JP2010237836A - Security audit period derivation device, security audit period derivation program, and recording medium - Google Patents

Security audit period derivation device, security audit period derivation program, and recording medium Download PDF

Info

Publication number
JP2010237836A
JP2010237836A JP2009083155A JP2009083155A JP2010237836A JP 2010237836 A JP2010237836 A JP 2010237836A JP 2009083155 A JP2009083155 A JP 2009083155A JP 2009083155 A JP2009083155 A JP 2009083155A JP 2010237836 A JP2010237836 A JP 2010237836A
Authority
JP
Japan
Prior art keywords
audit
security
risk determination
determination rule
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009083155A
Other languages
Japanese (ja)
Inventor
Gentaro Washio
元太郎 鷲尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2009083155A priority Critical patent/JP2010237836A/en
Publication of JP2010237836A publication Critical patent/JP2010237836A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To change the frequency of the acquisition of security setting information from an audit object terminal as the object of security audit according to the risk of the audit object terminal. <P>SOLUTION: An audit object terminal as a security audit period derivation device is provided with: a terminal side risk determination rule storage part 203 for storing a risk determination rule as a rule in which a derivation procedure for deriving the next audit period is defined from the audit result of the security audit of the audit object device as the object of security audit; and a terminal side risk determination part for deriving the audit period of the next security audit to the audit object terminal from the audit result of a client audit result storage part 202 in which the audit result of the security audit of the audit object terminal is stored and the risk determination rule stored in the terminal side risk determination rule storage part 203. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

この発明は、セキュリティポリシー監査を実行する実行時期を導出する監査時期導出装置に関する。   The present invention relates to an audit time deriving device for deriving an execution time for executing a security policy audit.

従来のセキュリティ運用管理システムは、情報セキュリティポリシーを保存し、被監視対象システムのセキュリティ情報を収集することによって、被監視対象システムのセキュリティ状態のセキュリティポリシー監査を行っていた(例えば、特許文献1)。また、これらのセキュリティポリシー監査は、ある決められた一定間隔に実施されていた(例えば、特許文献2)。   A conventional security operation management system stores an information security policy and collects security information of the monitored system to perform a security policy audit of the security status of the monitored system (for example, Patent Document 1). . Further, these security policy audits are performed at a predetermined fixed interval (for example, Patent Document 2).

特開2002−247033号公報、図1Japanese Patent Laid-Open No. 2002-247033, FIG. 特開2001−273388号公報、図20Japanese Patent Laid-Open No. 2001-273388, FIG.

従来のセキュリティポリシー監査システムは、セキュリティポリシー監査における監査対象端末からのセキュリティ設定情報収集を予め決められた時間頻度で実施している。このような構成の場合、可能な限り高い頻度で行った方が、セキュリティ漏洩事故発生のリスクが少なくなるが、端末への負荷増大や、サーバ負荷増大による1サーバでの監査可能な台数の減少の課題があり、高頻度での設定情報収集を行うことができないという課題があった。   A conventional security policy auditing system collects security setting information from audit target terminals in security policy auditing at a predetermined time frequency. In such a configuration, the risk of security leakage accidents is reduced by performing as frequently as possible, but the load on the terminal increases or the number of auditable units on one server decreases due to increased server load. There is a problem that setting information cannot be collected at a high frequency.

この発明は、端末からセキュリティ設定情報を取得する頻度をリスクに応じて変化させることで、端末/サーバ両方の負荷軽減・セキュリティレベル向上を実現することを目的とする。   An object of the present invention is to reduce the load and improve the security level of both the terminal and the server by changing the frequency of acquiring the security setting information from the terminal according to the risk.

この発明のセキュリティ監査時期導出装置は、
セキュリティ監査の対象となる監査対象装置のセキュリティ監査の監査結果から次回の監査時期を導出する導出手順が定義されたルールであるリスク判定ルールを記憶するリスク判定ルール記憶部と、
前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査時期を導出する監査時期導出部と
を備えたことを特徴とする。 The security audit time derivation device of this invention is
A risk judgment rule storage unit for storing a risk judgment rule that is a rule in which a derivation procedure for deriving a next audit time from a security audit result of an audit target device to be a security audit target is defined;
From the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and the risk determination rule stored in the risk determination rule storage unit, the next security for the audit target device An audit time deriving section for deriving the audit time of the audit is provided.

この発明により、監査頻度を監査対象のリスクに応じて変化させることができる。   According to the present invention, the audit frequency can be changed according to the risk to be audited.

実施の形態1におけるセキュリティポリシー監査システム1010のシステム構成図。1 is a system configuration diagram of a security policy audit system 1010 according to Embodiment 1. FIG. 実施の形態1における監査実行部212の動作を示すフロー。5 is a flow showing the operation of the audit execution unit 212 in the first embodiment. 実施の形態1における端末側リスク判定部214の動作フロー。The operation | movement flow of the terminal side risk determination part 214 in Embodiment 1. FIG. 実施の形態1におけるリスク判定ルール。The risk determination rule in Embodiment 1. FIG. 実施の形態2におけるセキュリティポリシー監査システム1020のシステム構成図。FIG. 10 is a system configuration diagram of a security policy audit system 1020 according to the second embodiment. 実施の形態3におけるセキュリティポリシー監査システム1030の構成図。FIG. 10 is a configuration diagram of a security policy audit system 1030 in the third embodiment. 実施の形態3における端末側リスク判定部214の動作フロー。The operation | movement flow of the terminal side risk determination part 214 in Embodiment 3. FIG. 実施の形態4におけるセキュリティポリシー監査システム1040のシステム構成図。FIG. 18 is a system configuration diagram of a security policy audit system 1040 according to the fourth embodiment. 実施の形態4におけるサーバ側リスク判定部1401の動作フロー。The operation | movement flow of the server side risk determination part 1401 in Embodiment 4. FIG. 実施の形態5におけるセキュリティポリシー監査システム1050のシステム構成図。FIG. 16 is a system configuration diagram of a security policy audit system 1050 according to the fifth embodiment. 実施の形態5におけるリスク問合せ部2401の動作フロー。The operation | movement flow of the risk inquiry part 2401 in Embodiment 5. FIG. 実施の形態5におけるサーバ側リスク判定部1401の動作フロー。The operation | movement flow of the server side risk determination part 1401 in Embodiment 5. FIG. 実施の形態5におけるリスク判定ルールの一例。An example of the risk determination rule in Embodiment 5. 実施の形態6におけるセキュリティポリシー監査システム1060のシステム構成図。FIG. 18 is a system configuration diagram of a security policy audit system 1060 according to the sixth embodiment. 実施の形態6におけるリスク判定部1401の動作フロー。The operation | movement flow of the risk determination part 1401 in Embodiment 6. FIG. 実施の形態6におけるリスク判定ルールの一例。An example of the risk determination rule in Embodiment 6. 実施の形態7における監査対象端末の外観。The appearance of the audit target terminal in the seventh embodiment. 実施の形態7における監査対象端末のハードウェア構成の一例。18 shows an example of a hardware configuration of an audit target terminal according to the seventh embodiment.

以下の実施の形態1〜7では、セキュリティ監査の監査時期を導出する監査時期導出装置を説明する。監査時期導出装置の主要な構成要素は、後述するリスク判定部である。実施の形態1〜3では、監査対象端末自身が監査時期導出装置に該当し(監査対象端末にリスク判定部が存在する)、実施の形態4〜6では、監査サーバが監査時期導出装置に該当する(監査サーバにリスク判定部が存在する)。なお実施の形態7では監査時期導出装置のハードウェア構成を説明する。   In the following first to seventh embodiments, an audit time deriving device for deriving an audit time of a security audit will be described. The main component of the audit time deriving device is a risk determination unit described later. In the first to third embodiments, the audit target terminal itself corresponds to the audit time deriving device (the risk judging unit exists in the audit target terminal), and in the fourth to sixth embodiments, the audit server corresponds to the audit time deriving device. (A risk determination unit exists in the audit server). In the seventh embodiment, the hardware configuration of the audit time deriving device will be described.

実施の形態1.
図1から図4を参照して実施の形態1を説明する。実施の形態1は、監査対象端末装置200(以下、監査対象端末という)に組み込まれたソフトウェアであるセキュリティ監査エージェント210(端末側リスク判定部214)が、次回の監査時期を導出する実施の形態である。 Embodiment 1 FIG.
The first embodiment will be described with reference to FIGS. In the first embodiment, the security audit agent 210 (terminal-side risk determination unit 214), which is software incorporated in the audit target terminal device 200 (hereinafter referred to as the audit target terminal), derives the next audit time. It is.

図1は、実施の形態1におけるセキュリティポリシー監査システム1010のシステム構成図である。セキュリティポリシー監査システム1010は、複数の監査対象端末200と、セキュリティ監査サーバ装置100(以下、セキュリティ監査サーバという)とを備えている。監査対象端末200とセキュリティ監査サーバ100はネットワーク(LAN300)に接続しており、互いに通信可能である。LAN300は、セキュリティ監査サーバ100および監査対象端末200が接続されたローカルエリアネットワーク(LAN)である。   FIG. 1 is a system configuration diagram of a security policy audit system 1010 according to the first embodiment. The security policy audit system 1010 includes a plurality of audit target terminals 200 and a security audit server device 100 (hereinafter referred to as a security audit server). The audit target terminal 200 and the security audit server 100 are connected to a network (LAN 300) and can communicate with each other. The LAN 300 is a local area network (LAN) to which the security audit server 100 and the audit target terminal 200 are connected.

(セキュリティ監査サーバ100)
セキュリティ監査サーバ100は、監査対象端末200のセキュリティ監査を行うサーバである。セキュリティ監査サーバ100は、監査結果情報収集部101、監査結果記憶部102、監査結果情報表示部103を備える。
(1)監査結果情報収集部101は、それぞれの監査対象端末200のセキュリティ監査エージェント210から通知される監査結果を収集し、収集した監査結果を監査結果記憶部102に格納する。
(2)監査結果記憶部102は、それぞれの監査対象端末200のセキュリティ監査エージェント210から通知される監査結果が格納されるデータベースである。
(3)監査結果情報表示部103は、セキュリティ監査人などセキュリティポリシー監査システムを利用する者に対して監査結果を表示する。 (Security audit server 100)
The security audit server 100 is a server that performs a security audit of the audit target terminal 200. The security audit server 100 includes an audit result information collection unit 101, an audit result storage unit 102, and an audit result information display unit 103.
(1) The audit result information collection unit 101 collects the audit results notified from the security audit agent 210 of each audit target terminal 200, and stores the collected audit results in the audit result storage unit 102.
(2) The audit result storage unit 102 is a database in which audit results notified from the security audit agent 210 of each audit target terminal 200 are stored.
(3) The audit result information display unit 103 displays the audit result to a person using the security policy audit system such as a security auditor.

(監査対象端末200)
監査対象端末200は、監査対象となるPC(Personal Computer)、サーバ、携帯端末装置、測定器などの装置である。監査対象端末200は、セキュリティ監査エージェント210、端末セキュリティ設定情報記憶部220を備えている。 (Audit target terminal 200)
The audit target terminal 200 is a device such as a PC (Personal Computer), a server, a portable terminal device, and a measuring instrument to be audited. The audit target terminal 200 includes a security audit agent 210 and a terminal security setting information storage unit 220.

(セキュリティ監査エージェント210)
セキュリティ監査エージェント210は、監査対象端末上で動作しセキュリティ監査を行うエージェントソフトウェアである。セキュリティ監査エージェント210は、監査結果通知部211、監査実行部212、セキュリティ設定情報取得部213、端末側リスク判定部214、セキュリティポリシー記憶部201、クライアント監査結果記憶部202(監査結果格納装置)、端末側リスク判定ルール記憶部203を備えている。 (Security audit agent 210)
The security audit agent 210 is agent software that operates on the audit target terminal and performs security audit. The security audit agent 210 includes an audit result notification unit 211, an audit execution unit 212, a security setting information acquisition unit 213, a terminal-side risk determination unit 214, a security policy storage unit 201, a client audit result storage unit 202 (audit result storage device), A terminal-side risk determination rule storage unit 203 is provided.

(1)監査結果通知部211は、セキュリティ監査エージェント210(監査実行部212)が収集した監査結果をセキュリティ監査サーバ100に送信する。
(2)監査実行部212は、監査実行処理を行う。
(3)セキュリティ設定情報取得部213は、監査実行部212の指示に従って、端末セキュリティ設定情報記憶部220から端末セキュリティ情報を取得する。
(4)端末側リスク判定部214は、監査対象端末200のセキュリティリスクを判断する。セキュリティリスクとは、セキュリティに関する危険の程度である。
(5)セキュリティポリシー記憶部201は、セキュリティポリシーを記憶する。セキュリティポリシーとは、セキュリティ監査エージェント210がセキュリティ監査を実行する際の、基準となるポリシー情報である。
(6)クライアント監査結果記憶部202は、クライアント監査結果を記憶する。クライアント監査結果とは、セキュリティ監査エージェント210が監査対象端末200を監査した監査結果を示す情報である。
(7)端末側リスク判定ルール記憶部203は、リスク判定ルールを記憶する。リスク判定ルールとは、端末側リスク判定部214がリスク判定の際に利用するルール情報である。リスク判定ルールには、後述する図4のように、セキュリティ監査の対象となる監査対象端末のセキュリティ監査の監査結果から監査対象端末の次回の監査時期を導出する導出手順が定義されている。 (1) The audit result notification unit 211 transmits the audit results collected by the security audit agent 210 (audit execution unit 212) to the security audit server 100.
(2) The audit execution unit 212 performs an audit execution process.
(3) The security setting information acquisition unit 213 acquires terminal security information from the terminal security setting information storage unit 220 in accordance with an instruction from the audit execution unit 212.
(4) The terminal-side risk determination unit 214 determines the security risk of the audit target terminal 200. A security risk is the degree of danger related to security.
(5) The security policy storage unit 201 stores a security policy. The security policy is policy information serving as a reference when the security audit agent 210 executes a security audit.
(6) The client audit result storage unit 202 stores the client audit result. The client audit result is information indicating the audit result of the security audit agent 210 auditing the audit target terminal 200.
(7) The terminal-side risk determination rule storage unit 203 stores risk determination rules. The risk determination rule is rule information used by the terminal-side risk determination unit 214 in risk determination. In the risk determination rule, as shown in FIG. 4 described later, a derivation procedure for deriving the next audit time of the audit target terminal from the audit result of the security audit of the audit target terminal that is the target of the security audit is defined.

(端末セキュリティ設定情報記憶部220)
端末セキュリティ設定情報記憶部220は、端末セキュリティ設定情報を記憶する。端末セキュリティ設定情報とは、監査対象端末200のセキュリティ設定に関する情報やインベントリ情報などセキュリティ監査に関連する情報である。 (Terminal security setting information storage unit 220)
The terminal security setting information storage unit 220 stores terminal security setting information. The terminal security setting information is information related to the security audit such as information related to the security setting of the audit target terminal 200 and inventory information.

次にセキュリティポリシー監査システム1010の動作を説明する。   Next, the operation of the security policy audit system 1010 will be described.

まず監査対象端末200上で動作するセキュリティ監査エージェント210は、起動時に監査実行部212を動作させる。セキュリティポリシー記憶部201のセキュリティポリシー、端末側リスク判定ルール記憶部203のリスク判定ルールは、セキュリティ監査エージェント210の例えば設定ファイルなどで予め決められているものとする。   First, the security audit agent 210 operating on the audit target terminal 200 operates the audit execution unit 212 at the time of activation. It is assumed that the security policy in the security policy storage unit 201 and the risk determination rule in the terminal-side risk determination rule storage unit 203 are determined in advance in, for example, a setting file of the security audit agent 210.

図2は、監査実行部212の動作を示すフローチャートである。   FIG. 2 is a flowchart showing the operation of the audit execution unit 212.

S11において、監査実行部212は、まずセキュリティポリシー記憶部201からセキュリティポリシーを取得し、監査対象項目を確認する。セキュリティポリシーには監査対象項目が記載されている。   In S11, the audit execution unit 212 first acquires a security policy from the security policy storage unit 201, and confirms an audit target item. The items to be audited are described in the security policy.

S12において、監査実行部212はセキュリティ設定情報取得部213に指示し、監査対象項目に従って、端末セキュリティ設定情報記憶部220から端末セキュリティ設定情報を取得する。   In S12, the audit execution unit 212 instructs the security setting information acquisition unit 213 to acquire the terminal security setting information from the terminal security setting information storage unit 220 according to the audit target item.

S13において、監査実行部212は、取得した端末セキュリティ設定情報とセキュリティポリシー記憶部201のセキュリティポリシーとを比較し、端末セキュリティ設定情報がセキュリティポリシーに適合しているかどうかを示す「クライアント監査結果」を作成する。   In S13, the audit execution unit 212 compares the acquired terminal security setting information with the security policy in the security policy storage unit 201, and displays a “client audit result” indicating whether the terminal security setting information conforms to the security policy. create.

S14において、監査実行部212は、作成したクライアント監査結果をクライアント監査結果記憶部202に格納するのと同時に、監査結果通知部211を通じてセキュリティ監査サーバ100に通知させる。   In S <b> 14, the audit execution unit 212 stores the created client audit result in the client audit result storage unit 202 and simultaneously notifies the security audit server 100 through the audit result notification unit 211.

S15において、その後、監査実行部212は、端末側リスク判定部214に次回の監査実行開始時刻を問い合わせる。   In S15, thereafter, the audit execution unit 212 inquires of the terminal-side risk determination unit 214 about the next audit execution start time.

(端末側リスク判定部214)
図3は、端末側リスク判定部214の動作を示すフローチャートである。また、図4は、リスク判定ルールの例を示す図である。端末側リスク判定部214は、S21において、S14にて格納されたクライアント監査結果とリスク判定ルールを取得して両者を比較し、監査対象端末200のリスク状況を判定する。そしてS22において、判定した結果と合致するリスク判定ルールの次回監査時間間隔の設定情報から、次回の監査実施時間(監査時期)を導出し、監査実行部212に通知する。 (Terminal risk determination unit 214)
FIG. 3 is a flowchart showing the operation of the terminal-side risk determination unit 214. FIG. 4 is a diagram illustrating an example of the risk determination rule. In S21, the terminal-side risk determination unit 214 acquires the client audit result stored in S14 and the risk determination rule, compares them, and determines the risk status of the audit target terminal 200. In S 22, the next audit execution time (audit time) is derived from the setting information of the next audit time interval of the risk determination rule that matches the determined result, and is notified to the audit execution unit 212.

(監査実行部212)
図2のS16において、監査実行部212は、次回の監査実施時間を取得すると、現在時刻と次回監査実行開始時刻を比較し、現在時刻が過ぎていれば、再度セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。 (Audit execution unit 212)
In S16 of FIG. 2, when the next audit execution time is acquired, the audit execution unit 212 compares the current time with the next audit execution start time, and if the current time has passed, acquires the security setting information again, Repeat the operation. If the current time has not passed, sleep for a fixed time is repeated until the current time passes the next audit start time.

セキュリティ監査エージェント210(監査実行部212)によって取得されたクライアント監査結果は、監査結果通知部211を介してセキュリティ監査サーバ100の監査結果情報収集部101によって取得され、監査結果記憶部102に複数の監査対象端末の監査結果が格納される。セキュリティ管理者は、監査結果情報表示部103にアクセスすることで、監査結果記憶部102の監査結果を参照することができる。   The client audit result acquired by the security audit agent 210 (audit execution unit 212) is acquired by the audit result information collection unit 101 of the security audit server 100 via the audit result notification unit 211, and a plurality of audit results are stored in the audit result storage unit 102. The audit result of the audit target terminal is stored. The security administrator can refer to the audit result in the audit result storage unit 102 by accessing the audit result information display unit 103.

以上のように、端末側リスク判定部214により、前回の監査結果に応じてセキュリティ監査間隔を変更(次回の監査時期を決定)するようにしているので、セキュリティレベルの低下を招くことなく、セキュリティ監査サーバの負荷を軽減できる。   As described above, the terminal-side risk determination unit 214 changes the security audit interval according to the previous audit result (determines the next audit time), so that the security level is not lowered and security is not reduced. The load on the audit server can be reduced.

例えば、1時間に1回セキュリティ監査を実施しなければいけない場合にセキュリティ監査サーバ1台で監査可能な端末数が100台である環境において、リスク判定機能によりすべての監査対象端末のリスクが低いと判断され1日に1回のセキュリティ監査でよい場合、セキュリティ監査サーバ1台で2400台の端末のセキュリティ監査が実現可能となる。上記の例では、すべての監査対象端末のリスクが低いと仮定したが、セキュリティ監査システムは初期導入時はセキュリティポリシー違反端末が多く発見されるが、長期運用時にはセキュリティポリシー違反となるリスクの高いPCはほとんど存在せず、多くの場合ほぼ上記の仮定が適用できるものと考えられる。   For example, in the environment where the number of terminals that can be audited by one security audit server is 100 when security audits must be performed once an hour, the risk judgment function can reduce the risk of all audited terminals. If it is determined that a security audit once a day is sufficient, a security audit of 2400 terminals can be realized by one security audit server. In the above example, it was assumed that the risk of all audited terminals was low, but the security audit system found many terminals that violated the security policy at the initial introduction, but the PC with a high risk of violating the security policy during long-term operation. Are almost nonexistent, and in many cases, the above assumption can be applied.

実施の形態2.
次に図5を参照して実施の形態2を説明する。以上の実施の形態1では、リスク判定ルールは、予めセキュリティ監査エージェント210に格納されており、動的に変更できない構成であるが、実施の形態2のセキュリティポリシー監査システム1020では、セキュリティ監査サーバ100からの通知でリスク判定ルールを動的に変更可能とする。 Embodiment 2. FIG.
Next, Embodiment 2 will be described with reference to FIG. In the first embodiment described above, the risk determination rule is stored in advance in the security audit agent 210 and cannot be dynamically changed. However, in the security policy audit system 1020 of the second embodiment, the security audit server 100 The risk judgment rule can be dynamically changed by notification from.

図5は、セキュリティポリシー監査システム1020の構成図である。図5において、リスク判定ルール設定部1201は、セキュリティ監査サーバ100上で動作し、リスク判定ルールの設定・変更を行うユーザーインターフェースを提供する。リスク判定ルール格納部2201(リスク判定ルール入力部)は、セキュリティ監査エージェント210上で動作し、セキュリティ判定ルールの取得・変更を行う。   FIG. 5 is a configuration diagram of the security policy audit system 1020. In FIG. 5, a risk determination rule setting unit 1201 operates on the security audit server 100 and provides a user interface for setting / changing a risk determination rule. The risk judgment rule storage unit 2201 (risk judgment rule input unit) operates on the security audit agent 210 and acquires / changes the security judgment rule.

次に動作について説明する。   Next, the operation will be described.

(リスク判定ルール設定部1201等の動作)
まず、リスク判定ルール設定部1201は、セキュリティ監査者の操作に従い、リスク判定ルールの設定・変更を行う。リスク判定ルール設定部1201で設定されたリスク判定ルールは、リスク判定ルール格納部2201に通知される。 (Operation of the risk judgment rule setting unit 1201 etc.)
First, the risk determination rule setting unit 1201 sets and changes the risk determination rule in accordance with the operation of the security auditor. The risk determination rule set by the risk determination rule setting unit 1201 is notified to the risk determination rule storage unit 2201.

リスク判定ルール格納部2201は、リスク判定ルール設定部1201からリスク判定ルールの設定あるいは変更の入力を受け付けて、端末側リスク判定ルール記憶部203にそのリスク判定ルールを格納する。すなわち、リスク判定ルール格納部2201は、リスク判定ルール設定部1201から受け付けたリスク判定ルールの設定あるいは変更を、端末側リスク判定ルール記憶部203のリスク判定ルールに反映する。   The risk determination rule storage unit 2201 receives an input for setting or changing the risk determination rule from the risk determination rule setting unit 1201 and stores the risk determination rule in the terminal-side risk determination rule storage unit 203. That is, the risk determination rule storage unit 2201 reflects the setting or change of the risk determination rule received from the risk determination rule setting unit 1201 in the risk determination rule of the terminal-side risk determination rule storage unit 203.

端末側リスク判定部214は、図3のフローチャートに示すとおり、動作時点におけるリスク判定ルールに基づいてリスク判定処理を実行するので、その実行の際におけるリスク判定ルール(その実行前に変更があれば変更後のルールが反映される)が使用される。   Since the terminal-side risk determination unit 214 executes the risk determination process based on the risk determination rule at the time of operation, as shown in the flowchart of FIG. 3, the risk determination rule at the time of execution (if there is a change before the execution) The changed rule is reflected).

以上のように、リスク判定ルールを動的に変更可能とする構成とすることにより、監査結果の状況によりセキュリティ監査者が動的にリスク判定ルールを変更することが可能となり、よりセキュリティレベルの向上・負荷軽減を実現できる。   As described above, by adopting a configuration that allows the risk judgment rules to be changed dynamically, the security auditor can dynamically change the risk judgment rules depending on the status of the audit results, further improving the security level.・ Reduces load.

実施の形態3.
次に図6、図7を参照して実施の形態3を説明する。以上の実施の形態1、2では、リスク判定ルールをエージェント側(監査対象端末側)で保持する構成としていたが、実施の形態3のセキュリティポリシー監査システム1030は、リスク判定ルールをセキュリティ監査サーバ100で保持し、リスク判定のたびにセキュリティ監査エージェント210がリスク判定ルールをセキュリティ監査サーバ100から取得する構成である。 Embodiment 3 FIG.
Next, Embodiment 3 will be described with reference to FIGS. In the first and second embodiments described above, the risk determination rule is held on the agent side (the audit target terminal side). However, the security policy audit system 1030 according to the third embodiment stores the risk determination rule in the security audit server 100. The security audit agent 210 acquires a risk determination rule from the security audit server 100 each time a risk is determined.

図6は、実施の形態3のセキュリティポリシー監査システム1030の構成図である。図6に示すように、リスク判定ルールは、サーバ側リスク判定ルール記憶部1301に記憶されている。サーバ側リスク判定ルール記憶部1301のリスク判定ルールは、各セキュリティ検査エージェント210に対するデータベース情報である。また、リスク通知部1302は、セキュリティ監査サーバ100上で動作し、それぞれの監査対象端末200のセキュリティ監査エージェント210にリスク判定ルールを通知する。   FIG. 6 is a configuration diagram of the security policy audit system 1030 according to the third embodiment. As illustrated in FIG. 6, the risk determination rule is stored in the server-side risk determination rule storage unit 1301. The risk determination rule in the server-side risk determination rule storage unit 1301 is database information for each security inspection agent 210. Further, the risk notification unit 1302 operates on the security audit server 100 and notifies the risk audit rule to the security audit agent 210 of each audit target terminal 200.

次に動作を説明する。まず監査対象端末200上で動作するセキュリティ監査エージェント210は、起動時に監査実行部212を動作させる。   Next, the operation will be described. First, the security audit agent 210 operating on the audit target terminal 200 operates the audit execution unit 212 at the time of activation.

監査実行部212の動作は図2と同様であるので説明を省略する。   The operation of the audit execution unit 212 is the same as that in FIG.

図7は、端末側リスク判定部214の動作を示すフローチャートである。図7は図3に対して、S32が追加されている。   FIG. 7 is a flowchart showing the operation of the terminal-side risk determination unit 214. In FIG. 7, S32 is added to FIG.

図7に示すとおり、S32において、監査実行部212から問い合わせを受けると(S15)、端末側リスク判定部214は、リスク通知部1302に依頼することにより、リスク通知部1302からリスク判定ルールを取得し、取得したリスク判定ルールとクライアント監査結果記憶部202(監査結果格納装置)のクライアント監査結果とを比較し、監査対象端末200のリスク状況を判定する。判定した結果、合致するリスク判定ルールの次回監査時間間隔の設定情報から次回の監査実施時間を導出し、監査実行部212に通知する(S33)。   7, when an inquiry is received from the audit execution unit 212 in S32 (S15), the terminal-side risk determination unit 214 obtains a risk determination rule from the risk notification unit 1302 by making a request to the risk notification unit 1302 Then, the obtained risk determination rule is compared with the client audit result of the client audit result storage unit 202 (audit result storage device), and the risk status of the audit target terminal 200 is determined. As a result of the determination, the next audit execution time is derived from the setting information of the next audit time interval of the matching risk determination rule, and is notified to the audit execution unit 212 (S33).

図3の場合と同様に、次回の監査実施時間を取得した監査実行部212は、現在時刻と次回監査実行開始時刻を比較し、現在時刻が過ぎていれば、再度セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。   As in the case of FIG. 3, the audit execution unit 212 that has acquired the next audit execution time compares the current time with the next audit execution start time, and if the current time has passed, acquires the security setting information again, The above operation is repeated. If the current time has not passed, sleep for a fixed time is repeated until the current time passes the next audit start time.

セキュリティ監査エージェントによって取得されたクライアント監査結果は、セキュリティ監査サーバ100の監査結果情報収集部101によって取得され、監査結果記憶部102に複数の監査対象端末の監査結果が格納される。セキュリティ管理者は監査結果情報表示部103にアクセスすることで、監査結果記憶部102の監査結果を参照することができる。   The client audit result acquired by the security audit agent is acquired by the audit result information collecting unit 101 of the security audit server 100, and the audit results of a plurality of audit target terminals are stored in the audit result storage unit 102. The security administrator can refer to the audit result in the audit result storage unit 102 by accessing the audit result information display unit 103.

以上のように、リスク判定ルールをセキュリティ監査サーバで一元管理することにより、複数の監査対象端末に対して同時に1つのリスク判定ルールを適用することが可能である。また、サーバに問合せることによりリアルタイムでのリスク判定の反映が可能となる。   As described above, it is possible to apply one risk determination rule to a plurality of audit target terminals simultaneously by centrally managing the risk determination rule with the security audit server. In addition, it is possible to reflect the risk judgment in real time by making an inquiry to the server.

実施の形態4.
次に図8、図9を参照して、実施の形態4を説明する。以上の実施の形態1〜3では、リスク判定をエージェント側(監査対象端末側)で実施する構成としていたが、実施の形態4のセキュリティポリシー監査システム1040では、リスク判定ルールおよびリスク判定機能をセキュリティ監査サーバ100で保持する構成とし、監査対象端末のリスク判定をセキュリティ監査サーバ100側で実行する。 Embodiment 4 FIG.
Next, the fourth embodiment will be described with reference to FIGS. In the first to third embodiments described above, the risk determination is performed on the agent side (the audit target terminal side). However, in the security policy audit system 1040 according to the fourth embodiment, the risk determination rule and the risk determination function are secured. The security server 100 executes the risk determination of the audit target terminal on the security audit server 100 side.

図8は、セキュリティポリシー監査システム1040の構成図である。図8において、リスク問合せ部2401は、セキュリティ監査エージェント210上で動作し、リスクをセキュリティ監査サーバに問い合せる。サーバ側リスク判定部1401は、セキュリティ監査サーバ100上で動作し、リスク判定を行う。   FIG. 8 is a configuration diagram of the security policy audit system 1040. In FIG. 8, the risk inquiry unit 2401 operates on the security audit agent 210 and inquires the security audit server about the risk. The server-side risk determination unit 1401 operates on the security audit server 100 and performs risk determination.

次に動作を説明する。まず監査対象端末200上で動作するセキュリティ監査エージェント210は、起動時に監査実行部212を動作させる。セキュリティポリシー記憶部201のセキュリティポリシーは、セキュリティ監査エージェントの例えば設定ファイルなどで予め決められているものとする。   Next, the operation will be described. First, the security audit agent 210 operating on the audit target terminal 200 operates the audit execution unit 212 at the time of activation. It is assumed that the security policy in the security policy storage unit 201 is determined in advance by, for example, a setting file of the security audit agent.

監査実行部212の動作は、実施の形態1の図2とほぼ同じであるが、図2のS15において、この実施の形態4では、監査実行部212は、リスク問合せ部2401を介して、セキュリティ監査サーバ100のサーバ側リスク判定部1401に次回の監査時期を問い合わせる点が異なる。このように、監査実行部212は、リスク問合せ部2401に次回の監査実行開始時刻を問い合わせる。リスク問合せ部2401は、監査実行部212から問い合わせを受けるとサーバ側リスク判定部1401にリスクを問い合わせる。   The operation of the audit execution unit 212 is almost the same as that in FIG. 2 of the first embodiment, but in S15 of FIG. 2, in this fourth embodiment, the audit execution unit 212 performs security through the risk inquiry unit 2401. The difference is that the server side risk determination unit 1401 of the audit server 100 is inquired about the next audit time. In this way, the audit execution unit 212 inquires of the risk inquiry unit 2401 about the next audit execution start time. Upon receiving an inquiry from the audit execution unit 212, the risk inquiry unit 2401 inquires of the server-side risk determination unit 1401 about the risk.

(サーバ側リスク判定部1401)
図9は、サーバ側リスク判定部1401の動作を示すフローチャートである。図9のフローチャートに示すとおり、サーバ側リスク判定部1401は、サーバ側リスク判定ルール記憶部1301のリスク判定ルールと、監査結果記憶部102(監査結果格納装置)に各クライアント(監査端末)ごとに格納されている監査結果のうちの該当する監査結果とを比較し、監査対象端末200のリスク状況を判定する。判定した結果に合致するリスク判定ルールの次回監査時間間隔の設定情報から次回の監査実施時間を導出し、リスク問合せ部2401を介して監査実行部212に通知する。 (Server-side risk determination unit 1401)
FIG. 9 is a flowchart showing the operation of the server-side risk determination unit 1401. As shown in the flowchart of FIG. 9, the server-side risk determination unit 1401 stores the risk determination rule in the server-side risk determination rule storage unit 1301 and the audit result storage unit 102 (audit result storage device) for each client (audit terminal). The risk status of the audit target terminal 200 is determined by comparing the corresponding audit result among the stored audit results. The next audit execution time is derived from the setting information of the next audit time interval of the risk determination rule that matches the determined result, and is notified to the audit execution unit 212 via the risk inquiry unit 2401.

(監査実行部212)
図2に示した実施の形態1と同様に、次回の監査実施時間を取得した監査実行部212では、現在時刻と次回監査実行開始時刻を比較し、現在時刻が過ぎていれば、再度セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。 (Audit execution unit 212)
As in the first embodiment shown in FIG. 2, the audit execution unit 212 that has acquired the next audit execution time compares the current time with the next audit execution start time. If the current time has passed, the security setting is again set. Information is acquired and the above operations are repeated. If the current time has not passed, sleep for a fixed time is repeated until the current time passes the next audit start time.

以上のように、リスク判定ルールと監査結果をセキュリティ監査サーバで一元管理することにより、複数の監査対象端末の結果を組み合わせたリスク判定が可能となる。例えば、ある組織単位(部、課)のセキュリティリスク状況を判定し、リスクの高い組織にはより高い頻度で監査を実施することも可能となる。   As described above, the risk determination rule and the audit result are centrally managed by the security audit server, thereby making it possible to perform risk determination by combining the results of a plurality of audit target terminals. For example, it is possible to determine the security risk status of a certain organizational unit (department, section), and to conduct audits at a higher frequency for a high-risk organization.

実施の形態5.
次に図10〜図13を参照して、実施の形態5を説明する。以上の実施の形態4では、リスクによりセキュリティ監査頻度を変更(監査時期を決定)する構成としていたが、次にリスクにより取得するセキュリティ設定情報を変更する構成とした実施の形態を示す。 Embodiment 5 FIG.
Next, a fifth embodiment will be described with reference to FIGS. In the fourth embodiment described above, the security audit frequency is changed according to the risk (audit time is determined). Next, an embodiment in which the security setting information acquired according to the risk is changed will be described.

図10は、実施の形態5のセキュリティポリシー監査システム1050の構成図である。   FIG. 10 is a configuration diagram of the security policy audit system 1050 according to the fifth embodiment.

監査実行部212の動作は実施の形態4の場合とほぼ同様である。まず監査対象端末200上で動作するセキュリティ監査エージェント210は、起動時に監査実行部212を動作させる。   The operation of the audit execution unit 212 is almost the same as that in the fourth embodiment. First, the security audit agent 210 operating on the audit target terminal 200 operates the audit execution unit 212 at the time of activation.

(S15:リスク問合せ部2401)
図11は、リスク問合せ部2401の動作を示すフローチャートである。S51においてリスク問合せ部2401は、セキュリティ監査サーバ100のサーバ側リスク判定部1401にリスクを問い合わせる(図2のS15の過程)。 (S15: Risk inquiry unit 2401)
FIG. 11 is a flowchart showing the operation of the risk inquiry unit 2401. In S51, the risk inquiry unit 2401 inquires of the server-side risk determination unit 1401 of the security audit server 100 about the risk (step S15 in FIG. 2).

(サーバ側リスク判定部1401)
図12はサーバ側リスク判定部1401の動作を示すフローチャートである。サーバ側リスク判定部1401は、リスク問合せ部2401から問い合わせを受けると、サーバ側リスク判定ルール記憶部130に記憶されたリスク判定ルールと、監査結果記憶部102に格納されたクライアントの監査結果を比較し、監査対象端末200のリスク状況を判定する。 (Server-side risk determination unit 1401)
FIG. 12 is a flowchart showing the operation of the server-side risk determination unit 1401. Upon receiving an inquiry from the risk inquiry unit 2401, the server-side risk determination unit 1401 compares the risk determination rule stored in the server-side risk determination rule storage unit 130 with the client audit result stored in the audit result storage unit 102. The risk status of the audit target terminal 200 is determined.

ここまでは、実施の形態4と同じである。   Up to this point, the process is the same as in the fourth embodiment.

図13は、サーバ側リスク判定ルール記憶部1301に記憶されたリスク判定ルールを示す図である。サーバ側リスク判定ルール記憶部1301のリスク判定ルールは、図13に示すように、次回の監査時間間隔のみではなく、次回の監査における監査項目についても記載している。このようにリスク判定ルールは、さらに、監査対象端末のセキュリティ監査の監査結果から次回のセキュリティ監査における監査項目の導出手順が定義されている。サーバ側リスク判定部1401は、このリスク判定ルールと、監査結果とから、次回の監査実施時間と次回の監査項目とを導出し、リスク問合せ部2401に通知する。   FIG. 13 is a diagram illustrating risk determination rules stored in the server-side risk determination rule storage unit 1301. As shown in FIG. 13, the risk judgment rule in the server-side risk judgment rule storage unit 1301 describes not only the next audit time interval but also the audit items in the next audit. As described above, the risk determination rule further defines a procedure for deriving an audit item in the next security audit from the audit result of the security audit of the audit target terminal. The server-side risk determination unit 1401 derives the next audit execution time and the next audit item from the risk determination rule and the audit result, and notifies the risk inquiry unit 2401 of it.

(リスク問合せ部2401)
リスク問合せ部2401は、サーバ側リスク判定部1401から取得した次回の監査実施時間を監査実行部212に通知すると共に、次回の監査項目をセキュリティポリシー記憶部201のセキュリティポリシーに設定する。 (Risk inquiry section 2401)
The risk inquiry unit 2401 notifies the audit execution unit 212 of the next audit execution time acquired from the server-side risk determination unit 1401 and sets the next audit item in the security policy of the security policy storage unit 201.

(監査実行部212)
次回の監査実施時間を取得した監査実行部212は、現在時刻と次回監査実行開始時刻を比較し、現在時刻が過ぎていれば、リスク問合せ部2401によって新たに設定されたセキュリティポリシーに従って(この点が実施の形態4と異なる)、セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。 (Audit execution unit 212)
The audit execution unit 212 that has acquired the next audit execution time compares the current time with the next audit execution start time. If the current time has passed, the audit execution unit 212 follows the security policy newly set by the risk inquiry unit 2401 (this point). Is different from the fourth embodiment), the security setting information is acquired, and the above operation is repeated. If the current time has not passed, sleep for a fixed time is repeated until the current time passes the next audit start time.

以上のように、リスク判定ルールに次回監査実施時間だけではなく監査を実施する項目を加えることで、監査項目をリスクに応じて変更することが可能となる。監査項目を変更することにより、負荷の高い監査はリスクの高い端末のみ実施することで負荷軽減を実施したり、セキュリティレベルの向上を図ることができる。   As described above, by adding not only the next audit execution time but also an item to be audited to the risk determination rule, the audit items can be changed according to the risk. By changing the audit items, it is possible to reduce the load or improve the security level by performing a high-load audit only on a terminal with a high risk.

実施の形態6.
次に、図14〜図16を参照して、実施の形態6を説明する。上述の実施の形態5では、エージェントによるセキュリティ監査の監査結果のみでリスクを判定する構成としていたが、次にリスクの判定に入退室管理情報を利用する実施の形態を示す。 Embodiment 6 FIG.
Next, Embodiment 6 will be described with reference to FIGS. In the above-described fifth embodiment, the risk is determined only by the audit result of the security audit by the agent. Next, an embodiment in which the entrance / exit management information is used for risk determination will be described.

図14は、実施の形態6のセキュリティポリシー監査システム1060の構成図である。図14において入退室管理システム600は、所定の部屋、所定の領域、所定の区域などへの人の入退室を管理する入退室管理システムである。入退室管理システム600は、所定の部屋への人の入退室状況を示す入退室ログ(入退室管理情報)を生成する。入退室管理システム600は、入退室管理装置610と入退室ログ620を備えている。入退室管理装置610は、カードリーダやそれらの管理を行う。入退室ログ620は、入退室に関するログ情報である。   FIG. 14 is a configuration diagram of the security policy audit system 1060 according to the sixth embodiment. In FIG. 14, an entrance / exit management system 600 is an entrance / exit management system for managing entrance / exit of a person into a predetermined room, a predetermined area, a predetermined area, and the like. The entrance / exit management system 600 generates an entrance / exit log (entrance / exit management information) indicating the entrance / exit status of a person entering a predetermined room. The entrance / exit management system 600 includes an entrance / exit management device 610 and an entrance / exit log 620. The entrance / exit management device 610 performs card readers and their management. The entrance / exit log 620 is log information related to entrance / exit.

入退室情報取得部1601は、入退室管理情報を取得する。   The entrance / exit information acquisition unit 1601 acquires entrance / exit management information.

次に動作について説明する。まず入退室管理システム600の入退室管理装置610は、ユーザの入室、退室の制御を行い、ユーザの入退室情報をログとして入退室ログ620に格納する動作を常時行っている。   Next, the operation will be described. First, the entrance / exit management device 610 of the entrance / exit management system 600 controls entry / exit of a user, and always performs an operation of storing user entry / exit information as a log in the entrance / exit log 620.

セキュリティ監査エージェント210の動作は、実施の形態5と同じである。実施の形態5と同様に、リスク問合せ部2401は、セキュリティ監査サーバ100のリスク判定部1405にリスクを問い合わせる(S51)。リスク判定部1405は図15のS71の処理において、入退室情報取得部1601に指示し、入退室ログ620から入退室管理情報を取得させる。   The operation of the security audit agent 210 is the same as that of the fifth embodiment. As in the fifth embodiment, the risk inquiry unit 2401 inquires of the risk judgment unit 1405 of the security audit server 100 about the risk (S51). In the process of S71 of FIG. 15, the risk determination unit 1405 instructs the entrance / exit information acquisition unit 1601 to acquire entrance / exit management information from the entrance / exit log 620.

S72において、サーバ側リスク判定部1401は、その入退室ログ(入退室管理情報)と、サーバ側リスク判定ルール記憶部1301のリスク判定ルール、監査結果記憶部102の監査結果とを比較し、監査対象端末200のリスク状況を判定する。   In S72, the server-side risk determination unit 1401 compares the entry / exit log (entrance / exit management information) with the risk determination rule of the server-side risk determination rule storage unit 1301 and the audit result of the audit result storage unit 102, and performs an audit. The risk status of the target terminal 200 is determined.

図16は、サーバ側リスク判定ルール記憶部1301に記憶されたリスク判定ルールを示す。図16に示すように、リスク判定ルールは、リスク判断式として監査結果だけではなく入退室管理システムから取得した入退室管理情報も判断式として参照するように定義されている。このように、リスク判定ルールには、入退室管理情報とセキュリティ監査の監査結果とから次回のセキュリティ監査の監査時期と次回の監査項目とを導出する導出手順が定義されている。   FIG. 16 shows the risk determination rules stored in the server-side risk determination rule storage unit 1301. As shown in FIG. 16, the risk determination rule is defined so that not only the audit result but also the entrance / exit management information acquired from the entrance / exit management system is referred to as the judgment formula as the risk judgment formula. As described above, the risk determination rule defines a derivation procedure for deriving the next security audit audit time and the next audit item from the entrance / exit management information and the security audit result.

サーバ側リスク判定部1401は、監査結果と、入退室管理情報と、リスク判定ルールとに基づいて次回監査実施時間と次回の監査項目とを導出し、導出した次回の監査実施時間と次回の監査項目とをリスク問合せ部2401に通知する。   The server-side risk determination unit 1401 derives the next audit execution time and the next audit item based on the audit result, the entrance / exit management information, and the risk determination rule, and the derived next audit execution time and the next audit are derived. The item is notified to the risk inquiry unit 2401.

以下の動作は実施の形態5と同じである。すなわち、リスク問合せ部2401は、取得した次回監査実施時間を監査実行部212に通知し、次回の監査項目はセキュリティポリシーに反映させる。次回の監査実施時間を取得した監査実行部212は、現在時刻と次回監査実行開始時刻とを比較し、現在時刻が過ぎていれば、再度セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。   The following operations are the same as those in the fifth embodiment. That is, the risk inquiry unit 2401 notifies the audit execution unit 212 of the acquired next audit execution time, and reflects the next audit item in the security policy. The audit execution unit 212 that has acquired the next audit execution time compares the current time with the next audit execution start time, and if the current time has passed, acquires the security setting information again and repeats the above operation. If the current time has not passed, sleep for a fixed time is repeated until the current time passes the next audit start time.

以上のように、リスク判定ルールにセキュリティ監査結果のみではなく入退室管理システムの情報を加えることで、例えば、社外の人が入室している場合は、頻繁にセキュリティチェックを実施することでセキュリティレベルの向上を図ることができる。また、誰も入室していない場合はセキュリティチェック頻度を下げて負荷の高いセキュリティ監査項目を実施するようにして、負荷軽減を図ることができる。   As described above, by adding not only the security audit result but also the information on the entrance / exit management system to the risk judgment rule, for example, when an outside person enters the room, the security level is frequently checked by performing security checks. Can be improved. In addition, when no one is in the room, it is possible to reduce the load by reducing the frequency of security checks and implementing a security audit item with a high load.

実施の形態7.
図17、図18を参照して実施の形態7を説明する。 Embodiment 7 FIG.
The seventh embodiment will be described with reference to FIGS.

実施の形態7は、セキュリティ監査時期導出装置である監査対象端末200、あるいはセキュリティ監査サーバ100を、コンピュータで実現する具体的な実施の形態を示す。セキュリティ監査時期導出装置を監査対象端末200とした場合を想定して説明する。   Embodiment 7 shows a specific embodiment in which the audit target terminal 200 or the security audit server 100 which is a security audit time deriving device is realized by a computer. Description will be made assuming that the security audit time deriving device is the audit target terminal 200.

図17は、監査対象端末200外観の一例を示す図である。図17において、監査対象端末200は、システムユニット830、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key・Board:K/B)、マウス815、FDD817(Flexible・Disk・ Drive)、コンパクトディスク装置818(CDD:Compact Disk Drive)、プリンタ装置819などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。   FIG. 17 is a diagram illustrating an example of the appearance of the audit target terminal 200. In FIG. 17, the audit target terminal 200 includes a system unit 830, a display device 813 having a CRT (Cathode / Ray / Tube) or LCD (liquid crystal) display screen, a keyboard 814 (Key / Board: K / B), and a mouse 815. , FDD 817 (Flexible Disk Drive), compact disk device 818 (CDD: Compact Disk Drive), printer device 819, and other hardware resources, which are connected by cables and signal lines.

図18は、監査対象端末200のハードウェア資源の一例を示す図である。図18において、監査対象端末200は、プログラムを実行するCPU810(Central Processing Unit)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、プリンタ装置819、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。   FIG. 18 is a diagram illustrating an example of hardware resources of the audit target terminal 200. In FIG. 18, the audit target terminal 200 includes a CPU 810 (Central Processing Unit) that executes a program. The CPU 810 includes a ROM (Read Only Memory) 811, a RAM (Random Access Memory) 812, a display device 813, a keyboard 814, a mouse 815, a communication board 816, an FDD 817, a CDD 818, a printer device 819, and a magnetic disk device 820 via a bus 825. And control these hardware devices. Instead of the magnetic disk device 820, a storage device such as an optical disk device or a flash memory may be used.

RAM812は、揮発性メモリの一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部、バッファの一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813、プリンタ装置819などは、出力部、出力装置の一例である。   The RAM 812 is an example of a volatile memory. Storage media such as the ROM 811, the FDD 817, the CDD 818, and the magnetic disk device 820 are examples of nonvolatile memories. These are examples of a storage device or a storage unit, a storage unit, and a buffer. The communication board 816, the keyboard 814, the FDD 817, and the like are examples of an input unit and an input device. The communication board 816, the display device 813, the printer device 819, and the like are examples of an output unit and an output device.

通信ボード816は、ネットワーク(LAN等)に接続されている。通信ボード816は、LANに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。通信ボード816は、ネットワークを介してセキュリティ監査サーバ100、及び他の装置と通信可能である。   The communication board 816 is connected to a network (such as a LAN). The communication board 816 may be connected not only to the LAN but also to a WAN (wide area network) such as the Internet or ISDN. The communication board 816 can communicate with the security audit server 100 and other devices via a network.

磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。   The magnetic disk device 820 stores an operating system 821 (OS), a window system 822, a program group 823, and a file group 824. The programs in the program group 823 are executed by the CPU 810, the operating system 821, and the window system 822.

上記プログラム群823には、以上の実施の形態の説明において「〜部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。   The program group 823 stores programs that execute the functions described as “˜units” in the description of the above embodiments. The program is read and executed by the CPU 810.

ファイル群824には、以上の実施の形態の説明において、「リスク判定ルール」、「セキュリティポリシー」、「クライアント監査結果」、「端末セキュリティ設定情報」として説明したデータや、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。   The file group 824 includes data described as “risk determination rule”, “security policy”, “client audit result”, and “terminal security setting information” in the description of the above embodiment, and “determination result of”. The information described as “calculation result”, “extraction result”, “generation result”, “processing result”, data, signal value, variable value, parameter, etc. And “˜Database” are stored as each item. The “˜file” and “˜database” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the CPU 810 via a read / write circuit, and extracted, searched, referenced, compared, and calculated. Used for CPU operations such as calculation, processing, output, printing, and display. Information, data, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during the CPU operations of extraction, search, reference, comparison, operation, calculation, processing, output, printing, and display. Is remembered.

また、以上に述べた実施の形態の説明において、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。   In the description of the embodiment described above, data and signal values are stored in the memory of the RAM 812, the flexible disk of the FDD 817, the compact disk of the CDD 818, the magnetic disk of the magnetic disk device 820, other optical disks, mini disks, DVDs (Digital). -It records on recording media, such as Versatile and Disk. Data and signals are transmitted on-line via the bus 825, signal lines, cables, and other transmission media.

また、以上の実施の形態の説明において、「〜部」として説明したものは、「〜手段」、「〜回路」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明したものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上に述べた「〜部」としてコンピュータを機能させるものである。あるいは、以上に述べた「〜部」の手順や方法をコンピュータに実行させるものである。   In the above description of the embodiment, what has been described as “to part” may be “to means”, “to circuit”, and “to device”, and “to step” and “to”. “Procedure” and “˜Process” may be used. That is, what has been described as “˜unit” may be realized by firmware stored in the ROM 811. Alternatively, it may be implemented only by software, or only by hardware such as elements, devices, substrates, and wirings, by a combination of software and hardware, or by a combination of firmware. Firmware and software are stored as programs in a recording medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD. The program is read by the CPU 810 and executed by the CPU 810. That is, the program causes the computer to function as the “˜unit” described above. Alternatively, the computer executes the procedure and method of “to part” described above.

以上の実施の形態で説明したセキュリティ監査時期導出装置の動作を、コンピュータに実行させるセキュリティ監査時期導出プログラムとして把握することも可能である。あるいは、セキュリティ監査時期導出プログラムを記録したコンピュータ読み取り可能な記録媒体として把握することも可能である。さらに、セキュリティ監査時期導出装置の動作をセキュリティ監査時期導出装置が行うセキュリティ監査時期導出方法として把握することも可能である。   It is also possible to grasp the operation of the security audit time deriving device described in the above embodiment as a security audit time deriving program to be executed by a computer. Alternatively, it can be grasped as a computer-readable recording medium in which the security audit time derivation program is recorded. Further, the operation of the security audit time deriving device can be grasped as a security audit time deriving method performed by the security audit time deriving device.

100 セキュリティ監査サーバ、101 監査結果情報収集部、102 監査結果記憶部、103 監査結果情報表示部、200 監査対象端末、210 セキュリティ監査エージェント、201 セキュリティポリシー記憶部、202 クライアント監査結果記憶部、203 端末側リスク判定ルール記憶部、211 監査結果通知部、212 監査実行部、213 セキュリティ設定情報取得部、214 端末側リスク判定部、220 端末セキュリティ設定情報記憶部、300 LAN、1201 リスク判定ルール設定部、1301 サーバ側リスク判定ルール記憶部、1302 リスク通知部、1401 サーバ側リスク判定部、2201 リスク判定ルール格納部、2401 リスク問合せ部。   DESCRIPTION OF SYMBOLS 100 Security audit server, 101 Audit result information collection part, 102 Audit result storage part, 103 Audit result information display part, 200 Audit object terminal, 210 Security audit agent, 201 Security policy storage part, 202 Client audit result storage part, 203 terminal Side risk determination rule storage unit, 211 audit result notification unit, 212 audit execution unit, 213 security setting information acquisition unit, 214 terminal side risk determination unit, 220 terminal security setting information storage unit, 300 LAN, 1201 risk determination rule setting unit, 1301 Server-side risk determination rule storage unit, 1302 Risk notification unit, 1401 Server-side risk determination unit, 2201 Risk determination rule storage unit, 2401 Risk inquiry unit.

Claims (8)

セキュリティ監査の対象となる監査対象装置のセキュリティ監査の監査結果から次回の監査時期を導出する導出手順が定義されたルールであるリスク判定ルールを記憶するリスク判定ルール記憶部と、
前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査時期を導出する監査時期導出部と
を備えたことを特徴とするセキュリティ監査時期導出装置。 A risk judgment rule storage unit for storing a risk judgment rule that is a rule in which a derivation procedure for deriving a next audit time from a security audit result of an audit target device to be a security audit target is defined;
From the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and the risk determination rule stored in the risk determination rule storage unit, the next security for the audit target device A security audit timing deriving device comprising an audit timing deriving section for deriving an audit timing of an audit. 前記セキュリティ監査時期導出装置は、さらに、
前記リスク判定ルールの入力を受け付けて、受け付けた前記リスク判定ルールを前記リスク判定ルール記憶部に格納するリスク判定ルール入力部
を備えたことを特徴とする請求項1記載のセキュリティ監査時期導出装置。 The security audit time deriving device further includes:
The security audit time deriving device according to claim 1, further comprising a risk determination rule input unit that receives an input of the risk determination rule and stores the received risk determination rule in the risk determination rule storage unit. 前記監査時期導出部は、
前記監査対象装置から次回の監査時期の問い合わせを受信し、前記問い合わせを受信すると前記導出処理を開始し、導出した前記監査時期を前記監査対象装置に通知することを特徴とする請求項1または2のいずれかに記載のセキュリティ監査時期導出装置。 The audit time deriving section
3. An inquiry about the next audit time is received from the audit target device, and when the query is received, the derivation process is started, and the derived audit time is notified to the audit target device. The security audit time deriving device according to any one of the above. 前記リスク判定ルール記憶部に記憶されるリスク判定ルールは、
さらに、前記監査対象装置のセキュリティ監査の監査結果から次回のセキュリティ監査における監査項目の導出手順が定義されており、
前記監査時期導出部は、
前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査項目を導出することを特徴とする請求項1〜3のいずれかに記載のセキュリティ監査時期導出装置。 The risk determination rule stored in the risk determination rule storage unit is:
Furthermore, a procedure for deriving an audit item in the next security audit from the audit result of the security audit of the audit target device is defined,
The audit time deriving section
From the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and the risk determination rule stored in the risk determination rule storage unit, the next security for the audit target device The security audit time deriving device according to claim 1, wherein an audit item for the audit is derived. 前記リスク判定ルール記憶部に記憶されるリスク判定ルールは、
所定の部屋への人の入退室を管理する入退室管理システムによって生成された前記所定の部屋への人の入退室状況を示す入退室管理情報と前記監査対象装置のセキュリティ監査の監査結果とから次回のセキュリティ監査の監査時期を導出する導出手順が定義されており、
前記セキュリティ監査時期導出装置は、さらに、
前記入退室管理システムから前記入退室管理情報を取得する入退室管理情報取得部を備え、
前記監査時期導出部は、
前記入退室管理情報取得部の取得した前記入退室管理情報と、前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査時期を導出することを特徴とする請求項1〜4のいずれかに記載のセキュリティ監査時期導出装置。 The risk determination rule stored in the risk determination rule storage unit is:
From the entrance / exit management information indicating the entrance / exit status of the person entering / exiting the predetermined room generated by the entrance / exit management system for managing the entrance / exit of the person to / from the predetermined room and the audit result of the security audit of the audit target device The derivation procedure for deriving the audit time of the next security audit is defined,
The security audit time deriving device further includes:
An entrance / exit management information acquisition unit for acquiring the entrance / exit management information from the entrance / exit management system,
The audit time deriving section
The entrance / exit management information acquired by the entrance / exit management information acquisition unit, the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and stored in the risk determination rule storage unit The security audit time deriving device according to claim 1, wherein an audit time of a next security audit for the audit target device is derived from the risk determination rule that has been determined. セキュリティ監査の対象となる監査対象装置のセキュリティ監査の監査結果から次回の監査時期の導出手順が定義されたルールであるリスク判定ルールを記憶するサーバ装置から前記リスク判定ルールを取得すると共に、前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記サーバ装置から取得された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査時期を導出する監査時期導出部
を備えたことを特徴とするセキュリティ監査時期導出装置。 The risk determination rule is acquired from a server device that stores a risk determination rule that is a rule in which a procedure for deriving a next audit time is defined from a security audit audit result of an audit target device to be a security audit target, and the audit The audit time of the next security audit for the audit target device is determined from the audit result of the audit result storage device storing the audit result of the security audit of the target device and the risk determination rule acquired from the server device. A security audit time deriving device comprising a deriving audit time deriving unit. コンピュータを、
セキュリティ監査の対象となる監査対象装置のセキュリティ監査の監査結果から次回の監査時期を導出する導出手順が定義されたルールであるリスク判定ルールを記憶するリスク判定ルール記憶部、
前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査時期を導出する監査時期導出部、
として機能させるセキュリティ監査時期導出プログラム。 Computer
A risk judgment rule storage unit for storing a risk judgment rule that is a rule in which a derivation procedure for deriving a next audit time from a security audit audit result of a security audit target device is defined;
From the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and the risk determination rule stored in the risk determination rule storage unit, the next security for the audit target device An audit time deriving section for deriving the audit time of the audit,
Security audit time derivation program to function as. 請求項7記載のセキュリティ監査時期導出プログラムを記録したコンピュータ読み取り可能な記録媒体。   A computer-readable recording medium on which the security audit time deriving program according to claim 7 is recorded.
JP2009083155A 2009-03-30 2009-03-30 Security audit period derivation device, security audit period derivation program, and recording medium Pending JP2010237836A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009083155A JP2010237836A (en) 2009-03-30 2009-03-30 Security audit period derivation device, security audit period derivation program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009083155A JP2010237836A (en) 2009-03-30 2009-03-30 Security audit period derivation device, security audit period derivation program, and recording medium

Publications (1)

Publication Number Publication Date
JP2010237836A true JP2010237836A (en) 2010-10-21

Family

ID=43092107

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009083155A Pending JP2010237836A (en) 2009-03-30 2009-03-30 Security audit period derivation device, security audit period derivation program, and recording medium

Country Status (1)

Country Link
JP (1) JP2010237836A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103326883A (en) * 2013-05-27 2013-09-25 杭州帕拉迪网络科技有限公司 Uniform safety management and comprehensive audit system
CN107819761A (en) * 2017-11-06 2018-03-20 成都西加云杉科技有限公司 Data processing method, device and readable storage medium storing program for executing
JP7347888B1 (en) 2023-05-29 2023-09-20 SecureNavi株式会社 Program, method, information processing device, system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103326883A (en) * 2013-05-27 2013-09-25 杭州帕拉迪网络科技有限公司 Uniform safety management and comprehensive audit system
CN107819761A (en) * 2017-11-06 2018-03-20 成都西加云杉科技有限公司 Data processing method, device and readable storage medium storing program for executing
JP7347888B1 (en) 2023-05-29 2023-09-20 SecureNavi株式会社 Program, method, information processing device, system

Similar Documents

Publication Publication Date Title
US8606659B2 (en) Identification of discrepancies in actual and expected inventories in computing environment having multiple provisioning orchestration server pool boundaries
US10885167B1 (en) Intrusion detection based on anomalies in access patterns
CN111416811A (en) Unauthorized vulnerability detection method, system, equipment and storage medium
US9582776B2 (en) Methods and systems for providing a comprehensive view of it assets as self service inquiry/update transactions
US20150089300A1 (en) Automated risk tracking through compliance testing
JP5936798B2 (en) Log analysis device, unauthorized access audit system, log analysis program, and log analysis method
US20210160260A1 (en) Automatic Categorization Of IDPS Signatures From Multiple Different IDPS Systems
TW201717086A (en) Detecting software attacks on processes in computing devices
US9521045B1 (en) Management of decommissioned server assets in a shared data environment
JP2010237836A (en) Security audit period derivation device, security audit period derivation program, and recording medium
US10831632B2 (en) Cognitive in-memory API logging
JP2020194478A (en) Abnormality detection system and abnormality detection method
CN111241547A (en) Detection method, device and system for unauthorized vulnerability
CN115828256A (en) Unauthorized and unauthorized logic vulnerability detection method
KR20190067994A (en) Method, Apparatus and Computer-readable medium for Detecting Abnormal Web Service Use Based on Behavior
RU2589863C2 (en) System and method for assessing resources in computer network with position of objects of interest
CN112231232A (en) Method, device and equipment for determining test data model and generating test data
US10924478B2 (en) Identification based on snapshot of device memory
JPWO2017047341A1 (en) Information processing apparatus, information processing method, and program
CN108418827B (en) Network behavior analysis method and device
US11308403B1 (en) Automatic identification of critical network assets of a private computer network
JP2010250677A (en) Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device
US9800588B1 (en) Automated analysis pipeline determination in a malware analysis environment
JP2015138331A (en) Information terminal, execution form monitor method and program
CN114598509B (en) Method and device for determining vulnerability result