アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
【課題】 運用管理に依存しない、十分に高いセキュリティ強度を実現する。
【解決手段】 第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、第1の変換処理部と、通用する通信プロトコルが第1の内部通信プロトコル群に制限された第1の内部通信路と、第1の内部通信路経由で受け取った第1の内部プロトコルデータ単位を、原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部と、第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続され、不正アクセスに対する所定の囮機能部を持つ囮通信処理部とを備える。
【解決手段】 第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、第1の変換処理部と、通用する通信プロトコルが第1の内部通信プロトコル群に制限された第1の内部通信路と、第1の内部通信路経由で受け取った第1の内部プロトコルデータ単位を、原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部と、第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続され、不正アクセスに対する所定の囮機能部を持つ囮通信処理部とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はアクセス制御装置、アクセス制御方法およびアクセス制御プログラムに関し、例えば、不正侵入を防止するためのファイアウォール装置などに適用して好適なものである。
【背景技術】
【0002】
従来、企業などの組織内に配置されたコンピュータをインターネット等の外部ネットワークに接続する場合、外部からの不正な侵入を防止するためにファイアウォールを配置して組織内のコンピュータシステムのセキュリティを保つことが多い。
【0003】
ファイアウォールとは、インターネットなどの外部のネットワーク(WAN)と組織や家庭内のネットワーク(LAN)を接続するときなどのように、セキュリティポリシーの異なるネットワークを接続するときに、これらのネットワークの間に配置して、アクセスを制御するソフトウェア、あるいはハードウェアを指す。
【0004】
ファイアウォールの方式は、パケットフィルタリング方式、アプリケーションゲートウェイ方式、ステートフルインスペクション方式に大別される。
【0005】
パケットフィルタリング方式とは、パケットのIPヘッダやTCP(UDP)ヘッダに含まれる情報を元にフィルタリングを行う方式である。ヘッダ情報のみをチェックするのでフィルタリング処理にともなう遅延時間が短く、性能的に優れている。
【0006】
アプリケーションゲートウェイ方式は、プロキシ方式とも呼ばれ、パケットのデータ部分に含まれるアプリケーションプロトコルを解釈してフィルタリングを行う。この方式の場合、組織内のコンピュータと外部のコンピュータとの間は、直接TCP/IP接続されるのではなく、プロキシによって中継されるので、セキュリティ強度的には優れている。
【0007】
ステートフルインスペクション方式は、パケットフィルタリング方式と同様にネットワーク層やトランスポート層で動作するファイアウォールだが、パケットのデータ部分もチェックし、リクエストとレスポンスの整合性などを検査することによってフィルタリングを行うものである。一般に、ステートフルインスペクション方式は、アプリケーションゲートウェイ方式よりも高速に動作し、パケットフィルタリング方式よりもセキュリティ強度が高い。
【0008】
図2に、前記アプリケーションゲートウエイ方式のファイアウォール11を用いた通信システム9を示す。
【0009】
図2において、Webブラウザ10から外部のWebサーバ13にアクセスする場合、TCP/IPのHTTPプロトコルを用いる。ファイアウォール11では、内側(組織内)から外側(インターネット12側)へのHTTPのアクセスを実現するプロキシ11Aを動作させる。組織内のWebブラウザ10から組織外のWebサーバ13へアクセスするとき、ファイアウォール11のプロキシ11AがHTTPプロトコルの中継を行い、Webブラウザ10に所望のWebページを画面表示させることが可能である。
【0010】
このプロキシ11Aでは、外側からのアクセスは受け付けないようにしてあるため、インターネット12上のクラッカが操作するパソコン14から前記組織の内部のコンピュータにアクセスしようとしても、遮断され、アクセスすることができない。また、HTTP以外のTCP/IP接続はルーティングしない設定になっているので、組織内への不正なアクセスは防止可能である。
【発明の開示】
【発明が解決しようとする課題】
【0011】
ところが、上述したファイアウォール11にセキュリティホールが存在する場合、図3に示すように、当該セキュリティホールを突いたパソコン14からの攻撃(S10)により、ファイアウォール11の管理者権限が奪取されてファイアウォール11自体がクラッカに乗っ取られ(S11)、当該ファイアウォール11を踏み台にして組織(LAN)の内部に配置されている各コンピュータに対する不正アクセスが実行される(S12)ことが起こり得る。前記セキュリティホールを塞ぐための迅速なセキュリティパッチ(修正版プログラム)の適用など、適切な対応を迅速に実行すれば、ファイアウォール11のセキュリティ強度を十分に高めることが可能であるが、そのような高いセキュリティ強度を維持しつづけることは、運用管理のための多大な手数を必要とし、必ずしも常に十分なセキュリティ強度を維持できるとは限らない。
【0012】
インターネット上やLAN内などで広く用いられるTCP/IPプロトコルの分野では、多種多様なセキュリティ対策の技術の蓄積があるが、その一方で、それと同程度に、多種多様な不正アクセスのための攻撃技術の蓄積もあり、多くのクラッカがそのような攻撃技術を駆使して攻撃を試みる。このため、いったん、ファイアウォール11が乗っ取られてしまうと、クラッカが駆使する攻撃技術によって組織の内部のコンピュータが多大な被害を被る可能性が高い。特に、前記組織が金融機関など、求められる信用レベルの高い組織である場合、不正アクセスによって個人情報の流出やサービス停止などの被害が発生すれば、大きな損失につながる。
【0013】
したがって、運用管理にそれほど多大な手数をかけなくても、ファイアウォール自体のセキュリティ強度を十分に高くできることが求められる。
【課題を解決するための手段】
【0014】
かかる課題を解決するために、第1の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報(例えば、宛先ポート番号)を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部(例えば、プロキシ部23A)と、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路と、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部と、前記第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続され、不正アクセスに対する所定の囮機能部を持つ囮通信処理部とを備えたことを特徴とする。
【0015】
また、第2の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだでプロトコルデータ単位を中継する際に実行されるアクセス制御方法において、第1の変換処理部は、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換した後、当該第1の内部プロトコルデータ単位を、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路に供給し、第2の変換処理部は、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出し、不正アクセスに対する所定の囮機能部を持つ囮通信処理部が、前記第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続されることを特徴とする。
【0016】
さらに、第3の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されて機能を発揮するアクセス制御プログラムにおいて、コンピュータに、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理機能と、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路機能と、当該第1の内部通信路機能経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理機能と、前記第1の変換処理機能に広義TCP/IPプロトコルが通用する通常通信路機能で接続され、不正アクセスに対する所定の囮機能を持つ囮通信処理機能とを実現させたことを特徴とする。
【発明の効果】
【0017】
本発明によれば、運用管理に依存することなく、十分に高いセキュリティ強度を実現することができる。
【発明を実施するための最良の形態】
【0018】
(A)実施形態
以下、本発明にかかるアクセス制御装置、アクセス制御方法およびアクセス制御プログラムの実施形態について説明する。
【0019】
(A−1)実施形態の構成
本実施形態にかかる通信システム20の全体構成例を図1に示す。なお、当該通信システム20中に、図示しないサーバ類(例えば、DNSサーバやDHCPサーバなど)が存在していてもよいことは当然である。
【0020】
図1において、当該通信システム20は、ネットワーク21,22と、FW用コンピュータ23,24と、Webサーバ25,27と、パソコン26,28と、アクセス制御用通信路29と、ハニーポット用コンピュータ31と、TCP/IP通信路32とを備えている。
【0021】
このうちネットワーク21はWANなど、比較的セキュリティレベルの低い範囲を指し、ネットワーク22はLANなど比較的セキュリティレベルの高い範囲を指す。具体的には、例えば、前記ネットワーク21はインターネット、ネットワーク22は金融機関などの組織の内部に構築されたLANであってよい。
【0022】
ネットワーク21上にはWebサーバ25やパソコン26などが存在する。パソコン26を利用するユーザU2は、不正アクセスを試みるクラッカである。ネットワーク22上にはWebサーバ27やパソコン28などが存在する。パソコン28を利用するユーザU1は前記金融機関の社員などで、パソコン28を利用してネットワーク22内のWebサーバ27やネットワーク21上のWebサーバ25などにアクセスする正当なユーザである。当該パソコン28には、WebブラウザBR1が搭載されているものとする。
【0023】
アクセス制御用通信路29を介して接続された2台のFW用コンピュータ23、24と当該アクセス制御用通信路29によって、論理的に1つのファイアウォール(FW)装置30が構成される。
【0024】
FW用コンピュータ23は、プロキシ部23Aと、NIC(ネットワークインタフェースカード)部23B、23Cとを備え、FW用コンピュータ24は、プロキシ部24Aと、NIC部24Bとを備えている。
【0025】
ここで、NIC部23Bは、FW用コンピュータ23をTCP/IPプロトコルが通用するネットワーク21に接続するためのインタフェースカードである。OSI参照モデルの物理層、データリンク層の通信プロトコルが当該NIC部23Bによって処理されるものであってよい。そのほか、当該FW用コンピュータ23内では、後述するOS(オペレーティングシステム)などが、ネットワーク層やトランスポート層の通信プロトコルを処理する機能を備えている。NIC部23Cも当該NIC部23Bと同様な機能を有する。
【0026】
ネットワーク21がインターネットであれば、当該ネットワーク層の通信プロトコルはIPプロトコルである。また、ネットワーク層がIPプロトコルである場合、データリンク層はIEEE802.3(イーサネット(登録商標))などであることが多い。物理層には有線通信用、無線通信用の様々な通信プロトコルを使用可能である。
【0027】
プロキシ部23Aは、代理応答の機能を持つソフトウエア(ゲートウエイプログラム)の本体で、Webサーバ25に対しWebブラウザと同様なインタフェースを提供する。FW用コンピュータ23内において、当該プロキシ部23Aはアプリケーションプログラムの1つであると見ることができ、ネットワーク21側からネットワーク22側へ届けられるパケットPK1のうち、OSI参照モデルにおけるトランスポート層の通信プロトコルである例えばTCPやUDPの宛先ポート番号として、当該プロキシ部23Aを指定する値を持つパケットのみがFW用コンピュータ23内でプロキシ部23Aに渡される。
【0028】
パケットPK1が宛先ポート番号としてその他の値を持つ場合、プロキシ部23Aを経由しないので、アクセス制御用通信路29に到達しない。また、プロキシ部23Aにおける処理を経なければ、パケットPK1はアクセス制御用通信路29を正常に通過することはできない。
【0029】
アクセス制御用通信路29では、インターネット上で広く用いられるTCP/IPとは異なる通信プロトコルのみが使用される。このような通信プロトコルとして専用の通信プロトコルを用意してもかまわないが、ここでは、限られた局面でのみ利用される一般的な通信プロトコルである局所一般通信プロトコル(物理層の例では、RS−232C、IEEE1394など)を用いるものとする。
【0030】
上述したように、TCP/IPプロトコルの分野では、多種多様なセキュリティ対策の技術の蓄積がある一方で、それと同程度に、多種多様な不正アクセスのための攻撃技術の蓄積もあり、多くのクラッカがそのような攻撃技術を駆使して攻撃を試みることができるが、局所一般通信プロトコル等では、そのような攻撃技術そのものがほとんど存在しないか、存在したとしても広く知られてはいないため、アクセス制御用通信路29を経由させることで、クラッカによる攻撃を阻むことが可能である。
【0031】
前記アクセス制御用通信路29自体は伝送のための構成要素なので、OSI参照モデルのトランスポート層以下の階層に属する通信プロトコルの処理を実行する。
【0032】
このトランスポート層以下の階層に属する局所一般通信プロトコルに適合するように、トランスポート層より上位の階層であるプレゼンテーション層やアプリケーション層などの通信プロトコルを処理するのが、プロキシ部23A、24Aの役割である。プロキシ部23A、24Aの機能の詳細については後述する。
【0033】
前記アクセス制御用通信路29内に配置され、OSI参照モデルの下位の階層の通信プロトコルを処理するプロトコル処理モジュール(図示せず)は上位の階層の通信プロトコルのトラフィックを透過的に通過させる性質を持つことが必要であるため、トランスポート層以下の下位の階層のセキュリティ強度をアクセス制御用通信路29によって確保したとしても、プレゼンテーション層やアプリケーション層など上位の階層のセキュリティ強度はそれぞれ独立に、前記プロキシ部23A、24Aによって確保することが必要である。
【0034】
結局、セキュリティ強度を高めるためには、最下位の物理層から最上位のアプリケーション層に及ぶすべての階層で、TCP/IPプロトコルとは異なる前記局所一般通信プロトコル等を用いることが望ましい。例えば、物理層やデータリンク層だけ前記局所一般通信プロトコルを使用したとしても、より上位のアプリケーション層などでTCP/IPプロトコル(例えば、HTTPプロトコル)をそのまま利用すれば、TCP/IPプロトコルの分野で広く知られた攻撃技術の使用を許してしまう可能性が高いからである。
【0035】
ただし、ある階層(例えば、データリンク層)のプロトコルの持つセキュリティホールを突く攻撃はその階層のプロトコルを局所一般通信プロトコルに変換させることによって防御できるので、必ずしもすべての階層で局所一般通信プロトコルを用いなくても一定の効果は期待できる。
【0036】
なお、OSI参照モデルは、7つの階層からなるプロトコル体系であるため、OSI参照モデルに忠実な実装を行うと、プロトコル処理モジュールを各階層ごとに1つずつ、合計7つ用意しなければならないが、必要に応じて、複数の階層を1つのプロトコル処理モジュールで処理するようにしてもかまわない。例えば、アプリケーション層、プレゼンテーション層、およびセッション層を1つのプロトコル処理モジュールによって処理するようにしてもよい。この場合、前記プロキシ部23Aは1つのプロトコル処理モジュールによって構成されることになる。
【0037】
「TCP/IP」には狭義と広義があり、狭義では、TCPとIPを指すが、広義では、TCPやIPを含め、インターネット上で標準的に使用されるプロトコル全般を指す。したがって広義のTCP/IPには、例えば、HTTP、SMTP、FTPなども含まれる。以下では、「TCP/IP」の語はすべてこの広義のものとして用いる。
【0038】
前記プロキシ部23AはWebのためのHTTPプロトコルを処理するためのプロキシであるが、通常、プロキシ部は通信プロトコルごとに必要である。したがって、他の通信プロトコル(例えば、FTPなど)を処理する場合には、そのためのプロキシ部をFW用コンピュータ23に搭載する必要がある。必要に応じて、1つのプロキシ部で特定の複数の通信プロトコルを処理するようにしてもよい。いずれにしても、予め用意してあるプロキシ部(ここでは、23A)が対応できる特定の通信プロトコルしか処理することができないため、ネットワーク22側の前記組織が必要とする通信プロトコルに対応するプロキシ部のみを用意するようにしておけば、その他の通信プロトコルを用いて不正アクセスが行われることを防止できる。
【0039】
本実施形態のプロキシ部23Aの特徴は、宛先ポート番号として自身を指定する値を持つパケットPK1を受信した場合、前記局所一般通信プロトコルに適合するプロトコルデータ単位(PDU)である内部パケットPK11に変換(変換処理)した上で、前記アクセス制御用通信路29に供給する点にある。
【0040】
通信の内容が定型データのみである場合などには、変換処理の前または後、あるいは、この変換処理の過程で、予め定めたフォーマットに変換することにより、不正アクセスを許す可能性のあるデータの混入を排除することが好ましい。このフォーマットには、利用され得る攻撃技術に応じて様々なものがあり得るが、一例として、バッファオーバーフロー攻撃の対策の場合、1パケットの最大サイズ(例えば、ペイロード部の最大サイズ)を、バッファオーバーフロー現象を発生させることのできない所定値以下のものに制限することをもって当該フォーマットとしてもよい。起こり得る複数の攻撃に対応するため、同時に複数の条件に適合するように、当該フォーマットを定めてよいことは当然である。
【0041】
前記アクセス制御用通信路29を介してこの内部パケットPK11を受け取ったプロキシ部24Aは、当該内部パケットPK11を、TCP/IPプロトコルに適合したパケットPK1に復元(復元処理)してNIC部24Bからネットワーク22へ送出する。
【0042】
ここで、NIC部24Bは、FW用コンピュータ24をTCP/IPプロトコルが通用するネットワーク22に接続するためのインタフェースカードである。
【0043】
すなわち、本実施形態では、LANであるネットワーク22内でも、通常のTCP/IPプロトコルが使用されることを前提としている。したがってネットワーク22はTCP/IPプロトコルが使用される点で前記ネットワーク21と同じであるが、金融機関などの内部に構築されたネットワークであるため、インターネットなどに対応するネットワーク21に比べ、高いセキュリティレベルを維持する必要がある。
【0044】
なお、ネットワーク22内のパソコン28が、パケットPK2を送信してネットワーク21上のWebサーバ25などにアクセスすることも許す場合、プロキシ部24Aで前記変換処理、プロキシ部23Aで前記復元処理を実行した上で、この復元処理によって得られたパケットPK2をNIC部23Bを介してネットワーク21に送出する構成を取ることが望ましい。また、Webサーバ27を外部に公開する場合などには、ネットワーク21上の正当なユーザのパソコンからのリクエストメッセージ(パケット)に応じたレスポンスメッセージ(パケット)を、Webサーバ27から送信する必要があるが、その場合には、Webサーバ27が送信したパケットに対し、プロキシ部24Aによる前記変換処理と、プロキシ部23Aによる前記復元処理を実行することになる。
【0045】
これにより、ネットワーク22内のパソコン28などから外部にあるネットワーク21上のコンピュータを攻撃すること等によって、ネットワーク22を持つ組織の社会的信用が失墜することを防止することができる。このような攻撃は、たとえユーザU1に悪意がない場合でも、パソコン28などがコンピュータウイルス(狭義のコンピュータウイルスだけでなく、ワームやトロイの木馬なども含む)に感染すること等によって実行される可能性がある。コンピュータウイルスの感染経路はネットワーク経由のものに限らないため、前記ファイアウォール装置30を用いたとしてもパソコン28がコンピュータウイルスに感染することは起こり得、そのようなケースに配慮しておくことは必要になる。
【0046】
ただし、別な方法で、ネットワーク22内のセキュリティレベルを高く維持できる場合などには、ネットワーク22からネットワーク21へ向かう外向きのパケットの変換処理や復元処理は、ネットワーク21からネットワーク22へ向かう内向きのパケットの変換処理や復元処理に比べて、処理量の少ない簡易なものとしてもよい。これにより、変換処理や復元処理自体によるセキュリティ強度は低減するが、FW用コンピュータ23,24の処理能力にかかる負荷を軽減できる。
【0047】
アクセス制御用通信路29(に設けられるプロトコル処理モジュール)は、前記局所一般通信プロトコルに対応していないパケットPK1が届いた場合、その処理を拒否するように構成しておくとよい。
【0048】
前記ハニーポット用コンピュータ31は、IDS(侵入検知システム)部31Aと、接続元特定部31Bと、偽データ部31Cと、セッション切断部31Dと、NIC部31Eとを備えている。
【0049】
このうちNIC部31Eは前記NIC部23Bに対応するので、その詳しい説明は省略する。
【0050】
当該NIC部31Eは前記NIC部23CとTCP/IP通信路32を介して対向する部分である。TCP/IP通信路32では、TCP/IPプロトコルが通用する。
【0051】
すなわち、ハニーポット用コンピュータ31とFW用コンピュータ23は、NIC部23C、TCP/IP通信路32,NIC部31Eを介して接続されているため、FW用コンピュータ23とハニーポット用コンピュータ31とのあいだではTCP/IPプロトコルによる通信を行うことができる。
【0052】
また、当該TCP/IP通信路32では、データリンク層や物理層でも前記IEEE802.3(イーサネット)など、IPプロトコルと組み合わせて用いられることの多い一般的なプロトコルをそのまま用いることが望ましい。
【0053】
上述した通りであるから、クラッカU2は、プロキシ部23Aおよびアクセス制御用通信路29を経由して内側のFW用コンピュータ24などに不正アクセスを試みても、知っている攻撃技術が使えないため失敗することが多いが、TCP/IP通信路32経由で不正アクセスを試みた場合、攻撃技術が使え、一見すると容易に成功しそうに見えるため、結果として不正アクセスのアクセス先はハニーポット用コンピュータ31側へ誘導される。もちろん、クラッカU2がアクセス制御用通信路29の存在に気付かず、最初に、ハニーポット用コンピュータ31へアクセスしてくれると、いっそう好都合である。
【0054】
ハニーポット用コンピュータ31自体は、基本的に周知のハニーポットであってよい。すなわち当該ハニーポット用コンピュータ31は、クラッカU2から見て、一見、杜撰な方法で、重要そうな情報を蓄積、管理している収穫の多い攻略容易な(セキュリティホールを残した)攻撃対象であるかのように振る舞うが、これらはすべて偽装であり、実際には、セキュリティ的な観点で厳格に構成、管理されていて、乗っ取ることも踏み台にすることも不可能である。ハニーポット用コンピュータ31の真の役目は、クラッカU2による攻撃の手法を調べたり、クラッカU2に関する情報を収集したりする点などにある。
【0055】
偽データ部31Cは、クラッカU2から見て、一見、重要そうに見える偽データを蓄積したデータベースなどに相当する部分である。
【0056】
IDS部31Aは、不正アクセスを検知する部分である。例えば、予め登録された不正侵入のパターン(シグネチャ)に適合するか否かを調べることにより、あるアクセスが不正アクセスであるか否かを判定する。不正アクセスを検知した場合、IDS部31Aは、何らかの通知手段(例えば、電子メールの送信やパトランプの点灯など)で管理者などに知らせることが望ましい。
【0057】
接続元特定部31Bは、当該IDS部31Aが不正アクセスを検知した場合、そのアクセス元であるコンピュータ(ここでは、パソコン26とする)やユーザ(ここでは、U2)に関する識別情報を特定する。この識別情報は様々な用途で利用できる可能性があるが、例えば、所定のブラックリストに載せて、今後、そのコンピュータやユーザからの接続要求メッセージを受信しても接続を拒否させるために利用することも望ましい。当該識別情報としては、例えば、SIP−URIや電子メールアドレスなどのアプリケーションレベルの情報や、IPアドレスなどの伝送制御レベルの情報などを用いることができる。
【0058】
この接続の拒否は、内側のFW用コンピュータ24やハニーポット用コンピュータ31などでも行ってよいが、外側のFW用コンピュータ23に行わせることが重要である。外部からのパケットは不正なものも不正でないものも、すべて最初に、この外側のFW用コンピュータ23を経由するため、FW用コンピュータ23で接続を拒否すれば、その他のコンピュータ(例えば、24)への不正アクセスも阻止できるからである。また、アクセス制御用通信路29によって内部への侵入を防ぐことができるとしても、例えば、外側のFW用コンピュータ23が乗っ取られてしまうと、FW用コンピュータ23を経由する内部から外部へのアクセス(例えば、パソコン28からWebサーバ25へのアクセスなど)を行うことも難しくなる等、金融機関などの組織による業務の遂行に支障が出るおそれがあるため、接続を拒否することによって外側のFW用コンピュータ23自体の乗っ取りの可能性を低減することが望ましいからである。
【0059】
セッション切断部31はIDS部31Aが不正アクセスであると判定した場合、アクセス元とのセッションを強制的に切断させる部分である。セッションの切断は、IDS部31Aが不正アクセスであると判定したあと直ちに行ってもよいが、その時点でまだ前記識別情報が収集できていない場合には、収集完了後に行ってもよい。
【0060】
なお、前記FW用コンピュータ23と24、ハニーポット用コンピュータ31の3つはそれぞれ別個のコンピュータであるから、それぞれ、CPU(中央処理装置)、半導体メモリなどの主記憶装置、ハードディスク等の補助記憶装置などの図示しないハードウエア構成要素、セキュアOS(セキュアオペレーティングシステム)、ミドルウエア、アプリケーションソフトウエア等のソフトウエア構成要素を備えていることは当然である。
【0061】
以下、上記のような構成を有する本実施形態の動作について図4〜図7を用いて説明する。
【0062】
図4は、通常時にパケットの流れる経路を示している。ただし図4では、NIC部23B、24Bや、ネットワーク22、ハニーポット用コンピュータ31など、いくつかの構成要素は省略している。この点は、図5,図6でも同様である。
【0063】
図5は、クラッカU2による攻撃が行われたときの動作を示す概略図で、S20〜S22の各ステップを備えている。
【0064】
図6は、図1に示すネットワーク構成の場合には、不正侵入はまず最初にFW用コンピュータ23に対して行われ、そこからアクセス先がハニーポット用コンピュータ31に誘導される様子を示す概略図で、S1、S2の各ステップを備えている。
【0065】
図7は、不正侵入とその対応策(ハニーポット用コンピュータ31を利用したもの)の実行手順を示したフローチャートで、S10〜S14の各ステップから構成されている。
【0066】
(A−2)実施形態の動作
図4に示すように、通常、前記ネットワーク22内のパソコン28に搭載されたWebブラウザBR1を利用することによって、ユーザU1が外部のネットワーク21上にあるWebサーバ25へアクセスする場合、HTTPリクエストメッセージを収容したパケットPK2がWebブラウザBR1を搭載したパソコン28から送信され、このパケットPK2は、前記ネットワーク22上のルータ(図示せず)などを経由してFW用コンピュータ24に受信される。
【0067】
HTTPリクエストメッセージである以上、通常、そのパケットPK2に含まれるTCPヘッダ中の宛先ポート番号には、HTTPのウエルノウンポート番号である80番が、宛先ポート番号として記述されている。この80番に基づいて、FW用コンピュータ24は当該パケットPK2の内容(ペイロード部)をプロキシ部24Aに供給し、当該プロキシ部24Aで前記変換処理を実行して、変換処理の結果を含むパケットPK21を生成する。当該パケットPK21は、前記パケットPK11に対応する。この変換処理の際に、上述した予め定めたフォーマットに変換するようにすれば、ユーザU1がネットワーク21上のコンピュータを攻撃しようとしたり、パソコン28がコンピュータウイルスに感染してネットワーク21上のコンピュータを攻撃したりする場合であっても、その攻撃を阻止することが可能である。なお、必要ならば、セキュリティ性に配慮し、HTTPのポート番号として前記80番以外の値を用いてもよいことは当然である。
【0068】
当該変換処理で生成されたパケットPK21は、アクセス制御用通信路29を介してFW用コンピュータ24から23へ伝送され、FW用コンピュータ23内でプロキシ部23Aへ供給される。プロキシ部23Aでは、前記復元処理が実行されて、元のパケットPK2が生成される。
【0069】
このパケットPK2はFW用コンピュータ23からネットワーク21へ送出されると、ネットワーク21上のルータ(図示せず)などに中継されて、Webサーバ25に届けられる。
【0070】
このパケットPK2に収容されていたHTTPリクエストメッセージを受け取ると、前記Webサーバ25は、対応するHTTPレスポンスメッセージを生成し、当該HTTPレスポンスメッセージを収容したパケットPK1をネットワーク21に送出する。このあと、当該パケットPK1は、ネットワーク21上のルータなどに中継されてFW用コンピュータ23まで届けられる。
【0071】
前記パケットPK2をネットワーク21に送出する時点で、FW用コンピュータ23のOSなどが、当該パケットPK2に含まれるTCPヘッダ中の送信元ポート番号として、プロキシ部23Aを指定する番号を設定するので、Webサーバ25から返送されてきた当該パケットPK1をプロキシ部23Aに供給することができる。
【0072】
パケットPK1の内容を受け取ったプロキシ部23Aは、前記変換処理を実行し、変換処理の結果を含む前記パケットPK11を生成する。生成された当該パケットPK11は、前記アクセス制御用通信路29を介してFW用コンピュータ24まで届けられ、FW用コンピュータ24内でプロキシ部24Aに供給される。このパケットPK11の内容を受け取ったプロキシ部24Aでは、前記復号処理を実行し、復号処理の結果を含む前記パケットPK1をネットワーク22に送出することにより、パソコン28まで届ける。
【0073】
パソコン28内では、当該パケットPK1に含まれているHTTPレスポンスメッセージの内容に応じて、例えば、Webページの画面表示などを行う。
【0074】
このようにWebブラウザBR1とWebサーバ25のあいだで、メッセージのやり取りが行われるたびに、そのメッセージを収容したパケットPK2,PK1が、プロキシ部24Aによる変換処理や復元処理、およびプロキシ部23Aによる復元処理や変換処理を経て、前記アクセス制御用通信路29を介した通信が実行される。
【0075】
ここで、図5に示すように、ネットワーク21上のクラッカU2がパソコン26を利用して、セキュリティホールを突いた攻撃を行うため不正にパケット(これもPK1とする)を送り付けることによって、FW用コンピュータ23および24の乗っ取りを試みるものとする(S20)。
【0076】
FW用コンピュータ23の運用管理が適切に行われていて、新しく発見されたセキュリティホールなどが完全に塞がれている場合、このような攻撃が成功することはほとんどないが、少なくとも一時的に運用管理が適切に行えないケースや全く新しい未知の攻撃がなされたケースなどでは、攻撃が成功し、FW用コンピュータ23Aの管理者権限が奪取され、乗っ取られることが起こり得る(S21)。
【0077】
しかしながら、本実施形態では、このようなケースでも、プロキシ部23Aによる変換処理とアクセス制御用通信路29による前記局所一般通信プロトコルによる通信を経なければ、さらに内側のFW用コンピュータ24にアクセスすることができない。そして、プロキシ部23Aによる変換処理では、アプリケーション層からセッション層にあたるTCP/IPプロトコルを用いた攻撃が阻止され、アクセス制御用通信路29では、トランスポート層から物理層にあたる通信プロトコルを用いた攻撃が阻止される。
【0078】
例えば、クラッカU2がパソコン26を操作して所定値以上に長いペイロード部を持つIPパケットを送り付け、FW用コンピュータ24Aが搭載した前記主記憶装置の記憶領域内に予めバッファとして確保されている特定の領域をオーバーフローさせるバッファオーバーフロー現象を起こすことにより、FW用コンピュータ24のサービス停止や乗っ取りを狙うバッファオーバーフロー攻撃を試みたとしても、プロキシ部23Aの変換処理で前記フォーマットへの変換が行われた結果、前記パケットPK11の1パケット当たりのペイロード部の最大サイズが所定値以下に制限されると、前記バッファオーバーフロー現象を起こすことができないため、バッファオーバーフロー攻撃は阻止される。
【0079】
この場合、FW用コンピュータ24の運用管理が適切に行われておらず、FW用コンピュータ24にバッファオーバーフロー攻撃が可能なセキュリティホールが残っていたとしても、内部にあるFW用コンピュータ24は乗っ取ることができない。クラッカU2がFW用コンピュータ23を乗っ取ったとしても、アクセス制御用通信路29では前記局所一般通信プロトコルしか通用しないので、クラッカU2がFW用コンピュータ24へのアクセス方法を知ることは容易ではないからである。また、FW用コンピュータ24(プロキシ部24A)は、プロキシ部23Aで前記変換処理の際に獲得される特定のフォーマットのパケットしか受け取らないからである。
【0080】
結局、クラッカU2は、FW用コンピュータ23および24によって構成される論理的なファイアウォール装置30を越えて内部に侵入することはできない。したがって、前記WebブラウザBR1を搭載したパソコン28,Webサーバ27など、ネットワーク22内に含まれる各種コンピュータは、クラッカU2からの攻撃を受けることがない。これにより、例えば、ネットワーク22内のデータベース(図示せず)に蓄積された顧客などの個人情報がFW用コンピュータ24,23経由でクラッカU2に盗まれることによって流出することを完全に防止できる。
【0081】
また、クラッカU2がFW用コンピュータ23の機能を停止させれば、ネットワーク22内のパソコン28などから、FW用コンピュータ24および23を経由してネットワーク21上のWebサーバ25にアクセスすること等はできなくなるものの、ネットワーク22内のコンピュータ(例えば、28,27など)を利用して、当該組織が顧客に提供しているサービスなどは支障無く継続することができるので、被害は小さい。
【0082】
しかしながら、以上の動作では、ハニーポット用コンピュータ31の存在を考慮に入れていない。ハニーポット用コンピュータ31の動作によって、全体の動作は図6、図7に示したものに変わる可能性が高い。
【0083】
図6および図7において、クラッカU2はFW用コンピュータ23への侵入に成功したあと(S1、S10)、さらに重要そうな情報などを取得するために侵入経路を探索する(S11)。TCP/IPプロトコルの分野で侵入経路の探索に用いられる技術には様々なものがあるが、一例として、ポートスキャンがある。
【0084】
ポートスキャンはTCPやUDPのポート宛てにポート番号を順次変化させながら、応答メッセージの返送を要求する応答要求メッセージを送り付けることを繰り返すもので、攻撃を仕掛けるまえの下調べに利用されることが多い。いずれかのポートから応答メッセージが返送されてくると、クラッカU2には、そのポート番号に対応するアプリケーション(サービス)がハニーポット用コンピュータ31上で稼動していることが分かる。ハニーポット用コンピュータ31の場合、クラッカU2を自身に誘導する囮としての役目を持つから、意図的に、セキュリティホールを残したバージョンのアプリケーション(例えば、TelnetサーバやFTPサーバなど)を稼動させ、そのアプリケーションが応答メッセージを返送したかのように振る舞う。
【0085】
例えば、Telnetサーバの23番やFTPサーバの21番などの代表的なポートが開いていたり、セキュリティ管理の行き届いたサーバでは応答しないように設定されていることの多い、pingの投入(ICMPエコー要求パケット)に応答する設定となっていたりすることは、このような振る舞いに該当する。ただし、これはクラッカU2の注意を自身に誘導するためのものであるから、本当のTelnetサーバやFTPサーバではなく、偽のアプリケーションである。
【0086】
TCP/IP通信路32では、TCP/IPプロトコルの分野で知られている攻撃技術がすべて利用可能であるため、クラッカU2はこのような侵入経路の探索を容易に行うことができる。
【0087】
つづいて、侵入経路探索の結果をもとに、クラッカU2がハニーポット用コンピュータ31に不正侵入を開始する(S2、S12)。
【0088】
このとき、ハニーポット用コンピュータ31内では、クラッカU2に、偽データ部31Cが蓄積している前記偽データなどを取得させる一方で、IDS部31AがクラッカU2によるアクセスが不正アクセスであることを検知し、その検知の前後に、上述した接続元特定部31BがクラッカU2あるいはクラッカU2が利用するパソコン26の識別情報を特定し、セッション切断部31DがクラッカU2(パソコン26)のセッションを切断する(S13)。セッションの切断は、具体的には、その時点でパソコン26からのアクセスを受け付けているコンピュータのポート(ここでは、23および31のポート)を強制的に塞ぐ操作である。
【0089】
このセッションの切断は、少なくともハニーポット用コンピュータ31内で行うことができる。また、クラッカU2によってそのための機能が破壊されていなければ、FW用コンピュータ23内でも行わせることができる。
【0090】
さらにFW用コンピュータ23とネットワーク21のあいだに別のファイアウォール装置(図示せず)が存在する場合には、そのファイアウォール装置の該当するポートを強制的に塞ぐことによって、FW用コンピュータ23の機能の破壊状態に依存することなく、パソコン26とFW用コンピュータ23のあいだのセッションを強制的に切断することができる。
【0091】
前記ステップS10の不正侵入で、どの程度、FW用コンピュータ23の機能が失われているかは、その時点でクラッカU2がFW用コンピュータ23に対して行った不正アクセス(破壊活動)の内容に依存するが、必要ならば、前記セッションの切断後、FW用コンピュータ23に対し、その本来の機能を回復するための保守作業が行われる。
【0092】
ただし、クラッカU2から見た場合、前記アクセス制御用通信路29はその存在を認識することさえ難しく、存在を認識できたとしても侵入が困難である。これに対し、ハニーポット用コンピュータ31の存在は極めて分かりやすく、侵入も容易であるため、クラッカU2の注意はハニーポット用コンピュータ31に向けられやすい。また、クラッカU2の注意がハニーポット用コンピュータ31へ向けられるほど、不正アクセスのための試みの多くがハニーポット用コンピュータ31に対して実行されるため、結果として、FW用コンピュータ23の被害が軽微なものになることも期待できる。FW用コンピュータ23の被害が軽微であれば、FW用コンピュータ23が本来の機能を回復することも容易であるし、クラッカU2がFW用コンピュータ23に侵入したあとでもユーザU1などがFW用コンピュータ23経由で外部のWebサーバ25などにアクセスできる可能性も高くなり、金融機関などの組織による業務の遂行への影響も小さくなる。
【0093】
もちろん、不正侵入のあとFW用コンピュータ23に行われる前記保守作業では、単に、本来の機能を回復するだけでなく、クラッカU2による不正侵入を許してしまった原因であるFW用コンピュータ23のセキュリティホールを塞いでおくことも重要である。
【0094】
次に、上述した接続元特定部31Bが特定したクラッカU2あるいはクラッカU2が利用するパソコン26の識別情報を前記ブラックリストに載せて、クラッカU2による次回の不正アクセスに備える(S14)。クラッカU2やパソコン26の識別情報をブラックリストに載せて、パソコン26から送信される接続要求メッセージを拒否させれば、パソコン26はFW用コンピュータ23とのあいだにセッションを張ることさえできないため、不正アクセスを実行することは困難となる。また、例えば、識別情報を詐称したり、第3のサーバ(図示せず)などを踏み台にした場合などには、セッションを張ることはできるが、すでに前記セキュリティホールは塞がれているため、不正アクセスを実現することはできない。
【0095】
識別情報の詐称や踏み台の用意にも時間や手間がかかり、そのための試行錯誤を繰り返す過程で、クラッカU2は、FW用コンピュータ23が、攻略の困難な対象であることを認識し、攻略を断念する可能性は小さくない。また、ハニーポット用コンピュータ31上のアプリケーションが偽のアプリケーションであること、識別情報が特定されたこと、ハニーポット用コンピュータ31の偽データ部31から取得したデータが偽データであることなどが分かれば、クラッカU2は強い警戒心を抱き、FW用コンピュータ23への不正アクセスを諦める可能性も高い。
【0096】
以上の動作は、クラッカU2が、バッファオーバーフロー以外のTCP/IPプロトコルの分野で用いられる攻撃技術を使用した場合にも成立することは当然である。
【0097】
(A−3)実施形態の効果
本実施形態によれば、ファイアウォール装置(30)において、運用管理に依存することなく、十分に高いセキュリティ強度を実現することができる。
【0098】
加えて、本実施形態では、侵入困難なアクセス制御用通信路(29)と侵入容易なハニーポット用コンピュータ(31)を用意することにより、不正アクセスのアクセス先をハニーポット用コンピュータに誘導することができるので、セキュリティ強度をいっそう高めることが可能である。
【0099】
また、ハニーポット用コンピュータの存在は、侵入されたFW用コンピュータ(23)の被害の程度を軽微なものにし、FW用コンピュータ経由の本来の通信(例えば、ユーザU1によるWebサーバ25へのアクセスなど)の信頼性を高めることにも寄与できる可能性がある。クラッカ(U2)の注意がハニーポット用コンピュータに向けられると、不正アクセスのための試みの多くがハニーポット用コンピュータに対して実行されることが期待できるからである。
【0100】
(B)他の実施形態
上記実施形態のネットワーク構成は変更することが可能である。
【0101】
例えば、図8に示すネットワーク構成を用いてもかまわない。
【0102】
図8において、図1と同じ符号を付与した構成要素21、23、24,23A、23B、24A、24B、30,20,31、31A、31B、31C、31Dの機能は基本的に上記実施形態と同じなので、その詳しい説明は省略する。
【0103】
上記実施形態では、FW用コンピュータ23にハニーポット用コンピュータ31が収容された接続関係になっており、外部からクラッカU2が不正アクセスする場合、最初は必ず、FW用コンピュータ23に侵入する必要があったが、本実施形態では、中継装置50に、前記ファイアウォール装置30と、ハニーポット用コンピュータ31が収容された構成となっているため、FW用コンピュータ23に侵入する前にハニーポット用コンピュータ31に侵入することが可能となる。運用によって、FW用コンピュータ23に侵入する前にハニーポット用コンピュータ31に侵入する可能性をさらに高めることができる。
【0104】
これは、ハニーポット用コンピュータ31にクラッカU2からの不正アクセスが行われたことが前記IDS部31Aによって検知されれば、前記識別情報がブラックリストに載せられて、クラッカU2からの接続要求がFW用コンピュータ23で拒否されるため、図8の構成は結局、FW用コンピュータ23に対するクラッカU2の攻撃を未然に防ぎ、FW用コンピュータ23への不正侵入を困難にすることに寄与する。
【0105】
前記中継装置50は、ファイアウォール装置30とは別個のファイアウォール装置やルータである。一例として、当該中継装置50はファイアウォール機能を搭載したルータであってもよい。
【0106】
なお、図8の構成のように、中継装置50にハニーポット用コンピュータ31を収容すると共に、図1の構成のようにFW用コンピュータ23にも、ハニーポット用コンピュータ31を収容するようにしてもよいことは当然である。
【0107】
また、上述したように、本発明では、最下位の物理層から最上位のアプリケーション層に及ぶすべての階層で、TCP/IPプロトコルとは異なる前記局所一般通信プロトコル等を用いることが望ましいが、必要ならば、一部の階層のみ、前記局所一般通信プロトコルを用いることも可能である。
【0108】
例えば、TCP/IPプロトコルの分野で広く知られた攻撃技術の使用のみを阻むことが目的ならば、物理層やデータリンク層などの下位の階層では、広く利用されるIEEE802.3などをそのまま利用し、ネットワーク層やトランスポート層やそれ以上の上位の階層で、前記局所一般通信プロトコルや専用の通信プロトコルを用いる構成が有効である。
【0109】
また、物理層からトランスポート層までの階層でのみ前記局所一般通信プロトコル等を用い、セッション層以上の階層では、TCP/IPプロトコルをそのまま利用する構成を取っても、物理層からトランスポート層の通信プロトコルを利用した攻撃に対して、セキュリティ強度を高めることが可能なので、一定の効果が期待できる。
【0110】
なお、本発明は、ネットワークインタフェース部分にIPアドレスを設定しないステルス型のファイアウォールなどにも適用可能である。
【0111】
上記実施形態で利用した各階層の通信プロトコルは他の通信プロトコルに置換できることは当然である。
【0112】
例えば、HTTPプロトコルは、前記SMTPなどにも置換可能である。また、例えば、RS−232CやIEEE1394などもその他の通信プロトコルに置換できる可能性がある。
【0113】
以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することができ、ソフトウエア的に実現した機能のほとんど全てはハードウエア的に実現することが可能である。
【0114】
例えば、前記プロキシ部23A、24Aなどをハードウエアによって実現してもかまわない。また、このハードウエアは、FW用コンピュータ23,24の中にあってもよいし、FW用コンピュータ23,24にそれぞれ接続された別筐体の装置であってもよい。
【図面の簡単な説明】
【0115】
【図1】実施形態にかかる通信システムの全体構成例を示す概略図である。
【図2】従来の通信システムの全体構成例を示す概略図である。
【図3】発明が解決しようとする課題を説明するための概略図である。
【図4】実施形態の動作説明図である。
【図5】実施形態の動作説明図である。
【図6】実施形態の動作説明図である。
【図7】実施形態の動作説明図である。
【図8】他の実施形態の動作説明図である。
【符号の説明】
【0116】
9,20、50…通信システム、21,22…ネットワーク、23,24…FW用コンピュータ、23A、24A…プロキシ部、23B、23C、24B、31E…NIC部、25,27…Webサーバ、26,28…パソコン、29…アクセス制御用通信路、30…ファイアウォール装置、31…ハニーポット用コンピュータ、31A…IDS部、31B…接続元特定部、31C…偽データ部、31D…セッション切断部、32…TCP/IP通信路、PK1,PK2、PK11…パケット。
【技術分野】
【0001】
本発明はアクセス制御装置、アクセス制御方法およびアクセス制御プログラムに関し、例えば、不正侵入を防止するためのファイアウォール装置などに適用して好適なものである。
【背景技術】
【0002】
従来、企業などの組織内に配置されたコンピュータをインターネット等の外部ネットワークに接続する場合、外部からの不正な侵入を防止するためにファイアウォールを配置して組織内のコンピュータシステムのセキュリティを保つことが多い。
【0003】
ファイアウォールとは、インターネットなどの外部のネットワーク(WAN)と組織や家庭内のネットワーク(LAN)を接続するときなどのように、セキュリティポリシーの異なるネットワークを接続するときに、これらのネットワークの間に配置して、アクセスを制御するソフトウェア、あるいはハードウェアを指す。
【0004】
ファイアウォールの方式は、パケットフィルタリング方式、アプリケーションゲートウェイ方式、ステートフルインスペクション方式に大別される。
【0005】
パケットフィルタリング方式とは、パケットのIPヘッダやTCP(UDP)ヘッダに含まれる情報を元にフィルタリングを行う方式である。ヘッダ情報のみをチェックするのでフィルタリング処理にともなう遅延時間が短く、性能的に優れている。
【0006】
アプリケーションゲートウェイ方式は、プロキシ方式とも呼ばれ、パケットのデータ部分に含まれるアプリケーションプロトコルを解釈してフィルタリングを行う。この方式の場合、組織内のコンピュータと外部のコンピュータとの間は、直接TCP/IP接続されるのではなく、プロキシによって中継されるので、セキュリティ強度的には優れている。
【0007】
ステートフルインスペクション方式は、パケットフィルタリング方式と同様にネットワーク層やトランスポート層で動作するファイアウォールだが、パケットのデータ部分もチェックし、リクエストとレスポンスの整合性などを検査することによってフィルタリングを行うものである。一般に、ステートフルインスペクション方式は、アプリケーションゲートウェイ方式よりも高速に動作し、パケットフィルタリング方式よりもセキュリティ強度が高い。
【0008】
図2に、前記アプリケーションゲートウエイ方式のファイアウォール11を用いた通信システム9を示す。
【0009】
図2において、Webブラウザ10から外部のWebサーバ13にアクセスする場合、TCP/IPのHTTPプロトコルを用いる。ファイアウォール11では、内側(組織内)から外側(インターネット12側)へのHTTPのアクセスを実現するプロキシ11Aを動作させる。組織内のWebブラウザ10から組織外のWebサーバ13へアクセスするとき、ファイアウォール11のプロキシ11AがHTTPプロトコルの中継を行い、Webブラウザ10に所望のWebページを画面表示させることが可能である。
【0010】
このプロキシ11Aでは、外側からのアクセスは受け付けないようにしてあるため、インターネット12上のクラッカが操作するパソコン14から前記組織の内部のコンピュータにアクセスしようとしても、遮断され、アクセスすることができない。また、HTTP以外のTCP/IP接続はルーティングしない設定になっているので、組織内への不正なアクセスは防止可能である。
【発明の開示】
【発明が解決しようとする課題】
【0011】
ところが、上述したファイアウォール11にセキュリティホールが存在する場合、図3に示すように、当該セキュリティホールを突いたパソコン14からの攻撃(S10)により、ファイアウォール11の管理者権限が奪取されてファイアウォール11自体がクラッカに乗っ取られ(S11)、当該ファイアウォール11を踏み台にして組織(LAN)の内部に配置されている各コンピュータに対する不正アクセスが実行される(S12)ことが起こり得る。前記セキュリティホールを塞ぐための迅速なセキュリティパッチ(修正版プログラム)の適用など、適切な対応を迅速に実行すれば、ファイアウォール11のセキュリティ強度を十分に高めることが可能であるが、そのような高いセキュリティ強度を維持しつづけることは、運用管理のための多大な手数を必要とし、必ずしも常に十分なセキュリティ強度を維持できるとは限らない。
【0012】
インターネット上やLAN内などで広く用いられるTCP/IPプロトコルの分野では、多種多様なセキュリティ対策の技術の蓄積があるが、その一方で、それと同程度に、多種多様な不正アクセスのための攻撃技術の蓄積もあり、多くのクラッカがそのような攻撃技術を駆使して攻撃を試みる。このため、いったん、ファイアウォール11が乗っ取られてしまうと、クラッカが駆使する攻撃技術によって組織の内部のコンピュータが多大な被害を被る可能性が高い。特に、前記組織が金融機関など、求められる信用レベルの高い組織である場合、不正アクセスによって個人情報の流出やサービス停止などの被害が発生すれば、大きな損失につながる。
【0013】
したがって、運用管理にそれほど多大な手数をかけなくても、ファイアウォール自体のセキュリティ強度を十分に高くできることが求められる。
【課題を解決するための手段】
【0014】
かかる課題を解決するために、第1の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報(例えば、宛先ポート番号)を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部(例えば、プロキシ部23A)と、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路と、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部と、前記第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続され、不正アクセスに対する所定の囮機能部を持つ囮通信処理部とを備えたことを特徴とする。
【0015】
また、第2の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだでプロトコルデータ単位を中継する際に実行されるアクセス制御方法において、第1の変換処理部は、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換した後、当該第1の内部プロトコルデータ単位を、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路に供給し、第2の変換処理部は、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出し、不正アクセスに対する所定の囮機能部を持つ囮通信処理部が、前記第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続されることを特徴とする。
【0016】
さらに、第3の本発明では、第1の通信ネットワークと第2の通信ネットワークのあいだに配置されて機能を発揮するアクセス制御プログラムにおいて、コンピュータに、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理機能と、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路機能と、当該第1の内部通信路機能経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理機能と、前記第1の変換処理機能に広義TCP/IPプロトコルが通用する通常通信路機能で接続され、不正アクセスに対する所定の囮機能を持つ囮通信処理機能とを実現させたことを特徴とする。
【発明の効果】
【0017】
本発明によれば、運用管理に依存することなく、十分に高いセキュリティ強度を実現することができる。
【発明を実施するための最良の形態】
【0018】
(A)実施形態
以下、本発明にかかるアクセス制御装置、アクセス制御方法およびアクセス制御プログラムの実施形態について説明する。
【0019】
(A−1)実施形態の構成
本実施形態にかかる通信システム20の全体構成例を図1に示す。なお、当該通信システム20中に、図示しないサーバ類(例えば、DNSサーバやDHCPサーバなど)が存在していてもよいことは当然である。
【0020】
図1において、当該通信システム20は、ネットワーク21,22と、FW用コンピュータ23,24と、Webサーバ25,27と、パソコン26,28と、アクセス制御用通信路29と、ハニーポット用コンピュータ31と、TCP/IP通信路32とを備えている。
【0021】
このうちネットワーク21はWANなど、比較的セキュリティレベルの低い範囲を指し、ネットワーク22はLANなど比較的セキュリティレベルの高い範囲を指す。具体的には、例えば、前記ネットワーク21はインターネット、ネットワーク22は金融機関などの組織の内部に構築されたLANであってよい。
【0022】
ネットワーク21上にはWebサーバ25やパソコン26などが存在する。パソコン26を利用するユーザU2は、不正アクセスを試みるクラッカである。ネットワーク22上にはWebサーバ27やパソコン28などが存在する。パソコン28を利用するユーザU1は前記金融機関の社員などで、パソコン28を利用してネットワーク22内のWebサーバ27やネットワーク21上のWebサーバ25などにアクセスする正当なユーザである。当該パソコン28には、WebブラウザBR1が搭載されているものとする。
【0023】
アクセス制御用通信路29を介して接続された2台のFW用コンピュータ23、24と当該アクセス制御用通信路29によって、論理的に1つのファイアウォール(FW)装置30が構成される。
【0024】
FW用コンピュータ23は、プロキシ部23Aと、NIC(ネットワークインタフェースカード)部23B、23Cとを備え、FW用コンピュータ24は、プロキシ部24Aと、NIC部24Bとを備えている。
【0025】
ここで、NIC部23Bは、FW用コンピュータ23をTCP/IPプロトコルが通用するネットワーク21に接続するためのインタフェースカードである。OSI参照モデルの物理層、データリンク層の通信プロトコルが当該NIC部23Bによって処理されるものであってよい。そのほか、当該FW用コンピュータ23内では、後述するOS(オペレーティングシステム)などが、ネットワーク層やトランスポート層の通信プロトコルを処理する機能を備えている。NIC部23Cも当該NIC部23Bと同様な機能を有する。
【0026】
ネットワーク21がインターネットであれば、当該ネットワーク層の通信プロトコルはIPプロトコルである。また、ネットワーク層がIPプロトコルである場合、データリンク層はIEEE802.3(イーサネット(登録商標))などであることが多い。物理層には有線通信用、無線通信用の様々な通信プロトコルを使用可能である。
【0027】
プロキシ部23Aは、代理応答の機能を持つソフトウエア(ゲートウエイプログラム)の本体で、Webサーバ25に対しWebブラウザと同様なインタフェースを提供する。FW用コンピュータ23内において、当該プロキシ部23Aはアプリケーションプログラムの1つであると見ることができ、ネットワーク21側からネットワーク22側へ届けられるパケットPK1のうち、OSI参照モデルにおけるトランスポート層の通信プロトコルである例えばTCPやUDPの宛先ポート番号として、当該プロキシ部23Aを指定する値を持つパケットのみがFW用コンピュータ23内でプロキシ部23Aに渡される。
【0028】
パケットPK1が宛先ポート番号としてその他の値を持つ場合、プロキシ部23Aを経由しないので、アクセス制御用通信路29に到達しない。また、プロキシ部23Aにおける処理を経なければ、パケットPK1はアクセス制御用通信路29を正常に通過することはできない。
【0029】
アクセス制御用通信路29では、インターネット上で広く用いられるTCP/IPとは異なる通信プロトコルのみが使用される。このような通信プロトコルとして専用の通信プロトコルを用意してもかまわないが、ここでは、限られた局面でのみ利用される一般的な通信プロトコルである局所一般通信プロトコル(物理層の例では、RS−232C、IEEE1394など)を用いるものとする。
【0030】
上述したように、TCP/IPプロトコルの分野では、多種多様なセキュリティ対策の技術の蓄積がある一方で、それと同程度に、多種多様な不正アクセスのための攻撃技術の蓄積もあり、多くのクラッカがそのような攻撃技術を駆使して攻撃を試みることができるが、局所一般通信プロトコル等では、そのような攻撃技術そのものがほとんど存在しないか、存在したとしても広く知られてはいないため、アクセス制御用通信路29を経由させることで、クラッカによる攻撃を阻むことが可能である。
【0031】
前記アクセス制御用通信路29自体は伝送のための構成要素なので、OSI参照モデルのトランスポート層以下の階層に属する通信プロトコルの処理を実行する。
【0032】
このトランスポート層以下の階層に属する局所一般通信プロトコルに適合するように、トランスポート層より上位の階層であるプレゼンテーション層やアプリケーション層などの通信プロトコルを処理するのが、プロキシ部23A、24Aの役割である。プロキシ部23A、24Aの機能の詳細については後述する。
【0033】
前記アクセス制御用通信路29内に配置され、OSI参照モデルの下位の階層の通信プロトコルを処理するプロトコル処理モジュール(図示せず)は上位の階層の通信プロトコルのトラフィックを透過的に通過させる性質を持つことが必要であるため、トランスポート層以下の下位の階層のセキュリティ強度をアクセス制御用通信路29によって確保したとしても、プレゼンテーション層やアプリケーション層など上位の階層のセキュリティ強度はそれぞれ独立に、前記プロキシ部23A、24Aによって確保することが必要である。
【0034】
結局、セキュリティ強度を高めるためには、最下位の物理層から最上位のアプリケーション層に及ぶすべての階層で、TCP/IPプロトコルとは異なる前記局所一般通信プロトコル等を用いることが望ましい。例えば、物理層やデータリンク層だけ前記局所一般通信プロトコルを使用したとしても、より上位のアプリケーション層などでTCP/IPプロトコル(例えば、HTTPプロトコル)をそのまま利用すれば、TCP/IPプロトコルの分野で広く知られた攻撃技術の使用を許してしまう可能性が高いからである。
【0035】
ただし、ある階層(例えば、データリンク層)のプロトコルの持つセキュリティホールを突く攻撃はその階層のプロトコルを局所一般通信プロトコルに変換させることによって防御できるので、必ずしもすべての階層で局所一般通信プロトコルを用いなくても一定の効果は期待できる。
【0036】
なお、OSI参照モデルは、7つの階層からなるプロトコル体系であるため、OSI参照モデルに忠実な実装を行うと、プロトコル処理モジュールを各階層ごとに1つずつ、合計7つ用意しなければならないが、必要に応じて、複数の階層を1つのプロトコル処理モジュールで処理するようにしてもかまわない。例えば、アプリケーション層、プレゼンテーション層、およびセッション層を1つのプロトコル処理モジュールによって処理するようにしてもよい。この場合、前記プロキシ部23Aは1つのプロトコル処理モジュールによって構成されることになる。
【0037】
「TCP/IP」には狭義と広義があり、狭義では、TCPとIPを指すが、広義では、TCPやIPを含め、インターネット上で標準的に使用されるプロトコル全般を指す。したがって広義のTCP/IPには、例えば、HTTP、SMTP、FTPなども含まれる。以下では、「TCP/IP」の語はすべてこの広義のものとして用いる。
【0038】
前記プロキシ部23AはWebのためのHTTPプロトコルを処理するためのプロキシであるが、通常、プロキシ部は通信プロトコルごとに必要である。したがって、他の通信プロトコル(例えば、FTPなど)を処理する場合には、そのためのプロキシ部をFW用コンピュータ23に搭載する必要がある。必要に応じて、1つのプロキシ部で特定の複数の通信プロトコルを処理するようにしてもよい。いずれにしても、予め用意してあるプロキシ部(ここでは、23A)が対応できる特定の通信プロトコルしか処理することができないため、ネットワーク22側の前記組織が必要とする通信プロトコルに対応するプロキシ部のみを用意するようにしておけば、その他の通信プロトコルを用いて不正アクセスが行われることを防止できる。
【0039】
本実施形態のプロキシ部23Aの特徴は、宛先ポート番号として自身を指定する値を持つパケットPK1を受信した場合、前記局所一般通信プロトコルに適合するプロトコルデータ単位(PDU)である内部パケットPK11に変換(変換処理)した上で、前記アクセス制御用通信路29に供給する点にある。
【0040】
通信の内容が定型データのみである場合などには、変換処理の前または後、あるいは、この変換処理の過程で、予め定めたフォーマットに変換することにより、不正アクセスを許す可能性のあるデータの混入を排除することが好ましい。このフォーマットには、利用され得る攻撃技術に応じて様々なものがあり得るが、一例として、バッファオーバーフロー攻撃の対策の場合、1パケットの最大サイズ(例えば、ペイロード部の最大サイズ)を、バッファオーバーフロー現象を発生させることのできない所定値以下のものに制限することをもって当該フォーマットとしてもよい。起こり得る複数の攻撃に対応するため、同時に複数の条件に適合するように、当該フォーマットを定めてよいことは当然である。
【0041】
前記アクセス制御用通信路29を介してこの内部パケットPK11を受け取ったプロキシ部24Aは、当該内部パケットPK11を、TCP/IPプロトコルに適合したパケットPK1に復元(復元処理)してNIC部24Bからネットワーク22へ送出する。
【0042】
ここで、NIC部24Bは、FW用コンピュータ24をTCP/IPプロトコルが通用するネットワーク22に接続するためのインタフェースカードである。
【0043】
すなわち、本実施形態では、LANであるネットワーク22内でも、通常のTCP/IPプロトコルが使用されることを前提としている。したがってネットワーク22はTCP/IPプロトコルが使用される点で前記ネットワーク21と同じであるが、金融機関などの内部に構築されたネットワークであるため、インターネットなどに対応するネットワーク21に比べ、高いセキュリティレベルを維持する必要がある。
【0044】
なお、ネットワーク22内のパソコン28が、パケットPK2を送信してネットワーク21上のWebサーバ25などにアクセスすることも許す場合、プロキシ部24Aで前記変換処理、プロキシ部23Aで前記復元処理を実行した上で、この復元処理によって得られたパケットPK2をNIC部23Bを介してネットワーク21に送出する構成を取ることが望ましい。また、Webサーバ27を外部に公開する場合などには、ネットワーク21上の正当なユーザのパソコンからのリクエストメッセージ(パケット)に応じたレスポンスメッセージ(パケット)を、Webサーバ27から送信する必要があるが、その場合には、Webサーバ27が送信したパケットに対し、プロキシ部24Aによる前記変換処理と、プロキシ部23Aによる前記復元処理を実行することになる。
【0045】
これにより、ネットワーク22内のパソコン28などから外部にあるネットワーク21上のコンピュータを攻撃すること等によって、ネットワーク22を持つ組織の社会的信用が失墜することを防止することができる。このような攻撃は、たとえユーザU1に悪意がない場合でも、パソコン28などがコンピュータウイルス(狭義のコンピュータウイルスだけでなく、ワームやトロイの木馬なども含む)に感染すること等によって実行される可能性がある。コンピュータウイルスの感染経路はネットワーク経由のものに限らないため、前記ファイアウォール装置30を用いたとしてもパソコン28がコンピュータウイルスに感染することは起こり得、そのようなケースに配慮しておくことは必要になる。
【0046】
ただし、別な方法で、ネットワーク22内のセキュリティレベルを高く維持できる場合などには、ネットワーク22からネットワーク21へ向かう外向きのパケットの変換処理や復元処理は、ネットワーク21からネットワーク22へ向かう内向きのパケットの変換処理や復元処理に比べて、処理量の少ない簡易なものとしてもよい。これにより、変換処理や復元処理自体によるセキュリティ強度は低減するが、FW用コンピュータ23,24の処理能力にかかる負荷を軽減できる。
【0047】
アクセス制御用通信路29(に設けられるプロトコル処理モジュール)は、前記局所一般通信プロトコルに対応していないパケットPK1が届いた場合、その処理を拒否するように構成しておくとよい。
【0048】
前記ハニーポット用コンピュータ31は、IDS(侵入検知システム)部31Aと、接続元特定部31Bと、偽データ部31Cと、セッション切断部31Dと、NIC部31Eとを備えている。
【0049】
このうちNIC部31Eは前記NIC部23Bに対応するので、その詳しい説明は省略する。
【0050】
当該NIC部31Eは前記NIC部23CとTCP/IP通信路32を介して対向する部分である。TCP/IP通信路32では、TCP/IPプロトコルが通用する。
【0051】
すなわち、ハニーポット用コンピュータ31とFW用コンピュータ23は、NIC部23C、TCP/IP通信路32,NIC部31Eを介して接続されているため、FW用コンピュータ23とハニーポット用コンピュータ31とのあいだではTCP/IPプロトコルによる通信を行うことができる。
【0052】
また、当該TCP/IP通信路32では、データリンク層や物理層でも前記IEEE802.3(イーサネット)など、IPプロトコルと組み合わせて用いられることの多い一般的なプロトコルをそのまま用いることが望ましい。
【0053】
上述した通りであるから、クラッカU2は、プロキシ部23Aおよびアクセス制御用通信路29を経由して内側のFW用コンピュータ24などに不正アクセスを試みても、知っている攻撃技術が使えないため失敗することが多いが、TCP/IP通信路32経由で不正アクセスを試みた場合、攻撃技術が使え、一見すると容易に成功しそうに見えるため、結果として不正アクセスのアクセス先はハニーポット用コンピュータ31側へ誘導される。もちろん、クラッカU2がアクセス制御用通信路29の存在に気付かず、最初に、ハニーポット用コンピュータ31へアクセスしてくれると、いっそう好都合である。
【0054】
ハニーポット用コンピュータ31自体は、基本的に周知のハニーポットであってよい。すなわち当該ハニーポット用コンピュータ31は、クラッカU2から見て、一見、杜撰な方法で、重要そうな情報を蓄積、管理している収穫の多い攻略容易な(セキュリティホールを残した)攻撃対象であるかのように振る舞うが、これらはすべて偽装であり、実際には、セキュリティ的な観点で厳格に構成、管理されていて、乗っ取ることも踏み台にすることも不可能である。ハニーポット用コンピュータ31の真の役目は、クラッカU2による攻撃の手法を調べたり、クラッカU2に関する情報を収集したりする点などにある。
【0055】
偽データ部31Cは、クラッカU2から見て、一見、重要そうに見える偽データを蓄積したデータベースなどに相当する部分である。
【0056】
IDS部31Aは、不正アクセスを検知する部分である。例えば、予め登録された不正侵入のパターン(シグネチャ)に適合するか否かを調べることにより、あるアクセスが不正アクセスであるか否かを判定する。不正アクセスを検知した場合、IDS部31Aは、何らかの通知手段(例えば、電子メールの送信やパトランプの点灯など)で管理者などに知らせることが望ましい。
【0057】
接続元特定部31Bは、当該IDS部31Aが不正アクセスを検知した場合、そのアクセス元であるコンピュータ(ここでは、パソコン26とする)やユーザ(ここでは、U2)に関する識別情報を特定する。この識別情報は様々な用途で利用できる可能性があるが、例えば、所定のブラックリストに載せて、今後、そのコンピュータやユーザからの接続要求メッセージを受信しても接続を拒否させるために利用することも望ましい。当該識別情報としては、例えば、SIP−URIや電子メールアドレスなどのアプリケーションレベルの情報や、IPアドレスなどの伝送制御レベルの情報などを用いることができる。
【0058】
この接続の拒否は、内側のFW用コンピュータ24やハニーポット用コンピュータ31などでも行ってよいが、外側のFW用コンピュータ23に行わせることが重要である。外部からのパケットは不正なものも不正でないものも、すべて最初に、この外側のFW用コンピュータ23を経由するため、FW用コンピュータ23で接続を拒否すれば、その他のコンピュータ(例えば、24)への不正アクセスも阻止できるからである。また、アクセス制御用通信路29によって内部への侵入を防ぐことができるとしても、例えば、外側のFW用コンピュータ23が乗っ取られてしまうと、FW用コンピュータ23を経由する内部から外部へのアクセス(例えば、パソコン28からWebサーバ25へのアクセスなど)を行うことも難しくなる等、金融機関などの組織による業務の遂行に支障が出るおそれがあるため、接続を拒否することによって外側のFW用コンピュータ23自体の乗っ取りの可能性を低減することが望ましいからである。
【0059】
セッション切断部31はIDS部31Aが不正アクセスであると判定した場合、アクセス元とのセッションを強制的に切断させる部分である。セッションの切断は、IDS部31Aが不正アクセスであると判定したあと直ちに行ってもよいが、その時点でまだ前記識別情報が収集できていない場合には、収集完了後に行ってもよい。
【0060】
なお、前記FW用コンピュータ23と24、ハニーポット用コンピュータ31の3つはそれぞれ別個のコンピュータであるから、それぞれ、CPU(中央処理装置)、半導体メモリなどの主記憶装置、ハードディスク等の補助記憶装置などの図示しないハードウエア構成要素、セキュアOS(セキュアオペレーティングシステム)、ミドルウエア、アプリケーションソフトウエア等のソフトウエア構成要素を備えていることは当然である。
【0061】
以下、上記のような構成を有する本実施形態の動作について図4〜図7を用いて説明する。
【0062】
図4は、通常時にパケットの流れる経路を示している。ただし図4では、NIC部23B、24Bや、ネットワーク22、ハニーポット用コンピュータ31など、いくつかの構成要素は省略している。この点は、図5,図6でも同様である。
【0063】
図5は、クラッカU2による攻撃が行われたときの動作を示す概略図で、S20〜S22の各ステップを備えている。
【0064】
図6は、図1に示すネットワーク構成の場合には、不正侵入はまず最初にFW用コンピュータ23に対して行われ、そこからアクセス先がハニーポット用コンピュータ31に誘導される様子を示す概略図で、S1、S2の各ステップを備えている。
【0065】
図7は、不正侵入とその対応策(ハニーポット用コンピュータ31を利用したもの)の実行手順を示したフローチャートで、S10〜S14の各ステップから構成されている。
【0066】
(A−2)実施形態の動作
図4に示すように、通常、前記ネットワーク22内のパソコン28に搭載されたWebブラウザBR1を利用することによって、ユーザU1が外部のネットワーク21上にあるWebサーバ25へアクセスする場合、HTTPリクエストメッセージを収容したパケットPK2がWebブラウザBR1を搭載したパソコン28から送信され、このパケットPK2は、前記ネットワーク22上のルータ(図示せず)などを経由してFW用コンピュータ24に受信される。
【0067】
HTTPリクエストメッセージである以上、通常、そのパケットPK2に含まれるTCPヘッダ中の宛先ポート番号には、HTTPのウエルノウンポート番号である80番が、宛先ポート番号として記述されている。この80番に基づいて、FW用コンピュータ24は当該パケットPK2の内容(ペイロード部)をプロキシ部24Aに供給し、当該プロキシ部24Aで前記変換処理を実行して、変換処理の結果を含むパケットPK21を生成する。当該パケットPK21は、前記パケットPK11に対応する。この変換処理の際に、上述した予め定めたフォーマットに変換するようにすれば、ユーザU1がネットワーク21上のコンピュータを攻撃しようとしたり、パソコン28がコンピュータウイルスに感染してネットワーク21上のコンピュータを攻撃したりする場合であっても、その攻撃を阻止することが可能である。なお、必要ならば、セキュリティ性に配慮し、HTTPのポート番号として前記80番以外の値を用いてもよいことは当然である。
【0068】
当該変換処理で生成されたパケットPK21は、アクセス制御用通信路29を介してFW用コンピュータ24から23へ伝送され、FW用コンピュータ23内でプロキシ部23Aへ供給される。プロキシ部23Aでは、前記復元処理が実行されて、元のパケットPK2が生成される。
【0069】
このパケットPK2はFW用コンピュータ23からネットワーク21へ送出されると、ネットワーク21上のルータ(図示せず)などに中継されて、Webサーバ25に届けられる。
【0070】
このパケットPK2に収容されていたHTTPリクエストメッセージを受け取ると、前記Webサーバ25は、対応するHTTPレスポンスメッセージを生成し、当該HTTPレスポンスメッセージを収容したパケットPK1をネットワーク21に送出する。このあと、当該パケットPK1は、ネットワーク21上のルータなどに中継されてFW用コンピュータ23まで届けられる。
【0071】
前記パケットPK2をネットワーク21に送出する時点で、FW用コンピュータ23のOSなどが、当該パケットPK2に含まれるTCPヘッダ中の送信元ポート番号として、プロキシ部23Aを指定する番号を設定するので、Webサーバ25から返送されてきた当該パケットPK1をプロキシ部23Aに供給することができる。
【0072】
パケットPK1の内容を受け取ったプロキシ部23Aは、前記変換処理を実行し、変換処理の結果を含む前記パケットPK11を生成する。生成された当該パケットPK11は、前記アクセス制御用通信路29を介してFW用コンピュータ24まで届けられ、FW用コンピュータ24内でプロキシ部24Aに供給される。このパケットPK11の内容を受け取ったプロキシ部24Aでは、前記復号処理を実行し、復号処理の結果を含む前記パケットPK1をネットワーク22に送出することにより、パソコン28まで届ける。
【0073】
パソコン28内では、当該パケットPK1に含まれているHTTPレスポンスメッセージの内容に応じて、例えば、Webページの画面表示などを行う。
【0074】
このようにWebブラウザBR1とWebサーバ25のあいだで、メッセージのやり取りが行われるたびに、そのメッセージを収容したパケットPK2,PK1が、プロキシ部24Aによる変換処理や復元処理、およびプロキシ部23Aによる復元処理や変換処理を経て、前記アクセス制御用通信路29を介した通信が実行される。
【0075】
ここで、図5に示すように、ネットワーク21上のクラッカU2がパソコン26を利用して、セキュリティホールを突いた攻撃を行うため不正にパケット(これもPK1とする)を送り付けることによって、FW用コンピュータ23および24の乗っ取りを試みるものとする(S20)。
【0076】
FW用コンピュータ23の運用管理が適切に行われていて、新しく発見されたセキュリティホールなどが完全に塞がれている場合、このような攻撃が成功することはほとんどないが、少なくとも一時的に運用管理が適切に行えないケースや全く新しい未知の攻撃がなされたケースなどでは、攻撃が成功し、FW用コンピュータ23Aの管理者権限が奪取され、乗っ取られることが起こり得る(S21)。
【0077】
しかしながら、本実施形態では、このようなケースでも、プロキシ部23Aによる変換処理とアクセス制御用通信路29による前記局所一般通信プロトコルによる通信を経なければ、さらに内側のFW用コンピュータ24にアクセスすることができない。そして、プロキシ部23Aによる変換処理では、アプリケーション層からセッション層にあたるTCP/IPプロトコルを用いた攻撃が阻止され、アクセス制御用通信路29では、トランスポート層から物理層にあたる通信プロトコルを用いた攻撃が阻止される。
【0078】
例えば、クラッカU2がパソコン26を操作して所定値以上に長いペイロード部を持つIPパケットを送り付け、FW用コンピュータ24Aが搭載した前記主記憶装置の記憶領域内に予めバッファとして確保されている特定の領域をオーバーフローさせるバッファオーバーフロー現象を起こすことにより、FW用コンピュータ24のサービス停止や乗っ取りを狙うバッファオーバーフロー攻撃を試みたとしても、プロキシ部23Aの変換処理で前記フォーマットへの変換が行われた結果、前記パケットPK11の1パケット当たりのペイロード部の最大サイズが所定値以下に制限されると、前記バッファオーバーフロー現象を起こすことができないため、バッファオーバーフロー攻撃は阻止される。
【0079】
この場合、FW用コンピュータ24の運用管理が適切に行われておらず、FW用コンピュータ24にバッファオーバーフロー攻撃が可能なセキュリティホールが残っていたとしても、内部にあるFW用コンピュータ24は乗っ取ることができない。クラッカU2がFW用コンピュータ23を乗っ取ったとしても、アクセス制御用通信路29では前記局所一般通信プロトコルしか通用しないので、クラッカU2がFW用コンピュータ24へのアクセス方法を知ることは容易ではないからである。また、FW用コンピュータ24(プロキシ部24A)は、プロキシ部23Aで前記変換処理の際に獲得される特定のフォーマットのパケットしか受け取らないからである。
【0080】
結局、クラッカU2は、FW用コンピュータ23および24によって構成される論理的なファイアウォール装置30を越えて内部に侵入することはできない。したがって、前記WebブラウザBR1を搭載したパソコン28,Webサーバ27など、ネットワーク22内に含まれる各種コンピュータは、クラッカU2からの攻撃を受けることがない。これにより、例えば、ネットワーク22内のデータベース(図示せず)に蓄積された顧客などの個人情報がFW用コンピュータ24,23経由でクラッカU2に盗まれることによって流出することを完全に防止できる。
【0081】
また、クラッカU2がFW用コンピュータ23の機能を停止させれば、ネットワーク22内のパソコン28などから、FW用コンピュータ24および23を経由してネットワーク21上のWebサーバ25にアクセスすること等はできなくなるものの、ネットワーク22内のコンピュータ(例えば、28,27など)を利用して、当該組織が顧客に提供しているサービスなどは支障無く継続することができるので、被害は小さい。
【0082】
しかしながら、以上の動作では、ハニーポット用コンピュータ31の存在を考慮に入れていない。ハニーポット用コンピュータ31の動作によって、全体の動作は図6、図7に示したものに変わる可能性が高い。
【0083】
図6および図7において、クラッカU2はFW用コンピュータ23への侵入に成功したあと(S1、S10)、さらに重要そうな情報などを取得するために侵入経路を探索する(S11)。TCP/IPプロトコルの分野で侵入経路の探索に用いられる技術には様々なものがあるが、一例として、ポートスキャンがある。
【0084】
ポートスキャンはTCPやUDPのポート宛てにポート番号を順次変化させながら、応答メッセージの返送を要求する応答要求メッセージを送り付けることを繰り返すもので、攻撃を仕掛けるまえの下調べに利用されることが多い。いずれかのポートから応答メッセージが返送されてくると、クラッカU2には、そのポート番号に対応するアプリケーション(サービス)がハニーポット用コンピュータ31上で稼動していることが分かる。ハニーポット用コンピュータ31の場合、クラッカU2を自身に誘導する囮としての役目を持つから、意図的に、セキュリティホールを残したバージョンのアプリケーション(例えば、TelnetサーバやFTPサーバなど)を稼動させ、そのアプリケーションが応答メッセージを返送したかのように振る舞う。
【0085】
例えば、Telnetサーバの23番やFTPサーバの21番などの代表的なポートが開いていたり、セキュリティ管理の行き届いたサーバでは応答しないように設定されていることの多い、pingの投入(ICMPエコー要求パケット)に応答する設定となっていたりすることは、このような振る舞いに該当する。ただし、これはクラッカU2の注意を自身に誘導するためのものであるから、本当のTelnetサーバやFTPサーバではなく、偽のアプリケーションである。
【0086】
TCP/IP通信路32では、TCP/IPプロトコルの分野で知られている攻撃技術がすべて利用可能であるため、クラッカU2はこのような侵入経路の探索を容易に行うことができる。
【0087】
つづいて、侵入経路探索の結果をもとに、クラッカU2がハニーポット用コンピュータ31に不正侵入を開始する(S2、S12)。
【0088】
このとき、ハニーポット用コンピュータ31内では、クラッカU2に、偽データ部31Cが蓄積している前記偽データなどを取得させる一方で、IDS部31AがクラッカU2によるアクセスが不正アクセスであることを検知し、その検知の前後に、上述した接続元特定部31BがクラッカU2あるいはクラッカU2が利用するパソコン26の識別情報を特定し、セッション切断部31DがクラッカU2(パソコン26)のセッションを切断する(S13)。セッションの切断は、具体的には、その時点でパソコン26からのアクセスを受け付けているコンピュータのポート(ここでは、23および31のポート)を強制的に塞ぐ操作である。
【0089】
このセッションの切断は、少なくともハニーポット用コンピュータ31内で行うことができる。また、クラッカU2によってそのための機能が破壊されていなければ、FW用コンピュータ23内でも行わせることができる。
【0090】
さらにFW用コンピュータ23とネットワーク21のあいだに別のファイアウォール装置(図示せず)が存在する場合には、そのファイアウォール装置の該当するポートを強制的に塞ぐことによって、FW用コンピュータ23の機能の破壊状態に依存することなく、パソコン26とFW用コンピュータ23のあいだのセッションを強制的に切断することができる。
【0091】
前記ステップS10の不正侵入で、どの程度、FW用コンピュータ23の機能が失われているかは、その時点でクラッカU2がFW用コンピュータ23に対して行った不正アクセス(破壊活動)の内容に依存するが、必要ならば、前記セッションの切断後、FW用コンピュータ23に対し、その本来の機能を回復するための保守作業が行われる。
【0092】
ただし、クラッカU2から見た場合、前記アクセス制御用通信路29はその存在を認識することさえ難しく、存在を認識できたとしても侵入が困難である。これに対し、ハニーポット用コンピュータ31の存在は極めて分かりやすく、侵入も容易であるため、クラッカU2の注意はハニーポット用コンピュータ31に向けられやすい。また、クラッカU2の注意がハニーポット用コンピュータ31へ向けられるほど、不正アクセスのための試みの多くがハニーポット用コンピュータ31に対して実行されるため、結果として、FW用コンピュータ23の被害が軽微なものになることも期待できる。FW用コンピュータ23の被害が軽微であれば、FW用コンピュータ23が本来の機能を回復することも容易であるし、クラッカU2がFW用コンピュータ23に侵入したあとでもユーザU1などがFW用コンピュータ23経由で外部のWebサーバ25などにアクセスできる可能性も高くなり、金融機関などの組織による業務の遂行への影響も小さくなる。
【0093】
もちろん、不正侵入のあとFW用コンピュータ23に行われる前記保守作業では、単に、本来の機能を回復するだけでなく、クラッカU2による不正侵入を許してしまった原因であるFW用コンピュータ23のセキュリティホールを塞いでおくことも重要である。
【0094】
次に、上述した接続元特定部31Bが特定したクラッカU2あるいはクラッカU2が利用するパソコン26の識別情報を前記ブラックリストに載せて、クラッカU2による次回の不正アクセスに備える(S14)。クラッカU2やパソコン26の識別情報をブラックリストに載せて、パソコン26から送信される接続要求メッセージを拒否させれば、パソコン26はFW用コンピュータ23とのあいだにセッションを張ることさえできないため、不正アクセスを実行することは困難となる。また、例えば、識別情報を詐称したり、第3のサーバ(図示せず)などを踏み台にした場合などには、セッションを張ることはできるが、すでに前記セキュリティホールは塞がれているため、不正アクセスを実現することはできない。
【0095】
識別情報の詐称や踏み台の用意にも時間や手間がかかり、そのための試行錯誤を繰り返す過程で、クラッカU2は、FW用コンピュータ23が、攻略の困難な対象であることを認識し、攻略を断念する可能性は小さくない。また、ハニーポット用コンピュータ31上のアプリケーションが偽のアプリケーションであること、識別情報が特定されたこと、ハニーポット用コンピュータ31の偽データ部31から取得したデータが偽データであることなどが分かれば、クラッカU2は強い警戒心を抱き、FW用コンピュータ23への不正アクセスを諦める可能性も高い。
【0096】
以上の動作は、クラッカU2が、バッファオーバーフロー以外のTCP/IPプロトコルの分野で用いられる攻撃技術を使用した場合にも成立することは当然である。
【0097】
(A−3)実施形態の効果
本実施形態によれば、ファイアウォール装置(30)において、運用管理に依存することなく、十分に高いセキュリティ強度を実現することができる。
【0098】
加えて、本実施形態では、侵入困難なアクセス制御用通信路(29)と侵入容易なハニーポット用コンピュータ(31)を用意することにより、不正アクセスのアクセス先をハニーポット用コンピュータに誘導することができるので、セキュリティ強度をいっそう高めることが可能である。
【0099】
また、ハニーポット用コンピュータの存在は、侵入されたFW用コンピュータ(23)の被害の程度を軽微なものにし、FW用コンピュータ経由の本来の通信(例えば、ユーザU1によるWebサーバ25へのアクセスなど)の信頼性を高めることにも寄与できる可能性がある。クラッカ(U2)の注意がハニーポット用コンピュータに向けられると、不正アクセスのための試みの多くがハニーポット用コンピュータに対して実行されることが期待できるからである。
【0100】
(B)他の実施形態
上記実施形態のネットワーク構成は変更することが可能である。
【0101】
例えば、図8に示すネットワーク構成を用いてもかまわない。
【0102】
図8において、図1と同じ符号を付与した構成要素21、23、24,23A、23B、24A、24B、30,20,31、31A、31B、31C、31Dの機能は基本的に上記実施形態と同じなので、その詳しい説明は省略する。
【0103】
上記実施形態では、FW用コンピュータ23にハニーポット用コンピュータ31が収容された接続関係になっており、外部からクラッカU2が不正アクセスする場合、最初は必ず、FW用コンピュータ23に侵入する必要があったが、本実施形態では、中継装置50に、前記ファイアウォール装置30と、ハニーポット用コンピュータ31が収容された構成となっているため、FW用コンピュータ23に侵入する前にハニーポット用コンピュータ31に侵入することが可能となる。運用によって、FW用コンピュータ23に侵入する前にハニーポット用コンピュータ31に侵入する可能性をさらに高めることができる。
【0104】
これは、ハニーポット用コンピュータ31にクラッカU2からの不正アクセスが行われたことが前記IDS部31Aによって検知されれば、前記識別情報がブラックリストに載せられて、クラッカU2からの接続要求がFW用コンピュータ23で拒否されるため、図8の構成は結局、FW用コンピュータ23に対するクラッカU2の攻撃を未然に防ぎ、FW用コンピュータ23への不正侵入を困難にすることに寄与する。
【0105】
前記中継装置50は、ファイアウォール装置30とは別個のファイアウォール装置やルータである。一例として、当該中継装置50はファイアウォール機能を搭載したルータであってもよい。
【0106】
なお、図8の構成のように、中継装置50にハニーポット用コンピュータ31を収容すると共に、図1の構成のようにFW用コンピュータ23にも、ハニーポット用コンピュータ31を収容するようにしてもよいことは当然である。
【0107】
また、上述したように、本発明では、最下位の物理層から最上位のアプリケーション層に及ぶすべての階層で、TCP/IPプロトコルとは異なる前記局所一般通信プロトコル等を用いることが望ましいが、必要ならば、一部の階層のみ、前記局所一般通信プロトコルを用いることも可能である。
【0108】
例えば、TCP/IPプロトコルの分野で広く知られた攻撃技術の使用のみを阻むことが目的ならば、物理層やデータリンク層などの下位の階層では、広く利用されるIEEE802.3などをそのまま利用し、ネットワーク層やトランスポート層やそれ以上の上位の階層で、前記局所一般通信プロトコルや専用の通信プロトコルを用いる構成が有効である。
【0109】
また、物理層からトランスポート層までの階層でのみ前記局所一般通信プロトコル等を用い、セッション層以上の階層では、TCP/IPプロトコルをそのまま利用する構成を取っても、物理層からトランスポート層の通信プロトコルを利用した攻撃に対して、セキュリティ強度を高めることが可能なので、一定の効果が期待できる。
【0110】
なお、本発明は、ネットワークインタフェース部分にIPアドレスを設定しないステルス型のファイアウォールなどにも適用可能である。
【0111】
上記実施形態で利用した各階層の通信プロトコルは他の通信プロトコルに置換できることは当然である。
【0112】
例えば、HTTPプロトコルは、前記SMTPなどにも置換可能である。また、例えば、RS−232CやIEEE1394などもその他の通信プロトコルに置換できる可能性がある。
【0113】
以上の説明でハードウエア的に実現した機能の大部分はソフトウエア的に実現することができ、ソフトウエア的に実現した機能のほとんど全てはハードウエア的に実現することが可能である。
【0114】
例えば、前記プロキシ部23A、24Aなどをハードウエアによって実現してもかまわない。また、このハードウエアは、FW用コンピュータ23,24の中にあってもよいし、FW用コンピュータ23,24にそれぞれ接続された別筐体の装置であってもよい。
【図面の簡単な説明】
【0115】
【図1】実施形態にかかる通信システムの全体構成例を示す概略図である。
【図2】従来の通信システムの全体構成例を示す概略図である。
【図3】発明が解決しようとする課題を説明するための概略図である。
【図4】実施形態の動作説明図である。
【図5】実施形態の動作説明図である。
【図6】実施形態の動作説明図である。
【図7】実施形態の動作説明図である。
【図8】他の実施形態の動作説明図である。
【符号の説明】
【0116】
9,20、50…通信システム、21,22…ネットワーク、23,24…FW用コンピュータ、23A、24A…プロキシ部、23B、23C、24B、31E…NIC部、25,27…Webサーバ、26,28…パソコン、29…アクセス制御用通信路、30…ファイアウォール装置、31…ハニーポット用コンピュータ、31A…IDS部、31B…接続元特定部、31C…偽データ部、31D…セッション切断部、32…TCP/IP通信路、PK1,PK2、PK11…パケット。
【特許請求の範囲】
【請求項1】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、
通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路と、
当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部と、
前記第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続され、不正アクセスに対する所定の囮機能部を持つ囮通信処理部とを備えたことを特徴とするアクセス制御装置。
【請求項2】
請求項1のアクセス制御装置において、
前記囮通信処理部は、
不正アクセスを検知する不正アクセス検知部を備え、
当該不正アクセス検知部が不正アクセスを検知したとき、当該不正アクセスのアクセス元とのセッションの切断、または、不正アクセスのアクセス元を識別するアクセス元識別情報の収集を実行し、その後、収集されたアクセス元識別情報で識別されるアクセス元からのアクセスが試みられても前記第1の変換処理部に応答させないことを特徴とするアクセス制御装置。
【請求項3】
第1の通信ネットワークと第2の通信ネットワークのあいだでプロトコルデータ単位を中継する際に実行されるアクセス制御方法において、
第1の変換処理部は、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換した後、当該第1の内部プロトコルデータ単位を、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路に供給し、
第2の変換処理部は、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出し、
不正アクセスに対する所定の囮機能部を持つ囮通信処理部が、前記第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続されることを特徴とするアクセス制御方法。
【請求項4】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されて機能を発揮するアクセス制御プログラムにおいて、コンピュータに、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理機能と、
通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路機能と、
当該第1の内部通信路機能経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理機能と、
前記第1の変換処理機能に広義TCP/IPプロトコルが通用する通常通信路機能で接続され、不正アクセスに対する所定の囮機能を持つ囮通信処理機能とを実現させたことを特徴とするアクセス制御プログラム。
【請求項1】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されるアクセス制御装置において、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理部と、
通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路と、
当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理部と、
前記第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続され、不正アクセスに対する所定の囮機能部を持つ囮通信処理部とを備えたことを特徴とするアクセス制御装置。
【請求項2】
請求項1のアクセス制御装置において、
前記囮通信処理部は、
不正アクセスを検知する不正アクセス検知部を備え、
当該不正アクセス検知部が不正アクセスを検知したとき、当該不正アクセスのアクセス元とのセッションの切断、または、不正アクセスのアクセス元を識別するアクセス元識別情報の収集を実行し、その後、収集されたアクセス元識別情報で識別されるアクセス元からのアクセスが試みられても前記第1の変換処理部に応答させないことを特徴とするアクセス制御装置。
【請求項3】
第1の通信ネットワークと第2の通信ネットワークのあいだでプロトコルデータ単位を中継する際に実行されるアクセス制御方法において、
第1の変換処理部は、前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換した後、当該第1の内部プロトコルデータ単位を、通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路に供給し、
第2の変換処理部は、当該第1の内部通信路経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出し、
不正アクセスに対する所定の囮機能部を持つ囮通信処理部が、前記第1の変換処理部に広義TCP/IPプロトコルが通用する通常通信路で接続されることを特徴とするアクセス制御方法。
【請求項4】
第1の通信ネットワークと第2の通信ネットワークのあいだに配置されて機能を発揮するアクセス制御プログラムにおいて、コンピュータに、
前記第1の通信ネットワーク経由で到来した原プロトコルデータ単位のうち、自身を宛先として指定する宛先識別情報を有する原プロトコルデータ単位を処理して、広義TCP/IPプロトコル以外の第1の内部通信プロトコル群に適合する第1の内部プロトコルデータ単位に変換する第1の変換処理機能と、
通用する通信プロトコルが前記第1の内部通信プロトコル群に制限された第1の内部通信路機能と、
当該第1の内部通信路機能経由で受け取った前記第1の内部プロトコルデータ単位を、前記原プロトコルデータ単位に復元して第2の通信ネットワークへ送出する第2の変換処理機能と、
前記第1の変換処理機能に広義TCP/IPプロトコルが通用する通常通信路機能で接続され、不正アクセスに対する所定の囮機能を持つ囮通信処理機能とを実現させたことを特徴とするアクセス制御プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2006−99590(P2006−99590A)
【公開日】平成18年4月13日(2006.4.13)
【国際特許分類】
【出願番号】特願2004−286902(P2004−286902)
【出願日】平成16年9月30日(2004.9.30)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
【公開日】平成18年4月13日(2006.4.13)
【国際特許分類】
【出願日】平成16年9月30日(2004.9.30)
【出願人】(000000295)沖電気工業株式会社 (6,645)
【Fターム(参考)】
[ Back to top ]