(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023020031
(43)【公開日】2023-02-09
(54)【発明の名称】検査装置、検査プログラム、及び検査方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20230202BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2021125165
(22)【出願日】2021-07-30
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】松永 聡彦
(57)【要約】
【課題】 負荷低減や早期検知をしつつ、不正端末や脆弱性検査を行うことができる検査装置を提供する。
【解決手段】 本発明は、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を検査する検査装置であって、ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定する第1の検査手段と、前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う第2の検査手段とを有する。
【選択図】 図1
【解決手段】 本発明は、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を検査する検査装置であって、ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定する第1の検査手段と、前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う第2の検査手段とを有する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を検査する検査装置であって、
ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定する第1の検査手段と、
前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う第2の検査手段と
を有することを特徴とする検査装置。
ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定する第1の検査手段と、
前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う第2の検査手段と
を有することを特徴とする検査装置。
【請求項2】
機器種別ごとに、前記各検査対象機器の脆弱性及び又は不正を判定する検査内容が記述された脆弱性判定情報を保持し、
前記第2の検査手段は、前記第1の検査手段で判定した機器種別と、当該検査装置及び前記検査対象機器間のデータの送受信によるオペ―レーティングシステム判定で決定した前記各検査対象機器の機器種別とを用いて、前記脆弱性判定情報から検査内容を決定する
ことを特徴とする請求項1に記載の検査装置。
前記第2の検査手段は、前記第1の検査手段で判定した機器種別と、当該検査装置及び前記検査対象機器間のデータの送受信によるオペ―レーティングシステム判定で決定した前記各検査対象機器の機器種別とを用いて、前記脆弱性判定情報から検査内容を決定する
ことを特徴とする請求項1に記載の検査装置。
【請求項3】
ネットワーク接続を許可されて、正規端末と判定された前記検査対象機器の情報である正規端末情報を保持し、
前記第2の検査手段は、前記正規端末情報を加味して、検査内容を決定する
ことを特徴とする請求項1又は2に記載の検査装置。
前記第2の検査手段は、前記正規端末情報を加味して、検査内容を決定する
ことを特徴とする請求項1又は2に記載の検査装置。
【請求項4】
前記第2の検査手段で決定した検査内容に基づき実行した検査結果の情報である検査結果情報を保持し、
前記検査結果情報を所定の表示形式に変換して出力する検査結果生成手段をさらに有する
ことを特徴とする請求項1~3のいずれかに記載の検査装置。
前記検査結果情報を所定の表示形式に変換して出力する検査結果生成手段をさらに有する
ことを特徴とする請求項1~3のいずれかに記載の検査装置。
【請求項5】
前記第2の検査手段は、前記検査結果情報に保持された過去の検査結果の情報を加味して、検査内容を決定することを特徴とする請求項4に記載の検査装置。
【請求項6】
ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を検査する検査装置に搭載されるコンピュータを、
ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定する第1の検査手段と、
前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う第2の検査手段と
して機能させることを特徴とする検査プログラム。
ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定する第1の検査手段と、
前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う第2の検査手段と
して機能させることを特徴とする検査プログラム。
【請求項7】
ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を検査する検査装置に使用する検査方法であって、
第1の検査手段及び第2の検査手段を有し、
前記第1の検査手段は、ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定し、
前記第2の検査手段は、前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う
ことを特徴とする検査方法。
第1の検査手段及び第2の検査手段を有し、
前記第1の検査手段は、ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定し、
前記第2の検査手段は、前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う
ことを特徴とする検査方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、検査装置、検査プログラム、及び検査方法に関し、例えば、ネットワーク上の端末を遠隔で監視し、不正端末の検出や脆弱性検査を行う検査装置に適用し得る。
【背景技術】
【0002】
コンピュータのOS(Operating System)やアプリケーション(ソフトウェア)には、プログラムの不具合や設計上のミスが原因となって発生し得る情報セキュリティ上の欠陥である脆弱性問題が存在する。脆弱性が残された状態でコンピュータを利用し続けると、不正アクセスに利用されたり、ウイルスに感染したりする危険性がある。
【0003】
このように脆弱性は、ネットワーク(インターネット等)に接続しているコンピュータにおける情報セキュリティ上の大きな問題のひとつになっている。
【0004】
脆弱性を発見するソフトウェアとして、例えば、非特許文献1~3に開示されているような脆弱性検査ツールが存在する。脆弱性検査ツールを利用して脆弱性を発見、除去することでウイルス感染等のリスクを抑えることができる。脆弱性検査手段として、例えば以下のような検査が存在する。
【0005】
ポートスキャンは、ネットワークに接続されている検査対象端末に対し、ポートを指定したデータを送信し、応答を調べる。検査対象ポート分のデータパケットの送受信を行うことで、検査対象端末が使用しているサービスやOSを調査することができる。
【0006】
パスワードの脆弱性検査は、アプリケーションが保持する初期パスワード、文字数が少なかったり、漏洩しやすい一般名詞で構成されているといったパスワード文字列のデータベースをあらかじめ用意しておき、ネットワークに接続されている検査対象端末に対し、このデータベースの文字列を用いてログインを試み、ログインできれば脆弱性が存在すると判定することができる。
【先行技術文献】
【非特許文献】
【0007】
【非特許文献1】“Nmap Changelog”[2021年7月20日検索],[Online]、INTERNET、<URL: https://nmap.org/changelog.html>
【非特許文献2】“NESSUS”[2021年7月20日検索],[Online]、INTERNET、<URL: https://www.tenable.com/products/nessus>
【非特許文献3】“OWASP ZAP(Zed Attack Proxy)”[2021年7月20日検索],[Online]、INTERNET、<URL: https://owasp.org/www-project-zap/>
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、上述の脆弱性検査は、使用サービス、OSやパスワード等に関する脆弱性検知の精度を向上させるために、対象機器情報、ポート情報、パスワードを大量に保持して置くことで精度を向上させることはできるが、検査に時間がかかり、検査対象の端末の負荷がとても高くなるという問題があった。
【0009】
上記問題に対して、先にOSスキャンを行い、OSスキャンで判定したOSについての脆弱性検査を行うことで検査時間は短縮できるが、OSスキャンは正しい結果を返すとは限らない。
【0010】
また、標準ポート番号以外のポート番号に設定したり、推奨されていないポート番号を使用するアプリケーションをインストールした時に誤判定を起こしやすい。誤ったOSで脆弱性検査を行うことで精度が下がるという問題が発生する。
【0011】
そのため、負荷低減や早期検知をしつつ、不正端末や脆弱性検査を行うことができる検査装置、検査プログラム、及び検査方法が望まれている。
【課題を解決するための手段】
【0012】
第1の本発明は、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を検査する検査装置であって、(1)ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定する第1の検査手段と、(2)前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う第2の検査手段とを有することを特徴とする。
【0013】
第2の本発明の検査プログラムは、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を検査する検査装置に搭載されるコンピュータを、(1)ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定する第1の検査手段と、(2)前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行う第2の検査手段として機能させることを特徴とする。
【0014】
第3の本発明は、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を検査する検査装置に使用する検査方法であって、第1の検査手段及び第2の検査手段を有し、(1)前記第1の検査手段は、ネットワーク上に新規に接続する前記各検査対象機器を検知すると共に、前記各検査対象機器がネットワーク上で送受信するパケットに基づき、前記各検査対象機器の同定処理を行い、機器種別を判定し、(2)前記第2の検査手段は、前記第1の検査手段で行った検査結果の情報を用いて、当該検査装置及び前記検査対象機器間のデータの送受信により機器の脆弱性及び又は不正を検知する検査内容を決定して、決定した検査内容に基づき、前記検査対象機器の検査を行うことを特徴とする。
【発明の効果】
【0015】
本発明によれば、負荷低減や早期検知をしつつ、不正端末や脆弱性検査を行うことができる。
【図面の簡単な説明】
【0016】
【図1】実施形態に係るアクティブスキャン装置の内部構成を示すブロック図である。
【図2】実施形態に係る脆弱性検査システムの全体構成を示す全体構成図である。
【図3】実施形態に係る正規端末情報格納部の一例を示す説明図である。
【図4】実施形態に係る機器同定結果格納部の一例を示す説明図である。
【図5】実施形態に係る判定情報格納部の一例を示す説明図である。
【図6】実施形態に係る脆弱性検査結果格納部の一例を示す説明図である。
【図7】実施形態に係る脆弱性検査システム(主にアクティブスキャン装置)における脆弱性検査を示すフローチャートである。
【図8】実施形態に係る脆弱性検査部におけるOSスキャンの詳細な処理を示すフローチャートである。
【図9】実施形態に係る脆弱性検査部における脆弱性検査の詳細な処理を示すフローチャートである。
【図10】実施形態に係る脆弱性検査結果の一例を示す説明図である。
【発明を実施するための形態】
【0017】
(A)主たる実施形態
以下では、本発明に係る検査装置、検査プログラム、及び検査方法の一実施形態を、図面を参照しながら詳細に説明する。
以下では、本発明に係る検査装置、検査プログラム、及び検査方法の一実施形態を、図面を参照しながら詳細に説明する。
【0018】
【0019】
図2において、脆弱性検査システム100は、アクティブスキャン装置1と、機器同定装置2と、脆弱性結果出力装置3と、複数の検査対象端末4(4-1~4-n)とを有し、各装置(端末)はネットワークNを介して接続されている。
【0020】
図2の例では、アクティブスキャン装置1、第1の検査手段としての機器同定装置2、及び脆弱性結果出力装置3の3つの装置で成脆弱性検査装置が構成されるが、1又は2の装置で各装置の機能を実装しても良い。
【0021】
ネットワークNは、各装置が接続可能な通信ネットワークであれば良く、その種類は限定されるものではない。また、各装置間に介在するネットワークが複数種類あり、ネットワークNが複数種類のネットワーク(イーサーネット、インターネット等)で構成されていても良い。
【0022】
アクティブスキャン装置1は、検査対象の端末である検査対象端末4内に脆弱性を含んでいるか否かを検査する機能を保持する。
【0023】
機器同定装置2は、検査対象端末4が送受信するパケットをネットワークN上で監視し、パケットの送受信の振る舞いから機器種別を判定する機能(機器種別を判定する方法及びアルゴリズムは種々様々な方法及びアルゴリズムを適用できる)を保持する。そして、機器同定装置2は、脆弱性判定対象と判断した検査対象端末4であればアクティブスキャン装置1に通知する機能を保持する。機器同定は静的な判定であるので検査対象端末4に負荷をかけることはない。機器同定装置2は、例えばゲートウェイ等のネットワークN内の検査対象端末4の接続を管理できる装置内の機能とするようにしても良い。
【0024】
脆弱性結果出力装置3は、脆弱性検査の結果を出力表示する機能を保持する。例えば、脆弱性結果出力装置3は、装置内にWEBブラウザを所持し、当該ブラウザを用いてアクティブスキャン装置1から送信された情報(脆弱性検査の結果)を画面表示したり、表示された画面に対して情報を入力することでアクティブスキャン装置1に入力情報を送信することができる。
【0025】
検査対象端末4は、IP(Internet Protocol)アドレスやMAC(Media Access Control)アドレスが付与されネットワークNに接続可能な通信端末である。例えば、検査対象端末4は、PC(Personal Computer)、タブレット、スマートフォン等の通信機能が存在する情報処理端末である。この実施形態では、検査対象端末4は、「PC」であることを前提とする。
【0026】
(A-1-2)アクティブスキャン装置1の詳細構成
図1は、実施形態に係るアクティブスキャン装置の内部構成を示すブロック図である。図1において、アクティブスキャン装置1は、データ受信部11と、第2の検査手段としての脆弱性検査部12と、スキャンデータ生成部13と、検査結果生成部14と、制御部15と、正規端末情報格納部16と、機器同定結果格納部17と、判定情報格納部18と、脆弱性検査結果格納部19とを有する。
図1は、実施形態に係るアクティブスキャン装置の内部構成を示すブロック図である。図1において、アクティブスキャン装置1は、データ受信部11と、第2の検査手段としての脆弱性検査部12と、スキャンデータ生成部13と、検査結果生成部14と、制御部15と、正規端末情報格納部16と、機器同定結果格納部17と、判定情報格納部18と、脆弱性検査結果格納部19とを有する。
【0027】
アクティブスキャン装置1は、すべてハードウェア的に構成(例えば、専用の半導体チップを用いて構成)するようにしても良いし、一部または全部についてソフトウェア的に構成するようにしても良い。
【0028】
データ受信部11は、機器同定装置2が送信した検査対象端末4の機器同定結果(機器同定結果データ)を受信する機能を保持する。また、データ受信部11は、検査対象端末4に対して行ったアクティブスキャン結果を受信する機能を保持する。
【0029】
脆弱性検査部12は、検査対象の検査対象端末4に対しアクティブスキャンを行うための脆弱性検査内容を決定する機能を保持する。検査内容は、機器同定装置2から受信した新規接続データと、正規端末情報格納部16、判定情報格納部18、脆弱性検査結果格納部19内の情報を用いて内容を決定する。脆弱性検査部12は、アクティブスキャンとして、例えば、ポートスキャン、パスワードスキャン等を使用する。
【0030】
スキャンデータ生成部13は、脆弱性検査部12が決定した脆弱性検査内容について、判定情報格納部18内のデータを用いてスキャンデータを生成し、検査対象端末4に対し送信する機能を保持する。
【0031】
検査結果生成部14は、脆弱性検査結果から脆弱性結果出力装置3で表示できる形式の結果を生成し、脆弱性結果出力装置3に送信する機能を保持する。
【0032】
制御部15は、脆弱性検査開始タイミングを決め、脆弱性検査開始タイミングになれば脆弱性検査部12に、検査実行要求を出す機能を保持する。検査対象端末4のCPU利用率や負荷を取得し、負荷がかかっている場合は脆弱性開始タイミングを遅らせるようにしても良い。
【0033】
正規端末情報格納部16は、ネットワーク接続を許可された端末(検査対象端末4)についての情報を保存するものである。
【0034】
図3は、実施形態に係る正規端末情報格納部の一例を示す説明図である。図3に示すように、正規端末情報格納部16は、ネットワーク接続を許可された端末(検査対象端末4)を識別する「ID(Identification)」と、各検査対象端末4のIPアドレスを示す「IPアドレス」と、各機器のMACアドレスを示す「MACアドレス」と、各機器の種別(OS等)を示す「機器種別」の項目を有する。なお、図3は一例であって、正規端末情報格納部16の構成は、種々様々な構成を適用することができる。
【0035】
上記機器種別は、後述するように脆弱性検査内容を決定するために利用され、あらかじめ検査対象機器毎に登録しても良いし、脆弱性結果後に登録されるようにしても良い。
【0036】
機器同定結果格納部17は、機器同定装置2の判定結果を保存するものである。
【0037】
図4は、実施形態に係る機器同定結果格納部の一例を示す説明図である。図4に示すように、機器同定結果格納部17は、機器同定結果を識別する「ID」と、各検査対象端末4のIPアドレスを示す「IPアドレス」と、各機器の種別(OS等)を示す「機器種別」と、判定した時刻を示す「タイムスタンプ」の項目を有する。なお、図4は一例であって、機器同定結果格納部17の構成は、種々様々な構成を適用することができる。また、ここでの「機器種別」は、機器同定装置2が判定した機器種別である。
【0038】
アクティブスキャン装置1は、機器同定装置2が、検査対象端末4に対し機器同定を行い、機器同定結果を受信すると、機器同定結果格納部17に新たにIDを割り当て追加保存する。なお、機器同定結果は追加保存ではなく、上書き保存するようにしても良い。また、判定できなかった場合には機器同定結果格納部17に保存しないようにしても良い。
【0039】
判定情報格納部18は、脆弱性検査に関する判定方法を保存(記述)するものである。例えば、パスワードスキャンならばパスワードリスト、ポートスキャンならば検査対象ポート等を判定情報格納部18に記述する。
【0040】
図5は、実施形態に係る判定情報格納部の一例を示す説明図である。図5において、判定情報格納部18は、検査内容を識別するための「検査ID」と、各機器の種別(OS等)を示す「機器種別」と、所定の検査種別(パスワードスキャン、ポートスキャン)を示す「検査種別」と、所定の検査を実行するためのコマンドである「検査コマンド」と、所定の検査に必要なデータ、パラメータ等が定義されたファイル名を示す「検査ファイル名」と、所定の検査方法に基づく正規な検査結果が記述されたファイルを示す「正規結果出力ファイル」の項目を有する。なお、図5は一例であって、判定情報格納部18の構成は、種々様々な構成を適用することができる。
【0041】
判定情報格納部18には、図5に示すように、検査内容ごとに、対象機器種別、検査種別、検査コマンド、検査ファイル名、正規結果出力ファイルを記述する。機器毎に使用される初期パスワードやポート番号が異なるといった場合には、それぞれについて記述しておくことで脆弱性検査の精度が向上する。
【0042】
判定情報格納部18の使用方法について、例えば、脆弱性検査部12によって検査対象の機器(機器種別)が指定されると該当する検査IDが全て返される(通知される)。一方、検査IDを指定すると、検査種別から何を検査するかを知ることができ、検査コマンド、検査ファイル名から検査の実行形式を取得することができる。また、脆弱性検査部12は、検査結果と上述の正規結果出力ファイルとを比較し、脆弱性判断の参考にできる。
【0043】
図5に示す検査ID1(機器種別がUnknown)と検査ID6(機器種別がUnknown)は全端末共通の検査内容である。また、検査ID5や検査ID8はスマートタップ向け検査内容である。検査ID2のようにPC共通にしたり、ID4のようにPCのバージョンにより検査内容を変更しても良い。
【0044】
図5のように判定情報格納部18を構成することにより、機器種別毎に使用ポート番号が異なった検査を行ったり、PC向けはスマートタップより詳細な検査を行う、といった臨機応変に対応することができる。検査ファイルは、ポートスキャンを実施するならばスキャン対象ポート番号、パスワードスキャンならばパスワードリストを記述したファイルをあらかじめ作成しておき検査ファイル名として指定する。
【0045】
脆弱性検査結果格納部19は、脆弱性検査の結果を保存(記述)するものである。図6は、実施形態に係る脆弱性検査結果格納部の一例を示す説明図である。図6に示すように、脆弱性検査結果格納部19は、実行した検査を識別する「検査ID」と、検査対象端末4を特定するための識別子(IPアドレス又はMACアドレス)を示す「端末ID」と、検査した時刻を示す「検査時刻」と、検査した検査対象端末4のOSの種別を示す「OS」と、許可たOSか否かを示す「許可OS」と、パスワードスキャン結果を示す「パスワード」と、正規の端末であるか否かを示す「正規端末」と、脆弱性検査のスコアを示す「スコア」の項目を有する。なお、上述の許可OS、パスワードスキャン結果、及び正規端末の項目には、例えば、脆弱性検査のログファイル等を参照して記述すれば良い。
【0046】
脆弱性検査結果格納部19は、以上の項目について、脆弱性判定毎に記述する。同一端末IDに対し新規脆弱性検査をしたならば、以前の脆弱性結果に対し上書きる又は新検査IDを割り当て追加保存する。追加保存する場合には、機器同定結果と同様に、同一端末の複数の結果を用い、結果を判定する。
【0047】
(A-2)実施形態の動作
次に、実施形態に係る脆弱性検査システム100における特徴動作を、図面を参照しながら詳細に説明する。
次に、実施形態に係る脆弱性検査システム100における特徴動作を、図面を参照しながら詳細に説明する。
【0048】
図7は、実施形態に係る脆弱性検査システム(主にアクティブスキャン装置1)における脆弱性検査を示すフローチャートである。
【0049】
<S101>
機器同定装置2ではネットワークNを流れる検査対象端末4のパケットを監視し、判定が実施されれば、機器判定情報(機器判定結果)をアクティブスキャン装置1に送信する。アクティブスキャン装置1は、データ受信部11を介して取得した機器判定結果を機器同定結果格納部17に保存する。
機器同定装置2ではネットワークNを流れる検査対象端末4のパケットを監視し、判定が実施されれば、機器判定情報(機器判定結果)をアクティブスキャン装置1に送信する。アクティブスキャン装置1は、データ受信部11を介して取得した機器判定結果を機器同定結果格納部17に保存する。
【0050】
保存されたタイミングで以下の脆弱性検査が開始される。この他、アクティブスキャン装置1での機器同定情報の受信タイミングでは無く、アクティブスキャン装置1の制御部15が独自で前回検査からの経過時間を監視して不正端末検査の必要性の判断をしても良い。何れにしても脆弱性検査のタイミングは、特に限定されるものでは無い。
【0051】
<S102>
アクティブスキャン装置1(脆弱性検査部12)は、機器同定結果格納部17から機器同定結果のIPアドレスと機器種別を抽出する。
アクティブスキャン装置1(脆弱性検査部12)は、機器同定結果格納部17から機器同定結果のIPアドレスと機器種別を抽出する。
【0052】
脆弱性検査部12は、同一端末で複数回機器同定を行い、機器種別の内容が異なる場合には、最新の結果を優先する。また、脆弱性検査部12は、3回以上機器同定を行っていた場合には、最も回数が多い機器種別結果をその端末の結果として利用するようにしても良い。
【0053】
例えば、上述の図4(機器同定結果格納部17)では、IPアドレスが「2.2.2.2」の機器は、ID2、ID6、ID8の合計3回分データが保存されている。機器種別は、「PC OS ver1」が2回、「PC OS ver2」が1回であるので、機器種別は、「PC OS ver1」とみなして利用することになる。また、IPアドレスが「3.3.3.3」の機器のデータは、2回機器種別が異なっている。この場合には、機器種別は、最新(ID7のデータ)の「PC OS Ver3」とみなすことになる。
【0054】
<S103>
脆弱性検査部12は、正規端末情報格納部16から該当する端末の正規端末情報と、脆弱性検査結果格納部19から該当する端末の過去の脆弱性検査結果を抽出する。
脆弱性検査部12は、正規端末情報格納部16から該当する端末の正規端末情報と、脆弱性検査結果格納部19から該当する端末の過去の脆弱性検査結果を抽出する。
【0055】
<S104>
脆弱性検査部12は、機器同定結果、正規端末情報、及び過去の脆弱性検査結果から、脆弱性検査(又は不正端末検査)が必要であるか否かを判定する。脆弱性検査部12は、新規に検査対象端末4がネットワーク接続されたり、機器同定結果、正規端末情報の機器種別が異なる、又は過去の脆弱性検査結果で、脆弱性が存在するか若しくはスコアが低いときには検査を行うようにする。
脆弱性検査部12は、機器同定結果、正規端末情報、及び過去の脆弱性検査結果から、脆弱性検査(又は不正端末検査)が必要であるか否かを判定する。脆弱性検査部12は、新規に検査対象端末4がネットワーク接続されたり、機器同定結果、正規端末情報の機器種別が異なる、又は過去の脆弱性検査結果で、脆弱性が存在するか若しくはスコアが低いときには検査を行うようにする。
【0056】
上述の図3(正規端末情報格納部16)及び図4(機器同定結果格納部17)を例に挙げると、IPアドレスが「1.1.1.1」の機器種別は、正規端末情報格納部16では「PC gateway」、機器同定結果格納部17では、「PC OS ver1」と異なっているので脆弱性検査を行う。また、IPアドレスが「5.5.5.5」の機器種別は正規端末情報に登録されていないので(例えば、新規ネットワークに接続したため)脆弱性検査を行う。
【0057】
さらに、アクティブスキャン装置1独自で前回検査からの経過時間を監視して不正端末検査の必要性の判断をする場合には、強制的に検査が必要であると判定する。脆弱性検査部12は、検査が必要であれば後述するステップS105に移行し、一方、検査が必要ないと判定すれば後述するステップS107へ移行する。
【0058】
<S105>
脆弱性検査部12は、上述のステップS104の処理で検査が必要と判定された場合、機器同定装置2での機器同定結果(機器同定結果格納部17に格納した機器同定結果)を用いて、脆弱性検査のための機器を決定するためにOSスキャンを行う。
脆弱性検査部12は、上述のステップS104の処理で検査が必要と判定された場合、機器同定装置2での機器同定結果(機器同定結果格納部17に格納した機器同定結果)を用いて、脆弱性検査のための機器を決定するためにOSスキャンを行う。
【0059】
図8は、実施形態に係る脆弱性検査部におけるOSスキャンの詳細な処理を示すフローチャートである。
【0060】
<S105-1>
脆弱性検査部12は、該当アドレス(上述のステップS104の処理で検査が必要と判定された機器のIPアドレス)について、判定情報格納部18からOSスキャンに必要なパラメータ(検査ファイル等)を抽出する。
脆弱性検査部12は、該当アドレス(上述のステップS104の処理で検査が必要と判定された機器のIPアドレス)について、判定情報格納部18からOSスキャンに必要なパラメータ(検査ファイル等)を抽出する。
【0061】
例えば、図5の場合には、脆弱性検査部12は、OSスキャンでは検査種別が「port」、機器種別が「PC」である検査ID7の検査パラメータを抽出するものとする。
【0062】
<S105-2>
脆弱性検査部12は、該当アドレスの端末(検査対象端末4)に対しOSスキャンを行う。ポートスキャンを行い、使用ポート番号を調べ、使用ポートから使用OSを判定する。
脆弱性検査部12は、該当アドレスの端末(検査対象端末4)に対しOSスキャンを行う。ポートスキャンを行い、使用ポート番号を調べ、使用ポートから使用OSを判定する。
【0063】
<S105-3>
脆弱性検査部12は、OSスキャンの結果から、機器候補リストを出力する。
脆弱性検査部12は、OSスキャンの結果から、機器候補リストを出力する。
【0064】
例えば、脆弱性検査部12は、候補1~3まで出し、それぞれについて機器のスコアを計算する。IPアドレス「1.1.1.1」について、OSスキャンにより、(OS,スコア)の組が(PC gateway,90)、(PC OS ver2,89)、(PC OS ver1,88)というような3組得られたとする。
【0065】
<S105-4>
脆弱性検査部12は、所定スコア以上かつ、スコアが最も高いOSスキャン結果について、機器同定結果の機器候補のOSと合致しているかを調査する。
脆弱性検査部12は、所定スコア以上かつ、スコアが最も高いOSスキャン結果について、機器同定結果の機器候補のOSと合致しているかを調査する。
【0066】
脆弱性検査部12は、両者が合致していれば、合致したOSを機器種別とする。一方、脆弱性検査部12は、両者が合致していなければ、上述のS105-3に戻り、その次にスコアが高い結果について、機器同定結果での判定機器と合致するか否かを同様に調査する。
【0067】
例えば、スコアのしきい値80で、上述のステップS105-3で示した例の場合、1回目は「PC gateway」で、機器同定の結果は「PC OS ver1」と異なるのでS105-3に戻る。スコアが2番目に高い「PC OS ver2」も異なる。そして、3回目でスコアが3番目に高い「PC OS ver1」が選択され機器同定結果と同一となるため、脆弱性検査部12は、「PC OS ver 1」を機器種別と決定する。
【0068】
仮に、機器同定結果がバージョンまで判定せず「PC」のみしか判定しないならば、最もスコアが高い「PC OS ver 2」で次のステップS105-5へ進むことになる。
【0069】
<S105-5>
脆弱性検査部12は、OS判定結果を決定する。脆弱性検査部12は、所定スコア以上に候補5(候補数は5に限らず、種々様々)まで調べても一致しなければスコアが最も高い機器種別を選択する。また、機器種別は、機器同定結果を優先するようにしても良い。
脆弱性検査部12は、OS判定結果を決定する。脆弱性検査部12は、所定スコア以上に候補5(候補数は5に限らず、種々様々)まで調べても一致しなければスコアが最も高い機器種別を選択する。また、機器種別は、機器同定結果を優先するようにしても良い。
【0070】
<S105-6>
脆弱性検査部12は、脆弱性検査結果格納部19の該当端末の「OS」項目のデータを更新する。
脆弱性検査部12は、脆弱性検査結果格納部19の該当端末の「OS」項目のデータを更新する。
【0071】
<S106>
脆弱性検査部12は、判定された機器についての脆弱性検査を行う。脆弱性検査部12は、脆弱性検査後、正規端末情報格納部16、及び脆弱性検査結果格納部19の該当端末の内容を更新する。
脆弱性検査部12は、判定された機器についての脆弱性検査を行う。脆弱性検査部12は、脆弱性検査後、正規端末情報格納部16、及び脆弱性検査結果格納部19の該当端末の内容を更新する。
【0072】
なお、上述のステップS104で脆弱性検査を行うとしたが、ステップS105の結果で、該当する脆弱性検査がない時には実施しなくてもよいことになる。
【0073】
図9は、実施形態に係る脆弱性検査部における脆弱性検査の詳細な処理(S106の詳細な処理)を示すフローチャートである。
【0074】
<S106-1>
脆弱性検査部12は、該当アドレスについて、上述のステップS105で決定した機器種別で実施する脆弱性検査のパラメータを判定情報格納部18から取得する。
脆弱性検査部12は、該当アドレスについて、上述のステップS105で決定した機器種別で実施する脆弱性検査のパラメータを判定情報格納部18から取得する。
【0075】
例えば、IPアドレス「1.1.1.1」は、「PC OS ver 1」である検査ID4のパスワードスキャンと、「PC」である検査ID7のポートスキャンが選択される。
【0076】
上述のステップS105-3で示した例の場合、OSスキャンのみだと検査ID3のパスワードスキャンが選択されるが、機器同定結果を考慮することで検査ID4のパスワードスキャンが選択されることになる。
【0077】
<S106-2>
アクティブスキャン装置1(脆弱性検査部12)は、脆弱性検査を行う。アクティブスキャン装置1は、スキャンデータ生成部13から検査対象端末4に対しデータを送信し、検査対象端末4からの応答データをデータ受信部11経由で脆弱性検査部12に入力し、全てのスキャンデータの送受信後に脆弱性の判定を行う。
アクティブスキャン装置1(脆弱性検査部12)は、脆弱性検査を行う。アクティブスキャン装置1は、スキャンデータ生成部13から検査対象端末4に対しデータを送信し、検査対象端末4からの応答データをデータ受信部11経由で脆弱性検査部12に入力し、全てのスキャンデータの送受信後に脆弱性の判定を行う。
【0078】
<S106-3>
脆弱性検査部12は、対象機器で実施すべき脆弱性検査の内、まだ実施していない検査が存在するか否かを調べる。脆弱性検査部12は、実施していない検査があれば、ステップS106-1に戻り脆弱性検査を行う。一方、脆弱性検査部12は、実施すべき検査を全て行っていれば次のS106-4を実行する。
脆弱性検査部12は、対象機器で実施すべき脆弱性検査の内、まだ実施していない検査が存在するか否かを調べる。脆弱性検査部12は、実施していない検査があれば、ステップS106-1に戻り脆弱性検査を行う。一方、脆弱性検査部12は、実施すべき検査を全て行っていれば次のS106-4を実行する。
【0079】
<S106-4>
脆弱性検査部12は、判定結果を決定し正規端末情報格納部16、脆弱性検査結果格納部19の該当端末の内容を更新する。記述(更新)する行(データ)は、S105-6の同一行に対して行う。
脆弱性検査部12は、判定結果を決定し正規端末情報格納部16、脆弱性検査結果格納部19の該当端末の内容を更新する。記述(更新)する行(データ)は、S105-6の同一行に対して行う。
【0080】
脆弱性検査部12は、不正端末の判定では、許可されていない端末、ポートスキャンにより、許可されていないOSや、許可されていないソフトウェアが使用するポートが開いていることを検出したり、パスワードスキャン等により、許可されていないユーザといったことが発見されれば不正端末とみなす。また、脆弱性検査の結果が既にネットワーク内に存在している他の端末の結果とは異なっていることにより不正端末とみなしても良い。
【0081】
例えば、OSがWindows(登録商標)やLinux(登録商標)の端末の接続しか許可されていない拠点において、OSスキャンの結果が既存の端末のスキャン結果と類似していないことでもって不正端末とみなしても良い。また、例えば、既存ツールを使ったOSスキャンの結果、厳密なOSのバージョン情報までは取得できない場合に、スキャン結果の文字列から、既にネットワーク内に存在している他の端末のOSとは明らかに異なると推定される端末を不正端末とみなしても良い。不正の度合いにより異常スコアを決定する。
【0082】
IPアドレス「1.1.1.1」はOSスキャンで「PC gateway」と判定したが、機器同定結果を考慮し「PC OS Ver 1」の検査を行うことで脆弱性検査時間を短縮し、かつ脆弱性検査の精度を向上させることができるようになる。
【0083】
<S107>
検査結果生成部14は、脆弱性結果出力装置3向けの検査結果を生成し、脆弱性結果出力装置3に対し生成した検査結果を送信する。
検査結果生成部14は、脆弱性結果出力装置3向けの検査結果を生成し、脆弱性結果出力装置3に対し生成した検査結果を送信する。
【0084】
<S108>
脆弱性結果出力装置3は、受信した脆弱性検査の結果を表示する。
脆弱性結果出力装置3は、受信した脆弱性検査の結果を表示する。
【0085】
図10は実施形態に係る脆弱性検査結果の一例を示す説明図である。
【0086】
図10において、脆弱性検査結果表示画面200は、脆弱性検査結果の概要メッセージを表示する表示欄210と、脆弱性検査結果の各項目を表示する表示欄220と、各項目の詳細結果を表示する詳細ボタン230(230-1~230-3)と、直ちに脆弱性検査を再度実行する再検査ボタン240と、正規端末情報格納部16のIPアドレスと機器種別を更新する正規情報更新ボタン250とを備える。なお、図10は一例であって、表示する内容及びレイアウト等はこれに限定されるものでは無い。
【0087】
図10の表示欄210では、登録された正規の端末でなく(正規のOSを使用せず)、かつパスワードスキャンで脆弱性があった場合を示している。表示欄220では、機器(OS)が正規の「PC gateway」では無く、「PC OS Ver 1」であり、パスワード検査が「NG」と表示されている。
【0088】
(A-3)実施形態の効果
本実施形態によれば、以下の効果を奏する。
本実施形態によれば、以下の効果を奏する。
【0089】
アクティブスキャン装置1は、機器同定結果を用い、アクティブスキャン方法や、検査の結果を補正するようにした。これにより、OSスキャンでのOS判定や、機器種別により初期パスワードが違っているような場合のパスワードスキャンの対応を行いやすくなる。その結果、端末の負荷低減や早期検知させつつ、精度を向上させることができるという効果が得られる。
【0090】
また、正常な機器の情報を参照し脆弱性検査の結果を補正することで、脆弱性検査の精度をさらに向上させることができるという効果が得られる。
【0091】
(B)他の実施形態
上述した実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
上述した実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
【0092】
(B-1)機器情報、判定情報や脆弱性検査情報で取り扱うデータ種別は、上述した実施形態以外の内容を含んでも良い。また、上述した各情報は、一部省略しても良い。
【0093】
(B-2)上述した実施形態では、機器同定の判定結果をアクティブスキャン装置1に入力するようにしたが、脆弱性検査結果を機器同定装置2に入力する場合に本発明を適用しても良い。
【符号の説明】
【0094】
1…アクティブスキャン装置、2…機器同定装置、3…脆弱性結果出力装置、4…検査対象端末、5…候補、11…データ受信部、12…脆弱性検査部、13…スキャンデータ生成部、14…検査結果生成部、15…制御部、16…正規端末情報格納部、17…機器同定結果格納部、18…判定情報格納部、19…脆弱性検査結果格納部、100…脆弱性検査システム、200…脆弱性検査結果表示画面、210、220…表示欄、230…詳細ボタン、240…再検査ボタン、250…正規情報更新ボタン。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】