知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022135137
(43)【公開日】2022-09-15
(54)【発明の名称】検査装置、検査システム及び検査方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20220908BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2021034749
(22)【出願日】2021-03-04
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】松永 聡彦
(72)【発明者】
【氏名】八百 健嗣
(72)【発明者】
【氏名】中村 信之
(72)【発明者】
【氏名】土江 康太
(57)【要約】
【課題】検査対象端末の検知後、すぐに脆弱性検査を行い、また端末に負荷をかけずに、緊急度の高い脆弱性を検知できるようにする。
【解決手段】本発明は、ネットワーク上の端末の脆弱性を検査する検査装置において、機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納する検査内容情報格納手段と、検査対象端末の機器情報を含む情報を受信する受信手段と、検査対象端末の機器情報に基づいて脆弱性検査内容を決定して脆弱性検査を行なう脆弱性検査手段と、脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる検査結果生成手段とを備えることを特徴とする。
【選択図】 図1
【解決手段】本発明は、ネットワーク上の端末の脆弱性を検査する検査装置において、機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納する検査内容情報格納手段と、検査対象端末の機器情報を含む情報を受信する受信手段と、検査対象端末の機器情報に基づいて脆弱性検査内容を決定して脆弱性検査を行なう脆弱性検査手段と、脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる検査結果生成手段とを備えることを特徴とする。
【選択図】 図1
【特許請求の範囲】
【請求項1】
ネットワーク上の端末の脆弱性を検査する検査装置において、
機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納する検査内容情報格納手段と、
検査対象端末の機器情報を含む情報を受信する受信手段と、
前記検査対象端末の前記機器情報に基づいて前記脆弱性検査内容を決定して脆弱性検査を行なう脆弱性検査手段と、
前記脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる検査結果生成手段と
を備えることを特徴とする検査装置。
機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納する検査内容情報格納手段と、
検査対象端末の機器情報を含む情報を受信する受信手段と、
前記検査対象端末の前記機器情報に基づいて前記脆弱性検査内容を決定して脆弱性検査を行なう脆弱性検査手段と、
前記脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる検査結果生成手段と
を備えることを特徴とする検査装置。
【請求項2】
前記脆弱性検査手段が、前記機器情報としての機器種別に基づいて、前記脆弱性検査内容を決定することを特徴とする請求項1に記載の検査装置。
【請求項3】
前記検査内容情報格納手段が、機器の性能に応じた前記脆弱性検査内容を機器種別に対応付けて格納し、
前記脆弱性検査手段が、前記検査内容情報格納手段から、前記検査対象端末の機器種別に対応する1又は複数の前記脆弱性検査内容を検索して決定する
ことを特徴とする請求項1又は2に記載の検査装置。
前記脆弱性検査手段が、前記検査内容情報格納手段から、前記検査対象端末の機器種別に対応する1又は複数の前記脆弱性検査内容を検索して決定する
ことを特徴とする請求項1又は2に記載の検査装置。
【請求項4】
前記脆弱性検査内容は、機器種別及び又は検査種別に応じて優先順位が設定されており、
前記脆弱性検査手段が、前記優先順位に従って脆弱性検査を行なうことを特徴とする請求項1~3のいずれかに記載の検査装置。
前記脆弱性検査手段が、前記優先順位に従って脆弱性検査を行なうことを特徴とする請求項1~3のいずれかに記載の検査装置。
【請求項5】
前記脆弱性検査手段が、前記脆弱性検査結果に基づいて、次に実施する前記脆弱性検査内容を決定することを特徴とする請求項1~4のいずれかに記載の検査装置。
【請求項6】
検査対象端末の機器種別と異常スコア情報とを対応付けた機器情報格納手段を備え、
前記脆弱性検査手段が、前記異常スコア情報に応じて、脆弱性検査を行なうことを特徴とする請求項1~5のいずれかに記載の検査装置。
前記脆弱性検査手段が、前記異常スコア情報に応じて、脆弱性検査を行なうことを特徴とする請求項1~5のいずれかに記載の検査装置。
【請求項7】
前記脆弱性検査手段が、前記検査対象端末との接続可否判定を行なうことを特徴とする請求項6に記載の検査装置。
【請求項8】
ネットワーク上の端末の脆弱性を検査する検査システムにおいて、
機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納する検査内容情報格納手段と、
検査対象端末の機器情報を含む情報を受信する受信手段と、
前記検査対象端末の前記機器情報に基づいて前記脆弱性検査内容を決定して脆弱性検査を行なう脆弱性検査手段と、
前記脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる検査結果生成手段と
を備えることを特徴とする検査システム。
機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納する検査内容情報格納手段と、
検査対象端末の機器情報を含む情報を受信する受信手段と、
前記検査対象端末の前記機器情報に基づいて前記脆弱性検査内容を決定して脆弱性検査を行なう脆弱性検査手段と、
前記脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる検査結果生成手段と
を備えることを特徴とする検査システム。
【請求項9】
ネットワーク上の端末の脆弱性を検査する検査方法において、
検査内容情報格納手段が、機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納し、
受信手段が、検査対象端末の機器情報を含む情報を受信し、
脆弱性検査手段が、前記検査対象端末の前記機器情報に基づいて前記脆弱性検査内容を決定して脆弱性検査を行ない、
検査結果生成手段が、前記脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる
ことを特徴とする検査方法。
検査内容情報格納手段が、機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納し、
受信手段が、検査対象端末の機器情報を含む情報を受信し、
脆弱性検査手段が、前記検査対象端末の前記機器情報に基づいて前記脆弱性検査内容を決定して脆弱性検査を行ない、
検査結果生成手段が、前記脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる
ことを特徴とする検査方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、検査装置、検査システム及び検査方法に関するものであり、例えば、ネットワーク上の端末を遠隔監視して脆弱性を検査するに適用し得るものである。
【背景技術】
【0002】
コンピュータのOSやソフトウェアには、プログラムの不具合や設計上のミスが原因で情報セキュリティ上の欠陥である脆弱性問題が発生する場合がある。脆弱性が残された状態でコンピュータを利用していると、不正アクセスに利用されたり、ウィルスに感染したりする危険性がある。
【0003】
このように脆弱性は、インターネットに接続しているコンピュータにおける情報セキュリティ上の大きな問題のひとつになっている。
【0004】
脆弱性を発見するソフトウェアとして、非特許文献1~3に記述しているような脆弱性検査ツールがある。脆弱性検査ツールを利用して脆弱性を発見、除去することでウィルス感染等のリスクを抑えることができる。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】Nmap.orgウェブページ,Nmapリファレンスガイド,https://nmap.org/,2021年2月12日検索
【非特許文献2】Tenable Holdings Inc.製品ウェブページ,Nessus製品ページ,http://www.tenable.com/products/nessus-vulnerability-scanner,2021年2月12日検索
【非特許文献3】OWASP(オープンWebアプリケーションセキュリティプロジェクト)ZAPインデックスページ,https://owasp.org/,2021年2月12日検索
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上述したような脆弱性検査ツールは、検査対象端末と検査内容を決めてから検査を行うため、端末がネットワークに接続後、検査するまでに時間が経過することがある。そのため、検査完了するまでに、端末が攻撃を受けてしまう可能性があるという問題がある。
【0007】
また、脆弱性検査ツールは、検査対象端末に対しスキャンするため、検査対象端末に負荷がかかり、本来の端末の処理に影響を及ぼす可能性がある。
【0008】
そのため、検査対象端末の検知後、すぐに脆弱性検査を行ない、脆弱性のある端末発見までの時間を短縮することができ、機器情報に基づいて、脆弱性検査の内容範囲を絞ったり、検査順、検査タイミングを決めることで、端末に負荷をかけずに緊急度の高い脆弱性を検知できる検査装置、検査システム及び検査方法が求められている。
【課題を解決するための手段】
【0009】
かかる課題を解決するために、第1の本発明は、ネットワーク上の端末の脆弱性を検査する検査装置において、機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納する検査内容情報格納手段と、検査対象端末の機器情報を含む情報を受信する受信手段と、検査対象端末の機器情報に基づいて脆弱性検査内容を決定して脆弱性検査を行なう脆弱性検査手段と、脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる検査結果生成手段とを備えることを特徴とする。
【0010】
第2の本発明は、ネットワーク上の端末の脆弱性を検査する検査システムにおいて、機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納する検査内容情報格納手段と、検査対象端末の機器情報を含む情報を受信する受信手段と、検査対象端末の機器情報に基づいて脆弱性検査内容を決定して脆弱性検査を行なう脆弱性検査手段と、脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させる検査結果生成手段とを備えることを特徴とする。
【0011】
第3の本発明は、ネットワーク上の端末の脆弱性を検査する検査方法において、検査内容情報格納手段が、機器情報と脆弱性検査内容とを対応付けた検査内容情報を格納し、受信手段が、検査対象端末の機器情報を含む情報を受信し、脆弱性検査手段が、検査対象端末の機器情報に基づいて脆弱性検査内容を決定して脆弱性検査を行ない、検査結果生成手段が、脆弱性検査手段による脆弱性検査結果を検査出力手段の出力形式に変換して出力させることを特徴とする。
【発明の効果】
【0012】
本発明によれば、検査対象端末の検知後、すぐに脆弱性検査を行ない、脆弱性のある端末発見までの時間を短縮することができ、機器情報に基づいて、脆弱性検査の内容範囲を絞ったり、検査順、検査タイミングを決めることで、端末に負荷をかけずに緊急度の高い脆弱性を検知できる。
【図面の簡単な説明】
【0013】
【図1】第1の実施形態に係る検査システムの構成を示す構成図である。
【図2】第1の実施形態に係る検査装置の内部構成を示す内部構成図である。
【図3】第1の実施形態に係る機器情報の構成例を示す構成図である。
【図4】第1の実施形態に係る脆弱性検査に関する判定情報及び脆弱性検査の検査順位を示す図である。
【図5】第1の実施形態に係る脆弱性判定結果の構成例を示す構成図である。
【図6】第1の実施形態に係る脆弱性検査方法の処理動作を示すフローチャートである。
【図7】第1の実施形態に係る脆弱性検査結果の出力例を示す画面図である。
【図8】第2の実施形態に係る検査装置の内部構成を示す内部構成図である。
【図9】第2の実施形態に係る機器情報の構成例を示す構成図である。
【図10】第2の実施形態に係る脆弱性検査方法の処理動作を示すフローチャートである。
【発明を実施するための形態】
【0014】
(A)第1の実施形態
以下では、本発明に係る検査装置、検査システム及び検査方法の第1の実施形態を、図面を参照しながら詳細に説明する。
以下では、本発明に係る検査装置、検査システム及び検査方法の第1の実施形態を、図面を参照しながら詳細に説明する。
【0015】
(A-1)第1の実施形態の構成
図1は、第1の実施形態に係る検査システムの構成を示す構成図である。
図1は、第1の実施形態に係る検査システムの構成を示す構成図である。
【0016】
図1において、第1の実施形態に係る検査システム5は、検査装置1、新規端末検知装置2、検査結果出力装置3を有する。
【0017】
なお、図1では、検査装置1、新規端末検知装置2、検査結果出力装置3が、それぞれ別構成であり、ネットワークNTを介して接続可能な場合を例示しているが、物理的に1個の装置が、検査装置1、新規端末検知装置2、検査結果出力装置3の機能を有するものであってもよい。
【0018】
検査システム5は、例えばインターネットやイーサネット等のネットワークNTに接続可能な端末4(4-1~4-n;nは正の整数)を検査対象とする。
【0019】
検査装置1は、検査対象とする端末4内に脆弱性を含んでいるか否かを検査する機能を有する。つまり、検査装置1は、端末4に搭載のOS(Operating System)やアプリケーションソフトウェア等に存在する脆弱性の有無を検査する。
【0020】
なお、検査装置1は、例えば汎用コンピュータを用いることができ、コンピュータが実行可能な処理プログラム(例えば検査プログラム等)をインストールすることにより、各種機能を実現するようにしてもよい。
【0021】
新規端末検知装置2は、端末4がネットワークNT上に接続されると、脆弱性検査の対象と判断した端末4であれば、新規接続情報を検査装置1に通知する。また、新規端末検知装置2は、端末4の機器種別を同定する機器同定機能を有する。ここで、機器同定とは、端末4のネットワークNT上でのトラフィックのふるまいを分析・解析して、端末4の機器種別を判定する機能である。機器同定は、静的に判定するので、端末4に負荷をかけることはない。新規端末検知装置2は、例えばゲートウェイ等のネットワークNT内の端末4の接続を管理できる装置内の機能とするようにしてもよい。
【0022】
なお、新規端末検知装置2は、例えば汎用コンピュータを用いることができ、コンピュータが実行可能な処理プログラム(例えば検査プログラム等)をインストールすることにより、各種機能を実現するようにしてもよい。
【0023】
検査結果出力装置3は、検査装置1が行なった脆弱性検査の結果を出力する。例えば、検査結果出力装置3は、ブラウザを有し、ブラウザを介して、脆弱性検査結果を表示したり、オペレータの操作により脆弱性検査結果表示に必要な入力を受け付ける。
【0024】
端末4(4-1~4-n)は、IP(Internet Protocol)アドレスやMAC(Media Access Control)アドレスが付与された端末であり、ネットワークNTに接続可能な端末である。端末4は検査対象端末である。
【0025】
図2は、第1の実施形態に係る検査装置1の内部構成を示す内部構成図である。
【0026】
図2において、検査装置1は、データ受信部11、脆弱性検査部12、スキャンデータ生成部13、検査結果生成部14、制御部15、機器情報格納部16、判定情報格納部17、脆弱性検査結果格納部18を有する。
【0027】
データ受信部11は、端末4の新規接続情報を新規端末検知装置2から受信する。また、データ受信部11は、検査装置1が端末4に対して行ったスキャン結果を受信する。
【0028】
脆弱性検査部12は、データ受信部11から端末4の新規端末接続データを取得すると、検査対象の端末4に対してスキャンを行うための脆弱性検査内容を決定し、その脆弱性検査内容をスキャンデータ生成部13に与える。ここで、脆弱性検査部12は、新規端末検知装置2から受信した新規接続データと、機器情報格納部16、判定情報格納部17、脆弱性検査結果格納部18内の情報とを用いて、脆弱性検査内容を決定する。また、脆弱性検査部12が端末4に対して行うスキャンの種類は、例えば、ポートスキャン、パスワードスキャンがある。
【0029】
また、脆弱性検査部12は、データ受信部11からスキャンを行なった端末4のスキャン結果を取得し、端末4のスキャン結果に基づく脆弱性検査結果を検査結果生成部14に与える。
【0030】
スキャンデータ生成部13は、脆弱性検査部12が決定した脆弱性検査内容について、判定情報格納部17内のデータを用いてスキャンデータを生成し、検査対象の端末4に対して送信する。
【0031】
検査結果生成部14は、脆弱性検査部12から取得した脆弱性検査結果を変換して、検査結果出力装置3で表示できる形式の結果を生成し、検査結果出力装置3に送信する機能を持つ。
【0032】
機器情報格納部16は、ネットワークNTに接続される脆弱性検査対象となる端末4の機器情報を格納する。
【0033】
図3は、第1の実施形態に係る機器情報の構成例を示す構成図である。図3に例示するように、機器情報格納部16が格納する機器情報は、例えば、IPアドレス、MACアドレス、機器種別などを項目として有する情報である。機器種別は、脆弱性検査内容を決定するために用いる情報である。機器種別は、あらかじめ脆弱性検査の対象とする機器毎に設定するが、脆弱性検査結果後に、自動的に、脆弱性検査を行った端末の機器種別を追加設定するようにしてもよい。
【0034】
判定情報格納部17は、脆弱性検査の検査内容を判定するための判定情報を格納すると共に、検査順位等を格納する。脆弱性検査の検査内容の判定方法は、例えば、パスワードスキャンならばパスワードリスト、ポートスキャンならば検査対象ポート等のように、スキャン方法(検査方法)種類に応じた方法を決めるようにしてもよい。
【0035】
【0036】
図4(A)に示すように、脆弱性検査内容の判定情報は、脆弱性検査の検査内容を識別するための「検査ID」、「機器種別」、「検査種別」、「検査コマンド」、「検査ファイル名」、「正規結果出力ファイル」を項目とする。換言すると、脆弱性検査内容の判定情報は、機器情報と脆弱性検査内容とを対応付けた情報である。機器情報と、脆弱性検査内容とは、事前に対応付けたものとしてもよいが、脆弱性検査を繰り返し行うことで、適宜、変更するようにしてもよい。
【0037】
例えば、検査対象とする機器種別が指定されると、該当する「検査ID」の全てを返信する。また、返信した検査IDの中から、「検査ID」が指定されると、「検査種別」から何を検査するかを知ることができ、さらに「検査コマンド」、「検査ファイル名」から検査の実行形式を取得することができる。また、脆弱性検査結果と正規結果出力ファイルとを比較し、脆弱性判断の参考にできる。
【0038】
また、図4(A)における「検査ID:2」は全端末共通の検査内容(「機器種別:ALL」)である。「検査ID:3」と「検査ID:5」はPC向け検査内容、「検査ID:6」はスマートタップ向け検査内容である。このように、機器種別毎に使用ポート番号が異なった検査を行ったり、PC向けはスマートタップより詳細な検査を行うなどといったことができる。「検査ファイル名」は、ポートスキャンを実施するならばスキャン対象ポート番号、パスワードスキャンならばパスワードリストを記述したファイルをあらかじめ作成しておき検査ファイル名として指定する。
【0039】
図4(B)は、あらかじめ設定した検査順位である。例えば、複数の検査を行なう必要がある場合、どの順で検査を行うかを知ることができる。「優先順:1」が優先順位が高いものとする。優先順位が低い場合は優先順位が高い検査の検査結果により省略するようにしてもよい。
【0040】
脆弱性検査結果格納部18は、脆弱性検査部12により検査された脆弱性検査結果を格納する。
【0041】
図5は、第1の実施形態に係る脆弱性判定結果の構成例を示す構成図である。図5において、脆弱性判定結果は、「検査ID」、例えばIPアドレス又はMACアドレス等を示す「端末ID」、「検査時刻」、ポートスキャン結果を示す「ポート」、パスワードスキャン結果を示す「パスワード」、「ログファイル名」等の項目を、脆弱性判定毎に格納する。例えば、同一端末IDの端末4に対して新たに脆弱性検査をしたならば、以前(過去)の脆弱性結果に対し、新たな脆弱性結果を上書きし、又は、新たな検査IDを割り当てて追記する。
【0042】
制御部15は、脆弱性検査を行う検査装置1の各種機能を司るものである。制御部15は、脆弱性検査調査開始タイミングを決め、脆弱性検査開始タイミングになれば、脆弱性検査部12に、検査実行要求を出す機能を持つ。また、制御部15は、端末4のCPU使用率や負荷を取得し、閾値を用いてCPUの負荷が高いと判断する場合、その端末4の脆弱性開始タイミングを遅らせるようにしてもよい。
【0043】
(A-2)第1の実施形態の動作
次に、第1の実施形態に係る検査システム5による脆弱性検査方法の処理の動作を、図面を参照しながら詳細に説明する。
次に、第1の実施形態に係る検査システム5による脆弱性検査方法の処理の動作を、図面を参照しながら詳細に説明する。
【0044】
図6は、第1の実施形態に係る脆弱性検査方法の処理動作を示すフローチャートである。
【0045】
[S101]
新規端末検知装置2は、ネットワークNTのトラフィック状況を監視し、新規に接続された端末4を検知する(S101)。そして、新規端末検知装置2が新規接続の端末4を検知すると、新規端末検知装置2は新規接続情報を検査装置1に送信する。ここで、新規接続時とは、該当端末4が起動してネットワークNTに接続したことを新規端末検知装置2が判定した時を言う。
新規端末検知装置2は、ネットワークNTのトラフィック状況を監視し、新規に接続された端末4を検知する(S101)。そして、新規端末検知装置2が新規接続の端末4を検知すると、新規端末検知装置2は新規接続情報を検査装置1に送信する。ここで、新規接続時とは、該当端末4が起動してネットワークNTに接続したことを新規端末検知装置2が判定した時を言う。
【0046】
新規接続時以外に、新規端末検知装置2が機器同定できれば、新規端末検知装置2は機器同定情報を検査装置1に送信する。さらに、新規接続時以外に、前回新接続情報の送信から所定時間経過したときにも、新規端末検知装置2は端末4の端末情報を送信するようにしてもよい。
【0047】
[S102]
検査装置1において、データ受信部11が、新規端末検知装置2からの新規接続情報を受信すると、データ受信部11は、新規接続情報に含まれている、IPアドレス又はMACアドレスなど機器種別に関する情報を抽出する(S102)。
検査装置1において、データ受信部11が、新規端末検知装置2からの新規接続情報を受信すると、データ受信部11は、新規接続情報に含まれている、IPアドレス又はMACアドレスなど機器種別に関する情報を抽出する(S102)。
【0048】
[S103]
データ受信部11は、新規接続情報から抽出したIPアドレス又はMACアドレスを用いて、機器情報格納部16から、IPアドレス又はMACアドレスに対応する機器情報を検索する(S103)。例えば、データ受信部11が新規接続情報から抽出したIPアドレスが「1.1.1.1」であるとする。その場合、図3に例示する機器情報格納部16から、IPアドレス「1.1.1.1」に対応する「ID:1」の機器情報を検索する。
データ受信部11は、新規接続情報から抽出したIPアドレス又はMACアドレスを用いて、機器情報格納部16から、IPアドレス又はMACアドレスに対応する機器情報を検索する(S103)。例えば、データ受信部11が新規接続情報から抽出したIPアドレスが「1.1.1.1」であるとする。その場合、図3に例示する機器情報格納部16から、IPアドレス「1.1.1.1」に対応する「ID:1」の機器情報を検索する。
【0049】
[S104]
脆弱性検査部12は、データ受信部11からの新規接続情報と、機器情報格納部16内のデータと脆弱性検査結果格納部18内のデータとを用いて、当該端末4が、脆弱性検査が必要であるか否かを判定する(S104)。
脆弱性検査部12は、データ受信部11からの新規接続情報と、機器情報格納部16内のデータと脆弱性検査結果格納部18内のデータとを用いて、当該端末4が、脆弱性検査が必要であるか否かを判定する(S104)。
【0050】
例えば、脆弱性検査部12は、新規接続情報に含まれているIPアドレス又はMACアドレスを用いて、図5の脆弱性検査結果格納部18から、脆弱性検査結果があるか否かを判定する。脆弱性検査結果がない場合、当該端末4について脆弱性検査が行なわれていないので、脆弱性検査部12は脆弱性検査が必要であると判定する。例えば、新規接続情報のIPアドレスが「5.5.5.5」とする。その場合、脆弱性検査部12は、図5の脆弱性検査結果格納部18を参照して、IPアドレス「5.5.5.5」の脆弱性検査結果が存在していないので、IPアドレス「5.5.5.5」は脆弱性検査が必要と判定する。
【0051】
また例えば、前回の脆弱性検査を行なってから所定時間以上経過しているならば、脆弱性検査部12は、脆弱性検査が必要と判定してもよい。例えば、現在時刻が「2020/9/21 00:00:00」であり、前回の検査時刻から24時間以上経過していれば、脆弱性検査が必要であるとする。その場合、脆弱性検査部12は、図5の脆弱性検査結果格納部18を参照して、IPアドレス「4.4.4.4」は前回の脆弱性検査から24時間以上経過しているので、IPアドレス「4.4.4.4」は脆弱性検査が必要と判定する。
【0052】
さらに別の方法として、機器同定結果が機器情報格納内容と異なるといった場合、脆弱性検査部12は脆弱性検査が必要と判定してもよい。
【0053】
なお、脆弱性検査部12は、上述した3つの判定方法の全て又はいずれかの方法を組み合わせても、脆弱性検査が必要か否かを判定してもよい。例えば、上述した3つの判定方法を全て用いる場合、脆弱性検査部12は、前回の検査から24時間以上経過しているIPアドレス「4.4.4.4」と、脆弱性検査結果が存在していないIPアドレス「5.5.5.5」の2台を脆弱性検査対象とする。
【0054】
なお、図5の例で、脆弱性検査結果が既にNGである場合に、脆弱性検査対象の判断を変更するようにしてもよい。換言すると、脆弱性検査部12が実施した脆弱性検査の結果に基づいて、検査すべき脆弱性の検査内容を決定して、その脆弱性検査を行ってもよい。例えば、不正なポートが開いている場合は、そのポートに関わる検査を追加実施することもできる。
【0055】
[S105]
脆弱性検査が必要である場合(S104/YES)、脆弱性検査部12は、判定情報格納部17の判定情報を参照し、脆弱性検査内容のリストを取得し、脆弱性検査内容を決定する(S105)。
脆弱性検査が必要である場合(S104/YES)、脆弱性検査部12は、判定情報格納部17の判定情報を参照し、脆弱性検査内容のリストを取得し、脆弱性検査内容を決定する(S105)。
【0056】
例えば、IPアドレス「1.1.1.1」の端末4が脆弱性検査対象となったものとする。脆弱性検査部12は、図3の機器情報格納部16を参照して、当該端末の機器種別が「機器種別:PC」であると検索する。その場合、脆弱性検査部12は、図4の判定情報格納部17に対して「機器種別:PC」を指定して検索すると、「機器種別:PC」に該当する「検査ID:2」、「検査ID:3」、「検査ID:5」を含む脆弱性検査内容リストとして取得し、この中から対象とする検査を決定する。
【0057】
[S106]
次に、脆弱性検査部12は、判定情報格納部17の検査順位を参照して、対象とする検査の順序を抽出し、検査開始タイミングを決定する(S106)。
次に、脆弱性検査部12は、判定情報格納部17の検査順位を参照して、対象とする検査の順序を抽出し、検査開始タイミングを決定する(S106)。
【0058】
例えば、S105の例で、「検査ID:2」、「検査ID:3」、「検査ID:5」の脆弱性検査内容リストを取得する。この場合、脆弱性検査部12は、図4(B)の検査順位を参照して、優先順位の高い「検査ID:5」の検査を選択する。なお、選択されなかった検査IDがある場合、次回の脆弱性検査の処理でS104に戻ったときに、脆弱性検査が必要(S104/YES)と判定し、選択されたなかった検査ID、優先順に選択する。つまり、第1巡目で「検査ID:5」を選択したら、2巡目で次に優先順位が高い「検査ID:2」を選択し、3巡目で「検査ID:3」を選択する。
【0059】
[S107]
脆弱性検査部12は、S105で決定した脆弱性検査内容、S106で決定した検査開始タイミングで、脆弱性検査を行なう(S107)。脆弱性検査部12は脆弱性検査要求を端末4に出し、端末4から脆弱性検査の応答を受信して、脆弱性を検査する。
脆弱性検査部12は、S105で決定した脆弱性検査内容、S106で決定した検査開始タイミングで、脆弱性検査を行なう(S107)。脆弱性検査部12は脆弱性検査要求を端末4に出し、端末4から脆弱性検査の応答を受信して、脆弱性を検査する。
【0060】
例えば、脆弱性検査部12が「IPアドレス:1.1.1.1」の端末4について「検査ID:5」の脆弱性検査を実施する場合は、脆弱性検査部12が、図4(A)の判定情報格納部17の検査情報から、「検査ファイル名:Port02」を用い、「検査コマンド:bbb」を実行する。例えば、脆弱性検査要求が端末4に送信される。端末4からの応答は、受信部経由で検査コマンドに入力され、脆弱性の有無が判断される。脆弱性検査結果は、脆弱性検査結果格納部18に書き込まれる。
【0061】
[S108]
脆弱性検査が終了すると、検査結果生成部14は、脆弱性検査部12からの検査結果に基づいて、検査結果出力装置3向けの脆弱性検査結果を生成する(S108)。
脆弱性検査が終了すると、検査結果生成部14は、脆弱性検査部12からの検査結果に基づいて、検査結果出力装置3向けの脆弱性検査結果を生成する(S108)。
【0062】
例えば、検査結果生成部14は、検査結果出力装置3に検査結果を表示できるようHTML(HyperText Markup Language)等の形式に変換する。
【0063】
例えば、検査結果生成部14は、脆弱性有無の結果を、コマンドの出力から該当部を表示する。または、正規結果出力ファイルの内容と比較し脆弱性有無結果を生成する。
【0064】
[S109]
検査結果生成部14が脆弱性検査結果を生成すると、検査結果生成部14は、脆弱性検査結果を検査結果出力装置3に送信する。そして、検査結果出力装置3は、脆弱性検査結果を出力する(S109)。
検査結果生成部14が脆弱性検査結果を生成すると、検査結果生成部14は、脆弱性検査結果を検査結果出力装置3に送信する。そして、検査結果出力装置3は、脆弱性検査結果を出力する(S109)。
【0065】
なお、検査結果生成部14は、脆弱性検査結果をログファイルとして記録する。また、検査結果生成部14は、検査結果によっては、端末4を制御するようにしてもよい。
【0066】
図7は、脆弱性検査結果の出力例を示す画面図である。図7(A)は正常時の結果を示す画面図であり、図7(B)は異常時の結果を示す画面である。図7(A)及び図7(B)に示すように、検査対象端末のIPアドレスを示す「IP」、ポートスキャン結果を示す「port」、パスワードスキャン結果を示す「password」、ログファイル名を示す「log」、検査時刻を示す「時刻」を表示する。ポートスキャン結果、パスワードスキャン結果は検査が省略された場合は表示しないようにしてもよい。ログファイル名をクリックするとログファイルが表示される。
【0067】
検査結果出力装置3で脆弱性検査結果が表示され、引き続き脆弱性検査を行なう場合、S104に戻り、処理が繰り返される。
【0068】
[S110]
脆弱性検査の必要がなく、全ての脆弱性検査が終了した場合(S104/NO)、検査装置1は、全ての脆弱性検査が終了したことを、検査結果出力装置3に送信して、脆弱性検査終了結果を表示する(S110)。
脆弱性検査の必要がなく、全ての脆弱性検査が終了した場合(S104/NO)、検査装置1は、全ての脆弱性検査が終了したことを、検査結果出力装置3に送信して、脆弱性検査終了結果を表示する(S110)。
【0069】
(A-3)第1の実施形態の効果
以上のように、第1の実施形態によれば、新規端末検知後、すぐに脆弱性検査を行なうようにしたので、端末がネットワークに新規接続された時、従来技術より脆弱性のある端末発見までの時間を短縮することができるという効果が得られる。
以上のように、第1の実施形態によれば、新規端末検知後、すぐに脆弱性検査を行なうようにしたので、端末がネットワークに新規接続された時、従来技術より脆弱性のある端末発見までの時間を短縮することができるという効果が得られる。
【0070】
また、第1の実施形態によれば、静的な処理である新規端末検知や機器同定の結果を用い、脆弱性検査の内容範囲を絞ったり、検査順、検査タイミングを決めるようにしたので、端末に負荷をかけずに緊急度の高い脆弱性をすぐに発見できるという効果が得られる。
【0071】
(B)第2の実施形態
次に、本発明に係る検査装置、検査システム及び検査方法の第2の実施形態を、図面を参照しながら詳細に説明する。
次に、本発明に係る検査装置、検査システム及び検査方法の第2の実施形態を、図面を参照しながら詳細に説明する。
【0072】
(B-1)第2の実施形態の構成
図8は、第2の実施形態に係る検査装置1Aの内部構成を示す内部構成図である。
図8は、第2の実施形態に係る検査装置1Aの内部構成を示す内部構成図である。
【0073】
図8において、検査装置1Aは、データ受信部21、不正端末検査部22、検査結果生成部24、制御部25、機器情報格納部26、判定情報格納部27、脆弱性検査結果格納部28を有する。
【0074】
【0075】
不正端末検査部22は、ネットワークNTに接続された端末4が、許可されていない端末、許可されていないユーザアカウントが追加されている、及び又は、許可されていないソフトウェアをインストールされている等の不正接続された端末を検査する機能を持つ。
【0076】
機器情報格納部26は、第1の実施形態と同様に機器情報を格納するものであるが、機器情報の項目に、機器異常スコアの項目を追加したものを格納する。
【0077】
【0078】
機器異常スコアは、例えば、「1」~「10」の10段階で評価したスコア値で表し、スコアの値が大きいほど、不正端末の確率が高いものとする。機器異常スコアは新規端末検知装置2又は不正端末検査部22で生成する。
【0079】
また、機器情報格納部26、判定情報格納部27、脆弱性検査結果格納部28は、新規端末検知装置2からも参照可能であるものとする。
【0080】
(B-2)第2の実施形態の動作
次に、第2の実施形態に係る検査システム5による脆弱性検査方法の処理の動作を、図面を参照しながら詳細に説明する。
次に、第2の実施形態に係る検査システム5による脆弱性検査方法の処理の動作を、図面を参照しながら詳細に説明する。
【0081】
図10は、第2の実施形態に係る脆弱性検査方法の処理動作を示すフローチャートである。
【0082】
ここでは、後述するように、検査装置1Aは、新規接続情報を受信したタイミングで処理を開始する。しかし、検査装置1Aは、新規接続情報の受信タイミングだけでなく、検査装置1が独自に、前回の脆弱性検査結果から所定時間経過しているか否かを監視して、不正端末検査の必要性を判断するようにしてもよい。
【0083】
[S201]
新規端末検知装置2は、第1の実施形態と同様に、ネットワークNTのトラフィック状況を監視し、新規に接続された端末4を検知し(S201)、新規接続情報を検査装置1Aに送信する。また、新規端末検知装置2は、新規接続した端末4の機器同定ができれば、その機器同定情報も検査装置1Aに送信する。
新規端末検知装置2は、第1の実施形態と同様に、ネットワークNTのトラフィック状況を監視し、新規に接続された端末4を検知し(S201)、新規接続情報を検査装置1Aに送信する。また、新規端末検知装置2は、新規接続した端末4の機器同定ができれば、その機器同定情報も検査装置1Aに送信する。
【0084】
第2の実施形態では、新規端末検知装置2は、メッセージ中に、機器の異常スコアの値も含めて検査装置1Aに送信する。
【0085】
ここで、新規端末検知装置2による異常スコアの評価方法を例示する。新規端末検知装置2は、検査装置1Aの機器情報格納部16を参照することができる。また、新規端末検知装置2は、新規接続した端末4の機器種別を同定できる。そのため、例えば、新規端末検知装置2が、機器情報格納部26内の情報を見て、新規接続された端末4の機器が、機器情報格納部26に格納されていない機器であれば、異常スコアの値を高くする。機器機種が新規のときの異常スコアの値は事前に決めておいてよい。
【0086】
また、別の方法として、新規端末検知装置2は、検査装置1Aの脆弱性検査結果格納部28を参照できるので、過去の脆弱性検査で脆弱性と判定されたネットワークNTと、同一ネットワークNT内に異常発生したときには、異常スコアの値を高くするようにしてもよい。
【0087】
なお、新規端末検知装置2は、機器情報格納部26、判定情報格納部27、脆弱性検査結果格納部28を参照できる。したがって、新規端末検知装置2が、前回不正端末検査から所定時間が経過している場合も、新規接続情報を、検査装置1に送信するようにしてもよい。これにより、検査装置1Aに対して不正端末検査の必要性を判断させることができる。
【0088】
また、上述したように、検査装置1Aも独自に、前回の脆弱性検査結果から所定時間経過しているか否かを監視して、不正端末検査の必要性を判断することもできる。
【0089】
[S202]
検査装置1は、データ受信部21が、新規接続情報の受信待機を行ない、新規接続情報を受信すると、新規接続した端末4のIPアドレス又はMACアドレスを抽出する(S202)。
検査装置1は、データ受信部21が、新規接続情報の受信待機を行ない、新規接続情報を受信すると、新規接続した端末4のIPアドレス又はMACアドレスを抽出する(S202)。
【0090】
[S203]
データ受信部21は、新規接続情報から抽出したIPアドレス又はMACアドレスを用いて、機器情報格納部26から、IPアドレス又はMACアドレスに対応する機器情報を検索する(S203)。
データ受信部21は、新規接続情報から抽出したIPアドレス又はMACアドレスを用いて、機器情報格納部26から、IPアドレス又はMACアドレスに対応する機器情報を検索する(S203)。
【0091】
[S204]
不正端末検査部22は、受信した新規接続情報から異常スコアを抽出し、異常スコアの値に基づいて、不正端末検査が必要か否かを判定する(S204)。不正端末検査が必要と判定されると、処理はS205に移行し、不要と判定されると、処理はS206に移行する。
不正端末検査部22は、受信した新規接続情報から異常スコアを抽出し、異常スコアの値に基づいて、不正端末検査が必要か否かを判定する(S204)。不正端末検査が必要と判定されると、処理はS205に移行し、不要と判定されると、処理はS206に移行する。
【0092】
例えば、10段階評価の異常スコアの値が「6」以上であれば、不正端末検査部22は、不正端末検査が必要であると判定するようにしてもよい。つまり、異常スコアの値が閾値以上のときに、不正端末検査が必要であると判定してよい。
【0093】
[S205]
不正端末検査が必要であると判定すると(S204/YES)、不正端末検査部22は、新規接続された端末4について脆弱性検査を行なう(S205)。
不正端末検査が必要であると判定すると(S204/YES)、不正端末検査部22は、新規接続された端末4について脆弱性検査を行なう(S205)。
【0094】
ここで、第2の実施形態では、脆弱性検査を実施することで、端末4が不正端末であるか否かを判断するものとする。
【0095】
第1の実施形態では、脆弱性検査内容と検査タイミングとを決定した後、脆弱性検査を実施したが、第2の実施形態では、不正端末検査は検査優先順位が最も高いものとみなし、S204で不正端末検査が必要であると判定すると、すぐに、不正端末検査部22は脆弱性検査を実施する。
【0096】
ここで、不正端末検査部22による不正端末の判定方法を例示する。不正端末の判定では、例えば、許可されていない端末、ポートスキャンにより、許可されていないOSや、許可されていないソフトウェアが使用するポートが開いていることを検出したり、パスワードスキャン等により、許可されていないユーザといったことが発見されれば不正端末とみなす。
【0097】
また例えば、脆弱性検査の結果が、既にネットワーク内に存在している他の端末の結果とは異なっていることにより不正端末とみなしても良い。
【0098】
例えば、OSがWindows(登録商標)やLinux(登録商標)の端末の接続しか許可されていない拠点において、OSスキャンの結果が既存の端末のスキャン結果と類似していないことでもって不正端末とみなしても良い。例えば、既存ツールを使ったOSスキャンの結果、厳密なOSのバージョン情報までは取得できない場合に、スキャン結果の文字列から、既にネットワーク内に存在している他の端末のOSとは明らかに異なると推定される端末を不正端末とみなしても良い。不正の度合いにより異常スコアを決定する。
【0099】
不正端末検査部22は、脆弱性検査を行い、端末4が不正端末か否かを判定する。そして、端末4が不正端末の疑いがあれば、不正端末検査部22は、図9(A)の機器情報における「異常スコア」に高いスコア値を記述し、不正端末でない可能性が高ければ低いスコア値を記述し、機器情報格納部26内の情報を更新する。
【0100】
また、不正端末検査部22は、脆弱性検査後、脆弱性検査結果格納部28内の情報も更新する。
【0101】
[S206]
脆弱性検査が終了すると、検査結果生成部24は、不正端末検査部22からの検査結果に基づいて、検査結果出力装置3向けの不正端末判定結果を生成する。また、S204で不正端末検査が不要と判定されたとき(S204/NO)、検査結果生成部24は、その旨を含む不正端末判定結果を生成する(S206)。
脆弱性検査が終了すると、検査結果生成部24は、不正端末検査部22からの検査結果に基づいて、検査結果出力装置3向けの不正端末判定結果を生成する。また、S204で不正端末検査が不要と判定されたとき(S204/NO)、検査結果生成部24は、その旨を含む不正端末判定結果を生成する(S206)。
【0102】
[S207]
検査結果生成部24が脆弱性検査結果を生成すると、検査結果生成部24は、脆弱性検査結果を検査結果出力装置3に送信する。そして、検査結果出力装置3は、脆弱性検査結果を出力する(S207)。第2実施形態では、検査結果出力装置3は、機器についての異常スコアの値、不正内容等も表示する。
検査結果生成部24が脆弱性検査結果を生成すると、検査結果生成部24は、脆弱性検査結果を検査結果出力装置3に送信する。そして、検査結果出力装置3は、脆弱性検査結果を出力する(S207)。第2実施形態では、検査結果出力装置3は、機器についての異常スコアの値、不正内容等も表示する。
【0103】
(B-3)第2の実施形態の効果
以上のように、第2の実施形態によれば、第1の実施形態の効果に加えて、次の効果を奏する。
以上のように、第2の実施形態によれば、第1の実施形態の効果に加えて、次の効果を奏する。
【0104】
第2の実施形態によれば、機器異常スコアや機器同定結果により、不正端末検査の緊急度を調べ、脆弱性検査を行うようにした。不正な端末が接続後、すぐにどのような挙動を起こすかを予測することができるという効果が得られる。
【0105】
(C)他の実施形態
以上のように、上述した第1及び第2の実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
以上のように、上述した第1及び第2の実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
【0106】
(C-1)上述した第1の実施形態及び第2の実施形態ではそれぞれ単独で動作するように説明した、検査装置1と検査装置1Aの両機能を備えるものとしてもよい。つまり、検査装置が、図2の検査装置1の各種機能と、図8の検査装置1Aの各種機能とを備えるものとしてもよい。
【0107】
(C-2)図3又は図9に例示する機器情報、図4に例示する判定情報及び検査順の情報、図5に例示する脆弱性検査結果の情報の項目は、これらに限定されるものではない。これらの項目に加えて他の項目を追加してもよいし、これ他の項目の一部のみとしてもよい。上述した実施形態では、機器種別に基づいて、検査する範囲、検査順を決定したが、例えば、制御部15が、端末のCPU使用率等の負荷情報に基づいて、検査する範囲、検査順、検査に係る負荷を決定するようにしてもよい。例えば、制御部15は、端末のCPU使用率が高く負荷がかかっているときには、検査順を遅らせたり、また例えば、制御部15は、CPU性能が低いスマートタップに対しては、検査負荷を下げるようにしてもよい。
【符号の説明】
【0108】
1及び1A…検査装置、2…新規端末検知装置、3…検査結果出力装置、4…端末、5…検査システム、
11及び21…データ受信部、12…脆弱性検査部、22…不正端末検査部、13…スキャンデータ生成部、14及び24…検査結果生成部、15及び25…制御部、16及び26…機器情報格納部、17及び27…判定情報格納部、18及び28…脆弱性検査結果格納部。
11及び21…データ受信部、12…脆弱性検査部、22…不正端末検査部、13…スキャンデータ生成部、14及び24…検査結果生成部、15及び25…制御部、16及び26…機器情報格納部、17及び27…判定情報格納部、18及び28…脆弱性検査結果格納部。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】