知財求人 - 知財ポータルサイト「IP Force」
特開2024-130995ハードウェアサプライチェーンにおける脆弱性情報共有のためのレポジトリ装置、レポジトリ構成方法及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024130995
(43)【公開日】2024-09-30
(54)【発明の名称】ハードウェアサプライチェーンにおける脆弱性情報共有のためのレポジトリ装置、レポジトリ構成方法及びプログラム
(51)【国際特許分類】
G06Q 30/018 20230101AFI20240920BHJP
【FI】
G06Q30/018
【審査請求】未請求
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2023040988
(22)【出願日】2023-03-15
【国等の委託研究の成果に係る記載事項】(出願人による申告)令和4年度、国立研究開発法人情報通信研究機構(NICT)、「デジタルツインによるサイバー・フィジカル連携型セキュリティ基盤」委託事業、産業技術力強化法第17条の適用を受ける特許出願
(71)【出願人】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】長谷川 健人
(72)【発明者】
【氏名】福島 和英
(72)【発明者】
【氏名】清本 晋作
【テーマコード(参考)】
5L030
5L049
【Fターム(参考)】
5L030BB26
5L049BB26
(57)【要約】
【課題】ハードウェアを構成する部品情報やその供給元企業に関する情報、発見された脆弱性やその発現条件を関連付け、製品の脆弱性に関する有益な情報を自動的に構成して提供するレポジトリ装置、レポジトリ構成方法、及びプログラムを提供すること。
【解決手段】ハードウェアサプライチェーンおける脆弱性情報を入力側外部システムから取得・入力し、レポジトリのテーブルへ格納する際、前記情報を、製品情報、企業情報及び脆弱性情報の三つの情報種別に分けるともに、識別子を用いて前記情報種別間で相互に関連付ける。前記格納した情報は、集約して出力側外部システムへ送信する。
【選択図】図2
【解決手段】ハードウェアサプライチェーンおける脆弱性情報を入力側外部システムから取得・入力し、レポジトリのテーブルへ格納する際、前記情報を、製品情報、企業情報及び脆弱性情報の三つの情報種別に分けるともに、識別子を用いて前記情報種別間で相互に関連付ける。前記格納した情報は、集約して出力側外部システムへ送信する。
【選択図】図2
【特許請求の範囲】
【請求項1】
ハードウェアサプライチェーンおける脆弱性に関する情報を、入力側外部システムから取得又は人により入力するための機能を有する情報入力部と、
レポジトリのテーブルに前記情報を格納する機能を有する情報格納部と、
出力側外部システムに前記情報を送信するための機能を有する情報整形部と、を備え、
前記レポジトリに格納する前記情報の情報種別は、ハードウェアを構成する製品に関する製品情報と、前記ハードウェアを提供する企業に関する企業情報と、前記ハードウェアの脆弱性に関する脆弱性情報とを含み、
前記情報入力部が有する機能は、前記情報を前記情報種別のそれぞれに対応する入力側外部システム又は人から取得又は入力する機能を含み、
前記情報格納部が有する機能は、前記情報種別毎にテーブルを構成し、前記情報入力部が取得又は入力した前記情報を対応するテーブルへ記録する機能を含み、
前記情報種別毎のテーブルのそれぞれに記録する前記情報は、識別子を介して相互に関連付けられており、
前記情報整形部が有する機能は、前記情報格納部が記録した前記情報を集約して出力側外部システムへ出力する機能を含む、レポジトリ装置。
レポジトリのテーブルに前記情報を格納する機能を有する情報格納部と、
出力側外部システムに前記情報を送信するための機能を有する情報整形部と、を備え、
前記レポジトリに格納する前記情報の情報種別は、ハードウェアを構成する製品に関する製品情報と、前記ハードウェアを提供する企業に関する企業情報と、前記ハードウェアの脆弱性に関する脆弱性情報とを含み、
前記情報入力部が有する機能は、前記情報を前記情報種別のそれぞれに対応する入力側外部システム又は人から取得又は入力する機能を含み、
前記情報格納部が有する機能は、前記情報種別毎にテーブルを構成し、前記情報入力部が取得又は入力した前記情報を対応するテーブルへ記録する機能を含み、
前記情報種別毎のテーブルのそれぞれに記録する前記情報は、識別子を介して相互に関連付けられており、
前記情報整形部が有する機能は、前記情報格納部が記録した前記情報を集約して出力側外部システムへ出力する機能を含む、レポジトリ装置。
【請求項2】
前記情報種別毎のテーブルのそれぞれに記録する前記情報に関連付けのためのフィールドを設け、当該フィールドに追加した前記識別子を介して前記情報を関連付けることにより、異なる情報種別間での関係性の定義や、同じ情報種別間での親子関係の定義を可能とする、請求項1に記載のレポジトリ装置。
【請求項3】
関連付けのためにそれぞれ再帰的に情報を参照する前記製品情報の取得と前記企業情報の取得においては、最大の深さを指定して再帰的な参照の回数を制限することにより、参照が無限に続くことを防ぐ、請求項1又は請求項2に記載のレポジトリ装置。
【請求項4】
ハードウェアサプライチェーンおける脆弱性に関する情報を、入力側外部システムから取得又は人により入力する情報入力ステップと、
レポジトリのテーブルに前記情報を格納する情報格納ステップと、
出力側外部システムに前記情報を送信する情報整形ステップと、を含むレポジトリ構成方法であって、
前記レポジトリに格納する前記情報の情報種別は、ハードウェアを構成する製品に関する製品情報と、前記ハードウェアを提供する企業に関する企業情報と、前記ハードウェアの脆弱性に関する脆弱性情報とを含み、
前記情報入力ステップは、前記情報を前記情報種別のそれぞれに対応する入力側外部システム又は人から取得又は入力し、
前記情報格納ステップは、前記情報種別毎にテーブルを構成し、前記情報入力ステップにおいて取得又は入力した前記情報を対応するテーブルへ記録し、
前記情報種別毎のテーブルのそれぞれに記録する前記情報は、識別子を介して相互に関連付けられており、
前記情報整形ステップは、前記情報格納ステップにおいて記録した前記情報を集約して出力側外部システムへ出力する、レポジトリ構成方法。
レポジトリのテーブルに前記情報を格納する情報格納ステップと、
出力側外部システムに前記情報を送信する情報整形ステップと、を含むレポジトリ構成方法であって、
前記レポジトリに格納する前記情報の情報種別は、ハードウェアを構成する製品に関する製品情報と、前記ハードウェアを提供する企業に関する企業情報と、前記ハードウェアの脆弱性に関する脆弱性情報とを含み、
前記情報入力ステップは、前記情報を前記情報種別のそれぞれに対応する入力側外部システム又は人から取得又は入力し、
前記情報格納ステップは、前記情報種別毎にテーブルを構成し、前記情報入力ステップにおいて取得又は入力した前記情報を対応するテーブルへ記録し、
前記情報種別毎のテーブルのそれぞれに記録する前記情報は、識別子を介して相互に関連付けられており、
前記情報整形ステップは、前記情報格納ステップにおいて記録した前記情報を集約して出力側外部システムへ出力する、レポジトリ構成方法。
【請求項5】
請求項1又は請求項2に記載のレポジトリ装置としてコンピュータを機能させるためのレポジトリ構成プログラム。
【請求項6】
請求項3に記載のレポジトリ装置としてコンピュータを機能させるためのレポジトリ構成プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ハードウェアサプライチェーンおける脆弱性情報を複数の利用者で共有・活用するためのレポジトリ装置、レポジトリ構成方法及びプログラムに関する。
なお、本発明におけるハードウェアサプライチェーンとは、製品の原材料、部品等の調達から販売に至るまでの一連の流れをいう。また、レポジトリとは、貯蔵庫、格納庫という意味であり、本発明における貯蔵・格納の対象はデータである。したがって、レポジトリをデータベースと言い換えることもできる。
なお、本発明におけるハードウェアサプライチェーンとは、製品の原材料、部品等の調達から販売に至るまでの一連の流れをいう。また、レポジトリとは、貯蔵庫、格納庫という意味であり、本発明における貯蔵・格納の対象はデータである。したがって、レポジトリをデータベースと言い換えることもできる。
【背景技術】
【0002】
非特許文献1は、サプライチェーン情報を含む情報を知識グラフとして整理する手法を提案している。具体的には、サプライチェーンが交錯する企業間の日々の取引から生成される動的データと、これらの企業の基本的なプロパティ(取引先、国籍等)を示す静的なデータとからなる、マルチソース異種データに基づくドメイン知識グラフについて論じている。
【0003】
特許文献1は、一部を外部委託することでサプライチェーンが形成されることが多い大規模なハードウェア(回路)の設計・製造工程において、不正なデータ又は機能を実現する不正回路(ハードウェアトロイ)が混入されていないことを、回路データそのものの提供を受けることなく検証する手法を提案している。
【先行技術文献】
【非特許文献】
【0004】
【非特許文献1】W. Zhang et al., “The construction of a domain knowledge graph and its application in supply chain risk analysis”, ICEBE, 2019.
【特許文献】
【0005】
【特許文献1】特開2023-18349号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の手法は、サプライチェーンが交錯する企業間の関係だけを示すものである。そのため、製品に関する脆弱性情報は含まれず、製品の脆弱性に関する有益な情報を整理、共有することはできない。また、共有するべき情報の具体的な形式や収集方法、収集した後にレポジトリを構成する手法は示されていない。
【0007】
本発明は、ハードウェアを構成する部品情報やその供給元企業に関する情報、発見された脆弱性やその発現条件を関連付け、製品の脆弱性に関する有益な情報を自動的に構成して提供するレポジトリ装置、レポジトリ構成方法、及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明では、外部システムから収集(入力)し、レポジトリに格納する情報の種別を、ハードウェアを構成する製品に関する製品情報と、前記ハードウェアを提供する企業に関する企業情報と、前記ハードウェアの脆弱性に関する脆弱性情報との三種類に整理する。それぞれの情報に対して、それに対応する情報を持つ外部システムや人の操作により、情報種別毎に情報をデータベースに記録する。外部との情報共有に当たって、各種情報に関連付けのためのフィールドを設ける。この関連付けにより、各情報種別間での関係性の定義や、同じ情報種別間での親子関係等の定義を可能とする。さらに、再帰的に関連付けられる項目に関しては、最大の深さを指定することで、参照の回数を制限する。このように関連付け、集約された情報を、外部システムと連携し、利活用する。
【0009】
本発明に係るレポジトリ装置は、ハードウェアサプライチェーンおける脆弱性に関する情報を、入力側外部システムから取得又は人により入力するための機能を有する情報入力部と、レポジトリのテーブルに前記情報を格納する機能を有する情報格納部と、出力側外部システムに前記情報を送信するための機能を有する情報整形部と、を備え、前記レポジトリに格納する前記情報の情報種別は、ハードウェアを構成する製品に関する製品情報と、前記ハードウェアを提供する企業に関する企業情報と、前記ハードウェアの脆弱性に関する脆弱性情報とを含み、前記情報入力部が有する機能は、前記情報を前記情報種別のそれぞれに対応する入力側外部システム又は人から取得又は入力する機能を含み、前記情報格納部が有する機能は、前記情報種別毎にテーブルを構成し、前記情報入力部が取得又は入力した前記情報を対応するテーブルへ記録する機能を含み、前記情報種別毎のテーブルのそれぞれに記録する前記情報は、識別子を介して相互に関連付けられており、前記情報整形部が有する機能は、前記情報格納部が記録した前記情報を集約して出力側外部システムへ出力する機能を含む。
【0010】
前記情報種別毎のテーブルのそれぞれに記録する前記情報に関連付けのためのフィールドを設け、当該フィールドに追加した前記識別子を介して前記情報を関連付けることにより、異なる情報種別間での関係性の定義や、同じ情報種別間での親子関係の定義を可能としてもよい。
【0011】
関連付けのためにそれぞれ再帰的に情報を参照する前記製品情報の取得と前記企業情報の取得においては、最大の深さを指定して再帰的な参照の回数を制限することにより、参照が無限に続くことを防ぐようにしてもよい。
【0012】
また、本発明に係るレポジトリ構成方法は、ハードウェアサプライチェーンおける脆弱性に関する情報を、入力側外部システムから取得又は人により入力する情報入力ステップと、レポジトリのテーブルに前記情報を格納する情報格納ステップと、出力側外部システムに前記情報を送信する情報整形ステップと、を含み、前記レポジトリに格納する前記情報の情報種別は、ハードウェアを構成する製品に関する製品情報と、前記ハードウェアを提供する企業に関する企業情報と、前記ハードウェアの脆弱性に関する脆弱性情報とを含み、前記情報入力ステップは、前記情報を前記情報種別のそれぞれに対応する入力側外部システム又は人から取得又は入力し、前記情報格納ステップは、前記情報種別毎にテーブルを構成し、前記情報入力ステップにおいて取得又は入力した前記情報を対応するテーブルへ記録し、前記情報種別毎のテーブルのそれぞれに記録する前記情報は、識別子を介して相互に関連付けられており、前記情報整形ステップは、前記情報格納ステップにおいて記録した前記情報を集約して出力側外部システムへ出力する。
【0013】
さらに、本発明に係るレジストリ構成プログラムは、先述のレジストリ装置としてコンピュータを機能させるためのプログラムであってよい。
【発明の効果】
【0014】
本発明によれば、各情報種別を区分して整理することで、情報管理のコストを最小限に抑えることが可能となる。また、従来の手法と比較して、ハードウェア製品の情報を基にサプライチェーンに起因するリスクや利用時の脆弱性に基づくリスクを総合的に共有、分析し、脆弱性情報を活用することが可能となる。
【図面の簡単な説明】
【0015】
【図1】実施形態のレポジトリ装置の構成を示す図である。
【図2】実施形態のレポジトリ装置の機能ブロックを示す図である。
【図3】実施形態の情報入力部における情報取得・入力の手順を示すフローチャートである。
【図4】実施形態の情報整形部における脆弱性情報の取得手順を示すアルゴリズムである。
【図5】実施形態の情報整形部における製品情報の取得手順を示すアルゴリズムである。
【図6】実施形態の情報整形部における企業情報の取得手順を示すアルゴリズムである。
【発明を実施するための形態】
【0016】
以下、本発明の実施形態の一例について説明する。
始めに、実施形態のレポジトリ装置が外部システムから収集(入力)する情報の種別(情報種別)について説明する。先述のとおり、情報種別としては、製品情報、企業情報、脆弱性情報の三種類が存在するところ、それぞれの詳細は以下のとおりである。
始めに、実施形態のレポジトリ装置が外部システムから収集(入力)する情報の種別(情報種別)について説明する。先述のとおり、情報種別としては、製品情報、企業情報、脆弱性情報の三種類が存在するところ、それぞれの詳細は以下のとおりである。
【0017】
製品情報は、ハードウェアを構成する製品に関する情報を含む情報であり、具体的には、製品情報を固有に識別する値(製品情報ID)、製品名、製品型番、その製品の製造元企業情報(企業情報ID)、その製品の用途やアプリケーション(製品用途)、その製品に使用される製品のリスト(部品リスト)が含まれる。
【0018】
企業情報は、ハードウェアを提供する企業の情報を含む情報であり、具体的には、企業情報を固有に識別する値(企業情報ID)、企業名、その企業の国籍(企業国籍)、その企業の子会社や関連会社、取引先等(関連企業リスト)の情報が含まれる。
【0019】
脆弱性情報は、ハードウェアに関する既知の脆弱性情報を含む情報であり、具体的には、脆弱性情報を固有に識別する値(脆弱性情報ID)、脆弱性の脅威の度合を示す値(脆弱性脅威度)、脆弱性登録日、脆弱性更新日、脆弱性が生じる条件(脆弱性条件)、脆弱性が攻撃されたときの影響(脆弱性影響)、脆弱性情報の提供元(脆弱性情報源)、対象となる製品のリスト(製品リスト)が含まれる。また、脆弱性情報には、検査時に疑義が生じたことを示すフラグなどの情報も含むことができる。
【0020】
なお、上記は、あくまでも各情報種別に含まれる情報の具体例を示したに過ぎず、これらに限られるものではない。すなわち、各情報種別には、上に示された以外の情報を含めることができる。
【0021】
図1は、本実施形態におけるレポジトリ装置1の構成を示す図である。
レポジトリ装置1は、入力側外部システム(又は人)2から情報を収集・入力し、整形して集約した情報(レポジトリ50)を構成し、出力側外部システム3からのリクエストに応えて情報を送信(出力)する。レポジトリ装置1は、制御部10、入力部20、出力部30、記憶部40、レポジトリ50等を備えた情報処理装置(コンピュータ)である。
レポジトリ装置1は、入力側外部システム(又は人)2から情報を収集・入力し、整形して集約した情報(レポジトリ50)を構成し、出力側外部システム3からのリクエストに応えて情報を送信(出力)する。レポジトリ装置1は、制御部10、入力部20、出力部30、記憶部40、レポジトリ50等を備えた情報処理装置(コンピュータ)である。
【0022】
制御部10は、レポジトリ装置1の全体を制御する部分であり、記憶部40に記憶された各種プログラムを適宜読み出して実行することにより、後述する各機能ブロックにおける機能を実現する。制御部10は、特に限られるものではないが、CPUであってよい。
【0023】
記憶部40は、ハードウェア群をレポジトリ装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、特に限られるものではないが、ROM、RAM、フラッシュメモリ、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)等であってよい。
【0024】
図2は、本実施形態におけるレポジトリ装置1の機能ブロックを示す図である。
レポジトリ装置1は、機能(処理)ブロックとして、情報入力部11、情報格納部12及び情報整形部13を備える。なお、機能(処理)ブロックは、ハードウェア別のブロックではなく、ハードウェア群を機能(処理)別に括った論理的なブロックである。以下、各部の詳細を説明する。
レポジトリ装置1は、機能(処理)ブロックとして、情報入力部11、情報格納部12及び情報整形部13を備える。なお、機能(処理)ブロックは、ハードウェア別のブロックではなく、ハードウェア群を機能(処理)別に括った論理的なブロックである。以下、各部の詳細を説明する。
【0025】
(1)情報入力部11
情報入力部11では、外部から情報種別毎に情報を取得し、情報格納部12へ登録する操作を行う。これらの操作は、人による手動の操作、コンピュータによる自動的な操作のいずれであってもよい。入力機能は、先述した三種類の情報種別に対応して、製品情報入力機能、企業情報入力機能、脆弱性情報入力機能に分かれる。
情報入力部11では、外部から情報種別毎に情報を取得し、情報格納部12へ登録する操作を行う。これらの操作は、人による手動の操作、コンピュータによる自動的な操作のいずれであってもよい。入力機能は、先述した三種類の情報種別に対応して、製品情報入力機能、企業情報入力機能、脆弱性情報入力機能に分かれる。
【0026】
人による手動の操作では、それぞれの情報種別に対応する情報を、画面等を通じて手動で入力する。コンピュータによる自動的な操作では、コンピュータが外部システムから情報を取得・入力する。
以下、情報取得・入力の手順を、図3のフローチャートを参照しつつ説明する。
以下、情報取得・入力の手順を、図3のフローチャートを参照しつつ説明する。
【0027】
手順1:予め、情報を取得する外部システムとの接続に必要な情報(具体的には、接続先URLや認証情報等)と、取得する情報と情報格納部12に登録する情報との対応関係(すなわち、取得する情報のフィールド名と、登録する情報のフィールド名との対応、以下「フィールド対応関係」という。)を登録する(図3のフローチャートのステップS11)。
【0028】
手順2:トリガをきっかけとして(同ステップS12でYES)、外部システムにアクセスし、外部システムから新規又は更新された情報を取得・入力する(同ステップS13)。トリガの具体例としては、所定の時刻の到来や外部システムからの情報更新通知の受信などが挙げられる。
【0029】
手順3:取得・入力した情報のうち、部品リストや関連企業リスト等、他の情報種別との関係性が含まれる情報(例えば製品情報)に関しては(同ステップS14でYES)、情報格納部12に登録された情報を検索する(同ステップS15)。検索の結果、一致度が基準を満たす情報が見つかった場合(同ステップS16でYES)は、その情報のIDと関連付ける(同ステップS17)。見つからなかった場合(同ステップS16でNO)は、判明している範囲で新たに情報を追加するとともにIDを割り振って、そのIDと関連付ける(同ステップS18)。一致度を判定する方法の具体例としては、一致する文字数、編集距離、n-gram分割した単語の一致率等の指標に基づいて(例えば設定した閾値と比較して)判定する方法が挙げられる。
【0030】
手順4:フィールド対応関係を基に、外部から取得した情報を整理する。ここでは、手順3で関連付けのために取得したIDのリストを追加し、情報を構成する(同ステップS19)。構成した情報は、情報格納部12へ登録する(同ステップS20でNO、同ステップS22)。既に情報が登録されている場合(同ステップS20でYES)は、その情報の内容を更新する(同ステップS21)。
【0031】
情報種別毎に情報入力と情報格納を処理することで、既存の外部システムとの自動的な連携や情報の同期が可能となる。情報種別毎の連携・同期可能な外部システムとして、例えば以下のようなものが考えられる。
製品情報については、例えば、各企業が持つ自社の製品データベースに登録された情報、オンライン通販等から取得される情報等と連携・同期することができる。
企業情報については、例えば、各企業が公開する情報、証券会社等が提供するIR(Investor Relations)情報等と連携・同期することができる。
脆弱性情報については、例えば、NVD(National Vulnerability Database)に登録された情報、脆弱性検知システムに登録された情報等と連携・同期することができる。
製品情報については、例えば、各企業が持つ自社の製品データベースに登録された情報、オンライン通販等から取得される情報等と連携・同期することができる。
企業情報については、例えば、各企業が公開する情報、証券会社等が提供するIR(Investor Relations)情報等と連携・同期することができる。
脆弱性情報については、例えば、NVD(National Vulnerability Database)に登録された情報、脆弱性検知システムに登録された情報等と連携・同期することができる。
【0032】
情報入力部11に含まれる三つの機能は、それぞれ独立して動作する。例えば、外部の脆弱性情報を提供するシステムから情報を取得・入力して、ある製品aに対応する脆弱性情報bを登録する場合を考える。製品aの情報が製品情報として登録されていない場合であっても、取得した情報から分かる範囲の情報で製品aを登録することで、製品aと関連付けて脆弱性情報bを登録することができる。その後、製品情報を提供する外部システムから製品aに関する情報を取得した場合は、既に記録されている情報が追記・更新される。
【0033】
(2)情報格納部12
情報格納部12では、情報入力部11で得られた情報をそれぞれ、データベースのテーブルとして記録する。以下、先述の三種類の情報種別に対応するテーブルを、それぞれ、製品情報テーブル、企業情報テーブル、脆弱性情報テーブルと呼ぶ。なお、それぞれのテーブルは、複数のテーブルを組み合わせて論理的に一つのテーブルとして構成することも可能である。
情報格納部12では、情報入力部11で得られた情報をそれぞれ、データベースのテーブルとして記録する。以下、先述の三種類の情報種別に対応するテーブルを、それぞれ、製品情報テーブル、企業情報テーブル、脆弱性情報テーブルと呼ぶ。なお、それぞれのテーブルは、複数のテーブルを組み合わせて論理的に一つのテーブルとして構成することも可能である。
【0034】
部品リストや関連企業リストは、同じ情報種別の別のレコードを参照する。これらの参照では、親子関係が含意される。具体的には、製品情報Aの部品リストに指定される各製品(仮に、製品情報Bを代表とする)では、製品情報Aが親、製品情報Bが子となる。また、企業情報Cの関連企業リストに指定される各企業(仮に、企業情報Dを代表とする)では、企業情報Cと企業情報Dとの間に、実際の関係に応じた親子関係を割り当てることができる。
【0035】
(3)情報整形部13
情報格納部12の三つのテーブルのうちいずれかの情報を集約し、外部システム(外部サービス)へ送信するための情報を構成する。具体例として、脆弱性情報ID:Vln_IDを起点として、製品情報、企業情報を、図4、図5及び図6のアルゴリズムに示す手順で関連付け、集約した情報を構成する。なお、この手順は一例として各情報種別からの情報取得を個別の処理で示すものであり、例えば一つのSQL文で記述することや、各情報種別に項目を追加することも可能である。
情報格納部12の三つのテーブルのうちいずれかの情報を集約し、外部システム(外部サービス)へ送信するための情報を構成する。具体例として、脆弱性情報ID:Vln_IDを起点として、製品情報、企業情報を、図4、図5及び図6のアルゴリズムに示す手順で関連付け、集約した情報を構成する。なお、この手順は一例として各情報種別からの情報取得を個別の処理で示すものであり、例えば一つのSQL文で記述することや、各情報種別に項目を追加することも可能である。
【0036】
製品情報の取得手順と企業情報の取得手順では、それぞれ再帰的に情報を参照するため、参照が無限に続く可能性がある。再帰的な参照の回数を制限するため、0以上の整数dmaxを指定する。
【0037】
図4、図5及び図6の各アルゴリズムにおいて、添え字付きの変数Dは辞書形式(項目名と値の集合)、変数Lはリストを表す。また、Vlnは脆弱性(Vulnerability)、Prdは製品(Product)、Cmpは企業(Company)をそれぞれ表す。例えば、DVlnは脆弱性情報の値、データを表し、LPrdは製品リストを表すことになる。
また、ダッシュ記号(´)は、先述の親子関係における子の方であることを表す。例えば、製品情報Aが親、製品情報Bが子の関係があるとき、Prd_ID’は、親の製品情報Aとは異なる子の製品情報Bの識別値(ID)を表すことになる。同様に、企業情報Cとその関連企業情報Dを親子関係で表すときに、Cmp_ID’は、親の企業情報Cとは異なる子の企業情報Dの識別値(ID)を表すことになる。
なお、各アルゴリズムにおける手順4はリストの初期化を表している。
また、ダッシュ記号(´)は、先述の親子関係における子の方であることを表す。例えば、製品情報Aが親、製品情報Bが子の関係があるとき、Prd_ID’は、親の製品情報Aとは異なる子の製品情報Bの識別値(ID)を表すことになる。同様に、企業情報Cとその関連企業情報Dを親子関係で表すときに、Cmp_ID’は、親の企業情報Cとは異なる子の企業情報Dの識別値(ID)を表すことになる。
なお、各アルゴリズムにおける手順4はリストの初期化を表している。
【0038】
上記の手順により脆弱性情報IDを入手すれば、それに関連する製品情報や企業情報を参照することが可能となる。
【0039】
表1に、共有される情報の具体的な内容を示す。
【0040】
【表1】
【0041】
上記で取得された情報は、例えば広域的にシステムをセキュリティ監視するシステムに活用され得る。具体例として、セキュリティ対策への活用が挙げられる。監視対象のシステムに存在する製品名に対応する脆弱性を列挙し、それぞれの脆弱性に関して、表1に示される情報を取得する。これにより、脆弱性の脅威度や発生条件、発生した場合の影響が分かり、事前の対策に活用できる。
【0042】
別の例として、監視対象のシステムに存在するサプライチェーン脅威の分析が挙げられる。表1に示される情報を取得することで、その製品の製造国や、そこに含まれる部品の用途と製造国が分かる。地政学的にリスクが高いとされる国で製造された重要な部品(通信モジュール等)を確認することで、サプライチェーン上のリスクを分析できる。上記のような分析をするために必要な情報は、既存システムでは情報種別毎に管理されており、これらを自動的に集約するシステムは存在しなかったが、本発明のレポジトリ装置、レポジトリ構成方法又はプログラムを利用することで、上記の分析を容易に行うことが可能となる。
【0043】
本発明によれば、各情報種別を区分して整理することで、情報管理のコストを最小限に抑えることが可能となる。例えば、企業名に変更がある場合、企業情報のみを更新すればよい。また、ある製品に新たに既知の脆弱性が判明した場合、既存の脆弱性情報の製品リストに当該の製品を追加すればよい。
また、本発明によれば、従来の手法と比較して、ハードウェア製品の情報を基にサプライチェーンに起因するリスクや利用時の脆弱性に基づくリスクを総合的に共有、分析し、脆弱性情報を活用することが可能となる。
また、本発明によれば、従来の手法と比較して、ハードウェア製品の情報を基にサプライチェーンに起因するリスクや利用時の脆弱性に基づくリスクを総合的に共有、分析し、脆弱性情報を活用することが可能となる。
【0044】
なお、本実施形態により、例えば、情報管理のコストを最小限に抑えることが可能となるとともに、ハードウェア製品の情報を基にサプライチェーンに起因するリスクや利用時の脆弱性に基づくリスクを総合的に共有、分析し、脆弱性情報を活用することも可能となることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進すると共に、イノベーションの拡大を図る」に貢献することが可能となる。
【0045】
以上、本発明の実施形態について説明したが、本発明は、前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0046】
例えば、本発明のレポジトリ装置、レポジトリ構成方法及びプログラムにより取得された情報のさらなる活用例及びその効果として、以下に示すような例が考えられる。
(活用例1)
脆弱性脅威度や脆弱性影響、製品用途、製品利用先を確認することで、その脆弱性がもたらす影響の度合が特に高い場合、企業のリコール等に活用することができる。
(活用例2)
脆弱性登録日や脆弱性更新日、脆弱性情報源を確認することで、その脆弱性情報の更新状況の確認や情報の信憑性の推測が可能となる。
(活用例1)
脆弱性脅威度や脆弱性影響、製品用途、製品利用先を確認することで、その脆弱性がもたらす影響の度合が特に高い場合、企業のリコール等に活用することができる。
(活用例2)
脆弱性登録日や脆弱性更新日、脆弱性情報源を確認することで、その脆弱性情報の更新状況の確認や情報の信憑性の推測が可能となる。
【0047】
(活用例3)
脆弱性脅威度や脆弱性条件、脆弱性影響、製品用途を確認することで、類似する製品で発見された脆弱性やその発現条件を把握し、自社製品の保護や新規開発に活用することができる。
(活用例4)
脆弱性脅威度や製品用途、製品製造企業名、製品製造企業国籍、製品製造企業取引先企業を確認することで、脆弱性に関するサプライチェーン上のリスクや傾向を分析することができる。
脆弱性脅威度や脆弱性条件、脆弱性影響、製品用途を確認することで、類似する製品で発見された脆弱性やその発現条件を把握し、自社製品の保護や新規開発に活用することができる。
(活用例4)
脆弱性脅威度や製品用途、製品製造企業名、製品製造企業国籍、製品製造企業取引先企業を確認することで、脆弱性に関するサプライチェーン上のリスクや傾向を分析することができる。
【符号の説明】
【0048】
1 レポジトリ装置
2 入力側外部システム(サービス)又は人
3 出力側外部システム(サービス)
10 制御部
11 情報入力部
12 情報格納部
13 情報整形部
20 入力部
30 出力部
40 記憶部
50 レポジトリ(データベース)
2 入力側外部システム(サービス)又は人
3 出力側外部システム(サービス)
10 制御部
11 情報入力部
12 情報格納部
13 情報整形部
20 入力部
30 出力部
40 記憶部
50 レポジトリ(データベース)
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】