(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024110831
(43)【公開日】2024-08-16
(54)【発明の名称】管理装置、管理システム、及び管理方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20240808BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2023015670
(22)【出願日】2023-02-03
(71)【出願人】
【識別番号】000006507
【氏名又は名称】横河電機株式会社
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(74)【代理人】
【識別番号】230118913
【弁護士】
【氏名又は名称】杉村 光嗣
(74)【代理人】
【識別番号】100169823
【弁理士】
【氏名又は名称】吉澤 雄郎
(74)【代理人】
【識別番号】100195534
【弁理士】
【氏名又は名称】内海 一成
(72)【発明者】
【氏名】辻 宏隆
(57)【要約】
【課題】脆弱性の対策時期を適切に管理できる管理装置、管理システム、及び管理方法を提供する。
【解決手段】管理装置10は、製品の脆弱性を評価する評価部12を備える。評価部12は、製品の脆弱性が認知されたときからの経過時間に基づいて、製品の脆弱性に関するレピュテーションリスクを評価し、レピュテーションリスクの評価結果がアラート条件を満たした場合にアラートを出力する。
【選択図】図2
【解決手段】管理装置10は、製品の脆弱性を評価する評価部12を備える。評価部12は、製品の脆弱性が認知されたときからの経過時間に基づいて、製品の脆弱性に関するレピュテーションリスクを評価し、レピュテーションリスクの評価結果がアラート条件を満たした場合にアラートを出力する。
【選択図】図2
【特許請求の範囲】
【請求項1】
製品の脆弱性を評価する評価部を備え、
前記評価部は、
前記製品の脆弱性が認知されたときからの経過時間に基づいて、前記製品の脆弱性に関するレピュテーションリスクを評価し、
前記レピュテーションリスクの評価結果がアラート条件を満たした場合にアラートを出力する、管理装置。
前記評価部は、
前記製品の脆弱性が認知されたときからの経過時間に基づいて、前記製品の脆弱性に関するレピュテーションリスクを評価し、
前記レピュテーションリスクの評価結果がアラート条件を満たした場合にアラートを出力する、管理装置。
【請求項2】
前記評価部は、
前記レピュテーションリスクの評価結果として、前記レピュテーションリスクを定量化したレピュテーションリスク値を算出し、
前記レピュテーションリスク値がアラート基準より大きい場合にアラートを出力する、
請求項1に記載の管理装置。
前記レピュテーションリスクの評価結果として、前記レピュテーションリスクを定量化したレピュテーションリスク値を算出し、
前記レピュテーションリスク値がアラート基準より大きい場合にアラートを出力する、
請求項1に記載の管理装置。
【請求項3】
前記評価部は、
前記製品の複数の脆弱性のそれぞれに関してレピュテーションリスク値を算出し、
前記製品の複数の脆弱性のそれぞれに関するレピュテーションリスク値の総和がアラート基準より大きい場合にアラートを出力する、
請求項2に記載の管理装置。
前記製品の複数の脆弱性のそれぞれに関してレピュテーションリスク値を算出し、
前記製品の複数の脆弱性のそれぞれに関するレピュテーションリスク値の総和がアラート基準より大きい場合にアラートを出力する、
請求項2に記載の管理装置。
【請求項4】
前記評価部は、前記製品の脆弱性のセキュリティリスクの評価結果に基づいて前記アラート基準を設定する、請求項2又は3に記載の管理装置。
【請求項5】
前記評価部は、前記製品の脆弱性のセキュリティリスクの評価結果と、前記レピュテーションリスクの評価結果とに基づいてアラートを出力するか決定する、請求項1から3までのいずれか一項に記載の管理装置。
【請求項6】
請求項1から3までのいずれか一項に記載の管理装置と、製品の脆弱性に関する情報を格納するデータベースとを備える、管理システム。
【請求項7】
製品の脆弱性を評価する管理装置が実行する管理方法であって、
前記製品の脆弱性が認知されたときからの経過時間に基づいて、前記製品の脆弱性に関するレピュテーションリスクを評価することと、
前記レピュテーションリスクの評価結果がアラート条件を満たした場合にアラートを出力することと
を含む管理方法。
前記製品の脆弱性が認知されたときからの経過時間に基づいて、前記製品の脆弱性に関するレピュテーションリスクを評価することと、
前記レピュテーションリスクの評価結果がアラート条件を満たした場合にアラートを出力することと
を含む管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、脆弱性対応における製品プロバイダのレピュテーションリスクを管理する、管理装置、管理システム、及び管理方法に関する。
【背景技術】
【0002】
従来、コンピュータを応用した製品に複数のセキュリティーホールがある場合にセキュリティーホール毎の脅威レベルを評価するシステムが知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2020-52686号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
脆弱性の対策のために必要なリソースを考慮して、セキュリティリスクが低い脆弱性の対策が先送りされることがある。一方で、脆弱性のセキュリティリスクの高さにかかわらず、製品の脆弱性に関する情報開示に時間がかかった場合に、製品を使用するユーザからの製品プロバイダに対する評判が低下することがある。
【0005】
本開示は、上述の点に鑑みてなされたものであり、脆弱性対策の時期を適切に管理できる管理装置、管理システム、及び管理方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
(1)幾つかの実施形態に係る管理装置は、製品の脆弱性を評価する評価部を備える。前記評価部は、前記製品の脆弱性が認知されたときからの経過時間に基づいて、前記製品の脆弱性に関するレピュテーションリスクを評価する。前記評価部は、前記レピュテーションリスクの評価結果がアラート条件を満たした場合にアラートを出力する。
【0007】
(2)上記(1)に記載の管理装置において、前記評価部は、前記レピュテーションリスクの評価結果として、前記レピュテーションリスクを定量化したレピュテーションリスク値を算出してよい。前記評価部は、前記レピュテーションリスク値がアラート基準より大きい場合にアラートを出力してよい。
【0008】
(3)上記(2)に記載の管理装置において、前記評価部は、前記製品の複数の脆弱性のそれぞれに関してレピュテーションリスク値を算出してよい。前記評価部は、前記製品の複数の脆弱性のそれぞれに関するレピュテーションリスク値の総和がアラート基準より大きい場合にアラートを出力してよい。
【0009】
脆弱性のセキュリティリスクの高さにかかわらず、脆弱性対策を長期間実施せずに放置すること自体が、脆弱性対策の軽視又は脆弱性情報の隠蔽等の悪評を引き起こすことがある。レピュテーションリスクは、脆弱性そのもののリスクではなく、脆弱性が存在する製品を提供する製品プロバイダ等の企業のリスクである。アラート基準は、レピュテーションリスクが製品プロバイダにとって許容できるレベルに対応する。脆弱性に関するレピュテーションリスクの評価結果に基づいて、レピュテーションリスクが製品プロバイダにとって許容できるレベルを超えたときにアラートが出力されることによって、製品関係者は、アラートを適切な時期に認識でき、脆弱性対策の遅れに起因する悪評が立たないように脆弱性対策の時期を適切に管理できる。言い換えれば、レピュテーションリスクが製品プロバイダにとって許容できないレベルになったときにアラートが出力されて脆弱性対応が実行されることによって、脆弱性対応に関わるレピュテーションリスクが適切に管理される。
【0010】
(4)上記(2)又は(3)に記載の管理装置において、前記評価部は、前記製品の脆弱性のセキュリティリスクの評価結果に基づいて前記アラート基準を設定してよい。
【0011】
製品の脆弱性のセキュリティリスクの高さに応じて脆弱性に関するレピュテーションリスクと比較するアラート基準を、製品プロバイダ等の企業が許容できないレベルにまで低く設定することによって、ユーザのシステムのサイバーセキュリティが危険な状態になる前の適切な時期にアラートが出力される。適切な時期にアラートが出力されることによって、製品プロバイダは、レピュテーションリスクを適切な時期に認識でき、脆弱性対策の時期を適切に管理できる。
【0012】
(5)上記(1)から(4)までのいずれか1つに記載の管理装置において、前記評価部は、前記製品の脆弱性のセキュリティリスクの評価結果と、前記レピュテーションリスクの評価結果とに基づいてアラートを出力するか決定してよい。
【0013】
製品の脆弱性に起因する2つの異なるリスク(セキュリティリスク及びレピュテーションリスク)が同時に管理されることによって、製品プロバイダは、脆弱性対策を実施する順番、又は、脆弱性対策に投入するリソースを適切に計画できる。脆弱性対策の適切な計画によって、計画的なリスク軽減対策が可能となる。つまり、製品プロバイダは脆弱性対策を適切に管理できる。
【0014】
(6)幾つかの実施形態に係る管理システムは、上記(1)から(5)までのいずれか1つに記載の管理装置と、製品の複数の脆弱性に関する情報を格納するデータベースとを備える。
【0015】
(7)幾つかの実施形態に係る管理方法は、製品の脆弱性を評価する管理装置が、前記製品の脆弱性が認知されたときからの経過時間に基づいて、前記製品の脆弱性に関するレピュテーションリスクを評価することと、前記レピュテーションリスクの評価結果がアラート条件を満たした場合にアラートを出力することとを含む。
【発明の効果】
【0016】
本開示に係る管理装置、管理システム、及び管理方法によれば、脆弱性対策の時期が適切に管理される。
【図面の簡単な説明】
【0017】
【図1】本開示の一実施形態に係る管理システムの構成例を示すブロック図である。
【図2】本開示の一実施形態に係る管理方法の手順例を示すフローチャートである。
【図3】製品の脆弱性が認知されたときからの経過時間とレピュテーションリスクとの関係を表す図である。ンリスクとの関係を表す図である。
【図4】複数の脆弱性のそれぞれに関するレピュテーションリスク値の総和に基づいてアラートを出力する手順例を示すフローチャートである。
【図5】複数の脆弱性のそれぞれに関するレピュテーションリスク値の総和とアラート基準との関係を説明する図である。
【図6】脆弱性に関するレピュテーションリスクのレベルとセキュリティリスクのレベルとを両方とも考慮したアラート基準を説明する図である。
【発明を実施するための形態】
【0018】
製品プロバイダにおいて、製品の脆弱性に対応するために、脆弱性毎に、脆弱性の影響を受ける製品若しくは脆弱性の重大度の把握、又は、脆弱性の対策を作成して情報を開示するまでの進捗の管理が実行される。
【0019】
脆弱性は、リスクの高さに基づいて複数のレベル(重大度)に分類されることがある。重大度が高のレベルの脆弱性への対応はすぐに実施される。重大度が中又は低のレベルの脆弱性への対応は製品のバージョンアップに合わせて実施される。したがって、重大度が中又は低のレベルの脆弱性への対応時期は、製品開発のスケジュールに応じて決定される。そうすると、重大度が中又は低のレベルの脆弱性への対応が完了するまでに、例えば数年等の長い期間がかかることがある。脆弱性の情報は、対応が完了した後にさらに数週間程度を経て開示される。結果として脆弱性の情報が開示されるまでに数年等の長い期間がかかることがある。
【0020】
ここで、脆弱性の重大度が中又は低のレベルであったとしても、その脆弱性に関する情報が開示されるまでに長い期間がかかることによって、製品を利用するユーザのシステムにおけるサイバーセキュリティリスクが増大する。また、製品を利用するユーザから、製品プロバイダが脆弱性に関する情報を隠蔽していたと疑われることがある。製品プロバイダに対するユーザの疑いは、製品プロバイダに対する評判の低下、又は、悪評につながる。つまり、脆弱性に関する情報が開示されるまでに長い期間がかかることによって、脆弱性に関する製品プロバイダのレピュテーションリスクが増大する。レピュテーションリスクは、脆弱性そのもののリスクではなく、脆弱性が存在する製品を提供する製品プロバイダ等の企業のリスクである。
【0021】
脆弱性に関する情報を開示するまでに時間がかかることによってレピュテーションリスクが増大する原因として、製品の開発リソースの問題、又は、脆弱性に関するレピュテーションリスクが製品関係者に提示されていないことが考えられる。レピュテーションリスクが提示されなければ、製品関係者は、脆弱性に関するレピュテーションリスクを認識できない。
【0022】
製品関係者は、脆弱性に関するレピュテーションリスクを認識することによって、脆弱性対応の時期又は脆弱性対応のために投入するリソースを適切に判断し、レピュテーションリスクの増大を避けることができる。したがって、脆弱性に関する製品プロバイダのレピュテーションリスクの増大を避けるために、製品の脆弱性に関するレピュテーションリスクを適切に評価することが求められる。
【0023】
そこで、本開示は、製品の脆弱性に関するレピュテーションリスクを適切に評価できる管理装置、管理システム、及び管理方法について説明する。
【0024】
(管理システム1の構成例)
図1に示されるように、本開示の一実施形態に係る管理システム1は、管理装置10と、データベース20とを備える。
図1に示されるように、本開示の一実施形態に係る管理システム1は、管理装置10と、データベース20とを備える。
【0025】
<管理装置10>
管理装置10は、評価部12と、入力部14と、出力部16とを備える。
管理装置10は、評価部12と、入力部14と、出力部16とを備える。
【0026】
評価部12は、製品の脆弱性に関する情報を取得し、製品の脆弱性に関するレピュテーションリスクを評価し、脆弱性の対応を促すアラートを出力するかを決定する。評価部12は、例えばCPU(Central Processing Unit)等のプロセッサを含んで構成されてよい。評価部12は、プロセッサに所定のプログラムを実行させることによって所定の機能を実現してよい。
【0027】
評価部12は、記憶部を備えてよい。記憶部は、評価部12の動作に用いられる各種情報、又は、評価部12の機能を実現するためのプログラム等を格納してよい。記憶部は、評価部12のワークメモリとして機能してよい。記憶部は、例えば半導体メモリ等で構成されてよい。記憶部は、揮発性メモリ又は不揮発性メモリを含んで構成されてよい。記憶部は、HDD(Hard Disk Drive)等の電磁記憶媒体を含んで構成されてよい。記憶部は、非一時的なコンピュータ読み取り可能な記憶媒体として構成されてもよい。記憶部は、評価部12と一体に構成されてよいし、別体として構成されてよい。
【0028】
入力部14は、データベース20と有線又は無線で通信するように構成され、データベース20から製品の脆弱性に関する情報又は製品の脆弱性に関するレピュテーションリスクを評価するためのデータを取得する。
【0029】
出力部16は、評価部12が脆弱性の対応を促すアラートを出力すると決定した場合に、アラートを出力する。出力部16は、評価部12が脆弱性に関するレピュテーションリスクを評価した結果を出力してもよい。出力部16は、アラート又は脆弱性に関するレピュテーションリスクの評価結果を表示する表示デバイスを含んで構成されてよい。表示デバイスは、例えば液晶ディスプレイ等の種々のディスプレイを含んでよい。出力部16は、アラート又は脆弱性に関するレピュテーションリスクの評価結果を音声情報として出力する、スピーカ等の音声出力デバイスを含んで構成されてよい。出力部16は、これらに限られず、アラート又は脆弱性に関するレピュテーションリスクの評価結果を出力するための他の種々の出力デバイスを含んで構成されてよい。
【0030】
管理装置10は、PC(Personal Computer)として構成されてよいし、少なくとも1台のサーバ装置として構成されてよい。管理装置10は、クラウドコンピューティングのシステムで実現されてもよい。
【0031】
<データベース20>
データベース20は、脆弱性マスタ21のブロックと、脆弱性管理22のブロックと、ソフト管理マスタ23のブロックと、製品管理マスタ24のブロックとを備える。データベース20は、例えば半導体メモリ等で構成されてよい。データベース20は、揮発性メモリ又は不揮発性メモリを含んで構成されてよい。データベース20は、HDD等の電磁記憶媒体を含んで構成されてよい。データベース20は、複数のブロックがそれぞれ異なる記憶媒体に対応するように構成されてよい。データベース20は、複数のブロックが1台の記憶媒体に対応するように構成されてよい。データベース20は、各ブロックにおける情報又はデータの読み書きを制御するコントローラを備えてよい。データベース20の各ブロックがコントローラを備えてもよい。
データベース20は、脆弱性マスタ21のブロックと、脆弱性管理22のブロックと、ソフト管理マスタ23のブロックと、製品管理マスタ24のブロックとを備える。データベース20は、例えば半導体メモリ等で構成されてよい。データベース20は、揮発性メモリ又は不揮発性メモリを含んで構成されてよい。データベース20は、HDD等の電磁記憶媒体を含んで構成されてよい。データベース20は、複数のブロックがそれぞれ異なる記憶媒体に対応するように構成されてよい。データベース20は、複数のブロックが1台の記憶媒体に対応するように構成されてよい。データベース20は、各ブロックにおける情報又はデータの読み書きを制御するコントローラを備えてよい。データベース20の各ブロックがコントローラを備えてもよい。
【0032】
データベース20は、脆弱性のリスク評価の対象とする製品の情報(製品を構成するソフトウェア及びソフトウェアのバージョン等)をソフト管理マスタ23のブロックに格納する。データベース20は、情報提供元80から製品の脆弱性に関する情報を取得し、ソフト管理マスタ23からその製品の情報を取得し、製品の脆弱性に関する情報とその製品の情報とを関連づけた情報を脆弱性マスタ21に格納する。データベース20は、ソフト管理マスタ23から製品の情報を取得し、その製品が属するグループの情報に製品の情報を関連づけた情報を製品管理マスタ24のブロックに格納する。
【0033】
データベース20は、脆弱性マスタ21から製品の脆弱性に関する情報とその製品の情報とを関連づけた情報を取得し、製品管理マスタ24から製品の情報をその製品が属するグループの情報に関連づけた情報を取得し、取得した情報を関連づけた情報を脆弱性管理22のブロックに格納する。つまり、データベース20は、製品の情報とその製品が属するグループの情報とその製品の脆弱性に関する情報とを関連づけた情報を脆弱性管理22のブロックに格納する。
【0034】
データベース20は、脆弱性マスタ21及び脆弱性管理22に格納する脆弱性に関する情報に対して識別番号等の識別子を付与し、識別子によって評価対象とする脆弱性を連携してよい。データベース20は、製品管理マスタ24及び脆弱性管理22に格納する脆弱性に関する情報に関連づけられている製品の情報によって評価対象とする製品のグループを連携してよい。
【0035】
データベース20に対して製品の脆弱性に関する情報を提供する情報提供元80は、製品の脆弱性に関する情報を公開したり提供したりする、JVN(Japan Vulnerability Notes)等のウェブサイトであってよい。情報提供元80は、製品を使用しているユーザ又は製品を調査するリサーチャ等の人間であってもよいし、ユーザ又はリサーチャ等から脆弱性に関する情報を入手した、製品プロバイダで製品の脆弱性に対応するPSIRT(Product Security Incident Response Team)のメンバー等の人間であってもよい。情報提供元80が人間である場合、データベース20は、情報提供元80の人間からの情報の入力を受け付けるように構成されてよい。
【0036】
データベース20は、PSIRTから脆弱性をハンドリングするための情報の入力を受け付けてよい。データベース20は、脆弱性管理22に格納する情報に脆弱性をハンドリングするための情報を関連づけてよい。データベース20は、製品側脆弱性連絡窓口若しくは製品連絡窓口等のメンバー製品担当者等の人間からの脆弱性の重大度評価、又は、製品該非調査結果の入力を受け付けてよい。データベース20は、脆弱性管理22に格納する情報に、脆弱性の重大度評価、又は、製品該非調査結果を関連づけてよい。
【0037】
データベース20は、少なくとも1台のサーバ装置として構成されてよいし、クラウドコンピューティングのシステムで実現されてもよい。
【0038】
(管理システム1の動作例)
管理システム1において、データベース20は、製品の脆弱性に関する情報を格納する。脆弱性に関する情報は、脆弱性情報とも称される。管理装置10の評価部12は、製品の脆弱性の対策を実行する製品担当者等の人間に対して脆弱性情報を通知して脆弱性の調査又は対応を依頼する。製品担当者等の人間は、脆弱性の重大度又は脆弱性の対策の進捗等をデータベース20に入力する。データベース20は、製品担当者等の人間が入力した情報を脆弱性情報に関連づける。評価部12は、脆弱性の対策を完了するまでデータベース20の脆弱性情報を管理する。
管理システム1において、データベース20は、製品の脆弱性に関する情報を格納する。脆弱性に関する情報は、脆弱性情報とも称される。管理装置10の評価部12は、製品の脆弱性の対策を実行する製品担当者等の人間に対して脆弱性情報を通知して脆弱性の調査又は対応を依頼する。製品担当者等の人間は、脆弱性の重大度又は脆弱性の対策の進捗等をデータベース20に入力する。データベース20は、製品担当者等の人間が入力した情報を脆弱性情報に関連づける。評価部12は、脆弱性の対策を完了するまでデータベース20の脆弱性情報を管理する。
【0039】
評価部12は、脆弱性の対策が完了するまでの間、製品の脆弱性が製品プロバイダによって認知されてからの経過時間に基づいて、その脆弱性に関するレピュテーションリスクを評価する。製品プロバイダは、例えば、製品の脆弱性の対策を実行する製品担当者等の人間に対して脆弱性情報が通知されることによって、製品プロバイダ自身が提供している製品の脆弱性を認知する。製品プロバイダによって認知された脆弱性のセキュリティリスクの高さにかかわらず、製品プロバイダが脆弱性対策を長期間実施せずに放置することによって、製品プロバイダが脆弱性対策を軽視していたり脆弱性情報を隠蔽していたりするといった悪評を引き起こすことがある。レピュテーションリスクは、製品の脆弱性に対する製品プロバイダの対応姿勢によって製品プロバイダの評判が落ちるリスクである。つまり、レピュテーションリスクは、脆弱性そのもののリスクではなく、脆弱性が存在する製品を提供する製品プロバイダ等の企業のリスクである。評価部12は、脆弱性が認知されてからの経過時間が長くなるほど、その脆弱性に関するレピュテーションリスクが高くなると評価する。評価部12は、脆弱性に関するレピュテーションリスクの高さを数値として表してよい。脆弱性に関するレピュテーションリスクの高さを表す数値は、脆弱性に関するレピュテーションリスク値とも称される。評価部12は、製品の脆弱性に関するレピュテーションリスクの評価結果を製品責任者等の人間が認識できるように、例えばダッシュボード等の形態で出力部16に表示させてよい。つまり、評価部12は、製品の脆弱性に関するレピュテーションリスクの評価結果を見える化してよい。評価部12は、製品の脆弱性に関するレピュテーションリスクの評価結果を、製品責任者等の人間に対するメール又はメッセージ等の送信によって通知してもよい。
【0040】
以下、評価部12が脆弱性に関するレピュテーションリスクを評価する動作の一例が説明される。評価部12は、図2に例示されるフローチャートの手順例を含む管理方法を実行してよい。管理方法は、評価部12を構成するプロセッサに実行させる管理プログラムとして実現されてもよい。管理プログラムは、非一時的なコンピュータ読み取り可能な媒体に格納されてよい。
【0041】
評価部12は、データベース20の脆弱性管理22のブロックから脆弱性情報を取得する(ステップS1)。脆弱性情報は、上述したように、製品の情報とその製品が属するグループの情報とその製品の脆弱性に関する情報とを関連づけた情報である。
【0042】
評価部12は、脆弱性のセキュリティリスクを評価する(ステップS2)。評価部12は、脆弱性のセキュリティリスクとして、例えば、CVSS(Common Vulnerability Scoring System)のバージョン3に準拠した基準に基づいて、脆弱性のセキュリティリスクを数値として算出してよい。セキュリティリスクを表す数値は、セキュリティリスク値とも称される。CVSSのバージョンはバージョン3に限られず最新のバージョンであってよい。CVSSのバージョン3によれば、脆弱性のセキュリティリスク値は、0.0から10.0までの範囲内の数値として表される。脆弱性のセキュリティリスク値は、CVSSに限られず他の種々の基準を用いて算出されてもよい。評価部12は、脆弱性のセキュリティリスクを定性評価してよい。評価部12は、脆弱性のセキュリティリスクを、例えば低、中、高及び危険の4段階のレベルに分類してよい。評価部12は、脆弱性のセキュリティリスクのレベルを、セキュリティリスク値に基づいて分類してもよい。セキュリティリスクのレベルの段階の数は、上述した4つに限られず、3つ以下であってもよいし5つ以上であってもよい。セキュリティリスクのレベルの分類は、上述した例に限られず、例えば1、2及び3等の数字で区別されてもよいし、A、B及びC等のアルファベットで区別されてもよいし、+、++及び+++等の記号で区別されてもよいし、青、黄及び赤等の色彩で区別されてもよい。セキュリティリスクのレベルの分類は、他の種々の態様で区別されてよい。
【0043】
評価部12は、脆弱性の対策が完了したか判定する(ステップS3)。評価部12は、脆弱性の対策が完了した場合(ステップS3:YES)、図2のフローチャートの手順の実行を終了する。評価部12は、脆弱性の対策が完了していない場合(ステップS3:NO)、脆弱性が認知されてからの経過時間を算出する(ステップS4)。
【0044】
評価部12は、脆弱性が認知されてからの経過時間に基づいて脆弱性に関するレピュテーションリスクを評価する(ステップS5)。
【0045】
評価部12は、例えば図3に示されるように、時間T0に脆弱性が認知された場合に、その脆弱性に関するレピュテーションリスクを、低、中、高及び危険の4段階のレベルに分類して定性的に評価してもよい。つまり、評価部12は、レピュテーションリスクの評価結果として、レピュテーションリスクのレベルを決定してよい。レピュテーションリスクのレベルの段階の数は、上述した4つに限られず、3つ以下であってもよいし5つ以上であってもよい。レピュテーションリスクのレベルの分類は、上述した例に限られず、例えば1、2及び3等の数字で区別されてもよいし、A、B及びC等のアルファベットで区別されてもよいし、+、++及び+++等の記号で区別されてもよいし、青、黄及び赤等の色彩で区別されてもよい。レピュテーションリスクのレベルの分類は、他の種々の態様で区別されてよい。
【0046】
評価部12は、レピュテーションリスクを、脆弱性が認知されてからの経過時間に基づいて評価する。評価部12は、レピュテーションリスクのレベルを、脆弱性が認知されてからの経過時間に応じて決定してよい。図3の例において、評価部12は、脆弱性が認知されてからの経過時間がT1-T0に達するまでの期間において、その脆弱性に関するレピュテーションリスクのレベルを低に決定する。また、評価部12は、脆弱性が認知されてからの経過時間がT1-T0を超えた後、T2-T0に達するまでの期間において、その脆弱性に関するレピュテーションリスクのレベルを中に決定する。また、評価部12は、脆弱性が認知されてからの経過時間がT2-T0を超えた後、T3-T0に達するまでの期間において、その脆弱性に関するレピュテーションリスクのレベルを高に決定する。また、評価部12は、脆弱性が認知されてからの経過時間がT3-T0を超えた後の期間において、その脆弱性に関するレピュテーションリスクのレベルを危険に決定する。
【0047】
評価部12は、レピュテーションリスクを定性的に表したレベルを定量化して、レピュテーションリスクを数値として算出してよい。レピュテーションリスクを表す数値は、レピュテーションリスク値とも称される。つまり、評価部12は、レピュテーションリスクの評価結果として、レピュテーションリスク値を算出してよい。本実施形態において、評価部12は、レピュテーションリスクのレベルが低である場合にレピュテーションリスク値を0と算出する。評価部12は、レピュテーションリスクのレベルが中である場合にレピュテーションリスク値を2と算出する。評価部12は、レピュテーションリスクのレベルが高である場合にレピュテーションリスク値を5と算出する。評価部12は、レピュテーションリスクのレベルが危険である場合にレピュテーションリスク値を10と算出する。
【0048】
評価部12は、脆弱性に関するレピュテーションリスクのレベルを決定せずに、脆弱性に関するレピュテーションリスク値を算出してもよい。例えば、評価部12は、脆弱性が認知されてからの経過時間が長くなるほど、脆弱性に関するレピュテーションリスク値を高い値として算出してもよい。
【0049】
本実施形態において、評価部12は、脆弱性に関するレピュテーションリスクの評価結果として、脆弱性に関するレピュテーションリスク値を算出する。
【0050】
評価部12は、脆弱性に関するレピュテーションリスク値がアラート基準より大きいか判定する(ステップS6)。アラート基準の意味は、アラートを発生させるリスクレベルの意味である。製品プロバイダが許容できないリスクレベルがアラート基準として定められる。リスクがアラート基準を超えた場合にアラートを出力することが判定される。アラート基準は、レピュテーションリスクが製品プロバイダにとって許容できるレベルに対応するレピュテーションリスクとして設定されてよい。本実施形態において、評価部12は、アラート基準の値を5に設定する。この場合、評価部12は、脆弱性に関するレピュテーションリスクのレベルが危険になったときに脆弱性に関するレピュテーションリスク値がアラート基準より大きくなったと判定する。また、評価部12は、脆弱性に関するレピュテーションリスクのレベルが低、中又は高であるときに脆弱性に関するレピュテーションリスク値がアラート基準以下であると判定する。
【0051】
評価部12は、脆弱性に関するレピュテーションリスク値がアラート基準より大きい場合(ステップS6:YES)、評価対象とする製品を提供する製品プロバイダのレピュテーションリスクが高まっていることを表すアラートを出力する(ステップS7)。評価部12は、ステップS7の手順の実行後、図2のフローチャートの手順の実行を終了する。評価部12は、脆弱性に関するレピュテーションリスク値がアラート基準より大きくない場合(ステップS6:NO)、つまり脆弱性に関するレピュテーションリスク値がアラート基準以下である場合、アラートを出力せずにステップS3の手順に戻り、脆弱性の対策が完了するまで脆弱性に関するレピュテーションリスクの評価を繰り返す。
【0052】
評価部12は、アラートを出力部16によって出力することによって、脆弱性の対策を実行する製品担当者等の人間に通知する。出力部16は、ダッシュボード等の形式でアラートを表示してもよいし、アラートに関する情報を含む電子メール又はメッセージ等を人間に送ることによってアラートを通知してもよい。
【0053】
上述してきた手順例のうちステップS5の評価手順において、評価部12は、レピュテーションリスクの評価結果として、レピュテーションリスクのレベルを決定してもよい。この場合、評価部12は、ステップS6の判定手順において、レピュテーションリスクのレベルがアラート基準に対応する段階(例えば「危険」)に達しているか判定してよい。
【0054】
評価部12は、レピュテーションリスクの評価結果としてレピュテーションリスク値を算出した場合、レピュテーションリスク値がアラート基準より大きいことを条件としてアラートを出力する。評価部12は、レピュテーションリスクの評価結果としてレピュテーションリスクのレベルを決定した場合、レピュテーションリスクのレベルがアラート基準に対応する段階に達していることを条件としてアラートを出力する。レピュテーションリスク値がアラート基準より大きいこと、及び、レピュテーションリスクのレベルがアラート基準に対応する段階に達していることは、アラート条件とも総称される。言い換えれば、レピュテーションリスクの評価結果がアラート条件を満たした場合にアラートを出力してよい。
【0055】
(小括)
以上述べてきたように、本実施形態に係る管理システム1において、管理装置10は、脆弱性に関するレピュテーションリスクを評価してアラートを出力する。脆弱性のセキュリティリスクの高さにかかわらず、脆弱性対策を長期間実施せずに放置すること自体が、脆弱性対策の軽視又は脆弱性情報の隠蔽等の悪評を引き起こすことがある。製品プロバイダは、アラートを認識することによって、脆弱性対策の遅れに起因する悪評が立たないように、脆弱性対策の時期を適切に管理できる。
以上述べてきたように、本実施形態に係る管理システム1において、管理装置10は、脆弱性に関するレピュテーションリスクを評価してアラートを出力する。脆弱性のセキュリティリスクの高さにかかわらず、脆弱性対策を長期間実施せずに放置すること自体が、脆弱性対策の軽視又は脆弱性情報の隠蔽等の悪評を引き起こすことがある。製品プロバイダは、アラートを認識することによって、脆弱性対策の遅れに起因する悪評が立たないように、脆弱性対策の時期を適切に管理できる。
【0056】
(他の実施形態)
以下、管理システム1の他の実施形態が説明される。
以下、管理システム1の他の実施形態が説明される。
【0057】
<セキュリティリスクの高さを考慮したレピュテーションリスクの評価>
他の実施形態に係る管理装置10の評価部12は、脆弱性のセキュリティリスクが高い場合とセキュリティリスクが低い場合とで、脆弱性に関するレピュテーションリスクの評価基準を異ならせてよい。
他の実施形態に係る管理装置10の評価部12は、脆弱性のセキュリティリスクが高い場合とセキュリティリスクが低い場合とで、脆弱性に関するレピュテーションリスクの評価基準を異ならせてよい。
【0058】
評価部12は、脆弱性のセキュリティリスクが高い場合、脆弱性に関するレピュテーションリスクのレベル、又は、脆弱性に関するレピュテーションリスク値と比較するアラート基準を低く設定してよい。
【0059】
一方で、評価部12は、脆弱性のセキュリティリスクが低い場合、脆弱性に関するレピュテーションリスクのレベル、又は、脆弱性に関するレピュテーションリスク値と比較するアラート基準を高く設定してよい。
【0060】
つまり、評価部12は、脆弱性のセキュリティリスクが低いほど、脆弱性に関するレピュテーションリスクのレベル、又は、脆弱性に関するレピュテーションリスク値がアラート基準を超えにくいように、脆弱性に関するレピュテーションリスクを評価してよい。逆に言えば、評価部12は、脆弱性のセキュリティリスクが高いほど、脆弱性に関するレピュテーションリスクのレベル、又は、脆弱性に関するレピュテーションリスク値がアラート基準を超えやすいように、レピュテーションリスクを評価してよい。
【0061】
評価部12は、製品の脆弱性のセキュリティリスクの高さに応じて脆弱性に関するレピュテーションリスクのレベルと比較するアラート基準を、製品プロバイダ等の企業が許容できないレベルより低く設定することによって、ユーザのシステムのサイバーセキュリティが危険な状態になる前に、製品プロバイダに対してアラートを出力できる。
【0062】
<複数の脆弱性を考慮した脆弱性に関するレピュテーションリスクの評価>
上述してきた実施形態において、管理装置10の評価部12は、1つの脆弱性だけを考慮して脆弱性に関するレピュテーションリスクを評価する。他の実施形態において、評価部12は、複数の脆弱性を考慮して脆弱性に関するレピュテーションリスクを評価してもよい。具体的に、評価部12は、図4に例示されるフローチャートの手順例を含む管理方法を実行してよい。
上述してきた実施形態において、管理装置10の評価部12は、1つの脆弱性だけを考慮して脆弱性に関するレピュテーションリスクを評価する。他の実施形態において、評価部12は、複数の脆弱性を考慮して脆弱性に関するレピュテーションリスクを評価してもよい。具体的に、評価部12は、図4に例示されるフローチャートの手順例を含む管理方法を実行してよい。
【0063】
評価部12は、複数の脆弱性のそれぞれに関する情報を取得する(ステップS11)。評価部12は、各脆弱性に関するセキュリティリスクを評価する(ステップS12)。
【0064】
評価部12は、取得した脆弱性情報のうち、対策が完了した脆弱性に関する情報を管理対象から除外する(ステップS13)。評価部12は、対策が完了していない脆弱性について、各脆弱性が認知されてからの経過時間を算出する(ステップS14)。評価部12は、各脆弱性が認知されてからの経過時間に基づいて各脆弱性に関するレピュテーションリスクを評価する(ステップS15)。評価部12は、各脆弱性のセキュリティリスクに更に基づいて各脆弱性に関するレピュテーションリスクを評価してもよい。本実施形態に係る管理方法において、評価部12は、各脆弱性に関するレピュテーションリスクの評価のために、各脆弱性に関するレピュテーションリスク値を算出する。
【0065】
評価部12は、対策が完了していない各脆弱性に関するレピュテーションリスク値の総和を算出する(ステップS16)。評価部12は、対策が完了していない各脆弱性に関するレピュテーションリスク値の総和がアラート基準より大きいか判定する(ステップS17)。評価部12は、各脆弱性に関するレピュテーションリスク値の総和がアラート基準より大きい場合(ステップS17:YES)、評価対象とする製品のレピュテーションリスクが高まっていることを表すアラートを出力する(ステップS18)。評価部12は、ステップS18の手順の実行後、図4のフローチャートの手順の実行を終了する。評価部12は、各脆弱性に関するレピュテーションリスク値の総和がアラート基準より大きくない場合(ステップS17:NO)、つまり各脆弱性に関するレピュテーションリスク値の総和がアラート基準以下である場合、アラートを出力せずにステップS11の手順に戻り、新たな脆弱性情報も加えて、脆弱性の対策が完了するまで各脆弱性に関するレピュテーションリスクの評価を繰り返す。
【0066】
上述したステップS15の脆弱性に関するレピュテーションリスクの評価手順において、評価部12は、脆弱性に関するレピュテーションリスク値を算出したが、脆弱性に関するレピュテーションリスク値を算出せずに脆弱性に関するレピュテーションリスクのレベルを決定してもよい。
【0067】
複数の脆弱性に関するレピュテーションリスク値の総和は、時間の経過に応じて例えば図5にグラフとして示されるように変化する。図5のグラフにおいて、横軸は時間を表す。縦軸は脆弱性に関するレピュテーションリスク値の総和を表す。
【0068】
まず、時間T10において脆弱性Aが認知されたとする。時間T10からT11までの期間において、脆弱性Aに関するレピュテーションリスク値は、脆弱性に関するレピュテーションリスクのレベルが低である場合に対応する値であるとする。一方で、時間T20において新たに脆弱性Bが認知されたとする。時間T20からT21までの期間において、脆弱性Bに関するレピュテーションリスク値は、脆弱性に関するレピュテーションリスクのレベルが低である場合に対応する値であるとする。
【0069】
ここで、時間T20は、時間T11よりも前の時間であるとする。この場合、時間T20からT11までの期間において、脆弱性に関するレピュテーションリスク値の総和は、脆弱性Aに関するレピュテーションリスク値と脆弱性Bに関するレピュテーションリスク値との和として算出される。したがって、時間T20からT11までの期間において、脆弱性に関するレピュテーションリスク値の総和は、脆弱性A及びBのそれぞれに関するレピュテーションリスク値よりも大きくなる。
【0070】
次に、時間T11において脆弱性Aに関するレピュテーションリスクのレベルが中になるとする。この場合、脆弱性Aに関するレピュテーションリスク値は、レベルが中である場合に対応する値になる。また、時間T21において脆弱性Bに関するレピュテーションリスクのレベルが中になるとする。この場合、脆弱性Bに関するレピュテーションリスク値は、レベルが中である場合に対応する値になる。
【0071】
時間T11からT21までの期間における脆弱性に関するレピュテーションリスク値の総和は、時間T20からT11までの期間における脆弱性に関するレピュテーションリスク値の総和よりも大きくなる。さらに、時間T21以降の期間における脆弱性に関するレピュテーションリスク値の総和は、時間T11からT21までの期間における脆弱性に関するレピュテーションリスク値の総和よりも大きくなり、アラート基準よりも大きくなる。評価部12は、脆弱性に関するレピュテーションリスク値の総和がアラート基準よりも大きくなったことによって、時間T21においてアラートを出力する。
【0072】
次に、時間T12において脆弱性Aの対策が完了したとする。この場合、脆弱性Aに関するレピュテーションリスク値が0になる。したがって、時間T12以降の期間における脆弱性に関するレピュテーションリスク値の総和は、脆弱性Bに関するレピュテーションリスク値に等しくなり、アラート基準以下になる。評価部12は、脆弱性に関するレピュテーションリスク値の総和がアラート基準以下になったことによって、時間T12においてアラートの出力を解除する。つまり、評価部12は、時間T21からT12までの期間にアラートを出力する。
【0073】
仮に図5に例示した脆弱性A及びBのそれぞれに関するレピュテーションリスク値が個別に管理される場合、脆弱性A及びBのそれぞれに関するレピュテーションリスク値は、時間T21以降の期間においてもアラート基準以下である。この場合、製品プロバイダは脆弱性A又はBの対策の必要性を認識できないことがある。一方で、本実施形態において、脆弱性A及びBのそれぞれに関するレピュテーションリスク値の総和に基づいてアラートが出力される。製品プロバイダは、アラートの出力によって脆弱性A又はBの対策の必要性を認識でき、脆弱性対策の時期を適切に管理できる。
【0074】
<セキュリティリスクとレピュテーションリスクとを両方とも考慮したアラート>
上述してきた実施形態において、管理装置10の評価部12は、脆弱性に関するレピュテーションリスクの評価結果に基づいてアラートを出力する。他の実施形態において、評価部12は、脆弱性に関するレピュテーションリスクの評価結果だけでなく脆弱性のセキュリティリスクの評価結果にも基づいてアラートを出力してよい。
上述してきた実施形態において、管理装置10の評価部12は、脆弱性に関するレピュテーションリスクの評価結果に基づいてアラートを出力する。他の実施形態において、評価部12は、脆弱性に関するレピュテーションリスクの評価結果だけでなく脆弱性のセキュリティリスクの評価結果にも基づいてアラートを出力してよい。
【0075】
評価部12は、ある製品において脆弱性が認知された場合に、その脆弱性のセキュリティリスク及びその脆弱性に関するレピュテーションリスクのそれぞれを評価してよい。評価部12は、脆弱性のセキュリティリスクの評価結果又は脆弱性に関するレピュテーションリスクの評価結果の少なくとも一方がアラートを出力する条件を満たした場合に、アラートを出力してよい。
【0076】
評価部12は、脆弱性のセキュリティリスク値及び脆弱性に関するレピュテーションリスク値のそれぞれを算出してよい。評価部12は、脆弱性のセキュリティリスク値がセキュリティリスクのアラート基準より大きいことを、アラートを出力する条件として設定してよい。脆弱性のセキュリティリスク値と比較するセキュリティリスクのアラート基準は、セキュリティ基準とも称される。評価部12は、脆弱性に関するレピュテーションリスク値がレピュテーションリスクのアラート基準より大きいことを、アラートを出力する条件として設定してよい。脆弱性に関するレピュテーションリスク値と比較するレピュテーションリスクのアラート基準は、レピュテーション基準とも称される。レピュテーション基準は、脆弱性に関するレピュテーションリスクの、製品プロバイダが許容できるレベルとして設定されてよい。セキュリティ基準とレピュテーション基準とは、異なる値に設定されてもよいし、同じ値に設定されてもよい。評価部12は、脆弱性のセキュリティリスク値がセキュリティ基準よりも大きくなること、又は、脆弱性に関するレピュテーションリスク値がレピュテーション基準よりも大きくなることの少なくとも一方の条件が満たされた場合に、アラートを出力してよい。
【0077】
評価部12は、脆弱性のセキュリティリスクのレベル及び脆弱性に関するレピュテーションリスクのレベルのそれぞれを決定してよい。評価部12は、脆弱性のセキュリティリスクのレベルがセキュリティ基準に達したことを、アラートを出力する条件として設定してよい。この場合、セキュリティ基準は、脆弱性のセキュリティリスクのレベルのいずれかの段階に設定される。評価部12は、脆弱性に関するレピュテーションリスクのレベルがレピュテーション基準に達したことを、アラートを出力する条件として設定してよい。この場合、レピュテーション基準は、脆弱性に関するレピュテーションリスクのレベルのいずれかの段階に設定される。本実施形態において、セキュリティ基準及びレピュテーション基準は、両方とも「危険」に設定されるとする。評価部12は、脆弱性のセキュリティリスクのレベル又は脆弱性に関するレピュテーションリスクのレベルの少なくとも一方が「危険」に達したときに、アラートを出力してよい。
【0078】
評価部12は、ある製品において複数の脆弱性が認知された場合、その製品の各脆弱性のセキュリティリスク値の総和、及び、各脆弱性に関するレピュテーションリスク値の総和のそれぞれを算出してよい。評価部12は、脆弱性のセキュリティリスク値の総和又は脆弱性に関するレピュテーションリスク値の総和のうち少なくとも一方がアラートを出力する条件を満たした場合に、アラートを出力してよい。評価部12は、ある製品の各脆弱性のセキュリティリスク値の総和に基づいて、その製品の複数の脆弱性を考慮した、脆弱性のセキュリティリスクのレベルを決定してよい。評価部12は、ある製品の各脆弱性に関するレピュテーションリスク値の総和に基づいて、その製品の複数の脆弱性を考慮した、脆弱性に関するレピュテーションリスクのレベルを決定してよい。評価部12は、製品の複数の脆弱性を考慮した脆弱性のセキュリティリスクのレベル又は脆弱性に関するレピュテーションリスクのレベルのうち少なくとも一方がアラート基準に達した場合に、アラートを出力してよい。
【0079】
例えば図6に示される散布図において、製品において認知された脆弱性に関するレピュテーションリスク値と、脆弱性のセキュリティリスク値とを関連づけたデータがプロットされる。図6の散布図において、横軸は脆弱性に関するレピュテーションリスク値を表す。横軸において、脆弱性に関するレピュテーションリスク値に応じて脆弱性に関するレピュテーションリスクのレベルを分類する、「低」、「中」、「高」及び「危険」の各区分が表されている。縦軸は脆弱性のセキュリティリスク値を表す。縦軸において、脆弱性のセキュリティリスク値に応じて脆弱性のセキュリティリスクのレベルを分類する、「低」、「中」、「高」及び「危険」の各区分が表されている。グラフ中に丸印(○)でプロットされている点X1~X6のそれぞれは、製品X1~X6の脆弱性に関するレピュテーションリスク及び脆弱性のセキュリティリスクの評価結果を表す。
【0080】
X1の製品について、脆弱性に関するレピュテーションリスクのレベル及び脆弱性のセキュリティリスクのレベルが両方とも「低」である。X2の製品について、脆弱性に関するレピュテーションリスクのレベルが「中」であり、脆弱性のセキュリティリスクのレベルが「低」である。X2の製品について、脆弱性に関するレピュテーションリスクのレベルが「中」であり、脆弱性のセキュリティリスクのレベルが「高」である。X1~X3の製品について、脆弱性に関するレピュテーションリスクのレベル及び脆弱性のセキュリティリスクのレベルは両方とも「危険」に達していない。したがって、評価部12は、X1~X3の製品について脆弱性に関するアラートを出力しない。
【0081】
一方で、X4の製品について、脆弱性に関するレピュテーションリスクのレベルは「低」であるものの、脆弱性のセキュリティリスクのレベルが「危険」である。X5の製品について、脆弱性のセキュリティリスクのレベルは「中」であるものの、脆弱性に関するレピュテーションリスクのレベルが「危険」である。X6の製品について、脆弱性のセキュリティリスクのレベルは「高」であるものの、脆弱性に関するレピュテーションリスクのレベルが「危険」である。X4~X6の製品について、脆弱性に関するレピュテーションリスクのレベル又は脆弱性のセキュリティリスクのレベルのうち少なくとも一方が「危険」に達している。したがって、評価部12は、X4~X6の製品について脆弱性に関するアラートを出力する。
【0082】
以上述べてきたように、製品の脆弱性に起因する2つの異なるリスク(脆弱性のセキュリティリスク及び脆弱性に関するレピュテーションリスク)が同時に管理されることによって、製品プロバイダは脆弱性対策を実施する順番、又は、脆弱性対策に投入するリソースを適切に計画できる。脆弱性対策の適切な計画によって、計画的なリスク軽減対策が可能となる。つまり、製品プロバイダは脆弱性対策を適切に管理できる。
【0083】
以上、本開示に係る実施形態について、図面を参照して説明してきたが、具体的な構成はこの実施形態に限定されるものではなく、本開示の趣旨を逸脱しない範囲においての種々の変更も含まれる。
【符号の説明】
【0084】
1 管理システム
10 管理装置(12:評価部、14:入力部、16:出力部)
20 データベース(21:脆弱性マスタ、22:脆弱性管理、23:ソフト管理マスタ、24:製品管理マスタ)
80 情報提供元
10 管理装置(12:評価部、14:入力部、16:出力部)
20 データベース(21:脆弱性マスタ、22:脆弱性管理、23:ソフト管理マスタ、24:製品管理マスタ)
80 情報提供元
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】