特許ウォッチ

公開番号2025012653
公報種別公開特許公報(A)
公開日2025-01-24
出願番号2023115650
出願日2023-07-14
発明の名称情報処理装置、情報処理方法およびプログラム
出願人株式会社東芝
代理人弁理士法人酒井国際特許事務所
主分類G06F 21/57 20130101AFI20250117BHJP(計算;計数)
要約【課題】システムの脆弱性が攻撃された場合の影響をより効率的に評価する。
【解決手段】情報処理装置は、検出部と資産特定部と評価部とを備える。検出部は、評価対象の情報処理システムに含まれる複数の対象コンポーネントから、情報処理システムに含まれる脆弱性が影響する1つ以上の第1コンポーネントを検出する。資産特定部は、複数の対象コンポーネントの少なくとも一部と、情報処理システムに含まれる1つ以上の資産と、資産が攻撃されたときの影響度と、を対応づけたアセスメント情報を用いて、検出された1つ以上の第1コンポーネントに対応する1つ以上の資産を特定する。評価部は、特定された資産に対応する影響度に基づいて、脆弱性が攻撃されたときの被害の評価値を求める。
【選択図】図1
特許請求の範囲【請求項１】
評価対象の情報処理システムに含まれる複数の対象コンポーネントから、前記情報処理システムに含まれる脆弱性が影響する１つ以上の第１コンポーネントを検出する検出部と、
複数の前記対象コンポーネントの少なくとも一部と、前記情報処理システムに含まれる１つ以上の資産と、前記資産が攻撃されたときの影響度と、を対応づけたアセスメント情報を用いて、検出された１つ以上の前記第１コンポーネントに対応する１つ以上の前記資産を特定する資産特定部と、
特定された前記資産に対応する前記影響度に基づいて、前記脆弱性が攻撃されたときの被害の評価値を求める評価部と、
を備える情報処理装置。
続きを表示（約 1,300 文字）【請求項２】
前記影響度は、機密性の影響度、完全性の影響度、および、可用性の影響度を含み、
前記評価部は、前記機密性の影響度、前記完全性の影響度、および、前記可用性の影響度の統計値を前記評価値として求める、
請求項１に記載の情報処理装置。
【請求項３】
前記統計値は、前記機密性の影響度、前記完全性の影響度、および、前記可用性の影響度の最大値である、
請求項２に記載の情報処理装置。
【請求項４】
前記検出部は、
複数の前記対象コンポーネントから前記脆弱性を有する１つ以上のコンポーネントを検出し、検出したコンポーネントが有する前記脆弱性が影響する１つ以上の前記第１コンポーネントを、複数の前記対象コンポーネントから特定するコンポーネント特定部を備える、
請求項１に記載の情報処理装置。
【請求項５】
前記脆弱性の種別ごとに追加または削除するコンポーネントを定めた修正情報を用いて、１つ以上の前記第１コンポーネントに対するコンポーネントの追加、および、１つ以上の前記第１コンポーネントからのコンポーネントの削除、の少なくとも一方を実行する修正部をさらに備える、
請求項４に記載の情報処理装置。
【請求項６】
前記コンポーネント特定部は、検出したコンポーネントの種別に応じて、検出したコンポーネントが有する前記脆弱性が影響する１つ以上の前記第１コンポーネントを特定する、
請求項４に記載の情報処理装置。
【請求項７】
前記検出部は、１つ以上のコンポーネントの前記脆弱性を示す脆弱性情報を用いて、複数の前記対象コンポーネントから１つ以上の前記第１コンポーネントを検出する、
請求項１に記載の情報処理装置。
【請求項８】
前記検出部は、前記情報処理システムの前記脆弱性を検出し、検出した前記脆弱性を有する１つ以上の前記第１コンポーネントを検出する、
請求項１に記載の情報処理装置。
【請求項９】
前記評価値を出力する出力制御部をさらに備える、
請求項１に記載の情報処理装置。
【請求項１０】
情報処理装置が実行する情報処理方法であって、
評価対象の情報処理システムに含まれる複数の対象コンポーネントから、前記情報処理システムに含まれる脆弱性が影響する１つ以上の第１コンポーネントを検出する検出ステップと、
複数の前記対象コンポーネントの少なくとも一部と、前記情報処理システムに含まれる１つ以上の資産と、前記資産が攻撃されたときの影響度と、を対応づけたアセスメント情報を用いて、検出された１つ以上の前記第１コンポーネントに対応する１つ以上の前記資産を特定する資産特定ステップと、
特定された前記資産に対応する前記影響度に基づいて、前記脆弱性が攻撃されたときの被害の評価値を求める評価ステップと、
を含む情報処理方法。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明の実施形態は、情報処理装置、情報処理方法およびプログラムに関する。
続きを表示（約 1,900 文字）【背景技術】
【０００２】
コンピュータを用いた各種システム（製品）は、ＯＳ（Operating System）およびＯＳＳ（Open Source Software）等のソフトウェア（コンポーネントの一例）を搭載している。また、これらのソフトウェアは、多数の要素から構成されている。これらのソフトウェアは、システム構築時または製品開発時には脆弱性が発見されていなくとも、時間の経過と共に様々な脆弱性が発見される可能性がある。
【０００３】
このような脆弱性を収集している情報機関またはソフトウェアのベンダー自身により、脆弱性情報および脆弱性に対する対処方法が提供されている。システム（製品）の提供者は、これらの情報を参考に、ベンダーから提供されたパッチの適用または回避策を実施する。システムの停止が必要となる状況などでは、システムによっては綿密な周知および計画が必要となる場合がある。また、提供者は、パッチまたは回避策の副作用の検証などのために、多くの処理負荷を必要とする。一方、脆弱性が攻撃されたときの影響（被害）が小さいにもかかわらず、過大な処理負荷が必要となる状況が発生しうる。このため、脆弱性が攻撃された場合、どの程度の影響になるかを事前に評価することが望ましい。
【先行技術文献】
【特許文献】
【０００４】
特許第６３２０９６５号公報
特許第４７５１４３１号公報
【非特許文献】
【０００５】
独立行政法人情報処理推進機構、セキュリティセンター制御システムのセキュリティリスク分析ガイド第２版、ｐ．１３７～ｐ．１３８、２０２０年３月
独立行政法人情報処理推進機構、中小企業の情報セキュリティ対策ガイドライン第３．１版、ｐ．５４～ｐ．５６、２０２３年４月
【発明の概要】
【発明が解決しようとする課題】
【０００６】
本発明は、システムの脆弱性が攻撃された場合の影響をより効率的に評価することができる情報処理装置、情報処理方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【０００７】
実施形態の情報処理装置は、検出部と資産特定部と評価部とを備える。検出部は、評価対象の情報処理システムに含まれる複数の対象コンポーネントから、情報処理システムに含まれる脆弱性が影響する１つ以上の第１コンポーネントを検出する。資産特定部は、複数の対象コンポーネントの少なくとも一部と、情報処理システムに含まれる１つ以上の資産と、資産が攻撃されたときの影響度と、を対応づけたアセスメント情報を用いて、検出された１つ以上の第１コンポーネントに対応する１つ以上の資産を特定する。評価部は、特定された資産に対応する影響度に基づいて、脆弱性が攻撃されたときの被害の評価値を求める。
【図面の簡単な説明】
【０００８】
第１の実施形態の情報処理装置のブロック図。
脆弱性情報のデータ構造の一例を示す図。
コンポーネント情報のデータ構造の一例を示す図。
複数のコンポーネント間の関係を模式的に示す図。
アセスメント情報のデータ構造の一例を示す図。
第１の実施形態における評価処理のフローチャート。
コンポーネント特定処理のフローチャート。
ＡｄｄＣｈｉｌｄのフローチャート。
ＳｅａｒｃｈＰａｒｅｎｔのフローチャート。
評価値算出処理のフローチャート。
コンポーネントリストの例を示す図。
コンポーネントリストの例を示す図。
出力される評価値の例を示す図。
第２の実施形態の情報処理装置のブロック図。
修正情報のデータ構造の一例を示す図。
第２の実施形態における評価処理のフローチャート。
実施形態の情報処理装置のハードウェア構成図。
【発明を実施するための形態】
【０００９】
以下に添付図面を参照して、この発明にかかる情報処理装置の好適な実施形態を詳細に説明する。
【００１０】
実施形態の情報処理装置は、評価対象の情報処理システム（コンピュータシステム、コンピュータ応用製品など。以下、対象システムという。）に関して特定された脆弱性に対して、当該脆弱性が攻撃されたときの影響（被害）を評価する装置である。
（【００１１】以降は省略されています）

関連特許