セキュリティ対策状況監視システムにおけるセキュリティポリシーの自動更新方法
【課題】セキュリティ対策状況監視システムで、日々更新されるセキュリティ情報を監視
し、セキュリティポリシーを適切なタイミングで更新するのは、システム管理者への負担
が大きい。本発明の課題は、パッチやウイルスパターンファイルが発行される度に、自動
的にかつ適切なタイミングでセキュリティポリシーを変更し、システム管理者の負担を軽
減し、常に適切なセキュリティポリシーでセキュリティ対策状況を監視するセキュリティ
対策状況監視システムを提供することにある。
【解決手段】本発明では、セキュリティ管理製品と連係することで、セキュリティ情報の
更新を自動で検知し、モデルコンピュータを使用して適切なタイミングでセキュリティポ
リシーを自動で更新することを可能とする。
し、セキュリティポリシーを適切なタイミングで更新するのは、システム管理者への負担
が大きい。本発明の課題は、パッチやウイルスパターンファイルが発行される度に、自動
的にかつ適切なタイミングでセキュリティポリシーを変更し、システム管理者の負担を軽
減し、常に適切なセキュリティポリシーでセキュリティ対策状況を監視するセキュリティ
対策状況監視システムを提供することにある。
【解決手段】本発明では、セキュリティ管理製品と連係することで、セキュリティ情報の
更新を自動で検知し、モデルコンピュータを使用して適切なタイミングでセキュリティポ
リシーを自動で更新することを可能とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータのセキュリティ対策状況を監視するためのセキュリティポリシ
ーを更新する方法およびシステムに関するものである。
【背景技術】
【0002】
セキュリティ対策状況監視システムでは、コンピュータのセキュリティ対策状況をパッ
チ適用状況やウイルス対策製品のウイルスパターンファイルなどで判定する。本システム
におけるセキュリティポリシーは、システム管理者が作成し、コンピュータに適用が必須
であるパッチ情報や最新のウイルスパターンファイルを定義する。パッチは定期的または
不定期に発行され、ウイルスパターンファイルは1週間に数回の頻度で発行されるため、
システム管理者は常にそれらの更新情報を監視し、セキュリティポリシーを適切に変更す
る必要がある。
【0003】
なお、本発明に関連する公知技術文献としては下記の特許文献1がある。
【0004】
【特許文献1】特開2004−289260号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
セキュリティポリシーを最新の状態に保つためには、発行されるパッチや、ウイルスパ
ターンファイルの更新情報を常に監視する必要があり、これらが更新される度に、セキュ
リティポリシーを変更することはシステム管理者への負担が大きい。
【0006】
また、セキュリティポリシーを変更するタイミングにも留意する必要がある。発行され
るパッチ等をコンピュータ利用者が認知する前に、セキュリティポリシーを変更すると、
コンピュータ利用者は該当パッチ等を適用する猶予がなく、セキュリティ対策状況に問題
があると判定されることとなり不都合が発生する。
【0007】
本発明の目的は、パッチやウイルスパターンファイルが発行される度に、自動的にかつ
適切なタイミングでセキュリティポリシーを変更し、システム管理者の負担を軽減し、常
に適切なセキュリティポリシーでセキュリティ対策状況を監視するセキュリティ対策状況
監視システムを提供することにある。
【課題を解決するための手段】
【0008】
本発明では、セキュリティ製品管理サーバ(例えばパッチ管理サーバやウイルス管理サ
ーバなど)とセキュリティ対策状況監視サーバが連携し、パッチやウイルスパターンファ
イルの更新を自動的に検知する。また、セキュリティポリシーの適切な変更タイミングを
判断するために、セキュリティ対策モデルコンピュータを用意する。セキュリティ対策状
況監視サーバが、パッチやウイルスパターンファイルの更新を検知した場合、セキュリテ
ィ対策モデルコンピュータに対して、発行されたパッチやウイルスパターンファイルが適
用されているか判定し、適用されている場合はセキュリティポリシーを更新する。
【発明の効果】
【0009】
本発明のセキュリティ対策状況監視システムによれば、次のような効果がある。
【0010】
セキュリティポリシーの更新を自動的に適切なタイミングで実施でき、システム管理者
の負担を軽減できる。
【発明を実施するための最良の形態】
【0011】
以下、本発明を適用したセキュリティ対策状況監視システムの一実施の形態について説
明する。
【0012】
図1は、本発明における一実施例であるセキュリティ対策状況監視システムの構成を示
すものである。セキュリティ対策状況監視システムには、セキュリティ製品管理サーバ1
01とセキュリティ対策状況監視サーバ102との連携処理を行う連携処理部105が存
在し、セキュリティ対策状況監視サーバ102には、セキュリティ対策状況監視サーバ1
02上で各処理を行う管理処理部106および各情報を格納するデータベース109が存
在し、モデルコンピュータ103および一般コンピュータ104にはコンピュータ上で各
処理を行うエージェント処理部110が存在する。以下処理の流れについて記述する。セ
キュリティ製品管理サーバ101では、セキュリティ情報(パッチの発行状況やウイルス
対策製品のウイルスパターンファイル更新履歴)を管理する。セキュリティ製品管理サー
バ101は、セキュリティ情報の更新を検知すると、セキュリティ対策状況監視サーバ1
02にセキュリティ情報の更新内容を通知する。セキュリティ対策状況監視サーバ102
は、セキュリティ情報の更新内容を受信すると、ポリシー107の複製してポリシー10
8を作成し、ポリシー108に更新されたセキュリティ情報を反映する。セキュリティ対
策状況監視サーバ102は、モデルコンピュータ103から資産情報を収集し、モデルコ
ンピュータ103の資産情報とポリシー108を照らし合わせて、セキュリティ対策情報
を判定する。セキュリティ対策状況監視サーバ102が、判定した結果、モデルコンピュ
ータ103のセキュリティ対策状況に問題がなければ、ポリシー107に更新されたセキ
ュリティ情報を反映する。セキュリティ対策状況に問題があれば、ポリシー107のポリ
シー管理情報を更新待ちにし、一定の間隔でモデルコンピュータ103のセキュリティ対
策状況に問題がないか判定し、問題がなくなった時点でポリシー107に更新されたセキ
ュリティ情報を反映する。セキュリティ対策状況監視サーバが、一般コンピュータ104
のセキュリティ対策状況の判定を行う場合は常にポリシー107を使用する。
【0013】
図2は、システムのハードウェア構成を示した図である。セキュリティ製品管理サーバ
101およびセキュリティ対策状況監視サーバ102およびモデルコンピュータ103お
よび一般コンピュータ104はCPU(Central Processing Unit)201、RAM(Ran
dom Access Memory)202、ハードディスク等の記憶装置203およびバス204から
構成される。記憶装置203には各種の制御プログラムやデータが記憶されており、CP
U201はこの制御プログラム等を読み出して所定の機能を実現する。RAM(Random A
ccess Memory)202にはCPU201によって利用される作業領域等が確保される。ま
た、セキュリティ製品管理サーバ101とセキュリティ対策状況監視サーバ102とモデ
ルコンピュータ103および一般コンピュータ104の間にはLAN等の通信回路205
が存在し、それぞれ有線または無線のネットワーク206でつながれ、通信が可能となっ
ている。
【0014】
図3は、図1のセキュリティ製品管理サーバ101の連携処理部105およびセキュリ
ティ対策状況監視サーバ102の管理処理部106およびモデルコンピュータ103およ
び一般コンピュータ104のエージェント処理部110の詳細な構成を記述したものであ
る。セキュリティ情報管理処理部301ではセキュリティ製品のセキュリティ情報の更新
を検知し、その更新情報をセキュリティ更新情報通知処理部302に通知する。セキュリ
ティ更新情報通知処理部302ではセキュリティ更新情報を、セキュリティ対策状況監視
サーバ102のポリシー管理処理部303に通知する。ポリシー管理処理部303ではセ
キュリティ更新情報を受信するとデータベース109のポリシー管理情報テーブルからポ
リシー管理情報を取得し、ポリシー107の複製を作成し、複製したポリシー108にセ
キュリティ更新情報を反映する。資産情報管理処理部304では、モデルコンピュータ1
03の資産情報収集処理部306に資産情報の収集を要求する。モデルコンピュータ10
3の資産情報収集処理部306では、資産情報を収集し、資産情報通知処理部307では
、収集した資産情報を資産情報管理処理部304に通知する。資産情報を受信した資産情
報管理処理部304では、データベース109の資産情報テーブルに資産情報を格納する
。セキュリティ対策状況判定処理部305では、データベース109から資産情報を取得
し、複製したポリシーと照らし合わせて、モデルコンピュータ103のセキュリティ対策
状況を判定し、その判定結果によりポリシー107を更新する。
【0015】
図4は、図3で示したセキュリティ情報管理処理部301およびポリシー管理処理部3
03を詳細化した図である。
【0016】
セキュリティ情報管理処理部301では、セキュリティ製品管理サーバからセキュリテ
ィ更新情報401を取得する。セキュリティ更新情報401の例としてはパッチ情報やウ
イルスパターンファイルバージョン等である。セキュリティ情報通知処理部302は、セ
キュリティ更新情報401をセキュリティ対策状況監視サーバ102のポリシー管理処理
部303に通知する。ポリシー管理処理部303は、セキュリティ更新情報401を受信
後、データベース109からポリシー107のポリシー管理情報402を取得し、ポリシ
ー管理情報402の状態を更新待ちに変更する。ポリシー管理処理部303は、ポリシー
107を複製してポリシー108を作成し、ポリシー108にパッチ情報403を追加す
る。
【0017】
図5は、セキュリティ情報管理処理部301およびポリシー管理処理部303のフロー
チャートを示した図である。セキュリティ情報管理処理部301では、セキュリティ製品
管理サーバから更新のあったパッチ情報やウイルス対策製品のウイルスパターンファイル
バージョンなどのセキュリティ更新情報401を取得する。取得したセキュリティ更新情
報401をポリシー管理処理部303に通知する(501〜503)。ポリシー管理処理
部303では、受信したセキュリティ更新情報401を、複製したポリシー108に反映
する。セキュリティ更新情報401をポリシーに反映するときには、パッチの番号や、ウ
イルス対策製品名をキー情報として、ポリシー内を検索し、既に同じキー情報が存在する
場合は、そのキー情報に対応する情報を更新し、同じキー情報が存在しない場合は、キー
情報も追加する(504〜507)。
【0018】
図6は、図3で示した資産情報管理処理部304およびモデルコンピュータ103の資
産情報収集処理部306を詳細化した図である。資産情報管理処理部304では、データ
ベース109のポリシー管理情報テーブルからポリシー管理情報402を取得する。資産
情報管理処理部304は取得したポリシー管理情報402の状態を判定し、その状態が更
新待ちであれば、モデルコンピュータ103の資産情報の収集をモデルコンピュータ10
3に対して要求する。モデルコンピュータ103の資産情報収集処理部306は、パッチ
情報604を含む資産情報603を収集し、資産情報通知処理部307に資産情報を渡す
。資産情報通知処理部307は、セキュリティ対策状況監視サーバの資産情報管理処理部
304に、資産情報603を通知する。資産情報通知処理部304では、受信した資産情
報をデータベース109の資産情報テーブルに格納する。資産情報601は、モデルコン
ピュータ103の資産情報を収集する前の状態であり、資産情報を収集後は資産情報60
1のパッチ情報はパッチ情報602の内容に更新される。
【0019】
図7は、資産情報管理処理部304およびモデルコンピュータ103の資産情報収集処
理部306のフローチャートを示した図である。資産情報管理処理部304は、データベ
ース109のポリシー管理情報テーブルからポリシー管理情報402を取得し、ポリシー
管理情報402の更新間隔の時間処理を待機する。資産情報管理処理部304は更新間隔
の時間が経過後、ポリシー管理情報402の状態が更新待ちであれば、モデルコンピュー
タ103の資産情報の収集を資産情報収集処理部307に対して要求する。ポリシー管理
情報402の状態が更新待ちでなければ、701〜703を繰り返す(701〜703)
。モデルコンピュータ103の資産情報収集処理部306では、資産情報の収集要求を受
信すると、コンピュータの情報や適用パッチ情報やウイルス対策製品情報を含む資産情報
603を収集して、資産情報通知処理部307を経由し資産情報管理処理部304に収集
した資産情報603を送信する。資産情報管理処理部304では、受信した資産情報60
3をデータベース109の資産情報テーブルのモデルコンピュータ103の資産情報60
1に追加または更新する(704〜708)。資産情報管理処理部304は、データベー
ス109の資産情報テーブルを更新後、セキュリティ対策状況の判定を実施し、ポリシー
を更新するセキュリティ対策状況判定処理部305を呼び出す(709)。
【0020】
図8は、図3で示したセキュリティ対策状況判定処理部305を詳細化した図である。
セキュリティ対策状況判定処理部305では、データベース109のポリシー管理情報4
02のポリシー名をキーとしてポリシー108を取得する。セキュリティ対策状況判定処
理部は、モデルコンピュータ103の資産情報601とポリシー108を照らし合わせて
、セキュリティ対策状況を判定する。判定した結果、パッチ情報403が資産情報601
に含まれていれば、ポリシー107にパッチ情報403を反映し、ポリシー107をポリ
シー801に更新する。ポリシー801の更新が完了後、ポリシー管理情報402の状態
802を更新完了に変更する。
【0021】
図9は、セキュリティ対策状況判定処理部305のフローチャートを示した図である。
セキュリティ対策状況判定処理部305は、データベース109の資産情報テーブルから
資産情報601を取得し、ポリシー108の内容と照らし合わせて、セキュリティ対策状
況を判定する(901、902)。セキュリティ対策状況判定処理部305は、セキュリ
ティ対策状況に問題なしと判定した場合は、ポリシー107(ポリシーA)に、ポリシー
108(ポリシーA)のパッチ情報403を追加し、ポリシー管理情報402の状態8
02を更新完了に更新する。資産情報601にパッチ情報602が存在しない場合は、ま
だポリシー107を更新するタイミングが適切でないと判断し、図7の701に制御を移
す(903〜905)。
【0022】
図7の701〜709と図9の901〜903は、ポリシー管理情報402の状態80
2が更新待ちである間、繰り返し実行される。モデルコンピュータ103でパッチ情報4
03が適用されるまでは、一般コンピュータ104のセキュリティ対策状況の判定はポリ
シー107を使用して実施され、モデルコンピュータ103でパッチ情報403が適用さ
れた後は、ポリシー107がポリシー801に自動で更新され、一般コンピュータ104
のセキュリティ対策状況の判定はポリシー801が使用されるようになる。
【図面の簡単な説明】
【0023】
【図1】本発明の一実施の形態例を示すシステム構成図である。
【図2】システムのハードウェア構成を示した図である。
【図3】セキュリティ状況対策監視システムの詳細を示した図である。
【図4】セキュリティ情報管理処理部およびポリシー管理処理部の詳細を示した図である。
【図5】セキュリティ情報管理処理部およびポリシー管理処理部の処理方式を示した図である。
【図6】資産情報管理処理部および資産情報収集処理部の詳細を示した図である。
【図7】資産情報管理処理部および資産情報収集処理部の処理方式を示した図である。
【図8】セキュリティ対策状況判定処理部の詳細を示した図である。
【図9】セキュリティ対策状況判定処理部の処理方式を示した図である。
【符号の説明】
【0024】
101…セキュリティ製品管理サーバ、102…セキュリティ対策状況監視サーバ、1
03…モデルコンピュータ、104…一般コンピュータ、105…連携処理部、106…
管理処理部、107,108,801…ポリシー、109…データベース、201…CP
U、202…RAM、203…記憶装置、204…バス、205…通信回路、206…ネ
ットワーク、301…セキュリティ情報管理処理部、302…セキュリティ情報通知処理
部、303…ポリシー管理処理部、304…資産情報管理処理部、305…セキュリティ
対策状況判定処理部、306…資産情報収集処理部、307…資産情報収集通知処理部、
401…セキュリティ更新情報、402…ポリシー管理情報、403…パッチ情報、50
1〜507…セキュリティ情報管理/ポリシー管理処理部フローチャート、601…資産
情報、602…資産情報のパッチ情報、603…モデルコンピュータの資産情報、604
…モデルコンピュータの資産情報のパッチ情報、701〜709…資産情報管理/資産情
報収集処理部フローチャート、802…ポリシー管理情報の状態、901〜905…セキ
ュリティ対策状況判定処理部フローチャート。
【技術分野】
【0001】
本発明は、コンピュータのセキュリティ対策状況を監視するためのセキュリティポリシ
ーを更新する方法およびシステムに関するものである。
【背景技術】
【0002】
セキュリティ対策状況監視システムでは、コンピュータのセキュリティ対策状況をパッ
チ適用状況やウイルス対策製品のウイルスパターンファイルなどで判定する。本システム
におけるセキュリティポリシーは、システム管理者が作成し、コンピュータに適用が必須
であるパッチ情報や最新のウイルスパターンファイルを定義する。パッチは定期的または
不定期に発行され、ウイルスパターンファイルは1週間に数回の頻度で発行されるため、
システム管理者は常にそれらの更新情報を監視し、セキュリティポリシーを適切に変更す
る必要がある。
【0003】
なお、本発明に関連する公知技術文献としては下記の特許文献1がある。
【0004】
【特許文献1】特開2004−289260号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
セキュリティポリシーを最新の状態に保つためには、発行されるパッチや、ウイルスパ
ターンファイルの更新情報を常に監視する必要があり、これらが更新される度に、セキュ
リティポリシーを変更することはシステム管理者への負担が大きい。
【0006】
また、セキュリティポリシーを変更するタイミングにも留意する必要がある。発行され
るパッチ等をコンピュータ利用者が認知する前に、セキュリティポリシーを変更すると、
コンピュータ利用者は該当パッチ等を適用する猶予がなく、セキュリティ対策状況に問題
があると判定されることとなり不都合が発生する。
【0007】
本発明の目的は、パッチやウイルスパターンファイルが発行される度に、自動的にかつ
適切なタイミングでセキュリティポリシーを変更し、システム管理者の負担を軽減し、常
に適切なセキュリティポリシーでセキュリティ対策状況を監視するセキュリティ対策状況
監視システムを提供することにある。
【課題を解決するための手段】
【0008】
本発明では、セキュリティ製品管理サーバ(例えばパッチ管理サーバやウイルス管理サ
ーバなど)とセキュリティ対策状況監視サーバが連携し、パッチやウイルスパターンファ
イルの更新を自動的に検知する。また、セキュリティポリシーの適切な変更タイミングを
判断するために、セキュリティ対策モデルコンピュータを用意する。セキュリティ対策状
況監視サーバが、パッチやウイルスパターンファイルの更新を検知した場合、セキュリテ
ィ対策モデルコンピュータに対して、発行されたパッチやウイルスパターンファイルが適
用されているか判定し、適用されている場合はセキュリティポリシーを更新する。
【発明の効果】
【0009】
本発明のセキュリティ対策状況監視システムによれば、次のような効果がある。
【0010】
セキュリティポリシーの更新を自動的に適切なタイミングで実施でき、システム管理者
の負担を軽減できる。
【発明を実施するための最良の形態】
【0011】
以下、本発明を適用したセキュリティ対策状況監視システムの一実施の形態について説
明する。
【0012】
図1は、本発明における一実施例であるセキュリティ対策状況監視システムの構成を示
すものである。セキュリティ対策状況監視システムには、セキュリティ製品管理サーバ1
01とセキュリティ対策状況監視サーバ102との連携処理を行う連携処理部105が存
在し、セキュリティ対策状況監視サーバ102には、セキュリティ対策状況監視サーバ1
02上で各処理を行う管理処理部106および各情報を格納するデータベース109が存
在し、モデルコンピュータ103および一般コンピュータ104にはコンピュータ上で各
処理を行うエージェント処理部110が存在する。以下処理の流れについて記述する。セ
キュリティ製品管理サーバ101では、セキュリティ情報(パッチの発行状況やウイルス
対策製品のウイルスパターンファイル更新履歴)を管理する。セキュリティ製品管理サー
バ101は、セキュリティ情報の更新を検知すると、セキュリティ対策状況監視サーバ1
02にセキュリティ情報の更新内容を通知する。セキュリティ対策状況監視サーバ102
は、セキュリティ情報の更新内容を受信すると、ポリシー107の複製してポリシー10
8を作成し、ポリシー108に更新されたセキュリティ情報を反映する。セキュリティ対
策状況監視サーバ102は、モデルコンピュータ103から資産情報を収集し、モデルコ
ンピュータ103の資産情報とポリシー108を照らし合わせて、セキュリティ対策情報
を判定する。セキュリティ対策状況監視サーバ102が、判定した結果、モデルコンピュ
ータ103のセキュリティ対策状況に問題がなければ、ポリシー107に更新されたセキ
ュリティ情報を反映する。セキュリティ対策状況に問題があれば、ポリシー107のポリ
シー管理情報を更新待ちにし、一定の間隔でモデルコンピュータ103のセキュリティ対
策状況に問題がないか判定し、問題がなくなった時点でポリシー107に更新されたセキ
ュリティ情報を反映する。セキュリティ対策状況監視サーバが、一般コンピュータ104
のセキュリティ対策状況の判定を行う場合は常にポリシー107を使用する。
【0013】
図2は、システムのハードウェア構成を示した図である。セキュリティ製品管理サーバ
101およびセキュリティ対策状況監視サーバ102およびモデルコンピュータ103お
よび一般コンピュータ104はCPU(Central Processing Unit)201、RAM(Ran
dom Access Memory)202、ハードディスク等の記憶装置203およびバス204から
構成される。記憶装置203には各種の制御プログラムやデータが記憶されており、CP
U201はこの制御プログラム等を読み出して所定の機能を実現する。RAM(Random A
ccess Memory)202にはCPU201によって利用される作業領域等が確保される。ま
た、セキュリティ製品管理サーバ101とセキュリティ対策状況監視サーバ102とモデ
ルコンピュータ103および一般コンピュータ104の間にはLAN等の通信回路205
が存在し、それぞれ有線または無線のネットワーク206でつながれ、通信が可能となっ
ている。
【0014】
図3は、図1のセキュリティ製品管理サーバ101の連携処理部105およびセキュリ
ティ対策状況監視サーバ102の管理処理部106およびモデルコンピュータ103およ
び一般コンピュータ104のエージェント処理部110の詳細な構成を記述したものであ
る。セキュリティ情報管理処理部301ではセキュリティ製品のセキュリティ情報の更新
を検知し、その更新情報をセキュリティ更新情報通知処理部302に通知する。セキュリ
ティ更新情報通知処理部302ではセキュリティ更新情報を、セキュリティ対策状況監視
サーバ102のポリシー管理処理部303に通知する。ポリシー管理処理部303ではセ
キュリティ更新情報を受信するとデータベース109のポリシー管理情報テーブルからポ
リシー管理情報を取得し、ポリシー107の複製を作成し、複製したポリシー108にセ
キュリティ更新情報を反映する。資産情報管理処理部304では、モデルコンピュータ1
03の資産情報収集処理部306に資産情報の収集を要求する。モデルコンピュータ10
3の資産情報収集処理部306では、資産情報を収集し、資産情報通知処理部307では
、収集した資産情報を資産情報管理処理部304に通知する。資産情報を受信した資産情
報管理処理部304では、データベース109の資産情報テーブルに資産情報を格納する
。セキュリティ対策状況判定処理部305では、データベース109から資産情報を取得
し、複製したポリシーと照らし合わせて、モデルコンピュータ103のセキュリティ対策
状況を判定し、その判定結果によりポリシー107を更新する。
【0015】
図4は、図3で示したセキュリティ情報管理処理部301およびポリシー管理処理部3
03を詳細化した図である。
【0016】
セキュリティ情報管理処理部301では、セキュリティ製品管理サーバからセキュリテ
ィ更新情報401を取得する。セキュリティ更新情報401の例としてはパッチ情報やウ
イルスパターンファイルバージョン等である。セキュリティ情報通知処理部302は、セ
キュリティ更新情報401をセキュリティ対策状況監視サーバ102のポリシー管理処理
部303に通知する。ポリシー管理処理部303は、セキュリティ更新情報401を受信
後、データベース109からポリシー107のポリシー管理情報402を取得し、ポリシ
ー管理情報402の状態を更新待ちに変更する。ポリシー管理処理部303は、ポリシー
107を複製してポリシー108を作成し、ポリシー108にパッチ情報403を追加す
る。
【0017】
図5は、セキュリティ情報管理処理部301およびポリシー管理処理部303のフロー
チャートを示した図である。セキュリティ情報管理処理部301では、セキュリティ製品
管理サーバから更新のあったパッチ情報やウイルス対策製品のウイルスパターンファイル
バージョンなどのセキュリティ更新情報401を取得する。取得したセキュリティ更新情
報401をポリシー管理処理部303に通知する(501〜503)。ポリシー管理処理
部303では、受信したセキュリティ更新情報401を、複製したポリシー108に反映
する。セキュリティ更新情報401をポリシーに反映するときには、パッチの番号や、ウ
イルス対策製品名をキー情報として、ポリシー内を検索し、既に同じキー情報が存在する
場合は、そのキー情報に対応する情報を更新し、同じキー情報が存在しない場合は、キー
情報も追加する(504〜507)。
【0018】
図6は、図3で示した資産情報管理処理部304およびモデルコンピュータ103の資
産情報収集処理部306を詳細化した図である。資産情報管理処理部304では、データ
ベース109のポリシー管理情報テーブルからポリシー管理情報402を取得する。資産
情報管理処理部304は取得したポリシー管理情報402の状態を判定し、その状態が更
新待ちであれば、モデルコンピュータ103の資産情報の収集をモデルコンピュータ10
3に対して要求する。モデルコンピュータ103の資産情報収集処理部306は、パッチ
情報604を含む資産情報603を収集し、資産情報通知処理部307に資産情報を渡す
。資産情報通知処理部307は、セキュリティ対策状況監視サーバの資産情報管理処理部
304に、資産情報603を通知する。資産情報通知処理部304では、受信した資産情
報をデータベース109の資産情報テーブルに格納する。資産情報601は、モデルコン
ピュータ103の資産情報を収集する前の状態であり、資産情報を収集後は資産情報60
1のパッチ情報はパッチ情報602の内容に更新される。
【0019】
図7は、資産情報管理処理部304およびモデルコンピュータ103の資産情報収集処
理部306のフローチャートを示した図である。資産情報管理処理部304は、データベ
ース109のポリシー管理情報テーブルからポリシー管理情報402を取得し、ポリシー
管理情報402の更新間隔の時間処理を待機する。資産情報管理処理部304は更新間隔
の時間が経過後、ポリシー管理情報402の状態が更新待ちであれば、モデルコンピュー
タ103の資産情報の収集を資産情報収集処理部307に対して要求する。ポリシー管理
情報402の状態が更新待ちでなければ、701〜703を繰り返す(701〜703)
。モデルコンピュータ103の資産情報収集処理部306では、資産情報の収集要求を受
信すると、コンピュータの情報や適用パッチ情報やウイルス対策製品情報を含む資産情報
603を収集して、資産情報通知処理部307を経由し資産情報管理処理部304に収集
した資産情報603を送信する。資産情報管理処理部304では、受信した資産情報60
3をデータベース109の資産情報テーブルのモデルコンピュータ103の資産情報60
1に追加または更新する(704〜708)。資産情報管理処理部304は、データベー
ス109の資産情報テーブルを更新後、セキュリティ対策状況の判定を実施し、ポリシー
を更新するセキュリティ対策状況判定処理部305を呼び出す(709)。
【0020】
図8は、図3で示したセキュリティ対策状況判定処理部305を詳細化した図である。
セキュリティ対策状況判定処理部305では、データベース109のポリシー管理情報4
02のポリシー名をキーとしてポリシー108を取得する。セキュリティ対策状況判定処
理部は、モデルコンピュータ103の資産情報601とポリシー108を照らし合わせて
、セキュリティ対策状況を判定する。判定した結果、パッチ情報403が資産情報601
に含まれていれば、ポリシー107にパッチ情報403を反映し、ポリシー107をポリ
シー801に更新する。ポリシー801の更新が完了後、ポリシー管理情報402の状態
802を更新完了に変更する。
【0021】
図9は、セキュリティ対策状況判定処理部305のフローチャートを示した図である。
セキュリティ対策状況判定処理部305は、データベース109の資産情報テーブルから
資産情報601を取得し、ポリシー108の内容と照らし合わせて、セキュリティ対策状
況を判定する(901、902)。セキュリティ対策状況判定処理部305は、セキュリ
ティ対策状況に問題なしと判定した場合は、ポリシー107(ポリシーA)に、ポリシー
108(ポリシーA)のパッチ情報403を追加し、ポリシー管理情報402の状態8
02を更新完了に更新する。資産情報601にパッチ情報602が存在しない場合は、ま
だポリシー107を更新するタイミングが適切でないと判断し、図7の701に制御を移
す(903〜905)。
【0022】
図7の701〜709と図9の901〜903は、ポリシー管理情報402の状態80
2が更新待ちである間、繰り返し実行される。モデルコンピュータ103でパッチ情報4
03が適用されるまでは、一般コンピュータ104のセキュリティ対策状況の判定はポリ
シー107を使用して実施され、モデルコンピュータ103でパッチ情報403が適用さ
れた後は、ポリシー107がポリシー801に自動で更新され、一般コンピュータ104
のセキュリティ対策状況の判定はポリシー801が使用されるようになる。
【図面の簡単な説明】
【0023】
【図1】本発明の一実施の形態例を示すシステム構成図である。
【図2】システムのハードウェア構成を示した図である。
【図3】セキュリティ状況対策監視システムの詳細を示した図である。
【図4】セキュリティ情報管理処理部およびポリシー管理処理部の詳細を示した図である。
【図5】セキュリティ情報管理処理部およびポリシー管理処理部の処理方式を示した図である。
【図6】資産情報管理処理部および資産情報収集処理部の詳細を示した図である。
【図7】資産情報管理処理部および資産情報収集処理部の処理方式を示した図である。
【図8】セキュリティ対策状況判定処理部の詳細を示した図である。
【図9】セキュリティ対策状況判定処理部の処理方式を示した図である。
【符号の説明】
【0024】
101…セキュリティ製品管理サーバ、102…セキュリティ対策状況監視サーバ、1
03…モデルコンピュータ、104…一般コンピュータ、105…連携処理部、106…
管理処理部、107,108,801…ポリシー、109…データベース、201…CP
U、202…RAM、203…記憶装置、204…バス、205…通信回路、206…ネ
ットワーク、301…セキュリティ情報管理処理部、302…セキュリティ情報通知処理
部、303…ポリシー管理処理部、304…資産情報管理処理部、305…セキュリティ
対策状況判定処理部、306…資産情報収集処理部、307…資産情報収集通知処理部、
401…セキュリティ更新情報、402…ポリシー管理情報、403…パッチ情報、50
1〜507…セキュリティ情報管理/ポリシー管理処理部フローチャート、601…資産
情報、602…資産情報のパッチ情報、603…モデルコンピュータの資産情報、604
…モデルコンピュータの資産情報のパッチ情報、701〜709…資産情報管理/資産情
報収集処理部フローチャート、802…ポリシー管理情報の状態、901〜905…セキ
ュリティ対策状況判定処理部フローチャート。
【特許請求の範囲】
【請求項1】
セキュリティ管理サーバとセキュリティ対策状況監視サーバとコンピュータを備えるセ
キュリティ管理を行うシステムにおいて前記セキュリティ対策状況監視サーバのセキュリ
ティポリシーを自動更新する方法であって、各種情報を格納する記憶装置を備え、システ
ム内部におけるセキュリティ更新情報とコンピュータの資産情報をもとにセキュリティポ
リシーの更新タイミングを判断することを特徴とするセキュリティ対策状況監視システム
。
【請求項2】
セキュリティポリシーを更新する際、システム内に導入されたモデルコンピュータの資
産情報からセキュリティポリシーを更新するタイミングを判断する請求項1に記載のシス
テム。
【請求項1】
セキュリティ管理サーバとセキュリティ対策状況監視サーバとコンピュータを備えるセ
キュリティ管理を行うシステムにおいて前記セキュリティ対策状況監視サーバのセキュリ
ティポリシーを自動更新する方法であって、各種情報を格納する記憶装置を備え、システ
ム内部におけるセキュリティ更新情報とコンピュータの資産情報をもとにセキュリティポ
リシーの更新タイミングを判断することを特徴とするセキュリティ対策状況監視システム
。
【請求項2】
セキュリティポリシーを更新する際、システム内に導入されたモデルコンピュータの資
産情報からセキュリティポリシーを更新するタイミングを判断する請求項1に記載のシス
テム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2008−33586(P2008−33586A)
【公開日】平成20年2月14日(2008.2.14)
【国際特許分類】
【出願番号】特願2006−205549(P2006−205549)
【出願日】平成18年7月28日(2006.7.28)
【出願人】(000005108)株式会社日立製作所 (27,607)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成20年2月14日(2008.2.14)
【国際特許分類】
【出願日】平成18年7月28日(2006.7.28)
【出願人】(000005108)株式会社日立製作所 (27,607)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]