セキュリティ運用管理システム、方法およびプログラム
【課題】特定のサーバだけからではなく広く脆弱性情報を収集し、管理者がその脆弱性情報の中からどの脆弱性情報を参照すればよいのかを容易に判断することができるようにする。
【解決手段】脆弱性情報収集手段110は、WebクローリングによりWebページを収集する。脆弱性情報収集手段110は、収集したWebページから所定の項目を抽出し、所定の項目を抽出できた場合にはそのWebページが脆弱性情報であると判定し、抽出した項目を脆弱性情報データベース120に記憶させる。参照関係分析手段150は、脆弱性情報データベース120に記憶されたリンクの情報を読み込み、どの脆弱性情報がどの脆弱性情報を参照しているのかを特定し、脆弱性情報間の参照関係を入出力装置200に表示させる。
【解決手段】脆弱性情報収集手段110は、WebクローリングによりWebページを収集する。脆弱性情報収集手段110は、収集したWebページから所定の項目を抽出し、所定の項目を抽出できた場合にはそのWebページが脆弱性情報であると判定し、抽出した項目を脆弱性情報データベース120に記憶させる。参照関係分析手段150は、脆弱性情報データベース120に記憶されたリンクの情報を読み込み、どの脆弱性情報がどの脆弱性情報を参照しているのかを特定し、脆弱性情報間の参照関係を入出力装置200に表示させる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ運用管理システム、セキュリティ運用管理方法、セキュリティ運用管理プログラム、およびセキュリティ運用管理システムに適用されるクライアントコンピュータに関し、特に、日々公開される脆弱性情報をWebから広く収集し、その脆弱性情報の中からどの脆弱性情報を参照すればよいのかを管理者が判断しやすくすることができるセキュリティ運用管理システム、セキュリティ運用管理方法、セキュリティ運用管理プログラム、およびセキュリティ運用管理システムに適用されるクライアントコンピュータに関する。
【背景技術】
【0002】
従来のセキュリティ情報集約装置の一例が、特許文献1に記載されている。特許文献1に記載されたセキュリティ情報集約装置は、収集部と、統合部と、後処理部と、データベースとから構成されている。特許文献1に記載されたセキュリティ情報集約装置は、以下のように動作する。特許文献1に記載されたセキュリティ情報集約装置では、まず、管理者の操作により定義された所定の情報収集条件に基づいて、収集部がWeb上の複数の情報提供サーバから情報を収集する。次に、統合部が、収集された情報を情報集約のための所定の判断基準に基づいて集約し、後処理部が集約された情報をデータベースに蓄積する。
【0003】
また、特許文献1には、セキュリティ情報集約装置が、所定の情報提供サーバから不正アクセス情報を定期的に取得し、情報源からタイトル名およびパッチ名等のキーワードを抽出し、情報の照合/選別を行うことが記載されている。
【0004】
特許文献2には、適切かつ容易なサイト管理を実現するためのサイト管理システムが記載されている。特許文献2に記載のサイト管理システムでは、サイト管理用コンピュータが、コンテンツを管理するWebサーバからコンテンツの情報を受信する。サイト管理用コンピュータは、ディレクトリに基づく規則に従ってコンテンツの階位を認識し、コンテンツのリンク状態を認識する。そして、サイト管理用コンピュータは、コンテンツ間の階位およびリンク状態を矢印形状のアイコンを用いて表示する。
【0005】
特許文献3には、対象システムの環境情報と脆弱点DB内の脆弱点情報とのマッチングを行い、対象システムのハードウェア構成等に適合する脆弱点情報があったならば、セキュリティ対策の必要なコンピュータとしてピックアップするシステムが記載されている。また、特許文献3に記載のシステムを利用する場合、管理者が脆弱点に対する対策を採る。
【0006】
【特許文献1】特開2002−269489号公報(段落0011−0012、段落0026−0029、図5)
【特許文献2】特開2005−293251号公報(段落0075,0076,0081,0087,0091)
【特許文献3】特開2003−216576号公報(段落0029,0031)
【発明の開示】
【発明が解決しようとする課題】
【0007】
特許文献1に記載されたセキュリティ情報集約装置では、情報収集の対象となる情報提供サーバを管理者が予め指定する。そして、セキュリティ情報集約装置は、指定された情報提供サーバから不正アクセス情報を収集する。従って、特許文献1に記載されたセキュリティ情報集約装置では、指定された特定の情報提供サーバからしか情報を収集できない。脆弱性情報は、セキュリティベンダやセキュリティ研究機関等多数のサイトから提供されている。しかし、特許文献1に記載されたセキュリティ情報集約装置は、指定された情報提供サーバからしか不正アクセス情報を収集しないので、指定された情報提供サーバ以外のサーバが重要な情報が提供した場合には、情報漏れが生じ、脆弱点に対する対応が遅れてしまう危険性がある。
【0008】
また、特許文献1に記載されたセキュリティ情報集約装置は、各情報提供サーバがそれぞれ複数個提供している脆弱性情報について、タイトルや日時の類似性、パッチ名の同一性に基づいて、同じ脆弱性に関するWebページを集約する。そのため、各情報提供サーバ間の同一内容のWebページの関連付けを行うことしかできない。また、管理者が、ある不正アクセス情報に関して「不正アクセスによる影響を知りたい」「不正アクセスの回避策を知りたい」と考えた場合に、それぞれ必要な情報を取得するためには管理者が各情報提供サーバのWebページを閲覧して必要な情報を選別する必要がある。
【0009】
また、多数の脆弱性情報のうち、よくまとめられた脆弱性情報や、重要な脆弱性情報を管理者が判断できるようにすることが好ましい。しかし、特許文献2に記載されたサイト管理システムは、特定のWebサーバが管理するコンテンツ間のリンク状態しか表示することができず、管理者は多数の脆弱性情報の中から、よくまとめられた脆弱性情報や重要な脆弱性情報等を判断することはできなかった。また、既に述べたように、特許文献1に記載された装置でも、特定のサーバからしか情報を収集できないため、同様の問題があった。
【0010】
また、多数のサイトから提供される脆弱性情報は、記載項目の見出しや順序が定まっていない。このような脆弱性情報の内容をまとめて提示することが好ましい。
【0011】
また、収集した脆弱性情報が管理対象システムに影響するかどうかを管理者が逐一判断するのには大変な労力を必要とする。さらに、管理者が脆弱点を回避、解消するための施策を逐一実施するのにも大変な労力を要する。このような管理者の負担を軽減できるようにすることが好ましい。
【0012】
そこで、本発明は、特定のサーバだけからではなく広く脆弱性情報を収集し、管理者がその脆弱性情報の中からどの脆弱性情報を閲覧すればよいのかを容易に判断することができるセキュリティ運用管理システム、セキュリティ運用管理方法、セキュリティ運用管理プログラム、およびセキュリティ運用管理システムに適用されるクライアントコンピュータを提供することを目的とする。
【課題を解決するための手段】
【0013】
本発明のセキュリティ運用管理システムは、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段(例えば、脆弱性情報収集手段110)と、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段(例えば、脆弱性情報収集手段110)と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段とを備えたことを特徴とする。
【0014】
また、本発明のセキュリティ運用管理システムは、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段(例えば、脆弱性情報収集手段110)と、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段(例えば、脆弱性情報収集手段110)と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段とを備えたことを特徴とする。
【0015】
脆弱性情報に該当するWebページが含む項目の見出しで同義語となる文言同士を対応付けて予め記憶する見出し同義語記憶手段(例えば、見出し同義語辞書140)を備え、抽出手段が、脆弱性情報に該当するWebページが含む項目毎に文言を規定するとともに当該文言または当該文言の同義語を含む文字列を抽出することを規定した脆弱性情報抽出ルールに従って、脆弱性情報抽出ルールで規定された文言および当該文言の同義語として見出し同義語記憶手段に記憶された文言を含む文字列をWebページから項目の見出しとして抽出する構成であってもよい。
【0016】
参照関係分析手段が、個々の脆弱性情報を表すとともに、他の脆弱性情報を参照している参照元の脆弱性情報と前記参照元の脆弱性情報によって参照されている参照先の脆弱性情報との間に矢印を表したグラフをディスプレイ装置に表示させる構成であってもよい。
【0017】
参照関係分析手段が、参照元となる回数が最も多い脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる構成であってもよい。
【0018】
参照関係分析手段が、参照先となる回数が最も多い脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる構成であってもよい。
【0019】
抽出手段が、脆弱性情報の更新履歴を記述した項目をWebページから抽出し、参照関係分析手段が、前記更新履歴を記述した項目に基づいて、更新日時が現在の日時に最も近い脆弱性情報を判定し、前記脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる構成であってもよい。
【0020】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段を備え、抽出手段が、脆弱性の影響を受ける対象を記述した項目を抽出し、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段を備えた構成であってもよい。
【0021】
そのような構成によれば、多様な同義語で記述された複数の脆弱性情報の内容を網羅的に精度高くまとめた要約結果を得ることができる。
【0022】
情報要約手段が、脆弱性の影響を受ける対象を示す文言であって、他の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言と同義語として対応付けられていない文言を、当該文言に対応する代表となる文言に置き換えて、要約情報に含める構成であってもよい。
【0023】
抽出手段が、脆弱性に対する対処策を記述した項目をWebページから抽出し、情報要約手段が、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める構成であってもよい。
【0024】
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプト(例えば、影響確認スクリプト)を生成する確認スクリプト生成手段(例えば、影響確認スクリプト生成手段180)と、確認スクリプトを実行し、確認スクリプトを実行して得られた確認結果が判定基準と一致している場合に、管理対象システムが脆弱性の影響を受けると判定する確認スクリプト実行手段とを備えた構成であってもよい。
【0025】
そのような構成によれば、確認スクリプト実行手段が、管理対象システムが脆弱性の影響を受けるか否かを判定できるので、そのような判定を管理者が行う必要がなく、管理者の負担を軽減することができる。
【0026】
抽出手段が、脆弱性に対する対処策を記述した項目をWebページから抽出し、情報要約手段は、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含め、スクリプト生成知識データベースが、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶し、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段と、対処スクリプトを実行する対処スクリプト実行手段とを備えた構成であってもよい。
【0027】
そのような構成によれば、対処スクリプト生成手段が対処スクリプトを生成し、対処スクリプト実行手段がその対処スクリプトを実行するので、管理者自身が対処策を施す必要がなく、管理者の負担を軽減することができる。
【0028】
また、本発明のセキュリティ運用管理システムは、クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたことを特徴とする。
【0029】
また、本発明のセキュリティ運用管理システムは、クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたことを特徴とする。
【0030】
また、本発明のセキュリティ運用管理システムは、クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成手段とを備えたことを特徴とする。
【0031】
また、本発明のセキュリティ運用管理システムは、クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成手段とを備えたことを特徴とする。
【0032】
また、本発明のクライアントコンピュータは、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段を備えたことを特徴とする。
【0033】
また、本発明のクライアントコンピュータは、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段を備えたことを特徴とする。
【0034】
また、本発明のクライアントコンピュータは、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段と、セキュリティ運用管理システムから対処スクリプトを受信し、受信した対処スクリプトを実行する対処スクリプト実行手段とを備えたことを特徴とする。
【0035】
また、本発明のクライアントコンピュータは、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段と、セキュリティ運用管理システムから対処スクリプトを受信し、受信した対処スクリプトを実行する対処スクリプト実行手段とを備えたことを特徴とする。
【0036】
また、本発明のセキュリティ運用管理プログラムは、コンピュータに、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、および脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理を実行させることを特徴とする。
【0037】
また、本発明のセキュリティ運用管理プログラムは、コンピュータに、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、および脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理を実行させることを特徴とする。
【0038】
脆弱性情報に該当するWebページが含む項目の見出しで同義語となる文言同士を対応付けて予め記憶する見出し同義語記憶手段を備えたコンピュータに、抽出処理で、脆弱性情報に該当するWebページが含む項目毎に文言を規定するとともに当該文言または当該文言の同義語を含む文字列を抽出することを規定した脆弱性情報抽出ルールに従って、脆弱性情報抽出ルールで規定された文言および当該文言の同義語として見出し同義語記憶手段に記憶された文言を含む文字列をWebページから項目の見出しとして抽出させるプログラムであってもよい。
【0039】
コンピュータに、参照関係分析処理で、個々の脆弱性情報を表すとともに、他の脆弱性情報を参照している参照元の脆弱性情報と前記参照元の脆弱性情報によって参照されている参照先の脆弱性情報との間に矢印を表したグラフを表示させるプログラムであってもよい。
【0040】
また、本発明のセキュリティ運用管理プログラムは、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約処理、および要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理を実行させることを特徴とする。
【0041】
また、本発明のセキュリティ運用管理プログラムは、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約処理、および要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理を実行させることを特徴とする。
【0042】
また、本発明のセキュリティ運用管理プログラムは、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約処理、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理、および要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成処理を実行させることを特徴とする。
【0043】
また、本発明のセキュリティ運用管理プログラムは、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、 入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約処理、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理、および要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成処理を実行させることを特徴とする。
【0044】
また、本発明のセキュリティ運用管理方法は、Webページ収集手段が、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集し、抽出手段が、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定し、参照関係分析手段が、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定することを特徴とする。
【0045】
また、本発明のセキュリティ運用管理方法は、Webページ収集手段が、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集し、抽出手段が、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定し、参照関係分析手段が、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定することを特徴とする。
【発明の効果】
【0046】
本発明によれば、Webページ収集手段が、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するか、あるいは、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、そのURLに応じたWebページを取得することでWebページを収集する。従って、特定のサイト(サーバ)のみから脆弱性情報を収集することなく、公開されている脆弱性情報を幅広く収集することができる。その結果、特定のサイト(サーバ)のみから脆弱性情報を収集する場合に比べて、情報漏れが生じる危険性を少なくすることができる。また、参照関係分析手段が、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する。従って、管理者は、どの脆弱性情報がどの脆弱性情報を参照しているかという参照関係に基づいて、どの脆弱性情報を閲覧すればよいのかを容易に判断することができる。
【発明を実施するための最良の形態】
【0047】
以下、本発明の実施の形態を図面を参照して説明する。
【0048】
実施の形態1.
図1は、本発明によるセキュリティ運用管理システムの第1の実施の形態を示すブロック図である。図1に示すセキュリティ運用管理システムは、プログラムに従って動作するコンピュータであるデータ処理装置100と、情報の入出力を行う入出力装置200とを備えている。入出力装置200は、例えば、キーボードやマウス等の入力装置およびディスプレイ装置等の出力装置を含んでいる。また、データ処理装置100は、例えばインターネット等の通信ネットワーク300に接続されている。
【0049】
通信ネットワーク300には、脆弱性情報提供Webサーバ401〜40nが接続されている。脆弱性情報提供Webサーバ401〜40nは、通信ネットワーク300を介して脆弱性情報(コンピュータシステムのセキュリティに関する脆弱性情報)を提供しているWebサーバである。脆弱性情報提供Webサーバ401〜40nには、セキュリティベンダやセキュリティ研究機関等によって脆弱性情報がアップロードされ、脆弱性情報提供Webサーバ401〜40nは、通信ネットワーク300に接続されたデータ処理装置100等の装置からの要求に応じて脆弱性情報を送信する。脆弱性情報は、マークアップ言語を用いて記述され、Webページとして提供される。以下に示す例では、脆弱性情報がHTML(Hyper Text Markup Language)を用いて記述されている場合を例にして説明する。
【0050】
データ処理装置100は、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150とを含む。脆弱性情報収集手段110と参照関係分析手段150は、例えば、プログラムに従って動作するCPUによって実現される。脆弱性情報収集手段110と参照関係分析手段150は、同一のCPUによって実現されていてもよい。プログラムは、データ処理装置100の記憶装置に記憶され、CPUはそのプログラムに従って動作する。また、見出し同義語辞書140および脆弱性情報データベース120は、記憶装置によって実現される。
【0051】
脆弱性情報収集手段110は、Webクローリングを行い、インターネットを介して脆弱性情報を収集する。Webクローリングとは、WWW(World-Wide Web)上の文書や画像等を自動的に収集することである。脆弱性情報収集手段110は、WebサーバからHTML文書を取得しHTML文書中に含まれるリンク(他のHTML文書のURL)を取り出し、そのリンクによって特定される別のHTML文書をさらに取得することを繰り返す。そして、脆弱性情報収集手段110は、取得した各HTML文書が脆弱性情報に該当するか否かを判定する。この判定では、脆弱性情報収集手段110は、取得したHTML文書の構造に基づいて、HTML文書から所定の項目を抽出する。脆弱性情報収集手段110は、この所定の項目を抽出できた場合には、取得したHTML文書が脆弱性情報であると判定し、この所定の項目を抽出できなかった場合には、取得したHTML文書が脆弱性情報ではないと判定する。HTML文書が脆弱性情報であるか否かを判定するための所定の項目については、図2を用いて後述する。
【0052】
脆弱性情報収集手段110は、脆弱性情報(脆弱性情報と判定したHTML文書)から抽出した各項目を脆弱性情報データベース120に記憶させる。
【0053】
脆弱性情報収集手段110は、このようにWebクローリングを行い、収集したHTML文書から脆弱性情報を選別することによって脆弱性情報を収集する。
【0054】
脆弱性情報データベース120は、脆弱性情報収集手段110が収集した脆弱性情報に含まれる項目を格納(記憶)する記憶装置である。
【0055】
見出し同義語辞書140は、脆弱性情報収集手段110が、HTML文書から脆弱性情報に含まれる項目を抽出する際に脆弱性情報間の表記ゆれを吸収するための同義語辞書である。後述するように、脆弱性情報に含まれる項目では、「見出し」と「内容」とが対応付けられている。そして、脆弱性情報に記述される文言は、脆弱性情報を作成するセキュリティベンダやセキュリティ研究機関等により異なる。例えば、脆弱性情報に「脆弱性への対処施策」を意味する見出しを記述する場合、「対処施策」の他に、「対策」、「対処策」、「回避策」等の様々な文言が用いられ得る。従って、同じ脆弱性に関する脆弱性情報を各セキュリティベンダやセキュリティ研究機関等がそれぞれ提供する場合、提供元により見出し等の表現が異なることが多い。見出し同義語辞書140は、脆弱性情報に含まれる項目の見出しで同じ意味で使われる同義語同士を対応付けて記憶している。見出し同義語辞書140に記憶させるべき同義語は、過去に作成された脆弱性情報に含まれている項目の「見出し」を確認することで、人間が経験的に判断すればよい。
【0056】
参照関係分析手段150は、収集した脆弱性情報間の参照関係を分析する。ここでの「分析」とは、脆弱性情報をノード、リンク関係をアークとして、各脆弱性情報間の参照関係を明らかにすることである。参照関係分析手段150は、各脆弱性情報から抽出された他の脆弱性情報へのリンクに基づいて、どの脆弱性情報がどの脆弱性情報を参照しているのか(どの脆弱性情報がどの脆弱性情報へのリンクを含んでいるのか)を判断する。
【0057】
入出力装置200には、脆弱性情報の収集に必要な情報が入力される。例えば、Webクローリングによって脆弱性情報を収集するためのURLが入力される。また、入出力装置200には、参照関係分析手段150における分析結果が出力される。
【0058】
次に、脆弱性情報提供Webサーバ401〜40nによってWebページとして提供される脆弱性情報について説明する。図2は、一般的な脆弱性情報の内容構成を示す説明図である。Webページとして提供される脆弱性情報は、以下のような特徴を有する。
【0059】
脆弱性情報の第1の特徴は、特定の項目を含んでいることである。例えば、「タイトル」、「影響を受けるソフトウェア」、「対処策」、「参考情報」、「更新情報」等の項目を含んでいることである。「タイトル」は、脆弱性情報のタイトルである。「影響を受けるソフトウェア」は、脆弱点により影響を受ける対象である。「対処策」は、脆弱性に対する対処策である。「参考情報」は、他の脆弱性情報へのリンクである。「更新情報」は、その更新情報を含む脆弱性情報の更新履歴である。また、脆弱性情報には、これらの項目の他に、図2に示すように、「情報ID(個々の脆弱性情報を識別するID)」、「概要(脆弱点の概要)」、「脆弱性による影響」等の項目が含まれていてもよい。
【0060】
第1の実施の形態では、HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「参考情報」および「更新履歴」を用いる。すなわち、脆弱性情報収集手段110は、HTML文書から「タイトル」、「参考情報」および「更新履歴」を抽出できた場合には、そのHTML文書が脆弱性情報であると判定し、抽出できなければそのHTML文書が脆弱性情報ではないと判定する。
【0061】
脆弱性情報の第2の特徴は、脆弱性情報に含まれる各項目では、「見出し」と「内容」とが対応付けられていることである。例えば、「影響を受けるソフトウェア」という項目では、「影響を受けるソフトウェア」等の文言で表記される「見出し」と、そのソフトウェア等を具体的に示す「内容」とが対応付けて記述される。「対処策」等の他の項目に関しても同様である。項目の見出しは、脆弱性情報を提供する各ベンダ等により、様々な文言で記述される。例えば、「影響を受けるソフトウェア」に相当する項目の見出しでは、「影響を受けるシステム」、「対象システム」と記述される場合もある。脆弱点によって影響を受けるのは、ソフトウェアに従って動作するハードウェアであり、見出しが「影響を受けるハードウェア」と記述される場合もある。
【0062】
また、脆弱性情報に含まれる各項目のうち、「タイトル」と「情報ID」は、例外的に「見出し」を含まず、「内容」のみを含む。図2に示す例では、「タイトル」として「○○ソフトウェアに□□の脆弱性」というタイトルの内容のみが記載されている。同様に、「情報ID」として、「MS06−xxx」というIDの内容のみが記載されている。
【0063】
脆弱性情報の第3の特徴は、各項目の「見出し」および「内容」に特徴的な表現を含むことことである。例えば、タイトルでは「脆弱性」、「問題」等の文字列を含むことが多い。また、例えば、「更新情報」は、文字列表現を含む。また、「参考情報」は、他の脆弱性情報へのリンクを含む。また、「参考情報」に含まれるアンカー文字列には、例えば「CVE」等の特定の文字列が含まれる。このように、脆弱性情報には、特徴的な表現が含まれる。
【0064】
次に、動作について説明する。図3は、本実施の形態のセキュリティ運用管理システム動作の例を示すフローチャートである。
【0065】
データ処理装置100には、入出力装置200を介して、予めセキュリティ管理者によって、いずれかの脆弱性情報のWebサイトのURLが1つ以上入力されていて、脆弱性情報収集手段110はそのURLを記憶する。脆弱性情報収集手段110は、入力されたURLに基づいて脆弱性情報提供WebサーバにWebページを要求し、その脆弱性情報提供WebサーバからURLに応じたWebページを受信する。脆弱性情報収集手段110は、受信したWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを受信する。脆弱性情報収集手段110は、この動作を繰り返してWebページを収集する(ステップA1)。
【0066】
図4は、ステップA1で収集されるWebページの例を示す説明図である。図4に示すA〜Gは、それぞれWebページであり、実線の丸は脆弱性情報を表し、破線の丸は脆弱性情報以外のWebページを表す。すなわち、図4に示すA,C,Eは脆弱性情報であり、その他は脆弱性情報以外のWebページである。また、図4に示す矢印はリンクを表している。例えば、脆弱性情報Aには、WebページBおよび脆弱性情報Cへのリンク含まれている。また、脆弱性情報Aは、予め入力されたURLによって特定されるWebページ(以下、トップページと記す。)である。図4に示す括弧内の数値は、順番にリンクを辿ったときにトップページから何番目のWebページになるかを示す値である。この値を、トップページからの深さと記す。例えば、トップページ(脆弱性情報A)にリンクが設定されているWebページBおよび脆弱性情報Cの深さは「1」である。脆弱性情報収集手段110は、ステップA1においてWebページを受信する毎に、トップページからそのWebページまでの深さをカウントし、トップページからの深さが予め定められた所定値に達したならば、さらにリンク先のWebページを取得することを停止する。
【0067】
また、脆弱性情報収集手段110は、受信したWebページが脆弱性情報に該当するか否かを判定し、連続して所定数(図4に示す例では「2」)以上、脆弱性情報に該当しないWebページを受信したならば、さらにリンク先のWebページを取得することを停止する。例えば、図4に示す例では、脆弱性情報Eの取得後、脆弱性情報ではないWebページF,Gを2回連続して取得しているので、WebページGのリンク先となるWebページの取得を停止する。同様に、WebページDのリンク先となるWebページの取得も停止する。受信したWebページが脆弱性情報に該当するか否かを判定処理については、図6を用いて後述する。
【0068】
また、脆弱性情報収集手段110は、受信したWebページのうち、脆弱性情報以外のWebページを削除する。図4に示す例では、WebページB,D,F,Gを削除する。
【0069】
ここでは、ステップA1において、Webクローリングで情報を収集する場合について説明した。脆弱性情報収集手段110は、他の態様で脆弱性情報を収集してもよい。例えば、URLの代わりにキーワードが脆弱性情報収集手段110に入力され、脆弱性情報収集手段110は、既存の検索エンジンサービスを提供するサーバ(図示せず。以下、検索サーバと記す。)にそのキーワードを送信して、検索サーバにキーワードを含むWebページを検索させる。脆弱性情報収集手段110は、キーワードを含むWebページのURLを検索サーバから受信して、さらに、そのURLによって特定されるWebページを取得することによって脆弱性情報を収集してもよい。脆弱性情報収集手段110は、取得した各Webページが脆弱性情報に該当するか否かを判定し、脆弱性情報以外のWebページを削除する。
【0070】
ステップA1において、脆弱性情報収集手段110は、受信したWebページ(HTML文書)から脆弱性情報に含まれる項目を抽出する。本実施の形態では、脆弱性情報収集手段110は、Webページから「タイトル」、「参考情報」および「更新履歴」を抽出した場合には、そのWebページが脆弱性情報であると判定する。この処理については、図6を用いて後述する。脆弱性情報収集手段110は、脆弱性情報と判定されるWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップA2)。このとき、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。また、脆弱性情報収集手段110は、脆弱性情報自体も脆弱性情報データベース120に記憶させるようにしてもよい。
【0071】
次に、参照関係分析手段150は、脆弱性情報の各項目に含まれるリンクの情報(URL)を脆弱性情報データベース120から読み込む。URLは、脆弱性情報内の「参考情報」の内容として抽出され、脆弱性情報データベース120に記憶されている。また、「参考情報」以外の項目にもURLが含まれている場合もある。参照関係分析手段150は、「参考情報」の内容として抽出されたURLだけでなく、他の項目に含まれるURLも脆弱性情報データベース120から読み込む。このとき、参照関係分析手段150は、各項目の中で、アンカータグ(<A HREF=“http://〜”>)のHREF属性の値として記述されているURLを読み込めばよい。また、ステップA1において、脆弱性情報収集手段110がWebクローリングで脆弱性情報を収集するときに、脆弱性情報収集手段110が各脆弱性情報間のリンクの情報を、データ処理装置100の記憶装置に記憶させておき、参照関係分析手段150がそのリンクの情報を記憶装置から読み込んでもよい。
【0072】
参照関係分析手段150は、脆弱性情報データベース120から読み込んだリンクの情報(URL)に基づいて、ステップA1で収集した脆弱性情報の参照関係を分析し、どの脆弱性情報がどの脆弱性情報を参照しているかを明らかにする(ステップA3)。脆弱性情報データベース120には、脆弱性情報の項目に含まれるリンク先のURLだけでなく、脆弱性情報自身のURLもあわせて記憶させている。参照関係分析手段150は、各脆弱性情報に含まれていたURLと、各脆弱性情報自身のURLとを照合し、合致する脆弱性情報の組み合わせを特定する。参照関係分析手段150は、あるURL(URL1とする。)を記述していた脆弱性情報と、URL1を自身のURLとする脆弱性情報とを組み合わせる。このとき、URL1を記述していた脆弱性情報が参照元の脆弱性情報であり、URL1を自身のURLとする脆弱性情報が参照先の脆弱性情報(参照される脆弱性情報)である。
【0073】
参照関係分析手段150は、URLが合致する脆弱性情報の組み合わせを参照元と参照先とを区別して記憶装置に記憶させる。例えば、図5に例示するように、組み合わせ毎に、参照元と参照先とを区別して記憶装置に記憶させる。なお、図5に例示した脆弱性情報1〜5は、それぞれ脆弱性情報のタイトルを表している。
【0074】
次に、参照関係分析手段150は、ステップA3での分析結果を入出力装置200に出力する(ステップA4)。参照関係分析手段150は、入出力装置200のディスプレイ装置に分析結果を表示すればよい。参照関係分析手段150は、例えば、各脆弱性情報のタイトルを表示するとともに、参照元の脆弱性情報のタイトルから参照先の脆弱性情報まで伸びる矢印を表示すればよい。
【0075】
次に、ステップA1において、脆弱性情報収集手段110が受信したWebページが脆弱性情報に該当するか否かを判定する処理について説明する。図6は、受信したWebページが脆弱性情報に該当するか否かを判定する処理を示すフローチャートである。
【0076】
脆弱性情報収集手段110は、脆弱性情報であるか否かの判定対象となるWebページ(HTML文書)から、ページ構造に関係するタグ以外のタグを削除する(ステップS1)。ページ構造に関係するタグとは、表示される情報の配置を規定するタグおよびアンカータグである。ページ構造に関係するタグの例として、TBODYタグ、TRタグ、TDタグ、H1タグ、H2タグ、Aタグ、BLOCKQUOTEタグ、pタグ、TABLEタグ、OLタグ、LIタグ、ULタグ等がある。図7は、ページ構造に関係するタグ以外のタグが削除されたHTML文書における各タグの関係性の例をツリー構造で示した説明図である。図7において、破線で示した最下位のノードは、各項目の「見出し」を示す。また、太字の実線で示した最下位のノードは、各項目の「内容」を示す。図7において、左下に示すノードは、「情報ID」を示すノードであり、その隣に図示したノードは、「タイトル」を示すノードである。また、太字で示した三角形は、最下位のノードに「概要」の「内容」を含む部分木である。
【0077】
脆弱性情報収集手段110は、ステップS1の処理後のHTML文書から、脆弱性情報抽出ルールによって、脆弱性情報の項目の「見出し」となるテキスト要素を特定し、その文字列を「見出し」として、抽出する(ステップS2)。テキスト要素は、開始タグと終了タグによって囲まれた(マークアップされた)文字列である。ただし、終了タグは省略されることもある。
【0078】
脆弱性情報抽出ルールは、各項目の「見出し」を特定するためのルールである。脆弱性情報の第3の特徴として説明したように、脆弱性情報は、「見出し」および「内容」に特徴的な表現を含む。脆弱性情報抽出ルールは、脆弱性情報に含まれる各項目毎に、個々の項目の「見出し」に特徴的に用いられる文言を規定し、その文言またはその文言の同義語を含むテキスト要素を「見出し」として抽出することを定めたルールである。この特徴的な文言は項目毎に異なるので、「タイトル」、「影響を受けるソフトウェア」、「対処策」、「参考情報」、「更新情報」等の各項目毎に定められている。なお、脆弱性情報抽出ルールは、例えば、予めデータ処理装置100が備える記憶装置に記憶されている。
【0079】
既に説明したように、「情報ID」および「タイトル」は、「見出し」を有さず、「内容」のみを有する。「情報ID」および「タイトル」も特徴的な文言を含むので、「情報ID」および「タイトル」を抽出するための脆弱性情報抽出ルールもそれぞれ予め定められている。すなわち、「タイトル」に特徴的に含まれる文言を規定し、その文言またはその文言の同義語を含むテキスト要素を抽出することを定めた脆弱性情報抽出ルールが、「タイトル」用のルールとして定められている。「情報ID」に関しても同様である。脆弱性情報収集手段110は、ステップS2で、他の項目と同様に、「情報ID」と「タイトル」に関しても、脆弱性情報抽出ルールに従ってテキスト要素を特定し、そのテキスト要素を抽出する。ただし、「情報ID」と「タイトル」に関しては、抽出したテキスト要素は、「情報ID」や「タイトル」の「内容」に該当する。他の項目に関しては、抽出したテキスト要素は、各項目の「見出し」に該当する。
【0080】
脆弱性情報収集手段110は、脆弱性情報抽出ルールで規定された文言と同義語となる文言を見出し同義語辞書140から読み込む。そして、脆弱性情報抽出ルールで規定された文言と、同義語辞書140から読み込んだ同義語とを用いてテキスト要素を抽出する。
【0081】
脆弱性情報抽出ルールでは、同義語の中で代表とする文言を各項目の見出し毎に規定しておけばよい。脆弱性情報抽出ルールにおいて、代表語(同義語の中で代表となる文言)が規定されていれば、脆弱性情報収集手段110は、その代表語と同義語となる文言を見出し同義語辞書140から読み込み、読み込んだ文言および代表語を含むテキスト要素を見出しとして抽出する。例えば、脆弱性情報抽出ルールにおいて、「概要」という項目の見出しに特徴的な文言として「概要」という文言が規定されているとする。脆弱性情報収集手段110は、その文言「概要」の同義語を見出し同義語辞書140から読み込む。見出し同義語辞書140で、「概要」の同義語として「概略」が登録されているとすると、脆弱性情報収集手段110は、その同義語「概略」を読み込み、「概要」または「概略」を含むテキスト要素を抽出する。
【0082】
また、脆弱性情報抽出ルールでは、文言の用いられるパターン(文言が表れるパターン)を文言とともに規定していてもよい。この場合、脆弱性情報収集手段110は、そのパターンに合致するように、規定された文言を含むテキストを抽出する。例えば、脆弱性情報抽出ルールが、『末尾に「概要」という文言を含む』というパターンを規定していたとする。この場合、脆弱性情報収集手段110は、例えば「脆弱性の概要」や、「○○ソフトウェアで発見された問題の概要」というテキスト要素を抽出する。このような文言の用いられるパターンは、正規表現を使った記述方式で規定されてもよい。
【0083】
また、脆弱性情報抽出ルールでは、文言とともに、その文言の文字列の長さを規定してもよい。例えば、脆弱性情報抽出ルールは、「対処策」という文言とともに、「文字列長は10以下」という規定を含んでいてもよい。この場合、脆弱性情報収集手段110は、例えば「対処策について」や、「本脆弱性への対処策」というテキスト要素を対処策の「見出し」として抽出するが、「対処策として、以下のような方法があります。まず1つには、・・・」等の対処策の「内容」を表すテキスト要素は抽出しない。「見出し」には、短い文字列長で表現されることが多いという特徴があるので、文字列の長さを規定すれば、その特徴を利用して、より適切に「見出し」を抽出することができる。
【0084】
また、脆弱性情報抽出ルールでは、文言とともに、HTML文書上でのその文言の位置を規定してもよい。例えば、「更新履歴」の見出しを抽出する脆弱性情報抽出ルールとして、「更新履歴」という文言を規定するとともに、「出現位置は末尾から10%の範囲」という条件を既定していてもよい。本例の場合、脆弱性情報収集手段110は、HTML文書の末尾から10%の範囲に位置するテキスト要素であって、「更新履歴」またはその同義語を含むテキスト要素を抽出する。この場合、「更新履歴」等の特定の項目は、HTML文書の末尾または先頭付近に記述されることが多いという特徴を利用して、より適切に「見出し」を抽出することができる。
【0085】
また、脆弱性情報抽出ルールは、否定のルールであってもよい。すなわち、脆弱性情報抽出ルールは、特定の文言を含まないという条件を規定してもよい。例えば、「影響を受けるソフトウェア」という項目の「見出し」を抽出するための脆弱性情報抽出ルールにおいて、『「影響」で始まり「ソフトウェア」で終わる』という条件に加えて、『「受けない』という文言を含まない」という条件を規定してもよい。この場合、例えば「影響のあるソフトウェア」というテキスト要素は抽出されるが、「影響を受けないソフトウェア」というテキスト要素は抽出されず、より適切に「見出し」を抽出できる。
【0086】
また、複数の脆弱性情報抽出ルールを、AND(論理積)やOR(論理和)等によって結合して1つのルールとして定めてもよい。例えば、3つの脆弱性情報抽出ルールA,B,Cを定めていたとする。この場合、例えば、「A AND B AND C(A,B,C3つのルールを全て満足するテキスト要素を抽出する)」というルールや、「(A OR B) AND C(少なくともA,Bのどちらか一方を満たし、かつ、Cを満たすテキスト要素を抽出する)」というルールを定めてもよい。
【0087】
図8は、図7に例示するツリー構造において、ステップS2で「見出し」として抽出されるテキスト要素の例を示す説明図である。破線で示した円で囲んだ部分が「見出し」となるテキスト要素として抽出される。なお、図8に例示する「ID」、「タイトル」もステップS2で抽出されるが、「ID」または「タイトル」の項目の脆弱性情報抽出ルールに従って抽出されたテキスト要素は、それぞれ「ID」、「タイトル」の「内容」を示す。
【0088】
ステップS2の後、脆弱性情報収集手段110は、ステップS2で抽出した「見出し」となるテキスト要素全てについて、そのテキスト要素のタグ階層を調査する(ステップS3)。図9は、図7に例示するツリー構造において、ステップS3の処理結果の例を示す説明図である。図9に示す例では、「概要」、「対処策」、「参考情報」、「更新履歴(更新情報)」の各項目の見出しとなるテキスト要素が、タグの階層16に位置し、「影響を受けるシステム(影響を受けるソフトウェア)」の見出しとなるテキスト要素が、タグの階層17に位置していた場合を例示している。
【0089】
ステップS3の後、脆弱性情報収集手段110は、ステップS2で抽出した「見出し」となるテキスト要素の出現位置を比較し、「見出し」となるテキスト要素のうち、最も深い階層のものを特定する(ステップS4)。図10は、図7に例示するツリー構造において、ステップS4の処理結果の例を示す説明図である。本例では、階層17に位置する「影響を受けるシステム」の見出しとなるテキスト要素を特定する(図10参照。)。
【0090】
続いて、脆弱性情報収集手段110は、最も深い階層に位置する見出しとなるテキスト要素(ステップS4で特定したテキスト要素)について、そのテキスト要素を含む最も小さい兄弟木が存在する部分木を特定する(ステップS5)。図11は、図7に例示するツリー構造において、ステップS5の処理結果の例を示す説明図である。図11に示す破線の楕円は、ステップS4で特定したテキスト要素の最も小さい兄弟木である。図11に示す破線の四角形の枠は、その兄弟木を含む部分木である。脆弱性情報収集手段110は、ステップS4で特定したテキスト要素の直前のタグから順に上位のタグを検索し、複数のタグに分岐する(すなわち複数のタグの記述を包含する)最初のタグを特定する。本例では、複数のタグに分岐する(すなわち複数のタグの記述を包含する)最初のタグとして、図11に示すBLOCKQUOTEを特定する。このタグの記述内に含まれる各タグの記述(図11に示す例では、P(1)以下の木、P(2)以下の木、P(3)以下の木)が、ステップS4で特定したテキスト要素の最も小さい兄弟木に該当する。脆弱性情報収集手段110は、この兄弟木を含む部分木として、複数のタグに分岐する最初のタグ(図11に示す例ではBLOCKQUOTE)以下の部分木を特定すればよい。なお、兄弟木とは、同一のノードから分岐した部分木である。
【0091】
続いて、脆弱性情報収集手段110は、最も深い階層に位置する見出しとなるテキスト要素(ステップS4で特定したテキスト要素)を含む木の弟木のうち、テキスト要素を含む最初の弟木全体を、見出しとなるテキスト要素に対応する「内容」として抽出する(ステップS6)。弟木とは、着目している木の兄弟木のうち、着目している木以降の兄弟木である。すなわち、HTML文書において、着目している木に相当する記述箇所よりも後に記述されている部分に相当する兄弟木である。図12は、図7に例示するツリー構造において、ステップS6の処理結果の例を示す説明図である。図12に例示するように、脆弱性情報収集手段110は、ステップS5で特定した部分木のうち、ステップS4で特定したテキスト要素を含む木の弟木であって、テキスト要素を含む最初の弟木全体に相当する記述をHTML文書から抽出する。ステップS6では、テキスト木を含む弟木を抽出するので、脆弱性情報の見栄えを整えるためにテキスト要素を含まないタグだけの弟木が存在していたとしても、そのようなタグだけの弟木を抽出対象とせずに、適切に「内容」に相当する弟木を抽出することができる。例えば、図13に示す例では、「ベンダ情報」の見出しに対応する内容に相当する木として、四角形の破線で示した弟木を抽出することなく、適切に「ベンダ情報」の内容に相当する弟木を抽出することができる。
【0092】
ステップS6の後、脆弱性情報収集手段110は、ステップS2で抽出した「見出し」となるテキスト要素のうち、対応する「内容」が抽出されていないテキスト要素がまだ存在するか否かを判定する(ステップS7)。
【0093】
対応する「内容」が抽出されていないテキスト要素(「見出し」となるテキスト要素)がまだ存在する場合には(ステップS7のYES)、脆弱性情報収集手段110は、ステップS6で抽出した「内容」と、その「内容」に対応する「見出し」をHTML文書から削除する(ステップS8)。ステップS8では、ステップS5で特定した部分木の中から、ステップS4で特定したテキスト要素を含む木と、ステップS6において「内容」として抽出した弟木に相当する記述をHTML文書から削除する。図14は、図7に例示するツリー構造において、ステップS8の処理結果の例を示す説明図である。本例では、ステップS5で特定した部分木(図11参照。)から、ステップS4で特定したテキスト要素を含む木(最も深い階層に位置する「見出し」のテキスト要素を含む木)と、その「見出し」に対応する「内容」となる弟木とが削除され、図14に例示する状態となる。
【0094】
ステップS8の後、ステップS4に移行し、ステップS4以降の処理を繰り返す。図15は、図7に例示するツリー構造において、2回目のステップS4の処理結果の例を示す説明図である。ステップS8の後、ステップS4に移行したときにも、脆弱性情報収集手段110は、ステップS2で抽出した「見出し」となるテキスト要素の出現位置を比較し、「見出し」となるテキスト要素のうち、最も深い階層のものを特定する。このとき、既にステップS8で削除された部分に含まれるテキスト要素は、既に削除済みなので、階層(出現位置)の比較対象にはならない。図15に示す例では、削除された「影響を受けるシステム」)以外の各項目(「概要」、「対処策」、「参考情報」、「更新履歴(更新情報)」)の見出しとなるテキスト要素が、同じ階層であり、この4つの項目の見出しとなるテキスト要素を特定する。
【0095】
ステップS4の後、脆弱性情報収集手段110は、再度ステップS5の動作を行う。図16は、図7に例示するツリー構造において、2回目のステップS5の処理結果の例を示す説明図である。本例では、脆弱性情報収集手段110は、2回目のステップS5で、図16に四角形の破線で囲んだ部分木を特定する。
【0096】
ステップS5の後、脆弱性情報収集手段110は、再度ステップS6の動作を行う。図17は、図7に例示するツリー構造において、2回目のステップS6の処理結果の例を示す説明図である。本例では、「概要」、「対処策」、「参考情報」、「更新履歴」の見出しとなるテキスト要素に対応する「内容」として、TR(4)以下、TR(6)以下、TR(8)以下、TR(11)以下の各部分に相当する記述をHTML文書から抽出する。
【0097】
続いて、脆弱性情報収集手段110は、再度ステップS7の動作を行う。すると、本例では、各項目の「見出し」となるそれぞれのテキスト要素について、対応する「内容」が抽出されていると判定し、ステップS8に移行する。
【0098】
ステップS8では、脆弱性情報収集手段110は、所定の項目(所定の項目の「見出し」および「内容」。ただし、「タイトル」については「内容」。)が抽出されたか否かを判定し、所定の項目が抽出されているならば、Webページ(HTML文書)が脆弱性情報であると判定する(ステップS9)。HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「参考情報」および「更新履歴」を用いる。従って、これらの項目の「見出し」と「内容」(「タイトル」については「内容」)を抽出しているならば、脆弱性情報収集手段110は、それらの項目を抽出したWebページが脆弱性情報であると判定する。所定の項目毎に定められた各脆弱性情報抽出ルールに従って見出しとなるテキスト要素を抽出し、さらにその見出しに対応する「内容」を抽出したならば、所定の項目を抽出したと判定する。なお、所定の項目のうち「タイトル」に関しては、「内容」を抽出していればよい。また、所定の項目のうちのいずれかにおいて、脆弱性情報抽出ルールに従って見出しとなるテキスト要素を抽出できなかったり、あるいは、見出しに対応する「内容」が抽出できなかった場合には、脆弱性情報収集手段110はステップS9で、所定の項目を抽出していないと判定する。
【0099】
脆弱性情報収集手段110は、Webページが脆弱性情報であると判定したならば、ステップA2(図3参照。)で、そのWebページから抽出した各項目の「見出し」および「内容」(「情報ID」および「タイトル」については「内容」)を脆弱性情報データベース120に記憶させる。このとき、脆弱性情報収集手段110は、そのWebページ(脆弱性情報)自身のURLもあわせて脆弱性情報データベース120に記憶させる。
【0100】
また、脆弱性情報抽出ルールでは、項目の「見出し」だけでなく、「内容」に関する条件もあわせて規定されていてもよい。脆弱性情報抽出ルールに「内容」に関する条件が含まれている場合、その脆弱性情報抽出ルールから抽出した「見出し」に対応する「内容」を抽出するとき、脆弱性情報抽出ルールで規定された「内容」に関する条件を満たすテキスト要素を含む弟木を抽出すればよい。「内容」に関する条件を定めた脆弱性情報抽出ルールの例を説明する。例えば、「参考情報」の「内容」には、「CVE−xxxx−xxxx(xは数字。)」という記述が含まれることが多い。そこで、「参考情報」を抽出するための脆弱性情報抽出ルールでは、「内容」に関する条件として、「“CVE−xxxx−xxxx(xは数字)”を含む」という条件を定めていてもよい。この場合、図6に示すステップS6で、「参考情報」の「内容」を抽出するときに、この条件を満たすテキスト要素を含む弟木を抽出すればよい。このように、「内容」に関する条件も脆弱性情報抽出ルールに含めることで、より適切に項目を抽出することができる。なお、“CVE−xxxx−xxxx(xは数字)”は、CVE(Common Vulnerability and Exposures)による脆弱性の識別番号である。
【0101】
次に、本実施の形態の動作の具体例を説明する。
まず、Webクローリングを行うための起点となるURLが、入出力装置200を介してデータ処理装置100の脆弱性情報収集手段110に入力される。Webクローリングを行うための起点となるURLとして、例えば、コンピュータセキュリティに関する各種情報の提供を行っているJPCERT/CC(Japan Computer Emergency Response Team Coordination Center)のWebサイトにある「JVN(JP Vendor Status Notes)」のURLである“http://jvn.jp/”等を用いることができる。脆弱性情報収集手段110は、入力されたURLに基づいて脆弱性情報提供Webサーバに脆弱性情報を要求し、その脆弱性情報提供WebサーバからURLに応じたWebページを受信する。そして、脆弱性情報収集手段110は、受信したWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを取得することを繰り返す(ステップA1)。既に説明したように、連続して所定数(例えば「2」)以上、脆弱性情報に該当しないWebページを受信したり、トップページからの深さが所定の深さに達した場合に、Webページの取得を停止する。
【0102】
なお、ここではWebクローリングによる情報収集について説明したが、WWW上の既存のサーバを利用して情報収集を行ってもよい。この場合、ステップA1において、脆弱性情報収集手段110には、入出力装置200を介して“Vendor AND Status AND Notes”等のキーワードが入力される。脆弱性情報収集手段110には、例えば、脆弱性情報を紹介するWebページで用いられるキーワードが入力される。脆弱性情報収集手段110は、そのキーワードを検索サーバに送信し、キーワードを含むWebページのURLを検索サーバから受信して、さらに、そのURLによって特定されるWebページを取得することによって脆弱性情報を収集してもよい。
【0103】
脆弱性情報収集手段110は、ステップA1でWebページを受信したならば、図6に示すステップS1〜S9の処理を行ってそのWebページが脆弱性情報に該当するか否かを判定する。例えば、図18に例示するWebページを受信したとする。この場合、脆弱性情報収集手段110は、図6に示す処理を行い、「JPooo-AT-2006-0009」を情報IDとし、「○○の脆弱性に関する注意喚起」をタイトルとして抽出し、さらに、「概要」、「対象」、「対策」、「参考情報」等の各項目の「見出し」および「内容」を抽出する。図18に示す例では、「概要」の「内容」に3つのリンクが含まれ、また、「参考情報」の「内容」に5つのリンクが含まれている。この他、図18では、図示を省略しているが、「更新情報(更新履歴)」の「見出し」および「内容」も抽出され、図18に示すWebページは、脆弱性情報であると判定されたとする。
【0104】
脆弱性情報収集手段110は、Webページが脆弱性情報であると判定した場合、そのWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップA2)。このとき、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。例えば、図18に例示するWebページを受信し、そのWebページが脆弱性情報であると判定した場合、脆弱性情報収集手段110は、図18に示す情報ID(JPooo-AT-2006-0009)、タイトル(○○の脆弱性に関する注意喚起)、概要、対象、対策、参考情報等の各項目を脆弱性情報データベース120に記憶させる。
【0105】
脆弱性情報と判定した各Webページから抽出した項目を脆弱性情報データベース120に記憶させた後、参照関係分析手段150は、各脆弱性情報の参照関係を分析する(ステップA3)。具体的には、参照関係分析手段150は、各脆弱性情報に含まれていたURLと、各脆弱性情報自身のURLとを照合し、合致する脆弱性情報の組み合わせを特定する。そして、脆弱性情報の各組合わせにおいて、URLを含んでいた方の脆弱性情報を参照元とし、そのURLを受信のURLとしていた方の脆弱性情報を参照先とする。そして、参照関係分析手段150は、URLが合致する脆弱性情報の組み合わせを参照元と参照先とを区別して記憶装置に記憶させる。例えば、図5に例示するように、組み合わせ毎に、参照元と参照先とを区別して記憶装置に記憶させる。
【0106】
さらに、参照関係分析手段150は、URLが合致する脆弱性情報の組み合わせを参照元と参照先とを区別して記憶装置に記憶させた後、参照元となる回数が最も多い脆弱性情報を判定する。参照関係分析手段150は、参照元として記憶された回数が最も多い脆弱性情報を判定すればよい。この脆弱性情報は、「脆弱性情報として内容的にもっともまとめられた脆弱性情報」とみなすことができる。また、参照関係分析手段150は、URLが合致する脆弱性情報の組み合わせを参照元と参照先とを区別して記憶装置に記憶させた後、参照先となる回数が最も多い脆弱性情報も判定する。参照関係分析手段150は、参照先として記憶された回数が最も多い脆弱性情報を判定すればよい。この脆弱性情報は、「内容的に最も重要な脆弱性情報」であるとみなすことができる。
【0107】
図19は、脆弱性情報同士の参照関係の例を示す説明図である。図19では、参照元の脆弱性情報から参照先の脆弱性情報に向かって矢印を記述することで脆弱性情報間の参照関係を表している。図19では、「タイトル」または「情報ID」で各脆弱性情報を表している。また、各脆弱性情報とともに、その脆弱性情報の最終更新日(または最終更新日時)も示している。図19に示す各矢印は、その矢印の始点および終点に示された脆弱性情報間に参照関係があることを示している。矢印の始点側の脆弱性情報が参照元であり、矢印の終点側の脆弱性情報が参照先である。図19に示す例では、「JPooo-AT-2006-0009」が、参照元となっている回数が最も多く、内容的にもっともまとめられた脆弱性情報であるとみなすことができる。また、「TTT-2006-3059」が、参照先となっている回数が最も多く、内容的に最も重要な脆弱性情報であるとみなすことができる。
【0108】
ステップS4の後、参照関係分析手段150は、ステップ4における分析結果を入出力装置200を介して出力する(ステップA5)。具体的には、入出力装置200に含まれるディスプレイ装置に表示させる。
【0109】
図20は、参照関係分析手段150が入出力装置200に含まれるディスプレイ装置に表示させる分析結果表示画面の例を示す説明図である。分析結果表示画面は、ステップA1で収集した各脆弱性情報のうち、どの脆弱性情報を閲覧するのかを管理者に選択させるメニュー欄71と、表示指示ボタン72と、脆弱性情報を表示する情報表示欄73と、収集した脆弱性情報間の参照関係を示す参照関係表示欄74を含む。参照関係分析手段150は、メニュー欄71でメニューを選択され、表示指示ボタン72がクリックされると、選択されたメニューに応じた分析結果を表示する。なお、脆弱性情報を情報表示欄73に表示させるには、例えば、脆弱性情報自体を脆弱性情報データベース120に記憶させておけばよい。あるいは、脆弱性情報データベース120に記憶させたURLを用いて脆弱性情報を再度取得して、情報表示欄73に表示させてもよい。
【0110】
参照関係分析手段150は、参照関係表示欄74に、各脆弱性情報のタイトルを表示するとともに、脆弱性情報間を結ぶ矢印を表示する。この矢印は、始点および終点に示された脆弱性情報間に参照関係があることを示し、矢印の始点側の脆弱性情報が参照元であり、矢印の終点側の脆弱性情報が参照先であることを示す矢印である。なお、脆弱性情報のタイトルに代えて、あるいは、タイトルとともに、情報IDを表示してもよい。また、参照関係分析手段150は、タイトル(または情報ID)とともに、更新履歴に記述されている最新の更新年月日や更新日時を表示してもよい。このようにして、参照関係分析手段150は、各脆弱性情報間の参照関係をグラフとして表示する。すなわち、参照関係表示欄74には、図19に例示したような参照関係を表示する。
【0111】
また、図20に示す例では、メニュー欄71で「まとめ情報を閲覧する」が選択されて表示指示ボタン72がクリックされた場合の例を示している。すなわち、「脆弱性情報として内容的にもっともまとめられた脆弱性情報」を表示することが指示されている場合の例を示している。この場合、参照関係分析手段150は、ステップA3で参照元となる回数が最も多いと判定した脆弱性情報を、参照関係表示欄74内で他と区別して表示する。例えば、ハイライト表示する。そして、参照関係分析手段150は、その脆弱性情報を情報表示欄73に表示する。図20では、参照元となる回数が最も多い「JPooo-AT-2006-0009」をハイライト表示し、その脆弱性情報を情報表示欄73に表示する場合を例示している。
【0112】
また、参照関係分析手段150は、参照関係表示欄74に表示したタイトルまたは情報IDがクリックされたときに、そのタイトルまたは情報IDが示す脆弱性情報を情報表示欄73または新たなウィンドウに表示してもよい。
【0113】
図21は、メニュー欄71で「重要情報を閲覧する」が選択されて表示指示ボタン72がクリックされた場合の例を示している。すなわち、「内容的に最も重要な脆弱性情報」を表示することが指示されている場合の例を示している。この場合、参照関係分析手段150は、ステップA3で参照先となる回数が最も多いと判定した脆弱性情報を、参照関係表示欄74内で他と区別して表示する。例えば、ハイライト表示する。そして、参照関係分析手段150は、その脆弱性情報を情報表示欄73に表示する。図21では、参照先となる回数(被参照数)が最も多い「TTT-2006-3059」をハイライト表示し、その脆弱性情報を情報表示欄73に表示する場合を例示している。
【0114】
図22は、メニュー欄71で「最新情報を閲覧する」が選択されて表示指示ボタン72がクリックされた場合の例を示している。この場合、参照関係分析手段150は、更新情報の「内容」に記述された更新日時が現在の日時に最も近い脆弱性情報を判定し、その脆弱性情報を参照関係表示欄74内で他と区別して表示する。例えば、ハイライト表示する。そして、参照関係分析手段150は、その脆弱性情報を情報表示欄73に表示する。図22では、更新日時が現在の日時に最も近い「JPooo-AT-2006-0009」をハイライト表示し、その脆弱性情報を情報表示欄73に表示する場合を例示している。
【0115】
また、参照関係分析手段150は、参照関係表示欄74内で各脆弱性情報のタイトル(または情報ID)とともに、脆弱性情報が参照元となる回数または参照先となる回数を表示してもよい。その場合、管理者は、各脆弱情報が参照元となる回数または参照先となる回数を容易に把握することができる。
【0116】
また、参照関係分析手段150は、メニュー欄71内に管理者が日時を入力するための欄を表示し、その欄に入力された日時以降に更新された情報のみを表示してもよい。そのようにすれば、古い情報を省いて表示することができ、必要のない情報を閲覧対象から省くことができる。
【0117】
次に、本実施の形態の効果について説明する。
本実施の形態では、脆弱性情報収集手段110が、Webクローリングにより脆弱性情報の収集を行うように構成されているため、特定のWebサイトのみに限らず広く脆弱性情報を収集できる。
【0118】
また、本実施の形態では、さらに参照関係分析手段150が、収集した各脆弱性情報間の参照関係を分析するように構成されているため、管理者は同一の脆弱性に関する多数のWebページの中からどのページを参照すればよいかが分かる。また、本実施の形態によれば、参照先となる回数が最も多い脆弱性情報、または参照先となる回数が最も多い脆弱性情報を他と区別して表示するので、管理者は、よくまとめられた脆弱性情報や、重要な脆弱性情報を容易に判断することができる。
【0119】
実施の形態2.
図23は、本発明によるセキュリティ運用管理システムの第2の実施の形態を示すブロック図である。第1の実施の形態と同様の構成部については、図1と同一の符号を付して説明を省略する。また、第1の実施の形態と同様の構成部の動作は、第1の実施の形態と同様である。ただし、第2の実施の形態では、HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を用いる。すなわち、第2の実施の形態では、脆弱性情報収集手段110は、ステップS9(図6参照。)において、Webページ(HTML文書)から「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を抽出していたときに、そのWebページが脆弱性情報であると判定する。
【0120】
第2の実施の形態では、データ処理装置100は、第1の実施の形態で示した脆弱性情報収集手段110、脆弱性情報データベース120、見出し同義語辞書140、参照関係分析手段150に加え、情報要約手段160とセキュリティ同義語辞書170とを含んでいる。情報要約手段160は、例えば、プログラムに従って動作するCPUによって実現される。セキュリティ同義語辞書170は、記憶装置によって実現される。
【0121】
情報要約手段160は、脆弱性情報収集手段110によって脆弱性情報と判定されたWebページから抽出していた項目のうち、「影響を受けるソフトウェア」、「対処策」および「参考情報」の「内容」を要約する処理を行う。作成元が異なっているが同一の脆弱点に関する記述を含む脆弱性情報では、「影響を受けるソフトウェア」、「対処策」および「参考情報」の「見出し」として同義の文言が用いられ、その「見出し」に対応する「内容」では、同様の事項が記述される。ただし、作成元のベンダや機関がどのような文言を用いるかによって「内容」に記載される文言は異なる。また、詳細に記述された脆弱性情報の「内容」には、他の脆弱性情報の「内容」には記述されていない事項が含まれている場合もある。情報要約手段160は、「影響を受けるソフトウェア」、「対処策」および「参考情報」の「内容」に関して、同一の脆弱点について記述した異なる脆弱性情報の「内容」から重複事項をなくして、いずれかの脆弱性情報の内容には含まれている事項を残すように「内容」の要約を行う。
【0122】
また、情報要約手段160は、要約した「影響を受けるソフトウェア」、「対処策」および「参考情報」の「内容」を入出力装置200から出力する。例えば、入出力装置200に含まれるディスプレイ装置に表示させる。
【0123】
セキュリティ同義語辞書170は、情報要約手段160で脆弱性情報の要約処理を行うときに必要なセキュリティ関連語の同義語が格納された辞書である。具体的には、セキュリティ同義語辞書170は、同一の脆弱点について示す脆弱性情報の「内容」で同義語として用いられる文言同士を対応付けて予め記憶している。セキュリティ同義語辞書170に記憶させるべき同義語は、過去に作成された脆弱性情報を確認して、人間が経験的に判断すればよい。
【0124】
セキュリティ同義語辞書170に記憶される同義語の例として、同一の製品を表すために用いられる複数種類の文言が挙げられる。例えば、脆弱性情報において「影響を受けるソフトウェア」の内容としてコンピュータのOSの名称が記載されることがある。この場合に、マイクロソフト社のOSである「Windows XP Professional」について、“WinXP Pro”という省略形の表記で記載されたり、英単語と仮名による“ウインドウズXPプロフェッショナル”という表記や“ウィンドウズ XP プロフェッショナル”という表記で記載されたり、省略形と仮名によって“ウインドウズXPプロ”と記載されたり、様々な記載のされ方をする。また、「Windows XP Professional」と「Windows XP Home Edition」をまとめて“Windows XP”と表記されることもある。セキュリティ同義語辞書170は、例えば、このような同一の製品を表すために用いられる複数種類の文言を同義語として対応付けて記憶する。セキュリティ同義語辞書170は、情報要約手段160における要約処理時に、このような同義語を認識するために用いられる。なお、マイクロソフト、ウィンドウズ、Windows およびWindows XPは登録商標である。
【0125】
次に動作について説明する。図24は、本実施の形態のセキュリティ運用管理システムの動作の例を示すフローチャートである。
【0126】
データ処理装置100には、入出力装置200を介して、予めセキュリティ管理者によって、いずれかの脆弱性情報のWebサイトのURLが1つ以上入力されていて、脆弱性情報収集手段110はそのURLを記憶する。脆弱性情報収集手段110は、そのURLに応じたWebページを取得し、そのWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを取得する。脆弱性情報収集手段110は、この動作を繰り返してWebページを収集する(ステップB1)。この動作は、第1の実施の形態のステップA1の動作と同様である。また、第1の実施の形態で説明したように、脆弱性情報収集手段110にURLの代わりにキーワードが入力され、脆弱性情報収集手段110が既存の検索サーバを利用してWebページを収集してもよい。
【0127】
脆弱性情報収集手段110は、Webページを受信すると、受信したWebページから脆弱性情報に含まれる項目を抽出し、所定の項目が抽出されたならば、受信したWebページが脆弱性情報であると判定する。この動作は、ステップS1〜S9の動作と同様である。ただし、第2の実施の形態では、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を所定の項目とし、この4つの項目が抽出できたWebページを脆弱性情報と判定する。
【0128】
脆弱性情報収集手段110は、脆弱性情報と判定されるWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップB2)。「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」以外の項目(例えば、「更新履歴」、「情報ID」等)も抽出した場合には、それらの項目も記憶させる。また、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。
【0129】
ステップB2の後、参照関係分析手段150は、脆弱性情報の各項目に含まれるリンクの情報(URL)を脆弱性情報データベース120から読み込み、そのURLに基づいて、どの脆弱性情報がどの脆弱性情報を参照しているのかを分析する(ステップB3)。ステップB2,B3の動作は、第1の実施の形態のステップA2,A3と同様である。
【0130】
ただし、第2の実施の形態では、参照関係分析手段150は、ステップB3において、さらに以下の処理を行う。参照関係分析手段150は、脆弱性情報間の参照関係を特定したならば、参照関係が続いている複数の脆弱性情報を同一の脆弱性に関する脆弱性情報であると判定する。すなわち、ある脆弱性情報が別の脆弱性情報を参照し、その別の脆弱性情報がさらに別の脆弱性情報を参照しているという参照関係が続いているときに、参照関係分析手段150は、その参照関係を有している複数の脆弱性情報が、全て同一の脆弱性に関する脆弱性情報であると判定する。例えば、脆弱性情報Pが脆弱性情報Qを参照していて、脆弱性情報Qが脆弱性情報Rを参照している場合、P,Q,Rは、いずれも同一の脆弱性に関する脆弱性情報であると判定する。
【0131】
また、例えば、図4に例示するWebページの参照関係において、WebページA,C,E,Gが脆弱性情報であり、WebページFは単なる脆弱性情報リストであって、脆弱性情報ではないとする。また、WebページGが、WebページH(図示せず。)へのリンクを含んでいるものとする。この場合、WebページFは脆弱性情報データベース120に記憶されない。また、この場合、参照関係分析手段150は、脆弱性情報A,C,Eが同一の脆弱性に関する脆弱性情報であり、脆弱性情報G,Hが別の同一の脆弱性に関する脆弱性情報であると判定する。
【0132】
参照関係分析手段150は、同一の脆弱性に関する脆弱性情報であると判定した脆弱性情報毎に、脆弱性情報データベース120に記憶された情報(項目)を分類する。例えば、上記の例では、脆弱性情報A,C,Eから抽出された項目と、脆弱性情報G,Hから抽出された項目とに分類する。第2の実施の形態では、ステップB3で、このような分類まで行う。
【0133】
次に、情報要約手段160は、ステップB3で分類したグループ毎に、項目の要約を行う(ステップB4)。情報要約手段160は、「影響を受けるソフトウェア」、「対処策」および「参考情報」の「内容」を要約する。各項目の内容を要約した情報を要約情報と記す。
【0134】
情報要約手段160は、「影響を受けるソフトウェア」として様々な表記で記載された製品名であって、同義語としてセキュリティ同義語辞書170に記憶されている製品名を1つの表記に統一することによって、「影響を受けるソフトウェア」の要約を行う。また、複数の脆弱性情報のうちのいずれか「影響を受けるソフトウェア」の内容にのみ記載されていた事項は要約情報に含める。すなわち、「影響を受けるソフトウェア」に記載された文言であって、他の脆弱性情報から抽出された「影響を受けるソフトウェア」に記載された文言とセキュリティ同義語辞書170において同義語として対応付けられていない文言は、要約情報に含める。すなわち、複数の脆弱性情報の「影響を受けるソフトウェア」の内容の和集合をとる。
【0135】
また、「対処策」の内容は自然言語の文章で記述される。情報要約手段160は、予め「*更新プログラム*を適用*」等のように、1つの文章(1センテンス)中にキーワードが登場するパターン(キーワード登場パターン)を記憶し、そのキーワード登場パターンに合致する文章を「対処策」の内容から抽出する。以下、この文章を重要文と記す。情報要約手段160は、複数の脆弱性情報の「対処策」の内容から抽出した重要文のうち、1つの重要文だけを選択し、選択した重要文を要約情報に含める。情報要約手段160は、この処理をキーワード登場パターン毎に行うことにより、「対処策」の要約を行う。なお、例示したキーワード登場パターン「*更新プログラム*を適用*」における「*」は、任意の文字列を表している。ただし、句点(。)をまたいで他の文章の文字列を含む文字列は、「*」に該当しないものとする。また、キーワード登場パターンが規定しているキーワード(上記の例では「更新プログラム」等)の同義語がセキュリティ同義語辞書170に記憶されている場合、情報要約手段160は、予め記憶しているキーワード記憶パターン内のキーワードをセキュリティ同義語辞書170に記憶された同義語で置き換えたキーワード登場パターンも用いて重要文を抽出する。また、複数の脆弱性情報のうちのいずれかの「対処策」の内容にのみ記述されていた重要文は要約情報に含める。すなわち、複数の脆弱性情報の「対処策」の内容に記述された重要文の和集合をとる。
【0136】
情報要約手段160は、「参考情報」に関しては、各脆弱性情報の「参考情報」の「内容」に含まれるURLのうち、重複するURLを1つだけ残すことにより要約を行う。また、複数の脆弱性情報のうちのいずれかの「参考情報」の内容にのみ記述されていたURLは要約情報に含める。すなわち、複数の脆弱性情報の「参考情報」の内容に記述されたURLの和集合をとる。
【0137】
図25は、要約処理を模式的に示した説明図である。同一の脆弱性に関して記述した脆弱性情報A,B,Cに該当する各Webページが収集されていたとする。また、脆弱性情報Aには、「関連するソフトウェア」という文言を見出しとする項目と、「回避策」という文言を見出しとする項目とが含まれていたとする。脆弱性情報Bには、「対象となるシステム」という文言を見出しとする項目と、「対策」という文言を見出しとする項目とが含まれていたとする。脆弱性情報Cには、「影響を受けるシステム」という文言を見出しとする項目と、「対応策」という文言を見出しとする項目とが含まれていたとする。情報要約手段160は、同一の脆弱性に関して記述した脆弱性情報A,B,Cから抽出された項目を同一のグループに分類し、その項目の「影響を受けるソフトウェア」や、「対処策」等の項目について要約を行う。このとき、情報要約手段160は、見出し同義語辞書140を用いて、 “関連するソフトウェア”を見出しとする項目と、“対象となるシステム”を見出しとする項目と、“影響を受けるシステム”を見出しとする項目を、同じ内容の項目と判定する。同様に、“回避策”を見出しとする項目と、“対策”を見出しとする項目と、“対応策”を見出しとする項目とが同じ内容の項目であると判定する。情報要約手段160は、同じ内容と判定した項目の内容の要約を行い、統一した見出し(図25に示す例では「影響を受けるソフトウェア」や「対処策」)を付加する。
【0138】
次に、情報要約手段160は、ステップB5で要約した各項目を連結して複数の項目からなる1つの脆弱性情報を生成する(ステップB5)。ここで生成された脆弱性情報は、同一の脆弱性に関する複数の脆弱性情報を要約した情報となる。そして、情報要約手段160は、ステップB5で生成した脆弱性情報を入出力装置200に出力する(ステップB6)。例えば、入出力装置200に含まれるディスプレイ装置に表示させる。
【0139】
次に、ステップB4で情報要約手段160が行う要約処理について、具体例を用いて説明する。図26は、「影響を受けるソフトウェア」の内容の要約の例を示す説明図である。図26に示す情報A〜Cは、図25に示す情報(脆弱性情報)A〜Cと同様である。本例では、情報Aの“関連するソフトウェア”を見出しとする項目から脆弱性の影響を受けるソフトウェアとして、「Microsoft Windows 2000 Service Pack 4」と「Microsoft Windows XP Service Pack 1」と「Microsoft Windows XP Service Pack 2」の3つが抽出されている。同様に、情報Bの“対象となるシステム”を見出しとする項目から脆弱性の影響を受けるソフトウェアとして、「Win2000 Service Pack 4」と「WinXP Service Pack 1」と「WinXP Service Pack 2」と「Win2003 Server」の4つが抽出される。同様に、情報Cの“影響を受けるシステム”を見出しとする項目から脆弱性の影響を受けるソフトウェアとして、「Windows 2000 SP4」と「Windows XP SP1」と「Windows XP SP2」の3つが抽出される。この抽出は脆弱性情報収集手段110によって行われ、脆弱性情報収集手段110は、抽出した上記の文言は脆弱性情報データベース120に記憶させる。
【0140】
また、セキュリティ同義語辞書170は、予め、「Microsoft Windows 2000 Service Pack 4」と「Win2000 Service Pack 4」と「Windows 2000 SP4」とを対応付けて記憶している。同様に、セキュリティ同義語辞書170は、「Microsoft Windows XP Service Pack 1」と「WinXP Service Pack 1」と「Windows XP SP1」とを対応付けて記憶している。また、「Microsoft Windows XP Service Pack 2」と「WinXP Service Pack 2」と「Windows XP SP2」とを対応付けて記憶している。
【0141】
情報要約手段160は、情報A,B,Cが同一の脆弱性に関する脆弱性情報であると判定したならば、脆弱性情報データベース120に記憶された情報A,B,Cの「脆弱性の影響を受けるソフトウェア」の内容を読み込む。そして、情報要約手段160は、読み込んだ文言のうち、セキュリティ同義語辞書170で対応付けられている文言が、同一のもの(ここではソフトウェア製品)を表していると判定し、その読み込んだ文言を代表する文言(以下、統一名称と記す。)を要約情報に含める。
【0142】
例えば、情報要約手段160は、「Microsoft Windows 2000 Service Pack 4」と「Win2000 Service Pack 4」と「Windows 2000 SP4」とが同一のソフトウェア製品であると判定し、それらを代表する統一名称(本例では「Microsoft Windows 2000 Service Pack 4」とする。)を要約情報に含める。同様に、「Microsoft Windows XP Service Pack 1」と「WinXP Service Pack 1」と「Windows XP SP1」とが同一のソフトウェア製品であると判定し、それらを代表する統一名称(本例では「Microsoft Windows XP Service Pack 1」とする。)を要約情報に含める。また、「Microsoft Windows XP Service Pack 2」と「WinXP Service Pack 2」と「Windows XP SP2」とが同一のソフトウェア製品であると判定し、それらを代表する統一名称(本例では「Microsoft Windows XP Service Pack 2」とする。)を要約情報に含める。統一名称は、セキュリティ同義語辞書170において、同義語として対応付けられて記憶されている文言毎に1つ定められている。
【0143】
また、情報要約手段160は、各脆弱性情報のうちの1つのみに「影響を受けるソフトウェア」として記載されていた「Win2003 Server」も要約情報に含める。本例では、「Win2003 Server」と同義の文言の統一名称は「Microsoft Windows Server 2003」と定められいるものとする。情報要約手段160は、「Win2003 Server」の統一名称「Microsoft Windows Server 2003」を要約情報に含める。
【0144】
なお、要約処理を行うときには内容について「和集合」を取るようにする。つまり、同一であると判定できる内容については冗長性を除くために1つにまとめ(例えば、図26の「Microsoft Windows XP Service Pack 1」)、同一であると判定できない内容や唯一である内容については要約情報に加える(例えば、図26の「Microsoft Windows Server 2003」)。他の情報提供サーバから受信した脆弱性情報には記載されていない事項は、情報提供側のミスによる誤った情報である可能性もあるし、逆に他の情報提供者が確認できなかった重要情報である可能性もある。セキュリティの観点から考えると、「情報の見逃し」よりも「情報の誤検出」のほうが安全である。例えば、あるソフトウェア製品に影響があるにも関わらずその確認を見逃すよりも、脆弱性情報が誤っていて、あるソフトウェア製品への影響がないかを確認するようがセキュリティ上安全である。よって、情報要約手段160は、上記のように「和集合」をとって要約を行う。
【0145】
また、同一であると判定できない内容や唯一である内容については、要約情報の生成時にその旨を管理者にメッセージとして表示して、その内容が誤った内容であるか否かを管理者に判断させてもよい。そして、その内容を要約情報に加えるか否かを管理者からの指示に応じて決定してもよい。
【0146】
また、「影響を受けるソフトウェア」の内容は、製品名が列挙して記述されるが、「対処策」の内容は、自然言語の文章で記述される。以下、文章で記述される「対処策」の内容の要約について、具体例を挙げて説明する。図27は、「対処策」の内容の要約の例を示す説明図である。本例では、情報要約手段160は、キーワード登場パターンとして、「*更新プログラム*を適用*」および「*を無効*」を予め記憶しているものとする。「*」は任意の文字列を表すが、句点(。)をまたいで他の文章の文字列を含む文字列は「*」に該当しないものとし、キーワード登場パターンに合致するか否かは1つの文章毎に判定される。また、セキュリティ同義語辞書170には、「更新プログラム」と「パッチ」とが対応付けて記憶されているものとする。
【0147】
図27に示す例では、情報Aの「対策」を見出しとする項目から、対処策として“適切なパッチをダウンロードし、適用して下さい。”という文章を含む内容が抽出されているとする。また、情報Bの「推奨する対応策」を見出しとする項目から、“更新プログラム○○を適用して下さい。”という文章を含む内容が抽出されているとする。また、情報Cの「対処策」を見出しとする項目から、“□□を無効にする。”という文章を含む内容が抽出されているとする。これらの内容の抽出は脆弱性情報収集手段110によって行われ、脆弱性情報収集手段110は、抽出した上記の文言は脆弱性情報データベース120に記憶させる。
【0148】
情報要約手段160は、情報A,B,Cが同一の脆弱性に関する脆弱性情報であると判定したならば、脆弱性情報データベース120に記憶された情報A,B,Cから抽出した対処策の内容を読み込み、その内容から重要文を抽出する。情報要約手段160は、キーワード登場パターン「*更新プログラム*を適用*」に合致する文章として、情報Bの「推奨する対応策」に対応する内容から、“更新プログラム○○を適用してください。”という文章を抽出する。また、情報要約手段160は、キーワード登場パターン「*更新プログラム*を適用*」の「更新プログラム」をセキュリティ同義語辞書170に記憶された「パッチ」に置き換える。そして、そのキーワード登場パターン「*パッチ*を適用*」に合致する文章として、情報Aの「対策」に対応する内容から、“適切なパッチをダウンロードし、適用して下さい。”という文章を抽出する。
【0149】
また、情報要約手段160は、キーワード登場パターン「*を無効*」に合致する文章として、情報Cの「対処策」に対応する内容から、「□□を無効にする。」という文章を抽出する。
【0150】
次に、情報要約手段160は、「*更新プログラム*を適用*」およびそのキーワードを同義語に置き換えた「*パッチ*を適用*」に基づいて抽出した2つの重要文のうちの1つを選択し、選択した重要文を要約情報に含める。このとき、情報要約手段160は、固有名詞を最も多く含む重要文を選択することが好ましい。図27に示す例では、“適切なパッチをダウンロードし、適用して下さい。”と“更新プログラム○○を適用してください。”のうち、固有名詞である“○○”を含む後者を選択している。固有名詞を最も多く含む重要文を選択することで、対処策の要約情報として具体的な内容を管理者に提示することができる。
【0151】
また、情報要約手段160は、「*を無効*」に基づいて抽出した重要文は1つだけであるので、その重要文「□□を無効にする。」を要約情報に含める。このように、重要文に関しても和集合をとる。
【0152】
また、「参考情報」の内容にはURLが記述されている。情報要約手段160は、複数の脆弱性情報の「参考情報」の「内容」を要約する場合には、重複している同一のURLを1つのURLとして要約情報に含める。また、いずれかの「参考情報」の内容にのみ記述されていたURLも要約情報に含める。
【0153】
次に、本実施の形態の効果について説明する。本実施の形態では、情報要約手段160が同一の脆弱性に関する複数の情報を要約するように構成されているため、管理者は同一の脆弱性について複数の情報提供サイトが提供している情報の要約情報を自動的に取得することができる。
【0154】
また、本実施の形態では、さらに、情報の要約時に冗長性を省き、内容について和集合を取るというように構成されているため、情報の見逃しを防止することができる。
【0155】
実施の形態3.
図28は、本発明によるセキュリティ運用管理システムの第3の実施の形態を示すブロック図である。第2の実施の形態と同様の構成部については、図23と同一の符号を付して説明を省略する。また、第2の実施の形態と同様の構成部の動作は、第2の実施の形態と同様である。ただし、第3の実施の形態では、HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「影響を受けるソフトウェア」および「参考情報」を用いればよい。すなわち、第2の実施の形態では、脆弱性情報収集手段110は、ステップS9(図6参照。)において、Webページ(HTML文書)から「タイトル」、「影響を受けるソフトウェア」および「参考情報」を抽出していたときに、そのWebページが脆弱性情報であると判定する。また、情報要約手段160は、「対処策」の内容については要約しなくてもよい。第2の実施の形態と同様に、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を所定の項目とし、また、「対処策」の内容を要約してもよい。
【0156】
第3の実施の形態では、データ処理装置100は、第2の実施の形態で示した脆弱性情報収集手段110、脆弱性情報データベース120、見出し同義語辞書140、参照関係分析手段150、情報要約手段160、セキュリティ同義語辞書170に加え、影響確認スクリプト生成手段180と、影響確認スクリプト実行手段181と、スクリプト生成知識データベース190とを含む。影響確認スクリプト生成手段180と影響確認スクリプト実行手段181は、例えば、プログラムに従って動作するCPUによって実現される。スクリプト生成知識データベース190は、記憶装置によって実現される。
【0157】
影響確認スクリプト生成手段180は、情報要約手段160によって要約が行われた後、「影響を受けるソフトウェア」の要約情報(要約結果)に記載されているハードウェアやソフトウェアの名称、バージョンまたは設定等に応じて、管理対象システム(図示せず。)の状態を確認するためのスクリプト(以下、影響確認スクリプトと記す。)を生成する。管理対象システムは、セキュリティ管理の対象となるコンピュータシステムである。
【0158】
スクリプト生成知識データベース190は、影響確認スクリプト生成手段180で影響確認スクリプトを生成するときに必要となる知識があらかじめ格納されている。具体的には、スクリプト生成知識データベース190は、影響確認スクリプト生成知識を記憶する。図29は、影響確認スクリプト生成知識の例を示す説明図である。影響確認スクリプト生成知識では、影響を受けるシステムの情報と、確認知識とが対応付けられている。影響を受けるシステムの情報は、「影響を受けるソフトウェア」の要約結果として記述される統一名称である。この統一名称はソフトウェアまたはハードウェアの名称であり、統一名称には、バージョン情報や、ソフトウェアやハードウェアの設定に関する記述が含まれていてもよい。確認知識は、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準とを含む。確認対象事項が判定基準に合致するときには、管理対象システムは脆弱性の影響を受けると判定される。
【0159】
また、スクリプト生成知識データベース190は、確認対象事項を確認するための影響確認スクリプトの雛形を予め記憶している。その雛形に、確認対象事項または影響を受けるシステムの情報に応じたパラメータが記述されることで、影響確認スクリプトが生成される。
【0160】
例えば、「影響を受けるソフトウェア」の要約結果に“Microsoft Windows XP Service Pack 2”が含まれているとする。影響確認スクリプト生成手段180は、影響確認スクリプト生成知識に基づいて、管理対象システム内のコンピュータに“Microsoft Windows XP Service Pack 2”がインストールされているかどうかを確認する影響確認スクリプトを生成する。このとき、“Microsoft Windows XP Service Pack 2”に対応する確認知識の確認対象事項に応じたパラメータ等を、影響確認スクリプトの雛形に記述することで、影響確認スクリプトを生成する。
【0161】
影響確認スクリプト実行手段181は、影響確認スクリプト生成手段180で生成された影響確認スクリプトを実行する。影響確認スクリプト実行手段181は、影響確認スクリプトを実行して得られた確認対象事項の確認結果が判定基準と合致するならば、管理対象システム内のコンピュータが脆弱性の影響を受けると判定し、確認結果が判定基準と合致しないならば、管理対象システム内のコンピュータが脆弱性の影響を受けないと判定する。
【0162】
なお、影響確認スクリプト生成手段180で影響確認スクリプト生成時に、スクリプト生成知識データベース190に該当する影響確認スクリプト生成知識が存在しない場合には、影響確認スクリプト生成手段180は影響を受けるソフトウェアの名称やバージョンをそのままメッセージとして管理者に提示するようにする。
【0163】
次に動作について説明する。
図30は、本実施の形態のセキュリティ運用管理システムの動作の例を示すフローチャートである。脆弱性情報収集手段110は、予め入力されていたURLに応じたWebページを取得し、そのWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを取得する。脆弱性情報収集手段110は、この動作を繰り返してWebページを収集する(ステップC1)。この動作は、既に説明したステップA1,B1の動作と同様である。また、第1の実施の形態で説明したように、脆弱性情報収集手段110にURLの代わりにキーワードが入力され、脆弱性情報収集手段110が既存の検索サーバを利用してWebページを収集してもよい。
【0164】
脆弱性情報収集手段110は、Webページを受信すると、受信したWebページから脆弱性情報に含まれる項目を抽出し、所定の項目が抽出されたならば、受信したWebページが脆弱性情報であると判定する。この動作は、ステップS1〜S9の動作と同様である。ただし、第3の実施の形態では、「タイトル」、「影響を受けるソフトウェア」、および「参考情報」を所定の項目とし、この3つの項目が抽出できたWebページを脆弱性情報と判定すればよい。
【0165】
脆弱性情報収集手段110は、脆弱性情報と判定されるWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップC2)。この動作はステップB2と同様である。「タイトル」、「影響を受けるソフトウェア」および「参考情報」以外の項目(例えば、「対処策」、「更新履歴」、「情報ID」等)も抽出した場合には、それらの項目も記憶させる。また、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。
【0166】
ステップC2の後、参照関係分析手段150は、第2の実施の形態におけるステップB3と同様に脆弱性情報間の参照関係を分析し、また、同一の脆弱性に関する脆弱性情報毎に、各脆弱性情報から抽出された項目を分類する(ステップC3)。
【0167】
次に、情報要約手段160は、ステップC3で分類した同一の脆弱性に関する複数の脆弱性情報について、第2の実施の形態におけるステップB4と同様の要約を行う(ステップC4)。ステップC4では、少なくとも「影響を受けるソフトウェア」の項目について要約を行う。第2の実施の形態と同様に、「参考情報」や「対処策」の項目についての要約を行ってもよい。
【0168】
次に、情報要約手段160は、ステップC4で要約した各項目を連結して複数の項目からなる1つの脆弱性情報を生成する(ステップC5)。この動作は、ステップB5と同様である。
【0169】
次に、影響確認スクリプト生成手段180は、各項目の要約結果をまとめた情報(ステップC5参照。)の中から、「影響を受けるソフトウェア」に記載されている統一名称(例えばソフトウェアの名称やバージョンの統一名称)を抽出する。影響確認スクリプト生成手段180は、その統一名称に対応する確認知識(図29参照。)を参照し、その確認知識内の確認対象事項を確認するための影響確認スクリプトを生成する(ステップC6)。影響確認スクリプト生成手段180は、確認知識の確認対象事項に応じたパラメータまたは「影響を受けるソフトウェア」に記載された要約結果に応じたパラメータを、影響確認スクリプトの雛形に記述することで、影響確認スクリプトを生成する。
【0170】
次に、影響確認スクリプト実行手段181は、ステップC6で生成した影響確認スクリプトを実行し、管理対象システムのコンピュータが脆弱性の影響を受けるかどうかを判定する(ステップC7)。影響確認スクリプト実行手段181は、影響確認スクリプトを実行し、その結果得られた確認結果が判定基準と合致するならば、管理対象システムが脆弱性の影響を受けると判定し、確認結果が判定基準と合致しないならば、管理対象システムが脆弱性の影響を受けないと判定する。
【0171】
最後に、影響確認スクリプト実行手段181は、ステップC7の判定の判定結果(管理対象システムが脆弱性の影響を受けるか否か)を入出力装置200に出力する(ステップC8)。例えば、入出力装置200に含まれるディスプレイ装置に表示させる。
【0172】
本実施の形態では、ステップC4で、「影響を受けるソフトウェア」の項目について要約を行えばよい。第2の実施の形態と同様に、「参考情報」や「対処策」の項目についての要約を行ってもよい。それらの要約の結果をあわせて表示してもよい。
【0173】
次に、ステップC6で影響確認スクリプト生成手段180が行う影響確認スクリプト生成の具体例について説明する。ある脆弱性についての複数の脆弱性情報の「影響を受けるソフトウェア」の要約結果が「OS-01 Version2」であったとする。また、図29に例示する影響確認スクリプト生成知識がスクリプト生成知識データベース190に記憶されているとする。図29に例示する確認知識は、「レジストリキー“HKEY_LOCAL_MACHINE\SOFTWARE\abcde\OS-01\CurrentVersion”の、データ型が“REG_SZ”である値“CSDVersion”の内容が、“Version2”に一致する。」という内容が示されている。影響確認スクリプト実行手段181は、要約結果である「OS-01 Version2」に対応する確認知識を参照する。図29に示す例では、「レジストリキー“HKEY_LOCAL_MACHINE\SOFTWARE\abcde\OS-01\CurrentVersion”の、データ型が“REG_SZ”である値“CSDVersion”の内容」を確認対象事項としている。影響確認スクリプト生成手段180は、この確認対象事項に応じたパラメータを影響確認スクリプトの雛形に記述して、“CSDVersion”の内容を確認するための影響確認スクリプトを生成する。
【0174】
影響確認スクリプト実行手段181は、この影響確認スクリプトを実行し、管理対象システムにおける“CSDVersion”の内容の確認結果を得る。影響確認スクリプト実行手段181は、その確認結果が、判定基準である“Version2”と合致しているならば、管理対象システムが脆弱性の影響を受けると判定する。管理対象システムに「OS-01 Version2」が搭載(インストール)されていることになるので、管理対象システムは脆弱性の影響を受ける。また、影響確認スクリプト実行手段181は、確認結果が、判定基準である“Version2”と合致していなければ、管理対象システムが脆弱性の影響を受けないと判定する。管理対象システムに「OS-01 Version2」がインストールされていないことになるので、管理対象システムは脆弱性の影響を受けない。
【0175】
次に、本実施の形態の効果について説明する。
本実施の形態では、影響確認スクリプト生成手段180が、情報要約手段160によって要約された結果に基づいて、管理対象システム内のコンピュータの状態を確認するスクリプトを自動的に生成し、影響確認スクリプト実行手段181が影響確認スクリプトを実行し、管理対象システムが脆弱性の影響を受けるか否かを判定する。従って、脆弱性が管理対象システムに影響するかどうかを自動的に行うことができ、管理者の負担をさらに軽減することができる。また、第2の実施の形態と同様に要約を実行し、その結果を出力すれば、第2の実施の形態と同様の効果が得られる。
【0176】
実施の形態4.
図31は、本発明によるセキュリティ運用管理システムの第4の実施の形態を示すブロック図である。第3の実施の形態と同様の構成部については、図28と同一の符号を付して説明を省略する。また、第3の実施の形態と同様の構成部の動作は、第3の実施の形態と同様である。ただし、本実施の形態では、第2の実施の形態と同様に、HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を行う。そして、情報要約手段160は、「影響を受けるソフトウェア」および「対処策」の内容を要約する。
【0177】
第4の実施の形態において、データ処理装置100は、第3の実施の形態で示した脆弱性情報収集手段110、脆弱性情報データベース120、見出し同義語辞書140、参照関係分析手段150、情報要約手段160、セキュリティ同義語辞書170、影響確認スクリプト生成手段180、影響確認スクリプト実行手段181、スクリプト生成知識データベース190に加え、対処スクリプト生成手段185と対処スクリプト実行手段186を含んでいる。対処スクリプト生成手段185と対処スクリプト実行手段186は、例えば、プログラムに従って動作するCPUによって実現される。
【0178】
対処スクリプト生成手段185は、「対処策」の要約情報(要約結果)に記載されている対処策の情報から、管理対象システムへの脆弱性の影響を解消するスクリプト(以下、対処スクリプトと記す。)を生成する。
【0179】
本実施の形態では、スクリプト生成知識データベース190は、影響確認スクリプト生成知識(図29参照。)や影響確認スクリプトの雛形の他に、対処策要約結果パターンと対処スクリプトの雛形と対応付けてを記憶している。図32は、対処策要約結果パターンの例を示す説明図である。対処策要約結果パターンは、対処策の内容の要約結果に表れるキーワードのパターンである。図32に示す「*」は任意の文字列を示す。例えば、図32に示す「*を無効*」は、対処策の内容の要約結果として、文字列の間に「を無効」というキーワードを含んだ文字列を表している。
【0180】
図33は、対処策要約結果パターンに対応付けられてスクリプト生成知識データベース190に記憶された対処スクリプトの雛形の例を示す説明図である。図33では、「〜をダウンロード」等のように日本語で模式的に示しているが、対処スクリプトの雛形は、パラメータが記述されたときにコンピュータが実行可能なコマンドとして記述される。また、図33に示す「xxxxxx」は、パラメータが記述される場所を表している。
【0181】
対処スクリプト生成手段185は、「対処策」の要約結果に合致する対処策要約結果パターンを特定し、その対処策要約結果パターンに対応する対処スクリプトの雛形をスクリプト生成知識データベース190から読み込む。対処スクリプト生成手段185は、その雛形に、「対処策」の要約結果に含まれているパラメータを記述することによって対処スクリプトを生成する。
【0182】
対処スクリプト実行手段186は、対処スクリプト生成手段185によって生成された対処スクリプトを実行し、管理対象システムへの脆弱性の影響を解消する。
【0183】
なお、対処策として、人間が行動すべきことをを定めている場合がある。このような場合、対処スクリプトの実行では脆弱性の影響を解消できない。例えば、対処策として、「信頼できないソースから受け取ったファイルや信頼できるソースから予期せず受け取ったファイルを開いたり保存したりしない。」等の人間の行動を定めた文章が記載される場合がある。このような対処策に合致する対処策要約結果パターンでは、雛形の代わりに対処策の要約結果をそのまま表示する旨の情報が対応付けられる。この場合、対処スクリプト実行手段186は、その情報に応じて、対処策の要約結果をそのまま入出力装置200に表示させる。また、対処スクリプト生成手段185が「対処策」の要約結果に合致する対処策要約結果パターンを特定できなかった場合にも、対処スクリプト実行手段186は、対処策の要約結果をそのまま入出力装置200に表示させる。
【0184】
次に動作について説明する。
図34は、本実施の形態のセキュリティ運用管理システムの動作の例を示すフローチャートである。脆弱性情報収集手段110は、予め入力されていたURLに応じたWebページを取得し、そのWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを取得する。脆弱性情報収集手段110は、この動作を繰り返してWebページを収集する(ステップD1)。この動作は、既に説明したステップA1,B1,C1の動作と同様である。また、第1の実施の形態で説明したように、脆弱性情報収集手段110にURLの代わりにキーワードが入力され、脆弱性情報収集手段110が既存の検索サーバを利用してWebページを収集してもよい。
【0185】
脆弱性情報収集手段110は、Webページを受信すると、受信したWebページから脆弱性情報に含まれる項目を抽出し、所定の項目が抽出されたならば、受信したWebページが脆弱性情報であると判定する。この動作は、ステップS1〜S9の動作と同様である。ただし、第4の実施の形態では、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を所定の項目とし、この4つの項目が抽出できたWebページを脆弱性情報と判定する。この点は、第2の実施の形態と同様である。
【0186】
脆弱性情報収集手段110は、脆弱性情報と判定されるWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップD2)。この動作はステップB2と同様である。「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」以外の項目(例えば、「更新履歴」、「情報ID」等)も抽出した場合には、それらの項目も記憶させる。また、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。
【0187】
ステップC2の後、参照関係分析手段150は、第2の実施の形態におけるステップB3と同様に脆弱性情報間の参照関係を分析し、また、同一の脆弱性に関する脆弱性情報毎に、各脆弱性情報から抽出された項目を分類する(ステップD3)。
【0188】
次に、情報要約手段160は、ステップD3で分類した同一の脆弱性に関する複数の脆弱性情報について、第2の実施の形態におけるステップB4と同様の要約を行う(ステップD4)。ステップD4では、少なくとも「影響を受けるソフトウェア」および「対処策」の項目について要約を行う。第2の実施の形態と同様に、「参考情報」の項目についての要約を行ってもよい。
【0189】
次に、情報要約手段160は、ステップD4で要約した各項目を連結して複数の項目からなる1つの脆弱性情報を生成する(ステップD5)。この動作は、ステップB5と同様である。
【0190】
次に、影響確認スクリプト生成手段180は、各項目の要約結果をまとめた情報(ステップD5参照。)の中から、「影響を受けるソフトウェア」に記載されている統一名称(例えばソフトウェアの名称やバージョンの統一名称)を抽出する。影響確認スクリプト生成手段180は、その統一名称に対応する確認知識(図29参照。)を参照し、その確認知識内の確認対象事項を確認するための影響確認スクリプトを生成する(ステップD6)。ステップD6の動作は、ステップC6と同様である。
【0191】
次に、影響確認スクリプト実行手段181は、ステップC6で生成した影響確認スクリプトを実行し、管理対象システムのコンピュータが脆弱性の影響を受けるかどうかを判定する(ステップD7)。ステップD7の動作は、ステップC7と同様である。
【0192】
ステップD7の処理において、脆弱性の影響を受けないと判定された場合は(ステップD8のNO)、影響確認スクリプト実行手段181は、その旨のメッセージを入出力装置200を介して出力して、処理を終了する。なお、図34において、このメッセージ出力処理のステップの図示は省略している。ステップD8の処理において、脆弱性の影響を受けると判定された場合は(ステップD9のYES)、影響確認スクリプト実行手段181は、判定結果を対処スクリプト生成手段185に送り、対処スクリプト生成手段185はステップD9以降の処理を行う。
【0193】
対処スクリプト生成手段185は、各項目の要約結果をまとめた情報(ステップD5参照。)の中から、「対処策」に記載されている文章に合致する対処策要約結果パターンを特定する。対処スクリプト生成手段185は、その対処策要約結果パターンに対応する対処スクリプトの雛形をスクリプト生成知識データベース190から読み込む。そして、対処スクリプト生成手段185は、その雛形に、「対処策」の内容の要約結果に含まれていたパラメータを追加することによって対処スクリプトを生成する(ステップD9)。
【0194】
最後に、対処スクリプト実行手段186は、ステップD9で生成した対処スクリプトを実行し、管理対象システム内に存在している脆弱性の影響を受けるコンピュータの脆弱性への対処を行う(ステップD10)。
【0195】
本実施の形態では、ステップD4で、「影響を受けるソフトウェア」および「対処策」の項目について要約を行えばよい。第2の実施の形態と同様に、「参考情報」の項目についての要約を行ってもよい。それらの要約の結果をあわせて表示してもよい。
【0196】
次に、ステップD9で対処スクリプト生成手段185が行う対処スクリプト生成の具体例について説明する。ある脆弱性についての複数の脆弱性情報の「対処策」の要約結果が「P社のセキュリティ更新プログラムKB58983を適用」であったとする。また、図33に例示する対処策要約結果パターンと対処スクリプトの雛形とが対応付けてスクリプト生成知識データベース190に記憶されているとする。
【0197】
対処スクリプト生成手段185は、「P社のセキュリティ更新プログラムKB58983を適用」に合致する対処策要約結果パターンである「*更新プログラムKB*を適用*」を特定し、その対処策要約結果パターンに対応する雛形をスクリプト生成知識データベース190から読み込む。そして、対処スクリプト生成手段185は、その雛形でパラメータを記述すべき箇所(図33に示す例では“xxxxxx”)に、要約結果に含まれていたパラメータ“58983”を記述することによって対処スクリプトを生成する。
【0198】
対処スクリプト生成手段185は、この対処スクリプトを実行する。本例では、「http://hogehoge/kb58983」をダウンロードし、ダウンロードしたプログラム「KB58983」を実行する。
【0199】
次に、本実施の形態の効果について説明する。
本実施の形態でも、第3の実施の形態と同様の効果が得られる。また、本実施の形態では、対処スクリプト生成手段185が、情報要約手段160によって要約された脆弱性情報に基づいて、管理対象システム内のコンピュータが脆弱性の影響を受けると判定された場合に、その脆弱性を解消するスクリプトを自動的に生成し、対処スクリプト実行手段186が対処スクリプトを実行する。従って、収集した脆弱性情報に記載された脆弱性が、管理対象システムに影響するかどうかだけでなく、影響する場合にはその影響の解消まで自動的に行うことができ、管理者の負担をさらに軽減することができる。
【0200】
第3の実施の形態では、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150と、情報要約手段160と、セキュリティ同義語辞書170と、影響確認スクリプト生成手段180と、影響確認スクリプト実行手段181と、スクリプト生成知識データベース190とを含むデータ処理装置100を備えた1台のコンピュータ上で、脆弱性情報の収集と抽出、影響確認スクリプトの生成と実行をすべて行う場合について説明した。影響確認スクリプトの生成までを行うサーバコンピュータと、影響確認スクリプトの実行を行うクライアントコンピュータとを備えた構成であってもよい。図35は、このようなクライアント/サーバ構成のセキュリティ運用管理システムの構成例を示す説明図である。図28に示す構成要素と同様の構成要素については、図28と同一の符号を付し説明を省略する。サーバコンピュータは、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150と、情報要約手段160と、セキュリティ同義語辞書170と、影響確認スクリプト生成手段180と、スクリプト生成知識データベース190とを含むデータ処理装置100と、入出力装置200とを備える。クライアントコンピュータは、影響確認スクリプト実行手段181を含むデータ処理装置300と、入出力装置200とを備える。影響確認スクリプト実行手段181は、例えば、クライアントコンピュータのCPUによって実現される。クライアントコンピュータの入出力装置200は、サーバの入出力装置200と同様に、キーボードやマウス等の入力装置およびディスプレイ装置等の出力装置を含んでいる。影響確認スクリプト生成手段180は、影響確認スクリプトを生成した後、その影響確認スクリプトを、通信ネットワーク300を介してクライアントに送信する。クライアントの影響確認スクリプト実行手段181は、受信した影響確認スクリプトを実行する。
【0201】
また、第4の実施の形態では、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150と、情報要約手段160と、セキュリティ同義語辞書170と、影響確認スクリプト生成手段180と、影響確認スクリプト実行手段181と、スクリプト生成知識データベース190と、対処スクリプト生成手段185と、対処スクリプト実行手段186とを含むデータ処理装置100を備えた1台のコンピュータ上で、脆弱性情報の収集と抽出、影響確認スクリプトおよび対処スクリプトの生成と実行をすべて行う場合について説明した。影響確認スクリプトの生成と対処スクリプトの生成を行うサーバコンピュータと、影響確認スクリプトの実行と対処スクリプトの実行を行うクライアントコンピュータとを備えた構成であってもよい。図36は、このようなクライアント/サーバ構成のセキュリティ運用管理システムの構成例を示す説明図である。図31に示す構成要素と同様の構成要素については、図31と同一の符号を付し説明を省略する。サーバコンピュータは、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150と、情報要約手段160と、セキュリティ同義語辞書170と、影響確認スクリプト生成手段180と、スクリプト生成知識データベース190と、対処スクリプト生成手段185とを含むデータ処理装置100と、入出力装置200とを備える。クライアントコンピュータは、影響確認スクリプト実行手段181と対処スクリプト実行手段186とを含むデータ処理装置300と、入出力装置200とを備える。影響確認スクリプト実行手段181および対処スクリプト実行手段186は、例えば、クライアントコンピュータのCPUによって実現される。クライアントコンピュータの入出力装置200は、サーバの入出力装置200と同様に、キーボードやマウス等の入力装置およびディスプレイ装置等の出力装置を含んでいる。影響確認スクリプト生成手段180は、影響確認スクリプトを生成した後、その影響確認スクリプトを、通信ネットワーク300を介してクライアントに送信する。また、図36に示す構成の場合、対処スクリプト生成手段185は、影響確認スクリプトの実行結果によらず対処スクリプトを生成し、その対処スクリプトを、通信ネットワーク300を介してクライアントに送信する。クライアントの影響確認スクリプト実行手段181は、受信した影響確認スクリプトを実行し、クライアントの対処スクリプト実行手段186は、受信した対処スクリプトを実行する。
【0202】
また、第2の実施の形態から第4の実施の形態において、第1の実施の形態と同様に図20から図22に例示した分析結果表示画面を表示してもよい。更新日時が現在の日時に最も近い脆弱性情報を判定してハイライト表示する場合には、所定の項目に「更新履歴」も含めればよい。
【0203】
また、第1の実施の形態から第4の実施の形態において、入出力装置200を介して管理対象システムに含まれるハードウェアやソフトウェアの情報をあらかじめ入力され、脆弱性情報収集手段110は、そのハードウェアやソフトウェアに関係する情報のみを収集するようにしてもよい。
【0204】
同様に、クライアント/サーバ構成をとる第3の実施の形態および第4の実施の形態において(図35、図36参照。)、サーバコンピュータの入出力装置200を介して、管理対象システムのクライアントコンピュータごとに接続されているハードウェアやインストールされているソフトウェアの情報を入力され、各クライアントコンピュータに応じた影響確認スクリプトや対処スクリプトを送信し、クライアントコンピュータごとに必要な影響確認スクリプトや対処スクリプトを実行するようにしてもよい。
【産業上の利用可能性】
【0205】
本発明は、日々提供される脆弱性情報の運用管理や、その脆弱性の管理対象システムへの影響確認や対処等の用途に適用できる。
【図面の簡単な説明】
【0206】
【図1】本発明によるセキュリティ運用管理システムの第1の実施の形態を示すブロック図である。
【図2】一般的な脆弱性情報の内容構成を示す説明図である。
【図3】本実施の形態のセキュリティ運用管理システム動作の例を示すフローチャートである。
【図4】ステップA1で収集されるWebページの例を示す説明図である。
【図5】URLが合致する脆弱性情報を組み合わせて記憶した状態を示す説明図である。
【図6】受信したWebページが脆弱性情報に該当するか否かを判定する処理を示すフローチャートである。
【図7】HTML文書における各タグの関係性の例をツリー構造で示した説明図である。
【図8】図7に例示するツリー構造において、ステップS2で「見出し」として抽出されるテキスト要素の例を示す説明図である。
【図9】図7に例示するツリー構造において、ステップS3の処理結果の例を示す説明図である。
【図10】図7に例示するツリー構造において、ステップS4の処理結果の例を示す説明図である。
【図11】図7に例示するツリー構造において、ステップS5の処理結果の例を示す説明図である。
【図12】図7に例示するツリー構造において、ステップS6の処理結果の例を示す説明図である。
【図13】テキスト要素を含まないタグだけの弟木が存在するツリー構造の例を示す説明図である。
【図14】図7に例示するツリー構造において、ステップS8の処理結果の例を示す説明図である。
【図15】図7に例示するツリー構造において、2回目のステップS4の処理結果の例を示す説明図である。
【図16】図7に例示するツリー構造において、2回目のステップS5の処理結果の例を示す説明図である。
【図17】図7に例示するツリー構造において、2回目のステップS6の処理結果の例を示す説明図である。
【図18】脆弱性情報に該当するWebページの例を示す説明図である。
【図19】脆弱性情報同士の参照関係の例を示す説明図である。
【図20】分析結果表示画面の例を示す説明図である。
【図21】分析結果表示画面の例を示す説明図である。
【図22】分析結果表示画面の例を示す説明図である。
【図23】本発明によるセキュリティ運用管理システムの第2の実施の形態を示すブロック図である。
【図24】セキュリティ運用管理システムの動作の例を示すフローチャートである。
【図25】要約処理を模式的に示した説明図である。
【図26】「影響を受けるソフトウェア」の内容の要約の例を示す説明図である。
【図27】「対処策」の内容の要約の例を示す説明図である。
【図28】本発明によるセキュリティ運用管理システムの第3の実施の形態を示すブロック図である。
【図29】影響確認スクリプト生成知識の例を示す説明図である。
【図30】セキュリティ運用管理システムの動作の例を示すフローチャートである。
【図31】本発明によるセキュリティ運用管理システムの第4の実施の形態を示すブロック図である。
【図32】対処策要約結果パターンの例を示す説明図である。
【図33】対処スクリプトの雛形の例を示す説明図である。
【図34】セキュリティ運用管理システムの動作の例を示すフローチャートである。
【図35】クライアント/サーバ構成のセキュリティ運用管理システムの構成例を示す説明図である。
【図36】クライアント/サーバ構成のセキュリティ運用管理システムの構成例を示す説明図である。
【符号の説明】
【0207】
100 データ処理装置
110 脆弱性情報収集手段
120 脆弱性情報データベース
140 見出し同義語辞書
150 参照関係分析手段
160 情報要約手段
170 セキュリティ同義語辞書
180 影響確認スクリプト生成手段
181 影響確認スクリプト実行手段
185 対処スクリプト生成手段
186 対処スクリプト実行手段
190 スクリプト生成知識データベース
200 入出力装置
【技術分野】
【0001】
本発明は、セキュリティ運用管理システム、セキュリティ運用管理方法、セキュリティ運用管理プログラム、およびセキュリティ運用管理システムに適用されるクライアントコンピュータに関し、特に、日々公開される脆弱性情報をWebから広く収集し、その脆弱性情報の中からどの脆弱性情報を参照すればよいのかを管理者が判断しやすくすることができるセキュリティ運用管理システム、セキュリティ運用管理方法、セキュリティ運用管理プログラム、およびセキュリティ運用管理システムに適用されるクライアントコンピュータに関する。
【背景技術】
【0002】
従来のセキュリティ情報集約装置の一例が、特許文献1に記載されている。特許文献1に記載されたセキュリティ情報集約装置は、収集部と、統合部と、後処理部と、データベースとから構成されている。特許文献1に記載されたセキュリティ情報集約装置は、以下のように動作する。特許文献1に記載されたセキュリティ情報集約装置では、まず、管理者の操作により定義された所定の情報収集条件に基づいて、収集部がWeb上の複数の情報提供サーバから情報を収集する。次に、統合部が、収集された情報を情報集約のための所定の判断基準に基づいて集約し、後処理部が集約された情報をデータベースに蓄積する。
【0003】
また、特許文献1には、セキュリティ情報集約装置が、所定の情報提供サーバから不正アクセス情報を定期的に取得し、情報源からタイトル名およびパッチ名等のキーワードを抽出し、情報の照合/選別を行うことが記載されている。
【0004】
特許文献2には、適切かつ容易なサイト管理を実現するためのサイト管理システムが記載されている。特許文献2に記載のサイト管理システムでは、サイト管理用コンピュータが、コンテンツを管理するWebサーバからコンテンツの情報を受信する。サイト管理用コンピュータは、ディレクトリに基づく規則に従ってコンテンツの階位を認識し、コンテンツのリンク状態を認識する。そして、サイト管理用コンピュータは、コンテンツ間の階位およびリンク状態を矢印形状のアイコンを用いて表示する。
【0005】
特許文献3には、対象システムの環境情報と脆弱点DB内の脆弱点情報とのマッチングを行い、対象システムのハードウェア構成等に適合する脆弱点情報があったならば、セキュリティ対策の必要なコンピュータとしてピックアップするシステムが記載されている。また、特許文献3に記載のシステムを利用する場合、管理者が脆弱点に対する対策を採る。
【0006】
【特許文献1】特開2002−269489号公報(段落0011−0012、段落0026−0029、図5)
【特許文献2】特開2005−293251号公報(段落0075,0076,0081,0087,0091)
【特許文献3】特開2003−216576号公報(段落0029,0031)
【発明の開示】
【発明が解決しようとする課題】
【0007】
特許文献1に記載されたセキュリティ情報集約装置では、情報収集の対象となる情報提供サーバを管理者が予め指定する。そして、セキュリティ情報集約装置は、指定された情報提供サーバから不正アクセス情報を収集する。従って、特許文献1に記載されたセキュリティ情報集約装置では、指定された特定の情報提供サーバからしか情報を収集できない。脆弱性情報は、セキュリティベンダやセキュリティ研究機関等多数のサイトから提供されている。しかし、特許文献1に記載されたセキュリティ情報集約装置は、指定された情報提供サーバからしか不正アクセス情報を収集しないので、指定された情報提供サーバ以外のサーバが重要な情報が提供した場合には、情報漏れが生じ、脆弱点に対する対応が遅れてしまう危険性がある。
【0008】
また、特許文献1に記載されたセキュリティ情報集約装置は、各情報提供サーバがそれぞれ複数個提供している脆弱性情報について、タイトルや日時の類似性、パッチ名の同一性に基づいて、同じ脆弱性に関するWebページを集約する。そのため、各情報提供サーバ間の同一内容のWebページの関連付けを行うことしかできない。また、管理者が、ある不正アクセス情報に関して「不正アクセスによる影響を知りたい」「不正アクセスの回避策を知りたい」と考えた場合に、それぞれ必要な情報を取得するためには管理者が各情報提供サーバのWebページを閲覧して必要な情報を選別する必要がある。
【0009】
また、多数の脆弱性情報のうち、よくまとめられた脆弱性情報や、重要な脆弱性情報を管理者が判断できるようにすることが好ましい。しかし、特許文献2に記載されたサイト管理システムは、特定のWebサーバが管理するコンテンツ間のリンク状態しか表示することができず、管理者は多数の脆弱性情報の中から、よくまとめられた脆弱性情報や重要な脆弱性情報等を判断することはできなかった。また、既に述べたように、特許文献1に記載された装置でも、特定のサーバからしか情報を収集できないため、同様の問題があった。
【0010】
また、多数のサイトから提供される脆弱性情報は、記載項目の見出しや順序が定まっていない。このような脆弱性情報の内容をまとめて提示することが好ましい。
【0011】
また、収集した脆弱性情報が管理対象システムに影響するかどうかを管理者が逐一判断するのには大変な労力を必要とする。さらに、管理者が脆弱点を回避、解消するための施策を逐一実施するのにも大変な労力を要する。このような管理者の負担を軽減できるようにすることが好ましい。
【0012】
そこで、本発明は、特定のサーバだけからではなく広く脆弱性情報を収集し、管理者がその脆弱性情報の中からどの脆弱性情報を閲覧すればよいのかを容易に判断することができるセキュリティ運用管理システム、セキュリティ運用管理方法、セキュリティ運用管理プログラム、およびセキュリティ運用管理システムに適用されるクライアントコンピュータを提供することを目的とする。
【課題を解決するための手段】
【0013】
本発明のセキュリティ運用管理システムは、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段(例えば、脆弱性情報収集手段110)と、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段(例えば、脆弱性情報収集手段110)と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段とを備えたことを特徴とする。
【0014】
また、本発明のセキュリティ運用管理システムは、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段(例えば、脆弱性情報収集手段110)と、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段(例えば、脆弱性情報収集手段110)と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段とを備えたことを特徴とする。
【0015】
脆弱性情報に該当するWebページが含む項目の見出しで同義語となる文言同士を対応付けて予め記憶する見出し同義語記憶手段(例えば、見出し同義語辞書140)を備え、抽出手段が、脆弱性情報に該当するWebページが含む項目毎に文言を規定するとともに当該文言または当該文言の同義語を含む文字列を抽出することを規定した脆弱性情報抽出ルールに従って、脆弱性情報抽出ルールで規定された文言および当該文言の同義語として見出し同義語記憶手段に記憶された文言を含む文字列をWebページから項目の見出しとして抽出する構成であってもよい。
【0016】
参照関係分析手段が、個々の脆弱性情報を表すとともに、他の脆弱性情報を参照している参照元の脆弱性情報と前記参照元の脆弱性情報によって参照されている参照先の脆弱性情報との間に矢印を表したグラフをディスプレイ装置に表示させる構成であってもよい。
【0017】
参照関係分析手段が、参照元となる回数が最も多い脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる構成であってもよい。
【0018】
参照関係分析手段が、参照先となる回数が最も多い脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる構成であってもよい。
【0019】
抽出手段が、脆弱性情報の更新履歴を記述した項目をWebページから抽出し、参照関係分析手段が、前記更新履歴を記述した項目に基づいて、更新日時が現在の日時に最も近い脆弱性情報を判定し、前記脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる構成であってもよい。
【0020】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段を備え、抽出手段が、脆弱性の影響を受ける対象を記述した項目を抽出し、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段を備えた構成であってもよい。
【0021】
そのような構成によれば、多様な同義語で記述された複数の脆弱性情報の内容を網羅的に精度高くまとめた要約結果を得ることができる。
【0022】
情報要約手段が、脆弱性の影響を受ける対象を示す文言であって、他の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言と同義語として対応付けられていない文言を、当該文言に対応する代表となる文言に置き換えて、要約情報に含める構成であってもよい。
【0023】
抽出手段が、脆弱性に対する対処策を記述した項目をWebページから抽出し、情報要約手段が、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める構成であってもよい。
【0024】
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプト(例えば、影響確認スクリプト)を生成する確認スクリプト生成手段(例えば、影響確認スクリプト生成手段180)と、確認スクリプトを実行し、確認スクリプトを実行して得られた確認結果が判定基準と一致している場合に、管理対象システムが脆弱性の影響を受けると判定する確認スクリプト実行手段とを備えた構成であってもよい。
【0025】
そのような構成によれば、確認スクリプト実行手段が、管理対象システムが脆弱性の影響を受けるか否かを判定できるので、そのような判定を管理者が行う必要がなく、管理者の負担を軽減することができる。
【0026】
抽出手段が、脆弱性に対する対処策を記述した項目をWebページから抽出し、情報要約手段は、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含め、スクリプト生成知識データベースが、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶し、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段と、対処スクリプトを実行する対処スクリプト実行手段とを備えた構成であってもよい。
【0027】
そのような構成によれば、対処スクリプト生成手段が対処スクリプトを生成し、対処スクリプト実行手段がその対処スクリプトを実行するので、管理者自身が対処策を施す必要がなく、管理者の負担を軽減することができる。
【0028】
また、本発明のセキュリティ運用管理システムは、クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたことを特徴とする。
【0029】
また、本発明のセキュリティ運用管理システムは、クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたことを特徴とする。
【0030】
また、本発明のセキュリティ運用管理システムは、クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成手段とを備えたことを特徴とする。
【0031】
また、本発明のセキュリティ運用管理システムは、クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成手段とを備えたことを特徴とする。
【0032】
また、本発明のクライアントコンピュータは、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段を備えたことを特徴とする。
【0033】
また、本発明のクライアントコンピュータは、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段を備えたことを特徴とする。
【0034】
また、本発明のクライアントコンピュータは、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段と、セキュリティ運用管理システムから対処スクリプトを受信し、受信した対処スクリプトを実行する対処スクリプト実行手段とを備えたことを特徴とする。
【0035】
また、本発明のクライアントコンピュータは、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段と、セキュリティ運用管理システムから対処スクリプトを受信し、受信した対処スクリプトを実行する対処スクリプト実行手段とを備えたことを特徴とする。
【0036】
また、本発明のセキュリティ運用管理プログラムは、コンピュータに、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、および脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理を実行させることを特徴とする。
【0037】
また、本発明のセキュリティ運用管理プログラムは、コンピュータに、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、および脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理を実行させることを特徴とする。
【0038】
脆弱性情報に該当するWebページが含む項目の見出しで同義語となる文言同士を対応付けて予め記憶する見出し同義語記憶手段を備えたコンピュータに、抽出処理で、脆弱性情報に該当するWebページが含む項目毎に文言を規定するとともに当該文言または当該文言の同義語を含む文字列を抽出することを規定した脆弱性情報抽出ルールに従って、脆弱性情報抽出ルールで規定された文言および当該文言の同義語として見出し同義語記憶手段に記憶された文言を含む文字列をWebページから項目の見出しとして抽出させるプログラムであってもよい。
【0039】
コンピュータに、参照関係分析処理で、個々の脆弱性情報を表すとともに、他の脆弱性情報を参照している参照元の脆弱性情報と前記参照元の脆弱性情報によって参照されている参照先の脆弱性情報との間に矢印を表したグラフを表示させるプログラムであってもよい。
【0040】
また、本発明のセキュリティ運用管理プログラムは、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約処理、および要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理を実行させることを特徴とする。
【0041】
また、本発明のセキュリティ運用管理プログラムは、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約処理、および要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理を実行させることを特徴とする。
【0042】
また、本発明のセキュリティ運用管理プログラムは、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約処理、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理、および要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成処理を実行させることを特徴とする。
【0043】
また、本発明のセキュリティ運用管理プログラムは、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、 入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約処理、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理、および要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成処理を実行させることを特徴とする。
【0044】
また、本発明のセキュリティ運用管理方法は、Webページ収集手段が、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集し、抽出手段が、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定し、参照関係分析手段が、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定することを特徴とする。
【0045】
また、本発明のセキュリティ運用管理方法は、Webページ収集手段が、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集し、抽出手段が、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定し、参照関係分析手段が、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定することを特徴とする。
【発明の効果】
【0046】
本発明によれば、Webページ収集手段が、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するか、あるいは、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、そのURLに応じたWebページを取得することでWebページを収集する。従って、特定のサイト(サーバ)のみから脆弱性情報を収集することなく、公開されている脆弱性情報を幅広く収集することができる。その結果、特定のサイト(サーバ)のみから脆弱性情報を収集する場合に比べて、情報漏れが生じる危険性を少なくすることができる。また、参照関係分析手段が、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する。従って、管理者は、どの脆弱性情報がどの脆弱性情報を参照しているかという参照関係に基づいて、どの脆弱性情報を閲覧すればよいのかを容易に判断することができる。
【発明を実施するための最良の形態】
【0047】
以下、本発明の実施の形態を図面を参照して説明する。
【0048】
実施の形態1.
図1は、本発明によるセキュリティ運用管理システムの第1の実施の形態を示すブロック図である。図1に示すセキュリティ運用管理システムは、プログラムに従って動作するコンピュータであるデータ処理装置100と、情報の入出力を行う入出力装置200とを備えている。入出力装置200は、例えば、キーボードやマウス等の入力装置およびディスプレイ装置等の出力装置を含んでいる。また、データ処理装置100は、例えばインターネット等の通信ネットワーク300に接続されている。
【0049】
通信ネットワーク300には、脆弱性情報提供Webサーバ401〜40nが接続されている。脆弱性情報提供Webサーバ401〜40nは、通信ネットワーク300を介して脆弱性情報(コンピュータシステムのセキュリティに関する脆弱性情報)を提供しているWebサーバである。脆弱性情報提供Webサーバ401〜40nには、セキュリティベンダやセキュリティ研究機関等によって脆弱性情報がアップロードされ、脆弱性情報提供Webサーバ401〜40nは、通信ネットワーク300に接続されたデータ処理装置100等の装置からの要求に応じて脆弱性情報を送信する。脆弱性情報は、マークアップ言語を用いて記述され、Webページとして提供される。以下に示す例では、脆弱性情報がHTML(Hyper Text Markup Language)を用いて記述されている場合を例にして説明する。
【0050】
データ処理装置100は、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150とを含む。脆弱性情報収集手段110と参照関係分析手段150は、例えば、プログラムに従って動作するCPUによって実現される。脆弱性情報収集手段110と参照関係分析手段150は、同一のCPUによって実現されていてもよい。プログラムは、データ処理装置100の記憶装置に記憶され、CPUはそのプログラムに従って動作する。また、見出し同義語辞書140および脆弱性情報データベース120は、記憶装置によって実現される。
【0051】
脆弱性情報収集手段110は、Webクローリングを行い、インターネットを介して脆弱性情報を収集する。Webクローリングとは、WWW(World-Wide Web)上の文書や画像等を自動的に収集することである。脆弱性情報収集手段110は、WebサーバからHTML文書を取得しHTML文書中に含まれるリンク(他のHTML文書のURL)を取り出し、そのリンクによって特定される別のHTML文書をさらに取得することを繰り返す。そして、脆弱性情報収集手段110は、取得した各HTML文書が脆弱性情報に該当するか否かを判定する。この判定では、脆弱性情報収集手段110は、取得したHTML文書の構造に基づいて、HTML文書から所定の項目を抽出する。脆弱性情報収集手段110は、この所定の項目を抽出できた場合には、取得したHTML文書が脆弱性情報であると判定し、この所定の項目を抽出できなかった場合には、取得したHTML文書が脆弱性情報ではないと判定する。HTML文書が脆弱性情報であるか否かを判定するための所定の項目については、図2を用いて後述する。
【0052】
脆弱性情報収集手段110は、脆弱性情報(脆弱性情報と判定したHTML文書)から抽出した各項目を脆弱性情報データベース120に記憶させる。
【0053】
脆弱性情報収集手段110は、このようにWebクローリングを行い、収集したHTML文書から脆弱性情報を選別することによって脆弱性情報を収集する。
【0054】
脆弱性情報データベース120は、脆弱性情報収集手段110が収集した脆弱性情報に含まれる項目を格納(記憶)する記憶装置である。
【0055】
見出し同義語辞書140は、脆弱性情報収集手段110が、HTML文書から脆弱性情報に含まれる項目を抽出する際に脆弱性情報間の表記ゆれを吸収するための同義語辞書である。後述するように、脆弱性情報に含まれる項目では、「見出し」と「内容」とが対応付けられている。そして、脆弱性情報に記述される文言は、脆弱性情報を作成するセキュリティベンダやセキュリティ研究機関等により異なる。例えば、脆弱性情報に「脆弱性への対処施策」を意味する見出しを記述する場合、「対処施策」の他に、「対策」、「対処策」、「回避策」等の様々な文言が用いられ得る。従って、同じ脆弱性に関する脆弱性情報を各セキュリティベンダやセキュリティ研究機関等がそれぞれ提供する場合、提供元により見出し等の表現が異なることが多い。見出し同義語辞書140は、脆弱性情報に含まれる項目の見出しで同じ意味で使われる同義語同士を対応付けて記憶している。見出し同義語辞書140に記憶させるべき同義語は、過去に作成された脆弱性情報に含まれている項目の「見出し」を確認することで、人間が経験的に判断すればよい。
【0056】
参照関係分析手段150は、収集した脆弱性情報間の参照関係を分析する。ここでの「分析」とは、脆弱性情報をノード、リンク関係をアークとして、各脆弱性情報間の参照関係を明らかにすることである。参照関係分析手段150は、各脆弱性情報から抽出された他の脆弱性情報へのリンクに基づいて、どの脆弱性情報がどの脆弱性情報を参照しているのか(どの脆弱性情報がどの脆弱性情報へのリンクを含んでいるのか)を判断する。
【0057】
入出力装置200には、脆弱性情報の収集に必要な情報が入力される。例えば、Webクローリングによって脆弱性情報を収集するためのURLが入力される。また、入出力装置200には、参照関係分析手段150における分析結果が出力される。
【0058】
次に、脆弱性情報提供Webサーバ401〜40nによってWebページとして提供される脆弱性情報について説明する。図2は、一般的な脆弱性情報の内容構成を示す説明図である。Webページとして提供される脆弱性情報は、以下のような特徴を有する。
【0059】
脆弱性情報の第1の特徴は、特定の項目を含んでいることである。例えば、「タイトル」、「影響を受けるソフトウェア」、「対処策」、「参考情報」、「更新情報」等の項目を含んでいることである。「タイトル」は、脆弱性情報のタイトルである。「影響を受けるソフトウェア」は、脆弱点により影響を受ける対象である。「対処策」は、脆弱性に対する対処策である。「参考情報」は、他の脆弱性情報へのリンクである。「更新情報」は、その更新情報を含む脆弱性情報の更新履歴である。また、脆弱性情報には、これらの項目の他に、図2に示すように、「情報ID(個々の脆弱性情報を識別するID)」、「概要(脆弱点の概要)」、「脆弱性による影響」等の項目が含まれていてもよい。
【0060】
第1の実施の形態では、HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「参考情報」および「更新履歴」を用いる。すなわち、脆弱性情報収集手段110は、HTML文書から「タイトル」、「参考情報」および「更新履歴」を抽出できた場合には、そのHTML文書が脆弱性情報であると判定し、抽出できなければそのHTML文書が脆弱性情報ではないと判定する。
【0061】
脆弱性情報の第2の特徴は、脆弱性情報に含まれる各項目では、「見出し」と「内容」とが対応付けられていることである。例えば、「影響を受けるソフトウェア」という項目では、「影響を受けるソフトウェア」等の文言で表記される「見出し」と、そのソフトウェア等を具体的に示す「内容」とが対応付けて記述される。「対処策」等の他の項目に関しても同様である。項目の見出しは、脆弱性情報を提供する各ベンダ等により、様々な文言で記述される。例えば、「影響を受けるソフトウェア」に相当する項目の見出しでは、「影響を受けるシステム」、「対象システム」と記述される場合もある。脆弱点によって影響を受けるのは、ソフトウェアに従って動作するハードウェアであり、見出しが「影響を受けるハードウェア」と記述される場合もある。
【0062】
また、脆弱性情報に含まれる各項目のうち、「タイトル」と「情報ID」は、例外的に「見出し」を含まず、「内容」のみを含む。図2に示す例では、「タイトル」として「○○ソフトウェアに□□の脆弱性」というタイトルの内容のみが記載されている。同様に、「情報ID」として、「MS06−xxx」というIDの内容のみが記載されている。
【0063】
脆弱性情報の第3の特徴は、各項目の「見出し」および「内容」に特徴的な表現を含むことことである。例えば、タイトルでは「脆弱性」、「問題」等の文字列を含むことが多い。また、例えば、「更新情報」は、文字列表現を含む。また、「参考情報」は、他の脆弱性情報へのリンクを含む。また、「参考情報」に含まれるアンカー文字列には、例えば「CVE」等の特定の文字列が含まれる。このように、脆弱性情報には、特徴的な表現が含まれる。
【0064】
次に、動作について説明する。図3は、本実施の形態のセキュリティ運用管理システム動作の例を示すフローチャートである。
【0065】
データ処理装置100には、入出力装置200を介して、予めセキュリティ管理者によって、いずれかの脆弱性情報のWebサイトのURLが1つ以上入力されていて、脆弱性情報収集手段110はそのURLを記憶する。脆弱性情報収集手段110は、入力されたURLに基づいて脆弱性情報提供WebサーバにWebページを要求し、その脆弱性情報提供WebサーバからURLに応じたWebページを受信する。脆弱性情報収集手段110は、受信したWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを受信する。脆弱性情報収集手段110は、この動作を繰り返してWebページを収集する(ステップA1)。
【0066】
図4は、ステップA1で収集されるWebページの例を示す説明図である。図4に示すA〜Gは、それぞれWebページであり、実線の丸は脆弱性情報を表し、破線の丸は脆弱性情報以外のWebページを表す。すなわち、図4に示すA,C,Eは脆弱性情報であり、その他は脆弱性情報以外のWebページである。また、図4に示す矢印はリンクを表している。例えば、脆弱性情報Aには、WebページBおよび脆弱性情報Cへのリンク含まれている。また、脆弱性情報Aは、予め入力されたURLによって特定されるWebページ(以下、トップページと記す。)である。図4に示す括弧内の数値は、順番にリンクを辿ったときにトップページから何番目のWebページになるかを示す値である。この値を、トップページからの深さと記す。例えば、トップページ(脆弱性情報A)にリンクが設定されているWebページBおよび脆弱性情報Cの深さは「1」である。脆弱性情報収集手段110は、ステップA1においてWebページを受信する毎に、トップページからそのWebページまでの深さをカウントし、トップページからの深さが予め定められた所定値に達したならば、さらにリンク先のWebページを取得することを停止する。
【0067】
また、脆弱性情報収集手段110は、受信したWebページが脆弱性情報に該当するか否かを判定し、連続して所定数(図4に示す例では「2」)以上、脆弱性情報に該当しないWebページを受信したならば、さらにリンク先のWebページを取得することを停止する。例えば、図4に示す例では、脆弱性情報Eの取得後、脆弱性情報ではないWebページF,Gを2回連続して取得しているので、WebページGのリンク先となるWebページの取得を停止する。同様に、WebページDのリンク先となるWebページの取得も停止する。受信したWebページが脆弱性情報に該当するか否かを判定処理については、図6を用いて後述する。
【0068】
また、脆弱性情報収集手段110は、受信したWebページのうち、脆弱性情報以外のWebページを削除する。図4に示す例では、WebページB,D,F,Gを削除する。
【0069】
ここでは、ステップA1において、Webクローリングで情報を収集する場合について説明した。脆弱性情報収集手段110は、他の態様で脆弱性情報を収集してもよい。例えば、URLの代わりにキーワードが脆弱性情報収集手段110に入力され、脆弱性情報収集手段110は、既存の検索エンジンサービスを提供するサーバ(図示せず。以下、検索サーバと記す。)にそのキーワードを送信して、検索サーバにキーワードを含むWebページを検索させる。脆弱性情報収集手段110は、キーワードを含むWebページのURLを検索サーバから受信して、さらに、そのURLによって特定されるWebページを取得することによって脆弱性情報を収集してもよい。脆弱性情報収集手段110は、取得した各Webページが脆弱性情報に該当するか否かを判定し、脆弱性情報以外のWebページを削除する。
【0070】
ステップA1において、脆弱性情報収集手段110は、受信したWebページ(HTML文書)から脆弱性情報に含まれる項目を抽出する。本実施の形態では、脆弱性情報収集手段110は、Webページから「タイトル」、「参考情報」および「更新履歴」を抽出した場合には、そのWebページが脆弱性情報であると判定する。この処理については、図6を用いて後述する。脆弱性情報収集手段110は、脆弱性情報と判定されるWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップA2)。このとき、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。また、脆弱性情報収集手段110は、脆弱性情報自体も脆弱性情報データベース120に記憶させるようにしてもよい。
【0071】
次に、参照関係分析手段150は、脆弱性情報の各項目に含まれるリンクの情報(URL)を脆弱性情報データベース120から読み込む。URLは、脆弱性情報内の「参考情報」の内容として抽出され、脆弱性情報データベース120に記憶されている。また、「参考情報」以外の項目にもURLが含まれている場合もある。参照関係分析手段150は、「参考情報」の内容として抽出されたURLだけでなく、他の項目に含まれるURLも脆弱性情報データベース120から読み込む。このとき、参照関係分析手段150は、各項目の中で、アンカータグ(<A HREF=“http://〜”>)のHREF属性の値として記述されているURLを読み込めばよい。また、ステップA1において、脆弱性情報収集手段110がWebクローリングで脆弱性情報を収集するときに、脆弱性情報収集手段110が各脆弱性情報間のリンクの情報を、データ処理装置100の記憶装置に記憶させておき、参照関係分析手段150がそのリンクの情報を記憶装置から読み込んでもよい。
【0072】
参照関係分析手段150は、脆弱性情報データベース120から読み込んだリンクの情報(URL)に基づいて、ステップA1で収集した脆弱性情報の参照関係を分析し、どの脆弱性情報がどの脆弱性情報を参照しているかを明らかにする(ステップA3)。脆弱性情報データベース120には、脆弱性情報の項目に含まれるリンク先のURLだけでなく、脆弱性情報自身のURLもあわせて記憶させている。参照関係分析手段150は、各脆弱性情報に含まれていたURLと、各脆弱性情報自身のURLとを照合し、合致する脆弱性情報の組み合わせを特定する。参照関係分析手段150は、あるURL(URL1とする。)を記述していた脆弱性情報と、URL1を自身のURLとする脆弱性情報とを組み合わせる。このとき、URL1を記述していた脆弱性情報が参照元の脆弱性情報であり、URL1を自身のURLとする脆弱性情報が参照先の脆弱性情報(参照される脆弱性情報)である。
【0073】
参照関係分析手段150は、URLが合致する脆弱性情報の組み合わせを参照元と参照先とを区別して記憶装置に記憶させる。例えば、図5に例示するように、組み合わせ毎に、参照元と参照先とを区別して記憶装置に記憶させる。なお、図5に例示した脆弱性情報1〜5は、それぞれ脆弱性情報のタイトルを表している。
【0074】
次に、参照関係分析手段150は、ステップA3での分析結果を入出力装置200に出力する(ステップA4)。参照関係分析手段150は、入出力装置200のディスプレイ装置に分析結果を表示すればよい。参照関係分析手段150は、例えば、各脆弱性情報のタイトルを表示するとともに、参照元の脆弱性情報のタイトルから参照先の脆弱性情報まで伸びる矢印を表示すればよい。
【0075】
次に、ステップA1において、脆弱性情報収集手段110が受信したWebページが脆弱性情報に該当するか否かを判定する処理について説明する。図6は、受信したWebページが脆弱性情報に該当するか否かを判定する処理を示すフローチャートである。
【0076】
脆弱性情報収集手段110は、脆弱性情報であるか否かの判定対象となるWebページ(HTML文書)から、ページ構造に関係するタグ以外のタグを削除する(ステップS1)。ページ構造に関係するタグとは、表示される情報の配置を規定するタグおよびアンカータグである。ページ構造に関係するタグの例として、TBODYタグ、TRタグ、TDタグ、H1タグ、H2タグ、Aタグ、BLOCKQUOTEタグ、pタグ、TABLEタグ、OLタグ、LIタグ、ULタグ等がある。図7は、ページ構造に関係するタグ以外のタグが削除されたHTML文書における各タグの関係性の例をツリー構造で示した説明図である。図7において、破線で示した最下位のノードは、各項目の「見出し」を示す。また、太字の実線で示した最下位のノードは、各項目の「内容」を示す。図7において、左下に示すノードは、「情報ID」を示すノードであり、その隣に図示したノードは、「タイトル」を示すノードである。また、太字で示した三角形は、最下位のノードに「概要」の「内容」を含む部分木である。
【0077】
脆弱性情報収集手段110は、ステップS1の処理後のHTML文書から、脆弱性情報抽出ルールによって、脆弱性情報の項目の「見出し」となるテキスト要素を特定し、その文字列を「見出し」として、抽出する(ステップS2)。テキスト要素は、開始タグと終了タグによって囲まれた(マークアップされた)文字列である。ただし、終了タグは省略されることもある。
【0078】
脆弱性情報抽出ルールは、各項目の「見出し」を特定するためのルールである。脆弱性情報の第3の特徴として説明したように、脆弱性情報は、「見出し」および「内容」に特徴的な表現を含む。脆弱性情報抽出ルールは、脆弱性情報に含まれる各項目毎に、個々の項目の「見出し」に特徴的に用いられる文言を規定し、その文言またはその文言の同義語を含むテキスト要素を「見出し」として抽出することを定めたルールである。この特徴的な文言は項目毎に異なるので、「タイトル」、「影響を受けるソフトウェア」、「対処策」、「参考情報」、「更新情報」等の各項目毎に定められている。なお、脆弱性情報抽出ルールは、例えば、予めデータ処理装置100が備える記憶装置に記憶されている。
【0079】
既に説明したように、「情報ID」および「タイトル」は、「見出し」を有さず、「内容」のみを有する。「情報ID」および「タイトル」も特徴的な文言を含むので、「情報ID」および「タイトル」を抽出するための脆弱性情報抽出ルールもそれぞれ予め定められている。すなわち、「タイトル」に特徴的に含まれる文言を規定し、その文言またはその文言の同義語を含むテキスト要素を抽出することを定めた脆弱性情報抽出ルールが、「タイトル」用のルールとして定められている。「情報ID」に関しても同様である。脆弱性情報収集手段110は、ステップS2で、他の項目と同様に、「情報ID」と「タイトル」に関しても、脆弱性情報抽出ルールに従ってテキスト要素を特定し、そのテキスト要素を抽出する。ただし、「情報ID」と「タイトル」に関しては、抽出したテキスト要素は、「情報ID」や「タイトル」の「内容」に該当する。他の項目に関しては、抽出したテキスト要素は、各項目の「見出し」に該当する。
【0080】
脆弱性情報収集手段110は、脆弱性情報抽出ルールで規定された文言と同義語となる文言を見出し同義語辞書140から読み込む。そして、脆弱性情報抽出ルールで規定された文言と、同義語辞書140から読み込んだ同義語とを用いてテキスト要素を抽出する。
【0081】
脆弱性情報抽出ルールでは、同義語の中で代表とする文言を各項目の見出し毎に規定しておけばよい。脆弱性情報抽出ルールにおいて、代表語(同義語の中で代表となる文言)が規定されていれば、脆弱性情報収集手段110は、その代表語と同義語となる文言を見出し同義語辞書140から読み込み、読み込んだ文言および代表語を含むテキスト要素を見出しとして抽出する。例えば、脆弱性情報抽出ルールにおいて、「概要」という項目の見出しに特徴的な文言として「概要」という文言が規定されているとする。脆弱性情報収集手段110は、その文言「概要」の同義語を見出し同義語辞書140から読み込む。見出し同義語辞書140で、「概要」の同義語として「概略」が登録されているとすると、脆弱性情報収集手段110は、その同義語「概略」を読み込み、「概要」または「概略」を含むテキスト要素を抽出する。
【0082】
また、脆弱性情報抽出ルールでは、文言の用いられるパターン(文言が表れるパターン)を文言とともに規定していてもよい。この場合、脆弱性情報収集手段110は、そのパターンに合致するように、規定された文言を含むテキストを抽出する。例えば、脆弱性情報抽出ルールが、『末尾に「概要」という文言を含む』というパターンを規定していたとする。この場合、脆弱性情報収集手段110は、例えば「脆弱性の概要」や、「○○ソフトウェアで発見された問題の概要」というテキスト要素を抽出する。このような文言の用いられるパターンは、正規表現を使った記述方式で規定されてもよい。
【0083】
また、脆弱性情報抽出ルールでは、文言とともに、その文言の文字列の長さを規定してもよい。例えば、脆弱性情報抽出ルールは、「対処策」という文言とともに、「文字列長は10以下」という規定を含んでいてもよい。この場合、脆弱性情報収集手段110は、例えば「対処策について」や、「本脆弱性への対処策」というテキスト要素を対処策の「見出し」として抽出するが、「対処策として、以下のような方法があります。まず1つには、・・・」等の対処策の「内容」を表すテキスト要素は抽出しない。「見出し」には、短い文字列長で表現されることが多いという特徴があるので、文字列の長さを規定すれば、その特徴を利用して、より適切に「見出し」を抽出することができる。
【0084】
また、脆弱性情報抽出ルールでは、文言とともに、HTML文書上でのその文言の位置を規定してもよい。例えば、「更新履歴」の見出しを抽出する脆弱性情報抽出ルールとして、「更新履歴」という文言を規定するとともに、「出現位置は末尾から10%の範囲」という条件を既定していてもよい。本例の場合、脆弱性情報収集手段110は、HTML文書の末尾から10%の範囲に位置するテキスト要素であって、「更新履歴」またはその同義語を含むテキスト要素を抽出する。この場合、「更新履歴」等の特定の項目は、HTML文書の末尾または先頭付近に記述されることが多いという特徴を利用して、より適切に「見出し」を抽出することができる。
【0085】
また、脆弱性情報抽出ルールは、否定のルールであってもよい。すなわち、脆弱性情報抽出ルールは、特定の文言を含まないという条件を規定してもよい。例えば、「影響を受けるソフトウェア」という項目の「見出し」を抽出するための脆弱性情報抽出ルールにおいて、『「影響」で始まり「ソフトウェア」で終わる』という条件に加えて、『「受けない』という文言を含まない」という条件を規定してもよい。この場合、例えば「影響のあるソフトウェア」というテキスト要素は抽出されるが、「影響を受けないソフトウェア」というテキスト要素は抽出されず、より適切に「見出し」を抽出できる。
【0086】
また、複数の脆弱性情報抽出ルールを、AND(論理積)やOR(論理和)等によって結合して1つのルールとして定めてもよい。例えば、3つの脆弱性情報抽出ルールA,B,Cを定めていたとする。この場合、例えば、「A AND B AND C(A,B,C3つのルールを全て満足するテキスト要素を抽出する)」というルールや、「(A OR B) AND C(少なくともA,Bのどちらか一方を満たし、かつ、Cを満たすテキスト要素を抽出する)」というルールを定めてもよい。
【0087】
図8は、図7に例示するツリー構造において、ステップS2で「見出し」として抽出されるテキスト要素の例を示す説明図である。破線で示した円で囲んだ部分が「見出し」となるテキスト要素として抽出される。なお、図8に例示する「ID」、「タイトル」もステップS2で抽出されるが、「ID」または「タイトル」の項目の脆弱性情報抽出ルールに従って抽出されたテキスト要素は、それぞれ「ID」、「タイトル」の「内容」を示す。
【0088】
ステップS2の後、脆弱性情報収集手段110は、ステップS2で抽出した「見出し」となるテキスト要素全てについて、そのテキスト要素のタグ階層を調査する(ステップS3)。図9は、図7に例示するツリー構造において、ステップS3の処理結果の例を示す説明図である。図9に示す例では、「概要」、「対処策」、「参考情報」、「更新履歴(更新情報)」の各項目の見出しとなるテキスト要素が、タグの階層16に位置し、「影響を受けるシステム(影響を受けるソフトウェア)」の見出しとなるテキスト要素が、タグの階層17に位置していた場合を例示している。
【0089】
ステップS3の後、脆弱性情報収集手段110は、ステップS2で抽出した「見出し」となるテキスト要素の出現位置を比較し、「見出し」となるテキスト要素のうち、最も深い階層のものを特定する(ステップS4)。図10は、図7に例示するツリー構造において、ステップS4の処理結果の例を示す説明図である。本例では、階層17に位置する「影響を受けるシステム」の見出しとなるテキスト要素を特定する(図10参照。)。
【0090】
続いて、脆弱性情報収集手段110は、最も深い階層に位置する見出しとなるテキスト要素(ステップS4で特定したテキスト要素)について、そのテキスト要素を含む最も小さい兄弟木が存在する部分木を特定する(ステップS5)。図11は、図7に例示するツリー構造において、ステップS5の処理結果の例を示す説明図である。図11に示す破線の楕円は、ステップS4で特定したテキスト要素の最も小さい兄弟木である。図11に示す破線の四角形の枠は、その兄弟木を含む部分木である。脆弱性情報収集手段110は、ステップS4で特定したテキスト要素の直前のタグから順に上位のタグを検索し、複数のタグに分岐する(すなわち複数のタグの記述を包含する)最初のタグを特定する。本例では、複数のタグに分岐する(すなわち複数のタグの記述を包含する)最初のタグとして、図11に示すBLOCKQUOTEを特定する。このタグの記述内に含まれる各タグの記述(図11に示す例では、P(1)以下の木、P(2)以下の木、P(3)以下の木)が、ステップS4で特定したテキスト要素の最も小さい兄弟木に該当する。脆弱性情報収集手段110は、この兄弟木を含む部分木として、複数のタグに分岐する最初のタグ(図11に示す例ではBLOCKQUOTE)以下の部分木を特定すればよい。なお、兄弟木とは、同一のノードから分岐した部分木である。
【0091】
続いて、脆弱性情報収集手段110は、最も深い階層に位置する見出しとなるテキスト要素(ステップS4で特定したテキスト要素)を含む木の弟木のうち、テキスト要素を含む最初の弟木全体を、見出しとなるテキスト要素に対応する「内容」として抽出する(ステップS6)。弟木とは、着目している木の兄弟木のうち、着目している木以降の兄弟木である。すなわち、HTML文書において、着目している木に相当する記述箇所よりも後に記述されている部分に相当する兄弟木である。図12は、図7に例示するツリー構造において、ステップS6の処理結果の例を示す説明図である。図12に例示するように、脆弱性情報収集手段110は、ステップS5で特定した部分木のうち、ステップS4で特定したテキスト要素を含む木の弟木であって、テキスト要素を含む最初の弟木全体に相当する記述をHTML文書から抽出する。ステップS6では、テキスト木を含む弟木を抽出するので、脆弱性情報の見栄えを整えるためにテキスト要素を含まないタグだけの弟木が存在していたとしても、そのようなタグだけの弟木を抽出対象とせずに、適切に「内容」に相当する弟木を抽出することができる。例えば、図13に示す例では、「ベンダ情報」の見出しに対応する内容に相当する木として、四角形の破線で示した弟木を抽出することなく、適切に「ベンダ情報」の内容に相当する弟木を抽出することができる。
【0092】
ステップS6の後、脆弱性情報収集手段110は、ステップS2で抽出した「見出し」となるテキスト要素のうち、対応する「内容」が抽出されていないテキスト要素がまだ存在するか否かを判定する(ステップS7)。
【0093】
対応する「内容」が抽出されていないテキスト要素(「見出し」となるテキスト要素)がまだ存在する場合には(ステップS7のYES)、脆弱性情報収集手段110は、ステップS6で抽出した「内容」と、その「内容」に対応する「見出し」をHTML文書から削除する(ステップS8)。ステップS8では、ステップS5で特定した部分木の中から、ステップS4で特定したテキスト要素を含む木と、ステップS6において「内容」として抽出した弟木に相当する記述をHTML文書から削除する。図14は、図7に例示するツリー構造において、ステップS8の処理結果の例を示す説明図である。本例では、ステップS5で特定した部分木(図11参照。)から、ステップS4で特定したテキスト要素を含む木(最も深い階層に位置する「見出し」のテキスト要素を含む木)と、その「見出し」に対応する「内容」となる弟木とが削除され、図14に例示する状態となる。
【0094】
ステップS8の後、ステップS4に移行し、ステップS4以降の処理を繰り返す。図15は、図7に例示するツリー構造において、2回目のステップS4の処理結果の例を示す説明図である。ステップS8の後、ステップS4に移行したときにも、脆弱性情報収集手段110は、ステップS2で抽出した「見出し」となるテキスト要素の出現位置を比較し、「見出し」となるテキスト要素のうち、最も深い階層のものを特定する。このとき、既にステップS8で削除された部分に含まれるテキスト要素は、既に削除済みなので、階層(出現位置)の比較対象にはならない。図15に示す例では、削除された「影響を受けるシステム」)以外の各項目(「概要」、「対処策」、「参考情報」、「更新履歴(更新情報)」)の見出しとなるテキスト要素が、同じ階層であり、この4つの項目の見出しとなるテキスト要素を特定する。
【0095】
ステップS4の後、脆弱性情報収集手段110は、再度ステップS5の動作を行う。図16は、図7に例示するツリー構造において、2回目のステップS5の処理結果の例を示す説明図である。本例では、脆弱性情報収集手段110は、2回目のステップS5で、図16に四角形の破線で囲んだ部分木を特定する。
【0096】
ステップS5の後、脆弱性情報収集手段110は、再度ステップS6の動作を行う。図17は、図7に例示するツリー構造において、2回目のステップS6の処理結果の例を示す説明図である。本例では、「概要」、「対処策」、「参考情報」、「更新履歴」の見出しとなるテキスト要素に対応する「内容」として、TR(4)以下、TR(6)以下、TR(8)以下、TR(11)以下の各部分に相当する記述をHTML文書から抽出する。
【0097】
続いて、脆弱性情報収集手段110は、再度ステップS7の動作を行う。すると、本例では、各項目の「見出し」となるそれぞれのテキスト要素について、対応する「内容」が抽出されていると判定し、ステップS8に移行する。
【0098】
ステップS8では、脆弱性情報収集手段110は、所定の項目(所定の項目の「見出し」および「内容」。ただし、「タイトル」については「内容」。)が抽出されたか否かを判定し、所定の項目が抽出されているならば、Webページ(HTML文書)が脆弱性情報であると判定する(ステップS9)。HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「参考情報」および「更新履歴」を用いる。従って、これらの項目の「見出し」と「内容」(「タイトル」については「内容」)を抽出しているならば、脆弱性情報収集手段110は、それらの項目を抽出したWebページが脆弱性情報であると判定する。所定の項目毎に定められた各脆弱性情報抽出ルールに従って見出しとなるテキスト要素を抽出し、さらにその見出しに対応する「内容」を抽出したならば、所定の項目を抽出したと判定する。なお、所定の項目のうち「タイトル」に関しては、「内容」を抽出していればよい。また、所定の項目のうちのいずれかにおいて、脆弱性情報抽出ルールに従って見出しとなるテキスト要素を抽出できなかったり、あるいは、見出しに対応する「内容」が抽出できなかった場合には、脆弱性情報収集手段110はステップS9で、所定の項目を抽出していないと判定する。
【0099】
脆弱性情報収集手段110は、Webページが脆弱性情報であると判定したならば、ステップA2(図3参照。)で、そのWebページから抽出した各項目の「見出し」および「内容」(「情報ID」および「タイトル」については「内容」)を脆弱性情報データベース120に記憶させる。このとき、脆弱性情報収集手段110は、そのWebページ(脆弱性情報)自身のURLもあわせて脆弱性情報データベース120に記憶させる。
【0100】
また、脆弱性情報抽出ルールでは、項目の「見出し」だけでなく、「内容」に関する条件もあわせて規定されていてもよい。脆弱性情報抽出ルールに「内容」に関する条件が含まれている場合、その脆弱性情報抽出ルールから抽出した「見出し」に対応する「内容」を抽出するとき、脆弱性情報抽出ルールで規定された「内容」に関する条件を満たすテキスト要素を含む弟木を抽出すればよい。「内容」に関する条件を定めた脆弱性情報抽出ルールの例を説明する。例えば、「参考情報」の「内容」には、「CVE−xxxx−xxxx(xは数字。)」という記述が含まれることが多い。そこで、「参考情報」を抽出するための脆弱性情報抽出ルールでは、「内容」に関する条件として、「“CVE−xxxx−xxxx(xは数字)”を含む」という条件を定めていてもよい。この場合、図6に示すステップS6で、「参考情報」の「内容」を抽出するときに、この条件を満たすテキスト要素を含む弟木を抽出すればよい。このように、「内容」に関する条件も脆弱性情報抽出ルールに含めることで、より適切に項目を抽出することができる。なお、“CVE−xxxx−xxxx(xは数字)”は、CVE(Common Vulnerability and Exposures)による脆弱性の識別番号である。
【0101】
次に、本実施の形態の動作の具体例を説明する。
まず、Webクローリングを行うための起点となるURLが、入出力装置200を介してデータ処理装置100の脆弱性情報収集手段110に入力される。Webクローリングを行うための起点となるURLとして、例えば、コンピュータセキュリティに関する各種情報の提供を行っているJPCERT/CC(Japan Computer Emergency Response Team Coordination Center)のWebサイトにある「JVN(JP Vendor Status Notes)」のURLである“http://jvn.jp/”等を用いることができる。脆弱性情報収集手段110は、入力されたURLに基づいて脆弱性情報提供Webサーバに脆弱性情報を要求し、その脆弱性情報提供WebサーバからURLに応じたWebページを受信する。そして、脆弱性情報収集手段110は、受信したWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを取得することを繰り返す(ステップA1)。既に説明したように、連続して所定数(例えば「2」)以上、脆弱性情報に該当しないWebページを受信したり、トップページからの深さが所定の深さに達した場合に、Webページの取得を停止する。
【0102】
なお、ここではWebクローリングによる情報収集について説明したが、WWW上の既存のサーバを利用して情報収集を行ってもよい。この場合、ステップA1において、脆弱性情報収集手段110には、入出力装置200を介して“Vendor AND Status AND Notes”等のキーワードが入力される。脆弱性情報収集手段110には、例えば、脆弱性情報を紹介するWebページで用いられるキーワードが入力される。脆弱性情報収集手段110は、そのキーワードを検索サーバに送信し、キーワードを含むWebページのURLを検索サーバから受信して、さらに、そのURLによって特定されるWebページを取得することによって脆弱性情報を収集してもよい。
【0103】
脆弱性情報収集手段110は、ステップA1でWebページを受信したならば、図6に示すステップS1〜S9の処理を行ってそのWebページが脆弱性情報に該当するか否かを判定する。例えば、図18に例示するWebページを受信したとする。この場合、脆弱性情報収集手段110は、図6に示す処理を行い、「JPooo-AT-2006-0009」を情報IDとし、「○○の脆弱性に関する注意喚起」をタイトルとして抽出し、さらに、「概要」、「対象」、「対策」、「参考情報」等の各項目の「見出し」および「内容」を抽出する。図18に示す例では、「概要」の「内容」に3つのリンクが含まれ、また、「参考情報」の「内容」に5つのリンクが含まれている。この他、図18では、図示を省略しているが、「更新情報(更新履歴)」の「見出し」および「内容」も抽出され、図18に示すWebページは、脆弱性情報であると判定されたとする。
【0104】
脆弱性情報収集手段110は、Webページが脆弱性情報であると判定した場合、そのWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップA2)。このとき、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。例えば、図18に例示するWebページを受信し、そのWebページが脆弱性情報であると判定した場合、脆弱性情報収集手段110は、図18に示す情報ID(JPooo-AT-2006-0009)、タイトル(○○の脆弱性に関する注意喚起)、概要、対象、対策、参考情報等の各項目を脆弱性情報データベース120に記憶させる。
【0105】
脆弱性情報と判定した各Webページから抽出した項目を脆弱性情報データベース120に記憶させた後、参照関係分析手段150は、各脆弱性情報の参照関係を分析する(ステップA3)。具体的には、参照関係分析手段150は、各脆弱性情報に含まれていたURLと、各脆弱性情報自身のURLとを照合し、合致する脆弱性情報の組み合わせを特定する。そして、脆弱性情報の各組合わせにおいて、URLを含んでいた方の脆弱性情報を参照元とし、そのURLを受信のURLとしていた方の脆弱性情報を参照先とする。そして、参照関係分析手段150は、URLが合致する脆弱性情報の組み合わせを参照元と参照先とを区別して記憶装置に記憶させる。例えば、図5に例示するように、組み合わせ毎に、参照元と参照先とを区別して記憶装置に記憶させる。
【0106】
さらに、参照関係分析手段150は、URLが合致する脆弱性情報の組み合わせを参照元と参照先とを区別して記憶装置に記憶させた後、参照元となる回数が最も多い脆弱性情報を判定する。参照関係分析手段150は、参照元として記憶された回数が最も多い脆弱性情報を判定すればよい。この脆弱性情報は、「脆弱性情報として内容的にもっともまとめられた脆弱性情報」とみなすことができる。また、参照関係分析手段150は、URLが合致する脆弱性情報の組み合わせを参照元と参照先とを区別して記憶装置に記憶させた後、参照先となる回数が最も多い脆弱性情報も判定する。参照関係分析手段150は、参照先として記憶された回数が最も多い脆弱性情報を判定すればよい。この脆弱性情報は、「内容的に最も重要な脆弱性情報」であるとみなすことができる。
【0107】
図19は、脆弱性情報同士の参照関係の例を示す説明図である。図19では、参照元の脆弱性情報から参照先の脆弱性情報に向かって矢印を記述することで脆弱性情報間の参照関係を表している。図19では、「タイトル」または「情報ID」で各脆弱性情報を表している。また、各脆弱性情報とともに、その脆弱性情報の最終更新日(または最終更新日時)も示している。図19に示す各矢印は、その矢印の始点および終点に示された脆弱性情報間に参照関係があることを示している。矢印の始点側の脆弱性情報が参照元であり、矢印の終点側の脆弱性情報が参照先である。図19に示す例では、「JPooo-AT-2006-0009」が、参照元となっている回数が最も多く、内容的にもっともまとめられた脆弱性情報であるとみなすことができる。また、「TTT-2006-3059」が、参照先となっている回数が最も多く、内容的に最も重要な脆弱性情報であるとみなすことができる。
【0108】
ステップS4の後、参照関係分析手段150は、ステップ4における分析結果を入出力装置200を介して出力する(ステップA5)。具体的には、入出力装置200に含まれるディスプレイ装置に表示させる。
【0109】
図20は、参照関係分析手段150が入出力装置200に含まれるディスプレイ装置に表示させる分析結果表示画面の例を示す説明図である。分析結果表示画面は、ステップA1で収集した各脆弱性情報のうち、どの脆弱性情報を閲覧するのかを管理者に選択させるメニュー欄71と、表示指示ボタン72と、脆弱性情報を表示する情報表示欄73と、収集した脆弱性情報間の参照関係を示す参照関係表示欄74を含む。参照関係分析手段150は、メニュー欄71でメニューを選択され、表示指示ボタン72がクリックされると、選択されたメニューに応じた分析結果を表示する。なお、脆弱性情報を情報表示欄73に表示させるには、例えば、脆弱性情報自体を脆弱性情報データベース120に記憶させておけばよい。あるいは、脆弱性情報データベース120に記憶させたURLを用いて脆弱性情報を再度取得して、情報表示欄73に表示させてもよい。
【0110】
参照関係分析手段150は、参照関係表示欄74に、各脆弱性情報のタイトルを表示するとともに、脆弱性情報間を結ぶ矢印を表示する。この矢印は、始点および終点に示された脆弱性情報間に参照関係があることを示し、矢印の始点側の脆弱性情報が参照元であり、矢印の終点側の脆弱性情報が参照先であることを示す矢印である。なお、脆弱性情報のタイトルに代えて、あるいは、タイトルとともに、情報IDを表示してもよい。また、参照関係分析手段150は、タイトル(または情報ID)とともに、更新履歴に記述されている最新の更新年月日や更新日時を表示してもよい。このようにして、参照関係分析手段150は、各脆弱性情報間の参照関係をグラフとして表示する。すなわち、参照関係表示欄74には、図19に例示したような参照関係を表示する。
【0111】
また、図20に示す例では、メニュー欄71で「まとめ情報を閲覧する」が選択されて表示指示ボタン72がクリックされた場合の例を示している。すなわち、「脆弱性情報として内容的にもっともまとめられた脆弱性情報」を表示することが指示されている場合の例を示している。この場合、参照関係分析手段150は、ステップA3で参照元となる回数が最も多いと判定した脆弱性情報を、参照関係表示欄74内で他と区別して表示する。例えば、ハイライト表示する。そして、参照関係分析手段150は、その脆弱性情報を情報表示欄73に表示する。図20では、参照元となる回数が最も多い「JPooo-AT-2006-0009」をハイライト表示し、その脆弱性情報を情報表示欄73に表示する場合を例示している。
【0112】
また、参照関係分析手段150は、参照関係表示欄74に表示したタイトルまたは情報IDがクリックされたときに、そのタイトルまたは情報IDが示す脆弱性情報を情報表示欄73または新たなウィンドウに表示してもよい。
【0113】
図21は、メニュー欄71で「重要情報を閲覧する」が選択されて表示指示ボタン72がクリックされた場合の例を示している。すなわち、「内容的に最も重要な脆弱性情報」を表示することが指示されている場合の例を示している。この場合、参照関係分析手段150は、ステップA3で参照先となる回数が最も多いと判定した脆弱性情報を、参照関係表示欄74内で他と区別して表示する。例えば、ハイライト表示する。そして、参照関係分析手段150は、その脆弱性情報を情報表示欄73に表示する。図21では、参照先となる回数(被参照数)が最も多い「TTT-2006-3059」をハイライト表示し、その脆弱性情報を情報表示欄73に表示する場合を例示している。
【0114】
図22は、メニュー欄71で「最新情報を閲覧する」が選択されて表示指示ボタン72がクリックされた場合の例を示している。この場合、参照関係分析手段150は、更新情報の「内容」に記述された更新日時が現在の日時に最も近い脆弱性情報を判定し、その脆弱性情報を参照関係表示欄74内で他と区別して表示する。例えば、ハイライト表示する。そして、参照関係分析手段150は、その脆弱性情報を情報表示欄73に表示する。図22では、更新日時が現在の日時に最も近い「JPooo-AT-2006-0009」をハイライト表示し、その脆弱性情報を情報表示欄73に表示する場合を例示している。
【0115】
また、参照関係分析手段150は、参照関係表示欄74内で各脆弱性情報のタイトル(または情報ID)とともに、脆弱性情報が参照元となる回数または参照先となる回数を表示してもよい。その場合、管理者は、各脆弱情報が参照元となる回数または参照先となる回数を容易に把握することができる。
【0116】
また、参照関係分析手段150は、メニュー欄71内に管理者が日時を入力するための欄を表示し、その欄に入力された日時以降に更新された情報のみを表示してもよい。そのようにすれば、古い情報を省いて表示することができ、必要のない情報を閲覧対象から省くことができる。
【0117】
次に、本実施の形態の効果について説明する。
本実施の形態では、脆弱性情報収集手段110が、Webクローリングにより脆弱性情報の収集を行うように構成されているため、特定のWebサイトのみに限らず広く脆弱性情報を収集できる。
【0118】
また、本実施の形態では、さらに参照関係分析手段150が、収集した各脆弱性情報間の参照関係を分析するように構成されているため、管理者は同一の脆弱性に関する多数のWebページの中からどのページを参照すればよいかが分かる。また、本実施の形態によれば、参照先となる回数が最も多い脆弱性情報、または参照先となる回数が最も多い脆弱性情報を他と区別して表示するので、管理者は、よくまとめられた脆弱性情報や、重要な脆弱性情報を容易に判断することができる。
【0119】
実施の形態2.
図23は、本発明によるセキュリティ運用管理システムの第2の実施の形態を示すブロック図である。第1の実施の形態と同様の構成部については、図1と同一の符号を付して説明を省略する。また、第1の実施の形態と同様の構成部の動作は、第1の実施の形態と同様である。ただし、第2の実施の形態では、HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を用いる。すなわち、第2の実施の形態では、脆弱性情報収集手段110は、ステップS9(図6参照。)において、Webページ(HTML文書)から「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を抽出していたときに、そのWebページが脆弱性情報であると判定する。
【0120】
第2の実施の形態では、データ処理装置100は、第1の実施の形態で示した脆弱性情報収集手段110、脆弱性情報データベース120、見出し同義語辞書140、参照関係分析手段150に加え、情報要約手段160とセキュリティ同義語辞書170とを含んでいる。情報要約手段160は、例えば、プログラムに従って動作するCPUによって実現される。セキュリティ同義語辞書170は、記憶装置によって実現される。
【0121】
情報要約手段160は、脆弱性情報収集手段110によって脆弱性情報と判定されたWebページから抽出していた項目のうち、「影響を受けるソフトウェア」、「対処策」および「参考情報」の「内容」を要約する処理を行う。作成元が異なっているが同一の脆弱点に関する記述を含む脆弱性情報では、「影響を受けるソフトウェア」、「対処策」および「参考情報」の「見出し」として同義の文言が用いられ、その「見出し」に対応する「内容」では、同様の事項が記述される。ただし、作成元のベンダや機関がどのような文言を用いるかによって「内容」に記載される文言は異なる。また、詳細に記述された脆弱性情報の「内容」には、他の脆弱性情報の「内容」には記述されていない事項が含まれている場合もある。情報要約手段160は、「影響を受けるソフトウェア」、「対処策」および「参考情報」の「内容」に関して、同一の脆弱点について記述した異なる脆弱性情報の「内容」から重複事項をなくして、いずれかの脆弱性情報の内容には含まれている事項を残すように「内容」の要約を行う。
【0122】
また、情報要約手段160は、要約した「影響を受けるソフトウェア」、「対処策」および「参考情報」の「内容」を入出力装置200から出力する。例えば、入出力装置200に含まれるディスプレイ装置に表示させる。
【0123】
セキュリティ同義語辞書170は、情報要約手段160で脆弱性情報の要約処理を行うときに必要なセキュリティ関連語の同義語が格納された辞書である。具体的には、セキュリティ同義語辞書170は、同一の脆弱点について示す脆弱性情報の「内容」で同義語として用いられる文言同士を対応付けて予め記憶している。セキュリティ同義語辞書170に記憶させるべき同義語は、過去に作成された脆弱性情報を確認して、人間が経験的に判断すればよい。
【0124】
セキュリティ同義語辞書170に記憶される同義語の例として、同一の製品を表すために用いられる複数種類の文言が挙げられる。例えば、脆弱性情報において「影響を受けるソフトウェア」の内容としてコンピュータのOSの名称が記載されることがある。この場合に、マイクロソフト社のOSである「Windows XP Professional」について、“WinXP Pro”という省略形の表記で記載されたり、英単語と仮名による“ウインドウズXPプロフェッショナル”という表記や“ウィンドウズ XP プロフェッショナル”という表記で記載されたり、省略形と仮名によって“ウインドウズXPプロ”と記載されたり、様々な記載のされ方をする。また、「Windows XP Professional」と「Windows XP Home Edition」をまとめて“Windows XP”と表記されることもある。セキュリティ同義語辞書170は、例えば、このような同一の製品を表すために用いられる複数種類の文言を同義語として対応付けて記憶する。セキュリティ同義語辞書170は、情報要約手段160における要約処理時に、このような同義語を認識するために用いられる。なお、マイクロソフト、ウィンドウズ、Windows およびWindows XPは登録商標である。
【0125】
次に動作について説明する。図24は、本実施の形態のセキュリティ運用管理システムの動作の例を示すフローチャートである。
【0126】
データ処理装置100には、入出力装置200を介して、予めセキュリティ管理者によって、いずれかの脆弱性情報のWebサイトのURLが1つ以上入力されていて、脆弱性情報収集手段110はそのURLを記憶する。脆弱性情報収集手段110は、そのURLに応じたWebページを取得し、そのWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを取得する。脆弱性情報収集手段110は、この動作を繰り返してWebページを収集する(ステップB1)。この動作は、第1の実施の形態のステップA1の動作と同様である。また、第1の実施の形態で説明したように、脆弱性情報収集手段110にURLの代わりにキーワードが入力され、脆弱性情報収集手段110が既存の検索サーバを利用してWebページを収集してもよい。
【0127】
脆弱性情報収集手段110は、Webページを受信すると、受信したWebページから脆弱性情報に含まれる項目を抽出し、所定の項目が抽出されたならば、受信したWebページが脆弱性情報であると判定する。この動作は、ステップS1〜S9の動作と同様である。ただし、第2の実施の形態では、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を所定の項目とし、この4つの項目が抽出できたWebページを脆弱性情報と判定する。
【0128】
脆弱性情報収集手段110は、脆弱性情報と判定されるWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップB2)。「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」以外の項目(例えば、「更新履歴」、「情報ID」等)も抽出した場合には、それらの項目も記憶させる。また、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。
【0129】
ステップB2の後、参照関係分析手段150は、脆弱性情報の各項目に含まれるリンクの情報(URL)を脆弱性情報データベース120から読み込み、そのURLに基づいて、どの脆弱性情報がどの脆弱性情報を参照しているのかを分析する(ステップB3)。ステップB2,B3の動作は、第1の実施の形態のステップA2,A3と同様である。
【0130】
ただし、第2の実施の形態では、参照関係分析手段150は、ステップB3において、さらに以下の処理を行う。参照関係分析手段150は、脆弱性情報間の参照関係を特定したならば、参照関係が続いている複数の脆弱性情報を同一の脆弱性に関する脆弱性情報であると判定する。すなわち、ある脆弱性情報が別の脆弱性情報を参照し、その別の脆弱性情報がさらに別の脆弱性情報を参照しているという参照関係が続いているときに、参照関係分析手段150は、その参照関係を有している複数の脆弱性情報が、全て同一の脆弱性に関する脆弱性情報であると判定する。例えば、脆弱性情報Pが脆弱性情報Qを参照していて、脆弱性情報Qが脆弱性情報Rを参照している場合、P,Q,Rは、いずれも同一の脆弱性に関する脆弱性情報であると判定する。
【0131】
また、例えば、図4に例示するWebページの参照関係において、WebページA,C,E,Gが脆弱性情報であり、WebページFは単なる脆弱性情報リストであって、脆弱性情報ではないとする。また、WebページGが、WebページH(図示せず。)へのリンクを含んでいるものとする。この場合、WebページFは脆弱性情報データベース120に記憶されない。また、この場合、参照関係分析手段150は、脆弱性情報A,C,Eが同一の脆弱性に関する脆弱性情報であり、脆弱性情報G,Hが別の同一の脆弱性に関する脆弱性情報であると判定する。
【0132】
参照関係分析手段150は、同一の脆弱性に関する脆弱性情報であると判定した脆弱性情報毎に、脆弱性情報データベース120に記憶された情報(項目)を分類する。例えば、上記の例では、脆弱性情報A,C,Eから抽出された項目と、脆弱性情報G,Hから抽出された項目とに分類する。第2の実施の形態では、ステップB3で、このような分類まで行う。
【0133】
次に、情報要約手段160は、ステップB3で分類したグループ毎に、項目の要約を行う(ステップB4)。情報要約手段160は、「影響を受けるソフトウェア」、「対処策」および「参考情報」の「内容」を要約する。各項目の内容を要約した情報を要約情報と記す。
【0134】
情報要約手段160は、「影響を受けるソフトウェア」として様々な表記で記載された製品名であって、同義語としてセキュリティ同義語辞書170に記憶されている製品名を1つの表記に統一することによって、「影響を受けるソフトウェア」の要約を行う。また、複数の脆弱性情報のうちのいずれか「影響を受けるソフトウェア」の内容にのみ記載されていた事項は要約情報に含める。すなわち、「影響を受けるソフトウェア」に記載された文言であって、他の脆弱性情報から抽出された「影響を受けるソフトウェア」に記載された文言とセキュリティ同義語辞書170において同義語として対応付けられていない文言は、要約情報に含める。すなわち、複数の脆弱性情報の「影響を受けるソフトウェア」の内容の和集合をとる。
【0135】
また、「対処策」の内容は自然言語の文章で記述される。情報要約手段160は、予め「*更新プログラム*を適用*」等のように、1つの文章(1センテンス)中にキーワードが登場するパターン(キーワード登場パターン)を記憶し、そのキーワード登場パターンに合致する文章を「対処策」の内容から抽出する。以下、この文章を重要文と記す。情報要約手段160は、複数の脆弱性情報の「対処策」の内容から抽出した重要文のうち、1つの重要文だけを選択し、選択した重要文を要約情報に含める。情報要約手段160は、この処理をキーワード登場パターン毎に行うことにより、「対処策」の要約を行う。なお、例示したキーワード登場パターン「*更新プログラム*を適用*」における「*」は、任意の文字列を表している。ただし、句点(。)をまたいで他の文章の文字列を含む文字列は、「*」に該当しないものとする。また、キーワード登場パターンが規定しているキーワード(上記の例では「更新プログラム」等)の同義語がセキュリティ同義語辞書170に記憶されている場合、情報要約手段160は、予め記憶しているキーワード記憶パターン内のキーワードをセキュリティ同義語辞書170に記憶された同義語で置き換えたキーワード登場パターンも用いて重要文を抽出する。また、複数の脆弱性情報のうちのいずれかの「対処策」の内容にのみ記述されていた重要文は要約情報に含める。すなわち、複数の脆弱性情報の「対処策」の内容に記述された重要文の和集合をとる。
【0136】
情報要約手段160は、「参考情報」に関しては、各脆弱性情報の「参考情報」の「内容」に含まれるURLのうち、重複するURLを1つだけ残すことにより要約を行う。また、複数の脆弱性情報のうちのいずれかの「参考情報」の内容にのみ記述されていたURLは要約情報に含める。すなわち、複数の脆弱性情報の「参考情報」の内容に記述されたURLの和集合をとる。
【0137】
図25は、要約処理を模式的に示した説明図である。同一の脆弱性に関して記述した脆弱性情報A,B,Cに該当する各Webページが収集されていたとする。また、脆弱性情報Aには、「関連するソフトウェア」という文言を見出しとする項目と、「回避策」という文言を見出しとする項目とが含まれていたとする。脆弱性情報Bには、「対象となるシステム」という文言を見出しとする項目と、「対策」という文言を見出しとする項目とが含まれていたとする。脆弱性情報Cには、「影響を受けるシステム」という文言を見出しとする項目と、「対応策」という文言を見出しとする項目とが含まれていたとする。情報要約手段160は、同一の脆弱性に関して記述した脆弱性情報A,B,Cから抽出された項目を同一のグループに分類し、その項目の「影響を受けるソフトウェア」や、「対処策」等の項目について要約を行う。このとき、情報要約手段160は、見出し同義語辞書140を用いて、 “関連するソフトウェア”を見出しとする項目と、“対象となるシステム”を見出しとする項目と、“影響を受けるシステム”を見出しとする項目を、同じ内容の項目と判定する。同様に、“回避策”を見出しとする項目と、“対策”を見出しとする項目と、“対応策”を見出しとする項目とが同じ内容の項目であると判定する。情報要約手段160は、同じ内容と判定した項目の内容の要約を行い、統一した見出し(図25に示す例では「影響を受けるソフトウェア」や「対処策」)を付加する。
【0138】
次に、情報要約手段160は、ステップB5で要約した各項目を連結して複数の項目からなる1つの脆弱性情報を生成する(ステップB5)。ここで生成された脆弱性情報は、同一の脆弱性に関する複数の脆弱性情報を要約した情報となる。そして、情報要約手段160は、ステップB5で生成した脆弱性情報を入出力装置200に出力する(ステップB6)。例えば、入出力装置200に含まれるディスプレイ装置に表示させる。
【0139】
次に、ステップB4で情報要約手段160が行う要約処理について、具体例を用いて説明する。図26は、「影響を受けるソフトウェア」の内容の要約の例を示す説明図である。図26に示す情報A〜Cは、図25に示す情報(脆弱性情報)A〜Cと同様である。本例では、情報Aの“関連するソフトウェア”を見出しとする項目から脆弱性の影響を受けるソフトウェアとして、「Microsoft Windows 2000 Service Pack 4」と「Microsoft Windows XP Service Pack 1」と「Microsoft Windows XP Service Pack 2」の3つが抽出されている。同様に、情報Bの“対象となるシステム”を見出しとする項目から脆弱性の影響を受けるソフトウェアとして、「Win2000 Service Pack 4」と「WinXP Service Pack 1」と「WinXP Service Pack 2」と「Win2003 Server」の4つが抽出される。同様に、情報Cの“影響を受けるシステム”を見出しとする項目から脆弱性の影響を受けるソフトウェアとして、「Windows 2000 SP4」と「Windows XP SP1」と「Windows XP SP2」の3つが抽出される。この抽出は脆弱性情報収集手段110によって行われ、脆弱性情報収集手段110は、抽出した上記の文言は脆弱性情報データベース120に記憶させる。
【0140】
また、セキュリティ同義語辞書170は、予め、「Microsoft Windows 2000 Service Pack 4」と「Win2000 Service Pack 4」と「Windows 2000 SP4」とを対応付けて記憶している。同様に、セキュリティ同義語辞書170は、「Microsoft Windows XP Service Pack 1」と「WinXP Service Pack 1」と「Windows XP SP1」とを対応付けて記憶している。また、「Microsoft Windows XP Service Pack 2」と「WinXP Service Pack 2」と「Windows XP SP2」とを対応付けて記憶している。
【0141】
情報要約手段160は、情報A,B,Cが同一の脆弱性に関する脆弱性情報であると判定したならば、脆弱性情報データベース120に記憶された情報A,B,Cの「脆弱性の影響を受けるソフトウェア」の内容を読み込む。そして、情報要約手段160は、読み込んだ文言のうち、セキュリティ同義語辞書170で対応付けられている文言が、同一のもの(ここではソフトウェア製品)を表していると判定し、その読み込んだ文言を代表する文言(以下、統一名称と記す。)を要約情報に含める。
【0142】
例えば、情報要約手段160は、「Microsoft Windows 2000 Service Pack 4」と「Win2000 Service Pack 4」と「Windows 2000 SP4」とが同一のソフトウェア製品であると判定し、それらを代表する統一名称(本例では「Microsoft Windows 2000 Service Pack 4」とする。)を要約情報に含める。同様に、「Microsoft Windows XP Service Pack 1」と「WinXP Service Pack 1」と「Windows XP SP1」とが同一のソフトウェア製品であると判定し、それらを代表する統一名称(本例では「Microsoft Windows XP Service Pack 1」とする。)を要約情報に含める。また、「Microsoft Windows XP Service Pack 2」と「WinXP Service Pack 2」と「Windows XP SP2」とが同一のソフトウェア製品であると判定し、それらを代表する統一名称(本例では「Microsoft Windows XP Service Pack 2」とする。)を要約情報に含める。統一名称は、セキュリティ同義語辞書170において、同義語として対応付けられて記憶されている文言毎に1つ定められている。
【0143】
また、情報要約手段160は、各脆弱性情報のうちの1つのみに「影響を受けるソフトウェア」として記載されていた「Win2003 Server」も要約情報に含める。本例では、「Win2003 Server」と同義の文言の統一名称は「Microsoft Windows Server 2003」と定められいるものとする。情報要約手段160は、「Win2003 Server」の統一名称「Microsoft Windows Server 2003」を要約情報に含める。
【0144】
なお、要約処理を行うときには内容について「和集合」を取るようにする。つまり、同一であると判定できる内容については冗長性を除くために1つにまとめ(例えば、図26の「Microsoft Windows XP Service Pack 1」)、同一であると判定できない内容や唯一である内容については要約情報に加える(例えば、図26の「Microsoft Windows Server 2003」)。他の情報提供サーバから受信した脆弱性情報には記載されていない事項は、情報提供側のミスによる誤った情報である可能性もあるし、逆に他の情報提供者が確認できなかった重要情報である可能性もある。セキュリティの観点から考えると、「情報の見逃し」よりも「情報の誤検出」のほうが安全である。例えば、あるソフトウェア製品に影響があるにも関わらずその確認を見逃すよりも、脆弱性情報が誤っていて、あるソフトウェア製品への影響がないかを確認するようがセキュリティ上安全である。よって、情報要約手段160は、上記のように「和集合」をとって要約を行う。
【0145】
また、同一であると判定できない内容や唯一である内容については、要約情報の生成時にその旨を管理者にメッセージとして表示して、その内容が誤った内容であるか否かを管理者に判断させてもよい。そして、その内容を要約情報に加えるか否かを管理者からの指示に応じて決定してもよい。
【0146】
また、「影響を受けるソフトウェア」の内容は、製品名が列挙して記述されるが、「対処策」の内容は、自然言語の文章で記述される。以下、文章で記述される「対処策」の内容の要約について、具体例を挙げて説明する。図27は、「対処策」の内容の要約の例を示す説明図である。本例では、情報要約手段160は、キーワード登場パターンとして、「*更新プログラム*を適用*」および「*を無効*」を予め記憶しているものとする。「*」は任意の文字列を表すが、句点(。)をまたいで他の文章の文字列を含む文字列は「*」に該当しないものとし、キーワード登場パターンに合致するか否かは1つの文章毎に判定される。また、セキュリティ同義語辞書170には、「更新プログラム」と「パッチ」とが対応付けて記憶されているものとする。
【0147】
図27に示す例では、情報Aの「対策」を見出しとする項目から、対処策として“適切なパッチをダウンロードし、適用して下さい。”という文章を含む内容が抽出されているとする。また、情報Bの「推奨する対応策」を見出しとする項目から、“更新プログラム○○を適用して下さい。”という文章を含む内容が抽出されているとする。また、情報Cの「対処策」を見出しとする項目から、“□□を無効にする。”という文章を含む内容が抽出されているとする。これらの内容の抽出は脆弱性情報収集手段110によって行われ、脆弱性情報収集手段110は、抽出した上記の文言は脆弱性情報データベース120に記憶させる。
【0148】
情報要約手段160は、情報A,B,Cが同一の脆弱性に関する脆弱性情報であると判定したならば、脆弱性情報データベース120に記憶された情報A,B,Cから抽出した対処策の内容を読み込み、その内容から重要文を抽出する。情報要約手段160は、キーワード登場パターン「*更新プログラム*を適用*」に合致する文章として、情報Bの「推奨する対応策」に対応する内容から、“更新プログラム○○を適用してください。”という文章を抽出する。また、情報要約手段160は、キーワード登場パターン「*更新プログラム*を適用*」の「更新プログラム」をセキュリティ同義語辞書170に記憶された「パッチ」に置き換える。そして、そのキーワード登場パターン「*パッチ*を適用*」に合致する文章として、情報Aの「対策」に対応する内容から、“適切なパッチをダウンロードし、適用して下さい。”という文章を抽出する。
【0149】
また、情報要約手段160は、キーワード登場パターン「*を無効*」に合致する文章として、情報Cの「対処策」に対応する内容から、「□□を無効にする。」という文章を抽出する。
【0150】
次に、情報要約手段160は、「*更新プログラム*を適用*」およびそのキーワードを同義語に置き換えた「*パッチ*を適用*」に基づいて抽出した2つの重要文のうちの1つを選択し、選択した重要文を要約情報に含める。このとき、情報要約手段160は、固有名詞を最も多く含む重要文を選択することが好ましい。図27に示す例では、“適切なパッチをダウンロードし、適用して下さい。”と“更新プログラム○○を適用してください。”のうち、固有名詞である“○○”を含む後者を選択している。固有名詞を最も多く含む重要文を選択することで、対処策の要約情報として具体的な内容を管理者に提示することができる。
【0151】
また、情報要約手段160は、「*を無効*」に基づいて抽出した重要文は1つだけであるので、その重要文「□□を無効にする。」を要約情報に含める。このように、重要文に関しても和集合をとる。
【0152】
また、「参考情報」の内容にはURLが記述されている。情報要約手段160は、複数の脆弱性情報の「参考情報」の「内容」を要約する場合には、重複している同一のURLを1つのURLとして要約情報に含める。また、いずれかの「参考情報」の内容にのみ記述されていたURLも要約情報に含める。
【0153】
次に、本実施の形態の効果について説明する。本実施の形態では、情報要約手段160が同一の脆弱性に関する複数の情報を要約するように構成されているため、管理者は同一の脆弱性について複数の情報提供サイトが提供している情報の要約情報を自動的に取得することができる。
【0154】
また、本実施の形態では、さらに、情報の要約時に冗長性を省き、内容について和集合を取るというように構成されているため、情報の見逃しを防止することができる。
【0155】
実施の形態3.
図28は、本発明によるセキュリティ運用管理システムの第3の実施の形態を示すブロック図である。第2の実施の形態と同様の構成部については、図23と同一の符号を付して説明を省略する。また、第2の実施の形態と同様の構成部の動作は、第2の実施の形態と同様である。ただし、第3の実施の形態では、HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「影響を受けるソフトウェア」および「参考情報」を用いればよい。すなわち、第2の実施の形態では、脆弱性情報収集手段110は、ステップS9(図6参照。)において、Webページ(HTML文書)から「タイトル」、「影響を受けるソフトウェア」および「参考情報」を抽出していたときに、そのWebページが脆弱性情報であると判定する。また、情報要約手段160は、「対処策」の内容については要約しなくてもよい。第2の実施の形態と同様に、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を所定の項目とし、また、「対処策」の内容を要約してもよい。
【0156】
第3の実施の形態では、データ処理装置100は、第2の実施の形態で示した脆弱性情報収集手段110、脆弱性情報データベース120、見出し同義語辞書140、参照関係分析手段150、情報要約手段160、セキュリティ同義語辞書170に加え、影響確認スクリプト生成手段180と、影響確認スクリプト実行手段181と、スクリプト生成知識データベース190とを含む。影響確認スクリプト生成手段180と影響確認スクリプト実行手段181は、例えば、プログラムに従って動作するCPUによって実現される。スクリプト生成知識データベース190は、記憶装置によって実現される。
【0157】
影響確認スクリプト生成手段180は、情報要約手段160によって要約が行われた後、「影響を受けるソフトウェア」の要約情報(要約結果)に記載されているハードウェアやソフトウェアの名称、バージョンまたは設定等に応じて、管理対象システム(図示せず。)の状態を確認するためのスクリプト(以下、影響確認スクリプトと記す。)を生成する。管理対象システムは、セキュリティ管理の対象となるコンピュータシステムである。
【0158】
スクリプト生成知識データベース190は、影響確認スクリプト生成手段180で影響確認スクリプトを生成するときに必要となる知識があらかじめ格納されている。具体的には、スクリプト生成知識データベース190は、影響確認スクリプト生成知識を記憶する。図29は、影響確認スクリプト生成知識の例を示す説明図である。影響確認スクリプト生成知識では、影響を受けるシステムの情報と、確認知識とが対応付けられている。影響を受けるシステムの情報は、「影響を受けるソフトウェア」の要約結果として記述される統一名称である。この統一名称はソフトウェアまたはハードウェアの名称であり、統一名称には、バージョン情報や、ソフトウェアやハードウェアの設定に関する記述が含まれていてもよい。確認知識は、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準とを含む。確認対象事項が判定基準に合致するときには、管理対象システムは脆弱性の影響を受けると判定される。
【0159】
また、スクリプト生成知識データベース190は、確認対象事項を確認するための影響確認スクリプトの雛形を予め記憶している。その雛形に、確認対象事項または影響を受けるシステムの情報に応じたパラメータが記述されることで、影響確認スクリプトが生成される。
【0160】
例えば、「影響を受けるソフトウェア」の要約結果に“Microsoft Windows XP Service Pack 2”が含まれているとする。影響確認スクリプト生成手段180は、影響確認スクリプト生成知識に基づいて、管理対象システム内のコンピュータに“Microsoft Windows XP Service Pack 2”がインストールされているかどうかを確認する影響確認スクリプトを生成する。このとき、“Microsoft Windows XP Service Pack 2”に対応する確認知識の確認対象事項に応じたパラメータ等を、影響確認スクリプトの雛形に記述することで、影響確認スクリプトを生成する。
【0161】
影響確認スクリプト実行手段181は、影響確認スクリプト生成手段180で生成された影響確認スクリプトを実行する。影響確認スクリプト実行手段181は、影響確認スクリプトを実行して得られた確認対象事項の確認結果が判定基準と合致するならば、管理対象システム内のコンピュータが脆弱性の影響を受けると判定し、確認結果が判定基準と合致しないならば、管理対象システム内のコンピュータが脆弱性の影響を受けないと判定する。
【0162】
なお、影響確認スクリプト生成手段180で影響確認スクリプト生成時に、スクリプト生成知識データベース190に該当する影響確認スクリプト生成知識が存在しない場合には、影響確認スクリプト生成手段180は影響を受けるソフトウェアの名称やバージョンをそのままメッセージとして管理者に提示するようにする。
【0163】
次に動作について説明する。
図30は、本実施の形態のセキュリティ運用管理システムの動作の例を示すフローチャートである。脆弱性情報収集手段110は、予め入力されていたURLに応じたWebページを取得し、そのWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを取得する。脆弱性情報収集手段110は、この動作を繰り返してWebページを収集する(ステップC1)。この動作は、既に説明したステップA1,B1の動作と同様である。また、第1の実施の形態で説明したように、脆弱性情報収集手段110にURLの代わりにキーワードが入力され、脆弱性情報収集手段110が既存の検索サーバを利用してWebページを収集してもよい。
【0164】
脆弱性情報収集手段110は、Webページを受信すると、受信したWebページから脆弱性情報に含まれる項目を抽出し、所定の項目が抽出されたならば、受信したWebページが脆弱性情報であると判定する。この動作は、ステップS1〜S9の動作と同様である。ただし、第3の実施の形態では、「タイトル」、「影響を受けるソフトウェア」、および「参考情報」を所定の項目とし、この3つの項目が抽出できたWebページを脆弱性情報と判定すればよい。
【0165】
脆弱性情報収集手段110は、脆弱性情報と判定されるWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップC2)。この動作はステップB2と同様である。「タイトル」、「影響を受けるソフトウェア」および「参考情報」以外の項目(例えば、「対処策」、「更新履歴」、「情報ID」等)も抽出した場合には、それらの項目も記憶させる。また、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。
【0166】
ステップC2の後、参照関係分析手段150は、第2の実施の形態におけるステップB3と同様に脆弱性情報間の参照関係を分析し、また、同一の脆弱性に関する脆弱性情報毎に、各脆弱性情報から抽出された項目を分類する(ステップC3)。
【0167】
次に、情報要約手段160は、ステップC3で分類した同一の脆弱性に関する複数の脆弱性情報について、第2の実施の形態におけるステップB4と同様の要約を行う(ステップC4)。ステップC4では、少なくとも「影響を受けるソフトウェア」の項目について要約を行う。第2の実施の形態と同様に、「参考情報」や「対処策」の項目についての要約を行ってもよい。
【0168】
次に、情報要約手段160は、ステップC4で要約した各項目を連結して複数の項目からなる1つの脆弱性情報を生成する(ステップC5)。この動作は、ステップB5と同様である。
【0169】
次に、影響確認スクリプト生成手段180は、各項目の要約結果をまとめた情報(ステップC5参照。)の中から、「影響を受けるソフトウェア」に記載されている統一名称(例えばソフトウェアの名称やバージョンの統一名称)を抽出する。影響確認スクリプト生成手段180は、その統一名称に対応する確認知識(図29参照。)を参照し、その確認知識内の確認対象事項を確認するための影響確認スクリプトを生成する(ステップC6)。影響確認スクリプト生成手段180は、確認知識の確認対象事項に応じたパラメータまたは「影響を受けるソフトウェア」に記載された要約結果に応じたパラメータを、影響確認スクリプトの雛形に記述することで、影響確認スクリプトを生成する。
【0170】
次に、影響確認スクリプト実行手段181は、ステップC6で生成した影響確認スクリプトを実行し、管理対象システムのコンピュータが脆弱性の影響を受けるかどうかを判定する(ステップC7)。影響確認スクリプト実行手段181は、影響確認スクリプトを実行し、その結果得られた確認結果が判定基準と合致するならば、管理対象システムが脆弱性の影響を受けると判定し、確認結果が判定基準と合致しないならば、管理対象システムが脆弱性の影響を受けないと判定する。
【0171】
最後に、影響確認スクリプト実行手段181は、ステップC7の判定の判定結果(管理対象システムが脆弱性の影響を受けるか否か)を入出力装置200に出力する(ステップC8)。例えば、入出力装置200に含まれるディスプレイ装置に表示させる。
【0172】
本実施の形態では、ステップC4で、「影響を受けるソフトウェア」の項目について要約を行えばよい。第2の実施の形態と同様に、「参考情報」や「対処策」の項目についての要約を行ってもよい。それらの要約の結果をあわせて表示してもよい。
【0173】
次に、ステップC6で影響確認スクリプト生成手段180が行う影響確認スクリプト生成の具体例について説明する。ある脆弱性についての複数の脆弱性情報の「影響を受けるソフトウェア」の要約結果が「OS-01 Version2」であったとする。また、図29に例示する影響確認スクリプト生成知識がスクリプト生成知識データベース190に記憶されているとする。図29に例示する確認知識は、「レジストリキー“HKEY_LOCAL_MACHINE\SOFTWARE\abcde\OS-01\CurrentVersion”の、データ型が“REG_SZ”である値“CSDVersion”の内容が、“Version2”に一致する。」という内容が示されている。影響確認スクリプト実行手段181は、要約結果である「OS-01 Version2」に対応する確認知識を参照する。図29に示す例では、「レジストリキー“HKEY_LOCAL_MACHINE\SOFTWARE\abcde\OS-01\CurrentVersion”の、データ型が“REG_SZ”である値“CSDVersion”の内容」を確認対象事項としている。影響確認スクリプト生成手段180は、この確認対象事項に応じたパラメータを影響確認スクリプトの雛形に記述して、“CSDVersion”の内容を確認するための影響確認スクリプトを生成する。
【0174】
影響確認スクリプト実行手段181は、この影響確認スクリプトを実行し、管理対象システムにおける“CSDVersion”の内容の確認結果を得る。影響確認スクリプト実行手段181は、その確認結果が、判定基準である“Version2”と合致しているならば、管理対象システムが脆弱性の影響を受けると判定する。管理対象システムに「OS-01 Version2」が搭載(インストール)されていることになるので、管理対象システムは脆弱性の影響を受ける。また、影響確認スクリプト実行手段181は、確認結果が、判定基準である“Version2”と合致していなければ、管理対象システムが脆弱性の影響を受けないと判定する。管理対象システムに「OS-01 Version2」がインストールされていないことになるので、管理対象システムは脆弱性の影響を受けない。
【0175】
次に、本実施の形態の効果について説明する。
本実施の形態では、影響確認スクリプト生成手段180が、情報要約手段160によって要約された結果に基づいて、管理対象システム内のコンピュータの状態を確認するスクリプトを自動的に生成し、影響確認スクリプト実行手段181が影響確認スクリプトを実行し、管理対象システムが脆弱性の影響を受けるか否かを判定する。従って、脆弱性が管理対象システムに影響するかどうかを自動的に行うことができ、管理者の負担をさらに軽減することができる。また、第2の実施の形態と同様に要約を実行し、その結果を出力すれば、第2の実施の形態と同様の効果が得られる。
【0176】
実施の形態4.
図31は、本発明によるセキュリティ運用管理システムの第4の実施の形態を示すブロック図である。第3の実施の形態と同様の構成部については、図28と同一の符号を付して説明を省略する。また、第3の実施の形態と同様の構成部の動作は、第3の実施の形態と同様である。ただし、本実施の形態では、第2の実施の形態と同様に、HTML文書が脆弱性情報であるか否かを判定するための所定の項目として、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を行う。そして、情報要約手段160は、「影響を受けるソフトウェア」および「対処策」の内容を要約する。
【0177】
第4の実施の形態において、データ処理装置100は、第3の実施の形態で示した脆弱性情報収集手段110、脆弱性情報データベース120、見出し同義語辞書140、参照関係分析手段150、情報要約手段160、セキュリティ同義語辞書170、影響確認スクリプト生成手段180、影響確認スクリプト実行手段181、スクリプト生成知識データベース190に加え、対処スクリプト生成手段185と対処スクリプト実行手段186を含んでいる。対処スクリプト生成手段185と対処スクリプト実行手段186は、例えば、プログラムに従って動作するCPUによって実現される。
【0178】
対処スクリプト生成手段185は、「対処策」の要約情報(要約結果)に記載されている対処策の情報から、管理対象システムへの脆弱性の影響を解消するスクリプト(以下、対処スクリプトと記す。)を生成する。
【0179】
本実施の形態では、スクリプト生成知識データベース190は、影響確認スクリプト生成知識(図29参照。)や影響確認スクリプトの雛形の他に、対処策要約結果パターンと対処スクリプトの雛形と対応付けてを記憶している。図32は、対処策要約結果パターンの例を示す説明図である。対処策要約結果パターンは、対処策の内容の要約結果に表れるキーワードのパターンである。図32に示す「*」は任意の文字列を示す。例えば、図32に示す「*を無効*」は、対処策の内容の要約結果として、文字列の間に「を無効」というキーワードを含んだ文字列を表している。
【0180】
図33は、対処策要約結果パターンに対応付けられてスクリプト生成知識データベース190に記憶された対処スクリプトの雛形の例を示す説明図である。図33では、「〜をダウンロード」等のように日本語で模式的に示しているが、対処スクリプトの雛形は、パラメータが記述されたときにコンピュータが実行可能なコマンドとして記述される。また、図33に示す「xxxxxx」は、パラメータが記述される場所を表している。
【0181】
対処スクリプト生成手段185は、「対処策」の要約結果に合致する対処策要約結果パターンを特定し、その対処策要約結果パターンに対応する対処スクリプトの雛形をスクリプト生成知識データベース190から読み込む。対処スクリプト生成手段185は、その雛形に、「対処策」の要約結果に含まれているパラメータを記述することによって対処スクリプトを生成する。
【0182】
対処スクリプト実行手段186は、対処スクリプト生成手段185によって生成された対処スクリプトを実行し、管理対象システムへの脆弱性の影響を解消する。
【0183】
なお、対処策として、人間が行動すべきことをを定めている場合がある。このような場合、対処スクリプトの実行では脆弱性の影響を解消できない。例えば、対処策として、「信頼できないソースから受け取ったファイルや信頼できるソースから予期せず受け取ったファイルを開いたり保存したりしない。」等の人間の行動を定めた文章が記載される場合がある。このような対処策に合致する対処策要約結果パターンでは、雛形の代わりに対処策の要約結果をそのまま表示する旨の情報が対応付けられる。この場合、対処スクリプト実行手段186は、その情報に応じて、対処策の要約結果をそのまま入出力装置200に表示させる。また、対処スクリプト生成手段185が「対処策」の要約結果に合致する対処策要約結果パターンを特定できなかった場合にも、対処スクリプト実行手段186は、対処策の要約結果をそのまま入出力装置200に表示させる。
【0184】
次に動作について説明する。
図34は、本実施の形態のセキュリティ運用管理システムの動作の例を示すフローチャートである。脆弱性情報収集手段110は、予め入力されていたURLに応じたWebページを取得し、そのWebページに他のWebページへのリンクが含まれているならば、リンク先のWebページを取得する。脆弱性情報収集手段110は、この動作を繰り返してWebページを収集する(ステップD1)。この動作は、既に説明したステップA1,B1,C1の動作と同様である。また、第1の実施の形態で説明したように、脆弱性情報収集手段110にURLの代わりにキーワードが入力され、脆弱性情報収集手段110が既存の検索サーバを利用してWebページを収集してもよい。
【0185】
脆弱性情報収集手段110は、Webページを受信すると、受信したWebページから脆弱性情報に含まれる項目を抽出し、所定の項目が抽出されたならば、受信したWebページが脆弱性情報であると判定する。この動作は、ステップS1〜S9の動作と同様である。ただし、第4の実施の形態では、「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」を所定の項目とし、この4つの項目が抽出できたWebページを脆弱性情報と判定する。この点は、第2の実施の形態と同様である。
【0186】
脆弱性情報収集手段110は、脆弱性情報と判定されるWebページから抽出した項目を脆弱性情報データベース120に記憶させる(ステップD2)。この動作はステップB2と同様である。「タイトル」、「影響を受けるソフトウェア」、「対処策」および「参考情報」以外の項目(例えば、「更新履歴」、「情報ID」等)も抽出した場合には、それらの項目も記憶させる。また、脆弱性情報収集手段110は、脆弱性情報から抽出した項目とともに、その脆弱性情報自身のURLも脆弱性情報データベース120に記憶させる。
【0187】
ステップC2の後、参照関係分析手段150は、第2の実施の形態におけるステップB3と同様に脆弱性情報間の参照関係を分析し、また、同一の脆弱性に関する脆弱性情報毎に、各脆弱性情報から抽出された項目を分類する(ステップD3)。
【0188】
次に、情報要約手段160は、ステップD3で分類した同一の脆弱性に関する複数の脆弱性情報について、第2の実施の形態におけるステップB4と同様の要約を行う(ステップD4)。ステップD4では、少なくとも「影響を受けるソフトウェア」および「対処策」の項目について要約を行う。第2の実施の形態と同様に、「参考情報」の項目についての要約を行ってもよい。
【0189】
次に、情報要約手段160は、ステップD4で要約した各項目を連結して複数の項目からなる1つの脆弱性情報を生成する(ステップD5)。この動作は、ステップB5と同様である。
【0190】
次に、影響確認スクリプト生成手段180は、各項目の要約結果をまとめた情報(ステップD5参照。)の中から、「影響を受けるソフトウェア」に記載されている統一名称(例えばソフトウェアの名称やバージョンの統一名称)を抽出する。影響確認スクリプト生成手段180は、その統一名称に対応する確認知識(図29参照。)を参照し、その確認知識内の確認対象事項を確認するための影響確認スクリプトを生成する(ステップD6)。ステップD6の動作は、ステップC6と同様である。
【0191】
次に、影響確認スクリプト実行手段181は、ステップC6で生成した影響確認スクリプトを実行し、管理対象システムのコンピュータが脆弱性の影響を受けるかどうかを判定する(ステップD7)。ステップD7の動作は、ステップC7と同様である。
【0192】
ステップD7の処理において、脆弱性の影響を受けないと判定された場合は(ステップD8のNO)、影響確認スクリプト実行手段181は、その旨のメッセージを入出力装置200を介して出力して、処理を終了する。なお、図34において、このメッセージ出力処理のステップの図示は省略している。ステップD8の処理において、脆弱性の影響を受けると判定された場合は(ステップD9のYES)、影響確認スクリプト実行手段181は、判定結果を対処スクリプト生成手段185に送り、対処スクリプト生成手段185はステップD9以降の処理を行う。
【0193】
対処スクリプト生成手段185は、各項目の要約結果をまとめた情報(ステップD5参照。)の中から、「対処策」に記載されている文章に合致する対処策要約結果パターンを特定する。対処スクリプト生成手段185は、その対処策要約結果パターンに対応する対処スクリプトの雛形をスクリプト生成知識データベース190から読み込む。そして、対処スクリプト生成手段185は、その雛形に、「対処策」の内容の要約結果に含まれていたパラメータを追加することによって対処スクリプトを生成する(ステップD9)。
【0194】
最後に、対処スクリプト実行手段186は、ステップD9で生成した対処スクリプトを実行し、管理対象システム内に存在している脆弱性の影響を受けるコンピュータの脆弱性への対処を行う(ステップD10)。
【0195】
本実施の形態では、ステップD4で、「影響を受けるソフトウェア」および「対処策」の項目について要約を行えばよい。第2の実施の形態と同様に、「参考情報」の項目についての要約を行ってもよい。それらの要約の結果をあわせて表示してもよい。
【0196】
次に、ステップD9で対処スクリプト生成手段185が行う対処スクリプト生成の具体例について説明する。ある脆弱性についての複数の脆弱性情報の「対処策」の要約結果が「P社のセキュリティ更新プログラムKB58983を適用」であったとする。また、図33に例示する対処策要約結果パターンと対処スクリプトの雛形とが対応付けてスクリプト生成知識データベース190に記憶されているとする。
【0197】
対処スクリプト生成手段185は、「P社のセキュリティ更新プログラムKB58983を適用」に合致する対処策要約結果パターンである「*更新プログラムKB*を適用*」を特定し、その対処策要約結果パターンに対応する雛形をスクリプト生成知識データベース190から読み込む。そして、対処スクリプト生成手段185は、その雛形でパラメータを記述すべき箇所(図33に示す例では“xxxxxx”)に、要約結果に含まれていたパラメータ“58983”を記述することによって対処スクリプトを生成する。
【0198】
対処スクリプト生成手段185は、この対処スクリプトを実行する。本例では、「http://hogehoge/kb58983」をダウンロードし、ダウンロードしたプログラム「KB58983」を実行する。
【0199】
次に、本実施の形態の効果について説明する。
本実施の形態でも、第3の実施の形態と同様の効果が得られる。また、本実施の形態では、対処スクリプト生成手段185が、情報要約手段160によって要約された脆弱性情報に基づいて、管理対象システム内のコンピュータが脆弱性の影響を受けると判定された場合に、その脆弱性を解消するスクリプトを自動的に生成し、対処スクリプト実行手段186が対処スクリプトを実行する。従って、収集した脆弱性情報に記載された脆弱性が、管理対象システムに影響するかどうかだけでなく、影響する場合にはその影響の解消まで自動的に行うことができ、管理者の負担をさらに軽減することができる。
【0200】
第3の実施の形態では、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150と、情報要約手段160と、セキュリティ同義語辞書170と、影響確認スクリプト生成手段180と、影響確認スクリプト実行手段181と、スクリプト生成知識データベース190とを含むデータ処理装置100を備えた1台のコンピュータ上で、脆弱性情報の収集と抽出、影響確認スクリプトの生成と実行をすべて行う場合について説明した。影響確認スクリプトの生成までを行うサーバコンピュータと、影響確認スクリプトの実行を行うクライアントコンピュータとを備えた構成であってもよい。図35は、このようなクライアント/サーバ構成のセキュリティ運用管理システムの構成例を示す説明図である。図28に示す構成要素と同様の構成要素については、図28と同一の符号を付し説明を省略する。サーバコンピュータは、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150と、情報要約手段160と、セキュリティ同義語辞書170と、影響確認スクリプト生成手段180と、スクリプト生成知識データベース190とを含むデータ処理装置100と、入出力装置200とを備える。クライアントコンピュータは、影響確認スクリプト実行手段181を含むデータ処理装置300と、入出力装置200とを備える。影響確認スクリプト実行手段181は、例えば、クライアントコンピュータのCPUによって実現される。クライアントコンピュータの入出力装置200は、サーバの入出力装置200と同様に、キーボードやマウス等の入力装置およびディスプレイ装置等の出力装置を含んでいる。影響確認スクリプト生成手段180は、影響確認スクリプトを生成した後、その影響確認スクリプトを、通信ネットワーク300を介してクライアントに送信する。クライアントの影響確認スクリプト実行手段181は、受信した影響確認スクリプトを実行する。
【0201】
また、第4の実施の形態では、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150と、情報要約手段160と、セキュリティ同義語辞書170と、影響確認スクリプト生成手段180と、影響確認スクリプト実行手段181と、スクリプト生成知識データベース190と、対処スクリプト生成手段185と、対処スクリプト実行手段186とを含むデータ処理装置100を備えた1台のコンピュータ上で、脆弱性情報の収集と抽出、影響確認スクリプトおよび対処スクリプトの生成と実行をすべて行う場合について説明した。影響確認スクリプトの生成と対処スクリプトの生成を行うサーバコンピュータと、影響確認スクリプトの実行と対処スクリプトの実行を行うクライアントコンピュータとを備えた構成であってもよい。図36は、このようなクライアント/サーバ構成のセキュリティ運用管理システムの構成例を示す説明図である。図31に示す構成要素と同様の構成要素については、図31と同一の符号を付し説明を省略する。サーバコンピュータは、脆弱性情報収集手段110と、脆弱性情報データベース120と、見出し同義語辞書140と、参照関係分析手段150と、情報要約手段160と、セキュリティ同義語辞書170と、影響確認スクリプト生成手段180と、スクリプト生成知識データベース190と、対処スクリプト生成手段185とを含むデータ処理装置100と、入出力装置200とを備える。クライアントコンピュータは、影響確認スクリプト実行手段181と対処スクリプト実行手段186とを含むデータ処理装置300と、入出力装置200とを備える。影響確認スクリプト実行手段181および対処スクリプト実行手段186は、例えば、クライアントコンピュータのCPUによって実現される。クライアントコンピュータの入出力装置200は、サーバの入出力装置200と同様に、キーボードやマウス等の入力装置およびディスプレイ装置等の出力装置を含んでいる。影響確認スクリプト生成手段180は、影響確認スクリプトを生成した後、その影響確認スクリプトを、通信ネットワーク300を介してクライアントに送信する。また、図36に示す構成の場合、対処スクリプト生成手段185は、影響確認スクリプトの実行結果によらず対処スクリプトを生成し、その対処スクリプトを、通信ネットワーク300を介してクライアントに送信する。クライアントの影響確認スクリプト実行手段181は、受信した影響確認スクリプトを実行し、クライアントの対処スクリプト実行手段186は、受信した対処スクリプトを実行する。
【0202】
また、第2の実施の形態から第4の実施の形態において、第1の実施の形態と同様に図20から図22に例示した分析結果表示画面を表示してもよい。更新日時が現在の日時に最も近い脆弱性情報を判定してハイライト表示する場合には、所定の項目に「更新履歴」も含めればよい。
【0203】
また、第1の実施の形態から第4の実施の形態において、入出力装置200を介して管理対象システムに含まれるハードウェアやソフトウェアの情報をあらかじめ入力され、脆弱性情報収集手段110は、そのハードウェアやソフトウェアに関係する情報のみを収集するようにしてもよい。
【0204】
同様に、クライアント/サーバ構成をとる第3の実施の形態および第4の実施の形態において(図35、図36参照。)、サーバコンピュータの入出力装置200を介して、管理対象システムのクライアントコンピュータごとに接続されているハードウェアやインストールされているソフトウェアの情報を入力され、各クライアントコンピュータに応じた影響確認スクリプトや対処スクリプトを送信し、クライアントコンピュータごとに必要な影響確認スクリプトや対処スクリプトを実行するようにしてもよい。
【産業上の利用可能性】
【0205】
本発明は、日々提供される脆弱性情報の運用管理や、その脆弱性の管理対象システムへの影響確認や対処等の用途に適用できる。
【図面の簡単な説明】
【0206】
【図1】本発明によるセキュリティ運用管理システムの第1の実施の形態を示すブロック図である。
【図2】一般的な脆弱性情報の内容構成を示す説明図である。
【図3】本実施の形態のセキュリティ運用管理システム動作の例を示すフローチャートである。
【図4】ステップA1で収集されるWebページの例を示す説明図である。
【図5】URLが合致する脆弱性情報を組み合わせて記憶した状態を示す説明図である。
【図6】受信したWebページが脆弱性情報に該当するか否かを判定する処理を示すフローチャートである。
【図7】HTML文書における各タグの関係性の例をツリー構造で示した説明図である。
【図8】図7に例示するツリー構造において、ステップS2で「見出し」として抽出されるテキスト要素の例を示す説明図である。
【図9】図7に例示するツリー構造において、ステップS3の処理結果の例を示す説明図である。
【図10】図7に例示するツリー構造において、ステップS4の処理結果の例を示す説明図である。
【図11】図7に例示するツリー構造において、ステップS5の処理結果の例を示す説明図である。
【図12】図7に例示するツリー構造において、ステップS6の処理結果の例を示す説明図である。
【図13】テキスト要素を含まないタグだけの弟木が存在するツリー構造の例を示す説明図である。
【図14】図7に例示するツリー構造において、ステップS8の処理結果の例を示す説明図である。
【図15】図7に例示するツリー構造において、2回目のステップS4の処理結果の例を示す説明図である。
【図16】図7に例示するツリー構造において、2回目のステップS5の処理結果の例を示す説明図である。
【図17】図7に例示するツリー構造において、2回目のステップS6の処理結果の例を示す説明図である。
【図18】脆弱性情報に該当するWebページの例を示す説明図である。
【図19】脆弱性情報同士の参照関係の例を示す説明図である。
【図20】分析結果表示画面の例を示す説明図である。
【図21】分析結果表示画面の例を示す説明図である。
【図22】分析結果表示画面の例を示す説明図である。
【図23】本発明によるセキュリティ運用管理システムの第2の実施の形態を示すブロック図である。
【図24】セキュリティ運用管理システムの動作の例を示すフローチャートである。
【図25】要約処理を模式的に示した説明図である。
【図26】「影響を受けるソフトウェア」の内容の要約の例を示す説明図である。
【図27】「対処策」の内容の要約の例を示す説明図である。
【図28】本発明によるセキュリティ運用管理システムの第3の実施の形態を示すブロック図である。
【図29】影響確認スクリプト生成知識の例を示す説明図である。
【図30】セキュリティ運用管理システムの動作の例を示すフローチャートである。
【図31】本発明によるセキュリティ運用管理システムの第4の実施の形態を示すブロック図である。
【図32】対処策要約結果パターンの例を示す説明図である。
【図33】対処スクリプトの雛形の例を示す説明図である。
【図34】セキュリティ運用管理システムの動作の例を示すフローチャートである。
【図35】クライアント/サーバ構成のセキュリティ運用管理システムの構成例を示す説明図である。
【図36】クライアント/サーバ構成のセキュリティ運用管理システムの構成例を示す説明図である。
【符号の説明】
【0207】
100 データ処理装置
110 脆弱性情報収集手段
120 脆弱性情報データベース
140 見出し同義語辞書
150 参照関係分析手段
160 情報要約手段
170 セキュリティ同義語辞書
180 影響確認スクリプト生成手段
181 影響確認スクリプト実行手段
185 対処スクリプト生成手段
186 対処スクリプト実行手段
190 スクリプト生成知識データベース
200 入出力装置
【特許請求の範囲】
【請求項1】
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、
収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項2】
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、
収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項3】
脆弱性情報に該当するWebページが含む項目の見出しで同義語となる文言同士を対応付けて予め記憶する見出し同義語記憶手段を備え、
抽出手段は、脆弱性情報に該当するWebページが含む項目毎に文言を規定するとともに当該文言または当該文言の同義語を含む文字列を抽出することを規定した脆弱性情報抽出ルールに従って、脆弱性情報抽出ルールで規定された文言および当該文言の同義語として見出し同義語記憶手段に記憶された文言を含む文字列をWebページから項目の見出しとして抽出する
請求項1または請求項2に記載のセキュリティ運用管理システム。
【請求項4】
参照関係分析手段は、個々の脆弱性情報を表すとともに、他の脆弱性情報を参照している参照元の脆弱性情報と前記参照元の脆弱性情報によって参照されている参照先の脆弱性情報との間に矢印を表したグラフをディスプレイ装置に表示させる
請求項1から請求項3のうちのいずれか1項に記載のセキュリティ運用管理システム。
【請求項5】
参照関係分析手段は、参照元となる回数が最も多い脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる
請求項4に記載のセキュリティ運用管理システム。
【請求項6】
参照関係分析手段は、参照先となる回数が最も多い脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる
請求項4に記載のセキュリティ運用管理システム。
【請求項7】
抽出手段は、脆弱性情報の更新履歴を記述した項目をWebページから抽出し、
参照関係分析手段は、前記更新履歴を記述した項目に基づいて、更新日時が現在の日時に最も近い脆弱性情報を判定し、前記脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる
請求項4に記載のセキュリティ運用管理システム。
【請求項8】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段を備え、
抽出手段は、脆弱性の影響を受ける対象を記述した項目を抽出し、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段を備えた
ことを特徴とする請求項1から請求項7のうちのいずれか1項に記載のセキュリティ運用管理システム。
【請求項9】
情報要約手段は、脆弱性の影響を受ける対象を示す文言であって、他の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言と同義語として対応付けられていない文言を、当該文言に対応する代表となる文言に置き換えて、要約情報に含める
請求項8に記載のセキュリティ運用管理システム。
【請求項10】
抽出手段は、脆弱性に対する対処策を記述した項目をWebページから抽出し、
情報要約手段は、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める
請求項8または請求項9に記載のセキュリティ運用管理システム。
【請求項11】
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成する確認スクリプト生成手段と、
確認スクリプトを実行し、確認スクリプトを実行して得られた確認結果が判定基準と一致している場合に、管理対象システムが脆弱性の影響を受けると判定する確認スクリプト実行手段とを備えた
請求項8から請求項10のうちのいずれか1項に記載のセキュリティ運用管理システム。
【請求項12】
抽出手段は、脆弱性に対する対処策を記述した項目をWebページから抽出し、
情報要約手段は、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含め、
スクリプト生成知識データベースは、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶し、
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段と、
対処スクリプトを実行する対処スクリプト実行手段とを備えた
請求項11に記載のセキュリティ運用管理システム。
【請求項13】
クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項14】
クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項15】
クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項16】
クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項17】
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、
セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段を備えた
ことを特徴とするクライアントコンピュータ。
【請求項18】
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、
セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段を備えた
ことを特徴とするクライアントコンピュータ。
【請求項19】
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、
セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段と、
セキュリティ運用管理システムから対処スクリプトを受信し、受信した対処スクリプトを実行する対処スクリプト実行手段とを備えた
ことを特徴とするクライアントコンピュータ。
【請求項20】
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、
セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段と、
セキュリティ運用管理システムから対処スクリプトを受信し、受信した対処スクリプトを実行する対処スクリプト実行手段とを備えた
ことを特徴とするクライアントコンピュータ。
【請求項21】
コンピュータに、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、
収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、および
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項22】
コンピュータに、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、
収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、および
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項23】
脆弱性情報に該当するWebページが含む項目の見出しで同義語となる文言同士を対応付けて予め記憶する見出し同義語記憶手段を備えたコンピュータに、
抽出処理で、脆弱性情報に該当するWebページが含む項目毎に文言を規定するとともに当該文言または当該文言の同義語を含む文字列を抽出することを規定した脆弱性情報抽出ルールに従って、脆弱性情報抽出ルールで規定された文言および当該文言の同義語として見出し同義語記憶手段に記憶された文言を含む文字列をWebページから項目の見出しとして抽出させる
請求項21または請求項22に記載のセキュリティ運用管理プログラム。
【請求項24】
コンピュータに、
参照関係分析処理で、個々の脆弱性情報を表すとともに、他の脆弱性情報を参照している参照元の脆弱性情報と前記参照元の脆弱性情報によって参照されている参照先の脆弱性情報との間に矢印を表したグラフを表示させる
請求項21から請求項23のうちのいずれか1項に記載のセキュリティ運用管理プログラム。
【請求項25】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約処理、および
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項26】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約処理、および
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項27】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約処理、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理、および
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項28】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約処理、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理、および
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項29】
Webページ収集手段が、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集し、
抽出手段が、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定し、
参照関係分析手段が、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する
ことを特徴とするセキュリティ運用管理方法。
【請求項30】
Webページ収集手段が、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集し、
抽出手段が、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定し、
参照関係分析手段が、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する
ことを特徴とするセキュリティ運用管理方法。
【請求項1】
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、
収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項2】
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、
収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項3】
脆弱性情報に該当するWebページが含む項目の見出しで同義語となる文言同士を対応付けて予め記憶する見出し同義語記憶手段を備え、
抽出手段は、脆弱性情報に該当するWebページが含む項目毎に文言を規定するとともに当該文言または当該文言の同義語を含む文字列を抽出することを規定した脆弱性情報抽出ルールに従って、脆弱性情報抽出ルールで規定された文言および当該文言の同義語として見出し同義語記憶手段に記憶された文言を含む文字列をWebページから項目の見出しとして抽出する
請求項1または請求項2に記載のセキュリティ運用管理システム。
【請求項4】
参照関係分析手段は、個々の脆弱性情報を表すとともに、他の脆弱性情報を参照している参照元の脆弱性情報と前記参照元の脆弱性情報によって参照されている参照先の脆弱性情報との間に矢印を表したグラフをディスプレイ装置に表示させる
請求項1から請求項3のうちのいずれか1項に記載のセキュリティ運用管理システム。
【請求項5】
参照関係分析手段は、参照元となる回数が最も多い脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる
請求項4に記載のセキュリティ運用管理システム。
【請求項6】
参照関係分析手段は、参照先となる回数が最も多い脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる
請求項4に記載のセキュリティ運用管理システム。
【請求項7】
抽出手段は、脆弱性情報の更新履歴を記述した項目をWebページから抽出し、
参照関係分析手段は、前記更新履歴を記述した項目に基づいて、更新日時が現在の日時に最も近い脆弱性情報を判定し、前記脆弱性情報を他の脆弱性情報と異なる態様で表すグラフをディスプレイ装置に表示させる
請求項4に記載のセキュリティ運用管理システム。
【請求項8】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段を備え、
抽出手段は、脆弱性の影響を受ける対象を記述した項目を抽出し、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段を備えた
ことを特徴とする請求項1から請求項7のうちのいずれか1項に記載のセキュリティ運用管理システム。
【請求項9】
情報要約手段は、脆弱性の影響を受ける対象を示す文言であって、他の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言と同義語として対応付けられていない文言を、当該文言に対応する代表となる文言に置き換えて、要約情報に含める
請求項8に記載のセキュリティ運用管理システム。
【請求項10】
抽出手段は、脆弱性に対する対処策を記述した項目をWebページから抽出し、
情報要約手段は、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める
請求項8または請求項9に記載のセキュリティ運用管理システム。
【請求項11】
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成する確認スクリプト生成手段と、
確認スクリプトを実行し、確認スクリプトを実行して得られた確認結果が判定基準と一致している場合に、管理対象システムが脆弱性の影響を受けると判定する確認スクリプト実行手段とを備えた
請求項8から請求項10のうちのいずれか1項に記載のセキュリティ運用管理システム。
【請求項12】
抽出手段は、脆弱性に対する対処策を記述した項目をWebページから抽出し、
情報要約手段は、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含め、
スクリプト生成知識データベースは、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶し、
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段と、
対処スクリプトを実行する対処スクリプト実行手段とを備えた
請求項11に記載のセキュリティ運用管理システム。
【請求項13】
クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項14】
クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項15】
クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項16】
クライアントコンピュータに対してスクリプトを送信するセキュリティ運用管理システムであって、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、
脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成手段とを備えた
ことを特徴とするセキュリティ運用管理システム。
【請求項17】
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、
セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段を備えた
ことを特徴とするクライアントコンピュータ。
【請求項18】
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、
セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段を備えた
ことを特徴とするクライアントコンピュータ。
【請求項19】
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、
セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段と、
セキュリティ運用管理システムから対処スクリプトを受信し、受信した対処スクリプトを実行する対処スクリプト実行手段とを備えた
ことを特徴とするクライアントコンピュータ。
【請求項20】
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集手段と、収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出手段と、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析手段と、脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースと、要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成手段と、要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成する対処スクリプト生成手段とを備えたセキュリティ運用管理システムからスクリプトを受信するクライアントコンピュータであって、
セキュリティ運用管理システムから確認スクリプトを受信し、受信した確認スクリプトを実行する確認スクリプト実行手段と、
セキュリティ運用管理システムから対処スクリプトを受信し、受信した対処スクリプトを実行する対処スクリプト実行手段とを備えた
ことを特徴とするクライアントコンピュータ。
【請求項21】
コンピュータに、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、
収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、および
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項22】
コンピュータに、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、
収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、および
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項23】
脆弱性情報に該当するWebページが含む項目の見出しで同義語となる文言同士を対応付けて予め記憶する見出し同義語記憶手段を備えたコンピュータに、
抽出処理で、脆弱性情報に該当するWebページが含む項目毎に文言を規定するとともに当該文言または当該文言の同義語を含む文字列を抽出することを規定した脆弱性情報抽出ルールに従って、脆弱性情報抽出ルールで規定された文言および当該文言の同義語として見出し同義語記憶手段に記憶された文言を含む文字列をWebページから項目の見出しとして抽出させる
請求項21または請求項22に記載のセキュリティ運用管理プログラム。
【請求項24】
コンピュータに、
参照関係分析処理で、個々の脆弱性情報を表すとともに、他の脆弱性情報を参照している参照元の脆弱性情報と前記参照元の脆弱性情報によって参照されている参照先の脆弱性情報との間に矢印を表したグラフを表示させる
請求項21から請求項23のうちのいずれか1項に記載のセキュリティ運用管理プログラム。
【請求項25】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約処理、および
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項26】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出する情報要約処理、および
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項27】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、
入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集するWebページ収集処理、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約処理、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理、および
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項28】
脆弱性情報に該当するWebページが含む項目の見出しに対応する項目の内容で同義語として用いられる文言同士を対応付けて予め記憶するセキュリティ同義語記憶手段と、脆弱性の影響を受ける対象と、管理対象システムの状態として確認すべき事項である確認対象事項と、管理対象システムが脆弱性の影響を受けるか否かの判定基準を対応付けて記憶し、要約情報に含まれる対処策を示す文章における文言の登場パターンである対処策要約結果パターンと、対処策を実行する対処スクリプトの雛形とを対応付けて記憶するスクリプト生成知識データベースとを備えたコンピュータに、
入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集するWebページ収集処理、
収集されたWebページから脆弱性の影響を受ける対象を記述した項目と、脆弱性に対する対処策を記述した項目、リンクとなるURLを記述した参考情報とを含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定する抽出処理、
脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する参照関係分析処理、
複数の脆弱性情報から抽出された脆弱性の影響を受ける対象を示す文言同士がセキュリティ同義語記憶手段で同義語として対応付けられている場合に、脆弱性の影響を受ける対象を示す文言を、代表となる文言に置き換えることにより、項目間で重複する内容をまとめた要約情報を導出するとともに、複数の脆弱性情報から抽出された対処策を記述した項目の中に、所定の文言の登場パターンに合致する文章が複数存在する場合に、その複数の文章のうちの1つの文章を要約情報に含める情報要約処理、
要約情報に含まれる脆弱性の影響を受ける対象に対応する確認対象事項を確認するための確認スクリプトを生成してクライアントコンピュータに送信する確認スクリプト生成処理、および
要約情報中に対処策要約結果パターンに合致する文章が存在する場合に、当該文章中のパラメータを対処スクリプトに記述して対処スクリプトを生成してクライアントコンピュータに送信する対処スクリプト生成処理
を実行させるためのセキュリティ運用管理プログラム。
【請求項29】
Webページ収集手段が、入力されたURLに応じたWebページを取得し、取得したWebページに含まれるリンクとなるURLに応じたWebページを取得することを繰り返してWebページを収集し、
抽出手段が、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定し、
参照関係分析手段が、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する
ことを特徴とするセキュリティ運用管理方法。
【請求項30】
Webページ収集手段が、入力されたキーワードを検索サーバに送信し、検索サーバからキーワードを含むWebページのURLのリストを受信し、前記URLに応じたWebページを取得することでWebページを収集し、
抽出手段が、収集されたWebページからリンクとなるURLを記述した参考情報を含む所定の項目を抽出し、所定の項目を抽出できたWebページをコンピュータシステムのセキュリティに関する脆弱性情報と判定し、
参照関係分析手段が、脆弱性情報と判定された各Webページで参考情報として記述されていたURLと、前記各Webページ自身のURLとを照合することで、どの脆弱性情報がどの脆弱性情報を参照しているかを特定する
ことを特徴とするセキュリティ運用管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【公開番号】特開2008−197877(P2008−197877A)
【公開日】平成20年8月28日(2008.8.28)
【国際特許分類】
【出願番号】特願2007−31756(P2007−31756)
【出願日】平成19年2月13日(2007.2.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成20年8月28日(2008.8.28)
【国際特許分類】
【出願日】平成19年2月13日(2007.2.13)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]