JP2011014094A - ソフトウェア更新情報管理装置及びプログラム - Google Patents
ソフトウェア更新情報管理装置及びプログラム Download PDFInfo
- Publication number
- JP2011014094A JP2011014094A JP2009159978A JP2009159978A JP2011014094A JP 2011014094 A JP2011014094 A JP 2011014094A JP 2009159978 A JP2009159978 A JP 2009159978A JP 2009159978 A JP2009159978 A JP 2009159978A JP 2011014094 A JP2011014094 A JP 2011014094A
- Authority
- JP
- Japan
- Prior art keywords
- information
- machine
- name
- vulnerability
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
【課題】必要な脆弱性情報を取りこぼしなく取得でき、且つ問題が有る場合の詳細情報の通知先を絞り込むことができるようにする。
【解決手段】ソフトウェア更新情報管理装置100においては、マシン毎構成情報保存部102内のソフトウェア名に基づいて、脆弱性情報公開装置200から脆弱性情報を収集する。また、適用状況情報が適用済みで且つ問題有無情報が問題有りを示す場合、読み込まれたマシン名に対応するソフトウェア名の組合せと同一の組合せのソフトウェア名に対応する他のマシン名を検索し、検索により得られた他のマシン名に対応する全ての適用状況情報が未適用を示す場合、他のマシン名に対応するアドレス情報の管理者端末にソフトウェア更新情報ID及び詳細情報を通知する。
【選択図】図1
【解決手段】ソフトウェア更新情報管理装置100においては、マシン毎構成情報保存部102内のソフトウェア名に基づいて、脆弱性情報公開装置200から脆弱性情報を収集する。また、適用状況情報が適用済みで且つ問題有無情報が問題有りを示す場合、読み込まれたマシン名に対応するソフトウェア名の組合せと同一の組合せのソフトウェア名に対応する他のマシン名を検索し、検索により得られた他のマシン名に対応する全ての適用状況情報が未適用を示す場合、他のマシン名に対応するアドレス情報の管理者端末にソフトウェア更新情報ID及び詳細情報を通知する。
【選択図】図1
Description
本発明は、脆弱性情報を収集及び通知しつつソフトウェア更新情報の適用状況を管理するソフトウェア更新情報管理装置及びプログラムに係わり、例えば、必要な脆弱性情報を取りこぼしなく取得でき、且つ問題が有る場合の詳細情報の通知先を絞り込むことが可能なソフトウェア更新情報管理装置及びプログラムに関する。
情報システムは、複数のソフトウェアがインストールされた各マシンから構成されている。このような情報システムを安定稼動させるためには、ソフトウェアの脆弱性情報に対応して、各マシンのソフトウェア毎にパッチ情報又はバージョンアップ情報からなるソフトウェア更新情報を適用することが必要となる。なお、パッチ情報及びバージョンアップ情報は、いずれもソフトウェアに適用されて当該ソフトウェアの脆弱性を解消するものである。このため、以下の説明では、記載を簡潔にする観点から、パッチ情報をソフトウェア更新情報の代表例に挙げて説明する。
パッチ情報の適用作業においては、検査環境がある場合には、その検査環境で事前に動作確認が可能である。但し、必ずしも本番機と同等の検査環境が準備されていないことから、本番環境へパッチ情報を適用すると、予測できない不具合が発生する場合がある。このため、パッチ適用の判断は、各管理者に任せられることが多い。
一方、各マシンのOSや、インストールされているソフトウェアの名称などを仕様書、取扱説明書などのドキュメントから抽出してキーワードとして登録しておき、そのキーワードに対応する脆弱性情報を検索する脆弱性情報流通システムが知られている(例えば、特許文献1参照)。
特許文献1に記載のシステムでは、セキュリティ情報提供サイトからマシン毎の管理者が登録したキーワード(ミドルウェア、OS、通信機器、その他情報システム製品等)に対応する脆弱性情報を、該当するマシンの管理者へ通知する。また、通知した脆弱性情報への対処状況の情報を管理者に入力させ、その対処状況の情報を他の同様のキーワードを登録しているユーザへ通知することで、対処状況を共有可能となっている。
以上のような特許文献1に記載のシステムは、通常は何の問題もないが、本発明者の検討によれば、キーワードが抽出されるドキュメントに必ずしもソフトウェアが使用している部品(コンポーネント、モジュール、関数など)が記載されているわけではないため、必要な脆弱性情報にとりこぼしが生じる可能性がある。
また、本発明者の検討によれば、セキュリティ情報提供サイトに公開される脆弱性情報が多いため、不具合発生といった問題が有る場合の詳細情報を通知したいとしても、通知先を絞れない状況にある。
本発明は上記実情を考慮してなされたもので、必要な脆弱性情報を取りこぼしなく取得でき、且つ問題が有る場合の詳細情報の通知先を絞り込むことが可能なソフトウェア更新情報管理装置及びプログラムを提供することを目的とする。
本発明の一つの局面においては、ソフトウェア名毎に脆弱性情報を公開する脆弱性情報公開装置と、前記ソフトウェア名のソフトウェアに対して前記脆弱性情報に対応するソフトウェア更新情報が適用される複数のマシンと、前記各マシンの管理者に用いられて前記各マシンに前記ソフトウェア更新情報を適用可能な複数の管理者端末とに通信可能なソフトウェア更新情報管理装置であって、前記ソフトウェア名毎に、部品収集方法情報及び有効部品判定方法情報を保存する製品毎部品収集方法保存手段と、前記各マシンのマシン名毎に、ソフトウェア名及び部品名を保存するためのマシン毎構成情報保存手段と、前記マシン名毎に、ソフトウェア名、前記脆弱性情報に含まれる脆弱性情報ID、前記ソフトウェア更新情報の適用済み又は未適用を示す適用状況情報、前記ソフトウェア更新情報を示すソフトウェア更新情報ID、前記適用による問題の有無を示す問題有無情報、前記問題が有る場合の詳細情報を保存するためのマシン毎脆弱性情報保存手段と、前記マシン名毎に、前記管理者端末のアドレス情報を保存するマシン毎管理者情報保存手段と、前記部品収集方法情報に基づいて、前記各マシンのソフトウェア名毎に部品名を収集し、当該収集した部品名のうちの有効な部品名を前記有効部品判定方法情報により判定し、この判定により得られた有効な部品名を当該各マシンのソフトウェア名毎に前記マシン毎構成情報保存手段に書き込む構成情報毎部品情報収集手段と、前記マシン毎構成情報保存手段内のソフトウェア名に基づいて、前記脆弱性情報公開装置から脆弱性情報を収集し、当該収集した脆弱性情報に含まれる脆弱性情報IDを前記マシン毎脆弱性情報保存手段に書き込む脆弱性情報収集手段と、前記マシン毎管理者情報保存手段内のマシン名及びアドレス情報に基づいて、当該マシン名に対応する前記マシン毎脆弱性情報保存手段内の脆弱性情報IDを前記管理者端末に通知する手段と、前記マシン毎脆弱性情報保存手段を参照し、前記脆弱性情報IDに対応する適用状況情報が未適用を示す場合には、当該未適用を示す適用状況情報に対応する脆弱性情報ID及びマシン名を送出する適用状況確認手段と、前記送出された脆弱性情報ID及びマシン名を受けると、前記マシン毎管理者情報保存手段を参照しながら、当該脆弱性情報ID及びマシン名を含む適用状況入力要請情報を、当該マシン名に対応するアドレス情報の管理者端末に送信する適用状況入力要請手段と、前記適用状況入力要請情報が送信された管理者端末からソフトウェア更新情報ID、問題有無情報及び詳細情報を受けた場合、当該ソフトウェア更新情報ID、問題有無情報及び詳細情報を当該適用状況入力要請情報内の脆弱性情報ID及びマシン名に対応付けて前記マシン毎脆弱性情報保存手段に書き込むと共に、当該脆弱性情報ID及びマシン名に対応する適用状況情報を更新済みに変更する適用状況保存手段と、前記マシン毎脆弱性情報保存手段内のマシン名毎に、当該マシン名に対応する情報を当該マシン毎脆弱性情報保存手段から読み込む情報読込手段と、前記情報読込手段により読み込まれた適用状況情報が適用済みで且つ問題有無情報が問題有りを示すか否かを判定する問題有り判定手段と、この判定の結果、前記適用状況情報が適用済みで且つ問題有無情報が問題有りを示す場合、前記情報読込手段により読み込まれたマシン名に対応するソフトウェア名の組合せに基づいて、当該ソフトウェア名の組合せと同一の組合せのソフトウェア名に対応する他のマシン名を検索する同一ソフトウェア名マシン名検索手段と、前記検索により得られた他のマシン名に対応する全ての適用状況情報が未適用を示すか否かを判定する未適用判定手段と、前記判定の結果、未適用を示す場合、前記未適用と判定された適用状況情報に対応する他のマシン名に対応するアドレス情報の管理者端末に、前記情報読込手段により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第1の詳細情報通知手段と、を備えたソフトウェア更新情報管理装置である。
なお、本発明の一つの局面は、装置として表現したが、これに限らず、プログラム、方法、プログラムを記憶したコンピュータ読取り可能な記憶媒体、システムとして表現してもよい。
(作用)
本発明の一つの局面においては、マシン毎構成情報保存手段内のソフトウェア名に基づいて、脆弱性情報公開装置から脆弱性情報を収集するので、必要な脆弱性情報を取りこぼしなく取得できる。
本発明の一つの局面においては、マシン毎構成情報保存手段内のソフトウェア名に基づいて、脆弱性情報公開装置から脆弱性情報を収集するので、必要な脆弱性情報を取りこぼしなく取得できる。
また、適用状況情報が適用済みで且つ問題有無情報が問題有りを示す場合、情報読込手段により読み込まれたマシン名に対応するソフトウェア名の組合せと同一の組合せのソフトウェア名に対応する他のマシン名を検索し、検索により得られた他のマシン名に対応する全ての適用状況情報が未適用を示す場合、他のマシン名に対応するアドレス情報の管理者端末にソフトウェア更新情報ID及び詳細情報を通知するので、問題が有る場合の詳細情報の通知先を絞り込むことができる。
以上説明したように本発明によれば、必要な脆弱性情報を取りこぼしなく取得でき、且つ問題が有る場合の詳細情報の通知先を絞り込むことができる。
以下、本発明の一実施形態について図面を用いて説明するが、その前に本実施形態の概要を述べる。本実施形態は、予め管理対象マシンにインストールされているOS、ミドルウェア(MW)で有効になっている部品(コンポーネント、モジュールなど)を明らかにしておき、脆弱性情報に対応するためにソフトウェア更新情報(パッチ情報又はバージョンアップ情報)を適用した結果の情報(不具合が発生するか否か)を、同一構成の管理者へ通知することにより、ソフトウェア更新情報の適用後、不具合が発生することを未然に防ぐものである。この際、ソフトウェア更新情報を適用した実績が増えるにつれて、マシンの部品の単位を考慮したソフトウェア更新情報の影響を他の同一構成のマシン管理者へ通知できるようにする。以上が本実施形態の概要である。以下、本実施形態について、Apache HTTP Server、Solaris(登録商標)、Oracle(登録商標)、Linux(登録商標)などといった実在するソフトウェアの名称を用いて具体的に説明する。なお、以下の説明では、ソフトウェア更新情報としてパッチ情報を用いる場合を主に述べるが、パッチ情報に限らず、バージョンアップ情報を用いてもよい。
図1は本発明の一実施形態に係るソフトウェア更新情報管理装置が適用された情報システムの構成を示す模式図である。この情報システムは、ソフトウェア更新情報管理装置100、脆弱性情報公開装置200、複数のマシン300A,300B,…、複数の管理者端末400A,400B,…が互いに通信可能となっている。
なお、各装置100、200、300A,300B,…、400A,400B,…は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
ここで、ソフトウェア更新情報管理装置100は、製品毎部品収集方法保存部101、マシン毎構成情報保存部102、マシン毎脆弱性情報保存部103、マシン毎管理者情報保存部104、構成情報毎部品情報収集部105、脆弱性情報収集部106、適用状況確認部107、適用状況入力要請部108、適用状況保存部109、適用状況通知部110及び制御部111を備えている。
製品毎部品収集方法保存部101は、図2に示すように、ソフトウェア名(以下、OS,MW名という)毎に、部品収集方法情報及び有効部品判定方法情報を保存するハードウェア資源(記憶手段)であり、各部105〜111から読出/書込可能となっている。但し、ソフトウェア名は、OS,MWの名称に限らず、OS,MW以外のアプリケーションソフトウェアやWebブラウザ等の任意のソフトウェアの名称を使用してもよい。
部品収集方法情報としては、OSやMWの部品を収集するためのコマンドが使用可能となっている。MW、OS名は、モジュールやコンポーネントといった部品を示す名称で構成されている。例えば、WebサーバソフトウェアであるApache HTTP Serverでは、「mod_proxy_ftp」のようにモジュール(部品)はmod_xxxという名称で示される。これらの部品が有効か否かは、有効部品判定方法情報に基づき、httpd.confという設定ファイルでコメントアウトされていないか否かで判定できる。有効部品判定方法情報としては、これに限らず、部品が有効か否かをチェックするための判定方法を示す情報であれば任意の情報が使用可能となっている。
なお、部品収集方法情報及び有効部品判定方法情報は、部品毎に異なるため、部品収集よりも前に、予め製品毎部品収集方法保存部101に保存する必要がある。
マシン毎構成情報保存部102は、図3に部品収集前を示し、図4に部品収集後を示すように、各マシン300A,300B,…のマシン名毎に、OS,MW名及び部品名を保存するためのハードウェア資源(記憶手段)であり、各部105〜111から読出/書込可能となっている。
管理対象は、OS,MWを持つマシンであり、図3等にマシン名をサーバA、サーバB、…と示すように、本実施形態ではマシン300A,300B,…はサーバである。但し、マシン300A,300B,…は、サーバに限らず、OS,MWを持つコンピュータであればよいので、クライアント端末としてもよい。図4に示す例においては、マシンAとマシンDは部品単位まで同じ構成である。マシンCとマシンEは部品単位まで同じ構成である。マシンA,C,D,EはOS,MWが同じだが、部品レベルで異なる構成である。
マシン毎脆弱性情報保存部103は、図5乃至図8に様々な保存状態を示すように、マシン名毎に、OS,MW名、脆弱性情報に含まれる脆弱性情報ID、ソフトウェア更新情報の適用済み又は未適用を示す適用状況情報、ソフトウェア更新情報(パッチ情報又はバージョンアップ情報)を示すソフトウェア更新情報ID(パッチID又は更新後のバージョンID)、適用による問題の有無を示す問題有無情報、問題が有る場合の詳細情報を保存するためのハードウェア資源(記憶手段)であり、各部105〜111から読出/書込可能となっている。
マシン毎管理者情報保存部104は、図9に示すように、マシン名毎に、管理者アドレス(管理者端末400A,400B,…のアドレス情報)を保存するハードウェア資源(記憶手段)であり、各部105〜111から読出/書込可能となっている。
構成情報毎部品情報収集部105は、製品毎部品収集方法保存部101内の部品収集方法情報に基づいて、各マシン300A,300B,…のOS,MW名毎に部品名を収集し、当該収集した部品名のうちの有効な部品名を有効部品判定方法情報により判定し、この判定により得られた有効な部品名を当該各マシン300A,300B,…のOS,MW名毎にマシン毎構成情報保存部102に書き込む機能をもっている。なお、構成情報毎部品情報収集部105は、定期的に起動させてもよいし、脆弱性情報を収集する直前に起動させてもよい。
脆弱性情報収集部106は、マシン毎構成情報保存部102内のOS,MW名に基づいて、脆弱性情報公開装置200から脆弱性情報を収集し、当該収集した脆弱性情報に含まれる脆弱性情報IDをマシン毎脆弱性情報保存部103に書き込む機能と、マシン毎管理者情報保存部104内のマシン名及び管理者アドレスに基づいて、当該マシン名に対応するマシン毎脆弱性情報保存部103内の脆弱性情報IDを管理者端末400A,400B,…に通知する機能とをもっている。なお、脆弱性情報公開装置200の脆弱性情報サイトのURL情報は予め脆弱性情報収集部106に保持されている。
適用状況確認部107は、マシン毎脆弱性情報保存部103を参照し、脆弱性情報IDに対応する適用状況情報が未適用を示す場合には、当該未適用を示す適用状況情報に対応する脆弱性情報ID及びマシン名を適用状況入力要請部108に送出する機能をもっている。
適用状況入力要請部108は、適用状況確認部107から送出された脆弱性情報ID及びマシン名を受けると、マシン毎管理者情報保存部104を参照しながら、当該脆弱性情報ID及びマシン名を含む適用状況入力要請情報を、当該マシン名に対応する管理者アドレスの管理者端末400に送信する機能をもっている。なお、アルファベットA,Bのない符号400は、任意の管理者端末400を表す。このことは、任意のマシン300でも同様である。
適用状況保存部109は、適用状況入力要請情報が送信された管理者端末400からソフトウェア更新情報ID、問題有無情報及び詳細情報を受けた場合、当該ソフトウェア更新情報ID、問題有無情報及び詳細情報を当該適用状況入力要請情報内の脆弱性情報ID及びマシン名に対応付けてマシン毎脆弱性情報保存部103に書き込むと共に、当該脆弱性情報ID及びマシン名に対応する適用状況情報を更新済みに変更する機能をもっている。
適用状況通知部110は、以下の各機能(f110-1)〜(f110-10)をもっている。
(f110-1) マシン毎脆弱性情報保存部103内のマシン名毎に、当該マシン名に対応する情報を当該マシン毎脆弱性情報保存部103から読み込む情報読込機能。
(f110-2) 情報読込機能により読み込まれた適用状況情報が適用済みで且つ問題有無情報が問題有りを示すか否かを判定する問題有り判定機能。
(f110-3) この判定の結果、適用状況情報が適用済みで且つ問題有無情報が問題有りを示す場合、情報読込機能により読み込まれたマシン名に対応するOS,MW名の組合せに基づいて、当該OS,MW名の組合せと同一の組合せのOS,MW名に対応する他のマシン名を検索する同一OS,MW名マシン名検索機能。
(f110-4) 検索により得られた他のマシン名に対応する全ての適用状況情報が未適用を示すか否かを判定する未適用判定機能。
(f110-5) この判定の結果、未適用を示す場合、この未適用と判定された適用状況情報に対応する他のマシン名に対応する管理者アドレスの管理者端末400に、情報読込機能により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第1の詳細情報通知機能。
(f110-6) 未適用判定機能による判定の結果、否の場合、未適用判定機能により適用済みと判定された適用状況情報に対応する問題有無情報のうち、問題無しを示す問題有無情報に対応するマシン名があるか否かを判定するマシン名判定機能。
(f110-7) マシン名判定機能による判定の結果、否の場合には、未適用判定機能により未適用と判定された適用状況情報に対応するマシン名に対応する管理者アドレスの管理者端末400に、情報読込機能により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第2の詳細情報通知機能。
(f110-8) マシン名判定機能による判定の結果、問題無しを示す問題有無情報に対応するマシン名がある場合には、マシン毎構成情報保存部102を参照して当該マシン名に対応する部品名の組合せと、情報読込機能により読み込まれたマシン名に対応する部品名の組合せとが異なるか否かを判定する部品名判定機能。
(f110-9) この判定の結果、部品名の組合せが異なる場合、情報読込機能により読み込まれたマシン名に対応する部品名の組合せに基づいて、当該部品名の組合せと同一の組合せの部品名に対応する他のマシン名を検索する同一部品名マシン名検索機能。
(f110-10) この検索により得られた他のマシン名のうち、未適用を示す適用状況情報に対応するマシン名に対応する管理者アドレスの管理者端末400に、情報読込機能により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第3の詳細情報通知機能。
(f110-11) 部品名判定機能による判定の結果、否の場合、未適用を示す適用状況情報に対応するマシン名に対応する管理者アドレスの管理者端末400に、情報読込機能により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第4の詳細情報通知機能。
制御部111は、各部111を制御する機能を有し、例えば、ソフトウェア更新情報管理装置100に対する管理端末(図示せず)の操作により、予めOS,MW名、部品収集手段情報、有効部品判定方法情報、マシン名及び管理者アドレスといった情報を各保存部101〜104に書き込む機能をもっている。
具体的には、製品毎部品収集方法保存部101には、予めソフトウェア名毎に、部品収集方法情報及び有効部品判定方法情報が書き込まれる。マシン毎構成情報保存部102には、予め各マシンのマシン名毎に、ソフトウェア名が書き込まれる。マシン毎脆弱性情報保存部103には、予めマシン名毎に、ソフトウェア名が書き込まれる。マシン毎管理者情報保存部104には、予めマシン名毎に、管理者端末400のアドレス情報(管理者アドレス)が書き込まれる。
脆弱性情報公開装置200は、OS,MW名毎に脆弱性情報を公開するコンピュータであり、例えば脆弱性情報サイトを介して脆弱性情報を公開する機能をもっている。
各マシン300A,300B,…は、任意のOS,MW名のソフトウェアを実行する機能を有し、各管理者端末400A,400B,…にアクセスされて当該OS,MW名のソフトウェアに対して脆弱性情報に対応するソフトウェア更新情報が適用されるコンピュータである。
各管理者端末400A,400B,…は、各マシン300A,300B,…の管理者に用いられて各マシン300A,300B,…にアクセスする機能と、ソフトウェア更新情報管理装置100から通知された脆弱性情報IDに基づいて、脆弱性情報公開装置200又はソフトウェアベンダ装置(図示せず)等といったソフトウェア更新情報提供装置からソフトウェア更新情報を取得する機能と、取得したソフトウェア更新情報を各マシン300A,300B,…に適用する機能と、ソフトウェア更新情報管理装置100から通知された適用状況入力要請情報に基づいて、適用状況入力画面を表示する機能と、表示した適用状況入力画面にソフトウェア更新情報ID、問題有無情報及び詳細情報を入力する機能と、入力したソフトウェア更新情報ID、問題有無情報及び詳細情報をソフトウェア更新情報管理装置100に送信する機能とをもつコンピュータである。なお、各マシン300A,300B,…と、各管理者端末400A,400B,…との対応関係は任意であるが、ここでは同じアルファベットが符号に付されたもの同士を対応させているものとする。例えば、アルファベットAの場合、管理者端末400Aは、マシン300Aの管理者に用いられてマシン300Aにソフトウェア更新情報を適用可能なコンピュータとなっている。
次に、以上のように構成されたソフトウェア更新情報管理装置が適用された情報システムの動作を図10乃至図19を用いて説明する。この説明は、図10に示すように、ソフトウェア更新情報管理装置100における構成情報毎部品情報収集処理(ST10)、脆弱性情報収集処理(ST20)、適用状況確認処理(ST30)及び適用状況通知処理(ST40)を中心にして行う。
[構成情報毎部品情報収集処理:ST10]
製品毎部品収集方法保存部101及びマシン毎構成情報保存部102には、図2及び図3に示すように、予めOS,MW名毎の部品収集手段情報及び有効部品判定方法情報や、マシン名毎のOS,MW名が保存されているとする。
製品毎部品収集方法保存部101及びマシン毎構成情報保存部102には、図2及び図3に示すように、予めOS,MW名毎の部品収集手段情報及び有効部品判定方法情報や、マシン名毎のOS,MW名が保存されているとする。
ここで、構成情報毎部品情報収集部105は、図11に示すように、マシン毎構成情報保存部102に保存されたOS、MWのデータ数分だけ、以下のステップST11〜ST14の処理を実行する。
構成情報毎部品情報収集部105は、マシン毎構成情報保存部102内のOS,MW名を読み込み(ST11)、該当する部品収集手段情報を製品毎部品収集方法保存部101より読み込み、この部品収集手段情報に基づいてコマンドを実行する(ST12)。
また、構成情報毎部品情報収集部105は、コマンドの実行結果として各マシン300のOS,MW名毎に部品名を収集すると、製品毎部品収集方法保存部101の有効部品判定情報により、当該収集した部品名のうちの有効な部品名を判定し、この判定により得られた有効な部品名を当該各マシン300のOS,MW名毎にマシン毎構成情報保存部102へ保存する(ST13)。
例えば、図2に示すように、OS,MW名が“Apache HTTP Server”の場合、図12に示すように、部品収集手段情報に示すコマンド“cat $CATALINA_HOME\bin\httpd.conf”の実行結果R1が表示される。この実行結果R1としては、OS,MW名“Apache Http Server”のインストールフォルダのbinの下のhttpd.confの内容が表示される。実行結果R1中、行頭のシャープ記号“#”がコメントアウトされて無効なモジュール名の行を示している。よって、シャープ記号“#”が無い行のモジュール名” mod_asis.”,” mod_auth_basic”,” mod_ proxy”が有効であるので、これらのモジュール名(部品名)を、図4に示すように、マシン毎構成情報保存部102の部品名のエリアへ保存する。
また、図3中、マシンAのOS名に該当するSolaris10の場合、製品毎部品収集方法保存部101内の「OS、MW名」がSolaris10に該当する部品収集手段情報として「pkg info」というコマンドが登録されているので、このコマンドが実行される。
このとき、図13に示すように、コマンド“pkg info”の実行結果R2が表示されたとする。製品毎部品収集方法保存部101内の有効部品判定方法情報が「Summary:の後の箇所」に表示されている情報b1〜b3を取り出すことを示すので、構成情報毎部品情報収集部105は、図4に示すように、部品名「Solaris Print」、「XScreenSaver」及び「libtiff」をマシン毎構成情報保存部102へ保存する。
しかる後、構成情報毎部品情報収集部105は、マシン毎構成情報保存部102内のOS、MW名の読み込みを完了したか否かを判定し(ST14)、読み込みを完了していなければ、ステップST11に戻って処理を継続する。
[脆弱性情報収集処理:ST20]
脆弱性情報収集部106は、図14に示すように、マシン毎構成情報保存部102に保存されたOS、MWのデータ数分だけ、以下のステップST21〜ST24の処理を実行する。
脆弱性情報収集部106は、図14に示すように、マシン毎構成情報保存部102に保存されたOS、MWのデータ数分だけ、以下のステップST21〜ST24の処理を実行する。
脆弱性情報収集部106は、マシン毎構成情報保存部102に保存されている「OS、MW名」の列のデータを読み込む。
脆弱性情報収集部106は、読み込んだOS,MW名に基づいて、脆弱性情報公開装置200の脆弱性情報サイトから脆弱性情報を取得し(ST21)、図5に示すように、当該脆弱性情報に含まれる脆弱性情報IDをマシン毎脆弱性情報保存部103へ保存する(ST22)。ここで、脆弱性情報IDは、脆弱性情報毎に付与された記号であり、この脆弱性情報IDをキーとして脆弱性情報を取得可能となっている。例えば、「Jvn iPedia」という実在する脆弱性情報サイトの場合、脆弱性情報IDは「JVNDB-2009-0001」などと表記される。
具体的には例えば、脆弱性情報収集部106は、脆弱性情報サイト(例:Jvn iPedia http://jvndb.jvn.jp/)からSolaris10をキーに脆弱性情報を取得し、脆弱性情報IDがJVNDB-2009-000059、JVNDB-2009-000431である脆弱性情報を得られた場合、図5に示すように、マシン毎脆弱性情報保存部103において、マシン名“マシンA”、OS,MW名“Solaris10”に対応する脆弱性情報IDの保存エリアへ脆弱性情報ID「JVNDB-2009-000059」及び「JVNDB-2009-000431」を保存する。同様にして、他のマシン名についても、該当する脆弱性情報を取得し、マシン毎脆弱性情報保存部103へ保存する。
次に、脆弱性情報収集部106は、マシン毎管理者情報保存部104内のマシン名及び管理者アドレスに基づいて、当該マシン名に対応するマシン毎脆弱性情報保存部103内の脆弱性情報IDを管理者端末400A,400B,…に通知する(ST23)。
例えば、脆弱性情報収集部106は、マシンAの管理者に、この脆弱性情報を伝えるために、マシンAの管理者情報をマシン毎管理者情報保存部104より取得し、マシンAの管理者へ、Solaris 10に対する脆弱性情報ID「JVNDB-2009-000059」及び「JVNDB-2009-000431」を通知する。なお、ステップST23において、脆弱性情報収集部109は、脆弱性情報IDの他に、マシン名、OS,MW名及び部品名を通知してもよい。
しかる後、脆弱性情報収集部106は、マシン毎構成情報保存部102内のOS,MW名について脆弱性情報を収集していないOS、MW名があるか否かを判定し(ST24)、脆弱性情報を収集していないOS、MW名があればステップST21に戻る。
なお、脆弱性情報IDの通知を受けた管理者端末400は、管理者の操作により、脆弱性情報IDの対応をするためのパッチ情報を管理対象マシンに適用するが、パッチ情報を適用した結果、正常動作をしなくなる等の不具合を生じる場合がある。このような不具合に関する詳細情報を共有するために以下を実行する。
[適用状況確認処理:ST30]
適用状況確認部107は、図15に示すように、管理者が各マシンへ脆弱性情報に対する対応を行なったか否かを確認するため、定期的にマシン毎脆弱性情報保存部103内のデータ数分だけ、以下のステップST31〜ST34の処理を実行する。
適用状況確認部107は、図15に示すように、管理者が各マシンへ脆弱性情報に対する対応を行なったか否かを確認するため、定期的にマシン毎脆弱性情報保存部103内のデータ数分だけ、以下のステップST31〜ST34の処理を実行する。
適用状況確認部107は、図5に示す如き、マシン毎脆弱性情報保存部103のデータを定期的に監視し(ST31)、脆弱性情報IDが保存されており、かつ脆弱性情報IDに対応する適用状況情報が空欄(未適用)を示す場合(ST32)、未適用を示す適用状況情報に対応する脆弱性情報ID及びマシン名を適用状況入力要請部108へ通知する(ST33)。
適用状況入力要請部108は、この通知を受けると、マシン毎管理者情報保存部104を参照しながら、図16に示す如き、当該脆弱性情報ID及びマシン名を含む適用状況入力要請情報M1を、当該マシン名に対応する管理者アドレスの管理者端末400に送信する。なお、適用状況入力要請情報M1は、図17に示す如き、適用状況入力画面G1を表示するためのURL情報U1を含んでいる。
また、適用状況確認部107は、マシン毎脆弱性情報保存部103内のデータのうち、監視していないデータの有無を判定し(ST34)、監視していないデータがあれば、ステップST31に戻って処理を継続する。
適用状況入力要請情報M1を受けた管理者端末400は、管理者の操作により、脆弱性情報IDに基づいて、例えばパッチ情報及びバージョンアップ情報を取得すると共に、これらパッチ情報及びバージョンアップ情報をマシンAに適用する処理を実行したところ、以下に示す状況が生じたとする。
・脆弱性情報ID「JVNDB-2009-000059」に対応するため、パッチID:109543-02を適用したところ、文字化けをするようになった。
・脆弱性情報ID「JVNDB-2009-000431」に対応するため、パッチID:109545-03を適用したが、問題はない。
・脆弱性情報ID「JVNDB-2008-033442」へ対応するため、Apache HTTP Serverのバージョンを 2.2.11にしたが、問題は無い。
この場合、マシンAの管理者端末400Aは、管理者の操作により、図16に示したURL情報U1をクリックして、適用状況入力画面G1の表示データ送信要求をソフトウェア更新情報管理装置200に送信する。ソフトウェア更新情報管理装置200においては、適用状況確認部107が、この表示データ送信要求に基づいて、適用状況入力画面G1の表示データを管理者端末400Aに送信する。なお、表示データ送信要求を受信して適用状況入力画面G1の表示データを送信する機能は、ソフトウェア更新情報管理装置200に限らず、他の装置に持たせてもよい。
管理者端末400Aは、この表示データに基づいて、図17に示す如き、適用状況入力画面G1を表示する。適用状況入力画面G1の表示中、管理者端末400Aは、管理者の操作により、破線枠g1で示す入力欄に情報(パッチID/バージョンID、パッチ情報を適用した後の問題発生有無、パッチ適用後の不具合に関する詳細情報)を入力し、入力完了ボタンg2をクリックする。このクリックにより、管理者端末400Aは、パッチID及びバージョンID(ソフトウェア更新情報ID)、問題有無情報及び詳細情報をソフトウェア更新情報管理装置100に送信する。
ソフトウェア更新情報管理装置100においては、適用状況入力要請情報M1が送信された管理者端末400AからパッチID及びバージョンID、問題有無情報及び詳細情報を受けた場合、起動した適用状況保存部109により、図6に示すように、当該パッチID及びバージョンID、問題有無情報及び詳細情報を当該適用状況入力要請情報M1内の脆弱性情報ID及びマシン名に対応付けてマシン毎脆弱性情報保存部103に書き込むと共に、当該脆弱性情報ID及びマシン名に対応する適用状況情報を更新済みに変更する。
次に、適用状況保存部109は適用状況通知部110を起動する。
[適用状況通知処理:ST40]
適用状況通知部110は、図18に示すように、マシン毎脆弱性情報保存部103のデータ数分だけ、以下のステップST41〜ST49を実行する。
適用状況通知部110は、図18に示すように、マシン毎脆弱性情報保存部103のデータ数分だけ、以下のステップST41〜ST49を実行する。
適用状況通知部110は、マシン毎脆弱性情報保存部103内のマシン名毎に、当該マシン名に対応する情報を当該マシン毎脆弱性情報保存部103から読み込む(ST41)。
次に、適用状況通知部110は、ステップST41で読み込まれた適用状況情報が適用済みで且つ問題有無情報が問題有りを示すか否かを判定し(ST42)、否の場合にはステップ48に進む。
また、ステップST42の結果、適用状況情報が適用済みで且つ問題有無情報が問題有りを示す場合、適用状況通知部110は、ステップST41で読み込まれたマシン名に対応するOS,MW名の組合せに基づいて、当該OS,MW名の組合せと同一の組合せのOS,MW名に対応する他のマシン名を検索し、この検索により得られた他のマシン名(同一OS,MW構成の他のマシン)に対応する全ての適用状況情報が未適用を示すか否かを判定する(ST43)。
ステップST43の判定の結果、未適用を示す場合、適用状況通知部110は、この未適用と判定された適用状況情報に対応する他のマシン名に対応する管理者アドレスの管理者端末400に、図19に示すように、ステップST41で読み込まれた情報のうちの少なくともパッチID(ソフトウェア更新情報ID)及び詳細情報を含む通知M2を送信して(ST44)、ステップST49に進む。なお、通知M2は、ソフトウェア更新情報ID及び詳細情報の他に、マシン名、OS,MW名又は部品名といった他の情報を含んでいてもよく、このことはステップST47,ST48における通知M2でも同様である。
一方、ステップST43の判定の結果、否の場合、適用状況通知部110は、ステップST43で適用済みと判定された適用状況情報に対応する問題有無情報のうち、問題無しを示す問題有無情報に対応するマシン名(同一OS,MW構成で問題無しのマシン)があるか否かを判定する(ST45)。
ステップST45の判定の結果、問題無しを示す問題有無情報に対応するマシン名がある場合には、適用状況通知部110は、マシン毎構成情報保存部102を参照して当該マシン名に対応する部品名の組合せと、ステップST41により読み込まれたマシン名に対応する部品名の組合せとが異なるか否か(部品構成に違いがあるか否か)を判定する(ST46)。
ステップST46の判定の結果、部品名の組合せが異なる場合、適用状況通知部110は、ステップST41により読み込まれたマシン名に対応する部品名の組合せに基づいて、当該部品名の組合せと同一の組合せの部品名に対応する他のマシン名を検索し、この検索により得られた他のマシン名のうち、未適用を示す適用状況情報に対応するマシン名(部品レベルで同一構成で未適用のマシン)に対応する管理者アドレスの管理者端末400に、ステップST41により読み込まれた情報のうちの少なくともパッチID及び詳細情報を含む通知M2を送信する(ST47)。
また、ステップST45の判定の結果、否の場合(同一OS,MW構成で問題無しのマシンが存在しない場合)には、ステップST43により未適用と判定された適用状況情報に対応するマシン名(同一OS,MW構成で未適用のマシン)に対応する管理者アドレスの管理者端末400に、ステップST41により読み込まれた情報のうちの少なくともパッチID及び詳細情報を含む通知M2を送信する(ST48)。
また、ステップST46の判定の結果、否の場合(同一OS,MW構成で問題無しで且つ同一の部品構成の場合)、部品構成がパッチ情報を適用した結果に無関係であるので、同様にステップST48に進み、ステップST43により未適用と判定された適用状況情報に対応するマシン名に対応する管理者アドレスの管理者端末400に、ステップST41により読み込まれた情報のうちの少なくともパッチID及び詳細情報を含む通知M2を送信する。
しかる後、適用状況通知部110は、読み込みしていないデータの有無を判定し(ST49)、読み込みしていないデータがある場合には、ステップST41に戻って処理を継続する。
[ステップST40の具体例]
マシンAで脆弱性情報ID「JVNDB-2009-000059」に対してパッチ情報を適用したら不具合が発生した場合、a),b),c)の状況に分けて具体的に説明する。
マシンAで脆弱性情報ID「JVNDB-2009-000059」に対してパッチ情報を適用したら不具合が発生した場合、a),b),c)の状況に分けて具体的に説明する。
ここで、マシンA〜Eについては図4に示す通り、以下のような状況であるとする。
・マシンAとマシンDは同一OS,MW構成で部品レベルも同一構成である。
・マシンCとマシンEは同一OS,MW構成で部品レベルも同一構成である。
・マシンA,C,D,Eは同一OS,MW構成だが、部品レベルが異なる構成である。
・マシンAとマシンDは同一OS,MW構成で部品レベルも同一構成である。
・マシンCとマシンEは同一OS,MW構成で部品レベルも同一構成である。
・マシンA,C,D,Eは同一OS,MW構成だが、部品レベルが異なる構成である。
a)部品構成と不具合の関係が未定の状況(同一OS,MW構成に通知)
マシンA以外のマシンでは、図6に示すように、脆弱性情報ID「JVNDB-2009-000059」への対応が完了していない場合、適用状況通知部110は、同一OS,MW構成のマシンC,D,Eの管理者端末400へ、通知M2を送信する(ST42;Y →ST43;Y →ST44)。
マシンA以外のマシンでは、図6に示すように、脆弱性情報ID「JVNDB-2009-000059」への対応が完了していない場合、適用状況通知部110は、同一OS,MW構成のマシンC,D,Eの管理者端末400へ、通知M2を送信する(ST42;Y →ST43;Y →ST44)。
b)別の部品構成では不具合が無い状況(同一OS,MW構成で同一部品構成に通知)
マシンAと同一OS,MW構成だが部品レベルで異なるマシンCでは、図7に示すように、脆弱性情報ID「JVNDB-2009-000059」に対してパッチ情報を適用したが、不具合が発生しなかった場合、同一OS,MW構成でもマシンCの部品構成では不具合が発生しなかったということになる。このため、適用状況通知部110は、マシンAとOS,MWが同一で部品構成も同一のマシンDの管理者端末400にのみ、通知M2を送信する(ST42;Y →ST43;N →ST45;Y →ST46;Y →ST47)。
マシンAと同一OS,MW構成だが部品レベルで異なるマシンCでは、図7に示すように、脆弱性情報ID「JVNDB-2009-000059」に対してパッチ情報を適用したが、不具合が発生しなかった場合、同一OS,MW構成でもマシンCの部品構成では不具合が発生しなかったということになる。このため、適用状況通知部110は、マシンAとOS,MWが同一で部品構成も同一のマシンDの管理者端末400にのみ、通知M2を送信する(ST42;Y →ST43;N →ST45;Y →ST46;Y →ST47)。
c)同一部品構成で不具合が無い状況(同一OS,MW構成に通知)
マシンAと同一OS,MW構成で、部品レベルでも同一のマシンDでは、図8に示すように、脆弱性情報ID「JVNDB-2009-000059」に対するパッチ情報を適用したが、不具合が発生しなかった場合、部品構成が不具合発生に無関係なことになる。このため、適用状況通知部110は、同一OS,MW構成のマシンC,Eの管理者端末400へ、通知M2を送信する(ST42;Y →ST43; N →ST45;Y →ST46;N →ST48)。
マシンAと同一OS,MW構成で、部品レベルでも同一のマシンDでは、図8に示すように、脆弱性情報ID「JVNDB-2009-000059」に対するパッチ情報を適用したが、不具合が発生しなかった場合、部品構成が不具合発生に無関係なことになる。このため、適用状況通知部110は、同一OS,MW構成のマシンC,Eの管理者端末400へ、通知M2を送信する(ST42;Y →ST43; N →ST45;Y →ST46;N →ST48)。
上述したように本実施形態によれば、マシン毎構成情報保存手段102内のOS,MW名に基づいて、脆弱性情報公開装置200から脆弱性情報を収集するので、必要な脆弱性情報を取りこぼしなく取得できる。
また、マシン300へパッチ情報又はバージョンアップ情報といったソフトウェア更新情報を適用した場合の当該マシン300への影響(不具合発生)に関する詳細情報を他のマシンの管理者端末400に通知できるので、他のマシンにおける不具合発生を未然に防ぐことができる。
例えば、適用状況情報が適用済みで且つ問題有無情報が問題有りを示す場合、ステップST41により読み込まれたマシン名に対応するOS,MW名の組合せと同一の組合せのOS,MW名に対応する他のマシン名を検索し、検索により得られた他のマシン名に対応する全ての適用状況情報が未適用を示す場合(ST43;Y)、他のマシン名に対応する管理者アドレスの管理者端末400にソフトウェア更新情報ID及び詳細情報を通知するので、問題が有る場合の詳細情報の通知先を絞り込むことができる。
また、適用済みと判定された適用状況情報に対応する問題有無情報のうち、問題無しを示す問題有無情報に対応するマシン名があるか否かを判定し、否の場合(ST45;N)には、未適用と判定された適用状況情報に対応するマシン名に対応する管理者アドレスの管理者端末400に、ソフトウェア更新情報ID及び詳細情報を通知するので、問題が有る場合の詳細情報の通知先を絞り込むことができる。
さらに、問題無しを示す問題有無情報に対応するマシン名がある場合には、マシン毎構成情報保存部102を参照して当該マシン名に対応する部品名の組合せと、読み込まれたマシン名に対応する部品名の組合せとが異なるか否かを判定し、部品名の組合せが異なる場合(ST46;Y)、読み込まれたマシン名に対応する部品名の組合せに基づいて、当該部品名の組合せと同一の組合せの部品名に対応する他のマシン名を検索して得られた他のマシン名のうち、未適用を示す適用状況情報に対応するマシン名に対応する管理者アドレスの管理者端末400に、ソフトウェア更新情報ID及び詳細情報を通知するので、問題が有る場合の通知先を部品レベルの構成で絞り込むことができる。この絞り込みの効果は、ソフトウェア更新情報を適用した実績が増えるにつれて、ソフトウェア更新情報の適用時の不具合発生と、不具合発生時のマシンの部品レベルの構成との関係の有無が明らかになっていくことから、より一層、向上させることができる。
また、部品名の組合せが同一の場合(ST46;N)、未適用を示す適用状況情報に対応するマシン名に対応するアドレス情報の管理者端末に、ソフトウェア更新情報ID及び詳細情報を通知するので、問題が有る場合の通知先を絞り込むことができる。
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
100…ソフトウェア更新情報管理装置、101…製品毎部品収集方法保存部、102…マシン毎構成情報保存部、103…マシン毎脆弱性情報保存部、104…マシン毎管理者情報保存部、105…構成情報毎部品情報収集部、106…脆弱性情報収集部、107…適用状況確認部、108…適用状況入力要請部、109…適用状況保存部、110…適用状況通知部、200…脆弱性情報公開装置、300A,300B…マシン、400A,400B…管理者端末。
Claims (5)
- ソフトウェア名毎に脆弱性情報を公開する脆弱性情報公開装置と、前記ソフトウェア名のソフトウェアに対して前記脆弱性情報に対応するソフトウェア更新情報が適用される複数のマシンと、前記各マシンの管理者に用いられて前記各マシンに前記ソフトウェア更新情報を適用可能な複数の管理者端末と、に通信可能なソフトウェア更新情報管理装置であって、
前記ソフトウェア名毎に、部品収集方法情報及び有効部品判定方法情報を保存する製品毎部品収集方法保存手段と、
前記各マシンのマシン名毎に、ソフトウェア名及び部品名を保存するためのマシン毎構成情報保存手段と、
前記マシン名毎に、ソフトウェア名、前記脆弱性情報に含まれる脆弱性情報ID、前記ソフトウェア更新情報の適用済み又は未適用を示す適用状況情報、前記ソフトウェア更新情報を示すソフトウェア更新情報ID、前記適用による問題の有無を示す問題有無情報、前記問題が有る場合の詳細情報を保存するためのマシン毎脆弱性情報保存手段と、
前記マシン名毎に、前記管理者端末のアドレス情報を保存するマシン毎管理者情報保存手段と、
前記部品収集方法情報に基づいて、前記各マシンのソフトウェア名毎に部品名を収集し、当該収集した部品名のうちの有効な部品名を前記有効部品判定方法情報により判定し、この判定により得られた有効な部品名を当該各マシンのソフトウェア名毎に前記マシン毎構成情報保存手段に書き込む構成情報毎部品情報収集手段と、
前記マシン毎構成情報保存手段内のソフトウェア名に基づいて、前記脆弱性情報公開装置から脆弱性情報を収集し、当該収集した脆弱性情報に含まれる脆弱性情報IDを前記マシン毎脆弱性情報保存手段に書き込む脆弱性情報収集手段と、
前記マシン毎管理者情報保存手段内のマシン名及びアドレス情報に基づいて、当該マシン名に対応する前記マシン毎脆弱性情報保存手段内の脆弱性情報IDを前記管理者端末に通知する手段と、
前記マシン毎脆弱性情報保存手段を参照し、前記脆弱性情報IDに対応する適用状況情報が未適用を示す場合には、当該未適用を示す適用状況情報に対応する脆弱性情報ID及びマシン名を送出する適用状況確認手段と、
前記送出された脆弱性情報ID及びマシン名を受けると、前記マシン毎管理者情報保存手段を参照しながら、当該脆弱性情報ID及びマシン名を含む適用状況入力要請情報を、当該マシン名に対応するアドレス情報の管理者端末に送信する適用状況入力要請手段と、
前記適用状況入力要請情報が送信された管理者端末からソフトウェア更新情報ID、問題有無情報及び詳細情報を受けた場合、当該ソフトウェア更新情報ID、問題有無情報及び詳細情報を当該適用状況入力要請情報内の脆弱性情報ID及びマシン名に対応付けて前記マシン毎脆弱性情報保存手段に書き込むと共に、当該脆弱性情報ID及びマシン名に対応する適用状況情報を更新済みに変更する適用状況保存手段と、
前記マシン毎脆弱性情報保存手段内のマシン名毎に、当該マシン名に対応する情報を当該マシン毎脆弱性情報保存手段から読み込む情報読込手段と、
前記情報読込手段により読み込まれた適用状況情報が適用済みで且つ問題有無情報が問題有りを示すか否かを判定する問題有り判定手段と、
この判定の結果、前記適用状況情報が適用済みで且つ問題有無情報が問題有りを示す場合、前記情報読込手段により読み込まれたマシン名に対応するソフトウェア名の組合せに基づいて、当該ソフトウェア名の組合せと同一の組合せのソフトウェア名に対応する他のマシン名を検索する同一ソフトウェア名マシン名検索手段と、
前記検索により得られた他のマシン名に対応する全ての適用状況情報が未適用を示すか否かを判定する未適用判定手段と、
前記判定の結果、未適用を示す場合、前記未適用と判定された適用状況情報に対応する他のマシン名に対応するアドレス情報の管理者端末に、前記情報読込手段により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第1の詳細情報通知手段と、
を備えたことを特徴とするソフトウェア更新情報管理装置。 - 請求項1に記載のソフトウェア更新情報管理装置において、
前記未適用判定手段による判定の結果、否の場合、前記未適用判定手段により適用済みと判定された適用状況情報に対応する問題有無情報のうち、問題無しを示す問題有無情報に対応するマシン名があるか否かを判定するマシン名判定手段と、
前記マシン名判定手段による判定の結果、否の場合には、前記未適用判定手段により未適用と判定された適用状況情報に対応するマシン名に対応するアドレス情報の管理者端末に、前記情報読込手段により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第2の詳細情報通知手段と、
を備えたことを特徴とするソフトウェア更新情報管理装置。 - 請求項2に記載のソフトウェア更新情報管理装置において、
前記マシン名判定手段による判定の結果、問題無しを示す問題有無情報に対応するマシン名がある場合には、前記マシン毎構成情報保存手段を参照して当該マシン名に対応する部品名の組合せと、前記情報読込手段により読み込まれたマシン名に対応する部品名の組合せとが異なるか否かを判定する部品名判定手段と、
この判定の結果、部品名の組合せが異なる場合、前記情報読込手段により読み込まれたマシン名に対応する部品名の組合せに基づいて、当該部品名の組合せと同一の組合せの部品名に対応する他のマシン名を検索する同一部品名マシン名検索手段と、
この検索により得られた他のマシン名のうち、未適用を示す適用状況情報に対応するマシン名に対応するアドレス情報の管理者端末に、前記情報読込手段により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第3の詳細情報通知手段と、
を備えたことを特徴とするソフトウェア更新情報管理装置。 - 請求項3に記載のソフトウェア更新情報管理装置において、
前記部品名判定手段による判定の結果、否の場合、前記未適用判定手段により未適用と判定された適用状況情報に対応するマシン名に対応するアドレス情報の管理者端末に、前記情報読込手段により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第4の詳細情報通知手段と、
を備えたことを特徴とするソフトウェア更新情報管理装置。 - ソフトウェア名毎に脆弱性情報を公開する脆弱性情報公開装置と、前記ソフトウェア名のソフトウェアに対して前記脆弱性情報に対応するソフトウェア更新情報が適用される複数のマシンと、前記各マシンの管理者に用いられて前記各マシンに前記ソフトウェア更新情報を適用可能な複数の管理者端末と、に通信可能であって、製品毎部品収集方法保存手段、マシン毎構成情報保存手段、マシン毎脆弱性情報保存手段及びマシン毎管理者情報保存手段を備えたソフトウェア更新情報管理装置に用いられるプログラムであって、
前記ソフトウェア更新情報管理装置を、
前記ソフトウェア名毎に、部品収集方法情報及び有効部品判定方法情報を前記製品毎部品収集方法保存手段に書き込む手段、
前記各マシンのマシン名毎に、ソフトウェア名及び部品名を前記マシン毎構成情報保存手段に書き込む手段、
前記マシン名毎に、ソフトウェア名、前記脆弱性情報に含まれる脆弱性情報ID、前記ソフトウェア更新情報の適用済み又は未適用を示す適用状況情報、前記ソフトウェア更新情報を示すソフトウェア更新情報ID、前記適用による問題の有無を示す問題有無情報、前記問題が有る場合の詳細情報を前記マシン毎脆弱性情報保存手段に書き込む手段、
前記マシン名毎に、前記管理者端末のアドレス情報を前記マシン毎管理者情報保存手段に書き込む手段、
前記部品収集方法情報に基づいて、前記各マシンのソフトウェア名毎に部品名を収集し、当該収集した部品名のうちの有効な部品名を前記有効部品判定方法情報により判定し、この判定により得られた有効な部品名を当該各マシンのソフトウェア名毎に前記マシン毎構成情報保存手段に書き込む構成情報毎部品情報収集手段、
前記マシン毎構成情報保存手段内のソフトウェア名に基づいて、前記脆弱性情報公開装置から脆弱性情報を収集し、当該収集した脆弱性情報に含まれる脆弱性情報IDを前記マシン毎脆弱性情報保存手段に書き込む脆弱性情報収集手段、
前記マシン毎管理者情報保存手段内のマシン名及びアドレス情報に基づいて、当該マシン名に対応する前記マシン毎脆弱性情報保存手段内の脆弱性情報IDを前記管理者端末に通知する手段、
前記マシン毎脆弱性情報保存手段を参照し、前記脆弱性情報IDに対応する適用状況情報が未適用を示す場合には、当該未適用を示す適用状況情報に対応する脆弱性情報ID及びマシン名を送出する適用状況確認手段、
前記送出された脆弱性情報ID及びマシン名を受けると、前記マシン毎管理者情報保存手段を参照しながら、当該脆弱性情報ID及びマシン名を含む適用状況入力要請情報を、当該マシン名に対応するアドレス情報の管理者端末に送信する適用状況入力要請手段、
前記適用状況入力要請情報が送信された管理者端末からソフトウェア更新情報ID、問題有無情報及び詳細情報を受けた場合、当該ソフトウェア更新情報ID、問題有無情報及び詳細情報を当該適用状況入力要請情報内の脆弱性情報ID及びマシン名に対応付けて前記マシン毎脆弱性情報保存手段に書き込むと共に、当該脆弱性情報ID及びマシン名に対応する適用状況情報を更新済みに変更する適用状況保存手段、
前記マシン毎脆弱性情報保存手段内のマシン名毎に、当該マシン名に対応する情報を当該マシン毎脆弱性情報保存手段から読み込む情報読込手段、
前記情報読込手段により読み込まれた適用状況情報が適用済みで且つ問題有無情報が問題有りを示すか否かを判定する問題有り判定手段、
この判定の結果、前記適用状況情報が適用済みで且つ問題有無情報が問題有りを示す場合、前記情報読込手段により読み込まれたマシン名に対応するソフトウェア名の組合せに基づいて、当該ソフトウェア名の組合せと同一の組合せのソフトウェア名に対応する他のマシン名を検索する同一ソフトウェア名マシン名検索手段、
前記検索により得られた他のマシン名に対応する全ての適用状況情報が未適用を示すか否かを判定する未適用判定手段、
前記判定の結果、未適用を示す場合、前記未適用と判定された適用状況情報に対応する他のマシン名に対応するアドレス情報の管理者端末に、前記情報読込手段により読み込まれた情報のうちの少なくともソフトウェア更新情報ID及び詳細情報を通知する第1の詳細情報通知手段、
として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009159978A JP2011014094A (ja) | 2009-07-06 | 2009-07-06 | ソフトウェア更新情報管理装置及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009159978A JP2011014094A (ja) | 2009-07-06 | 2009-07-06 | ソフトウェア更新情報管理装置及びプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011014094A true JP2011014094A (ja) | 2011-01-20 |
Family
ID=43592879
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009159978A Withdrawn JP2011014094A (ja) | 2009-07-06 | 2009-07-06 | ソフトウェア更新情報管理装置及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011014094A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014130502A (ja) * | 2012-12-28 | 2014-07-10 | Hitachi Systems Ltd | 脆弱性分析装置、脆弱性分析プログラムおよび脆弱性分析方法 |
JP2020004006A (ja) * | 2018-06-27 | 2020-01-09 | Nttテクノクロス株式会社 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
JP2020184377A (ja) * | 2020-07-28 | 2020-11-12 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
US11822671B2 (en) | 2016-03-30 | 2023-11-21 | Nec Corporation | Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures |
-
2009
- 2009-07-06 JP JP2009159978A patent/JP2011014094A/ja not_active Withdrawn
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014130502A (ja) * | 2012-12-28 | 2014-07-10 | Hitachi Systems Ltd | 脆弱性分析装置、脆弱性分析プログラムおよび脆弱性分析方法 |
US11822671B2 (en) | 2016-03-30 | 2023-11-21 | Nec Corporation | Information processing device, information processing method, and non-transitory computer readable medium for identifying terminals without security countermeasures |
JP2020004006A (ja) * | 2018-06-27 | 2020-01-09 | Nttテクノクロス株式会社 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
JP7123659B2 (ja) | 2018-06-27 | 2022-08-23 | Nttテクノクロス株式会社 | 脆弱性管理装置、脆弱性管理方法及びプログラム |
JP2020184377A (ja) * | 2020-07-28 | 2020-11-12 | 日本電気株式会社 | 情報処理装置、情報処理方法、プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7237243B2 (en) | Multiple device management method and system | |
US8639798B2 (en) | Managing configuration items | |
US8910172B2 (en) | Application resource switchover systems and methods | |
JP5241319B2 (ja) | ネットワーク上に配置された構成要素についての情報を検出するためのパスワードを管理するコンピュータ・システム、並びにその方法及びコンピュータ・プログラム | |
US8612574B2 (en) | Computer system for managing configuration item, and method and computer program therefor | |
JP5263696B2 (ja) | ソフトウェア構成要素をバックアップするためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム | |
JP5325981B2 (ja) | 管理サーバ及び管理システム | |
US20130191516A1 (en) | Automated configuration error detection and prevention | |
WO2009098909A1 (ja) | 仮想アプライアンス配備システム | |
US20130212574A1 (en) | Sub-Device Discovery and Management | |
US9660883B2 (en) | Computer product, monitoring method, and monitoring apparatus | |
US20120191831A1 (en) | System and method for cataloging assets in a network | |
JP2007264901A (ja) | ソフトウェア管理装置、ソフトウェア管理システム、ソフトウェア管理方法及びソフトウェア管理プログラム | |
JP5208324B1 (ja) | 情報システム管理装置及び情報システム管理方法及びプログラム | |
JP2011014094A (ja) | ソフトウェア更新情報管理装置及びプログラム | |
JP2008186147A (ja) | ソフトウエア管理方法、ソフトウェア管理システム、情報処理装置及びソフトウエア管理プログラム | |
JP2016134721A (ja) | 情報処理システム、情報処理システムの制御方法及び管理装置の制御プログラム | |
JPWO2011074362A1 (ja) | 構成情報の取得が制限された構成要素を含むシステムの構成要素の構成情報を形成するためのシステム、プログラム、および方法 | |
JP5239072B2 (ja) | 構成要素を管理するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム | |
JP5857637B2 (ja) | 情報処理プログラムおよび情報処理方法 | |
Perrott | Windows Server 2022 & PowerShell All-in-One For Dummies | |
US11621883B1 (en) | Monitoring state information for incidents in an IT environment including interactions among analysts responding to other similar incidents | |
JP2005322140A (ja) | 運用監視システムおよびその方法、並びに中継サーバ | |
US8271623B2 (en) | Performing configuration in a multimachine environment | |
JP2013045223A (ja) | バッチジョブ実行システム、ジョブ管理サーバ、ジョブ認証情報更新方法および更新プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20121002 |