JP2022079717A - Information processing device, information processing method, and program - Google Patents
Information processing device, information processing method, and program Download PDFInfo
- Publication number
- JP2022079717A JP2022079717A JP2022061551A JP2022061551A JP2022079717A JP 2022079717 A JP2022079717 A JP 2022079717A JP 2022061551 A JP2022061551 A JP 2022061551A JP 2022061551 A JP2022061551 A JP 2022061551A JP 2022079717 A JP2022079717 A JP 2022079717A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- information
- countermeasure
- information processing
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 74
- 238000003672 processing method Methods 0.000 title claims abstract description 17
- 238000000034 method Methods 0.000 claims abstract description 46
- 238000010586 diagram Methods 0.000 description 17
- 238000004891 communication Methods 0.000 description 9
- 238000011835 investigation Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 230000010485 coping Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、情報処理装置、情報処理方法、プログラムに関する。 The present invention relates to an information processing apparatus, an information processing method, and a program.
ネットワーク上の端末には、ハードウエアやソフトウエアに存在する脆弱性や、外部からの攻撃により生じる脅威などのセキュリティリスクが存在する。セキュリティリスクには、複数の対処が存在するのが一般的である。 Terminals on the network have security risks such as vulnerabilities in hardware and software and threats caused by external attacks. Security risks generally have multiple addresses.
しかし、脆弱性に対するパッチ適用以外の対処は、端末毎に通信制限、設定変更などが異なるため、全ての端末に対して適用することはできない。そのため、多数の端末に対して対処を行う場合、対処を立案するのにコストがかかっていた。 However, measures other than patch application for vulnerabilities cannot be applied to all terminals because communication restrictions, setting changes, etc. differ for each terminal. Therefore, when dealing with a large number of terminals, it is costly to plan the dealings.
そこで、最近は、各端末に存在するセキュリティリスクに対する対処(対応)の立案を支援する発明が提案されている。例えば、特許文献1には、運用中のシステムの状態に基づいてセキュリティリスクを分析し、セキュリティリスクを軽減するための対策候補から、運用中のシステムに生じる各種制約を考慮した上で、最適な対策方法を提示する発明が開示されている。
Therefore, recently, an invention has been proposed to support the planning of countermeasures (responses) to the security risks existing in each terminal. For example,
上述したように、特許文献1に開示された発明は、端末にセキュリティリスクが存在する場合、最適な対策方法を提示するものである。しかし、提示された対処を適用することによる端末やシステムへの影響などが不明であるため、セキュリティ管理者は、提示された対処をただちに適用するべきか、また、複数の対処が提示された場合に、最適な対処はどれかを判断することができなかった。そのため、セキュリティ管理者がセキュリティリスクに対する対処を立案することが困難となっていた。
As described above, the invention disclosed in
本発明の目的は、上述した課題を解決することができる技術を提供することにある。 An object of the present invention is to provide a technique capable of solving the above-mentioned problems.
本発明の一態様によれば、情報処理装置は、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける選択受付部と、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する稼働情報特定部と、
前記端末の稼働情報のうち前記稼働情報特定部が特定した種類の稼働情報を取得する稼働情報取得部と、
前記端末別対処情報に基づいて、前記選択受付部が受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する残存端末特定部と、
前記稼働情報取得部が取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測部と、
前記予測部が予測した予測結果を提示する提示部と、
を備える。
According to one aspect of the present invention, the information processing apparatus is
A selection reception unit that accepts an input indicating that at least one countermeasure has been selected from a plurality of countermeasures applicable to terminals having a security risk.
Using the terminal-specific countermeasure information indicating the countermeasures applicable to the security risk for each terminal, and the definition information defining the correspondence relationship between the type of operation information of the terminal and the countermeasure against the security risk, An operation information identification unit that specifies the type of operation information corresponding to the measures applicable to the terminal, and
An operation information acquisition unit that acquires the type of operation information specified by the operation information identification unit among the operation information of the terminal, and an operation information acquisition unit.
Based on the terminal-specific handling information, when the handling received by the selection reception unit is applied, the remaining terminal specifying unit that identifies the remaining terminal that is the terminal for which the security risk remains, and the remaining terminal specifying unit.
A prediction unit that predicts the number of remaining terminals at a future time based on the operation information acquired by the operation information acquisition unit.
A presentation unit that presents the prediction result predicted by the prediction unit, and a presentation unit.
To prepare for.
本発明の一態様によれば、情報処理方法は、
情報処理装置が行う情報処理方法であって、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付けるステップと、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定するステップと、
前記端末の稼働情報のうち前記特定した種類の稼働情報を取得するステップと、
前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定するステップと、
前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測ステップと、
前記予測した予測結果を提示する提示ステップと、
を含む。
According to one aspect of the present invention, the information processing method is
It is an information processing method performed by an information processing device.
A step that accepts an input indicating that at least one action has been selected from multiple actions applicable to terminals with security risks.
Using the terminal-specific countermeasure information indicating the countermeasures applicable to the security risk for each terminal, and the definition information defining the correspondence relationship between the type of operation information of the terminal and the countermeasure against the security risk, A step to identify the type of operation information corresponding to the countermeasure applicable to the terminal, and
The step of acquiring the operation information of the specified type among the operation information of the terminal, and
Based on the terminal-specific countermeasure information, the step of identifying the remaining terminal, which is the terminal on which the security risk remains when the accepted countermeasure is applied, and
A prediction step for predicting the number of the remaining terminals in the future time based on the acquired operation information,
A presentation step for presenting the predicted prediction result and
including.
本発明の一態様によれば、プログラムは、
コンピュータに、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける手順と、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する手順と、
前記端末の稼働情報のうち前記特定した種類の稼働情報を取得する手順と、
前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する手順と、
前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測手順と、
前記予測した予測結果を提示する提示手順と、
を実行させるためのプログラムである。
According to one aspect of the invention, the program
On the computer
A procedure for accepting input indicating that at least one countermeasure has been selected from a plurality of countermeasures applicable to a terminal having a security risk, and a procedure for accepting an input indicating that at least one countermeasure has been selected.
Using the terminal-specific countermeasure information indicating the countermeasures applicable to the security risk for each terminal, and the definition information defining the correspondence relationship between the type of operation information of the terminal and the countermeasure against the security risk, A procedure for identifying the type of operation information corresponding to the countermeasure applicable to the terminal, and
The procedure for acquiring the specified type of operation information among the operation information of the terminal, and
Based on the terminal-specific countermeasure information, the procedure for identifying the remaining terminal, which is the terminal for which the security risk remains when the accepted countermeasure is applied, and the procedure.
A prediction procedure for predicting the number of the remaining terminals in the future time based on the acquired operation information, and
The presentation procedure for presenting the predicted prediction result and the presentation procedure.
It is a program to execute.
本発明によれば、セキュリティ管理者がセキュリティリスクに対する対処の立案を容易に行うことができる。 According to the present invention, a security manager can easily plan a countermeasure against a security risk.
以下、本発明の実施の形態について、図面を用いて説明する。尚、全ての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. In all the drawings, similar components are designated by the same reference numerals, and the description thereof will be omitted as appropriate.
[実施の形態1]
[処理構成]
図1は、本発明の実施の形態1に係る情報処理装置10の処理構成を概念的に示す図である。図1に示されるように、本実施の形態1に係る情報処理装置10は、選択受付部110、稼働情報特定部120、稼働情報取得部130、残存端末特定部140、予測部150、及び提示部160を備える。
[Embodiment 1]
[Processing configuration]
FIG. 1 is a diagram conceptually showing a processing configuration of the
選択受付部110は、セキュリティリスクを有する管理対象端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける。ここで、セキュリティリスクとは、管理対象端末に存在する脆弱性、又は、管理対象端末に対する外部からの攻撃によって生じる脅威を含む。また、管理対象端末とは、ネットワークを介して情報処理装置10と接続され、セキュリティの状態を監視されている端末である。管理対象端末は、ネットワーク上のクライアント端末、サーバ、スイッチやルータなどの通信機器だけではなく、ネットワークに接続する機能やネットワークを介して通信する手段を有するあらゆる物(所謂IoT(Internet of Things)に含まれる物)である。また、対処とは、脆弱性や脅威を解消、回避、又は低減させる措置であり、適用可能な対処とは、脆弱性や脅威に対する措置の中で管理対象端末に講じることができる措置のことをいう。選択受付部110は、例えば図2に示されるような画面を介して、セキュリティリスク(ここでは、脆弱性A)に対する対処の選択入力を受け付ける。
The
図2は、情報処理装置10が生成し、情報処理装置10に接続された表示装置(不図示)に表示させる画面の一例を示す図である。尚、図2は、セキュリティリスクが脆弱性Aである場合の画面の例である。図2の画面には、脆弱性Aのある管理対象端末の台数(「リスクあり」)と、各対処を仮に実行した場合の対処後の残存リスク(脆弱性Aの残る管理対象端末)の数(「対処後残存リスク」)と、未来時刻(ここでは、一週間後)における残存リスクの予測値(「残存リスク予測値」)と、脆弱性Aに対する各対処(「対処(1)」、「対処(2)」、及び「対処(3)」)と、が対応付けて表示されている。各対処の列の欄のかっこ内に記載されている数字は、その列に対応する対処を適用可能な管理対象端末の台数を示している。図2の画面には、脆弱性Aの概要や、脆弱性Aに対する各対処の内容も表示されている。図2の画面例では、脆弱性Aのある90台の管理対象端末のうち、「対処(1)」を適用可能な管理対象端末が28台であり、「対処(2)」を適用可能な管理対象端末が69台であり、「対処(3)」を適用可能な管理対象端末が15台であることを示している。尚、対処別の端末数を合算した値が、母数となる端末数(90台)と異なるのは、複数の対処を適用可能な管理対象端末が存在するためである。また、図2の画面では、「残存リスクの予測値」の下向きの黒三角形をクリックすると、選択可能な未来時刻(例えば、即時、翌日、一週間後、一か月後など)を示すドロップダウンリストが表示されるようになっている。ドロップダウンリストの中から未来時刻が選択されると、残存リスクの予測値には、選択された未来時刻(ここでは、一週間後)における予測値が表示されるようになっている。
FIG. 2 is a diagram showing an example of a screen generated by the
図2の画面は、例えば、図3に示されるような、脆弱性Aに対して管理対象端末毎に適用可能な対処を示す情報(端末別対処情報)を基に情報処理装置10によって生成される。図3は、端末別対処情報の一例を示す図である。尚、図3は、セキュリティリスクが脆弱性Aである場合の端末別対処情報の例である。端末別対処情報は、各管理対象端末を識別する端末識別情報(例えば、MAC(Media Access Control)アドレスなど)と、それぞれの管理対象端末に適用可能な対処を示す情報と、を含む。端末別対処情報は、例えば、各ベンダーなどから提供される、セキュリティリスク及びその対処法などを示す情報(リスク情報)に基づいて管理対象端末を予め調査することで生成され、所定の格納部(不図示)に格納される。図3の例では、脆弱性Aに対して、端末Aは「対処(1)」及び「対処(3)」が適用可能であり、端末Bは「対処(2)」が適用可能であり、端末Cは「対処(3)」が適用可能となっている。図3に示されるような端末別対処情報を格納する格納部は、情報処理装置10に備えられていても良いし、情報処理装置10と通信可能に接続された他の装置に格納されていても良い。
The screen of FIG. 2 is generated by the
残存端末特定部140は、所定の格納部(不図示)から端末別対処情報を読み出し、読み出した端末別対処情報に基づいて、選択受付部110の受け付けた選択入力が示す対処を仮に実行した場合に、セキュリティリスクが残る管理対象端末(以下、残存端末とも表記)を特定する。上述したように、端末別対処情報は、セキュリティリスクに対して管理対象端末毎に適用可能な対処を示す情報であり、図3に示されるような形式で格納部に格納されている。残存端末特定部140は、選択入力が示す対処を適用可能な管理対象端末を、図3に示されるような端末別対処情報の端末識別情報と適用可能な対処との対応関係から特定することができる。同時に、残存端末特定部140は、セキュリティリスクが残る管理対象端末(残存端末)を特定することができる。
When the remaining
稼働情報特定部120は、上述の端末別対処情報と、管理対象端末の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、管理対象端末に適用可能な対処に対応する稼働情報の種類を特定する。稼働情報とは、管理対象端末で実際に行われた動作や処理の履歴を示す情報(稼働履歴情報)、又は、管理装置でこれから行われる予定の動作や処理を示す情報(稼働予定情報)の少なくとも一方を含む情報である。これらの稼働情報は、各管理対象端末での所定の動作や処理の実行又は所定の動作や処理の実行予定の入力に応じて、各管理対象端末で生成されてその管理対象端末の記憶部に記憶される。また「稼働情報の種類」とは、各稼働情報が属する分類を意味する。例えば、「稼働履歴情報の種類」の具体例としては、「パッチ適用履歴」、「再起動履歴」、「連続稼働時間」、「ポート利用履歴」、「プロセス稼働履歴」、「アプリケーション利用履歴」などが挙げられる。また例えば、「稼働予定情報の種類」の具体例としては、「パッチ適用予定日時」、「再起動予定日時」、「アプリケーション起動予定日時」などが挙げられる。但し、稼働情報の種類はここで挙げた例に限定されない。
The operation
定義情報は、例えば図4に示されるような形式で所定の格納部(不図示)に格納されている。図4は、定義情報の一例を示す図である。尚、図4は、セキュリティリスクが脆弱性Aである場合の定義情報の例である。図4では、脆弱性Aに対する対処(「対処(1)」、「対処(2)」、及び「対処(3)」)と、その対処を適用するか否かを決定する際に参考となる、管理対象端末の稼働情報の種類と、が対応付けて格納されている。図4の例では、「対処(1)」は、パッチAAAAを適用し、再起動するという対処である。また、「対処(2)」は、プロセスZZZZを停止するという対処である。また、「対処(3)」は、ポート1027をブロックするという対処である。また、「対処(1)」に対応する「稼働情報の種類」は、「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」である。また、「対処(2)」に対応する「稼働情報の種類」は、「プロセスZZZZの利用履歴」である。また、「対処(3)」に対応する「稼働情報の種類」は、「ポート1027の利用履歴」である。図4に示されるような定義情報を格納する格納部は、情報処理装置10に備えられていても良いし、情報処理装置10と通信可能に接続された他の装置に格納されていても良い。
The definition information is stored in a predetermined storage unit (not shown) in a format as shown in FIG. 4, for example. FIG. 4 is a diagram showing an example of definition information. Note that FIG. 4 is an example of definition information when the security risk is vulnerability A. FIG. 4 serves as a reference when deciding whether or not to apply the countermeasures (“Countermeasures (1)”, “Countermeasures (2)”, and “Countermeasures (3)”) for Vulnerability A. , And the type of operation information of the managed terminal are stored in association with each other. In the example of FIG. 4, "action (1)" is a measure of applying the patch AAAAA and restarting. Further, "countermeasure (2)" is a countermeasure of stopping the process ZZZZ. Further, "countermeasure (3)" is a countermeasure of blocking port 1027. The "type of operation information" corresponding to "action (1)" is "patch application history", "restart history", and "continuous operation time". Further, the "type of operation information" corresponding to the "countermeasure (2)" is the "use history of process ZZZZ". Further, the "type of operation information" corresponding to the "countermeasure (3)" is the "usage history of port 1027". The storage unit for storing the definition information as shown in FIG. 4 may be provided in the
稼働情報特定部120は、例えば、図3の端末別対処情報と図4の定義情報とを基に、管理対象端末毎に、適用可能な対処とそれに対応する稼働情報の種類とを特定する。具体的には、稼働情報特定部120は、図3の端末別対処情報を基に、脆弱性Aに対して、端末Aは「対処(1)」及び「対処(3)」が適用可能であることを特定する。そして、稼働情報特定部120は、図4の定義情報を基に、「対処(1」」に対応する「稼働情報の種類」を「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」と特定する。また、稼働情報特定部120は、図4の定義情報を基に、「対処(3)」に対応する「稼働情報の種類」を「ポート1027の利用履歴」と特定する。稼働情報特定部120は、端末Aと同様に、端末Bについても適用可能な対処(「対処(2)」のみ)とそれに対応する稼働情報の種類(「プロセスZZZZの利用履歴」)とを特定する。
The operation
稼働情報取得部130は、稼働情報特定部120が特定した種類の稼働情報を取得する。稼働情報取得部130は、例えば以下に示すようにして、管理対象端末の稼働情報の中から稼働情報特定部120が特定した種類の稼働情報を取得する。
The operation
稼働情報取得部130は、例えば、稼働情報特定部120が特定した稼働情報の種類を管理対象端末に通知し、管理対象端末からの応答としてその種類の稼働情報を受け取る。又は、稼働情報取得部130は、管理対象端末に格納されている稼働情報を取得し、その中から稼働情報特定部120が特定した種類の稼働情報を抽出しても良い。ここで、稼働情報取得部130は、管理対象端末に格納されている全ての稼働情報の中から必要な稼働情報を取得しても良いし、管理対象端末に格納されている所定期間(例えば一ヶ月分など)内の稼働情報の中から必要な稼働情報を取得しても良い。稼働情報の一例は、過去の所定期間(例えば過去一ヶ月分など)内に行われた稼働履歴に関する情報、すなわち、過去に行われた再起動に関する情報や、過去にアクセスされたポート番号に関する情報、過去に実行されたプロセスに関する情報を含んでいても良い。稼働情報の他の一例は、未来の所定期間(例えば将来一ヵ月分など)に予定される稼働予定に関する情報、すなわち、将来に実行が予定される再起動に関する情報や、将来アクセスされるポート番号に関する情報、将来に実行が予定されるプロセスに関する情報を含んでいても良い。また、稼働情報は、これらの組み合わせであっても良い。未来の稼働予定は、管理対象端末を管理するサブシステムが存在する場合、そこから取得するようにしても良い。
For example, the operation
具体的には、稼働情報取得部130は、図5に示されるような稼働情報を取得する。図5は、稼働情報取得部130が取得する稼働情報の一例を示す図である。尚、図5は、セキュリティリスクが脆弱性Aである場合の稼働情報の例である。稼働情報取得部130は、稼働情報特定部120が特定した稼働情報の種類に基づいて、端末Aで適用可能な「対処(1)」については、「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」の稼働情報を端末Aから取得する。また、稼働情報取得部130は、稼働情報特定部120が特定した稼働情報の種類に基づいて、端末Aで適用可能な「対処(3)」については、「ポート1027の利用履歴」の稼働情報を端末Aから取得する。稼働情報取得部130は、端末Aと同様に、端末Bについても、端末Bで適用可能な「対処(2)」について、「プロセスZZZZの利用履歴」の稼働情報を端末Bから取得する。稼働情報が過去の稼働履歴に関する場合、稼働情報の日付は過去となる。稼働情報が未来の稼働予定に関する場合、稼働情報の日付は未来となる。
Specifically, the operation
予測部150は、稼働情報取得部130が取得した稼働情報に基づいて、未来時刻において、セキュリティリスクが残る管理対象端末(残存端末)の数を予測する。例えば、図5に示される稼働情報によれば、予測部150は、端末Aについて次のような予測をすることができる(尚、ここでは予測部150が図5の稼働情報を2015年5月27日(水)の時点で確認しているものとする)。予測部150は、「対処(1)」に対応付けられた「再起動履歴」を参照することにより、定期的な再起動の実行タイミングを判断することができる。「再起動履歴」の欄と共に、又は、「再起動履歴」の欄に替えて、「再起動予定」の欄が設けられ、「再起動予定」の欄に将来の再起動予定の情報が格納されている場合には、「再起動予定」を参照することにより再起動の実行タイミングを判断することができる。例えば、予定日時が最も近い再起動予定を、再起動の実行タイミングであると予測乃至判断しても良い。また、予測部150は、「対処(1)」に対応付けられた「パッチ適用履歴」を参照することにより、定期的なパッチの適用タイミングを判断することができる。具体的には、端末Aについて、毎週木曜日の午前中に、定期的にパッチが適用されて端末Aが再起動されていることが読み取れる。ここから、予測部150は、「対処(1)」の適用タイミング、つまり、パッチAAAAを適用し、再起動するタイミングを、「次の木曜日の午前中」、つまり、「2015年5月28日(木)の午前中」と予測することができる。なぜならば、過去の再起動履歴によれば、過去3回の再起動のうち3回が木曜日の10時に行われているため、この周期性に基づいて、次の再起動も木曜日の10時と予測することができるからである。別の方法では、再起動の回数を曜日ごとに集計して、集計した数が多い順に再起動が行われやすい曜日であると予測しても良い。また、予測部150は、「対処(3)」に対応付けられた「ポート1027の利用履歴」を参照することにより、ポート1027の利用履歴を判断することができる。具体的には、端末Aについて、前々日と前日の2日連続でポート1027を利用していることが読み取れる。このように、「ポート1027の利用履歴」に複数の利用日時の情報が格納されている場合は、予測部150は、ポート1027が今後も利用される可能性があると判断し、「対処(3)」の適用タイミング、つまり、ポート1027をブロックするタイミングを、長めに設定された所定日数が経過した後のタイミングとしても良い。又は、予測部150は、端末Aについて、「対処(3)」を日時予測の対象から除外、つまり、端末Aには「対処(3)」を適用しないと判断しても良い。本実施の形態1においては、予測部150は、前者のように、ポート1027をブロックするタイミングを、長めに設定された所定日数が経過した後のタイミング、例えば、一週間後の「2015年6月3日(水)」と予測するものとする。尚、上述の所定日数を何日にするかは、予め決められた日数とすれば良い。このように、対処に対応する稼働情報を参照することによって、予測部150は、その対処を実行するタイミングを容易に予測することができる。
The
予測部150は、残存端末特定部140が特定した残存端末以外の管理対象端末について、上述のようにして、適用可能な対処を適用する適用タイミングを予測する。詳細には、予測部150は、残存端末以外の各管理対象端末について、図3の端末別対処情報を基に、適用可能な対処を特定し、図5の稼働情報を基に、適用可能な対処の適用タイミングを予測する。予測部150は、残存端末以外の各管理対象端末について、予測した適用タイミングで適用可能な対処が実行され、脆弱性Aが無くなったと仮定する。例えば、端末Aについては、上述したように、「対処(1)」の適用タイミングを「2015年5月28日(木)の午前中」と予測し、「対処(3)」の適用タイミングを「2015年6月3日(水)」と予測している。そのため、予測部150は、端末Aについて、早い方の「2015年5月28日(木)の午前中」に脆弱性Aが無くなったと仮定する。このような仮定に従い、予測部150は、残存端末の数が所定数(例えば、0台)以下になる未来時刻まで、時系列的に、各未来時刻(例えば、即時、翌日、一週間後、一か月後など)毎に、その時点で脆弱性Aが残っている管理対象端末(残存端末)の数を集計し、この集計値を残存リスク(脆弱性Aの残る管理対象端末)の数の予測値とする。図6は、予測部150が予測する予測結果の一例を示す図である。尚、図6は、セキュリティリスクが脆弱性Aである場合の予測結果の例である。図6の予測結果は、選択受付部110が、「対処(1)」、「対処(2)」、及び「対処(3)」が選択されたことを示す入力を受け付けた場合の予測結果である。図6の例は、所定数が0台である場合の例であり、予測部150は、残存端末の数が0台以下になる「三か月後」まで、時系列的に、残存端末の数を予測している。具体的には、図6の例では、残存端末の数は、「即時実行後」に22台になり、「翌日」に13台になり、「一週間後」に6台になり、「一か月後」に2台になり、「三か月後」に0台になると予測されている。
As described above, the
提示部160は、予測部150が予測した予測結果を、例えば情報処理装置10に接続された表示装置(不図示)などに提示する。例えば、提示部160は、図7に示すように、予測部150が予測した予測結果(「残存リスク予測値」)と、残存端末特定部140が特定した残存端末の数を集計した結果(「対処後残存リスク」)と、を図2の画面に反映させる。図7は、提示部160が提示する画面の一例を示す図である。尚、図7は、セキュリティリスクが脆弱性Aである場合の画面の例である。図7では、図2の画面で「対処(1)」、「対処(2)」、及び「対処(3)」が全て選択された場合の画面を例示している。図7の画面では、「残存リスクの予測値」のドロップダウンリストにおいて、「一週間後」が選択されている。そのため、「一週間後」における「残存リスクの予測値」が表示されている。但し、別の未来時刻が選択された場合は、選択された未来時刻(例えば、「翌日」)における「残存リスクの予測値」が表示される。このように、情報処理装置10によって提示される画面においてセキュリティリスクに対する対処が選択されると、その対処を仮に実行した場合の結果がその画面に反映される。
The
又は、提示部160は、図7の画面の代わりに、図8に示されるような、各未来時刻における「残存リスクの予測値」を、時系列的にグラフ化したグラフを表す画面を表示しても良い。図8は、提示部160が提示する画面の他の例を示す図である。尚、図8は、セキュリティリスクが脆弱性Aである場合の画面の例である。また、図8は、現時点の残存リスク(脆弱性Aの残る管理対象端末)の数も合わせて表示しているが、現時点の残存リスクの数を表示するか否かは特に限定されない。
Alternatively, instead of the screen of FIG. 7, the
[ハードウエア構成]
図9は、本実施の形態1に係る情報処理装置10のハードウエア構成を概念的に示す図である。図9に示されるように、本実施の形態1に係る情報処理装置10は、プロセッサ101、メモリ102、ストレージ103、入出力インタフェース(入出力I/F)1004、及び通信インタフェース(通信I/F)105などを備える。プロセッサ101、メモリ102、ストレージ103、入出力インタフェース104、及び通信インタフェース105は、相互にデータを送受信するためのデータ伝送路で接続されている。
[Hardware configuration]
FIG. 9 is a diagram conceptually showing the hardware configuration of the
プロセッサ101は、例えばCPU(Central Processing Unit)やGPU(Graphics Processing Unit)などの演算処理装置である。メモリ102は、例えばRAM(Random Access Memory)やROM(Read Only Memory)などのメモリである。ストレージ103は、例えばHDD(Hard Disk Drive)、SSD(Solid State Drive)、又はメモリカードなどの記憶装置である。また、ストレージ103は、RAMやROMなどのメモリであっても良い。
The
ストレージ103は、情報処理装置10が備える各処理部(選択受付部110、稼働情報特定部120、稼働情報取得部130、残存端末特定部140、予測部150、及び提示部160など)の機能を実現するプログラムを記憶している。プロセッサ101は、これら各プログラムを実行することで、各処理部の機能をそれぞれ実現する。ここで、プロセッサ101は、上記各プログラムを実行する際、これらのプログラムをメモリ102上に読み出してから実行しても良いし、メモリ102上に読み出さずに実行しても良い。
The
入出力インタフェース104は、表示装置1041や入力装置1042などと接続される。表示装置1041は、LCD(Liquid Crystal Display)やCRT(Cathode Ray Tube)ディスプレイのような、プロセッサ101により処理された描画データに対応する画面を表示する装置である。入力装置1042は、オペレータの操作入力を受け付ける装置であり、例えば、キーボード、マウス、及びタッチセンサなどである。表示装置1041及び入力装置1042は一体化され、タッチパネルとして実現されていても良い。
The input /
通信インタフェース105は、外部の装置との間でデータを送受信する。例えば、通信インタフェース105は、有線ネットワーク又は無線ネットワークを介して外部装置と通信する。
The
尚、情報処理装置10のハードウエア構成は、図9に示される構成に制限されない。
The hardware configuration of the
[動作例]
図10を用いて、本実施の形態1に係る情報処理装置10の動作例を説明する。図10は、本実施の形態1に係る情報処理装置10の処理の流れを示すフローチャートである。以下では、セキュリティリスクが脆弱性Aである場合の動作例を説明する。
[Operation example]
An operation example of the
まず、選択受付部110は、図2に示されるような画面を介して、セキュリティ管理者の入力を受け付ける(S101)。セキュリティ管理者の入力は、画面に提示された脆弱性Aに対する複数の対処のうち少なくとも1つの対処を選択する入力である。
First, the
次に、残存端末特定部140は、選択受付部110で受け付けた入力が示す対処をキーとして、端末別対処情報を格納する格納部を参照し、脆弱性Aの残る残存端末を特定する(S102)。例えば、格納部が図3の端末別対処情報を格納しており、選択受付部110が、「対処(1)」が選択されたことを示す入力を受け付けたとする。この場合、残存端末特定部140は、少なくとも「端末B」及び「端末C」を「対処(1)」を適用できない端末(残存端末)として特定する。
Next, the remaining
次に、稼働情報特定部120は、管理対象端末に適用可能な対処に対応する稼働情報の種類を特定し(S103)、稼働情報取得部130は、稼働情報特定部120が特定した種類の稼働情報を、管理対象端末から取得する(S104)。例えば、格納部が図3の端末別対処情報及び図4の定義情報を有していたとする。この場合、稼働情報特定部120は、端末Aについては、「対処(1)」及び「対処(3)」が適用可能であることと、「対処(1)」に対応する稼働情報の種類が「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」であり、また、「対処(3)」に対応する稼働情報の種類が「ポート1027の利用履歴」であることと、を特定する。そのため、稼働情報取得部130は、端末Aについては、端末Aの稼働情報の中から、「パッチ適用履歴」、「再起動履歴」、「連続稼働時間」、及び「ポート1027の利用履歴」を取得する。
Next, the operation
次に、予測部150は、稼働情報取得部130が取得した稼働情報に基づいて、未来時刻における残存端末の数を予測する(S105)。例えば、格納部が図3の端末別対処情報を格納し、稼働情報取得部130が図5の稼働情報を取得していたとする。この場合、予測部150は、残存端末特定部140が特定した残存端末以外の管理対象端末について、図3の端末別対処情報を基に、適用可能な対処を特定し、図5の稼働情報を基に、適用可能な対処の適用タイミングを予測し、各未来時刻毎に、その時点での残存端末の数を集計することで、図6のような予測結果を得る。
その後、提示部160は、予測部150が予測した予測結果を提示する(S106)。提示部160は、図7に示されるように、図2の画面に予測結果を反映させた画面を提示しても良いし、図8に示されるように、予測結果を時系列にグラフ化したグラフの画面を提示しても良い。
Next, the
After that, the
[実施の形態1の作用と効果]
以上、本実施の形態1によれば、未来時刻における、選択された対処を仮に実行した場合の残存端末(残存リスク)の数を予測し、その予測結果を提示する。この提示を見たセキュリティ管理者は、複数の対処のうちのどの対処を実行すると、未来時刻にどれだけの残存端末が残るかといったことを把握することができる。これにより、セキュリティ管理者は、提示された対処をただちに適用するべきか、また、複数の対処が提示された場合に、最適な対処はどれかを判断することができる。すなわち、本実施の形態1によれば、セキュリティ管理者がセキュリティリスクに対する対処の立案を容易に行うことができる。
[Action and effect of Embodiment 1]
As described above, according to the first embodiment, the number of remaining terminals (residual risk) when the selected countermeasure is tentatively executed in the future time is predicted, and the prediction result is presented. The security administrator who sees this presentation can understand which of the multiple measures should be taken to determine how many remaining terminals will remain in the future time. This allows the security administrator to determine whether the suggested action should be applied immediately, and if multiple actions are offered, which is the best action. That is, according to the first embodiment, the security manager can easily plan a countermeasure against a security risk.
[実施の形態2]
本実施の形態2は、実施の形態1をより具体化したものである。
[Embodiment 2]
The second embodiment is a more specific version of the first embodiment.
[システム構成]
図11は、本実施の形態2に係る情報処理システム1のシステム構成を概念的に示す図である。図11に示されるように、本実施の形態2に係る情報処理システム1は、情報処理装置10、管理者端末20、及び管理対象端末30を含んで構成される。管理者端末20は、セキュリティ管理者が操作する端末であり、据え置き型のPC(Personal Computer)やタブレット端末などである。管理対象端末30は、ネットワーク上のクライアント端末、サーバ、スイッチやルータなどの通信機器だけではなく、ネットワークに接続する機能やネットワークを介して通信する手段を有するあらゆる物(所謂IoT(Internet of Things)に含まれる物)である。
[System configuration]
FIG. 11 is a diagram conceptually showing the system configuration of the
[処理構成]
図11に示されるように、本実施の形態2に係る情報処理装置10は、実施の形態1の稼働情報取得部130に代えて情報取得部170を備え、更に、リスク調査部180、表示処理部190、リスク情報格納部192、分類情報格納部194、及び定義情報格納部196を備える。尚、情報取得部170は、稼働情報取得部130に相当する役割を果たす他、後述の他の役割も果たす。
[Processing configuration]
As shown in FIG. 11, the
情報取得部170は、管理対象端末30の各々から端末情報を取得し、図12に示されるような情報を得る。図12は、情報取得部170が取得した端末情報の一例を示す図である。端末情報は、例えば、管理対象端末30のOS(Operating System)の種別、OSのバージョン、管理対象端末30にインストールされている各種アプリケーションなどを含む。但し、端末情報は、図12に例示するような情報に制限されない。情報取得部170は、実施の形態1に係る稼働情報取得部130の動作、すなわち、管理対象端末30の各々から、稼働情報特定部120が特定した種類の稼働情報を取得する動作も行う。
The
リスク調査部180は、情報取得部170が取得した端末情報と、各ベンダーなどから提供されるセキュリティリスクに関する情報などとを照らし合わせて、セキュリティリスクのある管理対象端末30を調査し、図3に示されるような端末別対処情報を含むリスク情報を生成する。例えば、セキュリティリスクが脆弱性Aである場合、リスク情報は、図3に示されるような端末別対処情報に加え、脆弱性Aの概要や、各対処の説明といった情報を更に含んでいても良い。リスク調査部180は、生成したリスク情報をリスク情報格納部192に格納する。
The
表示処理部190は、リスク情報格納部192に格納されているリスク情報を用いて、管理者端末20の表示部(不図示)に表示する画面を生成し、管理者端末20に出力する。本実施の形態2では、表示処理部190は、例えば、図13に示されるような分類情報格納部194の分類情報を用いて、例えば、図14に示すような、脆弱性Aのある端末を分類して表示する画面を生成する。分類情報を用いることにより、残存端末の傾向を判断することができる。図13は、分類情報格納部194が格納する分類情報の一例を示す図であり、図14は、表示処理部190が生成する画面の一例を示す図である。尚、図14は、セキュリティリスクが脆弱性Aである場合の画面の例である。図13の例では、分類情報格納部194は、各管理対象端末を識別する端末識別情報(例えば、MACアドレスなど)と2種類の分類情報(端末の種別、優先度)とを対応付けて格納している。詳細には、管理対象端末30は、まず「サーバ」と「クライアント」に分類され、更に、「クライアント」に属する管理対象端末30は優先度の大小によって分類されている。表示処理部190は、図13に示される分類情報を用いて、図14に示されるように、管理対象端末30を、分類(「サーバ」又は「クライアント」、また「クライアント」であればその優先度の「大/中/小」)して表示する画面を生成し、管理者端末20の表示部(不図示)に表示させる。
The
セキュリティ管理者は、管理者端末20に表示される画面(例えば、図14の画面)を確認し、脆弱性Aに対して適用する対処の選択入力を行う。ここで入力された結果が、選択受付部110に送信される。選択受付部110は、分類毎の選択入力を図14に示されるような画面を介して受け付け、残存端末特定部140は、その分類毎の選択入力に基づいて、分類毎に選択された対処を仮に実行した場合の残存端末を分類毎に特定する。また、予測部150は、分類毎に選択された対処を仮に実行した場合の未来時刻における残存端末の数を分類毎に予測する。このとき、予測部150は、例えば、図15に示されるような予測を行う。図15は、予測部150が予測する予測結果の一例を示す図である。尚、図15は、セキュリティリスクが脆弱性Aである場合の予測結果の例である。図15の予測結果は、選択受付部110が、「サーバ」については、「対処(1)」、「対処(2)」、及び「対処(3)」が選択され、「クライアント」については、優先度が「大」、「中」、及び「小」の全てにおいて、「対処(1)」及び「対処(2)」が選択されたことを示す入力を受け付けた場合の予測結果である。図15の例は、所定数が0台である場合の例であり、予測部150は、全体の残存端末の数が0台以下になる「三か月後」まで、時系列的に、残存端末の数を予測している。具体的には、図15の例では、全体の残存端末の数は、「即時実行後」に22台になり、「翌日」に13台になり、「一週間後」に6台になり、「一か月後」に2台になり、「三か月後」に0台になると予測されている。
The security administrator confirms the screen displayed on the administrator terminal 20 (for example, the screen of FIG. 14), and inputs the selection of the countermeasure to be applied to the vulnerability A. The result input here is transmitted to the
そして、提示部160は、例えば図16に示されるように、分類毎の残存端末の数及びそれら全体の残存端末の数(「対処後残存リスク」)と、分類毎の未来時刻における残存端末の数の予測値及びそれら全体の残存端末の数の予測値(残存リスク予測値)と、を表示する画面を提示する。図16は、提示部160が提示する画面の一例を示す図である。尚、図16は、セキュリティリスクが脆弱性Aである場合の画面の例である。図16の画面で、各対処の列の欄のかっこ内に記載されている数字は、その列に対応する対処を仮に実行した場合に脆弱性Aが無くなる管理対象端末30の台数を示しており、他の対処の選択に応じて変化する。例えば、優先度が「大」の「クライアント」について、「対処(2)」の列の欄のかっこ内に記載されている数字は、図14の画面では「5」であるが、図16の画面では「2」である。これは、「対処(2)」のみを単独で適用した場合は脆弱性Aが無くなる優先度が「大」の「クライアント」の台数は5台であるが、「対処(1)」及び「対処(2)」を併用して適用した場合は、その5台のうち3台は「対処(1)」の適用により脆弱性Aが無くなり、残りの2台が「対処(2)」の適用により脆弱性Aが無くなることを意味している。
Then, as shown in FIG. 16, for example, the
又は、提示部160は、図16の画面の代わりに、図17に示されるような、各未来時刻における分類毎の「残存リスクの予測値」を、時系列的にグラフ化したグラフを表す画面を表示しても良い。図17は、提示部160が提示する画面の他の例を示す図である。図17は、提示部160が提示する画面の他の例を示す図である。尚、図17は、セキュリティリスクが脆弱性Aである場合の画面の例である。また、図17は、現時点の残存リスク(脆弱性Aの残る管理対象端末)の数も合わせて表示しているが、現時点の残存リスクの数を表示するか否かは特に限定されない。
Alternatively, instead of the screen of FIG. 16, the
尚、提示部160が提示する図16又は図17の画面は、表示処理部190によって管理者端末20に出力され、管理者端末20の表示部(不図示)に表示される。
The screen of FIG. 16 or FIG. 17 presented by the
定義情報格納部196は、管理対象端末30の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する定義情報(例えば、図4の定義情報)を格納する。定義情報は、例えば、サーバ装置(不図示)から情報処理装置10に配信することとして良い。稼働情報特定部120は、定義情報格納部196に格納されている定義情報を用いて、稼働情報の種類を特定する。
The definition
[ハードウエア構成]
本実施の形態2に係る情報処理装置10は、実施の形態1と同様のハードウエア構成を有する。ストレージ103は、本実施の形態2に係る各処理部(情報取得部170、リスク調査部180、及び表示処理部190)の機能を実現するプログラムを更に格納しており、プロセッサ101がこれらのプログラムを実行することにより、本実施の形態2に係る各処理部が実現される。また、メモリ102やストレージ103は、リスク情報格納部192、分類情報格納部194、及び定義情報格納部196としての役割も果たす。
[Hardware configuration]
The
[動作例]
図18を用いて、本実施の形態2に係る情報処理装置10の動作例を説明する。図18は、本実施の形態2に係る情報処理装置10の処理の流れを示すフローチャートである。以下では、セキュリティリスクが脆弱性Aである場合の動作例を説明する。
[Operation example]
An operation example of the
情報取得部170は、例えば、管理者端末20からの画面表示要求に応じて、各管理対象端末30の端末情報を取得する(S201)。そして、リスク調査部180は、例えば、取得した各管理対象端末30の端末情報に基づいて、脆弱性Aのある管理対象端末30を調査し、リスク情報を生成する(S202)。リスク調査部180は、例えば、取得した各管理対象端末30の端末情報と各ベンダーなどから提供される脆弱性Aに関する情報とを照らし合わせて、脆弱性Aのある管理対象端末30及び適用可能な対処などを特定することができる。尚、S201及びS202の処理は、管理者端末20からの画面表示要求を受ける前に予め実行されていても良い。この場合、管理者端末20からの画面表示要求に応じて、以下のS203の処理が実行される。
The
表示処理部190は、S202で生成されたリスク情報と、分類情報格納部194に格納されている分類情報とに基づいて、脆弱性Aのある端末を調査した結果を表示する画面(例えば、図14の画面)を生成し、管理者端末20の表示部(不図示)に表示させる(S203)。管理者端末20を操作するセキュリティ管理者は、表示された画面の内容を確認し、複数の対処の少なくとも1つを選択する入力操作を行う。そして、選択受付部110は、管理者端末20での入力操作によって選択された対処を示す情報を管理者端末20から受け付ける(S204)。残存端末特定部140は、管理者端末20で選択された対処を示す情報と端末別対処情報とに基づいて、分類毎に残存端末を特定する(S205)。例えば、リスク情報格納部192が図3の端末別対処情報を格納しており、選択受付部110が、「サーバ」について、「対処(1)」及び「対処(2)」が選択されたことを示す入力を受け付けたとする。この場合、残存端末特定部140は、少なくとも「端末C」を「対処(1)」及び「対処(2)」のいずれも適用できない端末(残存端末)として特定する。
The
次に、稼働情報特定部120は、管理対象端末30に適用可能な対処に対応する稼働情報の種類を特定し(S206)、稼働情報取得部130は、稼働情報特定部120が特定した種類の稼働情報を、管理対象端末30から取得する(S207)。例えば、リスク情報格納部192が図3の端末別対処情報を格納し、定義情報格納部196が図4の定義情報を格納していたとする。この場合、稼働情報特定部120は、端末Aについては、「対処(1)」及び「対処(3)」が適用可能であることと、「対処(1)」に対応する稼働情報の種類が「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」であり、また、「対処(3)」に対応する稼働情報の種類が「ポート1027の利用履歴」であることと、を特定する。そのため、稼働情報取得部130は、端末Aについては、端末Aの稼働情報の中から、「パッチ適用履歴」、「再起動履歴」、「連続稼働時間」、及び「ポート1027の利用履歴」を取得する。
Next, the operation
次に、予測部150は、稼働情報取得部130が取得した稼働情報に基づいて、分類毎に、未来時刻における残存端末の数を予測する(S208)。例えば、リスク情報格納部192が図3の端末別対処情報を格納し、情報取得部170が図5の稼働情報を取得していたとする。この場合、予測部150は、残存端末特定部140が特定した残存端末以外の管理対象端末30について、図3の端末別対処情報を基に、適用可能な対処を特定し、図5の稼働情報を基に、適用可能な対処の適用タイミングを予測し、各未来時刻毎に、その時点での残存端末の数を集計する。この処理を、分類毎に行うことで、図15のような予測結果を得る。
その後、提示部160は、予測部150が予測した予測結果を提示する(S209)。提示部160は、図16に示されるように、図14の画面に予測結果を反映させた画面を提示しても良いし、図17に示されるように、予測結果を時系列にグラフ化したグラフの画面を提示しても良い。
Next, the
After that, the
以上、本実施の形態2によれば、実施の形態1と同様の効果を得ることができる。 As described above, according to the second embodiment, the same effect as that of the first embodiment can be obtained.
以上、実施の形態を参照して本発明を説明したが、本発明は上記によって限定されるものではない。本発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。 Although the present invention has been described above with reference to the embodiments, the present invention is not limited to the above. Various changes that can be understood by those skilled in the art can be made to the structure and details of the present invention within the scope of the invention.
例えば、上述の各実施の形態において、画面で選択された内容に基づいて各管理対象端末に対処を実行させるボタンが画面上に更に設けられていても良い。当該ボタンが押下されると、情報処理装置10は、選択された内容に従って各端末に対処を実行させる命令を生成し、各端末に向けて出力する。
For example, in each of the above-described embodiments, a button for causing each managed terminal to take action based on the content selected on the screen may be further provided on the screen. When the button is pressed, the
また、上述の各実施の形態においては、未来時刻における残存端末の数を提示する態様について説明した。しかし、残存端末に関する指標を提示することもできる。残存端末に関する指標には、例えば、セキュリティリスクのある端末の数に対する残存端末の数の割合や当該割合に応じた色などが含まれる。 Further, in each of the above-described embodiments, an aspect of presenting the number of remaining terminals at a future time has been described. However, it is also possible to present an index regarding the remaining terminal. The index relating to the remaining terminals includes, for example, the ratio of the number of remaining terminals to the number of terminals having a security risk, the color corresponding to the ratio, and the like.
また、上述の各実施の形態においては、セキュリティリスクに対する対処の選択入力に応じて未来時刻における残存端末の数を提示する態様について説明した。しかし、例えば適用しうる対処の数が少ない場合などは、選択入力にかかわらず全ての対処を適用した場合の残存端末の数をはじめから提示することもできる。 Further, in each of the above-described embodiments, an aspect of presenting the number of remaining terminals in the future time according to the selective input of the countermeasure against the security risk has been described. However, for example, when the number of applicable countermeasures is small, the number of remaining terminals when all the countermeasures are applied regardless of the selection input can be presented from the beginning.
また、上述の各実施の形態においては、管理対象端末に対して予め調査することで生成した端末別対処情報を読み出し、読み出した端末別対処情報に基づいて未来時刻における残存端末の数を提示する態様ついて説明した。しかし、未来時刻における残存端末の数を提示する前に、管理対象端末に対して調査することで端末別対処情報を取得することもできる。 Further, in each of the above-described embodiments, the terminal-specific handling information generated by investigating the managed terminal in advance is read, and the number of remaining terminals in the future time is presented based on the read terminal-specific handling information. Aspects have been described. However, it is also possible to acquire countermeasure information for each terminal by investigating the managed terminal before presenting the number of remaining terminals in the future time.
また、上述の実施の形態2においては、管理対象端末を、まず、サーバとクライアントに分類し、更に、クライアントを優先度の大小で分類した。しかし、分類の方法はこれに限定されず、サーバとクライアントに分類するに留めたり、サーバ又はクライアントにかかわらず、優先度の大小で分類したりすることもできる。また、その他の方法で分類することもできる。 Further, in the second embodiment described above, the managed terminals are first classified into servers and clients, and the clients are further classified according to the degree of priority. However, the classification method is not limited to this, and the classification can be limited to the server and the client, or can be classified according to the priority level regardless of the server or the client. It can also be classified by other methods.
また、上述の説明で用いた複数のフローチャートでは、複数の工程(処理)が順番に記載されているが、各実施の形態で実行される工程の実行順序は、その記載の順番に制限されない。各実施の形態では、図示される工程の順番を内容的に支障のない範囲で変更することができる。また、上述の各実施の形態は、内容が相反しない範囲で組み合わせることができる。 Further, in the plurality of flowcharts used in the above description, a plurality of steps (processes) are described in order, but the execution order of the steps executed in each embodiment is not limited to the order of description. In each embodiment, the order of the illustrated steps can be changed within a range that does not hinder the contents. Further, the above-described embodiments can be combined as long as the contents do not conflict with each other.
上記実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける選択受付部と、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する稼働情報特定部と、
前記端末の稼働情報のうち前記稼働情報特定部が特定した種類の稼働情報を取得する稼働情報取得部と、
前記端末別対処情報に基づいて、前記選択受付部が受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する残存端末特定部と、
前記稼働情報取得部が取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測部と、
前記予測部が予測した予測結果を提示する提示部と、
を備える情報処理装置。
(付記2)
前記予測部は、
未来時刻における前記残存端末の数を時系列的に予測し、
前記提示部は、
未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する、
付記1に記載の情報処理装置。
(付記3)
前記予測部は、
前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する、
付記2に記載の情報処理装置。
(付記4)
前記端末を分類する分類情報を格納する分類情報格納部を更に備え、
前記予測部は、
前記端末の分類毎に、未来時刻における前記残存端末の数を予測する、
付記1から3のいずれか1項に記載の情報処理装置。
(付記5)
情報処理装置が行う情報処理方法であって、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付けるステップと、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定するステップと、
前記端末の稼働情報のうち前記特定した種類の稼働情報を取得するステップと、
前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定するステップと、
前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測ステップと、
前記予測した予測結果を提示する提示ステップと、
を含む情報処理方法。
(付記6)
前記予測ステップでは、
未来時刻における前記残存端末の数を時系列的に予測し、
前記提示ステップでは、
未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する、
ことを含む付記5に記載の情報処理方法。
(付記7)
前記予測ステップでは、
前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する、付記6に記載の情報処理方法。
(付記8)
前記端末を分類する分類情報を格納する分類情報格納部を更に備え、
前記予測ステップでは、
前記端末の分類毎に、未来時刻における前記残存端末の数を予測する、付記5から7のいずれか1項に記載の情報処理方法。
(付記9)
コンピュータに、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける手順と、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する手順と、
前記端末の稼働情報のうち前記特定した種類の稼働情報を取得する手順と、
前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する手順と、
前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測手順と、
前記予測した予測結果を提示する提示手順と、
を実行させるためのプログラム。
(付記10)
前記予測手順では、
未来時刻における前記残存端末の数を時系列的に予測し、
前記提示手順では、
未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する、
ことを含む付記9に記載のプログラム。
(付記11)
前記予測手順では、
前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する、付記10に記載のプログラム。
(付記12)
前記コンピュータに、
前記端末を分類する分類情報を格納する手順を更に実行させ、
前記予測手順では、
前記端末の分類毎に、未来時刻における前記残存端末の数を予測する、付記9から11のいずれか1項に記載のプログラム。
Some or all of the above embodiments may be described as in the appendix below, but are not limited to the following.
(Appendix 1)
A selection reception unit that accepts an input indicating that at least one countermeasure has been selected from a plurality of countermeasures applicable to terminals having a security risk.
Using the terminal-specific countermeasure information indicating the countermeasures applicable to the security risk for each terminal, and the definition information defining the correspondence relationship between the type of operation information of the terminal and the countermeasure against the security risk, An operation information identification unit that specifies the type of operation information corresponding to the measures applicable to the terminal, and
An operation information acquisition unit that acquires the type of operation information specified by the operation information identification unit among the operation information of the terminal, and an operation information acquisition unit.
Based on the terminal-specific handling information, when the handling received by the selection reception unit is applied, the remaining terminal specifying unit that identifies the remaining terminal that is the terminal for which the security risk remains, and the remaining terminal specifying unit.
A prediction unit that predicts the number of remaining terminals at a future time based on the operation information acquired by the operation information acquisition unit.
A presentation unit that presents the prediction result predicted by the prediction unit, and a presentation unit.
Information processing device equipped with.
(Appendix 2)
The prediction unit
Predict the number of the remaining terminals in the future time in chronological order,
The presentation unit is
Presenting a graph in which the number of the remaining terminals in the future time is graphed in chronological order.
The information processing apparatus according to
(Appendix 3)
The prediction unit
Predict the number of remaining terminals in chronological order until a future time when the number of remaining terminals becomes a predetermined number or less.
The information processing device according to
(Appendix 4)
A classification information storage unit for storing classification information for classifying the terminal is further provided.
The prediction unit
For each classification of the terminals, the number of the remaining terminals at the future time is predicted.
The information processing apparatus according to any one of
(Appendix 5)
It is an information processing method performed by an information processing device.
A step that accepts an input indicating that at least one action has been selected from multiple actions applicable to terminals with security risks.
Using the terminal-specific countermeasure information indicating the countermeasures applicable to the security risk for each terminal, and the definition information defining the correspondence relationship between the type of operation information of the terminal and the countermeasure against the security risk, A step to identify the type of operation information corresponding to the countermeasure applicable to the terminal, and
The step of acquiring the operation information of the specified type among the operation information of the terminal, and
Based on the terminal-specific countermeasure information, the step of identifying the remaining terminal, which is the terminal on which the security risk remains when the accepted countermeasure is applied, and
A prediction step for predicting the number of the remaining terminals in the future time based on the acquired operation information,
A presentation step for presenting the predicted prediction result and
Information processing methods including.
(Appendix 6)
In the prediction step,
Predict the number of the remaining terminals in the future time in chronological order,
In the presentation step,
Presenting a graph in which the number of the remaining terminals in the future time is graphed in chronological order.
The information processing method according to
(Appendix 7)
In the prediction step,
The information processing method according to
(Appendix 8)
A classification information storage unit for storing classification information for classifying the terminal is further provided.
In the prediction step,
The information processing method according to any one of
(Appendix 9)
On the computer
A procedure for accepting input indicating that at least one countermeasure has been selected from a plurality of countermeasures applicable to a terminal having a security risk, and a procedure for accepting an input indicating that at least one countermeasure has been selected.
Using the terminal-specific countermeasure information indicating the countermeasures applicable to the security risk for each terminal, and the definition information defining the correspondence relationship between the type of operation information of the terminal and the countermeasure against the security risk, A procedure for identifying the type of operation information corresponding to the countermeasure applicable to the terminal, and
The procedure for acquiring the specified type of operation information among the operation information of the terminal, and
Based on the terminal-specific countermeasure information, the procedure for identifying the remaining terminal, which is the terminal for which the security risk remains when the accepted countermeasure is applied, and the procedure.
A prediction procedure for predicting the number of the remaining terminals in the future time based on the acquired operation information, and
The presentation procedure for presenting the predicted prediction result and the presentation procedure.
A program to execute.
(Appendix 10)
In the prediction procedure,
Predict the number of the remaining terminals in the future time in chronological order,
In the presentation procedure,
Presenting a graph in which the number of the remaining terminals in the future time is graphed in chronological order.
The program described in Appendix 9 including the above.
(Appendix 11)
In the prediction procedure,
The program according to
(Appendix 12)
To the computer
Further execution of the procedure for storing the classification information for classifying the terminal is performed.
In the prediction procedure,
The program according to any one of Supplementary note 9 to 11, which predicts the number of the remaining terminals in the future time for each classification of the terminals.
1 情報処理システム
10 情報処理装置
101 プロセッサ
102 メモリ
103 ストレージ
104 入出力インタフェース
1041 表示装置
1042 入力装置
105 通信インタフェース
110 選択受付部
120 稼働情報特定部
130 稼働情報取得部
140 残存端末特定部
150 予測部
160 提示部
170 情報取得部
180 リスク調査部
190 表示処理部
192 リスク情報格納部
194 分類情報格納部
196 定義情報格納部
20 管理者端末
30 管理対象端末
1
Claims (13)
セキュリティリスク及びその対処法を含むリスク情報を記憶し、
前記第1の端末に対し、前記リスク情報に含まれる第1のセキュリティリスクに関連する第1の対処法が適用可能であることを特定する、
情報処理方法。 It is an information processing method performed by the information processing device that manages the first terminal.
Memorize risk information, including security risks and how to deal with them,
Identify that the first remedy related to the first security risk included in the risk information is applicable to the first terminal.
Information processing method.
請求項1に記載の情報処理方法。 It is specified that the second countermeasure related to the first security risk is applicable to the first terminal.
The information processing method according to claim 1.
前記第2の端末に対し、前記第1の対処法が適用可能であることを特定する、
請求項1に記載の情報処理方法。 The information processing device further manages the second terminal and
Identify that the first remedy is applicable to the second terminal.
The information processing method according to claim 1.
前記第2の端末に対し、前記第1の対処法が適用可能であることを特定する、
請求項2に記載の情報処理方法。 The information processing device further manages the second terminal and
Identify that the first remedy is applicable to the second terminal.
The information processing method according to claim 2.
請求項4に記載の情報処理方法。 It is specified that the second countermeasure included in the risk information is applicable to the second terminal.
The information processing method according to claim 4.
前記稼働情報に基づいて、前記第1の対処法の適用タイミングを判断する、
請求項1に記載の情報処理方法。 Further memorize the operation information of the first terminal,
Based on the operation information, the timing of applying the first countermeasure is determined.
The information processing method according to claim 1.
セキュリティリスク及びその対処法を含むリスク情報を記憶する記憶部と、
前記第1の端末に対し、前記リスク情報に含まれる第1のセキュリティリスクに関連する第1の対処法が適用可能であることを特定する特定部と、
を備える情報処理装置。 An information processing device that manages the first terminal.
A storage unit that stores risk information including security risks and countermeasures,
A specific unit that specifies that the first countermeasure related to the first security risk included in the risk information is applicable to the first terminal, and
Information processing device equipped with.
請求項7に記載の情報処理装置。 The specific unit specifies that the second countermeasure related to the first security risk is applicable to the first terminal.
The information processing apparatus according to claim 7.
前記特定部は、前記第2の端末に対し、前記第1の対処法が適用可能であることを特定する、
請求項7に記載の情報処理装置。 The information processing device further manages the second terminal and
The specific unit specifies that the first countermeasure is applicable to the second terminal.
The information processing apparatus according to claim 7.
前記特定部は、前記第2の端末に対し、前記第1の対処法が適用可能であることを特定する、
請求項8に記載の情報処理装置。 The information processing device further manages the second terminal and
The specific unit specifies that the first countermeasure is applicable to the second terminal.
The information processing apparatus according to claim 8.
請求項10に記載の情報処理装置。 The specific unit specifies that the second countermeasure included in the risk information is applicable to the second terminal.
The information processing apparatus according to claim 10.
前記特定部は、前記稼働情報に基づいて、前記第1の対処法の適用タイミングを判断する、
請求項7に記載の情報処理装置。 The storage unit further stores the operation information of the first terminal, and stores the operation information of the first terminal.
The specific unit determines the application timing of the first countermeasure based on the operation information.
The information processing apparatus according to claim 7.
セキュリティリスク及びその対処法を含むリスク情報を記憶する手順と、
前記第1の端末に対し、前記リスク情報に含まれる第1のセキュリティリスクに関連する第1の対処法が適用可能であることを特定する手順と、
を実行させるためのプログラム。 To the computer that manages the first terminal,
Procedures for storing risk information, including security risks and countermeasures, and
A procedure for identifying that the first countermeasure related to the first security risk included in the risk information is applicable to the first terminal, and
A program to execute.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022061551A JP2022079717A (en) | 2020-07-28 | 2022-04-01 | Information processing device, information processing method, and program |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020127127A JP7226819B2 (en) | 2020-07-28 | 2020-07-28 | Information processing device, information processing method, program |
JP2022061551A JP2022079717A (en) | 2020-07-28 | 2022-04-01 | Information processing device, information processing method, and program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020127127A Division JP7226819B2 (en) | 2020-07-28 | 2020-07-28 | Information processing device, information processing method, program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022079717A true JP2022079717A (en) | 2022-05-26 |
Family
ID=73045225
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020127127A Active JP7226819B2 (en) | 2020-07-28 | 2020-07-28 | Information processing device, information processing method, program |
JP2022061551A Pending JP2022079717A (en) | 2020-07-28 | 2022-04-01 | Information processing device, information processing method, and program |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020127127A Active JP7226819B2 (en) | 2020-07-28 | 2020-07-28 | Information processing device, information processing method, program |
Country Status (1)
Country | Link |
---|---|
JP (2) | JP7226819B2 (en) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008004498A1 (en) * | 2006-07-06 | 2008-01-10 | Nec Corporation | Security risk management system, device, method, and program |
JP2009110177A (en) * | 2007-10-29 | 2009-05-21 | Ntt Data Corp | Unit and method for supporting information security measure decision, and computer program |
JP2009140041A (en) * | 2007-12-04 | 2009-06-25 | Nec Corp | Security operation management system, method, and program |
JP4469910B1 (en) * | 2008-12-24 | 2010-06-02 | 株式会社東芝 | Security measure function evaluation program |
JP2011066834A (en) * | 2009-09-18 | 2011-03-31 | Sony Corp | Information processing apparatus, method for processing information, communication apparatus, method of communication, program, and mutual authentication system |
US20120210434A1 (en) * | 2011-02-11 | 2012-08-16 | Achilles Guard, Inc., D/B/A Critical Watch | Security countermeasure management platform |
JP2012208863A (en) * | 2011-03-30 | 2012-10-25 | Hitachi Ltd | Vulnerability determination system, vulnerability determination method and vulnerability determination program |
WO2015114791A1 (en) * | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | Security management device |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011014094A (en) * | 2009-07-06 | 2011-01-20 | Toshiba Corp | Software update information management device and program |
JP2014023137A (en) * | 2012-07-24 | 2014-02-03 | Mitsubishi Electric Corp | Communication system, route control device, user terminal and route control method |
JP2015138509A (en) * | 2014-01-24 | 2015-07-30 | 株式会社日立システムズ | Vulnerability risk diagnostic system and vulnerability risk diagnostic method |
-
2020
- 2020-07-28 JP JP2020127127A patent/JP7226819B2/en active Active
-
2022
- 2022-04-01 JP JP2022061551A patent/JP2022079717A/en active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008004498A1 (en) * | 2006-07-06 | 2008-01-10 | Nec Corporation | Security risk management system, device, method, and program |
JP2009110177A (en) * | 2007-10-29 | 2009-05-21 | Ntt Data Corp | Unit and method for supporting information security measure decision, and computer program |
JP2009140041A (en) * | 2007-12-04 | 2009-06-25 | Nec Corp | Security operation management system, method, and program |
JP4469910B1 (en) * | 2008-12-24 | 2010-06-02 | 株式会社東芝 | Security measure function evaluation program |
JP2011066834A (en) * | 2009-09-18 | 2011-03-31 | Sony Corp | Information processing apparatus, method for processing information, communication apparatus, method of communication, program, and mutual authentication system |
US20120210434A1 (en) * | 2011-02-11 | 2012-08-16 | Achilles Guard, Inc., D/B/A Critical Watch | Security countermeasure management platform |
JP2012208863A (en) * | 2011-03-30 | 2012-10-25 | Hitachi Ltd | Vulnerability determination system, vulnerability determination method and vulnerability determination program |
WO2015114791A1 (en) * | 2014-01-31 | 2015-08-06 | 株式会社日立製作所 | Security management device |
Non-Patent Citations (2)
Title |
---|
堀澤 楽優: "セキュリティのプロが実践をふまえて指南する企業セキュリティ", N+I NETWORK, vol. 第4巻,第1号, JPN6016032017, 1 January 2004 (2004-01-01), JP, pages 120 - 123, ISSN: 0005077816 * |
神田 真奈: "電子商取引システムにおけるリスク分析の考察", 情報処理学会第55回(平成9年後期)全国大会講演論文集, vol. 5M−6, JPN6017016806, 24 September 1997 (1997-09-24), JP, pages 4 - 455, ISSN: 0005077817 * |
Also Published As
Publication number | Publication date |
---|---|
JP2020184377A (en) | 2020-11-12 |
JP7226819B2 (en) | 2023-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10003547B2 (en) | Monitoring computer process resource usage | |
CN111538634B (en) | Computing system, method, and storage medium | |
US9479527B2 (en) | Methods and systems for automated network scanning in dynamic virtualized environments | |
US9270694B2 (en) | Systems and methods for assessing security for a network of assets and providing recommendations | |
JP6891583B2 (en) | Information processing equipment, information processing methods, programs | |
US8869154B1 (en) | Controlling processor usage on a computing device | |
US11822671B2 (en) | Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures | |
JP2007164465A (en) | Client security management system | |
JP7255636B2 (en) | Terminal management device, terminal management method, and program | |
JP2009217321A (en) | Information processor and information processing program | |
JP2022079717A (en) | Information processing device, information processing method, and program | |
US8200953B1 (en) | Method and system to automatically update a configuration scheme | |
JP6746084B2 (en) | Information processing device, information processing method, and program | |
JP2020184372A (en) | Information processing apparatus, security information distribution method, and program | |
JP2020095459A (en) | History monitoring method, monitoring processor and monitoring processing program | |
JP2008305313A (en) | Remote defragmentation system, service device, program and remote defragmentation method | |
JP6716995B2 (en) | Information processing apparatus, information processing method, and program | |
WO2021024415A1 (en) | Policy evaluation device, control method, and program | |
WO2020240766A1 (en) | Evaluation device, system, control method, and program | |
JP2013130984A (en) | Serial computer switching system and serial computer switching method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220401 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230606 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20231128 |