JP7464148B2 - アドレス管理装置、アドレス管理システム、アドレス管理方法及びプログラム - Google Patents

アドレス管理装置、アドレス管理システム、アドレス管理方法及びプログラム Download PDF

Info

Publication number
JP7464148B2
JP7464148B2 JP2022566580A JP2022566580A JP7464148B2 JP 7464148 B2 JP7464148 B2 JP 7464148B2 JP 2022566580 A JP2022566580 A JP 2022566580A JP 2022566580 A JP2022566580 A JP 2022566580A JP 7464148 B2 JP7464148 B2 JP 7464148B2
Authority
JP
Japan
Prior art keywords
security
address
information
address management
management device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022566580A
Other languages
English (en)
Other versions
JPWO2022118433A5 (ja
JPWO2022118433A1 (ja
Inventor
健太郎 園田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2022118433A1 publication Critical patent/JPWO2022118433A1/ja
Publication of JPWO2022118433A5 publication Critical patent/JPWO2022118433A5/ja
Application granted granted Critical
Publication of JP7464148B2 publication Critical patent/JP7464148B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報の管理を行うアドレス管理装置、アドレス管理システム、アドレス管理方法及びプログラムに関する。
ソフトウェア及びハードウェアなどにより構成されるシステムのセキュリティ検査を行うサービスが提供されている。例えば企業は、このようなサービスを利用することで、当該企業が有するシステム(例えば、端末からのアクセスに応じてデータ処理を実行するウェブシステム)のセキュリティ上の欠陥、脆弱性を把握することができる。そして、当該企業は、把握した情報などに基づいて、セキュリティ上の対策を講じることが可能となる。
上述したセキュリティ検査の手法の一種にペネトレーションテストがある。ペネトレーションテストは、検査対象システムに対してインターネット経由で調査、侵入、およびサイバー攻撃などのためのアクセスを行うことにより、上記検査対象システムに潜む脆弱性、上記検査対象システムの堅牢性及びその度合を確認することができる。
一般的に、ペネトレーションテストを行う検査者(ペンテスター)は、セキュリティ検査開始前に検査用端末のIP(Internet Protocol)アドレス、自身の身元に関する情報を検査依頼者へ連絡する。これは、検査期間中のペネトレーションテストの実施と本当のサイバー攻撃とを区別するためである。また、インターネット経由でセキュリティ検査を行うには例えば次のような作業が必要となる。具体的に、検査対象システムに設けられたファイアウォール等で所定のアクセスを拒否するルールが設定されている場合、ファイアウォール内側にある検査対象システムに対して十分なペネトレーションテストを行うことができない。このため、ペネトレーションテストによるセキュリティ検査期間中は、検査実行用端末からのアクセスの通過を許可するための作業が必要になりうる。
例えば、特許文献1には、なりすまし及び意図しない第三者の招待を防止するため、認可システムが、本人署名付きの端末情報の取得および検証を行い、認証可能である場合にスマートロックの解除を行うことが記載されている。
国際公開2020/040313号公報
上述した特許文献1等に開示された技術では、デジタル署名などを使って端末、及び当該端末を使用するユーザの真正性を確認することができる。しかしながら、この場合には、当該端末に設定されるIPアドレスが変更されると、デジタル署名の検証、チャレンジレスポンスにおける認証を再度行う必要があった。
例えば、ペネトレーションテスト等のセキュリティ検査において、検査実行用端末のアドレス情報の変更が想定される。例えば、スマートフォンのテザリング機能を利用してセキュリティ検査を行う場合、セキュリティ検査実行用端末のアドレスは時間経過に伴い変更されうる。
本発明の目的は、セキュリティ検査実行用端末のアドレス情報が変更されても、セキュリティ検査実行用端末の真正性を適切に確保してセキュリティ検査を実行するための環境を実現することが可能なアドレス管理装置、アドレス管理システム、アドレス管理方法及びプログラムを提供することにある。
本発明の一つの態様によれば、アドレス管理装置は、セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得する取得部と、上記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、上記ネットワークノードに、上記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開する公開処理部と、を備える。
本発明の一つの態様によれば、アドレス管理システムは、セキュリティ検査対象システムと、上記セキュリティ検査対象システムの管理を行うネットワークノードと、上記セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末と、上記1以上のセキュリティ検査実行用端末に関するアドレス情報を管理するアドレス管理装置と、を備え、上記アドレス管理装置は、上記1以上のセキュリティ検査実行用端末に関するアドレス情報を取得する取得部と、上記ネットワークノードからの要求に応じて、上記ネットワークノードに、上記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開する公開処理部と、を有する。
本発明の一つの態様によれば、アドレス管理方法は、セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得することと、上記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、上記ネットワークノードに、上記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開することと、を備える。
本発明の一つの態様によれば、プログラムは、セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得することと、上記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、上記ネットワークノードに、上記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開することと、をコンピュータに実行させる。
上述した態様によれば、セキュリティ検査実行用端末のアドレス情報が変更されても、セキュリティ検査実行用端末の真正性を適切に確保してセキュリティ検査を実行するための環境を提供することが可能になる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。
図1は、本開示の実施形態に適用されるアドレス管理システム1の構成の一例を示す説明図である。 図2は、アドレス管理装置100の構成の例を示すブロック図である。 図3は、ペンテスター情報300に含まれる情報要素の構成の例を示す図である。 図4は、記憶部120により記憶されるペンテスター情報に関するペンテスター登録情報400の構成の例を示す図である。 図5は、承認結果を情報要素として含むペンテスター登録情報500の構成の例を示す図である。 図6は、監視部135の具体的な構成の例を示すブロック図である。 図7は、アドレス情報の接続可能性が有効である場合におけるアドレス管理システム1の全体の処理の流れを説明するための説明図である。 図8は、アドレス情報の接続可能性が無効である場合におけるアドレス管理システム1の全体の処理の流れを説明するための説明図である。 図9は、変形例に係るアドレス管理装置100の概略的な構成の例を示すブロック図である。 図10は、セキュリティ装置22がファイアウォールとして動作する場合の通信許可情報の具体例について説明するための説明図である。 図11は、制御情報送信処理部141に関連する処理の流れを説明するための説明図である。 図12は、第2の実施形態に係るアドレス管理装置100の概略的な構成の例を示すブロック図である。
以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。
説明は、以下の順序で行われる。
1.本発明の実施形態の概要
2.アドレス管理システム1
3.第1の実施形態
3.1.アドレス管理装置100の構成
3.2.動作例
3.3.変形例
4.第2の実施形態
4.1.アドレス管理装置100の構成
4.2.動作例
5.他の実施形態
<<1.本発明の実施形態の概要>>
まず、本発明の実施形態の概要を説明する。
(1)技術的課題
ソフトウェア及びハードウェアなどにより構成されるシステムのセキュリティ検査を行うサービスが提供されている。例えば企業は、このようなサービスを利用することで、当該企業が有するシステム(例えば、端末からのアクセスに応じてデータ処理を実行するウェブシステム)のセキュリティ上の欠陥、脆弱性を把握することができる。そして、当該企業は、把握した情報などに基づいて、セキュリティ上の対策を講じることが可能となる。
上述したセキュリティ検査の手法の一種にペネトレーションテストがある。ペネトレーションテストは、検査対象システムに対してインターネット経由で調査、侵入、およびサイバー攻撃などのためのアクセスを行うことにより、上記検査対象システムに潜む脆弱性、上記検査対象システムの堅牢性及びその度合を確認することができる。
一般的に、ペネトレーションテストを行う検査者(ペンテスター)は、セキュリティ検査開始前に検査用端末のIP(Internet Protocol)アドレス、自身の身元に関する情報を検査依頼者へ連絡する。これは、検査期間中のペネトレーションテストの実施と本当のサイバー攻撃とを区別するためである。また、インターネット経由でセキュリティ検査を行うには例えば次のような作業が必要となる。具体的に、検査対象システムに設けられたファイアウォール等で所定のアクセスを拒否するルールが設定されている場合、ファイアウォール内側にある検査対象システムに対して十分なペネトレーションテストを行うことができない。このため、ペネトレーションテストによるセキュリティ検査期間中は、検査実行用端末からのアクセスの通過を許可するための作業が必要になりうる。
例えば、なりすまし及び意図しない第三者の招待を防止するため、デジタル署名などを使って端末、及び当該端末を使用するユーザの真正性を確認することができる。しかしながら、この場合には、当該端末に設定されるIPアドレスが変更されると、デジタル署名の検証、チャレンジレスポンスにおける認証を再度行う必要があった。
例えば、ペネトレーションテスト等のセキュリティ検査において、検査実行用端末のアドレス情報の変更が想定される。例えば、スマートフォンのテザリング機能を利用してセキュリティ検査を行う場合、セキュリティ検査実行用端末のアドレスは時間経過に伴い変更されうる。
そこで、本実施形態では、セキュリティ検査実行用端末のアドレス情報が変更されても、セキュリティ検査実行用端末の真正性を適切に確保してセキュリティ検査を実行するための環境を実現することを目的とする。
(2)技術的特徴
本開示の実施形態では、セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得し、上記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、上記ネットワークノードに、上記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開する。
これにより、例えば、セキュリティ検査実行用端末のアドレス情報が変更されても、セキュリティ検査実行用端末の真正性を適切に確保してセキュリティ検査を実行するための環境を提供することが可能になる。なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は、上述した技術的特徴に限定されない。
<<2.アドレス管理システム1>>
図1を参照して、本開示の実施形態に適用されるアドレス管理システム1の構成の例を説明する。図1は、本開示の実施形態に適用されるアドレス管理システム1の構成の一例を示す説明図である。図1を参照すると、アドレス管理システム1は、アドレス管理装置100、セキュリティ検査対象システム20、ネットワークノード21、セキュリティ装置22、及び3つのセキュリティ検査実行用端末30a、30b、30c(総称した場合にセキュリティ検査実行用端末30と呼ぶ。)を含む。なお、セキュリティ検査実行用端末30の数は、図1に示す例に限らない。
以上のように構成されるアドレス管理システム1において、セキュリティ検査対象システム20は、ソフトウェア及びハードウェアの少なくとも1つから構成される検査対象のシステムである。より具体的には、セキュリティ検査対象システム20は、例えばセキュリティ検査実行用端末30からのアクセスに応じてデータの記憶および処理などを実行するためのソフトウェア資源及び/又はハードウェア資源から構成されるウェブシステムである。
アドレス管理システム1では、セキュリティ検査対象システム20に対して、調査、侵入、およびサイバー攻撃などのためのアクセスが行われる。このようなアクセスは、インターネット2を介してセキュリティ検査実行用端末30により行われる。アドレス管理装置100は、具体的には後述するように、セキュリティ検査実行用端末30に関するアドレス情報の管理を行う。
ネットワークノード21は、検査依頼者の操作入力などに従って、セキュリティ検査対象システム20の管理を行うノードである。
セキュリティ装置22は、セキュリティ検査対象システム20へのサイバー攻撃などのアクセスを防ぐためのファイアウォールとして機能する。セキュリティ装置22は、例えばセキュリティ機能を保有する装置、又はセキュリティ機能を保有するソフトウェアを実装する汎用コンピュータである。例えば、セキュリティ装置22は、IPS/IDS(Intrusion Prevention System/Intrusion Detection System)、WAF(Web Application Firewall)、又はUTM(Unified Threat Management)であってもよい。
<<3.第1の実施形態>>
続いて、図2~図11を参照して、第1の実施形態を説明する。
<3.1.アドレス管理装置100の構成>
図2を参照して、第1の実施形態に係るアドレス管理装置100の構成の例を説明する。図2は、アドレス管理装置100の構成の例を示すブロック図である。図2を参照すると、アドレス管理装置100は、ネットワーク通信部110、記憶部120、及び処理部130を備える。
(1)ネットワーク通信部110
ネットワーク通信部110は、ネットワークから信号を受信し、ネットワークへ信号を送信する。
(2)記憶部120
記憶部120は、アドレス管理装置100の動作のためのプログラム(命令)及びパラメータ、並びに様々なデータを、一時的に又は恒久的に記憶する。当該プログラムは、アドレス管理装置100の動作のための1つ以上の命令を含む。
(3)処理部130
処理部130は、アドレス管理装置100の様々な機能を提供する。処理部130は、取得部131、公開処理部133、監視部135、依頼部137、及び承認部139を備える。なお、処理部130は、これらの構成要素以外の他の構成要素をさらに含みうる。すなわち、処理部130は、これらの構成要素の動作以外の動作も行いうる。取得部131、公開処理部133、監視部135、依頼部137、及び承認部139の具体的な動作は、後に詳細に説明する。
(4)実装例
ネットワーク通信部110は、ネットワークアダプタ並びに/又はネットワークインタフェースカード等により実装されてもよい。記憶部120は、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスク等により実装されてもよい。処理部130は、1つ以上のプロセッサにより実装されてもよい。取得部131、公開処理部133、監視部135、依頼部137、及び承認部139は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリ(記憶部120)は、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
アドレス管理装置100は、プログラム(命令)を記憶するメモリと、当該プログラム(命令)を実行可能な1つ以上のプロセッサとを含んでもよい。当該1つ以上のプロセッサは、上記プログラムを実行して、処理部130の動作(取得部131、公開処理部133、監視部135、依頼部137、及び/又は承認部139の動作)を行ってもよい。上記プログラムは、処理部130の動作(取得部131、公開処理部133、監視部135、依頼部137、及び/又は承認部139の動作)をプロセッサに実行させるためのプログラムであってもよい。
<3.2.動作例>
次に、第1の実施形態に係る動作例について説明する。
第1の実施形態によれば、アドレス管理装置100(取得部131)は、セキュリティ検査対象システム20に対するセキュリティ検査のためのアクセスを行うセキュリティ検査実行用端末30に関するアドレス情報を取得する。また、アドレス管理装置100(公開処理部133)は、ネットワークノード21からの要求に応じて、ネットワークノード21に、セキュリティ検査実行用端末30に関するアドレス情報を公開する。
ここで、セキュリティ検査実行用端末30に関するアドレス情報は、具体的には、セキュリティ検査実行用端末30がインターネットへのアクセスに用いるIP(Internet Protocol)アドレス、及びネットワークインタフェースを識別するためのMAC(Media Access Control)アドレスなどに当たる。
第1の実施形態によれば、ネットワークノード21からの要求に応じて、対応するセキュリティ検査実行用端末30のIPアドレスなどのアドレス情報が、ネットワークノード21に公開されるので、セキュリティ検査実行用端末30のアドレス情報が変更されても、セキュリティ検査実行用端末30の真正性を適切に確保してセキュリティ検査を実行するための環境を実現することができる。
(1)アドレス情報の取得及び管理
上記アドレス情報は、セキュリティ検査実行用端末30のユーザであるペンテスターに関するペンテスター情報内の一つの情報要素として、例えばセキュリティ検査実行用端末30からアドレス管理装置100に送られる。
ペンテスター情報は、具体的には、次のような複数の情報要素を含む。図3は、ペンテスター情報300に含まれる情報要素の構成の例を示す図である。図3を参照すると、ペンテスター情報300は、氏名、会社名、組織名、メールアドレス、IPアドレス、MACアドレス、身分証画像(名刺、免許証、個人番号カードに添付された顔写真など)、生体情報(顔特徴量データ、指紋データ、虹彩データなど)を含む。
アドレス管理装置100(取得部131)は、セキュリティ検査実行用端末30から取得したペンテスター情報を記憶部120に記憶することにより、当該ペンテスター情報を登録する。
図4は、記憶部120により記憶されるペンテスター情報に関するペンテスター登録情報400の構成の例を示す図である。図4を参照すると、ペンテスター登録情報400は、ペンテスター情報300と、ペンテスター情報300の登録日時、ペンテスター情報300に含まれるアドレス情報(例えば、IPアドレス、MACアドレス)の更新日時とを含む。アドレス情報の更新については後述する。
また、アドレス管理装置100(取得部131)は、記憶部120にペンテスター登録情報400を記憶する場合に、ペンテスター登録情報400に含まれるペンテスター情報(例えば、図3に示すペンテスター情報300)をウェブブラウザ上に表示するウェブページにアクセスするためのコード情報(URLを示す二次元コード情報)を生成してもよい。言い換えれば、コード情報は、対応するセキュリティ検査実行用端末30のアドレス情報を識別するための識別用情報に当たる。
(2)情報の公開
アドレス管理装置100(公開処理部133)は、記憶部120に記憶されるペンテスター登録情報400を参照し、ペンテスターに係る各種情報(例えば、図3に示すペンテスター情報300)を検査依頼者側(ネットワークノード21)に公開する。公開する方法は、Webサイト内のWebページなど、どのような仕組みであってもよい。
具体的な公開方法として、例えば、上述したようにペンテスター情報300をウェブブラウザ上に表示するウェブページにアクセスするためのコード情報が生成される場合には、コード情報に関連付けられたウェブページ上にペンテスター情報300が公開される。
上述したコード情報は、例えば次のようにして、検査依頼者へ通知される。まず、アドレス管理装置100(取得部131)により生成されたコード情報は、対応するセキュリティ検査実行用端末30のメールアドレスを利用して、電子メールなどにより、上記セキュリティ検査実行用端末30に通知される。これにより、ペンテスターはコード情報を受け取ることができる。続いて、セキュリティ検査実行用端末30は、ペンテスターによる操作に応じて、対応するアドレス情報を識別するための識別用情報に当たるコード情報を、ネットワークノード21に通知する。これにより、検査依頼者はコード情報を受け取ることができる。
上述したように検査依頼者がコード情報を受け取ると、ネットワークノード21は、検査依頼者による操作に応じて、コード情報を用いて所定のウェブページにアクセスして、対応するセキュリティ検査実行用端末30のペンテスター情報300を表示する。言い換えれば、ネットワークノード21は、コード情報に当たる識別用情報を用いた要求を行うことにより、アドレス管理装置100が有する公開処理部133により公開されるアドレス情報を取得する。
(3)アドレス情報の承認
アドレス管理装置100(承認部139)は、ネットワークノード21からの通知情報に基づいて、対応するセキュリティ検査実行用端末30によるセキュリティ検査のためのアクセスを承認する。
具体的に、承認に関する処理は、次のような流れで行われる。まず、上述した公開処理部133により公開されたアドレス情報が、ネットワークノード21により表示されると、ネットワークノード21は、検査依頼者の操作に応じて、対応するセキュリティ検査実行用端末30によるセキュリティ検査を承認するための通知情報を、アドレス管理装置100に通知する。この通知情報は、承認又は否認を示す情報要素を含む。
当該通知情報は、例えば電子メールにより、ネットワークノード21からアドレス管理装置100へ通知される。また、公開処理部133が承認通知用のコード情報を生成してもよく、この場合、コード情報に従ってネットワークノード21がウェブページへアクセスされることにより、対応するセキュリティ検査実行用端末30のための承認が行われてもよい。
アドレス管理装置100(承認部139)は、ネットワークノード21から通知情報を受信すると、その情報要素を記憶部120に記憶されているペンテスター登録情報400内の情報要素として登録する。
図5は、承認結果を情報要素として含むペンテスター登録情報500の構成の例を示す図である。図5を参照すると、通知情報に応じて、対応するセキュリティ検査実行用端末30によるセキュリティ検査のためのアクセスが承認又は否認が認識される。
また、アドレス管理装置100(承認部139)は、上述した通知情報が否認を示す場合には、承認結果が否認であることを示す情報を、電子メールによりセキュリティ検査実行用端末30(ペンテスター)に伝達する。このような伝達方法に限らず、承認結果を表示するウェブページにアクセスするためのコード情報が、セキュリティ検査実行用端末30(ペンテスター)に伝達されてもよい。
なお、アドレス管理装置100(承認部139)による承認に関する処理は、上述した処理に限らず、種々の変形が可能である。例えば、ネットワークノード21からの通知情報に基づいて承認を行う場合に限らず、例えば、セキュリティ検査実行用端末30に関する履歴情報に基づいて承認を行ってもよい。この場合、例えばセキュリティ検査実行用端末30が、過去にセキュリティ検査対象システム20以外の他の検査対象システムに対するセキュリティ検査のためのアクセスを承認された回数、頻度などが所定の条件を満たしている場合には、ネットワークノード21からの通知情報によらず、対応するセキュリティ検査実行用端末30によるセキュリティ検査のためのアクセスが承認されてもよい。
(4)アドレス情報の監視及び更新依頼
アドレス管理装置100(監視部135)は、例えば承認部139により対応するセキュリティ検査実行用端末30によるセキュリティ検査のためのアクセスが承認された場合に、対応するセキュリティ検査実行用端末30に関するアドレス情報の接続可能性(Connectivity)を監視する。そして、アドレス管理装置100(依頼部137)は、アドレス情報の接続可能性に基づいて、セキュリティ検査実行用端末30に、アドレス情報の更新を依頼するための情報を送信する。
-監視処理
例えば、監視部135は、記憶部120に記憶されるペンテスター登録情報に含まれるIPアドレスに対して、例えばpingコマンドを用いることにより、接続可能性を定期的に確認する。
図6は、監視部135の具体的な構成の例を示すブロック図である。図6を参照すると、監視部135は、送信処理部1351、受信処理部1353、及び判断処理部1355を備える。
送信処理部1351は、アドレス情報(IPアドレス)の接続可能性を監視するためのエコー要求メッセージを、当該アドレス情報に対応するセキュリティ検査実行用端末30に送信する。当該アドレス情報の接続可能性が有効な場合には、受信処理部1353は、対応するセキュリティ検査実行用端末30から、エコー要求メッセージに対するエコー応答メッセージを受信する。一方、当該アドレス情報の接続可能性が無効な場合には、受信処理部1353は、対応するセキュリティ検査実行用端末30から、エコー要求メッセージに対するエコー応答メッセージを受信しない。
判断処理部1355は、エコー要求メッセージに関する受信状況に基づいて、対応するセキュリティ検査実行用端末30に関するアドレス情報の接続可能性が有効又は無効であると判断する。例えば、エコー要求メッセージを所定の時間内に受信された場合には、対応するセキュリティ検査実行用端末30に関するアドレス情報の接続可能性が有効であると判断する。一方、エコー要求メッセージを所定の時間内に受信できなかった場合には、対応するセキュリティ検査実行用端末30に関するアドレス情報の接続可能性が無効であると判断する。
上述したようなPingコマンドに基づいた接続可能性の監視は、例えば、1時間毎に行われる。このような監視の間隔は、1時間に限らず、セキュリティ検査対象システム20の検査依頼者からの要求に応じて任意の時間であってもよい。また、このように予め決まった間隔に限らず、監視の間隔は任意に変更されてもよい。
一例として、監視部135は、対応するセキュリティ検査実行用端末30に関するアドレス情報の更新履歴に基づいて、対応するセキュリティ検査実行用端末30へのエコー要求メッセージの送信頻度を設定する。具体的には、セキュリティ検査実行用端末30に関するアドレス情報の更新頻度が低ければ、今後も更新される可能性が低いであろうと推測して、対応するセキュリティ検査実行用端末30へのエコー要求メッセージの送信する間隔をより長くする。一方、セキュリティ検査実行用端末30に関するアドレス情報の更新頻度が高ければ、今後も更新される可能性が高いであろうと推測して、対応するセキュリティ検査実行用端末30へのエコー要求メッセージの送信する間隔をより短くする。
また、監視部135は、対応するセキュリティ検査実行用端末30に関するアドレス情報が、携帯通信事業者のゲートウェイサーバが管理するアドレス情報であるか否かに基づいて、対応するセキュリティ検査実行用端末30へのエコー要求メッセージの送信頻度を設定してもよい。例えば、対応するセキュリティ検査実行用端末30に関するアドレス情報が、携帯通信事業者のゲートウェイサーバが管理するアドレス情報である場合には、そうでは無い場合に比べて、対応するセキュリティ検査実行用端末30へのエコー要求メッセージの送信する間隔をより短くする。
また、アドレス管理装置100(監視部135)は、pingコマンドに対するレスポンスがある場合は、その処理を完了する。その後、アドレス管理装置100(監視部135)は、次の1時間後に再度pingコマンドを実行することを繰り返す。
一方、アドレス管理装置100(監視部135)は、pingコマンドに対するレスポンスが無い場合は、対応するセキュリティ検査実行用端末30(ペンテスター)が使用するIPアドレスに変更があったものと判断する。この場合には、アドレス管理装置100(監視部135)は、IPアドレスに変更があったことを示す情報を依頼部137に通知する。
なお、アドレス情報の監視は、Pingコマンドを用いた監視に限定されない。例えば、セキュリティ検査実行用端末30に予めアドレス管理装置100と同期処理を実行可能なエージェントソフトウェアを導入してもよい。そして当該エージェントソフトウェアが、Pingコマンドで監視可能な接続可能性に関する情報を、アドレス管理装置100にポーリングするように動作してもよい。
-アドレス情報の更新依頼処理
アドレス管理装置100(依頼部137)は、対応するセキュリティ検査実行用端末30に関するアドレス情報(IPアドレス)の接続可能性が無効である場合、すなわちIPアドレスに変更があった場合に、対応するセキュリティ検査実行用端末30に、アドレス情報の更新を依頼するための更新依頼情報を送信する。
例えば、更新依頼情報は、対応するセキュリティ検査実行用端末30について登録されたペンテスター情報に含まれるメールアドレス宛の通知メールに含まれる。この場合、セキュリティ検査実行用端末30(ペンテスター)は、当該通知メールに従って、アドレス管理装置100にアクセスすることにより、IPアドレスの更新を要求する。言い換えれば、セキュリティ検査実行用端末30(ペンテスター)は更新依頼情報に基づいて、アドレス情報の更新を要求するための情報を、アドレス管理装置100に送信する。
なお、セキュリティ検査実行用端末30は、当該通知メールに対する返信により、検査継続又は検査終了を示す情報を、更にアドレス管理装置100に送るようにしてもよい。また、当該通知メールには、アドレス管理装置100により管理されるIPアドレスを更新するためのウェブページにアクセスするためのコード情報が含まれていてもよい。この場合、セキュリティ検査実行用端末30は、当該コード情報に従ってウェブページにアクセスすることにより、IPアドレスの更新をアドレス管理装置100に対して要求することができる。
アドレス管理装置100(取得部131)は、セキュリティ検査実行用端末30からのIPアドレスの更新を要求するための情報に応じて、対応するセキュリティ検査実行用端末に関するアドレス情報(例えば、IPアドレス、MACアドレスなど)を更新する。具体的にアドレス管理装置100(取得部131)は、記憶部120に記憶されているペンテスター登録情報に含まれる情報要素のうち、更新日時、IPアドレス、及びMACアドレスなどを更新する。
(5)画像情報に関する監視及び公開
アドレス管理装置100(監視部135)は、セキュリティ検査実行用端末30により行われるセキュリティ検査に関する画像情報を更に監視してもよい。この場合、アドレス管理装置100(公開処理部133)は、ネットワークノード21からの要求に応じて、ネットワークノード21に、セキュリティ検査に関する画像情報を公開する。
具体的に、アドレス管理装置100(監視部135)は、例えばセキュリティ検査実行用端末30に設けられたWebカメラにより撮像されたペンテスターの顔画像及びディスプレイモニタ画像のデータを、セキュリティ検査実行用端末30から受信して、受信した画像データを記憶部120に記憶する。
アドレス管理装置100(公開処理部133)は、記憶部120に記憶された画像データを、ネットワークノード21からの要求に応じて、ウェブサイト上に公開する。
このようにして、検査依頼者は、ネットワークノード21を用いてアドレス管理装置100にアクセスすることにより、ペンテスターによるセキュリティ検査に関する画像を確認することができる。
(6)処理の流れ
次に、図7及び図8を参照して、第1の実施形態に係るアドレス管理システム1の全体の処理の流れについて説明する。図7は、アドレス情報の接続可能性が有効である場合におけるアドレス管理システム1の全体の処理の流れを説明するための説明図である。
図7を参照すると、ステップST701において、セキュリティ検査実行用端末30は、ペンテスター情報を作成して、作成したペンテスター情報をアドレス管理装置100(取得部131)に送信する。
次に、ステップST703において、アドレス管理装置100(取得部131)は、セキュリティ検査実行用端末30から取得したペンテスター情報に基づいて、対応する登録日時情報及びコード情報(当該ペンテスター情報にアクセスするためのコード情報)を作成する。また、ペンテスター情報と登録日時情報を記憶部120に送られる。また、コード情報は、公開処理部133により、ネットワークノード21(検査依頼者)に公開される。
次に、ステップST705において、アドレス管理装置100(記憶部120)は、ペンテスター登録情報を記憶する。また、ペンテスター登録情報に含まれるペンテスター情報は、公開処理部133に送られる。
次に、ステップST707において、アドレス管理装置100(公開処理部133)は、コード情報に示されるWebページ上に、ペンテスター情報を公開する。また、ネットワークノード21(検査依頼者)は、コード情報を用いて当該Webページにアクセスすることにより、ペンテスター情報を参照する。さらに、ネットワークノード21(検査依頼者)は、対応するセキュリティ検査実行用端末30のペンテスター情報300によるセキュリティ検査のためのアクセスに関する承認通知情報を、アドレス管理装置100(承認部139)に送信する。
次に、ステップST709において、アドレス管理装置100(承認部139)は、ネットワークノード21から受信した承認通知情報を登録する。具体的には承認または否認を示す情報を、対応するペンテスター登録情報に含まれる情報要素として、記憶部120に記憶する。その後、アドレス管理装置100(承認部139)は、承認結果を表示するウェブページへアクセスするためのコード情報を、対応するセキュリティ検査実行用端末30に送信する。アドレス管理装置100(承認部139)は、監視部135に対して、対応するセキュリティ検査実行用端末30の監視を依頼する。
次にステップST711において、セキュリティ検査実行用端末30は、アドレス管理装置100から送信されるコード情報を用いて、承認結果を表示する。これにより、ペンテスターは、承認結果を確認することができる。
次に、ステップST713において、アドレス管理装置100(監視部135)は、Pingコマンドを実行することにより、監視対象となるセキュリティ検査実行用端末30のアドレス情報の接続可能性を監視する。具体的には、アドレス管理装置100(監視部135)は、エコー要求メッセージをセキュリティ検査実行用端末30に送信して、セキュリティ検査実行用端末30からエコー応答メッセージを受信する。このようにして、アドレス管理装置100は、セキュリティ検査実行用端末30のアドレス情報の接続可能性が有効であることを検知することができる。
図8は、アドレス情報の接続可能性が無効である場合におけるアドレス管理システム1の全体の処理の流れを説明するための説明図である。
図8に示すフローでは、ステップST801~ステップST811の処理が、上述した図7に示すステップST701~ステップST711の処理と同様なのでその説明を省略する。
次に、ステップST813において、アドレス管理装置100(監視部135)は、Pingコマンドを実行することにより、監視対象となるセキュリティ検査実行用端末30のアドレス情報の接続可能性を監視する。具体的には、アドレス管理装置100(監視部135)は、エコー要求メッセージをセキュリティ検査実行用端末30に送信する。ここで、図8に示す例では、図7に示す例と異なり、エコー要求メッセージに対するエコー応答メッセージが、セキュリティ検査実行用端末30から送信されないため、監視部135により、アドレス情報の接続可能性が無効であると判断される。
次に、ステップST815において、アドレス管理装置100(依頼部137)は、セキュリティ検査実行用端末30に、アドレス情報(IPアドレス)の更新を依頼するための更新依頼情報を送信する。図8に示す例では、更新依頼情報に応答して、セキュリティ検査実行用端末30から、アドレス情報の更新を要求するための情報が、アドレス管理装置100へ送信されるものとする。
次に、ステップST817において、アドレス管理装置100(取得部131)は、セキュリティ検査実行用端末30からのIPアドレスの更新を要求するための情報に応じて、対応するセキュリティ検査実行用端末に関するアドレス情報(IPアドレス、MACアドレスなど)を更新する。具体的には、記憶部120に記憶されているペンテスター登録情報に含まれる情報要素のうち、更新日時、IPアドレス、及びMACアドレスなどが更新される。
(7)まとめ
以上のように第1の実施形態によれば、アドレス管理装置100が、ペンテスター情報を記憶部120に記憶することにより、検査依頼者に対して、当該ペンテスターの属性情報、および当該ペンテスターが使用するセキュリティ検査実行用端末30のアドレス情報(IPアドレス)を照会することができる。
また、アドレス管理装置100(監視部135)は、定期的又は不定期に、セキュリティ検査実行用端末30のアドレス情報(IPアドレス)の接続可能性を監視することで、記憶部120の登録内容(ペンテスター登録情報)に変更がないことを保証することができる。ここで、アドレス情報の接続可能性が無効になった場合、具体的にはIPアドレスの変更が生じた場合、アドレス管理装置100(依頼部137)は、セキュリティ検査実行用端末30に更新依頼情報を送信することにより、ペンテスターへ登録情報の更新を促すことができる。これにより、例えば、ペネトレーションテストの実行時に、セキュリティ検査実行用端末30のIPアドレスの変更があっても、ネットワークノード21(検査依頼者)は、セキュリティ検査実行用端末30を操作するペンテスターの真正性を容易に確認することができる。
<3.3.変形例>
次に、変形例に係る第1の実施形態について説明する。図9は、変形例に係るアドレス管理装置100の概略的な構成の例を示すブロック図である。図9を参照すると、アドレス管理装置100は、セキュリティ検査のためのアクセスのための制御情報を、セキュリティ検査対象システム20へのアクセスを制御するネットワークノード(セキュリティ装置22)に送信する制御情報送信処理部141を更に備えてもよい。以下では、制御情報送信処理部141に関連する処理について説明する。
具体的に、制御情報送信処理部141は、承認部139によりセキュリティ検査実行用端末30によるセキュリティ検査のためのアクセスが承認されると、対応するアドレス情報であるIPアドレス及びMACアドレスに対する通信許可情報を、制御情報として生成する。この通信許可情報は、制御情報送信処理部141からセキュリティ装置22に送られる。
図10は、セキュリティ装置22がファイアウォールとして動作する場合の通信許可情報の具体例について説明するための説明図である。図10を参照すると、制御情報送信処理部141は、記憶部120に記憶されているペンテスター登録情報400を参照して、対応するセキュリティ検査実行用端末30のためのアクセスコントロールリスト1020を、通信許可情報として生成する。例えば、図10に示す例のアクセスコントロールリスト1020は、送信元IPアドレスが12.34.56.78で宛先IPアドレスが[検査対象IP/24]のパケットを許可することを示している。
また、制御情報送信処理部141は、監視部135及び依頼部137の処理によりIPアドレスの更新が認められた場合、ペンテスター情報内のIPアドレスの更新登録が完了するまで待機する。その後、制御情報送信処理部141は、更新登録が完了したことに応答して、再度アクセスコントロールリストを生成して、当該アクセスコントロールリストをセキュリティ装置22に送信する。なお、アクセスコントロールリストの生成のための承認を依頼するための情報をネットワークノード21に送信してもよい。この場合、検査依頼者の承諾により、ネットワークノード21から、アクセスコントロールリストの生成のための承認を要求するための情報をアドレス管理装置100が受信すると、制御情報送信処理部141が新たなアクセスコントロールリストを作成する。
図11は、制御情報送信処理部141に関連する処理の流れを説明するための説明図である。図11を参照すると、まず、ステップST1101において、アドレス管理装置100(承認部139)は、ネットワークノード21から受信した承認通知情報を登録する。その後、アドレス管理装置100(承認部139)は、承認結果を示す情報を制御情報送信処理部141に送信する。次に、ステップST1103において、アドレス管理装置100(制御情報送信処理部141)は、承認されたセキュリティ検査実行用端末30のためのアクセスコントロールリストを生成する。生成されたアクセスコントロールリストは、セキュリティ装置22に通知される。次に、ステップST1105において、セキュリティ装置22は、アクセスコントロールリストを登録して、当該アクセスコントロールリストに基づいてアクセス制御を行う。その後、図11に示す処理を終了する。
上記図11に示す処理によれば、アドレス管理装置100(制御情報送信処理部141)は、承認部139による承認結果に応じて、ファイアウォール等の動作を行うセキュリティ装置22により用いられるアクセスコントロールリストを動的に生成することができる。これにより、アドレス管理装置100は、検査依頼者やオペレーターによる操作入力などによらず、アクセスコントロールリストをセキュリティ装置22に自動的に登録させることできる。
すなわち、当該変形例によれば、ペネトレーションテスター(セキュリティ検査実行用端末30)によるセキュリティ検査時に、当該検査のためにファイアウォールを通過させるルールを登録するといった作業を、オペレーターに指示する必要がない。このようにして、当該変形例によれば、オペレーターなどの作業負担を軽減して、より効率的にペネトレーションテストを実行する環境を提供することができる。
<<4.第2の実施形態>>
続いて、図12を参照して本発明の第2の実施形態を説明する。上述した第1の実施形態は、具体的な実施形態であるが、第2の実施形態は、より一般化された実施形態である。
<4.1.アドレス管理装置100の構成>
図12は、第2の実施形態に係るアドレス管理装置100の概略的な構成の例を示すブロック図である。図12を参照すると、アドレス管理装置100は、取得部151、及び公開処理部153を備える。
取得部151、及び公開処理部153は、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。取得部151、及び公開処理部153は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
<4.2.動作例>
第2の実施形態に係る動作例を説明する。
第2の実施形態によれば、アドレス管理装置100(取得部151)は、セキュリティ検査対象システム(例えば、セキュリティ検査対象システム20)に対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末(例えば、セキュリティ検査実行用端末30)に関するアドレス情報を取得する。アドレス管理装置100(公開処理部153)は、上記セキュリティ検査対象システム(例えば、セキュリティ検査対象システム20)の管理を行うネットワークノード(例えば、ネットワークノード21)からの要求に応じて、上記ネットワークノード(例えば、ネットワークノード21)に、上記1以上のセキュリティ検査実行用端末(例えば、セキュリティ検査実行用端末30)に関するアドレス情報を公開する。
-第1の実施形態との関係
一例として、第2の実施形態に係るアドレス管理装置100が備える取得部151、及び公開処理部153は、それぞれ、第1の実施形態に係るアドレス管理装置100が備える取得部131、及び公開処理部133の動作を行ってもよい。この場合に、第1の実施形態についての説明は、第2の実施形態にも適用されうる。なお、第2の実施形態は、この例に限定されない。
以上、第2の実施形態を説明した。第2の実施形態によれば、セキュリティ検査実行用端末のアドレス情報が変更されても、セキュリティ検査実行用端末の真正性を適切に確保してセキュリティ検査を実行するための環境を提供することが可能になる。
<<5.他の実施形態>>
以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
例えば、本明細書に記載されている処理におけるステップは、必ずしもシーケンス図に記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、シーケンス図として記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。
また、本明細書において説明したアドレス管理装置の構成要素(例えば、取得部、及び/又は公開処理部)を備える装置(例えば、アドレス管理装置を構成する複数の装置(又はユニット)のうちの1つ以上の装置(又はユニット)、又は上記複数の装置(又はユニット)のうちの1つのためのモジュール)が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体(Non-transitory computer readable medium)が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。
上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)
セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得する取得部と、
前記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、前記ネットワークノードに、前記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開する公開処理部と、
を備えるアドレス管理装置。
(付記2)
前記アドレス情報の接続可能性を監視する監視部と、
前記アドレス情報の接続可能性に基づいて、前記1以上のセキュリティ検査実行用端末に、アドレス情報の更新を依頼するための情報を送信する依頼部と、を更に備える、付記1記載のアドレス管理装置。
(付記3)
前記監視部は、
前記アドレス情報の接続可能性を監視するためのエコー要求メッセージを、対応するセキュリティ検査実行用端末に送信する送信処理部と、
前記対応するセキュリティ検査実行用端末から、前記エコー要求メッセージに対するエコー応答メッセージを受信する受信処理部と、
前記エコー要求メッセージに関する受信状況に基づいて、前記対応するセキュリティ検査実行用端末に関するアドレス情報の接続可能性が有効又は無効であると判断する判断処理部とを備える、付記2記載のアドレス管理装置。
(付記4)
前記監視部は、前記対応するセキュリティ検査実行用端末に関するアドレス情報の更新履歴に基づいて、前記対応するセキュリティ検査実行用端末へのエコー要求メッセージの送信頻度を設定する、付記3記載のアドレス管理装置。
(付記5)
前記依頼部は、前記対応するセキュリティ検査実行用端末に関する前記アドレス情報の接続可能性が無効である場合に、前記対応するセキュリティ検査実行用端末に、アドレス情報の更新を依頼するための情報を送信する、付記3又は4記載のアドレス管理装置。
(付記6)
前記監視部は、前記1以上のセキュリティ検査実行用端末により行われるセキュリティ検査に関する画像情報を更に監視し、
前記公開処理部は、前記ネットワークノードからの要求に応じて、前記ネットワークノードに、前記セキュリティ検査に関する画像情報を公開する、付記2乃至5のうち何れか1項記載のアドレス管理装置。
(付記7)
前記ネットワークノードからの通知情報に基づいて、対応するセキュリティ検査実行用端末による前記セキュリティ検査のためのアクセスを承認する承認部を更に備える、付記1乃至6のうち何れか1項記載のアドレス管理装置。
(付記8)
前記対応するセキュリティ検査実行用端末による前記セキュリティ検査のためのアクセスのための制御情報を、前記セキュリティ検査対象システムへのアクセスを制御するネットワークノードに送信する制御情報送信処理部を更に備える、付記7記載のアドレス管理装置。
(付記9)
セキュリティ検査対象システムと、
前記セキュリティ検査対象システムの管理を行うネットワークノードと、
前記セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末と、
前記1以上のセキュリティ検査実行用端末に関するアドレス情報を管理するアドレス管理装置と、を備え、
前記アドレス管理装置は、
前記1以上のセキュリティ検査実行用端末に関するアドレス情報を取得する取得部と、
前記ネットワークノードからの要求に応じて、前記ネットワークノードに、前記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開する公開処理部と、を有する、アドレス管理システム。
(付記10)
前記1以上のセキュリティ検査実行用端末は、対応するアドレス情報を識別するための識別用情報を、前記ネットワークノードに通知し、
前記ネットワークノードは、前記識別用情報を用いて前記要求を行うことにより、前記アドレス管理装置が有する前記公開処理部により公開されるアドレス情報を取得する、付記9記載のアドレス管理システム。
(付記11)
前記アドレス管理装置は、
前記アドレス情報の接続可能性を監視する監視部と、
前記アドレス情報の接続可能性に基づいて、1以上のセキュリティ検査実行用端末に、アドレス情報の更新を依頼するための情報を送信する依頼部と、を更に備え、
前記1以上のセキュリティ検査実行用端末は、前記更新を依頼するための前記情報に基づいて、アドレス情報の更新を要求するための情報を、前記アドレス管理装置に送信する、付記9又は10記載のアドレス管理システム。
(付記12)
前記アドレス管理装置の前記取得部は、前記更新を要求するための前記情報に応じて、対応するセキュリティ検査実行用端末に関するアドレス情報を更新する、付記11記載のアドレス管理システム。
(付記13)
セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得することと、
前記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、前記ネットワークノードに、前記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開することと、
を備えるアドレス管理方法。
(付記14)
前記アドレス情報の接続可能性を監視することと、
前記アドレス情報の接続可能性に基づいて、前記1以上のセキュリティ検査実行用端末に、アドレス情報の更新を依頼するための情報を送信することと、を更に備える、付記13記載のアドレス管理方法。
(付記15)
セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得することと、
前記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、前記ネットワークノードに、前記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開することと、
をコンピュータに実行させるプログラム。
セキュリティ検査実行用端末のアドレス情報が変更されても、セキュリティ検査実行用端末の真正性を適切に確保してセキュリティ検査を実行するための環境を提供することが可能になる。
1 アドレス管理システム
2 インターネット
20 セキュリティ検査対象システム
21 ネットワークノード
22 セキュリティ装置
30、30a、30b、30c セキュリティ検査実行用端末30
100 アドレス管理装置
131、151 取得部
133、153 公開処理部
135 監視部
1351 送信処理部
1353 受信処理部
1355 判断処理部
137 依頼部
139 承認部
141 制御情報送信処理部

Claims (15)

  1. セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得する取得手段と、
    前記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、前記ネットワークノードに、前記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開する公開処理手段と、
    を備えるアドレス管理装置。
  2. 前記アドレス情報の接続可能性を監視する監視手段と、
    前記アドレス情報の接続可能性に基づいて、前記1以上のセキュリティ検査実行用端末に、アドレス情報の更新を依頼するための情報を送信する依頼手段と、を更に備える、請求項1記載のアドレス管理装置。
  3. 前記監視手段は、
    前記アドレス情報の接続可能性を監視するためのエコー要求メッセージを、対応するセキュリティ検査実行用端末に送信する送信処理手段と、
    前記対応するセキュリティ検査実行用端末から、前記エコー要求メッセージに対するエコー応答メッセージを受信する受信処理手段と、
    前記エコー要求メッセージに関する受信状況に基づいて、前記対応するセキュリティ検査実行用端末に関するアドレス情報の接続可能性が有効又は無効であると判断する判断処理手段とを備える、請求項2記載のアドレス管理装置。
  4. 前記監視手段は、前記対応するセキュリティ検査実行用端末に関するアドレス情報の更新履歴に基づいて、前記対応するセキュリティ検査実行用端末へのエコー要求メッセージの送信頻度を設定する、請求項3記載のアドレス管理装置。
  5. 前記依頼手段は、前記対応するセキュリティ検査実行用端末に関する前記アドレス情報の接続可能性が無効である場合に、前記対応するセキュリティ検査実行用端末に、アドレス情報の更新を依頼するための情報を送信する、請求項3又は4記載のアドレス管理装置。
  6. 前記監視手段は、前記1以上のセキュリティ検査実行用端末により行われるセキュリティ検査に関する画像情報を更に監視し、
    前記公開処理手段は、前記ネットワークノードからの要求に応じて、前記ネットワークノードに、前記セキュリティ検査に関する画像情報を公開する、請求項2乃至5のうち何れか1項記載のアドレス管理装置。
  7. 前記ネットワークノードからの通知情報に基づいて、対応するセキュリティ検査実行用端末による前記セキュリティ検査のためのアクセスを承認する承認手段を更に備える、請求項1乃至6のうち何れか1項記載のアドレス管理装置。
  8. 前記対応するセキュリティ検査実行用端末による前記セキュリティ検査のためのアクセスのための制御情報を、前記セキュリティ検査対象システムへのアクセスを制御するネットワークノードに送信する制御情報送信処理手段を更に備える、請求項7記載のアドレス管理装置。
  9. セキュリティ検査対象システムと、
    前記セキュリティ検査対象システムの管理を行うネットワークノードと、
    前記セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末と、
    前記1以上のセキュリティ検査実行用端末に関するアドレス情報を管理するアドレス管理装置と、を備え、
    前記アドレス管理装置は、
    前記1以上のセキュリティ検査実行用端末に関するアドレス情報を取得する取得手段と、
    前記ネットワークノードからの要求に応じて、前記ネットワークノードに、前記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開する公開処理手段と、を有する、アドレス管理システム。
  10. 前記1以上のセキュリティ検査実行用端末は、対応するアドレス情報を識別するための識別用情報を、前記ネットワークノードに通知し、
    前記ネットワークノードは、前記識別用情報を用いて前記要求を行うことにより、前記アドレス管理装置が有する前記公開処理手段により公開されるアドレス情報を取得する、請求項9記載のアドレス管理システム。
  11. 前記アドレス管理装置は、
    前記アドレス情報の接続可能性を監視する監視手段と、
    前記アドレス情報の接続可能性に基づいて、1以上のセキュリティ検査実行用端末に、アドレス情報の更新を依頼するための情報を送信する依頼手段と、を更に備え、
    前記1以上のセキュリティ検査実行用端末は、前記更新を依頼するための前記情報に基づいて、アドレス情報の更新を要求するための情報を、前記アドレス管理装置に送信する、請求項9又は10記載のアドレス管理システム。
  12. 前記アドレス管理装置の前記取得手段は、前記更新を要求するための前記情報に応じて、対応するセキュリティ検査実行用端末に関するアドレス情報を更新する、請求項11記載のアドレス管理システム。
  13. アドレス管理装置が備えるプロセッサにより行われるアドレス管理方法であって、
    セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得することと、
    前記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、前記ネットワークノードに、前記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開することと、
    を備えるアドレス管理方法。
  14. 前記アドレス情報の接続可能性を監視することと、
    前記アドレス情報の接続可能性に基づいて、前記1以上のセキュリティ検査実行用端末に、アドレス情報の更新を依頼するための情報を送信することと、を更に備える、請求項13記載のアドレス管理方法。
  15. セキュリティ検査対象システムに対するセキュリティ検査のためのアクセスを行う1以上のセキュリティ検査実行用端末に関するアドレス情報を取得することと、
    前記セキュリティ検査対象システムの管理を行うネットワークノードからの要求に応じて、前記ネットワークノードに、前記1以上のセキュリティ検査実行用端末に関するアドレス情報を公開することと、
    をコンピュータに実行させるプログラム。
JP2022566580A 2020-12-03 2020-12-03 アドレス管理装置、アドレス管理システム、アドレス管理方法及びプログラム Active JP7464148B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2020/045065 WO2022118433A1 (ja) 2020-12-03 2020-12-03 アドレス管理装置、アドレス管理システム、アドレス管理方法及びプログラム

Publications (3)

Publication Number Publication Date
JPWO2022118433A1 JPWO2022118433A1 (ja) 2022-06-09
JPWO2022118433A5 JPWO2022118433A5 (ja) 2023-06-19
JP7464148B2 true JP7464148B2 (ja) 2024-04-09

Family

ID=81853036

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022566580A Active JP7464148B2 (ja) 2020-12-03 2020-12-03 アドレス管理装置、アドレス管理システム、アドレス管理方法及びプログラム

Country Status (3)

Country Link
US (1) US20240031412A1 (ja)
JP (1) JP7464148B2 (ja)
WO (1) WO2022118433A1 (ja)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004259020A (ja) 2003-02-26 2004-09-16 Kyocera Communication Systems Co Ltd 認証システム、プログラム、記録媒体および認証方法
JP2004356787A (ja) 2003-05-28 2004-12-16 Hitachi Ltd セキュリティ検査システム
JP2006268492A (ja) 2005-03-24 2006-10-05 Fujitsu Ltd プログラム、クライアント認証要求方法、サーバ認証要求処理方法、クライアント及びサーバ
JP2014191440A (ja) 2013-03-26 2014-10-06 Fujitsu Ltd プログラム、診断方法及び診断システム
US20180349615A1 (en) 2013-08-05 2018-12-06 Netflix, Inc. Dynamic security testing

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004259020A (ja) 2003-02-26 2004-09-16 Kyocera Communication Systems Co Ltd 認証システム、プログラム、記録媒体および認証方法
JP2004356787A (ja) 2003-05-28 2004-12-16 Hitachi Ltd セキュリティ検査システム
JP2006268492A (ja) 2005-03-24 2006-10-05 Fujitsu Ltd プログラム、クライアント認証要求方法、サーバ認証要求処理方法、クライアント及びサーバ
JP2014191440A (ja) 2013-03-26 2014-10-06 Fujitsu Ltd プログラム、診断方法及び診断システム
US20180349615A1 (en) 2013-08-05 2018-12-06 Netflix, Inc. Dynamic security testing

Also Published As

Publication number Publication date
WO2022118433A1 (ja) 2022-06-09
US20240031412A1 (en) 2024-01-25
JPWO2022118433A1 (ja) 2022-06-09

Similar Documents

Publication Publication Date Title
US20210105304A1 (en) Network asset lifecycle management
Jia et al. Burglars’ iot paradise: Understanding and mitigating security risks of general messaging protocols on iot clouds
CN107135073B (zh) 接口调用方法和装置
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
US8479268B2 (en) Securing asynchronous client server transactions
JP2016129037A (ja) アプリケーション証明のためのシステムおよび方法
US8219496B2 (en) Method of and apparatus for ascertaining the status of a data processing environment
EP2348440A2 (en) Collaborative malware detection and prevention on mobile devices
US10237057B2 (en) Method and system for controlling the exchange of privacy-sensitive information
JP5631940B2 (ja) 情報処理装置、方法、プログラム
Tseng et al. Threat analysis for wearable health devices and environment monitoring internet of things integration system
CN108027856B (zh) 使用可信平台模块来建立攻击信息的实时指示器
CN114938288A (zh) 一种数据访问方法、装置、设备以及存储介质
CN114125027A (zh) 一种通信建立方法、装置、电子设备及存储介质
KR101522139B1 (ko) DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법
CN102402660A (zh) 获取受保护内容中的明确权限
JP7464148B2 (ja) アドレス管理装置、アドレス管理システム、アドレス管理方法及びプログラム
KR20150049457A (ko) 인증 정보 관리 방법 및 장치
KR20160012546A (ko) 이동단말기의 원격제어시스템
CN113868670A (zh) 一种漏洞检测流程检验方法及系统
Phumkaew et al. Android forensic and security assessment for hospital and stock-and-trade applications in thailand
Raja et al. Threat Modeling and IoT Attack Surfaces
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
KR20180031435A (ko) 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법
JPWO2017047087A1 (ja) データ検査システム、データ検査方法とそのプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230331

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240213

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240227

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240311

R150 Certificate of patent or registration of utility model

Ref document number: 7464148

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150