JPWO2018168822A1 - Security risk management device, security risk management method, and security risk management program - Google Patents

Security risk management device, security risk management method, and security risk management program Download PDF

Info

Publication number
JPWO2018168822A1
JPWO2018168822A1 JP2019506031A JP2019506031A JPWO2018168822A1 JP WO2018168822 A1 JPWO2018168822 A1 JP WO2018168822A1 JP 2019506031 A JP2019506031 A JP 2019506031A JP 2019506031 A JP2019506031 A JP 2019506031A JP WO2018168822 A1 JPWO2018168822 A1 JP WO2018168822A1
Authority
JP
Japan
Prior art keywords
security risk
risk
security
countermeasure
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2019506031A
Other languages
Japanese (ja)
Inventor
貴大 辻井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2018168822A1 publication Critical patent/JPWO2018168822A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Software Systems (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Economics (AREA)
  • Tourism & Hospitality (AREA)
  • Educational Administration (AREA)
  • Quality & Reliability (AREA)
  • General Business, Economics & Management (AREA)
  • Operations Research (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

セキュリティリスク管理装置20は、セキュリティリスクが存在する管理対象端末に対して管理対象端末の稼働状況を示す情報である稼働情報を収集するように指示する指示部21と、セキュリティリスクへの対策であるリスク対策が適用された時に管理対象端末が提供するサービスに支障が生じるか否かを収集された稼働情報および収集された稼働情報に対応する判定式を用いて判定する判定部22と、サービスに支障が生じないと判定されたリスク対策を管理対象端末に割り当てる割当部23とを備える。The security risk management device 20 is an instruction unit 21 that instructs a management target terminal having a security risk to collect operation information that is information indicating an operation status of the management target terminal, and a countermeasure against the security risk. A determination unit 22 that determines whether or not a service provided by a managed terminal when a risk countermeasure is applied is interrupted by using the collected operation information and a determination formula corresponding to the collected operation information; And an assigning unit 23 that assigns risk countermeasures determined not to cause trouble to managed terminals.

Description

本発明は、セキュリティリスク管理装置、セキュリティリスク管理方法およびセキュリティリスク管理プログラムに関し、特にセキュリティリスクへの対策の選択を支援するセキュリティリスク管理装置、セキュリティリスク管理方法およびセキュリティリスク管理プログラムに関する。   The present invention relates to a security risk management device, a security risk management method, and a security risk management program, and more particularly to a security risk management device, a security risk management method, and a security risk management program that support selection of countermeasures against security risks.

セキュリティ管理者には、組織が保有するIT(Information Technology)資産において脆弱性や脅威等のセキュリティリスクが発見された場合、速やかに何らかの対策を講じることによって発見されたセキュリティリスクを取り除くことが求められる。   When security risks such as vulnerabilities and threats are discovered in IT (Information Technology) assets held by organizations, security managers are required to remove the security risks discovered by taking some measures immediately. .

ただし、セキュリティ管理者には、対策が適用されることによって業務が停止するような事態が生じないように考慮することが求められる。すなわち、セキュリティ管理者には、業務に影響が及ばないような対策を選択することが求められる。   However, the security administrator is required to consider so that the situation where the work is stopped due to the application of countermeasures will not occur. That is, the security administrator is required to select measures that do not affect the business.

しかし、対策が適用されることによって影響が生じるか否かは、各端末の利用状況に依存する。よって、セキュリティ管理者には、各端末にとって適切な対策を選択するために各端末の利用状況をそれぞれ確認した上で対策を選択することが求められる。   However, whether or not an effect is generated by applying a countermeasure depends on the usage status of each terminal. Therefore, the security administrator is required to select a countermeasure after confirming the usage status of each terminal in order to select an appropriate countermeasure for each terminal.

各端末にとって適切な対策を選択するために、セキュリティ管理者は、例えばセキュリティリスク管理装置を使用する。セキュリティリスク管理装置は、端末の構成情報を収集し、収集された構成情報を基に端末に存在する脆弱性や脅威等のセキュリティリスクを検知する装置である。また、セキュリティリスク管理装置は、検知されたセキュリティリスクが取り除かれるための対策を提示する。   In order to select an appropriate measure for each terminal, the security administrator uses, for example, a security risk management device. The security risk management device is a device that collects terminal configuration information and detects security risks such as vulnerabilities and threats existing in the terminal based on the collected configuration information. Further, the security risk management device presents a countermeasure for removing the detected security risk.

特許文献1〜特許文献2には、セキュリティリスク管理装置の例が記載されている。特許文献1には、脆弱性や脅威が引き起こす可能性があるリスクと、対策の適用による可用性への影響度を評価することによって適切な対策を選択し提示するセキュリティリスク管理システムが記載されている。   Patent Documents 1 to 2 describe examples of security risk management devices. Patent Document 1 describes a security risk management system that selects and presents appropriate measures by evaluating risks that may be caused by vulnerabilities and threats, and the impact on availability of measures applied. .

また、特許文献2には、不正プログラムに適切に対処し、かつ対象システムへの適用時における業務処理への悪影響を回避できる駆除プログラムを効率的に生成する不正プログラム対策システムが記載されている。   Patent Document 2 describes a malicious program countermeasure system that efficiently generates a removal program capable of appropriately dealing with a malicious program and avoiding adverse effects on business processing when applied to a target system.

特許第5125069号公報Japanese Patent No. 5125069 特開2016−099857号公報JP 2006-099857 A

上記のセキュリティリスク管理装置の例には、それぞれ以下のような課題がある。   Each of the above examples of the security risk management apparatus has the following problems.

特許文献1には、可用性への影響度の具体的な設定方法が記載されていない。すなわち、特許文献1に記載されているセキュリティリスク管理装置が、対策の適用による可用性への影響度を常に適切に評価するとは限らない。   Patent Document 1 does not describe a specific method for setting the degree of influence on availability. That is, the security risk management device described in Patent Literature 1 does not always appropriately evaluate the degree of influence on availability due to application of countermeasures.

また、特許文献2に記載されている不正プログラム対策システムでは、駆除プログラムを効率的に生成する上で、対象システムの稼働情報を取得することが想定されていない。
すなわち、特許文献2に記載されている不正プログラム対策システムが生成する駆除プログラムには、対象システムの稼働状況が反映されていない可能性がある。Further, in the malicious program countermeasure system described in Patent Document 2, it is not assumed that the operation information of the target system is acquired in efficiently generating the removal program.
That is, there is a possibility that the operation status of the target system is not reflected in the removal program generated by the anti-malware countermeasure system described in Patent Document 2.

対象端末の稼働情報が自動的に取得されない場合、セキュリティ管理者には、各端末の稼働状況をそれぞれ確認した上で対策を手動で選択することが求められる。管理端末が多く存在する場合、セキュリティ管理者が対策を手動で選択すると選択に多くの時間を要するという課題がある。   When the operation information of the target terminal is not automatically acquired, the security administrator is required to manually select a countermeasure after confirming the operation status of each terminal. When there are many management terminals, there is a problem that when a security administrator manually selects a countermeasure, a long time is required for selection.

また、セキュリティリスク管理装置は、脆弱性や脅威への複数の対策を提示する場合がある。複数の対策が提示された場合、セキュリティ管理者には、提示された対策の中で最も適切な対策を選択することが求められる。しかし、選択が困難である場合、セキュリティ管理者が最も適切な対策を選択するために多くの時間を要するという課題がある。   In addition, the security risk management apparatus may present a plurality of countermeasures against vulnerabilities and threats. When multiple countermeasures are presented, the security administrator is required to select the most appropriate countermeasure from the presented countermeasures. However, when the selection is difficult, there is a problem that it takes a long time for the security administrator to select the most appropriate countermeasure.

[発明の目的]
そこで、本発明は、上述した課題を解決する、管理対象システムの可用性が考慮されたセキュリティリスク対策を迅速に選択できるセキュリティリスク管理装置、セキュリティリスク管理方法およびセキュリティリスク管理プログラムを提供することを目的とする。[Object of invention]
Therefore, the present invention aims to provide a security risk management apparatus, a security risk management method, and a security risk management program that can quickly select a security risk countermeasure that takes into account the availability of a managed system and solves the above-described problems. And

本発明によるセキュリティリスク管理装置は、セキュリティリスクが存在する管理対象端末に対して管理対象端末の稼働状況を示す情報である稼働情報を収集するように指示する指示部と、セキュリティリスクへの対策であるリスク対策が適用された時に管理対象端末が提供するサービスに支障が生じるか否かを収集された稼働情報および収集された稼働情報に対応する判定式を用いて判定する判定部と、サービスに支障が生じないと判定されたリスク対策を管理対象端末に割り当てる割当部とを備えることを特徴とする。   The security risk management device according to the present invention includes an instruction unit for instructing a management target terminal having a security risk to collect operation information that is information indicating an operation status of the management target terminal, and a countermeasure against the security risk. A determination unit that determines whether the service provided by the managed terminal is affected when a certain risk countermeasure is applied, using the collected operation information and a determination formula corresponding to the collected operation information, and a service And an allocating unit that allocates risk measures determined to be unaffected to managed terminals.

本発明によるセキュリティリスク管理方法は、セキュリティリスクが存在する管理対象端末に対して管理対象端末の稼働状況を示す情報である稼働情報を収集するように指示し、セキュリティリスクへの対策であるリスク対策が適用された時に管理対象端末が提供するサービスに支障が生じるか否かを収集された稼働情報および収集された稼働情報に対応する判定式を用いて判定し、サービスに支障が生じないと判定されたリスク対策を管理対象端末に割り当てることを特徴とする。   The security risk management method according to the present invention instructs a managed terminal having a security risk to collect operation information, which is information indicating the operation status of the managed terminal, and is a risk countermeasure that is a countermeasure against the security risk. Determine whether the service provided by the managed terminal will be disrupted using the collected operation information and the judgment formula corresponding to the collected operation information, and determine that the service will not interfere The assigned risk countermeasures are assigned to managed terminals.

本発明によるセキュリティリスク管理プログラムは、コンピュータに、セキュリティリスクが存在する管理対象端末に対して管理対象端末の稼働状況を示す情報である稼働情報を収集するように指示する指示処理、セキュリティリスクへの対策であるリスク対策が適用された時に管理対象端末が提供するサービスに支障が生じるか否かを収集された稼働情報および収集された稼働情報に対応する判定式を用いて判定する判定処理、およびサービスに支障が生じないと判定されたリスク対策を管理対象端末に割り当てる割当処理を実行させることを特徴とする。   The security risk management program according to the present invention is directed to a computer that instructs a management target terminal having a security risk to collect operation information that is information indicating an operation status of the management target terminal. A determination process for determining whether or not a service provided by a managed terminal is impaired when a risk countermeasure, which is a countermeasure, is applied, using a collected operation information and a determination formula corresponding to the collected operation information; and An allocation process for allocating risk countermeasures determined to have no trouble in service to managed terminals is executed.

本発明によれば、管理対象システムの可用性が考慮されたセキュリティリスク対策を迅速に選択できる。   ADVANTAGE OF THE INVENTION According to this invention, the security risk countermeasure which considered the availability of the management object system can be selected rapidly.

本発明によるセキュリティリスク管理装置の第1の実施形態の構成例を示すブロック図である。It is a block diagram which shows the structural example of 1st Embodiment of the security risk management apparatus by this invention. 第1の実施形態のセキュリティリスク管理装置20による割当処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the allocation process by the security risk management apparatus 20 of 1st Embodiment. 本発明によるセキュリティリスク管理システムの第2の実施形態の構成例を示すブロック図である。It is a block diagram which shows the structural example of 2nd Embodiment of the security risk management system by this invention. セキュリティインテリジェンスの例を示す説明図である。It is explanatory drawing which shows the example of security intelligence. 業務影響判定画面の例を示す説明図である。It is explanatory drawing which shows the example of a work influence determination screen. 第2の実施形態のセキュリティリスク管理システム10によるセキュリティリスク対策適用処理の全体動作を示すフローチャートである。It is a flowchart which shows the whole operation | movement of the security risk countermeasure application process by the security risk management system 10 of 2nd Embodiment. 第2の実施形態のセキュリティリスク管理装置100によるセキュリティリスク判定処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the security risk determination process by the security risk management apparatus 100 of 2nd Embodiment. 第2の実施形態のセキュリティリスク管理装置100によるセキュリティリスク対策割当処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the security risk countermeasure allocation process by the security risk management apparatus 100 of 2nd Embodiment. 業務影響判定結果画面の例を示す説明図である。It is explanatory drawing which shows the example of a work influence determination result screen. 第2の実施形態のセキュリティリスク管理システム10によるセキュリティリスク対策適用処理の動作を示すフローチャートである。It is a flowchart which shows the operation | movement of the security risk countermeasure application process by the security risk management system 10 of 2nd Embodiment.

実施形態1.
以下、本発明の実施形態を、図面を参照して説明する。図1は、本発明によるセキュリティリスク管理装置の第1の実施形態の構成例を示すブロック図である。本発明によるセキュリティリスク管理装置20は、セキュリティリスクが存在する管理対象端末に対して管理対象端末の稼働状況を示す情報である稼働情報を収集するように指示する指示部21(例えば、業務影響判定部105)と、セキュリティリスクへの対策であるリスク対策が適用された時に管理対象端末が提供するサービスに支障が生じるか否かを収集された稼働情報および収集された稼働情報に対応する判定式を用いて判定する判定部22(例えば、業務影響判定部105)と、サービスに支障が生じないと判定されたリスク対策を管理対象端末に割り当てる割当部23(例えば、業務影響判定部105)とを備える。Embodiment 1. FIG.
Embodiments of the present invention will be described below with reference to the drawings. FIG. 1 is a block diagram showing a configuration example of a first embodiment of a security risk management apparatus according to the present invention. The security risk management apparatus 20 according to the present invention instructs the management target terminal having the security risk to instruct to collect the operation information that is the information indicating the operation status of the management target terminal (for example, business impact determination). Part 105) and whether the service provided by the managed terminal is affected when a risk countermeasure that is a countermeasure against the security risk is applied, the collected operation information and the judgment formula corresponding to the collected operation information A determination unit 22 (for example, a business effect determination unit 105) that is determined using a client, and an allocation unit 23 (for example, a business effect determination unit 105) that assigns a risk countermeasure that has been determined not to cause a problem to a service to a managed terminal. Is provided.

以下、セキュリティリスク管理装置20による割当処理を説明する。図2は、第1の実施形態のセキュリティリスク管理装置20による割当処理の動作を示すフローチャートである。   Hereinafter, the allocation process by the security risk management apparatus 20 will be described. FIG. 2 is a flowchart showing the operation of assignment processing by the security risk management apparatus 20 of the first embodiment.

最初に、指示部21は、セキュリティリスクが存在する管理対象端末に対して管理対象端末の稼働状況を示す情報である稼働情報を収集するように指示する(ステップS11 )。   First, the instruction unit 21 instructs a management target terminal having a security risk to collect operation information that is information indicating an operation status of the management target terminal (step S11).

次いで、指示部21は、収集された稼働情報を取得する(ステップS12 )。指示部21は、取得された稼働情報を判定部22に入力する。   Next, the instruction unit 21 acquires the collected operation information (step S12). The instruction unit 21 inputs the acquired operation information to the determination unit 22.

次いで、判定部22は、セキュリティリスクへの対策であるリスク対策が適用された時に管理対象端末が提供するサービスに支障が生じるか否かを収集された稼働情報および収集された稼働情報に対応する判定式を用いて判定する(ステップS13 )。   Next, the determination unit 22 corresponds to the collected operation information and the collected operation information whether or not the service provided by the management target terminal is hindered when a risk countermeasure that is a countermeasure against the security risk is applied. A determination is made using a determination formula (step S13).

次いで、割当部23は、サービスに支障が生じないと判定されたリスク対策を管理対象端末に割り当てる(ステップS14 )。割り当てた後、セキュリティリスク管理装置20は、割当処理を終了する。   Next, the assigning unit 23 assigns the risk countermeasures determined not to interfere with the service to the management target terminal (step S14). After the assignment, the security risk management apparatus 20 ends the assignment process.

そのような構成により、セキュリティリスク管理装置は、管理対象システムの可用性が考慮されたセキュリティリスク対策を迅速に選択できる。   With such a configuration, the security risk management apparatus can quickly select a security risk countermeasure in consideration of the availability of the managed system.

また、セキュリティリスク管理装置20は、管理対象端末にセキュリティリスクが存在するか否かを判定するセキュリティリスク判定部(例えば、セキュリティリスク判定部102)を備えてもよい。   Further, the security risk management device 20 may include a security risk determination unit (for example, the security risk determination unit 102) that determines whether or not a security risk exists in the management target terminal.

そのような構成により、セキュリティリスク管理装置は、管理対象端末にセキュリティリスクが存在するか否か判定できる。   With such a configuration, the security risk management apparatus can determine whether a security risk exists in the management target terminal.

また、指示部21は、管理対象端末に対して割り当てられたリスク対策を適用するように指示してもよい。   In addition, the instruction unit 21 may instruct the management target terminal to apply the assigned risk countermeasure.

そのような構成により、セキュリティリスク管理装置は、管理対象端末に割り当てられたセキュリティリスク対策を適用させることができる。   With such a configuration, the security risk management apparatus can apply the security risk countermeasure assigned to the management target terminal.

また、セキュリティリスク管理装置20は、判定式に使用されるパラメータが入力される入力手段を生成する生成部(例えば、画面データ生成部104)を備えてもよい。   Further, the security risk management apparatus 20 may include a generation unit (for example, the screen data generation unit 104) that generates an input unit for inputting parameters used in the determination formula.

そのような構成により、セキュリティリスク管理装置は、セキュリティ管理者の要求を判定式に反映できる。   With such a configuration, the security risk management apparatus can reflect the security administrator's request in the determination formula.

また、生成部は、管理対象端末と管理対象端末に割り当てられたリスク対策とを併せて表示する表示手段を生成してもよい。   The generation unit may generate display means for displaying the management target terminal and the risk countermeasures assigned to the management target terminal together.

そのような構成により、セキュリティリスク管理装置は、セキュリティ管理者に向けてセキュリティリスク対策の適用結果を表示できる。   With such a configuration, the security risk management apparatus can display the application result of the security risk countermeasure to the security manager.

また、セキュリティリスク管理装置20は、判定式を含むセキュリティリスク管理情報を記憶する記憶部(例えば、セキュリティインテリジェンス格納部107)を備えてもよい。   Further, the security risk management apparatus 20 may include a storage unit (for example, the security intelligence storage unit 107) that stores security risk management information including a determination formula.

そのような構成により、セキュリティリスク管理装置は、管理対象端末に様々なセキュリティリスク対策を割り当てることができる。   With such a configuration, the security risk management apparatus can assign various security risk countermeasures to the management target terminal.

実施形態2.
[構成の説明]
次に、本発明の第2の実施形態を、図面を参照して説明する。図3は、本発明によるセキュリティリスク管理システムの第2の実施形態の構成例を示すブロック図である。Embodiment 2. FIG.
[Description of configuration]
Next, a second embodiment of the present invention will be described with reference to the drawings. FIG. 3 is a block diagram showing a configuration example of the second embodiment of the security risk management system according to the present invention.

本実施形態のセキュリティリスク管理システムは、セキュリティリスク対策が業務に影響を及ぼすか否かを事前に影響判定条件式にパラメータを設定した上で一括で判定する。判定した後、セキュリティリスク管理システムは、業務に影響が及ばないセキュリティリスク対策を各端末に割り当てる。   The security risk management system according to the present embodiment collectively determines whether or not security risk countermeasures have an impact on business operations after setting parameters in an influence determination conditional expression in advance. After the determination, the security risk management system assigns to each terminal a security risk countermeasure that does not affect the business.

図3に示すように、セキュリティリスク管理システム10は、セキュリティリスク管理装置100と、管理対象端末200と、セキュリティ管理者用操作端末300とを含む。セキュリティリスク管理装置100は、サーバとしての役割を担う。   As shown in FIG. 3, the security risk management system 10 includes a security risk management device 100, a management target terminal 200, and a security administrator operation terminal 300. The security risk management apparatus 100 plays a role as a server.

また、図3に示すように、管理対象端末200には、セキュリティリスク管理部210がインストールされている。セキュリティリスク管理部210は、エージェントとしての役割を担う。   As shown in FIG. 3, a security risk management unit 210 is installed in the management target terminal 200. The security risk management unit 210 plays a role as an agent.

セキュリティリスク管理装置100は、管理対象端末200に存在するセキュリティリスクを検知し、検知されたセキュリティリスクを取り除く装置である。図3に示すように、セキュリティリスク管理装置100は、サーバ送受信部101と、セキュリティリスク判定部102と、対策指示部103と、画面データ生成部104と、業務影響判定部105と、影響判定パラメータ受取部106と、セキュリティインテリジェンス格納部107とを有する。   The security risk management device 100 is a device that detects a security risk existing in the management target terminal 200 and removes the detected security risk. As shown in FIG. 3, the security risk management apparatus 100 includes a server transmission / reception unit 101, a security risk determination unit 102, a countermeasure instruction unit 103, a screen data generation unit 104, a work impact determination unit 105, and an impact determination parameter. It has a receiving unit 106 and a security intelligence storage unit 107.

サーバ送受信部101は、セキュリティリスク管理装置100以外の装置と情報の送受信を行う機能を有する。   The server transmission / reception unit 101 has a function of transmitting / receiving information to / from apparatuses other than the security risk management apparatus 100.

セキュリティリスク判定部102は、管理対象端末200にセキュリティリスクが存在するか否かを判定する機能を有する。   The security risk determination unit 102 has a function of determining whether a security risk exists in the management target terminal 200.

対策指示部103は、管理対象端末200に対して選択されたセキュリティリスク対策の実行を指示する機能を有する。   The countermeasure instruction unit 103 has a function of instructing the management target terminal 200 to execute the selected security risk countermeasure.

画面データ生成部104は、セキュリティ管理者用操作端末300に入力される画面を生成する機能を有する。   The screen data generation unit 104 has a function of generating a screen input to the security administrator operation terminal 300.

業務影響判定部105は、セキュリティリスク対策が適用されると業務に影響が及ぶか否かを判定する業務影響判定を行う機能を有する。業務に影響が及ぶ場合は、例えば、管理対象端末200が提供するサービスに支障が生じる場合である。   The business impact determination unit 105 has a function of performing business impact determination to determine whether or not the business is affected when security risk countermeasures are applied. The case where the business is affected is, for example, a case where trouble occurs in the service provided by the management target terminal 200.

影響判定パラメータ受取部106は、業務影響判定部105による業務に影響が及ぶか否かの判定に要するパラメータをセキュリティ管理者から受け取る機能を有する。   The influence determination parameter receiving unit 106 has a function of receiving, from the security administrator, parameters necessary for determining whether the business influence determination unit 105 affects the business.

セキュリティインテリジェンス格納部107は、複数のセキュリティインテリジェンスを格納する機能を有する。図3に示すように、セキュリティインテリジェンスは、リスク調査方法と、リスク対策と、影響判定条件式と、稼働情報取得方法とで構成されている。   The security intelligence storage unit 107 has a function of storing a plurality of security intelligences. As shown in FIG. 3, the security intelligence is composed of a risk investigation method, a risk countermeasure, an influence determination conditional expression, and an operation information acquisition method.

リスク調査方法は、セキュリティリスクが存在するか否かを調査する方法を示す。また、リスク対策は、セキュリティリスクへの対策を示す。   The risk investigation method indicates a method of investigating whether or not a security risk exists. Risk countermeasures indicate countermeasures against security risks.

また、影響判定条件式は、セキュリティリスクへの対策が業務に影響を及ぼすか否かの判定に使用される条件式を示す。また、稼働情報取得方法は、セキュリティリスクへの対策が業務に影響を及ぼすか否かの判定に使用される稼働情報を取得する方法を示す。   The influence determination conditional expression is a conditional expression used for determining whether or not a countermeasure against a security risk affects a business. In addition, the operation information acquisition method indicates a method of acquiring operation information used for determining whether or not a countermeasure against a security risk affects business.

図4は、セキュリティインテリジェンスの例を示す説明図である。図4に示すセキュリティインテリジェンスは、1つのリスク調査方法に対応する。   FIG. 4 is an explanatory diagram showing an example of security intelligence. The security intelligence shown in FIG. 4 corresponds to one risk investigation method.

図4に示すリスク調査方法は、パッチ適用履歴を参照することによって、脆弱性に対する修正パッチAが適用されているか否かを確認する方法である。また、図4に示すように、修正パッチAが適用されていない場合の脆弱性に対するリスク対策として、「パッチを適用して再起動」、「ポートxxx を閉じる」、「プロセスyyy を停止」、「アプリzzz を停止」の4種類の対策が存在する。   The risk investigation method shown in FIG. 4 is a method for confirming whether or not the patch A for vulnerability is applied by referring to the patch application history. In addition, as shown in FIG. 4, as countermeasures against vulnerabilities when the patch A is not applied, “patch and restart”, “close port xxx”, “stop process yyy”, There are four types of countermeasures: “Stop app zzz”.

図4に示すリスク対策は、セキュリティリスクを有効に低減させる順に並べられている。なお、リスク対策は、図4に示す例における規則以外の規則に従って並べられていてもよい。   The risk countermeasures shown in FIG. 4 are arranged in the order of effectively reducing the security risk. The risk countermeasures may be arranged according to a rule other than the rule in the example shown in FIG.

また、図4に示すように、各リスク対策に対して影響判定条件式が用意されている。例えば、「パッチを適用して再起動」に対する影響判定条件式は、「平均連続稼働時間<x1 (時間)」である。なお、図4に示すx1、x2、x3、x4はそれぞれ、セキュリティ管理者が業務への影響を考慮した上で設定するパラメータである。   Moreover, as shown in FIG. 4, an influence determination conditional expression is prepared for each risk countermeasure. For example, an influence determination conditional expression for “restart by applying a patch” is “average continuous operation time <x1 (time)”. Note that x1, x2, x3, and x4 shown in FIG. 4 are parameters set by the security administrator in consideration of the influence on business.

また、図4に示すように、稼働情報収集方法には、影響判定条件式による評価で使用される稼働情報を取得する方法が記載されている。例えば、「平均連続稼働時間<x1 (時間)」に対する稼働情報収集方法は、「ログAAA から起動とシャットダウン履歴を取得し平均連続稼働時間を計算する」である。   As shown in FIG. 4, the operation information collection method describes a method for acquiring operation information used in the evaluation based on the influence determination conditional expression. For example, the operation information collection method for “average continuous operation time <x1 (hour)” is “obtain startup and shutdown history from log AAA and calculate average continuous operation time”.

なお、リスク調査方法、リスク対策、影響判定条件式、および稼働情報収集方法の内容は、図4に示すリスク調査方法、リスク対策、影響判定条件式、および稼働情報収集方法の内容以外の内容でもよい。   Note that the contents of the risk investigation method, risk countermeasures, impact determination conditional expression, and operation information collection method may be other than the contents of the risk investigation method, risk countermeasure, impact determination conditional expression, and operation information collection method shown in FIG. Good.

管理対象端末200は、セキュリティリスク管理対象の端末である。図3に示すように、管理対象端末200には、セキュリティリスク管理部210がインストールされている。セキュリティリスク管理部210は、セキュリティリスク管理装置100から指示を受けてセキュリティリスクへの対策を行う。   The management target terminal 200 is a terminal subject to security risk management. As shown in FIG. 3, a security risk management unit 210 is installed in the management target terminal 200. The security risk management unit 210 receives an instruction from the security risk management apparatus 100 and takes measures against the security risk.

図3に示すように、セキュリティリスク管理部210は、リスク情報収集部211と、稼働情報収集部212と、対策実行部213と、エージェント送受信部214とを有する。   As illustrated in FIG. 3, the security risk management unit 210 includes a risk information collection unit 211, an operation information collection unit 212, a countermeasure execution unit 213, and an agent transmission / reception unit 214.

リスク情報収集部211は、セキュリティリスクが存在するか否かの判定に使用される管理対象端末200の構成情報を収集する機能を有する。   The risk information collection unit 211 has a function of collecting configuration information of the management target terminal 200 used for determining whether or not a security risk exists.

稼働情報収集部212は、業務に影響が及ぶか否かの判定に使用される管理対象端末200の稼働情報を収集する機能を有する。   The operation information collection unit 212 has a function of collecting operation information of the management target terminal 200 that is used to determine whether or not business is affected.

対策実行部213は、セキュリティリスク管理装置100から割り当てられたリスク対策を実行する機能を有する。   The countermeasure execution unit 213 has a function of executing a risk countermeasure assigned by the security risk management apparatus 100.

エージェント送受信部214は、セキュリティリスク管理装置100と情報の送受信を行う機能を有する。   The agent transmission / reception unit 214 has a function of transmitting / receiving information to / from the security risk management apparatus 100.

セキュリティ管理者用操作端末300は、セキュリティ管理者がセキュリティリスク管理装置100を操作するために使用する端末である。また、セキュリティ管理者用操作端末300は、セキュリティ管理者に向けて業務影響判定画面を表示する。   The security administrator operation terminal 300 is a terminal used by the security administrator to operate the security risk management apparatus 100. Further, the security administrator operation terminal 300 displays a business effect determination screen for the security administrator.

図5は、業務影響判定画面の例を示す説明図である。図5に示す業務影響判定画面は、図4に示すセキュリティインテリジェンスに対応している。   FIG. 5 is an explanatory diagram illustrating an example of a business effect determination screen. The business effect determination screen shown in FIG. 5 corresponds to the security intelligence shown in FIG.

図5に示す業務影響判定画面では、リスク対策と、各リスク対策に関する影響判定条件式とが表示されている。また、図5に示す各影響判定条件式のパラメータの部分は、入力欄である。   In the business impact determination screen shown in FIG. 5, risk countermeasures and impact determination conditional expressions related to each risk countermeasure are displayed. The parameter portion of each influence determination conditional expression shown in FIG. 5 is an input field.

本実施形態のセキュリティリスク管理装置100は、セキュリティリスク対策が適用されることによって業務に影響が及ぶか否かが判定される影響判定条件式を用いて、複数の管理対象端末にセキュリティリスク対策を一括で割り当てる。よって、セキュリティリスク管理装置100は、複数の管理対象端末に対して可用性が考慮されたセキュリティリスク対策を一括で割り当てることができる。   The security risk management apparatus 100 according to the present embodiment applies security risk countermeasures to a plurality of managed terminals using an impact determination conditional expression that determines whether or not business operations are affected by application of security risk countermeasures. Assign all at once. Therefore, the security risk management apparatus 100 can collectively assign security risk countermeasures considering availability to a plurality of management target terminals.

[動作の説明]
以下、本実施形態のセキュリティリスク管理システム10の動作を図6〜図8、図10を参照して説明する。[Description of operation]
Hereinafter, the operation of the security risk management system 10 of this embodiment will be described with reference to FIGS.

最初に、本実施形態のセキュリティリスク管理システム10の全体動作を図6を参照して説明する。図6は、第2の実施形態のセキュリティリスク管理システム10によるセキュリティリスク対策適用処理の全体動作を示すフローチャートである。   First, the overall operation of the security risk management system 10 of this embodiment will be described with reference to FIG. FIG. 6 is a flowchart showing the overall operation of the security risk countermeasure application processing by the security risk management system 10 of the second embodiment.

最初に、セキュリティリスク管理装置100は、管理対象端末200にセキュリティリスクが存在するか否かを判定する(ステップS110)。セキュリティリスクが存在しないと判定された場合(ステップS120におけるNo)、セキュリティリスク管理システム10は、セキュリティリスク対策適用処理を終了する。   First, the security risk management apparatus 100 determines whether there is a security risk in the management target terminal 200 (step S110). When it is determined that there is no security risk (No in step S120), the security risk management system 10 ends the security risk countermeasure application process.

セキュリティリスクが存在すると判定された場合(ステップS120におけるYes )、セキュリティリスク管理装置100は、管理対象端末200に適切なリスク対策を割り当てる(ステップS130)。   When it is determined that there is a security risk (Yes in step S120), the security risk management apparatus 100 assigns an appropriate risk countermeasure to the management target terminal 200 (step S130).

次いで、セキュリティリスク管理部210は、割り当てられたリスク対策を管理対象端末200に適用する(ステップS140)。適用した後、セキュリティリスク管理システム10は、セキュリティリスク対策適用処理を終了する。   Next, the security risk management unit 210 applies the assigned risk countermeasure to the management target terminal 200 (step S140). After the application, the security risk management system 10 ends the security risk countermeasure application process.

次に、ステップS110のセキュリティリスクが存在するか否かを判定する動作を図7を参照して説明する。図7は、第2の実施形態のセキュリティリスク管理装置100によるセキュリティリスク判定処理の動作を示すフローチャートである。   Next, the operation of determining whether or not there is a security risk in step S110 will be described with reference to FIG. FIG. 7 is a flowchart illustrating an operation of security risk determination processing by the security risk management apparatus 100 according to the second embodiment.

セキュリティリスク管理装置100のセキュリティリスク判定部102は、セキュリティインテリジェンス格納部107に格納されているセキュリティインテリジェンスに含まれているリスク調査方法を取得する(ステップS111)。セキュリティリスク判定部102は、取得されたリスク調査方法をサーバ送受信部101に入力する。   The security risk determination unit 102 of the security risk management apparatus 100 acquires a risk investigation method included in the security intelligence stored in the security intelligence storage unit 107 (step S111). The security risk determination unit 102 inputs the acquired risk investigation method to the server transmission / reception unit 101.

次いで、サーバ送受信部101は、入力されたリスク調査方法をセキュリティリスク管理部210のエージェント送受信部214に送信する(ステップS112)。   Next, the server transmission / reception unit 101 transmits the input risk investigation method to the agent transmission / reception unit 214 of the security risk management unit 210 (step S112).

次いで、エージェント送受信部214は、送信されたリスク調査方法を受信する。エージェント送受信部214は、受信されたリスク調査方法をリスク情報収集部211に入力する。   Next, the agent transmitting / receiving unit 214 receives the transmitted risk investigation method. The agent transmission / reception unit 214 inputs the received risk investigation method to the risk information collection unit 211.

次いで、リスク情報収集部211は、入力されたリスク調査方法を用いて管理対象端末200の構成情報を収集する(ステップS113)。次いで、リスク情報収集部211は、収集された構成情報をエージェント送受信部214に入力する。   Next, the risk information collection unit 211 collects the configuration information of the management target terminal 200 using the input risk investigation method (step S113). Next, the risk information collection unit 211 inputs the collected configuration information to the agent transmission / reception unit 214.

次いで、エージェント送受信部214は、入力された構成情報をサーバ送受信部101に送信する(ステップS114)。次いで、サーバ送受信部101は、送信された構成情報を受信する。サーバ送受信部101は、受信された構成情報をセキュリティリスク判定部102に入力する。   Next, the agent transmission / reception unit 214 transmits the input configuration information to the server transmission / reception unit 101 (step S114). Next, the server transmission / reception unit 101 receives the transmitted configuration information. The server transmission / reception unit 101 inputs the received configuration information to the security risk determination unit 102.

次いで、セキュリティリスク判定部102は、入力された構成情報と送信されたリスク調査方法とに基づいて、管理対象端末200にセキュリティリスクが存在するか否かを判定する(ステップS115)。判定した後、セキュリティリスク管理装置100は、セキュリティリスク判定処理を終了する。   Next, the security risk determination unit 102 determines whether there is a security risk in the managed terminal 200 based on the input configuration information and the transmitted risk investigation method (step S115). After the determination, the security risk management apparatus 100 ends the security risk determination process.

上述したように、セキュリティリスク判定処理において、セキュリティリスクが存在すると判定された管理対象端末200に対して、業務影響判定部105は、次のステップS130のセキュリティリスク対策割当処理を行う。また、セキュリティリスクが存在しないと判定された管理対象端末200に対して、セキュリティリスク管理システム10は、セキュリティリスク対策適用処理を終了する。   As described above, in the security risk determination process, the business effect determination unit 105 performs the security risk countermeasure allocation process in the next step S130 for the management target terminal 200 determined to have a security risk. Further, the security risk management system 10 ends the security risk countermeasure application process for the management target terminal 200 determined to have no security risk.

次に、ステップS130のリスク対策を割り当てる動作を図8を参照して説明する。図8は、第2の実施形態のセキュリティリスク管理装置100によるセキュリティリスク対策割当処理の動作を示すフローチャートである。   Next, the operation of assigning risk countermeasures in step S130 will be described with reference to FIG. FIG. 8 is a flowchart illustrating the operation of security risk countermeasure allocation processing by the security risk management apparatus 100 according to the second embodiment.

最初に、業務影響判定部105は、セキュリティインテリジェンス格納部107に格納されているセキュリティインテリジェンスを取得する(ステップS131)。業務影響判定部105は、取得されたセキュリティインテリジェンスを画面データ生成部104に入力する。   First, the business influence determination unit 105 acquires the security intelligence stored in the security intelligence storage unit 107 (step S131). The business influence determination unit 105 inputs the acquired security intelligence to the screen data generation unit 104.

次いで、画面データ生成部104は、入力されたセキュリティインテリジェンスを基に管理対象端末200に対して行われる業務影響判定の内容を表示する業務影響判定画面を生成する。次いで、画面データ生成部104は、生成された業務影響判定画面をサーバ送受信部101に入力する。   Next, the screen data generation unit 104 generates a business impact determination screen that displays the content of the business impact determination performed on the management target terminal 200 based on the input security intelligence. Next, the screen data generation unit 104 inputs the generated business effect determination screen to the server transmission / reception unit 101.

次いで、サーバ送受信部101は、入力された業務影響判定画面をセキュリティ管理者用操作端末300に送信する(ステップS132)。セキュリティ管理者用操作端末300は、送信された業務影響判定画面を受信する。   Next, the server transmission / reception unit 101 transmits the input business effect determination screen to the security administrator operation terminal 300 (step S132). The security administrator operation terminal 300 receives the transmitted business effect determination screen.

次いで、セキュリティ管理者用操作端末300は、受信された業務影響判定画面をセキュリティ管理者に向けて表示する。セキュリティ管理者用操作端末300は、例えば図5に示すような業務影響判定画面を表示する。   Next, the security administrator operation terminal 300 displays the received job influence determination screen for the security administrator. The security administrator operation terminal 300 displays a business effect determination screen as shown in FIG. 5, for example.

次いで、セキュリティ管理者用操作端末300は、セキュリティ管理者に向けてパラメータの入力を促すメッセージを業務影響判定画面上に表示する。セキュリティ管理者は、業務影響判定画面を介してセキュリティ管理者用操作端末300にパラメータを入力する(ステップS133)。   Next, the security administrator operating terminal 300 displays a message for prompting the security administrator to input parameters on the business impact determination screen. The security administrator inputs parameters to the security administrator operation terminal 300 via the business effect determination screen (step S133).

セキュリティ管理者がパラメータを入力した後、セキュリティ管理者用操作端末300は、入力されたパラメータをサーバ送受信部101に送信する。サーバ送受信部101は、送信されたパラメータを受信する。   After the security administrator inputs the parameters, the security administrator operation terminal 300 transmits the input parameters to the server transmission / reception unit 101. The server transmission / reception unit 101 receives the transmitted parameter.

次いで、サーバ送受信部101は、受信されたパラメータを影響判定パラメータ受取部106に入力する。影響判定パラメータ受取部106は、入力されたパラメータを業務影響判定部105に入力する。   Next, the server transmitting / receiving unit 101 inputs the received parameter to the influence determination parameter receiving unit 106. The influence determination parameter receiving unit 106 inputs the input parameters to the work influence determination unit 105.

次いで、業務影響判定部105は、セキュリティインテリジェンスに含まれている稼働情報収集方法を取得する。業務影響判定部105は、取得された稼働情報収集方法をサーバ送受信部101に入力する。   Next, the business influence determination unit 105 acquires the operation information collection method included in the security intelligence. The business influence determination unit 105 inputs the acquired operation information collection method to the server transmission / reception unit 101.

次いで、サーバ送受信部101は、入力された稼働情報収集方法をエージェント送受信部214に送信する。エージェント送受信部214は、送信された稼働情報収集方法を受信する。次いで、エージェント送受信部214は、受信された稼働情報収集方法を稼働情報収集部212に入力する。   Next, the server transmission / reception unit 101 transmits the input operation information collection method to the agent transmission / reception unit 214. The agent transmission / reception unit 214 receives the transmitted operation information collection method. Next, the agent transmission / reception unit 214 inputs the received operation information collection method to the operation information collection unit 212.

次いで、稼働情報収集部212は、入力された稼働情報収集方法を用いて管理対象端末200の稼働情報を収集する(ステップS134)。次いで、稼働情報収集部212は、収集された稼働情報をエージェント送受信部214に入力する。   Next, the operation information collection unit 212 collects operation information of the management target terminal 200 using the input operation information collection method (step S134). Next, the operation information collection unit 212 inputs the collected operation information to the agent transmission / reception unit 214.

次いで、エージェント送受信部214は、入力された稼働情報をサーバ送受信部101に送信する。サーバ送受信部101は、送信された稼働情報を受信する。次いで、サーバ送受信部101は、受信された稼働情報を業務影響判定部105に入力する。   Next, the agent transmission / reception unit 214 transmits the input operation information to the server transmission / reception unit 101. The server transmission / reception unit 101 receives the transmitted operation information. Next, the server transmission / reception unit 101 inputs the received operation information to the business effect determination unit 105.

次いで、業務影響判定部105は、影響判定条件式と、ステップS133で取得されたパラメータと、ステップS134で収集された稼働情報とを基に業務に影響が及ぶか否かを判定する業務影響判定を行う(ステップS135)。   Next, the business impact determination unit 105 determines whether the business is affected based on the impact determination conditional expression, the parameter acquired in step S133, and the operation information collected in step S134. Is performed (step S135).

次いで、業務影響判定部105は、管理対象端末それぞれに、業務に影響を及ぼさないと判定されたリスク対策を割り当てる(ステップS136)。   Next, the business influence determination unit 105 assigns a risk countermeasure that has been determined not to affect the business to each management target terminal (step S136).

次いで、業務影響判定部105は、ステップS131で取得されたセキュリティインテリジェンスと、ステップS133で取得されたパラメータと、各リスク対策において業務に影響が及ぶ端末の台数および業務に影響が及ばない端末の台数とを画面データ生成部104に入力する。   Next, the business impact determination unit 105 determines the security intelligence acquired in step S131, the parameters acquired in step S133, the number of terminals that affect the business in each risk countermeasure, and the number of terminals that do not affect the business. Are input to the screen data generation unit 104.

次いで、画面データ生成部104は、入力された情報を基に業務影響判定結果画面を生成する。画面データ生成部104は、生成された業務影響判定結果画面をサーバ送受信部101に入力する。   Next, the screen data generation unit 104 generates a business effect determination result screen based on the input information. The screen data generation unit 104 inputs the generated business effect determination result screen to the server transmission / reception unit 101.

次いで、サーバ送受信部101は、入力された業務影響判定結果画面をセキュリティ管理者用操作端末300に送信する(ステップS137)。セキュリティ管理者用操作端末300は、送信された業務影響判定結果画面を受信する。   Next, the server transmission / reception unit 101 transmits the input business effect determination result screen to the security administrator operation terminal 300 (step S137). The security administrator operation terminal 300 receives the transmitted business effect determination result screen.

次いで、セキュリティ管理者用操作端末300は、受信された業務影響判定結果画面をセキュリティ管理者に向けて表示する。表示した後、セキュリティリスク管理装置100は、セキュリティリスク対策割当処理を終了する。   Next, the security administrator operation terminal 300 displays the received business effect determination result screen for the security administrator. After the display, the security risk management apparatus 100 ends the security risk countermeasure allocation process.

セキュリティリスクが存在する100台の管理対象端末に対して業務影響判定が行われた時に表示される業務影響判定結果画面の例を図9に示す。図9は、業務影響判定結果画面の例を示す説明図である。   FIG. 9 shows an example of the business impact determination result screen displayed when the business impact determination is performed on 100 managed terminals with security risks. FIG. 9 is an explanatory diagram illustrating an example of a business effect determination result screen.

図9に示す例では、1つ目のリスク対策の影響判定条件式のパラメータを、セキュリティ管理者が「24時間ごとに再起動している端末には再起動の影響が及ばない」と判断した上で”24”と設定している。   In the example illustrated in FIG. 9, the security administrator determines that the parameter of the first risk countermeasure influence determination conditional expression is “the terminal that is restarted every 24 hours is not affected by the restart”. It is set to “24” above.

図9に示す例では、業務影響判定部105は、平均連続稼働時間が24時間未満である60台の端末に対して、「パッチを適用して再起動」のリスク対策が業務に影響を及ぼさないと判定している。また、平均連続稼働時間が24時間以上である残りの40台の端末に対して、業務影響判定部105は、「パッチを適用して再起動」のリスク対策が業務に影響を及ぼすと判定している。   In the example illustrated in FIG. 9, the business effect determination unit 105 has the risk countermeasure of “restart by applying a patch” affecting the business for 60 terminals whose average continuous operation time is less than 24 hours. Judge that there is no. In addition, for the remaining 40 terminals whose average continuous operation time is 24 hours or more, the business effect determination unit 105 determines that the risk countermeasure of “restart by applying a patch” affects the business. ing.

1つ目のリスク対策の業務影響判定で業務に影響が及ぶと判定された40台の端末に対して、業務影響判定部105は、次のリスク対策である「ポートxxx を閉じる」に関する業務影響判定を行う。以下、業務影響判定部105は、各リスク対策に関する業務影響判定を、全ての端末に対して業務に影響が及ばないと判定されるリスク対策が選択されるまで繰り返し実行する。   For the 40 terminals that are determined to have an impact on the business in the first risk countermeasure business impact assessment, the business impact assessment unit 105 performs the business impact on “close port xxx” that is the next risk countermeasure. Make a decision. Hereinafter, the business impact determination unit 105 repeatedly performs the business impact determination regarding each risk countermeasure until a risk countermeasure that is determined not to affect the business for all terminals is selected.

図9に示す例では、全ての端末に対してリスク対策の割り当てが一括で行われた。しかし、端末が所定の区分で分類され、所定の区分ごとにリスク対策の割り当てが行われてもよい。例えば、端末がサーバとPCに分類される場合、サーバとPCでパラメータが変更されることによって、より適切なリスク対策が割り当てられる。   In the example illustrated in FIG. 9, risk countermeasures are assigned to all terminals at once. However, the terminals may be classified into predetermined categories, and risk countermeasures may be assigned for each predetermined category. For example, when a terminal is classified into a server and a PC, more appropriate risk countermeasures are assigned by changing parameters between the server and the PC.

また、本実施形態ではリスク対策や影響判定条件式が全てセキュリティインテリジェンスとして予め用意され、影響判定条件式のパラメータのみをセキュリティ管理者が決定する方式がとられている。しかし、リスク対策や影響判定条件式等もセキュリティ管理者が決定する方式がとられてもよい。   In this embodiment, all risk countermeasures and influence determination conditional expressions are prepared in advance as security intelligence, and the security administrator determines only the parameters of the influence determination conditional expressions. However, a method in which the security administrator determines risk countermeasures, influence determination conditional expressions, and the like may also be used.

次に、ステップS140のリスク対策を適用する動作を図10を参照して説明する。図10は、第2の実施形態のセキュリティリスク管理システム10によるセキュリティリスク対策適用処理の動作を示すフローチャートである。   Next, the operation for applying the risk countermeasure in step S140 will be described with reference to FIG. FIG. 10 is a flowchart illustrating the operation of security risk countermeasure application processing by the security risk management system 10 according to the second embodiment.

最初に、対策指示部103は、各管理対象端末に割り当てられたリスク対策をサーバ送受信部101に入力する。サーバ送受信部101は、入力されたリスク対策をエージェント送受信部214に送信する(ステップS141)。   First, the countermeasure instruction unit 103 inputs a risk countermeasure assigned to each management target terminal to the server transmission / reception unit 101. The server transmission / reception unit 101 transmits the input risk countermeasure to the agent transmission / reception unit 214 (step S141).

エージェント送受信部214は、送信されたリスク対策を受信する。次いで、エージェント送受信部214は、受信されたリスク対策を対策実行部213に入力する。   The agent transmission / reception unit 214 receives the transmitted risk countermeasure. Next, the agent transmission / reception unit 214 inputs the received risk countermeasures to the countermeasure execution unit 213.

次いで、対策実行部213は、入力されたリスク対策を管理対象端末200に適用する(ステップS142)。適用した後、セキュリティリスク管理システム10は、セキュリティリスク対策適用処理を終了する。   Next, the countermeasure execution unit 213 applies the input risk countermeasure to the management target terminal 200 (step S142). After the application, the security risk management system 10 ends the security risk countermeasure application process.

[効果の説明]
本実施形態のセキュリティリスク管理装置は、管理対象端末に存在するセキュリティリスクを検知し、検知されたセキュリティリスクに対する対策が複数存在する際に、それぞれの対策を適用することによって業務に影響が及ぶか否かを判定する。[Description of effects]
If the security risk management device of this embodiment detects a security risk that exists in a managed terminal and there are multiple countermeasures for the detected security risk, will the business be affected by applying each countermeasure? Determine whether or not.

判定した後、セキュリティリスク管理装置は、業務に影響を及ぼさない対策を管理対象端末に割り当てる。よって、本実施形態のセキュリティリスク管理装置を使用するセキュリティ管理者は、複数の端末に対して業務に影響を及ぼさないリスク対策を一括で割り当てることができる。   After the determination, the security risk management apparatus assigns measures that do not affect the business to the management target terminal. Therefore, a security administrator who uses the security risk management apparatus according to the present embodiment can collectively assign risk countermeasures that do not affect business operations to a plurality of terminals.

本実施形態のセキュリティリスク管理装置は、セキュリティインテリジェンスとしてリスク調査方法およびリスク対策と共に、対策が適用されると業務に影響が及ぶか否かの判定に使用される影響判定条件式を提供する。セキュリティリスク管理装置100の業務影響判定部105は、影響判定条件式に従って、各端末に対して一括でリスク対策を割り当てる。   The security risk management apparatus according to the present embodiment provides, as security intelligence, a risk investigation method and a risk countermeasure, as well as an influence determination conditional expression that is used to determine whether the work is affected when the countermeasure is applied. The business impact determination unit 105 of the security risk management apparatus 100 assigns risk countermeasures to each terminal in accordance with the impact determination conditional expression.

影響判定条件式を用いて判定するため、業務影響判定部105は、業務に影響が及ぶか否かを多くの時間をかけずに判定できる。すなわち、セキュリティ管理者は、影響判定条件式のパラメータを設定するだけで、大量の管理対象端末に対して業務に影響を及ぼさないリスク対策を迅速に割り当てることができる。   Since the determination is made using the influence determination conditional expression, the business effect determination unit 105 can determine whether the business is affected without much time. In other words, the security administrator can quickly assign a risk countermeasure that does not affect the business to a large number of managed terminals simply by setting the parameters of the influence determination conditional expression.

本実施形態のセキュリティリスク管理システムは、脆弱性管理の分野、脅威管理の分野、サイバーセキュリティ対策の分野、およびセキュリティインシデント対応の分野等で好適に利用されることが期待される。   The security risk management system of this embodiment is expected to be suitably used in the field of vulnerability management, the field of threat management, the field of cyber security measures, the field of security incident response, and the like.

なお、各実施形態のセキュリティリスク管理装置20、セキュリティリスク管理装置100、および管理対象端末200は、例えば、非一時的な記憶媒体に格納されているプログラムに従って処理を実行するCPU(Central Processing Unit)によって実現されてもよい。すなわち、指示部21、判定部22、割当部23、サーバ送受信部101、セキュリティリスク判定部102、対策指示部103、画面データ生成部104、業務影響判定部105、影響判定パラメータ受取部106、リスク情報収集部211、稼働情報収集部212、対策実行部213、およびエージェント送受信部214は、例えば、プログラム制御に従って処理を実行するCPU によって実現されてもよい。   The security risk management device 20, the security risk management device 100, and the management target terminal 200 of each embodiment are, for example, a CPU (Central Processing Unit) that executes processing according to a program stored in a non-temporary storage medium. It may be realized by. That is, the instruction unit 21, the determination unit 22, the allocation unit 23, the server transmission / reception unit 101, the security risk determination unit 102, the countermeasure instruction unit 103, the screen data generation unit 104, the work influence determination unit 105, the influence determination parameter reception unit 106, the risk The information collection unit 211, the operation information collection unit 212, the countermeasure execution unit 213, and the agent transmission / reception unit 214 may be realized by a CPU that executes processing according to program control, for example.

また、セキュリティインテリジェンス格納部107は、例えばRAM(Random Access Memory) で実現されてもよい。   The security intelligence storage unit 107 may be realized by, for example, a RAM (Random Access Memory).

また、各実施形態のセキュリティリスク管理装置20、セキュリティリスク管理装置100、および管理対象端末200における各部は、ハードウェア回路によって実現されてもよい。一例として、指示部21、判定部22、割当部23、サーバ送受信部101、セキュリティリスク判定部102、対策指示部103、画面データ生成部104、業務影響判定部105、影響判定パラメータ受取部106、リスク情報収集部211、稼働情報収集部212、対策実行部213、およびエージェント送受信部214が、それぞれLSI(Large Scale Integration)で実現される。また、それらが1つのLSI で実現されていてもよい。   In addition, each unit in the security risk management device 20, the security risk management device 100, and the management target terminal 200 of each embodiment may be realized by a hardware circuit. As an example, the instruction unit 21, the determination unit 22, the allocation unit 23, the server transmission / reception unit 101, the security risk determination unit 102, the countermeasure instruction unit 103, the screen data generation unit 104, the work influence determination unit 105, the influence determination parameter reception unit 106, The risk information collection unit 211, the operation information collection unit 212, the countermeasure execution unit 213, and the agent transmission / reception unit 214 are each realized by an LSI (Large Scale Integration). Further, they may be realized by one LSI.

以上、実施形態および実施例を参照して本願発明を説明したが、本願発明は上記実施形態および実施例に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。   While the present invention has been described with reference to the embodiments and examples, the present invention is not limited to the above embodiments and examples. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.

この出願は、2017年3月17日に出願された日本特許出願2017−053154を基礎とする優先権を主張し、その開示の全てをここに取り込む。   This application claims the priority on the basis of the JP Patent application 2017-053154 for which it applied on March 17, 2017, and takes in those the indications of all here.

10 セキュリティリスク管理システム
20、100 セキュリティリスク管理装置
21 指示部
22 判定部
23 割当部
101 サーバ送受信部
102 セキュリティリスク判定部
103 対策指示部
104 画面データ生成部
105 業務影響判定部
106 影響判定パラメータ受取部
107 セキュリティインテリジェンス格納部
200 管理対象端末
210 セキュリティリスク管理部
211 リスク情報収集部
212 稼働情報収集部
213 対策実行部
214 エージェント送受信部
300 セキュリティ管理者用操作端末DESCRIPTION OF SYMBOLS 10 Security risk management system 20, 100 Security risk management apparatus 21 Instruction part 22 Determination part 23 Allocation part 101 Server transmission / reception part 102 Security risk determination part 103 Countermeasure instruction part 104 Screen data generation part 105 Work influence determination part 106 Influence determination parameter reception part 107 Security Intelligence Storage Unit 200 Management Target Terminal 210 Security Risk Management Unit 211 Risk Information Collection Unit 212 Operation Information Collection Unit 213 Countermeasure Execution Unit 214 Agent Transmission / Reception Unit 300 Security Administrator Operation Terminal

Claims (10)

セキュリティリスクが存在する管理対象端末に対して前記管理対象端末の稼働状況を示す情報である稼働情報を収集するように指示する指示部と、
前記セキュリティリスクへの対策であるリスク対策が適用された時に前記管理対象端末が提供するサービスに支障が生じるか否かを収集された稼働情報および前記収集された稼働情報に対応する判定式を用いて判定する判定部と、
前記サービスに支障が生じないと判定されたリスク対策を前記管理対象端末に割り当てる割当部とを備える
ことを特徴とするセキュリティリスク管理装置。An instruction unit for instructing a management target terminal having a security risk to collect operation information that is information indicating an operation status of the management target terminal;
Whether or not the service provided by the managed terminal is hindered when a risk countermeasure, which is a countermeasure against the security risk, is applied, and the collected operation information and a judgment formula corresponding to the collected operation information are used. A determination unit for determining
A security risk management apparatus comprising: an allocation unit that allocates a risk countermeasure that is determined not to interfere with the service to the managed terminal. 管理対象端末にセキュリティリスクが存在するか否かを判定するセキュリティリスク判定部を備える
請求項1記載のセキュリティリスク管理装置。The security risk management apparatus according to claim 1, further comprising a security risk determination unit that determines whether or not a security risk exists in the management target terminal. 指示部は、管理対象端末に対して割り当てられたリスク対策を適用するように指示する
請求項1または請求項2記載のセキュリティリスク管理装置。The security risk management device according to claim 1, wherein the instruction unit instructs the management target terminal to apply the assigned risk countermeasure. 判定式に使用されるパラメータが入力される入力手段を生成する生成部を備える
請求項1から請求項3のうちのいずれか1項に記載のセキュリティリスク管理装置。The security risk management apparatus according to any one of claims 1 to 3, further comprising: a generation unit that generates an input unit that inputs a parameter used in the determination formula. 生成部は、管理対象端末と前記管理対象端末に割り当てられたリスク対策とを併せて表示する表示手段を生成する
請求項4記載のセキュリティリスク管理装置。The security risk management apparatus according to claim 4, wherein the generation unit generates display means for displaying the management target terminal and the risk countermeasures assigned to the management target terminal together. 判定式を含むセキュリティリスク管理情報を記憶する記憶部を備える
請求項1から請求項5のうちのいずれか1項に記載のセキュリティリスク管理装置。The security risk management apparatus according to claim 1, further comprising a storage unit that stores security risk management information including a determination formula. セキュリティリスクが存在する管理対象端末に対して前記管理対象端末の稼働状況を示す情報である稼働情報を収集するように指示し、
前記セキュリティリスクへの対策であるリスク対策が適用された時に前記管理対象端末が提供するサービスに支障が生じるか否かを収集された稼働情報および前記収集された稼働情報に対応する判定式を用いて判定し、
前記サービスに支障が生じないと判定されたリスク対策を前記管理対象端末に割り当てる
ことを特徴とするセキュリティリスク管理方法。Instructing a managed terminal having a security risk to collect operation information, which is information indicating an operation status of the managed terminal,
Whether or not the service provided by the managed terminal is hindered when a risk countermeasure, which is a countermeasure against the security risk, is applied, and the collected operation information and a judgment formula corresponding to the collected operation information are used. Judgment
A security risk management method characterized by allocating a risk measure determined not to interfere with the service to the managed terminal. 管理対象端末にセキュリティリスクが存在するか否かを判定する
請求項7記載のセキュリティリスク管理方法。The security risk management method according to claim 7, wherein it is determined whether or not a security risk exists in the managed terminal. コンピュータに、
セキュリティリスクが存在する管理対象端末に対して前記管理対象端末の稼働状況を示す情報である稼働情報を収集するように指示する指示処理、
前記セキュリティリスクへの対策であるリスク対策が適用された時に前記管理対象端末が提供するサービスに支障が生じるか否かを収集された稼働情報および前記収集された稼働情報に対応する判定式を用いて判定する判定処理、および
前記サービスに支障が生じないと判定されたリスク対策を前記管理対象端末に割り当てる割当処理
を実行させるためのセキュリティリスク管理プログラム。On the computer,
An instruction process for instructing a management target terminal having a security risk to collect operation information which is information indicating an operation status of the management target terminal;
Whether or not the service provided by the managed terminal is hindered when a risk countermeasure, which is a countermeasure against the security risk, is applied, and the collected operation information and a judgment formula corresponding to the collected operation information are used. And a security risk management program for executing an allocation process for allocating a risk countermeasure determined to not cause trouble in the service to the managed terminal. コンピュータに、
管理対象端末にセキュリティリスクが存在するか否かを判定する判定処理を実行させる
請求項9記載のセキュリティリスク管理プログラム。On the computer,
The security risk management program according to claim 9, wherein determination processing for determining whether or not a security risk exists in a managed terminal is executed.
JP2019506031A 2017-03-17 2018-03-13 Security risk management device, security risk management method, and security risk management program Pending JPWO2018168822A1 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017053154 2017-03-17
JP2017053154 2017-03-17
PCT/JP2018/009644 WO2018168822A1 (en) 2017-03-17 2018-03-13 Security risk management device, security risk management method, and security risk management program

Publications (1)

Publication Number Publication Date
JPWO2018168822A1 true JPWO2018168822A1 (en) 2019-11-21

Family

ID=63522288

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019506031A Pending JPWO2018168822A1 (en) 2017-03-17 2018-03-13 Security risk management device, security risk management method, and security risk management program

Country Status (3)

Country Link
JP (1) JPWO2018168822A1 (en)
TW (1) TW201843614A (en)
WO (1) WO2018168822A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7158357B2 (en) * 2019-09-30 2022-10-21 Kddi株式会社 Incentive granting device, method and program

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008004498A1 (en) * 2006-07-06 2008-01-10 Nec Corporation Security risk management system, device, method, and program
JP2008129648A (en) * 2006-11-16 2008-06-05 Nec Corp Security risk management system, method and program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008004498A1 (en) * 2006-07-06 2008-01-10 Nec Corporation Security risk management system, device, method, and program
JP2008129648A (en) * 2006-11-16 2008-06-05 Nec Corp Security risk management system, method and program

Also Published As

Publication number Publication date
TW201843614A (en) 2018-12-16
WO2018168822A1 (en) 2018-09-20

Similar Documents

Publication Publication Date Title
US10262145B2 (en) Systems and methods for security and risk assessment and testing of applications
CN109076063B (en) Protecting dynamic and short-term virtual machine instances in a cloud environment
US10581894B2 (en) Assessing effectiveness of cybersecurity technologies
EP3776307B1 (en) Distributed system for adaptive protection against web-service-targeted vulnerability scanners
US10452469B2 (en) Server performance correction using remote server actions
US11308219B2 (en) System and method for multi-source vulnerability management
JPWO2014112185A1 (en) Attack analysis system, linkage device, attack analysis linkage method, and program
Pathirathna et al. Security testing as a service with docker containerization
US11586741B2 (en) Dynamic communication architecture for testing computer security application features
WO2018168822A1 (en) Security risk management device, security risk management method, and security risk management program
US9881156B2 (en) Detecting heap spraying on a computer
WO2020246011A1 (en) Rule generation device, rule generation method, and computer readable storge medium
US11799894B2 (en) Dual network security assessment engine
EP3556084B1 (en) Application-sensitive strategy for server decommissioning
KR102535251B1 (en) Cyber security report generation method of electronic apparatus
US11157614B1 (en) Prevention of false positive detection of malware
CN113098847B (en) Supply chain management method, system, storage medium and electronic device
JP6710716B2 (en) Threat information evaluation device, threat information evaluation method and program
WO2021124538A1 (en) Management device, management method, and program
JP6716995B2 (en) Information processing apparatus, information processing method, and program
WO2021079495A1 (en) Assessment device, assessment system, assessment method, and program
JP2019220231A (en) Information processing apparatus, information processing method and program
CN116915509A (en) Flow alarm processing method and device, computer equipment and storage medium
US20210344577A1 (en) Determination device, gateway, determination method, and determination program
CN114401141A (en) Method and device for testing protection performance

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190701

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200526

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20201117