JP4978061B2 - Software update necessity judgment method - Google Patents
Software update necessity judgment method Download PDFInfo
- Publication number
- JP4978061B2 JP4978061B2 JP2006152557A JP2006152557A JP4978061B2 JP 4978061 B2 JP4978061 B2 JP 4978061B2 JP 2006152557 A JP2006152557 A JP 2006152557A JP 2006152557 A JP2006152557 A JP 2006152557A JP 4978061 B2 JP4978061 B2 JP 4978061B2
- Authority
- JP
- Japan
- Prior art keywords
- software
- vulnerability
- information
- network system
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 50
- 238000010586 diagram Methods 0.000 description 18
- 238000012790 confirmation Methods 0.000 description 17
- VOZKAJLKRJDJLL-UHFFFAOYSA-N 2,4-diaminotoluene Chemical compound CC1=CC=C(N)C=C1N VOZKAJLKRJDJLL-UHFFFAOYSA-N 0.000 description 4
- 230000006870 function Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、ソフトウェア更新要否判定方法に係り、特に所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するソフトウェア更新要否判定方法に関する。 The present invention relates to a software update necessity determination method, and more particularly to a software update necessity determination method for determining whether or not software installed in devices constituting a predetermined network system is necessary.
例えばネットワークシステムでは、ネットワーク機器に搭載されたソフトウェアの不具合の修正などのためにアップデート(更新)が行われる。アップデートは、ネットワーク機器提供ベンダ等が配布するアップデートの為のアップデートファイルをインストールすることにより行われている。 For example, in a network system, an update (update) is performed to correct a defect in software installed in a network device. The update is performed by installing an update file for an update distributed by a network device vendor or the like.
図1はネットワークシステムの一例のシステム構成図である。図1のネットワークシステムはセンターに設置されたサーバ1a,1b及びルータR1と、営業店に設置されたクライアント2及びルータR2と、広域イーサーネット(登録商標)3と、INS網4とを含むように構成されている。
FIG. 1 is a system configuration diagram of an example of a network system. The network system of FIG. 1 includes
従来のネットワークシステムでは、既存のネットワークシステムがセキュアな構成かの確認を次のように行っていた。まず、ユーザは例えばネットワーク機器提供ベンダ等がインターネット上で公開しているOS脆弱性情報WEBを参照する。ユーザは個々のネットワーク機器のOSバージョンとOS脆弱性情報とを比較することで、ネットワーク機器の脆弱性を確認する。ユーザはネットワーク機器の脆弱性の有無により、既存のネットワークシステムがセキュアな構成かの確認を行っていた。 In the conventional network system, it is confirmed as follows whether the existing network system has a secure configuration. First, the user refers to the OS vulnerability information WEB published on the Internet by, for example, a network device provider vendor. The user confirms the vulnerability of the network device by comparing the OS version of each network device with the OS vulnerability information. The user checks whether the existing network system has a secure configuration based on the presence or absence of the vulnerability of the network device.
例えば特許文献1には、ネット上で公開されているソフトアップデート情報と管理対象システムの構成とを比較して、合致するものにつきアップデートを行う技術が記載されている。
しかしながら、ソフトウェアの中には、他のソフトウェアとの組み合わせや整合性をとる必要があるものなどがある。そのようなソフトウェアに対して安易にアップデートを行ってしまうと、ネットワークシステムは不整合を起こし、システムダウンしてしまう危険性があるという問題があった。 However, some software needs to be combined and consistent with other software. If such software is easily updated, there is a problem that the network system may become inconsistent and the system may be down.
例えば信頼性を重視する基幹系システムでは、絶対にシステムダウンを避けなければならない。したがって、ネットワーク機器提供ベンダ等が配布する全てのアップデートファイルを無条件にインストールすることは望ましくない場合もあった。特開平11−161482号公報は、このような場合に対処しようとしたものである。 For example, in a mission critical system that emphasizes reliability, system down must be avoided. Therefore, it may not be desirable to unconditionally install all update files distributed by network device provider vendors. Japanese Patent Application Laid-Open No. 11-161482 is intended to cope with such a case.
特開平11−161482号公報には、障害を起こしたソフトウェアに関する情報を蓄積しておき、アップデートファイルが障害を起こしたソフトウェアに関連する場合にアップデートを行うことが記載されている。つまり、基幹系システムが動作しているホストなどで障害を起こしていないソフトウェアのアップデートを行わないことで、必要以上にソフトウェアをアップデートしないようにしている。 Japanese Patent Application Laid-Open No. 11-161482 describes that information relating to software that has failed is stored, and updating is performed when the update file relates to software that has failed. In other words, by not updating software that has not failed on the host or the like on which the backbone system is operating, the software is not updated more than necessary.
しかしながら、特開平11−161482号公報に記載されている内容では、障害を起こしていないソフトウェアのアップデートを行わないため、本来行うべきアップデートが行われない可能性があるという問題があった。 However, the content described in Japanese Patent Laid-Open No. 11-161482 has a problem that the update that should not be performed may not be performed because the software that has not failed is not updated.
本発明は、上記の点に鑑みなされたもので、ネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定可能なソフトウェア更新要否判定方法を提供することを目的とする。 The present invention has been made in view of the above points, and an object of the present invention is to provide a software update necessity determination method capable of appropriately determining whether software update is necessary or not while considering the reliability of a network system.
上記の課題を解決するため、本発明は、所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップと、を有し、前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを、その時点での更新が不要と判定することを特徴とする。 In order to solve the above-described problem, the present invention provides a software update necessity determination method for a computer for determining whether or not software installed in a device constituting a predetermined network system is necessary, wherein the computer includes the device A storage step of acquiring information relating to software installed in the computer and information relating to vulnerability of the software and storing the information in a storage device; information relating to software installed in the device stored in the storage device by the computer; Based on the information on the vulnerability of the software, a selection step of selecting the vulnerable software among the software installed in the device, and determining that the software with a track record of use among the selected software needs to be updated A determination step, wherein the determination step , Those that have passed since been used at the end of said selected software more than a predetermined time period, wherein the update at that time is determined to be unnecessary.
前記機器に搭載されたソフトウェアに関する情報は、前記ソフトウェアの識別情報および利用履歴情報を含むことを特徴としてもよい。 The information regarding the software installed in the device may include identification information and usage history information of the software.
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。 In addition, what applied the component, expression, or arbitrary combination of the component of this invention to a method, an apparatus, a system, a computer program, a recording medium, a data structure, etc. is also effective as an aspect of this invention.
上述の如く、本発明によれば、ネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定可能なソフトウェア更新要否判定方法を提供できる。 As described above, according to the present invention, it is possible to provide a software update necessity determination method capable of appropriately determining whether or not software update is necessary while considering the reliability of the network system.
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。まず、本発明の理解を容易とする為、図2のネットワークシステムを構成する機器のうち、ルータR1,R2に搭載されたソフトウェアの更新要否を判定する例を中心に説明する。図2のネットワークシステムは、セキュアな構成かの確認を行い、その確認結果を顧客に通知することにより、セキュアなネットワークシステムの運用を実現するものである。 Next, the best mode for carrying out the present invention will be described based on the following embodiments with reference to the drawings. First, in order to facilitate understanding of the present invention, an example of determining whether or not the software installed in the routers R1 and R2 among the devices constituting the network system in FIG. The network system shown in FIG. 2 confirms whether the configuration is secure and notifies the customer of the confirmation result, thereby realizing the operation of the secure network system.
図2は本発明によるネットワークシステムの一実施例の構成図である。図2に示すネットワークは、業務サーバ10a,10bと、クライアント11と、ルータR1,R2,19及び20と、広域イーサーネット(登録商標)14と、INS網15と、セキュリティクライアント16と、ルータR1の脆弱情報17と、ルータR2の脆弱情報18と、インターネット21とを含むように構成されている。
FIG. 2 is a block diagram of an embodiment of a network system according to the present invention. The network shown in FIG. 2 includes
図2のネットワークシステムでは、センター側に業務サーバ10a,10bと、ルータR1,19と、セキュリティクライアント16とが設置されている。営業店側には、クライアント11とルータR2とが設置されている。また、ルータR1,R2を提供するベンダ側にはWebサイト(ベンダサイトWEB)を実現する為の各種サーバ(図示せず)及びルータ20が設置されている。ベンダサイトWEBには、ルータR1の脆弱情報17およびルータR2の脆弱情報18が参照可能に登録されている。セキュリティクライアント16は、ベンダサイトWEB(OS脆弱性情報WEB)を参照し、ルータR1,R2にOS脆弱性が発生した場合に以下の処理を行う。
In the network system of FIG. 2,
まず、セキュリティクライアント16はルータR1,R2に対してOSバージョン取得用パトロールパケットを送信する。OSバージョン取得用パトロールパケットは後述するような既存の情報取得コマンドを利用することで実現できる。
First, the
次に、セキュリティクライアント16はOSバージョン取得用パトロールパケットにより取得したOSバージョンを後述するネットワークシステムマップに設定する。このネットワークシステムマップは、ネットワークシステムを構成する機器毎に、その機器に搭載されたソフトウェアの更新要否を判定する為の各種情報(OSバージョン,アクセス日時など)が設定されている。
Next, the
セキュリティクライアント16はOS脆弱性情報WEBに登録されているルータR1の脆弱情報17およびルータR2の脆弱情報18の脆弱性OSバージョンと、ネットワークシステムマップに設定されているルータR1およびルータR2のOSバージョンとを比較して、脆弱性対応がされているか否かを判定する。
The
ルータR1およびルータR2の少なくとも一方が脆弱性対応されていなければ、セキュリティクライアント16は更に、ネットワークシステムマップに設定されているルータR1およびルータR2のアクセス日時を参照し、利用実績がある場合に、OS脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行う。なお、セキュリティクライアント16は、設定されているアクセス日時から所定期間が経過していなければ、利用実績があるソフトウェアと見なす。また、セキュリティクライアント16は、アクセス日時が設定されていないか又は設定されているアクセス日時から所定期間が経過していれば、利用実績がないソフトウェアと見なす。
If at least one of the router R1 and the router R2 does not cope with the vulnerability, the
OS脆弱性未対応メッセージ/推奨バージョン通知は、脆弱性対応されていない機器を識別する為の情報と、その機器の脆弱性対応が成されたOSバージョンを表す推奨バージョンとを含む。このように、図2のネットワークシステムでは、脆弱性対応がされていないソフトウェアのうち、所定期間の間に利用実績のあるソフトウェアだけOS脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行うことができる。 The OS vulnerability non-corresponding message / recommended version notification includes information for identifying a device that is not compatible with the vulnerability, and a recommended version that represents the OS version for which the device is not vulnerable. As described above, in the network system of FIG. 2, the OS vulnerability non-compliant message / recommended version notification is sent to the customer only for the software that has been used for a predetermined period among the software that has not been dealt with by the vulnerability. Can do.
つまり、図2のネットワークシステムでは、脆弱性対応がされていないソフトウェアであっても、利用実績がないと見なしたソフトウェアのOS脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行わないことにより、必要以上にソフトウェアの脆弱性対応を行うことを避けている。この結果、図2のネットワークシステムではネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定できる。 That is, in the network system of FIG. 2, even if the software is not vulnerably dealt with, the OS vulnerability non-compliant message / recommended version notification of the software that has been deemed not to be used should not be sent to the customer. By doing so, we avoid dealing with software vulnerabilities more than necessary. As a result, the network system of FIG. 2 can appropriately determine whether or not software update is necessary while considering the reliability of the network system.
次に、セキュリティクライアント16のハードウェア構成について、図3を参照しつつ説明する。図3は、セキュリティクライアントの一例のハードウェア構成図である。セキュリティクライアント16は、それぞれバスBで相互に接続されている入力装置31,出力装置32,ドライブ装置33,補助記憶装置34,メモリ装置35,演算処理装置36およびインターフェース装置37を含むように構成される。
Next, the hardware configuration of the
入力装置31はキーボードやマウスなどで構成され、各種信号を入力するために用いられる。出力装置32はディスプレイ装置などで構成され、各種ウインドウやデータ等を表示するために用いられる。インターフェース装置37は、モデム,ルータ,LANカードなどで構成されており、各種ネットワークに接続する為に用いられる。
The
本発明によるソフトウェア更新要否判定プログラムは、セキュリティクライアント16を制御する各種プログラムの少なくとも一部である。ソフトウェア更新要否判定プログラムは例えば記録媒体38の配布や各種ネットワークからのダウンロードなどによって提供される。
The software update necessity determination program according to the present invention is at least a part of various programs for controlling the
ソフトウェア更新要否判定プログラムを記録した記録媒体38は、CD−ROM、フレキシブルディスク、光磁気ディスク等の様に情報を光学的,電気的或いは磁気的に記録する記録媒体、ROM、フラッシュメモリ等の様に情報を電気的に記録する半導体メモリ等、様々なタイプの記録媒体を用いることができる。
The
また、ソフトウェア更新要否判定プログラムを記録した記録媒体38がドライブ装置33にセットされると、ソフトウェア更新要否判定プログラムは記録媒体38からドライブ装置33を介して補助記憶装置34にインストールされる。各種ネットワークからダウンロードされたソフトウェア更新要否判定プログラムは、インターフェース装置37を介して補助記憶装置34にインストールされる。
When the
セキュリティクライアント16は、インストールされたソフトウェア更新要否判定プログラムを格納すると共に、必要なファイル,データ等を格納する。メモリ装置35は、コンピュータの起動時に補助記憶装置34からソフトウェア更新要否判定プログラムを読み出して格納する。そして、演算処理装置36はメモリ装置35に格納されたソフトウェア更新要否判定プログラムに従って、後述するような各種処理を実現している。
The
次に、セキュリティクライアント16のソフトウェア構成図について、図4を参照しつつ説明する。図4は、セキュリティクライアントの一例のソフトウェア構成図である。
Next, a software configuration diagram of the
図4のセキュリティクライアント16は、構成/脆弱性確認ツール41,稼動情報取得ツール42,脆弱性確認ツール43,提案テンプレートDB44,脆弱性情報開発元DB45,ネットワークシステムマップDB46,脆弱性情報DB47を含むように構成されている。ここでは、構成/脆弱性確認ツール41,稼動情報取得ツール42,脆弱性確認ツール43の処理について図面を参照しつつ説明する。
4 includes a configuration / vulnerability confirmation tool 41, an operation
図5は、構成/脆弱性確認ツールの処理を説明する為の図である。まず、図2に示すネットワークシステムの概要提案構成を決定し、各機器の見積りを生成する。見積り51はルータR1の見積りの一例である。例えば見積り51は、機種名,モジュール,バージョン,使用コマンド,メモリサイズおよび価格/Costから構成される。
FIG. 5 is a diagram for explaining the processing of the configuration / vulnerability confirmation tool. First, an outline proposal configuration of the network system shown in FIG. 2 is determined, and an estimate of each device is generated. The
ステップS1に進み、構成/脆弱性確認ツール41は各機器の見積り、提案テンプレートDB44及び脆弱性情報開発元DB45に基づき、ネットワークシステムの最適な該当組合せを検索する。提案テンプレートDB44は、事前検証済みのネットワークシステムの構成を表しているものである。脆弱性情報開発元DB45は、OSバージョン毎の脆弱性/BUG情報,使用コマンドを表しているものである。
In step S1, the configuration / vulnerability confirmation tool 41 searches for an optimal combination of network systems based on the estimation of each device, the
ステップS2に進み、構成/脆弱性確認ツール41は該当組合せの製品詳細情報を入手して、ネットワークシステムの機器の構成と、各機器に搭載されるソフトウェアとを表したネットワークシステム構成マップを作成する。ステップS3では、ネットワークシステム構成マップに基づいて、各機器へのソフトウェアのインストールと、情報取得コマンドの設定とを行う。 In step S2, the configuration / vulnerability checking tool 41 obtains the product detailed information of the corresponding combination, and creates a network system configuration map representing the configuration of the network system device and the software installed in each device. . In step S3, based on the network system configuration map, software installation to each device and setting of an information acquisition command are performed.
ステップS1〜S3の処理結果に基づき、図6のようなネットワークシステムマップDB46が作成される。図6はネットワークシステムマップDBの一例の構成図である。図6のネットワークシステムマップDB46は、機種名/ipアドレス,バージョン,インストール日時,起動日時,アクセス日時,機能,使用コマンド,情報取得コマンドから構成されている。図6のネットワークシステムマップDB46はインストール直後で、各機器が未使用である例を表したものである。未使用である場合、アクセス日時には「0000/00/00/00」が設定されている。
Based on the processing results of steps S1 to S3, a network
図7は、稼動情報取得ツールの処理を説明する為の図である。稼動情報取得ツール42はネットワークシステムマップDB46に設定されている各機器のIPアドレスの取得および情報取得コマンドの読込を行い、情報取得コマンドを各機器に発行することで各機器のアクセス日時を取得し、そのアクセス日時をネットワークシステムマップDB46に設定する。図7のネットワークシステムマップDB46では使用された機器のアクセス日時が設定されている。
FIG. 7 is a diagram for explaining processing of the operation information acquisition tool. The operation
図8は、脆弱性確認ツールの処理を説明する為の図である。脆弱性確認ツール43はステップS21に進み、ネットワークシステムマップDB46と、各機器の脆弱情報が登録されている脆弱性情報DB47とを比較する。ここでは、ルータR1,ルータR2を例に説明する。脆弱性情報DB47には、機器および使用コマンド毎に脆弱性バージョン範囲および推奨バージョンが設定されている。
FIG. 8 is a diagram for explaining processing of the vulnerability confirmation tool. In step S21, the
ステップS22に進み、脆弱性確認ツール43はネットワークシステムマップDB46と脆弱性情報DB47との比較結果に基づき、ルータR1,ルータR2に搭載されているソフトウェアに脆弱性対応がされていないバージョンのソフトウェアが含まれるか否かを判定する。
Proceeding to step S22, the
具体的に、脆弱性確認ツール43はルータR1,ルータR2に搭載されているソフトウェアのバージョンが、脆弱性情報DB47の脆弱性バージョン範囲に含まれている場合に脆弱性対応がされていないバージョンのソフトウェアが含まれると判定し、脆弱性情報DB47の推奨バージョンに含まれている場合に脆弱性対応がされているバージョンのソフトウェアが含まれていると判定する。
Specifically, the
脆弱性確認ツール43はルータR1,ルータR2に搭載されているソフトウェアに脆弱性対応がされていないバージョンのソフトウェアが含まれると判定すると、ステップS23に進み、脆弱性対応がされていないバージョンのソフトウェアの使用コマンドが一致しているか否かを判定する。
If the
脆弱性確認ツール43は脆弱性対応がされていないバージョンのソフトウェアの使用コマンドが一致していると判定すると、ステップS24に進み、脆弱性対応がされていないバージョンのソフトウェアのアクセス日時がネットワークシステムマップDB46に設定されているか否かを判定する。
If the
脆弱性確認ツール43は脆弱性対応がされていないバージョンのソフトウェアのアクセス日時がネットワークシステムマップDB46に設定されていると判定すると、ステップS25に進み、脆弱性対応がされていないバージョンのソフトウェアのアクセス日時に応じて所定期間(例えば2年間)アクセスなしか否かを判定する。
If the
脆弱性確認ツール43は脆弱性対応がされていないバージョンのソフトウェアが2年間アクセスなしではないと判定すると、ステップS26に進み、脆弱性情報DB47の推奨バージョンをダウンロードする。そして、ステップS27に進み、脆弱性確認ツール43は顧客に脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行う。
If the
なお、ステップS22でルータR1,ルータR2に脆弱性対応がされていないバージョンのソフトウェアが含まれていないと判定した場合、ステップS23で脆弱性対応がされていないバージョンのソフトウェアの使用コマンドが一致していないと判定した場合、ステップS24で脆弱性対応がされていないバージョンのソフトウェアのアクセス日時がネットワークシステムマップDB46に設定されていない判定した場合、ステップS25で脆弱性対応がされていないバージョンのソフトウェアが2年間アクセスなしである場合は脆弱性対応がされていないバージョンのソフトウェアが無いことを表す該当無し通知を顧客に対して行う。
If it is determined in step S22 that the router R1 and router R2 do not contain a version of software that does not support vulnerability, the use command of the version of software that does not support vulnerability matches in step S23. If it is determined that the access date and time of the version of the software that is not compatible with vulnerability is not set in the network
このように、脆弱性確認ツール43は脆弱性対応されていない機器のアクセス日時をネットワークシステムマップDB46から取得し、脆弱性対応されていない機器のうち利用実績がある機器を選択して、前述したような脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行うことができる。
As described above, the
例えば図8のネットワークシステムマップDB46及び脆弱性情報DB47の場合、脆弱性確認ツール43はステップS21〜S27の処理により、機器「ルータR1,ルータR2」及び使用コマンド「IPv6/RIP」に対応する脆弱性未対応メッセージ/推奨バージョン通知を顧客に対して行うことができる。
For example, in the case of the network
以下、本発明によるネットワークシステムの他の構成を説明する。図9はベンダ側で脆弱情報を登録する処理を示したフロー図である。ベンダ側には、脆弱性情報登録クライアント100,WEBサーバ101,APサーバ102,DBサーバ103が設置されている。
Hereinafter, another configuration of the network system according to the present invention will be described. FIG. 9 is a flowchart showing a process for registering vulnerable information on the vendor side. On the vendor side, a vulnerability
ステップS100では脆弱性情報登録クライアント100がルータR1の脆弱性登録依頼を行う。ステップS101に進み、WEBサーバ101はルータR1の脆弱性登録依頼に基づきサーブレット(振り分け)を行い、ルータR1の機種Callを行う。ステップS102に進み、APサーバ102はルータR1の機種 Callに基づきルータR1の脆弱性検索依頼を行う。
In step S100, the vulnerability
ステップS103に進み、DBサーバ103はルータR1の脆弱情報を脆弱性情報DB104から検索する。ステップS104〜S107に進み、DBサーバ103から脆弱性情報登録クライアント100に検索結果が通知される。脆弱性情報登録クライアント100は、検索結果に基づき脆弱性情報更新画面を出力する。
In step S103, the
ステップS108では、脆弱性情報登録クライアント100に脆弱性バージョン範囲や推奨バージョン,使用(機能)コマンドが設定される。ステップS109に進み、WEBサーバ101は脆弱性情報更新APL Callを行う。ステップS110に進み、APサーバ102は脆弱性情報更新APL Callに基づき脆弱性情報DB104の更新依頼を行う。ステップS111に進み、DBサーバ103は脆弱性情報DB104の更新依頼に基づいて脆弱性情報DB104を更新する。
In step S108, the vulnerability version range, recommended version, and use (function) command are set in the vulnerability
ステップS112〜S115に進み、DBサーバ103から脆弱性情報登録クライアント100に更新結果が通知される。脆弱性情報登録クライアント100は、更新結果を表示する。図9に示すように、ベンダ側では機器の脆弱情報を脆弱性情報DB104に登録できる。
Proceeding to steps S112 to S115, the
図10は、ベンダ側からセンター側に脆弱性情報を通知する処理を示したフロー図である。ベンダ側には、WEBサーバ101,APサーバ102,DBサーバ103,脆弱性情報通知クライアント110が設置されている。
FIG. 10 is a flowchart showing processing for notifying vulnerability information from the vendor side to the center side. On the vendor side, a
ステップS200では脆弱性情報通知クライアント110がルータR1を使用しているユーザへの脆弱性通知確認依頼を行う。ステップS201に進み、WEBサーバ101はルータR1を使用しているユーザへの脆弱性通知確認依頼に基づきサーブレット(振り分け)を行い、ルータR1のUser Callを行う。
In step S200, the vulnerability
ステップS202に進み、APサーバ102は、ルータR1のUser Callに基づきルータR1を使用しているユーザの検索依頼を行う。ステップS203に進み、DBサーバ103は図11に示すR1ユーザDB111を検索する。
In step S202, the
図11はR1ユーザDBの一例の構成図である。R1ユーザDB111はルータR1を使用しているユーザのユーザ名,そのユーザへの通知方式,e−mail address,Web addressから構成されている。DBサーバ103は、R1ユーザDB111からユーザ名,通知方式,e−mail address,Web addressを検索する。
FIG. 11 is a configuration diagram of an example of the R1 user DB. The R1 user DB 111 includes a user name of a user who uses the router R1, a notification method for the user, an e-mail address, and a Web address. The
ステップS204〜S207に進み、DBサーバ103から脆弱性情報通知クライアント110に検索結果が通知される。脆弱性情報通知クライアント110は、検索結果に基づき通知ユーザ確認画面を出力する。
In steps S204 to S207, the
ステップS208では、脆弱性情報通知クライアント110がルータR1を使用しているユーザへの脆弱性情報通知依頼を行う。ステップS209に進み、WEBサーバ101はユーザ名「Tsuda」を指定して、通知APL Callを行う。
In step S208, the vulnerability
ステップS210に進み、APサーバ102は通知APL Callに基づき脆弱性情報検索依頼を行う。ステップS211に進み、DBサーバ103は脆弱性情報DB104からルータR1の脆弱性情報を検索する。ステップS212に進み、DBサーバ103は検索結果をAPサーバ102に通知する。
In step S210, the
ステップS213に進み、APサーバ102は、検索結果のルータR1の脆弱性情報をe−mailに設定し、R1ユーザDB111から検索したe−mail addressを宛先に設定する。ステップS214に進み、APサーバ102はe−mailを発信する。ステップS215〜S217に進み、APサーバ102から脆弱性情報通知クライアント110に結果が通知される。脆弱性情報通知クライアント110は、脆弱性通知結果を表示する。
In step S213, the
また、WEBサーバ101はステップS216に続いてステップS218に進み、次のユーザ名「Oota」を指定して、通知APL Callを行う。ステップS219に進み、APサーバ102は、R1ユーザDB111から検索したWeb addressをe−mailに設定し、R1ユーザDB111から検索したe−mail addressを宛先に設定する。
Further, the
ステップS220に進み、APサーバ102はe−mailを発信する。ステップS221〜S223に進み、APサーバ102から脆弱性情報通知クライアント110に結果が通知される。脆弱性情報通知クライアント110は、脆弱性通知結果を表示する。図10に示すように、ベンダ側ではルータR1を利用しているユーザに、Pushメール方式やWEBダウンロード方式、タイマー型WEBダウンロード方式でルータR1等の機器の脆弱性情報を通知できる。
In step S220, the
図12は、OSバージョン取得用パトロールパケットによりルータR1,ルータR2に搭載されているソフトウェアのバージョンを取得する処理を示したフロー図である。セキュリティクライアント16,WEBサーバ120,APサーバ121,DBサーバ122はセンター側に設置されている。
FIG. 12 is a flowchart showing a process of acquiring the version of software installed in the router R1 and the router R2 by the OS version acquisition patrol packet. The
ステップS300ではセキュリティクライアント16がネットワークシステムマップ作成依頼を行う。ステップS301に進み、WEBサーバ120はネットワークシステムマップ作成依頼に基づきサーブレット(振り分け)を行い、全network accessのAPLを起動する。
In step S300, the
ステップS302に進み、APサーバ121はsnmpコマンドでネットワークシステムに含まれる各機器のIPアドレスを取得する。ステップS303に進み、APサーバ121は取得したIPアドレスを元にsnmpコマンドでルータR1,ルータR2等の各機器のバージョンを取得する。ステップS304に進み、APサーバ121は取得した各機器のバージョンをDBサーバ122に通知し、ネットワークシステムマップDB更新依頼を行う。
In step S302, the
ステップS305に進み、DBサーバ122はAPサーバ121から受信した各機器のバージョンに基づき、ネットワークシステムマップDB46を更新する。ステップS306〜S308に進み、DBサーバ122からWEBサーバ120にネットワークシステムマップDB46の更新結果が通知される。WEBサーバ120はネットワークシステムマップ作成完了通知をセキュリティクライアント16に対して行う。そして、ステップS309では、セキュリティクライアント16がネットワークシステムマップ作成完了通知を受信する。図12に示すように、ネットワークシステムを構成する機器毎に、その機器に搭載されたソフトウェアのバージョンを取得できる。
In step S 305, the
図13は、脆弱性情報を取得する処理を示したフロー図である。セキュリティクライアント16には、前述したようにPushメール方式やWEBダウンロード方式のe−mailを各ベンダサイトWEBから受信する。Pushメール方式である場合、セキュリティクライアント16はステップS400〜S408の処理を行う。WEBダウンロード方式である場合、セキュリティクライアント16は、ステップS410〜S418の処理を行う。
FIG. 13 is a flowchart showing processing for acquiring vulnerability information. As described above, the
ステップS400でPushメール方式であると判定すると、セキュリティクライアント16は脆弱性情報更新依頼を行う。ステップS401に進み、WEBサーバ120は脆弱性情報更新依頼に基づきサーブレット(振り分け)を行い、Push型のAPLを起動する。
If it is determined in step S400 that the push mail method is used, the
ステップS402に進み、APサーバ121はe−mailのDATA部の脆弱性情報を取得する。ステップS403に進み、APサーバ121は、取得した脆弱性情報をDBサーバ122に通知し、脆弱性情報DB更新依頼を行う。ステップS404に進み、DBサーバ122はAPサーバ121から受信した各機器の脆弱性情報に基づき、脆弱性情報DB47を更新する。ステップS405〜S408に進み、DBサーバ122からWEBサーバ120に脆弱性情報DB47の更新結果が通知される。WEBサーバ120は脆弱性情報DB47の更新完了をセキュリティクライアント16に通知する。
In step S402, the
ステップS410でWEBダウンロード方式であると判定すると、セキュリティクライアント16は脆弱性情報更新依頼を行う。ステップS411に進み、WEBサーバ120は脆弱性情報更新依頼に基づきサーブレット(振り分け)を行い、web型又はtimer型のAPLを起動する。
If it is determined in step S410 that the WEB download method is used, the
ステップS412に進み、APサーバ121はe−mailのDATA部のwebアドレス内の脆弱性情報又は図14に示すようなベンダwebアドレスDB130に事前登録されているベンダwebアドレス内の脆弱性情報をダウンロードする。図14はベンダwebアドレスDBの一例の構成図である。
In step S412, the
ベンダwebアドレスDB130は、機器毎に脆弱性バージョン範囲のダウンロード先である脆弱性Web addressと、推奨バージョンのダウンロード先である推奨OS Web addressとが事前登録されている。なお、ステップS413〜S418の処理はステップS403〜S408の処理と同様であるため、説明を省略する。図13に示すように、ネットワークシステムを構成する機器毎に、その機器の脆弱性情報を取得できる。
In the vendor
図15は、脆弱性情報を確認する処理を示したフロー図である。セキュリティクライアント16には、前述したようにPushメール方式やWEBダウンロード方式のe−mailを各ベンダサイトWEBから受信する。すると、図13を用いて前述したようなPushメール方式またはwebダウンロード方式の処理を行ったあと、ステップS500に進む。
FIG. 15 is a flowchart showing processing for confirming vulnerability information. As described above, the
ステップS500では、セキュリティクライアント16が、脆弱性確認依頼を行う。ステップS501に進み、WEBサーバ120は脆弱性確認依頼に基づきサーブレット(振り分け)を行い、脆弱性確認のAPLを起動する。
In step S500, the
ステップS502に進み、APサーバ121は脆弱性情報DB検索依頼を行う。ステップS503に進み、DBサーバ122はAPサーバ121から受信した各機器の脆弱性情報DB検索依頼に基づき、脆弱性情報DB47を検索する。ステップS504〜S505に進み、DBサーバ122からAPサーバ121に脆弱性情報DB47の検索結果が通知される。
In step S502, the
ステップS506に進み、APサーバ121はネットワークシステムマップDB検索依頼を行う。ステップS507に進み、DBサーバ122はAPサーバ121から受信したネットワークシステムマップDB検索依頼に基づき、ネットワークシステムマップDB46を検索する。ステップS508〜S509に進み、DBサーバ122からAPサーバ121にネットワークシステムマップDB46の検索結果が通知される。
In step S506, the
ステップS510に進み、APサーバ121はDBサーバ122から通知された脆弱性情報DB47の検索結果およびネットワークシステムマップDB46の検索結果を比較する。そして、ステップS511に進み、APサーバ121はルータR1,R2に搭載されているソフトウェアの更新要否を判定すると共に、推奨バージョンを取得し、比較結果を設定する。
In step S510, the
ステップS512〜S514に進み、APサーバ121からセキュリティクライアント16に比較結果が通知される。セキュリティクライアント16は通知された比較結果に基づいて、図15に示すような完了メッセージを表示する。図15に示すように、脆弱性情報DB47およびネットワークシステムマップDB46を比較し、ルータR1,R2に搭載されているソフトウェアの更新要否を判定できる。なお、前述の図8のステップS21からステップS25の処理はステップS510に、図8のステップS27はステップS512からステップS514に相当する。
Proceeding to steps S512 to S514, the
本発明は、以下に記載する付記のような構成が考えられる。
(付記1)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、
前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、
前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップと
を有することを特徴とするソフトウェア更新要否判定方法。
(付記2)
前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを更新が不要と判定することを特徴とする付記1記載のソフトウェア更新要否判定方法。
(付記3)
前記機器に搭載されたソフトウェアに関する情報は、前記ソフトウェアの識別情報および利用履歴情報を含むことを特徴とする付記1又は2記載のソフトウェア更新要否判定方法。
(付記4)
前記判定ステップによる判定結果をユーザに通知する通知ステップを更に有することを特徴とする付記1乃至3何れか一項記載のソフトウェア更新要否判定方法。
(付記5)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータにおいて実行されるソフトウェア更新要否判定プログラムであって、
前記コンピュータは、記憶装置,演算処理装置を含み、
前記演算処理装置に、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得させて前記記憶装置に格納させる格納ステップと、
前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択させる選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定させる判定ステップと
を実行させるソフトウェア更新要否判定プログラム。
(付記6)
所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するソフトウェア更新要否判定装置であって、
前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する情報取得格納手段と、
前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択するソフトウェア選択手段と、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する更新判定手段と
を有することを特徴とするソフトウェア更新要否判定装置。
The present invention may have the following configurations as described below.
(Appendix 1)
A computer software update necessity determination method for determining whether or not to update software installed in devices constituting a predetermined network system,
A storage step in which the computer acquires information about software installed in the device and information about vulnerability of the software and stores the information in a storage device;
Selection that the computer selects the vulnerable software among the software installed on the device based on the information on the software installed in the device and the information on the vulnerability of the software stored in the storage device Steps,
A determination step for determining whether or not software update is necessary, the step of determining that it is necessary to update software that has been used in the selected software.
(Appendix 2)
2. The software update necessity determination method according to
(Appendix 3)
The software update necessity determination method according to
(Appendix 4)
The software update necessity determination method according to any one of
(Appendix 5)
A software update necessity determination program executed in a computer for determining whether or not software installed in devices constituting a predetermined network system is necessary,
The computer includes a storage device and an arithmetic processing unit,
A storage step of causing the arithmetic processing device to acquire information about software installed in the device and information about vulnerability of the software and store the information in the storage device;
A selection step of selecting a vulnerable one of the software installed in the device based on the information on the software installed in the device stored in the storage device and the information on the vulnerability of the software;
A software update necessity determination program for executing a determination step of determining that software having a track record of use among the selected software needs to be updated.
(Appendix 6)
A software update necessity determination device that determines whether or not software installed in a device constituting a predetermined network system needs to be updated,
Information acquisition and storage means for acquiring information on software installed in the device and information on vulnerability of the software and storing the information in a storage device;
Software selection means for selecting the vulnerable software among the software installed in the device based on the information on the software installed in the device stored in the storage device and the information on the vulnerability of the software;
A software update necessity determination apparatus, comprising: an update determination unit that determines that software having a track record of use among the selected software is required to be updated.
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。 The present invention is not limited to the specifically disclosed embodiments, and various modifications and changes can be made without departing from the scope of the claims.
1a,1b サーバ
2,11 クライアント
3,14 広域イーサーネット(登録商標)
4,15 INS網
10a,10b 業務サーバ
16 セキュリティクライアント
17,18 脆弱性情報
19,20,R1,R2 ルータ
21 インターネット
31 入力装置
32 出力装置
33 ドライブ装置
34 補助記憶装置
35 メモリ装置
36 演算処理装置
37 インターフェース装置
38 記録媒体
41 構成/脆弱性確認ツール
42 稼動情報取得ツール
43 脆弱性確認ツール
44 提案テンプレート
45 脆弱性情報開発元DB
46 ネットワークシステムマップDB
47 脆弱性情報DB
1a,
4,15
46 Network System Map DB
47 Vulnerability Information DB
Claims (2)
前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、
前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、
選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップと、
を有し、
前記判定ステップは、選択された前記ソフトウェアのうち最後に利用されてから所定期間以上経過したものを、その時点での更新が不要と判定すること
を特徴とするソフトウェア更新要否判定方法。 A computer software update necessity determination method for determining whether or not to update software installed in devices constituting a predetermined network system,
A storage step in which the computer acquires information about software installed in the device and information about vulnerability of the software and stores the information in a storage device;
Selection that the computer selects the vulnerable software among the software installed on the device based on the information on the software installed in the device and the information on the vulnerability of the software stored in the storage device Steps,
A determination step of determining that updating of software with a track record of use among the selected software is necessary;
Have
The determination step, the last used are those older than a predetermined period after the software update necessity determination method characterized in that the update at that time is determined to be unnecessary among said selected software.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006152557A JP4978061B2 (en) | 2006-05-31 | 2006-05-31 | Software update necessity judgment method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006152557A JP4978061B2 (en) | 2006-05-31 | 2006-05-31 | Software update necessity judgment method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007323349A JP2007323349A (en) | 2007-12-13 |
JP4978061B2 true JP4978061B2 (en) | 2012-07-18 |
Family
ID=38856102
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006152557A Expired - Fee Related JP4978061B2 (en) | 2006-05-31 | 2006-05-31 | Software update necessity judgment method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4978061B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5324209B2 (en) * | 2008-12-25 | 2013-10-23 | Kddi株式会社 | Computer apparatus, information collection method, and information collection program |
JP6311885B2 (en) * | 2015-02-27 | 2018-04-18 | 京セラドキュメントソリューションズ株式会社 | Program replacement system |
JP6926879B2 (en) * | 2017-09-20 | 2021-08-25 | 日本電気株式会社 | Verification device and verification method |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002268985A (en) * | 2001-03-13 | 2002-09-20 | Yokogawa Electric Corp | Vulnerability corresponding system |
JP4032217B2 (en) * | 2001-09-06 | 2008-01-16 | 富士ゼロックス株式会社 | Program update method |
JP2005099967A (en) * | 2003-09-24 | 2005-04-14 | Hitachi Ltd | Preventive maintenance method |
JP2005157509A (en) * | 2003-11-21 | 2005-06-16 | Hitachi Ltd | Communication terminal |
-
2006
- 2006-05-31 JP JP2006152557A patent/JP4978061B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007323349A (en) | 2007-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3451989B2 (en) | Software version control device in printing system | |
US7903267B2 (en) | Automatic installation system for printer driver, and program recording medium | |
JP5527146B2 (en) | Terminal device and program | |
US20100094979A1 (en) | Network System, Server Apparatus, and Printer Driver | |
US20090083420A1 (en) | Method and Apparatus for Automatically Conducting Hardware Inventories of Computers in a Network | |
US20120266153A1 (en) | Evaluating Computer Driver Update Compliance | |
JP2009187377A (en) | Image forming apparatus, remote updating verification method and program of image forming apparatus | |
KR20090010804A (en) | E-mail printing method and apparatus according to printing environment adapted to user | |
JP2006134245A (en) | Automatic installation system and program of printer driver | |
US20060117312A1 (en) | Device to serve software to a host device through a peripheral device and method thereof | |
US20130014252A1 (en) | Portable computer accounts | |
JP4802105B2 (en) | Information network operating method and system for content publication | |
US20080222043A1 (en) | System and method for trans-vendor license registration and recovery | |
JP4978061B2 (en) | Software update necessity judgment method | |
JP5396847B2 (en) | Printing apparatus and control method thereof | |
JP2010092322A (en) | Network system, server device, and printer driver | |
JP2005165874A (en) | System environment convention violation detecting method for client device | |
JP2002189594A (en) | Automatic latest version setting system and automatic setting method | |
JP2010015267A (en) | Software distribution system, software distribution method, and computer program | |
JP4792744B2 (en) | Image processing device | |
JP2004265049A (en) | Data processing system, data processor, data processing method and program | |
JP2019212223A (en) | Information processing system and control method thereof | |
JP2005209070A (en) | Distribution server and secure os terminal | |
JP4802613B2 (en) | Installation system and installation program | |
JP2010097302A (en) | Network system, server device, and printer driver |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090309 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110929 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111004 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111201 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120104 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120302 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120321 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120403 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150427 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4978061 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |