JP4728017B2 - 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム - Google Patents
統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム Download PDFInfo
- Publication number
- JP4728017B2 JP4728017B2 JP2005062472A JP2005062472A JP4728017B2 JP 4728017 B2 JP4728017 B2 JP 4728017B2 JP 2005062472 A JP2005062472 A JP 2005062472A JP 2005062472 A JP2005062472 A JP 2005062472A JP 4728017 B2 JP4728017 B2 JP 4728017B2
- Authority
- JP
- Japan
- Prior art keywords
- patch
- audit
- management
- program
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、セキュリィ用パッチを管理者主導及び利用者主導にて行うための統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラムに関するものである。
インターネットの普及に伴いネットワークは拡大の一途を辿っている。これに伴い悪意の第三者によるコンピュータウィルスの蔓延、アクセス権を持たないネットワークへの不正侵入、データの改竄等が問題となってきている。この為、ネットワークの利用者の多くはセキュリティ用コンポーネントを自らの端末にインストールし、新たなセキュリティパッチが開発される度に更新処理を行っている。
社内ネットワーク等においては、全ての社内LANに接続する端末に対してセキュリティパッチ処理を徹底して行わないと、一台の端末がパッチ処理を未完成であることや、セキュリティレベルの設定が低いままの状態で外部に一度持ち出したモバイル型端末を再度社内ネットワークに接続することにより、ネットワーク全体が悪意の第三者による不正侵入やウィルス等の恐怖に晒されてしまう。
この為、ネットワークの管理者が主導してパッチ処理の監査を実施するコンポーネントがある(非特許文献1参照。)。このコンポーネントでは、ネットワーク内のパッチ適用対象となる端末に対し、管理者が一定期間毎にプッシュ方式で、新規のパッチを更新する。
又、利用者自身がパッチ監査を実施するコンポーネントがある(非特許文献2参照。)。このコンポーネントでは、利用者が一定期間ごとに適用すべきパッチを選択し、選択したパッチをプル方式で更新する(非特許文献2参照。)。
株式会社シマンテック"セキュリティレスポンス「シマンテックエンタープライズセキュリティマネジャー」"、[online]、[平成17年2月3日検索]、インターネット<URL: http://www.symantec.co.jp/region/jp/products/esm/index.html> エルニステクノロジーズ株式会社"ELNIS Security Inspector の概要と特長"、[online]、[平成17年2月3日検索]、インターネット<URL: http://www.elnis.com/download/esi/img/SecurityCheckerMerit.pdf>
株式会社シマンテック"セキュリティレスポンス「シマンテックエンタープライズセキュリティマネジャー」"、[online]、[平成17年2月3日検索]、インターネット<URL: http://www.symantec.co.jp/region/jp/products/esm/index.html> エルニステクノロジーズ株式会社"ELNIS Security Inspector の概要と特長"、[online]、[平成17年2月3日検索]、インターネット<URL: http://www.elnis.com/download/esi/img/SecurityCheckerMerit.pdf>
しかしながら従来のセキュリティシステムでは、ネットワーク接続用のアカウントを取得済みの端末は、管理者主導型若しくは利用者主導型いずれか片方の方式でしかセキュリティ監査を行うことはできなかった。しかし、管理者主導型若しくは利用者主導型はそれぞれに利点があり、更に現在の多様なネットワーク形態においていずれか片方に設定することは、端末の利用者側にとって非常に不便であった。又、利用者主導型の場合、端末は個々の社員によりばらばらに管理されるため、セキュリティレベル低下の原因となっていた。
本発明は上記の問題を解決するためになされたものであり、1つのネットワーク内にて管理者主導型及び利用者主導型両方のセキュリティパッチ適用処理を統括的に管理することができる統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラムを提供することを目的とする。
上記問題点を鑑みて、本発明の第1の特徴は、[イ]パッチ監査及びパッチ適用の管理対象である複数の端末2と通信可能に接続する統合セキュリティ監査装置であって、複数の端末2の内、管理者が主導でパッチ監査及びパッチ実行の管理を行う管理者主導端末17に対し、統合セキュリティ監査装置側の命令を代理実行するエージェントプログラムを提供するエージェントプログラム提供手段11aと、[ロ]複数の端末2の内、利用者が主導でパッチ監査の管理を行う利用者主導端末18に対し、パッチ監査及びパッチ実行を行わせるための情報を提示し、パッチ監査及びパッチ実行の処理結果を統合セキュリティ監査装置側へ送信させる自己管理プログラムを提供する自己管理プログラム提供手段11bと、[ハ]複数の端末2に関する基本情報、管理者主導又は利用者主導に関する情報及び監査履歴情報を備える管理端末テーブル14aを作成する管理端末テーブル作成手段13aと、[ニ]複数の端末2に対してパッチ監査を実行する監査手段13eと、[ホ]利用者主導端末18におけるパッチ監査の状態、パッチ監査の処理結果を作成する監査状態結果作成手段13fと、[ヘ]パッチ監査の処理結果を基に、監査の履歴情報を備える監査履歴テーブル14bを作成する監査履歴テーブル作成手段13dと、[ト]管理端末テーブル14a及び監査履歴テーブル14bを格納する監査管理記憶部14と、[チ]通信回線4を介して、パッチ実行に必要なパッチプログラムを取得するパッチサーバ15と、[リ]パッチプログラムの基本情報を備えるパッチ構成リスト16aを作成するパッチ構成リスト作成手段12bと、[ヌ]パッチプログラムを実行するパッチ実行手段12dと、[ル]パッチプログラムの実行結果のログを基にパッチテーブルを作成するパッチテーブル作成手段12fと、[ヲ]パッチ構成リスト16a及びパッチテーブル16bを格納するパッチ記憶部16とを備える統合セキュリティ監査装置であることを要旨とする。
本発明の第2の特徴は、[イ]パッチ監査及びパッチ適用を実行する統合セキュリティ監査装置に通信可能に接続され、統合セキュリティ監査装置の監査対象である複数の端末2の内、管理者が主導でパッチ監査及びパッチ実行の管理を行う管理者主導端末17に対し、統合セキュリティ監査装置側の命令を代理実行するエージェントプログラムをエージェントプログラム提供手段が提供するステップと、[ロ]複数の端末2の内、利用者が主導でパッチ監査の管理を行う利用者主導端末18に対し、パッチ監査及びパッチ実行を行わせるための情報を提示し、パッチ監査及びパッチ実行の処理結果を統合セキュリティ監査装置側へ送信させる自己管理プログラムを自己管理プログラム提供手段11bが提供するステップと、[ハ]複数の端末2に関する基本情報、管理者主導又は利用者主導に関する情報及び監査履歴情報を備える管理端末テーブル14aを管理端末テーブル作成手段13aが作成するステップと、[ニ]複数の端末2に対して監査手段13eがパッチ監査を実行するステップと、[ホ]利用者主導端末18におけるパッチ監査の状態、パッチ監査の処理結果を監査状態結果作成手段13fが作成し、監査管理記憶部14に格納するステップと、[ヘ]パッチ監査の処理結果を基に、監査の履歴情報を備える監査履歴テーブル14bを監査履歴テーブル作成手段13dが作成し、監査管理記憶部14に格納するステップと、[チ]通信回線4を介して、パッチサーバ15パッチ実行に必要なパッチプログラムを取得するステップと、[リ]パッチプログラムの基本情報を備えるパッチ構成リスト16aをパッチ構成リスト作成手段12bが作成し、パッチ記憶部16に格納するステップと、[ヌ]パッチプログラムをパッチ実行手段12dが実行するステップと、[ル]パッチプログラムの実行結果のログを基にパッチテーブルをパッチテーブル作成手段12fが作成し、パッチ記憶部16に格納するステップとを備える統合セキュリティ監査方法であることを要旨とする。
本発明の第3の特徴は、[イ]管理対象である複数の端末2と通信可能に接続し、複数の端末に対してパッチ監査及びパッチ適用を実行するコンピュータに、複数の端末2の内、管理者が主導でパッチ監査及びパッチ実行の管理を行う管理者主導端末17に対し、統合セキュリティ監査装置側の命令を代理実行するエージェントプログラムをエージェントプログラム提供手段が提供する命令と、[ロ]複数の端末2の内、利用者が主導でパッチ監査の管理を行う利用者主導端末18に対し、パッチ監査及びパッチ実行を行わせるための情報を提示し、パッチ監査及びパッチ実行の処理結果を統合セキュリティ監査装置側へ送信させる自己管理プログラムを自己管理プログラム提供手段11bが提供する命令と、[ハ]複数の端末2に関する基本情報、管理者主導又は利用者主導に関する情報及び監査履歴情報を備える管理端末テーブル14aを管理端末テーブル作成手段13aが作成する命令と、[ニ]複数の端末2に対して監査手段13eがパッチ監査を実行する命令と、[ホ]利用者主導端末18におけるパッチ監査の状態、パッチ監査の処理結果を監査状態結果作成手段13fが作成し、監査管理記憶部14に格納する命令と、[ヘ]パッチ監査の処理結果を基に、監査の履歴情報を備える監査履歴テーブル14bを監査履歴テーブル作成手段13dが作成し、監査管理記憶部14に格納する命令と、[ト]通信回線4を介して、パッチサーバ15パッチ実行に必要なパッチプログラムを取得する命令と、[チ]パッチプログラムの基本情報を備えるパッチ構成リスト16aをパッチ構成リスト作成手段12bが作成し、パッチ記憶部16に格納する命令と、[リ]パッチプログラムをパッチ実行手段12dが実行する命令と、[ヌ]パッチプログラムの実行結果のログを基にパッチテーブルをパッチテーブル作成手段12fが作成し、パッチ記憶部16に格納する命令とを実行させる統合セキュリティ監査プログラムであることを要旨とする。
本発明の統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラムによると、ネットワーク用のアカウントを取得済みの端末であれば、利用者主導型及び管理者主導型の何れであっても、一つのシステムでパッチのバージョンアップ処理を行い、一括管理することができる。
利用者主導端末であっても、管理者が社内で一括して監査を行うため、管理者主導端末を使用するのと同等のセキュリティ品質を維持することができる。
利用者主導型システムであれば、本来利用者自身にて確認する必要のあるセキュリティ管理レベルの確認、パッチ更新時期の管理等を統合セキュリティ監査装置が行うため、利用者個々のセキュリティレベルのばらつきを無くし、常に一定のセキュリティレベルを設定しておくことが出来る。又、パッチ更新処理に関しても統合セキュリティ監査装置が更新の補助を行うため利用者の更新処理にかかる手間を大幅に省くことが出来る。
又、利用者主導型又は管理者主導型等の型の種別は、統合セキュリティ監査装置における管理グループにて一括管理されているので、違う型のプログラムを再インストールすることにより容易に変更することが出来る。
以下、本発明の実施の形態に係る統合セキュリティ監査装置について説明する。尚、本発明の実施の形態において使用される機器、手法等は一例であり、本発明はこれらに限定されるものでないことは勿論である。
(統合セキュリティ監査システム)
本発明の実施の形態に係る統合セキュリティ監査装置を使用する統合セキュリティ監査システム100は、図1に示すように、セキュリティパッチ処理の実施対象である管理端末2側の管理者主導端末17及び利用者主導端末18と、管理端末2側に対しセキュリティ監査及び管理を行う統合セキュリティ監査装置1と、インターネット等の通信回線4を介して統合セキュリティ監査装置1に対し新しいパッチ情報を提供するパッチ情報提供サーバ3等を備えている。
本発明の実施の形態に係る統合セキュリティ監査装置を使用する統合セキュリティ監査システム100は、図1に示すように、セキュリティパッチ処理の実施対象である管理端末2側の管理者主導端末17及び利用者主導端末18と、管理端末2側に対しセキュリティ監査及び管理を行う統合セキュリティ監査装置1と、インターネット等の通信回線4を介して統合セキュリティ監査装置1に対し新しいパッチ情報を提供するパッチ情報提供サーバ3等を備えている。
統合セキュリティ監査装置1は、管理者主導端末17に対してプッシュ型セキュリティパッチ適用処理を実行し、利用者主導端末18にはプル型セキュリティパッチ適用処理を促して実行させ、これら全てのパッチ結果を一括管理する。
管理者主導端末17及び利用者主導端末18は、社内ネットワーク(LAN5)に接続する利用者が使用する端末であり、図示しないキーボードやマウス等の入力装置、モニタや印刷装置等の出力装置、他装置と通信を行うための通信制御装置及び通信用インタフェース、プログラムを実行するCPU、プログラムの実行に使用する主メモリ及び補助メモリ等を備えているものとする。
管理者主導端末17としては、机上等に固定されているデスクトップ型の端末等がある。管理者主導端末17はLAN5に常に接続され、統合セキュリティ監査装置1にパッチ同期処理を行わせる。このパッチ同期処理の結果は統合セキュリティ監査装置1側が一括管理する。
利用者主導端末18としては、モバイル型のノートパソコン等があり、LAN5に接続したり、外部のネットワークに接続したりする為、利用者個人で能動的にパッチの同期を取る必要がある。しかしパッチ同期処理を完全に利用者個人に任せておくと各人毎に同期のずれが出たりして、全ての利用者主導端末18が適切なパッチ同期処理を行っているか否かは判断できない。よって、統合セキュリティ監査装置1は、各利用者主導端末18に新たに同期すべきパッチについて連絡してパッチ更新処理を行わせ、この更新結果を各利用者主導端末18より取得し、一括管理する。
(統合セキュリティ監査装置)
統合セキュリティ監査装置1は、図1に示すように、セキュリティ管理部11、パッチ管理部12、監査管理サーバ13、監査管理記憶部14、パッチサーバ15及びパッチ管理記憶部16等を備えている。
統合セキュリティ監査装置1は、図1に示すように、セキュリティ管理部11、パッチ管理部12、監査管理サーバ13、監査管理記憶部14、パッチサーバ15及びパッチ管理記憶部16等を備えている。
セキュリティ管理部11は、ネットワークの管理者がセキュリティ監査設定の為の処理を行う端末であり、図示しないキーボードやマウス等の入力装置、モニタや印刷装置等の出力装置、他装置と通信を行うための通信制御装置及び通信用インタフェース、プログラムを実行するCPU、プログラムの実行に使用する主メモリ及び補助メモリ等を備えているものとする。
セキュリティ管理部11は、そのCPU内に、エージェントプログラム提供手段11a、自己管理プログラム提供手段11b、メニュー提示手段11c及びメニュー解析手段11dを備えている。
エージェントプログラム提供手段11aは、代理で統合セキュリティ監査装置1側の命令を実行するエージェントプログラムを、管理者主導端末17に通信初期に提供する機能を有する。提供する際はセキュリティ管理部11より管理者主導端末17へ直接ダウンロードする。この他、CDROM等の外部記憶装置を配付し、利用者にインストールを行わせても構わない。セキュリティ管理部11はこのエージェントプログラムを管理者主導端末17にインストールさせることにより、管理者主導端末17上で統合セキュリティ監査システムを作動することができる。
自己管理プログラム提供手段11bは、利用者主導端末18にパッチ更新処理を行わせるための情報を提示し、パッチ更新処理の結果を統合セキュリティ監査装置1側へ送信させる自己管理プログラムを通信初期に利用者主導端末18に提供する機能を有する。提供する際は、利用者主導端末18がLAN5に接続している間にセキュリティ管理部11より直接ダウンロードしたり、CDROM等の外部記憶装置を配付する又はASP(アプリケーションサービスプロバイダ)を介して利用者にインストールを行わせたりする。セキュリティ管理部11はこの自己管理プログラムを利用者主導端末18にインストールさせることにより、利用者主導端末18上で統合セキュリティ監査システムを作動することができる。
メニュー提示手段11cは、メインメニュー画面をセキュリティ管理部11、管理者主導端末17及び利用者主導端末18に提示し、統合セキュリティ監査装置1に実行させたい機能を選択させる。メインメニュー画面においては、図2に示すように、管理者主導型監査欄は監査設定ボタン21及び監査実行ボタン22を備える。ユーザ主導型監査欄は監査設定ボタン23を備える。パッチ対策欄はパッチ同期設定ボタン24を備える。監査結果欄は監査結果ボタン27を備える。その他欄は端末パッチ適用ログ収集ボタン29を備える。
メニュー解析手段11dは、メインメニュー画面のボタンのクリック等により、入力された要求メニューを解析し、解析結果に応じてパッチ管理部12、監査管理サーバ13及びパッチサーバ15等を起動させ、所望の処理を実行させる。
パッチサーバ15は、インターネット等の通信回線4上のパッチ情報提供サーバ3等に接続して、必要なパッチ情報やパッチプログラムを取得するWebサーバである。パッチサーバ15は、取得したパッチ情報やパッチプログラムを格納するパッチ記憶部15aを備える。
パッチ管理記憶部16は、パッチ構成リスト16a及びパッチテーブル16bを備える。
パッチ構成リスト16aは、管理端末2にダウンロードしようとするパッチの情報を格納するリストであり、パッチID、MS番号、KB番号、OS種別、公開日、深刻度、タイトル、詳細情報、パッチファイル、適用許可、適用端末数及び監査可不可等の項目より構成される。
パッチテーブル16bは、管理端末2にダウンロードしたパッチの情報を格納するテーブルであり、パッチID,適用状態,補完パッチ,適用許可,ダウンロード日時,ダウンロード結果,適用日時及び適用結果等の項目より構成される
パッチ管理部12は、パッチ調査依頼手段12a、パッチ構成リスト作成手段12b、パッチ構成リスト管理手段12c、パッチ実行手段12d、ログ収集手段12e及びパッチテーブル作成手段12f等を備えている。又、パッチ管理部12は、パッチ管理記憶部16に通信可能に接続されている。
パッチ管理部12は、パッチ調査依頼手段12a、パッチ構成リスト作成手段12b、パッチ構成リスト管理手段12c、パッチ実行手段12d、ログ収集手段12e及びパッチテーブル作成手段12f等を備えている。又、パッチ管理部12は、パッチ管理記憶部16に通信可能に接続されている。
パッチ調査依頼手段12aは、更新が必要なパッチが存在するか否かの調査を、パッチ情報提供サーバ3に依頼する。パッチ構成リスト作成手段12bは、新たに取得した同期パッチプログラムを基に、パッチ構成リスト16aを作成する。パッチ構成リスト管理手段12cは、パッチ構成リスト16aをパッチ管理記憶部16に新規登録する。又、パッチ構成リスト16aの更新処理を行う。
パッチ実行手段12dは、同期パッチプログラムを実行する。ログ収集手段12eは、同期パッチプログラムの実行結果のログを参照し、実行の履歴に必要なログを収集する。パッチテーブル作成手段12fは、収集されたログを基に、パッチテーブルを作成する。
監査管理記憶部14は、管理端末テーブル14a及び監査履歴テーブル14b等を備えている。管理端末テーブル14aは、管理端末2の基本情報、型に関する情報、監査履歴情報を格納するテーブルである。管理端末テーブル14aは監査管理記憶部14に格納される。監査履歴テーブル14bは、監査処理の履歴を格納するテーブルであり、監査基本情報及び監査履歴情報より構成される。監査履歴テーブル14bは監査管理記憶部14に格納される。
監査管理サーバ13は、管理端末テーブル作成手段13a、管理端末テーブル登録更新手段13b、監査実行条件設定手段13c、監査履歴テーブル作成手段13d、監査手段13e及び監査状態結果作成手段13f等を備えている。又、監査管理サーバ13は、監査管理記憶部14に通信可能に接続されている。
管理端末テーブル作成手段13aは、統合セキュリティ監査装置1にて管理する管理端末2の設定情報を格納する管理端末テーブル14aを作成する。管理端末テーブル登録更新手段13bは、管理端末テーブル14aの登録、更新処理を行う。
監査実行条件設定手段13cは、管理者主導端末17に提示する監査実行条件設定画面を介して所望の監査条件を取得し、監査実行の条件を設計する。監査履歴テーブル作成手段13dは、監査の処理結果より監査履歴テーブル14bを作成し、監査管理記憶部14に格納する。監査手段13eは、管理端末2からの依頼等により、適用するパッチの監査を実行する。監査状態結果作成手段13fは、管理端末2のうち、利用者主導端末18が実行する監査の状態、監査の結果をWebページで作成する。
次に、統合セキュリティ監査装置1の全体動作について図3のフローチャートを用いて説明する。尚、フローチャートの順序は一例であり、実際の動作はこの順序に限られないものとする。
(a)先ずステップS101において、統合セキュリティ監査装置1を起動すると、セキュリティ管理部11のメニュー提示手段11cは、セキュリティ管理部11や統合セキュリティ監査システム100に接続・起動している管理者主導端末17及び利用者主導端末18のモニタ等の出力装置上に、図2のメインメニュー画面を表示する。メニュー解析手段11dは、メインメニュー画面を入力装置にてクリック等されることにより、GUI(グラフィカルユーザインタフェース)を介して選択された処理を判断し、判断に応じた処理を行う。
(b)ステップS102においてパッチ更新すると選択された場合、ステップS103にてパッチ管理部12及びパッチサーバ15がパッチの登録、管理処理を行う。詳細は後述する。ステップS104において端末の設定又は監査設定を行うと選択された場合、ステップS105において監査管理サーバ13が管理端末2側の情報設定処理を行う。詳細は後述する。
(c)ステップS106においては、図2の利用者主導型監査欄又は管理者主導型監査欄のいずれかが選択されたかを判断し、利用者主導型監査欄の処理が選択された場合、ステップS107にて、パッチ管理部12、監査管理サーバ13及びパッチサーバ15が管理者側のパッチチェック、パッチ指示、更新処理、管理者側確認処理等を行う。詳細は後述する。管理者主導型監査欄の処理が選択された場合、ステップS108にて、パッチ管理部12、監査管理サーバ13及びパッチサーバ15がパッチ適応有無判断、監査実施、管理者側確認処理等を行う。詳細は後述する。
(パッチの登録・管理)
ステップS103のパッチの登録・管理処理について図4のフローチャートを参照して説明する。
ステップS103のパッチの登録・管理処理について図4のフローチャートを参照して説明する。
(a)ステップS201において、パッチ管理部12のパッチ調査依頼手段12aは、パッチ情報提供サーバ3に更新が必要なパッチが存在するか否かの調査を、例えば管理者等より図3のパッチ同期設定ボタン24がクリック等された時に、パッチサーバ15に依頼する。ステップS202においてパッチサーバ15は通信回線4を介してパッチ情報提供サーバ3と通信し、同期すべきパッチ情報があるかを調査する。尚、同期すべきパッチ情報が無い場合はこの処理を終了する。
(b)ステップS203において、パッチサーバ15は同期すべきパッチ情報を図5の同期画面のように管理端末2側の出力装置に提示し、利用者に同期設定ボタンのクリック等の入力処理を促す。ステップS204にて管理端末2側より同期設定の命令を受信すると、ステップS205にてパッチサーバ15は通信回線4を介してパッチ情報提供サーバ3と通信してパッチ同期プログラムを取得し、パッチ情報及び同期パッチプログラムをパッチ記憶部15aに格納する。
(c)ステップS206においては、パッチサーバ15が同期パッチプログラムのダウンロードを完了すると、パッチ構成リスト作成手段12bは、このダウンロードに基づくパッチ構成リスト16aを図6のように作成する。パッチ構成リスト16aは、パッチID、パッチ管理番号、パッチサブ管理番号、OS種別、公開日、深刻度、タイトル、詳細情報、パッチファイル、適用許可、適用端末数及び監査可不可等の項目より構成される。パッチ構成リスト管理手段12cは、作成されたパッチ構成リスト16aを一括管理する。
管理者主導端末17においては、例えば予め設定された一定の間隔毎に、これらパッチの登録・管理処理を自動的に行うことが可能である。この場合、利用者主導端末18に対しては、利用者が能動的に管理するため、パッチサーバ15からのパッチの自動配信が行われないように設定しておくことが好ましい。
(管理端末の情報設定)
次に、ステップS105の管理者主導端末17及び利用者主導端末18の情報設定処理について図7のフローチャートを参照して説明する。
次に、ステップS105の管理者主導端末17及び利用者主導端末18の情報設定処理について図7のフローチャートを参照して説明する。
(a)先ずステップS301において、図2のメインメニュー画面より監査設定ボタン21,23が、管理者主導端末17又は利用者主導端末18の入力装置を介して選択されると、セキュリティ管理部11は監査管理サーバ13に管理端末設定の命令を送る。
(b)ステップS302において、管理端末設定の命令を受けた監査管理サーバ13の管理端末テーブル作成手段13aは、該当する管理端末の管理端末テーブル14aを作成する。管理端末テーブル14aの構成は図8に示すようになる。端末の基本情報(No.1〜4)として端末ID,端末名,IPアドレス,OS等の項目を備える。又、管理端末の型に関する情報(No.5〜7)として、管理者主導部エージェント,ディレクトリ管理,監査タイプ等の項目を備える。監査履歴情報(No.8〜11)として、未適用のパッチID、適用されたパッチID、適用不要なパッチID、自動更新の構成等の項目を備える。尚、監査履歴情報のパッチIDは項目内に複数存在して構わず、第3正規化等にて各種類のパッチIDを別テーブルにすることが好ましい。
パッチ情報(No.12〜17)として、パッチ配信部,統計サーバ,システム起動待ち時間,再起動,パッチ監査日時及び自動更新回数等の項目を備える。
監査設定当初には、端末の基本情報及び管理端末の型に関する情報が入力される。尚、初期の情報設定処理において、監査タイプが「管理者主導」と入力されると、図1のエージェントプログラム提供手段11aは、エージェントプログラムをその管理端末2に送信し、インストールさせる。監査タイプが「利用者主導」と入力されると、図1の自己管理プログラム提供手段11bは、自己管理プログラムをその管理端末2に送信し、インストールさせる。
(c)ステップS303において、管理端末テーブル登録更新手段13bは、作成された管理端末テーブル14aを監査管理記憶部14に格納する。これらの処理が終了すると、管理端末の情報設定処理を終了する。
(管理者主導型処理)
次にS108の管理者主導型の処理について図9のフローチャートを参照して説明する。
次にS108の管理者主導型の処理について図9のフローチャートを参照して説明する。
(a)先ずステップS401において、図2のメインメニュー画面にて管理者主導型監査欄の監査実行ボタン22がクリック等されると、セキュリティ管理部11は監査実行の命令を監査管理サーバ13に伝える。ステップS402においては図1の監査実行条件設定手段13cは、図10の監査実行条件設定画面を管理者主導端末17の出力装置上に提示する。ステップS403において監査実行条件設定手段13cは、提示された監査実行条件設定画面に所望の条件を設定させる。条件設定後にOKボタンがクリック等されることにより、監査実行条件を受信し、この監査実行条件を基に監査手段13eが監査を実行する。監査履歴テーブル作成手段13dは、この監査結果を基に図11の監査履歴テーブル14bを作成する。監査履歴テーブル14bは、監査基本情報(No.1〜2)を示す監査ID及び監査日時等の項目を備える。更に、監査履歴情報(No.3〜9)を示す監査結果エラー情報,監査タイプ未適用パッチ数,適用パッチ数,適用不要パッチ数及び監査パッチ総数等の項目を備える。更にこの監査結果を基に、図8の管理端末テーブル14aの監査履歴情報(未適用パッチID、適用パッチID及び適用不要パッチID)の項目も入力される。
(b)ステップS404において、図3のメインメニューの監査結果ボタン27のクリック等の入力処理が行われ、監査の実行結果を提示する要求がある場合、ステップS405にて図11の監査履歴テーブル14bや図8の管理端末テーブル14aを管理者主導端末17の出力装置上に表示する。
(c)ステップS406において、監査の実行結果より得られた未適用のパッチID等を基に、図1のパッチ実行手段12dが、管理者主導端末17に対して新たに同期すべきパッチを実行する。ステップS407において、パッチ実行手段12dはパッチの実行結果を基に、図6のパッチ構成リスト及び図8の管理端末テーブルの該当箇所を更新し、監査管理記憶部14に格納する。
(d)パッチの実行後、ステップS408において、利用者より図2のメインメニューの端末パッチ適用ログ収集ボタン29がクリック等されると、セキュリティ管理部11はパッチログの収集命令を図1のログ収集手段12eに伝える。ステップS409においては、ログ収集手段12eは実行したパッチ処理のログを収集する。ステップS410においては、ログ収集結果を基にパッチテーブル作成手段12fがパッチテーブル16bを作成する。パッチテーブル16bは図12に示すように、パッチID,適用状態,補完パッチ,適用許可,ダウンロード日時,ダウンロード結果,適用日時及び適用結果等の項目より作成される。パッチテーブル16bはパッチ管理記憶部16に格納される。又、このログ収集結果を基に図8の管理端末テーブル14aのパッチ情報(パッチ配信部,統計サーバ,システム起動待ち時間,再起動,パッチ監査日時及び自動更新回数)を更新する。更に、監査履歴テーブル14bの監査履歴情報(未適用パッチID,適用パッチID,監査パッチ総数等)及びパッチ構成リスト16aの適用端末ID(No.11)等を更新する。
(利用者主導型処理)
次にS107の利用者主導型の処理について図13のフローチャートを参照して説明する。
次にS107の利用者主導型の処理について図13のフローチャートを参照して説明する。
(a)先ずステップS501において、利用者が、利用者主導端末18を介してセキュリティパッチ監査及びパッチ適用を要求すると、予め利用者主導端末18にインストールされている自己管理プログラムが図14のセキュリティパッチ適用状態監査のページ画面を利用者主導端末18の出力装置上に提示する。
(b)ステップS502において、利用者主導端末18の入力装置より図14の監査実行ボタンがクリック等され、監査実行命令が送信される。ステップS503では監査実効命令を受けた図1の監査手段13eが、利用者主導型パッチの監査を実行する。ステップS504において、図1の監査状態結果作成手段13fは、この監査結果を基に図15に示すようなセキュリティパッチ適用状態監査結果を作成し、利用者主導端末18の出力装置に提示する。この監査結果は図8の管理端末テーブル14a及び図11の監査履歴テーブル14bに更新される。
(c)ステップS505において、図15のセキュリティパッチ適用状態監査結果画面より利用者がパッチ適用ボタンをクリック等する。するとステップS506において、セキュリティ管理部11が利用者主導のパッチ適用要求を受信してパッチサーバ15にこの要求を送り、パッチサーバ15が図1の通信回線4を介してパッチ情報提供サーバ3よりパッチを取得し、パッチ実行手段12dが取得したパッチを実行する。又は、パッチサーバ15が予めダウンロードしてパッチ記憶部15aに格納してあるパッチを、パッチ実行手段12dが取得して実行してもよい。パッチの実行結果は図15のセキュリティパッチ適用状態監査結果画面の、例えば情報欄に表示される。
(d)更にステップS507において、管理者主導端末17と同様に、ログ収集手段12eが実行したパッチ処理のログを収集する。パッチテーブル作成手段12fが収集されたログを基に図12のパッチテーブル16bを作成してパッチ管理記憶部16に格納する。又、このログ収集結果を基に図8の管理端末テーブル14aのパッチ情報(パッチ配信部,統計サーバ,システム起動待ち時間,再起動,パッチ監査日時及び自動更新回数)、監査履歴テーブル14bの監査履歴情報(未適用パッチID,適用パッチID,監査パッチ総数等)、更にパッチ構成リスト16aの適用端末ID(No.11)等も更新される。
1つのパッチの更新処理が終了すると、ステップS505へ戻り、他の未適用パッチを更新するか否かの判断を行う。他の未適用パッチの更新処理を行う場合、ステップS506〜507を繰り返す。更新する未適用パッチがなくなったら、この処理を終了する。
このように、統合セキュリティ監査装置1において、ネットワーク内の管理者主導端末17及び利用者主導端末18のパッチ処理の実行、実行結果の履歴等を管理することにより、両方の型のセキュリティパッチ適用処理を統括的に、且つ確実に実行することができる。
1…統合セキュリティ監査装置
2…管理端末
3…パッチ情報提供サーバ
4…通信回線
5…LAN
11…セキュリティ管理部
11a…エージェントプログラム提供手段
11b…自己管理プログラム提供手段
11c…メニュー提示手段
11d…メニュー解析手段
12…パッチ管理部
12a…パッチ調査依頼手段
12b…パッチ構成リスト作成手段
12c…パッチ構成リスト管理手段
12d…パッチ実行手段
12e…ログ収集手段
12f…パッチテーブル作成手段
13…監査管理サーバ
13a…管理端末テーブル作成手段
13b…管理端末テーブル登録更新手段
13c…監査実行条件設定手段
13d…監査履歴テーブル作成手段
13e…監査手段
13g…監査状態結果作成手段
14…監査管理記憶部
14a…管理端末テーブル
14b…監査履歴テーブル
15…パッチサーバ
15a…パッチ記憶部
16…パッチ管理記憶部
16a…パッチ構成リスト
16b…パッチテーブル
17…管理者主導端末
18…利用者主導端末
21,23…監査設定ボタン
22…監査実行ボタン
24…パッチ同期設定ボタン
27…監査結果ボタン
29…端末パッチ適用ログ収集ボタン
100…統合セキュリティ監査システム
2…管理端末
3…パッチ情報提供サーバ
4…通信回線
5…LAN
11…セキュリティ管理部
11a…エージェントプログラム提供手段
11b…自己管理プログラム提供手段
11c…メニュー提示手段
11d…メニュー解析手段
12…パッチ管理部
12a…パッチ調査依頼手段
12b…パッチ構成リスト作成手段
12c…パッチ構成リスト管理手段
12d…パッチ実行手段
12e…ログ収集手段
12f…パッチテーブル作成手段
13…監査管理サーバ
13a…管理端末テーブル作成手段
13b…管理端末テーブル登録更新手段
13c…監査実行条件設定手段
13d…監査履歴テーブル作成手段
13e…監査手段
13g…監査状態結果作成手段
14…監査管理記憶部
14a…管理端末テーブル
14b…監査履歴テーブル
15…パッチサーバ
15a…パッチ記憶部
16…パッチ管理記憶部
16a…パッチ構成リスト
16b…パッチテーブル
17…管理者主導端末
18…利用者主導端末
21,23…監査設定ボタン
22…監査実行ボタン
24…パッチ同期設定ボタン
27…監査結果ボタン
29…端末パッチ適用ログ収集ボタン
100…統合セキュリティ監査システム
Claims (3)
- パッチ監査及びパッチ適用の管理対象である複数の端末と通信可能に接続する統合セキュリティ監査装置であって、
前記複数の端末の内、管理者が主導で前記パッチ監査及びパッチ実行の管理を行う管理者主導端末に対し、前記統合セキュリティ監査装置側の命令を代理実行するエージェントプログラムを提供するエージェントプログラム提供手段と、
前記複数の端末の内、利用者が主導で前記パッチ監査の管理を行う利用者主導端末に対し、前記パッチ監査及びパッチ実行を行わせるための情報を提示し、前記パッチ監査及びパッチ実行の処理結果を統合セキュリティ監査装置側へ送信させる自己管理プログラムを提供する自己管理プログラム提供手段と、
前記複数の端末に関する基本情報、前記管理者主導又は前記利用者主導に関する情報及び監査履歴情報を備える管理端末テーブルを作成する管理端末テーブル作成手段と、
前記複数の端末に対して前記パッチ監査を実行する監査手段と、
前記利用者主導端末における前記パッチ監査の状態、前記パッチ監査の処理結果を作成する監査状態結果作成手段と、
前記パッチ監査の処理結果を基に、監査の履歴情報を備える監査履歴テーブルを作成する監査履歴テーブル作成手段と、
前記管理端末テーブル及び前記監査履歴テーブルを格納する監査管理記憶部と、
通信回線を介して、前記パッチ実行に必要なパッチプログラムを取得するパッチサーバと、
前記パッチプログラムの基本情報を備えるパッチ構成リストを作成するパッチ構成リスト作成手段と、
前記パッチプログラムを実行するパッチ実行手段と、
前記パッチプログラムの実行結果のログを基にパッチテーブルを作成するパッチテーブル作成手段と、
前記パッチ構成リスト及び前記パッチテーブルを格納するパッチ記憶部
とを備えることを特徴とする統合セキュリティ監査装置。 - パッチ監査及びパッチ適用を実行する統合セキュリティ監査装置に通信可能に接続され、前記統合セキュリティ監査装置の監査対象である複数の端末の内、管理者が主導で前記パッチ監査及びパッチ実行の管理を行う管理者主導端末に対し、前記統合セキュリティ監査装置側の命令を代理実行するエージェントプログラムをエージェントプログラム提供手段が提供するステップと、
前記複数の端末の内、利用者が主導で前記パッチ監査の管理を行う利用者主導端末に対し、前記パッチ監査及びパッチ実行を行わせるための情報を提示し、前記パッチ監査及びパッチ実行の処理結果を統合セキュリティ監査装置側へ送信させる自己管理プログラムを自己管理プログラム提供手段が提供するステップと、
前記複数の端末に関する基本情報、前記管理者主導又は前記利用者主導に関する情報及び監査履歴情報を備える管理端末テーブルを管理端末テーブル作成手段が作成するステップと、
前記複数の端末に対して監査手段が前記パッチ監査を実行するステップと、
前記利用者主導端末における前記パッチ監査の状態、前記パッチ監査の処理結果を監査状態結果作成手段が作成し、監査管理記憶部に格納するステップと、
前記パッチ監査の処理結果を基に、監査の履歴情報を備える監査履歴テーブルを監査履歴テーブル作成手段が作成し、前記監査管理記憶部に格納するステップと、
通信回線を介して、パッチサーバが前記パッチ実行に必要なパッチプログラムを取得するステップと、
前記パッチプログラムの基本情報を備えるパッチ構成リストをパッチ構成リスト作成手段が作成し、パッチ記憶部に格納するステップと、
前記パッチプログラムをパッチ実行手段が実行するステップと、
前記パッチプログラムの実行結果のログを基にパッチテーブルをパッチテーブル作成手段が作成し、前記パッチ記憶部に格納するステップ
とを備えることを特徴とする統合セキュリティ監査方法。 - 管理対象である複数の端末と通信可能に接続し、前記複数の端末に対してパッチ監査及びパッチ適用を実行するコンピュータに、
前記複数の端末の内、管理者が主導で前記パッチ監査及びパッチ実行の管理を行う管理者主導端末に対し、前記統合セキュリティ監査装置側の命令を代理実行するエージェントプログラムをエージェントプログラム提供手段が提供する命令と、
前記複数の端末の内、利用者が主導で前記パッチ監査の管理を行う利用者主導端末に対し、前記パッチ監査及びパッチ実行を行わせるための情報を提示し、前記パッチ監査及びパッチ実行の処理結果を統合セキュリティ監査装置側へ送信させる自己管理プログラムを自己管理プログラム提供手段が提供する命令と、
前記複数の端末に関する基本情報、前記管理者主導又は前記利用者主導に関する情報及び監査履歴情報を備える管理端末テーブルを管理端末テーブル作成手段が作成する命令と、
前記複数の端末に対して監査手段が前記パッチ監査を実行する命令と、
前記利用者主導端末における前記パッチ監査の状態、前記パッチ監査の処理結果を監査状態結果作成手段が作成し、監査管理記憶部に格納する命令と、
前記パッチ監査の処理結果を基に、監査の履歴情報を備える監査履歴テーブルを監査履歴テーブル作成手段が作成し、前記監査管理記憶部に格納する命令と、
通信回線を介して、パッチサーバが前記パッチ実行に必要なパッチプログラムを取得する命令と、
前記パッチプログラムの基本情報を備えるパッチ構成リストをパッチ構成リスト作成手段が作成し、パッチ記憶部に格納する命令と、
前記パッチプログラムをパッチ実行手段が実行する命令と、
前記パッチプログラムの実行結果のログを基にパッチテーブルをパッチテーブル作成手段が作成し、前記パッチ記憶部に格納する命令
とを実行させることを特徴とする統合セキュリティ監査プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005062472A JP4728017B2 (ja) | 2005-03-07 | 2005-03-07 | 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005062472A JP4728017B2 (ja) | 2005-03-07 | 2005-03-07 | 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006244373A JP2006244373A (ja) | 2006-09-14 |
| JP4728017B2 true JP4728017B2 (ja) | 2011-07-20 |
Family
ID=37050707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005062472A Active JP4728017B2 (ja) | 2005-03-07 | 2005-03-07 | 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4728017B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4870626B2 (ja) * | 2007-07-19 | 2012-02-08 | 株式会社ソニー・コンピュータエンタテインメント | 情報処理装置 |
| US8321863B2 (en) | 2009-03-06 | 2012-11-27 | Hitachi, Ltd. | Security management device and method |
| JP5439559B2 (ja) * | 2012-08-10 | 2014-03-12 | 株式会社日立製作所 | セキュリティ管理装置及び方法並びにプログラム |
| CN113672929A (zh) * | 2020-05-14 | 2021-11-19 | 阿波罗智联(北京)科技有限公司 | 漏洞特征获取方法、装置及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001273388A (ja) * | 2000-01-20 | 2001-10-05 | Hitachi Ltd | セキュリティ管理システムおよび方法 |
| JP2003140987A (ja) * | 2001-11-06 | 2003-05-16 | Ntt Data Customer Service Corp | セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム |
| JP2003271723A (ja) * | 2002-03-14 | 2003-09-26 | Fujitsu Ltd | セキュリティ監査方法およびセキュリティ監査装置 |
| JP2004265153A (ja) * | 2003-02-28 | 2004-09-24 | Nec Corp | パッチ適用システム、バッチ適用方法、パッチ適用支援装置及びプログラム |
-
2005
- 2005-03-07 JP JP2005062472A patent/JP4728017B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001273388A (ja) * | 2000-01-20 | 2001-10-05 | Hitachi Ltd | セキュリティ管理システムおよび方法 |
| JP2003140987A (ja) * | 2001-11-06 | 2003-05-16 | Ntt Data Customer Service Corp | セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム |
| JP2003271723A (ja) * | 2002-03-14 | 2003-09-26 | Fujitsu Ltd | セキュリティ監査方法およびセキュリティ監査装置 |
| JP2004265153A (ja) * | 2003-02-28 | 2004-09-24 | Nec Corp | パッチ適用システム、バッチ適用方法、パッチ適用支援装置及びプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006244373A (ja) | 2006-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9798749B2 (en) | Multiple user profile cleaner | |
| CA2518439C (en) | Enterprise console | |
| US8161160B2 (en) | XML-based web feed for web access of remote resources | |
| US11829586B2 (en) | System and method for reacting to messages | |
| EP2771803B1 (en) | File fetch from a remote client device | |
| US8463758B2 (en) | Network registry and file cleaner | |
| US8196137B2 (en) | Remote auto provisioning and publication of applications | |
| US20120042002A1 (en) | System and method for context driven centralized help | |
| EP3399698B1 (en) | Automated inventory for iot devices | |
| JP2021533454A (ja) | コンフィギュレーション・シナリオ順守のためのモバイル・デバイスによるコンプライアンス設定の実装 | |
| US20110106876A1 (en) | Client server application manager | |
| JP2006260522A (ja) | 情報処理装置、情報管理装置、情報管理システム、情報処理方法、情報管理方法、情報処理プログラム、情報管理プログラム及び記録媒体 | |
| JP4728017B2 (ja) | 統合セキュリティ監査装置、統合セキュリティ監査方法及び統合セキュリティ監査プログラム | |
| JP2016018339A (ja) | システム、及びシステムの制御方法 | |
| JP6437667B2 (ja) | ログ収集システム及びログ収集方法 | |
| US20140082157A1 (en) | System and method for selectively permitting entry into a defined mode by distributed client-side software applications | |
| US11556324B2 (en) | Management apparatus and management method | |
| JP2013254352A (ja) | 管理装置、管理システム、及び管理プログラム | |
| WO2015097896A1 (ja) | 入力操作用のダイアログ表示可否判定方法及び計算機システム | |
| JP2022167508A (ja) | 情報処理装置、設定ツールプログラム及び情報処理システム | |
| JP5946183B2 (ja) | ウェブサービスを提供するサーバ及び方法 | |
| JP2010238241A (ja) | リソース提供システム、仲介エージェント、リソース提供方法、およびコンピュータプログラム | |
| JP2019074901A (ja) | 情報処理装置および情報処理システム | |
| JP2013089012A (ja) | 情報処理システム、その制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110111 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110302 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110322 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110414 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4728017 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140422 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |