TOP
|
特許
|
意匠
|
商標
特許ウォッチ
Twitter
他の特許を見る
10個以上の画像は省略されています。
公開番号
2025177300
公報種別
公開特許公報(A)
公開日
2025-12-05
出願番号
2024083977
出願日
2024-05-23
発明の名称
脆弱性対策管理システム、及び脆弱性対策管理方法
出願人
株式会社日立製作所
代理人
弁理士法人一色国際特許事務所
主分類
G06F
21/57 20130101AFI20251128BHJP(計算;計数)
要約
【課題】ソフトウェアの依存関係や個々の構成要素の脆弱性に対する対応状況を考慮しつつ、ソフトウェアの脆弱性に対する対策を効率よく適切に管理する。
【解決手段】脆弱性対策管理システムは、プロセッサと記憶装置を有する一つ以上の情報処理装置を用いて構成され、ソフトウェアの実行環境に適用されているソフトウェアの構成情報と、ソフトウェアの構成要素の脆弱性に関する情報である脆弱性情報と、を随時取得し、脆弱性情報に基づき構成要素の脆弱性を検出し、ソフトウェアの構成要素の間の依存関係を示す情報を取得し、構成要素の一つである第1構成要素の脆弱性に対する対策を、第1構成要素と依存関係を有する他の構成要素である第2構成要素の脆弱性に対する対策の状況に応じて決定し、決定した対策を示す情報を生成する。
【選択図】図2
特許請求の範囲
【請求項1】
ソフトウェアの脆弱性に対する対策を管理する情報処理システムであり、
プロセッサと記憶装置を有する一つ以上の情報処理装置を用いて構成され、
ソフトウェアの実行環境に適用されているソフトウェアの構成情報と、
前記ソフトウェアの構成要素の脆弱性に関する情報である脆弱性情報と、
を随時取得し、
前記脆弱性情報に基づき前記構成要素の脆弱性を検出し、
前記ソフトウェアの構成要素の間の依存関係を示す情報を取得し、
前記構成要素の一つである第1構成要素の脆弱性に対する対策を、前記第1構成要素と依存関係を有する他の前記構成要素である第2構成要素の前記脆弱性に対する対策の状況に応じて決定し、
決定した前記対策を示す情報を生成する、
脆弱性対策管理システム。
続きを表示(約 2,100 文字)
【請求項2】
請求項1に記載の脆弱性対策管理システムであって、
前記第2構成要素について前記脆弱性に対する対策が決定されていない場合に、前記第1構成要素の対策として、前記脆弱性に対する前記第2構成要素についての対策が決定されるまで待機することを決定する、
脆弱性対策管理システム。
【請求項3】
請求項1に記載の脆弱性対策管理システムであって、
前記第2構成要素について前記脆弱性に対する対策が決定されている場合に、前記第2構成要素について前記脆弱性について対策するための更新要否を示す情報を取得し、
前記情報が更新要である場合、
前記第2構成要素について前記脆弱性について対策するためのソフトウェアを入手可能であれば、前記第1構成要素の前記対策として、前記第2構成要素を当該ソフトウェアにより更新することを決定し
前記第2構成要素について前記脆弱性について対策するための前記ソフトウェアを入手可能でなければ、前記第1構成要素の前記対策として、前記第1構成要素について前記脆弱性について対策するためのソフトウェアの提供を待機することを決定する、
脆弱性対策管理システム。
【請求項4】
請求項3に記載の脆弱性対策管理システムであって、
前記第2構成要素について前記脆弱性について対策するための更新要否を示す前記情報が更新不要である場合、
前記第1構成要素の前記脆弱性について対策するためのソフトウェアの入手状況に応じて、前記第1構成要素の前記脆弱性に対する対策を決定する、
脆弱性対策管理システム。
【請求項5】
請求項4に記載の脆弱性対策管理システムであって、
前記第1構成要素について前記脆弱性について対策するためのソフトウェアを入手可能であれば、前記第1構成要素の前記対策として、前記第1構成要素を前記ソフトウェアにより更新することを決定し、
前記第1構成要素について前記脆弱性について対策するためのソフトウェアを入手可能でなければ、前記第1構成要素の前記対策として、前記ソフトウェアの提供を待機することを決定する、
脆弱性対策管理システム。
【請求項6】
請求項1に記載の脆弱性対策管理システムであって、
前記構成要素の前記脆弱性について対策するためのソフトウェアの入手可否又は入手可能性を示す情報を取得し、
前記構成要素が他の前記構成要素との間に依存関係を有しない場合、前記ソフトウェアの入手可否又は前記入手可能性に応じて、前記第1構成要素の前記対策を決定する、
脆弱性対策管理システム。
【請求項7】
請求項6に記載の脆弱性対策管理システムであって、
前記第1構成要素の前記脆弱性について対策するためのソフトウェアを入手可能であれば、前記第1構成要素の前記対策として、前記第1構成要素を前記ソフトウェアにより更新することを決定し、
前記第1構成要素の前記脆弱性について対策するためのソフトウェアを入手可能でなければ、前記第1構成要素の前記対策として、前記第1構成要素の他のソフトウェアへの代替を検討することを決定する、
脆弱性対策管理システム。
【請求項8】
請求項1に記載の脆弱性対策管理システムであって、
過去に検出した前記構成要素の脆弱性を示す情報、及び、前記構成要素の前記依存関係を示す情報を記憶し、
最新に取得した前記脆弱性情報に基づき検出した前記構成要素の脆弱性が既出であった場合、過去に検出した前記第1構成要素と前記第2構成要素の依存関係に基づき前記第1構成要素の脆弱性に対する対策を決定する、
脆弱性対策管理システム。
【請求項9】
請求項1に記載の脆弱性対策管理システムであって、
前記対策ごとにユーザに通知するメッセージを記憶し、
決定した前記対策に対応する前記メッセージをユーザインタフェースを介してユーザに通知する、
脆弱性対策管理システム。
【請求項10】
脆弱性対策管理方法であって、
プロセッサと記憶装置を有する一つ以上の情報処理装置が、
ソフトウェアの実行環境に適用されているソフトウェアの構成情報と、
前記ソフトウェアの構成要素の脆弱性に関する情報である脆弱性情報と、
を随時取得するステップ、
前記脆弱性情報に基づき前記構成要素の脆弱性を検出するステップ、
前記ソフトウェアの構成要素の間の依存関係を示す情報を取得するステップ、
前記構成要素の一つである第1構成要素の脆弱性に対する対策を、前記第1構成要素と依存関係を有する他の前記構成要素である第2構成要素の前記脆弱性に対する対策の状況に応じて決定するステップ、及び、
決定した前記対策を示す情報を生成するステップ、
を実行する、脆弱性対策管理方法。
(【請求項11】以降は省略されています)
発明の詳細な説明
【技術分野】
【0001】
本発明は、脆弱性対策管理システム、及び脆弱性対策管理方法に関する。
続きを表示(約 1,800 文字)
【背景技術】
【0002】
ソフトウェアを活用した製品やサービスの安全や安心を担保するには、ソフトウェアの脆弱性の管理が必須である。ソフトウェアの脆弱性の管理に関し、例えば、特許文献1には、数の異なる製品に実装されるソフトウェアの脆弱性について迅速かつ的確に対応すること等を目的として構成された脆弱性管理システムについて記載されている。脆弱性管理システムは、対象製品の所定の構成情報を収集して構成情報として記憶し、公開又は発見された所定の脆弱性情報を収集して記憶し、構成情報及び脆弱性情報に基づき脆弱性の影響調査を行うべき対象製品を抽出し、抽出した対象製品に実装されているソフトウェアの脆弱性についての影響調査を実行し、影響調査の結果を示すレポート情報を生成し、所定のタイミングで所定の送信先に送信する。
【先行技術文献】
【特許文献】
【0003】
特開2020-21309号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
近年、ソフトウェアサプライチェーンの複雑化、オープンソースソフトウェア(OSS(Open Source Software))の利用の一般化等に伴い、脆弱性が検出された場合にソフトウェアの構成要素のいずれの範囲に影響が及ぶのかを判断することが困難になってきている。
【0005】
また、ソフトウェアの異なる構成要素が依存関係(包含関係、階層構造等)を有する場合、包含する側(又は上位)のソフトウェア(以下、「プライマリ」と称する。)の脆弱性については脆弱性の管理や対策がなされているが、包含される側(又は下位)のソフトウェア(以下、「セカンダリ」と称する。)については脆弱性の管理や対策が適切になされていないことがある。
【0006】
また、ソフトウェアの脆弱性に関する情報は日々更新されるが、重大な影響が生じるものから影響の少ないものまで、脆弱性ごとにその影響の度合いは様々である。このため、ソフトウェアの運用現場では、対策の必要性の判断や、対策の緊急性の判断に膨大なコストを要している。
【0007】
また、ソフトウェアの構成要素のうち、OSSのように他者から提供されるソフトウェアについては、提供元(サプライヤ)による脆弱性に対する対策(バージョンアップ等)の状況を随時把握し、脆弱性について対策するためのソフトウェア(以下、「対策版」と称する。)の提供を待機するか、又は対策版の取得を断念して脆弱性について対策することが可能な他のソフトウェアへの代替の検討を行うかといった様々な対応方法を迅速に検討する必要があり、ソフトウェアの運用現場においては、そのための情報収集や判断のために多くの負担が生じている。
【0008】
ここで特許文献1では、脆弱性管理システムが影響調査の結果を示すレポート情報を用いて開発担当者が脆弱性に対する対応要否(対応有無)を判断するようにしている。しかし同文献には、ソフトウェアの依存関係や随時更新される脆弱性に対する対策の状況等を考慮しつつ、脆弱性に対する対応方法の検討を支援する仕組みについては記載されていない。
【0009】
本発明は、このような背景に鑑みてなされたもので、ソフトウェアの依存関係や個々の構成要素の脆弱性に対する対応状況を考慮しつつ、ソフトウェアの脆弱性に対する対策を効率よく適切に管理することが可能な、脆弱性対策管理システム、及び脆弱性対策管理方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するための本発明の一つは、ソフトウェアの脆弱性に対する対策を管理する情報処理システムであり、プロセッサと記憶装置を有する一つ以上の情報処理装置を用いて構成され、ソフトウェアの実行環境に適用されているソフトウェアの構成情報と、前記ソフトウェアの構成要素の脆弱性に関する情報である脆弱性情報と、を随時取得し、前記脆弱性情報に基づき前記構成要素の脆弱性を検出し、前記ソフトウェアの構成要素の間の依存関係を示す情報を取得し、前記構成要素の一つである第1構成要素の脆弱性に対する対策を、前記第1構成要素と依存関係を有する他の前記構成要素である第2構成要素の前記脆弱性に対する対策の状況に応じて決定し、決定した前記対策を示す情報を生成する。
(【0011】以降は省略されています)
この特許をJ-PlatPat(特許庁公式サイト)で参照する
関連特許
個人
詐欺保険
1か月前
個人
縁伊達ポイン
1か月前
個人
職業自動販売機
24日前
個人
5掛けポイント
1か月前
個人
RFタグシート
1か月前
個人
ペルソナ認証方式
1か月前
個人
情報処理装置
1か月前
個人
自動調理装置
1か月前
個人
立体グラフの利用方法
3日前
個人
農作物用途分配システム
1か月前
NISSHA株式会社
入力装置
4日前
個人
タッチパネル操作指代替具
1か月前
個人
インターネットの利用構造
1か月前
個人
サービス情報提供システム
26日前
個人
学習用データ生成装置
5日前
個人
携帯端末障害問合せシステム
1か月前
個人
スケジュール調整プログラム
1か月前
個人
エリアガイドナビAIシステム
1か月前
キラル株式会社
顧客体験提供システム
6日前
キヤノン株式会社
情報処理装置
1か月前
エッグス株式会社
情報処理装置
1か月前
キヤノン株式会社
情報処理装置
18日前
株式会社ケアコム
項目選択装置
1か月前
株式会社ワコム
電子ペン
1か月前
キヤノン株式会社
情報処理装置
18日前
株式会社ワコム
電子ペン
1か月前
株式会社ケアコム
項目選択装置
1か月前
トヨタ自動車株式会社
通知装置
1か月前
キヤノン株式会社
印刷システム
1か月前
キヤノン株式会社
画像認識装置
18日前
太陽誘電株式会社
表示装置
1か月前
キヤノン電子株式会社
情報処理システム
3日前
大同大學
スーパーアプリ構築方法
18日前
株式会社ITP
仮想展示システム
12日前
個人
請求金額算出システム
10日前
トヨタ自動車株式会社
車両
1か月前
続きを見る
他の特許を見る
特許ウォッチ
