WO2021070217A1

WO2021070217A1 - セキュリティ対策管理装置、セキュリティ対策管理方法、及びプログラム

Info

Publication number: WO2021070217A1
Application number: PCT/JP2019/039458
Authority: WO
Inventors: 朋治中村; 哲也出村
Original assignee: 株式会社Pfu
Priority date: 2019-10-07
Filing date: 2019-10-07
Publication date: 2021-04-15
Also published as: JPWO2021070217A1

Abstract

セキュリティ対策管理装置５は、所定のネットワークに接続している機器の構成情報を取得する構成情報取得部５００と、適用可能な情報セキュリティ対策を示す脆弱性情報を収集する脆弱性情報収集部５０２と、構成情報取得部５００により取得された構成情報と、脆弱性情報収集部５０２により収集された脆弱性情報とに基づいて、機器毎に、適用可能な情報セキュリティ対策の適用タイミングを特定するタイミング特定部５０６と、タイミング特定部５０６により特定された適用タイミングに基づいて、個人又は組織の情報セキュリティ対策に関する評価値を生成する対策評価部５１０とを有する。

Description

セキュリティ対策管理装置、セキュリティ対策管理方法、及びプログラム

　本発明は、セキュリティ対策管理装置、セキュリティ対策管理方法、及びプログラムに関する。

　例えば、特許文献１には、制御部を有する情報処理装置に入力された入力情報を処理する情報処理方法において、前記制御部により、危険性の増減情報を取得し、前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第１閾範囲または記憶部に記憶した第２閾範囲を補正し、前記制御部により入力情報に基づく値が前記第１閾範囲を越えるか否か判断し、前記制御部により前記第１閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第２閾範囲を越えるか否か判断し、前記制御部により前記第２閾範囲を越えると判断した場合に、異常情報を出力する情報処理方法が開示されている。

　また、特許文献２には、サイバー攻撃の対象となる装置に関して検知されたサイバー攻撃の情報を取得し、地球を示す画像と、該地球を示す画像の周囲に配置された前記装置を示す画像と、前記地球を示す画像の表面と前記装置を示す画像との間に配置され、前記取得した前記サイバー攻撃の情報に基づき、前記装置に関して検知されたサイバー攻撃のレベルを示す画像とを含む画像情報を生成し、該生成された画像情報を出力する処理をコンピュータが実行することを特徴とする表示方法が開示されている。

　また、非特許文献３には、事前予防と事後対処とを統合し、簡単で迅速なインシデント対応の実現し、検知、調査、対応のサイクルを統合管理するソフトウェアが開示されている。

特許５６９１５３９特開２０１５－２１６５４９

Ｔｒｅｎｄ　Ｍｉｃｒｏ　Ａｐｅｘ　Ｏｎｅ 2019年2月26日提供

　より確度が高く、セキュリティ対策を実施させることができるセキュリティ対策装置を提供することを目的とする。

　本発明に係るセキュリティ対策管理装置は、所定のネットワークに接続している機器の構成情報を取得する構成情報取得部と、適用可能な情報セキュリティ対策を示す脆弱性情報を収集する情報収集部と、前記構成情報取得部により取得された構成情報と、前記情報収集部により収集された脆弱性情報とに基づいて、機器毎に、適用可能な情報セキュリティ対策の適用タイミングを特定するタイミング特定部と、前記タイミング特定部により特定された適用タイミングに基づいて、個人又は組織の情報セキュリティ対策に関する評価値を生成する対策評価部とを有する。

　好適には、前記情報収集部は、適用可能な修正プログラム又は更新プログラムに関する情報と、更新可能なウイルス定義ファイルに関する情報とを前記脆弱性情報として収集し、前記構成情報取得部は、それぞれの機器に適用されている修正プログラム又は更新プログラムを識別する識別情報と、それぞれの機器におけるウイルス定義ファイルの更新に関する情報とを前記構成情報として取得する。

　好適には、前記タイミング特定部は、既定のタイミングにおける、適用可能な情報セキュリティ対策の適用の有無を判定し、前記対策評価部は、前記タイミング特定部による判定結果に基づいて、前記既定のタイミングにおける評価値を生成する。

　好適には、前記対策評価部により生成された評価値に応じて、情報セキュリティに関する通知の内容又は表示態様を変更する通知内容生成部をさらに有する。

　好適には、前記対策評価部は、組織に属する各個人の評価値を生成し、前記対策評価部により生成された各個人の評価値に対応する大きさのシンボルを、既定の図面上に配置して表示するマップ生成部をさらに有する。

　好適には、前記機器に対する操作履歴を取得する操作履歴取得部と、前記構成情報取得部により取得された構成情報と、前記操作履歴取得部により取得された操作履歴と、前記情報収集部により収集された脆弱性情報とに基づいて、修正プログラム又は更新プログラムの適用に失敗したことを検知する失敗検知部と、前記失敗検知部により検知された適用の失敗を出力する出力部とをさらに有する。

　本発明に係るセキュリティ対策管理装置は、所定のネットワークに接続している機器の構成情報を取得する構成情報取得部と、前記機器に対する操作履歴を取得する操作履歴取得部と、適用可能な情報セキュリティ対策を示す脆弱性情報を収集する情報収集部と、前記構成情報取得部により取得された構成情報と、前記操作履歴取得部により取得された操作履歴と、前記情報収集部により収集された脆弱性情報とに基づいて、修正プログラム又は更新プログラムの適用に失敗したことを検知する失敗検知部と、前記失敗検知部により検知された適用の失敗を出力する出力部とを有する。

　本発明に係るセキュリティ対策管理方法は、所定のネットワークに接続している機器の構成情報を取得する構成情報取得ステップと、適用可能な情報セキュリティ対策を示す脆弱性情報を収集する情報収集ステップと、前記構成情報取得ステップにより取得された構成情報と、前記情報収集ステップにより収集された脆弱性情報とに基づいて、機器毎に、適用可能な情報セキュリティ対策の適用タイミングを特定するタイミング特定ステップと、前記タイミング特定ステップにより特定された適用タイミングに基づいて、個人又は組織の情報セキュリティ対策に関する評価値を生成する対策評価ステップとを有する。

　本発明に係るプログラムは、所定のネットワークに接続している機器の構成情報を取得する構成情報取得ステップと、適用可能な情報セキュリティ対策を示す脆弱性情報を収集する情報収集ステップと、前記構成情報取得ステップにより取得された構成情報と、前記情報収集ステップにより収集された脆弱性情報とに基づいて、機器毎に、適用可能な情報セキュリティ対策の適用タイミングを特定するタイミング特定ステップと、前記タイミング特定ステップにより特定された適用タイミングに基づいて、個人又は組織の情報セキュリティ対策に関する評価値を生成する対策評価ステップとをコンピュータに実行させる。

　より確度が高く、セキュリティ対策を実施させることができる。

セキュリティ対策管理システム１の全体構成を例示する図である。セキュリティ対策管理装置５のハードウェア構成を例示する図である。セキュリティ対策管理装置５の機能構成を例示する図である。セキュリティ対策管理装置５によるセキュリティ対策推進処理（Ｓ１０）を説明するフローチャートである。、セキュリティ対策管理装置５により通知される、ユーザ端末３への通知内容を例示する図である。実施例２におけるセキュリティ対策管理装置５の機能構成を例示する図である。実施例２における、セキュリティ対策管理装置５によるセキュリティ対策推進処理（Ｓ２０）を説明するフローチャートである。実施例３におけるセキュリティ対策管理装置５の機能構成を例示する図である。実施例３における、セキュリティ対策管理装置５によるセキュリティ対策推進処理（Ｓ３０）を説明するフローチャートである。即座にパッチを適用するユーザのユーザ端末３の画面遷移例である。パッチの適用方法がわからないユーザのユーザ端末３の画面遷移例である。は、パッチを適用したが失敗したユーザのユーザ端末３の画面遷移例である。（ａ）は、パッチの適用の時間がないユーザへの通知の画面例であり、（ｂ）は、パッチの未適用理由があるユーザへの通知の画面例であり、（ｃ）は、パッチを適用しなくてもいいと思っている（セキュリティ意識が低い）ユーザへの通知の画面例である。ユーザの評価値の可視化を例示する図である。

　以下、本発明の実施形態を、図面を参照して説明する
　図１は、セキュリティ対策管理システム１の全体構成を例示する図である。
　図１に例示するように、セキュリティ対策管理システム１は、複数のユーザ端末３a、ユーザ端末３ｂ、ユーザ端末３ｃ、セキュリティ対策管理装置５、及び警告灯９を含み、ネットワーク７を介して互いに接続している。ユーザ端末３a、ユーザ端末３ｂ、及びユーザ端末３ｃをユーザ端末３と総称する。本発明に係る機器の一例である。
　ユーザ端末３は、ユーザが操作するコンピュータ端末、又はネットワーク機器であり、セキュリティ対策管理装置５により通知されるセキュリティ対策情報を表示する。具体的には、ユーザ端末３は、業務サーバ、業務ＰＣ、又はルータである。
　セキュリティ対策管理装置５は、コンピュータ端末であり、操作者であるユーザの特徴に応じた、ユーザ端末３へのセキュリティ対策の実施を促す。具体的には、セキュリティ対策管理装置５は、外部のＷｅｂサイトから取得した脆弱性情報と、ユーザ端末３の構成情報と、ユーザによるユーザ端末３の操作履歴とに基づいて、ユーザ端末３毎の通知情報を生成し、ユーザ端末３へ通知する。
　警告灯９は、ユーザ端末３の設置場所の周囲に配置された、脆弱性を周囲に知らせる回転灯である。
本発明における脆弱性とは、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥をいい、パッチの未適用による危険性と、ウイルスによる危険性とを含む。

　図２は、セキュリティ対策管理装置５のハードウェア構成を例示する図である。
　図２に例示するように、セキュリティ対策管理装置５は、ＣＰＵ２００、メモリ２０２、ＨＤＤ２０４、ネットワークインタフェース２０６（ネットワークＩＦ２０６）、表示装置２０８、及び、入力装置２１０を有し、これらの構成はバス２１２を介して互いに接続している。
　ＣＰＵ２００は、例えば、中央演算装置である。
　メモリ２０２は、例えば、揮発性メモリであり、主記憶装置として機能する。
　ＨＤＤ２０４は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラム（例えば、図３のセキュリティ対策管理プログラム５０、図６のセキュリティ対策管理プログラム５２、及び図８のセキュリティ対策管理プログラム５４）やその他のデータファイル（例えば、図３の脆弱性情報データベース６００、構成情報データベース６１０、及び図６の操作履歴データベース６２０）を格納する。
　ネットワークＩＦ２０６は、有線又は無線で通信するためのインタフェースであり、例えば、内部ネットワーク７における通信を実現する。
　表示装置２０８は、例えば、液晶ディスプレイである。
　入力装置２１０は、例えば、キーボード及びマウスである。

　実施例１では、ユーザ端末３のパッチの適用の有無、及びウイルス定義の更新の有無に基づいて、セキュリティポリシーへの意識の高さを示す評価値を算出する場合について説明する。
　図３は、セキュリティ対策管理装置５の機能構成を例示する図である。
　図３に例示するように、本例のセキュリティ対策管理装置５には、セキュリティ対策管理プログラム５０がインストールされると共に、脆弱性情報データベース６００（脆弱性情報ＤＢ６００）、及び構成情報データベース６１０（構成情報ＤＢ６１０）が構成される。
　セキュリティ対策管理プログラム５０は、構成情報取得部５００、脆弱性情報収集部５０２、検索部５０４、タイミング特定部５０６、危険度算出部５０８、対策評価部５１０、通知内容生成部５１２、評価値マップ生成部５１４、及び出力部５１６を有する。
　なお、セキュリティ対策管理プログラム５０の一部又は全部は、ＡＳＩＣなどのハードウェアにより実現されてもよく、また、ＯＳ（ＯｐｅｒａｔｉｎｇＳｙｓｔｅｍ）の機能を一部借用して実現されてもよい。
　セキュリティ対策管理プログラム５０において、構成情報取得部５００は、ネットワーク７に接続している機器の構成情報を取得する。具体的には、構成情報取得部５００は、それぞれのユーザ端末３に適用されている修正プログラム又は更新プログラムを識別する識別情報と、それぞれのユーザ端末３におけるウイルス定義ファイルの更新に関する情報とを構成情報として取得する。より具体的には、構成情報取得部５００は、ネットワーク７に接続しているユーザ端末３の最新のＯＳ（ＶＬ）情報、ユーザ情報、インストールしているソフトウェア情報、パッチの適用状況を取得し、構成情報ＤＢ６１０に格納する。例えば、構成情報取得部５００は、業務サーバ、及び業務ＰＣからＯＳ情報、ユーザ情報、及びパッチの適用状況を取得し、ネットワーク７から通信経路を取得し、ルータから設定情報を取得する。構成情報取得部５００は、ユーザ端末３がＰＣ又はＩｏＴ機器である場合に、ＯＳのＡＰＩの使用により構成情報を取得する。

　脆弱性情報収集部５０２は、適用可能な情報セキュリティ対策を示す脆弱性情報を収集する。具体的には、脆弱性情報収集部５０２は、適用可能な修正プログラム又は更新プログラムに関する情報と、更新可能なウイルス定義ファイルに関する情報とを脆弱性情報として収集する。より具体的には、脆弱性情報収集部５０２は、脆弱性情報を公開する外部のＷｅｂサイトを常時監視し、新たな脆弱性情報が掲載された場合に、新たな脆弱性情報を収集し、脆弱性情報ＤＢ６００に格納する。さらに具体的には、脆弱性情報収集部５０２は、外部のＷｅｂサイトから、脆弱性情報として、ソフトウェア、危険度、及びパッチの有無を収集する。外部のＷｅｂサイトとは、例えば、ＪＶＮ（脆弱性情報）、ＣＶＥ、ＩＰＡ、ＥＳＥＴ、トレンドマイクロ、ソースネクスト（ウイルス情報）、マイクロソフト（パッチ情報）、ＭｃＡｆｅｅ（定義情報）のサイトをいう。脆弱性情報収集部５０２は、これらのＷｅｂサイトで公開されているＡＰＩ、及びＷｅｂページの記載内容を解析することにより、脆弱性情報を取得する。外部のＷｅｂサイトから取得できる脆弱性の危険度は、標準化された値ＣＶＳＳｖ２、又はＣＶＳＳｖ３である。なお、脆弱性情報収集部５０２は、本発明に係る情報収集部の一例である。
　検索部５０４は、脆弱性情報収集部５０２により新たな脆弱性情報が追加された場合に、新たな脆弱性情報の対象となるユーザ端末３を検索する。具体的には、検索部５０４は、脆弱性情報収集部５０２により収集された脆弱性情報に基づいて、対処が必要となるユーザ端末３を構成情報ＤＢ６１０から検索する。

　タイミング特定部５０６は、構成情報取得部５００により取得された構成情報と、脆弱性情報収集部５０２により収集された脆弱性情報とに基づいて、ユーザ端末３毎に、適用可能な情報セキュリティ対策の適用タイミングを特定する。さらに、タイミング特定部は、既定のタイミングにおける、適用可能な情報セキュリティ対策の適用の有無を判定する。具体的には、タイミング特定部５０６は、パッチの適用及びウイルス定義の更新のタイミングを特定する。適用タイミングは、現時点までのパッチの適用の有無だけでもよい。
　危険度算出部５０８は、構成情報取得部５００により取得された構成情報と、脆弱性情報収集部５０２により収集された脆弱性情報とに基づいて、ネットワーク７に接続しているユーザ端末３それぞれの脆弱性を評価する。具体的には、危険度算出部５０８は、検索部５０４により検索された対象となるユーザ端末３のパッチの適用状況、及び、ユーザ端末３に残存する脆弱性に基づいて、評価値を算出する。より具体的には、より具体的には、危険度算出部５０８は、適用可能な修正プログラム又は更新プログラムがユーザ端末３に適用されているか否かに基づいて算出される危険度と、更新可能なウイルス定義ファイルがユーザ端末３で更新されているか否かに基づいて算出される危険度とを合算して、各ユーザ端末３の危険度を算出する。危険度は、危険度＝Σ（脆弱性ｉ（プログラムの欠陥i）の危険度×パッチの適用有無（０　ｏｒ　１））＋Σ（ウイルスｊの危険度×定義ファイルの適用有無（０　ｏｒ　１））により算出される。

　対策評価部５１０は、タイミング特定部５０６により特定された適用タイミングに基づいて、個人又は組織の情報セキュリティ対策に関する評価値を生成する。対策評価部５１０は、タイミング特定部５０６による判定結果に基づいて、既定のタイミングにおける評価値を生成する。具体的には、対策評価部５１０は、構成情報取得部５００により取得されたパッチの適用の有無に基づいて、ユーザ端末３のユーザの評価値を生成する。より具体的には、対策評価部５１０は、タイミング特定部５０６により特定された、パッチの適用、及びウイルス定義の更新のタイミングに基づいて、セキュリティ意識の高さ、及びＩＴスキルの高さを評価値として算出する。
　対策評価部５１０は、評価値に応じてユーザ端末３のユーザの特徴を判定する。具体的には、対策評価部５１０は、評価値が低いユーザを、セキュリティ意識、及びＩＴスキルが低いと判定し、対策評価部５１０は、評価値が高いユーザを、セキュリティ意識、及びＩＴスキルが高いと判定する。対策評価部５１０は判定されたユーザの特徴に応じた役割を決定する。役割とは、例えば、パッチの適用の補助者が必要な人、パッチの適用の補助を行う人等である。さらに、対策評価部５１０は、組織に属する各個人の評価値を生成する。

　通知内容生成部５１２は、対策評価部５１０により生成された評価値に応じて、情報セキュリティに関する通知の内容又は表示態様を変更する。
　評価値マップ生成部５１４は、対策評価部５１０により生成された各個人の評価値に対応する大きさのシンボルを、既定の図面上に配置して表示する。具体的には、評価値マップ生成部５１４は、それぞれのユーザ端末３が配置された座席図、フロア図、それぞれのユーザ端末３が接続されたネットワーク構成図、又はユーザ端末３のユーザが属する組織図に重ねて、評価値に対応するシンボルを表示する。
　出力部５１６は、通知内容生成部５１２により生成された情報セキュリティに関する通知の内容を、通知内容生成部５１２により変更された表示態様でユーザ端末３に表示する。

　図４は、セキュリティ対策管理装置５によるセキュリティ対策推進処理（Ｓ１０）を説明するフローチャートである。
　図４に例示するように、ステップ１００（Ｓ１００）において、脆弱性情報収集部５０２は、脆弱性情報を公開している外部のＷｅｂサイトを常時監視する。
　ステップ１０５（Ｓ１０５）において、脆弱性情報収集部５０２は、外部のＷｅｂサイトに新たな脆弱性情報が掲載されたことを検知した場合に、Ｓ１１０へ移行し、新たな脆弱性情報を検知しない場合に、Ｓ１００へ移行し、監視を続ける。
　ステップ１１０（Ｓ１１０）において、脆弱性情報収集部５０２は、新たに掲載された脆弱性情報を収集する。具体的には、脆弱性情報収集部５０２は、新たに掲載された脆弱性情報の対象ソフトウェア、危険度、及びパッチの有無を収集し、脆弱性情報ＤＢ６００に格納する。さらに、脆弱性情報収集部５０２は、収集した脆弱性情報を検索部５０４に通知する。
　ステップ１１５（Ｓ１１５）において、構成情報取得部５００は、ネットワーク７に接続するユーザ端末３の最新の構成情報を取得する。具体的には、構成情報取得部５００は、ユーザ端末３のＯＳ情報、ユーザ情報、インストールしているソフトウェア情報、及びパッチの適用状況を取得し、構成情報ＤＢ６１０に格納する。
　ステップ１２０（Ｓ１２０）において、検索部５０４は、脆弱性情報収集部５０２により通知された脆弱性情報に該当するユーザ端末３が存在するか否かを構成情報ＤＢ６１０に格納される構成情報から検索する。

　ステップ１２５（Ｓ１２５）において、検索部５０４による検索の結果、該当するユーザ端末３が存在する場合に、セキュリティ対策推進処理（Ｓ１０）は、Ｓ１３０へ移行し、該当するユーザ端末３が存在しない場合に、Ｓ１００へ移行する。
　ステップ１３０（Ｓ１３０）において、危険度算出部５０８は、脆弱性情報収集部５０２により収集された脆弱性情報と、検索部５０４により検索されたユーザ端末３の構成情報とに基づいて、ユーザ端末３の危険度を算出する。
　ステップ１３５（Ｓ１３５）において、タイミング特定部５０６は、脆弱性情報収集部５０２により収集された脆弱性情報と、構成情報取得部５００により取得された構成情報とに基づいて、パッチの適用のタイミングを特定する。具体的には、ネットワーク７に接続しているユーザ端末３が、脆弱性に対してパッチを適用しているか否かを特定する。
　ステップ１４０（Ｓ１４０）において、対策評価部５１０は、タイミング特定部５０６により特定された適用タイミングに基づいて、ユーザ端末３のユーザのセキュリティ対策に関する評価値を算出する。
　ステップ１４５（Ｓ１４５）において、通知内容生成部５１２は、危険度算出部５０８により算出された危険度と、セキュリティ対策の実施内容とを通知する通知内容を生成する。さらに、出力部５１６は、通知内容生成部５１２により生成された通知内容を、対策評価部５１０により算出された評価値に応じた表示態様でユーザ端末３に表示する。評価値に応じた表示態様とは、例えば、出力部５１６は、評価値が低く、セキュリティ意識の低いユーザには、図１３（ｃ）に例示するように、大きくアラートを表示し、セキュリティ意識の高いユーザへの通知とは異なる表示にする。

　図５は、セキュリティ対策管理装置５により通知される、ユーザ端末３への通知内容を例示する図である。
　図５に例示するように、ユーザ端末３の画面には、情報セキュリティに関する通知内容が表示される、具体的には、ユーザ端末３の脆弱性に関する情報、危険度算出部５０８により算出されたユーザ端末３の危険度、及び脆弱性に対する対策の実施方法が表示される。ユーザ端末３への通知内容の通知は、新たな脆弱性情報が収集され、危険度、及び評価値を算出したタイミングで通知される。

　実施例１では、ユーザ端末３のパッチの適用の有無、及びウイルス定義の更新の有無に基づいて、対策評価部５１０は、評価値を算出していたが、実施例２では、ユーザによるユーザ端末３の操作履歴に基づいて、評価値を算出する場合を説明する。
　図６は、実施例２におけるセキュリティ対策管理装置５の機能構成を例示する図である。
本図に示された各構成のうち、図３に示された構成と実質的に同一のものには同一の符号が付されている。
　図６に例示するように、実施形態２におけるセキュリティ対策管理装置５には、セキュリティ対策管理プログラム５２がインストールされると共に、脆弱性情報データベース６００（脆弱性情報ＤＢ６００）、構成情報データベース６１０（構成情報ＤＢ６１０）、及び操作履歴データベース６２０（操作履歴ＤＢ６２０）が構成される。
　セキュリティ対策管理プログラム５２は、構成情報取得部５００、脆弱性情報収集部５０２、検索部５０４、危険度算出部５０８、及び評価値マップ生成部５１４に加え、操作履歴取得部５２０、対策評価部５２２、通知内容生成部５２４、出力部５２６を有する。
　なお、セキュリティ対策管理プログラム５２の一部又は全部は、ＡＳＩＣなどのハードウェアにより実現されてもよく、また、ＯＳ（ＯｐｅｒａｔｉｎｇＳｙｓｔｅｍ）の機能を一部借用して実現されてもよい。

　操作履歴取得部５２０は、ネットワーク７に接続しているユーザ端末３に対する操作履歴を取得し、操作履歴ＤＢ６２０に格納する。具体的には、操作履歴取得部５２０は、ユーザが操作するユーザ端末３のパッチ適用までの時間、パッチ適用の試行回数、各説明の参照回数、及び掲示板やＨＥＬＰの参照回数を取得する。
　対策評価部５２２は、構成情報取得部５００により取得された構成情報と、脆弱性情報収集部５０２により収集された脆弱性情報と、操作履歴取得部５２０により取得された操作履歴に基づいて、情報セキュリティ対策に関する評価値を生成する。具体的には、対策評価部５２２は、操作履歴取得部５２０により取得された操作履歴を集計、及び解析することにより、ユーザ端末３のユーザの特徴を抽出し、ユーザの評価値を算出する。対策評価部５２２は、パッチの適用までの時間が毎回短いユーザは、評価値が高く、セキュリティ意識が高いと判定し、パッチ適用の試行回数が多い、又は、各説明を毎回参照しているユーザは評価値が低く、ＩＴスキルが高くないと判定する。
　通知内容生成部５２４は、危険度算出部５０８により算出された危険度と、セキュリティ対策の実施内容とを通知する通知内容を生成する。さらに、通知内容生成部５２４は、生成した通知内容を、対策評価部５２２により算出された評価値に応じた表示態様に変更する。
　出力部５２６は、通知内容生成部５２４により生成された情報セキュリティに関する通知の内容を、通知内容生成部５２４により変更された表示態様でユーザ端末３に表示する。

　図７は、実施例２における、セキュリティ対策管理装置５によるセキュリティ対策推進処理（Ｓ２０）を説明するフローチャートである。
　図７に例示するように、ステップ２００（Ｓ２００）において、脆弱性情報収集部５０２は、脆弱性情報を公開している外部のＷｅｂサイトを常時監視する。
　ステップ２０５（Ｓ２０５）において、脆弱性情報収集部５０２は、外部のＷｅｂサイトに新たな脆弱性情報が掲載されたことを検知した場合に、Ｓ２１０へ移行し、新たな脆弱性情報を検知しない場合に、Ｓ２００へ移行し、監視を続ける。
　ステップ２１０（Ｓ２１０）において、脆弱性情報収集部５０２は、新たに掲載された脆弱性情報を収集する。具体的には、脆弱性情報収集部５０２は、新たに掲載された脆弱性情報の対象ソフトウェア、危険度、及びパッチの有無を収集し、脆弱性情報ＤＢ６００に格納する。さらに、脆弱性情報収集部５０２は、収集した脆弱性情報を検索部５０４に通知する。
　ステップ２１５（Ｓ２１５）において、構成情報取得部５００は、ネットワーク７に接続するユーザ端末３の最新の構成情報を取得する。具体的には、構成情報取得部５００は、ユーザ端末３のＯＳ情報、ユーザ情報、インストールしているソフトウェア情報、及びパッチの適用状況を取得し、構成情報ＤＢ６１０に格納する。

　ステップ２２０（Ｓ２２０）において、検索部５０４は、脆弱性情報収集部５０２により通知された脆弱性情報に該当するユーザ端末３が存在するか否かを構成情報ＤＢ６１０に格納される構成情報から検索する。
　ステップ２２５（Ｓ２２５）において、検索部５０４による検索の結果、該当するユーザ端末３が存在する場合に、セキュリティ対策推進処理（Ｓ２０）は、Ｓ２３０へ移行し、該当するユーザ端末３が存在しない場合に、Ｓ２００へ移行する。
　ステップ２３０（Ｓ２３０）において、危険度算出部５０８は、脆弱性情報収集部５０２により収集された脆弱性情報と、検索部５０４により検索されたユーザ端末３の構成情報とに基づいて、ユーザ端末３の危険度を算出する。
　ステップ２３５（Ｓ２３５）において、操作履歴取得部５２０は、ユーザの操作履歴として、ユーザが操作するユーザ端末３のパッチ適用までの時間、パッチ適用の試行回数、各説明の参照回数、及び掲示板やＨＥＬＰの参照回数を取得する。

　ステップ２４０（Ｓ２４０）において、対策評価部５２２は、構成情報取得部５００により取得された構成情報と、脆弱性情報収集部５０２により収集された脆弱性情報と、操作履歴取得部５２０により取得された操作履歴に基づいて、ユーザ端末３の評価値を算出する。
　ステップ２４５（Ｓ２４５）において、対策評価部５２２によりされた算出された評価値に基づいて、評価値を有するユーザ端末３のユーザのセキュリティ意識の高さ、及びＩＴスキルの高さを判定する。
　ステップ２５０（Ｓ２５０）において、通知内容生成部５２４は、危険度算出部５０８により算出された危険度と、セキュリティ対策の実施内容とを通知する通知内容を生成する。さらに、通知内容生成部５２４は、生成した通知内容を、対策評価部５２２により算出された評価値に応じた表示態様に変更する。出力部５２６は、通知内容生成部５２４により生成された内容、及び変更された表示態様にて、通知内容をユーザ端末３に表示する。

　実施例３では、ユーザによるユーザ端末３の操作履歴に基づいて、評価値を算出し、さらに、脆弱性情報、構成情報、操作履歴に基づいて、パッチの適用の失敗を検知する場合を説明する。
　図８は実施例３におけるセキュリティ対策管理装置５の機能構成を例示する図である。
本図に示された各構成のうち、図６に示された構成と実質的に同一のものには同一の符号が付されている。
　図８に例示するように、実施例３におけるセキュリティ対策管理装置５には、セキュリティ対策管理プログラム５４がインストールされると共に、脆弱性情報データベース６００（脆弱性情報ＤＢ６００）、構成情報データベース６１０（構成情報ＤＢ６１０）、及び操作履歴データベース６２０（操作履歴情報ＤＢ６２０）が構成される。
　セキュリティ対策管理プログラム５４は、構成情報取得部５００、脆弱性情報収集部５０２、検索部５０４、危険度算出部５０８、評価値マップ生成部５１４、操作履歴取得部５２０、対策評価部５２２、通知内容生成部５２４に加え、失敗検知部５４０、及び出力部５４２を有する。
　なお、セキュリティ対策管理プログラム５４の一部又は全部は、ＡＳＩＣなどのハードウェアにより実現されてもよく、また、ＯＳ（ＯｐｅｒａｔｉｎｇＳｙｓｔｅｍ）の機能を一部借用して実現されてもよい。

　失敗検知部５４０は、構成情報取得部５００により取得された構成情報と、操作履歴取得部５２０により取得された操作履歴と、脆弱性情報収集部５０２により収集された脆弱性情報とに基づいて、修正プログラム又は更新プログラムの適用に失敗したことを検知する。
　出力部５４２は、通知内容生成部５２４により生成された情報セキュリティに関する通知の内容を、通知内容生成部５２４により変更された表示態様でユーザ端末３に表示する。さらに、失敗検知部５４０により検知されたパッチ適用の失敗を出力する。具体的には、出力部５４２は、操作履歴取得部５２０により収集された各ユーザの操作履歴に基づいて、パッチ適用の失敗、及びパッチの未適用を検知し、所定の通知を行う。所定の通知とは、ユーザ端末３のパッチの適用の失敗の表示、通知、メールの送信、警告灯９の点灯、又は警告音の出力をいう。
より具体的には、出力部５４２は、パッチの適用に失敗したユーザ、パッチ未適用のユーザのユーザ端末３に対して、異なる通知を行う。

　図９は、セキュリティ対策管理装置５によるセキュリティ対策推進処理（Ｓ３０）を説明するフローチャートである。
　図９に例示するように、ステップ３００（Ｓ３００）において、脆弱性情報収集部５０２は、脆弱性情報を公開している外部のＷｅｂサイトを常時監視する。
　ステップ３０５（Ｓ３０５）において、脆弱性情報収集部５０２は、外部のＷｅｂサイトに新たな脆弱性情報が掲載されたことを検知した場合に、Ｓ３１０へ移行し、新たな脆弱性情報を検知しない場合に、Ｓ３００へ移行し、監視を続ける。
　ステップ３１０（Ｓ３１０）において、脆弱性情報収集部５０２は、新たに掲載された脆弱性情報を収集する。具体的には、脆弱性情報収集部５０２は、新たに掲載された脆弱性情報の対象ソフトウェア、危険度、及びパッチの有無を収集し、脆弱性情報ＤＢ６００に格納する。さらに、脆弱性情報収集部５０２は、収集した脆弱性情報を検索部５０４に通知する。
　ステップ３１５（Ｓ３１５）において、構成情報取得部５００は、ネットワーク７に接続するユーザ端末３の最新の構成情報を取得する。具体的には、構成情報取得部５００は、ユーザ端末３のＯＳ情報、ユーザ情報、インストールしているソフトウェア情報、及びパッチの適用状況を取得し、構成情報ＤＢ６１０に格納する。

　ステップ３２０（Ｓ３２０）において、検索部５０４は、脆弱性情報収集部５０２により通知された脆弱性情報に該当するユーザ端末３が存在するか否かを構成情報ＤＢ６１０に格納される構成情報から検索する。
　ステップ３２５（Ｓ３２５）において、検索部５０４による検索の結果、該当するユーザ端末３が存在する場合に、セキュリティ対策推進処理（Ｓ３０）は、Ｓ３３０へ移行し、該当するユーザ端末３が存在しない場合に、Ｓ３００へ移行する。
　ステップ３３０（Ｓ３３０）において、危険度算出部５０８は、脆弱性情報収集部５０２により収集された脆弱性情報と、検索部５０４により検索されたユーザ端末３の構成情報とに基づいて、ユーザ端末３の危険度を算出する。
　ステップ３３５（Ｓ３３５）において、操作履歴取得部５２０は、ユーザの操作履歴として、ユーザが操作するユーザ端末３のパッチ適用までの時間、パッチ適用の試行回数、各説明の参照回数、及び掲示板やＨＥＬＰの参照回数を取得する。
　ステップ３４０（Ｓ３４０）において、対策評価部５２２は、操作履歴取得部５２０により取得された操作履歴に基づいて、ユーザ端末３のユーザの評価値を算出する。
　ステップ３４５（Ｓ３４５）において、対策評価部５２２によりされた算出された評価値に基づいて、評価値を有するユーザ端末３のユーザのセキュリティ意識の高さ、及びＩＴスキルの高さを判定する。
　ステップ３５０（Ｓ３５０）において、通知内容生成部５２４は、危険度算出部５０８により算出された危険度と、セキュリティ対策の実施内容とを通知する通知内容を生成し、さらに、出力部５４２は、生成した通知内容を、対策評価部５２２により算出された評価値に応じた表示態様でユーザ端末３に表示する。
　ステップ３５５（Ｓ３５５）において、失敗検知部５４０が、通知内容生成部５２４の通知により実施された、ユーザによるパッチ適用の失敗を検知した場合に、セキュリティ対策推進処理（Ｓ３０）は、Ｓ３６０へ移行し、パッチ適用の失敗を検知しない場合に処理を終了する。
　ステップ３６０（Ｓ３６０）において、出力部５４２は、ユーザ端末３にパッチの適用に失敗したことを通知する表示を行い、さらに、ユーザに失敗事例の共有を促す。そして、出力部５４２は、パッチの適用を成功させるために、ユーザ端末３において、既にパッチの適用を実施済みの人を検索可能にする。これにより、パッチの適用に失敗したユーザは、実施済みのユーザに補助を求めることができる。したがって、セキュリティ管理者がパッチの適用に失敗したユーザに対応する手間が省け、ユーザ間でセキュリティ対策の実施が可能になる。

　次に、対策評価部５２２により算出された評価値、及びユーザの特徴に応じたセキュリティ情報の通知方法について説明する。
　図１０は、即座にパッチを適用するユーザのユーザ端末３の画面遷移例である。
　図１０に例示するように、即座にパッチを適用するユーザのユーザ端末３では、「ＷＡＲＮＩＮＧ」「ＡＬＥＲＴ」のアラートが表示される。ユーザがアラート表示に従い、セキュリティ対策の対処中である場合に、ユーザ端末３は、「対処中」であることを示す。ここでは、即座にパッチを適用するユーザであるため、簡易な表示となる。対処完了となると、別のユーザ端末３において「ヘルプ」を押下したユーザが表示される。ユーザは、掲示板でトラブル内容を確認し、コメントすることが可能となる。これにより、パッチ適用済みのユーザは、「ヘルプ」を押下したユーザのパッチの適用を助けることができる。

　図１１は、パッチの適用方法がわからないユーザのユーザ端末３の画面遷移例である。
　図１１に例示するように、パッチの適用方法がわからないユーザのユーザ端末３では、「ＷＡＲＮＩＮＧ」「ＡＬＥＲＴ」のアラートが表示される。ユーザがアラート表示に従い、セキュリティ対策の対処中である場合に、ユーザ端末３は、「対処中」であることを示す。メッセージ（コードの実行）及びメッセージ（権限昇格）の意味を確認する画面を経て、ユーザは、「ＨＥＬＰ」ボタンにより、助けて欲しいユーザリストに載る。そして、ユーザ端末３では、「検索」ボタンにより、パッチの適用を実施済みのユーザが表示される。これにより、パッチの適用方法がわからないユーザは、パッチの適用が実施済みのユーザに助けてもらい、パッチを適用することができる。

　図１２は、パッチを適用したが失敗したユーザのユーザ端末３の画面遷移例である。
　図１２に例示するように、まず、ユーザ端末３では、「ＷＡＲＮＩＮＧ」「ＡＬＥＲＴ」のアラートが表示される。ユーザがアラート表示に従い、セキュリティ対策の対処を行ったが失敗した場合に、ユーザ端末３は、出力部５４２により通知された「パッチの適用の失敗」を示す表示を行う。次に、ユーザ端末３は、ユーザにパッチの適用事例の失敗を掲示板に記載するよう促し、パッチの適用に成功したユーザの応答を待つ。さらに、「検索」ボタンにより、パッチの適用を実施済みのユーザを表示する。これにより、パッチの適用に失敗したとしても、パッチの適用が実施済みのユーザに助けてもらい、パッチを適用することができる。さらに、失敗した事例を掲示板に書き込むことにより、失敗事例が共有され、同様のパッチの適用失敗に対して予防、及び対処することが可能となる。

　図１３（ａ）は、パッチの適用の時間がないユーザのへの通知の画面例である。
　図１３（ａ）に例示するように、通知内容生成部５２４により、アラートの通知がユーザ端末３に通知され、既定の時間経過した場合に、出力部５４２は、ユーザ端末３に、「後で実施」ボタンを表示し、パッチ適用の時刻指定を可能にする。時刻指定をすることによりパッチの適用の未実施を防ぐ。
　図１３（ｂ）は、パッチの未適用理由があるユーザへの通知の画面例である。
　図１３（ｂ）に例示するように、通知内容生成部５２４により、により、アラートの通知がユーザ端末３に通知され、既定の時間経過した場合に、出力部５４２は、ユーザ端末３に、パッチ未適用の理由の書き込みを促す。パッチの未適用理由としては、例えば、他のバグが出る等でパッチの適用に不満がある、通信状態が悪く、パッチをダウンロードできない、及び環境要因等が挙げられる。セキュリティ管理者は、書き込まれた未適用理由に基づいて対処を検討することができる。

　図１３（ｃ）は、パッチを適用しなくてもいいと思っている（セキュリティ意識が低い）ユーザへの通知の画面例である。
　図１３（ｃ）に例示するように、通知内容生成部５２４は、対策評価部５２２により、セキュリティ意識が低いと判定されたユーザへの通知として、アラートの表示を大きくし、パッチの適用を放置できないようにする。さらに、アラートの通知を行ったが、既定時間を超えた場合に、出力部５４２は、ユーザ端末３に、パッチ未適用の理由の書き込みを促す。また、出力部５４２は、ユーザ端末３に、「後で実施」ボタンを表示し、パッチ適用の時刻指定を可能にし、パッチの適用が確実になされるようにする。
　また、出張中のユーザのユーザ端末３は、ネットワーク７に接続されていないため、アラートの表示はせず、ネットワーク７に接続された時に、通知内容生成部５２４は、ユーザ端末３にアラートの表示を行う。

　図１４は、ユーザの評価値の可視化を例示する図である。
　図１４に例示するように、組織に属する各ユーザの評価値を、シンボルで表現してマップ表示する。具体的には、評価値マップ生成部５１４は、評価値に対応するシンボルを、座席図に重ねて表示する。これにより、セキュリティ意識、またはＩＴスキルの高さを視覚的に把握でき、補助をお願いできるユーザが一目で分かる。

　以上説明したように、セキュリティ対策管理装置５によれば、ユーザの特徴に応じたセキュリティ情報通知内容を生成するため、セキュリティ対策の実施の確率を上げることができ、社内システムの堅牢性の向上に繋がる。また、パッチを適用したユーザと、パッチの適用に補助が必要なユーザとを引き合わせることができるため、セキュリティ管理者を介さず、ユーザ間で対処可能であり、セキュリティ管理者の作業負担が軽減される。

　１…セキュリティ対策管理システム
　３…ユーザ端末
　５…セキュリティ対策管理装置
　７…ネットワーク
　５０、５２、５４…セキュリティ対策管理プログラム
　５００…構成情報取得部
　５０２…脆弱性情報収集部
　５０４…検索部
　５０６…タイミング特定部
　５０８…危険度算出部
　５１０、５２２…対策評価部
　５１２、５２４…通知内容生成部
　５１４…評価値マップ生成部
　５１６、５２６、５４２…出力部
　５２０…操作履歴取得部
　５４０…失敗検知部
　６００…脆弱性情報データベース
　６１０…構成情報データベース
　６２０…操作履歴データベース

Claims

　所定のネットワークに接続している機器の構成情報を取得する構成情報取得部と、
　適用可能な情報セキュリティ対策を示す脆弱性情報を収集する情報収集部と、
　前記構成情報取得部により取得された構成情報と、前記情報収集部により収集された脆弱性情報とに基づいて、機器毎に、適用可能な情報セキュリティ対策の適用タイミングを特定するタイミング特定部と、
　前記タイミング特定部により特定された適用タイミングに基づいて、個人又は組織の情報セキュリティ対策に関する評価値を生成する対策評価部と
　を有するセキュリティ対策管理装置。
　前記情報収集部は、適用可能な修正プログラム又は更新プログラムに関する情報と、更新可能なウイルス定義ファイルに関する情報とを前記脆弱性情報として収集し、
　前記構成情報取得部は、それぞれの機器に適用されている修正プログラム又は更新プログラムを識別する識別情報と、それぞれの機器におけるウイルス定義ファイルの更新に関する情報とを前記構成情報として取得する
　請求項１に記載のセキュリティ対策管理装置。
　前記タイミング特定部は、既定のタイミングにおける、適用可能な情報セキュリティ対策の適用の有無を判定し、
　前記対策評価部は、前記タイミング特定部による判定結果に基づいて、前記既定のタイミングにおける評価値を生成する
　請求項１に記載のセキュリティ対策管理装置。
　前記対策評価部により生成された評価値に応じて、情報セキュリティに関する通知の内容又は表示態様を変更する通知内容生成部
　をさらに有する請求項１に記載のセキュリティ対策管理装置。
　前記対策評価部は、組織に属する各個人の評価値を生成し、
　前記対策評価部により生成された各個人の評価値に対応する大きさのシンボルを、既定の図面上に配置して表示するマップ生成部
　をさらに有する請求項１に記載のセキュリティ対策管理装置。
　前記機器に対する操作履歴を取得する操作履歴取得部と、
　前記構成情報取得部により取得された構成情報と、前記操作履歴取得部により取得された操作履歴と、前記情報収集部により収集された脆弱性情報とに基づいて、修正プログラム又は更新プログラムの適用に失敗したことを検知する失敗検知部と、
　前記失敗検知部により検知された適用の失敗を出力する出力部と
　をさらに有する請求項１に記載のセキュリティ対策管理装置。
　所定のネットワークに接続している機器の構成情報を取得する構成情報取得部と、
　前記機器に対する操作履歴を取得する操作履歴取得部と、
　適用可能な情報セキュリティ対策を示す脆弱性情報を収集する情報収集部と、
　前記構成情報取得部により取得された構成情報と、前記操作履歴取得部により取得された操作履歴と、前記情報収集部により収集された脆弱性情報とに基づいて、修正プログラム又は更新プログラムの適用に失敗したことを検知する失敗検知部と、
　前記失敗検知部により検知された適用の失敗を出力する出力部と
　を有するセキュリティ対策管理装置。
　所定のネットワークに接続している機器の構成情報を取得する構成情報取得ステップと、
　適用可能な情報セキュリティ対策を示す脆弱性情報を収集する情報収集ステップと、
　前記構成情報取得ステップにより取得された構成情報と、前記情報収集ステップにより収集された脆弱性情報とに基づいて、機器毎に、適用可能な情報セキュリティ対策の適用タイミングを特定するタイミング特定ステップと、
　前記タイミング特定ステップにより特定された適用タイミングに基づいて、個人又は組織の情報セキュリティ対策に関する評価値を生成する対策評価ステップと
　を有するセキュリティ対策管理方法。
　所定のネットワークに接続している機器の構成情報を取得する構成情報取得ステップと、
　適用可能な情報セキュリティ対策を示す脆弱性情報を収集する情報収集ステップと、
　前記構成情報取得ステップにより取得された構成情報と、前記情報収集ステップにより収集された脆弱性情報とに基づいて、機器毎に、適用可能な情報セキュリティ対策の適用タイミングを特定するタイミング特定ステップと、
　前記タイミング特定ステップにより特定された適用タイミングに基づいて、個人又は組織の情報セキュリティ対策に関する評価値を生成する対策評価ステップと
　をコンピュータに実行させるプログラム。