[go: up one dir, main page]

JP7104574B2 - Computer asset management system and computer asset management method - Google Patents

Computer asset management system and computer asset management method Download PDF

Info

Publication number
JP7104574B2
JP7104574B2 JP2018123623A JP2018123623A JP7104574B2 JP 7104574 B2 JP7104574 B2 JP 7104574B2 JP 2018123623 A JP2018123623 A JP 2018123623A JP 2018123623 A JP2018123623 A JP 2018123623A JP 7104574 B2 JP7104574 B2 JP 7104574B2
Authority
JP
Japan
Prior art keywords
asset
information
computer
asset information
agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018123623A
Other languages
Japanese (ja)
Other versions
JP2020004127A (en
Inventor
淳也 藤田
典剛 松本
康広 藤井
武康 木城
美智子 酒井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2018123623A priority Critical patent/JP7104574B2/en
Publication of JP2020004127A publication Critical patent/JP2020004127A/en
Application granted granted Critical
Publication of JP7104574B2 publication Critical patent/JP7104574B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Description

本発明はコンピュータ資産管理システムおよびコンピュータ資産管理方法に関し、例えばコンピュータの資産情報を管理するコンピュータ資産管理システムに適用して好適なものである。 The present invention relates to a computer asset management system and a computer asset management method, and is suitable for application to, for example, a computer asset management system that manages computer asset information.

近年、産業制御システム、産業制御システムに関連するIoT(Internet of Things)システム等(以下、産業関連システムと称する。)に対するサイバーセキュリティ(以下、セキュリティと称する。)の脅威が深刻となっている。産業関連システムでは、セキュリティの侵害を受けた後の被害が現実世界に直接影響を与えるケースもあり、セキュリティの脅威が大きな脅威の1つとなっている。例えば、IoTシステムでは、膨大な数の機器がインターネットに接続され、当該機器がサイバー攻撃によって乗っ取られた場合(ボット化された場合)、当該機器が大規模なサイバー攻撃に悪用されるリスクもある。そのため、産業関連システムのセキュリティ対策が喫緊の課題となっている。 In recent years, the threat of cyber security (hereinafter referred to as security) to industrial control systems, IoT (Internet of Things) systems related to industrial control systems (hereinafter referred to as industrial related systems), etc. has become serious. In industry-related systems, there are cases where damage after a security breach has a direct impact on the real world, and security threats are one of the major threats. For example, in an IoT system, if a huge number of devices are connected to the Internet and the devices are hijacked (botted) by a cyber attack, there is a risk that the devices will be misused in a large-scale cyber attack. .. Therefore, security measures for industry-related systems have become an urgent issue.

サイバー攻撃は、産業関連システムの制御装置、産業関連システムを構成するIoT機器など(以下、機器と称する。)の仕様、不十分な設定情報(脆弱性)等を突いて成立するものである。よって、最も効果的な対策は、対象機器がどのような構成となっているか、対象機器にインストールされたプログラムがどのようなものであるかを把握することである。そのため、産業関連システムでは、対象機器にインストールされているプログラム、アプリケーション等の設定情報を監視し、脆弱性を含むアプリケーション、設定情報、システムの構成情報(コンピュータの資産情報)を管理することが求められる。 A cyber attack is established by exploiting the specifications of the control device of an industry-related system, the IoT device constituting the industry-related system (hereinafter referred to as a device), insufficient setting information (vulnerability), and the like. Therefore, the most effective countermeasure is to understand what kind of configuration the target device is and what kind of program is installed in the target device. Therefore, in industry-related systems, it is required to monitor the setting information of programs, applications, etc. installed in the target device, and manage the applications including vulnerabilities, setting information, and system configuration information (computer asset information). Be done.

コンピュータの資産情報を把握する手段として、様々な方式が提案されている。 Various methods have been proposed as a means for grasping computer asset information.

特許文献1に記載の方法は、コンピュータの資産情報を収集する1つの方法である。特許文献1に記載の方法は、コンピュータネットワークに接続された各コンポーネントの資産情報を自動で発見して収集し、収集した情報を元にシステム内部の資産情報をマッピングするものである。特許文献1に記載のシステムは、各種コンピュータネットワークにインストールされた資産情報収集プログラム(資産管理クライアント)から資産情報をリモートで実行することができる。 The method described in Patent Document 1 is one method of collecting computer asset information. The method described in Patent Document 1 automatically discovers and collects asset information of each component connected to a computer network, and maps the asset information inside the system based on the collected information. The system described in Patent Document 1 can remotely execute asset information from an asset information collection program (asset management client) installed in various computer networks.

特許文献2に記載の方法は、コンピュータの資産管理の方法としてコンピュータの資産情報を管理する識別情報として暗号学的ハッシュ関数により生成した値(以下、ハッシュと称する。)を用いて資産情報を管理する方法である。特許文献2に記載のコンピュータは、ハッシュを検証することで、コンピュータの資産情報が確実に意図したものであるかを検証することができる。 The method described in Patent Document 2 manages asset information by using a value generated by a cryptographic hash function (hereinafter referred to as a hash) as identification information for managing computer asset information as a computer asset management method. How to do it. The computer described in Patent Document 2 can verify whether the asset information of the computer is surely intended by verifying the hash.

特表2009-510602号公報Special Table 2009-510602 特開2006-344231号公報Japanese Unexamined Patent Publication No. 2006-344231

産業関連システムの各機器では、計算資源が限られていることが多い。また、ネットワークに接続された機器数が膨大になる場合、無線通信などで通信帯域が限られることがある。よって、産業関連システムにとって非機能要件であることが多い(本来の処理でない)コンピュータの資産情報の管理にかかる処理は、最低限にすることが望ましい。 Computational resources are often limited in each device of industry-related systems. In addition, when the number of devices connected to the network becomes enormous, the communication band may be limited by wireless communication or the like. Therefore, it is desirable to minimize the processing related to the management of computer asset information (which is not the original processing), which is often a non-functional requirement for industry-related systems.

特許文献1に記載のシステムでは、コンピュータの処理リソースが大きい環境を対象としているので、処理リソースが限られた機器では、必要な処理量が多すぎて処理しきれない可能性がある。また、特許文献2に記載のコンピュータでは、ハッシュを用いてコンピュータの資産情報を管理することで、資産情報の識別処理を効率化できるものの、資産情報を更新したタイミングを把握する手段がなく、定期的な更新有無の問い合わせが必要となる。つまり、更新の有無を問い合わせる処理についても通信帯域、処理リソースを圧迫する要素となり得るため、本来必要とする処理が阻害されるおそれがある。 Since the system described in Patent Document 1 is intended for an environment in which the processing resources of a computer are large, a device having limited processing resources may require too much processing to process. Further, in the computer described in Patent Document 2, although the asset information identification process of the computer can be made more efficient by managing the asset information of the computer using the hash, there is no means for grasping the timing when the asset information is updated, and the period is regular. Inquiries about whether or not there is a specific update are required. In other words, the process of inquiring about the presence or absence of an update can also be an element that puts pressure on the communication bandwidth and processing resources, so that the originally required process may be hindered.

本発明は以上の点を考慮してなされたもので、資産情報を適切に管理することができるコンピュータ資産管理システムを提案しようとするものである。 The present invention has been made in consideration of the above points, and an object of the present invention is to propose a computer asset management system capable of appropriately managing asset information.

かかる課題を解決するため本発明においては、コンピュータの資産情報を管理するコンピュータ資産管理システムであって、マスタとエージェントとを備え、前記エージェントは、監視対象とするコンピュータで発生する所定のイベントを監視し、発生したイベントによって追加または変更された可能性がある資産情報を識別可能な識別情報を前記マスタに送信するようにした。 In order to solve such a problem, the present invention is a computer asset management system that manages computer asset information, which includes a master and an agent, and the agent monitors a predetermined event that occurs in a computer to be monitored. Then, the identification information that can identify the asset information that may have been added or changed by the event that occurred is transmitted to the master.

上記構成では、例えば、エージェントは、資産情報が追加または変更されたか否かを確認する処理を行うことなく、追加または変更された可能性がある資産情報を識別可能な識別情報を送信するので、エージェントの処理リソースの負荷を低減することができる。また、例えば、エージェントは、イベントが発生したときに、追加または変更された可能性がある資産情報を識別可能な識別情報を送信するので、ネットワークリソースにかかる負荷を低減することができる。 In the above configuration, for example, the agent sends identification information that can identify the asset information that may have been added or changed without performing a process of confirming whether or not the asset information has been added or changed. The load on the processing resources of the agent can be reduced. In addition, for example, when an event occurs, the agent sends identification information that can identify asset information that may have been added or changed, so that the load on the network resource can be reduced.

本発明によれば、資産情報を適切に管理することができる。 According to the present invention, asset information can be appropriately managed.

図1は、第1の実施の形態によるコンピュータ資産管理システムに係る構成の一例を示す図である。FIG. 1 is a diagram showing an example of a configuration related to a computer asset management system according to the first embodiment. 図2は、第1の実施の形態によるイベント資産対応データの一例を示す図である。FIG. 2 is a diagram showing an example of event asset correspondence data according to the first embodiment. 図3は、第1の実施の形態による管理対象資産データの一例を示す図である。FIG. 3 is a diagram showing an example of managed asset data according to the first embodiment. 図4は、第1の実施の形態による資産監視処理に係るフローチャートの一例を示す図である。FIG. 4 is a diagram showing an example of a flowchart relating to the asset monitoring process according to the first embodiment. 図5は、第1の実施の形態による通信フレームのフォーマットの一例を示す図である。FIG. 5 is a diagram showing an example of the format of the communication frame according to the first embodiment. 図6は、第1の実施の形態による資産グループデータの一例を示す図である。FIG. 6 is a diagram showing an example of asset group data according to the first embodiment. 図7は、第1の実施の形態による資産グループの識別情報の一例を示す図である。FIG. 7 is a diagram showing an example of asset group identification information according to the first embodiment. 図8は、第1の実施の形態による更新内容の取得に係る構成の一例を示す図である。FIG. 8 is a diagram showing an example of a configuration related to acquisition of updated contents according to the first embodiment. 図9は、第1の実施の形態による資産情報解決DB(Database)のデータのデータ構造の一例を示す図である。FIG. 9 is a diagram showing an example of the data structure of the data of the asset information resolution DB (Database) according to the first embodiment. 図10は、第1の実施の形態による複数の識別情報に対応する資産情報が存在するケースの一例を示す図である。FIG. 10 is a diagram showing an example of a case in which asset information corresponding to a plurality of identification information according to the first embodiment exists. 図11は、第1の実施の形態によるマスタに係る構成の一例を示す図である。FIG. 11 is a diagram showing an example of the configuration related to the master according to the first embodiment.

以下図面について、本発明の一実施の形態を詳述する。 Hereinafter, one embodiment of the present invention will be described in detail with reference to the drawings.

本実施の形態では、産業関連システムの各機器は、用途が限定的であり、かつ、資産情報の更新頻度が限定的であることに着目し、機器での計算処理および機器から転送するデータ量を最小にしつつ資産情報を管理する構成について主に説明する。 In the present embodiment, each device of the industry-related system has a limited use and a limited frequency of updating asset information, and the calculation processing in the device and the amount of data transferred from the device are used. The configuration for managing asset information while minimizing the above will be mainly explained.

(1)第1の実施の形態
図1において、100は全体として第1の実施の形態によるコンピュータ資産管理システムを示す。コンピュータ資産管理システム100は、エージェント110とマスタ120とを含んで構成される。 (1) First Embodiment In FIG. 1, 100 indicates a computer asset management system according to the first embodiment as a whole. The computer asset management system 100 includes an agent 110 and a master 120.

エージェント110は、産業関連システムの制御装置、産業関連システムを構成するIoT機器などの機器である。エージェント110は、図示は省略するCPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、通信部などを含んで構成される。 The agent 110 is a device such as a control device for an industry-related system and an IoT device that constitutes an industry-related system. The agent 110 includes a CPU (Central Processing Unit), a RAM (Random Access Memory), a ROM (Read Only Memory), an HDD (Hard Disk Drive), a communication unit, and the like, which are not shown.

エージェント110は、各種の情報(イベント資産対応データ111、管理対象資産データ112など)をRAM、HDDなどの記憶部に記憶する。 The agent 110 stores various types of information (event asset correspondence data 111, managed asset data 112, etc.) in a storage unit such as a RAM or an HDD.

エージェント110の機能(OS(Operating System)113、プロセス114、イベント監視部115、ハッシュ計算部116、通信処理部117など)は、例えば、CPUがROMに格納されたプログラムをRAMに読み出して実行すること(ソフトウェア)により実現されてもよいし、専用の回路などのハードウェアにより実現されてもよいし、ソフトウェアとハードウェアとが組み合わされて実現されてもよい。また、エージェント110の機能の一部は、エージェント110と通信可能な他のコンピュータにより実現されてもよい。 The functions of the agent 110 (OS (Operating System) 113, process 114, event monitoring unit 115, hash calculation unit 116, communication processing unit 117, etc.) are executed by, for example, the CPU reading a program stored in the ROM into the RAM. It may be realized by a thing (software), it may be realized by hardware such as a dedicated circuit, or it may be realized by combining software and hardware. Further, a part of the function of the agent 110 may be realized by another computer capable of communicating with the agent 110.

イベント資産対応データ111には、イベントと資産情報との対応関係を示すデータが含まれる。なお、イベント資産対応データ111の具体例については、図2を用いて後述する。 The event asset correspondence data 111 includes data indicating the correspondence relationship between the event and the asset information. A specific example of the event asset correspondence data 111 will be described later with reference to FIG.

イベントは、OS113で処理可能なイベント、OS113からメモリ領域などの割り当てを受けて処理を実行するプロセス114で処理可能なイベント、OS113に依存しないイベント(例えば、特定の入出力ポートのデータ通信の生成有無など)等である。イベントは、任意のタイミングで発生する。例えば、イベントは、スケジューリングされたタイミングで発生する。また、例えば、イベントは、例外的なタイミングで発生する。 Events are events that can be processed by OS 113, events that can be processed by process 114 that receives allocation of memory area from OS 113 and executes processing, and events that do not depend on OS 113 (for example, generation of data communication of a specific input / output port). Existence, etc.) etc. The event occurs at any time. For example, an event occurs at a scheduled timing. Also, for example, an event occurs at an exceptional timing.

資産(資産情報)は、管理対象の各種のデータ(所定のソフトウェア、所定のファイル、特定アドレスのデータ、特定領域のデータなど)である。資産情報は、メモリ上にマップされるもの(例えば、RAM上にロードされているプログラム)であってもよいし、ディスク上にあるもの(例えば、HDDに格納されているファイル)であってもよい。なお、資産情報は、データ単位で管理される。 Assets (asset information) are various types of data to be managed (predetermined software, predetermined files, specific address data, specific area data, etc.). The asset information may be the one that is mapped in the memory (for example, the program loaded in the RAM) or the one that is on the disk (for example, the file stored in the HDD). good. Asset information is managed in data units.

例えば、資産情報がソフトウェアである場合、当該ソフトウェア(資産情報)は、当該ソフトウェアのバージョン情報、ファイル名、特定アドレスのデータといった単位で管理される。より具体的には、管理対象の資産情報がソフトウェアである場合、資産情報は、ソフトウェアのバージョン(バージョン情報)を判別可能なパッケージ管理ソフトウェア(例えば、OS113で、各種のソフトウェアの導入、削除、ソフトウェア同士の依存関係、ソフトウェアとライブラリとの依存関係を管理するソフトウェア)のデータ、ソフトウェア内の特定バイナリ領域(ソフトウェアを実行するオブジェクトファイルの一部領域)のデータなどが該当する。 For example, when the asset information is software, the software (asset information) is managed in units such as version information of the software, a file name, and data of a specific address. More specifically, when the asset information to be managed is software, the asset information is package management software that can determine the software version (version information) (for example, OS113, installation, deletion, software of various software). This includes data on dependencies between software, software that manages dependencies between software and libraries), and data on a specific binary area (a part of the object file that executes software) in the software.

また、管理対象の資産情報がファイルである場合、資産情報は、例えば、ファイル全体またはファイルの一部(ファイルのヘッダ領域、ファイル内の特定領域)のデータ(バイナリデータ)である。 When the asset information to be managed is a file, the asset information is, for example, data (binary data) of the entire file or a part of the file (header area of the file, specific area in the file).

また、管理対象の資産情報が特定アドレスである場合、資産情報は、例えば、特定アドレスを指すデータ、特定アドレスに格納されているアドレス情報(ポインタ)が差すデータ、特定アドレスを先頭アドレスとするデータ領域のデータ、特定アドレスを一部として含むデータ領域のデータである。 When the asset information to be managed is a specific address, the asset information is, for example, data pointing to a specific address, data pointed to by address information (pointer) stored in the specific address, or data having the specific address as the start address. Area data, data area data that includes a specific address as part.

管理対象資産データ112には、管理対象の各種のデータである資産情報(実データ)が含まれる。 The managed asset data 112 includes asset information (actual data) which is various data to be managed.

イベント監視部115は、イベント資産対応データ111に規定されているイベントを監視し、イベントの発生を検知する。 The event monitoring unit 115 monitors the event specified in the event asset correspondence data 111 and detects the occurrence of the event.

ハッシュ計算部116は、イベント監視部115によりイベントが検知された場合、イベント資産対応データ111に基づいて、当該イベントに対応する資産情報を特定する。続いて、ハッシュ計算部116は、特定した資産情報を管理対象資産データ112から取得する。続いて、ハッシュ計算部116は、取得した資産情報のハッシュ(ハッシュ値)を計算(算出)し、計算したハッシュを通信処理部117に通知する。このように、ハッシュ計算部116が資産情報のハッシュを計算することで、通信処理部117がマスタ120に送信するデータ量を削減することができる。 When an event is detected by the event monitoring unit 115, the hash calculation unit 116 identifies the asset information corresponding to the event based on the event asset correspondence data 111. Subsequently, the hash calculation unit 116 acquires the specified asset information from the managed asset data 112. Subsequently, the hash calculation unit 116 calculates (calculates) the hash (hash value) of the acquired asset information, and notifies the communication processing unit 117 of the calculated hash. In this way, the hash calculation unit 116 calculates the hash of the asset information, so that the amount of data transmitted by the communication processing unit 117 to the master 120 can be reduced.

通信処理部117は、ハッシュ計算部116により通知されたハッシュをマスタ120に送信する。 The communication processing unit 117 transmits the hash notified by the hash calculation unit 116 to the master 120.

上述したように、エージェント110は、OS113等が生成するイベントを通じて管理対象の資産情報の更新の可能性を監視し、所定のイベントが発生した場合、更新された可能性のある資産情報のハッシュをマスタ120に送信する。 As described above, the agent 110 monitors the possibility of updating the asset information to be managed through the event generated by the OS 113 or the like, and when a predetermined event occurs, the agent 110 performs a hash of the asset information that may have been updated. Send to master 120.

マスタ120は、エージェント110が管理する資産情報を一元管理する。マスタ120は、1以上のエージェント110の資産情報を管理するマシンである。マスタ120は、コンピュータなどの物理的なマシンであってもよいし、VM(Virtual Machine)のような仮想化されたソフトウェアで構成されたマシンであってもよい。以下では、説明の便宜上、マスタ120がコンピュータである場合を例に挙げて説明する。 The master 120 centrally manages the asset information managed by the agent 110. The master 120 is a machine that manages the asset information of one or more agents 110. The master 120 may be a physical machine such as a computer, or may be a machine composed of virtualized software such as a VM (Virtual Machine). In the following, for convenience of explanation, a case where the master 120 is a computer will be described as an example.

マスタ120は、図示は省略するCPU、RAM、ROM、HDD、通信部などを含んで構成される。マスタ120は、各種の情報(管理対象資産データ121など)をRAM、HDDなどの記憶部に記憶する。 The master 120 includes a CPU, a RAM, a ROM, an HDD, a communication unit, and the like, which are not shown. The master 120 stores various types of information (managed asset data 121, etc.) in a storage unit such as a RAM or an HDD.

管理対象資産データ121には、資産情報の資産名と、当該資産情報が更新されたことを識別可能な識別情報との対応関係を示すデータが含まれる。なお、管理対象資産データ112の具体例については、図3を用いて後述する。 The managed asset data 121 includes data indicating a correspondence relationship between the asset name of the asset information and the identification information that can identify that the asset information has been updated. A specific example of the managed asset data 112 will be described later with reference to FIG.

識別情報は、何らかの処理によって資産情報が変化することが明確であるものとする。識別情報は、資産情報の全体または一部のハッシュ、資産情報の全体、資産情報の一部(資産情報における特定領域のデータパターン)、資産情報の名称などのエイリアス情報、資産情報を特定可能な情報が含まれるヘッダ情報の全体または一部などである。エージェント110は、識別情報として、上述した情報(資産情報が更新されたことを識別可能な情報)を用いることができる。 As for the identification information, it is clear that the asset information is changed by some processing. The identification information can identify the entire or partial hash of the asset information, the entire asset information, a part of the asset information (data pattern of a specific area in the asset information), alias information such as the name of the asset information, and the asset information. All or part of the header information that contains the information. The agent 110 can use the above-mentioned information (information that can identify that the asset information has been updated) as the identification information.

本実施の形態では、管理対象資産データ121には、エージェント110の管理対象となる資産情報のハッシュが事前に格納される。資産情報のハッシュは、図3に示すような資産リストとして機器単位で保持される。なお、図1~図5では、識別情報として主にハッシュを例に挙げて説明するが、識別情報は、ハッシュに限定されるものではない。識別情報は、上述したように、資産情報が更新されたことを識別可能な情報を適宜に採用できる。なお、ハッシュを計算しない場合、ハッシュの計算にかかる処理リソースの負荷が低減される。 In the present embodiment, the managed asset data 121 stores in advance a hash of asset information to be managed by the agent 110. The hash of the asset information is held for each device as an asset list as shown in FIG. In addition, in FIGS. 1 to 5, the hash is mainly taken as an example as the identification information, but the identification information is not limited to the hash. As the identification information, as described above, information that can identify that the asset information has been updated can be appropriately adopted. When the hash is not calculated, the load of the processing resource required for the hash calculation is reduced.

マスタ120の機能(通信処理部122、ハッシュ比較部123、更新データ取得部124など)は、例えば、CPUがROMに格納されたプログラムをRAMに読み出して実行すること(ソフトウェア)により実現されてもよいし、専用の回路などのハードウェアにより実現されてもよいし、ソフトウェアとハードウェアとが組み合わされて実現されてもよい。また、マスタ120の機能の一部は、マスタ120と通信可能な他のコンピュータにより実現されてもよい。 Even if the functions of the master 120 (communication processing unit 122, hash comparison unit 123, update data acquisition unit 124, etc.) are realized by, for example, the CPU reading the program stored in the ROM into the RAM and executing it (software). It may be realized by hardware such as a dedicated circuit, or it may be realized by combining software and hardware. Further, some of the functions of the master 120 may be realized by another computer capable of communicating with the master 120.

通信処理部122は、通信処理部117により送信されたハッシュを受信し、受信したハッシュをハッシュ比較部123に通知する。 The communication processing unit 122 receives the hash transmitted by the communication processing unit 117, and notifies the hash comparison unit 123 of the received hash.

ハッシュ比較部123は、通信処理部122により送信されたハッシュと、管理対象資産データ121のハッシュとを比較し、資産情報の更新の有無を検知する。ハッシュ比較部123は、両者が不一致であると判定した場合(資産情報が更新されたと判定した場合)、ハッシュが不一致である旨を更新データ取得部124に通知する。このように、ハッシュ比較部123が比較することで、ユーザが比較する場合と比べて、より迅速かつ正確に資産情報の更新の有無が検知される。 The hash comparison unit 123 compares the hash transmitted by the communication processing unit 122 with the hash of the managed asset data 121, and detects whether or not the asset information has been updated. When the hash comparison unit 123 determines that the two do not match (when it determines that the asset information has been updated), the hash comparison unit 123 notifies the update data acquisition unit 124 that the hashes do not match. By comparing in this way, the hash comparison unit 123 detects whether or not the asset information is updated more quickly and accurately than when the user compares.

更新データ取得部124は、ハッシュ比較部123からハッシュが不一致である旨の通知を受け取ると、管理対象資産データ121を更新するためのデータを取得し、取得したデータに基づいて管理対象資産データ121を更新する。 When the update data acquisition unit 124 receives the notification from the hash comparison unit 123 that the hashes do not match, the update data acquisition unit 124 acquires data for updating the managed asset data 121, and the managed asset data 121 is based on the acquired data. To update.

図2は、イベント資産対応データ111の一例(イベント資産対応テーブル200)を示す図である。イベント資産対応テーブル200には、イベントと資産との情報が対応付けられて格納されている。イベント資産対応テーブル200では、特定の実行ファイル(例えば、Launch update.bin)がロードされた場合、更新され得る資産情報(例えば、update.list)の関係が示されている。 FIG. 2 is a diagram showing an example of event asset correspondence data 111 (event asset correspondence table 200). In the event asset correspondence table 200, information on events and assets is stored in association with each other. The event asset correspondence table 200 shows the relationship of asset information (for example, update.list) that can be updated when a specific executable file (for example, Launch update.bin) is loaded.

図3は、管理対象資産データ121の一例(管理対象資産テーブル300)を示す図である。管理対象資産テーブル300には、資産名とハッシュとが対応付けられて格納されている。管理対象資産テーブル300では、「機器A」における管理対象の資産情報のハッシュのリストが示されている。 FIG. 3 is a diagram showing an example of managed asset data 121 (managed asset table 300). In the managed asset table 300, the asset name and the hash are stored in association with each other. The managed asset table 300 shows a list of hashes of managed asset information in "device A".

次に、コンピュータ資産管理システム100における処理について説明する。 Next, the processing in the computer asset management system 100 will be described.

図4は、エージェント110が実行する資産監視処理に係るフローチャートの一例を示す図である。 FIG. 4 is a diagram showing an example of a flowchart relating to the asset monitoring process executed by the agent 110.

OS113等によるスケジューリング処理、または、例外処理によってイベント監視部115が起動される。イベント監視部115は、起動後、イベント資産対応データ111に登録されたイベントに関連する情報を収集し、登録されたイベントの発生有無を監視する(ステップS400)。 The event monitoring unit 115 is started by scheduling processing by OS113 or the like or exception processing. After activation, the event monitoring unit 115 collects information related to the event registered in the event asset correspondence data 111, and monitors whether or not the registered event has occurred (step S400).

イベント監視部115は、イベント資産対応データ111に登録された何らかのイベント(特定イベント)の発生を検知したか否かを判定する(ステップS410)。イベント監視部115は、検知したと判定した場合、ステップS420に処理を移し、検知していないと判定した場合、資産監視処理を終了する。 The event monitoring unit 115 determines whether or not the occurrence of any event (specific event) registered in the event asset correspondence data 111 has been detected (step S410). If it is determined that the event monitoring unit 115 has detected the event, the process is transferred to step S420, and if it is determined that the event monitoring unit 115 has not detected the event, the asset monitoring process is terminated.

イベントの監視方法(イベントの検知)については、限定されない。例えば、イベント監視部115は、OS113が生成するコマンドログ、処理結果のログなどの各種のログをチェックしてイベントの発生を検知してもよい。また、例えば、イベント監視部115は、割り込み処理をチェックしてイベントの発生を検知してもよい。また、例えば、イベント監視部115は、ファイルのタイムスタンプをチェックしてイベントの発生を検知してもよい。また、例えば、イベント監視部115は、エージェント110が外部と行う通信をチェックし、イベントの発生を検知してもよい。 The event monitoring method (event detection) is not limited. For example, the event monitoring unit 115 may detect the occurrence of an event by checking various logs such as a command log generated by the OS 113 and a processing result log. Further, for example, the event monitoring unit 115 may check the interrupt processing and detect the occurrence of an event. Further, for example, the event monitoring unit 115 may check the time stamp of the file to detect the occurrence of an event. Further, for example, the event monitoring unit 115 may check the communication performed by the agent 110 with the outside and detect the occurrence of an event.

また、例えば、イベント監視部115は、資産情報(バイナリファイル)の変更をチェックしてイベントの発生を検知してもよいし、資産情報に間接的に関係がある情報(例えば、資産情報を記載したリストファイル)の変更をチェックしてイベントの発生を検知してもよい。この場合、イベント監視部115は、例えば、ファイル(バイナリファイルおよび/またはリストファイル)のヘッダ情報の一部または全て、ファイルのハッシュ、ファイルのデータの一部または全てをチェックしてイベントの発生を検知してもよい。 Further, for example, the event monitoring unit 115 may check the change of the asset information (binary file) to detect the occurrence of the event, or describe the information indirectly related to the asset information (for example, the asset information). You may detect the occurrence of an event by checking the change of the list file). In this case, the event monitoring unit 115 checks, for example, a part or all of the header information of the file (binary file and / or list file), the hash of the file, and a part or all of the data of the file to generate an event. It may be detected.

ステップS420では、イベント監視部115は、イベント資産対応データ111を参照し、検知したイベント(検知イベント)に対応する資産情報を取得する。 In step S420, the event monitoring unit 115 refers to the event asset correspondence data 111 and acquires the asset information corresponding to the detected event (detection event).

続いて、イベント監視部115は、検知したイベントに対応する資産情報の更新有無を判定する(ステップS430)。イベント監視部115は、更新があると判定した場合、ステップS440に処理を移し、更新がないと判定した場合、資産監視処理を終了する。なお、イベント監視部115は、資産情報が実際に変更されたか否かの確認は行わない。 Subsequently, the event monitoring unit 115 determines whether or not the asset information corresponding to the detected event is updated (step S430). If it is determined that there is an update, the event monitoring unit 115 shifts the process to step S440, and if it determines that there is no update, the event monitoring unit 115 ends the asset monitoring process. The event monitoring unit 115 does not confirm whether or not the asset information has actually been changed.

ステップS440では、ハッシュ計算部116は、資産情報のハッシュを計算(生成)する。なお、前述の通り、ハッシュ計算部116は、識別情報として、資産情報の全体または一部のハッシュ、資産情報(バイナリデータ)の全部または一部などを生成してもよい。 In step S440, the hash calculation unit 116 calculates (generates) the hash of the asset information. As described above, the hash calculation unit 116 may generate a hash of all or part of the asset information, all or part of the asset information (binary data), or the like as identification information.

なお、ハッシュ計算部116は、ハッシュの生成時に、マスタ120側の照合処理の理由で送信するデータを正規化する処理(例えば、管理対象資産テーブル300に記載の資産の順にハッシュを整列する処理)を実行することもある。付言するならば、エージェント110側とマスタ120側との双方で、更新された資産情報をハッシュによって識別できる手段であれば、具体的な内容は問わない。 The hash calculation unit 116 normalizes the data to be transmitted for the reason of collation processing on the master 120 side when generating the hash (for example, a process of arranging the hashes in the order of the assets described in the managed asset table 300). May be executed. As an additional note, the specific content does not matter as long as it is a means by which the updated asset information can be identified by a hash on both the agent 110 side and the master 120 side.

ステップS450では、通信処理部117は、生成されたハッシュをマスタ120に送信し、資産監視処理を終了する。 In step S450, the communication processing unit 117 transmits the generated hash to the master 120, and ends the asset monitoring process.

かかる処理では、エージェント110は、資産情報が追加または変更されたか否かを確認する処理を行うことなく、追加または変更された可能性がある資産情報のハッシュを送信するので、エージェント110の処理リソースの負荷を低減することができる。また、エージェント110は、イベントが発生したときに、追加または変更された可能性がある資産情報のハッシュを送信するので、ネットワークリソースにかかる負荷を低減することができる。 In such a process, the agent 110 transmits a hash of the asset information that may have been added or changed without performing a process of confirming whether or not the asset information has been added or changed. Therefore, the processing resource of the agent 110 Load can be reduced. In addition, the agent 110 transmits a hash of asset information that may have been added or changed when an event occurs, so that the load on the network resource can be reduced.

ここで、通信処理部117は、マスタ120にハッシュを送信する場合、1つの通信フレームに対して1つ以上のハッシュを付与して送信する。なお、本実施の形態では、レイヤー2の通信で使用される通信フレームを例に挙げて説明するが、これに限られるものではない。フォーマットは、レイヤー3の通信で使用される通信パケットであってもよいし、レイヤー4の通信で使用される通信セグメントであってもよい。このように、通信処理部117が1つの通信フレームで複数のハッシュを付与して送信し得るので、送信回数が削減され、送信に係る処理リソースの負荷を低減することができる。 Here, when transmitting a hash to the master 120, the communication processing unit 117 assigns one or more hashes to one communication frame and transmits the hash. In the present embodiment, the communication frame used in the layer 2 communication will be described as an example, but the present embodiment is not limited to this. The format may be a communication packet used in layer 3 communication or a communication segment used in layer 4 communication. In this way, since the communication processing unit 117 can add and transmit a plurality of hashes in one communication frame, the number of transmissions can be reduced and the load of the processing resource related to the transmission can be reduced.

図5は、通信フレームのフォーマットの一例(フォーマット500)を示す図である。フォーマット500には、通信のヘッダ、エージェント110を識別可能なエージェント識別情報、1つ以上のハッシュ、およびFCS(Frame Check Sequence)が含まれる。なお、FCSは、MAC(Message Authentication Code)の場合もある。 FIG. 5 is a diagram showing an example of a communication frame format (format 500). The format 500 includes a communication header, agent identification information that can identify the agent 110, one or more hashes, and an FCS (Frame Check Sequence). The FCS may be a MAC (Message Authentication Code).

通信処理部117は、エージェント110のエージェント識別情報をヘッダの後段の領域に格納し、続けて1つ以上のハッシュをエージェント識別情報の後段の領域に格納する。 The communication processing unit 117 stores the agent identification information of the agent 110 in the area after the header, and subsequently stores one or more hashes in the area after the agent identification information.

マスタ120へのハッシュの送信タイミングとしては、イベントの発生のタイミング、一定周期、ハッシュの数が所定の数を超える場合などのタイミングが挙げられる。また、送信タイミングは、システム構成、エージェント110の機能を実現する機器の特徴、スペックなどを考慮したうえで選択される。何れが選択された場合であっても、特定のイベントが発生した場合、資産情報の更新有無の確認処理が実行され、マスタ120に送信されるハッシュは、特定のイベントと関連付けされたハッシュに限定される。 Examples of the hash transmission timing to the master 120 include the timing of event occurrence, a fixed cycle, and the timing when the number of hashes exceeds a predetermined number. Further, the transmission timing is selected in consideration of the system configuration, the characteristics of the device that realizes the function of the agent 110, the specifications, and the like. Regardless of which is selected, when a specific event occurs, the confirmation process of whether or not the asset information is updated is executed, and the hash sent to the master 120 is limited to the hash associated with the specific event. Will be done.

ここで、管理対象の機器の多くは、用途が限定されており、管理対象となる資産情報についても限定的であり、かつ、資産情報の更新の頻度も多くない。故に、イベントが発生したタイミングに限定して必要な識別情報を送信することで、資産情報の更新有無を確認するために必要な処理量を大幅に削減可能となる。その結果、機器にとって効果的な資産情報の管理が可能となる。 Here, most of the devices to be managed have limited uses, the asset information to be managed is also limited, and the frequency of updating the asset information is not high. Therefore, by transmitting the necessary identification information only at the timing when the event occurs, it is possible to significantly reduce the amount of processing required to confirm whether or not the asset information has been updated. As a result, it becomes possible to manage asset information effectively for the device.

なお、エージェント110のハッシュを取得して管理対象資産データ121に格納するタイミングは、管理対象の機器のシステム導入前でも導入後でもよい。例えば、機器の開発プロセスにおいて資産情報のハッシュが取得されてもよいし、システム導入の直前または直後に専用のプログラムによって資産情報のハッシュが取得されてもよい。 The timing of acquiring the hash of the agent 110 and storing it in the managed asset data 121 may be before or after the system introduction of the managed device. For example, the hash of the asset information may be acquired in the device development process, or the hash of the asset information may be acquired by a dedicated program immediately before or immediately after the introduction of the system.

以上、単一の資産情報の管理を例に挙げて説明したが、管理は、単一の資産情報に限定されるものではない。コンピュータ資産管理システム100は、複数の資産情報をグループとして管理することができる。例えば、コンピュータ資産管理システム100は、複数の資産情報を管理する管理グループ、スナップショット(あるタイミングにおける資産情報一覧表)などを1つの単位とする資産グループデータを用いて資産情報を管理することも可能である。 Although the management of a single asset information has been described above as an example, the management is not limited to a single asset information. The computer asset management system 100 can manage a plurality of asset information as a group. For example, the computer asset management system 100 may manage asset information using asset group data having a management group that manages a plurality of asset information, a snapshot (a list of asset information at a certain timing), and the like as one unit. It is possible.

図6は、資産グループデータの一例(資産グループテーブル600)を示す図である。 FIG. 6 is a diagram showing an example of asset group data (asset group table 600).

資産グループテーブル600には、資産グループと資産との情報が対応付けられて格納されている。例えば、「アプリA設定情報」という資産グループの定義によれば、エージェント110は、当該アプリAに該当する設定ファイル「app1.conf、app2.conf」を一纏めにして管理可能である。エージェント110は、このように定義された資産グループについては、イベント資産対応データ111において資産グループ単位のイベントとして紐付けることが可能となる。例えば、資産グループを単位として資産グループとイベントとが紐付けされている場合、エージェント110は、あるイベントが発生したとき、当該イベントに紐づけられている資産グループに属している全ての資産情報を更新対象とすることができる。 In the asset group table 600, information on the asset group and the asset is stored in association with each other. For example, according to the definition of the asset group "application A setting information", the agent 110 can manage the setting files "app1.conf, app2.conf" corresponding to the application A as a whole. The agent 110 can associate the asset group defined in this way as an event for each asset group in the event asset correspondence data 111. For example, when an asset group and an event are linked in units of an asset group, when a certain event occurs, the agent 110 displays all the asset information belonging to the asset group linked to the event. It can be updated.

また、コンピュータ資産管理システム100は、資産グループに対して、資産グループ単位で識別情報を用いてもよい。この場合、エージェント110(通信処理部117)は、資産グループの識別情報をマスタ120に送信する。 Further, the computer asset management system 100 may use identification information for each asset group for the asset group. In this case, the agent 110 (communication processing unit 117) transmits the identification information of the asset group to the master 120.

図7は、資産グループの識別情報の一例を示す図である。図7では、資産情報の全体または一部のハッシュ、資産情報の全体、資産情報の一部を用いて資産グループの識別情報をエージェント110が生成する例を示すが、これに限られるものではない。例えば、エージェント110は、資産情報の名称などのエイリアス情報、資産情報を特定可能な情報が含まれるヘッダ情報の全体または一部などを用いて資産グループの識別情報を生成してもよい。 FIG. 7 is a diagram showing an example of the identification information of the asset group. FIG. 7 shows an example in which the agent 110 generates identification information of an asset group using a hash of all or part of the asset information, the whole asset information, and a part of the asset information, but the present invention is not limited to this. .. For example, the agent 110 may generate the asset group identification information by using alias information such as the name of the asset information, all or part of the header information including the information that can identify the asset information.

図7には、複数の資産グループを一意に識別する資産グループの識別情報の例が示されている。例えば、図7(A)に示すように、ハッシュ計算部116は、所定の資産グループ700に属する資産情報710(全部の資産情報または一部の資産情報の組み合わせ)のハッシュ720を識別情報730として計算してもよい。 FIG. 7 shows an example of identification information of an asset group that uniquely identifies a plurality of asset groups. For example, as shown in FIG. 7A, the hash calculation unit 116 uses the hash 720 of the asset information 710 (all asset information or a combination of some asset information) belonging to the predetermined asset group 700 as the identification information 730. You may calculate.

また、例えば、図7(B)に示すように、ハッシュ計算部116は、所定の資産グループ740に属する資産情報(全部の資産情報または一部の資産情報)の一部の組み合わせ750を識別情報760として用いてもよい。 Further, for example, as shown in FIG. 7B, the hash calculation unit 116 identifies a part of the combination 750 of the asset information (all asset information or some asset information) belonging to the predetermined asset group 740. It may be used as 760.

このように、コンピュータ資産管理システム100は、資産グループ単位で識別情報を生成することで、資産グループ単位で資産情報を管理できるようになる。 In this way, the computer asset management system 100 can manage the asset information in the asset group unit by generating the identification information in the asset group unit.

ここで、機器を構成するソフトウェア資産は、情報システムと比べると多様性が少なく、内部の構成においては、共通なものとして扱われるものも多い(例えば、OS113、標準アプリケーションの構成においては共通のものを使い、センシング、アクチュエーションのパラメタ情報を変更して扱うなど)。そのため、コンピュータ資産管理システム100は、複数の資産情報を纏めて1つの単位として管理することで、効率的な資産情報の管理を実現することができる。 Here, the software assets that make up the device are less diverse than the information system, and many are treated as common in the internal configuration (for example, OS113 and common in the standard application configuration). Use to change and handle sensing and actuation parameter information, etc.). Therefore, the computer asset management system 100 can realize efficient asset information management by collectively managing a plurality of asset information as one unit.

以上に示した方法により、マスタ120は、エージェント110から受信した識別情報と、事前に共有された識別情報とを比較し、変更がある場合、資産情報の更新有りとして検知する。また、マスタ120は、更新データ取得部124にて管理対象資産データ121の更新内容(例えば、差分情報)を取得し、管理対象資産データ121を更新する。 By the method shown above, the master 120 compares the identification information received from the agent 110 with the identification information shared in advance, and if there is a change, detects that the asset information has been updated. Further, the master 120 acquires the update content (for example, difference information) of the managed asset data 121 by the update data acquisition unit 124, and updates the managed asset data 121.

以下、更新内容の取得方法について説明する。 The method of acquiring the updated contents will be described below.

更新内容を取得する方法は、次の3つに大別される。
(方法1)ネットワークを経由して機器(エージェント110)から更新内容をマスタ120が取得する方法
(方法2)ユーザが、更新された機器に直接アクセスし、内容を検証し、更新内容を取得する方法
(方法3)コンピュータ資産管理システム100で事前に管理する識別情報と資産情報とのマッピング情報をマスタ120が活用し、更新内容を取得する方法 The method of acquiring the updated contents is roughly classified into the following three.
(Method 1) A method in which the master 120 acquires the updated contents from the device (agent 110) via the network (Method 2) A method in which the user directly accesses the updated device, verifies the contents, and acquires the updated contents. (Method 3) A method in which the master 120 utilizes the mapping information between the identification information and the asset information managed in advance by the computer asset management system 100 to acquire the updated contents.

(方法1)
(方法1)は、ネットワークリソースおよび機器のコンピュータリソースに余裕がある場合に適用可能な手法である。これは、更新された識別情報を直接ネットワーク経由で更新する方法である。この方法は、更新された識別情報を事前に共有する必要がないまま管理が可能となる方法である。なお、この方法は、ネットワークリソースおよび機器のコンピュータリソースが限られた環境下では、不十分であることが多い。特に、この方法は、管理対象の資産情報のデータ量が大きくなる場合、問題が顕著に表れ、限られたリソース下においては、不十分なケースもある。 (Method 1)
(Method 1) is a method applicable when the network resources and the computer resources of the device are available. This is a method of updating the updated identification information directly via the network. This method is a method that enables management without the need to share the updated identification information in advance. Note that this method is often inadequate in an environment where network resources and computer resources of equipment are limited. In particular, this method causes a remarkable problem when the amount of data of the asset information to be managed becomes large, and there are cases where it is insufficient under limited resources.

(方法2)
(方法2)は、ユーザが機器に直接アクセスして更新内容をネットワークを介さずに機器から取得する手法である。この方法は、資産情報の管理のニーズに合わせて選択可能な1つの手段である。例えば、資産情報の更新頻度が限定的である場合、資産情報の更新有無を検知するだけで十分なケースがあり、この場合、ユーザは、本方法を選択することができる。また、機器の仕様上の制限によってネットワーク経由で送信可能な資産情報が制限されている場合、ユーザは、本方法を選択することができる。 (Method 2)
(Method 2) is a method in which a user directly accesses a device and acquires updated contents from the device without going through a network. This method is one method that can be selected according to the needs for managing asset information. For example, when the update frequency of the asset information is limited, there are cases where it is sufficient to detect whether or not the asset information is updated. In this case, the user can select this method. In addition, when the asset information that can be transmitted via the network is restricted by the limitation of the specifications of the device, the user can select this method.

(方法3)
(方法3)は、マスタ120が、識別情報の受信は行うが、機器への直接アクセスを行うことなく、資産情報を同定し、同定した資産情報の更新内容を取得する方法である。この方法では、識別情報を用いてマスタ120側でどの資産情報に相当(対応)するかの解決を図ること(同定)が求められる。 (Method 3)
(Method 3) is a method in which the master 120 receives the identification information, but identifies the asset information without directly accessing the device, and acquires the updated contents of the identified asset information. In this method, it is required to solve (identify) which asset information corresponds (corresponds) on the master 120 side by using the identification information.

図8は、上記(方法3)を実現する構成の一例を示す。(方法3)では、マスタ120は、内部またはネットワークを介して、識別情報と資産情報との対応関係を示すデータを格納するデータベース(例えば、資産情報解決DB800)と情報をやり取りする仕組みを有する。資産情報解決DB800は、マスタ120に設けられていてもよいし、マスタ120とは異なるコンピュータに設けられていてもよい。 FIG. 8 shows an example of a configuration for realizing the above (method 3). In (method 3), the master 120 has a mechanism for exchanging information with a database (for example, asset information resolution DB 800) that stores data indicating a correspondence relationship between identification information and asset information via an internal network or a network. The asset information resolution DB 800 may be provided in the master 120, or may be provided in a computer different from the master 120.

資産情報解決DB800は、識別情報がどの資産情報に相当かを解決するために必要な情報を有する。マスタ120は、資産情報解決DB800を用いて、識別情報から資産名を逆引きすることで資産名を同定する。 The asset information resolution DB 800 has information necessary for resolving which asset information the identification information corresponds to. The master 120 identifies the asset name by reverse lookup of the asset name from the identification information using the asset information resolution DB 800.

資産情報解決DB800は、DB生成部810により生成(更新)される。DB生成部810は、マスタ120に設けられていてもよいし、マスタ120とは異なるコンピュータに設けられていてもよい。 The asset information resolution DB 800 is generated (updated) by the DB generation unit 810. The DB generation unit 810 may be provided in the master 120, or may be provided in a computer different from the master 120.

図9は、資産情報解決DB800のデータのデータ構造の一例(データ構造900)を示す図である。データ構造900は、1つの資産名910に対して複数の識別情報(識別情報A920、識別情報B930、識別情報C930等)が付与された形式であり、ある識別情報から資産名が一意に識別できるような構造を有する。例えば、マスタ120がエージェント110から受信した識別情報が識別情報B930と同値である場合、マスタ120は、識別情報B930に対応する資産名910の資産情報を有すると結論付ける。 FIG. 9 is a diagram showing an example (data structure 900) of the data structure of the asset information resolution DB 800. The data structure 900 is in a format in which a plurality of identification information (identification information A920, identification information B930, identification information C930, etc.) is added to one asset name 910, and the asset name can be uniquely identified from the certain identification information. It has such a structure. For example, if the identification information received by the master 120 from the agent 110 is equivalent to the identification information B930, it is concluded that the master 120 has the asset information of the asset name 910 corresponding to the identification information B930.

ある資産に対応する識別情報の数は、識別情報をどのように計算または取得するかによって決定される。例えば、識別情報にハッシュを使う場合、1つの資産情報に対応する識別情報は、ハッシュの衝突が発生した場合を除くと単一となる。一方、識別情報に限られた領域のバイナリ情報を用いると、領域のサイズにも依存するが、ハッシュの場合と比較しても資産情報あたりの識別情報が多くなる傾向がある。この場合、ある識別情報が複数の資産情報に対応する場合、該当する資産情報を解決できない問題が生じる。 The number of identification information corresponding to an asset is determined by how the identification information is calculated or obtained. For example, when a hash is used for the identification information, the identification information corresponding to one asset information is single except when a hash collision occurs. On the other hand, when the binary information of the area limited to the identification information is used, the identification information per asset information tends to be larger than that of the hash, although it depends on the size of the area. In this case, when a certain identification information corresponds to a plurality of asset information, there arises a problem that the corresponding asset information cannot be solved.

ここで、エージェント110は、例えば、複数の識別情報を生成してマスタ120に送信することで、重複問題を解決することもできる。ただし、かかる構成では、エージェント110にかかる処理負荷が増えることになるので、マスタ120側で解決する方法が求められる。 Here, the agent 110 can also solve the duplication problem by generating, for example, a plurality of identification information and transmitting it to the master 120. However, in such a configuration, the processing load on the agent 110 increases, so a method for solving the problem is required on the master 120 side.

この点、識別情報の重複問題を解決するための1つの方法として、他の資産情報の有無を踏まえて識別情報に対応する複数の資産情報のうち、どれが正しいかを判別する方法が挙げられる。例えば、複数の資産情報が必ず同じ環境に存在する場合、マスタ120は、複数の識別情報に対応する資産情報のうち、同じ環境に存在する資産情報を当該資産情報と識別する。 In this regard, as one method for solving the problem of duplication of identification information, there is a method of determining which of a plurality of asset information corresponding to the identification information is correct based on the presence or absence of other asset information. .. For example, when a plurality of asset information always exists in the same environment, the master 120 identifies the asset information existing in the same environment from the asset information corresponding to the plurality of identification information.

図10は、複数の識別情報に対応する資産情報が存在するケースの一例(ケース1000)を示す図である。ケース1000では、識別情報X1010が資産A1020と資産B1030との何れにも対応する場合、マスタ120は、資産A1020と同じ環境に資産Yが存在するときは、資産A1020であると判定し、資産B1030と同じ環境に資産Yが存在しないときは、資産B1030であると判定する。この方法は、1つの識別情報が複数の資産情報に対応する場合であっても、資産情報を識別する精度を向上することができる。付言するならば、マスタ120は、どの資産情報とどの資産情報とが関係しているかを示す資産関係情報と、どのエージェント110がどの資産情報を監視しているかを示す構成情報とを有している。つまり、マスタ120は、同定した資産情報が複数である場合、資産関係情報と構成情報とを用いて関係する他の資産情報の存在有無を判定し、判定した結果に基づいて資産情報を同定する。 FIG. 10 is a diagram showing an example (case 1000) of a case in which asset information corresponding to a plurality of identification information exists. In case 1000, when the identification information X1010 corresponds to both the asset A1020 and the asset B1030, the master 120 determines that the asset Y is the asset A1020 when the asset Y exists in the same environment as the asset A1020, and determines that the asset B1030. When the asset Y does not exist in the same environment as, it is determined to be the asset B1030. This method can improve the accuracy of identifying the asset information even when one identification information corresponds to a plurality of asset information. In addition, the master 120 has asset-related information indicating which asset information is related to which asset information, and configuration information indicating which agent 110 monitors which asset information. There is. That is, when there are a plurality of identified asset information, the master 120 determines the existence or nonexistence of other related asset information using the asset-related information and the configuration information, and identifies the asset information based on the determination result. ..

なお、受信した識別情報が資産情報解決DB800に該当(存在)しない場合、マスタ120は、不明資産として検出する。マスタ120は、不明資産を検出した場合、セキュリティに問題があると見なして、問題があることを外部に出力する。この場合、ユーザは、資産情報解決DB800の内容を更新または拡充するために、該当不明資産に対応する資産が存在するか、どの資産が更新されたか等を機器に直接アクセスして情報を取得(検証)する。 If the received identification information does not correspond to (exist) in the asset information resolution DB 800, the master 120 detects it as an unknown asset. When the master 120 detects an unknown asset, it considers that there is a security problem and outputs the problem to the outside. In this case, in order to update or expand the contents of the asset information resolution DB 800, the user directly accesses the device to acquire (verify) information such as whether an asset corresponding to the unknown asset exists or which asset has been updated. )do.

資産情報解決DB800の更新(生成)は、必ずしもエージェント110、管理対象の資産情報を介して取得する必要はない。例えば、DB生成部810は、ベンダ、Web等から提供されるソフトウェア情報、機器の仕様書、機器のマニュアルなどに基づいて資産情報(識別情報)を生成し、生成した情報で資産情報解決DB800を更新してもよい。 The update (generation) of the asset information resolution DB 800 does not necessarily have to be acquired via the agent 110 and the asset information to be managed. For example, the DB generation unit 810 generates asset information (identification information) based on software information provided by the vendor, the Web, etc., device specifications, device manuals, etc., and uses the generated information to generate the asset information resolution DB 800. You may update it.

また、手動で変更されるパターンが多い資産情報である場合、DB生成部810は、想定される変更パターンを記憶(網羅)し、それぞれの変更パターンから資産情報および識別情報を生成してもよい。機器の用途が限られていることから、許容されるパターンは、限定的であることが多い。その場合、DB生成部810は、許容されるパターンを事前に把握し、該当する識別情報を生成して資産情報と結びつけることで、許容された(識別可能な)資産情報であるか、そうでないかを判定してもよい。 Further, in the case of asset information having many patterns that are manually changed, the DB generation unit 810 may store (cover) the assumed change patterns and generate asset information and identification information from each change pattern. .. Due to the limited use of the equipment, the patterns allowed are often limited. In that case, the DB generation unit 810 grasps the permissible pattern in advance, generates the corresponding identification information, and links it with the asset information to obtain the permissible (identifiable) asset information or not. May be determined.

また、識別情報の定義方法によっては、コンピュータ資産管理システム100は、識別情報を用いて、資産情報の改ざん、マルウェアの汚染など(不正プログラムによる脅威)を検知することができる。 Further, depending on the method of defining the identification information, the computer asset management system 100 can detect falsification of the asset information, contamination of malware, etc. (threat by a malicious program) by using the identification information.

図11は、不正プログラムによる脅威を検知する脅威検出部1101を備えるマスタ1100に係る構成の一例を示す図である。なお、マスタ1100は、マスタ120と同様の構成であるので、マスタ120と異なる構成について主に説明する。 FIG. 11 is a diagram showing an example of a configuration related to the master 1100 including the threat detection unit 1101 for detecting a threat caused by a malicious program. Since the master 1100 has the same configuration as the master 120, a configuration different from that of the master 120 will be mainly described.

ここでは、資産情報の識別情報が、例えば、不正プログラムによる脅威が存在することを示す痕跡(本例では、IOC(Indicator of Compromise))の情報をベースとして定義されている。ユーザは、識別情報1102を定義する場合、IOCファイル1111の項目と一致させることで、マスタ1100は、識別情報1102とIOCファイル1111との比較ができるようになる。 Here, the identification information of the asset information is defined based on, for example, the trace (in this example, IOC (Indicator of Compromise)) indicating that a threat by a malicious program exists. When the user defines the identification information 1102, the master 1100 can compare the identification information 1102 with the IOC file 1111 by matching the items with the items of the IOC file 1111.

例えば、エージェント110は、IOCファイル1111の項目の情報を資産情報の識別情報としてマスタ120に送信する。脅威検出部1101は、IOCDB1110に記憶されているIOCファイル1111とエージェント110から取得した識別情報1102とを照合し、IOCファイル1111に定義された条件の項目の情報と識別情報1102とが一致するかどうかを検証する。なお、IOCファイル1111は、マルウェアの感染有無について細分化された1つ以上の項目と、それらの成立条件(AND、ORなどの論理演算子)とを含んで構成される。 For example, the agent 110 transmits the information of the item of the IOC file 1111 to the master 120 as the identification information of the asset information. The threat detection unit 1101 collates the IOC file 1111 stored in the IOCDB1110 with the identification information 1102 acquired from the agent 110, and whether the information of the condition item defined in the IOC file 1111 matches the identification information 1102. Verify whether. Note that the IOC file 1111 is configured to include one or more items subdivided regarding the presence or absence of malware infection and their establishment conditions (logical operators such as AND and OR).

かかる構成によれば、マスタ1100は、マルウェア等への感染有無を機器にアクセスすることなく、検知および検証することができる。 According to such a configuration, the master 1100 can detect and verify the presence or absence of infection with malware or the like without accessing the device.

(2)他の実施の形態
なお上述の実施の形態においては、本発明をコンピュータ資産管理システム100に適用するようにした場合について述べたが、本発明はこれに限らず、この他種々のコンピュータ資産管理システム、コンピュータ資産管理方法、コンピュータ資産管理装置などに広く適用することができる。 (2) Other Embodiments In the above-described embodiment, the case where the present invention is applied to the computer asset management system 100 has been described, but the present invention is not limited to this, and various other computers. It can be widely applied to asset management systems, computer asset management methods, computer asset management devices, and the like.

また上述の実施の形態においては、図1において、エージェント110が1つ設けられ例を示したが、本発明はこれに限らず、エージェント110は、複数設けられていてもよい。 Further, in the above-described embodiment, an example is shown in which one agent 110 is provided in FIG. 1, but the present invention is not limited to this, and a plurality of agents 110 may be provided.

また上述の実施の形態においては、エージェント110は、産業関連システムの機器(ハードウェア)である場合について述べたが、本発明はこれに限らず、エージェント110は、イベント監視部115、ハッシュ計算部116、通信処理部117などを実現するためのプログラム(ソフトウェア)であってもよい。この場合、エージェント110は、産業関連システムの機器に、1つ設けられてもよいし、複数設けられてもよい。 Further, in the above-described embodiment, the case where the agent 110 is a device (hardware) of an industry-related system has been described, but the present invention is not limited to this, and the agent 110 includes an event monitoring unit 115 and a hash calculation unit. It may be a program (software) for realizing 116, the communication processing unit 117, and the like. In this case, one agent 110 may be provided in the equipment of the industry-related system, or a plurality of agents 110 may be provided.

また上述の実施の形態においては、エージェント110は、産業関連システムの機器ごとに設けられる場合について述べたが、本発明はこれに限らず、エージェント110は、産業関連システムの複数の機器に対して設けられるようにしてもよい(複数の機器を監視するようにしてもよい)。 Further, in the above-described embodiment, the case where the agent 110 is provided for each device of the industry-related system has been described, but the present invention is not limited to this, and the agent 110 is used for a plurality of devices of the industry-related system. It may be provided (multiple devices may be monitored).

また上述の実施の形態においては、エージェント110がステップS430を実行する場合について述べたが、本発明はこれに限らず、エージェント110がステップS430を実行することなく、ステップS440の処理を行うようにしてもよい。かかる構成は、例えば、機器のコンピュータリソースに余裕がなく、ネットワークリソースに余裕があるシステムにおいて好適となる。 Further, in the above-described embodiment, the case where the agent 110 executes step S430 has been described, but the present invention is not limited to this, and the agent 110 performs the process of step S440 without executing step S430. You may. Such a configuration is suitable, for example, in a system in which the computer resources of the device are not sufficient and the network resources are sufficient.

また上述の実施の形態においては、説明の便宜上、XXテーブル、XXファイルを用いて各種のデータを説明したが、データ構造は限定されるものではなく、XX情報などと表現してもよい。 Further, in the above-described embodiment, various data have been described using the XX table and the XX file for convenience of explanation, but the data structure is not limited and may be expressed as XX information or the like.

また、上記の説明において各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記憶装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。 In addition, the information such as programs, tables, and files that realize each function in the above description is a memory, a hard disk, a storage device such as an SSD (Solid State Drive), or a recording medium such as an IC card, an SD card, or a DVD. Can be placed in.

また上述した構成については、本発明の要旨を超えない範囲において、適宜に、変更したり、組み替えたり、組み合わせたり、省略したりしてもよい。 Further, the above-described configuration may be appropriately changed, rearranged, combined, or omitted as long as it does not exceed the gist of the present invention.

以上の通り、上述した実施の形態のコンピュータ資産管理システム(例えば、コンピュータ資産管理システム100)は、コンピュータ(例えば、産業関連システムの制御装置、産業関連システムを構成するIoT機器などの機器)の資産情報を管理するコンピュータ資産管理システムであって、マスタ(例えば、マスタ120)とエージェント(例えば、エージェント110)とを備え、上記エージェントは、監視対象とするコンピュータで発生する所定のイベント(例えば、イベント資産対応データ111に示されるイベント、イベント資産対応テーブル200に登録されたイベント)を監視し、発生したイベントによって追加または変更された可能性がある資産情報(例えば、管理対象資産データ112)を識別可能な識別情報(例えば、資産情報が更新されたことを識別可能な情報、資産情報の全体または一部のハッシュ、資産情報の全体、資産情報の一部、資産情報の名称などのエイリアス情報、資産情報を特定可能な情報が含まれるヘッダ情報の全体または一部)を上記マスタに送信することを特徴とする。 As described above, the computer asset management system (for example, the computer asset management system 100) of the above-described embodiment is the asset of the computer (for example, the control device of the industry-related system, the device such as the IoT device constituting the industry-related system). A computer asset management system that manages information, including a master (for example, master 120) and an agent (for example, agent 110), and the agent is a predetermined event (for example, an event) that occurs in a computer to be monitored. Monitors the event shown in the asset correspondence data 111 and the event registered in the event asset correspondence table 200, and identifies the asset information (for example, managed asset data 112) that may have been added or changed by the event that occurred. Possible identification information (for example, information that can identify that the asset information has been updated, hash of all or part of the asset information, whole asset information, part of the asset information, alias information such as the name of the asset information, etc. It is characterized in that all or part of the header information including the information that can identify the asset information) is transmitted to the master.

また、上記エージェントは、イベントと資産情報とが対応付けられたイベント資産対応データ(例えば、イベント資産対応データ111、イベント資産対応テーブル200)に基づいて、上記イベント資産対応データに示されるイベントの発生を検知した場合、検知したイベントに対応する資産情報を取得し、取得した資産情報に基づいて上記資産情報の識別情報を生成し、生成した識別情報を上記マスタに送信する(例えば、ステップS410~ステップS450の処理を行う)ことが望ましい。 Further, the agent generates an event shown in the event asset correspondence data based on the event asset correspondence data (for example, event asset correspondence data 111, event asset correspondence table 200) in which the event and the asset information are associated with each other. When is detected, the asset information corresponding to the detected event is acquired, the identification information of the asset information is generated based on the acquired asset information, and the generated identification information is transmitted to the master (for example, steps S410 to S410 to It is desirable to perform the process of step S450).

また、上記エージェント(例えば、ハッシュ計算部116)は、上記資産情報の識別情報として、上記資産情報に基づいてハッシュを算出することが望ましい。 Further, it is desirable that the agent (for example, the hash calculation unit 116) calculates the hash based on the asset information as the identification information of the asset information.

また、上記エージェントは、上記資産情報の識別情報として、上記資産情報の全体、上記資産情報の一部、上記資産情報を規定したファイルのヘッダ情報の全体、または上記ファイルのヘッダ情報の一部を用いることが望ましい。 In addition, the agent may use the entire asset information, a part of the asset information, the whole header information of the file defining the asset information, or a part of the header information of the file as the identification information of the asset information. It is desirable to use it.

また、上記エージェントは、発生したイベントによって追加または変更された可能性がある資産情報の識別情報を一回の通信(例えば、1つの通信フレーム、1つの通信パケット、1つの通信セグメント)で1ユニット以上(例えば、ハッシュを1つ以上)送信することが望ましい。 In addition, the agent uses one unit of identification information of asset information that may have been added or changed due to an event that has occurred in one communication (for example, one communication frame, one communication packet, one communication segment). It is desirable to transmit the above (for example, one or more hashes).

また、上記コンピュータの資産情報の識別情報(例えば、管理対象資産データ121)を記憶する記憶部(例えば、HDD)を備え、上記マスタ(例えば、ハッシュ比較部123)は、上記エージェントから送信された資産情報の識別情報と、上記記憶部に記憶された識別情報とを比較し、上記資産情報の更新の有無を検知することが望ましい。 Further, a storage unit (for example, HDD) for storing identification information (for example, managed asset data 121) of the asset information of the computer is provided, and the master (for example, hash comparison unit 123) is transmitted from the agent. It is desirable to compare the identification information of the asset information with the identification information stored in the storage unit to detect whether or not the asset information has been updated.

また、上記エージェントは、複数の資産情報と、上記複数の資産情報が属するグループとを対応付けた資産グループデータ(例えば、資産グループデータ、資産グループテーブル600)に基づいて、発生したイベントによって追加または変更された可能性がある資産情報が対応付けられるグループを特定し、特定したグループに属する全ての資産情報を上記イベントによって追加または変更された可能性があると判断することが望ましい。 Further, the agent is added or added by an event that occurs based on the asset group data (for example, asset group data, asset group table 600) in which the plurality of asset information is associated with the group to which the plurality of asset information belongs. It is desirable to identify the group to which the asset information that may have been changed is associated, and to determine that all the asset information belonging to the specified group may have been added or changed by the above event.

また、上記エージェント(例えば、通信処理部117)は、上記グループを識別可能な識別情報(例えば、資産グループの識別情報)を上記マスタに送信することが望ましい。 Further, it is desirable that the agent (for example, the communication processing unit 117) transmits the identification information that can identify the group (for example, the identification information of the asset group) to the master.

また、上記エージェント(例えば、ハッシュ計算部116)は、上記グループの識別情報として、上記全ての資産情報のうちの一部の資産情報を組み合わせてハッシュを算出することが望ましい。 Further, it is desirable that the agent (for example, the hash calculation unit 116) calculates the hash by combining some of the asset information among all the asset information as the identification information of the group.

また、上記エージェント(例えば、ハッシュ計算部116)は、上記グループの識別情報として、上記全ての資産情報を組み合わせてハッシュを算出することが望ましい。 Further, it is desirable that the agent (for example, the hash calculation unit 116) calculates the hash by combining all the asset information described above as the identification information of the group.

また、上記エージェント(例えば、ハッシュ計算部116)は、上記グループの識別情報として、上記全ての資産情報の全体、または上記全ての資産情報のうちの一部を用いることが望ましい。 Further, it is desirable that the agent (for example, the hash calculation unit 116) uses the whole of all the asset information or a part of all the asset information as the identification information of the group.

また、上記マスタ(更新データ取得部124)は、上記コンピュータの資産情報の更新を検知した場合、上記エージェントから送信された資産情報の識別情報を用いて上記識別情報に対応する資産情報を同定し、上記記憶部に記憶された同定した資産情報の識別情報を更新することが望ましい。 Further, when the master (update data acquisition unit 124) detects the update of the asset information of the computer, the master (update data acquisition unit 124) identifies the asset information corresponding to the identification information by using the identification information of the asset information transmitted from the agent. , It is desirable to update the identification information of the identified asset information stored in the storage unit.

また、上記コンピュータの資産情報の識別情報と上記資産情報とが対応付けられたデータを格納するデータベース(例えば、資産情報解決DB800)を備えることが望ましい。 Further, it is desirable to provide a database (for example, asset information resolution DB 800) that stores data in which the identification information of the asset information of the computer and the asset information are associated with each other.

また、上記マスタは、同定した資産情報が複数である場合、資産情報間の関係を規定した情報(例えば、資産関係情報、構成情報)を用いて関係する他の資産情報の存在有無を判定し、判定した結果に基づいて資産情報を同定することが望ましい。 In addition, when there are a plurality of identified asset information, the master determines the existence or nonexistence of other related asset information using information that defines the relationship between the asset information (for example, asset relationship information, configuration information). , It is desirable to identify the asset information based on the judgment result.

また、上記エージェントとの通信処理を発生させない処理によって取得した情報(例えば、ベンダ、Web等から提供されるソフトウェア情報、機器の仕様書、機器のマニュアル)に基づいて上記データベースを生成するデータベース生成部(例えば、DB生成部810)を備えることが望ましい。 In addition, a database generator that generates the database based on information acquired by processing that does not generate communication processing with the agent (for example, software information provided by a vendor, the Web, etc., device specifications, device manuals). (For example, it is desirable to include a DB generation unit 810).

また、上記エージェントは、不正プログラムによる脅威が存在することが示される項目(例えば、IOCファイル1111の項目)の情報を資産情報の識別情報として上記マスタに送信し、上記マスタ(例えば、脅威検出部1101)は、不正プログラムによる脅威が存在することを示す痕跡情報(例えば、IOCファイル1111に定義された条件の項目の情報)と、上記エージェントから送信された資産情報の識別情報とを比較して、不正プログラムによる脅威を検出することが望ましい。 Further, the agent transmits information of an item (for example, an item of IOC file 1111) indicating that a threat due to a malicious program exists to the master as identification information of asset information, and the master (for example, a threat detection unit). 1101) compares the trace information indicating the existence of a threat by a malicious program (for example, the information of the condition item defined in the IOC file 1111) with the identification information of the asset information transmitted from the agent. , It is desirable to detect threats caused by malicious programs.

上述した構成によれば、資産情報を適切に管理することができる。 According to the above-described configuration, asset information can be appropriately managed.

100……コンピュータ資産管理システム、110……エージェント、120……マスタ。 100 ... Computer asset management system, 110 ... Agent, 120 ... Master.

Claims (16)

コンピュータの資産情報を管理するコンピュータ資産管理システムであって、
マスタとエージェントとを備え、
前記エージェントは、
監視対象とするコンピュータで発生する所定のイベントを監視し、発生したイベントによって追加または変更された可能性がある資産情報を識別可能な識別情報を前記マスタに送信
複数の資産情報と、前記複数の資産情報が属するグループとを対応付けた資産グループデータに基づいて、発生したイベントによって追加または変更された可能性がある資産情報が対応付けられるグループを特定し、特定したグループに属する全ての資産情報を前記イベントによって追加または変更された可能性があると判断する、
ことを特徴とするコンピュータ資産管理システム。 A computer asset management system that manages computer asset information.
Equipped with a master and an agent
The agent
It monitors a predetermined event that occurs on the computer to be monitored, and sends identification information that can identify asset information that may have been added or changed by the event to the master.
Based on the asset group data that associates a plurality of asset information with the group to which the plurality of asset information belongs, a group to which the asset information that may have been added or changed by the event that occurred is associated is identified. Judge that all asset information belonging to the specified group may have been added or changed by the event.
A computer asset management system that features. 前記エージェントは、イベントと資産情報とが対応付けられたイベント資産対応データに基づいて、前記イベント資産対応データに示されるイベントの発生を検知した場合、検知したイベントに対応する資産情報を取得し、取得した資産情報に基づいて前記資産情報の識別情報を生成し、生成した識別情報を前記マスタに送信する、
ことを特徴とする請求項1に記載のコンピュータ資産管理システム。 When the agent detects the occurrence of the event shown in the event asset correspondence data based on the event asset correspondence data in which the event and the asset information are associated with each other, the agent acquires the asset information corresponding to the detected event. The identification information of the asset information is generated based on the acquired asset information, and the generated identification information is transmitted to the master.
The computer asset management system according to claim 1. 前記エージェントは、前記資産情報の識別情報として、前記資産情報に基づいてハッシュを算出する、
ことを特徴とする請求項2に記載のコンピュータ資産管理システム。 The agent calculates a hash based on the asset information as identification information of the asset information.
The computer asset management system according to claim 2. 前記エージェントは、前記資産情報の識別情報として、前記資産情報の全体、前記資産情報の一部、前記資産情報を規定したファイルのヘッダ情報の全体、または前記ファイルのヘッダ情報の一部を用いる、
ことを特徴とする請求項2に記載のコンピュータ資産管理システム。 The agent uses the entire asset information, a part of the asset information, the whole header information of the file defining the asset information, or a part of the header information of the file as the identification information of the asset information.
The computer asset management system according to claim 2. 前記エージェントは、発生したイベントによって追加または変更された可能性がある資産情報の識別情報を一回の通信で1ユニット以上送信する、
ことを特徴とする請求項1に記載のコンピュータ資産管理システム。 The agent transmits one or more units of identification information of asset information that may have been added or changed due to an event that has occurred in one communication.
The computer asset management system according to claim 1. 前記コンピュータの資産情報の識別情報を記憶する記憶部を備え、
前記マスタは、前記エージェントから送信された資産情報の識別情報と、前記記憶部に記憶された識別情報とを比較し、前記資産情報の更新の有無を検知する、
ことを特徴とする請求項1に記載のコンピュータ資産管理システム。 A storage unit for storing identification information of the asset information of the computer is provided.
The master compares the identification information of the asset information transmitted from the agent with the identification information stored in the storage unit, and detects whether or not the asset information is updated.
The computer asset management system according to claim 1. 前記エージェントは、前記グループを識別可能な識別情報を前記マスタに送信する、
ことを特徴とする請求項に記載のコンピュータ資産管理システム。 The agent sends identification information that can identify the group to the master.
The computer asset management system according to claim 1 . 前記エージェントは、前記グループの識別情報として、前記全ての資産情報のうちの一部の資産情報を組み合わせてハッシュを算出する、
ことを特徴とする請求項に記載のコンピュータ資産管理システム。 The agent calculates a hash by combining a part of the asset information among all the asset information as the identification information of the group.
The computer asset management system according to claim 7 . 前記エージェントは、前記グループの識別情報として、前記全ての資産情報を組み合わせてハッシュを算出する、
ことを特徴とする、請求項に記載のコンピュータ資産管理システム。 The agent calculates a hash by combining all the asset information as the identification information of the group.
The computer asset management system according to claim 7 , wherein the computer asset management system is characterized in that. 前記エージェントは、前記グループの識別情報として、前記全ての資産情報の全体、または前記全ての資産情報のうちの一部を用いる、
ことを特徴とする請求項に記載のコンピュータ資産管理システム。 The agent uses the whole of all the asset information or a part of all the asset information as the identification information of the group.
The computer asset management system according to claim 7 . 前記マスタは、前記コンピュータの資産情報の更新を検知した場合、前記エージェントから送信された資産情報の識別情報を用いて前記識別情報に対応する資産情報を同定し、前記記憶部に記憶された同定した資産情報の識別情報を更新する、
ことを特徴とする請求項6に記載のコンピュータ資産管理システム。 When the master detects an update of the asset information of the computer, the master identifies the asset information corresponding to the identification information by using the identification information of the asset information transmitted from the agent, and the identification stored in the storage unit. Update the identification information of the asset information
The computer asset management system according to claim 6. 前記コンピュータの資産情報の識別情報と前記資産情報とが対応付けられたデータを格納するデータベースを備える、
ことを特徴とする請求項11に記載のコンピュータ資産管理システム。 A database for storing data in which the identification information of the asset information of the computer and the asset information are associated with each other is provided.
The computer asset management system according to claim 11 . 前記マスタは、同定した資産情報が複数である場合、資産情報間の関係を規定した情報を用いて関係する他の資産情報の存在有無を判定し、判定した結果に基づいて資産情報を同定する、
ことを特徴とする請求項12に記載のコンピュータ資産管理システム。 When the identified asset information is plural, the master determines the existence or nonexistence of other related asset information using the information defining the relationship between the asset information, and identifies the asset information based on the determination result. ,
The computer asset management system according to claim 12 . 前記エージェントとの通信処理を発生させない処理によって取得した情報に基づいて前記データベースを生成するデータベース生成部を備える、
ことを特徴とする請求項12に記載のコンピュータ資産管理システム。 It is provided with a database generation unit that generates the database based on the information acquired by the process that does not generate the communication process with the agent.
The computer asset management system according to claim 12 . 前記エージェントは、不正プログラムによる脅威が存在することが示される項目の情報を資産情報の識別情報として前記マスタに送信し、
前記マスタは、不正プログラムによる脅威が存在することを示す痕跡情報と、前記エージェントから送信された資産情報の識別情報とを比較して、不正プログラムによる脅威を検出する、
ことを特徴とする請求項1に記載のコンピュータ資産管理システム。 The agent sends information on an item indicating that a threat due to a malicious program exists to the master as identification information of asset information.
The master detects the threat by the malicious program by comparing the trace information indicating the existence of the threat by the malicious program with the identification information of the asset information transmitted from the agent.
The computer asset management system according to claim 1. コンピュータの資産情報を管理するコンピュータ資産管理方法であって、
エージェントが、監視対象とするコンピュータで発生する所定のイベントを監視する第1のステップと、
前記エージェントが、発生したイベントによって追加または変更された可能性がある資産情報を識別可能な識別情報をマスタに送信する第2のステップと、
前記エージェントが、複数の資産情報と、前記複数の資産情報が属するグループとを対応付けた資産グループデータに基づいて、発生したイベントによって追加または変更された可能性がある資産情報が対応付けられるグループを特定し、特定したグループに属する全ての資産情報を前記イベントによって追加または変更された可能性があると判断する第3のステップと、
を備えることを特徴とするコンピュータ資産管理方法。 A computer asset management method that manages computer asset information.
The first step in which the agent monitors a predetermined event that occurs on the computer to be monitored, and
A second step in which the agent sends identifiable identification information to the master that can identify asset information that may have been added or modified by the event that occurred.
A group to which asset information that may have been added or changed by an event that has occurred is associated with the agent based on the asset group data that associates the plurality of asset information with the group to which the plurality of asset information belongs. And the third step to determine that all asset information belonging to the identified group may have been added or changed by the event.
A computer asset management method characterized by providing.
JP2018123623A 2018-06-28 2018-06-28 Computer asset management system and computer asset management method Active JP7104574B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018123623A JP7104574B2 (en) 2018-06-28 2018-06-28 Computer asset management system and computer asset management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018123623A JP7104574B2 (en) 2018-06-28 2018-06-28 Computer asset management system and computer asset management method

Publications (2)

Publication Number Publication Date
JP2020004127A JP2020004127A (en) 2020-01-09
JP7104574B2 true JP7104574B2 (en) 2022-07-21

Family

ID=69100019

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018123623A Active JP7104574B2 (en) 2018-06-28 2018-06-28 Computer asset management system and computer asset management method

Country Status (1)

Country Link
JP (1) JP7104574B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7274438B2 (en) * 2020-03-13 2023-05-16 株式会社日立製作所 ASSET INFORMATION MANAGEMENT SYSTEM AND ASSET INFORMATION MANAGEMENT METHOD
CN113326269A (en) * 2021-06-29 2021-08-31 深信服科技股份有限公司 Asset identification method, equipment, device and computer readable storage medium

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009123097A (en) 2007-11-16 2009-06-04 Nec Corp Property management system, portable terminal, server, and program
JP2015531508A (en) 2012-09-06 2015-11-02 トライアムファント, インコーポレイテッド System and method for automated memory and thread execution anomaly detection in computer networks
US20160224329A1 (en) 2015-01-30 2016-08-04 AppDynamics Inc. Automated software configuration management
JP2017016650A (en) 2015-06-23 2017-01-19 アボブ セキュリティー インコーポレイテッドAbove Security Inc. Method and system for detecting and identifying resource on computer network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009123097A (en) 2007-11-16 2009-06-04 Nec Corp Property management system, portable terminal, server, and program
JP2015531508A (en) 2012-09-06 2015-11-02 トライアムファント, インコーポレイテッド System and method for automated memory and thread execution anomaly detection in computer networks
US20160224329A1 (en) 2015-01-30 2016-08-04 AppDynamics Inc. Automated software configuration management
JP2017016650A (en) 2015-06-23 2017-01-19 アボブ セキュリティー インコーポレイテッドAbove Security Inc. Method and system for detecting and identifying resource on computer network

Also Published As

Publication number Publication date
JP2020004127A (en) 2020-01-09

Similar Documents

Publication Publication Date Title
US11762986B2 (en) System for securing software containers with embedded agent
JP6224173B2 (en) Method and apparatus for dealing with malware
JP5972401B2 (en) Attack analysis system, linkage device, attack analysis linkage method, and program
CN106687971B (en) Automatic code locking to reduce attack surface of software
EP2860657B1 (en) Determining a security status of potentially malicious files
JP7537661B2 (en) Advanced Ransomware Detection
CN109561085A (en) A kind of auth method based on EIC equipment identification code, server and medium
WO2014145805A1 (en) System and method employing structured intelligence to verify and contain threats at endpoints
US9268492B2 (en) Network based management of protected data sets
US20130024944A1 (en) Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program
CN105760787A (en) System and method used for detecting malicious code of random access memory
JP7104574B2 (en) Computer asset management system and computer asset management method
US20230376591A1 (en) Method and apparatus for processing security events in container virtualization environment
KR20160099159A (en) Electronic system and method for detecting malicious code
CN109951527B (en) Virtualization system-oriented hypervisor integrity detection method
KR101320680B1 (en) Method and apparatus for integrity check of software
CN110677483B (en) Information processing system and trusted security management system
KR20180130631A (en) Vulnerability checking system based on cloud service
US12248408B2 (en) Information processing system
CN112395617A (en) Method and device for protecting docker escape vulnerability, storage medium and computer equipment
CN114697057B (en) Method, device and storage medium for acquiring layout script information
JP5814138B2 (en) Security setting system, security setting method and program
KR101218694B1 (en) Security management system and securuty management method for compute
JP6010672B2 (en) Security setting system, security setting method and program
US20220198012A1 (en) Method and System for Security Management on a Mobile Storage Device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220328

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220510

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220708

R150 Certificate of patent or registration of utility model

Ref document number: 7104574

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150