安全信息管理系统及安全信息管理方法

技术领域

本发明涉及安全信息管理系统及安全信息管理方法。

背景技术

以往，在具有信息系统资产的组织中，为了使稳定的组织活动持续进行，信息系 统资产的管理员(以下记述为系统管理员)收集并掌握与所属组织和管理对象的信息 系统资产的关联性较高的安全信息，以便在发现重大的威胁时能够迅速应对。

关于这样的安全信息，由安全研究机构和安全运营商等通过因特网上的信息提供 服务器等不断地公开新的信息。关于在因特网上公开的安全信息，例如公知有构成信 息系统的软件和硬件的安全方面的缺陷、有关其对策方法的信息等。

例如作为收集/提供安全信息的方法，例如公知有关于安全信息中的脆弱性信息 收集在因特网上的信息提供服务器中公开的脆弱性信息的方法(参照专利文献1)。 在该方法中，通过进行基于所收集的多个脆弱性信息的参照关系等关系性的汇集、所 汇集的脆弱性信息与系统管理员管理的信息系统资产的关联性的判定，系统管理员汇 集并提供应该优先浏览的脆弱性信息。

【现有技术文献】

【专利文献】

【专利文献1】日本专利第4935399号公报

发明内容

发明要解决的问题

但是，在上述的收集/提供安全信息的方法中，对于脆弱性信息以外的安全信息 不能判定关联性并提供给系统管理员。因此，存在如下问题：系统管理员有时不能容 易地收集与作为参照基准的参照源安全信息之间的关联性较高的安全信息。

例如，在将某个安全信息作为参照源安全信息、并以该参照源安全信息中包含的 关键词为线索使用在因特网上提供的检索引擎等进行收集的情况下，在系统管理员不 具备有关安全的知识时，将不能选择恰当的关键词，不能收集关联性较高的安全信息。

另外，在以该参照源安全信息中包含的关键词为线索使用在因特网上提供的检索 引擎等进行收集时，即使是系统管理员具备有关安全的知识的情况下，根据输入到检 索引擎的关键词，也会以混合存在许多关联性较低的安全信息和安全信息以外的一般 信息的状态，提示检索结果，判别关联性较高的安全信息需要许多功夫。

因此，本发明的目的在于，容易地收集与参照源安全信息之间的关联性较高的安 全信息。

用于解决问题的手段

为了解决上述问题并达到目的，本发明的安全信息管理系统的特征在于具有：收 集部，其收集有关安全的信息即安全信息；计算部，其参照按照每个属性存储有关所 述安全的关键词的安全辞典，从作为比较与所述安全信息之间的关联性的基准的参照 源安全信息中提取关键词，将该提取的关键词和由所述收集部收集的安全信息中包含 的关键词进行比较，来计算所述参照源安全信息和所述安全信息之间的关联度；以及 输出部，由所述计算部计算出的关联度越高的安全信息，越由该输出部优先输出。

另外，安全信息管理方法由安全信息管理装置执行，该安全信息管理方法的特征 在于包括：收集步骤，收集有关安全的信息即安全信息；计算步骤，参照按照每个属 性存储有关所述安全的关键词的安全辞典，从作为比较与所述安全信息之间的关联性 的基准的参照源安全信息中提取关键词，将该提取的关键词和通过所述收集步骤收集 的安全信息中包含的关键词进行比较，来计算所述参照源安全信息和所述安全信息之 间的关联度；以及输出步骤，通过所述计算步骤计算出的关联度越高的安全信息，在 该输出步骤中越优先输出。

发明效果

本发明公开的安全信息管理系统和安全信息管理方法能够容易收集与参照源安 全信息之间的关联性较高的安全信息。

附图说明

图1是示出第一实施方式的安全信息管理系统的结构的一例的图。

图2是示出通过第一实施方式的安全辞典存储部的安全辞典而提取的信息的一 例的图。

图3是示出通过第一实施方式的安全信息蓄积部存储的信息的一例的图。

图4是说明安全信息关联性计算部的脆弱性分数计算处理的一例的图。

图5是用于说明第一实施方式的安全信息管理装置的安全信息提供处理的流程 的流程图。

图6是示出执行安全信息管理程序的计算机的图。

具体实施方式

下面，参照附图详细说明本发明的安全信息管理系统及安全信息管理方法的实施 方式。另外，本发明不受该实施方式限定。

[第一实施方式]

在以下的实施方式中顺序地说明第一实施方式的安全信息管理系统及安全信息 管理方法的处理的流程，最后说明第一实施方式的效果。

[系统的结构]

首先，说明应用第一实施方式的安全信息管理装置的安全信息管理系统100的结 构的一例。图1是示出第一实施方式的安全信息管理系统的结构的一例的图。如图1 所示，应用第一实施方式的安全信息管理装置10的安全信息管理系统100具有安全 信息管理装置10、安全信息提供服务器20、和客户端终端30。并且，在安全信息管 理系统100中，安全信息管理装置10和安全信息提供服务器20通过因特网40相连 接。安全信息管理装置10通过输入输出接口部15与客户端终端30连接。

安全信息提供服务器20是公开安全信息的服务器。例如，安全信息提供服务器 20公开构成信息系统的软件和硬件的安全方面的缺陷(例如，有时表述为“脆弱性”、 “安全漏洞”等)、和有关其对策方法的文本信息(以下称为脆弱性信息)，作为安全信 息。

另外，例如作为安全信息，安全信息提供服务器20公开上述的安全方面的缺陷 的恶意使用技术(有时表述为“PoC(ProofofConcept：为观点提供证据)”、“利用 (Exploit)”等)、和有关其对策方法的文本信息。

此外，例如作为安全信息，安全信息提供服务器20公开使用上述的恶意使用技 术生成的、以对第三者的信息系统产生危害为目的的恶性程序(有时表述为“(计算 机)病毒”、“恶意软件”等)、和有关其对策方法的文本信息。

此外，例如作为安全信息，安全信息提供服务器20公开使用上述的恶性程序执 行的、对其它组织的信息系统的攻击(有时表述为“标的型攻击”、“APT(Advanced PersistentThreat：高持续性威胁)攻击”、“网站攻击”等)的新闻和事例相关的文本信息。

客户端终端30是便于系统管理员使用安全信息管理系统100而使用的、搭载了 标准的Web浏览器的PC等信息处理装置。另外，客户端终端30从安全信息管理装 置10接收与参照源的安全信息的关联性较高的安全信息，并显示该安全信息。

[安全信息管理装置的结构]

下面，说明图1所示的安全信息管理装置10的结构。如图1所示，安全信息管 理装置10具有安全信息收集部11、安全信息蓄积部12、安全辞典存储部13、安全 辞典管理部14、输入输出接口部15、和安全信息关联性计算部16。

安全信息收集部11收集有关安全的信息即安全信息。具体而言，安全信息收集 部11以规定的时间间隔定期访问安全信息提供服务器20并取得安全信息。这些安全 信息是作为HTML和PDF等一般的文档文件取得的。并且，安全信息收集部11将所 取得的文件加工成规定的格式，赋予追加信息，存储在安全信息蓄积部12中。另外， 安全信息收集部11在将所取得的文件加工成规定的格式时，参照安全辞典存储部13。

例如，安全信息收集部11提取文档文件的题目和正文，参照在安全辞典存储部 13中存储的安全辞典，提取该题目和正文中包含的关键词。安全信息收集部11设定 作为收集对象的安全信息提供服务器20的“URL列表”、系统管理员从每个安全信息 提供服务器20以不同格式提供的安全信息中提取需要的“题目”和“正文”用的“剪切位 置信息”、表示对安全信息提供服务器20进行收集的定时的“表示时刻和间隔的信 息”，作为设定信息。安全信息收集部11根据这些设定信息进行动作。其中，“剪切 位置信息”是按每个URL列表定义的信息。

例如，安全信息收集部11在利用设定信息指定的时刻，从利用URL列表指定的 安全信息提供服务器20，取得记载了安全信息的HTML文件和PDF等文档文件。并 且，安全信息收集部11根据“剪切位置信息”，从所取得的文件中提取该安全信息的“题 目”和“正文”。

然后，安全信息收集部11通过与安全辞典的比较，提取包含于所提取的“题目” 和“正文”中的关键词，将信息提供服务器的URL、收集文件的时刻、所提取的“题目” 和“正文”、所提取的所有关键词存储在安全信息蓄积部12中(以后使用图2详细说 明)。然后，安全信息收集部11反复进行上述的处理，一直到对所有的URL列表完 成处理为止。

安全信息蓄积部12保存从安全信息收集部11接收到的安全信息和追加信息。并 且，安全信息蓄积部12将安全信息关联性计算部16请求的安全信息发送给安全信息 关联性计算部16。并且，在安全信息蓄积部12中，作为安全信息的属性，按照脆弱 性的类别、产品或者服务的类别、产品的提供商或者服务的提供商的类别、国家或组 织的类别、或者服务器攻击的类别，登记了有关安全的关键词。

在此，使用图3的示例说明安全信息蓄积部12存储的信息例。图3是示出通过 第一实施方式的安全信息蓄积部存储的信息的一例的图。如图3所示，安全信息蓄积 部12对于每个安全信息，按照“脆弱性”、“产品/服务”、“产品/服务提供商”、“国家/ 组织名称”及“服务器攻击”的类别，存储由安全信息收集部11提取的关键词。

安全辞典存储部13存储在判定安全信息的关联性时参照的、有关安全领域的关 键词的集合。在安全辞典存储部13中存储了按照属性存储有关安全的关键词的安全 辞典，例如存储脆弱性辞典、产品/服务辞典、产品/服务提供商辞典、国家/组织名称 辞典、服务器攻击辞典，作为表示安全信息的特征的关键词的集合。

安全辞典存储部13例如存储缓存上溢、交叉网站脚本等作为脆弱性辞典(包括 相应同义词)，例如存储Windows(注册商标)7、WindowsServer2012、Twitter(注 册商标)等作为产品/服务辞典(包括相应同义词)，例如存储Microsoft(注册商标)、 Google(注册商标)等作为产品/服务提供商辞典(包括相应同义词)，例如存储中国、 韩国、众议院、企业名称等作为国家/组织名称辞典(包括相应同义词)，例如存储服 务器攻击、标的型攻击、标的型邮件、信息泄露、篡改等作为服务器攻击辞典(包括 相应同义词)。

另外，对各辞典集合的生成例进行说明。脆弱性辞典是通过专用的网络爬虫等收 集对脆弱性进行解释的在国内外的网站上刊载的关键词并进行登记而成的。另外，产 品/服务提供商辞典是通过专用的网络爬虫等将在提供脆弱性信息的国内外的网站上 登记的产品/服务提供商的名称作为关键词进行收集并登记而成的。另外，产品/服务 辞典是通过专用的网络爬虫等将在产品/服务提供商运营的产品介绍网站上登记的产 品/服务的名称和版本作为关键词进行收集并登记而成的。另外，国家/组织名称辞典 是通过专用的网络爬虫等收集国内外的官方政府机构、上市企业等的列表并进行登记 而成的。另外，服务器攻击辞典是通过专用的网络爬虫等收集对服务器攻击的各种手 段和方法进行解释的在国内外的网站上刊载的关键词并进行登记而成的。除上述以 外，也可以由系统管理员通过安全辞典管理部14手动登记。

在此，使用图2说明通过安全辞典存储部13的安全辞典而提取的信息的一例。 图2是示出通过第一实施方式的安全辞典存储部的安全辞典而提取的信息的一例的 图。如图2示例的那样，安全信息蓄积部12存储“从信息提供服务器(安全信息提 供服务器20)取得的安全信息的文件的URL”、“从信息提供服务器收集安全信息的 文件的时刻”、“题目”、“正文”和“关键词”，作为安全信息。“题目”、“正文”和“关键 词”是参照在安全辞典存储部13中存储的安全辞典从安全信息的文件中提取的信息。 另外，所提取的所有关键词根据各个安全辞典的分类进行存储。此外，在一个关键词 也没有提取出来的情况下，对应于关键词的“内容”被存储为空。

安全辞典管理部14对辞典中包含的有关安全领域的关键词进行追加、删除。例 如，安全辞典管理部14接受系统管理员的操作指示，对有关安全领域的关键词进行 追加、删除。

输入输出接口部15接收来自客户端终端30的请求，作为针对请求的答复，向客 户端终端30发送关联性判定的结果。具体而言，输入输出接口部15从系统管理员的 客户端终端30接收参照源安全信息、脆弱性分数的阈值、产品/服务分数的阈值、产 品/服务提供商分数的阈值、国家/组织名称分数的阈值、和服务器攻击分数的阈值， 并向安全信息关联性计算部16发送。

其中，脆弱性分数是指表示在使用“脆弱性辞典”比较参照源安全信息和在安全信 息蓄积部12中蓄积的各个安全信息时的关联性的数值。产品/服务分数是指表示在使 用“产品/服务辞典”比较参照源安全信息和在安全信息蓄积部12中蓄积的各个安全信 息时的关联性的数值。产品/服务提供商分数是指表示在使用“产品/服务提供商辞典” 比较参照源安全信息和在安全信息蓄积部12中蓄积的各个安全信息时的关联性的数 值。国家/组织名称分数是指表示在使用“国家/组织名称辞典”比较参照源安全信息和 在安全信息蓄积部12中蓄积的各个安全信息时的关联性的数值。服务器攻击分数是 指表示在使用“服务器攻击辞典”比较参照源安全信息和在安全信息蓄积部12中蓄积 的各个安全信息时的关联性的数值。

另外，脆弱性分数的阈值、产品/服务分数的阈值、产品/服务提供商分数的阈值、 国家/组织名称分数的阈值以及服务器攻击分数的阈值，是根据上述5种分数对参照 源安全信息和在安全信息蓄积部12中蓄积的各个安全信息判定关联性用的指标值。 将在安全信息蓄积部12中蓄积的安全信息中具有超过阈值的分数的安全信息，判定 为“与参照源安全信息具有关联性”。另外，各个阈值是由系统管理员对上述5种分数 分别独立设定的。例如，系统管理员从客户端终端30通过输入输出接口15向安全信 息关联性计算部16发送各个阈值。

也可以在参照源安全信息的输入中搭载如下的功能：显示出能够输入任意文本的 文本框，并让系统管理员输入。在参照源安全信息的输入中，也可以在客户端终端 30的浏览器画面中显示按钮，该按钮用于进行通过单击而向安全信息关联性计算部 16发送显示中的安全信息的操作。也可以在各个阈值的输入中搭载如下的功能：将 在分数计算式中可取的值显示为选项，并让系统管理员选择。

另外，在各个阈值的输入中也可以搭载如下的功能：预先设定标准的值，在没有 来自系统管理员的阈值输入的情况下，设为使用该标准的值，减轻系统管理员每次输 入阈值的操作负担。

另外，输入输出接口部15从安全信息关联性计算部16接收分数合计值，将表示 与参照源安全信息的关联性的5种分数全部超过所发送的阈值的安全信息，按照合计 值从高到低的顺序显示于客户端终端30。另外，也可以搭载如下的功能：在显示时， 利用安全信息具有的“从信息提供服务器取得的安全信息的文件的URL”、“从信息提 供服务器收集安全信息的文件的时刻”、使用了“安全信息的“题目”和“正文”中包含的 关键词”的文件，进一步圈定要显示的安全信息。也可以搭载如下的功能：在显示与 参照源安全信息的关联性较高的安全信息后，将所显示的结果以文本文件和PDF等 文档文件的形式输出到外部。

安全信息关联性计算部16参照按照属性存储有关安全的关键词的安全辞典存储 部13，从作为比较与安全信息之间的关联性的基准的参照源安全信息中提取关键词， 将该提取的关键词与由安全信息收集部11收集的安全信息中包含的关键词进行比 较，来计算参照源安全信息和安全信息之间的关联度。

安全信息关联性计算部16根据来自输入输出接口部15的请求，取得在安全信息 蓄积部12中存储的安全信息，并进行关联性判定。并且，安全信息关联性计算部16 将关联性判定结果通过输入输出接口部15发送给客户端终端30。由安全信息关联性 计算部16计算出的关联度越高的安全信息，越优先由输入输出接口部15向客户端终 端30输出。

例如，安全信息关联性计算部16通过输入输出接口部15从客户端终端30接收 作为比较与安全信息蓄积部12中的安全信息之间的关联性的基准的参照源安全信 息、脆弱性分数的阈值、产品/服务分数的阈值、产品/服务提供商分数的阈值、国家/ 组织名称分数的阈值、和服务器攻击分数的阈值，作为设定信息。

下面，说明安全信息关联性计算部16的具体的处理流程。安全信息关联性计算 部16参照安全辞典，按照脆弱性的类别、产品或服务的类别、产品提供商或服务提 供商的类别、国家或组织名称的类别、或者服务器攻击的类别，分别从参照源安全信 息中提取关键词。

并且，安全信息关联性计算部16将从参照源安全信息中提取的关键词、与在安 全信息蓄积部12中蓄积的各个安全信息的脆弱性关键词进行比较，并计算脆弱性分 数。具体而言，安全信息关联性计算部16参照安全辞典，按照脆弱性的类别、产品 或服务的类别、产品提供商或服务提供商的类别、国家或组织名称的类别、或者服务 器攻击的类别，分别从参照源安全信息中提取关键词，并将从参照源安全信息中提取 的关键词和由收集部收集的安全信息中包含的关键词分别进行比较，计算参照源安全 信息和安全信息的关联度。

在此，使用图4的示例说明安全信息关联性计算部16的脆弱性分数计算处理的 一例。图4是说明安全信息关联性计算部的脆弱性分数计算处理的一例的图。如图4 所示，首先安全信息关联性计算部16通过输入输出接口部15从客户端终端30接收 包括文本和正文的参照源安全信息。

然后，安全信息关联性计算部16例如从参照源安全信息中提取“缓存上溢”作为 脆弱性辞典中包含的关键词。并且，安全信息关联性计算部16将从参照源安全信息 中提取的关键词“缓存上溢”、和在安全信息蓄积部12中蓄积的安全信息A、B的脆 弱性关键词进行比较，计算脆弱性分数。

在图4的示例中，安全信息A的脆弱性关键词是“缓存上溢”，与从参照源安全信 息中提取的关键词一致，因而计算出安全信息A的脆弱性分数“a”。此外，安全信息 B的脆弱性关键词是“交叉网站脚本”，与从参照源安全信息中提取的关键词不一致， 因而计算出安全信息B的脆弱性分数“b”。安全信息A的脆弱性分数“a”是比安全信息 B的脆弱性分数“b”高的分数。例如，也可以根据一致的关键词个数计算分数。例如， 设安全信息A的脆弱性分数为“1”，设安全信息B的脆弱性分数为“0”。

另外，也可以使用商用/免费的机器学习库计算分数，能够分别进行特征向量化， 利用数值求出特征向量之间的相似度。通过使用该方法，也能够判定如关键词不完全 一致那样的具有相似关键词的安全信息彼此的相似度。

然后，安全信息关联性计算部16对“产品/服务辞典”同样计算产品/服务分数。并 且，安全信息关联性计算部16对“产品/服务提供商辞典”同样计算产品/服务提供商分数。

然后，安全信息关联性计算部16对“国家/组织名称辞典”同样计算国家/组织名称 分数。并且，安全信息关联性计算部16对“服务器攻击辞典”同样计算服务器攻击分 数。另外，也可以对各个分数设定加权。

并且，安全信息关联性计算部16合计分数。然后，安全信息关联性计算部16 按照分数的合计值从高到低的顺序，将安全信息蓄积部12的安全信息排序。但是， 在排序时，将具有至少一个低于上述5种阈值的分数的安全信息从排序对象中去除。

并且，安全信息关联性计算部16按照所排序的顺序，向输入输出接口部15发送 安全信息。另外，为了提高处理的速度，也可以对此时发送的安全信息的件数设定系 统的上限。

[安全信息管理装置的处理]

下面，使用图5说明第一实施方式的安全信息管理装置10的处理。图5是用于 说明第一实施方式的安全信息管理装置的安全信息提供处理的流程的流程图。

首先，使用图5说明第一实施方式的安全信息管理装置的安全信息提供处理的流 程。如图5所示，安全信息管理装置10的安全信息关联性计算部16在通过输入输出 接口部15从客户端终端30接收到参照源安全信息时(步骤S101)，安全信息关联性 计算部16从参照源安全信息中提取安全辞典中包含的关键词(步骤S102)。

然后，安全信息关联性计算部16将从参照源安全信息中提取的关键词、和在安 全信息蓄积部12中蓄积的各个安全信息的脆弱性关键词进行比较，并计算脆弱性分 数(步骤S103)。

安全信息关联性计算部16对“产品/服务辞典”，与步骤S103一样地计算产品/服 务分数(步骤S104)。并且，安全信息关联性计算部16对“产品/服务提供商辞典”， 与步骤S103一样地计算产品/服务提供商分数(步骤S105)。

然后，安全信息关联性计算部16对“国家/组织名称辞典”，与步骤S103一样地 计算国家/组织名称分数(步骤S106)。并且，安全信息关联性计算部16对“服务器攻 击辞典”，与步骤S103一样地计算服务器攻击分数(步骤S107)。

并且，安全信息关联性计算部16合计各个分数(步骤S108)。然后，安全信息 关联性计算部16按照分数的合计值从高到低的顺序，将安全信息蓄积部12的安全信 息排序(步骤S109)。但是，在排序时，将具有至少一个低于上述5种阈值的分数的 安全信息从排序对象中去除。

并且，安全信息关联性计算部16按照所排序的顺序，向输入输出接口部15发送 安全信息(步骤S110)。

[第一实施方式的效果]

如上所述，在第一实施方式的安全信息管理装置10中收集有关安全的信息即安 全信息。并且，安全信息管理装置10参照按照属性存储有关安全的关键词的安全辞 典，从作为比较与安全信息之间的关联性的基准的参照源安全信息中提取关键词，将 该提取的关键词和所收集的安全信息中包含的关键词进行比较，来计算参照源安全信 息和安全信息之间的关联度。并且，所计算出的关联度越高的安全信息，越由安全信 息管理装置10优先输出。因此，能够容易输出与参照源安全信息之间的关联性较高 的安全信息。

并且，在安全信息管理装置10中从安全信息提供服务器20以规定的时间间隔收 集包括安全信息的文件信息，提取该文件信息的题目和正文，并提取该题目和正文中 包含的关键词。安全信息管理装置10将所提取的题目和正文中包含的关键词和从参 照源安全信息中提取的关键词进行比较，并计算关联度。因此，能够将安全信息的题 目和正文中包含的关键词与从参照源安全信息中提取的关键词进行比较，并适当计算 关联度。

并且，在安全信息管理装置10中判定从参照源安全信息中提取的关键词和所收 集的安全信息中包含的关键词是否一致，在一致的情况下计算出比不一致的情况高的 关联度。因此，能够容易计算关联度。

并且，在安全信息管理装置10中，对计算出关联度的安全信息按照关联度从高 到低的顺序进行排序，并按照所排序的顺序输出安全信息。因此，能够容易理解地输 出与参照源安全信息的关联性较高的安全信息。

并且，在安全信息管理装置10中，作为安全信息的属性，按照脆弱性的类别、 产品或服务的类别、产品提供商或服务提供商的类别、国家或组织名称的类别、或者 服务器攻击的类别，在安全辞典中登记有关安全的关键词。并且，安全信息管理装置 10参照安全辞典，按照脆弱性的类别、产品或服务的类别、产品提供商或服务提供 商的类别、国家或组织名称的类别、或者服务器攻击的类别，从参照源安全信息中分 别提取关键词。因此，能够恰当地提取关键词。

并且，在安全信息管理装置10中参照安全辞典，按照脆弱性的类别、产品或服 务的类别、产品提供商或服务提供商的类别、国家或组织名称的类别、或者服务器攻 击的类别，从参照源安全信息中分别提取关键词，将从参照源安全信息中提取的关键 词和所收集的安全信息中包含的关键词分别进行比较，计算参照源安全信息和安全信 息之间的关联度。因此，能够容易计算关联度。

[系统结构等]

另外，图示的各个装置的各个构成要素是功能概念性的要素，在物理上不一定需 要按照图示构成。即，各个装置的分解/整合的具体方式不限于图示的方式，能够对 其全部或者一部分按照各种负载和使用状况等，以任意的单位进行功能性或者物理性 的分解/整合来构成。例如，也可以将安全信息收集部11和安全信息关联性计算部16 进行整合。另外，由各个装置执行的各个处理功能的全部或者任意一部分能够由CPU 以及在该CPU进行分析并执行的程序来实现，或者也可以作为基于有线逻辑的硬件 来实现。

另外，在本实施例中说明的各个处理中，作为自动进行的处理而说明的处理的全 部或者一部分也能够手动进行，或者作为手动进行的处理而说明的处理的全部或者一 部分也能够利用公知的方法自动进行。另外，关于在上述说明书中和附图中示出的处 理步骤、控制步骤、具体名称、包括各种数据和参数的信息，除特别注明的情况以外 能够任意变更。

[程序]

另外，也能够生成用计算机可以执行的语言记述在上述实施方式中说明的安全信 息管理装置10执行的处理的程序。例如，也能够生成用计算机可以执行的语言记述 第一实施方式的安全信息管理装置10执行的处理的安全信息管理程序。在这种情况 下，通过由计算机执行安全信息管理程序，能够得到与上述实施方式相同的效果。另 外，通过将该安全信息管理程序记录在计算机能够读取的记录介质中，使计算机读取 并执行被记录在该记录介质中的安全信息管理程序，也可以实现与上述第一实施方式 相同的处理。下面，说明执行用于实现与图1所示的安全信息管理装置10相同的功 能的安全信息管理程序的计算机的一例。

图6是示出执行安全信息管理程序的计算机1000的图。如图6所示，计算机1000 例如具有存储器1010、CPU1020、硬盘驱动接口1030、盘驱动接口1040、串行端口 接口1050、视频转换器1060、网络接口1070，这些各个部分通过总线1080相连接。

存储器1010如图6所示包括ROM(ReadOnlyMemory：只读存储器)1011和 RAM1012。ROM1011存储例如BIOS(BasicInputOutputSystem：基本输入输出系 统)等启动程序。硬盘驱动接口1030如图6所示，与硬盘驱动1031连接。盘驱动接 口1040如图6所示，与盘驱动1041连接。例如，将磁盘和光盘等可插拔的记录介质 插入盘驱动1041中。串行端口接口1050如图6所示，例如与鼠标1051、键盘1052 连接。视频转换器1060如图6所示，与例如显示器1061连接。

其中，如图6所示，硬盘驱动1031存储例如OS1091、应用程序1092、程序模 块1093、程序数据1094。即，将上述的安全信息管理程序作为记述了由计算机1000 执行的指令的程序模块，存储在例如硬盘驱动1031中。

另外，将在上述实施方式中说明的各种数据作为程序数据存储在例如存储器 1010和硬盘驱动1031中。并且，CPU1020根据需要将在存储器1010和硬盘驱动1031 中存储的程序模块1093和程序数据1094读出到RAM1012中，并执行各种处理步骤。

另外，安全信息管理程序的程序模块1093和程序数据1094不限于存储在硬盘驱 动1031中，例如也可以存储在可插拔的存储介质中，并通过盘驱动等由CPU1020 读出。或者，也可以将安全信息管理程序的程序模块1093和程序数据1094存储在通 过网络(LAN(LocalAreaNetwork：局域网)、WAN(WideAreaNetwork：广域网) 等)而连接的其它计算机中，并通过网络接口1070由CPU1020读出。

标号说明

10安全信息管理装置；11安全信息收集部；12安全信息蓄积部；13安全辞典存 储部；14安全辞典管理部；15输入输出接口部；16安全信息关联性计算部；20安全 信息提供服务器；30客户端终端；40因特网；100安全信息管理系统。