知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024000043
(43)【公開日】2024-01-05
(54)【発明の名称】検査装置、検査プログラム、及び検査方法
(51)【国際特許分類】
G06F 21/57 20130101AFI20231225BHJP
【FI】
G06F21/57 370
【審査請求】未請求
【請求項の数】9
【出願形態】OL
(21)【出願番号】P 2022098561
(22)【出願日】2022-06-20
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】松永 聡彦
(57)【要約】
【課題】 端末が資産管理ソフトにより管理されているか否かに関らず、脆弱性のおそれがある又は不正のある端末のネットワークへの接続を検知できる。
【解決手段】 本発明は、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を所定のタイミングで検査する検査装置であって、検査対象機器の検査に必要な情報として少なくともOSの検査内容を含む情報を収集する収集手段と、収集した情報を用いて、検査対象機器のOSを判定するOS判定手段と、OS判定手段で判定した検査対象機器のOSの情報を含む脆弱性判定結果を格納する脆弱性判定結果格納手段と、OS判定手段で今回判定した各検査対象機器のOSの情報と、脆弱性判定結果格納手段に格納された過去の検査対象機器のOSの情報とを用いて、検査対象機器の脆弱性の判定を行う脆弱性判定手段とを有する。
【選択図】 図1
【解決手段】 本発明は、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を所定のタイミングで検査する検査装置であって、検査対象機器の検査に必要な情報として少なくともOSの検査内容を含む情報を収集する収集手段と、収集した情報を用いて、検査対象機器のOSを判定するOS判定手段と、OS判定手段で判定した検査対象機器のOSの情報を含む脆弱性判定結果を格納する脆弱性判定結果格納手段と、OS判定手段で今回判定した各検査対象機器のOSの情報と、脆弱性判定結果格納手段に格納された過去の検査対象機器のOSの情報とを用いて、検査対象機器の脆弱性の判定を行う脆弱性判定手段とを有する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を所定のタイミングで検査する検査装置であって、
前記検査対象機器の検査に必要な情報として少なくともオペレーティングシステムの検査内容を含む情報を収集する関連情報収集手段と、
前記関連情報収集手段が収集した情報を用いて、前記検査対象機器のオペレーティングシステムを判定するオペレーティングシステム判定手段と、
前記オペレーティングシステム判定手段で判定した前記検査対象機器のオペレーティングシステムの情報を含む脆弱性判定結果を格納する脆弱性判定結果格納手段と、
前記オペレーティングシステム判定手段で今回判定した前記各検査対象機器のオペレーティングシステムの情報と、前記脆弱性判定結果格納手段に格納された過去の前記検査対象機器のオペレーティングシステムの情報とを用いて、前記検査対象機器の脆弱性の判定を行う脆弱性判定手段と
を有することを特徴とする検査装置。
前記検査対象機器の検査に必要な情報として少なくともオペレーティングシステムの検査内容を含む情報を収集する関連情報収集手段と、
前記関連情報収集手段が収集した情報を用いて、前記検査対象機器のオペレーティングシステムを判定するオペレーティングシステム判定手段と、
前記オペレーティングシステム判定手段で判定した前記検査対象機器のオペレーティングシステムの情報を含む脆弱性判定結果を格納する脆弱性判定結果格納手段と、
前記オペレーティングシステム判定手段で今回判定した前記各検査対象機器のオペレーティングシステムの情報と、前記脆弱性判定結果格納手段に格納された過去の前記検査対象機器のオペレーティングシステムの情報とを用いて、前記検査対象機器の脆弱性の判定を行う脆弱性判定手段と
を有することを特徴とする検査装置。
【請求項2】
前記脆弱性判定手段は、前記オペレーティングシステム判定手段で今回判定した前記検査対象機器のオペレーティングシステムと同一のオペレーティングシステムの情報が、前記脆弱性判定結果格納手段に格納されているか否かで、前記検査対象機器の脆弱性を判定することを特徴とする請求項1に記載の検査装置。
【請求項3】
前記脆弱性判定手段は、IT資産管理情報も加味して前記検査対象機器の脆弱性を判定することを特徴とする請求項1に記載の検査装置。
【請求項4】
オペレーティングシステム毎に、少なくとも前記ネットワークへの接続を許可するか否かの情報を含むネットワーク接続許可情報を保持し、
前記脆弱性判定手段は、前記ネットワーク接続許可情報も加味して前記検査対象機器の脆弱性の判定を行う
ことを特徴とする請求項1に記載の検査装置。
前記脆弱性判定手段は、前記ネットワーク接続許可情報も加味して前記検査対象機器の脆弱性の判定を行う
ことを特徴とする請求項1に記載の検査装置。
【請求項5】
前記脆弱性判定手段は、さらに、前記検査対象機器の脆弱性判定結果と、トラフィック情報とを用いて前記検査対象機器の通信異常判定を行う
ことを特徴とする請求項1に記載の検査装置。
ことを特徴とする請求項1に記載の検査装置。
【請求項6】
前記所定のタイミングは、前記ネットワーク上に前記検査対象機器が新規に接続されたタイミングであることを特徴とする請求項1に記載の検査装置。
【請求項7】
前記脆弱性判定手段が行った脆弱性判定結果に基づき検査結果を生成し出力する検査結果出力手段をさらに有することを特徴とする請求項1~6のいずれかに記載の検査装置。
【請求項8】
ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を所定のタイミングで検査する検査装置に搭載されるコンピュータを、
前記検査対象機器の検査に必要な情報として少なくともオペレーティングシステムの検査内容を含む情報を収集する関連情報収集手段と、
前記関連情報収集手段が収集した情報を用いて、前記検査対象機器のオペレーティングシステムを判定するオペレーティングシステム判定手段と、
前記オペレーティングシステム判定手段で判定した前記検査対象機器のオペレーティングシステムの情報を含む脆弱性判定結果を格納する脆弱性判定結果格納手段と、
前記オペレーティングシステム判定手段で今回判定した前記各検査対象機器のオペレーティングシステムの情報と、前記脆弱性判定結果格納手段に格納された過去の前記検査対象機器のオペレーティングシステムの情報とを用いて、前記検査対象機器の脆弱性の判定を行う脆弱性判定手段と
して機能させることを特徴とする検査プログラム。
前記検査対象機器の検査に必要な情報として少なくともオペレーティングシステムの検査内容を含む情報を収集する関連情報収集手段と、
前記関連情報収集手段が収集した情報を用いて、前記検査対象機器のオペレーティングシステムを判定するオペレーティングシステム判定手段と、
前記オペレーティングシステム判定手段で判定した前記検査対象機器のオペレーティングシステムの情報を含む脆弱性判定結果を格納する脆弱性判定結果格納手段と、
前記オペレーティングシステム判定手段で今回判定した前記各検査対象機器のオペレーティングシステムの情報と、前記脆弱性判定結果格納手段に格納された過去の前記検査対象機器のオペレーティングシステムの情報とを用いて、前記検査対象機器の脆弱性の判定を行う脆弱性判定手段と
して機能させることを特徴とする検査プログラム。
【請求項9】
ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を所定のタイミングで検査する検査装置に使用する検査方法であって、
関連情報収集手段は、前記検査対象機器の検査に必要な情報として少なくともオペレーティングシステムの検査内容を含む情報を収集し、
オペレーティングシステム判定手段は、前記関連情報収集手段が収集した情報を用いて、前記検査対象機器のオペレーティングシステムを判定し、
脆弱性判定結果格納手段は、前記オペレーティングシステム判定手段で判定した前記検査対象機器のオペレーティングシステムの情報を含む脆弱性判定結果を格納し、
脆弱性判定手段は、前記オペレーティングシステム判定手段で今回判定した前記各検査対象機器のオペレーティングシステムの情報と、前記脆弱性判定結果格納手段に格納された過去の前記検査対象機器のオペレーティングシステムの情報とを用いて、前記検査対象機器の脆弱性の判定を行う
ことを特徴とする検査方法。
関連情報収集手段は、前記検査対象機器の検査に必要な情報として少なくともオペレーティングシステムの検査内容を含む情報を収集し、
オペレーティングシステム判定手段は、前記関連情報収集手段が収集した情報を用いて、前記検査対象機器のオペレーティングシステムを判定し、
脆弱性判定結果格納手段は、前記オペレーティングシステム判定手段で判定した前記検査対象機器のオペレーティングシステムの情報を含む脆弱性判定結果を格納し、
脆弱性判定手段は、前記オペレーティングシステム判定手段で今回判定した前記各検査対象機器のオペレーティングシステムの情報と、前記脆弱性判定結果格納手段に格納された過去の前記検査対象機器のオペレーティングシステムの情報とを用いて、前記検査対象機器の脆弱性の判定を行う
ことを特徴とする検査方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、検査装置、検査プログラム、及び検査方法に関し、例えば、ネットワークに接続された機器を遠隔で監視及び管理を行う装置(脆弱性のある機器のネットワーク接続検知を行う装置等)に適用し得る。
【背景技術】
【0002】
コンピュータのOS(Operating System)やソフトウェアには、プログラムの不具合や設計上のミスが原因となって発生し得る情報セキュリティ上の欠陥である脆弱性問題が存在する。脆弱性が放置された状態でコンピュータを利用し続けると、不正アクセスに利用されたり、ウイルスに感染したりする危険性がある。
【0003】
このように脆弱性は、ネットワーク(インターネット等)に接続しているコンピュータにおける情報セキュリティ上の大きな問題のひとつになっている。
【0004】
ところで、企業・団体内にどのような機器が接続許可されているかを知るソフトウェアとしてIT(Information Technology)資産管理が存在する。IT資産管理とは、PC(Personal Computer)、サーバ、その他プリンタ等の企業・団体内のネットワークに接続する機器の情報を収集し、データベースで管理することである。IT資産管理は、例えば、接続する機器のIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレス、コンピュータ名、OSインストールソフトウェア、オープンポート番号、利用者等の情報を管理する。
【0005】
各機器の情報は、資産管理ソフトウェアで直接記述したり、端末に専用ソフトウェアをインストールし、OS等の端末情報をIT資産管理装置に送信するという方法がある。
【0006】
IT資産管理の活用方法として、例えば許可されていない機器がネットワークに接続されていないか、機器に不正であったり、脆弱性のあるOSやソフトウェアがインストールされていないかを管理することができる。
【0007】
機器の脆弱性を発見するソフトウェアとして、例えば、非特許文献1~3に開示されているような脆弱性検査ツールが存在する。脆弱性検査ツールを利用して脆弱性を発見、除去することでウイルス感染等のリスクを抑えることができる。また、脆弱性検査手段として、例えば以下のような検査(OSスキャン)が存在する。
【0008】
OSスキャンは、ネットワークに接続されている検査対象端末に対しポーリングを行い、応答内容を調べる。そして検査対象端末が使用しているOSを調べることができる。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】“Nmap Changelog”[2022年6月1日検索],[Online]、INTERNET、<URL: https://nmap.org/changelog.html>
【非特許文献2】“NESSUS”[2022年6月1日検索],[Online]、INTERNET、<URL: https://www.tenable.com/products/nessus>
【非特許文献3】“OWASP ZAP(Zed Attack Proxy)”[2022年6月1日検索],[Online]、INTERNET、<URL: https://owasp.org/www-project-zap/>
【発明の概要】
【発明が解決しようとする課題】
【0010】
ところで、情報セキュリティ上、企業等は脆弱性のあるOSがインストールがされた端末がネットワークに接続されたならば、即座にネットワークからこれら端末を遮断したい。また、IT資産管理ソフトウェアといった許可端末、又は禁止端末のリストを使用しなくても、脆弱性のおそれがある、又は不正のある端末を即座に検知したい。
【0011】
各機器(端末)に資産管理ソフトをインストールする手段では、インストールされていない不正端末に対しては端末情報を収集できないという問題がある。
【0012】
そのため、端末が資産管理ソフトにより管理されているか否かに関らず、脆弱性のおそれがある又は不正のある端末のネットワークへの接続を検知できる検査装置、検査プログラム、及び検査方法が望まれている。
【課題を解決するための手段】
【0013】
第1の本発明は、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を所定のタイミングで検査する検査装置であって、(1)前記検査対象機器の検査に必要な情報として少なくともオペレーティングシステムの検査内容を含む情報を収集する関連情報収集手段と、(2)前記関連情報収集手段が収集した情報を用いて、前記検査対象機器のオペレーティングシステムを判定するオペレーティングシステム判定手段と、(3)前記オペレーティングシステム判定手段で判定した前記検査対象機器のオペレーティングシステムの情報を含む脆弱性判定結果を格納する脆弱性判定結果格納手段と、(4)前記オペレーティングシステム判定手段で今回判定した前記各検査対象機器のオペレーティングシステムの情報と、前記脆弱性判定結果格納手段に格納された過去の前記検査対象機器のオペレーティングシステムの情報とを用いて、前記検査対象機器の脆弱性の判定を行う脆弱性判定手段とを有することを特徴とする。
【0014】
第2の本発明の検査プログラムは、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を所定のタイミングで検査する検査装置に搭載されるコンピュータを、(1)前記検査対象機器の検査に必要な情報として少なくともオペレーティングシステムの検査内容を含む情報を収集する関連情報収集手段と、(2)前記関連情報収集手段が収集した情報を用いて、前記検査対象機器のオペレーティングシステムを判定するオペレーティングシステム判定手段と、(3)前記オペレーティングシステム判定手段で判定した前記検査対象機器のオペレーティングシステムの情報を含む脆弱性判定結果を格納する脆弱性判定結果格納手段と、(4)前記オペレーティングシステム判定手段で今回判定した前記各検査対象機器のオペレーティングシステムの情報と、前記脆弱性判定結果格納手段に格納された過去の前記検査対象機器のオペレーティングシステムの情報とを用いて、前記検査対象機器の脆弱性の判定を行う脆弱性判定手段として機能させることを特徴とする。
【0015】
第3の本発明は、ネットワークを介して接続される1又は2以上の検査対象機器の脆弱性及び又は不正を所定のタイミングで検査する検査装置に使用する検査方法であって、(1)関連情報収集手段は、前記検査対象機器の検査に必要な情報として少なくともオペレーティングシステムの検査内容を含む情報を収集し、(2)オペレーティングシステム判定手段は、前記関連情報収集手段が収集した情報を用いて、前記検査対象機器のオペレーティングシステムを判定し、(3)脆弱性判定結果格納手段は、前記オペレーティングシステム判定手段で判定した前記検査対象機器のオペレーティングシステムの情報を含む脆弱性判定結果を格納し、(4)脆弱性判定手段は、前記オペレーティングシステム判定手段で今回判定した前記各検査対象機器のオペレーティングシステムの情報と、前記脆弱性判定結果格納手段に格納された過去の前記検査対象機器のオペレーティングシステムの情報とを用いて、前記検査対象機器の脆弱性の判定を行うことを特徴とする。
【発明の効果】
【0016】
本発明によれば、端末が資産管理ソフトにより管理されているか否かに関らず、脆弱性のおそれがある又は不正のある端末のネットワークへの接続を検知できる。
【図面の簡単な説明】
【0017】
【図1】第1の実施形態に係る脆弱性検知装置の内部構成を示すブロック図である。
【図2】第1の実施形態に係る脆弱性検査システムの全体構成を示す全体構成図である。
【図3】第1の実施形態に係るIT資産情報格納部の一例を示す説明図である。
【図4】第1の実施形態に係るOS情報格納部の一例を示す説明図である。
【図5】第1の実施形態に係る判定結果格納部の一例を示す説明図である。
【図6】第1の実施形態に係る脆弱性検査システム(主に脆弱性検知装置)における脆弱性検査を示すフローチャートである。
【図7】第2の実施形態に係る脆弱性検査システムの全体構成を示す全体構成図である。
【図8】第2の実施形態に係る機器トラフィック管理情報の一例を示す説明図である
【図9】第2の実施形態に係る脆弱性検査システム(主に脆弱性検知装置)における脆弱性検査を示すフローチャートである。
【発明を実施するための形態】
【0018】
(A)第1の実施形態
以下では、本発明に係る検査装置、検査プログラム、及び検査方法の第1の実施形態を、図面を参照しながら詳細に説明する。
以下では、本発明に係る検査装置、検査プログラム、及び検査方法の第1の実施形態を、図面を参照しながら詳細に説明する。
【0019】
【0020】
図2において、脆弱性検査システム100は、脆弱性機器検知装置1と、IT資産管理装置2と、監視結果出力装置3と、複数の検査対象端末4(4-1~4-n)とを有し、各装置(端末)はネットワークNを介して接続されている。
【0021】
ネットワークNは、各装置が接続可能な通信ネットワークであれば良く、その種類は限定されるものではない。また、各装置間に介在するネットワークが複数種類あり、ネットワークNが複数種類のネットワーク(イーサーネット、インターネット等)で構成されていても良い。この実施形態では、ネットワークNは、企業・団体内が管理、利用することができるイントラネットワークとも呼ばれるネットワークを主に対象とする。
【0022】
脆弱性機器検知装置1は、検査対象の端末である検査対象端末4内に脆弱性を含んでいるか否かを検査する機能を保持する。
【0023】
IT資産管理装置2は、ネットワークNに接続する機器(検査対象端末4等)のネットワーク関連情報を収集し、管理する装置である。変形例として、当該IT資産管理装置2(IT資産情報格納部17)は、脆弱性検査システム100から除外しても良い。
【0024】
また、IT資産管理装置2は、検査対象端末4から収集した情報を格納するIT資産情報格納部17を有する。IT資産情報格納部17の詳細は、後述すする脆弱性機器検知装置1の詳細構成で述べるものとする。
【0025】
監視結果出力装置3は、ネットワーク接続機器の監視及び管理に関わる装置であり、脆弱性検査の結果を出力表示する機能を保持する。例えば、監視結果出力装置3は、装置内にWEBブラウザを所持し、当該ブラウザを用いて脆弱性機器検知装置1から送信された情報(脆弱性検査の結果)を画面表示したり、表示された画面に対して情報を入力することで脆弱性機器検知装置1に入力情報を送信することができる。
【0026】
検査対象端末4は、IPアドレスやMACアドレスが付与されネットワークNに接続可能な通信端末である。例えば、検査対象端末4は、PC、タブレット、スマートフォン等の通信機能が存在する情報処理端末である。
【0027】
(A-1-2)脆弱性機器検知装置1の詳細構成
図1は、第1の実施形態に係る脆弱性検知装置の内部構成を示すブロック図である。図1において、脆弱性機器検知装置1は、データ受信部11と、制御部12と、関連情報収集部13と、脆弱性検知部14と、検査結果生成部15と、検査情報格納部16と、判定結果格納部18と、OS情報格納部19とを有する。
図1は、第1の実施形態に係る脆弱性検知装置の内部構成を示すブロック図である。図1において、脆弱性機器検知装置1は、データ受信部11と、制御部12と、関連情報収集部13と、脆弱性検知部14と、検査結果生成部15と、検査情報格納部16と、判定結果格納部18と、OS情報格納部19とを有する。
【0028】
脆弱性機器検知装置1は、すべてハードウェア的に構成(例えば、専用の半導体チップを用いて構成)するようにしても良いし、一部または全部についてソフトウェア的に構成するようにしても良い。
【0029】
データ受信部11は、ネットワークNへの機器(検査対象端末4等)の接続を新規に検知した新規機器検知データを入力する機能を保持する。また、脆弱性機器検知装置1自体がネットワークN上のパケット監視機能を保持し、新規機器検知を自身で行うようにしても良い。
【0030】
制御部12は、脆弱性検査開始タイミングを決め、脆弱性検査開始タイミングになれば関連情報収集部13に、検査実行要求を出す機能を保持する。
【0031】
関連情報収集部13は、検査対象端末4について、後述する検査情報格納部16、後述するIT資産情報格納部17、後述する判定結果格納部18から脆弱性検査に必要な情報を抽出し、脆弱性検知部14に提供する機能を保持する。
【0032】
脆弱性検知部14は、関連情報収集部13から入力されたデータを用い、脆弱性検査を行う機能を保持する。検査結果は判定結果格納部18に格納される。また、脆弱性検知部14は、検査結果生成部15に検査結果を与える。
【0033】
検査結果生成部15は、脆弱性検知部14からのデータを用い、管理者が確認できるように検査結果を生成する機能を保持する。
【0034】
IT資産情報格納部17は、IT資産管理装置2が、検査対象端末4から収集した情報を保持する機能を有する。脆弱性機器検知装置1が、IT資産情報格納部17から情報を取得する場合には、ネットワークNを介して情報を取得することになる。
【0035】
図3は、第1の実施形態に係るIT資産情報格納部の一例を示す説明図である。図3に示すように、IT資産情報格納部17は、ネットワークNに接続された端末(検査対象端末4)を識別する「ID」と、各端末のIPアドレスを示す「IPアドレス」と、各端末のMACアドレスを示す「MACアドレス」と、各端末の名称を示す「コンピュータ名」と、各端末にインストールされたOSを示す「OS」と、各端末を利用する利用者を識別する「利用者ID」と、当該IT資産情報格納部17に格納される各レコード(データ)が更新された時刻を示す「更新時刻」と、各端末が最後に利用された時刻を示す「最終利用時刻」の項目を有する。なお、図3は一例であって、IT資産情報格納部17の構成は、種々様々な構成を適用することができる。
【0036】
検査情報格納部16は、検査種別を指定すると検査内容を取得できるようになっている。この実施形態では検査種別はOSスキャンの場合のみである。検査情報格納部16の構成は特に限定されるものでは無い。
【0037】
OS情報格納部19は、OSに関する情報を保持する機能部である。なお、OS情報格納部19は、脆弱性機器検知装置1の内部に保持しても良いし、外部装置で保持しても良い。
【0038】
図4は、第1の実施形態に係るOS情報格納部の一例を示す説明図である。図4に示すように、OS情報格納部19は、各OSを識別する「ID」と、各OSの名称を示す「OS名」と、各OSのネットワーク接続許可を示す「許可ID」の項目を有する。なお、図4は一例であって、OS情報格納部19の構成は、種々様々な構成を適用することができる。
【0039】
上述の許可IDには、例えば、「0」~「2」の値が記載される。「0」はネットワークへの接続許可を示し、「1」は、ネットワークへの接続は要注意とする。そして、「2」は、ネットワークへの接続を禁止とする。
【0040】
判定結果格納部18は、脆弱性検知部14で行った検査結果を格納する機能部である。
【0041】
図5は、第1の実施形態に係る判定結果格納部の一例を示す説明図である。
【0042】
図5に示すように、判定結果格納部18は、ネットワークNに接続された端末(検査対象端末4)を識別する「ID」と、各端末のIPアドレスを示す「IPアドレス」と、各端末のMACアドレスを示す「MACアドレス」と、各端末にインストールされたOSを示す「OS」と、判定した時刻を示す「タイムスタンプ」と、各端末のネットワーク接続の判定結果(許可又は禁止)を示す「許可」の項目を有する。判定結果格納部18は、IT資産情報格納部17と同一テーブルで管理するようにしても良い。
【0043】
図5の「ID」と図3の「ID」とは同一である。ただし、IT資産情報格納部17に登録されておらず、新規にネットワーク接続された端末についてはID101以降を付与するものとする。端末識別子(IPアドレス、MACアドレス)はIT資産情報格納部17にあるため省略可能であるが、IT資産情報格納部17に登録されていない端末もあるため記述する。また、図5のOSには、OSのID又はOS名のいずれかを登録するようにしても良い。
【0044】
(A-2)第1の実施形態の動作
次に、第1の実施形態に係る脆弱性検査システム100における特徴動作を、図面を参照しながら詳細に説明する。
次に、第1の実施形態に係る脆弱性検査システム100における特徴動作を、図面を参照しながら詳細に説明する。
【0045】
図6は、第1の実施形態に係る脆弱性検査システム(主に脆弱性検知装置)における脆弱性検査を示すフローチャートである。
【0046】
<S101>新規検知
制御部12は、データ受信部11を介して、新規にネットワークNに検査対象端末4が接続された、との検知情報が入力されると脆弱性検査処理を開始する。当該検知情報には、機器識別子(IPアドレス又はMACアドレス)が含まれる。
制御部12は、データ受信部11を介して、新規にネットワークNに検査対象端末4が接続された、との検知情報が入力されると脆弱性検査処理を開始する。当該検知情報には、機器識別子(IPアドレス又はMACアドレス)が含まれる。
【0047】
<S102>機器許可リストの参照
関連情報収集部13は、入力された機器識別子をキーとして、IT資産情報格納部17を検索する。
関連情報収集部13は、入力された機器識別子をキーとして、IT資産情報格納部17を検索する。
【0048】
<S103>OS検査済みか否かの判定
関連情報収集部13は、上述のステップS102で参照したIT資産情報格納部17の情報を基に、検査対象端末4のOS検査を行うか否かを判定する。具体的に、関連情報収集部13は、ヒットしたデータのOS列にOS情報が記述されていれば、OS検査を省略して、後述するステップS106に移行する。一方、関連情報収集部13は、ヒットしたデータのOS列にOS情報が記述されていなければ、次のステップS104に移行する。例えば、図3の例では、ID1のデータはOSが登録されているのでOS検査は行わないが、ID5のデータはOSが登録されていないのでOS検査を行う。なお、変形例としてIT資産管理装置2が存在しない場合(IT資産情報格納部17が無い場合)、当該ステップS103を省略してステップS102からステップS104に移行するようにしても良い。
関連情報収集部13は、上述のステップS102で参照したIT資産情報格納部17の情報を基に、検査対象端末4のOS検査を行うか否かを判定する。具体的に、関連情報収集部13は、ヒットしたデータのOS列にOS情報が記述されていれば、OS検査を省略して、後述するステップS106に移行する。一方、関連情報収集部13は、ヒットしたデータのOS列にOS情報が記述されていなければ、次のステップS104に移行する。例えば、図3の例では、ID1のデータはOSが登録されているのでOS検査は行わないが、ID5のデータはOSが登録されていないのでOS検査を行う。なお、変形例としてIT資産管理装置2が存在しない場合(IT資産情報格納部17が無い場合)、当該ステップS103を省略してステップS102からステップS104に移行するようにしても良い。
【0049】
<S104>許可済みか否かの判定
関連情報収集部13は、入力された機器識別子をキーとして、判定結果格納部18を検索してOSが許可済みか否か判定する。関連情報収集部13は、ヒットしたデータの許可列に「OK」が記されていれば、許可済みであるので、ステップS106へ移行する。一方、関連情報収集部13は、ヒットしたデータの許可列に「NG」が記されていれば、許可済みで無いので、ステップS105へ移行する(OS検査を行う)。なお、関連情報収集部13は、検査を定期的に行う場合、ヒットしたデータの更新時刻列を参照し、更新時刻から所定時間以上経過しているならばステップS105へ移行するようにしても良い。
関連情報収集部13は、入力された機器識別子をキーとして、判定結果格納部18を検索してOSが許可済みか否か判定する。関連情報収集部13は、ヒットしたデータの許可列に「OK」が記されていれば、許可済みであるので、ステップS106へ移行する。一方、関連情報収集部13は、ヒットしたデータの許可列に「NG」が記されていれば、許可済みで無いので、ステップS105へ移行する(OS検査を行う)。なお、関連情報収集部13は、検査を定期的に行う場合、ヒットしたデータの更新時刻列を参照し、更新時刻から所定時間以上経過しているならばステップS105へ移行するようにしても良い。
【0050】
例えば、図5の例では、IPアドレスが「192.168.100.10」の時(ID1で登録)は、許可済みであるのでステップS106へ移行する。一方、IPアドレスが「192.168.100.35」の時(ID102で登録)は、許可されていないのでステップS105へ移行する。また、「192.168.100.36」のように登録もされていない場合についてもステップS105へ移行する。
【0051】
<S105>OS検査
脆弱性検知部14は、検査情報格納部16からOS検査内容を取得し、対象の検査対象端末4に対してOS検査を実行する。OS検査としては、特に限定されないが、例えば、非特許文献1に記載のnmapを用いて行う。nmapで対象の検査対象端末4に対してパケットを送信し、応答内容を取得し、取得した応答内容を用いて(OS情報格納部19が存在すれば、該格納部のOS情報も用いて)OSを判定する。
脆弱性検知部14は、検査情報格納部16からOS検査内容を取得し、対象の検査対象端末4に対してOS検査を実行する。OS検査としては、特に限定されないが、例えば、非特許文献1に記載のnmapを用いて行う。nmapで対象の検査対象端末4に対してパケットを送信し、応答内容を取得し、取得した応答内容を用いて(OS情報格納部19が存在すれば、該格納部のOS情報も用いて)OSを判定する。
【0052】
<S106>判定結果の参照
脆弱性検知部14は、上述のステップS105で検査した結果のOSが、判定結果格納部18中のOSに存在するか否か調査する。
脆弱性検知部14は、上述のステップS105で検査した結果のOSが、判定結果格納部18中のOSに存在するか否か調査する。
【0053】
<S107>脆弱性判定
脆弱性検知部14は、上述のステップS106の処理で、判定結果格納部18中の過去の検査結果に既にOSが存在すれば、OS許可は「OK」、新規に現れたOSであれば「NG」とする。また、変形例として、許可OSデータベース(OS情報格納部19等)を参照して、許可OS又は禁止OSを判定しても良い。
脆弱性検知部14は、上述のステップS106の処理で、判定結果格納部18中の過去の検査結果に既にOSが存在すれば、OS許可は「OK」、新規に現れたOSであれば「NG」とする。また、変形例として、許可OSデータベース(OS情報格納部19等)を参照して、許可OS又は禁止OSを判定しても良い。
【0054】
例えば、図5の例では、新規にステップS105でOSがWindows10(登録商標)であると判定されたならば、既にID1、ID2、ID5にデータが存在するため脆弱性判定は「OK」とみなす。また、新規にステップS105でOSがWindowsXP(登録商標)であると判定されたならば、判定結果格納部18には存在しないため「NG」とみなす。このように特異なOS(例えば、公式サポートの期限が経過したOS等)は、企業・団体組織内で使われておらず、脆弱性があったり、不正接続したものとみなしてNGと判定する。
【0055】
<S108>判定情報の記述
脆弱性検知部14は、OSの脆弱性判定結果を判定結果格納部18に記述する。
脆弱性検知部14は、OSの脆弱性判定結果を判定結果格納部18に記述する。
【0056】
<S109>判定結果出力
検査結果生成部15は、OSの脆弱性判定結果を、管理者に提供するために、電子メールやHTML(Hyper text markup language)形式の結果を生成して、監視結果出力装置3に送信する。監視結果出力装置3に送信すると、管理者が脆弱性判定結果を閲覧することができる。
検査結果生成部15は、OSの脆弱性判定結果を、管理者に提供するために、電子メールやHTML(Hyper text markup language)形式の結果を生成して、監視結果出力装置3に送信する。監視結果出力装置3に送信すると、管理者が脆弱性判定結果を閲覧することができる。
【0057】
(A-3)第1の実施形態の効果
第1の実施形態によれば、OS検査結果情報内の検査対象ネットワークの情報を用いて特異なOSか否かを判定し、OSの脆弱性判定を行うようにしたので、IT資産管理リストにない、またはIT資産管理ソフトウェアを使わなくても脆弱性のおそれがある又は不正のある端末をすぐに検知することができる。
第1の実施形態によれば、OS検査結果情報内の検査対象ネットワークの情報を用いて特異なOSか否かを判定し、OSの脆弱性判定を行うようにしたので、IT資産管理リストにない、またはIT資産管理ソフトウェアを使わなくても脆弱性のおそれがある又は不正のある端末をすぐに検知することができる。
【0058】
(B)第2の実施形態
以下、本発明に係る検査装置、検査プログラム、及び検査方法の第2の実施形態を、図面を参照しながら詳細に説明する。
以下、本発明に係る検査装置、検査プログラム、及び検査方法の第2の実施形態を、図面を参照しながら詳細に説明する。
【0059】
(B-1)第2の実施形態の構成
図7は、第2の実施形態に係る脆弱性検査システムの全体構成を示す全体構成図である。
図7は、第2の実施形態に係る脆弱性検査システムの全体構成を示す全体構成図である。
【0060】
図7において、脆弱性検査システム200は、脆弱性機器検知装置1と、IT資産管理装置2と、監視結果出力装置3と、複数の検査対象端末4(4-1~4-n)と、トラフィック監視装置5とを有し、各装置(端末)はネットワークNを介して接続されている。第2の実施形態の脆弱性検査システム200は、第1の実施形態の脆弱性検査システム100の構成にトラフィック監視装置5を追加した構成である。
【0061】
トラフィック監視装置5は、ネットワークN上のパケットを収集し、検査対象端末4の通信状況を推定するものである。また、トラフィック監視装置5は、機器トラフィック情報管理部51を保持する。
【0062】
機器トラフィック情報管理部51は、トラフィック監視装置5による検査結果を、機器トラフィック管理情報52に記述して管理するものである。図8は、第2の実施形態に係る機器トラフィック管理情報の一例を示す説明図である。
【0063】
図8において、機器トラフィック管理情報52は、通信パケットの送信元のIPアドレスを示す「送信元アドレス」と、通信パケットの宛先のIPアドレスを示す「宛先アドレス」と、通信パケットの大きさを示す「パケットサイズ」と、通信パケットを検査した時刻を示す「タイムスタンプ」の項目を有する。なお、図8は一例であって、機器トラフィック管理情報52の構成は、種々様々な構成を適用することができる。例えば、上述のパケットのサイズの代わりに通信量を適用しても良いし、その他、送信元ポート番号、送信先ポート番号、TCP/IPサービス名といったパケットから取得できる情報を記述しても良い。
【0064】
第2の実施形態の脆弱性機器検知装置1(脆弱性検知部14)の処理については、第1の実施形態と一部異なるが、この異なる点は動作の項で述べる。
【0065】
(B-2)第2の実施形態の動作
次に、第2の実施形態に係る脆弱性検査システム200における特徴動作を、図面を参照しながら詳細に説明する。
次に、第2の実施形態に係る脆弱性検査システム200における特徴動作を、図面を参照しながら詳細に説明する。
【0066】
図9は、第2の実施形態に係る脆弱性検査システム(主に脆弱性検知装置)における脆弱性検査を示すフローチャートである。上述の図6のステップS107で脆弱性判定を行い、脆弱性「有」と判定されると以下の処理が開始される。
【0067】
<S201>トラフィック情報の取得
トラフィック監視装置5は、常時、検査対象端末4(検査対象のIPアドレス)のネットワークNに流れるパケットを監視している。そして、機器トラフィック情報管理部51は、パケットから送信元アドレス、宛先アドレス、パケットサイズ等を取得し機器トラフィック管理情報52に保存する。
トラフィック監視装置5は、常時、検査対象端末4(検査対象のIPアドレス)のネットワークNに流れるパケットを監視している。そして、機器トラフィック情報管理部51は、パケットから送信元アドレス、宛先アドレス、パケットサイズ等を取得し機器トラフィック管理情報52に保存する。
【0068】
また、機器トラフィック情報管理部51は、パケット監視状況及び機器トラフィック管理情報52から不正な通信の可能性があるかであるかを意味するトラフィックリスク値を計算している。トラフィックリスク値の計算方法については特に限定されず、種々様々な方式を適用することができる。
【0069】
例えば、機器トラフィック情報管理部51は、リスクがないと判定すれば「0」、リスクが最も高いと判定すれば「10」とする。トラフィックリスク値を計算するごとに、トラフィックリスク値を含むトラフィック情報が脆弱性機器検知装置1に送信され、データ受信部11で取得され一時保存される。脆弱性機器検知装置1では、トラフィックリスク値の取得を契機として以下の処理を実行する。
【0070】
<S202>脆弱性対策リスク計算
脆弱性検知部14は、脆弱性リスク値、及びトラフィックリスク値を用いて、脆弱性対策の必要性を意味するリスク値を計算する。OSスキャンのみによる脆弱性リスク値の場合には、例えば図4(OS情報格納部19)の許可IDの3段階の値を利用する。
脆弱性検知部14は、脆弱性リスク値、及びトラフィックリスク値を用いて、脆弱性対策の必要性を意味するリスク値を計算する。OSスキャンのみによる脆弱性リスク値の場合には、例えば図4(OS情報格納部19)の許可IDの3段階の値を利用する。
【0071】
なお、新規にリスク値(脆弱性対策の必要性を示すリスク値)を求めるのではなく、リスト化しておくようにしも良い。即ち、リスト化した値(脆弱性リスク値、トラフィックリスク値)から脆弱性対策の必要性を判定しても良い。
【0072】
例)
[端末識別子(IPアドレス)、脆弱性リスク値、トラフィックリスク値]=[192.168.100.13,1,50]
<S203>対策判定
脆弱性検知部14は、上述のリスク値を用いて対策をすべきか否か判定する。脆弱性検知部14は、対策毎にリスク値が所定のリスク値を上回れば対策をするものとする。
[端末識別子(IPアドレス)、脆弱性リスク値、トラフィックリスク値]=[192.168.100.13,1,50]
<S203>対策判定
脆弱性検知部14は、上述のリスク値を用いて対策をすべきか否か判定する。脆弱性検知部14は、対策毎にリスク値が所定のリスク値を上回れば対策をするものとする。
【0073】
脆弱性リスク値が高いほど、即座に対策が必要である。また、トラフィックリスク値が高くても対策が必要となってくる。脆弱性リスク値、トラフィックリスク値が共にスコアが高い場合は、古いOSを使用したためウイルスに感染し異常な通信が発生したり、企業・団体組織内で許可されていない端末を接続し不正な行動をしている、といったことが考えられるため至急対策を取るべきである。
【0074】
脆弱性機器検知装置1は、例えば、以下のようにして対策を行う。脆弱性リスク値が2、トラフィック異常リスク値が50以上ならば該当端末の通信を強制遮断する。また、脆弱性リスク値が1、トラフィックリスク値が30以上ならば緊急な対策は必要とないと判定し管理者に対して電子メールで通知するのみとする。脆弱性リスク値が1、トラフィックリスク値が10の場合は対策不要とする。
【0075】
<S204、S205>対策実行
脆弱性検知部14は、上述のステップS203でリスク有で対策要と判定されれば、決定された対策を実行する。
脆弱性検知部14は、上述のステップS203でリスク有で対策要と判定されれば、決定された対策を実行する。
【0076】
(B-3)第2の実施形態の効果
第2の実施形態によれば、第1の実施形態の効果に加えて以下の効果を奏する。
第2の実施形態によれば、第1の実施形態の効果に加えて以下の効果を奏する。
【0077】
脆弱性機器検知装置1が、OSの脆弱性判定結果と、実際の異常なトラフィックの情報を用いた判定を行うことにより、脆弱性や異常通信の判定の精度が向上し、第1の実施形態よりさらに異常時の対策が取りやすくなるという効果が得られる。
【0078】
(C)他の実施形態
上述した第1、第2の実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
上述した第1、第2の実施形態においても種々の変形実施形態を言及したが、本発明は、以下の変形実施形態にも適用できる。
【0079】
上述の第1の実施形態の脆弱性検査システム100、第2の実施形態の脆弱性検査システム200では、脆弱性機器検知装置1、IT資産管理装置2、及びトラフィック監視装置5は別装置の構成例で示しているが、同一ハードウェア内に構成するようにしても良い。
【符号の説明】
【0080】
1…脆弱性機器検知装置、2…IT資産管理装置、3…監視結果出力装置、4…検査対象端末、5…トラフィック監視装置、11…データ受信部、12…制御部、13…関連情報収集部、14…脆弱性検知部、15…検査結果生成部、16…検査情報格納部、17…IT資産情報格納部、18…判定結果格納部、19…OS情報格納部、51…機器トラフィック情報管理部、52…機器トラフィック管理情報、100…脆弱性検査システム、200…脆弱性検査システム、N…ネットワーク。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】