JP7198991B2 - 脆弱性管理装置、脆弱性管理方法、及びプログラム - Google Patents
脆弱性管理装置、脆弱性管理方法、及びプログラム Download PDFInfo
- Publication number
- JP7198991B2 JP7198991B2 JP2021550949A JP2021550949A JP7198991B2 JP 7198991 B2 JP7198991 B2 JP 7198991B2 JP 2021550949 A JP2021550949 A JP 2021550949A JP 2021550949 A JP2021550949 A JP 2021550949A JP 7198991 B2 JP7198991 B2 JP 7198991B2
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- information
- evaluation
- configuration information
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、脆弱性管理装置、脆弱性管理方法、及びプログラムに関する。
例えば、特許文献1には、制御部を有する情報処理装置に入力された入力情報を処理する情報処理方法において、前記制御部により、危険性の増減情報を取得し、前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、前記制御部により入力情報に基づく値が前記第1閾範囲を越えるか否か判断し、前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する情報処理方法が開示されている。
また、特許文献2には、サイバー攻撃の対象となる装置に関して検知されたサイバー攻撃の情報を取得し、地球を示す画像と、該地球を示す画像の周囲に配置された前記装置を示す画像と、前記地球を示す画像の表面と前記装置を示す画像との間に配置され、前記取得した前記サイバー攻撃の情報に基づき、前記装置に関して検知されたサイバー攻撃のレベルを示す画像とを含む画像情報を生成し、該生成された画像情報を出力する処理をコンピュータが実行することを特徴とする表示方法が開示されている。
また、非特許文献3には、事前予防と事後対処とを統合し、簡単で迅速なインシデント対応の実現し、検知、調査、対応のサイクルを統合管理するソフトウェアが開示されている。
Trend Micro Apex One 2019年2月26日提供
脆弱性の危険度を、視覚的に把握及び管理することができる脆弱性管理装置を提供することを目的とする。
本発明に係る脆弱性管理装置は、所定のネットワークに接続している機器の構成情報を取得する構成情報取得部と、適用可能なセキュリティ対策を示す脆弱性情報を収集する情報収集部と、前記構成情報取得部により取得された構成情報と、前記情報収集部により収集された脆弱性情報とに基づいて、前記ネットワークに接続している機器それぞれの脆弱性を評価する評価部とを有する。
好適には、前記評価部による評価結果に対応する大きさのシンボルで、機器それぞれの脆弱性を表示する表示部をさらに有する。
好適には、前記情報収集部は、適用可能な修正プログラム又は更新プログラムに関する情報と、更新可能なウイルス定義ファイルに関する情報とを前記脆弱性情報として収集し、前記構成情報取得部は、それぞれの機器に適用されている修正プログラム又は更新プログラムを識別する識別情報と、それぞれの機器におけるウイルス定義ファイルの更新に関する情報とを前記構成情報として取得する。
好適には、前記表示部は、既定のネットワークに接続している複数の機器について、前記評価部による評価結果を一覧表示する。
好適には、前記評価部は、適用可能な修正プログラム又は更新プログラムが機器に適用されているか否かに基づいて算出される評価値と、更新可能なウイルス定義ファイルが機器で更新されているか否かに基づいて算出される評価値とを合算して、各機器の評価値を算出し、前記表示部は、それぞれの機器について、合算前後の評価値を切り替えて表示する。
好適には、前記表示部は、それぞれの機器が配置されたフロア図、又は、それぞれの機器が接続されたネットワーク構成図に対して、各機器の評価結果に対応する大きさのシンボルを重ね合わせて表示する。
好適には、前記表示部は、ネットワークに接続している機器の評価結果を、このネットワークがインターネットに接続しているか否かに応じて異なる表示態様で表示する。
好適には、機器の設置場所の周囲に配置された複数の警告灯と、いずれかの機器について前記評価部による評価結果が既定の条件に合致した場合に、この機器の周囲に設置された警告灯を点灯させる検知部とをさらに有する。
本発明に係る脆弱性管理方法は、所定のネットワークに接続している機器の構成情報を取得する構成情報取得ステップと、適用可能なセキュリティ対策を示す脆弱性情報を収集する情報収集ステップと、前記構成情報取得ステップにより取得された構成情報と、前記情報収集ステップにより収集された脆弱性情報とに基づいて、前記ネットワークに接続している機器それぞれの脆弱性を評価する評価ステップとを有する。
本発明に係るプログラムは、所定のネットワークに接続している機器の構成情報を取得する構成情報取得ステップと、適用可能なセキュリティ対策を示す脆弱性情報を収集する情報収集ステップと、前記構成情報取得ステップにより取得された構成情報と、前記情報収集ステップにより収集された脆弱性情報とに基づいて、前記ネットワークに接続している機器それぞれの脆弱性を評価する評価ステップとをコンピュータに実行させる。
脆弱性の危険度を、視覚的に把握及び管理することができる。
以下、本発明の実施形態を、図面を参照して説明する。
図1は、脆弱性管理システム1の全体構成を例示する図である。
図1に例示するように、脆弱性管理システム1は、複数のユーザ端末3a、ユーザ端末3b、ユーザ端末3c、ユーザ端末3d、脆弱性管理装置5、及び警告灯7を含み、ネットワーク9を介して互いに接続している。ユーザ端末3a、ユーザ端末3b、ユーザ端末3c、及びユーザ端末3dをユーザ端末3と総称する。ユーザ端末3は、本発明に係る機器の一例である。
ユーザ端末3は、ユーザが操作するコンピュータ端末、又はネットワーク機器であり、脆弱性管理装置5による脆弱性管理の対象機器である。具体的には、ユーザ端末3は、業務サーバ、業務PC、ルータ、又はIoT機器である。
脆弱性管理装置5は、コンピュータ端末であり、各ユーザ端末3の脆弱性を管理、及び表示する。本発明における脆弱性とは、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥をいい、パッチの未適用による危険性と、ウイルスによる危険性とを含む。ここで、パッチとは、修正プログラム、更新プログラム、及びウイルス定義ファイルをいう。具体的には、脆弱性管理装置5は、外部のWebサイトから取得した脆弱性情報と、ユーザ端末3の構成情報とに基づいて、ネットワーク9に接続するユーザ端末3の脆弱性による影響を表す評価値を数値化、及び脆弱性の評価値の数値に応じたシンボルを表示する。
警告灯7は、ユーザ端末3の設置場所の周囲に配置された、脆弱性を周囲に知らせる回転灯である。
図1は、脆弱性管理システム1の全体構成を例示する図である。
図1に例示するように、脆弱性管理システム1は、複数のユーザ端末3a、ユーザ端末3b、ユーザ端末3c、ユーザ端末3d、脆弱性管理装置5、及び警告灯7を含み、ネットワーク9を介して互いに接続している。ユーザ端末3a、ユーザ端末3b、ユーザ端末3c、及びユーザ端末3dをユーザ端末3と総称する。ユーザ端末3は、本発明に係る機器の一例である。
ユーザ端末3は、ユーザが操作するコンピュータ端末、又はネットワーク機器であり、脆弱性管理装置5による脆弱性管理の対象機器である。具体的には、ユーザ端末3は、業務サーバ、業務PC、ルータ、又はIoT機器である。
脆弱性管理装置5は、コンピュータ端末であり、各ユーザ端末3の脆弱性を管理、及び表示する。本発明における脆弱性とは、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥をいい、パッチの未適用による危険性と、ウイルスによる危険性とを含む。ここで、パッチとは、修正プログラム、更新プログラム、及びウイルス定義ファイルをいう。具体的には、脆弱性管理装置5は、外部のWebサイトから取得した脆弱性情報と、ユーザ端末3の構成情報とに基づいて、ネットワーク9に接続するユーザ端末3の脆弱性による影響を表す評価値を数値化、及び脆弱性の評価値の数値に応じたシンボルを表示する。
警告灯7は、ユーザ端末3の設置場所の周囲に配置された、脆弱性を周囲に知らせる回転灯である。
図2は、脆弱性管理装置5のハードウェア構成を例示する図である。
図2に例示するように、脆弱性管理装置5は、CPU200、メモリ202、HDD204、ネットワークインタフェース206(ネットワークIF206)、表示装置208、及び、入力装置210を有し、これらの構成はバス212を介して互いに接続している。
CPU200は、例えば、中央演算装置である。
メモリ202は、例えば、揮発性メモリであり、主記憶装置として機能する。
HDD204は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラム(例えば、図3の脆弱性管理プログラム50)やその他のデータファイル(例えば、図3の脆弱性情報データベース600、及び構成情報データベース610)を格納する。
ネットワークIF206は、有線又は無線で通信するためのインタフェースであり、例えば、内部ネットワーク9における通信を実現する。
表示装置208は、例えば、液晶ディスプレイである。
入力装置210は、例えば、キーボード及びマウスである。
図2に例示するように、脆弱性管理装置5は、CPU200、メモリ202、HDD204、ネットワークインタフェース206(ネットワークIF206)、表示装置208、及び、入力装置210を有し、これらの構成はバス212を介して互いに接続している。
CPU200は、例えば、中央演算装置である。
メモリ202は、例えば、揮発性メモリであり、主記憶装置として機能する。
HDD204は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラム(例えば、図3の脆弱性管理プログラム50)やその他のデータファイル(例えば、図3の脆弱性情報データベース600、及び構成情報データベース610)を格納する。
ネットワークIF206は、有線又は無線で通信するためのインタフェースであり、例えば、内部ネットワーク9における通信を実現する。
表示装置208は、例えば、液晶ディスプレイである。
入力装置210は、例えば、キーボード及びマウスである。
図3は、脆弱性管理装置5の機能構成を例示する図である。
図3に例示するように、本例の脆弱性管理装置5には、脆弱性管理プログラム50がインストールされると共に、脆弱性情報データベース600(脆弱性情報DB600)、及び構成情報データベース610(構成情報DB610)が構成される。
脆弱性管理プログラム50は、構成情報取得部500、脆弱性情報収集部502、検索部504、評価部506、表示部508、及び検知部510を有する。
なお、脆弱性管理プログラム50の一部又は全部は、ASICなどのハードウェアにより実現されてもよく、また、OS(Operating System)の機能を一部借用して実現されてもよい。
脆弱性管理プログラム50において、構成情報取得部500は、ネットワーク9に接続しているユーザ端末3の構成情報を取得する。具体的には、構成情報取得部500は、それぞれのユーザ端末3に適用されている修正プログラム又は更新プログラムを識別する識別情報と、それぞれのユーザ端末3におけるウイルス定義ファイルの更新に関する情報とを構成情報として取得する。より具体的には、構成情報取得部500は、ネットワーク9に接続しているユーザ端末3の最新のOS(VL)情報、ユーザ情報、インストールしているソフトウェア情報、パッチの適用状況を取得し、構成情報DB610に格納する。例えば、構成情報取得部500は、業務サーバ、及び業務PCからOS情報、ユーザ情報、及びパッチの適用状況を取得し、ネットワーク9から通信経路を取得し、ルータから設定情報を取得し、IoT機器からBluetooth Version、Sensor Version、Firmware Version、及びWifi Levelを取得する。構成情報取得部500は、ユーザ端末3がPC又はIoT機器である場合に、OSのAPIの使用により構成情報を取得する。
図3に例示するように、本例の脆弱性管理装置5には、脆弱性管理プログラム50がインストールされると共に、脆弱性情報データベース600(脆弱性情報DB600)、及び構成情報データベース610(構成情報DB610)が構成される。
脆弱性管理プログラム50は、構成情報取得部500、脆弱性情報収集部502、検索部504、評価部506、表示部508、及び検知部510を有する。
なお、脆弱性管理プログラム50の一部又は全部は、ASICなどのハードウェアにより実現されてもよく、また、OS(Operating System)の機能を一部借用して実現されてもよい。
脆弱性管理プログラム50において、構成情報取得部500は、ネットワーク9に接続しているユーザ端末3の構成情報を取得する。具体的には、構成情報取得部500は、それぞれのユーザ端末3に適用されている修正プログラム又は更新プログラムを識別する識別情報と、それぞれのユーザ端末3におけるウイルス定義ファイルの更新に関する情報とを構成情報として取得する。より具体的には、構成情報取得部500は、ネットワーク9に接続しているユーザ端末3の最新のOS(VL)情報、ユーザ情報、インストールしているソフトウェア情報、パッチの適用状況を取得し、構成情報DB610に格納する。例えば、構成情報取得部500は、業務サーバ、及び業務PCからOS情報、ユーザ情報、及びパッチの適用状況を取得し、ネットワーク9から通信経路を取得し、ルータから設定情報を取得し、IoT機器からBluetooth Version、Sensor Version、Firmware Version、及びWifi Levelを取得する。構成情報取得部500は、ユーザ端末3がPC又はIoT機器である場合に、OSのAPIの使用により構成情報を取得する。
脆弱性情報収集部502は、適用可能な情報セキュリティ対策を示す脆弱性情報を収集する。具体的には、脆弱性情報収集部502は、適用可能な修正プログラム又は更新プログラムに関する情報と、更新可能なウイルス定義ファイルに関する情報とを脆弱性情報として収集する。より具体的には、脆弱性情報収集部502は、脆弱性情報を公開する外部のWebサイトを常時監視し、新たな脆弱性情報が掲載された場合に、新たな脆弱性情報を収集し、脆弱性情報DB600に格納する。さらに具体的には、脆弱性情報収集部502は、外部のWebサイトから、脆弱性情報として、ソフトウェア、危険度、及びパッチの有無を収集する。外部のWebサイトとは、例えば、JVN(脆弱性情報)、IPA、ESET、トレンドマイクロ、ソースネクスト(ウイルス情報)、マイクロソフト(パッチ情報)、McAfee(定義情報)のサイトをいう。脆弱性情報収集部502は、これらのWebサイトで公開されているAPI、及びWebページの記載内容を解析することにより、脆弱性情報を取得する。外部のWebサイトから取得できる脆弱性の危険度は、標準化された値CVSSv2、又はCVSSv3である。なお、脆弱性情報収集部502は、本発明に係る情報収集部の一例である。
検索部504は、脆弱性情報収集部502により新たな脆弱性情報が追加された場合に、新たな脆弱性情報の対象となるユーザ端末3を検索する。具体的には、検索部504は、脆弱性情報収集部502により収集された脆弱性情報に基づいて、対処が必要となるユーザ端末3を構成情報DB610から検索する。
検索部504は、脆弱性情報収集部502により新たな脆弱性情報が追加された場合に、新たな脆弱性情報の対象となるユーザ端末3を検索する。具体的には、検索部504は、脆弱性情報収集部502により収集された脆弱性情報に基づいて、対処が必要となるユーザ端末3を構成情報DB610から検索する。
評価部506は、構成情報取得部500により取得された構成情報と、脆弱性情報収集部502により収集された脆弱性情報とに基づいて、ネットワーク9に接続しているユーザ端末3それぞれの脆弱性を評価する。具体的には、評価部506は、検索部504により検索された対象となるユーザ端末3のパッチの適用状況、及び、ユーザ端末3に残存する脆弱性に基づいて、評価値を算出する。より具体的には、評価部506は、適用可能な修正プログラム又は更新プログラムがユーザ端末3に適用されているか否かに基づいて算出される評価値と、更新可能なウイルス定義ファイルがユーザ端末3で更新されているか否かに基づいて算出される評価値とを合算して、各ユーザ端末3の評価値を算出する。評価値は、評価値=Σ(脆弱性i(プログラムの欠陥i)の危険度×パッチの適用有無(0 or 1))+Σ(ウイルスjの危険度×定義ファイルの適用有無(0 or 1))により算出される。
表示部508は、評価部506による評価結果に対応する大きさのシンボルで、ユーザ端末3それぞれの脆弱性を表示する。具体的には、表示部508は、評価部506により算出された評価値に応じた大きさのシンボルをユーザ端末3と関連付けて表示する。また、
表示部508は、ネットワーク9に接続している複数のユーザ端末3について、評価部506による評価結果を一覧表示する。
さらに、表示部508は、それぞれのユーザ端末3について、合算前後の評価値を切り替えて表示する。具体的には、表示部508は、ユーザ端末3毎に合算した評価値を表示する合算モードと、ユーザ端末3内の評価値を分けて表示する詳細モードとを切り替えて表示する。
そして、表示部508は、それぞれのユーザ端末3が配置されたフロア図、又は、それぞれのユーザ端末3が接続されたネットワーク構成図に対して、各ユーザ端末3の評価結果に対応する大きさのシンボルを重ね合わせて表示する。具体的には、表示部508は、評価部506により算出された評価値を有するユーザ端末3を、ユーザ端末3の配置図、又はフロア図に重ねて評価値マップを生成する。さらに、表示部508は、ネットワークに接続しているユーザ端末3の評価結果を、このネットワークがインターネットに接続しているか否かに応じて異なる表示態様で表示する。
検知部510は、いずれかのユーザ端末3について評価部506による評価結果が既定の条件に合致した場合に、このユーザ端末3の周囲に設置された警告灯を点灯させる。
表示部508は、ネットワーク9に接続している複数のユーザ端末3について、評価部506による評価結果を一覧表示する。
さらに、表示部508は、それぞれのユーザ端末3について、合算前後の評価値を切り替えて表示する。具体的には、表示部508は、ユーザ端末3毎に合算した評価値を表示する合算モードと、ユーザ端末3内の評価値を分けて表示する詳細モードとを切り替えて表示する。
そして、表示部508は、それぞれのユーザ端末3が配置されたフロア図、又は、それぞれのユーザ端末3が接続されたネットワーク構成図に対して、各ユーザ端末3の評価結果に対応する大きさのシンボルを重ね合わせて表示する。具体的には、表示部508は、評価部506により算出された評価値を有するユーザ端末3を、ユーザ端末3の配置図、又はフロア図に重ねて評価値マップを生成する。さらに、表示部508は、ネットワークに接続しているユーザ端末3の評価結果を、このネットワークがインターネットに接続しているか否かに応じて異なる表示態様で表示する。
検知部510は、いずれかのユーザ端末3について評価部506による評価結果が既定の条件に合致した場合に、このユーザ端末3の周囲に設置された警告灯を点灯させる。
ここで、脆弱性情報DB600、及び構成情報DB610について説明する。
図4(a)は、脆弱性情報DB600に格納される脆弱性情報を例示する図であり、(b)は、構成情報DB610に格納される構成情報を例示する図であり、(c)は、構成情報DB610に格納されるソフトウェアの構成情報を例示する図である。
図4(a)に例示するように、脆弱性情報DB600には、脆弱性を識別する脆弱性IDと、脆弱性が影響する対象ソフトウェアと、脆弱性の危険性を数値化した危険度と、脆弱性に対応するパッチ名とが格納される。
図4(b)に例示するように、構成情報DB610には、ユーザ端末3を識別する端末IDと、ユーザ端末3のOS情報と、ユーザ端末3のユーザ識別情報と、パッチの適用状況とが格納される。
図4(c)に例示するように、構成情報DB610には、さらに、ソフトウェアの構成情報として、ユーザ端末3を識別する端末IDと、ユーザ端末3のソフトウェアと、パッチの適用状況とが格納される。
図4(a)は、脆弱性情報DB600に格納される脆弱性情報を例示する図であり、(b)は、構成情報DB610に格納される構成情報を例示する図であり、(c)は、構成情報DB610に格納されるソフトウェアの構成情報を例示する図である。
図4(a)に例示するように、脆弱性情報DB600には、脆弱性を識別する脆弱性IDと、脆弱性が影響する対象ソフトウェアと、脆弱性の危険性を数値化した危険度と、脆弱性に対応するパッチ名とが格納される。
図4(b)に例示するように、構成情報DB610には、ユーザ端末3を識別する端末IDと、ユーザ端末3のOS情報と、ユーザ端末3のユーザ識別情報と、パッチの適用状況とが格納される。
図4(c)に例示するように、構成情報DB610には、さらに、ソフトウェアの構成情報として、ユーザ端末3を識別する端末IDと、ユーザ端末3のソフトウェアと、パッチの適用状況とが格納される。
図5は、脆弱性管理装置5による脆弱性可視化処理(S10)を説明するフローチャートである。
図5に例示するように、ステップ100(S100)において、脆弱性情報収集部502は、脆弱性情報を公開している外部のWebサイトを常時監視する。
ステップ105(S105)において、脆弱性情報収集部502は、外部のWebサイトに新たな脆弱性情報が掲載されたことを検知した場合に、S110へ移行し、新たな脆弱性情報を検知しない場合に、S100へ移行し、監視を続ける。
ステップ110(S110)において、脆弱性情報収集部502は、新たに掲載された脆弱性情報を収集する。具体的には、脆弱性情報収集部502は、新たに掲載された脆弱性情報の対象ソフトウェア、危険度、及びパッチの有無を収集し、脆弱性情報DB600に格納する。さらに、脆弱性情報収集部502は、収集した脆弱性情報を検索部504に通知する。
ステップ115(S115)において、構成情報取得部500は、ネットワーク9に接続するユーザ端末3の最新の構成情報を取得する。具体的には、構成情報取得部500は、ユーザ端末3のOS情報、ユーザ情報、インストールしているソフトウェア情報、及びパッチの適用状況を取得し、構成情報DB610に格納する。
図5に例示するように、ステップ100(S100)において、脆弱性情報収集部502は、脆弱性情報を公開している外部のWebサイトを常時監視する。
ステップ105(S105)において、脆弱性情報収集部502は、外部のWebサイトに新たな脆弱性情報が掲載されたことを検知した場合に、S110へ移行し、新たな脆弱性情報を検知しない場合に、S100へ移行し、監視を続ける。
ステップ110(S110)において、脆弱性情報収集部502は、新たに掲載された脆弱性情報を収集する。具体的には、脆弱性情報収集部502は、新たに掲載された脆弱性情報の対象ソフトウェア、危険度、及びパッチの有無を収集し、脆弱性情報DB600に格納する。さらに、脆弱性情報収集部502は、収集した脆弱性情報を検索部504に通知する。
ステップ115(S115)において、構成情報取得部500は、ネットワーク9に接続するユーザ端末3の最新の構成情報を取得する。具体的には、構成情報取得部500は、ユーザ端末3のOS情報、ユーザ情報、インストールしているソフトウェア情報、及びパッチの適用状況を取得し、構成情報DB610に格納する。
ステップ120(S120)において、検索部504は、脆弱性情報収集部502により通知された脆弱性情報に該当するユーザ端末3が存在するか否かを構成情報DB610に格納される構成情報から検索する。
ステップ125(S125)において、検索部504による検索の結果、該当するユーザ端末3が存在する場合に、脆弱性可視化処理(S10)は、S130へ移行し、該当するユーザ端末3が存在しない場合に、S100へ移行する。
ステップ130(S130)において、評価部506は、新たな脆弱性情報に該当するユーザ端末3のパッチの適用状況、及び、ユーザ端末3に残存する脆弱性に基づいて、評価値を算出する。
ステップ135(S135)において、表示部508は、評価部506により算出された評価値を、脆弱性管理装置5に表示する。また、表示部508は、ユーザ端末3の評価値を、評価値に応じたシンボル(例えば、「丸」の大きさ)で、脆弱性管理装置5に表示する。
ステップ125(S125)において、検索部504による検索の結果、該当するユーザ端末3が存在する場合に、脆弱性可視化処理(S10)は、S130へ移行し、該当するユーザ端末3が存在しない場合に、S100へ移行する。
ステップ130(S130)において、評価部506は、新たな脆弱性情報に該当するユーザ端末3のパッチの適用状況、及び、ユーザ端末3に残存する脆弱性に基づいて、評価値を算出する。
ステップ135(S135)において、表示部508は、評価部506により算出された評価値を、脆弱性管理装置5に表示する。また、表示部508は、ユーザ端末3の評価値を、評価値に応じたシンボル(例えば、「丸」の大きさ)で、脆弱性管理装置5に表示する。
図6は、評価値の表示方法を例示する図である。図6(a)は、脆弱性起点の評価値の表示方法を例示し、(b)は、端末起点の評価値の表示方法を例示し、(c)は、ユーザ起点の評価値の表示方法を例示する。
表示部508は、評価値を、脆弱性起点、端末起点、及びユーザ起点で表示する。図6(a)に例示するように、脆弱性起点の表示方法では、ある脆弱性が影響する端末と評価値とを一覧表示する。また、脆弱性起点の表示方法では、脆弱性情報の対象ソフトウェアをキーに、脆弱性毎のユーザ端末3の評価値を一覧表示できる。
図6(b)に例示するように、端末起点の表示方法では、構成情報の端末IDをキーに端末毎の評価値を一覧表示する。端末起点の表示方法では、パッチの未適用の危険性を示す危険度、ウイルスの危険性を示す危険度、及びこれらの合計である評価値を、数値とシンボルとにより表示する。
また、端末起点では、ユーザ端末3の重要度を設定することにより、脆弱性未対応時のユーザへの通知方法を変更可能である。具体的には、重要度の高いユーザ端末3に対する脆弱性未対応の通知について、メーリングリストが設定できる。予め設定されたメーリングリストを使用した連絡をすることにより、組織的に、脆弱性に対処することができる。これにより、ユーザ端末3の停止時の業務影響が大きいファイルサーバ、またはコンパイラ等の脆弱性に、即時対応が可能である。
表示部508は、評価値を、脆弱性起点、端末起点、及びユーザ起点で表示する。図6(a)に例示するように、脆弱性起点の表示方法では、ある脆弱性が影響する端末と評価値とを一覧表示する。また、脆弱性起点の表示方法では、脆弱性情報の対象ソフトウェアをキーに、脆弱性毎のユーザ端末3の評価値を一覧表示できる。
図6(b)に例示するように、端末起点の表示方法では、構成情報の端末IDをキーに端末毎の評価値を一覧表示する。端末起点の表示方法では、パッチの未適用の危険性を示す危険度、ウイルスの危険性を示す危険度、及びこれらの合計である評価値を、数値とシンボルとにより表示する。
また、端末起点では、ユーザ端末3の重要度を設定することにより、脆弱性未対応時のユーザへの通知方法を変更可能である。具体的には、重要度の高いユーザ端末3に対する脆弱性未対応の通知について、メーリングリストが設定できる。予め設定されたメーリングリストを使用した連絡をすることにより、組織的に、脆弱性に対処することができる。これにより、ユーザ端末3の停止時の業務影響が大きいファイルサーバ、またはコンパイラ等の脆弱性に、即時対応が可能である。
図6(c)に例示するように、ユーザ起点の表示方法では、構成情報に基づいて、同一ユーザが操作する端末一覧を取得し、端末毎に評価値を算出することにより、ユーザの担当端末の評価値を一覧表示する。また、脆弱性管理装置5は、ユーザの対処が滞る場合に、事前に設定されたユーザの所属のメーリングリストへ通知する。これにより、ユーザだけでなく、組織として脆弱性に対する対処を行うことができ、組織全体のセキュリティ意識向上の啓蒙に繋げることができる。
各起点の表示により、緊急対策を要する脆弱性発生した場合に、影響を受ける端末全てを特定し、対策が完了するまで監視することができる。また、ユーザ単位でユーザ端末3の評価値を表示することにより、脆弱性に対する意識の低いユーザを特定できる。さらに、ユーザの部署情報を定義しておくことにより、部署単位での分析も可能である。
各起点の表示により、緊急対策を要する脆弱性発生した場合に、影響を受ける端末全てを特定し、対策が完了するまで監視することができる。また、ユーザ単位でユーザ端末3の評価値を表示することにより、脆弱性に対する意識の低いユーザを特定できる。さらに、ユーザの部署情報を定義しておくことにより、部署単位での分析も可能である。
図7(a)は、端末毎の評価値を合算して表示する合算モードを例示する評価値マップであり、(b)は、端末毎の脆弱性の数と評価値を「丸」の数と大きさで表示する詳細モードを例示する評価値マップである。
表示部508は、全ユーザ端末3に対して評価値を算出し、ユーザ端末3の配置図と合わせることにより、評価値マップを生成する。図7(a)に例示するように、表示部508は、合算モードでは、ユーザ端末3毎の評価値を一つのシンボルである「丸」の大きさで表示する。図7(b)に例示するように、表示部508は、詳細モードでは、ユーザ端末3毎の脆弱性の数と評価値とを、「丸」の数と大きさとにより表示する。さらに、ユーザは、評価値マップ上のユーザ端末3を選択することにより、ユーザ端末起点の情報を表示、及び脆弱性起点の情報を表示可能である。
評価値マップにより、脆弱性の評価値が高いユーザ端末3の物理的な位置が即座に特定できる。また、詳細モードから脆弱性起点の情報を参照することにより、脆弱性の内容が分かるため、必要な対処が特定できる。
表示部508は、全ユーザ端末3に対して評価値を算出し、ユーザ端末3の配置図と合わせることにより、評価値マップを生成する。図7(a)に例示するように、表示部508は、合算モードでは、ユーザ端末3毎の評価値を一つのシンボルである「丸」の大きさで表示する。図7(b)に例示するように、表示部508は、詳細モードでは、ユーザ端末3毎の脆弱性の数と評価値とを、「丸」の数と大きさとにより表示する。さらに、ユーザは、評価値マップ上のユーザ端末3を選択することにより、ユーザ端末起点の情報を表示、及び脆弱性起点の情報を表示可能である。
評価値マップにより、脆弱性の評価値が高いユーザ端末3の物理的な位置が即座に特定できる。また、詳細モードから脆弱性起点の情報を参照することにより、脆弱性の内容が分かるため、必要な対処が特定できる。
図8は、会社、フロア、及び部署間におけるユーザ端末3の評価値の可視化を例示する図である。
図8に例示するように、表示部508は、ユーザ端末3間の通信量に基づいて、ネットワーク上の関連性を表す。図中の線の太さは通信量に比例する。セキュリティ管理者は、図8の「全社」の「4F」を選択することにより、「4F」の「フロア」における評価値マップを閲覧可能となり、さらに、「フロア」の「B」を選択することにより、「B」に相当する「部署」における評価値マップを閲覧可能となる。通信量と、脆弱性の評価値とを併せて表示することは、脆弱性により影響を受ける範囲を特定することを可能にする。また、集計単位を定義しておくことにより、フロア間、部署間等の脆弱性の影響を可視化することができる。さらに、表示部508は、クローズド環境を色分けして表示することにより、一般的にパッチの適用ができない、常に危険度の高い傾向のあるクローズド環境を見分けることを可能にする。
図8に例示するように、表示部508は、ユーザ端末3間の通信量に基づいて、ネットワーク上の関連性を表す。図中の線の太さは通信量に比例する。セキュリティ管理者は、図8の「全社」の「4F」を選択することにより、「4F」の「フロア」における評価値マップを閲覧可能となり、さらに、「フロア」の「B」を選択することにより、「B」に相当する「部署」における評価値マップを閲覧可能となる。通信量と、脆弱性の評価値とを併せて表示することは、脆弱性により影響を受ける範囲を特定することを可能にする。また、集計単位を定義しておくことにより、フロア間、部署間等の脆弱性の影響を可視化することができる。さらに、表示部508は、クローズド環境を色分けして表示することにより、一般的にパッチの適用ができない、常に危険度の高い傾向のあるクローズド環境を見分けることを可能にする。
以上説明したように、脆弱性管理装置5によれば、外部のWebサイトから収集した脆弱性情報とユーザ端末3の構成情報とに基づいて、評価値を算出し、算出した評価値をシンボルで表す。評価値をシンボルの大きさで表示することにより、セキュリティ管理者は、直感的に危険性を把握することができる。また、評価値の表示方法として、異なる起点に基づいた表示が可能であるため、多面的に危険性を捉えることが可能である。さらに、ユーザ端末間のネットワーク上の関連性に合わせて評価値のシンボルを表示することにより、脆弱性による影響範囲を視覚的に把握することができ、脆弱性の対応の優先順位を定めることが可能になる。
1…脆弱性管理システム
3…ユーザ端末
5…脆弱性管理装置
7…警告灯
9…ネットワーク
50…脆弱性管理プログラム
500…構成情報取得部
502…脆弱性情報収集部
504…検索部
506…評価部
508…表示部
510…検知部
600…脆弱性情報データベース
610…構成情報データベース
3…ユーザ端末
5…脆弱性管理装置
7…警告灯
9…ネットワーク
50…脆弱性管理プログラム
500…構成情報取得部
502…脆弱性情報収集部
504…検索部
506…評価部
508…表示部
510…検知部
600…脆弱性情報データベース
610…構成情報データベース
Claims (8)
- 所定のネットワークに接続している機器の構成情報を取得する構成情報取得部と、
適用可能なセキュリティ対策を示す脆弱性情報を収集する情報収集部と、
前記構成情報取得部により取得された構成情報と、前記情報収集部により収集された脆弱性情報とに基づいて、前記ネットワークに接続している機器それぞれの脆弱性を評価する評価部と、
それぞれの機器が配置されたフロアのフロア図に対して、前記評価部による各機器の評価結果に対応する大きさのシンボルを重ね合わせて表示する表示部と
を有する脆弱性管理装置。 - 前記情報収集部は、適用可能な修正プログラム又は更新プログラムに関する情報と、更新可能なウイルス定義ファイルに関する情報とを前記脆弱性情報として収集し、
前記構成情報取得部は、それぞれの機器に適用されている修正プログラム又は更新プログラムを識別する識別情報と、それぞれの機器におけるウイルス定義ファイルの更新に関する情報とを前記構成情報として取得する
請求項1に記載の脆弱性管理装置。 - 前記表示部は、既定のネットワークに接続している複数の機器について、前記評価部による評価結果を一覧表示する
請求項2に記載の脆弱性管理装置。 - 前記評価部は、適用可能な修正プログラム又は更新プログラムが機器に適用されているか否かに基づいて算出される評価値と、更新可能なウイルス定義ファイルが機器で更新されているか否かに基づいて算出される評価値とを合算して、各機器の評価値を算出し、
前記表示部は、それぞれの機器について、合算前後の評価値を切り替えて表示する
請求項3に記載の脆弱性管理装置。 - 前記表示部は、ネットワークに接続している機器の評価結果を、このネットワークがインターネットに接続しているか否かに応じて異なる表示態様で表示する
請求項2に記載の脆弱性管理装置。 - 機器の設置場所の周囲に配置された複数の警告灯と、
いずれかの機器について前記評価部による評価結果が既定の条件に合致した場合に、この機器の周囲に設置された警告灯を点灯させる検知部と
をさらに有する請求項1に記載の脆弱性管理装置。 - コンピュータが、所定のネットワークに接続している機器の構成情報を取得する構成情報取得ステップと、
コンピュータが、適用可能なセキュリティ対策を示す脆弱性情報を収集する情報収集ステップと、
コンピュータが、前記構成情報取得ステップにより取得された構成情報と、前記情報収集ステップにより収集された脆弱性情報とに基づいて、前記ネットワークに接続している機器それぞれの脆弱性を評価する評価ステップと、
コンピュータが、それぞれの機器が配置されたフロアのフロア図に対して、前記評価ステップによる各機器の評価結果に対応する大きさのシンボルを重ね合わせて表示させる表示ステップと
を有する脆弱性管理方法。 - 所定のネットワークに接続している機器の構成情報を取得する構成情報取得ステップと、
適用可能なセキュリティ対策を示す脆弱性情報を収集する情報収集ステップと、
前記構成情報取得ステップにより取得された構成情報と、前記情報収集ステップにより収集された脆弱性情報とに基づいて、前記ネットワークに接続している機器それぞれの脆弱性を評価する評価ステップと、
それぞれの機器が配置されたフロアのフロア図に対して、前記評価ステップによる各機器の評価結果に対応する大きさのシンボルを重ね合わせて表示させる表示ステップと
をコンピュータに実行させるプログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2019/039457 WO2021070216A1 (ja) | 2019-10-07 | 2019-10-07 | 脆弱性管理装置、脆弱性管理方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2021070216A1 JPWO2021070216A1 (ja) | 2021-04-15 |
| JP7198991B2 true JP7198991B2 (ja) | 2023-01-05 |
Family
ID=75437057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021550949A Active JP7198991B2 (ja) | 2019-10-07 | 2019-10-07 | 脆弱性管理装置、脆弱性管理方法、及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP7198991B2 (ja) |
| WO (1) | WO2021070216A1 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040006704A1 (en) | 2002-07-02 | 2004-01-08 | Dahlstrom Dale A. | System and method for determining security vulnerabilities |
| JP2004054706A (ja) | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
| JP2006066982A (ja) | 2004-08-24 | 2006-03-09 | Hitachi Ltd | ネットワーク接続制御システム |
| JP2015138509A (ja) | 2014-01-24 | 2015-07-30 | 株式会社日立システムズ | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
| US20180309782A1 (en) | 2017-03-15 | 2018-10-25 | Trust Networks Inc. | Method and Apparatus for Determining a Threat Using Distributed Trust Across a Network |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06282527A (ja) * | 1993-03-29 | 1994-10-07 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
-
2019
- 2019-10-07 WO PCT/JP2019/039457 patent/WO2021070216A1/ja active Application Filing
- 2019-10-07 JP JP2021550949A patent/JP7198991B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040006704A1 (en) | 2002-07-02 | 2004-01-08 | Dahlstrom Dale A. | System and method for determining security vulnerabilities |
| JP2004054706A (ja) | 2002-07-22 | 2004-02-19 | Sofutekku:Kk | セキュリティリスク管理システム、そのプログラムおよび記録媒体 |
| JP2006066982A (ja) | 2004-08-24 | 2006-03-09 | Hitachi Ltd | ネットワーク接続制御システム |
| JP2015138509A (ja) | 2014-01-24 | 2015-07-30 | 株式会社日立システムズ | 脆弱性リスク診断システム及び脆弱性リスク診断方法 |
| US20180309782A1 (en) | 2017-03-15 | 2018-10-25 | Trust Networks Inc. | Method and Apparatus for Determining a Threat Using Distributed Trust Across a Network |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021070216A1 (ja) | 2021-04-15 |
| JPWO2021070216A1 (ja) | 2021-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11809574B2 (en) | System and method for multi-source vulnerability management | |
| CN110149327B (zh) | 网络安全威胁的告警方法、装置、计算机设备和存储介质 | |
| CN106716953B (zh) | 控制系统中的网络安全风险的动态量化 | |
| US8914499B2 (en) | Method and apparatus for event correlation related to service impact analysis in a virtualized environment | |
| US20140137190A1 (en) | Methods and systems for passively detecting security levels in client devices | |
| US10853487B2 (en) | Path-based program lineage inference analysis | |
| JP2019501436A (ja) | アプリケーションのセキュリティ及びリスクの評価及び試験のためのシステム及び方法 | |
| JP2019519018A (ja) | ネットワーク化コンピュータシステムアーキテクチャにおけるセキュリティリスクを低減させるための方法および装置 | |
| KR101400680B1 (ko) | 악성코드 자동 수집 시스템 | |
| JP2007164465A (ja) | クライアントセキュリティ管理システム | |
| CN113411302B (zh) | 局域网设备网络安全预警方法及装置 | |
| US20130254524A1 (en) | Automated configuration change authorization | |
| KR101986738B1 (ko) | 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치 | |
| US11658863B1 (en) | Aggregation of incident data for correlated incidents | |
| CN115733646A (zh) | 网络安全威胁评估方法、装置、设备及可读存储介质 | |
| JP2012215994A (ja) | セキュリティレベル可視化装置 | |
| CN111181978A (zh) | 异常网络流量的检测方法、装置、电子设备及存储介质 | |
| KR101847277B1 (ko) | 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템 | |
| JP7198991B2 (ja) | 脆弱性管理装置、脆弱性管理方法、及びプログラム | |
| KR20140081071A (ko) | 실시간 보안수준 측정 관리 방법 및 시스템 | |
| JP7396371B2 (ja) | 分析装置、分析方法及び分析プログラム | |
| CN112650180A (zh) | 安全告警方法、装置、终端设备及存储介质 | |
| WO2021070217A1 (ja) | セキュリティ対策管理装置、セキュリティ対策管理方法、及びプログラム | |
| JP5731586B2 (ja) | ツールバーを介した二重アンチフィッシング方法及びアンチフィッシングサーバ | |
| US9825994B1 (en) | Detection and removal of unwanted applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211007 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220826 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221024 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221104 |
|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20221118 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221124 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7198991 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |