知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024165847
(43)【公開日】2024-11-28
(54)【発明の名称】不具合対応支援システム及び不具合対応支援方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20241121BHJP
【FI】
G06F21/57
G06F21/57 370
【審査請求】未請求
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2023082391
(22)【出願日】2023-05-18
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110000176
【氏名又は名称】弁理士法人一色国際特許事務所
(72)【発明者】
【氏名】重村 晃義
(57)【要約】
【課題】脆弱性情報に関して的確に対応し、対象システム等における対策を効率的に実行可能とする。
【解決手段】不具合対応支援装置100において、不具合対応の対象システムそれぞれに関する各種の属性情報を保持する記憶装置101と、脆弱性が示された構成の情報を抽出し、前記構成を含む対象システム候補を特定し、対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を属性情報から参照し、予め規定したレベルとなっているものを重要システムとして特定し、前記構成に関して脆弱性情報に応じて更新する値を構成管理ツールの定義ファイルに設定して重要システムの更新をする演算装置104を含む構成とする。
【選択図】図2
【解決手段】不具合対応支援装置100において、不具合対応の対象システムそれぞれに関する各種の属性情報を保持する記憶装置101と、脆弱性が示された構成の情報を抽出し、前記構成を含む対象システム候補を特定し、対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を属性情報から参照し、予め規定したレベルとなっているものを重要システムとして特定し、前記構成に関して脆弱性情報に応じて更新する値を構成管理ツールの定義ファイルに設定して重要システムの更新をする演算装置104を含む構成とする。
【選択図】図2
【特許請求の範囲】
【請求項1】
不具合対応の対象システムそれぞれに関する各種の属性情報を保持する記憶装置と、
所定装置から発行された脆弱性情報を取得して、前記脆弱性情報において脆弱性が示された構成の情報を抽出する処理、前記構成を含む対象システム候補を前記属性情報に基づき特定する処理、前記対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を前記属性情報から参照し、当該仕様が予め規定したレベルとなっているものを重要システムとして特定する処理、前記重要システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記重要システムを更新する処理を実行する演算装置と、
を含むことを特徴とする不具合対応支援装置。
所定装置から発行された脆弱性情報を取得して、前記脆弱性情報において脆弱性が示された構成の情報を抽出する処理、前記構成を含む対象システム候補を前記属性情報に基づき特定する処理、前記対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を前記属性情報から参照し、当該仕様が予め規定したレベルとなっているものを重要システムとして特定する処理、前記重要システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記重要システムを更新する処理を実行する演算装置と、
を含むことを特徴とする不具合対応支援装置。
【請求項2】
前記演算装置は、
前記重要システムにおける複数の所定属性ごとの一致について、前記対象システムそれぞれについて判定して、当該判定の結果を前記複数の所定属性について前記対象システムごとに集計する処理と、前記集計の結果に基づき、前記対象システムのうち、前記一致の度合いが基準を満たすものを特定する処理と、前記特定した対象システムのうち、前記品質及びセキュリティの少なくともいずれかの仕様が予め規定したレベルとなっているものを類似システムと決定する処理と、前記類似システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記類似システムを更新する処理を実行するものである、
ことを特徴とする請求項1に記載の不具合対応支援装置。
前記重要システムにおける複数の所定属性ごとの一致について、前記対象システムそれぞれについて判定して、当該判定の結果を前記複数の所定属性について前記対象システムごとに集計する処理と、前記集計の結果に基づき、前記対象システムのうち、前記一致の度合いが基準を満たすものを特定する処理と、前記特定した対象システムのうち、前記品質及びセキュリティの少なくともいずれかの仕様が予め規定したレベルとなっているものを類似システムと決定する処理と、前記類似システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記類似システムを更新する処理を実行するものである、
ことを特徴とする請求項1に記載の不具合対応支援装置。
【請求項3】
情報処理装置が、
不具合対応の対象システムそれぞれに関する各種の属性情報を記憶装置にて保持し、
所定装置から発行された脆弱性情報を取得して、前記脆弱性情報において脆弱性が示された構成の情報を抽出する処理、前記構成を含む対象システム候補を前記属性情報に基づき特定する処理、前記対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を前記属性情報から参照し、当該仕様が予め規定したレベルとなっているものを重要システムとして特定する処理、前記重要システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記重要システムを更新する処理を実行する、
ことを特徴とする不具合対応支援方法。
不具合対応の対象システムそれぞれに関する各種の属性情報を記憶装置にて保持し、
所定装置から発行された脆弱性情報を取得して、前記脆弱性情報において脆弱性が示された構成の情報を抽出する処理、前記構成を含む対象システム候補を前記属性情報に基づき特定する処理、前記対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を前記属性情報から参照し、当該仕様が予め規定したレベルとなっているものを重要システムとして特定する処理、前記重要システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記重要システムを更新する処理を実行する、
ことを特徴とする不具合対応支援方法。
【請求項4】
前記情報処理装置が、
前記重要システムにおける複数の所定属性ごとの一致について、前記対象システムそれぞれについて判定して、当該判定の結果を前記複数の所定属性について前記対象システムごとに集計する処理と、前記集計の結果に基づき、前記対象システムのうち、前記一致の度合いが基準を満たすものを特定する処理と、前記特定した対象システムのうち、前記品質及びセキュリティの少なくともいずれかの仕様が予め規定したレベルとなっているものを類似システムと決定する処理と、前記類似システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記類似システムを更新する処理を実行する、
ことを特徴とする請求項3に記載の不具合対応支援方法。
前記重要システムにおける複数の所定属性ごとの一致について、前記対象システムそれぞれについて判定して、当該判定の結果を前記複数の所定属性について前記対象システムごとに集計する処理と、前記集計の結果に基づき、前記対象システムのうち、前記一致の度合いが基準を満たすものを特定する処理と、前記特定した対象システムのうち、前記品質及びセキュリティの少なくともいずれかの仕様が予め規定したレベルとなっているものを類似システムと決定する処理と、前記類似システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記類似システムを更新する処理を実行する、
ことを特徴とする請求項3に記載の不具合対応支援方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不具合対応支援装置及び不具合対応支援方法に関するものである。
【背景技術】
【0002】
システムに何らかの不具合や脆弱性が発見された場合、当該システムを運用中の組織に対し、当該システムのベンダーやそのアプリケーション等の開発元等から、いわゆる脆弱性情報が通知される。
この通知を受け取るシステム担当者らは、そうした脆弱性が自社システムに関係するものであるか具体的に確認し対処することとなる。
この通知を受け取るシステム担当者らは、そうした脆弱性が自社システムに関係するものであるか具体的に確認し対処することとなる。
【0003】
そこで、システム担当者らにおける上述の作業を支援するものとして、例えば、ネットワークシステムの信頼性を考慮しつつ、ソフトウェアの更新要否を適切に判定可能なソフトウェア更新要否判定方法を提供する技術(特許文献1参照)などが提案されている。
【0004】
この技術は、所定のネットワークシステムを構成する機器に搭載されたソフトウェアの更新要否を判定するコンピュータのソフトウェア更新要否判定方法であって、前記コンピュータが、前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報を取得して記憶装置に格納する格納ステップと、前記コンピュータが、前記記憶装置に格納されている前記機器に搭載されたソフトウェアに関する情報および前記ソフトウェアの脆弱性に関する情報に基づき、前記機器に搭載されたソフトウェアのうち脆弱性のあるものを選択する選択ステップと、選択された前記ソフトウェアのうち利用実績のあるソフトウェアを更新が必要と判定する判定ステップとを有することを特徴とするソフトウェア更新要否判定方法にかかるものである。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007-323349号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
ところが、上述の確認等の対処はシステム担当者らにとって、依然として大きな負担となったままである。ベンダー等から日々通知される脆弱性情報には、膨大な数の情報が含まれており、そうした情報中から的確な情報選択を行うことは容易ではない。
特に、組織を横断した大規模システムや、或いはベンダーとして他社に納入し管理を担っているシステムなど、組織全体として対応する必要があるシステムであれば、その作業負荷はさらに過大なものとなりやすい。また、当該業務は、担当者個々のスキルに大きく依存する傾向があり、属人性の高さ故に担当者間での業務精度に差異が生じる等の問題もあった。
特に、組織を横断した大規模システムや、或いはベンダーとして他社に納入し管理を担っているシステムなど、組織全体として対応する必要があるシステムであれば、その作業負荷はさらに過大なものとなりやすい。また、当該業務は、担当者個々のスキルに大きく依存する傾向があり、属人性の高さ故に担当者間での業務精度に差異が生じる等の問題もあった。
【0007】
そこで本発明の目的は、脆弱性情報に関して的確に対応し、対象システム等における対策を効率的に実行可能とする技術を提供することにある。
【課題を解決するための手段】
【0008】
上記課題を解決する本発明の不具合対応支援装置は、不具合対応の対象システムそれぞれに関する各種の属性情報を保持する記憶装置と、所定装置から発行された脆弱性情報を取得して、前記脆弱性情報において脆弱性が示された構成の情報を抽出する処理、前記構成を含む対象システム候補を前記属性情報に基づき特定する処理、前記対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を前記属性情報から参照し、当該仕様が予め規定したレベルとなっているものを重要システムとして特定する処理、前記重要システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記重要システムを更新する処理を実行する演算装置と、を含むことを特徴とする。
また、本発明の不具合対応支援方法は、情報処理装置が、不具合対応の対象システムそれぞれに関する各種の属性情報を記憶装置にて保持し、所定装置から発行された脆弱性情報を取得して、前記脆弱性情報において脆弱性が示された構成の情報を抽出する処理、前記構成を含む対象システム候補を前記属性情報に基づき特定する処理、前記対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を前記属性情報から参照し、当該仕様が予め規定したレベルとなっているものを重要システムとして特定する処理、前記重要システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記重要システムを更新する処理を実行する、ことを特徴とする。
また、本発明の不具合対応支援方法は、情報処理装置が、不具合対応の対象システムそれぞれに関する各種の属性情報を記憶装置にて保持し、所定装置から発行された脆弱性情報を取得して、前記脆弱性情報において脆弱性が示された構成の情報を抽出する処理、前記構成を含む対象システム候補を前記属性情報に基づき特定する処理、前記対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を前記属性情報から参照し、当該仕様が予め規定したレベルとなっているものを重要システムとして特定する処理、前記重要システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記重要システムを更新する処理を実行する、ことを特徴とする。
【発明の効果】
【0009】
本発明によれば、脆弱性情報に関して的確に対応し、対象システム等における対策を効率的に実行可能となる。
【図面の簡単な説明】
【0010】
【図1】本実施形態の不具合対応支援装置を含むネットワーク構成図である。
【図2】本実施形態における不具合対応支援装置のハードウェア構成例を示す図である。
【図3】本実施形態における属性情報DBの構成例を示す図である。
【図4】本実施形態における不具合対応支援方法のフロー例を示す図である。
【図5】本実施形態における画面例を示す図である。
【図6】本実施形態における品質確保管理ランクの定義例を示す図である。
【図7】本実施形態におけるセキュリティランクの定義例を示す図である。
【図8】本実施形態における不具合対応支援装必要のフロー例を示す図である。
【図9A】本実施形態における類似判定の結果例を示す図である。
【図9B】本実施形態における類似判定の結果例を示す図である。
【図9C】本実施形態における類似判定の結果例を示す図である。
【図9D】本実施形態における類似判定の結果例を示す図である。
【図9E】本実施形態における類似判定の結果例を示す図である。
【発明を実施するための形態】
【0011】
<ネットワーク構成>
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態の不具合対応支援装置100を含むネットワーク構成図である。図1に示す不具合対応支援装置100は、脆弱性情報に関して的確に対応し、対象システム等における対策を効率的に実行可能とするコンピュータである。
以下に本発明の実施形態について図面を用いて詳細に説明する。図1は、本実施形態の不具合対応支援装置100を含むネットワーク構成図である。図1に示す不具合対応支援装置100は、脆弱性情報に関して的確に対応し、対象システム等における対策を効率的に実行可能とするコンピュータである。
【0012】
本実施形態の不具合対応支援装置100は、図1で示すように、社内ネットワークやインターネットなど適宜なネットワーク1を介して、ユーザ端末200、脆弱性検知PF300、構成管理基盤400、対象システム500、及び作業サーバ600などと通信可能に接続されている。よって、これらを総称して不具合対応支援システム10としてもよい。
【0013】
本実施形態の不具合対応支援装置100は、組織におけるシステム担当者等に対し、当該組織で運用中(自他の組織問わず)のシステムに関する脆弱性情報への対処支援を行うサービス提供装置と言える。
【0014】
なお、脆弱性検知PF300や構成管理基盤400それ自体が、本実施形態の不具合対応支援装置100の構成や機能を有している形態も想定しうる。
【0015】
一方、ユーザ端末200は、上述のシステム担当者が、不具合対応支援装置100との間で情報の授受を行う際に使用する端末である。具体的には、スマートフォン、タブレット端末、パーソナルコンピュータなどを想定できる。
【0016】
また、脆弱性検知PF300は、例えば、上述の組織が自組織で運用中及び他組織に納入して当該他組織で使用中、といった製品、サービスの情報を管理し、その脆弱性についての感知機会に応じてシステム担当者等に必要な通知を行う基盤である。
【0017】
そのため、この脆弱性検知PF300は、上述の製品、サービス等における、少なくともソフトウェア構成の情報を保持、管理している。また、脆弱性検知PF300は、製品、サービス等で稼働するOS(Operating System)や各種アプリケーション等のベンダーより、その脆弱性に関するアラートを随時取得し、当該脆弱性の対象となった製品やサービス等を含むシステムを特定の上、必要なアラートを発報する。
【0018】
また、構成管理基盤400は、組織が運用、管理する各システムにおける、プロフィール、ソフトウェア、ハードウェア、ネットワーク、セキュリティ、メンテナンス、及びそれらの連携や紐付けといった各種情報を管理している基盤である。
【0019】
この構成管理基盤400も、脆弱性検知PF300と同様、各種のベンダー等からのソフトウェアやハードウェアの不具合情報等を受信、取得し、これを必要に応じてシステム担当者等に通知する。
【0020】
なお、本実施形態では、脆弱性情報の発行主体として脆弱性検知PF300と構成管理基盤400をあげるが、あくまでも一例であって、不具合対応支援の対象システムに関して脆弱性等を感知、管理し、適宜に通知する機能を有するものであれば、限定しない。
【0021】
また、対象システム500は、不具合対応の対象となりうるシステムであって、上述の組織が組織内外で運用ないし管理しているシステムである。
【0022】
この対象システム500は、所定の作業サーバ600(或いは、不具合対応支援装置100や構成管理基盤400であってもよい)に備わる構成管理ツール610により、脆弱性等に対処する設定値を有した定義ファイル615等を介して適宜更新されることとなる。
【0023】
なお、上述の定義ファイル615は、例えば、Ansible(登録商標)におけるPlaybook(登録商標)を一例として想定できる。Ansible(登録商標)は、構成管理ツールの1種であり、ネットワーク経由でセキュアに接続したホストにおいて、ミドルウェアのインストールや設定ファイルの更新を行うツールである。また、Playbook(登録商標)は、こうしたAnsible(登録商標)の環境下で、上述のホストの状態定義を行うファイルとなる。
【0024】
勿論、こうした定義ファイル615やその実行ツール(構成管理ツール)の適用形態は一例であり、ネットワーク経由でシステム構成管理を行うツールやそのための定義ファイルを適宜採用可能であって限定はしない。
<ハードウェア構成>
また、本実施形態の不具合対応支援装置100のハードウェア構成は、図2に以下の如くとなる。
<ハードウェア構成>
また、本実施形態の不具合対応支援装置100のハードウェア構成は、図2に以下の如くとなる。
【0025】
すなわち不具合対応支援装置100は、記憶装置101、メモリ103、演算装置104、および通信装置105、を備える。
【0026】
このうち記憶装置101は、SSD(Solid State Drive)やハードディスクドライブなど適宜な不揮発性記憶素子で構成される。
【0027】
また、メモリ103は、RAM(Random Access Memory)など揮発性記憶素子で構成される。
【0028】
また、演算装置104は、記憶装置101に保持されるプログラム102をメモリ103に読み出すなどして実行し装置自体の統括制御を行なうとともに各種判定、演算及び制御処理を行なうCPU(Central processing Unit)である。
【0029】
また、通信装置105は、ネットワーク1と接続してユーザ端末200、脆弱性検知PF300、構成管理基盤400、対象システム500、及び作業サーバ600などとの通信処理を担うネットワークインターフェイスカード等を想定する。
【0030】
なお、不具合対応支援装置100は、ユーザからのキー入力や音声入力を受け付ける入力装置、処理データの表示を行うディスプレイ等の出力装置、を更に備えるとすれば好適である。
【0031】
また、記憶装置101内には、本実施形態の不具合対応支援装置として必要な機能を実装する為のプログラム102に加えて、属性情報DB125が少なくとも記憶されている。
【0032】
ただし、この属性情報DB125についての詳細は後述する。また、記憶装置101に、作業サーバ600に代わって、構成管理ツール610や定義ファイル615を備えて、随意利用可能であるとしてもよい。
<データ構造例>
続いて、本実施形態の不具合対応支援装置100が用いる各種情報について説明する。図3に、本実施形態における属性情報DB125の一例を示す。本実施形態の属性情報DB125は、不具合対応の対象となりうるシステム、つまり対象システム500における各種の属性情報を格納したデータベースである。
<データ構造例>
続いて、本実施形態の不具合対応支援装置100が用いる各種情報について説明する。図3に、本実施形態における属性情報DB125の一例を示す。本実施形態の属性情報DB125は、不具合対応の対象となりうるシステム、つまり対象システム500における各種の属性情報を格納したデータベースである。
【0033】
この属性情報DB125は、例えば、システムの識別情報をキーとして、当該システムの使用者、名称、概要、機種、OS,DB、ミドルウェア、品質確保管理ランク、セキュリティランク、ダウンタイム区分、許容ダウンタイム、といったデータを紐付けたレコードの集合体となっている。
【0034】
このうち品質確保管理ランクは、当該システムに関して定められた品質の仕様であって、当該システムの社会的な重要度、不具合等が発生した場合の影響範囲や損害レベルなどの観点で知見ある者が、又は当該システムの使用者があらかじめ決定したものとなる。ランクの具体的な値としては、例えば、高い順にAAA、AA、A、B、Cといったものを想定できる。
【0035】
また、セキュリティランクは、セキュリティに関して定められた仕様であって、当該システムにおける、ネットワーク環境(外部公開の有無)や機密情報の有無といった観点で知見ある者が、又は当該システムの使用者があらかじめ決定したものとなる。ランクの具体的な値としては、上述の品質確保管理ランクと同様に想定できる。
<フロー例:メインフロー>
以下、本実施形態における不具合対応支援方法の実際手順について図に基づき説明する。以下で説明する不具合対応支援方法に対応する各種動作は、不具合対応支援装置100がメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
<フロー例:メインフロー>
以下、本実施形態における不具合対応支援方法の実際手順について図に基づき説明する。以下で説明する不具合対応支援方法に対応する各種動作は、不具合対応支援装置100がメモリ等に読み出して実行するプログラムによって実現される。そして、このプログラムは、以下に説明される各種の動作を行うためのコードから構成されている。
【0036】
図4は、本実施形態における不具合対応支援方法のフロー例を示す図である。ここで、脆弱性検知PF300ないし構成管理基盤400が、脆弱性情報ないし不具合情報(図5参照)を、例えばインターネットなどのネットワーク1上にて公開、或いはメール配信にて発行したとする。
【0037】
この場合、不具合対応支援装置100は、上述の脆弱性情報ないし不具合情報を取得し(以後、脆弱性情報と総称。以下同様)、当該脆弱性情報において脆弱性が示された構成の情報を抽出する(s10)。こうした構成の情報としては、脆弱性等の対象として指定されたシステムやOS(のバージョン等)、プログラム、或いは機能などの識別情報や属性といったものになる。
【0038】
続いて、不具合対応支援装置100は、s10で抽出した情報を、属性情報DB125の各レコードに照合し、当該構成を含む対象システム候補を特定する(s11)。
【0039】
例えば、s10で抽出した構成の情報が示す、対象システムの名称、機種、OSなどの値を、属性情報DB125の各レコードにおける対象項目と照合し、少なくともいずれかの対象項目に関して一致するレコード、すなわちシステムを対象システム候補として特定する。ここで特定される対象システム候補は1つだけとは限らず、複数のものが特定されるケースが一般的である。
【0040】
次に、不具合対応支援装置100は、s11で特定した対象システム候補それぞれの品質及びセキュリティの少なくともいずれかの仕様を、属性情報DB125の対象レコードにて参照し、当該仕様が予め規定したレベルとなっているものを重要システムとして特定する(s12)。
【0041】
なお、本実施形態における品質の仕様とは、属性情報DB125のレコードで規定した、品質確保管理ランクの値が該当する。また、セキュリティの仕様とは、属性情報DB125のレコードで規定した、セキュリティランクの値が該当する。こうした品質確保管理ランクの定義例を図6に、また、セキュリティランクの定義例を図7に示すが、これらはあくまでも一例であって、事業者やシステム管理者等により任意に規定されてよい。
【0042】
こうした場合、例えば、品質確保管理ランクの値が「AA」以上のもの、及び/または、セキュリティランクの値が「SR2」又は「SR3」のもの、が重要システムに該当する、などと運用できる。
【0043】
続いて、不具合対応支援装置100は、s12で特定した重要システムの構成(s10において、脆弱性が示された構成)に関して、上述の脆弱性情報に応じて更新する値を、所定の構成管理ツール(Ansible(登録商標))の定義ファイル(Playbook(登録商標))に設定する(s13)。
【0044】
また、不具合対応支援装置100は、s13で生成した定義ファイル615を、作業サーバ600に付与して、当該作業サーバ600の構成管理ツール610による重要システム更新を実行させる(s14)。こうした構成管理ツール610における定義ファイル615を使用した更新作業自体は、既存技術を適宜に選択、使用すればよい。
<フロー例:その他>
図8は、本実施形態における不具合対応支援方法のフロー例を示す図であり、具体的には、上述の重要システムと類似する他システムすなわち類似システムについても更新処理を適用する流れを示すフロー図である。
<フロー例:その他>
図8は、本実施形態における不具合対応支援方法のフロー例を示す図であり、具体的には、上述の重要システムと類似する他システムすなわち類似システムについても更新処理を適用する流れを示すフロー図である。
【0045】
この場合、不具合対応支援装置100は、上述のs12で特定した重要システムにおける複数の属性ごとの一致について、属性情報DB125にてレコードが格納されている対象システム(s11で特定した対象システム候補も含みうる)それぞれについて判定する(s20)。
【0046】
こうした判定の結果の一例を、図9A~図9Cに示す。このうち図9Aに示す例は、対象システム「A」、「C」、「D」、「E」のそれぞれと重要システムとの間における、属性情報DB125におけるレコードの項目ごとの一致状況を示すテーブルとなる。一致の場合、値「1」を設定している。
【0047】
また図9Bに示す例は、対象システム「A」、「C」、「D」、「E」のそれぞれと重要システムとの間における、ソフトウェアごとの一致状況を示すテーブルとなる。一致の場合、値「1」を設定している。
【0048】
また図9Cに示す例は、対象システム「A」、「C」、「D」、「E」のそれぞれと重要システムとの間における、ハードウェアごとの一致状況を示すテーブルとなる。一致の場合、値「1」を設定している。
【0049】
続いて不具合対応支援装置100は、上述の判定により得られる判定結果、すなわち各属性に関する一致状況(重要システムとそれ以外の対象システムとの間での)を、対象システムごとに集計する(s21)。
【0050】
こうした集計の様子は、例えば図9Dに示すように、対象システム「A」~「E」のそれぞれについて、上述のように判定した属性項目、ソフトウェア、及びハードウェアのそれぞれに関する一致の値を合計する形態を想定できる。
【0051】
例えば、「Aシステム」の場合、属性項目における計「6」、ソフトウェアにおける計「4」、及びハードウェアにおける計「3」で、合計は、6+4+3=13となる。また、図9A~図9Cの各テーブルにおける項目の合計数「16」で、「13」を除算することで、一致割合を(13÷16)×100=81%、と算定する。
【0052】
続いて不具合対応支援装置100は、s21での集計の結果、すなわち一致割合の各値に基づき、対象システムのうち、一致割合が基準(例:80%以上)を満たすものを、類似システムとして特定する(s22)。図9Dで例示したケースであれば、システムのうち、「A」と「C」の各システムが特定されることとなる。
【0053】
なお、不具合対応支援装置100は、s22で特定した対象システムのうち、品質確保管理ランク及びセキュリティランクの少なくともいずれかの仕様が予め規定したレベルとなっているものを類似システムと決定するとすれば好適である。
【0054】
その場合、例えば、対象システムのうち、品質確保管理ランクが「B」以下、又はセキュリティランクが「SR2」、「SR3」であるものについては、図9Dにおける当該対象システムに対応するレコード中の「一致割合」の値を、例えば5%低減することで、そうした相対的に低めの品質とみなしうる対象システムについては、更新対象から除外し、良質で重要なシステムを更新対象とする運用が可能となる。
【0055】
図9Eに示す例では、システム「A」において、品質確保管理ランクが「B」であったため、当初の一致割合「81%」を5%低減し、「76%」となった。そのため、システム「A」は、一致割合「80%」以上という基準に基づき更新対象から除外される。
【0056】
続いて、不具合対応支援装置100は、s22で決定した類似システムにおける構成に関して、脆弱性情報に応じて更新する値を構成管理ツール610の定義ファイル615に設定して類似システムを更新する(s23)。
【0057】
以上、本発明を実施するための最良の形態などについて具体的に説明したが、本発明はこれに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。
【0058】
こうした本実施形態によれば、脆弱性情報に関して的確に対応し、対象システム等における対策を効率的に実行可能となる。
【0059】
本明細書の記載により、少なくとも次のことが明らかにされる。すなわち、本実施形態の不具合対応支援装置において、前記演算装置は、前記重要システムにおける複数の所定属性ごとの一致について、前記対象システムそれぞれについて判定して、当該判定の結果を前記複数の所定属性について前記対象システムごとに集計する処理と、前記集計の結果に基づき、前記対象システムのうち、前記一致の度合いが基準を満たすものを特定する処理と、前記特定した対象システムのうち、前記品質及びセキュリティの少なくともいずれかの仕様が予め規定したレベルとなっているものを類似システムと決定する処理と、前記類似システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記類似システムを更新する処理を実行するものである、としてもよい。
【0060】
これによれば、重要システムだけでなく、それと類似のシステムのうち重要度の高いものについても脆弱性に関して的確に対処可能となる。ひいては、脆弱性情報に関してより的確に対応し、対象システム等における対策をさらい効率的に実行可能となる。
【0061】
また、本実施形態の不具合対応支援方法において、前記情報処理装置が、前記重要システムにおける複数の所定属性ごとの一致について、前記対象システムそれぞれについて判定して、当該判定の結果を前記複数の所定属性について前記対象システムごとに集計する処理と、前記集計の結果に基づき、前記対象システムのうち、前記一致の度合いが基準を満たすものを特定する処理と、前記特定した対象システムのうち、前記品質及びセキュリティの少なくともいずれかの仕様が予め規定したレベルとなっているものを類似システムと決定する処理と、前記類似システムにおける前記構成に関して前記脆弱性情報に応じて更新する値を、所定の構成管理ツールの定義ファイルに設定して前記類似システムを更新する処理を実行する、としてもよい。
【符号の説明】
【0062】
1 ネットワーク
10 不具合対応支援システム
100 不具合対応支援装置
101 記憶装置
102 プログラム
103 メモリ
104 演算装置
105 通信装置
125 属性情報DB
200 ユーザ端末
300 脆弱性検知PF
400 構成管理基盤
500 対象システム
600 作業サーバ
610 構成管理ツール
615 定義ファイル
10 不具合対応支援システム
100 不具合対応支援装置
101 記憶装置
102 プログラム
103 メモリ
104 演算装置
105 通信装置
125 属性情報DB
200 ユーザ端末
300 脆弱性検知PF
400 構成管理基盤
500 対象システム
600 作業サーバ
610 構成管理ツール
615 定義ファイル
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9A】
【図9B】
【図9C】
【図9D】
【図9E】
