JP5597514B2 - セキュリティ診断システムおよび方法ならびにプログラム - Google Patents

セキュリティ診断システムおよび方法ならびにプログラム Download PDF

Info

Publication number
JP5597514B2
JP5597514B2 JP2010234370A JP2010234370A JP5597514B2 JP 5597514 B2 JP5597514 B2 JP 5597514B2 JP 2010234370 A JP2010234370 A JP 2010234370A JP 2010234370 A JP2010234370 A JP 2010234370A JP 5597514 B2 JP5597514 B2 JP 5597514B2
Authority
JP
Japan
Prior art keywords
diagnosis
security
target client
client device
security diagnosis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010234370A
Other languages
English (en)
Other versions
JP2012088891A (ja
Inventor
直樹 和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2010234370A priority Critical patent/JP5597514B2/ja
Publication of JP2012088891A publication Critical patent/JP2012088891A/ja
Application granted granted Critical
Publication of JP5597514B2 publication Critical patent/JP5597514B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、セキュリティ対策のための技術に関し、特に、セキュリティ上、脆弱性のあるクライアント装置を、ネットワークから自動的に切り離すソフトウェア技術としてのシステムおよび方法ならびにプログラムに関するものである。
例えば、セキュリティ対策のための技術としては、セキュリティ情報提供装置から取得したセキュリティ情報と、ネットワークに接続されたネットワークマシンから取得されるマシン情報とに基づいて、ネットワークマシンに対してセキュリティの脆弱性を診断し、この診断結果に基づいて、ネットワークマシンに対して所定のセキュリティ対策処理を行う機能を、ネットワークマシンとは別の装置にある予防システムを用いて実現するという技術がある(例えば、特許文献1(実施の形態5)参照)。
特開2004−258777号公報
しかし、上述の従来技術では、セキュリティの脆弱性診断を行うにあたっては、まず最も小さいネットワークセグメントでの接続を前提にしており、セキュリティの脆弱性が潜んでいる可能性のあるネットワークマシンが存在する場合、その診断が行われるまでの間は、最も小さいネットワークセグメントに接続されている他の装置に対してセキュリティ上の脅威が発生し得る。
さらには、ネットワークマシンが大多数存在する場合は、ネットワークへの負荷、予防システムへの負荷が高まることで、セキュリティの脆弱性診断処理、及び、セキュリティ対策処理が遅延、滞留する可能性も有り、ネットワークマシンの即時利用実現性の面で課題が残る。
また、システムの処理フローによると、情報提供装置から情報が読み込めない状況、及び、セキュリティ対策処理の命令がネットワークマシンに届かない状況の場合に、セキュリティ診断及び対策の処理が停滞し、ネットワークマシンはセキュリティの施策状況に関わらず、一時的にネットワーク利用が不可となる要素が潜在する。
また、ネットワークへの接続要求の都度、セキュリティの脆弱性診断を行う流れでは、ネットワークマシンの即時利用実現性の面で課題が残る。
そこで、本発明は、上述した問題点を解消し、その代表的な目的は、対象クライアント装置のセキュリティ診断及び対策を、即時、且つ、確実に行うためのソフトウェア技術を提供することにある。
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次のとおりである。
すなわち、上記の目的を達成するために、本発明のセキュリティ診断システムにおいては、対象クライアント装置内から取得される最新のセキュリティ診断結果に基づいて、対象クライアント装置のネットワーク接続制御を実施するネットワーク接続制御処理部と、対象クライアント装置内から取得されるセキュリティ診断入力情報に基づいて、対象クライアント装置のセキュリティ診断を行うセキュリティ診断処理部とを備える。そして、セキュリティ診断処理部によるセキュリティ診断の実施から、セキュリティ診断処理部によるセキュリティ診断結果の判定、ネットワーク接続制御処理部によるネットワーク接続の制御までを、対象クライアント装置の一システムで実現することを特徴とする。これにより、対象クライアント装置のセキュリティ診断及び対策を、即時、且つ、確実に行うためのソフトウェア技術が実現可能となる。
また、ネットワーク接続制御処理部、及び、セキュリティ診断処理部においては、ネットワーク接続を制御する手法として、対象クライアント装置内の固有のネットワークデバイスに対して、直接命令(コマンド実行)を行うことを特徴とする。これにより、ネットワーク接続を制限するにあたっては、即時、且つ、完全なネットワーク遮断が可能となる。
また、ネットワーク接続制御処理部においては、ネットワーク接続制限を判定する手法として、対象クライアント装置内の最新診断結果情報(正常(適正)/異常(不適正)結果、有効期限日付)を使用することを特徴とする。これにより、セキュリティ診断処理に依存することなく、セキュリティ診断処理を行う前にネットワーク接続制御が可能となり、最新診断結果情報の判定が適正であれば、即時に対象クライアント装置のネットワーク利用が可能となる。
また、セキュリティ診断処理部においては、セキュリティ診断を行う手法として、対象クライアント装置内のセキュリティ診断入力情報に基づいて処理することを特徴とする。これにより、周辺装置の稼働状態に依存されず、セキュリティ診断処理部を停止することなく、処理実行が可能となる。
また、本発明は、前記セキュリティ診断システムによるセキュリティ診断方法や、前記セキュリティ診断システムとしてコンピュータを機能させるセキュリティ診断プログラムにも適用することができる。
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば、以下のとおりである。
すなわち、本発明によれば、対象クライアント装置のセキュリティ診断及び対策を、即時、且つ、確実に行うためのソフトウェア技術を提供することができる。より具体的には、セキュリティの脆弱性が認められている対象クライアント装置に対しては、より確実、即時にネットワークへの接続制限を行うことができ、その結果、セキュリティ上の安全性確保に優れ、また、周辺装置との依存性を排除した処理を行うことができ、その結果、セキュリティ診断処理そのものの処理効率が高まる、という効果を生み出すことが可能となる。
本発明の一実施形態におけるセキュリティ診断ネットワーク接続制御システムの全体構成の一例を示す図である。 本発明の一実施形態における運用フローの一例を示すフローチャートである。 本発明の一実施形態におけるセキュリティ診断ネットワーク接続制御システムの起動処理フローの一例を示すフローチャートである。 本発明の一実施形態におけるネットワーク接続制御処理フローの一例を示すフローチャートである。 本発明の一実施形態におけるセキュリティ診断処理フローの一例を示すフローチャートである。 本発明の一実施形態における最新診断結果ファイルの最新の診断結果を格納するレコードフォーマットの一例を示す図である。 本発明の一実施形態におけるセキュリティ診断入力情報ファイルのセキュリティ診断入力情報を格納するレコードフォーマットの一例を示す図である。 本発明の一実施形態における診断経過許容日数ファイルの診断経過許容日数を格納するレコードフォーマットの一例を示す図である。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
<本発明の一実施形態の概要>
本発明の一実施形態において、セキュリティ診断システム(121)は、対象クライアント装置(対象クライアント120)内から取得される最新のセキュリティ診断結果に基づいて、対象クライアント装置のネットワーク接続制御を実施するネットワーク接続制御処理部(122)と、対象クライアント装置内から取得されるセキュリティ診断入力情報に基づいて、対象クライアント装置のセキュリティ診断を行うセキュリティ診断処理部(123)とを備えるものである。
そして、上記のようなセキュリティ診断システムの構成において、セキュリティ診断処理部によるセキュリティ診断の実施から、セキュリティ診断処理部によるセキュリティ診断結果の判定、ネットワーク接続制御処理部によるネットワーク接続の制御までを、対象クライアント装置の一システムで実現するものである。
また、ネットワーク接続制御処理部、及び、セキュリティ診断処理部においては、ネットワーク接続を制御する手法として、対象クライアント装置内の固有のネットワークデバイスに対して、直接命令(コマンド実行)を行うものである。
また、ネットワーク接続制御処理部においては、ネットワーク接続制限を判定する手法として、対象クライアント装置内の最新診断結果情報(正常(適正)/異常(不適正)結果、有効期限日付)を使用するものである。
また、セキュリティ診断処理部においては、セキュリティ診断を行う手法として、対象クライアント装置内のセキュリティ診断入力情報に基づいて処理するものである。
上記本発明の一実施形態の概要に基づいた、本発明のセキュリティ診断システムを備えたセキュリティ診断ネットワーク接続制御システムの一実施形態について、以下において図1から図8を用いて説明する。
<セキュリティ診断ネットワーク接続制御システムの全体構成>
まず、図1を用いて、本発明の一実施形態におけるセキュリティ診断ネットワーク接続制御システムの全体構成について説明する。図1は、このセキュリティ診断ネットワーク接続制御システムの全体構成の一例を示す図である。
セキュリティ診断ネットワーク接続制御システムは、セキュリティ診断及びネットワーク接続制御などに必要な各種ファイルを管理するファイル管理用サーバ100と、セキュリティ診断及びネットワーク接続制御の対象となる対象クライアント120と、既設クライアント(接続禁止状態)130と、既設クライアント(接続許可状態)140などから構成され、それぞれがネットワーク110を通じて接続可能となっている。
セキュリティ診断システム121は、対象クライアント120に含まれ、セキュリティ診断システム121を制御するファイルは、ファイル管理用サーバ100、及び、対象クライアント120に含まれる。セキュリテイ診断システム121、及び、セキュリティ診断システム121を制御するファイルは、対象クライアント120とファイル管理用サーバ100とがそれぞれネットワーク110に接続可能なシステムで構成されている。ネットワーク110には、接続が許されている既設クライアント140と、接続が許されていない、対象クライアント120、既設クライアント130が存在する。この一例では、各クライアント120,130,140は1台構成となっているが、クライアントは複数台存在してもよい。
ファイル管理用サーバ100は、例えば情報処理装置上で稼働し、セキュリティ診断入力情報ファイル101、及び、診断経過許容日数ファイル102を含む。このセキュリティ診断入力情報ファイル101、診断経過許容日数ファイル102の構成は、図7、図8を用いて後述する。
このファイル管理用サーバ100は、例えば情報処理装置上で稼働する場合に、CPUおよび各種メモリや周辺機器などのハードウェアを含むコンピュータ上において、CPUの制御により、プログラム格納用のメモリに記憶されているファイル管理用ソフトウェアを実行することで、ファイル管理用サーバ100を実現することができる。また、セキュリティ診断入力情報ファイル101、診断経過許容日数ファイル102は、データ格納用のメモリ上に実現することができる。
対象クライアント120は、例えば情報処理装置上で稼働し、セキュリティ診断システム121を有する。セキュリティ診断システム121は、ネットワーク接続制御処理部122、セキュリティ診断処理部123を有し、最新診断結果ファイル124、診断経過許容日数ファイル125、セキュリティ診断入力情報ファイル126を含む。この最新診断結果ファイル124、診断経過許容日数ファイル125、セキュリティ診断入力情報ファイル126の構成は、図6、図8、図7を用いて後述する。
この対象クライアント120は、例えば情報処理装置上で稼働する場合に、上記ファイル管理用サーバ100と同様に、CPUおよび各種メモリや周辺機器などのハードウェアを含むコンピュータ上において、CPUの制御により、プログラム格納用のメモリに記憶されているネットワーク接続制御処理用プログラム、セキュリティ診断処理用プログラムを実行することで、ネットワーク接続制御処理部122、セキュリティ診断処理部123を実現することができる。また、最新診断結果ファイル124、診断経過許容日数ファイル125、セキュリティ診断入力情報ファイル126は、データ格納用のメモリ上に実現することができる。
ネットワーク接続制御処理部122は、対象クライアント120内の最新診断結果ファイル124の情報を基に、対象クライアント120に対する最新のセキュリティ診断結果及びその有効期限を確認するとともに、対象クライアント120内の固有のネットワークデバイスに対して、接続の有効/無効を切り替える処理機能などを備えている。さらに、セキュリティ診断結果の有効期限日付を設定するにあたり、最後に実施したセキュリティ診断の正常結果判定を基に、診断経過許容日数ファイル125より読み込んだ診断経過許容日数から求めた有効期限日付を、対象クライアント120内の最新診断結果ファイル124に書込み、次回に実行されるネットワーク接続制御処理部122の入力値としている。このネットワーク接続制御処理部122による具体的な処理機能は、図4を用いて後述する。
セキュリティ診断処理部123は、対象クライアント120内のセキュリティ診断入力情報ファイル126の情報を基に、対象クライアント120内のセキュリティ脆弱性をチェックするとともに、対象クライアント120内の固有のネットワークデバイスに対して、接続を有効化する処理機能などを備えている。このセキュリティ診断処理部123による具体的な処理機能は、図5を用いて後述する。
<セキュリティ診断ネットワーク接続制御システムの運用フロー>
次に、図2を用いて、セキュリティ診断ネットワーク接続制御システムの運用フローについて説明する。図2は、この運用フローの一例を示すフローチャートである。
セキュリティ診断入力情報ファイル101、及び、診断経過許容日数ファイル102は、サーバ管理者によって、定期的、及び、随時に配置、更新されるものである(1)。
セキュリティ診断システム121は、クライアント管理者によって、クライアント配布時に予め実装されているものである(2)。このセキュリティ診断システム121は、利用者が、定期的にセキュリティ施策を実施する際に対象クライアント120を起動した契機で、この起動時に毎回自動実行で動作する(2’)。
最新診断結果ファイル124は、セキュリティ診断システム121において出力されるファイルである。診断経過許容日数ファイル125、及び、セキュリティ診断入力情報ファイル126は、ファイル管理用サーバ100に配置されたファイル群より、ネットワーク110に接続された既設クライアント140を経由して外部記憶媒体に複写(コピー)し(3)、この複写した外部記憶媒体を移動し(4)、対象クライアント120に直接接続してクライアント本体に複写することで(5)、セキュリティ診断システム121の入力となる。
<最新診断結果ファイル>
次に、図6を用いて、最新診断結果ファイル124について説明する。図6は、この最新診断結果ファイル124の最新の診断結果を格納するレコードフォーマットの一例を示す図である。
最新診断結果ファイル124には、最新診断日、最新診断結果、有効期限日付の各項目内容が格納される。最新診断日は、クライアント自身が出力する前回セキュリティ診断処理実行日(年月日)を示す。最新診断結果は、クライアント自身が出力する前回セキュリティ診断処理実行結果(OK:適正、NG:不適正)を示す。有効期限日付は、前回セキュリティ診断処理実行結果が適正の場合に、診断経過許容日数ファイルの内容を基に求めた有効期限日付(YYYYMMDD)を示す。
このデータ例では、最新診断日が「20100101」、最新診断結果が「OK」、有効期限日付が「20100104」の一例を示している。
<セキュリティ診断入力情報ファイル>
次に、図7を用いて、セキュリティ診断入力情報ファイル126(101)について説明する。図7は、このセキュリティ診断入力情報ファイル126(101)のセキュリティ診断入力情報を格納するレコードフォーマットの一例を示す図である。
セキュリティ診断入力情報ファイル126(101)には、セキュリティ区分、オブジェクト名、マッチアンマッチ条件の各項目内容が格納される。セキュリティ区分は、セキュリティ診断項目(WP:Windows(登録商標)パッチ、PG:不正プログラム、…)を示す。オブジェクト名は、診断項目毎のオブジェクト名(パッチ名称、不正プログラム名称、…)を示す。マッチアンマッチ条件は、対象オブジェクトが適正とされる条件(M:マッチ、U:アンマッチ)を示す。
このデータ例では、セキュリティ区分が「WP」、オブジェクト名が「PH045201823」、マッチアンマッチ条件が「M」、・・・、などの一例を示している。
<診断経過許容日数ファイル>
次に、図8を用いて、診断経過許容日数ファイル125(102)について説明する。図8は、この診断経過許容日数ファイル125(102)の診断経過許容日数を格納するレコードフォーマットの一例を示す図である。
診断経過許容日数ファイル125(102)には、診断経過許容日数の項目内容が格納される。診断経過許容日数は、前回セキュリティ診断処理実行日からの経過日数許容値(日)を示す。
このデータ例では、診断経過許容日数が「3」の一例を示している。
<起動処理フロー>
次に、図3を用いて、セキュリティ診断ネットワーク接続制御システムの起動処理フローについて説明する。図3は、このセキュリティ診断ネットワーク接続制御システムの起動処理フローの一例を示すフローチャートである。
まず、クライアント利用者は、対象クライアント120の電源を投入する(S301)。この電源投入後、対象クライアント120のOSが起動され、ネットワーク機能が有効となる(S302)。そして、OS起動後、セキュリティ診断システム121(ネットワーク接続制御処理部122、セキュリティ診断処理部123)が自動で起動される(S303)。
<ネットワーク接続制御処理フロー>
次に、図4を用いて、ネットワーク接続制御処理フローについて説明する。図4は、このネットワーク接続制御処理フローの一例を示すフローチャートである。
このネットワーク接続制御処理フローでは、ネットワーク接続制御処理部122が主体となり、対象クライアント120のネットワーク接続制御を行う処理である。
まず、最新診断結果ファイル124(S400)より、最新診断日、最新診断結果、及び、有効期限日付の各情報内容(レコード)を読み込む(S401)。
そして、最新診断結果の内容について、適正(診断結果=“OK”)か不適正(診断結果=“NG”)かの判定を行う(S410)。この判定において、最新診断結果が“NG”とされる場合(不適正)は、前回セキュリティ診断結果が不適正である旨、メッセージ表示を行う(S411)。
S410の最新診断結果判定において、最新診断結果が“OK”とされる場合(適正)は、読み込んだ有効期限日付と、対象クライアント120の装置内より引き出したシステム日付を比較し、適正(システム日付≦有効期限日付)か不適正(システム日付>有効期限日付)かの判定を行う(S420)。この判定において、システム日付が有効期限日付を超える場合(不適正)は、前回セキュリティ診断結果の有効期限が切れて不適正である旨、メッセージ表示を行う(S421)。
S420の有効期限判定において、システム日付が有効期限日付を超えない場合(適正)は、ネットワークデバイスの有効化コマンド(例えば、Microsoft社から提供されているdevconユーティリティ等のように、装置内の個別のデバイスに対して、有効と無効を切り替える機能を有するコマンド)を実行するとともに(S440)、ネットワーク切断メッセージを表示し(S441)、本処理を終了とする。
S410の最新診断結果判定、又は、S420の有効期限判定のいずれかで不適正となった場合は、ネットワークデバイスの無効化コマンド(例えば、Microsoft社から提供されているdevconユーティリティ等のように、装置内の個別のデバイスに対して、有効と無効を切り替える機能を有するコマンド)を実行するとともに(S430)、ネットワーク切断メッセージを表示し(S431)、後述するセキュリティ診断処理(S432)へ進む。
<セキュリティ診断処理フロー>
次に、図5を用いて、セキュリティ診断処理フローについて説明する。図5は、このセキュリティ診断処理フローの一例を示すフローチャートである。
このセキュリティ診断処理フローでは、セキュリティ診断処理部123が主体となり、対象クライアント120のセキュリティ診断を行う処理である。
まず、診断経過許容日数ファイル125(S530)、及び、セキュリティ診断入力情報ファイル126(S531)が、対象クライアント120に存在するか存在しないかをを確認する(S500)。この確認において、存在しない場合は、エラーメッセージとして該当ファイル名を表示するとともに(S510)、対象クライアント120の利用者からのタイプイン(応答)要求の入力待ちとなる(S511)。
利用者からタイプイン要求が入力されたら、このタイプイン要求の入力値を判定する(S520)。この判定において、タイプイン要求にて中止(P)が応答された場合は、本処理を中止し、リトライ(R)が応答された場合は、再度、ファイルの存在確認(S500)を実行する。
S500のファイルの存在確認において、診断経過許容日数ファイル125(S530)、及び、セキュリティ診断入力情報ファイル126(S531)が存在する場合は、診断経過許容日数ファイル125(S530)より、診断経過許容日数の情報内容(レコード)を読込み(S532)、セキュリティ診断入力情報ファイル126(S531)より、セキュリティ区分、オブジェクト名、マッチアンマッチ条件の情報内容(レコード)を読み込む(S533)。
続いて、セキュリティ区分に対応するオブジェクト名について、対象クライアント120の実機情報と照合する(S534)。そして、マッチアンマッチ条件に基づく診断結果を判定する(S540)。この判定において、照合結果がマッチアンマッチ条件と不一致(“NG”)の場合は、診断異常結果を表示するとともに(S570)、最新診断結果ファイル124(S572)に、最新診断日、診断結果“NG”を書込み(S571)、本処理を終了する。
S540の診断結果判定において、照合結果がマッチアンマッチ条件と一致(“OK”)の場合は、全レコード読込みが完了したかを判定する(S550)。この判定において、読込みが完了していない場合(NO)は、セキュリティ診断入力情報ファイル126(S531)の次のレコードを読み込む。上記処理S533、S534、S540を、セキュリティ診断入力情報の全件に対して繰り返し行う。
S550の全レコード読込み完了判定において、セキュリティ診断入力情報の全件処理が完了したら(YES)、診断正常結果を表示するとともに(S560)、有効期限日付(システム日付+診断経過許容日数)を求め(S561)、最新診断結果ファイル124(S563)に、最新診断日、診断結果“OK”、有効期限日付を書込み(S562)、ネットワークデバイスの有効化コマンド(例えば、Microsoft社から提供されているdevconユーティリティ等のように、装置内の個別のデバイスに対して、有効と無効を切り替える機能を有するコマンド)を実行して(S564)、本処理を終了する。
<本実施形態の効果>
以上説明した本実施形態のセキュリティ診断システムを備えたセキュリティ診断ネットワーク接続制御システムによれば、セキュリティ診断システム121において、ネットワーク接続制御処理部122、セキュリティ診断処理部123を有し、最新診断結果ファイル124、診断経過許容日数ファイル125、セキュリティ診断入力情報ファイル126を含むことで、以下のような効果を得ることができる。
(1)セキュリティ診断処理部123によるセキュリティ診断の実施から、セキュリティ診断処理部123によるセキュリティ診断結果の判定、ネットワーク接続制御処理部122によるネットワーク接続の制御までを、対象クライアント120の一システムで実現することにより、対象クライアント120のセキュリティ診断及び対策を、即時、且つ、確実に行うためのソフトウェア技術が実現可能となる。
(2)ネットワーク接続制御処理部122、及び、セキュリティ診断処理部123においては、ネットワーク接続を制御する手法として、対象クライアント120内の固有のネットワークデバイスに対して直接命令(コマンド実行)を行うことにより、ネットワーク接続を制限するにあたっては、即時、且つ、完全なネットワーク遮断が可能となる。
(3)ネットワーク接続制御処理部122においては、ネットワーク接続制限を判定する手法として、対象クライアント120内の最新診断結果情報(正常(適正)/異常(不適正)結果、有効期限日付)を使用することにより、セキュリティ診断処理に依存することなく、セキュリティ診断処理を行う前にネットワーク接続制御が可能となり、最新診断結果情報の判定が適正であれば、即時に対象クライアント120のネットワーク利用が可能となる。
(4)セキュリティ診断処理部123においては、セキュリティ診断を行う手法として、対象クライアント120内のセキュリティ診断入力情報に基づいて処理することにより、周辺装置の稼働状態に依存されず、セキュリティ診断処理部123を停止することなく、処理実行が可能となる。
(5)上記(1)〜(4)により、セキュリティの脆弱性が認められている対象クライアント120に対しては、より確実、即時にネットワークへの接続制限を行うことができ、その結果、セキュリティ上の安全性確保に優れる。また、周辺装置との依存性を排除した処理を行うことができ、その結果、セキュリティ診断処理そのものの処理効率が高まる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
本発明のセキュリティ対策のための技術は、特に、セキュリティ上、脆弱性のあるクライアント装置を、ネットワークから自動的に切り離すソフトウェア技術としてのシステムおよび方法ならびにプログラムに利用可能である。
100 ファイル管理用サーバ
101 セキュリティ診断入力情報ファイル
102 診断経過許容日数ファイル
110 ネットワーク
120 対象クライアント
121 セキュリティ診断システム
122 ネットワーク接続制御処理部
123 セキュリティ診断処理部
124 最新診断結果ファイル
125 診断経過許容日数ファイル
126 セキュリティ診断入力情報ファイル
130 既設クライアント(接続禁止状態)
140 既設クライアント(接続許可状態)

Claims (3)

  1. 対象クライアント装置内から取得される最新のセキュリティ診断結果に基づいて、前記対象クライアント装置のネットワーク接続制御を実施するネットワーク接続制御処理部と、
    前記対象クライアント装置内から取得されるセキュリティ診断入力情報に基づいて、前記対象クライアント装置のセキュリティ診断を行うセキュリティ診断処理部と
    前記最新のセキュリティ診断結果を有する最新診断結果ファイルと、
    前記セキュリティ診断入力情報を有するセキュリティ診断入力情報ファイルと、
    セキュリティ診断日からの経過日数許容値である診断経過許容日数を有する診断経過許容日数ファイルとを備え、
    前記セキュリティ診断処理部によるセキュリティ診断の実施から、前記セキュリティ診断処理部によるセキュリティ診断結果の判定、前記ネットワーク接続制御処理部によるネットワーク接続の制御までを、前記対象クライアント装置の一システムで実現するセキュリティ診断システムであって、
    前記ネットワーク接続制御処理部は、前記対象クライアント装置内の前記最新診断結果ファイルの情報を基に、前記対象クライアント装置に対する最新のセキュリティ診断結果及びその有効期限を確認するとともに、前記対象クライアント装置内の固有のネットワークデバイスに対して、接続の有効/無効を切り替え、
    前記セキュリティ診断処理部は、前記対象クライアント装置内の前記セキュリティ診断入力情報ファイルの情報を基に、前記対象クライアント装置内のセキュリティ脆弱性をチェックするとともに、前記対象クライアント装置内の固有のネットワークデバイスに対して、接続を有効化し、
    前記最新診断結果ファイルは、前記最新のセキュリティ診断結果の有効期限日付を設定するにあたり、最後に実施したセキュリティ診断の正常結果判定を基に、前記診断経過許容日数ファイルより読み込んだ診断経過許容日数から求めた有効期限日付を、前記対象クライアント装置内の前記最新診断結果ファイルに書込み、次回に実行される前記ネットワーク接続制御処理部の入力値としていることを特徴とするセキュリティ診断システム。
  2. 対象クライアント装置内から取得される最新のセキュリティ診断結果に基づいて、前記対象クライアント装置のネットワーク接続制御を実施するネットワーク接続制御処理部と、
    前記対象クライアント装置内から取得されるセキュリティ診断入力情報に基づいて、前記対象クライアント装置のセキュリティ診断を行うセキュリティ診断処理部と、
    前記最新のセキュリティ診断結果を有する最新診断結果ファイルと、
    前記セキュリティ診断入力情報を有するセキュリティ診断入力情報ファイルと、
    セキュリティ診断日からの経過日数許容値である診断経過許容日数を有する診断経過許容日数ファイルとを備え
    前記セキュリティ診断処理部によるセキュリティ診断の実施から、前記セキュリティ診断処理部によるセキュリティ診断結果の判定、前記ネットワーク接続制御処理部によるネットワーク接続の制御までを、前記対象クライアント装置の一システムで実現するセキュリティ診断システムによるセキュリティ診断方法であって、
    前記ネットワーク接続制御処理部により、前記対象クライアント装置内の前記最新診断結果ファイルの情報を基に、前記対象クライアント装置に対する最新のセキュリティ診断結果及びその有効期限を確認するとともに、前記対象クライアント装置内の固有のネットワークデバイスに対して、接続の有効/無効を切り替え、
    前記セキュリティ診断処理部により、前記対象クライアント装置内の前記セキュリティ診断入力情報ファイルの情報を基に、前記対象クライアント装置内のセキュリティ脆弱性をチェックするとともに、前記対象クライアント装置内の固有のネットワークデバイスに対して、接続を有効化し、
    前記最新診断結果ファイルは、前記最新のセキュリティ診断結果の有効期限日付を設定するにあたり、最後に実施したセキュリティ診断の正常結果判定を基に、前記診断経過許容日数ファイルより読み込んだ診断経過許容日数から求めた有効期限日付を、前記対象クライアント装置内の前記最新診断結果ファイルに書込み、次回に実行される前記ネットワーク接続制御処理部の入力値としていることを特徴とするセキュリティ診断方法。
  3. 対象クライアント装置内から取得される最新のセキュリティ診断結果に基づいて、前記対象クライアント装置のネットワーク接続制御を実施するネットワーク接続制御処理部と、
    前記対象クライアント装置内から取得されるセキュリティ診断入力情報に基づいて、前記対象クライアント装置のセキュリティ診断を行うセキュリティ診断処理部と、
    前記最新のセキュリティ診断結果を有する最新診断結果ファイルと、
    前記セキュリティ診断入力情報を有するセキュリティ診断入力情報ファイルと、
    セキュリティ診断日からの経過日数許容値である診断経過許容日数を有する診断経過許容日数ファイルとを備え
    前記セキュリティ診断処理部によるセキュリティ診断の実施から、前記セキュリティ診断処理部によるセキュリティ診断結果の判定、前記ネットワーク接続制御処理部によるネットワーク接続の制御までを、前記対象クライアント装置の一システムで実現するセキュリティ診断システムとしてコンピュータを機能させるセキュリティ診断プログラムであって、
    前記ネットワーク接続制御処理部により、前記対象クライアント装置内の前記最新診断結果ファイルの情報を基に、前記対象クライアント装置に対する最新のセキュリティ診断結果及びその有効期限を確認するとともに、前記対象クライアント装置内の固有のネットワークデバイスに対して、接続の有効/無効を切り替え、
    前記セキュリティ診断処理部により、前記対象クライアント装置内の前記セキュリティ診断入力情報ファイルの情報を基に、前記対象クライアント装置内のセキュリティ脆弱性をチェックするとともに、前記対象クライアント装置内の固有のネットワークデバイスに対して、接続を有効化し、
    前記最新診断結果ファイルは、前記最新のセキュリティ診断結果の有効期限日付を設定するにあたり、最後に実施したセキュリティ診断の正常結果判定を基に、前記診断経過許容日数ファイルより読み込んだ診断経過許容日数から求めた有効期限日付を、前記対象クライアント装置内の前記最新診断結果ファイルに書込み、次回に実行される前記ネットワーク接続制御処理部の入力値としていることを特徴とするセキュリティ診断プログラム。
JP2010234370A 2010-10-19 2010-10-19 セキュリティ診断システムおよび方法ならびにプログラム Expired - Fee Related JP5597514B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010234370A JP5597514B2 (ja) 2010-10-19 2010-10-19 セキュリティ診断システムおよび方法ならびにプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010234370A JP5597514B2 (ja) 2010-10-19 2010-10-19 セキュリティ診断システムおよび方法ならびにプログラム

Publications (2)

Publication Number Publication Date
JP2012088891A JP2012088891A (ja) 2012-05-10
JP5597514B2 true JP5597514B2 (ja) 2014-10-01

Family

ID=46260457

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010234370A Expired - Fee Related JP5597514B2 (ja) 2010-10-19 2010-10-19 セキュリティ診断システムおよび方法ならびにプログラム

Country Status (1)

Country Link
JP (1) JP5597514B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220318374A1 (en) * 2021-03-30 2022-10-06 Yokogawa Electric Corporation Diagnosis apparatus, diagnosis method, and computer-readable recording medium

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003140987A (ja) * 2001-11-06 2003-05-16 Ntt Data Customer Service Corp セキュリティ監査支援システムおよび方法、ならびにセキュリティ監査支援プログラム
JP2004178130A (ja) * 2002-11-26 2004-06-24 Fuji Photo Film Co Ltd プログラム
JP2008198090A (ja) * 2007-02-15 2008-08-28 Hitachi Software Eng Co Ltd セキュリティ管理システム
JP2010044656A (ja) * 2008-08-15 2010-02-25 Tepco Systems Corp 情報処理端末および管理サーバ
EP2345977B1 (en) * 2008-11-28 2017-04-05 International Business Machines Corporation Client computer for protecting confidential file, server computer therefor, method therefor, and computer program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220318374A1 (en) * 2021-03-30 2022-10-06 Yokogawa Electric Corporation Diagnosis apparatus, diagnosis method, and computer-readable recording medium

Also Published As

Publication number Publication date
JP2012088891A (ja) 2012-05-10

Similar Documents

Publication Publication Date Title
CN108073816B (zh) 信息处理装置
US8543866B2 (en) Remote access diagnostic mechanism for communication devices
US10140463B2 (en) Mechanisms to secure data on hard reset of device
JP6370098B2 (ja) 情報処理装置、情報処理監視方法、プログラム、及び記録媒体
EP3076324B1 (en) Information processing apparatus and method of controlling the apparatus
JP3992721B2 (ja) 情報処理装置およびプロセス制御方法
WO2007052342A1 (ja) 情報保全プログラム、情報保全方法及び情報保全システム
US9262631B2 (en) Embedded device and control method thereof
US11188321B2 (en) Processing device and software execution control method
KR101997254B1 (ko) 고립된 사용자컴퓨팅부를 갖는 컴퓨터
JP2012238331A (ja) データ保護方法とコンピュータ装置
JP4185546B2 (ja) 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム
JP2023129643A (ja) 情報処理装置、情報処理方法およびプログラム
JP2019185575A (ja) 制御装置および制御方法
JP2010097550A (ja) ウイルス防止プログラム、コンピュータに着脱可能な記憶装置、及びウイルス防止方法
JP5597514B2 (ja) セキュリティ診断システムおよび方法ならびにプログラム
CN117113355A (zh) 基本输入输出系统配置方法、系统、计算机设备和介质
JP2006134259A (ja) ネットワーク制御方式、管理サーバ及びクライアント端末、並びに、それらの制御方法
EP3570197A1 (en) Electronic system and method for preventing malicious actions on a processing system of the electronic system
CN112307481B (zh) 一种系统可信启动方法、电子设备及计算机可读存储介质
JP2009239395A (ja) 遠隔操作システム
CN115795490B (zh) 可信启动方法、装置、工控主机及可读存储介质
JP2011150490A (ja) ファイル制御プログラム、ファイル制御装置及びファイル制御方法
CN113971067A (zh) 容器运行方法、装置、电子设备及存储介质
JP4205650B2 (ja) 情報処理装置、情報処理システム、起動抑止方法、及び起動抑止プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130724

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140328

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140704

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140729

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140811

R150 Certificate of patent or registration of utility model

Ref document number: 5597514

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees