JP2010237836A - Security audit period derivation device, security audit period derivation program, and recording medium - Google Patents
Security audit period derivation device, security audit period derivation program, and recording medium Download PDFInfo
- Publication number
- JP2010237836A JP2010237836A JP2009083155A JP2009083155A JP2010237836A JP 2010237836 A JP2010237836 A JP 2010237836A JP 2009083155 A JP2009083155 A JP 2009083155A JP 2009083155 A JP2009083155 A JP 2009083155A JP 2010237836 A JP2010237836 A JP 2010237836A
- Authority
- JP
- Japan
- Prior art keywords
- audit
- security
- risk determination
- determination rule
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
この発明は、セキュリティポリシー監査を実行する実行時期を導出する監査時期導出装置に関する。 The present invention relates to an audit time deriving device for deriving an execution time for executing a security policy audit.
従来のセキュリティ運用管理システムは、情報セキュリティポリシーを保存し、被監視対象システムのセキュリティ情報を収集することによって、被監視対象システムのセキュリティ状態のセキュリティポリシー監査を行っていた(例えば、特許文献1)。また、これらのセキュリティポリシー監査は、ある決められた一定間隔に実施されていた(例えば、特許文献2)。 A conventional security operation management system stores an information security policy and collects security information of the monitored system to perform a security policy audit of the security status of the monitored system (for example, Patent Document 1). . Further, these security policy audits are performed at a predetermined fixed interval (for example, Patent Document 2).
従来のセキュリティポリシー監査システムは、セキュリティポリシー監査における監査対象端末からのセキュリティ設定情報収集を予め決められた時間頻度で実施している。このような構成の場合、可能な限り高い頻度で行った方が、セキュリティ漏洩事故発生のリスクが少なくなるが、端末への負荷増大や、サーバ負荷増大による1サーバでの監査可能な台数の減少の課題があり、高頻度での設定情報収集を行うことができないという課題があった。 A conventional security policy auditing system collects security setting information from audit target terminals in security policy auditing at a predetermined time frequency. In such a configuration, the risk of security leakage accidents is reduced by performing as frequently as possible, but the load on the terminal increases or the number of auditable units on one server decreases due to increased server load. There is a problem that setting information cannot be collected at a high frequency.
この発明は、端末からセキュリティ設定情報を取得する頻度をリスクに応じて変化させることで、端末/サーバ両方の負荷軽減・セキュリティレベル向上を実現することを目的とする。 An object of the present invention is to reduce the load and improve the security level of both the terminal and the server by changing the frequency of acquiring the security setting information from the terminal according to the risk.
この発明のセキュリティ監査時期導出装置は、
セキュリティ監査の対象となる監査対象装置のセキュリティ監査の監査結果から次回の監査時期を導出する導出手順が定義されたルールであるリスク判定ルールを記憶するリスク判定ルール記憶部と、
前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査時期を導出する監査時期導出部と
を備えたことを特徴とする。
The security audit time derivation device of this invention is
A risk judgment rule storage unit for storing a risk judgment rule that is a rule in which a derivation procedure for deriving a next audit time from a security audit result of an audit target device to be a security audit target is defined;
From the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and the risk determination rule stored in the risk determination rule storage unit, the next security for the audit target device An audit time deriving section for deriving the audit time of the audit is provided.
この発明により、監査頻度を監査対象のリスクに応じて変化させることができる。 According to the present invention, the audit frequency can be changed according to the risk to be audited.
以下の実施の形態1〜7では、セキュリティ監査の監査時期を導出する監査時期導出装置を説明する。監査時期導出装置の主要な構成要素は、後述するリスク判定部である。実施の形態1〜3では、監査対象端末自身が監査時期導出装置に該当し(監査対象端末にリスク判定部が存在する)、実施の形態4〜6では、監査サーバが監査時期導出装置に該当する(監査サーバにリスク判定部が存在する)。なお実施の形態7では監査時期導出装置のハードウェア構成を説明する。 In the following first to seventh embodiments, an audit time deriving device for deriving an audit time of a security audit will be described. The main component of the audit time deriving device is a risk determination unit described later. In the first to third embodiments, the audit target terminal itself corresponds to the audit time deriving device (the risk judging unit exists in the audit target terminal), and in the fourth to sixth embodiments, the audit server corresponds to the audit time deriving device. (A risk determination unit exists in the audit server). In the seventh embodiment, the hardware configuration of the audit time deriving device will be described.
実施の形態1.
図1から図4を参照して実施の形態1を説明する。実施の形態1は、監査対象端末装置200(以下、監査対象端末という)に組み込まれたソフトウェアであるセキュリティ監査エージェント210(端末側リスク判定部214)が、次回の監査時期を導出する実施の形態である。
Embodiment 1 FIG.
The first embodiment will be described with reference to FIGS. In the first embodiment, the security audit agent 210 (terminal-side risk determination unit 214), which is software incorporated in the audit target terminal device 200 (hereinafter referred to as the audit target terminal), derives the next audit time. It is.
図1は、実施の形態1におけるセキュリティポリシー監査システム1010のシステム構成図である。セキュリティポリシー監査システム1010は、複数の監査対象端末200と、セキュリティ監査サーバ装置100(以下、セキュリティ監査サーバという)とを備えている。監査対象端末200とセキュリティ監査サーバ100はネットワーク(LAN300)に接続しており、互いに通信可能である。LAN300は、セキュリティ監査サーバ100および監査対象端末200が接続されたローカルエリアネットワーク(LAN)である。
FIG. 1 is a system configuration diagram of a security policy audit system 1010 according to the first embodiment. The security policy audit system 1010 includes a plurality of audit target terminals 200 and a security audit server device 100 (hereinafter referred to as a security audit server). The audit target terminal 200 and the security audit server 100 are connected to a network (LAN 300) and can communicate with each other. The
(セキュリティ監査サーバ100)
セキュリティ監査サーバ100は、監査対象端末200のセキュリティ監査を行うサーバである。セキュリティ監査サーバ100は、監査結果情報収集部101、監査結果記憶部102、監査結果情報表示部103を備える。
(1)監査結果情報収集部101は、それぞれの監査対象端末200のセキュリティ監査エージェント210から通知される監査結果を収集し、収集した監査結果を監査結果記憶部102に格納する。
(2)監査結果記憶部102は、それぞれの監査対象端末200のセキュリティ監査エージェント210から通知される監査結果が格納されるデータベースである。
(3)監査結果情報表示部103は、セキュリティ監査人などセキュリティポリシー監査システムを利用する者に対して監査結果を表示する。
(Security audit server 100)
The security audit server 100 is a server that performs a security audit of the audit target terminal 200. The security audit server 100 includes an audit result
(1) The audit result
(2) The audit
(3) The audit result
(監査対象端末200)
監査対象端末200は、監査対象となるPC(Personal Computer)、サーバ、携帯端末装置、測定器などの装置である。監査対象端末200は、セキュリティ監査エージェント210、端末セキュリティ設定情報記憶部220を備えている。
(Audit target terminal 200)
The audit target terminal 200 is a device such as a PC (Personal Computer), a server, a portable terminal device, and a measuring instrument to be audited. The audit target terminal 200 includes a
(セキュリティ監査エージェント210)
セキュリティ監査エージェント210は、監査対象端末上で動作しセキュリティ監査を行うエージェントソフトウェアである。セキュリティ監査エージェント210は、監査結果通知部211、監査実行部212、セキュリティ設定情報取得部213、端末側リスク判定部214、セキュリティポリシー記憶部201、クライアント監査結果記憶部202(監査結果格納装置)、端末側リスク判定ルール記憶部203を備えている。
(Security audit agent 210)
The
(1)監査結果通知部211は、セキュリティ監査エージェント210(監査実行部212)が収集した監査結果をセキュリティ監査サーバ100に送信する。
(2)監査実行部212は、監査実行処理を行う。
(3)セキュリティ設定情報取得部213は、監査実行部212の指示に従って、端末セキュリティ設定情報記憶部220から端末セキュリティ情報を取得する。
(4)端末側リスク判定部214は、監査対象端末200のセキュリティリスクを判断する。セキュリティリスクとは、セキュリティに関する危険の程度である。
(5)セキュリティポリシー記憶部201は、セキュリティポリシーを記憶する。セキュリティポリシーとは、セキュリティ監査エージェント210がセキュリティ監査を実行する際の、基準となるポリシー情報である。
(6)クライアント監査結果記憶部202は、クライアント監査結果を記憶する。クライアント監査結果とは、セキュリティ監査エージェント210が監査対象端末200を監査した監査結果を示す情報である。
(7)端末側リスク判定ルール記憶部203は、リスク判定ルールを記憶する。リスク判定ルールとは、端末側リスク判定部214がリスク判定の際に利用するルール情報である。リスク判定ルールには、後述する図4のように、セキュリティ監査の対象となる監査対象端末のセキュリティ監査の監査結果から監査対象端末の次回の監査時期を導出する導出手順が定義されている。
(1) The audit
(2) The
(3) The security setting
(4) The terminal-side
(5) The security
(6) The client audit
(7) The terminal-side risk determination
(端末セキュリティ設定情報記憶部220)
端末セキュリティ設定情報記憶部220は、端末セキュリティ設定情報を記憶する。端末セキュリティ設定情報とは、監査対象端末200のセキュリティ設定に関する情報やインベントリ情報などセキュリティ監査に関連する情報である。
(Terminal security setting information storage unit 220)
The terminal security setting
次にセキュリティポリシー監査システム1010の動作を説明する。 Next, the operation of the security policy audit system 1010 will be described.
まず監査対象端末200上で動作するセキュリティ監査エージェント210は、起動時に監査実行部212を動作させる。セキュリティポリシー記憶部201のセキュリティポリシー、端末側リスク判定ルール記憶部203のリスク判定ルールは、セキュリティ監査エージェント210の例えば設定ファイルなどで予め決められているものとする。
First, the
図2は、監査実行部212の動作を示すフローチャートである。
FIG. 2 is a flowchart showing the operation of the
S11において、監査実行部212は、まずセキュリティポリシー記憶部201からセキュリティポリシーを取得し、監査対象項目を確認する。セキュリティポリシーには監査対象項目が記載されている。
In S11, the
S12において、監査実行部212はセキュリティ設定情報取得部213に指示し、監査対象項目に従って、端末セキュリティ設定情報記憶部220から端末セキュリティ設定情報を取得する。
In S12, the
S13において、監査実行部212は、取得した端末セキュリティ設定情報とセキュリティポリシー記憶部201のセキュリティポリシーとを比較し、端末セキュリティ設定情報がセキュリティポリシーに適合しているかどうかを示す「クライアント監査結果」を作成する。
In S13, the
S14において、監査実行部212は、作成したクライアント監査結果をクライアント監査結果記憶部202に格納するのと同時に、監査結果通知部211を通じてセキュリティ監査サーバ100に通知させる。
In S <b> 14, the
S15において、その後、監査実行部212は、端末側リスク判定部214に次回の監査実行開始時刻を問い合わせる。
In S15, thereafter, the
(端末側リスク判定部214)
図3は、端末側リスク判定部214の動作を示すフローチャートである。また、図4は、リスク判定ルールの例を示す図である。端末側リスク判定部214は、S21において、S14にて格納されたクライアント監査結果とリスク判定ルールを取得して両者を比較し、監査対象端末200のリスク状況を判定する。そしてS22において、判定した結果と合致するリスク判定ルールの次回監査時間間隔の設定情報から、次回の監査実施時間(監査時期)を導出し、監査実行部212に通知する。
(Terminal risk determination unit 214)
FIG. 3 is a flowchart showing the operation of the terminal-side
(監査実行部212)
図2のS16において、監査実行部212は、次回の監査実施時間を取得すると、現在時刻と次回監査実行開始時刻を比較し、現在時刻が過ぎていれば、再度セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。
(Audit execution unit 212)
In S16 of FIG. 2, when the next audit execution time is acquired, the
セキュリティ監査エージェント210(監査実行部212)によって取得されたクライアント監査結果は、監査結果通知部211を介してセキュリティ監査サーバ100の監査結果情報収集部101によって取得され、監査結果記憶部102に複数の監査対象端末の監査結果が格納される。セキュリティ管理者は、監査結果情報表示部103にアクセスすることで、監査結果記憶部102の監査結果を参照することができる。
The client audit result acquired by the security audit agent 210 (audit execution unit 212) is acquired by the audit result
以上のように、端末側リスク判定部214により、前回の監査結果に応じてセキュリティ監査間隔を変更(次回の監査時期を決定)するようにしているので、セキュリティレベルの低下を招くことなく、セキュリティ監査サーバの負荷を軽減できる。
As described above, the terminal-side
例えば、1時間に1回セキュリティ監査を実施しなければいけない場合にセキュリティ監査サーバ1台で監査可能な端末数が100台である環境において、リスク判定機能によりすべての監査対象端末のリスクが低いと判断され1日に1回のセキュリティ監査でよい場合、セキュリティ監査サーバ1台で2400台の端末のセキュリティ監査が実現可能となる。上記の例では、すべての監査対象端末のリスクが低いと仮定したが、セキュリティ監査システムは初期導入時はセキュリティポリシー違反端末が多く発見されるが、長期運用時にはセキュリティポリシー違反となるリスクの高いPCはほとんど存在せず、多くの場合ほぼ上記の仮定が適用できるものと考えられる。 For example, in the environment where the number of terminals that can be audited by one security audit server is 100 when security audits must be performed once an hour, the risk judgment function can reduce the risk of all audited terminals. If it is determined that a security audit once a day is sufficient, a security audit of 2400 terminals can be realized by one security audit server. In the above example, it was assumed that the risk of all audited terminals was low, but the security audit system found many terminals that violated the security policy at the initial introduction, but the PC with a high risk of violating the security policy during long-term operation. Are almost nonexistent, and in many cases, the above assumption can be applied.
実施の形態2.
次に図5を参照して実施の形態2を説明する。以上の実施の形態1では、リスク判定ルールは、予めセキュリティ監査エージェント210に格納されており、動的に変更できない構成であるが、実施の形態2のセキュリティポリシー監査システム1020では、セキュリティ監査サーバ100からの通知でリスク判定ルールを動的に変更可能とする。
Embodiment 2. FIG.
Next, Embodiment 2 will be described with reference to FIG. In the first embodiment described above, the risk determination rule is stored in advance in the
図5は、セキュリティポリシー監査システム1020の構成図である。図5において、リスク判定ルール設定部1201は、セキュリティ監査サーバ100上で動作し、リスク判定ルールの設定・変更を行うユーザーインターフェースを提供する。リスク判定ルール格納部2201(リスク判定ルール入力部)は、セキュリティ監査エージェント210上で動作し、セキュリティ判定ルールの取得・変更を行う。
FIG. 5 is a configuration diagram of the security policy audit system 1020. In FIG. 5, a risk determination
次に動作について説明する。 Next, the operation will be described.
(リスク判定ルール設定部1201等の動作)
まず、リスク判定ルール設定部1201は、セキュリティ監査者の操作に従い、リスク判定ルールの設定・変更を行う。リスク判定ルール設定部1201で設定されたリスク判定ルールは、リスク判定ルール格納部2201に通知される。
(Operation of the risk judgment
First, the risk determination
リスク判定ルール格納部2201は、リスク判定ルール設定部1201からリスク判定ルールの設定あるいは変更の入力を受け付けて、端末側リスク判定ルール記憶部203にそのリスク判定ルールを格納する。すなわち、リスク判定ルール格納部2201は、リスク判定ルール設定部1201から受け付けたリスク判定ルールの設定あるいは変更を、端末側リスク判定ルール記憶部203のリスク判定ルールに反映する。
The risk determination
端末側リスク判定部214は、図3のフローチャートに示すとおり、動作時点におけるリスク判定ルールに基づいてリスク判定処理を実行するので、その実行の際におけるリスク判定ルール(その実行前に変更があれば変更後のルールが反映される)が使用される。
Since the terminal-side
以上のように、リスク判定ルールを動的に変更可能とする構成とすることにより、監査結果の状況によりセキュリティ監査者が動的にリスク判定ルールを変更することが可能となり、よりセキュリティレベルの向上・負荷軽減を実現できる。 As described above, by adopting a configuration that allows the risk judgment rules to be changed dynamically, the security auditor can dynamically change the risk judgment rules depending on the status of the audit results, further improving the security level.・ Reduces load.
実施の形態3.
次に図6、図7を参照して実施の形態3を説明する。以上の実施の形態1、2では、リスク判定ルールをエージェント側(監査対象端末側)で保持する構成としていたが、実施の形態3のセキュリティポリシー監査システム1030は、リスク判定ルールをセキュリティ監査サーバ100で保持し、リスク判定のたびにセキュリティ監査エージェント210がリスク判定ルールをセキュリティ監査サーバ100から取得する構成である。
Embodiment 3 FIG.
Next, Embodiment 3 will be described with reference to FIGS. In the first and second embodiments described above, the risk determination rule is held on the agent side (the audit target terminal side). However, the security policy audit system 1030 according to the third embodiment stores the risk determination rule in the security audit server 100. The
図6は、実施の形態3のセキュリティポリシー監査システム1030の構成図である。図6に示すように、リスク判定ルールは、サーバ側リスク判定ルール記憶部1301に記憶されている。サーバ側リスク判定ルール記憶部1301のリスク判定ルールは、各セキュリティ検査エージェント210に対するデータベース情報である。また、リスク通知部1302は、セキュリティ監査サーバ100上で動作し、それぞれの監査対象端末200のセキュリティ監査エージェント210にリスク判定ルールを通知する。
FIG. 6 is a configuration diagram of the security policy audit system 1030 according to the third embodiment. As illustrated in FIG. 6, the risk determination rule is stored in the server-side risk determination
次に動作を説明する。まず監査対象端末200上で動作するセキュリティ監査エージェント210は、起動時に監査実行部212を動作させる。
Next, the operation will be described. First, the
監査実行部212の動作は図2と同様であるので説明を省略する。
The operation of the
図7は、端末側リスク判定部214の動作を示すフローチャートである。図7は図3に対して、S32が追加されている。
FIG. 7 is a flowchart showing the operation of the terminal-side
図7に示すとおり、S32において、監査実行部212から問い合わせを受けると(S15)、端末側リスク判定部214は、リスク通知部1302に依頼することにより、リスク通知部1302からリスク判定ルールを取得し、取得したリスク判定ルールとクライアント監査結果記憶部202(監査結果格納装置)のクライアント監査結果とを比較し、監査対象端末200のリスク状況を判定する。判定した結果、合致するリスク判定ルールの次回監査時間間隔の設定情報から次回の監査実施時間を導出し、監査実行部212に通知する(S33)。
7, when an inquiry is received from the
図3の場合と同様に、次回の監査実施時間を取得した監査実行部212は、現在時刻と次回監査実行開始時刻を比較し、現在時刻が過ぎていれば、再度セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。
As in the case of FIG. 3, the
セキュリティ監査エージェントによって取得されたクライアント監査結果は、セキュリティ監査サーバ100の監査結果情報収集部101によって取得され、監査結果記憶部102に複数の監査対象端末の監査結果が格納される。セキュリティ管理者は監査結果情報表示部103にアクセスすることで、監査結果記憶部102の監査結果を参照することができる。
The client audit result acquired by the security audit agent is acquired by the audit result
以上のように、リスク判定ルールをセキュリティ監査サーバで一元管理することにより、複数の監査対象端末に対して同時に1つのリスク判定ルールを適用することが可能である。また、サーバに問合せることによりリアルタイムでのリスク判定の反映が可能となる。 As described above, it is possible to apply one risk determination rule to a plurality of audit target terminals simultaneously by centrally managing the risk determination rule with the security audit server. In addition, it is possible to reflect the risk judgment in real time by making an inquiry to the server.
実施の形態4.
次に図8、図9を参照して、実施の形態4を説明する。以上の実施の形態1〜3では、リスク判定をエージェント側(監査対象端末側)で実施する構成としていたが、実施の形態4のセキュリティポリシー監査システム1040では、リスク判定ルールおよびリスク判定機能をセキュリティ監査サーバ100で保持する構成とし、監査対象端末のリスク判定をセキュリティ監査サーバ100側で実行する。
Embodiment 4 FIG.
Next, the fourth embodiment will be described with reference to FIGS. In the first to third embodiments described above, the risk determination is performed on the agent side (the audit target terminal side). However, in the security policy audit system 1040 according to the fourth embodiment, the risk determination rule and the risk determination function are secured. The security server 100 executes the risk determination of the audit target terminal on the security audit server 100 side.
図8は、セキュリティポリシー監査システム1040の構成図である。図8において、リスク問合せ部2401は、セキュリティ監査エージェント210上で動作し、リスクをセキュリティ監査サーバに問い合せる。サーバ側リスク判定部1401は、セキュリティ監査サーバ100上で動作し、リスク判定を行う。
FIG. 8 is a configuration diagram of the security policy audit system 1040. In FIG. 8, the
次に動作を説明する。まず監査対象端末200上で動作するセキュリティ監査エージェント210は、起動時に監査実行部212を動作させる。セキュリティポリシー記憶部201のセキュリティポリシーは、セキュリティ監査エージェントの例えば設定ファイルなどで予め決められているものとする。
Next, the operation will be described. First, the
監査実行部212の動作は、実施の形態1の図2とほぼ同じであるが、図2のS15において、この実施の形態4では、監査実行部212は、リスク問合せ部2401を介して、セキュリティ監査サーバ100のサーバ側リスク判定部1401に次回の監査時期を問い合わせる点が異なる。このように、監査実行部212は、リスク問合せ部2401に次回の監査実行開始時刻を問い合わせる。リスク問合せ部2401は、監査実行部212から問い合わせを受けるとサーバ側リスク判定部1401にリスクを問い合わせる。
The operation of the
(サーバ側リスク判定部1401)
図9は、サーバ側リスク判定部1401の動作を示すフローチャートである。図9のフローチャートに示すとおり、サーバ側リスク判定部1401は、サーバ側リスク判定ルール記憶部1301のリスク判定ルールと、監査結果記憶部102(監査結果格納装置)に各クライアント(監査端末)ごとに格納されている監査結果のうちの該当する監査結果とを比較し、監査対象端末200のリスク状況を判定する。判定した結果に合致するリスク判定ルールの次回監査時間間隔の設定情報から次回の監査実施時間を導出し、リスク問合せ部2401を介して監査実行部212に通知する。
(Server-side risk determination unit 1401)
FIG. 9 is a flowchart showing the operation of the server-side
(監査実行部212)
図2に示した実施の形態1と同様に、次回の監査実施時間を取得した監査実行部212では、現在時刻と次回監査実行開始時刻を比較し、現在時刻が過ぎていれば、再度セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。
(Audit execution unit 212)
As in the first embodiment shown in FIG. 2, the
以上のように、リスク判定ルールと監査結果をセキュリティ監査サーバで一元管理することにより、複数の監査対象端末の結果を組み合わせたリスク判定が可能となる。例えば、ある組織単位(部、課)のセキュリティリスク状況を判定し、リスクの高い組織にはより高い頻度で監査を実施することも可能となる。 As described above, the risk determination rule and the audit result are centrally managed by the security audit server, thereby making it possible to perform risk determination by combining the results of a plurality of audit target terminals. For example, it is possible to determine the security risk status of a certain organizational unit (department, section), and to conduct audits at a higher frequency for a high-risk organization.
実施の形態5.
次に図10〜図13を参照して、実施の形態5を説明する。以上の実施の形態4では、リスクによりセキュリティ監査頻度を変更(監査時期を決定)する構成としていたが、次にリスクにより取得するセキュリティ設定情報を変更する構成とした実施の形態を示す。
Embodiment 5 FIG.
Next, a fifth embodiment will be described with reference to FIGS. In the fourth embodiment described above, the security audit frequency is changed according to the risk (audit time is determined). Next, an embodiment in which the security setting information acquired according to the risk is changed will be described.
図10は、実施の形態5のセキュリティポリシー監査システム1050の構成図である。 FIG. 10 is a configuration diagram of the security policy audit system 1050 according to the fifth embodiment.
監査実行部212の動作は実施の形態4の場合とほぼ同様である。まず監査対象端末200上で動作するセキュリティ監査エージェント210は、起動時に監査実行部212を動作させる。
The operation of the
(S15:リスク問合せ部2401)
図11は、リスク問合せ部2401の動作を示すフローチャートである。S51においてリスク問合せ部2401は、セキュリティ監査サーバ100のサーバ側リスク判定部1401にリスクを問い合わせる(図2のS15の過程)。
(S15: Risk inquiry unit 2401)
FIG. 11 is a flowchart showing the operation of the
(サーバ側リスク判定部1401)
図12はサーバ側リスク判定部1401の動作を示すフローチャートである。サーバ側リスク判定部1401は、リスク問合せ部2401から問い合わせを受けると、サーバ側リスク判定ルール記憶部130に記憶されたリスク判定ルールと、監査結果記憶部102に格納されたクライアントの監査結果を比較し、監査対象端末200のリスク状況を判定する。
(Server-side risk determination unit 1401)
FIG. 12 is a flowchart showing the operation of the server-side
ここまでは、実施の形態4と同じである。 Up to this point, the process is the same as in the fourth embodiment.
図13は、サーバ側リスク判定ルール記憶部1301に記憶されたリスク判定ルールを示す図である。サーバ側リスク判定ルール記憶部1301のリスク判定ルールは、図13に示すように、次回の監査時間間隔のみではなく、次回の監査における監査項目についても記載している。このようにリスク判定ルールは、さらに、監査対象端末のセキュリティ監査の監査結果から次回のセキュリティ監査における監査項目の導出手順が定義されている。サーバ側リスク判定部1401は、このリスク判定ルールと、監査結果とから、次回の監査実施時間と次回の監査項目とを導出し、リスク問合せ部2401に通知する。
FIG. 13 is a diagram illustrating risk determination rules stored in the server-side risk determination
(リスク問合せ部2401)
リスク問合せ部2401は、サーバ側リスク判定部1401から取得した次回の監査実施時間を監査実行部212に通知すると共に、次回の監査項目をセキュリティポリシー記憶部201のセキュリティポリシーに設定する。
(Risk inquiry section 2401)
The
(監査実行部212)
次回の監査実施時間を取得した監査実行部212は、現在時刻と次回監査実行開始時刻を比較し、現在時刻が過ぎていれば、リスク問合せ部2401によって新たに設定されたセキュリティポリシーに従って(この点が実施の形態4と異なる)、セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。
(Audit execution unit 212)
The
以上のように、リスク判定ルールに次回監査実施時間だけではなく監査を実施する項目を加えることで、監査項目をリスクに応じて変更することが可能となる。監査項目を変更することにより、負荷の高い監査はリスクの高い端末のみ実施することで負荷軽減を実施したり、セキュリティレベルの向上を図ることができる。 As described above, by adding not only the next audit execution time but also an item to be audited to the risk determination rule, the audit items can be changed according to the risk. By changing the audit items, it is possible to reduce the load or improve the security level by performing a high-load audit only on a terminal with a high risk.
実施の形態6.
次に、図14〜図16を参照して、実施の形態6を説明する。上述の実施の形態5では、エージェントによるセキュリティ監査の監査結果のみでリスクを判定する構成としていたが、次にリスクの判定に入退室管理情報を利用する実施の形態を示す。
Embodiment 6 FIG.
Next, Embodiment 6 will be described with reference to FIGS. In the above-described fifth embodiment, the risk is determined only by the audit result of the security audit by the agent. Next, an embodiment in which the entrance / exit management information is used for risk determination will be described.
図14は、実施の形態6のセキュリティポリシー監査システム1060の構成図である。図14において入退室管理システム600は、所定の部屋、所定の領域、所定の区域などへの人の入退室を管理する入退室管理システムである。入退室管理システム600は、所定の部屋への人の入退室状況を示す入退室ログ(入退室管理情報)を生成する。入退室管理システム600は、入退室管理装置610と入退室ログ620を備えている。入退室管理装置610は、カードリーダやそれらの管理を行う。入退室ログ620は、入退室に関するログ情報である。
FIG. 14 is a configuration diagram of the security policy audit system 1060 according to the sixth embodiment. In FIG. 14, an entrance / exit management system 600 is an entrance / exit management system for managing entrance / exit of a person into a predetermined room, a predetermined area, a predetermined area, and the like. The entrance / exit management system 600 generates an entrance / exit log (entrance / exit management information) indicating the entrance / exit status of a person entering a predetermined room. The entrance / exit management system 600 includes an entrance /
入退室情報取得部1601は、入退室管理情報を取得する。
The entrance / exit
次に動作について説明する。まず入退室管理システム600の入退室管理装置610は、ユーザの入室、退室の制御を行い、ユーザの入退室情報をログとして入退室ログ620に格納する動作を常時行っている。
Next, the operation will be described. First, the entrance /
セキュリティ監査エージェント210の動作は、実施の形態5と同じである。実施の形態5と同様に、リスク問合せ部2401は、セキュリティ監査サーバ100のリスク判定部1405にリスクを問い合わせる(S51)。リスク判定部1405は図15のS71の処理において、入退室情報取得部1601に指示し、入退室ログ620から入退室管理情報を取得させる。
The operation of the
S72において、サーバ側リスク判定部1401は、その入退室ログ(入退室管理情報)と、サーバ側リスク判定ルール記憶部1301のリスク判定ルール、監査結果記憶部102の監査結果とを比較し、監査対象端末200のリスク状況を判定する。
In S72, the server-side
図16は、サーバ側リスク判定ルール記憶部1301に記憶されたリスク判定ルールを示す。図16に示すように、リスク判定ルールは、リスク判断式として監査結果だけではなく入退室管理システムから取得した入退室管理情報も判断式として参照するように定義されている。このように、リスク判定ルールには、入退室管理情報とセキュリティ監査の監査結果とから次回のセキュリティ監査の監査時期と次回の監査項目とを導出する導出手順が定義されている。
FIG. 16 shows the risk determination rules stored in the server-side risk determination
サーバ側リスク判定部1401は、監査結果と、入退室管理情報と、リスク判定ルールとに基づいて次回監査実施時間と次回の監査項目とを導出し、導出した次回の監査実施時間と次回の監査項目とをリスク問合せ部2401に通知する。
The server-side
以下の動作は実施の形態5と同じである。すなわち、リスク問合せ部2401は、取得した次回監査実施時間を監査実行部212に通知し、次回の監査項目はセキュリティポリシーに反映させる。次回の監査実施時間を取得した監査実行部212は、現在時刻と次回監査実行開始時刻とを比較し、現在時刻が過ぎていれば、再度セキュリティ設定情報を取得し、上記動作を繰り返し実施する。現在時刻を過ぎていない場合は、現在時刻が次回監査開始時刻をすぎるまで一定時間のスリープを繰り返す。
The following operations are the same as those in the fifth embodiment. That is, the
以上のように、リスク判定ルールにセキュリティ監査結果のみではなく入退室管理システムの情報を加えることで、例えば、社外の人が入室している場合は、頻繁にセキュリティチェックを実施することでセキュリティレベルの向上を図ることができる。また、誰も入室していない場合はセキュリティチェック頻度を下げて負荷の高いセキュリティ監査項目を実施するようにして、負荷軽減を図ることができる。 As described above, by adding not only the security audit result but also the information on the entrance / exit management system to the risk judgment rule, for example, when an outside person enters the room, the security level is frequently checked by performing security checks. Can be improved. In addition, when no one is in the room, it is possible to reduce the load by reducing the frequency of security checks and implementing a security audit item with a high load.
実施の形態7.
図17、図18を参照して実施の形態7を説明する。
Embodiment 7 FIG.
The seventh embodiment will be described with reference to FIGS.
実施の形態7は、セキュリティ監査時期導出装置である監査対象端末200、あるいはセキュリティ監査サーバ100を、コンピュータで実現する具体的な実施の形態を示す。セキュリティ監査時期導出装置を監査対象端末200とした場合を想定して説明する。 Embodiment 7 shows a specific embodiment in which the audit target terminal 200 or the security audit server 100 which is a security audit time deriving device is realized by a computer. Description will be made assuming that the security audit time deriving device is the audit target terminal 200.
図17は、監査対象端末200外観の一例を示す図である。図17において、監査対象端末200は、システムユニット830、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key・Board:K/B)、マウス815、FDD817(Flexible・Disk・ Drive)、コンパクトディスク装置818(CDD:Compact Disk Drive)、プリンタ装置819などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
FIG. 17 is a diagram illustrating an example of the appearance of the audit target terminal 200. In FIG. 17, the audit target terminal 200 includes a
図18は、監査対象端末200のハードウェア資源の一例を示す図である。図18において、監査対象端末200は、プログラムを実行するCPU810(Central Processing Unit)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、プリンタ装置819、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。
FIG. 18 is a diagram illustrating an example of hardware resources of the audit target terminal 200. In FIG. 18, the audit target terminal 200 includes a CPU 810 (Central Processing Unit) that executes a program. The
RAM812は、揮発性メモリの一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部、バッファの一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813、プリンタ装置819などは、出力部、出力装置の一例である。
The
通信ボード816は、ネットワーク(LAN等)に接続されている。通信ボード816は、LANに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。通信ボード816は、ネットワークを介してセキュリティ監査サーバ100、及び他の装置と通信可能である。
The
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
The
上記プログラム群823には、以上の実施の形態の説明において「〜部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
The
ファイル群824には、以上の実施の形態の説明において、「リスク判定ルール」、「セキュリティポリシー」、「クライアント監査結果」、「端末セキュリティ設定情報」として説明したデータや、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
The
また、以上に述べた実施の形態の説明において、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
In the description of the embodiment described above, data and signal values are stored in the memory of the
また、以上の実施の形態の説明において、「〜部」として説明したものは、「〜手段」、「〜回路」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明したものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上に述べた「〜部」としてコンピュータを機能させるものである。あるいは、以上に述べた「〜部」の手順や方法をコンピュータに実行させるものである。
In the above description of the embodiment, what has been described as “to part” may be “to means”, “to circuit”, and “to device”, and “to step” and “to”. “Procedure” and “˜Process” may be used. That is, what has been described as “˜unit” may be realized by firmware stored in the
以上の実施の形態で説明したセキュリティ監査時期導出装置の動作を、コンピュータに実行させるセキュリティ監査時期導出プログラムとして把握することも可能である。あるいは、セキュリティ監査時期導出プログラムを記録したコンピュータ読み取り可能な記録媒体として把握することも可能である。さらに、セキュリティ監査時期導出装置の動作をセキュリティ監査時期導出装置が行うセキュリティ監査時期導出方法として把握することも可能である。 It is also possible to grasp the operation of the security audit time deriving device described in the above embodiment as a security audit time deriving program to be executed by a computer. Alternatively, it can be grasped as a computer-readable recording medium in which the security audit time derivation program is recorded. Further, the operation of the security audit time deriving device can be grasped as a security audit time deriving method performed by the security audit time deriving device.
100 セキュリティ監査サーバ、101 監査結果情報収集部、102 監査結果記憶部、103 監査結果情報表示部、200 監査対象端末、210 セキュリティ監査エージェント、201 セキュリティポリシー記憶部、202 クライアント監査結果記憶部、203 端末側リスク判定ルール記憶部、211 監査結果通知部、212 監査実行部、213 セキュリティ設定情報取得部、214 端末側リスク判定部、220 端末セキュリティ設定情報記憶部、300 LAN、1201 リスク判定ルール設定部、1301 サーバ側リスク判定ルール記憶部、1302 リスク通知部、1401 サーバ側リスク判定部、2201 リスク判定ルール格納部、2401 リスク問合せ部。 DESCRIPTION OF SYMBOLS 100 Security audit server, 101 Audit result information collection part, 102 Audit result storage part, 103 Audit result information display part, 200 Audit object terminal, 210 Security audit agent, 201 Security policy storage part, 202 Client audit result storage part, 203 terminal Side risk determination rule storage unit, 211 audit result notification unit, 212 audit execution unit, 213 security setting information acquisition unit, 214 terminal side risk determination unit, 220 terminal security setting information storage unit, 300 LAN, 1201 risk determination rule setting unit, 1301 Server-side risk determination rule storage unit, 1302 Risk notification unit, 1401 Server-side risk determination unit, 2201 Risk determination rule storage unit, 2401 Risk inquiry unit.
Claims (8)
前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査時期を導出する監査時期導出部と
を備えたことを特徴とするセキュリティ監査時期導出装置。 A risk judgment rule storage unit for storing a risk judgment rule that is a rule in which a derivation procedure for deriving a next audit time from a security audit result of an audit target device to be a security audit target is defined;
From the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and the risk determination rule stored in the risk determination rule storage unit, the next security for the audit target device A security audit timing deriving device comprising an audit timing deriving section for deriving an audit timing of an audit.
前記リスク判定ルールの入力を受け付けて、受け付けた前記リスク判定ルールを前記リスク判定ルール記憶部に格納するリスク判定ルール入力部
を備えたことを特徴とする請求項1記載のセキュリティ監査時期導出装置。 The security audit time deriving device further includes:
The security audit time deriving device according to claim 1, further comprising a risk determination rule input unit that receives an input of the risk determination rule and stores the received risk determination rule in the risk determination rule storage unit.
前記監査対象装置から次回の監査時期の問い合わせを受信し、前記問い合わせを受信すると前記導出処理を開始し、導出した前記監査時期を前記監査対象装置に通知することを特徴とする請求項1または2のいずれかに記載のセキュリティ監査時期導出装置。 The audit time deriving section
3. An inquiry about the next audit time is received from the audit target device, and when the query is received, the derivation process is started, and the derived audit time is notified to the audit target device. The security audit time deriving device according to any one of the above.
さらに、前記監査対象装置のセキュリティ監査の監査結果から次回のセキュリティ監査における監査項目の導出手順が定義されており、
前記監査時期導出部は、
前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査項目を導出することを特徴とする請求項1〜3のいずれかに記載のセキュリティ監査時期導出装置。 The risk determination rule stored in the risk determination rule storage unit is:
Furthermore, a procedure for deriving an audit item in the next security audit from the audit result of the security audit of the audit target device is defined,
The audit time deriving section
From the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and the risk determination rule stored in the risk determination rule storage unit, the next security for the audit target device The security audit time deriving device according to claim 1, wherein an audit item for the audit is derived.
所定の部屋への人の入退室を管理する入退室管理システムによって生成された前記所定の部屋への人の入退室状況を示す入退室管理情報と前記監査対象装置のセキュリティ監査の監査結果とから次回のセキュリティ監査の監査時期を導出する導出手順が定義されており、
前記セキュリティ監査時期導出装置は、さらに、
前記入退室管理システムから前記入退室管理情報を取得する入退室管理情報取得部を備え、
前記監査時期導出部は、
前記入退室管理情報取得部の取得した前記入退室管理情報と、前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査時期を導出することを特徴とする請求項1〜4のいずれかに記載のセキュリティ監査時期導出装置。 The risk determination rule stored in the risk determination rule storage unit is:
From the entrance / exit management information indicating the entrance / exit status of the person entering / exiting the predetermined room generated by the entrance / exit management system for managing the entrance / exit of the person to / from the predetermined room and the audit result of the security audit of the audit target device The derivation procedure for deriving the audit time of the next security audit is defined,
The security audit time deriving device further includes:
An entrance / exit management information acquisition unit for acquiring the entrance / exit management information from the entrance / exit management system,
The audit time deriving section
The entrance / exit management information acquired by the entrance / exit management information acquisition unit, the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and stored in the risk determination rule storage unit The security audit time deriving device according to claim 1, wherein an audit time of a next security audit for the audit target device is derived from the risk determination rule that has been determined.
を備えたことを特徴とするセキュリティ監査時期導出装置。 The risk determination rule is acquired from a server device that stores a risk determination rule that is a rule in which a procedure for deriving a next audit time is defined from a security audit audit result of an audit target device to be a security audit target, and the audit The audit time of the next security audit for the audit target device is determined from the audit result of the audit result storage device storing the audit result of the security audit of the target device and the risk determination rule acquired from the server device. A security audit time deriving device comprising a deriving audit time deriving unit.
セキュリティ監査の対象となる監査対象装置のセキュリティ監査の監査結果から次回の監査時期を導出する導出手順が定義されたルールであるリスク判定ルールを記憶するリスク判定ルール記憶部、
前記監査対象装置のセキュリティ監査の監査結果が格納されている監査結果格納装置の前記監査結果と、前記リスク判定ルール記憶部に記憶された前記リスク判定ルールとから、前記監査対象装置に対する次回のセキュリティ監査の監査時期を導出する監査時期導出部、
として機能させるセキュリティ監査時期導出プログラム。 Computer
A risk judgment rule storage unit for storing a risk judgment rule that is a rule in which a derivation procedure for deriving a next audit time from a security audit audit result of a security audit target device is defined;
From the audit result of the audit result storage device in which the audit result of the security audit of the audit target device is stored, and the risk determination rule stored in the risk determination rule storage unit, the next security for the audit target device An audit time deriving section for deriving the audit time of the audit,
Security audit time derivation program to function as.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009083155A JP2010237836A (en) | 2009-03-30 | 2009-03-30 | Security audit period derivation device, security audit period derivation program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009083155A JP2010237836A (en) | 2009-03-30 | 2009-03-30 | Security audit period derivation device, security audit period derivation program, and recording medium |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010237836A true JP2010237836A (en) | 2010-10-21 |
Family
ID=43092107
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009083155A Pending JP2010237836A (en) | 2009-03-30 | 2009-03-30 | Security audit period derivation device, security audit period derivation program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010237836A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103326883A (en) * | 2013-05-27 | 2013-09-25 | 杭州帕拉迪网络科技有限公司 | Uniform safety management and comprehensive audit system |
CN107819761A (en) * | 2017-11-06 | 2018-03-20 | 成都西加云杉科技有限公司 | Data processing method, device and readable storage medium storing program for executing |
JP7347888B1 (en) | 2023-05-29 | 2023-09-20 | SecureNavi株式会社 | Program, method, information processing device, system |
-
2009
- 2009-03-30 JP JP2009083155A patent/JP2010237836A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103326883A (en) * | 2013-05-27 | 2013-09-25 | 杭州帕拉迪网络科技有限公司 | Uniform safety management and comprehensive audit system |
CN107819761A (en) * | 2017-11-06 | 2018-03-20 | 成都西加云杉科技有限公司 | Data processing method, device and readable storage medium storing program for executing |
JP7347888B1 (en) | 2023-05-29 | 2023-09-20 | SecureNavi株式会社 | Program, method, information processing device, system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8606659B2 (en) | Identification of discrepancies in actual and expected inventories in computing environment having multiple provisioning orchestration server pool boundaries | |
US10885167B1 (en) | Intrusion detection based on anomalies in access patterns | |
CN111416811A (en) | Unauthorized vulnerability detection method, system, equipment and storage medium | |
US9582776B2 (en) | Methods and systems for providing a comprehensive view of it assets as self service inquiry/update transactions | |
US20150089300A1 (en) | Automated risk tracking through compliance testing | |
JP5936798B2 (en) | Log analysis device, unauthorized access audit system, log analysis program, and log analysis method | |
US20210160260A1 (en) | Automatic Categorization Of IDPS Signatures From Multiple Different IDPS Systems | |
TW201717086A (en) | Detecting software attacks on processes in computing devices | |
US9521045B1 (en) | Management of decommissioned server assets in a shared data environment | |
JP2010237836A (en) | Security audit period derivation device, security audit period derivation program, and recording medium | |
US10831632B2 (en) | Cognitive in-memory API logging | |
JP2020194478A (en) | Abnormality detection system and abnormality detection method | |
CN111241547A (en) | Detection method, device and system for unauthorized vulnerability | |
CN115828256A (en) | Unauthorized and unauthorized logic vulnerability detection method | |
KR20190067994A (en) | Method, Apparatus and Computer-readable medium for Detecting Abnormal Web Service Use Based on Behavior | |
RU2589863C2 (en) | System and method for assessing resources in computer network with position of objects of interest | |
CN112231232A (en) | Method, device and equipment for determining test data model and generating test data | |
US10924478B2 (en) | Identification based on snapshot of device memory | |
JPWO2017047341A1 (en) | Information processing apparatus, information processing method, and program | |
CN108418827B (en) | Network behavior analysis method and device | |
US11308403B1 (en) | Automatic identification of critical network assets of a private computer network | |
JP2010250677A (en) | Security-evaluating device, security-evaluating method for security-evaluating device, and security-evaluating program for security-evaluating device | |
US9800588B1 (en) | Automated analysis pipeline determination in a malware analysis environment | |
JP2015138331A (en) | Information terminal, execution form monitor method and program | |
CN114598509B (en) | Method and device for determining vulnerability result |