JP2020123375A - セキュリティリスク管理システム、端末、サーバ、制御方法、プログラム - Google Patents
セキュリティリスク管理システム、端末、サーバ、制御方法、プログラム Download PDFInfo
- Publication number
- JP2020123375A JP2020123375A JP2020069561A JP2020069561A JP2020123375A JP 2020123375 A JP2020123375 A JP 2020123375A JP 2020069561 A JP2020069561 A JP 2020069561A JP 2020069561 A JP2020069561 A JP 2020069561A JP 2020123375 A JP2020123375 A JP 2020123375A
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- vulnerability information
- information
- investigation
- read
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 172
- 238000011835 investigation Methods 0.000 claims abstract description 286
- 238000012790 confirmation Methods 0.000 claims description 33
- 230000005540 biological transmission Effects 0.000 claims description 26
- 238000004891 communication Methods 0.000 claims description 24
- 239000003795 chemical substances by application Substances 0.000 description 99
- 238000013500 data storage Methods 0.000 description 53
- 238000007726 management method Methods 0.000 description 44
- 238000012545 processing Methods 0.000 description 13
- 238000011160 research Methods 0.000 description 11
- 230000008520 organization Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 2
- 238000004904 shortening Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
企業のセキュリティ管理者は、脆弱性情報の公開後、セキュリティリスク管理システムを利用して、企業内の端末について脆弱性の有無を調査する。
企業のセキュリティ管理者は、調査の結果、脆弱性がある端末が存在する場合、セキュリティリスク管理システムを利用して、脆弱性の対策を立案し、その対策を実行する。
上述の特許文献1に開示された技術は、端末の脆弱性の対処状況を、その脆弱性の種類を示すキーワードと関連付けてデータベースに登録する。すなわち、特許文献1に開示された技術は、端末が実際に行った脆弱性の対処状況をデータベースに登録する技術であり、脆弱性の対策を行うまでの時間の短縮化を図る技術ではない。
サーバと、
端末に備えられたエージェント部と、を含み、
前記サーバは、
脆弱性情報の公開日時前に、前記脆弱性情報を前記エージェント部に送信し、
前記エージェント部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記端末の脆弱性の有無を調査し、該調査結果を含む脆弱性調査結果を前記サーバに送信し、
前記サーバは、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する。
脆弱性情報の公開日時前に、前記脆弱性情報を端末に備えられたエージェント部に送信すると共に、前記エージェント部から、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記エージェント部で調査された前記端末の脆弱性の有無の調査結果を含む脆弱性調査結果を受信する通信部と、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する提示部と、
を備える。
サーバの制御方法であって、
脆弱性情報の公開日時前に、前記脆弱性情報を端末に備えられたエージェント部に送信する送信ステップと、
前記エージェント部から、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記エージェント部で調査された前記端末の脆弱性の有無の調査結果を含む脆弱性調査結果を受信するステップと、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する提示ステップと、
を含む。
コンピュータに、
脆弱性情報の公開日時前に、前記脆弱性情報を端末に備えられたエージェント部に送信する送信手順と、
前記脆弱性情報の公開日時前に、前記エージェント部から、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記エージェント部で調査された前記端末の脆弱性の有無の調査結果を含む脆弱性調査結果を受信する手順と、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する提示手順と、
を実行させるためのプログラムである。
コンピュータに、
脆弱性情報の公開日時前に、サーバから、前記脆弱性情報を受信する受信手順と、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に端末の脆弱性の有無を調査する調査手順と、
前記脆弱性情報の公開日時前に、前記調査手順の調査結果を含む脆弱性調査結果を前記サーバに送信する手順と、
を実行させるためのプログラムである。
(1)実施の形態1
(1−1)実施の形態1の構成
(1−1−1)全体構成
図1に、本実施の形態1に係るセキュリティシステムの構成例を示す。図2に、本実施の形態1に係る脆弱性情報配布システム210およびセキュリティリスク管理システム305のブロック構成例を示す。
脆弱性情報送信システム110は、脆弱性情報配布システム210に脆弱性情報を送信する。なお、脆弱性情報送信システム110は、脆弱性情報配布システム210に脆弱性情報を送信する機能を備えていれば良く、この機能は周知技術で実現可能であるため、詳細なブロック構成の説明は省略する。
脆弱性情報配布システム210は、脆弱性情報受信部211、脆弱性情報データ作成部212、脆弱性情報データ暗号化部213、共通鍵格納部214、脆弱性情報データ格納部215、および脆弱性情報データ送信部216を備えている。
セキュリティリスク管理システム305は、サーバ310およびエージェント部320を備えている。エージェント部320は、エージェントソフトウェアあるいはエージェントとも呼ばれるソフトウェアである。エージェント部320は、セキュリティリスク管理システム利用会社300が脆弱性を管理する端末330に対応しており、対応する端末330にインストールされる。図1においては、複数の端末330があると仮定し、複数の端末330のそれぞれに対応する複数のエージェント部320を設けているが、端末330が1つであれば、エージェント部320も1つとなる。
サーバ310は、脆弱性情報データ受信部311、脆弱性情報データ格納部312、脆弱性情報データ配布部313、脆弱性調査結果受信部314、脆弱性調査結果格納部315、脆弱性公開日時確認部316、脆弱性情報データ復号部317、共通鍵格納部318、および脆弱性情報・調査結果表示部319を備えている。なお、脆弱性情報データ配布部313および脆弱性調査結果受信部314は、通信部の構成要素の一例である。脆弱性情報・調査結果表示部319は、提示部の一例である。脆弱性情報データ格納部312は、脆弱性情報格納部の一例である。脆弱性公開日時確認部316は、公開日時確認部の一例である。脆弱性調査結果格納部315は、脆弱性調査結果格納部の一例である。
エージェント部320は、脆弱性情報データ受信部321、脆弱性情報データ格納部322、脆弱性調査部323、脆弱性情報データ復号部324、共通鍵格納部325、脆弱性調査結果格納部326、脆弱性調査結果送信部327、脆弱性公開日時確認部328、および脆弱性情報表示部329を備えている。なお、脆弱性情報データ受信部321および脆弱性調査結果送信部327は、通信部の構成要素の一例である。脆弱性情報表示部329は、提示部の一例である。脆弱性情報データ格納部322は、脆弱性情報格納部の一例である。脆弱性公開日時確認部328は、公開日時確認部の一例である。脆弱性調査結果格納部326は、脆弱性調査結果格納部の一例である。
図3に、本実施の形態1に係る脆弱性情報配布システム210を実現するコンピュータ400のハードウェア構成の構成例を示す。以下では、
例えば、サーバ310をコンピュータ400で実現する場合、ストレージ403は、サーバ310が備える各処理部(脆弱性情報データ受信部311、脆弱性情報データ配布部313、脆弱性調査結果受信部314、脆弱性公開日時確認部316、脆弱性情報データ復号部317、および脆弱性情報・調査結果表示部319など)の機能を実現するプログラムを記憶する。また、メモリ402やストレージ403は、脆弱性情報データ格納部312、脆弱性調査結果格納部315、および共通鍵格納部318の役割も果たす。
以下、本実施の形態1に係るセキュリティシステムの動作について詳細に説明する。
(1−2−1)まず、脆弱性情報配布システム210において、脆弱性情報送信システム110から脆弱性情報を受信し、脆弱性情報データを作成してサーバ310に送信するまでの動作について、図4を参照して説明する。
また、エージェント部320が複数ある場合、複数のエージェント部320のそれぞれが、上述の図13の動作を行う。
上述したように本実施の形態1によれば、サーバ310は、公開日時よりも前に、暗号化された脆弱性情報をエージェント部320に送信して、端末330の脆弱性の有無の調査を完了させておき、公開日時が過ぎた時点で、脆弱性調査結果を表示する。
そのため、セキュリティリスク管理システム利用会社300のセキュリティ管理者は、脆弱性情報の公開日時に、自社の端末330の脆弱性の有無の調査結果を把握することができ、すぐさま脆弱性の対策を立案するという次のステップに移行することができる。よって、脆弱性の対策を行うまでの時間の短縮化を図ることができるという効果が得られる。
本実施の形態2は、上述の実施の形態1の上位概念を抽出した一実施の形態に相当するものである。図14に、本実施の形態2に係るセキュリティリスク管理システム305のブロック構成例を示す。
図15を参照すると、サーバ310においては、通信部3101は、脆弱性情報の公開日時前に、脆弱性情報をエージェント部320に送信する(S901)。なお、エージェント部320が複数ある場合、サーバ310は、複数のエージェント部320のそれぞれに脆弱性情報を送信する。
そのため、セキュリティ管理者は、脆弱性情報の公開日時に、端末330の脆弱性の有無の調査結果を把握することができ、すぐさま脆弱性の対策を立案するという次のステップに移行することができる。よって、脆弱性の対策を行うまでの時間の短縮化を図ることができるという効果が得られる。
(付記1)
サーバと、
端末に備えられたエージェント部と、を含み、
前記サーバは、
脆弱性情報の公開日時前に、前記脆弱性情報を前記エージェント部に送信し、
前記エージェント部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記端末の脆弱性の有無を調査し、該調査結果を含む脆弱性調査結果を前記サーバに送信し、
前記サーバは、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する、
セキュリティリスク管理システム。
(付記2)
前記サーバは、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信し、
前記エージェント部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報を復号し、復号した脆弱性の調査方法の情報を基に前記端末の脆弱性の有無を調査する、
付記1に記載のセキュリティリスク管理システム。
(付記3)
前記サーバは、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を格納し、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信し、
前記エージェント部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を格納する、
付記1または2に記載のセキュリティリスク管理システム。
(付記4)
前記脆弱性情報には、
前記脆弱性情報が未公開または公開済を表す値がセットされる公開フラグが付加され、
前記サーバは、
前記格納した前記脆弱性情報のうち、未公開を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記読み出した前記脆弱性情報に含まれる公開日時が現在の日時以前の場合、前記読み出した前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報を復号すると共に、前記読み出した前記脆弱性情報に付加された前記公開フラグに公開済を表す値をセットした上で、前記読み出した前記脆弱性情報を再度格納する、
付記3に記載のセキュリティリスク管理システム。
(付記5)
前記脆弱性情報には、
前記脆弱性情報を識別する脆弱性情報IDがさらに付加され、
前記脆弱性調査結果には、
調査した脆弱性の前記脆弱性情報を識別する脆弱性情報ID、前記端末を識別する端末ID、および前記端末の脆弱性の有無を示す調査結果が含まれ、
前記サーバは、
前記脆弱性調査結果を格納し、
前記格納した前記脆弱性情報のうち、公開済を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記格納した前記脆弱性調査結果のうち、前記読み出した前記脆弱性情報と一致する前記脆弱性情報IDを含み、かつ、前記端末に脆弱性があることを示す調査結果を含む前記脆弱性調査結果を読み出し、
前記読み出した前記脆弱性情報に含まれる概要および対策方法を提示するとともに、前記読み出した前記脆弱性調査結果に含まれる前記端末IDを提示する、
付記4に記載のセキュリティリスク管理システム。
(付記6)
前記脆弱性情報には、
前記脆弱性情報が未公開または公開済を表す値がセットされる公開フラグが付加され、
前記エージェント部は、
前記格納した前記脆弱性情報のうち、未公開を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記読み出した前記脆弱性情報に含まれる公開日時が現在の日時以前の場合、前記読み出した前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報を復号すると共に、前記読み出した前記脆弱性情報に付加された前記公開フラグに公開済を表す値をセットした上で、前記読み出した前記脆弱性情報を再度格納する、
付記3に記載のセキュリティリスク管理システム。
(付記7)
前記脆弱性情報には、
前記脆弱性情報を識別する脆弱性情報IDがさらに付加され、
前記脆弱性調査結果には、
調査した脆弱性の前記脆弱性情報を識別する脆弱性情報ID、前記端末を識別する端末ID、および前記端末の脆弱性の有無を示す調査結果が含まれ、
前記エージェント部は、
前記脆弱性調査結果を格納し、
前記格納した前記脆弱性情報のうち、公開済を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記格納した前記脆弱性調査結果の中に、前記読み出した前記脆弱性情報と一致する前記脆弱性情報IDを含み、かつ、前記端末に脆弱性があることを示す調査結果を含む前記脆弱性調査結果がある場合、前記読み出した前記脆弱性情報に含まれる概要および対策方法を提示する、
付記6に記載のセキュリティリスク管理システム。
(付記8)
脆弱性情報の公開日時前に、前記脆弱性情報を端末に備えられたエージェント部に送信すると共に、前記エージェント部から、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記エージェント部で調査された前記端末の脆弱性の有無の調査結果を含む脆弱性調査結果を受信する通信部と、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する提示部と、
を備えるサーバ。
(付記9)
前記通信部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信する、
付記8に記載のサーバ。
(付記10)
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を格納する脆弱性情報格納部をさらに備え、
前記通信部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信する、
付記8または9に記載のサーバ。
(付記11)
公開日時確認部をさらに備え
前記脆弱性情報には、
前記脆弱性情報が未公開または公開済を表す値がセットされる公開フラグが付加され、
前記公開日時確認部は、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、未公開を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記読み出した前記脆弱性情報に含まれる公開日時が現在の日時以前の場合、前記読み出した前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報を復号すると共に、前記読み出した前記脆弱性情報に付加された前記公開フラグに公開済を表す値をセットした上で、前記読み出した前記脆弱性情報を前記脆弱性情報格納部に再度格納する、
付記10に記載のサーバ。
(付記12)
前記脆弱性調査結果を格納する脆弱性調査結果格納部をさらに備え、
前記脆弱性情報には、
前記脆弱性情報を識別する脆弱性情報IDがさらに付加され、
前記脆弱性調査結果には、
調査した脆弱性の前記脆弱性情報を識別する脆弱性情報ID、前記端末を識別する端末ID、および前記端末の脆弱性の有無を示す調査結果が含まれ、
前記提示部は、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、公開済を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記脆弱性調査結果格納部に格納された前記脆弱性調査結果のうち、前記読み出した前記脆弱性情報と一致する前記脆弱性情報IDを含み、かつ、前記端末に脆弱性があることを示す調査結果を含む前記脆弱性調査結果を読み出し、
前記読み出した前記脆弱性情報に含まれる概要および対策方法を提示するとともに、前記読み出した前記脆弱性調査結果に含まれる前記端末IDを提示する、
付記11に記載のサーバ。
(付記13)
サーバの制御方法であって、
脆弱性情報の公開日時前に、前記脆弱性情報を端末に備えられたエージェント部に送信する送信ステップと、
前記エージェント部から、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記エージェント部で調査された前記端末の脆弱性の有無の調査結果を含む脆弱性調査結果を受信するステップと、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する提示ステップと、
を含む制御方法。
(付記14)
前記送信ステップでは、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信する、
付記13に記載の制御方法。
(付記15)
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を脆弱性情報格納部に格納するステップをさらに含み、
前記送信ステップでは、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信する、
付記13または14に記載の制御方法。
(付記16)
前記脆弱性情報には、
前記脆弱性情報が未公開または公開済を表す値がセットされる公開フラグが付加され、
前記制御方法は、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、未公開を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出すステップと、
前記読み出した前記脆弱性情報に含まれる公開日時が現在の日時以前の場合、前記読み出した前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報を復号すると共に、前記読み出した前記脆弱性情報に付加された前記公開フラグに公開済を表す値をセットした上で、前記読み出した前記脆弱性情報を前記脆弱性情報格納部に再度格納するステップと、をさらに含む、
付記15に記載の制御方法。
(付記17)
前記脆弱性情報には、
前記脆弱性情報を識別する脆弱性情報IDがさらに付加され、
前記脆弱性調査結果には、
調査した脆弱性の前記脆弱性情報を識別する脆弱性情報ID、前記端末を識別する端末ID、および前記端末の脆弱性の有無を示す調査結果が含まれ、
前記制御方法は、
前記脆弱性調査結果を脆弱性調査結果格納部に格納するステップと、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、公開済を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出すステップと、
前記脆弱性調査結果格納部に格納された前記脆弱性調査結果のうち、前記読み出した前記脆弱性情報と一致する前記脆弱性情報IDを含み、かつ、前記端末に脆弱性があることを示す調査結果を含む前記脆弱性調査結果を読み出すステップと、をさらに含み、
前記提示ステップでは、
前記読み出した前記脆弱性情報に含まれる概要および対策方法を提示するとともに、前記読み出した前記脆弱性調査結果に含まれる前記端末IDを提示する、
付記16に記載の制御方法。
(付記18)
コンピュータに、
脆弱性情報の公開日時前に、前記脆弱性情報を端末に備えられたエージェント部に送信する送信手順と、
前記脆弱性情報の公開日時前に、前記エージェント部から、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記エージェント部で調査された前記端末の脆弱性の有無の調査結果を含む脆弱性調査結果を受信する手順と、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する提示手順と、
を実行させるためのプログラム。
(付記19)
前記送信手順では、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信する、
付記18に記載のプログラム。
(付記20)
前記コンピュータに、
前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を脆弱性情報格納部に格納する手順をさらに実行させ、
前記送信手順では、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信する、
付記18または19に記載のプログラム。
(付記21)
前記脆弱性情報には、
前記脆弱性情報が未公開または公開済を表す値がセットされる公開フラグが付加され、
前記コンピュータに、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、未公開を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出す手順と、
前記読み出した前記脆弱性情報に含まれる公開日時が現在の日時以前の場合、前記読み出した前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報を復号すると共に、前記読み出した前記脆弱性情報に付加された前記公開フラグに公開済を表す値をセットした上で、前記読み出した前記脆弱性情報を前記脆弱性情報格納部に再度格納する手順と、をさらに実行させる、
付記20に記載のプログラム。
(付記22)
前記脆弱性情報には、
前記脆弱性情報を識別する脆弱性情報IDがさらに付加され、
前記脆弱性調査結果には、
調査した脆弱性の前記脆弱性情報を識別する脆弱性情報ID、前記端末を識別する端末ID、および前記端末の脆弱性の有無を示す調査結果が含まれ、
前記コンピュータに、
前記脆弱性調査結果を脆弱性調査結果格納部に格納する手順と、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、公開済を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出す手順と、
前記脆弱性調査結果格納部に格納された前記脆弱性調査結果のうち、前記読み出した前記脆弱性情報と一致する前記脆弱性情報IDを含み、かつ、前記端末に脆弱性があることを示す調査結果を含む前記脆弱性調査結果を読み出す手順と、をさらに実行させ、
前記提示手順では、
前記読み出した前記脆弱性情報に含まれる概要および対策方法を提示するとともに、前記読み出した前記脆弱性調査結果に含まれる前記端末IDを提示する、
付記21に記載のプログラム。
(付記23)
コンピュータに、
脆弱性情報の公開日時前に、サーバから、前記脆弱性情報を受信する受信手順と、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に端末の脆弱性の有無を調査する調査手順と、
前記脆弱性情報の公開日時前に、前記調査手順の調査結果を含む脆弱性調査結果を前記サーバに送信する手順と、
を実行させるためのプログラム。
(付記24)
前記受信手順では、
前記脆弱性情報の公開日時前に、前記サーバから、前記脆弱性情報に含まれる脆弱性の調査方法の情報が暗号化された状態で、前記脆弱性情報を受信し、
前記調査手順では、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報を復号し、復号した脆弱性の調査方法の情報を基に前記端末の脆弱性の有無を調査する、
付記23に記載のプログラム。
(付記25)
前記受信手順では、
前記脆弱性情報の公開日時前に、前記サーバから、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を受信し、
前記コンピュータに、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を脆弱性情報格納部に格納する手順をさらに実行させる、
付記23または24に記載のプログラム。
(付記26)
前記脆弱性情報には、
前記脆弱性情報が未公開または公開済を表す値がセットされる公開フラグが付加され、
前記コンピュータに、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、未公開を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出す手順と、
前記読み出した前記脆弱性情報に含まれる公開日時が現在の日時以前の場合、前記読み出した前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報を復号すると共に、前記読み出した前記脆弱性情報に付加された前記公開フラグに公開済を表す値をセットした上で、前記読み出した前記脆弱性情報を前記脆弱性情報格納部に再度格納する手順と、をさらに実行させる、
付記25に記載のプログラム。
(付記27)
前記脆弱性情報には、
前記脆弱性情報を識別する脆弱性情報IDがさらに付加され、
前記脆弱性調査結果には、
調査した脆弱性の前記脆弱性情報を識別する脆弱性情報ID、前記端末を識別する端末ID、および前記端末の脆弱性の有無を示す調査結果が含まれ、
前記コンピュータに、
前記脆弱性調査結果を脆弱性調査結果格納部に格納する手順と、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、公開済を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出す手順と、
前記脆弱性調査結果格納部に格納された前記脆弱性調査結果の中に、前記読み出した前記脆弱性情報と一致する前記脆弱性情報IDを含み、かつ、前記端末に脆弱性があることを示す調査結果を含む前記脆弱性調査結果がある場合、前記読み出した前記脆弱性情報に含まれる概要および対策方法を提示する手順と、をさらに実行させる、
付記26に記載のプログラム。
110 脆弱性情報送信システム
200 セキュリティリスク管理システム提供会社
210 脆弱性情報配布システム
211 脆弱性情報受信部
212 脆弱性情報データ作成部
213 脆弱性情報データ暗号化部
214 共通鍵格納部
215 脆弱性情報データ格納部
216 脆弱性情報データ送信部
300 セキュリティリスク管理システム利用会社
305 セキュリティリスク管理システム
310 サーバ
311 脆弱性情報データ受信部
312 脆弱性情報データ格納部
313 脆弱性情報データ配布部
314 脆弱性調査結果受信部
315 脆弱性調査結果格納部
316 脆弱性公開日時確認部
317 脆弱性情報データ復号部
318 共通鍵格納部
319 脆弱性情報・調査結果表示部
3101 通信部
3102 提示部
320 エージェント部
321 脆弱性情報データ受信部
322 脆弱性情報データ格納部
323 脆弱性調査部
324 脆弱性情報データ復号部
325 共通鍵格納部
326 脆弱性調査結果格納部
327 脆弱性調査結果送信部
328 脆弱性公開日時確認部
329 脆弱性情報表示部
3201 通信部
3202 調査部
330 端末
400 コンピュータ
401 プロセッサ
402 メモリ
403 ストレージ
404 入出力インタフェース
4041 表示装置
4042 入力装置
405 通信インタフェース
Claims (15)
- サーバと、
端末に備えられたエージェント部と、を含み、
前記サーバは、
脆弱性情報の公開日時前に、前記脆弱性情報を前記エージェント部に送信し、
前記エージェント部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記端末の脆弱性の有無を調査し、該調査結果を含む脆弱性調査結果を前記サーバに送信し、
前記サーバは、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する、
セキュリティリスク管理システム。 - 前記サーバは、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信し、
前記エージェント部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報を復号し、復号した脆弱性の調査方法の情報を基に前記端末の脆弱性の有無を調査する、
請求項1に記載のセキュリティリスク管理システム。 - 前記サーバは、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を格納し、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信し、
前記エージェント部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を格納する、
請求項1または2に記載のセキュリティリスク管理システム。 - 前記脆弱性情報には、
前記脆弱性情報が未公開または公開済を表す値がセットされる公開フラグが付加され、
前記サーバは、
前記格納した前記脆弱性情報のうち、未公開を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記読み出した前記脆弱性情報に含まれる公開日時が現在の日時以前の場合、前記読み出した前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報を復号すると共に、前記読み出した前記脆弱性情報に付加された前記公開フラグに公開済を表す値をセットした上で、前記読み出した前記脆弱性情報を再度格納する、
請求項3に記載のセキュリティリスク管理システム。 - 前記脆弱性情報には、
前記脆弱性情報を識別する脆弱性情報IDがさらに付加され、
前記脆弱性調査結果には、
調査した脆弱性の前記脆弱性情報を識別する脆弱性情報ID、前記端末を識別する端末ID、および前記端末の脆弱性の有無を示す調査結果が含まれ、
前記サーバは、
前記脆弱性調査結果を格納し、
前記格納した前記脆弱性情報のうち、公開済を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記格納した前記脆弱性調査結果のうち、前記読み出した前記脆弱性情報と一致する前記脆弱性情報IDを含み、かつ、前記端末に脆弱性があることを示す調査結果を含む前記脆弱性調査結果を読み出し、
前記読み出した前記脆弱性情報に含まれる概要および対策方法を提示するとともに、前記読み出した前記脆弱性調査結果に含まれる前記端末IDを提示する、
請求項4に記載のセキュリティリスク管理システム。 - 前記脆弱性情報には、
前記脆弱性情報が未公開または公開済を表す値がセットされる公開フラグが付加され、
前記エージェント部は、
前記格納した前記脆弱性情報のうち、未公開を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記読み出した前記脆弱性情報に含まれる公開日時が現在の日時以前の場合、前記読み出した前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報を復号すると共に、前記読み出した前記脆弱性情報に付加された前記公開フラグに公開済を表す値をセットした上で、前記読み出した前記脆弱性情報を再度格納する、
請求項3に記載のセキュリティリスク管理システム。 - 前記脆弱性情報には、
前記脆弱性情報を識別する脆弱性情報IDがさらに付加され、
前記脆弱性調査結果には、
調査した脆弱性の前記脆弱性情報を識別する脆弱性情報ID、前記端末を識別する端末ID、および前記端末の脆弱性の有無を示す調査結果が含まれ、
前記エージェント部は、
前記脆弱性調査結果を格納し、
前記格納した前記脆弱性情報のうち、公開済を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記格納した前記脆弱性調査結果の中に、前記読み出した前記脆弱性情報と一致する前記脆弱性情報IDを含み、かつ、前記端末に脆弱性があることを示す調査結果を含む前記脆弱性調査結果がある場合、前記読み出した前記脆弱性情報に含まれる概要および対策方法を提示する、
請求項6に記載のセキュリティリスク管理システム。 - 脆弱性情報の公開日時前に、前記脆弱性情報を端末に備えられたエージェント部に送信すると共に、前記エージェント部から、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記エージェント部で調査された前記端末の脆弱性の有無の調査結果を含む脆弱性調査結果を受信する通信部と、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する提示部と、
を備えるサーバ。 - 前記通信部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信する、
請求項8に記載のサーバ。 - 前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を格納する脆弱性情報格納部をさらに備え、
前記通信部は、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報が暗号化された状態で、前記脆弱性情報を前記エージェント部に送信する、
請求項8または9に記載のサーバ。 - 公開日時確認部をさらに備え
前記脆弱性情報には、
前記脆弱性情報が未公開または公開済を表す値がセットされる公開フラグが付加され、
前記公開日時確認部は、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、未公開を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記読み出した前記脆弱性情報に含まれる公開日時が現在の日時以前の場合、前記読み出した前記脆弱性情報に含まれる脆弱性の概要、調査方法、および対策方法の情報を復号すると共に、前記読み出した前記脆弱性情報に付加された前記公開フラグに公開済を表す値をセットした上で、前記読み出した前記脆弱性情報を前記脆弱性情報格納部に再度格納する、
請求項10に記載のサーバ。 - 前記脆弱性調査結果を格納する脆弱性調査結果格納部をさらに備え、
前記脆弱性情報には、
前記脆弱性情報を識別する脆弱性情報IDがさらに付加され、
前記脆弱性調査結果には、
調査した脆弱性の前記脆弱性情報を識別する脆弱性情報ID、前記端末を識別する端末ID、および前記端末の脆弱性の有無を示す調査結果が含まれ、
前記提示部は、
前記脆弱性情報格納部に格納された前記脆弱性情報のうち、公開済を表す値がセットされた前記公開フラグが付加された前記脆弱性情報を読み出し、
前記脆弱性調査結果格納部に格納された前記脆弱性調査結果のうち、前記読み出した前記脆弱性情報と一致する前記脆弱性情報IDを含み、かつ、前記端末に脆弱性があることを示す調査結果を含む前記脆弱性調査結果を読み出し、
前記読み出した前記脆弱性情報に含まれる概要および対策方法を提示するとともに、前記読み出した前記脆弱性調査結果に含まれる前記端末IDを提示する、
請求項11に記載のサーバ。 - サーバの制御方法であって、
脆弱性情報の公開日時前に、前記脆弱性情報を端末に備えられたエージェント部に送信する送信ステップと、
前記エージェント部から、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記エージェント部で調査された前記端末の脆弱性の有無の調査結果を含む脆弱性調査結果を受信するステップと、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する提示ステップと、
を含む制御方法。 - コンピュータに、
脆弱性情報の公開日時前に、前記脆弱性情報を端末に備えられたエージェント部に送信する送信手順と、
前記脆弱性情報の公開日時前に、前記エージェント部から、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に前記エージェント部で調査された前記端末の脆弱性の有無の調査結果を含む脆弱性調査結果を受信する手順と、
前記脆弱性情報の公開日時以降に、前記脆弱性情報および前記脆弱性調査結果を提示する提示手順と、
を実行させるためのプログラム。 - コンピュータに、
脆弱性情報の公開日時前に、サーバから、前記脆弱性情報を受信する受信手順と、
前記脆弱性情報の公開日時前に、前記脆弱性情報に含まれる脆弱性の調査方法の情報を基に端末の脆弱性の有無を調査する調査手順と、
前記脆弱性情報の公開日時前に、前記調査手順の調査結果を含む脆弱性調査結果を前記サーバに送信する手順と、
を実行させるためのプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020069561A JP6911967B2 (ja) | 2016-03-25 | 2020-04-08 | セキュリティリスク管理システム、端末、サーバ、制御方法、プログラム |
JP2021111443A JP7215525B2 (ja) | 2020-04-08 | 2021-07-05 | 端末、制御方法、及びプログラム |
JP2023005525A JP7468717B2 (ja) | 2020-04-08 | 2023-01-18 | 端末、制御方法、及びプログラム |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016061774A JP6690346B2 (ja) | 2016-03-25 | 2016-03-25 | セキュリティリスク管理システム、サーバ、制御方法、プログラム |
JP2020069561A JP6911967B2 (ja) | 2016-03-25 | 2020-04-08 | セキュリティリスク管理システム、端末、サーバ、制御方法、プログラム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016061774A Division JP6690346B2 (ja) | 2016-03-25 | 2016-03-25 | セキュリティリスク管理システム、サーバ、制御方法、プログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021111443A Division JP7215525B2 (ja) | 2020-04-08 | 2021-07-05 | 端末、制御方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020123375A true JP2020123375A (ja) | 2020-08-13 |
JP6911967B2 JP6911967B2 (ja) | 2021-07-28 |
Family
ID=71993609
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020069561A Active JP6911967B2 (ja) | 2016-03-25 | 2020-04-08 | セキュリティリスク管理システム、端末、サーバ、制御方法、プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6911967B2 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004102479A (ja) * | 2002-09-06 | 2004-04-02 | Hitachi Software Eng Co Ltd | 脆弱性検査情報提供システム及び脆弱性検査情報提供方法 |
JP2007122408A (ja) * | 2005-10-28 | 2007-05-17 | Hitachi Ltd | クライアントセキュリティ管理システム |
JP2008072482A (ja) * | 2006-09-14 | 2008-03-27 | Mitsubishi Electric Engineering Co Ltd | スピーカ装置 |
JP2009015570A (ja) * | 2007-07-04 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | 脆弱性情報流通システムおよび方法 |
-
2020
- 2020-04-08 JP JP2020069561A patent/JP6911967B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004102479A (ja) * | 2002-09-06 | 2004-04-02 | Hitachi Software Eng Co Ltd | 脆弱性検査情報提供システム及び脆弱性検査情報提供方法 |
JP2007122408A (ja) * | 2005-10-28 | 2007-05-17 | Hitachi Ltd | クライアントセキュリティ管理システム |
JP2008072482A (ja) * | 2006-09-14 | 2008-03-27 | Mitsubishi Electric Engineering Co Ltd | スピーカ装置 |
JP2009015570A (ja) * | 2007-07-04 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | 脆弱性情報流通システムおよび方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6911967B2 (ja) | 2021-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108632284B (zh) | 基于区块链的用户数据授权方法、介质、装置和计算设备 | |
KR102451109B1 (ko) | 디바이스 익명성을 제공하는 키 증명문 생성 | |
US9344410B1 (en) | Telecommunication method for securely exchanging data | |
US20210165886A1 (en) | Security risk management system, server, control method, and non-transitory computer-readable medium | |
CN110401677A (zh) | 数字版权密钥的获取方法、装置、存储介质及电子设备 | |
US9779258B2 (en) | Confidential extraction of system internal data | |
EP3531365A1 (en) | Computer system, connection apparatus, and processing method using transaction | |
JP5969716B1 (ja) | データ管理システム、データ管理プログラム、通信端末及びデータ管理サーバ | |
WO2018138900A1 (ja) | 情報提供装置、情報提供システム、情報提供方法および情報提供プログラム | |
JP6272546B2 (ja) | データ保管装置及びデータ処理方法及びデータ処理プログラム | |
CN113794706A (zh) | 数据的处理方法、装置、电子设备及可读存储介质 | |
JP6911967B2 (ja) | セキュリティリスク管理システム、端末、サーバ、制御方法、プログラム | |
JP7215525B2 (ja) | 端末、制御方法、及びプログラム | |
EP3016343A1 (en) | Telecommunication method for securely exchanging data | |
CN117556434A (zh) | 数据加解密方法、装置、电子设备及存储介质 | |
CN115270106A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN118246050A (zh) | 数据库密钥管理器的加密和解密方法、装置、设备及介质 | |
TWI501103B (zh) | 連續性資料維護系統 | |
CN114398622A (zh) | 云应用的处理方法、装置、电子设备以及存储介质 | |
CN115238310A (zh) | 一种数据加密、解密方法、装置、设备及存储介质 | |
KR20190101118A (ko) | 문서객체모델 레벨의 키 입력 암호화 장치 및 방법 | |
EP3241148A1 (en) | Tiered access control | |
JP2009053750A (ja) | サーバサイドからの機密情報漏洩防止システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200423 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200423 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210608 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210621 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6911967 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |