特許ウォッチ

公開番号2024058295
公報種別公開特許公報(A)
公開日2024-04-25
出願番号2022165567
出願日2022-10-14
発明の名称サーバ装置、情報処理装置、情報処理方法およびプログラム
出願人キヤノン株式会社
代理人個人,個人,個人,個人,個人
主分類G06F 21/57 20130101AFI20240418BHJP(計算;計数)
要約【課題】本発明は、情報処理装置における脆弱性対策を行うべきか否かの判断を適切に行うことを目的とする。
【解決手段】本発明に係るサーバ装置は、情報処理装置に関わる脆弱性情報を取得する第一の取得手段と、前記情報処理装置が接続されているネットワークに関する情報を取得する第二の取得手段と、前記脆弱性情報と前記ネットワークに関する情報とに基づく脆弱性対策の情報を、前記情報処理装置に送信する送信手段と、を有することを特徴とする。
【選択図】図4
特許請求の範囲【請求項１】
情報処理装置に関わる脆弱性情報を取得する第一の取得手段と、
前記情報処理装置が接続されているネットワークに関する情報を取得する第二の取得手段と、
前記脆弱性情報と前記ネットワークに関する情報とに基づく脆弱性対策の情報を、前記情報処理装置に送信する送信手段と、を有することを特徴とするサーバ装置。
続きを表示（約 960 文字）【請求項２】
前記ネットワークに関する情報は、前記情報処理装置が接続されているネットワークのセキュリティを識別することができる識別子であることを特徴とする請求項１に記載のサーバ装置。
【請求項３】
前記第二の取得手段は、前記情報処理装置が接続されているネットワーク内のネットワーク機器から、前記ネットワークに関する情報を取得することを特徴とする請求項１に記載のサーバ装置。
【請求項４】
前記第一の取得手段は、前記情報処理装置で使用されているプロトコルと、ポートと、ソフトウェアと、ハードウェアとの少なくともいずれか一つの情報に基づき、前記脆弱性情報を取得することを特徴とする請求項１に記載のサーバ装置。
【請求項５】
前記第一の取得手段は、前記情報処理装置のベンダー名と、デバイス名と、型番との少なくともいずれか一つの情報に基づき、前記脆弱性情報を取得することを特徴とする請求項１に記載のサーバ装置。
【請求項６】
前記脆弱性情報に関する攻撃の情報と、前記脆弱性情報の脆弱性の深刻度とに基づき、前記脆弱性対策の情報を生成する生成手段を更に有することを特徴とする請求項１に記載のサーバ装置。
【請求項７】
前記送信手段は、前記脆弱性情報により示されるネットワークの情報と、前記ネットワークに関する情報とが一致した場合、前記脆弱性情報を前記情報処理装置に送信することを特徴とする請求項１に記載のサーバ装置。
【請求項８】
前記脆弱性対策の情報は、前記情報処理装置において設定値の変更を行う必要がある設定対象と、変更の後の設定値と、脆弱性対策の要否とが含まれていることを特徴とする請求項１に記載のサーバ装置。
【請求項９】
前記送信手段は、前記脆弱性情報の脆弱性の深刻度が所定の値よりも大きい場合、前記脆弱性情報を前記情報処理装置に送信することを特徴とする請求項６に記載のサーバ装置。
【請求項１０】
前記送信手段は、前記情報処理装置による認証が成功している場合、前記脆弱性情報を前記情報処理装置に送信することを特徴とする請求項１に記載のサーバ装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、脆弱性情報を取得するサーバ装置、情報処理装置、情報処理方法およびプログラムに関する。
続きを表示（約 2,200 文字）【背景技術】
【０００２】
近年、情報処理装置の脆弱性を利用したサイバー攻撃による被害は増加しており、脆弱性に対して迅速な対応を行うことが重要視されている。脆弱性情報は広く公開されており、誰でも脆弱性情報を入手することができるが、公開されている情報は多岐にわたる。そのため、情報処理装置に適切な対策を行うためには公開されている情報を精査し、どの情報が関係あるのかを分析したうえで、対策が必要な情報処理装置に対して脆弱性対策を行う必要がある。
【０００３】
特許文献１では、公開されている脆弱性データベースから脆弱性情報とその対策データなどを収集する。そして、組織内で所有するハードウェア資産やソフトウェア資産の情報と突き合わせることで脆弱性対策を行うべき対象を特定したうえで対策データの生成と配布を行っている。
【先行技術文献】
【特許文献】
【０００４】
特許第６７３５９９６号
【発明の概要】
【発明が解決しようとする課題】
【０００５】
しかしながら、特許文献１は、情報処理装置のネットワーク環境を考慮した対策要否の判断を行うことは開示されていない。脆弱性情報には、脆弱性の内容とともに、脆弱性を利用した攻撃を行う際の条件が含まれている。例えば、公知の共通脆弱性評価システム（ＣＶＳＳ）では、脆弱性情報に対して、攻撃元の区分（ローカル、ネットワーク、隣接）、攻撃条件の複雑さ（セッション情報の取得などの攻撃に際する準備の要否）が開示されている。また、攻撃に必要な特権レベル（一般ユーザ権限、特権ユーザ権限）などの情報も公開されている。このような情報を考慮しないで情報処理装置に対して脆弱性対策を行った場合、ユーザビリティの低下を招く場合がある。
【０００６】
例えば、脆弱性を利用した攻撃のために情報処理装置の設定値やセッション情報の収集が必要であるとする。オフィス環境のようにプロキシサーバやファイアウォールによるネットワーク境界防御がされている環境では前述の情報収集を行うことは難しい。そのため、ネットワーク境界防御がない環境と比べて脆弱性の深刻度は低下する。この場合、脆弱性対策のために機能を無効化するといった対策を行うと、必要以上にユーザビリティを低下させてしまう。情報処理装置のネットワーク環境に応じて脆弱性の対応要否を判断することで不必要にユーザビリティを低下させることを防ぐことができるが、そのためには情報処理装置がどのようなネットワーク環境に接続されているかを把握する必要がある。特許文献１では、情報処理装置のネットワーク環境を把握することを行っておらず、情報処理装置のネットワーク環境と脆弱性情報の関係性も不明であるため、脆弱性対策を行うべきか否かの判断を適切に行うことが出来ない。本発明は、上記課題を鑑みてなされたものであり、情報処理装置における脆弱性対策を行うべきか否かの判断を適切に行うことを目的とする。
【課題を解決するための手段】
【０００７】
本発明に係るサーバ装置は、情報処理装置に関わる脆弱性情報を取得する第一の取得手段と、前記情報処理装置が接続されているネットワークに関する情報を取得する第二の取得手段と、前記脆弱性情報と前記ネットワークに関する情報とに基づく脆弱性対策の情報を、前記情報処理装置に送信する送信手段と、を有することを特徴とする。
【発明の効果】
【０００８】
本発明によれば、情報処理装置における脆弱性対策を行うべきか否かの判断を適切に行うことが出来る。
【図面の簡単な説明】
【０００９】
本発明に関わるＭＦＰと周辺デバイスの接続形態を示すブロック図
本発明に関わるＭＦＰのコントローラ部の内部構成図
本発明に関わるＭＦＰ１００の機能構成
本発明に関わる管理サーバ１２０の機能構成
実施形態１に関わる脆弱性対策設定
実施形態１に関わるＭＦＰ－ネットワーク環境対応テーブル
実施形態１に関わる脆弱性プロファイル
実施形態１に関わる環境プロファイル
実施形態１に関わる環境－脆弱性対応テーブル
実施形態１の処理を実施するフローチャート
実施形態２に関わるＭＦＰ１００と管理サーバ１２０の機能構成
実施形態２に関わる脆弱性対策情報
実施形態２の処理を実施するフローチャート
実施形態３にＭＦＰ１００の機能構成
実施形態３の処理を実施するフローチャート
【発明を実施するための形態】
【００１０】
以下、図面を参照して、本発明にかかる実施形態の情報処理装置を詳細に説明する。本実施形態では、脆弱性情報と情報処理装置のネットワーク環境を分析し、脆弱性対策が必要な情報処理装置の特定と脆弱性対策設定を配信する処理について説明する。本書の実施形態では情報処理装置の例として画像形成装置であるＭＦＰ（Ｍｕｌｔｉ－ＦｕｎｃｔｉｏｎＰｅｒｉｐｈｅｒａｌ）について記述するが、本発明はＭＦＰ以外の情報処理装置にも適用可能な技術である。
（【００１１】以降は省略されています）

関連特許