JP4751431B2 - Vulnerability determination device and program - Google Patents
Vulnerability determination device and program Download PDFInfo
- Publication number
- JP4751431B2 JP4751431B2 JP2008235465A JP2008235465A JP4751431B2 JP 4751431 B2 JP4751431 B2 JP 4751431B2 JP 2008235465 A JP2008235465 A JP 2008235465A JP 2008235465 A JP2008235465 A JP 2008235465A JP 4751431 B2 JP4751431 B2 JP 4751431B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- vulnerability
- software
- configuration information
- service setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、脆弱性判定装置及びそのプログラムに係り、例えば、脆弱性情報が公開されたソフトウェアのうち、安全性への影響度が高いソフトウェアのみを判定でき、効率よく安全性を向上し得る脆弱性判定装置及びプログラムに関する。 The present invention relates to a vulnerability determination device and a program thereof. For example, among software whose vulnerability information is disclosed, only software that has a high impact on safety can be determined, and a vulnerability that can improve safety efficiently. The present invention relates to a sex determination device and a program.
情報システムは、一般には、複数の電子計算機と、各電子計算機が使用する様々なOS(Operating System)、API(Application Program Interface)、アプリケーションなどの各ソフトウェアを組み合わせて構築されている。各ソフトウェアは、情報システム構築時には脆弱性が発見されなくても、時間の経過とともに様々な脆弱性が発見される可能性がある。 In general, an information system is constructed by combining a plurality of electronic computers and various software such as various operating systems (OSs), APIs (Application Program Interfaces), and applications used by the electronic computers. Each software may have various vulnerabilities discovered over time even if no vulnerabilities are found at the time of information system construction.
現在、このような各ソフトウェアに関する脆弱性情報を一般に公開するサイト(例えば、有限責任中間法人JPCERTコーディネーションセンター及び独立行政法人情報処理推進機構(IPA)によって運営されるJapan Vulnerability Notes−http://jvn.jp/−など)やソフトウェアメーカが運営して自社のソフトウェアの脆弱性情報を公開するサイトが存在している。 Currently, websites that publicly disclose vulnerability information related to each software (for example, Japan Vulnerability Notes-http: // jvn, which is operated by the JPCERT Coordination Center and IPA) .jp /-) and other websites run by software manufacturers and disclose vulnerability information about their software.
また、信用できるサイトから公開された脆弱性情報に基づいて、電子計算機が使用するソフトウェアの脆弱性の有無を検査し、企業内ネットワークへの接続可否の判断、ソフトウェアへのパッチの適用、電子計算機の設定変更などの対策を講じる脆弱性対策技術が知られている(例えば、特許文献1参照。)。
以上のような脆弱性対策技術は、電子計算機にインストールされたソフトウェアのうち、脆弱性情報によって脆弱性が周知されるソフトウェアに対策を講じるものであるので、本発明者の検討によれば、安全性向上のための効率を良くする余地がある。 The vulnerability countermeasure technology as described above takes measures against software whose vulnerability is well-known by vulnerability information among software installed in an electronic computer. There is room for improving efficiency for improving performance.
例えば、インストールしていても実際には使用しないソフトウェアであれば、脆弱性情報による安全性への影響度が低く、対策が不要な筈である。しかしながら、脆弱性情報への対策を講じていた点で、安全性向上のための効率が低い。 For example, software that has been installed but is not actually used should have a low impact on security due to vulnerability information and no countermeasures should be taken. However, in terms of taking measures against vulnerability information, efficiency for improving safety is low.
すなわち、効率よく安全性を向上させる観点から、脆弱性情報が公開されたソフトウェアのうち、安全性への影響度が高いソフトウェアのみを判定すればよい。 That is, from the viewpoint of improving safety efficiently, it is only necessary to determine only software that has a high degree of impact on safety among software whose vulnerability information has been disclosed.
また特に、他の電子計算機にサービスを提供するサーバ装置を管理するシステム管理者の場合、運用の都合上、パッチの頻繁な適用が困難であるため、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定する必要がある。 In particular, in the case of a system administrator who manages a server device that provides services to other electronic computers, it is difficult to frequently apply patches for operational reasons. It is necessary to determine only software that has a high impact on the safety of electronic computers.
本発明は上記実情を考慮してなされたもので、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定でき、かかる安全性を効率よく向上し得る脆弱性判定装置及びそのプログラムを提供することを目的とする。 The present invention has been made in consideration of the above circumstances, and among the software whose vulnerability information has been disclosed, it is possible to determine only software that has a high degree of impact on the safety of electronic computers, and this safety can be improved efficiently. An object of the present invention is to provide a vulnerability determination device and a program thereof.
本発明の一つの局面は、インストールされた複数のソフトウェアを示す各ソフトウェア名及び各バージョン情報からなる構成情報、並びに前記各ソフトウェア名のうちのサービス設定された各ソフトウェアの各ソフトウェア名を含むサービス設定情報を保持する手段と、脆弱性をもつ各ソフトウェアを示す各ソフトウェア名及び各対象バージョン情報からなる脆弱性情報を取得する手段と、前記脆弱性情報を記憶する手段と、前記構成情報を記憶する手段とを備えた脆弱性判定装置であって、前記脆弱性情報を取得して前記脆弱性情報を記憶する手段に前記脆弱性情報を書き込む手段、前記サービス設定情報を保持する手段から前記構成情報を取得して前記構成情報を記憶する手段に書き込む手段、前記構成情報を記憶する手段内の前記構成情報に対し、前記脆弱性情報を記憶する手段内の前記脆弱性情報との関連を有するか否かを判定する手段、この判定の結果、前記脆弱性情報との関連を有する前記構成情報に対し、前記サービス設定情報との関連を有するか否かを判定する手段、この判定の結果、前記サービス設定情報との関連を有する前記構成情報を出力する手段、を備えた脆弱性判定装置である。 One aspect of the present invention is a service setting including configuration information including each software name and version information indicating a plurality of installed software, and each software name of each software set as a service among the software names. Means for holding information; means for acquiring vulnerability information including each software name indicating each piece of software having vulnerability and each target version information; means for storing the vulnerability information; and storing the configuration information Means for acquiring the vulnerability information and writing the vulnerability information in the means for storing the vulnerability information; and means for storing the service setting information from the means for storing the configuration information. Means for acquiring and writing to the means for storing the configuration information, the configuration in the means for storing the configuration information Means for determining whether the vulnerability information has an association with the vulnerability information in the means for storing the vulnerability information, and as a result of the determination, for the configuration information having an association with the vulnerability information A vulnerability determination apparatus comprising: means for determining whether or not there is an association with the service setting information; and means for outputting the configuration information having an association with the service setting information as a result of the determination.
なお、本発明の一つの局面としては、装置の場合を説明したが、これに限らず、方法、プログラム、プログラムを記憶した記憶媒体として表現してもよい。 As one aspect of the present invention, the case of an apparatus has been described. However, the present invention is not limited to this, and a method, a program, and a storage medium storing the program may be expressed.
(作用)
本発明の一つの局面によれば、脆弱性情報との関連を有する構成情報に対し、電子計算機から取得したサービス設定情報との関連を有するか否かを判定する。そして、この判定の結果、サービス設定情報との関連を有する構成情報を出力する構成により、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定でき、効率よく安全性を向上することができる。
(Function)
According to one aspect of the present invention, it is determined whether or not the configuration information having an association with vulnerability information has an association with service setting information acquired from an electronic computer. As a result of the determination, the configuration that outputs the configuration information related to the service setting information can determine only the software whose vulnerability information has been disclosed that has a high impact on the safety of the electronic computer. , Can improve the safety efficiently.
以上説明したように本発明によれば、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定でき、効率よく安全性を向上できる。 As described above, according to the present invention, it is possible to determine only software that has a high degree of influence on the safety of the electronic computer from among the software whose vulnerability information is disclosed, and the safety can be improved efficiently.
以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。このような組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置の持つ電子計算機にインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. Each of the following devices can be implemented for each device with either a hardware configuration or a combination configuration of hardware resources and software. As the software having such a combination configuration, a program that is installed in advance from a network or a storage medium into an electronic computer of the corresponding device and that realizes the function of the corresponding device is used.
(第1の実施形態)
図1は本発明の第1の実施形態に係る脆弱性判定装置及びその周辺構成を示すブロック図である。図示するように、情報システム10を構成するn台(但し、1≦n)の電子計算機201〜20nや、脆弱性情報公開サイト装置30がそれぞれ脆弱性判定装置40に通信可能に接続されている。
(First embodiment)
FIG. 1 is a block diagram showing a vulnerability determination device and its peripheral configuration according to the first embodiment of the present invention. As shown in the figure, n (however, 1 ≦ n)
例えば、脆弱性判定装置40は、企業や団体内に構築された情報システム10に対して、脆弱性情報を監視及び評価する。なお、脆弱性判定装置40は、いずれかの電子計算機201〜20nに一体的に設けられていてもよいが、ここでは、各電子計算機201〜20nとは別のPC(Personal Computer)装置(脆弱性スキャナ)として設けられている。
For example, the
情報システム10内の各電子計算機201〜20nは、情報システム10において、クライアント端末又はサーバ装置のいずれとして用いられていてもよい。
Each of the
なお、各電子計算機201〜20nは、構成情報の内容やサービス設定情報の内容は異なるものの、互いに同一の機能ブロック21〜24を有する構成である。従って、以下では電子計算機201を代表例に挙げて説明する。これは、第1の実施形態以下で説明する各実施形態でも同様である。また、1台の電子計算機201を対象として説明するが、複数台の電子計算機201,…を対象としても構わない。
The
ここで、電子計算機201は、通常のコンピュータ機能を有し、図示しないOS及び各ソフトウェアがインストールされており、当該インストールされた複数のソフトウェアを示す各ソフトウェア名及び各バージョン情報からなる構成情報、並びに各ソフトウェア名のうちのサービス設定された各ソフトウェアの各ソフトウェア名を含むサービス設定情報を保持している。具体的には、電子計算機201は、構成情報記憶部21、構成情報取得部22、サービス設定情報記憶部23及びサービス設定取得部24を備えている。
Here, the
構成情報記憶部21は、構成情報取得部22から読出/書込可能な記憶装置であり、図2に示すように、電子計算機201にインストールされているソフトウェア名と、そのソフトウェアのバージョン番号とからなる構成情報が記憶される。
Configuration
構成情報におけるソフトウェア名とバージョン番号との組合せは、ソフトウェアの種類を特定するためのものであり、この組合せに限らず、バージョン番号の他にソフトウェアのバイナリのハッシュ値などを用いた組合せなどのように、ソフトウェアの種類を特定するための情報を含む組合せであれば、他の組合せでも構わない。 The combination of the software name and the version number in the configuration information is for specifying the type of software, and is not limited to this combination, such as a combination using a software hash value in addition to the version number. In addition, any other combination may be used as long as it includes information for specifying the type of software.
構成情報取得部22は、電子計算機201にインストールされているソフトウェアに関する構成情報を取得する。構成情報は、例えば、電子計算機201内にインストールされているソフトウェアがファイルに記録されている場合もある、また、別の電子計算機にデータベースとして記録されている場合もある、また、必要に応じて電子計算機201内に存在するファイルを走査することによって取得する場合もある。
The configuration
サービス設定情報記憶部23は、サービス設定情報取得部24から読出/書込可能な記憶装置であり、図3に示すように、電子計算機201にインストールされているソフトウェアのうち、電子計算機201で実際に稼動するソフトウェアのソフトウェア名からなるサービス設定情報が記憶される。
Service setting
サービス設定取得部24は、電子計算機201で実際に稼動するサービス設定に関するソフトウェアのソフトウェア名をサービス設定情報として取得してサービス設定情報記憶部23に書き込む機能と、サービス設定情報記憶部23内のサービス設定情報を脆弱性判定装置40に送信する機能とをもっている。ここで、一般に、サービス設定情報は、電子計算機201においてサービスを起動するための設定が予め記録されている。サービス設定取得部24では、例えば、オープンしているポートに対して、待ち受けを行っているソフトウェアのソフトウェア名をサービス設定情報として取得する。あるいは、現在起動しているソフトウェアを示すソフトウェア名や、特定のポートにアクセスがあった場合に起動するソフトウェアを示すソフトウェア名をサービス設定情報として取得してもよい。サービス設定情報を脆弱性判定装置40に送信するタイミングは、例えば、構成情報取得部22による構成情報の送信の直前又は直後とすればよい。
Service
脆弱性情報公開サイト装置30は、各種ソフトウェアについての脆弱性情報を公開するサイトであり、内部に脆弱性情報を保持し、この脆弱性情報を外部に公開している。外部への公開手段は、例えば、ネットワーク経由で公開する手法や、CD−ROMなどの記憶媒体を送付して公開する手法など、一般的な任意の手法が使用可能となっている。但し、ここではネットワーク経由で公開する手法を用いている。なお、このような脆弱性公開サイト装置30は複数が存在しても構わない。
The vulnerability information
また、脆弱性情報公開サイト装置30は、ウインドウズ(登録商標)・アップデートのサイト等のように、ソフトウェアメーカが運営して自社のソフトウェアの脆弱性情報を公開するサイトを想定している。しかし、これに限らず、IPAのような第三者が運営するサイトでもよく、特に限定されない。また、脆弱性情報公開サイト装置30は、脆弱性判定装置40を運営する会社に対し、同一の会社又は異なる会社のいずれに運営されていてもよい。これらの場合、脆弱性判定装置40が外部の脆弱性情報公開サイト装置30から脆弱性情報を収集することになる。
Further, the vulnerability information
ここで、脆弱性情報公開サイト装置30は、具体的には、脆弱性情報記憶部31及び脆弱性情報管理部32を備えている。
Here, the vulnerability information
脆弱性情報記憶部31は、脆弱性情報管理部32から読出/書込可能な記憶装置であり、図4に示すように、脆弱性情報を記憶している。脆弱性情報は、脆弱性をもつ各ソフトウェアを示す各ソフトウェア名及び各対象バージョン番号が記されている。脆弱性情報におけるソフトウェア名と対象バージョン番号の組合せは、ソフトウェアの種類を特定するためのものであって、バージョン番号のほかにソフトウェアのバイナリのハッシュ値など、ソフトウェアの種類を特定するための情報であれば、他の組合せでも構わない。また、対象バージョン番号は、特定のバージョン番号を必ずしも記載する必要はなく、バージョン番号の範囲を記載しても構わない。
The vulnerability
脆弱性情報管理部32は、脆弱性情報公開サイト装置30のサイト管理者の操作により、脆弱性情報記憶部31内の脆弱性情報を更新する機能と、脆弱性情報記憶部31内の脆弱性情報を公開する機能とをもっている。
The vulnerability
脆弱性判定装置40は、脆弱性情報取得部41、脆弱性情報記憶部42、構成情報要求部43、構成情報記憶部44、マッチング部45及び影響度判定部46を備えている。
The
脆弱性情報取得部41は、例えば、脆弱性情報公開サイト装置30の更新頻度に準じ、脆弱性情報公開サイト装置30から脆弱性情報を取得して脆弱性情報記憶部42に書き込む機能をもっている。
The vulnerability
脆弱性情報記憶部42は、脆弱性情報取得部41から書込可能でマッチング部45から読出可能な記憶装置であり、脆弱性情報が記憶される。
The vulnerability
構成情報要求部43は、電子計算機201に構成情報を要求する機能と、この要求により、電子計算機201から取得した構成情報を構成情報記憶部44に書き込む機能とをもっている。
Configuration
構成情報記憶部44は、構成情報要求部43から書込可能でマッチング部45から読出可能な記憶装置であり、構成情報が記憶される。
The configuration
マッチング部45は、構成情報記憶部44内の構成情報と脆弱性情報記憶部42内の脆弱性情報とを照合する機能と、この照合により、構成情報記憶部44内の構成情報に対し、脆弱性情報記憶部42内の脆弱性情報との関連を有するか否かを判定する機能と、この判定の結果、図5に示すように、当該脆弱性情報との関連を有する構成情報を影響度判定部46に送出する機能とをもっている。
The matching
影響度判定部46は、マッチング部45から送出された構成情報に対し、電子計算機201から取得したサービス設定情報との関連を有するか否かを判定する機能と、この判定の結果、当該サービス設定情報との関連を有する構成情報を出力する機能とをもっている。出力された構成情報は、他の電子計算機にサービスを提供するサーバ装置を管理するシステム管理者を置いているときは、図示しないシステム管理者の端末に通知される。
Impact determination unit 46, with respect to configuration information sent from the matching
次に、以上のように構成された脆弱性判定装置及びその周辺構成の動作を説明する。 Next, the operation of the vulnerability determination device configured as described above and its peripheral configuration will be described.
いま、脆弱性情報公開サイト装置30によって、脆弱性情報が公開されているとする。
Now, it is assumed that vulnerability information is disclosed by the vulnerability information
脆弱性判定装置40においては、脆弱性情報取得部41が、脆弱性情報公開サイト装置30から脆弱性情報を取得して脆弱性情報記憶部42に書き込む。
In the
また、脆弱性判定装置40においては、構成情報要求部43が電子計算機201に構成情報を要求する。
Further, the
電子計算機201は、この要求により、構成情報取得部22が構成情報記憶部21内の構成情報を脆弱性判定装置40に返信する。
脆弱性判定装置40においては、構成情報要求部43が、電子計算機201から取得した構成情報を構成情報記憶部44に書き込む。
In
マッチング部45は、構成情報記憶部44内の構成情報と脆弱性情報記憶部42内の脆弱性情報とを照合することにより、構成情報記憶部44内の構成情報に対し、脆弱性情報記憶部42内の脆弱性情報との関連を有するか否かを判定する。
The matching
また、マッチング部45は、この判定の結果、当該脆弱性情報との関連を有する構成情報を影響度判定部46に送出する。この例では、図2に示した構成情報のうち、ソフトウェア名“rpcbind”、“httpd”、“sshd”が図4に示した脆弱性情報に含まれるため、当該ソフトウェア名“rpcbind”、“httpd”、“sshd”との関連を有する構成情報が影響度判定部46に送出される。
In addition, as a result of this determination, the matching
影響度判定部46は、送出された構成情報に対し、電子計算機201から取得したサービス設定情報との関連を有するか否かを判定し、この判定の結果、当該サービス設定情報との関連を有する構成情報を出力する。この例では、図5に示したマッチング部46の出力のうち、ソフトウェア名“rpcbind”、“httpd”、“sshd”が図3に示したサービス設定情報に含まれるため、当該ソフトウェア名“rpcbind”、“httpd”、“sshd” との関連を有する構成情報が影響度判定部46から出力される。すなわち、この例では、マッチング部46の出力と、影響度判定部46の出力とは同じものとなる。
Impact determination unit 46, with respect to configuration information sent, it is determined whether or not having an association with the acquired service setting information from the
この出力結果を、例えば、システム管理者へ通知することにより、システム管理者は電子計算機201にインストールされている脆弱性を持つソフトウェアのうち、ソフトウェア名“rpcbind”、“httpd”、“sshd”のソフトウェアだけが実際に動作していることを確認でき、これらのソフトウェアにだけ対策を採ればよいことが分かるので、管理の手間を削減することができる。
The output result, for example, by notifying the system administrator, the system administrator of the software with the vulnerability that is installed in the
上述したように本実施形態によれば、脆弱性情報との関連を有する構成情報に対し、電子計算機から取得したサービス設定情報との関連を有するか否かを判定する。そして、この判定の結果、サービス設定情報との関連を有する構成情報を出力する構成により、脆弱性情報が公開されたソフトウェアのうち、電子計算機に対する安全性への影響度が高いソフトウェアのみを判定でき、効率よく安全性を向上することができる。 As described above, according to the present embodiment, it is determined whether or not the configuration information having the association with the vulnerability information has the association with the service setting information acquired from the electronic computer. As a result of the determination, the configuration that outputs the configuration information related to the service setting information can determine only the software whose vulnerability information has been disclosed that has a high impact on the safety of the electronic computer. , Can improve the safety efficiently.
(第2の実施形態)
図6は本発明の第2の実施形態に係る脆弱性判定装置及びその周辺構成を示すブロック図であり、図1と略同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の実施形態も同様にして重複した説明を省略する。
(Second Embodiment)
FIG. 6 is a block diagram showing a vulnerability determination apparatus and its peripheral configuration according to the second embodiment of the present invention. The same reference numerals are given to the same parts as those in FIG. Then, the different parts are mainly described. In the following embodiments, the same description is omitted.
すなわち、本実施形態は、サービス設定されたソフトウェアについて脆弱性を判定した第1の実施形態の変形例であり、より詳しい判定を行う観点から、サービス設定されたソフトウェアとその依存関係にあるソフトウェアとの両者について、脆弱性情報に高い影響を受けるソフトウェアを判定する構成となっている。 That is, this embodiment is a modification of the first embodiment in which the vulnerability is determined for the software for which the service is set. From the viewpoint of performing a more detailed determination, the software for which the service is set and the software having the dependency relationship between In both cases, software that is highly influenced by vulnerability information is determined.
これに伴って、電子計算機201は、依存関係取得部25を更に備えている。また、脆弱性判定装置40は、前述した影響度判定部46に代えて、影響度判定部47を備えている。
Along with this, the
ここで、依存関係取得部25は、サービス設定取得部24により取得されたサービス設定情報が示す各ソフトウェアに対して、依存関係のある各ソフトウェアを示す、各ソフトウェア名からなる依存関係情報を取得する機能と、この依存関係情報を脆弱性判定装置40に送信する機能とをもっている。ここで、依存関係情報を脆弱性判定装置40に送信するタイミングは、例えば、構成情報取得部22による構成情報の送信の直前又は直後とすればよい。
Here, the dependency
一方、影響度判定部47は、マッチング部45から送出された構成情報に対し、電子計算機201から取得した依存関係情報との関連を有するか否かを判定する機能と、この判定の結果、当該依存関係情報との関連を有する構成情報を出力する機能とをもっている。出力された構成情報は、他の電子計算機にサービスを提供するサーバ装置を管理するシステム管理者を置いているときは、図示しないシステム管理者の端末に通知される。
On the other hand, the influence
次に、以上のように構成された脆弱性判定装置及びその周辺構成の動作を説明する。 Next, the operation of the vulnerability determination device configured as described above and its peripheral configuration will be described.
いま、脆弱性情報公開サイト装置30は、前述同様に、脆弱性情報を公開しているとする。また、脆弱性判定装置40においては、前述同様に、脆弱性情報取得部41、構成情報要求部43及びマッチング部45が順次処理を実行し、マッチング部45が、脆弱性情報との関連を有する構成情報を影響度判定部47に送出したとする。
Now, it is assumed that the vulnerability information
一方、電子計算機201においては、サービス設定取得部24が、サービス設定情報記憶部23内のサービス設定情報を依存関係取得部25に送出する。
On the other hand, in the
依存関係取得部25は、図7に示すように、サービス設定情報としてソフトウェア名が入力されると(ST1)、このソフトウェア名に対して依存関係にあるソフトウェアを走査する(ST2)。この走査は、例えば、OSに予めインストールされているソフトウェアパッケージ管理機能を用いて実行する。
As shown in FIG. 7, when the software name is input as the service setting information (ST1), the dependency
走査の結果、依存関係にあるソフトウェアが検出された場合(ST3:NO)には、当該検出されたソフトウェアに対して、依存関係にあるソフトウェアを走査する。このステップST2からST3までの処理を依存関係が検出されなくなるまで再帰的に実行することにより、入力したソフトウェアと依存関係にある全てのソフトウェアを検出してそのソフトウェア名を取得することができる。依存関係にあるソフトウェアが無い場合(ST3:YES)には、依存関係取得部25は、図8に示すように、依存関係にあるソフトウェアのソフトウェア名を一覧して示す依存関係情報を取得する(ST4)。
As a result of scanning, when software having a dependency relationship is detected (ST3: NO), software having a dependency relationship is scanned with respect to the detected software. By executing the processes from step ST2 to ST3 recursively until no dependency is detected, all software having dependency with the input software can be detected and the software name can be acquired. If there is no software in the dependency relationship (ST3: YES), the dependency
この依存関係情報の例では、ソフトウェア名“Expat”のソフトウェアは、ソフトウェア名“Expat−Devel”、“Avahi”に依存している。また、ソフトウェア名“rpcbind”のソフトウェアは、ソフトウェア名“ypbind”、“yptools”、“nfs−utils”の各ソフトウェアに依存している。また、ソフトウェア名“httpd”のソフトウェアは、ソフトウェア名“mod_ssl”、“gnome−user−share”、“mod_python”の各ソフトウェアに依存している。また、ソフトウェア名“ssh”のソフトウェアは、依存するソフトウェアが存在しないことが分かる。 In the example of the dependency relationship information, the software with the software name “Expat” depends on the software names “Expat-Level” and “Avahi”. The software with the software name “rpcbind” depends on the software with the software names “ypbind”, “yptools”, and “nfs-utils”. The software with the software name “httpd” depends on the software names “mod_ssl”, “gnome-user-share”, and “mod_python”. Further, it can be seen that there is no dependent software for the software name “ssh”.
依存関係取得部25は、ステップST4で取得した依存関係情報を脆弱性判定装置40に送信する。
The dependency
脆弱性判定装置40においては、影響度判定部47が、マッチング部45から送出された構成情報に対し、電子計算機201から取得した依存関係情報との関連を有するか否かを判定し、この判定の結果、当該依存関係情報との関連を有する構成情報を出力する。
In
上述したように本実施形態によれば、第1の実施形態の効果に加え、依存関係にあるソフトウェアの分だけ、より詳しい脆弱性判定を行うことができる。 As described above, according to the present embodiment, in addition to the effects of the first embodiment, more detailed vulnerability determination can be performed by the amount of software having a dependency relationship.
補足すると、本実施形態は、ソフトウェアの依存関係に基づいて、より正確な脆弱性情報を出力できる。一般に、ソフトウェアが動作するためには、別のソフトウェアが必要になる。このような依存関係を保持しているOSも多い。例えば、サービスAを提供するソフトウェアAが、ソフトウェアBに依存している場合、ソフトウェアBに脆弱性があれば、サービスAを介してソフトウェアBの脆弱性を突かれる可能性がある。 Supplementally, the present embodiment can output more accurate vulnerability information based on software dependency. Generally, in order for software to operate, another software is required. Many OSs maintain such dependency relationships. For example, when the software A that provides the service A depends on the software B, if the software B has a vulnerability, the vulnerability of the software B may be exploited via the service A.
これに対し、本実施形態によれば、各ソフトウェア間の依存関係情報に基づいて、より正確な脆弱性情報を出力することができる。 On the other hand, according to this embodiment, more accurate vulnerability information can be output based on the dependency relationship information between the softwares.
(第3の実施形態)
図9は本発明の第3の実施形態に係る脆弱性判定装置及びその周辺構成を示すブロック図である。
(Third embodiment)
FIG. 9 is a block diagram showing a vulnerability determination device and its peripheral configuration according to the third embodiment of the present invention.
本実施形態は、サービス設定されたソフトウェアについて脆弱性を判定した第1及び第2の実施形態の変形例であり、サービス設定されたソフトウェアのログインの要否に基づいて、脆弱性情報に高い影響度をもつソフトウェアを影響度と共に、通知する構成となっている。 This embodiment is a modification of the first and second embodiments in which the vulnerability is determined for the software for which the service is set, and the vulnerability information is highly influenced based on whether or not the login for the software for which the service is set is necessary. It is configured to notify the software with the degree of influence along with the degree of influence.
ここで、ソフトウェアの脆弱性の種類について補足する。脆弱性には大きく分けて2つのタイプがある。 Here, it supplements about the kind of vulnerability of software. There are two main types of vulnerabilities.
1つ目は、そのソフトウェアが提供しているサービスがネットワーク経由で利用可能でさえあれば、脆弱性が問題となるタイプである。具体的には、脆弱性を突くためにログインなどのユーザ認証を必要としないタイプである。このタイプの脆弱性は、ソフトウェアの利用権限の無いユーザでも攻撃可能であるので、影響度が高いといえる。 The first is a type in which vulnerability becomes a problem as long as the service provided by the software is available via the network. Specifically, it is a type that does not require user authentication such as login in order to exploit the vulnerability. This type of vulnerability can be attacked even by users who do not have the authority to use software, so it can be said that the impact is high.
2つ目は、そのソフトウェアが提供しているサービスが利用不可能であることから、脆弱性が問題とならないタイプである。具体的には、脆弱性を突くためにログインなどのユーザ認証を必要とするタイプである。このタイプの脆弱性は、ソフトウェアの利用権限の無いユーザからは攻撃できないので、影響度が低いといえる。 The second is a type in which the vulnerability is not a problem because the service provided by the software is not available. Specifically, it is a type that requires user authentication such as login in order to exploit the vulnerability. This type of vulnerability cannot be attacked by users who do not have the authority to use software, so it can be said that the degree of impact is low.
すなわち、本実施形態は、“脆弱性をもつ各ソフトウェアに関して当該脆弱性を攻撃するためにログインなどのユーザ認証が必要か否か”を示すログイン要否情報を、脆弱性情報記憶部31’内の脆弱性情報が更に含んでいる場合に、このログイン要否情報を考慮して脆弱性の影響度を判定するものである。
That is, in the present embodiment, login necessity information indicating whether or not user authentication such as login is necessary for attacking the vulnerability with respect to each piece of vulnerable software is stored in the vulnerability
これに伴い、脆弱性情報取得部41が取得して脆弱性情報記憶部42に書き込む脆弱性情報は、図10に示すように、ログイン要否情報としての脆弱性タイプを含む内容となる。図10中、脆弱性タイプは、ソフトウェア名“rpcbind”,“httpd”の各ソフトウェアについてはログインを必要としない脆弱性タイプ(NETWORKと表記)であり、ソフトウェア名“sshd”のソフトウェアについてはログインを必要とする脆弱性タイプ(ここではLOGINと表記)であることを表している。
Accordingly, the vulnerability information acquired by the vulnerability
また、電子計算機201は、サービスユーザ対応リスト記憶部26及びサービス利用ユーザ数取得部27を更に備えている。
Further, the
サービスユーザ対応リスト記憶部26は、サービス設定情報内のソフトウェア名と当該ソフトウェア名のソフトウェアを利用するユーザとを示すサービスユーザ対応リスト(リスト情報)を保持する記憶装置である。なお、本実施形態の電子計算機201は、他の電子計算機(クライアント端末)にサービスを提供するサーバ装置を想定している。一般的に電子計算機がサービスを提供する場合には、サービス毎に、そのサービスを受けられるユーザを記載したサービスユーザ対応リストを保持している。
The service user correspondence
サービス利用ユーザ数取得部27は、サービスユーザ対応リストに基づいて、ソフトウェア名毎にユーザ数を示すサービス利用ユーザ数(ユーザ数情報)を取得する機能と、このサービス利用ユーザ数を脆弱性判定装置40に送信する機能とをもっている。
The service use user
サービス利用ユーザ数は、サービス利用ユーザ数取得部27が、サービス毎に存在するサービスユーザ対応リストの内容を読み込み、サービス対応ユーザリストに記載されたユーザをカウントして取得される。取得されたサービス利用ユーザ数は、例えば図11に示すように、ソフトウェア名“sshd”のソフトウェアの利用者が15人であり、ソフトウェア名“vsftpd”のソフトウェアの利用者が50人である場合を示している。
The number of service using users is acquired by the service using user
サービス利用ユーザ数を脆弱性判定装置40に送信するタイミングは、例えば、依存関係取得部25による依存関係情報の送信の直前又は直後とすればよい。
The timing at which the number of service users is transmitted to the
一方、影響度判定部47’は、前述した影響度判定部47に代えて、マッチング部45から送出された構成情報に対し、電子計算機201から取得した依存関係情報との関連を有するか否かを判定する機能と、この判定の結果、当該依存関係情報との関連を有する構成情報に対し、電子計算機201から取得したユーザ数情報が所定ユーザ数以上の場合又は脆弱性情報記憶部42内の脆弱性タイプ(ログイン要否情報)がログインの必要を示す場合に高い値となるように影響度(脆弱性影響度)を算出する機能と、算出した影響度及び依存関係情報との関連を有する構成情報内のソフトウェア名を互いに関連付けて出力する機能とをもっている。
On the other hand, if the influence degree determination unit 47 ', instead of the effect
ここで、例えば、影響度を1〜100の数値で表現し、影響度はユーザ数に比例すると仮定する。ユーザ数が100人以上の場合、ログイン処理の必要なしに脆弱性を突けることと同等に、影響度が大きいと仮定する。なお、ログインが必要ない脆弱性の影響度は影響度の最大値である100と仮定する。この仮定における影響度判定部47’の出力の一例を図12に示す。例えば、ソフトウェア名“sshd”のソフトウェアは、ユーザ数が15人なので、影響度が15となる。ソフトウェア名“rpcbind”,“httpd”の各ソフトウェアは、ログイン処理の必要なしに脆弱性を突けるため、影響度が100となる。なお、ソフトウェア名“vsftp”のソフトウェアは、脆弱性情報が未公開なので、脆弱性の評価対象にはならない。 Here, for example, it is assumed that the degree of influence is expressed by a numerical value of 1 to 100, and the degree of influence is proportional to the number of users. When the number of users is 100 or more, it is assumed that the degree of influence is as large as exploiting the vulnerability without the need for login processing. It is assumed that the impact level of the vulnerability that does not require login is 100, which is the maximum impact level. An example of the output of the influence determination unit 47 'under this assumption is shown in FIG. For example, the software with the software name “sshd” has 15 users and thus has an impact level of 15. The software names “rpcbind” and “httpd” have a degree of influence of 100 because they exploit the vulnerability without the need for login processing. Note that the software with the software name “vsftp” is not subject to vulnerability assessment because vulnerability information has not been disclosed.
次に、以上のように構成された脆弱性判定装置及びその周辺構成の動作を説明する。 Next, the operation of the vulnerability determination device configured as described above and its peripheral configuration will be described.
いま、脆弱性情報公開サイト装置30は、脆弱性タイプを含む脆弱性情報を公開しているとする。また、脆弱性判定装置40においては、前述同様に、脆弱性情報取得部41、構成情報要求部43及びマッチング部45が順次処理を実行し、マッチング部45が、脆弱性情報との関連を有する構成情報を影響度判定部47’に送出したとする。
Now, it is assumed that the vulnerability information
一方、電子計算機201においては、前述同様に、依存関係取得部25が依存関係情報を取得して脆弱性判定装置40に送信する。
On the other hand, in the
また、電子計算機201においては、サービス利用ユーザ数取得部27が、サービスユーザ対応リスト記憶部26内のサービスユーザ対応リストに基づいて、ソフトウェア名毎にユーザ数を示すサービス利用ユーザ数を取得し、このサービス利用ユーザ数を脆弱性判定装置40に送信する。
In the
一方、脆弱性判定装置40においては、影響度判定部47’が、マッチング部45から送出された構成情報に対し、電子計算機201から取得した依存関係情報との関連を有するか否かを判定する。
On the other hand, the
また、影響度判定部47’は、この判定の結果、当該依存関係情報との関連を有する構成情報に対し、電子計算機201から取得したユーザ数情報が所定ユーザ数以上の場合又は脆弱性情報記憶部42内の脆弱性タイプがログインの必要を示す場合に高い値となるように影響度を算出する。
Further, the influence degree determination unit 47 'as a result of the determination, to the configuration information having an association with the dependency information, if the user number information acquired from the
しかる後、影響度判定部47’は、算出した影響度と、依存関係情報との関連を有する構成情報内のソフトウェア名とを互いに関連付けて出力する。 Thereafter, the influence degree determination unit 47 'outputs the calculated influence degree and the software name in the configuration information having the relation with the dependency relationship information in association with each other.
上述したように本実施形態によれば、第2の実施形態の効果に加え、ログイン要否情報としての脆弱性タイプに基づき、影響度の大きさを正確に把握することができる。 As described above, according to the present embodiment, in addition to the effects of the second embodiment, the magnitude of the influence degree can be accurately grasped based on the vulnerability type as the login necessity information.
補足すると、ソフトウェアの脆弱性には、その脆弱性を突くために、予めユーザ認証が必要なものと、ユーザ認証が不要なものがある。予めユーザ認証が必要な脆弱性については、脆弱性を突ける人数が限られることから、ユーザ認証が不要な脆弱性に比べ、影響度が低い。本実施形態は、ユーザ認証が不要な脆弱性は影響度が高いという関係に基づき、より正確な脆弱性の影響度を算出することができる。 Supplementally, software vulnerabilities include those that require user authentication in advance and those that do not require user authentication in order to exploit the vulnerability. Vulnerabilities that require user authentication in advance are less affected than vulnerabilities that do not require user authentication because the number of vulnerabilities is limited. In the present embodiment, based on the relationship that the vulnerability that does not require user authentication has a high influence, it is possible to calculate a more accurate influence of the vulnerability.
なお、上記実施形態に記載した手法は、電子計算機に実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。 The method described in the above embodiment is a program that can be executed by an electronic computer as a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), optical disk (CD-ROM, DVD, etc.), magneto-optical disk ( MO), and can be stored and distributed in a storage medium such as a semiconductor memory.
また、この記憶媒体としては、プログラムを記憶でき、かつ電子計算機が読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。 In addition, as long as the storage medium can store a program and can be read by an electronic computer, the storage format may be any form.
また、記憶媒体から電子計算機にインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(Operating System)や、データベース管理ソフト、ネットワークソフト等のMW(Middleware)等が上記実施形態を実現するための各処理の一部を実行しても良い。 Further, an OS (Operating System) running on a computer based on an instruction of a program installed in a computer from a storage medium, MW (Middleware) such as database management software, network software, and the like realize the above-described embodiment. A part of each process may be executed.
さらに、本発明における記憶媒体は、電子計算機と独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。 Furthermore, the storage medium in the present invention is not limited to a medium independent of the electronic computer, but also includes a storage medium in which a program transmitted via a LAN or the Internet is downloaded and stored or temporarily stored.
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。 Further, the number of storage media is not limited to one, and the case where the processing in the above embodiment is executed from a plurality of media is also included in the storage media in the present invention, and the media configuration may be any configuration.
尚、本発明における電子計算機は、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、PC等の1つからなる装置、複数の装置がネットワーク接続された情報システム等の何れの構成であっても良い。 The electronic computer according to the present invention executes each process in the above embodiment based on a program stored in a storage medium, and a single device such as a PC or a plurality of devices are connected to a network. Any configuration such as an information system may be used.
また、本発明における電子計算機とは、PCに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。 In addition, the electronic computer in the present invention is not limited to a PC, and includes a processing unit, a microcomputer, and the like included in an information processing device, and is a generic term for devices and devices that can realize the functions of the present invention by a program. Yes.
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。 Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. Moreover, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined.
10…情報システム、201〜20n…電子計算機、21…構成情報記憶部、22…構成情報取得部、23…サービス設定情報記憶部、24…サービス設定取得部、25…依存関係取得部、26…サービスユーザ対応リスト記憶部、27…サービス利用ユーザ数取得部、30…脆弱性情報公開サイト装置、31,31’…脆弱性情報記憶部、32…脆弱性情報管理部、40…脆弱性判定装置、41…脆弱性情報取得部、42…脆弱性情報記憶部、43…構成情報要求部、44…構成情報記憶部、45…マッチング部、46,47,47’…影響度判定部、
DESCRIPTION OF
Claims (4)
前記脆弱性情報を取得して、前記脆弱性情報を記憶する手段に前記脆弱性情報を書き込む手段、
前記サービス設定情報を保持する手段から前記構成情報を取得して、前記構成情報記憶手段に書き込む手段、
前記構成情報を記憶する手段内の前記構成情報に対し、前記脆弱性情報を記憶する手段内の前記脆弱性情報との関連を有するか否かを判定する手段、
この判定の結果、前記脆弱性情報との関連を有する前記構成情報に対し、前記サービス設定情報との関連を有するか否かを判定する手段、
この判定の結果、前記サービス設定情報との関連を有する前記構成情報を出力する手段、
を備えたことを特徴とする脆弱性判定装置。 Means for holding configuration information including each software name and version information indicating a plurality of installed software, and service setting information including each software name of each software for which service setting is included in each of the software names; Vulnerability determination comprising: means for acquiring vulnerability information including each software name and each target version information indicating each piece of software having security; means for storing the vulnerability information; and means for storing the configuration information A device,
Means for acquiring the vulnerability information and writing the vulnerability information in a means for storing the vulnerability information;
Means for acquiring the configuration information from the means for holding the service setting information and writing it into the configuration information storage means;
Means for determining whether the configuration information in the means for storing the configuration information has an association with the vulnerability information in the means for storing the vulnerability information;
As a result of this determination, means for determining whether or not the configuration information having an association with the vulnerability information has an association with the service setting information;
As a result of this determination, means for outputting the configuration information having an association with the service setting information,
Vulnerability determination apparatus characterized by comprising:
前記脆弱性判定装置を、
前記脆弱性情報を取得して、前記脆弱性情報を記憶する手段に前記脆弱性情報を書き込む手段、
前記サービス設定情報を保持する手段から前記構成情報を取得して、前記構成情報記憶手段に書き込む手段、
前記構成情報を記憶する手段内の前記構成情報に対し、前記脆弱性情報を記憶する手段内の前記脆弱性情報との関連を有するか否かを判定する手段、
この判定の結果、前記脆弱性情報との関連を有する構成情報に対し、前記サービス設定情報との関連を有するか否かを判定する手段、
この判定の結果、前記サービス設定情報にとの関連を有する前記構成情報を出力する手段、
として機能させるためのプログラム。 Means for holding configuration information including each software name and version information indicating a plurality of installed software, and service setting information including each software name of each software for which service setting is included in each of the software names; Vulnerability determination apparatus comprising: means for acquiring vulnerability information including each software name and each target version information indicating each software having a property; means for storing the vulnerability information; and means for storing the configuration information A program used for
The vulnerability determination device;
Means for acquiring the vulnerability information and writing the vulnerability information in a means for storing the vulnerability information;
Means for acquiring the configuration information from the means for holding the service setting information and writing it into the configuration information storage means;
Means for determining whether the configuration information in the means for storing the configuration information has an association with the vulnerability information in the means for storing the vulnerability information;
As a result of this determination, means for determining whether or not the configuration information having an association with the vulnerability information has an association with the service setting information;
As a result of this determination, means for outputting the configuration information having an association with the service setting information,
Program to function as.
前記サービス設定情報を保持する手段は、前記サービス設定情報が示す各ソフトウェアと依存関係にある各ソフトウェアを示す各ソフトウェア名からなる依存関係情報を取得する機能を更に備えているおり、
前記サービス設定情報との関連を有するか否かを判定する手段及び前記サービス設定情報との関連を有する前記構成情報を出力する手段に代えて、
前記構成情報が前記サービス設定情報との関連を有するか否かの判定の結果、前記脆弱性情報との関連を有する前記構成情報に対し、前記サービス設定情報を保持する手段から取得した依存関係情報との関連を有するか否かを判定する手段、
この判定の結果、前記依存関係情報との関連を有する前記構成情報を出力する手段、
として前記脆弱性判定装置を機能させるためのプログラム。 The program according to claim 2,
The means for holding the service setting information further includes a function of acquiring dependency information composed of software names indicating software having a dependency relationship with software indicated by the service setting information,
Instead of means for determining whether or not there is an association with the service setting information and means for outputting the configuration information having an association with the service setting information,
As a result of determining whether or not the configuration information has an association with the service setting information, dependency information acquired from the means for holding the service setting information with respect to the configuration information having an association with the vulnerability information Means for determining whether or not there is an association with
As a result of this determination, means for outputting the configuration information having an association with the dependency relationship information,
As a program for causing the vulnerability determination apparatus to function.
前記サービス設定情報を保持する手段は、前記サービス設定情報内のソフトウェア名とこのソフトウェア名のソフトウェアを利用するユーザとを示すリスト情報を更に保持し、且つ前記リスト情報に基づいて前記ソフトウェア名毎に前記ユーザの数を示すユーザ数情報を取得する機能を更に備えており、
前記脆弱性情報としては、前記脆弱性をもつ各前記ソフトウェアに関して、この脆弱性を狙って攻撃するためにログインが必要か否かを示すログイン要否情報を更に含んでいる場合に、
前記依存関係情報との関連を有する前記構成情報を出力する手段に代えて、
前記依存関係情報が前記サービス設定情報との関連を有するか否かの判定の結果、前記依存関係情報との関連を有する構成情報に対し、前記サービス設定情報を保持する手段から取得した前記ユーザ数情報が所定ユーザ数以上の場合又は前記脆弱性情報を記憶する手段内のログイン要否情報がログインの必要を示す場合に、高い値となるように脆弱性影響度を算出する手段と、
前記算出した脆弱性影響度と、前記依存関係情報との関連を有する前記構成情報内のソフトウェア名とを互いに関連付けて出力する手段、
として前記脆弱性判定装置を機能させるためのプログラム。 In the program according to claim 3,
The means for holding the service setting information further holds list information indicating a software name in the service setting information and a user who uses the software of the software name, and for each software name based on the list information. It further includes a function of acquiring user number information indicating the number of users,
As the vulnerability information, for each piece of software having the vulnerability, when it further includes login necessity information indicating whether or not login is necessary in order to attack the vulnerability,
Instead of means for outputting the configuration information having a relation with the dependency relationship information,
As a result of determining whether or not the dependency relationship information has an association with the service setting information, the number of users acquired from the means for holding the service setting information with respect to configuration information having an association with the dependency relationship information Means for calculating the vulnerability impact level to be a high value when the information is a predetermined number of users or when the login necessity information in the means for storing vulnerability information indicates the necessity of login;
Means for associating and outputting the calculated vulnerability impact and the software name in the configuration information having an association with the dependency relationship information;
As a program for causing the vulnerability determination apparatus to function.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008235465A JP4751431B2 (en) | 2008-09-12 | 2008-09-12 | Vulnerability determination device and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008235465A JP4751431B2 (en) | 2008-09-12 | 2008-09-12 | Vulnerability determination device and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010067216A JP2010067216A (en) | 2010-03-25 |
JP4751431B2 true JP4751431B2 (en) | 2011-08-17 |
Family
ID=42192712
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008235465A Active JP4751431B2 (en) | 2008-09-12 | 2008-09-12 | Vulnerability determination device and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4751431B2 (en) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012208863A (en) * | 2011-03-30 | 2012-10-25 | Hitachi Ltd | Vulnerability determination system, vulnerability determination method and vulnerability determination program |
JP5781616B2 (en) * | 2011-09-08 | 2015-09-24 | 株式会社日立製作所 | Vulnerability countermeasure device and vulnerability countermeasure method |
SG11201506642PA (en) * | 2013-02-25 | 2015-09-29 | Beyondtrust Software Inc | Systems and methods of risk based rules for application control |
JP6023121B2 (en) * | 2014-05-15 | 2016-11-09 | ゲヒルン株式会社 | Vulnerability visualization server, vulnerability visualization method, vulnerability visualization server program |
US10296745B2 (en) * | 2016-06-23 | 2019-05-21 | International Business Machines Corporation | Detecting vulnerable applications |
KR102006242B1 (en) | 2017-09-29 | 2019-08-06 | 주식회사 인사이너리 | Method and system for identifying an open source software package based on binary files |
KR101941039B1 (en) * | 2018-05-29 | 2019-01-23 | 한화시스템(주) | System and method for forecasting cyber threat |
JP7482159B2 (en) | 2022-02-01 | 2024-05-13 | 株式会社日立製作所 | Computer system and security risk impact analysis method |
WO2023152880A1 (en) * | 2022-02-10 | 2023-08-17 | 三菱電機株式会社 | Vulnerability analysis device and vulnerabilty analysis method |
WO2024180637A1 (en) * | 2023-02-27 | 2024-09-06 | 日本電信電話株式会社 | Determination device, determination method, and determination program |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4733885B2 (en) * | 2001-09-29 | 2011-07-27 | 株式会社東芝 | Vulnerability assessment program, method and system |
JP2006040196A (en) * | 2004-07-30 | 2006-02-09 | Hitachi Information & Control Systems Inc | Software monitoring system and monitoring method |
JP4688472B2 (en) * | 2004-11-01 | 2011-05-25 | 株式会社エヌ・ティ・ティ・ドコモ | Terminal control apparatus and terminal control method |
JP2009169781A (en) * | 2008-01-18 | 2009-07-30 | Hitachi Ltd | Network quarantine system |
-
2008
- 2008-09-12 JP JP2008235465A patent/JP4751431B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2010067216A (en) | 2010-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4751431B2 (en) | Vulnerability determination device and program | |
US8984593B2 (en) | Securing asynchronous client server transactions | |
JP4939851B2 (en) | Information processing terminal, secure device, and state processing method | |
JP6061364B2 (en) | Cloud-assisted methods and services for application security verification | |
JP5460698B2 (en) | Secure application streaming | |
US7836299B2 (en) | Virtualization of software configuration registers of the TPM cryptographic processor | |
US9235586B2 (en) | Reputation checking obtained files | |
US8539551B2 (en) | Trusted virtual machine as a client | |
US9325695B2 (en) | Token caching in trust chain processing | |
US11258611B2 (en) | Trusted data verification | |
US20080072049A1 (en) | Software authorization utilizing software reputation | |
US20100058468A1 (en) | Identifying reputation and trust information for software | |
US20200202041A1 (en) | Blockchain-type data storage | |
JP2005301550A (en) | Device, program and method for measuring platform configuration, device, program and method for authenticating platform configuration, device, program and method for verifying platform configuration, and device, program and method for disclosing platform configuration | |
US20120266259A1 (en) | Approaches for firmware to trust an application | |
US20060294355A1 (en) | Secure variable/image storage and access | |
Gallery et al. | Trusted computing: Security and applications | |
Feigenbaum et al. | Trust management and proof-carrying code in secure mobile-code applications | |
JP5435231B2 (en) | E-mail processing apparatus, e-mail processing method, and e-mail processing program | |
CN114128218B (en) | Isolating certificate management in computer networks | |
JP7464663B2 (en) | Privacy-preserving application and device error detection | |
US11954007B2 (en) | Tracking usage of common libraries by means of digitally signed digests thereof | |
KR101305755B1 (en) | Appatatus and method for filtering execution of script based on address | |
Ferro et al. | Standard-Based Remote Attestation: The Veraison Project |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110426 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110520 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4751431 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140527 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |