図面 (/)

技術 脆弱性対策管理システム

出願人 株式会社ハンモック
発明者 若山大典通事大作
出願日 2016年5月10日 (4年7ヶ月経過) 出願番号 2016-094470
公開日 2017年11月16日 (3年1ヶ月経過) 公開番号 2017-204058
状態 特許登録済
技術分野 ストアードプログラムにおける機密保護
主要キーワード インプット情報 作業軽減 対策データベース 対策データ 成功条件 除外情報 入手先情報 IT資産
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2017年11月16日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (4)

課題

脆弱性対策を「迅速に、必要な個所に、適切に」行うことのできる脆弱性対策管理システムを提供する。

解決手段

脆弱性情報対策データベースD001と、IT資産情報データベースD002と、脆弱性情報対策データベースD001の脆弱性情報D103とIT資産情報データベースD002のハードウェア情報D201及びソフトウェア情報D202を突き合わせて脆弱性該当資産一覧情報D004を作成する脆弱性該当情報検出手段F006と、作成した脆弱性該当資産一覧情報D004を用いて脆弱性に対応した対策データ及び配布実行情報D303を作成する配布実行データ作成手段F007と、作成した対策データ及び配布実行情報D303をコンピュータF003とそれに接続されたIT関連機器F004に配布し、必要な処理を実行する脆弱性対策データ配布実行手段F008と、を備えた。

概要

背景

コンピュータシステム上では、日々様々な脆弱性発見され、その対応策公表されている。このため、ユーザー(例えば、企業など)側は常にこれに対応する必要があり、特許文献1又は2のような脆弱性対策ステム・装置が開発されている。

概要

脆弱性対策を「迅速に、必要な個所に、適切に」行うことのできる脆弱性対策管理システムを提供する。脆弱性情報対策データベースD001と、IT資産情報データベースD002と、脆弱性情報対策データベースD001の脆弱性情報D103とIT資産情報データベースD002のハードウェア情報D201及びソフトウェア情報D202を突き合わせて脆弱性該当資産一覧情報D004を作成する脆弱性該当情報検出手段F006と、作成した脆弱性該当資産一覧情報D004を用いて脆弱性に対応した対策データ及び配布実行情報D303を作成する配布実行データ作成手段F007と、作成した対策データ及び配布実行情報D303をコンピュータF003とそれに接続されたIT関連機器F004に配布し、必要な処理を実行する脆弱性対策データ配布実行手段F008と、を備えた。

目的

・A001:海外脆弱性情報データベース
海外の脆弱性情報に対する調査分析勧告を行う団体等が公開する情報
・A002:国内脆弱性情報データベース
国内の脆弱性情報に対する調査分析勧告を行う団体等が公開する情報
・A003:その他脆弱性情報提供団体
A001/A002以外の脆弱性情報に対する公開情報
・A004:各開発ベンダー
コンピュータのハードウェアソフトウェアを開発している各ベンダーが提供する

効果

実績

技術文献被引用数
0件
牽制数
0件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

コンピュータハードウェアソフトウェア脆弱性情報及びその対策データ蓄積された脆弱性情報対策データベースと、コンピュータとそれに接続されたIT関連機器ハードウェア情報及びソフトウェア情報の蓄積されたIT資産情報データベースと、脆弱性情報対策データベースの脆弱性情報とIT資産情報データベースのハードウェア情報及びソフトウェア情報を突き合わせて脆弱性該当資産一覧情報を作成する脆弱性該当情報検出手段と、脆弱性該当情報検出手段により作成した脆弱性該当資産一覧情報を用いて脆弱性に対応した対策データ及び配布実行情報を作成する配布実行データ作成手段と、配布実行データ作成手段により作成した対策データ及び配布実行情報をコンピュータとそれに接続されたIT関連機器に配布し必要な処理を実行する脆弱性対策データ配布実行手段と、を備えたことを特徴とする脆弱性対策管理システム

請求項2

脆弱性対策データ配布実行手段によって行われた動作情報及び脆弱性対策の適応結果の情報と、脆弱性対策の結果コンピュータとそれに接続されたIT関連機器の動作又はこれらに含まれるソフトウェアの動作に悪影響があった機器から脆弱性対策を取り除いた情報と、配布実行データ作成手段により作成される対策データ及び配布実行情報の蓄積された配布実行情報データベースと、を備えたことを特徴とする請求項1記載の脆弱性対策管理システム。

技術分野

0001

本願発明は、ネットワークを含めたコンピュータシステム脆弱性対策における管理システムに関するものである。

背景技術

0002

コンピュータシステム上では、日々様々な脆弱性発見され、その対応策公表されている。このため、ユーザー(例えば、企業など)側は常にこれに対応する必要があり、特許文献1又は2のような脆弱性対策システム・装置が開発されている。

先行技術

0003

特開2009−301327号公報
国際公開2013−035181号公報

発明が解決しようとする課題

0004

脆弱性対策では、「迅速に、必要な個所に、適切に」対応を取ることが重要であるが、現実的には次のような問題点があった。
(1)正しい適切な脆弱性情報をどのように入手すべきか分からない。
(2)脆弱性情報は自社の環境に該当するのか分からない。
(3)該当する機器へどのような対策を行えばよいか分からない。
(4)対策を取ったことで別の障害が起こったら困る。

0005

そこで、本願発明者は、上記のような問題点を解決して、脆弱性対策を「迅速に、必要な個所に、適切に」行うことのできる脆弱性対策管理システムの提供を目的として、本願発明を完成するに至った。

課題を解決するための手段

0006

上記目的を達成するために、本願発明の第1の発明は、コンピュータハードウェアソフトウェアの脆弱性情報及びその対策データ蓄積された脆弱性情報対策データベースと、コンピュータとそれに接続されたIT関連機器のハードウェア情報及びソフトウェア情報の蓄積されたIT資産情報データベースと、脆弱性情報対策データベースの脆弱性情報とIT資産情報データベースのハードウェア情報及びソフトウェア情報を突き合わせて脆弱性該当資産一覧情報を作成する脆弱性該当情報検出手段と、脆弱性該当情報検出手段により作成した脆弱性該当資産一覧情報を用いて脆弱性に対応した対策データ及び配布実行情報を作成する配布実行データ作成手段と、配布実行データ作成手段により作成した対策データ及び配布実行情報をコンピュータとそれに接続されたIT関連機器に配布し必要な処理を実行する脆弱性対策データ配布実行手段と、を備えたことを特徴とする脆弱性対策管理システムである。
第2の発明は、脆弱性対策データ配布実行手段によって行われた動作情報及び脆弱性対策の適応結果の情報と、脆弱性対策の結果コンピュータとそれに接続されたIT関連機器の動作又はこれらに含まれるソフトウェアの動作に悪影響があった機器から脆弱性対策を取り除いた情報と、配布実行データ作成手段により作成される対策データ及び配布実行情報の蓄積された配布実行情報データベースと、を備えたことを特徴とする同脆弱性対策管理システムである。

発明の効果

0007

本願発明によれば、正しい適切な脆弱性情報をどのように入手すべきか分からないシステム管理者、脆弱性情報は自社の環境に該当するのか分からないシステム管理者あるいは該当する機器へどのような対策を行えばよいか分からないシステム管理者であっても、脆弱情報を迅速に入手できて、該当する脆弱性の迅速な把握と対応策の計画及び適応作業の効率化を図ることができることにより、脆弱性対策を「迅速に、必要な個所に、適切に」実現できる。

図面の簡単な説明

0008

本願発明に係る「脆弱性情報対策データベース」を説明する説明図。
本願発明の「脆弱性対策管理システム」を説明する説明図。
本願発明の「脆弱性対策管理システム」による効果を説明する説明図。

実施例

0009

まず、本願発明に係る「脆弱性情報対策データベース」を図1に基づいて説明する。
ユーザーに提供する「脆弱性情報対策データベース」を作成するための情報のインプットは以下等から入手する。
・A001:海外脆弱性情報データベース
海外の脆弱性情報に対する調査分析勧告を行う団体等が公開する情報
・A002:国内脆弱性情報データベース
国内の脆弱性情報に対する調査分析勧告を行う団体等が公開する情報
・A003:その他脆弱性情報提供団体
A001/A002以外の脆弱性情報に対する公開情報
・A004:各開発ベンダー
コンピュータのハードウェア/ソフトウェアを開発している各ベンダーが提供する公開情報

0010

入手する情報の種類には以下などがある。
・B001:脆弱性情報
各団体などが公開提供している脆弱性情報
・B002:脆弱性対策データ
各開発ベンダーが提供する脆弱性に対策する為のファイルによるデータ。例えばインストーラなどがある。
・B003:脆弱性対策情報
各開発ベンダーが提供する脆弱性に対策する為のファイル以外の情報。例えば設定の変更方法や機能の停止方法などがある。
・B004:その他脆弱性対策
B002やB003の対策方法が複雑/大量などの場合を含め作業軽減又は自動化を支援する為の対策。例えば、スクリプト実行プログラム等がある。

0011

これらを用いて以下の処理を行う。
・C001:脆弱性情報対策データベース作成
インプット情報を元に独自の情報を追加したり必要な情報やデータをまとめたりなどを行う。

0012

ここまでで以下のアウトプットが得られ利用者(ユーザー)に配布される。
D001:脆弱性情報対策データベース
利用者に分かりやすく整理された脆弱性情報とその脆弱性の対策方法が格納されたデータベース。
・E001:データベースの提供
D001の脆弱性情報対策データベースを利用者へ提供する提供方法クラウドサービスインターネット経由又はファイル等にて行い提供方法は問わない。
・F001:利用者(ユーザー)
D001の脆弱性情報対策データベースを用いて脆弱性対策をする利用者であり、脆弱性情報対策データベースを用いて動作する管理システムが動作している。

0013

次に、本願発明の「脆弱性対策管理システム」を図2に基づいて説明する。
脆弱性対策管理システムは以下のデータベースや各種情報及び装置等にて構成される。

0014

・D001:脆弱性情報対策データベース
脆弱性情報対策データベース作成システムにて作成されたデータベースで以下のデータを含んでいる。
・D101:対象ハードウェア情報
当該脆弱性が含まれるハードウェア機器名等の対象情報
・D102:対象ソフトウェア情報
当該脆弱性が含まれるソフトウェアの情報
例としてOS名や製品名及びソフトウエア名又は該当技術名等
・D103:脆弱性対策情報
当該脆弱性に関する詳細情報及び対策に関する詳細情報
例として脆弱性名/概要/深刻度/影響を受けるシステム/影響/対策内容/ベンダ情報/脆弱性種別/関連情報
・D104:脆弱性対策データ
脆弱性を対策するための(B002脆弱性対策データ/B003脆弱性対策情報/B004その他脆弱性対策等)データ

0015

・D002:IT資産情報データベース
F005のIT資産情報収集装置にてF003コンピュータやF004IT関連機器からIT資産情報を収集したデータベースで以下のデータを含んでいる。
・D201:ハードウェア情報
F003及びF004のハードウェア情報
F005IT資産情報収集運搬から自動収集及びシステム管理者が手動等にて登録する。
・D202:ソフトウェア情報
F003及びF004のソフトウェア情報
F005IT資産情報収集運搬から自動収集及びシステム管理者が手動等にて登録する。

0016

・D003:配布実行情報データベース
F007配布実行データ作成装置及びF008脆弱性対策データ配布実行装置により作成されるデータベースで以下のデータを含んでいる。
・D301:配布実行結果情報
F008脆弱性対策データ配布実行装置が行った動作情報や対策の適応結果等の情報
F003/F004の機器毎及び実行機会毎に保管されている。
・D302:適応対象除外情報
脆弱性対策の結果F003/F004の動作や含まれている業務システムなど各ソフトウェアの動作に悪影響があった機器から脆弱性対策を取り除いた情報。
このロールバック情報を用いて当該機器が悪影響を受ける脆弱性対策が再度行われない様に対策する情報。
・D303:脆弱性対策データ及び配布実行情報
F007配布実行データ作成装置により作成される情報。
F003/F004らのどの機器にどの脆弱性情報対策データを配布し何を実行するのかや、実行情報及び成功条件等の各種情報を含む。

0017

・F002:システム管理者
脆弱性対策管理システムを運用管理する管理者である。
システム管理者の作業及び操作を代替するプログラムの場合もある。
・F003:コンピュータ
パーソナルコンピュータ等である。
・F004:IT関連機器
プリンタールーター等の関連機器である。

0018

・F005:IT資産管理収集装置
F003/F004からハードウェア情報及びソフトウェア情報を収集しD002IT資産情報データベースへ格納する。
収集情報は機器名/OS等のシステム情報/導入されているソフトウェアの製品名/ベンダー名/バージョンや各種環境設定情報など多岐にわたる。

0019

・F006:脆弱性該当情報検出装置
D001/D002のハードウェア情報とソフトウェア情報及び脆弱性対策情報を突き合わせてD004脆弱性該当資産一覧情報を自動作成する装置である。

0020

・D004:脆弱性該当資産一覧情報
F006脆弱性該当情報検出装置にて作成される情報。
これを用いる事で所有するIT資産機器で脆弱性が含まれるハードウェア/ソフトウェアの存在把握や脆弱性に該当するIT資産機器の存在把握が可能。

0021

・F007:配布実行データ作成装置
F002システム管理者が主にD004脆弱性該当資産一覧情報を用いてD303脆弱性対策データ及び配布実行情報を作成する装置。
再配布権の影響でD104脆弱性対策データに含まれないファイル等はD103に記載されている入手先情報を元にA004各開発ベンダーよりB002脆弱性対策データをF002システム管理者が入手し本装置を用いて配布実行データへ含めることも出来る。
D302適応対象外情報を参照し悪影響を受ける可能性のある機器を対象外とするなどの設定ができる。

0022

・F008:脆弱性対策データ配布実行装置
D303脆弱性対策データ及び配布実行情報をネットワーク等を用いてF003コンピュータやF004IT関連機器へ配布し必要な処理を自動実行する装置。
配布実行情報には配布条件実行条件など処理に関わる条件設定が記載されておりそれを参照して該当機器へ適切に配布され実行される。
又対策の適応結果について成功又は失敗の条件も記載されそれを元に対策適応結果を自動判別しD301配布実行結果情報へ格納する。
データの配布については基本的にはネットワークを経由して行われるが、可搬記憶媒体等を用いることも可能である。
ネットワークを経由して配布する場合は負荷分散帯域制御及び再開など環境に影響を与えない機構が備わっている。

0023

そして、本願発明の「脆弱性対策管理システム」による効果を、図3に基づいて説明する。
通常の「PDCAサイクルスピードでは緊急性を求められる脆弱性対策には迅速性において不十分な場合が考えられる。しかし、本願発明の「脆弱性対策管理システム」によれば、脆弱性対策のために、防御(P)/検知(D)/復旧(C)の3層活動と連携し、それぞれの層に適切な措置を迅速に適応(A)することができるので(脆弱性対策のPDCAレイヤードサイクル)、これまでにない「迅速に、必要な個所に、適切に」脆弱性対策を実現できる。

0024

本願発明は、脆弱性対策の必要なユーザーに幅広く利用できるものである。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ