JP2017068691A - Diagnostic program, diagnostic method and diagnostic apparatus - Google Patents

Diagnostic program, diagnostic method and diagnostic apparatus Download PDF

Info

Publication number
JP2017068691A
JP2017068691A JP2015195042A JP2015195042A JP2017068691A JP 2017068691 A JP2017068691 A JP 2017068691A JP 2015195042 A JP2015195042 A JP 2015195042A JP 2015195042 A JP2015195042 A JP 2015195042A JP 2017068691 A JP2017068691 A JP 2017068691A
Authority
JP
Japan
Prior art keywords
vulnerability
diagnosis
information
diagnostic
scan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015195042A
Other languages
Japanese (ja)
Other versions
JP6531601B2 (en
Inventor
明彦 國分
Akihiko Kokubu
明彦 國分
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2015195042A priority Critical patent/JP6531601B2/en
Publication of JP2017068691A publication Critical patent/JP2017068691A/en
Application granted granted Critical
Publication of JP6531601B2 publication Critical patent/JP6531601B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Test And Diagnosis Of Digital Computers (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a diagnostic program, a diagnostic method and a diagnostic apparatus capable of efficiently carrying out vulnerability diagnosis on an information processor.SOLUTION: A diagnostic apparatus 1 includes: a storage section 14 that stores a piece of device information which is acquired from an information processor 2 as the diagnostic object when a vulnerability diagnosis is executed based on a first diagnostic rule; and a diagnostic part 23 that, when a new vulnerability diagnosis is made based on a second diagnostic rule different from a first diagnostic rule after carrying out the vulnerability diagnosis, carries out a vulnerability diagnosis on an information processor 2 as the diagnostic object based on the device information stored in the storage section 14.SELECTED DRAWING: Figure 1

Description

本発明は、診断プログラム、診断方法および診断装置に関する。   The present invention relates to a diagnostic program, a diagnostic method, and a diagnostic apparatus.

情報処理装置で動作するOperating System(OS)やミドルウェア、アプリケーションプログラム等には脆弱性が存在する場合がある。脆弱性を調査するために、例えば、シグネチャに沿った診断パケットを情報処理装置に送信し、情報処理装置からの反応に基づいて、脆弱性の診断を行う技術が用いられている。   Vulnerabilities may exist in the operating system (OS), middleware, application programs, etc. that run on information processing devices. In order to investigate the vulnerability, for example, a technique is used in which a diagnostic packet according to a signature is transmitted to the information processing apparatus, and the vulnerability is diagnosed based on a reaction from the information processing apparatus.

関連する技術として、セキュリティを診断するエージェントにセキュリティ診断の指示を行い、エージェントから受信したセキュリティの診断データを解析する技術が提案されている(例えば、特許文献1参照)。   As a related technique, a technique for instructing security diagnosis to an agent that diagnoses security and analyzing security diagnosis data received from the agent has been proposed (for example, see Patent Document 1).

特開2012−48556号公報JP 2012-48556 A

診断対象の情報処理装置に対する脆弱性診断の頻度が低くなると、脆弱性診断が行われない時間が長くなるため、この時間の間に追加された脆弱性情報についての脆弱性診断が情報処理装置に対して行われない。脆弱性診断が、長い間、情報処理装置に対して行われないことは、セキュリティの観点から好ましくない。   If the frequency of vulnerability diagnosis for the information processing device to be diagnosed becomes low, the time during which vulnerability diagnosis is not performed increases. Therefore, the vulnerability diagnosis for vulnerability information added during this time is sent to the information processing device. Not against. It is not preferable from the viewpoint of security that the vulnerability diagnosis is not performed on the information processing apparatus for a long time.

一方、診断対象の情報処理装置に対する脆弱性診断の頻度が高くなると、情報処理装置に対する診断負荷が高くなる。また、診断パケットを用いた通信により脆弱性診断が行われるため、ネットワーク負荷も高くなる。   On the other hand, when the frequency of vulnerability diagnosis for the information processing apparatus to be diagnosed increases, the diagnosis load on the information processing apparatus increases. Further, since the vulnerability diagnosis is performed by communication using the diagnostic packet, the network load is also increased.

1つの側面として、本発明は、情報処理装置に対する脆弱性診断の負荷低減を図ることを目的とする。   As one aspect, an object of the present invention is to reduce the load of vulnerability diagnosis on an information processing apparatus.

1つの態様では、診断プログラムは、コンピュータに、第1の診断ルールに基づく脆弱性診断を実行した際に診断対象の情報処理装置から取得された装置情報を記憶部に記憶し、前記脆弱性診断の実行後に、前記第1の診断ルールと異なる第2の診断ルールに基づいて新たな脆弱性診断を行う場合、前記記憶部に記憶された前記装置情報に基づいて、診断対象の前記情報処理装置についての脆弱性診断を行う、処理を実行させる。   In one aspect, the diagnosis program stores, in a storage unit, device information acquired from the information processing device to be diagnosed when the vulnerability diagnosis based on the first diagnosis rule is executed on the computer, and the vulnerability diagnosis is performed. When performing a new vulnerability diagnosis based on a second diagnostic rule different from the first diagnostic rule after the execution of the information processing apparatus, the information processing apparatus to be diagnosed based on the apparatus information stored in the storage unit Vulnerability diagnosis for, and execute the process.

1つの側面によれば、情報処理装置に対する脆弱性診断の負荷を低減できる。   According to one aspect, the load of vulnerability diagnosis on the information processing apparatus can be reduced.

診断装置および診断対象端末の一例を示す図である。It is a figure which shows an example of a diagnostic apparatus and a diagnostic object terminal. 脆弱性診断の第1の例におけるデータベースの一例を示す図である。It is a figure which shows an example of the database in the 1st example of a vulnerability diagnosis. 脆弱性診断の第1の例を説明するための図である。It is a figure for demonstrating the 1st example of a vulnerability diagnosis. 脆弱性診断の第1の例におけるデータベースおよびリストの一例を示す図である。It is a figure which shows an example of the database and list | wrist in the 1st example of a vulnerability diagnosis. 脆弱性診断の第2の例におけるデータベースの一例を示す図である。It is a figure which shows an example of the database in the 2nd example of a vulnerability diagnosis. 脆弱性診断の第2の例を説明するための図である。It is a figure for demonstrating the 2nd example of a vulnerability diagnosis. 脆弱性診断の第2の例におけるデータベースおよびリストの一例を示す図である。It is a figure which shows an example of the database and list | wrist in the 2nd example of a vulnerability diagnosis. 脆弱性診断の第3の例におけるデータベースの一例を示す図である。It is a figure which shows an example of the database in the 3rd example of a vulnerability diagnosis. 実施形態の処理の一例を示すフローチャート(その1)である。It is a flowchart (the 1) which shows an example of the process of embodiment. 実施形態の処理の一例を示すフローチャート(その2)である。It is a flowchart (the 2) which shows an example of the process of embodiment. 実施形態の処理の一例を示すフローチャート(その3)である。It is a flowchart (the 3) which shows an example of the process of embodiment. 診断装置のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of a diagnostic apparatus.

<実施形態の診断装置の一例>
以下、図面を参照して、実施形態について説明する。図1は、実施形態の診断装置1および診断対象端末2の一例を示す。診断装置1は、診断対象端末2の脆弱性の診断を行うコンピュータである。診断対象端末2は、情報処理装置の一例である。 <Example of Diagnostic Device of Embodiment>
Hereinafter, embodiments will be described with reference to the drawings. FIG. 1 shows an example of a diagnosis apparatus 1 and a diagnosis target terminal 2 according to the embodiment. The diagnostic device 1 is a computer that diagnoses the vulnerability of the terminal 2 to be diagnosed. The diagnosis target terminal 2 is an example of an information processing apparatus.

診断対象端末2ではOSが実行されており、OS上でミドルウェアが動作する。また、ミドルウェア上では、1または複数のアプリケーションプログラム(以下、アプリケーションと称する)が動作する。実施形態では、ミドルウェア上で複数のアプリケーションが動作しているものとする。   The diagnosis target terminal 2 is running an OS, and middleware operates on the OS. On the middleware, one or a plurality of application programs (hereinafter referred to as applications) operate. In the embodiment, it is assumed that a plurality of applications are operating on the middleware.

OS、ミドルウェアおよびアプリケーションは、Central Processing Unit(CPU)により実行されるプログラムである。これらのプログラムには、それぞれ脆弱性が存在する可能性がある。   The OS, middleware, and application are programs executed by the central processing unit (CPU). Each of these programs may be vulnerable.

セキュリティの観点から、脆弱性があるプログラムが診断対象端末2で動作することは好ましくない。診断装置1は、診断対象端末2で動作するプログラムのそれぞれについて、脆弱性が存在するか否か、または脆弱性が存在する可能性があるか否かの診断を行う。   From the viewpoint of security, it is not preferable that a vulnerable program operates on the diagnosis target terminal 2. The diagnosis apparatus 1 diagnoses whether each of the programs that operate on the diagnosis target terminal 2 has a vulnerability or may have a vulnerability.

以下、診断装置1が診断対象端末2に対して行う上記の診断を脆弱性診断と称する。診断装置1は、OS、ミドルウェアおよびアプリケーションのそれぞれに対して脆弱性診断を行う。   Hereinafter, the above diagnosis performed by the diagnosis apparatus 1 on the diagnosis target terminal 2 is referred to as vulnerability diagnosis. The diagnosis device 1 performs vulnerability diagnosis for each of the OS, middleware, and application.

次に、診断装置1の各部について説明する。診断装置1は、処理部11と通信部12と画面部13とスキャン情報DB14と脆弱性情報DB15とリスト記憶部16とを含む。DBはデータベースの略称である。スキャン情報DB14は、記憶部の一例である。   Next, each part of the diagnostic apparatus 1 will be described. The diagnostic device 1 includes a processing unit 11, a communication unit 12, a screen unit 13, a scan information DB 14, a vulnerability information DB 15, and a list storage unit 16. DB is an abbreviation for database. The scan information DB 14 is an example of a storage unit.

処理部11は、取得部21と推定部22と診断部23とリスト処理部24と有効期限管理部25とを含む。   The processing unit 11 includes an acquisition unit 21, an estimation unit 22, a diagnosis unit 23, a list processing unit 24, and an expiration date management unit 25.

取得部21は、診断対象端末2から、脆弱性診断を行うための各種の情報(以下、装置情報と称する)を取得する。取得部21が取得した装置情報は、スキャン情報として、スキャン情報DB14に記憶される。   The acquisition unit 21 acquires various types of information (hereinafter referred to as device information) for performing vulnerability diagnosis from the diagnosis target terminal 2. The device information acquired by the acquisition unit 21 is stored in the scan information DB 14 as scan information.

取得部21は、診断対象端末2またはスキャン情報DB14から装置情報を取得する。取得部21が診断対象端末2から装置情報を取得する場合、診断装置1と診断対象端末2との間で通信が発生する。   The acquisition unit 21 acquires apparatus information from the diagnosis target terminal 2 or the scan information DB 14. When the acquisition unit 21 acquires device information from the diagnosis target terminal 2, communication occurs between the diagnosis device 1 and the diagnosis target terminal 2.

つまり、この場合、オンラインにより装置情報が取得される。以下、取得部21が診断対象端末2から装置情報を取得することをネットワークスキャンと称する。   That is, in this case, device information is acquired online. Hereinafter, the acquisition of the device information from the diagnosis target terminal 2 by the acquisition unit 21 is referred to as a network scan.

取得部21は、スキャン情報DB14から装置情報を取得することもある。取得部21がスキャン情報DB14から取得する装置情報をスキャン情報と称する。取得部21がスキャン情報DB14からスキャン情報を取得する場合、診断装置1と診断対象端末2との間に通信は発生しない。   The acquisition unit 21 may acquire apparatus information from the scan information DB 14. The device information acquired by the acquisition unit 21 from the scan information DB 14 is referred to as scan information. When the acquisition unit 21 acquires scan information from the scan information DB 14, no communication occurs between the diagnostic device 1 and the diagnosis target terminal 2.

つまり、この場合、オフラインにより、装置情報(スキャン情報)が取得される。以下、取得部21がスキャン情報DB14からスキャン情報を取得することをキャッシュスキャンと称する。   That is, in this case, apparatus information (scan information) is acquired offline. Hereinafter, the acquisition of the scan information from the scan information DB 14 by the acquisition unit 21 is referred to as a cache scan.

推定部22は、装置情報(スキャン情報)に基づいて、診断対象端末2で動作しているOSおよびミドルウェアの種別を推定する。実施形態では、装置情報は、診断対象端末2で動作しているOS、ミドルウェア、アプリケーションに関する情報を含む。   The estimation unit 22 estimates the type of OS and middleware operating on the diagnosis target terminal 2 based on the device information (scan information). In the embodiment, the device information includes information related to the OS, middleware, and applications operating on the diagnosis target terminal 2.

実施形態では、OSに関する情報には、例えば、OSのフィンガープリントやバナー情報(OSの名称等を示す情報)等が含まれ、ミドルウェアに関する情報には、例えば、オープンポートやフィンガープリント、バナー情報等が含まれるものとする。ただし、OSに関する情報およびミドルウェアに関する情報は、上記の例には限定されない。   In the embodiment, the OS information includes, for example, the OS fingerprint and banner information (information indicating the OS name, etc.), and the middleware information includes, for example, an open port, fingerprint, banner information, and the like. Is included. However, the information about the OS and the information about the middleware are not limited to the above example.

推定部22は、これらの情報に基づいて、診断対象端末2で動作しているOSおよびミドルウェアの種別を推定する。例えば、推定部22は、OSおよびミドルウェアの種類やバージョン等を種別として推定する。   The estimation unit 22 estimates the type of OS and middleware operating on the diagnosis target terminal 2 based on these pieces of information. For example, the estimation unit 22 estimates the type and version of the OS and middleware as types.

診断部23は、診断対象端末2の脆弱性診断を行う。診断部23は、推定されたOS種別やミドルウェア種別、アプリケーションが動作しているか否かの情報と、脆弱性情報DB15に記憶されている脆弱性情報とを照合して、診断対象端末2の脆弱性診断を行う。   The diagnosis unit 23 performs vulnerability diagnosis of the diagnosis target terminal 2. The diagnosis unit 23 compares the estimated OS type, middleware type, information on whether or not the application is operating, and vulnerability information stored in the vulnerability information DB 15 to check the vulnerability of the diagnosis target terminal 2. Make a sex diagnosis.

リスト処理部24は、診断部23による脆弱性診断の結果を示すリストに対して記録や更新等の処理を行う。実施形態では、リスト処理部24は、脆弱性検出リストと脆弱性可能性リストとの2つのリストに対して記録や更新等の処理を行う。   The list processing unit 24 performs processing such as recording and updating on a list indicating the result of vulnerability diagnosis by the diagnosis unit 23. In the embodiment, the list processing unit 24 performs processing such as recording and updating on two lists of the vulnerability detection list and the vulnerability possibility list.

脆弱性検出リストは、診断部23による脆弱性診断の結果、診断対象端末2から検出された脆弱性を示すリストである。脆弱性検出リストは、第1のリストの一例である。   The vulnerability detection list is a list indicating the vulnerabilities detected from the diagnosis target terminal 2 as a result of the vulnerability diagnosis by the diagnosis unit 23. The vulnerability detection list is an example of a first list.

脆弱性可能性リストは、診断部23による脆弱性診断の結果、診断対象端末2に存在する可能性がある脆弱性を示すリストである。脆弱性可能性リストは、第2のリストの一例である。   The vulnerability possibility list is a list indicating vulnerabilities that may exist in the diagnosis target terminal 2 as a result of the vulnerability diagnosis by the diagnosis unit 23. The vulnerability possibility list is an example of a second list.

有効期限管理部25は、スキャン情報DB14に記憶されているスキャン情報の有効期限を管理する。スキャン情報には、所定の有効期限が設定されており、有効期限管理部25は、有効期限を超過したスキャン情報を無効化する。   The expiration date management unit 25 manages the expiration date of the scan information stored in the scan information DB 14. A predetermined expiration date is set in the scan information, and the expiration date management unit 25 invalidates the scan information that has exceeded the expiration date.

通信部12は、診断対象端末2と通信を行う。画面部13は、所定の情報を表示する。スキャン情報DB14は、取得部21が取得した装置情報をスキャン情報として記憶する。取得部21が装置情報を取得するごとに、スキャン情報DB14にスキャン情報が記憶される。   The communication unit 12 communicates with the diagnosis target terminal 2. The screen unit 13 displays predetermined information. The scan information DB 14 stores the device information acquired by the acquisition unit 21 as scan information. Each time the acquisition unit 21 acquires apparatus information, the scan information is stored in the scan information DB 14.

脆弱性情報DB15は、脆弱性情報を記憶する。脆弱性情報は、OSやミドルウェア、アプリケーション等に存在する脆弱性に関する情報である。新たな脆弱性情報が検出されるごとに、脆弱性情報DB15には、脆弱性情報が記憶されていく。   The vulnerability information DB 15 stores vulnerability information. Vulnerability information is information regarding vulnerabilities existing in the OS, middleware, applications, and the like. Every time new vulnerability information is detected, the vulnerability information DB 15 stores vulnerability information.

例えば、脆弱性情報の収集を行っている不図示の装置が、新たな脆弱性情報を検出した場合、該装置から、診断装置1は新たに検出された脆弱性情報を取得してもよい。取得された新たな脆弱性情報は、脆弱性情報DB15に記憶される。   For example, when a device (not shown) collecting vulnerability information detects new vulnerability information, the diagnostic device 1 may acquire the newly detected vulnerability information from the device. The acquired new vulnerability information is stored in the vulnerability information DB 15.

<個別要求および個別反応の一例>
次に、個別要求および個別反応について説明する。個別要求は、アプリケーションを実行させるための命令に関する情報を含むリクエストである。個別要求は、診断対象端末2に送信される。 <Examples of individual requests and individual reactions>
Next, individual requests and individual reactions will be described. The individual request is a request including information on an instruction for executing an application. The individual request is transmitted to the diagnosis target terminal 2.

診断対象端末2で、個別要求に対応するアプリケーションが有効に動作している場合、該アプリケーションは、個別要求に基づくアプリケーションが実行されたことを示す情報を診断装置1に送信する。   When the application corresponding to the individual request is operating effectively on the diagnosis target terminal 2, the application transmits information indicating that the application based on the individual request is executed to the diagnosis apparatus 1.

診断対象端末2で、個別要求に対応するアプリケーションが有効に動作していない場合、該アプリケーションは、個別要求に基づくアプリケーションが実行されなかったことを示す情報を診断装置1に送信する。   When the application corresponding to the individual request is not operating effectively on the diagnosis target terminal 2, the application transmits information indicating that the application based on the individual request has not been executed to the diagnosis apparatus 1.

個別要求に基づくアプリケーションが実行されたか否かを示す情報が個別反応である。この個別反応がレスポンスとして、診断対象端末2から診断装置1に送信される。個別要求は、アプリケーション以外の所定の機能を実行させるリクエストであってもよい。   Information indicating whether or not an application based on an individual request has been executed is an individual reaction. This individual reaction is transmitted as a response from the diagnosis target terminal 2 to the diagnosis device 1. The individual request may be a request for executing a predetermined function other than the application.

例えば、「GET /usage/index.cgi HTTP/1.1」という命令は、個別要求の一例である。この命令のうち「index.cgi」はアプリケーションを示す。診断対象端末2で該アプリケーションが有効に動作している場合、個別要求の命令が実行される。   For example, the command “GET /usage/index.cgi HTTP / 1.1” is an example of an individual request. Of these commands, “index.cgi” indicates an application. When the application is operating effectively on the diagnosis target terminal 2, an individual request command is executed.

例えば、診断対象端末2で上記の個別要求に対応するアプリケーションが有効に動作している場合、該アプリケーションは、「HTTP/1.1 200 OK」という実行結果を出力する。個別反応は、この実行結果を含む。該個別反応は、診断対象端末2で個別要求に対応するアプリケーションが有効に動作していることを示す。   For example, when an application corresponding to the individual request is operating effectively on the diagnosis target terminal 2, the application outputs an execution result “HTTP / 1.1 200 OK”. The individual reaction includes the result of this execution. The individual response indicates that the application corresponding to the individual request is operating effectively on the diagnosis target terminal 2.

例えば、診断対象端末2で上記の個別要求に対応するアプリケーションが有効に動作していない場合、該アプリケーションは、「HTTP/1.1 404 NOT FOUND」という実行結果を出力する。個別反応は、この実行結果を含む。該個別反応は、診断対象端末2で個別要求に対応するアプリケーションが有効に動作していないことを示す。   For example, when an application corresponding to the individual request is not operating effectively on the diagnosis target terminal 2, the application outputs an execution result “HTTP / 1.1 404 NOT FOUND”. The individual reaction includes the result of this execution. The individual response indicates that the application corresponding to the individual request is not operating effectively on the diagnosis target terminal 2.

従って、診断装置1は、個別反応に基づいて、個別要求に対応するアプリケーションが、診断対象端末2で有効に動作しているか否かを認識することができる。   Therefore, the diagnostic apparatus 1 can recognize whether or not the application corresponding to the individual request is operating effectively on the diagnosis target terminal 2 based on the individual reaction.

<脆弱性診断の第1の例>
次に、脆弱性診断の第1の例について説明する。図2は、「2015/02/26」におけるスキャン情報DB14および脆弱性情報DB15の一例を示す。スキャン情報DB14に記憶されるスキャン情報について説明する。 <First example of vulnerability diagnosis>
Next, a first example of vulnerability diagnosis will be described. FIG. 2 shows an example of the scan information DB 14 and the vulnerability information DB 15 in “2015/02/26”. The scan information stored in the scan information DB 14 will be described.

スキャン情報のうち、「Target IP」は、端末のInternet Protocol(IP)アドレスを示す。図2の例では、IPアドレスが「10.y.y.y」および「10.z.z.z」である2つの端末のスキャン情報がスキャン情報DB14に記憶されている。   In the scan information, “Target IP” indicates the Internet Protocol (IP) address of the terminal. In the example of FIG. 2, scan information of two terminals whose IP addresses are “10.y.y.y” and “10.z.z.z” are stored in the scan information DB 14.

「Time to Live」は、スキャン情報の有効期限を示す。この有効期限を超過したスキャン情報は、有効期限管理部25により無効化される。無効化されたスキャン情報は、スキャン情報DB14から削除されてもよいし、上書きがされてもよい。   “Time to Live” indicates the expiration date of the scan information. The scan information that has exceeded the expiration date is invalidated by the expiration date management unit 25. The invalidated scan information may be deleted from the scan information DB 14 or may be overwritten.

上記の有効期限は、任意の期間に設定されてもよい。実施形態では、有効期限が1ヶ月に設定されている例について説明するが、有効期限は、1週間であってもよいし、2ヶ月であってもよい。   The above expiration date may be set to an arbitrary period. In the embodiment, an example in which the expiration date is set to one month will be described, but the expiration date may be one week or two months.

「OS Fingerprint」はOSのフィンガープリントを示す。「OS Barner」はOSのバナー情報を示す。「Mid port No.」は、ミドルウェアのオープンポートの番号を示す。「Mid Fingerprint」は、ミドルウェアのフィンガープリントを示す。「Mid Barner」は、ミドルウェアのバナー情報を示す。   “OS Fingerprint” indicates the fingerprint of the OS. “OS Barner” indicates banner information of the OS. “Mid port No.” indicates the open port number of the middleware. “Mid Fingerprint” indicates a fingerprint of middleware. “Mid Barner” indicates middleware banner information.

個別反応は、上述した個別反応である。図2の例では、個別要求1に対する反応を示す個別反応1、個別要求2に対する反応を示す個別反応2および個別要求3に対する反応を示す個別反応3がスキャン情報DB14に記憶されている。   The individual reaction is the above-described individual reaction. In the example of FIG. 2, an individual reaction 1 indicating a response to the individual request 1, an individual reaction 2 indicating a response to the individual request 2, and an individual reaction 3 indicating a response to the individual request 3 are stored in the scan information DB 14.

次に、脆弱性情報DB15に記憶される脆弱性情報について説明する。図2の例の場合、脆弱性情報DB15には、脆弱性1〜脆弱性4の4つの脆弱性情報が記憶されている。脆弱性情報は、レベルと条件との項目を含む。   Next, vulnerability information stored in the vulnerability information DB 15 will be described. In the case of the example of FIG. 2, the vulnerability information DB 15 stores four vulnerability information of vulnerability 1 to vulnerability 4. Vulnerability information includes items of level and condition.

レベルは、脆弱性情報の脆弱性レベルを示す。図2において、脆弱性レベルは「高」、「中」および「低」の3段階である例を示している。脆弱性レベルの4段階以上であってもよいし、2段階であってもよい。   The level indicates the vulnerability level of vulnerability information. FIG. 2 shows an example in which the vulnerability level has three levels of “high”, “medium”, and “low”. There may be four or more vulnerability levels, or two.

条件は、脆弱性があるOS種別を特定する条件である。条件には、さらに、ミドルウェア種別を特定する条件と、個別要求に対する個別反応の条件との何れか一方または両方が含まれる場合がある。   The condition is a condition for specifying an OS type having a vulnerability. The condition may further include one or both of a condition for specifying the middleware type and a condition for individual reaction to the individual request.

脆弱性情報の条件のうち、「個別要求=個別反応」は、個別要求に対応するアプリケーションが有効に動作していることを個別反応が示すものであるとする。   Of the vulnerability information conditions, “individual request = individual reaction” is assumed to indicate that the individual reaction indicates that the application corresponding to the individual request is operating effectively.

例えば、図2の例において、脆弱性1の脆弱性情報は、OS種別が「OS1」であり、且つミドルウェア種別が「Mid1」である環境には、レベルの高い脆弱性が存在することを示す。   For example, in the example of FIG. 2, the vulnerability information of vulnerability 1 indicates that there is a high level vulnerability in an environment where the OS type is “OS1” and the middleware type is “Mid1”. .

脆弱性2の脆弱性情報は、OS種別が「OS2」であり、個別要求1に対する反応が個別反応1である環境(個別要求1に対応するアプリケーションが有効に動作している環境)には、レベルが「中」の脆弱性が存在することを示す。   The vulnerability information of Vulnerability 2 has an OS type of “OS2” and an environment in which the response to the individual request 1 is the individual reaction 1 (an environment in which an application corresponding to the individual request 1 is operating effectively) Indicates that a vulnerability with a medium level exists.

例えば、脆弱性3は、OS種別が「OS3」であり、ミドルウェア種別が「Mid2」であり、個別要求3に対する反応が個別反応3であるアプリケーションが動作する環境には、レベルの低い脆弱性が存在することを示す。   For example, the vulnerability 3 has an OS type “OS3”, a middleware type “Mid2”, and an environment in which an application in which the response to the individual request 3 is the individual response 3 operates, has a low level of vulnerability. Indicates that it exists.

図2の例では、「2015/02/26」の時点で、スキャン情報DB14には、2つの端末2のスキャン情報が記憶され、脆弱性情報DB15には、4つの脆弱性情報が記憶されている。   In the example of FIG. 2, at the time of “2015/02/26”, the scan information DB 14 stores the scan information of the two terminals 2, and the vulnerability information DB 15 stores the four vulnerability information. Yes.

以下、診断装置1は、IPアドレスが「10.x.x.x」である端末を脆弱性診断の対象の診断対象端末2とした場合について説明する。取得部21は、スキャン情報DB14に診断対象端末2(IPアドレスが「10.x.x.x」)のスキャン情報が記憶されているか否かを確認する。   Hereinafter, the diagnosis apparatus 1 will be described with respect to a case where the terminal whose IP address is “10.x.x.x” is the diagnosis target terminal 2 to be subjected to vulnerability diagnosis. The acquisition unit 21 confirms whether or not the scan information of the diagnosis target terminal 2 (IP address is “10.x.x.x”) is stored in the scan information DB 14.

図2の例の場合、診断対象端末2のスキャン情報(装置情報)はスキャン情報DB14に記憶されていない。この場合、取得部21は、通信部12を制御して、ネットワークスキャンを行う。   In the case of the example in FIG. 2, scan information (device information) of the diagnosis target terminal 2 is not stored in the scan information DB 14. In this case, the acquisition unit 21 controls the communication unit 12 to perform a network scan.

通信部12は、装置情報を取得するリクエストを診断対象端末2に送信する。図3は、脆弱性診断の第1の例を説明するための図である。図3において、ネットワークスキャンは「NWスキャン」と表記される。取得部21は、診断対象端末2に対して、ネットワークスキャンを行う。   The communication unit 12 transmits a request for acquiring device information to the diagnosis target terminal 2. FIG. 3 is a diagram for explaining a first example of vulnerability diagnosis. In FIG. 3, the network scan is denoted as “NW scan”. The acquisition unit 21 performs a network scan on the diagnosis target terminal 2.

診断対象端末2のIPアドレスは、上述したように、「10.x.x.x」である。この診断対象端末2で動作しているOS種別は「OS1」であり、ミドルウェア種別は「Mid1」であるとする。   As described above, the IP address of the diagnosis target terminal 2 is “10.x.x.x”. It is assumed that the OS type operating on the diagnosis target terminal 2 is “OS1” and the middleware type is “Mid1”.

また、取得部21は、脆弱性情報DB15に記憶されている各脆弱性情報に含まれる個別要求を、ネットワークスキャンのリクエストに含める。図2の例の場合、取得部21は、個別要求1および個別要求3をネットワークスキャンのリクエストに含める。   In addition, the acquisition unit 21 includes an individual request included in each vulnerability information stored in the vulnerability information DB 15 in a network scan request. In the example of FIG. 2, the acquisition unit 21 includes the individual request 1 and the individual request 3 in the network scan request.

例えば、個別要求1が上述した「GET /usage/index.cgi HTTP/1.1」という命令の情報であるとする。診断対象端末2で個別要求1に対応するアプリケーションが有効に動作している場合、個別反応1は、例えば、「HTTP/1.1 200 OK」という情報になる。   For example, it is assumed that the individual request 1 is the information of the command “GET /usage/index.cgi HTTP / 1.1” described above. When the application corresponding to the individual request 1 is operating effectively on the diagnosis target terminal 2, the individual reaction 1 is information “HTTP / 1.1 200 OK”, for example.

一方、診断対象端末2で個別要求1に対応するアプリケーションが有効に動作していない場合、個別反応1は、例えば、「HTTP/1.1 404 NOT FOUND」という情報になる。   On the other hand, when the application corresponding to the individual request 1 is not operating effectively on the diagnosis target terminal 2, the individual reaction 1 is information “HTTP / 1.1 404 NOT FOUND”, for example.

装置情報には、OSに関する情報(フィンガープリントやバナー情報等)、ミドルウェアに関する情報(オープンポートやフィンガープリント、バナー情報等)および個別反応の情報が含まれる。   The device information includes information on the OS (fingerprint, banner information, etc.), information on middleware (open port, fingerprint, banner information, etc.) and individual reaction information.

診断対象端末2は、レスポンスとして、上記の装置情報を診断装置1に送信する。これにより、取得部21は、装置情報を取得する。取得部21は、取得した装置情報をスキャン情報DB14に記憶する。   The diagnosis target terminal 2 transmits the device information as a response to the diagnosis device 1. Thereby, the acquisition part 21 acquires apparatus information. The acquisition unit 21 stores the acquired device information in the scan information DB 14.

図4は、IPアドレスが「10.x.x.x」である診断対象端末2の装置情報(スキャン情報)がスキャン情報DB14に追加された例を示す。   FIG. 4 shows an example in which device information (scan information) of the diagnosis target terminal 2 whose IP address is “10.x.x.x” is added to the scan information DB 14.

図4の例において、個別反応1である「aaaaaaa」は、個別要求1に対応するアプリケーションが有効に動作していることを示す。同様に、個別反応3である「ccccccc」は、個別要求3に対応するアプリケーションが有効に動作していることを示す。   In the example of FIG. 4, “aaaaaaa” that is the individual reaction 1 indicates that the application corresponding to the individual request 1 is operating effectively. Similarly, “ccccccc” that is the individual reaction 3 indicates that the application corresponding to the individual request 3 is operating effectively.

取得部21は、スキャン情報DB14から、診断対象端末2のスキャン情報を取得する。この取得は、スキャン情報DB14からのスキャン情報の取得であるため、キャッシュスキャンである。   The acquisition unit 21 acquires scan information of the diagnosis target terminal 2 from the scan information DB 14. Since this acquisition is acquisition of scan information from the scan information DB 14, it is a cache scan.

推定部22は、取得部21が取得したスキャン情報に基づいて、OS種別およびミドルウェア種別を推定する。   The estimation unit 22 estimates the OS type and middleware type based on the scan information acquired by the acquisition unit 21.

診断部23は、脆弱性情報DB15に記憶されている全ての脆弱性情報と、推定されたOS種別、推定されたミドルウェア種別および個別反応とを照合して、診断対象端末2の脆弱性診断を行う。   The diagnosis unit 23 compares all the vulnerability information stored in the vulnerability information DB 15 with the estimated OS type, the estimated middleware type, and the individual reaction to perform the vulnerability diagnosis of the diagnosis target terminal 2. Do.

推定されたOS種別、推定されたミドルウェア種別および個別反応が、脆弱性情報DB15に記憶されている脆弱性情報の条件と全て一致する脆弱性情報がある場合、診断部23は、診断対象端末2に該脆弱性情報の脆弱性が存在することを検出する。   If the estimated OS type, the estimated middleware type, and the individual reaction include vulnerability information that matches all the conditions of the vulnerability information stored in the vulnerability information DB 15, the diagnosis unit 23 determines that the diagnosis target terminal 2 It detects that the vulnerability of the vulnerability information exists.

また、診断部23は、上記の脆弱性情報の条件のうち、推定されたOS種別およびミドルウェア種別が一致し、且つスキャン情報に個別反応が不足している場合、診断対象端末2に脆弱性が存在する可能性があることを検出する。   Further, the diagnosis unit 23, when the estimated OS type and middleware type match among the above-described vulnerability information conditions, and the scan information has insufficient individual responses, the diagnosis target terminal 2 has a vulnerability. Detect that it may exist.

診断対象端末2に脆弱性が存在することが検出された場合、リスト処理部24は、脆弱性が検出されたことを示す情報を脆弱性検出リストに追加する。診断対象端末2に脆弱性が存在する可能性があることが検出された場合、リスト処理部24は、脆弱性の存在の可能性を示す情報を脆弱性可能性リストに追加する。   When it is detected that a vulnerability exists in the diagnosis target terminal 2, the list processing unit 24 adds information indicating that the vulnerability is detected to the vulnerability detection list. When it is detected that there is a possibility that the diagnosis target terminal 2 has a vulnerability, the list processing unit 24 adds information indicating the possibility of the presence of the vulnerability to the vulnerability possibility list.

ネットワークスキャンが行われ、取得された装置情報がスキャン情報DB14に記憶された際に、診断部23は、その時点で脆弱性情報DB15に記憶されている脆弱性情報に基づいて、脆弱性診断を行う。   When a network scan is performed and the acquired device information is stored in the scan information DB 14, the diagnosis unit 23 performs vulnerability diagnosis based on the vulnerability information stored in the vulnerability information DB 15 at that time. Do.

この場合の脆弱性情報は、第1の診断ルールの一例である。また、実行される脆弱性診断は、第1の診断ルールに基づく脆弱性診断の一例である。   The vulnerability information in this case is an example of a first diagnosis rule. Moreover, the executed vulnerability diagnosis is an example of the vulnerability diagnosis based on the first diagnosis rule.

ネットワークスキャンを行うためのリクエストには、脆弱性情報DB15に記憶されている全ての個別要求が含まれる。よって、診断対象端末2から取得される装置情報には、各個別要求のそれぞれに対応する個別反応が含まれる。   The request for performing the network scan includes all individual requests stored in the vulnerability information DB 15. Therefore, the device information acquired from the diagnosis target terminal 2 includes individual reactions corresponding to the individual requests.

従って、スキャン情報DB14には、診断対象端末2について、脆弱性診断の対象となる全ての個別反応が記憶されるため、スキャン情報に個別反応が不足することはない。つまり、ネットワークスキャンが行われた場合、診断部23は、脆弱性を可能性としては検出しない。   Therefore, the scan information DB 14 stores all the individual reactions that are subject to vulnerability diagnosis for the diagnosis target terminal 2, so that the scan information does not lack individual reactions. That is, when a network scan is performed, the diagnosis unit 23 does not detect vulnerability as a possibility.

このため、図4の例に示されるように、脆弱性可能リストには、脆弱性可能性情報が記録されない。一方、診断部23が脆弱性を検出した脆弱性1については、リスト処理部24により、脆弱性検出リストに追加される。   For this reason, as shown in the example of FIG. 4, vulnerability possibility information is not recorded in the vulnerability possibility list. On the other hand, the vulnerability 1 detected by the diagnosis unit 23 is added to the vulnerability detection list by the list processing unit 24.

<脆弱性診断の第2の例>
次に、脆弱性診断の第2の例について説明する。図5は、「2015/02/27」の時点でのスキャン情報DB14および脆弱性情報DB15の一例を示す。スキャン情報DB14に記憶されているスキャン情報のうち、IPアドレスが「10.y.y.y」および「10.z.z.z」の端末のスキャン情報は、有効期限である「2015/02/26」を超過している。 <Second example of vulnerability diagnosis>
Next, a second example of vulnerability diagnosis will be described. FIG. 5 shows an example of the scan information DB 14 and the vulnerability information DB 15 at the time of “2015/02/27”. Of the scan information stored in the scan information DB 14, the scan information of the terminals having IP addresses “10.yyy” and “10.zzz” exceeds the expiration date “2015/02/26” .

このため、有効期限管理部25は、これらのスキャン情報を無効化する。無効化されたスキャン情報に対しては、網掛けが施されている。また、「2015/02/27」の時点では、脆弱性情報DB15に脆弱性5および脆弱性6の脆弱性情報が追加されている。   Therefore, the expiration date management unit 25 invalidates the scan information. The invalidated scan information is shaded. Also, at the time of “2015/02/27”, vulnerability information of vulnerability 5 and vulnerability 6 is added to the vulnerability information DB 15.

図6は、脆弱性診断の第2の例を説明するための図である。取得部21は、スキャン情報DB14に、診断対象端末2(IPアドレスが「10.x.x.x」)の有効なスキャン情報が記憶されているか否かを確認する。   FIG. 6 is a diagram for explaining a second example of vulnerability diagnosis. The acquisition unit 21 checks whether valid scan information of the diagnosis target terminal 2 (IP address is “10.x.x.x”) is stored in the scan information DB 14.

「2015/02/27」の時点で、IPアドレスが「10.x.x.x」の診断対象端末2の有効なスキャン情報が記憶されている。この場合、診断部23は、スキャン情報DB14に記憶されている有効なスキャン情報に基づいて、診断対象端末2の脆弱性診断を行う。   As of “2015/02/27”, valid scan information of the diagnosis target terminal 2 whose IP address is “10.x.x.x” is stored. In this case, the diagnosis unit 23 performs vulnerability diagnosis of the diagnosis target terminal 2 based on valid scan information stored in the scan information DB 14.

第2の例の脆弱性診断は、上述した第1の例の脆弱性診断が実行された後に行われる。また、脆弱性診断の第2の例では、脆弱性診断の第1の例と比べて、脆弱性5および脆弱性6の脆弱性情報が脆弱性情報DB15に追加されている。   The vulnerability diagnosis of the second example is performed after the vulnerability diagnosis of the first example described above is executed. Further, in the second example of vulnerability diagnosis, vulnerability information of vulnerability 5 and vulnerability 6 is added to the vulnerability information DB 15 as compared to the first example of vulnerability diagnosis.

このため、脆弱性診断の第2の例では、脆弱性診断の第1の例とは異なる脆弱性情報に基づいて、脆弱性診断が行われる。脆弱性診断の第2の例における脆弱性情報DB15に記憶されている各脆弱性情報は、第2の診断ルールの一例である。   For this reason, in the second example of vulnerability diagnosis, vulnerability diagnosis is performed based on vulnerability information different from that in the first example of vulnerability diagnosis. Each vulnerability information stored in the vulnerability information DB 15 in the second example of vulnerability diagnosis is an example of a second diagnosis rule.

脆弱性診断の第2の例では、取得部21は、ネットワークスキャンを行わず、キャッシュスキャンを行い、スキャン情報DB14から診断対象端末2のスキャン情報を取得する。   In the second example of vulnerability diagnosis, the acquisition unit 21 performs a cache scan without performing a network scan, and acquires scan information of the diagnosis target terminal 2 from the scan information DB 14.

推定部22は、取得されたスキャン情報に基づいて、OS種別およびミドルウェア種別を推定する。診断部23は、推定されたOS種別や推定されたミドルウェア種別、個別反応と、脆弱性情報DB15に記憶されている各脆弱性情報とを照合して、脆弱性診断を行う。   The estimation unit 22 estimates the OS type and middleware type based on the acquired scan information. The diagnosis unit 23 performs vulnerability diagnosis by collating the estimated OS type, the estimated middleware type, and individual reaction with each vulnerability information stored in the vulnerability information DB 15.

診断部23は、脆弱性情報DB15に記憶されている条件の個別反応が、スキャン情報DB14に記憶されている診断対象端末2のスキャン情報に不足しているか否かを判定する。   The diagnosis unit 23 determines whether or not the individual reaction of the condition stored in the vulnerability information DB 15 is insufficient in the scan information of the diagnosis target terminal 2 stored in the scan information DB 14.

図5の例の場合、脆弱性情報DB15には、脆弱性5の条件として「個別要求5=個別反応5」が追加されており、脆弱性6の条件として「個別要求6=個別反応6」が追加されている。従って、診断対象端末2のスキャン情報に、個別反応5および個別反応6が不足している。   In the case of the example in FIG. 5, “individual request 5 = individual reaction 5” is added to the vulnerability information DB 15 as the condition for vulnerability 5, and “individual request 6 = individual reaction 6” is the condition for vulnerability 6. Has been added. Accordingly, the individual reaction 5 and the individual reaction 6 are insufficient in the scan information of the diagnosis target terminal 2.

診断部23は、不足している個別反応に対応する脆弱性情報の脆弱性レベルが所定レベル以上(脆弱性レベルが「高」)であるか否かを判定する。脆弱性5の脆弱性レベルは「中」であり、脆弱性6の脆弱性レベルは「高」である。   The diagnosis unit 23 determines whether or not the vulnerability level of the vulnerability information corresponding to the missing individual reaction is equal to or higher than a predetermined level (the vulnerability level is “high”). The vulnerability level of the vulnerability 5 is “medium”, and the vulnerability level of the vulnerability 6 is “high”.

取得部21は、診断対象端末2のスキャン情報に不足している個別反応のうち、脆弱性レベルが「高」である個別反応6についてのみ個別的にネットワークスキャンを行う。この個別的なネットワークスキャンを個別ネットワークスキャンと称する。   The acquisition unit 21 individually performs a network scan only for the individual reaction 6 having the vulnerability level “high” among the individual reactions that are insufficient in the scan information of the diagnosis target terminal 2. This individual network scan is referred to as an individual network scan.

この場合、個別ネットワークスキャンを行うために、取得部21は、個別要求6のリクエストを診断対象端末2に送信する。診断対象端末2は、個別要求6のリクエストに応じて、個別反応6を診断装置1に送信する。   In this case, in order to perform an individual network scan, the acquisition unit 21 transmits a request for the individual request 6 to the diagnosis target terminal 2. The diagnosis target terminal 2 transmits the individual reaction 6 to the diagnosis device 1 in response to the request for the individual request 6.

個別反応6は、個別要求6に応じたアプリケーションが診断対象端末2で有効に動作していることを示している場合もあり、有効に動作していないことを示している場合もある。   The individual reaction 6 may indicate that the application corresponding to the individual request 6 is operating effectively on the diagnosis target terminal 2, or may indicate that the application is not operating effectively.

図6の例で、「ddddddd」は、個別要求6に応じたアプリケーションが診断対象端末2で有効に動作していることを示すものとする。取得部21は、個別反応6を取得した後、スキャン情報DB14に記憶されている診断対象端末2のスキャン情報に個別反応6を追加する。   In the example of FIG. 6, “ddddddd” indicates that the application corresponding to the individual request 6 is operating effectively on the diagnosis target terminal 2. After acquiring the individual reaction 6, the acquisition unit 21 adds the individual reaction 6 to the scan information of the diagnosis target terminal 2 stored in the scan information DB 14.

取得部21は、スキャン情報DB14から、図7の例に示す診断対象端末2のスキャン情報を取得する。この取得は、キャッシュスキャンである。   The acquisition unit 21 acquires scan information of the diagnosis target terminal 2 illustrated in the example of FIG. 7 from the scan information DB 14. This acquisition is a cache scan.

診断部23は、脆弱性情報DB15に記憶されている脆弱性情報のうち、推定されたOS種別およびミドルウェア種別と一致し、且つ個別要求に対応する個別反応がある脆弱性情報を検出する。   The diagnosis unit 23 detects vulnerability information that matches the estimated OS type and middleware type among the vulnerability information stored in the vulnerability information DB 15 and has an individual reaction corresponding to the individual request.

図7の例の場合、脆弱性6の各条件は、診断対象端末2の推定されたOS種別、ミドルウェア種別および個別反応と一致する。この場合、診断部23は、診断対象端末2に脆弱性6が存在することを検出する。リスト処理部24は、脆弱性検出リストに脆弱性6を追加する。   In the case of the example in FIG. 7, each condition of the vulnerability 6 matches the estimated OS type, middleware type, and individual reaction of the diagnosis target terminal 2. In this case, the diagnosis unit 23 detects that the vulnerability 6 exists in the diagnosis target terminal 2. The list processing unit 24 adds the vulnerability 6 to the vulnerability detection list.

一方、脆弱性5の脆弱性レベルは「中」であり、「高」ではない。この場合、取得部21は、脆弱性5の個別要求5についての個別ネットワークスキャンは行わない。従って、スキャン情報DB14に記憶されている診断対象端末2のスキャン情報には、個別反応5は含まれていない。   On the other hand, the vulnerability level of vulnerability 5 is “medium” and not “high”. In this case, the acquisition unit 21 does not perform an individual network scan for the individual request 5 for the vulnerability 5. Therefore, the individual reaction 5 is not included in the scan information of the diagnosis target terminal 2 stored in the scan information DB 14.

この場合、脆弱性5の各条件のうち、診断対象端末2の推定されたOS種別およびミドルウェア種別は一致するが、スキャン情報に個別情報5が不足している。従って、診断部23は、診断対象端末2に脆弱性5の存在の可能性があることを検出する。リスト処理部24は、脆弱性可能性リストに脆弱性5を追加する。   In this case, the estimated OS type and middleware type of the diagnosis target terminal 2 are the same among the conditions of the vulnerability 5, but the individual information 5 is insufficient in the scan information. Therefore, the diagnosis unit 23 detects that the diagnosis target terminal 2 may have the vulnerability 5. The list processing unit 24 adds the vulnerability 5 to the vulnerability possibility list.

脆弱性診断の第2の例の場合、診断装置1は、診断対象端末2に対して、スキャン情報に不足している個別要求に応じた個別反応のみを取得する個別ネットワークスキャンを行う。一方、ネットワークスキャンの場合、診断装置1は、診断対象端末2から装置情報を取得する。   In the case of the second example of vulnerability diagnosis, the diagnostic device 1 performs an individual network scan for acquiring only individual responses corresponding to individual requests that are lacking in scan information, on the diagnosis target terminal 2. On the other hand, in the case of a network scan, the diagnosis device 1 acquires device information from the diagnosis target terminal 2.

装置情報は、OSに関する情報やミドルウェアに関する情報、複数のアプリケーションについての個別要求に対する個別反応を含む。従って、個別ネットワークスキャンは、ネットワークスキャンよりも、診断対象端末2およびネットワークに対する負荷が低くなる。   The device information includes information on the OS, information on middleware, and individual responses to individual requests for a plurality of applications. Therefore, the load on the diagnosis target terminal 2 and the network is lower in the individual network scan than in the network scan.

このため、診断対象端末2やネットワークに対する負荷が高くなることを抑制しつつ、高い頻度で診断対象端末2の脆弱性診断を行うことができる。従って、効率的な脆弱性診断が実現される。   For this reason, it is possible to perform vulnerability diagnosis of the diagnosis target terminal 2 at a high frequency while suppressing an increase in the load on the diagnosis target terminal 2 and the network. Therefore, efficient vulnerability diagnosis is realized.

脆弱性診断の第2の例では、スキャン情報DB14に記憶されたスキャン情報を利用して、脆弱性診断を行うための情報が不足している場合には、個別ネットワークスキャンを行い、不足している情報を取得する。   In the second example of vulnerability diagnosis, if the information for performing vulnerability diagnosis is insufficient using the scan information stored in the scan information DB 14, an individual network scan is performed and the information is insufficient. Get information.

例えば、図7の例において、脆弱性6の脆弱性レベルが「中」である場合、取得部21は、個別ネットワークスキャンを行わない。この場合、診断装置1と診断対象端末2との間に通信は発生せず、診断対象端末2やネットワークに対する脆弱性診断のための負荷は発生しない。   For example, in the example of FIG. 7, when the vulnerability level of the vulnerability 6 is “medium”, the acquisition unit 21 does not perform the individual network scan. In this case, communication does not occur between the diagnosis apparatus 1 and the diagnosis target terminal 2, and a load for vulnerability diagnosis on the diagnosis target terminal 2 and the network does not occur.

つまり、診断装置1は、オフラインで診断対象端末2の脆弱性診断を行うことができる。このため、高い頻度で脆弱性診断が行われたとしても、診断対象端末2やネットワークに対する負荷が高くなることはない。   That is, the diagnostic device 1 can perform the vulnerability diagnosis of the diagnosis target terminal 2 offline. For this reason, even if vulnerability diagnosis is performed with high frequency, the load on the diagnosis target terminal 2 and the network does not increase.

ただし、脆弱性レベルが「高」の場合、診断装置1は、迅速に診断対象端末2の最新の情報を取得することが好ましい。従って、この場合、個別ネットワークスキャンが実施される。   However, when the vulnerability level is “high”, it is preferable that the diagnosis device 1 quickly obtains the latest information of the diagnosis target terminal 2. Therefore, in this case, an individual network scan is performed.

なお、診断対象端末2を再現するシステムを用意し、該システムに対して、診断装置1が脆弱性診断を行うことで、診断対象端末2に対する負荷を抑制することが考えられる。ただし、この場合、診断対象端末2と同様のシステムを用意する必要があり、ハードウェア資源の増大を将来する。   In addition, it is possible to prepare the system which reproduces the diagnostic target terminal 2, and to suppress the load with respect to the diagnostic target terminal 2 when the diagnostic apparatus 1 performs a vulnerability diagnosis with respect to this system. However, in this case, it is necessary to prepare a system similar to the diagnosis target terminal 2, and hardware resources will increase in the future.

また、診断対象端末2を再現するシステムを用意することは難しく、該システムと診断対象端末2との間に差分が生じ、該差分により、脆弱性診断の診断精度が低下する。このため、実際の診断対象端末2に対して脆弱性診断が行われることが好ましい。   In addition, it is difficult to prepare a system that reproduces the diagnosis target terminal 2, and a difference is generated between the system and the diagnosis target terminal 2, and the diagnosis accuracy of vulnerability diagnosis is reduced due to the difference. For this reason, it is preferable that vulnerability diagnosis is performed on the actual diagnosis target terminal 2.

<脆弱性診断の第3の例>
図8は、脆弱診断の第3の例におけるスキャン情報DB14および脆弱性情報DB15の一例を示す。図8の例に示すスキャン情報DB14および脆弱性情報DB15は、「2015/03/27」の時点での情報を示す。 <Third example of vulnerability diagnosis>
FIG. 8 shows an example of the scan information DB 14 and the vulnerability information DB 15 in the third example of vulnerability diagnosis. The scan information DB 14 and the vulnerability information DB 15 illustrated in the example of FIG. 8 indicate information as of “2015/03/27”.

「2015/03/27」の時点では、スキャン情報DB14に記憶されている診断対象端末2(IPアドレス「10.x.x.x」)のスキャン情報は有効期限を超過している。有効期限管理部25は、スキャン情報DB14の上記のスキャン情報を無効化する。   At the time of “2015/03/27”, the scan information of the diagnosis target terminal 2 (IP address “10.x.x.x”) stored in the scan information DB 14 has expired. The expiration date management unit 25 invalidates the scan information in the scan information DB 14.

取得部21は、診断対象端末2の有効なスキャン情報がスキャン情報DB14に記憶されているか否かを確認する。診断対象端末2の有効なスキャン情報がスキャン情報DB14に記憶されていないため、取得部21は、診断対象端末2に対して、ネットワークスキャンを行う。   The acquisition unit 21 checks whether valid scan information of the diagnosis target terminal 2 is stored in the scan information DB 14. Since valid scan information of the diagnosis target terminal 2 is not stored in the scan information DB 14, the acquisition unit 21 performs a network scan on the diagnosis target terminal 2.

ネットワークスキャンが行われると、診断装置1は、診断対象端末2から、脆弱性診断の対象となる全ての個別要求に対する個別反応を取得する。このため、スキャン情報DB14には、全ての個別反応が記憶されるため、診断部23は、スキャン情報に個別反応が不足していると判定することはない。   When the network scan is performed, the diagnostic apparatus 1 acquires individual responses to all individual requests that are targets of vulnerability diagnosis from the diagnosis target terminal 2. For this reason, since all the individual reactions are stored in the scan information DB 14, the diagnosis unit 23 does not determine that the individual reactions are insufficient in the scan information.

このため、リスト処理部24は、脆弱性レベルにかかわらず、診断対象端末2の推定されたOS種別およびミドルウェア種別と同一の脆弱性情報を脆弱性検出リストに追加する。一方、スキャン情報に個別反応がないと判定されないため、リスト処理部24は、脆弱性可能性リストに脆弱性情報を記録しない。   Therefore, the list processing unit 24 adds the same vulnerability information as the estimated OS type and middleware type of the diagnosis target terminal 2 to the vulnerability detection list regardless of the vulnerability level. On the other hand, since it is not determined that there is no individual reaction in the scan information, the list processing unit 24 does not record vulnerability information in the vulnerability possibility list.

<実施形態の処理の流れを示すフローチャートの一例>
次に、実施形態の処理の一例について、フローチャートを参照して説明する。取得部21は、スキャン情報DB14に、診断対象端末2の有効なスキャン情報が記憶されているかを確認する(ステップS1)。 <An example of a flowchart showing the flow of processing of the embodiment>
Next, an example of processing according to the embodiment will be described with reference to a flowchart. The acquisition unit 21 checks whether valid scan information of the diagnosis target terminal 2 is stored in the scan information DB 14 (step S1).

スキャン情報DB14に、診断対象端末2の有効なスキャン情報が記憶されていない場合(ステップS2でNO)、取得部21は、ネットワークキャンを実施する(ステップS3)。これにより、取得部21は、診断対象端末2から装置情報を取得する。   When valid scan information of the diagnosis target terminal 2 is not stored in the scan information DB 14 (NO in step S2), the acquisition unit 21 performs network can (step S3). Thereby, the acquisition unit 21 acquires device information from the diagnosis target terminal 2.

取得部21は、取得した装置情報をスキャン情報としてスキャン情報DB14に記憶する(ステップS4)。ステップS2でYESの場合、ステップS3およびステップS4の処理は行われない。つまり、スキャン情報DB14に、診断対象端末2の有効なスキャン情報が記憶されている場合、ネットワークスキャンは実施されない。   The acquisition unit 21 stores the acquired apparatus information as scan information in the scan information DB 14 (step S4). If YES in step S2, the processes in steps S3 and S4 are not performed. That is, when valid scan information of the diagnosis target terminal 2 is stored in the scan information DB 14, the network scan is not performed.

取得部21は、診断対象端末2のスキャン情報をスキャン情報DB14から取得するキャッシュスキャンを実施する(ステップS5)。推定部22は、取得されたスキャン情報に基づいて、診断対象端末2のOS種別およびミドルウェア種別を推定する(ステップS6)。   The acquisition unit 21 performs a cache scan for acquiring the scan information of the diagnosis target terminal 2 from the scan information DB 14 (step S5). The estimation unit 22 estimates the OS type and middleware type of the diagnosis target terminal 2 based on the acquired scan information (step S6).

診断部23は、推定されたOS種別、推定されたミドルウェア種別および個別反応と、脆弱性情報DB15に記憶されている各脆弱性情報の条件と照合する(ステップS7)。そして、処理は「A」に進む。「A」以降の処理について、図10の例を参照して説明する。   The diagnosis unit 23 collates the estimated OS type, the estimated middleware type, and the individual reaction with the conditions of each vulnerability information stored in the vulnerability information DB 15 (step S7). Then, the process proceeds to “A”. The processing after “A” will be described with reference to the example of FIG.

診断部23は、脆弱性情報DB15に記憶されている各脆弱性情報の条件のうち、OS種別およびミドルウェア種別が一致し、個別反応が不足している脆弱性情報があるか否かを判定する(ステップS8)。   The diagnosis unit 23 determines whether or not there is vulnerability information for which the OS type and middleware type match among individual vulnerability information conditions stored in the vulnerability information DB 15 and the individual reaction is insufficient. (Step S8).

OS種別およびミドルウェア種別が一致し、個別反応が不足している脆弱性情報がある場合(ステップS8でYES)、診断部23は、その脆弱性情報の脆弱性レベルが「高」であるか否かを判定する(ステップS9)。   If there is vulnerability information for which the OS type and middleware type match and the individual reaction is insufficient (YES in step S8), the diagnosis unit 23 determines whether or not the vulnerability level of the vulnerability information is “high”. Is determined (step S9).

判定対象の脆弱性情報の脆弱性レベルが「高」である場合(ステップS10でYES)、取得部21は、不足している個別反応に対応する個別要求を取得する個別ネットワークスキャンを実施する(ステップS10)。   When the vulnerability level of the vulnerability information to be determined is “high” (YES in step S10), the acquisition unit 21 performs an individual network scan for acquiring an individual request corresponding to an individual response that is lacking ( Step S10).

取得部21は、診断対象端末2から、個別要求に対応する個別反応の情報を取得する。そして、取得部21は、取得された個別反応の情報をスキャン情報DB14に記憶する(ステップS11)。この際、取得部21は、スキャン情報DB14に記憶されているスキャン情報のうち、診断対象端末2のスキャン情報に、取得された個別反応の情報を追加する。   The acquisition unit 21 acquires information on individual reactions corresponding to the individual requests from the diagnosis target terminal 2. Then, the acquisition unit 21 stores the acquired individual reaction information in the scan information DB 14 (step S11). At this time, the acquisition unit 21 adds the acquired individual reaction information to the scan information of the diagnosis target terminal 2 among the scan information stored in the scan information DB 14.

ステップS8でNOの場合およびステップS9でNOの場合、ステップS10およびステップS11の処理は行われない。この場合、取得部21は、診断対象端末2に対して個別ネットワークスキャンを行わない。   If NO in step S8 and NO in step S9, the processes in steps S10 and S11 are not performed. In this case, the acquisition unit 21 does not perform an individual network scan for the diagnosis target terminal 2.

診断部23は、脆弱性情報DB15に記憶されている各脆弱性情報と、診断対象端末2のOS種別、ミドルウェア種別および個別反応とに基づいて、診断対象装置2の脆弱性診断を行う(ステップS12)。   The diagnosis unit 23 performs a vulnerability diagnosis of the diagnosis target device 2 based on each vulnerability information stored in the vulnerability information DB 15 and the OS type, middleware type, and individual reaction of the diagnosis target terminal 2 (step) S12).

診断部23は、脆弱性情報DB15に記憶されている各脆弱性情報のうち、診断対象端末2のOS種別、ミドルウェア種別および個別反応の全ての条件に一致する脆弱性情報があるか否かを判定する。   The diagnosis unit 23 determines whether there is vulnerability information that matches all conditions of the OS type, middleware type, and individual reaction of the diagnosis target terminal 2 among the vulnerability information stored in the vulnerability information DB 15. judge.

上記の脆弱性情報がある場合、リスト処理部24は、該脆弱性情報をリスト記憶部16に記憶されている脆弱性検出リストに記録する(ステップS13)。   If there is the above vulnerability information, the list processing unit 24 records the vulnerability information in the vulnerability detection list stored in the list storage unit 16 (step S13).

診断部23は、脆弱性情報DB15に記憶されている各脆弱性情報の条件のうち、診断対象端末2のOS種別およびミドルウェア種別と一致し、スキャン情報に個別反応が不足している脆弱性情報があるか否かを判定する。   The diagnosis unit 23 matches the OS type and middleware type of the diagnosis target terminal 2 among the conditions of each vulnerability information stored in the vulnerability information DB 15, and the vulnerability information for which the individual reaction is insufficient for the scan information. It is determined whether or not there is.

上記の脆弱性情報がある場合、リスト処理部24は、該脆弱性情報をリスト記憶部16に記憶されている脆弱性可能性リストに記録する(ステップS14)。   If there is the above vulnerability information, the list processing unit 24 records the vulnerability information in the vulnerability possibility list stored in the list storage unit 16 (step S14).

処理部11は、リスト記憶部16に記憶されている脆弱性検出リストおよび脆弱性可能性リストを提示する(ステップS15)。例えば、処理部11は、脆弱性検出リストおよび脆弱性リストを画面部13に表示することで、提示を行ってもよい。   The processing unit 11 presents the vulnerability detection list and the vulnerability possibility list stored in the list storage unit 16 (step S15). For example, the processing unit 11 may perform presentation by displaying the vulnerability detection list and the vulnerability list on the screen unit 13.

また、処理部11は、脆弱性検出リストおよび脆弱性リストを、例えばプリンタ等に印刷することで、定時を行ってもよい。これにより、例えば、診断装置1を操作する操作者(例えば、保守担当員)に対して、診断対象端末2に脆弱性が検出されたことだけでなく、脆弱性の可能性があることを提示することもできる。   Further, the processing unit 11 may perform the scheduled time by printing the vulnerability detection list and the vulnerability list on, for example, a printer or the like. As a result, for example, an operator (for example, a maintenance staff member) who operates the diagnostic device 1 is notified that not only the vulnerability is detected in the diagnosis target terminal 2 but also there is a possibility of the vulnerability. You can also

次に、有効期限管理部25の処理の一例について、図11のフローチャートを参照して説明する。有効期限管理部25は、スキャン情報DB14に記憶されているスキャン情報のうち、有効期限を超過しているスキャン情報があるかを検索する(ステップS21)。   Next, an example of processing of the expiration date management unit 25 will be described with reference to the flowchart of FIG. The expiration date management unit 25 searches the scan information stored in the scan information DB 14 for scan information that has exceeded the expiration date (step S21).

検索の結果、有効期限を超過しているスキャン情報が見つかった場合(ステップS22でYES)、有効期限管理部25は、有効期限を超過しているスキャン情報を無効化する(ステップS23)。検索の結果、有効期限を超過しているスキャン情報が見つからなかった場合(ステップS22でNO)、ステップS23の処理は行われない。   As a result of the search, if scan information that has exceeded the expiration date is found (YES in step S22), the expiration date management unit 25 invalidates the scan information that has exceeded the expiration date (step S23). As a result of the search, if scan information that has expired is not found (NO in step S22), the process of step S23 is not performed.

<診断装置のハードウェア構成の一例>
次に、図12の例を参照して、診断装置1のハードウェア構成の一例を説明する。図12の例に示すように、バス100に対して、プロセッサ111とRAM112とROM113と補助記憶装置114と媒体接続部115と通信インタフェース116と入出力インタフェース117とが接続されている。図12において、インタフェースは「IF」と略して示されている。 <Example of hardware configuration of diagnostic device>
Next, an example of the hardware configuration of the diagnostic apparatus 1 will be described with reference to the example of FIG. As illustrated in the example of FIG. 12, a processor 111, a RAM 112, a ROM 113, an auxiliary storage device 114, a medium connection unit 115, a communication interface 116, and an input / output interface 117 are connected to the bus 100. In FIG. 12, the interface is abbreviated as “IF”.

プロセッサ111は任意の処理回路である。プロセッサ111はRAM112に展開されたプログラムを実行する。実行されるプログラムとしては、実施形態の処理を行う診断プログラムが適用されてもよい。ROM113はRAM112に展開されるプログラムを記憶する不揮発性の記憶装置である。   The processor 111 is an arbitrary processing circuit. The processor 111 executes a program expanded in the RAM 112. As a program to be executed, a diagnostic program for performing the processing of the embodiment may be applied. The ROM 113 is a non-volatile storage device that stores programs developed in the RAM 112.

補助記憶装置114は、種々の情報を記憶する記憶装置であり、例えばハードディスクドライブや半導体メモリ等を補助記憶装置114に適用してもよい。媒体接続部115は、可搬型記録媒体119と接続可能に設けられている。   The auxiliary storage device 114 is a storage device that stores various types of information. For example, a hard disk drive or a semiconductor memory may be applied to the auxiliary storage device 114. The medium connection unit 115 is provided so as to be connectable to the portable recording medium 119.

可搬型記録媒体119としては、可搬型のメモリや光学式ディスク(例えば、Compact Disc(CD)やDigital Versatile Disc(DVD)等)を適用してもよい。この可搬型記録媒体119に実施形態の処理を行うプログラムが記録されていてもよい。   As the portable recording medium 119, a portable memory or an optical disc (for example, Compact Disc (CD), Digital Versatile Disc (DVD), etc.) may be applied. A program for performing the processing of the embodiment may be recorded on the portable recording medium 119.

入出力インタフェース117は、外部の装置と接続するインタフェースである。外部の装置としては、例えば、ディスプレイ117Aやプリンタ117B等が適用されてもよい。   The input / output interface 117 is an interface connected to an external device. For example, a display 117A, a printer 117B, or the like may be applied as an external device.

診断装置1のうち、処理部11は、与えられた診断プログラムをプロセッサ111が実行することにより実現されてもよい。通信部12には、通信インタフェース116が適用されてもよい。   In the diagnostic apparatus 1, the processing unit 11 may be realized by the processor 111 executing a given diagnostic program. A communication interface 116 may be applied to the communication unit 12.

画面部13には、ディスプレイ117Aが適用されてもよい。スキャン情報DB14、脆弱性情報DBおよびリスト記憶部16には、RAM112や補助記憶装置114等が適用されてもよい。   A display 117 </ b> A may be applied to the screen unit 13. The RAM 112, the auxiliary storage device 114, and the like may be applied to the scan information DB 14, the vulnerability information DB, and the list storage unit 16.

RAM112、ROM113、補助記憶装置114および可搬型記録媒体119は、何れもコンピュータ読み取り可能な有形の記憶媒体の一例である。これらの有形な記憶媒体は、信号搬送波のような一時的な媒体ではない。   The RAM 112, the ROM 113, the auxiliary storage device 114, and the portable recording medium 119 are all examples of a tangible storage medium that can be read by a computer. These tangible storage media are not temporary media such as signal carriers.

<その他>
本実施形態は、以上に述べた実施の形態に限定されるものではなく、本実施形態の要旨を逸脱しない範囲内で種々の構成または実施形態を取ることができる。 <Others>
The present embodiment is not limited to the above-described embodiment, and various configurations or embodiments can be taken without departing from the gist of the present embodiment.

1 診断装置
2 診断対象端末
11 処理部
12 通信部
13 画面部
14 スキャン情報DB
15 脆弱性情報DB
16 リスト記憶部
21 処理部
22 推定部
23 診断部
24 リスト処理部
25 有効期限管理部
111 プロセッサ
112 RAM
113 ROM DESCRIPTION OF SYMBOLS 1 Diagnosis apparatus 2 Diagnosis target terminal 11 Processing part 12 Communication part 13 Screen part 14 Scan information DB
15 Vulnerability information DB
16 List storage unit 21 Processing unit 22 Estimation unit 23 Diagnosis unit 24 List processing unit 25 Expiration date management unit 111 Processor 112 RAM
113 ROM

Claims (8)

コンピュータに、
第1の診断ルールに基づく脆弱性診断を実行した際に診断対象の情報処理装置から取得された装置情報を記憶部に記憶し、
前記脆弱性診断の実行後に、前記第1の診断ルールと異なる第2の診断ルールに基づいて新たな脆弱性診断を行う場合、前記記憶部に記憶された前記装置情報に基づいて、診断対象の前記情報処理装置についての脆弱性診断を行う、
処理を実行させることを特徴とする診断プログラム。 On the computer,
Storing device information acquired from the information processing device to be diagnosed when the vulnerability diagnosis based on the first diagnosis rule is executed in the storage unit;
After performing the vulnerability diagnosis, when performing a new vulnerability diagnosis based on a second diagnosis rule different from the first diagnosis rule, based on the device information stored in the storage unit, a diagnosis target Performing vulnerability diagnosis on the information processing apparatus;
A diagnostic program characterized by causing processing to be executed. 前記コンピュータに、さらに、
有効な前記装置情報が前記記憶部に記憶されていない場合、前記情報処理装置に対して前記第1の診断ルールに基づく脆弱性診断を実行し、有効な前記装置情報が前記記憶部に記憶されている場合、前記第2の診断ルールに基づく脆弱性診断を実行する、
処理を実行させることを特徴とする請求項1記載の診断プログラム。 In addition to the computer,
If the valid device information is not stored in the storage unit, a vulnerability diagnosis based on the first diagnosis rule is executed on the information processing device, and the valid device information is stored in the storage unit. If so, the vulnerability diagnosis based on the second diagnosis rule is executed.
The diagnostic program according to claim 1, wherein the process is executed. 前記コンピュータに、さらに、
前記装置情報が前記記憶部に記憶されてから所定時間経過後に、前記装置情報を無効にする、
処理を実行させることを特徴とする請求項1または2記載の診断プログラム。 In addition to the computer,
Invalidating the device information after a predetermined time has elapsed since the device information was stored in the storage unit;
The diagnostic program according to claim 1 or 2, wherein the process is executed. 前記コンピュータに、さらに、
前記第2の診断ルールに基づく新たな脆弱性診断を行う際に、該脆弱性診断に使用される情報が不足している場合、不足している情報のみを前記情報処理装置から取得する、
処理を実行させることを特徴とする請求項1乃至3のうち何れか1項に記載の診断プログラム。 In addition to the computer,
When performing a new vulnerability diagnosis based on the second diagnosis rule, if information used for the vulnerability diagnosis is insufficient, only the information that is insufficient is acquired from the information processing apparatus.
The diagnostic program according to any one of claims 1 to 3, wherein the process is executed. 前記コンピュータに、さらに、
前記第2の診断ルールに基づく新たな脆弱性診断を行った結果に基づいて、前記情報処理装置に存在することが検出された脆弱性情報を第1のリストに記録し、
前記第2の診断ルールに基づく新たな脆弱性診断を行った結果に基づいて、前記情報処理装置に存在する可能性があることが検出された脆弱性情報を第2のリストに記録し、
前記第1のリストおよび前記第2のリストを提示する、
処理を実行させることを特徴とする請求項1乃至4のうち何れか1項に記載の診断プログラム。 In addition to the computer,
Based on the result of performing a new vulnerability diagnosis based on the second diagnostic rule, the vulnerability information detected to be present in the information processing apparatus is recorded in the first list,
Based on the result of performing a new vulnerability diagnosis based on the second diagnosis rule, the vulnerability information detected to be possibly present in the information processing apparatus is recorded in the second list,
Presenting the first list and the second list;
The diagnostic program according to any one of claims 1 to 4, wherein the process is executed. 前記コンピュータに、
前記第2の診断ルールに基づく新たな脆弱性診断を行った結果、前記装置情報の条件を全て満たし、且つ脆弱性レベルが所定レベル以上の脆弱性情報を前記第1のリストに記録し、
前記第2の診断ルールに基づく新たな脆弱性診断を行った結果、前記装置情報の一部の条件が不足しているか、または前記脆弱性レベルが前記所定レベル未満の脆弱性情報を前記第2のリストに記録する、
処理を実行させることを特徴とする請求項5記載の診断プログラム。 In the computer,
As a result of performing a new vulnerability diagnosis based on the second diagnosis rule, the vulnerability information that satisfies all the conditions of the device information and has a vulnerability level of a predetermined level or higher is recorded in the first list,
As a result of performing a new vulnerability diagnosis based on the second diagnosis rule, a part of the conditions of the device information is insufficient, or vulnerability information whose vulnerability level is less than the predetermined level is stored in the second Record in the list of
6. The diagnostic program according to claim 5, wherein the process is executed. コンピュータが、
第1の診断ルールに基づく脆弱性診断を実行した際に診断対象の情報処理装置から取得された装置情報を記憶部に記憶し、
前記脆弱性診断の実行後に、前記第1の診断ルールと異なる第2の診断ルールに基づいて新たな脆弱性診断を行う場合、前記記憶部に記憶された前記装置情報に基づいて、診断対象の前記情報処理装置についての脆弱性診断を行う、
処理を実行することを特徴とする診断方法。 Computer
Storing device information acquired from the information processing device to be diagnosed when the vulnerability diagnosis based on the first diagnosis rule is executed in the storage unit;
After performing the vulnerability diagnosis, when performing a new vulnerability diagnosis based on a second diagnosis rule different from the first diagnosis rule, based on the device information stored in the storage unit, a diagnosis target Performing vulnerability diagnosis on the information processing apparatus;
A diagnostic method characterized by executing processing. 第1の診断ルールに基づく脆弱性診断を実行した際に診断対象の情報処理装置から取得された装置情報を記憶する記憶部と、
前記脆弱性診断の実行後に、前記第1の診断ルールと異なる第2の診断ルールに基づいて新たな脆弱性診断を行う場合、前記記憶部に記憶された前記装置情報に基づいて、診断対象の前記情報処理装置についての脆弱性診断を行う診断部と、
を備えることを特徴とする診断装置。 A storage unit for storing device information acquired from the information processing device to be diagnosed when vulnerability diagnosis based on the first diagnosis rule is executed;
After performing the vulnerability diagnosis, when performing a new vulnerability diagnosis based on a second diagnosis rule different from the first diagnosis rule, based on the device information stored in the storage unit, a diagnosis target A diagnostic unit for performing vulnerability diagnosis on the information processing apparatus;
A diagnostic apparatus comprising:
JP2015195042A 2015-09-30 2015-09-30 Diagnostic program, diagnostic method and diagnostic device Expired - Fee Related JP6531601B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015195042A JP6531601B2 (en) 2015-09-30 2015-09-30 Diagnostic program, diagnostic method and diagnostic device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015195042A JP6531601B2 (en) 2015-09-30 2015-09-30 Diagnostic program, diagnostic method and diagnostic device

Publications (2)

Publication Number Publication Date
JP2017068691A true JP2017068691A (en) 2017-04-06
JP6531601B2 JP6531601B2 (en) 2019-06-19

Family

ID=58494814

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015195042A Expired - Fee Related JP6531601B2 (en) 2015-09-30 2015-09-30 Diagnostic program, diagnostic method and diagnostic device

Country Status (1)

Country Link
JP (1) JP6531601B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018180407A1 (en) 2017-03-30 2018-10-04 キヤノン株式会社 Information processing device, control method therefor and program
CN109194615A (en) * 2018-08-01 2019-01-11 北京奇虎科技有限公司 A kind of method, apparatus and computer equipment of detection device vulnerability information
JPWO2022024959A1 (en) * 2020-07-28 2022-02-03

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007164465A (en) * 2005-12-14 2007-06-28 Hitachi Ltd Client security management system
JP2011180975A (en) * 2010-03-03 2011-09-15 Nec Corp Quarantine system, quarantine method and quarantine program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007164465A (en) * 2005-12-14 2007-06-28 Hitachi Ltd Client security management system
JP2011180975A (en) * 2010-03-03 2011-09-15 Nec Corp Quarantine system, quarantine method and quarantine program

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018180407A1 (en) 2017-03-30 2018-10-04 キヤノン株式会社 Information processing device, control method therefor and program
CN109194615A (en) * 2018-08-01 2019-01-11 北京奇虎科技有限公司 A kind of method, apparatus and computer equipment of detection device vulnerability information
JPWO2022024959A1 (en) * 2020-07-28 2022-02-03
WO2022024959A1 (en) * 2020-07-28 2022-02-03 日本電気株式会社 Extraction device and extraction method

Also Published As

Publication number Publication date
JP6531601B2 (en) 2019-06-19

Similar Documents

Publication Publication Date Title
US9645815B2 (en) Dynamically recommending changes to an association between an operating system image and an update group
US9507936B2 (en) Systems, methods, apparatuses, and computer program products for forensic monitoring
TWI450103B (en) Remote management systems and methods for servers, and computer program products thereof
US9311070B2 (en) Dynamically recommending configuration changes to an operating system image
US10884892B2 (en) Non-transitory computer-readable storage medium, display control method and display control device for observing anomolies within data
CH716436B1 (en) System and method of checking archive portions for malware.
JP6531601B2 (en) Diagnostic program, diagnostic method and diagnostic device
US9210043B2 (en) Recommending a policy for an IT asset
US20220263839A1 (en) Computer system and method for sharing information
EP3349138A1 (en) Communication destination determination device, communication destination determination method, and recording medium
US9881156B2 (en) Detecting heap spraying on a computer
JP2010134724A (en) Device and method for monitoring message queuing, program and recording medium
CN104317645B (en) A kind of method and device of Application Instance listening port
US10430582B2 (en) Management apparatus and management method
US20200166232A1 (en) Alarm processing devices, methods, and systems
CN111367750B (en) Exception handling method, device and equipment thereof
JP6060123B2 (en) Influence range identification device, influence range identification method, and program
JP6819610B2 (en) Diagnostic equipment, diagnostic methods, and diagnostic programs
JP6884076B2 (en) Information processing equipment and computer programs
US20240356962A1 (en) Automated threat response in extended detection and response (xdr) systems
JPWO2017099066A1 (en) Diagnostic device, diagnostic method, and recording medium on which diagnostic program is recorded
JP6750270B2 (en) Information processing apparatus, information processing method, and program
US20220414248A1 (en) Management apparatus, management method, and program
JP6680979B2 (en) Test support program, test support device, and test support method
JP6285227B2 (en) Information processing apparatus, failure log management method, and failure log management program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180608

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190320

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190423

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190506

R150 Certificate of patent or registration of utility model

Ref document number: 6531601

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees