特許第5725529号(P5725529)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧 ▶ NECソリューションイノベータ株式会社の特許一覧

特許5725529Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム
<>
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000002
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000003
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000004
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000005
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000006
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000007
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000008
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000009
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000010
  • 特許5725529-Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム 図000011
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5725529
(24)【登録日】2015年4月10日
(45)【発行日】2015年5月27日
(54)【発明の名称】Web脆弱性補修システム、Web脆弱性補修方法、及びプログラム
(51)【国際特許分類】
   G06F 21/55 20130101AFI20150507BHJP
   G06F 21/56 20130101ALI20150507BHJP
【FI】
   G06F21/55
   G06F21/56
【請求項の数】10
【全頁数】14
(21)【出願番号】特願2010-164304(P2010-164304)
(22)【出願日】2010年7月21日
(65)【公開番号】特開2012-27618(P2012-27618A)
(43)【公開日】2012年2月9日
【審査請求日】2013年6月7日
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(73)【特許権者】
【識別番号】000232092
【氏名又は名称】NECソリューションイノベータ株式会社
(74)【代理人】
【識別番号】100110928
【弁理士】
【氏名又は名称】速水 進治
(72)【発明者】
【氏名】川白 弘人
(72)【発明者】
【氏名】浅野 雅博
【審査官】 平井 誠
(56)【参考文献】
【文献】 特開2002−328896(JP,A)
【文献】 特開2007−241906(JP,A)
【文献】 特開2007−047884(JP,A)
【文献】 特開2002−157221(JP,A)
【文献】 特開2004−258777(JP,A)
【文献】 特開2002−342279(JP,A)
【文献】 米国特許出願公開第2005/0198527(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21
(57)【特許請求の範囲】
【請求項1】
Webアプリケーションの脆弱性情報に基づいて補修プログラムを取得する補修プログラム取得手段と、
取得した前記補修プログラムを用いて前記Webアプリケーションから送信される電文の内容を修正することで、記Webアプリケーションの脆弱性を補修する補修手段と、
を備えるWeb脆弱性補修システム。
【請求項2】
Webアプリケーションの脆弱性情報を取得する脆弱性情報取得手段を備え、
前記補修プログラム取得手段は、前記脆弱性情報と、当該脆弱性情報により示される脆弱性を補修するための補修プログラムと、を互いに対応付けて記憶する補修プログラム記憶手段から、前記脆弱性情報取得手段が取得した前記脆弱性情報に対応する前記補修プログラムを取得する、
請求項1に記載のWeb脆弱性補修システム。
【請求項3】
Webアプリケーションを提供するサービス提供手段を備える請求項1又は2に記載のWeb脆弱性補修システム
【請求項4】
記補修手段は、前記Webアプリケーションを有する情報処理装置に前記補修プログラムをインストールすることにより、前記Webアプリケーションの脆弱性を補修する請求項1乃至3いずれか一項に記載のWeb脆弱性補修システム
【請求項5】
前記脆弱性情報と、当該脆弱性情報により示される脆弱性を補修するための補修プログラムと、を互いに対応付けて記憶する補修プログラム記憶手段を備える請求項2乃至4いずれか一項に記載のWeb脆弱性補修システム
【請求項6】
Webアプリケーションの脆弱性情報を取得する脆弱性情報取得手段を備え、
前記脆弱性情報取得手段は、前記脆弱性情報に対応付けて、前記WebアプリケーションのURLと、前記Webアプリケーションの脆弱性箇所を特定する情報とを含む箇所特定情報を取得し、
前記補修手段は、前記箇所特定情報を用いて、前記Webアプリケーションの脆弱性を補修する
請求項2乃至5いずれか一項に記載のWeb脆弱性補修システム
【請求項7】
前記Webアプリケーションを解析することにより、前記Webアプリケーションの脆弱性の有無、及び当該脆弱性の種類を判断して前記脆弱性情報を生成する診断手段を備える請求項2乃至6いずれか一項に記載のWeb脆弱性補修システム
【請求項8】
記補修手段は、DNSサーバが管理している前記Webアプリケーションに関するデータを修正することにより、外部端末が前記Web脆弱性補修システムを介して前記Webアプリケーションに接続するようにする請求項1乃至7のいずれか一項に記載のWeb脆弱性補修システム
【請求項9】
コンピュータによって実行されるWeb脆弱性補修方法であって、
Webアプリケーションの脆弱性情報に基づいて補修プログラムを取得し、
取得した前記補修プログラムを用いて前記Webアプリケーションから送信される電文の内容を修正することで、前記Webアプリケーションの脆弱性を補修する、
Web脆弱性補修方法。
【請求項10】
Webアプリケーションの脆弱性情報に基づいて補修プログラムを取得する取得処理と、
取得した前記補修プログラムを用いて前記Webアプリケーションから送信される電文の内容を修正することで、前記Webアプリケーションの脆弱性を補修する補修処理と、
をコンピュータに実行させるWeb脆弱性補修プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、Webアプリケーションの脆弱性を補修するWeb脆弱性補修装置、Webサーバ、Web脆弱性補修方法、及びプログラムに関する。
【背景技術】
【0002】
Webアプリケーションのセキュリティを向上させるために、そのWebアプリケーションの脆弱な部分を予め診断する技術がある。例えば特許文献1には、検査対象となるパラメータと検査項目との対応を示す設定ファイルを用いて、パラメータが指定された場合に、指定されたパラメータに対応する検査項目を特定して脆弱性の検査処理を行うことが記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−134995号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
Webアプリケーションに脆弱な部分が発見された場合、それを補修してセキュリティを向上させる必要がある。Webアプリケーションをきちんと補修するためには人手で補修を行う必要がある。このため、今までは脆弱な部分が発見されてから補修が完了するまでに一定の時間が必要であったため、その間はセキュリティを向上させることはできなかった。
【0005】
本発明の目的は、Webアプリケーションに脆弱な部分が発見されてから人手で補修を行うまでの間のセキュリティを向上させることができるWeb脆弱性補修装置、Webサーバ、Web脆弱性補修方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【0006】
本発明によれば、Webアプリケーションの脆弱性情報に基づいて補修プログラムを取得する補修プログラム取得手段と、
取得した前記補修プログラムを用いて前記Webアプリケーションから送信される電文の内容を修正することで、前記Webアプリケーションの脆弱性を補修する補修手段と、
を備えるWeb脆弱性補修システムが提供される。
【0009】
本発明によれば、コンピュータによって実行されるWeb脆弱性補修方法であって、
Webアプリケーションの脆弱性情報に基づいて補修プログラムを取得し、
取得した前記補修プログラムを用いて前記Webアプリケーションから送信される電文の内容を修正することで、前記Webアプリケーションの脆弱性を補修する、
Web脆弱性補修方法が提供される。
【0012】
本発明によれば、Webアプリケーションの脆弱性情報に基づいて補修プログラムを取得する取得処理と、
取得した前記補修プログラムを用いて前記Webアプリケーションから送信される電文の内容を修正することで、前記Webアプリケーションの脆弱性を補修する補修処理と、
をコンピュータに実行させるWeb脆弱性補修プログラムが提供される。
【発明の効果】
【0015】
本発明によれば、Webアプリケーションに脆弱な部分が発見されてから人手で補修を行うまでの間のセキュリティを向上させることができる。
【図面の簡単な説明】
【0016】
図1】第1の実施形態に係るWeb脆弱性補修装置の使用環境を説明するための図である。
図2】Web脆弱性補修装置の機能構成を示すブロック図である。
図3】診断装置によるWebアプリケーションの診断結果の一例を説明する図である。
図4】対策情報記憶部が記憶しているデータの一例を説明するための図である。
図5図1に示したWeb脆弱性補修装置の動作を示すフローチャートである。
図6】第2の実施形態に係るWeb脆弱性補修装置の使用環境を説明するための図である。
図7図6に示したWeb脆弱性補修装置の機能構成を示すブロック図である。
図8図7に示したWeb脆弱性補修装置の動作を示すフローチャートである。
図9】第3の実施形態に係るWeb脆弱性補修装置の機能構成を示すブロック図である。
図10】第4の実施形態に係るWeb脆弱性補修装置の機能構成を示すブロック図である。
【発明を実施するための形態】
【0017】
以下、本発明の実施の形態について、図面を用いて説明する。尚、すべての図面において、同様な構成要素には同様の符号を付し、適宜説明を省略する。
【0018】
(第1の実施形態)
図1は、第1の実施形態に係るWeb脆弱性補修装置50の使用環境を説明するための図である。Web脆弱性補修装置50は、Webサーバ30がユーザ端末20に提供するWebアプリケーションの脆弱性を補修する装置である。Web脆弱性補修装置50は、Webサーバ30のWebアプリケーションの脆弱性の有無及びその種類を検出する。Web脆弱性補修装置50は、脆弱性の種類別に、その脆弱性を補修するための対策情報を取得することができる。そしてWeb脆弱性補修装置50は、上記した対策情報を用いて、Webサーバ30のWebアプリケーションの脆弱性を補修する。この補修により、Webアプリケーションに脆弱な部分が発見されてから人手で補修を行うまでの間のセキュリティが向上する。
【0019】
本実施形態において、Web脆弱性補修装置50は、診断装置100、対策情報生成装置300、及び補修部32によって構成されている。補修部32は脆弱性を補修するプログラムであり、Webサーバ30にインストールされている。補修部32となるプログラムは、例えばWebサーバ30に常駐している。また診断装置100及び対策情報生成装置300は、グローバルネットワーク10を介してWebサーバ30に接続している。
【0020】
図2は、Web脆弱性補修装置50の機能構成を示すブロック図である。Web脆弱性補修装置50は、上記したように診断装置100、補修部32、及び対策情報生成装置300を備えている。
【0021】
診断装置100は、Webサーバ30のWebアプリケーションを解析することにより、そのWebアプリケーションの脆弱性の有無及び当該脆弱性の種類を判断し、脆弱性ID(脆弱性特定情報)を生成する。脆弱性IDは、Webサーバ30のWebアプリケーションの脆弱性の種類を特定する情報である。診断装置100は、例えば入力パラメータを用いてWebアプリケーションに擬似的な攻撃を加えることにより、そのWebアプリケーションの中で脆弱性を有する箇所の有無及びその種類を判断する。なお診断装置100の解析手法はこれに限定されるものではない。
【0022】
対策情報生成装置300は、脆弱性情報取得部310及び補修情報生成部330を備えている。脆弱性情報取得部310は、診断装置100から脆弱性IDを取得する。補修情報生成部330は対策情報記憶部320に接続する。対策情報記憶部320は、Webアプリケーションの脆弱性の種類別に、脆弱性IDと、当該脆弱性IDにより示される脆弱性を補修する方法を示す対策情報と、を互いに対応付けて記憶している。本実施形態では、対策情報記憶部320は、対策情報生成装置300の一部として構成されている。そして補修情報生成部330は、脆弱性情報取得部310が取得した脆弱性IDに対応する対策情報を対策情報記憶部320から取得する。そして補修情報生成部330は取得した対策情報を、Webサーバ30の補修部32に送信する。
【0023】
そしてWebサーバ30の補修部32は、補修情報生成部330から送信されてきた対策情報を読み込むことにより、Webアプリケーションの脆弱性を補修する。
【0024】
なお、図2示したWeb脆弱性補修装置50の各構成要素は、ハードウエア単位の構成ではなく、機能単位のブロックを示している。Web脆弱性補修装置50の各構成要素は、任意のコンピュータのCPU、メモリ、メモリにロードされた本図の構成要素を実現するプログラム、そのプログラムを格納するハードディスクなどの記憶ユニット、ネットワーク接続用インタフェースを中心にハードウエアとソフトウエアの任意の組合せによって実現される。そして、その実現方法、装置には様々な変形例がある。
【0025】
図3は、診断装置100によるWebアプリケーションの診断結果の一例を説明する図である。診断装置100は、Webアプリケーションの脆弱性箇所を特定する情報と、その脆弱性の種類を示す脆弱性IDを出力する。脆弱性箇所を特定する情報は、例えばURLと、そのWebアプリケーションで用いられているパラメータのうち脆弱性の原因となっているパラメータを特定する情報との組み合わせである。
【0026】
図4は、対策情報記憶部320が記憶しているデータの一例を説明するための図である。本図に示すデータのうち、脆弱性の種類は対策情報記憶部320に記憶される必要のないものであるが、ここでは説明の都合上、脆弱性の種類もあわせて示している。
【0027】
上記したように対策情報記憶部320は、脆弱性IDに対応付けて対策情報を記憶している。例えばXSS(クロスサイトスクリプティング)に関する脆弱性に対応する対策情報は、投入したスクリプトが有効となるような記号類の有無やタグ・命令文法に相当する表現の有無をチェックし、該当する場合には通信を遮断する処理を行うことを示している。SQLインジェクションに関する脆弱性に対応する対策情報は、SQL文の改ざんが成功するような記号類・命令文法に相当する表現の有無をチェックし、該当する場合には通信を遮断する処理を行うことを示している。コマンド類の実行に起因した脆弱性に対応する対策情報は、コマンドの実行が成功するような記号類・命令文法に相当する表現の有無をチェックし、該当する場合には通信を遮断する処理を行うことを示している。バッファオーバーフローに起因した脆弱性に対応する対策情報は、投入されたデータのサイズを基準値と比較し、危険と判断される場合には通信を遮断する処理を行うことを示している。アプリケーションエラーに起因した脆弱性に対応する対策情報は、アプリケーション異常によってサーバの情報漏えいや仕様開示を引き起こすデータの有無をチェックし、該当する場合には通信を遮断する処理を行うことを示している。Cookieの漏洩に対応する対策情報は、Cookie情報が暗号化されて端末に保存されないよう、電文返却内容を修正する処理を行うことを示している。電文の分割に対応する対策情報は、不正に電文を分割する文字コードの有無をチェックし、該当する場合には通信を遮断する処理を行うことを示している。ファイルパラメータ改ざんに対応する対策情報は、想定外のファイルにアクセスされるような表現をチェックし、該当する場合には通信を遮断する処理を行うことを示している。ここでチェックされる表現は、例えば診断装置100による解析によって定められる。暗号化ページの漏洩に対応する対策情報は、ページ内容が端末に保存されないよう、電文返却内容を修正する処理を行うことを示している。不適切な有効期限が検出された場合に対応する対策情報は、不適切な有効期限管理が行われないよう、有効期限表記を修正する処理を行うことを示している。
【0028】
なお、上記した脆弱性の種類及び対策情報は一例である。
【0029】
図5は、図2に示したWeb脆弱性補修装置50の動作を示すフローチャートである。まずWeb脆弱性補修装置50の診断装置100は、検査対象となるWebアプリケーションのURLを取得する。そして診断装置100は、取得したURLが示すWebアプリケーションに接続し、擬似的な攻撃を加えることにより、そのWebアプリケーションの脆弱性の種類及び脆弱性の箇所を認識する(ステップS10)。そして認識した脆弱性の種類に対応する脆弱性IDを生成し(ステップS20)、生成した脆弱性IDを、認識した脆弱性の箇所を示す箇所特定情報(例えばURLとパラメータの組み合わせ)に対応付けて、対策情報生成装置300に出力する(ステップS30)。
【0030】
対策情報生成装置300の補修情報生成部330は、脆弱性情報取得部310が脆弱性ID及び箇所特定情報を互いに対応付けて受信すると、受信した脆弱性IDに対応する対策情報を対策情報記憶部320から読み出す(ステップS40)。そして補修情報生成部330は、脆弱性情報取得部310が取得した箇所特定情報を用いて送信先となる補修部32を特定し、ステップS40において読み出した対策情報を補修部32に送信する(ステップS50)。このとき補修情報生成部330は、箇所情報のうち少なくとも脆弱性の元となっているパラメータを特定する情報も送信する。
【0031】
補修部32は、対策情報生成装置300から送信されてきた対策情報(パラメータを特定する情報を含む)を読み込み(ステップS60)、処理を行う。具体的には、補修部32は、ユーザ端末20が、Web脆弱性補修装置の補修部32を介してWebサーバ30のWebアプリケーションに接続するようにする。補修部32は、この接続を行うとき、対策情報に従った処理を行う。
【0032】
なお上記した例では、対策情報生成装置300で設定された対策情報は、グローバルネットワーク10などの通信網を介して補修部32に送信されているが、この対策情報は、リムーバブルな記憶素子(例えばUSBメモリ)を介して補修部32に伝達されてもよい。
【0033】
また上記した例では、補修部32は、Webサーバ30の中で動いているが、Webサーバ30とグローバルネットワーク10の間に位置するファイヤウォール装置(図示せず)で動作していてもよい。
【0034】
次に、本実施形態の作用及び効果について説明する。本実施形態によれば、診断装置100がWebアプリケーションの脆弱性を診断し、その脆弱性の種類を判断する。そして対策情報生成装置300は、判断された種類に対応する対策情報を対策情報記憶部320から読み出し、読み出した対策情報を出力する。出力された対策情報は、通信網又は記憶素子を介してWebサーバ30の補修部32に読み込まれる。補修部32は、読み込んだ対策情報を用いてWebアプリケーションの脆弱性を補修する。従って、Webアプリケーションに脆弱な部分が発見されてから人手で補修を行うまでの間のセキュリティを向上させることができる。
【0035】
また、診断装置100及び対策情報生成装置300を、補修部32とは別の場所に設置している。従って、例えば診断装置100及び対策情報生成装置300を、対策情報を作成する要員がいる場所に設置することにより、対策情報生成装置300が記憶している対策情報を、迅速に最新の情報に更新することができる。また対策情報を更新するとき、Webサーバ30を修正する必要はないため、Webサーバ30の管理者に与える負荷を少なくすることができる。
【0036】
(第2の実施形態)
図6は、第2の実施形態に係るWeb脆弱性補修装置50の使用環境を説明するための図である。本実施形態においてWeb脆弱性補修装置50は、Webサーバ30のWebアプリケーションの脆弱性の有無及びその種類を検出する。Web脆弱性補修装置50は、脆弱性の種類別に、その脆弱性を補修する補修プログラムを取得することができる。そしてWeb脆弱性補修装置50は、上記した補修プログラムを用いて、Webサーバ30のWebアプリケーションの脆弱性を補修する。この補修により、Webアプリケーションに脆弱な部分が発見されてから人手で補修を行うまでの間のセキュリティが向上する。
【0037】
Webサーバ30及びWeb脆弱性補修装置50は、グローバルネットワーク10に接続している。ただしWebサーバ30は、ローカルネットワーク(図示せず)を介してグローバルネットワーク10に接続していてもよい。このローカルネットワークには、Web脆弱性補修装置50が属していてもよいし、属していなくてもよい。またWebサーバ30及びWeb脆弱性補修装置50は、同一のDNSサーバ40により管理されている。DNSサーバ40は、グローバルネットワーク10に接続可能な環境に配置されている。
【0038】
図7は、Web脆弱性補修装置50の機能構成を示すブロック図である。Web脆弱性補修装置50は、診断装置100及び補修装置200を備えている。診断装置100の構成は、第1の実施形態と同様である。
【0039】
補修装置200は、脆弱性情報取得部210、補修プログラム取得部220、及び補修部240を備えている。脆弱性情報取得部210は、診断装置100から脆弱性IDを取得する。補修プログラム取得部220は、補修プログラム記憶部230に接続する。補修プログラム記憶部230は、Webアプリケーションの脆弱性の種類別に、脆弱性IDと、当該脆弱性IDにより示される脆弱性を補修するための補修プログラムと、を互いに対応付けて記憶している。本実施形態では、補修プログラム記憶部230は、補修装置200の一部として構成されている。そして補修プログラム取得部220は、脆弱性情報取得部210が取得した脆弱性IDに対応する補修プログラムを、補修プログラム取得部220から取得する。補修部240は、補修プログラム取得部220が取得した補修プログラムを用いて、Webアプリケーションの脆弱性を補修する。
【0040】
なお、図7に示したWeb脆弱性補修装置50の各構成要素は、ハードウエア単位の構成ではなく、機能単位のブロックを示している。Web脆弱性補修装置50の各構成要素は、任意のコンピュータのCPU、メモリ、メモリにロードされた本図の構成要素を実現するプログラム、そのプログラムを格納するハードディスクなどの記憶ユニット、ネットワーク接続用インタフェースを中心にハードウエアとソフトウエアの任意の組合せによって実現される。そして、その実現方法、装置には様々な変形例がある。
【0041】
なお、補修プログラム記憶部230が記憶している補修プログラムは、第1の実施形態における対策情報に示された対策を個々に行うプログラムである。
【0042】
図8は、図7に示したWeb脆弱性補修装置の動作を示すフローチャートである。まずWeb脆弱性補修装置50の診断装置100は、検査対象となるWebアプリケーションのURLを取得する。そして診断装置100は、取得したURLが示すWebアプリケーションに接続し、擬似的な攻撃を加えることにより、そのWebアプリケーションの脆弱性の種類及び脆弱性の箇所を認識する(ステップS110)。そして認識した脆弱性の種類に対応する脆弱性IDを、認識した脆弱性の箇所を示す箇所特定情報(例えばURLとパラメータの組み合わせ)に対応付けて、補修装置200に出力する(ステップS120)。
【0043】
補修装置200の補修プログラム取得部220は、脆弱性情報取得部210が脆弱性ID及び箇所特定情報を互いに対応付けて受信すると、受信した脆弱性IDに対応する補修プログラムを補修プログラム記憶部230から読み出し、補修部240に出力する。これとは別に補修部240は、脆弱性情報取得部210から箇所特定情報を取得する。そして補修部240は、取得した箇所特定情報及び補修プログラムを用いて補修処理を行う。
【0044】
具体的には、補修部240は、補修部240で補修プログラムが駆動するように設定する(ステップS130)。また補修部240は、ユーザ端末20が、Web脆弱性補修装置の補修部240を介してWebサーバ30のWebアプリケーションに接続するようにする。例えば補修部240は、DNSサーバ40が管理しているデータ(URLとIPアドレスの組み合わせ)を修正することにより、ユーザ端末20が補修部240を介してWebアプリケーションに接続するようにする(ステップS140)。なお、ステップS140に示した処理の代わりに、補修部240のIPアドレスを、Webサーバ30のIPアドレスとして使われていたIPアドレスに書き換え、Webサーバ30に他のIPアドレスを割り当てることにより、ユーザ端末20が補修部240を介してWebアプリケーションに接続するようにしてもよい。
【0045】
本実施形態によっても、Webアプリケーションに対して人手で補修を加えなくても、Webアプリケーションのセキュリティを向上させることができる。従って、Webアプリケーションに脆弱な部分が発見されてから人手で補修を行うまでの間のセキュリティを向上させることができる。
【0046】
(第3の実施形態)
図9は、第3の実施形態に係るWeb脆弱性補修装置50の機能構成を示すブロック図である。本実施形態に係るWeb脆弱性補修装置50は、補修プログラム記憶部230を備えていない点を除いて、第2の実施形態に係るWeb脆弱性補修装置50と同様の構成である。
【0047】
本実施形態において補修プログラム記憶部230は、Web脆弱性補修装置50の外部のサーバが有している。そして補修プログラム取得部220は、外部にある補修プログラム記憶部230に接続することにより、補修プログラムを取得する。
【0048】
本実施形態によっても、第2の実施形態と同様の効果を得ることができる。
【0049】
(第4の実施形態)
図10は、第4の実施形態に係るWeb脆弱性補修装置50の機能構成を示すブロック図である。本実施形態に係るWeb脆弱性補修装置50は、補修部240の機能を除いて第2又は第3の実施形態に係るWeb脆弱性補修装置50と同様の構成である。本図に示す例では、第2の実施形態と同様の場合を示している。
【0050】
本実施形態において補修部240は、Webアプリケーションを有するWebサーバ30に補修プログラムをインストールすることにより、Webアプリケーションの脆弱性を補修する。
本実施形態によっても、第2の実施形態と同様の効果を得ることができる。
【0051】
以上、図面を参照して本発明の実施形態について述べたが、これらは本発明の例示であり、上記以外の様々な構成を採用することもできる。
以下、参考形態の例を付記する。
1. Webアプリケーションの脆弱性の種類別に、脆弱性特定情報と、当該脆弱性特定情報により示される脆弱性を補修する方法を示す対策情報と、を互いに対応付けて記憶する対策情報記憶手段に接続する接続手段と、
対象Webアプリケーションの脆弱性の種類を特定する前記脆弱性特定情報を取得する脆弱性情報取得手段と、
前記接続手段を介して前記対策情報記憶手段に接続し、前記脆弱性情報取得手段が取得した前記脆弱性特定情報に対応する前記対策情報を取得し、取得した前記対策情報を出力する出力手段と、
を備えるWeb脆弱性補修装置。
2. 1.に記載のWeb脆弱性補修装置において、
前記脆弱性情報取得手段は、前記脆弱性特定情報に対応付けて、前記対象WebアプリケーションのURLと、前記対象Webアプリケーションの脆弱性箇所を特定する情報とを含む箇所特定情報を取得し、
前記出力手段は、前記箇所特定情報を用いて、前記対象Webアプリケーションを有するWebサーバを特定するWeb脆弱性補修装置。
3. 1.又は2.に記載のWeb脆弱性補修装置において、
前記脆弱性特定情報は、XSS(クロスサイトスクリプティング)に関する脆弱性を示しており、
前記対策情報は、投入したスクリプトが有効となるような記号類の有無やタグ・命令文法に相当する表現の有無をチェックし、該当する場合には通信を遮断する処理を行うことを示しているWeb脆弱性補修装置。
4. Webアプリケーションを提供するサービス提供手段と、
前記Webアプリケーションの脆弱性を補修するためのプログラムを動作させておき、かつ前記脆弱性を補修する方法を示す対策情報を外部から取得して前記プログラムに読み込ませることにより、前記対象Webアプリケーションの脆弱性を補修する補修手段と、
を備えるWebサーバ。
5. Webアプリケーションの脆弱性の種類別に、脆弱性特定情報と、当該脆弱性特定情報により示される脆弱性を補修するための補修プログラムと、を互いに対応付けて記憶する補修プログラム記憶手段に接続する接続手段と、
対象Webアプリケーションの脆弱性の種類を特定する前記脆弱性特定情報を取得する脆弱性情報取得手段と、
前記接続手段を介して前記補修プログラム記憶手段に接続し、前記脆弱性情報取得手段が取得した前記脆弱性特定情報に対応する前記補修プログラムを取得し、取得した前記補修プログラムを用いて前記対象Webアプリケーションの脆弱性を補修する補修手段と、
を備えるWeb脆弱性補修装置。
6. 5.に記載のWeb脆弱性補修装置において、
前記補修手段は、外部端末に、前記Web脆弱性補修装置を介して前記Webアプリケーションに接続させ、
前記Web脆弱性補修装置内で前記補修プログラムを駆動させることにより、前記対象Webアプリケーションの脆弱性を補修するWeb脆弱性補修装置。
7. 5.に記載のWeb脆弱性補修装置において、
前記補修手段は、前記対象WebアプリケーションのDNSサーバが管理しているデータを修正することにより、外部端末が前記Web脆弱性補修装置を介して前記対象Webアプリケーションに接続するようにするWeb脆弱性補修装置。
8. 5.に記載のWeb脆弱性補修装置において、
前記補修手段は、前記対象Webアプリケーションを有する情報処理装置に前記補修プログラムをインストールすることにより、前記対象Webアプリケーションの脆弱性を補修するWeb脆弱性補修装置。
9. 5.〜8.のいずれか一つに記載のWeb脆弱性補修装置において、
前記補修プログラム記憶手段をさらに備えるWeb脆弱性補修装置。
10. 5.〜9.のいずれかに記載のWeb脆弱性補修装置において、
前記脆弱性情報取得手段は、前記脆弱性特定情報に対応付けて、前記対象WebアプリケーションのURLと、前記対象Webアプリケーションの脆弱性箇所を特定する情報とを含む箇所特定情報を取得し、
前記補修手段は、前記箇所特定情報を用いて、前記対象Webアプリケーションの脆弱性を補修するWeb脆弱性補修装置。
11. 1.又は5.に記載のWeb脆弱性補修装置において、
前記対象Webアプリケーションを解析することにより、前記対象Webアプリケーションの脆弱性の有無、及び当該脆弱性の種類を判断して前記脆弱性特定情報を生成する診断手段をさらに備えるWeb脆弱性補修装置。
12. コンピュータが、Webアプリケーションの脆弱性の種類別に、脆弱性特定情報と、当該脆弱性特定情報により示される脆弱性を補修する方法を示す対策情報と、を互いに対応付けて記憶する対策情報記憶手段に接続し、
前記コンピュータが、対象Webアプリケーションの脆弱性の種類を特定する前記脆弱性特定情報を取得し、
前記コンピュータが、前記接続手段を介して前記対策情報記憶手段に接続し、前記脆弱性情報取得手段が取得した前記脆弱性特定情報に対応する前記対策情報を取得し、取得した前記対策情報を、前記Webアプリケーションを提供するWebサーバに送信するWeb脆弱性補修方法。
13. コンピュータが、Webアプリケーションを提供し、
前記コンピュータが、前記Webアプリケーションの脆弱性を補修するためのプログラムを動作させておき、かつ前記脆弱性を補修する方法を示す対策情報を外部から取得して前記プログラムに読み込ませることにより、前記対象Webアプリケーションの脆弱性を補修するWeb脆弱性補修方法。
14. コンピュータが、Webアプリケーションの脆弱性の種類別に、脆弱性特定情報と、当該脆弱性特定情報により示される脆弱性を補修するための補修プログラムと、を互いに対応付けて記憶する補修プログラム記憶手段に接続し、
前記コンピュータが、対象Webアプリケーションの脆弱性の種類を特定する前記脆弱性特定情報を取得し、
前記コンピュータが、取得した前記脆弱性特定情報に対応する前記補修プログラムを前記補修プログラム記憶手段から取得し、取得した前記補修プログラムを用いて前記対象Webアプリケーションの脆弱性を補修するWeb脆弱性補修方法。
15. コンピュータをWeb脆弱性補修装置として機能させるためのプログラムであって、
コンピュータに、
Webアプリケーションの脆弱性の種類別に、脆弱性特定情報と、当該脆弱性特定情報により示される脆弱性を補修する方法を示す対策情報と、を互いに対応付けて記憶する対策情報記憶手段に接続する機能と、
対象Webアプリケーションの脆弱性の種類を特定する前記脆弱性特定情報を取得する機能と、
取得した前記脆弱性特定情報に対応する前記対策情報を前記対策情報記憶手段から取得し、取得した前記対策情報を、前記対象Webアプリケーションを提供するWebサーバに送信する機能と、
を実現させるプログラム。
16. Webサーバに、Webアプリケーションの脆弱性を補修する機能を持たせるプログラムであって、
前記Webサーバに常駐しており、前記Webサーバに、前記脆弱性を補修する方法を示す対策情報を外部から取得し、取得した対策情報を用いて前記対象Webアプリケーションの脆弱性を補修する機能を実現させるプログラム。
17. コンピュータをWeb脆弱性補修装置として機能させるためのプログラムであって、
コンピュータに、
Webアプリケーションの脆弱性の種類別に、脆弱性特定情報と、当該脆弱性特定情報により示される脆弱性を補修するための補修プログラムと、を互いに対応付けて記憶する補修プログラム記憶手段に接続する機能と、
対象Webアプリケーションの脆弱性の種類を特定する前記脆弱性特定情報を取得する機能と、
取得した前記脆弱性特定情報に対応する前記補修プログラムを前記補修プログラム記憶手段から取得し、取得した前記補修プログラムを用いて前記対象Webアプリケーションの脆弱性を補修する機能と、
を実現させるプログラム。
【符号の説明】
【0052】
10 グローバルネットワーク
20 ユーザ端末
30 Webサーバ
32 補修部
40 DNSサーバ
50 Web脆弱性補修装置
100 診断装置
200 補修装置
210 脆弱性情報取得部
220 補修プログラム取得部
230 補修プログラム記憶部
240 補修部
300 対策情報生成装置
310 脆弱性情報取得部
320 対策情報記憶部
330 補修情報生成部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.