アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
【課題】 運用管理に依存することなく、未知の攻撃への対応も含め、十分に高いセキュリティ強度を実現する。
【解決手段】 第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、通用する通信プロトコルが第1の内部通信プロトコル群に制限された第1の内部通信路と、第1の内部通信路経由で受け取った第1の内部プロトコルデータ単位を、原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部とを備える。
【解決手段】 第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、通用する通信プロトコルが第1の内部通信プロトコル群に制限された第1の内部通信路と、第1の内部通信路経由で受け取った第1の内部プロトコルデータ単位を、原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はアクセス制御装置、アクセス制御方法およびアクセス制御プログラムに関し、例えば、不正侵入を防止するためのファイアウォール装置などに適用して好適なものである。
【背景技術】
【0002】
従来、企業などの組織内に配置されたコンピュータをインターネット等の外部ネットワークに接続する場合、外部からの不正な侵入を防止するためにファイアウォールを配置して組織内のコンピュータシステムのセキュリティを保つことが多い。
【0003】
ファイアウォールとは、インターネットなどの外部のネットワーク(WAN)と組織や家庭内のネットワーク(LAN)を接続するときなどのように、セキュリティポリシーの異なるネットワークを接続するときに、これらのネットワークの間に配置して、アクセスを制御するソフトウェア、あるいはハードウェアを指す。
【0004】
ファイアウォールの方式は、パケットフィルタリング方式、アプリケーションゲートウェイ方式、ステートフルインスペクション方式に大別される。
【0005】
パケットフィルタリング方式とは、パケットのIPヘッダやTCP(UDP)ヘッダに含まれる情報を元にフィルタリングを行う方式である。ヘッダ情報のみをチェックするのでフィルタリング処理にともなう遅延時間が短く、性能的に優れている。
【0006】
アプリケーションゲートウェイ方式は、プロキシ方式とも呼ばれ、パケットのデータ部分に含まれるアプリケーションプロトコルを解釈してフィルタリングを行う。この方式の場合、組織内のコンピュータと外部のコンピュータとの間は、直接TCP/IP接続されるのではなく、プロキシによって中継されるので、セキュリティ強度的には優れている。
【0007】
ステートフルインスペクション方式は、パケットフィルタリング方式と同様にネットワーク層やトランスポート層で動作するファイアウォールだが、パケットのデータ部分もチェックし、リクエストとレスポンスの整合性などを検査することによってフィルタリングを行うものである。一般に、ステートフルインスペクション方式は、アプリケーションゲートウェイ方式よりも高速に動作し、パケットフィルタリング方式よりもセキュリティ強度が高い。
【0008】
図2に、前記アプリケーションゲートウエイ方式のファイアウォール11を用いた通信システム9を示す。
【0009】
図2において、Webブラウザ10から外部のWebサーバ13にアクセスする場合、TCP/IPのHTTPプロトコルを用いる。ファイアウォール11では、内側(組織内)から外側(インターネット12側)へのHTTPのアクセスを実現するプロキシ11Aを動作させる。組織内のWebブラウザ10から組織外のWebサーバ13へアクセスするとき、ファイアウォール11のプロキシ11AがHTTPプロトコルの中継を行い、Webブラウザ10に所望のWebページを画面表示させることが可能である。
【0010】
このプロキシ11Aでは、外側からのアクセスは受け付けないようにしてあるため、インターネット12上のクラッカが操作するパソコン14から前記組織の内部のコンピュータにアクセスしようとしても、遮断され、アクセスすることができない。また、HTTP以外のTCP/IP接続はルーティングしない設定になっているので、組織内への不正なアクセスは防止可能である。
【発明の開示】
【発明が解決しようとする課題】
【0011】
ところが、上述したファイアウォール11にセキュリティホールが存在する場合、図3に示すように、当該セキュリティホールを突いたパソコン14からの攻撃(S10)により、ファイアウォール11の管理者権限が奪取されてファイアウォール11自体がクラッカに乗っ取られ(S11)、当該ファイアウォール11を踏み台にして組織(LAN)の内部に配置されている各コンピュータに対する不正アクセスが実行される(S12)ことが起こり得る。前記セキュリティホールを塞ぐための迅速なセキュリティパッチ(修正版プログラム)の適用など、適切な対応を迅速に実行すれば、ファイアウォール11のセキュリティ強度を十分に高めることが可能であるが、そのような高いセキュリティ強度を維持しつづけることは、運用管理のための多大な手数を必要とし、必ずしも常に十分なセキュリティ強度を維持できるとは限らない。
【0012】
また、セキュリティホールが発見され公開される前に、そのセキュリティホールを突いた攻撃が実行される可能性もあるが、このようなケースでは、運用管理にどれだけ多大な手数をかけても攻撃を防ぐことは難しい。
【0013】
インターネット上やLAN内などで広く用いられるTCP/IPプロトコルの分野では、多種多様なセキュリティ対策の技術の蓄積があるが、その一方で、それと同程度に、多種多様な不正アクセスのための攻撃技術の蓄積もあり、多くのクラッカがそのような攻撃技術を駆使して攻撃を試みる。このため、いったん、ファイアウォール11が乗っ取られてしまうと、クラッカが駆使する攻撃技術によって組織の内部のコンピュータが多大な被害を被る可能性が高い。特に、前記組織が金融機関など、求められる信用レベルの高い組織である場合、不正アクセスによって個人情報の流出やサービス停止などの被害が発生すれば、大きな損失につながる。
【0014】
したがって、未知の攻撃に耐えられ、運用管理にそれほど多大な手数をかけなくても、ファイアウォール自体のセキュリティ強度を十分に高くできることが求められる。
【課題を解決するための手段】
【0015】
かかる課題を解決するために、第1の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報(例えば、宛先ポート番号)を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部(例えば、プロキシ部23A)と、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路と、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部とを備えたことを特徴とする。
【0016】
また、第2の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、当該変換の前後または変換の過程で、前記原プロトコルデータ単位を用いた不正アクセスを検出し、検出結果を不正アクセス管理部に通知する不正アクセス検出部と、前記第1の変換処理部自体の動作、第1の変換処理部と前記第1の通信ネットワークのあいだの通信、第1の変換処理部と第1の内部通信路のあいだの通信のうち、少なくともいずれか1つを強制的に停止する強制停止を実行する機能を持つ制御機能部と、前記不正アクセス検出部から不正アクセスを検出した旨の通知を受けると、前記制御機能部に、前記強制停止を実行させる不正アクセス管理部とを備えたことを特徴とする。
【0017】
さらに、第3の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御方法において、第1の変換処理部が、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換し、この変換によって得られた第1の内部プロトコルデータ単位を、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路に伝送させ、第2の変換処理部が、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出することを特徴とする。
【0018】
さらにまた、第4の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されて機能するアクセス制御プログラムにおいて、コンピュータに、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理機能と、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路機能と、当該第1の内部通信路機能経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理機能とを実現させることを特徴とする。
【発明の効果】
【0019】
本発明によれば、未知の攻撃に耐えられ、運用管理に依存することもなく、十分に高いセキュリティ強度を実現することができる。
【発明を実施するための最良の形態】
【0020】
(A)実施形態
以下、本発明にかかるアクセス制御装置、アクセス制御方法およびアクセス制御プログラムの実施形態について説明する。
【0021】
(A−1)第1の実施形態の構成
本実施形態にかかる通信システム20の全体構成例を図1に示す。なお、当該通信システム20中に、図示しないサーバ類(例えば、DNSサーバやDHCPサーバなど)が存在していてもよいことは当然である。
【0022】
図1において、当該通信システム20は、ネットワーク21,22と、FW用コンピュータ23,24と、Webサーバ25,27と、パソコン26,28と、アクセス制御用通信路29とを備えている。
【0023】
このうちネットワーク21はWANなど、比較的セキュリティレベルの低い範囲を指し、ネットワーク22はLANなど比較的セキュリティレベルの高い範囲を指す。具体的には、例えば、前記ネットワーク21はインターネット、ネットワーク22は金融機関などの組織の内部に構築されたLANであってよい。
【0024】
ネットワーク21上にはWebサーバ25やパソコン26などが存在する。パソコン26を利用するユーザU2は、不正アクセスを試みるクラッカである。ネットワーク22上にはWebサーバ27やパソコン28などが存在する。パソコン28を利用するユーザU1は前記金融機関の社員などで、パソコン28を利用してネットワーク22内のWebサーバ27やネットワーク21上のWebサーバ25などにアクセスする正当なユーザである。当該パソコン28には、WebブラウザBR1が搭載されているものとする。
【0025】
アクセス制御用通信路29を介して接続された2台のFW用コンピュータ23、24と当該アクセス制御用通信路29によって、論理的に1つのファイアウォール(FW)装置30が構成される。
【0026】
FW用コンピュータ23は、プロキシ部23Aと、NIC(ネットワークインタフェースカード)部23Bとを備え、FW用コンピュータ24は、プロキシ部24Aと、NIC部24Bとを備えている。
【0027】
ここで、NIC部23Bは、FW用コンピュータ23をTCP/IPプロトコルが通用するネットワーク21に接続するためのインタフェースカードである。OSI参照モデルの物理層、データリンク層の通信プロトコルが当該NIC部23Bによって処理されるものであってよい。そのほか、当該FW用コンピュータ23内では、後述するOSなどが、ネットワーク層やトランスポート層の通信プロトコルを処理する機能を備えている。パケットフィルタリングなど従来のファイアウォールが持つ機能が、当該OSに含まれていてもよい。
【0028】
ネットワーク21がインターネットであれば、当該ネットワーク層の通信プロトコルはIPプロトコルである。また、ネットワーク層がIPプロトコルである場合、データリンク層はIEEE802.3(イーサネット(登録商標))などであることが多い。物理層には有線通信用、無線通信用の様々な通信プロトコルを使用可能である。
【0029】
プロキシ部23Aは、代理応答の機能を持つソフトウエア(ゲートウエイプログラム)の本体で、Webサーバ25に対しWebブラウザと同様なインタフェースを提供する。FW用コンピュータ23内において、当該プロキシ部23Aはアプリケーションプログラムの1つであると見ることができ、ネットワーク21側からネットワーク22側へ届けられるパケットPK1のうち、OSI参照モデルにおけるトランスポート層の通信プロトコルである例えばTCPやUDPの宛先ポート番号として、当該プロキシ部23Aを指定する値を持つパケットのみがFW用コンピュータ23内でプロキシ部23Aに渡される。
【0030】
パケットPK1が宛先ポート番号としてその他の値を持つ場合、プロキシ部23Aを経由しないので、アクセス制御用通信路29に到達しない。また、プロキシ部23Aにおける処理を経なければ、パケットPK1はアクセス制御用通信路29を正常に通過することはできない。
【0031】
アクセス制御用通信路29では、インターネット上で広く用いられるTCP/IPとは異なる通信プロトコルのみが使用される。このような通信プロトコルとして専用の通信プロトコルを用意してもかまわないが、ここでは、限られた局面でのみ利用される一般的な通信プロトコルである局所一般通信プロトコル(物理層の例では、RS−232C、IEEE1394など)を用いるものとする。
【0032】
上述したように、TCP/IPプロトコルの分野では、多種多様なセキュリティ対策の技術の蓄積がある一方で、それと同程度に、多種多様な不正アクセスのための攻撃技術の蓄積もあり、多くのクラッカがそのような攻撃技術を駆使して攻撃を試みることができるが、局所一般通信プロトコル等では、そのような攻撃技術そのものがほとんど存在しないか、存在したとしても広く知られてはいないため、クラッカによる攻撃を阻むことが可能である。
【0033】
前記アクセス制御用通信路29自体は伝送のための構成要素なので、OSI参照モデルのトランスポート層以下の階層に属する通信プロトコルの処理を実行する。
【0034】
このトランスポート層以下の階層に属する局所一般通信プロトコルに適合するように、トランスポート層より上位の階層であるプレゼンテーション層やアプリケーション層などの通信プロトコルを処理するのが、プロキシ部23A、24Aの役割である。プロキシ部23A、24Aの機能の詳細については後述する。
【0035】
前記アクセス制御用通信路29内に配置され、OSI参照モデルの下位の階層の通信プロトコルを処理するプロトコル処理モジュール(図示せず)は上位の階層の通信プロトコルのトラフィックを透過的に通過させる性質を持つことが必要であるため、トランスポート層以下の下位の階層のセキュリティ強度をアクセス制御用通信路29によって確保したとしても、プレゼンテーション層やアプリケーション層など上位の階層のセキュリティ強度はそれぞれ独立に、前記プロキシ部23A、24Aによって確保することが必要である。
【0036】
結局、セキュリティ強度を高めるためには、最下位の物理層から最上位のアプリケーション層に及ぶすべての階層で、TCP/IPプロトコルとは異なる前記局所一般通信プロトコル等を用いることが望ましい。例えば、物理層やデータリンク層だけ前記局所一般通信プロトコルを使用したとしても、より上位のアプリケーション層などでTCP/IPプロトコル(例えば、HTTPプロトコル)をそのまま利用すれば、TCP/IPプロトコルの分野で広く知られた攻撃技術の使用を許してしまう可能性が高いからである。
【0037】
「TCP/IP」には狭義と広義があり、狭義では、TCPとIPを指すが、広義では、TCPやIPを含め、インターネット上で標準的に使用されるプロトコル全般を指す。したがって広義のTCP/IPには、例えば、HTTP、SMTP、FTPなども含まれる。以下では、「TCP/IP」の語はすべてこの広義のものとして用いる。
【0038】
なお、OSI参照モデルは、7つの階層からなるプロトコル体系であるため、OSI参照モデルに忠実な実装を行うと、プロトコル処理モジュールを各階層ごとに1つずつ、合計7つ用意しなければならないが、必要に応じて、複数の階層を1つのプロトコル処理モジュールで処理するようにしてもかまわない。例えば、アプリケーション層、プレゼンテーション層、およびセッション層を1つのプロトコル処理モジュールによって処理するようにしてもよい。これは、周知のTCP/IPプロトコル体系に合わせた構成であり、この場合、前記プロキシ部23Aは1つのプロトコル処理モジュールによって構成されることになる。
【0039】
前記プロキシ部23AはWebのためのHTTPプロトコルを処理するためのプロキシであるが、通常、プロキシ部は通信プロトコルごとに必要である。したがって、他の通信プロトコル(例えば、FTPなど)を処理する場合には、そのためのプロキシ部をFW用コンピュータ23に搭載する必要がある。必要に応じて、1つのプロキシ部で特定の複数の通信プロトコルを処理するようにしてもよい。いずれにしても、予め用意してあるプロキシ部(ここでは、23A)が対応できる特定の通信プロトコルしか処理することができないため、ネットワーク22側の前記組織が必要とする通信プロトコルに対応するプロキシ部のみを用意するようにしておけば、その他の通信プロトコルを用いて不正アクセスが行われることを防止できる。
【0040】
本実施形態のプロキシ部23Aの特徴は、宛先ポート番号として自身を指定する値を持つパケットPK1を受信した場合、前記局所一般通信プロトコルに適合するプロトコルデータ単位(PDU)である内部パケットPK11に変換(変換処理)した上で、前記アクセス制御用通信路29に供給する点にある。
【0041】
通信の内容が定型データのみである場合などには、変換処理の前または後、あるいは、この変換処理の過程で、予め定めたフォーマットに変換することにより、不正アクセスを許す可能性のあるデータの混入を排除することが好ましい。このフォーマットには、利用され得る攻撃技術に応じて様々なものがあり得るが、一例として、バッファオーバーフロー攻撃の対策の場合、1パケットの最大サイズ(例えば、ペイロード部の最大サイズ)を、バッファオーバーフロー現象を発生させることのできない所定値以下のものに制限することをもって当該フォーマットとしてもよい。起こり得る複数の攻撃に対応するため、同時に複数の条件に適合するように、当該フォーマットを定めてよいことは当然である。
【0042】
前記アクセス制御用通信路29を介してこの内部パケットPK11を受け取ったプロキシ部24Aは、当該内部パケットPK11を、TCP/IPプロトコルに適合したパケットPK1に復元(復元処理)してNIC部24Bからネットワーク22へ送出する。
【0043】
ここで、NIC部24Bは、FW用コンピュータ24をTCP/IPプロトコルが通用するネットワーク22に接続するためのインタフェースカードである。
【0044】
すなわち、本実施形態では、LANであるネットワーク22内でも、通常のTCP/IPプロトコルが使用されることを前提としている。したがってネットワーク22はTCP/IPプロトコルが使用される点で前記ネットワーク21と同じであるが、金融機関などの内部に構築されたネットワークであるため、インターネットなどに対応するネットワーク21に比べ、高いセキュリティレベルを維持する必要がある。
【0045】
なお、ネットワーク22内のパソコン28が、パケットPK2を送信してネットワーク21上のWebサーバ25などにアクセスすることも許す場合、プロキシ部24Aで前記変換処理、プロキシ部23Aで前記復元処理を実行した上で、この復元処理によって得られたパケットPK2をNIC部23Bを介してネットワーク21に送出する構成を取ることが望ましい。また、Webサーバ27を外部に公開する場合などには、ネットワーク21上の正当なユーザのパソコンからのリクエストメッセージ(パケット)に応じたレスポンスメッセージ(パケット)を、Webサーバ27から送信する必要があるが、その場合には、Webサーバ27が送信したパケットに対し、プロキシ部24Aによる前記変換処理と、プロキシ部23Aによる前記復元処理を実行することになる。
【0046】
これにより、ネットワーク22内のパソコン28などから外部にあるネットワーク21上のコンピュータを攻撃すること等によって、ネットワーク22を持つ組織の社会的信用が失墜することを防止することができる。
【0047】
ただし、別な方法で、ネットワーク22内のセキュリティレベルを高く維持できる場合などには、ネットワーク22からネットワーク21へ向かう外向きのパケットの変換処理や復元処理は、ネットワーク21からネットワーク22へ向かう内向きのパケットの変換処理や復元処理に比べて、処理量の少ない簡易なものとしてもよい。これにより、変換処理や復元処理自体によるセキュリティ強度は低減するが、FW用コンピュータ23,24の処理能力にかかる負荷を軽減できる。
【0048】
アクセス制御用通信路29(に設けられるプロトコル処理モジュール)は、前記局所一般通信プロトコルに対応していないパケットPK1が届いた場合、その処理を拒否するように構成しておくとよい。
【0049】
なお、前記FW用コンピュータ23と24はそれぞれ別個のコンピュータであるから、それぞれ、CPU(中央処理装置)、半導体メモリなどの主記憶装置、ハードディスク等の補助記憶装置などの図示しないハードウエア構成要素、セキュアOS(セキュアオペレーティングシステム)、ミドルウエア、アプリケーションソフトウエア等のソフトウエア構成要素を備えていることは当然である。
【0050】
以下、上記のような構成を有する本実施形態の動作について図4および図5を用いて説明する。
【0051】
図4は、通常時にパケットの流れる経路を示している。ただし図4では、NIC部23B、24Bや、ネットワーク22など、いくつかの構成要素は省略している。
【0052】
図5は、クラッカU2による攻撃が行われたときの動作を示す概略図で、S20〜S22の各ステップを備えている。
【0053】
(A−2)第1の実施形態の動作
図4に示すように、通常、前記ネットワーク22内のパソコン28に搭載されたWebブラウザBR1を利用することによって、ユーザU1が外部のネットワーク21上にあるWebサーバ25へアクセスする場合、HTTPリクエストメッセージを収容したパケットPK2がWebブラウザBR1を搭載したパソコン28から送信され、このパケットPK2は、前記ネットワーク22上のルータ(図示せず)などを経由してFW用コンピュータ24に受信される。
【0054】
HTTPリクエストメッセージである以上、通常、そのパケットPK2に含まれるTCPヘッダ中の宛先ポート番号には、HTTPのウエルノウンポート番号である80番が、宛先ポート番号として記述されている。この80番に基づいて、FW用コンピュータ24は当該パケットPK2の内容(ペイロード部)をプロキシ部24Aに供給し、当該プロキシ部24Aで前記変換処理を実行して、変換処理の結果を含むパケットPK21を生成する。当該パケットPK21は、前記パケットPK11に対応する。この変換処理の際に、上述した予め定めたフォーマットに変換するようにすれば、ユーザU1がネットワーク21上のコンピュータを攻撃しようとしたり、パソコン28がコンピュータウイルスに感染してネットワーク21上のコンピュータを攻撃したりする場合であっても、その攻撃を阻止することが可能である。なお、必要ならば、セキュリティ性に配慮し、HTTPのポート番号として前記80番以外の値を用いてもよいことは当然である。
【0055】
当該変換処理で生成されたパケットPK21は、アクセス制御用通信路29を介してFW用コンピュータ24から23へ伝送され、FW用コンピュータ23内でプロキシ部23Aへ供給される。プロキシ部23Aでは、前記復元処理が実行されて、元のパケットPK2が生成される。
【0056】
このパケットPK2はFW用コンピュータ23からネットワーク21へ送出されると、ネットワーク21上のルータ(図示せず)などに中継されて、Webサーバ25に届けられる。
【0057】
このパケットPK2に収容されていたHTTPリクエストメッセージを受け取ると、前記Webサーバ25は、対応するHTTPレスポンスメッセージを生成し、当該HTTPレスポンスメッセージを収容したパケットPK1をネットワーク21に送出する。このあと、当該パケットPK1は、ネットワーク21上のルータなどに中継されてFW用コンピュータ23まで届けられる。
【0058】
前記パケットPK2をネットワーク21に送出する時点で、FW用コンピュータ23のOSなどが、当該パケットPK2に含まれるTCPヘッダ中の送信元ポート番号として、プロキシ部23Aを指定する番号を設定するので、Webサーバ25から返送されてきた当該パケットPK1をプロキシ部23Aに供給することができる。
【0059】
パケットPK1の内容を受け取ったプロキシ部23Aは、前記変換処理を実行し、変換処理の結果を含む前記パケットPK11を生成する。生成された当該パケットPK11は、前記アクセス制御用通信路29を介してFW用コンピュータ24まで届けられ、FW用コンピュータ24内でプロキシ部24Aに供給される。このパケットPK11の内容を受け取ったプロキシ部24Aでは、前記復号処理を実行し、復号処理の結果を含む前記パケットPK1をネットワーク22に送出することにより、パソコン28まで届ける。
【0060】
パソコン28内では、当該パケットPK1に含まれているHTTPレスポンスメッセージの内容に応じて、例えば、Webページの画面表示などを行う。
【0061】
このようにWebブラウザBR1とWebサーバ25のあいだで、メッセージのやり取りが行われるたびに、そのメッセージを収容したパケットPK2,PK1が、プロキシ部24Aによる変換処理や復元処理、およびプロキシ部23Aによる復元処理や変換処理を経て、前記アクセス制御用通信路29を介した通信が実行される。
【0062】
ここで、図5に示すように、ネットワーク21上のクラッカU2がパソコン26を利用して、セキュリティホールを突いた攻撃を行うため不正にパケット(これもPK1とする)を送り付けることによって、FW用コンピュータ23および24の乗っ取りを試みるものとする(S20)。
【0063】
FW用コンピュータ23の運用管理が適切に行われていて、新しく発見されたセキュリティホールなどが完全に塞がれている場合、このような攻撃が成功することはほとんどないが、少なくとも一時的に運用管理が適切に行えないケースや、全く新しい未知の攻撃が成されたケースなどでは、攻撃が成功し、FW用コンピュータ23Aの管理者権限が奪取され、乗っ取られることが起こり得る(S21)。
【0064】
しかしながら、本実施形態では、このようなケースでも、プロキシ部23Aによる変換処理とアクセス制御用通信路29による前記局所一般通信プロトコルによる通信を経なければ、さらに内部のFW用コンピュータ24にアクセスすることができない。そして、プロキシ部23Aによる変換処理では、アプリケーション層からセッション層にあたるTCP/IPプロトコルを用いた攻撃が阻止され、アクセス制御用通信路29では、トランスポート層から物理層にあたる通信プロトコルを用いた攻撃が阻止される。
【0065】
例えば、クラッカU2がパソコン26を操作して所定値以上に長いペイロード部を持つIPパケットを送り付け、FW用コンピュータ24Aが搭載した前記主記憶装置の記憶領域内に予めバッファとして確保されている特定の領域をオーバーフローさせるバッファオーバーフロー現象を起こすことにより、FW用コンピュータ24のサービス停止や乗っ取りを狙うバッファオーバーフロー攻撃を試みたとしても、プロキシ部23Aの変換処理で前記フォーマットへの変換が行われた結果、前記パケットPK11の1パケット当たりのペイロード部の最大サイズが所定値以下に制限されると、前記バッファオーバーフロー現象を起こすことができないため、バッファオーバーフロー攻撃は阻止される。
【0066】
この場合、FW用コンピュータ24の運用管理が適切に行われておらず、FW用コンピュータ24にバッファオーバーフロー攻撃が可能なセキュリティホールが残っていたとしても、内部にあるFW用コンピュータ24は乗っ取ることができない。クラッカU2がFW用コンピュータ23を乗っ取ったとしても、アクセス制御用通信路29では前記局所一般通信プロトコルしか通用しないので、クラッカU2がFW用コンピュータ24へのアクセス方法を知ることは容易ではないからである。また、FW用コンピュータ24(プロキシ部24A)は、プロキシ部23Aで前記変換処理の際に獲得される特定のフォーマットのパケットしか受け取らないからである。
【0067】
結局、クラッカU2は、FW用コンピュータ23および24によって構成される論理的なファイアウォール装置30を越えて内部に侵入することはできない。したがって、前記WebブラウザBR1を搭載したパソコン28,Webサーバ27など、ネットワーク22内に含まれる各種コンピュータは、クラッカU2からの攻撃を受けることがない。これにより、例えば、ネットワーク22内のデータベース(図示せず)に蓄積された顧客などの個人情報がFW用コンピュータ24,23経由でクラッカU2に盗まれることによって流出することを完全に防止できる。
【0068】
また、クラッカU2がFW用コンピュータ23の機能を停止させれば、ネットワーク22内のパソコン28などから、FW用コンピュータ24および23を経由してネットワーク21上のWebサーバ25にアクセスすること等はできなくなるものの、ネットワーク22内のコンピュータ(例えば、28,27など)を利用して、当該組織が顧客に提供しているサービスなどは支障無く継続することができるので、被害は小さい。
【0069】
以上の点は、クラッカU2が、バッファオーバーフロー以外のTCP/IPプロトコルの分野で用いられる攻撃技術を使用した場合でも同様である。
【0070】
(A−3)第1の実施形態の効果
本実施形態によれば、ファイアウォール装置(30)において、運用管理に依存することなく、十分に高いセキュリティ強度を実現することができる。
【0071】
(B)第2の実施形態
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。
【0072】
(B−1)第2の実施形態の構成および動作
本実施形態の通信システム43の構成例を図6に示す。
【0073】
図6において、図1と同じ符号を付与した各構成要素の機能は第1の実施形態と基本的に同じであるので、その詳しい説明は省略する。なお、FW用コンピュータ41が備えるNIC部41Bの機能は、前記NIC部24Bに対応している。
【0074】
本実施形態の通信システム43は、3台のFW用コンピュータ23,24,41を2つのアクセス制御用通信路29,42で直列に接続することによって構成されている。本実施形態ではこの3台のFW用コンピュータ23,24,41と2つのアクセス制御用通信路29,42によって、論理的に1つのファイアウォール装置40が構成される。
【0075】
図6を図1と対比すれば明らかなように、通信システム43は、第1の実施形態におけるFW用コンピュータ24のNIC部24Bを、アクセス制御用通信路42およびFW用コンピュータ41で置き換えたものとみることもできる。
【0076】
2つのアクセス制御用通信路29,42で用いられる局所一般通信プロトコルは、同じものにすることもできるが、セキュリティ強度を高めるには、異なるものとするほうが望ましい。なお、2つのアクセス制御用通信路29,42で用いられる局所一般通信プロトコルが同じものである場合には、プロキシ部24Aは変換処理や復元処理を行わず、単に、透過的な中継を行うだけであってもよい。
【0077】
外向きのパケットPK2の中継では、プロキシ部41Aが変換処理を行い、プロキシ部24Aが復元処理と変換処理を行い、プロキシ部23Aが復元処理を行うことになる。この場合、プロキシ部41Aが行う変換処理とプロキシ部24Aが行う復元処理は対応した処理であることが必要であり、プロキシ部24Aが行う変換処理とプロキシ部23Aが行う復元処理は対応した処理であることが必要である。
【0078】
プロキシ部41Aが行う変換処理とプロキシ部24Aが行う変換処理は、同じ処理とすることもでき、異なる処理とすることもできるが、セキュリティ強度向上の観点では、異なる処理としたほうが有利である。
【0079】
なお、内向きのパケットPK1を中継するときには、プロキシ部23Aで変換処理、プロキシ部24Aで復元処理と変換処理、プロキシ部41Aで復元処理がそれぞれ行われることになるが、その他の点は、外向きのパケットPK2を中継する場合と同様である。
【0080】
本実施形態の場合、クラッカU2は、FW用コンピュータ23から24へ侵入し、さらに、FW用コンピュータ41に侵入することに成功しなければ、FW用コンピュータ41のNIC部41Bに接続されている前記ネットワーク22内のコンピュータ(例えば、27,28)を攻撃することができないので、セキュリティ強度は、第1の実施形態のファイアウォール装置30よりも高いといえる。
【0081】
(B−2)第2の実施形態の効果
本実施形態によれば、第1の実施形態の効果と同等な効果を得ることができる。
【0082】
加えて、本実施形態では、ファイアウォール装置(40)で、第1の実施形態よりも高いセキュリティ強度を実現することが可能である。
【0083】
(C)第3の実施形態
以下では、本実施形態が第1、第2の実施形態と相違する点についてのみ説明する。
【0084】
(C−1)第3の実施形態の構成および動作
本実施形態の通信システム61の構成例を図8に示す。
【0085】
図8において、図1と同じ符号を付与した各構成要素の機能は第1の実施形態と基本的に同じであるので、その詳しい説明は省略する。なお、図8上では、プロキシ部23Aと24Aが省略されているが、アクセス制御用通信路29を有する以上、プロキシ部23A、24Aが存在することは当然である。
【0086】
外側のFW用コンピュータ23は、パケットPK1内のコンピュータウイルス(ワームやトロイの木馬なども含む)をリアルタイムで検出または駆除する機能を持つアンチウイルスエージェント部23Fを備えている。
【0087】
内側のFW用コンピュータ24は、当該アンチウイルスエージェント部23Fを管理する機能を持つアンチウイルスマネージャ部24Fを備えている。
【0088】
アンチウイルスエージェント部23Fが、外側のFW用コンピュータ23上でコンピュータウイルスを検出したものの駆除することができなかった場合に、その事実をアンチウイルスマネージャ部24Fに通知(ウイルス検出通知)する。ウイルス検出通知は、アクセス制御用通信路29を介して実行するようにしてもよいが、アクセス制御用通信路29とは別個に、ウイルス検出通知のための伝送路を用意してある場合には、その伝送路を介して実行するとよい。
【0089】
なお、必要に応じて、アンチウイルスエージェント部23Fには駆除の機能を持たせず、コンピュータウイルスを検出した時点で直ちに前記ウイルス検出通知を行うようにしてもよい。
【0090】
いずれにしても、このウイルス検出通知を受けた時点で、すでにコンピュータウイルスの感染動作など(感染範囲の拡大や他のコンピュータへのDoS攻撃なども含む)による悪影響が外側のFW用コンピュータ23内で発生している可能性があるため、当該ウイルス検出通知を受けると、アンチウイルスマネージャ部24Fは直ちに、他コンピュータ制御部24Gにその旨を通知(緊急通知)する。
【0091】
この緊急通知を受け取ると、他コンピュータ制御部24Gは、アクセス制御用通信路29の動作を停止するとともに、制御路63を介して制御装置62にシャットダウン指示を供給してシャットダウンを指示する。制御路63は、前記アクセス制御用通信路29とは物理的に別個の伝送路である。前記ウイルス検出通知が届いた以上、アクセス制御用通信路29なども、前記コンピュータウイルスの感染動作の影響によって正常に動作しない可能性があるため、アクセス制御用通信路29とは別個に設けた制御路63を用いてシャットダウンの指示を行う。制御路63の物理的、論理的な構造としては様々なものを用いることができる可能性があるが、一例として、通常のシリアルケーブルを用いてもよい。
【0092】
制御装置62は、上述した外側のFW用コンピュータ23のCPUまたは、当該CPUに対して最優先の割り込み要求を出すことのできる装置である。
【0093】
いずれにしても、当該制御装置62が前記他コンピュータ制御部24Gからシャットダウン指示を受け取ると、直ちにFW用コンピュータ23をシャットダウンして、前記コンピュータウイルスの感染動作などを強制的に停止させ、感染動作などによる悪影響が及ぶ範囲や悪影響の程度を最小限度に制限する。このシャットダウンは、FW用コンピュータ23に搭載されているOS(オペレーティングシステム)が前記感染動作によって正常に動作しない状態になっていても、強制的に実行できることが必要である。
【0094】
(C−2)第3の実施形態の効果
本実施形態によれば、第1の実施形態の効果と同等な効果を得ることができる。
【0095】
加えて、本実施形態では、ウイルス検出通知が出されると、外側のFW用コンピュータ(23)を強制的にシャットダウンして、前記コンピュータウイルスの感染動作などを強制的に停止させ、感染動作などによる悪影響が及ぶ範囲や悪影響の程度を最小限度に制限できるため、セキュリティ強度が高まる。
【0096】
(D)第4の実施形態
以下では、本実施形態が第1〜第3の実施形態と相違する点についてのみ説明する。
【0097】
第1〜第3の実施形態のなかでは、第3の実施形態が最も本実施形態に近い。
【0098】
(D−1)第4の実施形態の構成および動作
本実施形態の通信システム71の構成例を図9に示す。
【0099】
図9において、図8と同じ符号を付与した各構成要素の機能は第3の実施形態と基本的に同じであるので、その詳しい説明は省略する。
【0100】
ネットワーク機器72はパケットPK1などを中継する中継装置で、具体的には、例えば、ルータやレイヤ2スイッチなどにあたる。ネットワーク21上には多数のネットワーク機器が存在するが、当該ネットワーク機器72は、これら多数のネットワーク機器のなかで最もFW用コンピュータ23に近い機器で、FW用コンピュータ23は、当該ネットワーク機器72を経由せずにネットワーク21上のいずれのコンピュータとも通信することができない。
【0101】
本実施形態の制御装置62は、第3の実施形態と異なり、当該ネットワーク機器72のCPUまたは、当該CPUに対して最優先の割り込み要求を出すことのできる装置である。
【0102】
したがって、本実施形態では、他コンピュータ制御部24Gが前記シャットダウン指示を出すと、FW用コンピュータ23ではなく、ネットワーク機器72がシャットダウンされる。
【0103】
当該ネットワーク機器72がシャットダウンされると、FW用コンピュータ23は、ネットワーク21上のいずれのコンピュータとも通信することができなくなるため、前記感染動作などの影響を受ける範囲は、FW用コンピュータ23内に制限される。
【0104】
(D−2)第4の実施形態の効果
本実施形態によれば、異なる構成で、第3の実施形態の効果と同等な効果を得ることができる。
【0105】
(E)他の実施形態
上述したように、本発明では、最下位の物理層から最上位のアプリケーション層に及ぶすべての階層で、TCP/IPプロトコルとは異なる前記局所一般通信プロトコル等を用いることが望ましいが、必要ならば、一部の階層のみ、前記局所一般通信プロトコルを用いることも可能である。
【0106】
例えば、TCP/IPプロトコルの分野で広く知られた攻撃技術の使用のみを阻むことが目的ならば、物理層やデータリンク層などの下位の階層では、広く利用されるIEEE802.3などをそのまま利用し、ネットワーク層やトランスポート層やそれ以上の上位の階層で、前記局所一般通信プロトコルや専用の通信プロトコルを用いる構成が有効である。
【0107】
また、物理層からトランスポート層までの階層でのみ前記局所一般通信プロトコル等を用い、セッション層以上の階層では、TCP/IPプロトコルをそのまま利用する構成を取っても、物理層からトランスポート層の通信プロトコルを利用した攻撃に対して、セキュリティ強度を高めることが可能なので、一定の効果が期待できる。
【0108】
なお、本発明は、ネットワークインタフェース部分にIPアドレスを設定しないステルス型のファイアウォールなどにも適用可能である。
【0109】
上記第1〜第4の実施形態で利用した各階層の通信プロトコルは他の通信プロトコルに置換できることは当然である。
【0110】
例えば、HTTPプロトコルは、前記FTPのほか、SMTPなどにも置換可能である。また、例えば、RS−232CやIEEE1394などもその他の通信プロトコルに置換できる可能性がある。
【0111】
また、上記第3の実施形態では、外側のFW用コンピュータ23が持つ機能と、内側のFW用コンピュータ24が持つ機能を置き換えてもよい。
【0112】
さらに、上記第4の実施形態では、ネットワーク機器72をシャットダウンしたが、例えば、NIC部23Bをシャットダウンすることによっても、同等な効果を得ることができる。
【0113】
また、上記第3の実施形態では、FW用コンピュータ23自体をシャットダウンしたが、FW用コンピュータ23の内部構成がそれを許すなら、プロキシ部23A、プロキシ部23Aとネットワーク21のあいだの経路上のいずれかの機能、または、プロキシ部23Aとアクセス制御用通信路29のあいだのいずれかの機能をシャットダウン(強制的な動作停止)するようにしてもよい。
【0114】
プロキシ部23Aや、プロキシ部23Aとアクセス制御用通信路29のあいだのいずれかの機能の動作が停止されれば、少なくとも、感染動作などの影響が内側のFW用コンピュータ24やネットワーク22の方向へ拡大することは防止できる。また、プロキシ部23Aとネットワーク21のあいだの経路上のいずれかの機能の動作が強制的に停止されれば、感染動作などの影響が、ネットワーク21側へ拡大することを防止できる可能性が高い。
【0115】
なお、上記第2の実施形態では、3台のFW用コンピュータを直列に接続したが、4台以上のFWコンピュータを直列に接続してもよいことは当然である。
【0116】
さらに、上記第1〜第4の実施形態にかかわらず、本発明では、図7に示すような構成を取ることができる。
【0117】
図7において、図1と同じ符号を付与した各構成要素の機能は第1の実施形態と基本的に同じであるので、その詳しい説明は省略する。
【0118】
ただし図7に示すFW用コンピュータ23は、プロキシ部23Aと、NIC部23Bのほか、フィルタ部23Cと、アンチウイルス部23Dと、キャッシュ部23Eとを備えている。同様に、図7に示すFW用コンピュータ24は、プロキシ部24Aと、NIC部24Bのほか、フィルタ部24Cと、アンチウイルス部24Dと、キャッシュ部24Eとを備えている。
【0119】
フィルタ部23Cはフィルタ部24Cに対応し、アンチウイルス部23Dはアンチウイルス部24Dに対応し、キャッシュ部23Eはキャッシュ部24Eに対応する。ただしこれらの構成要素は、システムの形態や求められるセキュリティ強度などにより、いずれか一方のコンピュータ(例えば、23)にのみ備えられていてもよいし、両方のコンピュータに備えられていてもよい。
【0120】
上述したようにプロキシ部23Aやアクセス制御用通信路29は、バッファオーバーフローなどの攻撃技術に対して有効な対策となり得るが、必ずしもすべての攻撃技術に対する対策とはならない。例えば、プロキシ部23A、24Aが上述した変換処理や復元処理の機能だけを持つ場合、パケット(例えば、PK1)のペイロード部にコンピュータウイルス(ワームやトロイの木馬なども含む)やスパイウエアなどが含まれていても、それを検出すること等はできない可能性が高い。
【0121】
これに対し図7の構成では、アンチウイルスソフトに相当するアンチウイルス部23D、24Dによって、コンピュータウイルスやスパイウエアなどの検出や駆除を行うことでセキュリティ強度を高めることができる。
【0122】
また、アンチウイルス部23D、24Dだけでは検出できないクロスサイトスクリプティングやSQLインジェクションなどの攻撃に対しては、フィルタ機能を持つフィルタ部23C、24Cで検出を行う。
【0123】
キャッシュ部23E、24Eは、Webページを構成する一部のファイル(画像ファイルなど)を一時的に蓄積し、前記パソコン28などからそのファイルを求めるリクエストメッセージが届くと、キャッシュ部23E、24Eに蓄積してあるファイルを返す。当該リクエストメッセージを宛先のWebサーバ25まで送る必要がないので、ユーザU1から見た場合、レスポンス性能が向上し、FW用コンピュータ23,24にとっては、処理能力にかかる負荷を軽減することが可能である。
【0124】
また、前記フィルタ部23C、24Cや、アンチウイルス部23D、24Dにおける処理のため、FW用コンピュータ23,24の処理能力が消費されてレスポンス性能の劣化などを招くおそれがある場合には、キャッシュ部23E、24Eに蓄積してあるファイル(フィルタ部23C、24Cや、アンチウイルス部23D、24Dによる処理が完了しているファイル)を再利用することで、処理能力を節約することができる。
【0125】
さらに、上記第1〜第4の実施形態などの特徴は、相互に矛盾しない限り、任意の組み合わせで複合することが可能である。
【0126】
以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することができ、ソフトウエア的に実現した機能のほとんど全てはハードウエア的に実現することが可能である。
【0127】
例えば、前記プロキシ部23A、24Aなどをハードウエアによって実現してもかまわない。また、このハードウエアは、FW用コンピュータ23,24の中にあってもよいし、FW用コンピュータ23,24にそれぞれ接続された別筐体の装置であってもよい。
【図面の簡単な説明】
【0128】
【図1】第1の実施形態にかかる通信システムの全体構成例を示す概略図である。
【図2】従来の通信システムの全体構成例を示す概略図である。
【図3】発明が解決しようとする課題を説明するための概略図である。
【図4】第1の実施形態の動作説明図である。
【図5】第1の実施形態の動作説明図である。
【図6】第2の実施形態にかかる通信システムの全体構成例を示す概略図である。
【図7】他の実施形態にかかる通信システムの構成例を示す概略図である。
【図8】第3の実施形態にかかる通信システムの構成例を示す概略図である。
【図9】第4の実施形態にかかる通信システムの構成例を示す概略図である。
【符号の説明】
【0129】
9,20…通信システム、21,22…ネットワーク、23,24…FW用コンピュータ、23A、24A…プロキシ部、23B、24B…NIC部、25,27…Webサーバ、26,28…パソコン、29…アクセス制御用通信路、30…ファイアウォール装置、PK1,PK2、PK11…パケット。
【技術分野】
【0001】
本発明はアクセス制御装置、アクセス制御方法およびアクセス制御プログラムに関し、例えば、不正侵入を防止するためのファイアウォール装置などに適用して好適なものである。
【背景技術】
【0002】
従来、企業などの組織内に配置されたコンピュータをインターネット等の外部ネットワークに接続する場合、外部からの不正な侵入を防止するためにファイアウォールを配置して組織内のコンピュータシステムのセキュリティを保つことが多い。
【0003】
ファイアウォールとは、インターネットなどの外部のネットワーク(WAN)と組織や家庭内のネットワーク(LAN)を接続するときなどのように、セキュリティポリシーの異なるネットワークを接続するときに、これらのネットワークの間に配置して、アクセスを制御するソフトウェア、あるいはハードウェアを指す。
【0004】
ファイアウォールの方式は、パケットフィルタリング方式、アプリケーションゲートウェイ方式、ステートフルインスペクション方式に大別される。
【0005】
パケットフィルタリング方式とは、パケットのIPヘッダやTCP(UDP)ヘッダに含まれる情報を元にフィルタリングを行う方式である。ヘッダ情報のみをチェックするのでフィルタリング処理にともなう遅延時間が短く、性能的に優れている。
【0006】
アプリケーションゲートウェイ方式は、プロキシ方式とも呼ばれ、パケットのデータ部分に含まれるアプリケーションプロトコルを解釈してフィルタリングを行う。この方式の場合、組織内のコンピュータと外部のコンピュータとの間は、直接TCP/IP接続されるのではなく、プロキシによって中継されるので、セキュリティ強度的には優れている。
【0007】
ステートフルインスペクション方式は、パケットフィルタリング方式と同様にネットワーク層やトランスポート層で動作するファイアウォールだが、パケットのデータ部分もチェックし、リクエストとレスポンスの整合性などを検査することによってフィルタリングを行うものである。一般に、ステートフルインスペクション方式は、アプリケーションゲートウェイ方式よりも高速に動作し、パケットフィルタリング方式よりもセキュリティ強度が高い。
【0008】
図2に、前記アプリケーションゲートウエイ方式のファイアウォール11を用いた通信システム9を示す。
【0009】
図2において、Webブラウザ10から外部のWebサーバ13にアクセスする場合、TCP/IPのHTTPプロトコルを用いる。ファイアウォール11では、内側(組織内)から外側(インターネット12側)へのHTTPのアクセスを実現するプロキシ11Aを動作させる。組織内のWebブラウザ10から組織外のWebサーバ13へアクセスするとき、ファイアウォール11のプロキシ11AがHTTPプロトコルの中継を行い、Webブラウザ10に所望のWebページを画面表示させることが可能である。
【0010】
このプロキシ11Aでは、外側からのアクセスは受け付けないようにしてあるため、インターネット12上のクラッカが操作するパソコン14から前記組織の内部のコンピュータにアクセスしようとしても、遮断され、アクセスすることができない。また、HTTP以外のTCP/IP接続はルーティングしない設定になっているので、組織内への不正なアクセスは防止可能である。
【発明の開示】
【発明が解決しようとする課題】
【0011】
ところが、上述したファイアウォール11にセキュリティホールが存在する場合、図3に示すように、当該セキュリティホールを突いたパソコン14からの攻撃(S10)により、ファイアウォール11の管理者権限が奪取されてファイアウォール11自体がクラッカに乗っ取られ(S11)、当該ファイアウォール11を踏み台にして組織(LAN)の内部に配置されている各コンピュータに対する不正アクセスが実行される(S12)ことが起こり得る。前記セキュリティホールを塞ぐための迅速なセキュリティパッチ(修正版プログラム)の適用など、適切な対応を迅速に実行すれば、ファイアウォール11のセキュリティ強度を十分に高めることが可能であるが、そのような高いセキュリティ強度を維持しつづけることは、運用管理のための多大な手数を必要とし、必ずしも常に十分なセキュリティ強度を維持できるとは限らない。
【0012】
また、セキュリティホールが発見され公開される前に、そのセキュリティホールを突いた攻撃が実行される可能性もあるが、このようなケースでは、運用管理にどれだけ多大な手数をかけても攻撃を防ぐことは難しい。
【0013】
インターネット上やLAN内などで広く用いられるTCP/IPプロトコルの分野では、多種多様なセキュリティ対策の技術の蓄積があるが、その一方で、それと同程度に、多種多様な不正アクセスのための攻撃技術の蓄積もあり、多くのクラッカがそのような攻撃技術を駆使して攻撃を試みる。このため、いったん、ファイアウォール11が乗っ取られてしまうと、クラッカが駆使する攻撃技術によって組織の内部のコンピュータが多大な被害を被る可能性が高い。特に、前記組織が金融機関など、求められる信用レベルの高い組織である場合、不正アクセスによって個人情報の流出やサービス停止などの被害が発生すれば、大きな損失につながる。
【0014】
したがって、未知の攻撃に耐えられ、運用管理にそれほど多大な手数をかけなくても、ファイアウォール自体のセキュリティ強度を十分に高くできることが求められる。
【課題を解決するための手段】
【0015】
かかる課題を解決するために、第1の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報(例えば、宛先ポート番号)を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部(例えば、プロキシ部23A)と、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路と、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部とを備えたことを特徴とする。
【0016】
また、第2の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、当該変換の前後または変換の過程で、前記原プロトコルデータ単位を用いた不正アクセスを検出し、検出結果を不正アクセス管理部に通知する不正アクセス検出部と、前記第1の変換処理部自体の動作、第1の変換処理部と前記第1の通信ネットワークのあいだの通信、第1の変換処理部と第1の内部通信路のあいだの通信のうち、少なくともいずれか1つを強制的に停止する強制停止を実行する機能を持つ制御機能部と、前記不正アクセス検出部から不正アクセスを検出した旨の通知を受けると、前記制御機能部に、前記強制停止を実行させる不正アクセス管理部とを備えたことを特徴とする。
【0017】
さらに、第3の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御方法において、第1の変換処理部が、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換し、この変換によって得られた第1の内部プロトコルデータ単位を、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路に伝送させ、第2の変換処理部が、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出することを特徴とする。
【0018】
さらにまた、第4の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されて機能するアクセス制御プログラムにおいて、コンピュータに、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理機能と、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路機能と、当該第1の内部通信路機能経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理機能とを実現させることを特徴とする。
【発明の効果】
【0019】
本発明によれば、未知の攻撃に耐えられ、運用管理に依存することもなく、十分に高いセキュリティ強度を実現することができる。
【発明を実施するための最良の形態】
【0020】
(A)実施形態
以下、本発明にかかるアクセス制御装置、アクセス制御方法およびアクセス制御プログラムの実施形態について説明する。
【0021】
(A−1)第1の実施形態の構成
本実施形態にかかる通信システム20の全体構成例を図1に示す。なお、当該通信システム20中に、図示しないサーバ類(例えば、DNSサーバやDHCPサーバなど)が存在していてもよいことは当然である。
【0022】
図1において、当該通信システム20は、ネットワーク21,22と、FW用コンピュータ23,24と、Webサーバ25,27と、パソコン26,28と、アクセス制御用通信路29とを備えている。
【0023】
このうちネットワーク21はWANなど、比較的セキュリティレベルの低い範囲を指し、ネットワーク22はLANなど比較的セキュリティレベルの高い範囲を指す。具体的には、例えば、前記ネットワーク21はインターネット、ネットワーク22は金融機関などの組織の内部に構築されたLANであってよい。
【0024】
ネットワーク21上にはWebサーバ25やパソコン26などが存在する。パソコン26を利用するユーザU2は、不正アクセスを試みるクラッカである。ネットワーク22上にはWebサーバ27やパソコン28などが存在する。パソコン28を利用するユーザU1は前記金融機関の社員などで、パソコン28を利用してネットワーク22内のWebサーバ27やネットワーク21上のWebサーバ25などにアクセスする正当なユーザである。当該パソコン28には、WebブラウザBR1が搭載されているものとする。
【0025】
アクセス制御用通信路29を介して接続された2台のFW用コンピュータ23、24と当該アクセス制御用通信路29によって、論理的に1つのファイアウォール(FW)装置30が構成される。
【0026】
FW用コンピュータ23は、プロキシ部23Aと、NIC(ネットワークインタフェースカード)部23Bとを備え、FW用コンピュータ24は、プロキシ部24Aと、NIC部24Bとを備えている。
【0027】
ここで、NIC部23Bは、FW用コンピュータ23をTCP/IPプロトコルが通用するネットワーク21に接続するためのインタフェースカードである。OSI参照モデルの物理層、データリンク層の通信プロトコルが当該NIC部23Bによって処理されるものであってよい。そのほか、当該FW用コンピュータ23内では、後述するOSなどが、ネットワーク層やトランスポート層の通信プロトコルを処理する機能を備えている。パケットフィルタリングなど従来のファイアウォールが持つ機能が、当該OSに含まれていてもよい。
【0028】
ネットワーク21がインターネットであれば、当該ネットワーク層の通信プロトコルはIPプロトコルである。また、ネットワーク層がIPプロトコルである場合、データリンク層はIEEE802.3(イーサネット(登録商標))などであることが多い。物理層には有線通信用、無線通信用の様々な通信プロトコルを使用可能である。
【0029】
プロキシ部23Aは、代理応答の機能を持つソフトウエア(ゲートウエイプログラム)の本体で、Webサーバ25に対しWebブラウザと同様なインタフェースを提供する。FW用コンピュータ23内において、当該プロキシ部23Aはアプリケーションプログラムの1つであると見ることができ、ネットワーク21側からネットワーク22側へ届けられるパケットPK1のうち、OSI参照モデルにおけるトランスポート層の通信プロトコルである例えばTCPやUDPの宛先ポート番号として、当該プロキシ部23Aを指定する値を持つパケットのみがFW用コンピュータ23内でプロキシ部23Aに渡される。
【0030】
パケットPK1が宛先ポート番号としてその他の値を持つ場合、プロキシ部23Aを経由しないので、アクセス制御用通信路29に到達しない。また、プロキシ部23Aにおける処理を経なければ、パケットPK1はアクセス制御用通信路29を正常に通過することはできない。
【0031】
アクセス制御用通信路29では、インターネット上で広く用いられるTCP/IPとは異なる通信プロトコルのみが使用される。このような通信プロトコルとして専用の通信プロトコルを用意してもかまわないが、ここでは、限られた局面でのみ利用される一般的な通信プロトコルである局所一般通信プロトコル(物理層の例では、RS−232C、IEEE1394など)を用いるものとする。
【0032】
上述したように、TCP/IPプロトコルの分野では、多種多様なセキュリティ対策の技術の蓄積がある一方で、それと同程度に、多種多様な不正アクセスのための攻撃技術の蓄積もあり、多くのクラッカがそのような攻撃技術を駆使して攻撃を試みることができるが、局所一般通信プロトコル等では、そのような攻撃技術そのものがほとんど存在しないか、存在したとしても広く知られてはいないため、クラッカによる攻撃を阻むことが可能である。
【0033】
前記アクセス制御用通信路29自体は伝送のための構成要素なので、OSI参照モデルのトランスポート層以下の階層に属する通信プロトコルの処理を実行する。
【0034】
このトランスポート層以下の階層に属する局所一般通信プロトコルに適合するように、トランスポート層より上位の階層であるプレゼンテーション層やアプリケーション層などの通信プロトコルを処理するのが、プロキシ部23A、24Aの役割である。プロキシ部23A、24Aの機能の詳細については後述する。
【0035】
前記アクセス制御用通信路29内に配置され、OSI参照モデルの下位の階層の通信プロトコルを処理するプロトコル処理モジュール(図示せず)は上位の階層の通信プロトコルのトラフィックを透過的に通過させる性質を持つことが必要であるため、トランスポート層以下の下位の階層のセキュリティ強度をアクセス制御用通信路29によって確保したとしても、プレゼンテーション層やアプリケーション層など上位の階層のセキュリティ強度はそれぞれ独立に、前記プロキシ部23A、24Aによって確保することが必要である。
【0036】
結局、セキュリティ強度を高めるためには、最下位の物理層から最上位のアプリケーション層に及ぶすべての階層で、TCP/IPプロトコルとは異なる前記局所一般通信プロトコル等を用いることが望ましい。例えば、物理層やデータリンク層だけ前記局所一般通信プロトコルを使用したとしても、より上位のアプリケーション層などでTCP/IPプロトコル(例えば、HTTPプロトコル)をそのまま利用すれば、TCP/IPプロトコルの分野で広く知られた攻撃技術の使用を許してしまう可能性が高いからである。
【0037】
「TCP/IP」には狭義と広義があり、狭義では、TCPとIPを指すが、広義では、TCPやIPを含め、インターネット上で標準的に使用されるプロトコル全般を指す。したがって広義のTCP/IPには、例えば、HTTP、SMTP、FTPなども含まれる。以下では、「TCP/IP」の語はすべてこの広義のものとして用いる。
【0038】
なお、OSI参照モデルは、7つの階層からなるプロトコル体系であるため、OSI参照モデルに忠実な実装を行うと、プロトコル処理モジュールを各階層ごとに1つずつ、合計7つ用意しなければならないが、必要に応じて、複数の階層を1つのプロトコル処理モジュールで処理するようにしてもかまわない。例えば、アプリケーション層、プレゼンテーション層、およびセッション層を1つのプロトコル処理モジュールによって処理するようにしてもよい。これは、周知のTCP/IPプロトコル体系に合わせた構成であり、この場合、前記プロキシ部23Aは1つのプロトコル処理モジュールによって構成されることになる。
【0039】
前記プロキシ部23AはWebのためのHTTPプロトコルを処理するためのプロキシであるが、通常、プロキシ部は通信プロトコルごとに必要である。したがって、他の通信プロトコル(例えば、FTPなど)を処理する場合には、そのためのプロキシ部をFW用コンピュータ23に搭載する必要がある。必要に応じて、1つのプロキシ部で特定の複数の通信プロトコルを処理するようにしてもよい。いずれにしても、予め用意してあるプロキシ部(ここでは、23A)が対応できる特定の通信プロトコルしか処理することができないため、ネットワーク22側の前記組織が必要とする通信プロトコルに対応するプロキシ部のみを用意するようにしておけば、その他の通信プロトコルを用いて不正アクセスが行われることを防止できる。
【0040】
本実施形態のプロキシ部23Aの特徴は、宛先ポート番号として自身を指定する値を持つパケットPK1を受信した場合、前記局所一般通信プロトコルに適合するプロトコルデータ単位(PDU)である内部パケットPK11に変換(変換処理)した上で、前記アクセス制御用通信路29に供給する点にある。
【0041】
通信の内容が定型データのみである場合などには、変換処理の前または後、あるいは、この変換処理の過程で、予め定めたフォーマットに変換することにより、不正アクセスを許す可能性のあるデータの混入を排除することが好ましい。このフォーマットには、利用され得る攻撃技術に応じて様々なものがあり得るが、一例として、バッファオーバーフロー攻撃の対策の場合、1パケットの最大サイズ(例えば、ペイロード部の最大サイズ)を、バッファオーバーフロー現象を発生させることのできない所定値以下のものに制限することをもって当該フォーマットとしてもよい。起こり得る複数の攻撃に対応するため、同時に複数の条件に適合するように、当該フォーマットを定めてよいことは当然である。
【0042】
前記アクセス制御用通信路29を介してこの内部パケットPK11を受け取ったプロキシ部24Aは、当該内部パケットPK11を、TCP/IPプロトコルに適合したパケットPK1に復元(復元処理)してNIC部24Bからネットワーク22へ送出する。
【0043】
ここで、NIC部24Bは、FW用コンピュータ24をTCP/IPプロトコルが通用するネットワーク22に接続するためのインタフェースカードである。
【0044】
すなわち、本実施形態では、LANであるネットワーク22内でも、通常のTCP/IPプロトコルが使用されることを前提としている。したがってネットワーク22はTCP/IPプロトコルが使用される点で前記ネットワーク21と同じであるが、金融機関などの内部に構築されたネットワークであるため、インターネットなどに対応するネットワーク21に比べ、高いセキュリティレベルを維持する必要がある。
【0045】
なお、ネットワーク22内のパソコン28が、パケットPK2を送信してネットワーク21上のWebサーバ25などにアクセスすることも許す場合、プロキシ部24Aで前記変換処理、プロキシ部23Aで前記復元処理を実行した上で、この復元処理によって得られたパケットPK2をNIC部23Bを介してネットワーク21に送出する構成を取ることが望ましい。また、Webサーバ27を外部に公開する場合などには、ネットワーク21上の正当なユーザのパソコンからのリクエストメッセージ(パケット)に応じたレスポンスメッセージ(パケット)を、Webサーバ27から送信する必要があるが、その場合には、Webサーバ27が送信したパケットに対し、プロキシ部24Aによる前記変換処理と、プロキシ部23Aによる前記復元処理を実行することになる。
【0046】
これにより、ネットワーク22内のパソコン28などから外部にあるネットワーク21上のコンピュータを攻撃すること等によって、ネットワーク22を持つ組織の社会的信用が失墜することを防止することができる。
【0047】
ただし、別な方法で、ネットワーク22内のセキュリティレベルを高く維持できる場合などには、ネットワーク22からネットワーク21へ向かう外向きのパケットの変換処理や復元処理は、ネットワーク21からネットワーク22へ向かう内向きのパケットの変換処理や復元処理に比べて、処理量の少ない簡易なものとしてもよい。これにより、変換処理や復元処理自体によるセキュリティ強度は低減するが、FW用コンピュータ23,24の処理能力にかかる負荷を軽減できる。
【0048】
アクセス制御用通信路29(に設けられるプロトコル処理モジュール)は、前記局所一般通信プロトコルに対応していないパケットPK1が届いた場合、その処理を拒否するように構成しておくとよい。
【0049】
なお、前記FW用コンピュータ23と24はそれぞれ別個のコンピュータであるから、それぞれ、CPU(中央処理装置)、半導体メモリなどの主記憶装置、ハードディスク等の補助記憶装置などの図示しないハードウエア構成要素、セキュアOS(セキュアオペレーティングシステム)、ミドルウエア、アプリケーションソフトウエア等のソフトウエア構成要素を備えていることは当然である。
【0050】
以下、上記のような構成を有する本実施形態の動作について図4および図5を用いて説明する。
【0051】
図4は、通常時にパケットの流れる経路を示している。ただし図4では、NIC部23B、24Bや、ネットワーク22など、いくつかの構成要素は省略している。
【0052】
図5は、クラッカU2による攻撃が行われたときの動作を示す概略図で、S20〜S22の各ステップを備えている。
【0053】
(A−2)第1の実施形態の動作
図4に示すように、通常、前記ネットワーク22内のパソコン28に搭載されたWebブラウザBR1を利用することによって、ユーザU1が外部のネットワーク21上にあるWebサーバ25へアクセスする場合、HTTPリクエストメッセージを収容したパケットPK2がWebブラウザBR1を搭載したパソコン28から送信され、このパケットPK2は、前記ネットワーク22上のルータ(図示せず)などを経由してFW用コンピュータ24に受信される。
【0054】
HTTPリクエストメッセージである以上、通常、そのパケットPK2に含まれるTCPヘッダ中の宛先ポート番号には、HTTPのウエルノウンポート番号である80番が、宛先ポート番号として記述されている。この80番に基づいて、FW用コンピュータ24は当該パケットPK2の内容(ペイロード部)をプロキシ部24Aに供給し、当該プロキシ部24Aで前記変換処理を実行して、変換処理の結果を含むパケットPK21を生成する。当該パケットPK21は、前記パケットPK11に対応する。この変換処理の際に、上述した予め定めたフォーマットに変換するようにすれば、ユーザU1がネットワーク21上のコンピュータを攻撃しようとしたり、パソコン28がコンピュータウイルスに感染してネットワーク21上のコンピュータを攻撃したりする場合であっても、その攻撃を阻止することが可能である。なお、必要ならば、セキュリティ性に配慮し、HTTPのポート番号として前記80番以外の値を用いてもよいことは当然である。
【0055】
当該変換処理で生成されたパケットPK21は、アクセス制御用通信路29を介してFW用コンピュータ24から23へ伝送され、FW用コンピュータ23内でプロキシ部23Aへ供給される。プロキシ部23Aでは、前記復元処理が実行されて、元のパケットPK2が生成される。
【0056】
このパケットPK2はFW用コンピュータ23からネットワーク21へ送出されると、ネットワーク21上のルータ(図示せず)などに中継されて、Webサーバ25に届けられる。
【0057】
このパケットPK2に収容されていたHTTPリクエストメッセージを受け取ると、前記Webサーバ25は、対応するHTTPレスポンスメッセージを生成し、当該HTTPレスポンスメッセージを収容したパケットPK1をネットワーク21に送出する。このあと、当該パケットPK1は、ネットワーク21上のルータなどに中継されてFW用コンピュータ23まで届けられる。
【0058】
前記パケットPK2をネットワーク21に送出する時点で、FW用コンピュータ23のOSなどが、当該パケットPK2に含まれるTCPヘッダ中の送信元ポート番号として、プロキシ部23Aを指定する番号を設定するので、Webサーバ25から返送されてきた当該パケットPK1をプロキシ部23Aに供給することができる。
【0059】
パケットPK1の内容を受け取ったプロキシ部23Aは、前記変換処理を実行し、変換処理の結果を含む前記パケットPK11を生成する。生成された当該パケットPK11は、前記アクセス制御用通信路29を介してFW用コンピュータ24まで届けられ、FW用コンピュータ24内でプロキシ部24Aに供給される。このパケットPK11の内容を受け取ったプロキシ部24Aでは、前記復号処理を実行し、復号処理の結果を含む前記パケットPK1をネットワーク22に送出することにより、パソコン28まで届ける。
【0060】
パソコン28内では、当該パケットPK1に含まれているHTTPレスポンスメッセージの内容に応じて、例えば、Webページの画面表示などを行う。
【0061】
このようにWebブラウザBR1とWebサーバ25のあいだで、メッセージのやり取りが行われるたびに、そのメッセージを収容したパケットPK2,PK1が、プロキシ部24Aによる変換処理や復元処理、およびプロキシ部23Aによる復元処理や変換処理を経て、前記アクセス制御用通信路29を介した通信が実行される。
【0062】
ここで、図5に示すように、ネットワーク21上のクラッカU2がパソコン26を利用して、セキュリティホールを突いた攻撃を行うため不正にパケット(これもPK1とする)を送り付けることによって、FW用コンピュータ23および24の乗っ取りを試みるものとする(S20)。
【0063】
FW用コンピュータ23の運用管理が適切に行われていて、新しく発見されたセキュリティホールなどが完全に塞がれている場合、このような攻撃が成功することはほとんどないが、少なくとも一時的に運用管理が適切に行えないケースや、全く新しい未知の攻撃が成されたケースなどでは、攻撃が成功し、FW用コンピュータ23Aの管理者権限が奪取され、乗っ取られることが起こり得る(S21)。
【0064】
しかしながら、本実施形態では、このようなケースでも、プロキシ部23Aによる変換処理とアクセス制御用通信路29による前記局所一般通信プロトコルによる通信を経なければ、さらに内部のFW用コンピュータ24にアクセスすることができない。そして、プロキシ部23Aによる変換処理では、アプリケーション層からセッション層にあたるTCP/IPプロトコルを用いた攻撃が阻止され、アクセス制御用通信路29では、トランスポート層から物理層にあたる通信プロトコルを用いた攻撃が阻止される。
【0065】
例えば、クラッカU2がパソコン26を操作して所定値以上に長いペイロード部を持つIPパケットを送り付け、FW用コンピュータ24Aが搭載した前記主記憶装置の記憶領域内に予めバッファとして確保されている特定の領域をオーバーフローさせるバッファオーバーフロー現象を起こすことにより、FW用コンピュータ24のサービス停止や乗っ取りを狙うバッファオーバーフロー攻撃を試みたとしても、プロキシ部23Aの変換処理で前記フォーマットへの変換が行われた結果、前記パケットPK11の1パケット当たりのペイロード部の最大サイズが所定値以下に制限されると、前記バッファオーバーフロー現象を起こすことができないため、バッファオーバーフロー攻撃は阻止される。
【0066】
この場合、FW用コンピュータ24の運用管理が適切に行われておらず、FW用コンピュータ24にバッファオーバーフロー攻撃が可能なセキュリティホールが残っていたとしても、内部にあるFW用コンピュータ24は乗っ取ることができない。クラッカU2がFW用コンピュータ23を乗っ取ったとしても、アクセス制御用通信路29では前記局所一般通信プロトコルしか通用しないので、クラッカU2がFW用コンピュータ24へのアクセス方法を知ることは容易ではないからである。また、FW用コンピュータ24(プロキシ部24A)は、プロキシ部23Aで前記変換処理の際に獲得される特定のフォーマットのパケットしか受け取らないからである。
【0067】
結局、クラッカU2は、FW用コンピュータ23および24によって構成される論理的なファイアウォール装置30を越えて内部に侵入することはできない。したがって、前記WebブラウザBR1を搭載したパソコン28,Webサーバ27など、ネットワーク22内に含まれる各種コンピュータは、クラッカU2からの攻撃を受けることがない。これにより、例えば、ネットワーク22内のデータベース(図示せず)に蓄積された顧客などの個人情報がFW用コンピュータ24,23経由でクラッカU2に盗まれることによって流出することを完全に防止できる。
【0068】
また、クラッカU2がFW用コンピュータ23の機能を停止させれば、ネットワーク22内のパソコン28などから、FW用コンピュータ24および23を経由してネットワーク21上のWebサーバ25にアクセスすること等はできなくなるものの、ネットワーク22内のコンピュータ(例えば、28,27など)を利用して、当該組織が顧客に提供しているサービスなどは支障無く継続することができるので、被害は小さい。
【0069】
以上の点は、クラッカU2が、バッファオーバーフロー以外のTCP/IPプロトコルの分野で用いられる攻撃技術を使用した場合でも同様である。
【0070】
(A−3)第1の実施形態の効果
本実施形態によれば、ファイアウォール装置(30)において、運用管理に依存することなく、十分に高いセキュリティ強度を実現することができる。
【0071】
(B)第2の実施形態
以下では、本実施形態が第1の実施形態と相違する点についてのみ説明する。
【0072】
(B−1)第2の実施形態の構成および動作
本実施形態の通信システム43の構成例を図6に示す。
【0073】
図6において、図1と同じ符号を付与した各構成要素の機能は第1の実施形態と基本的に同じであるので、その詳しい説明は省略する。なお、FW用コンピュータ41が備えるNIC部41Bの機能は、前記NIC部24Bに対応している。
【0074】
本実施形態の通信システム43は、3台のFW用コンピュータ23,24,41を2つのアクセス制御用通信路29,42で直列に接続することによって構成されている。本実施形態ではこの3台のFW用コンピュータ23,24,41と2つのアクセス制御用通信路29,42によって、論理的に1つのファイアウォール装置40が構成される。
【0075】
図6を図1と対比すれば明らかなように、通信システム43は、第1の実施形態におけるFW用コンピュータ24のNIC部24Bを、アクセス制御用通信路42およびFW用コンピュータ41で置き換えたものとみることもできる。
【0076】
2つのアクセス制御用通信路29,42で用いられる局所一般通信プロトコルは、同じものにすることもできるが、セキュリティ強度を高めるには、異なるものとするほうが望ましい。なお、2つのアクセス制御用通信路29,42で用いられる局所一般通信プロトコルが同じものである場合には、プロキシ部24Aは変換処理や復元処理を行わず、単に、透過的な中継を行うだけであってもよい。
【0077】
外向きのパケットPK2の中継では、プロキシ部41Aが変換処理を行い、プロキシ部24Aが復元処理と変換処理を行い、プロキシ部23Aが復元処理を行うことになる。この場合、プロキシ部41Aが行う変換処理とプロキシ部24Aが行う復元処理は対応した処理であることが必要であり、プロキシ部24Aが行う変換処理とプロキシ部23Aが行う復元処理は対応した処理であることが必要である。
【0078】
プロキシ部41Aが行う変換処理とプロキシ部24Aが行う変換処理は、同じ処理とすることもでき、異なる処理とすることもできるが、セキュリティ強度向上の観点では、異なる処理としたほうが有利である。
【0079】
なお、内向きのパケットPK1を中継するときには、プロキシ部23Aで変換処理、プロキシ部24Aで復元処理と変換処理、プロキシ部41Aで復元処理がそれぞれ行われることになるが、その他の点は、外向きのパケットPK2を中継する場合と同様である。
【0080】
本実施形態の場合、クラッカU2は、FW用コンピュータ23から24へ侵入し、さらに、FW用コンピュータ41に侵入することに成功しなければ、FW用コンピュータ41のNIC部41Bに接続されている前記ネットワーク22内のコンピュータ(例えば、27,28)を攻撃することができないので、セキュリティ強度は、第1の実施形態のファイアウォール装置30よりも高いといえる。
【0081】
(B−2)第2の実施形態の効果
本実施形態によれば、第1の実施形態の効果と同等な効果を得ることができる。
【0082】
加えて、本実施形態では、ファイアウォール装置(40)で、第1の実施形態よりも高いセキュリティ強度を実現することが可能である。
【0083】
(C)第3の実施形態
以下では、本実施形態が第1、第2の実施形態と相違する点についてのみ説明する。
【0084】
(C−1)第3の実施形態の構成および動作
本実施形態の通信システム61の構成例を図8に示す。
【0085】
図8において、図1と同じ符号を付与した各構成要素の機能は第1の実施形態と基本的に同じであるので、その詳しい説明は省略する。なお、図8上では、プロキシ部23Aと24Aが省略されているが、アクセス制御用通信路29を有する以上、プロキシ部23A、24Aが存在することは当然である。
【0086】
外側のFW用コンピュータ23は、パケットPK1内のコンピュータウイルス(ワームやトロイの木馬なども含む)をリアルタイムで検出または駆除する機能を持つアンチウイルスエージェント部23Fを備えている。
【0087】
内側のFW用コンピュータ24は、当該アンチウイルスエージェント部23Fを管理する機能を持つアンチウイルスマネージャ部24Fを備えている。
【0088】
アンチウイルスエージェント部23Fが、外側のFW用コンピュータ23上でコンピュータウイルスを検出したものの駆除することができなかった場合に、その事実をアンチウイルスマネージャ部24Fに通知(ウイルス検出通知)する。ウイルス検出通知は、アクセス制御用通信路29を介して実行するようにしてもよいが、アクセス制御用通信路29とは別個に、ウイルス検出通知のための伝送路を用意してある場合には、その伝送路を介して実行するとよい。
【0089】
なお、必要に応じて、アンチウイルスエージェント部23Fには駆除の機能を持たせず、コンピュータウイルスを検出した時点で直ちに前記ウイルス検出通知を行うようにしてもよい。
【0090】
いずれにしても、このウイルス検出通知を受けた時点で、すでにコンピュータウイルスの感染動作など(感染範囲の拡大や他のコンピュータへのDoS攻撃なども含む)による悪影響が外側のFW用コンピュータ23内で発生している可能性があるため、当該ウイルス検出通知を受けると、アンチウイルスマネージャ部24Fは直ちに、他コンピュータ制御部24Gにその旨を通知(緊急通知)する。
【0091】
この緊急通知を受け取ると、他コンピュータ制御部24Gは、アクセス制御用通信路29の動作を停止するとともに、制御路63を介して制御装置62にシャットダウン指示を供給してシャットダウンを指示する。制御路63は、前記アクセス制御用通信路29とは物理的に別個の伝送路である。前記ウイルス検出通知が届いた以上、アクセス制御用通信路29なども、前記コンピュータウイルスの感染動作の影響によって正常に動作しない可能性があるため、アクセス制御用通信路29とは別個に設けた制御路63を用いてシャットダウンの指示を行う。制御路63の物理的、論理的な構造としては様々なものを用いることができる可能性があるが、一例として、通常のシリアルケーブルを用いてもよい。
【0092】
制御装置62は、上述した外側のFW用コンピュータ23のCPUまたは、当該CPUに対して最優先の割り込み要求を出すことのできる装置である。
【0093】
いずれにしても、当該制御装置62が前記他コンピュータ制御部24Gからシャットダウン指示を受け取ると、直ちにFW用コンピュータ23をシャットダウンして、前記コンピュータウイルスの感染動作などを強制的に停止させ、感染動作などによる悪影響が及ぶ範囲や悪影響の程度を最小限度に制限する。このシャットダウンは、FW用コンピュータ23に搭載されているOS(オペレーティングシステム)が前記感染動作によって正常に動作しない状態になっていても、強制的に実行できることが必要である。
【0094】
(C−2)第3の実施形態の効果
本実施形態によれば、第1の実施形態の効果と同等な効果を得ることができる。
【0095】
加えて、本実施形態では、ウイルス検出通知が出されると、外側のFW用コンピュータ(23)を強制的にシャットダウンして、前記コンピュータウイルスの感染動作などを強制的に停止させ、感染動作などによる悪影響が及ぶ範囲や悪影響の程度を最小限度に制限できるため、セキュリティ強度が高まる。
【0096】
(D)第4の実施形態
以下では、本実施形態が第1〜第3の実施形態と相違する点についてのみ説明する。
【0097】
第1〜第3の実施形態のなかでは、第3の実施形態が最も本実施形態に近い。
【0098】
(D−1)第4の実施形態の構成および動作
本実施形態の通信システム71の構成例を図9に示す。
【0099】
図9において、図8と同じ符号を付与した各構成要素の機能は第3の実施形態と基本的に同じであるので、その詳しい説明は省略する。
【0100】
ネットワーク機器72はパケットPK1などを中継する中継装置で、具体的には、例えば、ルータやレイヤ2スイッチなどにあたる。ネットワーク21上には多数のネットワーク機器が存在するが、当該ネットワーク機器72は、これら多数のネットワーク機器のなかで最もFW用コンピュータ23に近い機器で、FW用コンピュータ23は、当該ネットワーク機器72を経由せずにネットワーク21上のいずれのコンピュータとも通信することができない。
【0101】
本実施形態の制御装置62は、第3の実施形態と異なり、当該ネットワーク機器72のCPUまたは、当該CPUに対して最優先の割り込み要求を出すことのできる装置である。
【0102】
したがって、本実施形態では、他コンピュータ制御部24Gが前記シャットダウン指示を出すと、FW用コンピュータ23ではなく、ネットワーク機器72がシャットダウンされる。
【0103】
当該ネットワーク機器72がシャットダウンされると、FW用コンピュータ23は、ネットワーク21上のいずれのコンピュータとも通信することができなくなるため、前記感染動作などの影響を受ける範囲は、FW用コンピュータ23内に制限される。
【0104】
(D−2)第4の実施形態の効果
本実施形態によれば、異なる構成で、第3の実施形態の効果と同等な効果を得ることができる。
【0105】
(E)他の実施形態
上述したように、本発明では、最下位の物理層から最上位のアプリケーション層に及ぶすべての階層で、TCP/IPプロトコルとは異なる前記局所一般通信プロトコル等を用いることが望ましいが、必要ならば、一部の階層のみ、前記局所一般通信プロトコルを用いることも可能である。
【0106】
例えば、TCP/IPプロトコルの分野で広く知られた攻撃技術の使用のみを阻むことが目的ならば、物理層やデータリンク層などの下位の階層では、広く利用されるIEEE802.3などをそのまま利用し、ネットワーク層やトランスポート層やそれ以上の上位の階層で、前記局所一般通信プロトコルや専用の通信プロトコルを用いる構成が有効である。
【0107】
また、物理層からトランスポート層までの階層でのみ前記局所一般通信プロトコル等を用い、セッション層以上の階層では、TCP/IPプロトコルをそのまま利用する構成を取っても、物理層からトランスポート層の通信プロトコルを利用した攻撃に対して、セキュリティ強度を高めることが可能なので、一定の効果が期待できる。
【0108】
なお、本発明は、ネットワークインタフェース部分にIPアドレスを設定しないステルス型のファイアウォールなどにも適用可能である。
【0109】
上記第1〜第4の実施形態で利用した各階層の通信プロトコルは他の通信プロトコルに置換できることは当然である。
【0110】
例えば、HTTPプロトコルは、前記FTPのほか、SMTPなどにも置換可能である。また、例えば、RS−232CやIEEE1394などもその他の通信プロトコルに置換できる可能性がある。
【0111】
また、上記第3の実施形態では、外側のFW用コンピュータ23が持つ機能と、内側のFW用コンピュータ24が持つ機能を置き換えてもよい。
【0112】
さらに、上記第4の実施形態では、ネットワーク機器72をシャットダウンしたが、例えば、NIC部23Bをシャットダウンすることによっても、同等な効果を得ることができる。
【0113】
また、上記第3の実施形態では、FW用コンピュータ23自体をシャットダウンしたが、FW用コンピュータ23の内部構成がそれを許すなら、プロキシ部23A、プロキシ部23Aとネットワーク21のあいだの経路上のいずれかの機能、または、プロキシ部23Aとアクセス制御用通信路29のあいだのいずれかの機能をシャットダウン(強制的な動作停止)するようにしてもよい。
【0114】
プロキシ部23Aや、プロキシ部23Aとアクセス制御用通信路29のあいだのいずれかの機能の動作が停止されれば、少なくとも、感染動作などの影響が内側のFW用コンピュータ24やネットワーク22の方向へ拡大することは防止できる。また、プロキシ部23Aとネットワーク21のあいだの経路上のいずれかの機能の動作が強制的に停止されれば、感染動作などの影響が、ネットワーク21側へ拡大することを防止できる可能性が高い。
【0115】
なお、上記第2の実施形態では、3台のFW用コンピュータを直列に接続したが、4台以上のFWコンピュータを直列に接続してもよいことは当然である。
【0116】
さらに、上記第1〜第4の実施形態にかかわらず、本発明では、図7に示すような構成を取ることができる。
【0117】
図7において、図1と同じ符号を付与した各構成要素の機能は第1の実施形態と基本的に同じであるので、その詳しい説明は省略する。
【0118】
ただし図7に示すFW用コンピュータ23は、プロキシ部23Aと、NIC部23Bのほか、フィルタ部23Cと、アンチウイルス部23Dと、キャッシュ部23Eとを備えている。同様に、図7に示すFW用コンピュータ24は、プロキシ部24Aと、NIC部24Bのほか、フィルタ部24Cと、アンチウイルス部24Dと、キャッシュ部24Eとを備えている。
【0119】
フィルタ部23Cはフィルタ部24Cに対応し、アンチウイルス部23Dはアンチウイルス部24Dに対応し、キャッシュ部23Eはキャッシュ部24Eに対応する。ただしこれらの構成要素は、システムの形態や求められるセキュリティ強度などにより、いずれか一方のコンピュータ(例えば、23)にのみ備えられていてもよいし、両方のコンピュータに備えられていてもよい。
【0120】
上述したようにプロキシ部23Aやアクセス制御用通信路29は、バッファオーバーフローなどの攻撃技術に対して有効な対策となり得るが、必ずしもすべての攻撃技術に対する対策とはならない。例えば、プロキシ部23A、24Aが上述した変換処理や復元処理の機能だけを持つ場合、パケット(例えば、PK1)のペイロード部にコンピュータウイルス(ワームやトロイの木馬なども含む)やスパイウエアなどが含まれていても、それを検出すること等はできない可能性が高い。
【0121】
これに対し図7の構成では、アンチウイルスソフトに相当するアンチウイルス部23D、24Dによって、コンピュータウイルスやスパイウエアなどの検出や駆除を行うことでセキュリティ強度を高めることができる。
【0122】
また、アンチウイルス部23D、24Dだけでは検出できないクロスサイトスクリプティングやSQLインジェクションなどの攻撃に対しては、フィルタ機能を持つフィルタ部23C、24Cで検出を行う。
【0123】
キャッシュ部23E、24Eは、Webページを構成する一部のファイル(画像ファイルなど)を一時的に蓄積し、前記パソコン28などからそのファイルを求めるリクエストメッセージが届くと、キャッシュ部23E、24Eに蓄積してあるファイルを返す。当該リクエストメッセージを宛先のWebサーバ25まで送る必要がないので、ユーザU1から見た場合、レスポンス性能が向上し、FW用コンピュータ23,24にとっては、処理能力にかかる負荷を軽減することが可能である。
【0124】
また、前記フィルタ部23C、24Cや、アンチウイルス部23D、24Dにおける処理のため、FW用コンピュータ23,24の処理能力が消費されてレスポンス性能の劣化などを招くおそれがある場合には、キャッシュ部23E、24Eに蓄積してあるファイル(フィルタ部23C、24Cや、アンチウイルス部23D、24Dによる処理が完了しているファイル)を再利用することで、処理能力を節約することができる。
【0125】
さらに、上記第1〜第4の実施形態などの特徴は、相互に矛盾しない限り、任意の組み合わせで複合することが可能である。
【0126】
以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することができ、ソフトウエア的に実現した機能のほとんど全てはハードウエア的に実現することが可能である。
【0127】
例えば、前記プロキシ部23A、24Aなどをハードウエアによって実現してもかまわない。また、このハードウエアは、FW用コンピュータ23,24の中にあってもよいし、FW用コンピュータ23,24にそれぞれ接続された別筐体の装置であってもよい。
【図面の簡単な説明】
【0128】
【図1】第1の実施形態にかかる通信システムの全体構成例を示す概略図である。
【図2】従来の通信システムの全体構成例を示す概略図である。
【図3】発明が解決しようとする課題を説明するための概略図である。
【図4】第1の実施形態の動作説明図である。
【図5】第1の実施形態の動作説明図である。
【図6】第2の実施形態にかかる通信システムの全体構成例を示す概略図である。
【図7】他の実施形態にかかる通信システムの構成例を示す概略図である。
【図8】第3の実施形態にかかる通信システムの構成例を示す概略図である。
【図9】第4の実施形態にかかる通信システムの構成例を示す概略図である。
【符号の説明】
【0129】
9,20…通信システム、21,22…ネットワーク、23,24…FW用コンピュータ、23A、24A…プロキシ部、23B、24B…NIC部、25,27…Webサーバ、26,28…パソコン、29…アクセス制御用通信路、30…ファイアウォール装置、PK1,PK2、PK11…パケット。
【特許請求の範囲】
【請求項1】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、
通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路と、
当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部とを備えたことを特徴とするアクセス制御装置。
【請求項2】
請求項1のアクセス制御装置において、
前記第1の変換処理部は、
不正アクセスにつながる危険要素の混入を排除するため、前記第1の内部プロトコルデータ単位のフォーマットを、予め定めた形式の内部フォーマットに制限することを特徴とするアクセス制御装置。
【請求項3】
請求項1のアクセス制御装置において、
前記第2の通信ネットワークと第2の変換処理部の間に、通用する通信プロトコルが広義TCP/IPプロトコルおよび前記第1の内部通信プロトコル群と異なる第2の内部通信プロトコル群に制限された第2の内部通信路と、
第3の変換処理部とを備え、
前記第2の変換処理部が、前記第1の内部通信路経由で受け取った第1の内部プロトコルデータ単位を原プロトコルデータ単位に復元する替わりに、当該第2の内部通信プロトコル群に適合する第2の内部プロトコルデータ単位に変換する場合、前記第2の内部通信路経由で受け取った第2の内部プロトコルデータ単位を、前記第3の変換処理部が原プロトコルデータ単位に復元して、前記第2の通信ネットワークに送出することを特徴とするアクセス制御装置。
【請求項4】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、
当該変換の前後または変換の過程で、前記原プロトコルデータ単位を用いた不正アクセスを検出し、検出結果を不正アクセス管理部に通知する不正アクセス検出部と、
前記第1の変換処理部自体の動作、第1の変換処理部と前記第1の通信ネットワークのあいだの通信、第1の変換処理部と第1の内部通信路のあいだの通信のうち、少なくともいずれか1つを強制的に停止する強制停止を実行する機能を持つ制御機能部と、
前記不正アクセス検出部から不正アクセスを検出した旨の通知を受けると、前記制御機能部に、前記強制停止を実行させる不正アクセス管理部とを備えたことを特徴とするアクセス制御装置。
【請求項5】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御方法において、
第1の変換処理部が、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換し、
この変換によって得られた第1の内部プロトコルデータ単位を、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路に伝送させ、
第2の変換処理部が、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出することを特徴とするアクセス制御方法。
【請求項6】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されて機能するアクセス制御プログラムにおいて、コンピュータに、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理機能と、
通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路機能と、
当該第1の内部通信路機能経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理機能とを実現させることを特徴とするアクセス制御プログラム。
【請求項1】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、
通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路と、
当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部とを備えたことを特徴とするアクセス制御装置。
【請求項2】
請求項1のアクセス制御装置において、
前記第1の変換処理部は、
不正アクセスにつながる危険要素の混入を排除するため、前記第1の内部プロトコルデータ単位のフォーマットを、予め定めた形式の内部フォーマットに制限することを特徴とするアクセス制御装置。
【請求項3】
請求項1のアクセス制御装置において、
前記第2の通信ネットワークと第2の変換処理部の間に、通用する通信プロトコルが広義TCP/IPプロトコルおよび前記第1の内部通信プロトコル群と異なる第2の内部通信プロトコル群に制限された第2の内部通信路と、
第3の変換処理部とを備え、
前記第2の変換処理部が、前記第1の内部通信路経由で受け取った第1の内部プロトコルデータ単位を原プロトコルデータ単位に復元する替わりに、当該第2の内部通信プロトコル群に適合する第2の内部プロトコルデータ単位に変換する場合、前記第2の内部通信路経由で受け取った第2の内部プロトコルデータ単位を、前記第3の変換処理部が原プロトコルデータ単位に復元して、前記第2の通信ネットワークに送出することを特徴とするアクセス制御装置。
【請求項4】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、
当該変換の前後または変換の過程で、前記原プロトコルデータ単位を用いた不正アクセスを検出し、検出結果を不正アクセス管理部に通知する不正アクセス検出部と、
前記第1の変換処理部自体の動作、第1の変換処理部と前記第1の通信ネットワークのあいだの通信、第1の変換処理部と第1の内部通信路のあいだの通信のうち、少なくともいずれか1つを強制的に停止する強制停止を実行する機能を持つ制御機能部と、
前記不正アクセス検出部から不正アクセスを検出した旨の通知を受けると、前記制御機能部に、前記強制停止を実行させる不正アクセス管理部とを備えたことを特徴とするアクセス制御装置。
【請求項5】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御方法において、
第1の変換処理部が、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換し、
この変換によって得られた第1の内部プロトコルデータ単位を、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路に伝送させ、
第2の変換処理部が、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出することを特徴とするアクセス制御方法。
【請求項6】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されて機能するアクセス制御プログラムにおいて、コンピュータに、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理機能と、
通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路機能と、
当該第1の内部通信路機能経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理機能とを実現させることを特徴とするアクセス制御プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2006−94377(P2006−94377A)
【公開日】平成18年4月6日(2006.4.6)
【国際特許分類】
【出願番号】特願2004−280186(P2004−280186)
【出願日】平成16年9月27日(2004.9.27)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
【公開日】平成18年4月6日(2006.4.6)
【国際特許分類】
【出願日】平成16年9月27日(2004.9.27)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
[ Back to top ]