JP4414865B2 - セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム - Google Patents
セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム Download PDFInfo
- Publication number
- JP4414865B2 JP4414865B2 JP2004331419A JP2004331419A JP4414865B2 JP 4414865 B2 JP4414865 B2 JP 4414865B2 JP 2004331419 A JP2004331419 A JP 2004331419A JP 2004331419 A JP2004331419 A JP 2004331419A JP 4414865 B2 JP4414865 B2 JP 4414865B2
- Authority
- JP
- Japan
- Prior art keywords
- security
- information
- client
- patch
- security information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、セキュリティ管理サーバ、セキュリティ管理方法およびセキュリティ管理プログラムに関する。
近年、インターネット技術やネットワーク技術を用いた情報システムも増加している。それに伴い、情報システムの脆弱性を狙ったウィルスの感染の脅威が増加している。
情報システムに関する脆弱性は、日々インターネットに公開され、その脆弱性を防ぐためのパッチの提供が行われている。近年のウィルス発生の増加に伴い脆弱性の公開の頻度も増加し、脆弱性が公開されてから、その脆弱性を突いたクラッカーによる不正アクセスやウィルスの発生までの時間の短縮化の傾向が強まっている。
このような情報システムの脆弱性を狙った攻撃に対し、システム管理者やユーザはインターネットを介し、ベンダー等の発するセキュリティ情報を逐次チェックし、公開された情報システムの脆弱性に対し早期にパッチ適用を行う必要がある。
情報システムに関する脆弱性は、日々インターネットに公開され、その脆弱性を防ぐためのパッチの提供が行われている。近年のウィルス発生の増加に伴い脆弱性の公開の頻度も増加し、脆弱性が公開されてから、その脆弱性を突いたクラッカーによる不正アクセスやウィルスの発生までの時間の短縮化の傾向が強まっている。
このような情報システムの脆弱性を狙った攻撃に対し、システム管理者やユーザはインターネットを介し、ベンダー等の発するセキュリティ情報を逐次チェックし、公開された情報システムの脆弱性に対し早期にパッチ適用を行う必要がある。
現在、インターネットを介し複数のサイトからセキュリティ情報を取得し、情報の信頼度という観点でクライアントの使用ユーザに対し、必要なセキュリティ情報を提供し、パッチ適用を促す方法(特許文献1参照)や、管理対象の情報システムの環境情報と、監視対象の情報システムに対する脆弱性修正作業ログを管理することにより、システム全体の脆弱性に関する情報を、システム管理者および業務管理者に提供する方法(特許文献2参照)がある。
特開2003−216576号公報
特開2003−256370号公報
しかし、前記した方法はいずれも、システム管理者またはクライアントの使用ユーザに適切なパッチ情報を提供して、パッチ適用を促したり、パッチ適用状況を確認したりするものに過ぎない。
よって、これらの方法は、情報システムの環境の違いや、使用するクライアントのユーザの作業等の要因により、パッチ情報が公開されてからすべてのクライアントに対しパッチ適用が完了するまで、タイムラグが生じてしまい、ウィルスや不正アクセス侵入のおそれがあるという問題がある。
よって、これらの方法は、情報システムの環境の違いや、使用するクライアントのユーザの作業等の要因により、パッチ情報が公開されてからすべてのクライアントに対しパッチ適用が完了するまで、タイムラグが生じてしまい、ウィルスや不正アクセス侵入のおそれがあるという問題がある。
本発明は、前記したような脆弱性公開から早期に発生する傾向のあるウィルスや不正アクセスに対し、セキュリティ強化を行うことを課題とする。また、システム管理者や使用ユーザが日々インターネットを介しセキュリティ情報をチェックする負担を軽減し、ネットワークに対する影響を少なく、迅速に安全な情報システムの運用管理を行うセキュリティ管理装置等を提供することを課題とする。
前記した課題を解決するため、本発明のセキュリティ管理装置(セキュリティ管理サーバ)を、ネットワーク経由で取得した最新のセキュリティ情報に基づき、脆弱性への攻撃経路となるルータ(ネットワーク接続機器)の特定のTCP/IP(Transmission Control Protocol/Internet Protocol)ポートを遮断する構成とした。つまり、ネットワーク経由で取得した最新のパッチ情報であるセキュリティ情報に基づき、クライアントに接続されるルータのTCP/IPポート開閉制御を行い、セキュリティ管理を行うセキュリティ管理装置であって、前記各クライアントにインストールされているソフトウェア名および適用されているパッチ名を含むインベントリ情報、前記セキュリティ情報および前記ルータの識別情報を格納するデータベースと、所定のキーワードおよびこのキーワードにより示されるアプリケーションに関連するTCP/IPポートを示すセキュリティキーワードリストとを格納する記憶部と、前記各クライアントから、前記各クライアントのインベントリ情報を取得し、前記データベースに格納するインベントリ情報管理部と、前記ネットワーク経由で、前記最新のセキュリティ情報を取得するとともに、前回取得したセキュリティ情報のページと、今回取得したセキュリティ情報のページとの差分情報から、前記今回取得したセキュリティ情報のページにおいて新たに追加されたセキュリティ情報を抽出することで、前記今回取得したセキュリティ情報を解析し、この解析したセキュリティ情報に前記セキュリティキーワードリストに示されたキーワードが有るとき、この解析したセキュリティ情報を前記データベースに格納するページ取得解析部と、前記データベースに格納された各クライアントの前記インベントリ情報および前記解析したセキュリティ情報を参照して、前記解析したセキュリティ情報に示される影響ソフトウェアがインストールされたクライアントであって、前記影響ソフトウェアのパッチが未適用のクライアントを、前記セキュリティ情報に基づくセキュリティ対策が必要なクライアントと判定するポート開閉判定部と、前記セキュリティ対策が必要なクライアントが有ったとき、前記データベースに格納される前記クライアントのIPアドレスおよびルータのIPアドレスを参照して特定した前記セキュリティ対策が必要なクライアントに接続するルータに対し、前記解析したセキュリティ情報に含まれているパッチに関連するTCP/IPポートを閉鎖する制御信号を出力するポート開閉制御部とを備える構成とした。その他の構成については、後記する実施の形態で述べる。
本発明によれば、脆弱性公開から早期に発生するウィルスや不正アクセスに対し、ネットワーク機器(ルータ)の設定を変更することによりクライアントにセキュリティ対策を行うことができる。また、パッチ情報ページ(セキュリティ情報ページ)の内容について解析を行い、脆弱と判定されたウィルスや不正アクセスの進入経路と成り得るおそれのあるTCP/IPポートを閉鎖するため、クライアントが行う通信への影響を最小限にとどめることができる。
さらに、セキュリティ管理サーバは、システム管理者がセキュリティキーワードテーブルに設定した内容(セキュリティポリシ)に基づきセキュリティ対策を行うため、より柔軟に必要な箇所のセキュリティ対策を行うことが可能となる。また、システム管理者の負担軽減にもなる。
さらに、システム管理者の技術力によるクライアントごとのセキュリティ強度の違いを無くし、安全な情報システムの構築が可能となる。
さらに、システム管理者の技術力によるクライアントごとのセキュリティ強度の違いを無くし、安全な情報システムの構築が可能となる。
以下、本発明を実施するための最良の形態(以下、実施の形態とする)について、図面を参照して詳細に説明する。
《第1の実施の形態》
まず、本発明の第1の実施の形態を、図1を用いて説明する。図1は、本発明の第1の実施の形態のセキュリティ管理サーバ(セキュリティ管理装置)を含むシステムの構成を示すブロック図である。
まず、本発明の第1の実施の形態を、図1を用いて説明する。図1は、本発明の第1の実施の形態のセキュリティ管理サーバ(セキュリティ管理装置)を含むシステムの構成を示すブロック図である。
本実施の形態のシステムは、インターネット110経由でセキュリティ情報一覧ページ102、パッチ情報ページ103等を公開するWebサーバ101と、インターネット110経由で各種情報の送受信を行うクライアント115と、パッチ情報のダウンロード、パッチ情報の概要の解析およびルータ113のTCP/IPポート(以下、単にポートと略す)の開閉状態を制御するセキュリティ管理サーバ104と、クライアント115およびセキュリティ管理サーバ104をインターネット(ネットワーク)110に接続するためのルータ113と、クライアント115およびルータ113の管理情報や、前記セキュリティ情報等の管理情報を記憶するデータベース114とを含む。
なお、このデータベース114は、例えばハードディスク等の記憶装置により実現される。クライアント115およびセキュリティ管理サーバ104は、CPU、記憶部および入出力手段を備えるコンピュータにより実現される。データベース114のデータは、セキュリティ管理サーバ104の記憶部に格納するようにしてもよい。
また、Webサーバ101、クライアント115およびルータ113の数は、図1に示す数に限定されない。
なお、このデータベース114は、例えばハードディスク等の記憶装置により実現される。クライアント115およびセキュリティ管理サーバ104は、CPU、記憶部および入出力手段を備えるコンピュータにより実現される。データベース114のデータは、セキュリティ管理サーバ104の記憶部に格納するようにしてもよい。
また、Webサーバ101、クライアント115およびルータ113の数は、図1に示す数に限定されない。
セキュリティ管理サーバ104は、インターネット110経由でパッチ情報(セキュリティ情報)をダウンロードし、このパッチ情報の解析を行うページ取得解析部105と、パッチ情報および各クライアント115にインストールされているソフトウェアおよび適用されているパッチの情報を参照して、セキュリティ対策が必要なクライアント115が有るか否か(どのクライアント115にセキュリティ対策を行えばよいか)を判定するポート開閉判定部109と、前記セキュリティ対策が必要なクライアント115に接続されるルータ113のポート開閉制御を行うポート開閉制御部111と、クライアント115にインストールされたソフトウェアおよび適用されているパッチの情報を管理するインベントリ情報管理部112と、記憶部100とを含んで構成される。
前記したページ取得解析部105、ポート開閉判定部109、ポート開閉制御部111およびインベントリ情報管理部112は、セキュリティ管理サーバ104のCPU(図示せず)が、記憶部100に格納されたセキュリティ管理プログラムを実行することにより実現される。
各クライアント115には、クライアント115のOS(Operating System)、インストールされているソフトウェア、パッチ等のインベントリ情報をセキュリティ管理サーバ104へアップロード(送信)するためのインベントリ収集エージェント116が存在する。このインベントリ収集エージェント116は、クライアント115に格納された所定プログラムの実行処理によって実現される。
Webサーバ101は、OSやソフトウェアのパッチ情報ページ103と、このパッチ情報ページ103へアクセスするためのURL(Uniform Resource Locator)の一覧を示すセキュリティ情報一覧ページ102とを格納し、これらのページをインターネット110経由で公開している。セキュリティ管理サーバ104は、インターネット110経由でセキュリティ情報一覧ページ102およびパッチ情報ページ103からパッチ情報を取得する。
システム管理者は、セキュリティ管理サーバ104が参照すべきセキュリティ情報ページURL106と、セキュリティキーワードリスト107と、公開された脆弱性の深刻度レベルに応じた対策の要否を記載した深刻度レベル対策設定リスト108とを、入力手段(図示せず)等を用いて記憶部100に登録しておく。
前記したページ取得解析部105は、この記憶部100に登録(記憶)された情報に基づいて、Webサーバ101からセキュリティ情報(パッチ情報)をダウンロードし、このパッチ情報の解析を行う。
前記したページ取得解析部105は、この記憶部100に登録(記憶)された情報に基づいて、Webサーバ101からセキュリティ情報(パッチ情報)をダウンロードし、このパッチ情報の解析を行う。
なお、セキュリティキーワードリスト107は、システムの機能やソフトウェアの名称あるいはセキュリティに関するキーワードについて、そのキーワードにより示されるアプリケーション(ソフトウェア)に関連するポート番号を示したリストである。
例えば、キーワードに示されるアプリケーションがhttp(HyperText Transfer Protocol)を用いたアプリケーションであれば、httpで使用するポート番号「80」が記載される。
例えば、キーワードに示されるアプリケーションがhttp(HyperText Transfer Protocol)を用いたアプリケーションであれば、httpで使用するポート番号「80」が記載される。
図2は、図1の各構成要素の動作を説明する図である。図1を参照しつつ、図2を用いて図1の各構成要素の動作を説明する。
まず、セキュリティ管理サーバ104のインベントリ情報管理部112は、クライアント115に対しインベントリ情報の収集要求を行う(ステップS201)。
なお、このインベントリ情報の収集要求先であるクライアント115は、データベース114に格納される管理対象クライアントテーブル210(後記)を参照して特定するものとする。
なお、このインベントリ情報の収集要求先であるクライアント115は、データベース114に格納される管理対象クライアントテーブル210(後記)を参照して特定するものとする。
クライアント115のインベントリ収集エージェント116は、セキュリティ管理サーバ104からインベントリ収集要求を受け取ると、クライアント115のインベントリ情報をセキュリティ管理サーバ104にアップロードする。つまり、クライアント115は、セキュリティ管理サーバ104に対しインベントリ情報の通知を行う(ステップS202)。そして、インベントリ情報管理部112は、このインベントリ情報をデータベース114に格納する。
また、セキュリティ管理サーバ104のページ取得解析部105は、インターネット110(図1参照)経由で、Webサーバ101のセキュリティ情報一覧ページ102が更新されているか否かの確認を行う(ステップS203)。ここで、セキュリティ情報一覧ページ102が更新されている場合には、Webサーバ101にパッチ情報ページ103を要求し(ステップS204)、Webサーバ101はセキュリティ管理サーバ104に対してパッチ情報ページ103の情報を通知する(ステップS205)。
そして、ページ取得解析部105は、Webサーバ101から通知されたパッチ情報ページ103の情報をデータベース114に格納する。
そして、ページ取得解析部105は、Webサーバ101から通知されたパッチ情報ページ103の情報をデータベース114に格納する。
次に、セキュリティ管理サーバ104のページ取得解析部105は、ステップS205でWebサーバ101から取得したパッチ情報ページ103の解析を行う。そして、この解析結果をポート開閉判定部109に受け渡す。
なお、このときのページ取得解析部105の動作の詳細については後記する。
なお、このときのページ取得解析部105の動作の詳細については後記する。
ポート開閉判定部109は、パッチ情報ページ103の解析結果およびデータベース114から読み出したクライアント115のインベントリ情報から、クライアント115に接続されるルータ113のポート開閉判定を行う。そして、ポート開閉制御部111は、ポート開閉判定部109から受け取った判定結果に基づき、ルータ113に対しポートの開閉制御を行う(ステップS206)。
次に、データベース114に格納されるテーブルについて説明する。
データベース114には、クライアント115の管理情報を格納した管理対象クライアントテーブル210と、クライアント115にインストールされたソフトウェアおよびパッチの情報を格納したインストールソフトウェア情報テーブル211と、クライアント115におけるパッチの適用状態(パッチ未適用か、パッチ適用済みか、パッチ適用の対象外か)を示した適用済みパッチリストテーブル212とを格納する。また、管理対象のルータ113の管理情報(例えば、IPアドレス)を格納した管理対象ルータテーブル207と、ルータ113のポートの開閉状態を格納したポート状態管理テーブル208と、Webサーバ101から取得したパッチ情報を格納する管理対象パッチリストテーブル209とから構成される。
データベース114には、クライアント115の管理情報を格納した管理対象クライアントテーブル210と、クライアント115にインストールされたソフトウェアおよびパッチの情報を格納したインストールソフトウェア情報テーブル211と、クライアント115におけるパッチの適用状態(パッチ未適用か、パッチ適用済みか、パッチ適用の対象外か)を示した適用済みパッチリストテーブル212とを格納する。また、管理対象のルータ113の管理情報(例えば、IPアドレス)を格納した管理対象ルータテーブル207と、ルータ113のポートの開閉状態を格納したポート状態管理テーブル208と、Webサーバ101から取得したパッチ情報を格納する管理対象パッチリストテーブル209とから構成される。
なお、管理対象クライアントテーブル210、インストールソフトウェア情報テーブル211および適用済みパッチリストテーブル212は別個のものとして説明するが、これらをまとめて1つのテーブルとしてもよい。
これらのテーブルの作成手順およびこれらのテーブルを参照した各構成要素の処理手順については、後記する。
これらのテーブルの作成手順およびこれらのテーブルを参照した各構成要素の処理手順については、後記する。
図3は、図1のWebサーバで公開されたパッチ情報ページの取得方法を説明する図である。適宜図1および図2を参照しつつ、図3を用いて、ページ取得解析部105のパッチ情報ページの取得方法を説明する。
図3の符号301は、Webサーバ101における更新前のセキュリティ情報一覧ページを例示したものであり、符号303は、Webサーバ101における更新後のセキュリティ情報一覧ページを例示したものである。
セキュリティ情報一覧ページ301(303)には、現在までに公開されているパッチ情報ページへのリンク(URL)のリスト302(304)が示されている。
図3の符号301は、Webサーバ101における更新前のセキュリティ情報一覧ページを例示したものであり、符号303は、Webサーバ101における更新後のセキュリティ情報一覧ページを例示したものである。
セキュリティ情報一覧ページ301(303)には、現在までに公開されているパッチ情報ページへのリンク(URL)のリスト302(304)が示されている。
例えば、符号302のリストは、「XXXの脆弱性(111111)」に関するパッチ情報のURLと、「YYYセキュリティ更新プログラム(222222)」に関するパッチ情報のURLとを示している。ここでは、各パッチ情報のタイトルのみが表示されているが、タイトル部分に各パッチ情報を提供するサイトのURLが埋め込まれているものとする、つまりタイトル部分に前記各パッチ情報ページへのハイパーリンクが設定されているものとする。また、図3に例示するように、セキュリティ情報一覧ページ301(303)に、各パッチ情報の更新日(更新日時)の情報を含めるようにしてもよい。
このようにすることで、新たに追加されたパッチ情報や、最新のパッチ情報を特定しやすくなる。
このようにすることで、新たに追加されたパッチ情報や、最新のパッチ情報を特定しやすくなる。
図1のセキュリティ管理サーバ104のページ取得解析部105は、まず、Webサーバ101からセキュリティ情報一覧ページ102(図3の符号301)を取得し、この取得したページを記憶部100に格納しておく。次に、所定時間経過後、Webサーバ101から更新後のセキュリティ情報一覧ページ102(図3の符号303)を取得し、取得済みのセキュリティ情報一覧ページ102との内容の比較および比較した差分情報に含まれるURLの検索を行う。
図3の例の場合、セキュリティ情報一覧ページ301とセキュリティ情報一覧ページ303との内容の比較をすると、セキュリティ情報一覧ページ303には、符号305の「ZZZの脆弱性により・・・(333333)」に関するパッチ情報が追加されている。つまり、この符号305の情報が差分情報となる。ページ取得解析部105は、この差分情報305から、新たに公開されたパッチ情報ページのURLを取得する。ここでは、例えばURL「http://aa.bb.cc」を取得し、このURLが示すパッチ情報ページ103にアクセスする。そして、パッチ情報ページ103の情報を取得する。
図4は、図3で取得したパッチ情報ページの解析方法を説明する図である。パッチ情報ページ103は、パッチごとにユニークな番号が付加されたパッチ名401、公開された脆弱性に関する情報405、その脆弱性により影響を受けるソフトウェア名を示す影響ソフトウェア403、その脆弱性が与えるシステムへの影響度の度合いを示す深刻度402等の情報により構成される。
図1のページ取得解析部105は、このパッチ情報ページ103と、記憶部100の深刻度レベル対策設定リスト108と、セキュリティキーワードリスト107のセキュリティポリシとに従い、その脆弱性に対しセキュリティ強化(セキュリティ対策)を行うか否かを判定する。判定の結果、セキュリティ強化を行うべきと判定した場合には、パッチ情報ページ103に含まれる情報をデータベース114の管理対象パッチリストテーブル209に追加する。
なお、この深刻度レベル対策設定リスト108およびセキュリティキーワードリスト107の情報は、予めシステム管理者等が設定入力しておくものとする。
深刻度レベル対策設定リスト108は、パッチ情報ページ103の深刻度のレベルごとに、セキュリティ対策の要もしくは不要のフラグを設定した情報である。
例えば、図4の深刻度レベル対策設定リスト108では、パッチ情報ページ103の深刻度402が「緊急」であったときには、セキュリティ対策は「要」であることを示している。
例えば、図4の深刻度レベル対策設定リスト108では、パッチ情報ページ103の深刻度402が「緊急」であったときには、セキュリティ対策は「要」であることを示している。
セキュリティキーワードリスト107には、システムの機能やソフトウェアの名称、あるいはセキュリティに関するキーワードごとに、そのキーワードの機能やソフトウェアが使用するTCP/IPのポート番号、通信プロトコルおよびそのキーワードが検出された場合のセキュリティ対策の要もしくは不要のフラグが設定してある。
例えば、図4のセキュリティキーワードリスト107では、公開されたパッチ情報ページ103の脆弱性に関する情報405に「AAAサービス」というキーワードが含まれていたときには、ポート番号「135」、プロトコル「TCP」についてのセキュリティ対策は「要」であることを示している。
例えば、図4のセキュリティキーワードリスト107では、公開されたパッチ情報ページ103の脆弱性に関する情報405に「AAAサービス」というキーワードが含まれていたときには、ポート番号「135」、プロトコル「TCP」についてのセキュリティ対策は「要」であることを示している。
すなわち、図4に例示するパッチ情報ページ103をページ取得解析部105が解析するとき、深刻度402の情報「緊急」をキーとして深刻度レベル対策設定リスト108を検索して、セキュリティ対策の「要」という結果を得る。また、パッチ情報ページ103の公開された脆弱性に関する情報405の「AAAサービス」というキーワードから、ポート番号「135」、プロトコル「TCP」についてのセキュリティ対策は「要」という結果を得る。
ここで、深刻度レベル対策設定リスト108およびセキュリティキーワードリスト107の双方でセキュリティ対策が「要」なので、ページ取得解析部105は、このパッチ情報ページ103に基づくセキュリティ対策を行うと判定し、パッチ情報ページ103の情報を管理対象パッチリストテーブル209に追加する。
つまり、ページ取得解析部105は、パッチ情報ページ103から抽出したパッチ名401「333333」、影響ソフトウェア403「aaaXP」、深刻度402「緊急」および公開された脆弱性に関する情報405に含まれるキーワード「AAAサービス」を、管理対象パッチリストテーブル209に記録する。
なお、図4の管理対象パッチリストテーブル209の「サービスパック」の項目のように、影響ソフトウェア403のサービスパック名(またはバージョン名)に関する項目を設けてもよい。
このように、ページ取得解析部105は、パッチ情報ページ103のうち、セキュリティ管理サーバ104で管理するパッチ情報について、その概要情報を作成し、管理対象パッチリストテーブル209に登録する。
つまり、ページ取得解析部105は、パッチ情報ページ103から抽出したパッチ名401「333333」、影響ソフトウェア403「aaaXP」、深刻度402「緊急」および公開された脆弱性に関する情報405に含まれるキーワード「AAAサービス」を、管理対象パッチリストテーブル209に記録する。
なお、図4の管理対象パッチリストテーブル209の「サービスパック」の項目のように、影響ソフトウェア403のサービスパック名(またはバージョン名)に関する項目を設けてもよい。
このように、ページ取得解析部105は、パッチ情報ページ103のうち、セキュリティ管理サーバ104で管理するパッチ情報について、その概要情報を作成し、管理対象パッチリストテーブル209に登録する。
図5は、図2の管理対象クライアントテーブル、インストールソフトウェア情報テーブルおよび適用済みパッチテーブルを例示した図である。
管理対象クライアントテーブル210は、管理対象となるクライアント115ごとに、クライアント115のホスト名およびIPアドレス、クライアント115にインストールされたOS、そのOSのサービスパック名等、クライアント115に関する各種情報が記憶されている。
管理対象クライアントテーブル210は、管理対象となるクライアント115ごとに、クライアント115のホスト名およびIPアドレス、クライアント115にインストールされたOS、そのOSのサービスパック名等、クライアント115に関する各種情報が記憶されている。
例えば、図5の管理対象クライアントテーブル210には、ホスト名「ホストA」、IPアドレス「192.168.0.2」のクライアント115には、OS「aaa2000」の「SP(サービスパック)4」がインストールされていることを示している。
この管理対象クライアントテーブル210は、図1のセキュリティ管理サーバ104のインベントリ情報管理部112が、クライアント115のインベントリ収集エージェント116からアップロードされたインベントリ情報に基づき更新する。
なお、この管理対象クライアントテーブル210は、図5に例示するように各情報の更新日時に関する情報を含んでいてもよい。
この管理対象クライアントテーブル210は、図1のセキュリティ管理サーバ104のインベントリ情報管理部112が、クライアント115のインベントリ収集エージェント116からアップロードされたインベントリ情報に基づき更新する。
なお、この管理対象クライアントテーブル210は、図5に例示するように各情報の更新日時に関する情報を含んでいてもよい。
インストールソフトウェア情報テーブル211は、管理対象クライアントテーブル210のホスト名501をキーに、クライアント115にインストールされているソフトウェア名、バージョン、サービスパック名、更新日時等の情報が格納される。このインストールソフトウェア情報テーブル211の情報は、セキュリティ管理サーバ104のインベントリ情報管理部112が、インベントリ収集エージェント116からアップロードされたインベントリ情報に基づき更新する。
なお、インベントリ情報管理部112によるクライアント115のインベントリ情報の取得は、所定期間ごと定期的に行うようにしてもよいし、不定期に行うようにしてもよい。
なお、インベントリ情報管理部112によるクライアント115のインベントリ情報の取得は、所定期間ごと定期的に行うようにしてもよいし、不定期に行うようにしてもよい。
例えば、図5のインストールソフトウェア情報テーブル211は、「ホストA」のクライアント115には、「ソフトウェアA」のバージョン「9.0」の「SP4」および「ソフトウェアB」のバージョン「6.1」の「SP1」がインストールされていることを示している。
ポート開閉判定部109は、クライアント115にパッチ情報ページ103に基づくセキュリティ対策が必要か否かをクライアント115にインストールされているソフトウェアの情報により判定する。
適用済みパッチリストテーブル212は、管理対象クライアントテーブル210のホスト名501ごとに、このクライアント115のパッチ適用状態を示すテーブルである。
この適用済みパッチリストテーブル212は、インベントリ収集エージェント116がアップロードしたインベントリ情報に基づき、インベントリ情報管理部112が更新する。
適用済みパッチリストテーブル212は、管理対象クライアントテーブル210のホスト名501ごとに、このクライアント115のパッチ適用状態を示すテーブルである。
この適用済みパッチリストテーブル212は、インベントリ収集エージェント116がアップロードしたインベントリ情報に基づき、インベントリ情報管理部112が更新する。
例えば、図5の適用済みパッチリストテーブル212は、「ホストA」のクライアント115には、パッチ名「111111」のパッチは適用済み(インストール済み)であり、「222222」のパッチは未適用(未インストール)であり、「333333」のパッチは適用対象外であるという情報が格納されている。
なお、クライアント115にとって当該パッチが適用対象外であるか否かは、インベントリ情報管理部112が、管理対象クライアントテーブル210およびインストールソフトウェア情報テーブル211(クライアント115のOSやインストールされているソフトウェア)と、管理対象パッチリストテーブル209(パッチ情報)とに基づき判断する。
例えば、インベントリ情報管理部112において、ホストAのOS(aaa2000のSP4)およびインストールされているソフトウェア(ソフトウェアAのバージョン9.0のSP4)が、パッチ(333333)の適用対象のOSやソフトウェアでなければ、適用済みパッチリストテーブル212に「対象外」の情報を書き込む。
一方、ホストAにパッチの適用対象のOSやソフトウェアがインストールされているにもかかわらず、そのパッチが未だインストールされていない場合には、適用済みパッチリストテーブル212に「未インストール」の情報を書き込む。
例えば、インベントリ情報管理部112において、ホストAのOS(aaa2000のSP4)およびインストールされているソフトウェア(ソフトウェアAのバージョン9.0のSP4)が、パッチ(333333)の適用対象のOSやソフトウェアでなければ、適用済みパッチリストテーブル212に「対象外」の情報を書き込む。
一方、ホストAにパッチの適用対象のOSやソフトウェアがインストールされているにもかかわらず、そのパッチが未だインストールされていない場合には、適用済みパッチリストテーブル212に「未インストール」の情報を書き込む。
図6は、図2の管理対象ルータテーブルおよびポート状態管理テーブルを例示した図である。
管理対象ルータテーブル207は、図1のセキュリティ管理サーバ104の管理対象となるルータ113ごとのネットワーク情報が格納される。この管理対象ルータテーブル207は、例えば図6に示すように、ルータ113の名称(符号601)ごとに、このルータ113のIPアドレス(符号207)を示したものである。図6の管理対象ルータテーブル207は、「ルータA」のIPアドレスは「192.168.0.1」であることを示している。
管理対象ルータテーブル207は、図1のセキュリティ管理サーバ104の管理対象となるルータ113ごとのネットワーク情報が格納される。この管理対象ルータテーブル207は、例えば図6に示すように、ルータ113の名称(符号601)ごとに、このルータ113のIPアドレス(符号207)を示したものである。図6の管理対象ルータテーブル207は、「ルータA」のIPアドレスは「192.168.0.1」であることを示している。
ポート状態管理テーブル208は、セキュリティ管理サーバ104(ポート開閉制御部111)が制御しているルータ113ごとにポート遮断状態(閉鎖状態)が格納される。ポート状態管理テーブル208は、例えば図6に示すように、ルータ113の名称ごとに、このルータ113のIPアドレス、通信ポート番号、プロトコル、ポート遮断の引き金となったパッチ名および該当ポートの遮断状態が格納される。
図6において管理対象である「ルータA」のIPアドレスは「192.168.0.1」であり、パッチ名「111111」により、通信ポート番号「1433」、プロトコル「TCP」のポートが「遮断(閉鎖)」された状態であることを示している。
このポート状態管理テーブル208は、ポート開閉制御部111がルータ113のポート開閉制御を行ったときに書き換える。
なお、このポート状態管理テーブル208には、閉鎖されたポートに関する情報のほかに、開放したポートに関する情報も併せて記録するようにしてもよい。
このポート状態管理テーブル208は、ポート開閉制御部111がルータ113のポート開閉制御を行ったときに書き換える。
なお、このポート状態管理テーブル208には、閉鎖されたポートに関する情報のほかに、開放したポートに関する情報も併せて記録するようにしてもよい。
図7〜図9は、図1のページ取得解析部のパッチ情報ページの取得、解析手順(セキュリティ管理プログラムの実行手順)を示すフローチャートである。適宜図1〜図6を参照しつつ、図7〜図9を用いてセキュリティ管理サーバ104のページ取得解析部105の処理手順を説明する。
まず、図1のセキュリティ管理サーバ104のページ取得解析部105は、システム管理者により予め登録されたセキュリティ情報一覧ページURL106を元に、インターネット110経由でWebサーバ101に接続する(ステップS701)。そして、ページ取得解析部105は、このWebサーバ101からセキュリティ情報一覧ページ102をダウンロードし、記憶部100(またはデータベース114)に格納する(ステップS702)。
その後、所定時間待機し(ステップS703)、再度Webサーバ101からセキュリティ情報一覧ページ102をダウンロードする(ステップS704)。この所定時間は、セキュリティ管理サーバ104の管理者が定義設定可能である。
その後、所定時間待機し(ステップS703)、再度Webサーバ101からセキュリティ情報一覧ページ102をダウンロードする(ステップS704)。この所定時間は、セキュリティ管理サーバ104の管理者が定義設定可能である。
次に、ステップS702で格納しておいたセキュリティ情報一覧ページ102とステップS704でダウンロードしたセキュリティ情報一覧ページ102との差分をチェックする(ステップ705)。ここで、ステップS704でダウンロードしたセキュリティ情報一覧ページ102に差分がない場合(ステップS706のNo)、つまり、セキュリティ情報一覧ページ102が更新されていない場合には、ステップS703へ戻り、所定時間待機した後に、再度Webサーバ101からセキュリティ情報一覧ページ102をダウンロードする。そして、セキュリティ情報一覧ページ102の差分を確認する。
一方、セキュリティ情報一覧ページ102に差分がある場合(ステップS706のYes)には、その差分情報の解析を行う(ステップS707)。具体的には、ページ取得解析部105は、セキュリティ情報一覧ページ102の差分情報を抽出し、その差分情報についてHTML(HyperText Markup Language)のタグ解析を行う。そして、その解析結果から新たに追加された分のパッチ情報のタイトルおよびパッチ情報ページ103へのハイパーリンク(リンクされたURL)を取得する(ステップS708)。例えば、前記した図3の差分情報305でリンクされたパッチ情報ページ103のURL「http://aa.bb.cc」を取得する。そして、ステップS708で取得したURLから、パッチ情報ページ103をダウンロードする(ステップS709)。次に、ステップS708へ進む。
図8のステップS710では、ページ取得解析部105は、図7のステップS709でダウンロードしたパッチ情報ページ103の解析を行い、パッチ名、深刻度レベルおよび影響ソフトウェアの情報を取得する。このときのパッチ情報ページ103の解析は、例えば、今まで公開されたパッチ情報ページ103を元に、パッチ名、深刻度レベルおよび影響ソフトウェア等の抽出すべき項目を表すキーワードやパッチ情報ページ103の標準的なフォーマット(書式)等を記憶部100に記憶しておき、これらの情報を参照して解析する。
そして、ページ取得解析部105は、深刻度レベル対策設定リスト108から、取得したパッチ情報ページ103に示された深刻度レベルに対応する対策フラグを取得し(ステップS711)、この対策フラグが「要」であるか否かを判定する(ステップS712)。ここで、対策フラグが「要」である場合には(ステップS712のYes)、パッチ情報ページ103からセキュリティキーワードリスト107に登録されているキーワード、例えば、図4のセキュリティキーワードリスト107に記載される「AAAサービス」等を検索する(ステップS713)。
次に、パッチ情報ページ103にセキュリティキーワードリスト107に登録されているキーワード(「AAAサービス」)が有った場合、つまり検索に成功した場合(ステップS714のYes)、セキュリティキーワードリスト107から、そのキーワード(「AAAサービス」)に対する対策フラグを取得する。そして、取得した対策フラグが「要」であるか否かを判断し(ステップS715)、対策フラグが「要」の場合(ステップS715のYes)には、このパッチ情報ページ103の内容をセキュリティ管理サーバ104の管理対象とすべきと判断する。続いて、管理対象パッチリストテーブル209にパッチ情報ページ103におけるパッチ名、影響ソフトウェア、影響を受けるソフトウェアのサービスパック、深刻度レベルおよびステップS713で検索に成功したキーワード(「AAAサービス」)を追加する(ステップS716)。
次に、パッチ情報ページ103にセキュリティキーワードリスト107に登録されているキーワード(「AAAサービス」)が有った場合、つまり検索に成功した場合(ステップS714のYes)、セキュリティキーワードリスト107から、そのキーワード(「AAAサービス」)に対する対策フラグを取得する。そして、取得した対策フラグが「要」であるか否かを判断し(ステップS715)、対策フラグが「要」の場合(ステップS715のYes)には、このパッチ情報ページ103の内容をセキュリティ管理サーバ104の管理対象とすべきと判断する。続いて、管理対象パッチリストテーブル209にパッチ情報ページ103におけるパッチ名、影響ソフトウェア、影響を受けるソフトウェアのサービスパック、深刻度レベルおよびステップS713で検索に成功したキーワード(「AAAサービス」)を追加する(ステップS716)。
以上のような処理を、セキュリティキーワードリスト107の各キーワードについて行う。そして、該当のパッチ情報ページ103を検索し、当該キーワードの検索に成功した場合(パッチ情報ページ103にそのキーワードが含まれていた場合)には、キーワードの対策フラグを判断し、管理対象パッチリストテーブル209に登録する。
セキュリティキーワードリスト107のすべてのキーワードについて、検索が終了した場合には(ステップS717のYes)、図9のステップS718へ進む。ステップS718では、パッチ情報が複数追加された場合等を想定し、セキュリティ情報一覧ページ303の差分情報を再度検索し、解析していないパッチ情報のURLが存在するか否かを判断する。ここで、解析していないURLが存在する場合には(ステップS718のYes)、図7のステップS709へ戻り、新たにパッチ情報ページ103をダウンロードし、パッチ情報ページ103の解析処理を行う。そして、すべてのパッチ情報ページ103について解析が完了した場合(図9のステップS718のNo)、処理を終了する。
セキュリティキーワードリスト107のすべてのキーワードについて、検索が終了した場合には(ステップS717のYes)、図9のステップS718へ進む。ステップS718では、パッチ情報が複数追加された場合等を想定し、セキュリティ情報一覧ページ303の差分情報を再度検索し、解析していないパッチ情報のURLが存在するか否かを判断する。ここで、解析していないURLが存在する場合には(ステップS718のYes)、図7のステップS709へ戻り、新たにパッチ情報ページ103をダウンロードし、パッチ情報ページ103の解析処理を行う。そして、すべてのパッチ情報ページ103について解析が完了した場合(図9のステップS718のNo)、処理を終了する。
続いて、適宜図1〜図9を参照しつつ、図10および図11を用いてセキュリティ管理サーバ104のポート開閉判定部109およびポート開閉制御部111の処理手順を説明する。図10は、図1のルータのポート閉鎖の流れを示すフローチャートであり、図11は、図1のルータのポートの開放の流れを示すフローチャートである。
まず、図10を用いて、ルータ113のポート閉鎖の流れを説明する。
図1のセキュリティ管理サーバ104のポート開閉判定部109は、管理対象パッチリストテーブル209に追加されたパッチ名、例えば、図3の符号305に示される「ZZZの脆弱性により・・・・(333333)」を取得し(ステップS801)、このパッチの影響ソフトウェア名(例えば「aaaXP Service Pack 1」)を取得する(ステップS802)。そして、ポート開閉判定部109は、ステップS802で取得した影響ソフトウェアがインストールされているクライアント115を、インストールソフトウェア情報テーブル211から検索し(ステップS803)、影響ソフトウェアをインストール済みのクライアント115が有るか否かを判断する(ステップS804)。ここで、影響ソフトウェアをインストール済みのクライアント115が無かった場合(ステップS804のNo)、該当パッチに関して脆弱性のあるクライアント115は存在しないと判断し、処理を終了する。
図1のセキュリティ管理サーバ104のポート開閉判定部109は、管理対象パッチリストテーブル209に追加されたパッチ名、例えば、図3の符号305に示される「ZZZの脆弱性により・・・・(333333)」を取得し(ステップS801)、このパッチの影響ソフトウェア名(例えば「aaaXP Service Pack 1」)を取得する(ステップS802)。そして、ポート開閉判定部109は、ステップS802で取得した影響ソフトウェアがインストールされているクライアント115を、インストールソフトウェア情報テーブル211から検索し(ステップS803)、影響ソフトウェアをインストール済みのクライアント115が有るか否かを判断する(ステップS804)。ここで、影響ソフトウェアをインストール済みのクライアント115が無かった場合(ステップS804のNo)、該当パッチに関して脆弱性のあるクライアント115は存在しないと判断し、処理を終了する。
一方、影響ソフトウェアをインストール済みのクライアント115が有った場合(ステップS804のYes)、該当パッチの脆弱性が存在する可能性がある。そのため、ポート開閉判定部109は、ステップS803で検索した影響ソフトウェアがインストールされているクライアント115の名称(ホスト名)およびステップS801で取得したパッチ名をキーとして、適用済みパッチリストテーブル212を検索する(ステップS805)。
ここで、適用済みパッチリストテーブル212において、該当パッチをインストールしていないクライアント115が有った場合、つまり該当パッチが各クライアント115にインストールされていなかった場合(ステップS806のNo)、ステップS807へ進む。一方、該当パッチを未インストールのクライアント115が無かった場合(ステップS806のYes)、そのまま処理を終了する。
ステップS807では、ポート開閉判定部109がクライアント115について脆弱性ありと判定し、これを受けてポート開閉制御部111が、このクライアント115の接続するルータ113のポート閉鎖制御処理を行う。具体的には、まずポート開閉判定部109がポート開閉制御部111にポートの閉鎖を指示する信号を出力する。そして、セキュリティ管理サーバ104のポート開閉制御部111は、この信号を受けて、管理対象パッチリストテーブル209およびセキュリティキーワードリスト107から、該当パッチのTCP/IPポートおよびプロトコルに関する情報を取得する。例えば、パッチ「333333」のTCP/IPポート「135」番、プロトコル「TCP」という情報を取得する。
なお、このポートの閉鎖を指示する信号には未インストールのパッチ名、このパッチがインストールされていなかったクライアント115のホスト名およびIPアドレス等が含まれるものとする。
なお、このポートの閉鎖を指示する信号には未インストールのパッチ名、このパッチがインストールされていなかったクライアント115のホスト名およびIPアドレス等が含まれるものとする。
また、ポート開閉制御部111は、管理対象ルータテーブル207からセキュリティ強化(ポート閉鎖)を行うルータ113を特定する。ここでのルータ113の特定は、例えば、クライアント115のIPアドレスと、ルータ113のIPアドレスとに基づいて推測するものとする。そして、ポート開閉制御部111は、前記取得したTCP/IPポートおよびプロトロルの通信を遮断するよう、ルータ113に対してポート閉鎖制御処理を行う。例えば、ルータ113のフィルタリングテーブルを変更する制御信号を出力する。
また、ポート開閉制御部111は、ルータ113のポート閉鎖制御処理に伴い、ポート開閉状態を管理するポート状態管理テーブル208に、ポートを閉鎖したルータ113の情報を追加する(ステップS808)。例えば、閉鎖制御処理を実施したルータ名、閉鎖したTCP/IPポート、プロトコル、パッチ名、ポートの状態等を追加する。
セキュリティ管理サーバ104がこのような処理を行うことで、パッチ情報ページ103が新たに公開されたときに、ルータ113において対策が必要なポートを迅速に閉鎖できるので、クライアント115のセキュリティ強化を迅速に行うことができる。また、システム管理者のセキュリティ対策の手間を軽減することができる。
ポート開閉判定部109およびポート開閉制御部111が以上のようなポート閉鎖処理を行った後、ポート閉鎖の必要がなくなったポートについては、ポート開放をするようにしてもよい。図11を用いて、ルータ113のポート開放の流れを説明する。
まず、図1のセキュリティ管理サーバ104のポート開閉判定部109は、ポート状態管理テーブル208のレコードから、パッチ名を抽出する(ステップS901)。次に、ポート開閉判定部109は、ステップS901で抽出したパッチ名をキーとして、適用済みパッチリストテーブル212から、該当パッチが未インストールとなっているクライアント115を検索する(ステップS902)。ここで、該当パッチを未インストールのクライアント115が有る場合には(ステップS903のNo)、該当パッチの脆弱性は存在すると判定し、該当パッチに関連するポートの閉鎖は維持し、ステップS906へ進む。
一方、該当パッチを未インストールのクライアント115が無い場合には(ステップS903のYes)、ポート開閉判定部109はシステム全体に脆弱性はないと判定し、ポート開閉制御部111に、ポート開閉制御部111にポートの開放を指示する信号を出力する。これを受けたポート開閉制御部111は、ポート状態管理テーブル208より該当パッチによりポートが閉鎖となっているルータ113の情報(ルータ113のIPアドレス等)を取得し、このルータ113のポート開放制御処理を行う(ステップS904)。つまり、ルータ113のフィルタリングテーブルの書き換えを行う。
このルータ113のポート開放制御に伴い、ポート開閉判定部109は、ポート状態管理テーブル208を更新する(ステップS905)。具体的には、ポート状態管理テーブル208のレコードのうち、該当パッチのポートの開閉状態の欄の記述を、遮断から開放に書き換える。そして、ポート状態管理テーブル208に記載されたすべてのパッチ名について検索が完了したとき(ステップS906のYes)、そのまま処理を終了する。未だポート状態管理テーブル208に検索が完了していないパッチがあれば(ステップS906のNo)、ステップS901に戻る。
以上のように、セキュリティ管理サーバ104が、ポート閉鎖の必要がなくなったポートについてはポート開放するので、クライアント115が行う通信への影響を最小限にとどめつつウィルス対策や不正アクセスへの対策をすることができる。
図12は、図1のインベントリ情報管理部の動作を示すフローチャートである。適宜図1〜図11を参照しつつ、図12を用いてインベントリ情報管理部112によるクライアント115のインベントリ情報収集の流れを説明する。
まず、図1のセキュリティ管理サーバ104のインベントリ情報管理部112は、管理対象クライアントテーブル210に存在するクライアント115各々のインベントリ収集エージェント116に対し、インベントリ情報の取得実行を通知する(ステップS1001)。
この通知を受けた各クライアント115のインベントリ収集エージェント116では、自身にインストールされているクライアント115のインベントリ情報の収集を行い、セキュリティ管理サーバ104に対し、取得したインベントリ情報をアップロード(送信)する。
ここでアップロードされるインベントリ情報は、例えば、クライアント115のホスト名、IPアドレス、インストールされているOS、ソフトウェア、適用されているパッチ名等である。このOS、ソフトウェアの情報には、サービスパック名やバージョン等の情報を含めるようにしてもよい。
ここでアップロードされるインベントリ情報は、例えば、クライアント115のホスト名、IPアドレス、インストールされているOS、ソフトウェア、適用されているパッチ名等である。このOS、ソフトウェアの情報には、サービスパック名やバージョン等の情報を含めるようにしてもよい。
インベントリ情報管理部112は、各インベントリ収集エージェント116からアップロードされた、インベントリ情報を受信し(ステップS1002)、受信した情報に基づき、管理対象クライアントテーブル210、インストールソフトウェア情報テーブル211および適用済みパッチリストテーブル212を更新する(ステップS1003)。
テーブルの更新後、インベントリ情報管理部112は、適用済みパッチリストテーブル212においてパッチを未インストールのクライアント115が有るか否かを判断する(ステップS1004)。ここで、パッチを未インストールのクライアント115が無かった場合は、そのまま処理を終了する。
一方、パッチを未インストールのクライアント115が有った場合(ステップS1004のYes)、インベントリ情報管理部112は、適用済みパッチリストテーブル212からクライアント115のホスト名およびパッチ名を取得する。また、取得したパッチ名から、管理対象パッチリストテーブル209を参照し、このパッチの影響ソフトウェアを取得する。そして、インストールソフトウェア情報テーブル211から、取得した影響ソフトウェア名とクライアント115のホスト名を元に、該当のクライアント115に影響ソフトウェアがインストールされているか否かの判断を行う(ステップS1005)。
つまり、パッチを未インストールのクライアント115について、このパッチはクライアント115にとって必要にもかかわらずインストールされていないのか、それとも、このパッチは不要なのでインストールされていないのかを判断する。
一方、パッチを未インストールのクライアント115が有った場合(ステップS1004のYes)、インベントリ情報管理部112は、適用済みパッチリストテーブル212からクライアント115のホスト名およびパッチ名を取得する。また、取得したパッチ名から、管理対象パッチリストテーブル209を参照し、このパッチの影響ソフトウェアを取得する。そして、インストールソフトウェア情報テーブル211から、取得した影響ソフトウェア名とクライアント115のホスト名を元に、該当のクライアント115に影響ソフトウェアがインストールされているか否かの判断を行う(ステップS1005)。
つまり、パッチを未インストールのクライアント115について、このパッチはクライアント115にとって必要にもかかわらずインストールされていないのか、それとも、このパッチは不要なのでインストールされていないのかを判断する。
ここで、該当のクライアント115に影響ソフトウェアがインストールされていない場合には(ステップS1005のNo)、脆弱性の影響を受けないので、インベントリ情報管理部112は、適用済みパッチリストテーブル212の該当クライアント115の該当パッチのレコードを「未インストール」から「対象外」に変更する(ステップS1006)。この後、ステップS1004に戻り、適用済みパッチリストテーブル212においてパッチが未インストールとなっているクライアント115ごとにステップS1005以降の処理を繰り返す。
このようにすることで、セキュリティ管理サーバ104は、各クライアント115におけるパッチの適用状態を最新のものに書き換えることができる。
前記した実施の形態によれば、Webサーバ101で新たなセキュリティ情報が公開されたとき、セキュリティ管理サーバ104が速やかにルータ113のポート開閉制御をするので、クライアント115のセキュリティ対策を迅速にすることができる。また、システム管理者や使用ユーザが日々インターネットを介しセキュリティ情報をチェックする負担を軽減することができる。さらに、セキュリティ管理サーバ104は、公開されたセキュリティ情報(パッチ情報)の内容を解析し、クライアント115にとって脆弱となるポートを開閉制御するので、クライアント115が行う通信への影響を最小限にとどめつつ、ウィルスや不正アクセスの防御が可能となる。
また、システム管理者は、深刻度レベル対策設定リスト108およびセキュリティキーワードリスト107(図4参照)に、公開されたセキュリティ情報において深刻度がどのレベルならセキュリティ対策を行うか、また、どのキーワードが含まれていたらセキュリティ対策を行うかを設定できるので、柔軟なセキュリティポリシを設定可能である。
本実施の形態に係るセキュリティ管理サーバ104は、前記したような処理を実行させるセキュリティ管理用プログラムによって実現することができ、そのプログラムをコンピュータによる読み取り可能な記憶媒体(CD−ROM等)に記憶して提供することが可能である。また、そのプログラムを、ネットワークを通して提供することも可能である。
100 記憶部
101 Webサーバ
103 パッチ情報ページ(セキュリティ情報)
104 セキュリティ管理サーバ(セキュリティ管理装置)
105 ページ取得解析部
107 セキュリティキーワードリスト
109 ポート開閉判定部
110 インターネット(ネットワーク)
111 ポート開閉制御部
112 インベントリ情報管理部
113 ルータ
114 データベース
115 クライアント
101 Webサーバ
103 パッチ情報ページ(セキュリティ情報)
104 セキュリティ管理サーバ(セキュリティ管理装置)
105 ページ取得解析部
107 セキュリティキーワードリスト
109 ポート開閉判定部
110 インターネット(ネットワーク)
111 ポート開閉制御部
112 インベントリ情報管理部
113 ルータ
114 データベース
115 クライアント
Claims (3)
- ネットワーク経由で取得した最新のパッチ情報であるセキュリティ情報に基づき、クライアントに接続されるルータのTCP/IPポート開閉制御を行い、セキュリティ管理を行うセキュリティ管理装置を用いたセキュリティ管理方法であって、
前記セキュリティ管理装置が、
前記各クライアントから、前記各クライアントにインストールされたソフトウェアおよび適用されているパッチ名を含むインベントリ情報を取得し、データベースに格納するステップと、
前記ネットワーク経由で、前記セキュリティ情報を公開するWeb装置から最新のセキュリティ情報のページを取得するステップと、
前回取得したセキュリティ情報のページと、今回取得したセキュリティ情報のページとの差分情報から、前記今回取得したセキュリティ情報のページにおいて新たに追加されたセキュリティ情報を抽出することで、前記今回取得したセキュリティ情報を解析するステップと、
所定のキーワードおよびこのキーワードにより示されるアプリケーションに関連するTCP/IPポートを示すセキュリティキーワードリストを参照して、このセキュリティキーワードリストに示されたキーワードが前記解析したセキュリティ情報に含まれているか否かを判定するステップと、
このセキュリティキーワードリストに示されたキーワードが前記解析したセキュリティ情報に含まれていると判断したとき、前記解析したセキュリティ情報を前記データベースに格納するステップと、
前記データベースに格納された各クライアントの前記インベントリ情報および前記解析したセキュリティ情報を参照して、前記解析したセキュリティ情報に示される影響ソフトウェアがインストールされたクライアントであって、前記影響ソフトウェアのパッチが未適用のクライアントを、前記セキュリティ情報に基づくセキュリティ対策が必要なクライアントと判定するステップと、
前記セキュリティ対策が必要なクライアントが有ったとき、前記データベースに格納される前記クライアントのIPアドレスおよびルータのIPアドレスを参照して、前記セキュリティ対策が必要なクライアントに接続するルータを特定するステップと、
前記特定したルータに対し、前記解析したセキュリティ情報に含まれているパッチに関連するTCP/IPポートを閉鎖する制御信号を出力するステップと、
を実行することを特徴とするセキュリティ管理方法。 - ネットワーク経由で取得した最新のパッチ情報であるセキュリティ情報に基づき、クライアントに接続されるルータのTCP/IPポート開閉制御を行い、セキュリティ管理を行うセキュリティ管理装置であって、
前記各クライアントにインストールされているソフトウェア名および適用されているパッチ名を含むインベントリ情報、前記セキュリティ情報および前記ルータの識別情報を格納するデータベースと、所定のキーワードおよびこのキーワードにより示されるアプリケーションに関連するTCP/IPポートを示すセキュリティキーワードリストとを格納する記憶部と、
前記各クライアントから、前記各クライアントのインベントリ情報を取得し、前記データベースに格納するインベントリ情報管理部と、
前記ネットワーク経由で、前記最新のセキュリティ情報を取得するとともに、前回取得したセキュリティ情報のページと、今回取得したセキュリティ情報のページとの差分情報から、前記今回取得したセキュリティ情報のページにおいて新たに追加されたセキュリティ情報を抽出することで、前記今回取得したセキュリティ情報を解析し、この解析したセキュリティ情報に前記セキュリティキーワードリストに示されたキーワードが有るとき、この解析したセキュリティ情報を前記データベースに格納するページ取得解析部と、
前記データベースに格納された各クライアントの前記インベントリ情報および前記解析したセキュリティ情報を参照して、前記解析したセキュリティ情報に示される影響ソフトウェアがインストールされたクライアントであって、前記影響ソフトウェアのパッチが未適用のクライアントを、前記セキュリティ情報に基づくセキュリティ対策が必要なクライアントと判定するポート開閉判定部と、
前記セキュリティ対策が必要なクライアントが有ったとき、前記データベースに格納される前記クライアントのIPアドレスおよびルータのIPアドレスを参照して特定した前記セキュリティ対策が必要なクライアントに接続するルータに対し、前記解析したセキュリティ情報に含まれているパッチに関連するTCP/IPポートを閉鎖する制御信号を出力するポート開閉制御部と、
を備えることを特徴とするセキュリティ管理装置。 - 請求項1に記載のセキュリティ管理方法をコンピュータに実行させるためのセキュリティ管理プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004331419A JP4414865B2 (ja) | 2004-11-16 | 2004-11-16 | セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004331419A JP4414865B2 (ja) | 2004-11-16 | 2004-11-16 | セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006146297A JP2006146297A (ja) | 2006-06-08 |
| JP4414865B2 true JP4414865B2 (ja) | 2010-02-10 |
Family
ID=36625939
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004331419A Expired - Fee Related JP4414865B2 (ja) | 2004-11-16 | 2004-11-16 | セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4414865B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5064912B2 (ja) * | 2007-07-04 | 2012-10-31 | 三菱電機株式会社 | 管理装置及びネットワークシステム及びプログラム及び管理方法 |
| JP5343854B2 (ja) | 2007-09-20 | 2013-11-13 | 日本電気株式会社 | セキュリティ運用管理システム、セキュリティ運用管理方法およびセキュリティ運用管理プログラム |
| JP5338192B2 (ja) * | 2008-08-14 | 2013-11-13 | 株式会社リコー | 情報処理装置及びプログラム |
| JP5549281B2 (ja) * | 2010-03-05 | 2014-07-16 | 日本電気株式会社 | 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム |
| US9372995B2 (en) | 2011-09-08 | 2016-06-21 | Hitachi, Ltd. | Vulnerability countermeasure device and vulnerability countermeasure method |
| JP5792654B2 (ja) * | 2012-02-15 | 2015-10-14 | 株式会社日立製作所 | セキュリティ監視システムおよびセキュリティ監視方法 |
| US10015329B2 (en) | 2014-05-16 | 2018-07-03 | Ricoh Company, Ltd. | Information management apparatus, information management method, and information device |
| JP6735996B2 (ja) * | 2016-05-10 | 2020-08-05 | 株式会社 ハンモック | 脆弱性対策管理システム |
| WO2023166610A1 (ja) * | 2022-03-02 | 2023-09-07 | 日本電気株式会社 | システム、システム制御部、制御方法及び、プログラム |
-
2004
- 2004-11-16 JP JP2004331419A patent/JP4414865B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006146297A (ja) | 2006-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102095334B1 (ko) | 로그 정보 생성장치 및 기록매체와 로그 정보 추출장치 및 기록매체 | |
| JP5642856B2 (ja) | クロスサイトスクリプティングフィルタ | |
| RU2444056C1 (ru) | Система и способ ускорения решения проблем за счет накопления статистической информации | |
| US20130167236A1 (en) | Method and system for automatically generating virus descriptions | |
| US20090158430A1 (en) | Method, system and computer program product for detecting at least one of security threats and undesirable computer files | |
| US20070169199A1 (en) | Web service vulnerability metadata exchange system | |
| US20080229419A1 (en) | Automated identification of firewall malware scanner deficiencies | |
| WO2016069119A1 (en) | A system and method for network intrusion detection of covert channels based on off-line network traffic | |
| US20030037138A1 (en) | Method, apparatus, and program for identifying, restricting, and monitoring data sent from client computers | |
| CN101816148A (zh) | 用于验证、数据传送和防御网络钓鱼的***和方法 | |
| CN103856524A (zh) | 基于用户代理的白名单识别合法内容的方法和*** | |
| JP4414865B2 (ja) | セキュリティ管理方法、セキュリティ管理装置およびセキュリティ管理プログラム | |
| JP2004520654A (ja) | クラッカー追跡システムとその方法、およびこれを利用した認証システムとその方法 | |
| WO2017077847A1 (ja) | 解析装置、解析方法、および、解析プログラム | |
| US11528291B2 (en) | Methods and apparatus for defending against exploitation of vulnerable software | |
| JP2011233081A (ja) | アプリケーション判定システムおよびプログラム | |
| RU2481633C2 (ru) | Система и способ автоматического расследования инцидентов безопасности | |
| KR102048141B1 (ko) | 신규 정보보안 취약점 선제 대응 시스템 및 방법 | |
| US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| Firoz et al. | Performance optimization of layered signature based intrusion detection system using snort | |
| US7516150B1 (en) | Update protection system and method | |
| CN116089940A (zh) | 多源安全威胁检测方法和装置 | |
| JP6084688B2 (ja) | データ変換方法及び装置 | |
| US20170085586A1 (en) | Information processing device, communication history analysis method, and medium | |
| KR101577404B1 (ko) | 자바 스크립트 오브젝트 모니터링을 이용한 악성코드 접근 차단 시스템, 방법 및 상기 방법을 실행시키기 위한 컴퓨터프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060728 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090806 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090818 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091019 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091117 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091120 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121127 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121127 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131127 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |