WO2005124572A1

WO2005124572A1 - 脆弱性検査システム

Info

Publication number: WO2005124572A1
Application number: PCT/JP2005/005994
Authority: WO
Inventors: Ryoji Matsuda
Original assignee: Yokogawa Electric Corporation
Priority date: 2004-06-22
Filing date: 2005-03-23
Publication date: 2005-12-29
Also published as: JP2006011510A

Abstract

ネットワークを経由した攻撃に対するシステムの脆弱性を検査する脆弱性検査システムは、ネットワークに接続され情報やエージェントが格納されているサーバと、ネットワークに接続されたコンピュータとを備え、コンピュータで動作する制御エージェントが、開始指示されたシナリオに基づき必要な情報やエージェントをネットワークを介してサーバから取得してシナリオを実行するための環境をコンピュータ内に構築して脆弱性検査の準備を行い、準備が完了した時点で脆弱性検査を実行する。

Description

明細書脆弱性検査システム <技術分野 >

本発明は、ネッ卜ワークを経由した攻撃に対するシステムの脆弱性を検査する脆弱性検査システムに関し、特に脆弱性検査の環境構築の自動化が可能でエージェントの作成が容易な脆弱性検査システムに関する。 <背景技術 >

特開 2002— 229945号、特開 2002— 229946号、特開 200 2— 268985号、特表 2002— 52 1 775号、特開 2003— 1 085 2 1号、特開 2003— 256234号、特開 2004- 1 02479号、及び特開 2004- 1 0301 4号公報は、ネットワーク経由の攻撃に対するシステムの脆弱性を検査する脆弱性検査システムの関連技術として参照される。

図 6は特開 2002— 229945号公報に記載された脆弱性検査システムの一例を示すプロック図である。図 6において 1は管理用コンピュータシステム、 2， 3, 4及び 5は DD o S (Distr ibuted D o S攻撃：協調分散型 D o S攻撃）攻撃を行う攻撃用コンピュータシステム、 6は被検査対象の挙動を測定する計測コンピュータシステム、 7は脆弱性検査中に各種サーバ等に対して h t t p

(HyperText Transfer Protocol) リクエス卜等のサービス要求を行う善意コンビユータシステム、 8は通信ネッ卜ワークのルータやレイヤ 3スィツチ等の通信機器、 9はフアイャウォール機能を有するフアイャウォール部、 1 0は DNS

(Domain Name System) サーバ、 1 1は WWW (World Wide Web) サーバ、 1 2 は SMT P (Simple Mai I Transfer Protocol) サーバである。

また、 1 , 2, 3, 4及び 5は検査コンピュータシステム 50を、 9, 1 0, 1 1及び 1 2は被検査コンピュータシステム 5 1 をそれぞれ構成している。

管理コンピュータシステム 1は各攻撃用コンピュータシステム 2, 3, 4及び 5に接続され、攻撃用コンピュータシステム 2. 3, 4及び 5は図 6中' ' N T 0 1 " に示すネットワークの通信機器 8に接続される。また、善意コンピュータシステム 7もまた通信機器 8に接続される。

一方、通信機器 8はフアイャウォール部 9を介して D N Sサーバ 1 0、 WWW サーバ 1 1及び SM T Pサーバ 1 2に相互に接続される。

さらに、通信機器 8、フアイャウォール部 9、 D N Sサーバ1 0、 WWWサ一バ 1 1及び SMT Pサーバ 1 2は図 6中" N T O 1 " に示すネットワークとは物理的に独立した図 6中" N T 02" に示す専用ネットワークにより計測コンビュータシステム 6に相互に接続される。

ここで、図 6に示す関連技術の動作を図 7を用いて説明する。図 7は実際の D D o Sツールの構成を示す説明図であり、図 7中" A T I 1 " 及び" A T 1 2 " に示すネットワークを介して攻撃を指示するァタツ力部、図 7中" H L 1 1 " , " H L 1 2" 及び" H L 1 3 " に示す攻撃を中継するハンドラ部、図 7中" A G 1 1 " , " A G 1 2 " , " A G 1 3 " 及び" A G 1 4" に示す攻撃を実行するエージエント部が順次改装構造を有している。

そして、目標となるコンピュータシステムに対して攻撃をかける場合には、図 7中" A T 1 1 " 等に示すァタッカ部が攻撃を起動し、図 7中" H L 1 1 " 等に示すハンドラ部がその起動を受けて攻撃指示を中継し、図 7中" AG 1 1 " 等に示すエージェン卜部が目標のコンピュータシステムへ攻撃を開始する。

具体的には、管理コンピュータシステム 1から攻撃指示を受けた攻撃用コンビユータシステム 2〜 5は、通信機器 8を介して被検査コンピュータシステム 5 1 を構成するフアイャウォール部 9、 D N Sサーバ 1 0、 WWWサーバ 1 1及び & (^1丁サーバ1 2に対して D D o s攻撃を行う。

一方、図 6中" N T 02" に示す専用ネットワークで接続された計測コンビュータシステム 6は、このような D D o S攻撃中に被検査コンピュータシステム 5 1を構成するフアイャウォール部 9、 D N Sサーバ 1 0、 WWWサーバ 1 1及び SMT Pサ一ノく 1 2のリソース（C P U (Central Processing Unit) 、メモリ、 OS (Operating System) 、ネットワーク等）の消費率を測定する。

このように、図 6中'' N T 02' ' に示すような専用ネットワークを介して攻撃を受けている最中の被検査コンピュータシステム 5 1の挙動を測定するので、その測定は正確である。また、図 6中" N T 0 2 " に示す専用ネットワークにおいては S N M P (S i mp l e Network Management Protoco l ) によって挙動の測定等が行われる。

しかし、図 6に示す関連技術では、被測定コンピュータシステムの挙動の測定の為に専用ネットワークを設ける必要性等があり、脆弱性の検査に必要な環境を構築するのに手間がかかってしまう。

また、攻撃用コンピュータシステムで動作する図 7中" A G 1 1 " 等に示すようなエージェント部は規格化されておらず、新たなエージェン卜の作成には手間がかかってしまう。ぐ発明の開示 >

本発明の目的は、脆弱性検査の環境構築の自動化が可能でエージェントの作成が容易な脆弱性検査システムを提供することにある。

本発明は、

ネットワークを経由した攻撃に対するシステムの脆弱性を検査する脆弱性検査システムにおいて、

前記ネッ卜ワークに接続され、情報及びエージヱントが格納されているサーバと、前記ネットワークに接続され、エージ:！:ントを実行可能なコンピュータとを備え、

制御エージェントに基づいて動作する前記コンピュータは、開始指示されたシナリオに基づき当該シナリオに必要な情報及びエージェントを前記ネットワークを介して前記サーバから取得して前記シナリオを実行するための環境を前記コンピュータ内に構築して脆弱性検査の準備を行い、当該準備が完了した後に前記脆弱性検査を実行する。このため、脆弱性検査の環境構築の自動化が可能になる。当該脆弱性検査システムにおいて、

前記制御エージェン卜に基づいて動作する前記コンピュータは、

前記シナリォの進埗に応じて、前記サーバから取得した前記エージヱン卜を実行する。このため、脆弱性検査の環境構築の自動化が可能になる。

当該脆弱性検査システムにおいて、複数の前記コンピュータを備え、

前記複数のコンピュータの全てで脆弱性検査の準備が完了した後に、各コンビユータは脆弱性検査を実行する。このため、脆弱性検査の環境構築の自動化が可能になる。

当該脆弱性検査システムにおいて、

複数の前記コンピュータを備え、

各コンピュータは、他のコンピュータで実行される制御エージヱン卜との間で同期をとリながら前記シナリォの進渉を管理すると共に、前記シナリォの進埗に応じて、前記サーバから取得したエージェントを実行する。このため、脆弱性検査の環境構築の自動化が可能になる。

当該脆弱性検査システムにおいて、

前記複数のコンピュータの一つは、前期脆弱性検査中に各種サーバにサービス要求を行う善意コンピュータである。このため、脆弱性検査の環境構築の自動化が可能になる。

当該脆弱性挨査システムにおいて、

前記エージェントに基づいて動作するコンピュータは、 i n i t命令を受けた場合に、前記シナリオで指定されている設定ファイルを前記ネッ卜ワークを介して前記サーバから取得すると共に初期化を行う。このため、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。

当該脆弱性検査システムにおいて、

前記エージェントに基づいて動作するコンピュータは、 s t a r t命令を受けた場合に、前記設定ファイルで定められた処理を実行する。このため、ユーザが比較的容易にエージェン卜を作成することが可能になリ、拡張性が向上する。当該脆弱性検査システムにおいて、

前記エージ: cン卜に基づいて動作するコンピュータは、 s t o p命令を受けた場合に、実行中の動作を停止する。このため、ユーザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。

当該脆弱性検査システムにおいて、前記エージェン卜に基づいて動作するコンピュータは、 p o s t命令を受けた場合に、結果を前記ネットワークを介して前記サーバに保存する。このため、ュ一ザが比較的容易にエージェントを作成することが可能になり、拡張性が向上する。

当該脆弱性検査システムにおいて、

前記シナリオには、

前記エージェントによって実行される内容が時系列に記述されている、若しくは、前記エージェントによって実行される複数のステップを実行単位としてまとめて、当該実行単位を組み合わせて記述されている。このため、脆弱性検査の環境構築の自動化が可能になる。

当該脆弱性検査システムにおいて、

前記シナリオには、

分岐、待機、繰り返し、若しくは、条件判断を行うステップが記述されている。このため、脆弱性検査の環境構築の自動化が可能になる。

当該脆弱性検査システムにおいて、

前記シナリオには、

拡張マークアップ言語形式で記述されている。このため、脆弱性検査の環境構築の自動化が可能になる。

本発明の脆弱性検査システムによれば、脆弱性検査の環境構築の自動化が可能になる。

また、エージェントが最低限実装すべき命令を実行する機能を規定してエージェントを規格化することにより、ユーザが比較的容易にエージ： πントを作成することが可能になる。その結果、拡張性が向上する。 <図面の簡単な説明 >

図 1は、本発明に係る脆弱性検査システムの一実施形態を示すブロック図であ y、

図 2は、各コンピュータ内で動作する機能を説明する説明図であり、図 3は、脆弱性検査時のコンソールの動作を説明するフロー図であり、図 4は、脆弱性検査時の各コンピュータの動作を説明するフロー図であり、図 5は、エージェントの命令による状態遷移の一例を示す説明図であり、図 6は、特開 2 0 0 2— 2 2 9 9 4 5号公報に記載された脆弱性検査システムの一例を示すプロック図であり、

図 7は、実際の D D o Sツールの構成を示す説明図である。

<発明を実施するための最良の形態 >

以下、本発明に係る脆弱性検査システムを図面を用いて詳細に説明する。図 1 は本発明に係る脆弱性検査システムの一実施形態を示すブロック図である。図 1 において 1 3は脆弱性検査に必要なシナリオ、ソフトウェア、エージェント及び設定ファイル等の情報やツールが格納されているサーバ、 1 4は脆弱性検査の内容ゃスケジュール等が記述されたシナリオを作成してサーバに保存するコンソ一ル、 1 5 , 1 6 , 1 7及び 1 8は最小限の通信機能を有する制御エージヱントが予めィンス I ^一ルされているコンピュータ、 1 0 0はインターネッ卜や L A N (Loca l Area Network) 等の汎用のネットワークである。

サーバ 1 3及びコンソール 1 4はネッ卜ワーク 1 0 0に相互に接続され、コンピュータ 1 5 , 1 6 , 1 7及び 1 8もまたネットワーク 1 0 0に相互に接続される。

ここで、図 1に示す本実施形態の脆弱性検査システムの動作を図 2、図 3及び図 4を用いて説明する。図 2は各コンピュータ 1 5〜 1 8内で動作する機能を説明する説明図、図 3は脆弱性検査時のコンソール 1 4の動作を説明するフロー図、図 4は脆弱性検査時の各コンピュータ 1 5〜 1 8の動作を説明するフロー図である。

図 2中" C P 2 1 " に示すコンピュータでは図 2中" O S 2 1 " に示すオペレ一ティングシステム（以下、 O Sと呼ぶ。）が起動されると共に図 2中" A G 2 1 " に示す制御エージェントが O S上で動作している。

また、制御エージェントはそれぞれシナリオの記述に基づき各コンピュータ 1 5〜1 8に攻撃側のコンピュータの役割を実行させたり、或いは、被検査側（攻撃を受ける側）のコンピュータの役割を実行させたりして、システムを構成する制御エージヱントが動作するコンピュータに対して任意の役割を実行させることができる。

図 3中のステップ S 0 0 1においてコンソール 1 4は、サーバ 1 3に保存されている既に作成されているシナリオ或いは新規に作成されたシナリオが選択され開始の指示がなされたか否かを判断する。もし、シナリオ開始指示があつたと判断した場合には、図 3中のステップ S 0 0 2においてコンソール 1 4は、ネットワーク 1 0 0を介して各コンピュータ 1 5〜 1 8で動作する各制御エージヱン卜に対して開始が指示されたシナリオ、具体的には、開始が指示されたシナリオの名称或いは U R L (Un i form Resource Locator) 等を通知する。

図 4中のステップ S 1 0 1において各コンピュータ 1 5〜 1 8、具体的には、各コンピュータ 1 5〜 1 8で動作する制御エージェン卜は、コンソール 1 4からシナリオの名称或いは U R L等の通知を受けたか否かを判断する。もし、当該通知を受けたと判断した場合には、図 4中のステップ S 1 0 2において制御エージェントは、当該通知に基づきネットワーク経由でサーバ 1 3からシナリオの本体をダウンロードして取得する。

そして、図 4中のステップ S 1 0 3において制御エージェントは、取得したシナリオの記述内容に基づき当該シナリオの実行に必要なソフトウエア、エージェント或いは設定ファイル等の情報やツールをサーバ 1 3からダウンロードして取得する。

例えば、サーバ 1 3から取得されるエージヱン卜は、攻撃側のコンピュータの役割を実行するエージェントであったり、被検査側（攻撃を受ける側）のコンビユータの役割を実行（具体的には、リソース（C P U、メモリ、 o s、ネットヮーク等）の消費率等を測定）するエージェントであったりする。

図 4中のステップ S 1 0 4において制御エージェン卜は、当該シナリオを実行するための環境を各コンピュータ内に構築して脆弱性検査の準備を行う。次に、図 4中のステップ S 1 0 5において制御エージェントは、脆弱性検査の準備が完了した旨の通知をネッ卜ワーク 1 0 0を介して他のコンピュータで動作する制御エージェン卜に対して通知する。次に、図 4中のステップ S 1 0 6において制御エージェントは、全ての制御ェ一ジェン卜の脆弱性検査の準備が完了したか否かを判断する。もし、全ての制御エージェントの脆弱性検査の準備が完了したと判断した場合には、図 4中のステップ S 1 0 7においてシナリオの記述に従って脆弱性検査を実行する。

具体的には、制御エージェントは、他のコンピュータで動作する制御エージェン卜との間で同期を取りながらシナリオの進涉を管理すると共に制御エージェントは、シナリオの進埗に応じてエージェン卜に対して攻撃等の処理の実行を行わせる。

図 4中のステップ S 1 0 8において制御エージェントは、シナリオが終了、具体的には、シナリオの記述を全て実行したか否かを判断する。もし、シナリオが終了していないと判断した場合には図 4中のステップ S 1 0 7のステップに戻る。シナリオが終了したと判断した場合には、図 4中のステップ S 1 0 9において制御エージ Iン卜は、必要に応じて結果をネッ卜ワーク 1 0 0を介してサーバ 1 3 に保存する。

具体的には、制御エージェントが被検査側（攻撃を受ける側）のコンピュータの役割を実行させる場合には、測定したリソース（C P U、メモリ、 o s、ネットワーク等）の消費率等を前述の結果としてネットワーク 1 0 0を介してサーバ 1 3に保存する。

この結果、各コンピュータで動作する制御エージェントが開始指示されたシナリオに基づき必要な情報やエージェントをサーバから取得してシナリオを実行するための環境をコンピュータ内に構築して脆弱性検査の準備を行い、全ての制御エージェン卜の準備が完了した時点で脆弱性検査を実行することによリ、脆弱性検査の環境構築の自動化が可能になる。

なお、図 1には、それぞれネットワークに接続された 1台のサーバ、 1台のコンソール及び 4台のコンピュータを例示しているが、勿論、この数には何ら限定されるものではない。

また、本実施形態では、制御エージ; cントはそれぞれシナリオの記述に基づき各コンピュータに攻撃側のコンピュータの役割を実行させたり、或いは、被検査側（攻撃を受ける側）のコンピュータの役割を実行させたりしている旨記述しているが、上記説明した関連技術のように脆弱性検査中に各種サーバ等に対して h t t pリクエスト等のサービス要求を行う善意コンピュータの役割を実行させても構わないし、その他の役割を実行させても構わない。

また、本実施形態では、説明の簡単のためにシナリオの作成やシナリオの開始指示を行うために別途コンソール 1 4を設けているが、コンピュータ 1 5〜1 8 の一或いは全てにコンソール 1 4の機能を持たせても構わない。

また、各エージェン卜は" i n i t " 、 " s t a r ' 、 " s t o p " 及び" p o s t " の各種命令を実行する機能を有する。

エージェントに基づいて動作するコンピュータは、 " ί n i ' 命令を受けた場合に、シナリオで指定されている設定ファイルをサーバ 1 3からダウンロードして取得すると共に初期化を行い、 " s t a r ^' 命令を受けた場合に、取得した設定ファイルに基づき定められた処理を実行する。

また、エージェントに基づいて動作するコンピュータは、 " s t o p" 命令を受けた場合に、実行中の処理を停止し、 " p o s t " 命令を受けた場合に、結果をネッ卜ワーク 1 00を介してサーバ 1 3に保存する。

図 5はこのようなエージェントの命令による状態遷移の一例を示す説明図であリ、図 5中のステップ S 20 1に示す起動後にエージェン卜が" i n i t " 命令を受けた場合、図 5中のステップ S 202に示す初期化済の状態に遷移する。そして、図 5中のステップ S 202に示す初期化済の状態でエージェントが" s t a r t " 命令を受けた場合、図 5中のステップ S 203に示す実行中の状態に遷移する。

さらに、図 5中のステップ S 203に示す実行中の状態でエージェントが" s t o p" 命令を受けた場合、図 5中のステップ S 204に示す停止の状態に遷移する。

その後、図 5中のステップ S 204に示す停止の状態でエージェントが" p o s t " 命令を受けた場合、図 5中のステップ S 205に示すデータを保存した後、データ保存済の状態に遷移する。また、図 5中のステップ S 2 0 4或いはステップ S 2 0 5に示す停止或いはデータ保存済の状態でエージェントが" i n i ' 命令を受けた場合、図 5中のステツプ S 2 0 2に示す初期化済の状態に遷移する。

このように、エージェントが最低限実装すべき命令を実行する機能を規定してエージヱントを規格化することにより、ユーザが比較的容易にエージヱン卜を作成することが可能になり、拡張性が向上する。

また、シナリオの記述に関しては、単にエージェントが実行する内容を時系列的に記述しても構わないし、エージ Xントが実行する複数のステップを実行単位としてまとめて、当該実行単位を組み合わせてシナリオを記述しても勿論構わない。

また、シナリオの記述に関しては、分岐、待機、繰り返し、若しくは、条件判断等を行うように記述しても勿論構わない。

また、シナリオの記述に関しては、拡張マークアップ言語形式（X M L _: extens i b l e Markup Language) で記述しても勿言而構わなしヽ。

本出願は、 2004年 6月 22日出願の日本特許出願（特願 2004— 183403) に基づくものであり、その内容はここに参照として取り込まれる。

Claims

1 . ネッ卜ワークを経由した攻撃に対するシステムの脆弱性を検査する脆弱性検査システムにおいて、

前記ネットワークに接続され、情報及びエージヱントが格納されているサーバ前記ネットワークに接続され、エージ: cントを実行可能なコンピュータとを備

α=青

え、

制御エージェントに基づいて動作する前記コンピュータは、開始指示されたシナリオに基づき当該シナリオに必要な情報及びエージェントを前記ネットワークを介して前記サーバから取得して前記シナリオを実行するための環境を前記コン囲

ピュータ内に構築して脆弱性検査の準備を行い、当該準備が完了した後に前記脆弱性検査を実行することを特徴とする脆弱性検査システム。

2 . 前記制御エージヱン卜に基づいて動作する前記コンピュータは、

前記シナリォの進埗に応じて、前記サーバから取得した前記エージヱン卜を実行することを特徴とする請求の範囲第 1項記載の脆弱性検査システム。

3 . 複数の前記コンピュータを備え、

前記複数のコンピュータの全てで脆弱性検査の準備が完了した後に、各コンビユータは脆弱性検査を実行することを特徴とする請求の範囲第 1項記載の脆弱性検査システム。

4 . 複数の前記コンピュータを備え、

各コンピュータは、他のコンピュータで実行される制御エージェントとの間で同期を取リながら前記シナリォの進埗を管理すると共に、前記シナリォの進埗に応じて、前記サーバから取得したエージェントを実行することを特徴とする請求の範囲第 2項記載の脆弱性検査システム。

5. 前記複数のコンピュータの一つは、前記脆弱性検査中に各種サーバにサービス要求を行う善意コンピュータであることを特徴とする請求の範囲第 2項記載の脆弱性検査システム。

6. 前記エージェントに基づいて動作するコンピュータは、 i n i t命令を受けた場合に、前記シナリオで指定されている設定ファイルを前記ネッ卜ワークを介して前記サーバから取得すると共に初期化を行うことを特徴とする請求の範囲第 2項記載の脆弱性検査システム。

7. 前記エージヱントに基づいて動作するコンピュータは、 s t a r t命令を受けた場合に、前記設定ファイルで定められた処理を実行することを特徴とする請求の範囲第 6項記載の脆弱性検査システム。

8. 前記エージェントに基づいて動作するコンピュータは、 s t o p命令を受けた場合に、実行中の処理を停止することを特徴とする請求の範囲第 2項記載の脆弱性検査システム。

9. 前記エージェントに基づいて動作するコンピュータは、 p o s t命令を受けた場合に、結果を前記ネットワークを介して前記サーバに保存することを特徴とする請求の範囲第 2項記載の脆弱性検査システム。

1 0. 前記シナリオには、

前記エージェントによって実行される内容が時系列に記述されている、若しくは、前記エージヱン卜によって実行される複数のステップを実行単位としてまとめて、当該実行単位を組み合わせて記述されていることを特徴とする請求の範囲第 1項記載の脆弱性検査システム。

1 1. 前記シナリオには、分岐、待機、繰り返し、若しくは、条件判断を行うステップが記述されていることを特徴とする請求の範囲第 1項記載の脆弱性検査システム。

1 2 . 前記シナリオには、

拡張マークアップ言語形式で記述されていることを特徴とする請求の範囲第 1 項記載の脆弱性検査システム。