不正アクセス対応ネットワークシステム
【課題】広域ネットワークに接続されたコンピュータシステム内の構成機器で生じる不正アクセスに応じた対処手法を実行する。
【解決手段】検知制御装置MG1は、インシデントログをイベント形式のインシデント情報(イベント)に変換するインシデントログ定型化手段101、イベントを格納する定型化イベントデータベース102、対処が必要なイベントを抽出するイベント候補抽出手段103、対処が必要なイベントに対応する対処手法を定義する対処手法定義データベース104、対処が必要なイベントの実例を格納するイベントフィルタ定義データベース105、対象機器の情報を格納する対象機器管理データベース106、イベントフィルタ定義から抽出された対象機器に関連する定義を格納する発生イベント管理データベース107、及び対処手法実行手段211を備えて構成されている。
【解決手段】検知制御装置MG1は、インシデントログをイベント形式のインシデント情報(イベント)に変換するインシデントログ定型化手段101、イベントを格納する定型化イベントデータベース102、対処が必要なイベントを抽出するイベント候補抽出手段103、対処が必要なイベントに対応する対処手法を定義する対処手法定義データベース104、対処が必要なイベントの実例を格納するイベントフィルタ定義データベース105、対象機器の情報を格納する対象機器管理データベース106、イベントフィルタ定義から抽出された対象機器に関連する定義を格納する発生イベント管理データベース107、及び対処手法実行手段211を備えて構成されている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、広域ネットワークに接続されたコンピュータシステムに対してセキュリティ管理手段を施すことにより、前記広域ネットワークを含むシステム全体のセキュリティを高める不正アクセス対応ネットワークシステムに係り、特に、ネットワークに接続されたコンピュータシステムのセキュリティを確保するために、不正アクセスに対する検知及び対処を行う手段を備えた不正アクセス対応ネットワークシステムに関する。
【背景技術】
【0002】
近年、インターネット技術が企業活動のインフラとして広く活用されるようになったことに伴い、コンピュータウィルスやスパイウェア等による情報資産への不正アクセスの脅威を回避するためのセキュリティ対策が重要となってきている。このため、広域ネットワーク(インターネット網等)とコンピュータシステムとの境界にファイアウォールを設置して、外部からの不正アクセスを排除することが一つの対策となっている。
また、ウイルス検知ソフトウェアをインストールすることによるウイルス対策や、侵入検知装置(以下、「IDS」と呼称する)を設置することによって不正アクセスを検知することが、他の一般的な対策として実施されている。
従来は、前述の対策をコンピュータシステムに施すことでもって、不正アクセス対応ネットワークシステムを構築していた。
【0003】
ところで、不正アクセス対応ネットワークシステムを構築するための従来の対策では、変身し続ける新たなコンピュータウィルスへの別途対策が必要となる。
例えば、ウイルス検知ソフトウェアは、既にコンピュータシステムへのインストールが完了したものであっても、コンピュータシステム全体に渡って、ウイルス定義ファイルや、パターンファイル等を常に最新のものに更新しておかないと、有効に動作しない。即ち、コンピュータシステムに属する複数の端末装置のうち、その一部でもウイルス定義ファイルの更新を怠ってしまうと、その端末装置はウイルスやスパイウェアに感染する結果を招き、やがては、その端末装置自体も他の端末装置に対して不正アクセスを行ってしまうことになるという問題点があった。
【0004】
そこで、このような問題点に対処するために、セキュリティ対策が十分でない端装置末からのウイルスの感染や不正アクセスを防止する共に、端末装置におけるセキュリティ対策を取ることを容易にするネットワークシステム及びネットワーク制御方法が提案されている(例えば、特許文献1参照。)。
【0005】
また、従来は不正アクセスを前述のIDSによって検知するものとしているが、実際にはIDSで検知できない不正アクセスも存在する。そこで、IDSでは検知できないタイプの不正アクセスを検知することを意図し、各種ネットワーク構成機器からの情報を使用して、不正アクセスを見逃す可能性を低減するシステムが提案されている(例えば、特許文献2参照。)。
【特許文献1】特開2005−197815号公報
【特許文献2】特開2005−202664号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、前述の特許文献1に記載のシステムでは、各端末装置のセキュリティ対策が十分になされたとしても、或る端末装置が、最新のウイルス定義ファイルに対応していない新型のウイルスやスパイウェアに感染した場合には、この端末装置がネットワークに接続されたままとなるので、不正アクセスがネットワーク中に蔓延してしまう。また、特許文献1に記載のネットワークシステムでは、前述のIDS(即ち、不正アクセスを検知する機器)が導入されていないため、不正アクセスの検出手段が無く、よって、ウイルスに感染した端末装置を特定するのに多大の時間と労力とを要するという問題点が有る。
【0007】
また、前述の特許文献2に記載のシステムでは、或る端末装置がウイルスやスパイウェアに感染した場合、IDSによって不正アクセスが検知できたとしても、この端末装置はネットワークに接続されたままなので、隣接する端末装置がウイルスやスパイウェアに感染してしまうという問題点がある。
【0008】
本発明は、上記従来の問題点に鑑みてなされたものであって、広域ネットワークに接続されたコンピュータシステム内の構成機器で生じる不正アクセスに応じた対処手法を実行することが可能として、不正アクセス見逃しの可能性を低減することができる不正アクセス対応ネットワークシステムを提供することを目的としている。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明に係る不正アクセス対応ネットワークシステムは、広域ネットワークに接続されたコンピュータシステムに対してセキュリティ管理手段を施すことにより、前記広域ネットワークを含むシステム全体のセキュリティを高める不正アクセス対応ネットワークシステムにおいて、前記広域ネットワークに接続された前記コンピュータシステム毎に、ネットワーク構成機器、複数種類の不正アクセスを検出するセンサ類、及び各種セキュリティアプリケーション等の、インシデントログ収集手段を備え、さらに、前記収集されたインシデントログの各々を定型形式のインシデントログ情報(以下、「イベント」と呼称する)に変換する手段と、前記イベントの内から、不正アクセスのイベントを検知する手段と、を備えたことを特徴とする不正アクセス対応ネットワークシステムを提供するものである。
このように構成することにより、ネットワーク構成機器、複数種類の不正アクセスに関する検知機器、及び各種セキュリティアプリケーションからの各種インシデントログを定型化し、定型化されたインシデントから不正アクセスのイベント検知を行い、ネットワーク機器の設定変更といったイベントに対応する対処手法を自動的に実行することによって、未知ウィルスやスパイウェアの感染等による不正アクセスを低減することができる。
【0010】
また、前記不正アクセス対応ネットワークシステムにおいて、前記検知手段は、対象管理機器情報、イベントフィルタ定義情報、及び発生イベント管理情報が事前に格納されたデータベースを備え、前記の各情報と前記収集されたイベントとを前記データベース上で照合することにより、不正アクセスのイベントを検知することを特徴とする。
このように構成することにより、様々な種類の不正アクセスをきめ細かく照合することができるので、効率良く、かつ漏れなく不正アクセスを検知することができる。
【0011】
さらに、前記不正アクセス対応ネットワークシステムにおいて、前記検知手段は、不正アクセスのイベントに対応する対処手法を定義した定義情報を事前に格納する対処手法格納データベースと、前記検知されたイベントと前記対処手法の定義情報とを前記対処手法格納データベース上で照合することにより、前記検知されたイベントに対応する対処手法を確定する手段と、前記確定された対処手法を実行する手段とを備えたことを特徴とする。
このように構成することにより、様々な種類の不正アクセスに対応する対処手法をきめ細かく照合することができるので、当該不正アクセスに最適な対処手法を実行することができる。また、前記イベントフィルタ定義情報と、対処手法格納データベース上の前記対処手法との組み合わせによって、多様なネットワーク構成機器、センサ、及びセキュリティ製品をそれぞれ連携させることが可能となる。例えば、セキュリティ製品ログSL1から取得できるインシデントログと連動させたファイアウォールに対するプロトコルの遮断制御、及び前述のIDSのインシデントログと連動させた各端末装置のウイルス定義ファイル強制更新の実施等、各種のセキュリティ製品と連動させたセキュリティ対策が可能となり、これにより、ネットワークシステム全体に対してセキュリティに関する多様な判断及び処置を行うことができる。
【0012】
また、前記不正アクセス対応ネットワークシステムは、不正アクセスのイベントに対応する対処手法の1つとして、不正アクセスを行った機器の接続ポートを閉塞する手段を有することを特徴とする。
このように構成することにより、例えば、端末装置からのウイルス感染による不正アクセスの拡大を確実に防止することができて、不正アクセスが有ったウェブサーバの性能低下を防ぐことができる。
【0013】
また、イベントフィルタ定義データベースに登録するイベントフィルタの定義と対処手法定義データベースに登録する対処手法の定義との組み合わせによって、多様なネットワーク構成機器、センサ、及びセキュリティ製品をそれぞれ連携させることが可能となる。例えば、セキュリティ製品ログSL1から取得できるインシデントログと連動したファイアウォールFW1に対してプロトコルの遮断制御、IDSのインシデントログと連動した各端末装置のウイルス定義ファイル強制更新といったセキュリティ製品SP1との連動、といったセキュリティ対策が可能となる。これにより、ネットワークシステム全体に対してセキュリティに関する多様な判断及び処置を行うことが可能となる。
【発明の効果】
【0014】
以上説明したように、本発明の不正アクセス対応ネットワークシステムによれば、ネットワーク構成機器、複数種類の不正アクセスに関する検知機器、及び各種セキュリティアプリケーションからの各種インシデントログを全て使用した不正アクセスの検知が行われると共に、検知された不正アクセスの各々に対応した対処手法が実行されるので、不正アクセスを低減することができて、セキュリティ管理の面でネットワークシステムの信頼性と保全性を向上させることができる効果がある。
【発明を実施するための最良の形態】
【0015】
以下、本発明の不正アクセス対応ネットワークシステムの最良の実施形態について、〔第1の実施形態〕、〔第2の実施形態〕の順に図面を参照して詳細に説明する。
【0016】
〔第1の実施形態〕
図1は、本発明の第1の実施形態に係る不正アクセス対応ネットワークシステムの全体構成を示す構成図である。同図では、1つのコンピュータシステム(サイト)を含む構成例を示しているが、本実施形態に係る不正アクセス対応ネットワークシステムは、一般に、複数のサイトを配置することが可能である。
【0017】
図1において、本実施形態の不正アクセス対応ネットワークシステムは、まず、ネットワーク構成として、広域ネットワークNW1と、広域ネットワークNW1との接続を担う外部ネットワークNE1と、外部ネットワークNE1に接続されたルータRT1と、ルータRT1に接続されたファイアウォールFW1と、ファイアウォールFW1に接続された公開ネットワークND1及び内部ネットワークNL1と、ルータRT1及びファイアウォールFW1に接続された管理ネットワークNM1と、を備える。
【0018】
公開ネットワークND1には、PROXYサーバSV1、WebサーバSV2、DNSサーバSV3、メールサーバSV4が接続され、内部ネットワークNL1には、スイッチSW1が接続されている。
スイッチSW1には、端末装置PC1,PC2、ウイルス対策サーバSV5が接続され、管理ネットワークNM1には、検知制御装置MG1が接続されている。
侵入検知装置(IDS)ID1,ID2には、外部ネットワークNE1と、公開ネットワークND1とにそれぞれ接続されている。
【0019】
ファイアウォールFW1、侵入検知装置ID1,1D2、ルーターRT1、スイッチSW1、PROXYサーバSV1、WebサーバSV2、DNSサーバSV3、メールサーバSV4、及びウイルス対策サーバSV5におけるインシデントログ(事件記録)は、サイト内のインシデントログとして、管理ネットワークNM1を介して検知制御装置MG1へ送出される。
【0020】
なお、図1では省略しているが、他に、各種サービスアプリケーション、各種オペレーティングシステム、各種セキュリティアプリケーション(例えばウィルス検知アプリケーション)を備えるものとし、また、これらのインシデントログもサイト内における他のインシデントログとして、検知制御装置MG1へ送出されるものとする(図2参照)。
なお、各種のインシデントログは、所定のテーブル項目を有する形式に定型化することで、イベント形式のインシデントログ情報に変換することが可能となる(図3参照)。
【0021】
検知制御装置MG1は、前記送出されたインシデントログを解析し、不正アクセスを検知する。その後、不正アクセスの種類に応じた対処手法を実行する。
図2は、検知制御装置MGを中心とする機能ブロックの1構成例を示す構成図である。同図では、図1に示す検知制御装置MG1の詳細構成例と、不正アクセスが行われた時に、セキリティ対策として、その対処手法が施されるべき対象を含むブロック301の各構成要素と、ブロック301の各構成要素が備えるインシデントログとが示されている。ブロック301は、IDS、各種ネットワーク機器、ファイアウォール、各種サーバ、各種セキュリティアプリケーションを含む。
【0022】
検知制御装置MG1は、インシデントログをイベント形式のインシデント情報(即ちイベント;図3参照)に変換するインシデントログ定型化手段101と、イベントを格納する定型化イベントデータベース102と、対処が必要なイベントか否かを判定して対処が必要なイベントを抽出するイベント候補抽出手段103と、対処が必要なイベントに対応する対処手法を定義する対処手法定義データベース104と、対処が必要なイベントの実例を格納するイベントフィルタ定義データベース105と、対象機器の情報を格納する対象機器管理データベース106と、イベントフィルタ定義から抽出された対象機器に関連する定義を格納する発生イベント管理データベース107と、対処手法実行手段211と、を備える。
【0023】
検知制御装置MG1では、定型化手段102が、各種インシデントログを、図3に示すイベント形式のインシデントログ情報へ変換する。
このイベント形式のインシデントログ情報は、イベント候補抽出手段103(図2)によって、イベントフィルタ定義データベース105(図2)を照合することによって、予め構成されたイベントフィルタと合致したイベントだけが抽出され、合致しないイベントは除外される。
即ち、イベント候補抽出手段103は、イベント形式のインシデントログ情報(以下、「イベント」と略称する)から、このイベントフィルタと合致したものだけを不正アクセスのイベント候補として抽出する。
このイベントフィルタには、特定の送信元IPアドレスや宛先IPアドレス、プロトコル種類、宛先TCPポート番号(IPアドレス)の他、各種インシデントログ中のステータスメッセージ文字列等の各種条件を設定することができる。
【0024】
図3は、インシデントログが定型のイベント形式に変換されたインシデントログ情報の1例を示した説明図である。ネットワーク構成機器、複数種類の不正アクセスに関するセンサ、及び各種セキュリティアプリケーションの各インシデントログは、所定のテーブル項目を有する形式に定型化することで、図3に示すイベント形式のインシデントログ情報とすることができる。
【0025】
図3に示すイベント形式のインシデントログ情報は、日付、時刻、サービス、プロトコル、発信元ホスト、発信元IPアドレス、発信元MACアドレス、ユーザアカウント名、宛先元ホスト、宛先IPアドレス、及びイベントメッセージの各項目を含む。
【0026】
図4は、イベントフィルタ定義データベース105の1構成例を示す説明図である。同図において、項番FTC1は、ステータスの定義であり、対象とするイベントのステータスを指定する項目である。
項番FTC2は、アクションの定義であり、イベント定義の条件が成立した場合に、対処手法を実行するか否かの動作を指定する項目である。
項番FTC3は、監視対象IPアドレスの定義であり、イベント定義の対象とする監視対象機器のIPアドレスを指定する項目である。
項番FTC4は、監視対象MACアドレスの定義であり、イベント定義の対象とする監視対象機器のMACアドレスを指定する項目である。
項番FTC5は、監視対象ホスト名の定義であり、イベント定義の対象とする監視対象機器のホスト名を指定する項目である。
項番FTC6は、ユーザアカウントの定義であり、ユーザアカウントを指定する項目である。
項番FTC7は、送信元IPアドレスの定義であり、イベント定義の対象とするパケット送信元機器のIPアドレスを指定する項目である。
項番FTC8は、送信元MACアドレスの定義であり、イベント定義の対象とするパケット送信元機器のMACアドレスを指定する項目である。
項番FTC9は、送信元ホスト名の定義であり、イベント定義の対象とするパケット送信元機器のホスト名を指定する項目である。
項番FTC10は、「対象時間」の定義であり、イベントを検知してから、同一イベントが後述する「対象回数」の項目で指定した回数発生した後、当該イベントに対応する対処手法を実行するまでの時間を指定する項目である。
項番FTC11は、「対象回数」の定義であり、前述の「対象時間」で指定した期間内に、当該イベントに対応する対処手法を実行するまでの当該イベントの発生回数を指定する項目である。
項番FTC12は、「対象間隔」の定義であり、当該イベントに対応する対処手法を実行してから、当該イベントに対応する対処手法の実行を抑止する時間間隔を指定する項目である。
項番FTC13は、「対象期間」の定義であり、当該イベントが有効となる時間を指定するか、若しくは当該イベントが有効となることが特定される曜日を指定する項目である。
【0027】
なお、図4において、フィルタ例1として記載されている各項目を総合した意味は、監視対象のホスト(ここでは「WebServer」)に対して、不正アクセスが1時間以内に1000回行われた場合に対処手法を実行することである。
また、フィルタ例2として記載されている各項目を総合した意味は、監視対象のIPアドレス(ここでは「192.168.0.1」)に対して、盗聴が1時間以内に行われた場合に対処手法を実行することである。
【0028】
図5は、不正アクセスのイベント候補を抽出するイベント候補抽出手段103の動作を示すフローチャート図である。以下、図1〜3を参照しながら、図5に示すフローチャートに従ってイベント候補抽出手段103の動作を説明する。
【0029】
まず、イベントに含まれる送信元IPアドレスに一致する対象機器情報を、対象機器管理データベース106から検索する(ステップ201)。
次に、この対象機器情報の検索結果を検証し、対象機器情報が有る場合にはステップ205に進む。また、対象機器情報が無い場合には、ステップ203に移り、該当する対象機器の情報を対象機器管理データベース106に登録する。その後、ステップ204にて、対象機器の情報をデータベース106に登録する際にはイベントフィルタ定義から対象機器に関連する定義を関連付けるため、イベントフィルタ定義から対象機器に関連する定義を抽出して成る発生イベント管理情報を発生イベント管理データベース107に登録する。
【0030】
ステップ205では、IPアドレス/コンピュータ名/ステータス等に一致するイベントを、対象機器管理データベース106及び発生イベント管理データベース107から検索する。
次に、このイベントの検索結果をステップ206にて検証し、該当イベントが無い場合には、イベント候補抽出処理を終了する。また、該当イベントが有る場合には、ステップ207に進む。
【0031】
ステップ207では、発生イベント管理データベースに発生イベント詳細情報の登録を行う。
更に、発生イベント詳細情報のチェックを行う(ステップ208)。
なお、この発生イベント詳細情報のチェックにおいて、指定した監視時間/繰り返し期間が一致するか否かの検証を行い(ステップ209)、指定した監視時間/繰り返し期間が一致しない場合には、イベント候補抽出処理を終了する。また、指定した監視時間/繰り返し期間が一致する場合には、ステップ210に進む。
【0032】
ステップ210では、イベントフィルタの定義条件が成立した場合の対処実行の指定の有無を判定し、対処実行の指定が無い場合には、イベント候補抽出処理を終了する。また、対処実行の指定が有る場合には、ステップ211に進む。
ステップ211では、当該イベントに対応する対処手法を実行する(これにより、各種インシデントログから不正アクセスのイベントを検知することが可能となる。)。より具体的には、ステップ211では、当該イベントに対応する対処手法を、対処手法定義データベース104より抽出し、当該対処手法を対処先(図2に示すブロック301内のネットワーク構成機器、複数種類の不正アクセスに関するセンサ、及び各種セキュリティアプリケーション)に対して実施する(これにより、前述のネットワーク構成機器、複数種類の不正アクセスに関するセンサ、及び各種セキュリティアプリケーションに対する設定変更等の指示が行われ、不正アクセスの低減が可能となる)。
【0033】
この実施形態によれば、サイト内の主要な機器で生じた不正アクセスのインシデントログは、全て検知制御装置MG1に集中させ、検知制御装置MG1によって不正アクセスがなされたことを検知して、この不正アクセスの種類に応じた対処手法を実施することができるので、広域ネットワークNW1に接続されたサイト内のセキュリティ管理が強固になり、ひいては広域ネットワークNW1のセキュリティ管理も強化することができる効果がある。
【0034】
〔第2の実施形態〕
図6は、本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの全体構成を示す構成図である。同図において、図1と重複する部分には同一の符号を附して説明を省略する。
同図に示す本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの全体構成は、図1に示す本発明の第1の実施形態に係る不正アクセス対応ネットワークシステムの全体構成と同じであり、スイッチSW1を使用した不正アクセスへの対処手法だけが異なる。
【0035】
図7は、本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの動作を示すフローチャート図である。
本実施形態では、まず、端末装置PC1がウイルスに感染する(ステップ501)。
これにより、端末装置PC1は、WebサーバSV2に対して、ウイルス感染による不正アクセスAC1を行う(ステップ502)。
この時、IDS(ID2)は、端末装置PC1のWebサーバSV2への不正アクセスAC1を検知する(ステップ503)。
これにより、IDS(ID2)は、インシデントログL01を出力する(ステップ504)。
次に、検知制御装置MG1は、インシデントログL01を収集する(ステップ505)。
次に、検知制御装置MG1は、インシデントログL01から定型化したイベントに変換する(ステップ506)。
次に、検知制御装置MG1は、イベントフィルタの定義よりイベント候補抽出処理を行い、不正アクセスのイベントを検知する(ステップ507)。
さらに、検知制御装置MG1は、対処手法実行手段によりイベントに対応する対処手法CL1(ポート閉塞)を取得する(ステップ508)。
さらに、検知制御装置MG1は、スイッチSW1に指示して対処手法CL1を実施させる(ステップ509)。
検知制御装置MG1より指示を受けたスイッチSW1は、指示された対処手法CL1により、端末装置PC1が接続しているポートを閉塞する(ステップ510)。
【0036】
このように動作することにより、端末装置PC1からのウイルス感染による不正アクセスの拡大を確実に防止し、不正アクセスが有ったWebサーバSV2の性能低下を防ぐことが可能となる。
【0037】
以上の各実施形態によれば、ネットワーク構成機器、複数種類の不正アクセスに関するセンサ及び各種セキュリティアプリケーションのインシデントログを定型化し、定型化されたインシデントから不正アクセスのイベント検知を行い、ネットワーク機器の設定変更といったイベントに対応する対処手法を自動的に実行することによって、未知ウィルスやスパイウェアの感染等による不正アクセスを低減することが可能となる。
【0038】
また、イベントフィルタ定義データベースに登録するイベントフィルタの定義と対処手法定義データベースに登録する対処手法の定義との組み合わせによって、多様なネットワーク構成機器、センサ、及びセキュリティ製品をそれぞれ連携させることが可能となる。例えば、セキュリティ製品ログSL1から取得できるインシデントログと連動させたファイアウォールFW1に対するプロトコルの遮断制御、及び前述のIDSのインシデントログと連動させた各端末装置のウイルス定義ファイル強制更新の実施等、各種セキュリティアプリケーションSP1と連動させたセキュリティ対策が可能となる。これにより、ネットワークシステム全体に対してセキュリティに関する多様な判断及び処置を行うことが可能になる。
【0039】
なお、本発明に係る不正アクセス対応ネットワークシステムの各構成要素の処理の少なくとも一部をコンピュータ制御により実行するものとし、かつ、上記処理を、図5,7のフローチャートで示した手順によりコンピュータに実行せしめるプログラムは、半導体メモリを始め、CD−ROMや磁気テープなどのコンピュータ読み取り可能な記録媒体に格納して配付してもよい。そして、少なくともマイクロコンピュータ,パーソナルコンピュータ,汎用コンピュータを範疇に含むコンピュータが、上記の記録媒体から上記プログラムを読み出して、実行するものとしてもよい。
【産業上の利用可能性】
【0040】
本発明は、ウィルスやスパイウェア等による情報資産への脅威を低減し、コンピュータシステム、ひいては広域ネットワーク全体のセキュリティ管理機能を強化することができるので、特に、インターネット技術を企業活動のインフラとして活用している産業において極めて有効である。
【図面の簡単な説明】
【0041】
【図1】本発明の第1の実施形態に係る不正アクセス対応ネットワークシステムの全体構成を示す構成図である。
【図2】検知制御装置MGを中心とする機能ブロックの1構成例を示す構成図である。
【図3】インシデントログが定型のイベント形式に変換されたインシデントログ情報の1例を示した説明図である。
【図4】イベントフィルタ定義データベース105の1構成例を示す説明図である。
【図5】不正アクセスのイベント候補を抽出するイベント候補抽出手段103の動作を示すフローチャート図である。
【図6】本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの全体構成を示す構成図である。
【図7】本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの動作を示すフローチャート図である。
【符号の説明】
【0042】
101 インシデントログ定型化手段
102 定型化イベント
103 イベント候補抽出手段
104 対処手法定義データベース
105 イベントフィルタ定義データベース
106 対象機器管理データベース
107 発生イベント管理データベース
301 ブロック(対処法が施されるべき対象を含む)
AC1 ウイルス感染による不正アクセス
CL1 ポート閉塞の指示
FW1 ファイアウォール
ID1,ID2 侵入検知装置(IDS)
LO1 ID2のインシデントログ
MG1 検知制御装置
ND1 公開ネットワーク
NE1 外部ネットワーク
NL1 内部ネットワーク
NM1 管理ネットワーク
NW1 広域ネットワーク
PC1 端末装置
PC2 端末装置
RT1 ルータ
SL1 各種セキュリティアプリケーションインシデントログ
SP1 対処手法を適用する各種セキュリティアプリケーション
SV1 PROXYサーバ
SV2 Webサーバ
SV3 DNSサーバ
SV4 メールサーバ
SV5 ウイルス対策サーバ
SW1 スイッチ
【技術分野】
【0001】
本発明は、広域ネットワークに接続されたコンピュータシステムに対してセキュリティ管理手段を施すことにより、前記広域ネットワークを含むシステム全体のセキュリティを高める不正アクセス対応ネットワークシステムに係り、特に、ネットワークに接続されたコンピュータシステムのセキュリティを確保するために、不正アクセスに対する検知及び対処を行う手段を備えた不正アクセス対応ネットワークシステムに関する。
【背景技術】
【0002】
近年、インターネット技術が企業活動のインフラとして広く活用されるようになったことに伴い、コンピュータウィルスやスパイウェア等による情報資産への不正アクセスの脅威を回避するためのセキュリティ対策が重要となってきている。このため、広域ネットワーク(インターネット網等)とコンピュータシステムとの境界にファイアウォールを設置して、外部からの不正アクセスを排除することが一つの対策となっている。
また、ウイルス検知ソフトウェアをインストールすることによるウイルス対策や、侵入検知装置(以下、「IDS」と呼称する)を設置することによって不正アクセスを検知することが、他の一般的な対策として実施されている。
従来は、前述の対策をコンピュータシステムに施すことでもって、不正アクセス対応ネットワークシステムを構築していた。
【0003】
ところで、不正アクセス対応ネットワークシステムを構築するための従来の対策では、変身し続ける新たなコンピュータウィルスへの別途対策が必要となる。
例えば、ウイルス検知ソフトウェアは、既にコンピュータシステムへのインストールが完了したものであっても、コンピュータシステム全体に渡って、ウイルス定義ファイルや、パターンファイル等を常に最新のものに更新しておかないと、有効に動作しない。即ち、コンピュータシステムに属する複数の端末装置のうち、その一部でもウイルス定義ファイルの更新を怠ってしまうと、その端末装置はウイルスやスパイウェアに感染する結果を招き、やがては、その端末装置自体も他の端末装置に対して不正アクセスを行ってしまうことになるという問題点があった。
【0004】
そこで、このような問題点に対処するために、セキュリティ対策が十分でない端装置末からのウイルスの感染や不正アクセスを防止する共に、端末装置におけるセキュリティ対策を取ることを容易にするネットワークシステム及びネットワーク制御方法が提案されている(例えば、特許文献1参照。)。
【0005】
また、従来は不正アクセスを前述のIDSによって検知するものとしているが、実際にはIDSで検知できない不正アクセスも存在する。そこで、IDSでは検知できないタイプの不正アクセスを検知することを意図し、各種ネットワーク構成機器からの情報を使用して、不正アクセスを見逃す可能性を低減するシステムが提案されている(例えば、特許文献2参照。)。
【特許文献1】特開2005−197815号公報
【特許文献2】特開2005−202664号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、前述の特許文献1に記載のシステムでは、各端末装置のセキュリティ対策が十分になされたとしても、或る端末装置が、最新のウイルス定義ファイルに対応していない新型のウイルスやスパイウェアに感染した場合には、この端末装置がネットワークに接続されたままとなるので、不正アクセスがネットワーク中に蔓延してしまう。また、特許文献1に記載のネットワークシステムでは、前述のIDS(即ち、不正アクセスを検知する機器)が導入されていないため、不正アクセスの検出手段が無く、よって、ウイルスに感染した端末装置を特定するのに多大の時間と労力とを要するという問題点が有る。
【0007】
また、前述の特許文献2に記載のシステムでは、或る端末装置がウイルスやスパイウェアに感染した場合、IDSによって不正アクセスが検知できたとしても、この端末装置はネットワークに接続されたままなので、隣接する端末装置がウイルスやスパイウェアに感染してしまうという問題点がある。
【0008】
本発明は、上記従来の問題点に鑑みてなされたものであって、広域ネットワークに接続されたコンピュータシステム内の構成機器で生じる不正アクセスに応じた対処手法を実行することが可能として、不正アクセス見逃しの可能性を低減することができる不正アクセス対応ネットワークシステムを提供することを目的としている。
【課題を解決するための手段】
【0009】
上記課題を解決するために、本発明に係る不正アクセス対応ネットワークシステムは、広域ネットワークに接続されたコンピュータシステムに対してセキュリティ管理手段を施すことにより、前記広域ネットワークを含むシステム全体のセキュリティを高める不正アクセス対応ネットワークシステムにおいて、前記広域ネットワークに接続された前記コンピュータシステム毎に、ネットワーク構成機器、複数種類の不正アクセスを検出するセンサ類、及び各種セキュリティアプリケーション等の、インシデントログ収集手段を備え、さらに、前記収集されたインシデントログの各々を定型形式のインシデントログ情報(以下、「イベント」と呼称する)に変換する手段と、前記イベントの内から、不正アクセスのイベントを検知する手段と、を備えたことを特徴とする不正アクセス対応ネットワークシステムを提供するものである。
このように構成することにより、ネットワーク構成機器、複数種類の不正アクセスに関する検知機器、及び各種セキュリティアプリケーションからの各種インシデントログを定型化し、定型化されたインシデントから不正アクセスのイベント検知を行い、ネットワーク機器の設定変更といったイベントに対応する対処手法を自動的に実行することによって、未知ウィルスやスパイウェアの感染等による不正アクセスを低減することができる。
【0010】
また、前記不正アクセス対応ネットワークシステムにおいて、前記検知手段は、対象管理機器情報、イベントフィルタ定義情報、及び発生イベント管理情報が事前に格納されたデータベースを備え、前記の各情報と前記収集されたイベントとを前記データベース上で照合することにより、不正アクセスのイベントを検知することを特徴とする。
このように構成することにより、様々な種類の不正アクセスをきめ細かく照合することができるので、効率良く、かつ漏れなく不正アクセスを検知することができる。
【0011】
さらに、前記不正アクセス対応ネットワークシステムにおいて、前記検知手段は、不正アクセスのイベントに対応する対処手法を定義した定義情報を事前に格納する対処手法格納データベースと、前記検知されたイベントと前記対処手法の定義情報とを前記対処手法格納データベース上で照合することにより、前記検知されたイベントに対応する対処手法を確定する手段と、前記確定された対処手法を実行する手段とを備えたことを特徴とする。
このように構成することにより、様々な種類の不正アクセスに対応する対処手法をきめ細かく照合することができるので、当該不正アクセスに最適な対処手法を実行することができる。また、前記イベントフィルタ定義情報と、対処手法格納データベース上の前記対処手法との組み合わせによって、多様なネットワーク構成機器、センサ、及びセキュリティ製品をそれぞれ連携させることが可能となる。例えば、セキュリティ製品ログSL1から取得できるインシデントログと連動させたファイアウォールに対するプロトコルの遮断制御、及び前述のIDSのインシデントログと連動させた各端末装置のウイルス定義ファイル強制更新の実施等、各種のセキュリティ製品と連動させたセキュリティ対策が可能となり、これにより、ネットワークシステム全体に対してセキュリティに関する多様な判断及び処置を行うことができる。
【0012】
また、前記不正アクセス対応ネットワークシステムは、不正アクセスのイベントに対応する対処手法の1つとして、不正アクセスを行った機器の接続ポートを閉塞する手段を有することを特徴とする。
このように構成することにより、例えば、端末装置からのウイルス感染による不正アクセスの拡大を確実に防止することができて、不正アクセスが有ったウェブサーバの性能低下を防ぐことができる。
【0013】
また、イベントフィルタ定義データベースに登録するイベントフィルタの定義と対処手法定義データベースに登録する対処手法の定義との組み合わせによって、多様なネットワーク構成機器、センサ、及びセキュリティ製品をそれぞれ連携させることが可能となる。例えば、セキュリティ製品ログSL1から取得できるインシデントログと連動したファイアウォールFW1に対してプロトコルの遮断制御、IDSのインシデントログと連動した各端末装置のウイルス定義ファイル強制更新といったセキュリティ製品SP1との連動、といったセキュリティ対策が可能となる。これにより、ネットワークシステム全体に対してセキュリティに関する多様な判断及び処置を行うことが可能となる。
【発明の効果】
【0014】
以上説明したように、本発明の不正アクセス対応ネットワークシステムによれば、ネットワーク構成機器、複数種類の不正アクセスに関する検知機器、及び各種セキュリティアプリケーションからの各種インシデントログを全て使用した不正アクセスの検知が行われると共に、検知された不正アクセスの各々に対応した対処手法が実行されるので、不正アクセスを低減することができて、セキュリティ管理の面でネットワークシステムの信頼性と保全性を向上させることができる効果がある。
【発明を実施するための最良の形態】
【0015】
以下、本発明の不正アクセス対応ネットワークシステムの最良の実施形態について、〔第1の実施形態〕、〔第2の実施形態〕の順に図面を参照して詳細に説明する。
【0016】
〔第1の実施形態〕
図1は、本発明の第1の実施形態に係る不正アクセス対応ネットワークシステムの全体構成を示す構成図である。同図では、1つのコンピュータシステム(サイト)を含む構成例を示しているが、本実施形態に係る不正アクセス対応ネットワークシステムは、一般に、複数のサイトを配置することが可能である。
【0017】
図1において、本実施形態の不正アクセス対応ネットワークシステムは、まず、ネットワーク構成として、広域ネットワークNW1と、広域ネットワークNW1との接続を担う外部ネットワークNE1と、外部ネットワークNE1に接続されたルータRT1と、ルータRT1に接続されたファイアウォールFW1と、ファイアウォールFW1に接続された公開ネットワークND1及び内部ネットワークNL1と、ルータRT1及びファイアウォールFW1に接続された管理ネットワークNM1と、を備える。
【0018】
公開ネットワークND1には、PROXYサーバSV1、WebサーバSV2、DNSサーバSV3、メールサーバSV4が接続され、内部ネットワークNL1には、スイッチSW1が接続されている。
スイッチSW1には、端末装置PC1,PC2、ウイルス対策サーバSV5が接続され、管理ネットワークNM1には、検知制御装置MG1が接続されている。
侵入検知装置(IDS)ID1,ID2には、外部ネットワークNE1と、公開ネットワークND1とにそれぞれ接続されている。
【0019】
ファイアウォールFW1、侵入検知装置ID1,1D2、ルーターRT1、スイッチSW1、PROXYサーバSV1、WebサーバSV2、DNSサーバSV3、メールサーバSV4、及びウイルス対策サーバSV5におけるインシデントログ(事件記録)は、サイト内のインシデントログとして、管理ネットワークNM1を介して検知制御装置MG1へ送出される。
【0020】
なお、図1では省略しているが、他に、各種サービスアプリケーション、各種オペレーティングシステム、各種セキュリティアプリケーション(例えばウィルス検知アプリケーション)を備えるものとし、また、これらのインシデントログもサイト内における他のインシデントログとして、検知制御装置MG1へ送出されるものとする(図2参照)。
なお、各種のインシデントログは、所定のテーブル項目を有する形式に定型化することで、イベント形式のインシデントログ情報に変換することが可能となる(図3参照)。
【0021】
検知制御装置MG1は、前記送出されたインシデントログを解析し、不正アクセスを検知する。その後、不正アクセスの種類に応じた対処手法を実行する。
図2は、検知制御装置MGを中心とする機能ブロックの1構成例を示す構成図である。同図では、図1に示す検知制御装置MG1の詳細構成例と、不正アクセスが行われた時に、セキリティ対策として、その対処手法が施されるべき対象を含むブロック301の各構成要素と、ブロック301の各構成要素が備えるインシデントログとが示されている。ブロック301は、IDS、各種ネットワーク機器、ファイアウォール、各種サーバ、各種セキュリティアプリケーションを含む。
【0022】
検知制御装置MG1は、インシデントログをイベント形式のインシデント情報(即ちイベント;図3参照)に変換するインシデントログ定型化手段101と、イベントを格納する定型化イベントデータベース102と、対処が必要なイベントか否かを判定して対処が必要なイベントを抽出するイベント候補抽出手段103と、対処が必要なイベントに対応する対処手法を定義する対処手法定義データベース104と、対処が必要なイベントの実例を格納するイベントフィルタ定義データベース105と、対象機器の情報を格納する対象機器管理データベース106と、イベントフィルタ定義から抽出された対象機器に関連する定義を格納する発生イベント管理データベース107と、対処手法実行手段211と、を備える。
【0023】
検知制御装置MG1では、定型化手段102が、各種インシデントログを、図3に示すイベント形式のインシデントログ情報へ変換する。
このイベント形式のインシデントログ情報は、イベント候補抽出手段103(図2)によって、イベントフィルタ定義データベース105(図2)を照合することによって、予め構成されたイベントフィルタと合致したイベントだけが抽出され、合致しないイベントは除外される。
即ち、イベント候補抽出手段103は、イベント形式のインシデントログ情報(以下、「イベント」と略称する)から、このイベントフィルタと合致したものだけを不正アクセスのイベント候補として抽出する。
このイベントフィルタには、特定の送信元IPアドレスや宛先IPアドレス、プロトコル種類、宛先TCPポート番号(IPアドレス)の他、各種インシデントログ中のステータスメッセージ文字列等の各種条件を設定することができる。
【0024】
図3は、インシデントログが定型のイベント形式に変換されたインシデントログ情報の1例を示した説明図である。ネットワーク構成機器、複数種類の不正アクセスに関するセンサ、及び各種セキュリティアプリケーションの各インシデントログは、所定のテーブル項目を有する形式に定型化することで、図3に示すイベント形式のインシデントログ情報とすることができる。
【0025】
図3に示すイベント形式のインシデントログ情報は、日付、時刻、サービス、プロトコル、発信元ホスト、発信元IPアドレス、発信元MACアドレス、ユーザアカウント名、宛先元ホスト、宛先IPアドレス、及びイベントメッセージの各項目を含む。
【0026】
図4は、イベントフィルタ定義データベース105の1構成例を示す説明図である。同図において、項番FTC1は、ステータスの定義であり、対象とするイベントのステータスを指定する項目である。
項番FTC2は、アクションの定義であり、イベント定義の条件が成立した場合に、対処手法を実行するか否かの動作を指定する項目である。
項番FTC3は、監視対象IPアドレスの定義であり、イベント定義の対象とする監視対象機器のIPアドレスを指定する項目である。
項番FTC4は、監視対象MACアドレスの定義であり、イベント定義の対象とする監視対象機器のMACアドレスを指定する項目である。
項番FTC5は、監視対象ホスト名の定義であり、イベント定義の対象とする監視対象機器のホスト名を指定する項目である。
項番FTC6は、ユーザアカウントの定義であり、ユーザアカウントを指定する項目である。
項番FTC7は、送信元IPアドレスの定義であり、イベント定義の対象とするパケット送信元機器のIPアドレスを指定する項目である。
項番FTC8は、送信元MACアドレスの定義であり、イベント定義の対象とするパケット送信元機器のMACアドレスを指定する項目である。
項番FTC9は、送信元ホスト名の定義であり、イベント定義の対象とするパケット送信元機器のホスト名を指定する項目である。
項番FTC10は、「対象時間」の定義であり、イベントを検知してから、同一イベントが後述する「対象回数」の項目で指定した回数発生した後、当該イベントに対応する対処手法を実行するまでの時間を指定する項目である。
項番FTC11は、「対象回数」の定義であり、前述の「対象時間」で指定した期間内に、当該イベントに対応する対処手法を実行するまでの当該イベントの発生回数を指定する項目である。
項番FTC12は、「対象間隔」の定義であり、当該イベントに対応する対処手法を実行してから、当該イベントに対応する対処手法の実行を抑止する時間間隔を指定する項目である。
項番FTC13は、「対象期間」の定義であり、当該イベントが有効となる時間を指定するか、若しくは当該イベントが有効となることが特定される曜日を指定する項目である。
【0027】
なお、図4において、フィルタ例1として記載されている各項目を総合した意味は、監視対象のホスト(ここでは「WebServer」)に対して、不正アクセスが1時間以内に1000回行われた場合に対処手法を実行することである。
また、フィルタ例2として記載されている各項目を総合した意味は、監視対象のIPアドレス(ここでは「192.168.0.1」)に対して、盗聴が1時間以内に行われた場合に対処手法を実行することである。
【0028】
図5は、不正アクセスのイベント候補を抽出するイベント候補抽出手段103の動作を示すフローチャート図である。以下、図1〜3を参照しながら、図5に示すフローチャートに従ってイベント候補抽出手段103の動作を説明する。
【0029】
まず、イベントに含まれる送信元IPアドレスに一致する対象機器情報を、対象機器管理データベース106から検索する(ステップ201)。
次に、この対象機器情報の検索結果を検証し、対象機器情報が有る場合にはステップ205に進む。また、対象機器情報が無い場合には、ステップ203に移り、該当する対象機器の情報を対象機器管理データベース106に登録する。その後、ステップ204にて、対象機器の情報をデータベース106に登録する際にはイベントフィルタ定義から対象機器に関連する定義を関連付けるため、イベントフィルタ定義から対象機器に関連する定義を抽出して成る発生イベント管理情報を発生イベント管理データベース107に登録する。
【0030】
ステップ205では、IPアドレス/コンピュータ名/ステータス等に一致するイベントを、対象機器管理データベース106及び発生イベント管理データベース107から検索する。
次に、このイベントの検索結果をステップ206にて検証し、該当イベントが無い場合には、イベント候補抽出処理を終了する。また、該当イベントが有る場合には、ステップ207に進む。
【0031】
ステップ207では、発生イベント管理データベースに発生イベント詳細情報の登録を行う。
更に、発生イベント詳細情報のチェックを行う(ステップ208)。
なお、この発生イベント詳細情報のチェックにおいて、指定した監視時間/繰り返し期間が一致するか否かの検証を行い(ステップ209)、指定した監視時間/繰り返し期間が一致しない場合には、イベント候補抽出処理を終了する。また、指定した監視時間/繰り返し期間が一致する場合には、ステップ210に進む。
【0032】
ステップ210では、イベントフィルタの定義条件が成立した場合の対処実行の指定の有無を判定し、対処実行の指定が無い場合には、イベント候補抽出処理を終了する。また、対処実行の指定が有る場合には、ステップ211に進む。
ステップ211では、当該イベントに対応する対処手法を実行する(これにより、各種インシデントログから不正アクセスのイベントを検知することが可能となる。)。より具体的には、ステップ211では、当該イベントに対応する対処手法を、対処手法定義データベース104より抽出し、当該対処手法を対処先(図2に示すブロック301内のネットワーク構成機器、複数種類の不正アクセスに関するセンサ、及び各種セキュリティアプリケーション)に対して実施する(これにより、前述のネットワーク構成機器、複数種類の不正アクセスに関するセンサ、及び各種セキュリティアプリケーションに対する設定変更等の指示が行われ、不正アクセスの低減が可能となる)。
【0033】
この実施形態によれば、サイト内の主要な機器で生じた不正アクセスのインシデントログは、全て検知制御装置MG1に集中させ、検知制御装置MG1によって不正アクセスがなされたことを検知して、この不正アクセスの種類に応じた対処手法を実施することができるので、広域ネットワークNW1に接続されたサイト内のセキュリティ管理が強固になり、ひいては広域ネットワークNW1のセキュリティ管理も強化することができる効果がある。
【0034】
〔第2の実施形態〕
図6は、本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの全体構成を示す構成図である。同図において、図1と重複する部分には同一の符号を附して説明を省略する。
同図に示す本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの全体構成は、図1に示す本発明の第1の実施形態に係る不正アクセス対応ネットワークシステムの全体構成と同じであり、スイッチSW1を使用した不正アクセスへの対処手法だけが異なる。
【0035】
図7は、本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの動作を示すフローチャート図である。
本実施形態では、まず、端末装置PC1がウイルスに感染する(ステップ501)。
これにより、端末装置PC1は、WebサーバSV2に対して、ウイルス感染による不正アクセスAC1を行う(ステップ502)。
この時、IDS(ID2)は、端末装置PC1のWebサーバSV2への不正アクセスAC1を検知する(ステップ503)。
これにより、IDS(ID2)は、インシデントログL01を出力する(ステップ504)。
次に、検知制御装置MG1は、インシデントログL01を収集する(ステップ505)。
次に、検知制御装置MG1は、インシデントログL01から定型化したイベントに変換する(ステップ506)。
次に、検知制御装置MG1は、イベントフィルタの定義よりイベント候補抽出処理を行い、不正アクセスのイベントを検知する(ステップ507)。
さらに、検知制御装置MG1は、対処手法実行手段によりイベントに対応する対処手法CL1(ポート閉塞)を取得する(ステップ508)。
さらに、検知制御装置MG1は、スイッチSW1に指示して対処手法CL1を実施させる(ステップ509)。
検知制御装置MG1より指示を受けたスイッチSW1は、指示された対処手法CL1により、端末装置PC1が接続しているポートを閉塞する(ステップ510)。
【0036】
このように動作することにより、端末装置PC1からのウイルス感染による不正アクセスの拡大を確実に防止し、不正アクセスが有ったWebサーバSV2の性能低下を防ぐことが可能となる。
【0037】
以上の各実施形態によれば、ネットワーク構成機器、複数種類の不正アクセスに関するセンサ及び各種セキュリティアプリケーションのインシデントログを定型化し、定型化されたインシデントから不正アクセスのイベント検知を行い、ネットワーク機器の設定変更といったイベントに対応する対処手法を自動的に実行することによって、未知ウィルスやスパイウェアの感染等による不正アクセスを低減することが可能となる。
【0038】
また、イベントフィルタ定義データベースに登録するイベントフィルタの定義と対処手法定義データベースに登録する対処手法の定義との組み合わせによって、多様なネットワーク構成機器、センサ、及びセキュリティ製品をそれぞれ連携させることが可能となる。例えば、セキュリティ製品ログSL1から取得できるインシデントログと連動させたファイアウォールFW1に対するプロトコルの遮断制御、及び前述のIDSのインシデントログと連動させた各端末装置のウイルス定義ファイル強制更新の実施等、各種セキュリティアプリケーションSP1と連動させたセキュリティ対策が可能となる。これにより、ネットワークシステム全体に対してセキュリティに関する多様な判断及び処置を行うことが可能になる。
【0039】
なお、本発明に係る不正アクセス対応ネットワークシステムの各構成要素の処理の少なくとも一部をコンピュータ制御により実行するものとし、かつ、上記処理を、図5,7のフローチャートで示した手順によりコンピュータに実行せしめるプログラムは、半導体メモリを始め、CD−ROMや磁気テープなどのコンピュータ読み取り可能な記録媒体に格納して配付してもよい。そして、少なくともマイクロコンピュータ,パーソナルコンピュータ,汎用コンピュータを範疇に含むコンピュータが、上記の記録媒体から上記プログラムを読み出して、実行するものとしてもよい。
【産業上の利用可能性】
【0040】
本発明は、ウィルスやスパイウェア等による情報資産への脅威を低減し、コンピュータシステム、ひいては広域ネットワーク全体のセキュリティ管理機能を強化することができるので、特に、インターネット技術を企業活動のインフラとして活用している産業において極めて有効である。
【図面の簡単な説明】
【0041】
【図1】本発明の第1の実施形態に係る不正アクセス対応ネットワークシステムの全体構成を示す構成図である。
【図2】検知制御装置MGを中心とする機能ブロックの1構成例を示す構成図である。
【図3】インシデントログが定型のイベント形式に変換されたインシデントログ情報の1例を示した説明図である。
【図4】イベントフィルタ定義データベース105の1構成例を示す説明図である。
【図5】不正アクセスのイベント候補を抽出するイベント候補抽出手段103の動作を示すフローチャート図である。
【図6】本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの全体構成を示す構成図である。
【図7】本発明の第2の実施形態に係る不正アクセス対応ネットワークシステムの動作を示すフローチャート図である。
【符号の説明】
【0042】
101 インシデントログ定型化手段
102 定型化イベント
103 イベント候補抽出手段
104 対処手法定義データベース
105 イベントフィルタ定義データベース
106 対象機器管理データベース
107 発生イベント管理データベース
301 ブロック(対処法が施されるべき対象を含む)
AC1 ウイルス感染による不正アクセス
CL1 ポート閉塞の指示
FW1 ファイアウォール
ID1,ID2 侵入検知装置(IDS)
LO1 ID2のインシデントログ
MG1 検知制御装置
ND1 公開ネットワーク
NE1 外部ネットワーク
NL1 内部ネットワーク
NM1 管理ネットワーク
NW1 広域ネットワーク
PC1 端末装置
PC2 端末装置
RT1 ルータ
SL1 各種セキュリティアプリケーションインシデントログ
SP1 対処手法を適用する各種セキュリティアプリケーション
SV1 PROXYサーバ
SV2 Webサーバ
SV3 DNSサーバ
SV4 メールサーバ
SV5 ウイルス対策サーバ
SW1 スイッチ
【特許請求の範囲】
【請求項1】
コンピュータシステムが有するサーバ、ネットワーク構成機器、不正アクセス検出機器及びセキュリティアプリケーションにおけるインシデントログを収集する手段と、
前記収集されたインシデントログを定型形式のインシデントログ情報に変換する手段と、
前記インシデントログ情報から不正アクセスに該当するインシデントログ情報を検知する手段と、
を備えたことを特徴とする不正アクセス対応ネットワークシステム。
【請求項2】
前記検知手段は、管理対象機器に関する情報、不正アクセスの類型を定義したフィルタ定義情報、不正アクセス検知の履歴情報を格納したデータベースを備えており、
前記インシデントログ情報を、前記データベース上に格納された情報に照合することにより、不正アクセスを検知することを特徴とする請求項1記載の不正アクセス対応ネットワークシステム。
【請求項3】
不正アクセスの各類型に対応する対処手法を定義した定義情報を格納した対処手法データベースと、
不正アクセスとして検知されたインシデントログ情報を、前記対処手法データベースに照合することにより、当該不正アクセス対する対処手法を判定する手段と、
前記判定された対処手法を実行する手段とを備えたことを特徴とする請求項1又は2記載の不正アクセス対応ネットワークシステム。
【請求項4】
不正アクセスに対する対処手法として、不正アクセスを行った機器の接続ポートを閉塞することを特徴とする請求項3記載の不正アクセス対応ネットワークシステム。
【請求項1】
コンピュータシステムが有するサーバ、ネットワーク構成機器、不正アクセス検出機器及びセキュリティアプリケーションにおけるインシデントログを収集する手段と、
前記収集されたインシデントログを定型形式のインシデントログ情報に変換する手段と、
前記インシデントログ情報から不正アクセスに該当するインシデントログ情報を検知する手段と、
を備えたことを特徴とする不正アクセス対応ネットワークシステム。
【請求項2】
前記検知手段は、管理対象機器に関する情報、不正アクセスの類型を定義したフィルタ定義情報、不正アクセス検知の履歴情報を格納したデータベースを備えており、
前記インシデントログ情報を、前記データベース上に格納された情報に照合することにより、不正アクセスを検知することを特徴とする請求項1記載の不正アクセス対応ネットワークシステム。
【請求項3】
不正アクセスの各類型に対応する対処手法を定義した定義情報を格納した対処手法データベースと、
不正アクセスとして検知されたインシデントログ情報を、前記対処手法データベースに照合することにより、当該不正アクセス対する対処手法を判定する手段と、
前記判定された対処手法を実行する手段とを備えたことを特徴とする請求項1又は2記載の不正アクセス対応ネットワークシステム。
【請求項4】
不正アクセスに対する対処手法として、不正アクセスを行った機器の接続ポートを閉塞することを特徴とする請求項3記載の不正アクセス対応ネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2008−83751(P2008−83751A)
【公開日】平成20年4月10日(2008.4.10)
【国際特許分類】
【出願番号】特願2006−259749(P2006−259749)
【出願日】平成18年9月25日(2006.9.25)
【出願人】(000152985)株式会社日立情報システムズ (409)
【Fターム(参考)】
【公開日】平成20年4月10日(2008.4.10)
【国際特許分類】
【出願日】平成18年9月25日(2006.9.25)
【出願人】(000152985)株式会社日立情報システムズ (409)
【Fターム(参考)】
[ Back to top ]