JP2015138509A - 脆弱性リスク診断システム及び脆弱性リスク診断方法 - Google Patents
脆弱性リスク診断システム及び脆弱性リスク診断方法 Download PDFInfo
- Publication number
- JP2015138509A JP2015138509A JP2014011420A JP2014011420A JP2015138509A JP 2015138509 A JP2015138509 A JP 2015138509A JP 2014011420 A JP2014011420 A JP 2014011420A JP 2014011420 A JP2014011420 A JP 2014011420A JP 2015138509 A JP2015138509 A JP 2015138509A
- Authority
- JP
- Japan
- Prior art keywords
- information
- vulnerability
- risk
- file
- information file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】脆弱性によるリスクを診断すること。【解決手段】ベンダーから公開された脆弱性情報を脆弱性情報ファイル20へ登録する脆弱性情報登録部13及びシステム機器15毎のインシデント情報をシステム情報ファイル21へ登録するシステム情報登録部14を含む情報登録部10と、脆弱性情報ファイル20に登録した脆弱性情報とシステム情報ファイル21に登録したインシデント情報を照合し、脆弱性に対するシステム機器15のリスク診断を行って診断結果をシステム情報ファイル21に登録するリスク診断部11と、リスクの診断結果を表示するリスク表示部12とを設けた脆弱性リスク診断システム。【選択図】図1
Description
本発明は、コンピュータシステムにおけるソフトウェア等の脆弱性によるリスクを診断することができる脆弱性リスク診断システム及び脆弱性リスク診断方法に関する。
近年のコンピュータシステムにおいてはOS等のソフトウェア・ハードウェアには脆弱性が内在し、この脆弱性情報はソフトウェア・ハードウェアの製造業者又は供給業者であるベンダーから一般公開され、これらソフトウェア及びハードウェアを利用するコンピュータシステムの管理業務においては、前記脆弱性によるコンピュータシステムに与える影響を最小限にするためのリスク診断を行う必要があり、このリスク管理は、システム管理者がコンピュータ機器やその部品のデータをまとめた資産目録である資産管理台帳を基にリスク診断を行っている。前記脆弱性とは、情報システムにおいて、第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩[セキュリティ]など)に利用できる可能性のあるソフトウェア・ハードウェアの欠陥や仕様上の問題点をいい、ハードウェアの欠陥やソフトウェアのバグや利用形態・設計段階での見落としなどの形式的には欠陥とはならない潜在的な問題点が挙げられる
この脆弱性がシステムに適合するかについてのリスク診断は、使用OS・ソフトウェアのバージョン、システムの設定、稼働状況、そのほか様々な条件が複合し、それら適合具合によってリスクが異なり、環境に応じた対応が必要となる。しかし、資産管理台帳の情報が不足したり、システムが大規模な場合、これら全てを確認することは困難であり、バージョンなど一部の確認のみ行われていた。
この脆弱性がシステムに適合するかについてのリスク診断は、使用OS・ソフトウェアのバージョン、システムの設定、稼働状況、そのほか様々な条件が複合し、それら適合具合によってリスクが異なり、環境に応じた対応が必要となる。しかし、資産管理台帳の情報が不足したり、システムが大規模な場合、これら全てを確認することは困難であり、バージョンなど一部の確認のみ行われていた。
尚、ソフトウェアのセキュリティに関する技術が記載された文献としては下記の特許文献1が挙げられ、該特許文献1には、業務サーバ毎の重要性の度合いを示す重要度を記憶するソフトウェア重要度データベースと、業務サーバ毎のインストールされているソフトウェアのパッチが適用されているか否かの状況を記憶する適用緊急度データベースと、パッチの適用の状況の情報を業務サーバから取得して適用緊急度データベースを更新する適用状況更新処理部と、前記用緊急度データベースに記憶されるパッチの適用の状況に基づいて必要なパッチが適用されていない業務サーバを検出し、該検出した業務サーバのサーバ名を当該業務サーバの重要度の大きさに応じたアイコンと共に端末装置に表示させる容態画面表示処理部を設けることによって、コンピュータのソフトウェアに関する状況を管理者に容易に確認させ技術が記載されている。
前述の特許文献1記載技術は、業務サーバごとにインストールされているソフトウェアと重要度を記憶しておき、ソフトウェアのパッチ適用状況に基づいて重要度に応じた容態画面を表示させることができるものの、予め定義したソフトウェアの重要度のみでパッチ適用の必要性を判断するため、脆弱性のシステムへの適合の有無については考慮されていないという課題があった。
また、ベンダーから公開される脆弱性情報は一般的なものであるため、診断対象となる具体的なコンピュータシステムに対する脆弱性の条件とシステムとの適合具合によって異なる影響範囲や対策手段の把握が困難である課題と、資産管理台帳の更新漏れや大規模システムにおいては診断が困難である課題と、脆弱性に対する対策の効果の確認が困難であるという課題があった。
本発明の目的は、前述の従来技術による課題を解決しようとするものであり、コンピュータシステムにおけるハードウェアやソフトウェアの脆弱性によるリスクを診断することができる脆弱性リスク診断システム及び脆弱性リスク診断方法を提供することである。
前記目的を達成するため本発明は、脆弱性のリスク診断の対象となるソフトウェア情報を含むシステム機器のインベントリ情報を格納するインベントリ情報ファイルを含む外部システムに接続され、システム機器の脆弱性をベンダーから公開された脆弱性情報に基づいて診断する脆弱性リスク診断システムであって、
前記ベンダーから公開された脆弱性情報及び該脆弱性情報に対するリスク値を格納する脆弱性情報ファイルと、
前記外部システムのソフトウェア情報を含むシステム機器のインシデント情報を格納するシステム情報ファイルと、
前記ベンダーから公開された脆弱性情報を前記脆弱性情報ファイルへ登録する脆弱性情報登録部及びシステム機器毎のインシデント情報をシステム情報ファイルへ登録するシステム情報登録部を含む情報登録部と、
前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したインシデント情報を照合し、脆弱性に対するシステム機器のリスク診断を行って診断結果をシステム情報ファイルに登録するリスク診断部と、
リスクの診断結果を表示するリスク表示部を備えたことを第1の特徴とする。
前記ベンダーから公開された脆弱性情報及び該脆弱性情報に対するリスク値を格納する脆弱性情報ファイルと、
前記外部システムのソフトウェア情報を含むシステム機器のインシデント情報を格納するシステム情報ファイルと、
前記ベンダーから公開された脆弱性情報を前記脆弱性情報ファイルへ登録する脆弱性情報登録部及びシステム機器毎のインシデント情報をシステム情報ファイルへ登録するシステム情報登録部を含む情報登録部と、
前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したインシデント情報を照合し、脆弱性に対するシステム機器のリスク診断を行って診断結果をシステム情報ファイルに登録するリスク診断部と、
リスクの診断結果を表示するリスク表示部を備えたことを第1の特徴とする。
また、本発明は、第1の特徴の脆弱性リスク診断システムにおいて、前記インベントリ情報が、システム機器を構成するハードウェア情報を含み、前記リスク診断部が、前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したソフトウェア情報及びハードウェア情報を照合し、脆弱性に対するシステム機器のリスク診断を行うことを第2の特徴とし、前記何れかの特徴の脆弱性リスク診断システムにおいて、前記インベントリ情報が、ソフトウェア情報に対するパッチ情報と任意設定情報を含み、前記リスク診断部が、脆弱性情報ファイルに格納した脆弱性が公開されているバージョンを含む適合条件に、システム情報ファイルに格納したソフトウェア情報とハードウェア情報とパッチ情報と任意設定情報を含むインベントリ情報に合致するか否かを判定し、合致するインベントリ情報に対して脆弱性情報ファイルに含まれるリスク値を抽出してリスク表示部に表示することを第3の特徴とする。
更に、本発明は、脆弱性のリスク診断の対象となるソフトウェア情報を含むシステム機器のインベントリ情報を格納するインベントリ情報ファイルを含む外部システムに接続され、脆弱性情報及び該脆弱性情報に対するリスク値を格納する脆弱性情報ファイルと、前記外部システムのソフトウェア情報を含むシステム機器のインシデント情報を格納するシステム情報ファイルとを備え、システム機器の脆弱性をベンダーから公開された脆弱性情報に基づいて診断するコンピュータシステムの脆弱性リスク診断方法であって、
前記ベンダーから公開された脆弱性情報を前記脆弱性情報ファイルへ登録する脆弱性情報登録部及びシステム機器毎のインシデント情報をシステム情報ファイルへ登録するシステム情報登録部を含む情報登録工程と、
前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したインシデント情報を照合し、脆弱性に対するシステム機器のリスク診断を行って診断結果をシステム情報ファイルに登録するリスク診断工程と、
リスクの診断結果を表示するリスク表示工程を実行することを第4の特徴とする。
前記ベンダーから公開された脆弱性情報を前記脆弱性情報ファイルへ登録する脆弱性情報登録部及びシステム機器毎のインシデント情報をシステム情報ファイルへ登録するシステム情報登録部を含む情報登録工程と、
前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したインシデント情報を照合し、脆弱性に対するシステム機器のリスク診断を行って診断結果をシステム情報ファイルに登録するリスク診断工程と、
リスクの診断結果を表示するリスク表示工程を実行することを第4の特徴とする。
また、本発明は、前記第4の特徴の脆弱性リスク診断方法において、前記インベントリ情報が、システム機器を構成するハードウェア情報を含み、前記リスク診断工程が、前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したソフトウェア情報及びハードウェア情報を照合し、脆弱性に対するシステム機器のリスク診断を行うことを第5の特徴とし、前記何れかの特徴の脆弱性リスク診断方法において、前記インベントリ情報が、ソフトウェア情報に対するパッチ情報と任意設定情報を含み、前記リスク診断工程が、脆弱性情報ファイルに格納した脆弱性が公開されているバージョンを含む適合条件に、システム情報ファイルに格納したソフトウェア情報とハードウェア情報とパッチ情報と任意設定情報を含むインベントリ情報に合致するか否かを判定し、合致するインベントリ情報に対して脆弱性情報ファイルに含まれるリスク値を抽出して表示することを第6の特徴とする。
本発明による脆弱性リスク診断システム及び脆弱性リスク診断方法は、ベンダーから公開された脆弱性情報を脆弱性情報ファイルへ登録する脆弱性情報登録部及びシステム機器毎のインシデント情報をシステム情報ファイルへ登録するシステム情報登録部を含む情報登録部と、脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したインシデント情報を照合し、脆弱性に対するシステム機器のリスク診断を行って診断結果をシステム情報ファイルに登録するリスク診断部と、リスクの診断結果を表示する表示部とを設けたことによって、コンピュータシステムにおけるハードウェアやソフトウェアの脆弱性によるリスクを診断することができる。
以下、本発明による脆弱性リスク診断方法を実現する脆弱性リスク診断システムの一実施形態を図面を参照して詳細に説明する。
[構成]
本実施形態による脆弱性リスク診断システムを含むコンピュータシステムは、リスク診断の対象となるシステム機器15及び該システム機器15のインベントリ情報を格納するインベントリ情報ファイル22を含む外部システム2と、該外部システム2とインターネット等の通信回線を介して接続され前記外部システム2のリスク診断を行うリスク診断システム1と、該リスク診断システム1に接続され、操作者が操作する操作端末16によりリスク診断結果を表示するシステム操作部3とから構成される。
[構成]
本実施形態による脆弱性リスク診断システムを含むコンピュータシステムは、リスク診断の対象となるシステム機器15及び該システム機器15のインベントリ情報を格納するインベントリ情報ファイル22を含む外部システム2と、該外部システム2とインターネット等の通信回線を介して接続され前記外部システム2のリスク診断を行うリスク診断システム1と、該リスク診断システム1に接続され、操作者が操作する操作端末16によりリスク診断結果を表示するシステム操作部3とから構成される。
本実施形態の特徴であるリスク診断システム1は、図示しないソフトウェア・ハードウェアの製造業者又は供給業者であるベンダーから公開された脆弱性情報を格納するための脆弱性情報ファイル20と、前記外部システム2のシステム機器15を形成するソフトウェア及びハードウェアの構成情報であるシステム情報及びリスク診断結果を格納するシステム情報ファイル21と、前記公開された脆弱性情報を収集して脆弱性情報ファイル20に登録する脆弱性情報登録部13及び前記外部システム2のインベントリ情報ファイル22の情報をシステム情報ファイル21に登録するシステム情報登録部14を含む情報登録部10と、前記脆弱性情報ファイル20及びシステム情報ファイル21を照合し、脆弱性ごとにシステム機器15のリスク診断を行うリスク診断部11と、該リスク診断部11によるリスク診断結果及び脆弱性への対策を行った後のリスク値の変化のシミュレート画面を表示するリスク表示部12とを備え、リスク表示部12を閲覧するためにシステム操作部3が接続されている。
前記脆弱性情報ファイル20に格納される脆弱性情報は、図6(a)に示す如く、脆弱性に適合する適合条件及び該適合条件毎のリクク値を含む評価基準と、該脆弱性によりシステム機器に与える想定される影響範囲と、該脆弱性に対応するための対策手段との各項目情報とから成り、前記適合条件は、ソフトウェアのバージョンに対するリスク値を[適合条件/リスク値]の形式で表し、例えば、[Software_A10.1以前/4.5(高)]の如く登録され、前記影響範囲は、例えば、「任意のコードが実行される」「情報の漏洩、改ざんの可能性」の如く表し、前記対策手段は、例えば、「patch_001適用」「settings_001を100に変更」の如く表されている。尚、図示の例ではソフトウェアに対する脆弱性の適合条件しか例示していないが、ハードウェアとソフトウェアとの相性による脆弱性も想定されるためハードウェアとの組み合わせも脆弱性情報に含めても良い。
前記システム情報ファイル21に登録されるシステム情報ファイルは、インベントリ情報及びリスク診断結果を含み、該インベントリ情報は、図6(b)に示す如く、システム機器からのインベントリの取得日時と、OSバージョン・ホスト名・当該ホストのIPアドレスを含むOS情報と、システム機器を構成する各パーツの型番・スペックを含むハードウェア情報と、ソフトウェア名・ソフトウェア毎のバージョンを含むソフトウェア情報と、脆弱性に関連するパッチの適用状況を表すパッチ情報と、脆弱性に対するサービスON/OFF・レジストリ値・パーソナルコンピュータらメータ値などの設定状況を表す任意設定情報の各項目情報と、システム機器のリソース使用率を表すリソース情報と、システム機器の連続稼働時間を表す稼働時間とを含み、データ例としては図示の通りである。
前記リスク診断結果は、診断結果毎に一意に付与された登録名IDと、診断結果の適合条件毎のリスク値と、想定される影響範囲と、脆弱性への対策手段との各綱目情報を含む診断結果とから成り、例えば、登録名ID「脆弱性_001」に対し、リスク値が「4.5(高)」、影響範囲が「任意のコードが実行される」「情報の漏洩、改竄の可能性」、対策手段が「patch_001適用」「setting_001を100に変更」の如く格納されている。
また、前記リスク表示部12に表示されるリスク診断結果画面は、図2に示す如く、指定したシステム機器の脆弱性に対するリスク値欄30と、診断日時と、システム機器のホスト名と、該ホストのOSバージョンと、該ホストに適用可能なパッチ適用有無を示すパッチ名及び適用可能なサービス名を表すサービス名を表示するシステム情報表示フィールド31と、脆弱性による影響範囲及び対策手段を表示する影響範囲/対策手段表示フィールド32との各項目欄を表示し、図示の例では、OS_A StdのホストServer_001に対して2013/11/6 10:57:20に診断したリスク値が「3.2(中)」であり、パッチ_001が未適用、サービス_002が「ON」、想定される影響範囲が「任意のコードが実行される」、対策手段が「パッチ_002適用」である旨が表示されている。
[動作]
前述のように構成された脆弱性リスク診断システムは、図3(b)に示す如く、システム情報登録部14が、システム情報ファイル21に格納した外部システム2のシステム機器毎のインベントリ情報を定期的に読みだしてシステム情報ファイル21に登録したインベントリ情報をシステム情報ファイル21に登録するステップ103と、図3(a)に示す如く、脆弱性情報登録部13が、脆弱性ごとにベンダーが公開した脆弱性情報を脆弱性情報ファイル20に登録するステップ101と、システム情報登録部14が、前記登録した脆弱性情報ファイル20の登録名IDをリスク診断部11に通知するステップ102を実行することによって、脆弱性情報ファイル20とシステム情報ファイル21に情報を登録するように動作する。
前述のように構成された脆弱性リスク診断システムは、図3(b)に示す如く、システム情報登録部14が、システム情報ファイル21に格納した外部システム2のシステム機器毎のインベントリ情報を定期的に読みだしてシステム情報ファイル21に登録したインベントリ情報をシステム情報ファイル21に登録するステップ103と、図3(a)に示す如く、脆弱性情報登録部13が、脆弱性ごとにベンダーが公開した脆弱性情報を脆弱性情報ファイル20に登録するステップ101と、システム情報登録部14が、前記登録した脆弱性情報ファイル20の登録名IDをリスク診断部11に通知するステップ102を実行することによって、脆弱性情報ファイル20とシステム情報ファイル21に情報を登録するように動作する。
次いで、本実施形態によるリスク診断部11が、図4に示す如く、前記脆弱性情報登録部13からの脆弱性情報の登録通知を受信したとき、脆弱性情報ファイル20から脆弱性情報を取得するステップ201と、システム情報ファイル21からインベントリ情報を取得するステップ202と、該ステップ202により取得したインベントリ情報の取得日時と脆弱性情報日付とを比較し、インベントリ情報日付と脆弱性情報日付との日付差が所定日数差以上古い又はインベントリ情報登録がされているかに基づいてシステム情報を更新するか否かを判定するステップ203と、該ステップ203によりシステム情報を更新すると判定(所定日数差以上古い又はインベントリ情報登録がされていない)したとき、インシベント情報を含むシステム情報を更新するステップ204と、該ステップ204又は前記ステップ203によりシステム情報を更新しないと判定したときに続き、リスク診断処理を実行するステップS205と、該ステップ205により実行したリスク診断処理結果をシステム情報ファイル21に登録するステップ206とを実行することによって、リスク診断を行うように動作する。
このリスク診断は、例えば、脆弱性情報ファイル20に格納した脆弱性が公開されているバージョンを含む適合条件に合致するソフトウェア及びハードウェアが、システム情報ファイル21に格納したインベントリ情報(ソフトウェア情報とハードウェア情報とパッチ情報と任意設定情報)に合致するか否かを判定し、合致するインベントリ情報に対して脆弱性情報ファイル20に含まれるリスク値を抽出することによって行われる。
更に、本実施形態による脆弱性リスク診断システムは、操作端末16からリスク表示部12に接続し脆弱性の一覧から任意の脆弱性を選択することによって、図5に示す如く、脆弱性情報ファイル20から脆弱性の一覧「登録名ID」を取得してリスク表示部12へ表示する画面データ作成を行う表示処理を実行するステップ301と、システム情報ファイル21のリスク診断結果から選択した脆弱性のリスク診断結果を取得するステップ302と、該ステップ302により取得したリスク診断結果(図2)をリスク表示部12へ画面出力するステップ303と、該ステップ303により出力した表示画面に対して操作端末16からシステム情報表示フィールド31の変更又は再診断のシミュレートが入力されたか否かを判定し、シミュレートしないと判定したときに処理を終了するステップ304と、該ステップ304によりシミュレートすると判定したとき、図2に示すリスク値表示フィールド30及び影響範囲/対策手段表示フィールド32のシステム情報の変更又は再診断処理を行って前記ステップ303に戻るステップ305とを実行することによって、表示画面においてシステム情報値(パッチ、サービス)を変更して対策の効果をシミュレートすることができる。
このように本実施形態による脆弱性リスク診断システムは、リスク診断の対象となるシステム機器15及び該システム機器15のインベントリ情報を格納するインベントリ情報ファイル22を含む外部システム2と接続され、システム機器15の脆弱性をベンダーから公開された脆弱性情報に基づいて診断するものであって、ベンダーから公開された脆弱性情報を格納する脆弱性情報ファイル20と、前記外部システム2のシステム機器15を形成するソフトウェア及びハードウェアの構成情報であるシステム情報及びリスク診断結果を格納するシステム情報ファイル21と、脆弱性情報を脆弱性毎に脆弱性情報ファイルへ登録する脆弱性情報登録部13及びシステム機器毎のシステム情報をシステム情報ファイルへ登録するシステム情報登録部14とを含む情報登録部10と、前記脆弱性情報ファイル20とシステム情報ファイル21を照合し、脆弱性に対するシステムのリスク診断を行って診断結果をシステム情報ファイル21に登録するリスク診断部11と、リスクの診断結果を表示すると共にシステム情報値を変更することで、対策の効果をシミュレートすることができるリスク表示部12とを備えたことによって、コンピュータシステムにおけるハードウェアやソフトウェアの脆弱性によるリスクを診断することができる。
1 リスク診断システム、2 外部システム、3 システム操作部、
10 情報登録部、11 リスク診断部、12 リスク表示部、
13 脆弱性情報登録部、14 システム情報登録部、15 システム機器、
16 操作端末、20 脆弱性情報ファイル、21 システム情報ファイル、
22 インベントリ情報ファイル、30 リスク値欄、
31 システム情報表示フィールド、
32 対策手段表示フィールド
10 情報登録部、11 リスク診断部、12 リスク表示部、
13 脆弱性情報登録部、14 システム情報登録部、15 システム機器、
16 操作端末、20 脆弱性情報ファイル、21 システム情報ファイル、
22 インベントリ情報ファイル、30 リスク値欄、
31 システム情報表示フィールド、
32 対策手段表示フィールド
Claims (6)
- 脆弱性のリスク診断の対象となるソフトウェア情報を含むシステム機器のインベントリ情報を格納するインベントリ情報ファイルを含む外部システムに接続され、システム機器の脆弱性をベンダーから公開された脆弱性情報に基づいて診断する脆弱性リスク診断システムであって、
前記ベンダーから公開された脆弱性情報及び該脆弱性情報に対するリスク値を格納する脆弱性情報ファイルと、
前記外部システムのソフトウェア情報を含むシステム機器のインシデント情報を格納するシステム情報ファイルと、
前記ベンダーから公開された脆弱性情報を前記脆弱性情報ファイルへ登録する脆弱性情報登録部及びシステム機器毎のインシデント情報をシステム情報ファイルへ登録するシステム情報登録部を含む情報登録部と、
前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したインシデント情報を照合し、脆弱性に対するシステム機器のリスク診断を行って診断結果をシステム情報ファイルに登録するリスク診断部と、
リスクの診断結果を表示するリスク表示部と備えたことを特徴とする脆弱性リスク診断システム。 - 前記インベントリ情報が、システム機器を構成するハードウェア情報を含み、前記リスク診断部が、前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したソフトウェア情報及びハードウェア情報を照合し、脆弱性に対するシステム機器のリスク診断を行うことを特徴とする請求項1記載の脆弱性リスク診断システム。
- 前記インベントリ情報が、ソフトウェア情報に対するパッチ情報と任意設定情報を含み、前記リスク診断部が、脆弱性情報ファイルに格納した脆弱性が公開されているバージョンを含む適合条件に、システム情報ファイルに格納したソフトウェア情報とハードウェア情報とパッチ情報と任意設定情報を含むインベントリ情報に合致するか否かを判定し、合致するインベントリ情報に対して脆弱性情報ファイルに含まれるリスク値を抽出してリスク表示部に表示することを特徴とする請求項1又は2記載の脆弱性リスク診断システム。
- 脆弱性のリスク診断の対象となるソフトウェア情報を含むシステム機器のインベントリ情報を格納するインベントリ情報ファイルを含む外部システムに接続され、脆弱性情報及び該脆弱性情報に対するリスク値を格納する脆弱性情報ファイルと、前記外部システムのソフトウェア情報を含むシステム機器のインシデント情報を格納するシステム情報ファイルとを備え、システム機器の脆弱性をベンダーから公開された脆弱性情報に基づいて診断するコンピュータシステムの脆弱性リスク診断方法であって、
前記ベンダーから公開された脆弱性情報を前記脆弱性情報ファイルへ登録する脆弱性情報登録部及びシステム機器毎のインシデント情報をシステム情報ファイルへ登録するシステム情報登録部を含む情報登録工程と、
前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したインシデント情報を照合し、脆弱性に対するシステム機器のリスク診断を行って診断結果をシステム情報ファイルに登録するリスク診断工程と、
リスクの診断結果を表示するリスク表示工程を実行することを特徴とする脆弱性リスク診断方法。 - 前記インベントリ情報が、システム機器を構成するハードウェア情報を含み、前記リスク診断工程が、前記脆弱性情報ファイルに登録した脆弱性情報とシステム情報ファイルに登録したソフトウェア情報及びハードウェア情報を照合し、脆弱性に対するシステム機器のリスク診断を行うことを特徴とする請求項4記載の脆弱性リスク診断方法。
- 前記インベントリ情報が、ソフトウェア情報に対するパッチ情報と任意設定情報を含み、前記リスク診断工程が、脆弱性情報ファイルに格納した脆弱性が公開されているバージョンを含む適合条件に、システム情報ファイルに格納したソフトウェア情報とハードウェア情報とパッチ情報と任意設定情報を含むインベントリ情報に合致するか否かを判定し、合致するインベントリ情報に対して脆弱性情報ファイルに含まれるリスク値を抽出して表示することを特徴とする請求項4又は5記載の脆弱性リスク診断方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014011420A JP2015138509A (ja) | 2014-01-24 | 2014-01-24 | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014011420A JP2015138509A (ja) | 2014-01-24 | 2014-01-24 | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015138509A true JP2015138509A (ja) | 2015-07-30 |
Family
ID=53769429
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014011420A Pending JP2015138509A (ja) | 2014-01-24 | 2014-01-24 | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015138509A (ja) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017174378A (ja) * | 2016-03-18 | 2017-09-28 | エーオー カスペルスキー ラボAO Kaspersky Lab | スマートデバイスの脆弱性を除去する方法及びシステム |
WO2017169323A1 (ja) * | 2016-03-30 | 2017-10-05 | 日本電気株式会社 | 情報処理装置、情報処理方法、非一時的なコンピュータ可読媒体 |
US10084812B2 (en) | 2016-03-18 | 2018-09-25 | AO Kaspersky Lab | Method and system of repairing vulnerabilities of smart devices |
JP2018163537A (ja) * | 2017-03-27 | 2018-10-18 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
US10419472B2 (en) | 2016-03-18 | 2019-09-17 | AO Kaspersky Lab | System and method for repairing vulnerabilities of devices connected to a data network |
JP2019192101A (ja) * | 2018-04-27 | 2019-10-31 | 矢崎総業株式会社 | 脆弱性情報生成装置および脆弱性評価装置 |
JP2020004006A (ja) * | 2018-06-27 | 2020-01-09 | Nttテクノクロス株式会社 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
JP2020021309A (ja) * | 2018-08-01 | 2020-02-06 | 株式会社野村総合研究所 | 脆弱性管理システム及びプログラム |
JP2020052767A (ja) * | 2018-09-27 | 2020-04-02 | Kddi株式会社 | 脆弱性推定装置及び脆弱性推定方法 |
JP2020155986A (ja) * | 2019-03-20 | 2020-09-24 | 三菱電機インフォメーションネットワーク株式会社 | ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法 |
JP2020184377A (ja) * | 2020-07-28 | 2020-11-12 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
WO2021070217A1 (ja) * | 2019-10-07 | 2021-04-15 | 株式会社Pfu | セキュリティ対策管理装置、セキュリティ対策管理方法、及びプログラム |
JPWO2021070216A1 (ja) * | 2019-10-07 | 2021-04-15 | ||
WO2022024959A1 (ja) * | 2020-07-28 | 2022-02-03 | 日本電気株式会社 | 抽出装置及び抽出方法 |
-
2014
- 2014-01-24 JP JP2014011420A patent/JP2015138509A/ja active Pending
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10419472B2 (en) | 2016-03-18 | 2019-09-17 | AO Kaspersky Lab | System and method for repairing vulnerabilities of devices connected to a data network |
JP2017174378A (ja) * | 2016-03-18 | 2017-09-28 | エーオー カスペルスキー ラボAO Kaspersky Lab | スマートデバイスの脆弱性を除去する方法及びシステム |
US10484416B2 (en) | 2016-03-18 | 2019-11-19 | AO Kaspersky Lab | System and method for repairing vulnerabilities of objects connected to a data network |
US10084812B2 (en) | 2016-03-18 | 2018-09-25 | AO Kaspersky Lab | Method and system of repairing vulnerabilities of smart devices |
TWI677802B (zh) * | 2016-03-30 | 2019-11-21 | 日商日本電氣股份有限公司 | 資訊處理裝置、資訊處理方法及非暫時性電腦可讀取記錄媒體 |
JP2017182398A (ja) * | 2016-03-30 | 2017-10-05 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
WO2017169323A1 (ja) * | 2016-03-30 | 2017-10-05 | 日本電気株式会社 | 情報処理装置、情報処理方法、非一時的なコンピュータ可読媒体 |
US11822671B2 (en) | 2016-03-30 | 2023-11-21 | Nec Corporation | Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures |
US10902131B2 (en) | 2016-03-30 | 2021-01-26 | Nec Corporation | Information processing device, information processing method, and non-transitory computer readable medium for providing improved security |
JP2018163537A (ja) * | 2017-03-27 | 2018-10-18 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
JP2019192101A (ja) * | 2018-04-27 | 2019-10-31 | 矢崎総業株式会社 | 脆弱性情報生成装置および脆弱性評価装置 |
JP7040992B2 (ja) | 2018-04-27 | 2022-03-23 | 矢崎総業株式会社 | 脆弱性情報生成装置および脆弱性評価装置 |
JP2020004006A (ja) * | 2018-06-27 | 2020-01-09 | Nttテクノクロス株式会社 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
JP7123659B2 (ja) | 2018-06-27 | 2022-08-23 | Nttテクノクロス株式会社 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
JP2020021309A (ja) * | 2018-08-01 | 2020-02-06 | 株式会社野村総合研究所 | 脆弱性管理システム及びプログラム |
JP7174559B2 (ja) | 2018-08-01 | 2022-11-17 | 株式会社野村総合研究所 | 脆弱性管理システム及びプログラム |
JP2020052767A (ja) * | 2018-09-27 | 2020-04-02 | Kddi株式会社 | 脆弱性推定装置及び脆弱性推定方法 |
JP2020155986A (ja) * | 2019-03-20 | 2020-09-24 | 三菱電機インフォメーションネットワーク株式会社 | ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法 |
JP7166969B2 (ja) | 2019-03-20 | 2022-11-08 | 三菱電機インフォメーションネットワーク株式会社 | ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法 |
WO2021070216A1 (ja) * | 2019-10-07 | 2021-04-15 | 株式会社Pfu | 脆弱性管理装置、脆弱性管理方法、及びプログラム |
JPWO2021070217A1 (ja) * | 2019-10-07 | 2021-04-15 | ||
JPWO2021070216A1 (ja) * | 2019-10-07 | 2021-04-15 | ||
WO2021070217A1 (ja) * | 2019-10-07 | 2021-04-15 | 株式会社Pfu | セキュリティ対策管理装置、セキュリティ対策管理方法、及びプログラム |
JP7198991B2 (ja) | 2019-10-07 | 2023-01-05 | 株式会社Pfu | 脆弱性管理装置、脆弱性管理方法、及びプログラム |
WO2022024959A1 (ja) * | 2020-07-28 | 2022-02-03 | 日本電気株式会社 | 抽出装置及び抽出方法 |
JP2020184377A (ja) * | 2020-07-28 | 2020-11-12 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2015138509A (ja) | 脆弱性リスク診断システム及び脆弱性リスク診断方法 | |
US8707384B2 (en) | Change recommendations for compliance policy enforcement | |
US10824521B2 (en) | Generating predictive diagnostics via package update manager | |
US11991043B2 (en) | Network node policy generation and implementation | |
US8209564B2 (en) | Systems and methods for initiating software repairs in conjunction with software package updates | |
US20180063171A1 (en) | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device | |
US20170177324A1 (en) | Maintaining deployment pipelines for a production computing service using live pipeline templates | |
KR102341154B1 (ko) | 모바일 장치들의 원격 구성을 허용하기 위해 모바일 장치들 상에 설치되는 고속 어플리케이션 | |
WO2020026228A1 (en) | Firmware verification | |
US9116802B2 (en) | Diagnostic notification via package update manager | |
US20130276124A1 (en) | Systems, methods, apparatuses and computer program products for providing mobile device protection | |
US20130219156A1 (en) | Compliance aware change control | |
WO2014182597A1 (en) | Risk prioritization and management | |
US20190095587A1 (en) | Method And System For User-Verifiable Certification Of Software For Medical Devices | |
US20200134196A1 (en) | Computer implemented systems and methods for assessing operational risks and mitigating operational risks associated with using a third party software component in a software application | |
US20140379664A1 (en) | System and method for automatic correction of a database configuration in case of quality defects | |
US20180063172A1 (en) | Non-transitory computer-readable recording medium storing control program, control method, and information processing device | |
KR20130096033A (ko) | 컴퓨터 시스템 및 시그니처검증서버 | |
US11113357B2 (en) | Method and system for onboarding a virtual network function package utilized by one or more network services | |
JP2020166520A (ja) | 制御システム、および設定方法 | |
US10698394B2 (en) | Enhanced service procedures using force measurement | |
US20160132469A1 (en) | Comparing user interfaces | |
Singh et al. | it@ intel | |
Boyens et al. | Validating the Integrity of Computing Devices | |
JP2012038108A (ja) | 要件定義支援プログラムおよび要件定義支援装置 |