セキュリティ情報交換による評価指標算出に基いたセキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム
【課題】機密性を損なうことなく、相互接続されるネットワーク間での通信のセキュリティ確保に貢献する。
【解決手段】セキュリティ管理装置1により、自己のネットワークAに接続された各コンピュータについて脆弱度指標あるいは危険度指標を算出し、これらの指標を他のネットワークBへ通知するために送信するとともに、他のネットワークBについての脆弱度の指標あるいは危険度の指標を受信する。これにより、それぞれの指標がネットワークA,B間で相互に交換されるので、各ネットワークA,Bでは、これらの指標を参照することにより他のネットワークの安全性を確認することが可能となる。これにより、各ネットワークA,Bでは、安全性の低いネットワークへの接続を制限する等の措置をとることが可能となる。処理履歴を公開するようなことは行わない。
【解決手段】セキュリティ管理装置1により、自己のネットワークAに接続された各コンピュータについて脆弱度指標あるいは危険度指標を算出し、これらの指標を他のネットワークBへ通知するために送信するとともに、他のネットワークBについての脆弱度の指標あるいは危険度の指標を受信する。これにより、それぞれの指標がネットワークA,B間で相互に交換されるので、各ネットワークA,Bでは、これらの指標を参照することにより他のネットワークの安全性を確認することが可能となる。これにより、各ネットワークA,Bでは、安全性の低いネットワークへの接続を制限する等の措置をとることが可能となる。処理履歴を公開するようなことは行わない。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータが接続されたネットワーク間の相互接続におけるセキュリティ状態を管理するための管理技術に関する。
【背景技術】
【0002】
近年は、情報ネットワークシステムが普及し、電子商取引や電子データ交換の需要の拡大と共に、企業ネットワーク等のイントラネットを相互接続したエクストラネットが構築されている。これらイントラネットやエクストラネットにおけるネットワーク間の接続部分では、利用するサービスやアプリケーションに応じてアクセスを制限するようにしたファイアウォールや、不正なアクセスを防御する侵入検知システム(Intrusion Detection System:IDS)、侵入防御システム(Intrusion Protection System:IPS)によって、相互接続における安全性を担保している。その他、コンピュータのセキュリティ状態を管理する技術としては、例えば特許文献1,2に記載のものが知られている。
【特許文献1】特開2001−101135号公報
【特許文献2】特開2002−278797号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述したファイアウォール、侵入検知システム、侵入防御システム等における設定は、各ネットワークの管理者が行っているものであるが、通信先のネットワークの安全性についてはこれをリアルタイムで確認できる手段がなく、また自らのネットワークの安全性についても通信先に対して証明できる手段がないため、ネットワーク間の相互接続の可否は、間接的に知り得る双方のセキュリティポリシーの規定内容等を基にして決定されている。しかし、これでは、日々新たに発見される脆弱性、または不正アクセスの手法に対して充分に対応することができない。
【0004】
このため、通信先のネットワークが不正アクセス等を受けた場合には、その影響が自己のネットワークにとって脅威となることは起こり得ることであり、また、逆に自己のネットワークが不正アクセス等を受けた場合には、その影響を通信先のネットワークに及ぼしてしまうことになる。
【0005】
これを防ぐために、各ネットワークの脆弱性を把握することを目的として、ファイアウォール、侵入検知システム、侵入防御システム等における処理履歴を公開することも考えられるが、その履歴情報が多量であるため公開には不向きであり、また公開によって機密性が損なわれるという点からも好ましくない。
【0006】
本発明は、上記に鑑みてなされたものであり、その課題とするところは、機密性を損なうことなく、相互接続されるネットワーク間での通信のセキュリティ確保に貢献することにある。
【課題を解決するための手段】
【0007】
第1の本発明に係るセキュリティ管理装置は、他のネットワークに相互接続が可能なネットワークに接続されるセキュリティ管理装置であって、自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させる第1通信手段と、第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度の指標又は不正アクセスに関する情報に基く危険度の指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに格納させる指標算出手段と、前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信する第2通信手段と、他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させる第3通信手段と、を有することを特徴とする。
【0008】
本発明にあっては、指標算出手段により、自己のネットワークにおける脆弱度の指標あるいは危険度の指標を算出し、通信手段により、算出した指標を他のネットワークへ通知するために送信するとともに、他のネットワークについての脆弱度の指標あるいは危険度の指標を受信することで、それぞれの指標がネットワーク間で相互に交換されるので、各ネットワークでは、これらの指標を参照することにより他のネットワークの安全性を確認することが可能となる。これにより、各ネットワークでは、安全性の低いネットワークへの接続を制限する等の措置をとることが可能となる。また、処理履歴を公開することもないので機密性を損なうことはない。
【0009】
上記セキュリティ管理装置は、さらに、前記メモリおよび第2データベースからそれぞれ指標を読み出し、当該指標に基いてネットワーク毎の偏差値を算出し、ネットワークのIDと偏差値とを関連付けて第2データベースに記憶させる偏差値算出手段を有することを特徴とする。
【0010】
本発明にあっては、指標の偏差値を算出することで、複数のネットワークが相互接続された環境下で、指標の分散状態を考慮したネットワーク全体における客観的な指標を得ることができ、安全性についてより正確な判断が可能となる。
【0011】
上記セキュリティ管理装置は、さらに、他のネットワークへの通信接続の可否を判定するための判定規則を記憶しておく第3データベースと、第2データベースから読み出された前記指標および第3データベースから読み出された前記判定規則を用いて他のネットワークへの通信接続の可否を判定する判定手段と、前記判定手段による判定結果に基いて自己のネットワークによる他のネットワークへの通信接続を制御する制御手段と、を有することを特徴とする。
【0012】
本発明にあっては、判定規則と指標を用いて他のネットワークへの通信接続の可否を判定し、その判定結果に基いて通信接続を制御することで、管理者の手動によらずに、安全性の低いネットワークへの通信接続を制限することが可能となる。
【0013】
上記セキュリティ管理装置において、第3通信手段は、前記指標を他のネットワークにおけるセキュリティ管理装置から受信するか又は前記指標を集中管理するセンタ装置から受信することを特徴とすることを特徴とする。
【0014】
このように、本発明にあっては、それぞれの指標をネットワーク間で相互に交換する手法として、セキュリティ管理装置間で各指標を直接送受信してもよいし、セキュリティ管理装置がセンタ装置から他のネットワークについての各指標を受信するようにしてもよい。
【0015】
上記セキュリティ管理装置は、さらに、自己のネットワークにおけるコンピュータの脆弱性に関する情報又は不正アクセスに関する情報を検知して通知してくる検知装置についての死活情報を受信し、当該ネットワークのIDと検知装置のIDと死活情報とを関連付けてメモリに格納させる第4通信手段と、前記メモリから死活情報を読み出し、当該死活情報を他のネットワークへ通知するために送信する第5通信手段と、他のネットワークにおける検知装置の死活情報を受信し、そのネットワークのIDと検知装置のIDと受信した死活情報とを関連付けて第2データベースに記憶させる第6通信信手段と、を有することを特徴とする。
【0016】
本発明にあっては、自己のネットワークにおける検知装置の死活情報を他のネットワークへ通知するために送信するとともに、他のネットワークにおける検知装置の死活情報を受信することで、検知装置の死活情報が各ネットワークで相互に交換されるので、各ネットワークでは、この死活情報を参照することにより、受信した各指標が現在のセキュリティ状態を反映したものか否かを判断することが可能となる。
【0017】
上記セキュリティ管理装置は、自己のネットワークにおけるコンピュータに対してスキャナ装置により検査用のパケットを送信し、侵入検知装置によりこの検査用のパケットを検知してその検知結果を送信したときの当該検知結果を受信して第4データベースに記憶させる第7通信手段と、第4データベースから検知結果を読み出し、当該検知結果に含まれるパケットの送信元アドレスがスキャナ装置のアドレスか否かを識別することでスキャナ装置および侵入検知装置が正常に動作しているか否かを示す動作確認情報を取得してメモリに記憶させる取得手段と、前記メモリから動作確認情報を読み出し、当該動作確認情報を他のネットワークへ通知するために送信する第8通信手段と、他のネットワークにおけるスキャナ装置および侵入検知装置の動作確認情報を受信し、そのネットワークのIDと受信した動作確認情報とを関連付けて第2データベースに記憶させる第9通信信手段と、を有することを特徴とする。
【0018】
本発明にあっては、スキャナ装置が送信した検査用のパケット侵入検知装置が検知してその検知結果を送信し、セキュリティ管理装置でこの検知結果に含まれるパケットの送信元アドレスがスキャナ装置のアドレスか否かを識別することで、スキャナ装置および侵入検知装置が正常に動作していることを確認することができる。さらに、動作確認情報を各ネットワークで相互に交換することで、各ネットワークでは、この動作確認情報を参照することにより、受信した各指標が、スキャナ装置および侵入検知装置が正常に動作しているネットワークのものであるか否かを判断することが可能となる。
【0019】
第2の本発明に係るセキュリティ管理方法は、他のネットワークに相互接続が可能なネットワークに接続されるコンピュータで行うセキュリティ管理方法であって、自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させるステップと、第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度の指標又は不正アクセスに関する情報に基く危険度の指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに格納させるステップと、前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信するステップと、他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させるステップと、を有することを特徴とする。
【0020】
第3の本発明に係るセキュリティ管理プログラムは、他のネットワークに相互接続が可能なネットワークに接続されるコンピュータに実行させるセキュリティ管理プログラムであって、自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させる処理と、第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度を数値化した指標又は不正アクセスに関する情報に基く危険度を数値化した指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに記憶させる処理と、前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信する処理と、他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させる処理と、を実行させることを特徴とする。
【発明の効果】
【0021】
本発明によれば、機密性を損なうことなく、相互接続されるネットワーク間での通信のセキュリティ確保に貢献することができる。
【発明を実施するための最良の形態】
【0022】
図1は、一実施の形態におけるセキュリティ管理装置を適用したネットワーク間での相互接続が可能なシステムの全体構成を示すブロック図である。同図では、ネットワークAとネットワークBが相互接続可能となっている。ネットワークAとネットワークBは、異なる管理下のネットワークである。例えば、同じ社内であって異なるビルのそれぞれに配置されたネットワークや、異なる会社のそれぞれに配置されたネットワーク等に相当する。ここでは、ネットワークの一例としてインターネットを想定する。なお、同図では、ネットワークAとBしか示していないが、さらに別のネットワークが複数接続されるようにしてもよい。
【0023】
各ネットワークでは、セキュリティ管理装置1、スキャナ装置2、侵入検知装置(IDS)3、サーバ装置4、複数のクライアント端末5a,5b、ファイアウォール6がネットワークケーブルを介して接続される。
【0024】
これらセキュリティ管理装置1、スキャナ装置2、侵入検知装置3、サーバ装置4、クライアント端末5、ファイアウォール6は、コンピュータによって構成され、その内部の処理はプログラムによって実行される。
【0025】
セキュリティ管理装置1は、自己のネットワークに接続された各コンピュータについて脆弱性の指標又は不正アクセスによる危険度の指標のうちの少なくとも一方を算出するとともに、算出した指標を他のネットワークにおけるセキュリティ管理装置1と交換する。その具体的な構成と処理の内容については後述する。
【0026】
スキャナ装置2および侵入検知装置3は、自己のネットワークにおけるセキュリティ状態を検知する検知装置に相当するものである。
【0027】
スキャナ装置2は、自己のネットワークに接続されているサーバ装置4やクライアント端末5に対して調査パケットを送信して、その応答結果によってセキュリティホールの有無を検知し、この検知結果を保存しておく装置である。そして、セキュリティホールの存在が検知された場合には、スキャナ装置2は、その検知結果を脆弱性に関する情報として自発的あるいは要求に応じてスキャナ装置2に予め登録されているセキュリティ管理装置1へ送信する。
【0028】
侵入検知装置3は、自己のネットワークに接続されているサーバ装置4やクライアント端末5における通信状態を常に監視し、監視中の通信パターンを予め決められたパターンや過去の不正パターンと比較することにより不正な通信を検知し、その検知結果を保存しておく装置である。不正な通信が検知された場合には、侵入検知装置3は、その検知結果を不正アクセスに関する情報として自発的あるいは要求に応じて侵入検知装置3に予め登録されているセキュリティ管理装置1へ送信する。
【0029】
サーバ装置4およびクライアント端末5a,5bは、ユーザが利用する情報端末であり、スキャナ装置2や侵入検知装置3による監視の対象となる。
【0030】
ファイアウォール6は、他のネットワークへのアクセス制御を行う機能を備えており、ネットワーク管理者による手動、あるいはセキュリティ管理装置1からの指示に従ってアクセス制御を行う。
【0031】
図2は、セキュリティ管理装置1の構成を示すブロック図である。同図に示すように、セキュリティ管理装置1は、通信インタフェース11、指標算出部12、偏差値算出部13、判定部14、制御部15を備えるとともに、記憶装置として検知情報データベース17、セキュリティ管理データベース18、判定規則データベース19を備える。セキュリティ管理装置1は、演算処理装置やメモリ等を備えたコンピュータによって構成されるものであり、各部における処理はプログラムによって実行される。
【0032】
通信インタフェース11は、自己のネットワークにおけるコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信し、この情報をデータベースに記憶させる。具体的には、スキャナ装置2から脆弱性に関する情報を受信して検知情報データベース17に記憶させ、侵入検知装置3から不正アクセスに関する情報を受信して検知情報データベース17に記憶させる。
【0033】
脆弱性に関する情報は、図3に示す脆弱度管理テーブル30に格納される。脆弱度管理テーブル30では、日時、ログ内容、脆弱度、IPアドレスが関連付けて管理される。日時は、検知が行っわれたときの日時であり、ログ内容は、検知されたセキュリティホールの内容である。脆弱度は、脆弱性のレベルに応じて低、中、高のいずれかが割り当てられる。IPアドレスは、そのセキュリティホールが検知されたサーバ装置4あるいはクライアント端末5に割り振られているアドレスである。
【0034】
不正アクセスに関する情報は、図4に示す危険度管理テーブル40に格納される。危険度管理テーブル40では、日時、ログ内容、危険度、送信元アドレス、送信先アドレスが関連付けて管理される。日時は、検知が行われたときの日時であり、ログ内容は、検知された不正アクセスの内容である。危険度は、不正アクセスのレベルに応じて低、中、高のいずれかが割り当てられる。送信元アドレスは、不正アクセスを行ったコンピュータのアドレスであり、送信先アドレスは、不正アクセスを受けたコンピュータのアドレスである。
【0035】
指標算出部12は、検知情報データベース17から脆弱性に関する情報あるいは不正アクセスに関する情報を読み出し、脆弱性に関する情報に基いて脆弱度を数値化した指標を算出し、あるいは不正アクセスに関する情報に基いて危険度を数値化した指標を算出する。指標の算出は、脆弱度指標または危険度指標の一方だけとしてもよいし、双方としてもよい。そして、指標算出部12は、自己のネットワークのIDと算出した指標とを関連付けてセキュリティ管理データベース18に記憶させる。各指標の算出は、次のように行う。
【0036】
まず、脆弱度指標の算出では、例えば脆弱度を「高」なら10ポイント、「中」なら5ポイント、「低」なら1ポイントというようにポイントに対応させ、次式のように脆弱度とこの脆弱度の状態が放置されたまま経過した時間との積の総和により算出する。
【0037】
脆弱度指標=Σ(脆弱度×経過時間) (1)
脆弱度と経過時間の積は、自己のネットワークにおいて脆弱性が検知された全てのコンピュータについて算出されるものであり、積分記号Σは、そのコンピュータの数の分だけ脆弱度と経過時間の積の総和を求めることを意味する。
【0038】
経過時間は、検知情報に含まれる日時の情報を用いて算出する。そして、経過時間が3日未満であれば0.1ポイント、3日以上1週間未満であれば0.5ポイント、1週間以上1ヶ月未満であれば0.8ポイント、1ヶ月以上であれば1.0ポイントというように、経過時間についてもポイントに対応させたものを用いる。
【0039】
危険度指標の算出も基本的には脆弱度指標と同様であり、次式のように危険度とこの危険度の状態が放置されたまま経過した時間との積の総和により算出する。
【0040】
危険度指標=Σ(危険度×経過時間) (2)
自己のネットワークのIDと算出された指標は、図5に示すような、セキュリティ管理データベース18におけるセキュリティ管理テーブル50に格納される。同図では、ネットワークのIDはネットワークアドレスに対応している。
【0041】
通信インタフェース11は、指標算出部12による処理が完了した後、直ちにセキュリティ管理データベース18から脆弱度指標あるいは危険度指標を読み出し、これらの指標を他のネットワークへ通知するために送信する。ここでは、予め登録されている他のネットワークにおけるセキュリティ管理装置1へ直接送信するものとする。なお、セキュリティ管理装置間の通信においては、既存のネットワーク上で予め定められた特定のポートを利用してもよいし、ファイアウォールを通過しない別の専用のネットワークを利用してもよい。
【0042】
また、通信インタフェース11は、他のネットワークについての脆弱度指標又は危険度指標のうちの少なくとも一方を受信する。ここでは、他のネットワークにおけるセキュリティ管理装置1から直接受信するものとする。そして、通信インタフェース11は、そのネットワークのIDと受信した指標とを関連付けてセキュリティ管理データベース18に記憶させる。このネットワークのIDと受信した指標についても、セキュリティ管理データベース18におけるセキュリティ管理テーブル50に格納される。
【0043】
このような構成とすることで、算出された指標は、セキュリティ管理装置1間で随時交換されることとなる。各ネットワークの管理者は、セキュリティ管理テーブル50に格納された脆弱度指標あるいは危険度指標を参照することで、他のネットワークのセキュリティ状態を把握できるので、自己のネットワークにおけるファイアウォール6に対して手動によりセキュリティの低いネットワークに対する通信接続を制限するように設定する。
【0044】
偏差値算出部13は、セキュリティ管理データベース18から各ネットワークについての指標を読み出し、ネットワーク全体を母数としてネットワーク毎に指標の偏差値を算出する。具体的には、各ネットワークの脆弱度指標を用いて脆弱度の偏差値を算出し、危険度指標を用いて危険度の偏差値を算出する。そして、偏差値算出部13は、ネットワークのIDと算出した偏差値とを関連付けてセキュリティ管理データベース18に記憶させる。この偏差値についてもセキュリティ管理テーブル50に格納される。各ネットワークの管理者は、各指標についての偏差値を参照することで、複数のネットワークが相互接続された環境下において、指標の分散状態を考慮したネットワーク全体における客観的な指標を得ることができ、通信接続の可否について正確な判断ができるようになる。
【0045】
セキュリティ管理テーブル50では、上記のように、ネットワークのアドレス、脆弱度指標、危険度指標、脆弱度偏差値、危険度偏差値が関連付けて格納される。この他、セキュリティ管理テーブル50には、セキュリティ管理装置1、スキャナ装置2、侵入検知装置3、ファイアウォール6、サーバ装置4、クライアント端末5等のそれぞれのアドレスとネットワークアドレスとが関連付けて格納される。
【0046】
判定部14は、管理者に代わって通信接続の可否を判定する機能を備える。判定規則データベース19には、他のネットワークへの通信接続の可否を判定するための判定規則が記憶されており、判定部14は、判定規則データベース19から読み出された判定規則と、セキュリティ管理データベース18から読み出された各指標とを用いて他のネットワークへの通信接続の可否を判定する。この判定においても、脆弱度指標あるいは危険度指標のうちの少なくとも一方を用いればよい。また、より正確な判定を行う場合には、各指標を用いて算出された脆弱度偏差値あるいは危険度偏差値のうちの少なくとも一方を用いるようにする。具体的な判定の手法としては、例えば、他のネットワークにおける脆弱度指標の偏差値が自己のネットワークのものよりも高い場合には、そのネットワークに対して通信を許可するといった判定規則を予め設定しておく。この判定規則を用いた場合、図5の例では、自己のネットワークAにおける脆弱度指標の偏差値が46であるので、これよりもネットワークBの偏差値の方が高い場合には、ネットワークBへの通信接続を許可する。なお、この基準はあくまで一例であって、例えば他のネットワークの偏差値が50以上ならそのネットワークへの通信接続を許可するように設定したり、あるいは設定した偏差値を接続先のネットワークにおける偏差値が下回った場合にはそのネットワークへの通信接続を拒否するように設定してもよい。
【0047】
制御部15は、判定部14による判定結果に基いて他のネットワークへの通信接続を制御する。具体的には、自己のネットワークにおけるファイアウォール6に対して他のネットワークへの通信接続の制限をかける。どのネットワークに対して接続の制限をしているかはセキュリティ管理装置1で把握する。
【0048】
したがって、本実施の形態によれば、セキュリティ管理装置1の指標算出部12により、自己のネットワークにおけるコンピュータの脆弱度指標あるいは危険度指標を算出し、通信インタフェース11により、これらの脆弱度指標あるいは危険度指標を他のネットワークへ通知するために送信するとともに、他のネットワークについての脆弱度の指標あるいは危険度の指標を受信することで、それぞれの指標がネットワーク間で相互に交換されるので、各ネットワークでは、この指標を参照することにより他のネットワークの安全性を確認することが可能となる。これにより、各ネットワークでは、安全性の低いネットワークへの接続を制限する等の措置をとることが可能となるので、この点からセキュリティ管理装置1は、相互接続されるネットワーク間の通信のセキュリティ確保に貢献することになる。また、侵入検知装置等における処理履歴を公開することはないので機密性を損なうこともない。
【0049】
本実施の形態によれば、偏差値算出部13により、脆弱度指標あるいは危険度指標の偏差値を算出することで、複数のネットワークが相互接続された環境下で、指標の分散状態を考慮したネットワーク全体における客観的な指標を得ることができ、安全性についてより正確な判断が可能となる。
【0050】
本実施の形態によれば、判定部14により、判定規則と指標を用いて他のネットワークへの通信接続の可否を判定し、制御部15により、その判定結果に基いて他のネットワークへの通信接続を制御することで、管理者の手動によらずに安全性の低いネットワークへの通信接続を制限することが可能となる。通信接続の可否判定に際しては、脆弱度指標あるいは危険度指標そのものを用いてもよいが、これらの指標を用いて算出された偏差値を用いた場合には、より正確な判定結果に基く通信接続の制御が可能となる。
【0051】
なお、上記の実施形態では、異なるセキュリティ管理装置1同士が、指標を相互に交換することとしたが、これに限られるものではない。例えば、各ネットワークに対して通信可能なセンタ装置を設け、このセンタ装置に対して各セキュリティ管理装置1がそれぞれの指標を送信するとともに、センタ装置において全てのネットワークのIDと指標とを関連付けてデータベースに記憶させておくことで集中的に管理し、各セキュリティ管理装置1が、各種の指標をセンタ装置から受信するようにしてもよい。
【0052】
また、上記の実施形態では、スキャナ装置2や侵入検知装置3が稼動していない場合には、セキュリティ管理装置1が指標算出の基になる情報をリアルタイムで取得できなくなるため、外部のネットワークに対して実際の状態とは異なる指標の算出結果を通知するおそれがある。そこで、セキュリティ管理装置1は、通信インタフェース11により、例えばインターネットで用いられるコマンド"ping"を使用してスキャナ装置2や侵入検知装置3といった検知装置の死活状態を監視し、これらの検知装置が動作中か未動作かを示す死活情報を受信し、自己のネットワークのIDと検知装置のIDと死活情報とを関連付けてセキュリティ管理データベース18に記憶させる。これらの情報は、セキュリティ管理テーブルに格納される。そして、通信インタフェース11は、セキュリティ管理データベース18から死活情報を読み出し、この死活情報を他のネットワークへ通知するために送信する。また、通信インタフェース11は、他のネットワークにおける検知装置の死活情報を受信し、そのネットワークのIDと検知装置のIDと受信した死活情報とを関連付けてセキュリティ管理データベース18に記憶させる。このように、セキュリティ管理装置1間で検知装置の死活情報を相互に交換することで、各セキュリティ管理装置1では、他のセキュリティ管理装置から受信した指標が、現在のセキュリティ状態を反映したものか否かを判断することが可能となる。
【0053】
続いて、別の例として、スキャナ装置2あるいは侵入検知装置3が正常に動作していることを確認する手法について説明する。まず、スキャナ装置2は、検査用のパケットをサーバ装置4、クライアント端末5に対して送信する。侵入検知装置3は、このパケットを検知した結果をセキュリティ管理装置1へ送信する。セキュリティ管理装置1では、受信した検知結果をセキュリティ管理データベース18に記憶させる。そして、データベース18から検知結果を読み出し、この検知結果に含まれるパケットの送信元のIPアドレスを参照することで送信元がスキャナ装置2であるか否かを識別する。このように処理することで、セキュリティ管理装置1は、スキャナ装置2および侵入検知装置3が正常に動作していることを確認することができる。この正常動作に関する動作確認情報についても、ネットワークのIDと検知装置のIDに関連付けてセキュリティ管理データベース18に記憶させておき、通信インタフェース11によりセキュリティ管理データベース18から読み出して他のネットワークにおけるセキュリティ管理装置1へ通知するために送信する。このように、各セキュリティ管理装置1間で検知装置の動作確認情報を交換することで、他のセキュリティ管理装置から受信した指標が、正しく評価された指標であることを保障することが可能となる。なお、スキャナ装置2が送信するパケットは、検査用であり、実際の不正アクセスではないので、セキュリティ管理装置1は、指標の算出に際し、スキャナ装置2からの検査用のパケットを検知した結果については用いないようにする。
【図面の簡単な説明】
【0054】
【図1】一実施の形態におけるセキュリティ管理装置を適用したネットワーク間での相互接続が可能なシステムの全体構成を示すブロック図である。
【図2】セキュリティ管理装置の構成を示すブロック図である。
【図3】脆弱性に関する情報を格納した脆弱度管理テーブルを示す図である。
【図4】不正アクセスに関する情報を格納した危険度管理テーブルを示す図である。
【図5】セキュリティに関する情報を総合的に格納したセキュリティ管理テーブルを示す図である。
【符号の説明】
【0055】
1…セキュリティ管理装置
2…スキャナ装置
3…侵入検知装置
4…サーバ装置
5a,5b…クライアント端末
6…ファイアウォール
11…通信インタフェース
12…指標算出部
13…偏差値算出部
14…判定部
15…制御部
17…検知情報データベース
18…セキュリティ管理データベース
19…判定規則データベース
30…脆弱度管理テーブル
40…危険度管理テーブル
50…セキュリティ管理テーブル
【技術分野】
【0001】
本発明は、コンピュータが接続されたネットワーク間の相互接続におけるセキュリティ状態を管理するための管理技術に関する。
【背景技術】
【0002】
近年は、情報ネットワークシステムが普及し、電子商取引や電子データ交換の需要の拡大と共に、企業ネットワーク等のイントラネットを相互接続したエクストラネットが構築されている。これらイントラネットやエクストラネットにおけるネットワーク間の接続部分では、利用するサービスやアプリケーションに応じてアクセスを制限するようにしたファイアウォールや、不正なアクセスを防御する侵入検知システム(Intrusion Detection System:IDS)、侵入防御システム(Intrusion Protection System:IPS)によって、相互接続における安全性を担保している。その他、コンピュータのセキュリティ状態を管理する技術としては、例えば特許文献1,2に記載のものが知られている。
【特許文献1】特開2001−101135号公報
【特許文献2】特開2002−278797号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述したファイアウォール、侵入検知システム、侵入防御システム等における設定は、各ネットワークの管理者が行っているものであるが、通信先のネットワークの安全性についてはこれをリアルタイムで確認できる手段がなく、また自らのネットワークの安全性についても通信先に対して証明できる手段がないため、ネットワーク間の相互接続の可否は、間接的に知り得る双方のセキュリティポリシーの規定内容等を基にして決定されている。しかし、これでは、日々新たに発見される脆弱性、または不正アクセスの手法に対して充分に対応することができない。
【0004】
このため、通信先のネットワークが不正アクセス等を受けた場合には、その影響が自己のネットワークにとって脅威となることは起こり得ることであり、また、逆に自己のネットワークが不正アクセス等を受けた場合には、その影響を通信先のネットワークに及ぼしてしまうことになる。
【0005】
これを防ぐために、各ネットワークの脆弱性を把握することを目的として、ファイアウォール、侵入検知システム、侵入防御システム等における処理履歴を公開することも考えられるが、その履歴情報が多量であるため公開には不向きであり、また公開によって機密性が損なわれるという点からも好ましくない。
【0006】
本発明は、上記に鑑みてなされたものであり、その課題とするところは、機密性を損なうことなく、相互接続されるネットワーク間での通信のセキュリティ確保に貢献することにある。
【課題を解決するための手段】
【0007】
第1の本発明に係るセキュリティ管理装置は、他のネットワークに相互接続が可能なネットワークに接続されるセキュリティ管理装置であって、自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させる第1通信手段と、第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度の指標又は不正アクセスに関する情報に基く危険度の指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに格納させる指標算出手段と、前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信する第2通信手段と、他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させる第3通信手段と、を有することを特徴とする。
【0008】
本発明にあっては、指標算出手段により、自己のネットワークにおける脆弱度の指標あるいは危険度の指標を算出し、通信手段により、算出した指標を他のネットワークへ通知するために送信するとともに、他のネットワークについての脆弱度の指標あるいは危険度の指標を受信することで、それぞれの指標がネットワーク間で相互に交換されるので、各ネットワークでは、これらの指標を参照することにより他のネットワークの安全性を確認することが可能となる。これにより、各ネットワークでは、安全性の低いネットワークへの接続を制限する等の措置をとることが可能となる。また、処理履歴を公開することもないので機密性を損なうことはない。
【0009】
上記セキュリティ管理装置は、さらに、前記メモリおよび第2データベースからそれぞれ指標を読み出し、当該指標に基いてネットワーク毎の偏差値を算出し、ネットワークのIDと偏差値とを関連付けて第2データベースに記憶させる偏差値算出手段を有することを特徴とする。
【0010】
本発明にあっては、指標の偏差値を算出することで、複数のネットワークが相互接続された環境下で、指標の分散状態を考慮したネットワーク全体における客観的な指標を得ることができ、安全性についてより正確な判断が可能となる。
【0011】
上記セキュリティ管理装置は、さらに、他のネットワークへの通信接続の可否を判定するための判定規則を記憶しておく第3データベースと、第2データベースから読み出された前記指標および第3データベースから読み出された前記判定規則を用いて他のネットワークへの通信接続の可否を判定する判定手段と、前記判定手段による判定結果に基いて自己のネットワークによる他のネットワークへの通信接続を制御する制御手段と、を有することを特徴とする。
【0012】
本発明にあっては、判定規則と指標を用いて他のネットワークへの通信接続の可否を判定し、その判定結果に基いて通信接続を制御することで、管理者の手動によらずに、安全性の低いネットワークへの通信接続を制限することが可能となる。
【0013】
上記セキュリティ管理装置において、第3通信手段は、前記指標を他のネットワークにおけるセキュリティ管理装置から受信するか又は前記指標を集中管理するセンタ装置から受信することを特徴とすることを特徴とする。
【0014】
このように、本発明にあっては、それぞれの指標をネットワーク間で相互に交換する手法として、セキュリティ管理装置間で各指標を直接送受信してもよいし、セキュリティ管理装置がセンタ装置から他のネットワークについての各指標を受信するようにしてもよい。
【0015】
上記セキュリティ管理装置は、さらに、自己のネットワークにおけるコンピュータの脆弱性に関する情報又は不正アクセスに関する情報を検知して通知してくる検知装置についての死活情報を受信し、当該ネットワークのIDと検知装置のIDと死活情報とを関連付けてメモリに格納させる第4通信手段と、前記メモリから死活情報を読み出し、当該死活情報を他のネットワークへ通知するために送信する第5通信手段と、他のネットワークにおける検知装置の死活情報を受信し、そのネットワークのIDと検知装置のIDと受信した死活情報とを関連付けて第2データベースに記憶させる第6通信信手段と、を有することを特徴とする。
【0016】
本発明にあっては、自己のネットワークにおける検知装置の死活情報を他のネットワークへ通知するために送信するとともに、他のネットワークにおける検知装置の死活情報を受信することで、検知装置の死活情報が各ネットワークで相互に交換されるので、各ネットワークでは、この死活情報を参照することにより、受信した各指標が現在のセキュリティ状態を反映したものか否かを判断することが可能となる。
【0017】
上記セキュリティ管理装置は、自己のネットワークにおけるコンピュータに対してスキャナ装置により検査用のパケットを送信し、侵入検知装置によりこの検査用のパケットを検知してその検知結果を送信したときの当該検知結果を受信して第4データベースに記憶させる第7通信手段と、第4データベースから検知結果を読み出し、当該検知結果に含まれるパケットの送信元アドレスがスキャナ装置のアドレスか否かを識別することでスキャナ装置および侵入検知装置が正常に動作しているか否かを示す動作確認情報を取得してメモリに記憶させる取得手段と、前記メモリから動作確認情報を読み出し、当該動作確認情報を他のネットワークへ通知するために送信する第8通信手段と、他のネットワークにおけるスキャナ装置および侵入検知装置の動作確認情報を受信し、そのネットワークのIDと受信した動作確認情報とを関連付けて第2データベースに記憶させる第9通信信手段と、を有することを特徴とする。
【0018】
本発明にあっては、スキャナ装置が送信した検査用のパケット侵入検知装置が検知してその検知結果を送信し、セキュリティ管理装置でこの検知結果に含まれるパケットの送信元アドレスがスキャナ装置のアドレスか否かを識別することで、スキャナ装置および侵入検知装置が正常に動作していることを確認することができる。さらに、動作確認情報を各ネットワークで相互に交換することで、各ネットワークでは、この動作確認情報を参照することにより、受信した各指標が、スキャナ装置および侵入検知装置が正常に動作しているネットワークのものであるか否かを判断することが可能となる。
【0019】
第2の本発明に係るセキュリティ管理方法は、他のネットワークに相互接続が可能なネットワークに接続されるコンピュータで行うセキュリティ管理方法であって、自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させるステップと、第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度の指標又は不正アクセスに関する情報に基く危険度の指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに格納させるステップと、前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信するステップと、他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させるステップと、を有することを特徴とする。
【0020】
第3の本発明に係るセキュリティ管理プログラムは、他のネットワークに相互接続が可能なネットワークに接続されるコンピュータに実行させるセキュリティ管理プログラムであって、自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させる処理と、第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度を数値化した指標又は不正アクセスに関する情報に基く危険度を数値化した指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに記憶させる処理と、前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信する処理と、他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させる処理と、を実行させることを特徴とする。
【発明の効果】
【0021】
本発明によれば、機密性を損なうことなく、相互接続されるネットワーク間での通信のセキュリティ確保に貢献することができる。
【発明を実施するための最良の形態】
【0022】
図1は、一実施の形態におけるセキュリティ管理装置を適用したネットワーク間での相互接続が可能なシステムの全体構成を示すブロック図である。同図では、ネットワークAとネットワークBが相互接続可能となっている。ネットワークAとネットワークBは、異なる管理下のネットワークである。例えば、同じ社内であって異なるビルのそれぞれに配置されたネットワークや、異なる会社のそれぞれに配置されたネットワーク等に相当する。ここでは、ネットワークの一例としてインターネットを想定する。なお、同図では、ネットワークAとBしか示していないが、さらに別のネットワークが複数接続されるようにしてもよい。
【0023】
各ネットワークでは、セキュリティ管理装置1、スキャナ装置2、侵入検知装置(IDS)3、サーバ装置4、複数のクライアント端末5a,5b、ファイアウォール6がネットワークケーブルを介して接続される。
【0024】
これらセキュリティ管理装置1、スキャナ装置2、侵入検知装置3、サーバ装置4、クライアント端末5、ファイアウォール6は、コンピュータによって構成され、その内部の処理はプログラムによって実行される。
【0025】
セキュリティ管理装置1は、自己のネットワークに接続された各コンピュータについて脆弱性の指標又は不正アクセスによる危険度の指標のうちの少なくとも一方を算出するとともに、算出した指標を他のネットワークにおけるセキュリティ管理装置1と交換する。その具体的な構成と処理の内容については後述する。
【0026】
スキャナ装置2および侵入検知装置3は、自己のネットワークにおけるセキュリティ状態を検知する検知装置に相当するものである。
【0027】
スキャナ装置2は、自己のネットワークに接続されているサーバ装置4やクライアント端末5に対して調査パケットを送信して、その応答結果によってセキュリティホールの有無を検知し、この検知結果を保存しておく装置である。そして、セキュリティホールの存在が検知された場合には、スキャナ装置2は、その検知結果を脆弱性に関する情報として自発的あるいは要求に応じてスキャナ装置2に予め登録されているセキュリティ管理装置1へ送信する。
【0028】
侵入検知装置3は、自己のネットワークに接続されているサーバ装置4やクライアント端末5における通信状態を常に監視し、監視中の通信パターンを予め決められたパターンや過去の不正パターンと比較することにより不正な通信を検知し、その検知結果を保存しておく装置である。不正な通信が検知された場合には、侵入検知装置3は、その検知結果を不正アクセスに関する情報として自発的あるいは要求に応じて侵入検知装置3に予め登録されているセキュリティ管理装置1へ送信する。
【0029】
サーバ装置4およびクライアント端末5a,5bは、ユーザが利用する情報端末であり、スキャナ装置2や侵入検知装置3による監視の対象となる。
【0030】
ファイアウォール6は、他のネットワークへのアクセス制御を行う機能を備えており、ネットワーク管理者による手動、あるいはセキュリティ管理装置1からの指示に従ってアクセス制御を行う。
【0031】
図2は、セキュリティ管理装置1の構成を示すブロック図である。同図に示すように、セキュリティ管理装置1は、通信インタフェース11、指標算出部12、偏差値算出部13、判定部14、制御部15を備えるとともに、記憶装置として検知情報データベース17、セキュリティ管理データベース18、判定規則データベース19を備える。セキュリティ管理装置1は、演算処理装置やメモリ等を備えたコンピュータによって構成されるものであり、各部における処理はプログラムによって実行される。
【0032】
通信インタフェース11は、自己のネットワークにおけるコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信し、この情報をデータベースに記憶させる。具体的には、スキャナ装置2から脆弱性に関する情報を受信して検知情報データベース17に記憶させ、侵入検知装置3から不正アクセスに関する情報を受信して検知情報データベース17に記憶させる。
【0033】
脆弱性に関する情報は、図3に示す脆弱度管理テーブル30に格納される。脆弱度管理テーブル30では、日時、ログ内容、脆弱度、IPアドレスが関連付けて管理される。日時は、検知が行っわれたときの日時であり、ログ内容は、検知されたセキュリティホールの内容である。脆弱度は、脆弱性のレベルに応じて低、中、高のいずれかが割り当てられる。IPアドレスは、そのセキュリティホールが検知されたサーバ装置4あるいはクライアント端末5に割り振られているアドレスである。
【0034】
不正アクセスに関する情報は、図4に示す危険度管理テーブル40に格納される。危険度管理テーブル40では、日時、ログ内容、危険度、送信元アドレス、送信先アドレスが関連付けて管理される。日時は、検知が行われたときの日時であり、ログ内容は、検知された不正アクセスの内容である。危険度は、不正アクセスのレベルに応じて低、中、高のいずれかが割り当てられる。送信元アドレスは、不正アクセスを行ったコンピュータのアドレスであり、送信先アドレスは、不正アクセスを受けたコンピュータのアドレスである。
【0035】
指標算出部12は、検知情報データベース17から脆弱性に関する情報あるいは不正アクセスに関する情報を読み出し、脆弱性に関する情報に基いて脆弱度を数値化した指標を算出し、あるいは不正アクセスに関する情報に基いて危険度を数値化した指標を算出する。指標の算出は、脆弱度指標または危険度指標の一方だけとしてもよいし、双方としてもよい。そして、指標算出部12は、自己のネットワークのIDと算出した指標とを関連付けてセキュリティ管理データベース18に記憶させる。各指標の算出は、次のように行う。
【0036】
まず、脆弱度指標の算出では、例えば脆弱度を「高」なら10ポイント、「中」なら5ポイント、「低」なら1ポイントというようにポイントに対応させ、次式のように脆弱度とこの脆弱度の状態が放置されたまま経過した時間との積の総和により算出する。
【0037】
脆弱度指標=Σ(脆弱度×経過時間) (1)
脆弱度と経過時間の積は、自己のネットワークにおいて脆弱性が検知された全てのコンピュータについて算出されるものであり、積分記号Σは、そのコンピュータの数の分だけ脆弱度と経過時間の積の総和を求めることを意味する。
【0038】
経過時間は、検知情報に含まれる日時の情報を用いて算出する。そして、経過時間が3日未満であれば0.1ポイント、3日以上1週間未満であれば0.5ポイント、1週間以上1ヶ月未満であれば0.8ポイント、1ヶ月以上であれば1.0ポイントというように、経過時間についてもポイントに対応させたものを用いる。
【0039】
危険度指標の算出も基本的には脆弱度指標と同様であり、次式のように危険度とこの危険度の状態が放置されたまま経過した時間との積の総和により算出する。
【0040】
危険度指標=Σ(危険度×経過時間) (2)
自己のネットワークのIDと算出された指標は、図5に示すような、セキュリティ管理データベース18におけるセキュリティ管理テーブル50に格納される。同図では、ネットワークのIDはネットワークアドレスに対応している。
【0041】
通信インタフェース11は、指標算出部12による処理が完了した後、直ちにセキュリティ管理データベース18から脆弱度指標あるいは危険度指標を読み出し、これらの指標を他のネットワークへ通知するために送信する。ここでは、予め登録されている他のネットワークにおけるセキュリティ管理装置1へ直接送信するものとする。なお、セキュリティ管理装置間の通信においては、既存のネットワーク上で予め定められた特定のポートを利用してもよいし、ファイアウォールを通過しない別の専用のネットワークを利用してもよい。
【0042】
また、通信インタフェース11は、他のネットワークについての脆弱度指標又は危険度指標のうちの少なくとも一方を受信する。ここでは、他のネットワークにおけるセキュリティ管理装置1から直接受信するものとする。そして、通信インタフェース11は、そのネットワークのIDと受信した指標とを関連付けてセキュリティ管理データベース18に記憶させる。このネットワークのIDと受信した指標についても、セキュリティ管理データベース18におけるセキュリティ管理テーブル50に格納される。
【0043】
このような構成とすることで、算出された指標は、セキュリティ管理装置1間で随時交換されることとなる。各ネットワークの管理者は、セキュリティ管理テーブル50に格納された脆弱度指標あるいは危険度指標を参照することで、他のネットワークのセキュリティ状態を把握できるので、自己のネットワークにおけるファイアウォール6に対して手動によりセキュリティの低いネットワークに対する通信接続を制限するように設定する。
【0044】
偏差値算出部13は、セキュリティ管理データベース18から各ネットワークについての指標を読み出し、ネットワーク全体を母数としてネットワーク毎に指標の偏差値を算出する。具体的には、各ネットワークの脆弱度指標を用いて脆弱度の偏差値を算出し、危険度指標を用いて危険度の偏差値を算出する。そして、偏差値算出部13は、ネットワークのIDと算出した偏差値とを関連付けてセキュリティ管理データベース18に記憶させる。この偏差値についてもセキュリティ管理テーブル50に格納される。各ネットワークの管理者は、各指標についての偏差値を参照することで、複数のネットワークが相互接続された環境下において、指標の分散状態を考慮したネットワーク全体における客観的な指標を得ることができ、通信接続の可否について正確な判断ができるようになる。
【0045】
セキュリティ管理テーブル50では、上記のように、ネットワークのアドレス、脆弱度指標、危険度指標、脆弱度偏差値、危険度偏差値が関連付けて格納される。この他、セキュリティ管理テーブル50には、セキュリティ管理装置1、スキャナ装置2、侵入検知装置3、ファイアウォール6、サーバ装置4、クライアント端末5等のそれぞれのアドレスとネットワークアドレスとが関連付けて格納される。
【0046】
判定部14は、管理者に代わって通信接続の可否を判定する機能を備える。判定規則データベース19には、他のネットワークへの通信接続の可否を判定するための判定規則が記憶されており、判定部14は、判定規則データベース19から読み出された判定規則と、セキュリティ管理データベース18から読み出された各指標とを用いて他のネットワークへの通信接続の可否を判定する。この判定においても、脆弱度指標あるいは危険度指標のうちの少なくとも一方を用いればよい。また、より正確な判定を行う場合には、各指標を用いて算出された脆弱度偏差値あるいは危険度偏差値のうちの少なくとも一方を用いるようにする。具体的な判定の手法としては、例えば、他のネットワークにおける脆弱度指標の偏差値が自己のネットワークのものよりも高い場合には、そのネットワークに対して通信を許可するといった判定規則を予め設定しておく。この判定規則を用いた場合、図5の例では、自己のネットワークAにおける脆弱度指標の偏差値が46であるので、これよりもネットワークBの偏差値の方が高い場合には、ネットワークBへの通信接続を許可する。なお、この基準はあくまで一例であって、例えば他のネットワークの偏差値が50以上ならそのネットワークへの通信接続を許可するように設定したり、あるいは設定した偏差値を接続先のネットワークにおける偏差値が下回った場合にはそのネットワークへの通信接続を拒否するように設定してもよい。
【0047】
制御部15は、判定部14による判定結果に基いて他のネットワークへの通信接続を制御する。具体的には、自己のネットワークにおけるファイアウォール6に対して他のネットワークへの通信接続の制限をかける。どのネットワークに対して接続の制限をしているかはセキュリティ管理装置1で把握する。
【0048】
したがって、本実施の形態によれば、セキュリティ管理装置1の指標算出部12により、自己のネットワークにおけるコンピュータの脆弱度指標あるいは危険度指標を算出し、通信インタフェース11により、これらの脆弱度指標あるいは危険度指標を他のネットワークへ通知するために送信するとともに、他のネットワークについての脆弱度の指標あるいは危険度の指標を受信することで、それぞれの指標がネットワーク間で相互に交換されるので、各ネットワークでは、この指標を参照することにより他のネットワークの安全性を確認することが可能となる。これにより、各ネットワークでは、安全性の低いネットワークへの接続を制限する等の措置をとることが可能となるので、この点からセキュリティ管理装置1は、相互接続されるネットワーク間の通信のセキュリティ確保に貢献することになる。また、侵入検知装置等における処理履歴を公開することはないので機密性を損なうこともない。
【0049】
本実施の形態によれば、偏差値算出部13により、脆弱度指標あるいは危険度指標の偏差値を算出することで、複数のネットワークが相互接続された環境下で、指標の分散状態を考慮したネットワーク全体における客観的な指標を得ることができ、安全性についてより正確な判断が可能となる。
【0050】
本実施の形態によれば、判定部14により、判定規則と指標を用いて他のネットワークへの通信接続の可否を判定し、制御部15により、その判定結果に基いて他のネットワークへの通信接続を制御することで、管理者の手動によらずに安全性の低いネットワークへの通信接続を制限することが可能となる。通信接続の可否判定に際しては、脆弱度指標あるいは危険度指標そのものを用いてもよいが、これらの指標を用いて算出された偏差値を用いた場合には、より正確な判定結果に基く通信接続の制御が可能となる。
【0051】
なお、上記の実施形態では、異なるセキュリティ管理装置1同士が、指標を相互に交換することとしたが、これに限られるものではない。例えば、各ネットワークに対して通信可能なセンタ装置を設け、このセンタ装置に対して各セキュリティ管理装置1がそれぞれの指標を送信するとともに、センタ装置において全てのネットワークのIDと指標とを関連付けてデータベースに記憶させておくことで集中的に管理し、各セキュリティ管理装置1が、各種の指標をセンタ装置から受信するようにしてもよい。
【0052】
また、上記の実施形態では、スキャナ装置2や侵入検知装置3が稼動していない場合には、セキュリティ管理装置1が指標算出の基になる情報をリアルタイムで取得できなくなるため、外部のネットワークに対して実際の状態とは異なる指標の算出結果を通知するおそれがある。そこで、セキュリティ管理装置1は、通信インタフェース11により、例えばインターネットで用いられるコマンド"ping"を使用してスキャナ装置2や侵入検知装置3といった検知装置の死活状態を監視し、これらの検知装置が動作中か未動作かを示す死活情報を受信し、自己のネットワークのIDと検知装置のIDと死活情報とを関連付けてセキュリティ管理データベース18に記憶させる。これらの情報は、セキュリティ管理テーブルに格納される。そして、通信インタフェース11は、セキュリティ管理データベース18から死活情報を読み出し、この死活情報を他のネットワークへ通知するために送信する。また、通信インタフェース11は、他のネットワークにおける検知装置の死活情報を受信し、そのネットワークのIDと検知装置のIDと受信した死活情報とを関連付けてセキュリティ管理データベース18に記憶させる。このように、セキュリティ管理装置1間で検知装置の死活情報を相互に交換することで、各セキュリティ管理装置1では、他のセキュリティ管理装置から受信した指標が、現在のセキュリティ状態を反映したものか否かを判断することが可能となる。
【0053】
続いて、別の例として、スキャナ装置2あるいは侵入検知装置3が正常に動作していることを確認する手法について説明する。まず、スキャナ装置2は、検査用のパケットをサーバ装置4、クライアント端末5に対して送信する。侵入検知装置3は、このパケットを検知した結果をセキュリティ管理装置1へ送信する。セキュリティ管理装置1では、受信した検知結果をセキュリティ管理データベース18に記憶させる。そして、データベース18から検知結果を読み出し、この検知結果に含まれるパケットの送信元のIPアドレスを参照することで送信元がスキャナ装置2であるか否かを識別する。このように処理することで、セキュリティ管理装置1は、スキャナ装置2および侵入検知装置3が正常に動作していることを確認することができる。この正常動作に関する動作確認情報についても、ネットワークのIDと検知装置のIDに関連付けてセキュリティ管理データベース18に記憶させておき、通信インタフェース11によりセキュリティ管理データベース18から読み出して他のネットワークにおけるセキュリティ管理装置1へ通知するために送信する。このように、各セキュリティ管理装置1間で検知装置の動作確認情報を交換することで、他のセキュリティ管理装置から受信した指標が、正しく評価された指標であることを保障することが可能となる。なお、スキャナ装置2が送信するパケットは、検査用であり、実際の不正アクセスではないので、セキュリティ管理装置1は、指標の算出に際し、スキャナ装置2からの検査用のパケットを検知した結果については用いないようにする。
【図面の簡単な説明】
【0054】
【図1】一実施の形態におけるセキュリティ管理装置を適用したネットワーク間での相互接続が可能なシステムの全体構成を示すブロック図である。
【図2】セキュリティ管理装置の構成を示すブロック図である。
【図3】脆弱性に関する情報を格納した脆弱度管理テーブルを示す図である。
【図4】不正アクセスに関する情報を格納した危険度管理テーブルを示す図である。
【図5】セキュリティに関する情報を総合的に格納したセキュリティ管理テーブルを示す図である。
【符号の説明】
【0055】
1…セキュリティ管理装置
2…スキャナ装置
3…侵入検知装置
4…サーバ装置
5a,5b…クライアント端末
6…ファイアウォール
11…通信インタフェース
12…指標算出部
13…偏差値算出部
14…判定部
15…制御部
17…検知情報データベース
18…セキュリティ管理データベース
19…判定規則データベース
30…脆弱度管理テーブル
40…危険度管理テーブル
50…セキュリティ管理テーブル
【特許請求の範囲】
【請求項1】
他のネットワークに相互接続が可能なネットワークに接続されるセキュリティ管理装置であって、
自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させる第1通信手段と、
第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度の指標又は不正アクセスに関する情報に基く危険度の指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに格納させる指標算出手段と、
前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信する第2通信手段と、
他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させる第3通信手段と、
を有することを特徴とするセキュリティ管理装置。
【請求項2】
前記メモリおよび第2データベースからそれぞれ指標を読み出し、当該指標に基いてネットワーク毎の偏差値を算出し、ネットワークのIDと偏差値とを関連付けて第2データベースに記憶させる偏差値算出手段を有することを特徴とする請求項1記載のセキュリティ管理装置。
【請求項3】
他のネットワークへの通信接続の可否を判定するための判定規則を記憶しておく第3データベースと、
第2データベースから読み出された前記指標および第3データベースから読み出された前記判定規則を用いて他のネットワークへの通信接続の可否を判定する判定手段と、
前記判定手段による判定結果に基いて自己のネットワークによる他のネットワークへの通信接続を制御する制御手段と、
を有することを特徴とする請求項1又は2記載のセキュリティ管理装置。
【請求項4】
第3通信手段は、前記指標を他のネットワークにおけるセキュリティ管理装置から受信するか又は前記指標を集中管理するセンタ装置から受信することを特徴とする請求項1乃至3のいずれかに記載のセキュリティ管理装置。
【請求項5】
自己のネットワークにおけるコンピュータの脆弱性に関する情報又は不正アクセスに関する情報を検知して通知してくる検知装置についての死活情報を受信し、当該ネットワークのIDと検知装置のIDと死活情報とを関連付けてメモリに格納させる第4通信手段と、
前記メモリから死活情報を読み出し、当該死活情報を他のネットワークへ通知するために送信する第5通信手段と、
他のネットワークにおける検知装置の死活情報を受信し、そのネットワークのIDと検知装置のIDと受信した死活情報とを関連付けて第2データベースに記憶させる第6通信信手段と、
を有することを特徴とする請求項1乃至4のいずれかに記載のセキュリティ管理装置。
【請求項6】
自己のネットワークにおけるコンピュータに対してスキャナ装置により検査用のパケットを送信し、侵入検知装置によりこの検査用のパケットを検知してその検知結果を送信したときの当該検知結果を受信して第4データベースに記憶させる第7通信手段と、
第4データベースから検知結果を読み出し、当該検知結果に含まれるパケットの送信元アドレスがスキャナ装置のアドレスか否かを識別することでスキャナ装置および侵入検知装置が正常に動作しているか否かを示す動作確認情報を取得してメモリに記憶させる取得手段と、
前記メモリから動作確認情報を読み出し、当該動作確認情報を他のネットワークへ通知するために送信する第8通信手段と、
他のネットワークにおけるスキャナ装置および侵入検知装置の動作確認情報を受信し、そのネットワークのIDと受信した動作確認情報とを関連付けて第2データベースに記憶させる第9通信信手段と、
を有することを特徴とする請求項1乃至5のいずれかに記載のセキュリティ管理装置。
【請求項7】
他のネットワークに相互接続が可能なネットワークに接続されるコンピュータで行うセキュリティ管理方法であって、
自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させるステップと、
第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度の指標又は不正アクセスに関する情報に基く危険度の指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに格納させるステップと、
前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信するステップと、
他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させるステップと、
を有することを特徴とするセキュリティ管理方法。
【請求項8】
他のネットワークに相互接続が可能なネットワークに接続されるコンピュータに実行させるセキュリティ管理プログラムであって、
自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させる処理と、
第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度を数値化した指標又は不正アクセスに関する情報に基く危険度を数値化した指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに記憶させる処理と、
前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信する処理と、
他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させる処理と、
を実行させることを特徴とするセキュリティ管理プログラム。
【請求項1】
他のネットワークに相互接続が可能なネットワークに接続されるセキュリティ管理装置であって、
自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させる第1通信手段と、
第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度の指標又は不正アクセスに関する情報に基く危険度の指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに格納させる指標算出手段と、
前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信する第2通信手段と、
他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させる第3通信手段と、
を有することを特徴とするセキュリティ管理装置。
【請求項2】
前記メモリおよび第2データベースからそれぞれ指標を読み出し、当該指標に基いてネットワーク毎の偏差値を算出し、ネットワークのIDと偏差値とを関連付けて第2データベースに記憶させる偏差値算出手段を有することを特徴とする請求項1記載のセキュリティ管理装置。
【請求項3】
他のネットワークへの通信接続の可否を判定するための判定規則を記憶しておく第3データベースと、
第2データベースから読み出された前記指標および第3データベースから読み出された前記判定規則を用いて他のネットワークへの通信接続の可否を判定する判定手段と、
前記判定手段による判定結果に基いて自己のネットワークによる他のネットワークへの通信接続を制御する制御手段と、
を有することを特徴とする請求項1又は2記載のセキュリティ管理装置。
【請求項4】
第3通信手段は、前記指標を他のネットワークにおけるセキュリティ管理装置から受信するか又は前記指標を集中管理するセンタ装置から受信することを特徴とする請求項1乃至3のいずれかに記載のセキュリティ管理装置。
【請求項5】
自己のネットワークにおけるコンピュータの脆弱性に関する情報又は不正アクセスに関する情報を検知して通知してくる検知装置についての死活情報を受信し、当該ネットワークのIDと検知装置のIDと死活情報とを関連付けてメモリに格納させる第4通信手段と、
前記メモリから死活情報を読み出し、当該死活情報を他のネットワークへ通知するために送信する第5通信手段と、
他のネットワークにおける検知装置の死活情報を受信し、そのネットワークのIDと検知装置のIDと受信した死活情報とを関連付けて第2データベースに記憶させる第6通信信手段と、
を有することを特徴とする請求項1乃至4のいずれかに記載のセキュリティ管理装置。
【請求項6】
自己のネットワークにおけるコンピュータに対してスキャナ装置により検査用のパケットを送信し、侵入検知装置によりこの検査用のパケットを検知してその検知結果を送信したときの当該検知結果を受信して第4データベースに記憶させる第7通信手段と、
第4データベースから検知結果を読み出し、当該検知結果に含まれるパケットの送信元アドレスがスキャナ装置のアドレスか否かを識別することでスキャナ装置および侵入検知装置が正常に動作しているか否かを示す動作確認情報を取得してメモリに記憶させる取得手段と、
前記メモリから動作確認情報を読み出し、当該動作確認情報を他のネットワークへ通知するために送信する第8通信手段と、
他のネットワークにおけるスキャナ装置および侵入検知装置の動作確認情報を受信し、そのネットワークのIDと受信した動作確認情報とを関連付けて第2データベースに記憶させる第9通信信手段と、
を有することを特徴とする請求項1乃至5のいずれかに記載のセキュリティ管理装置。
【請求項7】
他のネットワークに相互接続が可能なネットワークに接続されるコンピュータで行うセキュリティ管理方法であって、
自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させるステップと、
第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度の指標又は不正アクセスに関する情報に基く危険度の指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに格納させるステップと、
前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信するステップと、
他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させるステップと、
を有することを特徴とするセキュリティ管理方法。
【請求項8】
他のネットワークに相互接続が可能なネットワークに接続されるコンピュータに実行させるセキュリティ管理プログラムであって、
自己のネットワークに接続されたコンピュータの脆弱性に関する情報又は不正アクセスに関する情報のうちの少なくとも一方の情報を受信して第1データベースに記憶させる処理と、
第1データベースから前記情報を読み出し、脆弱性に関する情報に基く脆弱度を数値化した指標又は不正アクセスに関する情報に基く危険度を数値化した指標のうちの少なくとも一方を算出し、当該ネットワークのIDと算出した指標とを関連付けてメモリに記憶させる処理と、
前記メモリから前記指標を読み出し、当該指標を他のネットワークへ通知するために送信する処理と、
他のネットワークについての脆弱度の指標又は危険度の指標のうちの少なくとも一方を受信し、そのネットワークのIDと受信した指標とを関連付けて第2データベースに記憶させる処理と、
を実行させることを特徴とするセキュリティ管理プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2006−279338(P2006−279338A)
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願番号】特願2005−93041(P2005−93041)
【出願日】平成17年3月28日(2005.3.28)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成16年度、独立行政法人 情報通信研究機構、「ネットワーク環境の脆弱性レベルをリアルタイムで定量評価し、情報流通をセキュアに運用するための意思決定システム」の研究開発、産業活力再生特別措置法第30条の適用を受ける特許出願
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
【公開日】平成18年10月12日(2006.10.12)
【国際特許分類】
【出願日】平成17年3月28日(2005.3.28)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成16年度、独立行政法人 情報通信研究機構、「ネットワーク環境の脆弱性レベルをリアルタイムで定量評価し、情報流通をセキュアに運用するための意思決定システム」の研究開発、産業活力再生特別措置法第30条の適用を受ける特許出願
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
[ Back to top ]