知財求人 - 知財ポータルサイト「IP Force」
特開2023-105859脆弱性管理装置、脆弱性管理プログラム、及び脆弱性管理方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023105859
(43)【公開日】2023-08-01
(54)【発明の名称】脆弱性管理装置、脆弱性管理プログラム、及び脆弱性管理方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20230725BHJP
G06F 21/55 20130101ALI20230725BHJP
【FI】
G06F21/57 370
G06F21/55
【審査請求】未請求
【請求項の数】11
【出願形態】OL
(21)【出願番号】P 2022006850
(22)【出願日】2022-01-20
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】松永 聡彦
(57)【要約】
【課題】 脆弱性の有無や脆弱性対策を行うか否かの判断を効率的に行い、ネットワークに対する脅威を防ぐことができる脆弱性管理装置を提供する。
【解決手段】 本発明の脆弱性管理装置は、ネットワーク上の端末のポートの脆弱性の検査を行う脆弱性管理装置であって、前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納するポート情報格納部と、前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う脆弱性検査部とを有する。
【選択図】 図1
【解決手段】 本発明の脆弱性管理装置は、ネットワーク上の端末のポートの脆弱性の検査を行う脆弱性管理装置であって、前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納するポート情報格納部と、前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う脆弱性検査部とを有する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
ネットワーク上の端末のポートの脆弱性の検査を行う脆弱性管理装置であって、
前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納するポート情報格納部と、
前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う脆弱性検査部と
を有することを特徴とする脆弱性管理装置。
前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納するポート情報格納部と、
前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う脆弱性検査部と
を有することを特徴とする脆弱性管理装置。
【請求項2】
前記端末の前記検査対象ポートに対して行った脆弱性検査、及び脆弱性対策の履歴情報を格納する使用ポート履歴格納部と、
前記脆弱性検査部は、前記使用ポート履歴格納部の情報に基づき、脆弱性対策の要否を判定することを特徴とする請求項1に記載の脆弱性管理装置。
前記脆弱性検査部は、前記使用ポート履歴格納部の情報に基づき、脆弱性対策の要否を判定することを特徴とする請求項1に記載の脆弱性管理装置。
【請求項3】
前記脆弱性検査部は、前記検査対象ポートのポートがオープンである場合、脆弱性対策を行うと判定することを特徴とする請求項2に記載の脆弱性管理装置。
【請求項4】
前記脆弱性検査部は、ポート番号と標準プロトコルとの対情報を参照し、プロトコルが標準プロトコルと合致しているか、又は未知のプロトコルであるか否かの判定を加味して、脆弱性対策の要否を判定することを特徴とする請求項2又は3に記載の脆弱性管理装置。
【請求項5】
前記脆弱性検査部は、前記端末の機器情報を加味して脆弱性対策の要否を判定することを特徴とする請求項2~4のいずれかに記載の脆弱性管理装置。
【請求項6】
前記脆弱性検査部は、ネットワークのトラフィックの静的な監視情報を加味して脆弱性対策の要否を判定することを特徴とする請求項1~5のいずれかに記載の脆弱性管理装置。
【請求項7】
脆弱性対策が必要な検査対象のポートについて、所定の脆弱性対策対策を施す脆弱性処置部をさらに有することを特徴とする請求項1~6のいずれかに記載の脆弱性管理装置。
【請求項8】
前記脆弱性検査部の検査結果を含む脆弱性検査結果を出力する脆弱性結果出力部をさらに有することを特徴とする請求項7に記載の脆弱性管理装置。
【請求項9】
前記脆弱性検査結果に前記脆弱性処置部の脆弱性対策の内容が含まれることを特徴とする請求項8に記載の脆弱性管理装置。
【請求項10】
ネットワーク上の端末のポートの脆弱性の検査を行う脆弱性管理装置に搭載されるコンピュータを、
前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納するポート情報格納部と、
前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う脆弱性検査部と
して機能させることを特徴とする脆弱性管理プログラム。
前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納するポート情報格納部と、
前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う脆弱性検査部と
して機能させることを特徴とする脆弱性管理プログラム。
【請求項11】
ネットワーク上の端末のポートの脆弱性の検査を行う脆弱性管理装置に使用する脆弱性管理方法であって、
ポート情報格納部は、前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納し、
脆弱性検査部は、前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う
ことを特徴とする脆弱性管理方法。
ポート情報格納部は、前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納し、
脆弱性検査部は、前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う
ことを特徴とする脆弱性管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、脆弱性管理装置、脆弱性管理プログラム、及び脆弱性管理方法に関し、例えば、ネットワーク上の端末を遠隔で監視し、脆弱性検査等を行う管理装置に適用し得る。
【背景技術】
【0002】
コンピュータのOS(Operating System)やソフトウェア(アプリケーション)では、プログラムの不具合や設計上のミスが原因となり、情報セキュリティ上の欠陥である脆弱性問題が発生する場合が存在する。脆弱性が残された状態でコンピュータを利用し続けると、不正アクセスに利用されたり、ウイルスに感染したりする危険性がある。
【0003】
このように脆弱性は、ネットワーク(インターネット等)に接続しているコンピュータにおける情報セキュリティ上の大きな問題の一つになっている。
【0004】
脆弱性を発見するソフトウェアとして、例えば、非特許文献1~3に開示されているような脆弱性検査ツールが存在する。脆弱性検査ツールを利用して脆弱性を発見、除去することでウイルス感染等のリスクを抑えることができる。
【0005】
TCP/IP(Transmission Control Protocol/Internet Protocol)のコンピュータネットワークでは、外部の通信機器との通信プロトコルにおいて宛先にあたるポートが存在する。ポートは、プロトコル毎に取り決められている。以下のポートスキャンは、このポートに対して行う脆弱性検査である。
【0006】
ポートスキャンは、ネットワークに接続されている検査対象端末に対し、ポートを指定したデータを送信し、応答を調べる。検査対象ポートに対してこのようなデータパケットの送受信を行うことで、検査対象端末が使用しているサービスやOSを調べることができる。
【先行技術文献】
【非特許文献】
【0007】
【非特許文献1】“Nmap Changelog”[2021年12月22日検索],[Online]、INTERNET、<URL: https://nmap.org/changelog.html>
【非特許文献2】“NESSUS”[2021年12月22日検索],[Online]、INTERNET、<URL: https://www.tenable.com/products/nessus>
【非特許文献3】“OWASP ZAP(Zed Attack Proxy)”[2021年12月22日検索],[Online]、INTERNET、<URL: https://owasp.org/www-project-zap/>
【発明の概要】
【発明が解決しようとする課題】
【0008】
ところで、上述のポートスキャンの実施後、脆弱性の有無や脆弱性対策を行うかどうかの判断は、通常、セキュリティ対策に精通している専門家が行っていることが多い。
【0009】
セキュリティ対策に精通している専門家であっても、脆弱性の有無や脆弱性対策を行うかどうかの判断は困難なことが多い。
【0010】
そのため、脆弱性の有無や脆弱性対策を行うか否かの判断を効率的に行い、ネットワークに対する脅威を防ぐことができる脆弱性管理装置、脆弱性管理プログラム、及び脆弱性管理方法が望まれている。
【課題を解決するための手段】
【0011】
第1の本発明は、ネットワーク上の端末のポートの脆弱性の検査を行う脆弱性管理装置であって、(1)前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納するポート情報格納部と、(2)前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う脆弱性検査部とを有することを特徴とする。
【0012】
第2の本発明の脆弱性管理プログラムは、ネットワーク上の端末のポートの脆弱性の検査を行う脆弱性管理装置に搭載されるコンピュータを、(1)前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納するポート情報格納部と、(2)前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行う脆弱性検査部として機能させることを特徴とする。
【0013】
第3の本発明は、ネットワーク上の端末のポートの脆弱性の検査を行う脆弱性管理装置に使用する脆弱性管理方法であって、(1)ポート情報格納部は、前記端末の検査対象のポートを示す1又は複数の検査対象ポート毎に、ポート情報、脆弱性対策の要否情報を格納し、(2)脆弱性検査部は、前記ポート情報格納部の情報に基づき、前記端末の脆弱性検査を行うことを特徴とする。
【発明の効果】
【0014】
本発明によれば、脆弱性の有無や脆弱性対策を行うか否かの判断を効率的に行い、ネットワークに対する脅威を防ぐことができる。
【図面の簡単な説明】
【0015】
【図1】実施形態に係る脆弱性検査装置の内部構成を示すブロック図である。
【図2】実施形態に係る脆弱性検査システムの全体構成を示す全体構成図である。
【図3】実施形態に係るポート情報格納部の一例を示す説明図である。
【図4】実施形態に係る検査情報納部の一例を示す説明図である。
【図5】実施形態に係る対策管理情報格納部の一例を示す説明図である
【図6】実施形態に係る使用ポート履歴格納部の一例を示す説明図である。
【図7】実施形態に係る脆弱性検査システム(主に脆弱性検査装置)における脆弱性管理の全体的動作を示すフローチャートである。
【図8】実施形態に係る脆弱性検査装置における脆弱性対策の詳細処理を示すフローチャートである。
【図9】実施形態に係る脆弱性検査結果の一例を示す説明図である。
【発明を実施するための形態】
【0016】
(A)主たる実施形態
以下では、本発明に係る脆弱性管理装置、脆弱性管理プログラム、及び脆弱性管理方法の一実施形態を、図面を参照しながら詳細に説明する。
以下では、本発明に係る脆弱性管理装置、脆弱性管理プログラム、及び脆弱性管理方法の一実施形態を、図面を参照しながら詳細に説明する。
【0017】
【0018】
図2において、脆弱性検査システム100は、脆弱性検査装置1と、トラフィック監視装置2と、脆弱性結果出力装置3と、複数の検査対象端末4(4-1~4-n)とを有し、各装置(端末)はネットワークNを介して接続されている。脆弱性管理装置は、例えば、脆弱性検査装置1、トラフィック監視装置2、及び脆弱性結果出力装置3(又は脆弱性検査装置1及び脆弱性結果出力装置3)で構成される。
【0019】
ネットワークNは、各装置が接続可能な通信ネットワークであれば良く、その種類は限定されるものではない。また、各装置間に介在するネットワークが複数種類あり、ネットワークNが複数種類のネットワーク(イーサーネット、インターネット等)で構成されていても良い。
【0020】
脆弱性検査装置1は、検査対象の検査対象端末4内に脆弱性を含んでいるか否かを検査し、脆弱性の存在する検査対象端末4を検知すると、検査対象端末4に対し処置する機能や検査対象端末4の管理者に対し警告する機能を保持する。
【0021】
トラフィック監視装置2は、検査対象端末4がネットワークN上に送受信するパケットを監視し(静的な監視を行い)、脆弱性検査装置1に監視内容を通知する機能を保持する。
【0022】
脆弱性結果出力装置3は、脆弱性検査の結果を出力表示する機能を保持する。例えば、脆弱性結果出力装置3は、装置内にWEBブラウザを所持し、当該ブラウザを用いて脆弱性検査装置1から送信された情報(脆弱性検査の結果)を画面表示したり、表示された画面に対して情報を入力することで脆弱性検査装置1に入力情報を送信することができる。
【0023】
検査対象端末4は、IP(Internet Protocol)アドレスやMAC(Media Access Control)アドレスが付与され、ネットワークNに接続可能な脆弱性検査対象の通信端末である。例えば、検査対象端末4は、PC(Personal Computer)、タブレット、スマートフォン等の通信機能が存在する情報処理端末である。
【0024】
(A-1-2)脆弱性検査装置1の詳細構成
図1は、実施形態に係る脆弱性検査装置の内部構成を示すブロック図である。
図1は、実施形態に係る脆弱性検査装置の内部構成を示すブロック図である。
【0025】
図1において、脆弱性検査装置1は、検査制御部11と、脆弱性検査部12と、脆弱性処置部13と、脆弱性対策プログラム14と、脆弱性検査結果生成部15と、ポート情報格納部16と、検査情報格納部17と、対策管理情報格納部18と、使用ポート履歴格納部19とを有する。ここで、各格納部は、例えば、一般的なデータベースのテーブルで構成されたものである。
【0026】
脆弱性検査装置1は、すべてハードウェア的に構成(例えば、専用の半導体チップを用いて構成)するようにしても良いし、一部または全部についてソフトウェア的に構成するようにしても良い。
【0027】
検査制御部11は、所定の監視タイミングで脆弱性検査装置1内の各部を制御し、検査対象端末4の脆弱性監視を行う機能を保持する。
【0028】
脆弱性検査部12は、検査対象端末4の指定ポート(又はプロトコル)について、ポート情報格納部16や検査情報格納部17の情報を参照し、検査対象端末4の監視を行う機能を保持する。
【0029】
脆弱性処置部13は、検査対象端末4の指定ポート(又はプロトコル)について、対策管理情報格納部18の情報を参照し、脆弱性対策プログラム14を用いて検査対象端末4の該当ポートに対策を施す機能を保持する。
【0030】
脆弱性検査結果生成部15は、脆弱性検査や対策結果を生成し、脆弱性結果出力装置3に送信する機能を保持する。
【0031】
ポート情報格納部16は、検査対象端末4の各ポートに対して行う検査・対策についての情報を格納するものである。
【0032】
図3は、実施形態に係るポート情報格納部の一例を示す説明図である。図3に示すように、ポート情報格納部16は、「ポート番号」、「プロトコル」、「許可ID(Identify)」、「検査ID」、「対策ID」の項目を有する。なお、図3は一例であって、ポート情報格納部の構成は、種々様々な構成を適用することができる。
【0033】
ポート番号は、TCP/IP通信においてプロトコルを識別するための番号であって、プロトコル毎に、0から最大65535までの何れかの数値(整数)を記述できる。なお、数値はInternet Assigned Numbers Authority(IANA)が管理しているポート番号を記述する。また、管理対象のネットワーク内で独自に割り当てたポート番号を記載することもできる。
【0034】
プロトコルは、ネットワークアプリケーションのプロトコル名のことである。当該プロトコル及び上記ポート番号は、ペア(組)で管理される。
【0035】
許可IDは、該当ポート番号(プロトコル)の使用許可をネットワーク管理者によって予め設定するものである。例えば、許可IDには、該当ポート番号(プロトコル)の使用を許可する場合は「OK」、許可しない場合は「NG」と記述しておく。また、許可をするか否かを決めていない場合は、記述しなくても良く、その場合には許可扱いとしても良い。
【0036】
検査IDは、該当プロトコルについて、詳細なポート情報の検査を行うためのプログラム(及びプログラムの引数)を指定する。
【0037】
プロトコルに応じて検査ID(調査方法)を変化させることができる。例えば、プロトコルがSSH(Secure Shell)の時はパスワードスキャンを行う。これ以外にポートが使用されているかを調べるといったことを行っても良い。いずれにしても各プロトコルによって記述する調査方法(検査ID)は特に限定されるものでは無い。
【0038】
検査対象端末4の通信では、プロトコルに割り当てられた一般的なポート番号を使用していない可能性も存在する。通信特性からプロトコルとポート番号が一般的な組と合致しているか、していない場合は、プロトコルを推定するためにも用いる。
【0039】
対策IDは、詳細な脆弱性対策を行うためのプログラム(及びプログラムの引数:ポート番号やタイムアウトの設定等の情報)を指定する。プロトコルによって対策をさせる。上述の許可IDがNGである検査対象端末4に対しては、通信を遮断や、ポートを用いた通信を監視したりするようにしても良い。これ以外の手段を行っても良く、例えば検査対象端末4の管理者に通知するためのプログラムを記述するようにしても良い。いずれにしても各プロトコルによって記述するプログラム(対策ID)は特に限定されるものでは無い。
【0040】
なお、検査ID、及び対策IDは、複数記述し、調査や対策を複数実施するようにしても良い。また、別プロトコルで同一検査IDや対策IDが記載されていても良い。ポート番号で検査や対策を区別するようにしたが、その他の情報を追加してもよい。例えば、ポート情報格納部16に「端末種別」の項目追加し、「サーバー端末」か「クライアント端末」、「PC」か「端末」等の種類を追加して区別することで、ある機器種別は許可するが、別の機器種別は許可しないといったことができる。
【0041】
検査情報格納部17は、検査対象端末4に適用する脆弱性検査情報(詳細検査情報)を格納するものである。
【0042】
【0043】
検査IDは、検査プログラムを識別する識別子であって、上述の図3で説明した検査IDと同一のものである。
【0044】
検査プログラムは、ポートの詳細な検査を行うためのプログラム(及びプログラムの引数)が記述される。ポート情報格納部16の検査IDが指定されると、当該検査情報格納部17の情報に従い、脆弱性対策プログラム14内の該当検査IDの検査プログラムが参照できるようになる。
【0045】
対策管理情報格納部18は、検査対象端末4に適用する脆弱性対策情報を格納するものである。
【0046】
【0047】
対策IDは、対策プログラムを識別する識別子であって、上述の図3で説明した対策IDと同一のものである。
【0048】
対策プログラムは、脆弱性対策を行うためのプログラム(及びプログラム)の引数が記述される。ポート情報格納部16の対策IDが指定されると、当該対策管理情報格納部18の情報に従い、脆弱性対策プログラム14内の該当対策IDの対策プログラムが参照できるようになる。
【0049】
例えば、脆弱ポート対策プログラムは、ポートの詳細情報を検査したり、パスワードスキャンといったポート関連のその他の脆弱性を検査したりするプログラムである。また、ポートを強制的に閉じる、検査対象端末4の使用者にアラートを通知するといったポートに脆弱性があると判定した時に対策を行うプログラムも含まれる。
【0050】
使用ポート履歴格納部19は、検査対象端末4の各ポートに行った検査・対策等の履歴情報を格納するものである。
【0051】
図6は、実施形態に係る使用ポート履歴格納部の一例を示す説明図である。図6に示すように、使用ポート履歴格納部19は、「タイムスタンプ」、「IPアドレス」、「ポート番号」、「状態」、「詳細情報」、及び「対策情報」の項目を有する。
【0052】
タイムスタンプは、脆弱性検査装置1による脆弱性検査により各検査対象端末4のポートを検知した時刻を示すものである。
【0053】
IPアドレスは、検査を行った検査対象端末4のIPアドレスを示すものである。ここでは、検査対象端末4を識別できるものであれば良く、IPアドレス以外の識別情報を用いても良い。例えば、IPアドレスの代わりにMACアドレス等を使用しても良い。
【0054】
ポート番号には、脆弱性検査(ポートスキャン)により検知されたポート番号が記述される。
【0055】
状態には、ポートの状態が記述される。ここでは、オープンやクローズによりポートの状態が示されているが、記述の仕方はこれに限定されるものでは無い。
【0056】
詳細情報は、詳細なポート情報の検査を実施した後にその結果を示す情報が記述される。図6の例では、結果をファイルに書き込み、ファイル名を記述した例を示している。詳細なポート情報の検査を実施しなければ記述しなくて良い。
【0057】
対策情報は、脆弱性対策を行ったならばその結果が記述される。脆弱性対策を実施しなければ記述しなくて良い。
【0058】
(A-2)実施形態の動作
次に、実施形態に係る脆弱性検査システム100における特徴動作を、図面を参照しながら詳細に説明する。
次に、実施形態に係る脆弱性検査システム100における特徴動作を、図面を参照しながら詳細に説明する。
【0059】
(A-2-1)脆弱性管理の全体的動作
図7は、実施形態に係る脆弱性検査システム(主に脆弱性検査装置)における脆弱性管理の全体的動作を示すフローチャートである。
図7は、実施形態に係る脆弱性検査システム(主に脆弱性検査装置)における脆弱性管理の全体的動作を示すフローチャートである。
【0060】
このフローチャート(脆弱性検査)を開始するタイミングは、特に限定されるものでは無いが、例えば、ユーザが脆弱性結果出力装置3等から検査対象端末4のIPアドレスを指定し脆弱性検査を開始する。又は指定時刻になれば脆弱性検査装置1が処理を開始するといったように、自動的に脆弱性検査を開始しても良い。
【0061】
<S101:検査対象ポート番号の取得>
脆弱性検査を開始するとまず、脆弱性検査部12は、ポート情報格納部16を参照し検査対象ポートを取得する。検査対象ポートの取得手段は、ポート情報格納部16に限定されるものでは無く、例えば、脆弱性対象ポートをユーザが指定するようにしても良い。
脆弱性検査を開始するとまず、脆弱性検査部12は、ポート情報格納部16を参照し検査対象ポートを取得する。検査対象ポートの取得手段は、ポート情報格納部16に限定されるものでは無く、例えば、脆弱性対象ポートをユーザが指定するようにしても良い。
【0062】
また、ポート情報格納部16に記載以外のポート番号が使われている可能性が存在する。そのため、このような場合も検査したい場合には記載以外のポート番号についてもポートスキャン対象とする。例えば、65535までの全ポート番号を対象とすることで確実に使用ポートを検知できる。
【0063】
<S102:ポートスキャン>
脆弱性検査部12は、検査対象端末4のIPアドレスに対し、検査対象ポートのポートスキャンを実行し、検知したポート番号、状態等の情報を収集する。なお、ここでのポートスキャンは、例えば、上述の非特許文献1、2に記載の技術を適用できる。
脆弱性検査部12は、検査対象端末4のIPアドレスに対し、検査対象ポートのポートスキャンを実行し、検知したポート番号、状態等の情報を収集する。なお、ここでのポートスキャンは、例えば、上述の非特許文献1、2に記載の技術を適用できる。
【0064】
脆弱性検査部12は、収集した情報を、使用ポート履歴格納部19の各項目(検査時刻、IPアドレス、ポート、プロトコル、状態)に書き込む。なお、スキャンしても、プロトコルが不明であれば、プロトコルの項目は書き込まなくて良い。
【0065】
<S103:全ポート確認したか>
脆弱性検査部12は、検知したポート番号の全てについて脆弱性対策の要否の確認を行う。脆弱性検査部12は、全ポートを確認した場合には、後述するステップS107に移行し、一方、未確認のポート存在する場合には、ステップS104の処理を行う。
脆弱性検査部12は、検知したポート番号の全てについて脆弱性対策の要否の確認を行う。脆弱性検査部12は、全ポートを確認した場合には、後述するステップS107に移行し、一方、未確認のポート存在する場合には、ステップS104の処理を行う。
【0066】
<S104:ポートは開放か>
脆弱性検査部12は、上述のステップS102の行ったポートスキャンで収集した情報(使用ポート履歴格納部19に書き込んだ情報)に基づき、ポートの状態を確認する。
脆弱性検査部12は、上述のステップS102の行ったポートスキャンで収集した情報(使用ポート履歴格納部19に書き込んだ情報)に基づき、ポートの状態を確認する。
【0067】
ポートがクローズ(close)など外部からそのポートにアクセス不可能な状態であるならば脆弱性対策をする必要がない。そこで、脆弱性検査部12は、検知したポート(ポート番号)の状態がオープンであるかを調べる。脆弱性検査部12は、ポートの状態がオープンである場合には、次のステップS105に移行し、一方、状態がオープン以外であるならば、上述のステップS103に戻り次の未確認のポート番号を調べる。
【0068】
<S105:検査情報格納部の参照>
脆弱性検査部12は、検知したポート番号のうち、状態がオープンであるポートについて、検査情報格納部17を参照し、詳細な検査が必要であるかを調べる。例えば、脆弱性検査部12は、検知したポート番号に係る検査ID(ポート情報格納部16の検査ID)をキーとして、検査情報格納部17を検索し、該当するデータ(検査プログラム)が存在する場合には、詳細な検査が必要であると判断する。ここでは、詳細な検査が必要であることを前提に以下の説明を行う。なお、脆弱性検査部12は、詳細な検査が不要である場合には、上述のステップS103に戻り次の未確認のポート番号を調べても良い。
脆弱性検査部12は、検知したポート番号のうち、状態がオープンであるポートについて、検査情報格納部17を参照し、詳細な検査が必要であるかを調べる。例えば、脆弱性検査部12は、検知したポート番号に係る検査ID(ポート情報格納部16の検査ID)をキーとして、検査情報格納部17を検索し、該当するデータ(検査プログラム)が存在する場合には、詳細な検査が必要であると判断する。ここでは、詳細な検査が必要であることを前提に以下の説明を行う。なお、脆弱性検査部12は、詳細な検査が不要である場合には、上述のステップS103に戻り次の未確認のポート番号を調べても良い。
【0069】
<S106:脆弱性対策>
脆弱性検査部12及び脆弱性処置部13は、詳細な検査が必要なポートについて脆弱性対策を行う。当該ステップS106の詳細は図8を用いて後述する。
脆弱性検査部12及び脆弱性処置部13は、詳細な検査が必要なポートについて脆弱性対策を行う。当該ステップS106の詳細は図8を用いて後述する。
【0070】
<S107:脆弱性検査結果(脆弱性対策結果)の表示>
脆弱性検査結果生成部15は、使用ポート履歴格納部19に基づき、脆弱性結果出力装置3で表示する脆弱性検査結果を生成するものである。脆弱性検査結果生成部15は、生成した脆弱性検査結果を脆弱性結果出力装置3に送信する。
脆弱性検査結果生成部15は、使用ポート履歴格納部19に基づき、脆弱性結果出力装置3で表示する脆弱性検査結果を生成するものである。脆弱性検査結果生成部15は、生成した脆弱性検査結果を脆弱性結果出力装置3に送信する。
【0071】
脆弱性結果出力装置3は、受信した脆弱性検査結果を表示する。
【0072】
図9は、実施形態に係る脆弱性検査結果の一例を示す説明図である。
【0073】
図9において、脆弱性検査結果表示画面200は、脆弱性検査時刻及び検査対象端末4のIPアドレスを表示する表示欄210と、ポートごとに脆弱性検査結果の各項目(検知したポート、オープン等の状態、対策対象であるかどうかと、対策を行ったかどうかといった情報)を表示する表示欄220と、管理者から脆弱性対策の実行を受け付ける脆弱性対策ボタン230と、脆弱性対策が必要なポートの状態変化を示す表示欄240と、端末の通信履歴を示す表示欄250とを備える。なお、図9は一例であって、表示する内容及びレイアウト等はこれに限定されるものでは無い。
【0074】
管理者は、脆弱性検査結果表示画面200により、どのポートが開いているか、対策が必要なポートについて、対策済みかどうか、通信状況といった情報を知ることができる。対策をするかどうかの判定を管理者が行う場合、対策が要と表示されていたら、対策方法を見て行う。対策方法に自動実行のリンクを設け、そこをクリックすることで対策の支援を行うようにしても良い。対策をするかどうかの判定を管理者が行わず、自動的に実行(ポートを閉じる等)しても良い。
【0075】
(A-2-2)ステップS106の詳細
図8は、実施形態に係る脆弱性検査装置における脆弱性対策の詳細処理を示すフローチャートである。
図8は、実施形態に係る脆弱性検査装置における脆弱性対策の詳細処理を示すフローチャートである。
【0076】
<S106-1:使用ポート履歴の参照>
脆弱性検査部12は、該当ポートについて使用ポート履歴格納部19を参照し、ポートの状態がいつ変化したかの時刻を調査する。
脆弱性検査部12は、該当ポートについて使用ポート履歴格納部19を参照し、ポートの状態がいつ変化したかの時刻を調査する。
【0077】
例えば、IPアドレスが「11.111.1.10」の検査対象端末4で、今回の検知したポート番号が「22」、「23」、「80」であるとする。
【0078】
そして、図6では、前回までの使用ポート履歴が記載されているものとすると、前回のIPアドレスが「11.111.1.10」の脆弱性検査時刻は「2021.09.15 01:21:05」となる。そうすると、「21」と「22」のポート番号が今回変化したことが分かる。
【0079】
なお、「23」と「80」のポート番号は、ポート情報格納部16に対策IDが記載されているが、今回変化したポートでは無いため(新規に開いたポートでは無いため)、S106-2以降の処理は対象外となる(即ち、ステップS103に戻る)。
【0080】
<S106-2:新規に開いたポートか否かの確認>
脆弱性検査部12は、該当ポートについて前回検査後に開いたポートであるかを調べる。例えば、上述のS106-1で示したIPアドレスが「11.111.1.10」の今回の脆弱性検査の例では、「22」のポートが新規に開いたポートとなる。脆弱性検査部12は、該当ポートが新規に開いたポートである場合には、次のステップS106-3に移行する。
脆弱性検査部12は、該当ポートについて前回検査後に開いたポートであるかを調べる。例えば、上述のS106-1で示したIPアドレスが「11.111.1.10」の今回の脆弱性検査の例では、「22」のポートが新規に開いたポートとなる。脆弱性検査部12は、該当ポートが新規に開いたポートである場合には、次のステップS106-3に移行する。
【0081】
一方、脆弱性検査部12は、該当ポートが新規に開いたポートでなければ脆弱性対策を行わずにステップS103に戻る。これにより一度脆弱性対策をしたならば、再度脆弱性対策は行わないようにすることで端末に負荷をかけずに済む。ただし、強制的にステップS106-3の処理を行うようにしても良い。例えば、使用ポート履歴格納部19の対策情報を参照し、脆弱性対策を行っていない場合(対策情報に対策ID等の情報が記載されいない場合)には、強制的にステップS106-3の処理を行う。
【0082】
例えば、上述のS106-1で示したIPアドレスが「11.111.1.10」の今回の脆弱性検査の例では、「21」のポートは閉じて検知しなくなったポートである(新規に開いたポートでは無い)。そのため、この場合には、脆弱性検査部12は、ステップS103に戻る。
【0083】
<S106-3:詳細検査>
脆弱性検査部12は、該当ポートについて、ポート情報格納部16を参照し、ポート番号に対する検査IDを取得する。続いて、脆弱性検査部12は、取得した検査IDをキーとして、検査情報格納部17を参照して、検査IDに対するプログラム名を取得する。そして、脆弱性検査部12は、脆弱性対策プログラム14内の該当プログラム(検査プログラム)を実行する。
脆弱性検査部12は、該当ポートについて、ポート情報格納部16を参照し、ポート番号に対する検査IDを取得する。続いて、脆弱性検査部12は、取得した検査IDをキーとして、検査情報格納部17を参照して、検査IDに対するプログラム名を取得する。そして、脆弱性検査部12は、脆弱性対策プログラム14内の該当プログラム(検査プログラム)を実行する。
【0084】
検査プログラムにより、プロトコルを推定したり、ポートの使用状況が分かる。また、トラフィック監視装置2で測定したポートを使用した通信状況やパケット解析しても良い。
【0085】
例えば、上述のステップS106-2で示したポート番号22(新規に開いたポート)の場合、図3のポート情報格納部16のポート番号22の検査IDである「2」が抽出され、図4の検査情報格納部17から検査ID2の検査プログラムbbbが抽出され、このプログラムが実行されることになる。
【0086】
<S106-4:ポートとプロトコルは一致かの判定>
脆弱性検査部12は、上述のステップS106-3の実行結果からポート番号と推定プロトコルは一致するか否かを判定する。ここで、例えば、ウェルノウンポートと呼ばれ、よく使われる特に著名なポート番号である1023までのポート番号等(標準プロトコル)についてはポート番号とプロトコルの対応を信頼し、一致しているとみなすようにしても良い。
脆弱性検査部12は、上述のステップS106-3の実行結果からポート番号と推定プロトコルは一致するか否かを判定する。ここで、例えば、ウェルノウンポートと呼ばれ、よく使われる特に著名なポート番号である1023までのポート番号等(標準プロトコル)についてはポート番号とプロトコルの対応を信頼し、一致しているとみなすようにしても良い。
【0087】
脆弱性検査部12は、ポートと推定プロトコルの対応が一致する場合には、後述するステップS106-6に移行し、一方、ポートとプロトコルの対応が一致しない場合には、次のステップS106-5の処理を行う。
【0088】
<S106-5:脆弱性対策必要性調査>
脆弱性検査部12は、該当ポートの許可ID(ポート情報格納部16の許可ID)がNGであるポートは脆弱性対策が必要であるとする。例えば、ポート番号22は、許可IDがNGであるので脆弱性対策が必要とする。
脆弱性検査部12は、該当ポートの許可ID(ポート情報格納部16の許可ID)がNGであるポートは脆弱性対策が必要であるとする。例えば、ポート番号22は、許可IDがNGであるので脆弱性対策が必要とする。
【0089】
また、上述のステップS106-4で、ポート番号と推定プロトコルが一致しないポートについて脆弱性対策が必要であるかを調査する。例えば、推定されたプロトコルが、脆弱性対策が必要であるか等により判定する。
【0090】
<S106-5:対策要否判定>
脆弱性検査部12は、上述のステップS106-5の処理により、脆弱性対策が必要でないプロトコルと判定されたならばステップS103に戻る。
脆弱性検査部12は、上述のステップS106-5の処理により、脆弱性対策が必要でないプロトコルと判定されたならばステップS103に戻る。
【0091】
一方、脆弱性検査部12は、脆弱性対策が必要なプロトコルと判定されれば次のS106-7の処理を行う。例えば、ポート番号22は脆弱性対策が必要であるのでS106-7の処理を行うことになる。
【0092】
<S106-7:脆弱性対策>
脆弱性処置部13は、脆弱性対策が必要なポートについて、脆弱性対策を行う。対策管理情報格納部18で指定された、ポートを強制的に閉じる、検査対象端末4の使用者にアラートを通知するといった脆弱性対策を行う。
脆弱性処置部13は、脆弱性対策が必要なポートについて、脆弱性対策を行う。対策管理情報格納部18で指定された、ポートを強制的に閉じる、検査対象端末4の使用者にアラートを通知するといった脆弱性対策を行う。
【0093】
【0094】
(A-3)実施形態の効果
本発明によれば、以下の効果を奏する。
本発明によれば、以下の効果を奏する。
【0095】
脆弱性検査装置1が、検査対象端末4の開いているポートを調査後、ポートの使用プロトコル(アプリケーション)や、使用情報、状況、脆弱性の有無を調べた後、脆弱性対策やポートの使用履歴といった結果を出力表示することにより、脆弱性があった時に迅速な対応の判断ができるという効果が得られる。
【0096】
また、ポートと対策の対応をあらかじめ指定し、該当ポートが開いていれば対策を自動的に行うことにより、ネットワークに対する脅威の防止を迅速に行うことができるという効果が得られる。
【0097】
さらに、詳細なポート検査プログラムや通信内容からプロトコル推定することにより、独自に作成したプロトコルや、標準的なポート番号を使わないプロトコルにも脆弱性対策がとりやすくなるという効果が得られる。
【0098】
(B)他の実施形態
上述した実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
上述した実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
【0099】
(B-1)上述した図2の例では、脆弱性検査装置1、トラフィック監視装置2、脆弱性結果出力装置3の各装置をそれぞれ別構成で示される例を示したが、これら3つの装置を、同一ハードウェア内の1台の装置で実現しても良い。
【0100】
(B-2)機器情報、判定情報や脆弱性検査情報で取り扱うデータ種別は、上述した実施形態以外の内容を含んでも良い。また、上述した各情報は、一部省略しても良い。
【符号の説明】
【0101】
1…脆弱性検査装置、2…トラフィック監視装置、3…脆弱性結果出力装置、4…検査対象端末、11…検査制御部、12…脆弱性検査部、13…脆弱性処置部、14…脆弱性対策プログラム、15…脆弱性検査結果生成部、16…ポート情報格納部、17…検査情報格納部、18…対策管理情報格納部、19…使用ポート履歴格納部、100…脆弱性検査システム、200…脆弱性検査結果表示画面、210、220、240、250…表示欄、230…脆弱性対策ボタン、N…ネットワーク。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】