JP2009015570A - System and method for distributing vulnerability information - Google Patents
System and method for distributing vulnerability information Download PDFInfo
- Publication number
- JP2009015570A JP2009015570A JP2007176237A JP2007176237A JP2009015570A JP 2009015570 A JP2009015570 A JP 2009015570A JP 2007176237 A JP2007176237 A JP 2007176237A JP 2007176237 A JP2007176237 A JP 2007176237A JP 2009015570 A JP2009015570 A JP 2009015570A
- Authority
- JP
- Japan
- Prior art keywords
- information
- vulnerability information
- vulnerability
- keyword
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 38
- 238000004891 communication Methods 0.000 claims abstract description 38
- 238000012790 confirmation Methods 0.000 claims description 45
- 238000012546 transfer Methods 0.000 claims description 17
- 230000008520 organization Effects 0.000 abstract description 38
- 230000008859 change Effects 0.000 abstract description 13
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 238000012545 processing Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 20
- 238000011161 development Methods 0.000 description 10
- 238000000605 extraction Methods 0.000 description 10
- 230000004044 response Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 230000010485 coping Effects 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 239000000470 constituent Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 238000012946 outsourcing Methods 0.000 description 2
- 230000010365 information processing Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、通信機器、情報システム、コンピュータプログラム等の情報システム製品に影響する脆弱性に関する情報を管理するための脆弱性情報流通システムに関する。 The present invention relates to a vulnerability information distribution system for managing information related to vulnerabilities affecting information system products such as communication devices, information systems, and computer programs.
情報通信ネットワークに関連する装置や機器、コンピュータプログラム等の情報システム製品において、脆弱性が発見された場合は、その発見された脆弱性に対して迅速かつ適切に対応する必要がある。最近では、そのような情報システム製品に関する脆弱性の情報をネットワーク上で提供する情報サイトやメーリングリストなどの情報ソースがある。 When a vulnerability is found in an information system product such as a device, device, or computer program related to an information communication network, it is necessary to respond promptly and appropriately to the discovered vulnerability. Recently, there are information sources such as information sites and mailing lists that provide vulnerability information on such information system products on the network.
企業において、脆弱性への迅速かつ適切な対応を行うためには、上記のような情報ソースを常に監視し、運用または開発する情報システム製品の脆弱性が発見された場合に、その脆弱性の情報を関係者に迅速に通知する必要がある。 In order for companies to respond quickly and appropriately to vulnerabilities, information sources such as the above are constantly monitored, and vulnerabilities in information system products that are operated or developed are discovered. Information needs to be communicated to relevant parties quickly.
特許文献1には、サーバと情報端末装置がネットワークを介して接続された認証システムが記載されている。この認証システムでは、情報端末装置が、セキュリティ情報提供サイトから脆弱性情報を収集し、その収集した脆弱性情報に基づいて、自装置のセキュリティ上の危険度を判定する。この危険度の判定結果は、情報端末装置からサーバへ供給される。サーバは、供給された危険度に基づいて、情報端末装置のセキュリティ認証を行う。
しかしながら、特許文献1に記載のシステムは、脆弱性の管理対象である情報システム製品の管理者(担当者)に対する効率的な脆弱性情報の通知を実現するものではない。企業においては、担当者が所属する組織が変更されたり、情報システム製品の仕様が変更されたりする。組織や仕様の変更に伴って、脆弱性情報の通知先や通知すべき脆弱性情報の内容も変化する。特許文献1に記載のシステムは、そのような組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境における、脆弱性情報の迅速かつ適切な伝達を実現するための構成を有していない。このため、脆弱性情報の適材適所への流通に関して、以下のような課題がある。
However, the system described in
第1の課題は、ユーザに必要な脆弱性情報を継続的に伝達することである。 The first problem is to continuously transmit necessary vulnerability information to the user.
組織における情報システム製品の数は膨大である上に、ある時点での情報システム製品の仕様や担当者を把握していても、新規プロジェクトの立ち上げ、仕様の変更、開発フェーズから運用・維持管理フェーズへの移行に伴う主管部門の変更、担当者の異動などにより、送るべき脆弱性情報の内容や通知先は変化する。このため、担当者の宛先情報(通知先)や担当者が必要とする脆弱性情報の種類を管理する必要がある。 The number of information system products in the organization is enormous, and even if the information system product specifications and the person in charge are known at a certain point in time, new projects are launched, specifications are changed, and operations and maintenance are performed from the development phase. Vulnerability information to be sent and the notification destination will change due to changes in the supervisory department accompanying the transition to the phase and changes in the person in charge. For this reason, it is necessary to manage the destination information (notification destination) of the person in charge and the type of vulnerability information required by the person in charge.
第2の課題は、情報システム製品の構成情報を正確に把握することである。 The second problem is to accurately grasp the configuration information of the information system product.
情報システム製品は、市販製品やオープンソースソフトウェア、独自開発等の多様な提供形態を取り得、また、OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコルといった項目の複雑な組み合わせによって構成されるため、その構成を正確に把握することは難しい。さらに、開発のアウトソーシングや運用担当者が開発部隊からプロダクトやシステムを引き継いだ場合においては、プロダクトやシステムの全容を把握することは困難である。このため、適材適所への脆弱性情報の伝達を実現するためには、情報システム製品の構成情報を示すキーワードを効率的に抽出する必要がある。 Information system products can take a variety of forms such as commercial products, open source software, and original development, and are composed of complex combinations of items such as OS, middleware, application software, functional modules, libraries, and protocols. It is difficult to accurately grasp the configuration. Furthermore, when a development outsourcer or operation person takes over a product or system from a development unit, it is difficult to grasp the entire product or system. For this reason, in order to realize transmission of vulnerability information to the right person in the right place, it is necessary to efficiently extract keywords indicating the configuration information of the information system product.
第3の課題は、組織内での脆弱性情報の流通状況を把握することである。 The third problem is to grasp the distribution status of vulnerability information in the organization.
脆弱性情報が適材適所に網羅的に伝わっているかどうかを評価するために、組織内での情報流通状況を把握する必要がある。しかし、電子メールや脆弱性情報を提供するWebサイトなどの情報源から、ユーザが個々に脆弱性情報を入手して対処しているのが現状であり、どのユーザにどのような脆弱性情報が伝達されているかといった脆弱性情報の流通状況を組織全体として把握することは困難である。このため、組織内での脆弱性情報の流通状況を把握可能とするための手段が必要である。 In order to evaluate whether vulnerability information is comprehensively transmitted to the right person in the right place, it is necessary to grasp the information distribution status within the organization. However, the current situation is that users acquire vulnerability information individually from information sources such as e-mail and websites that provide vulnerability information, and what vulnerability information is available to which user. It is difficult for the entire organization to grasp the distribution status of vulnerability information, such as whether it is transmitted. For this reason, a means for making it possible to grasp the distribution status of vulnerability information in the organization is necessary.
第4の課題は、組織内での脆弱性への対処状況を把握することである。 The fourth problem is to grasp the status of dealing with vulnerabilities in the organization.
組織全体のリスクマネジメントの観点から、組織内に存在する脆弱性とその対処状況を把握することが望ましい。しかし、現状では、対処状況の伝達手段として電話や電子メールを用いているため、脆弱性への対処状況を組織全体としてとりまとめ、組織の抱えるリスクとして可視化することは困難である。このため、組織全体での対処状況の把握が可能な手段が必要である。 From the perspective of risk management of the entire organization, it is desirable to understand the vulnerabilities that exist in the organization and how to deal with them. However, at present, telephones and e-mails are used as means for communicating countermeasures, so it is difficult to summarize the countermeasures against vulnerabilities as a whole and visualize them as risks that the organization has. For this reason, there is a need for means capable of grasping the coping status of the entire organization.
第5の課題は、脆弱性情報が組織外に漏洩しないように情報管理を行うことである。 A fifth problem is to manage information so that vulnerability information does not leak outside the organization.
一般に公開されていない脆弱性情報を扱う際には、組織外にその脆弱性情報が漏洩しないように厳格な情報管理が必要である。しかし、現状では、電子メールにより機密性の高い脆弱性情報や対処状況を転送しており、機密情報が不特定多数の端末に分散して格納されているため、情報漏洩のリスクが高い。このため、不特定多数の端末に分散しない形で情報を共有するような手段を設ける必要がある。 When dealing with vulnerability information that is not open to the public, strict information management is necessary so that the vulnerability information is not leaked outside the organization. However, at present, highly sensitive vulnerability information and countermeasures are transferred by e-mail, and the confidential information is distributed and stored in an unspecified number of terminals, so there is a high risk of information leakage. For this reason, it is necessary to provide means for sharing information without being distributed to an unspecified number of terminals.
なお、特許文献1のシステムでは、脆弱性情報の収集源をWebサイトなどに限定しているため、一般公開済みの脆弱性情報のみを扱うことに特化してしる。組織外への情報漏洩に細心の注意が必要な機密情報としての取り扱いを要する未公開の脆弱性情報を、組織の中で適切に伝達して管理する方法については、特許文献1には開示されていない。
In the system disclosed in
本発明は、上記課題に鑑みてなされたものであり、その目的は、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現することのできる脆弱性情報流通システムを提供することにある。 The present invention has been made in view of the above problems, and its purpose is to promptly and appropriately disclose vulnerability information even in an environment in which the notification destination and contents of vulnerability information change as the organization and specifications change. It is to provide a vulnerability information distribution system that can realize transmission.
上記目的を達成するため、本発明の脆弱性情報流通システムは、
脆弱性の管理対象である情報システム製品について、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報が格納される脆弱性情報データベースと、
ユーザが必要とする情報システム製品の脆弱性情報の種類を識別するための、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードと、前記ユーザへの情報の通知を行うための宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントデータベースと、
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、前記コンタクトポイントデータベースから検索し、該検索したユーザプロファイルに含まれる宛先情報を参照して、暗号化された通信によりWeb画面を提示し、該Web画面にて該脆弱性情報の通知を行う脆弱性情報通知部と、を有することを特徴とする。
In order to achieve the above object, the vulnerability information distribution system of the present invention is:
A vulnerability information database in which vulnerability information including a keyword indicating at least one component related to the vulnerability of the information system product is stored for an information system product that is a vulnerability management target;
A keyword indicating at least one component related to the vulnerability of the information system product for identifying the type of vulnerability information of the information system product required by the user, and for notifying the user of the information A contact point database in which a user profile including destination information is stored;
For the vulnerability information stored in the vulnerability information database, a user profile including a keyword that matches the keyword included in the vulnerability information is searched from the contact point database, and the destination information included in the searched user profile And a vulnerability information notification unit that presents a Web screen by encrypted communication and notifies the vulnerability information on the Web screen.
上記の構成によれば、コンタクトポイントデータベースで、ユーザ(担当者)の宛先情報やユーザ(担当者)が必要とする脆弱性情報の種類を管理することができるので、データベースを更新することで、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境への適用が可能である。これにより、第1の課題を解決する。 According to the above configuration, the contact point database can manage the destination information of the user (person in charge) and the type of vulnerability information required by the user (person in charge), so by updating the database, It can be applied to environments where the notification destination and content of vulnerability information changes as the organization and specifications change. This solves the first problem.
また、脆弱性情報データベースに格納される脆弱性情報は、情報システム製品の脆弱性に関わる構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードを含む。また、ユーザプロファイルには、ユーザが必要とする脆弱性情報の種類を識別するための情報として、構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードが登録される。そして、脆弱性情報データベースに格納される脆弱性情報に含まれているキーワードと、ユーザプロファイルに登録されたキーワードとを比較することで、脆弱性情報を通知すべきユーザを検索する。この仕組みによれば、脆弱性情報データベースにおいて、脆弱性情報とともに情報システム製品の構成要素を管理することができるので、市販製品やオープンソースソフトウェア、独自開発等の多様な提供形態を取り得る情報システム製品や、OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコルといった項目の複雑な組み合わせによって構成される情報システム製品についても、構成情報を正確に把握することが可能である。また、開発のアウトソーシングや運用担当者が開発部隊からプロダクトやシステムを引き継いだ場合において、ユーザは、プロダクトやシステムの全容を把握していなくても、必要なキーワードをユーザプロファイルに登録するだけで、自身の担当する情報システム製品の脆弱性情報を自動的に取得することができる。これにより、第2の課題を解決する。 Further, the vulnerability information stored in the vulnerability information database indicates at least one component of components (OS, middleware, application software, function module, library, protocol) related to the vulnerability of the information system product. Contains keywords. In the user profile, as information for identifying the type of vulnerability information required by the user, at least one constituent element of constituent elements (OS, middleware, application software, functional module, library, protocol) is included. A keyword indicating is registered. Then, by comparing a keyword included in the vulnerability information stored in the vulnerability information database with a keyword registered in the user profile, a user who should be notified of the vulnerability information is searched. According to this mechanism, the vulnerability information database can manage the components of the information system product along with the vulnerability information, so the information system can take various forms of provision such as commercial products, open source software, original development, etc. It is also possible to accurately grasp the configuration information of an information system product configured by a complicated combination of items such as products, OS, middleware, application software, function modules, libraries, and protocols. In addition, when a development outsourcing or operation person takes over a product or system from a development team, the user can register the necessary keywords in the user profile without having to know the full product and system. Vulnerability information of the information system product that it is in charge of can be automatically acquired. This solves the second problem.
また、ユーザへの脆弱性情報の通知は、暗号化された通信により提示されたWeb画面により行われるので、脆弱性情報が組織外に漏洩しないように情報管理を行うことが可能である。これにより、第5の課題を解決する。 In addition, since the vulnerability information is notified to the user through the Web screen presented by encrypted communication, information management can be performed so that the vulnerability information does not leak outside the organization. This solves the fifth problem.
本発明の脆弱性情報流通システムにおいて、ユーザに通知した脆弱性情報の種類と通知した日時の情報を、脆弱性情報データベースの操作ログを分析することにより集計し、該集計結果を、暗号化された通信により提示したWeb画面を通じて他のユーザに開示する脆弱性情報流通状況確認部を、さらに有してもよい。この構成によれば、ユーザは、自由に組織内での脆弱性情報の流通状況を把握することが可能である。これにより、第3の課題を解決する。 In the vulnerability information distribution system of the present invention, the type of vulnerability information notified to the user and the information of the notified date and time are tabulated by analyzing the operation log of the vulnerability information database, and the tabulated result is encrypted. You may further have the vulnerability information distribution condition confirmation part disclosed to other users through the Web screen presented by the communication. According to this configuration, the user can freely grasp the distribution status of vulnerability information in the organization. This solves the third problem.
また、本発明の脆弱性情報流通システムにおいて、ユーザが使用するクライアント端末から、通知した脆弱性情報に対する対処状況を受信し、該受信した対処状況を脆弱性情報別に対処状況データベースに登録する対処状況登録部と、対処状況データベースに登録されたユーザの対処状況を、暗号化された通信により提示したWeb画面を通じて他のユーザに公開する対処状況確認部と、をさらに有してもよい。この構成によれば、ユーザは、組織全体での対処状況の把握が可能となる。これにより、第4の課題を解決する。 Also, in the vulnerability information distribution system of the present invention, a response status is received from the client terminal used by the user, and the response status for the notified vulnerability information is registered in the response status database for each vulnerability information. The information processing apparatus may further include a registration unit and a handling status confirmation unit that publishes the handling status of the user registered in the handling status database to other users through a Web screen presented by encrypted communication. According to this configuration, the user can grasp the handling status of the entire organization. This solves the fourth problem.
本発明によれば、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現することができる。 According to the present invention, it is possible to realize prompt and appropriate transmission of vulnerability information even in an environment in which the notification destination and content of vulnerability information change with changes in organization and specifications.
次に、本発明の実施形態について図面を参照して説明する。 Next, embodiments of the present invention will be described with reference to the drawings.
図1は、本発明の一実施形態に係る脆弱性情報流通システムの構成を示すブロック図である。 FIG. 1 is a block diagram showing a configuration of a vulnerability information distribution system according to an embodiment of the present invention.
図1を参照すると、脆弱性情報流通システム1は、脆弱性情報の管理および伝達を行うものであって、ユーザ組織ネットワーク10b内に配備される。ユーザ組織ネットワーク10は、企業の組織内において構築されるネットワークであって、クライアント端末2、Webサイトクローラ3およびオペレータ端末4を有する。
Referring to FIG. 1, the vulnerability
クライアント端末2、Webサイトクローラ3およびオペレータ端末4は、プログラムにより動作するコンピュータ端末よりなる。コンピュータ端末は、パーソナルコンピュータに代表される端末であって、その基本構成は、プログラムなどを蓄積する記憶装置、キーボードやマウスなどの入力装置、CRTやLCDなどの表示装置、外部との通信を行うモデムなどの通信装置、プリンタなどの出力装置、および記憶装置に格納されたプログラム従って動作し、入力装置からの入力を受け付けて通信装置、出力装置、表示装置の動作を制御する制御装置から構成されている。コンピュータ端末の記憶装置には、Webサイト等の情報を閲覧するためのブラウザ等のプログラムが予めインストールされている。
The
脆弱性情報流通システム1も、プログラムにより動作するコンピュータ端末よりなる。脆弱性情報流通システム1は、Webサイトクローラ3またはオペレータ端末4がインターネットに代表されるネットワーク20上の脆弱性情報提供サイト30から収集した脆弱性情報や、クライアント端末2を通じてユーザが入力した脆弱性情報の登録・管理を行う。また、脆弱性情報流通システム1は、登録した脆弱性情報を必要とするユーザを検索し、そのユーザへ脆弱性情報を自動的に通知する。脆弱性情報流通システム1にて取り扱う脆弱性情報は、以下のデータ項目により構成される。これらの項目の多くは外部の情報源であるセキュリティ情報提供サイト30にて公開されている。
The vulnerability
・脆弱性情報ID(脆弱性情報を識別するための番号)
・脆弱性が影響を与える情報システム製品の名称
・脆弱性が影響を与える情報システム製品の提供ベンダ
・脆弱性の危険度を定量的に示すスコア
・脆弱性情報の公開日
・脆弱性情報の最終更新日
・脆弱性情報の公開元
・脆弱性を悪用可能なネットワーク環境(プロトコル、OS、通信機器等)
・脆弱性を悪用する際の対象プロダクトへの認証の要否
・脆弱性を悪用された場合に漏洩する情報のレベル
・脆弱性を悪用された場合に改ざんされる情報のレベル
・脆弱性を悪用された場合に停止する対象プロダクトの機能のレベル
・脆弱性を悪用するための攻撃方法の有無
・脆弱性を悪用するための攻撃方法の内容
・脆弱性を修正するための対策方法の有無
・脆弱性を修正するための対策方法の内容
・脆弱性を回避するための対策方法の有無
・脆弱性を回避するための対策方法の内容
次に、脆弱性情報流通システム1の構成について具体的に説明する。脆弱性情報流通システム1は、コンタクトポイント管理部100と脆弱性情報管理部200からなる。
・ Vulnerability information ID (number for identifying vulnerability information)
-Names of information system products affected by vulnerabilities-Vendors providing information system products affected by vulnerabilities-Scores that quantitatively indicate the risk level of vulnerabilities-Release date of vulnerability information-Final vulnerability information Update date-Vulnerability information publisher-Network environment (protocols, OS, communication devices, etc.) that can exploit vulnerabilities
・ Necessity to authenticate to the target product when exploiting the vulnerability ・ Level of information leaked when the vulnerability is exploited ・ Level of information tampered with when the vulnerability is exploited ・ Vulnerability exploited Function level of the target product to be stopped when it is released ・ Availability of attack methods to exploit vulnerabilities ・ Contents of attack methods to exploit vulnerabilities ・ Presence or absence of countermeasures to correct vulnerabilities ・ Vulnerability Contents of countermeasures for correcting vulnerability ・ Presence / absence of countermeasures to avoid vulnerability ・ Contents of countermeasures to avoid vulnerability Next, the configuration of vulnerability
まず、コンタクトポイント管理部100の構成を詳細に説明する。
First, the configuration of the contact
コンタクトポイント管理部100は、ユーザが必要とする脆弱性情報の種類と、所属組織名、電話番号、メールアドレスなどのユーザの属性情報とを含むユーザプロファイルの管理を行う。コンタクトポイント管理部100の主要部は、キーワードテンプレートデータベース(DB)110、コンタクトポイントデータベース(DB)120、キーワードテンプレート更新部130、ユーザプロファイル登録部140およびユーザプロファイル検索部150からなる。
The contact
キーワードテンプレートDB110は、ユーザがプロファイルとして登録可能な脆弱性情報の種類を示すキーワードを保持する。ここで、キーワードは、脆弱性の管理対象である情報システム製品の脆弱性に関わる構成要素を示すキーワードであって、例えば、プロトコル、ライブラリ、ミドルウェア、OS、通信機器、その他情報システム製品等である。
The
コンタクトポイントDB120は、ユーザプロファイルをユーザ別に保持する。ユーザプロファイルは、ユーザが必要とする脆弱性情報の種類を示すキーワードと、所属組織名、電話番号、メールアドレスなどのユーザの属性情報とを含む。ユーザプロファイルのキーワードは、キーワードテンプレートDB110に登録されたキーワードから選択したものである。
The
キーワードテンプレート更新部130は、キーワードテンプレートDB110に登録されるキーワードの更新処理を行う。ユーザが必要とする脆弱性情報を示すキーワードがキーワードテンプレートDB110に登録されていない場合は、キーワードテンプレート更新部130は、ユーザが任意に指定したキーワードをキーワードテンプレートへ反映させる。
The keyword
ユーザプロファイル登録部140は、ユーザプロファイルのコンタクトポイントDB120への登録を行う。コンタクトポイントDB120へ登録するユーザプロファイルの情報は、ユーザがクライアント端末2にて入力する。ユーザプロファイル登録部140は、ユーザが入力したユーザプロファイルの情報をクライアント端末2から受信し、その受信した情報をユーザプロファイルとしてコンタクトポイントDB120に登録する。
The user
また、ユーザプロファイル登録部140は、キーワード抽出部141を備える。キーワード抽出部141は、ユーザ自身が管理する情報システム製品に関する、仕様書、設計書、取扱説明書などのドキュメント(テキストデータ)をクライアント端末2から受け取る。キーワード抽出部141は、受け取ったドキュメントに含まれているキーワードとキーワードテンプレートDB110に登録されたキーワードとの比較を行い、一致したキーワードを、コンタクトポイントDB120内の該当するユーザプロファイルに登録する。ここで、ドキュメントとは、マイクロソフト社の「Word」、「Excel」および「PowerPoint」、アドビシステムズ社の「Adobe PDF」などに代表される既存のアプリケーションによって作成された電子ファイルである。「Word」、「Excel」、「PowerPoint」および「Adobe PDF」は、米国およびその他の国における登録商標または商標である。
In addition, the user
ユーザプロファイル検索部150は、ユーザが必要とする脆弱性情報の種類を示すキーワードやユーザの属性情報(所属組織名、電話番号、メールアドレスなど)のうちの任意の項目を検索用のキーとして用いて、コンタクトポイントDB120から該当するユーザプロファイルを検索する。ユーザプロファイル検索部150は、検索結果をクライアント端末2に表示させる。
The user
次に、脆弱性情報管理部200の構成を詳細に説明する。
Next, the configuration of the vulnerability
脆弱性情報管理部200は、Webサイトクローラ3またはオペレータ端末4もしくはクライアント端末2から供給される脆弱性情報の登録および管理を行うとともに、その登録した脆弱性情報に含まれているキーワード(プロトコル、ライブラリ、ミドルウェア、OS、通信機器、その他情報システム製品名など)に応じて、その脆弱性情報を必要とするユーザを検索する。また、脆弱性情報管理部200は、検索したユーザに脆弱性情報を通知し、その通知した脆弱性情報へのユーザの対処状況の管理を行う。脆弱性情報の通知は、Webサイトクローラ3またはオペレータ端末4もしくはクライアント端末2により新たな脆弱性情報が登録されるのを契機として自動的に実行される。
The vulnerability
脆弱性情報管理部200の主要部は、脆弱性情報データベース(DB)210、対処状況データベース(DB)220、脆弱性情報登録部230、脆弱性情報通知部240、脆弱性情報流通状況確認部250、脆弱性情報転送部260、対処状況登録部270および対処状況確認部280からなる。
The main parts of the vulnerability
脆弱性情報DB210は、脆弱性の管理対象である情報システム製品について、情報システム製品の脆弱性に関わる構成要素を示すキーワード(プロトコル、ライブラリ、ミドルウェア、OS、通信機器、その他情報システム製品名など)を少なくとも一つ含む脆弱性情報を保持する。対処状況DB220は、各ユーザに通知した脆弱性情報への対処状況を脆弱性情報別に保持する。
Webサイトクローラ3による自動監視とオペレータ端末4による有人監視の少なくとも一方により、ネットワーク20上に存在する脆弱性情報提供サイト30の定期的な監視が実行される。脆弱性情報登録部230は、Webサイトクローラ3またはオペレータ端末4を通じて新しい脆弱性情報を発見した場合は、その発見した脆弱性情報を、該脆弱性情報により特定される脆弱性に関連する情報システム製品の構成を示すキーワードを少なくとも一つ含む脆弱性情報として所定のフォーマットにパース(分解)し、それを脆弱性情報DB210に登録する。なお、発見した脆弱性情報について、脆弱性に関連する情報システム製品の構成を示すキーワードがキーワードテンプレートDB110に登録されていない場合は、脆弱性情報登録部230は、そのキーワードをキーワードテンプレートDB110に登録する。
Periodic monitoring of the vulnerability
また、脆弱性情報登録部230は、影響度判定部231を有する。影響度判定部231は、脆弱性情報登録部230にて登録される脆弱性情報の内容に基づいて脆弱性のリスクを表すスコアを計算する。計算したスコアは、登録される脆弱性情報に付与される。スコアの計算は、非特許文献(Complete CVSS Guide, URL[http://www.first.org/cvss/cvss-guide.html])に記載のCVSS(Common Vulnerability Scoring System)により行うことができる。
Further, the vulnerability
脆弱性情報通知部240は、脆弱性情報DB210に登録された脆弱性情報に含まれる一つ以上のキーワードと、コンタクトポイントDB120に登録されたユーザプロファイルに含まれるキーワードとを比較することにより、脆弱性情報を必要としているユーザを自動的に検索する。脆弱性情報通知部240は、SSL(Secure Socket Layer)/TLS(Transport Layer Security)などの暗号化通信技術を利用することにより、通信内容が第三者から保護されたWeb画面を通じて、検索したユーザに対して脆弱性情報を通知する。この脆弱性情報の通知において、脆弱性情報通知部240は、通知すべき脆弱性情報をスコアが高い順に並べて通知してもよい。
The vulnerability
脆弱性情報流通状況確認部250は、ユーザに通知した脆弱性情報の種類と通知した日時の情報を、脆弱性情報DB210の操作ログを分析することにより集計し、集計結果を他のユーザに開示する。
The vulnerability information distribution
ユーザは、クライアント端末2を通じて、通知された脆弱性情報を転送すべき他のユーザを任意に指定することができる。脆弱性情報転送部260は、ユーザにより指定された脆弱性情報を、そのユーザが任意に指定した他のユーザのクライアント端末へ転送する。
The user can arbitrarily designate another user to which the notified vulnerability information is to be transferred through the
ユーザは、クライアント端末2を通じて、通知された脆弱性情報への対処状況を入力することができる。対処状況登録部270は、ユーザに通知した脆弱性情報への対処状況をクライアント端末2から受け取り、それを対処状況DB220に登録する。
The user can input the handling status of the notified vulnerability information through the
対処状況確認部280は、ユーザが対処状況DB220に登録した脆弱性情報の対処状況を他のユーザに開示する。
The handling
キーワード更新部290は、脆弱性情報を閲覧したユーザのクライアント端末2に対して、その脆弱性情報の有用度に関する質問事項が設けられた画面情報を送信する。クライアント端末2にて、画面情報に基づく質問画面が表示され、ユーザは、その表示画面上で、質問に対する回答を行うことができる。キーワード更新部290は、ユーザの回答情報をクライアント端末2から受信し、受信した回答情報に基づいて、コンタクトポイントDB120に登録された、そのユーザのプロファイルへの新しいキーワードの追加の必要性を判断する。新しいキーワードの追加が必要な場合は、キーワード更新部290は、該当するユーザプロファイルに新しいキーワードを追加する。
The
次に、脆弱性情報流通システム1の動作を具体的に説明する。
Next, the operation of the vulnerability
脆弱性情報流通システム1では、テンプレートへのキーワード登録処理、ユーザプロファイルの登録および検索の処理、脆弱性情報の登録および通知の処理、対処状況の登録および確認の処理、脆弱性情報の流通状況の確認処理、脆弱性情報の転送処理、キーワードの自動更新処理といった各処理が実行される。以下、各処理について詳細に説明する。
In the vulnerability
(1)テンプレートへのキーワード登録処理
脆弱性情報流通システム1の管理者は、キーワードテンプレートDB110に、ユーザがプロファイルとして登録可能な脆弱性情報の種類を示すキーワードを予め登録する。また、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスすることができ、キーワードテンプレートDB110に登録されているキーワードを確認することができる。脆弱性情報流通システム1は、クライアント端末2からのアクセスを受け付ける際に、ユーザの正当性を判断するための認証処理を行う。認証処理に必要な情報(認証用のパスワードやIDなどの情報)は、ユーザおよび管理者の間で予め決められている。このアクセス時の認証処理は、後述する他の処理においても実行される。
(1) Keyword Registration Processing to Template The administrator of the vulnerability
キーワードの確認において、ユーザは、クライアント端末2の入力部にて、キーワードを確認するための入力操作を行う。脆弱性情報流通システム1では、キーワードテンプレート更新部130が、クライアント端末2からの確認要求を受け付けて、キーワードテンプレートDB110に登録されているキーワードの一覧情報をクライアント端末2に送信する。キーワードの一覧情報は、クライアント端末2の表示部にて表示される。この表示されたキーワードの一覧情報の中に、ユーザ自身が必要とする脆弱性情報を示すキーワードが含まれていない場合は、ユーザは、クライアント端末2を用いて任意のキーワードをキーワードテンプレートDB110に追加申請するための入力操作を行う。
In the keyword confirmation, the user performs an input operation for confirming the keyword at the input unit of the
キーワードテンプレート更新部130は、クライアント端末2からキーワードの追加申請の要求を受け付けると、その受け付けたキーワードをキーワードテンプレートへ反映させる。このキーワードの反映処理について、脆弱性情報流通システム1を運用する組織の運用ポリシーに応じた複数のプロシージャーを用意し、管理者は、それらプロシージャーから任意のプロシージャーを選択して反映処理を実行させることができる。プロシージャーとしては、キーワードの追加申請を受け付けた際に、受け付けたキーワードをキーワードテンプレートへ即座に反映させる処理や、脆弱性情報流通システム1の管理者が追加申請を承認した後に、受け付けたキーワードをキーワードテンプレートへ反映させる処理がある。
When the keyword
(2)ユーザプロファイルの登録および確認の処理
ユーザプロファイルの登録を行う場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、ユーザプロファイルの登録要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、ユーザプロファイル登録部140が、ユーザプロファイルの登録画面情報をクライアント端末2に送信する。
(2) User Profile Registration and Confirmation Process When registering a user profile, the user accesses the vulnerability
クライアント端末2では、ユーザプロファイルの登録画面情報に基づく画面が表示される。この表示画面にて、ユーザは、自身が必要とする脆弱性情報の種類を示すキーワードおよびユーザの属性情報(所属組織名、電話番号、メールアドレスなど)を入力する。ユーザプロファイル登録部140は、ユーザが入力したキーワードおよびユーザの属性情報をクライアント端末2から受け取り、それをユーザプロファイルとしてコンタクトポイントDB120に登録する。
On the
このユーザプロファイルの登録処理において、ユーザが必要とする脆弱性情報の種類を示すキーワードは、キーワードテンプレートDB110に登録されているキーワードの中から選択することができる。具体的には、ユーザプロファイル登録部140は、キーワードテンプレートDB110に登録されている全てのキーワードを選択肢としてクライアント端末2にて表示させる。ユーザは、クライアント端末2にて、その表示されたキーワードの選択肢から所望のキーワードを選択する。クライアント端末2は、ユーザによって選択されたキーワードの情報とユーザが入力した属性情報とを含むユーザプロファイルの情報をユーザプロファイル登録部140へ供給する。
In this user profile registration process, a keyword indicating the type of vulnerability information required by the user can be selected from the keywords registered in the
また、ユーザによるキーワードの選択登録に替えて、ドキュメントを入力してキーワードを自動的に登録するキーワード自動登録処理も可能である。以下に、キーワード自動登録処理を具体的に説明する。 In addition, keyword automatic registration processing in which a keyword is automatically registered by inputting a document is also possible instead of keyword registration by the user. The keyword automatic registration process will be specifically described below.
ユーザは、クライアント端末2にてWebブラウザを起動し、ユーザプロファイル登録部140が提供するWebインタフェースにアクセスする。次いで、ユーザは、Webインタフェース経由で、クライアント端末2からキーワード抽出部141へ、自身が管理する情報システム製品に関する、仕様書、設計書、取扱説明書などのドキュメント(テキストデータ)をアップロードする。
The user starts a Web browser on the
キーワード抽出部141は、クライアント端末2からそのアップロードされたドキュメントを受け取る。次いで、キーワード抽出部141は、受け取ったドキュメントに含まれているキーワードとキーワードテンプレートDB110に登録されたキーワードとの比較を行う。この比較において、キーワード抽出部141は、一致したキーワードをドキュメントから抽出する。そして、ユーザプロファイル登録部140が、キーワード抽出部141にて抽出したキーワードの情報とその承認用画面情報とを、Webインタフェース経由でクライアント端末2に送信する。
The
クライアント端末2は、ユーザプロファイル登録部140から受信したキーワードの情報および承認用画面情報を表示する。ユーザは、クライアント端末2にて、表示されたキーワードを確認し、問題がなければ、そのキーワードの登録を承認する旨の入力を行う。クライアント端末2は、承認入力がなされると、その旨を示す承認確定情報をユーザプロファイル登録部140へ送信する。
The
ユーザプロファイル登録部140は、クライアント端末2から承認確定情報を受信すると、キーワード抽出部141にて抽出したキーワードを、承認をしたユーザのユーザプロファイルとしてコンタクトポイントDB120に登録する。
When receiving approval confirmation information from the
ユーザによる承認を得られなかった場合は、ユーザプロファイル登録部140は、抽出したキーワードの登録を行わない。
If the user's approval is not obtained, the user
なお、ユーザプロファイルへのキーワードの登録は、ユーザによるキーワードの選択登録とドキュメントからキーワードを抽出するキーワード自動登録の一方もしくはこれら登録の併用により行うことができる。 Note that keywords can be registered in the user profile by either selecting and registering keywords by the user and automatic keyword registration for extracting keywords from a document, or by using these registrations in combination.
一方、ユーザプロファイルを確認する場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、ユーザプロファイルの確認要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、ユーザプロファイル検索部150が、ユーザプロファイルの確認用画面情報をクライアント端末2に送信する。
On the other hand, when confirming the user profile, the user uses the
クライアント端末2は、ユーザプロファイル検索部150から受信した確認用画面情報を表示する。表示された画面上で、ユーザが、脆弱性情報の種類を示すキーワードやユーザの属性情報のうちの任意の項目を指定する。クライアント端末2は、ユーザが指定した項目の情報をユーザプロファイル検索部150に送信する。
The
ユーザプロファイル検索部150は、クライアント端末2から受信した項目情報を検索用のキーとして用いて、コンタクトポイントDB120から該当するユーザプロファイルを検索する。そして、ユーザプロファイル検索部150は、検索したユーザプロファイルの情報をクライアント端末2に送信する。
The user
クライアント端末2は、ユーザプロファイル検索部150から受信したユーザプロファイルの情報を表示する。これにより、ユーザは、自身が登録したユーザプロファイルや他のユーザが登録したユーザプロファイルを確認することができる。
The
(3)脆弱性情報の登録および通知の処理
図2に、脆弱性情報管理部200にて行われる脆弱性情報の登録および通知の一連の処理手順を示す。
(3) Vulnerability Information Registration and Notification Processing FIG. 2 shows a series of processing procedures for vulnerability information registration and notification performed by the vulnerability
Webサイトクローラ3による自動監視とオペレータ端末4による有人監視の少なくとも一方により、ネットワーク20上に存在する脆弱性情報提供サイト30にて報告される脆弱性情報を定期的に監視する(ステップS10)。この定期的な監視において、Webサイトクローラ3またはオペレータ端末4は、一日一回以上の周期で脆弱性情報提供サイト30にアクセスする。脆弱性情報に付与されている「情報公開日」のデータを調べることで、新しい脆弱性情報が報告されたか否かを判定する(ステップS11)。脆弱性情報登録部230が、Webサイトクローラ3またはオペレータ端末4を通じて収集した脆弱性情報について、「情報公開日」に基づいて新しい脆弱性情報であるか否かを判定してもよい。
Vulnerability information reported on the vulnerability
新しい脆弱性情報が発見されると、脆弱性情報登録部230は、その発見された脆弱性情報を所定のフォーマットでパース処理して、脆弱性が関連する情報システム製品を示すキーワードを一つ以上含む脆弱性情報を得、それを脆弱性情報DB210に登録する(ステップS12)。
When new vulnerability information is discovered, the vulnerability
脆弱性情報提供サイトの中には、新しい脆弱性情報の掲載をRSSフィードによって通知するサイトもある。このようなサイトに対しては、脆弱性情報登録部230にてRSSフィードを受信する。脆弱性情報登録部230は、そのRSSフィードの受信によって通知される脆弱性情報を新しい脆弱性情報として収集する。「RSS」は、記述の仕組みを規定したRDF(Resource Description Framework)に基づくものであって、いくつかの略語の意味が存在するが、ここでは、「RSS」は「RDF Site Summary」の略である。
Among the vulnerability information providing sites, there is a site that notifies the posting of new vulnerability information by an RSS feed. For such sites, the vulnerability
なお、脆弱性情報登録部230にて収集される脆弱性情報は、同一の脆弱性についての情報であっても、収集元のセキュリティ情報提供サイト毎に異なるフォーマットで記述されている場合がある。この場合は、脆弱性情報登録部230は、収集元の各セキュリティ情報提供サイトの脆弱性情報のフォーマットに特化したパース処理を行う。これにより、脆弱性情報のフォーマットの違いを吸収する。
Note that the vulnerability information collected by the vulnerability
例えば、脆弱性情報のデータ項目である「脆弱性が影響を与える情報システム製品の名称」は、セキュリティ情報提供サイトによっては、「System Affected」、「Product」、「Affected」、「Products」などいったデータ項目名で記述される。また、脆弱性情報のデータ項目である「脆弱性を修正するための対策方法の内容」は、セキュリティ情報提供サイトによっては、「Solution」、「解決方法」などといったデータ項目名で記述される。このように、データ項目名が異なる場合でも、同一の内容を示すデータ項目がある。このような場合、パース処理を行うことで、脆弱性情報流通システム1で取り扱う脆弱性情報のデータ構造とは異なるデータ構造の脆弱性情報を、脆弱性情報流通システム1で取り扱う脆弱性情報のデータ構造に変換することができる。
For example, the name of the information system product affected by the vulnerability, which is a data item of vulnerability information, may be “System Affected”, “Product”, “Affected”, “Products”, etc. The data item name is described. Further, “contents of countermeasure method for correcting vulnerability” which is a data item of vulnerability information is described by data item names such as “Solution” and “Solution method” depending on the security information providing site. As described above, there are data items indicating the same contents even when the data item names are different. In such a case, by performing parsing processing, vulnerability information data handled by the vulnerability
パース処理による脆弱性情報の登録処理において、脆弱性情報登録部230は、収集した脆弱性情報をデータ項目の単位に分解し、そのデータ項目単位に分解された脆弱性情報の各データ項目を、脆弱性情報流通システム1で取り扱う脆弱性情報の対応するデータ項目に登録する。なお、脆弱性情報の収集から登録までの一連の処理を行うプログラムとしては、収集対象である各セキュリティ情報提供サイトが提供する脆弱性情報のデータ構造に対応したものを予め用意する。
In the vulnerability information registration process by the parsing process, the vulnerability
ステップS12の登録処理の際に、影響判定部231が、脆弱性情報登録部230にて登録される脆弱性情報の内容に基づいて脆弱性のリスクを表すスコアをCVSSにより計算する。CVSSによるスコアの計算に必要なデータ項目を以下に示す。
During the registration process in step S12, the impact determination unit 231 calculates a score representing vulnerability risk based on the content of vulnerability information registered in the vulnerability
・脆弱性を悪用可能なネットワーク環境
・脆弱性を悪用する際の対象プロダクトへの認証の要否
・脆弱性を悪用された場合に漏洩する情報のレベル
・脆弱性を悪用された場合に改ざんされる情報のレベル
・脆弱性を悪用された場合に停止する対象プロダクトの機能のレベル
・脆弱性を悪用するための攻撃方法の有無
・脆弱性を悪用するための攻撃方法の内容
・脆弱性を修正するための対策方法の有無
・脆弱性を修正するための対策方法の内容
・脆弱性を回避するための対策方法の有無
・脆弱性を回避するための対策方法の内容
以下に、脆弱性情報へのリスクスコア付与をCVSSにより実現する方法を説明する。
・ Network environment where vulnerabilities can be exploited ・ Necessity of authentication of target products when exploiting vulnerabilities ・ Level of information leaked when exploiting vulnerabilities ・ Falsified when exploiting vulnerabilities Level of information to be used ・ Level of function of the target product that stops when the vulnerability is exploited ・ Presence or absence of attack methods to exploit the vulnerability ・ Contents of attack methods to exploit the vulnerability ・ Fix the vulnerability・ Countermeasures for correcting vulnerabilities ・ Presence of countermeasures for avoiding vulnerabilities ・ Contents of countermeasures for avoiding vulnerabilities A method for realizing risk score assignment of CVSS will be described.
CVSSによる計算機能が脆弱性情報登録部230に実装される。脆弱性情報登録部230は、収集した脆弱性情報をパース処理することで、スコア計算に必要な上記のようなデータ項目を取得する。パース処理で得られたデータ項目がCVSS計算機能に供給される。CVSS計算機能は、入力されたデータ項目に基づいて収集した脆弱性情報のスコアを計算する。脆弱性情報登録部230は、計算したスコアを、収集した脆弱性情報の「脆弱性の危険度を定量的に示すスコア」の値として脆弱性情報DB210に登録する。
A calculation function based on CVSS is implemented in the vulnerability
ステップS12の登録処理の後、脆弱性情報通知部240が、脆弱性情報DB210に登録された新しい脆弱性情報について、その脆弱性情報を必要としているユーザを検索する(ステップS13)。このユーザ検索において、脆弱性情報通知部240は、脆弱性情報DB210に登録された新しい脆弱性情報に含まれる一つ以上のキーワードと、コンタクトポイントDB120に登録されたユーザプロファイルに含まれるキーワードとを比較する(ステップS14)。そして、脆弱性情報通知部240は、キーワードが一致したユーザプロファイルに含まれているユーザ属性情報から、脆弱性情報を必要としているユーザの宛先情報(メールアドレスや電話番号)を取得し、その宛先情報を参照して、新しい脆弱性情報をユーザに通知する(ステップS15)。
After the registration process in step S12, the vulnerability
ステップS15の脆弱性情報のユーザへの通知は、通知用のWeb画面を通じて行う。この通知用のWeb画面は、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。宛先情報を参照して、Web画面がユーザに提示される。 The notification of the vulnerability information to the user in step S15 is performed through a notification web screen. This notification Web screen is a Web screen whose communication content is protected from a third party by an encrypted communication technology such as SSL / TLS. A Web screen is presented to the user with reference to the destination information.
以上の処理によれば、ユーザがプロファイルに登録したキーワードを含む新規の脆弱性情報が脆弱性情報提供サイトで発見されると、その新規の脆弱性情報が自動的にユーザに通知される。通知すべき脆弱性情報をスコアの高い順に並べて通知してもよい。 According to the above processing, when new vulnerability information including the keyword registered in the profile by the user is found on the vulnerability information providing site, the new vulnerability information is automatically notified to the user. Vulnerability information to be notified may be reported in order from the highest score.
なお、脆弱性情報の登録において、ユーザは、クライアント端末2を通じて、自身の管理している情報システム製品の脆弱性に関する情報を直接登録することができる。この登録された脆弱性情報に対しても、上述したステップS13からS15の処理が実行される。これにより、ユーザが登録した脆弱性情報が、そのユーザ以外の関係者に通知されることになる。
In the vulnerability information registration, the user can directly register information on the vulnerability of the information system product managed by the user through the
(4)対処状況の登録および確認の処理
ユーザは、クライアント端末2を通じて、通知された脆弱性情報への対処状況を入力することができる。ここで、対処状況とは、ユーザが、通知のあった脆弱性情報に対して行った対処を示し、以下のようなステータスで表される。
(4) Handling Status Registration and Confirmation Process The user can input the handling status of the notified vulnerability information through the
対処状況のステータスは、ユーザの管理する情報システム製品における脆弱性の影響の有無の調査結果を表すステータスと対処内容を表すステータスがある。調査結果を表すステータスとしては、「未調査」、「調査中」、「影響なし」、「影響あり」といった項目がある。対処内容を表すステータスとしては、[対処の必要なし」、「対処方法の検討中」、「パッチ適用で対処済み」、「設定変更で対処済み」といった項目がある。 The status of the countermeasure status includes a status indicating the result of investigating the presence or absence of the influence of the vulnerability in the information system product managed by the user, and a status indicating the content of the countermeasure. The status indicating the result of the investigation includes items such as “not investigated”, “under investigation”, “no influence”, and “with influence”. The status indicating the content of the action includes items such as [No action required], "Under consideration of action", "Dealed with patch application", and "Dealed with setting change".
対処状況登録部27は、図2のステップS15で脆弱性情報を通知したユーザに対して、対処状況登録用のWeb画面を提示する。この対処状況登録用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面であり、上記の各ステータスに関する入力項目が設けられている。 The countermeasure status registration unit 27 presents a Web screen for registering countermeasure status to the user who has notified the vulnerability information in step S15 of FIG. This countermeasure status registration Web screen is also a Web screen whose communication content is protected from a third party by an encrypted communication technology such as SSL / TLS, and is provided with input items relating to the above-described statuses.
ユーザは、クライアント端末2に表示された対処状況登録用のWeb画面にて、各ステータスに関する項目を入力する。入力した項目の情報(対処状況)は、クライアント端末2から対処状況登録部27に供給される。対処状況登録部27は、クライアント端末2から受信した対処状況を脆弱性情報別に対処状況DB220に登録する。
The user inputs items related to each status on the Web screen for coping status registration displayed on the
対処状況は、脆弱性情報の種類を示すキーワードと関連付けて対処状況DB220に格納される。したがって、脆弱性情報の種類を示すキーワードを検索キーとして用いて対処状況DB220から所望の脆弱性情報の対処状況を検索することができる。 The countermeasure status is stored in the countermeasure status DB 220 in association with a keyword indicating the type of vulnerability information. Therefore, it is possible to search the countermeasure status of desired vulnerability information from the countermeasure status DB 220 using a keyword indicating the type of vulnerability information as a search key.
以下に、対処状況の確認処理について説明する。 The processing status confirmation process will be described below.
対処状況の確認を行う場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、対処状況の確認要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、対処状況確認部280が、対処状況確認用のWeb画面をユーザに提示する。この対処状況確認用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
When confirming the countermeasure status, the user uses the
対処状況確認用のWeb画面には、対処状況を確認したい脆弱性情報の種類を示すキーワードを入力する項目が設けられている。ユーザは、クライアント端末2に表示された対処状況確認用のWeb画面にて、対処状況を確認したい脆弱性情報の種類を示すキーワードを入力する。入力したキーワードの情報は、クライアント端末2から対処状況確認部280に供給される。
The Web screen for checking the handling status is provided with an item for inputting a keyword indicating the type of vulnerability information for which the handling status is to be checked. The user inputs a keyword indicating the type of vulnerability information for which the countermeasure status is to be confirmed on the countermeasure status confirmation Web screen displayed on the
対処状況確認部280は、クライアント端末2から受信したキーワードの情報に基づいて、対処状況DB220から、該当する対処状況を検索する。そして、対処状況確認部280は、検索結果をクライアント端末2に送信する。クライアント端末2では、Web画面上に、対処状況確認部280から受信した検索結果が表示される。
The handling
ユーザは、Web画面に表示された対処処理の検索結果を参照して、適切な対処方法を判断することができる。 The user can determine an appropriate coping method by referring to the coping process search result displayed on the Web screen.
(5)脆弱性情報の流通状況の確認処理
他のユーザにおける脆弱性情報の流通状況を確認する場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、流通状況の確認要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、脆弱性情報流通状況確認部250が、流通状況確認用のWeb画面をユーザに提示する。この流通状況確認用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
(5) Vulnerability information distribution status confirmation process When confirming the distribution status of vulnerability information for other users, the user accesses the vulnerability
流通状況確認用のWeb画面には、流通状況を確認したい脆弱性情報の種類を示すキーワードまたは流通状況を確認したいユーザの情報を入力する項目が設けられている。ここで、流通状況を確認したいユーザの情報とは、そのユーザのユーザプロファイルに登録されている識別情報であって、例えばユーザの氏名や所属組織名である。ユーザは、クライアント端末2に表示された流通状況確認用のWeb画面にて、流通状況を確認したい脆弱性情報の種類またはユーザの識別情報を入力する。入力情報は、クライアント端末2から脆弱性情報流通状況確認部250に供給される。
The distribution status confirmation Web screen is provided with an item for inputting a keyword indicating the type of vulnerability information whose distribution status is to be confirmed or information of a user whose distribution status is to be confirmed. Here, the information of the user who wants to check the distribution status is identification information registered in the user profile of the user, for example, the user's name or organization name. On the distribution status confirmation Web screen displayed on the
脆弱性情報流通状況確認部250は、流通状況を確認したい脆弱性情報の種類を示すキーワードの情報をクライアント端末2から受信した場合は、そのキーワードの情報によって特定される脆弱性情報について、脆弱性に関連する情報システム製品の情報や通知した日時の情報を、脆弱性情報DB210の操作ログを分析することにより集計する。脆弱性情報流通状況確認部250は、その集計結果をクライアント端末2に送信する。
When the vulnerability information distribution
他方、脆弱性情報流通状況確認部250は、流通状況を確認したいユーザの識別情報をクライアント端末2から受信した場合は、その識別情報に基づいてコンタクトポイントDB120から該当するユーザプロファイルを検索する。そして、脆弱性情報流通状況確認部250は、検索したユーザプロファイルに含まれているキーワードの情報によって特定される脆弱性情報について、脆弱性に関連する情報システム製品の情報や通知した日時の情報を、脆弱性情報DB210の操作ログを分析することにより集計する。脆弱性情報流通状況確認部250は、その集計結果をクライアント端末2に送信する。
On the other hand, when the vulnerability information distribution
クライアント端末2は、脆弱性情報流通状況確認部250から受信した集計結果を表示する。ユーザは、Web画面に表示された集計結果を参照することで、他のユーザにおける脆弱性情報の流通状況を確認することができる。
The
(6)脆弱性情報の転送処理
ユーザは、自身に通知された脆弱性情報を他のユーザへ転送させることができる。脆弱性情報を他のユーザへ転送させる場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、脆弱性情報の転送要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、脆弱性情報転送部260が、脆弱性情報転送用のWeb画面をユーザに提示する。この脆弱性情報転送用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
(6) Vulnerability information transfer process The user can transfer the vulnerability information notified to the user to another user. When transferring vulnerability information to another user, the user uses the
脆弱性情報転送用のWeb画面には、転送すべき脆弱性情報の種類を示すキーワード、転送先となるユーザの識別情報(氏名や所属組織名)を入力する項目がそれぞれ設けられている。ユーザは、クライアント端末2に表示された脆弱性情報転送用のWeb画面にて、転送すべき脆弱性情報の種類や転送先の情報を入力する。入力情報(キーワードおよび識別情報)は、クライアント端末2から脆弱性情報転送部260に供給される。
On the Web screen for transferring vulnerability information, an item for inputting a keyword indicating the type of vulnerability information to be transferred and identification information (name and organization name) of the user to be transferred is provided. The user inputs the type of vulnerability information to be transferred and the information of the transfer destination on the vulnerability information transfer Web screen displayed on the
脆弱性情報転送部260は、クライアント端末2から受信した識別情報に基づいてコンタクトポイントDB120から該当するユーザプロファイルを取得し、脆弱性情報転送部260は、クライアント端末2から受信したキーワードに基づいて脆弱性情報DB210から該当する脆弱性情報を取得する。そして、脆弱性情報転送部260は、取得したユーザプロファイルに含まれている宛先情報を参照して、取得した脆弱性情報を通知する。この脆弱性情報の通知も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面を通じて行う。
The vulnerability information transfer unit 260 acquires the corresponding user profile from the
転送する脆弱性情報についても、スコアの高い順に並べて通知してもよい。 Vulnerability information to be transferred may also be notified in order from the highest score.
(7)キーワードの自動更新処理
キーワード更新部290は、脆弱性情報を通知したクライアント端末2に対して有用度登録用のWeb画面の情報を送信する。有用度登録用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
(7) Keyword Automatic Update Processing The
有用度登録用のWeb画面には、ユーザに通知した脆弱性情報の有用度に関する質問項目が設けられている。質問項目は、脆弱性情報の有用性(「役に立った」または「役に立たなかった」)を尋ねる項目を選択形式で表示したものである。 On the Web screen for usefulness registration, a question item regarding the usefulness of the vulnerability information notified to the user is provided. The question item is an item that asks about the usefulness of the vulnerability information (“useful” or “useless”) in a selected format.
ユーザは、クライアント端末2に表示された有用度登録用のWeb画面にて、表示された質問項目の選択肢から、通知された脆弱性情報の有用度を示し項目を選択する。ユーザにより選択された有用度の情報(回答情報)は、クライアント端末2からキーワード更新部290に供給される。
On the Web screen for usefulness registration displayed on the
キーワード更新部290は、クライアント端末2から受信した有用度の情報から、ユーザに通知した脆弱性情報が役に立ったか否かを判定する。脆弱性情報が役に立った場合は、キーワード更新部290は、その脆弱性情報に含まれているキーワードとキーワードテンプレートDB110に登録されているキーワードとを比較し、合致するキーワードを抽出する。そして、キーワード更新部290は、抽出したキーワードが、有用度の回答を行ったユーザ(脆弱性情報を通知したユーザ)のユーザプロファイルに登録されているか否かを確認する。抽出したキーワードがユーザプロファイルに登録されていない場合は、キーワード更新部290は、そのキーワードをユーザプロファイルに登録する。
The
なお、有用度登録用のWeb画面の提示先となるユーザは、脆弱性情報通知部240により脆弱性情報が通知されたユーザの他、脆弱性情報転送部260により脆弱性情報が転送されたユーザも含む。
In addition, the user to whom the Web screen for usefulness registration is presented is the user whose vulnerability information has been transferred by the vulnerability information transfer unit 260 in addition to the user whose vulnerability information has been notified by the vulnerability
以上説明した脆弱性情報流通システムによれば、コンタクトポイントDB120で、ユーザ(担当者)の宛先情報やユーザ(担当者)が必要とする脆弱性情報の種類を管理することができるので、データベースを更新することで、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境への適用が可能である。
According to the vulnerability information distribution system described above, the
また、脆弱性情報DB210に格納される脆弱性情報は、情報システム製品の脆弱性に関わる構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードを含む。ユーザプロファイルには、ユーザが必要とする脆弱性情報の種類を識別するための情報として、構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードが登録される。そして、脆弱性情報DB210に格納される脆弱性情報に含まれているキーワードと、ユーザプロファイルに登録されたキーワードとを比較することで、脆弱性情報を通知すべきユーザを検索する。この仕組みによれば、脆弱性情報DB210において、脆弱性情報とともに情報システム製品の構成要素を管理することができるので、市販製品やオープンソースソフトウェア、独自開発等の多様な提供形態を取り得る情報システム製品や、OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコルといった項目の複雑な組み合わせによって構成される情報システム製品についても、構成情報を正確に把握することが可能である。また、開発のアウトソーシングや運用担当者が開発部隊からプロダクトやシステムを引き継いだ場合において、ユーザは、プロダクトやシステムの全容を把握していなくても、必要なキーワードをユーザプロファイルに登録するだけで、自身の担当する情報システム製品の脆弱性情報を自動的に取得することができる。
Further, the vulnerability information stored in the
また、ユーザへの脆弱性情報の通知は、暗号化された通信により提示されたWeb画面により行われるので、脆弱性情報が組織外に漏洩しないように情報管理を行うことが可能である。 In addition, since the vulnerability information is notified to the user through the Web screen presented by encrypted communication, information management can be performed so that the vulnerability information does not leak outside the organization.
さらに、脆弱性情報流通状況確認部250が、ユーザに通知した脆弱性情報の種類と通知した日時の情報を、脆弱性情報データベースの操作ログを分析することにより集計し、該集計結果を、暗号化された通信により提示したWeb画面を通じて他のユーザに開示するので、ユーザは、自由に組織内での脆弱性情報の流通状況を把握することが可能である。
Further, the vulnerability information distribution
さらに、対処状況確認部280が、対処状況DB220に登録されたユーザの対処状況を、暗号化された通信により提示したWeb画面を通じて他のユーザに公開するので、ユーザは、組織全体での対処状況の把握が可能である。
Furthermore, since the response
以上の本発明によれば、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現することができる。 According to the present invention described above, it is possible to realize the prompt and appropriate transmission of vulnerability information even in an environment where the notification destination and content of vulnerability information change as the organization and specifications change.
なお、上述した実施形態は本発明の一例であり、本発明はそれに限定されるものではない。本発明の脆弱性情報流通システムの構成および動作は、発明の趣旨を逸脱しない範囲で適宜に変更することができる。 In addition, embodiment mentioned above is an example of this invention, and this invention is not limited to it. The configuration and operation of the vulnerability information distribution system of the present invention can be changed as appropriate without departing from the spirit of the invention.
また、上述した本実施形態の脆弱性情報流通システムにおいて、各構成部における処理は、プログラムをコンピュータが実行することで実現することが可能である。プログラムは、CD−ROMやDVDなどの記録媒体で提供されても、インターネットを通じて提供されてもよい。 Further, in the vulnerability information distribution system of the present embodiment described above, the processing in each component can be realized by executing a program by a computer. The program may be provided on a recording medium such as a CD-ROM or DVD, or may be provided through the Internet.
1 脆弱性情報流通システム
2 クライアント端末
3 Webサイトクローラ
4 オペレータ端末
10 ユーザ組織ネットワーク
20 ネットワーク
30 脆弱性情報提供サイト
100 コンタクトポイント管理部
110 キーワードテンプレートデータベース
120 コンタクトポイントデータベース
130 キーワードテンプレート登録部
140 ユーザプロファイル登録部
141 キーワード抽出部
150 ユーザプロファイル検索部
200 脆弱性情報管理部
210 脆弱性情報データベース
220 対処状況データベース
230 脆弱性情報登録部
240 脆弱性情報通知部
250 脆弱性情報流通状況確認部
260 脆弱性情報転送部
270 対処状況登録部
280 対処状況確認部
290 キーワード更新部
DESCRIPTION OF
Claims (10)
ユーザが必要とする情報システム製品の脆弱性情報の種類を識別するための、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードと、前記ユーザへの情報の通知を行うための宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントデータベースと、
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、前記コンタクトポイントデータベースから検索し、該検索したユーザプロファイルに含まれる宛先情報を参照して、暗号化された通信によりWeb画面を提示し、該Web画面にて該脆弱性情報の通知を行う脆弱性情報通知部と、を有する、脆弱性情報流通システム。 A vulnerability information database in which vulnerability information including a keyword indicating at least one component related to the vulnerability of the information system product is stored for an information system product that is a vulnerability management target;
A keyword indicating at least one component related to the vulnerability of the information system product for identifying the type of vulnerability information of the information system product required by the user, and for notifying the user of the information A contact point database in which a user profile including destination information is stored;
For the vulnerability information stored in the vulnerability information database, a user profile including a keyword that matches the keyword included in the vulnerability information is searched from the contact point database, and the destination information included in the searched user profile A vulnerability information distribution system comprising: a vulnerability information notifying unit that presents a Web screen by encrypted communication and notifies the vulnerability information on the Web screen.
前記脆弱性情報通知部は、前記脆弱性情報登録部によって前記脆弱性情報データベースに新たに格納された脆弱性情報を前記Web画面にて通知する、請求項1に記載の脆弱性情報流通システム。 The vulnerability information of the information system product provided from outside is parsed into a predetermined format as vulnerability information including a keyword indicating at least one component related to the vulnerability of the information system product, and the parsed vulnerability information Vulnerabilities information registration unit for registering in the vulnerability information database,
The vulnerability information distribution system according to claim 1, wherein the vulnerability information notification unit notifies the vulnerability information newly stored in the vulnerability information database by the vulnerability information registration unit on the Web screen.
前記脆弱性情報通知部は、通知すべき脆弱性情報を前記スコアが高い順に並べて通知する、請求項1から4のいずれか1項に記載の脆弱性情報流通システム。 The vulnerability information stored in the vulnerability information database further includes an impact determination unit that calculates a score that quantitatively indicates the impact level of the vulnerability information and assigns the score to the vulnerability information. ,
The vulnerability information distribution system according to any one of claims 1 to 4, wherein the vulnerability information notification unit notifies the vulnerability information to be notified in order from the highest score.
前記対処状況データベースに登録された前記ユーザの対処状況を、暗号化された通信により提示したWeb画面を通じて他のユーザに公開する対処状況確認部と、をさらに有する、請求項1から5のいずれか1項に記載の脆弱性情報流通システム。 A handling status registration unit that receives a handling status of the notified vulnerability information from a client terminal used by the user, and registers the received handling status in a handling status database for each vulnerability information;
The countermeasure status confirmation unit that further discloses the countermeasure status of the user registered in the countermeasure status database to other users through a Web screen presented by encrypted communication. The vulnerability information distribution system according to item 1.
前記キーワードテンプレートデータベースに登録されているキーワードを選択肢とする選択画面情報を前記ユーザが使用するクライアント端末に送信し、該クライアント端末から、前記選択肢から選択したキーワードの情報を受信し、該受信したキーワードの情報を前記ユーザのユーザプロファイルとして前記コンタクトポイントデータベースに登録するユーザプロファイル登録部とを、さらに有する、請求項1から6のいずれか1項に記載の脆弱性情報流通システム。 A keyword template database in which keyword groups that are keyword candidates to be registered as the user profile are registered;
The selection screen information using a keyword registered in the keyword template database as an option is transmitted to the client terminal used by the user, the keyword information selected from the option is received from the client terminal, and the received keyword The vulnerability information distribution system according to any one of claims 1 to 6, further comprising: a user profile registration unit that registers the information in the contact point database as the user profile of the user.
前記コンピュータシステムが、
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、前記コンタクトポイントデータベースから検索し、
該検索したユーザプロファイルに含まれる宛先情報を参照して、暗号化された通信によりWeb画面を提示し、
該Web画面にて該脆弱性情報の通知を行う、
ステップを含む、脆弱性情報流通方法。 Vulnerability information database in which vulnerability information including a keyword indicating at least one component related to the vulnerability of the information system product is stored for the information system product that is the management target of the vulnerability, and information required by the user A user including a keyword indicating at least one component related to the vulnerability of the information system product for identifying the type of vulnerability information of the system product, and destination information for notifying the user of the information A vulnerability information distribution method performed in a computer system having a contact point database in which a profile is stored,
The computer system is
For the vulnerability information stored in the vulnerability information database, search the contact point database for a user profile including a keyword that matches the keyword included in the vulnerability information,
Refer to the destination information included in the searched user profile, present the web screen by encrypted communication,
The vulnerability information is notified on the Web screen.
Vulnerability information distribution method including steps.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007176237A JP2009015570A (en) | 2007-07-04 | 2007-07-04 | System and method for distributing vulnerability information |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007176237A JP2009015570A (en) | 2007-07-04 | 2007-07-04 | System and method for distributing vulnerability information |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009015570A true JP2009015570A (en) | 2009-01-22 |
Family
ID=40356401
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007176237A Pending JP2009015570A (en) | 2007-07-04 | 2007-07-04 | System and method for distributing vulnerability information |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009015570A (en) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011028665A (en) * | 2009-07-29 | 2011-02-10 | Mitsubishi Electric Corp | Management device, management method and program |
JP2014130502A (en) * | 2012-12-28 | 2014-07-10 | Hitachi Systems Ltd | Vulnerability analysis device, vulnerability analysis program, and vulnerability analysis method |
WO2014208427A1 (en) * | 2013-06-24 | 2014-12-31 | 日本電信電話株式会社 | Security information management system and security information management method |
WO2015025694A1 (en) * | 2013-08-21 | 2015-02-26 | 日立オートモティブシステムズ株式会社 | Scoring device and method for scoring security threat |
JP2015219665A (en) * | 2014-05-15 | 2015-12-07 | ゲヒルン株式会社 | Vulnerability visualization server, vulnerability visualization method, and vulnerability visualization server program |
WO2020050355A1 (en) * | 2018-09-05 | 2020-03-12 | Necソリューションイノベータ株式会社 | Vulnerability information management device, vulnerability information management method, and program |
JP2020047113A (en) * | 2018-09-20 | 2020-03-26 | 富士ゼロックス株式会社 | Fault detection apparatus, fault detection method, and fault detection program |
JP2020123375A (en) * | 2016-03-25 | 2020-08-13 | 日本電気株式会社 | Security risk management system, terminal, server, method for control, and program |
US10860722B2 (en) | 2016-03-25 | 2020-12-08 | Nec Corporation | Security risk management system, server, control method, and non-transitory computer-readable medium |
JPWO2021144975A1 (en) * | 2020-01-17 | 2021-07-22 | ||
JP2021152983A (en) * | 2020-04-08 | 2021-09-30 | 日本電気株式会社 | Terminal, control method, and program |
CN114024691A (en) * | 2020-07-15 | 2022-02-08 | 腾讯科技(深圳)有限公司 | Vulnerability information processing method, device, equipment and medium based on cloud security |
US11550920B2 (en) | 2017-01-31 | 2023-01-10 | Nippon Telegraph And Telephone Corporation | Determination apparatus, determination method, and determination program |
-
2007
- 2007-07-04 JP JP2007176237A patent/JP2009015570A/en active Pending
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011028665A (en) * | 2009-07-29 | 2011-02-10 | Mitsubishi Electric Corp | Management device, management method and program |
JP2014130502A (en) * | 2012-12-28 | 2014-07-10 | Hitachi Systems Ltd | Vulnerability analysis device, vulnerability analysis program, and vulnerability analysis method |
US10789366B2 (en) | 2013-06-24 | 2020-09-29 | Nippon Telegraph And Telephone Corporation | Security information management system and security information management method |
WO2014208427A1 (en) * | 2013-06-24 | 2014-12-31 | 日本電信電話株式会社 | Security information management system and security information management method |
JP6042541B2 (en) * | 2013-06-24 | 2016-12-14 | 日本電信電話株式会社 | Security information management system, security information management method, and security information management program |
WO2015025694A1 (en) * | 2013-08-21 | 2015-02-26 | 日立オートモティブシステムズ株式会社 | Scoring device and method for scoring security threat |
JP2015041167A (en) * | 2013-08-21 | 2015-03-02 | 日立オートモティブシステムズ株式会社 | Evaluation apparatus for evaluating a security threat and method thereof |
JP2015219665A (en) * | 2014-05-15 | 2015-12-07 | ゲヒルン株式会社 | Vulnerability visualization server, vulnerability visualization method, and vulnerability visualization server program |
US10860722B2 (en) | 2016-03-25 | 2020-12-08 | Nec Corporation | Security risk management system, server, control method, and non-transitory computer-readable medium |
JP2020123375A (en) * | 2016-03-25 | 2020-08-13 | 日本電気株式会社 | Security risk management system, terminal, server, method for control, and program |
US11550920B2 (en) | 2017-01-31 | 2023-01-10 | Nippon Telegraph And Telephone Corporation | Determination apparatus, determination method, and determination program |
JPWO2020050355A1 (en) * | 2018-09-05 | 2021-08-30 | Necソリューションイノベータ株式会社 | Vulnerability information management device, vulnerability information management method, and program |
JP7173619B2 (en) | 2018-09-05 | 2022-11-16 | Necソリューションイノベータ株式会社 | Vulnerability information management device, vulnerability information management method, and program |
WO2020050355A1 (en) * | 2018-09-05 | 2020-03-12 | Necソリューションイノベータ株式会社 | Vulnerability information management device, vulnerability information management method, and program |
JP2020047113A (en) * | 2018-09-20 | 2020-03-26 | 富士ゼロックス株式会社 | Fault detection apparatus, fault detection method, and fault detection program |
JP7167585B2 (en) | 2018-09-20 | 2022-11-09 | 富士フイルムビジネスイノベーション株式会社 | FAILURE DETECTION DEVICE, FAILURE DETECTION METHOD AND FAILURE DETECTION PROGRAM |
JPWO2021144975A1 (en) * | 2020-01-17 | 2021-07-22 | ||
WO2021144975A1 (en) * | 2020-01-17 | 2021-07-22 | 三菱電機株式会社 | Information processing device and program |
JP2021152983A (en) * | 2020-04-08 | 2021-09-30 | 日本電気株式会社 | Terminal, control method, and program |
JP7215525B2 (en) | 2020-04-08 | 2023-01-31 | 日本電気株式会社 | Terminal, control method and program |
JP7468717B2 (en) | 2020-04-08 | 2024-04-16 | 日本電気株式会社 | Terminal, control method, and program |
CN114024691A (en) * | 2020-07-15 | 2022-02-08 | 腾讯科技(深圳)有限公司 | Vulnerability information processing method, device, equipment and medium based on cloud security |
CN114024691B (en) * | 2020-07-15 | 2023-11-03 | 腾讯科技(深圳)有限公司 | Vulnerability information processing method, device, equipment and medium based on cloud security |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009015570A (en) | System and method for distributing vulnerability information | |
Vijayakumar et al. | Continuous security assessment of cloud based applications using distributed hashing algorithm in SDLC | |
US10628582B2 (en) | Techniques for sharing network security event information | |
US9703554B2 (en) | Custom code migration suggestion system based on actual change references | |
JP4936028B2 (en) | Information providing support device and information providing support method | |
RU2637477C1 (en) | System and method for detecting phishing web pages | |
US20110184982A1 (en) | System and method for capturing and reporting online sessions | |
US10650476B2 (en) | Electronic discovery process using a blockchain | |
RU2677361C1 (en) | Method and system of decentralized identification of malware programs | |
US20190342324A1 (en) | Computer vulnerability assessment and remediation | |
Bicaku et al. | Security standard compliance and continuous verification for Industrial Internet of Things | |
US20200120052A1 (en) | Systems and methods for detecting, reporting and cleaning metadata from inbound attachments | |
US20140223004A1 (en) | Network system and information reporting method | |
JP2011191964A (en) | Workflow management method, program and workflow management device | |
WO2017072840A1 (en) | Log collection system and log collection method | |
JP2007065810A (en) | Security inspection system | |
US20120096536A1 (en) | Data Security System | |
JP2005284353A (en) | Personal information use system, method for controlling the same system, map file generating device and access control policy file generating device | |
JP5341695B2 (en) | Information processing system, information processing method, and program | |
Kocaman et al. | A novel approach to continuous CVE analysis on enterprise operating systems for system vulnerability assessment | |
Takahashi et al. | Structured cybersecurity information exchange for streamlining incident response operations | |
US20220350984A1 (en) | Identity verification in a document management system | |
JP2009230257A (en) | Approval system and approval program | |
Baror et al. | Functional Architectural Design of a Digital Forensic Readiness Cybercrime Language as a Service | |
JP2009116616A (en) | Electronic mail monitoring system |