JP2007323349A - ソフトウェア更新要否判定方法 - Google Patents
ソフトウェア更新要否判定方法 Download PDFInfo
- Publication number
- JP2007323349A JP2007323349A JP2006152557A JP2006152557A JP2007323349A JP 2007323349 A JP2007323349 A JP 2007323349A JP 2006152557 A JP2006152557 A JP 2006152557A JP 2006152557 A JP2006152557 A JP 2006152557A JP 2007323349 A JP2007323349 A JP 2007323349A
- Authority
- JP
- Japan
- Prior art keywords
- software
- vulnerability
- information
- network system
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000010586 diagram Methods 0.000 description 18
- 238000012790 confirmation Methods 0.000 description 17
- VOZKAJLKRJDJLL-UHFFFAOYSA-N 2,4-diaminotoluene Chemical compound CC1=CC=C(N)C=C1N VOZKAJLKRJDJLL-UHFFFAOYSA-N 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
【課題】ネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定可能なソフトウェア更新要否判定方法を提供することを目的とする。
【解決手段】ネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するソフトウェア更新要否判定方法であって、コンピュータ16が、機器に搭載されたソフトウェアに関する情報およびソフトウェアの脆弱性に関する情報を取得し、機器に搭載されたソフトウェアに関する情報およびソフトウェアの脆弱性に関する情報に基づき、機器に搭載されたソフトウェアのうち脆弱性のあるものを選択し、選択されたソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定することにより上記課題を解決する。
【選択図】図2
【解決手段】ネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するソフトウェア更新要否判定方法であって、コンピュータ16が、機器に搭載されたソフトウェアに関する情報およびソフトウェアの脆弱性に関する情報を取得し、機器に搭載されたソフトウェアに関する情報およびソフトウェアの脆弱性に関する情報に基づき、機器に搭載されたソフトウェアのうち脆弱性のあるものを選択し、選択されたソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定することにより上記課題を解決する。
【選択図】図2
Description
本発明は、ソフトウェア更新要否判定方法に係り、特に所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するソフトウェア更新要否判定方法に関する。
例えばネットワークシステムでは、ネットワーク機器に搭載されたソフトウェアの不具合の修正などのためにアップデート(更新)が行われる。アップデートは、ネットワーク機器提供ベンダ等が配布するアップデートの為のアップデートファイルをインストールすることにより行われている。
図1はネットワークシステムの一例のシステム構成図である。図1のネットワークシステムはセンターに設置されたサーバ1a,1b及びルータR1と、営業店に設置されたクライアント2及びルータR2と、広域イーサーネット(登録商標)3と、INS網4とを含むように構成されている。
従来のネットワークシステムでは、既存のネットワークシステムがセキュアな構成かの確認を次のように行っていた。まず、ユーザは例えばネットワーク機器提供ベンダ等がインターネット上で公開しているOS脆弱性情報WEBを参照する。ユーザは個々のネットワーク機器のOSバージョンとOS脆弱性情報とを比較することで、ネットワーク機器の脆弱性を確認する。ユーザはネットワーク機器の脆弱性の有無により、既存のネットワークシステムがセキュアな構成かの確認を行っていた。
例えば特許文献1には、ネット上で公開されているソフトアップデート情報と管理対象システムの構成とを比較して、合致するものにつきアップデートを行う技術が記載されている。
特開2002−268985号公報
しかしながら、ソフトウェアの中には、他のソフトウェアとの組み合わせや整合性をとる必要があるものなどがある。そのようなソフトウェアに対して安易にアップデートを行ってしまうと、ネットワークシステムは不整合を起こし、システムダウンしてしまう危険性があるという問題があった。
例えば信頼性を重視する基幹系システムでは、絶対にシステムダウンを避けなければならない。したがって、ネットワーク機器提供ベンダ等が配布する全てのアップデートファイルを無条件にインストールすることは望ましくない場合もあった。特開平11−161482号公報は、このような場合に対処しようとしたものである。
特開平11−161482号公報には、障害を起こしたソフトウェアに関する情報を蓄積しておき、アップデートファイルが障害を起こしたソフトウェアに関連する場合にアップデートを行うことが記載されている。つまり、基幹系システムが動作しているホストなどで障害を起こしていないソフトウェアのアップデートを行わないことで、必要以上にソフトウェアをアップデートしないようにしている。
しかしながら、特開平11−161482号公報に記載されている内容では、障害を起こしていないソフトウェアのアップデートを行わないため、本来行うべきアップデートが行われない可能性があるという問題があった。
本発明は、上記の点に鑑みなされたもので、ネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定可能なソフトウェア更新要否判定方法を提供することを目的とする。
上記の課題を解決するため、本発明は、所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップとを有することを特徴とする。
前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを更新が不要と判定することを特徴としてもよい。
前記機器に搭載されたソフトウェアに関する情報は、前記ソフトウェアの識別情報および利用履歴情報を含むことを特徴としてもよい。
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。
上述の如く、本発明によれば、ネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定可能なソフトウェア更新要否判定方法を提供できる。
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。まず、本発明の理解を容易とする為、図2のネットワークシステムを構成する機器のうち、ルータR1,R2に搭載されたソフトウェアの更新要否を判定する例を中心に説明する。図2のネットワークシステムは、セキュアな構成かの確認を行い、その確認結果を顧客に通知することにより、セキュアなネットワークシステムの運用を実現するものである。
図2は本発明によるネットワークシステムの一実施例の構成図である。図2に示すネットワークは、業務サーバ10a,10bと、クライアント11と、ルータR1,R2,19及び20と、広域イーサーネット(登録商標)14と、INS網15と、セキュリティクライアント16と、ルータR1の脆弱情報17と、ルータR2の脆弱情報18と、インターネット21とを含むように構成されている。
図2のネットワークシステムでは、センター側に業務サーバ10a,10bと、ルータR1,19と、セキュリティクライアント16とが設置されている。営業店側には、クライアント11とルータR2とが設置されている。また、ルータR1,R2を提供するベンダ側にはWebサイト(ベンダサイトWEB)を実現する為の各種サーバ(図示せず)及びルータ20が設置されている。ベンダサイトWEBには、ルータR1の脆弱情報17およびルータR2の脆弱情報18が参照可能に登録されている。セキュリティクライアント16は、ベンダサイトWEB(OS脆弱性情報WEB)を参照し、ルータR1,R2にOS脆弱性が発生した場合に以下の処理を行う。
まず、セキュリティクライアント16はルータR1,R2に対してOSバージョン取得用パトロールパケットを送信する。OSバージョン取得用パトロールパケットは後述するような既存の情報取得コマンドを利用することで実現できる。
次に、セキュリティクライアント16はOSバージョン取得用パトロールパケットにより取得したOSバージョンを後述するネットワークシステムマップに設定する。このネットワークシステムマップは、ネットワークシステムを構成する機器毎に、その機器に搭載されたソフトウェアの更新要否を判定する為の各種情報(OSバージョン,アクセス日時など)が設定されている。
セキュリティクライアント16はOS脆弱性情報WEBに登録されているルータR1の脆弱情報17およびルータR2の脆弱情報18の脆弱性OSバージョンと、ネットワークシステムマップに設定されているルータR1およびルータR2のOSバージョンとを比較して、脆弱性対応がされているか否かを判定する。
ルータR1およびルータR2の少なくとも一方が脆弱性対応されていなければ、セキュリティクライアント16は更に、ネットワークシステムマップに設定されているルータR1およびルータR2のアクセス日時を参照し、利用実績がある場合に、OS脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行う。なお、セキュリティクライアント16は、設定されているアクセス日時から所定期間が経過していなければ、利用実績があるソフトウェアと見なす。また、セキュリティクライアント16は、アクセス日時が設定されていないか又は設定されているアクセス日時から所定期間が経過していれば、利用実績がないソフトウェアと見なす。
OS脆弱性未対応メッセージ/推奨バージョン通知は、脆弱性対応されていない機器を識別する為の情報と、その機器の脆弱性対応が成されたOSバージョンを表す推奨バージョンとを含む。このように、図2のネットワークシステムでは、脆弱性対応がされていないソフトウェアのうち、所定期間の間に利用実績のあるソフトウェアだけOS脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行うことができる。
つまり、図2のネットワークシステムでは、脆弱性対応がされていないソフトウェアであっても、利用実績がないと見なしたソフトウェアのOS脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行わないことにより、必要以上にソフトウェアの脆弱性対応を行うことを避けている。この結果、図2のネットワークシステムではネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定できる。
次に、セキュリティクライアント16のハードウェア構成について、図3を参照しつつ説明する。図3は、セキュリティクライアントの一例のハードウェア構成図である。セキュリティクライアント16は、それぞれバスBで相互に接続されている入力装置31,出力装置32,ドライブ装置33,補助記憶装置34,メモリ装置35,演算処理装置36およびインターフェース装置37を含むように構成される。
入力装置31はキーボードやマウスなどで構成され、各種信号を入力するために用いられる。出力装置32はディスプレイ装置などで構成され、各種ウインドウやデータ等を表示するために用いられる。インターフェース装置37は、モデム,ルータ,LANカードなどで構成されており、各種ネットワークに接続する為に用いられる。
本発明によるソフトウェア更新要否判定プログラムは、セキュリティクライアント16を制御する各種プログラムの少なくとも一部である。ソフトウェア更新要否判定プログラムは例えば記録媒体38の配布や各種ネットワークからのダウンロードなどによって提供される。
ソフトウェア更新要否判定プログラムを記録した記録媒体38は、CD−ROM、フレキシブルディスク、光磁気ディスク等の様に情報を光学的,電気的或いは磁気的に記録する記録媒体、ROM、フラッシュメモリ等の様に情報を電気的に記録する半導体メモリ等、様々なタイプの記録媒体を用いることができる。
また、ソフトウェア更新要否判定プログラムを記録した記録媒体38がドライブ装置33にセットされると、ソフトウェア更新要否判定プログラムは記録媒体38からドライブ装置33を介して補助記憶装置34にインストールされる。各種ネットワークからダウンロードされたソフトウェア更新要否判定プログラムは、インターフェース装置37を介して補助記憶装置34にインストールされる。
セキュリティクライアント16は、インストールされたソフトウェア更新要否判定プログラムを格納すると共に、必要なファイル,データ等を格納する。メモリ装置35は、コンピュータの起動時に補助記憶装置34からソフトウェア更新要否判定プログラムを読み出して格納する。そして、演算処理装置36はメモリ装置35に格納されたソフトウェア更新要否判定プログラムに従って、後述するような各種処理を実現している。
次に、セキュリティクライアント16のソフトウェア構成図について、図4を参照しつつ説明する。図4は、セキュリティクライアントの一例のソフトウェア構成図である。
図4のセキュリティクライアント16は、構成/脆弱性確認ツール41,稼動情報取得ツール42,脆弱性確認ツール43,提案テンプレートDB44,脆弱性情報開発元DB45,ネットワークシステムマップDB46,脆弱性情報DB47を含むように構成されている。ここでは、構成/脆弱性確認ツール41,稼動情報取得ツール42,脆弱性確認ツール43の処理について図面を参照しつつ説明する。
図5は、構成/脆弱性確認ツールの処理を説明する為の図である。まず、図2に示すネットワークシステムの概要提案構成を決定し、各機器の見積りを生成する。見積り51はルータR1の見積りの一例である。例えば見積り51は、機種名,モジュール,バージョン,使用コマンド,メモリサイズおよび価格/Costから構成される。
ステップS1に進み、構成/脆弱性確認ツール41は各機器の見積り、提案テンプレートDB44及び脆弱性情報開発元DB45に基づき、ネットワークシステムの最適な該当組合せを検索する。提案テンプレートDB44は、事前検証済みのネットワークシステムの構成を表しているものである。脆弱性情報開発元DB45は、OSバージョン毎の脆弱性/BUG情報,使用コマンドを表しているものである。
ステップS2に進み、構成/脆弱性確認ツール41は該当組合せの製品詳細情報を入手して、ネットワークシステムの機器の構成と、各機器に搭載されるソフトウェアとを表したネットワークシステム構成マップを作成する。ステップS3では、ネットワークシステム構成マップに基づいて、各機器へのソフトウェアのインストールと、情報取得コマンドの設定とを行う。
ステップS1〜S3の処理結果に基づき、図6のようなネットワークシステムマップDB46が作成される。図6はネットワークシステムマップDBの一例の構成図である。図6のネットワークシステムマップDB46は、機種名/ipアドレス,バージョン,インストール日時,起動日時,アクセス日時,機能,使用コマンド,情報取得コマンドから構成されている。図6のネットワークシステムマップDB46はインストール直後で、各機器が未使用である例を表したものである。未使用である場合、アクセス日時には「0000/00/00/00」が設定されている。
図7は、稼動情報取得ツールの処理を説明する為の図である。稼動情報取得ツール42はネットワークシステムマップDB46に設定されている各機器のIPアドレスの取得および情報取得コマンドの読込を行い、情報取得コマンドを各機器に発行することで各機器のアクセス日時を取得し、そのアクセス日時をネットワークシステムマップDB46に設定する。図7のネットワークシステムマップDB46では使用された機器のアクセス日時が設定されている。
図8は、脆弱性確認ツールの処理を説明する為の図である。脆弱性確認ツール43はステップS21に進み、ネットワークシステムマップDB46と、各機器の脆弱情報が登録されている脆弱性情報DB47とを比較する。ここでは、ルータR1,ルータR2を例に説明する。脆弱性情報DB47には、機器および使用コマンド毎に脆弱性バージョン範囲および推奨バージョンが設定されている。
ステップS22に進み、脆弱性確認ツール43はネットワークシステムマップDB46と脆弱性情報DB47との比較結果に基づき、ルータR1,ルータR2に搭載されているソフトウェアに脆弱性対応がされていないバージョンのソフトウェアが含まれるか否かを判定する。
具体的に、脆弱性確認ツール43はルータR1,ルータR2に搭載されているソフトウェアのバージョンが、脆弱性情報DB47の脆弱性バージョン範囲に含まれている場合に脆弱性対応がされていないバージョンのソフトウェアが含まれると判定し、脆弱性情報DB47の推奨バージョンに含まれている場合に脆弱性対応がされているバージョンのソフトウェアが含まれていると判定する。
脆弱性確認ツール43はルータR1,ルータR2に搭載されているソフトウェアに脆弱性対応がされていないバージョンのソフトウェアが含まれると判定すると、ステップS23に進み、脆弱性対応がされていないバージョンのソフトウェアの使用コマンドが一致しているか否かを判定する。
脆弱性確認ツール43は脆弱性対応がされていないバージョンのソフトウェアの使用コマンドが一致していると判定すると、ステップS24に進み、脆弱性対応がされていないバージョンのソフトウェアのアクセス日時がネットワークシステムマップDB46に設定されているか否かを判定する。
脆弱性確認ツール43は脆弱性対応がされていないバージョンのソフトウェアのアクセス日時がネットワークシステムマップDB46に設定されていると判定すると、ステップS25に進み、脆弱性対応がされていないバージョンのソフトウェアのアクセス日時に応じて所定期間(例えば2年間)アクセスなしか否かを判定する。
脆弱性確認ツール43は脆弱性対応がされていないバージョンのソフトウェアが2年間アクセスなしではないと判定すると、ステップS26に進み、脆弱性情報DB47の推奨バージョンをダウンロードする。そして、ステップS27に進み、脆弱性確認ツール43は顧客に脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行う。
なお、ステップS22でルータR1,ルータR2に脆弱性対応がされていないバージョンのソフトウェアが含まれていないと判定した場合、ステップS23で脆弱性対応がされていないバージョンのソフトウェアの使用コマンドが一致していないと判定した場合、ステップS24で脆弱性対応がされていないバージョンのソフトウェアのアクセス日時がネットワークシステムマップDB46に設定されていない判定した場合、ステップS25で脆弱性対応がされていないバージョンのソフトウェアが2年間アクセスなしである場合は脆弱性対応がされていないバージョンのソフトウェアが無いことを表す該当無し通知を顧客に対して行う。
このように、脆弱性確認ツール43は脆弱性対応されていない機器のアクセス日時をネットワークシステムマップDB46から取得し、脆弱性対応されていない機器のうち利用実績がある機器を選択して、前述したような脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行うことができる。
例えば図8のネットワークシステムマップDB46及び脆弱性情報DB47の場合、脆弱性確認ツール43はステップS21〜S27の処理により、機器「ルータR1,ルータR2」及び使用コマンド「IPv6/RIP」に対応する脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行うことができる。
以下、本発明によるネットワークシステムの他の構成を説明する。図9はベンダ側で脆弱情報を登録する処理を示したフロー図である。ベンダ側には、脆弱性情報登録クライアント100,WEBサーバ101,APサーバ102,DBサーバ103が設置されている。
ステップS100では脆弱性情報登録クライアント100がルータR1の脆弱性登録依頼を行う。ステップS101に進み、WEBサーバ101はルータR1の脆弱性登録依頼に基づきサーブレット(振り分け)を行い、ルータR1の機種Callを行う。ステップS102に進み、APサーバ102はルータR1の機種 Callに基づきルータR1の脆弱性検索依頼を行う。
ステップS103に進み、DBサーバ103はルータR1の脆弱情報を脆弱性情報DB104から検索する。ステップS104〜S107に進み、DBサーバ103から脆弱性情報登録クライアント100に検索結果が通知される。脆弱性情報登録クライアント100は、検索結果に基づき脆弱性情報更新画面を出力する。
ステップS108では、脆弱性情報登録クライアント100に脆弱性バージョン範囲や推奨バージョン,使用(機能)コマンドが設定される。ステップS109に進み、WEBサーバ101は脆弱性情報更新APL Callを行う。ステップS110に進み、APサーバ102は脆弱性情報更新APL Callに基づき脆弱性情報DB104の更新依頼を行う。ステップS111に進み、DBサーバ103は脆弱性情報DB104の更新依頼に基づいて脆弱性情報DB104を更新する。
ステップS112〜S115に進み、DBサーバ103から脆弱性情報登録クライアント100に更新結果が通知される。脆弱性情報登録クライアント100は、更新結果を表示する。図9に示すように、ベンダ側では機器の脆弱情報を脆弱性情報DB104に登録できる。
図10は、ベンダ側からセンター側に脆弱性情報を通知する処理を示したフロー図である。ベンダ側には、WEBサーバ101,APサーバ102,DBサーバ103,脆弱性情報通知クライアント110が設置されている。
ステップS200では脆弱性情報通知クライアント110がルータR1を使用しているユーザへの脆弱性通知確認依頼を行う。ステップS201に進み、WEBサーバ101はルータR1を使用しているユーザへの脆弱性通知確認依頼に基づきサーブレット(振り分け)を行い、ルータR1のUser Callを行う。
ステップS202に進み、APサーバ102は、ルータR1のUser Callに基づきルータR1を使用しているユーザの検索依頼を行う。ステップS203に進み、DBサーバ103は図11に示すR1ユーザDB111を検索する。
図11はR1ユーザDBの一例の構成図である。R1ユーザDB111はルータR1を使用しているユーザのユーザ名,そのユーザへの通知方式,e−mail address,Web addressから構成されている。DBサーバ103は、R1ユーザDB111からユーザ名,通知方式,e−mail address,Web addressを検索する。
ステップS204〜S207に進み、DBサーバ103から脆弱性情報通知クライアント110に検索結果が通知される。脆弱性情報通知クライアント110は、検索結果に基づき通知ユーザ確認画面を出力する。
ステップS208では、脆弱性情報通知クライアント110がルータR1を使用しているユーザへの脆弱性情報通知依頼を行う。ステップS209に進み、WEBサーバ101はユーザ名「Tsuda」を指定して、通知APL Callを行う。
ステップS210に進み、APサーバ102は通知APL Callに基づき脆弱性情報検索依頼を行う。ステップS211に進み、DBサーバ103は脆弱性情報DB104からルータR1の脆弱性情報を検索する。ステップS212に進み、DBサーバ103は検索結果をAPサーバ102に通知する。
ステップS213に進み、APサーバ102は、検索結果のルータR1の脆弱性情報をe−mailに設定し、R1ユーザDB111から検索したe−mail addressを宛先に設定する。ステップS214に進み、APサーバ102はe−mailを発信する。ステップS215〜S217に進み、APサーバ102から脆弱性情報通知クライアント110に結果が通知される。脆弱性情報通知クライアント110は、脆弱性通知結果を表示する。
また、WEBサーバ101はステップS216に続いてステップS218に進み、次のユーザ名「Oota」を指定して、通知APL Callを行う。ステップS219に進み、APサーバ102は、R1ユーザDB111から検索したWeb addressをe−mailに設定し、R1ユーザDB111から検索したe−mail addressを宛先に設定する。
ステップS220に進み、APサーバ102はe−mailを発信する。ステップS221〜S223に進み、APサーバ102から脆弱性情報通知クライアント110に結果が通知される。脆弱性情報通知クライアント110は、脆弱性通知結果を表示する。図10に示すように、ベンダ側ではルータR1を利用しているユーザに、Pushメール方式やWEBダウンロード方式、タイマー型WEBダウンロード方式でルータR1等の機器の脆弱性情報を通知できる。
図12は、OSバージョン取得用パトロールパケットによりルータR1,ルータR2に搭載されているソフトウェアのバージョンを取得する処理を示したフロー図である。セキュリティクライアント16,WEBサーバ120,APサーバ121,DBサーバ122はセンター側に設置されている。
ステップS300ではセキュリティクライアント16がネットワークシステムマップ作成依頼を行う。ステップS301に進み、WEBサーバ120はネットワークシステムマップ作成依頼に基づきサーブレット(振り分け)を行い、全network accessのAPLを起動する。
ステップS302に進み、APサーバ121はsnmpコマンドでネットワークシステムに含まれる各機器のIPアドレスを取得する。ステップS303に進み、APサーバ121は取得したIPアドレスを元にsnmpコマンドでルータR1,ルータR2等の各機器のバージョンを取得する。ステップS304に進み、APサーバ121は取得した各機器のバージョンをDBサーバ122に通知し、ネットワークシステムマップDB更新依頼を行う。
ステップS305に進み、DBサーバ122はAPサーバ121から受信した各機器のバージョンに基づき、ネットワークシステムマップDB46を更新する。ステップS306〜S308に進み、DBサーバ122からWEBサーバ120にネットワークシステムマップDB46の更新結果が通知される。WEBサーバ120はネットワークシステムマップ作成完了通知をセキュリティクライアント16に対して行う。そして、ステップS309では、セキュリティクライアント16がネットワークシステムマップ作成完了通知を受信する。図12に示すように、ネットワークシステムを構成する機器毎に、その機器に搭載されたソフトウェアのバージョンを取得できる。
図13は、脆弱性情報を取得する処理を示したフロー図である。セキュリティクライアント16には、前述したようにPushメール方式やWEBダウンロード方式のe−mailを各ベンダサイトWEBから受信する。Pushメール方式である場合、セキュリティクライアント16はステップS400〜S408の処理を行う。WEBダウンロード方式である場合、セキュリティクライアント16は、ステップS410〜S418の処理を行う。
ステップS400でPushメール方式であると判定すると、セキュリティクライアント16は脆弱性情報更新依頼を行う。ステップS401に進み、WEBサーバ120は脆弱性情報更新依頼に基づきサーブレット(振り分け)を行い、Push型のAPLを起動する。
ステップS402に進み、APサーバ121はe−mailのDATA部の脆弱性情報を取得する。ステップS403に進み、APサーバ121は、取得した脆弱性情報をDBサーバ122に通知し、脆弱性情報DB更新依頼を行う。ステップS404に進み、DBサーバ122はAPサーバ121から受信した各機器の脆弱性情報に基づき、脆弱性情報DB47を更新する。ステップS405〜S408に進み、DBサーバ122からWEBサーバ120に脆弱性情報DB47の更新結果が通知される。WEBサーバ120は脆弱性情報DB47の更新完了をセキュリティクライアント16に通知する。
ステップS410でWEBダウンロード方式であると判定すると、セキュリティクライアント16は脆弱性情報更新依頼を行う。ステップS411に進み、WEBサーバ120は脆弱性情報更新依頼に基づきサーブレット(振り分け)を行い、web型又はtimer型のAPLを起動する。
ステップS412に進み、APサーバ121はe−mailのDATA部のwebアドレス内の脆弱性情報又は図14に示すようなベンダwebアドレスDB130に事前登録されているベンダwebアドレス内の脆弱性情報をダウンロードする。図14はベンダwebアドレスDBの一例の構成図である。
ベンダwebアドレスDB130は、機器毎に脆弱性バージョン範囲のダウンロード先である脆弱性Web addressと、推奨バージョンのダウンロード先である推奨OS Web addressとが事前登録されている。なお、ステップS413〜S418の処理はステップS403〜S408の処理と同様であるため、説明を省略する。図13に示すように、ネットワークシステムを構成する機器毎に、その機器の脆弱性情報を取得できる。
図15は、脆弱性情報を確認する処理を示したフロー図である。セキュリティクライアント16には、前述したようにPushメール方式やWEBダウンロード方式のe−mailを各ベンダサイトWEBから受信する。すると、図13を用いて前述したようなPushメール方式またはwebダウンロード方式の処理を行ったあと、ステップS500に進む。
ステップS500では、セキュリティクライアント16が、脆弱性確認依頼を行う。ステップS501に進み、WEBサーバ120は脆弱性確認依頼に基づきサーブレット(振り分け)を行い、脆弱性確認のAPLを起動する。
ステップS502に進み、APサーバ121は脆弱性情報DB検索依頼を行う。ステップS503に進み、DBサーバ122はAPサーバ121から受信した各機器の脆弱性情報DB検索依頼に基づき、脆弱性情報DB47を検索する。ステップS504〜S505に進み、DBサーバ122からAPサーバ121に脆弱性情報DB47の検索結果が通知される。
ステップS506に進み、APサーバ121はネットワークシステムマップDB検索依頼を行う。ステップS507に進み、DBサーバ122はAPサーバ121から受信したネットワークシステムマップDB検索依頼に基づき、ネットワークシステムマップDB46を検索する。ステップS508〜S509に進み、DBサーバ122からAPサーバ121にネットワークシステムマップDB46の検索結果が通知される。
ステップS510に進み、APサーバ121はDBサーバ122から通知された脆弱性情報DB47の検索結果およびネットワークシステムマップDB46の検索結果を比較する。そして、ステップS511に進み、APサーバ121はルータR1,R2に搭載されているソフトウェアの更新要否を判定すると共に、推奨バージョンを取得し、比較結果を設定する。
ステップS512〜S514に進み、APサーバ121からセキュリティクライアント16に比較結果が通知される。セキュリティクライアント16は通知された比較結果に基づいて、図15に示すような完了メッセージを表示する。図15に示すように、脆弱性情報DB47およびネットワークシステムマップDB46を比較し、ルータR1,R2に搭載されているソフトウェアの更新要否を判定できる。なお、前述の図8のステップS21からステップS25の処理はステップS510に、図8のステップS27はステップS512からステップS514に相当する。
本発明は、以下に記載する付記のような構成が考えられる。
(付記1)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、
前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、
前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップと
を有することを特徴とするソフトウェア更新要否判定方法。
(付記2)
前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを更新が不要と判定することを特徴とする付記1記載のソフトウェア更新要否判定方法。
(付記3)
前記機器に搭載されたソフトウェアに関する情報は、前記ソフトウェアの識別情報および利用履歴情報を含むことを特徴とする付記1又は2記載のソフトウェア更新要否判定方法。
(付記4)
前記判定ステップによる判定結果をユーザに通知する通知ステップを更に有することを特徴とする付記1乃至3何れか一項記載のソフトウェア更新要否判定方法。
(付記5)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータにおいて実行されるソフトウェア更新要否判定プログラムであって、
前記コンピュータは、記憶装置,演算処理装置を含み、
前記演算処理装置に、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得させて前記記憶装置に格納させる格納ステップと、
前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択させる選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定させる判定ステップと
を実行させるソフトウェア更新要否判定プログラム。
(付記6)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するソフトウェア更新要否判定装置であって、
前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する情報取得格納手段と、
前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択するソフトウェア選択手段と、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する更新判定手段と
を有することを特徴とするソフトウェア更新要否判定装置。
(付記1)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、
前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、
前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップと
を有することを特徴とするソフトウェア更新要否判定方法。
(付記2)
前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを更新が不要と判定することを特徴とする付記1記載のソフトウェア更新要否判定方法。
(付記3)
前記機器に搭載されたソフトウェアに関する情報は、前記ソフトウェアの識別情報および利用履歴情報を含むことを特徴とする付記1又は2記載のソフトウェア更新要否判定方法。
(付記4)
前記判定ステップによる判定結果をユーザに通知する通知ステップを更に有することを特徴とする付記1乃至3何れか一項記載のソフトウェア更新要否判定方法。
(付記5)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータにおいて実行されるソフトウェア更新要否判定プログラムであって、
前記コンピュータは、記憶装置,演算処理装置を含み、
前記演算処理装置に、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得させて前記記憶装置に格納させる格納ステップと、
前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択させる選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定させる判定ステップと
を実行させるソフトウェア更新要否判定プログラム。
(付記6)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するソフトウェア更新要否判定装置であって、
前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する情報取得格納手段と、
前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択するソフトウェア選択手段と、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する更新判定手段と
を有することを特徴とするソフトウェア更新要否判定装置。
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
1a,1b サーバ
2,11 クライアント
3,14 広域イーサーネット(登録商標)
4,15 INS網
10a,10b 業務サーバ
16 セキュリティクライアント
17,18 脆弱性情報
19,20,R1,R2 ルータ
21 インターネット
31 入力装置
32 出力装置
33 ドライブ装置
34 補助記憶装置
35 メモリ装置
36 演算処理装置
37 インターフェース装置
38 記録媒体
41 構成/脆弱性確認ツール
42 稼動情報取得ツール
43 脆弱性確認ツール
44 提案テンプレート
45 脆弱性情報開発元DB
46 ネットワークシステムマップDB
47 脆弱性情報DB
2,11 クライアント
3,14 広域イーサーネット(登録商標)
4,15 INS網
10a,10b 業務サーバ
16 セキュリティクライアント
17,18 脆弱性情報
19,20,R1,R2 ルータ
21 インターネット
31 入力装置
32 出力装置
33 ドライブ装置
34 補助記憶装置
35 メモリ装置
36 演算処理装置
37 インターフェース装置
38 記録媒体
41 構成/脆弱性確認ツール
42 稼動情報取得ツール
43 脆弱性確認ツール
44 提案テンプレート
45 脆弱性情報開発元DB
46 ネットワークシステムマップDB
47 脆弱性情報DB
Claims (3)
- 所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、
前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、
前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップと
を有することを特徴とするソフトウェア更新要否判定方法。 - 前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを更新が不要と判定することを特徴とする請求項1記載のソフトウェア更新要否判定方法。
- 前記機器に搭載されたソフトウェアに関する情報は、前記ソフトウェアの識別情報および利用履歴情報を含むことを特徴とする請求項1又は2記載のソフトウェア更新要否判定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006152557A JP4978061B2 (ja) | 2006-05-31 | 2006-05-31 | ソフトウェア更新要否判定方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006152557A JP4978061B2 (ja) | 2006-05-31 | 2006-05-31 | ソフトウェア更新要否判定方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007323349A true JP2007323349A (ja) | 2007-12-13 |
| JP4978061B2 JP4978061B2 (ja) | 2012-07-18 |
Family
ID=38856102
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006152557A Expired - Fee Related JP4978061B2 (ja) | 2006-05-31 | 2006-05-31 | ソフトウェア更新要否判定方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4978061B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010152572A (ja) * | 2008-12-25 | 2010-07-08 | Kddi Corp | コンピュータ装置、情報収集方法及び情報収集プログラム |
| JP2016162137A (ja) * | 2015-02-27 | 2016-09-05 | 京セラドキュメントソリューションズ株式会社 | プログラム入替システム |
| JP2019056986A (ja) * | 2017-09-20 | 2019-04-11 | 日本電気株式会社 | 検証装置及び検証方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002268985A (ja) * | 2001-03-13 | 2002-09-20 | Yokogawa Electric Corp | 脆弱性対応システム |
| JP2003084978A (ja) * | 2001-09-06 | 2003-03-20 | Fuji Xerox Co Ltd | プログラム更新方法、及び、外部装置、ホスト装置 |
| JP2005099967A (ja) * | 2003-09-24 | 2005-04-14 | Hitachi Ltd | 予防保守方法 |
| JP2005157509A (ja) * | 2003-11-21 | 2005-06-16 | Hitachi Ltd | 通信端末 |
-
2006
- 2006-05-31 JP JP2006152557A patent/JP4978061B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002268985A (ja) * | 2001-03-13 | 2002-09-20 | Yokogawa Electric Corp | 脆弱性対応システム |
| JP2003084978A (ja) * | 2001-09-06 | 2003-03-20 | Fuji Xerox Co Ltd | プログラム更新方法、及び、外部装置、ホスト装置 |
| JP2005099967A (ja) * | 2003-09-24 | 2005-04-14 | Hitachi Ltd | 予防保守方法 |
| JP2005157509A (ja) * | 2003-11-21 | 2005-06-16 | Hitachi Ltd | 通信端末 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010152572A (ja) * | 2008-12-25 | 2010-07-08 | Kddi Corp | コンピュータ装置、情報収集方法及び情報収集プログラム |
| JP2016162137A (ja) * | 2015-02-27 | 2016-09-05 | 京セラドキュメントソリューションズ株式会社 | プログラム入替システム |
| JP2019056986A (ja) * | 2017-09-20 | 2019-04-11 | 日本電気株式会社 | 検証装置及び検証方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4978061B2 (ja) | 2012-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101228508B (zh) | 以安全方式从引导文件服务器下载引导镜像文件的方法和装置 | |
| US7376944B2 (en) | Hardware ROM upgrade through an internet or intranet service | |
| US20070097400A1 (en) | Automatic installation system for printer driver, and program recording medium | |
| US9727352B2 (en) | Utilizing history of changes associated with software packages to manage computing systems | |
| US20090083420A1 (en) | Method and Apparatus for Automatically Conducting Hardware Inventories of Computers in a Network | |
| US20120266153A1 (en) | Evaluating Computer Driver Update Compliance | |
| JP2010097301A (ja) | ネットワークシステム、サーバ装置、および、プリンタドライバ | |
| CN102306256A (zh) | 对获取的文件进行信誉检查 | |
| US8850563B2 (en) | Portable computer accounts | |
| JP2006134245A (ja) | プリンタドライバの自動インストールシステム及びプログラム | |
| JP4802105B2 (ja) | コンテンツ公開用の情報ネットワークの操作方法およびシステム | |
| US20060117312A1 (en) | Device to serve software to a host device through a peripheral device and method thereof | |
| US20080222043A1 (en) | System and method for trans-vendor license registration and recovery | |
| JP4978061B2 (ja) | ソフトウェア更新要否判定方法 | |
| JP4666906B2 (ja) | クライアント装置のシステム環境規約違反検出方法 | |
| JP2007006081A (ja) | 携帯通信端末及びそのプログラム並びにこれを用いるファイル転送方法及びシステム | |
| JP2002189594A (ja) | 最新バージョン自動設定システム、及び自動設定方法 | |
| JP2010092322A (ja) | ネットワークシステム、サーバ装置、および、プリンタドライバ | |
| JP2005209070A (ja) | 配信サーバおよびセキュアos端末 | |
| JP2019212223A (ja) | 情報処理システム、およびその制御方法 | |
| JP2006178881A (ja) | ソフトウェア管理システム及びソフトウェア管理方法 | |
| JP4823674B2 (ja) | リモートインストールシステム、リモートインストール方法、サーバクローニングシステム、並びにサーバクローニング方法 | |
| JP4802613B2 (ja) | インストールシステム及びインストールプログラム | |
| JP2010097302A (ja) | ネットワークシステム、サーバ装置、および、プリンタドライバ | |
| JP2005107708A (ja) | アプリケーション配布システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090309 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110929 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111004 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111201 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120104 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120302 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120321 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120403 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150427 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4978061 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |