JP4978061B2 - Software update necessity judgment method - Google Patents

Software update necessity judgment method Download PDF

Info

Publication number
JP4978061B2
JP4978061B2 JP2006152557A JP2006152557A JP4978061B2 JP 4978061 B2 JP4978061 B2 JP 4978061B2 JP 2006152557 A JP2006152557 A JP 2006152557A JP 2006152557 A JP2006152557 A JP 2006152557A JP 4978061 B2 JP4978061 B2 JP 4978061B2
Authority
JP
Japan
Prior art keywords
software
vulnerability
information
network system
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006152557A
Other languages
Japanese (ja)
Other versions
JP2007323349A (en
Inventor
光夫 津田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2006152557A priority Critical patent/JP4978061B2/en
Publication of JP2007323349A publication Critical patent/JP2007323349A/en
Application granted granted Critical
Publication of JP4978061B2 publication Critical patent/JP4978061B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、ソフトウェア更新要否判定方法に係り、特に所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するソフトウェア更新要否判定方法に関する。   The present invention relates to a software update necessity determination method, and more particularly to a software update necessity determination method for determining whether or not software installed in devices constituting a predetermined network system is necessary.

例えばネットワークシステムでは、ネットワーク機器に搭載されたソフトウェアの不具合の修正などのためにアップデート(更新)が行われる。アップデートは、ネットワーク機器提供ベンダ等が配布するアップデートの為のアップデートファイルをインストールすることにより行われている。   For example, in a network system, an update (update) is performed to correct a defect in software installed in a network device. The update is performed by installing an update file for an update distributed by a network device vendor or the like.

図1はネットワークシステムの一例のシステム構成図である。図1のネットワークシステムはセンターに設置されたサーバ1a,1b及びルータR1と、営業店に設置されたクライアント2及びルータR2と、広域イーサーネット(登録商標)3と、INS網4とを含むように構成されている。   FIG. 1 is a system configuration diagram of an example of a network system. The network system of FIG. 1 includes servers 1a and 1b and a router R1 installed in the center, a client 2 and a router R2 installed in a sales office, a wide area Ethernet (registered trademark) 3, and an INS network 4. It is configured.

従来のネットワークシステムでは、既存のネットワークシステムがセキュアな構成かの確認を次のように行っていた。まず、ユーザは例えばネットワーク機器提供ベンダ等がインターネット上で公開しているOS脆弱性情報WEBを参照する。ユーザは個々のネットワーク機器のOSバージョンとOS脆弱性情報とを比較することで、ネットワーク機器の脆弱性を確認する。ユーザはネットワーク機器の脆弱性の有無により、既存のネットワークシステムがセキュアな構成かの確認を行っていた。   In the conventional network system, it is confirmed as follows whether the existing network system has a secure configuration. First, the user refers to the OS vulnerability information WEB published on the Internet by, for example, a network device provider vendor. The user confirms the vulnerability of the network device by comparing the OS version of each network device with the OS vulnerability information. The user checks whether the existing network system has a secure configuration based on the presence or absence of the vulnerability of the network device.

例えば特許文献1には、ネット上で公開されているソフトアップデート情報と管理対象システムの構成とを比較して、合致するものにつきアップデートを行う技術が記載されている。
特開2002−268985号公報 For example, Patent Document 1 describes a technique for comparing software update information published on the network with the configuration of a management target system and performing an update for a match.
JP 2002-268985 A

しかしながら、ソフトウェアの中には、他のソフトウェアとの組み合わせや整合性をとる必要があるものなどがある。そのようなソフトウェアに対して安易にアップデートを行ってしまうと、ネットワークシステムは不整合を起こし、システムダウンしてしまう危険性があるという問題があった。   However, some software needs to be combined and consistent with other software. If such software is easily updated, there is a problem that the network system may become inconsistent and the system may be down.

例えば信頼性を重視する基幹系システムでは、絶対にシステムダウンを避けなければならない。したがって、ネットワーク機器提供ベンダ等が配布する全てのアップデートファイルを無条件にインストールすることは望ましくない場合もあった。特開平11−161482号公報は、このような場合に対処しようとしたものである。   For example, in a mission critical system that emphasizes reliability, system down must be avoided. Therefore, it may not be desirable to unconditionally install all update files distributed by network device provider vendors. Japanese Patent Application Laid-Open No. 11-161482 is intended to cope with such a case.

特開平11−161482号公報には、障害を起こしたソフトウェアに関する情報を蓄積しておき、アップデートファイルが障害を起こしたソフトウェアに関連する場合にアップデートを行うことが記載されている。つまり、基幹系システムが動作しているホストなどで障害を起こしていないソフトウェアのアップデートを行わないことで、必要以上にソフトウェアをアップデートしないようにしている。   Japanese Patent Application Laid-Open No. 11-161482 describes that information relating to software that has failed is stored, and updating is performed when the update file relates to software that has failed. In other words, by not updating software that has not failed on the host or the like on which the backbone system is operating, the software is not updated more than necessary.

しかしながら、特開平11−161482号公報に記載されている内容では、障害を起こしていないソフトウェアのアップデートを行わないため、本来行うべきアップデートが行われない可能性があるという問題があった。   However, the content described in Japanese Patent Laid-Open No. 11-161482 has a problem that the update that should not be performed may not be performed because the software that has not failed is not updated.

本発明は、上記の点に鑑みなされたもので、ネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定可能なソフトウェア更新要否判定方法を提供することを目的とする。   The present invention has been made in view of the above points, and an object of the present invention is to provide a software update necessity determination method capable of appropriately determining whether software update is necessary or not while considering the reliability of a network system.

上記の課題を解決するため、本発明は、所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップと、を有し、前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを、その時点での更新が不要と判定することを特徴とする。 In order to solve the above-described problem, the present invention provides a software update necessity determination method for a computer for determining whether or not software installed in a device constituting a predetermined network system is necessary, wherein the computer includes the device A storage step of acquiring information relating to software installed in the computer and information relating to vulnerability of the software and storing the information in a storage device; information relating to software installed in the device stored in the storage device by the computer; Based on the information on the vulnerability of the software, a selection step of selecting the vulnerable software among the software installed in the device, and determining that the software with a track record of use among the selected software needs to be updated A determination step, wherein the determination step , Those that have passed since been used at the end of said selected software more than a predetermined time period, wherein the update at that time is determined to be unnecessary.

前記機器に搭載されたソフトウェアに関する情報は、前記ソフトウェアの識別情報および利用履歴情報を含むことを特徴としてもよい。   The information regarding the software installed in the device may include identification information and usage history information of the software.

なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。   In addition, what applied the component, expression, or arbitrary combination of the component of this invention to a method, an apparatus, a system, a computer program, a recording medium, a data structure, etc. is also effective as an aspect of this invention.

上述の如く、本発明によれば、ネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定可能なソフトウェア更新要否判定方法を提供できる。   As described above, according to the present invention, it is possible to provide a software update necessity determination method capable of appropriately determining whether or not software update is necessary while considering the reliability of the network system.

次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。まず、本発明の理解を容易とする為、図2のネットワークシステムを構成する機器のうち、ルータR1,R2に搭載されたソフトウェアの更新要否を判定する例を中心に説明する。図2のネットワークシステムは、セキュアな構成かの確認を行い、その確認結果を顧客に通知することにより、セキュアなネットワークシステムの運用を実現するものである。   Next, the best mode for carrying out the present invention will be described based on the following embodiments with reference to the drawings. First, in order to facilitate understanding of the present invention, an example of determining whether or not the software installed in the routers R1 and R2 among the devices constituting the network system in FIG. The network system shown in FIG. 2 confirms whether the configuration is secure and notifies the customer of the confirmation result, thereby realizing the operation of the secure network system.

図2は本発明によるネットワークシステムの一実施例の構成図である。図2に示すネットワークは、業務サーバ10a,10bと、クライアント11と、ルータR1,R2,19及び20と、広域イーサーネット(登録商標)14と、INS網15と、セキュリティクライアント16と、ルータR1の脆弱情報17と、ルータR2の脆弱情報18と、インターネット21とを含むように構成されている。   FIG. 2 is a block diagram of an embodiment of a network system according to the present invention. The network shown in FIG. 2 includes business servers 10a and 10b, a client 11, routers R1, R2, 19 and 20, a wide area Ethernet (registered trademark) 14, an INS network 15, a security client 16, and a router R1. The vulnerability information 17 of the router R2, the vulnerability information 18 of the router R2, and the Internet 21 are included.

図2のネットワークシステムでは、センター側に業務サーバ10a,10bと、ルータR1,19と、セキュリティクライアント16とが設置されている。営業店側には、クライアント11とルータR2とが設置されている。また、ルータR1,R2を提供するベンダ側にはWebサイト(ベンダサイトWEB)を実現する為の各種サーバ(図示せず)及びルータ20が設置されている。ベンダサイトWEBには、ルータR1の脆弱情報17およびルータR2の脆弱情報18が参照可能に登録されている。セキュリティクライアント16は、ベンダサイトWEB(OS脆弱性情報WEB)を参照し、ルータR1,R2にOS脆弱性が発生した場合に以下の処理を行う。   In the network system of FIG. 2, business servers 10a and 10b, routers R1 and 19 and a security client 16 are installed on the center side. A client 11 and a router R2 are installed on the sales office side. In addition, various servers (not shown) and a router 20 for realizing a Web site (vendor site WEB) are installed on the vendor side that provides the routers R1 and R2. In the vendor site WEB, the vulnerability information 17 of the router R1 and the vulnerability information 18 of the router R2 are registered so that they can be referred to. The security client 16 refers to the vendor site WEB (OS vulnerability information WEB), and performs the following process when an OS vulnerability occurs in the routers R1 and R2.

まず、セキュリティクライアント16はルータR1,R2に対してOSバージョン取得用パトロールパケットを送信する。OSバージョン取得用パトロールパケットは後述するような既存の情報取得コマンドを利用することで実現できる。   First, the security client 16 transmits an OS version acquisition patrol packet to the routers R1 and R2. The OS version acquisition patrol packet can be realized by using an existing information acquisition command as described later.

次に、セキュリティクライアント16はOSバージョン取得用パトロールパケットにより取得したOSバージョンを後述するネットワークシステムマップに設定する。このネットワークシステムマップは、ネットワークシステムを構成する機器毎に、その機器に搭載されたソフトウェアの更新要否を判定する為の各種情報(OSバージョン,アクセス日時など)が設定されている。   Next, the security client 16 sets the OS version acquired by the OS version acquisition patrol packet in a network system map described later. In this network system map, various pieces of information (OS version, access date, etc.) for determining whether or not software installed in the device needs to be updated are set for each device constituting the network system.

セキュリティクライアント16はOS脆弱性情報WEBに登録されているルータR1の脆弱情報17およびルータR2の脆弱情報18の脆弱性OSバージョンと、ネットワークシステムマップに設定されているルータR1およびルータR2のOSバージョンとを比較して、脆弱性対応がされているか否かを判定する。   The security client 16 includes the vulnerability OS version of the vulnerability information 17 of the router R1 and the vulnerability information 18 of the router R2 registered in the OS vulnerability information WEB, and the OS version of the router R1 and the router R2 set in the network system map. To determine whether or not the vulnerability is dealt with.

ルータR1およびルータR2の少なくとも一方が脆弱性対応されていなければ、セキュリティクライアント16は更に、ネットワークシステムマップに設定されているルータR1およびルータR2のアクセス日時を参照し、利用実績がある場合に、OS脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行う。なお、セキュリティクライアント16は、設定されているアクセス日時から所定期間が経過していなければ、利用実績があるソフトウェアと見なす。また、セキュリティクライアント16は、アクセス日時が設定されていないか又は設定されているアクセス日時から所定期間が経過していれば、利用実績がないソフトウェアと見なす。   If at least one of the router R1 and the router R2 does not cope with the vulnerability, the security client 16 further refers to the access date and time of the router R1 and the router R2 set in the network system map, An OS vulnerability non-compliant message / recommended version notification is sent to the customer. Note that the security client 16 considers the software to be used if the predetermined period has not elapsed since the set access date and time. Further, if the access date and time is not set or if a predetermined period has elapsed from the set access date and time, the security client 16 regards the software as having no usage record.

OS脆弱性未対応メッセージ/推奨バージョン通知は、脆弱性対応されていない機器を識別する為の情報と、その機器の脆弱性対応が成されたOSバージョンを表す推奨バージョンとを含む。このように、図2のネットワークシステムでは、脆弱性対応がされていないソフトウェアのうち、所定期間の間に利用実績のあるソフトウェアだけOS脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行うことができる。   The OS vulnerability non-corresponding message / recommended version notification includes information for identifying a device that is not compatible with the vulnerability, and a recommended version that represents the OS version for which the device is not vulnerable. As described above, in the network system of FIG. 2, the OS vulnerability non-compliant message / recommended version notification is sent to the customer only for the software that has been used for a predetermined period among the software that has not been dealt with by the vulnerability. Can do.

つまり、図2のネットワークシステムでは、脆弱性対応がされていないソフトウェアであっても、利用実績がないと見なしたソフトウェアのOS脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行わないことにより、必要以上にソフトウェアの脆弱性対応を行うことを避けている。この結果、図2のネットワークシステムではネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定できる。   That is, in the network system of FIG. 2, even if the software is not vulnerably dealt with, the OS vulnerability non-compliant message / recommended version notification of the software that has been deemed not to be used should not be sent to the customer. By doing so, we avoid dealing with software vulnerabilities more than necessary. As a result, the network system of FIG. 2 can appropriately determine whether or not software update is necessary while considering the reliability of the network system.

次に、セキュリティクライアント16のハードウェア構成について、図3を参照しつつ説明する。図3は、セキュリティクライアントの一例のハードウェア構成図である。セキュリティクライアント16は、それぞれバスBで相互に接続されている入力装置31,出力装置32,ドライブ装置33,補助記憶装置34,メモリ装置35,演算処理装置36およびインターフェース装置37を含むように構成される。   Next, the hardware configuration of the security client 16 will be described with reference to FIG. FIG. 3 is a hardware configuration diagram of an example of the security client. The security client 16 includes an input device 31, an output device 32, a drive device 33, an auxiliary storage device 34, a memory device 35, an arithmetic processing device 36, and an interface device 37 that are connected to each other via a bus B. The

入力装置31はキーボードやマウスなどで構成され、各種信号を入力するために用いられる。出力装置32はディスプレイ装置などで構成され、各種ウインドウやデータ等を表示するために用いられる。インターフェース装置37は、モデム,ルータ,LANカードなどで構成されており、各種ネットワークに接続する為に用いられる。   The input device 31 includes a keyboard and a mouse, and is used for inputting various signals. The output device 32 includes a display device and is used to display various windows, data, and the like. The interface device 37 includes a modem, a router, a LAN card, and the like, and is used for connecting to various networks.

本発明によるソフトウェア更新要否判定プログラムは、セキュリティクライアント16を制御する各種プログラムの少なくとも一部である。ソフトウェア更新要否判定プログラムは例えば記録媒体38の配布や各種ネットワークからのダウンロードなどによって提供される。   The software update necessity determination program according to the present invention is at least a part of various programs for controlling the security client 16. The software update necessity determination program is provided by, for example, distribution of the recording medium 38 or downloading from various networks.

ソフトウェア更新要否判定プログラムを記録した記録媒体38は、CD−ROM、フレキシブルディスク、光磁気ディスク等の様に情報を光学的,電気的或いは磁気的に記録する記録媒体、ROM、フラッシュメモリ等の様に情報を電気的に記録する半導体メモリ等、様々なタイプの記録媒体を用いることができる。   The recording medium 38 on which the software update necessity determination program is recorded is a recording medium on which information is optically, electrically or magnetically recorded, such as a CD-ROM, flexible disk, magneto-optical disk, ROM, flash memory, etc. Various types of recording media such as a semiconductor memory that electrically records information can be used.

また、ソフトウェア更新要否判定プログラムを記録した記録媒体38がドライブ装置33にセットされると、ソフトウェア更新要否判定プログラムは記録媒体38からドライブ装置33を介して補助記憶装置34にインストールされる。各種ネットワークからダウンロードされたソフトウェア更新要否判定プログラムは、インターフェース装置37を介して補助記憶装置34にインストールされる。   When the recording medium 38 on which the software update necessity determination program is recorded is set in the drive device 33, the software update necessity determination program is installed from the recording medium 38 to the auxiliary storage device 34 via the drive device 33. Software update necessity determination programs downloaded from various networks are installed in the auxiliary storage device 34 via the interface device 37.

セキュリティクライアント16は、インストールされたソフトウェア更新要否判定プログラムを格納すると共に、必要なファイル,データ等を格納する。メモリ装置35は、コンピュータの起動時に補助記憶装置34からソフトウェア更新要否判定プログラムを読み出して格納する。そして、演算処理装置36はメモリ装置35に格納されたソフトウェア更新要否判定プログラムに従って、後述するような各種処理を実現している。   The security client 16 stores the installed software update necessity determination program and also stores necessary files, data, and the like. The memory device 35 reads and stores a software update necessity determination program from the auxiliary storage device 34 when the computer is activated. The arithmetic processing unit 36 implements various processes as described later according to a software update necessity determination program stored in the memory device 35.

次に、セキュリティクライアント16のソフトウェア構成図について、図4を参照しつつ説明する。図4は、セキュリティクライアントの一例のソフトウェア構成図である。   Next, a software configuration diagram of the security client 16 will be described with reference to FIG. FIG. 4 is a software configuration diagram of an example of the security client.

図4のセキュリティクライアント16は、構成/脆弱性確認ツール41,稼動情報取得ツール42,脆弱性確認ツール43,提案テンプレートDB44,脆弱性情報開発元DB45,ネットワークシステムマップDB46,脆弱性情報DB47を含むように構成されている。ここでは、構成/脆弱性確認ツール41,稼動情報取得ツール42,脆弱性確認ツール43の処理について図面を参照しつつ説明する。   4 includes a configuration / vulnerability confirmation tool 41, an operation information acquisition tool 42, a vulnerability confirmation tool 43, a proposal template DB 44, a vulnerability information developer DB 45, a network system map DB 46, and a vulnerability information DB 47. It is configured as follows. Here, processing of the configuration / vulnerability confirmation tool 41, the operation information acquisition tool 42, and the vulnerability confirmation tool 43 will be described with reference to the drawings.

図5は、構成/脆弱性確認ツールの処理を説明する為の図である。まず、図2に示すネットワークシステムの概要提案構成を決定し、各機器の見積りを生成する。見積り51はルータR1の見積りの一例である。例えば見積り51は、機種名,モジュール,バージョン,使用コマンド,メモリサイズおよび価格/Costから構成される。   FIG. 5 is a diagram for explaining the processing of the configuration / vulnerability confirmation tool. First, an outline proposal configuration of the network system shown in FIG. 2 is determined, and an estimate of each device is generated. The estimate 51 is an example of the estimate of the router R1. For example, the estimate 51 includes a model name, a module, a version, a use command, a memory size, and a price / Cost.

ステップS1に進み、構成/脆弱性確認ツール41は各機器の見積り、提案テンプレートDB44及び脆弱性情報開発元DB45に基づき、ネットワークシステムの最適な該当組合せを検索する。提案テンプレートDB44は、事前検証済みのネットワークシステムの構成を表しているものである。脆弱性情報開発元DB45は、OSバージョン毎の脆弱性/BUG情報,使用コマンドを表しているものである。   In step S1, the configuration / vulnerability confirmation tool 41 searches for an optimal combination of network systems based on the estimation of each device, the proposal template DB 44, and the vulnerability information developer DB 45. The proposal template DB 44 represents the configuration of a network system that has been verified in advance. The vulnerability information developer DB 45 represents vulnerability / BUG information and used commands for each OS version.

ステップS2に進み、構成/脆弱性確認ツール41は該当組合せの製品詳細情報を入手して、ネットワークシステムの機器の構成と、各機器に搭載されるソフトウェアとを表したネットワークシステム構成マップを作成する。ステップS3では、ネットワークシステム構成マップに基づいて、各機器へのソフトウェアのインストールと、情報取得コマンドの設定とを行う。   In step S2, the configuration / vulnerability checking tool 41 obtains the product detailed information of the corresponding combination, and creates a network system configuration map representing the configuration of the network system device and the software installed in each device. . In step S3, based on the network system configuration map, software installation to each device and setting of an information acquisition command are performed.

ステップS1〜S3の処理結果に基づき、図6のようなネットワークシステムマップDB46が作成される。図6はネットワークシステムマップDBの一例の構成図である。図6のネットワークシステムマップDB46は、機種名/ipアドレス,バージョン,インストール日時,起動日時,アクセス日時,機能,使用コマンド,情報取得コマンドから構成されている。図6のネットワークシステムマップDB46はインストール直後で、各機器が未使用である例を表したものである。未使用である場合、アクセス日時には「0000/00/00/00」が設定されている。   Based on the processing results of steps S1 to S3, a network system map DB 46 as shown in FIG. 6 is created. FIG. 6 is a configuration diagram of an example of the network system map DB. The network system map DB 46 shown in FIG. 6 includes model name / ip address, version, installation date / time, start date / time, access date / time, function, use command, and information acquisition command. The network system map DB 46 of FIG. 6 represents an example in which each device is unused immediately after installation. If unused, “0000/00/00/00” is set as the access date.

図7は、稼動情報取得ツールの処理を説明する為の図である。稼動情報取得ツール42はネットワークシステムマップDB46に設定されている各機器のIPアドレスの取得および情報取得コマンドの読込を行い、情報取得コマンドを各機器に発行することで各機器のアクセス日時を取得し、そのアクセス日時をネットワークシステムマップDB46に設定する。図7のネットワークシステムマップDB46では使用された機器のアクセス日時が設定されている。   FIG. 7 is a diagram for explaining processing of the operation information acquisition tool. The operation information acquisition tool 42 acquires the IP address of each device set in the network system map DB 46 and reads the information acquisition command, and acquires the access date and time of each device by issuing the information acquisition command to each device. The access date and time is set in the network system map DB 46. In the network system map DB 46 of FIG. 7, the access date and time of the used device is set.

図8は、脆弱性確認ツールの処理を説明する為の図である。脆弱性確認ツール43はステップS21に進み、ネットワークシステムマップDB46と、各機器の脆弱情報が登録されている脆弱性情報DB47とを比較する。ここでは、ルータR1,ルータR2を例に説明する。脆弱性情報DB47には、機器および使用コマンド毎に脆弱性バージョン範囲および推奨バージョンが設定されている。   FIG. 8 is a diagram for explaining processing of the vulnerability confirmation tool. In step S21, the vulnerability check tool 43 compares the network system map DB 46 with the vulnerability information DB 47 in which the vulnerability information of each device is registered. Here, the router R1 and the router R2 will be described as an example. In the vulnerability information DB 47, a vulnerability version range and a recommended version are set for each device and use command.

ステップS22に進み、脆弱性確認ツール43はネットワークシステムマップDB46と脆弱性情報DB47との比較結果に基づき、ルータR1,ルータR2に搭載されているソフトウェアに脆弱性対応がされていないバージョンのソフトウェアが含まれるか否かを判定する。   Proceeding to step S22, the vulnerability checking tool 43 determines that the version of software that does not correspond to the software installed in the router R1 and router R2 based on the comparison result between the network system map DB 46 and the vulnerability information DB 47. It is determined whether or not it is included.

具体的に、脆弱性確認ツール43はルータR1,ルータR2に搭載されているソフトウェアのバージョンが、脆弱性情報DB47の脆弱性バージョン範囲に含まれている場合に脆弱性対応がされていないバージョンのソフトウェアが含まれると判定し、脆弱性情報DB47の推奨バージョンに含まれている場合に脆弱性対応がされているバージョンのソフトウェアが含まれていると判定する。   Specifically, the vulnerability check tool 43 has a version that is not addressed when the version of software installed in the router R1 and the router R2 is included in the vulnerability version range of the vulnerability information DB 47. It is determined that the software is included, and when it is included in the recommended version of the vulnerability information DB 47, it is determined that the version of the software corresponding to the vulnerability is included.

脆弱性確認ツール43はルータR1,ルータR2に搭載されているソフトウェアに脆弱性対応がされていないバージョンのソフトウェアが含まれると判定すると、ステップS23に進み、脆弱性対応がされていないバージョンのソフトウェアの使用コマンドが一致しているか否かを判定する。   If the vulnerability checking tool 43 determines that the software installed in the router R1 and the router R2 includes a version of software that is not compatible with the vulnerability, the process proceeds to step S23, and the version of software that is not compatible with the vulnerability. It is determined whether or not the used commands match.

脆弱性確認ツール43は脆弱性対応がされていないバージョンのソフトウェアの使用コマンドが一致していると判定すると、ステップS24に進み、脆弱性対応がされていないバージョンのソフトウェアのアクセス日時がネットワークシステムマップDB46に設定されているか否かを判定する。   If the vulnerability checking tool 43 determines that the use commands of the version of software that does not correspond to the vulnerability match, the process proceeds to step S24, and the access date and time of the version of software that does not correspond to the vulnerability is displayed in the network system map. It is determined whether or not it is set in the DB 46.

脆弱性確認ツール43は脆弱性対応がされていないバージョンのソフトウェアのアクセス日時がネットワークシステムマップDB46に設定されていると判定すると、ステップS25に進み、脆弱性対応がされていないバージョンのソフトウェアのアクセス日時に応じて所定期間(例えば2年間)アクセスなしか否かを判定する。   If the vulnerability checking tool 43 determines that the access date and time of the version of the software that is not compatible with the vulnerability is set in the network system map DB 46, the process proceeds to step S25, where the access of the version of the software that is not compatible with the vulnerability is performed. Whether there is no access for a predetermined period (for example, two years) is determined according to the date and time.

脆弱性確認ツール43は脆弱性対応がされていないバージョンのソフトウェアが2年間アクセスなしではないと判定すると、ステップS26に進み、脆弱性情報DB47の推奨バージョンをダウンロードする。そして、ステップS27に進み、脆弱性確認ツール43は顧客に脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行う。   If the vulnerability checking tool 43 determines that the version of the software that has not been dealt with is not accessed for two years, the process proceeds to step S26, and the recommended version of the vulnerability information DB 47 is downloaded. In step S27, the vulnerability check tool 43 notifies the customer of a vulnerability non-correspondence message / recommended version notification to the customer.

なお、ステップS22でルータR1,ルータR2に脆弱性対応がされていないバージョンのソフトウェアが含まれていないと判定した場合、ステップS23で脆弱性対応がされていないバージョンのソフトウェアの使用コマンドが一致していないと判定した場合、ステップS24で脆弱性対応がされていないバージョンのソフトウェアのアクセス日時がネットワークシステムマップDB46に設定されていない判定した場合、ステップS25で脆弱性対応がされていないバージョンのソフトウェアが2年間アクセスなしである場合は脆弱性対応がされていないバージョンのソフトウェアが無いことを表す該当無し通知を顧客に対して行う。   If it is determined in step S22 that the router R1 and router R2 do not contain a version of software that does not support vulnerability, the use command of the version of software that does not support vulnerability matches in step S23. If it is determined that the access date and time of the version of the software that is not compatible with vulnerability is not set in the network system map DB 46 in step S24, the version of software that is not compatible with vulnerability is determined in step S25. If there is no access for two years, a notice of non-applicability is sent to the customer indicating that there is no version of software that has not been addressed for vulnerability.

このように、脆弱性確認ツール43は脆弱性対応されていない機器のアクセス日時をネットワークシステムマップDB46から取得し、脆弱性対応されていない機器のうち利用実績がある機器を選択して、前述したような脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行うことができる。   As described above, the vulnerability check tool 43 obtains the access date and time of the device not corresponding to the vulnerability from the network system map DB 46, selects the device that has been used among the devices not compatible with the vulnerability, and described above. Vulnerability unsupported messages / recommended version notifications can be sent to customers.

例えば図8のネットワークシステムマップDB46及び脆弱性情報DB47の場合、脆弱性確認ツール43はステップS21〜S27の処理により、機器「ルータR1,ルータR2」及び使用コマンド「IPv6/RIP」に対応する脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行うことができる。   For example, in the case of the network system map DB 46 and the vulnerability information DB 47 in FIG. 8, the vulnerability check tool 43 performs processing in steps S21 to S27, and the vulnerability corresponding to the device “router R1, router R2” and the use command “IPv6 / RIP”. Non-gender compatible message / recommended version notification can be made to the customer.

以下、本発明によるネットワークシステムの他の構成を説明する。図9はベンダ側で脆弱情報を登録する処理を示したフロー図である。ベンダ側には、脆弱性情報登録クライアント100,WEBサーバ101,APサーバ102,DBサーバ103が設置されている。   Hereinafter, another configuration of the network system according to the present invention will be described. FIG. 9 is a flowchart showing a process for registering vulnerable information on the vendor side. On the vendor side, a vulnerability information registration client 100, a WEB server 101, an AP server 102, and a DB server 103 are installed.

ステップS100では脆弱性情報登録クライアント100がルータR1の脆弱性登録依頼を行う。ステップS101に進み、WEBサーバ101はルータR1の脆弱性登録依頼に基づきサーブレット(振り分け)を行い、ルータR1の機種Callを行う。ステップS102に進み、APサーバ102はルータR1の機種 Callに基づきルータR1の脆弱性検索依頼を行う。   In step S100, the vulnerability information registration client 100 makes a vulnerability registration request for the router R1. In step S101, the WEB server 101 performs servlet (sorting) based on the vulnerability registration request of the router R1, and performs the model call of the router R1. In step S102, the AP server 102 makes a vulnerability search request for the router R1 based on the model Call of the router R1.

ステップS103に進み、DBサーバ103はルータR1の脆弱情報を脆弱性情報DB104から検索する。ステップS104〜S107に進み、DBサーバ103から脆弱性情報登録クライアント100に検索結果が通知される。脆弱性情報登録クライアント100は、検索結果に基づき脆弱性情報更新画面を出力する。   In step S103, the DB server 103 searches the vulnerability information DB 104 for vulnerability information of the router R1. Proceeding to steps S104 to S107, the DB server 103 notifies the vulnerability information registration client 100 of the search result. The vulnerability information registration client 100 outputs a vulnerability information update screen based on the search result.

ステップS108では、脆弱性情報登録クライアント100に脆弱性バージョン範囲や推奨バージョン,使用(機能)コマンドが設定される。ステップS109に進み、WEBサーバ101は脆弱性情報更新APL Callを行う。ステップS110に進み、APサーバ102は脆弱性情報更新APL Callに基づき脆弱性情報DB104の更新依頼を行う。ステップS111に進み、DBサーバ103は脆弱性情報DB104の更新依頼に基づいて脆弱性情報DB104を更新する。   In step S108, the vulnerability version range, recommended version, and use (function) command are set in the vulnerability information registration client 100. In step S109, the WEB server 101 performs vulnerability information update APL Call. In step S110, the AP server 102 requests the vulnerability information DB 104 to be updated based on the vulnerability information update APL Call. In step S111, the DB server 103 updates the vulnerability information DB 104 based on the update request for the vulnerability information DB 104.

ステップS112〜S115に進み、DBサーバ103から脆弱性情報登録クライアント100に更新結果が通知される。脆弱性情報登録クライアント100は、更新結果を表示する。図9に示すように、ベンダ側では機器の脆弱情報を脆弱性情報DB104に登録できる。   Proceeding to steps S112 to S115, the DB server 103 notifies the vulnerability information registration client 100 of the update result. The vulnerability information registration client 100 displays the update result. As shown in FIG. 9, the vendor's vulnerability information can be registered in the vulnerability information DB 104 on the vendor side.

図10は、ベンダ側からセンター側に脆弱性情報を通知する処理を示したフロー図である。ベンダ側には、WEBサーバ101,APサーバ102,DBサーバ103,脆弱性情報通知クライアント110が設置されている。   FIG. 10 is a flowchart showing processing for notifying vulnerability information from the vendor side to the center side. On the vendor side, a WEB server 101, an AP server 102, a DB server 103, and a vulnerability information notification client 110 are installed.

ステップS200では脆弱性情報通知クライアント110がルータR1を使用しているユーザへの脆弱性通知確認依頼を行う。ステップS201に進み、WEBサーバ101はルータR1を使用しているユーザへの脆弱性通知確認依頼に基づきサーブレット(振り分け)を行い、ルータR1のUser Callを行う。   In step S200, the vulnerability information notification client 110 makes a vulnerability notification confirmation request to the user using the router R1. In step S201, the WEB server 101 performs servlet (sorting) based on the vulnerability notification confirmation request to the user who uses the router R1, and performs User Call of the router R1.

ステップS202に進み、APサーバ102は、ルータR1のUser Callに基づきルータR1を使用しているユーザの検索依頼を行う。ステップS203に進み、DBサーバ103は図11に示すR1ユーザDB111を検索する。   In step S202, the AP server 102 issues a search request for users who are using the router R1 based on the User Call of the router R1. In step S203, the DB server 103 searches the R1 user DB 111 shown in FIG.

図11はR1ユーザDBの一例の構成図である。R1ユーザDB111はルータR1を使用しているユーザのユーザ名,そのユーザへの通知方式,e−mail address,Web addressから構成されている。DBサーバ103は、R1ユーザDB111からユーザ名,通知方式,e−mail address,Web addressを検索する。   FIG. 11 is a configuration diagram of an example of the R1 user DB. The R1 user DB 111 includes a user name of a user who uses the router R1, a notification method for the user, an e-mail address, and a Web address. The DB server 103 searches the R1 user DB 111 for the user name, notification method, e-mail address, and Web address.

ステップS204〜S207に進み、DBサーバ103から脆弱性情報通知クライアント110に検索結果が通知される。脆弱性情報通知クライアント110は、検索結果に基づき通知ユーザ確認画面を出力する。   In steps S204 to S207, the DB server 103 notifies the vulnerability information notification client 110 of the search result. The vulnerability information notification client 110 outputs a notification user confirmation screen based on the search result.

ステップS208では、脆弱性情報通知クライアント110がルータR1を使用しているユーザへの脆弱性情報通知依頼を行う。ステップS209に進み、WEBサーバ101はユーザ名「Tsuda」を指定して、通知APL Callを行う。   In step S208, the vulnerability information notification client 110 makes a vulnerability information notification request to the user using the router R1. In step S209, the WEB server 101 designates the user name “Tsuda” and performs a notification APL Call.

ステップS210に進み、APサーバ102は通知APL Callに基づき脆弱性情報検索依頼を行う。ステップS211に進み、DBサーバ103は脆弱性情報DB104からルータR1の脆弱性情報を検索する。ステップS212に進み、DBサーバ103は検索結果をAPサーバ102に通知する。   In step S210, the AP server 102 makes a vulnerability information search request based on the notification APL Call. In step S211, the DB server 103 searches the vulnerability information DB 104 for vulnerability information of the router R1. In step S212, the DB server 103 notifies the search result to the AP server 102.

ステップS213に進み、APサーバ102は、検索結果のルータR1の脆弱性情報をe−mailに設定し、R1ユーザDB111から検索したe−mail addressを宛先に設定する。ステップS214に進み、APサーバ102はe−mailを発信する。ステップS215〜S217に進み、APサーバ102から脆弱性情報通知クライアント110に結果が通知される。脆弱性情報通知クライアント110は、脆弱性通知結果を表示する。   In step S213, the AP server 102 sets the vulnerability information of the router R1 as a search result to e-mail, and sets the e-mail address searched from the R1 user DB 111 as a destination. In step S214, the AP server 102 transmits e-mail. Proceeding to steps S215 to S217, the AP server 102 notifies the vulnerability information notification client 110 of the result. The vulnerability information notification client 110 displays the vulnerability notification result.

また、WEBサーバ101はステップS216に続いてステップS218に進み、次のユーザ名「Oota」を指定して、通知APL Callを行う。ステップS219に進み、APサーバ102は、R1ユーザDB111から検索したWeb addressをe−mailに設定し、R1ユーザDB111から検索したe−mail addressを宛先に設定する。   Further, the WEB server 101 proceeds to step S218 following step S216, specifies the next user name “Oota”, and performs a notification APL Call. In step S219, the AP server 102 sets the Web address searched from the R1 user DB 111 as e-mail, and sets the e-mail address searched from the R1 user DB 111 as a destination.

ステップS220に進み、APサーバ102はe−mailを発信する。ステップS221〜S223に進み、APサーバ102から脆弱性情報通知クライアント110に結果が通知される。脆弱性情報通知クライアント110は、脆弱性通知結果を表示する。図10に示すように、ベンダ側ではルータR1を利用しているユーザに、Pushメール方式やWEBダウンロード方式、タイマー型WEBダウンロード方式でルータR1等の機器の脆弱性情報を通知できる。   In step S220, the AP server 102 transmits e-mail. Proceeding to steps S221 to S223, the AP server 102 notifies the vulnerability information notification client 110 of the result. The vulnerability information notification client 110 displays the vulnerability notification result. As shown in FIG. 10, on the vendor side, vulnerability information of a device such as the router R1 can be notified to a user who uses the router R1 by the push mail method, the WEB download method, or the timer type WEB download method.

図12は、OSバージョン取得用パトロールパケットによりルータR1,ルータR2に搭載されているソフトウェアのバージョンを取得する処理を示したフロー図である。セキュリティクライアント16,WEBサーバ120,APサーバ121,DBサーバ122はセンター側に設置されている。   FIG. 12 is a flowchart showing a process of acquiring the version of software installed in the router R1 and the router R2 by the OS version acquisition patrol packet. The security client 16, WEB server 120, AP server 121, and DB server 122 are installed on the center side.

ステップS300ではセキュリティクライアント16がネットワークシステムマップ作成依頼を行う。ステップS301に進み、WEBサーバ120はネットワークシステムマップ作成依頼に基づきサーブレット(振り分け)を行い、全network accessのAPLを起動する。   In step S300, the security client 16 makes a network system map creation request. In step S301, the WEB server 120 performs a servlet (distribution) based on the network system map creation request, and activates the APL for all network accesses.

ステップS302に進み、APサーバ121はsnmpコマンドでネットワークシステムに含まれる各機器のIPアドレスを取得する。ステップS303に進み、APサーバ121は取得したIPアドレスを元にsnmpコマンドでルータR1,ルータR2等の各機器のバージョンを取得する。ステップS304に進み、APサーバ121は取得した各機器のバージョンをDBサーバ122に通知し、ネットワークシステムマップDB更新依頼を行う。   In step S302, the AP server 121 acquires the IP address of each device included in the network system using the snmp command. In step S303, the AP server 121 acquires the version of each device such as the router R1, the router R2, etc. using the snmp command based on the acquired IP address. In step S304, the AP server 121 notifies the DB server 122 of the acquired version of each device, and makes a network system map DB update request.

ステップS305に進み、DBサーバ122はAPサーバ121から受信した各機器のバージョンに基づき、ネットワークシステムマップDB46を更新する。ステップS306〜S308に進み、DBサーバ122からWEBサーバ120にネットワークシステムマップDB46の更新結果が通知される。WEBサーバ120はネットワークシステムマップ作成完了通知をセキュリティクライアント16に対して行う。そして、ステップS309では、セキュリティクライアント16がネットワークシステムマップ作成完了通知を受信する。図12に示すように、ネットワークシステムを構成する機器毎に、その機器に搭載されたソフトウェアのバージョンを取得できる。   In step S 305, the DB server 122 updates the network system map DB 46 based on the version of each device received from the AP server 121. Proceeding to steps S306 to S308, the DB server 122 notifies the WEB server 120 of the update result of the network system map DB 46. The WEB server 120 sends a network system map creation completion notification to the security client 16. In step S309, the security client 16 receives a network system map creation completion notification. As shown in FIG. 12, the version of software installed in each device can be acquired for each device constituting the network system.

図13は、脆弱性情報を取得する処理を示したフロー図である。セキュリティクライアント16には、前述したようにPushメール方式やWEBダウンロード方式のe−mailを各ベンダサイトWEBから受信する。Pushメール方式である場合、セキュリティクライアント16はステップS400〜S408の処理を行う。WEBダウンロード方式である場合、セキュリティクライアント16は、ステップS410〜S418の処理を行う。   FIG. 13 is a flowchart showing processing for acquiring vulnerability information. As described above, the security client 16 receives an e-mail of the Push mail method or the WEB download method from each vendor site WEB. In the case of the Push mail method, the security client 16 performs steps S400 to S408. In the case of the WEB download method, the security client 16 performs the processes of steps S410 to S418.

ステップS400でPushメール方式であると判定すると、セキュリティクライアント16は脆弱性情報更新依頼を行う。ステップS401に進み、WEBサーバ120は脆弱性情報更新依頼に基づきサーブレット(振り分け)を行い、Push型のAPLを起動する。   If it is determined in step S400 that the push mail method is used, the security client 16 makes a vulnerability information update request. In step S401, the WEB server 120 performs a servlet (sorting) based on the vulnerability information update request, and activates a Push-type APL.

ステップS402に進み、APサーバ121はe−mailのDATA部の脆弱性情報を取得する。ステップS403に進み、APサーバ121は、取得した脆弱性情報をDBサーバ122に通知し、脆弱性情報DB更新依頼を行う。ステップS404に進み、DBサーバ122はAPサーバ121から受信した各機器の脆弱性情報に基づき、脆弱性情報DB47を更新する。ステップS405〜S408に進み、DBサーバ122からWEBサーバ120に脆弱性情報DB47の更新結果が通知される。WEBサーバ120は脆弱性情報DB47の更新完了をセキュリティクライアント16に通知する。   In step S402, the AP server 121 acquires vulnerability information of the DATA part of the e-mail. In step S403, the AP server 121 notifies the DB server 122 of the acquired vulnerability information and makes a vulnerability information DB update request. In step S404, the DB server 122 updates the vulnerability information DB 47 based on the vulnerability information of each device received from the AP server 121. Proceeding to steps S405 to S408, the DB server 122 notifies the WEB server 120 of the update result of the vulnerability information DB 47. The WEB server 120 notifies the security client 16 that the vulnerability information DB 47 has been updated.

ステップS410でWEBダウンロード方式であると判定すると、セキュリティクライアント16は脆弱性情報更新依頼を行う。ステップS411に進み、WEBサーバ120は脆弱性情報更新依頼に基づきサーブレット(振り分け)を行い、web型又はtimer型のAPLを起動する。   If it is determined in step S410 that the WEB download method is used, the security client 16 makes a vulnerability information update request. In step S411, the WEB server 120 performs a servlet (sorting) based on the vulnerability information update request, and starts a web-type or timer-type APL.

ステップS412に進み、APサーバ121はe−mailのDATA部のwebアドレス内の脆弱性情報又は図14に示すようなベンダwebアドレスDB130に事前登録されているベンダwebアドレス内の脆弱性情報をダウンロードする。図14はベンダwebアドレスDBの一例の構成図である。   In step S412, the AP server 121 downloads the vulnerability information in the web address of the e-mail DATA part or the vulnerability information in the vendor web address pre-registered in the vendor web address DB 130 as shown in FIG. To do. FIG. 14 is a configuration diagram of an example of the vendor web address DB.

ベンダwebアドレスDB130は、機器毎に脆弱性バージョン範囲のダウンロード先である脆弱性Web addressと、推奨バージョンのダウンロード先である推奨OS Web addressとが事前登録されている。なお、ステップS413〜S418の処理はステップS403〜S408の処理と同様であるため、説明を省略する。図13に示すように、ネットワークシステムを構成する機器毎に、その機器の脆弱性情報を取得できる。   In the vendor web address DB 130, a vulnerability Web address that is a download destination of the vulnerability version range and a recommended OS Web address that is a download destination of the recommended version are registered in advance for each device. In addition, since the process of step S413-S418 is the same as the process of step S403-S408, description is abbreviate | omitted. As shown in FIG. 13, the vulnerability information of each device can be acquired for each device constituting the network system.

図15は、脆弱性情報を確認する処理を示したフロー図である。セキュリティクライアント16には、前述したようにPushメール方式やWEBダウンロード方式のe−mailを各ベンダサイトWEBから受信する。すると、図13を用いて前述したようなPushメール方式またはwebダウンロード方式の処理を行ったあと、ステップS500に進む。   FIG. 15 is a flowchart showing processing for confirming vulnerability information. As described above, the security client 16 receives an e-mail of the Push mail method or the WEB download method from each vendor site WEB. Then, after performing the push mail method or the web download method as described above with reference to FIG. 13, the process proceeds to step S500.

ステップS500では、セキュリティクライアント16が、脆弱性確認依頼を行う。ステップS501に進み、WEBサーバ120は脆弱性確認依頼に基づきサーブレット(振り分け)を行い、脆弱性確認のAPLを起動する。   In step S500, the security client 16 makes a vulnerability check request. In step S501, the WEB server 120 performs a servlet (sorting) based on the vulnerability confirmation request, and activates the APL for vulnerability confirmation.

ステップS502に進み、APサーバ121は脆弱性情報DB検索依頼を行う。ステップS503に進み、DBサーバ122はAPサーバ121から受信した各機器の脆弱性情報DB検索依頼に基づき、脆弱性情報DB47を検索する。ステップS504〜S505に進み、DBサーバ122からAPサーバ121に脆弱性情報DB47の検索結果が通知される。   In step S502, the AP server 121 makes a vulnerability information DB search request. In step S503, the DB server 122 searches the vulnerability information DB 47 based on the vulnerability information DB search request for each device received from the AP server 121. Proceeding to steps S504 to S505, the search result of the vulnerability information DB 47 is notified from the DB server 122 to the AP server 121.

ステップS506に進み、APサーバ121はネットワークシステムマップDB検索依頼を行う。ステップS507に進み、DBサーバ122はAPサーバ121から受信したネットワークシステムマップDB検索依頼に基づき、ネットワークシステムマップDB46を検索する。ステップS508〜S509に進み、DBサーバ122からAPサーバ121にネットワークシステムマップDB46の検索結果が通知される。   In step S506, the AP server 121 makes a network system map DB search request. In step S507, the DB server 122 searches the network system map DB 46 based on the network system map DB search request received from the AP server 121. Proceeding to steps S508 to S509, the search result of the network system map DB 46 is notified from the DB server 122 to the AP server 121.

ステップS510に進み、APサーバ121はDBサーバ122から通知された脆弱性情報DB47の検索結果およびネットワークシステムマップDB46の検索結果を比較する。そして、ステップS511に進み、APサーバ121はルータR1,R2に搭載されているソフトウェアの更新要否を判定すると共に、推奨バージョンを取得し、比較結果を設定する。   In step S510, the AP server 121 compares the search result of the vulnerability information DB 47 notified from the DB server 122 with the search result of the network system map DB 46. In step S511, the AP server 121 determines whether or not the software installed in the routers R1 and R2 needs to be updated, obtains a recommended version, and sets a comparison result.

ステップS512〜S514に進み、APサーバ121からセキュリティクライアント16に比較結果が通知される。セキュリティクライアント16は通知された比較結果に基づいて、図15に示すような完了メッセージを表示する。図15に示すように、脆弱性情報DB47およびネットワークシステムマップDB46を比較し、ルータR1,R2に搭載されているソフトウェアの更新要否を判定できる。なお、前述の図8のステップS21からステップS25の処理はステップS510に、図8のステップS27はステップS512からステップS514に相当する。   Proceeding to steps S512 to S514, the AP server 121 notifies the security client 16 of the comparison result. Based on the notified comparison result, the security client 16 displays a completion message as shown in FIG. As shown in FIG. 15, the vulnerability information DB 47 and the network system map DB 46 can be compared to determine whether the software installed in the routers R1 and R2 needs to be updated. 8 is equivalent to step S510, and step S27 in FIG. 8 is equivalent to step S512 to step S514.

本発明は、以下に記載する付記のような構成が考えられる。
(付記1)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、
前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、
前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップと
を有することを特徴とするソフトウェア更新要否判定方法。
(付記2)
前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを更新が不要と判定することを特徴とする付記1記載のソフトウェア更新要否判定方法。
(付記3)
前記機器に搭載されたソフトウェアに関する情報は、前記ソフトウェアの識別情報および利用履歴情報を含むことを特徴とする付記1又は2記載のソフトウェア更新要否判定方法。
(付記4)
前記判定ステップによる判定結果をユーザに通知する通知ステップを更に有することを特徴とする付記1乃至3何れか一項記載のソフトウェア更新要否判定方法。
(付記5)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータにおいて実行されるソフトウェア更新要否判定プログラムであって、
前記コンピュータは、記憶装置,演算処理装置を含み、
前記演算処理装置に、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得させて前記記憶装置に格納させる格納ステップと、
前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択させる選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定させる判定ステップと
を実行させるソフトウェア更新要否判定プログラム。
(付記6)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するソフトウェア更新要否判定装置であって、
前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する情報取得格納手段と、
前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択するソフトウェア選択手段と、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する更新判定手段と
を有することを特徴とするソフトウェア更新要否判定装置。 The present invention may have the following configurations as described below.
(Appendix 1)
A computer software update necessity determination method for determining whether or not to update software installed in devices constituting a predetermined network system,
A storage step in which the computer acquires information about software installed in the device and information about vulnerability of the software and stores the information in a storage device;
Selection that the computer selects the vulnerable software among the software installed on the device based on the information on the software installed in the device and the information on the vulnerability of the software stored in the storage device Steps,
A determination step for determining whether or not software update is necessary, the step of determining that it is necessary to update software that has been used in the selected software.
(Appendix 2)
2. The software update necessity determination method according to claim 1, wherein the determination step determines that the update of a predetermined period of time or more after the last use of the selected software is unnecessary.
(Appendix 3)
The software update necessity determination method according to appendix 1 or 2, wherein the information about the software installed in the device includes identification information and usage history information of the software.
(Appendix 4)
The software update necessity determination method according to any one of supplementary notes 1 to 3, further comprising a notification step of notifying a user of a determination result in the determination step.
(Appendix 5)
A software update necessity determination program executed in a computer for determining whether or not software installed in devices constituting a predetermined network system is necessary,
The computer includes a storage device and an arithmetic processing unit,
A storage step of causing the arithmetic processing device to acquire information about software installed in the device and information about vulnerability of the software and store the information in the storage device;
A selection step of selecting a vulnerable one of the software installed in the device based on the information on the software installed in the device stored in the storage device and the information on the vulnerability of the software;
A software update necessity determination program for executing a determination step of determining that software having a track record of use among the selected software needs to be updated.
(Appendix 6)
A software update necessity determination device that determines whether or not software installed in a device constituting a predetermined network system needs to be updated,
Information acquisition and storage means for acquiring information on software installed in the device and information on vulnerability of the software and storing the information in a storage device;
Software selection means for selecting the vulnerable software among the software installed in the device based on the information on the software installed in the device stored in the storage device and the information on the vulnerability of the software;
A software update necessity determination apparatus, comprising: an update determination unit that determines that software having a track record of use among the selected software is required to be updated.

本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。   The present invention is not limited to the specifically disclosed embodiments, and various modifications and changes can be made without departing from the scope of the claims.

ネットワークシステムの一例のシステム構成図である。It is a system configuration diagram of an example of a network system. 本発明によるネットワークシステムの一実施例の構成図である。It is a block diagram of one Example of the network system by this invention. セキュリティクライアントの一例のハードウェア構成図である。It is a hardware block diagram of an example of a security client. セキュリティクライアントの一例のソフトウェア構成図である。It is a software block diagram of an example of a security client. 構成/脆弱性確認ツールの処理を説明する為の図である。It is a figure for demonstrating the process of a structure / vulnerability confirmation tool. ネットワークシステムマップDBの一例の構成図である。It is a block diagram of an example of network system map DB. 稼動情報取得ツールの処理を説明する為の図である。It is a figure for demonstrating the process of an operation information acquisition tool. 脆弱性確認ツールの処理を説明する為の図である。It is a figure for demonstrating the process of a vulnerability confirmation tool. ベンダ側で脆弱情報を登録する処理を示したフロー図である。It is the flowchart which showed the process which registers vulnerability information on the vendor side. ベンダ側からセンター側に脆弱性情報を通知する処理を示したフロー図である。It is the flowchart which showed the process which notifies vulnerability information from the vendor side to the center side. R1ユーザDBの一例の構成図である。It is a block diagram of an example of R1 user DB. OSバージョン取得用パトロールパケットによりルータR1,ルータR2に搭載されているソフトウェアのバージョンを取得する処理を示したフロー図である。It is the flowchart which showed the process which acquires the version of the software mounted in router R1, router R2 by the patrol packet for OS version acquisition. 脆弱性情報を取得する処理を示したフロー図である。It is the flowchart which showed the process which acquires vulnerability information. ベンダwebアドレスDBの一例の構成図である。It is a block diagram of an example of a vendor web address DB. 脆弱性情報を確認する処理を示したフロー図である。It is the flowchart which showed the process which confirms vulnerability information.

符号の説明Explanation of symbols

1a,1b サーバ
2,11 クライアント
3,14 広域イーサーネット(登録商標)
4,15 INS網
10a,10b 業務サーバ
16 セキュリティクライアント
17,18 脆弱性情報
19,20,R1,R2 ルータ
21 インターネット
31 入力装置
32 出力装置
33 ドライブ装置
34 補助記憶装置
35 メモリ装置
36 演算処理装置
37 インターフェース装置
38 記録媒体
41 構成/脆弱性確認ツール
42 稼動情報取得ツール
43 脆弱性確認ツール
44 提案テンプレート
45 脆弱性情報開発元DB
46 ネットワークシステムマップDB
47 脆弱性情報DB 1a, 1b server 2, 11 client 3, 14 Wide area Ethernet (registered trademark)
4,15 INS network 10a, 10b Business server 16 Security client 17, 18 Vulnerability information 19, 20, R1, R2 Router 21 Internet 31 Input device 32 Output device 33 Drive device 34 Auxiliary storage device 35 Memory device 36 Arithmetic processing device 37 Interface device 38 Recording medium 41 Configuration / vulnerability confirmation tool 42 Operation information acquisition tool 43 Vulnerability confirmation tool 44 Proposed template 45 Vulnerability information developer DB
46 Network System Map DB
47 Vulnerability Information DB

Claims (2)

所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、
前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、
前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップと、
を有し、
前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを、その時点での更新が不要と判定すること
を特徴とするソフトウェア更新要否判定方法。 A computer software update necessity determination method for determining whether or not to update software installed in devices constituting a predetermined network system,
A storage step in which the computer acquires information about software installed in the device and information about vulnerability of the software and stores the information in a storage device;
Selection that the computer selects the vulnerable software among the software installed on the device based on the information on the software installed in the device and the information on the vulnerability of the software stored in the storage device Steps,
A determination step of determining that updating of software with a track record of use among the selected software is necessary;
Have
The determination step, the last used are those older than a predetermined period after the software update necessity determination method characterized in that the update at that time is determined to be unnecessary among said selected software. 前記機器に搭載されたソフトウェアに関する情報は、前記ソフトウェアの識別情報および利用履歴情報を含むことを特徴とする請求項1記載のソフトウェア更新要否判定方法。   2. The software update necessity determination method according to claim 1, wherein the information about the software installed in the device includes identification information and usage history information of the software.
JP2006152557A 2006-05-31 2006-05-31 Software update necessity judgment method Expired - Fee Related JP4978061B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006152557A JP4978061B2 (en) 2006-05-31 2006-05-31 Software update necessity judgment method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006152557A JP4978061B2 (en) 2006-05-31 2006-05-31 Software update necessity judgment method

Publications (2)

Publication Number Publication Date
JP2007323349A JP2007323349A (en) 2007-12-13
JP4978061B2 true JP4978061B2 (en) 2012-07-18

Family

ID=38856102

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006152557A Expired - Fee Related JP4978061B2 (en) 2006-05-31 2006-05-31 Software update necessity judgment method

Country Status (1)

Country Link
JP (1) JP4978061B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5324209B2 (en) * 2008-12-25 2013-10-23 Kddi株式会社 Computer apparatus, information collection method, and information collection program
JP6311885B2 (en) * 2015-02-27 2018-04-18 京セラドキュメントソリューションズ株式会社 Program replacement system
JP6926879B2 (en) * 2017-09-20 2021-08-25 日本電気株式会社 Verification device and verification method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002268985A (en) * 2001-03-13 2002-09-20 Yokogawa Electric Corp Vulnerability corresponding system
JP4032217B2 (en) * 2001-09-06 2008-01-16 富士ゼロックス株式会社 Program update method
JP2005099967A (en) * 2003-09-24 2005-04-14 Hitachi Ltd Preventive maintenance method
JP2005157509A (en) * 2003-11-21 2005-06-16 Hitachi Ltd Communication terminal

Also Published As

Publication number Publication date
JP2007323349A (en) 2007-12-13

Similar Documents

Publication Publication Date Title
JP3451989B2 (en) Software version control device in printing system
US7903267B2 (en) Automatic installation system for printer driver, and program recording medium
JP5527146B2 (en) Terminal device and program
US20100094979A1 (en) Network System, Server Apparatus, and Printer Driver
US20090083420A1 (en) Method and Apparatus for Automatically Conducting Hardware Inventories of Computers in a Network
US20120266153A1 (en) Evaluating Computer Driver Update Compliance
JP2009187377A (en) Image forming apparatus, remote updating verification method and program of image forming apparatus
KR20090010804A (en) E-mail printing method and apparatus according to printing environment adapted to user
JP2006134245A (en) Automatic installation system and program of printer driver
US20060117312A1 (en) Device to serve software to a host device through a peripheral device and method thereof
US20130014252A1 (en) Portable computer accounts
JP4802105B2 (en) Information network operating method and system for content publication
US20080222043A1 (en) System and method for trans-vendor license registration and recovery
JP4978061B2 (en) Software update necessity judgment method
JP5396847B2 (en) Printing apparatus and control method thereof
JP2010092322A (en) Network system, server device, and printer driver
JP2005165874A (en) System environment convention violation detecting method for client device
JP2002189594A (en) Automatic latest version setting system and automatic setting method
JP2010015267A (en) Software distribution system, software distribution method, and computer program
JP4792744B2 (en) Image processing device
JP2004265049A (en) Data processing system, data processor, data processing method and program
JP2019212223A (en) Information processing system and control method thereof
JP2005209070A (en) Distribution server and secure os terminal
JP4802613B2 (en) Installation system and installation program
JP2010097302A (en) Network system, server device, and printer driver

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090309

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110929

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111004

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120302

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120321

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120403

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150427

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4978061

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees