JP5580261B2 - Security evaluation support apparatus and security evaluation support method - Google Patents
Security evaluation support apparatus and security evaluation support method Download PDFInfo
- Publication number
- JP5580261B2 JP5580261B2 JP2011176971A JP2011176971A JP5580261B2 JP 5580261 B2 JP5580261 B2 JP 5580261B2 JP 2011176971 A JP2011176971 A JP 2011176971A JP 2011176971 A JP2011176971 A JP 2011176971A JP 5580261 B2 JP5580261 B2 JP 5580261B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- evaluation support
- site
- website
- external
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、Webサイトのセキュリティ評価を支援するセキュリティ評価支援技術に関する。 The present invention relates to a security evaluation support technology that supports security evaluation of a Web site.
近年、インターネット等のネットワークの普及に伴い、様々なWebサイト(Webシステム)がネットワーク上に存在する。Webサイトは、不特定多数のユーザが使用することを前提としたシステムであるため、外部からの不正侵入や攻撃を防御するために様々なセキュリティ対策を行う必要がある。また、セキュリティ対策後においても、当該セキュリティ対策に不備がないか、あるいは脆弱性が存在するかなどのチェックを行う必要がある。 In recent years, with the spread of networks such as the Internet, various Web sites (Web systems) exist on the networks. Since a Web site is a system that is assumed to be used by an unspecified number of users, it is necessary to take various security measures to prevent unauthorized intrusion and attacks from the outside. Even after security measures, it is necessary to check whether the security measures are flawed or have vulnerabilities.
例えば、特許文献1には、Webアプリケーションの脆弱性の有無を評価するシステムが記載されている。
For example,
様々なサービスの提供がネットワーク上で行われている現在において、企業が管理・運営するWebサイトの数は年々増加している。管理するWebサイトが大量にある場合、各Webサイトの状態を常に把握しておくことは、システム管理者の作業負荷が大きく、困難である。 At present, when various services are provided on a network, the number of Web sites managed and operated by companies is increasing year by year. When there are a large number of Web sites to be managed, it is difficult to keep track of the status of each Web site because the workload of the system administrator is large.
また、ネットワーク技術の高度化や、不正侵入・外部攻撃の手口の巧妙化などに伴い、より高いセキュリティが求められ、セキュリティ対策も複雑化している。そのため、大量のWebサイトの全てに対して、確実にセキュリティ対策が講じられているかをチェックするには、多くの時間および労力を要する。 In addition, with the advancement of network technology and sophisticated techniques for unauthorized intrusion and external attacks, higher security is required, and security measures are becoming more complex. For this reason, it takes a lot of time and effort to check whether security measures have been taken for all of a large number of Web sites.
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、Webサイトのセキュリティ上の状態を容易に取得し、セキュリティ評価を支援することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to easily acquire the security state of a Web site and support security evaluation.
上記課題を解決するために、本発明は、Webサイトのセキュリティ評価支援装置であって、評価対象のWebサイトにアクセスし、ポート情報を含む直接情報を収集する直接情報収集手段と、外部の情報提供サイトにアクセスし、前記Webサイトが問題のあるサイトとして登録されているか否かの外部情報を収集する外部情報収集手段と、前記直接情報収集手段が収集した直接情報に基づいて、前記Webサイトのオープンポートを含む第1の評価支援情報を生成するとともに、前記外部情報収集手段が収集した外部情報に基づいて前記Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する評価支援手段と、前記第1の評価支援情報および前記第2の評価支援情報を出力する出力手段と、を有する。 In order to solve the above-described problems, the present invention provides a security evaluation support apparatus for a website, which directly accesses an evaluation target website and collects direct information including port information, and external information. An external information collecting means for accessing the providing site and collecting external information as to whether or not the website is registered as a problem site; and the website based on the direct information collected by the direct information collecting means The first evaluation support information including the open port is generated, and the second evaluation support related to whether or not the Web site is registered as a problem site based on the external information collected by the external information collecting means Evaluation support means for generating information; output means for outputting the first evaluation support information and the second evaluation support information; A.
また、本発明は、コンピュータが行う、Webサイトのセキュリティを評価するセキュリティ評価支援方法であって、評価対象のWebサイトにアクセスし、ポート情報を含む直接情報を収集する直接情報収集ステップと、外部の情報提供サイトにアクセスし、前記Webサイトが問題のあるサイトとして登録されているか否かの外部情報を収集する外部情報収集ステップと、前記直接情報収集ステップで収集した直接情報に基づいて、前記Webサイトのオープンポートを含む第1の評価支援情報を生成するとともに、前記外部情報収集ステップで収集した外部情報に基づいて前記Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する評価支援ステップと、前記第1の評価支援情報および前記第2の評価支援情報を出力する出力ステップと、を行う。 Further, the present invention is a security evaluation support method for evaluating the security of a website performed by a computer, the direct information collecting step for accessing the evaluation target website and collecting the direct information including the port information, and the external The external information collection step of accessing the information providing site and collecting external information as to whether or not the website is registered as a problem site, and based on the direct information collected in the direct information collection step, Generating second evaluation support information including an open port of the Web site, and second relating to whether or not the Web site is registered as a problematic site based on the external information collected in the external information collecting step An evaluation support step for generating evaluation support information, the first evaluation support information and the previous And outputting the second evaluation support information, it is carried out.
本発明では、Webサイトのセキュリティ上の状態を容易に取得し、セキュリティ評価を支援することができる。 In the present invention, it is possible to easily acquire the security state of a Web site and support security evaluation.
以下、本発明の実施の形態について説明する。 Embodiments of the present invention will be described below.
図1は、本発明の実施形態が適用されたセキュリティ評価支援システムの全体構成図である。図示するセキュリティ評価支援システムは、セキュリティ評価支援装置1と、少なくとも1つのWebシステム2と、外部サイト3と、Whois情報サイト4とを備える。セキュリティ評価支援装置1は、インターネット等のネットワーク9を介してWebシステム2、外部サイト3およびWhois情報サイト4に接続可能である。
FIG. 1 is an overall configuration diagram of a security evaluation support system to which an embodiment of the present invention is applied. The illustrated security evaluation support system includes a security
セキュリティ評価支援装置1は、評価対象である各Webシステム2毎(各企業毎)に、当該Webシステム2が備える各Webサイト21のセキュリティ上の状態を取得し、各Webサイト21のセキュリティ上の不備(脆弱性)を検出する。すなわち、セキュリティ評価支援装置1は、各Webサイト21が、外部(例えば外部ハッカーなど)からどのように見られているかを一括してチェックし、各Webサイト21のセキュリティ評価を支援するための装置である。
The security
なお、本実施形態のセキュリティ評価支援装置1は、Webシステム2(Webサイト21)を運営・管理する企業に代わって、当該企業が運営・管理する各Webサイト21の状況を定期的に一括して取得し、取得した情報に基づく評価支援情報を定期的に当該企業に提供するものである。
The security evaluation support
図示するセキュリティ評価支援装置1は、関連情報収集部10と、直接情報収集部11と、外部情報収集部12と、評価支援部13と、出力部14と、情報記憶部15と、チェックデータ記憶部16とを備える。
The security
関連情報収集部10は、少なくも1つのWhois情報サイト4から各WebサイトのWhois情報を収集(取得)する。直接情報収集部11は、評価対象の各Webサイト21に直接アクセスし、Webサイト21毎に直接情報を収集する。外部情報収集部12は、少なくも1つの外部サイト3(情報提供サイト)から各Webサイトの外部情報を収集する。
The related
評価支援部13は、Webサイト21毎に収集した直接情報に基づいて、Webサイト21毎の第1の評価支援情報を生成するとともに、Webサイト21毎に収集した外部情報に基づいて、当該Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する。そして、評価支援部13は、Webサイト21毎に生成した第1の評価支援情報および第2の評価支援情報を、情報記憶部15に記憶する。出力部14は、情報記憶部15に記憶された、Webサイト21毎の第1の評価支援情報および第2の評価支援情報を出力する。
The
情報記憶部15には、各収集部10〜12が収集した各Webサイトに関する情報、および評価支援部13が生成した各Webサイトの評価支援情報などが記憶される。チェックデータ記憶部16には、各Webサイトにセキュリティ上の不備(脆弱性)があるか否かをチェックするためのデータが記憶される。
The
Webシステム2は、Webサービスをユーザが使用するユーザ端末(不図示)に提供するシステムである。図示するWebシステム2は、少なくとも1つのWebサイト21(ひとまとまりに公開されているWebページ群)を備え、各Webサイトにアクセスしたユーザ(ユーザ端末)に所定のサービスを提供する。
The
外部サイト3は、様々な団体や企業などがそれぞれ運営する外部システムのサイト(情報提供サイト)であって、問題のあるサイトをデータベース(またはリスト)に登録・保持し、Webサイトのアドレス(ドメイン名、IPアドレスなど)を送信するだけで当該Webサイトがデータベースに登録された問題のあるWebサイトか否かの判別結果を応答するサイトである。 The external site 3 is an external system site (information providing site) operated by various organizations or companies, and registers and holds the problematic site in the database (or list), and the website address (domain). Name, IP address, etc.) is a site that responds with a determination result as to whether or not the website is a problematic website registered in the database.
本実施形態のセキュリティ評価支援装置1は、少なくとも1つの外部サイト3にアクセスし、各外部サイト3から各Webサイト21が問題のあるサイトとして登録されているか否かの判別結果を外部情報として取得する。
The security evaluation support
外部サイト3としては、例えば、フィッシング情報サイト31、ブラックリスト情報サイト32、脆弱性情報サイト33、マルウェア感染情報サイト34などが挙げられる。フィッシング情報サイト31は、サーバに侵入し、改竄されて、もしくはクロスサイトスクリプティング脆弱性を利用されてフィッシングサイトとしてフィッシングデータベースに登録されていないかをチェックするサイトである。ブラックリスト情報サイト32は、スパムメール配信サーバ、マルウェア配信サーバなど有害なサイトとしてブラックリスト(データベース)に登録されていないかをチェックするサイトである。
Examples of the external site 3 include a
脆弱性情報サイト33は、Webアプリケーションに脆弱性が存在するサイトとして脆弱性情報データベースに登録されていないかをチェックするサイトである。マルウェア感染情報サイト34は、マルウェアに感染しているサイトとしてマルウェア感染情報データベースに登録されていないかをチェックするサイトである。マルウェアは、コンピュータウイルス、ワーム、スパイウェアなどの悪意のある、有害なソフトウェアである。
The
Whois情報サイト4は、IPアドレスやドメインの登録者に関する情報を提供するサイトである。 The Whois information site 4 is a site that provides information on IP address and domain registrants.
上記説明した、セキュリティ評価支援装置1は、いずれも、例えば図2に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされたセキュリティ評価支援装置1のプログラムを実行することにより、セキュリティ評価支援装置1の各機能が実現される。
Each of the security
また、セキュリティ評価支援装置1のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。
The program of the security
次に、本実施形態の処理について説明する。 Next, the processing of this embodiment will be described.
図3は、本実施形態のセキュリティ評価支援装置1の動作概要を示すフローチャートである。
FIG. 3 is a flowchart showing an operation outline of the security
まず、関連情報収集部10は、対象となるWebサイトが設定された対象リストを生成する(S11)。そして、生成した対象リストの各Webサイトについて、S13およびS14の処理を行う(S12)。すなわち、直接情報収集部11は、対象のWebサイトにアクセスして直接情報を収集し(S13)、外部情報収集部12は、各外部サイト3にアクセスして当該Webサイトの外部情報を収集する(S14)。そして、対象リストの全てのWebサイトについてS13およびS14の処理が終了すると、評価支援部13は、対象リストの全てのWebサイトに関する評価情報を生成し、出力部14は生成された評価情報をディスプレイやプリンタなどの出力装置に出力する(S15)。
First, the related
図4は、図3に示すS11の対処リスト生成処理の詳細を示すフローチャートである。 FIG. 4 is a flowchart showing details of the coping list generation process of S11 shown in FIG.
関連情報収集部10は、評価対象のWebサイトの一覧が記述された対象リストを読み込み、情報記憶部15に記憶する(S21)。対象リストには、所定の企業が管理・運営する各Webサイトのドメイン名、IPアドレスなどが設定されている。
The related
そして、関連情報収集部10は、読み込んだ対象リストの各Webサイトについて、S23からS26の処理を行う(S22)。すなわち、Whois情報提供サイト41、42にアクセスし、対象となるWebサイトのドメイン名、IPアドレスなどを入力して、当該WebサイトのドメインのWhois情報およびIPアドレスのWhois情報を収集する(S23)。そして、関連情報収集部10は、収集したWhois情報を、対象とするWebサイトと対応付けて情報記憶部15に記憶する。なお、ドメインのWhois情報には、例えば以下の情報などが含まれる。
Then, the related
・登録ドメイン名
・登録ドメイン名のネームサーバ
・ドメイン名の登録年月日
・ドメイン名の有効期限
・ドメイン名登録者の名前
・技術的な連絡の担当者の名前、所属組織名・部署、電子メールアドレス、電話番号
・登録に関する連絡の担当者の名前、所属組織名・部署、電子メールアドレス
・登録者への連絡窓口担当者の名前、電子メールアドレス、電話番号、Web Page、住所
IPアドレスのWhois情報にも、同様の情報が含まれる。
・ Registered domain name ・ Name server for registered domain name ・ Registration date of domain name ・ Expiration date of domain name ・ Name of registrant of domain name ・ Name of person in charge of technical communication, organization name / department, electronic E-mail address, telephone number ・ Name of the person in charge of registration, organization name / department, e-mail address ・ Name of e-mail address, telephone number, Web page, address IP address Similar information is also included in the Whois information.
そして、関連情報収集部10は、収集したWhois情報から所定の関連情報を抽出する(S24)。そして、関連情報収集部10は、抽出した関連情報を、対象とするWebサイトと対応付けて情報記憶部15に記憶する。例えば、IPアドレスのWhois情報からIP管理者を、また、ドメインのWhois情報からドメイン登録担当者の名前、所属組織を抽出することが考えられる。
Then, the related
また、関連情報収集部10は、対象となるWebサイトをクローリングし(S25)、クローリング結果として収集された他のWebサイトについても、S23およびS24の処理を行い当該他のWebサイトの関連情報を抽出することとしてもよい(S26)。他のWebサイトの関連情報を抽出した場合、S21で読み込み、情報記憶部15に記憶された対象リストに、当該他のWebサイトのIPアドレス、ドメイン名を追加して、対象リストを更新(生成)する。
In addition, the related
図5は、図3に示すS13の直接情報収集処理の詳細を示すフローチャートである。直接情報収集処理は、対象となるWebサイトに直接アクセスし、オープンポート情報(開きポート情報)、バナー情報、SSL情報などの直接情報を収集する。 FIG. 5 is a flowchart showing details of the direct information collection processing of S13 shown in FIG. The direct information collection process directly accesses a target Web site and collects direct information such as open port information (open port information), banner information, and SSL information.
具体的には、直接情報収集部11は、対象となるWebサイトにアクセスし、オープンポート情報を収集する(S31)。すなわち、直接情報収集部11は、所定数の代表的なポートに、ネットワーク9を介して順番にアクセスし、応答の有無をチェックするポートスキャンを行う。ポートからの応答がある場合は、ポートがオープン状態であり、ポートからの応答がない場合は、ポートがクローズ状態である。 Specifically, the direct information collection unit 11 accesses a target Web site and collects open port information (S31). That is, the direct information collection unit 11 performs a port scan that sequentially accesses a predetermined number of representative ports via the network 9 and checks whether there is a response. When there is a response from the port, the port is in an open state, and when there is no response from the port, the port is in a closed state.
このポートスキャンにより、不必要または想定外のポートがオープン状態であることを検出することができる。不必要または想定外のポートがオープン状態である場合、当該ポートを介した不正アクセスなどの攻撃の対象になりやすく、また、パッチプログラムの適用漏れが発生するなどのセキュリティ上の不備(脆弱性)がある。 By this port scan, it can be detected that an unnecessary or unexpected port is in an open state. If an unnecessary or unexpected port is open, it may be subject to attacks such as unauthorized access via the port, and a security defect (vulnerability) such as patch application omission may occur. There is.
また、直接情報収集部11は、S31で検出したでオープンポートのそれぞれについて、バナー情報(プロトコルバナー情報)を収集する(S32)。具体的には、直接情報収集部11は、各オープンポートに対して所定のコマンドを実行し、その応答メッセージ(バナー情報)から使用しているソフトウェアの種類、バージョンなどを取得する。このバナー情報から、例えば、サポート切れのプラットフォームのソフトウェアを使用しているなどのセキュリティ上の不備を検出することができる。 The direct information collection unit 11 collects banner information (protocol banner information) for each open port detected in S31 (S32). Specifically, the direct information collection unit 11 executes a predetermined command for each open port, and acquires the type and version of software used from the response message (banner information). From this banner information, it is possible to detect security deficiencies such as using software on an unsupported platform.
また、直接情報収集部11は、S31でHTTPSポートがオープンポートとして検出された場合、HTTPSポートに対して、通常のSSL接続によりアクセスし、その応答メッセージからSSL情報を取得する。SSL情報としては、例えば、証明書発行先、証明書発行元、証明書発行日、証明書有効期限、証明書署名アルゴリズム、公開鍵長、接続可能な暗号化方式などが含まれる。このSSL情報から、セキュリティレベル、運用状態などを把握し、例えば、強度の低い暗号化方式を利用しているため、脆弱なリネゴシエーションが可能であるなどセキュリティ上の不備を検出することができる。 Further, when the HTTPS port is detected as an open port in S31, the direct information collection unit 11 accesses the HTTPS port through a normal SSL connection, and acquires SSL information from the response message. The SSL information includes, for example, a certificate issue destination, a certificate issue source, a certificate issue date, a certificate expiration date, a certificate signature algorithm, a public key length, a connectable encryption method, and the like. From this SSL information, the security level, the operation state, etc. are grasped, and for example, since a low-strength encryption method is used, it is possible to detect a security deficiency such that weak renegotiation is possible.
なお、直接情報収集部11は、S31〜S33で取得した各情報を、対象となるWebサイトと対応付けて、情報記憶部15に記憶する。
The direct information collection unit 11 stores the information acquired in S31 to S33 in the
図6は、図3に示すS14の外部情報収集処理の詳細を示すフローチャートである。外部情報収集処理は、対象となる各外部サイトにアクセスし、対象となるWebサイトが問題のあるサイトとして、外部サイト3に登録されているか否かの外部情報を収集する。 FIG. 6 is a flowchart showing details of the external information collection processing in S14 shown in FIG. In the external information collection process, each target external site is accessed, and external information indicating whether the target Web site is registered in the external site 3 as a problematic site is collected.
具体的には、外部情報収集部12は、フィッシング情報サイト31にアクセスし、対象となるWebサイトのドメイン名またはIPアドレスを送信して、当該Webサイトがフィッシングサイトとしてデータベースに登録されているか否かのチェック結果を取得する(S41)。
Specifically, the external
また、外部情報収集部12は、ブラックリスト情報サイト32にアクセスし、対象となるWebサイトのドメイン名またはIPアドレスを送信して、当該Webサイトがブラックリスト(データベース)に登録されているか否かのチェック結果を取得する(S42)。
Also, the external
また、外部情報収集部12は、脆弱性情報サイト33にアクセスし、対象となるWebサイトのドメイン名またはIPアドレスを送信して、当該Webサイトが脆弱性のあるサイトとしてデータベースに登録されているか否かのチェック結果を取得する(S43)。
In addition, the external
また、外部情報収集部12は、マルウェア感染情報サイト34にアクセスし、対象となるWebサイトのドメイン名またはIPアドレスを送信して、当該Webサイトがマルウェアに感染しているサイトとしてデータベースに登録されているか否かのチェック結果を取得する(S44)。
Further, the external
なお、外部情報収集部12は、S41〜S44で取得した各チェック結果である外部情報を、対象となるWebサイトと対応付けて情報記憶部15に記憶する。
The external
また、外部情報収集部12は、S41〜S44以外の外部サイト(例えば、検索サイト)にアクセスし、Webサイトの評判情報(例えば、風評情報、漏洩情報など)を取得してもよい。
Further, the external
次に、図3に示すS15の評価支援情報(レピュテーションレポート)の生成処理について説明する。評価支援部13は、情報記憶部15から各種の情報を読み出し、対象リストに設定された各Webサイトの評価支援情報を生成する。
Next, the process of generating evaluation support information (reputation report) in S15 shown in FIG. 3 will be described. The
図7は、評価支援情報の一例を示す図である。図示する評価支援情報には、Webサイト毎に、ドメイン名、IPアドレス、カテゴリ、関連情報71、直接情報72、外部情報73が設定されている。すなわち、関連情報71として、Whois情報から抽出したIP管理者と、ドメイン登録担当者の組織名および名前とが設定されている。また、直接情報72として、オープンポート情報、バナー情報およびSSL情報が設定されている。また、外部情報73として、フィッシング登録有無、ブラックリスト登録有無、脆弱性登録有無、マルウェア感染登録有無が設定されている。
FIG. 7 is a diagram illustrating an example of the evaluation support information. In the illustrated evaluation support information, a domain name, an IP address, a category,
そして、評価支援部13は、評価支援情報に設定された各項目について、セキュリティ上の不備が無いかを、チェックデータ記憶部16などを用いてチェックする。そして、不備がある場合は、評価支援情報に警告メッセージなどを表示する。例えば、NO.2のWebサイトの「オープンポート」では、メンテナンスポートであり、外部に対してオープンにする必要がない「21/FTP」のポートがオープン状態になっている。この場合、評価支援部13は、「メンテナンスポートが外部に向けてオープン状態であり、Web感染型マルウェアによる悪用の危険性がある。」などの警告メッセージ74を評価支援情報に設定する。
Then, the
また、NO.2およびNO.3のWebサイトの「バナー情報」では、サポート切れのプラットフォームが設定されている。この場合、評価支援部13は、「サポート切れのプラットフォームを利用している。」などの警告メッセージ75を評価支援情報に設定する。
In addition, NO. 2 and NO. In the “banner information” of the third website, an unsupported platform is set. In this case, the
また、NO.1のWebサイトの「SSL情報」では、有効期限として現時点より前の日付が設定されている。この場合、評価支援部13は、「サーバ証明書の有効期限が切れている。」などの警告メッセージ76を評価支援情報に設定する。
In addition, NO. In “SSL information” of one Web site, a date before the current time is set as the expiration date. In this case, the
また、NO.3のWebサイトの「脆弱性登録」では、「×」が記述されている。なお、図示する例では、各外部サイト3から外部情報として問題のあるサイトとして登録されていない旨の応答を受信した場合は「○」を、問題のあるサイトとして登録されている旨の応答を受信した場合は「×」を設定している。したがって、評価支援部13は、「脆弱性情報がネットワーク上で公開されている。」などの警告メッセージ77を評価支援情報に設定する。
In addition, NO. In the “vulnerability registration” of the third website, “x” is described. In the example shown in the figure, when a response indicating that the external site 3 is not registered as a problem site is received from each external site 3, “○” is displayed, and a response indicating that the site is registered as a problem site is displayed. When received, “×” is set. Therefore, the
また、評価支援情報を、統計処理・加工処理することで、図8のような評価支援情報を生成することとしてもよい。 Further, the evaluation support information as shown in FIG. 8 may be generated by performing statistical processing / processing on the evaluation support information.
図8(a)は、ポートスキャンによるオープンポートの結果分析の一例を示すものである。図8(a)では、不要なオープンポートが存在するドメインおよびIPアドレスを、全体、コンシュマー用Webサイト、月間ページビュー(PV)が所定数以上のWebサイト毎にそれぞれ集計したものである。 FIG. 8A shows an example of open port result analysis by port scanning. In FIG. 8A, domains and IP addresses in which unnecessary open ports exist are totaled for the entire website, the consumer website, and the monthly page view (PV) for each predetermined website or more.
図8(b)は、ポートスキャンによるオープンポートの結果分析の他の一例を示すものである。図8(b)では、不要なオープンポートが存在するドメインおよびIPアドレスを運用組織毎に集計したものである。また、運用組織が、自社(Webサイトを管理運営する企業)であるのか、運用を委託している外部企業であるのかについても分類し、集計している。運用組織については、例えば関連情報収集部10が収集したWhois情報を用いることが考えられる。
FIG. 8B shows another example of open port result analysis by port scanning. In FIG. 8B, the domains and IP addresses where unnecessary open ports exist are tabulated for each operation organization. Also, whether the operation organization is its own company (a company that manages and operates a Web site) or an external company that consigns operations is classified and tabulated. For the operational organization, for example, it may be possible to use Whois information collected by the related
図8(b)のような評価支援情報を生成することにより、不必要なポートが開いているWebサイトの運用委託先として外部委託企業が多い場合は、委託時に通信条件の確認がされなかったことが推測され、これに対する対策を提示することができる。 By generating the evaluation support information as shown in FIG. 8B, when there are many outsourced companies as operation contractors of Web sites where unnecessary ports are open, the communication conditions were not confirmed at the time of consignment. It is speculated that this can be countered.
そして、出力部14は、評価支援部13が生成した評価支援情報を出力する。図7、図8のような評価支援情報により、短期的には、例えば、IPアドレスベースのフィルタリングの実施、バージョン情報の隠蔽、サーバのバージョンアップ、パッチの適用、SSL設定変更などの最適なセキュリティ対策を提示できる。また、中期的には、例えば、外部委託企業(ホスティング業者)の変更、サーバリプレース、クライアント証明書による認証、SSL証明書の変更などの最適なセキュリティ対策を提示できる。
Then, the output unit 14 outputs the evaluation support information generated by the
以上説明した本実施形態では、評価対象の各Webサイトの関連情報、直接情報および外部情報を収集することで、各Webサイトのセキュリティ上の状態を容易に取得することができる。これにより、Webサイトのセキュリティ上の不備や脆弱性を検出し、Webサイトのセキュリティ評価を支援することができる。 In the present embodiment described above, the security status of each website can be easily acquired by collecting related information, direct information, and external information of each website to be evaluated. As a result, it is possible to detect security deficiencies and vulnerabilities of the Web site, and support the security evaluation of the Web site.
また、本実施形態では、対象とするWebサイトが大量である場合であっても、一括してセキュリティ上の状態を取得することができ、これにより、システム管理者の作業負荷を軽減することができる。 Further, in the present embodiment, even when there are a large number of target websites, it is possible to obtain the security status in a lump, thereby reducing the workload of the system administrator. it can.
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。 In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary.
1:セキュリティ評価支援装置、10:関連情報収集部、11:直接情報収集部、12:外部情報収集部、13:評価支援部、14:出力部、15:情報記憶部、16:チェックデータ記憶部、2:Webシステム、21:Webサイト、3:外部サイト、31:フィッシング情報サイト、32:ブラックリスト情報サイト、33:脆弱性情報サイト、34:マルウェア感染情報サイト、4:Whois情報サイト、9:ネットワーク 1: security evaluation support device, 10: related information collection unit, 11: direct information collection unit, 12: external information collection unit, 13: evaluation support unit, 14: output unit, 15: information storage unit, 16: check data storage Part 2: Web system 21: Web site 3: external site 31: phishing information site 32: blacklist information site 33: vulnerability information site 34: malware infection information site 4: Whois information site 9: Network
Claims (3)
評価対象のWebサイトにアクセスし、ポート情報を含む直接情報を収集する直接情報収集手段と、
外部の情報提供サイトにアクセスし、前記Webサイトが問題のあるサイトとして登録されているか否かの外部情報を収集する外部情報収集手段と、
前記直接情報収集手段が収集した直接情報に基づいて、前記Webサイトのオープンポートを含む第1の評価支援情報を生成するとともに、前記外部情報収集手段が収集した外部情報に基づいて前記Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する評価支援手段と、
前記第1の評価支援情報および前記第2の評価支援情報を出力する出力手段と、を有すること
を特徴とするセキュリティ評価支援装置。 A security evaluation support device for a website,
Direct information collection means for accessing the evaluation target website and collecting direct information including port information;
An external information collection means for accessing an external information providing site and collecting external information as to whether or not the website is registered as a problematic site;
Based on the direct information collected by the direct information collecting means, first evaluation support information including an open port of the website is generated, and the website is based on the external information collected by the external information collecting means. An evaluation support means for generating second evaluation support information regarding whether or not the site is registered as a problem site;
An output means for outputting the first evaluation support information and the second evaluation support information. A security evaluation support apparatus, comprising:
前記直接情報収集手段は、評価対象の複数のWebサイトの各々にアクセスし、前記直接情報をWebサイト毎に収集し、
前記外部情報収集手段は、前記外部情報をWebサイト毎に収集し、
前記評価支援手段は、前記Webサイト毎に収集した直接情報に基づいてWebサイト毎の前記第1の評価支援情報を生成するとともに、Webサイト毎に収集した外部情報に基づいてWebサイト毎の前記第2の評価支援情報を生成し、
前記出力手段は、Webサイト毎に第1の評価支援情報および前記第2の評価支援情報を出力すること
を特徴とするセキュリティ評価支援装置。 The security evaluation support device according to claim 1,
The direct information collecting means accesses each of a plurality of websites to be evaluated, collects the direct information for each website,
The external information collecting means collects the external information for each website,
The evaluation support means generates the first evaluation support information for each website based on the direct information collected for each website, and also for each website based on the external information collected for each website. Generating second evaluation support information;
The output means outputs the first evaluation support information and the second evaluation support information for each Web site.
評価対象のWebサイトにアクセスし、ポート情報を含む直接情報を収集する直接情報収集ステップと、
外部の情報提供サイトにアクセスし、前記Webサイトが問題のあるサイトとして登録されているか否かの外部情報を収集する外部情報収集ステップと、
前記直接情報収集ステップで収集した直接情報に基づいて、前記Webサイトのオープンポートを含む第1の評価支援情報を生成するとともに、前記外部情報収集ステップで収集した外部情報に基づいて前記Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する評価支援ステップと、
前記第1の評価支援情報および前記第2の評価支援情報を出力する出力ステップと、を行うこと
を特徴とするセキュリティ評価支援方法。 A security evaluation support method for evaluating the security of a website performed by a computer,
A direct information collection step of accessing a website to be evaluated and collecting direct information including port information;
An external information collecting step of accessing an external information providing site and collecting external information as to whether or not the website is registered as a problematic site;
Based on the direct information collected in the direct information collecting step, first evaluation support information including an open port of the website is generated, and the website is based on the external information collected in the external information collecting step. An evaluation support step for generating second evaluation support information regarding whether or not the site is registered as a problem site;
An output step of outputting the first evaluation support information and the second evaluation support information. A security evaluation support method comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011176971A JP5580261B2 (en) | 2011-08-12 | 2011-08-12 | Security evaluation support apparatus and security evaluation support method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011176971A JP5580261B2 (en) | 2011-08-12 | 2011-08-12 | Security evaluation support apparatus and security evaluation support method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013041372A JP2013041372A (en) | 2013-02-28 |
| JP5580261B2 true JP5580261B2 (en) | 2014-08-27 |
Family
ID=47889727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011176971A Active JP5580261B2 (en) | 2011-08-12 | 2011-08-12 | Security evaluation support apparatus and security evaluation support method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5580261B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11593475B2 (en) | 2017-01-30 | 2023-02-28 | Nec Corporation | Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6408395B2 (en) * | 2015-02-09 | 2018-10-17 | 株式会社日立システムズ | Blacklist management method |
| JP2017045188A (en) * | 2015-08-25 | 2017-03-02 | 日本電信電話株式会社 | Communication record confirmation device, communication record confirmation system, communication record confirmation method, and communication record confirmation program |
| JP7474800B2 (en) * | 2022-04-28 | 2024-04-25 | 株式会社アシュアード | Risk assessment system and risk assessment method |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4052007B2 (en) * | 2002-05-17 | 2008-02-27 | 日本電気株式会社 | Web site safety authentication system, method and program |
| JP2011013974A (en) * | 2009-07-02 | 2011-01-20 | Kddi Corp | Apparatus and program for website evaluation |
-
2011
- 2011-08-12 JP JP2011176971A patent/JP5580261B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11593475B2 (en) | 2017-01-30 | 2023-02-28 | Nec Corporation | Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013041372A (en) | 2013-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Connolly et al. | The rise of crypto-ransomware in a changing cybercrime landscape: Taxonomising countermeasures | |
| Alabdan | Phishing attacks survey: Types, vectors, and technical approaches | |
| Kumari et al. | Verification and validation techniques for streaming big data analytics in internet of things environment | |
| US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
| Souppaya et al. | Guide to malware incident prevention and handling for desktops and laptops | |
| Mannan et al. | Security and usability: the gap in real-world online banking | |
| US8966625B1 (en) | Identification of malware sites using unknown URL sites and newly registered DNS addresses | |
| US7958555B1 (en) | Protecting computer users from online frauds | |
| Muniz et al. | Security operations center: Building, operating, and maintaining your SOC | |
| US8756691B2 (en) | IP-based blocking of malware | |
| Wu et al. | Effective defense schemes for phishing attacks on mobile computing platforms | |
| US8910285B2 (en) | Methods and systems for reciprocal generation of watch-lists and malware signatures | |
| Wu et al. | MobiFish: A lightweight anti-phishing scheme for mobile phones | |
| US9049221B1 (en) | Detecting suspicious web traffic from an enterprise network | |
| Tudosi et al. | Research on security weakness using penetration testing in a distributed firewall | |
| US20160127395A1 (en) | System and method for network intrusion detection of covert channels based on off-line network traffic | |
| US20170195363A1 (en) | System and method to detect and prevent phishing attacks | |
| Karim et al. | Mobile botnet attacks: a thematic taxonomy | |
| TW201723914A (en) | Detection of advanced persistent threat attack on a private computer network | |
| CN108369541B (en) | System and method for threat risk scoring of security threats | |
| EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
| Akiyama et al. | Active credential leakage for observing web-based attack cycle | |
| JP5580261B2 (en) | Security evaluation support apparatus and security evaluation support method | |
| Zimba et al. | A dive into the deep: demystifying wannacry crypto ransomware network attacks via digital forensics | |
| Nguyen et al. | Detecting fileless malware on windows with att&ck: A practical approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140128 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140619 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140701 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140710 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5580261 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |