特許ウォッチ

公開番号2025107928
公報種別公開特許公報(A)
公開日2025-07-22
出願番号2024001493
出願日2024-01-09
発明の名称脆弱性影響評価支援装置、及び脆弱性影響評価支援方法
出願人株式会社日立製作所
代理人弁理士法人一色国際特許事務所
主分類G06F 8/77 20180101AFI20250714BHJP(計算;計数)
要約【課題】異なる環境で構築されたサブシステムにより構成された情報処理システムにおける脆弱性が各サブシステムに及ぼす影響を評価することを支援する。
【解決手段】情報処理システムを構成する、異なる環境で構築された複数のサブシステムのそれぞれについて、当該サブシステムを構成するソフトウェアの情報であるソフトウェア部品情報を記憶する記憶装置、及び、情報処理システムにおける第1のサブシステムのソフトウェアに存在する脆弱性により処理上の影響が及ぶ第2のサブシステムの情報を含む拡張ソフトウェア部品情報を作成し、拡張ソフトウェア部品情報に基づき、選択されたサブシステムのソフトウェアに存在する脆弱性により処理上の影響を受ける他のサブシステムを特定し、特定したサブシステムに関する情報をソフトウェア部品情報に基づき出力する制御装置を備える、脆弱性影響評価支援装置40。
【選択図】図1
特許請求の範囲【請求項１】
情報処理システムを構成する、異なる環境で構築された複数のサブシステムのそれぞれについて、当該サブシステムを構成するソフトウェアの情報であるソフトウェア部品情報を記憶する記憶装置、及び、
前記情報処理システムにおける第１のサブシステムのソフトウェアに存在する脆弱性により処理上の影響が及ぶ前記情報処理システムにおける第２のサブシステムの情報を含む拡張ソフトウェア部品情報を作成する拡張データ生成処理と、
前記拡張ソフトウェア部品情報に基づき、選択されたサブシステムのソフトウェアに存在する脆弱性により処理上の影響を受ける他のサブシステムを特定し、特定したサブシステムに関する情報を前記ソフトウェア部品情報に基づき出力装置に出力する影響評価処理と、
を実行する制御装置を備える、脆弱性影響評価支援装置。
続きを表示（約 1,600 文字）【請求項２】
前記制御装置は、
脆弱性が存在するソフトウェアについて、前記ソフトウェアを有するサブシステムの処理が前記ソフトウェアに依存している程度を表すパラメータを算出し、算出したパラメータを出力装置に出力するライブラリ毎依存度算出処理を実行する、請求項１に記載の脆弱性影響評価支援装置。
【請求項３】
前記制御装置は、
前記影響評価処理において、前記算出したパラメータ及び前記拡張ソフトウェア部品情報に基づき、前記他のサブシステムを特定する、請求項２に記載の脆弱性影響評価支援装置。
【請求項４】
前記制御装置は、
前記サブシステムのソフトウェアについて、前記ソフトウェアを構成する処理単位が脆弱性を有するソフトウェアに依存している程度を表すパラメータを各処理単位について算出し、算出したパラメータを出力装置に出力する関数毎ライブラリ依存度算出処理を実行する、請求項１に記載の脆弱性影響評価支援装置。
【請求項５】
前記制御装置は、
前記関数毎ライブラリ依存度算出処理において、前記ソフトウェアを構成する処理単位のうち、他のソフトウェアから機能として使用される処理単位について、前記パラメータを算出する、請求項４に記載の脆弱性影響評価支援装置。
【請求項６】
前記制御装置は、
前記関数毎ライブラリ依存度算出処理において、前記パラメータを算出した処理単位が有する脆弱性の情報を出力装置に出力する、請求項５に記載の脆弱性影響評価支援装置。
【請求項７】
前記制御装置は、
前記影響評価処理において、前記算出したパラメータ及び前記拡張ソフトウェア部品情報に基づき、前記他のサブシステムを特定する、請求項４に記載の脆弱性影響評価支援装置。
【請求項８】
前記制御装置は、
前記拡張データ生成処理において、前記第１のサブシステムが前記第２のサブシステムにアクセスする場合に、前記第１のサブシステムのソフトウェアに存在する脆弱性により前記第２のサブシステムの処理に及ぼす影響の情報と、前記第２のサブシステムのソフトウェアに存在する脆弱性により前記第１のサブシステムの処理が受ける影響の情報とを含む拡張ソフトウェア部品情報を作成し、
前記影響評価処理において、前記作成した拡張ソフトウェア部品情報に基づき、前記選択されたサブシステムが前記第１のサブシステム又は前記第２のサブシステムのいずれに該当するかを特定することにより、前記他のサブシステムを特定する、
請求項１に記載の脆弱性影響評価支援装置。
【請求項９】
前記制御装置は、
前記拡張データ生成処理において、前記第１のサブシステムのソフトウェアに存在する脆弱性により可用性及びセキュリティ上の影響がそれぞれ及ぶ前記第２のサブシステムの情報を含む拡張ソフトウェア部品情報を作成し、
前記影響評価処理において、前記拡張ソフトウェア部品情報に基づき、前記選択されたサブシステムのソフトウェアに存在する脆弱性により可用性及びセキュリティ上の影響をそれぞれ受ける他のサブシステムを特定する、
請求項１に記載の脆弱性影響評価支援装置。
【請求項１０】
前記制御装置は、
前記拡張データ生成処理において、前記第１のサブシステムのソフトウェアに存在する脆弱性により前記第２のサブシステムに処理上の影響が及ぶか否かを示す情報を前記脆弱性の種類ごとに定義した情報を含む脆弱性種類影響情報を作成し、
前記影響評価処理において、前記選択されたサブシステムのソフトウェアに存在する脆弱性の種類を特定し、特定した種類及び前記脆弱性種類影響情報に基づき、前記他のサブシステムを特定する、
請求項１に記載の脆弱性影響評価支援装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、脆弱性影響評価支援装置、及び脆弱性影響評価支援方法に関する。
続きを表示（約 2,300 文字）【背景技術】
【０００２】
情報システムの運用にあたり、情報セキュリティの確保は必須の要素である。ＳＩｅｒ（System Integrator）等の事業者は、各システムの開発者からシステムを構成する部品（ソフトウェア部品）の情報であるＳＢＯＭ（Software Bill of Materials：ソフトウェア部品表）の提供を受けることで、セキュリティ運用を行うことがある。ＳＢＯＭを用いることで、システムの脆弱性管理を行うことが可能である。
【０００３】
システムの脆弱性を分析する手法としては、例えば、特許文献１に、評価対象システムにおいて発生し得るリスク要因と、そのリスク要因が影響する、評価対象システム内における複数の構成要素とを対応づけて記憶し、評価対象システム内における構成要素と、その構成要素の特性を示す特性情報とを対応づけて記憶し、これらの情報を参照し、各リスク要因が影響する複数の構成要素の特性情報に基づいて、評価対象システムの可用性に対する各リスク要因の影響度を算出するリスク評価システムが開示されている。
【先行技術文献】
【特許文献】
【０００４】
再表２０１３－１４１４９１１号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
しかしながら、近年ではシステム構成が複雑化しており、ＳＩｅｒが多数のサプライヤから提供された各システムを統合して顧客用のシステムを構築するようになっている。この場合、ＳＩｅｒは、各サプライヤからＳＢＯＭの提供を受けるが、それぞれ環境が異なる各サプライヤのシステムの脆弱性の判定を行うことは難しい。また、システム運用者（ＳＩｅｒの顧客）にとっても、これらのＳＢＯＭを用いてセキュリティ運用を行うことは非常に難しい。特許文献１も、このような複数のシステムによって構築されるシステムのリスクを判定できる仕組みとなっていない。
【０００６】
本発明は、このような問題に鑑みてなされたものであり、異なる環境で構築されたサブシステムにより構成された情報処理システムにおける脆弱性が各サブシステムに及ぼす影響を評価することを支援することが可能な脆弱性影響評価支援装置、及び脆弱性影響評価支援方法を提供することを目的とする。
【課題を解決するための手段】
【０００７】
上記の課題を解決するための本発明の一つは、情報処理システムを構成する、異なる環境で構築された複数のサブシステムのそれぞれについて、当該サブシステムを構成するソフトウェアの情報であるソフトウェア部品情報を記憶する記憶装置、及び、前記情報処理システムにおける第１のサブシステムのソフトウェアに存在する脆弱性により処理上の影響が及ぶ前記情報処理システムにおける第２のサブシステムの情報を含む拡張ソフトウェア部品情報を作成する拡張データ生成処理と、前記拡張ソフトウェア部品情報に基づき、選択されたサブシステムのソフトウェアに存在する脆弱性により処理上の影響を受ける他のサブシステムを特定し、特定したサブシステムに関する情報を前記ソフトウェア部品情報に基づき出力装置に出力する影響評価処理と、を実行する制御装置を備える、脆弱性影響評価支援装置である。
【発明の効果】
【０００８】
本発明によれば、異なる環境で構築されたサブシステムにより構成された情報処理システムにおける脆弱性が各サブシステムに及ぼす影響を評価することを支援することができる。
上記した以外の構成及び効果等は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【０００９】
本実施形態に係る計画作成支援システムの構成の一例を示す図である。
脆弱性影響評価支援装置が有する機能の一例を説明する図である。
関係定義ファイルの一例を示す図である。
脆弱性情報の一例を示す図である。
脆弱性影響評価支援装置が備えるハードウェアの一例を示す図である。
脆弱性影響評価支援システムで行われる処理の概要を説明するフロー図である。
ビルド情報が示すサブシステムの構成の一例を示す図である。
ファイルスキャンにより特定されるサブシステムの構成の他の一例を示す図である。
ＳＢＯＭ情報の一例を示す図である。
ライブラリ毎依存度算出処理の一例を説明するフロー図である。
関数毎ライブラリ依存度算出処理の一例を説明するフロー図である。
ライブラリ依存度情報に記憶される関数毎ライブラリ依存度の情報の一例を示す図である。
ＳＢＯＭ標準依存影響度情報の一例を示す図である。
ＳＢＯＭ間依存影響度情報の一例を示す図である。
要素間拡張ＳＢＯＭ情報のデータ構成の一例を示す図である。
影響評価表示処理の一例を説明するフロー図である。
関係性表示画面の例を示す図である。
関係性表示画面の例を示す図である。
拡張関係性表示画面の一例を示す図である。
脆弱性種類影響情報の一例を示す図である。
システム要素情報表示画面の一例を示す図である。
機能影響表示画面の一例を示す図である。
脆弱性機能影響表示画面の一例を示す図である。
【発明を実施するための形態】
【００１０】
本発明の実施の形態を、図面を参照しつつ説明する。
（【００１１】以降は省略されています）

関連特許