ソフトウェア監視システムおよび監視方法
【課題】 脆弱性のある又はマルウェアの感染したソフトウェアを持つ端末装置を効率的に検出して、的確な対策を講じる。
【解決手段】 監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムにおいて、監視装置は、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルの特徴情報などを含んで定義されたソフトウェアの特徴情報を格納する第1DBを有し、また、端末装置は自ら有するファイルの特徴情報を逐次取得して保持する第2DBを有する。監視装置は、ネットワークを介して検証要求と共に、上記第1DBに格納された特徴情報を端末装置へ送信する。端末装置では、第2DBを検索して上記特徴情報に関連するファイルの有無を検証し、検証結果を監視装置へ送信する。監視装置では受信した検証結果に基づいて、端末装置の脆弱性又はマルウェア感染状況を判断し、アクセス制御を実施し、被害の拡大を防止する。
【解決手段】 監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムにおいて、監視装置は、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルの特徴情報などを含んで定義されたソフトウェアの特徴情報を格納する第1DBを有し、また、端末装置は自ら有するファイルの特徴情報を逐次取得して保持する第2DBを有する。監視装置は、ネットワークを介して検証要求と共に、上記第1DBに格納された特徴情報を端末装置へ送信する。端末装置では、第2DBを検索して上記特徴情報に関連するファイルの有無を検証し、検証結果を監視装置へ送信する。監視装置では受信した検証結果に基づいて、端末装置の脆弱性又はマルウェア感染状況を判断し、アクセス制御を実施し、被害の拡大を防止する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ソフトウェア監視システムおよび監視方法に係り、さらに詳しくは、ネットワークに接続された端末装置の状態を監視装置で監視するシステムにおいて、端末装置が有するソフトウェア情報に基づいてセキュリティレベルの低い端末装置を検出するソフトウェア監視システム及び監視方法に関するものである。
【背景技術】
【0002】
複数の端末装置がネットワークに接続されて構成されるネットワークシステムにおいて、端末装置が有するソフトウェア情報を監視することによって、脆弱性の有無や、ウイルスの感染の有無等のソフトウェアの安全性を検証し、セキュリティレベルの低い端末装置を検出することが知られている。その検証結果に従って端末装置に対策を講じ、これによりネットワーク全体のセキュリティレベルを向上させることができる。
【0003】
セキュリティレベルの低い端末装置を発見するための技術としては、脆弱性検証処理方法や、ウイルスおよびワーム等(以下、単にマルウェアとも称する)感染検証処理方法によるものが知られている。
【0004】
前者の脆弱性検証処理に関しては、例えば、特開2003−271469号公報(特許文献1)に、検査コンソールが、ネットワークに接続されたクライアント装置であるコンピュータからファイル情報やレジストリ情報を収集して、クライアント装置の状況や脆弱性を検出する技術が開示されている。
【0005】
また、後者のマルウェア感染検証処理に関しては、例えば、特開2002−222094号公報(特許文献2)に、サーバが、複数のクライアントからウイルスの検出、消去に関する処理情報を収集して、ウイルス対策の実行指示と管理を一元的に行なう技術が開示されている。
【0006】
【特許文献1】特開2003−271469号公報
【特許文献2】特開2002−222094号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記のような従来の技術によってセキュリティレベルの低い端末装置を発見するには、脆弱性検証処理を実施するソフトウェアと、マルウェア感染検証処理を実施するソフトウェアの2つのソフトウェアを用意する必要がある。
【0008】
また、マルウェア感染検証処理においては、監視対象の端末装置が持つファイルを全て検索して処理するために多大な時間がかかり、かつ多くのリソースを消費する。更に、マルウェアの感染を検証するための処理に時間がかかることからマルウェアの二次的感染、破壊活動、情報漏洩などといった不正活動を助長することになり被害拡大の危険性が高くなる。
【0009】
本発明の目的は、ソフトウェアの安全性を検証して、セキュリティレベルの低い端末装置を検出することにある。
本発明は、より具体的には、脆弱性のあるソフトウェアを持つ端末装置、又はマルウェアに感染した端末装置を効率的に検出して、的確な対策を講じることができるソフトウェアの監視システム及び方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明にかかるソフトウェア監視システムは、監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムにおいて、監視装置は、システムで使用されるソフトウェアの特徴を含む特徴情報を格納する第1のデータベース(第1DB)と、少なくとも端末装置のソフトウェアを監視するための処理を行うサーバプログラムを実行する処理装置とを有し、端末装置は、自らが有するファイルに関する情報を取得して格納する第2のデータベース(第2DB)と、前記ファイルに関する情報を取得して該第2DBへ格納するため処理、及び監視装置からの検証要求に基づいて検証のための処理を行なう該エージェントプログラムを実行する処理装置を有し、監視装置は、サーバプログラムの実行により、対象とする端末装置に特徴情報と共に検証要求を送信し、端末装置は、検証要求を受信した後、エージェントプログラムの実行により第2DBを検索して特徴情報に関連するファイルの存在を検証して、検証結果を監視装置に送信し、監視装置は、サーバプログラムの実行により、受信した検証結果に基づいて端末装置のソフトウェアの状態を判断する処理を行う。
【0011】
また、このシステムは、更に、ネットワークに接続されたネットワーク制御装置を含み、ネットワーク制御装置は、アクセス制御に関する情報を登録するアクセス管理情報DBと、ネットワークに対するアクセス制御を行なうアクセス制御プログラムを実行する処理装置を備え、監視装置が、検証結果に基づく判断の処理した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信した時、アクセス制御プログラムは、アクセス制御指示を受信して、関連する端末装置に対する通信のアクセス制御を行なう。
好ましい例では、上記第1DBは、特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含む。
例えば、特徴情報として、ファイルの名前、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアのインストールによって書き換えられるレジストリ情報の1又はそれらの組合わせを含む。
監視装置のサーバプログラムは、また、検証結果に基づいて判断した後、端末装置に対して不具合なファイルの処置を含む対策支援を行なうための処理を実行する機能を有し、端末装置は、監視装置から対策支援の指示があった場合、対策支援に関する情報を表示装置に表示する。
本発明は、上記監視システムにおける監視装置としての構成、又は上記システムにおける監視装置で実行されるサーバプログラム、及び端末装置で実行されるエージェントプログラムについても新規な発明として把握される。
【0012】
本発明にかかるソフトウェアの監視方法は、監視装置によってネットワークに接続された端末装置のソフトウェアの状態を監視する方法において、監視装置では、ソフトウェアの特徴を含む特徴情報を第1DBに格納するステップと、端末装置では、自らが有するファイルに関する情報を取得して第2DBに格納するステップと、監視装置から端末装置に、特徴情報を伴ってソフトウェアの検証要求を送信するステップと、端末装置では、検証要求を受信した後、第2DBを検索して特徴情報に関連するファイルの存在を検証するステップと、端末装置から監視装置に、検証結果を送信するステップと、監視装置では、受信した検証結果に基づいて、端末装置のソフトウェアの状態を判断するステップと、を有する。
好ましい例では、監視装置は、検証結果に基づいて判断した後、端末装置に対して不具合なファイルの処置を含む対策支援情報を送信するステップと、端末装置では、対策支援情報を受信して対策の内容を表示装置に表示するステップとを含む。
また、一例として、前記対策支援情報は、端末装置に対するアクション、表示データ、送受信情報、ファイルパス等うちの少なくとも1つ又はそれらの組み合わせを含む。
【発明の効果】
【0013】
本発明によれば、監視装置からの要求に応じて、端末装置が取得したソフトウェア構成情報をチェックすることにより、比較的容易にセキュリティレベルの低い端末装置を検出することができ、またそれらの端末装置に対して的確な対策を講じることができる。また、従来の検証方法に比べて、高速に検証処理を行なうことができるため、二次感染を最小限に抑えることが可能となる。
【発明を実施するための最良の形態】
【0014】
以下、図面を用いて、本発明の一実施形態について説明する。
図1は、一実施形態によるソフトウェア監視システムのネットワーク構成図である。
このソフトウェア監視システムは、ローカルネットワーク50を介して、監視装置10と、複数の端末装置20と、及びネットワーク制御装置30、40とが互いに接続され、また、ネットワーク制御装置30は、更にインターネットなどのワールドエリアネットワーク60に接続されて構成される。
【0015】
各装置10〜40を構成するハードウェアについては、図2に示すように、実質的に同様のユニットを有して構成される。
即ち、監視装置10は、バス17に接続された、CPU11と、メモリ12と、通信装置13と、表示装置14と、入力装置15と、記憶装置16とを有して構成される。端末装置20は、パーソナルコンピュータ(PC)のようなクライアントであり、それぞれバス27に接続された、CPU21と、メモリ22と、通信装置23と、表示装置24と、入力装置25と、記憶装置26とを有して構成される。また、ネットワーク制御装置30は、バス37に接続された、CPU31と、メモリ32と、通信装置33と、表示装置34と、入力装置35と、記憶装置36と、通信装置38とを有して構成される。ネットワーク制御装置40は、バス47に接続された、CPU41と、メモリ42と、通信装置43と、表示装置44と、入力装置45と、記憶装置46とを有して構成される。
【0016】
次に、図3を参照して、各装置10〜40の機能、およびそれらに関連するソフトウェア情報について説明する。
【0017】
監視装置10は、ソフトウェアの制御情報等を格納するためのソフトウェア制御情報データベース(DB)110と、端末装置20の検証結果等を含む状態情報を格納する監視情報DB120と、ソフトウェア検索要求、検証結果、対策支援情報などの情報を送受信するデータ送受信部102と、それらを制御するサーバプログラム101を有する。尚、DB110、120は記憶装置16に形成される。
【0018】
ソフトウェア制御情報DB110は、マルウェア感染時に生成されるファイルの特徴情報を格納するマルウェア特徴情報111や、脆弱性の原因となるファイルの特徴情報を格納する脆弱性特徴情報112や、ライセンス制限などの理由により使用が制限されているソフトウェアを一意に特定することが可能なファイルの特徴情報を格納する使用制限情報113などを格納する。また、監視情報DB120は、端末装置20から収集された検証結果に関する情報を格納する。即ち、検証要求の応答として端末装置20から取得された、脆弱性在り又はマルウェア感染在りのファイルの特徴情報を、端末装置20の例えばIPアドレスやホスト名に対応させて格納する。
【0019】
ここで、特徴情報とは、ソフトウェアの種類やバージョンなどを特定するための情報であり、ファイルの名前やファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値に代表されるファイルを特定するための複数の情報を組み合わせた情報を言う。例えば、ウイルスに感染すると特定のファイルが生成されて、その時にハッシュ値が残る。また、脆弱性の在るソフトウェアには原因となる不具合のあるファイルが含まれており、インストール時にそのファイルのハッシュ値が残る。従ってこれらの特徴情報をキーにして,各端末装置20が持つ情報を検索すれば、脆弱性のあるファイル等を探し出せる。
【0020】
本実施例では、監視装置10のサーバプログラム101の実行により、端末装置20に収集された特徴情報を検索して脆弱性のあるファイルを検出して収集し、そのファイルに対して監視装置10から対策指示を行なう。即ち、監視装置10は、ローカルエリアネットワーク50に脆弱性などの問題を有する不適切な端末装置が接続されているか否かを検査するために、端末装置20に対して脆弱性などの問題を有するソフトウェアの保有状態を確認する検証要求を送信する。さらに、監視装置10は、検証要求に対する応答として、端末装置20から検証結果を収集し管理する。
【0021】
また、監視装置10は、端末装置20から取得した検証結果に基づきネットワーク制御装置30,40にアクセス制御要求を送信したり、端末装置20に対策支援情報を送信する。ここで対策支援情報とは、脆弱性やマルウェアを排除するプログラムや制御情報あるいは、脆弱性やマルウェアを排除する方法が記述されたデータ、及び注意喚起するための表示用データである。またネットワーク制御装置30,40は、受信したアクセス制御要求に従って、脆弱性の在る特定の端末装置20に対してアクセスを禁止するなどの制御を行なう。
【0022】
図5に、対策支援情報の例を示す。対策支援情報は、端末装置20に対するアクション、表示データ、送受信情報、ファイルパス、等々、図示のような情報を含む。端末装置20の表示装置24には、受信した対策支援情報が表示され、その表示に従って処置するように促される。
【0023】
端末装置20は、通常時は記憶装置26に記憶されたプログラムをCPU21で実行して所期の機能を実現している。本実施例においては、端末装置20は、端末装置20内のソフトウェアの特徴情報を格納するソフトウェア構成情報DB203と、監視装置10との間でソフトウェア検索要求、検証結果、対策支援情報などの情報を送受信するデータ送受信部201と、それらを制御するエージェントプログラム202を有する。尚、ソフトウェア構成情報DB203は記憶装置26内に形成される。
【0024】
図4に示すように、ソフトウェア構成情報DB203に格納されるソフトウェア特徴情報には、ファイル名、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアのインストールによって書き換えられるレジストリ情報等が含まれる。これらの情報の1又は複数の組合わせた情報によってDB203を検索することにより、該当するファイル等が捜し出される。
【0025】
エージェントプログラム202は、端末装置20における通常のプログラムの実行により生成されるファイルやソフトウェアに関する特徴情報を、リアルタイムで収集してソフトウェア構成情報DB203に登録する機能を有する。更に、監視装置10のサーバプログラム101からの検証要求に従って、このエージェントプログラム202を実行させ、ソフトウェア構成情報DB203を検索して、脆弱性を有するソフトウェアやマルウェア感染時に生成されるファイルを捜し出し、その検証結果を監視装置10へ送信する機能を有する。さらに、エージェントプログラム202は、監視装置10から送信される対策支援情報に基づき対策を実施する。例えば、表示装置24に表示される対策支援情報に従って、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルを認識して、これらのファイルを記憶装置26から削除したり、検疫することができる。
【0026】
このように、通常のプログラムの実行時に、エージェントプログラム202の実行によってファイルやソフトウェアに関する特徴情報をリアルタイムで収集してソフトウェア構成情報DB203に収集しておくことにより、監視装置10からの検証要求に対してDB203を検索して、脆弱性の在るファイル等を即座に求めて応答することができる。これにより短時間で脆弱性検証処理やマルウェア感染検証処理を実施できる。
【0027】
ネットワーク制御装置30は、ローカルエリアネットワーク50に接続された不適切な端末装置による被害拡大を防止するために、アクセス制御や端末装置のネットワーク通信遮断などを実施する。
図3に示すように、ネットワーク制御装置30は、アクセス管理情報DB304と、データ送受信部302と、データ送受信部301と、それらを制御するアクセス制御プログラム303を有する。
【0028】
アクセス管理情報DB304は、端末装置20のアクセス制御に関する情報を格納する。データ送受信部302は、監視装置10から送信されるアクセス制御指示情報やアクセス管理情報を送受信すると共に、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データや、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データなどを送受信する。データ送受信部301は、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データや、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データなどを送受信する。
【0029】
ネットワーク制御装置40は、ローカルエリアネットワーク50に接続された不適切な端末装置による被害拡大を防止するために、アクセス制御などを実施する。
図3に示すように、ネットワーク制御装置40は、端末装置のアクセス制御に関する情報が格納されるアクセス管理情報DB403と、監視装置10からアクセス制御指示情報や、アクセス管理情報や、ローカルエリアネットワーク50に接続している端末装置の送信する通信データなどを送受信するデータ送受信部401と、それらを制御するアクセス制御プログラム402を有する。
【0030】
次に、図6を参照して、このソフトウェア監視システムの動作の概略を説明する。
最初に各端末装置20は、エージェントプログラム202の実行によって、自ら保有するファイルの情報をリアルタイムでソフトウェア構成情報DB203に記録する(ST01)。並行して又は逐次、監視装置10は、ソフトウェアを特定するためのソフトウェア特徴情報(マルウェア特徴情報および脆弱性情報)、及びソフトウェア検出時の処理を定義した情報(使用制限情報)を、ソフトウェア制御情報DB110に記録する(ST02)。
【0031】
次に、監視装置10は、サーバプログラム101の実行の下、端末装置20に対してソフトウェア検証要求を送信する(ST1)。この検証要求による検査は、例えば毎日午前0時10分のように一定時間毎に実行される。端末装置20はソフトウェア検証要求を受信すると、ソフトウェア構成情報DB203を検索して、上記特徴情報によって指定されたソフトウェア情報を格納しているかを検証し、その検証結果を監視装置10に送信する(ST2)。
【0032】
監視装置10は,各端末装置20から送信される検証結果を受信し、必要に応じて該当する端末装置20に対して対策支援情報を送信する(ST3)。更に、監視装置10は検証結果に基づき、必要に応じて該当するネットワーク制御装置30、40に対して、アクセス制御指示を送信する(ST4)。アクセス制御指示を受信したネットワーク制御装置30、40は、端末装置20のネットワーク通信のアクセス制御を実施する。アクセス制御指示に基づいて例えば、ネットワークの通信遮断を行なう。監視装置10は端末装置20に対してもアクセス制御指示を送信して同様の処理を実施することがある。
【0033】
次に、図7を参照して、ソフトウェア監視システムにおける各装置の処理動作について説明する。
まず、監視装置10はネットワークに接続された端末装置20を監視するために、サーバプログラム101を起動する(S001)。そして監視装置10はソフトウェア特徴情報を定義する(S002)。
ここでは、データハッシュ値=“2B9327351AC421E2B67E13A18A31F0BF72EA2323”に一致するファイル1をマルウェア感染時に生成されるファイルとして、ファイル名=“system.dll”、データハッシュ値=“481EA981C7E8F546AE12143EE7D08011BF9F3728”に一致するファイル2を脆弱性のある古いシステムファイルと仮定する。
【0034】
次に、監視装置10はソフトウェアが検出された場合の動作などをポリシー情報として定義する(S003)。ポリシー情報として、例えばS002で定義されたファイル1が検出された端末装置のネットワーク接続を切断し、ファイル2が検出された端末装置にはファイルの更新を促すメッセージを表示するように定義するものとする。
【0035】
サーバプログラム101は、ローカルエリアネットワーク50に接続されている監視対象となる端末装置20の状態情報の一覧を表示する(S004)。表示装置14には、例えば、監視対象となる端末装置20のIPアドレスやホスト名と共に、監視情報DB120に格納して蓄積されたその端末装置20に関する脆弱性保有状態やマルウェア感染状態に関する検証結果の情報が表示される。システム保守員は、表示内容から判断して監視対象とする端末装置を選択して入力装置15から指定する。
【0036】
次に、サーバプログラム101はソフトウェア検証要求を作成し、データ送受信部102を介してそれを監視対象の端末装置20に送信する(S005)。このソフトウェア検証要求は、マルウェア感染時に生成されるファイルや脆弱性を有するソフトウェアや保安上の問題により使用を制限したいソフトウェアなど、セキュリティを確保する上で不適切なソフトウェアの保有状態を検証するために送信されるものである。この検証要求には、ソフトウェア制御情報DB110から取得したマルウェア特徴情報111や脆弱性特徴情報112や使用制限情報113などのソフトウェア特徴情報を伴って送信される。この例では、ソフトウェア検証要求に、上記ファイル1とファイル2を検索するための情報が付加されて送信される。
【0037】
一方、端末装置20では、端末装置20が起動されると、その直後にエージェントプログラム202を起動する(S006)。そして、エージェントプログラム202は、端末装置の保有するファイルの最新の特徴情報を取得して、ソフトウェア構成情報DB203に格納する(S007)。DB203に格納されるソフトウェア構成情報に関しては、例えば、マルウェア感染したある端末装置20は、マルウェア感染時に生成されたファイル(ファイル名=“malicious.exe”、”データハッシュ値=“2B9327351AC421E2B67E13A18A31F0BF72EA2323”)も含む情報をDB203に格納している。また、脆弱性のある古いソフトウェアを使用しているある端末装置20のエージェントプログラム202は、ファイル(ファイル名=“system.dll”、データハッシュ値=“481EA981C7E8F546AE12143EE7D08011BF9F3728”)も含む情報をDB203に格納している(S007)。
【0038】
端末装置20は監視装置10から送信される、ファイル1およびファイル2に関する特徴情報を含むソフトウェア検証要求を受信すると(S008)、エージェントプログラム202に処理を引き継ぐ。エージェントプログラム202は、ソフトウェア検証要求に基づいてソフトウェア構成情報DB203を検索して、ファイル1およびファイル2と一致するファイルがDB203に存在するか否かを判定する(S009)。
【0039】
ソフトウェア構成情報DB203の検索した結果、ファイル1又はファイル2の存在を検知すると、エージェントプログラム202は、その検証結果即ちファイル1又はファイル2の情報を含むソフトウェア構成情報を、端末装置20の状態情報(即ちIPアドレス及びホスト名を含む情報)と共にデータ送受信部201を経由して監視装置10に送信する(S010)。
【0040】
監視装置10は、監視対象の端末装置20から送信された検証結果の情報を受信すると(S011)、サーバプログラム101は、取得した検証結果からポリシーに基づいて判断する(S012)。例えば、検証結果と、それを取得した端末装置の状態、及び予め策定されたポリシーを表示装置14に表示し、システム管理者によってアクセス制御、脆弱性除去、マルウェア対策、ソフトウェア使用制限などの対策手段が決定されて、対策のための指示が入力装置15から入力される。対策としては、例えばファイル1を保有していた端末装置20に対してはネットワーク接続の切断が指示される。またファイル2を保有していたある端末装置20に対してはソフトウェアの更新を要請するためのメッセージの表示が指示される。そして、サーバプログラム101は、データ送受信部102を経由して、ネットワーク制御装置30、40に対してアクセス制御指示を送信する(S013)。この場合の指示とは、例えば端末装置20のネットワーク接続を切断するための指示である。
【0041】
ネットワーク制御装置30では、監視装置10より送信されたアクセス制御指示を、データ送受信部302を介して受信する(S014)。同様にして、ネットワーク制御装置40でも、データ送受信部401を介して、このアクセス制御指示を受信することがある。ネットワーク制御装置30のアクセス制御プログラム303は、受信したアクセス制御指示をアクセス管理情報DB304に反映し、端末装置20のネットワーク接続切断の処理を実施する(S015)。
【0042】
また、サーバプログラム101は、データ送受信部102を介して特定の端末装置20に対策支援情報を送信する(S016)。この対策支援情報としては、脆弱性除去、マルウェア対策、ソフトウェア使用制限の強制実行、及び注意喚起や対策手法のための情報が含まれる。
【0043】
特定の端末装置20は、送信された対策支援情報を受信して(S017)、エージェントプログラム202は、その対策支援情報に関する内容を表示装置24に表示する。表示内容としては、例えば古くなったソフトウェアのバージョンを更新する旨を促すメッセージである。その表示に従って、その端末装置20の利用者は対策を講じる(S018)。即ち、指摘された古いソフトウェアのバージョンを最新のものに更新する。
【0044】
対策が済むと、エージェントプログラム202は、監視装置10に対して、対策結果、即ちメッセージの閲覧完了通知を送信する(S019)。監視装置10のサーバプログラム101は、対策の対象となった端末装置20から対策結果を受信すると(S020)、その対策結果を監視情報DB120に格納して端末装置の状態情報を更新する(S021)。かつ更新された端末装置20の状態情報を含む一覧を表示装置14に表示する。この表示を見て、システム管理者は、脆弱性やマルウェアに感染した端末装置の状況、及びそれらの端末装置に対する対策の状況を把握することができる。
【0045】
上記したように本実施形態によれば、監視装置は、端末装置に内在する脆弱性、利用規則にそぐわないソフトウェアの利用行為、ならびにマルウェア感染状況を検証できる。また、端末装置は自ら保有するファイルの情報を逐次取得してソフトウェア構成情報DBに格納しておくので、監視装置からの検証要求に対して即このソフトウェア構成情報DBを検索することにより、指定された特徴情報に合致したファイルの存否を高速に検証することができる。脆弱性対策やマルウェア対策についてはネットワーク制御装置に対するアクセス制御と連携させることにより、マルウェアの二次感染に対する危険性を低減させることが可能となる。
【図面の簡単な説明】
【0046】
【図1】一実施形態におけるソフトウェア監視システムのネットワーク構成を示す図。
【図2】図1のソフトウェア監視システムを構成する各装置のハードウェアの構成例を示す図。
【図3】図1のソフトウェア監視システムを構成する各装置のソフトウェアの構成例を示す図。
【図4】一実施形態によるソフトウェア監視システムにおけるソフトウェア特徴情報の構成を示す図。
【図5】一実施形態によるソフトウェア監視システムにおける対策支援情報の構成を示す図。
【図6】一実施形態によるソフトウェア監視システムの全体動作の概略を説明するための図。
【図7】一実施形態によるソフトウェア監視システムにおける各装置の動作を説明するためのフロー図。
【符号の説明】
【0047】
10:監視装置、 11、21,31,41:CPU、
12、22,32,42:メモリ、 13、23,33,38,43:通信装置、
14、24,34,44:表示装置、 15、5,35,45:入力装置、
16、26,36,46:記憶装置、 17、27,37,47:バス、
20:端末装置、 30:ネットワーク制御装置、
40:ネットワーク制御装置、 50:ローカルエリアネットワーク、
60:ワールドエリアネットワーク、 101:サーバプログラム、
102:データ送受信部、 110:ソフトウェア制御情報DB、
111:マルウェア特徴情報、 112:脆弱性特徴情報、
113:使用制限情報、 120:監視情報DB、
201:データ送受信部、 202:エージェントプログラム、
203:ソフトウェア構成情報DB、 301、302:データ送受信部、
303:アクセス制御プログラム、 304:アクセス管理情報DB、
401:データ送受信部、 402:アクセス制御プログラム、
403:アクセス管理情報DB。
【技術分野】
【0001】
本発明は、ソフトウェア監視システムおよび監視方法に係り、さらに詳しくは、ネットワークに接続された端末装置の状態を監視装置で監視するシステムにおいて、端末装置が有するソフトウェア情報に基づいてセキュリティレベルの低い端末装置を検出するソフトウェア監視システム及び監視方法に関するものである。
【背景技術】
【0002】
複数の端末装置がネットワークに接続されて構成されるネットワークシステムにおいて、端末装置が有するソフトウェア情報を監視することによって、脆弱性の有無や、ウイルスの感染の有無等のソフトウェアの安全性を検証し、セキュリティレベルの低い端末装置を検出することが知られている。その検証結果に従って端末装置に対策を講じ、これによりネットワーク全体のセキュリティレベルを向上させることができる。
【0003】
セキュリティレベルの低い端末装置を発見するための技術としては、脆弱性検証処理方法や、ウイルスおよびワーム等(以下、単にマルウェアとも称する)感染検証処理方法によるものが知られている。
【0004】
前者の脆弱性検証処理に関しては、例えば、特開2003−271469号公報(特許文献1)に、検査コンソールが、ネットワークに接続されたクライアント装置であるコンピュータからファイル情報やレジストリ情報を収集して、クライアント装置の状況や脆弱性を検出する技術が開示されている。
【0005】
また、後者のマルウェア感染検証処理に関しては、例えば、特開2002−222094号公報(特許文献2)に、サーバが、複数のクライアントからウイルスの検出、消去に関する処理情報を収集して、ウイルス対策の実行指示と管理を一元的に行なう技術が開示されている。
【0006】
【特許文献1】特開2003−271469号公報
【特許文献2】特開2002−222094号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
上記のような従来の技術によってセキュリティレベルの低い端末装置を発見するには、脆弱性検証処理を実施するソフトウェアと、マルウェア感染検証処理を実施するソフトウェアの2つのソフトウェアを用意する必要がある。
【0008】
また、マルウェア感染検証処理においては、監視対象の端末装置が持つファイルを全て検索して処理するために多大な時間がかかり、かつ多くのリソースを消費する。更に、マルウェアの感染を検証するための処理に時間がかかることからマルウェアの二次的感染、破壊活動、情報漏洩などといった不正活動を助長することになり被害拡大の危険性が高くなる。
【0009】
本発明の目的は、ソフトウェアの安全性を検証して、セキュリティレベルの低い端末装置を検出することにある。
本発明は、より具体的には、脆弱性のあるソフトウェアを持つ端末装置、又はマルウェアに感染した端末装置を効率的に検出して、的確な対策を講じることができるソフトウェアの監視システム及び方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明にかかるソフトウェア監視システムは、監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムにおいて、監視装置は、システムで使用されるソフトウェアの特徴を含む特徴情報を格納する第1のデータベース(第1DB)と、少なくとも端末装置のソフトウェアを監視するための処理を行うサーバプログラムを実行する処理装置とを有し、端末装置は、自らが有するファイルに関する情報を取得して格納する第2のデータベース(第2DB)と、前記ファイルに関する情報を取得して該第2DBへ格納するため処理、及び監視装置からの検証要求に基づいて検証のための処理を行なう該エージェントプログラムを実行する処理装置を有し、監視装置は、サーバプログラムの実行により、対象とする端末装置に特徴情報と共に検証要求を送信し、端末装置は、検証要求を受信した後、エージェントプログラムの実行により第2DBを検索して特徴情報に関連するファイルの存在を検証して、検証結果を監視装置に送信し、監視装置は、サーバプログラムの実行により、受信した検証結果に基づいて端末装置のソフトウェアの状態を判断する処理を行う。
【0011】
また、このシステムは、更に、ネットワークに接続されたネットワーク制御装置を含み、ネットワーク制御装置は、アクセス制御に関する情報を登録するアクセス管理情報DBと、ネットワークに対するアクセス制御を行なうアクセス制御プログラムを実行する処理装置を備え、監視装置が、検証結果に基づく判断の処理した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信した時、アクセス制御プログラムは、アクセス制御指示を受信して、関連する端末装置に対する通信のアクセス制御を行なう。
好ましい例では、上記第1DBは、特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含む。
例えば、特徴情報として、ファイルの名前、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアのインストールによって書き換えられるレジストリ情報の1又はそれらの組合わせを含む。
監視装置のサーバプログラムは、また、検証結果に基づいて判断した後、端末装置に対して不具合なファイルの処置を含む対策支援を行なうための処理を実行する機能を有し、端末装置は、監視装置から対策支援の指示があった場合、対策支援に関する情報を表示装置に表示する。
本発明は、上記監視システムにおける監視装置としての構成、又は上記システムにおける監視装置で実行されるサーバプログラム、及び端末装置で実行されるエージェントプログラムについても新規な発明として把握される。
【0012】
本発明にかかるソフトウェアの監視方法は、監視装置によってネットワークに接続された端末装置のソフトウェアの状態を監視する方法において、監視装置では、ソフトウェアの特徴を含む特徴情報を第1DBに格納するステップと、端末装置では、自らが有するファイルに関する情報を取得して第2DBに格納するステップと、監視装置から端末装置に、特徴情報を伴ってソフトウェアの検証要求を送信するステップと、端末装置では、検証要求を受信した後、第2DBを検索して特徴情報に関連するファイルの存在を検証するステップと、端末装置から監視装置に、検証結果を送信するステップと、監視装置では、受信した検証結果に基づいて、端末装置のソフトウェアの状態を判断するステップと、を有する。
好ましい例では、監視装置は、検証結果に基づいて判断した後、端末装置に対して不具合なファイルの処置を含む対策支援情報を送信するステップと、端末装置では、対策支援情報を受信して対策の内容を表示装置に表示するステップとを含む。
また、一例として、前記対策支援情報は、端末装置に対するアクション、表示データ、送受信情報、ファイルパス等うちの少なくとも1つ又はそれらの組み合わせを含む。
【発明の効果】
【0013】
本発明によれば、監視装置からの要求に応じて、端末装置が取得したソフトウェア構成情報をチェックすることにより、比較的容易にセキュリティレベルの低い端末装置を検出することができ、またそれらの端末装置に対して的確な対策を講じることができる。また、従来の検証方法に比べて、高速に検証処理を行なうことができるため、二次感染を最小限に抑えることが可能となる。
【発明を実施するための最良の形態】
【0014】
以下、図面を用いて、本発明の一実施形態について説明する。
図1は、一実施形態によるソフトウェア監視システムのネットワーク構成図である。
このソフトウェア監視システムは、ローカルネットワーク50を介して、監視装置10と、複数の端末装置20と、及びネットワーク制御装置30、40とが互いに接続され、また、ネットワーク制御装置30は、更にインターネットなどのワールドエリアネットワーク60に接続されて構成される。
【0015】
各装置10〜40を構成するハードウェアについては、図2に示すように、実質的に同様のユニットを有して構成される。
即ち、監視装置10は、バス17に接続された、CPU11と、メモリ12と、通信装置13と、表示装置14と、入力装置15と、記憶装置16とを有して構成される。端末装置20は、パーソナルコンピュータ(PC)のようなクライアントであり、それぞれバス27に接続された、CPU21と、メモリ22と、通信装置23と、表示装置24と、入力装置25と、記憶装置26とを有して構成される。また、ネットワーク制御装置30は、バス37に接続された、CPU31と、メモリ32と、通信装置33と、表示装置34と、入力装置35と、記憶装置36と、通信装置38とを有して構成される。ネットワーク制御装置40は、バス47に接続された、CPU41と、メモリ42と、通信装置43と、表示装置44と、入力装置45と、記憶装置46とを有して構成される。
【0016】
次に、図3を参照して、各装置10〜40の機能、およびそれらに関連するソフトウェア情報について説明する。
【0017】
監視装置10は、ソフトウェアの制御情報等を格納するためのソフトウェア制御情報データベース(DB)110と、端末装置20の検証結果等を含む状態情報を格納する監視情報DB120と、ソフトウェア検索要求、検証結果、対策支援情報などの情報を送受信するデータ送受信部102と、それらを制御するサーバプログラム101を有する。尚、DB110、120は記憶装置16に形成される。
【0018】
ソフトウェア制御情報DB110は、マルウェア感染時に生成されるファイルの特徴情報を格納するマルウェア特徴情報111や、脆弱性の原因となるファイルの特徴情報を格納する脆弱性特徴情報112や、ライセンス制限などの理由により使用が制限されているソフトウェアを一意に特定することが可能なファイルの特徴情報を格納する使用制限情報113などを格納する。また、監視情報DB120は、端末装置20から収集された検証結果に関する情報を格納する。即ち、検証要求の応答として端末装置20から取得された、脆弱性在り又はマルウェア感染在りのファイルの特徴情報を、端末装置20の例えばIPアドレスやホスト名に対応させて格納する。
【0019】
ここで、特徴情報とは、ソフトウェアの種類やバージョンなどを特定するための情報であり、ファイルの名前やファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値に代表されるファイルを特定するための複数の情報を組み合わせた情報を言う。例えば、ウイルスに感染すると特定のファイルが生成されて、その時にハッシュ値が残る。また、脆弱性の在るソフトウェアには原因となる不具合のあるファイルが含まれており、インストール時にそのファイルのハッシュ値が残る。従ってこれらの特徴情報をキーにして,各端末装置20が持つ情報を検索すれば、脆弱性のあるファイル等を探し出せる。
【0020】
本実施例では、監視装置10のサーバプログラム101の実行により、端末装置20に収集された特徴情報を検索して脆弱性のあるファイルを検出して収集し、そのファイルに対して監視装置10から対策指示を行なう。即ち、監視装置10は、ローカルエリアネットワーク50に脆弱性などの問題を有する不適切な端末装置が接続されているか否かを検査するために、端末装置20に対して脆弱性などの問題を有するソフトウェアの保有状態を確認する検証要求を送信する。さらに、監視装置10は、検証要求に対する応答として、端末装置20から検証結果を収集し管理する。
【0021】
また、監視装置10は、端末装置20から取得した検証結果に基づきネットワーク制御装置30,40にアクセス制御要求を送信したり、端末装置20に対策支援情報を送信する。ここで対策支援情報とは、脆弱性やマルウェアを排除するプログラムや制御情報あるいは、脆弱性やマルウェアを排除する方法が記述されたデータ、及び注意喚起するための表示用データである。またネットワーク制御装置30,40は、受信したアクセス制御要求に従って、脆弱性の在る特定の端末装置20に対してアクセスを禁止するなどの制御を行なう。
【0022】
図5に、対策支援情報の例を示す。対策支援情報は、端末装置20に対するアクション、表示データ、送受信情報、ファイルパス、等々、図示のような情報を含む。端末装置20の表示装置24には、受信した対策支援情報が表示され、その表示に従って処置するように促される。
【0023】
端末装置20は、通常時は記憶装置26に記憶されたプログラムをCPU21で実行して所期の機能を実現している。本実施例においては、端末装置20は、端末装置20内のソフトウェアの特徴情報を格納するソフトウェア構成情報DB203と、監視装置10との間でソフトウェア検索要求、検証結果、対策支援情報などの情報を送受信するデータ送受信部201と、それらを制御するエージェントプログラム202を有する。尚、ソフトウェア構成情報DB203は記憶装置26内に形成される。
【0024】
図4に示すように、ソフトウェア構成情報DB203に格納されるソフトウェア特徴情報には、ファイル名、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアのインストールによって書き換えられるレジストリ情報等が含まれる。これらの情報の1又は複数の組合わせた情報によってDB203を検索することにより、該当するファイル等が捜し出される。
【0025】
エージェントプログラム202は、端末装置20における通常のプログラムの実行により生成されるファイルやソフトウェアに関する特徴情報を、リアルタイムで収集してソフトウェア構成情報DB203に登録する機能を有する。更に、監視装置10のサーバプログラム101からの検証要求に従って、このエージェントプログラム202を実行させ、ソフトウェア構成情報DB203を検索して、脆弱性を有するソフトウェアやマルウェア感染時に生成されるファイルを捜し出し、その検証結果を監視装置10へ送信する機能を有する。さらに、エージェントプログラム202は、監視装置10から送信される対策支援情報に基づき対策を実施する。例えば、表示装置24に表示される対策支援情報に従って、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルを認識して、これらのファイルを記憶装置26から削除したり、検疫することができる。
【0026】
このように、通常のプログラムの実行時に、エージェントプログラム202の実行によってファイルやソフトウェアに関する特徴情報をリアルタイムで収集してソフトウェア構成情報DB203に収集しておくことにより、監視装置10からの検証要求に対してDB203を検索して、脆弱性の在るファイル等を即座に求めて応答することができる。これにより短時間で脆弱性検証処理やマルウェア感染検証処理を実施できる。
【0027】
ネットワーク制御装置30は、ローカルエリアネットワーク50に接続された不適切な端末装置による被害拡大を防止するために、アクセス制御や端末装置のネットワーク通信遮断などを実施する。
図3に示すように、ネットワーク制御装置30は、アクセス管理情報DB304と、データ送受信部302と、データ送受信部301と、それらを制御するアクセス制御プログラム303を有する。
【0028】
アクセス管理情報DB304は、端末装置20のアクセス制御に関する情報を格納する。データ送受信部302は、監視装置10から送信されるアクセス制御指示情報やアクセス管理情報を送受信すると共に、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データや、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データなどを送受信する。データ送受信部301は、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データや、ローカルエリアネットワーク50からワイドエリアネットワーク60に向けた通信データなどを送受信する。
【0029】
ネットワーク制御装置40は、ローカルエリアネットワーク50に接続された不適切な端末装置による被害拡大を防止するために、アクセス制御などを実施する。
図3に示すように、ネットワーク制御装置40は、端末装置のアクセス制御に関する情報が格納されるアクセス管理情報DB403と、監視装置10からアクセス制御指示情報や、アクセス管理情報や、ローカルエリアネットワーク50に接続している端末装置の送信する通信データなどを送受信するデータ送受信部401と、それらを制御するアクセス制御プログラム402を有する。
【0030】
次に、図6を参照して、このソフトウェア監視システムの動作の概略を説明する。
最初に各端末装置20は、エージェントプログラム202の実行によって、自ら保有するファイルの情報をリアルタイムでソフトウェア構成情報DB203に記録する(ST01)。並行して又は逐次、監視装置10は、ソフトウェアを特定するためのソフトウェア特徴情報(マルウェア特徴情報および脆弱性情報)、及びソフトウェア検出時の処理を定義した情報(使用制限情報)を、ソフトウェア制御情報DB110に記録する(ST02)。
【0031】
次に、監視装置10は、サーバプログラム101の実行の下、端末装置20に対してソフトウェア検証要求を送信する(ST1)。この検証要求による検査は、例えば毎日午前0時10分のように一定時間毎に実行される。端末装置20はソフトウェア検証要求を受信すると、ソフトウェア構成情報DB203を検索して、上記特徴情報によって指定されたソフトウェア情報を格納しているかを検証し、その検証結果を監視装置10に送信する(ST2)。
【0032】
監視装置10は,各端末装置20から送信される検証結果を受信し、必要に応じて該当する端末装置20に対して対策支援情報を送信する(ST3)。更に、監視装置10は検証結果に基づき、必要に応じて該当するネットワーク制御装置30、40に対して、アクセス制御指示を送信する(ST4)。アクセス制御指示を受信したネットワーク制御装置30、40は、端末装置20のネットワーク通信のアクセス制御を実施する。アクセス制御指示に基づいて例えば、ネットワークの通信遮断を行なう。監視装置10は端末装置20に対してもアクセス制御指示を送信して同様の処理を実施することがある。
【0033】
次に、図7を参照して、ソフトウェア監視システムにおける各装置の処理動作について説明する。
まず、監視装置10はネットワークに接続された端末装置20を監視するために、サーバプログラム101を起動する(S001)。そして監視装置10はソフトウェア特徴情報を定義する(S002)。
ここでは、データハッシュ値=“2B9327351AC421E2B67E13A18A31F0BF72EA2323”に一致するファイル1をマルウェア感染時に生成されるファイルとして、ファイル名=“system.dll”、データハッシュ値=“481EA981C7E8F546AE12143EE7D08011BF9F3728”に一致するファイル2を脆弱性のある古いシステムファイルと仮定する。
【0034】
次に、監視装置10はソフトウェアが検出された場合の動作などをポリシー情報として定義する(S003)。ポリシー情報として、例えばS002で定義されたファイル1が検出された端末装置のネットワーク接続を切断し、ファイル2が検出された端末装置にはファイルの更新を促すメッセージを表示するように定義するものとする。
【0035】
サーバプログラム101は、ローカルエリアネットワーク50に接続されている監視対象となる端末装置20の状態情報の一覧を表示する(S004)。表示装置14には、例えば、監視対象となる端末装置20のIPアドレスやホスト名と共に、監視情報DB120に格納して蓄積されたその端末装置20に関する脆弱性保有状態やマルウェア感染状態に関する検証結果の情報が表示される。システム保守員は、表示内容から判断して監視対象とする端末装置を選択して入力装置15から指定する。
【0036】
次に、サーバプログラム101はソフトウェア検証要求を作成し、データ送受信部102を介してそれを監視対象の端末装置20に送信する(S005)。このソフトウェア検証要求は、マルウェア感染時に生成されるファイルや脆弱性を有するソフトウェアや保安上の問題により使用を制限したいソフトウェアなど、セキュリティを確保する上で不適切なソフトウェアの保有状態を検証するために送信されるものである。この検証要求には、ソフトウェア制御情報DB110から取得したマルウェア特徴情報111や脆弱性特徴情報112や使用制限情報113などのソフトウェア特徴情報を伴って送信される。この例では、ソフトウェア検証要求に、上記ファイル1とファイル2を検索するための情報が付加されて送信される。
【0037】
一方、端末装置20では、端末装置20が起動されると、その直後にエージェントプログラム202を起動する(S006)。そして、エージェントプログラム202は、端末装置の保有するファイルの最新の特徴情報を取得して、ソフトウェア構成情報DB203に格納する(S007)。DB203に格納されるソフトウェア構成情報に関しては、例えば、マルウェア感染したある端末装置20は、マルウェア感染時に生成されたファイル(ファイル名=“malicious.exe”、”データハッシュ値=“2B9327351AC421E2B67E13A18A31F0BF72EA2323”)も含む情報をDB203に格納している。また、脆弱性のある古いソフトウェアを使用しているある端末装置20のエージェントプログラム202は、ファイル(ファイル名=“system.dll”、データハッシュ値=“481EA981C7E8F546AE12143EE7D08011BF9F3728”)も含む情報をDB203に格納している(S007)。
【0038】
端末装置20は監視装置10から送信される、ファイル1およびファイル2に関する特徴情報を含むソフトウェア検証要求を受信すると(S008)、エージェントプログラム202に処理を引き継ぐ。エージェントプログラム202は、ソフトウェア検証要求に基づいてソフトウェア構成情報DB203を検索して、ファイル1およびファイル2と一致するファイルがDB203に存在するか否かを判定する(S009)。
【0039】
ソフトウェア構成情報DB203の検索した結果、ファイル1又はファイル2の存在を検知すると、エージェントプログラム202は、その検証結果即ちファイル1又はファイル2の情報を含むソフトウェア構成情報を、端末装置20の状態情報(即ちIPアドレス及びホスト名を含む情報)と共にデータ送受信部201を経由して監視装置10に送信する(S010)。
【0040】
監視装置10は、監視対象の端末装置20から送信された検証結果の情報を受信すると(S011)、サーバプログラム101は、取得した検証結果からポリシーに基づいて判断する(S012)。例えば、検証結果と、それを取得した端末装置の状態、及び予め策定されたポリシーを表示装置14に表示し、システム管理者によってアクセス制御、脆弱性除去、マルウェア対策、ソフトウェア使用制限などの対策手段が決定されて、対策のための指示が入力装置15から入力される。対策としては、例えばファイル1を保有していた端末装置20に対してはネットワーク接続の切断が指示される。またファイル2を保有していたある端末装置20に対してはソフトウェアの更新を要請するためのメッセージの表示が指示される。そして、サーバプログラム101は、データ送受信部102を経由して、ネットワーク制御装置30、40に対してアクセス制御指示を送信する(S013)。この場合の指示とは、例えば端末装置20のネットワーク接続を切断するための指示である。
【0041】
ネットワーク制御装置30では、監視装置10より送信されたアクセス制御指示を、データ送受信部302を介して受信する(S014)。同様にして、ネットワーク制御装置40でも、データ送受信部401を介して、このアクセス制御指示を受信することがある。ネットワーク制御装置30のアクセス制御プログラム303は、受信したアクセス制御指示をアクセス管理情報DB304に反映し、端末装置20のネットワーク接続切断の処理を実施する(S015)。
【0042】
また、サーバプログラム101は、データ送受信部102を介して特定の端末装置20に対策支援情報を送信する(S016)。この対策支援情報としては、脆弱性除去、マルウェア対策、ソフトウェア使用制限の強制実行、及び注意喚起や対策手法のための情報が含まれる。
【0043】
特定の端末装置20は、送信された対策支援情報を受信して(S017)、エージェントプログラム202は、その対策支援情報に関する内容を表示装置24に表示する。表示内容としては、例えば古くなったソフトウェアのバージョンを更新する旨を促すメッセージである。その表示に従って、その端末装置20の利用者は対策を講じる(S018)。即ち、指摘された古いソフトウェアのバージョンを最新のものに更新する。
【0044】
対策が済むと、エージェントプログラム202は、監視装置10に対して、対策結果、即ちメッセージの閲覧完了通知を送信する(S019)。監視装置10のサーバプログラム101は、対策の対象となった端末装置20から対策結果を受信すると(S020)、その対策結果を監視情報DB120に格納して端末装置の状態情報を更新する(S021)。かつ更新された端末装置20の状態情報を含む一覧を表示装置14に表示する。この表示を見て、システム管理者は、脆弱性やマルウェアに感染した端末装置の状況、及びそれらの端末装置に対する対策の状況を把握することができる。
【0045】
上記したように本実施形態によれば、監視装置は、端末装置に内在する脆弱性、利用規則にそぐわないソフトウェアの利用行為、ならびにマルウェア感染状況を検証できる。また、端末装置は自ら保有するファイルの情報を逐次取得してソフトウェア構成情報DBに格納しておくので、監視装置からの検証要求に対して即このソフトウェア構成情報DBを検索することにより、指定された特徴情報に合致したファイルの存否を高速に検証することができる。脆弱性対策やマルウェア対策についてはネットワーク制御装置に対するアクセス制御と連携させることにより、マルウェアの二次感染に対する危険性を低減させることが可能となる。
【図面の簡単な説明】
【0046】
【図1】一実施形態におけるソフトウェア監視システムのネットワーク構成を示す図。
【図2】図1のソフトウェア監視システムを構成する各装置のハードウェアの構成例を示す図。
【図3】図1のソフトウェア監視システムを構成する各装置のソフトウェアの構成例を示す図。
【図4】一実施形態によるソフトウェア監視システムにおけるソフトウェア特徴情報の構成を示す図。
【図5】一実施形態によるソフトウェア監視システムにおける対策支援情報の構成を示す図。
【図6】一実施形態によるソフトウェア監視システムの全体動作の概略を説明するための図。
【図7】一実施形態によるソフトウェア監視システムにおける各装置の動作を説明するためのフロー図。
【符号の説明】
【0047】
10:監視装置、 11、21,31,41:CPU、
12、22,32,42:メモリ、 13、23,33,38,43:通信装置、
14、24,34,44:表示装置、 15、5,35,45:入力装置、
16、26,36,46:記憶装置、 17、27,37,47:バス、
20:端末装置、 30:ネットワーク制御装置、
40:ネットワーク制御装置、 50:ローカルエリアネットワーク、
60:ワールドエリアネットワーク、 101:サーバプログラム、
102:データ送受信部、 110:ソフトウェア制御情報DB、
111:マルウェア特徴情報、 112:脆弱性特徴情報、
113:使用制限情報、 120:監視情報DB、
201:データ送受信部、 202:エージェントプログラム、
203:ソフトウェア構成情報DB、 301、302:データ送受信部、
303:アクセス制御プログラム、 304:アクセス管理情報DB、
401:データ送受信部、 402:アクセス制御プログラム、
403:アクセス管理情報DB。
【特許請求の範囲】
【請求項1】
監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムにおいて、
該監視装置は、該システムで使用されるソフトウェアの特徴を含む特徴情報を格納する第1のデータベース(第1DB)と、少なくとも端末装置のソフトウェアを監視するための処理を行うサーバプログラムを実行する処理装置と、を有し、
該端末装置は、自らが有するファイルに関する情報を取得して格納する第2のデータベース(第2DB)と、前記ファイルに関する情報を取得して該第2DBへ格納するため処理、及び該監視装置からの検証要求に基づいて検証のための処理を行なう該エージェントプログラムを実行する処理装置を有し、
該監視装置は、該サーバプログラムの実行により、対象とする該端末装置に該特徴情報と共に検証要求を送信し、
該端末装置は、該検証要求を受信した後、該エージェントプログラムの実行により該第2DBを検索して該特徴情報に関連するファイルの存在を検証して、検証結果を該監視装置に送信し、
該監視装置は、該サーバプログラムの実行により、受信した該検証結果に基づいて該端末装置のソフトウェアの状態を判断する処理を行うことを特徴とするソフトウェア監視システム。
【請求項2】
更に、該ネットワークに接続されたネットワーク制御装置を含み、該ネットワーク制御装置は、アクセス制御に関する情報を登録するアクセス管理情報DBと、ネットワークに対するアクセス制御を行なうアクセス制御プログラムを実行する処理装置を備え、
該監視装置が、該検証結果に基づく判断の処理した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信した時、該アクセス制御プログラムは、該アクセス制御指示を受信して、関連する該端末装置に対する通信のアクセス制御を行なうことを特徴とする請求項1のソフトウェア監視システム。
【請求項3】
前記第1DBは、前記特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含むことを特徴とする請求項1又は2のソフトウェア監視システム。
【請求項4】
該監視装置の前記サーバプログラムは、更に、該検証結果に基づいて判断した後、該端末装置に対して不具合なファイルの処置を含む対策支援を行なうための処理を実行する機能を有し、
該端末装置は、該監視装置から該対策支援の指示があった場合、該対策支援に関する情報を表示装置に表示することを特徴とする請求項1乃至3のいずれかのソフトウェア監視システム。
【請求項5】
監視装置によってネットワークに接続された端末装置のソフトウェアの状態を監視する方法において、
該監視装置では、ソフトウェアの特徴を含む特徴情報を第1DBに格納するステップと、
該端末装置では、自らが有するファイルに関する情報を取得して第2DBに格納するステップと、
該監視装置から該端末装置に、該特徴情報を伴ってソフトウェアの検証要求を送信するステップと、
該端末装置では、該検証要求を受信した後、該第2DBを検索して該特徴情報に関連するファイルの存在を検証するステップと、
該端末装置から該監視装置に、検証結果を送信するステップと、
該監視装置では、受信した検証結果に基づいて、該端末装置のソフトウェアの状態を判断するステップと、
を有することを特徴とするソフトウェアの監視方法。
【請求項6】
該監視装置は、該検証結果に基づいて判断した後、該端末装置に対して不具合なファイルの処置を含む対策支援情報を送信するステップと、
該端末装置では、該対策支援情報を受信して対策の内容を表示装置に表示するステップと、
を更に含むことを特徴とする請求項5のソフトウェアの監視方法。
【請求項7】
前記第1のDBは、前記特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含むことを特徴とする請求項5のソフトウェアの監視方法。
【請求項8】
前記特徴情報として、ファイルの名前、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアによって書き換えられるレジストリ情報の1又はそれらの組合わせを含むことを特徴とする請求項7のソフトウェアの監視方法。
【請求項9】
前記対策支援情報は、端末装置に対するアクション、表示データ、送受信情報、ファイルパス等うちの少なくとも1つ又はそれらの組み合わせを含むことを特徴とする請求項6のソフトウェアの監視方法。
【請求項10】
前記監視装置は、該検証結果に基づいて判断した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信するステップと、
該ネットワーク制御装置は、該アクセス制御指示を受信して、関連する該端末装置に対する通信のアクセス制御を行なうステップと、
を更に有することを特徴とする請求項5乃至9のいずれかのソフトウェアの監視方法。
【請求項11】
該端末装置は、記憶装置内にエージェントプログラムを有し、該エージェントプログラムの実行により、該第2DBへ格納するための前記ファイルに関する情報を取得する処理、及び該監視装置からの検証要求に基づいて、該第2DBを検索して関連するファイルを検証する処理を行なうことを特徴とする請求項5乃至10のいずれかのソフトウェアの監視方法。
【請求項12】
該監視装置は、記憶装置内にサーバプログラムを有し、該サーバプログラムの実行により、ソフトウェアの特徴を含む該特徴情報を取得する処理、端末装置に対して該検証要求を発して端末装置の検証を行なう一連の処理を行なうことを特徴とする請求項5乃至11のいずれかのソフトウェアの監視方法。
【請求項13】
請求項1乃至4のいずれかに記載のシステムにおける監視装置。
【請求項14】
請求項1乃至4のいずれかに記載のシステムにおける監視装置で実行されるサーバプログラム。
【請求項15】
請求項1乃至4のいずれかに記載のシステムにおける端末装置で実行されるエージェントプログラム。
【請求項1】
監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムにおいて、
該監視装置は、該システムで使用されるソフトウェアの特徴を含む特徴情報を格納する第1のデータベース(第1DB)と、少なくとも端末装置のソフトウェアを監視するための処理を行うサーバプログラムを実行する処理装置と、を有し、
該端末装置は、自らが有するファイルに関する情報を取得して格納する第2のデータベース(第2DB)と、前記ファイルに関する情報を取得して該第2DBへ格納するため処理、及び該監視装置からの検証要求に基づいて検証のための処理を行なう該エージェントプログラムを実行する処理装置を有し、
該監視装置は、該サーバプログラムの実行により、対象とする該端末装置に該特徴情報と共に検証要求を送信し、
該端末装置は、該検証要求を受信した後、該エージェントプログラムの実行により該第2DBを検索して該特徴情報に関連するファイルの存在を検証して、検証結果を該監視装置に送信し、
該監視装置は、該サーバプログラムの実行により、受信した該検証結果に基づいて該端末装置のソフトウェアの状態を判断する処理を行うことを特徴とするソフトウェア監視システム。
【請求項2】
更に、該ネットワークに接続されたネットワーク制御装置を含み、該ネットワーク制御装置は、アクセス制御に関する情報を登録するアクセス管理情報DBと、ネットワークに対するアクセス制御を行なうアクセス制御プログラムを実行する処理装置を備え、
該監視装置が、該検証結果に基づく判断の処理した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信した時、該アクセス制御プログラムは、該アクセス制御指示を受信して、関連する該端末装置に対する通信のアクセス制御を行なうことを特徴とする請求項1のソフトウェア監視システム。
【請求項3】
前記第1DBは、前記特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含むことを特徴とする請求項1又は2のソフトウェア監視システム。
【請求項4】
該監視装置の前記サーバプログラムは、更に、該検証結果に基づいて判断した後、該端末装置に対して不具合なファイルの処置を含む対策支援を行なうための処理を実行する機能を有し、
該端末装置は、該監視装置から該対策支援の指示があった場合、該対策支援に関する情報を表示装置に表示することを特徴とする請求項1乃至3のいずれかのソフトウェア監視システム。
【請求項5】
監視装置によってネットワークに接続された端末装置のソフトウェアの状態を監視する方法において、
該監視装置では、ソフトウェアの特徴を含む特徴情報を第1DBに格納するステップと、
該端末装置では、自らが有するファイルに関する情報を取得して第2DBに格納するステップと、
該監視装置から該端末装置に、該特徴情報を伴ってソフトウェアの検証要求を送信するステップと、
該端末装置では、該検証要求を受信した後、該第2DBを検索して該特徴情報に関連するファイルの存在を検証するステップと、
該端末装置から該監視装置に、検証結果を送信するステップと、
該監視装置では、受信した検証結果に基づいて、該端末装置のソフトウェアの状態を判断するステップと、
を有することを特徴とするソフトウェアの監視方法。
【請求項6】
該監視装置は、該検証結果に基づいて判断した後、該端末装置に対して不具合なファイルの処置を含む対策支援情報を送信するステップと、
該端末装置では、該対策支援情報を受信して対策の内容を表示装置に表示するステップと、
を更に含むことを特徴とする請求項5のソフトウェアの監視方法。
【請求項7】
前記第1のDBは、前記特徴情報として、マルウェア感染時に生成されるファイルの特徴情報、又は脆弱性の原因となるファイルの特徴情報、又は使用が制限されているソフトウェアを特定することできる特徴情報の少なく1つを含むことを特徴とする請求項5のソフトウェアの監視方法。
【請求項8】
前記特徴情報として、ファイルの名前、ファイルサイズ、タイムスタンプ、ロケーション、ファイル名のハッシュ値、データハッシュ値、ソフトウェアによって書き換えられるレジストリ情報の1又はそれらの組合わせを含むことを特徴とする請求項7のソフトウェアの監視方法。
【請求項9】
前記対策支援情報は、端末装置に対するアクション、表示データ、送受信情報、ファイルパス等うちの少なくとも1つ又はそれらの組み合わせを含むことを特徴とする請求項6のソフトウェアの監視方法。
【請求項10】
前記監視装置は、該検証結果に基づいて判断した後、ネットワークを介して関係するネットワーク制御装置へアクセス制御指示を送信するステップと、
該ネットワーク制御装置は、該アクセス制御指示を受信して、関連する該端末装置に対する通信のアクセス制御を行なうステップと、
を更に有することを特徴とする請求項5乃至9のいずれかのソフトウェアの監視方法。
【請求項11】
該端末装置は、記憶装置内にエージェントプログラムを有し、該エージェントプログラムの実行により、該第2DBへ格納するための前記ファイルに関する情報を取得する処理、及び該監視装置からの検証要求に基づいて、該第2DBを検索して関連するファイルを検証する処理を行なうことを特徴とする請求項5乃至10のいずれかのソフトウェアの監視方法。
【請求項12】
該監視装置は、記憶装置内にサーバプログラムを有し、該サーバプログラムの実行により、ソフトウェアの特徴を含む該特徴情報を取得する処理、端末装置に対して該検証要求を発して端末装置の検証を行なう一連の処理を行なうことを特徴とする請求項5乃至11のいずれかのソフトウェアの監視方法。
【請求項13】
請求項1乃至4のいずれかに記載のシステムにおける監視装置。
【請求項14】
請求項1乃至4のいずれかに記載のシステムにおける監視装置で実行されるサーバプログラム。
【請求項15】
請求項1乃至4のいずれかに記載のシステムにおける端末装置で実行されるエージェントプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−40196(P2006−40196A)
【公開日】平成18年2月9日(2006.2.9)
【国際特許分類】
【出願番号】特願2004−222819(P2004−222819)
【出願日】平成16年7月30日(2004.7.30)
【出願人】(000153443)株式会社 日立ハイコス (359)
【Fターム(参考)】
【公開日】平成18年2月9日(2006.2.9)
【国際特許分類】
【出願日】平成16年7月30日(2004.7.30)
【出願人】(000153443)株式会社 日立ハイコス (359)
【Fターム(参考)】
[ Back to top ]