JP6716995B2 - Information processing apparatus, information processing method, and program - Google Patents
Information processing apparatus, information processing method, and program Download PDFInfo
- Publication number
- JP6716995B2 JP6716995B2 JP2016065697A JP2016065697A JP6716995B2 JP 6716995 B2 JP6716995 B2 JP 6716995B2 JP 2016065697 A JP2016065697 A JP 2016065697A JP 2016065697 A JP2016065697 A JP 2016065697A JP 6716995 B2 JP6716995 B2 JP 6716995B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- component
- unit
- security risk
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、情報処理装置、情報処理方法、およびプログラムに関する。 The present invention relates to an information processing device, an information processing method, and a program.
多くのシステムは、複数の構成要素から構成される。構成要素は例えばネットワークを構成するネットワーク装置と、当該ネットワークに接続された装置である。ネットワークに接続された装置は例えばプリンタやサーバ等である。ネットワークに接続された装置は、脆弱性や外部からのサイバー攻撃によって生じる脅威などに対するセキュリティ上の問題を有する。セキュリティ上の問題は、情報セキュリティリスク、又は、単にセキュリティリスクとも呼ばれる。システムを安全に運用するために、セキュリティリスクを有する装置がネットワーク上に存在するか否かを調査し、必要な対策を講じる技術がある。ネットワーク装置と、ネットワークに接続された装置とを含むシステムにおいて、ネットワーク装置の管理者と、当該ネットワークに接続された装置の管理者とが異なる管理者である場合が多い。装置の管理者とネットワークの管理者とが分かれている運用において、ある装置にセキュリティリスクが存在し、当該セキュリティリスクへの対策としてネットワークの設定変更を行う必要がある場合、例えばファイアウォールを有効にすることにより通信を制限する必要がある場合等は、セキュリティリスクが存在する装置の管理者がネットワーク装置の管理者に連絡し、当該連絡を受けたネットワーク装置の管理者が必要な対策を講じることになる。 Many systems are composed of multiple components. The components are, for example, a network device that constitutes a network and a device connected to the network. The device connected to the network is, for example, a printer or a server. The devices connected to the network have security problems against vulnerabilities and threats caused by cyber attacks from the outside. Security issues are also called information security risks, or simply security risks. In order to operate the system safely, there is a technique for investigating whether a device having a security risk exists on the network and taking necessary measures. In a system including a network device and a device connected to a network, the administrator of the network device and the manager of the device connected to the network are often different administrators. In the operation where the device administrator and the network administrator are separated, if a device has a security risk and it is necessary to change the network settings as a countermeasure against the security risk, for example, enable the firewall. If it is necessary to restrict communication due to such reasons, the administrator of the device with the security risk should contact the administrator of the network device, and the administrator of the network device that receives the contact shall take necessary measures. Become.
関連技術には、以下の特許文献1及び2がある。
Related art includes the following
特許文献1には、複数のWebサービスを連携させる場合に発生するセキュリティリスクに関する情報を提示するセキュリティリスク情報提供装置が開示されている。当該セキュリティリスク情報提供装置は、Webサービス提供装置により提供されるサービスを利用する際のセキュリティポリシを設定する。そして、ユーザにより利用されるサービスの利用状況を示すサービス利用状況情報及びユーザにより利用されるサービス間の連携情報を示すサービス連携情報を用いて、ユーザのサービス利用状況がセキュリティポリシに適合しているかを判定する。
特許文献2には、管理計算機上のボリューム管理範囲と、ストレージ内のストレージ分割によるボリューム管理範囲との不一致を検出する管理計算機が開示されている。当該管理計算機は、ユーザの管理対象として複数のボリュームが指定されたとき、指定された複数のボリュームが属するボリュームグループの識別子をストレージから取得する。そして、ボリュームグループの識別子とユーザの識別子との対応を格納するストレージ管理情報を参照し、取得したボリュームグループが同一のユーザの管理範囲となるか否か判定する。
セキュリティリスクに対しては一刻でも早く対策を講じる必要がある場合がある。しかし、上述のようにシステムを構成する複数の構成要素のそれぞれの管理者が分かれている場合、一の構成要素のセキュリティリスクへの対処として他の構成要素における作業を行う必要があるときに早急に対策を講じることができないという問題があった。 It may be necessary to take measures against security risks as soon as possible. However, as described above, when the administrator of each of the plurality of constituent elements of the system is divided, when it is necessary to perform work on another constituent element as a countermeasure for the security risk of one constituent element, it is urgent. There was a problem that I could not take measures.
特許文献1及び2には、当該問題を解決する手段が開示されていない。
本発明の目的は、上述の課題を解決する情報処理装置、情報処理方法、およびプログラムを提供することにある。 An object of the present invention is to provide an information processing device, an information processing method, and a program that solve the above problems.
本発明の情報処理装置は、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定部と、第1の構成要素の管理者から、第2の構成要素における前記対処の指示情報を受け付ける受付部と、指示情報に基づいて、対処を実行する実行部と、を備える。 The information processing apparatus of the present invention includes a specifying unit that specifies a second constituent element related to coping with a security risk related to the first constituent element, and an administrator of the first constituent element from the second constituent element. A receiving unit that receives instruction information for coping and an execution unit that executes coping based on the instruction information are provided.
本発明の情報処理方法は、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定ステップと、第1の構成要素の管理者から、第2の構成要素における対処の指示情報を受け付ける受付ステップと、指示情報に基づいて、対処を実行する実行ステップと、を含む。 According to the information processing method of the present invention, a specific step of identifying a second component related to dealing with a security risk relating to the first component, and a countermeasure in the second component from an administrator of the first component. And a step of executing a countermeasure based on the instruction information.
本発明のプログラムは、コンピュータに、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定処理と、第1の構成要素の管理者から、第2の構成要素における対処の指示情報を受け付ける受付処理と、指示情報に基づいて、対処を実行する実行処理と、を実行させる。 The program of the present invention allows a computer to perform a specific process of identifying a second constituent element related to coping with a security risk related to the first constituent element, and an administrator of the first constituent element from the second constituent element. A reception process for receiving handling instruction information and an execution process for performing handling based on the instruction information are executed.
本発明によれば、所定の管理者が管理する構成要素のセキュリティリスクに対処するために、当該管理者からの指示に基づいて、当該管理者が管理する構成要素以外の構成要素における対処を実行することのできる情報処理装置、情報処理方法及びプログラムを提供することができる。 According to the present invention, in order to deal with a security risk of a component managed by a predetermined administrator, a countermeasure is performed on a component other than the component managed by the administrator based on an instruction from the administrator. It is possible to provide an information processing device, an information processing method, and a program that can be performed.
[第1の実施形態]
[処理構成]
図1は、第1の実施形態にかかるシステム1000の構成を示す図である。システム1000は、情報処理装置100、構成要素200及び構成要素300を含む。
[First Embodiment]
[Processing configuration]
FIG. 1 is a diagram showing a configuration of a
構成要素200及び構成要素300は、Information Technology基盤の構成要素(configuration item; CI)である。構成要素200及び構成要素300は、例えばコンピュータ、サーバ、プリンタ等の装置である。また、構成要素200及び構成要素300は、サービス、ソフトウェア、オペレーティングシステム、アプリケーション等装置以外の構成要素であってもよい。管理者が別れている運用の例として、ネットワーク装置の管理者と、当該ネットワークに接続された装置の管理者とが異なる管理者である運用がある。また、管理者が別れている運用の他の例として、ウェブサイト管理者とサーバ管理者とが別の管理者である運用がある。ウェブサイト管理者とサーバ管理者とが別の管理者である運用において、例えば、ディレクトリのパーミッションの設定に関する権限はウェブサイト管理者に与えられていないが、ウェブサイトのセキュリティリスクに即対処するために、ウェブサイト管理者がサーバのCドライブのパーミッションの設定をする必要がある場合がある。
The
ここで、セキュリティリスクは、構成要素200に存在する脆弱性、構成要素200に対する外部からの攻撃によって生じる脅威、または、非セキュアな運用設定(セキュリティリスクに対して弱い設定)のまま運用される場合のリスクを含む。また対処とは、セキュリティリスクを解消、回避、または低減させる措置である。
Here, the security risk is a vulnerability existing in the
図2は、第1の実施形態にかかる情報処理装置100の構成を示す図である。情報処理装置100は、特定部101、受付部102及び実行部103を備える。
FIG. 2 is a diagram showing the configuration of the
特定部101は、構成要素200に関するセキュリティリスクに対する対処に関連する構成要素を特定する。特定部101による特定方法の例について説明する。先述のネットワーク装置の管理者と、当該ネットワークに接続された装置の管理者とが異なる管理者である運用では、構成要素200がネットワークに接続された装置(第1の装置)であり、構成要素300がネットワーク装置(第2の装置)である。特定部101は、例えば、第1の装置の通信ログを参照し、セキュリティリスクに関係する通信の履歴がある第2の装置を対処に関連する装置として特定する。また、特定部101は、システムのトポロジ情報を参照して、第1の装置のネットワークに関する対処を実施する場合に対応する第2の装置を特定する。例えばネットワークに関する対処が「外部端末からの第1の装置の特定ポートに対するアクセスの閉塞」であれば、第1の装置と外部端末とが通信する際に通過するファイアウォール装置、又はファイアウォール機能を有するネットワーク装置を、システムのトポロジ情報に基づいて特定して、特定された装置を第2の装置とする。システムのトポロジ情報は、装置間のネットワーク接続関係や、装置とディスク等周辺機器との接続関係、ネットワークにおける自ドメインの範囲、などを示す情報である。システムのトポロジ情報は、外部のサブシステムから特定部101が適宜必要に応じて参照ないし取得するように構成してもよい。外部のサブシステムは、例えば、ネットワークの物理および論理構成、及び、装置と周辺機器の関係の少なくとも一部を含む情報を、ユーザの入力により蓄積し、又は、ディスカバリ機能により発見して、保持することができる。また、ウェブサイト管理者とサーバ管理者とが別の管理者である運用では、構成要素200がアプリケーションであり、構成要素300がサーバである。ウェブサイトへの攻撃が発生した場合、特定部101は、当該ウェブサイトに関連するアプリケーションが稼働するサーバを当該攻撃に対する対処に関連する装置として特定する。
The identifying
受付部102は、構成要素200の管理者から、構成要素300における対処の指示情報を受け付ける。
The accepting
実行部103は、受付部102が受け付けた指示情報に基づいて、対処を実行する。
The
[動作]
図3は、情報処理装置100の動作を説明するフローチャートである。
[motion]
FIG. 3 is a flowchart illustrating the operation of the
特定部101は、構成要素200に関するセキュリティリスクに対する対処に関連する構成要素300を特定する(ステップS11)。受付部102は、構成要素200の管理者から、構成要素300における対処の指示情報を受け付ける(ステップS13)。実行部103は、ステップS13で受付部103が受け付けた指示情報に基づいて、対処を実行する(ステップS15)。
The identifying
[効果]
本実施形態の情報処理装置100によれば、所定の管理者が管理する構成要素のセキュリティリスクに対処するために、当該管理者からの指示に基づいて、当該管理者が管理する構成要素以外の構成要素における対処を実行することができる。その結果、システムを構成する複数の構成要素のそれぞれの管理者が分かれている場合であっても、一の構成要素のセキュリティリスクへの対処として他の構成要素における作業を行う必要があるときに早急に対策を講じることができる。
[effect]
According to the
[第2の実施形態]
[処理構成]
図4は、第2の実施形態にかかるシステム2000の構成を示す図である。システム2000は、情報処理装置110及び装置210を含む。情報処理装置110及び装置210はネットワーク310に接続されている。本実施形態では、装置210が第1の実施形態における構成要素200に対応し、ネットワーク310が第1の実施形態における構成要素300に対応する。なお、ネットワーク310は、ネットワーク装置を含む。
[Second Embodiment]
[Processing configuration]
FIG. 4 is a diagram showing the configuration of the
図5は情報処理装置110の構成を示す図である。情報処理装置110は、装置210のセキュリティリスクを管理する装置である。情報処理装置110は、取得部111、格納部112、受付部113、解析部114、判定部115及び実行部116を備える。
FIG. 5 is a diagram showing the configuration of the
取得部111は、装置210のセキュリティリスクの調査結果を取得する。セキュリティリスクの調査とは、例えば各ベンダーなどから提供される、セキュリティリスクおよびその対処などを示す情報に基づいて行われる調査であり、装置210の調査部212(後述)で行われる調査である。以降、セキュリティリスクおよびその対処などを示す情報をセキュリティリスク情報とも表記する。セキュリティリスク情報には各ベンダーや調査機関から提供された装置の脆弱性情報が含まれていてもよい。セキュリティリスクには装置の非セキュアな運用設定に関する情報が含まれていてもよい。セキュリティリスクの調査結果は、セキュリティリスクを有する装置210、セキュリティリスクの種類及びその対処を示す情報を含む。取得部111は、装置210が情報処理装置110からの調査依頼に応じて行ったセキュリティリスク調査の結果を装置210から取得してもよい。また、取得部111は、装置210が情報処理装置110以外の装置からの調査依頼に応じて、あるいは独自に行ったセキュリティリスク調査の結果を取得してもよい。また、システム2000内に、情報処理装置110及び装置210とは別に格納装置を備え、当該格納装置に装置210におけるセキュリティリスク調査の結果を格納してもよい。この場合、取得部111は、当該格納装置からセキュリティリスク調査の結果を取得する。
The
セキュリティリスクの調査結果を取得した情報処理装置110は、セキュリティリスクの調査結果を装置の管理者に通知することができる。通知方法としては、装置210の表示部(不図示)に表示する方法や、管理者宛てに電子メールを送付する方法がある。
The
格納部112は、取得部111が取得した調査結果に含まれるセキュリティリスクに対して適用可能な対処が装置210ごとに対応づけられた構成要素別対処情報10を格納する。図6を参照すると、構成要素別対処情報10は、セキュリティリスクの調査識別子(調査ID)11、装置識別子(装置ID)12及び適用可能な対処13が対応づけられた情報である。適用可能な対処13は、セキュリティリスクを有する装置210に当該対処を適用した場合に、当該セキュリティリスクが解消する対処をいう。構成要素別対処情報10は、例えば各ベンダーなどから提供される、セキュリティリスクの種類及びその対処法などを示す情報(セキュリティリスク情報)に基づいて装置210を調査することで生成される。また、格納部112は、装置210の管理者の識別子である管理者識別子(管理者ID)21と装置ID22とが対応づけられた情報20を格納する。図6を参照すると、例えば管理者ID21「user01」で識別される管理者は、装置ID「A」及び「B」で識別される装置210に関する操作や情報取得が可能である。装置ID12及び装置ID22は、装置210の製造番号、Media Access Controlアドレス、Internet Protocol(IP)アドレスあるいは装置210が備えるポートの番号である。
The
受付部113は、ネットワークの設定変更に関する指示情報と管理者ID21とを管理者から受け付ける。ネットワークの設定変更に関する指示情報は、例えば「装置Aについて、IPアドレス123.456.7.8からの通信を遮断する」、「装置BのポートBBを閉じる」等の内容の指示情報である。受付部113は、第1の実施形態にかかる情報処理装置100の受付部102に対応する。
The accepting
解析部114は、受付部113が受け付けた指示情報を解析し、格納部112を参照して、当該指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含むか否か判定する。これは、受付部113が受け付けた、ネットワークの設定変更に関する指示情報がセキュリティリスクへの対処上適用可能でない指示情報を含む場合に、ネットワークの設定変更に関する権限を装置210の管理者にむやみに付与しないようにするためである。図6を用いて解析部114の処理を具体的に説明すると、受付部113が受け付けた指示情報に含まれる装置ID12をキーとして適用可能な対処13を検索し、検索した対処13と、受付部113が受け付けた指示情報に含まれる対処と比較する。
The
判定部115は、受付部113が受け付けた指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含む場合に、格納部112を参照して、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しいか否か判定する。
The
解析部114及び判定部115は、第1の実施形態の情報処理装置100における特定部101に対応する。
The
実行部116は、判定部115による判定の結果、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しい場合に、受付部113が受け付けた対処指示情報に基づいて対処を実行する。ネットワークに対する設定変更としては、ファイアウォールの設定を変更することで特定のIPアドレスからの通信を遮断することや、特定のポートを閉じることなどが挙げられる。実行部116は、第1の実施形態の情報処理装置100における実行部103に対応する。
As a result of the determination by the
装置210は、クライアントパーソナルコンピュータ(以下、パソコンと表記する)やサーバ、プリンタ等の装置である。ただし、装置210は、ここで挙げた例に限定されない。装置210は、通信部211及び調査部212を備える。
The
通信部211は、ネットワーク310を介して外部装置(例えば情報処理装置110)と通信を行う。通信部211は、各ベンダーなどから提供されるセキュリティリスク情報を取得する。
The
調査部212は、装置210のOperating System(OS)の種別、OSのバージョン、装置210にインストールされている各種アプリケーションに関する情報と、通信部211が取得したセキュリティリスク情報などとを照らし合わせて、セキュリティリスクのある装置210を調査する。
The
なお、調査部212がセキュリティリスクの調査を行う代わりに、情報処理装置110または他の装置に調査部を設け、当該調査部が調査をおこなってもよい。情報処理装置110または他の装置の調査部がセキュリティリスクの調査を行う場合、装置210は、情報処理装置110または他の装置の調査部に調査に必要な情報を送信する。調査に必要な情報とは、例えば装置210上で稼働するOSやアプリケーションのプロダクトバージョン等である。調査に必要な情報の送信の形態は、Push式でもPull式でもよい。例えば装置210がパソコンである場合、当該パソコンにインストールされたエージェントソフトウェアにより調査に必要な情報の送信を実現することができる。また、装置210がプリンタやネットワーク機器である場合、Simple Network Management Protocolサーバにより調査に必要な情報の送信を実現することができる。
It should be noted that instead of the
ネットワーク310は、Local Area Networkでもよいし、インターネットや電話回線網、衛星通信等の公衆回線網でもよい。
The
[ハードウェア構成]
図7は、情報処理装置110のハードウェア構成を示す図である。情報処理装置110は、プロセッサ110a、メモリ110b、ストレージ110c、入出力インタフェース(入出力I/F)110d及び通信インタフェース(通信I/F)110eを備える。プロセッサ110a、メモリ110b、ストレージ110c、入出力インタフェース110d及び通信インタフェース110eは、相互にデータを送受信するためのデータ伝送路110fで接続されている。
[Hardware configuration]
FIG. 7 is a diagram showing a hardware configuration of the
プロセッサ110aは、例えばCentral Processing UnitやGraphics Processing Unitなどの演算処理装置である。プロセッサ110aは、後述するストレージ110cに格納されている各プログラムを実行することで、各処理部の機能をそれぞれ実現する。ここで、プロセッサ110aは、各プログラムを実行する際、これらのプログラムを後述するメモリ110b上に読み出してから実行しても良いし、メモリ110b上に読み出さずに実行しても良い。
The
メモリ110bは、例えばRandom Access Memory(RAM)やRead Only Memory(ROM)などのメモリである。
The
ストレージ110cは、例えばHard Disk Drive、Solid State Drive、又はメモリカードなどの記憶装置である。また、ストレージ110cは、RAMやROM等のメモリであってもよい。ストレージ110cは、各処理部の機能を実現するプログラムを格納する。
The
通信インタフェース110eは、外部装置や外部ネットワークとの間でデータを送受信する。通信インタフェース110eは、例えば有線ネットワーク又は無線ネットワークを介して外部装置や外部ネットワークと通信する。なお、情報処理装置110のハードウェア構成は、図7に示される構成に制限されない。
The
[動作]
図8を用いて、情報処理装置110の動作を説明する。
[motion]
The operation of the
図4及び8を参照すると、取得部111は、装置210のセキュリティリスクの調査結果を取得する(ステップS21)。受付部113は、ネットワークの設定変更に関する指示情報と管理者ID21とを管理者から受け付ける(ステップS23)。指示情報と管理者ID21とを管理者から受け付けなかった場合(ステップS23でno)、情報処理装置110は動作を終了する。指示情報と管理者ID21とを管理者から受け付けた場合(ステップS23でyes)、解析部114は、受付部113が受け付けた指示情報を解析し、格納部112を参照して、当該指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含むか否か判定する(ステップS25)。
Referring to FIGS. 4 and 8, the
ステップS25における解析の結果、受付部113が受け付けた指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含まない場合(ステップS25でno)、情報処理装置110は動作を終了する。受付部113が受け付けた指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含む場合(ステップS25でyes)、判定部115は、格納部112を参照して、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しいか否か判定する(ステップS27)。
As a result of the analysis in step S25, when the instruction information received by the
ステップS27における判定の結果、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しい場合に(ステップS27でyes)、実行部116は、受付部113が受け付けた指示情報に基づいてネットワークに対する設定変更を実行する(ステップS29)。受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しくない場合(ステップS27でno)、情報処理装置110は動作を終了する。
As a result of the determination in step S27, when the correspondence between the
[効果]
第2の実施形態にかかる情報処理装置110によれば、所定の管理者が管理する構成要素のセキュリティリスクに対処するために、当該管理者からの指示に基づいて、当該管理者が管理する構成要素以外の構成要素における対処を実行することができる。
[effect]
According to the
[第3の実施形態]
[処理構成]
図9は、第3の実施形態にかかる情報処理装置120の構成を示す図である。情報処理装置120は、取得部121、格納部122、受付部123、解析部124、判定部125及び実行部126を備える。特に説明をしない構成については、第1及び第2の実施形態にかかる情報処理装置100及び情報処理装置110と同様の構成とする。
[Third Embodiment]
[Processing configuration]
FIG. 9 is a diagram showing the configuration of the
取得部121は、セキュリティリスクの調査結果の他、装置220の稼働情報を取得する。稼働情報とは、装置220で行われた動作や処理の履歴を示す情報(稼働履歴情報)、又は、装置220でこれから行われる予定の動作や処理を示す情報(稼働予定情報)の少なくとも一方を含む情報である。これらの稼働情報は、装置220での所定の動作や処理の実行または所定の動作や処理の実行予定の入力に応じて、装置220で生成されて装置220の格納部122に格納される。
The
判定部125は、受付部123が受け付けた指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含む場合に、格納部122を参照して、受付部123が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しいか否か判定する。また、判定部125は、取得部121が取得した稼働情報に基づいて、セキュリティリスクに対する対処の推奨実行時刻(対処推奨時刻)を算出する。セキュリティリスクへの対処としてファイアウォールの設定変更やポートの閉鎖という対処が必要である場合、これらの対処の実行にともない装置220の再起動が必要となる場合がある。例えば、取得部121が取得した稼働情報において毎週木曜日に再起動を行っている装置220の場合、当該定期的な再起動のタイミングに合わせてセキュリティリスクへの対処を実行し、対処の実行にともなう再起動を行うと効率がよい。
The
実行部126は、適用可能な対処を判定部125が算出した実行時刻に実行する。
The
装置220の稼働停止時間を最小限にすることよりも、一刻も早くセキュリティリスクへの対処を実行することの方が優先される場合がある。この場合は、稼働状況に基づいて決定された実行時刻を管理者に通知し(図10)、対処を即実行するのか、稼働状況に基づいて算出された対処推奨時刻に実行するのかを選択させることもできる。 In some cases, taking security risks as soon as possible is prioritized over minimizing downtime of the device 220. In this case, the administrator is notified of the execution time determined based on the operating status (FIG. 10), and the operator is made to select whether to immediately execute the coping or the recommended coping time calculated based on the operating status. You can also
[動作]
図11を用いて、情報処理装置120の動作を説明する。
[motion]
The operation of the
取得部121は、装置220のセキュリティリスクの調査結果を取得する(ステップS31)。そして、取得部121は、装置220の稼働情報を取得する(ステップS33)。受付部123は、ネットワークの設定変更に関する指示情報と管理者ID21とを管理者から受け付ける(ステップS35)。指示情報と管理者ID21とを管理者から受け付けなかった場合(ステップS35でno)、情報処理装置120は動作を終了する。指示情報と管理者ID21とを管理者から受け付けた場合(ステップS35でyes)、解析部124は、受付部123が受け付けた指示情報を解析し、格納部112を参照して、当該指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含むか否か判定する(ステップS37)。
The
ステップS37における解析の結果、受付部123が受け付けた指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含まない場合(ステップS37でno)、情報処理装置120は動作を終了する。受付部123が受け付けた指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含む場合(ステップS37でyes)、判定部125は、格納部122を参照して、受付部123が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しいか否か判定する(ステップS39)。
As a result of the analysis in step S37, when the instruction information received by the
ステップS39における判定の結果、受付部123が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しい場合に(ステップS39でyes)、判定部125は、ステップS33で取得部121が取得した稼働情報に基づいて対処推奨時刻を算出する(ステップS41)。受付部113が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しくない場合(ステップS39でno)、情報処理装置120は動作を終了する。
As a result of the determination in step S39, when the correspondence relationship between the
実行部126は、現在時刻がステップS41で算出された対処推奨時刻になった場合(ステップS43でyes)、受付部123が受け付けた指示情報に基づいてネットワークに対する設定変更を実行する(ステップS45)。
When the present time reaches the recommended coping time calculated in step S41 (yes in step S43), the
[作用効果]
第3の実施形態にかかる情報処理装置120によれば、セキュリティリスクに対する対処を装置220の稼働状況にあわせて効果的に実行することができる。
[Effect]
According to the
[第4の実施形態]
[処理構成]
図12は、第4の実施形態にかかる情報処理装置130の構成を示す図である。情報処理装置130は、取得部131、格納部132、受付部133、解析部134、判定部135及び実行部136を備える。特に説明をしない構成については、第1乃至3の実施形態にかかる情報処理装置100、情報処理装置110、情報処理装置120と同様の構成とする。
[Fourth Embodiment]
[Processing configuration]
FIG. 12 is a diagram showing the configuration of the
格納部132は、第2の実施形態における構成要素別対処情報10に対応する情報を格納する。また、格納部132は、第2の実施形態における情報20に対応する情報、すなわち、管理者ID21と装置ID22とが対応づけられた情報を格納する。図13は、情報20に対応する情報30の一例を示す図である。情報30では、実行部136による対処の実行が完了したか否かを示すフラグ(対処完了フラグ)34が装置IDに対応付られて格納されている。図13において、対処完了フラグ34の「1」は対処の実行が完了していることを示し、「0」は対処の実行が完了していないことを示す。対処完了フラグ34の代わりに対処の進捗状況に関する情報を格納し、当該情報に基づいて管理者に対処の進捗状況を提示することもできる。
The
判定部135は、受付部133がネットワークの設定変更に関する指示情報と管理者ID11とを管理者から受け付けた場合に、格納部132を参照し、実行部136による対処の実行が完了しているか否かを判定する。判定部135は、実行部136による対処の実行が完了していると判定した場合に、当該指示情報を無効化する。具体的には、判定部135は、当該指示情報を破棄し、既に対処の実行が完了していることを管理者に通知する。通知には、電子メール送信による通知や、管理者が管理する装置等の表示画面での表示による通知がある。
When the accepting
[動作]
図14を用いて、情報処理装置130の動作を説明する。
[motion]
The operation of the
ステップS51乃至ステップS55は図8のステップS21乃至ステップS25と同様である。 Steps S51 to S55 are the same as steps S21 to S25 in FIG.
図14では、受付部133が受け付けた指示情報がセキュリティリスクに対して装置230に適用可能な対処に関する指示情報を含む場合(ステップS55でyes)、判定部135は、格納部132を参照し、実行部136による対処の実行が完了しているか否かを判定する(ステップS57)。ステップS55における判定の結果、実行部136による対処の実行が完了している場合(ステップS57でyes)、情報処理装置130は動作を終了する。実行部136による対処の実行が完了していない場合(ステップS57でno)、ステップS59に進む。ステップS59及びステップS61は図8のステップS27及びステップS29と同様である。
In FIG. 14, when the instruction information received by the receiving
[作用効果]
第4の実施形態にかかる情報処理装置130によれば、受付部133が、セキュリティリスクの調査の結果必要となった対処と同内容の指示情報を受け付けたとしても、対処が完了している場合には判定部135が、当該指示情報を破棄する。そのため、対処の重複した実行を防ぐことができるとともに、ネットワークの設定変更に関する権限の付与範囲を必要以上に拡大することを防ぐことができる。
[Effect]
According to the
以上、本発明の実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の趣旨を逸脱しない限りにおいて他の変形例、応用例を含むことは言うまでもない。 Although the embodiment of the present invention has been described above, the present invention is not limited to the above embodiment, and it goes without saying that other modifications and applications are included without departing from the spirit of the present invention.
10 構成要素別対処情報
11、31、 調査ID
12、22、32 装置ID
13、33 適用可能な対処
21 管理者ID
20、30 情報
34 対処完了フラグ
100、110、120、130 情報処理装置
101 特定部
102、113、123、133 受付部
103、116、126、136 実行部
110a プロセッサ
110b メモリ
110c ストレージ
110d 入出力インタフェース
110e 通信インタフェース
110f データ伝送路
111、121、131 取得部
112、122、132 格納部
114、124、134 解析部
115、125、135 判定部
200、300 構成要素
210、220、230 装置
310、320、330 ネットワーク
211 通信部
212 調査部
1000、2000 システム
10 Response information for each
12, 22, 32 Device ID
13, 33
20, 30
Claims (10)
前記第1の構成要素から、前記第2の構成要素における前記対処を含む指示情報と前記第1の構成要素の管理者情報とを受け付ける受付部と、
前記受付部が指示情報を受け付けた前記第1の構成要素と前記管理者情報との対応が、構成要素と構成要素の管理者情報とが対応づけて記憶された対応情報に含まれることを判定する判定部と、
前記対応が対応情報に含まれる場合、前記指示情報に基づいて、前記対処を実行する実行部と、を備える情報処理装置。 A specifying unit that specifies a second component related to coping with a security risk relating to the first component;
A receiving unit that receives a first configuration needed fluorinated et al, administrator information of the instruction information and the first component containing the address in said second component,
It is determined that the correspondence between the first constituent element for which the reception unit has received the instruction information and the manager information is included in the correspondence information in which the constituent element and the manager information of the constituent element are stored in association with each other. A determination unit that
When the correspondence is included in the correspondence information, an information processing apparatus including: an execution unit that executes the handling based on the instruction information.
前記特定部は、前記格納部に格納された前記構成要素別対処情報を参照して前記第2の構成要素を特定する、請求項1又は2に記載の情報処理装置。 A storage unit that stores component-by-component countermeasure information indicating a countermeasure applicable to each of the first components with respect to the security risk;
The information processing apparatus according to claim 1, wherein the identifying unit identifies the second component with reference to the component-by-component handling information stored in the storage.
前記実行部は、前記取得部が取得した前記稼働情報に基づいて、前記セキュリティリスクに対して前記第1の構成要素に適用可能な対処の実行時刻を算出し、前記適用可能な対処を当該算出した実行時刻に実行する、請求項1乃至3のいずれか1項に記載の情報処理装置。 An acquisition unit for acquiring operation information including operation history information and operation schedule information of the first component;
The execution unit calculates an execution time of a countermeasure applicable to the first component with respect to the security risk, based on the operation information acquired by the acquisition unit, and calculates the applicable countermeasure. to execute the execution time, the information processing apparatus according to any one of claims 1 to 3.
第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定ステップと、
前記第1の構成要素から、前記第2の構成要素における前記対処を含む指示情報と前記第1の構成要素の管理者情報とを受け付ける受付ステップと、
指示情報を受け付けた前記第1の構成要素と前記管理者情報との対応が、構成要素と構成要素の管理者情報とが対応づけて記憶された対応情報に含まれることを判定する判定ステップと、
前記対応が対応情報に含まれる場合、前記指示情報に基づいて、前記対処を実行する実行ステップと、を含む情報処理方法。 The information processing device
Identifying steps of identifying a second component associated with addressing a security risk associated with the first component;
A reception step of receiving said first configuration is needed fluorinated et al, administrator information of the instruction information and the first component containing the address in said second component,
A determination step of determining that the correspondence between the first constituent element that has received the instruction information and the manager information is included in the correspondence information stored in association with the constituent element and the manager information of the constituent element; ,
When the correspondence is included in the correspondence information, an execution step of executing the handling based on the instruction information, the information processing method.
前記実行ステップでは、前記取得ステップにて取得した前記稼働情報に基づいて、前記セキュリティリスクに対して前記第1の構成要素に適用可能な対処の実行時刻を算出し、前記適用可能な対処を当該算出した実行時刻に実行する、請求項5乃至7のいずれか1項に記載の情報処理方法。 Including an acquisition step of acquiring operation information including operation history information and operation schedule information of the first component;
In the execution step, based on the operation information acquired in the acquisition step, an execution time of a countermeasure applicable to the first component with respect to the security risk is calculated, and the applicable countermeasure is calculated. run the calculated execution time, the information processing method according to any one of claims 5 to 7.
前記第1の構成要素から、前記第2の構成要素における前記対処を含む指示情報と前記第1の構成要素の管理者情報とを受け付ける受付処理と、
指示情報を受け付けた前記第1の構成要素と前記管理者情報との対応が、構成要素と構成要素の管理者情報とが対応づけて記憶された対応情報に含まれることを判定する判定処理と、
前記対応が対応情報に含まれる場合、前記指示情報に基づいて、前記対処を実行する実行処理と、を実行させるプログラム。 Identifying processing of causing the computer to identify a second component related to coping with a security risk relating to the first component;
A receiving process of receiving and said first configuration is needed fluorinated et al, administrator information of the instruction information and the first component containing the address in said second component,
Determination processing for determining that the correspondence between the first constituent element that has received the instruction information and the manager information is included in the correspondence information stored in association with the constituent element and the manager information of the constituent element. ,
A program that, when the correspondence is included in the correspondence information, executes an execution process that executes the handling based on the instruction information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016065697A JP6716995B2 (en) | 2016-03-29 | 2016-03-29 | Information processing apparatus, information processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016065697A JP6716995B2 (en) | 2016-03-29 | 2016-03-29 | Information processing apparatus, information processing method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017182272A JP2017182272A (en) | 2017-10-05 |
JP6716995B2 true JP6716995B2 (en) | 2020-07-01 |
Family
ID=60006192
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016065697A Active JP6716995B2 (en) | 2016-03-29 | 2016-03-29 | Information processing apparatus, information processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6716995B2 (en) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004258777A (en) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | Security monitoring device, its system, its method and its program |
JP2005301551A (en) * | 2004-04-09 | 2005-10-27 | Hitachi Ltd | Security measure system and integrated security system |
JP5304243B2 (en) * | 2006-07-06 | 2013-10-02 | 日本電気株式会社 | Security risk management system, apparatus, method, and program |
JP5371095B2 (en) * | 2009-04-20 | 2013-12-18 | 株式会社日立ソリューションズ | Patch application system |
-
2016
- 2016-03-29 JP JP2016065697A patent/JP6716995B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017182272A (en) | 2017-10-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11805148B2 (en) | Modifying incident response time periods based on incident volume | |
EP3127301B1 (en) | Using trust profiles for network breach detection | |
EP2984600B1 (en) | Systems and techniques for providing virtual machine security | |
US10320814B2 (en) | Detection of advanced persistent threat attack on a private computer network | |
EP3161999B1 (en) | Method and system for secure delivery of information to computing environments | |
US8776180B2 (en) | Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms | |
US20130246685A1 (en) | System and method for passive threat detection using virtual memory inspection | |
GB2609363A (en) | Endpoint security | |
US20160127417A1 (en) | Systems, methods, and devices for improved cybersecurity | |
WO2014112185A1 (en) | Attack analysis system, coordination device, attack analysis coordination method, and program | |
US20130167238A1 (en) | System and method for scanning for computer vulnerabilities in a network environment | |
US20220046030A1 (en) | Simulating user interactions for malware analysis | |
JP2020095459A (en) | History monitoring method, monitoring processor and monitoring processing program | |
JP6716995B2 (en) | Information processing apparatus, information processing method, and program | |
US11586722B2 (en) | Securely managing authentication information for automated incident responses | |
JP2019133258A (en) | Security system, security operation method, and overall incident management device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190215 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191210 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200204 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200512 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200525 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6716995 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |