セキュリティ管理システム
【課題】 ネットワークマシンからマシン情報を取得し、このマシン情報を参照しつつ種々のセキュリティ対策を講じることができ、もって柔軟性に優れ、幅広く適用することが可能なセキュリティシステムを得る。
【解決手段】 ネットワークにおけるセキュリティに関するセキュリティ情報を提供するセキュリティ情報提供装置と、ネットワークに接続されるネットワークマシンについての所定の情報を記憶したマシン関連情報データベースと、セキュリティ情報提供部から得られるセキュリティ情報と、マシン関連情報データベースから得られるマシン関連情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、被害の有無の判断、または予防の必要性の有無の判断を行う予防システムと、予防システムの判断に基づいて、所定の被害がある場合には修復処理を行い、または予防措置をとる回復システムとを備える。
【解決手段】 ネットワークにおけるセキュリティに関するセキュリティ情報を提供するセキュリティ情報提供装置と、ネットワークに接続されるネットワークマシンについての所定の情報を記憶したマシン関連情報データベースと、セキュリティ情報提供部から得られるセキュリティ情報と、マシン関連情報データベースから得られるマシン関連情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、被害の有無の判断、または予防の必要性の有無の判断を行う予防システムと、予防システムの判断に基づいて、所定の被害がある場合には修復処理を行い、または予防措置をとる回復システムとを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正アクセスなど、ネットワークシステムに異常をもたらすおそれを排除することができるセキュリティ管理システムに関するものである。
【背景技術】
【0002】
従来より、セキュリティ管理サービスのための技術として、例えば以下のようなものが知られている。
第1の従来技術は、パッチが適用されるクライアントマシンとクライアントマシンに対するパッチデータやソフトウェアデータを保持するサーバコンピュータから構成されており,サーバコンピュータがクライアントコンピュータに対してパッチを適用するというものである(例えば特許文献1,2参照)。
【0003】
この動作は以下のように行われる。まず、(1)クライアントコンピュータのソフトウェア情報をサーバコンピュータに登録する。(2)次に、依存するソフトウェア情報をサーバコンピュータに登録する。そして、(3)クライアントコンピュータに対するソフトウェア更新可否を判定するとともに、(4)パッチをサーバコンピュータから配信する。
【0004】
第2の従来技術は、監視サーバは、監視対象クライアントのウィルスチェックをリモートから実行しその実行結果を受け取り、ウィルスを検出したときは監視対象クライアントへウィルス検出を通知するというものである(例えば、特許文献3参照)。
【0005】
この動作は以下のように行われる。まず、(1)監視サーバが監視対象クライアントのウィルスチェックの実行/未実行を参照する。(2)監視サーバが未実行の監視対象クライアントに対してウィルスチェックの実行要求を行う。(3)監視サーバが実行結果を受け取る。(4)監視サーバが監視対象クライアントへウィルス検出を通知する。
【特許文献1】特開2002−55839号公報
【特許文献2】特開2000−250743号公報
【特許文献3】特開平11−327897号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、第1の従来技術では、Webで公開されている様々なセキュリティ情報をマシン情報に応じて選別取得する機能がなく、セキュリティ対策の柔軟性に乏しく、幅広い適用が困難である。同様に第2の従来技術でも、ウィルスチェックのみに限定され、マシン情報に応じた様々なセキュリティ対策を講じることは不可能である。
【0007】
なお、本出願人は、パッチが公開されていないセキュリティホールに対してフィルタリングルール作成し、パッチが公開されるまでフィルタによって防御し、パッチが公開されると前記ルールが削除されるようにした技術を提案しているが、かかる技術においても、ネットワークマシンのマシン情報を取得して、マシンに合わせたルールを作成する機能がなく、やはり幅広い適用性に劣る。
【0008】
本発明は、上述した課題に鑑みてなされたものであり、ネットワークを構成するネットワークマシンからマシン情報を取得し、このマシン情報を参照しつつ種々のセキュリティ対策を講じることができ、もって柔軟性に優れ、幅広く適用することが可能なセキュリティ管理システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決するため、このネットワーク管理システムは、ネットワークにおけるセキュリティに関するセキュリティ情報を提供するセキュリティ情報提供装置と、前記ネットワークに接続されたネットワークマシンについての所定の情報を記憶したマシン関連情報データベースと、前記セキュリティ情報提供部から得られるセキュリティ情報と、前記マシン関連情報データベースから得られるマシン関連情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、被害の有無の判断、または予防の必要性の有無の判断を行う予防システムと、前記予防システムの判断に基づいて、所定の被害がある場合には修復処理を行い、または予防措置をとる回復システムとを備えてなる。
【発明の効果】
【0010】
本発明によれば、ネットワークを構成するネットワークマシンからマシン情報を取得し、このマシン情報を参照しつつ種々のセキュリティ対策を講じることができ、もって柔軟性に優れ、幅広く適用することが可能なセキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラムを提供することができるという効果を奏する。
【発明を実施するための最良の形態】
【0011】
以下に、実施の形態を図面を用いて説明する。
図1は、実施の形態におけるセキュリティ管理システムの全体構成を原理的に示すブロック図、図2は予防システムの全体構成をより詳細に示すブロック図である。本実施の形態では、ネットワーク1内に接続され、ネットワークを構成するネットワークマシン2と、各種情報を提供する情報提供装置3と、ネットワーク1(図4参照)内のネットワークマシン2に対するセキュリティ対策を講じるための予防システム4と、予防システム4と協働して、セキュリティ対策の一部を実行するため、例えばネットワーク1若しくはネットワークマシン2の離隔を行い、或いはそれを解除し、更には必要に応じて被害を受けたネットワーク1若しくはネットワークマシン2を回復させるための回復システム5とを備えて構成される。
【0012】
なお、図1に示す情報提供装置3、予防システム4、及び回復システム5はネットワークマシン2と同様、インターネットやその他の通信回線を介して相互に接続され得、また、各システムは通常の各種判断、処理を行うことができるコンピュータ(例えばPC)を備えている。ここでは、例えば、ネットワークマシン1はDNS(Domain Name System)サーバやメールサーバを想定しており、情報提供装置3はWebページにおいて無償でセキュリティホール情報やパッチ関連情報等を公開しているものとする。情報提供装置3は従来と変らない方式で情報を公開しており、必要に応じて暗号化通信を行うものとする。また、従来のシステムに予防システム4、回復システム3を導入することにより、セキュリティ管理システムによるサービスを開始できる。予防システム4及び回復システム5の導入方法は、購入若しくはレンタルとする。
【0013】
予防システム4は、図2に示されるように、セキュリティ関連処理の種別とその必要性の有無を判断する診断部(セキュリティ診断部)41と、各種データベース42と、ネットワークマシン2を含むネットワーク1の状態を監視するネットワーク監視装置43と、診断部41の診断結果に基づいて、例えば回復システム5に予防処置の指示を行う予防実行部44とを備えている。
診断部41は、必要に応じてネットワークマシン2、情報提供装置3、各種データベース42、及びネットワーク監視装置43からの情報を取得する情報取得部411と、情報取得部411で得られる情報を検索し、或いは比較する情報検索/比較部412と、情報検索/比較部412での各種情報の比較結果に基づいて、セキュリティ関連処理の種別とその必要性の有無についての判定を行う判定部413とを備えて構成されている。
以下、これらの構成を基本構成として、各種動作を実施の形態に対応させて説明する。なお、実施の形態における予防システムは本発明のセキュリティ管理装置に対応している。
【0014】
実施の形態1.
図3は実施の形態1を示すブロック構成図、図4はセキュリティ管理が実施されるネットワークを示すブロック図、図5は実施の形態1の動作を示すフローチャートである。
実施の形態1は、情報提供装置により公開されたセキュリティホール情報に基づいてセキュリティ対策を行うようにした場合について説明する。
未公表なものも含まれるセキュリティホール情報が情報提供装置3Aにより公開された場合(ステップS0)、予防システム4Aの情報取得部411(図2)はセキュリティホール情報(セキュリティホール番号、対象OS名、対象サービス、脆弱性内容等)3aを情報提供装置3Aからダウンロードし(ステップS1)、当該セキュリティ情報が正当な情報であるかどうかを検証し(ステップS2)、正当な情報だけを取り入れる(ステップS2、YES)。
【0015】
このセキュリティ情報が正当なものであるか否かの検証は、例えば、情報自体の信憑性に基づいて行われ、予め発信元の信頼性によりレベル分けを行っておき、所定のレベル以上の信頼性があるとされた発信元からの情報を用いるようにする。また、実際に、実験器具を用いて信頼性を確認することもできる。例えば、実験的にWebサーバを立ち上げておき、特定の文字列や命令を含み、セキュリティホール情報に該当する状態を作り上げて実証することが行われる。或いは、検証を行う他の方法として、情報自体の正当性(情報が改ざんされていないかどうか)のチェックを行うことによっても行い得る。例えば、付加されている電子署名を検証したり、付加されているハッシュ値を検証することによって行い得る。
【0016】
また、予防システム4A(診断部41A)は、ネットワーク1内のマシン情報(マシン名、IPアドレス、アーキテクチャ名、OS名、インストールされたパッケージ群等)2aを取得し(ステップS3)、当該正当なセキュリティ情報と比較照合することでセキュリティホールがあるマシンの存在を判定し、存在する場合はそのマシンを選択する(ステップS4)。なお、マシン情報の一例を図17に示している。次に、情報提供装置3からの情報に当該キュリティホールの緊急度が高い旨の情報が含まれている場合は、その情報を考慮し、直ちに各種サーバ42のうちから、フィルタリングデータベース42Aを参照して、フィルタリング防御を行うことについて規定されているか否か(フィルタリングデータベースの登録項目にマッチするか否か)を検索して判断し(ステップS5)、防御する必要があると判断された場合、対象となるマシンのマシン情報と脆弱性内容をフィルタリングルール作成装置441に送信する。フィルタリングデータベースはフィルタリングルールの設定についてのセキュリティポリシーを規定したデータベースである。なお、予防システム4Aは、フィルタリングルールの作成に所定時間以上要する場合は、脆弱対象となるソフトウェアを取り敢えず停止させるように指示することもできる。
【0017】
そして、取得した情報を元にフィルタリングルール作成装置441はルール番号と対応セキュリティホール番号を含む新規のフィルタリングルール441aを作成し(ステップS6)、ルール実行部443は、そのルールによってセキュリティホールへのアタックを防御する(ステップS7)。またフィルタリングルール作成装置441は、その作成された新規ルールをルールデータベース442に登録する(ステップS8)。本実施の形態におけるフィルタリングルール作成装置441は、セキュリティホール情報3aに該当するネットワークマシンについて、搭載されるソフトウェア“SUNWftpu”に不正文字列「xxx」の情報が送信される場合を防止するよう、新規ルールを作成し、ルールデータベース442に新規ルールを登録する。
【0018】
そして、ルール実行部443は、ルールデータベース442に登録されたルールに基づいて、そのような情報が当該ネットワークマシンに到達するのを防止する。この場合、回復システム5(図2)は、ルール実行部443からの指示を受け、例えば、図4に示すネットワークにおいて、ルール設定されたネットワークマシンに不正文字列が外部より送信されてきた場合に、防御装置11を動作させてそれを遮断させる。なお、図4に示されるネットワークは、複数のネットワークセグメント1A〜1Dに離隔装置12〜15を介して分割されている。ネットワークの入り口には、防御装置11(ファイアウォール)が設けられ、また、防御装置11を介してインタネットINと接続可能なDMZ(Demilitarized Zone)が構築されている。
【0019】
以上、実施の形態1ではセキュリティ関連処理の種別の一例としてフィルタリングルールの作成について説明したが、通信機器として動作するネットワークマシンに対しては、通信制御のルールを作成して設定するようにしても良い。この通信制御には、例えば到着通信データの流量制御及び発呼制御、ルーティング情報の変更等が挙げられる。
【0020】
なお、実施の形態1においては、フィルタリングルール作成装置441、ルールデータベース442及びルール実行部443が図2に示した予防実行部44を構成している。
【0021】
実施の形態2.
図6は実施の形態2を示すブロック構成図、図7は実施の形態2の動作を示すフローチャートである。
実施の形態2は、情報提供装置により公開されたパッチ関連情報に基づいてセキュリティ対策を行うようにした場合について説明する。
【0022】
予防システム4Bの診断部41Bは、情報提供装置3Bから新たなパッチが公開されると(ステップS10)、当該パッチファイルとそのパッチ関連情報(対象セキュリティホール番号、アーキテクチャ名、対象OS名、対象サービス)3bを情報提供装置3Bからダウンロードし(ステップS11)、ネットワークマシン2からマシン情報(マシン名、IPアドレス、アーキテクチャ名、OS名、インストールされたパッケージ群、適用済みパッチ群等)2bを取得し(ステップS12)、それらを比較照合することでパッチを充てる必要があるマシンの存在を判定し、そのマシンを選択する(ステップS13)。
【0023】
次に、パッチ適用データベース42Bを参照しながらパッチを充てることに規定(若しくはパッチを充てることに禁止項目)があるかどうかを判断し(ステップS14)、充てることが問題ないと判断された場合(ステップS14、YES)、診断部41Bからの指示に基づいてパッチ適用部451が対象マシンにパッチを適用し(ステップS15)、それと同時に、ルール実行部443で実行されるフィルタリングルールがルールデータベース452に登録されている場合は、当該パッチに関連するフィルタリングルール41bを削除する(ステップS16)。
【0024】
パッチ適用後は、パッチ適用に係るマシンの動作がパッチ適用前と変らないことを確認するため、マシンの動作確認を行う。この確認は、診断部41Bにおいて、マシン情報の関連情報として動作情報を取得することで行うようにしても良いし、或いは図1、図2に示した回復システム、若しくは図2に示したネットワーク監視装置で行うようにしても良い。この確認方法の具体例としては、例えば次のようなものが挙げられる。
【0025】
(1)プロセスの確認
これは、例えばソフトウェアが起動しているかどうかを判断することによって行われる。
(2)サービスやソフトウェアを利用しての確認
これは、例えばWebサーバならばページが表示されているか否かを判断することによって行うことができる。また、メールサーバならばメールが送受信されているか否かを判断することによって行うことができる。
(3)固有設定の確認
これは、例えばファイアウォールならパケットを拒否できているか否かを判断することによって行うことができる。また、メールサーバならば不正中継が行われているか否かを判断することによって行うことができる。
(4)その他の確認
例えば、マシンのプロファイル(後述の実施の形態3で説明)を用いて動作確認を行うことで行われる。例えば、プロファイルを保存したデータベースを用意しておくと共に、過去の所定期間(例えば一ヶ月)のコンピュータプロセスやネットワークのログをプロファイルデータベースに保存しておき、パッチ適用後に取得したログと比較して相違点をチェックすることにより判断する。
【0026】
以上の確認において、マシン動作が異常と判断されると、回復システム、或いはパッチ適用部451はパッチを排除する処理を行う。
以上の構成において、パッチ適用部451とルールデータベース、及びルール実行部443からなる予防実行部44Bは、図2における予防実行部44に相当する。
【0027】
実施の形態3.
図8は実施の形態3を示すブロック構成図、図9は被害の有無を判断する動作を示す概念図、図10は実施の形態3の動作を示すフローチャートである。
実施の形態3は、ネットワークマシンの通信ログや挙動に基づいて被害の有無を判断して、そのセキュリティ対策を行うようにした場合について説明する。
【0028】
実施の形態3において診断部41Cは、ネットワーク監視装置43において、通信またはマシンの挙動を監視して(ステップS20)、監視内容から送信元IPアドレスや送信先IPアドレス、不正通信の種類および対象サービス等の情報等の通信ログ43aを取得し(ステップS21)、ネットワークマシン2からは対象ファイルのハッシュ値やウィルススキャン結果等の診断情報をマシン情報2cとして取得する(ステップS22)。そして、それらをアタック(バックドア)/ウィルスデータベース421に登録されているウィルス等の挙動内容、シグネチャ等と比較照合し、或いはマシンプロファイルデータベース422に登録されている通信プロファイルやプロセスプロファイルと比較照合して被害を受けているか否かを判断する(ステップS23)。被害を受けていると判断された場合(ステップS23、YES)は、被害の拡散性があるか否かを判断する(ステップS24)。この被害の拡散性の判断は、被害を受けているマシンや被害規模の推定とともに行われ、例えば被害を受けているマシンの数若しくは範囲の経時変化を監視することにより判断することができる。拡散性があると判断された場合(ステップS24、YES)は、その被害範囲の同定が行われる(ステップS25)。
【0029】
そして、被害に拡散性が有ると判断された場合、診断部41Cは、各ネットワークマシンからネットワーク情報(マシンの配置情報、ネットワーク構成、離隔点のIPアドレス等)をマシン情報として取得し、その離隔点を決定し、その離隔指示のための離隔情報(アタック元のIPアドレス、アタック元のMACアドレス、遮断すべき通信の種類等)41cを離隔/解除/修復指示部(予防実行部)44Cに送出する(ステップS26)。なお、ここで、離隔とはネットワークマシンからの送信を規制する意味であり、更にこの場合、所定の通信(相手先、データ量)のみを許可したり、許可されていない送信先への通信を不正通信として遮断することなどが含まれる。離隔点は、図4の例においては、離隔装置を特定することにより定められる。
【0030】
離隔情報を受けた離隔/解除/修復指示部(予防実行部)44Cは回復システム5に離隔情報に基づく離隔指示を送信する。回復システム5は、離隔点となるルータ(離隔装置12〜15)に離隔動作を行うよう指示を通知する。この回復システム5からの指示によりルータは離隔点における通信の制限を行う。この通信制御は例えばネットワーク監視装置43により監視され、診断部41Cでは、取得される通信ログ等に基づき、離隔できたことが図示しない確認部により確認される。その後、回復システム5は、所定の被害については、被害を受けたマシンの修復を行うことができる。また、そのような被害が発生した場合には、それをユーザに通知する構成とすることもできる。また、診断部41Cは、新たな被害をもたらした現象等についてその不正シグネチャ等をアタック/ウィルスデータベース421に保存する(ステップS27)。このデータベース421に保存された新たな情報は、例えば通信回線を介して他のネットワークにおけるセキュリティを管理する情報提供装置や予防システムに提供されることができ、予防対策を迅速に講じるための情報として使用され得る。
【0031】
回復システム5により行われる修復には、例えば被害を受けてレジスタ等の設定値が変更された場合に、被害を受ける前の正常な状態(例えばデフォルト値)に戻すような処理が含まれる。また、パッチの未適用部分が判断された場合は、その部分に対しては新たにパッチ適用を行う処理も含まれる。更には、被害を受けた或いは被害の原因となるファイルを削除したり、システムを再起動すること、また、バックアップファイルを用いてもとの状態に戻す(再インストールする)ようなことも行い得る。
【0032】
なお、被害に拡散性がないと判断された場合(ステップS24、NO)には、その修復或いはその表示のため、診断部41Cは離隔/解除/修復指示部(予防実行部)44Cにその被害情報を送出し(ステップS28)、離隔/解除/修復指示部44Cは修復指示を回復システム5に送信する。回復システム5は被害の修復を行える場合は、その修復を行う。また、ネットワークマシン2の所有者側に通知を行い、その旨を知らせる。
【0033】
図9は異常の有無を判断することで被害の有無を判断するための動作をより詳細に示すための図である。例えば、既知のウィルスによる場合は、アタック/ウィルスデータベース421に格納されている情報と通信ログ43aとから通信内容の異常を判断できる。図9の場合は、例えば不正シグネチャとして“xxx”が通信内容43a−2におけるマシン名「Srv01」のマシンに表れている。これにより、当該マシンがウィルスによる被害を受けていると判断することができる。また、この通信内容の履歴により、被害を受けているマシンが時間と共に増えている場合は拡散性があるものと判断できる。さらに、既知でないウィルス等による被害については、やはり、通信内容の履歴をマシンプロファイルデータベース422に格納されている正常通信プロファイルと照合することにより、正常通信プロファイルと異なる履歴が観察される場合に、何らかの被害を受けていると判断することもできる。この判断基準は、例えば所定期間においてなされた全ての通信(送信)における各接続先アドレスの配分比率43a−1と、正常なプロファイルにおけるその配分比率422との差異を定量化する規定を作成し、その差異が所定値よりも大きくなったときに異常を判断するようにして定めることができる。
【0034】
図9においては、これらの配分比率が異なっているため、その比較の対象となったマシンに異常が発生していると判断することができる。また、通信内容の履歴より、そのような異常を有するマシンが増えていると判断されるとその被害は拡散性を有すると判断できるため、そのマシンに対する離隔情報が診断部より送出される。この離隔情報には、例えば当該マシン若しくはそのマシンを含むネットワークセグメントからの全ての送信を遮断する完全遮断モードと、不正シグネチャだけを抑えるドロップモードと、通信量を制限する通信量制限モードとが用意されている。
【0035】
このようにして、実施の形態3においては、既知のアタック(バックドア)、ウィルスのネットワーク(マシン)への攻撃のみならず、未知の攻撃からもネットワーク(マシン)への攻撃に対する防御を行うことができる。また、未知の攻撃に対して取得された情報を他のネットワークにおけるセキュリティシステムでも使用可能とすることができる。
【0036】
なお、実施の形態3においては、離隔/解除/修復指示部44Cが図2に示した予防実行部44を構成している。
【0037】
実施の形態4.
図11は実施の形態4を示すブロック構成図、図12は実施の形態4の動作を示すフローチャートである。
実施の形態4は、新たなネットワークマシン2が接続される場合について説明する。
実施の形態4においては、セキュリティ管理対象となるネットワークに新たなネットワークマシン2が接続されると、当該ネットワークマシン2の付与予定IPアドレスや当該ネットワークマシン2のMACアドレスによって、とりあえず、そのネットワークマシン2を含むネットワークが最も小さいセグメントで離隔される。しかる後に当該マシン2にIPアドレスが与えられる。そして、そのマシンに対しての予防が実行され、若しくは安全性が確認され、ネットワークにおけるそのマシン2の安全性が確保された後、当該マシン2の離隔が解除されるようにしたものである。
【0038】
すなわち、予防システム4Dは、新たなネットワークマシン2がネットワークに設置されると、その接続要求を受け付ける接続要求受付部45を備え、接続要求がなされると(ステップS31)、診断部41Dは離隔/解除指示部44Dを介して回復システム5により離隔を実行する(ステップS32)。回復システム5は新たなネットワークマシン2が管轄下となる、図4に示したいずれかの離隔装置を動作させて離隔を行う。離隔が実行されると、診断部41Dは、そのマシンのIPアドレスやマックアドレスを付与する(ステップS33)。IPアドレス等が付与されると、診断部41Dは、情報提供装置3Dからセキュリティ情報3dとして、セキュリティホール情報やパッチ関連情報を取得し(ステップS34)、また、ネットワークマシン2からマシン情報2dを取得し(ステップS35)、安全性を確保する。
【0039】
この動作は、実施の形態1や実施の形態2で示したものと同じである。即ち、マシン情報に情報提供装置から得られるセキュリティホール情報やパッチ関連情報に該当するものがあれば(ステップS36、YES)、フィルタリングデータベース(図1の42A)やパッチ適用データベース(図6の42B)を検索し、適宜フィルタリングルールを作成したり、パッチ適用を行うよう動作し、その予防を行う(ステップS37)。このようにして、新たなネットワークマシンの安全性が確保されると、或いは当該マシンがセキュリティホール情報やパッチ関連情報に該当することが無く、安全性を確保する必要性がないと判断された場合(ステップS36、NO)は、その時点で離隔/解除指示部44Dにより離隔解除指示を出させ(ステップS38)、回復システム5により離隔動作をさせていた離隔装置の離隔動作を解除させる。
【0040】
実施の形態4においては、離隔/解除指示部44Dが図2に示した予防実行部44を構成している。
【0041】
実施の形態5.
図13は実施の形態5を示すブロック構成図、図14は実施の形態5の動作を示すフローチャートである。
実施の形態5は、接続されようとするネットワークマシン2Eに、例えばブロードキャストを利用するなど、IPアドレスがない状態でマシン情報を送信する機能がインストールされている場合について説明する。
【0042】
実施の形態5においては、当該新たなネットワークマシン2Eがセキュリティ管理対象のネットワークに接続された場合に、予防システム4Eは、当該マシン2Eからマシン情報を取得し、情報提供装置3Eからセキュリティ情報(セキュリティホール情報、パッチ関連情報等)をダウンロードし、予防の必要性の有無を判断する。そして、予防の必要性が無いと判断された場合に、初めてIPアドレスを付与し、当該ネットワークマシンの接続を許可する。
【0043】
即ち、予防システム4Eは、接続要求受付部45と接続可否指示部46とを備え、接続要求受付部45がネットワークマシン2Eからの接続要求を受け付ける(ステップS40)と共に、診断部41Eがネットワークマシン2Eからのマシン情報2eを取得すると(ステップS41)、診断部41Eは、情報提供装置3Eからセキュリティ情報3eを取得し(ステップS42)、マシン情報2eと比較する。そして安全性が高く予防の必要性なしと判断された場合(ステップS43、NO)、初めてIPアドレスを付与する(ステップS44)。
【0044】
一方、安全性が高くなく、予防の必要性があると判断された場合(ステップS43,YES)は、IPアドレスは付与されない(ステップS45)。なお、この場合は、実施の形態4の動作に移ることにより、予防処理が行われてIPアドレスが付与される。
【0045】
なお、この場合のネットワークマシン2Eの構成は、ネットワークに接続されたことを判断する接続判断部21と、接続判断部21により接続が判断された場合に、自己の情報をマシン情報として収集して取得するマシン情報取得部22と、マシン情報取得部22により取得された情報を接続要求と共に予防システム4E(診断部41E)に送信するマシン情報送信部23とを備えて構成される。
このように、実施の形態5では、ネットワークマシンにIPアドレスがない状態でマシン情報を送信する機能がインストールされている場合には、その安全性を確保した後でIPアドレス等を付与して接続を許可することでネットワークの安全性が確保される。
【0046】
実施の形態5においては、接続可否指示部46が図2に示した予防実行部44を構成している。
【0047】
実施の形態6.
図15は実施の形態6を示すブロック構成図、図16は実施の形態6の動作を示すフローチャートである。
実施の形態6は、ネットワークマシン2の構成が変更された場合に、その変更が行われたこと機器構成変更通知として送信する機能が当該ネットワークマシンにインストールされている場合について説明する。
【0048】
このようなネットワークマシン2Fにおいてその構成変更が行われると、ネットワークマシン2Fは、機器構成変更通知を診断部41Fに送信する(ステップS50)。診断部41Fでは、その機器構成変更通知を受けるとネットワークマシン2Fから機器を構成する情報として機器構成情報2fを受け取ると共に、ネットワーク内のマシンにおいて使用許可されている機器構成(部品を含む)について、予め登録されている機器構成データベース42Fからその構成情報を読出し(ステップS51)、比較照合して使用許可されている機器構成であるか否かを検証する(ステップS52)。
【0049】
許可されている構成であれば、そのまま離隔することなく、処理を終了する。一方、許可されていない構成が含まれている場合は、離隔を行う(ステップS53)。この離隔処理は例えば、離隔/解除指示部44Fを介して回復システム5Fに離隔処理を行うように通知することで行われる。なお、本実施の形態では、許可された機器構成でないことが判断された時点で離隔を行うようにしたが、機器構成変更通知があった時点(ステップS50)において直ちに離隔を行い、許可された構成であることが判断された(ステップS52)後に、離隔を解除する構成としても良い。
【0050】
実施の形態6によれば、ネットワークマシンの構成変更により生じる被害を予防することができる。なお、機器構成情報2fには、例えば、マシン名、DVD/CD−ROM、ネットワークアダプタ、フレキシブルディスク、PS/2マウス、USBフラッシュメモリ等が含まれている。また、ここでの構成変更には、構成部品の追加のみならず、取り外す場合も含まれる。
【0051】
実施の形態6においては、離隔/解除指示部44Fが図2に示した予防実行部44を構成している。
【0052】
実施の形態7.
図18は本発明の実施の形態7として、各システムの第1の配属構成を示している。
図18に示す例では、情報サービス提供者(情報提供装置3を有する者)70が予防システム4と回復システム5を有し、管理サービス提供者71と一体になっている。情報サービス提供者70は顧客ネットワーク72からシステム情報(顧客のネットワークの情報)10を取得し、独自のセキュリティ情報を用いて顧客ネットワーク72毎にパッチおよびフィルタリングルール30を提供する。
【0053】
実施の形態8.
図19は本発明の実施の形態8として、各システムの第2の配属構成を示している。
図19に示す例では、情報サービス提供者70が予防システム4を有し、管理サービス提供者71が回復システム5を有する。管理サービス提供者71は顧客ネットワーク72からシステム情報(顧客ネットワークの情報)10Aを取得し、フィルタリングルール及びパッチ30が必要なシステム情報10Bだけを情報サービス提供者70に送信する。情報サービス提供者70は、独自のセキュリティ情報を用いて顧客ネットワーク72毎にパッチおよびフィルタリングルール30を作成し、管理サービス提供者71に送信し,当該管理サービス提供者71が顧客ネットワーク72に当該パッチおよびフィルタリングルールを提供する。
【0054】
実施の形態9.
図20は本発明の実施の形態9として、各システムの第3の配属構成を示している。
図20に示す例では、情報サービス提供者70はセキュリティ情報30Aを送信するだけで、管理サービス提供者71が予防システム4および回復システム5を有する。管理サービス提供者71は情報サービス提供者70からセキュリティ情報30Aをダウンロードし、顧客ネットワーク72からシステム情報(顧客ネットワークの情報)10Aを取得し、顧客ネットワーク72毎にパッチおよびフィルタリングルール30を作成し、顧客ネットワーク72に当該パッチおよびフィルタリングルール30を提供する。
【0055】
実施の形態10.
図21は本発明の実施の形態10として、各システムの第4の配属構成を示している。
図21に示す例では、1つの管理サービス提供者71が4つの情報サービス提供者70からセキュリティ情報I2を取得し、被害を受けた顧客ネットワークAの回復を行う。更に、当該管理サービス提供者71が当該顧客ネットワークAから被害に関する情報I1を取得し、当該情報I1を元にその他3つの顧客ネットワーク1(B〜D)の予防に役立てる(被害情報、対策情報をフィードバックすることができる)。また、当該被害に関する情報を4つの情報サービス提供者70(A〜D)に送信する。
【0056】
以上に詳述したように、本発明の実施の形態によれば、予防システム、回復システムおよび情報提供装置が連携することにより、万が一被害を受けても被害範囲の同定を容易に行うことができる。また、回復システム(診断部)により被害離隔および修復が行われ、被害を最小限に抑えると共に、所定の被害については自動的に且つ迅速に修復することが可能となる。またそこで得た被害に関する情報を蓄積し再利用することができるので、同じ被害が異なる場所で生じないようにすることもできる。さらに、単にパッチ適用を行うだけでなく、その後パッチを適用した対象マシンに対して動作確認を自動で行い、パッチ適用を行ったマシンの動作がパッチ適用前と変っていないことをも検証でき、セキュリティ対策として極めて役立ち得るものである。更に、顧客ネットワークに対し、数多くの情報サービス提供者が提供する情報を整理して提供することができ、顧客側にとっては、情報処理の煩雑さが軽減される。
【0057】
(付記1)ネットワークにおけるセキュリティに関する情報を提供するセキュリティ情報提供部から取得されるセキュリティ情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断部と、
前記セキュリティ診断部による診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うセキュリティ実行部とを備えてなるセキュリティ管理装置。
(付記2)付記1に記載のセキュリティ管理装置において、
前記セキュリティ診断部は、さらに、前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部から得られるマシン関連情報に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断することを特徴とするセキュリティ管理装置。
(付記3)付記2に記載のセキュリティ管理装置において、
前記マシン関連情報記憶部に記憶されたマシン関連情報は、セキュリティポリシーについて規定した情報であることを特徴とするセキュリティ管理装置。
(付記4)付記3に記載のセキュリティ管理装置において、
前記セキュリティポリシーは、所定のマシン情報についてのフィルタリング防御又は通信制御について規定し、前記セキュリティ実行部はフィルタリング処理又は通信制御を実行することを特徴とするセキュリティ管理装置。
(付記5)付記3に記載のセキュリティ管理装置において、
前記セキュリティポリシーは、所定のプログラムについてのパッチ適用又はワクチン投与について規定し、前記セキュリティ実行部は前記所定のプログラムにパッチ適用処理又はワクチン投与処理を実行することを特徴とするセキュリティ管理装置。
(付記6)付記5に記載のセキュリティ管理装置において、
前記セキュリティ実行部によるセキュリティ対策処理が実行された場合に、その実行結果における前記ネットワークマシン若しくはネットワークにおける動作確認が行われることを特徴とするセキュリティ管理装置。
(付記7)付記5に記載のセキュリティ管理装置において、
前記セキュリティ実行部によるセキュリティ対策処理が実行された場合において、そのセキュリティ対象についてフィルタリングルールが設定されている場合は、そのルールの削除が行われることを特徴とするセキュリティ管理装置。
(付記8)付記1又は付記2に記載のセキュリティ管理装置において、
さらに新規に導入されるネットワークマシンからの接続要求を受け付ける接続要求受付部を備え、前記セキュリティ診断部は、前記接続要求受付部により新規ネットワークマシンからの接続要求を受け付けた場合に、前記マシンを離隔状態として該ネットワークマシンにアドレスを与え、前記マシン情報と前記セキュリティ情報とに基づいて、前記セキュリティ関連処理として前記ネットワークマシンに対する離隔解除を行うか否かを判断することを特徴とするセキュリティ管理装置。
(付記9)付記1又は付記2に記載のセキュリティ管理装置において、
さらに新規に導入されるネットワークマシンからの接続要求を受け付ける接続要求受付部を備え、前記セキュリティ診断部は、前記接続要求受付部により新規ネットワークマシンからの接続要求を受け付けると共に、前記ネットワークマシンからマシン情報を受け付けると、該マシン情報と前記セキュリティ情報とに基づいて、前記セキュリティ関連処理として前記ネットワークマシンに対するアドレス付与の可否を判断することを特徴とするセキュリティ管理装置。
(付記10)ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報と、前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部から得られるマシン関連情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断部と、
前記セキュリティ診断部による診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うためのセキュリティ実行部とを備えてなるセキュリティ管理装置。
(付記11)付記10に記載のセキュリティ管理装置において、
前記マシン関連情報は、コンピュータウィルスの挙動内容を示す情報を含み、前記マシン情報には所定のファイルのハッシュ値、ウィルススキャン結果の少なくともいずれか一つを含み、
前記セキュリティ診断部は、所定のネットワークマシンについて、離隔する必要性の有無を判断し、前記セキュリティ実行部は前記セキュリティ診断部により前記ネットワークマシンを離隔する必要性があると判断された場合には、前記ネットワークマシンを離隔するための処理を行うことを特徴とするセキュリティ管理装置。
(付記12)付記10に記載のセキュリティ管理装置において、
前記ネットワークマシンの通信を監視するネットワーク監視部を備え、
前記マシン関連情報は、ネットワークマシンのプロファイルに関する情報であり、
前記セキュリティ診断部は、前記ネットワーク監視部からの監視情報と前記マシン情報と前記ネットワークマシンのプロファイルに関する情報とに基づいて、所定のネットワークマシンについて、離隔する必要性の有無を判断し、
前記セキュリティ実行部は前記セキュリティ診断部により前記ネットワークマシンを離隔する必要性があると判断した場合には、前記ネットワークマシンを離するための処理を行うことを特徴とするセキュリティ管理装置。
(付記13)付記10乃至付記12のいずれかに記載のセキュリティ管理装置において、
前記セキュリティ診断部は、被害範囲の同定を行い、離隔範囲を定めることを特徴とするセキュリティ管理装置。
(付記14)付記10乃至付記13のいずれかに記載のセキュリティ管理装置において、
前記セキュリティ診断部の診断結果に基づき、所定の被害を受けたネットワークマシン若しくはネットワークに対して修復を行うための修復部が備えられていることを特徴とするセキュリティ管理装置。
(付記15)付記10乃至付記14のいずれかに記載のセキュリティ管理装置において、
被害修復が行われた場合、離隔を解除する離隔解除部が備えられていることを特徴とするセキュリティ管理装置。
(付記16)付記10に記載のセキュリティ管理装置において、
前記マシン情報は、機器構成の変更の通知と、少なくともその変更される機器構成の情報を含み、前記マシン関連情報は、前記ネットワークにおいて使用の可否を規定した機器構成情報を含むことを特徴とするセキュリティ管理装置。
(付記17)付記16に記載のセキュリティ管理装置において、
前記セキュリティ診断部は、前記ネットワークマシンの離隔のに必要性について判断し、セキュリティ実行部は前記セキュリティ診断部の判断結果に基づいて前記ネットワークマシンを離隔するための処理を行うことを特徴とするセキュリティ管理装置。
(付記18)ネットワークにおけるセキュリティに関するセキュリティ情報を提供するセキュリティ情報提供装置と、
前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報データベースと、
前記セキュリティ情報提供部から得られるセキュリティ情報と、前記マシン関連情報データベースから得られるマシン関連情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、被害の有無の判断、または予防の必要性の有無の判断を行う予防システムと、
前記予防システムの判断に基づいて、所定の被害がある場合には修復処理を行い、または予防措置をとる回復システムと
を備えてなるセキュリティ管理システム。
(付記19)付記18に記載のセキュリティ管理システムにおいて、
前記予防システム又は前記回復システムは複数設けられ、これらシステムを統括的に管理する管理センタが設けられていることを特徴とするセキュリティ管理システム。
(付記20)付記18に記載のセキュリティ管理システムにおいて、
前記予防システム又は前記回復システムは複数設けられ、これら複数のシステムのそれぞれで取得された情報が互いに共有されることを特徴とするセキュリティ管理システム。
(付記21)付記18乃至付記20のいずれかに記載のセキュリティ管理システムにおいて、
前記セキュリティ情報提供部の所有者側に前記予防システム及び前記回復システムが設けられていることを特徴とするセキュリティ管理システム。
(付記22)付記18乃至付記20のいずれかに記載のセキュリティ管理システムにおいて、
前記セキュリティ情報提供部の所有者側に前記予防システムが設けられ、管理サービスを提供する管理サービス提供者側に前記回復システムが設けられることを特徴とするセキュリティ管理システム。
(付記23)付記18乃至付記20のいずれかに記載のセキュリティ管理システムにおいて、
管理サービスを提供する管理サービス提供者側に前記予防システム及び前記回復システムが設けられることを特徴とするセキュリティ管理システム。
(付記24)付記18乃至付記23のいずれかに記載のセキュリティ管理システムにおいて、
前記回復システムにおいて取得された所定の情報が新たなセキュリティ情報として、前記予防システムにフィードバックされることを特徴とするセキュリティ管理システム。
(付記25)ネットワークにおけるセキュリティに関するセキュリティ情報を取得するセキュリティ情報取得ステップと、
ネットワークに接続された少なくとも一つのネットワークマシンからマシン情報を取得するマシン情報取得ステップと、
前記セキュリティ情報及び前記マシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断ステップと、
前記セキュリティ診断ステップによる診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うセキュリティ実行ステップと
を備えてなるセキュリティ管理方法。
(付記26)付記25に記載のセキュリティ管理方法において、
さらに、前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部から得られるマシン関連情報を取得するマシン関連情報取得ステップを備え、
前記セキュリティ診断ステップでは、前記セキュリティ情報及び前記マシン情報とともに、前記マシン関連情報に基づいて、前記セキュリティ診断を行うことを特徴とするセキュリティ管理方法。
(付記27)ネットワークに接続された少なくとも一つのネットワークマシンからマシン情報を取得するマシン情報取得ステップと、
前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部からマシン関連情報を取得するマシン関連情報取得ステップと、
前記マシン情報とマシン関連情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断ステップと、
前記セキュリティ診断部による診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うためのセキュリティ実行ステップと
を備えてなるセキュリティ管理方法。
(付記28)セキュリティ管理をコンピュータに実行させるセキュリティ管理プログラムであって、
ネットワークにおけるセキュリティに関するセキュリティ情報を取得するセキュリティ情報取得ステップと、
ネットワークに接続された少なくとも一つのネットワークマシンからマシン情報を取得するマシン情報取得ステップと、
前記セキュリティ情報及び前記マシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断ステップと、
前記セキュリティ診断ステップによる診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うセキュリティ実行ステップと
をコンピュータに実行させるセキュリティ管理プログラム。
(付記29)付記28に記載のセキュリティ管理プログラムにおいて、
さらに、前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部から得られるマシン関連情報を取得するマシン関連情報取得ステップを備え、
前記セキュリティ診断ステップでは、前記セキュリティ情報及び前記マシン情報とともに、前記マシン関連情報に基づいて、前記セキュリティ診断を行うことをコンピュータに実行させるセキュリティ管理プログラム。
(付記30)セキュリティ管理をコンピュータに実行させるセキュリティ管理プログラムであって、
ネットワークに接続された少なくとも一つのネットワークマシンからマシン情報を取得するマシン情報取得ステップと、
前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部からマシン関連情報を取得するマシン関連情報取得ステップと、
前記マシン情報とマシン関連情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断ステップと、
前記セキュリティ診断部による診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うためのセキュリティ実行ステップと
をコンピュータに実行させるセキュリティ管理プログラム。
【図面の簡単な説明】
【0058】
【図1】本発明の実施の形態におけるセキュリティ管理システムの全体構成を原理的に示すブロック図である。
【図2】本発明の実施の形態の全体構成を示すブロック図である。
【図3】本発明の実施の形態1を示すブロック図でである。
【図4】セキュリティ管理が実施されるネットワークを示すブロック図である。
【図5】実施の形態1の動作を示すフローチャートである。
【図6】本発明の実施の形態2を示すブロック図である。
【図7】本発明の実施の形態2の動作を示すフローチャートである。
【図8】本発明の実施の形態3を示すブロック図である。
【図9】本発明の実施の形態3において、被害の有無を判断する動作を示す概念図である。
【図10】本発明の実施の形態3の動作を示すフローチャートである。
【図11】実施の形態4を示すブロック図である。
【図12】本発明の実施の形態4の動作を示すフローチャートである。
【図13】本発明の実施の形態5を示すブロック図である。
【図14】本発明の実施の形態5の動作を示すフローチャートである。
【図15】本発明の実施の形態6を示すブロック図である。
【図16】本発明の実施の形態6の動作を示すフローチャートである。
【図17】本発明の実施の形態におけるマシン情報の一例を示す図である。
【図18】本発明の実施の形態7として、各システムの第1の配属構成を示す図である。
【図19】本発明の実施の形態8として、各システムの第2の配属構成を示す図である。
【図20】本発明の実施の形態9として、各システムの第3の配属構成を示す図である。
【図21】本発明の実施の形態10として、各システムの第4の配属構成を示す図である。
【符号の説明】
【0059】
1 ネットワーク、2 ネットワークマシン、3 情報提供装置、4 予防システム、5 回復システム、41 診断部、42 各種データベース、43 ネットワーク監視装置、44 予防実行部、70 情報サービス提供者、71 管理サービス提供者、72 顧客ネットワーク、411 情報取得部、412 情報検索/比較部、413 判定部。
【技術分野】
【0001】
本発明は、不正アクセスなど、ネットワークシステムに異常をもたらすおそれを排除することができるセキュリティ管理システムに関するものである。
【背景技術】
【0002】
従来より、セキュリティ管理サービスのための技術として、例えば以下のようなものが知られている。
第1の従来技術は、パッチが適用されるクライアントマシンとクライアントマシンに対するパッチデータやソフトウェアデータを保持するサーバコンピュータから構成されており,サーバコンピュータがクライアントコンピュータに対してパッチを適用するというものである(例えば特許文献1,2参照)。
【0003】
この動作は以下のように行われる。まず、(1)クライアントコンピュータのソフトウェア情報をサーバコンピュータに登録する。(2)次に、依存するソフトウェア情報をサーバコンピュータに登録する。そして、(3)クライアントコンピュータに対するソフトウェア更新可否を判定するとともに、(4)パッチをサーバコンピュータから配信する。
【0004】
第2の従来技術は、監視サーバは、監視対象クライアントのウィルスチェックをリモートから実行しその実行結果を受け取り、ウィルスを検出したときは監視対象クライアントへウィルス検出を通知するというものである(例えば、特許文献3参照)。
【0005】
この動作は以下のように行われる。まず、(1)監視サーバが監視対象クライアントのウィルスチェックの実行/未実行を参照する。(2)監視サーバが未実行の監視対象クライアントに対してウィルスチェックの実行要求を行う。(3)監視サーバが実行結果を受け取る。(4)監視サーバが監視対象クライアントへウィルス検出を通知する。
【特許文献1】特開2002−55839号公報
【特許文献2】特開2000−250743号公報
【特許文献3】特開平11−327897号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、第1の従来技術では、Webで公開されている様々なセキュリティ情報をマシン情報に応じて選別取得する機能がなく、セキュリティ対策の柔軟性に乏しく、幅広い適用が困難である。同様に第2の従来技術でも、ウィルスチェックのみに限定され、マシン情報に応じた様々なセキュリティ対策を講じることは不可能である。
【0007】
なお、本出願人は、パッチが公開されていないセキュリティホールに対してフィルタリングルール作成し、パッチが公開されるまでフィルタによって防御し、パッチが公開されると前記ルールが削除されるようにした技術を提案しているが、かかる技術においても、ネットワークマシンのマシン情報を取得して、マシンに合わせたルールを作成する機能がなく、やはり幅広い適用性に劣る。
【0008】
本発明は、上述した課題に鑑みてなされたものであり、ネットワークを構成するネットワークマシンからマシン情報を取得し、このマシン情報を参照しつつ種々のセキュリティ対策を講じることができ、もって柔軟性に優れ、幅広く適用することが可能なセキュリティ管理システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決するため、このネットワーク管理システムは、ネットワークにおけるセキュリティに関するセキュリティ情報を提供するセキュリティ情報提供装置と、前記ネットワークに接続されたネットワークマシンについての所定の情報を記憶したマシン関連情報データベースと、前記セキュリティ情報提供部から得られるセキュリティ情報と、前記マシン関連情報データベースから得られるマシン関連情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、被害の有無の判断、または予防の必要性の有無の判断を行う予防システムと、前記予防システムの判断に基づいて、所定の被害がある場合には修復処理を行い、または予防措置をとる回復システムとを備えてなる。
【発明の効果】
【0010】
本発明によれば、ネットワークを構成するネットワークマシンからマシン情報を取得し、このマシン情報を参照しつつ種々のセキュリティ対策を講じることができ、もって柔軟性に優れ、幅広く適用することが可能なセキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラムを提供することができるという効果を奏する。
【発明を実施するための最良の形態】
【0011】
以下に、実施の形態を図面を用いて説明する。
図1は、実施の形態におけるセキュリティ管理システムの全体構成を原理的に示すブロック図、図2は予防システムの全体構成をより詳細に示すブロック図である。本実施の形態では、ネットワーク1内に接続され、ネットワークを構成するネットワークマシン2と、各種情報を提供する情報提供装置3と、ネットワーク1(図4参照)内のネットワークマシン2に対するセキュリティ対策を講じるための予防システム4と、予防システム4と協働して、セキュリティ対策の一部を実行するため、例えばネットワーク1若しくはネットワークマシン2の離隔を行い、或いはそれを解除し、更には必要に応じて被害を受けたネットワーク1若しくはネットワークマシン2を回復させるための回復システム5とを備えて構成される。
【0012】
なお、図1に示す情報提供装置3、予防システム4、及び回復システム5はネットワークマシン2と同様、インターネットやその他の通信回線を介して相互に接続され得、また、各システムは通常の各種判断、処理を行うことができるコンピュータ(例えばPC)を備えている。ここでは、例えば、ネットワークマシン1はDNS(Domain Name System)サーバやメールサーバを想定しており、情報提供装置3はWebページにおいて無償でセキュリティホール情報やパッチ関連情報等を公開しているものとする。情報提供装置3は従来と変らない方式で情報を公開しており、必要に応じて暗号化通信を行うものとする。また、従来のシステムに予防システム4、回復システム3を導入することにより、セキュリティ管理システムによるサービスを開始できる。予防システム4及び回復システム5の導入方法は、購入若しくはレンタルとする。
【0013】
予防システム4は、図2に示されるように、セキュリティ関連処理の種別とその必要性の有無を判断する診断部(セキュリティ診断部)41と、各種データベース42と、ネットワークマシン2を含むネットワーク1の状態を監視するネットワーク監視装置43と、診断部41の診断結果に基づいて、例えば回復システム5に予防処置の指示を行う予防実行部44とを備えている。
診断部41は、必要に応じてネットワークマシン2、情報提供装置3、各種データベース42、及びネットワーク監視装置43からの情報を取得する情報取得部411と、情報取得部411で得られる情報を検索し、或いは比較する情報検索/比較部412と、情報検索/比較部412での各種情報の比較結果に基づいて、セキュリティ関連処理の種別とその必要性の有無についての判定を行う判定部413とを備えて構成されている。
以下、これらの構成を基本構成として、各種動作を実施の形態に対応させて説明する。なお、実施の形態における予防システムは本発明のセキュリティ管理装置に対応している。
【0014】
実施の形態1.
図3は実施の形態1を示すブロック構成図、図4はセキュリティ管理が実施されるネットワークを示すブロック図、図5は実施の形態1の動作を示すフローチャートである。
実施の形態1は、情報提供装置により公開されたセキュリティホール情報に基づいてセキュリティ対策を行うようにした場合について説明する。
未公表なものも含まれるセキュリティホール情報が情報提供装置3Aにより公開された場合(ステップS0)、予防システム4Aの情報取得部411(図2)はセキュリティホール情報(セキュリティホール番号、対象OS名、対象サービス、脆弱性内容等)3aを情報提供装置3Aからダウンロードし(ステップS1)、当該セキュリティ情報が正当な情報であるかどうかを検証し(ステップS2)、正当な情報だけを取り入れる(ステップS2、YES)。
【0015】
このセキュリティ情報が正当なものであるか否かの検証は、例えば、情報自体の信憑性に基づいて行われ、予め発信元の信頼性によりレベル分けを行っておき、所定のレベル以上の信頼性があるとされた発信元からの情報を用いるようにする。また、実際に、実験器具を用いて信頼性を確認することもできる。例えば、実験的にWebサーバを立ち上げておき、特定の文字列や命令を含み、セキュリティホール情報に該当する状態を作り上げて実証することが行われる。或いは、検証を行う他の方法として、情報自体の正当性(情報が改ざんされていないかどうか)のチェックを行うことによっても行い得る。例えば、付加されている電子署名を検証したり、付加されているハッシュ値を検証することによって行い得る。
【0016】
また、予防システム4A(診断部41A)は、ネットワーク1内のマシン情報(マシン名、IPアドレス、アーキテクチャ名、OS名、インストールされたパッケージ群等)2aを取得し(ステップS3)、当該正当なセキュリティ情報と比較照合することでセキュリティホールがあるマシンの存在を判定し、存在する場合はそのマシンを選択する(ステップS4)。なお、マシン情報の一例を図17に示している。次に、情報提供装置3からの情報に当該キュリティホールの緊急度が高い旨の情報が含まれている場合は、その情報を考慮し、直ちに各種サーバ42のうちから、フィルタリングデータベース42Aを参照して、フィルタリング防御を行うことについて規定されているか否か(フィルタリングデータベースの登録項目にマッチするか否か)を検索して判断し(ステップS5)、防御する必要があると判断された場合、対象となるマシンのマシン情報と脆弱性内容をフィルタリングルール作成装置441に送信する。フィルタリングデータベースはフィルタリングルールの設定についてのセキュリティポリシーを規定したデータベースである。なお、予防システム4Aは、フィルタリングルールの作成に所定時間以上要する場合は、脆弱対象となるソフトウェアを取り敢えず停止させるように指示することもできる。
【0017】
そして、取得した情報を元にフィルタリングルール作成装置441はルール番号と対応セキュリティホール番号を含む新規のフィルタリングルール441aを作成し(ステップS6)、ルール実行部443は、そのルールによってセキュリティホールへのアタックを防御する(ステップS7)。またフィルタリングルール作成装置441は、その作成された新規ルールをルールデータベース442に登録する(ステップS8)。本実施の形態におけるフィルタリングルール作成装置441は、セキュリティホール情報3aに該当するネットワークマシンについて、搭載されるソフトウェア“SUNWftpu”に不正文字列「xxx」の情報が送信される場合を防止するよう、新規ルールを作成し、ルールデータベース442に新規ルールを登録する。
【0018】
そして、ルール実行部443は、ルールデータベース442に登録されたルールに基づいて、そのような情報が当該ネットワークマシンに到達するのを防止する。この場合、回復システム5(図2)は、ルール実行部443からの指示を受け、例えば、図4に示すネットワークにおいて、ルール設定されたネットワークマシンに不正文字列が外部より送信されてきた場合に、防御装置11を動作させてそれを遮断させる。なお、図4に示されるネットワークは、複数のネットワークセグメント1A〜1Dに離隔装置12〜15を介して分割されている。ネットワークの入り口には、防御装置11(ファイアウォール)が設けられ、また、防御装置11を介してインタネットINと接続可能なDMZ(Demilitarized Zone)が構築されている。
【0019】
以上、実施の形態1ではセキュリティ関連処理の種別の一例としてフィルタリングルールの作成について説明したが、通信機器として動作するネットワークマシンに対しては、通信制御のルールを作成して設定するようにしても良い。この通信制御には、例えば到着通信データの流量制御及び発呼制御、ルーティング情報の変更等が挙げられる。
【0020】
なお、実施の形態1においては、フィルタリングルール作成装置441、ルールデータベース442及びルール実行部443が図2に示した予防実行部44を構成している。
【0021】
実施の形態2.
図6は実施の形態2を示すブロック構成図、図7は実施の形態2の動作を示すフローチャートである。
実施の形態2は、情報提供装置により公開されたパッチ関連情報に基づいてセキュリティ対策を行うようにした場合について説明する。
【0022】
予防システム4Bの診断部41Bは、情報提供装置3Bから新たなパッチが公開されると(ステップS10)、当該パッチファイルとそのパッチ関連情報(対象セキュリティホール番号、アーキテクチャ名、対象OS名、対象サービス)3bを情報提供装置3Bからダウンロードし(ステップS11)、ネットワークマシン2からマシン情報(マシン名、IPアドレス、アーキテクチャ名、OS名、インストールされたパッケージ群、適用済みパッチ群等)2bを取得し(ステップS12)、それらを比較照合することでパッチを充てる必要があるマシンの存在を判定し、そのマシンを選択する(ステップS13)。
【0023】
次に、パッチ適用データベース42Bを参照しながらパッチを充てることに規定(若しくはパッチを充てることに禁止項目)があるかどうかを判断し(ステップS14)、充てることが問題ないと判断された場合(ステップS14、YES)、診断部41Bからの指示に基づいてパッチ適用部451が対象マシンにパッチを適用し(ステップS15)、それと同時に、ルール実行部443で実行されるフィルタリングルールがルールデータベース452に登録されている場合は、当該パッチに関連するフィルタリングルール41bを削除する(ステップS16)。
【0024】
パッチ適用後は、パッチ適用に係るマシンの動作がパッチ適用前と変らないことを確認するため、マシンの動作確認を行う。この確認は、診断部41Bにおいて、マシン情報の関連情報として動作情報を取得することで行うようにしても良いし、或いは図1、図2に示した回復システム、若しくは図2に示したネットワーク監視装置で行うようにしても良い。この確認方法の具体例としては、例えば次のようなものが挙げられる。
【0025】
(1)プロセスの確認
これは、例えばソフトウェアが起動しているかどうかを判断することによって行われる。
(2)サービスやソフトウェアを利用しての確認
これは、例えばWebサーバならばページが表示されているか否かを判断することによって行うことができる。また、メールサーバならばメールが送受信されているか否かを判断することによって行うことができる。
(3)固有設定の確認
これは、例えばファイアウォールならパケットを拒否できているか否かを判断することによって行うことができる。また、メールサーバならば不正中継が行われているか否かを判断することによって行うことができる。
(4)その他の確認
例えば、マシンのプロファイル(後述の実施の形態3で説明)を用いて動作確認を行うことで行われる。例えば、プロファイルを保存したデータベースを用意しておくと共に、過去の所定期間(例えば一ヶ月)のコンピュータプロセスやネットワークのログをプロファイルデータベースに保存しておき、パッチ適用後に取得したログと比較して相違点をチェックすることにより判断する。
【0026】
以上の確認において、マシン動作が異常と判断されると、回復システム、或いはパッチ適用部451はパッチを排除する処理を行う。
以上の構成において、パッチ適用部451とルールデータベース、及びルール実行部443からなる予防実行部44Bは、図2における予防実行部44に相当する。
【0027】
実施の形態3.
図8は実施の形態3を示すブロック構成図、図9は被害の有無を判断する動作を示す概念図、図10は実施の形態3の動作を示すフローチャートである。
実施の形態3は、ネットワークマシンの通信ログや挙動に基づいて被害の有無を判断して、そのセキュリティ対策を行うようにした場合について説明する。
【0028】
実施の形態3において診断部41Cは、ネットワーク監視装置43において、通信またはマシンの挙動を監視して(ステップS20)、監視内容から送信元IPアドレスや送信先IPアドレス、不正通信の種類および対象サービス等の情報等の通信ログ43aを取得し(ステップS21)、ネットワークマシン2からは対象ファイルのハッシュ値やウィルススキャン結果等の診断情報をマシン情報2cとして取得する(ステップS22)。そして、それらをアタック(バックドア)/ウィルスデータベース421に登録されているウィルス等の挙動内容、シグネチャ等と比較照合し、或いはマシンプロファイルデータベース422に登録されている通信プロファイルやプロセスプロファイルと比較照合して被害を受けているか否かを判断する(ステップS23)。被害を受けていると判断された場合(ステップS23、YES)は、被害の拡散性があるか否かを判断する(ステップS24)。この被害の拡散性の判断は、被害を受けているマシンや被害規模の推定とともに行われ、例えば被害を受けているマシンの数若しくは範囲の経時変化を監視することにより判断することができる。拡散性があると判断された場合(ステップS24、YES)は、その被害範囲の同定が行われる(ステップS25)。
【0029】
そして、被害に拡散性が有ると判断された場合、診断部41Cは、各ネットワークマシンからネットワーク情報(マシンの配置情報、ネットワーク構成、離隔点のIPアドレス等)をマシン情報として取得し、その離隔点を決定し、その離隔指示のための離隔情報(アタック元のIPアドレス、アタック元のMACアドレス、遮断すべき通信の種類等)41cを離隔/解除/修復指示部(予防実行部)44Cに送出する(ステップS26)。なお、ここで、離隔とはネットワークマシンからの送信を規制する意味であり、更にこの場合、所定の通信(相手先、データ量)のみを許可したり、許可されていない送信先への通信を不正通信として遮断することなどが含まれる。離隔点は、図4の例においては、離隔装置を特定することにより定められる。
【0030】
離隔情報を受けた離隔/解除/修復指示部(予防実行部)44Cは回復システム5に離隔情報に基づく離隔指示を送信する。回復システム5は、離隔点となるルータ(離隔装置12〜15)に離隔動作を行うよう指示を通知する。この回復システム5からの指示によりルータは離隔点における通信の制限を行う。この通信制御は例えばネットワーク監視装置43により監視され、診断部41Cでは、取得される通信ログ等に基づき、離隔できたことが図示しない確認部により確認される。その後、回復システム5は、所定の被害については、被害を受けたマシンの修復を行うことができる。また、そのような被害が発生した場合には、それをユーザに通知する構成とすることもできる。また、診断部41Cは、新たな被害をもたらした現象等についてその不正シグネチャ等をアタック/ウィルスデータベース421に保存する(ステップS27)。このデータベース421に保存された新たな情報は、例えば通信回線を介して他のネットワークにおけるセキュリティを管理する情報提供装置や予防システムに提供されることができ、予防対策を迅速に講じるための情報として使用され得る。
【0031】
回復システム5により行われる修復には、例えば被害を受けてレジスタ等の設定値が変更された場合に、被害を受ける前の正常な状態(例えばデフォルト値)に戻すような処理が含まれる。また、パッチの未適用部分が判断された場合は、その部分に対しては新たにパッチ適用を行う処理も含まれる。更には、被害を受けた或いは被害の原因となるファイルを削除したり、システムを再起動すること、また、バックアップファイルを用いてもとの状態に戻す(再インストールする)ようなことも行い得る。
【0032】
なお、被害に拡散性がないと判断された場合(ステップS24、NO)には、その修復或いはその表示のため、診断部41Cは離隔/解除/修復指示部(予防実行部)44Cにその被害情報を送出し(ステップS28)、離隔/解除/修復指示部44Cは修復指示を回復システム5に送信する。回復システム5は被害の修復を行える場合は、その修復を行う。また、ネットワークマシン2の所有者側に通知を行い、その旨を知らせる。
【0033】
図9は異常の有無を判断することで被害の有無を判断するための動作をより詳細に示すための図である。例えば、既知のウィルスによる場合は、アタック/ウィルスデータベース421に格納されている情報と通信ログ43aとから通信内容の異常を判断できる。図9の場合は、例えば不正シグネチャとして“xxx”が通信内容43a−2におけるマシン名「Srv01」のマシンに表れている。これにより、当該マシンがウィルスによる被害を受けていると判断することができる。また、この通信内容の履歴により、被害を受けているマシンが時間と共に増えている場合は拡散性があるものと判断できる。さらに、既知でないウィルス等による被害については、やはり、通信内容の履歴をマシンプロファイルデータベース422に格納されている正常通信プロファイルと照合することにより、正常通信プロファイルと異なる履歴が観察される場合に、何らかの被害を受けていると判断することもできる。この判断基準は、例えば所定期間においてなされた全ての通信(送信)における各接続先アドレスの配分比率43a−1と、正常なプロファイルにおけるその配分比率422との差異を定量化する規定を作成し、その差異が所定値よりも大きくなったときに異常を判断するようにして定めることができる。
【0034】
図9においては、これらの配分比率が異なっているため、その比較の対象となったマシンに異常が発生していると判断することができる。また、通信内容の履歴より、そのような異常を有するマシンが増えていると判断されるとその被害は拡散性を有すると判断できるため、そのマシンに対する離隔情報が診断部より送出される。この離隔情報には、例えば当該マシン若しくはそのマシンを含むネットワークセグメントからの全ての送信を遮断する完全遮断モードと、不正シグネチャだけを抑えるドロップモードと、通信量を制限する通信量制限モードとが用意されている。
【0035】
このようにして、実施の形態3においては、既知のアタック(バックドア)、ウィルスのネットワーク(マシン)への攻撃のみならず、未知の攻撃からもネットワーク(マシン)への攻撃に対する防御を行うことができる。また、未知の攻撃に対して取得された情報を他のネットワークにおけるセキュリティシステムでも使用可能とすることができる。
【0036】
なお、実施の形態3においては、離隔/解除/修復指示部44Cが図2に示した予防実行部44を構成している。
【0037】
実施の形態4.
図11は実施の形態4を示すブロック構成図、図12は実施の形態4の動作を示すフローチャートである。
実施の形態4は、新たなネットワークマシン2が接続される場合について説明する。
実施の形態4においては、セキュリティ管理対象となるネットワークに新たなネットワークマシン2が接続されると、当該ネットワークマシン2の付与予定IPアドレスや当該ネットワークマシン2のMACアドレスによって、とりあえず、そのネットワークマシン2を含むネットワークが最も小さいセグメントで離隔される。しかる後に当該マシン2にIPアドレスが与えられる。そして、そのマシンに対しての予防が実行され、若しくは安全性が確認され、ネットワークにおけるそのマシン2の安全性が確保された後、当該マシン2の離隔が解除されるようにしたものである。
【0038】
すなわち、予防システム4Dは、新たなネットワークマシン2がネットワークに設置されると、その接続要求を受け付ける接続要求受付部45を備え、接続要求がなされると(ステップS31)、診断部41Dは離隔/解除指示部44Dを介して回復システム5により離隔を実行する(ステップS32)。回復システム5は新たなネットワークマシン2が管轄下となる、図4に示したいずれかの離隔装置を動作させて離隔を行う。離隔が実行されると、診断部41Dは、そのマシンのIPアドレスやマックアドレスを付与する(ステップS33)。IPアドレス等が付与されると、診断部41Dは、情報提供装置3Dからセキュリティ情報3dとして、セキュリティホール情報やパッチ関連情報を取得し(ステップS34)、また、ネットワークマシン2からマシン情報2dを取得し(ステップS35)、安全性を確保する。
【0039】
この動作は、実施の形態1や実施の形態2で示したものと同じである。即ち、マシン情報に情報提供装置から得られるセキュリティホール情報やパッチ関連情報に該当するものがあれば(ステップS36、YES)、フィルタリングデータベース(図1の42A)やパッチ適用データベース(図6の42B)を検索し、適宜フィルタリングルールを作成したり、パッチ適用を行うよう動作し、その予防を行う(ステップS37)。このようにして、新たなネットワークマシンの安全性が確保されると、或いは当該マシンがセキュリティホール情報やパッチ関連情報に該当することが無く、安全性を確保する必要性がないと判断された場合(ステップS36、NO)は、その時点で離隔/解除指示部44Dにより離隔解除指示を出させ(ステップS38)、回復システム5により離隔動作をさせていた離隔装置の離隔動作を解除させる。
【0040】
実施の形態4においては、離隔/解除指示部44Dが図2に示した予防実行部44を構成している。
【0041】
実施の形態5.
図13は実施の形態5を示すブロック構成図、図14は実施の形態5の動作を示すフローチャートである。
実施の形態5は、接続されようとするネットワークマシン2Eに、例えばブロードキャストを利用するなど、IPアドレスがない状態でマシン情報を送信する機能がインストールされている場合について説明する。
【0042】
実施の形態5においては、当該新たなネットワークマシン2Eがセキュリティ管理対象のネットワークに接続された場合に、予防システム4Eは、当該マシン2Eからマシン情報を取得し、情報提供装置3Eからセキュリティ情報(セキュリティホール情報、パッチ関連情報等)をダウンロードし、予防の必要性の有無を判断する。そして、予防の必要性が無いと判断された場合に、初めてIPアドレスを付与し、当該ネットワークマシンの接続を許可する。
【0043】
即ち、予防システム4Eは、接続要求受付部45と接続可否指示部46とを備え、接続要求受付部45がネットワークマシン2Eからの接続要求を受け付ける(ステップS40)と共に、診断部41Eがネットワークマシン2Eからのマシン情報2eを取得すると(ステップS41)、診断部41Eは、情報提供装置3Eからセキュリティ情報3eを取得し(ステップS42)、マシン情報2eと比較する。そして安全性が高く予防の必要性なしと判断された場合(ステップS43、NO)、初めてIPアドレスを付与する(ステップS44)。
【0044】
一方、安全性が高くなく、予防の必要性があると判断された場合(ステップS43,YES)は、IPアドレスは付与されない(ステップS45)。なお、この場合は、実施の形態4の動作に移ることにより、予防処理が行われてIPアドレスが付与される。
【0045】
なお、この場合のネットワークマシン2Eの構成は、ネットワークに接続されたことを判断する接続判断部21と、接続判断部21により接続が判断された場合に、自己の情報をマシン情報として収集して取得するマシン情報取得部22と、マシン情報取得部22により取得された情報を接続要求と共に予防システム4E(診断部41E)に送信するマシン情報送信部23とを備えて構成される。
このように、実施の形態5では、ネットワークマシンにIPアドレスがない状態でマシン情報を送信する機能がインストールされている場合には、その安全性を確保した後でIPアドレス等を付与して接続を許可することでネットワークの安全性が確保される。
【0046】
実施の形態5においては、接続可否指示部46が図2に示した予防実行部44を構成している。
【0047】
実施の形態6.
図15は実施の形態6を示すブロック構成図、図16は実施の形態6の動作を示すフローチャートである。
実施の形態6は、ネットワークマシン2の構成が変更された場合に、その変更が行われたこと機器構成変更通知として送信する機能が当該ネットワークマシンにインストールされている場合について説明する。
【0048】
このようなネットワークマシン2Fにおいてその構成変更が行われると、ネットワークマシン2Fは、機器構成変更通知を診断部41Fに送信する(ステップS50)。診断部41Fでは、その機器構成変更通知を受けるとネットワークマシン2Fから機器を構成する情報として機器構成情報2fを受け取ると共に、ネットワーク内のマシンにおいて使用許可されている機器構成(部品を含む)について、予め登録されている機器構成データベース42Fからその構成情報を読出し(ステップS51)、比較照合して使用許可されている機器構成であるか否かを検証する(ステップS52)。
【0049】
許可されている構成であれば、そのまま離隔することなく、処理を終了する。一方、許可されていない構成が含まれている場合は、離隔を行う(ステップS53)。この離隔処理は例えば、離隔/解除指示部44Fを介して回復システム5Fに離隔処理を行うように通知することで行われる。なお、本実施の形態では、許可された機器構成でないことが判断された時点で離隔を行うようにしたが、機器構成変更通知があった時点(ステップS50)において直ちに離隔を行い、許可された構成であることが判断された(ステップS52)後に、離隔を解除する構成としても良い。
【0050】
実施の形態6によれば、ネットワークマシンの構成変更により生じる被害を予防することができる。なお、機器構成情報2fには、例えば、マシン名、DVD/CD−ROM、ネットワークアダプタ、フレキシブルディスク、PS/2マウス、USBフラッシュメモリ等が含まれている。また、ここでの構成変更には、構成部品の追加のみならず、取り外す場合も含まれる。
【0051】
実施の形態6においては、離隔/解除指示部44Fが図2に示した予防実行部44を構成している。
【0052】
実施の形態7.
図18は本発明の実施の形態7として、各システムの第1の配属構成を示している。
図18に示す例では、情報サービス提供者(情報提供装置3を有する者)70が予防システム4と回復システム5を有し、管理サービス提供者71と一体になっている。情報サービス提供者70は顧客ネットワーク72からシステム情報(顧客のネットワークの情報)10を取得し、独自のセキュリティ情報を用いて顧客ネットワーク72毎にパッチおよびフィルタリングルール30を提供する。
【0053】
実施の形態8.
図19は本発明の実施の形態8として、各システムの第2の配属構成を示している。
図19に示す例では、情報サービス提供者70が予防システム4を有し、管理サービス提供者71が回復システム5を有する。管理サービス提供者71は顧客ネットワーク72からシステム情報(顧客ネットワークの情報)10Aを取得し、フィルタリングルール及びパッチ30が必要なシステム情報10Bだけを情報サービス提供者70に送信する。情報サービス提供者70は、独自のセキュリティ情報を用いて顧客ネットワーク72毎にパッチおよびフィルタリングルール30を作成し、管理サービス提供者71に送信し,当該管理サービス提供者71が顧客ネットワーク72に当該パッチおよびフィルタリングルールを提供する。
【0054】
実施の形態9.
図20は本発明の実施の形態9として、各システムの第3の配属構成を示している。
図20に示す例では、情報サービス提供者70はセキュリティ情報30Aを送信するだけで、管理サービス提供者71が予防システム4および回復システム5を有する。管理サービス提供者71は情報サービス提供者70からセキュリティ情報30Aをダウンロードし、顧客ネットワーク72からシステム情報(顧客ネットワークの情報)10Aを取得し、顧客ネットワーク72毎にパッチおよびフィルタリングルール30を作成し、顧客ネットワーク72に当該パッチおよびフィルタリングルール30を提供する。
【0055】
実施の形態10.
図21は本発明の実施の形態10として、各システムの第4の配属構成を示している。
図21に示す例では、1つの管理サービス提供者71が4つの情報サービス提供者70からセキュリティ情報I2を取得し、被害を受けた顧客ネットワークAの回復を行う。更に、当該管理サービス提供者71が当該顧客ネットワークAから被害に関する情報I1を取得し、当該情報I1を元にその他3つの顧客ネットワーク1(B〜D)の予防に役立てる(被害情報、対策情報をフィードバックすることができる)。また、当該被害に関する情報を4つの情報サービス提供者70(A〜D)に送信する。
【0056】
以上に詳述したように、本発明の実施の形態によれば、予防システム、回復システムおよび情報提供装置が連携することにより、万が一被害を受けても被害範囲の同定を容易に行うことができる。また、回復システム(診断部)により被害離隔および修復が行われ、被害を最小限に抑えると共に、所定の被害については自動的に且つ迅速に修復することが可能となる。またそこで得た被害に関する情報を蓄積し再利用することができるので、同じ被害が異なる場所で生じないようにすることもできる。さらに、単にパッチ適用を行うだけでなく、その後パッチを適用した対象マシンに対して動作確認を自動で行い、パッチ適用を行ったマシンの動作がパッチ適用前と変っていないことをも検証でき、セキュリティ対策として極めて役立ち得るものである。更に、顧客ネットワークに対し、数多くの情報サービス提供者が提供する情報を整理して提供することができ、顧客側にとっては、情報処理の煩雑さが軽減される。
【0057】
(付記1)ネットワークにおけるセキュリティに関する情報を提供するセキュリティ情報提供部から取得されるセキュリティ情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断部と、
前記セキュリティ診断部による診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うセキュリティ実行部とを備えてなるセキュリティ管理装置。
(付記2)付記1に記載のセキュリティ管理装置において、
前記セキュリティ診断部は、さらに、前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部から得られるマシン関連情報に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断することを特徴とするセキュリティ管理装置。
(付記3)付記2に記載のセキュリティ管理装置において、
前記マシン関連情報記憶部に記憶されたマシン関連情報は、セキュリティポリシーについて規定した情報であることを特徴とするセキュリティ管理装置。
(付記4)付記3に記載のセキュリティ管理装置において、
前記セキュリティポリシーは、所定のマシン情報についてのフィルタリング防御又は通信制御について規定し、前記セキュリティ実行部はフィルタリング処理又は通信制御を実行することを特徴とするセキュリティ管理装置。
(付記5)付記3に記載のセキュリティ管理装置において、
前記セキュリティポリシーは、所定のプログラムについてのパッチ適用又はワクチン投与について規定し、前記セキュリティ実行部は前記所定のプログラムにパッチ適用処理又はワクチン投与処理を実行することを特徴とするセキュリティ管理装置。
(付記6)付記5に記載のセキュリティ管理装置において、
前記セキュリティ実行部によるセキュリティ対策処理が実行された場合に、その実行結果における前記ネットワークマシン若しくはネットワークにおける動作確認が行われることを特徴とするセキュリティ管理装置。
(付記7)付記5に記載のセキュリティ管理装置において、
前記セキュリティ実行部によるセキュリティ対策処理が実行された場合において、そのセキュリティ対象についてフィルタリングルールが設定されている場合は、そのルールの削除が行われることを特徴とするセキュリティ管理装置。
(付記8)付記1又は付記2に記載のセキュリティ管理装置において、
さらに新規に導入されるネットワークマシンからの接続要求を受け付ける接続要求受付部を備え、前記セキュリティ診断部は、前記接続要求受付部により新規ネットワークマシンからの接続要求を受け付けた場合に、前記マシンを離隔状態として該ネットワークマシンにアドレスを与え、前記マシン情報と前記セキュリティ情報とに基づいて、前記セキュリティ関連処理として前記ネットワークマシンに対する離隔解除を行うか否かを判断することを特徴とするセキュリティ管理装置。
(付記9)付記1又は付記2に記載のセキュリティ管理装置において、
さらに新規に導入されるネットワークマシンからの接続要求を受け付ける接続要求受付部を備え、前記セキュリティ診断部は、前記接続要求受付部により新規ネットワークマシンからの接続要求を受け付けると共に、前記ネットワークマシンからマシン情報を受け付けると、該マシン情報と前記セキュリティ情報とに基づいて、前記セキュリティ関連処理として前記ネットワークマシンに対するアドレス付与の可否を判断することを特徴とするセキュリティ管理装置。
(付記10)ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報と、前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部から得られるマシン関連情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断部と、
前記セキュリティ診断部による診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うためのセキュリティ実行部とを備えてなるセキュリティ管理装置。
(付記11)付記10に記載のセキュリティ管理装置において、
前記マシン関連情報は、コンピュータウィルスの挙動内容を示す情報を含み、前記マシン情報には所定のファイルのハッシュ値、ウィルススキャン結果の少なくともいずれか一つを含み、
前記セキュリティ診断部は、所定のネットワークマシンについて、離隔する必要性の有無を判断し、前記セキュリティ実行部は前記セキュリティ診断部により前記ネットワークマシンを離隔する必要性があると判断された場合には、前記ネットワークマシンを離隔するための処理を行うことを特徴とするセキュリティ管理装置。
(付記12)付記10に記載のセキュリティ管理装置において、
前記ネットワークマシンの通信を監視するネットワーク監視部を備え、
前記マシン関連情報は、ネットワークマシンのプロファイルに関する情報であり、
前記セキュリティ診断部は、前記ネットワーク監視部からの監視情報と前記マシン情報と前記ネットワークマシンのプロファイルに関する情報とに基づいて、所定のネットワークマシンについて、離隔する必要性の有無を判断し、
前記セキュリティ実行部は前記セキュリティ診断部により前記ネットワークマシンを離隔する必要性があると判断した場合には、前記ネットワークマシンを離するための処理を行うことを特徴とするセキュリティ管理装置。
(付記13)付記10乃至付記12のいずれかに記載のセキュリティ管理装置において、
前記セキュリティ診断部は、被害範囲の同定を行い、離隔範囲を定めることを特徴とするセキュリティ管理装置。
(付記14)付記10乃至付記13のいずれかに記載のセキュリティ管理装置において、
前記セキュリティ診断部の診断結果に基づき、所定の被害を受けたネットワークマシン若しくはネットワークに対して修復を行うための修復部が備えられていることを特徴とするセキュリティ管理装置。
(付記15)付記10乃至付記14のいずれかに記載のセキュリティ管理装置において、
被害修復が行われた場合、離隔を解除する離隔解除部が備えられていることを特徴とするセキュリティ管理装置。
(付記16)付記10に記載のセキュリティ管理装置において、
前記マシン情報は、機器構成の変更の通知と、少なくともその変更される機器構成の情報を含み、前記マシン関連情報は、前記ネットワークにおいて使用の可否を規定した機器構成情報を含むことを特徴とするセキュリティ管理装置。
(付記17)付記16に記載のセキュリティ管理装置において、
前記セキュリティ診断部は、前記ネットワークマシンの離隔のに必要性について判断し、セキュリティ実行部は前記セキュリティ診断部の判断結果に基づいて前記ネットワークマシンを離隔するための処理を行うことを特徴とするセキュリティ管理装置。
(付記18)ネットワークにおけるセキュリティに関するセキュリティ情報を提供するセキュリティ情報提供装置と、
前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報データベースと、
前記セキュリティ情報提供部から得られるセキュリティ情報と、前記マシン関連情報データベースから得られるマシン関連情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、被害の有無の判断、または予防の必要性の有無の判断を行う予防システムと、
前記予防システムの判断に基づいて、所定の被害がある場合には修復処理を行い、または予防措置をとる回復システムと
を備えてなるセキュリティ管理システム。
(付記19)付記18に記載のセキュリティ管理システムにおいて、
前記予防システム又は前記回復システムは複数設けられ、これらシステムを統括的に管理する管理センタが設けられていることを特徴とするセキュリティ管理システム。
(付記20)付記18に記載のセキュリティ管理システムにおいて、
前記予防システム又は前記回復システムは複数設けられ、これら複数のシステムのそれぞれで取得された情報が互いに共有されることを特徴とするセキュリティ管理システム。
(付記21)付記18乃至付記20のいずれかに記載のセキュリティ管理システムにおいて、
前記セキュリティ情報提供部の所有者側に前記予防システム及び前記回復システムが設けられていることを特徴とするセキュリティ管理システム。
(付記22)付記18乃至付記20のいずれかに記載のセキュリティ管理システムにおいて、
前記セキュリティ情報提供部の所有者側に前記予防システムが設けられ、管理サービスを提供する管理サービス提供者側に前記回復システムが設けられることを特徴とするセキュリティ管理システム。
(付記23)付記18乃至付記20のいずれかに記載のセキュリティ管理システムにおいて、
管理サービスを提供する管理サービス提供者側に前記予防システム及び前記回復システムが設けられることを特徴とするセキュリティ管理システム。
(付記24)付記18乃至付記23のいずれかに記載のセキュリティ管理システムにおいて、
前記回復システムにおいて取得された所定の情報が新たなセキュリティ情報として、前記予防システムにフィードバックされることを特徴とするセキュリティ管理システム。
(付記25)ネットワークにおけるセキュリティに関するセキュリティ情報を取得するセキュリティ情報取得ステップと、
ネットワークに接続された少なくとも一つのネットワークマシンからマシン情報を取得するマシン情報取得ステップと、
前記セキュリティ情報及び前記マシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断ステップと、
前記セキュリティ診断ステップによる診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うセキュリティ実行ステップと
を備えてなるセキュリティ管理方法。
(付記26)付記25に記載のセキュリティ管理方法において、
さらに、前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部から得られるマシン関連情報を取得するマシン関連情報取得ステップを備え、
前記セキュリティ診断ステップでは、前記セキュリティ情報及び前記マシン情報とともに、前記マシン関連情報に基づいて、前記セキュリティ診断を行うことを特徴とするセキュリティ管理方法。
(付記27)ネットワークに接続された少なくとも一つのネットワークマシンからマシン情報を取得するマシン情報取得ステップと、
前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部からマシン関連情報を取得するマシン関連情報取得ステップと、
前記マシン情報とマシン関連情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断ステップと、
前記セキュリティ診断部による診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うためのセキュリティ実行ステップと
を備えてなるセキュリティ管理方法。
(付記28)セキュリティ管理をコンピュータに実行させるセキュリティ管理プログラムであって、
ネットワークにおけるセキュリティに関するセキュリティ情報を取得するセキュリティ情報取得ステップと、
ネットワークに接続された少なくとも一つのネットワークマシンからマシン情報を取得するマシン情報取得ステップと、
前記セキュリティ情報及び前記マシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断ステップと、
前記セキュリティ診断ステップによる診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うセキュリティ実行ステップと
をコンピュータに実行させるセキュリティ管理プログラム。
(付記29)付記28に記載のセキュリティ管理プログラムにおいて、
さらに、前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部から得られるマシン関連情報を取得するマシン関連情報取得ステップを備え、
前記セキュリティ診断ステップでは、前記セキュリティ情報及び前記マシン情報とともに、前記マシン関連情報に基づいて、前記セキュリティ診断を行うことをコンピュータに実行させるセキュリティ管理プログラム。
(付記30)セキュリティ管理をコンピュータに実行させるセキュリティ管理プログラムであって、
ネットワークに接続された少なくとも一つのネットワークマシンからマシン情報を取得するマシン情報取得ステップと、
前記ネットワークに接続され、又は前記ネットワークに接続される可能性のあるネットワークマシンについての所定の情報を記憶したマシン関連情報記憶部からマシン関連情報を取得するマシン関連情報取得ステップと、
前記マシン情報とマシン関連情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、セキュリティ関連処理の種別とその必要性の有無を判断するセキュリティ診断ステップと、
前記セキュリティ診断部による診断結果に基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、所定のセキュリティ対策処理を行うためのセキュリティ実行ステップと
をコンピュータに実行させるセキュリティ管理プログラム。
【図面の簡単な説明】
【0058】
【図1】本発明の実施の形態におけるセキュリティ管理システムの全体構成を原理的に示すブロック図である。
【図2】本発明の実施の形態の全体構成を示すブロック図である。
【図3】本発明の実施の形態1を示すブロック図でである。
【図4】セキュリティ管理が実施されるネットワークを示すブロック図である。
【図5】実施の形態1の動作を示すフローチャートである。
【図6】本発明の実施の形態2を示すブロック図である。
【図7】本発明の実施の形態2の動作を示すフローチャートである。
【図8】本発明の実施の形態3を示すブロック図である。
【図9】本発明の実施の形態3において、被害の有無を判断する動作を示す概念図である。
【図10】本発明の実施の形態3の動作を示すフローチャートである。
【図11】実施の形態4を示すブロック図である。
【図12】本発明の実施の形態4の動作を示すフローチャートである。
【図13】本発明の実施の形態5を示すブロック図である。
【図14】本発明の実施の形態5の動作を示すフローチャートである。
【図15】本発明の実施の形態6を示すブロック図である。
【図16】本発明の実施の形態6の動作を示すフローチャートである。
【図17】本発明の実施の形態におけるマシン情報の一例を示す図である。
【図18】本発明の実施の形態7として、各システムの第1の配属構成を示す図である。
【図19】本発明の実施の形態8として、各システムの第2の配属構成を示す図である。
【図20】本発明の実施の形態9として、各システムの第3の配属構成を示す図である。
【図21】本発明の実施の形態10として、各システムの第4の配属構成を示す図である。
【符号の説明】
【0059】
1 ネットワーク、2 ネットワークマシン、3 情報提供装置、4 予防システム、5 回復システム、41 診断部、42 各種データベース、43 ネットワーク監視装置、44 予防実行部、70 情報サービス提供者、71 管理サービス提供者、72 顧客ネットワーク、411 情報取得部、412 情報検索/比較部、413 判定部。
【特許請求の範囲】
【請求項1】
ネットワークにおけるセキュリティに関するセキュリティ情報を提供するセキュリティ情報提供装置と、
前記ネットワークに接続されたネットワークマシンについての所定の情報を記憶したマシン関連情報データベースと、
前記セキュリティ情報提供部から得られるセキュリティ情報と、前記マシン関連情報データベースから得られるマシン関連情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、被害の有無の判断、または予防の必要性の有無の判断を行う予防システムと、
前記予防システムの判断に基づいて、所定の被害がある場合には修復処理を行い、または予防措置をとる回復システムと
を備えてなるセキュリティ管理システム。
【請求項2】
請求項1に記載のセキュリティ管理システムにおいて、
前記予防システム又は前記回復システムは複数設けられ、これらシステムを統括的に管理する管理センタが設けられていることを特徴とするセキュリティ管理システム。
【請求項3】
請求項1に記載のセキュリティ管理システムにおいて、
前記予防システム又は前記回復システムは複数設けられ、これら複数のシステムのそれぞれで取得された情報が互いに共有されることを特徴とするセキュリティ管理システム。
【請求項4】
請求項1乃至請求項3のいずれかに記載のセキュリティ管理システムにおいて、
前記セキュリティ情報提供部の所有者側に前記予防システム及び前記回復システムが設けられていることを特徴とするセキュリティ管理システム。
【請求項5】
請求項1乃至請求項3のいずれかに記載のセキュリティ管理システムにおいて、
前記セキュリティ情報提供部の所有者側に前記予防システムが設けられ、管理サービスを提供する管理サービス提供者側に前記回復システムが設けられることを特徴とするセキュリティ管理システム。
【請求項6】
請求項1乃至請求項3のいずれかに記載のセキュリティ管理システムにおいて、
管理サービスを提供する管理サービス提供者側に前記予防システム及び前記回復システムが設けられることを特徴とするセキュリティ管理システム。
【請求項7】
請求項1乃至請求項6のいずれかに記載のセキュリティ管理システムにおいて、
前記回復システムにおいて取得された所定の情報が新たなセキュリティ情報として、前記予防システムにフィードバックされることを特徴とするセキュリティ管理システム。
【請求項1】
ネットワークにおけるセキュリティに関するセキュリティ情報を提供するセキュリティ情報提供装置と、
前記ネットワークに接続されたネットワークマシンについての所定の情報を記憶したマシン関連情報データベースと、
前記セキュリティ情報提供部から得られるセキュリティ情報と、前記マシン関連情報データベースから得られるマシン関連情報と、ネットワークに接続された少なくとも一つのネットワークマシンから取得されるマシン情報とに基づいて、前記ネットワークマシン若しくは前記ネットワークマシンが含まれる所定のネットワークに対して、被害の有無の判断、または予防の必要性の有無の判断を行う予防システムと、
前記予防システムの判断に基づいて、所定の被害がある場合には修復処理を行い、または予防措置をとる回復システムと
を備えてなるセキュリティ管理システム。
【請求項2】
請求項1に記載のセキュリティ管理システムにおいて、
前記予防システム又は前記回復システムは複数設けられ、これらシステムを統括的に管理する管理センタが設けられていることを特徴とするセキュリティ管理システム。
【請求項3】
請求項1に記載のセキュリティ管理システムにおいて、
前記予防システム又は前記回復システムは複数設けられ、これら複数のシステムのそれぞれで取得された情報が互いに共有されることを特徴とするセキュリティ管理システム。
【請求項4】
請求項1乃至請求項3のいずれかに記載のセキュリティ管理システムにおいて、
前記セキュリティ情報提供部の所有者側に前記予防システム及び前記回復システムが設けられていることを特徴とするセキュリティ管理システム。
【請求項5】
請求項1乃至請求項3のいずれかに記載のセキュリティ管理システムにおいて、
前記セキュリティ情報提供部の所有者側に前記予防システムが設けられ、管理サービスを提供する管理サービス提供者側に前記回復システムが設けられることを特徴とするセキュリティ管理システム。
【請求項6】
請求項1乃至請求項3のいずれかに記載のセキュリティ管理システムにおいて、
管理サービスを提供する管理サービス提供者側に前記予防システム及び前記回復システムが設けられることを特徴とするセキュリティ管理システム。
【請求項7】
請求項1乃至請求項6のいずれかに記載のセキュリティ管理システムにおいて、
前記回復システムにおいて取得された所定の情報が新たなセキュリティ情報として、前記予防システムにフィードバックされることを特徴とするセキュリティ管理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【公開番号】特開2009−37651(P2009−37651A)
【公開日】平成21年2月19日(2009.2.19)
【国際特許分類】
【出願番号】特願2008−292951(P2008−292951)
【出願日】平成20年11月17日(2008.11.17)
【分割の表示】特願2003−46251(P2003−46251)の分割
【原出願日】平成15年2月24日(2003.2.24)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成21年2月19日(2009.2.19)
【国際特許分類】
【出願日】平成20年11月17日(2008.11.17)
【分割の表示】特願2003−46251(P2003−46251)の分割
【原出願日】平成15年2月24日(2003.2.24)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]