JP7008922B2 - Processing equipment and processing method - Google Patents
Processing equipment and processing method Download PDFInfo
- Publication number
- JP7008922B2 JP7008922B2 JP2020046036A JP2020046036A JP7008922B2 JP 7008922 B2 JP7008922 B2 JP 7008922B2 JP 2020046036 A JP2020046036 A JP 2020046036A JP 2020046036 A JP2020046036 A JP 2020046036A JP 7008922 B2 JP7008922 B2 JP 7008922B2
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- information
- level
- condition
- processing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、処理装置及び処理方法に関する。 The present invention relates to a processing apparatus and a processing method.
従来、ソフトウェアが有する複数の脆弱性情報の中から調査対象とすべき脆弱性情報を効果的に選択する技術が提案されている。具体的には、情報処理装置は、インターネットなどのネットワーク上で公開された脆弱性情報を収集し、ソフトウェアに対応する脆弱性情報を特定する。情報処理装置は、攻撃種別、通信プロトコル、ソフトウェアの製品種別など基づいて、特定された脆弱性情報の優先度を決定する(例えば、特許文献1)。 Conventionally, a technique for effectively selecting vulnerability information to be investigated from a plurality of vulnerability information possessed by software has been proposed. Specifically, the information processing device collects vulnerability information published on a network such as the Internet, and identifies the vulnerability information corresponding to the software. The information processing device determines the priority of the identified vulnerability information based on the attack type, communication protocol, software product type, and the like (for example, Patent Document 1).
しかしながら、上述した技術は、OSS(Open Source Software)に代表される公開ソフトウェアについて考慮されておらず、自社で開発したソフトウェアの脆弱性について自社で対策を講じるケースを想定している。従って、上述した技術では、公開ソフトウェアを使わない、公開ソフトウェアをバージョンアップするなどの対策が想定されていない。 However, the above-mentioned technology does not consider public software represented by OSS (Open Source Software), and assumes a case where the software is vulnerable to the in-house developed software. Therefore, in the above-mentioned technology, measures such as not using the public software and upgrading the public software are not assumed.
このような状況に鑑みて、発明者等は、鋭意検討の結果、公開ソフトウェアを用いるケースでは、上述した技術に開示された優先度の設定方法が必ずしも適切ではないことを見出した。 In view of such a situation, the inventors have found that, as a result of diligent studies, the method of setting the priority disclosed in the above-mentioned technology is not always appropriate in the case of using the public software.
そこで、本発明は、上述した課題を解決するためになされたものであり、公開ソフトウェアを用いるケースにおいて、脆弱性を有する公開ソフトウェアの扱いを適切に判定することを可能とする処理装置及び処理方法を提供することを目的とする。 Therefore, the present invention has been made to solve the above-mentioned problems, and is a processing device and a processing method capable of appropriately determining the handling of vulnerable public software in the case of using public software. The purpose is to provide.
第1の特徴は、公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理装置であって、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、前記脆弱性の優先度を出力する制御部を備え、前記制御部は、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、或いは、前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定する、ことを要旨とする。 The first feature is a processing device for determining the vulnerability of the public software in the system including the public software, and the first information indicating whether or not the public software can be accessed from the outside and the first information. The control unit includes a control unit that outputs the priority of the vulnerability based on at least one of the second information indicating whether or not the attack code for the vulnerability of the public software is distributed. , The vulnerability of the public software that can be accessed from the outside is set to a higher priority than the vulnerability of the public software that is not accessible from the outside, or the attack code is distributed. The gist is to set a higher priority than the vulnerability for which the attack code is not distributed for the vulnerability.
第2の特徴は、第1の特徴において、前記処理装置は、前記外部からアクセス可能であるか否かを入力するユーザインタフェースを出力する出力部を備える、ことを要旨とする。 The second feature is the gist of the first feature, that the processing apparatus includes an output unit that outputs a user interface for inputting whether or not the processing device is accessible from the outside.
第3の特徴は、第2の特徴において、前記出力部は、前記脆弱性を有する前記公開ソフトウェアを含むシステム単位で、前記外部からアクセス可能であるか否かを入力するユーザインタフェースを出力する、ことを要旨とする。 The third feature is that, in the second feature, the output unit outputs a user interface for inputting whether or not the system is accessible from the outside in a system unit including the public software having the vulnerability. The gist is that.
第4の特徴は、第1の特徴乃至第3の特徴において、前記制御部は、前記第1情報及び第2情報の双方に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The fourth feature is that in the first feature to the third feature, the control unit outputs the priority of the vulnerability based on both the first information and the second information. do.
第5の特徴は、第4の特徴において、前記制御部は、前記第1情報及び第2情報に加えて、前記脆弱性の種別を示す第3情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The fifth feature is that in the fourth feature, the control unit determines the priority of the vulnerability based on the third information indicating the type of the vulnerability in addition to the first information and the second information. The gist is to output.
第6の特徴は、第5の特徴において、前記制御部は、前記第1情報、前記第2情報及び前記第3情報に加えて、前記脆弱性について第三者機関が設定する前記脆弱性のレベルを示す第4情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The sixth feature is that in the fifth feature, the control unit has the vulnerability set by a third party regarding the vulnerability in addition to the first information, the second information and the third information. The gist is to output the priority of the vulnerability based on the fourth information indicating the level.
第7の特徴は、第6の特徴において、前記制御部は、前記第4情報に基づいて、前記脆弱性のレベルがレベル条件を満たす脆弱性を特定し、特定された脆弱性を対象として、前記第1情報、前記第2情報及び前記第3情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The seventh feature is that in the sixth feature, the control unit identifies a vulnerability in which the level of the vulnerability satisfies the level condition based on the fourth information, and targets the identified vulnerability. The gist is to output the priority of the vulnerability based on the first information, the second information, and the third information.
第8の特徴は、第5の特徴乃至第7の特徴において、前記制御部は、前記第2情報に基づいて、前記攻撃コードが流通している脆弱性を特定し、或いは、前記第3情報に基づいて、前記脆弱性の種別が種別条件を満たす脆弱性を特定し、前記制御部は、特定された脆弱性を対象として、前記第1情報に基づいて、前記脆弱性の優先度を出力する、ことを要旨とする。 The eighth feature is that in the fifth to seventh features, the control unit identifies the vulnerability in which the attack code is distributed based on the second information, or the third information. Based on the above, the type of the vulnerability identifies a vulnerability that satisfies the type condition, and the control unit outputs the priority of the vulnerability based on the first information for the identified vulnerability. The gist is to do.
第9の特徴は、公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する処理方法であって、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、前記脆弱性の優先度を出力するステップと、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、或いは、前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定するステップと、を備えることを要旨とする。 The ninth feature is a processing method for determining the vulnerability of the public software in the system including the public software, and the first information indicating whether or not the public software can be accessed from the outside and the first information. A step of outputting the priority of the vulnerability based on at least one of the second information indicating whether or not the attack code for the vulnerability of the public software is distributed, and the step of being accessible from the outside. For the vulnerability of the public software, a higher priority is set than the vulnerability of the public software that is not accessible from the outside, or the vulnerability in which the attack code is distributed is set. On the other hand, the gist is to provide a step of setting a higher priority than the vulnerability in which the attack code is not distributed.
本発明によれば、公開ソフトウェアを用いるケースにおいて、脆弱性を有する公開ソフトウェアの扱いを適切に判定することを可能とする処理装置及び処理方法を提供することができる。 INDUSTRIAL APPLICABILITY According to the present invention, it is possible to provide a processing device and a processing method capable of appropriately determining the handling of vulnerable public software in the case of using public software.
以下において、実施形態について図面を参照しながら説明する。なお、以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。 Hereinafter, embodiments will be described with reference to the drawings. In the description of the drawings below, the same or similar parts are designated by the same or similar reference numerals.
但し、図面は模式的なものであり、各寸法の比率などは現実のものとは異なる場合があることに留意すべきである。従って、具体的な寸法などは以下の説明を参酌して判断すべきである。また、図面相互間においても互いの寸法の関係又は比率が異なる部分が含まれている場合があることは勿論である。 However, it should be noted that the drawings are schematic and the ratio of each dimension may differ from the actual one. Therefore, the specific dimensions should be determined in consideration of the following explanation. In addition, it goes without saying that there may be a portion where the relations or ratios of the dimensions of the drawings are different from each other.
[開示の概要]
開示の概要に係る処理装置は、公開ソフトウェアを含むシステムについて、前記公開ソフトウェアが有する脆弱性を判定する。前記処理装置は、前記公開ソフトウェアに対して外部からアクセス可能であるか否かを示す第1情報及び前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、前記脆弱性の優先度を出力する制御部を備える。前記制御部は、前記外部からアクセス可能である前記公開ソフトウェアが有する前記脆弱性に対して、前記外部からアクセス可能でない前記公開ソフトウェアが有する前記脆弱性よりも高い優先度を設定する、或いは、前記攻撃コードが流通している前記脆弱性に対して、前記攻撃コードが流通していない前記脆弱性よりも高い優先度を設定する。
[Summary of disclosure]
The processing device according to the outline of the disclosure determines the vulnerability of the public software in the system including the public software. The processing device has at least first information indicating whether or not the public software can be accessed from the outside and second information indicating whether or not an attack code for a vulnerability possessed by the public software is distributed. A control unit that outputs the priority of the vulnerability based on any one of them is provided. The control unit sets a higher priority than the vulnerability of the public software that is not accessible from the outside to the vulnerability of the public software that is accessible from the outside, or the control unit sets the priority. A higher priority is set for the vulnerability for which the attack code is distributed than for the vulnerability for which the attack code is not distributed.
開示の概要では、処理装置は、外部からアクセス可能である公開ソフトウェアが有する脆弱性に対して、外部からアクセス可能でない公開ソフトウェアが有する脆弱性よりも高い優先度を設定する。或いは、処理装置は、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高い優先度を設定する。すなわち、外部からアクセス可能でない公開ソフトウェアが有する脆弱性については、その対策を講じる緊急性が低いため、その影響が大きいとしても、その対策を直ちに講じる必要がないという判定を行うことができる。攻撃コードが流通していない脆弱性についても同様の判定を行うことができる。従って、上述した構成によれば、公開ソフトウェアを使わない、公開ソフトウェアをバージョンアップするなどの対策を想定した場合において、脆弱性を有する公開ソフトウェアの扱いを判定するための指標として、適切な優先度を設定することができる。 In the outline of the disclosure, the processing device sets a higher priority for the vulnerabilities of the public software that can be accessed from the outside than the vulnerabilities of the public software that is not accessible from the outside. Alternatively, the processing device sets a higher priority for the vulnerability for which the attack code is distributed than for the vulnerability for which the attack code is not distributed. That is, since it is less urgent to take countermeasures for vulnerabilities in public software that cannot be accessed from the outside, it can be determined that it is not necessary to take countermeasures immediately even if the impact is large. The same determination can be made for vulnerabilities for which attack codes are not distributed. Therefore, according to the above-mentioned configuration, when measures such as not using the public software or upgrading the public software are assumed, an appropriate priority is given as an index for determining the handling of the public software having a vulnerability. Can be set.
ここで、公開ソフトウェアは、ソフトウェアのソースコードが公開され、改良及び再配布が許可されたソフトウェア(以下、OSS;Open Source Software)であってもよい。公開、改良及び再配布は無償で行われてもよい。優先度は、公開ソフトウェアが有する脆弱性に対する対策を講じるべき優先度(以下、トリアージレベル)であってもよい。トリアージレベルは、公開ソフトウェアが有する脆弱性に対する対策を講じるべき緊急性と考えてもよい。 Here, the public software may be software (hereinafter, OSS; Open Source Software) in which the source code of the software is published and improvement and redistribution are permitted. Publication, improvement and redistribution may be done free of charge. The priority may be a priority (hereinafter referred to as a triage level) for which countermeasures against vulnerabilities of public software should be taken. The triage level may be considered an urgent need to take measures against vulnerabilities in public software.
[実施形態]
(処理システム)
以下において、実施形態に係る処理システムについて説明する。図1は、実施形態に係る処理システム100を示す図である。
[Embodiment]
(Processing system)
Hereinafter, the processing system according to the embodiment will be described. FIG. 1 is a diagram showing a
図1に示すように、処理システム100は、処理装置10と、ユーザ端末20と、システムサーバ30と、脆弱性DB(Data Base)40と、を有する。処理装置10、ユーザ端末20、システムサーバ30及び脆弱性DB40は、ネットワーク200によって接続される。特に限定されるものではないが、ネットワーク200は、インターネット網によって構成されてもよい。ネットワーク200は、ローカルエリアネットワークを含んでもよく、移動体通信網を含んでもよく、VPN(Virtual Private Network)を含んでもよい。
As shown in FIG. 1, the
処理装置10は、システムサーバ30に構築されるOSSを含むシステムについて、OSSが有する脆弱性を判定する。処理装置10は、2以上のサーバによって構成されてもよい。処理装置10の少なくとも一部は、クラウドコンピューティングサービスによって実現されてもよい。処理装置10の詳細については後述する(図2を参照)。
The
ユーザ端末20は、ティスプレイ21を有しており、脆弱性の判定機能(以下、トリアージ機能)を利用する端末である。ユーザ端末20は、OSSを含むシステムを利用する端末であってもよい。例えば、ユーザ端末20は、パーソナルコンピュータであってもよく、スマートフォンであってもよく、タブレット端末であってもよい。例えば、ディスプレイ21は、液晶パネルであってもよく、有機ELパネルであってもよい。
The
システムサーバ30は、OSSを含むシステムが構築されるサーバである。システムサーバ30上に構築されるシステムは、OSS以外のソフトウェアを含んでもよい。例えば、OSS以外のソフトウェアは、ユーザによって開発されたソフトウェアであってもよい。システムサーバ30は、2以上のサーバによって構成されてもよい。システムサーバ30の少なくとも一部は、クラウドコンピューティングサービスによって実現されてもよい。OSSを含むシステムは、インターネットなどのネットワーク200を介して外部に公開される公開システムを含んでもよく、インターネットなどのネットワーク200を介して外部に公開されない非公開システムを含んでもよい。例えば、公開システムは、製品、サービス又は採用情報を外部に公開するためのシステムを含んでもよい。非公開システムは、経理又は財務などの処理に用いるシステムを含んでもよい。
The
脆弱性DB40は、OSSが有する脆弱性に関する情報(以下、脆弱性情報)を格納するデータベースである。脆弱性DB40は、1以上のデータベースを定期的にクローリングすることによって、1以上のデータベースから脆弱性情報を収集するデータベースであってもよい。1以上のデータベースは、CVE(Common Vulnerabilities and Exposures)、ICAT(IPA Cyber security Alert Service) Metabase、NVD(National Vulnerability Database)、JVN(Japan Vulnerability Notes)、JVN iPedia、OSVDB(Open Source Vulnerability Database)から選択された1以上のデータベースを含んでもよい。
(処理装置)
以下において、実施形態に係る処理装置について説明する。図2は、実施形態に係る処理装置10を示す図である。
(Processing device)
Hereinafter, the processing apparatus according to the embodiment will be described. FIG. 2 is a diagram showing a
図2に示すように、処理装置10は、通信部11と、管理部12と、制御部13と、を有する。
As shown in FIG. 2, the
通信部11は、通信モジュールによって構成される。通信モジュールは、IEEE802.11a/b/g/n、LTE、5Gなどの規格に準拠する無線通信モジュールであってもよく、IEEE802.3などの規格に準拠する有線通信モジュールであってもよい。
The
通信部11は、ユーザ端末10と通信を行うことによって、トリアージ機能をユーザ端末10に提供してもよい。通信部11は、システムサーバ30と通信を行うことによって、システムサーバ30上に構築されるシステムに含まれるソフトウェアの情報を取得してもよい。通信部11は、脆弱性DB40と通信を行うことによって、脆弱性情報を取得してもよい。
The
例えば、脆弱性情報は、脆弱性について第三者機関が設定する脆弱性のレベルを示す第4情報を含んでもよい。例えば、第4情報は、CVSS(Common Vulnerability Scoring System)で定義されるスコア値(例えば、Base Score)であってもよい。第4情報は、CVSSのバージョンを含んでもよい。さらに、脆弱性情報は、OSSが有する脆弱性に対する攻撃コードが流通している場合には、OSSが有する脆弱性に対する攻撃コードを含んでもよい。 For example, the vulnerability information may include a fourth information indicating the level of vulnerability set by a third party regarding the vulnerability. For example, the fourth information may be a score value (for example, Base Score) defined by CVSS (Comon Vulnerability Scoring System). The fourth information may include a version of CVSS. Further, the vulnerability information may include the attack code for the vulnerability of the OSS when the attack code for the vulnerability of the OSS is distributed.
管理部12は、不揮発性メモリなどのメモリ又は/及びHDD(Hard disc drive)などの記憶媒体によって構成されており、様々な情報を格納する。
The
管理部12は、脆弱性DB40から取得される脆弱性情報を管理(格納)する。管理部12によって管理される脆弱性情報は、脆弱性DB40から取得される脆弱性情報に基づいて加工された情報であってもよい。加工は、脆弱性の種別を示す第3情報(以下、タイプとも称する)を付加する処理であってもよい。加工は、エンジニアによってマニュアルでタイプを付加する処理であってもよく、テキスト解析などによって自動的にタイプを付加する処理であってもよい。
The
例えば、管理部12は、図3に示す情報を管理する。脆弱性は、OSSが有する脆弱性の識別情報である。OSSは、システムサーバ30上に構築されるシステムに含まれるOSSの識別情報(例えば、名称)である。タイプは、上述したように、脆弱性の種別を示す情報である。説明は、脆弱性に関する説明であり、CVSSのバージョン及びスコア値を含んでもよい。影響は、脆弱性によって想定される影響であり、脆弱性を引き起こす原因、脆弱性に対する攻撃手法、脆弱性に対する攻撃によって生じる問題を含んでもよい。
For example, the
制御部13は、少なくとも1つのプロセッサを含んでもよい。少なくとも1つのプロセッサは、単一の集積回路(IC)によって構成されてもよく、通信可能に接続された複数の回路(集積回路及び又はディスクリート回路(discrete circuits)など)によって構成されてもよい。
The
制御部13は、OSSに対して外部からアクセス可能であるか否かを示す第1情報及びOSSが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報の少なくともいずれか1つに基づいて、脆弱性のトリアージレベルを出力する。
The
具体的には、制御部13は、外部からアクセス可能であるOSSが有する脆弱性に対して、外部からアクセス可能でないOSSが有する脆弱性よりも高いトリアージレベルを設定する、或いは、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高いトリアージレベルを設定する。
Specifically, the
ここで、制御部13は、脆弱性を有するOSSに対して外部からアクセス可能であるか否かを入力するユーザインタフェースを出力する出力部を構成してもよい。制御部13は、脆弱性を有するOSSを含むシステム単位で、外部からアクセス可能であるか否かを入力するユーザインタフェースを出力してもよい。ユーザインタフェースは、通信部11からユーザ端末20に送信される。ユーザインタフェースは、ユーザ端末20のディスプレイ21に表示されてもよい。
Here, the
例えば、ディスプレイ21に表示されるユーザインタフェースは、図4に示す通りである。図4に示すように、ユーザインタフェースは、ソフトウェアを含むシステムの識別情報(図4では、システムA)、システムに含まれるソフトウェアの識別情報(図4では、SSS、TTT、UUU)を含む。さらに、ユーザインタフェースは、外部からアクセス可能であるか否かを入力するチェックボックスを含む。
For example, the user interface displayed on the
このようなケースにおいて、Aシステムの右側に配置されたチェックボックスにチェックが入力さると、システムに含まれる全てのソフトウェアの右側に配置されたチェックボックスに自動的にチェックが入力されてもよい。同様に、Aシステムの右側に配置されたチェックボックスからチェックが削除さると、システムに含まれる全てのソフトウェアの右側に配置されたチェックボックスから自動的にチェックが削除されてもよい。すなわち、外部からアクセス可能であるか否かをシステム単位で入力可能である。但し、ソフトウェアの右側に配置されたチェックボックスに個別にチェックが入力されてもよい。同様に、ソフトウェアの右側に配置されたチェックボックスから個別にチェックが削除されてもよい。 In such a case, if a check is entered in the check box located on the right side of the A system, the check box may be automatically entered in the check box located on the right side of all the software included in the system. Similarly, when a check is removed from the check box located on the right side of the A system, the check box may be automatically removed from the check box placed on the right side of all the software included in the system. That is, it is possible to input whether or not it is accessible from the outside on a system-by-system basis. However, individual checks may be entered in the check boxes located on the right side of the software. Similarly, the checks may be individually removed from the checkboxes located on the right side of the software.
図4に示す例において、システムは、システムサーバ30上に構築されるシステムを意味しており、システムに含まれるソフトウェアは、少なくとも1つのOSSを含む。
In the example shown in FIG. 4, the system means a system built on the
上述したように、制御部13は、ユーザインタフェースを用いて入力される情報(チェックボックスに対するチェックの有無)に基づいて第1情報を取得可能である。一方で、制御部13は、脆弱性情報に攻撃コードが含まれているか否かに基づいて第2情報を取得可能である。
As described above, the
実施形態において、制御部13は、第1情報及び第2情報の双方に基づいて、脆弱性のトリアージレベルを出力してもよい。制御部13は、第1情報及び第2情報に加えて、脆弱性の種別を示す第3情報に基づいて、脆弱性のトリアージレベルを出力してもよい。制御部13は、管理部12によって管理される脆弱性情報に第3情報が付加されるため、制御部13は、脆弱性情報に基づいて第3情報を取得可能である。制御部13は、第1情報、第2情報及び第3情報に加えて、脆弱性について第三者機関が設定する脆弱性のレベルを示す第4情報に基づいて、脆弱性のトリアージレベルを出力してもよい。脆弱性DB40から取得する脆弱性情報に第4情報が含まれるため、制御部13は、脆弱性情報に基づいて第4情報を取得可能である。
In the embodiment, the
このようなケースにおいて、トリアージレベルの出力方法(判定方法)について、図5を参照しながら説明する。図5において、“○”は、各条件が満たされていることを意味し、“-”は、各条件が満たされていないことを意味する。 In such a case, the triage level output method (determination method) will be described with reference to FIG. In FIG. 5, “◯” means that each condition is satisfied, and “−” means that each condition is not satisfied.
第1に、制御部13は、第4情報に基づいて第4条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報、第2情報及び第3情報に基づいて、脆弱性のトリアージレベルを出力してもよい。第4条件とは、脆弱性のレベルがレベル条件を満たすことである。例えば、第4情報がCVSSのBase Scoreである場合には、第4条件は、Base Scoreが所定閾値よりも高いことである。制御部13は、第4条件が満たされない脆弱性については、第1情報、第2情報及び第3情報を用いたトリアージレベルの判定を省略してもよい。ここで、制御部13は、図5に示すように、第4条件を満たしてない脆弱性については、最も低いトリアージレベル(例えば、レベル4)を出力してもよい。レベル4は、特に対策を講じる必要がないレベルであってもよい。
First, the
第2に、制御部13は、第2情報に基づいて第2条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報に基づいて、脆弱性のトリアージレベルを出力してもよい。第2条件とは、攻撃コードが流通していることである。制御部13は、第2条件が満たされない脆弱性については、第1情報を用いたトリアージレベルの判定を省略してもよい。ここで、制御部13は、図5に示すように、第2条件を満たしてない脆弱性については、2番目に低いトリアージレベル(例えば、レベル3)を出力してもよい。レベル3は、レベル4よりも対策を講じる必要性が高いレベルである。
Second, the
第3に、制御部13は、第3情報に基づいて第3条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報に基づいて、脆弱性のトリアージレベルを出力してもよい。第3条件は、脆弱性の種別が種別条件を満たすことである。種別条件は、管理部12によって管理される脆弱性情報として上述したタイプが管理されていることであってもよい。或いは、種別条件は、管理部12によって管理されるタイプが所定タイプであることであってもよい。所定タイプは、脆弱性に対する対策を講じる必要性が相対的に高いタイプである。制御部13は、第3条件が満たされない脆弱性については、第1情報を用いたトリアージレベルの判定を省略してもよい。ここで、制御部13は、図5に示すように、第3条件を満たしてない脆弱性については、2番目に低いトリアージレベル(例えば、レベル3)を出力してもよい。レベル3は、レベル4よりも対策を講じる必要性が高いレベルである。
Third, the
ここで、制御部13は、第2条件及び第3条件の双方が満たされていない脆弱性について、トリアージレベルとしてレベル3を出力する。しかしながら、実施形態はこれに限定されるものではない。制御部13は、第2条件及び第3条件のいずれか1つが満たされていない脆弱性について、トリアージレベルとしてレベル3を出力してもよい。同様に、制御部13は、第2条件及び第3条件の少なくともいずれか1つを満たす脆弱性を対象として、第1情報に基づいて脆弱性のトリアージレベルを出力する。しかしながら、実施形態はこれに限定されるものではない。制御部13は、第2条件及び第3条件の双方が満たされる脆弱性を対象として、第1情報に基づいて脆弱性のトリアージレベルを出力してもよい。
Here, the
第4に、制御部13は、第2条件及び第3条件の少なくともいずれか1つを満たす脆弱性を対象として、第1情報に基づいて第1条件が満たされているか否かを判定してもよい。第1条件は、脆弱性を有するOSS又は脆弱性を有するOSSを含むシステムに対して外部からアクセス可能である。図5に示すように、制御部13は、第1条件が満たされる脆弱性について、最も高いトリアージレベル(例えば、レベル1)を出力する。制御部13は、第1条件を満たさない脆弱性について、2番目に高いトリアージレベル(例えば、レベル2)を出力する。レベル2は、レベル3よりも対策を講じる必要が高いレベルである。レベル1は、レベル2よりも対策を講じる必要が高いレベルである。
Fourth, the
(表示態様)
以下において、実施形態に係る表示態様について説明する。図6は、実施形態に係るユーザ端末20のディスプレイ21に表示される表示態様について示す図である。図6に示す表示態様は一例に過ぎず、他の表示態様がディスプレイ21に表示されてもよい。
(Display mode)
Hereinafter, the display mode according to the embodiment will be described. FIG. 6 is a diagram showing a display mode displayed on the
図6に示すように、ディスプレイ21は、トリアージ機能として脆弱性の一覧を表示する。IDは、脆弱性に割り振られた識別情報である。トリアージレベルは、脆弱性に対する対策を講じるべき優先度を示す情報である。ステータスは、脆弱性に対する対策を講じたか否かを示す情報である。リポジトリは、システムサーバ30においてソフトウェアが格納される場所を示す情報である。ソフトウェアは、ソフトウェアの識別情報である。スキャン日時は、脆弱性がスキャンされた日時を示す情報である。
As shown in FIG. 6, the
(処理方法)
以下において、実施形態に係る処理方法について説明する。図7は、実施形態に係る処理方法を示す図である。
(Processing method)
Hereinafter, the processing method according to the embodiment will be described. FIG. 7 is a diagram showing a processing method according to the embodiment.
ステップS10において、処理装置10は、システムサーバ30上に構築されたシステムに含まれるOSSをスキャンする。詳細には、処理装置10は、管理部12によって管理される脆弱性情報に基づいて、OSSが有する脆弱性をスキャンする。
In step S10, the
ステップS11において、処理装置10は、ステップS10で見つかった脆弱性を対象として、第4条件が満たされるか否かを判定する。第4条件の詳細は上述した通りである。第4条件が満たされる場合には、ステップS12の処理が行われ、第4条件が満たされない場合には、ステップS18の処理が行われる。
In step S11, the
ステップS12において、処理装置10は、第4条件が満たされる脆弱性を対象として、第3条件が満たされるか否かを判定する。第3条件の詳細は上述した通りである。第3条件が満たされる場合には、ステップS14の処理が行われ、第3条件が満たされない場合には、ステップS13の処理が行われる。
In step S12, the
ステップS13において、処理装置10は、第4条件が満たされる脆弱性を対象として、第2条件が満たされるか否かを判定する。第2条件の詳細は上述した通りである。第2条件が満たされる場合には、ステップS14の処理が行われ、第2条件が満たされない場合には、ステップS17の処理が行われる。
In step S13, the
ステップS14において、処理装置10は、第2条件及び第3条件のいずれか1つが満たされる脆弱性を対象として、第1条件が満たされるか否かを判定する。第1条件の詳細は上述した通りである。第1条件が満たされる場合には、ステップS15の処理が行われ、第1条件が満たされない場合には、ステップS16の処理が行われる。
In step S14, the
ステップS15において、処理装置10は、脆弱性のトリアージレベルがレベル1であると判定する。レベル1の詳細は上述した通りである。
In step S15, the
ステップS16において、処理装置10は、脆弱性のトリアージレベルがレベル2であると判定する。レベル2の詳細は上述した通りである。
In step S16, the
ステップS17において、処理装置10は、脆弱性のトリアージレベルがレベル3であると判定する。レベル3の詳細は上述した通りである。
In step S17, the
ステップS18において、処理装置10は、脆弱性のトリアージレベルがレベル4であると判定する。レベル4の詳細は上述した通りである。
In step S18, the
なお、ステップS11~ステップS18の処理は、ステップS10で見つかった脆弱性の全てに対して個別に行われる。また、ステップS12及びステップS13の順序が入れ替えられてもよい。 The processes of steps S11 to S18 are individually performed for all the vulnerabilities found in step S10. Further, the order of steps S12 and S13 may be changed.
(作用及び効果)
実施形態では、処理装置10は、外部からアクセス可能であるOSSが有する脆弱性に対して、外部からアクセス可能でないOSSが有する脆弱性よりも高いトリアージレベルを設定する。或いは、処理装置10は、攻撃コードが流通している脆弱性に対して、攻撃コードが流通していない脆弱性よりも高いトリアージレベルを設定する。すなわち、外部からアクセス可能でないOSSが有する脆弱性については、その対策を講じる緊急性が低いため、その影響が大きいとしても、その対策を直ちに講じる必要がないという判定を行うことができる。攻撃コードが流通していない脆弱性についても同様の判定を行うことができる。従って、上述した構成によれば、OSSを使わない、OSSをバージョンアップするなどの対策を想定した場合において、脆弱性を有するOSSの扱いを判定するための指標として、適切なトリアージレベルを設定することができる。
(Action and effect)
In the embodiment, the
実施形態では、処理装置10は、脆弱性を有するOSSに対して外部からアクセス可能であるか否かを入力するユーザインタフェースを出力してもよい。このような構成によれば、処理装置10が簡易な構成で第1情報を取得することができる。さらに、ユーザインタフェースは、脆弱性を有するOSSを含むシステム単位で、外部からアクセス可能であるか否かを入力するユーザインタフェースであってもよい。このような構成によれば、ユーザの入力の煩雑さを抑制することができる。
In the embodiment, the
実施形態では、処理装置10は、第4情報に基づいて第4条件が満たされる脆弱性を特定し、特定された脆弱性を対象として、第1情報、第2情報及び第3情報に基づいて、脆弱性のトリアージレベルを出力してもよい。このような構成によれば、第4条件が満たされていない脆弱性について、第1情報、第2情報及び第3情報を用いた判定を省略することができ、処理装置10の処理負荷を軽減することができる。
In the embodiment, the
実施形態では、処理装置10は、第2条件及び第3条件の少なくともいずれか1つを満たす脆弱性を対象として、第1情報に基づいて第1条件が満たされているか否かを判定してもよい。このような構成によれば、第2条件及び第3条件の双方が満たされない脆弱性について、第1情報を用いた判定を省略することができ、処理装置10の処理負荷を軽減することができる。
In the embodiment, the
[その他の実施形態]
本発明は上述した実施形態によって説明したが、この開示の一部をなす論述及び図面は、この発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
[Other embodiments]
Although the invention has been described by embodiments described above, the statements and drawings that form part of this disclosure should not be understood as limiting the invention. This disclosure will reveal to those skilled in the art various alternative embodiments, examples and operational techniques.
実施形態では、トリアージレベルのレベル数が4つであるケースを例示した。しかしながら、実施形態はこれに限定されるものではない。トリアージレベルのレベル数は5つ以上であってもよく、トリアージレベルのレベル数は3つ以下であってもよい。 In the embodiment, a case where the number of triage level levels is four is illustrated. However, the embodiments are not limited to this. The number of triage level levels may be 5 or more, and the number of triage level levels may be 3 or less.
実施形態では、第2条件及び第3条件の重要度が同程度であるケースを例示した。しかしながら、実施形態はこれに限定されるものではない。第2条件の重要度が第3条件の重要度よりも高くてもよい。このようなケースでは、第2条件が満たされる脆弱性のトリアージレベルは、第3条件が満たされるトリアージレベルよりも高くてもよい。同様に、第3条件の重要度が第2条件の重要度よりも高くてもよい。このようなケースでは、第3条件が満たされる脆弱性のトリアージレベルは、第2条件が満たされるトリアージレベルよりも高くてもよい。 In the embodiment, a case where the importance of the second condition and the third condition are the same is illustrated. However, the embodiments are not limited to this. The importance of the second condition may be higher than the importance of the third condition. In such cases, the triage level of the vulnerability for which the second condition is satisfied may be higher than the triage level for which the third condition is satisfied. Similarly, the importance of the third condition may be higher than the importance of the second condition. In such cases, the triage level of the vulnerability for which the third condition is satisfied may be higher than the triage level for which the second condition is satisfied.
実施形態では、脆弱性を有するOSSに対して外部からアクセス可能であるか否かを入力するユーザインタフェースが出力されるケースを例示した。しかしながら、実施形態は、これに限定されるものではない。処理装置10は、システムサーバ30上に構築されるシステムの学習(例えば、深層学習)によって、OSSに対して外部からアクセス可能であるか否かを自動的に判定してもよい。さらには、ユーザインタフェースは、自動的に判定された結果を初期値として含んでもよい。
In the embodiment, a case where a user interface for inputting whether or not the OSS having a vulnerability is accessible from the outside is output is illustrated. However, the embodiments are not limited to this. The
実施形態では、処理装置10が1つの装置であるケースを例示した。しかしながら、実施形態はこれに限定されるものではない。処理装置10が有する機能は、2以上のエンティティによって実現されてもよい。2以上のエンティティは、クラウドコンピューティングサービスを提供するエンティティを含んでもよい。また、管理部12は、処理装置10とは別に設けられるクラウド上のデータベースであってもよい。
In the embodiment, a case where the
実施形態では特に触れていないが、処理装置10が行う各処理をコンピュータに実行させるプログラムが提供されてもよい。また、プログラムは、コンピュータ読取り可能媒体に記録されていてもよい。コンピュータ読取り可能媒体を用いれば、コンピュータにプログラムをインストールすることが可能である。ここで、プログラムが記録されたコンピュータ読取り可能媒体は、非一過性の記録媒体であってもよい。非一過性の記録媒体は、特に限定されるものではないが、例えば、CD-ROMやDVD-ROM等の記録媒体であってもよい。
Although not particularly mentioned in the embodiment, a program for causing a computer to execute each process performed by the
或いは、処理装置10が行う各処理を実行するためのプログラムを記憶するメモリ及びメモリに記憶されたプログラムを実行するプロセッサによって構成されるチップが提供されてもよい。
Alternatively, a chip composed of a memory for storing a program for executing each process performed by the
10…処理装置、11…通信部、12…管理部、13…制御部、20…ユーザ端末、21…ディスプレイ、30…システムサーバ、40…脆弱性DB、100…処理システム
10 ... Processing device, 11 ... Communication unit, 12 ... Management unit, 13 ... Control unit, 20 ... User terminal, 21 ... Display, 30 ... System server, 40 ... Vulnerability DB, 100 ... Processing system
Claims (5)
前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報及び前記脆弱性について第三者機関が設定する前記脆弱性のレベルを示す第4情報に基づいて、前記脆弱性の優先度を出力する制御部を備え、
前記制御部は、前記第4情報に基づいて前記脆弱性のレベルがレベル条件を満たす脆弱性を特定し、前記第4情報に基づいて特定された脆弱性を対象として、前記第2情報に基づいて前記脆弱性の優先度を出力する、処理装置。 A processing device for determining the vulnerability of the public software in a system including the public software.
The vulnerability is based on the second information indicating whether or not the attack code for the vulnerability of the public software is distributed and the fourth information indicating the level of the vulnerability set by a third party for the vulnerability. Equipped with a control unit that outputs the priority of gender
The control unit identifies a vulnerability whose level satisfies the level condition based on the fourth information, and targets the vulnerability identified based on the fourth information based on the second information. A processing device that outputs the priority of the vulnerability.
前記制御部は、前記第4情報に基づいて特定された脆弱性を対象として、前記第2情報に加えて、前記脆弱性の種別を示す第3情報に基づいて、前記脆弱性の優先度を出力し、
前記脆弱性の種別は、前記データベースから受信する前記脆弱性情報の加工によって得られ、前記脆弱性に対する対策を講じる必要性を示す種別である、請求項1又は請求項2に記載の処理装置。 It is equipped with a receiving unit that receives the vulnerability information from the database that stores the vulnerability information related to the vulnerability of the public software.
The control unit targets the vulnerability identified based on the fourth information, and in addition to the second information, sets the priority of the vulnerability based on the third information indicating the type of the vulnerability. Output and
The processing device according to claim 1 or 2, wherein the type of the vulnerability is obtained by processing the vulnerability information received from the database and indicates the necessity of taking measures against the vulnerability.
前記制御部は、前記脆弱性の種別が種別条件を満たさない脆弱性を対象として、前記第2情報に基づいて前記脆弱性の優先度を出力する、請求項3に記載の処理装置。 The control unit identifies a vulnerability in which the type of the vulnerability satisfies the type condition based on the third information, targeting the vulnerability identified based on the fourth information.
The processing device according to claim 3, wherein the control unit outputs a priority of the vulnerability based on the second information, targeting a vulnerability whose type does not satisfy the type condition.
前記公開ソフトウェアが有する脆弱性に対する攻撃コードが流通しているか否かを示す第2情報及び前記脆弱性について第三者機関が設定する前記脆弱性のレベルを示す第4情報に基づいて、前記脆弱性の優先度を出力するステップAを備え、
前記ステップAは、処理装置によって前記第4情報に基づいて前記脆弱性のレベルがレベル条件を満たす脆弱性を特定し、前記第4情報に基づいて特定された脆弱性を対象として、前記第2情報に基づいて前記脆弱性の優先度を出力するステップを含む、処理方法。 It is a processing method for determining the vulnerability of the public software in the system including the public software.
The vulnerability is based on the second information indicating whether or not the attack code for the vulnerability of the public software is distributed and the fourth information indicating the level of the vulnerability set by a third party for the vulnerability. With step A to output the priority of sex,
In step A , the processing device identifies a vulnerability whose level satisfies the level condition based on the fourth information, and targets the vulnerability identified based on the fourth information, the second step. A processing method comprising the step of outputting the priority of the vulnerability based on the information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020046036A JP7008922B2 (en) | 2020-03-17 | 2020-03-17 | Processing equipment and processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020046036A JP7008922B2 (en) | 2020-03-17 | 2020-03-17 | Processing equipment and processing method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019099506A Division JP6678798B1 (en) | 2019-05-28 | 2019-05-28 | Processing device and processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020194529A JP2020194529A (en) | 2020-12-03 |
JP7008922B2 true JP7008922B2 (en) | 2022-01-25 |
Family
ID=73546445
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020046036A Active JP7008922B2 (en) | 2020-03-17 | 2020-03-17 | Processing equipment and processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7008922B2 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012208863A (en) | 2011-03-30 | 2012-10-25 | Hitachi Ltd | Vulnerability determination system, vulnerability determination method and vulnerability determination program |
-
2020
- 2020-03-17 JP JP2020046036A patent/JP7008922B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012208863A (en) | 2011-03-30 | 2012-10-25 | Hitachi Ltd | Vulnerability determination system, vulnerability determination method and vulnerability determination program |
Non-Patent Citations (4)
Title |
---|
加藤諒,大規模バージョンアップ!新しくなったFutureVulsを触ってみた,Developers.IO produced by Classmethod,2018年08月30日,https://dev.classmethod.jp/security/futurevuls-201808-intro/ |
林優二郎他,脆弱性管理サービス FutureVuls登場,SoftwareDesign 2018年1月号,日本,(株)技術評論社,2017年12月18日,p.96-p.102 |
独立行政法人 情報処理推進機構 セキュリティセンター,共通脆弱性評価システムCVSS概説,独立行政法人 情報処理推進機構,2018年05月31日,[検索日 2019.08.29],インターネット:<URL:https://www.ipa.go.jp/security/vuln/CVSS.html> |
高橋秀和,ITpro EXPO 2017速報 ブラック・ダック、オープンソースの3リスクを可視化する「Black Duck Hub」,日経 xTECH,日経BP社,2017年10月13日,[検索日 2019.08.29],インターネット:<URL:https://tech.nikkeibp. co.jp/it/atcl/column/17/101000415/101300102/> |
Also Published As
Publication number | Publication date |
---|---|
JP2020194529A (en) | 2020-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11856021B2 (en) | Detecting and mitigating poison attacks using data provenance | |
EP3226169A1 (en) | Antivirus signature distribution with distributed ledger | |
US20190238563A1 (en) | Managed software remediation | |
US11824878B2 (en) | Malware detection at endpoint devices | |
CN111552973B (en) | Method and device for risk assessment of equipment, electronic equipment and medium | |
EP3504659B1 (en) | Computing device protection based on device attributes and device risk factor | |
CN110546936B (en) | Personalized threat protection | |
US11386216B2 (en) | Verification of privacy in a shared resource environment | |
WO2020241171A1 (en) | Processing device and processing method | |
US20200327237A1 (en) | Systems and methods for aggregating, ranking, and minimizing threats to computer systems based on external vulnerability intelligence | |
US10783277B2 (en) | Blockchain-type data storage | |
US20200084632A1 (en) | System and method for determining dangerousness of devices for a banking service | |
US20170180129A1 (en) | Password Re-Usage Identification Based on Input Method Editor Analysis | |
US20190102549A1 (en) | System and method of identifying a malicious intermediate language file | |
JP7008922B2 (en) | Processing equipment and processing method | |
US9652627B2 (en) | Probabilistic surfacing of potentially sensitive identifiers | |
US20210049516A1 (en) | Using a Machine Learning System to Process a Corpus of Documents Associated With a User to Determine a User-Specific and/or Process-Specific Consequence Index | |
JP7086261B1 (en) | Processing equipment and processing method | |
JP6324646B1 (en) | Security measure determining device, security measure determining method, and security measure determining program | |
US10438011B2 (en) | Information processing apparatus and non-transitory computer readable medium | |
CN110943982B (en) | Document data encryption method and device, electronic equipment and storage medium | |
EP3441930A1 (en) | System and method of identifying potentially dangerous devices during the interaction of a user with banking services | |
US8825651B1 (en) | Determining a group of related products on a computing device | |
US9740739B2 (en) | Visionary query processing in Hadoop utilizing opportunistic views | |
US11768902B2 (en) | System and method for providing content to a user |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20210811 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210823 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210823 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20210811 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210922 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211001 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211102 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20211201 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20211210 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211216 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20211210 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7008922 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |