不正コンテンツ流出入防止方法及び不正コンテンツ流出入防止システム
【課題】不正アクセスの誤検知を低減すること。
【解決手段】入力された不正コンテンツ情報を不正コンテンツ情報テーブル(TB)に記録するDBサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムとを含む不正コンテンツ流出入防止システムであって、不正コンテンツ情報TBが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納し、ログ情報取得プログラムが、不正コンテンツ情報TBに格納した不正コンテンツ情報に含まれるファイル名とファイル属性を不正コンテンツ情報登録プログラムに出力する機能を有し、不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報TBに登録する機能を有するもの。
【解決手段】入力された不正コンテンツ情報を不正コンテンツ情報テーブル(TB)に記録するDBサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムとを含む不正コンテンツ流出入防止システムであって、不正コンテンツ情報TBが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納し、ログ情報取得プログラムが、不正コンテンツ情報TBに格納した不正コンテンツ情報に含まれるファイル名とファイル属性を不正コンテンツ情報登録プログラムに出力する機能を有し、不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報TBに登録する機能を有するもの。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上のコンピュータシステムのセキュリティを管理する不正コンテンツ流出入防止方法及び不正コンテンツ流出入防止システムに係り、特に各コンピュータシステムに対する不正なアクセスと各コンピュータに存在するコンテンツへの不正なアクセスを防止することができる不正コンテンツ流出入防止方法及び不正コンテンツ流出入防止システムに関する。
【背景技術】
【0002】
近年のコンピュータシステムは、企業や家庭でのコンピュータシステムが外部のコンピュータシステムとインターネットを介して簡易に接続されることにより、セキュリティの問題が重要視されている。例えば、悪意のある第三者による企業のWeb(ウェブ)サーバへの不正アクセスによるコンテンツの改竄や機密情報の漏洩などネットワークを介した事件が増加しており、このため企業内におけるコンテンツの流出入監視の重要性が増大している
【0003】
このような不正なアクセスを検知し侵入を防ぐための技術としては、侵入検知システム(IDS: Intrusion Detection System)が知られている。このIDSは、監視対象によって大きくネットワーク型とホスト型と両者の兼任した複合型に分類され、前記ネットワーク型はネットワークトラフィックを監視し、IDS以降のネットワークへの侵入を防ぐことができるものの、トラフィックの増大につれて負荷が増大し、更に誤検知も多いと言う特性があり、他方、ホスト型は導入されたホストを監視し、誤検知はネットワーク型に比べて少ないものの、ホスト自身のリソースを消費するために、アクセスの増加につれて負荷が増加すると言う特性があり、前記複合型は、両者の利点を組み合わせることで誤検知を減らすことができるものの、ホスト自身のリソースを大きく消費すると言う特性がある。
【0004】
前記ネットワーク型IDSの誤検知を減らすための技術としては、下記特許文献に記載されたものが知られている。下記特許文献1記載技術は、コンテンツの情報を記録したデータベースを準備し、その情報を使用して不正アクセス検知を行うことにより誤検知を減らすことができ、下記特許文献2記載技術は、外部ネットワークからの攻撃を内部からの応答と合わせて不正アクセス検知を行い誤検知を減らすことができる。
【特許文献1】特開2003−92603号公報
【特許文献2】特開2004−30287号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
前記特許文献1記載技術は、ネットワークの拡大とネットワークに接続された機器を完全に把握できていない場合に不正アクセス検知を正しく行うことができないと言う不具合があり、前記特許文献2記載技術は、内部からの不正アクセスを検知することができないと言う不具合があった。
【0006】
また前述した従来技術によるIDSによるアクセス制御による誤検知を防止するために詳細な不正アクセス情報を記録することが考えられるが、インターネット利用の増大によるネットワークの複雑化への対応が困難であると言う不具合もあった。
【0007】
本発明の目的は、前述の従来技術による不具合を除去することであり、誤検知を低減すると共にリソースの消費を抑え、負荷分散が可能な不正コンテンツ流出入防止方法及び不正コンテンツ流出入防止システムを提出することである。
【課題を解決するための手段】
【0008】
前記目的を達成するために本発明は、外部ネットワークと公衆通信回線網を介して接続され、ネットワークトラフィックを監視する機能を有する第1サーバと、監視機能と不正コンテンツ情報登録プログラムのアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブルに記録するデータベースサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムとを含み、不正アクセスの検知機能を有する第2サーバとを備える不正コンテンツ流出入防止システムであって、
前記データベースサーバの不正コンテンツ情報テーブルが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納し、
前記ログ情報取得プログラムが、前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報に含まれるファイル名とファイル属性とを取得し、取得した前記各情報を不正コンテンツ情報登録プログラムに出力する機能を有し、
前記不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報テーブルに登録する機能を有し、
前記第1サーバが、外部からのネットワークトラフィックに含まれるコンテンツを前記不正コンテンツ情報テーブルに格納した宛先IPアドレスと送信元IPアドレスとコンテンツ情報のポート番号と比較することにより不正コンテンツを検出し、
前記第2サーバが、ログ情報に含まれるファイル名とファイル属性を前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報と比較することにより不正コンテンツを検出することを第1の特徴とする。
【0009】
また本発明は、外部ネットワークと公衆通信回線網を介して接続され、ネットワークトラフィックを監視する機能を有する第1サーバと、監視機能と不正コンテンツ情報登録プログラムのアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブルに記録するデータベースサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムとを含み、不正アクセスの検知機能を有する第2サーバとを備える不正コンテンツ流出入防止システムに好適な不正コンテンツ流出入防止であって、
前記データベースサーバの不正コンテンツ情報テーブルが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納するステップと、
前記ログ情報取得プログラムが、前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報に含まれるファイル名とファイル属性とを取得し、取得した前記各情報を不正コンテンツ情報登録プログラムに出力するステップと、
前記不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報テーブルに登録するステップと、
前記第1サーバが、外部からのネットワークトラフィックに含まれるコンテンツを前記不正コンテンツ情報テーブルに格納した宛先IPアドレスと送信元IPアドレスとコンテンツ情報のポート番号と比較することにより不正コンテンツを検出するステップと、
前記第2サーバが、ログ情報に含まれるファイル名とファイル属性を前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報と比較することにより不正コンテンツを検出するステップとを実行することを第2の特徴とする。
【発明の効果】
【0010】
本発明は、前記第1及び第2サーバが不正アクセス情報を不正コンテンツ情報テーブルとして共有することにより、より正確な不正アクセス検知を行うことができる。また本発明は、侵入検知システムによる監視機能を複数有することや不正アクセス情報を監視機能と分離することにより、監視機能の多重化が可能となり、アベイラビリティを向上することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明による不正コンテンツ流出入防止方法を適用した不正コンテンツ流出入防止システムの一実施形態を図面を参照して説明する。図1は本実施形態による不正コンテンツ流出入防止システムのシステム構成図、図2は本実施形態による外部ネットワークからのアクセス制御設定のフローチャート、図3は本実施形態による内部ネットワークからのアクセス制御設定のフローチャート、図4は本実施形態によるファイル情報設定のフローチャート、図5は本実施形態による異常検知情報設定のフローチャート、図6は本実施形態による外部ネットワークからのアクセス制御のフローチャート、図7は本実施形態による内部ネットワークからのアクセス制御のフローチャートである。
<構成>
【0012】
本実施形態による不正コンテンツ流出入防止システムが適用されるコンピュータシステムは、図1に示す如く、個人使用に供されるパーソナルコンピュータ(PC)201やWebサーバのような外部ネットワークからアクセス可能であり、アクセスを監視する機能を有するサーバ202とから成る外部ネットワーク200と、企業内部のコンピュータシステムである内部ネットワーク100と、前記外部ネットワーク200と内部ネットワーク100とを接続するためのインターネット網30とに大別される。
【0013】
前記内部ネットワーク100は、インターネット網30と接続してネットワークトラフィックを監視する機能を有するサーバ110と、後述する不正コンテンツ情報テーブル114と接続され、監視機能と不正コンテンツ情報登録プログラム115のアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブル114に記録するデータベースサーバ113と、ログ情報取得プログラム116/監視対象情報登録プログラム117/不正コンテンツ情報プログラム118とを含み、不正アクセスの検知機能を有するサーバ112と、内部ネットワークからのアクセス制御を行うPC111とから構成される。
【0014】
前記不正コンテンツ情報テーブル114は、図に示されるようなフィールド(FLD120)を持ち、該FLD120は、入力された不正コンテンツ情報がどのサーバの監視機能で使用されるかを判定するIDを格納するFLD1フィールドと、同コンテンツ情報のプロトコルを格納するFLD2フィールドと、同コンテンツ情報の宛先IPアドレスを格納するFLD3フィールドと、同コンテンツ情報の送信元IPアドレスを格納するFLD4と、同コンテンツ情報のポート番号を格納するFLD5フィールドと、同コンテンツ情報に対するマッチングに使用するマッチングパターンを格納するFLD6フィールドと、前記FLD6のパターンに基づいてマッチングするときに使用するデータを格納するFLD7フィールドと、同コンテンツ情報のTCPフラグ又はチェック項目判定フラグを格納するFLD8フィールドとから構成される。
【0015】
前記ログ情報取得プログラム116は、前記不正コンテンツ情報テーブル114に記録されたレコードやログ出力に含まれるファイル名やファイル属性を取得し、その情報を不正コンテンツ情報登録プログラム115に出力する機能を有し、不正コンテンツ情報登録プログラム115は、ログ情報取得プログラム116から渡された不正コンテンツ情報を不正コンテンツ情報テーブル114に登録する機能を有する。
<システム設定動作>
【0016】
この様に構成された不正コンテンツ流出入防止システムは、システム運用開始時や該当コンテンツ定義時など必要な場合に次のシステム設定処理を随時実行する。
[外部ネットワークからのアクセス禁止処理]
【0017】
本システムは、図2に示す如く、まず内部ネットワーク100内のサーバやサーバ内に、外部からのアクセス制限が必要なコンテンツが存在するかどうかをシステム運用者が判断し、該システム運用者によりアクセス制限が必要なコンテンツが入力されたか否かを判定するステップS201と、該ステップS201により入力されたとき、前述のFLD1〜8の情報を不正コンテンツ情報登録プログラム115に入力するステップS202と、該入力された不正コンテンツ情報を不正コンテンツ情報テーブル114に登録するステップS203と、前記ステップS201においてアクセス制限が必要なコンテンツが入力されないとき及びステップS203に続いて本処理を終了する。尚、前記ステップS202における不正コンテンツ情報の登録は、例えば、FLD6に例えばURI(Uniform Resource Identifier )でマッチングすると指定し、FLD7にマッチングに使用するURIを入力し、FLD1にサーバ110のIDとサーバ112のIDとを入力する。これは、暗号化されたパケットがサーバ112で復号化され、細分化されて送信されたパケットがサーバ112で再構築され、サーバ110、112両方で使用されるためである。
[内部ネットワークからのアクセス禁止処理]
【0018】
次いで本システムは、図3に示す如く、外部ネットワーク上のコンテンツで、内部ネットワークからのアクセスを禁止するようなサーバやサーバ内のコンテンツが存在するかどうかをシステム運用者が判断し、該システム運用者によりアクセス制限が必要なコンテンツが入力されたか否かを判定するステップS301と、該ステップS301により入力されたとき、前述のFLD1〜8の情報を不正コンテンツ情報登録プログラム115に入力するステップS302と、該入力された不正コンテンツ情報を不正コンテンツ情報テーブル114に登録するステップS303と、前記ステップS301においてアクセス制限が必要なコンテンツが入力されないとき及びステップS303に続いて本処理を終了する。尚、前記ステップS202における不正コンテンツ情報の登録は、前記図2を用いて登録するものと同様である。
[ファイル情報登録処理]
【0019】
次いで本システムは、図4に示す如く、サーバ112の監視対象情報登録プログラム117がOSやアプリケーションのログ出力の監視やファイルの改竄のチェックを行い、このファイル改竄チェック情報を取得するステップS401と、このファイル改竄チェック情報を不正コンテンツ情報登録プログラム115に入力するステップ402と、このファイル改竄チェック情報を不正コンテンツ情報テーブル114に登録するステップS403とを順次実行する。尚、前記ステップS401において、監視対象情報登録プログラム117が、ファイルの改竄をチェックするためにFLD1にサーバ112のID、FLD6にファイル名、FLD7にファイルの属性(権限、サイズ)、FLD8にファイルサイズチェックを示すフラグの情報を不正コンテンツ情報登録プログラム115に入力する。
[異常検知情報の登録]
【0020】
次いで本システムは、図5に示す如く、サーバ112の監視対象情報登録プログラム117が異常検知情報を取得するステップS501と、異常検知情報を不正コンテンツ情報登録プログラム115に入力するステップS502と、この異常検知情報を不正コンテンツ情報テーブル114に登録するステップS503とを順次実行する。
【0021】
この様に本システムは、前述の外部/内部からのアクセス禁止と、ファイル情報登録処理と、異常検知情報の登録とから成るシステム設定処理を行う。
<外部ネットワークからのアクセス制御>
【0022】
前述のシステム設定処理を行った後にアクセスがあった場合、本システムは、図6に示す如く、次の処理を行う。
本システムは、外部ネットワークからアクセスが開始された場合、該アクセスと不正コンテンツ情報テーブル114に予め登録した不正コンテンツ情報と比較するステップS601を実行する。このステップS601を具体的に説明すると、PC201からサーバ112へのパケットをサーバ110の監視機能により捕捉したとき、サーバ110の監視機能が不正コンテンツ情報テーブル114に問い合わせを行い、FLD1とサーバ110のID/パケットのプロトコルとFLD2/宛先IPアドレスとFLD3/送信元IPアドレスとFLD4/宛先ポート番号とFLD5/フラグとFLD8とを各々マッチングし、該当するデータが存在する場合はFLD6のパターンに基づいてFLD7のデータを使用してパケットの該当情報とマッチングを行うことにより行われる。例えば、FLD6で「URIでマッチングする」とした場合、FLD7で指定した値とパケットに含まれるURI部分の情報をマッチングすることによって行われる。
【0023】
次いで本システムは、前記ステップS601において取得した外部アクセスと不正コンテンツ情報とを比較し、一致するか否かの判定を行い、一致した場合にアクセスを拒否するステップS605に移行し、一致しない場合、要求されたコンテンツへのアクセスを許可するステップS603に移行する。
【0024】
次いで本システムは、サーバ112で復号化または再構築されたパケットについてサーバ112の監視機能が不正コンテンツ情報テーブル114に問い合わせを行い、FLD1とサーバ110のID/パケットのプロトコルとFLD2/宛先IPアドレスとFLD3/送信元IPアドレスとFLD4/宛先ポート番号とFLD5/フラグとFLD8とをマッチングし、該当するデータが存在する場合はFLD6のパターンに基づいてFLD7のデータを使用してパケットの該当情報とマッチングを行う。例えば、FLD6のURIでマッチングするとした場合、FLD7で指定した値とパケットに含まれるURI部分の情報をマッチングするステップS604を実行する。
【0025】
次いで本システムは、前記ステップS604において、FLD7で指定した値とパケットに含まれるURI部分の情報とを比較し、一致した場合、サーバ112の監視機能がコンテンツへのアクセスを拒否するステップS606を実行し、前記ステップS604において一致しなかった場合、サーバ112の監視機能がコンテンツへのアクセスを許可するステップS607に続き、サーバ112の監視機能がOSやアプリケーションのログを監視するステップS608と、FLD1がサーバ112のIDでFLD8がログ出力の監視を示すフラグであるデータで、イベント・エラー名がFLD6、FLD7に該当するか否かをファイル情報を監視するステップS620とを平行して実行する。
【0026】
前記ログ監視のステップS620は、前記サーバ112の監視機能が、OSやアプリケーションのログを監視するため、検出したログと不正コンテンツ情報テーブルの情報との比較し、ログが不正コンテンツ情報と一致するか否かを判定するステップS609及び610と、該ステップS110において一致すると判定したときにアクセスを拒否するステップS6611と、該当する不正コンテンツ情報テーブル114のレコードの情報とログ出力をログ情報取得プログラムに入力するステップS612と、ログ情報取得プログラムが例えば入力された不正コンテンツ情報テーブル114レコードのFLD6がHTTP GETだった場合、渡されたログ出力からプロトコル/宛先IPアドレス/送信元IPアドレス/ポート番号/ファイル名/フラグを抽出し、不正コンテンツ情報登録プログラムに入力するステップS613と、これを入力された不正コンテンツ情報登録プログラムがFLD1にサーバ110及びIDを用いてFLD2にプロトコル、FLD3に宛先IPアドレス、FLD4に送信元IPアドレス、FLD5にポート番号、FLD6にURIでマッチングすることを指定し、FLD7にファイル名、FLD8にフラグであるレコードを不正コンテンツ情報テーブル114に記録するステップS614を実行する。
【0027】
前記ファイル情報を監視するステップS620は、サーバ112の監視機能が、サーバ112内に存在するファイルを監視し、FLD1がサーバ112のIDでFLD8がファイルサイズの監視を示すフラグであるデータで、ファイル名がFLD6で、ファイル属性がFLD7と異なっているファイルがないかを判定するステップS620乃至622と、該ステップS622において該当するファイルが存在した場合、そのファイルへのアクセスを拒否するステップS623と、サーバ112の監視機能は該当する不正コンテンツ情報テーブル114のレコードの情報をログ情報取得プログラムに入力するステップS623乃至624と、このレコードの情報が入力されたログ情報取得プログラムが、不正コンテンツ情報テーブル114のレコード情報から該当するファイルへのアクセスを拒否するため、ファイル名を不正コンテンツ情報登録プログラムに入力するステップS620と、FLD1がサーバ110、2のIDでFLD2にプロトコル、FLD3にサーバ112のIPアドレス、FLD4にすべての送信元を示すワイルドカード、FLD5にすべてのポート番号を示すワイルドカード、FLD6にURIでマッチングすることを指定し、FLD7にファイル名、FLD8にすべてのフラグを示すワイルドカードを設定したレコードを不正コンテンツ情報テーブル114に記録するステップS626とを実行するように動作する。
【0028】
この様に本システムは、前述の外部ネットワークからのアクセス制御を行うことによって、サーバ112による監視機能の結果をサーバ110の監視機能にフィードバックすることができる。
<内部ネットワークからのアクセス制御>
【0029】
本システムは、内部ネットワークからのアクセスが開始されたとき、図7に示す如く、PC111からサーバ3へのパケットをサーバ110の監視機能で捕捉すると、サーバ110の監視機能は不正コンテンツ情報テーブル114に問い合わせて、FLD1がサーバ110のIDのデータで、パケットのプロトコルとFLD2、宛先IPアドレスとFLD3、送信元IPアドレスとFLD4、宛先ポート番号とFLD5、フラグとFLD8でマッチングし、該当するデータが存在する場合はFLD6のパターンに基づいてFLD7のデータを使用してパケットの該当情報とマッチングを行うステップS701乃至702を実行する。このステップS702は、例えば、FLD6で「URIでマッチングする」とした場合、FLD7で指定した値とパケットに含まれるURI部分の情報をマッチングする処理である。
【0030】
次いで本システムは、前記ステップS702において、FLD7で指定した値とパケットに含まれるURI部分の情報が一致した場合、サーバ110の監視機能がサーバ3へのアクセスを拒否するステップS704を実行し、前記ステップS702において、一致しなかった場合、サーバ110の監視機能がサーバ3へのアクセスを許可するステップS704とを実行することによって、不正コンテンツ情報をサーバ110及びアクセス監視機能において共有することによって、誤検知を減らすことができる。
【0031】
尚、前記システムにおいて、サーバ110を並列化することにより、負荷分散による高速処理やアベイラビリティの向上を図ることや、不正コンテンツ情報テーブル114を多重化することにより、アベイラビリティの向上を図ることや、内部ネットワーク内サーバの監視機能を部分的に導入することにより、導入済みサーバの不正アクセスの検知によって、未導入のサーバへの不正アクセスも防止を図ることや、他の内部ネットワーク内で発見された不正コンテンツ情報を不正コンテンツ情報テーブル114に登録することにより、他ネットワークでの情報を利用を図ることもできる。
【図面の簡単な説明】
【0032】
【図1】本発明の一実施形態による不正コンテンツ流出入防止システムの構成図。
【図2】本例による外部ネットワークからのアクセス制御設定のフローチャート。
【図3】本例による内部ネットワークからのアクセス制御設定のフローチャート。
【図4】本例によるファイル情報設定のフローチャート。
【図5】本例による異常検知情報設定のフローチャート。
【図6】本例による外部ネットワークからのアクセス制御のフローチャート。
【図7】本例による内部ネットワークからのアクセス制御のフローチャート。
【符号の説明】
【0033】
3:サーバ、30:インターネット網、100:内部ネットワーク、110及び112:サーバ、113:データベースサーバ、114:不正コンテンツ情報テーブル、115:不正コンテンツ情報登録プログラム、117:監視対象情報登録プログラム、118:不正コンテンツ情報プログラム、200:外部ネットワーク、202:サーバ。
【技術分野】
【0001】
本発明は、ネットワーク上のコンピュータシステムのセキュリティを管理する不正コンテンツ流出入防止方法及び不正コンテンツ流出入防止システムに係り、特に各コンピュータシステムに対する不正なアクセスと各コンピュータに存在するコンテンツへの不正なアクセスを防止することができる不正コンテンツ流出入防止方法及び不正コンテンツ流出入防止システムに関する。
【背景技術】
【0002】
近年のコンピュータシステムは、企業や家庭でのコンピュータシステムが外部のコンピュータシステムとインターネットを介して簡易に接続されることにより、セキュリティの問題が重要視されている。例えば、悪意のある第三者による企業のWeb(ウェブ)サーバへの不正アクセスによるコンテンツの改竄や機密情報の漏洩などネットワークを介した事件が増加しており、このため企業内におけるコンテンツの流出入監視の重要性が増大している
【0003】
このような不正なアクセスを検知し侵入を防ぐための技術としては、侵入検知システム(IDS: Intrusion Detection System)が知られている。このIDSは、監視対象によって大きくネットワーク型とホスト型と両者の兼任した複合型に分類され、前記ネットワーク型はネットワークトラフィックを監視し、IDS以降のネットワークへの侵入を防ぐことができるものの、トラフィックの増大につれて負荷が増大し、更に誤検知も多いと言う特性があり、他方、ホスト型は導入されたホストを監視し、誤検知はネットワーク型に比べて少ないものの、ホスト自身のリソースを消費するために、アクセスの増加につれて負荷が増加すると言う特性があり、前記複合型は、両者の利点を組み合わせることで誤検知を減らすことができるものの、ホスト自身のリソースを大きく消費すると言う特性がある。
【0004】
前記ネットワーク型IDSの誤検知を減らすための技術としては、下記特許文献に記載されたものが知られている。下記特許文献1記載技術は、コンテンツの情報を記録したデータベースを準備し、その情報を使用して不正アクセス検知を行うことにより誤検知を減らすことができ、下記特許文献2記載技術は、外部ネットワークからの攻撃を内部からの応答と合わせて不正アクセス検知を行い誤検知を減らすことができる。
【特許文献1】特開2003−92603号公報
【特許文献2】特開2004−30287号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
前記特許文献1記載技術は、ネットワークの拡大とネットワークに接続された機器を完全に把握できていない場合に不正アクセス検知を正しく行うことができないと言う不具合があり、前記特許文献2記載技術は、内部からの不正アクセスを検知することができないと言う不具合があった。
【0006】
また前述した従来技術によるIDSによるアクセス制御による誤検知を防止するために詳細な不正アクセス情報を記録することが考えられるが、インターネット利用の増大によるネットワークの複雑化への対応が困難であると言う不具合もあった。
【0007】
本発明の目的は、前述の従来技術による不具合を除去することであり、誤検知を低減すると共にリソースの消費を抑え、負荷分散が可能な不正コンテンツ流出入防止方法及び不正コンテンツ流出入防止システムを提出することである。
【課題を解決するための手段】
【0008】
前記目的を達成するために本発明は、外部ネットワークと公衆通信回線網を介して接続され、ネットワークトラフィックを監視する機能を有する第1サーバと、監視機能と不正コンテンツ情報登録プログラムのアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブルに記録するデータベースサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムとを含み、不正アクセスの検知機能を有する第2サーバとを備える不正コンテンツ流出入防止システムであって、
前記データベースサーバの不正コンテンツ情報テーブルが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納し、
前記ログ情報取得プログラムが、前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報に含まれるファイル名とファイル属性とを取得し、取得した前記各情報を不正コンテンツ情報登録プログラムに出力する機能を有し、
前記不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報テーブルに登録する機能を有し、
前記第1サーバが、外部からのネットワークトラフィックに含まれるコンテンツを前記不正コンテンツ情報テーブルに格納した宛先IPアドレスと送信元IPアドレスとコンテンツ情報のポート番号と比較することにより不正コンテンツを検出し、
前記第2サーバが、ログ情報に含まれるファイル名とファイル属性を前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報と比較することにより不正コンテンツを検出することを第1の特徴とする。
【0009】
また本発明は、外部ネットワークと公衆通信回線網を介して接続され、ネットワークトラフィックを監視する機能を有する第1サーバと、監視機能と不正コンテンツ情報登録プログラムのアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブルに記録するデータベースサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムとを含み、不正アクセスの検知機能を有する第2サーバとを備える不正コンテンツ流出入防止システムに好適な不正コンテンツ流出入防止であって、
前記データベースサーバの不正コンテンツ情報テーブルが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納するステップと、
前記ログ情報取得プログラムが、前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報に含まれるファイル名とファイル属性とを取得し、取得した前記各情報を不正コンテンツ情報登録プログラムに出力するステップと、
前記不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報テーブルに登録するステップと、
前記第1サーバが、外部からのネットワークトラフィックに含まれるコンテンツを前記不正コンテンツ情報テーブルに格納した宛先IPアドレスと送信元IPアドレスとコンテンツ情報のポート番号と比較することにより不正コンテンツを検出するステップと、
前記第2サーバが、ログ情報に含まれるファイル名とファイル属性を前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報と比較することにより不正コンテンツを検出するステップとを実行することを第2の特徴とする。
【発明の効果】
【0010】
本発明は、前記第1及び第2サーバが不正アクセス情報を不正コンテンツ情報テーブルとして共有することにより、より正確な不正アクセス検知を行うことができる。また本発明は、侵入検知システムによる監視機能を複数有することや不正アクセス情報を監視機能と分離することにより、監視機能の多重化が可能となり、アベイラビリティを向上することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明による不正コンテンツ流出入防止方法を適用した不正コンテンツ流出入防止システムの一実施形態を図面を参照して説明する。図1は本実施形態による不正コンテンツ流出入防止システムのシステム構成図、図2は本実施形態による外部ネットワークからのアクセス制御設定のフローチャート、図3は本実施形態による内部ネットワークからのアクセス制御設定のフローチャート、図4は本実施形態によるファイル情報設定のフローチャート、図5は本実施形態による異常検知情報設定のフローチャート、図6は本実施形態による外部ネットワークからのアクセス制御のフローチャート、図7は本実施形態による内部ネットワークからのアクセス制御のフローチャートである。
<構成>
【0012】
本実施形態による不正コンテンツ流出入防止システムが適用されるコンピュータシステムは、図1に示す如く、個人使用に供されるパーソナルコンピュータ(PC)201やWebサーバのような外部ネットワークからアクセス可能であり、アクセスを監視する機能を有するサーバ202とから成る外部ネットワーク200と、企業内部のコンピュータシステムである内部ネットワーク100と、前記外部ネットワーク200と内部ネットワーク100とを接続するためのインターネット網30とに大別される。
【0013】
前記内部ネットワーク100は、インターネット網30と接続してネットワークトラフィックを監視する機能を有するサーバ110と、後述する不正コンテンツ情報テーブル114と接続され、監視機能と不正コンテンツ情報登録プログラム115のアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブル114に記録するデータベースサーバ113と、ログ情報取得プログラム116/監視対象情報登録プログラム117/不正コンテンツ情報プログラム118とを含み、不正アクセスの検知機能を有するサーバ112と、内部ネットワークからのアクセス制御を行うPC111とから構成される。
【0014】
前記不正コンテンツ情報テーブル114は、図に示されるようなフィールド(FLD120)を持ち、該FLD120は、入力された不正コンテンツ情報がどのサーバの監視機能で使用されるかを判定するIDを格納するFLD1フィールドと、同コンテンツ情報のプロトコルを格納するFLD2フィールドと、同コンテンツ情報の宛先IPアドレスを格納するFLD3フィールドと、同コンテンツ情報の送信元IPアドレスを格納するFLD4と、同コンテンツ情報のポート番号を格納するFLD5フィールドと、同コンテンツ情報に対するマッチングに使用するマッチングパターンを格納するFLD6フィールドと、前記FLD6のパターンに基づいてマッチングするときに使用するデータを格納するFLD7フィールドと、同コンテンツ情報のTCPフラグ又はチェック項目判定フラグを格納するFLD8フィールドとから構成される。
【0015】
前記ログ情報取得プログラム116は、前記不正コンテンツ情報テーブル114に記録されたレコードやログ出力に含まれるファイル名やファイル属性を取得し、その情報を不正コンテンツ情報登録プログラム115に出力する機能を有し、不正コンテンツ情報登録プログラム115は、ログ情報取得プログラム116から渡された不正コンテンツ情報を不正コンテンツ情報テーブル114に登録する機能を有する。
<システム設定動作>
【0016】
この様に構成された不正コンテンツ流出入防止システムは、システム運用開始時や該当コンテンツ定義時など必要な場合に次のシステム設定処理を随時実行する。
[外部ネットワークからのアクセス禁止処理]
【0017】
本システムは、図2に示す如く、まず内部ネットワーク100内のサーバやサーバ内に、外部からのアクセス制限が必要なコンテンツが存在するかどうかをシステム運用者が判断し、該システム運用者によりアクセス制限が必要なコンテンツが入力されたか否かを判定するステップS201と、該ステップS201により入力されたとき、前述のFLD1〜8の情報を不正コンテンツ情報登録プログラム115に入力するステップS202と、該入力された不正コンテンツ情報を不正コンテンツ情報テーブル114に登録するステップS203と、前記ステップS201においてアクセス制限が必要なコンテンツが入力されないとき及びステップS203に続いて本処理を終了する。尚、前記ステップS202における不正コンテンツ情報の登録は、例えば、FLD6に例えばURI(Uniform Resource Identifier )でマッチングすると指定し、FLD7にマッチングに使用するURIを入力し、FLD1にサーバ110のIDとサーバ112のIDとを入力する。これは、暗号化されたパケットがサーバ112で復号化され、細分化されて送信されたパケットがサーバ112で再構築され、サーバ110、112両方で使用されるためである。
[内部ネットワークからのアクセス禁止処理]
【0018】
次いで本システムは、図3に示す如く、外部ネットワーク上のコンテンツで、内部ネットワークからのアクセスを禁止するようなサーバやサーバ内のコンテンツが存在するかどうかをシステム運用者が判断し、該システム運用者によりアクセス制限が必要なコンテンツが入力されたか否かを判定するステップS301と、該ステップS301により入力されたとき、前述のFLD1〜8の情報を不正コンテンツ情報登録プログラム115に入力するステップS302と、該入力された不正コンテンツ情報を不正コンテンツ情報テーブル114に登録するステップS303と、前記ステップS301においてアクセス制限が必要なコンテンツが入力されないとき及びステップS303に続いて本処理を終了する。尚、前記ステップS202における不正コンテンツ情報の登録は、前記図2を用いて登録するものと同様である。
[ファイル情報登録処理]
【0019】
次いで本システムは、図4に示す如く、サーバ112の監視対象情報登録プログラム117がOSやアプリケーションのログ出力の監視やファイルの改竄のチェックを行い、このファイル改竄チェック情報を取得するステップS401と、このファイル改竄チェック情報を不正コンテンツ情報登録プログラム115に入力するステップ402と、このファイル改竄チェック情報を不正コンテンツ情報テーブル114に登録するステップS403とを順次実行する。尚、前記ステップS401において、監視対象情報登録プログラム117が、ファイルの改竄をチェックするためにFLD1にサーバ112のID、FLD6にファイル名、FLD7にファイルの属性(権限、サイズ)、FLD8にファイルサイズチェックを示すフラグの情報を不正コンテンツ情報登録プログラム115に入力する。
[異常検知情報の登録]
【0020】
次いで本システムは、図5に示す如く、サーバ112の監視対象情報登録プログラム117が異常検知情報を取得するステップS501と、異常検知情報を不正コンテンツ情報登録プログラム115に入力するステップS502と、この異常検知情報を不正コンテンツ情報テーブル114に登録するステップS503とを順次実行する。
【0021】
この様に本システムは、前述の外部/内部からのアクセス禁止と、ファイル情報登録処理と、異常検知情報の登録とから成るシステム設定処理を行う。
<外部ネットワークからのアクセス制御>
【0022】
前述のシステム設定処理を行った後にアクセスがあった場合、本システムは、図6に示す如く、次の処理を行う。
本システムは、外部ネットワークからアクセスが開始された場合、該アクセスと不正コンテンツ情報テーブル114に予め登録した不正コンテンツ情報と比較するステップS601を実行する。このステップS601を具体的に説明すると、PC201からサーバ112へのパケットをサーバ110の監視機能により捕捉したとき、サーバ110の監視機能が不正コンテンツ情報テーブル114に問い合わせを行い、FLD1とサーバ110のID/パケットのプロトコルとFLD2/宛先IPアドレスとFLD3/送信元IPアドレスとFLD4/宛先ポート番号とFLD5/フラグとFLD8とを各々マッチングし、該当するデータが存在する場合はFLD6のパターンに基づいてFLD7のデータを使用してパケットの該当情報とマッチングを行うことにより行われる。例えば、FLD6で「URIでマッチングする」とした場合、FLD7で指定した値とパケットに含まれるURI部分の情報をマッチングすることによって行われる。
【0023】
次いで本システムは、前記ステップS601において取得した外部アクセスと不正コンテンツ情報とを比較し、一致するか否かの判定を行い、一致した場合にアクセスを拒否するステップS605に移行し、一致しない場合、要求されたコンテンツへのアクセスを許可するステップS603に移行する。
【0024】
次いで本システムは、サーバ112で復号化または再構築されたパケットについてサーバ112の監視機能が不正コンテンツ情報テーブル114に問い合わせを行い、FLD1とサーバ110のID/パケットのプロトコルとFLD2/宛先IPアドレスとFLD3/送信元IPアドレスとFLD4/宛先ポート番号とFLD5/フラグとFLD8とをマッチングし、該当するデータが存在する場合はFLD6のパターンに基づいてFLD7のデータを使用してパケットの該当情報とマッチングを行う。例えば、FLD6のURIでマッチングするとした場合、FLD7で指定した値とパケットに含まれるURI部分の情報をマッチングするステップS604を実行する。
【0025】
次いで本システムは、前記ステップS604において、FLD7で指定した値とパケットに含まれるURI部分の情報とを比較し、一致した場合、サーバ112の監視機能がコンテンツへのアクセスを拒否するステップS606を実行し、前記ステップS604において一致しなかった場合、サーバ112の監視機能がコンテンツへのアクセスを許可するステップS607に続き、サーバ112の監視機能がOSやアプリケーションのログを監視するステップS608と、FLD1がサーバ112のIDでFLD8がログ出力の監視を示すフラグであるデータで、イベント・エラー名がFLD6、FLD7に該当するか否かをファイル情報を監視するステップS620とを平行して実行する。
【0026】
前記ログ監視のステップS620は、前記サーバ112の監視機能が、OSやアプリケーションのログを監視するため、検出したログと不正コンテンツ情報テーブルの情報との比較し、ログが不正コンテンツ情報と一致するか否かを判定するステップS609及び610と、該ステップS110において一致すると判定したときにアクセスを拒否するステップS6611と、該当する不正コンテンツ情報テーブル114のレコードの情報とログ出力をログ情報取得プログラムに入力するステップS612と、ログ情報取得プログラムが例えば入力された不正コンテンツ情報テーブル114レコードのFLD6がHTTP GETだった場合、渡されたログ出力からプロトコル/宛先IPアドレス/送信元IPアドレス/ポート番号/ファイル名/フラグを抽出し、不正コンテンツ情報登録プログラムに入力するステップS613と、これを入力された不正コンテンツ情報登録プログラムがFLD1にサーバ110及びIDを用いてFLD2にプロトコル、FLD3に宛先IPアドレス、FLD4に送信元IPアドレス、FLD5にポート番号、FLD6にURIでマッチングすることを指定し、FLD7にファイル名、FLD8にフラグであるレコードを不正コンテンツ情報テーブル114に記録するステップS614を実行する。
【0027】
前記ファイル情報を監視するステップS620は、サーバ112の監視機能が、サーバ112内に存在するファイルを監視し、FLD1がサーバ112のIDでFLD8がファイルサイズの監視を示すフラグであるデータで、ファイル名がFLD6で、ファイル属性がFLD7と異なっているファイルがないかを判定するステップS620乃至622と、該ステップS622において該当するファイルが存在した場合、そのファイルへのアクセスを拒否するステップS623と、サーバ112の監視機能は該当する不正コンテンツ情報テーブル114のレコードの情報をログ情報取得プログラムに入力するステップS623乃至624と、このレコードの情報が入力されたログ情報取得プログラムが、不正コンテンツ情報テーブル114のレコード情報から該当するファイルへのアクセスを拒否するため、ファイル名を不正コンテンツ情報登録プログラムに入力するステップS620と、FLD1がサーバ110、2のIDでFLD2にプロトコル、FLD3にサーバ112のIPアドレス、FLD4にすべての送信元を示すワイルドカード、FLD5にすべてのポート番号を示すワイルドカード、FLD6にURIでマッチングすることを指定し、FLD7にファイル名、FLD8にすべてのフラグを示すワイルドカードを設定したレコードを不正コンテンツ情報テーブル114に記録するステップS626とを実行するように動作する。
【0028】
この様に本システムは、前述の外部ネットワークからのアクセス制御を行うことによって、サーバ112による監視機能の結果をサーバ110の監視機能にフィードバックすることができる。
<内部ネットワークからのアクセス制御>
【0029】
本システムは、内部ネットワークからのアクセスが開始されたとき、図7に示す如く、PC111からサーバ3へのパケットをサーバ110の監視機能で捕捉すると、サーバ110の監視機能は不正コンテンツ情報テーブル114に問い合わせて、FLD1がサーバ110のIDのデータで、パケットのプロトコルとFLD2、宛先IPアドレスとFLD3、送信元IPアドレスとFLD4、宛先ポート番号とFLD5、フラグとFLD8でマッチングし、該当するデータが存在する場合はFLD6のパターンに基づいてFLD7のデータを使用してパケットの該当情報とマッチングを行うステップS701乃至702を実行する。このステップS702は、例えば、FLD6で「URIでマッチングする」とした場合、FLD7で指定した値とパケットに含まれるURI部分の情報をマッチングする処理である。
【0030】
次いで本システムは、前記ステップS702において、FLD7で指定した値とパケットに含まれるURI部分の情報が一致した場合、サーバ110の監視機能がサーバ3へのアクセスを拒否するステップS704を実行し、前記ステップS702において、一致しなかった場合、サーバ110の監視機能がサーバ3へのアクセスを許可するステップS704とを実行することによって、不正コンテンツ情報をサーバ110及びアクセス監視機能において共有することによって、誤検知を減らすことができる。
【0031】
尚、前記システムにおいて、サーバ110を並列化することにより、負荷分散による高速処理やアベイラビリティの向上を図ることや、不正コンテンツ情報テーブル114を多重化することにより、アベイラビリティの向上を図ることや、内部ネットワーク内サーバの監視機能を部分的に導入することにより、導入済みサーバの不正アクセスの検知によって、未導入のサーバへの不正アクセスも防止を図ることや、他の内部ネットワーク内で発見された不正コンテンツ情報を不正コンテンツ情報テーブル114に登録することにより、他ネットワークでの情報を利用を図ることもできる。
【図面の簡単な説明】
【0032】
【図1】本発明の一実施形態による不正コンテンツ流出入防止システムの構成図。
【図2】本例による外部ネットワークからのアクセス制御設定のフローチャート。
【図3】本例による内部ネットワークからのアクセス制御設定のフローチャート。
【図4】本例によるファイル情報設定のフローチャート。
【図5】本例による異常検知情報設定のフローチャート。
【図6】本例による外部ネットワークからのアクセス制御のフローチャート。
【図7】本例による内部ネットワークからのアクセス制御のフローチャート。
【符号の説明】
【0033】
3:サーバ、30:インターネット網、100:内部ネットワーク、110及び112:サーバ、113:データベースサーバ、114:不正コンテンツ情報テーブル、115:不正コンテンツ情報登録プログラム、117:監視対象情報登録プログラム、118:不正コンテンツ情報プログラム、200:外部ネットワーク、202:サーバ。
【特許請求の範囲】
【請求項1】
外部ネットワークと公衆通信回線網を介して接続され、ネットワークトラフィックを監視する機能を有する第1サーバと、監視機能と不正コンテンツ情報登録プログラムのアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブルに記録するデータベースサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムとを含み、不正アクセスの検知機能を有する第2サーバとを備える不正コンテンツ流出入防止システムであって、
前記データベースサーバの不正コンテンツ情報テーブルが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納し、
前記ログ情報取得プログラムが、前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報に含まれるファイル名とファイル属性とを取得し、取得した前記各情報を不正コンテンツ情報登録プログラムに出力する機能を有し、
前記不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報テーブルに登録する機能を有し、
前記第1サーバが、外部からのネットワークトラフィックに含まれるコンテンツを前記不正コンテンツ情報テーブルに格納した宛先IPアドレスと送信元IPアドレスとコンテンツ情報のポート番号と比較することにより不正コンテンツを検出し、
前記第2サーバが、ログ情報に含まれるファイル名とファイル属性を前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報と比較することにより不正コンテンツを検出することを特徴とする不正コンテンツ流出入防止システム。
【請求項2】
外部ネットワークと公衆通信回線網を介して接続され、ネットワークトラフィックを監視する機能を有する第1サーバと、監視機能と不正コンテンツ情報登録プログラムのアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブルに記録するデータベースサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムを含み、不正アクセスの検知機能を有する第2サーバとを備える不正コンテンツ流出入防止システムに好適な不正コンテンツ流出入防止であって、
前記データベースサーバの不正コンテンツ情報テーブルが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納するステップと、
前記ログ情報取得プログラムが、前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報に含まれるファイル名とファイル属性とを取得し、取得した前記各情報を不正コンテンツ情報登録プログラムに出力するステップと、
前記不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報テーブルに登録するステップと、
前記第1サーバが、外部からのネットワークトラフィックに含まれるコンテンツを前記不正コンテンツ情報テーブルに格納した宛先IPアドレスと送信元IPアドレスとコンテンツ情報のポート番号と比較することにより不正コンテンツを検出するステップと、
前記第2サーバが、ログ情報に含まれるファイル名とファイル属性を前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報と比較することにより不正コンテンツを検出するステップとを実行することを特徴とする不正コンテンツ流出入防止方法。
【請求項1】
外部ネットワークと公衆通信回線網を介して接続され、ネットワークトラフィックを監視する機能を有する第1サーバと、監視機能と不正コンテンツ情報登録プログラムのアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブルに記録するデータベースサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムとを含み、不正アクセスの検知機能を有する第2サーバとを備える不正コンテンツ流出入防止システムであって、
前記データベースサーバの不正コンテンツ情報テーブルが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納し、
前記ログ情報取得プログラムが、前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報に含まれるファイル名とファイル属性とを取得し、取得した前記各情報を不正コンテンツ情報登録プログラムに出力する機能を有し、
前記不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報テーブルに登録する機能を有し、
前記第1サーバが、外部からのネットワークトラフィックに含まれるコンテンツを前記不正コンテンツ情報テーブルに格納した宛先IPアドレスと送信元IPアドレスとコンテンツ情報のポート番号と比較することにより不正コンテンツを検出し、
前記第2サーバが、ログ情報に含まれるファイル名とファイル属性を前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報と比較することにより不正コンテンツを検出することを特徴とする不正コンテンツ流出入防止システム。
【請求項2】
外部ネットワークと公衆通信回線網を介して接続され、ネットワークトラフィックを監視する機能を有する第1サーバと、監視機能と不正コンテンツ情報登録プログラムのアクセスのみを許可し且つ入力された不正コンテンツ情報を不正コンテンツ情報テーブルに記録するデータベースサーバと、ログ情報取得プログラムと不正コンテンツ情報登録プログラムを含み、不正アクセスの検知機能を有する第2サーバとを備える不正コンテンツ流出入防止システムに好適な不正コンテンツ流出入防止であって、
前記データベースサーバの不正コンテンツ情報テーブルが、入力されたコンテンツ情報の宛先IPアドレスと送信元IPアドレスとポート番号とファイル名及びファイル属性を少なくとも含む不正コンテンツ情報を格納するステップと、
前記ログ情報取得プログラムが、前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報に含まれるファイル名とファイル属性とを取得し、取得した前記各情報を不正コンテンツ情報登録プログラムに出力するステップと、
前記不正コンテンツ情報登録プログラムが、ログ情報取得プログラムにより出力された不正コンテンツ情報を不正コンテンツ情報テーブルに登録するステップと、
前記第1サーバが、外部からのネットワークトラフィックに含まれるコンテンツを前記不正コンテンツ情報テーブルに格納した宛先IPアドレスと送信元IPアドレスとコンテンツ情報のポート番号と比較することにより不正コンテンツを検出するステップと、
前記第2サーバが、ログ情報に含まれるファイル名とファイル属性を前記不正コンテンツ情報テーブルに格納した不正コンテンツ情報と比較することにより不正コンテンツを検出するステップとを実行することを特徴とする不正コンテンツ流出入防止方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2008−77510(P2008−77510A)
【公開日】平成20年4月3日(2008.4.3)
【国際特許分類】
【出願番号】特願2006−257859(P2006−257859)
【出願日】平成18年9月22日(2006.9.22)
【出願人】(000152985)株式会社日立情報システムズ (409)
【Fターム(参考)】
【公開日】平成20年4月3日(2008.4.3)
【国際特許分類】
【出願日】平成18年9月22日(2006.9.22)
【出願人】(000152985)株式会社日立情報システムズ (409)
【Fターム(参考)】
[ Back to top ]