JP2020004006A - 脆弱性管理装置、脆弱性管理方法及びプログラム - Google Patents
脆弱性管理装置、脆弱性管理方法及びプログラム Download PDFInfo
- Publication number
- JP2020004006A JP2020004006A JP2018121905A JP2018121905A JP2020004006A JP 2020004006 A JP2020004006 A JP 2020004006A JP 2018121905 A JP2018121905 A JP 2018121905A JP 2018121905 A JP2018121905 A JP 2018121905A JP 2020004006 A JP2020004006 A JP 2020004006A
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- information
- software
- patch
- cpe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims description 121
- 238000000034 method Methods 0.000 claims abstract description 13
- 238000010606 normalization Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000003203 everyday effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
Abstract
Description
まず、本実施形態に係る脆弱性管理システム1の全体構成について、図1を参照しながら説明する。図1は、本実施形態に係る脆弱性管理システム1の全体構成の一例を示す図である。
次に、本実施形態に係る脆弱性管理システム1の機能構成について、図2を参照しながら説明する。図2は、本実施形態に係る脆弱性管理システム1の機能構成の一例を示す図である。
これらのCPE情報に含まれるCPE名は、NISTによって管理されているNVDから取得することができる。そして、取得されたCPE名に対して、情報管理部104によりCPE番号が付与される。
以降では、機器搭載CPE情報を機器搭載CPE情報記憶部114に保存する処理について、図9を参照しながら説明する。図9は、機器搭載CPE情報の保存処理の一例を示すフローチャートである。
以降では、機器20に搭載されたソフトウェアの脆弱性とそのリスクとを示す脆弱性管理情報を作成し、脆弱性管理情報記憶部116に保存する処理について、図10を参照しながら説明する。図10は、脆弱性管理情報の保存処理の一例を示すフローチャートである。なお、図10のステップS201〜ステップS206の処理は、機器20の機器ID毎に繰り返し実行される。以降では、或る1つの機器IDを固定した場合について説明する。
ここで、システム管理者等のユーザが利用する管理者端末30上に表示される脆弱性管理画面1000を図11に示す。図11は、脆弱性管理画面1000の一例を示す図である。図11に示す脆弱性管理画面1000は、管理者端末30からの表示要求に応じて、脆弱性管理装置10の情報管理部104が脆弱性管理情報を返信することで表示される。
10 脆弱性管理装置
20 機器
30 管理者端末
101 収集部
102 正規化部
103 機器搭載CPE情報作成部
104 情報管理部
105 脆弱性判定部
106 パッチ適用判定部
107 脆弱性管理情報作成部
111 CVE情報記憶部
112 CPE情報記憶部
113 脆弱性CPE情報記憶部
114 機器搭載CPE情報記憶部
115 対処済脆弱性情報記憶部
116 脆弱性管理情報記憶部
201 機器情報送信部
N ネットワーク
Claims (7)
- 機器に搭載されているソフトウェアの脆弱性を管理する脆弱性管理装置であって、
前記機器から収集した機器情報に基づいて、前記機器に搭載されているソフトウェアに脆弱性が存在するか否かを判定する第1の判定手段と、
前記第1の判定手段により前記ソフトウェアに前記脆弱性が存在すると判定された場合、前記脆弱性を解消するためのパッチが前記ソフトウェアに適用されているか否かを判定する第2の判定手段と、
前記第2の判定手段により前記パッチが前記ソフトウェアに適用されていないと判定された場合、前記ソフトウェアに存在する前記脆弱性を管理するための管理情報を作成する管理手段と、
を有することを特徴とする脆弱性管理装置。 - 前記機器情報には、前記機器に対応されているソフトウェアに適用されたパッチを示す情報が含まれ、
前記第2の判定手段は、
ソフトウェアに存在する脆弱性を示す情報と、該脆弱性を解消するためのパッチを示す情報とを関連付けた対処済脆弱性情報を記憶する第1の記憶部を参照して、前記機器情報に含まれるパッチを示す情報と、前記第1の判定手段により前記ソフトウェアに存在すると判定された前記脆弱性を示す情報とが含まれる対処済脆弱性情報が前記第1の記憶部に記憶されているか否かを判定することで、前記脆弱性を解消するためのパッチが前記ソフトウェアに適用されているか否かを判定する、
ことを特徴とする請求項1に記載の脆弱性管理装置。 - 前記パッチを配布するサーバを監視し、新たなパッチの配布が開始された場合、該新たなパッチを取得する取得手段と、
前記取得手段により取得された新たなパッチの適用によって解消される脆弱性を示す情報と、該新たなパッチを示す情報とが含まれる対処済脆弱性情報を作成し、作成した対処済脆弱性情報を前記第1の記憶部に記憶させる保存手段と、
を有することを特徴とする請求項2に記載の脆弱性管理装置。 - 前記機器情報に含まれるソフトウェア名をCPE名に正規化する正規化手段を有し、
前記第1の判定手段は、
CPE名と、該CPE名に対応するソフトウェアの脆弱性を識別するCVE番号とを関連付けた脆弱性CPE情報を記憶する第2の記憶部を参照して、前記正規化手段により正規化されたCPE名が含まれる脆弱性CPE情報が前記第2の記憶部に記憶されているか否かを判定することで、前記機器に搭載されているソフトウェアに脆弱性が存在するか否かを判定する、
ことを特徴とする請求項1乃至3の何れか一項に記載の脆弱性管理装置。 - 前記脆弱性管理装置とネットワークを介して接続される端末からの要求に応じて、前記管理手段により作成された管理情報に基づく画面を前記端末に表示させる表示手段を有する、ことを特徴とする請求項1乃至4の何れか一項に記載の脆弱性管理装置。
- 機器に搭載されているソフトウェアの脆弱性を管理する脆弱性管理装置が、
前記機器から収集した機器情報に基づいて、前記機器に搭載されているソフトウェアに脆弱性が存在するか否かを判定する第1の判定手順と、
前記第1の判定手順により前記ソフトウェアに前記脆弱性が存在すると判定された場合、前記脆弱性を解消するためのパッチが前記ソフトウェアに適用されているか否かを判定する第2の判定手順と、
前記第2の判定手順により前記パッチが前記ソフトウェアに適用されていないと判定された場合、前記ソフトウェアに存在する前記脆弱性を管理するための管理情報を作成する管理手順と、
を実行することを特徴とする脆弱性管理方法。 - コンピュータを、請求項1乃至5の何れか一項に記載の脆弱性管理装置における各手段として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018121905A JP7123659B2 (ja) | 2018-06-27 | 2018-06-27 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018121905A JP7123659B2 (ja) | 2018-06-27 | 2018-06-27 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020004006A true JP2020004006A (ja) | 2020-01-09 |
JP7123659B2 JP7123659B2 (ja) | 2022-08-23 |
Family
ID=69100198
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018121905A Active JP7123659B2 (ja) | 2018-06-27 | 2018-06-27 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7123659B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220046843A (ko) * | 2020-10-08 | 2022-04-15 | 주식회사 엑스게이트 | 취약점 탐지 방법 및 취약점 탐지 시스템 |
JP7470856B1 (ja) | 2023-11-02 | 2024-04-18 | 株式会社アシュアード | 情報処理装置及び情報処理方法 |
JP7491424B2 (ja) | 2022-03-10 | 2024-05-28 | 株式会社デンソー | ソフトウェアパッケージ構成情報の保護 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
JP2008146163A (ja) * | 2006-12-06 | 2008-06-26 | Hitachi Ltd | パッチ再構成方法 |
JP2011014094A (ja) * | 2009-07-06 | 2011-01-20 | Toshiba Corp | ソフトウェア更新情報管理装置及びプログラム |
US20150193624A1 (en) * | 2012-09-28 | 2015-07-09 | Tencent Technology (Shenzhen) Company Limited | Security protection system and method |
JP2015138509A (ja) * | 2014-01-24 | 2015-07-30 | 株式会社日立システムズ | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
JP2015219665A (ja) * | 2014-05-15 | 2015-12-07 | ゲヒルン株式会社 | 脆弱性可視化サーバ、脆弱性可視化方法、脆弱性可視化サーバ用プログラム |
-
2018
- 2018-06-27 JP JP2018121905A patent/JP7123659B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
JP2008146163A (ja) * | 2006-12-06 | 2008-06-26 | Hitachi Ltd | パッチ再構成方法 |
JP2011014094A (ja) * | 2009-07-06 | 2011-01-20 | Toshiba Corp | ソフトウェア更新情報管理装置及びプログラム |
US20150193624A1 (en) * | 2012-09-28 | 2015-07-09 | Tencent Technology (Shenzhen) Company Limited | Security protection system and method |
JP2015138509A (ja) * | 2014-01-24 | 2015-07-30 | 株式会社日立システムズ | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
JP2015219665A (ja) * | 2014-05-15 | 2015-12-07 | ゲヒルン株式会社 | 脆弱性可視化サーバ、脆弱性可視化方法、脆弱性可視化サーバ用プログラム |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220046843A (ko) * | 2020-10-08 | 2022-04-15 | 주식회사 엑스게이트 | 취약점 탐지 방법 및 취약점 탐지 시스템 |
KR102439928B1 (ko) * | 2020-10-08 | 2022-09-05 | 주식회사 엑스게이트 | 취약점 탐지 방법 및 취약점 탐지 시스템 |
JP7491424B2 (ja) | 2022-03-10 | 2024-05-28 | 株式会社デンソー | ソフトウェアパッケージ構成情報の保護 |
JP7470856B1 (ja) | 2023-11-02 | 2024-04-18 | 株式会社アシュアード | 情報処理装置及び情報処理方法 |
Also Published As
Publication number | Publication date |
---|---|
JP7123659B2 (ja) | 2022-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
US10091220B2 (en) | Platform for protecting small and medium enterprises from cyber security threats | |
US7788723B2 (en) | Method and apparatus for identifying computer vulnerabilities using exploit probes and remote scanning | |
Balduzzi et al. | A security analysis of amazon's elastic compute cloud service | |
AU2020202713A1 (en) | Network security system with remediation based on value of attacked assets | |
US8527978B1 (en) | System, method, and computer program product for populating a list of known wanted data | |
US8612398B2 (en) | Clean store for operating system and software recovery | |
US8627475B2 (en) | Early detection of potential malware | |
US11165808B2 (en) | Automated vulnerability assessment with policy-based mitigation | |
US8869272B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
US10250623B1 (en) | Generating analytical data from detection events of malicious objects | |
US20120102568A1 (en) | System and method for malware alerting based on analysis of historical network and process activity | |
US11621974B2 (en) | Managing supersedence of solutions for security issues among assets of an enterprise network | |
US20160188882A1 (en) | Software nomenclature system for security vulnerability management | |
US20070006311A1 (en) | System and method for managing pestware | |
US20160041866A1 (en) | Processing run-time error messages and implementing security policies in web hosting | |
JP7123659B2 (ja) | 脆弱性管理装置、脆弱性管理方法及びプログラム | |
Mell et al. | Creating a patch and vulnerability management program | |
US10262136B1 (en) | Cloud-based malware detection | |
US20240022590A1 (en) | Vulnerability scanning of a remote file system | |
JP2009217637A (ja) | セキュリティ状況表示装置、セキュリティ状況表示方法、およびコンピュータプログラム | |
US20060161979A1 (en) | Scriptable emergency threat communication and mitigating actions | |
JP2019079258A (ja) | 管理装置、管理方法及びプログラム | |
JP2007065810A (ja) | セキュリティ検査システム | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201127 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210915 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211102 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20211221 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220301 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220712 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220810 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7123659 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |