セキュリティリスク検出システム
【課題】フィルタ群のパターンファイルで誤検出となったウイルスを早期発見し、ウイルスの登場時期や送信元も特定するセキュリティリスク検出システムを提供することを目的とする。
【解決手段】実施態様によれば、第1のネットワークと第2のネットワークとの間に設けられ、第1のネットワークから入力された通信データをフィルタリングして出力する第1のフィルタ手段と、第1のフィルタ手段に入力された通信データを保存する第1の保存手段と、第1のフィルタ手段から出力された通信データを保存する第2の保存手段と、第1の保存手段に保存されている通信データをフィルタリングして出力する第2のフィルタ手段と、第2のフィルタ手段から出力された通信データを保存する第3の保存手段と、第2の保存手段に保存されている通信データと第3の保存手段に保存された通信データとを比較し、この比較結果を外部システムに通知する比較手段とを備える。
【解決手段】実施態様によれば、第1のネットワークと第2のネットワークとの間に設けられ、第1のネットワークから入力された通信データをフィルタリングして出力する第1のフィルタ手段と、第1のフィルタ手段に入力された通信データを保存する第1の保存手段と、第1のフィルタ手段から出力された通信データを保存する第2の保存手段と、第1の保存手段に保存されている通信データをフィルタリングして出力する第2のフィルタ手段と、第2のフィルタ手段から出力された通信データを保存する第3の保存手段と、第2の保存手段に保存されている通信データと第3の保存手段に保存された通信データとを比較し、この比較結果を外部システムに通知する比較手段とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、過去のパターンファイルで検出出来なかった潜在セキュリティリスクや誤検知を発見する機能を有するセキュリティリスク検出システムに関する。
【背景技術】
【0002】
企業システム等へのウイルスや不正侵入/攻撃を防ぐ手段として、ファイアウォール(Fire Wall)、IPS(Intrusion Prevention System)/IDS(Intrusion Detection System)、ウイルス対策ソフト等がある。
【0003】
しかし、最新ウイルスや最新の不正侵入方法が登場してから、その対処のためのパターンファイルが出るまでにはタイムラグがあり、この間にセキュリティ上問題のある通信パケットがシステムに入り込む可能性がある。ウイルスに関しては、例えば、システム内の全てのマシンにて常に最新状態のウイルス対策ソフトが稼働し、定期的に全検索を行うよう徹底されていれば回避できる可能性は高いが、実際にはこうした完全な徹底は難しい。このため、実際には、セキュリティ上問題のある状態が放置されて被害がかなり広まってから発覚するリスクは避けられず、リスク発生時は極めて大きなビジネスインパクトを被ることとなる(第1の課題)。
【0004】
一方で、最近のパターンファイルは複雑化しており、誤検知のリスクがある。このため、不正に通信パケットが誤検知→ブロックされてしまう可能性があり、こちらも課題となっている(第2の課題)。
【0005】
こういった課題に対し、インターネットと各端末との間で転送されるパケットデータをすべてゲートウェイでウイルスチェックする、といった技術が開示されている(例えば特許文献1参照)。
【0006】
また、IEEE802.1X認証が可能な端末を用い、端末からバーチャルLAN(VLAN)方式で分けられたネットワークへのログオンを行う際に、認証情報センター端末が端末から送られるユーザ認証情報を受信し、ウイルス対策状況管理センター端末へのウイルス対策チェック状況問い合わせを自動的に行い、ウイルス対策が完全に行われているときのみ、端末の正規イントラネットへのログオンを許可する応答を送信する認証情報センター端末を提供する、といった対処を行う方法がある(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2001−256045号公報
【特許文献2】特開2006−178762号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかし、上記した特許文献1記載の従来技術においては、以下のような課題がある。
【0009】
ゲートウェイでは、その時点で最新のパターンファイルでウイルスチェックできるものの、まだパターンファイルで対応できていないウイルスは通過させてしまうことになり、こういったウイルスは潜在ウイルスとしてシステム内で被害拡大する可能性がある。
【0010】
一方、上記した特許文献2記載の従来技術においては、以下のような課題がある。
【0011】
ウイルス対策の完全性の証明を(信用できるかどうか不明な)端末側に委ねているため、例えば、ウイルス対策ソフトが誤動作していてウイルス対策が完全であるように見える端末は、正規のイントラネットにログオン可能ということを意味する。状況としては、ウイルス対策ソフトにバグがあったり、ウイルスに犯されていたり、悪意を持ったユーザがウイルス対策ソフトを改造したりといった状況が考えられる。
【0012】
また、端末側で、ウイルス対策の完全性と、ウイルス検索頻度によるマシン負荷がトレードオフとなる。ウイルス対策の完全性を高める場合、例えば、パターンファイルが更新されるたびにディスクの全検索をしないとネットワークにつなげなくなる等、運用負荷が高くなる。逆にウイルス対策の完全性を緩めると、過去のパターンファイルで検出できなかった潜在ウイルスがしばらくの間端末に潜在するリスクがある。
【0013】
本発明は、上記した従来の問題点を解決するためになされたもので、ウイルス検索装置や侵入検知装置等を利用したネットワークセキュリティ対策システムにおいて、各端末のセキュリティ対策の完全性によらず、過去のパターンファイルを適用したフィルタ群では検出できなかった潜在セキュリティリスクを早期発見すると共に、各セキュリティリスク要因の登場時期や送信元も特定できるセキュリティリスク検出システムを提供することを目的とする。
【課題を解決するための手段】
【0014】
上記目的を達成するために、本発明によるセキュリティリスク検出システムは、第1のネットワークと第2のネットワークとの間に設けられ、前記第1のネットワークから入力された通信データをフィルタリングして出力する第1のフィルタ手段と、前記第1のネットワークから前記第1のフィルタ手段に入力された通信データを保存する第1の保存手段と、前記第1のフィルタ手段から出力された通信データを保存する第2の保存手段と、
前記第1の保存手段に保存されている通信データをフィルタリングして出力する第2のフィルタ手段と、前記第2のフィルタ手段から出力された通信データを保存する第3の保存手段と、前記第2の保存手段に保存されている通信データと前記第1の保存手段に保存されている通信データが前記第2のフィルタ手段でフィルタリングされた結果として前記第2のフィルタ手段から出力され前記第3の保存手段に保存された通信データとを比較し、この比較結果を外部システムに通知する比較手段とを備えることを特徴とする。
【図面の簡単な説明】
【0015】
【図1】本発明の第1の実施例のセキュリティリスク検出システムの構成を示すブロック図。
【図2】フィルタ群によるパケットの遮断が過去も現在もない場合のブロック図
【図3】フィルタ群によるパケットの遮断が現在のみの場合のブロック図
【図4】フィルタ群によるパケットの遮断が過去のみの場合のブロック図
【図5】フィルタ群によるパケットの遮断が過去も現在もある場合のブロック図
【図6】通信データ記録処理(内向き)の流れを示すフローチャート。
【図7】通信データ記録処理(内向き)を示すシーケンス図。
【図8】通信データ記録処理(外向き)の流れを示すフローチャート。
【図9】通信データ記録処理(外向き)を示すシーケンス図。
【図10】再検証/比較処理の流れの概要を示すフローチャート。
【図11】再検証/比較処理の流れ(内向き)を示すフローチャート。
【図12】本発明の第2の実施例のセキュリティリスク検出システム全体の構成例を示すブロック図。
【図13】本発明の第3の実施例のセキュリティリスク検出システム全体の構成例を示すブロック図。
【図14】本発明の第4の実施例のセキュリティリスク検出システム全体の構成例を示すブロック図。
【発明を実施するための形態】
【0016】
以下、本発明の実施例について図面を参照して説明する。
【実施例1】
【0017】
(1)システム構成
本実施例のセキュリティリスク検出システムの構成を示すブロック図を図1に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10は、
フィルタ群50と、ネットワークフォレンジックツール(NFT)60と、再検証/比較サーバ80とから構成されている。
【0018】
フィルタ群50aは、外部ネットワーク(インターネット)20と内部ネットワーク(イントラネット)30の間に設けられ、外部ネットワーク20から入力された通信データをフィルタリングして出力するもので、パターンファイルをはじめ最新の設定が適用されている。
【0019】
NFT60aは、外部ネットワーク20からフィルタ群50aに入力された通信データをディスク70aに保存するもので、NFT60bは、フィルタ群50aから出力された通信データをディスク70bに保存する。
【0020】
再検証/比較サーバ80aは、ディスク70aに保存されている通信データを取得して、フィルタ群50bでフィルタリングするために送信する。再検証/比較サーバ80bは、ディスク70bに保存されている通信データと、ディスク70aに保存されている通信データがフィルタ群50bでフィルタリングされた結果としてフィルタ群50bから出力された通信データとを比較し、この比較結果を外部システム100に通知する。
【0021】
スイッチ(SW)40a、40bはネットワークスイッチで、受信データを通常の送信先以外にミラーポートにも流す機能を持つ。
【0022】
フィルタ群50a、50bは、ファイアウォール(FW)51、不正侵入不正行為検出装置52(IPS/IDS)、ウイルス対策ゲートウェィ(GW)53の総称をさす。FW51は、パケットフィルタをはじめとした、いわゆる通常のファイアウォールである。IPSはコンピュータやネットワークに対する不正侵入を阻止するシステム、IDSはコンピュータやネットワークに対する不正行為を検出し通知するためのシステムである。GW53は、ネットワークゲートウェイ型のウイルス対策ソフト/装置である。
【0023】
コンピュータ(PC)31a、31bは、内部ネットワーク30にノードとして接続されている。
【0024】
NTF60a、60bは、通信データをディスク70a、70b上に保存し、保存期間を設定することが可能である。
【0025】
以下にNFT60aによりディスク70aに保存した過去の通信データを、最新の設定を適用した現在のフィルタ群50bに所定のタイミングで通し、その結果と当時のフィルタ群50aを通した結果とを比較し、相違があれば運用管理者に警告メールを送信する場合の概要を記載する。
【0026】
本実施例では、図1に示すように、NTF60aは外部ネットワークに最も近い位置(フィルタ群50aの外側)で通信データを保存し、NTF60bはセキュリティが最も確保された位置(フィルタ群50aの内側)で通信データを保存する。
【0027】
再検証/比較サーバ80は本実施例では2つあり、この2つの再検証/比較サーバ80aと80bは連携して動作する。
【0028】
再検証/比較サーバ80aは過去の通信データをディスク70aから取得して、パターンファイルをはじめ最新の設定を適用した現在のフィルタ群50bでフィルタリングし、再検証/比較サーバ80bは
・ 過去の通信データをその通信当時フィルタ群50aでフィルタリングした結果
と
・ 上記と同じ過去の通信データを最新の設定を適用した現在のフィルタ群50bでフィルタリングした結果
を比較する。
【0029】
この比較結果を外部システム100に通知し、比較結果に応じて運用管理者等への警告を行なう。
【0030】
なお外部システム100は、検疫ネットワーク等で用いられ、IPパケットで判別して通信を遮断することで、ネットワークからセキュリティ上問題のある(またはその可能性がある)端末を隔離する、例えば端末隔離用装置である。本実施例では、バーチャルLAN(VLAN)方式により、ネットワークを正規LANと検査用LANに分ける。
【0031】
(2)処理
以下、内向き(外部ネットワーク20から内部ネットワーク30方向)の通信にて、通信当時のフィルタ群50aでフィルタリングした結果と、最新の設定を適用したフィルタ群50bでフィルタリングを通した結果を比較する例を、フィルタリングによる通信データの遮断の有無によって以下の4パターンに分けて記載する。
【0032】
[1]フィルタ群50による遮断が当時も現在も無い(図2参照)。
【0033】
[2]フィルタ群50による遮断が現在のみ(過去には遮断されていない)(図3参照)。
【0034】
[3]フィルタ群50による遮断が当時のみ(現在は遮断されていない)(図4参照)。
【0035】
[4]フィルタ群50による遮断が当時も現在もある(図5参照)。
【0036】
通信当時のフィルタ群50aを通した結果と、現在のフィルタ群50bを通した結果を比較して、相違があれば、運用管理者に警告メールを送信する。
【0037】
上記の処理は、外向き(システム内から外部ネットワーク20方向)の通信についても同様で、再検証/比較サーバ80aと80bの役割が逆になる程度の違いであるため、説明を省略する。
【0038】
[通信データ記録処理(内向き)]
通信データ記録処理(内向き)を図6のフローチャートと図7のシーケンス図を用いて説明する。ここで内向きとは、外部ネットワーク20から内部ネットワーク30への方向を意味する。
【0039】
SW40aにインターネット20から通信データが入ると(S301)、SW40aが下流に設けられたフィルタ群50a、及びミラーポートに接続されたNFT60aにこの通信データを送信する(S302)。すると、NFT60aがディスク70aに通信データを保存する(S303)。
【0040】
ディスク70aに保存された通信データが、フィルタ群50aでのフィルタリングにより遮断される通信データかどうかをフィルタ群50aが判定する(S304)。遮断される通信データの場合には、処理を終了する。
【0041】
一方、遮断される通信データでない場合には、SW40bが下流に設けられた内部ネットワーク30内の各ノードとしてのサーバ(31a、31b)、及びミラーポートに接続されたNFT60bに通信データを送信し(S305)、NTF60bがディスク70bにこの通信データを保存する(S306)。
【0042】
[通信データ記録処理(外向き)]
通信データ記録処理(外向き)を図8のフローチャートと図9のシーケンス図を用いて説明する。ここで外向きとは、システム内から外部ネットワーク20への方向を意味する。
【0043】
例えばSW40bにイントラネット30からインターネット20に出て行く通信データが入ると(S401)、SW40bが上流に設けられたフィルタ群50a、及びミラーポートに接続されたNFT60bにこの通信データを送信する(S402)。すると、NFT60bがディスク70bに通信データと、到着時刻と連番を通信データの付属情報として保存する(S403)。
【0044】
ディスク70bに保存された通信データがフィルタ群50aにより遮断される通信データかどうかをフィルタ群50aが判定する(S404)。遮断される通信データの場合には、処理を終了する。
【0045】
一方、遮断される通信データでない場合には、SW40aが下流に設けられた外部ネットワーク20の各サーバ(メールサーバ、Webサーバ等)、及び(ミラーポートに接続された)NFT60aに通信データを送信し(S405)、NTF60aがディスク70aにこの通信データと、到着時刻と連番を通信データの付属情報として保存する(S406)。
【0046】
[再検証/比較処理]
再検証/比較処理を図10のフローチャートに従い説明する。
【0047】
再検証/比較サーバ80aがディスク70aから通信データと、その到着時刻を1つ読込む(S501)。さらに、再検証/比較サーバ80aが再検証/比較サーバ80bに通信データ読込みを依頼する(S502)。
【0048】
すると、再検証/比較サーバ80bがディスク70bから通信データと、その到着時刻を1つ読込む(S503)。
【0049】
ここで、読込んだ通信データが再検証/比較サーバ80aと再検証/比較サーバ80bとで同じかどうかを再検証/比較サーバ80bが判定する(S504)。同じ場合は、再検証/比較フロー(内向き)を実施する(S505)。一方、読込んだ通信データが再検証/比較サーバ80aと再検証/比較サーバ80bとで異なる場合は、再検証/比較サーバ80bが到着時刻を比較する(S506)。
【0050】
再検証/比較サーバ80aの通信データの方が、再検証/比較サーバ80bの通信データより到着時刻が先または同時(a<=b)なら、再検証/比較フロー(内向き)を実施する(S505)。
【0051】
再検証/比較サーバ80aの通信データの方が、再検証/比較サーバ80bの通信データより到着時刻が後(a>b)なら、再検証/比較フロー(外向き)を実施する(S507)。
【0052】
[再検証/比較処理(内向き)]
再検証/比較フロー(内向き)の流れを示すフローチャートを図11に示す。
【0053】
再検証/比較サーバ80aがディスク70aから通信データを1つ読込む(S601)。さらに、再検証/比較サーバ80aが再検証/比較サーバ80bに送信予告を行なう。この際に通信データも送信予告に合わせてフィルタ郡50bへ送る(S602)。
【0054】
再検証/比較サーバ80aから送信された通信データを、パターンファイルをはじめ最新の設定を適用した、すなわち最新状態のフィルタ群50bが受信する。(S603)。
【0055】
再検証/比較サーバ80aから送信されたこの通信データが、最新状態のフィルタ群50bにより遮断される通信データかどうかを、この最新状態のフィルタ群50bが判定する(S604)。
【0056】
最新状態のフィルタ群50bで遮断されない通信データの場合は、最新遮断有無フラグを「無」に設定する(S605)。一方、遮断される場合は、最新遮断有無フラグを「有」に設定する(S606)。
【0057】
再検証/比較サーバ80bにディスク70bと対応する通信データがあるかどうか(過去のフィルタ群50aに遮断されていたかどうか)を、フィルタ群50aがS608で判定するため、再検証/比較サーバ80aからの依頼に基づいて、再検証/比較サーバ80bがディスク70bから通信データを読込む(S607)。
【0058】
通信データが、過去のフィルタ群50aに遮断されていたかどうか判定する(S608)。
【0059】
遮断されていなかった場合には、過去遮断有無フラグを「無」に設定する(S609)。
【0060】
一方、遮断されていた場合には、過去遮断有無フラグを「有」に設定する(S610)。
【0061】
さらに最新遮断有無フラグの値と過去遮断有無フラグの値が、同じかを判定する(S611)。
【0062】
最新遮断有無フラグの値と過去遮断有無フラグの値が、同じ場合にはS612に進む。一方、最新遮断有無フラグの値と過去遮断有無フラグの値が、異なる場合にはS613に進む。
【0063】
最新遮断有無フラグの値と過去遮断有無フラグの値が、両方とも遮断「無」かつ、通信データが異なっているか判定する(S612)。
【0064】
最新遮断有無フラグの値と過去遮断有無フラグの値が、少なくともどちらか一方が遮断「有」の場合、または、両方とも遮断「無」かつ、通信データが同じ場合には、処理を終了する。
【0065】
ここで、両方とも遮断「無」かつ、通信データが異なっている場合には、再検証/比較サーバ80bが外部システム100を通じて運用管理者宛に警告メールを送信(S613)し、処理を終了する。
【0066】
<本実施例によって得られる効果>
本実施例のセキュリティリスク検出システムによれば、各端末のセキュリティ対策の完全性によらず、過去のパターンファイルを適用したフィルタ群50では検出できなかった潜在的なセキュリティリスクを早期発見することで、時限ウイルス等による被害を防ぐと共に、各セキュリティリスク要因の登場時期や送信元も特定できるようになる。
【0067】
また、過去のパターンファイルによる誤検知が早期に発見でき、運用管理者が誤検知などを容易に把握することができる。
【実施例2】
【0068】
続いて以下に、本発明の第2の実施例について図面を用いて説明する。本実施例のセキュリティリスク検出システムの構成を示すブロック図を図12に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10では、パーチャルLAN(VLAN)対応のネットワークスイッチ(SW)32を備え、内部ネットワーク30に検疫ネットワークの技術を適用する。
【0069】
本実施例では、内部ネットワーク30内の装置としてIEEE802.1X認証が可能なコンピュータ31及びVLAN対応のネットワークSW32を用い、コンピュータ31からはバーチャルLAN方式で分けられたネットワークにアクセスするようにして実現する。
【0070】
ある通信データを過去のフィルタ群50aを通した結果と現在(最新状態)のフィルタ群50bを通した結果とで相違があり、過去の結果が「遮断無」、現在の結果が「遮断有」の場合は、過去に潜在セキュリティリスクが入り込んだ可能性がある。そこで、前記通信データの送信元または受信元となる内部ネットワーク30内のノードである例えばコンピュータ31と内部ネットワーク30との通信データを、VLAN対応SW32の設定変更により遮断(隔離)する。
【0071】
また、前記通信データの送信元または受信元となる外部ネットワーク20側のIPアドレスからの通信データを、ファイアウォールの設定変更により遮断する。
【0072】
<本実施例によって得られる効果>
本実施例のセキュリティリスク検出システムによれば、実施例1の効果に加えて、早期発見したセキュリティリスクの被害拡大を抑制することが可能となる。
【実施例3】
【0073】
続いて以下に、本発明の第3の実施例について図面を用いて説明する。まず本実施例のセキュリティリスク検出システムの構成例を図13に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10は、実施例1の構成要素に加え、ウイルスDBサーバと、保存期間算出/指示サーバをさらに備える。
【0074】
ウイルスDBサーバは、例えばウイルス対策ソフト製造元等が用意しているDBサーバであって、各ウイルスの登場時期やパターンファイルによる対処時期を、外部から問い合わせ可能なものである。
【0075】
保存期間算出/指示サーバは、ウイルスDBサーバから各ウイルスの登場時期やパターンファイルによる対処時期を取得して、ウイルス登場からパターンファイル作成までの期間の統計情報を例えば、対処数を度数とする度数分布などにより定期的に作成する。統計的に大部分のケースが当てはまる期間、すなわち例えば、正規分布を当てはめて、平均+標準偏差×3を算出するなどした結果を、フォレンジックツールの保存期間として設定する。
【0076】
<本実施例によって得られる効果>
本実施例のセキュリティリスク検出システムによれば、統計情報に基づいてフォレンジックツールの保存期間を限定するので、高いセキュリティリスク発見率を維持したまま、ディスク使用量を抑えることが可能となる。
【実施例4】
【0077】
続いて以下に、本発明の第4の実施例について図面を用いて説明する。まず本実施例の
セキュリティリスク検出システムの構成例を図14に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10は、フィルタ群50として、メールサーバに加えてスパムフィルタ(SPAM Filter)を使用する場合の例である。
【0078】
一般的にスパムフィルタは、あるメールがスパムメールと判断した場合に、例えば標題に[SPAM]を付加する等のメールを加工する機能を持つ。なお、スパムメールはメール受信側でゴミ箱フォルダ等に振り分けされていることが多い。
【0079】
本実施例では、あるメールについて過去のフィルタ群50aを通した結果と、現在(最新状態)のフィルタ群50bを通した結果とで相違がある場合に、
再検証/比較サーバは、
過去の結果が「加工無」であり、 現在の結果が「加工有」なら、過去にSPAMメールをそのまま通過させてしまった可能性があるので、SMTPサーバ(メール送信用サーバ)105を利用して、前記メールの取消しメールと、前記メールをSPAMとして加工した結果をメール送信する。
【0080】
過去の結果が「加工有」であり、現在の結果が「加工無」なら過去のSPAM判定が誤りであった可能性が高いので、SMTPサーバ105を利用して、前記メールの取消しメールを送信し、前記メールを未加工のまま送信する。
【0081】
<本実施例によって得られる効果>
本実施例のセキュリティリスク検出システムによれば、スパムフィルタが過去にスパムメールをそのまま通過させてしまっていた場合でも、取り消して正しい結果をメール受信者に伝えることが可能となる。
【0082】
また、スパムフィルタが過去にスパムと誤判定していた場合でも、取り消して正しい結果をメール受信者に伝えることが可能となる。例えば、誤判定により重要なメールがゴミ箱フォルダに振り分けられていた場合でも再送信によりメール受信者がその旨気付くことができる。
【0083】
上記のように、本発明の実施例によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
【0084】
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0085】
10・・・セキュリティリスク検出システム
20・・・外部ネットワーク(インターネット)
30・・・内部ネットワーク(イントラネット)
31・・・コンピュータ(PC)
31a・・・コンピュータa(PCa)
31b・・・コンピュータb(PCb)
32・・・バーチャルLAN対応ネットワークスイッチ(VLAN対応SW)
40・・・スイッチ(SW)
40a・・・スイッチa(SWa)
40b・・・スイッチb(SWb)
50・・・フィルタ群
50a・・・フィルタ群a
50b・・・フィルタ群b
51・・・ファイアウォール(FW)
52・・・不正侵入不正行為検出装置(IPS/IDS)
53・・・ウイルス対策ゲートウェイ(GW)
60・・・ネットワークフォレンジックツール
60a・・・ネットワークフォレンジックツールa(NFTa)
60b・・・ネットワークフォレンジックツールb(NFTb)
70・・・ディスク
70a・・・ディスクa
70b・・・ディスクb
80・・・再検証/比較サーバ
80a・・・再検証/比較サーバa
80b・・・再検証/比較サーバb
100・・・外部システム
105・・・SMTPサーバ(メール送信用サーバ)
110・・・保存期間判定サーバ
120・・・ウィルスデータベースサーバ
【技術分野】
【0001】
本開示は、過去のパターンファイルで検出出来なかった潜在セキュリティリスクや誤検知を発見する機能を有するセキュリティリスク検出システムに関する。
【背景技術】
【0002】
企業システム等へのウイルスや不正侵入/攻撃を防ぐ手段として、ファイアウォール(Fire Wall)、IPS(Intrusion Prevention System)/IDS(Intrusion Detection System)、ウイルス対策ソフト等がある。
【0003】
しかし、最新ウイルスや最新の不正侵入方法が登場してから、その対処のためのパターンファイルが出るまでにはタイムラグがあり、この間にセキュリティ上問題のある通信パケットがシステムに入り込む可能性がある。ウイルスに関しては、例えば、システム内の全てのマシンにて常に最新状態のウイルス対策ソフトが稼働し、定期的に全検索を行うよう徹底されていれば回避できる可能性は高いが、実際にはこうした完全な徹底は難しい。このため、実際には、セキュリティ上問題のある状態が放置されて被害がかなり広まってから発覚するリスクは避けられず、リスク発生時は極めて大きなビジネスインパクトを被ることとなる(第1の課題)。
【0004】
一方で、最近のパターンファイルは複雑化しており、誤検知のリスクがある。このため、不正に通信パケットが誤検知→ブロックされてしまう可能性があり、こちらも課題となっている(第2の課題)。
【0005】
こういった課題に対し、インターネットと各端末との間で転送されるパケットデータをすべてゲートウェイでウイルスチェックする、といった技術が開示されている(例えば特許文献1参照)。
【0006】
また、IEEE802.1X認証が可能な端末を用い、端末からバーチャルLAN(VLAN)方式で分けられたネットワークへのログオンを行う際に、認証情報センター端末が端末から送られるユーザ認証情報を受信し、ウイルス対策状況管理センター端末へのウイルス対策チェック状況問い合わせを自動的に行い、ウイルス対策が完全に行われているときのみ、端末の正規イントラネットへのログオンを許可する応答を送信する認証情報センター端末を提供する、といった対処を行う方法がある(例えば、特許文献2参照)。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2001−256045号公報
【特許文献2】特開2006−178762号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかし、上記した特許文献1記載の従来技術においては、以下のような課題がある。
【0009】
ゲートウェイでは、その時点で最新のパターンファイルでウイルスチェックできるものの、まだパターンファイルで対応できていないウイルスは通過させてしまうことになり、こういったウイルスは潜在ウイルスとしてシステム内で被害拡大する可能性がある。
【0010】
一方、上記した特許文献2記載の従来技術においては、以下のような課題がある。
【0011】
ウイルス対策の完全性の証明を(信用できるかどうか不明な)端末側に委ねているため、例えば、ウイルス対策ソフトが誤動作していてウイルス対策が完全であるように見える端末は、正規のイントラネットにログオン可能ということを意味する。状況としては、ウイルス対策ソフトにバグがあったり、ウイルスに犯されていたり、悪意を持ったユーザがウイルス対策ソフトを改造したりといった状況が考えられる。
【0012】
また、端末側で、ウイルス対策の完全性と、ウイルス検索頻度によるマシン負荷がトレードオフとなる。ウイルス対策の完全性を高める場合、例えば、パターンファイルが更新されるたびにディスクの全検索をしないとネットワークにつなげなくなる等、運用負荷が高くなる。逆にウイルス対策の完全性を緩めると、過去のパターンファイルで検出できなかった潜在ウイルスがしばらくの間端末に潜在するリスクがある。
【0013】
本発明は、上記した従来の問題点を解決するためになされたもので、ウイルス検索装置や侵入検知装置等を利用したネットワークセキュリティ対策システムにおいて、各端末のセキュリティ対策の完全性によらず、過去のパターンファイルを適用したフィルタ群では検出できなかった潜在セキュリティリスクを早期発見すると共に、各セキュリティリスク要因の登場時期や送信元も特定できるセキュリティリスク検出システムを提供することを目的とする。
【課題を解決するための手段】
【0014】
上記目的を達成するために、本発明によるセキュリティリスク検出システムは、第1のネットワークと第2のネットワークとの間に設けられ、前記第1のネットワークから入力された通信データをフィルタリングして出力する第1のフィルタ手段と、前記第1のネットワークから前記第1のフィルタ手段に入力された通信データを保存する第1の保存手段と、前記第1のフィルタ手段から出力された通信データを保存する第2の保存手段と、
前記第1の保存手段に保存されている通信データをフィルタリングして出力する第2のフィルタ手段と、前記第2のフィルタ手段から出力された通信データを保存する第3の保存手段と、前記第2の保存手段に保存されている通信データと前記第1の保存手段に保存されている通信データが前記第2のフィルタ手段でフィルタリングされた結果として前記第2のフィルタ手段から出力され前記第3の保存手段に保存された通信データとを比較し、この比較結果を外部システムに通知する比較手段とを備えることを特徴とする。
【図面の簡単な説明】
【0015】
【図1】本発明の第1の実施例のセキュリティリスク検出システムの構成を示すブロック図。
【図2】フィルタ群によるパケットの遮断が過去も現在もない場合のブロック図
【図3】フィルタ群によるパケットの遮断が現在のみの場合のブロック図
【図4】フィルタ群によるパケットの遮断が過去のみの場合のブロック図
【図5】フィルタ群によるパケットの遮断が過去も現在もある場合のブロック図
【図6】通信データ記録処理(内向き)の流れを示すフローチャート。
【図7】通信データ記録処理(内向き)を示すシーケンス図。
【図8】通信データ記録処理(外向き)の流れを示すフローチャート。
【図9】通信データ記録処理(外向き)を示すシーケンス図。
【図10】再検証/比較処理の流れの概要を示すフローチャート。
【図11】再検証/比較処理の流れ(内向き)を示すフローチャート。
【図12】本発明の第2の実施例のセキュリティリスク検出システム全体の構成例を示すブロック図。
【図13】本発明の第3の実施例のセキュリティリスク検出システム全体の構成例を示すブロック図。
【図14】本発明の第4の実施例のセキュリティリスク検出システム全体の構成例を示すブロック図。
【発明を実施するための形態】
【0016】
以下、本発明の実施例について図面を参照して説明する。
【実施例1】
【0017】
(1)システム構成
本実施例のセキュリティリスク検出システムの構成を示すブロック図を図1に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10は、
フィルタ群50と、ネットワークフォレンジックツール(NFT)60と、再検証/比較サーバ80とから構成されている。
【0018】
フィルタ群50aは、外部ネットワーク(インターネット)20と内部ネットワーク(イントラネット)30の間に設けられ、外部ネットワーク20から入力された通信データをフィルタリングして出力するもので、パターンファイルをはじめ最新の設定が適用されている。
【0019】
NFT60aは、外部ネットワーク20からフィルタ群50aに入力された通信データをディスク70aに保存するもので、NFT60bは、フィルタ群50aから出力された通信データをディスク70bに保存する。
【0020】
再検証/比較サーバ80aは、ディスク70aに保存されている通信データを取得して、フィルタ群50bでフィルタリングするために送信する。再検証/比較サーバ80bは、ディスク70bに保存されている通信データと、ディスク70aに保存されている通信データがフィルタ群50bでフィルタリングされた結果としてフィルタ群50bから出力された通信データとを比較し、この比較結果を外部システム100に通知する。
【0021】
スイッチ(SW)40a、40bはネットワークスイッチで、受信データを通常の送信先以外にミラーポートにも流す機能を持つ。
【0022】
フィルタ群50a、50bは、ファイアウォール(FW)51、不正侵入不正行為検出装置52(IPS/IDS)、ウイルス対策ゲートウェィ(GW)53の総称をさす。FW51は、パケットフィルタをはじめとした、いわゆる通常のファイアウォールである。IPSはコンピュータやネットワークに対する不正侵入を阻止するシステム、IDSはコンピュータやネットワークに対する不正行為を検出し通知するためのシステムである。GW53は、ネットワークゲートウェイ型のウイルス対策ソフト/装置である。
【0023】
コンピュータ(PC)31a、31bは、内部ネットワーク30にノードとして接続されている。
【0024】
NTF60a、60bは、通信データをディスク70a、70b上に保存し、保存期間を設定することが可能である。
【0025】
以下にNFT60aによりディスク70aに保存した過去の通信データを、最新の設定を適用した現在のフィルタ群50bに所定のタイミングで通し、その結果と当時のフィルタ群50aを通した結果とを比較し、相違があれば運用管理者に警告メールを送信する場合の概要を記載する。
【0026】
本実施例では、図1に示すように、NTF60aは外部ネットワークに最も近い位置(フィルタ群50aの外側)で通信データを保存し、NTF60bはセキュリティが最も確保された位置(フィルタ群50aの内側)で通信データを保存する。
【0027】
再検証/比較サーバ80は本実施例では2つあり、この2つの再検証/比較サーバ80aと80bは連携して動作する。
【0028】
再検証/比較サーバ80aは過去の通信データをディスク70aから取得して、パターンファイルをはじめ最新の設定を適用した現在のフィルタ群50bでフィルタリングし、再検証/比較サーバ80bは
・ 過去の通信データをその通信当時フィルタ群50aでフィルタリングした結果
と
・ 上記と同じ過去の通信データを最新の設定を適用した現在のフィルタ群50bでフィルタリングした結果
を比較する。
【0029】
この比較結果を外部システム100に通知し、比較結果に応じて運用管理者等への警告を行なう。
【0030】
なお外部システム100は、検疫ネットワーク等で用いられ、IPパケットで判別して通信を遮断することで、ネットワークからセキュリティ上問題のある(またはその可能性がある)端末を隔離する、例えば端末隔離用装置である。本実施例では、バーチャルLAN(VLAN)方式により、ネットワークを正規LANと検査用LANに分ける。
【0031】
(2)処理
以下、内向き(外部ネットワーク20から内部ネットワーク30方向)の通信にて、通信当時のフィルタ群50aでフィルタリングした結果と、最新の設定を適用したフィルタ群50bでフィルタリングを通した結果を比較する例を、フィルタリングによる通信データの遮断の有無によって以下の4パターンに分けて記載する。
【0032】
[1]フィルタ群50による遮断が当時も現在も無い(図2参照)。
【0033】
[2]フィルタ群50による遮断が現在のみ(過去には遮断されていない)(図3参照)。
【0034】
[3]フィルタ群50による遮断が当時のみ(現在は遮断されていない)(図4参照)。
【0035】
[4]フィルタ群50による遮断が当時も現在もある(図5参照)。
【0036】
通信当時のフィルタ群50aを通した結果と、現在のフィルタ群50bを通した結果を比較して、相違があれば、運用管理者に警告メールを送信する。
【0037】
上記の処理は、外向き(システム内から外部ネットワーク20方向)の通信についても同様で、再検証/比較サーバ80aと80bの役割が逆になる程度の違いであるため、説明を省略する。
【0038】
[通信データ記録処理(内向き)]
通信データ記録処理(内向き)を図6のフローチャートと図7のシーケンス図を用いて説明する。ここで内向きとは、外部ネットワーク20から内部ネットワーク30への方向を意味する。
【0039】
SW40aにインターネット20から通信データが入ると(S301)、SW40aが下流に設けられたフィルタ群50a、及びミラーポートに接続されたNFT60aにこの通信データを送信する(S302)。すると、NFT60aがディスク70aに通信データを保存する(S303)。
【0040】
ディスク70aに保存された通信データが、フィルタ群50aでのフィルタリングにより遮断される通信データかどうかをフィルタ群50aが判定する(S304)。遮断される通信データの場合には、処理を終了する。
【0041】
一方、遮断される通信データでない場合には、SW40bが下流に設けられた内部ネットワーク30内の各ノードとしてのサーバ(31a、31b)、及びミラーポートに接続されたNFT60bに通信データを送信し(S305)、NTF60bがディスク70bにこの通信データを保存する(S306)。
【0042】
[通信データ記録処理(外向き)]
通信データ記録処理(外向き)を図8のフローチャートと図9のシーケンス図を用いて説明する。ここで外向きとは、システム内から外部ネットワーク20への方向を意味する。
【0043】
例えばSW40bにイントラネット30からインターネット20に出て行く通信データが入ると(S401)、SW40bが上流に設けられたフィルタ群50a、及びミラーポートに接続されたNFT60bにこの通信データを送信する(S402)。すると、NFT60bがディスク70bに通信データと、到着時刻と連番を通信データの付属情報として保存する(S403)。
【0044】
ディスク70bに保存された通信データがフィルタ群50aにより遮断される通信データかどうかをフィルタ群50aが判定する(S404)。遮断される通信データの場合には、処理を終了する。
【0045】
一方、遮断される通信データでない場合には、SW40aが下流に設けられた外部ネットワーク20の各サーバ(メールサーバ、Webサーバ等)、及び(ミラーポートに接続された)NFT60aに通信データを送信し(S405)、NTF60aがディスク70aにこの通信データと、到着時刻と連番を通信データの付属情報として保存する(S406)。
【0046】
[再検証/比較処理]
再検証/比較処理を図10のフローチャートに従い説明する。
【0047】
再検証/比較サーバ80aがディスク70aから通信データと、その到着時刻を1つ読込む(S501)。さらに、再検証/比較サーバ80aが再検証/比較サーバ80bに通信データ読込みを依頼する(S502)。
【0048】
すると、再検証/比較サーバ80bがディスク70bから通信データと、その到着時刻を1つ読込む(S503)。
【0049】
ここで、読込んだ通信データが再検証/比較サーバ80aと再検証/比較サーバ80bとで同じかどうかを再検証/比較サーバ80bが判定する(S504)。同じ場合は、再検証/比較フロー(内向き)を実施する(S505)。一方、読込んだ通信データが再検証/比較サーバ80aと再検証/比較サーバ80bとで異なる場合は、再検証/比較サーバ80bが到着時刻を比較する(S506)。
【0050】
再検証/比較サーバ80aの通信データの方が、再検証/比較サーバ80bの通信データより到着時刻が先または同時(a<=b)なら、再検証/比較フロー(内向き)を実施する(S505)。
【0051】
再検証/比較サーバ80aの通信データの方が、再検証/比較サーバ80bの通信データより到着時刻が後(a>b)なら、再検証/比較フロー(外向き)を実施する(S507)。
【0052】
[再検証/比較処理(内向き)]
再検証/比較フロー(内向き)の流れを示すフローチャートを図11に示す。
【0053】
再検証/比較サーバ80aがディスク70aから通信データを1つ読込む(S601)。さらに、再検証/比較サーバ80aが再検証/比較サーバ80bに送信予告を行なう。この際に通信データも送信予告に合わせてフィルタ郡50bへ送る(S602)。
【0054】
再検証/比較サーバ80aから送信された通信データを、パターンファイルをはじめ最新の設定を適用した、すなわち最新状態のフィルタ群50bが受信する。(S603)。
【0055】
再検証/比較サーバ80aから送信されたこの通信データが、最新状態のフィルタ群50bにより遮断される通信データかどうかを、この最新状態のフィルタ群50bが判定する(S604)。
【0056】
最新状態のフィルタ群50bで遮断されない通信データの場合は、最新遮断有無フラグを「無」に設定する(S605)。一方、遮断される場合は、最新遮断有無フラグを「有」に設定する(S606)。
【0057】
再検証/比較サーバ80bにディスク70bと対応する通信データがあるかどうか(過去のフィルタ群50aに遮断されていたかどうか)を、フィルタ群50aがS608で判定するため、再検証/比較サーバ80aからの依頼に基づいて、再検証/比較サーバ80bがディスク70bから通信データを読込む(S607)。
【0058】
通信データが、過去のフィルタ群50aに遮断されていたかどうか判定する(S608)。
【0059】
遮断されていなかった場合には、過去遮断有無フラグを「無」に設定する(S609)。
【0060】
一方、遮断されていた場合には、過去遮断有無フラグを「有」に設定する(S610)。
【0061】
さらに最新遮断有無フラグの値と過去遮断有無フラグの値が、同じかを判定する(S611)。
【0062】
最新遮断有無フラグの値と過去遮断有無フラグの値が、同じ場合にはS612に進む。一方、最新遮断有無フラグの値と過去遮断有無フラグの値が、異なる場合にはS613に進む。
【0063】
最新遮断有無フラグの値と過去遮断有無フラグの値が、両方とも遮断「無」かつ、通信データが異なっているか判定する(S612)。
【0064】
最新遮断有無フラグの値と過去遮断有無フラグの値が、少なくともどちらか一方が遮断「有」の場合、または、両方とも遮断「無」かつ、通信データが同じ場合には、処理を終了する。
【0065】
ここで、両方とも遮断「無」かつ、通信データが異なっている場合には、再検証/比較サーバ80bが外部システム100を通じて運用管理者宛に警告メールを送信(S613)し、処理を終了する。
【0066】
<本実施例によって得られる効果>
本実施例のセキュリティリスク検出システムによれば、各端末のセキュリティ対策の完全性によらず、過去のパターンファイルを適用したフィルタ群50では検出できなかった潜在的なセキュリティリスクを早期発見することで、時限ウイルス等による被害を防ぐと共に、各セキュリティリスク要因の登場時期や送信元も特定できるようになる。
【0067】
また、過去のパターンファイルによる誤検知が早期に発見でき、運用管理者が誤検知などを容易に把握することができる。
【実施例2】
【0068】
続いて以下に、本発明の第2の実施例について図面を用いて説明する。本実施例のセキュリティリスク検出システムの構成を示すブロック図を図12に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10では、パーチャルLAN(VLAN)対応のネットワークスイッチ(SW)32を備え、内部ネットワーク30に検疫ネットワークの技術を適用する。
【0069】
本実施例では、内部ネットワーク30内の装置としてIEEE802.1X認証が可能なコンピュータ31及びVLAN対応のネットワークSW32を用い、コンピュータ31からはバーチャルLAN方式で分けられたネットワークにアクセスするようにして実現する。
【0070】
ある通信データを過去のフィルタ群50aを通した結果と現在(最新状態)のフィルタ群50bを通した結果とで相違があり、過去の結果が「遮断無」、現在の結果が「遮断有」の場合は、過去に潜在セキュリティリスクが入り込んだ可能性がある。そこで、前記通信データの送信元または受信元となる内部ネットワーク30内のノードである例えばコンピュータ31と内部ネットワーク30との通信データを、VLAN対応SW32の設定変更により遮断(隔離)する。
【0071】
また、前記通信データの送信元または受信元となる外部ネットワーク20側のIPアドレスからの通信データを、ファイアウォールの設定変更により遮断する。
【0072】
<本実施例によって得られる効果>
本実施例のセキュリティリスク検出システムによれば、実施例1の効果に加えて、早期発見したセキュリティリスクの被害拡大を抑制することが可能となる。
【実施例3】
【0073】
続いて以下に、本発明の第3の実施例について図面を用いて説明する。まず本実施例のセキュリティリスク検出システムの構成例を図13に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10は、実施例1の構成要素に加え、ウイルスDBサーバと、保存期間算出/指示サーバをさらに備える。
【0074】
ウイルスDBサーバは、例えばウイルス対策ソフト製造元等が用意しているDBサーバであって、各ウイルスの登場時期やパターンファイルによる対処時期を、外部から問い合わせ可能なものである。
【0075】
保存期間算出/指示サーバは、ウイルスDBサーバから各ウイルスの登場時期やパターンファイルによる対処時期を取得して、ウイルス登場からパターンファイル作成までの期間の統計情報を例えば、対処数を度数とする度数分布などにより定期的に作成する。統計的に大部分のケースが当てはまる期間、すなわち例えば、正規分布を当てはめて、平均+標準偏差×3を算出するなどした結果を、フォレンジックツールの保存期間として設定する。
【0076】
<本実施例によって得られる効果>
本実施例のセキュリティリスク検出システムによれば、統計情報に基づいてフォレンジックツールの保存期間を限定するので、高いセキュリティリスク発見率を維持したまま、ディスク使用量を抑えることが可能となる。
【実施例4】
【0077】
続いて以下に、本発明の第4の実施例について図面を用いて説明する。まず本実施例の
セキュリティリスク検出システムの構成例を図14に示す。同図に示すように、本実施形態に係るセキュリティリスク検出システム10は、フィルタ群50として、メールサーバに加えてスパムフィルタ(SPAM Filter)を使用する場合の例である。
【0078】
一般的にスパムフィルタは、あるメールがスパムメールと判断した場合に、例えば標題に[SPAM]を付加する等のメールを加工する機能を持つ。なお、スパムメールはメール受信側でゴミ箱フォルダ等に振り分けされていることが多い。
【0079】
本実施例では、あるメールについて過去のフィルタ群50aを通した結果と、現在(最新状態)のフィルタ群50bを通した結果とで相違がある場合に、
再検証/比較サーバは、
過去の結果が「加工無」であり、 現在の結果が「加工有」なら、過去にSPAMメールをそのまま通過させてしまった可能性があるので、SMTPサーバ(メール送信用サーバ)105を利用して、前記メールの取消しメールと、前記メールをSPAMとして加工した結果をメール送信する。
【0080】
過去の結果が「加工有」であり、現在の結果が「加工無」なら過去のSPAM判定が誤りであった可能性が高いので、SMTPサーバ105を利用して、前記メールの取消しメールを送信し、前記メールを未加工のまま送信する。
【0081】
<本実施例によって得られる効果>
本実施例のセキュリティリスク検出システムによれば、スパムフィルタが過去にスパムメールをそのまま通過させてしまっていた場合でも、取り消して正しい結果をメール受信者に伝えることが可能となる。
【0082】
また、スパムフィルタが過去にスパムと誤判定していた場合でも、取り消して正しい結果をメール受信者に伝えることが可能となる。例えば、誤判定により重要なメールがゴミ箱フォルダに振り分けられていた場合でも再送信によりメール受信者がその旨気付くことができる。
【0083】
上記のように、本発明の実施例によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなる。
【0084】
本発明はここでは記載していない様々な実施の形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【符号の説明】
【0085】
10・・・セキュリティリスク検出システム
20・・・外部ネットワーク(インターネット)
30・・・内部ネットワーク(イントラネット)
31・・・コンピュータ(PC)
31a・・・コンピュータa(PCa)
31b・・・コンピュータb(PCb)
32・・・バーチャルLAN対応ネットワークスイッチ(VLAN対応SW)
40・・・スイッチ(SW)
40a・・・スイッチa(SWa)
40b・・・スイッチb(SWb)
50・・・フィルタ群
50a・・・フィルタ群a
50b・・・フィルタ群b
51・・・ファイアウォール(FW)
52・・・不正侵入不正行為検出装置(IPS/IDS)
53・・・ウイルス対策ゲートウェイ(GW)
60・・・ネットワークフォレンジックツール
60a・・・ネットワークフォレンジックツールa(NFTa)
60b・・・ネットワークフォレンジックツールb(NFTb)
70・・・ディスク
70a・・・ディスクa
70b・・・ディスクb
80・・・再検証/比較サーバ
80a・・・再検証/比較サーバa
80b・・・再検証/比較サーバb
100・・・外部システム
105・・・SMTPサーバ(メール送信用サーバ)
110・・・保存期間判定サーバ
120・・・ウィルスデータベースサーバ
【特許請求の範囲】
【請求項1】
第1のネットワークと第2のネットワークとの間に設けられ、前記第1のネットワークから入力された通信データをフィルタリングして出力する第1のフィルタ手段と、
前記第1のネットワークから前記第1のフィルタ手段に入力された通信データを保存する第1の保存手段と、
前記第1のフィルタ手段から出力された通信データを保存する第2の保存手段と、
前記第1の保存手段に保存されている通信データをフィルタリングして出力する第2のフィルタ手段と、
前記第2のフィルタ手段から出力された通信データを保存する第3の保存手段と、
前記第2の保存手段に保存されている通信データと前記第1の保存手段に保存されている通信データが前記第2のフィルタ手段でフィルタリングされた結果として前記第2のフィルタ手段から出力され前記第3の保存手段に保存された通信データとを比較し、この比較結果を外部システムに通知する比較手段と
を具備することを特徴とするセキュリティリスク検出システム。
【請求項2】
前記比較手段で比較した通信データが一致しない場合、前記一致しない通信データの少なくとも送信元または受信先いずれかのノードを指定するアドレスを持つ通信データを前記第1のフィルタ手段が遮断する
ことを特徴とする請求項1記載のセキュリティリスク検出システム。
【請求項3】
前記第1のネットワークと前記第2のネットワーク内に設けられたノードとの通信データの通過をアドレスごとに遮断する検疫ネットワーク手段を更に備え、
前記比較手段で比較した通信データが一致しない場合、前記検疫ネットワーク手段は前記一致しない通信データの送信元または受信先となるノードのうち、少なくともいずれかのノードとの通信データの通過を遮断する
ことを特徴とする請求項1乃至請求項2記載のセキュリティリスク検出システム。
【請求項4】
ウイルスの登場時期とそれらの検出と駆除のためのパターンファイル作成時期の情報を保存したウイルス情報保存手段と、
前記第1の保存手段と前記第2の保存手段における通信データの保存期間を指示する指示手段とを備え、
前記指示手段は、前記ウイルス情報保存手段から前記ウイルスの登場時期とそのウイルスに対応する前記パターンファイルの作成時期を取得してその差から各ウイルスの対処期間と対処数を算出し、
この対処数を度数とする度数分布に基づいてウイルスの前記対処期間が含まれる期間を判断し、
この期間を前記通信データの保存期間として前記第1の保存手段と前記第2の保存手段に指示すること
を特徴とする請求項1乃至請求項3記載のセキュリティリスク検出システム。
【請求項1】
第1のネットワークと第2のネットワークとの間に設けられ、前記第1のネットワークから入力された通信データをフィルタリングして出力する第1のフィルタ手段と、
前記第1のネットワークから前記第1のフィルタ手段に入力された通信データを保存する第1の保存手段と、
前記第1のフィルタ手段から出力された通信データを保存する第2の保存手段と、
前記第1の保存手段に保存されている通信データをフィルタリングして出力する第2のフィルタ手段と、
前記第2のフィルタ手段から出力された通信データを保存する第3の保存手段と、
前記第2の保存手段に保存されている通信データと前記第1の保存手段に保存されている通信データが前記第2のフィルタ手段でフィルタリングされた結果として前記第2のフィルタ手段から出力され前記第3の保存手段に保存された通信データとを比較し、この比較結果を外部システムに通知する比較手段と
を具備することを特徴とするセキュリティリスク検出システム。
【請求項2】
前記比較手段で比較した通信データが一致しない場合、前記一致しない通信データの少なくとも送信元または受信先いずれかのノードを指定するアドレスを持つ通信データを前記第1のフィルタ手段が遮断する
ことを特徴とする請求項1記載のセキュリティリスク検出システム。
【請求項3】
前記第1のネットワークと前記第2のネットワーク内に設けられたノードとの通信データの通過をアドレスごとに遮断する検疫ネットワーク手段を更に備え、
前記比較手段で比較した通信データが一致しない場合、前記検疫ネットワーク手段は前記一致しない通信データの送信元または受信先となるノードのうち、少なくともいずれかのノードとの通信データの通過を遮断する
ことを特徴とする請求項1乃至請求項2記載のセキュリティリスク検出システム。
【請求項4】
ウイルスの登場時期とそれらの検出と駆除のためのパターンファイル作成時期の情報を保存したウイルス情報保存手段と、
前記第1の保存手段と前記第2の保存手段における通信データの保存期間を指示する指示手段とを備え、
前記指示手段は、前記ウイルス情報保存手段から前記ウイルスの登場時期とそのウイルスに対応する前記パターンファイルの作成時期を取得してその差から各ウイルスの対処期間と対処数を算出し、
この対処数を度数とする度数分布に基づいてウイルスの前記対処期間が含まれる期間を判断し、
この期間を前記通信データの保存期間として前記第1の保存手段と前記第2の保存手段に指示すること
を特徴とする請求項1乃至請求項3記載のセキュリティリスク検出システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2011−198149(P2011−198149A)
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願番号】特願2010−65202(P2010−65202)
【出願日】平成22年3月19日(2010.3.19)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願日】平成22年3月19日(2010.3.19)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]