JP6597452B2 - 情報処理装置、情報処理方法、プログラム - Google Patents

情報処理装置、情報処理方法、プログラム Download PDF

Info

Publication number
JP6597452B2
JP6597452B2 JP2016067734A JP2016067734A JP6597452B2 JP 6597452 B2 JP6597452 B2 JP 6597452B2 JP 2016067734 A JP2016067734 A JP 2016067734A JP 2016067734 A JP2016067734 A JP 2016067734A JP 6597452 B2 JP6597452 B2 JP 6597452B2
Authority
JP
Japan
Prior art keywords
terminal
information
operation information
unit
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016067734A
Other languages
English (en)
Other versions
JP2017182398A (ja
Inventor
良夫 安留
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2016067734A priority Critical patent/JP6597452B2/ja
Priority to PCT/JP2017/006570 priority patent/WO2017169323A1/ja
Priority to US16/082,625 priority patent/US10902131B2/en
Priority to SG11201807461XA priority patent/SG11201807461XA/en
Priority to TW106109238A priority patent/TWI677802B/zh
Publication of JP2017182398A publication Critical patent/JP2017182398A/ja
Application granted granted Critical
Publication of JP6597452B2 publication Critical patent/JP6597452B2/ja
Priority to US17/141,736 priority patent/US11822671B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • G06F16/353Clustering; Classification into predefined classes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)
  • User Interface Of Digital Computer (AREA)
  • Telephonic Communication Services (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、情報処理装置、情報処理方法、プログラムに関する。
ネットワーク上の端末には、ハードウエアやソフトウエアに存在する脆弱性や、外部からの攻撃により生じる脅威などのセキュリティリスクが存在する。セキュリティリスクには、複数の対処が存在するのが一般的である。
しかし、脆弱性に対するパッチ適用以外の対処は、端末毎に通信制限、設定変更などが異なるため、全ての端末に対して適用することはできない。そのため、多数の端末に対して対処を行う場合、対処を立案するのにコストがかかっていた。
そこで、最近は、各端末に存在するセキュリティリスクに対する対処(対応)の立案を支援する発明が提案されている。例えば、特許文献1には、運用中のシステムの状態に基づいてセキュリティリスクを分析し、セキュリティリスクを軽減するための対策候補から、運用中のシステムに生じる各種制約を考慮した上で、最適な対策方法を提示する発明が開示されている。
特許第5304243号公報
上述したように、特許文献1に開示された発明は、端末にセキュリティリスクが存在する場合、最適な対策方法を提示するものである。しかし、提示された対処を適用することによる端末やシステムへの影響などが不明であるため、セキュリティ管理者は、提示された対処をただちに適用するべきか、また、複数の対処が提示された場合に、最適な対処はどれかを判断することができなかった。そのため、セキュリティ管理者がセキュリティリスクに対する対処を立案することが困難となっていた。
本発明の目的は、上述した課題を解決することができる技術を提供することにある。
本発明の一態様によれば、情報処理装置は、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける選択受付部と、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する稼働情報特定部と、
前記端末の稼働情報のうち前記稼働情報特定部が特定した種類の稼働情報を取得する稼働情報取得部と、
前記端末別対処情報に基づいて、前記選択受付部が受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する残存端末特定部と、
前記稼働情報取得部が取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測部と、
前記予測部が予測した予測結果を提示する提示部と、
を備える。
本発明の一態様によれば、情報処理方法は、
情報処理装置が行う情報処理方法であって、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付けるステップと、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定するステップと、
前記端末の稼働情報のうち前記特定した種類の稼働情報を取得するステップと、
前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定するステップと、
前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測ステップと、
前記予測した予測結果を提示する提示ステップと、
を含む。
本発明の一態様によれば、プログラムは、
コンピュータに、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける手順と、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する手順と、
前記端末の稼働情報のうち前記特定した種類の稼働情報を取得する手順と、
前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する手順と、
前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測手順と、
前記予測した予測結果を提示する提示手順と、
を実行させるためのプログラムである。
本発明によれば、セキュリティ管理者がセキュリティリスクに対する対処の立案を容易に行うことができる。
実施の形態1に係る情報処理装置の処理構成を概念的に示す図である。 実施の形態1に係る情報処理装置が生成する画面の一例を示す図である。 実施の形態1,2に係る端末別対処情報の一例を示す図である。 実施の形態1,2に係る定義情報の一例を示す図である。 実施の形態1,2に係る稼働情報の一例を示す図である。 実施の形態1に係る予測部が予測する予測結果の一例を示す図である。 実施の形態1に係る提示部が提示する画面の一例を示す図である。 実施の形態1に係る提示部が提示する画面の他の例を示す図である。 実施の形態1に係る情報処理装置のハードウエア構成を概念的に示す図である。 実施の形態1に係る情報処理装置の処理の流れを示すフローチャートである。 実施の形態2に係る情報処理システムのシステム構成を概念的に示す図である。 実施の形態2に係る情報取得部が取得した端末情報の一例を示す図である。 実施の形態2に係る分類情報格納部が格納する分類情報の一例を示す図である。 実施の形態2に係る表示処理部が生成する画面の一例を示す図である。 実施の形態2に係る予測部が予測する予測結果の一例を示す図である。 実施の形態2に係る提示部が提示する画面の一例を示す図である。 実施の形態2に係る提示部が提示する画面の他の例を示す図である。 実施の形態2に係る情報処理装置の処理の流れを示すフローチャートである。
以下、本発明の実施の形態について、図面を用いて説明する。尚、全ての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。
[実施の形態1]
[処理構成]
図1は、本発明の実施の形態1に係る情報処理装置10の処理構成を概念的に示す図である。図1に示されるように、本実施の形態1に係る情報処理装置10は、選択受付部110、稼働情報特定部120、稼働情報取得部130、残存端末特定部140、予測部150、及び提示部160を備える。
選択受付部110は、セキュリティリスクを有する管理対象端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける。ここで、セキュリティリスクとは、管理対象端末に存在する脆弱性、又は、管理対象端末に対する外部からの攻撃によって生じる脅威を含む。また、管理対象端末とは、ネットワークを介して情報処理装置10と接続され、セキュリティの状態を監視されている端末である。管理対象端末は、ネットワーク上のクライアント端末、サーバ、スイッチやルータなどの通信機器だけではなく、ネットワークに接続する機能やネットワークを介して通信する手段を有するあらゆる物(所謂IoT(Internet of Things)に含まれる物)である。また、対処とは、脆弱性や脅威を解消、回避、又は低減させる措置であり、適用可能な対処とは、脆弱性や脅威に対する措置の中で管理対象端末に講じることができる措置のことをいう。選択受付部110は、例えば図2に示されるような画面を介して、セキュリティリスク(ここでは、脆弱性A)に対する対処の選択入力を受け付ける。
図2は、情報処理装置10が生成し、情報処理装置10に接続された表示装置(不図示)に表示させる画面の一例を示す図である。尚、図2は、セキュリティリスクが脆弱性Aである場合の画面の例である。図2の画面には、脆弱性Aのある管理対象端末の台数(「リスクあり」)と、各対処を仮に実行した場合の対処後の残存リスク(脆弱性Aの残る管理対象端末)の数(「対処後残存リスク」)と、未来時刻(ここでは、一週間後)における残存リスクの予測値(「残存リスク予測値」)と、脆弱性Aに対する各対処(「対処(1)」、「対処(2)」、及び「対処(3)」)と、が対応付けて表示されている。各対処の列の欄のかっこ内に記載されている数字は、その列に対応する対処を適用可能な管理対象端末の台数を示している。図2の画面には、脆弱性Aの概要や、脆弱性Aに対する各対処の内容も表示されている。図2の画面例では、脆弱性Aのある90台の管理対象端末のうち、「対処(1)」を適用可能な管理対象端末が28台であり、「対処(2)」を適用可能な管理対象端末が69台であり、「対処(3)」を適用可能な管理対象端末が15台であることを示している。尚、対処別の端末数を合算した値が、母数となる端末数(90台)と異なるのは、複数の対処を適用可能な管理対象端末が存在するためである。また、図2の画面では、「残存リスクの予測値」の下向きの黒三角形をクリックすると、選択可能な未来時刻(例えば、即時、翌日、一週間後、一か月後など)を示すドロップダウンリストが表示されるようになっている。ドロップダウンリストの中から未来時刻が選択されると、残存リスクの予測値には、選択された未来時刻(ここでは、一週間後)における予測値が表示されるようになっている。
図2の画面は、例えば、図3に示されるような、脆弱性Aに対して管理対象端末毎に適用可能な対処を示す情報(端末別対処情報)を基に情報処理装置10によって生成される。図3は、端末別対処情報の一例を示す図である。尚、図3は、セキュリティリスクが脆弱性Aである場合の端末別対処情報の例である。端末別対処情報は、各管理対象端末を識別する端末識別情報(例えば、MAC(Media Access Control)アドレスなど)と、それぞれの管理対象端末に適用可能な対処を示す情報と、を含む。端末別対処情報は、例えば、各ベンダーなどから提供される、セキュリティリスク及びその対処法などを示す情報(リスク情報)に基づいて管理対象端末を予め調査することで生成され、所定の格納部(不図示)に格納される。図3の例では、脆弱性Aに対して、端末Aは「対処(1)」及び「対処(3)」が適用可能であり、端末Bは「対処(2)」が適用可能であり、端末Cは「対処(3)」が適用可能となっている。図3に示されるような端末別対処情報を格納する格納部は、情報処理装置10に備えられていても良いし、情報処理装置10と通信可能に接続された他の装置に格納されていても良い。
残存端末特定部140は、所定の格納部(不図示)から端末別対処情報を読み出し、読み出した端末別対処情報に基づいて、選択受付部110の受け付けた選択入力が示す対処を仮に実行した場合に、セキュリティリスクが残る管理対象端末(以下、残存端末とも表記)を特定する。上述したように、端末別対処情報は、セキュリティリスクに対して管理対象端末毎に適用可能な対処を示す情報であり、図3に示されるような形式で格納部に格納されている。残存端末特定部140は、選択入力が示す対処を適用可能な管理対象端末を、図3に示されるような端末別対処情報の端末識別情報と適用可能な対処との対応関係から特定することができる。同時に、残存端末特定部140は、セキュリティリスクが残る管理対象端末(残存端末)を特定することができる。
稼働情報特定部120は、上述の端末別対処情報と、管理対象端末の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、管理対象端末に適用可能な対処に対応する稼働情報の種類を特定する。稼働情報とは、管理対象端末で実際に行われた動作や処理の履歴を示す情報(稼働履歴情報)、又は、管理装置でこれから行われる予定の動作や処理を示す情報(稼働予定情報)の少なくとも一方を含む情報である。これらの稼働情報は、各管理対象端末での所定の動作や処理の実行又は所定の動作や処理の実行予定の入力に応じて、各管理対象端末で生成されてその管理対象端末の記憶部に記憶される。また「稼働情報の種類」とは、各稼働情報が属する分類を意味する。例えば、「稼働履歴情報の種類」の具体例としては、「パッチ適用履歴」、「再起動履歴」、「連続稼働時間」、「ポート利用履歴」、「プロセス稼働履歴」、「アプリケーション利用履歴」などが挙げられる。また例えば、「稼働予定情報の種類」の具体例としては、「パッチ適用予定日時」、「再起動予定日時」、「アプリケーション起動予定日時」などが挙げられる。但し、稼働情報の種類はここで挙げた例に限定されない。
定義情報は、例えば図4に示されるような形式で所定の格納部(不図示)に格納されている。図4は、定義情報の一例を示す図である。尚、図4は、セキュリティリスクが脆弱性Aである場合の定義情報の例である。図4では、脆弱性Aに対する対処(「対処(1)」、「対処(2)」、及び「対処(3)」)と、その対処を適用するか否かを決定する際に参考となる、管理対象端末の稼働情報の種類と、が対応付けて格納されている。図4の例では、「対処(1)」は、パッチAAAAを適用し、再起動するという対処である。また、「対処(2)」は、プロセスZZZZを停止するという対処である。また、「対処(3)」は、ポート1027をブロックするという対処である。また、「対処(1)」に対応する「稼働情報の種類」は、「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」である。また、「対処(2)」に対応する「稼働情報の種類」は、「プロセスZZZZの利用履歴」である。また、「対処(3)」に対応する「稼働情報の種類」は、「ポート1027の利用履歴」である。図4に示されるような定義情報を格納する格納部は、情報処理装置10に備えられていても良いし、情報処理装置10と通信可能に接続された他の装置に格納されていても良い。
稼働情報特定部120は、例えば、図3の端末別対処情報と図4の定義情報とを基に、管理対象端末毎に、適用可能な対処とそれに対応する稼働情報の種類とを特定する。具体的には、稼働情報特定部120は、図3の端末別対処情報を基に、脆弱性Aに対して、端末Aは「対処(1)」及び「対処(3)」が適用可能であることを特定する。そして、稼働情報特定部120は、図4の定義情報を基に、「対処(1」」に対応する「稼働情報の種類」を「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」と特定する。また、稼働情報特定部120は、図4の定義情報を基に、「対処(3)」に対応する「稼働情報の種類」を「ポート1027の利用履歴」と特定する。稼働情報特定部120は、端末Aと同様に、端末Bについても適用可能な対処(「対処(2)」のみ)とそれに対応する稼働情報の種類(「プロセスZZZZの利用履歴」)とを特定する。
稼働情報取得部130は、稼働情報特定部120が特定した種類の稼働情報を取得する。稼働情報取得部130は、例えば以下に示すようにして、管理対象端末の稼働情報の中から稼働情報特定部120が特定した種類の稼働情報を取得する。
稼働情報取得部130は、例えば、稼働情報特定部120が特定した稼働情報の種類を管理対象端末に通知し、管理対象端末からの応答としてその種類の稼働情報を受け取る。又は、稼働情報取得部130は、管理対象端末に格納されている稼働情報を取得し、その中から稼働情報特定部120が特定した種類の稼働情報を抽出しても良い。ここで、稼働情報取得部130は、管理対象端末に格納されている全ての稼働情報の中から必要な稼働情報を取得しても良いし、管理対象端末に格納されている所定期間(例えば一ヶ月分など)内の稼働情報の中から必要な稼働情報を取得しても良い。稼働情報の一例は、過去の所定期間(例えば過去一ヶ月分など)内に行われた稼働履歴に関する情報、すなわち、過去に行われた再起動に関する情報や、過去にアクセスされたポート番号に関する情報、過去に実行されたプロセスに関する情報を含んでいても良い。稼働情報の他の一例は、未来の所定期間(例えば将来一ヵ月分など)に予定される稼働予定に関する情報、すなわち、将来に実行が予定される再起動に関する情報や、将来アクセスされるポート番号に関する情報、将来に実行が予定されるプロセスに関する情報を含んでいても良い。また、稼働情報は、これらの組み合わせであっても良い。未来の稼働予定は、管理対象端末を管理するサブシステムが存在する場合、そこから取得するようにしても良い。
具体的には、稼働情報取得部130は、図5に示されるような稼働情報を取得する。図5は、稼働情報取得部130が取得する稼働情報の一例を示す図である。尚、図5は、セキュリティリスクが脆弱性Aである場合の稼働情報の例である。稼働情報取得部130は、稼働情報特定部120が特定した稼働情報の種類に基づいて、端末Aで適用可能な「対処(1)」については、「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」の稼働情報を端末Aから取得する。また、稼働情報取得部130は、稼働情報特定部120が特定した稼働情報の種類に基づいて、端末Aで適用可能な「対処(3)」については、「ポート1027の利用履歴」の稼働情報を端末Aから取得する。稼働情報取得部130は、端末Aと同様に、端末Bについても、端末Bで適用可能な「対処(2)」について、「プロセスZZZZの利用履歴」の稼働情報を端末Bから取得する。稼働情報が過去の稼働履歴に関する場合、稼働情報の日付は過去となる。稼働情報が未来の稼働予定に関する場合、稼働情報の日付は未来となる。
予測部150は、稼働情報取得部130が取得した稼働情報に基づいて、未来時刻において、セキュリティリスクが残る管理対象端末(残存端末)の数を予測する。例えば、図5に示される稼働情報によれば、予測部150は、端末Aについて次のような予測をすることができる(尚、ここでは予測部150が図5の稼働情報を2015年5月27日(水)の時点で確認しているものとする)。予測部150は、「対処(1)」に対応付けられた「再起動履歴」を参照することにより、定期的な再起動の実行タイミングを判断することができる。「再起動履歴」の欄と共に、又は、「再起動履歴」の欄に替えて、「再起動予定」の欄が設けられ、「再起動予定」の欄に将来の再起動予定の情報が格納されている場合には、「再起動予定」を参照することにより再起動の実行タイミングを判断することができる。例えば、予定日時が最も近い再起動予定を、再起動の実行タイミングであると予測乃至判断しても良い。また、予測部150は、「対処(1)」に対応付けられた「パッチ適用履歴」を参照することにより、定期的なパッチの適用タイミングを判断することができる。具体的には、端末Aについて、毎週木曜日の午前中に、定期的にパッチが適用されて端末Aが再起動されていることが読み取れる。ここから、予測部150は、「対処(1)」の適用タイミング、つまり、パッチAAAAを適用し、再起動するタイミングを、「次の木曜日の午前中」、つまり、「2015年5月28日(木)の午前中」と予測することができる。なぜならば、過去の再起動履歴によれば、過去3回の再起動のうち3回が木曜日の10時に行われているため、この周期性に基づいて、次の再起動も木曜日の10時と予測することができるからである。別の方法では、再起動の回数を曜日ごとに集計して、集計した数が多い順に再起動が行われやすい曜日であると予測しても良い。また、予測部150は、「対処(3)」に対応付けられた「ポート1027の利用履歴」を参照することにより、ポート1027の利用履歴を判断することができる。具体的には、端末Aについて、前々日と前日の2日連続でポート1027を利用していることが読み取れる。このように、「ポート1027の利用履歴」に複数の利用日時の情報が格納されている場合は、予測部150は、ポート1027が今後も利用される可能性があると判断し、「対処(3)」の適用タイミング、つまり、ポート1027をブロックするタイミングを、長めに設定された所定日数が経過した後のタイミングとしても良い。又は、予測部150は、端末Aについて、「対処(3)」を日時予測の対象から除外、つまり、端末Aには「対処(3)」を適用しないと判断しても良い。本実施の形態1においては、予測部150は、前者のように、ポート1027をブロックするタイミングを、長めに設定された所定日数が経過した後のタイミング、例えば、一週間後の「2015年6月3日(水)」と予測するものとする。尚、上述の所定日数を何日にするかは、予め決められた日数とすれば良い。このように、対処に対応する稼働情報を参照することによって、予測部150は、その対処を実行するタイミングを容易に予測することができる。
予測部150は、残存端末特定部140が特定した残存端末以外の管理対象端末について、上述のようにして、適用可能な対処を適用する適用タイミングを予測する。詳細には、予測部150は、残存端末以外の各管理対象端末について、図3の端末別対処情報を基に、適用可能な対処を特定し、図5の稼働情報を基に、適用可能な対処の適用タイミングを予測する。予測部150は、残存端末以外の各管理対象端末について、予測した適用タイミングで適用可能な対処が実行され、脆弱性Aが無くなったと仮定する。例えば、端末Aについては、上述したように、「対処(1)」の適用タイミングを「2015年5月28日(木)の午前中」と予測し、「対処(3)」の適用タイミングを「2015年6月3日(水)」と予測している。そのため、予測部150は、端末Aについて、早い方の「2015年5月28日(木)の午前中」に脆弱性Aが無くなったと仮定する。このような仮定に従い、予測部150は、残存端末の数が所定数(例えば、0台)以下になる未来時刻まで、時系列的に、各未来時刻(例えば、即時、翌日、一週間後、一か月後など)毎に、その時点で脆弱性Aが残っている管理対象端末(残存端末)の数を集計し、この集計値を残存リスク(脆弱性Aの残る管理対象端末)の数の予測値とする。図6は、予測部150が予測する予測結果の一例を示す図である。尚、図6は、セキュリティリスクが脆弱性Aである場合の予測結果の例である。図6の予測結果は、選択受付部110が、「対処(1)」、「対処(2)」、及び「対処(3)」が選択されたことを示す入力を受け付けた場合の予測結果である。図6の例は、所定数が0台である場合の例であり、予測部150は、残存端末の数が0台以下になる「三か月後」まで、時系列的に、残存端末の数を予測している。具体的には、図6の例では、残存端末の数は、「即時実行後」に22台になり、「翌日」に13台になり、「一週間後」に6台になり、「一か月後」に2台になり、「三か月後」に0台になると予測されている。
提示部160は、予測部150が予測した予測結果を、例えば情報処理装置10に接続された表示装置(不図示)などに提示する。例えば、提示部160は、図7に示すように、予測部150が予測した予測結果(「残存リスク予測値」)と、残存端末特定部140が特定した残存端末の数を集計した結果(「対処後残存リスク」)と、を図2の画面に反映させる。図7は、提示部160が提示する画面の一例を示す図である。尚、図7は、セキュリティリスクが脆弱性Aである場合の画面の例である。図7では、図2の画面で「対処(1)」、「対処(2)」、及び「対処(3)」が全て選択された場合の画面を例示している。図7の画面では、「残存リスクの予測値」のドロップダウンリストにおいて、「一週間後」が選択されている。そのため、「一週間後」における「残存リスクの予測値」が表示されている。但し、別の未来時刻が選択された場合は、選択された未来時刻(例えば、「翌日」)における「残存リスクの予測値」が表示される。このように、情報処理装置10によって提示される画面においてセキュリティリスクに対する対処が選択されると、その対処を仮に実行した場合の結果がその画面に反映される。
又は、提示部160は、図7の画面の代わりに、図8に示されるような、各未来時刻における「残存リスクの予測値」を、時系列的にグラフ化したグラフを表す画面を表示しても良い。図8は、提示部160が提示する画面の他の例を示す図である。尚、図8は、セキュリティリスクが脆弱性Aである場合の画面の例である。また、図8は、現時点の残存リスク(脆弱性Aの残る管理対象端末)の数も合わせて表示しているが、現時点の残存リスクの数を表示するか否かは特に限定されない。
[ハードウエア構成]
図9は、本実施の形態1に係る情報処理装置10のハードウエア構成を概念的に示す図である。図9に示されるように、本実施の形態1に係る情報処理装置10は、プロセッサ101、メモリ102、ストレージ103、入出力インタフェース(入出力I/F)1004、及び通信インタフェース(通信I/F)105などを備える。プロセッサ101、メモリ102、ストレージ103、入出力インタフェース104、及び通信インタフェース105は、相互にデータを送受信するためのデータ伝送路で接続されている。
プロセッサ101は、例えばCPU(Central Processing Unit)やGPU(Graphics Processing Unit)などの演算処理装置である。メモリ102は、例えばRAM(Random Access Memory)やROM(Read Only Memory)などのメモリである。ストレージ103は、例えばHDD(Hard Disk Drive)、SSD(Solid State Drive)、又はメモリカードなどの記憶装置である。また、ストレージ103は、RAMやROMなどのメモリであっても良い。
ストレージ103は、情報処理装置10が備える各処理部(選択受付部110、稼働情報特定部120、稼働情報取得部130、残存端末特定部140、予測部150、及び提示部160など)の機能を実現するプログラムを記憶している。プロセッサ101は、これら各プログラムを実行することで、各処理部の機能をそれぞれ実現する。ここで、プロセッサ101は、上記各プログラムを実行する際、これらのプログラムをメモリ102上に読み出してから実行しても良いし、メモリ102上に読み出さずに実行しても良い。
入出力インタフェース104は、表示装置1041や入力装置1042などと接続される。表示装置1041は、LCD(Liquid Crystal Display)やCRT(Cathode Ray Tube)ディスプレイのような、プロセッサ101により処理された描画データに対応する画面を表示する装置である。入力装置1042は、オペレータの操作入力を受け付ける装置であり、例えば、キーボード、マウス、及びタッチセンサなどである。表示装置1041及び入力装置1042は一体化され、タッチパネルとして実現されていても良い。
通信インタフェース105は、外部の装置との間でデータを送受信する。例えば、通信インタフェース105は、有線ネットワーク又は無線ネットワークを介して外部装置と通信する。
尚、情報処理装置10のハードウエア構成は、図9に示される構成に制限されない。
[動作例]
図10を用いて、本実施の形態1に係る情報処理装置10の動作例を説明する。図10は、本実施の形態1に係る情報処理装置10の処理の流れを示すフローチャートである。以下では、セキュリティリスクが脆弱性Aである場合の動作例を説明する。
まず、選択受付部110は、図2に示されるような画面を介して、セキュリティ管理者の入力を受け付ける(S101)。セキュリティ管理者の入力は、画面に提示された脆弱性Aに対する複数の対処のうち少なくとも1つの対処を選択する入力である。
次に、残存端末特定部140は、選択受付部110で受け付けた入力が示す対処をキーとして、端末別対処情報を格納する格納部を参照し、脆弱性Aの残る残存端末を特定する(S102)。例えば、格納部が図3の端末別対処情報を格納しており、選択受付部110が、「対処(1)」が選択されたことを示す入力を受け付けたとする。この場合、残存端末特定部140は、少なくとも「端末B」及び「端末C」を「対処(1)」を適用できない端末(残存端末)として特定する。
次に、稼働情報特定部120は、管理対象端末に適用可能な対処に対応する稼働情報の種類を特定し(S103)、稼働情報取得部130は、稼働情報特定部120が特定した種類の稼働情報を、管理対象端末から取得する(S104)。例えば、格納部が図3の端末別対処情報及び図4の定義情報を有していたとする。この場合、稼働情報特定部120は、端末Aについては、「対処(1)」及び「対処(3)」が適用可能であることと、「対処(1)」に対応する稼働情報の種類が「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」であり、また、「対処(3)」に対応する稼働情報の種類が「ポート1027の利用履歴」であることと、を特定する。そのため、稼働情報取得部130は、端末Aについては、端末Aの稼働情報の中から、「パッチ適用履歴」、「再起動履歴」、「連続稼働時間」、及び「ポート1027の利用履歴」を取得する。
次に、予測部150は、稼働情報取得部130が取得した稼働情報に基づいて、未来時刻における残存端末の数を予測する(S105)。例えば、格納部が図3の端末別対処情報を格納し、稼働情報取得部130が図5の稼働情報を取得していたとする。この場合、予測部150は、残存端末特定部140が特定した残存端末以外の管理対象端末について、図3の端末別対処情報を基に、適用可能な対処を特定し、図5の稼働情報を基に、適用可能な対処の適用タイミングを予測し、各未来時刻毎に、その時点での残存端末の数を集計することで、図6のような予測結果を得る。
その後、提示部160は、予測部150が予測した予測結果を提示する(S106)。提示部160は、図7に示されるように、図2の画面に予測結果を反映させた画面を提示しても良いし、図8に示されるように、予測結果を時系列にグラフ化したグラフの画面を提示しても良い。
[実施の形態1の作用と効果]
以上、本実施の形態1によれば、未来時刻における、選択された対処を仮に実行した場合の残存端末(残存リスク)の数を予測し、その予測結果を提示する。この提示を見たセキュリティ管理者は、複数の対処のうちのどの対処を実行すると、未来時刻にどれだけの残存端末が残るかといったことを把握することができる。これにより、セキュリティ管理者は、提示された対処をただちに適用するべきか、また、複数の対処が提示された場合に、最適な対処はどれかを判断することができる。すなわち、本実施の形態1によれば、セキュリティ管理者がセキュリティリスクに対する対処の立案を容易に行うことができる。
[実施の形態2]
本実施の形態2は、実施の形態1をより具体化したものである。
[システム構成]
図11は、本実施の形態2に係る情報処理システム1のシステム構成を概念的に示す図である。図11に示されるように、本実施の形態2に係る情報処理システム1は、情報処理装置10、管理者端末20、及び管理対象端末30を含んで構成される。管理者端末20は、セキュリティ管理者が操作する端末であり、据え置き型のPC(Personal Computer)やタブレット端末などである。管理対象端末30は、ネットワーク上のクライアント端末、サーバ、スイッチやルータなどの通信機器だけではなく、ネットワークに接続する機能やネットワークを介して通信する手段を有するあらゆる物(所謂IoT(Internet of Things)に含まれる物)である。
[処理構成]
図11に示されるように、本実施の形態2に係る情報処理装置10は、実施の形態1の稼働情報取得部130に代えて情報取得部170を備え、更に、リスク調査部180、表示処理部190、リスク情報格納部192、分類情報格納部194、及び定義情報格納部196を備える。尚、情報取得部170は、稼働情報取得部130に相当する役割を果たす他、後述の他の役割も果たす。
情報取得部170は、管理対象端末30の各々から端末情報を取得し、図12に示されるような情報を得る。図12は、情報取得部170が取得した端末情報の一例を示す図である。端末情報は、例えば、管理対象端末30のOS(Operating System)の種別、OSのバージョン、管理対象端末30にインストールされている各種アプリケーションなどを含む。但し、端末情報は、図12に例示するような情報に制限されない。情報取得部170は、実施の形態1に係る稼働情報取得部130の動作、すなわち、管理対象端末30の各々から、稼働情報特定部120が特定した種類の稼働情報を取得する動作も行う。
リスク調査部180は、情報取得部170が取得した端末情報と、各ベンダーなどから提供されるセキュリティリスクに関する情報などとを照らし合わせて、セキュリティリスクのある管理対象端末30を調査し、図3に示されるような端末別対処情報を含むリスク情報を生成する。例えば、セキュリティリスクが脆弱性Aである場合、リスク情報は、図3に示されるような端末別対処情報に加え、脆弱性Aの概要や、各対処の説明といった情報を更に含んでいても良い。リスク調査部180は、生成したリスク情報をリスク情報格納部192に格納する。
表示処理部190は、リスク情報格納部192に格納されているリスク情報を用いて、管理者端末20の表示部(不図示)に表示する画面を生成し、管理者端末20に出力する。本実施の形態2では、表示処理部190は、例えば、図13に示されるような分類情報格納部194の分類情報を用いて、例えば、図14に示すような、脆弱性Aのある端末を分類して表示する画面を生成する。分類情報を用いることにより、残存端末の傾向を判断することができる。図13は、分類情報格納部194が格納する分類情報の一例を示す図であり、図14は、表示処理部190が生成する画面の一例を示す図である。尚、図14は、セキュリティリスクが脆弱性Aである場合の画面の例である。図13の例では、分類情報格納部194は、各管理対象端末を識別する端末識別情報(例えば、MACアドレスなど)と2種類の分類情報(端末の種別、優先度)とを対応付けて格納している。詳細には、管理対象端末30は、まず「サーバ」と「クライアント」に分類され、更に、「クライアント」に属する管理対象端末30は優先度の大小によって分類されている。表示処理部190は、図13に示される分類情報を用いて、図14に示されるように、管理対象端末30を、分類(「サーバ」又は「クライアント」、また「クライアント」であればその優先度の「大/中/小」)して表示する画面を生成し、管理者端末20の表示部(不図示)に表示させる。
セキュリティ管理者は、管理者端末20に表示される画面(例えば、図14の画面)を確認し、脆弱性Aに対して適用する対処の選択入力を行う。ここで入力された結果が、選択受付部110に送信される。選択受付部110は、分類毎の選択入力を図14に示されるような画面を介して受け付け、残存端末特定部140は、その分類毎の選択入力に基づいて、分類毎に選択された対処を仮に実行した場合の残存端末を分類毎に特定する。また、予測部150は、分類毎に選択された対処を仮に実行した場合の未来時刻における残存端末の数を分類毎に予測する。このとき、予測部150は、例えば、図15に示されるような予測を行う。図15は、予測部150が予測する予測結果の一例を示す図である。尚、図15は、セキュリティリスクが脆弱性Aである場合の予測結果の例である。図15の予測結果は、選択受付部110が、「サーバ」については、「対処(1)」、「対処(2)」、及び「対処(3)」が選択され、「クライアント」については、優先度が「大」、「中」、及び「小」の全てにおいて、「対処(1)」及び「対処(2)」が選択されたことを示す入力を受け付けた場合の予測結果である。図15の例は、所定数が0台である場合の例であり、予測部150は、全体の残存端末の数が0台以下になる「三か月後」まで、時系列的に、残存端末の数を予測している。具体的には、図15の例では、全体の残存端末の数は、「即時実行後」に22台になり、「翌日」に13台になり、「一週間後」に6台になり、「一か月後」に2台になり、「三か月後」に0台になると予測されている。
そして、提示部160は、例えば図16に示されるように、分類毎の残存端末の数及びそれら全体の残存端末の数(「対処後残存リスク」)と、分類毎の未来時刻における残存端末の数の予測値及びそれら全体の残存端末の数の予測値(残存リスク予測値)と、を表示する画面を提示する。図16は、提示部160が提示する画面の一例を示す図である。尚、図16は、セキュリティリスクが脆弱性Aである場合の画面の例である。図16の画面で、各対処の列の欄のかっこ内に記載されている数字は、その列に対応する対処を仮に実行した場合に脆弱性Aが無くなる管理対象端末30の台数を示しており、他の対処の選択に応じて変化する。例えば、優先度が「大」の「クライアント」について、「対処(2)」の列の欄のかっこ内に記載されている数字は、図14の画面では「5」であるが、図16の画面では「2」である。これは、「対処(2)」のみを単独で適用した場合は脆弱性Aが無くなる優先度が「大」の「クライアント」の台数は5台であるが、「対処(1)」及び「対処(2)」を併用して適用した場合は、その5台のうち3台は「対処(1)」の適用により脆弱性Aが無くなり、残りの2台が「対処(2)」の適用により脆弱性Aが無くなることを意味している。
又は、提示部160は、図16の画面の代わりに、図17に示されるような、各未来時刻における分類毎の「残存リスクの予測値」を、時系列的にグラフ化したグラフを表す画面を表示しても良い。図17は、提示部160が提示する画面の他の例を示す図である。図17は、提示部160が提示する画面の他の例を示す図である。尚、図17は、セキュリティリスクが脆弱性Aである場合の画面の例である。また、図17は、現時点の残存リスク(脆弱性Aの残る管理対象端末)の数も合わせて表示しているが、現時点の残存リスクの数を表示するか否かは特に限定されない。
尚、提示部160が提示する図16又は図17の画面は、表示処理部190によって管理者端末20に出力され、管理者端末20の表示部(不図示)に表示される。
定義情報格納部196は、管理対象端末30の稼働情報の種類とセキュリティリスクに対する対処との対応関係を定義する定義情報(例えば、図4の定義情報)を格納する。定義情報は、例えば、サーバ装置(不図示)から情報処理装置10に配信することとして良い。稼働情報特定部120は、定義情報格納部196に格納されている定義情報を用いて、稼働情報の種類を特定する。
[ハードウエア構成]
本実施の形態2に係る情報処理装置10は、実施の形態1と同様のハードウエア構成を有する。ストレージ103は、本実施の形態2に係る各処理部(情報取得部170、リスク調査部180、及び表示処理部190)の機能を実現するプログラムを更に格納しており、プロセッサ101がこれらのプログラムを実行することにより、本実施の形態2に係る各処理部が実現される。また、メモリ102やストレージ103は、リスク情報格納部192、分類情報格納部194、及び定義情報格納部196としての役割も果たす。
[動作例]
図18を用いて、本実施の形態2に係る情報処理装置10の動作例を説明する。図18は、本実施の形態2に係る情報処理装置10の処理の流れを示すフローチャートである。以下では、セキュリティリスクが脆弱性Aである場合の動作例を説明する。
情報取得部170は、例えば、管理者端末20からの画面表示要求に応じて、各管理対象端末30の端末情報を取得する(S201)。そして、リスク調査部180は、例えば、取得した各管理対象端末30の端末情報に基づいて、脆弱性Aのある管理対象端末30を調査し、リスク情報を生成する(S202)。リスク調査部180は、例えば、取得した各管理対象端末30の端末情報と各ベンダーなどから提供される脆弱性Aに関する情報とを照らし合わせて、脆弱性Aのある管理対象端末30及び適用可能な対処などを特定することができる。尚、S201及びS202の処理は、管理者端末20からの画面表示要求を受ける前に予め実行されていても良い。この場合、管理者端末20からの画面表示要求に応じて、以下のS203の処理が実行される。
表示処理部190は、S202で生成されたリスク情報と、分類情報格納部194に格納されている分類情報とに基づいて、脆弱性Aのある端末を調査した結果を表示する画面(例えば、図14の画面)を生成し、管理者端末20の表示部(不図示)に表示させる(S203)。管理者端末20を操作するセキュリティ管理者は、表示された画面の内容を確認し、複数の対処の少なくとも1つを選択する入力操作を行う。そして、選択受付部110は、管理者端末20での入力操作によって選択された対処を示す情報を管理者端末20から受け付ける(S204)。残存端末特定部140は、管理者端末20で選択された対処を示す情報と端末別対処情報とに基づいて、分類毎に残存端末を特定する(S205)。例えば、リスク情報格納部192が図3の端末別対処情報を格納しており、選択受付部110が、「サーバ」について、「対処(1)」及び「対処(2)」が選択されたことを示す入力を受け付けたとする。この場合、残存端末特定部140は、少なくとも「端末C」を「対処(1)」及び「対処(2)」のいずれも適用できない端末(残存端末)として特定する。
次に、稼働情報特定部120は、管理対象端末30に適用可能な対処に対応する稼働情報の種類を特定し(S206)、稼働情報取得部130は、稼働情報特定部120が特定した種類の稼働情報を、管理対象端末30から取得する(S207)。例えば、リスク情報格納部192が図3の端末別対処情報を格納し、定義情報格納部196が図4の定義情報を格納していたとする。この場合、稼働情報特定部120は、端末Aについては、「対処(1)」及び「対処(3)」が適用可能であることと、「対処(1)」に対応する稼働情報の種類が「パッチ適用履歴」、「再起動履歴」、及び「連続稼働時間」であり、また、「対処(3)」に対応する稼働情報の種類が「ポート1027の利用履歴」であることと、を特定する。そのため、稼働情報取得部130は、端末Aについては、端末Aの稼働情報の中から、「パッチ適用履歴」、「再起動履歴」、「連続稼働時間」、及び「ポート1027の利用履歴」を取得する。
次に、予測部150は、稼働情報取得部130が取得した稼働情報に基づいて、分類毎に、未来時刻における残存端末の数を予測する(S208)。例えば、リスク情報格納部192が図3の端末別対処情報を格納し、情報取得部170が図5の稼働情報を取得していたとする。この場合、予測部150は、残存端末特定部140が特定した残存端末以外の管理対象端末30について、図3の端末別対処情報を基に、適用可能な対処を特定し、図5の稼働情報を基に、適用可能な対処の適用タイミングを予測し、各未来時刻毎に、その時点での残存端末の数を集計する。この処理を、分類毎に行うことで、図15のような予測結果を得る。
その後、提示部160は、予測部150が予測した予測結果を提示する(S209)。提示部160は、図16に示されるように、図14の画面に予測結果を反映させた画面を提示しても良いし、図17に示されるように、予測結果を時系列にグラフ化したグラフの画面を提示しても良い。
以上、本実施の形態2によれば、実施の形態1と同様の効果を得ることができる。
以上、実施の形態を参照して本発明を説明したが、本発明は上記によって限定されるものではない。本発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
例えば、上述の各実施の形態において、画面で選択された内容に基づいて各管理対象端末に対処を実行させるボタンが画面上に更に設けられていても良い。当該ボタンが押下されると、情報処理装置10は、選択された内容に従って各端末に対処を実行させる命令を生成し、各端末に向けて出力する。
また、上述の各実施の形態においては、未来時刻における残存端末の数を提示する態様について説明した。しかし、残存端末に関する指標を提示することもできる。残存端末に関する指標には、例えば、セキュリティリスクのある端末の数に対する残存端末の数の割合や当該割合に応じた色などが含まれる。
また、上述の各実施の形態においては、セキュリティリスクに対する対処の選択入力に応じて未来時刻における残存端末の数を提示する態様について説明した。しかし、例えば適用しうる対処の数が少ない場合などは、選択入力にかかわらず全ての対処を適用した場合の残存端末の数をはじめから提示することもできる。
また、上述の各実施の形態においては、管理対象端末に対して予め調査することで生成した端末別対処情報を読み出し、読み出した端末別対処情報に基づいて未来時刻における残存端末の数を提示する態様ついて説明した。しかし、未来時刻における残存端末の数を提示する前に、管理対象端末に対して調査することで端末別対処情報を取得することもできる。
また、上述の実施の形態2においては、管理対象端末を、まず、サーバとクライアントに分類し、更に、クライアントを優先度の大小で分類した。しかし、分類の方法はこれに限定されず、サーバとクライアントに分類するに留めたり、サーバ又はクライアントにかかわらず、優先度の大小で分類したりすることもできる。また、その他の方法で分類することもできる。
また、上述の説明で用いた複数のフローチャートでは、複数の工程(処理)が順番に記載されているが、各実施の形態で実行される工程の実行順序は、その記載の順番に制限されない。各実施の形態では、図示される工程の順番を内容的に支障のない範囲で変更することができる。また、上述の各実施の形態は、内容が相反しない範囲で組み合わせることができる。
上記実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける選択受付部と、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する稼働情報特定部と、
前記端末の稼働情報のうち前記稼働情報特定部が特定した種類の稼働情報を取得する稼働情報取得部と、
前記端末別対処情報に基づいて、前記選択受付部が受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する残存端末特定部と、
前記稼働情報取得部が取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測部と、
前記予測部が予測した予測結果を提示する提示部と、
を備える情報処理装置。
(付記2)
前記予測部は、
未来時刻における前記残存端末の数を時系列的に予測し、
前記提示部は、
未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する、
付記1に記載の情報処理装置。
(付記3)
前記予測部は、
前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する、
付記2に記載の情報処理装置。
(付記4)
前記端末を分類する分類情報を格納する分類情報格納部を更に備え、
前記予測部は、
前記端末の分類毎に、未来時刻における前記残存端末の数を予測する、
付記1から3のいずれか1項に記載の情報処理装置。
(付記5)
情報処理装置が行う情報処理方法であって、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付けるステップと、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定するステップと、
前記端末の稼働情報のうち前記特定した種類の稼働情報を取得するステップと、
前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定するステップと、
前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測ステップと、
前記予測した予測結果を提示する提示ステップと、
を含む情報処理方法。
(付記6)
前記予測ステップでは、
未来時刻における前記残存端末の数を時系列的に予測し、
前記提示ステップでは、
未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する、
ことを含む付記5に記載の情報処理方法。
(付記7)
前記予測ステップでは、
前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する、付記6に記載の情報処理方法。
(付記8)
前記端末を分類する分類情報を格納する分類情報格納部を更に備え、
前記予測ステップでは、
前記端末の分類毎に、未来時刻における前記残存端末の数を予測する、付記5から7のいずれか1項に記載の情報処理方法。
(付記9)
コンピュータに、
セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける手順と、
前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する手順と、
前記端末の稼働情報のうち前記特定した種類の稼働情報を取得する手順と、
前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する手順と、
前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測手順と、
前記予測した予測結果を提示する提示手順と、
を実行させるためのプログラム。
(付記10)
前記予測手順では、
未来時刻における前記残存端末の数を時系列的に予測し、
前記提示手順では、
未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する、
ことを含む付記9に記載のプログラム。
(付記11)
前記予測手順では、
前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する、付記10に記載のプログラム。
(付記12)
前記コンピュータに、
前記端末を分類する分類情報を格納する手順を更に実行させ、
前記予測手順では、
前記端末の分類毎に、未来時刻における前記残存端末の数を予測する、付記9から11のいずれか1項に記載のプログラム。
1 情報処理システム
10 情報処理装置
101 プロセッサ
102 メモリ
103 ストレージ
104 入出力インタフェース
1041 表示装置
1042 入力装置
105 通信インタフェース
110 選択受付部
120 稼働情報特定部
130 稼働情報取得部
140 残存端末特定部
150 予測部
160 提示部
170 情報取得部
180 リスク調査部
190 表示処理部
192 リスク情報格納部
194 分類情報格納部
196 定義情報格納部
20 管理者端末
30 管理対象端末

Claims (12)

  1. セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける選択受付部と、
    前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する稼働情報特定部と、
    前記端末の稼働情報のうち前記稼働情報特定部が特定した種類の稼働情報を取得する稼働情報取得部と、
    前記端末別対処情報に基づいて、前記選択受付部が受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する残存端末特定部と、
    前記稼働情報取得部が取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測部と、
    前記予測部が予測した予測結果を提示する提示部と、
    を備える情報処理装置。
  2. 前記予測部は、
    未来時刻における前記残存端末の数を時系列的に予測し、
    前記提示部は、
    未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する、
    請求項1に記載の情報処理装置。
  3. 前記予測部は、
    前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する、
    請求項2に記載の情報処理装置。
  4. 前記端末を分類する分類情報を格納する分類情報格納部を更に備え、
    前記予測部は、
    前記端末の分類毎に、未来時刻における前記残存端末の数を予測する、
    請求項1から3のいずれか1項に記載の情報処理装置。
  5. 情報処理装置が行う情報処理方法であって、
    セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付けるステップと、
    前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定するステップと、
    前記端末の稼働情報のうち前記特定した種類の稼働情報を取得するステップと、
    前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定するステップと、
    前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測ステップと、
    前記予測した予測結果を提示する提示ステップと、
    を含む情報処理方法。
  6. 前記予測ステップでは、
    未来時刻における前記残存端末の数を時系列的に予測し、
    前記提示ステップでは、
    未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する、
    請求項5に記載の情報処理方法。
  7. 前記予測ステップでは、
    前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する、
    請求項6に記載の情報処理方法。
  8. 前記端末を分類する分類情報を格納するステップを更に含み、
    前記予測ステップでは、
    前記端末の分類毎に、未来時刻における前記残存端末の数を予測する、
    請求項5から7のいずれか1項に記載の情報処理方法。
  9. コンピュータに、
    セキュリティリスクを有する端末に適用可能な複数の対処の中から少なくとも1つの対処が選択されたことを示す入力を受け付ける手順と、
    前記セキュリティリスクに対して前記端末毎に適用可能な対処を示す端末別対処情報と、前記端末の稼働情報の種類と前記セキュリティリスクに対する対処との対応関係を定義する定義情報と、を用いて、前記端末に適用可能な対処に対応する稼働情報の種類を特定する手順と、
    前記端末の稼働情報のうち前記特定した種類の稼働情報を取得する手順と、
    前記端末別対処情報に基づいて、前記受け付けた対処を適用した場合に、前記セキュリティリスクが残る端末である残存端末を特定する手順と、
    前記取得した稼働情報に基づいて、未来時刻における前記残存端末の数を予測する予測手順と、
    前記予測した予測結果を提示する提示手順と、
    を実行させるためのプログラム。
  10. 前記予測手順では、
    未来時刻における前記残存端末の数を時系列的に予測し、
    前記提示手順では、
    未来時刻における前記残存端末の数を時系列的にグラフ化したグラフを提示する、
    請求項9に記載のプログラム。
  11. 前記予測手順では、
    前記残存端末の数が所定数以下になる未来時刻まで、前記残存端末の数を時系列的に予測する、
    請求項10に記載のプログラム。
  12. 前記コンピュータに、
    前記端末を分類する分類情報を格納する手順を更に実行させ、
    前記予測手順では、
    前記端末の分類毎に、未来時刻における前記残存端末の数を予測する、
    請求項9から11のいずれか1項に記載のプログラム。
JP2016067734A 2016-03-30 2016-03-30 情報処理装置、情報処理方法、プログラム Active JP6597452B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2016067734A JP6597452B2 (ja) 2016-03-30 2016-03-30 情報処理装置、情報処理方法、プログラム
PCT/JP2017/006570 WO2017169323A1 (ja) 2016-03-30 2017-02-22 情報処理装置、情報処理方法、非一時的なコンピュータ可読媒体
US16/082,625 US10902131B2 (en) 2016-03-30 2017-02-22 Information processing device, information processing method, and non-transitory computer readable medium for providing improved security
SG11201807461XA SG11201807461XA (en) 2016-03-30 2017-02-22 Information processing device, information processing method, and non-transitory computer readable medium
TW106109238A TWI677802B (zh) 2016-03-30 2017-03-21 資訊處理裝置、資訊處理方法及非暫時性電腦可讀取記錄媒體
US17/141,736 US11822671B2 (en) 2016-03-30 2021-01-05 Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016067734A JP6597452B2 (ja) 2016-03-30 2016-03-30 情報処理装置、情報処理方法、プログラム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2019182564A Division JP6746084B2 (ja) 2019-10-03 2019-10-03 情報処理装置、情報処理方法、プログラム

Publications (2)

Publication Number Publication Date
JP2017182398A JP2017182398A (ja) 2017-10-05
JP6597452B2 true JP6597452B2 (ja) 2019-10-30

Family

ID=59964186

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016067734A Active JP6597452B2 (ja) 2016-03-30 2016-03-30 情報処理装置、情報処理方法、プログラム

Country Status (5)

Country Link
US (2) US10902131B2 (ja)
JP (1) JP6597452B2 (ja)
SG (1) SG11201807461XA (ja)
TW (1) TWI677802B (ja)
WO (1) WO2017169323A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6891583B2 (ja) * 2017-03-27 2021-06-18 日本電気株式会社 情報処理装置、情報処理方法、プログラム
US11928088B1 (en) * 2022-10-06 2024-03-12 Sap Se Machine-learned models for predicting database application table growth factor

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7784044B2 (en) * 2002-12-02 2010-08-24 Microsoft Corporation Patching of in-use functions on a running computer system
US7680880B2 (en) * 2006-04-25 2010-03-16 Mcafee, Inc. System and method for protecting a computer network
WO2008004498A1 (fr) 2006-07-06 2008-01-10 Nec Corporation Système, dispositif, procédé et programme de gestion des risques de sécurité
JP5020776B2 (ja) 2007-10-29 2012-09-05 株式会社エヌ・ティ・ティ・データ 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム
JP5145907B2 (ja) 2007-12-04 2013-02-20 日本電気株式会社 セキュリティ運用管理システム、方法、及び、プログラム
WO2009085239A2 (en) * 2007-12-20 2009-07-09 E-Fense, Inc. Computer forensics, e-discovery and incident response methods and systems
US7965636B2 (en) * 2008-12-05 2011-06-21 Hewlett-Packard Development Company, L.P. Loadbalancing network traffic across multiple remote inspection devices
JP4469910B1 (ja) * 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
US20130247191A1 (en) * 2009-05-07 2013-09-19 Harish Balasubramanian System, method, and computer program product for performing a remedial action with respect to a first device utilizing a second device
JP2011014094A (ja) 2009-07-06 2011-01-20 Toshiba Corp ソフトウェア更新情報管理装置及びプログラム
JP5509763B2 (ja) * 2009-09-18 2014-06-04 ソニー株式会社 情報処理装置、情報処理方法、通信装置、通信方法、プログラム、及び相互認証システム
US9064112B2 (en) * 2010-12-09 2015-06-23 At&T Intellectual Property I, L.P. Malware detection for SMS/MMS based attacks
WO2012109633A2 (en) * 2011-02-11 2012-08-16 Achilles Guard, Inc. D/B/A Critical Watch Security countermeasure management platform
JP2012208863A (ja) * 2011-03-30 2012-10-25 Hitachi Ltd 脆弱性判定システム、脆弱性判定方法、および、脆弱性判定プログラム
JP2014023137A (ja) 2012-07-24 2014-02-03 Mitsubishi Electric Corp 通信システム、経路制御装置、ユーザ端末および経路制御方法
JP6213053B2 (ja) * 2012-09-04 2017-10-18 富士通株式会社 プログラム、情報処理装置およびスケジュール決定方法
JP2015138509A (ja) * 2014-01-24 2015-07-30 株式会社日立システムズ 脆弱性リスク診断システム及び脆弱性リスク診断方法
WO2015114791A1 (ja) * 2014-01-31 2015-08-06 株式会社日立製作所 セキュリティ管理装置
US10474820B2 (en) * 2014-06-17 2019-11-12 Hewlett Packard Enterprise Development Lp DNS based infection scores
US9148408B1 (en) * 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
JP2016110642A (ja) * 2014-11-28 2016-06-20 株式会社リコー 情報処理装置、再起動実行方法及び再起動実行プログラム
US10438207B2 (en) * 2015-04-13 2019-10-08 Ciena Corporation Systems and methods for tracking, predicting, and mitigating advanced persistent threats in networks
WO2016183347A1 (en) * 2015-05-12 2016-11-17 CloudPassage, Inc. Systems and methods for implementing intrusion prevention

Also Published As

Publication number Publication date
JP2017182398A (ja) 2017-10-05
TWI677802B (zh) 2019-11-21
US11822671B2 (en) 2023-11-21
SG11201807461XA (en) 2018-10-30
WO2017169323A1 (ja) 2017-10-05
TW201737145A (zh) 2017-10-16
US10902131B2 (en) 2021-01-26
US20210141908A1 (en) 2021-05-13
US20190102562A1 (en) 2019-04-04

Similar Documents

Publication Publication Date Title
US20200358826A1 (en) Methods and apparatus to assess compliance of a virtual computing environment
US10216560B2 (en) Integration based anomaly detection service
CN111538634B (zh) 计算系统、方法及存储介质
US9098333B1 (en) Monitoring computer process resource usage
US9507936B2 (en) Systems, methods, apparatuses, and computer program products for forensic monitoring
EP3477477B1 (en) Identification of performance affecting flaws in a computing system
US10764322B2 (en) Information processing device, information processing method, and computer-readable recording medium
JP7255636B2 (ja) 端末管理装置、端末管理方法、およびプログラム
US11822671B2 (en) Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures
JP7226819B2 (ja) 情報処理装置、情報処理方法、プログラム
JP6746084B2 (ja) 情報処理装置、情報処理方法、プログラム
JP2020184372A (ja) 情報処理装置、セキュリティ情報配信方法、及びプログラム
US20170372334A1 (en) Agent-based monitoring of an application management system
US20160224990A1 (en) Customer health tracking system based on machine data and human data
US20240281527A1 (en) Extraction method, extraction device, and extraction program
JP7513205B2 (ja) 決定方法、決定装置及び決定プログラム
WO2020240766A1 (ja) 評価装置、システム、制御方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190206

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190903

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190916

R150 Certificate of patent or registration of utility model

Ref document number: 6597452

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150