JP2018163537A - 情報処理装置、情報処理方法、プログラム - Google Patents

情報処理装置、情報処理方法、プログラム Download PDF

Info

Publication number
JP2018163537A
JP2018163537A JP2017060588A JP2017060588A JP2018163537A JP 2018163537 A JP2018163537 A JP 2018163537A JP 2017060588 A JP2017060588 A JP 2017060588A JP 2017060588 A JP2017060588 A JP 2017060588A JP 2018163537 A JP2018163537 A JP 2018163537A
Authority
JP
Japan
Prior art keywords
terminal
countermeasure
information
operation information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017060588A
Other languages
English (en)
Other versions
JP6891583B2 (ja
Inventor
良夫 安留
Yoshio Yasutome
良夫 安留
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2017060588A priority Critical patent/JP6891583B2/ja
Priority to US15/915,262 priority patent/US10764322B2/en
Priority to TW107107970A priority patent/TW201843615A/zh
Priority to SG10201802193YA priority patent/SG10201802193YA/en
Publication of JP2018163537A publication Critical patent/JP2018163537A/ja
Application granted granted Critical
Publication of JP6891583B2 publication Critical patent/JP6891583B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/04847Interaction techniques to control parameter settings, e.g. interaction with sliders or dials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

【課題】対処の遅れも見込んで、将来におけるセキュリティリスクが残っている端末の数を予測することができる情報処理装置を提供する。
【解決手段】稼働情報特定部82は、セキュリティリスクに対して端末毎に適用可能な対処を示す端末別対処情報と、端末の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、端末に適用可能な対処に対応する稼働情報の種類を特定する。稼働情報取得部83は、端末の稼働情報のうち稼働情報特定部82が特定した種類の稼働情報を取得する。予測部85は、稼働情報取得部83が取得した稼働情報に基づいて、未来時刻における残存端末の数を予測するとともに、過去に対処の適用が予定されていた予定日から実際に過去に対処が適用された日までの遅れの日数である対処滞留日数を見込んだ未来時刻における残存端末の数を予測する。
【選択図】図16

Description

本発明は、情報処理装置、情報処理方法、プログラムに関する。
ネットワーク上の端末には、ハードウェアやソフトウェアに存在する脆弱性や、外部からの攻撃により生じる脅威などのセキュリティリスクが存在する。セキュリティリスクには、複数の対処が存在するのが一般的である。
しかし、脆弱性に対するパッチ適用以外の対処は、端末毎に通信制限、設定変更などが異なるため、全ての端末に対して適用することはできない。そのため、多数の端末に対して対処を行う場合、対処を立案するのにコストがかかっていた。
そこで、最近は、各端末に存在するセキュリティリスクに対する対処(対応)の立案を支援する発明が提案されている。例えば、特許文献1には、運用中のシステムの状態に基づいてセキュリティリスクを分析し、セキュリティリスクを軽減するための対策候補から、運用中のシステムに生じる各種制約を考慮した上で、最適な対策方法を提示する発明が開示されている。
なお、会社や大きな部門のセキュリティ管理者は、リスク状況を把握する必要がある。また、セキュリティ管理者は、リスクがいつ解消できるのかを上司に報告したり、リスクの解消のための必要期間や所要工数を求めたりする。重要度の高いリスクに関しては、セキュリティ管理者は、対応の状況報告や対応の加速を指示される。
特許第5304243号公報
将来における対処の適用時期を予測し、セキュリティリスクが残っている端末の数を予測することが考えられる。
しかし、実際に対処が適用される時期が、何らかの理由で遅れる場合が生じ得る。従って、将来における対処の適用時期を予測した場合であっても、実際に対処が適用される時期はより遅れる可能性がある。そのような、対処の遅れも見込んで、将来におけるセキュリティリスクが残っている端末の数を予測できることが好ましい。
そこで、本発明は、対処の遅れも見込んで、将来におけるセキュリティリスクが残っている端末の数を予測することができる情報処理装置、情報処理方法およびプログラムを提供することを目的とする。
本発明による情報処理装置は、セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける選択受付部と、セキュリティリスクに対して端末毎に適用可能な対処を示す端末別対処情報と、端末の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、端末に適用可能な対処に対応する稼働情報の種類を特定する稼働情報特定部と、
端末の稼働情報のうち稼働情報特定部が特定した種類の稼働情報を取得する稼働情報取得部と、端末別対処情報に基づいて、選択受付部が受け付けた対処を適用した場合に、セキュリティリスクが残る端末である残存端末を特定する残存端末特定部と、稼働情報取得部が取得した稼働情報に基づいて、未来時刻における残存端末の数を予測するとともに、過去に対処の適用が予定されていた予定日から実際に過去に対処が適用された日までの遅れの日数である対処滞留日数を見込んだ未来時刻における残存端末の数を予測する予測部と、予測部が予測した予測結果を提示する提示部とを備えることを特徴とする。
また、本発明による情報処理方法は、セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付け、セキュリティリスクに対して端末毎に適用可能な対処を示す端末別対処情報と、端末の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、端末に適用可能な対処に対応する稼働情報の種類を特定し、端末の稼働情報のうち、特定した種類の稼働情報を取得し、端末別対処情報に基づいて、選択された対処を適用した場合に、セキュリティリスクが残る端末である残存端末を特定し、取得した稼働情報に基づいて、未来時刻における残存端末の数を予測するとともに、過去に対処の適用が予定されていた予定日から実際に過去に対処が適用された日までの遅れの日数である対処滞留日数を見込んだ未来時刻における残存端末の数を予測し、予測した予測結果を提示することを特徴とする。
また、本発明によるプログラムは、コンピュータに、セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける選択受付処理、セキュリティリスクに対して端末毎に適用可能な対処を示す端末別対処情報と、端末の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、端末に適用可能な対処に対応する稼働情報の種類を特定する稼働情報特定処理、端末の稼働情報のうち稼働情報特定処理で特定した種類の稼働情報を取得する稼働情報取得処理、端末別対処情報に基づいて、選択受付処理で受け付けた対処を適用した場合に、セキュリティリスクが残る端末である残存端末を特定する残存端末特定処理、稼働情報取得処理で取得した稼働情報に基づいて、未来時刻における残存端末の数を予測するとともに、過去に対処の適用が予定されていた予定日から実際に過去に対処が適用された日までの遅れの日数である対処滞留日数を見込んだ未来時刻における残存端末の数を予測する予測処理、および、予測処理で予測した予測結果を提示する提示処理を実行させることを特徴とする。
本発明によれば、対処の遅れも見込んで、将来におけるセキュリティリスクが残っている端末の数を予測することができる
本発明の情報処理装置の構成例を示すブロック図である。 端末情報の一例を示す説明図である。 端末別対処情報の例を示す説明図である。 対処実施履歴の例を示す説明図である。 分類情報の例を示す説明図である。 対処の選択入力を受け付けるための画面の例を示す説明図である。 定義情報の例を示す説明図である。 稼働情報の一例を示す説明図である。 残存リスク予測値の予測結果の例を示す説明図である。 提示部が提示する画面の一例を示す説明図である。 予測結果を時系列的にグラフ化したグラフの例を示す説明図である。 1日以上の滞留対処日数が発生した端末のリストを示す画面の例を示す説明図である。 本発明の処理経過の例を示すフローチャートである。 本発明の処理経過の例を示すフローチャートである。 本発明の実施形態に係るコンピュータの構成例を示す概略ブロック図である。 本発明の情報処理装置の概要を示すブロック図である。
以下、本発明の実施形態を図面を参照して説明する。
図1は、本発明の情報処理装置の構成例を示すブロック図である。本発明の情報処理装置10は、選択受付部110と、稼働情報特定部120と、残存端末特定部140と、予測部150と、提示部160と、情報取得部170と、リスク調査部180と、表示処理部190と、リスク情報格納部192と、分類情報格納部194と、定義情報格納部196とを備える。
また、情報処理装置10には、管理者端末20と、複数の管理対象端末30とが接続されている。
管理者端末20は、セキュリティ管理者が操作する端末であり、例えば、据え置き型のPC(Personal Computer )やタブレット端末などである。
各管理対象端末30は、例えば、ネットワーク上のクライアント端末、サーバ、スイッチ、ルータなどの通信機器である。ただし、各管理対象端末30は、これらの通信機器に限定されず、ネットワークに接続する機能やネットワークを介して通信する手段を有するあらゆる物(いわゆるIoT(Internet of Things)に該当する物)が管理対象端末30として用いられていてよい。
以下の説明において、セキュリティリスクは、管理対象端末30に存在する脆弱性、または、管理対象端末30に対する外部からの攻撃によって生じる脅威を含む。また、対処とは、脆弱性や脅威を解消、回避、または低減させる措置であり、適用可能な対処とは、脆弱性や脅威に対する措置の中で管理対象端末30に講じることができる措置のことをいう。
情報取得部170は、各管理対象端末30から端末情報を取得する。図2は、端末情報の一例を示す説明図である。端末情報は、例えば、管理対象端末30のOS(Operating System)の種別、OSのバージョン、管理対象端末30にインストールされている各種アプリケーションの情報などを含む。ただし、端末情報は、図2に例示する情報に限定されない。
また、情報取得部170は、稼働情報特定部120が特定した種類の稼働情報を各管理対象端末30から取得する動作も行う。稼働情報特定部120の動作、稼働情報、および稼働情報の種類などについては、後述する。
リスク調査部180は、情報取得部170が取得した端末情報と、各ベンダーなどから提供されるセキュリティリスクに関する情報などとを照らし合わせて、セキュリティリスクのある管理対象端末30を調査し、端末別対処情報を含むリスク情報を生成する。
端末別対処情報は、セキュリティリスクに対して管理対象端末30毎に適用可能な対処を示す情報である。図3は、セキュリティリスクが脆弱性Aである場合の端末別対処情報の例を示す説明図である。端末別対処情報は、各管理対象端末30を識別する端末識別情報(例えば、MAC(Media Access Control)アドレスなど)と、それぞれの管理対象端末30に適用可能な対処を示す情報とを含む。端末別対処情報は、例えば、各ベンダーなどから提供される、セキュリティリスクおよびその対処法などを示す情報に基づいて管理対象端末30を予め調査することによって生成され、リスク情報格納部192に格納される。図3に示す例では、脆弱性Aに対して、端末Aには「対処(1)」および「対処(2)」が適用可能であり、端末Bには「対処(2)」が適用可能であり、端末Cには「対処(3)」が適用可能であることを示している。
例えば、セキュリティリスクが脆弱性Aである場合、リスク情報は、図3に例示する端末別対処情報に加え、脆弱性Aの概要や、各対処の説明などを含んでいてもよい。リスク調査部180は、生成したリスク情報をリスク情報格納部192に格納する。
リスク情報格納部192は、上記のようなリスク情報や、各管理対象端末30におけるセキュリティリスク毎の対処実施履歴を格納する記憶装置である。図4は、端末Aの対処実施履歴の例を示す説明図である。対処実施履歴は、例えば、図4に示すように、セキュリティリスク毎に、調査開始日と、対処予定日と、対処実施実績と、対処滞留日数とを含む。また、対処実施履歴は、管理対象端末30毎に生成される。対処予定日は、過去にセキュリティリスクに対する対処が予定されていた予定日である。対処実施実績は、実際に管理対象端末30にその対処が適用(実施)された日である。対処滞留日数は、対処予定日から対処実施実績までの遅れの日数である。調査開始日は、対処の適用の遅れの調査を開始した日である。対処滞留日数が1日以上であるということは、何らかの理由により、セキュリティリスクに対する対処の適用が遅れたことを意味していると言える。リスク調査部180は、管理対象端末30毎に、各セキュリティリスクに関する調査開始日、対処予定日、対処実施実績の情報などを参照して、図4に例示する対処実施履歴を管理対象端末30毎に生成して、リスク情報格納部192に記憶させればよい。
分類情報格納部194は、分類情報を記憶する記憶装置である。分類情報は、各管理対象端末30の分類を示す。図5は、分類情報の例を示す説明図である。図5に例示する分類情報では、端末識別情報(例えば、MACアドレスなど)と、2種類の分類情報(端末の種別、優先度)とが対応付けられている。具体的には、各管理対象端末30は、まず「サーバ」と「クライアント」に分類され、さらに、「クライアント」に該当する各管理対象端末30は、「優先度:大」、「優先度:中」、「優先度:小」に分類されている。
選択受付部110は、セキュリティリスクを有する管理対象端末30に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける。選択受付部110は、例えば、図6に例示する画面を介して、セキュリティリスク(ここでは、脆弱性A)に対する対処の選択入力を受け付ける。
表示処理部190は、図6に例示する画面を生成し、管理者端末20の表示部(不図示)に表示させる。なお、図6は、セキュリティリスクが脆弱性Aである場合の画面の例である。表示処理部190は、分類情報を参照し、管理対象端末30の分類毎に、脆弱性Aのある管理対象端末30の台数(「リスクあり」)と、各対処を仮に実行した場合の対処後の残存リスク(脆弱性Aの残る管理対象端末30)の数(「対処後残存リスク」)と、未来時刻(ここでは、一週間後)における残存リスクの予測値(「残存リスク予測値」)と、対処滞留日数の実績を見込んだ未来時刻における残存リスクの予測値(「対策滞留見込みを含めたリスク値」)と、脆弱性Aに対する各対処(「対処(1)」、「対処(2)」、および「対処(3)」)とを対応付けた画面(図6参照)を生成する。各対処の列の欄のかっこ内に記載されている数字は、その数字が記載されている行に対応する分類に該当する管理対象端末30のうち、その列に対応する対処を適用可能な管理対象端末30の台数を示している。図6に例示する画面には、脆弱性Aの概要や、脆弱性Aに対する各対処の内容も表示されている。図6に例示する画面では、例えば、脆弱性Aのある10台のサーバのうち、「対処(1)」を適用可能なサーバが5台あり、「対処(2)」を適用可能なサーバが4台あり、「対処(3)」を適用可能なサーバが3台あることを示している。なお、対処別のサーバ数を合算した値が、母数となるサーバ数(10台)と異なるのは、複数の対処を適用可能なサーバが存在するためである。ここでは、サーバの行を例にして説明したが、他の行に関しても同様である。
また、図6に示す画面では、画面内に表示されている下向きの黒三角形をクリックすると、選択可能な未来時刻(例えば、即時、翌日、一週間後、一か月後など)を示すドロップダウンリストが表示される。ドロップダウンリストの中から未来時刻が選択されると、残存リスク予測値、および、対策滞留見込みを含めたリスク値として、選択された未来時刻(ここでは、一週間後)の予測値が表示される。
表示処理部190は、端末別対処情報(図3参照)および分類情報(図5参照)などに基づいて、図6に例示する画面を生成する。
選択受付部110は、図6に例示する画面において、管理対象端末30の分類と対処との組み合わせに応じたボタンがセキュリティ管理者にクリックされることによって、対処が選択されたことを示す入力を受け付ける。なお、図6に例示する画面において、複数のボタンがクリックされてもよい。
残存端末特定部140は、リスク情報格納部192から端末別対処情報を読み出し、その端末別対処情報に基づいて、選択受付部110が受け付けた選択入力が示す対処を仮に実行した場合に、セキュリティリスクの残る管理対象端末30(以下、残存端末とも表記)を特定する。残存端末特定部140は、選択入力が示す対処を適用可能な管理対象端末30を、図3に例示する端末別対処情報に基づいて特定することができる。同時に、残存端末特定部140は、セキュリティリスクが残る管理対象端末30(残存端末)を特定することができる。
セキュリティ管理者は、管理者端末20に表示される画面(例えば、図6に例示する画面)を確認し、脆弱性Aに対して適用する対処の選択入力を行う。ここで入力された結果が、選択受付部110に送信される。選択受付部110は、分類毎の選択入力を図6に例示する画面を介して受け付ける。残存端末特定部140は、その分類毎の選択入力に基づいて、分類毎に選択された対処を仮に実行した場合の残存端末を分類毎に特定する。
また、管理対象端末30の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する情報を、定義情報と記す。
また、稼働情報とは、管理対象端末30で実際に行われた動作や処理の履歴を示す情報(稼働履歴情報)、または、管理対象端末30でこれから行われる予定の動作や処理を示す情報(稼働予定情報)の少なくとも一方を含む情報である。これらの稼働情報は、各管理対象端末30での所定の動作や処理の実行、または、所定の動作や処理の実行予定の入力に応じて、各管理対象端末30で生成されて、その管理対象端末30の記憶部に記憶される。また、「稼働情報の種類」とは、各稼働情報が属する分類を意味する。例えば、「稼働履歴情報の種類」の具体例として、「パッチ適用履歴」、「再起動履歴」、「連続稼働時間」、「ポート利用履歴」、「プロセス稼働履歴」、「アプリケーション利用履歴」などが挙げられる。また、例えば、「稼働予定情報の種類」の具体例として、「パッチ適用予定日時」、「再起動予定日時」、「アプリケーション起動予定日時」などが挙げられる。ただし、稼働情報の種類は、ここで挙げた例に限定されない。
定義情報格納部196は、定義情報を格納する記憶装置である。図7は、定義情報の例を示す説明図である。前述のように、定義情報は、稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する情報である。図7では、セキュリティリスクが脆弱性Aである場合の定義情報を例示している。図7では、脆弱性Aに対する対処(「対処(1)」、「対処(2)」、および「対処(3)」)と、その対処を適用するか否かを決定する際に参考になる、管理対象端末30の稼働情報の種類とが対応付けて格納されている。図7に示す例では、「対処(1)」は、パッチAAAAを適用し、再起動するという対処である。また、「対処(2)」は、プロセスZZZZを停止するという対処である。また、「対処(3)」は、ポート1027をブロックするという対処である。また、「対処(1)」に対応する「稼働情報の種類」は、「パッチ適用履歴」、「再起動履歴」、および「連続稼働時間」である。また、「対処(2)」に対応する「稼働情報の種類」は、「プロセスZZZZの利用履歴」である。また、「対処(3)」に対応する「稼働情報の種類」は、「ポート1027の利用履歴」である。
定義情報は、例えば、サーバ装置(不図示)から情報処理装置10に配信することとしてよい。
稼働情報特定部120は、例えば、図3に例示する端末別対処情報と、図7に例示する定義情報とを基に、管理対象端末30毎に、適用可能な対処とその対処に対応する稼働情報の種類とを特定する。具体的には、稼働情報特定部120は、図3に例示する端末別対処情報を基に、脆弱性Aに対して、端末Aには「対処(1)」および「対処(3)」が適用可能であることを特定する。そして、稼働情報特定部120は、図7に例示する定義情報を基に、「対処(1)」に対応する「稼働情報の種類」を、「パッチ適用履歴」、「再起動履歴」、および「連続稼働時間」と特定する。また、稼働情報特定部120は、図7に例示する定義情報を基に、「対処(3)」に対応する「稼働情報の種類」を、「ポート1027の利用履歴」と特定する。稼働情報特定部120は、端末Aと同様に、端末Bについても、適用可能な対処(対処(2)のみ)と、その対処に対応する稼働情報の種類(「プロセスZZZZの利用履歴」)とを特定する。
情報取得部170は、稼働情報特定部120が特定した種類の稼働情報を取得する。情報取得部170は、例えば、以下に示すようにして、管理対象端末30の稼働情報の中から、稼働情報特定部120が特定した種類の稼働情報を取得する。
情報取得部170は、例えば、稼働情報特定部120が特定した種類を管理対象端末30に通知し、管理対象端末30からの応答として、その種類の稼働情報を受け取る。または、情報取得部170は、管理対象端末30に格納されている稼働情報を取得し、その中から稼働情報特定部120が特定した種類の稼働情報を抽出してもよい。ここで、情報取得部170は、管理対象端末30に格納されている全ての稼働情報の中から必要な稼働情報を取得してもよい。あるいは、情報取得部170は、管理対象端末30に格納されている所定期間(例えば、一か月分など)内に行われた稼働履歴に関する情報、すなわち、過去に行われた再起動に関する情報や、過去にアクセスされたポート番号に関する情報、過去に実行されたプロセスに関する情報を含んでいてもよい。稼働情報の他の一例は、未来の所定期間(例えば、将来一か月分など)に予定されている稼働予定に関する情報、すなわち、将来に実行が予定されている再起動に関する情報や、将来アクセスされるポート番号に関する情報、将来に実行が予定されているプロセスに関する情報を含んでいてもよい。また、稼働情報は、これらの組み合わせであってもよい。管理対象端末30を管理するサブシステムが存在する場合、情報取得部170は、そのサブシステムから未来の稼働情報を取得してもよい。
図8は、情報取得部170が取得する稼働情報の一例を示す説明図である。図8は、セキュリティリスクが脆弱性Aである場合の稼働情報の例である。情報取得部170は、稼働情報特定部120が特定した稼働情報の種類に基づいて、端末Aに適用可能な「対処(1)」については、「パッチ適用履歴」、「再起動履歴」、および「連続稼働時間」の稼働情報を端末Aから取得する。また、情報取得部170は、稼働情報特定部120が特定した稼働情報の種類に基づいて、端末Aに適用可能な「対処(3)」については、「ポート1027の稼働履歴」を端末Aから取得する。情報取得部170は、端末Aと同様に、端末Bについても、端末Bで適用可能な「対処(2)」について、「プロセスZZZZの稼働履歴」の稼働情報を端末Bから取得する。
予測部150は、情報取得部170が取得した稼働情報に基づいて、未来時刻において、セキュリティリスクが残る管理対象端末30(残存端末)の数を予測する。例えば、図8に例示する稼働情報によれば、予測部150は、端末Aについて次のような予測をすることができる。なお、ここでは、予測部150が、図8に例示する稼働情報を、2015年5月27日(水)の時点で確認しているものとする。予測部150は、「対処(1)」に対応付けられた「再起動履歴」を参照することにより、定期的な再起動のタイミングを判断することができる。稼働情報において、「再起動履歴」の欄の代わりに「再起動予定」の欄が設けられ、「再起動予定」の欄に将来の再起動予定の情報が示されている場合には、予測部150は、「再起動予定」を参照することによって、再起動の実行タイミングを予測したり、判断したりすることができる。また、予測部150は、「対処(1)」に対応付けられた「パッチ適用履歴」を参照することにより、定期的なパッチの適用タイミングを判断することができる。具体的には、端末Aについては、毎週木曜日の午前中に、定期的にパッチが適用されて端末Aが再起動されていることが読み取れる。ここから、予測部150は、「対処(1)」の適用タイミング、つまり、パッチAAAAを適用し、再起動するタイミングを「次の木曜日(2015年5月28日)の午前中」と予測することができる。なぜならば、過去の再起動履歴によれば、過去3回の再起動のうち3回が木曜日の10時に行われているため、この周期性に基づいて、次の再起動も木曜日の10時と予測できるからである。別方法では、予測部150は、再起動の階数を曜日毎に集計して、集計した数が多い順に再起動が行われやすい曜日であると予測してもよい。
また、予測部150は、「対処(3)」に対応付けられた「ポート1027の利用履歴」を参照することにより、ポート1027の利用履歴を判断することができる。具体的には、端末Aについて、前々日と前日の2日連続でポート1027を利用していることが読み取れる。このように、「ポート1027の利用履歴」に複数の利用日時の情報が格納されている場合は、予測部150は、ポート1027が今後も利用される可能性があると判断し、「対処(3)」の適用タイミング、つまり、ポート1027をブロックするタイミングを、長めに設定された所定日が経過した後のタイミングとしてもよ。または、予測部150は、端末Aについて、「対処(3)」を日時予測の対象から除外してもよい。つまり、予測部150は、端末Aには「対処(3)」を適用しないと判断してもよい。ここでは、予測部150は、前者のように、ポート1027をブロックするタイミングを、長めに設定された所定日数が経過した後のタイミング(例えば、一週間後の2015年6月3日(水)」と予測するものとする。なお、上述の所定日数は、予め定めておけばよい。このように、予測部150は、対処を実行するタイミングを容易に予測することができる。
予測部150は、残存端末特定部140が特定した残存端末以外の管理対象端末30について、上述のようにして、適用可能な対処を適用する適用タイミングを予測する。詳細には、予測部150は、残存端末以外の各管理対象端末30について、図3に例示する端末別対処情報を基に、適用可能な対処を特定し、図8に例示する稼働情報を基に、適用可能な対処の適用タイミングを予測する。予測部150は、残存端末以外の各管理対象端末30について、予測した適用タイミングで適用可能な対処が実行され、脆弱性Aが無くなったと仮定する。例えば、端末Aについては、上述したように、「対処(1)」の適用タイミングを「2015年5月28日(木)の午前中」と予測し、「対処(3)」の適用タイミングを「2015年6月3日(水)」と予測している。そのため、予測部150は、端末Aについて、早い方の「2015年5月28日(木)の午前中」に脆弱性Aがなくなったと仮定する。このような仮定に従い、予測部150は、残存端末の数が所定台数(例えば、0台)以下になる未来時刻まで、時系列的に、各未来時刻(例えば、即時、翌日、一週間後、一か月後など)毎に、その時点で脆弱性Aが残っている管理対象端末30(残存端末)の数を集計し、この集計値を残存リスク(脆弱性Aの残る管理対象端末30)の予測値とする。
予測部150は、このような残存リスク予測値の導出を、管理対象端末30の分類毎に行う。図9は、セキュリティリスクが脆弱性Aである場合の予測結果の例を示す説明図である。図9では、図6に例示する画面で、「サーバ」については、「対処(1)」、「対処(2)」および「対処(3)」が選択され、「クライアント」については、「優先度:大」、「優先度:中」および「優先度:小」の全てにおいて、「対処(1)」および「対処(2)」が選択された場合の予測結果の例を示している。また、図9では、上記の所定台数が0台である場合の例をしている。全体の残存端末の台数が0台以下になる「三か月後」までの残存リスク値の予測結果を例示している。図9に示す例では、「サーバ」に分類される残存端末の数は、「即時実行後」に8台になり、「翌日」に8台になり、「一週間後」に5台になり、「一か月後」に2台になり、「三か月後」に0台になると予測されていることを示している。
また、予測部150は、残存リスク予測値とは別に、「対策滞留見込みを含めたリスク値」も予測する。対策滞留見込みを含めたリスク値は、図4に例示する対処実施履歴が示す対処滞留日数を見込んだ場合における残存リスクの数の予測値である。
予測部150は、「対策滞留見込みを含めたリスク値」を予測する場合に、管理対象端末30に対処が適用されるタイミングを、「残存リスク予測値」を予測する場合におけるタイミングよりも、滞留期間(対処が予定より遅れる期間)だけ遅らせたタイミングとして決定する。
ここで、予測部150は、端末毎に、滞留期間を計算する。予測部150は、例えば、セキュリティリスク毎の対処滞留日数の平均値を、滞留期間とすればよい。例えば、端末Aの対処実施履歴として図4に例示する情報が得られているとする。この場合、予測部150は、脆弱性Aに対応する対処滞留日数「0日」、脆弱性Bに対応する対処滞留日数「1日」、脆弱性Cに対応する対処滞留日数「7日」などの平均値を算出し、その値を、端末Aの滞留期間とする。
そして、予測部150は、まず、「残存リスク予測値」を予測する場合と同様に、管理対象端末30に対処が適用されるタイミングを予測する。この動作の例は、既に説明したので、ここでは、説明を省略する。予測部150は、そのタイミングから、その管理対象端末30における滞留期間だけ遅らせたタイミングを求め、そのタイミングを、管理対象端末30に対処が適用されるタイミングとする。
例えば、「残存リスク予測値」を予測する場合と同様に、端末Aに対処が適用されるタイミングを予測した結果が「20XX年Y月Z日」であるとする。また、端末Aの滞留期間が「4日」であったとする。この場合、予測部150は、端末Aに対処が適用されるタイミングの予測結果を、「20XX年Y月Z日」の4日後とする。
予測部150は、上記のように、滞留期間を用いて、管理対象端末30に対処が適用されるタイミングを変更する。予測部150は、この変更後のタイミングに基づいて、時系列的に、各未来時刻(例えば、即時、翌日、一週間後、一か月後など)毎に、その時点でセキュリティリスクの残っている管理対象端末30の数を集計し、この集計値を、「対策滞留見込みを含めたリスク値」の予測値とする。
なお、予測部150は、上記の集計を、例えば、「残存リスク予測値」を予測する場合と同様に、残存端末の数が所定台数(例えば、0台)以下になる未来時刻まで行えばよい。
そして、提示部160は、例えば、図10に例示する画面を表示する。図10は、提示部160が提示する画面の一例を示す説明図である。図10は、セキュリティリスクが脆弱性Aである場合の画面を例示している。図10に例示する画面は、分類毎の残存端末の数、およびそれら全体の残存端末の数(対処後残存リスク)を表示する。また、図10に例示する画面は、分類毎の未来時刻における残存端末の数の予測値、およびそれら全体の残存端末の数の予測値(残存リスク予測値)を表示する。また、図10に例示する画面は、分類毎の、滞留期間を見込んだ場合の未来時刻における残存端末の数の予測値、およびそれら全体の残存端末の数の予測値(対策滞留見込みを含めたリスク値)を表示する。
図10に例示する画面で、各対処の列の欄のかっこ内に記載される数字は、その列に対応する対処を仮時実行した場合に脆弱性Aが無くなる管理対象端末30の台数を示していて、他の対処の選択に応じて変化する。例えば、「優先度:大」のクライアントでは、「対処(2)」の列のかっこ内に記載されている数字は、図6に例示する画面では「5」であるが、図10に例示する画面では「2」である。これは、「対処(2)」のみを適用した場合には、脆弱性Aが無くなる「優先度:大」のクライアントの台数が5台であり、「対処(1)」および「対処(2)」の両方を適用した場合には、その5台のうち3台は、「対処(1)」の適用により脆弱性Aがなくなり、残りの2台は、「対処(2)」の適用により脆弱性Aが無くなることを意味している。
また、対処が適用されるタイミングの遅延を考慮した場合の残存端末の台数の予測値は、対処が適用されるタイミングの遅延を考慮しない場合の残存端末の台数の予測値以上になる。従って、図10に示す画面では、各分類において、「対策滞留見込みを含めたリスク値」の値は、「残存リスク予測値」の値以上となっている。
また、提示部160は、図10の代わりに、図11に例示するような、各未来時刻における分類毎の「残存リスク予測値」を、時系列的にグラフ化したグラフを表す画面を提示してもよい。図11は、提示部160が提示する画面の他の例を示す説明図である。なお、図11は、セキュリティリスクが脆弱性Aである場合の画面の例を示している。なお、図11では、現時点の残存リスク(脆弱性Aが残る管理対象端末30)の数もグラフ内に示しているが、現時点の残存リスクはグラフ内に示されていなくてもよい。
また、提示部160は、各未来時刻における分類毎の「対策滞留見込みを含めたリスク値」を、時系列的にグラフ化したグラフを表す画面を、図11に例示する画面とともに表示猪してもよい。「対策滞留見込みを含めたリスク値」を時系列的にグラフ化したグラフの態様は、図11に例示するグラフの態様と同様である。
また、提示部160は、1日以上の滞留対処日数が発生した端末のリストを示す画面を提示する。図12は、1日以上の滞留対処日数が発生した端末のリストを示す画面の例を示す説明図である。図12に示す画面の各行は、1日以上の滞留対処日数が発生した端末を表している。また、その端末の情報として、滞留件数、滞留平均日数、理由のある保留履歴、強制適用対象外理流、稼働情報、各種端末情報などが示される。
また、提示部160は、図12に示すように、1日以上の滞留対処日数が発生した管理対象端末30をセキュリティ管理者が指定するためのグラフィックユーザインタフェース(図12に例示するボタン71)と、そのボタン71によって指定された管理対象端末30に対する対処の適用をその管理対象端末30のユーザに通知するためのユーザインタフェース(図12に例示する対処促進実行ボタン72)とを含む画面を提示することが好ましい。図12に示す例では、1日以上の滞留対処日数が発生した管理対象端末30のうち、端末#1、#2が指定された状態を示している。この状態で、さらに、対処促進実行ボタン72がクリックされた場合、例えば、情報取得部170は、端末#1,#2それぞれに、そのユーザに対して対策滞留の注意喚起を促す通知を送信する。この通知は、例えば、電子メールによる通知であってもよい。
なお、提示部160が提示する画面(例えば、図10、図11、図12を参照)は、表示処理部190によって管理者端末20に出力され、管理者端末20の表示部(不図示)に表示される。
選択受付部110、稼働情報特定部120、残存端末特定部140、予測部150、提示部160、情報取得部170、リスク調査部180、および表示処理部190は、例えば、プログラムに従って動作するコンピュータのCPU(Central Processing Unit )によって実現される。この場合、CPUは、例えば、コンピュータのプログラム記憶装置(図1において図示略)などのプログラム記録媒体からプログラムを読み込み、そのプログラムに従って、選択受付部110、稼働情報特定部120、残存端末特定部140、予測部150、提示部160、情報取得部170、リスク調査部180、および表示処理部190として動作すればよい。
次に、本発明の処理経過の例を説明する。図13および図14は、本発明の処理経過の例を示すフローチャートである。以下の説明では、セキュリティリスクが脆弱性Aである場合の動作例を示す。
情報取得部170は、例えば、管理者端末20からの画面表示要求に応じて、各管理対象端末30の端末情報を取得する(ステップS201)。そして、リスク調査部180は、例えば、取得した各管理対象端末30の端末情報に基づいて、脆弱性Aのある管理対象端末30を調査し、リスク情報を生成する(ステップS202)。リスク調査部180は、例えば、取得した各管理対象端末30の端末情報と各ベンダーなどから提供される脆弱性Aに関する情報とを照らし合わせて、脆弱性Aのある管理対象端末30、および、適用可能な処理などを特定することができる。
また、リスク調査部180は、対処の滞留履歴(対処実施履歴)を記録する(ステップS203)。リスク調査部180は、管理対象端末30毎に、各セキュリティリスク(脆弱性A、脆弱性B、脆弱性Cなど)に関する調査開始日、対処予定日、対処実施実績の情報などを参照して、図4に例示する対処実施履歴を管理対象端末30毎に生成する。このとき、リスク調査部180は、対処予定日から対処実施実績までの遅れの日数を、対処滞留日数として求めればよい。リスク調査部180は、管理対象端末30毎に生成した対処実施履歴をリスク情報格納部192に格納する。
なお、ステップS201〜S203の処理は、管理者端末20からの画面表示要求を受ける前に予め実行されていてもよい。この場合、管理者端末20からの画面表示要求に応じて、以下のステップS204の処理が実行される。
表示処理部190は、ステップS202で生成されたリスク情報と、分類情報格納部194に格納されている分類情報とに基づいて、脆弱性Aのある端末を調査した結果を表示する画面(例えば、図6に例示する画面)を生成し、管理者端末20の表示部(不図示)に表示させる(ステップS204)。管理者端末20を操作するセキュリティ管理者は、表示された画面の内容を確認し、複数の対処の少なくとも1つを選択する入力操作を行う。そして、選択受付部110は、管理者端末20での入力操作によって選択された対処を示す情報を管理者端末20から受け付ける(ステップS205)。残存端末特定部140は、管理者端末20で選択された対処を示す情報と端末別対処情報とに基づいて、分類毎に残存端末を特定する(ステップS206)。例えば、リスク情報格納部192が図3に示す端末別対処情報を格納しており、選択受付部110が、「サーバ」について、「対処(1)」および「対処(2)」が選択されたことを示す入力を受け付けたとする。この場合、残存端末特定部140は、少なくとも「端末C]を、「対処(1)」および「対処(2)」のいずれも適用できない端末(残存端末)として特定する。
次に、稼働情報特定部120は、管理対象端末30に適用可能な対処に対応する稼働情報の種類を特定し(ステップS207)、情報取得部170は、稼働情報特定部120が特定した種類の稼働情報を、管理対象端末30から取得する(ステップS208)。例えば、リスク情報格納部192が図3に示す端末別対処情報を格納しており、定義情報格納部196が図7に示す定義情報を格納しているとする。この場合、稼働情報特定部120は、端末Aについては、「対処(1)」および「対処(3)」が適用可能であることを特定する。さらに、稼働情報特定部120は、「対処(1)」に対応する稼働情報の種類が「パッチ適用履歴」、「再起動履歴」および「連続稼働時間」であり、「対処(3)」に対応する稼働情報の種類が「ポート1027の利用履歴」であることを特定する。そのため、情報取得部170は、端末Aについては、端末Aの稼働情報の中から、「パッチ適用履歴」、「再起動履歴」、「連続稼働時間」、および「ポート1027の利用履歴」を取得する。
次に、予測部150は、情報取得部170が取得した稼働情報に基づいて、分類毎に、未来時刻における残存端末の数(残存リスク予測値)を予測する(ステップS209)。例えば、リスク情報格納部192が図3に示す端末別対処情報を格納し、情報取得部170が図8に示す稼働情報を取得したとする。この場合、予測部150は、残存端末特定部140が特定した残存端末以外の管理対象端末30について、図3に示す端末別対処情報を基に、適用可能な対処を特定する。さらに、予測部150は、図8に示す稼働情報を基に、適用可能な対処の適用可能タイミングを予測し、未来時刻毎に、その時点での残存端末の数を集計する。予測部150は、この処理を、分類毎に行う。
さらに、予測部150は、端末毎に、滞留期間を計算する(ステップS210)。予測部150は、例えば、セキュリティリスク毎の対処滞留日数の平均値を、滞留期間とすればよい。例えば、リスク情報格納部192が、図4に示す対処実施履歴を格納しているとする。この場合、予測部150は、「0日」、「1日」、「7日」などの対処滞留日数の平均値を求め、その値を、端末Aにおける滞留期間とする。さらに、ステップS210において、予測部150は、ステップS209で予測した対処の適用タイミングを、上記のように算出した滞留期間だけ遅らせたタイミングを求め、そのタイミングを、管理対象端末30に対処が適用されるタイミングとする。すなわち、予測部150は、ステップS209で予測した対処の適用タイミングを、滞留期間に基づいて変更する。予測部150は、この変更後のタイミング(対処が適用されるタイミング)に基づいて、未来時刻毎に、その時点での残存端末の数を集計する。この集計結果は、「対策滞留見込みを含めたリスク値」である。予測部150は、この処理を、分類毎に行う。
次に、提示部160は、予測部150が、ステップS209で予測した予測結果(残存リスク予測値)、および、ステップS210で予測した予測結果(対策滞留見込みを含めたリスク値)を提示する(ステップS211)。提示部160は、図6で例示した画面に予測結果を反映させた画面(図10を参照)を提示してもよい。また、提示部160は、分類毎の「残存リスク予測値」、および分類毎の「対策滞留見込みを含めたリスク値」それぞれについて、図11に例示した態様のグラフ(予測結果を時系列にグラフ化したグラフ)を提示してもよい。
次に、提示部160は、優先的に対策を促進すべき端末の一覧の画面を提示する(ステップS212)。提示部160は、1日以上の滞留対処日数が発生した端末のリストを示す画面(例えば、図12に例示する画面)を提示する。提示部160は、図12に例示する画面を提示する際、滞留案件の多い順に、端末(管理対象端末30)の情報を表示してもよい。滞留案件の数とは、図4に例示する対処実施履歴において、対処実施実績が対処予定日よりも遅れている行の数である。また、提示部160は、図12に例示する画面を提示する際、ステップS210で計算した滞留期間が長い順に、端末(管理対象端末30)の情報を表示してもよい。
また、業務上の理由があり対処が先送りにされている場合には、提示部160は、図12に例示する画面に、その旨の情報を含めてもよい。また、対処を手動ではなくバックグラウンドで強制的に実施する運用を避けている理由がある場合などに、提示部160は、図12に例示する画面に、その理由を含めてもよい。これらの情報は、管理対象端末30が、情報処理装置10に登録してもよい。
図12に例示する画面上で、セキュリティ管理者が管理対象端末30を指定したとする。なお、既に説明したように、図12に示す例では、セキュリティ管理者は、ボタン71をクリックすることによって管理対象端末30を指定する。さらに、セキュリティ管理者が対処促進実行ボタン72をクリックしたとする。すると、例えば、情報取得部170は、指定された管理対象端末30に対して、その管理対象端末30のユーザに対策滞留の注意喚起を促す通知を送信する。具体的には、情報取得部170は、その管理対象端末30への対処の適用をそのユーザに促すメッセージを通知する。この通知は、例えば、電子メールによる通知であってもよい。なお、通知の送信先は、管理対象端末30ではなく、管理対象端末30のユーザが使用している他の端末であってもよい。
本実施形態によれば、対処の遅れも見込んで、将来におけるセキュリティリスクが残っている端末の数を予測することができる。
また、上記の実施形態では、図12に例示する画面で管理対象端末30が指定され、対処促進実行ボタン72がクリックされると、情報処理装置10は、その管理対象端末30のユーザにその管理対象端末30へ対処の適用を促すメッセージを通知する。その通知を受け取ったユーザは、より早く管理対象端末30に対処を適用すると考えられる。その結果、セキュリティリスクに対する対策の完了までの期間を短縮することができる。また、セキュリティリスクの大きさは、対処が適用されていない管理対象端末30の台数と、対処が適用されていない期間との積で表すことができる。従って、上記のように、対策の完了までの期間を短縮するということは、セキュリティリスクの大きさを減少させることができるということを意味する。
また、提示部160は、図12に例示する画面で、対処の遅れの重大性を示す値をスコアリングし、その値を、図12に例示する画面内で表示してもよい。端末の優先度が高いほど、その端末の重要度を示す値として大きな値を予め設定しておく。そして、対処の遅れの重大性を示す値を、端末の重要度を示す値と、滞留期間との積としても求めてもよい。そのような値をセキュリティ管理者に提示することによって、セキュリティ管理者は、対処の適用を促す通知の送り先となる管理対象端末30を判断しやすくなる。
図15は、本発明の実施形態に係るコンピュータの構成例を示す概略ブロック図である。コンピュータ1000は、CPU1001と、主記憶装置1002と、補助記憶装置1003と、インタフェース1004とを備える。
本発明の実施形態の情報処理装置10は、コンピュータ1000に実装される。情報処理装置10の動作はプログラムの形式で補助記憶装置1003に記憶されている。CPU1001は、プログラムを補助記憶装置1003から読み出して主記憶装置1002に展開し、そのプログラムに従って上記の処理を実行する。
補助記憶装置1003は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース1004を介して接続される磁気ディスク、光磁気ディスク、CD−ROM(Compact Disk Read Only Memory )、DVD−ROM(Digital Versatile Disk Read Only Memory )、半導体メモリなどが挙げられる。また、このプログラムが通信回線によってコンピュータ1000に配信される場合、配信を受けたコンピュータ1000がそのプログラムを主記憶装置1002に展開し、上記の処理を実行してもよい。
次に、本発明の概要について説明する。図16は、本発明の情報処理装置の概要を示すブロック図である。本発明の情報処理装置は、選択受付部81と、稼働情報特定部82と、稼働情報取得部83と、残存端末特定部84と、予測部85と、提示部86とを備える。
選択受付部81(例えば、選択受付部110)は、セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける。
稼働情報特定部82(例えば、稼働情報特定部120)は、セキュリティリスクに対して端末毎に適用可能な対処を示す端末別対処情報と、端末の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、端末に適用可能な対処に対応する稼働情報の種類を特定する。
稼働情報取得部83(例えば、情報取得部170)は、端末の稼働情報のうち稼働情報特定部82が特定した種類の稼働情報を取得する。
残存端末特定部84(例えば、残存端末特定部140)は、端末別対処情報に基づいて、選択受付部81が受け付けた対処を適用した場合に、セキュリティリスクが残る端末である残存端末を特定する。
予測部85(例えば、予測部150)は、稼働情報取得部83が取得した稼働情報に基づいて、未来時刻における残存端末の数を予測するとともに、過去に対処の適用が予定されていた予定日から実際に過去に対処が適用された日までの遅れの日数である対処滞留日数を見込んだ未来時刻における残存端末の数を予測する。
提示部86(例えば、提示部160)は、予測部85が予測した予測結果を提示する。
そのような構成により、対処の遅れも見込んで、将来におけるセキュリティリスクが残っている端末の数を予測することができる。
また、提示部86が、1日以上の対処滞留日数が発生した端末のリストを示す画面を提示する構成であってもよい。
また、提示部86が、1日以上の対処滞留日数が発生した端末のリストを示す画面であって、端末の指定するためのグラフィックユーザインタフェースと、指定された端末に対する対処の適用を当該端末のユーザに通知するためのユーザインタフェースとを含む画面を提示する構成であってもよい。
また、予測部85が、対処滞留日数を見込んだ未来時刻における残存端末の数を時系列的に予測し、提示部86が、対処滞留日数を見込んだ未来時刻における残存端末の数を時系列的にグラフ化したグラフを提示する構成であってもよい。
また、予測部85が、残存端末の数が所定数以下になる未来時刻まで、残存端末の数を時系列的に予測する構成であってもよい。
また、
端末を分類する分類情報を格納する分類情報格納部(例えば、分類情報格納部194)を備え、予測部85が、端末の分類毎に、未来時刻における残存端末の数と、対処滞留日数を見込んだ未来時刻における残存端末の数とを予測する構成であってもよい。
本発明は、セキュリティリスクの残る管理対象端末の台数の予測に好適に適用可能である。
10 情報処理装置
110 選択受付部
120 稼働情報特定部
140 残存端末特定部
150 予測部
160 提示部
170 情報取得部
180 リスク調査部
190 表示処理部
192 リスク情報格納部
194 分類情報格納部
196 定義情報格納部

Claims (8)

  1. セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける選択受付部と、
    前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する稼働情報特定部と、
    前記端末の稼働情報のうち前記稼働情報特定部が特定した種類の稼働情報を取得する稼働情報取得部と、
    前記端末別対処情報に基づいて、前記選択受付部が受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する残存端末特定部と、
    前記稼働情報取得部が取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測するとともに、過去に対処の適用が予定されていた予定日から実際に過去に対処が適用された日までの遅れの日数である対処滞留日数を見込んだ前記未来時刻における前記残存端末の数を予測する予測部と、
    前記予測部が予測した予測結果を提示する提示部とを備える
    ことを特徴とする情報処理装置。
  2. 前記提示部は、1日以上の対処滞留日数が発生した端末のリストを示す画面を提示する
    請求項1に記載の情報処理装置。
  3. 前記提示部は、1日以上の対処滞留日数が発生した端末のリストを示す画面であって、端末の指定するためのグラフィックユーザインタフェースと、指定された端末に対する対処の適用を当該端末のユーザに通知するためのユーザインタフェースとを含む画面を提示する
    請求項1または請求項2に記載の情報処理装置。
  4. 前記予測部は、
    前記対処滞留日数を見込んだ前記未来時刻における前記残存端末の数を時系列的に予測し、
    前記提示部は、
    前記対処滞留日数を見込んだ前記未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する
    請求項1から請求項3のうちのいずれか1項に記載の情報処理装置。
  5. 前記予測部は、
    前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する
    請求項4に記載の情報処理装置。
  6. 前記端末を分類する分類情報を格納する分類情報格納部を備え、
    前記予測部は、
    前記端末の分類毎に、前記未来時刻における前記残存端末の数と、前記対処滞留日数を見込んだ前記未来時刻における前記残存端末の数とを予測する
    請求項1から請求項5のうちのいずれか1項に記載の情報処理装置。
  7. セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付け、
    前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定し、
    前記端末の稼働情報のうち、特定した種類の稼働情報を取得し、
    前記端末別対処情報に基づいて、選択された対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定し、
    取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測するとともに、過去に対処の適用が予定されていた予定日から実際に過去に対処が適用された日までの遅れの日数である対処滞留日数を見込んだ前記未来時刻における前記残存端末の数を予測し、
    予測した予測結果を提示する
    ことを特徴とする情報処理方法。
  8. コンピュータに、
    セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける選択受付処理、
    前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する稼働情報特定処理、
    前記端末の稼働情報のうち前記稼働情報特定処理で特定した種類の稼働情報を取得する稼働情報取得処理、
    前記端末別対処情報に基づいて、前記選択受付処理で受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する残存端末特定処理、
    前記稼働情報取得処理で取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測するとともに、過去に対処の適用が予定されていた予定日から実際に過去に対処が適用された日までの遅れの日数である対処滞留日数を見込んだ前記未来時刻における前記残存端末の数を予測する予測処理、および、
    前記予測処理で予測した予測結果を提示する提示処理
    を実行させるためのプログラム。
JP2017060588A 2017-03-27 2017-03-27 情報処理装置、情報処理方法、プログラム Active JP6891583B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017060588A JP6891583B2 (ja) 2017-03-27 2017-03-27 情報処理装置、情報処理方法、プログラム
US15/915,262 US10764322B2 (en) 2017-03-27 2018-03-08 Information processing device, information processing method, and computer-readable recording medium
TW107107970A TW201843615A (zh) 2017-03-27 2018-03-09 資訊處理裝置、資訊處理方法及電腦可讀取記憶媒體
SG10201802193YA SG10201802193YA (en) 2017-03-27 2018-03-16 Information processing device, information processing method, and computer-readable recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017060588A JP6891583B2 (ja) 2017-03-27 2017-03-27 情報処理装置、情報処理方法、プログラム

Publications (2)

Publication Number Publication Date
JP2018163537A true JP2018163537A (ja) 2018-10-18
JP6891583B2 JP6891583B2 (ja) 2021-06-18

Family

ID=63583748

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017060588A Active JP6891583B2 (ja) 2017-03-27 2017-03-27 情報処理装置、情報処理方法、プログラム

Country Status (4)

Country Link
US (1) US10764322B2 (ja)
JP (1) JP6891583B2 (ja)
SG (1) SG10201802193YA (ja)
TW (1) TW201843615A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7401385B2 (ja) 2019-04-09 2023-12-19 ルネサス エレクトロニクス アメリカ インコーポレイテッド スイッチモード電源装置における入力フィルタコンデンサ制御回路および制御方法ならびにそれを用いた電源装置
WO2024029123A1 (ja) * 2022-08-03 2024-02-08 株式会社日立製作所 ソフトウェア情報管理装置、ソフトウェア情報管理方法
JP7435186B2 (ja) 2020-04-08 2024-02-21 沖電気工業株式会社 異常監視支援装置、プログラム及び方法

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073584B (zh) * 2019-08-27 2021-05-18 烟台中科网络技术研究所 一种App收集用户个人敏感信息的风险评估方法
US11394733B2 (en) 2019-11-12 2022-07-19 Bank Of America Corporation System for generation and implementation of resiliency controls for securing technology resources
US11290475B2 (en) * 2019-11-12 2022-03-29 Bank Of America Corporation System for technology resource centric rapid resiliency modeling
CN111401940B (zh) * 2020-03-05 2023-07-04 杭州网易再顾科技有限公司 特征预测方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007122408A (ja) * 2005-10-28 2007-05-17 Hitachi Ltd クライアントセキュリティ管理システム
JP2015138509A (ja) * 2014-01-24 2015-07-30 株式会社日立システムズ 脆弱性リスク診断システム及び脆弱性リスク診断方法
WO2017047341A1 (ja) * 2015-09-15 2017-03-23 日本電気株式会社 情報処理装置、情報処理方法、およびプログラム
JP2017182398A (ja) * 2016-03-30 2017-10-05 日本電気株式会社 情報処理装置、情報処理方法、プログラム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6205434B1 (en) * 1995-12-18 2001-03-20 The Evergreen Group Incorporated Computerized indenture plan allocation determination management and reporting system
US7536405B2 (en) * 2002-02-26 2009-05-19 Global Asset Protection Services, Llc Risk management information interface system and associated methods
JP2005190066A (ja) 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム
US7536723B1 (en) * 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access
US20070266434A1 (en) * 2006-05-11 2007-11-15 Reifer Consultants, Inc. Protecting Applications Software Against Unauthorized Access, Reverse Engineering or Tampering
US8316439B2 (en) * 2006-05-19 2012-11-20 Iyuko Services L.L.C. Anti-virus and firewall system
WO2008004498A1 (fr) 2006-07-06 2008-01-10 Nec Corporation Système, dispositif, procédé et programme de gestion des risques de sécurité
US7853689B2 (en) * 2007-06-15 2010-12-14 Broadcom Corporation Multi-stage deep packet inspection for lightweight devices
US8484729B2 (en) * 2007-09-20 2013-07-09 Nec Corporation Security operation management system, security operation management method, and security operation management program
JP4905395B2 (ja) * 2008-03-21 2012-03-28 富士通株式会社 通信監視装置、通信監視プログラム、および通信監視方法
US7903566B2 (en) * 2008-08-20 2011-03-08 The Boeing Company Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
US8578491B2 (en) * 2008-12-11 2013-11-05 Alcatel Lucent Network based malware detection and reporting
US20120151565A1 (en) * 2010-12-10 2012-06-14 Eric Fiterman System, apparatus and method for identifying and blocking anomalous or improper use of identity information on computer networks
JP5792654B2 (ja) 2012-02-15 2015-10-14 株式会社日立製作所 セキュリティ監視システムおよびセキュリティ監視方法
WO2015114791A1 (ja) 2014-01-31 2015-08-06 株式会社日立製作所 セキュリティ管理装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007122408A (ja) * 2005-10-28 2007-05-17 Hitachi Ltd クライアントセキュリティ管理システム
JP2015138509A (ja) * 2014-01-24 2015-07-30 株式会社日立システムズ 脆弱性リスク診断システム及び脆弱性リスク診断方法
WO2017047341A1 (ja) * 2015-09-15 2017-03-23 日本電気株式会社 情報処理装置、情報処理方法、およびプログラム
JP2017182398A (ja) * 2016-03-30 2017-10-05 日本電気株式会社 情報処理装置、情報処理方法、プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7401385B2 (ja) 2019-04-09 2023-12-19 ルネサス エレクトロニクス アメリカ インコーポレイテッド スイッチモード電源装置における入力フィルタコンデンサ制御回路および制御方法ならびにそれを用いた電源装置
JP7435186B2 (ja) 2020-04-08 2024-02-21 沖電気工業株式会社 異常監視支援装置、プログラム及び方法
WO2024029123A1 (ja) * 2022-08-03 2024-02-08 株式会社日立製作所 ソフトウェア情報管理装置、ソフトウェア情報管理方法

Also Published As

Publication number Publication date
TW201843615A (zh) 2018-12-16
JP6891583B2 (ja) 2021-06-18
SG10201802193YA (en) 2018-10-30
US20180278644A1 (en) 2018-09-27
US10764322B2 (en) 2020-09-01

Similar Documents

Publication Publication Date Title
JP6891583B2 (ja) 情報処理装置、情報処理方法、プログラム
EP3516574B1 (en) Enterprise graph method of threat detection
US10003547B2 (en) Monitoring computer process resource usage
US11756404B2 (en) Adaptive severity functions for alerts
US8832840B2 (en) Mobile application security and management service
CA2998749A1 (en) Systems and methods for security and risk assessment and testing of applications
US10686825B2 (en) Multiple presentation fidelity-level based quantitative cyber risk decision support system
JP2019519018A (ja) ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置
US20200012990A1 (en) Systems and methods of network-based intelligent cyber-security
US20160224400A1 (en) Automatic root cause analysis for distributed business transaction
CN111193609A (zh) 应用异常的反馈方法、装置及应用异常的监控系统
JP2007164465A (ja) クライアントセキュリティ管理システム
US11822671B2 (en) Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures
US9184994B2 (en) Downtime calculator
WO2012053041A1 (ja) セキュリティポリシーに基づくセキュリティ監視装置、セキュリティ監視方法及びセキュリティ監視プログラム
JP7226819B2 (ja) 情報処理装置、情報処理方法、プログラム
US20160224990A1 (en) Customer health tracking system based on machine data and human data
JP6746084B2 (ja) 情報処理装置、情報処理方法、プログラム
US10699019B2 (en) Information processing apparatus, security management system, security measure providing method, security information distribution method, and program
WO2022239161A1 (ja) 抽出方法、抽出装置及び抽出プログラム
WO2022239162A1 (ja) 決定方法、決定装置及び決定プログラム
WO2022239166A1 (ja) 抽出方法、抽出装置及び抽出プログラム
JP2023053914A (ja) 問題検出システム
CN118034749A (zh) 更新方法和电子设备

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20201117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210427

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210510

R150 Certificate of patent or registration of utility model

Ref document number: 6891583

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150