JP2020004006A - 脆弱性管理装置、脆弱性管理方法及びプログラム - Google Patents
脆弱性管理装置、脆弱性管理方法及びプログラム Download PDFInfo
- Publication number
- JP2020004006A JP2020004006A JP2018121905A JP2018121905A JP2020004006A JP 2020004006 A JP2020004006 A JP 2020004006A JP 2018121905 A JP2018121905 A JP 2018121905A JP 2018121905 A JP2018121905 A JP 2018121905A JP 2020004006 A JP2020004006 A JP 2020004006A
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- information
- software
- patch
- cpe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000007726 management method Methods 0.000 title claims description 121
- 238000000034 method Methods 0.000 claims abstract description 13
- 238000010606 normalization Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000003203 everyday effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
Abstract
【課題】パッチ適用を考慮した脆弱性管理を行う脆弱性管理装置、方法及びプログラムを提供する。【解決手段】機器20に搭載されているソフトウェアの脆弱性を管理する脆弱性管理装置10であって、機器から収集した機器情報に基づいて、機器に搭載されているソフトウェアに脆弱性が存在するか否かを判定する脆弱性判定部と、脆弱性判定部によりソフトウェアに脆弱性が存在すると判定された場合、脆弱性を解消するためのパッチがソフトウェアに適用されているか否かを判定する判定と、パッチ適用判定部によりパッチがソフトウェアに適用されていないと判定された場合、ソフトウェアに存在する脆弱性を管理するための管理情報を作成する脆弱性管理情報作成部と、を有する。【選択図】図2
Description
本発明は、脆弱性管理装置、脆弱性管理方法及びプログラムに関する。
近年、サイバー攻撃が高度化・多様化し続けており、企業活動を守るためにも継続的なセキュリティ対策を施すことが求められている。しかしながら、一般に、ITシステム等の機器が利用するOS(Operating System)やアプリケーション等では、その脆弱性が日々発見されており、脆弱性情報の収集や脆弱性に対する対応を継続的に行うことは、企業のシステム管理者等にとって大きな負担となっている。
これに対して、ITシステム等の機器が有する脆弱性を自動で検出して、システム管理者等のユーザに脆弱性情報を通知する技術が知られている(例えば、特許文献1参照)。このような脆弱性の検出は、例えば、個別製品(OSやアプリケーション等)中の脆弱性を識別するCVE(Common Vulnerabilities and Exposures)と呼ばれる識別子を用いて、CVEが付与されている個別製品を機器が利用しているか否かを判定することにより行われる場合が多い。
ところで、OSやアプリケーション等の個別製品に脆弱性が発見された場合、この個別製品のベンダ(ソフトウェアベンダ)等によって、当該脆弱性を解消するためのパッチが配布されることが多い。しかしながら、従来技術では、CVEが付与されている個別製品を機器が利用しているか否かを判定するため、パッチが適用された後も脆弱性が検出される場合があった。このため、例えばシステム管理者等のユーザは、パッチの適用により脆弱性が解消しているにも関わらず、脆弱性が検出されたことを示す通知等を受け取ることがあった。
本発明の実施の形態は、上記の点に鑑みてなされたもので、パッチ適用を考慮した脆弱性管理を行うことを目的とする。
上記目的を達成するため、本発明の実施の形態は、機器に搭載されているソフトウェアの脆弱性を管理する脆弱性管理装置であって、前記機器から収集した機器情報に基づいて、前記機器に搭載されているソフトウェアに脆弱性が存在するか否かを判定する第1の判定手段と、前記第1の判定手段により前記ソフトウェアに前記脆弱性が存在すると判定された場合、前記脆弱性を解消するためのパッチが前記ソフトウェアに適用されているか否かを判定する第2の判定手段と、前記第2の判定手段により前記パッチが前記ソフトウェアに適用されていないと判定された場合、前記ソフトウェアに存在する前記脆弱性を管理するための管理情報を作成する管理手段と、を有することを特徴とする。
本発明の実施の形態によれば、パッチ適用を考慮した脆弱性管理を行うことができる。
以下、本発明の実施の形態(以降、「本実施形態」と表す。)について説明する。以降では、パッチの適用を考慮した脆弱性管理を行う脆弱性管理システム1について説明する。
<全体構成>
まず、本実施形態に係る脆弱性管理システム1の全体構成について、図1を参照しながら説明する。図1は、本実施形態に係る脆弱性管理システム1の全体構成の一例を示す図である。
まず、本実施形態に係る脆弱性管理システム1の全体構成について、図1を参照しながら説明する。図1は、本実施形態に係る脆弱性管理システム1の全体構成の一例を示す図である。
図1に示すように本実施形態に係る脆弱性管理システム1には、脆弱性管理装置10と、1以上の機器20と、1以上の管理者端末30とが含まれる。また、脆弱性管理装置10と、機器20と、管理者端末30とは、例えば、インターネット等のネットワークNを介して通信可能に接続される。
脆弱性管理装置10は、機器20の脆弱性を管理するコンピュータ又はコンピュータシステムである。脆弱性管理装置10は、機器20から収集した情報(機器情報)を用いて、当該機器20に搭載されているソフトウェア(すなわち、OSやミドルウェア、アプリケーション等の種々のソフトウェア)に脆弱性があるか否かを判定する。このとき、脆弱性管理装置10は、機器20に搭載されているソフトウェアに対するパッチも考慮して脆弱性があるか否かを判定する。なお、パッチとは、ソフトウェアに内在するバグ等を原因とした脆弱性を解消するためのデータのことである。パッチは、「修正プログラム」や「更新プログラム」、「アップデート(又はアップデートプログラム)」、「セキュリティパッチ」等とも称される。
機器20は、脆弱性が管理される任意の電子機器又は装置である。機器20としては、例えば、PC(パーソナルコンピュータ)、サーバ装置、スマートフォン、タブレット端末、プリンタ、ルータ等が挙げられる。なお、機器20は、これらに限られず、何等かのソフトウェアが搭載されるものであれば任意の電子機器又は装置としても良い。
管理者端末30は、例えば、機器20を管理するシステム管理者等が利用するPC等である。システム管理者等のユーザは、管理者端末30を用いて、脆弱性管理装置10にアクセスすることで、脆弱性が存在する機器20の一覧や機器20に存在する脆弱性の一覧等を確認することができる。これにより、システム管理者等のユーザは、脆弱性に対する種々の対処(例えば、パッチを適用する、WAF(Web Application Firewall)を設置する等)の検討や実施を行うことができるようになる。
なお、図1に示す脆弱性管理システム1の構成は一例であって、他の構成であっても良い。例えば、図1に示す脆弱性管理システム1では、脆弱性管理装置10が機器20や管理者端末30等とネットワークNを介して接続される場合を示したが、これに限られず、例えば、脆弱性管理装置10が機器20や管理者端末30等と同一ネットワーク内に設置されていても良い。すなわち、脆弱性管理装置10は、オンプレミスとして設置されていても良い。
<機能構成>
次に、本実施形態に係る脆弱性管理システム1の機能構成について、図2を参照しながら説明する。図2は、本実施形態に係る脆弱性管理システム1の機能構成の一例を示す図である。
次に、本実施形態に係る脆弱性管理システム1の機能構成について、図2を参照しながら説明する。図2は、本実施形態に係る脆弱性管理システム1の機能構成の一例を示す図である。
図2に示すように、本実施形態に係る機器20は、機器情報送信部201を有する。機器情報送信部201は、機器20にインストールされた1以上のプログラムがCPU(Central Processing Unit)等に実行させる処理により実行される。
機器情報送信部201は、所定の時間毎(例えば、1日毎や数日毎、数週間毎等)に、機器情報を脆弱性管理装置10に送信する。機器情報とは、機器20に搭載されているソフトウェアやパッチ等に関する情報である。機器情報には、例えば、機器20を識別する機器ID、ソフトウェア名やバージョン、ソフトウェアに適用されたパッチを識別するパッチ番号等が含まれる。機器情報には、これら以下にも、例えば、機器20の名称やソフトウェアのインストール日、パッチの適用日等の種々の情報が含まれていても良い。
図2に示すように、本実施形態に係る脆弱性管理装置10は、収集部101と、正規化部102と、機器搭載CPE情報作成部103と、情報管理部104と、脆弱性判定部105と、パッチ適用判定部106と、脆弱性管理情報作成部107とを有する。これら各機能部は、脆弱性管理装置10にインストールされた1以上のプログラムがCPUに実行させる処理により実現される。
また、本実施形態に係る脆弱性管理装置10は、CVE情報記憶部111と、CPE情報記憶部112と、脆弱性CPE情報記憶部113と、機器搭載CPE情報記憶部114と、対処済脆弱性情報記憶部115と、脆弱性管理情報記憶部116とを有する。これら各記憶部は、例えば、HDD(Hard Disk Drive)やSSD(Solid State Drive)等の補助記憶装置を用いて実現可能である。なお、これら各記憶部のうちの少なくとも1つが、脆弱性管理装置10とネットワークNを介して接続される記憶装置等を用いて実現されていても良い。
収集部101は、機器20から送信された機器情報を収集する。正規化部102は、収集部101が収集した機器情報に含まれるソフトウェア名(製品名)を、CPE(Common Platform Enumeration)名に正規化する。これは、同一のソフトウェアであっても機器20によって異なるソフトウェア名が用いられている場合(例えば、「ABCアプリケーション」と「abcアプリケーション」等)があるためである。
機器搭載CPE情報作成部103は、正規化部102が正規化したCPE名を識別するCPE番号と、機器情報に含まれる機器ID及びパッチ番号とから機器搭載CPE情報を作成する。機器搭載CPE情報とは、機器20に搭載されているソフトウェアのCPE名と、当該ソフトウェアに対して適用されたパッチのパッチ番号とが含まれる情報である。機器搭載CPE情報により、機器20に搭載されているソフトウェアと、当該ソフトウェアに対して適用されたパッチとを管理することができる。
情報管理部104は、各記憶部に記憶されている情報を管理する。すなわち、情報管理部104は、各記憶部から情報を取得したり、各記憶部へ情報を格納したりする。
脆弱性判定部105は、機器20毎に、当該機器20に搭載されているソフトウェアに脆弱性が存在するか否かを判定する。
パッチ適用判定部106は、脆弱性判定部105により脆弱性が存在すると判定された場合、当該脆弱性がパッチの適用によって解消されているか否かを判定する。
脆弱性管理情報作成部107は、パッチ適用判定部106により脆弱性が解消されていないと判定された場合、脆弱性管理情報を作成する。脆弱性管理情報とは、機器20が有する脆弱性を示すCVE番号と、そのリスクとが含まれる情報である。CVE番号とは、CVEを識別する識別情報であり、「CVE識別番号」又は「CVE−NO」とも称される。脆弱性管理情報により、脆弱性を有し、かつ、この脆弱性を解消するためのパッチが適用されていないソフトウェアが搭載されている機器20を管理することができる。
CVE情報記憶部111は、CVE情報を記憶する。ここで、CVE情報記憶部111に記憶されているCVE情報について、図3を参照しながら説明する。図3は、CVE情報の一例を示す図である。
図3に示すように、CVE情報記憶部111に記憶されている各CVE情報には、CVE番号と、CVE番号と、脆弱性の概要と、参考とが含まれる。CVE番号は、上述した通り、CVEを識別する識別情報である。脆弱性の概要は、CVEにより識別される脆弱性の概要である。参考は、この脆弱性に関して参考となるURL(Uniform Resource Locator)等である。
これらのCVE情報は、例えば、NIST(National Institute of Standards and Technology)によって管理されているNVD(National Vulnerability Database)から取得することができる。また、JPCERT/CC及びIPA(Information-technology Promotion Agency, Japan)によって管理されているJVN(Japan Vulnerability Notes)から取得した脆弱性情報をCVE情報に変換しても良い。
CPE情報記憶部112は、CPE情報を記憶する。ここで、CPE情報記憶部112に記憶されているCPE情報について、図4を参照しながら説明する。図4は、CPE情報の一例を示す図である。
図4に示すように、CPE情報記憶部112に記憶されている各CPE情報には、CPE番号と、CPE名とが含まれる。CPE番号は、上述した通り、CPE名を識別する識別情報である。CPE名は、ハードウェアやオペレーティングシステム、アプリケーション等を識別するため名称である。CPE名は、以下の形式で記載される。
cpe:/{種別}:{ベンダ名}:{製品名}:{バージョン}:{アップデート}:{エディション}:{言語}
これらのCPE情報に含まれるCPE名は、NISTによって管理されているNVDから取得することができる。そして、取得されたCPE名に対して、情報管理部104によりCPE番号が付与される。
これらのCPE情報に含まれるCPE名は、NISTによって管理されているNVDから取得することができる。そして、取得されたCPE名に対して、情報管理部104によりCPE番号が付与される。
脆弱性CPE情報記憶部113は、脆弱性CPE情報を記憶する。脆弱性CPE情報記憶部113に記憶されている脆弱性CPE情報について、図5を参照しながら説明する。図5は、脆弱性CPE情報の一例を示す図である。
図5に示すように、脆弱性CPE情報記憶部113に記憶されている各脆弱性CPE情報には、CVE番号と、CPE番号リストとが含まれる。CVE番号は、上述した通り、CVEを識別する識別情報である。CPE番号リストは、当該CVE番号のCVEにより識別される脆弱性を有するソフトウェアに対応するCPE番号(すなわち、当該ソフトウェアのCPE名のCPE番号)が含まれるリストである。
例えば、図5に示す例では、CVE番号「CVE−2007−xxxx」に対してCPE番号リスト「CPE001,CPE005,・・・」が対応付けられている。これは、CPE番号「CPE001」のCPE名(のソフトウェア)は、CVE番号「CVE−2007−xxxx」により識別される脆弱性を有することを示している。同様に、CPE番号「CPE005」のCPE名(のソフトウェア)は、CVE番号「CVE−2007−xxxx」により識別される脆弱性を有することを示している。
このように、脆弱性CPE情報には、CVE番号によって識別される脆弱性を有するソフトウェアに対応するCPE番号のリストが含まれている。これにより、機器20に搭載されているソフトウェアが脆弱性を有するか否かが判定される。
機器搭載CPE情報記憶部114は、機器搭載CPE情報を記憶する。機器搭載CPE情報記憶部114に記憶されている機器搭載CPE情報について、図6を参照しながら説明する。図6は、機器搭載CPE情報の一例を示す図である。
図6に示すように、機器搭載CPE情報記憶部114に記憶されている各機器搭載CPE情報には、機器IDと、CPE番号リストと、パッチ番号リストとが含まれる。機器IDは、上述した通り、機器20を識別する識別情報である。CPE番号リストは、当該機器20に搭載されているソフトウェアに対応するCPE番号のリストである。パッチ番号リストは、当該機器20に搭載されているソフトウェアに適用されているパッチのパッチ番号のリストである。
対処済脆弱性情報記憶部115は、対処済脆弱性情報を記憶する。対処済脆弱性情報記憶部115に記憶されている対処済脆弱性情報について、図7を参照しながら説明する。図7は、対処済脆弱性情報の一例を示す図である。
図7に示すように、対処済脆弱性情報記憶部115に記憶されている各対処済脆弱性情報には、パッチ番号と、CVE番号リストとが含まれる。パッチ番号は、上述した通り、パッチを識別する識別情報である。CVE番号リストは、当該パッチによって脆弱性が解消されるCVEを識別するCVE番号である。すなわち、CVE番号リストに含まれるCVE番号は、ソフトウェアベンダ等によって既に対処された脆弱性に対応するCVEのCVE番号である。
例えば、図7に示す例では、パッチ番号「KBxxxxxxx」に対してCVE番号リスト「CVE−2007−xxxx,CVE−2008−xxxx,・・・」が対応付けられている。これは、パッチ番号「KBxxxxxxx」により識別されるパッチを適用することによって、CVE番号「CVE−2007−xxxx」により識別されるCVEの脆弱性が解消されることを示している。同様に、パッチ番号「KBxxxxxxx」により識別されるパッチを適用することによって、CVE番号「CVE−2008−xxxx」により識別されるCVEの脆弱性が解消されることを示している。
このように、対処済脆弱性情報には、既に配布されたパッチによって解消可能な脆弱性のCVE番号のリストが含まれる。これにより、機器20に搭載されているソフトウェアが脆弱性を有する場合であっても、この脆弱性がパッチの適用によって解消されているか否かが判定される。
ここで、対処済脆弱性情報は、例えば、情報管理部104により、ソフトウェアベンダが配布しているパッチを情報管理部104によって取得した上で、当該パッチのパッチ番号と、このパッチによって解消される脆弱性に対応するCVE番号と対応付けることで作成される。このとき、ソフトウェアベンダが配布しているパッチの取得は、例えば、当該パッチの配布サイト等の監視することで、新しいパッチが配布されたタイミングで自動的に取得しても良いし、新しいパッチが配布されたか否かを人手によって確認した上で、新しいパッチの取得を手動で開始しても良い。
また、ソフトウェアベンダ等によって配布されたパッチによって解消される脆弱性の特定についても、情報管理部104が当該パッチを取得する際に特定しても良いし、どの脆弱性が解消されるのかを人手によって確認しても良い。
脆弱性管理情報記憶部116は、脆弱性管理情報を記憶する。脆弱性管理情報記憶部116に記憶されている脆弱性管理情報について、図8を参照しながら説明する。図8は、脆弱性管理情報の一例を示す図である。
図8に示すように、脆弱性管理情報記憶部116に記憶されている脆弱性管理情報には、機器IDと、CVE番号と、リスクとが含まれる。機器IDは、上述した通り、機器20を識別する識別情報である。CVE番号は、当該機器20に搭載されたソフトウェアが有する脆弱性を識別するCVEのCVE番号である。リスクは、当該脆弱性のリスクである。脆弱性管理情報により、機器20に搭載されているソフトウェアが有する脆弱性と、この脆弱性のリスクとが管理される。なお、リスクは、例えば、CVSS(Common Vulnerability Scoring System)と呼ばれる評価手法によって評価される。
<機器搭載CPE情報の保存処理>
以降では、機器搭載CPE情報を機器搭載CPE情報記憶部114に保存する処理について、図9を参照しながら説明する。図9は、機器搭載CPE情報の保存処理の一例を示すフローチャートである。
以降では、機器搭載CPE情報を機器搭載CPE情報記憶部114に保存する処理について、図9を参照しながら説明する。図9は、機器搭載CPE情報の保存処理の一例を示すフローチャートである。
脆弱性管理装置10の収集部101は、機器20から送信された機器情報を収集(受信)する(ステップS101)。機器情報には、例えば、機器20を識別する機器ID、ソフトウェア名(製品名)やバージョン、ソフトウェアに適用されたパッチを識別するパッチ番号等が含まれる。なお、機器20は、所定の時間毎(例えば、1日毎や数日毎、数週間毎等)に、機器情報を脆弱性管理装置10に送信する。
次に、脆弱性管理装置10の正規化部102は、収集部101が受信した機器情報に含まれるソフトウェア名を、CPE名に正規化する(ステップS102)。なお、CPE名への正規化は、例えば、ソフトウェア名とCPE名とが対応付けられた辞書データを参照して行われる。このような辞書データは、例えば、予め取得しておき、補助記憶装置等に保存しておけば良い。又は、正規化部102は、ネットワークNを介して、辞書データが格納されているDBサーバ等を参照しても良い。
次に、脆弱性管理装置10の機器搭載CPE情報作成部103は、正規化部102が正規化した各CPE名をそれぞれ識別するCPE番号をCPE番号リストとして、機器情報に含まれる機器IDと、当該CPE番号リスト、当該機器情報に含まれるパッチ番号のリスト(パッチ番号リスト)とを対応付けた機器搭載CPE情報を作成する(ステップS103)。
そして、脆弱性管理装置10の情報管理部104は、上記のステップS103で作成された機器搭載CPE情報を機器搭載CPE情報記憶部114に保存する(ステップS104)。これにより、機器搭載CPE情報が機器搭載CPE情報記憶部114に保存される。なお、上記のステップS103で作成された機器搭載CPE情報と機器IDが同一の機器搭載CPE情報が機器搭載CPE情報記憶部114に既に存在する場合、情報管理部104は、上記のステップS103で作成された機器搭載CPE情報で、機器搭載CPE情報記憶部114に既に記憶されている機器搭載CPE情報を上書き更新する。
以上のように、本実施形態に係る脆弱性管理装置10は、所定の時間毎に、機器20に搭載されているソフトウェアのCPE番号と、当該ソフトウェアに対して適用されているパッチのパッチ番号とを機器搭載CPE情報として収集する。
<脆弱性管理情報の保存処理>
以降では、機器20に搭載されたソフトウェアの脆弱性とそのリスクとを示す脆弱性管理情報を作成し、脆弱性管理情報記憶部116に保存する処理について、図10を参照しながら説明する。図10は、脆弱性管理情報の保存処理の一例を示すフローチャートである。なお、図10のステップS201〜ステップS206の処理は、機器20の機器ID毎に繰り返し実行される。以降では、或る1つの機器IDを固定した場合について説明する。
以降では、機器20に搭載されたソフトウェアの脆弱性とそのリスクとを示す脆弱性管理情報を作成し、脆弱性管理情報記憶部116に保存する処理について、図10を参照しながら説明する。図10は、脆弱性管理情報の保存処理の一例を示すフローチャートである。なお、図10のステップS201〜ステップS206の処理は、機器20の機器ID毎に繰り返し実行される。以降では、或る1つの機器IDを固定した場合について説明する。
まず、脆弱性管理装置10の情報管理部104は、当該機器IDが含まれる機器搭載CPE情報を機器搭載CPE情報記憶部114から取得する(ステップS201)。
次に、脆弱性管理装置10の情報管理部104は、上記のステップS201で取得した機器搭載CPE情報のCPE番号リストからCPE番号を1つ取得する(ステップS202)。
次に、脆弱性管理装置10の脆弱性判定部105は、脆弱性CPE情報記憶部113を参照して、上記のステップS202で取得されたCPE番号が、脆弱性があるCPE名のCPE番号であるか否かを判定する(ステップS203)。すなわち、脆弱性判定部105は、上記のステップS202で取得されたCPE番号が含まれる脆弱性CPE情報が脆弱性CPE情報記憶部113に記憶されているか否かを判定する。このとき、上記のステップS201で取得されたCPE番号が含まれる脆弱性CPE情報が脆弱性CPE情報記憶部113に記憶されている場合、脆弱性判定部105は、脆弱性があるCPE名のCPE番号であると判定する。一方で、上記のステップS201で取得されたCPE番号が含まれる脆弱性CPE情報が脆弱性CPE情報記憶部113に記憶されていない場合、脆弱性判定部105は、脆弱性があるCPE名のCPE番号ではないと判定する。
ステップS203で脆弱性があるCPE名のCPE番号であると判定された場合、脆弱性管理装置10のパッチ適用判定部106は、当該脆弱性がパッチ適用によって解消済であるか否かを判定する(ステップS204)。
すなわち、パッチ適用判定部106は、以下の(1)〜(4)により当該脆弱性がパッチ適用によって解消済であるかを判定すれば良い。
(1)まず、パッチ適用判定部106は、当該CPE番号のCPE名が有する脆弱性のCVE番号を特定する。これは、脆弱性CPE情報記憶部113を参照して、当該CPE番号が含まれる脆弱性CPE情報のCVE番号とすれば良い。
(2)次に、パッチ適用判定部106は、当該CVE番号のCVEにより識別される脆弱性を解消するパッチがあるか否かを判定する。これは、対処済脆弱性情報記憶部115を参照して、当該CVE番号が含まれる対処済脆弱性情報が存在するか否かを判定すれば良い。なお、当該脆弱性を解消するパッチが存在しない場合は、当該脆弱性を解消するパッチがソフトウェアベンダ等によって未だ配布されていない場合等である。この場合は、パッチ適用判定部106は、当該脆弱性がパッチ適用によって解消済でないと判定すれば良い。
(3)次に、当該脆弱性を解消するパッチがあると判定した場合、パッチ適用判定部106は、当該パッチが、当該機器IDの機器20に搭載されたソフトウェアに適用されているか否かを判定する。これは、上記のステップS201で取得された機器搭載CPE情報のパッチ番号リストに、当該パッチのパッチ番号が含まれているか否かを判定すれば良い。
(4)そして、パッチ適用判定部106は、上記のステップS201で取得された機器搭載CPE情報のパッチ番号リストに、当該パッチのパッチ番号が含まれている場合、当該脆弱性がパッチ適用によって解消済であると判定する。一方で、パッチ適用判定部106は、当該パッチ番号リストに、当該パッチのパッチ番号が含まれていない場合、当該脆弱性がパッチ適用によって解消済でないと判定する。
ステップS204で当該脆弱性がパッチ適用によって解消済でないと判定された場合、脆弱性管理装置10の脆弱性管理情報作成部107は、脆弱性管理情報を作成する(ステップS205)。すなわち、脆弱性管理情報作成部107は、当該機器IDと、上記のステップS202で取得されたCPE番号のCPE名が有する脆弱性を示すCVE番号と、そのリスクとを対応付けた脆弱性管理情報を作成する。
そして、脆弱性管理装置10の情報管理部104は、上記のステップS205で作成された脆弱性管理情報を脆弱性管理情報記憶部116に保存する(ステップS206)。
ステップS203で脆弱性があるCPE名のCPE番号であると判定されなかった場合、ステップS204で当該脆弱性がパッチ適用によって解消済であると判定された場合、又はステップS206に続いて、脆弱性管理装置10の情報管理部104は、上記のステップS201で取得した機器搭載CPE情報のCPE番号リストに未取得のCPE番号があるか否かを判定する(ステップS207)。
そして、当該CPE番号リストに未取得のCPE番号があると判定された場合、脆弱性管理装置10は、ステップS202の処理に戻る。これにより、当該CPE番号リストに含まれる全てのCPE番号に対して上記のステップS203以降の処理が実行される。一方で、当該CPE番号リストに未取得のCPE番号があると判定されなかった場合、脆弱性管理装置10は、処理を終了する。
以上のように、本実施形態に係る脆弱性管理装置10では、CVE番号及びCPE名を用いて、機器20に搭載されたソフトウェアに脆弱性があると判定される場合であっても、当該脆弱性がパッチの適用によって解消されている場合には、脆弱性があるとは判定されない。これにより、パッチの適用によって既に脆弱性が解消されているにも関わらず、脆弱性があると判定されてしまう事態を防止することができ、システム管理者等は、機器20の脆弱性をより正確に管理することができるようになる。
<脆弱性管理画面>
ここで、システム管理者等のユーザが利用する管理者端末30上に表示される脆弱性管理画面1000を図11に示す。図11は、脆弱性管理画面1000の一例を示す図である。図11に示す脆弱性管理画面1000は、管理者端末30からの表示要求に応じて、脆弱性管理装置10の情報管理部104が脆弱性管理情報を返信することで表示される。
ここで、システム管理者等のユーザが利用する管理者端末30上に表示される脆弱性管理画面1000を図11に示す。図11は、脆弱性管理画面1000の一例を示す図である。図11に示す脆弱性管理画面1000は、管理者端末30からの表示要求に応じて、脆弱性管理装置10の情報管理部104が脆弱性管理情報を返信することで表示される。
図11に示す脆弱性管理画面1000には、リスク毎に脆弱性がある機器20の台数が表示されるリスク保有機器件数表示欄1100と、リスク毎に機器20が有する脆弱性の件数が表示されるリスク保有脆弱性数表示欄1200とが含まれる。
システム管理者等のユーザは、リスク保有機器件数表示欄1100やリスク保有脆弱性数表示欄1200を確認することで、脆弱性を有する機器20の台数や脆弱性の件数等を知ることができる。このため、システム管理者等のユーザは、これらの台数や件数、そのリスクの高さ等に応じて、種々の対処の検討や実施を行うことができるようになる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
1 脆弱性管理システム
10 脆弱性管理装置
20 機器
30 管理者端末
101 収集部
102 正規化部
103 機器搭載CPE情報作成部
104 情報管理部
105 脆弱性判定部
106 パッチ適用判定部
107 脆弱性管理情報作成部
111 CVE情報記憶部
112 CPE情報記憶部
113 脆弱性CPE情報記憶部
114 機器搭載CPE情報記憶部
115 対処済脆弱性情報記憶部
116 脆弱性管理情報記憶部
201 機器情報送信部
N ネットワーク
10 脆弱性管理装置
20 機器
30 管理者端末
101 収集部
102 正規化部
103 機器搭載CPE情報作成部
104 情報管理部
105 脆弱性判定部
106 パッチ適用判定部
107 脆弱性管理情報作成部
111 CVE情報記憶部
112 CPE情報記憶部
113 脆弱性CPE情報記憶部
114 機器搭載CPE情報記憶部
115 対処済脆弱性情報記憶部
116 脆弱性管理情報記憶部
201 機器情報送信部
N ネットワーク
Claims (7)
- 機器に搭載されているソフトウェアの脆弱性を管理する脆弱性管理装置であって、
前記機器から収集した機器情報に基づいて、前記機器に搭載されているソフトウェアに脆弱性が存在するか否かを判定する第1の判定手段と、
前記第1の判定手段により前記ソフトウェアに前記脆弱性が存在すると判定された場合、前記脆弱性を解消するためのパッチが前記ソフトウェアに適用されているか否かを判定する第2の判定手段と、
前記第2の判定手段により前記パッチが前記ソフトウェアに適用されていないと判定された場合、前記ソフトウェアに存在する前記脆弱性を管理するための管理情報を作成する管理手段と、
を有することを特徴とする脆弱性管理装置。 - 前記機器情報には、前記機器に対応されているソフトウェアに適用されたパッチを示す情報が含まれ、
前記第2の判定手段は、
ソフトウェアに存在する脆弱性を示す情報と、該脆弱性を解消するためのパッチを示す情報とを関連付けた対処済脆弱性情報を記憶する第1の記憶部を参照して、前記機器情報に含まれるパッチを示す情報と、前記第1の判定手段により前記ソフトウェアに存在すると判定された前記脆弱性を示す情報とが含まれる対処済脆弱性情報が前記第1の記憶部に記憶されているか否かを判定することで、前記脆弱性を解消するためのパッチが前記ソフトウェアに適用されているか否かを判定する、
ことを特徴とする請求項1に記載の脆弱性管理装置。 - 前記パッチを配布するサーバを監視し、新たなパッチの配布が開始された場合、該新たなパッチを取得する取得手段と、
前記取得手段により取得された新たなパッチの適用によって解消される脆弱性を示す情報と、該新たなパッチを示す情報とが含まれる対処済脆弱性情報を作成し、作成した対処済脆弱性情報を前記第1の記憶部に記憶させる保存手段と、
を有することを特徴とする請求項2に記載の脆弱性管理装置。 - 前記機器情報に含まれるソフトウェア名をCPE名に正規化する正規化手段を有し、
前記第1の判定手段は、
CPE名と、該CPE名に対応するソフトウェアの脆弱性を識別するCVE番号とを関連付けた脆弱性CPE情報を記憶する第2の記憶部を参照して、前記正規化手段により正規化されたCPE名が含まれる脆弱性CPE情報が前記第2の記憶部に記憶されているか否かを判定することで、前記機器に搭載されているソフトウェアに脆弱性が存在するか否かを判定する、
ことを特徴とする請求項1乃至3の何れか一項に記載の脆弱性管理装置。 - 前記脆弱性管理装置とネットワークを介して接続される端末からの要求に応じて、前記管理手段により作成された管理情報に基づく画面を前記端末に表示させる表示手段を有する、ことを特徴とする請求項1乃至4の何れか一項に記載の脆弱性管理装置。
- 機器に搭載されているソフトウェアの脆弱性を管理する脆弱性管理装置が、
前記機器から収集した機器情報に基づいて、前記機器に搭載されているソフトウェアに脆弱性が存在するか否かを判定する第1の判定手順と、
前記第1の判定手順により前記ソフトウェアに前記脆弱性が存在すると判定された場合、前記脆弱性を解消するためのパッチが前記ソフトウェアに適用されているか否かを判定する第2の判定手順と、
前記第2の判定手順により前記パッチが前記ソフトウェアに適用されていないと判定された場合、前記ソフトウェアに存在する前記脆弱性を管理するための管理情報を作成する管理手順と、
を実行することを特徴とする脆弱性管理方法。 - コンピュータを、請求項1乃至5の何れか一項に記載の脆弱性管理装置における各手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018121905A JP7123659B2 (ja) | 2018-06-27 | 2018-06-27 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018121905A JP7123659B2 (ja) | 2018-06-27 | 2018-06-27 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020004006A true JP2020004006A (ja) | 2020-01-09 |
| JP7123659B2 JP7123659B2 (ja) | 2022-08-23 |
Family
ID=69100198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018121905A Active JP7123659B2 (ja) | 2018-06-27 | 2018-06-27 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7123659B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220046843A (ko) * | 2020-10-08 | 2022-04-15 | 주식회사 엑스게이트 | 취약점 탐지 방법 및 취약점 탐지 시스템 |
| JP7470856B1 (ja) | 2023-11-02 | 2024-04-18 | 株式会社アシュアード | 情報処理装置及び情報処理方法 |
| JP7491424B2 (ja) | 2022-03-10 | 2024-05-28 | 株式会社デンソー | ソフトウェアパッケージ構成情報の保護 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
| JP2008146163A (ja) * | 2006-12-06 | 2008-06-26 | Hitachi Ltd | パッチ再構成方法 |
| JP2011014094A (ja) * | 2009-07-06 | 2011-01-20 | Toshiba Corp | ソフトウェア更新情報管理装置及びプログラム |
| US20150193624A1 (en) * | 2012-09-28 | 2015-07-09 | Tencent Technology (Shenzhen) Company Limited | Security protection system and method |
| JP2015138509A (ja) * | 2014-01-24 | 2015-07-30 | 株式会社日立システムズ | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
| JP2015219665A (ja) * | 2014-05-15 | 2015-12-07 | ゲヒルン株式会社 | 脆弱性可視化サーバ、脆弱性可視化方法、脆弱性可視化サーバ用プログラム |
-
2018
- 2018-06-27 JP JP2018121905A patent/JP7123659B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
| JP2008146163A (ja) * | 2006-12-06 | 2008-06-26 | Hitachi Ltd | パッチ再構成方法 |
| JP2011014094A (ja) * | 2009-07-06 | 2011-01-20 | Toshiba Corp | ソフトウェア更新情報管理装置及びプログラム |
| US20150193624A1 (en) * | 2012-09-28 | 2015-07-09 | Tencent Technology (Shenzhen) Company Limited | Security protection system and method |
| JP2015138509A (ja) * | 2014-01-24 | 2015-07-30 | 株式会社日立システムズ | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
| JP2015219665A (ja) * | 2014-05-15 | 2015-12-07 | ゲヒルン株式会社 | 脆弱性可視化サーバ、脆弱性可視化方法、脆弱性可視化サーバ用プログラム |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20220046843A (ko) * | 2020-10-08 | 2022-04-15 | 주식회사 엑스게이트 | 취약점 탐지 방법 및 취약점 탐지 시스템 |
| KR102439928B1 (ko) * | 2020-10-08 | 2022-09-05 | 주식회사 엑스게이트 | 취약점 탐지 방법 및 취약점 탐지 시스템 |
| JP7491424B2 (ja) | 2022-03-10 | 2024-05-28 | 株式会社デンソー | ソフトウェアパッケージ構成情報の保護 |
| JP7470856B1 (ja) | 2023-11-02 | 2024-04-18 | 株式会社アシュアード | 情報処理装置及び情報処理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7123659B2 (ja) | 2022-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076063B (zh) | 在云环境中保护动态和短期虚拟机实例 | |
| US10091220B2 (en) | Platform for protecting small and medium enterprises from cyber security threats | |
| US7788723B2 (en) | Method and apparatus for identifying computer vulnerabilities using exploit probes and remote scanning | |
| Balduzzi et al. | A security analysis of amazon's elastic compute cloud service | |
| AU2020202713A1 (en) | Network security system with remediation based on value of attacked assets | |
| US8527978B1 (en) | System, method, and computer program product for populating a list of known wanted data | |
| US8612398B2 (en) | Clean store for operating system and software recovery | |
| US8627475B2 (en) | Early detection of potential malware | |
| US11165808B2 (en) | Automated vulnerability assessment with policy-based mitigation | |
| US8869272B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
| US10250623B1 (en) | Generating analytical data from detection events of malicious objects | |
| US20120102568A1 (en) | System and method for malware alerting based on analysis of historical network and process activity | |
| US11621974B2 (en) | Managing supersedence of solutions for security issues among assets of an enterprise network | |
| US20160188882A1 (en) | Software nomenclature system for security vulnerability management | |
| US20070006311A1 (en) | System and method for managing pestware | |
| US20160041866A1 (en) | Processing run-time error messages and implementing security policies in web hosting | |
| JP7123659B2 (ja) | 脆弱性管理装置、脆弱性管理方法及びプログラム | |
| Mell et al. | Creating a patch and vulnerability management program | |
| US10262136B1 (en) | Cloud-based malware detection | |
| US20240022590A1 (en) | Vulnerability scanning of a remote file system | |
| JP2009217637A (ja) | セキュリティ状況表示装置、セキュリティ状況表示方法、およびコンピュータプログラム | |
| US20060161979A1 (en) | Scriptable emergency threat communication and mitigating actions | |
| JP2019079258A (ja) | 管理装置、管理方法及びプログラム | |
| JP2007065810A (ja) | セキュリティ検査システム | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201127 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210915 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211102 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20211221 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220301 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220712 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220810 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7123659 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |