セキュリティ監査における自動レポート生成方法及びプログラム並びに不正侵入検知装置
【課題】 セキュリティ監査レポートを自動的に生成する。
【解決手段】 (1)ネットワークを、外部ネットワーク、内部ネットワーク、DMZの3つのセグメントに分割し、その情報をテーブル又はプログラムに与える。(2)前記グループに、送信元と送信先を割り当てることで、3×3=9のケースを作成する。(3)IDSが検知する各イベントについて、予め上記9のケースに対する監査結果を作成する。
(4)レポート生成時に、ログを上記9つのケースに基づいた監査結果を取り出し、レポートを自動的に生成する。
【解決手段】 (1)ネットワークを、外部ネットワーク、内部ネットワーク、DMZの3つのセグメントに分割し、その情報をテーブル又はプログラムに与える。(2)前記グループに、送信元と送信先を割り当てることで、3×3=9のケースを作成する。(3)IDSが検知する各イベントについて、予め上記9のケースに対する監査結果を作成する。
(4)レポート生成時に、ログを上記9つのケースに基づいた監査結果を取り出し、レポートを自動的に生成する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)においてセキュリティ監査のレポートを自動的に作成する手法に関する。
【背景技術】
【0002】
コンピュータ及び電気通信網の発達に伴い、データ通信が飛躍的に普及している。企業ばかりでなく一般個人もインターネットに接続し、各種情報をダウンロードしたり、自分のウェブページを設けて情報を発信するようになってきている。
【0003】
インターネットは誰でも利用できるため、一部の悪意を持つ者がコンピュータウイルスをばら撒いたり、コンピュータへ不正にアクセスして個人情報や秘密情報を盗み出したり、ウェブページを改ざんしたり、特定のサーバへ攻撃を掛けてその利用をできなくするようなことが発生している。このようなことからコンピュータ及びネットワークを守るためのセキュリティの確立が求められている。不正アクセスを防止するための装置として、ファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)、内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)が知られている。これらについて簡単に説明を加える。
【0004】
(1)ファイアウォール
ファイアウォールは、インターネットなどの外部ネットワークとローカルエリアネットワーク(LAN)などの内部ネットワークの間に設けられるコンピュータであって、オープンでそれゆえ必ずしも信頼できない外部ネットワークを、企業のネットワークのように機密性の高い内部ネットワークから分離し、悪意を持った攻撃から内部ネットワークを守る「防火壁」に相当する装置である。
ファイアウォールは、管理者が意図するようなポリシー(ルール)に従ってデータ(パケット)の中継を管理し、ルールに適合しないデータの中継を拒否することにより、不正なデータが内部ネットワークに流れることを防止することができる。具体的には、ファイアウォールは、アクセス制限、アドレス変換、ログ収集/解析、ルーティングなどの処理を行う。
ファイアウォールだけではセキュリティの完全を期すことはできない。ファイアウォールは許可されていないアクセスを拒否できるが、許可されているアクセスを用いた不正アクセスのやり方があるためである。例えば、ウェブページの改ざんには、サーバのプログラムのバグを突いた攻撃が多く利用されているが、ファイアウォールによりそのような攻撃を防ぐことはできない。また、DoS(Denial of Services:ルータやサーバに不正なデータを送信したり、トラフィックを増大させることによりサービスを停止させる攻撃。「サービス停止攻撃」などと呼ばれる)やDDos(Distributed Denial of Services:攻撃の意図がない管理者、利用者のコンピュータを巻き込んだ複数のコンピュータによるDoS攻撃)といった攻撃もファイアウォールで防ぐことはできない。
【0005】
(2)不正侵入検知装置(Intrusion Detection System:IDS)
不正アクセス監視システム/侵入検知システムとも呼ばれ、ネットワークに流れるパケットを監視して、不正アクセスと思われるパケットを発見したときにアラームを表示するとともに、当該通信記録を収集して保存する装置である。Dos攻撃やDDos攻撃を検知することができる。
IDSのタイプとして、ネットワーク型監視(ネットワーク上のパケットを監視するもの)とサーバ型監視(サーバのI/Oパケットを監視するもの)がある。IDSによる不正アクセス検知の方式には、「シグネチャ」ベースの侵入検知(予め登録されたシグネチャと呼ばれる侵入手口のパターンとマッチングを行うことにより侵入を検知する手法)と、統計ベースの侵入検知(通常とは異なる振る舞いを検出する手法)がある。
IDSは不正侵入検知に有効であるが、他方限界もある。例えば次のような点に留意する必要がある。
・IDSは不審なパケットを検知することができても、対象サーバに対してそのパケットがもたらす影響、その通信による不正行為が成功したかどうかについては検知できない。
・ネットワークの高速化に伴い、キャプチャリングロスが発生したり、パケットシグネチャ分析の速度が追随できなくなることがある。
・誤検知/過剰検知が多く、正常な通信であるにもかかわらず、攻撃として検出されるケースが多い。
【0006】
ファイアウォールと不正侵入検知装置は情報セキュリティを確保するための装置であるが、実際にどのような脅威を受けているか、システムの脆弱な部分はどこかなどの問題は個々のシステムにおいて異なる。そのため、システムごとに情報セキュリティ監査を行い、システム及びその運用の改善を心がけるべきである。情報セキュリティ監査とは、いわばシステムの「Check−点検」の段階に当たり、実施された情報セキュリティに関する対策を、補強、修正および改善するために設けられる、いわゆる「見直し」を行うためのものである。情報セキュリティ監査のために、不正侵入検知装置のログに基づきレポートを作成する必要がある。当該レポートは、システムにおいてどのような問題が生じているかを具体的に指摘するものであり、見直しのための有用な情報である。従来、各コンピュータ等の問題をレポートするツールは存在した。
【0007】
監査レポート生成プログラムを開示するものとして下記特許文献1がある。
【特許文献1】特開2004−185455号公報「情報セキュリティポリシーの監査支援方法および装置」 上記先行技術は、高度な専門知識がなくても、情報セキュリティポリシーに基づいたセキュリティ監査を実施する事を可能とするものであるが、各コンピュータ等の問題をレポートするだけのものであって、ネットワークの構成を反映したレポートを生成するツールではない。
【発明の開示】
【発明が解決しようとする課題】
【0008】
上述のようにネットワークの構成を反映したレポートを生成するツールは存在しなかった。そのため、コンサルタントが独自のノウハウでレポートを作成しているのが現状である。しかし、実際に求められているのは個々のコンピュータ(ファイアウォールなど)の問題のレポートではなく、ネットワーク全体のレポートである。このようなレポートの作成に要する労力は大きく、その軽減が求められている。
【0009】
本発明は上記課題を解決するためになされたもので、ネットワークの構成を反映したレポートを自動的に作成することのできる手法を提供することを目的とする。
【課題を解決するための手段】
【0010】
この発明は、
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)と、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備えるか、又は、前記9通りのケースに関する情報が予めプログラムに与えられており、さらに、前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとを備える前記不正侵入検知装置のデータを分析する装置と、を備えるシステムで監査レポートを作成するための方法であって、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先を取得し、
取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当て、
レポート作成時に、前記テーブルに係る前記9通りのケースの内容又は前記プログラムにより割り当てられた前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成する、ことを特徴とする。
【0011】
例えば、前記テーブルはイベントの種類ごとに作成されるか(図3、図8参照)、又はイベントの種類を区別するための情報も併せて格納される。
【0012】
例えば、前記レポートデータベースは、イベントの種類ごとに前記9通りのケースにそれぞれ対応するレポートを予め記憶している(図5、図9参照)。
【0013】
この発明に係るプログラムは、
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、を備えるシステムで監査レポートをコンピュータに作成させるためのプログラムであって、
検知したイベントのデータの送信元と送信先を取得するステップと、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルが用意され、取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当てるステップと、
前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとが用意されレポート作成時に、前記テーブルに係る前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成するステップとを実行させるためのものである。
【0014】
この発明に係るセキュリティ監査における自動レポート生成装置は、
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、を備えるシステムにおいて、前記不正侵入検知装置のデータを分析するための装置であって、
前記装置は、
検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備えるか、又は、前記9通りのケースに関する情報が予めプログラムに与えられており、さらに、前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとを備え、
検知したイベントのデータの送信元と送信先を取得し、取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当て、レポート作成時に、前記テーブルに係る前記9通りのケースの内容又は前記プログラムにより割り当てられた前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成する、ことを特徴とする。
【0015】
この発明に係るプログラムは、例えば、記録媒体に記録される。
媒体には、例えば、EPROMデバイス、フラッシュメモリデバイス、フレキシブルディスク、ハードディスク、磁気テープ、光磁気ディスク、CD(CD−ROM、Video−CDを含む)、DVD(DVD−Video、DVD−ROM、DVD−RAMを含む)、ROMカートリッジ、バッテリバックアップ付きのRAMメモリカートリッジ、フラッシュメモリカートリッジ、不揮発性RAMカートリッジ等を含む。
【0016】
媒体とは、何等かの物理的手段により情報(主にデジタルデータ、プログラム)が記録されているものであって、コンピュータ、専用プロセッサ等の処理装置に所定の機能を行わせることができるものである。
【発明を実施するための最良の形態】
【0017】
図1はこの発明が適用されるシステムの一例を示す。図1において、1はインターネットなどの外部ネットワーク、2はローカルエリアネットワーク(LAN)などの内部ネットワークである。ここで、内部ネットワーク2は、インターネット1に対比して、外部に資源を公開していないネットワークを意味する。3は外部ネットワーク1と内部ネットワーク2の間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)である。内部ネットワーク2は、LANとこれに接続されたPC端末5a、5b、社内用のWWWサーバ7a、7bなどを含んでいる。4は内部ネットワーク2を流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)である。IDS4はインターネット1の直下(外部ネットワーク)や、内部ネットワークやDMZを含む複数の(好ましくは全ての)セグメントに設置される。このように各セグメントにIDSを設置するのは、例えば内部ネットワークにのみIDSを設置した場合、外部からDMZへの攻撃を検知することが出来ないなどの問題を避けるためである。
【0018】
9は本発明の実施の形態に係る自動レポート作成装置であり、IDS4の全部又は一部から監視に係るデータを取得し、これに基づき監査レポートを作成する装置(プログラム)である。図2では自動レポート作成装置9を独立したひとつの装置として表現されているが、本発明はこのような形態に限定されない。他のシステム/装置の機能の一部として実現されることもある。
10はDMZ(De-Militarized Zone)、直訳すると「非武装地帯」と呼ばれるセグメントであり、インターネットなどの信頼できない外部ネットワーク1と、内部ネットワーク2の中間に置かれるものである。一般的に、内部ネットワークをインターネットに接続する際に、WWWサーバやメールサーバなどインターネットに公開しなければならないサーバは、DMZセグメント10に設置される。DMZセグメント10は、図1に示すように、2つのファイアウォール3の間に囲まれ、インターネットなどからの不正なアクセスから保護されるとともに、内部ネットワーク2への被害の拡散を防止する。図1に示すように、2つの別個独立したコンピュータ3でファイアウォールを構成するとセキュリティの強度が向上するので好ましいが、図1の点線で示すようにひとつのコンピュータでファイアウォール3を構成することもできる。
【0019】
自動レポート作成装置9は、分類用の送信先−受信先テーブル9aと、予めレポートの文面を記憶しているレポートデータベース9bと、検知したイベントを分類するためのイベント分類テーブル9cとを備える(図2参照)。これらの具体例は後述するが、簡単な説明を加える。
【0020】
テーブル9aは、不正侵入検知装置4が検知したイベントのデータから取得した送信元と送信先の対応関係を記憶する表である。送信元及び送信先に外部ネットワーク1、内部ネットワーク2及びDMZ10がそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備える(図3参照)。テーブル9aを備える代わりに、前記9通りのケースに関する情報がプログラムに与えられていてもよい(当該プログラムにより合計9通りのケースの記憶場所が確保される)。
【0021】
レポートデータベース9bは、前記9通りのケースそれぞれに対応して予め作成されたレポートの文言を記憶する(図5参照)。
【0022】
イベント分類テーブル9cは検知したイベントを分類するためのものである。イベントを大まかに分類することもあれば(後述の「業務外の通信」など)、細かく分類することもある(後述の「チャット関係」など)。イベント分類テーブル9cに合わせてテーブル9aを用意するとともに、レポートデータベース9bのレポートの内容を用意しておく。イベントとは、不正侵入検知装置4での監視対象になっているデータの送受信のことである。データには必ず送信先アドレスと受信先アドレスの情報が含まれている(図4参照)。イベント分類テーブル9cにより監査レポートの項目の増減できる。複数のイベント分類テーブル9cとともにテーブル9a及びレポートデータベース9bを用意しておけば、ひとつのシステムで複数種類の監査レポートを自動生成することができる。
【0023】
図6及び図7を参照して発明の実施の形態に係る処理を説明する。
【0024】
図6はテーブルへの割り当て処理を示す。不正侵入検知装置4でイベントを検知したら(S1)、当該イベントに係るデータの送信先及び送信元を取得する(S2)。イベントごとにテーブルを作成する場合は、検出したイベントに対応するテーブルを準備する(S3)。なお、複数のイベントをひとつのテーブルに割り当てるときは、イベントの識別情報を一緒に各ケースに割り当てるようにしてもよい。当該テーブルの3×3のケースのうち取得した送信先及び送信元に対応するケースに当該イベントを割り当てる(S4)。例えば、あるイベントの送信先と送信元がいずれも内部ネットワークであれば、図3の(内−内)のケースに当該イベントが割り当てられる(例えば、(内−内)の当該イベントが発生したフラグを立てたり、その回数を累積していく)。図6の処理を繰り返すことにより、不正侵入検知装置4の監視対象であるシステムにおいて、送信先−送信元に基づく分類が行われることになる。
【0025】
図7は監査レポートの生成処理を示す。所望のタイミングで同図の処理を起動し、監査レポートを自動的に作成する。レポートを作成すべきイベントを指定し(S10)、当該イベントの送信先−送信元テーブルの内容を取得する(S11)。当該イベントについて、図3の送信先−送信元に基づく分類の結果を取得する。そして、当該テーブルの内容に対応するレポートを図5から取得する(S12)。例えば、イベント1の送信先−送信元テーブルで(内−内)のケースのフラグが立っているとき、図5で対応するコメント(1,1)を取得する。このようにして取得したレポート(コメント)を出力する(S13)。以上の処理を所望のイベントについて繰り返し行う(S14)。
【0026】
発明の実施の形態に係るセキュリティ監査における自動レポート生成手法によれば、予めネットワークを複数のグループに分割することで、ネットワーク構成を反映したレポートを生成することができる。すなわち、IDS(不正侵入検知装置)を利用したネットワークセキュリティ監査システムにおいて、IDSにより生成されるログを、ネットワーク構成に基づいた分析を行い、自動的にレポートを作成することができる。
【0027】
本発明の実施の形態に係る手法のポイントは次の通りである。
(1)ネットワークを、外部ネットワーク、内部ネットワーク、DMZの3つのセグメントに分割し、その情報をテーブル又はプログラムに与える。
(2)前記グループに、送信元と送信先を割り当てることで、3×3=9のケースを作成する。
(3)IDSが検知する各イベントについて、予め上記9のケースに対する監査結果を作成する。
(4)レポート生成時に、ログを上記9つのケースに基づいた監査結果を取り出し、レポートを自動的に生成する。
【0028】
発明の実施の形態によれば、コンサルタントが手書きで作成するレポートと同等のレポートを自動的に作成することができる。例えば、コンピュータウイルスメールが(内−内)で多く検出されれば、当該ウイルスが「内部ネットワークでどんどん拡散している」というレポートを提示し、(内−外)で多く検出されれば、当該ウイルスが「外部へ拡散している」というレポートを提示する。このような具体的なレポートの提示を受ければ、直ちに具体的な対策を講ずることができるようになる。
【0029】
<検出対象のイベントの説明>
発明の実施の形態に関連する検出対象のイベントについて例を挙げて説明する。
当該イベントとして次のようなものがある。
1.業務外の通信
(1−1)チャット関係
(1−2)P2P接続
(1−3)ウェブメール
2.不正アクセスなど疑わしい通信
(2−1)バックドア、WEBクライアントへの攻撃
(2−2)パスワード取得、認証の失敗、管理者権限取得
(2−3)スキャン関係
(2−4)TFTP関係、ウイルス・ワーム
(2−5)脆弱なパスワード
3.その他問題となる通信
(3−1)データベース関連
(3−2)ネットワーク設定、サーバの設定等、クライアントの設定等、機器設定
(3−3)リモート接続、スパム(第三者中継)
【0030】
図3のテーブルを3つ備え、1.業務外の通信、2.不正アクセスなど疑わしい通信、3.その他問題となる通信、のそれぞれに対応付けることもできる。また、11個の(1−1)チャット関係、・・・のそれぞれに対応付けることもできる。いずれの場合も3×3のテーブルを用いる。上記は一例であり、イベントをさらに細かい区分に分類してもよい。
【0031】
参考までに上記カテゴリについて説明を加える。
1.業務外の通信
(1−1)チャット関係
チャットがすぐにセキュリティ上の脅威になるわけではないが、業務時間中の私的私用の可能性が高く好ましくない。さらに、情報漏洩のおそれがある。
(1−2)P2P接続
P2Pは著作権法上問題の有るコンテンツのやり取りが多い。さらに、情報漏洩のおそれがある。
(1−3)ウェブメール
内部ネットワーク(又はDMZ)のメールサーバに記録が残らないため、情報漏洩が発生した場合に追跡することができない。
2.不正アクセスなど疑わしい通信
(2−1)バックドア、WEBクライアントへの攻撃
バックドア、トロイの木馬、スパイウエア等のカテゴリであり、ネットワークセキュリティに対して大きな脅威である。
(2−2)パスワード取得、認証の失敗、管理者権限取得
パスワードを盗まれたり管理者権限を取得されるとシステムに容易に侵入できてしまう。認証の失敗が多いことは、パスワードを取得するためにいわゆる辞書攻撃や総当り攻撃を受けている可能性がある。
(2−3)スキャン関係
自動化ツール等を用いたネットワークスキャンに関するイベントである。このカテゴリのイベントは攻撃の前触れの可能性がある。
(2−4)TFTP関係、ウイルス・ワーム
TFTPはファームウエアの更新などに利用される場合があるが、パスワードを必要としないプロトコルであることから、侵入に利用されることがある。また、ワーム感染時のファイル転送に使われることもある。ウイルス・ワーム自体の挙動又はその侵入による副次的に検出されるイベントである。
(2−5)脆弱なパスワード
3.その他問題となる通信
(3−1)データベース関連
データベースの攻撃やデータベースの利用に関するイベントである。データベースへのアクセスは情報漏洩の際に利用されることが多く、一見正常な通信であっても確認する必要がある。
(3−2)ネットワーク設定、サーバの設定等、クライアントの設定等、機器設定
(3−3)リモート接続、スパム(第三者中継)
【0032】
上記イベントの具体例の「1.業務外の通信(1)チャット関係」に即して図6及び図7を説明する。図8及び図9は、それぞれ図6及び図7の具体例を示す。
【0033】
IDS(不正侵入検知装置)が「1.業務外の通信(1)チャット関係」を検出すると(図6のS1)、そのデータの送信先(DST)と送信元(SCR)を取得する(S2)。対応する図8のテーブルを準備する(S3)。図8の対応するケースを+1する(S4)。内部ネットワークから外部ネットワークへの通信であるので、図8の1行2列目のケースが該当する。
【0034】
監査レポートを生成する場合、「1.業務外の通信(1)チャット関係」を指定し(S10)、図8のテーブルを読み込む(S11)。当該テーブルで0より大きい値をもつものは内部ネットワークから外部ネットワークへの通信(内−外)である。他のケースに該当するイベントは発生しなかった。そこで、図9のデータベース(同図は「1.業務外の通信(1)チャット関係」の内容のみを示す)から、(内−外)に対応するコメント(3)を読み込む。コメント(3)は次のような内容である。なお、コメント(1)〜(9)は予め用意されている。これらに含まれる変数部分には具体的な送信先・送信元が表示される。
「コメント(3)=%1サーバが利用されているようです。セキュリティポリシー上、許可されたサーバであるか、確認してください。」(%1はサーバの種類を示す変数)
【0035】
このコメントは、内部の者(クライアントコンピュータ)が外部ネットワークに存在するサーバを利用してチャットを行っていることを示し、そのような行為がセキュリティポリシー上、許されているかどうか管理者に対して確認するように促すものである。
【0036】
発明の実施の形態によれば、上記のような具体的なレポートを自動的に作成することができる。
【0037】
本発明は、以上の実施の形態に限定されることなく、特許請求の範囲に記載された発明の範囲内で、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
【0038】
また、本明細書において、手段とは必ずしも物理的手段を意味するものではなく、各手段の機能が、ソフトウェアによって実現される場合も包含する。さらに、一つの手段の機能が、二つ以上の物理的手段により実現されても、若しくは、二つ以上の手段の機能が、一つの物理的手段により実現されてもよい。
【図面の簡単な説明】
【0039】
【図1】発明の実施の形態が適用されるシステムの一例を示す図である。
【図2】発明の実施の形態に係る不正侵入検知装置を示す図である。
【図3】発明の実施の形態に係る送信先-送信元テーブルの説明図である。
【図4】不正侵入検知装置で検知したイベントに係るデータの説明図である。
【図5】発明の実施の形態に係るレポートデータベースの説明図である。
【図6】発明の実施の形態に係るイベントをテーブルへ割り当てる処理のフローチャートである。
【図7】発明の実施の形態に係る監査レポート生成処理のフローチャートである。
【図8】発明の実施の形態に係る送信先-送信元テーブルの具体例である。
【図9】発明の実施の形態に係るレポートデータベースの具体例である。
【符号の説明】
【0040】
1 インターネット(外部ネットワーク)
2 内部ネットワーク
3 ファイアウォール(FW)
4 不正侵入検知装置(IDS)
9 自動レポート作成装置
10 DMZ(De-Militarized zone)
【技術分野】
【0001】
この発明は、内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)においてセキュリティ監査のレポートを自動的に作成する手法に関する。
【背景技術】
【0002】
コンピュータ及び電気通信網の発達に伴い、データ通信が飛躍的に普及している。企業ばかりでなく一般個人もインターネットに接続し、各種情報をダウンロードしたり、自分のウェブページを設けて情報を発信するようになってきている。
【0003】
インターネットは誰でも利用できるため、一部の悪意を持つ者がコンピュータウイルスをばら撒いたり、コンピュータへ不正にアクセスして個人情報や秘密情報を盗み出したり、ウェブページを改ざんしたり、特定のサーバへ攻撃を掛けてその利用をできなくするようなことが発生している。このようなことからコンピュータ及びネットワークを守るためのセキュリティの確立が求められている。不正アクセスを防止するための装置として、ファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)、内部ネットワークを流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)が知られている。これらについて簡単に説明を加える。
【0004】
(1)ファイアウォール
ファイアウォールは、インターネットなどの外部ネットワークとローカルエリアネットワーク(LAN)などの内部ネットワークの間に設けられるコンピュータであって、オープンでそれゆえ必ずしも信頼できない外部ネットワークを、企業のネットワークのように機密性の高い内部ネットワークから分離し、悪意を持った攻撃から内部ネットワークを守る「防火壁」に相当する装置である。
ファイアウォールは、管理者が意図するようなポリシー(ルール)に従ってデータ(パケット)の中継を管理し、ルールに適合しないデータの中継を拒否することにより、不正なデータが内部ネットワークに流れることを防止することができる。具体的には、ファイアウォールは、アクセス制限、アドレス変換、ログ収集/解析、ルーティングなどの処理を行う。
ファイアウォールだけではセキュリティの完全を期すことはできない。ファイアウォールは許可されていないアクセスを拒否できるが、許可されているアクセスを用いた不正アクセスのやり方があるためである。例えば、ウェブページの改ざんには、サーバのプログラムのバグを突いた攻撃が多く利用されているが、ファイアウォールによりそのような攻撃を防ぐことはできない。また、DoS(Denial of Services:ルータやサーバに不正なデータを送信したり、トラフィックを増大させることによりサービスを停止させる攻撃。「サービス停止攻撃」などと呼ばれる)やDDos(Distributed Denial of Services:攻撃の意図がない管理者、利用者のコンピュータを巻き込んだ複数のコンピュータによるDoS攻撃)といった攻撃もファイアウォールで防ぐことはできない。
【0005】
(2)不正侵入検知装置(Intrusion Detection System:IDS)
不正アクセス監視システム/侵入検知システムとも呼ばれ、ネットワークに流れるパケットを監視して、不正アクセスと思われるパケットを発見したときにアラームを表示するとともに、当該通信記録を収集して保存する装置である。Dos攻撃やDDos攻撃を検知することができる。
IDSのタイプとして、ネットワーク型監視(ネットワーク上のパケットを監視するもの)とサーバ型監視(サーバのI/Oパケットを監視するもの)がある。IDSによる不正アクセス検知の方式には、「シグネチャ」ベースの侵入検知(予め登録されたシグネチャと呼ばれる侵入手口のパターンとマッチングを行うことにより侵入を検知する手法)と、統計ベースの侵入検知(通常とは異なる振る舞いを検出する手法)がある。
IDSは不正侵入検知に有効であるが、他方限界もある。例えば次のような点に留意する必要がある。
・IDSは不審なパケットを検知することができても、対象サーバに対してそのパケットがもたらす影響、その通信による不正行為が成功したかどうかについては検知できない。
・ネットワークの高速化に伴い、キャプチャリングロスが発生したり、パケットシグネチャ分析の速度が追随できなくなることがある。
・誤検知/過剰検知が多く、正常な通信であるにもかかわらず、攻撃として検出されるケースが多い。
【0006】
ファイアウォールと不正侵入検知装置は情報セキュリティを確保するための装置であるが、実際にどのような脅威を受けているか、システムの脆弱な部分はどこかなどの問題は個々のシステムにおいて異なる。そのため、システムごとに情報セキュリティ監査を行い、システム及びその運用の改善を心がけるべきである。情報セキュリティ監査とは、いわばシステムの「Check−点検」の段階に当たり、実施された情報セキュリティに関する対策を、補強、修正および改善するために設けられる、いわゆる「見直し」を行うためのものである。情報セキュリティ監査のために、不正侵入検知装置のログに基づきレポートを作成する必要がある。当該レポートは、システムにおいてどのような問題が生じているかを具体的に指摘するものであり、見直しのための有用な情報である。従来、各コンピュータ等の問題をレポートするツールは存在した。
【0007】
監査レポート生成プログラムを開示するものとして下記特許文献1がある。
【特許文献1】特開2004−185455号公報「情報セキュリティポリシーの監査支援方法および装置」 上記先行技術は、高度な専門知識がなくても、情報セキュリティポリシーに基づいたセキュリティ監査を実施する事を可能とするものであるが、各コンピュータ等の問題をレポートするだけのものであって、ネットワークの構成を反映したレポートを生成するツールではない。
【発明の開示】
【発明が解決しようとする課題】
【0008】
上述のようにネットワークの構成を反映したレポートを生成するツールは存在しなかった。そのため、コンサルタントが独自のノウハウでレポートを作成しているのが現状である。しかし、実際に求められているのは個々のコンピュータ(ファイアウォールなど)の問題のレポートではなく、ネットワーク全体のレポートである。このようなレポートの作成に要する労力は大きく、その軽減が求められている。
【0009】
本発明は上記課題を解決するためになされたもので、ネットワークの構成を反映したレポートを自動的に作成することのできる手法を提供することを目的とする。
【課題を解決するための手段】
【0010】
この発明は、
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)と、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備えるか、又は、前記9通りのケースに関する情報が予めプログラムに与えられており、さらに、前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとを備える前記不正侵入検知装置のデータを分析する装置と、を備えるシステムで監査レポートを作成するための方法であって、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先を取得し、
取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当て、
レポート作成時に、前記テーブルに係る前記9通りのケースの内容又は前記プログラムにより割り当てられた前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成する、ことを特徴とする。
【0011】
例えば、前記テーブルはイベントの種類ごとに作成されるか(図3、図8参照)、又はイベントの種類を区別するための情報も併せて格納される。
【0012】
例えば、前記レポートデータベースは、イベントの種類ごとに前記9通りのケースにそれぞれ対応するレポートを予め記憶している(図5、図9参照)。
【0013】
この発明に係るプログラムは、
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、を備えるシステムで監査レポートをコンピュータに作成させるためのプログラムであって、
検知したイベントのデータの送信元と送信先を取得するステップと、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルが用意され、取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当てるステップと、
前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとが用意されレポート作成時に、前記テーブルに係る前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成するステップとを実行させるためのものである。
【0014】
この発明に係るセキュリティ監査における自動レポート生成装置は、
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、を備えるシステムにおいて、前記不正侵入検知装置のデータを分析するための装置であって、
前記装置は、
検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備えるか、又は、前記9通りのケースに関する情報が予めプログラムに与えられており、さらに、前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとを備え、
検知したイベントのデータの送信元と送信先を取得し、取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当て、レポート作成時に、前記テーブルに係る前記9通りのケースの内容又は前記プログラムにより割り当てられた前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成する、ことを特徴とする。
【0015】
この発明に係るプログラムは、例えば、記録媒体に記録される。
媒体には、例えば、EPROMデバイス、フラッシュメモリデバイス、フレキシブルディスク、ハードディスク、磁気テープ、光磁気ディスク、CD(CD−ROM、Video−CDを含む)、DVD(DVD−Video、DVD−ROM、DVD−RAMを含む)、ROMカートリッジ、バッテリバックアップ付きのRAMメモリカートリッジ、フラッシュメモリカートリッジ、不揮発性RAMカートリッジ等を含む。
【0016】
媒体とは、何等かの物理的手段により情報(主にデジタルデータ、プログラム)が記録されているものであって、コンピュータ、専用プロセッサ等の処理装置に所定の機能を行わせることができるものである。
【発明を実施するための最良の形態】
【0017】
図1はこの発明が適用されるシステムの一例を示す。図1において、1はインターネットなどの外部ネットワーク、2はローカルエリアネットワーク(LAN)などの内部ネットワークである。ここで、内部ネットワーク2は、インターネット1に対比して、外部に資源を公開していないネットワークを意味する。3は外部ネットワーク1と内部ネットワーク2の間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)である。内部ネットワーク2は、LANとこれに接続されたPC端末5a、5b、社内用のWWWサーバ7a、7bなどを含んでいる。4は内部ネットワーク2を流れるデータを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)である。IDS4はインターネット1の直下(外部ネットワーク)や、内部ネットワークやDMZを含む複数の(好ましくは全ての)セグメントに設置される。このように各セグメントにIDSを設置するのは、例えば内部ネットワークにのみIDSを設置した場合、外部からDMZへの攻撃を検知することが出来ないなどの問題を避けるためである。
【0018】
9は本発明の実施の形態に係る自動レポート作成装置であり、IDS4の全部又は一部から監視に係るデータを取得し、これに基づき監査レポートを作成する装置(プログラム)である。図2では自動レポート作成装置9を独立したひとつの装置として表現されているが、本発明はこのような形態に限定されない。他のシステム/装置の機能の一部として実現されることもある。
10はDMZ(De-Militarized Zone)、直訳すると「非武装地帯」と呼ばれるセグメントであり、インターネットなどの信頼できない外部ネットワーク1と、内部ネットワーク2の中間に置かれるものである。一般的に、内部ネットワークをインターネットに接続する際に、WWWサーバやメールサーバなどインターネットに公開しなければならないサーバは、DMZセグメント10に設置される。DMZセグメント10は、図1に示すように、2つのファイアウォール3の間に囲まれ、インターネットなどからの不正なアクセスから保護されるとともに、内部ネットワーク2への被害の拡散を防止する。図1に示すように、2つの別個独立したコンピュータ3でファイアウォールを構成するとセキュリティの強度が向上するので好ましいが、図1の点線で示すようにひとつのコンピュータでファイアウォール3を構成することもできる。
【0019】
自動レポート作成装置9は、分類用の送信先−受信先テーブル9aと、予めレポートの文面を記憶しているレポートデータベース9bと、検知したイベントを分類するためのイベント分類テーブル9cとを備える(図2参照)。これらの具体例は後述するが、簡単な説明を加える。
【0020】
テーブル9aは、不正侵入検知装置4が検知したイベントのデータから取得した送信元と送信先の対応関係を記憶する表である。送信元及び送信先に外部ネットワーク1、内部ネットワーク2及びDMZ10がそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備える(図3参照)。テーブル9aを備える代わりに、前記9通りのケースに関する情報がプログラムに与えられていてもよい(当該プログラムにより合計9通りのケースの記憶場所が確保される)。
【0021】
レポートデータベース9bは、前記9通りのケースそれぞれに対応して予め作成されたレポートの文言を記憶する(図5参照)。
【0022】
イベント分類テーブル9cは検知したイベントを分類するためのものである。イベントを大まかに分類することもあれば(後述の「業務外の通信」など)、細かく分類することもある(後述の「チャット関係」など)。イベント分類テーブル9cに合わせてテーブル9aを用意するとともに、レポートデータベース9bのレポートの内容を用意しておく。イベントとは、不正侵入検知装置4での監視対象になっているデータの送受信のことである。データには必ず送信先アドレスと受信先アドレスの情報が含まれている(図4参照)。イベント分類テーブル9cにより監査レポートの項目の増減できる。複数のイベント分類テーブル9cとともにテーブル9a及びレポートデータベース9bを用意しておけば、ひとつのシステムで複数種類の監査レポートを自動生成することができる。
【0023】
図6及び図7を参照して発明の実施の形態に係る処理を説明する。
【0024】
図6はテーブルへの割り当て処理を示す。不正侵入検知装置4でイベントを検知したら(S1)、当該イベントに係るデータの送信先及び送信元を取得する(S2)。イベントごとにテーブルを作成する場合は、検出したイベントに対応するテーブルを準備する(S3)。なお、複数のイベントをひとつのテーブルに割り当てるときは、イベントの識別情報を一緒に各ケースに割り当てるようにしてもよい。当該テーブルの3×3のケースのうち取得した送信先及び送信元に対応するケースに当該イベントを割り当てる(S4)。例えば、あるイベントの送信先と送信元がいずれも内部ネットワークであれば、図3の(内−内)のケースに当該イベントが割り当てられる(例えば、(内−内)の当該イベントが発生したフラグを立てたり、その回数を累積していく)。図6の処理を繰り返すことにより、不正侵入検知装置4の監視対象であるシステムにおいて、送信先−送信元に基づく分類が行われることになる。
【0025】
図7は監査レポートの生成処理を示す。所望のタイミングで同図の処理を起動し、監査レポートを自動的に作成する。レポートを作成すべきイベントを指定し(S10)、当該イベントの送信先−送信元テーブルの内容を取得する(S11)。当該イベントについて、図3の送信先−送信元に基づく分類の結果を取得する。そして、当該テーブルの内容に対応するレポートを図5から取得する(S12)。例えば、イベント1の送信先−送信元テーブルで(内−内)のケースのフラグが立っているとき、図5で対応するコメント(1,1)を取得する。このようにして取得したレポート(コメント)を出力する(S13)。以上の処理を所望のイベントについて繰り返し行う(S14)。
【0026】
発明の実施の形態に係るセキュリティ監査における自動レポート生成手法によれば、予めネットワークを複数のグループに分割することで、ネットワーク構成を反映したレポートを生成することができる。すなわち、IDS(不正侵入検知装置)を利用したネットワークセキュリティ監査システムにおいて、IDSにより生成されるログを、ネットワーク構成に基づいた分析を行い、自動的にレポートを作成することができる。
【0027】
本発明の実施の形態に係る手法のポイントは次の通りである。
(1)ネットワークを、外部ネットワーク、内部ネットワーク、DMZの3つのセグメントに分割し、その情報をテーブル又はプログラムに与える。
(2)前記グループに、送信元と送信先を割り当てることで、3×3=9のケースを作成する。
(3)IDSが検知する各イベントについて、予め上記9のケースに対する監査結果を作成する。
(4)レポート生成時に、ログを上記9つのケースに基づいた監査結果を取り出し、レポートを自動的に生成する。
【0028】
発明の実施の形態によれば、コンサルタントが手書きで作成するレポートと同等のレポートを自動的に作成することができる。例えば、コンピュータウイルスメールが(内−内)で多く検出されれば、当該ウイルスが「内部ネットワークでどんどん拡散している」というレポートを提示し、(内−外)で多く検出されれば、当該ウイルスが「外部へ拡散している」というレポートを提示する。このような具体的なレポートの提示を受ければ、直ちに具体的な対策を講ずることができるようになる。
【0029】
<検出対象のイベントの説明>
発明の実施の形態に関連する検出対象のイベントについて例を挙げて説明する。
当該イベントとして次のようなものがある。
1.業務外の通信
(1−1)チャット関係
(1−2)P2P接続
(1−3)ウェブメール
2.不正アクセスなど疑わしい通信
(2−1)バックドア、WEBクライアントへの攻撃
(2−2)パスワード取得、認証の失敗、管理者権限取得
(2−3)スキャン関係
(2−4)TFTP関係、ウイルス・ワーム
(2−5)脆弱なパスワード
3.その他問題となる通信
(3−1)データベース関連
(3−2)ネットワーク設定、サーバの設定等、クライアントの設定等、機器設定
(3−3)リモート接続、スパム(第三者中継)
【0030】
図3のテーブルを3つ備え、1.業務外の通信、2.不正アクセスなど疑わしい通信、3.その他問題となる通信、のそれぞれに対応付けることもできる。また、11個の(1−1)チャット関係、・・・のそれぞれに対応付けることもできる。いずれの場合も3×3のテーブルを用いる。上記は一例であり、イベントをさらに細かい区分に分類してもよい。
【0031】
参考までに上記カテゴリについて説明を加える。
1.業務外の通信
(1−1)チャット関係
チャットがすぐにセキュリティ上の脅威になるわけではないが、業務時間中の私的私用の可能性が高く好ましくない。さらに、情報漏洩のおそれがある。
(1−2)P2P接続
P2Pは著作権法上問題の有るコンテンツのやり取りが多い。さらに、情報漏洩のおそれがある。
(1−3)ウェブメール
内部ネットワーク(又はDMZ)のメールサーバに記録が残らないため、情報漏洩が発生した場合に追跡することができない。
2.不正アクセスなど疑わしい通信
(2−1)バックドア、WEBクライアントへの攻撃
バックドア、トロイの木馬、スパイウエア等のカテゴリであり、ネットワークセキュリティに対して大きな脅威である。
(2−2)パスワード取得、認証の失敗、管理者権限取得
パスワードを盗まれたり管理者権限を取得されるとシステムに容易に侵入できてしまう。認証の失敗が多いことは、パスワードを取得するためにいわゆる辞書攻撃や総当り攻撃を受けている可能性がある。
(2−3)スキャン関係
自動化ツール等を用いたネットワークスキャンに関するイベントである。このカテゴリのイベントは攻撃の前触れの可能性がある。
(2−4)TFTP関係、ウイルス・ワーム
TFTPはファームウエアの更新などに利用される場合があるが、パスワードを必要としないプロトコルであることから、侵入に利用されることがある。また、ワーム感染時のファイル転送に使われることもある。ウイルス・ワーム自体の挙動又はその侵入による副次的に検出されるイベントである。
(2−5)脆弱なパスワード
3.その他問題となる通信
(3−1)データベース関連
データベースの攻撃やデータベースの利用に関するイベントである。データベースへのアクセスは情報漏洩の際に利用されることが多く、一見正常な通信であっても確認する必要がある。
(3−2)ネットワーク設定、サーバの設定等、クライアントの設定等、機器設定
(3−3)リモート接続、スパム(第三者中継)
【0032】
上記イベントの具体例の「1.業務外の通信(1)チャット関係」に即して図6及び図7を説明する。図8及び図9は、それぞれ図6及び図7の具体例を示す。
【0033】
IDS(不正侵入検知装置)が「1.業務外の通信(1)チャット関係」を検出すると(図6のS1)、そのデータの送信先(DST)と送信元(SCR)を取得する(S2)。対応する図8のテーブルを準備する(S3)。図8の対応するケースを+1する(S4)。内部ネットワークから外部ネットワークへの通信であるので、図8の1行2列目のケースが該当する。
【0034】
監査レポートを生成する場合、「1.業務外の通信(1)チャット関係」を指定し(S10)、図8のテーブルを読み込む(S11)。当該テーブルで0より大きい値をもつものは内部ネットワークから外部ネットワークへの通信(内−外)である。他のケースに該当するイベントは発生しなかった。そこで、図9のデータベース(同図は「1.業務外の通信(1)チャット関係」の内容のみを示す)から、(内−外)に対応するコメント(3)を読み込む。コメント(3)は次のような内容である。なお、コメント(1)〜(9)は予め用意されている。これらに含まれる変数部分には具体的な送信先・送信元が表示される。
「コメント(3)=%1サーバが利用されているようです。セキュリティポリシー上、許可されたサーバであるか、確認してください。」(%1はサーバの種類を示す変数)
【0035】
このコメントは、内部の者(クライアントコンピュータ)が外部ネットワークに存在するサーバを利用してチャットを行っていることを示し、そのような行為がセキュリティポリシー上、許されているかどうか管理者に対して確認するように促すものである。
【0036】
発明の実施の形態によれば、上記のような具体的なレポートを自動的に作成することができる。
【0037】
本発明は、以上の実施の形態に限定されることなく、特許請求の範囲に記載された発明の範囲内で、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
【0038】
また、本明細書において、手段とは必ずしも物理的手段を意味するものではなく、各手段の機能が、ソフトウェアによって実現される場合も包含する。さらに、一つの手段の機能が、二つ以上の物理的手段により実現されても、若しくは、二つ以上の手段の機能が、一つの物理的手段により実現されてもよい。
【図面の簡単な説明】
【0039】
【図1】発明の実施の形態が適用されるシステムの一例を示す図である。
【図2】発明の実施の形態に係る不正侵入検知装置を示す図である。
【図3】発明の実施の形態に係る送信先-送信元テーブルの説明図である。
【図4】不正侵入検知装置で検知したイベントに係るデータの説明図である。
【図5】発明の実施の形態に係るレポートデータベースの説明図である。
【図6】発明の実施の形態に係るイベントをテーブルへ割り当てる処理のフローチャートである。
【図7】発明の実施の形態に係る監査レポート生成処理のフローチャートである。
【図8】発明の実施の形態に係る送信先-送信元テーブルの具体例である。
【図9】発明の実施の形態に係るレポートデータベースの具体例である。
【符号の説明】
【0040】
1 インターネット(外部ネットワーク)
2 内部ネットワーク
3 ファイアウォール(FW)
4 不正侵入検知装置(IDS)
9 自動レポート作成装置
10 DMZ(De-Militarized zone)
【特許請求の範囲】
【請求項1】
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)と、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備えるか、又は、前記9通りのケースに関する情報が予めプログラムに与えられており、さらに、前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとを備える前記不正侵入検知装置のデータを分析する装置と、を備えるシステムで監査レポートを作成するための方法であって、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先を取得し、
取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当て、
レポート作成時に、前記テーブルに係る前記9通りのケースの内容又は前記プログラムにより割り当てられた前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成する、ことを特徴とするセキュリティ監査における自動レポート生成方法。
【請求項2】
前記テーブルはイベントの種類ごとに作成されるか、又はイベントの種類を区別するための情報も併せて格納されることを特徴とする請求項1記載のセキュリティ監査における自動レポート生成方法。
【請求項3】
前記レポートデータベースは、イベントの種類ごとに前記9通りのケースにそれぞれ対応するレポートを予め記憶していることを特徴とする請求項1記載のセキュリティ監査における自動レポート生成方法。
【請求項4】
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、を備えるシステムで監査レポートをコンピュータに作成させるためのプログラムであって、
検知したイベントのデータの送信元と送信先を取得するステップと、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルが用意され、取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当てるステップと、
前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースが用意され、レポート作成時に、前記テーブルに係る前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成するステップとを実行させるためのプログラム。
【請求項5】
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、を備えるシステムにおいて、前記不正侵入検知装置のデータを分析するための装置であって、
前記装置は、
検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備えるか、又は、前記9通りのケースに関する情報が予めプログラムに与えられており、さらに、前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとを備え、
検知したイベントのデータの送信元と送信先を取得し、取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当て、レポート作成時に、前記テーブルに係る前記9通りのケースの内容又は前記プログラムにより割り当てられた前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成する、ことを特徴とするセキュリティ監査における自動レポート生成装置。
【請求項1】
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールコンピュータ(Fire Wall:FW、以下「ファイアウォール」と記す)と、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備えるか、又は、前記9通りのケースに関する情報が予めプログラムに与えられており、さらに、前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとを備える前記不正侵入検知装置のデータを分析する装置と、を備えるシステムで監査レポートを作成するための方法であって、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先を取得し、
取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当て、
レポート作成時に、前記テーブルに係る前記9通りのケースの内容又は前記プログラムにより割り当てられた前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成する、ことを特徴とするセキュリティ監査における自動レポート生成方法。
【請求項2】
前記テーブルはイベントの種類ごとに作成されるか、又はイベントの種類を区別するための情報も併せて格納されることを特徴とする請求項1記載のセキュリティ監査における自動レポート生成方法。
【請求項3】
前記レポートデータベースは、イベントの種類ごとに前記9通りのケースにそれぞれ対応するレポートを予め記憶していることを特徴とする請求項1記載のセキュリティ監査における自動レポート生成方法。
【請求項4】
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、を備えるシステムで監査レポートをコンピュータに作成させるためのプログラムであって、
検知したイベントのデータの送信元と送信先を取得するステップと、
前記不正侵入検知装置で検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルが用意され、取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当てるステップと、
前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースが用意され、レポート作成時に、前記テーブルに係る前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成するステップとを実行させるためのプログラム。
【請求項5】
インターネットなどの外部ネットワークと、
ローカルエリアネットワーク(LAN)などの内部ネットワークと、
前記外部ネットワークと前記内部ネットワークの中間に置かれるセグメントであるDMZ(De-Militarized Zone)と、
前記外部ネットワークと前記内部ネットワークの間、前記外部ネットワークと前記DMZの間及び/又は前記内部ネットワークと前記DMZの間に設けられてネットワーク間のデータの中継を予め定められたルールに基づき制御するファイアウォールと、
前記外部ネットワークと他のセグメントの接続個所又は前記内部ネットワーク、前記DMZを含むセグメントの全部又は一部に設置され、データを監視して不正なアクセスを検知する不正侵入検知装置(Intrusion Detection System:IDS)と、を備えるシステムにおいて、前記不正侵入検知装置のデータを分析するための装置であって、
前記装置は、
検知したイベントのデータの送信元と送信先の対応表であって、送信元及び送信先に前記3つの外部ネットワーク、内部ネットワーク及びDMZがそれぞれ割り当てられて3×3の合計9通りのケースを含むテーブルを備えるか、又は、前記9通りのケースに関する情報が予めプログラムに与えられており、さらに、前記9通りのケースの全部又は一部に対応して予め作成されたレポートを記憶するレポートデータベースとを備え、
検知したイベントのデータの送信元と送信先を取得し、取得した送信元と送信先に基づき当該イベントを前記9通りのケースのいずれかに割り当て、レポート作成時に、前記テーブルに係る前記9通りのケースの内容又は前記プログラムにより割り当てられた前記9通りのケースの内容の全部又は一部に基づき前記レポートデータベースから対応するレポートを取り出すことにより監査レポートを生成する、ことを特徴とするセキュリティ監査における自動レポート生成装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2006−227842(P2006−227842A)
【公開日】平成18年8月31日(2006.8.31)
【国際特許分類】
【出願番号】特願2005−39863(P2005−39863)
【出願日】平成17年2月16日(2005.2.16)
【出願人】(504252662)インターネットセキュリティシステムズ株式会社 (2)
【Fターム(参考)】
【公開日】平成18年8月31日(2006.8.31)
【国際特許分類】
【出願日】平成17年2月16日(2005.2.16)
【出願人】(504252662)インターネットセキュリティシステムズ株式会社 (2)
【Fターム(参考)】
[ Back to top ]