セキュリティ監視装置、セキュリティ監視方法、及びプログラム
【課題】 セキュリティインシデントを早期に発見し、早期に対策を講ずることができるようにする。
【解決手段】 セキュリティ監視対象システムと外部ネットワークとの間に構築されたファイアウォール10と、ファイアウォール10から通信のログを収集するログ収集サーバ20と、ログを解析してセキュリティ監視対象システムで発生しているセキュリティインシデントを検出する解析サーバ30と、セキュリティインシデントの発生に関する事象発生情報を記憶するデータベース40と、セキュリティインシデントの検出を伝える電子メールを所定の宛先に対して送信するメールサーバ50と、電子メールを受信して事象発生情報の閲覧を要求する顧客端末60と、データベース40から事象発生情報を取り出して顧客端末60に送信するWebサーバ70とを備える。
【解決手段】 セキュリティ監視対象システムと外部ネットワークとの間に構築されたファイアウォール10と、ファイアウォール10から通信のログを収集するログ収集サーバ20と、ログを解析してセキュリティ監視対象システムで発生しているセキュリティインシデントを検出する解析サーバ30と、セキュリティインシデントの発生に関する事象発生情報を記憶するデータベース40と、セキュリティインシデントの検出を伝える電子メールを所定の宛先に対して送信するメールサーバ50と、電子メールを受信して事象発生情報の閲覧を要求する顧客端末60と、データベース40から事象発生情報を取り出して顧客端末60に送信するWebサーバ70とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュリティ監視対象のコンピュータシステムにセキュリティ上の問題が発生していないかどうかを監視するセキュリティ監視装置等に関する。
【背景技術】
【0002】
近年のインターネットの爆発的な普及に伴い、ネットワーク上に存在する脅威は無視できないものとなっている。例えば、ネットワークを介して他のコンピュータに感染し破壊活動を行うワームや、他のコンピュータへの侵入時に次回の侵入のための経路として仕掛けられるバックドア等である。こういった脅威に対し、これまで各企業や組織は、ファイアウォールを構築することにより自衛してきた。ファイアウォールとは、企業や組織のシステムと外部ネットワークとの間で通信されるパケットを、一定のルールに基づいて通過させたり破棄したりするものである。ファイアウォールを構築すれば、企業や組織のシステムを外部ネットワークから保護することが一応可能となる。
ところが、ファイルウォールを構築しただけでその後の運用が適切になされていない場合も少なくない。セキュリティ対策に関する高度な専門知識を持つ人員の不足や、セキュリティ対策について十分な時間を割けない各企業等の事情が、その一因と考えられる。
【0003】
こういった状況に鑑み、高度な専門知識を持たないユーザのためにセキュリティ対策をサービスとして提供することが提案されている(例えば、特許文献1参照)。この特許文献1の発明は、ファイアウォールで不正なパケットを検知した旨の警告情報をユーザ端末に警告メールとして送信し、そのような不正アクセスの傾向やパターンに関する統計情報を例えば毎月レポートメールとして送信する、というものである。
【0004】
【特許文献1】特開2004−348292号公報(第6−7頁、第6図)
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の発明では、警告情報は即時に通知しているものの、詳細情報については例えば毎月のレポートという形で提供している。従って、ユーザは、不正アクセスに関する詳細な情報をリアルタイムに得ることができず、対策が遅れ、被害が拡大してしまう虞があるという問題点があった。
また、特許文献1の発明では、ファイアウォールを通過する不正パケットの検知、即ち、攻撃の検知を行っているに過ぎない。近年のワーム等は益々巧妙化し、このような攻撃の検知が難しく、気付かぬうちに被害が拡大している場合もある。このような場合、特許文献1の発明では対処できないという問題点があった。
【0006】
本発明は、以上のような技術的課題を解決するためになされたものであって、その目的は、セキュリティインシデント(セキュリティ上問題となる事象)を早期に発見し、早期に対策を講ずることができるようにすることにある。
また、本発明の他の目的は、セキュリティインシデントによる被害の拡大を防止することにある。
【課題を解決するための手段】
【0007】
かかる目的のもと、本発明は、セキュリティインシデントの検出の報告からアドバイス(対処法の提供等)までをリアルタイムに行うようにした。即ち、本発明のセキュリティ監視装置は、セキュリティ監視対象システムとネットワークとの間に構築されたファイアウォールを経由する通信のログを収集するログ収集手段と、このログ収集手段により収集されたログを解析してセキュリティ監視対象システムのセキュリティ上問題となる事象を検出する解析手段と、この解析手段による解析で検出された事象に関するアドバイス情報を記憶する記憶手段と、事象の検出を所定の宛先に通知し、かつ、アドバイス情報を即座に閲覧可能な状態にする通知手段とを備えている。
【0008】
また、本発明は、実際に被害を発生させているセキュリティインシデントを検知する点に着目して把握することもできる。その場合、本発明のセキュリティ監視装置は、セキュリティ監視対象システムとネットワークとの間に構築されたファイアウォールを経由する通信のログを収集するログ収集手段と、このログ収集手段により収集されたログを解析してセキュリティ監視対象システムで実際に被害を発生させている事象を検出する解析手段と、この解析手段による解析で事象が検出されたことを所定の宛先に通知する通知手段とを備えている。
【0009】
更に、本発明は、セキュリティインシデントの検出の報告からアドバイス(対処法の提供等)までをリアルタイムに行う方法として捉えることもできる。その場合、本発明のセキュリティ監視方法は、ファイアウォールを介してネットワークに接続されたセキュリティ監視対象システムに対するセキュリティ監視方法であり、セキュリティ監視対象システムのセキュリティ上問題となる事象とその事象に関するアドバイス情報とを対応付けて記憶するステップと、ファイアウォールを経由する通信のログを収集するステップと、収集したログを解析して事象を検出するステップと、検出された事象に基づいてその事象に関するアドバイス情報を取得するステップと、事象を検出した旨の情報とアドバイス情報を閲覧するための情報とを所定の宛先に通知するステップとを含んでいる。
【0010】
一方、本発明は、所定の機能をコンピュータに実現させるためのコンピュータプログラムとして捉えることもできる。その場合、本発明のプログラムは、ファイアウォールを介してネットワークに接続されたセキュリティ監視対象システムのセキュリティを監視するコンピュータに、ファイアウォールを経由する通信のログを収集する機能と、収集されたログを解析してセキュリティ監視対象システムで実際に被害を発生させている事象を検出する機能とを実現させるためのものである。
【発明の効果】
【0011】
本発明によれば、セキュリティインシデントを早期に発見し、早期に対策を講ずることができるようになる。
【発明を実施するための最良の形態】
【0012】
以下、添付図面を参照して、本発明を実施するための最良の形態(以下、「実施の形態」という)について詳細に説明する。
図1は、本実施の形態が適用されるコンピュータシステムの構成を示した図である。このコンピュータシステムは、ファイアウォール10と、ログ収集サーバ20と、解析サーバ30と、データベース40と、メールサーバ50と、顧客端末60と、Webサーバ70とを含んでいる。このうち、ファイアウォール10とログ収集サーバ20、メールサーバ50と顧客端末60、顧客端末60とWebサーバ70との間は、インターネット等のネットワークにより接続されている。
【0013】
ファイアウォール10は、顧客側のセキュリティ監視対象のシステム(以下、「セキュリティ監視対象システム」という)と外部ネットワークとの間に構築され、セキュリティ監視対象システムと外部ネットワークとの間でなされる通信を監視し、その記録をログとして出力する機能を有する装置である。具体的には、ソフトウェアを既存のコンピュータに組み込むことにより実現する場合と、専用のハードウェアを用いて実現する場合とがある。尚、ファイアウォール10から出力されるログには、そのログを出力したファイアウォール10を一意に識別するデバイス名、送信元IPアドレス、送信先IPアドレス、送信元ポート・プロトコル、送信先ポート・プロトコル、時刻の情報等が含まれる。
【0014】
ログ収集サーバ20は、ファイアウォール10から出力されるログを収集するサーバであり、解析サーバ30は、ログ収集サーバ20からログを受け取って所定の規則に従い解析を行うサーバである。これらのサーバの具体的なハードウェア構成は、通常のサーバコンピュータと同様であり、中央処理装置(CPU)、主記憶装置、外部記憶装置(例えば、磁気ディスク装置)、通信制御装置等を有している。そして、これらのサーバの機能は、サーバのCPUが、例えば外部記憶装置に記憶されたプログラムをメインメモリにロードして実行することにより実現される。
データベース40は、解析サーバ30、メールサーバ50、Webサーバ70が参照する情報を記憶する記憶装置(記憶手段)であり、例えば磁気ディスクによって実現される。尚、データベース40に記憶される情報の具体的な内容については後述する。
【0015】
メールサーバ50は、データベース40の内容に従い、電子メールを所定の宛先(メールアドレス)に送信するサーバであり、このサーバの具体的なハードウェア構成や機能の実現方法は、上述した各サーバコンピュータと同様である。顧客端末60は、顧客側に設置され、電子メールを受信したりWebページにアクセスしたりする機能を有する端末装置であり、例えば、PC(Personal Computer)によって実現される。Webサーバ70は、要求されたWebページを取得して要求元に送信する機能を有するサーバであり、このサーバの具体的なハードウェア構成や機能の実現方法も上述した各サーバコンピュータと同様である。尚、メールサーバ50及びWebサーバ70は、事象の発生及び事象に関する詳細情報を即座に通知するという観点からまとめて通知手段として把握することもできる。
【0016】
ここで、データベース40に記憶される情報の具体的な内容について詳細に説明する。
まず、データベース40には、予め図2に示すような情報が記憶されている。
このうち、図2(a)は、セキュリティ監視対象システムを保有する各顧客の情報(顧客情報)を示したものである。具体的には、顧客を一意に識別する顧客ID、顧客名、顧客のシステムに構築されたファイアウォール10を一意に識別する名称であるデバイス名、ファイアウォール10のログから異常が検出された場合に電子メールを送信する宛先であるメールアドレス、顧客がWebサーバ70を介して情報にアクセスする際に必要となるパスワードが対応付けられている。尚、これらの情報の他に、一般に顧客情報として管理される、例えば、連絡先電話番号等の情報を記憶するようにしてもよいが、ここでは発明に直接関係ないので省略している。
【0017】
また、図2(b)は、ファイアウォール10から出力されるログを解析することにより把握され得る事象に関する定義情報(事象定義情報)を示したものである。具体的には、事象の内容を端的に表現したイベント概要、実害が発生しているかどうかの観点から付与された事象ごとの重要度、ログを解析して事象を検出する際に用いる条件、事象に対する対処法が対応付けられている。
ここで、重要度としては、「High」、「Medium」、「Low」の3種類が設けられている。「High」とは、ワームの感染、バックドア、トロイの木馬のように実害が発生していることが考えられる事象に付与される重要度であり、「Medium」とは、ファイル共有ソフトウェアの利用等、顧客のセキュリティポリシーによっては実害となる事象に付与される重要度であり、「Low」とは、外部からの調査活動のようにその時点では実害とはならない事象に付与される重要度である。尚、ここでは、重要度を事象に対して一意に決まるものとして定義したが、例えば、顧客のセキュリティポリシーに応じて重要度が異なってくる事象については、重要度を顧客ごとに設定するようにしてもよい。
【0018】
また、条件としては、ログに含まれる送信元IPアドレス、送信先IPアドレス、送信元ポート・プロトコル、送信先ポート・プロトコル等の送信元及び送信先に関する情報や、時刻に関する情報等の複数の情報項目を組み合わせてなる条件が設定される。従来のIDS(Intrusion Detection System)では、ネットワーク上を流れるパケットに対し、パターン照合を行うことにより不正パケットを検出するだけであったが、本発明では、このような情報項目を組み合わせた条件を独自のノウハウとして組み込み、かかる条件を用いて被害を発生している事象を検出する点に1つの特徴がある。
尚、図2(b)では、条件及び対処法について、紙面の都合上、具体的な内容を省略しているが、省略した部分についても、相応の条件及び対処法が定義されているものとする。
また、データベース40には、解析サーバ30による解析の結果、事象の発生に関する情報も記録されることとなるが、これについては後述する。
【0019】
次に、図1に示したコンピュータシステムの動作について説明する。
まず、ファイアウォール10が、セキュリティ監視対象システムと外部ネットワークとの間における通信のログを出力する。そして、ログ収集サーバ20が、このファイアウォール10から出力されたログを収集し、解析サーバ30に受け渡す。これにより、解析サーバ30によるログの解析処理が開始する。
【0020】
図3は、解析サーバ30の動作を示したフローチャートである。
まず、解析サーバ30は、ログ収集サーバ20からログを受け付ける(ステップ101)。尚、解析サーバ30は、実際には、複数のファイアウォール10から収集したログを受け付けることになるが、以下では、説明を簡単にするために特定の1つのファイアウォール10から収集したログのみを受け付けるものとして説明する。また、ログには有効期限が存在し、24時間以内に発生したものを対象として解析を行うものとする。
次に、解析サーバ30は、図2(b)の事象定義情報における1つの事象に着目し、その事象に対する条件とログとを照合し(ステップ102)、ログがその条件を満たしているかどうかを判定する(ステップ103)。
その結果、ログがその条件を満たしている場合は、現在着目している事象の発生に関する情報(事象発生情報)をデータベース40に記録する(ステップ105)。
【0021】
図4は、このとき記録される事象発生情報の一例である。具体的には、事象の発生ごとに付された連番であるイベントNo、事象が発生した日時、事象の内容を端的に表現したイベント概要が対応付けられて記録される。また、図示してはいないが、事象の検知の元となったログの件数を事象に対応付けて記録するようにしてもよい。
尚、図4の事象発生情報は、ファイアウォール10ごとに記録されるものとする。即ち、各デバイス名に対し事象発生情報を格納するための記憶領域が割り当てられ、現在着目しているデバイス名に割り当てられた記憶領域に、そのデバイスに関する事象発生情報が記録されることになる。
【0022】
一方、ログがその条件を満たしていない場合は、他の事象が事象定義情報に存在するかどうかを判定し(ステップ104)、他の事象が存在すれば、ステップ102、103の処理を繰り返す。その後、ログが条件を満たす事象が現れるまで同じ処理を繰り返し、ステップ104で事象が存在しなくなった場合、処理を終了する。
以上により、解析サーバ30の動作は終了する。
【0023】
また、メールサーバ50は、データベース40に記録される事象発生情報を監視し、新たに発生した事象の情報を検出する。ここで、事象発生情報は、上述したように、ファイアウォール10ごとに記録されるので、新たな事象の検出の元となったログを出力したファイアウォール10を特定することができる。そして、メールサーバ50は、ファイアウォール10のデバイス名をキーに図2(a)の顧客情報を検索し、顧客ID及びメールアドレスを取得する。
これにより、メールサーバ50は、その顧客専用のWebポータルにアクセスするための情報、例えばURL(Uniform Resource Locator)が記述された電子メールをそのメールアドレスに対して送信する。即ち、電子メールには、例えば、「セキュリティインシデントが発見されました。詳細は、以下のURLを参照して下さい。」といったメッセージと、事象発生情報を表示するWebポータルのURLとが記述されている。
そこで、顧客の操作者は、顧客端末60に電子メールの内容を表示し、URLをクリックする。これにより、顧客端末60は、Webサーバ70に接続され、Webサーバ70は、顧客端末60に対し、パスワードの入力を要求する。
この要求に応じ、顧客の操作者がパスワードを入力すると、Webサーバ70は、データベース40の顧客情報からパスワードを取り出し、入力されたパスワードと記憶されていたパスワードとが整合しているかどうかを検証する。その結果、パスワードが整合していれば、Webサーバ70は、その顧客専用のWebポータルを顧客端末60に送信する。そして、顧客の操作者は、このWebポータルからその顧客の全てのファイアウォール10に関する事象発生情報を参照することが可能となる。
【0024】
図5、6は、事象発生情報を表示する画面の例を示した図である。
このうち、図5は、事象発生情報のサマリを表示する画面の例である。左側のメニューから「FWセキュリティ監視」を選択すると、データベース40の事象定義情報及び事象発生情報から適宜情報が抽出され表示される。具体的には、イベントNo、日付、イベント概要が事象発生情報から抽出される。また、重要度は、事象定義情報においてイベント概要に対して定義されているので、この情報が抽出される。
一方、図5の画面には、ステータス欄も設けられている。これは、各事象に対し、顧客側での対応状況を入力するための欄である。また、詳細欄には「詳細」ボタンが設けられ、特定の事象に対応する「詳細」ボタンをクリックすると、その事象に関する詳細情報が表示される。
【0025】
図6は、そのような詳細情報を表示する画面の例である。図では、対処法として、具体的な内容は省略しているが、実際には、該当イベントに対する対処法が文章で詳細に記述されるものとする。また、ここでの情報も、事象定義情報及び事象発生情報から適宜抽出され表示される。具体的には、イベントNo、日付、イベント概要は、事象発生情報から抽出され、重要度、対処法は、事象定義情報から抽出される。尚、ログ件数は、図4には示していないが、このような情報も事象発生情報として管理していれば、事象発生情報から抽出し表示することができる。また、ここでも各事象に対する顧客側での対応状況を入力するためのステータス欄が設けられている。
【0026】
以上により、本実施の形態の説明を終了する。
尚、本実施の形態では、事象の発生の報告からアドバイスまでをリアルタイムに行う手法として、事象の発生の報告は電子メールを用いて行い、アドバイスはWebポータルによって提供するようにした。これは、事象に関する詳細な情報を電子メールで伝えると、機密情報の漏洩等の不具合が生じる虞があるためである。しかしながら、本発明では、事象の発生の報告からアドバイスまでをリアルタイムに行うためにいかなる手法を用いるかを限定するものではない。即ち、機密情報の漏洩等の不具合が発生しない環境であれば、事象の発生の報告から事象に関する詳細な情報までを電子メールに含めて送信する構成としてもよい。
【0027】
以上述べたように、本実施の形態では、事象の発生の報告からアドバイスまでをリアルタイムに行うようにした。即ち、不審なログが上がって来た時点で適切な対処法を提供するようにした。これにより、セキュリティ上の問題を早期に発見し、早期に対策を講ずることができるようになり、その後のリスク回避も迅速に行えるようになる。
また、本実施の形態では、攻撃の検知ではなく、実際の被害の発生を検知するようにした。これにより、攻撃を許した場合の被害の拡大の防止にも繋がることとなる。
【図面の簡単な説明】
【0028】
【図1】本実施の形態が適用されるコンピュータシステムの全体構成を示したブロック図である。
【図2】本実施の形態のデータベースに記憶される顧客情報及び事象定義情報の一例を示した図である。
【図3】本実施の形態における解析サーバの動作を示したフローチャートである。
【図4】本実施の形態のデータベースに記憶される事象発生情報の一例を示した図である。
【図5】本実施の形態において顧客端末に表示される一覧情報の例を示した図である。
【図6】本実施の形態において顧客端末に表示される詳細情報の例を示した図である。
【符号の説明】
【0029】
10…ファイアウォール、20…ログ収集サーバ、30…解析サーバ、40…データベース、50…メールサーバ、60…顧客端末、70…Webサーバ
【技術分野】
【0001】
本発明は、セキュリティ監視対象のコンピュータシステムにセキュリティ上の問題が発生していないかどうかを監視するセキュリティ監視装置等に関する。
【背景技術】
【0002】
近年のインターネットの爆発的な普及に伴い、ネットワーク上に存在する脅威は無視できないものとなっている。例えば、ネットワークを介して他のコンピュータに感染し破壊活動を行うワームや、他のコンピュータへの侵入時に次回の侵入のための経路として仕掛けられるバックドア等である。こういった脅威に対し、これまで各企業や組織は、ファイアウォールを構築することにより自衛してきた。ファイアウォールとは、企業や組織のシステムと外部ネットワークとの間で通信されるパケットを、一定のルールに基づいて通過させたり破棄したりするものである。ファイアウォールを構築すれば、企業や組織のシステムを外部ネットワークから保護することが一応可能となる。
ところが、ファイルウォールを構築しただけでその後の運用が適切になされていない場合も少なくない。セキュリティ対策に関する高度な専門知識を持つ人員の不足や、セキュリティ対策について十分な時間を割けない各企業等の事情が、その一因と考えられる。
【0003】
こういった状況に鑑み、高度な専門知識を持たないユーザのためにセキュリティ対策をサービスとして提供することが提案されている(例えば、特許文献1参照)。この特許文献1の発明は、ファイアウォールで不正なパケットを検知した旨の警告情報をユーザ端末に警告メールとして送信し、そのような不正アクセスの傾向やパターンに関する統計情報を例えば毎月レポートメールとして送信する、というものである。
【0004】
【特許文献1】特開2004−348292号公報(第6−7頁、第6図)
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の発明では、警告情報は即時に通知しているものの、詳細情報については例えば毎月のレポートという形で提供している。従って、ユーザは、不正アクセスに関する詳細な情報をリアルタイムに得ることができず、対策が遅れ、被害が拡大してしまう虞があるという問題点があった。
また、特許文献1の発明では、ファイアウォールを通過する不正パケットの検知、即ち、攻撃の検知を行っているに過ぎない。近年のワーム等は益々巧妙化し、このような攻撃の検知が難しく、気付かぬうちに被害が拡大している場合もある。このような場合、特許文献1の発明では対処できないという問題点があった。
【0006】
本発明は、以上のような技術的課題を解決するためになされたものであって、その目的は、セキュリティインシデント(セキュリティ上問題となる事象)を早期に発見し、早期に対策を講ずることができるようにすることにある。
また、本発明の他の目的は、セキュリティインシデントによる被害の拡大を防止することにある。
【課題を解決するための手段】
【0007】
かかる目的のもと、本発明は、セキュリティインシデントの検出の報告からアドバイス(対処法の提供等)までをリアルタイムに行うようにした。即ち、本発明のセキュリティ監視装置は、セキュリティ監視対象システムとネットワークとの間に構築されたファイアウォールを経由する通信のログを収集するログ収集手段と、このログ収集手段により収集されたログを解析してセキュリティ監視対象システムのセキュリティ上問題となる事象を検出する解析手段と、この解析手段による解析で検出された事象に関するアドバイス情報を記憶する記憶手段と、事象の検出を所定の宛先に通知し、かつ、アドバイス情報を即座に閲覧可能な状態にする通知手段とを備えている。
【0008】
また、本発明は、実際に被害を発生させているセキュリティインシデントを検知する点に着目して把握することもできる。その場合、本発明のセキュリティ監視装置は、セキュリティ監視対象システムとネットワークとの間に構築されたファイアウォールを経由する通信のログを収集するログ収集手段と、このログ収集手段により収集されたログを解析してセキュリティ監視対象システムで実際に被害を発生させている事象を検出する解析手段と、この解析手段による解析で事象が検出されたことを所定の宛先に通知する通知手段とを備えている。
【0009】
更に、本発明は、セキュリティインシデントの検出の報告からアドバイス(対処法の提供等)までをリアルタイムに行う方法として捉えることもできる。その場合、本発明のセキュリティ監視方法は、ファイアウォールを介してネットワークに接続されたセキュリティ監視対象システムに対するセキュリティ監視方法であり、セキュリティ監視対象システムのセキュリティ上問題となる事象とその事象に関するアドバイス情報とを対応付けて記憶するステップと、ファイアウォールを経由する通信のログを収集するステップと、収集したログを解析して事象を検出するステップと、検出された事象に基づいてその事象に関するアドバイス情報を取得するステップと、事象を検出した旨の情報とアドバイス情報を閲覧するための情報とを所定の宛先に通知するステップとを含んでいる。
【0010】
一方、本発明は、所定の機能をコンピュータに実現させるためのコンピュータプログラムとして捉えることもできる。その場合、本発明のプログラムは、ファイアウォールを介してネットワークに接続されたセキュリティ監視対象システムのセキュリティを監視するコンピュータに、ファイアウォールを経由する通信のログを収集する機能と、収集されたログを解析してセキュリティ監視対象システムで実際に被害を発生させている事象を検出する機能とを実現させるためのものである。
【発明の効果】
【0011】
本発明によれば、セキュリティインシデントを早期に発見し、早期に対策を講ずることができるようになる。
【発明を実施するための最良の形態】
【0012】
以下、添付図面を参照して、本発明を実施するための最良の形態(以下、「実施の形態」という)について詳細に説明する。
図1は、本実施の形態が適用されるコンピュータシステムの構成を示した図である。このコンピュータシステムは、ファイアウォール10と、ログ収集サーバ20と、解析サーバ30と、データベース40と、メールサーバ50と、顧客端末60と、Webサーバ70とを含んでいる。このうち、ファイアウォール10とログ収集サーバ20、メールサーバ50と顧客端末60、顧客端末60とWebサーバ70との間は、インターネット等のネットワークにより接続されている。
【0013】
ファイアウォール10は、顧客側のセキュリティ監視対象のシステム(以下、「セキュリティ監視対象システム」という)と外部ネットワークとの間に構築され、セキュリティ監視対象システムと外部ネットワークとの間でなされる通信を監視し、その記録をログとして出力する機能を有する装置である。具体的には、ソフトウェアを既存のコンピュータに組み込むことにより実現する場合と、専用のハードウェアを用いて実現する場合とがある。尚、ファイアウォール10から出力されるログには、そのログを出力したファイアウォール10を一意に識別するデバイス名、送信元IPアドレス、送信先IPアドレス、送信元ポート・プロトコル、送信先ポート・プロトコル、時刻の情報等が含まれる。
【0014】
ログ収集サーバ20は、ファイアウォール10から出力されるログを収集するサーバであり、解析サーバ30は、ログ収集サーバ20からログを受け取って所定の規則に従い解析を行うサーバである。これらのサーバの具体的なハードウェア構成は、通常のサーバコンピュータと同様であり、中央処理装置(CPU)、主記憶装置、外部記憶装置(例えば、磁気ディスク装置)、通信制御装置等を有している。そして、これらのサーバの機能は、サーバのCPUが、例えば外部記憶装置に記憶されたプログラムをメインメモリにロードして実行することにより実現される。
データベース40は、解析サーバ30、メールサーバ50、Webサーバ70が参照する情報を記憶する記憶装置(記憶手段)であり、例えば磁気ディスクによって実現される。尚、データベース40に記憶される情報の具体的な内容については後述する。
【0015】
メールサーバ50は、データベース40の内容に従い、電子メールを所定の宛先(メールアドレス)に送信するサーバであり、このサーバの具体的なハードウェア構成や機能の実現方法は、上述した各サーバコンピュータと同様である。顧客端末60は、顧客側に設置され、電子メールを受信したりWebページにアクセスしたりする機能を有する端末装置であり、例えば、PC(Personal Computer)によって実現される。Webサーバ70は、要求されたWebページを取得して要求元に送信する機能を有するサーバであり、このサーバの具体的なハードウェア構成や機能の実現方法も上述した各サーバコンピュータと同様である。尚、メールサーバ50及びWebサーバ70は、事象の発生及び事象に関する詳細情報を即座に通知するという観点からまとめて通知手段として把握することもできる。
【0016】
ここで、データベース40に記憶される情報の具体的な内容について詳細に説明する。
まず、データベース40には、予め図2に示すような情報が記憶されている。
このうち、図2(a)は、セキュリティ監視対象システムを保有する各顧客の情報(顧客情報)を示したものである。具体的には、顧客を一意に識別する顧客ID、顧客名、顧客のシステムに構築されたファイアウォール10を一意に識別する名称であるデバイス名、ファイアウォール10のログから異常が検出された場合に電子メールを送信する宛先であるメールアドレス、顧客がWebサーバ70を介して情報にアクセスする際に必要となるパスワードが対応付けられている。尚、これらの情報の他に、一般に顧客情報として管理される、例えば、連絡先電話番号等の情報を記憶するようにしてもよいが、ここでは発明に直接関係ないので省略している。
【0017】
また、図2(b)は、ファイアウォール10から出力されるログを解析することにより把握され得る事象に関する定義情報(事象定義情報)を示したものである。具体的には、事象の内容を端的に表現したイベント概要、実害が発生しているかどうかの観点から付与された事象ごとの重要度、ログを解析して事象を検出する際に用いる条件、事象に対する対処法が対応付けられている。
ここで、重要度としては、「High」、「Medium」、「Low」の3種類が設けられている。「High」とは、ワームの感染、バックドア、トロイの木馬のように実害が発生していることが考えられる事象に付与される重要度であり、「Medium」とは、ファイル共有ソフトウェアの利用等、顧客のセキュリティポリシーによっては実害となる事象に付与される重要度であり、「Low」とは、外部からの調査活動のようにその時点では実害とはならない事象に付与される重要度である。尚、ここでは、重要度を事象に対して一意に決まるものとして定義したが、例えば、顧客のセキュリティポリシーに応じて重要度が異なってくる事象については、重要度を顧客ごとに設定するようにしてもよい。
【0018】
また、条件としては、ログに含まれる送信元IPアドレス、送信先IPアドレス、送信元ポート・プロトコル、送信先ポート・プロトコル等の送信元及び送信先に関する情報や、時刻に関する情報等の複数の情報項目を組み合わせてなる条件が設定される。従来のIDS(Intrusion Detection System)では、ネットワーク上を流れるパケットに対し、パターン照合を行うことにより不正パケットを検出するだけであったが、本発明では、このような情報項目を組み合わせた条件を独自のノウハウとして組み込み、かかる条件を用いて被害を発生している事象を検出する点に1つの特徴がある。
尚、図2(b)では、条件及び対処法について、紙面の都合上、具体的な内容を省略しているが、省略した部分についても、相応の条件及び対処法が定義されているものとする。
また、データベース40には、解析サーバ30による解析の結果、事象の発生に関する情報も記録されることとなるが、これについては後述する。
【0019】
次に、図1に示したコンピュータシステムの動作について説明する。
まず、ファイアウォール10が、セキュリティ監視対象システムと外部ネットワークとの間における通信のログを出力する。そして、ログ収集サーバ20が、このファイアウォール10から出力されたログを収集し、解析サーバ30に受け渡す。これにより、解析サーバ30によるログの解析処理が開始する。
【0020】
図3は、解析サーバ30の動作を示したフローチャートである。
まず、解析サーバ30は、ログ収集サーバ20からログを受け付ける(ステップ101)。尚、解析サーバ30は、実際には、複数のファイアウォール10から収集したログを受け付けることになるが、以下では、説明を簡単にするために特定の1つのファイアウォール10から収集したログのみを受け付けるものとして説明する。また、ログには有効期限が存在し、24時間以内に発生したものを対象として解析を行うものとする。
次に、解析サーバ30は、図2(b)の事象定義情報における1つの事象に着目し、その事象に対する条件とログとを照合し(ステップ102)、ログがその条件を満たしているかどうかを判定する(ステップ103)。
その結果、ログがその条件を満たしている場合は、現在着目している事象の発生に関する情報(事象発生情報)をデータベース40に記録する(ステップ105)。
【0021】
図4は、このとき記録される事象発生情報の一例である。具体的には、事象の発生ごとに付された連番であるイベントNo、事象が発生した日時、事象の内容を端的に表現したイベント概要が対応付けられて記録される。また、図示してはいないが、事象の検知の元となったログの件数を事象に対応付けて記録するようにしてもよい。
尚、図4の事象発生情報は、ファイアウォール10ごとに記録されるものとする。即ち、各デバイス名に対し事象発生情報を格納するための記憶領域が割り当てられ、現在着目しているデバイス名に割り当てられた記憶領域に、そのデバイスに関する事象発生情報が記録されることになる。
【0022】
一方、ログがその条件を満たしていない場合は、他の事象が事象定義情報に存在するかどうかを判定し(ステップ104)、他の事象が存在すれば、ステップ102、103の処理を繰り返す。その後、ログが条件を満たす事象が現れるまで同じ処理を繰り返し、ステップ104で事象が存在しなくなった場合、処理を終了する。
以上により、解析サーバ30の動作は終了する。
【0023】
また、メールサーバ50は、データベース40に記録される事象発生情報を監視し、新たに発生した事象の情報を検出する。ここで、事象発生情報は、上述したように、ファイアウォール10ごとに記録されるので、新たな事象の検出の元となったログを出力したファイアウォール10を特定することができる。そして、メールサーバ50は、ファイアウォール10のデバイス名をキーに図2(a)の顧客情報を検索し、顧客ID及びメールアドレスを取得する。
これにより、メールサーバ50は、その顧客専用のWebポータルにアクセスするための情報、例えばURL(Uniform Resource Locator)が記述された電子メールをそのメールアドレスに対して送信する。即ち、電子メールには、例えば、「セキュリティインシデントが発見されました。詳細は、以下のURLを参照して下さい。」といったメッセージと、事象発生情報を表示するWebポータルのURLとが記述されている。
そこで、顧客の操作者は、顧客端末60に電子メールの内容を表示し、URLをクリックする。これにより、顧客端末60は、Webサーバ70に接続され、Webサーバ70は、顧客端末60に対し、パスワードの入力を要求する。
この要求に応じ、顧客の操作者がパスワードを入力すると、Webサーバ70は、データベース40の顧客情報からパスワードを取り出し、入力されたパスワードと記憶されていたパスワードとが整合しているかどうかを検証する。その結果、パスワードが整合していれば、Webサーバ70は、その顧客専用のWebポータルを顧客端末60に送信する。そして、顧客の操作者は、このWebポータルからその顧客の全てのファイアウォール10に関する事象発生情報を参照することが可能となる。
【0024】
図5、6は、事象発生情報を表示する画面の例を示した図である。
このうち、図5は、事象発生情報のサマリを表示する画面の例である。左側のメニューから「FWセキュリティ監視」を選択すると、データベース40の事象定義情報及び事象発生情報から適宜情報が抽出され表示される。具体的には、イベントNo、日付、イベント概要が事象発生情報から抽出される。また、重要度は、事象定義情報においてイベント概要に対して定義されているので、この情報が抽出される。
一方、図5の画面には、ステータス欄も設けられている。これは、各事象に対し、顧客側での対応状況を入力するための欄である。また、詳細欄には「詳細」ボタンが設けられ、特定の事象に対応する「詳細」ボタンをクリックすると、その事象に関する詳細情報が表示される。
【0025】
図6は、そのような詳細情報を表示する画面の例である。図では、対処法として、具体的な内容は省略しているが、実際には、該当イベントに対する対処法が文章で詳細に記述されるものとする。また、ここでの情報も、事象定義情報及び事象発生情報から適宜抽出され表示される。具体的には、イベントNo、日付、イベント概要は、事象発生情報から抽出され、重要度、対処法は、事象定義情報から抽出される。尚、ログ件数は、図4には示していないが、このような情報も事象発生情報として管理していれば、事象発生情報から抽出し表示することができる。また、ここでも各事象に対する顧客側での対応状況を入力するためのステータス欄が設けられている。
【0026】
以上により、本実施の形態の説明を終了する。
尚、本実施の形態では、事象の発生の報告からアドバイスまでをリアルタイムに行う手法として、事象の発生の報告は電子メールを用いて行い、アドバイスはWebポータルによって提供するようにした。これは、事象に関する詳細な情報を電子メールで伝えると、機密情報の漏洩等の不具合が生じる虞があるためである。しかしながら、本発明では、事象の発生の報告からアドバイスまでをリアルタイムに行うためにいかなる手法を用いるかを限定するものではない。即ち、機密情報の漏洩等の不具合が発生しない環境であれば、事象の発生の報告から事象に関する詳細な情報までを電子メールに含めて送信する構成としてもよい。
【0027】
以上述べたように、本実施の形態では、事象の発生の報告からアドバイスまでをリアルタイムに行うようにした。即ち、不審なログが上がって来た時点で適切な対処法を提供するようにした。これにより、セキュリティ上の問題を早期に発見し、早期に対策を講ずることができるようになり、その後のリスク回避も迅速に行えるようになる。
また、本実施の形態では、攻撃の検知ではなく、実際の被害の発生を検知するようにした。これにより、攻撃を許した場合の被害の拡大の防止にも繋がることとなる。
【図面の簡単な説明】
【0028】
【図1】本実施の形態が適用されるコンピュータシステムの全体構成を示したブロック図である。
【図2】本実施の形態のデータベースに記憶される顧客情報及び事象定義情報の一例を示した図である。
【図3】本実施の形態における解析サーバの動作を示したフローチャートである。
【図4】本実施の形態のデータベースに記憶される事象発生情報の一例を示した図である。
【図5】本実施の形態において顧客端末に表示される一覧情報の例を示した図である。
【図6】本実施の形態において顧客端末に表示される詳細情報の例を示した図である。
【符号の説明】
【0029】
10…ファイアウォール、20…ログ収集サーバ、30…解析サーバ、40…データベース、50…メールサーバ、60…顧客端末、70…Webサーバ
【特許請求の範囲】
【請求項1】
セキュリティ監視対象システムとネットワークとの間に構築されたファイアウォールを経由する通信のログを収集するログ収集手段と、
前記ログ収集手段により収集された前記ログを解析して前記セキュリティ監視対象システムのセキュリティ上問題となる事象を検出する解析手段と、
前記解析手段による解析で検出された前記事象に関するアドバイス情報を記憶する記憶手段と、
前記事象の検出を所定の宛先に通知し、かつ、前記アドバイス情報を即座に閲覧可能な状態にする通知手段と
を備えたことを特徴とするセキュリティ監視装置。
【請求項2】
前記解析手段は、前記セキュリティ監視対象システムで実際に被害を発生させている事象を検出することを特徴とする請求項1記載のセキュリティ監視装置。
【請求項3】
前記通知手段は、前記事象の検出を、前記アドバイス情報を閲覧するための情報が記述された電子メールにより通知することを特徴とする請求項1記載のセキュリティ監視装置。
【請求項4】
セキュリティ監視対象システムとネットワークとの間に構築されたファイアウォールを経由する通信のログを収集するログ収集手段と、
前記ログ収集手段により収集された前記ログを解析して前記セキュリティ監視対象システムで実際に被害を発生させている事象を検出する解析手段と、
前記解析手段による解析で前記事象が検出されたことを所定の宛先に通知する通知手段と
を備えたことを特徴とするセキュリティ監視装置。
【請求項5】
前記解析手段は、前記ログを、当該ログに含まれる複数の項目についての条件と照合することにより、前記事象を検出することを特徴とする請求項4記載のセキュリティ監視装置。
【請求項6】
ファイアウォールを介してネットワークに接続されたセキュリティ監視対象システムに対するセキュリティ監視方法であって、
前記セキュリティ監視対象システムのセキュリティ上問題となる事象と当該事象に関するアドバイス情報とを対応付けて記憶するステップと、
前記ファイアウォールを経由する通信のログを収集するステップと、
収集した前記ログを解析して前記事象を検出するステップと、
検出された前記事象に基づいて当該事象に関するアドバイス情報を取得するステップと、
前記事象を検出した旨の情報と前記アドバイス情報を閲覧するための情報とを所定の宛先に通知するステップと
を含むことを特徴とするセキュリティ監視方法。
【請求項7】
前記通知するステップでは、前記ファイアウォールに対して予め決められた宛先に情報を通知することを特徴とする請求項6記載のセキュリティ監視方法。
【請求項8】
ファイアウォールを介してネットワークに接続されたセキュリティ監視対象システムのセキュリティを監視するコンピュータに、
前記ファイアウォールを経由する通信のログを収集する機能と、
収集された前記ログを解析して前記セキュリティ監視対象システムで実際に被害を発生させている事象を検出する機能と
を実現させるためのプログラム。
【請求項9】
前記検出する機能では、前記ログを、当該ログに含まれる複数の項目についての条件と照合することにより、前記事象を検出することを特徴とする請求項8記載のプログラム。
【請求項1】
セキュリティ監視対象システムとネットワークとの間に構築されたファイアウォールを経由する通信のログを収集するログ収集手段と、
前記ログ収集手段により収集された前記ログを解析して前記セキュリティ監視対象システムのセキュリティ上問題となる事象を検出する解析手段と、
前記解析手段による解析で検出された前記事象に関するアドバイス情報を記憶する記憶手段と、
前記事象の検出を所定の宛先に通知し、かつ、前記アドバイス情報を即座に閲覧可能な状態にする通知手段と
を備えたことを特徴とするセキュリティ監視装置。
【請求項2】
前記解析手段は、前記セキュリティ監視対象システムで実際に被害を発生させている事象を検出することを特徴とする請求項1記載のセキュリティ監視装置。
【請求項3】
前記通知手段は、前記事象の検出を、前記アドバイス情報を閲覧するための情報が記述された電子メールにより通知することを特徴とする請求項1記載のセキュリティ監視装置。
【請求項4】
セキュリティ監視対象システムとネットワークとの間に構築されたファイアウォールを経由する通信のログを収集するログ収集手段と、
前記ログ収集手段により収集された前記ログを解析して前記セキュリティ監視対象システムで実際に被害を発生させている事象を検出する解析手段と、
前記解析手段による解析で前記事象が検出されたことを所定の宛先に通知する通知手段と
を備えたことを特徴とするセキュリティ監視装置。
【請求項5】
前記解析手段は、前記ログを、当該ログに含まれる複数の項目についての条件と照合することにより、前記事象を検出することを特徴とする請求項4記載のセキュリティ監視装置。
【請求項6】
ファイアウォールを介してネットワークに接続されたセキュリティ監視対象システムに対するセキュリティ監視方法であって、
前記セキュリティ監視対象システムのセキュリティ上問題となる事象と当該事象に関するアドバイス情報とを対応付けて記憶するステップと、
前記ファイアウォールを経由する通信のログを収集するステップと、
収集した前記ログを解析して前記事象を検出するステップと、
検出された前記事象に基づいて当該事象に関するアドバイス情報を取得するステップと、
前記事象を検出した旨の情報と前記アドバイス情報を閲覧するための情報とを所定の宛先に通知するステップと
を含むことを特徴とするセキュリティ監視方法。
【請求項7】
前記通知するステップでは、前記ファイアウォールに対して予め決められた宛先に情報を通知することを特徴とする請求項6記載のセキュリティ監視方法。
【請求項8】
ファイアウォールを介してネットワークに接続されたセキュリティ監視対象システムのセキュリティを監視するコンピュータに、
前記ファイアウォールを経由する通信のログを収集する機能と、
収集された前記ログを解析して前記セキュリティ監視対象システムで実際に被害を発生させている事象を検出する機能と
を実現させるためのプログラム。
【請求項9】
前記検出する機能では、前記ログを、当該ログに含まれる複数の項目についての条件と照合することにより、前記事象を検出することを特徴とする請求項8記載のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2006−295232(P2006−295232A)
【公開日】平成18年10月26日(2006.10.26)
【国際特許分類】
【出願番号】特願2005−108865(P2005−108865)
【出願日】平成17年4月5日(2005.4.5)
【出願人】(500072884)株式会社ラック (25)
【Fターム(参考)】
【公開日】平成18年10月26日(2006.10.26)
【国際特許分類】
【出願日】平成17年4月5日(2005.4.5)
【出願人】(500072884)株式会社ラック (25)
【Fターム(参考)】
[ Back to top ]