JP6716995B2 - Information processing apparatus, information processing method, and program - Google Patents

Information processing apparatus, information processing method, and program Download PDF

Info

Publication number
JP6716995B2
JP6716995B2 JP2016065697A JP2016065697A JP6716995B2 JP 6716995 B2 JP6716995 B2 JP 6716995B2 JP 2016065697 A JP2016065697 A JP 2016065697A JP 2016065697 A JP2016065697 A JP 2016065697A JP 6716995 B2 JP6716995 B2 JP 6716995B2
Authority
JP
Japan
Prior art keywords
information
component
unit
security risk
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016065697A
Other languages
Japanese (ja)
Other versions
JP2017182272A (en
Inventor
宏仁 大脇
宏仁 大脇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2016065697A priority Critical patent/JP6716995B2/en
Publication of JP2017182272A publication Critical patent/JP2017182272A/en
Application granted granted Critical
Publication of JP6716995B2 publication Critical patent/JP6716995B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明は、情報処理装置、情報処理方法、およびプログラムに関する。 The present invention relates to an information processing device, an information processing method, and a program.

多くのシステムは、複数の構成要素から構成される。構成要素は例えばネットワークを構成するネットワーク装置と、当該ネットワークに接続された装置である。ネットワークに接続された装置は例えばプリンタやサーバ等である。ネットワークに接続された装置は、脆弱性や外部からのサイバー攻撃によって生じる脅威などに対するセキュリティ上の問題を有する。セキュリティ上の問題は、情報セキュリティリスク、又は、単にセキュリティリスクとも呼ばれる。システムを安全に運用するために、セキュリティリスクを有する装置がネットワーク上に存在するか否かを調査し、必要な対策を講じる技術がある。ネットワーク装置と、ネットワークに接続された装置とを含むシステムにおいて、ネットワーク装置の管理者と、当該ネットワークに接続された装置の管理者とが異なる管理者である場合が多い。装置の管理者とネットワークの管理者とが分かれている運用において、ある装置にセキュリティリスクが存在し、当該セキュリティリスクへの対策としてネットワークの設定変更を行う必要がある場合、例えばファイアウォールを有効にすることにより通信を制限する必要がある場合等は、セキュリティリスクが存在する装置の管理者がネットワーク装置の管理者に連絡し、当該連絡を受けたネットワーク装置の管理者が必要な対策を講じることになる。 Many systems are composed of multiple components. The components are, for example, a network device that constitutes a network and a device connected to the network. The device connected to the network is, for example, a printer or a server. The devices connected to the network have security problems against vulnerabilities and threats caused by cyber attacks from the outside. Security issues are also called information security risks, or simply security risks. In order to operate the system safely, there is a technique for investigating whether a device having a security risk exists on the network and taking necessary measures. In a system including a network device and a device connected to a network, the administrator of the network device and the manager of the device connected to the network are often different administrators. In the operation where the device administrator and the network administrator are separated, if a device has a security risk and it is necessary to change the network settings as a countermeasure against the security risk, for example, enable the firewall. If it is necessary to restrict communication due to such reasons, the administrator of the device with the security risk should contact the administrator of the network device, and the administrator of the network device that receives the contact shall take necessary measures. Become.

関連技術には、以下の特許文献1及び2がある。 Related art includes the following Patent Documents 1 and 2.

特許文献1には、複数のWebサービスを連携させる場合に発生するセキュリティリスクに関する情報を提示するセキュリティリスク情報提供装置が開示されている。当該セキュリティリスク情報提供装置は、Webサービス提供装置により提供されるサービスを利用する際のセキュリティポリシを設定する。そして、ユーザにより利用されるサービスの利用状況を示すサービス利用状況情報及びユーザにより利用されるサービス間の連携情報を示すサービス連携情報を用いて、ユーザのサービス利用状況がセキュリティポリシに適合しているかを判定する。 Patent Document 1 discloses a security risk information providing device that presents information about security risks that occur when a plurality of Web services are linked. The security risk information providing apparatus sets a security policy for using the service provided by the Web service providing apparatus. Then, using the service usage status information indicating the usage status of the service used by the user and the service cooperation information indicating the cooperation information between the services used by the user, whether the service usage status of the user conforms to the security policy. To judge.

特許文献2には、管理計算機上のボリューム管理範囲と、ストレージ内のストレージ分割によるボリューム管理範囲との不一致を検出する管理計算機が開示されている。当該管理計算機は、ユーザの管理対象として複数のボリュームが指定されたとき、指定された複数のボリュームが属するボリュームグループの識別子をストレージから取得する。そして、ボリュームグループの識別子とユーザの識別子との対応を格納するストレージ管理情報を参照し、取得したボリュームグループが同一のユーザの管理範囲となるか否か判定する。 Patent Document 2 discloses a management computer that detects a mismatch between the volume management range on the management computer and the volume management range due to storage partition in the storage. When a plurality of volumes are designated as a user's management target, the management computer acquires from the storage the identifier of the volume group to which the designated plurality of volumes belong. Then, the storage management information that stores the correspondence between the volume group identifier and the user identifier is referred to, and it is determined whether or not the acquired volume groups fall within the same user management range.

特開2013−196422号公報JP, 2013-196422, A 特開2005−322102号公報JP, 2005-322102, A

セキュリティリスクに対しては一刻でも早く対策を講じる必要がある場合がある。しかし、上述のようにシステムを構成する複数の構成要素のそれぞれの管理者が分かれている場合、一の構成要素のセキュリティリスクへの対処として他の構成要素における作業を行う必要があるときに早急に対策を講じることができないという問題があった。 It may be necessary to take measures against security risks as soon as possible. However, as described above, when the administrator of each of the plurality of constituent elements of the system is divided, when it is necessary to perform work on another constituent element as a countermeasure for the security risk of one constituent element, it is urgent. There was a problem that I could not take measures.

特許文献1及び2には、当該問題を解決する手段が開示されていない。 Patent Documents 1 and 2 do not disclose means for solving the problem.

本発明の目的は、上述の課題を解決する情報処理装置、情報処理方法、およびプログラムを提供することにある。 An object of the present invention is to provide an information processing device, an information processing method, and a program that solve the above problems.

本発明の情報処理装置は、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定部と、第1の構成要素の管理者から、第2の構成要素における前記対処の指示情報を受け付ける受付部と、指示情報に基づいて、対処を実行する実行部と、を備える。 The information processing apparatus of the present invention includes a specifying unit that specifies a second constituent element related to coping with a security risk related to the first constituent element, and an administrator of the first constituent element from the second constituent element. A receiving unit that receives instruction information for coping and an execution unit that executes coping based on the instruction information are provided.

本発明の情報処理方法は、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定ステップと、第1の構成要素の管理者から、第2の構成要素における対処の指示情報を受け付ける受付ステップと、指示情報に基づいて、対処を実行する実行ステップと、を含む。 According to the information processing method of the present invention, a specific step of identifying a second component related to dealing with a security risk relating to the first component, and a countermeasure in the second component from an administrator of the first component. And a step of executing a countermeasure based on the instruction information.

本発明のプログラムは、コンピュータに、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定処理と、第1の構成要素の管理者から、第2の構成要素における対処の指示情報を受け付ける受付処理と、指示情報に基づいて、対処を実行する実行処理と、を実行させる。 The program of the present invention allows a computer to perform a specific process of identifying a second constituent element related to coping with a security risk related to the first constituent element, and an administrator of the first constituent element from the second constituent element. A reception process for receiving handling instruction information and an execution process for performing handling based on the instruction information are executed.

本発明によれば、所定の管理者が管理する構成要素のセキュリティリスクに対処するために、当該管理者からの指示に基づいて、当該管理者が管理する構成要素以外の構成要素における対処を実行することのできる情報処理装置、情報処理方法及びプログラムを提供することができる。 According to the present invention, in order to deal with a security risk of a component managed by a predetermined administrator, a countermeasure is performed on a component other than the component managed by the administrator based on an instruction from the administrator. It is possible to provide an information processing device, an information processing method, and a program that can be performed.

第1の実施形態にかかるシステム1000の構成を示す図である。It is a figure which shows the structure of the system 1000 concerning 1st Embodiment. 第1の実施形態にかかる情報処理装置100の構成を示す図である。It is a figure which shows the structure of the information processing apparatus 100 concerning 1st Embodiment. 情報処理装置100の動作を説明する図である。5 is a diagram illustrating an operation of the information processing device 100. FIG. 第2の実施形態にかかるシステム2000の構成を示す図である。It is a figure which shows the structure of the system 2000 concerning 2nd Embodiment. 第2の実施形態にかかる情報処理装置110の構成を示す図である。It is a figure which shows the structure of the information processing apparatus 110 concerning 2nd Embodiment. 格納部112が格納する情報の一例を示す図である。FIG. 6 is a diagram showing an example of information stored in a storage unit 112. 情報処理装置110のハードウェア構成を示す図である。It is a figure which shows the hardware constitutions of the information processing apparatus 110. 情報処理装置110の動作を説明する図である。5 is a diagram illustrating an operation of the information processing device 110. FIG. 第3の実施形態にかかる情報処理装置120の構成を示す図である。It is a figure which shows the structure of the information processing apparatus 120 concerning 3rd Embodiment. 管理者への通知画面の一例を示す図である。It is a figure which shows an example of the notification screen to an administrator. 情報処理装置120の動作を説明する図である。6 is a diagram illustrating an operation of the information processing device 120. FIG. 第4の実施形態にかかる情報処理装置130の構成を示す図である。It is a figure which shows the structure of the information processing apparatus 130 concerning 4th Embodiment. 格納部132が格納する情報の一例を示す図である。FIG. 6 is a diagram showing an example of information stored in a storage unit 132. 情報処理装置130の動作を説明する図である。6 is a diagram illustrating an operation of the information processing device 130. FIG.

[第1の実施形態]
[処理構成]
図1は、第1の実施形態にかかるシステム1000の構成を示す図である。システム1000は、情報処理装置100、構成要素200及び構成要素300を含む。 [First Embodiment]
[Processing configuration]
FIG. 1 is a diagram showing a configuration of a system 1000 according to the first embodiment. The system 1000 includes an information processing device 100, a component 200, and a component 300.

構成要素200及び構成要素300は、Information Technology基盤の構成要素(configuration item; CI)である。構成要素200及び構成要素300は、例えばコンピュータ、サーバ、プリンタ等の装置である。また、構成要素200及び構成要素300は、サービス、ソフトウェア、オペレーティングシステム、アプリケーション等装置以外の構成要素であってもよい。管理者が別れている運用の例として、ネットワーク装置の管理者と、当該ネットワークに接続された装置の管理者とが異なる管理者である運用がある。また、管理者が別れている運用の他の例として、ウェブサイト管理者とサーバ管理者とが別の管理者である運用がある。ウェブサイト管理者とサーバ管理者とが別の管理者である運用において、例えば、ディレクトリのパーミッションの設定に関する権限はウェブサイト管理者に与えられていないが、ウェブサイトのセキュリティリスクに即対処するために、ウェブサイト管理者がサーバのCドライブのパーミッションの設定をする必要がある場合がある。 The component 200 and the component 300 are components (configuration item; CI) based on Information Technology. The component 200 and the component 300 are devices such as a computer, a server, and a printer. The components 200 and 300 may be components other than devices such as services, software, operating systems, and applications. An example of the operation in which the administrators are separated is an operation in which the administrator of the network device and the administrator of the device connected to the network are different administrators. Another example of the operation in which the administrator is separated is an operation in which the website administrator and the server administrator are different administrators. In the operation where the website administrator and the server administrator are different administrators, for example, the authority regarding the setting of directory permissions is not given to the website administrator, but in order to immediately deal with the security risk of the website. In some cases, the website administrator may need to set the C drive permission of the server.

ここで、セキュリティリスクは、構成要素200に存在する脆弱性、構成要素200に対する外部からの攻撃によって生じる脅威、または、非セキュアな運用設定(セキュリティリスクに対して弱い設定)のまま運用される場合のリスクを含む。また対処とは、セキュリティリスクを解消、回避、または低減させる措置である。 Here, the security risk is a vulnerability existing in the constituent element 200, a threat caused by an external attack on the constituent element 200, or an unsecured operation setting (a weak setting for the security risk). Including the risk of. The countermeasure is a measure for eliminating, avoiding or reducing the security risk.

図2は、第1の実施形態にかかる情報処理装置100の構成を示す図である。情報処理装置100は、特定部101、受付部102及び実行部103を備える。 FIG. 2 is a diagram showing the configuration of the information processing apparatus 100 according to the first embodiment. The information processing device 100 includes a specifying unit 101, a receiving unit 102, and an executing unit 103.

特定部101は、構成要素200に関するセキュリティリスクに対する対処に関連する構成要素を特定する。特定部101による特定方法の例について説明する。先述のネットワーク装置の管理者と、当該ネットワークに接続された装置の管理者とが異なる管理者である運用では、構成要素200がネットワークに接続された装置(第1の装置)であり、構成要素300がネットワーク装置(第2の装置)である。特定部101は、例えば、第1の装置の通信ログを参照し、セキュリティリスクに関係する通信の履歴がある第2の装置を対処に関連する装置として特定する。また、特定部101は、システムのトポロジ情報を参照して、第1の装置のネットワークに関する対処を実施する場合に対応する第2の装置を特定する。例えばネットワークに関する対処が「外部端末からの第1の装置の特定ポートに対するアクセスの閉塞」であれば、第1の装置と外部端末とが通信する際に通過するファイアウォール装置、又はファイアウォール機能を有するネットワーク装置を、システムのトポロジ情報に基づいて特定して、特定された装置を第2の装置とする。システムのトポロジ情報は、装置間のネットワーク接続関係や、装置とディスク等周辺機器との接続関係、ネットワークにおける自ドメインの範囲、などを示す情報である。システムのトポロジ情報は、外部のサブシステムから特定部101が適宜必要に応じて参照ないし取得するように構成してもよい。外部のサブシステムは、例えば、ネットワークの物理および論理構成、及び、装置と周辺機器の関係の少なくとも一部を含む情報を、ユーザの入力により蓄積し、又は、ディスカバリ機能により発見して、保持することができる。また、ウェブサイト管理者とサーバ管理者とが別の管理者である運用では、構成要素200がアプリケーションであり、構成要素300がサーバである。ウェブサイトへの攻撃が発生した場合、特定部101は、当該ウェブサイトに関連するアプリケーションが稼働するサーバを当該攻撃に対する対処に関連する装置として特定する。 The identifying unit 101 identifies a component related to dealing with a security risk related to the component 200. An example of the identifying method by the identifying unit 101 will be described. In the above-described operation in which the administrator of the network device is different from the administrator of the device connected to the network, the component 200 is the device connected to the network (first device), and the component 200 300 is a network device (second device). The identifying unit 101 refers to the communication log of the first device, for example, and identifies the second device having the communication history related to the security risk as the device related to the countermeasure. Further, the identifying unit 101 identifies the second device corresponding to the case where the network-related measures of the first device are implemented by referring to the system topology information. For example, if the measure related to the network is “blocking access from an external terminal to a specific port of the first device”, a firewall device that passes through when the first device and the external terminal communicate with each other, or a network having a firewall function The device is specified based on the topology information of the system, and the specified device is set as the second device. The system topology information is information indicating the network connection relationship between devices, the connection relationship between devices and peripheral devices such as disks, and the range of its own domain in the network. The topology information of the system may be configured such that the identifying unit 101 appropriately refers to or obtains it from an external subsystem as needed. The external subsystem stores, for example, the physical and logical configuration of the network and the information including at least a part of the relationship between the device and the peripheral device by the input of the user or discovers and holds the information by the discovery function. be able to. Further, in an operation in which the website administrator and the server administrator are different administrators, the component 200 is an application and the component 300 is a server. When an attack on a website occurs, the identifying unit 101 identifies a server on which an application related to the website operates as a device related to dealing with the attack.

受付部102は、構成要素200の管理者から、構成要素300における対処の指示情報を受け付ける。 The accepting unit 102 accepts handling instruction information in the component 300 from the administrator of the component 200.

実行部103は、受付部102が受け付けた指示情報に基づいて、対処を実行する。 The execution unit 103 executes a countermeasure based on the instruction information received by the reception unit 102.

[動作]
図3は、情報処理装置100の動作を説明するフローチャートである。 [motion]
FIG. 3 is a flowchart illustrating the operation of the information processing device 100.

特定部101は、構成要素200に関するセキュリティリスクに対する対処に関連する構成要素300を特定する(ステップS11)。受付部102は、構成要素200の管理者から、構成要素300における対処の指示情報を受け付ける(ステップS13)。実行部103は、ステップS13で受付部103が受け付けた指示情報に基づいて、対処を実行する(ステップS15)。 The identifying unit 101 identifies the component 300 related to the countermeasure against the security risk regarding the component 200 (step S11). The accepting unit 102 accepts instruction information for handling the component 300 from the administrator of the component 200 (step S13). The execution unit 103 executes a countermeasure based on the instruction information received by the reception unit 103 in step S13 (step S15).

[効果]
本実施形態の情報処理装置100によれば、所定の管理者が管理する構成要素のセキュリティリスクに対処するために、当該管理者からの指示に基づいて、当該管理者が管理する構成要素以外の構成要素における対処を実行することができる。その結果、システムを構成する複数の構成要素のそれぞれの管理者が分かれている場合であっても、一の構成要素のセキュリティリスクへの対処として他の構成要素における作業を行う必要があるときに早急に対策を講じることができる。 [effect]
According to the information processing apparatus 100 of the present embodiment, in order to deal with the security risk of the component managed by a predetermined administrator, other than the component managed by the administrator based on the instruction from the administrator. Actions can be taken on the components. As a result, even when the administrator of each of the multiple components that make up the system is divided, it is necessary to perform work on other components as a countermeasure against the security risk of one component. Measures can be taken immediately.

[第2の実施形態]
[処理構成]
図4は、第2の実施形態にかかるシステム2000の構成を示す図である。システム2000は、情報処理装置110及び装置210を含む。情報処理装置110及び装置210はネットワーク310に接続されている。本実施形態では、装置210が第1の実施形態における構成要素200に対応し、ネットワーク310が第1の実施形態における構成要素300に対応する。なお、ネットワーク310は、ネットワーク装置を含む。 [Second Embodiment]
[Processing configuration]
FIG. 4 is a diagram showing the configuration of the system 2000 according to the second embodiment. The system 2000 includes an information processing device 110 and a device 210. The information processing device 110 and the device 210 are connected to the network 310. In the present embodiment, the device 210 corresponds to the component 200 in the first embodiment, and the network 310 corresponds to the component 300 in the first embodiment. The network 310 includes network devices.

図5は情報処理装置110の構成を示す図である。情報処理装置110は、装置210のセキュリティリスクを管理する装置である。情報処理装置110は、取得部111、格納部112、受付部113、解析部114、判定部115及び実行部116を備える。 FIG. 5 is a diagram showing the configuration of the information processing device 110. The information processing device 110 is a device that manages the security risk of the device 210. The information processing device 110 includes an acquisition unit 111, a storage unit 112, a reception unit 113, an analysis unit 114, a determination unit 115, and an execution unit 116.

取得部111は、装置210のセキュリティリスクの調査結果を取得する。セキュリティリスクの調査とは、例えば各ベンダーなどから提供される、セキュリティリスクおよびその対処などを示す情報に基づいて行われる調査であり、装置210の調査部212(後述)で行われる調査である。以降、セキュリティリスクおよびその対処などを示す情報をセキュリティリスク情報とも表記する。セキュリティリスク情報には各ベンダーや調査機関から提供された装置の脆弱性情報が含まれていてもよい。セキュリティリスクには装置の非セキュアな運用設定に関する情報が含まれていてもよい。セキュリティリスクの調査結果は、セキュリティリスクを有する装置210、セキュリティリスクの種類及びその対処を示す情報を含む。取得部111は、装置210が情報処理装置110からの調査依頼に応じて行ったセキュリティリスク調査の結果を装置210から取得してもよい。また、取得部111は、装置210が情報処理装置110以外の装置からの調査依頼に応じて、あるいは独自に行ったセキュリティリスク調査の結果を取得してもよい。また、システム2000内に、情報処理装置110及び装置210とは別に格納装置を備え、当該格納装置に装置210におけるセキュリティリスク調査の結果を格納してもよい。この場合、取得部111は、当該格納装置からセキュリティリスク調査の結果を取得する。 The acquisition unit 111 acquires the security risk investigation result of the device 210. The security risk survey is a survey performed based on information indicating security risks and countermeasures provided by each vendor, for example, and is a survey performed by a survey unit 212 (described later) of the device 210. Hereinafter, information indicating security risks and countermeasures for them is also referred to as security risk information. The security risk information may include vulnerability information of the device provided by each vendor or research organization. Security risks may include information about non-secure operational settings of the device. The security risk investigation result includes information indicating the device 210 having the security risk, the type of the security risk, and the countermeasure thereof. The acquisition unit 111 may acquire, from the device 210, the result of the security risk investigation performed by the device 210 in response to the investigation request from the information processing device 110. The acquisition unit 111 may also acquire the result of the security risk investigation performed by the apparatus 210 in response to an investigation request from an apparatus other than the information processing apparatus 110 or independently. Further, a storage device may be provided in the system 2000 in addition to the information processing device 110 and the device 210, and the result of the security risk investigation in the device 210 may be stored in the storage device. In this case, the acquisition unit 111 acquires the result of the security risk investigation from the storage device.

セキュリティリスクの調査結果を取得した情報処理装置110は、セキュリティリスクの調査結果を装置の管理者に通知することができる。通知方法としては、装置210の表示部(不図示)に表示する方法や、管理者宛てに電子メールを送付する方法がある。 The information processing apparatus 110 that has acquired the security risk investigation result can notify the administrator of the security risk investigation result. As the notification method, there are a method of displaying on the display unit (not shown) of the device 210 and a method of sending an electronic mail to the administrator.

格納部112は、取得部111が取得した調査結果に含まれるセキュリティリスクに対して適用可能な対処が装置210ごとに対応づけられた構成要素別対処情報10を格納する。図6を参照すると、構成要素別対処情報10は、セキュリティリスクの調査識別子(調査ID)11、装置識別子(装置ID)12及び適用可能な対処13が対応づけられた情報である。適用可能な対処13は、セキュリティリスクを有する装置210に当該対処を適用した場合に、当該セキュリティリスクが解消する対処をいう。構成要素別対処情報10は、例えば各ベンダーなどから提供される、セキュリティリスクの種類及びその対処法などを示す情報(セキュリティリスク情報)に基づいて装置210を調査することで生成される。また、格納部112は、装置210の管理者の識別子である管理者識別子(管理者ID)21と装置ID22とが対応づけられた情報20を格納する。図6を参照すると、例えば管理者ID21「user01」で識別される管理者は、装置ID「A」及び「B」で識別される装置210に関する操作や情報取得が可能である。装置ID12及び装置ID22は、装置210の製造番号、Media Access Controlアドレス、Internet Protocol(IP)アドレスあるいは装置210が備えるポートの番号である。 The storage unit 112 stores the component-based countermeasure information 10 in which the countermeasure applicable to the security risk included in the investigation result acquired by the acquisition unit 111 is associated with each device 210. Referring to FIG. 6, the component-based countermeasure information 10 is information in which a security risk survey identifier (survey ID) 11, a device identifier (device ID) 12, and an applicable countermeasure 13 are associated with each other. The applicable countermeasure 13 is a countermeasure that eliminates the security risk when the countermeasure is applied to the device 210 having the security risk. The component-based countermeasure information 10 is generated, for example, by investigating the device 210 based on information (security risk information) that is provided from each vendor and that indicates the type of security risk and the countermeasure thereto. The storage unit 112 also stores information 20 in which an administrator identifier (administrator ID) 21 that is an identifier of the administrator of the device 210 and a device ID 22 are associated with each other. Referring to FIG. 6, for example, the administrator identified by the administrator ID 21 “user01” can perform operations and obtain information about the device 210 identified by the device IDs “A” and “B”. The device ID 12 and the device ID 22 are a serial number of the device 210, a Media Access Control address, an Internet Protocol (IP) address, or a port number of the device 210.

受付部113は、ネットワークの設定変更に関する指示情報と管理者ID21とを管理者から受け付ける。ネットワークの設定変更に関する指示情報は、例えば「装置Aについて、IPアドレス123.456.7.8からの通信を遮断する」、「装置BのポートBBを閉じる」等の内容の指示情報である。受付部113は、第1の実施形態にかかる情報処理装置100の受付部102に対応する。 The accepting unit 113 accepts the instruction information regarding the network setting change and the administrator ID 21 from the administrator. The instruction information relating to the network setting change is, for example, instruction information having the content of “blocking communication from the IP address 123.456.7.8 for the device A”, “closing the port BB of the device B”, and the like. The reception unit 113 corresponds to the reception unit 102 of the information processing device 100 according to the first embodiment.

解析部114は、受付部113が受け付けた指示情報を解析し、格納部112を参照して、当該指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含むか否か判定する。これは、受付部113が受け付けた、ネットワークの設定変更に関する指示情報がセキュリティリスクへの対処上適用可能でない指示情報を含む場合に、ネットワークの設定変更に関する権限を装置210の管理者にむやみに付与しないようにするためである。図6を用いて解析部114の処理を具体的に説明すると、受付部113が受け付けた指示情報に含まれる装置ID12をキーとして適用可能な対処13を検索し、検索した対処13と、受付部113が受け付けた指示情報に含まれる対処と比較する。 The analysis unit 114 analyzes the instruction information received by the reception unit 113 and refers to the storage unit 112 to determine whether or not the instruction information includes instruction information regarding a countermeasure applicable to the device 210 against the security risk. To do. This is because when the instruction information regarding the network setting change received by the receiving unit 113 includes the instruction information that is not applicable for dealing with the security risk, the administrator of the device 210 is unnecessarily given the authority regarding the network setting change. This is to prevent it. The processing of the analysis unit 114 will be specifically described with reference to FIG. 6. The applicable countermeasure 13 is searched using the device ID 12 included in the instruction information accepted by the acceptance unit 113 as a key, and the retrieved countermeasure 13 and the acceptance unit The countermeasures included in the instruction information received by 113 are compared.

判定部115は、受付部113が受け付けた指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含む場合に、格納部112を参照して、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しいか否か判定する。 The determination unit 115 refers to the storage unit 112 when the instruction information received by the reception unit 113 includes the instruction information regarding the countermeasure applicable to the device 210 with respect to the security risk, and the instruction information received by the reception unit 113. It is determined whether or not the correspondence relationship between the device ID 22 included in the ID and the administrator ID 21 received by the reception unit 113 is correct.

解析部114及び判定部115は、第1の実施形態の情報処理装置100における特定部101に対応する。 The analysis unit 114 and the determination unit 115 correspond to the identification unit 101 in the information processing device 100 according to the first embodiment.

実行部116は、判定部115による判定の結果、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しい場合に、受付部113が受け付けた対処指示情報に基づいて対処を実行する。ネットワークに対する設定変更としては、ファイアウォールの設定を変更することで特定のIPアドレスからの通信を遮断することや、特定のポートを閉じることなどが挙げられる。実行部116は、第1の実施形態の情報処理装置100における実行部103に対応する。 As a result of the determination by the determination unit 115, the execution unit 116 accepts the acceptance unit 113 when the device ID 22 included in the instruction information accepted by the acceptance unit 113 and the manager ID 21 accepted by the acceptance unit 113 are correct. The countermeasure is executed based on the countermeasure instruction information. Changing the settings for the network includes changing the settings of the firewall to block communication from a specific IP address, and to close a specific port. The execution unit 116 corresponds to the execution unit 103 in the information processing device 100 according to the first embodiment.

装置210は、クライアントパーソナルコンピュータ(以下、パソコンと表記する)やサーバ、プリンタ等の装置である。ただし、装置210は、ここで挙げた例に限定されない。装置210は、通信部211及び調査部212を備える。 The device 210 is a device such as a client personal computer (hereinafter referred to as a personal computer), a server, or a printer. However, the device 210 is not limited to the example given here. The device 210 includes a communication unit 211 and a research unit 212.

通信部211は、ネットワーク310を介して外部装置(例えば情報処理装置110)と通信を行う。通信部211は、各ベンダーなどから提供されるセキュリティリスク情報を取得する。 The communication unit 211 communicates with an external device (for example, the information processing device 110) via the network 310. The communication unit 211 acquires security risk information provided by each vendor or the like.

調査部212は、装置210のOperating System(OS)の種別、OSのバージョン、装置210にインストールされている各種アプリケーションに関する情報と、通信部211が取得したセキュリティリスク情報などとを照らし合わせて、セキュリティリスクのある装置210を調査する。 The investigation unit 212 compares the operating system (OS) type of the device 210, the version of the OS, information about various applications installed in the device 210 with the security risk information acquired by the communication unit 211, and performs security. Investigate at-risk device 210.

なお、調査部212がセキュリティリスクの調査を行う代わりに、情報処理装置110または他の装置に調査部を設け、当該調査部が調査をおこなってもよい。情報処理装置110または他の装置の調査部がセキュリティリスクの調査を行う場合、装置210は、情報処理装置110または他の装置の調査部に調査に必要な情報を送信する。調査に必要な情報とは、例えば装置210上で稼働するOSやアプリケーションのプロダクトバージョン等である。調査に必要な情報の送信の形態は、Push式でもPull式でもよい。例えば装置210がパソコンである場合、当該パソコンにインストールされたエージェントソフトウェアにより調査に必要な情報の送信を実現することができる。また、装置210がプリンタやネットワーク機器である場合、Simple Network Management Protocolサーバにより調査に必要な情報の送信を実現することができる。 It should be noted that instead of the investigation unit 212 investigating the security risk, an investigation unit may be provided in the information processing device 110 or another device, and the investigation unit may perform the investigation. When the investigation unit of the information processing device 110 or the other device investigates the security risk, the device 210 transmits the information necessary for the investigation to the investigation unit of the information processing device 110 or the other device. The information necessary for the investigation is, for example, the product version of the OS or application running on the device 210. The form of transmitting the information necessary for the investigation may be either Push type or Pull type. For example, when the device 210 is a personal computer, the agent software installed in the personal computer can realize transmission of information necessary for the investigation. Further, when the device 210 is a printer or a network device, the Simple Network Management Protocol server can realize the transmission of information necessary for the investigation.

ネットワーク310は、Local Area Networkでもよいし、インターネットや電話回線網、衛星通信等の公衆回線網でもよい。 The network 310 may be a Local Area Network or the Internet, a telephone line network, or a public line network such as satellite communication.

[ハードウェア構成]
図7は、情報処理装置110のハードウェア構成を示す図である。情報処理装置110は、プロセッサ110a、メモリ110b、ストレージ110c、入出力インタフェース(入出力I/F)110d及び通信インタフェース(通信I/F)110eを備える。プロセッサ110a、メモリ110b、ストレージ110c、入出力インタフェース110d及び通信インタフェース110eは、相互にデータを送受信するためのデータ伝送路110fで接続されている。 [Hardware configuration]
FIG. 7 is a diagram showing a hardware configuration of the information processing device 110. The information processing device 110 includes a processor 110a, a memory 110b, a storage 110c, an input/output interface (input/output I/F) 110d, and a communication interface (communication I/F) 110e. The processor 110a, the memory 110b, the storage 110c, the input/output interface 110d, and the communication interface 110e are connected by a data transmission path 110f for transmitting/receiving data mutually.

プロセッサ110aは、例えばCentral Processing UnitやGraphics Processing Unitなどの演算処理装置である。プロセッサ110aは、後述するストレージ110cに格納されている各プログラムを実行することで、各処理部の機能をそれぞれ実現する。ここで、プロセッサ110aは、各プログラムを実行する際、これらのプログラムを後述するメモリ110b上に読み出してから実行しても良いし、メモリ110b上に読み出さずに実行しても良い。 The processor 110a is an arithmetic processing unit such as a Central Processing Unit or a Graphics Processing Unit. The processor 110a realizes the function of each processing unit by executing each program stored in the storage 110c described later. Here, when executing each program, the processor 110a may execute these programs after reading them on the memory 110b described later, or may execute them without reading them on the memory 110b.

メモリ110bは、例えばRandom Access Memory(RAM)やRead Only Memory(ROM)などのメモリである。 The memory 110b is a memory such as a Random Access Memory (RAM) or a Read Only Memory (ROM).

ストレージ110cは、例えばHard Disk Drive、Solid State Drive、又はメモリカードなどの記憶装置である。また、ストレージ110cは、RAMやROM等のメモリであってもよい。ストレージ110cは、各処理部の機能を実現するプログラムを格納する。 The storage 110c is a storage device such as a Hard Disk Drive, a Solid State Drive, or a memory card. The storage 110c may be a memory such as a RAM or a ROM. The storage 110c stores programs that implement the functions of the processing units.

通信インタフェース110eは、外部装置や外部ネットワークとの間でデータを送受信する。通信インタフェース110eは、例えば有線ネットワーク又は無線ネットワークを介して外部装置や外部ネットワークと通信する。なお、情報処理装置110のハードウェア構成は、図7に示される構成に制限されない。 The communication interface 110e transmits/receives data to/from an external device or an external network. The communication interface 110e communicates with an external device or an external network via, for example, a wired network or a wireless network. The hardware configuration of the information processing device 110 is not limited to the configuration shown in FIG. 7.

[動作]
図8を用いて、情報処理装置110の動作を説明する。 [motion]
The operation of the information processing device 110 will be described with reference to FIG.

図4及び8を参照すると、取得部111は、装置210のセキュリティリスクの調査結果を取得する(ステップS21)。受付部113は、ネットワークの設定変更に関する指示情報と管理者ID21とを管理者から受け付ける(ステップS23)。指示情報と管理者ID21とを管理者から受け付けなかった場合(ステップS23でno)、情報処理装置110は動作を終了する。指示情報と管理者ID21とを管理者から受け付けた場合(ステップS23でyes)、解析部114は、受付部113が受け付けた指示情報を解析し、格納部112を参照して、当該指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含むか否か判定する(ステップS25)。 Referring to FIGS. 4 and 8, the acquisition unit 111 acquires a security risk investigation result of the device 210 (step S21). The accepting unit 113 accepts the instruction information regarding the network setting change and the administrator ID 21 from the administrator (step S23). When the instruction information and the administrator ID 21 are not received from the administrator (no in step S23), the information processing apparatus 110 ends the operation. When the instruction information and the administrator ID 21 are received from the administrator (yes in step S23), the analysis unit 114 analyzes the instruction information received by the reception unit 113 and refers to the storage unit 112 to determine that the instruction information is It is determined whether or not the instruction information regarding the countermeasure applicable to the device 210 with respect to the security risk is included (step S25).

ステップS25における解析の結果、受付部113が受け付けた指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含まない場合(ステップS25でno)、情報処理装置110は動作を終了する。受付部113が受け付けた指示情報がセキュリティリスクに対して装置210に適用可能な対処に関する指示情報を含む場合(ステップS25でyes)、判定部115は、格納部112を参照して、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しいか否か判定する(ステップS27)。 As a result of the analysis in step S25, when the instruction information received by the reception unit 113 does not include the instruction information regarding the countermeasure applicable to the device 210 for the security risk (no in step S25), the information processing device 110 ends the operation. To do. When the instruction information received by the reception unit 113 includes the instruction information related to the countermeasure applicable to the device 210 for the security risk (yes in step S25), the determination unit 115 refers to the storage unit 112 and refers to the reception unit 113. It is determined whether or not the correspondence between the device ID 22 included in the instruction information received by and the administrator ID 21 received by the receiving unit 113 is correct (step S27).

ステップS27における判定の結果、受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しい場合に(ステップS27でyes)、実行部116は、受付部113が受け付けた指示情報に基づいてネットワークに対する設定変更を実行する(ステップS29)。受付部113が受け付けた指示情報に含まれる装置ID22と受付部113が受け付けた管理者ID21との対応関係が正しくない場合(ステップS27でno)、情報処理装置110は動作を終了する。 As a result of the determination in step S27, when the correspondence between the device ID 22 included in the instruction information received by the reception unit 113 and the manager ID 21 received by the reception unit 113 is correct (yes in step S27), the execution unit 116 The setting change for the network is executed based on the instruction information received by the reception unit 113 (step S29). When the correspondence between the device ID 22 included in the instruction information received by the reception unit 113 and the administrator ID 21 received by the reception unit 113 is not correct (no in step S27), the information processing device 110 ends the operation.

[効果]
第2の実施形態にかかる情報処理装置110によれば、所定の管理者が管理する構成要素のセキュリティリスクに対処するために、当該管理者からの指示に基づいて、当該管理者が管理する構成要素以外の構成要素における対処を実行することができる。 [effect]
According to the information processing apparatus 110 according to the second embodiment, in order to deal with the security risk of the component managed by a predetermined manager, the manager manages the security risk based on an instruction from the manager. Actions can be taken on components other than elements.

[第3の実施形態]
[処理構成]
図9は、第3の実施形態にかかる情報処理装置120の構成を示す図である。情報処理装置120は、取得部121、格納部122、受付部123、解析部124、判定部125及び実行部126を備える。特に説明をしない構成については、第1及び第2の実施形態にかかる情報処理装置100及び情報処理装置110と同様の構成とする。 [Third Embodiment]
[Processing configuration]
FIG. 9 is a diagram showing the configuration of the information processing device 120 according to the third embodiment. The information processing device 120 includes an acquisition unit 121, a storage unit 122, a reception unit 123, an analysis unit 124, a determination unit 125, and an execution unit 126. Configurations not specifically described are similar to those of the information processing apparatus 100 and the information processing apparatus 110 according to the first and second embodiments.

取得部121は、セキュリティリスクの調査結果の他、装置220の稼働情報を取得する。稼働情報とは、装置220で行われた動作や処理の履歴を示す情報(稼働履歴情報)、又は、装置220でこれから行われる予定の動作や処理を示す情報(稼働予定情報)の少なくとも一方を含む情報である。これらの稼働情報は、装置220での所定の動作や処理の実行または所定の動作や処理の実行予定の入力に応じて、装置220で生成されて装置220の格納部122に格納される。 The acquisition unit 121 acquires the operation information of the device 220 in addition to the security risk investigation result. The operation information is at least one of information (operation history information) indicating a history of operations and processes performed by the device 220 or information (operation schedule information) indicating an operation and a process scheduled to be performed in the device 220. It is the information to include. The operation information is generated by the device 220 and stored in the storage unit 122 of the device 220 in response to the execution of the predetermined operation or process in the device 220 or the input of the execution schedule of the predetermined operation or process.

判定部125は、受付部123が受け付けた指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含む場合に、格納部122を参照して、受付部123が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しいか否か判定する。また、判定部125は、取得部121が取得した稼働情報に基づいて、セキュリティリスクに対する対処の推奨実行時刻(対処推奨時刻)を算出する。セキュリティリスクへの対処としてファイアウォールの設定変更やポートの閉鎖という対処が必要である場合、これらの対処の実行にともない装置220の再起動が必要となる場合がある。例えば、取得部121が取得した稼働情報において毎週木曜日に再起動を行っている装置220の場合、当該定期的な再起動のタイミングに合わせてセキュリティリスクへの対処を実行し、対処の実行にともなう再起動を行うと効率がよい。 The determination unit 125 refers to the storage unit 122 when the instruction information received by the reception unit 123 includes the instruction information regarding the countermeasure applicable to the device 220 with respect to the security risk, and the instruction information received by the reception unit 123. It is determined whether or not the correspondence relationship between the device ID 22 included in the ID and the administrator ID 21 received by the receiving unit 123 is correct. In addition, the determination unit 125 calculates a recommended execution time of countermeasures against security risks (recommended countermeasure time) based on the operation information acquired by the acquisition unit 121. When countermeasures such as firewall setting changes and port closures are required as countermeasures to security risks, the apparatus 220 may need to be restarted in accordance with the countermeasures. For example, in the case of the device 220 that restarts every Thursday in the operation information acquired by the acquisition unit 121, the security risk is dealt with at the timing of the periodic rebooting, and the countermeasure is taken. It is efficient to restart.

実行部126は、適用可能な対処を判定部125が算出した実行時刻に実行する。 The execution unit 126 executes applicable measures at the execution time calculated by the determination unit 125.

装置220の稼働停止時間を最小限にすることよりも、一刻も早くセキュリティリスクへの対処を実行することの方が優先される場合がある。この場合は、稼働状況に基づいて決定された実行時刻を管理者に通知し(図10)、対処を即実行するのか、稼働状況に基づいて算出された対処推奨時刻に実行するのかを選択させることもできる。 In some cases, taking security risks as soon as possible is prioritized over minimizing downtime of the device 220. In this case, the administrator is notified of the execution time determined based on the operating status (FIG. 10), and the operator is made to select whether to immediately execute the coping or the recommended coping time calculated based on the operating status. You can also

[動作]
図11を用いて、情報処理装置120の動作を説明する。 [motion]
The operation of the information processing device 120 will be described with reference to FIG.

取得部121は、装置220のセキュリティリスクの調査結果を取得する(ステップS31)。そして、取得部121は、装置220の稼働情報を取得する(ステップS33)。受付部123は、ネットワークの設定変更に関する指示情報と管理者ID21とを管理者から受け付ける(ステップS35)。指示情報と管理者ID21とを管理者から受け付けなかった場合(ステップS35でno)、情報処理装置120は動作を終了する。指示情報と管理者ID21とを管理者から受け付けた場合(ステップS35でyes)、解析部124は、受付部123が受け付けた指示情報を解析し、格納部112を参照して、当該指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含むか否か判定する(ステップS37)。
The acquisition unit 121 acquires the security risk investigation result of the device 220 (step S31). Then, the acquisition unit 121 acquires the operation information of the device 220 (step S33). The accepting unit 123 accepts the instruction information regarding the network setting change and the administrator ID 21 from the administrator (step S35). When the instruction information and the administrator ID 21 are not received from the administrator (no in step S35), the information processing apparatus 120 ends the operation. When the instruction information and the administrator ID 21 are received from the administrator (yes in step S35), the analysis unit 124 analyzes the instruction information received by the reception unit 123 and refers to the storage unit 112 to determine that the instruction information is It is determined whether or not the instruction information regarding the countermeasure applicable to the device 220 for the security risk is included (step S37).

ステップS37における解析の結果、受付部123が受け付けた指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含まない場合(ステップS37でno)、情報処理装置120は動作を終了する。受付部123が受け付けた指示情報がセキュリティリスクに対して装置220に適用可能な対処に関する指示情報を含む場合(ステップS37でyes)、判定部125は、格納部122を参照して、受付部123が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しいか否か判定する(ステップS39)。 As a result of the analysis in step S37, when the instruction information received by the reception unit 123 does not include the instruction information regarding the countermeasure applicable to the device 220 for the security risk (no in step S37), the information processing device 120 ends the operation. To do. When the instruction information received by the reception unit 123 includes the instruction information regarding the countermeasure applicable to the device 220 with respect to the security risk (yes in step S37), the determination unit 125 refers to the storage unit 122, and the reception unit 123. It is determined whether or not the correspondence between the device ID 22 included in the instruction information received by and the administrator ID 21 received by the receiving unit 123 is correct (step S39).

ステップS39における判定の結果、受付部123が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しい場合に(ステップS39でyes)、判定部125は、ステップS33で取得部121が取得した稼働情報に基づいて対処推奨時刻を算出する(ステップS41)。受付部113が受け付けた指示情報に含まれる装置ID22と受付部123が受け付けた管理者ID21との対応関係が正しくない場合(ステップS39でno)、情報処理装置120は動作を終了する。 As a result of the determination in step S39, when the correspondence relationship between the device ID 22 included in the instruction information received by the reception unit 123 and the manager ID 21 received by the reception unit 123 is correct (yes in step S39), the determination unit 125 The recommended coping time is calculated based on the operation information acquired by the acquisition unit 121 in step S33 (step S41). When the correspondence relationship between the device ID 22 included in the instruction information received by the reception unit 113 and the administrator ID 21 received by the reception unit 123 is incorrect (no in step S39), the information processing device 120 ends the operation.

実行部126は、現在時刻がステップS41で算出された対処推奨時刻になった場合(ステップS43でyes)、受付部123が受け付けた指示情報に基づいてネットワークに対する設定変更を実行する(ステップS45)。 When the present time reaches the recommended coping time calculated in step S41 (yes in step S43), the execution unit 126 executes the setting change for the network based on the instruction information received by the reception unit 123 (step S45). ..

[作用効果]
第3の実施形態にかかる情報処理装置120によれば、セキュリティリスクに対する対処を装置220の稼働状況にあわせて効果的に実行することができる。 [Effect]
According to the information processing apparatus 120 according to the third embodiment, it is possible to effectively deal with the security risk according to the operating status of the apparatus 220.

[第4の実施形態]
[処理構成]
図12は、第4の実施形態にかかる情報処理装置130の構成を示す図である。情報処理装置130は、取得部131、格納部132、受付部133、解析部134、判定部135及び実行部136を備える。特に説明をしない構成については、第1乃至3の実施形態にかかる情報処理装置100、情報処理装置110、情報処理装置120と同様の構成とする。 [Fourth Embodiment]
[Processing configuration]
FIG. 12 is a diagram showing the configuration of the information processing device 130 according to the fourth embodiment. The information processing device 130 includes an acquisition unit 131, a storage unit 132, a reception unit 133, an analysis unit 134, a determination unit 135, and an execution unit 136. Configurations not specifically described are similar to those of the information processing apparatus 100, the information processing apparatus 110, and the information processing apparatus 120 according to the first to third embodiments.

格納部132は、第2の実施形態における構成要素別対処情報10に対応する情報を格納する。また、格納部132は、第2の実施形態における情報20に対応する情報、すなわち、管理者ID21と装置ID22とが対応づけられた情報を格納する。図13は、情報20に対応する情報30の一例を示す図である。情報30では、実行部136による対処の実行が完了したか否かを示すフラグ(対処完了フラグ)34が装置IDに対応付られて格納されている。図13において、対処完了フラグ34の「1」は対処の実行が完了していることを示し、「0」は対処の実行が完了していないことを示す。対処完了フラグ34の代わりに対処の進捗状況に関する情報を格納し、当該情報に基づいて管理者に対処の進捗状況を提示することもできる。 The storage unit 132 stores information corresponding to the component-by-component handling information 10 according to the second embodiment. The storage unit 132 also stores information corresponding to the information 20 in the second embodiment, that is, information in which the administrator ID 21 and the device ID 22 are associated with each other. FIG. 13 is a diagram showing an example of the information 30 corresponding to the information 20. In the information 30, a flag (coping completion flag) 34 indicating whether or not the execution of the coping by the execution unit 136 is completed is stored in association with the device ID. In FIG. 13, “1” of the coping completion flag 34 indicates that the coping execution is completed, and “0” indicates that the coping execution is not completed. Instead of the coping completion flag 34, it is possible to store information about the coping progress status and present the coping progress status to the administrator based on the information.

判定部135は、受付部133がネットワークの設定変更に関する指示情報と管理者ID11とを管理者から受け付けた場合に、格納部132を参照し、実行部136による対処の実行が完了しているか否かを判定する。判定部135は、実行部136による対処の実行が完了していると判定した場合に、当該指示情報を無効化する。具体的には、判定部135は、当該指示情報を破棄し、既に対処の実行が完了していることを管理者に通知する。通知には、電子メール送信による通知や、管理者が管理する装置等の表示画面での表示による通知がある。 When the accepting unit 133 accepts the instruction information regarding the network setting change and the administrator ID 11 from the administrator, the determining unit 135 refers to the storage unit 132 and determines whether or not the execution unit 136 has completed the countermeasure. Determine whether. When the determination unit 135 determines that the execution of the countermeasure by the execution unit 136 has been completed, the determination unit 135 invalidates the instruction information. Specifically, the determination unit 135 discards the instruction information and notifies the administrator that the countermeasure has already been executed. The notification includes a notification by sending an electronic mail and a notification by a display on a display screen of a device or the like managed by an administrator.

[動作]
図14を用いて、情報処理装置130の動作を説明する。 [motion]
The operation of the information processing device 130 will be described with reference to FIG.

ステップS51乃至ステップS55は図8のステップS21乃至ステップS25と同様である。 Steps S51 to S55 are the same as steps S21 to S25 in FIG.

図14では、受付部133が受け付けた指示情報がセキュリティリスクに対して装置230に適用可能な対処に関する指示情報を含む場合(ステップS55でyes)、判定部135は、格納部132を参照し、実行部136による対処の実行が完了しているか否かを判定する(ステップS57)。ステップS55における判定の結果、実行部136による対処の実行が完了している場合(ステップS57でyes)、情報処理装置130は動作を終了する。実行部136による対処の実行が完了していない場合(ステップS57でno)、ステップS59に進む。ステップS59及びステップS61は図8のステップS27及びステップS29と同様である。 In FIG. 14, when the instruction information received by the receiving unit 133 includes the instruction information regarding the countermeasure applicable to the device 230 with respect to the security risk (yes in step S55), the determination unit 135 refers to the storage unit 132, It is determined whether or not the execution of the countermeasure by the execution unit 136 has been completed (step S57). As a result of the determination in step S55, when the execution of the countermeasure by the execution unit 136 is completed (yes in step S57), the information processing apparatus 130 ends the operation. When the execution of the countermeasure by the execution unit 136 is not completed (No in step S57), the process proceeds to step S59. Steps S59 and S61 are the same as steps S27 and S29 of FIG.

[作用効果]
第4の実施形態にかかる情報処理装置130によれば、受付部133が、セキュリティリスクの調査の結果必要となった対処と同内容の指示情報を受け付けたとしても、対処が完了している場合には判定部135が、当該指示情報を破棄する。そのため、対処の重複した実行を防ぐことができるとともに、ネットワークの設定変更に関する権限の付与範囲を必要以上に拡大することを防ぐことができる。 [Effect]
According to the information processing apparatus 130 according to the fourth embodiment, even if the reception unit 133 receives instruction information having the same content as the countermeasure required as a result of the security risk investigation, the countermeasure has been completed. Then, the determination unit 135 discards the instruction information. Therefore, it is possible to prevent the duplicated execution of the measures, and it is possible to prevent the range of granting the authority regarding the network setting change from being expanded more than necessary.

以上、本発明の実施形態について説明したが、本発明は上記実施形態に限定されるものではなく、本発明の趣旨を逸脱しない限りにおいて他の変形例、応用例を含むことは言うまでもない。 Although the embodiment of the present invention has been described above, the present invention is not limited to the above embodiment, and it goes without saying that other modifications and applications are included without departing from the spirit of the present invention.

10 構成要素別対処情報
11、31、 調査ID
12、22、32 装置ID
13、33 適用可能な対処
21 管理者ID
20、30 情報
34 対処完了フラグ
100、110、120、130 情報処理装置
101 特定部
102、113、123、133 受付部
103、116、126、136 実行部
110a プロセッサ
110b メモリ
110c ストレージ
110d 入出力インタフェース
110e 通信インタフェース
110f データ伝送路
111、121、131 取得部
112、122、132 格納部
114、124、134 解析部
115、125、135 判定部
200、300 構成要素
210、220、230 装置
310、320、330 ネットワーク
211 通信部
212 調査部
1000、2000 システム 10 Response information for each component 11, 31, Survey ID
12, 22, 32 Device ID
13, 33 Applicable measures 21 Administrator ID
20, 30 Information 34 Coping completion flag 100, 110, 120, 130 Information processing device 101 Identification unit 102, 113, 123, 133 Reception unit 103, 116, 126, 136 Execution unit 110a Processor 110b Memory 110c Storage 110d Input/output interface 110e Communication interface 110f Data transmission path 111, 121, 131 Acquisition unit 112, 122, 132 Storage unit 114, 124, 134 Analysis unit 115, 125, 135 Determination unit 200, 300 Component 210, 220, 230 Device 310, 320, 330 Network 211 Communication unit 212 Research unit 1000, 2000 system

Claims (10)

第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定部と、
前記第1の構成要素から、前記第2の構成要素における前記対処を含む指示情報と前記第1の構成要素の管理者情報とを受け付ける受付部と、
前記受付部が指示情報を受け付けた前記第1の構成要素と前記管理者情報との対応が、構成要素と構成要素の管理者情報とが対応づけて記憶された対応情報に含まれることを判定する判定部と、
前記対応が対応情報に含まれる場合、前記指示情報に基づいて、前記対処を実行する実行部と、を備える情報処理装置。 A specifying unit that specifies a second component related to coping with a security risk relating to the first component;
A receiving unit that receives a first configuration needed fluorinated et al, administrator information of the instruction information and the first component containing the address in said second component,
It is determined that the correspondence between the first constituent element for which the reception unit has received the instruction information and the manager information is included in the correspondence information in which the constituent element and the manager information of the constituent element are stored in association with each other. A determination unit that
When the correspondence is included in the correspondence information, an information processing apparatus including: an execution unit that executes the handling based on the instruction information. 前記特定部は、前記第1の構成要素の通信履歴情報に基づいて前記第2の構成要素を特定する、請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the specifying unit specifies the second constituent element based on communication history information of the first constituent element. 前記セキュリティリスクに対して前記第1の構成要素ごとに適用可能な対処を示す構成要素別対処情報を格納する格納部と、を備え、
前記特定部は、前記格納部に格納された前記構成要素別対処情報を参照して前記第2の構成要素を特定する、請求項1又は2に記載の情報処理装置。 A storage unit that stores component-by-component countermeasure information indicating a countermeasure applicable to each of the first components with respect to the security risk;
The information processing apparatus according to claim 1, wherein the identifying unit identifies the second component with reference to the component-by-component handling information stored in the storage. 前記第1の構成要素の稼働履歴情報及び稼働予定情報を含む稼働情報を取得する取得部を備え、
前記実行部は、前記取得部が取得した前記稼働情報に基づいて、前記セキュリティリスクに対して前記第1の構成要素に適用可能な対処の実行時刻を算出し、前記適用可能な対処を当該算出した実行時刻に実行する、請求項1乃至3のいずれか1項に記載の情報処理装置。 An acquisition unit for acquiring operation information including operation history information and operation schedule information of the first component;
The execution unit calculates an execution time of a countermeasure applicable to the first component with respect to the security risk, based on the operation information acquired by the acquisition unit, and calculates the applicable countermeasure. to execute the execution time, the information processing apparatus according to any one of claims 1 to 3. 情報処理装置が、
第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定ステップと、
前記第1の構成要素から、前記第2の構成要素における前記対処を含む指示情報と前記第1の構成要素の管理者情報とを受け付ける受付ステップと、
指示情報を受け付けた前記第1の構成要素と前記管理者情報との対応が、構成要素と構成要素の管理者情報とが対応づけて記憶された対応情報に含まれることを判定する判定ステップと、
前記対応が対応情報に含まれる場合、前記指示情報に基づいて、前記対処を実行する実行ステップと、を含む情報処理方法。 The information processing device
Identifying steps of identifying a second component associated with addressing a security risk associated with the first component;
A reception step of receiving said first configuration is needed fluorinated et al, administrator information of the instruction information and the first component containing the address in said second component,
A determination step of determining that the correspondence between the first constituent element that has received the instruction information and the manager information is included in the correspondence information stored in association with the constituent element and the manager information of the constituent element; ,
When the correspondence is included in the correspondence information, an execution step of executing the handling based on the instruction information, the information processing method. 前記特定ステップでは、前記第1の構成要素の通信履歴情報に基づいて前記第2の構成要素を特定する、請求項5に記載の情報処理方法。 The information processing method according to claim 5, wherein in the identifying step, the second component is identified based on communication history information of the first component. 前記特定ステップでは、前記セキュリティリスクに対して前記第1の構成要素ごとに適用可能な対処を示す構成要素別対処情報を参照して前記第2の構成要素を特定する、請求項5又は6に記載の情報処理方法。 7. In the identifying step, the second component is identified with reference to component-by-component countermeasure information indicating countermeasures applicable to the security risk for each of the first components, 7. Information processing method described. 前記第1の構成要素の稼働履歴情報及び稼働予定情報を含む稼働情報を取得する取得ステップを含み、
前記実行ステップでは、前記取得ステップにて取得した前記稼働情報に基づいて、前記セキュリティリスクに対して前記第1の構成要素に適用可能な対処の実行時刻を算出し、前記適用可能な対処を当該算出した実行時刻に実行する、請求項5乃至7のいずれか1項に記載の情報処理方法。 Including an acquisition step of acquiring operation information including operation history information and operation schedule information of the first component;
In the execution step, based on the operation information acquired in the acquisition step, an execution time of a countermeasure applicable to the first component with respect to the security risk is calculated, and the applicable countermeasure is calculated. run the calculated execution time, the information processing method according to any one of claims 5 to 7. コンピュータに、第1の構成要素に関するセキュリティリスクに対する対処に関連する第2の構成要素を特定する特定処理と、
前記第1の構成要素から、前記第2の構成要素における前記対処を含む指示情報と前記第1の構成要素の管理者情報とを受け付ける受付処理と、
指示情報を受け付けた前記第1の構成要素と前記管理者情報との対応が、構成要素と構成要素の管理者情報とが対応づけて記憶された対応情報に含まれることを判定する判定処理と、
前記対応が対応情報に含まれる場合、前記指示情報に基づいて、前記対処を実行する実行処理と、を実行させるプログラム。 Identifying processing of causing the computer to identify a second component related to coping with a security risk relating to the first component;
A receiving process of receiving and said first configuration is needed fluorinated et al, administrator information of the instruction information and the first component containing the address in said second component,
Determination processing for determining that the correspondence between the first constituent element that has received the instruction information and the manager information is included in the correspondence information stored in association with the constituent element and the manager information of the constituent element. ,
A program that, when the correspondence is included in the correspondence information, executes an execution process that executes the handling based on the instruction information. 前記特定処理では、前記第1の構成要素の通信履歴情報に基づいて前記第2の構成要素を特定する、請求項9に記載のプログラム。 The program according to claim 9, wherein in the identifying process, the second component is identified based on communication history information of the first component.
JP2016065697A 2016-03-29 2016-03-29 Information processing apparatus, information processing method, and program Active JP6716995B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016065697A JP6716995B2 (en) 2016-03-29 2016-03-29 Information processing apparatus, information processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016065697A JP6716995B2 (en) 2016-03-29 2016-03-29 Information processing apparatus, information processing method, and program

Publications (2)

Publication Number Publication Date
JP2017182272A JP2017182272A (en) 2017-10-05
JP6716995B2 true JP6716995B2 (en) 2020-07-01

Family

ID=60006192

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016065697A Active JP6716995B2 (en) 2016-03-29 2016-03-29 Information processing apparatus, information processing method, and program

Country Status (1)

Country Link
JP (1) JP6716995B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004258777A (en) * 2003-02-24 2004-09-16 Fujitsu Ltd Security monitoring device, its system, its method and its program
JP2005301551A (en) * 2004-04-09 2005-10-27 Hitachi Ltd Security measure system and integrated security system
WO2008004498A1 (en) * 2006-07-06 2008-01-10 Nec Corporation Security risk management system, device, method, and program
JP5371095B2 (en) * 2009-04-20 2013-12-18 株式会社日立ソリューションズ Patch application system

Also Published As

Publication number Publication date
JP2017182272A (en) 2017-10-05

Similar Documents

Publication Publication Date Title
US11805148B2 (en) Modifying incident response time periods based on incident volume
US9594881B2 (en) System and method for passive threat detection using virtual memory inspection
EP3127301B1 (en) Using trust profiles for network breach detection
EP2984600B1 (en) Systems and techniques for providing virtual machine security
US8789190B2 (en) System and method for scanning for computer vulnerabilities in a network environment
EP3161999B1 (en) Method and system for secure delivery of information to computing environments
US10320814B2 (en) Detection of advanced persistent threat attack on a private computer network
US8776180B2 (en) Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms
GB2609363A (en) Endpoint security
US20160127417A1 (en) Systems, methods, and devices for improved cybersecurity
WO2014112185A1 (en) Attack analysis system, coordination device, attack analysis coordination method, and program
US20220046030A1 (en) Simulating user interactions for malware analysis
JP2020095459A (en) History monitoring method, monitoring processor and monitoring processing program
JP6716995B2 (en) Information processing apparatus, information processing method, and program
US11586722B2 (en) Securely managing authentication information for automated incident responses

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191210

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200512

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200525

R150 Certificate of patent or registration of utility model

Ref document number: 6716995

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150