status (1)

Country Link
JP (1) JP2004178033A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011180975A (ja) * 2010-03-03 2011-09-15 Nec Corp 検疫システム、検疫方法、及び検疫プログラム
JP2014525639A (ja) * 2011-09-07 2014-09-29 マカフィー, インコーポレイテッド クラウド技術を用いたマルウェアの動的駆除
WO2016199582A1 (ja) * 2015-06-10 2016-12-15 株式会社日立システムズ サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法
JP2017526067A (ja) * 2015-04-22 2017-09-07 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド ウイルススキャン方法及びウイルススキャン装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011180975A (ja) * 2010-03-03 2011-09-15 Nec Corp 検疫システム、検疫方法、及び検疫プログラム
JP2014525639A (ja) * 2011-09-07 2014-09-29 マカフィー, インコーポレイテッド クラウド技術を用いたマルウェアの動的駆除
JP2017526067A (ja) * 2015-04-22 2017-09-07 バイドゥ オンライン ネットワーク テクノロジー (ベイジン) カンパニー リミテッド ウイルススキャン方法及びウイルススキャン装置
WO2016199582A1 (ja) * 2015-06-10 2016-12-15 株式会社日立システムズ サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法
JP2017004233A (ja) * 2015-06-10 2017-01-05 株式会社日立システムズ サイバー攻撃対策範囲優先度付けシステム、サイバー攻撃対策範囲優先度付け方法

Similar Documents

Publication Publication Date Title
US7673341B2 (en) System and method of efficiently identifying and removing active malware from a computer
EP3128719B1 (en) Post-cluster brain split quorum processing method and quorum storage device and system
US10291630B2 (en) Monitoring apparatus and method
RU2487405C1 (ru) Система и способ для исправления антивирусных записей
EP2860657B1 (en) Determining a security status of potentially malicious files
JP4953247B2 (ja) 実時間コンピュータウィルス感染防止装置及びそのアップデート方法
US20020162049A1 (en) Method for correcting a program running on computer system
JP3874593B2 (ja) コンピュータ識別装置
CN105204902B (zh) 一种虚拟机的安全补丁升级方法,及装置
JP6337498B2 (ja) 復元装置、復元システム、復元方法、および、プログラム
CN105933467B (zh) 一种客户端主机信息变更的周期性检测方法
JP6489239B2 (ja) 通信装置、システム、方法、及びプログラム
US7895654B1 (en) Efficient file scanning using secure listing of file modification times
WO2006101800A2 (en) System and method for removing multiple related running processes
JP2006040196A (ja) ソフトウェア監視システムおよび監視方法
JP2004178033A (ja) 分散システムにおけるセキュリティ管理支援方法およびプログラム
WO2018125875A1 (en) Persistence probing to detect malware
JP6269199B2 (ja) 管理サーバおよび障害復旧方法、並びにコンピュータ・プログラム
US10528375B2 (en) Maintaining security system information in virtualized computing environments
JP2009129332A (ja) ポリシ生成システム、プログラム、および記録媒体
RU2665909C1 (ru) Способ избирательного использования шаблонов опасного поведения программ
US20150229653A1 (en) Device, System and Method for Processing Virus Files
JP4328637B2 (ja) コンピュータウィルス検疫方法
CN109167776B (zh) 提升流量清洗设备的防护规格的方法及相关设备
CN106709344B (zh) 一种病毒查杀的通知方法及服务器