特許ウォッチ

公開番号2025156705
公報種別公開特許公報(A)
公開日2025-10-15
出願番号2024059278
出願日2024-04-02
発明の名称セキュリティテスト実施装置およびセキュリティテスト実施方法
出願人富士電機株式会社
代理人インフォート弁理士法人
主分類G06F 21/57 20130101AFI20251007BHJP(計算;計数)
要約【課題】テストの実施に要する時間を短縮する。
【解決手段】影響判定部10は、テスト対象である情報システム2に対してテストシナリオに従った先行の攻撃に続いて当該テストシナリオとは別のテストシナリオに従った後続の攻撃を行うときに、後続の攻撃の結果が先行の攻撃による影響を受けるかどうかを判定する。この判定は先行の攻撃の開始前に行われる。バックアップ部20は、後続の攻撃の結果が前述した影響を受けると影響判定部10が判定したときに、先行の攻撃の開始前に情報システム2が有するメモリ領域のバックアップを取る。復元部50は、先行の攻撃の終了後であって後続の攻撃の開始前に、バックアップ部20が取得したバックアップを用いて情報システム2のメモリ領域を復元する。
【選択図】図1

特許請求の範囲【請求項１】
テスト対象である情報システムに対してテストシナリオに従った先行の攻撃に続いて前記テストシナリオとは別のテストシナリオに従った後続の攻撃を行うときに、前記後続の攻撃の結果が前記先行の攻撃による影響を受けるかどうかを、前記先行の攻撃の開始前に判定する影響判定部と、
前記後続の攻撃の結果が前記影響を受けると前記影響判定部が判定したときに、前記先行の攻撃の開始前に前記情報システムが有するメモリ領域のバックアップを取るバックアップ部と、
前記先行の攻撃の終了後であって前記後続の攻撃の開始前に、前記バックアップを用いて前記メモリ領域を復元する復元部と、
を備えることを特徴とするセキュリティテスト実施装置。
続きを表示（約 2,200 文字）【請求項２】
前記影響判定部は、
前記情報システムで稼働するサービスを提供するサービスプログラムと前記先行の攻撃に使用されるテストツールプログラムとのそれぞれが依存しているソフトウェアが競合するかどうかを判定する競合判定部を備え、
前記ソフトウェアが競合すると前記競合判定部が判定した場合には、前記後続の攻撃の結果が前記影響を受けるとの判定を下す、
ことを特徴とする請求項１に記載のセキュリティテスト実施装置。
【請求項３】
前記サービスプログラムが依存しているソフトウェアの情報が格納されているテスト対象情報データベースと、
前記テストツールプログラムが依存しているソフトウェアの情報が格納されているテストツール情報データベースと、
を更に備え、
前記競合判定部は、前記テスト対象情報データベースに格納されている前記情報と、前記テストツール情報データベースとに格納されている前記情報とに基づいて、前記サービスプログラムと前記テストツールプログラムとのそれぞれが依存しているソフトウェアが競合するかどうかを判定する、
ことを特徴とする請求項２に記載のセキュリティテスト実施装置。
【請求項４】
前記テスト対象情報データベースは、前記サービスプログラムが依存しているソフトウェアについての識別情報とバージョンの情報とを含み、
前記テストツール情報データベースは、前記テストツールプログラムが依存しているソフトウェアについての識別情報とバージョンの情報とを含み、
前記競合判定部は、前記サービスプログラムと前記テストツールプログラムとがバージョンの異なる同じソフトウェアに依存している場合に、前記サービスプログラムと前記テストツールプログラムとのそれぞれが依存しているソフトウェアが競合するとの判定を下す、
ことを特徴とする請求項３に記載のセキュリティテスト実施装置。
【請求項５】
前記影響判定部は、前記先行の攻撃に続いて行われる前記後続の攻撃の結果に前記影響を及ぼす可能性が前記先行の攻撃にあるかどうかを判定する影響可能性判定部を更に備え、
前記可能性があると前記影響可能性判定部が判定した場合には、前記サービスプログラムと前記テストツールプログラムとのそれぞれが依存しているソフトウェアが競合するかどうかの判定を前記競合判定部が行い、
前記可能性がないと前記影響可能性判定部が判定した場合には、前記後続の攻撃の結果は前記影響を受けないとの判定を前記影響判定部が下す、
ことを特徴とする請求項２から４のうちのいずれか一項に記載のセキュリティテスト実施装置。
【請求項６】
前記テストシナリオについての識別情報と、前記テストシナリオに従った攻撃に使用されるテストツールプログラムについての前記可能性の有無を示す影響可能性情報とが前記テストシナリオ毎に対応付けられて格納されているテストシナリオデータベースを更に備え、
前記影響可能性判定部は、前記テストシナリオデータベースにおいて前記テストシナリオについての識別情報に対応付けられて格納されている前記影響可能性情報に基づいて、前記可能性があるかどうかを判定する、
ことを特徴とする請求項５に記載のセキュリティテスト実施装置。
【請求項７】
前記バックアップ部は、前記先行の攻撃の内容に応じて選択されるバックアップの方式を用いて、前記メモリ領域のバックアップを取ることを特徴とする請求項１から４のうちのいずれか一項に記載のセキュリティテスト実施装置。
【請求項８】
前記テストシナリオについての識別情報と、前記バックアップの方式を特定する方式情報とが前記テストシナリオ毎に対応付けられて格納されているテストシナリオデータベースを更に備え、
前記バックアップ部は、前記テストシナリオデータベースにおいて前記先行の攻撃が従う前記テストシナリオについての識別情報に対応付けられて格納されている前記方式情報により特定される前記バックアップの方式を用いて、前記メモリ領域のバックアップを取る、
ことを特徴とする請求項７に記載のセキュリティテスト実施装置。
【請求項９】
テスト対象である情報システムに対してテストシナリオに従った先行の攻撃に続いて前記テストシナリオとは別のテストシナリオに従った後続の攻撃を行うときに、前記後続の攻撃の結果が前記先行の攻撃による影響を受けるかどうかを、前記先行の攻撃の開始前に判定し、
前記後続の攻撃の結果が前記影響を受けると判定したときに、前記先行の攻撃の開始前に前記情報システムが有するメモリ領域のバックアップを取り、
前記先行の攻撃の終了後であって前記後続の攻撃の開始前に、前記バックアップを用いて前記メモリ領域を復元する、
ことをセキュリティテスト実施装置が行うことを特徴とするセキュリティテスト実施方法。
【請求項１０】
前記バックアップは、前記先行の攻撃の内容に応じて選択されるバックアップの方式を用いて行うことを特徴とする請求項９に記載のセキュリティテスト実施方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、セキュリティテスト実施装置およびセキュリティテスト実施方法に関する。
続きを表示（約 1,700 文字）【背景技術】
【０００２】
情報システムの脆弱性を検出するためのテストの実施に関する技術や、その脆弱性の管理に関する技術が幾つか知られている（例えば特許文献１～特許文献５参照）。
【先行技術文献】
【特許文献】
【０００３】
特開２０２３－１０１２０１号公報
特開２０２３－８７２１２号公報
特開２０２０－１６０６１１号公報
特開２０２０－１２９１６６号公報
特開２０２０－２１３０９号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
情報システムの脆弱性を発見するためのセキュリティテストとして実施される攻撃のシナリオによっては、テスト対象のシステムにおけるメモリ領域の破壊やソフトウェア構成の変更を伴うことがある。このようなセキュリティテストの再現性を担保するには、毎回のテストの終了後にテスト対象に加えられた変更を元に戻す復元作業を行う必要があり、この復元作業に時間が費やされていた。
【課題を解決するための手段】
【０００５】
実施形態のひとつであるセキュリティテスト実施装置は影響判定部とバックアップ部と復元部とを備える。影響判定部は、テスト対象である情報システムに対してテストシナリオに従った先行の攻撃に続いて当該テストシナリオとは別のテストシナリオに従った後続の攻撃を行うときに、後続の攻撃の結果が先行の攻撃による影響を受けるかどうかを判定する。この判定は先行の攻撃の開始前に行われる。バックアップ部は、後続の攻撃の結果が前述した影響を受けると影響判定部が判定したときに、先行の攻撃の開始前に当該情報システムが有するメモリ領域のバックアップを取る。復元部は、先行の攻撃の終了後であって後続の攻撃の開始前に、バックアップ部が取得したバックアップを用いて当該情報システムのメモリ領域を復元する。
【発明の効果】
【０００６】
上記の態様によれば、テストの実施に要する時間を短縮することができる。
【図面の簡単な説明】
【０００７】
実施形態の一例としてのセキュリティテスト実施装置の構成を示す図である。
テストシナリオＤＢのデータ例を示す図である。
テストツール情報ＤＢのデータ例を示す図である。
テスト対象情報ＤＢのデータ例を示す図である。
情報処理装置のハードウェア構成例を示す図である。
セキュリティテスト実施処理の一例の処理内容を示したフローチャートである。
再現性影響判定処理の一例の処理内容を示したフローチャートである。
【発明を実施するための形態】
【０００８】
情報システムのシステム開発の流れを表したモデルのひとつとしてＶ字モデルが知られている。このＶ字モデルにおける要求分析についての検証フェーズとして行われる受け入れテストにおいてセキュリティテストが実施される。このセキュリティテストのひとつに侵入テスト（ペネトレーションテスト）がある。侵入テストは、攻撃者の動きを模擬し、既知の技術を用いて実際に情報システムへの侵入を試みることで脆弱性の有無を検証する手法である。
【０００９】
侵入テストの実施により、テスト対象である情報システムに存在する脆弱性や、テスト対象である情報システムの攻撃耐性の確認が可能になる。また、脆弱性に対して必要となる対策を決定するための判断材料を、情報システムの開発部門に提供することが可能になる。但し、このためには、同一のテスト対象に対して同一のテストシナリオ（テスト対象への侵入のための攻撃の方法）でテストを実施すれば同一の結果が得られること、すなわち、テストの再現性が担保されることが重要である。
【００１０】
テストの再現性の担保のためには、例えば、テスト対象である情報システムのメモリ領域のデータを同一の内容とする等、独立したテストシナリオ毎に同じ前提条件の下でテストを実施する必要がある。
（【００１１】以降は省略されています）

関連特許