脆弱性情報流通システムおよび方法
【課題】組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現する。
【解決手段】脆弱性情報流通システムは、情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報が格納される脆弱性情報DB210と、ユーザが必要とする脆弱性情報の種類を示すキーワードと宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントDB120と、脆弱性情報データベース210に格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、コンタクトポイントDB120から検索し、該検索したユーザプロファイルの宛先情報を参照して、暗号化された通信によりWeb画面を提示し、該Web画面にて該脆弱性情報の通知を行う脆弱性情報通知部240とを有する。
【解決手段】脆弱性情報流通システムは、情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報が格納される脆弱性情報DB210と、ユーザが必要とする脆弱性情報の種類を示すキーワードと宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントDB120と、脆弱性情報データベース210に格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、コンタクトポイントDB120から検索し、該検索したユーザプロファイルの宛先情報を参照して、暗号化された通信によりWeb画面を提示し、該Web画面にて該脆弱性情報の通知を行う脆弱性情報通知部240とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信機器、情報システム、コンピュータプログラム等の情報システム製品に影響する脆弱性に関する情報を管理するための脆弱性情報流通システムに関する。
【背景技術】
【0002】
情報通信ネットワークに関連する装置や機器、コンピュータプログラム等の情報システム製品において、脆弱性が発見された場合は、その発見された脆弱性に対して迅速かつ適切に対応する必要がある。最近では、そのような情報システム製品に関する脆弱性の情報をネットワーク上で提供する情報サイトやメーリングリストなどの情報ソースがある。
【0003】
企業において、脆弱性への迅速かつ適切な対応を行うためには、上記のような情報ソースを常に監視し、運用または開発する情報システム製品の脆弱性が発見された場合に、その脆弱性の情報を関係者に迅速に通知する必要がある。
【0004】
特許文献1には、サーバと情報端末装置がネットワークを介して接続された認証システムが記載されている。この認証システムでは、情報端末装置が、セキュリティ情報提供サイトから脆弱性情報を収集し、その収集した脆弱性情報に基づいて、自装置のセキュリティ上の危険度を判定する。この危険度の判定結果は、情報端末装置からサーバへ供給される。サーバは、供給された危険度に基づいて、情報端末装置のセキュリティ認証を行う。
【特許文献1】特許3861064号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載のシステムは、脆弱性の管理対象である情報システム製品の管理者(担当者)に対する効率的な脆弱性情報の通知を実現するものではない。企業においては、担当者が所属する組織が変更されたり、情報システム製品の仕様が変更されたりする。組織や仕様の変更に伴って、脆弱性情報の通知先や通知すべき脆弱性情報の内容も変化する。特許文献1に記載のシステムは、そのような組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境における、脆弱性情報の迅速かつ適切な伝達を実現するための構成を有していない。このため、脆弱性情報の適材適所への流通に関して、以下のような課題がある。
【0006】
第1の課題は、ユーザに必要な脆弱性情報を継続的に伝達することである。
【0007】
組織における情報システム製品の数は膨大である上に、ある時点での情報システム製品の仕様や担当者を把握していても、新規プロジェクトの立ち上げ、仕様の変更、開発フェーズから運用・維持管理フェーズへの移行に伴う主管部門の変更、担当者の異動などにより、送るべき脆弱性情報の内容や通知先は変化する。このため、担当者の宛先情報(通知先)や担当者が必要とする脆弱性情報の種類を管理する必要がある。
【0008】
第2の課題は、情報システム製品の構成情報を正確に把握することである。
【0009】
情報システム製品は、市販製品やオープンソースソフトウェア、独自開発等の多様な提供形態を取り得、また、OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコルといった項目の複雑な組み合わせによって構成されるため、その構成を正確に把握することは難しい。さらに、開発のアウトソーシングや運用担当者が開発部隊からプロダクトやシステムを引き継いだ場合においては、プロダクトやシステムの全容を把握することは困難である。このため、適材適所への脆弱性情報の伝達を実現するためには、情報システム製品の構成情報を示すキーワードを効率的に抽出する必要がある。
【0010】
第3の課題は、組織内での脆弱性情報の流通状況を把握することである。
【0011】
脆弱性情報が適材適所に網羅的に伝わっているかどうかを評価するために、組織内での情報流通状況を把握する必要がある。しかし、電子メールや脆弱性情報を提供するWebサイトなどの情報源から、ユーザが個々に脆弱性情報を入手して対処しているのが現状であり、どのユーザにどのような脆弱性情報が伝達されているかといった脆弱性情報の流通状況を組織全体として把握することは困難である。このため、組織内での脆弱性情報の流通状況を把握可能とするための手段が必要である。
【0012】
第4の課題は、組織内での脆弱性への対処状況を把握することである。
【0013】
組織全体のリスクマネジメントの観点から、組織内に存在する脆弱性とその対処状況を把握することが望ましい。しかし、現状では、対処状況の伝達手段として電話や電子メールを用いているため、脆弱性への対処状況を組織全体としてとりまとめ、組織の抱えるリスクとして可視化することは困難である。このため、組織全体での対処状況の把握が可能な手段が必要である。
【0014】
第5の課題は、脆弱性情報が組織外に漏洩しないように情報管理を行うことである。
【0015】
一般に公開されていない脆弱性情報を扱う際には、組織外にその脆弱性情報が漏洩しないように厳格な情報管理が必要である。しかし、現状では、電子メールにより機密性の高い脆弱性情報や対処状況を転送しており、機密情報が不特定多数の端末に分散して格納されているため、情報漏洩のリスクが高い。このため、不特定多数の端末に分散しない形で情報を共有するような手段を設ける必要がある。
【0016】
なお、特許文献1のシステムでは、脆弱性情報の収集源をWebサイトなどに限定しているため、一般公開済みの脆弱性情報のみを扱うことに特化してしる。組織外への情報漏洩に細心の注意が必要な機密情報としての取り扱いを要する未公開の脆弱性情報を、組織の中で適切に伝達して管理する方法については、特許文献1には開示されていない。
【0017】
本発明は、上記課題に鑑みてなされたものであり、その目的は、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現することのできる脆弱性情報流通システムを提供することにある。
【課題を解決するための手段】
【0018】
上記目的を達成するため、本発明の脆弱性情報流通システムは、
脆弱性の管理対象である情報システム製品について、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報が格納される脆弱性情報データベースと、
ユーザが必要とする情報システム製品の脆弱性情報の種類を識別するための、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードと、前記ユーザへの情報の通知を行うための宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントデータベースと、
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、前記コンタクトポイントデータベースから検索し、該検索したユーザプロファイルに含まれる宛先情報を参照して、暗号化された通信によりWeb画面を提示し、該Web画面にて該脆弱性情報の通知を行う脆弱性情報通知部と、を有することを特徴とする。
【0019】
上記の構成によれば、コンタクトポイントデータベースで、ユーザ(担当者)の宛先情報やユーザ(担当者)が必要とする脆弱性情報の種類を管理することができるので、データベースを更新することで、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境への適用が可能である。これにより、第1の課題を解決する。
【0020】
また、脆弱性情報データベースに格納される脆弱性情報は、情報システム製品の脆弱性に関わる構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードを含む。また、ユーザプロファイルには、ユーザが必要とする脆弱性情報の種類を識別するための情報として、構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードが登録される。そして、脆弱性情報データベースに格納される脆弱性情報に含まれているキーワードと、ユーザプロファイルに登録されたキーワードとを比較することで、脆弱性情報を通知すべきユーザを検索する。この仕組みによれば、脆弱性情報データベースにおいて、脆弱性情報とともに情報システム製品の構成要素を管理することができるので、市販製品やオープンソースソフトウェア、独自開発等の多様な提供形態を取り得る情報システム製品や、OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコルといった項目の複雑な組み合わせによって構成される情報システム製品についても、構成情報を正確に把握することが可能である。また、開発のアウトソーシングや運用担当者が開発部隊からプロダクトやシステムを引き継いだ場合において、ユーザは、プロダクトやシステムの全容を把握していなくても、必要なキーワードをユーザプロファイルに登録するだけで、自身の担当する情報システム製品の脆弱性情報を自動的に取得することができる。これにより、第2の課題を解決する。
【0021】
また、ユーザへの脆弱性情報の通知は、暗号化された通信により提示されたWeb画面により行われるので、脆弱性情報が組織外に漏洩しないように情報管理を行うことが可能である。これにより、第5の課題を解決する。
【0022】
本発明の脆弱性情報流通システムにおいて、ユーザに通知した脆弱性情報の種類と通知した日時の情報を、脆弱性情報データベースの操作ログを分析することにより集計し、該集計結果を、暗号化された通信により提示したWeb画面を通じて他のユーザに開示する脆弱性情報流通状況確認部を、さらに有してもよい。この構成によれば、ユーザは、自由に組織内での脆弱性情報の流通状況を把握することが可能である。これにより、第3の課題を解決する。
【0023】
また、本発明の脆弱性情報流通システムにおいて、ユーザが使用するクライアント端末から、通知した脆弱性情報に対する対処状況を受信し、該受信した対処状況を脆弱性情報別に対処状況データベースに登録する対処状況登録部と、対処状況データベースに登録されたユーザの対処状況を、暗号化された通信により提示したWeb画面を通じて他のユーザに公開する対処状況確認部と、をさらに有してもよい。この構成によれば、ユーザは、組織全体での対処状況の把握が可能となる。これにより、第4の課題を解決する。
【発明の効果】
【0024】
本発明によれば、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現することができる。
【発明を実施するための最良の形態】
【0025】
次に、本発明の実施形態について図面を参照して説明する。
【0026】
図1は、本発明の一実施形態に係る脆弱性情報流通システムの構成を示すブロック図である。
【0027】
図1を参照すると、脆弱性情報流通システム1は、脆弱性情報の管理および伝達を行うものであって、ユーザ組織ネットワーク10b内に配備される。ユーザ組織ネットワーク10は、企業の組織内において構築されるネットワークであって、クライアント端末2、Webサイトクローラ3およびオペレータ端末4を有する。
【0028】
クライアント端末2、Webサイトクローラ3およびオペレータ端末4は、プログラムにより動作するコンピュータ端末よりなる。コンピュータ端末は、パーソナルコンピュータに代表される端末であって、その基本構成は、プログラムなどを蓄積する記憶装置、キーボードやマウスなどの入力装置、CRTやLCDなどの表示装置、外部との通信を行うモデムなどの通信装置、プリンタなどの出力装置、および記憶装置に格納されたプログラム従って動作し、入力装置からの入力を受け付けて通信装置、出力装置、表示装置の動作を制御する制御装置から構成されている。コンピュータ端末の記憶装置には、Webサイト等の情報を閲覧するためのブラウザ等のプログラムが予めインストールされている。
【0029】
脆弱性情報流通システム1も、プログラムにより動作するコンピュータ端末よりなる。脆弱性情報流通システム1は、Webサイトクローラ3またはオペレータ端末4がインターネットに代表されるネットワーク20上の脆弱性情報提供サイト30から収集した脆弱性情報や、クライアント端末2を通じてユーザが入力した脆弱性情報の登録・管理を行う。また、脆弱性情報流通システム1は、登録した脆弱性情報を必要とするユーザを検索し、そのユーザへ脆弱性情報を自動的に通知する。脆弱性情報流通システム1にて取り扱う脆弱性情報は、以下のデータ項目により構成される。これらの項目の多くは外部の情報源であるセキュリティ情報提供サイト30にて公開されている。
【0030】
・脆弱性情報ID(脆弱性情報を識別するための番号)
・脆弱性が影響を与える情報システム製品の名称
・脆弱性が影響を与える情報システム製品の提供ベンダ
・脆弱性の危険度を定量的に示すスコア
・脆弱性情報の公開日
・脆弱性情報の最終更新日
・脆弱性情報の公開元
・脆弱性を悪用可能なネットワーク環境(プロトコル、OS、通信機器等)
・脆弱性を悪用する際の対象プロダクトへの認証の要否
・脆弱性を悪用された場合に漏洩する情報のレベル
・脆弱性を悪用された場合に改ざんされる情報のレベル
・脆弱性を悪用された場合に停止する対象プロダクトの機能のレベル
・脆弱性を悪用するための攻撃方法の有無
・脆弱性を悪用するための攻撃方法の内容
・脆弱性を修正するための対策方法の有無
・脆弱性を修正するための対策方法の内容
・脆弱性を回避するための対策方法の有無
・脆弱性を回避するための対策方法の内容
次に、脆弱性情報流通システム1の構成について具体的に説明する。脆弱性情報流通システム1は、コンタクトポイント管理部100と脆弱性情報管理部200からなる。
【0031】
まず、コンタクトポイント管理部100の構成を詳細に説明する。
【0032】
コンタクトポイント管理部100は、ユーザが必要とする脆弱性情報の種類と、所属組織名、電話番号、メールアドレスなどのユーザの属性情報とを含むユーザプロファイルの管理を行う。コンタクトポイント管理部100の主要部は、キーワードテンプレートデータベース(DB)110、コンタクトポイントデータベース(DB)120、キーワードテンプレート更新部130、ユーザプロファイル登録部140およびユーザプロファイル検索部150からなる。
【0033】
キーワードテンプレートDB110は、ユーザがプロファイルとして登録可能な脆弱性情報の種類を示すキーワードを保持する。ここで、キーワードは、脆弱性の管理対象である情報システム製品の脆弱性に関わる構成要素を示すキーワードであって、例えば、プロトコル、ライブラリ、ミドルウェア、OS、通信機器、その他情報システム製品等である。
【0034】
コンタクトポイントDB120は、ユーザプロファイルをユーザ別に保持する。ユーザプロファイルは、ユーザが必要とする脆弱性情報の種類を示すキーワードと、所属組織名、電話番号、メールアドレスなどのユーザの属性情報とを含む。ユーザプロファイルのキーワードは、キーワードテンプレートDB110に登録されたキーワードから選択したものである。
【0035】
キーワードテンプレート更新部130は、キーワードテンプレートDB110に登録されるキーワードの更新処理を行う。ユーザが必要とする脆弱性情報を示すキーワードがキーワードテンプレートDB110に登録されていない場合は、キーワードテンプレート更新部130は、ユーザが任意に指定したキーワードをキーワードテンプレートへ反映させる。
【0036】
ユーザプロファイル登録部140は、ユーザプロファイルのコンタクトポイントDB120への登録を行う。コンタクトポイントDB120へ登録するユーザプロファイルの情報は、ユーザがクライアント端末2にて入力する。ユーザプロファイル登録部140は、ユーザが入力したユーザプロファイルの情報をクライアント端末2から受信し、その受信した情報をユーザプロファイルとしてコンタクトポイントDB120に登録する。
【0037】
また、ユーザプロファイル登録部140は、キーワード抽出部141を備える。キーワード抽出部141は、ユーザ自身が管理する情報システム製品に関する、仕様書、設計書、取扱説明書などのドキュメント(テキストデータ)をクライアント端末2から受け取る。キーワード抽出部141は、受け取ったドキュメントに含まれているキーワードとキーワードテンプレートDB110に登録されたキーワードとの比較を行い、一致したキーワードを、コンタクトポイントDB120内の該当するユーザプロファイルに登録する。ここで、ドキュメントとは、マイクロソフト社の「Word」、「Excel」および「PowerPoint」、アドビシステムズ社の「Adobe PDF」などに代表される既存のアプリケーションによって作成された電子ファイルである。「Word」、「Excel」、「PowerPoint」および「Adobe PDF」は、米国およびその他の国における登録商標または商標である。
【0038】
ユーザプロファイル検索部150は、ユーザが必要とする脆弱性情報の種類を示すキーワードやユーザの属性情報(所属組織名、電話番号、メールアドレスなど)のうちの任意の項目を検索用のキーとして用いて、コンタクトポイントDB120から該当するユーザプロファイルを検索する。ユーザプロファイル検索部150は、検索結果をクライアント端末2に表示させる。
【0039】
次に、脆弱性情報管理部200の構成を詳細に説明する。
【0040】
脆弱性情報管理部200は、Webサイトクローラ3またはオペレータ端末4もしくはクライアント端末2から供給される脆弱性情報の登録および管理を行うとともに、その登録した脆弱性情報に含まれているキーワード(プロトコル、ライブラリ、ミドルウェア、OS、通信機器、その他情報システム製品名など)に応じて、その脆弱性情報を必要とするユーザを検索する。また、脆弱性情報管理部200は、検索したユーザに脆弱性情報を通知し、その通知した脆弱性情報へのユーザの対処状況の管理を行う。脆弱性情報の通知は、Webサイトクローラ3またはオペレータ端末4もしくはクライアント端末2により新たな脆弱性情報が登録されるのを契機として自動的に実行される。
【0041】
脆弱性情報管理部200の主要部は、脆弱性情報データベース(DB)210、対処状況データベース(DB)220、脆弱性情報登録部230、脆弱性情報通知部240、脆弱性情報流通状況確認部250、脆弱性情報転送部260、対処状況登録部270および対処状況確認部280からなる。
【0042】
脆弱性情報DB210は、脆弱性の管理対象である情報システム製品について、情報システム製品の脆弱性に関わる構成要素を示すキーワード(プロトコル、ライブラリ、ミドルウェア、OS、通信機器、その他情報システム製品名など)を少なくとも一つ含む脆弱性情報を保持する。対処状況DB220は、各ユーザに通知した脆弱性情報への対処状況を脆弱性情報別に保持する。
【0043】
Webサイトクローラ3による自動監視とオペレータ端末4による有人監視の少なくとも一方により、ネットワーク20上に存在する脆弱性情報提供サイト30の定期的な監視が実行される。脆弱性情報登録部230は、Webサイトクローラ3またはオペレータ端末4を通じて新しい脆弱性情報を発見した場合は、その発見した脆弱性情報を、該脆弱性情報により特定される脆弱性に関連する情報システム製品の構成を示すキーワードを少なくとも一つ含む脆弱性情報として所定のフォーマットにパース(分解)し、それを脆弱性情報DB210に登録する。なお、発見した脆弱性情報について、脆弱性に関連する情報システム製品の構成を示すキーワードがキーワードテンプレートDB110に登録されていない場合は、脆弱性情報登録部230は、そのキーワードをキーワードテンプレートDB110に登録する。
【0044】
また、脆弱性情報登録部230は、影響度判定部231を有する。影響度判定部231は、脆弱性情報登録部230にて登録される脆弱性情報の内容に基づいて脆弱性のリスクを表すスコアを計算する。計算したスコアは、登録される脆弱性情報に付与される。スコアの計算は、非特許文献(Complete CVSS Guide, URL[http://www.first.org/cvss/cvss-guide.html])に記載のCVSS(Common Vulnerability Scoring System)により行うことができる。
【0045】
脆弱性情報通知部240は、脆弱性情報DB210に登録された脆弱性情報に含まれる一つ以上のキーワードと、コンタクトポイントDB120に登録されたユーザプロファイルに含まれるキーワードとを比較することにより、脆弱性情報を必要としているユーザを自動的に検索する。脆弱性情報通知部240は、SSL(Secure Socket Layer)/TLS(Transport Layer Security)などの暗号化通信技術を利用することにより、通信内容が第三者から保護されたWeb画面を通じて、検索したユーザに対して脆弱性情報を通知する。この脆弱性情報の通知において、脆弱性情報通知部240は、通知すべき脆弱性情報をスコアが高い順に並べて通知してもよい。
【0046】
脆弱性情報流通状況確認部250は、ユーザに通知した脆弱性情報の種類と通知した日時の情報を、脆弱性情報DB210の操作ログを分析することにより集計し、集計結果を他のユーザに開示する。
【0047】
ユーザは、クライアント端末2を通じて、通知された脆弱性情報を転送すべき他のユーザを任意に指定することができる。脆弱性情報転送部260は、ユーザにより指定された脆弱性情報を、そのユーザが任意に指定した他のユーザのクライアント端末へ転送する。
【0048】
ユーザは、クライアント端末2を通じて、通知された脆弱性情報への対処状況を入力することができる。対処状況登録部270は、ユーザに通知した脆弱性情報への対処状況をクライアント端末2から受け取り、それを対処状況DB220に登録する。
【0049】
対処状況確認部280は、ユーザが対処状況DB220に登録した脆弱性情報の対処状況を他のユーザに開示する。
【0050】
キーワード更新部290は、脆弱性情報を閲覧したユーザのクライアント端末2に対して、その脆弱性情報の有用度に関する質問事項が設けられた画面情報を送信する。クライアント端末2にて、画面情報に基づく質問画面が表示され、ユーザは、その表示画面上で、質問に対する回答を行うことができる。キーワード更新部290は、ユーザの回答情報をクライアント端末2から受信し、受信した回答情報に基づいて、コンタクトポイントDB120に登録された、そのユーザのプロファイルへの新しいキーワードの追加の必要性を判断する。新しいキーワードの追加が必要な場合は、キーワード更新部290は、該当するユーザプロファイルに新しいキーワードを追加する。
【0051】
次に、脆弱性情報流通システム1の動作を具体的に説明する。
【0052】
脆弱性情報流通システム1では、テンプレートへのキーワード登録処理、ユーザプロファイルの登録および検索の処理、脆弱性情報の登録および通知の処理、対処状況の登録および確認の処理、脆弱性情報の流通状況の確認処理、脆弱性情報の転送処理、キーワードの自動更新処理といった各処理が実行される。以下、各処理について詳細に説明する。
【0053】
(1)テンプレートへのキーワード登録処理
脆弱性情報流通システム1の管理者は、キーワードテンプレートDB110に、ユーザがプロファイルとして登録可能な脆弱性情報の種類を示すキーワードを予め登録する。また、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスすることができ、キーワードテンプレートDB110に登録されているキーワードを確認することができる。脆弱性情報流通システム1は、クライアント端末2からのアクセスを受け付ける際に、ユーザの正当性を判断するための認証処理を行う。認証処理に必要な情報(認証用のパスワードやIDなどの情報)は、ユーザおよび管理者の間で予め決められている。このアクセス時の認証処理は、後述する他の処理においても実行される。
【0054】
キーワードの確認において、ユーザは、クライアント端末2の入力部にて、キーワードを確認するための入力操作を行う。脆弱性情報流通システム1では、キーワードテンプレート更新部130が、クライアント端末2からの確認要求を受け付けて、キーワードテンプレートDB110に登録されているキーワードの一覧情報をクライアント端末2に送信する。キーワードの一覧情報は、クライアント端末2の表示部にて表示される。この表示されたキーワードの一覧情報の中に、ユーザ自身が必要とする脆弱性情報を示すキーワードが含まれていない場合は、ユーザは、クライアント端末2を用いて任意のキーワードをキーワードテンプレートDB110に追加申請するための入力操作を行う。
【0055】
キーワードテンプレート更新部130は、クライアント端末2からキーワードの追加申請の要求を受け付けると、その受け付けたキーワードをキーワードテンプレートへ反映させる。このキーワードの反映処理について、脆弱性情報流通システム1を運用する組織の運用ポリシーに応じた複数のプロシージャーを用意し、管理者は、それらプロシージャーから任意のプロシージャーを選択して反映処理を実行させることができる。プロシージャーとしては、キーワードの追加申請を受け付けた際に、受け付けたキーワードをキーワードテンプレートへ即座に反映させる処理や、脆弱性情報流通システム1の管理者が追加申請を承認した後に、受け付けたキーワードをキーワードテンプレートへ反映させる処理がある。
【0056】
(2)ユーザプロファイルの登録および確認の処理
ユーザプロファイルの登録を行う場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、ユーザプロファイルの登録要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、ユーザプロファイル登録部140が、ユーザプロファイルの登録画面情報をクライアント端末2に送信する。
【0057】
クライアント端末2では、ユーザプロファイルの登録画面情報に基づく画面が表示される。この表示画面にて、ユーザは、自身が必要とする脆弱性情報の種類を示すキーワードおよびユーザの属性情報(所属組織名、電話番号、メールアドレスなど)を入力する。ユーザプロファイル登録部140は、ユーザが入力したキーワードおよびユーザの属性情報をクライアント端末2から受け取り、それをユーザプロファイルとしてコンタクトポイントDB120に登録する。
【0058】
このユーザプロファイルの登録処理において、ユーザが必要とする脆弱性情報の種類を示すキーワードは、キーワードテンプレートDB110に登録されているキーワードの中から選択することができる。具体的には、ユーザプロファイル登録部140は、キーワードテンプレートDB110に登録されている全てのキーワードを選択肢としてクライアント端末2にて表示させる。ユーザは、クライアント端末2にて、その表示されたキーワードの選択肢から所望のキーワードを選択する。クライアント端末2は、ユーザによって選択されたキーワードの情報とユーザが入力した属性情報とを含むユーザプロファイルの情報をユーザプロファイル登録部140へ供給する。
【0059】
また、ユーザによるキーワードの選択登録に替えて、ドキュメントを入力してキーワードを自動的に登録するキーワード自動登録処理も可能である。以下に、キーワード自動登録処理を具体的に説明する。
【0060】
ユーザは、クライアント端末2にてWebブラウザを起動し、ユーザプロファイル登録部140が提供するWebインタフェースにアクセスする。次いで、ユーザは、Webインタフェース経由で、クライアント端末2からキーワード抽出部141へ、自身が管理する情報システム製品に関する、仕様書、設計書、取扱説明書などのドキュメント(テキストデータ)をアップロードする。
【0061】
キーワード抽出部141は、クライアント端末2からそのアップロードされたドキュメントを受け取る。次いで、キーワード抽出部141は、受け取ったドキュメントに含まれているキーワードとキーワードテンプレートDB110に登録されたキーワードとの比較を行う。この比較において、キーワード抽出部141は、一致したキーワードをドキュメントから抽出する。そして、ユーザプロファイル登録部140が、キーワード抽出部141にて抽出したキーワードの情報とその承認用画面情報とを、Webインタフェース経由でクライアント端末2に送信する。
【0062】
クライアント端末2は、ユーザプロファイル登録部140から受信したキーワードの情報および承認用画面情報を表示する。ユーザは、クライアント端末2にて、表示されたキーワードを確認し、問題がなければ、そのキーワードの登録を承認する旨の入力を行う。クライアント端末2は、承認入力がなされると、その旨を示す承認確定情報をユーザプロファイル登録部140へ送信する。
【0063】
ユーザプロファイル登録部140は、クライアント端末2から承認確定情報を受信すると、キーワード抽出部141にて抽出したキーワードを、承認をしたユーザのユーザプロファイルとしてコンタクトポイントDB120に登録する。
【0064】
ユーザによる承認を得られなかった場合は、ユーザプロファイル登録部140は、抽出したキーワードの登録を行わない。
【0065】
なお、ユーザプロファイルへのキーワードの登録は、ユーザによるキーワードの選択登録とドキュメントからキーワードを抽出するキーワード自動登録の一方もしくはこれら登録の併用により行うことができる。
【0066】
一方、ユーザプロファイルを確認する場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、ユーザプロファイルの確認要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、ユーザプロファイル検索部150が、ユーザプロファイルの確認用画面情報をクライアント端末2に送信する。
【0067】
クライアント端末2は、ユーザプロファイル検索部150から受信した確認用画面情報を表示する。表示された画面上で、ユーザが、脆弱性情報の種類を示すキーワードやユーザの属性情報のうちの任意の項目を指定する。クライアント端末2は、ユーザが指定した項目の情報をユーザプロファイル検索部150に送信する。
【0068】
ユーザプロファイル検索部150は、クライアント端末2から受信した項目情報を検索用のキーとして用いて、コンタクトポイントDB120から該当するユーザプロファイルを検索する。そして、ユーザプロファイル検索部150は、検索したユーザプロファイルの情報をクライアント端末2に送信する。
【0069】
クライアント端末2は、ユーザプロファイル検索部150から受信したユーザプロファイルの情報を表示する。これにより、ユーザは、自身が登録したユーザプロファイルや他のユーザが登録したユーザプロファイルを確認することができる。
【0070】
(3)脆弱性情報の登録および通知の処理
図2に、脆弱性情報管理部200にて行われる脆弱性情報の登録および通知の一連の処理手順を示す。
【0071】
Webサイトクローラ3による自動監視とオペレータ端末4による有人監視の少なくとも一方により、ネットワーク20上に存在する脆弱性情報提供サイト30にて報告される脆弱性情報を定期的に監視する(ステップS10)。この定期的な監視において、Webサイトクローラ3またはオペレータ端末4は、一日一回以上の周期で脆弱性情報提供サイト30にアクセスする。脆弱性情報に付与されている「情報公開日」のデータを調べることで、新しい脆弱性情報が報告されたか否かを判定する(ステップS11)。脆弱性情報登録部230が、Webサイトクローラ3またはオペレータ端末4を通じて収集した脆弱性情報について、「情報公開日」に基づいて新しい脆弱性情報であるか否かを判定してもよい。
【0072】
新しい脆弱性情報が発見されると、脆弱性情報登録部230は、その発見された脆弱性情報を所定のフォーマットでパース処理して、脆弱性が関連する情報システム製品を示すキーワードを一つ以上含む脆弱性情報を得、それを脆弱性情報DB210に登録する(ステップS12)。
【0073】
脆弱性情報提供サイトの中には、新しい脆弱性情報の掲載をRSSフィードによって通知するサイトもある。このようなサイトに対しては、脆弱性情報登録部230にてRSSフィードを受信する。脆弱性情報登録部230は、そのRSSフィードの受信によって通知される脆弱性情報を新しい脆弱性情報として収集する。「RSS」は、記述の仕組みを規定したRDF(Resource Description Framework)に基づくものであって、いくつかの略語の意味が存在するが、ここでは、「RSS」は「RDF Site Summary」の略である。
【0074】
なお、脆弱性情報登録部230にて収集される脆弱性情報は、同一の脆弱性についての情報であっても、収集元のセキュリティ情報提供サイト毎に異なるフォーマットで記述されている場合がある。この場合は、脆弱性情報登録部230は、収集元の各セキュリティ情報提供サイトの脆弱性情報のフォーマットに特化したパース処理を行う。これにより、脆弱性情報のフォーマットの違いを吸収する。
【0075】
例えば、脆弱性情報のデータ項目である「脆弱性が影響を与える情報システム製品の名称」は、セキュリティ情報提供サイトによっては、「System Affected」、「Product」、「Affected」、「Products」などいったデータ項目名で記述される。また、脆弱性情報のデータ項目である「脆弱性を修正するための対策方法の内容」は、セキュリティ情報提供サイトによっては、「Solution」、「解決方法」などといったデータ項目名で記述される。このように、データ項目名が異なる場合でも、同一の内容を示すデータ項目がある。このような場合、パース処理を行うことで、脆弱性情報流通システム1で取り扱う脆弱性情報のデータ構造とは異なるデータ構造の脆弱性情報を、脆弱性情報流通システム1で取り扱う脆弱性情報のデータ構造に変換することができる。
【0076】
パース処理による脆弱性情報の登録処理において、脆弱性情報登録部230は、収集した脆弱性情報をデータ項目の単位に分解し、そのデータ項目単位に分解された脆弱性情報の各データ項目を、脆弱性情報流通システム1で取り扱う脆弱性情報の対応するデータ項目に登録する。なお、脆弱性情報の収集から登録までの一連の処理を行うプログラムとしては、収集対象である各セキュリティ情報提供サイトが提供する脆弱性情報のデータ構造に対応したものを予め用意する。
【0077】
ステップS12の登録処理の際に、影響判定部231が、脆弱性情報登録部230にて登録される脆弱性情報の内容に基づいて脆弱性のリスクを表すスコアをCVSSにより計算する。CVSSによるスコアの計算に必要なデータ項目を以下に示す。
【0078】
・脆弱性を悪用可能なネットワーク環境
・脆弱性を悪用する際の対象プロダクトへの認証の要否
・脆弱性を悪用された場合に漏洩する情報のレベル
・脆弱性を悪用された場合に改ざんされる情報のレベル
・脆弱性を悪用された場合に停止する対象プロダクトの機能のレベル
・脆弱性を悪用するための攻撃方法の有無
・脆弱性を悪用するための攻撃方法の内容
・脆弱性を修正するための対策方法の有無
・脆弱性を修正するための対策方法の内容
・脆弱性を回避するための対策方法の有無
・脆弱性を回避するための対策方法の内容
以下に、脆弱性情報へのリスクスコア付与をCVSSにより実現する方法を説明する。
【0079】
CVSSによる計算機能が脆弱性情報登録部230に実装される。脆弱性情報登録部230は、収集した脆弱性情報をパース処理することで、スコア計算に必要な上記のようなデータ項目を取得する。パース処理で得られたデータ項目がCVSS計算機能に供給される。CVSS計算機能は、入力されたデータ項目に基づいて収集した脆弱性情報のスコアを計算する。脆弱性情報登録部230は、計算したスコアを、収集した脆弱性情報の「脆弱性の危険度を定量的に示すスコア」の値として脆弱性情報DB210に登録する。
【0080】
ステップS12の登録処理の後、脆弱性情報通知部240が、脆弱性情報DB210に登録された新しい脆弱性情報について、その脆弱性情報を必要としているユーザを検索する(ステップS13)。このユーザ検索において、脆弱性情報通知部240は、脆弱性情報DB210に登録された新しい脆弱性情報に含まれる一つ以上のキーワードと、コンタクトポイントDB120に登録されたユーザプロファイルに含まれるキーワードとを比較する(ステップS14)。そして、脆弱性情報通知部240は、キーワードが一致したユーザプロファイルに含まれているユーザ属性情報から、脆弱性情報を必要としているユーザの宛先情報(メールアドレスや電話番号)を取得し、その宛先情報を参照して、新しい脆弱性情報をユーザに通知する(ステップS15)。
【0081】
ステップS15の脆弱性情報のユーザへの通知は、通知用のWeb画面を通じて行う。この通知用のWeb画面は、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。宛先情報を参照して、Web画面がユーザに提示される。
【0082】
以上の処理によれば、ユーザがプロファイルに登録したキーワードを含む新規の脆弱性情報が脆弱性情報提供サイトで発見されると、その新規の脆弱性情報が自動的にユーザに通知される。通知すべき脆弱性情報をスコアの高い順に並べて通知してもよい。
【0083】
なお、脆弱性情報の登録において、ユーザは、クライアント端末2を通じて、自身の管理している情報システム製品の脆弱性に関する情報を直接登録することができる。この登録された脆弱性情報に対しても、上述したステップS13からS15の処理が実行される。これにより、ユーザが登録した脆弱性情報が、そのユーザ以外の関係者に通知されることになる。
【0084】
(4)対処状況の登録および確認の処理
ユーザは、クライアント端末2を通じて、通知された脆弱性情報への対処状況を入力することができる。ここで、対処状況とは、ユーザが、通知のあった脆弱性情報に対して行った対処を示し、以下のようなステータスで表される。
【0085】
対処状況のステータスは、ユーザの管理する情報システム製品における脆弱性の影響の有無の調査結果を表すステータスと対処内容を表すステータスがある。調査結果を表すステータスとしては、「未調査」、「調査中」、「影響なし」、「影響あり」といった項目がある。対処内容を表すステータスとしては、[対処の必要なし」、「対処方法の検討中」、「パッチ適用で対処済み」、「設定変更で対処済み」といった項目がある。
【0086】
対処状況登録部27は、図2のステップS15で脆弱性情報を通知したユーザに対して、対処状況登録用のWeb画面を提示する。この対処状況登録用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面であり、上記の各ステータスに関する入力項目が設けられている。
【0087】
ユーザは、クライアント端末2に表示された対処状況登録用のWeb画面にて、各ステータスに関する項目を入力する。入力した項目の情報(対処状況)は、クライアント端末2から対処状況登録部27に供給される。対処状況登録部27は、クライアント端末2から受信した対処状況を脆弱性情報別に対処状況DB220に登録する。
【0088】
対処状況は、脆弱性情報の種類を示すキーワードと関連付けて対処状況DB220に格納される。したがって、脆弱性情報の種類を示すキーワードを検索キーとして用いて対処状況DB220から所望の脆弱性情報の対処状況を検索することができる。
【0089】
以下に、対処状況の確認処理について説明する。
【0090】
対処状況の確認を行う場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、対処状況の確認要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、対処状況確認部280が、対処状況確認用のWeb画面をユーザに提示する。この対処状況確認用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
【0091】
対処状況確認用のWeb画面には、対処状況を確認したい脆弱性情報の種類を示すキーワードを入力する項目が設けられている。ユーザは、クライアント端末2に表示された対処状況確認用のWeb画面にて、対処状況を確認したい脆弱性情報の種類を示すキーワードを入力する。入力したキーワードの情報は、クライアント端末2から対処状況確認部280に供給される。
【0092】
対処状況確認部280は、クライアント端末2から受信したキーワードの情報に基づいて、対処状況DB220から、該当する対処状況を検索する。そして、対処状況確認部280は、検索結果をクライアント端末2に送信する。クライアント端末2では、Web画面上に、対処状況確認部280から受信した検索結果が表示される。
【0093】
ユーザは、Web画面に表示された対処処理の検索結果を参照して、適切な対処方法を判断することができる。
【0094】
(5)脆弱性情報の流通状況の確認処理
他のユーザにおける脆弱性情報の流通状況を確認する場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、流通状況の確認要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、脆弱性情報流通状況確認部250が、流通状況確認用のWeb画面をユーザに提示する。この流通状況確認用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
【0095】
流通状況確認用のWeb画面には、流通状況を確認したい脆弱性情報の種類を示すキーワードまたは流通状況を確認したいユーザの情報を入力する項目が設けられている。ここで、流通状況を確認したいユーザの情報とは、そのユーザのユーザプロファイルに登録されている識別情報であって、例えばユーザの氏名や所属組織名である。ユーザは、クライアント端末2に表示された流通状況確認用のWeb画面にて、流通状況を確認したい脆弱性情報の種類またはユーザの識別情報を入力する。入力情報は、クライアント端末2から脆弱性情報流通状況確認部250に供給される。
【0096】
脆弱性情報流通状況確認部250は、流通状況を確認したい脆弱性情報の種類を示すキーワードの情報をクライアント端末2から受信した場合は、そのキーワードの情報によって特定される脆弱性情報について、脆弱性に関連する情報システム製品の情報や通知した日時の情報を、脆弱性情報DB210の操作ログを分析することにより集計する。脆弱性情報流通状況確認部250は、その集計結果をクライアント端末2に送信する。
【0097】
他方、脆弱性情報流通状況確認部250は、流通状況を確認したいユーザの識別情報をクライアント端末2から受信した場合は、その識別情報に基づいてコンタクトポイントDB120から該当するユーザプロファイルを検索する。そして、脆弱性情報流通状況確認部250は、検索したユーザプロファイルに含まれているキーワードの情報によって特定される脆弱性情報について、脆弱性に関連する情報システム製品の情報や通知した日時の情報を、脆弱性情報DB210の操作ログを分析することにより集計する。脆弱性情報流通状況確認部250は、その集計結果をクライアント端末2に送信する。
【0098】
クライアント端末2は、脆弱性情報流通状況確認部250から受信した集計結果を表示する。ユーザは、Web画面に表示された集計結果を参照することで、他のユーザにおける脆弱性情報の流通状況を確認することができる。
【0099】
(6)脆弱性情報の転送処理
ユーザは、自身に通知された脆弱性情報を他のユーザへ転送させることができる。脆弱性情報を他のユーザへ転送させる場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、脆弱性情報の転送要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、脆弱性情報転送部260が、脆弱性情報転送用のWeb画面をユーザに提示する。この脆弱性情報転送用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
【0100】
脆弱性情報転送用のWeb画面には、転送すべき脆弱性情報の種類を示すキーワード、転送先となるユーザの識別情報(氏名や所属組織名)を入力する項目がそれぞれ設けられている。ユーザは、クライアント端末2に表示された脆弱性情報転送用のWeb画面にて、転送すべき脆弱性情報の種類や転送先の情報を入力する。入力情報(キーワードおよび識別情報)は、クライアント端末2から脆弱性情報転送部260に供給される。
【0101】
脆弱性情報転送部260は、クライアント端末2から受信した識別情報に基づいてコンタクトポイントDB120から該当するユーザプロファイルを取得し、脆弱性情報転送部260は、クライアント端末2から受信したキーワードに基づいて脆弱性情報DB210から該当する脆弱性情報を取得する。そして、脆弱性情報転送部260は、取得したユーザプロファイルに含まれている宛先情報を参照して、取得した脆弱性情報を通知する。この脆弱性情報の通知も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面を通じて行う。
【0102】
転送する脆弱性情報についても、スコアの高い順に並べて通知してもよい。
【0103】
(7)キーワードの自動更新処理
キーワード更新部290は、脆弱性情報を通知したクライアント端末2に対して有用度登録用のWeb画面の情報を送信する。有用度登録用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
【0104】
有用度登録用のWeb画面には、ユーザに通知した脆弱性情報の有用度に関する質問項目が設けられている。質問項目は、脆弱性情報の有用性(「役に立った」または「役に立たなかった」)を尋ねる項目を選択形式で表示したものである。
【0105】
ユーザは、クライアント端末2に表示された有用度登録用のWeb画面にて、表示された質問項目の選択肢から、通知された脆弱性情報の有用度を示し項目を選択する。ユーザにより選択された有用度の情報(回答情報)は、クライアント端末2からキーワード更新部290に供給される。
【0106】
キーワード更新部290は、クライアント端末2から受信した有用度の情報から、ユーザに通知した脆弱性情報が役に立ったか否かを判定する。脆弱性情報が役に立った場合は、キーワード更新部290は、その脆弱性情報に含まれているキーワードとキーワードテンプレートDB110に登録されているキーワードとを比較し、合致するキーワードを抽出する。そして、キーワード更新部290は、抽出したキーワードが、有用度の回答を行ったユーザ(脆弱性情報を通知したユーザ)のユーザプロファイルに登録されているか否かを確認する。抽出したキーワードがユーザプロファイルに登録されていない場合は、キーワード更新部290は、そのキーワードをユーザプロファイルに登録する。
【0107】
なお、有用度登録用のWeb画面の提示先となるユーザは、脆弱性情報通知部240により脆弱性情報が通知されたユーザの他、脆弱性情報転送部260により脆弱性情報が転送されたユーザも含む。
【0108】
以上説明した脆弱性情報流通システムによれば、コンタクトポイントDB120で、ユーザ(担当者)の宛先情報やユーザ(担当者)が必要とする脆弱性情報の種類を管理することができるので、データベースを更新することで、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境への適用が可能である。
【0109】
また、脆弱性情報DB210に格納される脆弱性情報は、情報システム製品の脆弱性に関わる構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードを含む。ユーザプロファイルには、ユーザが必要とする脆弱性情報の種類を識別するための情報として、構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードが登録される。そして、脆弱性情報DB210に格納される脆弱性情報に含まれているキーワードと、ユーザプロファイルに登録されたキーワードとを比較することで、脆弱性情報を通知すべきユーザを検索する。この仕組みによれば、脆弱性情報DB210において、脆弱性情報とともに情報システム製品の構成要素を管理することができるので、市販製品やオープンソースソフトウェア、独自開発等の多様な提供形態を取り得る情報システム製品や、OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコルといった項目の複雑な組み合わせによって構成される情報システム製品についても、構成情報を正確に把握することが可能である。また、開発のアウトソーシングや運用担当者が開発部隊からプロダクトやシステムを引き継いだ場合において、ユーザは、プロダクトやシステムの全容を把握していなくても、必要なキーワードをユーザプロファイルに登録するだけで、自身の担当する情報システム製品の脆弱性情報を自動的に取得することができる。
【0110】
また、ユーザへの脆弱性情報の通知は、暗号化された通信により提示されたWeb画面により行われるので、脆弱性情報が組織外に漏洩しないように情報管理を行うことが可能である。
【0111】
さらに、脆弱性情報流通状況確認部250が、ユーザに通知した脆弱性情報の種類と通知した日時の情報を、脆弱性情報データベースの操作ログを分析することにより集計し、該集計結果を、暗号化された通信により提示したWeb画面を通じて他のユーザに開示するので、ユーザは、自由に組織内での脆弱性情報の流通状況を把握することが可能である。
【0112】
さらに、対処状況確認部280が、対処状況DB220に登録されたユーザの対処状況を、暗号化された通信により提示したWeb画面を通じて他のユーザに公開するので、ユーザは、組織全体での対処状況の把握が可能である。
【0113】
以上の本発明によれば、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現することができる。
【0114】
なお、上述した実施形態は本発明の一例であり、本発明はそれに限定されるものではない。本発明の脆弱性情報流通システムの構成および動作は、発明の趣旨を逸脱しない範囲で適宜に変更することができる。
【0115】
また、上述した本実施形態の脆弱性情報流通システムにおいて、各構成部における処理は、プログラムをコンピュータが実行することで実現することが可能である。プログラムは、CD−ROMやDVDなどの記録媒体で提供されても、インターネットを通じて提供されてもよい。
【図面の簡単な説明】
【0116】
【図1】本発明の一実施形態に係る脆弱性情報流通システムの構成を示すブロック図である。
【図2】図1に示す脆弱性情報流通システムの脆弱性情報管理部にて行われる脆弱性情報の登録および通知の一連の処理手順を示すフローチャートである。
【符号の説明】
【0117】
1 脆弱性情報流通システム
2 クライアント端末
3 Webサイトクローラ
4 オペレータ端末
10 ユーザ組織ネットワーク
20 ネットワーク
30 脆弱性情報提供サイト
100 コンタクトポイント管理部
110 キーワードテンプレートデータベース
120 コンタクトポイントデータベース
130 キーワードテンプレート登録部
140 ユーザプロファイル登録部
141 キーワード抽出部
150 ユーザプロファイル検索部
200 脆弱性情報管理部
210 脆弱性情報データベース
220 対処状況データベース
230 脆弱性情報登録部
240 脆弱性情報通知部
250 脆弱性情報流通状況確認部
260 脆弱性情報転送部
270 対処状況登録部
280 対処状況確認部
290 キーワード更新部
【技術分野】
【0001】
本発明は、通信機器、情報システム、コンピュータプログラム等の情報システム製品に影響する脆弱性に関する情報を管理するための脆弱性情報流通システムに関する。
【背景技術】
【0002】
情報通信ネットワークに関連する装置や機器、コンピュータプログラム等の情報システム製品において、脆弱性が発見された場合は、その発見された脆弱性に対して迅速かつ適切に対応する必要がある。最近では、そのような情報システム製品に関する脆弱性の情報をネットワーク上で提供する情報サイトやメーリングリストなどの情報ソースがある。
【0003】
企業において、脆弱性への迅速かつ適切な対応を行うためには、上記のような情報ソースを常に監視し、運用または開発する情報システム製品の脆弱性が発見された場合に、その脆弱性の情報を関係者に迅速に通知する必要がある。
【0004】
特許文献1には、サーバと情報端末装置がネットワークを介して接続された認証システムが記載されている。この認証システムでは、情報端末装置が、セキュリティ情報提供サイトから脆弱性情報を収集し、その収集した脆弱性情報に基づいて、自装置のセキュリティ上の危険度を判定する。この危険度の判定結果は、情報端末装置からサーバへ供給される。サーバは、供給された危険度に基づいて、情報端末装置のセキュリティ認証を行う。
【特許文献1】特許3861064号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載のシステムは、脆弱性の管理対象である情報システム製品の管理者(担当者)に対する効率的な脆弱性情報の通知を実現するものではない。企業においては、担当者が所属する組織が変更されたり、情報システム製品の仕様が変更されたりする。組織や仕様の変更に伴って、脆弱性情報の通知先や通知すべき脆弱性情報の内容も変化する。特許文献1に記載のシステムは、そのような組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境における、脆弱性情報の迅速かつ適切な伝達を実現するための構成を有していない。このため、脆弱性情報の適材適所への流通に関して、以下のような課題がある。
【0006】
第1の課題は、ユーザに必要な脆弱性情報を継続的に伝達することである。
【0007】
組織における情報システム製品の数は膨大である上に、ある時点での情報システム製品の仕様や担当者を把握していても、新規プロジェクトの立ち上げ、仕様の変更、開発フェーズから運用・維持管理フェーズへの移行に伴う主管部門の変更、担当者の異動などにより、送るべき脆弱性情報の内容や通知先は変化する。このため、担当者の宛先情報(通知先)や担当者が必要とする脆弱性情報の種類を管理する必要がある。
【0008】
第2の課題は、情報システム製品の構成情報を正確に把握することである。
【0009】
情報システム製品は、市販製品やオープンソースソフトウェア、独自開発等の多様な提供形態を取り得、また、OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコルといった項目の複雑な組み合わせによって構成されるため、その構成を正確に把握することは難しい。さらに、開発のアウトソーシングや運用担当者が開発部隊からプロダクトやシステムを引き継いだ場合においては、プロダクトやシステムの全容を把握することは困難である。このため、適材適所への脆弱性情報の伝達を実現するためには、情報システム製品の構成情報を示すキーワードを効率的に抽出する必要がある。
【0010】
第3の課題は、組織内での脆弱性情報の流通状況を把握することである。
【0011】
脆弱性情報が適材適所に網羅的に伝わっているかどうかを評価するために、組織内での情報流通状況を把握する必要がある。しかし、電子メールや脆弱性情報を提供するWebサイトなどの情報源から、ユーザが個々に脆弱性情報を入手して対処しているのが現状であり、どのユーザにどのような脆弱性情報が伝達されているかといった脆弱性情報の流通状況を組織全体として把握することは困難である。このため、組織内での脆弱性情報の流通状況を把握可能とするための手段が必要である。
【0012】
第4の課題は、組織内での脆弱性への対処状況を把握することである。
【0013】
組織全体のリスクマネジメントの観点から、組織内に存在する脆弱性とその対処状況を把握することが望ましい。しかし、現状では、対処状況の伝達手段として電話や電子メールを用いているため、脆弱性への対処状況を組織全体としてとりまとめ、組織の抱えるリスクとして可視化することは困難である。このため、組織全体での対処状況の把握が可能な手段が必要である。
【0014】
第5の課題は、脆弱性情報が組織外に漏洩しないように情報管理を行うことである。
【0015】
一般に公開されていない脆弱性情報を扱う際には、組織外にその脆弱性情報が漏洩しないように厳格な情報管理が必要である。しかし、現状では、電子メールにより機密性の高い脆弱性情報や対処状況を転送しており、機密情報が不特定多数の端末に分散して格納されているため、情報漏洩のリスクが高い。このため、不特定多数の端末に分散しない形で情報を共有するような手段を設ける必要がある。
【0016】
なお、特許文献1のシステムでは、脆弱性情報の収集源をWebサイトなどに限定しているため、一般公開済みの脆弱性情報のみを扱うことに特化してしる。組織外への情報漏洩に細心の注意が必要な機密情報としての取り扱いを要する未公開の脆弱性情報を、組織の中で適切に伝達して管理する方法については、特許文献1には開示されていない。
【0017】
本発明は、上記課題に鑑みてなされたものであり、その目的は、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現することのできる脆弱性情報流通システムを提供することにある。
【課題を解決するための手段】
【0018】
上記目的を達成するため、本発明の脆弱性情報流通システムは、
脆弱性の管理対象である情報システム製品について、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報が格納される脆弱性情報データベースと、
ユーザが必要とする情報システム製品の脆弱性情報の種類を識別するための、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードと、前記ユーザへの情報の通知を行うための宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントデータベースと、
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、前記コンタクトポイントデータベースから検索し、該検索したユーザプロファイルに含まれる宛先情報を参照して、暗号化された通信によりWeb画面を提示し、該Web画面にて該脆弱性情報の通知を行う脆弱性情報通知部と、を有することを特徴とする。
【0019】
上記の構成によれば、コンタクトポイントデータベースで、ユーザ(担当者)の宛先情報やユーザ(担当者)が必要とする脆弱性情報の種類を管理することができるので、データベースを更新することで、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境への適用が可能である。これにより、第1の課題を解決する。
【0020】
また、脆弱性情報データベースに格納される脆弱性情報は、情報システム製品の脆弱性に関わる構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードを含む。また、ユーザプロファイルには、ユーザが必要とする脆弱性情報の種類を識別するための情報として、構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードが登録される。そして、脆弱性情報データベースに格納される脆弱性情報に含まれているキーワードと、ユーザプロファイルに登録されたキーワードとを比較することで、脆弱性情報を通知すべきユーザを検索する。この仕組みによれば、脆弱性情報データベースにおいて、脆弱性情報とともに情報システム製品の構成要素を管理することができるので、市販製品やオープンソースソフトウェア、独自開発等の多様な提供形態を取り得る情報システム製品や、OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコルといった項目の複雑な組み合わせによって構成される情報システム製品についても、構成情報を正確に把握することが可能である。また、開発のアウトソーシングや運用担当者が開発部隊からプロダクトやシステムを引き継いだ場合において、ユーザは、プロダクトやシステムの全容を把握していなくても、必要なキーワードをユーザプロファイルに登録するだけで、自身の担当する情報システム製品の脆弱性情報を自動的に取得することができる。これにより、第2の課題を解決する。
【0021】
また、ユーザへの脆弱性情報の通知は、暗号化された通信により提示されたWeb画面により行われるので、脆弱性情報が組織外に漏洩しないように情報管理を行うことが可能である。これにより、第5の課題を解決する。
【0022】
本発明の脆弱性情報流通システムにおいて、ユーザに通知した脆弱性情報の種類と通知した日時の情報を、脆弱性情報データベースの操作ログを分析することにより集計し、該集計結果を、暗号化された通信により提示したWeb画面を通じて他のユーザに開示する脆弱性情報流通状況確認部を、さらに有してもよい。この構成によれば、ユーザは、自由に組織内での脆弱性情報の流通状況を把握することが可能である。これにより、第3の課題を解決する。
【0023】
また、本発明の脆弱性情報流通システムにおいて、ユーザが使用するクライアント端末から、通知した脆弱性情報に対する対処状況を受信し、該受信した対処状況を脆弱性情報別に対処状況データベースに登録する対処状況登録部と、対処状況データベースに登録されたユーザの対処状況を、暗号化された通信により提示したWeb画面を通じて他のユーザに公開する対処状況確認部と、をさらに有してもよい。この構成によれば、ユーザは、組織全体での対処状況の把握が可能となる。これにより、第4の課題を解決する。
【発明の効果】
【0024】
本発明によれば、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現することができる。
【発明を実施するための最良の形態】
【0025】
次に、本発明の実施形態について図面を参照して説明する。
【0026】
図1は、本発明の一実施形態に係る脆弱性情報流通システムの構成を示すブロック図である。
【0027】
図1を参照すると、脆弱性情報流通システム1は、脆弱性情報の管理および伝達を行うものであって、ユーザ組織ネットワーク10b内に配備される。ユーザ組織ネットワーク10は、企業の組織内において構築されるネットワークであって、クライアント端末2、Webサイトクローラ3およびオペレータ端末4を有する。
【0028】
クライアント端末2、Webサイトクローラ3およびオペレータ端末4は、プログラムにより動作するコンピュータ端末よりなる。コンピュータ端末は、パーソナルコンピュータに代表される端末であって、その基本構成は、プログラムなどを蓄積する記憶装置、キーボードやマウスなどの入力装置、CRTやLCDなどの表示装置、外部との通信を行うモデムなどの通信装置、プリンタなどの出力装置、および記憶装置に格納されたプログラム従って動作し、入力装置からの入力を受け付けて通信装置、出力装置、表示装置の動作を制御する制御装置から構成されている。コンピュータ端末の記憶装置には、Webサイト等の情報を閲覧するためのブラウザ等のプログラムが予めインストールされている。
【0029】
脆弱性情報流通システム1も、プログラムにより動作するコンピュータ端末よりなる。脆弱性情報流通システム1は、Webサイトクローラ3またはオペレータ端末4がインターネットに代表されるネットワーク20上の脆弱性情報提供サイト30から収集した脆弱性情報や、クライアント端末2を通じてユーザが入力した脆弱性情報の登録・管理を行う。また、脆弱性情報流通システム1は、登録した脆弱性情報を必要とするユーザを検索し、そのユーザへ脆弱性情報を自動的に通知する。脆弱性情報流通システム1にて取り扱う脆弱性情報は、以下のデータ項目により構成される。これらの項目の多くは外部の情報源であるセキュリティ情報提供サイト30にて公開されている。
【0030】
・脆弱性情報ID(脆弱性情報を識別するための番号)
・脆弱性が影響を与える情報システム製品の名称
・脆弱性が影響を与える情報システム製品の提供ベンダ
・脆弱性の危険度を定量的に示すスコア
・脆弱性情報の公開日
・脆弱性情報の最終更新日
・脆弱性情報の公開元
・脆弱性を悪用可能なネットワーク環境(プロトコル、OS、通信機器等)
・脆弱性を悪用する際の対象プロダクトへの認証の要否
・脆弱性を悪用された場合に漏洩する情報のレベル
・脆弱性を悪用された場合に改ざんされる情報のレベル
・脆弱性を悪用された場合に停止する対象プロダクトの機能のレベル
・脆弱性を悪用するための攻撃方法の有無
・脆弱性を悪用するための攻撃方法の内容
・脆弱性を修正するための対策方法の有無
・脆弱性を修正するための対策方法の内容
・脆弱性を回避するための対策方法の有無
・脆弱性を回避するための対策方法の内容
次に、脆弱性情報流通システム1の構成について具体的に説明する。脆弱性情報流通システム1は、コンタクトポイント管理部100と脆弱性情報管理部200からなる。
【0031】
まず、コンタクトポイント管理部100の構成を詳細に説明する。
【0032】
コンタクトポイント管理部100は、ユーザが必要とする脆弱性情報の種類と、所属組織名、電話番号、メールアドレスなどのユーザの属性情報とを含むユーザプロファイルの管理を行う。コンタクトポイント管理部100の主要部は、キーワードテンプレートデータベース(DB)110、コンタクトポイントデータベース(DB)120、キーワードテンプレート更新部130、ユーザプロファイル登録部140およびユーザプロファイル検索部150からなる。
【0033】
キーワードテンプレートDB110は、ユーザがプロファイルとして登録可能な脆弱性情報の種類を示すキーワードを保持する。ここで、キーワードは、脆弱性の管理対象である情報システム製品の脆弱性に関わる構成要素を示すキーワードであって、例えば、プロトコル、ライブラリ、ミドルウェア、OS、通信機器、その他情報システム製品等である。
【0034】
コンタクトポイントDB120は、ユーザプロファイルをユーザ別に保持する。ユーザプロファイルは、ユーザが必要とする脆弱性情報の種類を示すキーワードと、所属組織名、電話番号、メールアドレスなどのユーザの属性情報とを含む。ユーザプロファイルのキーワードは、キーワードテンプレートDB110に登録されたキーワードから選択したものである。
【0035】
キーワードテンプレート更新部130は、キーワードテンプレートDB110に登録されるキーワードの更新処理を行う。ユーザが必要とする脆弱性情報を示すキーワードがキーワードテンプレートDB110に登録されていない場合は、キーワードテンプレート更新部130は、ユーザが任意に指定したキーワードをキーワードテンプレートへ反映させる。
【0036】
ユーザプロファイル登録部140は、ユーザプロファイルのコンタクトポイントDB120への登録を行う。コンタクトポイントDB120へ登録するユーザプロファイルの情報は、ユーザがクライアント端末2にて入力する。ユーザプロファイル登録部140は、ユーザが入力したユーザプロファイルの情報をクライアント端末2から受信し、その受信した情報をユーザプロファイルとしてコンタクトポイントDB120に登録する。
【0037】
また、ユーザプロファイル登録部140は、キーワード抽出部141を備える。キーワード抽出部141は、ユーザ自身が管理する情報システム製品に関する、仕様書、設計書、取扱説明書などのドキュメント(テキストデータ)をクライアント端末2から受け取る。キーワード抽出部141は、受け取ったドキュメントに含まれているキーワードとキーワードテンプレートDB110に登録されたキーワードとの比較を行い、一致したキーワードを、コンタクトポイントDB120内の該当するユーザプロファイルに登録する。ここで、ドキュメントとは、マイクロソフト社の「Word」、「Excel」および「PowerPoint」、アドビシステムズ社の「Adobe PDF」などに代表される既存のアプリケーションによって作成された電子ファイルである。「Word」、「Excel」、「PowerPoint」および「Adobe PDF」は、米国およびその他の国における登録商標または商標である。
【0038】
ユーザプロファイル検索部150は、ユーザが必要とする脆弱性情報の種類を示すキーワードやユーザの属性情報(所属組織名、電話番号、メールアドレスなど)のうちの任意の項目を検索用のキーとして用いて、コンタクトポイントDB120から該当するユーザプロファイルを検索する。ユーザプロファイル検索部150は、検索結果をクライアント端末2に表示させる。
【0039】
次に、脆弱性情報管理部200の構成を詳細に説明する。
【0040】
脆弱性情報管理部200は、Webサイトクローラ3またはオペレータ端末4もしくはクライアント端末2から供給される脆弱性情報の登録および管理を行うとともに、その登録した脆弱性情報に含まれているキーワード(プロトコル、ライブラリ、ミドルウェア、OS、通信機器、その他情報システム製品名など)に応じて、その脆弱性情報を必要とするユーザを検索する。また、脆弱性情報管理部200は、検索したユーザに脆弱性情報を通知し、その通知した脆弱性情報へのユーザの対処状況の管理を行う。脆弱性情報の通知は、Webサイトクローラ3またはオペレータ端末4もしくはクライアント端末2により新たな脆弱性情報が登録されるのを契機として自動的に実行される。
【0041】
脆弱性情報管理部200の主要部は、脆弱性情報データベース(DB)210、対処状況データベース(DB)220、脆弱性情報登録部230、脆弱性情報通知部240、脆弱性情報流通状況確認部250、脆弱性情報転送部260、対処状況登録部270および対処状況確認部280からなる。
【0042】
脆弱性情報DB210は、脆弱性の管理対象である情報システム製品について、情報システム製品の脆弱性に関わる構成要素を示すキーワード(プロトコル、ライブラリ、ミドルウェア、OS、通信機器、その他情報システム製品名など)を少なくとも一つ含む脆弱性情報を保持する。対処状況DB220は、各ユーザに通知した脆弱性情報への対処状況を脆弱性情報別に保持する。
【0043】
Webサイトクローラ3による自動監視とオペレータ端末4による有人監視の少なくとも一方により、ネットワーク20上に存在する脆弱性情報提供サイト30の定期的な監視が実行される。脆弱性情報登録部230は、Webサイトクローラ3またはオペレータ端末4を通じて新しい脆弱性情報を発見した場合は、その発見した脆弱性情報を、該脆弱性情報により特定される脆弱性に関連する情報システム製品の構成を示すキーワードを少なくとも一つ含む脆弱性情報として所定のフォーマットにパース(分解)し、それを脆弱性情報DB210に登録する。なお、発見した脆弱性情報について、脆弱性に関連する情報システム製品の構成を示すキーワードがキーワードテンプレートDB110に登録されていない場合は、脆弱性情報登録部230は、そのキーワードをキーワードテンプレートDB110に登録する。
【0044】
また、脆弱性情報登録部230は、影響度判定部231を有する。影響度判定部231は、脆弱性情報登録部230にて登録される脆弱性情報の内容に基づいて脆弱性のリスクを表すスコアを計算する。計算したスコアは、登録される脆弱性情報に付与される。スコアの計算は、非特許文献(Complete CVSS Guide, URL[http://www.first.org/cvss/cvss-guide.html])に記載のCVSS(Common Vulnerability Scoring System)により行うことができる。
【0045】
脆弱性情報通知部240は、脆弱性情報DB210に登録された脆弱性情報に含まれる一つ以上のキーワードと、コンタクトポイントDB120に登録されたユーザプロファイルに含まれるキーワードとを比較することにより、脆弱性情報を必要としているユーザを自動的に検索する。脆弱性情報通知部240は、SSL(Secure Socket Layer)/TLS(Transport Layer Security)などの暗号化通信技術を利用することにより、通信内容が第三者から保護されたWeb画面を通じて、検索したユーザに対して脆弱性情報を通知する。この脆弱性情報の通知において、脆弱性情報通知部240は、通知すべき脆弱性情報をスコアが高い順に並べて通知してもよい。
【0046】
脆弱性情報流通状況確認部250は、ユーザに通知した脆弱性情報の種類と通知した日時の情報を、脆弱性情報DB210の操作ログを分析することにより集計し、集計結果を他のユーザに開示する。
【0047】
ユーザは、クライアント端末2を通じて、通知された脆弱性情報を転送すべき他のユーザを任意に指定することができる。脆弱性情報転送部260は、ユーザにより指定された脆弱性情報を、そのユーザが任意に指定した他のユーザのクライアント端末へ転送する。
【0048】
ユーザは、クライアント端末2を通じて、通知された脆弱性情報への対処状況を入力することができる。対処状況登録部270は、ユーザに通知した脆弱性情報への対処状況をクライアント端末2から受け取り、それを対処状況DB220に登録する。
【0049】
対処状況確認部280は、ユーザが対処状況DB220に登録した脆弱性情報の対処状況を他のユーザに開示する。
【0050】
キーワード更新部290は、脆弱性情報を閲覧したユーザのクライアント端末2に対して、その脆弱性情報の有用度に関する質問事項が設けられた画面情報を送信する。クライアント端末2にて、画面情報に基づく質問画面が表示され、ユーザは、その表示画面上で、質問に対する回答を行うことができる。キーワード更新部290は、ユーザの回答情報をクライアント端末2から受信し、受信した回答情報に基づいて、コンタクトポイントDB120に登録された、そのユーザのプロファイルへの新しいキーワードの追加の必要性を判断する。新しいキーワードの追加が必要な場合は、キーワード更新部290は、該当するユーザプロファイルに新しいキーワードを追加する。
【0051】
次に、脆弱性情報流通システム1の動作を具体的に説明する。
【0052】
脆弱性情報流通システム1では、テンプレートへのキーワード登録処理、ユーザプロファイルの登録および検索の処理、脆弱性情報の登録および通知の処理、対処状況の登録および確認の処理、脆弱性情報の流通状況の確認処理、脆弱性情報の転送処理、キーワードの自動更新処理といった各処理が実行される。以下、各処理について詳細に説明する。
【0053】
(1)テンプレートへのキーワード登録処理
脆弱性情報流通システム1の管理者は、キーワードテンプレートDB110に、ユーザがプロファイルとして登録可能な脆弱性情報の種類を示すキーワードを予め登録する。また、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスすることができ、キーワードテンプレートDB110に登録されているキーワードを確認することができる。脆弱性情報流通システム1は、クライアント端末2からのアクセスを受け付ける際に、ユーザの正当性を判断するための認証処理を行う。認証処理に必要な情報(認証用のパスワードやIDなどの情報)は、ユーザおよび管理者の間で予め決められている。このアクセス時の認証処理は、後述する他の処理においても実行される。
【0054】
キーワードの確認において、ユーザは、クライアント端末2の入力部にて、キーワードを確認するための入力操作を行う。脆弱性情報流通システム1では、キーワードテンプレート更新部130が、クライアント端末2からの確認要求を受け付けて、キーワードテンプレートDB110に登録されているキーワードの一覧情報をクライアント端末2に送信する。キーワードの一覧情報は、クライアント端末2の表示部にて表示される。この表示されたキーワードの一覧情報の中に、ユーザ自身が必要とする脆弱性情報を示すキーワードが含まれていない場合は、ユーザは、クライアント端末2を用いて任意のキーワードをキーワードテンプレートDB110に追加申請するための入力操作を行う。
【0055】
キーワードテンプレート更新部130は、クライアント端末2からキーワードの追加申請の要求を受け付けると、その受け付けたキーワードをキーワードテンプレートへ反映させる。このキーワードの反映処理について、脆弱性情報流通システム1を運用する組織の運用ポリシーに応じた複数のプロシージャーを用意し、管理者は、それらプロシージャーから任意のプロシージャーを選択して反映処理を実行させることができる。プロシージャーとしては、キーワードの追加申請を受け付けた際に、受け付けたキーワードをキーワードテンプレートへ即座に反映させる処理や、脆弱性情報流通システム1の管理者が追加申請を承認した後に、受け付けたキーワードをキーワードテンプレートへ反映させる処理がある。
【0056】
(2)ユーザプロファイルの登録および確認の処理
ユーザプロファイルの登録を行う場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、ユーザプロファイルの登録要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、ユーザプロファイル登録部140が、ユーザプロファイルの登録画面情報をクライアント端末2に送信する。
【0057】
クライアント端末2では、ユーザプロファイルの登録画面情報に基づく画面が表示される。この表示画面にて、ユーザは、自身が必要とする脆弱性情報の種類を示すキーワードおよびユーザの属性情報(所属組織名、電話番号、メールアドレスなど)を入力する。ユーザプロファイル登録部140は、ユーザが入力したキーワードおよびユーザの属性情報をクライアント端末2から受け取り、それをユーザプロファイルとしてコンタクトポイントDB120に登録する。
【0058】
このユーザプロファイルの登録処理において、ユーザが必要とする脆弱性情報の種類を示すキーワードは、キーワードテンプレートDB110に登録されているキーワードの中から選択することができる。具体的には、ユーザプロファイル登録部140は、キーワードテンプレートDB110に登録されている全てのキーワードを選択肢としてクライアント端末2にて表示させる。ユーザは、クライアント端末2にて、その表示されたキーワードの選択肢から所望のキーワードを選択する。クライアント端末2は、ユーザによって選択されたキーワードの情報とユーザが入力した属性情報とを含むユーザプロファイルの情報をユーザプロファイル登録部140へ供給する。
【0059】
また、ユーザによるキーワードの選択登録に替えて、ドキュメントを入力してキーワードを自動的に登録するキーワード自動登録処理も可能である。以下に、キーワード自動登録処理を具体的に説明する。
【0060】
ユーザは、クライアント端末2にてWebブラウザを起動し、ユーザプロファイル登録部140が提供するWebインタフェースにアクセスする。次いで、ユーザは、Webインタフェース経由で、クライアント端末2からキーワード抽出部141へ、自身が管理する情報システム製品に関する、仕様書、設計書、取扱説明書などのドキュメント(テキストデータ)をアップロードする。
【0061】
キーワード抽出部141は、クライアント端末2からそのアップロードされたドキュメントを受け取る。次いで、キーワード抽出部141は、受け取ったドキュメントに含まれているキーワードとキーワードテンプレートDB110に登録されたキーワードとの比較を行う。この比較において、キーワード抽出部141は、一致したキーワードをドキュメントから抽出する。そして、ユーザプロファイル登録部140が、キーワード抽出部141にて抽出したキーワードの情報とその承認用画面情報とを、Webインタフェース経由でクライアント端末2に送信する。
【0062】
クライアント端末2は、ユーザプロファイル登録部140から受信したキーワードの情報および承認用画面情報を表示する。ユーザは、クライアント端末2にて、表示されたキーワードを確認し、問題がなければ、そのキーワードの登録を承認する旨の入力を行う。クライアント端末2は、承認入力がなされると、その旨を示す承認確定情報をユーザプロファイル登録部140へ送信する。
【0063】
ユーザプロファイル登録部140は、クライアント端末2から承認確定情報を受信すると、キーワード抽出部141にて抽出したキーワードを、承認をしたユーザのユーザプロファイルとしてコンタクトポイントDB120に登録する。
【0064】
ユーザによる承認を得られなかった場合は、ユーザプロファイル登録部140は、抽出したキーワードの登録を行わない。
【0065】
なお、ユーザプロファイルへのキーワードの登録は、ユーザによるキーワードの選択登録とドキュメントからキーワードを抽出するキーワード自動登録の一方もしくはこれら登録の併用により行うことができる。
【0066】
一方、ユーザプロファイルを確認する場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、ユーザプロファイルの確認要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、ユーザプロファイル検索部150が、ユーザプロファイルの確認用画面情報をクライアント端末2に送信する。
【0067】
クライアント端末2は、ユーザプロファイル検索部150から受信した確認用画面情報を表示する。表示された画面上で、ユーザが、脆弱性情報の種類を示すキーワードやユーザの属性情報のうちの任意の項目を指定する。クライアント端末2は、ユーザが指定した項目の情報をユーザプロファイル検索部150に送信する。
【0068】
ユーザプロファイル検索部150は、クライアント端末2から受信した項目情報を検索用のキーとして用いて、コンタクトポイントDB120から該当するユーザプロファイルを検索する。そして、ユーザプロファイル検索部150は、検索したユーザプロファイルの情報をクライアント端末2に送信する。
【0069】
クライアント端末2は、ユーザプロファイル検索部150から受信したユーザプロファイルの情報を表示する。これにより、ユーザは、自身が登録したユーザプロファイルや他のユーザが登録したユーザプロファイルを確認することができる。
【0070】
(3)脆弱性情報の登録および通知の処理
図2に、脆弱性情報管理部200にて行われる脆弱性情報の登録および通知の一連の処理手順を示す。
【0071】
Webサイトクローラ3による自動監視とオペレータ端末4による有人監視の少なくとも一方により、ネットワーク20上に存在する脆弱性情報提供サイト30にて報告される脆弱性情報を定期的に監視する(ステップS10)。この定期的な監視において、Webサイトクローラ3またはオペレータ端末4は、一日一回以上の周期で脆弱性情報提供サイト30にアクセスする。脆弱性情報に付与されている「情報公開日」のデータを調べることで、新しい脆弱性情報が報告されたか否かを判定する(ステップS11)。脆弱性情報登録部230が、Webサイトクローラ3またはオペレータ端末4を通じて収集した脆弱性情報について、「情報公開日」に基づいて新しい脆弱性情報であるか否かを判定してもよい。
【0072】
新しい脆弱性情報が発見されると、脆弱性情報登録部230は、その発見された脆弱性情報を所定のフォーマットでパース処理して、脆弱性が関連する情報システム製品を示すキーワードを一つ以上含む脆弱性情報を得、それを脆弱性情報DB210に登録する(ステップS12)。
【0073】
脆弱性情報提供サイトの中には、新しい脆弱性情報の掲載をRSSフィードによって通知するサイトもある。このようなサイトに対しては、脆弱性情報登録部230にてRSSフィードを受信する。脆弱性情報登録部230は、そのRSSフィードの受信によって通知される脆弱性情報を新しい脆弱性情報として収集する。「RSS」は、記述の仕組みを規定したRDF(Resource Description Framework)に基づくものであって、いくつかの略語の意味が存在するが、ここでは、「RSS」は「RDF Site Summary」の略である。
【0074】
なお、脆弱性情報登録部230にて収集される脆弱性情報は、同一の脆弱性についての情報であっても、収集元のセキュリティ情報提供サイト毎に異なるフォーマットで記述されている場合がある。この場合は、脆弱性情報登録部230は、収集元の各セキュリティ情報提供サイトの脆弱性情報のフォーマットに特化したパース処理を行う。これにより、脆弱性情報のフォーマットの違いを吸収する。
【0075】
例えば、脆弱性情報のデータ項目である「脆弱性が影響を与える情報システム製品の名称」は、セキュリティ情報提供サイトによっては、「System Affected」、「Product」、「Affected」、「Products」などいったデータ項目名で記述される。また、脆弱性情報のデータ項目である「脆弱性を修正するための対策方法の内容」は、セキュリティ情報提供サイトによっては、「Solution」、「解決方法」などといったデータ項目名で記述される。このように、データ項目名が異なる場合でも、同一の内容を示すデータ項目がある。このような場合、パース処理を行うことで、脆弱性情報流通システム1で取り扱う脆弱性情報のデータ構造とは異なるデータ構造の脆弱性情報を、脆弱性情報流通システム1で取り扱う脆弱性情報のデータ構造に変換することができる。
【0076】
パース処理による脆弱性情報の登録処理において、脆弱性情報登録部230は、収集した脆弱性情報をデータ項目の単位に分解し、そのデータ項目単位に分解された脆弱性情報の各データ項目を、脆弱性情報流通システム1で取り扱う脆弱性情報の対応するデータ項目に登録する。なお、脆弱性情報の収集から登録までの一連の処理を行うプログラムとしては、収集対象である各セキュリティ情報提供サイトが提供する脆弱性情報のデータ構造に対応したものを予め用意する。
【0077】
ステップS12の登録処理の際に、影響判定部231が、脆弱性情報登録部230にて登録される脆弱性情報の内容に基づいて脆弱性のリスクを表すスコアをCVSSにより計算する。CVSSによるスコアの計算に必要なデータ項目を以下に示す。
【0078】
・脆弱性を悪用可能なネットワーク環境
・脆弱性を悪用する際の対象プロダクトへの認証の要否
・脆弱性を悪用された場合に漏洩する情報のレベル
・脆弱性を悪用された場合に改ざんされる情報のレベル
・脆弱性を悪用された場合に停止する対象プロダクトの機能のレベル
・脆弱性を悪用するための攻撃方法の有無
・脆弱性を悪用するための攻撃方法の内容
・脆弱性を修正するための対策方法の有無
・脆弱性を修正するための対策方法の内容
・脆弱性を回避するための対策方法の有無
・脆弱性を回避するための対策方法の内容
以下に、脆弱性情報へのリスクスコア付与をCVSSにより実現する方法を説明する。
【0079】
CVSSによる計算機能が脆弱性情報登録部230に実装される。脆弱性情報登録部230は、収集した脆弱性情報をパース処理することで、スコア計算に必要な上記のようなデータ項目を取得する。パース処理で得られたデータ項目がCVSS計算機能に供給される。CVSS計算機能は、入力されたデータ項目に基づいて収集した脆弱性情報のスコアを計算する。脆弱性情報登録部230は、計算したスコアを、収集した脆弱性情報の「脆弱性の危険度を定量的に示すスコア」の値として脆弱性情報DB210に登録する。
【0080】
ステップS12の登録処理の後、脆弱性情報通知部240が、脆弱性情報DB210に登録された新しい脆弱性情報について、その脆弱性情報を必要としているユーザを検索する(ステップS13)。このユーザ検索において、脆弱性情報通知部240は、脆弱性情報DB210に登録された新しい脆弱性情報に含まれる一つ以上のキーワードと、コンタクトポイントDB120に登録されたユーザプロファイルに含まれるキーワードとを比較する(ステップS14)。そして、脆弱性情報通知部240は、キーワードが一致したユーザプロファイルに含まれているユーザ属性情報から、脆弱性情報を必要としているユーザの宛先情報(メールアドレスや電話番号)を取得し、その宛先情報を参照して、新しい脆弱性情報をユーザに通知する(ステップS15)。
【0081】
ステップS15の脆弱性情報のユーザへの通知は、通知用のWeb画面を通じて行う。この通知用のWeb画面は、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。宛先情報を参照して、Web画面がユーザに提示される。
【0082】
以上の処理によれば、ユーザがプロファイルに登録したキーワードを含む新規の脆弱性情報が脆弱性情報提供サイトで発見されると、その新規の脆弱性情報が自動的にユーザに通知される。通知すべき脆弱性情報をスコアの高い順に並べて通知してもよい。
【0083】
なお、脆弱性情報の登録において、ユーザは、クライアント端末2を通じて、自身の管理している情報システム製品の脆弱性に関する情報を直接登録することができる。この登録された脆弱性情報に対しても、上述したステップS13からS15の処理が実行される。これにより、ユーザが登録した脆弱性情報が、そのユーザ以外の関係者に通知されることになる。
【0084】
(4)対処状況の登録および確認の処理
ユーザは、クライアント端末2を通じて、通知された脆弱性情報への対処状況を入力することができる。ここで、対処状況とは、ユーザが、通知のあった脆弱性情報に対して行った対処を示し、以下のようなステータスで表される。
【0085】
対処状況のステータスは、ユーザの管理する情報システム製品における脆弱性の影響の有無の調査結果を表すステータスと対処内容を表すステータスがある。調査結果を表すステータスとしては、「未調査」、「調査中」、「影響なし」、「影響あり」といった項目がある。対処内容を表すステータスとしては、[対処の必要なし」、「対処方法の検討中」、「パッチ適用で対処済み」、「設定変更で対処済み」といった項目がある。
【0086】
対処状況登録部27は、図2のステップS15で脆弱性情報を通知したユーザに対して、対処状況登録用のWeb画面を提示する。この対処状況登録用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面であり、上記の各ステータスに関する入力項目が設けられている。
【0087】
ユーザは、クライアント端末2に表示された対処状況登録用のWeb画面にて、各ステータスに関する項目を入力する。入力した項目の情報(対処状況)は、クライアント端末2から対処状況登録部27に供給される。対処状況登録部27は、クライアント端末2から受信した対処状況を脆弱性情報別に対処状況DB220に登録する。
【0088】
対処状況は、脆弱性情報の種類を示すキーワードと関連付けて対処状況DB220に格納される。したがって、脆弱性情報の種類を示すキーワードを検索キーとして用いて対処状況DB220から所望の脆弱性情報の対処状況を検索することができる。
【0089】
以下に、対処状況の確認処理について説明する。
【0090】
対処状況の確認を行う場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、対処状況の確認要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、対処状況確認部280が、対処状況確認用のWeb画面をユーザに提示する。この対処状況確認用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
【0091】
対処状況確認用のWeb画面には、対処状況を確認したい脆弱性情報の種類を示すキーワードを入力する項目が設けられている。ユーザは、クライアント端末2に表示された対処状況確認用のWeb画面にて、対処状況を確認したい脆弱性情報の種類を示すキーワードを入力する。入力したキーワードの情報は、クライアント端末2から対処状況確認部280に供給される。
【0092】
対処状況確認部280は、クライアント端末2から受信したキーワードの情報に基づいて、対処状況DB220から、該当する対処状況を検索する。そして、対処状況確認部280は、検索結果をクライアント端末2に送信する。クライアント端末2では、Web画面上に、対処状況確認部280から受信した検索結果が表示される。
【0093】
ユーザは、Web画面に表示された対処処理の検索結果を参照して、適切な対処方法を判断することができる。
【0094】
(5)脆弱性情報の流通状況の確認処理
他のユーザにおける脆弱性情報の流通状況を確認する場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、流通状況の確認要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、脆弱性情報流通状況確認部250が、流通状況確認用のWeb画面をユーザに提示する。この流通状況確認用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
【0095】
流通状況確認用のWeb画面には、流通状況を確認したい脆弱性情報の種類を示すキーワードまたは流通状況を確認したいユーザの情報を入力する項目が設けられている。ここで、流通状況を確認したいユーザの情報とは、そのユーザのユーザプロファイルに登録されている識別情報であって、例えばユーザの氏名や所属組織名である。ユーザは、クライアント端末2に表示された流通状況確認用のWeb画面にて、流通状況を確認したい脆弱性情報の種類またはユーザの識別情報を入力する。入力情報は、クライアント端末2から脆弱性情報流通状況確認部250に供給される。
【0096】
脆弱性情報流通状況確認部250は、流通状況を確認したい脆弱性情報の種類を示すキーワードの情報をクライアント端末2から受信した場合は、そのキーワードの情報によって特定される脆弱性情報について、脆弱性に関連する情報システム製品の情報や通知した日時の情報を、脆弱性情報DB210の操作ログを分析することにより集計する。脆弱性情報流通状況確認部250は、その集計結果をクライアント端末2に送信する。
【0097】
他方、脆弱性情報流通状況確認部250は、流通状況を確認したいユーザの識別情報をクライアント端末2から受信した場合は、その識別情報に基づいてコンタクトポイントDB120から該当するユーザプロファイルを検索する。そして、脆弱性情報流通状況確認部250は、検索したユーザプロファイルに含まれているキーワードの情報によって特定される脆弱性情報について、脆弱性に関連する情報システム製品の情報や通知した日時の情報を、脆弱性情報DB210の操作ログを分析することにより集計する。脆弱性情報流通状況確認部250は、その集計結果をクライアント端末2に送信する。
【0098】
クライアント端末2は、脆弱性情報流通状況確認部250から受信した集計結果を表示する。ユーザは、Web画面に表示された集計結果を参照することで、他のユーザにおける脆弱性情報の流通状況を確認することができる。
【0099】
(6)脆弱性情報の転送処理
ユーザは、自身に通知された脆弱性情報を他のユーザへ転送させることができる。脆弱性情報を他のユーザへ転送させる場合、ユーザは、クライアント端末2を用いて脆弱性情報流通システム1へアクセスし、脆弱性情報の転送要求を行う。アクセスを受け付けた脆弱性情報流通システム1では、脆弱性情報転送部260が、脆弱性情報転送用のWeb画面をユーザに提示する。この脆弱性情報転送用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
【0100】
脆弱性情報転送用のWeb画面には、転送すべき脆弱性情報の種類を示すキーワード、転送先となるユーザの識別情報(氏名や所属組織名)を入力する項目がそれぞれ設けられている。ユーザは、クライアント端末2に表示された脆弱性情報転送用のWeb画面にて、転送すべき脆弱性情報の種類や転送先の情報を入力する。入力情報(キーワードおよび識別情報)は、クライアント端末2から脆弱性情報転送部260に供給される。
【0101】
脆弱性情報転送部260は、クライアント端末2から受信した識別情報に基づいてコンタクトポイントDB120から該当するユーザプロファイルを取得し、脆弱性情報転送部260は、クライアント端末2から受信したキーワードに基づいて脆弱性情報DB210から該当する脆弱性情報を取得する。そして、脆弱性情報転送部260は、取得したユーザプロファイルに含まれている宛先情報を参照して、取得した脆弱性情報を通知する。この脆弱性情報の通知も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面を通じて行う。
【0102】
転送する脆弱性情報についても、スコアの高い順に並べて通知してもよい。
【0103】
(7)キーワードの自動更新処理
キーワード更新部290は、脆弱性情報を通知したクライアント端末2に対して有用度登録用のWeb画面の情報を送信する。有用度登録用のWeb画面も、SSL/TLSなどの暗号化通信技術により通信内容が第三者から保護されたWeb画面である。
【0104】
有用度登録用のWeb画面には、ユーザに通知した脆弱性情報の有用度に関する質問項目が設けられている。質問項目は、脆弱性情報の有用性(「役に立った」または「役に立たなかった」)を尋ねる項目を選択形式で表示したものである。
【0105】
ユーザは、クライアント端末2に表示された有用度登録用のWeb画面にて、表示された質問項目の選択肢から、通知された脆弱性情報の有用度を示し項目を選択する。ユーザにより選択された有用度の情報(回答情報)は、クライアント端末2からキーワード更新部290に供給される。
【0106】
キーワード更新部290は、クライアント端末2から受信した有用度の情報から、ユーザに通知した脆弱性情報が役に立ったか否かを判定する。脆弱性情報が役に立った場合は、キーワード更新部290は、その脆弱性情報に含まれているキーワードとキーワードテンプレートDB110に登録されているキーワードとを比較し、合致するキーワードを抽出する。そして、キーワード更新部290は、抽出したキーワードが、有用度の回答を行ったユーザ(脆弱性情報を通知したユーザ)のユーザプロファイルに登録されているか否かを確認する。抽出したキーワードがユーザプロファイルに登録されていない場合は、キーワード更新部290は、そのキーワードをユーザプロファイルに登録する。
【0107】
なお、有用度登録用のWeb画面の提示先となるユーザは、脆弱性情報通知部240により脆弱性情報が通知されたユーザの他、脆弱性情報転送部260により脆弱性情報が転送されたユーザも含む。
【0108】
以上説明した脆弱性情報流通システムによれば、コンタクトポイントDB120で、ユーザ(担当者)の宛先情報やユーザ(担当者)が必要とする脆弱性情報の種類を管理することができるので、データベースを更新することで、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境への適用が可能である。
【0109】
また、脆弱性情報DB210に格納される脆弱性情報は、情報システム製品の脆弱性に関わる構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードを含む。ユーザプロファイルには、ユーザが必要とする脆弱性情報の種類を識別するための情報として、構成要素(OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコル)のうちの少なくとも一つの構成要素を示すキーワードが登録される。そして、脆弱性情報DB210に格納される脆弱性情報に含まれているキーワードと、ユーザプロファイルに登録されたキーワードとを比較することで、脆弱性情報を通知すべきユーザを検索する。この仕組みによれば、脆弱性情報DB210において、脆弱性情報とともに情報システム製品の構成要素を管理することができるので、市販製品やオープンソースソフトウェア、独自開発等の多様な提供形態を取り得る情報システム製品や、OS、ミドルウェア、アプリケーションソフトウェア、機能モジュール、ライブラリ、プロトコルといった項目の複雑な組み合わせによって構成される情報システム製品についても、構成情報を正確に把握することが可能である。また、開発のアウトソーシングや運用担当者が開発部隊からプロダクトやシステムを引き継いだ場合において、ユーザは、プロダクトやシステムの全容を把握していなくても、必要なキーワードをユーザプロファイルに登録するだけで、自身の担当する情報システム製品の脆弱性情報を自動的に取得することができる。
【0110】
また、ユーザへの脆弱性情報の通知は、暗号化された通信により提示されたWeb画面により行われるので、脆弱性情報が組織外に漏洩しないように情報管理を行うことが可能である。
【0111】
さらに、脆弱性情報流通状況確認部250が、ユーザに通知した脆弱性情報の種類と通知した日時の情報を、脆弱性情報データベースの操作ログを分析することにより集計し、該集計結果を、暗号化された通信により提示したWeb画面を通じて他のユーザに開示するので、ユーザは、自由に組織内での脆弱性情報の流通状況を把握することが可能である。
【0112】
さらに、対処状況確認部280が、対処状況DB220に登録されたユーザの対処状況を、暗号化された通信により提示したWeb画面を通じて他のユーザに公開するので、ユーザは、組織全体での対処状況の把握が可能である。
【0113】
以上の本発明によれば、組織や仕様の変更に伴って脆弱性情報の通知先や内容が変化する環境においても、脆弱性情報の迅速かつ適切な伝達を実現することができる。
【0114】
なお、上述した実施形態は本発明の一例であり、本発明はそれに限定されるものではない。本発明の脆弱性情報流通システムの構成および動作は、発明の趣旨を逸脱しない範囲で適宜に変更することができる。
【0115】
また、上述した本実施形態の脆弱性情報流通システムにおいて、各構成部における処理は、プログラムをコンピュータが実行することで実現することが可能である。プログラムは、CD−ROMやDVDなどの記録媒体で提供されても、インターネットを通じて提供されてもよい。
【図面の簡単な説明】
【0116】
【図1】本発明の一実施形態に係る脆弱性情報流通システムの構成を示すブロック図である。
【図2】図1に示す脆弱性情報流通システムの脆弱性情報管理部にて行われる脆弱性情報の登録および通知の一連の処理手順を示すフローチャートである。
【符号の説明】
【0117】
1 脆弱性情報流通システム
2 クライアント端末
3 Webサイトクローラ
4 オペレータ端末
10 ユーザ組織ネットワーク
20 ネットワーク
30 脆弱性情報提供サイト
100 コンタクトポイント管理部
110 キーワードテンプレートデータベース
120 コンタクトポイントデータベース
130 キーワードテンプレート登録部
140 ユーザプロファイル登録部
141 キーワード抽出部
150 ユーザプロファイル検索部
200 脆弱性情報管理部
210 脆弱性情報データベース
220 対処状況データベース
230 脆弱性情報登録部
240 脆弱性情報通知部
250 脆弱性情報流通状況確認部
260 脆弱性情報転送部
270 対処状況登録部
280 対処状況確認部
290 キーワード更新部
【特許請求の範囲】
【請求項1】
脆弱性の管理対象である情報システム製品について、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報が格納される脆弱性情報データベースと、
ユーザが必要とする情報システム製品の脆弱性情報の種類を識別するための、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードと、前記ユーザへの情報の通知を行うための宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントデータベースと、
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、前記コンタクトポイントデータベースから検索し、該検索したユーザプロファイルに含まれる宛先情報を参照して、暗号化された通信によりWeb画面を提示し、該Web画面にて該脆弱性情報の通知を行う脆弱性情報通知部と、を有する、脆弱性情報流通システム。
【請求項2】
外部から提供された情報システム製品の脆弱性情報を、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報として所定のフォーマットにパースし、該パースした脆弱性情報を前記脆弱性情報データベースに登録する脆弱性情報登録部を、さらに有し、
前記脆弱性情報通知部は、前記脆弱性情報登録部によって前記脆弱性情報データベースに新たに格納された脆弱性情報を前記Web画面にて通知する、請求項1に記載の脆弱性情報流通システム。
【請求項3】
前記ユーザに通知した脆弱性情報の種類と通知した日時の情報を、前記脆弱性情報データベースの操作ログを分析することにより集計し、該集計結果を、暗号化された通信により提示したWeb画面を通じて他のユーザに開示する脆弱性情報流通状況確認部を、さらに有する、請求項1または2に記載の脆弱性情報流通システム。
【請求項4】
前記ユーザに通知した脆弱性情報を、暗号化された通信により提示したWeb画面を通じて他のユーザに通知する脆弱性情報転送部を、さらに有する、請求項1から3のいずれかに記載の脆弱性情報流通システム。
【請求項5】
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報の影響度を定量的に示すスコアを計算し、該スコアを該脆弱性情報に付与する影響度判定部を、さらに有し、
前記脆弱性情報通知部は、通知すべき脆弱性情報を前記スコアが高い順に並べて通知する、請求項1から4のいずれか1項に記載の脆弱性情報流通システム。
【請求項6】
前記ユーザが使用するクライアント端末から、通知した前記脆弱性情報に対する対処状況を受信し、該受信した対処状況を脆弱性情報別に対処状況データベースに登録する対処状況登録部と、
前記対処状況データベースに登録された前記ユーザの対処状況を、暗号化された通信により提示したWeb画面を通じて他のユーザに公開する対処状況確認部と、をさらに有する、請求項1から5のいずれか1項に記載の脆弱性情報流通システム。
【請求項7】
前記ユーザプロファイルとして登録するキーワードの候補となるキーワード群が登録されるキーワードテンプレートデータベースと、
前記キーワードテンプレートデータベースに登録されているキーワードを選択肢とする選択画面情報を前記ユーザが使用するクライアント端末に送信し、該クライアント端末から、前記選択肢から選択したキーワードの情報を受信し、該受信したキーワードの情報を前記ユーザのユーザプロファイルとして前記コンタクトポイントデータベースに登録するユーザプロファイル登録部とを、さらに有する、請求項1から6のいずれか1項に記載の脆弱性情報流通システム。
【請求項8】
前記クライアント端末から、前記ユーザによって管理される情報システム製品に関するテキストデータを受信し、該テキストデータから、前記キーワードテンプレートデータベースに登録されているキーワードに合致するキーワードを抽出し、該抽出したキーワードを前記ユーザのユーザプロファイルとして前記コンタクトポイントデータベースに登録するユーザプロファイル登録部を、さらに有する、請求項7に記載の脆弱性情報流通システム。
【請求項9】
前記クライアント端末から、前記ユーザに通知した前記脆弱性情報が有用であるか否かを示す回答結果を受信し、該受信した回答結果が有用であることを示す場合に、通知した前記脆弱性情報に含まれているキーワードのうち前記キーワードテンプレートデータベースに登録されたキーワードと合致するキーワードを、前記ユーザのユーザプロファイルとして前記コンタクトポイントデータベースに登録するキーワード更新部を、さらに有する、請求項7または8に記載の脆弱性情報流通システム。
【請求項10】
脆弱性の管理対象である情報システム製品について、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報が格納される脆弱性情報データベースと、ユーザが必要とする情報システム製品の脆弱性情報の種類を識別するための、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードと、前記ユーザへの情報の通知を行うための宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントデータベースと、を有するコンピュータシステムにおいて行われる脆弱性情報流通方法であって、
前記コンピュータシステムが、
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、前記コンタクトポイントデータベースから検索し、
該検索したユーザプロファイルに含まれる宛先情報を参照して、暗号化された通信によりWeb画面を提示し、
該Web画面にて該脆弱性情報の通知を行う、
ステップを含む、脆弱性情報流通方法。
【請求項1】
脆弱性の管理対象である情報システム製品について、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報が格納される脆弱性情報データベースと、
ユーザが必要とする情報システム製品の脆弱性情報の種類を識別するための、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードと、前記ユーザへの情報の通知を行うための宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントデータベースと、
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、前記コンタクトポイントデータベースから検索し、該検索したユーザプロファイルに含まれる宛先情報を参照して、暗号化された通信によりWeb画面を提示し、該Web画面にて該脆弱性情報の通知を行う脆弱性情報通知部と、を有する、脆弱性情報流通システム。
【請求項2】
外部から提供された情報システム製品の脆弱性情報を、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報として所定のフォーマットにパースし、該パースした脆弱性情報を前記脆弱性情報データベースに登録する脆弱性情報登録部を、さらに有し、
前記脆弱性情報通知部は、前記脆弱性情報登録部によって前記脆弱性情報データベースに新たに格納された脆弱性情報を前記Web画面にて通知する、請求項1に記載の脆弱性情報流通システム。
【請求項3】
前記ユーザに通知した脆弱性情報の種類と通知した日時の情報を、前記脆弱性情報データベースの操作ログを分析することにより集計し、該集計結果を、暗号化された通信により提示したWeb画面を通じて他のユーザに開示する脆弱性情報流通状況確認部を、さらに有する、請求項1または2に記載の脆弱性情報流通システム。
【請求項4】
前記ユーザに通知した脆弱性情報を、暗号化された通信により提示したWeb画面を通じて他のユーザに通知する脆弱性情報転送部を、さらに有する、請求項1から3のいずれかに記載の脆弱性情報流通システム。
【請求項5】
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報の影響度を定量的に示すスコアを計算し、該スコアを該脆弱性情報に付与する影響度判定部を、さらに有し、
前記脆弱性情報通知部は、通知すべき脆弱性情報を前記スコアが高い順に並べて通知する、請求項1から4のいずれか1項に記載の脆弱性情報流通システム。
【請求項6】
前記ユーザが使用するクライアント端末から、通知した前記脆弱性情報に対する対処状況を受信し、該受信した対処状況を脆弱性情報別に対処状況データベースに登録する対処状況登録部と、
前記対処状況データベースに登録された前記ユーザの対処状況を、暗号化された通信により提示したWeb画面を通じて他のユーザに公開する対処状況確認部と、をさらに有する、請求項1から5のいずれか1項に記載の脆弱性情報流通システム。
【請求項7】
前記ユーザプロファイルとして登録するキーワードの候補となるキーワード群が登録されるキーワードテンプレートデータベースと、
前記キーワードテンプレートデータベースに登録されているキーワードを選択肢とする選択画面情報を前記ユーザが使用するクライアント端末に送信し、該クライアント端末から、前記選択肢から選択したキーワードの情報を受信し、該受信したキーワードの情報を前記ユーザのユーザプロファイルとして前記コンタクトポイントデータベースに登録するユーザプロファイル登録部とを、さらに有する、請求項1から6のいずれか1項に記載の脆弱性情報流通システム。
【請求項8】
前記クライアント端末から、前記ユーザによって管理される情報システム製品に関するテキストデータを受信し、該テキストデータから、前記キーワードテンプレートデータベースに登録されているキーワードに合致するキーワードを抽出し、該抽出したキーワードを前記ユーザのユーザプロファイルとして前記コンタクトポイントデータベースに登録するユーザプロファイル登録部を、さらに有する、請求項7に記載の脆弱性情報流通システム。
【請求項9】
前記クライアント端末から、前記ユーザに通知した前記脆弱性情報が有用であるか否かを示す回答結果を受信し、該受信した回答結果が有用であることを示す場合に、通知した前記脆弱性情報に含まれているキーワードのうち前記キーワードテンプレートデータベースに登録されたキーワードと合致するキーワードを、前記ユーザのユーザプロファイルとして前記コンタクトポイントデータベースに登録するキーワード更新部を、さらに有する、請求項7または8に記載の脆弱性情報流通システム。
【請求項10】
脆弱性の管理対象である情報システム製品について、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードを含む脆弱性情報が格納される脆弱性情報データベースと、ユーザが必要とする情報システム製品の脆弱性情報の種類を識別するための、該情報システム製品の脆弱性に関わる少なくとも一つの構成要素を示すキーワードと、前記ユーザへの情報の通知を行うための宛先情報とを含むユーザプロファイルが格納されるコンタクトポイントデータベースと、を有するコンピュータシステムにおいて行われる脆弱性情報流通方法であって、
前記コンピュータシステムが、
前記脆弱性情報データベースに格納された脆弱性情報について、該脆弱性情報に含まれるキーワードと合致するキーワードを含むユーザプロファイルを、前記コンタクトポイントデータベースから検索し、
該検索したユーザプロファイルに含まれる宛先情報を参照して、暗号化された通信によりWeb画面を提示し、
該Web画面にて該脆弱性情報の通知を行う、
ステップを含む、脆弱性情報流通方法。
【図1】
【図2】
【図2】
【公開番号】特開2009−15570(P2009−15570A)
【公開日】平成21年1月22日(2009.1.22)
【国際特許分類】
【出願番号】特願2007−176237(P2007−176237)
【出願日】平成19年7月4日(2007.7.4)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成21年1月22日(2009.1.22)
【国際特許分類】
【出願日】平成19年7月4日(2007.7.4)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]