JP6678798B1 - 処理装置及び処理方法 - Google Patents

処理装置及び処理方法 Download PDF

Info

Publication number
JP6678798B1
JP6678798B1 JP2019099506A JP2019099506A JP6678798B1 JP 6678798 B1 JP6678798 B1 JP 6678798B1 JP 2019099506 A JP2019099506 A JP 2019099506A JP 2019099506 A JP2019099506 A JP 2019099506A JP 6678798 B1 JP6678798 B1 JP 6678798B1
Authority
JP
Japan
Prior art keywords
vulnerability
information
level
public software
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019099506A
Other languages
English (en)
Other versions
JP2020194344A (ja
Inventor
鈴木 康弘
康弘 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BizReach Inc
Original Assignee
BizReach Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BizReach Inc filed Critical BizReach Inc
Priority to JP2019099506A priority Critical patent/JP6678798B1/ja
Application granted granted Critical
Publication of JP6678798B1 publication Critical patent/JP6678798B1/ja
Priority to PCT/JP2020/018232 priority patent/WO2020241171A1/ja
Publication of JP2020194344A publication Critical patent/JP2020194344A/ja
Priority to US17/535,951 priority patent/US20220083670A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】公開ソフトウェアを用いるケースにおいて、脆弱性を有する公開ソフトウェアの扱いを適切に判定することを可能とする処理装置及び処理方法を提供する。【解決手段】公開ソフトウェアが有する脆弱性を判定する処理装置10は、公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、脆弱性の優先度を出力する制御部13を備える。制御部13は、外部からアクセス可能である公開ソフトウェアが有する脆弱性に対して、外部からアクセス可能でない公開ソフトウェアが有する脆弱性よりも高い優先度を設定する、或いは、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高い優先度を設定する。【選択図】図2

Description

本発明は、処理装置及び処理方法に関する。
従来、ソフトウェアが有する複数の脆弱性情報の中から調査対象とすべき脆弱性情報を効果的に選択する技術が提案されている。具体的には、情報処理装置は、インターネットなどのネットワーク上で公開された脆弱性情報を収集し、ソフトウェアに対応する脆弱性情報を特定する。情報処理装置は、攻撃種別、通信プロトコル、ソフトウェアの製品種別など基づいて、特定された脆弱性情報の優先度を決定する(例えば、特許文献1)。
特開2007−58514号公報
しかしながら、上述した技術は、OSS(Open Source Software)に代表される公開ソフトウェアについて考慮されておらず、自社で開発したソフトウェアの脆弱性について自社で対策を講じるケースを想定している。従って、上述した技術では、公開ソフトウェアを使わない、公開ソフトウェアをバージョンアップするなどの対策が想定されていない。
このような状況に鑑みて、発明者等は、鋭意検討の結果、公開ソフトウェアを用いるケースでは、上述した技術に開示された優先度の設定方法が必ずしも適切ではないことを見出した。
そこで、本発明は、上述した課題を解決するためになされたものであり、公開ソフトウェアを用いるケースにおいて、脆弱性を有する公開ソフトウェアの扱いを適切に判定することを可能とする処理装置及び処理方法を提供することを目的とする。
第1の特徴は、公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理装置であって、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、前記脆弱性の優先度を出力する制御部を備え、前記制御部は、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、或いは、前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定する、ことを要旨とする。
第2の特徴は、第1の特徴において、前記処理装置は、前記外部からアクセス可能であるか否かを入力するユーザインタフェースを出力する出力部を備える、ことを要旨とする。
第3の特徴は、第2の特徴において、前記出力部は、前記脆弱性を有する前記公開ソフトウェアを含むシステム単位で、前記外部からアクセス可能であるか否かを入力するユーザインタフェースを出力する、ことを要旨とする。
第4の特徴は、第1の特徴乃至第3の特徴において、前記制御部は、前記第1情報及び第2情報の双方に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。
第5の特徴は、第4の特徴において、前記制御部は、前記第1情報及び第2情報に加えて、前記脆弱性の種別を示す第3情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。
第6の特徴は、第5の特徴において、前記制御部は、前記第1情報、前記第2情報及び前記第3情報に加えて、前記脆弱性について第三者機関が設定する前記脆弱性のレベルを示す第4情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。
第7の特徴は、第6の特徴において、前記制御部は、前記第4情報に基づいて、前記脆弱性のレベルがレベル条件を満たす脆弱性を特定し、特定された脆弱性を対象として、前記第1情報、前記第2情報及び前記第3情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。
第8の特徴は、第5の特徴乃至第7の特徴において、前記制御部は、前記第2情報に基づいて、前記攻撃コードが流通している脆弱性を特定し、或いは、前記第3情報に基づいて、前記脆弱性の種別が種別条件を満たす脆弱性を特定し、前記制御部は、特定された脆弱性を対象として、前記第1情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。
第9の特徴は、公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理方法であって、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、前記脆弱性の優先度を出力するステップと、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、或いは、前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定するステップと、を備えることを要旨とする。
本発明によれば、公開ソフトウェアを用いるケースにおいて、脆弱性を有する公開ソフトウェアの扱いを適切に判定することを可能とする処理装置及び処理方法を提供することができる。
図1は、実施形態に係る処理システム100を示す図である。 図2は、実施形態に係る処理装置10を示す図である。 図3は、実施形態に係る脆弱性情報を示す図である。 図4は、実施形態に係るユーザインタフェースを示す図である。 図5は、実施形態に係るトリアージレベルについて説明するための図である。 図6は、実施形態に係るユーザ端末20のディスプレイ21に表示される表示態様について示す図である。 図7は、実施形態に係る処理方法を示す図である。
以下において、実施形態について図面を参照しながら説明する。なお、以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。
但し、図面は模式的なものであり、各寸法の比率などは現実のものとは異なる場合があることに留意すべきである。従って、具体的な寸法などは以下の説明を参酌して判断すべきである。また、図面相互間においても互いの寸法の関係又は比率が異なる部分が含まれている場合があることは勿論である。
[開示の概要]
開示の概要に係る処理装置は、公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する。前記処理装置は、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、前記脆弱性の優先度を出力する制御部を備える。前記制御部は、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、或いは、前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定する。
開示の概要では、処理装置は、外部からアクセス可能である公開ソフトウェアが有する脆弱性に対して、外部からアクセス可能でない公開ソフトウェアが有する脆弱性よりも高い優先度を設定する。或いは、処理装置は、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高い優先度を設定する。すなわち、外部からアクセス可能でない公開ソフトウェアが有する脆弱性については、その対策を講じる緊急性が低いため、その影響が大きいとしても、その対策を直ちに講じる必要がないという判定を行うことができる。攻撃コードが流通していない脆弱性についても同様の判定を行うことができる。従って、上述した構成によれば、公開ソフトウェアを使わない、公開ソフトウェアをバージョンアップするなどの対策を想定した場合において、脆弱性を有する公開ソフトウェアの扱いを判定するための指標として、適切な優先度を設定することができる。
ここで、公開ソフトウェアは、ソフトウェアのソースコードが公開され、改良及び再配布が許可されたソフトウェア(以下、OSS;Open Source Software)であってもよい。公開、改良及び再配布は無償で行われてもよい。優先度は、公開ソフトウェアが有する脆弱性に対する対策を講じるべき優先度(以下、トリアージレベル)であってもよい。トリアージレベルは、公開ソフトウェアが有する脆弱性に対する対策を講じるべき緊急性と考えてもよい。
[実施形態]
(処理システム)
以下において、実施形態に係る処理システムについて説明する。図1は、実施形態に係る処理システム100を示す図である。
図1に示すように、処理システム100は、処理装置10と、ユーザ端末20と、システムサーバ30と、脆弱性DB(Data Base)40と、を有する。処理装置10、ユーザ端末20、システムサーバ30及び脆弱性DB40は、ネットワーク200によって接続される。特に限定されるものではないが、ネットワーク200は、インターネット網によって構成されてもよい。ネットワーク200は、ローカルエリアネットワークを含んでもよく、移動体通信網を含んでもよく、VPN(Virtual Private Network)を含んでもよい。
処理装置10は、システムサーバ30に構築されるOSSを含むシステムについて、OSSが有する脆弱性を判定する。処理装置10は、2以上のサーバによって構成されてもよい。処理装置10の少なくとも一部は、クラウドコンピューティングサービスによって実現されてもよい。処理装置10の詳細については後述する(図2を参照)。
ユーザ端末20は、ティスプレイ21を有しており、脆弱性の判定機能(以下、トリアージ機能)を利用する端末である。ユーザ端末20は、OSSを含むシステムを利用する端末であってもよい。例えば、ユーザ端末20は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。例えば、ディスプレイ21は、液晶パネルであってもよく、有機ELパネルであってもよい。
システムサーバ30は、OSSを含むシステムが構築されるサーバである。システムサーバ30上に構築されるシステムは、OSS以外のソフトウェアを含んでもよい。例えば、OSS以外のソフトウェアは、ユーザによって開発されたソフトウェアであってもよい。システムサーバ30は、2以上のサーバによって構成されてもよい。システムサーバ30の少なくとも一部は、クラウドコンピューティングサービスによって実現されてもよい。OSSを含むシステムは、インターネットなどのネットワーク200を介して外部に公開される公開システムを含んでもよく、インターネットなどのネットワーク200を介して外部に公開されない非公開システムを含んでもよい。例えば、公開システムは、製品、サービス又は採用情報を外部に公開するためのシステムを含んでもよい。非公開システムは、経理又は財務などの処理に用いるシステムを含んでもよい。
脆弱性DB40は、OSSが有する脆弱性に関する情報(以下、脆弱性情報)を格納するデータベースである。脆弱性DB40は、1以上のデータベースを定期的にクローリングすることによって、1以上のデータベースから脆弱性情報を収集するデータベースであってもよい。1以上のデータベースは、CVE(Common Vulnerabilities and Exposures)、ICAT(IPA Cyber security Alert Service) Metabase、NVD(National Vulnerability Database)、JVN(Japan Vulnerability Notes)、JVN iPedia、OSVDB(Open Source Vulnerability Database)から選択された1以上のデータベースを含んでもよい。
(処理装置)
以下において、実施形態に係る処理装置について説明する。図2は、実施形態に係る処理装置10を示す図である。
図2に示すように、処理装置10は、通信部11と、管理部12と、制御部13と、を有する。
通信部11は、通信モジュールによって構成される。通信モジュールは、IEEE802.11a/b/g/n、LTE、5Gなどの規格に準拠する無線通信モジュールであってもよく、IEEE802.3などの規格に準拠する有線通信モジュールであってもよい。
通信部11は、ユーザ端末10と通信を行うことによって、トリアージ機能をユーザ端末10に提供してもよい。通信部11は、システムサーバ30と通信を行うことによって、システムサーバ30上に構築されるシステムに含まれるソフトウェアの情報を取得してもよい。通信部11は、脆弱性DB40と通信を行うことによって、脆弱性情報を取得してもよい。
例えば、脆弱性情報は、脆弱性について第三者機関が設定する脆弱性のレベルを示す第4情報を含んでもよい。例えば、第4情報は、CVSS(Common Vulnerability Scoring System)で定義されるスコア値(例えば、Base Score)であってもよい。第4情報は、CVSSのバージョンを含んでもよい。さらに、脆弱性情報は、OSSが有する脆弱性に対する攻撃コードが流通している場合には、OSSが有する脆弱性に対する攻撃コードを含んでもよい。
管理部12は、不揮発性メモリなどのメモリ又は/及びHDD(Hard disc drive)などの記憶媒体によって構成されており、様々な情報を格納する。
管理部12は、脆弱性DB40から取得される脆弱性情報を管理(格納)する。管理部12によって管理される脆弱性情報は、脆弱性DB40から取得される脆弱性情報に基づいて加工された情報であってもよい。加工は、脆弱性の種別を示す第3情報(以下、タイプとも称する)を付加する処理であってもよい。加工は、エンジニアによってマニュアルでタイプを付加する処理であってもよく、テキスト解析などによって自動的にタイプを付加する処理であってもよい。
例えば、管理部12は、図3に示す情報を管理する。脆弱性は、OSSが有する脆弱性の識別情報である。OSSは、システムサーバ30上に構築されるシステムに含まれるOSSの識別情報(例えば、名称)である。タイプは、上述したように、脆弱性の種別を示す情報である。説明は、脆弱性に関する説明であり、CVSSのバージョン及びスコア値を含んでもよい。影響は、脆弱性によって想定される影響であり、脆弱性を引き起こす原因、脆弱性に対する攻撃手法、脆弱性に対する攻撃によって生じる問題を含んでもよい。
制御部13は、少なくとも1つのプロセッサを含んでもよい。少なくとも1つのプロセッサは、単一の集積回路(IC)によって構成されてもよく、通信可能に接続された複数の回路(集積回路及び又はディスクリート回路(discrete circuits)など)によって構成されてもよい。
制御部13は、OSSに対して外部からアクセス可能であるか否かを示す第1情報及びOSSが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、脆弱性のトリアージレベルを出力する。
具体的には、制御部13は、外部からアクセス可能であるOSSが有する脆弱性に対して、外部からアクセス可能でないOSSが有する脆弱性よりも高いトリアージレベルを設定する、或いは、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高いトリアージレベルを設定する。
ここで、制御部13は、脆弱性を有するOSSに対して外部からアクセス可能であるか否かを入力するユーザインタフェースを出力する出力部を構成してもよい。制御部13は、脆弱性を有するOSSを含むシステム単位で、外部からアクセス可能であるか否かを入力するユーザインタフェースを出力してもよい。ユーザインタフェースは、通信部11からユーザ端末20に送信される。ユーザインタフェースは、ユーザ端末20のディスプレイ21に表示されてもよい。
例えば、ディスプレイ21に表示されるユーザインタフェースは、図4に示す通りである。図4に示すように、ユーザインタフェースは、ソフトウェアを含むシステムの識別情報(図4では、システムA)、システムに含まれるソフトウェアの識別情報(図4では、SSS、TTT、UUU)を含む。さらに、ユーザインタフェースは、外部からアクセス可能であるか否かを入力するチェックボックスを含む。
このようなケースにおいて、Aシステムの右側に配置されたチェックボックスにチェックが入力さると、システムに含まれる全てのソフトウェアの右側に配置されたチェックボックスに自動的にチェックが入力されてもよい。同様に、Aシステムの右側に配置されたチェックボックスからチェックが削除さると、システムに含まれる全てのソフトウェアの右側に配置されたチェックボックスから自動的にチェックが削除されてもよい。すなわち、外部からアクセス可能であるか否かをシステム単位で入力可能である。但し、ソフトウェアの右側に配置されたチェックボックスに個別にチェックが入力されてもよい。同様に、ソフトウェアの右側に配置されたチェックボックスから個別にチェックが削除されてもよい。
図4に示す例において、システムは、システムサーバ30上に構築されるシステムを意味しており、システムに含まれるソフトウェアは、少なくとも1つのOSSを含む。
上述したように、制御部13は、ユーザインタフェースを用いて入力される情報(チェックボックスに対するチェックの有無)に基づいて第1情報を取得可能である。一方で、制御部13は、脆弱性情報に攻撃コードが含まれているか否かに基づいて第2情報を取得可能である。
実施形態において、制御部13は、第1情報及び第2情報の双方に基づいて、脆弱性のトリアージレベルを出力してもよい。制御部13は、第1情報及び第2情報に加えて、脆弱性の種別を示す第3情報に基づいて、脆弱性のトリアージレベルを出力してもよい。制御部13は、管理部12によって管理される脆弱性情報に第3情報が付加されるため、制御部13は、脆弱性情報に基づいて第3情報を取得可能である。制御部13は、第1情報、第2情報及び第3情報に加えて、脆弱性について第三者機関が設定する脆弱性のレベルを示す第4情報に基づいて、脆弱性のトリアージレベルを出力してもよい。脆弱性DB40から取得する脆弱性情報に第4情報が含まれるため、制御部13は、脆弱性情報に基づいて第4情報を取得可能である。
このようなケースにおいて、トリアージレベルの出力方法(判定方法)について、図5を参照しながら説明する。図5において、“○”は、各条件が満たされていることを意味し、“−”は、各条件が満たされていないことを意味する。
第1に、制御部13は、第4情報に基づいて第4条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報、第2情報及び第3情報に基づいて、脆弱性のトリアージレベルを出力してもよい。第4条件とは、脆弱性のレベルがレベル条件を満たすことである。例えば、第4情報がCVSSのBase Scoreである場合には、第4条件は、Base Scoreが所定閾値よりも高いことである。制御部13は、第4条件が満たされない脆弱性については、第1情報、第2情報及び第3情報を用いたトリアージレベルの判定を省略してもよい。ここで、制御部13は、図5に示すように、第4条件を満たしてない脆弱性については、最も低いトリアージレベル(例えば、レベル4)を出力してもよい。レベル4は、特に対策を講じる必要がないレベルであってもよい。
第2に、制御部13は、第2情報に基づいて第2条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報に基づいて、脆弱性のトリアージレベルを出力してもよい。第2条件とは、攻撃コードが流通していることである。制御部13は、第2条件が満たされない脆弱性については、第1情報を用いたトリアージレベルの判定を省略してもよい。ここで、制御部13は、図5に示すように、第2条件を満たしてない脆弱性については、2番目に低いトリアージレベル(例えば、レベル3)を出力してもよい。レベル3は、レベル4よりも対策を講じる必要性が高いレベルである。
第3に、制御部13は、第3情報に基づいて第3条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報に基づいて、脆弱性のトリアージレベルを出力してもよい。第3条件は、脆弱性の種別が種別条件を満たすことである。種別条件は、管理部12によって管理される脆弱性情報として上述したタイプが管理されていることであってもよい。或いは、種別条件は、管理部12によって管理されるタイプが所定タイプであることであってもよい。所定タイプは、脆弱性に対する対策を講じる必要性が相対的に高いタイプである。制御部13は、第3条件が満たされない脆弱性については、第1情報を用いたトリアージレベルの判定を省略してもよい。ここで、制御部13は、図5に示すように、第3条件を満たしてない脆弱性については、2番目に低いトリアージレベル(例えば、レベル3)を出力してもよい。レベル3は、レベル4よりも対策を講じる必要性が高いレベルである。
ここで、制御部13は、第2条件及び第3条件の双方が満たされていない脆弱性について、トリアージレベルとしてレベル3を出力する。しかしながら、実施形態はこれに限定されるものではない。制御部13は、第2条件及び第3条件のいずれか1つが満たされていない脆弱性について、トリアージレベルとしてレベル3を出力してもよい。同様に、制御部13は、第2条件及び第3条件の少なくともいずれか1つを満たす脆弱性を対象として、第1情報に基づいて脆弱性のトリアージレベルを出力する。しかしながら、実施形態はこれに限定されるものではない。制御部13は、第2条件及び第3条件の双方が満たされる脆弱性を対象として、第1情報に基づいて脆弱性のトリアージレベルを出力してもよい。
第4に、制御部13は、第2条件及び第3条件の少なくともいずれか1つを満たす脆弱性を対象として、第1情報に基づいて第1条件が満たされているか否かを判定してもよい。第1条件は、脆弱性を有するOSS又は脆弱性を有するOSSを含むシステムに対して外部からアクセス可能である。図5に示すように、制御部13は、第1条件が満たされる脆弱性について、最も高いトリアージレベル(例えば、レベル1)を出力する。制御部13は、第1条件を満たさない脆弱性について、2番目に高いトリアージレベル(例えば、レベル2)を出力する。レベル2は、レベル3よりも対策を講じる必要が高いレベルである。レベル1は、レベル2よりも対策を講じる必要が高いレベルである。
(表示態様)
以下において、実施形態に係る表示態様について説明する。図6は、実施形態に係るユーザ端末20のディスプレイ21に表示される表示態様について示す図である。図6に示す表示態様は一例に過ぎず、他の表示態様がディスプレイ21に表示されてもよい。
図6に示すように、ディスプレイ21は、トリアージ機能として脆弱性の一覧を表示する。IDは、脆弱性に割り振られた識別情報である。トリアージレベルは、脆弱性に対する対策を講じるべき優先度を示す情報である。ステータスは、脆弱性に対する対策を講じたか否かを示す情報である。リポジトリは、システムサーバ30においてソフトウェアが格納される場所を示す情報である。ソフトウェアは、ソフトウェアの識別情報である。スキャン日時は、脆弱性がスキャンされた日時を示す情報である。
(処理方法)
以下において、実施形態に係る処理方法について説明する。図7は、実施形態に係る処理方法を示す図である。
ステップS10において、処理装置10は、システムサーバ30上に構築されたシステムに含まれるOSSをスキャンする。詳細には、処理装置10は、管理部12によって管理される脆弱性情報に基づいて、OSSが有する脆弱性をスキャンする。
ステップS11において、処理装置10は、ステップS10で見つかった脆弱性を対象として、第4条件が満たされるか否かを判定する。第4条件の詳細は上述した通りである。第4条件が満たされる場合には、ステップS12の処理が行われ、第4条件が満たされない場合には、ステップS18の処理が行われる。
ステップS12において、処理装置10は、第4条件が満たされる脆弱性を対象として、第3条件が満たされるか否かを判定する。第3条件の詳細は上述した通りである。第3条件が満たされる場合には、ステップS14の処理が行われ、第3条件が満たされない場合には、ステップS13の処理が行われる。
ステップS13において、処理装置10は、第4条件が満たされる脆弱性を対象として、第2条件が満たされるか否かを判定する。第2条件の詳細は上述した通りである。第2条件が満たされる場合には、ステップS14の処理が行われ、第2条件が満たされない場合には、ステップS17の処理が行われる。
ステップS14において、処理装置10は、第2条件及び第3条件のいずれか1つが満たされる脆弱性を対象として、第1条件が満たされるか否かを判定する。第1条件の詳細は上述した通りである。第1条件が満たされる場合には、ステップS15の処理が行われ、第1条件が満たされない場合には、ステップS16の処理が行われる。
ステップS15において、処理装置10は、脆弱性のトリアージレベルがレベル1であると判定する。レベル1の詳細は上述した通りである。
ステップS16において、処理装置10は、脆弱性のトリアージレベルがレベル2であると判定する。レベル2の詳細は上述した通りである。
ステップS17において、処理装置10は、脆弱性のトリアージレベルがレベル3であると判定する。レベル3の詳細は上述した通りである。
ステップS18において、処理装置10は、脆弱性のトリアージレベルがレベル4であると判定する。レベル4の詳細は上述した通りである。
なお、ステップS11〜ステップS18の処理は、ステップS10で見つかった脆弱性の全てに対して個別に行われる。また、ステップS12及びステップS13の順序が入れ替えられてもよい。
(作用及び効果)
実施形態では、処理装置10は、外部からアクセス可能であるOSSが有する脆弱性に対して、外部からアクセス可能でないOSSが有する脆弱性よりも高いトリアージレベルを設定する。或いは、処理装置10は、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高いトリアージレベルを設定する。すなわち、外部からアクセス可能でないOSSが有する脆弱性については、その対策を講じる緊急性が低いため、その影響が大きいとしても、その対策を直ちに講じる必要がないという判定を行うことができる。攻撃コードが流通していない脆弱性についても同様の判定を行うことができる。従って、上述した構成によれば、OSSを使わない、OSSをバージョンアップするなどの対策を想定した場合において、脆弱性を有するOSSの扱いを判定するための指標として、適切なトリアージレベルを設定することができる。
実施形態では、処理装置10は、脆弱性を有するOSSに対して外部からアクセス可能であるか否かを入力するユーザインタフェースを出力してもよい。このような構成によれば、処理装置10が簡易な構成で第1情報を取得することができる。さらに、ユーザインタフェースは、脆弱性を有するOSSを含むシステム単位で、外部からアクセス可能であるか否かを入力するユーザインタフェースであってもよい。このような構成によれば、ユーザの入力の煩雑さを抑制することができる。
実施形態では、処理装置10は、第4情報に基づいて第4条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報、第2情報及び第3情報に基づいて、脆弱性のトリアージレベルを出力してもよい。このような構成によれば、第4条件が満たされていない脆弱性について、第1情報、第2情報及び第3情報を用いた判定を省略することができ、処理装置10の処理負荷を軽減することができる。
実施形態では、処理装置10は、第2条件及び第3条件の少なくともいずれか1つを満たす脆弱性を対象として、第1情報に基づいて第1条件が満たされているか否かを判定してもよい。このような構成によれば、第2条件及び第3条件の双方が満たされない脆弱性について、第1情報を用いた判定を省略することができ、処理装置10の処理負荷を軽減することができる。
[その他の実施形態]
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
実施形態では、トリアージレベルのレベル数が4つであるケースを例示した。しかしながら、実施形態はこれに限定されるものではない。トリアージレベルのレベル数は5つ以上であってもよく、トリアージレベルのレベル数は3つ以下であってもよい。
実施形態では、第2条件及び第3条件の重要度が同程度であるケースを例示した。しかしながら、実施形態はこれに限定されるものではない。第2条件の重要度が第3条件の重要度よりも高くてもよい。このようなケースでは、第2条件が満たされる脆弱性のトリアージレベルは、第3条件が満たされるトリアージレベルよりも高くてもよい。同様に、第3条件の重要度が第2条件の重要度よりも高くてもよい。このようなケースでは、第3条件が満たされる脆弱性のトリアージレベルは、第2条件が満たされるトリアージレベルよりも高くてもよい。
実施形態では、脆弱性を有するOSSに対して外部からアクセス可能であるか否かを入力するユーザインタフェースが出力されるケースを例示した。しかしながら、実施形態は、これに限定されるものではない。処理装置10は、システムサーバ30上に構築されるシステムの学習(例えば、深層学習)によって、OSSに対して外部からアクセス可能であるか否かを自動的に判定してもよい。さらには、ユーザインタフェースは、自動的に判定された結果を初期値として含んでもよい。
実施形態では、処理装置10が1つの装置であるケースを例示した。しかしながら、実施形態はこれに限定されるものではない。処理装置10が有する機能は、2以上のエンティティによって実現されてもよい。2以上のエンティティは、クラウドコンピューティングサービスを提供するエンティティを含んでもよい。また、管理部12は、処理装置10とは別に設けられるクラウド上のデータベースであってもよい。
実施形態では特に触れていないが、処理装置10が行う各処理をコンピュータに実行させるプログラムが提供されてもよい。また、プログラムは、コンピュータ読取り可能媒体に記録されていてもよい。コンピュータ読取り可能媒体を用いれば、コンピュータにプログラムをインストールすることが可能である。ここで、プログラムが記録されたコンピュータ読取り可能媒体は、非一過性の記録媒体であってもよい。非一過性の記録媒体は、特に限定されるものではないが、例えば、CD−ROMやDVD−ROM等の記録媒体であってもよい。
或いは、処理装置10が行う各処理を実行するためのプログラムを記憶するメモリ及びメモリに記憶されたプログラムを実行するプロセッサによって構成されるチップが提供されてもよい。
10…処理装置、11…通信部、12…管理部、13…制御部、20…ユーザ端末、21…ディスプレイ、30…システムサーバ、40…脆弱性DB、100…処理システム

Claims (7)

  1. 公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理装置であって、
    前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記脆弱性について第三者機関が設定する前記脆弱性のレベルを示す第4情報に基づいて、前記脆弱性の優先度を出力する制御部を備え、
    前記制御部は、前記第4情報に基づいて前記脆弱性のレベルがレベル条件を満たす脆弱性を特定し、前記第4情報に基づいて特定された脆弱性を対象として、前記第1情報に基づいて前記前記脆弱性の優先度を出力し、
    前記制御部は、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、処理装置。
  2. 前記第1情報を入力するためのユーザインタフェースを出力する出力部を備える、請求項1に記載の処理装置。
  3. 前記出力部は、前記脆弱性を有する前記公開ソフトウェアを含むシステム単位で、前記ユーザインタフェースを出力する、請求項2に記載の処理装置。
  4. 前記制御部は、前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報に基づいて前記脆弱性の優先度を出力し、
    前記制御部は、前記第4情報に基づいて特定された脆弱性を対象として、前記第1情報及び前記第2情報に基づいて前記前記脆弱性の優先度を出力する、請求項1乃至請求項3のいずれか1項に記載の処理装置。
  5. 前記公開ソフトウェアが有する脆弱性に関する脆弱性情報を格納するデータベースから前記脆弱性情報を受信する受信部を備え、
    前記制御部は、前記第4情報に基づいて特定された脆弱性を対象として、前記第1情報及び第2情報に加えて、前記脆弱性の種別を示す第3情報に基づいて、前記脆弱性の優先度を出力し、
    前記脆弱性の種別は、前記データベースから受信する前記脆弱性情報の加工によって得られ、前記脆弱性に対する対策を講じる必要性を示す種別である、請求項4に記載の処理装置。
  6. 前記制御部は、前記第4情報に基づいて特定された脆弱性を対象として、前記第2情報に基づい前記攻撃コードが流通している脆弱性を特定し、或いは、前記第3情報に基づい前記脆弱性の種別が種別条件を満たす脆弱性を特定し、
    前記制御部は、前記第2情報又は前記第3情報に基づいて特定された脆弱性を対象として、前記第1情報に基づい前記脆弱性の優先度を出力する、請求項に記載の処理装置。
  7. 公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理方法であって、
    前記脆弱性を判定する処理装置が、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記脆弱性について第三者機関が設定する前記脆弱性のレベルを示す第4情報に基づいて、前記脆弱性の優先度を出力するステップAを備え、
    前記ステップAは、前記第4情報に基づいて前記脆弱性のレベルがレベル条件を満たす脆弱性を特定し、前記第4情報に基づいて特定された脆弱性を対象として、前記第1情報に基づいて前記前記脆弱性の優先度を出力するステップを含み、
    前記ステップAは、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定するステップを含む、処理方法。
JP2019099506A 2019-05-28 2019-05-28 処理装置及び処理方法 Active JP6678798B1 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019099506A JP6678798B1 (ja) 2019-05-28 2019-05-28 処理装置及び処理方法
PCT/JP2020/018232 WO2020241171A1 (ja) 2019-05-28 2020-04-30 処理装置及び処理方法
US17/535,951 US20220083670A1 (en) 2019-05-28 2021-11-26 Processing device and processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019099506A JP6678798B1 (ja) 2019-05-28 2019-05-28 処理装置及び処理方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2020046036A Division JP7008922B2 (ja) 2020-03-17 2020-03-17 処理装置及び処理方法

Publications (2)

Publication Number Publication Date
JP6678798B1 true JP6678798B1 (ja) 2020-04-08
JP2020194344A JP2020194344A (ja) 2020-12-03

Family

ID=70057943

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019099506A Active JP6678798B1 (ja) 2019-05-28 2019-05-28 処理装置及び処理方法

Country Status (3)

Country Link
US (1) US20220083670A1 (ja)
JP (1) JP6678798B1 (ja)
WO (1) WO2020241171A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023150065A1 (en) * 2022-02-02 2023-08-10 Lacework, Inc. Monitoring a cloud environment
JP7470856B1 (ja) 2023-11-02 2024-04-18 株式会社アシュアード 情報処理装置及び情報処理方法

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8589541B2 (en) * 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US9647918B2 (en) * 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US9253663B2 (en) * 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US8893009B2 (en) * 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
JP2012208863A (ja) * 2011-03-30 2012-10-25 Hitachi Ltd 脆弱性判定システム、脆弱性判定方法、および、脆弱性判定プログラム
US9141805B2 (en) * 2011-09-16 2015-09-22 Rapid7 LLC Methods and systems for improved risk scoring of vulnerabilities
US8984643B1 (en) * 2014-02-14 2015-03-17 Risk I/O, Inc. Ordered computer vulnerability remediation reporting
US20170026401A1 (en) * 2015-07-24 2017-01-26 ERPScan B.V. System and method for threat visualization and risk correlation of connected software applications
US10715542B1 (en) * 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10084811B1 (en) * 2015-09-09 2018-09-25 United Services Automobile Association (Usaa) Systems and methods for adaptive security protocols in a managed system
US10783241B2 (en) * 2015-10-28 2020-09-22 Qomplx, Inc. System and methods for sandboxed malware analysis and automated patch development, deployment and validation
US9824216B1 (en) * 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10296748B2 (en) * 2016-02-25 2019-05-21 Sas Institute Inc. Simulated attack generator for testing a cybersecurity system
US10785234B2 (en) * 2016-06-22 2020-09-22 Cisco Technology, Inc. Dynamic packet inspection plan system utilizing rule probability based selection
US10116681B2 (en) * 2016-12-21 2018-10-30 Denim Group, Ltd. Method of detecting shared vulnerable code
US10534915B2 (en) * 2017-06-29 2020-01-14 Aqua Security Software, Ltd. System for virtual patching security vulnerabilities in software containers
KR102153926B1 (ko) * 2017-08-10 2020-09-10 한국전자통신연구원 네트워크 보안 강화 장치 및 그 방법
US10678954B2 (en) * 2017-09-21 2020-06-09 GM Global Technology Operations LLC Cybersecurity vulnerability prioritization and remediation
US10999301B2 (en) * 2017-11-27 2021-05-04 International Business Machines Corporation Methods, systems, and program product for analyzing cyber-attacks based on identified business impacts on businesses
US20190188342A1 (en) * 2017-12-18 2019-06-20 Raytheon Company Methods and apparatus for hazard abatement using normalized effect analysis
US10735451B1 (en) * 2018-02-20 2020-08-04 Sprint Communications Company L.P. Systems and methods for maintaining IT infrastructure security and compliance with security policies and regulations
US20190354913A1 (en) * 2018-05-17 2019-11-21 Tata Consultancy Services Limited Method and system for quantifying quality of customer experience (cx) of an application
US10749890B1 (en) * 2018-06-19 2020-08-18 Architecture Technology Corporation Systems and methods for improving the ranking and prioritization of attack-related events
US11036865B2 (en) * 2018-07-05 2021-06-15 Massachusetts Institute Of Technology Systems and methods for risk rating of vulnerabilities
US10970400B2 (en) * 2018-08-14 2021-04-06 Kenna Security, Inc. Multi-stage training of machine learning models
US10771493B2 (en) * 2018-09-18 2020-09-08 International Business Machines Corporation Cognitive security exposure analysis and resolution based on security trends
US11057418B2 (en) * 2018-10-15 2021-07-06 International Business Machines Corporation Prioritizing vulnerability scan results
US11128654B1 (en) * 2019-02-04 2021-09-21 Architecture Technology Corporation Systems and methods for unified hierarchical cybersecurity
US11356466B2 (en) * 2019-03-07 2022-06-07 Microsoft Technology Licensing, Llc Reconstructing network activity from sampled network data using archetypal analysis
US11843621B2 (en) * 2019-03-08 2023-12-12 Forescout Technologies, Inc. Behavior based profiling
US11550919B2 (en) * 2020-02-24 2023-01-10 EMC IP Holding Company LLC Prioritizing patching of vulnerable components
US11477231B2 (en) * 2020-06-10 2022-10-18 Saudi Arabian Oil Company System and method for vulnerability remediation prioritization
US20230019180A1 (en) * 2021-07-08 2023-01-19 Bugcrowd Inc. Automated Prediction Of Cybersecurity Vulnerabilities

Also Published As

Publication number Publication date
US20220083670A1 (en) 2022-03-17
WO2020241171A1 (ja) 2020-12-03
JP2020194344A (ja) 2020-12-03

Similar Documents

Publication Publication Date Title
EP3195560B1 (en) Lateral movement detection
EP3504659B1 (en) Computing device protection based on device attributes and device risk factor
US9202057B2 (en) Systems and methods for identifying private keys that have been compromised
US11824878B2 (en) Malware detection at endpoint devices
US20190312908A1 (en) Cyber chaff using spatial voting
US11386216B2 (en) Verification of privacy in a shared resource environment
JP6678798B1 (ja) 処理装置及び処理方法
WO2013142573A1 (en) System and method for crowdsourcing of mobile application reputations
US10726131B2 (en) Systems and methods for mitigation of permanent denial of service attacks
US10783277B2 (en) Blockchain-type data storage
US11201891B2 (en) Prioritization of remediation actions for addressing vulnerabilities in an enterprise system
US9984228B2 (en) Password re-usage identification based on input method editor analysis
JP2018196054A (ja) 評価プログラム、評価方法および情報処理装置
US8925091B2 (en) System and method for evaluation in a collaborative security assurance system
JP7008922B2 (ja) 処理装置及び処理方法
JP7086261B1 (ja) 処理装置及び処理方法
US11669615B2 (en) Skewness in indicators of compromise
US20220391713A1 (en) Storage medium, information processing method, and information processing apparatus
US8825651B1 (en) Determining a group of related products on a computing device
CN112437093B (zh) 安全状态的确定方法、装置及设备
US20230289442A1 (en) Computer-implemented automatic security methods and systems
US20230252157A1 (en) Techniques for assessing container images for vulnerabilities
WO2023175756A1 (ja) ポリシ制御装置、ゼロトラストシステム、ポリシ制御方法、および、ポリシ制御プログラム
JP2023030702A (ja) 処理装置及び処理方法
JP6473122B2 (ja) 情報管理システム、情報管理方法及び情報管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190529

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190529

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20190704

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190909

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191108

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200217

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200317

R150 Certificate of patent or registration of utility model

Ref document number: 6678798

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250