特許ウォッチ

公開番号2025008836
公報種別公開特許公報(A)
公開日2025-01-20
出願番号2023111387
出願日2023-07-06
発明の名称脆弱性影響分析システム及び脆弱性影響分析方法
出願人株式会社日立製作所
代理人弁理士法人信友国際特許事務所
主分類G06F 21/57 20130101AFI20250109BHJP(計算;計数)
要約【課題】構成情報と脆弱性情報の間に表現のゆらぎ等がある場合に、脆弱性を有する構成要素を特定することができなかった。
【解決手段】脆弱性影響分析システム100は、管理対象の部品情報である第一の情報を格納する第一記憶部(構成製品情報記憶部160)と、脆弱性情報を受け付ける入力部(脆弱性情報受信部110)と、脆弱性情報に該当する第一の情報が存在しない場合に、脆弱性情報を補完する情報である第二の情報を、自システム外の外部情報200から取得する補完情報取得部123と、第二の情報を利用して脆弱性情報の影響を推定した分析結果を出力する影響推定部130と、を備える。
【選択図】図1
特許請求の範囲【請求項１】
ソフトウェア及び／又はハードウェアで実装された管理対象に対する脆弱性情報の影響を分析する脆弱性影響分析システムであって、
管理対象の部品情報である第一の情報を格納する第一記憶部と、
脆弱性情報を受け付ける入力部と、
前記脆弱性情報に該当する前記第一の情報が存在しない場合に、前記脆弱性情報を補完する情報である第二の情報を、自システム外の外部情報から取得する補完情報取得部と、
前記第二の情報を利用して前記脆弱性情報の影響を推定した分析結果を出力する影響推定部と、を備える
脆弱性影響分析システム。
続きを表示（約 1,300 文字）【請求項２】
前記補完情報取得部は、
外部情報源から前記外部情報として前記脆弱性情報に関する情報を取得し、
取得した前記脆弱性情報に関する情報から目的とする前記第二の情報を抽出する
請求項１に記載の脆弱性影響分析システム。
【請求項３】
前記補完情報取得部は、
前記脆弱性情報から脆弱性を保持する脆弱性保持対象に関する前記第二の情報を抽出し、
前記外部情報源から、前記脆弱性情報に代えて前記脆弱性保持対象に関する前記第二の情報を取得する
請求項２に記載の脆弱性影響分析システム。
【請求項４】
前記脆弱性情報に対する前記第二の情報に該当する、前記第一記憶部に格納された前記第一の情報とは異なる第一の情報が、前記外部情報に存在する場合に、前記脆弱性情報を前記外部情報内の前記第一の情報に紐づけて保存する情報更新部、を備える
請求項１に記載の脆弱性影響分析システム。
【請求項５】
前記脆弱性情報に該当する前記第一の情報と、前記管理対象の構成要素との機能の情報とを紐づけて格納する第二記憶部、を備え、
前記影響推定部は、
前記第一記憶部に格納された前記第一の情報が前記脆弱性情報に該当する場合、前記第一の情報に紐づけられた機能に影響があるとみなし、同じ機能を持つ構成要素に影響があると推定する
請求項１に記載の脆弱性影響分析システム。
【請求項６】
前記第二記憶部は、
前記管理対象の構成要素及び機能をモデル化した構成モデルの情報と、
前記構成モデルを実現する部品情報である前記第一の情報と、を格納する
請求項５に記載の脆弱性影響分析システム。
【請求項７】
前記補完情報取得部により前記第二の情報を取得した場合に、前記脆弱性情報に対する前記第二の情報を取得した旨が出力ログに記載され、
前記影響推定部において前記第二の情報を用いて前記脆弱性情報の影響を推定した場合に、前記脆弱性情報に該当した前記第一の情報のソースとして、取得元を表す外部情報が出力画面に記載される、
請求項１に記載の脆弱性影響分析システム。
【請求項８】
前記外部情報は、前記管理対象の部品情報として管理されていない情報であって、前記管理対象の脆弱性情報の分析情報や類似の脆弱性情報、脆弱性保持対象の説明文やスペック表である
請求項１に記載の脆弱性影響分析システム。
【請求項９】
ソフトウェア及び／又はハードウェアで実装された管理対象に対する脆弱性情報の影響を分析する脆弱性影響分析システムによる脆弱性影響分析方法であって、
脆弱性情報を受け付ける処理と、
管理対象の部品情報である第一の情報を格納する第一記憶部に、前記脆弱性情報に該当する前記第一の情報が存在しない場合に、前記脆弱性情報を補完する情報である第二の情報を、自システム外の外部情報から取得する処理と、
前記第二の情報を利用して前記脆弱性情報の影響を推定した分析結果を出力する処理と、を含む
脆弱性影響分析方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、脆弱性情報から影響を分析する脆弱性影響分析システム及び脆弱性影響分析方法に関する。
続きを表示（約 1,900 文字）【背景技術】
【０００２】
近年、ＩｏＴ（Internet of Thing）技術の進展によって、自動車や家電製品といったあらゆる機器がインターネットに接続されるとともに、ＩｏＴ機器の脆弱性管理が重要となっている。ＩｏＴ機器には、目的に応じたさまざまなハードウェアやソフトウェアが搭載されるため、特に脆弱性の影響を受ける要素を把握することが求められる。例えば、特許文献１には、このようなＩｏＴ機器に搭載されるハードウェアやソフトウェアの脆弱性を管理する脆弱性情報管理装置が開示されている。
【先行技術文献】
【特許文献】
【０００３】
国際公開第２０２０／０５０３５５号
【発明の概要】
【発明が解決しようとする課題】
【０００４】
特許文献１では、製品を構成するハードウェア及びソフトウェアといった構成要素の情報（構成情報）と、外部ネットワークから収集した脆弱性情報を用いて、脆弱性を有する構成要素を特定している。
【０００５】
しかし、構成情報と脆弱性情報の間に表現のゆらぎ等がある場合には、脆弱性を有する構成要素を特定できない問題があるが、当該問題の解決手段については開示されていない。
【０００６】
上記の状況から、構成情報と脆弱性情報の間に表現のゆらぎ等がある場合であっても、脆弱性を有する構成要素を特定できる手法が要望されていた。
【課題を解決するための手段】
【０００７】
上記課題を解決するために、本発明の一態様の脆弱性影響分析システムは、ソフトウェア及び／又はハードウェアで実装された管理対象に対する脆弱性情報の影響を分析する脆弱性影響分析システムである。本脆弱性影響分析システムは、管理対象の部品情報である第一の情報を格納する第一記憶部と、脆弱性情報を受け付ける入力部と、脆弱性情報に該当する第一の情報が存在しない場合に、脆弱性情報を補完する情報である第二の情報を、自システム外の外部情報から取得する補完情報取得部と、第二の情報を利用して脆弱性情報の影響を推定した分析結果を出力する影響推定部と、を備える。
【発明の効果】
【０００８】
本発明の少なくとも一態様によれば、構成情報と脆弱性情報の間に表現のゆらぎ等がある場合であっても、脆弱性を有する構成要素を特定することができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【０００９】
本発明に係る脆弱性影響分析装置の構成例を示す図である。
本発明の一実施形態における構成情報記憶部の構成例を示す図である。
本発明の一実施形態における構成製品情報記憶部の構成例を示す図である。
本発明の一実施形態における脆弱性の影響分析処理の手順例を示すフローチャートである。
本発明の一実施形態における検索処理の手順例を示すフローチャートである。
本発明の一実施形態における影響推定処理の手順例を示すフローチャートである。
本発明の一実施形態における補完情報取得処理の手順例を示すフローチャートである。
本発明の一実施形態における説明文抽出処理の手順例を示すフローチャートである。
本発明の一実施形態におけるハイパーリンク先の探索処理の手順例を示すフローチャートである。
本発明の一実施形態における構成製品情報更新処理の手順例を示すフローチャートである。
本発明の一実施形態におけるＵＲＬ形式に基づく重要度決定ルール表の例を示す図である。
本発明の一実施形態における説明文の文法に基づく重要度決定表の例を示す図である。
本発明の一実施形態におけるキーワードの重要度決定表の例を示す図である。
本発明の一実施形態における脆弱性影響分析装置を実現するコンピュータのハードウェア構成例を示す図である。
本発明の一実施形態におけるＧＵＩ画面の一例を示す図である。
本発明の一実施形態におけるログ情報の一例を示す図である。
【発明を実施するための形態】
【００１０】
以下、添付図面を参照して、本発明を実施するための形態（以下、「実施形態」と称する）の例について説明する。本明細書及び添付図面において、同一の構成要素又は実質的に同一の機能を有する構成要素には同一の符号を付して重複する説明を省略する。
（【００１１】以降は省略されています）

関連特許