JP7167585B2 - FAILURE DETECTION DEVICE, FAILURE DETECTION METHOD AND FAILURE DETECTION PROGRAM - Google Patents
FAILURE DETECTION DEVICE, FAILURE DETECTION METHOD AND FAILURE DETECTION PROGRAM Download PDFInfo
- Publication number
- JP7167585B2 JP7167585B2 JP2018176509A JP2018176509A JP7167585B2 JP 7167585 B2 JP7167585 B2 JP 7167585B2 JP 2018176509 A JP2018176509 A JP 2018176509A JP 2018176509 A JP2018176509 A JP 2018176509A JP 7167585 B2 JP7167585 B2 JP 7167585B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- vulnerability
- communication protocol
- failure
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
本発明は、障害検出装置、障害検出方法及び障害検出プログラムに関する。 The present invention relates to a failure detection device, failure detection method, and failure detection program.
従来より、ネットワークに接続可能なデバイスが各種知られており、最近では、スマートデバイス、例えば、IoT(Internet Of Things)と呼ばれるデバイスが普及している。ネットワークに接続可能なデバイスの普及に伴って、複数のデバイスによるネットワークへの接続が行われるが、デバイスは、例えば、意図しない第三者によるアクセスによってデバイスが制御されることを招く脆弱性を有する場合がある。すなわち、脆弱性を有するデバイスは、意図しない接続及び処理が実行される虞がある。このため、デバイスから脆弱性を除去することが叫ばれており、ネットワークに接続された複数のデバイスを管理することが望まれている。例えば、複数のデバイスの管理を軽減するために、ルータを介してデバイスにアクセスして設定を取得し、取得した設定と既知の脆弱性情報を照合することでネットワーク脆弱性を識別して、修復するためのアクションを実行するシステムが開示されている(例えば、特許文献1参照)。 2. Description of the Related Art Conventionally, various devices that can be connected to a network have been known, and recently, smart devices, for example, devices called IoT (Internet Of Things), have become popular. With the spread of network-connectable devices, multiple devices are connecting to the network, but devices have vulnerabilities that lead to unintended third-party access and control of the device. Sometimes. In other words, devices with vulnerabilities may allow unintended connections and processes to be performed. Therefore, there is a demand for removing vulnerabilities from devices, and it is desired to manage multiple devices connected to a network. For example, in order to reduce the management of multiple devices, access the device via a router to acquire the settings, identify network vulnerabilities by matching the acquired settings with known vulnerability information, and repair them. A system for executing an action for performing is disclosed (see, for example, Patent Document 1).
ところで、ネットワークに接続可能な複数のデバイスは、個々に定めた異なるアクセス手段、例えば通信プロトコルによってアクセスするため、デバイスへのアクセス手段の種類に応じてデバイス管理の負荷が増大する。
本発明は、異なる通信プロトコルの複数のデバイスにおける障害を管理する場合、共通の通信プロトコルで複数のデバイスの各々の設定を取得してデバイスにおける障害を管理する装置と比べて、デバイス管理の負荷の増大を抑制することができる障害検出装置、障害検出方法及び障害検出プログラムを提供することを目的とする。
By the way, since a plurality of devices connectable to a network are accessed by individually determined different means of access, such as communication protocols, the load of device management increases according to the type of means of access to the devices.
When managing failures in a plurality of devices with different communication protocols, the present invention reduces the load of device management compared to an apparatus that acquires the settings of each of a plurality of devices using a common communication protocol and manages failures in the devices. It is an object of the present invention to provide a failure detection device, a failure detection method, and a failure detection program capable of suppressing the increase.
本開示の第1態様に係る障害検出装置は、ネットワークに接続された複数のデバイスの各々との通信で使用された通信プロトコルの各々を通信記録として記録する記録部と、前記複数のデバイスの各々に対して、前記通信記録に記録された通信プロトコルと、前記通信プロトコルに対応付けられた、該通信プロトコルにおける前記デバイスの通信に関係する脆弱性を示す情報とに基づいて、前記通信プロトコルで生じることが予測される障害の各々を検出する障害検出部と、を備える。 A failure detection apparatus according to a first aspect of the present disclosure includes a recording unit that records, as a communication record, each communication protocol used in communication with each of a plurality of devices connected to a network; , based on the communication protocol recorded in the communication record and information associated with the communication protocol indicating vulnerability related to communication of the device in the communication protocol, and a fault detection unit that detects each of the predicted faults.
本開示の第2態様は、第1態様に記載の障害検出装置において、前記障害検出部で前記障害が検出された場合に前記障害が検出されたことに対応する障害有処理を実行し、かつ前記障害が検出されなかった場合に前記障害が検出されなかったことに対応する障害無処理を実行する実行部を含む。 A second aspect of the present disclosure is the failure detection device according to the first aspect , wherein when the failure detection unit detects the failure, a failure presence process corresponding to the detection of the failure is performed, and An execution unit that, when the fault is not detected, executes fault-no-processing corresponding to the fault not being detected.
本開示の第3態様は、第2態様に記載の障害検出装置において、前記障害有処理は、ユーザに対して前記障害の有を報知する処理であり、前記障害無処理は、ユーザに対して前記障害の無を報知する処理である。 A third aspect of the present disclosure is the failure detection device according to the second aspect , wherein the failure-present process is a process of informing the user of the presence of the failure, and the failure-free process notifies the user of This is the process of reporting the absence of the obstacle.
本開示の第4態様は、第1態様から第3態様の何れか1態様に記載の障害検出装置において、前記障害は、前記デバイスの通信に関係する脆弱性である。 A fourth aspect of the present disclosure is the failure detection device according to any one of the first to third aspects , wherein the failure is vulnerability related to communication of the device.
本開示の第5態様は、第4態様に記載の障害検出装置において、前記脆弱性は、通信プロトコルに対応付けられた、該通信プロトコルにおける脆弱性を示す情報を用いて、検出する。 A fifth aspect of the present disclosure is the fault detection device according to the fourth aspect , wherein the vulnerability is detected using information associated with the communication protocol and indicating vulnerability in the communication protocol.
本開示の第6態様は、第5態様に記載の障害検出装置において、前記脆弱性を示す情報は、通信プロトコルで用いられる管理用プロトコルの脆弱性を示す情報である。 A sixth aspect of the present disclosure is the failure detection device according to the fifth aspect , wherein the information indicating vulnerability is information indicating vulnerability of a management protocol used in a communication protocol.
本開示の第7態様は、第1態様から第6態様の何れか1態様に記載の障害検出装置において、前記複数のデバイスは、予め定めた内部ネットワークに接続する内部接続デバイスと、予め定めた外部ネットワークに接続する外部接続デバイスを含み、前記障害検出部は、前記外部接続デバイスに対して、前記通信プロトコルで生じることが予測される障害を検出する。 A seventh aspect of the present disclosure is the fault detection device according to any one of the first to sixth aspects , wherein the plurality of devices are internal connection devices connected to a predetermined internal network, and predetermined An externally connected device connected to an external network is included , and the failure detection unit detects a failure expected to occur in the communication protocol for the externally connected device.
本開示の第8態様の障害検出方法は、コンピュータが、ネットワークに接続された複数のデバイスの各々との通信で使用された通信プロトコルの各々を通信記録として記録し、前記複数のデバイスの各々に対して、前記通信記録に記録された通信プロトコルと、前記通信プロトコルに対応付けられた、該通信プロトコルにおける前記デバイスの通信に関係する脆弱性を示す情報とに基づいて、前記通信プロトコルで生じることが予測される障害の各々を検出する障害検出方法である。 In a failure detection method according to an eighth aspect of the present disclosure , a computer records, as a communication record, each communication protocol used in communication with each of a plurality of devices connected to a network, and in each of the plurality of devices On the other hand, what happens in the communication protocol based on the communication protocol recorded in the communication record and information associated with the communication protocol indicating vulnerability related to communication of the device in the communication protocol is a fault detection method that detects each of the predicted faults.
本開示の第9態様の障害検出プログラムは、コンピュータに、ネットワークに接続された複数のデバイスの各々との通信で使用された通信プロトコルの各々を通信記録として記録し、前記複数のデバイスの各々に対して、前記通信記録に記録された通信プロトコルと、前記通信プロトコルに対応付けられた、該通信プロトコルにおける前記デバイスの通信に関係する脆弱性を示す情報とに基づいて、前記通信プロトコルで生じることが予測される障害の各々を検出する処理を実行させる障害検出プログラムである。 A fault detection program according to a ninth aspect of the present disclosure records, in a computer , each communication protocol used in communication with each of a plurality of devices connected to a network as a communication record, and in each of the plurality of devices, On the other hand, what happens in the communication protocol based on the communication protocol recorded in the communication record and information associated with the communication protocol indicating vulnerability related to communication of the device in the communication protocol is a fault detection program that executes processing for detecting each of the predicted faults.
第1態様、第8態様、第9態様によれば異なる通信プロトコルの複数のデバイスにおける障害を管理する場合、共通の通信プロトコルで複数のデバイスの各々の設定を取得してデバイスにおける障害を管理する装置と比べて、デバイス管理の負荷の増大を抑制することができる、という効果を有する。
第2態様、第3態様によれば、障害の検出処理のみを実行する場合と比べて、障害の検出結果に対応した適切な処理を実行することを支援できる、という効果を有する。
第4態様、第5態様によれば、障害を一律に検出する場合と比べて、通信に関係する脆弱性を対象とすることでさらにデバイス管理の負荷を抑制することができる、という効果を有する。
第6態様によれば、管理用プロトコルを対象としない場合と比べて、障害を検出する検出精度を向上することができる、という効果を有する。
第7態様によれば、共通のネットワーク環境で障害を検出する場合と比べて、デバイスが接続されたネットワークに応じて障害を検出することができる、という効果を有する。
According to the first aspect, the eighth aspect, and the ninth aspect , when managing failures in a plurality of devices with different communication protocols, the device failures are managed by acquiring the settings of each of the plurality of devices with a common communication protocol. It has the effect of being able to suppress an increase in device management load compared to a device.
According to the second aspect and the third aspect , there is an effect that it is possible to assist execution of appropriate processing corresponding to the failure detection result, compared to the case where only failure detection processing is performed.
According to the fourth aspect and the fifth aspect , there is an effect that the load of device management can be further suppressed by targeting vulnerabilities related to communication, compared to the case of uniformly detecting failures. .
According to the sixth aspect , it is possible to improve the detection accuracy of fault detection as compared with the case where the management protocol is not targeted.
According to the seventh aspect , there is an effect that a failure can be detected according to the network to which the device is connected compared to the case of detecting a failure in a common network environment.
以下、図面を参照して実施形態に係る障害検出装置の一例を詳細に説明する。
本実施形態は、ネットワーク通信可能な複数のデバイスを管理し、デバイスで生じることが予測される障害を検出する障害検出装置を、画像読取及び印刷等の複数の機能を有する複合機に適用した場合の一例を説明する
なお、以下の説明では、作用、機能が同じ働きを担う構成要素及び処理には、全図面を通して同じ符合を付与し、重複する説明を適宜省略する場合がある。
An example of a failure detection device according to an embodiment will be described below in detail with reference to the drawings.
This embodiment applies a failure detection device that manages a plurality of devices capable of network communication and detects failures expected to occur in the devices to a multifunction machine having multiple functions such as image reading and printing. Description of an Example In the following description, constituent elements and processes having the same actions and functions are given the same reference numerals throughout the drawings, and redundant description may be omitted as appropriate.
(第1実施形態)
図1に、第1実施形態に係るネットワークシステム1の構成の一例を示す。
ネットワークシステム1は、インターネット等の外部ネットワーク2と、例えば拠点内で機能するイーサネット(登録商標)等で構築されたイントラネット等の内部ネットワーク3とに接続された複合機30を備えている。また、ネットワークシステム1は、各々内部ネットワーク3に接続された複数のデバイス40を備えている。
(First embodiment)
FIG. 1 shows an example of the configuration of a
A
なお、図1では、複数のデバイス40の一例として、デバイス40-1からデバイス40-NのN個のデバイス40を含む場合を示す。以下の説明では、N個のデバイス40の各々を区別して説明する場合には、(-1)から(-N)の何れか1つの符号を付して説明すが、N個のデバイス40の各々の区別が不要な場合には、デバイス40と総称して説明する。
Note that FIG. 1 shows, as an example of the plurality of
複合機30は、原稿を複写するコピー機能、原稿を画像として読み取って(スキャン)データ化するスキャン機能、及び入力された原稿の電子データを印刷するプリント機能をを含む原稿関連機能を有している。この原稿関連機能を実現するために、複合機30は、原稿をスキャンするスキャナ37、及び各種データをプリントするプリンタ38を備えている。また、複合機30は、外部ネットワーク2と通信する機能部である外部通信インタフェース(I/F)34、及び内部ネットワーク3と通信する機能部である内部通信インタフェース(I/F)35を備えている。また、詳細は後述するが、複合機30は、N個のデバイス40からデータを収集し管理するゲートウェイ機能を有して、デバイス40で生じることが予測される障害を検出する障害検出機能を有している。
The
具体的には、図1に示すように、複合機30は、各種機能を実現する処理を実行する実行装置としてコンピュータを含んで構成している。
複合機30は、コンピュータ本体32を備えている。コンピュータ本体32は、CPU32A、RAM32B、ROM32C、ハードディスク装置(HDD)等の補助記憶装置32D、及び入出力インターフェース(I/O)32Eを備えている。これらのCPU32A、RAM32B、ROM32C、補助記憶装置32D、及び入出力I/O32Eは、相互にデータ及びコマンドを授受可能にバス32Fを介して接続された構成である。また、I/O32Eには、外部通信I/F34、内部通信I/F35、ディスプレイやキーボード等の操作表示部36、スキャナ37、及びプリンタ38が接続されている。
Specifically, as shown in FIG. 1, the
The MFP 30 has a computer
補助記憶装置32Dには、複合機30を障害検出装置として機能させるための制御プログラム32Gが記憶される。CPU32Aは、制御プログラム32Gを補助記憶装置32Dから読み出してRAM32Bに展開して処理を実行する。これにより、制御プログラム32Gを実行した複合機30は障害検出装置として動作する。なお、補助記憶装置32Dには、複合機30を障害検出装置として機能させ、デバイス40の障害検出を支援するために、通信プロトコルの脆弱性に関係する情報が格納されたテーブル32Hも記憶される。制御プログラム32G及びテーブル32Hは、CD-ROM等の記録媒体により提供するようにしても良い。
The
本実施形態では、障害とは、ネットワークシステム1に含まれる装置が直接的又は間接的に意図しない動作を引き起こす装置の状態、及び直接的又は間接的に意図しない動作を引き起こす可能性を有する装置の状態をいう。意図しない動作とは、予め定めた装置の動作を逸脱した動作である。この障害の一例には、間接的に意図しない動作を引き起こす第三者によるアクセスによってデバイスが制御されることを招く脆弱性が挙げられる。脆弱性を有するデバイスは、意図しない接続及び処理が実行される可能性を有することになる。この脆弱性は、セキュリティ診断処理等の脆弱性スキャンによって検出することができる。また、障害の他例には、直接的に意図しない動作を引き起こす、意図しない制御をデバイス自体が自律的に実行すること、及びデバイスにおける制御を停止すること等を招く状態が挙げられる。この場合、セキュリティ診断処理等の脆弱性スキャンに含めて検出することもできる。また、障害は、特定のソフトウェアの実行に起因してハードウェアが意図しない動作を引き起こす状態、及び特定のソフトウェアの実行に起因して自己又は他のソフトウェアが意図しない動作を引き起こす状態を含む。
In this embodiment, failure means a state of a device that directly or indirectly causes an unintended operation of a device included in the
なお、制御プログラム32Gは、複合機30を、デバイス40からの通信によるデータを収集し管理するゲートウェイ機能を実現する処理を実行するゲートウェイプロセスを含んでいる。CPU32Aが、制御プログラム32Gに含まれるゲートウェイプロセスを補助記憶装置32Dから読み出してRAM32Bに展開して処理を実行することにより、複合機30はデバイス40からの通信によるデータを収集し管理するゲートウェイとして動作する。このゲートウェイ機能の実行により、デバイス40の通信の記録(図3に示す通信記録50)が補助記憶装置32Dに記録される。
The
また、補助記憶装置32Dは、複合機30で原稿関連機能を実現するための原稿関連機能プログラム32Jも記憶される。CPU32Aは、原稿関連機能プログラム32Jを補助記憶装置32Dから読み出してRAM32Bに展開して処理を実行する。これにより、原稿関連機能プログラム32Jを実行した複合機30は、コピー機能、スキャン機能、及びプリント機能を含む原稿関連機能を実行可能に動作する。
The
一方、内部ネットワーク3には、デバイス40(デバイス40-1からデバイス40-N)が接続されている。デバイス40は、例えば、IoTデバイスを含むデバイスであり、各々固有機能を有している。
デバイス40は、CPU41、RAM42、ROM43、内部ネットワーク3と通信する機能部である通信部44、デバイスに固有な処理を実行するための固有機能部45を備えている。これらのCPU41、RAM42、ROM43、通信部44、固有機能部45は、相互にデータ及びコマンドを授受可能にバス46を介して接続された構成である。ROM43には、デバイス40で固有機能を実現させるための図示しない固有機能プログラムが記憶される。CPU41は、図示しない固有機能プログラムをROM43から読み出してRAM42に展開して処理を実行する。これにより、デバイス40は固有機能を実現した装置として動作する。
On the other hand, devices 40 (device 40-1 to device 40-N) are connected to the
The
なお、デバイス40の各々は、個別の通信プロトコルで内部ネットワーク3に通信するようになっている。個別の通信プロトコルは、例えば、標準的に用いられるプロトコルとして、コネクション型のTCP(Transmission Control Protocol)、IP(Internet Protocol)、コネクションレス型のUDP(User Datagram Protocol)、が知られている。また、無線通信に用いられるプロトコルとして、NFC(Near Field Communication)、Wi-Fi(Wireless Fidelity)が知られている。また、近距離無線通信プロトコルとして、Bruetoothクラッシック、及びBLE(Bruetooth Low Energy)に大別されるBruetooth、省電力型のZigBee(登録商標)、が知られている。さらに、ファイル共有等に用いられるプロトコルとして、SMB(Server Message Block)、CIFS(Common Internet File System)、が知られている。
Each
第1実施形態では、内部ネットワーク3に通信するデバイス40について説明するが、デバイス40は内部ネットワーク3に通信するように設けられることに限定されるものではない。例えば、外部ネットワーク2を介して複合機30へ通信するデバイスに適用してもよい。
Although the
複合機30は、開示の技術における障害検出装置の一例である。操作表示部36は、開示の技術における報知部の一例である。
The
次に、第1実施形態に係るネットワークシステム1において、障害検出装置として動作する複合機30によってデバイス40を管理し、通信プロトコルの脆弱性に関する処理について説明する。
なお、ここでは、上記ゲートウェイプロセスによる処理の実行により、デバイス40の通信の記録(通信記録)が補助記憶装置32Dに記録されるものとする。
また、本実施形態では、通信プロトコルの脆弱性を障害の一例として、障害検出、すなわち通信プロトコルの脆弱性を検出する場合を説明する。
Next, in the
Here, it is assumed that a communication record (communication record) of the
In addition, in the present embodiment, the vulnerability of a communication protocol is taken as an example of a failure, and the case of detecting a failure, that is, detecting the vulnerability of a communication protocol will be described.
図2に、デバイス40の障害検出処理として複合機30で実行される制御プログラム32Gの処理の流れの一例を示す。制御プログラム32Gは、複合機30への電源投入された際にCPU32Aにより実行される。
FIG. 2 shows an example of the processing flow of the control program 32G executed by the
まず、ステップS100では、デバイス40の通信の記録を、補助記憶装置32Dに記録された通信記録50を読み取ることによって取得する。
First, in step S100, the communication record of the
図3に、補助記憶装置32Dに記録された通信記録50の一例を示す。
図3に示すように、デバイス40の通信の記録は、通信した順序を示す時系列番号(図3では「No.」と表記)に、通信したデバイス40の場所を示すデバイスのアドレスを示す通信先アドレスと、デバイス40での通信時の通信プロトコルを示す情報とを対応付けてレコードとして記録される。例えば、第1の通信記録(No.1)では、通信先アドレス(172.27.55.xxxのIPアドレス)のデバイス40(デバイス40-1からデバイス40-Nの何れか1つのデバイス40)が、通信プロトコル(TCP)で通信したことを示している。
FIG. 3 shows an example of the
As shown in FIG. 3, the communication record of the
次に、図2のステップS102では、通信プロトコルの脆弱性リストを、補助記憶装置32Dのテーブル32Hに格納された通信プロトコルの脆弱性リスト52を読み取ることによって取得する。
Next, in step S102 of FIG. 2, a communication protocol vulnerability list is acquired by reading the communication
図4に、通信プロトコルの脆弱性リスト52の一例を示す。
図4に示すように、通信プロトコルの脆弱性リスト52は、レコード番号(図4では「No.」と表記)に、通信プロトコルを示す情報と、通信プロトコルでの脆弱性を示す情報とを対応付けて記録される。例えば、第1のレコード番号(No.1)では、通信プロトコル(UDP)に、脆弱性(UDP脆弱性)を有する可能性があることを示している。また、第2のレコード番号(No.2)では、通信プロトコル(TCP)に、2つの脆弱性(TCP脆弱性、及びHTTP脆弱性)を有する可能性を含むことを示している。
FIG. 4 shows an example of the communication
As shown in FIG. 4, in the communication
次に、図2のステップS104では、ステップS100で取得した通信記録50、及びステップS102で取得した通信プロトコルの脆弱性リスト52を用いて、通信プロトコルの脆弱性を特定する。すなわち、通信を行ったデバイス40の通信プロトコルに脆弱性を含む可能性がある通信プロトコルの脆弱性を特定する。具体的には、通信記録50に記録されたレコードの各々について、通信プロトコルに対応する脆弱性を示す情報を特定する。
Next, in step S104 of FIG. 2, communication protocol vulnerabilities are identified using the
例えば、通信記録50における第1の通信記録(No.1)では、通信プロトコル(TCP)により通信先アドレス(172.27.55.xxxのIPアドレス)のデバイス40と通信している。このデバイス40をデバイス40-1とすると、脆弱性リスト52に、通信プロトコル(TCP)に、2つの脆弱性(TCP脆弱性、及びHTTP脆弱性)を有する可能性を含むことが示されているので、デバイス40-1がTCP脆弱性及びHTTP脆弱性を含む可能性があると推定できる。従って、ステップS104では、デバイス40が含む可能性のある脆弱性を特定することができる。
For example, the first communication record (No. 1) in the
このように、デバイス40が含む可能性のある脆弱性を特定することで、脆弱性を検出する脆弱性スキャン、この場合、デバイス40-1に対してTCP脆弱性及びHTTP脆弱性の脆弱性スキャンを実施することが有効であり、脆弱性スキャンの対象となるプロトコルのの特定も容易となる。
In this way, by identifying the vulnerabilities that the
次に、上記一般的な通信プロトコルの脆弱性の特定(ステップS104)から拡張して、管理用プロトコルの脆弱性を特定する処理を実行する。まず、ステップS106で、管理用プロトコルの脆弱性に関係するリストを、補助記憶装置32Dのテーブル32Hから取得する。
Next, extending from the vulnerability identification of the general communication protocol (step S104), a process of identifying the vulnerability of the management protocol is executed. First, in step S106, a list related to the vulnerability of the management protocol is obtained from the table 32H of the
管理用プロトコルの脆弱性に関係するリストの一例として、図5に、通信プロトコルにおける管理用プロトコルの対応リスト54を示し、図6に、管理用プロトコルの脆弱性リスト56を示す。
As an example of a list related to vulnerabilities of management protocols, FIG. 5 shows a
図5に示すように、管理用プロトコルの対応リスト54は、項目番号(図5では「No.」と表記)に、通信プロトコルを示す情報と、管理用プロトコルを示す情報とを対応付けてレコードとして記録される。例えば、第1のレコード(No.1)では、通信プロトコル(UDP)に対して、2つの管理用プロトコル(RDP(リモートデスクトップ)及びtelnet(テルネット:Teletype network))が対応することを示している。
As shown in FIG. 5, the management
また、図6に示すように、管理用プロトコルの脆弱性リスト56は、レコード番号(図6では「No.」と表記)に、管理用プロトコルを示す情報と、管理用プロトコルでの脆弱性を示す情報とを対応付けて記録される。例えば、第1のレコード番号(No.1)では、管理用プロトコル(RDP)に、脆弱性(RDP脆弱性)を有する可能性があることを示している。
Further, as shown in FIG. 6, the management
次に、図2のステップS108では、ステップS106で取得した管理用プロトコルの脆弱性リスト56を用いて、管理用プロトコルの脆弱性を特定する。すなわち、通信を行ったデバイス40の通信プロトコルに、脆弱性を含む可能性がある管理用として予め定めた管理用プロトコルの通信プロトコルの脆弱性を特定する。具体的には、通信記録50に記録されたレコードの各々について、通信プロトコルに対応する管理用プロトコルを取得し(図5)、管理用プロトコルに対応する脆弱性を示す情報を特定する(図6)。
Next, in step S108 of FIG. 2, vulnerabilities in the management protocol are identified using the management
例えば、通信記録50(図3)における第1の通信記録(No.1)で、通信したデバイス40をデバイス40-1とする。デバイス40-1は、「TCP」の通信プロトコルで通信していることを確認でき、通信プロトコルが「TCP」である場合、管理用プロトコルの対応リスト54(図5)から、「RDP」及び「telnet」が管理用プロトコルとして用いられることを確認できる。そして、管理用プロトコルの脆弱性リスト56から、「RDP」の管理用プロトコルには「RDP脆弱性」、「telnet」の管理用プロトコルには「telnet脆弱性」の管理用プロトコルの脆弱性を有する可能性を含むことが確認できる。このため、デバイス40-1は管理用プロトコルにRDP脆弱性及びtelnet脆弱性を含む可能性があると推定できる。従って、ステップS108では、デバイス40が含む可能性のある管理用プロトコルの脆弱性を特定することができる。
For example, in the first communication record (No. 1) in the communication record 50 (FIG. 3), the
このように、デバイス40が含む可能性のある管理用プロトコルの脆弱性を特定することで、デバイス40に対して脆弱性を検出する脆弱性スキャンを実行する場合に、管理用プロトコルの脆弱性スキャンまで拡張して実施することが可能となる。
By identifying the vulnerability of the management protocol that the
なお、デバイス40は、管理用プロトコルを用いて通信することを限定するものではない。管理用プロトコルに対する脆弱性の特定が不要の場合には、ステップS106及びステップS108の処理を省略可能である。この場合、例えば、管理用プロトコルに対する処理の有無を予め設定し記憶しておき、予め設定し記憶された管理用プロトコルに対する処理の有無に応じて処理(ステップS106とステップS108)の実行又は非実行を判定してもよい。
Note that the
次にステップS110では、脆弱性スキャンを実行するか否かを判断し、肯定判断した場合はステップS112へ処理を移行し、否定判断の場合はステップS118へ処理を移行する。このステップS110では、少なくとも通信プロトコルの脆弱性を有する可能性のあるデバイス40、すなわち、ステップS104で特定された通信プロトコルの脆弱性を有する通信プロトコルで通信したデバイス40を、対象のデバイス40とし、脆弱性スキャンを実行するか否かを判断する。なお、対象のデバイス40は、通信記録50に記録された通信を行ったデバイス40の全てを指定してもよい。
Next, in step S110, it is determined whether or not to execute a vulnerability scan. If the determination is affirmative, the process proceeds to step S112, and if the determination is negative, the process proceeds to step S118. In this step S110, the
ここで、脆弱性スキャンは、スキャン条件により脆弱性スキャンの実行の有無を判別することができる。スキャン条件の第1例には、ユーザによる実行有無の指定が挙げられる。例えば、CPU32Aが、脆弱性スキャンの実行有無を指定可能に操作表示部36へ表示し、ユーザの操作表示部36による操作を検出して、検出された脆弱性スキャンの実行有無を示す情報を用いて、脆弱性スキャンを実行するか否かを判断できる。これにより、ユーザが意図的に指定した脆弱性スキャンの実行有無を優先的に実行することができる。
Here, for the vulnerability scan, it is possible to determine whether or not to execute the vulnerability scan based on the scan conditions. A first example of the scan condition is the user's designation of whether or not to execute the scan. For example, the
スキャン条件の第2例には、脆弱性スキャンの実行の有無を示す情報の設定が挙げられる。例えば、脆弱性スキャンの実行の有無を示す情報を、スキャン条件としてRAM32B又は補助記憶装置32Dに記憶する。スキャン条件は、上記のように、CPU32Aが、脆弱性スキャンの実行有無を指定可能に操作表示部36へ表示し、ユーザの操作表示部36による操作を検出し、検出された情報をスキャン条件として補助記憶装置32Dに記憶すればよい。なお、スキャン条件は、外部装置から取得してもよい。従って、ステップS110では、例えば、補助記憶装置32Dに記憶されたスキャン条件を読み出すことで、脆弱性スキャンを実行するか否かを判断できる。これにより、予め設定した脆弱性スキャンの実行有無に応じた処理を実行することができる。
A second example of the scan condition includes setting information indicating whether or not to execute a vulnerability scan. For example, information indicating whether or not to execute a vulnerability scan is stored in the
スキャン条件によりステップS110で肯定判断の場合、ステップS112で、対象デバイスのプロトコルの脆弱性に対する脆弱性スキャンを実行した後に、ステップS114へ処理を移行する。脆弱性スキャンは、通信プロトコルの脆弱性の有無を検出する処理である。本実施形態では、脆弱性スキャンとしてセキュリティ診断処理を実行する。このセキュリティ診断処理は、意図しない接続及び処理が実行される可能性を有する脆弱性を有するか否かを、デバイス40に対して診断する処理である。なお、セキュリティ診断処理は、周知の処理を用いることが可能であるので、詳細な説明を省略する。
If the scan conditions result in an affirmative determination in step S110, then in step S112 vulnerability scan for the protocol vulnerability of the target device is executed, and then the process proceeds to step S114. Vulnerability scanning is the process of detecting the presence or absence of vulnerabilities in communication protocols. In this embodiment, security diagnosis processing is executed as vulnerability scanning. This security diagnosis process is a process of diagnosing whether or not the
ステップS114では、ステップS112で脆弱性が検出された場合、肯定判断し、ステップS116で脆弱性有の対応処理を実行した後に本処理ルーチンを終了する。一方、ステップS114で否定判断した場合、ステップS117で脆弱性無の対応処理を実行した後に本処理ルーチンを終了する。 In step S114, if a vulnerability is detected in step S112, an affirmative determination is made, and in step S116, processing for dealing with the presence of vulnerability is executed, and then this processing routine ends. On the other hand, if a negative determination is made in step S114, this processing routine is terminated after executing processing for dealing with no vulnerability in step S117.
ステップS116では、脆弱性有の対応処理の一例として、対象のデバイスが脆弱性を有すること、脆弱性抑制処理を報知する。これにより、ユーザは、対象のデバイスが脆弱性を有することを確認することができる。対象のデバイスが脆弱性を有することの報知は、意図しない第三者によるアクセスによってデバイスが制御されることを招くなどの警告を示す情報が挙げられる。また、ユーザは、脆弱性を有する対象のデバイスに対する通信プロトコルの脆弱性を抑制する脆弱性抑制処理を確認することもできる。対象のデバイスに対する脆弱性抑制処理の報知は、通信プロトコルのバージョンアップを促す情報、及び異なる通信プロトコルへの切り替えを促す情報等を示すアドバイス情報が挙げられる。
なお、対象のデバイスが脆弱性を有すること、脆弱性抑制処理を報知は、読み取り可能に、例えば、補助記憶装置32Dに記憶してもよい。
In step S116, as an example of vulnerability handling processing, it is notified that the target device has vulnerability and vulnerability suppression processing. This allows the user to confirm that the target device has the vulnerability. Notification that a target device has a vulnerability includes information indicating a warning such as inviting access by an unintended third party to control the device. The user can also confirm the vulnerability mitigation process that mitigates communication protocol vulnerabilities for target devices that have vulnerabilities. Notification of the vulnerability suppression process for the target device includes advice information indicating information prompting communication protocol version upgrade, information prompting switching to a different communication protocol, and the like.
Note that the notification that the target device has a vulnerability and the notification of the vulnerability suppression process may be stored in a readable manner, for example, in the
ステップS117では、脆弱性無の対応処理の一例として、対象のデバイスに脆弱性が無であることを示す情報を報知する。これにより、ユーザは、対象のデバイスに脆弱性が無いことを確認することができる。なお、ステップS117の処理は省略してもよい。 In step S117, information indicating that the target device has no vulnerability is notified as an example of processing for dealing with no vulnerability. This allows the user to confirm that the target device is free of vulnerabilities. Note that the process of step S117 may be omitted.
一方、スキャン条件によりステップS110で否定判断の場合、ステップS118で、対象のデバイス40が通信プロトコルの脆弱性を有する可能性があることを報知して、本処理ルーチンを終了する。ステップS110で否定判断の場合、対象のデバイス40は、脆弱性を有する可能性が残存したままの状態であるため、ステップS118では、脆弱性スキャンの実行を促す情報、及び意図しない第三者によるアクセスによってデバイスが制御されることを招く虞が残存するなどの警告を示す情報を報知することが好ましい。
On the other hand, if the scan conditions result in a negative determination in step S110, in step S118, it is notified that the
なお、通信プロトコルの脆弱性が検出されたデバイス40は、複合機30の管理対象から除外することが好ましい。例えば、通信プロトコルの脆弱性により引き起こされる障害を回避するために、複合機30での外部ネットワーク2への接続するためのゲートウェイ機能を禁止することが好ましい。
It is preferable to exclude the
以上説明したように第1実施形態によれば、複数のデバイス40の通信記録から通信プロトコルの脆弱性を特定し、デバイス40が通信プロトコルの脆弱性を有する可能性の有無状態、及びデバイス40が通信プロトコルの脆弱性の有無状態を検出している。その結果を報知することで、ユーザは、デバイス40の通信プロトコルの脆弱性を有する可能性及び通信プロトコルの脆弱性を確認することができる。このため、異なる通信プロトコルの複数のデバイスにおける障害を管理する場合、デバイス管理の負担が抑制され、デバイス管理負荷の増大を抑制することができる。
As described above, according to the first embodiment, communication protocol vulnerabilities are identified from the communication records of a plurality of
なお、ステップS104、S106の処理は、プロトコル検出部として実行される処理の一例である。ステップS112及びS114の処理は、開示の技術における障害検出部で実行される処理の一例である。 Note that the processing of steps S104 and S106 is an example of processing executed by the protocol detection unit. The processing of steps S112 and S114 is an example of processing executed by the failure detection unit in technology disclosed herein.
(第2実施形態)
次に、第2実施形態について説明する。第2実施形態は、脆弱性を抑止する処理を行う場合に開示の技術を適用したものである。なお、第2実施形態は第1実施形態と略同様の構成のため、同一部分には同一符号を付して詳細な説明を省略する。
(Second embodiment)
Next, a second embodiment will be described. The second embodiment applies the disclosed technology to the processing of suppressing vulnerability. Since the second embodiment has substantially the same configuration as the first embodiment, the same parts are denoted by the same reference numerals and detailed description thereof is omitted.
図7に、第2実施形態に係る制御プログラム32Gの処理の流れの一部を示す。第2実施形態では、図7に示す処理ルーチンを、図2に示す処理ルーチンのステップS114からステップS117の処理に代えて実行してもよく、図2に示すステップS116及びステップS117の処理後に追加して実行してもよい。第2実施形態は、図2に示すステップS116及びステップS117の処理後に図7に示す処理ルーチンを実行する場合を説明する。 FIG. 7 shows part of the processing flow of the control program 32G according to the second embodiment. In the second embodiment, the processing routine shown in FIG. 7 may be executed in place of the processing from step S114 to step S117 of the processing routine shown in FIG. You can run it by The second embodiment will explain a case where the processing routine shown in FIG. 7 is executed after the processing of steps S116 and S117 shown in FIG.
CPU32Aは、通信プロトコルの脆弱性の有無に対応する報知処理実行後に(図2に示すステップS112からステップS117)、ステップS120で通信プロトコルの脆弱性を有するデバイスに対し、脆弱性抑止処理を実行するか否かを判定する。
After executing the reporting process corresponding to the presence or absence of vulnerability in the communication protocol (steps S112 to S117 shown in FIG. 2), the
ここで、脆弱性抑止処理の実行可否判定は、次に示す判定条件により判別することができる。判定条件の第1例には、ユーザによる実行可否の指定が挙げられる。例えば、CPU32Aが、脆弱性抑止処理の実行可否を指定可能に操作表示部36へ表示し、ユーザの操作表示部36による操作を検出して、検出された脆弱性抑止処理の実行可否を示す情報を用いて、脆弱性抑止処理を実行するか否かを判断できる。これにより、ユーザが意図的に指定した脆弱性抑止処理の実行有無を優先的に実行することができる。
Here, whether or not the vulnerability prevention process can be executed can be determined based on the following determination conditions. A first example of the determination condition is designation by the user as to whether or not execution is possible. For example, the
判定条件の第2例には、脆弱性抑止処理の実行の有無を示す情報の設定が挙げられる。例えば、脆弱性抑止処理の実行可否を示す情報を、判定条件として補助記憶装置32Dに記憶する。判定条件は、上記のようにCPU32Aが、脆弱性抑止処理の実行有無を指定可能に操作表示部36へ表示し、ユーザの操作表示部36による操作を検出し、検出された情報を判定条件として補助記憶装置32Dに記憶すればよい。なお、判定条件は、外部装置から取得してもよい。従って、ステップS120では、例えば、補助記憶装置32Dに記憶された判定条件を読み出すことで、脆弱性抑止処理の実行可否を判定できる。
A second example of the determination condition is the setting of information indicating whether or not the vulnerability prevention process is to be executed. For example, information indicating whether or not the vulnerability prevention process can be executed is stored in the
次のステップS122では、ステップS120の判定結果を用いて、脆弱性抑止処理を実行するか否かを判断し、肯定判断の場合はステップステップS124へ処理を移行し、否定判断の場合はステップS126する。 In the next step S122, using the determination result of step S120, it is determined whether or not to execute the vulnerability suppression process. If the determination is affirmative, the process proceeds to step S124. do.
ステップS122で否定判断した場合、対象のデバイス40は、脆弱性を有する状態であるため、ステップS126で、意図しないアクセスによりデバイス40が制御されることを招く虞が残存する情報の報知等の警告を再度行った後に本処理ルーチンを終了する。
If a negative determination is made in step S122, the
一方、ステップS122で肯定判断した場合、対象のデバイス40に対して脆弱性抑止処理を実行した後に、本処理ルーチンを終了する。
On the other hand, if an affirmative determination is made in step S122, this processing routine ends after the vulnerability prevention processing is executed for the
対象のデバイス40に対して実行される脆弱性抑止処理の一例には、通信プロトコルの脆弱性が検出された場合に、検出された通信プロトコルの脆弱性を是正する是正処理が挙げられる。
An example of the vulnerability prevention process executed on the
是正処理の第1例には、パスワードの変更処理が挙げられる。パスワード変更処理は、例えば、パスワードを強制変更する処理である。推測しやすいパスワードは、脆弱性を有することになる。そこで、推測しやすいパスワードが使用されていた場合はパスワードを、暗号化桁数増加及び不可逆的に推測が困難なパスワードへの変換等の予め定めたパスワード変更条件に従って強制変更する。新パスワードは複合機30で管理し、ユーザに通知するようにすればよい。
A first example of corrective processing is password change processing. The password change process is, for example, a process of forcibly changing the password. Passwords that are easy to guess are vulnerable. Therefore, if an easy-to-guess password is used, the password is forcibly changed according to predetermined password change conditions such as increasing the number of encrypted digits and converting to a password that is irreversibly difficult to guess. The new password may be managed by the
パスワードの強制的な変更は、ユーザが希望しない場合がある。この場合、新旧両方のパスワードを複合機30で管理し、ユーザから旧パスワードに戻すように指示があった場合に旧パスワードに戻す処理を実行すればよい。
また、変更したパスワードの安全性を高めるために、物理的に離れた場所に安全に新パスワードのデータを保管できる場合のみ、パスワードを強制変更する処理を実行することが好ましい。具体的には、複合機30に秘匿性を有する鍵付きのプリントキャビネット等の秘匿領域が設けられている場合にのみ、その秘匿領域に新パスワードの印刷が行われた場合のみパスワードを強制変更する。
A forced password change may not be desired by the user. In this case, both the old and new passwords are managed by the
Also, in order to increase the security of the changed password, it is preferable to execute the process of forcibly changing the password only when the new password data can be safely stored in a physically remote location. Specifically, the password is forcibly changed only when a new password is printed in the secret area only when the
是正処理の第2例には、通信プロトコルに応じて脆弱性抑止処理を変更することが挙げられる。例えば、通信プロトコルの脆弱性が検出された場合、検出された通信プロトコルにおけるアクションを切り替える。
具体的には、脆弱性を有する通信プロトコルとして「telnet」が検出された場合、新規の強固なパスワードに切り替えるアクションを実行する。一方、通信プロトコルとして「ssh」が検出された場合、新規かつ強固なRSA証明書に切り替えるアクションを実行する。
A second example of corrective processing includes changing the vulnerability prevention processing according to the communication protocol. For example, when a communication protocol vulnerability is detected, the action in the detected communication protocol is switched.
Specifically, when "telnet" is detected as a vulnerable communication protocol, an action of switching to a new strong password is performed. On the other hand, if "ssh" is detected as the communication protocol, it will take action to switch to a new and strong RSA certificate.
以上説明したように第2実施形態によれば、通信プロトコルの脆弱性が検出された場合に、その脆弱性を抑止する処理をさらに行うので、デバイス40による通信プロトコルの脆弱性に対応した適切な脆弱性抑止処理を実行できる。 As described above, according to the second embodiment, when a vulnerability in the communication protocol is detected, processing for suppressing the vulnerability is further performed. Vulnerability suppression processing can be executed.
(第3実施形態)
次に、第3実施形態について説明する。第3実施形態は、通信プロトコルの脆弱性を、段階的に特定するものである。なお、第3実施形態は第1実施形態及び第2実施形態と略同様の構成のため、同一部分には同一符号を付して詳細な説明を省略する。
(Third Embodiment)
Next, a third embodiment will be described. 3rd Embodiment specifies the vulnerability of a communication protocol step by step. Since the third embodiment has substantially the same configuration as the first and second embodiments, the same parts are denoted by the same reference numerals and detailed descriptions thereof are omitted.
第3実施形態では、通信プロトコルの脆弱性を段階的に特定する場合の一例として、ネットワークセグメントで示されるようにデバイス40が属する位置に応じて通信プロトコルの脆弱性の度合いを変更する場合に開示の技術を適用したものである。
In the third embodiment, as an example of stepwise identification of communication protocol vulnerabilities, a case of changing the degree of communication protocol vulnerability according to the location to which the
なお、第3実施形態では、内部ネットワーク3と通信するデバイス40に加えて、外部ネットワーク2と通信するデバイスを外部デバイス40EXとして、複合機30が外部デバイス40EXからもデータを収集し管理する場合を説明する。
In the third embodiment, in addition to the
また、第3実施形態では、通信プロトコルの脆弱性について、脆弱性を示す項目ごとに、予め障害度が設定されているものとする。 Further, in the third embodiment, it is assumed that a failure level is set in advance for each item indicating vulnerability of communication protocols.
図8に、第3実施形態に係り、脆弱性を示す項目ごとに障害度が設定された定義情報をリスト化した障害リスト58の一例を示す。
FIG. 8 shows an example of a
図8に示すように、障害リスト58は、通信プロトコルを示す情報について、脆弱性を有するソフトウェア番号等の脆弱項目を示す情報と、複数の脆弱性の区分を示す情報と、複数の脆弱性の区分が示す値を用いて導出する障害度を示す情報と、を対応付けて定義される。図8に示す例では、脆弱性の区分として通信先が対応した場合を示している。具体的には、通信プロトコルが「TCP」である場合に、第1の脆弱項目(TCP-1)について一例を示している。脆弱項目(TCP-1)には、通信先が内部ネットワーク3の場合に値「D1-1」、外部ネットワーク2の場合に値「D1-2」、接続先に応じて、区分に定義された値を用いて障害度Sを導出する関数fが定義されていることを示している。障害度Sは内部ネットワークと外部ネットワークで同じ値でもよい。その場合は後述の脆弱性判定用の閾値によってのみ特定できる。
As shown in FIG. 8, the
なお、障害リスト58は、デバイス40で生じることが予測される障害による危険度が大きくなるに従って大きい値が設定される。例えば、障害度Sは、脆弱項目に示す脆弱性が内部ネットワーク3のデバイス40より、外部ネットワーク2のデバイス40が大きい場合、D1-1<D1-2に設定される。
It should be noted that the
また、障害リスト58は、ソフトウェアの脆弱性に付与される識別番号、例えば、CVE(Common Valinerabilities and Exposures)番号を用いることができる。また、障害リスト58は、共通脆弱性システムCVSS(Common Vulnerability Scoring System)で規定された脆弱性の深刻度を評価するための基準及び値を用いることができる。
Further, the
図9に、第3実施形態に係る制御プログラム32Gの処理の流れの一部を示す。第3実施形態では、図2に示すステップS104の処理に代えて、図9に示す処理ルーチンを実行する。 FIG. 9 shows part of the processing flow of the control program 32G according to the third embodiment. In the third embodiment, instead of the processing of step S104 shown in FIG. 2, a processing routine shown in FIG. 9 is executed.
CPU32Aは、通信記録50、及び通信プロトコルの脆弱性リスト52を取得すると(図2のステップS100、S102)、ステップS130へ進み、デバイス40毎にデバイス条件を設定する。デバイス条件は、通信記録50から設定可能な脆弱性の区分を示す情報である。ここでは、通信記録50からデバイス40の通信プロトコル及び通信先アドレス(IPアドレス)を取得し、通信プロトコル及びアクセス拠点が外部ネットワーク2及び内部ネットワーク3の何れかを示す情報をデバイス40のデバイス条件に設定する。具体的には、通信記録50で、第1の通信記録(No.1)のデバイス40は、通信先アドレス(172.27.55.xxxのIPアドレス)により外部デバイス40EXが、通信プロトコル(TCP)で通信したことをデバイス条件に設定する。
After acquiring the
次のステップS132では、まず、障害リスト58を、補助記憶装置32Dから読み取ることによって取得する。次に、取得した障害リスト58、及びステップS130で設定したデバイス条件を用いて、デバイス40毎に、脆弱性判定用の閾値を設定する。
In the next step S132, first, the
例えば、脆弱性判定用の閾値は、予め標準として初期値が設定されている場合、内部ネットワーク3のデバイス40より、外部ネットワーク2のデバイス40が小さくなるように設定される。すなわち、外部ネットワーク2のデバイス40に対する脆弱性の判定が、内部ネットワーク3のデバイス40より厳密に特定されるように、閾値が設定される。この場合、障害リスト58においてデバイス40が通信した通信プロトコルに含まれる脆弱項目の障害度Sが全て含まれるように閾値を設定してもよく、全ての脆弱項目のうち予め定めた障害項目が含まれるように閾値を設定してもよい。
For example, if an initial value is set in advance as a standard, the threshold for vulnerability determination is set so that the
次のステップS134では、ステップS132で設定した閾値を超えた障害度Sの障害項目を、通信プロトコルの脆弱性として特定する。 In the next step S134, a failure item with a failure degree S exceeding the threshold set in step S132 is specified as vulnerability of the communication protocol.
このように、第3実施形態では、脆弱性を示す項目ごとに障害度が設定された定義情報を用いて、デバイス条件に応じて閾値を設定しているので、デバイス40の使用環境に応じて通信プロトコルの脆弱性を検出することができる。 As described above, in the third embodiment, the threshold is set according to the device conditions using the definition information in which the degree of failure is set for each item indicating vulnerability. It can detect communication protocol vulnerabilities.
なお、上記では、脆弱性の区分を示す情報としてデバイス40の位置を示す通信先を用いた場合を一例として説明したが、脆弱性の区分を示す情報はこれに限定されない。例えば、通信形態として、有線又は無線による通信であるかを示す情報を用いてもよい。例えば、通信記録50から、無線通信用の予め定めたアクセスポイントのIPアドレスを経由していることを示す情報が含まれる場合に、無線による通信であることを特定可能である。
In the above description, the communication destination indicating the position of the
以上、各実施の形態を用いて説明したが、開示の技術の技術的範囲は上記実施形態に記載の範囲には限定されない。要旨を逸脱しない範囲で上記実施形態に多様な変更または改良を加えることができ、当該変更または改良を加えた形態も開示の技術の技術的範囲に含まれる。 Although each embodiment has been described above, the technical scope of the disclosed technology is not limited to the scope described in the above embodiments. Various changes or improvements can be made to the above-described embodiments without departing from the scope of the invention, and forms with such changes or improvements are also included in the technical scope of the technology disclosed herein.
また、上記実施形態では、フローチャートを用いた処理によるソフトウエア構成によって実現した場合について説明したが、これに限定されるものではなく、ハードウェア構成により実現する形態としてもよい。 Further, in the above-described embodiment, a case has been described in which the processing is implemented by a software configuration using a flowchart, but the present invention is not limited to this, and may be implemented by a hardware configuration.
1 ネットワークシステム
2 外部ネットワーク
3 内部ネットワーク
30 複合機
32 コンピュータ本体
32D 補助記憶装置
32G 制御プログラム
32H テーブル
36 操作表示部
37 スキャナ
38 プリンタ
40 デバイス
50 通信記録
52 脆弱性リスト
54 対応リスト
56 脆弱性リスト
58 障害リスト
1
Claims (7)
前記複数のデバイスの各々に対して、前記通信記録に記録された通信プロトコルと、前記通信プロトコルに対応付けられた、該通信プロトコルにおける前記デバイスの通信に関係する脆弱性を示す情報とに基づいて、前記通信プロトコルで生じることが予測される障害の各々を検出する障害検出部と、
を備えた障害検出装置。 a recording unit that records, as a communication record, each communication protocol used in communication with each of a plurality of devices connected to a network;
for each of the plurality of devices, based on the communication protocol recorded in the communication record and information indicating vulnerability associated with communication of the device in the communication protocol associated with the communication protocol; , a fault detector that detects each of the faults expected to occur in the communication protocol;
Fault detection device with
請求項1に記載の障害検出装置。 When the failure detection unit detects the failure, a failure presence process corresponding to the detection of the failure is executed, and when the failure is not detected, the failure to detect the failure is performed. 2. The fault detection device according to claim 1, further comprising an execution unit for executing fault-free processing.
請求項2に記載の障害検出装置。 3. The failure detection apparatus according to claim 2, wherein the failure presence process is a process of informing a user of the presence of the failure, and the no-failure process is a process of notifying the user of the absence of the failure. .
請求項1に記載の障害検出装置。 The information indicating vulnerability is information indicating vulnerability of a management protocol used in a communication protocol.
The failure detection device according to claim 1 .
前記障害検出部は、前記外部接続デバイスに対して、前記通信プロトコルで生じることが予測される障害を検出する
請求項1から請求項4の何れか1項に記載の障害検出装置。 The plurality of devices includes an internal connection device that connects to a predetermined internal network and an external connection device that connects to a predetermined external network ,
The failure detection apparatus according to any one of claims 1 to 4 , wherein the failure detection unit detects a failure expected to occur in the communication protocol with respect to the externally connected device.
ネットワークに接続された複数のデバイスの各々との通信で使用された通信プロトコルの各々を通信記録として記録し、
前記複数のデバイスの各々に対して、前記通信記録に記録された通信プロトコルと、前記通信プロトコルに対応付けられた、該通信プロトコルにおける前記デバイスの通信に関係する脆弱性を示す情報とに基づいて、前記通信プロトコルで生じることが予測される障害の各々を検出する
障害検出方法。 the computer
Record each communication protocol used in communication with each of a plurality of devices connected to the network as a communication record,
for each of the plurality of devices, based on the communication protocol recorded in the communication record and information indicating vulnerability associated with communication of the device in the communication protocol associated with the communication protocol; , a fault detection method for detecting each of the faults expected to occur in said communication protocol.
ネットワークに接続された複数のデバイスの各々との通信で使用された通信プロトコルの各々を通信記録として記録し、
前記複数のデバイスの各々に対して、前記通信記録に記録された通信プロトコルと、前記通信プロトコルに対応付けられた、該通信プロトコルにおける前記デバイスの通信に関係する脆弱性を示す情報とに基づいて、前記通信プロトコルで生じることが予測される障害の各々を検出する
処理を実行させる障害検出プログラム。 to the computer ,
Record each communication protocol used in communication with each of a plurality of devices connected to the network as a communication record,
for each of the plurality of devices, based on the communication protocol recorded in the communication record and information indicating vulnerability associated with communication of the device in the communication protocol associated with the communication protocol; , detecting each of the faults expected to occur in said communication protocol
A fault detection program that causes an action to take place.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018176509A JP7167585B2 (en) | 2018-09-20 | 2018-09-20 | FAILURE DETECTION DEVICE, FAILURE DETECTION METHOD AND FAILURE DETECTION PROGRAM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018176509A JP7167585B2 (en) | 2018-09-20 | 2018-09-20 | FAILURE DETECTION DEVICE, FAILURE DETECTION METHOD AND FAILURE DETECTION PROGRAM |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020047113A JP2020047113A (en) | 2020-03-26 |
JP7167585B2 true JP7167585B2 (en) | 2022-11-09 |
Family
ID=69901475
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018176509A Active JP7167585B2 (en) | 2018-09-20 | 2018-09-20 | FAILURE DETECTION DEVICE, FAILURE DETECTION METHOD AND FAILURE DETECTION PROGRAM |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7167585B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7504736B2 (en) | 2020-09-18 | 2024-06-24 | 東芝テック株式会社 | Payment device and program |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009015570A (en) | 2007-07-04 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | System and method for distributing vulnerability information |
US20140289856A1 (en) | 2011-12-31 | 2014-09-25 | Huawei Technologies Co., Ltd. | Method and Device for Optimizing and Configuring Detection Rule |
US10038696B1 (en) | 2017-10-10 | 2018-07-31 | Blackberry Limited | System and method for controlling access to enterprise networks |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3191899B2 (en) * | 1994-03-24 | 2001-07-23 | キヤノン株式会社 | Facsimile apparatus and communication history storage method |
ATE393993T1 (en) * | 1998-05-22 | 2008-05-15 | Certco Inc | ROBUST AND EFFICIENT DISTRIBUTED RSA KEY GENERATION |
-
2018
- 2018-09-20 JP JP2018176509A patent/JP7167585B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009015570A (en) | 2007-07-04 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | System and method for distributing vulnerability information |
US20140289856A1 (en) | 2011-12-31 | 2014-09-25 | Huawei Technologies Co., Ltd. | Method and Device for Optimizing and Configuring Detection Rule |
US10038696B1 (en) | 2017-10-10 | 2018-07-31 | Blackberry Limited | System and method for controlling access to enterprise networks |
Also Published As
Publication number | Publication date |
---|---|
JP2020047113A (en) | 2020-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4788808B2 (en) | Job processing system, image processing apparatus, virus detection method, and virus detection program | |
US10657256B2 (en) | Information processing system controlling performance of virus detection processing at devices included in the system, and information processing apparatus and recording medium | |
US9733874B2 (en) | Image processing apparatus and method and non-transitory computer readable medium | |
WO2005048114A1 (en) | Invalidity monitoring program, invalidity monitoring method, and invalidity monitoring system | |
JP6117165B2 (en) | Image forming apparatus, image forming system, and job management program | |
JP2006262019A (en) | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus | |
JP2011147128A (en) | Image forming apparatus, method for setting the same, and security setting device | |
JP2011034561A (en) | Remote management and network access control, of printing device within secure network | |
JP3835421B2 (en) | Control program and control device | |
JP6476541B2 (en) | Image forming apparatus, print request deleting method, and program | |
EP1564624A2 (en) | Virus protection for multi-function peripherals | |
US10659331B2 (en) | Network system, device management method, network device, control method thereof, and non-transitory computer-readable medium | |
JP7167585B2 (en) | FAILURE DETECTION DEVICE, FAILURE DETECTION METHOD AND FAILURE DETECTION PROGRAM | |
JP2019022171A (en) | Communication control device and communication line system | |
US20140376025A1 (en) | Image forming apparatus and control method therefor | |
EP2608520B1 (en) | Performing error notification and error recovery in an image forming apparatus | |
JP2016181074A (en) | Computer terminal, program for same, and computer system | |
JP2008263397A (en) | Image data processing apparatus | |
US20150271060A1 (en) | Communication apparatus including a plurality of network interfaces, method of controlling communication apparatus, and storage medium | |
US20170180597A1 (en) | Control method for image forming apparatus | |
US20050177720A1 (en) | Virus protection for multi-function peripherals | |
JP2006018766A (en) | Network connection management system | |
JP2009176137A (en) | Virus suffering range prediction system | |
JP2008263396A (en) | Image data processing apparatus | |
US20050177748A1 (en) | Virus protection for multi-function peripherals |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210906 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220419 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220617 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220927 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221010 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7167585 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |