JP7008922B2 - Processing equipment and processing method - Google Patents

Processing equipment and processing method Download PDF

Info

Publication number
JP7008922B2
JP7008922B2 JP2020046036A JP2020046036A JP7008922B2 JP 7008922 B2 JP7008922 B2 JP 7008922B2 JP 2020046036 A JP2020046036 A JP 2020046036A JP 2020046036 A JP2020046036 A JP 2020046036A JP 7008922 B2 JP7008922 B2 JP 7008922B2
Authority
JP
Japan
Prior art keywords
vulnerability
information
level
condition
processing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020046036A
Other languages
Japanese (ja)
Other versions
JP2020194529A (en
Inventor
康弘 鈴木
Original Assignee
ビジョナル・インキュベーション株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ビジョナル・インキュベーション株式会社 filed Critical ビジョナル・インキュベーション株式会社
Priority to JP2020046036A priority Critical patent/JP7008922B2/en
Publication of JP2020194529A publication Critical patent/JP2020194529A/en
Application granted granted Critical
Publication of JP7008922B2 publication Critical patent/JP7008922B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、処理装置及び処理方法に関する。 The present invention relates to a processing apparatus and a processing method.

従来、ソフトウェアが有する複数の脆弱性情報の中から調査対象とすべき脆弱性情報を効果的に選択する技術が提案されている。具体的には、情報処理装置は、インターネットなどのネットワーク上で公開された脆弱性情報を収集し、ソフトウェアに対応する脆弱性情報を特定する。情報処理装置は、攻撃種別、通信プロトコル、ソフトウェアの製品種別など基づいて、特定された脆弱性情報の優先度を決定する(例えば、特許文献1)。 Conventionally, a technique for effectively selecting vulnerability information to be investigated from a plurality of vulnerability information possessed by software has been proposed. Specifically, the information processing device collects vulnerability information published on a network such as the Internet, and identifies the vulnerability information corresponding to the software. The information processing device determines the priority of the identified vulnerability information based on the attack type, communication protocol, software product type, and the like (for example, Patent Document 1).

特開2007-58514号公報Japanese Unexamined Patent Publication No. 2007-55814

しかしながら、上述した技術は、OSS(Open Source Software)に代表される公開ソフトウェアについて考慮されておらず、自社で開発したソフトウェアの脆弱性について自社で対策を講じるケースを想定している。従って、上述した技術では、公開ソフトウェアを使わない、公開ソフトウェアをバージョンアップするなどの対策が想定されていない。 However, the above-mentioned technology does not consider public software represented by OSS (Open Source Software), and assumes a case where the software is vulnerable to the in-house developed software. Therefore, in the above-mentioned technology, measures such as not using the public software and upgrading the public software are not assumed.

このような状況に鑑みて、発明者等は、鋭意検討の結果、公開ソフトウェアを用いるケースでは、上述した技術に開示された優先度の設定方法が必ずしも適切ではないことを見出した。 In view of such a situation, the inventors have found that, as a result of diligent studies, the method of setting the priority disclosed in the above-mentioned technology is not always appropriate in the case of using the public software.

そこで、本発明は、上述した課題を解決するためになされたものであり、公開ソフトウェアを用いるケースにおいて、脆弱性を有する公開ソフトウェアの扱いを適切に判定することを可能とする処理装置及び処理方法を提供することを目的とする。 Therefore, the present invention has been made to solve the above-mentioned problems, and is a processing device and a processing method capable of appropriately determining the handling of vulnerable public software in the case of using public software. The purpose is to provide.

第1の特徴は、公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理装置であって、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、前記脆弱性の優先度を出力する制御部を備え、前記制御部は、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、或いは、前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定する、ことを要旨とする。 The first feature is a processing device for determining the vulnerability of the public software in the system including the public software, and the first information indicating whether or not the public software can be accessed from the outside and the first information. The control unit includes a control unit that outputs the priority of the vulnerability based on at least one of the second information indicating whether or not the attack code for the vulnerability of the public software is distributed. , The vulnerability of the public software that can be accessed from the outside is set to a higher priority than the vulnerability of the public software that is not accessible from the outside, or the attack code is distributed. The gist is to set a higher priority than the vulnerability for which the attack code is not distributed for the vulnerability.

第2の特徴は、第1の特徴において、前記処理装置は、前記外部からアクセス可能であるか否かを入力するユーザインタフェースを出力する出力部を備える、ことを要旨とする。 The second feature is the gist of the first feature, that the processing apparatus includes an output unit that outputs a user interface for inputting whether or not the processing device is accessible from the outside.

第3の特徴は、第2の特徴において、前記出力部は、前記脆弱性を有する前記公開ソフトウェアを含むシステム単位で、前記外部からアクセス可能であるか否かを入力するユーザインタフェースを出力する、ことを要旨とする。 The third feature is that, in the second feature, the output unit outputs a user interface for inputting whether or not the system is accessible from the outside in a system unit including the public software having the vulnerability. The gist is that.

第4の特徴は、第1の特徴乃至第3の特徴において、前記制御部は、前記第1情報及び第2情報の双方に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The fourth feature is that in the first feature to the third feature, the control unit outputs the priority of the vulnerability based on both the first information and the second information. do.

第5の特徴は、第4の特徴において、前記制御部は、前記第1情報及び第2情報に加えて、前記脆弱性の種別を示す第3情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The fifth feature is that in the fourth feature, the control unit determines the priority of the vulnerability based on the third information indicating the type of the vulnerability in addition to the first information and the second information. The gist is to output.

第6の特徴は、第5の特徴において、前記制御部は、前記第1情報、前記第2情報及び前記第3情報に加えて、前記脆弱性について第三者機関が設定する前記脆弱性のレベルを示す第4情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The sixth feature is that in the fifth feature, the control unit has the vulnerability set by a third party regarding the vulnerability in addition to the first information, the second information and the third information. The gist is to output the priority of the vulnerability based on the fourth information indicating the level.

第7の特徴は、第6の特徴において、前記制御部は、前記第4情報に基づいて、前記脆弱性のレベルがレベル条件を満たす脆弱性を特定し、特定された脆弱性を対象として、前記第1情報、前記第2情報及び前記第3情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The seventh feature is that in the sixth feature, the control unit identifies a vulnerability in which the level of the vulnerability satisfies the level condition based on the fourth information, and targets the identified vulnerability. The gist is to output the priority of the vulnerability based on the first information, the second information, and the third information.

第8の特徴は、第5の特徴乃至第7の特徴において、前記制御部は、前記第2情報に基づいて、前記攻撃コードが流通している脆弱性を特定し、或いは、前記第3情報に基づいて、前記脆弱性の種別が種別条件を満たす脆弱性を特定し、前記制御部は、特定された脆弱性を対象として、前記第1情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The eighth feature is that in the fifth to seventh features, the control unit identifies the vulnerability in which the attack code is distributed based on the second information, or the third information. Based on the above, the type of the vulnerability identifies a vulnerability that satisfies the type condition, and the control unit outputs the priority of the vulnerability based on the first information for the identified vulnerability. The gist is to do.

第9の特徴は、公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理方法であって、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、前記脆弱性の優先度を出力するステップと、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、或いは、前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定するステップと、を備えることを要旨とする。 The ninth feature is a processing method for determining the vulnerability of the public software in the system including the public software, and the first information indicating whether or not the public software can be accessed from the outside and the first information. A step of outputting the priority of the vulnerability based on at least one of the second information indicating whether or not the attack code for the vulnerability of the public software is distributed, and the step of being accessible from the outside. For the vulnerability of the public software, a higher priority is set than the vulnerability of the public software that is not accessible from the outside, or the vulnerability in which the attack code is distributed is set. On the other hand, the gist is to provide a step of setting a higher priority than the vulnerability in which the attack code is not distributed.

本発明によれば、公開ソフトウェアを用いるケースにおいて、脆弱性を有する公開ソフトウェアの扱いを適切に判定することを可能とする処理装置及び処理方法を提供することができる。 INDUSTRIAL APPLICABILITY According to the present invention, it is possible to provide a processing device and a processing method capable of appropriately determining the handling of vulnerable public software in the case of using public software.

図1は、実施形態に係る処理システム100を示す図である。FIG. 1 is a diagram showing a processing system 100 according to an embodiment. 図2は、実施形態に係る処理装置10を示す図である。FIG. 2 is a diagram showing a processing device 10 according to an embodiment. 図3は、実施形態に係る脆弱性情報を示す図である。FIG. 3 is a diagram showing vulnerability information according to the embodiment. 図4は、実施形態に係るユーザインタフェースを示す図である。FIG. 4 is a diagram showing a user interface according to the embodiment. 図5は、実施形態に係るトリアージレベルについて説明するための図である。FIG. 5 is a diagram for explaining the triage level according to the embodiment. 図6は、実施形態に係るユーザ端末20のディスプレイ21に表示される表示態様について示す図である。FIG. 6 is a diagram showing a display mode displayed on the display 21 of the user terminal 20 according to the embodiment. 図7は、実施形態に係る処理方法を示す図である。FIG. 7 is a diagram showing a processing method according to the embodiment.

以下において、実施形態について図面を参照しながら説明する。なお、以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。 Hereinafter, embodiments will be described with reference to the drawings. In the description of the drawings below, the same or similar parts are designated by the same or similar reference numerals.

但し、図面は模式的なものであり、各寸法の比率などは現実のものとは異なる場合があることに留意すべきである。従って、具体的な寸法などは以下の説明を参酌して判断すべきである。また、図面相互間においても互いの寸法の関係又は比率が異なる部分が含まれている場合があることは勿論である。 However, it should be noted that the drawings are schematic and the ratio of each dimension may differ from the actual one. Therefore, the specific dimensions should be determined in consideration of the following explanation. In addition, it goes without saying that there may be a portion where the relations or ratios of the dimensions of the drawings are different from each other.

[開示の概要]
開示の概要に係る処理装置は、公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する。前記処理装置は、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、前記脆弱性の優先度を出力する制御部を備える。前記制御部は、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、或いは、前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定する。 [Summary of disclosure]
The processing device according to the outline of the disclosure determines the vulnerability of the public software in the system including the public software. The processing device has at least first information indicating whether or not the public software can be accessed from the outside and second information indicating whether or not an attack code for a vulnerability possessed by the public software is distributed. A control unit that outputs the priority of the vulnerability based on any one of them is provided. The control unit sets a higher priority than the vulnerability of the public software that is not accessible from the outside to the vulnerability of the public software that is accessible from the outside, or the control unit sets the priority. A higher priority is set for the vulnerability for which the attack code is distributed than for the vulnerability for which the attack code is not distributed.

開示の概要では、処理装置は、外部からアクセス可能である公開ソフトウェアが有する脆弱性に対して、外部からアクセス可能でない公開ソフトウェアが有する脆弱性よりも高い優先度を設定する。或いは、処理装置は、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高い優先度を設定する。すなわち、外部からアクセス可能でない公開ソフトウェアが有する脆弱性については、その対策を講じる緊急性が低いため、その影響が大きいとしても、その対策を直ちに講じる必要がないという判定を行うことができる。攻撃コードが流通していない脆弱性についても同様の判定を行うことができる。従って、上述した構成によれば、公開ソフトウェアを使わない、公開ソフトウェアをバージョンアップするなどの対策を想定した場合において、脆弱性を有する公開ソフトウェアの扱いを判定するための指標として、適切な優先度を設定することができる。 In the outline of the disclosure, the processing device sets a higher priority for the vulnerabilities of the public software that can be accessed from the outside than the vulnerabilities of the public software that is not accessible from the outside. Alternatively, the processing device sets a higher priority for the vulnerability for which the attack code is distributed than for the vulnerability for which the attack code is not distributed. That is, since it is less urgent to take countermeasures for vulnerabilities in public software that cannot be accessed from the outside, it can be determined that it is not necessary to take countermeasures immediately even if the impact is large. The same determination can be made for vulnerabilities for which attack codes are not distributed. Therefore, according to the above-mentioned configuration, when measures such as not using the public software or upgrading the public software are assumed, an appropriate priority is given as an index for determining the handling of the public software having a vulnerability. Can be set.

ここで、公開ソフトウェアは、ソフトウェアのソースコードが公開され、改良及び再配布が許可されたソフトウェア(以下、OSS;Open Source Software)であってもよい。公開、改良及び再配布は無償で行われてもよい。優先度は、公開ソフトウェアが有する脆弱性に対する対策を講じるべき優先度(以下、トリアージレベル)であってもよい。トリアージレベルは、公開ソフトウェアが有する脆弱性に対する対策を講じるべき緊急性と考えてもよい。 Here, the public software may be software (hereinafter, OSS; Open Source Software) in which the source code of the software is published and improvement and redistribution are permitted. Publication, improvement and redistribution may be done free of charge. The priority may be a priority (hereinafter referred to as a triage level) for which countermeasures against vulnerabilities of public software should be taken. The triage level may be considered an urgent need to take measures against vulnerabilities in public software.

[実施形態]
(処理システム)
以下において、実施形態に係る処理システムについて説明する。図1は、実施形態に係る処理システム100を示す図である。 [Embodiment]
(Processing system)
Hereinafter, the processing system according to the embodiment will be described. FIG. 1 is a diagram showing a processing system 100 according to an embodiment.

図1に示すように、処理システム100は、処理装置10と、ユーザ端末20と、システムサーバ30と、脆弱性DB(Data Base)40と、を有する。処理装置10、ユーザ端末20、システムサーバ30及び脆弱性DB40は、ネットワーク200によって接続される。特に限定されるものではないが、ネットワーク200は、インターネット網によって構成されてもよい。ネットワーク200は、ローカルエリアネットワークを含んでもよく、移動体通信網を含んでもよく、VPN(Virtual Private Network)を含んでもよい。 As shown in FIG. 1, the processing system 100 includes a processing device 10, a user terminal 20, a system server 30, and a vulnerability DB (Data Base) 40. The processing device 10, the user terminal 20, the system server 30, and the vulnerability DB 40 are connected by the network 200. Although not particularly limited, the network 200 may be configured by an internet network. The network 200 may include a local area network, a mobile communication network, or a VPN (Virtual Private Network).

処理装置10は、システムサーバ30に構築されるOSSを含むシステムについて、OSSが有する脆弱性を判定する。処理装置10は、2以上のサーバによって構成されてもよい。処理装置10の少なくとも一部は、クラウドコンピューティングサービスによって実現されてもよい。処理装置10の詳細については後述する(図2を参照)。 The processing device 10 determines the vulnerability of the OSS in the system including the OSS built in the system server 30. The processing device 10 may be composed of two or more servers. At least a part of the processing device 10 may be realized by a cloud computing service. Details of the processing device 10 will be described later (see FIG. 2).

ユーザ端末20は、ティスプレイ21を有しており、脆弱性の判定機能(以下、トリアージ機能)を利用する端末である。ユーザ端末20は、OSSを含むシステムを利用する端末であってもよい。例えば、ユーザ端末20は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。例えば、ディスプレイ21は、液晶パネルであってもよく、有機ELパネルであってもよい。 The user terminal 20 has a display 21 and is a terminal that uses a vulnerability determination function (hereinafter, triage function). The user terminal 20 may be a terminal that uses a system including OSS. For example, the user terminal 20 may be a personal computer, a smartphone, or a tablet terminal. For example, the display 21 may be a liquid crystal panel or an organic EL panel.

システムサーバ30は、OSSを含むシステムが構築されるサーバである。システムサーバ30上に構築されるシステムは、OSS以外のソフトウェアを含んでもよい。例えば、OSS以外のソフトウェアは、ユーザによって開発されたソフトウェアであってもよい。システムサーバ30は、2以上のサーバによって構成されてもよい。システムサーバ30の少なくとも一部は、クラウドコンピューティングサービスによって実現されてもよい。OSSを含むシステムは、インターネットなどのネットワーク200を介して外部に公開される公開システムを含んでもよく、インターネットなどのネットワーク200を介して外部に公開されない非公開システムを含んでもよい。例えば、公開システムは、製品、サービス又は採用情報を外部に公開するためのシステムを含んでもよい。非公開システムは、経理又は財務などの処理に用いるシステムを含んでもよい。 The system server 30 is a server on which a system including OSS is constructed. The system built on the system server 30 may include software other than OSS. For example, software other than OSS may be software developed by the user. The system server 30 may be composed of two or more servers. At least a part of the system server 30 may be realized by a cloud computing service. The system including OSS may include a public system that is open to the outside via a network 200 such as the Internet, or may include a private system that is not open to the outside via a network 200 such as the Internet. For example, the public system may include a system for exposing products, services or employment information to the outside. Private systems may include systems used for processing such as accounting or finance.

脆弱性DB40は、OSSが有する脆弱性に関する情報(以下、脆弱性情報)を格納するデータベースである。脆弱性DB40は、1以上のデータベースを定期的にクローリングすることによって、1以上のデータベースから脆弱性情報を収集するデータベースであってもよい。1以上のデータベースは、CVE(Common Vulnerabilities and Exposures)、ICAT(IPA Cyber security Alert Service) Metabase、NVD(National Vulnerability Database)、JVN(Japan Vulnerability Notes)、JVN iPedia、OSVDB(Open Source Vulnerability Database)から選択された1以上のデータベースを含んでもよい。 Vulnerability DB 40 is a database that stores information about vulnerabilities possessed by OSS (hereinafter referred to as vulnerability information). Vulnerability DB 40 may be a database that collects vulnerability information from one or more databases by periodically crawling one or more databases. One or more of the database, select from the CVE (Common Vulnerabilities and Exposures), ICAT (IPA Cyber security Alert Service) Metabase, NVD (National Vulnerability Database), JVN (Japan Vulnerability Notes), JVN iPedia, OSVDB (Open Source Vulnerability Database) It may include one or more databases that have been created.

(処理装置)
以下において、実施形態に係る処理装置について説明する。図2は、実施形態に係る処理装置10を示す図である。 (Processing device)
Hereinafter, the processing apparatus according to the embodiment will be described. FIG. 2 is a diagram showing a processing device 10 according to an embodiment.

図2に示すように、処理装置10は、通信部11と、管理部12と、制御部13と、を有する。 As shown in FIG. 2, the processing device 10 includes a communication unit 11, a management unit 12, and a control unit 13.

通信部11は、通信モジュールによって構成される。通信モジュールは、IEEE802.11a/b/g/n、LTE、5Gなどの規格に準拠する無線通信モジュールであってもよく、IEEE802.3などの規格に準拠する有線通信モジュールであってもよい。 The communication unit 11 is composed of a communication module. The communication module may be a wireless communication module conforming to a standard such as IEEE802.11a / b / g / n, LTE, 5G, or a wired communication module conforming to a standard such as IEEE802.3.

通信部11は、ユーザ端末10と通信を行うことによって、トリアージ機能をユーザ端末10に提供してもよい。通信部11は、システムサーバ30と通信を行うことによって、システムサーバ30上に構築されるシステムに含まれるソフトウェアの情報を取得してもよい。通信部11は、脆弱性DB40と通信を行うことによって、脆弱性情報を取得してもよい。 The communication unit 11 may provide the triage function to the user terminal 10 by communicating with the user terminal 10. The communication unit 11 may acquire information on software included in the system built on the system server 30 by communicating with the system server 30. The communication unit 11 may acquire the vulnerability information by communicating with the vulnerability DB 40.

例えば、脆弱性情報は、脆弱性について第三者機関が設定する脆弱性のレベルを示す第4情報を含んでもよい。例えば、第4情報は、CVSS(Common Vulnerability Scoring System)で定義されるスコア値(例えば、Base Score)であってもよい。第4情報は、CVSSのバージョンを含んでもよい。さらに、脆弱性情報は、OSSが有する脆弱性に対する攻撃コードが流通している場合には、OSSが有する脆弱性に対する攻撃コードを含んでもよい。 For example, the vulnerability information may include a fourth information indicating the level of vulnerability set by a third party regarding the vulnerability. For example, the fourth information may be a score value (for example, Base Score) defined by CVSS (Comon Vulnerability Scoring System). The fourth information may include a version of CVSS. Further, the vulnerability information may include the attack code for the vulnerability of the OSS when the attack code for the vulnerability of the OSS is distributed.

管理部12は、不揮発性メモリなどのメモリ又は/及びHDD(Hard disc drive)などの記憶媒体によって構成されており、様々な情報を格納する。 The management unit 12 is composed of a memory such as a non-volatile memory and / and a storage medium such as an HDD (Hard disk drive), and stores various information.

管理部12は、脆弱性DB40から取得される脆弱性情報を管理(格納)する。管理部12によって管理される脆弱性情報は、脆弱性DB40から取得される脆弱性情報に基づいて加工された情報であってもよい。加工は、脆弱性の種別を示す第3情報(以下、タイプとも称する)を付加する処理であってもよい。加工は、エンジニアによってマニュアルでタイプを付加する処理であってもよく、テキスト解析などによって自動的にタイプを付加する処理であってもよい。 The management unit 12 manages (stores) the vulnerability information acquired from the vulnerability DB 40. The vulnerability information managed by the management unit 12 may be information processed based on the vulnerability information acquired from the vulnerability DB 40. The processing may be a process of adding third information (hereinafter, also referred to as a type) indicating the type of vulnerability. The processing may be a process of manually adding a type by an engineer, or may be a process of automatically adding a type by text analysis or the like.

例えば、管理部12は、図3に示す情報を管理する。脆弱性は、OSSが有する脆弱性の識別情報である。OSSは、システムサーバ30上に構築されるシステムに含まれるOSSの識別情報(例えば、名称)である。タイプは、上述したように、脆弱性の種別を示す情報である。説明は、脆弱性に関する説明であり、CVSSのバージョン及びスコア値を含んでもよい。影響は、脆弱性によって想定される影響であり、脆弱性を引き起こす原因、脆弱性に対する攻撃手法、脆弱性に対する攻撃によって生じる問題を含んでもよい。 For example, the management unit 12 manages the information shown in FIG. Vulnerability is the identification information of the vulnerability possessed by OSS. The OSS is the identification information (for example, a name) of the OSS included in the system constructed on the system server 30. As described above, the type is information indicating the type of the vulnerability. The description is a description of the vulnerability and may include a version of CVSS and a score value. The impact is the expected impact of the vulnerability, and may include the cause of the vulnerability, the attack method for the vulnerability, and the problem caused by the attack against the vulnerability.

制御部13は、少なくとも1つのプロセッサを含んでもよい。少なくとも1つのプロセッサは、単一の集積回路(IC)によって構成されてもよく、通信可能に接続された複数の回路(集積回路及び又はディスクリート回路(discrete circuits)など)によって構成されてもよい。 The control unit 13 may include at least one processor. At least one processor may be composed of a single integrated circuit (IC) or may be composed of a plurality of communicablely connected circuits (such as integrated circuits and / or discrete circuits).

制御部13は、OSSに対して外部からアクセス可能であるか否かを示す第1情報及びOSSが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、脆弱性のトリアージレベルを出力する。 The control unit 13 is at least one of the first information indicating whether or not the OSS is accessible from the outside and the second information indicating whether or not the attack code for the vulnerability of the OSS is distributed. Outputs the triage level of the vulnerability based on.

具体的には、制御部13は、外部からアクセス可能であるOSSが有する脆弱性に対して、外部からアクセス可能でないOSSが有する脆弱性よりも高いトリアージレベルを設定する、或いは、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高いトリアージレベルを設定する。 Specifically, the control unit 13 sets a higher triage level for the vulnerabilities of the OSS that can be accessed from the outside than the vulnerabilities of the OSS that cannot be accessed from the outside, or the attack code is distributed. Set a higher triage level for the vulnerabilities that are open than those for which the attack code is not distributed.

ここで、制御部13は、脆弱性を有するOSSに対して外部からアクセス可能であるか否かを入力するユーザインタフェースを出力する出力部を構成してもよい。制御部13は、脆弱性を有するOSSを含むシステム単位で、外部からアクセス可能であるか否かを入力するユーザインタフェースを出力してもよい。ユーザインタフェースは、通信部11からユーザ端末20に送信される。ユーザインタフェースは、ユーザ端末20のディスプレイ21に表示されてもよい。 Here, the control unit 13 may configure an output unit that outputs a user interface for inputting whether or not the OSS having a vulnerability can be accessed from the outside. The control unit 13 may output a user interface for inputting whether or not it is accessible from the outside in a system unit including an OSS having a vulnerability. The user interface is transmitted from the communication unit 11 to the user terminal 20. The user interface may be displayed on the display 21 of the user terminal 20.

例えば、ディスプレイ21に表示されるユーザインタフェースは、図4に示す通りである。図4に示すように、ユーザインタフェースは、ソフトウェアを含むシステムの識別情報(図4では、システムA)、システムに含まれるソフトウェアの識別情報(図4では、SSS、TTT、UUU)を含む。さらに、ユーザインタフェースは、外部からアクセス可能であるか否かを入力するチェックボックスを含む。 For example, the user interface displayed on the display 21 is as shown in FIG. As shown in FIG. 4, the user interface includes identification information of the system including software (system A in FIG. 4) and identification information of software included in the system (SSS, TTT, UUU in FIG. 4). In addition, the user interface includes a check box to enter whether it is accessible from the outside.

このようなケースにおいて、Aシステムの右側に配置されたチェックボックスにチェックが入力さると、システムに含まれる全てのソフトウェアの右側に配置されたチェックボックスに自動的にチェックが入力されてもよい。同様に、Aシステムの右側に配置されたチェックボックスからチェックが削除さると、システムに含まれる全てのソフトウェアの右側に配置されたチェックボックスから自動的にチェックが削除されてもよい。すなわち、外部からアクセス可能であるか否かをシステム単位で入力可能である。但し、ソフトウェアの右側に配置されたチェックボックスに個別にチェックが入力されてもよい。同様に、ソフトウェアの右側に配置されたチェックボックスから個別にチェックが削除されてもよい。 In such a case, if a check is entered in the check box located on the right side of the A system, the check box may be automatically entered in the check box located on the right side of all the software included in the system. Similarly, when a check is removed from the check box located on the right side of the A system, the check box may be automatically removed from the check box placed on the right side of all the software included in the system. That is, it is possible to input whether or not it is accessible from the outside on a system-by-system basis. However, individual checks may be entered in the check boxes located on the right side of the software. Similarly, the checks may be individually removed from the checkboxes located on the right side of the software.

図4に示す例において、システムは、システムサーバ30上に構築されるシステムを意味しており、システムに含まれるソフトウェアは、少なくとも1つのOSSを含む。 In the example shown in FIG. 4, the system means a system built on the system server 30, and the software included in the system includes at least one OSS.

上述したように、制御部13は、ユーザインタフェースを用いて入力される情報(チェックボックスに対するチェックの有無)に基づいて第1情報を取得可能である。一方で、制御部13は、脆弱性情報に攻撃コードが含まれているか否かに基づいて第2情報を取得可能である。 As described above, the control unit 13 can acquire the first information based on the information input using the user interface (whether or not the check box is checked). On the other hand, the control unit 13 can acquire the second information based on whether or not the attack code is included in the vulnerability information.

実施形態において、制御部13は、第1情報及び第2情報の双方に基づいて、脆弱性のトリアージレベルを出力してもよい。制御部13は、第1情報及び第2情報に加えて、脆弱性の種別を示す第3情報に基づいて、脆弱性のトリアージレベルを出力してもよい。制御部13は、管理部12によって管理される脆弱性情報に第3情報が付加されるため、制御部13は、脆弱性情報に基づいて第3情報を取得可能である。制御部13は、第1情報、第2情報及び第3情報に加えて、脆弱性について第三者機関が設定する脆弱性のレベルを示す第4情報に基づいて、脆弱性のトリアージレベルを出力してもよい。脆弱性DB40から取得する脆弱性情報に第4情報が含まれるため、制御部13は、脆弱性情報に基づいて第4情報を取得可能である。 In the embodiment, the control unit 13 may output the triage level of the vulnerability based on both the first information and the second information. The control unit 13 may output the triage level of the vulnerability based on the third information indicating the type of the vulnerability in addition to the first information and the second information. Since the control unit 13 adds the third information to the vulnerability information managed by the management unit 12, the control unit 13 can acquire the third information based on the vulnerability information. In addition to the first information, the second information, and the third information, the control unit 13 outputs the triage level of the vulnerability based on the fourth information indicating the level of the vulnerability set by the third party regarding the vulnerability. You may. Since the fourth information is included in the vulnerability information acquired from the vulnerability DB 40, the control unit 13 can acquire the fourth information based on the vulnerability information.

このようなケースにおいて、トリアージレベルの出力方法(判定方法)について、図5を参照しながら説明する。図5において、“○”は、各条件が満たされていることを意味し、“-”は、各条件が満たされていないことを意味する。 In such a case, the triage level output method (determination method) will be described with reference to FIG. In FIG. 5, “◯” means that each condition is satisfied, and “−” means that each condition is not satisfied.

第1に、制御部13は、第4情報に基づいて第4条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報、第2情報及び第3情報に基づいて、脆弱性のトリアージレベルを出力してもよい。第4条件とは、脆弱性のレベルがレベル条件を満たすことである。例えば、第4情報がCVSSのBase Scoreである場合には、第4条件は、Base Scoreが所定閾値よりも高いことである。制御部13は、第4条件が満たされない脆弱性については、第1情報、第2情報及び第3情報を用いたトリアージレベルの判定を省略してもよい。ここで、制御部13は、図5に示すように、第4条件を満たしてない脆弱性については、最も低いトリアージレベル(例えば、レベル4)を出力してもよい。レベル4は、特に対策を講じる必要がないレベルであってもよい。 First, the control unit 13 identifies a vulnerability that satisfies the fourth condition based on the fourth information, and targets the identified vulnerability based on the first information, the second information, and the third information. , You may output the triage level of the vulnerability. The fourth condition is that the level of vulnerability meets the level condition. For example, when the fourth information is the Base Score of CVSS, the fourth condition is that the Base Score is higher than the predetermined threshold. The control unit 13 may omit the triage level determination using the first information, the second information, and the third information for the vulnerability that does not satisfy the fourth condition. Here, as shown in FIG. 5, the control unit 13 may output the lowest triage level (for example, level 4) for the vulnerability that does not satisfy the fourth condition. Level 4 may be a level at which no special measures need to be taken.

第2に、制御部13は、第2情報に基づいて第2条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報に基づいて、脆弱性のトリアージレベルを出力してもよい。第2条件とは、攻撃コードが流通していることである。制御部13は、第2条件が満たされない脆弱性については、第1情報を用いたトリアージレベルの判定を省略してもよい。ここで、制御部13は、図5に示すように、第2条件を満たしてない脆弱性については、2番目に低いトリアージレベル(例えば、レベル3)を出力してもよい。レベル3は、レベル4よりも対策を講じる必要性が高いレベルである。 Second, the control unit 13 identifies a vulnerability that satisfies the second condition based on the second information, and outputs the triage level of the vulnerability based on the first information for the identified vulnerability. You may. The second condition is that the attack code is in circulation. The control unit 13 may omit the determination of the triage level using the first information for the vulnerability in which the second condition is not satisfied. Here, as shown in FIG. 5, the control unit 13 may output the second lowest triage level (for example, level 3) for the vulnerability that does not satisfy the second condition. Level 3 is a level where it is more necessary to take measures than level 4.

第3に、制御部13は、第3情報に基づいて第3条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報に基づいて、脆弱性のトリアージレベルを出力してもよい。第3条件は、脆弱性の種別が種別条件を満たすことである。種別条件は、管理部12によって管理される脆弱性情報として上述したタイプが管理されていることであってもよい。或いは、種別条件は、管理部12によって管理されるタイプが所定タイプであることであってもよい。所定タイプは、脆弱性に対する対策を講じる必要性が相対的に高いタイプである。制御部13は、第3条件が満たされない脆弱性については、第1情報を用いたトリアージレベルの判定を省略してもよい。ここで、制御部13は、図5に示すように、第3条件を満たしてない脆弱性については、2番目に低いトリアージレベル(例えば、レベル3)を出力してもよい。レベル3は、レベル4よりも対策を講じる必要性が高いレベルである。 Third, the control unit 13 identifies a vulnerability that satisfies the third condition based on the third information, and outputs the triage level of the vulnerability based on the first information for the identified vulnerability. You may. The third condition is that the type of vulnerability satisfies the type condition. The type condition may be that the above-mentioned type is managed as the vulnerability information managed by the management unit 12. Alternatively, the type condition may be that the type managed by the management unit 12 is a predetermined type. The predetermined type is a type in which it is relatively necessary to take measures against the vulnerability. The control unit 13 may omit the determination of the triage level using the first information for the vulnerability in which the third condition is not satisfied. Here, as shown in FIG. 5, the control unit 13 may output the second lowest triage level (for example, level 3) for the vulnerability that does not satisfy the third condition. Level 3 is a level where it is more necessary to take measures than level 4.

ここで、制御部13は、第2条件及び第3条件の双方が満たされていない脆弱性について、トリアージレベルとしてレベル3を出力する。しかしながら、実施形態はこれに限定されるものではない。制御部13は、第2条件及び第3条件のいずれか1つが満たされていない脆弱性について、トリアージレベルとしてレベル3を出力してもよい。同様に、制御部13は、第2条件及び第3条件の少なくともいずれか1つを満たす脆弱性を対象として、第1情報に基づいて脆弱性のトリアージレベルを出力する。しかしながら、実施形態はこれに限定されるものではない。制御部13は、第2条件及び第3条件の双方が満たされる脆弱性を対象として、第1情報に基づいて脆弱性のトリアージレベルを出力してもよい。 Here, the control unit 13 outputs level 3 as a triage level for a vulnerability in which both the second condition and the third condition are not satisfied. However, the embodiments are not limited to this. The control unit 13 may output level 3 as a triage level for a vulnerability in which any one of the second condition and the third condition is not satisfied. Similarly, the control unit 13 outputs the triage level of the vulnerability based on the first information, targeting the vulnerability that satisfies at least one of the second condition and the third condition. However, the embodiments are not limited to this. The control unit 13 may output the triage level of the vulnerability based on the first information, targeting the vulnerability in which both the second condition and the third condition are satisfied.

第4に、制御部13は、第2条件及び第3条件の少なくともいずれか1つを満たす脆弱性を対象として、第1情報に基づいて第1条件が満たされているか否かを判定してもよい。第1条件は、脆弱性を有するOSS又は脆弱性を有するOSSを含むシステムに対して外部からアクセス可能である。図5に示すように、制御部13は、第1条件が満たされる脆弱性について、最も高いトリアージレベル(例えば、レベル1)を出力する。制御部13は、第1条件を満たさない脆弱性について、2番目に高いトリアージレベル(例えば、レベル2)を出力する。レベル2は、レベル3よりも対策を講じる必要が高いレベルである。レベル1は、レベル2よりも対策を講じる必要が高いレベルである。 Fourth, the control unit 13 determines whether or not the first condition is satisfied based on the first information, targeting the vulnerability that satisfies at least one of the second condition and the third condition. May be good. The first condition is that the OSS having a vulnerability or the system including the OSS having a vulnerability can be accessed from the outside. As shown in FIG. 5, the control unit 13 outputs the highest triage level (for example, level 1) for the vulnerability in which the first condition is satisfied. The control unit 13 outputs the second highest triage level (for example, level 2) for the vulnerability that does not satisfy the first condition. Level 2 is a level that requires more measures than Level 3. Level 1 is a level that requires more measures than Level 2.

(表示態様)
以下において、実施形態に係る表示態様について説明する。図6は、実施形態に係るユーザ端末20のディスプレイ21に表示される表示態様について示す図である。図6に示す表示態様は一例に過ぎず、他の表示態様がディスプレイ21に表示されてもよい。 (Display mode)
Hereinafter, the display mode according to the embodiment will be described. FIG. 6 is a diagram showing a display mode displayed on the display 21 of the user terminal 20 according to the embodiment. The display mode shown in FIG. 6 is only an example, and other display modes may be displayed on the display 21.

図6に示すように、ディスプレイ21は、トリアージ機能として脆弱性の一覧を表示する。IDは、脆弱性に割り振られた識別情報である。トリアージレベルは、脆弱性に対する対策を講じるべき優先度を示す情報である。ステータスは、脆弱性に対する対策を講じたか否かを示す情報である。リポジトリは、システムサーバ30においてソフトウェアが格納される場所を示す情報である。ソフトウェアは、ソフトウェアの識別情報である。スキャン日時は、脆弱性がスキャンされた日時を示す情報である。 As shown in FIG. 6, the display 21 displays a list of vulnerabilities as a triage function. The ID is the identification information assigned to the vulnerability. The triage level is information that indicates the priority for which countermeasures against vulnerabilities should be taken. The status is information indicating whether or not a countermeasure against the vulnerability has been taken. The repository is information indicating the location where the software is stored in the system server 30. Software is software identification information. The scan date and time is information indicating the date and time when the vulnerability was scanned.

(処理方法)
以下において、実施形態に係る処理方法について説明する。図7は、実施形態に係る処理方法を示す図である。 (Processing method)
Hereinafter, the processing method according to the embodiment will be described. FIG. 7 is a diagram showing a processing method according to the embodiment.

ステップS10において、処理装置10は、システムサーバ30上に構築されたシステムに含まれるOSSをスキャンする。詳細には、処理装置10は、管理部12によって管理される脆弱性情報に基づいて、OSSが有する脆弱性をスキャンする。 In step S10, the processing device 10 scans the OSS included in the system built on the system server 30. Specifically, the processing device 10 scans the vulnerability of the OSS based on the vulnerability information managed by the management unit 12.

ステップS11において、処理装置10は、ステップS10で見つかった脆弱性を対象として、第4条件が満たされるか否かを判定する。第4条件の詳細は上述した通りである。第4条件が満たされる場合には、ステップS12の処理が行われ、第4条件が満たされない場合には、ステップS18の処理が行われる。 In step S11, the processing apparatus 10 determines whether or not the fourth condition is satisfied for the vulnerability found in step S10. The details of the fourth condition are as described above. If the fourth condition is satisfied, the process of step S12 is performed, and if the fourth condition is not satisfied, the process of step S18 is performed.

ステップS12において、処理装置10は、第4条件が満たされる脆弱性を対象として、第3条件が満たされるか否かを判定する。第3条件の詳細は上述した通りである。第3条件が満たされる場合には、ステップS14の処理が行われ、第3条件が満たされない場合には、ステップS13の処理が行われる。 In step S12, the processing device 10 determines whether or not the third condition is satisfied for the vulnerability in which the fourth condition is satisfied. The details of the third condition are as described above. If the third condition is satisfied, the process of step S14 is performed, and if the third condition is not satisfied, the process of step S13 is performed.

ステップS13において、処理装置10は、第4条件が満たされる脆弱性を対象として、第2条件が満たされるか否かを判定する。第2条件の詳細は上述した通りである。第2条件が満たされる場合には、ステップS14の処理が行われ、第2条件が満たされない場合には、ステップS17の処理が行われる。 In step S13, the processing device 10 determines whether or not the second condition is satisfied for the vulnerability in which the fourth condition is satisfied. The details of the second condition are as described above. If the second condition is satisfied, the process of step S14 is performed, and if the second condition is not satisfied, the process of step S17 is performed.

ステップS14において、処理装置10は、第2条件及び第3条件のいずれか1つが満たされる脆弱性を対象として、第1条件が満たされるか否かを判定する。第1条件の詳細は上述した通りである。第1条件が満たされる場合には、ステップS15の処理が行われ、第1条件が満たされない場合には、ステップS16の処理が行われる。 In step S14, the processing device 10 determines whether or not the first condition is satisfied for the vulnerability in which any one of the second condition and the third condition is satisfied. The details of the first condition are as described above. If the first condition is satisfied, the process of step S15 is performed, and if the first condition is not satisfied, the process of step S16 is performed.

ステップS15において、処理装置10は、脆弱性のトリアージレベルがレベル1であると判定する。レベル1の詳細は上述した通りである。 In step S15, the processing device 10 determines that the triage level of the vulnerability is level 1. The details of Level 1 are as described above.

ステップS16において、処理装置10は、脆弱性のトリアージレベルがレベル2であると判定する。レベル2の詳細は上述した通りである。 In step S16, the processing device 10 determines that the triage level of the vulnerability is level 2. The details of Level 2 are as described above.

ステップS17において、処理装置10は、脆弱性のトリアージレベルがレベル3であると判定する。レベル3の詳細は上述した通りである。 In step S17, the processing device 10 determines that the triage level of the vulnerability is level 3. The details of level 3 are as described above.

ステップS18において、処理装置10は、脆弱性のトリアージレベルがレベル4であると判定する。レベル4の詳細は上述した通りである。 In step S18, the processing device 10 determines that the triage level of the vulnerability is level 4. The details of level 4 are as described above.

なお、ステップS11~ステップS18の処理は、ステップS10で見つかった脆弱性の全てに対して個別に行われる。また、ステップS12及びステップS13の順序が入れ替えられてもよい。 The processes of steps S11 to S18 are individually performed for all the vulnerabilities found in step S10. Further, the order of steps S12 and S13 may be changed.

(作用及び効果)
実施形態では、処理装置10は、外部からアクセス可能であるOSSが有する脆弱性に対して、外部からアクセス可能でないOSSが有する脆弱性よりも高いトリアージレベルを設定する。或いは、処理装置10は、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高いトリアージレベルを設定する。すなわち、外部からアクセス可能でないOSSが有する脆弱性については、その対策を講じる緊急性が低いため、その影響が大きいとしても、その対策を直ちに講じる必要がないという判定を行うことができる。攻撃コードが流通していない脆弱性についても同様の判定を行うことができる。従って、上述した構成によれば、OSSを使わない、OSSをバージョンアップするなどの対策を想定した場合において、脆弱性を有するOSSの扱いを判定するための指標として、適切なトリアージレベルを設定することができる。 (Action and effect)
In the embodiment, the processing device 10 sets a higher triage level for the vulnerability of the OSS that can be accessed from the outside than that of the OSS that is not accessible from the outside. Alternatively, the processing device 10 sets a higher triage level for the vulnerability in which the attack code is distributed than in the vulnerability in which the attack code is not distributed. That is, since it is less urgent to take countermeasures against the vulnerability of OSS that is not accessible from the outside, it can be determined that it is not necessary to take countermeasures immediately even if the influence is large. The same determination can be made for vulnerabilities for which attack codes are not distributed. Therefore, according to the above-mentioned configuration, an appropriate triage level is set as an index for determining the handling of OSS having a vulnerability when countermeasures such as not using OSS or upgrading the OSS are assumed. be able to.

実施形態では、処理装置10は、脆弱性を有するOSSに対して外部からアクセス可能であるか否かを入力するユーザインタフェースを出力してもよい。このような構成によれば、処理装置10が簡易な構成で第1情報を取得することができる。さらに、ユーザインタフェースは、脆弱性を有するOSSを含むシステム単位で、外部からアクセス可能であるか否かを入力するユーザインタフェースであってもよい。このような構成によれば、ユーザの入力の煩雑さを抑制することができる。 In the embodiment, the processing device 10 may output a user interface for inputting whether or not the OSS having a vulnerability can be accessed from the outside. According to such a configuration, the processing device 10 can acquire the first information with a simple configuration. Further, the user interface may be a user interface for inputting whether or not it is accessible from the outside in a system unit including an OSS having a vulnerability. With such a configuration, it is possible to suppress the complexity of user input.

実施形態では、処理装置10は、第4情報に基づいて第4条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報、第2情報及び第3情報に基づいて、脆弱性のトリアージレベルを出力してもよい。このような構成によれば、第4条件が満たされていない脆弱性について、第1情報、第2情報及び第3情報を用いた判定を省略することができ、処理装置10の処理負荷を軽減することができる。 In the embodiment, the processing device 10 identifies a vulnerability that satisfies the fourth condition based on the fourth information, and targets the identified vulnerability based on the first information, the second information, and the third information. , You may output the triage level of the vulnerability. According to such a configuration, it is possible to omit the determination using the first information, the second information, and the third information for the vulnerability that does not satisfy the fourth condition, and the processing load of the processing device 10 is reduced. can do.

実施形態では、処理装置10は、第2条件及び第3条件の少なくともいずれか1つを満たす脆弱性を対象として、第1情報に基づいて第1条件が満たされているか否かを判定してもよい。このような構成によれば、第2条件及び第3条件の双方が満たされない脆弱性について、第1情報を用いた判定を省略することができ、処理装置10の処理負荷を軽減することができる。 In the embodiment, the processing device 10 targets a vulnerability that satisfies at least one of the second condition and the third condition, and determines whether or not the first condition is satisfied based on the first information. May be good. According to such a configuration, it is possible to omit the determination using the first information for the vulnerability in which both the second condition and the third condition are not satisfied, and it is possible to reduce the processing load of the processing apparatus 10. ..

[その他の実施形態]
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。 [Other embodiments]
Although the invention has been described by embodiments described above, the statements and drawings that form part of this disclosure should not be understood as limiting the invention. This disclosure will reveal to those skilled in the art various alternative embodiments, examples and operational techniques.

実施形態では、トリアージレベルのレベル数が4つであるケースを例示した。しかしながら、実施形態はこれに限定されるものではない。トリアージレベルのレベル数は5つ以上であってもよく、トリアージレベルのレベル数は3つ以下であってもよい。 In the embodiment, a case where the number of triage level levels is four is illustrated. However, the embodiments are not limited to this. The number of triage level levels may be 5 or more, and the number of triage level levels may be 3 or less.

実施形態では、第2条件及び第3条件の重要度が同程度であるケースを例示した。しかしながら、実施形態はこれに限定されるものではない。第2条件の重要度が第3条件の重要度よりも高くてもよい。このようなケースでは、第2条件が満たされる脆弱性のトリアージレベルは、第3条件が満たされるトリアージレベルよりも高くてもよい。同様に、第3条件の重要度が第2条件の重要度よりも高くてもよい。このようなケースでは、第3条件が満たされる脆弱性のトリアージレベルは、第2条件が満たされるトリアージレベルよりも高くてもよい。 In the embodiment, a case where the importance of the second condition and the third condition are the same is illustrated. However, the embodiments are not limited to this. The importance of the second condition may be higher than the importance of the third condition. In such cases, the triage level of the vulnerability for which the second condition is satisfied may be higher than the triage level for which the third condition is satisfied. Similarly, the importance of the third condition may be higher than the importance of the second condition. In such cases, the triage level of the vulnerability for which the third condition is satisfied may be higher than the triage level for which the second condition is satisfied.

実施形態では、脆弱性を有するOSSに対して外部からアクセス可能であるか否かを入力するユーザインタフェースが出力されるケースを例示した。しかしながら、実施形態は、これに限定されるものではない。処理装置10は、システムサーバ30上に構築されるシステムの学習(例えば、深層学習)によって、OSSに対して外部からアクセス可能であるか否かを自動的に判定してもよい。さらには、ユーザインタフェースは、自動的に判定された結果を初期値として含んでもよい。 In the embodiment, a case where a user interface for inputting whether or not the OSS having a vulnerability is accessible from the outside is output is illustrated. However, the embodiments are not limited to this. The processing device 10 may automatically determine whether or not the OSS is accessible from the outside by learning the system built on the system server 30 (for example, deep learning). Further, the user interface may include the automatically determined result as an initial value.

実施形態では、処理装置10が1つの装置であるケースを例示した。しかしながら、実施形態はこれに限定されるものではない。処理装置10が有する機能は、2以上のエンティティによって実現されてもよい。2以上のエンティティは、クラウドコンピューティングサービスを提供するエンティティを含んでもよい。また、管理部12は、処理装置10とは別に設けられるクラウド上のデータベースであってもよい。 In the embodiment, a case where the processing device 10 is one device is exemplified. However, the embodiments are not limited to this. The function of the processing device 10 may be realized by two or more entities. Two or more entities may include an entity that provides a cloud computing service. Further, the management unit 12 may be a database on the cloud provided separately from the processing device 10.

実施形態では特に触れていないが、処理装置10が行う各処理をコンピュータに実行させるプログラムが提供されてもよい。また、プログラムは、コンピュータ読取り可能媒体に記録されていてもよい。コンピュータ読取り可能媒体を用いれば、コンピュータにプログラムをインストールすることが可能である。ここで、プログラムが記録されたコンピュータ読取り可能媒体は、非一過性の記録媒体であってもよい。非一過性の記録媒体は、特に限定されるものではないが、例えば、CD-ROMやDVD-ROM等の記録媒体であってもよい。 Although not particularly mentioned in the embodiment, a program for causing a computer to execute each process performed by the processing device 10 may be provided. The program may also be recorded on a computer-readable medium. Computer-readable media can be used to install programs on a computer. Here, the computer-readable medium on which the program is recorded may be a non-transient recording medium. The non-transient recording medium is not particularly limited, but may be, for example, a recording medium such as a CD-ROM or a DVD-ROM.

或いは、処理装置10が行う各処理を実行するためのプログラムを記憶するメモリ及びメモリに記憶されたプログラムを実行するプロセッサによって構成されるチップが提供されてもよい。 Alternatively, a chip composed of a memory for storing a program for executing each process performed by the processing device 10 and a processor for executing the program stored in the memory may be provided.

10…処理装置、11…通信部、12…管理部、13…制御部、20…ユーザ端末、21…ディスプレイ、30…システムサーバ、40…脆弱性DB、100…処理システム

10 ... Processing device, 11 ... Communication unit, 12 ... Management unit, 13 ... Control unit, 20 ... User terminal, 21 ... Display, 30 ... System server, 40 ... Vulnerability DB, 100 ... Processing system

Claims (5)

公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理装置であって、
前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報及び前記脆弱性について第三者機関が設定する前記脆弱性のレベルを示す第4情報に基づいて、前記脆弱性の優先度を出力する制御部を備え、
前記制御部は、前記第4情報に基づいて前記脆弱性のレベルがレベル条件を満たす脆弱性を特定し、前記第4情報に基づいて特定された脆弱性を対象として、前記第2情報に基づいて前記脆弱性の優先度を出力する、処理装置。 A processing device for determining the vulnerability of the public software in a system including the public software.
The vulnerability is based on the second information indicating whether or not the attack code for the vulnerability of the public software is distributed and the fourth information indicating the level of the vulnerability set by a third party for the vulnerability. Equipped with a control unit that outputs the priority of gender
The control unit identifies a vulnerability whose level satisfies the level condition based on the fourth information, and targets the vulnerability identified based on the fourth information based on the second information. A processing device that outputs the priority of the vulnerability. 前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定する、請求項1に記載の処理装置。 The processing device according to claim 1, wherein a higher priority is set for the vulnerability for which the attack code is distributed than for the vulnerability for which the attack code is not distributed. 前記公開ソフトウェアが有する脆弱性に関する脆弱性情報を格納するデータベースから前記脆弱性情報を受信する受信部を備え、
前記制御部は、前記第4情報に基づいて特定された脆弱性を対象として、前記第2情報に加えて、前記脆弱性の種別を示す第3情報に基づいて、前記脆弱性の優先度を出力し、
前記脆弱性の種別は、前記データベースから受信する前記脆弱性情報の加工によって得られ、前記脆弱性に対する対策を講じる必要性を示す種別である、請求項1又は請求項2に記載の処理装置。 It is equipped with a receiving unit that receives the vulnerability information from the database that stores the vulnerability information related to the vulnerability of the public software.
The control unit targets the vulnerability identified based on the fourth information, and in addition to the second information, sets the priority of the vulnerability based on the third information indicating the type of the vulnerability. Output and
The processing device according to claim 1 or 2, wherein the type of the vulnerability is obtained by processing the vulnerability information received from the database and indicates the necessity of taking measures against the vulnerability. 前記制御部は、前記第4情報に基づいて特定された脆弱性を対象として、前記第3情報に基づいて前記脆弱性の種別が種別条件を満たす脆弱性を特定し、
前記制御部は、前記脆弱性の種別が種別条件を満たさない脆弱性を対象として、前記第2情報に基づいて前記脆弱性の優先度を出力する、請求項3に記載の処理装置。 The control unit identifies a vulnerability in which the type of the vulnerability satisfies the type condition based on the third information, targeting the vulnerability identified based on the fourth information.
The processing device according to claim 3, wherein the control unit outputs a priority of the vulnerability based on the second information, targeting a vulnerability whose type does not satisfy the type condition. 公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理方法であって、
前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報及び前記脆弱性について第三者機関が設定する前記脆弱性のレベルを示す第4情報に基づいて、前記脆弱性の優先度を出力するステップAを備え、
前記ステップAは、処理装置によって前記第4情報に基づいて前記脆弱性のレベルがレベル条件を満たす脆弱性を特定し、前記第4情報に基づいて特定された脆弱性を対象として、前記第2情報に基づいて前記脆弱性の優先度を出力するステップを含む、処理方法。 It is a processing method for determining the vulnerability of the public software in the system including the public software.
The vulnerability is based on the second information indicating whether or not the attack code for the vulnerability of the public software is distributed and the fourth information indicating the level of the vulnerability set by a third party for the vulnerability. With step A to output the priority of sex,
In step A , the processing device identifies a vulnerability whose level satisfies the level condition based on the fourth information, and targets the vulnerability identified based on the fourth information, the second step. A processing method comprising the step of outputting the priority of the vulnerability based on the information.
JP2020046036A 2020-03-17 2020-03-17 Processing equipment and processing method Active JP7008922B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020046036A JP7008922B2 (en) 2020-03-17 2020-03-17 Processing equipment and processing method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020046036A JP7008922B2 (en) 2020-03-17 2020-03-17 Processing equipment and processing method

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2019099506A Division JP6678798B1 (en) 2019-05-28 2019-05-28 Processing device and processing method

Publications (2)

Publication Number Publication Date
JP2020194529A JP2020194529A (en) 2020-12-03
JP7008922B2 true JP7008922B2 (en) 2022-01-25

Family

ID=73546445

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020046036A Active JP7008922B2 (en) 2020-03-17 2020-03-17 Processing equipment and processing method

Country Status (1)

Country Link
JP (1) JP7008922B2 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012208863A (en) 2011-03-30 2012-10-25 Hitachi Ltd Vulnerability determination system, vulnerability determination method and vulnerability determination program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012208863A (en) 2011-03-30 2012-10-25 Hitachi Ltd Vulnerability determination system, vulnerability determination method and vulnerability determination program

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
加藤諒,大規模バージョンアップ!新しくなったFutureVulsを触ってみた,Developers.IO produced by Classmethod,2018年08月30日,https://dev.classmethod.jp/security/futurevuls-201808-intro/
林優二郎他,脆弱性管理サービス FutureVuls登場,SoftwareDesign 2018年1月号,日本,(株)技術評論社,2017年12月18日,p.96-p.102
独立行政法人 情報処理推進機構 セキュリティセンター,共通脆弱性評価システムCVSS概説,独立行政法人 情報処理推進機構,2018年05月31日,[検索日 2019.08.29],インターネット:<URL:https://www.ipa.go.jp/security/vuln/CVSS.html>
高橋秀和,ITpro EXPO 2017速報 ブラック・ダック、オープンソースの3リスクを可視化する「Black Duck Hub」,日経 xTECH,日経BP社,2017年10月13日,[検索日 2019.08.29],インターネット:<URL:https://tech.nikkeibp. co.jp/it/atcl/column/17/101000415/101300102/>

Also Published As

Publication number Publication date
JP2020194529A (en) 2020-12-03

Similar Documents

Publication Publication Date Title
US11856021B2 (en) Detecting and mitigating poison attacks using data provenance
EP3226169A1 (en) Antivirus signature distribution with distributed ledger
US20190238563A1 (en) Managed software remediation
US11824878B2 (en) Malware detection at endpoint devices
CN111552973B (en) Method and device for risk assessment of equipment, electronic equipment and medium
EP3504659B1 (en) Computing device protection based on device attributes and device risk factor
CN110546936B (en) Personalized threat protection
US11386216B2 (en) Verification of privacy in a shared resource environment
WO2020241171A1 (en) Processing device and processing method
US20200327237A1 (en) Systems and methods for aggregating, ranking, and minimizing threats to computer systems based on external vulnerability intelligence
US10783277B2 (en) Blockchain-type data storage
US20200084632A1 (en) System and method for determining dangerousness of devices for a banking service
US20170180129A1 (en) Password Re-Usage Identification Based on Input Method Editor Analysis
US20190102549A1 (en) System and method of identifying a malicious intermediate language file
JP7008922B2 (en) Processing equipment and processing method
US9652627B2 (en) Probabilistic surfacing of potentially sensitive identifiers
US20210049516A1 (en) Using a Machine Learning System to Process a Corpus of Documents Associated With a User to Determine a User-Specific and/or Process-Specific Consequence Index
JP7086261B1 (en) Processing equipment and processing method
JP6324646B1 (en) Security measure determining device, security measure determining method, and security measure determining program
US10438011B2 (en) Information processing apparatus and non-transitory computer readable medium
CN110943982B (en) Document data encryption method and device, electronic equipment and storage medium
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
US8825651B1 (en) Determining a group of related products on a computing device
US9740739B2 (en) Visionary query processing in Hadoop utilizing opportunistic views
US11768902B2 (en) System and method for providing content to a user

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20210811

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210823

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20210823

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20210811

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210922

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211001

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211102

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20211201

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20211210

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20211216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20211210

R150 Certificate of patent or registration of utility model

Ref document number: 7008922

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350