Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP5580261B2 - Security evaluation support apparatus and security evaluation support method - Google Patents
[go: Go Back, main page]

JP5580261B2 - Security evaluation support apparatus and security evaluation support method - Google Patents

Security evaluation support apparatus and security evaluation support method Download PDF

Info

Publication number
JP5580261B2
JP5580261B2 JP2011176971A JP2011176971A JP5580261B2 JP 5580261 B2 JP5580261 B2 JP 5580261B2 JP 2011176971 A JP2011176971 A JP 2011176971A JP 2011176971 A JP2011176971 A JP 2011176971A JP 5580261 B2 JP5580261 B2 JP 5580261B2
Authority
JP
Japan
Prior art keywords
information
evaluation support
site
website
external
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011176971A
Other languages
Japanese (ja)
Other versions
JP2013041372A (en
Inventor
博文 岡
岳史 浅野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2011176971A priority Critical patent/JP5580261B2/en
Publication of JP2013041372A publication Critical patent/JP2013041372A/en
Application granted granted Critical
Publication of JP5580261B2 publication Critical patent/JP5580261B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、Webサイトのセキュリティ評価を支援するセキュリティ評価支援技術に関する。   The present invention relates to a security evaluation support technology that supports security evaluation of a Web site.

近年、インターネット等のネットワークの普及に伴い、様々なWebサイト(Webシステム)がネットワーク上に存在する。Webサイトは、不特定多数のユーザが使用することを前提としたシステムであるため、外部からの不正侵入や攻撃を防御するために様々なセキュリティ対策を行う必要がある。また、セキュリティ対策後においても、当該セキュリティ対策に不備がないか、あるいは脆弱性が存在するかなどのチェックを行う必要がある。   In recent years, with the spread of networks such as the Internet, various Web sites (Web systems) exist on the networks. Since a Web site is a system that is assumed to be used by an unspecified number of users, it is necessary to take various security measures to prevent unauthorized intrusion and attacks from the outside. Even after security measures, it is necessary to check whether the security measures are flawed or have vulnerabilities.

例えば、特許文献1には、Webアプリケーションの脆弱性の有無を評価するシステムが記載されている。   For example, Patent Document 1 describes a system for evaluating the presence / absence of a vulnerability in a Web application.

特開2007−172517号公報JP 2007-172517 A

様々なサービスの提供がネットワーク上で行われている現在において、企業が管理・運営するWebサイトの数は年々増加している。管理するWebサイトが大量にある場合、各Webサイトの状態を常に把握しておくことは、システム管理者の作業負荷が大きく、困難である。   At present, when various services are provided on a network, the number of Web sites managed and operated by companies is increasing year by year. When there are a large number of Web sites to be managed, it is difficult to keep track of the status of each Web site because the workload of the system administrator is large.

また、ネットワーク技術の高度化や、不正侵入・外部攻撃の手口の巧妙化などに伴い、より高いセキュリティが求められ、セキュリティ対策も複雑化している。そのため、大量のWebサイトの全てに対して、確実にセキュリティ対策が講じられているかをチェックするには、多くの時間および労力を要する。   In addition, with the advancement of network technology and sophisticated techniques for unauthorized intrusion and external attacks, higher security is required, and security measures are becoming more complex. For this reason, it takes a lot of time and effort to check whether security measures have been taken for all of a large number of Web sites.

本発明は上記事情に鑑みてなされたものであり、本発明の目的は、Webサイトのセキュリティ上の状態を容易に取得し、セキュリティ評価を支援することにある。   The present invention has been made in view of the above circumstances, and an object of the present invention is to easily acquire the security state of a Web site and support security evaluation.

上記課題を解決するために、本発明は、Webサイトのセキュリティ評価支援装置であって、評価対象のWebサイトにアクセスし、ポート情報を含む直接情報を収集する直接情報収集手段と、外部の情報提供サイトにアクセスし、前記Webサイトが問題のあるサイトとして登録されているか否かの外部情報を収集する外部情報収集手段と、前記直接情報収集手段が収集した直接情報に基づいて、前記Webサイトのオープンポートを含む第1の評価支援情報を生成するとともに、前記外部情報収集手段が収集した外部情報に基づいて前記Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する評価支援手段と、前記第1の評価支援情報および前記第2の評価支援情報を出力する出力手段と、を有する。   In order to solve the above-described problems, the present invention provides a security evaluation support apparatus for a website, which directly accesses an evaluation target website and collects direct information including port information, and external information. An external information collecting means for accessing the providing site and collecting external information as to whether or not the website is registered as a problem site; and the website based on the direct information collected by the direct information collecting means The first evaluation support information including the open port is generated, and the second evaluation support related to whether or not the Web site is registered as a problem site based on the external information collected by the external information collecting means Evaluation support means for generating information; output means for outputting the first evaluation support information and the second evaluation support information; A.

また、本発明は、コンピュータが行う、Webサイトのセキュリティを評価するセキュリティ評価支援方法であって、評価対象のWebサイトにアクセスし、ポート情報を含む直接情報を収集する直接情報収集ステップと、外部の情報提供サイトにアクセスし、前記Webサイトが問題のあるサイトとして登録されているか否かの外部情報を収集する外部情報収集ステップと、前記直接情報収集ステップで収集した直接情報に基づいて、前記Webサイトのオープンポートを含む第1の評価支援情報を生成するとともに、前記外部情報収集ステップで収集した外部情報に基づいて前記Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する評価支援ステップと、前記第1の評価支援情報および前記第2の評価支援情報を出力する出力ステップと、を行う。   Further, the present invention is a security evaluation support method for evaluating the security of a website performed by a computer, the direct information collecting step for accessing the evaluation target website and collecting the direct information including the port information, and the external The external information collection step of accessing the information providing site and collecting external information as to whether or not the website is registered as a problem site, and based on the direct information collected in the direct information collection step, Generating second evaluation support information including an open port of the Web site, and second relating to whether or not the Web site is registered as a problematic site based on the external information collected in the external information collecting step An evaluation support step for generating evaluation support information, the first evaluation support information and the previous And outputting the second evaluation support information, it is carried out.

本発明では、Webサイトのセキュリティ上の状態を容易に取得し、セキュリティ評価を支援することができる。   In the present invention, it is possible to easily acquire the security state of a Web site and support security evaluation.

本発明の実施形態が適用されたセキュリティ評価支援システムの全体構成図である。1 is an overall configuration diagram of a security evaluation support system to which an embodiment of the present invention is applied. セキュリティ評価支援装置のハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of a security evaluation assistance apparatus. セキュリティ評価支援装置の動作を示すフローチャートである。It is a flowchart which shows operation | movement of a security evaluation assistance apparatus. 関連情報収集処理を示すフローチャートである。It is a flowchart which shows a related information collection process. 直接情報収集処理を示すフローチャートである。It is a flowchart which shows a direct information collection process. 外部情報収集処理を示すフローチャートである。It is a flowchart which shows an external information collection process. 評価支援情報の一例を示す図である。It is a figure which shows an example of evaluation assistance information. 評価支援情報の他の一例を示す図である。It is a figure which shows another example of evaluation assistance information.

以下、本発明の実施の形態について説明する。   Embodiments of the present invention will be described below.

図1は、本発明の実施形態が適用されたセキュリティ評価支援システムの全体構成図である。図示するセキュリティ評価支援システムは、セキュリティ評価支援装置1と、少なくとも1つのWebシステム2と、外部サイト3と、Whois情報サイト4とを備える。セキュリティ評価支援装置1は、インターネット等のネットワーク9を介してWebシステム2、外部サイト3およびWhois情報サイト4に接続可能である。   FIG. 1 is an overall configuration diagram of a security evaluation support system to which an embodiment of the present invention is applied. The illustrated security evaluation support system includes a security evaluation support device 1, at least one Web system 2, an external site 3, and a Whois information site 4. The security evaluation support apparatus 1 can be connected to the Web system 2, the external site 3, and the Whois information site 4 via a network 9 such as the Internet.

セキュリティ評価支援装置1は、評価対象である各Webシステム2毎(各企業毎)に、当該Webシステム2が備える各Webサイト21のセキュリティ上の状態を取得し、各Webサイト21のセキュリティ上の不備(脆弱性)を検出する。すなわち、セキュリティ評価支援装置1は、各Webサイト21が、外部(例えば外部ハッカーなど)からどのように見られているかを一括してチェックし、各Webサイト21のセキュリティ評価を支援するための装置である。   The security evaluation support apparatus 1 acquires the security state of each Web site 21 included in the Web system 2 for each Web system 2 (for each company) that is an evaluation target, and the security evaluation of each Web site 21 Detect deficiencies (vulnerabilities). That is, the security evaluation support apparatus 1 collectively checks how each Web site 21 is viewed from the outside (for example, an external hacker), and supports the security evaluation of each Web site 21. It is.

なお、本実施形態のセキュリティ評価支援装置1は、Webシステム2(Webサイト21)を運営・管理する企業に代わって、当該企業が運営・管理する各Webサイト21の状況を定期的に一括して取得し、取得した情報に基づく評価支援情報を定期的に当該企業に提供するものである。   The security evaluation support apparatus 1 according to the present embodiment periodically collects the status of each Web site 21 operated and managed by the company instead of the company that operates and manages the Web system 2 (Web site 21). The evaluation support information based on the acquired information is periodically provided to the company.

図示するセキュリティ評価支援装置1は、関連情報収集部10と、直接情報収集部11と、外部情報収集部12と、評価支援部13と、出力部14と、情報記憶部15と、チェックデータ記憶部16とを備える。   The security evaluation support apparatus 1 shown in the figure includes a related information collection unit 10, a direct information collection unit 11, an external information collection unit 12, an evaluation support unit 13, an output unit 14, an information storage unit 15, and a check data storage. Part 16.

関連情報収集部10は、少なくも1つのWhois情報サイト4から各WebサイトのWhois情報を収集(取得)する。直接情報収集部11は、評価対象の各Webサイト21に直接アクセスし、Webサイト21毎に直接情報を収集する。外部情報収集部12は、少なくも1つの外部サイト3(情報提供サイト)から各Webサイトの外部情報を収集する。   The related information collection unit 10 collects (acquires) the Whois information of each Web site from at least one Whois information site 4. The direct information collection unit 11 directly accesses each evaluation target website 21 and collects information directly for each website 21. The external information collection unit 12 collects external information of each Web site from at least one external site 3 (information providing site).

評価支援部13は、Webサイト21毎に収集した直接情報に基づいて、Webサイト21毎の第1の評価支援情報を生成するとともに、Webサイト21毎に収集した外部情報に基づいて、当該Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する。そして、評価支援部13は、Webサイト21毎に生成した第1の評価支援情報および第2の評価支援情報を、情報記憶部15に記憶する。出力部14は、情報記憶部15に記憶された、Webサイト21毎の第1の評価支援情報および第2の評価支援情報を出力する。   The evaluation support unit 13 generates first evaluation support information for each Web site 21 based on the direct information collected for each Web site 21, and the Web based on the external information collected for each Web site 21. Second evaluation support information relating to whether or not the site is registered as a problematic site is generated. Then, the evaluation support unit 13 stores the first evaluation support information and the second evaluation support information generated for each Web site 21 in the information storage unit 15. The output unit 14 outputs the first evaluation support information and the second evaluation support information for each Web site 21 stored in the information storage unit 15.

情報記憶部15には、各収集部10〜12が収集した各Webサイトに関する情報、および評価支援部13が生成した各Webサイトの評価支援情報などが記憶される。チェックデータ記憶部16には、各Webサイトにセキュリティ上の不備(脆弱性)があるか否かをチェックするためのデータが記憶される。   The information storage unit 15 stores information about each Web site collected by each of the collecting units 10 to 12, evaluation support information of each Web site generated by the evaluation support unit 13, and the like. The check data storage unit 16 stores data for checking whether or not each Web site has security deficiencies (vulnerabilities).

Webシステム2は、Webサービスをユーザが使用するユーザ端末(不図示)に提供するシステムである。図示するWebシステム2は、少なくとも1つのWebサイト21(ひとまとまりに公開されているWebページ群)を備え、各Webサイトにアクセスしたユーザ(ユーザ端末)に所定のサービスを提供する。   The Web system 2 is a system that provides a Web service to a user terminal (not shown) used by a user. The illustrated Web system 2 includes at least one Web site 21 (a group of Web pages published as a group), and provides a predetermined service to a user (user terminal) who accesses each Web site.

外部サイト3は、様々な団体や企業などがそれぞれ運営する外部システムのサイト(情報提供サイト)であって、問題のあるサイトをデータベース(またはリスト)に登録・保持し、Webサイトのアドレス(ドメイン名、IPアドレスなど)を送信するだけで当該Webサイトがデータベースに登録された問題のあるWebサイトか否かの判別結果を応答するサイトである。   The external site 3 is an external system site (information providing site) operated by various organizations or companies, and registers and holds the problematic site in the database (or list), and the website address (domain). Name, IP address, etc.) is a site that responds with a determination result as to whether or not the website is a problematic website registered in the database.

本実施形態のセキュリティ評価支援装置1は、少なくとも1つの外部サイト3にアクセスし、各外部サイト3から各Webサイト21が問題のあるサイトとして登録されているか否かの判別結果を外部情報として取得する。   The security evaluation support apparatus 1 according to the present embodiment accesses at least one external site 3 and obtains, as external information, a determination result as to whether or not each Web site 21 is registered as a problematic site from each external site 3. To do.

外部サイト3としては、例えば、フィッシング情報サイト31、ブラックリスト情報サイト32、脆弱性情報サイト33、マルウェア感染情報サイト34などが挙げられる。フィッシング情報サイト31は、サーバに侵入し、改竄されて、もしくはクロスサイトスクリプティング脆弱性を利用されてフィッシングサイトとしてフィッシングデータベースに登録されていないかをチェックするサイトである。ブラックリスト情報サイト32は、スパムメール配信サーバ、マルウェア配信サーバなど有害なサイトとしてブラックリスト(データベース)に登録されていないかをチェックするサイトである。   Examples of the external site 3 include a phishing information site 31, a blacklist information site 32, a vulnerability information site 33, and a malware infection information site 34. The phishing information site 31 is a site that checks whether it has been registered in the phishing database as a phishing site by intruding into a server, falsified, or using a cross-site scripting vulnerability. The black list information site 32 is a site that checks whether or not it is registered in the black list (database) as a harmful site such as a spam mail distribution server or a malware distribution server.

脆弱性情報サイト33は、Webアプリケーションに脆弱性が存在するサイトとして脆弱性情報データベースに登録されていないかをチェックするサイトである。マルウェア感染情報サイト34は、マルウェアに感染しているサイトとしてマルウェア感染情報データベースに登録されていないかをチェックするサイトである。マルウェアは、コンピュータウイルス、ワーム、スパイウェアなどの悪意のある、有害なソフトウェアである。   The vulnerability information site 33 is a site for checking whether or not a vulnerability exists in the Web application and is registered in the vulnerability information database. The malware infection information site 34 is a site for checking whether it is registered in the malware infection information database as a site infected with malware. Malware is malicious and harmful software such as computer viruses, worms, and spyware.

Whois情報サイト4は、IPアドレスやドメインの登録者に関する情報を提供するサイトである。   The Whois information site 4 is a site that provides information on IP address and domain registrants.

上記説明した、セキュリティ評価支援装置1は、いずれも、例えば図2に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされたセキュリティ評価支援装置1のプログラムを実行することにより、セキュリティ評価支援装置1の各機能が実現される。   Each of the security evaluation support devices 1 described above includes, for example, a CPU 901, a memory 902, an external storage device 903 such as an HDD, an input device 904 such as a keyboard and a mouse, a display and a printer as shown in FIG. A general-purpose computer system including an output device 905 such as a communication control device 906 for connecting to a network can be used. In this computer system, each function of the security evaluation support apparatus 1 is realized by the CPU 901 executing the program of the security evaluation support apparatus 1 loaded on the memory 902.

また、セキュリティ評価支援装置1のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。   The program of the security evaluation support apparatus 1 can be stored in a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM, an MO, a DVD-ROM, or can be distributed via a network.

次に、本実施形態の処理について説明する。   Next, the processing of this embodiment will be described.

図3は、本実施形態のセキュリティ評価支援装置1の動作概要を示すフローチャートである。   FIG. 3 is a flowchart showing an operation outline of the security evaluation support apparatus 1 of the present embodiment.

まず、関連情報収集部10は、対象となるWebサイトが設定された対象リストを生成する(S11)。そして、生成した対象リストの各Webサイトについて、S13およびS14の処理を行う(S12)。すなわち、直接情報収集部11は、対象のWebサイトにアクセスして直接情報を収集し(S13)、外部情報収集部12は、各外部サイト3にアクセスして当該Webサイトの外部情報を収集する(S14)。そして、対象リストの全てのWebサイトについてS13およびS14の処理が終了すると、評価支援部13は、対象リストの全てのWebサイトに関する評価情報を生成し、出力部14は生成された評価情報をディスプレイやプリンタなどの出力装置に出力する(S15)。   First, the related information collection unit 10 generates a target list in which target Web sites are set (S11). Then, the processes of S13 and S14 are performed for each Web site in the generated target list (S12). That is, the direct information collection unit 11 accesses the target website and directly collects information (S13), and the external information collection unit 12 accesses each external site 3 and collects external information of the website. (S14). When the processes of S13 and S14 are completed for all websites in the target list, the evaluation support unit 13 generates evaluation information about all websites in the target list, and the output unit 14 displays the generated evaluation information. Or output to an output device such as a printer (S15).

図4は、図3に示すS11の対処リスト生成処理の詳細を示すフローチャートである。   FIG. 4 is a flowchart showing details of the coping list generation process of S11 shown in FIG.

関連情報収集部10は、評価対象のWebサイトの一覧が記述された対象リストを読み込み、情報記憶部15に記憶する(S21)。対象リストには、所定の企業が管理・運営する各Webサイトのドメイン名、IPアドレスなどが設定されている。   The related information collection unit 10 reads a target list in which a list of Web sites to be evaluated is described and stores it in the information storage unit 15 (S21). In the target list, the domain name and IP address of each Web site managed and operated by a predetermined company are set.

そして、関連情報収集部10は、読み込んだ対象リストの各Webサイトについて、S23からS26の処理を行う(S22)。すなわち、Whois情報提供サイト41、42にアクセスし、対象となるWebサイトのドメイン名、IPアドレスなどを入力して、当該WebサイトのドメインのWhois情報およびIPアドレスのWhois情報を収集する(S23)。そして、関連情報収集部10は、収集したWhois情報を、対象とするWebサイトと対応付けて情報記憶部15に記憶する。なお、ドメインのWhois情報には、例えば以下の情報などが含まれる。   Then, the related information collection unit 10 performs the processing from S23 to S26 for each Web site in the read target list (S22). That is, the Whois information providing sites 41 and 42 are accessed, the domain name and IP address of the target Web site are input, and the Whois information of the domain of the Web site and the Whois information of the IP address are collected (S23). . Then, the related information collection unit 10 stores the collected Whois information in the information storage unit 15 in association with the target website. The domain's Whois information includes the following information, for example.

・登録ドメイン名
・登録ドメイン名のネームサーバ
・ドメイン名の登録年月日
・ドメイン名の有効期限
・ドメイン名登録者の名前
・技術的な連絡の担当者の名前、所属組織名・部署、電子メールアドレス、電話番号
・登録に関する連絡の担当者の名前、所属組織名・部署、電子メールアドレス
・登録者への連絡窓口担当者の名前、電子メールアドレス、電話番号、Web Page、住所
IPアドレスのWhois情報にも、同様の情報が含まれる。
・ Registered domain name ・ Name server for registered domain name ・ Registration date of domain name ・ Expiration date of domain name ・ Name of registrant of domain name ・ Name of person in charge of technical communication, organization name / department, electronic E-mail address, telephone number ・ Name of the person in charge of registration, organization name / department, e-mail address ・ Name of e-mail address, telephone number, Web page, address IP address Similar information is also included in the Whois information.

そして、関連情報収集部10は、収集したWhois情報から所定の関連情報を抽出する(S24)。そして、関連情報収集部10は、抽出した関連情報を、対象とするWebサイトと対応付けて情報記憶部15に記憶する。例えば、IPアドレスのWhois情報からIP管理者を、また、ドメインのWhois情報からドメイン登録担当者の名前、所属組織を抽出することが考えられる。   Then, the related information collection unit 10 extracts predetermined related information from the collected Whois information (S24). Then, the related information collection unit 10 stores the extracted related information in the information storage unit 15 in association with the target Web site. For example, it may be possible to extract the IP administrator from the Whois information of the IP address and the name and organization of the person in charge of domain registration from the Whois information of the domain.

また、関連情報収集部10は、対象となるWebサイトをクローリングし(S25)、クローリング結果として収集された他のWebサイトについても、S23およびS24の処理を行い当該他のWebサイトの関連情報を抽出することとしてもよい(S26)。他のWebサイトの関連情報を抽出した場合、S21で読み込み、情報記憶部15に記憶された対象リストに、当該他のWebサイトのIPアドレス、ドメイン名を追加して、対象リストを更新(生成)する。   In addition, the related information collection unit 10 crawls the target website (S25), and performs the processing of S23 and S24 on other websites collected as a crawling result to obtain the related information of the other websites. It is good also as extracting (S26). When related information of another website is extracted, the IP address and domain name of the other website are added to the target list read in S21 and stored in the information storage unit 15, and the target list is updated (generated) )

図5は、図3に示すS13の直接情報収集処理の詳細を示すフローチャートである。直接情報収集処理は、対象となるWebサイトに直接アクセスし、オープンポート情報(開きポート情報)、バナー情報、SSL情報などの直接情報を収集する。   FIG. 5 is a flowchart showing details of the direct information collection processing of S13 shown in FIG. The direct information collection process directly accesses a target Web site and collects direct information such as open port information (open port information), banner information, and SSL information.

具体的には、直接情報収集部11は、対象となるWebサイトにアクセスし、オープンポート情報を収集する(S31)。すなわち、直接情報収集部11は、所定数の代表的なポートに、ネットワーク9を介して順番にアクセスし、応答の有無をチェックするポートスキャンを行う。ポートからの応答がある場合は、ポートがオープン状態であり、ポートからの応答がない場合は、ポートがクローズ状態である。   Specifically, the direct information collection unit 11 accesses a target Web site and collects open port information (S31). That is, the direct information collection unit 11 performs a port scan that sequentially accesses a predetermined number of representative ports via the network 9 and checks whether there is a response. When there is a response from the port, the port is in an open state, and when there is no response from the port, the port is in a closed state.

このポートスキャンにより、不必要または想定外のポートがオープン状態であることを検出することができる。不必要または想定外のポートがオープン状態である場合、当該ポートを介した不正アクセスなどの攻撃の対象になりやすく、また、パッチプログラムの適用漏れが発生するなどのセキュリティ上の不備(脆弱性)がある。   By this port scan, it can be detected that an unnecessary or unexpected port is in an open state. If an unnecessary or unexpected port is open, it may be subject to attacks such as unauthorized access via the port, and a security defect (vulnerability) such as patch application omission may occur. There is.

また、直接情報収集部11は、S31で検出したでオープンポートのそれぞれについて、バナー情報(プロトコルバナー情報)を収集する(S32)。具体的には、直接情報収集部11は、各オープンポートに対して所定のコマンドを実行し、その応答メッセージ(バナー情報)から使用しているソフトウェアの種類、バージョンなどを取得する。このバナー情報から、例えば、サポート切れのプラットフォームのソフトウェアを使用しているなどのセキュリティ上の不備を検出することができる。   The direct information collection unit 11 collects banner information (protocol banner information) for each open port detected in S31 (S32). Specifically, the direct information collection unit 11 executes a predetermined command for each open port, and acquires the type and version of software used from the response message (banner information). From this banner information, it is possible to detect security deficiencies such as using software on an unsupported platform.

また、直接情報収集部11は、S31でHTTPSポートがオープンポートとして検出された場合、HTTPSポートに対して、通常のSSL接続によりアクセスし、その応答メッセージからSSL情報を取得する。SSL情報としては、例えば、証明書発行先、証明書発行元、証明書発行日、証明書有効期限、証明書署名アルゴリズム、公開鍵長、接続可能な暗号化方式などが含まれる。このSSL情報から、セキュリティレベル、運用状態などを把握し、例えば、強度の低い暗号化方式を利用しているため、脆弱なリネゴシエーションが可能であるなどセキュリティ上の不備を検出することができる。   Further, when the HTTPS port is detected as an open port in S31, the direct information collection unit 11 accesses the HTTPS port through a normal SSL connection, and acquires SSL information from the response message. The SSL information includes, for example, a certificate issue destination, a certificate issue source, a certificate issue date, a certificate expiration date, a certificate signature algorithm, a public key length, a connectable encryption method, and the like. From this SSL information, the security level, the operation state, etc. are grasped, and for example, since a low-strength encryption method is used, it is possible to detect a security deficiency such that weak renegotiation is possible.

なお、直接情報収集部11は、S31〜S33で取得した各情報を、対象となるWebサイトと対応付けて、情報記憶部15に記憶する。   The direct information collection unit 11 stores the information acquired in S31 to S33 in the information storage unit 15 in association with the target Web site.

図6は、図3に示すS14の外部情報収集処理の詳細を示すフローチャートである。外部情報収集処理は、対象となる各外部サイトにアクセスし、対象となるWebサイトが問題のあるサイトとして、外部サイト3に登録されているか否かの外部情報を収集する。   FIG. 6 is a flowchart showing details of the external information collection processing in S14 shown in FIG. In the external information collection process, each target external site is accessed, and external information indicating whether the target Web site is registered in the external site 3 as a problematic site is collected.

具体的には、外部情報収集部12は、フィッシング情報サイト31にアクセスし、対象となるWebサイトのドメイン名またはIPアドレスを送信して、当該Webサイトがフィッシングサイトとしてデータベースに登録されているか否かのチェック結果を取得する(S41)。   Specifically, the external information collection unit 12 accesses the phishing information site 31, transmits the domain name or IP address of the target website, and whether the website is registered in the database as a phishing site. The check result is acquired (S41).

また、外部情報収集部12は、ブラックリスト情報サイト32にアクセスし、対象となるWebサイトのドメイン名またはIPアドレスを送信して、当該Webサイトがブラックリスト(データベース)に登録されているか否かのチェック結果を取得する(S42)。   Also, the external information collection unit 12 accesses the black list information site 32, transmits the domain name or IP address of the target website, and determines whether or not the website is registered in the black list (database). The check result is acquired (S42).

また、外部情報収集部12は、脆弱性情報サイト33にアクセスし、対象となるWebサイトのドメイン名またはIPアドレスを送信して、当該Webサイトが脆弱性のあるサイトとしてデータベースに登録されているか否かのチェック結果を取得する(S43)。   In addition, the external information collection unit 12 accesses the vulnerability information site 33, transmits the domain name or IP address of the target website, and is the website registered as a vulnerable site in the database? The check result of whether or not is acquired (S43).

また、外部情報収集部12は、マルウェア感染情報サイト34にアクセスし、対象となるWebサイトのドメイン名またはIPアドレスを送信して、当該Webサイトがマルウェアに感染しているサイトとしてデータベースに登録されているか否かのチェック結果を取得する(S44)。   Further, the external information collection unit 12 accesses the malware infection information site 34, transmits the domain name or IP address of the target website, and is registered in the database as a site where the website is infected with malware. The check result of whether or not it is acquired is acquired (S44).

なお、外部情報収集部12は、S41〜S44で取得した各チェック結果である外部情報を、対象となるWebサイトと対応付けて情報記憶部15に記憶する。   The external information collection unit 12 stores the external information, which is each check result acquired in S41 to S44, in the information storage unit 15 in association with the target Web site.

また、外部情報収集部12は、S41〜S44以外の外部サイト(例えば、検索サイト)にアクセスし、Webサイトの評判情報(例えば、風評情報、漏洩情報など)を取得してもよい。   Further, the external information collection unit 12 may access external sites (for example, search sites) other than S41 to S44, and acquire reputation information (for example, reputation information, leaked information, etc.) of the Web site.

次に、図3に示すS15の評価支援情報(レピュテーションレポート)の生成処理について説明する。評価支援部13は、情報記憶部15から各種の情報を読み出し、対象リストに設定された各Webサイトの評価支援情報を生成する。   Next, the process of generating evaluation support information (reputation report) in S15 shown in FIG. 3 will be described. The evaluation support unit 13 reads various types of information from the information storage unit 15 and generates evaluation support information for each Web site set in the target list.

図7は、評価支援情報の一例を示す図である。図示する評価支援情報には、Webサイト毎に、ドメイン名、IPアドレス、カテゴリ、関連情報71、直接情報72、外部情報73が設定されている。すなわち、関連情報71として、Whois情報から抽出したIP管理者と、ドメイン登録担当者の組織名および名前とが設定されている。また、直接情報72として、オープンポート情報、バナー情報およびSSL情報が設定されている。また、外部情報73として、フィッシング登録有無、ブラックリスト登録有無、脆弱性登録有無、マルウェア感染登録有無が設定されている。   FIG. 7 is a diagram illustrating an example of the evaluation support information. In the illustrated evaluation support information, a domain name, an IP address, a category, related information 71, direct information 72, and external information 73 are set for each Web site. That is, as the related information 71, the IP administrator extracted from the Whois information and the organization name and name of the person in charge of domain registration are set. As direct information 72, open port information, banner information, and SSL information are set. As the external information 73, phishing registration presence / absence, blacklist registration presence / absence, vulnerability registration presence / absence, and malware infection registration presence / absence are set.

そして、評価支援部13は、評価支援情報に設定された各項目について、セキュリティ上の不備が無いかを、チェックデータ記憶部16などを用いてチェックする。そして、不備がある場合は、評価支援情報に警告メッセージなどを表示する。例えば、NO.2のWebサイトの「オープンポート」では、メンテナンスポートであり、外部に対してオープンにする必要がない「21/FTP」のポートがオープン状態になっている。この場合、評価支援部13は、「メンテナンスポートが外部に向けてオープン状態であり、Web感染型マルウェアによる悪用の危険性がある。」などの警告メッセージ74を評価支援情報に設定する。   Then, the evaluation support unit 13 uses the check data storage unit 16 or the like to check whether there is a security defect for each item set in the evaluation support information. If there is a defect, a warning message or the like is displayed in the evaluation support information. For example, “Open Port” on the No. 2 Web site is a maintenance port, and a port “21 / FTP” that does not need to be opened to the outside is open. In this case, the evaluation support unit 13 sets, in the evaluation support information, a warning message 74 such as “The maintenance port is open to the outside and there is a risk of misuse by Web-infected malware”.

また、NO.2およびNO.3のWebサイトの「バナー情報」では、サポート切れのプラットフォームが設定されている。この場合、評価支援部13は、「サポート切れのプラットフォームを利用している。」などの警告メッセージ75を評価支援情報に設定する。   In addition, NO. 2 and NO. In the “banner information” of the third website, an unsupported platform is set. In this case, the evaluation support unit 13 sets a warning message 75 such as “A platform that is not supported” is used in the evaluation support information.

また、NO.1のWebサイトの「SSL情報」では、有効期限として現時点より前の日付が設定されている。この場合、評価支援部13は、「サーバ証明書の有効期限が切れている。」などの警告メッセージ76を評価支援情報に設定する。   In addition, NO. In “SSL information” of one Web site, a date before the current time is set as the expiration date. In this case, the evaluation support unit 13 sets a warning message 76 such as “The server certificate has expired” in the evaluation support information.

また、NO.3のWebサイトの「脆弱性登録」では、「×」が記述されている。なお、図示する例では、各外部サイト3から外部情報として問題のあるサイトとして登録されていない旨の応答を受信した場合は「○」を、問題のあるサイトとして登録されている旨の応答を受信した場合は「×」を設定している。したがって、評価支援部13は、「脆弱性情報がネットワーク上で公開されている。」などの警告メッセージ77を評価支援情報に設定する。   In addition, NO. In the “vulnerability registration” of the third website, “x” is described. In the example shown in the figure, when a response indicating that the external site 3 is not registered as a problem site is received from each external site 3, “○” is displayed, and a response indicating that the site is registered as a problem site is displayed. When received, “×” is set. Therefore, the evaluation support unit 13 sets a warning message 77 such as “Vulnerability information is disclosed on the network” in the evaluation support information.

また、評価支援情報を、統計処理・加工処理することで、図8のような評価支援情報を生成することとしてもよい。   Further, the evaluation support information as shown in FIG. 8 may be generated by performing statistical processing / processing on the evaluation support information.

図8(a)は、ポートスキャンによるオープンポートの結果分析の一例を示すものである。図8(a)では、不要なオープンポートが存在するドメインおよびIPアドレスを、全体、コンシュマー用Webサイト、月間ページビュー(PV)が所定数以上のWebサイト毎にそれぞれ集計したものである。   FIG. 8A shows an example of open port result analysis by port scanning. In FIG. 8A, domains and IP addresses in which unnecessary open ports exist are totaled for the entire website, the consumer website, and the monthly page view (PV) for each predetermined website or more.

図8(b)は、ポートスキャンによるオープンポートの結果分析の他の一例を示すものである。図8(b)では、不要なオープンポートが存在するドメインおよびIPアドレスを運用組織毎に集計したものである。また、運用組織が、自社(Webサイトを管理運営する企業)であるのか、運用を委託している外部企業であるのかについても分類し、集計している。運用組織については、例えば関連情報収集部10が収集したWhois情報を用いることが考えられる。   FIG. 8B shows another example of open port result analysis by port scanning. In FIG. 8B, the domains and IP addresses where unnecessary open ports exist are tabulated for each operation organization. Also, whether the operation organization is its own company (a company that manages and operates a Web site) or an external company that consigns operations is classified and tabulated. For the operational organization, for example, it may be possible to use Whois information collected by the related information collection unit 10.

図8(b)のような評価支援情報を生成することにより、不必要なポートが開いているWebサイトの運用委託先として外部委託企業が多い場合は、委託時に通信条件の確認がされなかったことが推測され、これに対する対策を提示することができる。   By generating the evaluation support information as shown in FIG. 8B, when there are many outsourced companies as operation contractors of Web sites where unnecessary ports are open, the communication conditions were not confirmed at the time of consignment. It is speculated that this can be countered.

そして、出力部14は、評価支援部13が生成した評価支援情報を出力する。図7、図8のような評価支援情報により、短期的には、例えば、IPアドレスベースのフィルタリングの実施、バージョン情報の隠蔽、サーバのバージョンアップ、パッチの適用、SSL設定変更などの最適なセキュリティ対策を提示できる。また、中期的には、例えば、外部委託企業(ホスティング業者)の変更、サーバリプレース、クライアント証明書による認証、SSL証明書の変更などの最適なセキュリティ対策を提示できる。   Then, the output unit 14 outputs the evaluation support information generated by the evaluation support unit 13. The evaluation support information as shown in FIG. 7 and FIG. 8 can provide optimal security in the short term, for example, IP address-based filtering, version information concealment, server version upgrade, patch application, SSL setting change, etc. Measures can be presented. Further, in the medium term, for example, it is possible to present optimal security measures such as change of an outsourced company (hosting company), server replacement, authentication using a client certificate, and change of an SSL certificate.

以上説明した本実施形態では、評価対象の各Webサイトの関連情報、直接情報および外部情報を収集することで、各Webサイトのセキュリティ上の状態を容易に取得することができる。これにより、Webサイトのセキュリティ上の不備や脆弱性を検出し、Webサイトのセキュリティ評価を支援することができる。   In the present embodiment described above, the security status of each website can be easily acquired by collecting related information, direct information, and external information of each website to be evaluated. As a result, it is possible to detect security deficiencies and vulnerabilities of the Web site, and support the security evaluation of the Web site.

また、本実施形態では、対象とするWebサイトが大量である場合であっても、一括してセキュリティ上の状態を取得することができ、これにより、システム管理者の作業負荷を軽減することができる。   Further, in the present embodiment, even when there are a large number of target websites, it is possible to obtain the security status in a lump, thereby reducing the workload of the system administrator. it can.

なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。   In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary.

1:セキュリティ評価支援装置、10:関連情報収集部、11:直接情報収集部、12:外部情報収集部、13:評価支援部、14:出力部、15:情報記憶部、16:チェックデータ記憶部、2:Webシステム、21:Webサイト、3:外部サイト、31:フィッシング情報サイト、32:ブラックリスト情報サイト、33:脆弱性情報サイト、34:マルウェア感染情報サイト、4:Whois情報サイト、9:ネットワーク   1: security evaluation support device, 10: related information collection unit, 11: direct information collection unit, 12: external information collection unit, 13: evaluation support unit, 14: output unit, 15: information storage unit, 16: check data storage Part 2: Web system 21: Web site 3: external site 31: phishing information site 32: blacklist information site 33: vulnerability information site 34: malware infection information site 4: Whois information site 9: Network

Claims (3)

Webサイトのセキュリティ評価支援装置であって、
評価対象のWebサイトにアクセスし、ポート情報を含む直接情報を収集する直接情報収集手段と、
外部の情報提供サイトにアクセスし、前記Webサイトが問題のあるサイトとして登録されているか否かの外部情報を収集する外部情報収集手段と、
前記直接情報収集手段が収集した直接情報に基づいて、前記Webサイトのオープンポートを含む第1の評価支援情報を生成するとともに、前記外部情報収集手段が収集した外部情報に基づいて前記Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する評価支援手段と、
前記第1の評価支援情報および前記第2の評価支援情報を出力する出力手段と、を有すること
を特徴とするセキュリティ評価支援装置。
A security evaluation support device for a website,
Direct information collection means for accessing the evaluation target website and collecting direct information including port information;
An external information collection means for accessing an external information providing site and collecting external information as to whether or not the website is registered as a problematic site;
Based on the direct information collected by the direct information collecting means, first evaluation support information including an open port of the website is generated, and the website is based on the external information collected by the external information collecting means. An evaluation support means for generating second evaluation support information regarding whether or not the site is registered as a problem site;
An output means for outputting the first evaluation support information and the second evaluation support information. A security evaluation support apparatus, comprising:
請求項1記載のセキュリティ評価支援装置であって、
前記直接情報収集手段は、評価対象の複数のWebサイトの各々にアクセスし、前記直接情報をWebサイト毎に収集し、
前記外部情報収集手段は、前記外部情報をWebサイト毎に収集し、
前記評価支援手段は、前記Webサイト毎に収集した直接情報に基づいてWebサイト毎の前記第1の評価支援情報を生成するとともに、Webサイト毎に収集した外部情報に基づいてWebサイト毎の前記第2の評価支援情報を生成し、
前記出力手段は、Webサイト毎に第1の評価支援情報および前記第2の評価支援情報を出力すること
を特徴とするセキュリティ評価支援装置。
The security evaluation support device according to claim 1,
The direct information collecting means accesses each of a plurality of websites to be evaluated, collects the direct information for each website,
The external information collecting means collects the external information for each website,
The evaluation support means generates the first evaluation support information for each website based on the direct information collected for each website, and also for each website based on the external information collected for each website. Generating second evaluation support information;
The output means outputs the first evaluation support information and the second evaluation support information for each Web site.
コンピュータが行う、Webサイトのセキュリティを評価するセキュリティ評価支援方法であって、
評価対象のWebサイトにアクセスし、ポート情報を含む直接情報を収集する直接情報収集ステップと、
外部の情報提供サイトにアクセスし、前記Webサイトが問題のあるサイトとして登録されているか否かの外部情報を収集する外部情報収集ステップと、
前記直接情報収集ステップで収集した直接情報に基づいて、前記Webサイトのオープンポートを含む第1の評価支援情報を生成するとともに、前記外部情報収集ステップで収集した外部情報に基づいて前記Webサイトが問題のあるサイトとして登録されているか否かに関する第2の評価支援情報を生成する評価支援ステップと、
前記第1の評価支援情報および前記第2の評価支援情報を出力する出力ステップと、を行うこと
を特徴とするセキュリティ評価支援方法。
A security evaluation support method for evaluating the security of a website performed by a computer,
A direct information collection step of accessing a website to be evaluated and collecting direct information including port information;
An external information collecting step of accessing an external information providing site and collecting external information as to whether or not the website is registered as a problematic site;
Based on the direct information collected in the direct information collecting step, first evaluation support information including an open port of the website is generated, and the website is based on the external information collected in the external information collecting step. An evaluation support step for generating second evaluation support information regarding whether or not the site is registered as a problem site;
An output step of outputting the first evaluation support information and the second evaluation support information. A security evaluation support method comprising:
JP2011176971A 2011-08-12 2011-08-12 Security evaluation support apparatus and security evaluation support method Active JP5580261B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011176971A JP5580261B2 (en) 2011-08-12 2011-08-12 Security evaluation support apparatus and security evaluation support method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011176971A JP5580261B2 (en) 2011-08-12 2011-08-12 Security evaluation support apparatus and security evaluation support method

Publications (2)

Publication Number Publication Date
JP2013041372A JP2013041372A (en) 2013-02-28
JP5580261B2 true JP5580261B2 (en) 2014-08-27

Family

ID=47889727

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011176971A Active JP5580261B2 (en) 2011-08-12 2011-08-12 Security evaluation support apparatus and security evaluation support method

Country Status (1)

Country Link
JP (1) JP5580261B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11593475B2 (en) 2017-01-30 2023-02-28 Nec Corporation Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6408395B2 (en) * 2015-02-09 2018-10-17 株式会社日立システムズ Blacklist management method
JP2017045188A (en) * 2015-08-25 2017-03-02 日本電信電話株式会社 Communication record confirmation device, communication record confirmation system, communication record confirmation method, and communication record confirmation program
JP7474800B2 (en) * 2022-04-28 2024-04-25 株式会社アシュアード Risk assessment system and risk assessment method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4052007B2 (en) * 2002-05-17 2008-02-27 日本電気株式会社 Web site safety authentication system, method and program
JP2011013974A (en) * 2009-07-02 2011-01-20 Kddi Corp Apparatus and program for website evaluation

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11593475B2 (en) 2017-01-30 2023-02-28 Nec Corporation Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium

Also Published As

Publication number Publication date
JP2013041372A (en) 2013-02-28

Similar Documents

Publication Publication Date Title
Connolly et al. The rise of crypto-ransomware in a changing cybercrime landscape: Taxonomising countermeasures
Alabdan Phishing attacks survey: Types, vectors, and technical approaches
Kumari et al. Verification and validation techniques for streaming big data analytics in internet of things environment
US11882137B2 (en) Network security blacklist derived from honeypot statistics
Souppaya et al. Guide to malware incident prevention and handling for desktops and laptops
Mannan et al. Security and usability: the gap in real-world online banking
US8966625B1 (en) Identification of malware sites using unknown URL sites and newly registered DNS addresses
US7958555B1 (en) Protecting computer users from online frauds
Muniz et al. Security operations center: Building, operating, and maintaining your SOC
US8756691B2 (en) IP-based blocking of malware
Wu et al. Effective defense schemes for phishing attacks on mobile computing platforms
US8910285B2 (en) Methods and systems for reciprocal generation of watch-lists and malware signatures
Wu et al. MobiFish: A lightweight anti-phishing scheme for mobile phones
US9049221B1 (en) Detecting suspicious web traffic from an enterprise network
Tudosi et al. Research on security weakness using penetration testing in a distributed firewall
US20160127395A1 (en) System and method for network intrusion detection of covert channels based on off-line network traffic
US20170195363A1 (en) System and method to detect and prevent phishing attacks
Karim et al. Mobile botnet attacks: a thematic taxonomy
TW201723914A (en) Detection of advanced persistent threat attack on a private computer network
CN108369541B (en) System and method for threat risk scoring of security threats
EP3579523A1 (en) System and method for detection of malicious interactions in a computer network
Akiyama et al. Active credential leakage for observing web-based attack cycle
JP5580261B2 (en) Security evaluation support apparatus and security evaluation support method
Zimba et al. A dive into the deep: demystifying wannacry crypto ransomware network attacks via digital forensics
Nguyen et al. Detecting fileless malware on windows with att&ck: A practical approach

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140128

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140619

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140701

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140710

R150 Certificate of patent or registration of utility model

Ref document number: 5580261

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250