特許ウォッチ

公開番号2025177367
公報種別公開特許公報(A)
公開日2025-12-05
出願番号2024084124
出願日2024-05-23
発明の名称脆弱性対策管理システム、及び脆弱性対策管理方法
出願人株式会社日立製作所
代理人弁理士法人一色国際特許事務所
主分類G06F 21/57 20130101AFI20251128BHJP(計算;計数)
要約【課題】要求対応期間や対策の実施に要する期間を考慮しつつ、脆弱性に対する対策を適切に立案する。
【解決手段】脆弱性対策管理システムは、ソフトウェアの構成情報と、ソフトウェアの構成要素の脆弱性に関する情報である脆弱性情報と、を随時取得し、脆弱性に対する対策の候補である対策候補ごとに夫々の実施に要する期間である対策実施期間を記憶し、脆弱性情報に基づき構成要素の脆弱性を検出し、検出した脆弱性の脆弱性情報に基づき取得される、当該脆弱性について要求される、対策を完了すべき期間である要求対応期間に基づき、当該脆弱性について対策を完了すべき期限である対応期限を求め、検出した脆弱性の対策実施期間に基づき、当該脆弱性についての対策が対応期限に間に合うように当該脆弱性についての対策案を生成する。
【選択図】図2D
特許請求の範囲【請求項１】
プロセッサと記憶装置を有する一つ以上の情報処理装置を用いて構成され、
ソフトウェアの構成情報と、
前記ソフトウェアの構成要素の脆弱性に関する情報である脆弱性情報と、
を随時取得し、
脆弱性に対する対策の候補である対策候補ごとに夫々の実施に要する期間である対策実施期間を記憶し、
前記脆弱性情報に基づき前記構成要素の脆弱性を検出し、
検出した前記脆弱性の前記脆弱性情報に基づき取得される、当該脆弱性について要求される、対策を完了すべき期間である要求対応期間に基づき、当該脆弱性について対策を完了すべき期限である対応期限を求め、
検出した前記脆弱性の前記対策実施期間に基づき、当該脆弱性についての対策が前記対応期限に間に合うように当該脆弱性についての対策案を生成する、
脆弱性対策管理システム。
続きを表示（約 1,300 文字）【請求項２】
請求項１に記載の脆弱性対策管理システムであって、
前記脆弱性情報に基づき、検出した前記脆弱性に対する対応方法、又は前記脆弱性の対象となる前記構成要素の対策版を取得可能か否かを判定し、
前記判定の結果に基づき前記対策案を生成する、
脆弱性対策管理システム。
【請求項３】
請求項２に記載の脆弱性対策管理システムであって、
前記ソフトウェアの構成要素の間の依存関係を示す情報を取得し、
脆弱性を検出した前記構成要素である第１構成要素が他の前記構成要素である第２構成要素に包含される関係にある場合に、前記第２構成要素の前記対策版を取得可能か否かを判定し、
前記判定の結果に基づき前記対策案を生成する、
脆弱性対策管理システム。
【請求項４】
請求項２に記載の脆弱性対策管理システムであって、
前記判定の結果、前記対応方法及び前記対策版のいずれも取得できない場合に、検出された前記脆弱性の回避策の検討を指示する内容の前記対策案を生成する、
脆弱性対策管理システム。
【請求項５】
請求項１に記載の脆弱性対策管理システムであって、
前記対策案の候補である対策候補を複数記憶し、
前記対策候補の夫々を選択する際の優先度を設定し、
前記優先度に応じて選択した前記対策候補に基づき前記対策案を生成する、
脆弱性対策管理システム。
【請求項６】
請求項２に記載の脆弱性対策管理システムであって、
前記構成要素の対策版について行った事前検証の結果を取得し、
前記事前検証の結果に基づき前記対策案を生成する、
脆弱性対策管理システム。
【請求項７】
請求項２に記載の脆弱性対策管理システムであって、
前記対策案を生成した後、前記脆弱性情報を随時新たに取得し直し、
新たに取得した前記脆弱性情報に基づき、以前は取得されていなかった前記対応方法又は前記対策版が取得可能になったか否かを判定し、
前記判定の結果に基づき前記対策案を生成し直す、
脆弱性対策管理システム。
【請求項８】
請求項１に記載の脆弱性対策管理システムであって、
過去に実施した前記対策候補について夫々の実施に要した期間を蓄積して記憶し、
前記期間に基づき、前記対策候補の夫々の前記対策実施期間を生成する、
脆弱性対策管理システム。
【請求項９】
請求項１に記載の脆弱性対策管理システムであって、
前記要求対応期間は、脆弱性の深刻度に応じて設定される、
脆弱性対策管理システム。
【請求項１０】
請求項９に記載の脆弱性対策管理システムであって、
前記深刻度に応じた前記要求対応期間の設定をユーザインタフェースを介して受け付ける、
脆弱性対策管理システム。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、情脆弱性対策管理システム、及び脆弱性対策管理方法に関する。
続きを表示（約 1,700 文字）【背景技術】
【０００２】
特許文献１には、システム全体に対する脆弱性の対策案を提示することを目的として構成された検査装置について記載されている。この検査装置は、複数の機器を備えるシステムの構成を示すシステム構成情報と複数の機器の脆弱性を示す脆弱性情報とに基づき、機器ごとに、機器と機器の脆弱性の評価方法と評価方法の実行結果の判定基準とが対応付いた脆弱性の評価項目を生成し、評価項目に記載された評価方法を実行し、評価方法の実行結果を判定基準と比較することにより機器の脆弱性の評価結果を生成し、評価結果から判定基準に満たない機器を抽出し、抽出した機器の脆弱性対策を複数の種類の脆弱性対策を保有する脆弱性対策データベースから取得し、取得した脆弱性対策と機器を識別する識別情報とを含む対策一覧を生成し、対策一覧に含まれる脆弱性対策が、識別情報で識別される機器への脆弱性対策として実施できるか否かを判定し、実施できると判定した場合に脆弱性対策を含む対策情報を生成する。
【先行技術文献】
【特許文献】
【０００３】
国際公開第２０２１／１４４９７５号
【発明の概要】
【発明が解決しようとする課題】
【０００４】
近年、クラウドやＯＳＳ（Open Source Software）を活用したシステム開発の進展に伴い、脆弱性情報の公開件数や脆弱性を狙ったサイバー攻撃が増加しており、企業や公的機関等の組織においては、脆弱性に対する対策のガイドラインを設けるケースが増えている。
【０００５】
上記のガイドラインでは、脆弱性が発見された場合に、その影響範囲を調査して対策の要否や緊急度を判断し対策を講じることや、指定された期間（以下、「要求期対応間」と称する。）内に脆弱性に対する対応を完了することなどが要求されている。
【０００６】
ところで、脆弱性に対する対策後のベストな状態とは、脆弱性の対象となるソフトウェアが対策版に更新された状態である。しかし、対策版のソフトウェアの提供（セキュリティパッチの提供を含む）を待機する必要がある場合など、対応を上記の要求対応期間に間に合わすために脆弱性に対して暫定的な対策を取らざるを得ず、脆弱性に対する適切な対策を立案することが難しいことがある。
【０００７】
ここで上記の特許文献１では、システム全体に対する脆弱性の対策案をＣＶＳＳ（Common Vulnerability Scoring System）(脆弱性の深刻度)等を用いて提示している。しかし、同文献には、要求対応期間や対策の実施に要する期間を考慮して対策を立案することは記載されていない。
【０００８】
本発明は、このような背景に鑑みてなされたもので、要求対応期間や対策の実施に要する期間を考慮しつつ、脆弱性に対する対策を適切に立案することが可能な、脆弱性対策管理システム、及び脆弱性対策管理方法を提供することを目的としている。
【課題を解決するための手段】
【０００９】
上記目的を達成するための本発明の一つは、脆弱性対策管理システムであって、プロセッサと記憶装置を有する一つ以上の情報処理装置を用いて構成され、ソフトウェアの構成情報と、前記ソフトウェアの構成要素の脆弱性に関する情報である脆弱性情報と、を随時取得し、脆弱性に対する対策の候補である対策候補ごとに夫々の実施に要する期間である対策実施期間を記憶し、前記脆弱性情報に基づき前記構成要素の脆弱性を検出し、検出した前記脆弱性の前記脆弱性情報に基づき取得される、当該脆弱性について要求される、対策を完了すべき期間である要求対応期間に基づき、当該脆弱性について対策を完了すべき期限である対応期限を求め、検出した前記脆弱性の前記対策実施期間に基づき、当該脆弱性についての対策が前記対応期限に間に合うように当該脆弱性についての対策案を生成する。
【００１０】
その他、本願が開示する課題、及びその解決方法は、発明を実施するための形態の欄、及び図面により明らかにされる。
【発明の効果】
（【００１１】以降は省略されています）

関連特許