JP6735996B2 - 脆弱性対策管理システム - Google Patents
脆弱性対策管理システム Download PDFInfo
- Publication number
- JP6735996B2 JP6735996B2 JP2016094470A JP2016094470A JP6735996B2 JP 6735996 B2 JP6735996 B2 JP 6735996B2 JP 2016094470 A JP2016094470 A JP 2016094470A JP 2016094470 A JP2016094470 A JP 2016094470A JP 6735996 B2 JP6735996 B2 JP 6735996B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- vulnerability
- countermeasure
- data
- distribution execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
(1)正しい適切な脆弱性情報をどのように入手すべきか分からない。
(2)脆弱性情報は自社の環境に該当するのか分からない。
(3)該当する機器へどのような対策を行えばよいか分からない。
(4)対策を取ったことで別の障害が起こったら困る。
第2の発明は、脆弱性対策データ配布実行手段によって行われた動作情報及び脆弱性対策の適応結果の情報と、脆弱性対策の結果コンピュータとそれに接続されたIT関連機器の動作又はこれらに含まれるソフトウェアの動作に悪影響があった機器から脆弱性対策を取り除いた情報と、配布実行データ作成手段により作成される対策データ及び配布実行情報の蓄積された配布実行情報データベースと、を備えたことを特徴とする同脆弱性対策管理システムである。
ユーザーに提供する「脆弱性情報対策データベース」を作成するための情報のインプットは以下等から入手する。
・A001:海外脆弱性情報データベース
海外の脆弱性情報に対する調査分析勧告を行う団体等が公開する情報
・A002:国内脆弱性情報データベース
国内の脆弱性情報に対する調査分析勧告を行う団体等が公開する情報
・A003:その他脆弱性情報提供団体
A001/A002以外の脆弱性情報に対する公開情報
・A004:各開発ベンダー
コンピュータのハードウェア/ソフトウェアを開発している各ベンダーが提供する公開情報
・B001:脆弱性情報
各団体などが公開提供している脆弱性情報
・B002:脆弱性対策データ
各開発ベンダーが提供する脆弱性に対策する為のファイルによるデータ。例えばインストーラなどがある。
・B003:脆弱性対策情報
各開発ベンダーが提供する脆弱性に対策する為のファイル以外の情報。例えば設定の変更方法や機能の停止方法などがある。
・B004:その他脆弱性対策
B002やB003の対策方法が複雑/大量などの場合を含め作業軽減又は自動化を支援する為の対策。例えば、スクリプトや実行プログラム等がある。
・C001:脆弱性情報対策データベース作成
インプット情報を元に独自の情報を追加したり必要な情報やデータをまとめたりなどを行う。
・D001:脆弱性情報対策データベース
利用者に分かりやすく整理された脆弱性情報とその脆弱性の対策方法が格納されたデータベース。
・E001:データベースの提供
D001の脆弱性情報対策データベースを利用者へ提供する提供方法はクラウドサービスやインターネット経由又はファイル等にて行い提供方法は問わない。
・F001:利用者(ユーザー)
D001の脆弱性情報対策データベースを用いて脆弱性対策をする利用者であり、脆弱性情報対策データベースを用いて動作する管理システムが動作している。
脆弱性対策管理システムは以下のデータベースや各種情報及び装置等にて構成される。
脆弱性情報対策データベース作成システムにて作成されたデータベースで以下のデータを含んでいる。
・D101:対象ハードウェア情報
当該脆弱性が含まれるハードウェア機器名等の対象情報
・D102:対象ソフトウェア情報
当該脆弱性が含まれるソフトウェアの情報
例としてOS名や製品名及びソフトウエア名又は該当技術名等
・D103:脆弱性対策情報
当該脆弱性に関する詳細情報及び対策に関する詳細情報
例として脆弱性名/概要/深刻度/影響を受けるシステム/影響/対策内容/ベンダ情報/脆弱性種別/関連情報等
・D104:脆弱性対策データ
脆弱性を対策するための(B002脆弱性対策データ/B003脆弱性対策情報/B004その他脆弱性対策等)データ
F005のIT資産情報収集装置にてF003コンピュータやF004IT関連機器からIT資産情報を収集したデータベースで以下のデータを含んでいる。
・D201:ハードウェア情報
F003及びF004のハードウェア情報
F005IT資産情報収集運搬から自動収集及びシステム管理者が手動等にて登録する。
・D202:ソフトウェア情報
F003及びF004のソフトウェア情報
F005IT資産情報収集運搬から自動収集及びシステム管理者が手動等にて登録する。
F007配布実行データ作成装置及びF008脆弱性対策データ配布実行装置により作成されるデータベースで以下のデータを含んでいる。
・D301:配布実行結果情報
F008脆弱性対策データ配布実行装置が行った動作情報や対策の適応結果等の情報
F003/F004の機器毎及び実行機会毎に保管されている。
・D302:適応対象除外情報
脆弱性対策の結果F003/F004の動作や含まれている業務システムなど各ソフトウェアの動作に悪影響があった機器から脆弱性対策を取り除いた情報。
このロールバック情報を用いて当該機器が悪影響を受ける脆弱性対策が再度行われない様に対策する情報。
・D303:脆弱性対策データ及び配布実行情報
F007配布実行データ作成装置により作成される情報。
F003/F004らのどの機器にどの脆弱性情報対策データを配布し何を実行するのかや、実行情報及び成功条件等の各種情報を含む。
脆弱性対策管理システムを運用管理する管理者である。
システム管理者の作業及び操作を代替するプログラムの場合もある。
・F003:コンピュータ
パーソナルコンピュータ等である。
・F004:IT関連機器
プリンター/ルーター等の関連機器である。
F003/F004からハードウェア情報及びソフトウェア情報を収集しD002IT資産情報データベースへ格納する。
収集情報は機器名/OS等のシステム情報/導入されているソフトウェアの製品名/ベンダー名/バージョンや各種環境設定情報など多岐にわたる。
D001/D002のハードウェア情報とソフトウェア情報及び脆弱性対策情報を突き合わせてD004脆弱性該当資産一覧情報を自動作成する装置である。
F006脆弱性該当情報検出装置にて作成される情報。
これを用いる事で所有するIT資産機器で脆弱性が含まれるハードウェア/ソフトウェアの存在把握や脆弱性に該当するIT資産機器の存在把握が可能。
F002システム管理者が主にD004脆弱性該当資産一覧情報を用いてD303脆弱性対策データ及び配布実行情報を作成する装置。
再配布権の影響でD104脆弱性対策データに含まれないファイル等はD103に記載されている入手先情報を元にA004各開発ベンダーよりB002脆弱性対策データをF002システム管理者が入手し本装置を用いて配布実行データへ含めることも出来る。
D302適応対象外情報を参照し悪影響を受ける可能性のある機器を対象外とするなどの設定ができる。
D303脆弱性対策データ及び配布実行情報をネットワーク等を用いてF003コンピュータやF004IT関連機器へ配布し必要な処理を自動実行する装置。
配布実行情報には配布条件や実行条件など処理に関わる条件設定が記載されておりそれを参照して該当機器へ適切に配布され実行される。
又対策の適応結果について成功又は失敗の条件も記載されそれを元に対策適応結果を自動判別しD301配布実行結果情報へ格納する。
データの配布については基本的にはネットワークを経由して行われるが、可搬記憶媒体等を用いることも可能である。
ネットワークを経由して配布する場合は負荷分散や帯域制御及び再開など環境に影響を与えない機構が備わっている。
通常の「PDCA」サイクルスピードでは緊急性を求められる脆弱性対策には迅速性において不十分な場合が考えられる。しかし、本願発明の「脆弱性対策管理システム」によれば、脆弱性対策のために、防御(P)/検知(D)/復旧(C)の3層活動と連携し、それぞれの層に適切な措置を迅速に適応(A)することができるので(脆弱性対策のPDCAレイヤードサイクル)、これまでにない「迅速に、必要な個所に、適切に」脆弱性対策を実現できる。
Claims (1)
- コンピュータのハードウェアとソフトウェアの脆弱性情報及びその対策データの蓄積された脆弱性情報対策データベースと、
コンピュータとそれに接続されたIT関連機器のハードウェア情報及びソフトウェア情報の蓄積されたIT資産情報データベースと、
脆弱性情報対策データベースの脆弱性情報とIT資産情報データベースのハードウェア情報及びソフトウェア情報を突き合わせて脆弱性該当資産一覧情報を作成する脆弱性該当情報検出手段と、
脆弱性該当情報検出手段により作成した脆弱性該当資産一覧情報を用いて脆弱性に対応した対策データ及び配布実行情報を作成する配布実行データ作成手段と、
配布実行データ作成手段により作成した対策データ及び配布実行情報をコンピュータとそれに接続されたIT関連機器に配布し必要な処理を実行する脆弱性対策データ配布実行手段と、
脆弱性対策データ配布実行手段によって行われた動作情報及び脆弱性対策の適応結果の情報と、脆弱性対策の結果コンピュータとそれに接続されたIT関連機器の動作又はこれらに含まれるソフトウェアの動作に悪影響があった機器から脆弱性対策を取り除いた情報と、かかる情報を用いて機器が悪影響を受ける脆弱性対策が再度行われないように対策する情報と、配布実行データ作成手段により作成される対策データ及び配布実行情報と、が蓄積された配布実行情報データベースと、
を備えたことを特徴とする脆弱性対策管理システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016094470A JP6735996B2 (ja) | 2016-05-10 | 2016-05-10 | 脆弱性対策管理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016094470A JP6735996B2 (ja) | 2016-05-10 | 2016-05-10 | 脆弱性対策管理システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017204058A JP2017204058A (ja) | 2017-11-16 |
JP6735996B2 true JP6735996B2 (ja) | 2020-08-05 |
Family
ID=60322894
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016094470A Active JP6735996B2 (ja) | 2016-05-10 | 2016-05-10 | 脆弱性対策管理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6735996B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101941039B1 (ko) * | 2018-05-29 | 2019-01-23 | 한화시스템(주) | 사이버 위협 예측 시스템 및 방법 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004234208A (ja) * | 2003-01-29 | 2004-08-19 | Mitsubishi Electric Corp | セキュリティ対策運用管理装置 |
JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
JP4414865B2 (ja) * | 2004-11-16 | 2010-02-10 | 株式会社日立製作所 | セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム |
JP2007249340A (ja) * | 2006-03-14 | 2007-09-27 | Fujitsu Ltd | ソフトウェアアップデート方法、アップデート管理プログラム、情報処理装置 |
-
2016
- 2016-05-10 JP JP2016094470A patent/JP6735996B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017204058A (ja) | 2017-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10621359B2 (en) | Amalgamating code vulnerabilities across projects | |
Islam et al. | Assurance of security and privacy requirements for cloud deployment models | |
WO2019089654A1 (en) | Implementation of continuous real-time validation of distributed data storage systems | |
US10043011B2 (en) | Methods and systems for providing recommendations to address security vulnerabilities in a network of computing systems | |
US20100125911A1 (en) | Risk Scoring Based On Endpoint User Activities | |
Tiefenau et al. | Security, availability, and multiple information sources: Exploring update behavior of system administrators | |
US9720999B2 (en) | Meta-directory control and evaluation of events | |
US10650476B2 (en) | Electronic discovery process using a blockchain | |
US8019845B2 (en) | Service delivery using profile based management | |
US20180373880A1 (en) | Machine Learning Statistical Methods Estimating Software System's Security Analysis Assessment or Audit Effort, Cost and Processing Decisions | |
JP2003216576A (ja) | 脆弱点監視方法及びシステム | |
Pearson et al. | Context-aware privacy design pattern selection | |
JP6735996B2 (ja) | 脆弱性対策管理システム | |
US11722324B2 (en) | Secure and accountable execution of robotic process automation | |
US20230259657A1 (en) | Data inspection system and method | |
JP2022537124A (ja) | サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション | |
KR20180130631A (ko) | 클라우드 서비스를 기반으로 제공되는 취약점 진단 시스템 | |
JP6710716B2 (ja) | 脅威情報評価装置、脅威情報評価方法およびプログラム | |
Mann et al. | Secure data processing in the cloud | |
Tahmid | Accounting in the cloud: a new era of streamlining accounting with cloud technology | |
Quill et al. | Automating legal compliance documentation for iot devices on the network | |
Pandit et al. | Gdpr-driven change detection in consent and activity metadata | |
US20240202020A1 (en) | Systems and methods for monitoring assets in a cloud computing environment | |
US20240078336A1 (en) | Annotation injector for protecting personal information, confidential information, highly confidential information, and otherwise sensitive data | |
US20230004913A1 (en) | Environment assessment capture via data confidence fabrics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190509 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20190509 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20190509 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200310 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200424 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200603 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200622 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6735996 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |