特許ウォッチ

公開番号2025087958
公報種別公開特許公報(A)
公開日2025-06-11
出願番号2023202304
出願日2023-11-30
発明の名称試験装置および試験方法
出願人富士電機株式会社
代理人インフォート弁理士法人
主分類G06F 21/57 20130101AFI20250604BHJP(計算;計数)
要約【課題】試験対象において検知された脆弱性に対応する攻撃コードを自動で収集してペネトレーションテストを実施できる試験装置を提供する。
【解決手段】試験装置は、脆弱性検出部、アクセス情報保存部、攻撃コード収集部、およびテスト実行部を備える。脆弱性検出部は、試験対象システムの脆弱性を検出する。アクセス情報保存部には、ペネトレーションテストのための攻撃コードを提供するデータベースにアクセスするためのアクセス情報が保存されている。攻撃コード収集部は、アクセス情報を利用してデータベースにアクセスすることで、脆弱性検出部により検出された脆弱性に対応する攻撃コードを収集する。テスト実行部は、攻撃コード収集部により収集された攻撃コードを使用して試験対象システムに対してペネトレーションテストを実行する。
【選択図】図1

特許請求の範囲【請求項１】
試験対象システムの脆弱性を検出する脆弱性検出部と、
ペネトレーションテストのための攻撃コードを提供するデータベースにアクセスするためのアクセス情報を保存するアクセス情報保存部と、
前記アクセス情報を利用して前記データベースにアクセスすることで、前記脆弱性検出部により検出された脆弱性に対応する攻撃コードを収集する攻撃コード収集部と、
前記攻撃コード収集部により収集された攻撃コードを使用して前記試験対象システムに対してペネトレーションテストを実行するテスト実行部と、
を備える試験装置。
続きを表示（約 980 文字）【請求項２】
前記試験対象システムのペネトレーションテストのための攻撃コードを保存する攻撃コード保存部をさらに備え、
前記脆弱性検出部により検出された脆弱性に対応する攻撃コードが前記攻撃コード保存部に保存されているときには、前記テスト実行部は、前記攻撃コード保存部に保存されている攻撃コードを使用して前記試験対象システムに対してペネトレーションテストを実行し、
前記脆弱性検出部により検出された脆弱性に対応する攻撃コードが前記攻撃コード保存部に保存されていないきには、
前記攻撃コード収集部は、前記データベースから前記脆弱性検出部により検出された脆弱性に対応する攻撃コードを収集し、
前記テスト実行部は、前記攻撃コード収集部により収集された攻撃コードを使用して前記試験対象システムに対してペネトレーションテストを実行し、
前記攻撃コード収集部により収集された攻撃コードは、前記攻撃コード保存部に保存される
ことを特徴とする請求項１に記載の試験装置。
【請求項３】
前記攻撃コード保存部は、ＣＶＥ（Common Vulnerabilities and Exposures）識別番号と対応づけて攻撃コードを保存し、
前記脆弱性検出部は、前記試験対象システムにおいて検出した脆弱性を表すＣＶＥ識別番号を出力し、
前記攻撃コード収集部は、前記脆弱性検出部から出力されたＣＶＥ識別番号のうちで、前記攻撃コード保存部に対応する攻撃コードが保存されてないＣＶＥ識別番号についてＷｅｂスクレイピングを行うことで、前記試験対象システムのペネトレーションテストで使用する攻撃コードを提供可能なデータベースを特定する
ことを特徴とする請求項２に記載の試験装置。
【請求項４】
試験対象システムの脆弱性を検出し、
ペネトレーションテストのための攻撃コードを提供するデータベースにアクセスするためのアクセス情報を利用して前記データベースにアクセスすることで、前記試験対象システムにおいて検出された脆弱性に対応する攻撃コードを収集し、
収集した攻撃コードを使用して前記試験対象システムに対してペネトレーションテストを実行する
ことを特徴とする試験方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、ペネトレーションテストを実施する装置および方法に係わる。
続きを表示（約 1,700 文字）【背景技術】
【０００２】
近年、サイバー攻撃の増加に伴い、ペネトレーションテストの重要性が高まっている。ペネトレーションテストは、コンピュータシステム等に対して実際に攻撃または侵入を試みることにより、システムの脆弱性またはサイバー攻撃に対する耐性を検証する。なお、攻撃の成功率を高めるようにペネトレーションテストを制御する制御装置が提案されている（例えば、特許文献１）。
【先行技術文献】
【特許文献】
【０００３】
特開２０２２－０４１７９０号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
従来技術においては、ペネトレーションテストを実施する試験装置は、想定される脆弱性に対して予め試験用の攻撃コードを保持している。そして、試験装置は、保持している攻撃コードを利用して試験対象システムを攻撃することでシステムの脆弱性を検証する。ただし、この構成においては、例えば、想定外の脆弱性が見つかった場合には、対応する攻撃コードを保持していないので、必要な試験を実施できないおそれがある。
【０００５】
本発明の１つの側面に係わる目的は、試験対象において検知された脆弱性に対応する攻撃コードを自動で収集してペネトレーションテストを実施できる試験装置を提供することである。
【課題を解決するための手段】
【０００６】
本発明の１つの態様に係わる試験装置は、試験対象システムの脆弱性を検出する脆弱性検出部と、ペネトレーションテストのための攻撃コードを提供するデータベースにアクセスするためのアクセス情報を保存するアクセス情報保存部と、前記アクセス情報を利用して前記データベースにアクセスすることで、前記脆弱性検出部により検出された脆弱性に対応する攻撃コードを収集する攻撃コード収集部と、前記攻撃コード収集部により収集された攻撃コードを使用して前記試験対象システムに対してペネトレーションテストを実行するテスト実行部と、を備える。
【発明の効果】
【０００７】
上述の態様によれば、試験対象において検知された脆弱性に対して必要な攻撃コードを自動で収集してペネトレーションテストを実施できる。
【図面の簡単な説明】
【０００８】
本発明の実施形態に係わる試験装置の機能構成の一例を示す図である。
本発明の実施形態に係わる試験装置の動作の一例を示すフローチャートである。
対応する攻撃コードを収集すべきＣＶＥ識別番号を特定する手順の一例を示す。
アクセス情報の一例を示す図である。
攻撃コード収集部による検索結果の一例を示す図である。
攻撃コード選択画面の一例を示す図である。
攻撃コードデータベースから収集すべき攻撃コードの一覧を示す図である。
収集した攻撃コードが追加された攻撃コード保存部の一例を示す図である。
試験情報設定画面の一例を示す図である。
試験装置のハードウェア構成の一例を示す図である。
【発明を実施するための形態】
【０００９】
図１は、本発明の実施形態に係わる試験装置の機能構成の一例を示す。本発明の実施形態に係わる試験装置１は、試験対象システム２に対してペネトレーションテストを実行する。試験対象システム２は、特に限定されるものではないが、例えば、１または複数のコンピュータを備えるコンピュータシステムまたは設備である。或いは、試験対象システム２は、１または複数の通信機器を備える通信システムであってもよい。
【００１０】
試験装置１は、脆弱性検出部１１、攻撃コード保存部１２、攻撃コード設定部１３、攻撃コード収集部１４、アクセス情報保存部１５、テスト実行部１６、およびユーザインタフェース部１７を備える。なお、試験装置１は、図１に示していない他の機能またはデバイスをさらに備えてもよい。
（【００１１】以降は省略されています）

関連特許