不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム
【課題】検査項目を適切に設定し、セキュリティレベルおよび通信速度の低下を避けることを可能とする不正侵入検知・防御システム等を提供する。
【解決手段】クライアントコンピュータ10が、検査不要項目データを作成するパッチ適用情報確認部102と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信するウェブブラウザ動作部101とを有し、不正侵入検知・防御装置20が、クライアントコンピュータからの接続要求をウェブサーバに対して転送するセッション管理部201と、該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル212内に書き込む検査不要項目書込機能202aと、応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能202cと、該応答パケットを検査する検査プログラム読込機能202bとを有する。
【解決手段】クライアントコンピュータ10が、検査不要項目データを作成するパッチ適用情報確認部102と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信するウェブブラウザ動作部101とを有し、不正侵入検知・防御装置20が、クライアントコンピュータからの接続要求をウェブサーバに対して転送するセッション管理部201と、該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル212内に書き込む検査不要項目書込機能202aと、応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能202cと、該応答パケットを検査する検査プログラム読込機能202bとを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムに関し、特にセキュリティレベルおよび通信速度の低下を避けることを可能とする不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムに関する。
【背景技術】
【0002】
インターネットに接続される全てのコンピュータにとって、OS(Oparating System、基本ソフトウェア)やアプリケーションなどの脆弱性を突いて不正侵入を試みる攻撃に対する対策は、もはや不可欠である。非特許文献1で株式会社シマンテックが報告した所によると、同社は西暦2008年の1年間で約166万個の新たなマリシャスコード(悪意をもったプログラム)に対して対策を行ったという。これは前年の約62万個に比べて、およそ2.6倍の数となる。当然ながら、不正侵入に対する脅威も、これと同様のペースで急増していることになる。
【0003】
このように不正侵入に対する脅威が急増している昨今では、不正侵入に対して各々のクライアントコンピュータで対策するだけでなく、企業などの組織内部のイントラネットがグローバルなインターネットに接続される部分(たとえばプロキシサーバなど)で不正侵入を検知して防御することが、各々のクライアントコンピュータでの負荷が軽減されるので望ましい。そのため、多くの組織で、外部ネットワークから内部のイントラネットを不正侵入から守るという意味で、インライン型不正侵入検知・防御システムが採用されるようになっている。
【0004】
図19は、一般的なインライン型不正侵入検知・防御システム1001の構成を示す説明図である。複数台のクライアントコンピュータ1010A、1010B、1010C、…が組織内の内部ネットワーク1030に接続されており、内部ネットワーク1030は不正侵入検知・防御装置1020を介して、インターネット1050に接続されている。これによって、各々のクライアントコンピュータ1010A、1010B、1010C、…は、インターネット1050上のウェブサーバ1040に接続して、ウェブサーバ1040によって提供されるウェブサービスを受けることが可能となっている。
【0005】
不正侵入検知・防御装置1020は、各々のクライアントコンピュータ1010A、1010B、1010C、…からウェブサーバ1040への接続を仲介するいわゆるプロキシサーバであると共に、インターネット1050の側から内部ネットワーク1030に対して届く通信パケットを検査し、その通信パケットに不正な侵入を意図する内容が含まれていればこの通信パケットを破棄して、これによって不正侵入を防ぐという機能を持つ。これによって、各々のクライアントコンピュータ1010A、1010B、1010C、…は、不正侵入の脅威から守られる。
【0006】
ただし、不正侵入検知・防御装置1020で各々の通信パケットを検査する項目が増加すると、その検査を行うプロセッサが過負荷となり、通信速度が大幅に低下するという問題が生じうる。この問題に関連して、次の各々の技術文献がある。その中でも特許文献1には、ネットワークの構成で上流機器に「セキュリティ強度」について問い合わせ、その返答に基づいて検査項目を一部省略するという不正アクセス検知装置などが記載されている。
【0007】
特許文献2には、ソフトウェアの脆弱性の修正によって改善された点について検査ルールから削除するという情報検査装置が記載されている。特許文献3には、HTTP(Hypertext Transfer Protocol)ヘッダなどのデータを自動作成する脆弱性検査装置が記載されている。特許文献4には、パケットの照合時間が最大遅延許容時間を超えるとパターン照合の中止を指示するというインライン型不正侵入検知・防御装置が記載されている。特許文献5には、使用対象となっているシグネチャの各検査項目の攻撃検知度数を判断し、CPU(Central Processing Unit、主演算制御手段)の負荷状況に応じて検査項目を変更するというインライン型不正侵入検知・防御装置が記載されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2009−005122号公報
【特許文献2】特開2004−139177号公報
【特許文献3】特開2005−354338号公報
【特許文献4】特開2008−066903号公報
【特許文献5】特開2008−098766号公報
【非特許文献】
【0009】
【非特許文献1】「インターネットセキュリティ脅威レポート」、[online]、平成21年4月、株式会社シマンテック、[平成22年2月12日検索]、インターネット<URL:http://www.symantec.com/content/ja/jp/enterprise/white_papers/istr14_wp_200904.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0010】
前述のように、図19で示したインライン型不正侵入検知・防御システム1001で、不正侵入検知・防御装置1020が同装置を通る各々の通信パケットに対して検査しなければならない項目は急増している。従って、これらの多数の項目を検査するために、この装置で検査を実際に行うプロセッサが過負荷となり、通信速度が大幅に低下するという問題が生じている。
【0011】
一方で、各々のクライアントコンピュータ1010A、1010B、1010C、…で動作するOS(Operating System)やアプリケーションでは、毎日のように発見される新たな脅威に対して、パッチと呼ばれるソフトウェアの修正モジュールが次々と作成され、配布されている。各クライアントコンピュータにそれらのパッチを適用することによって、多くの不正侵入の脅威に対応できる。
【0012】
そのため、クライアントコンピュータ側でパッチの適用によって対応できている項目については不正侵入検知・防御装置1020の側で検査を省略し、それによって検査にかかる負荷を軽減し、通信速度の低下を避けるということは当然考えられる。
【0013】
しかしながら、パッチの適用状況はクライアントコンピュータごとに異なり、全ての必要なパッチが全てのクライアントコンピュータに適用されているとは限らない。また、各々のクライアントコンピュータごとに利用しているOSやアプリケーションが異なるので、適用すべきパッチも当然クライアントコンピュータごとに異なる。
【0014】
そのため、管理者がその全てを把握して、日々増加する検査項目の内容を1つずつ確認しながら検査が必要であるか不要であるかを判断し、セキュリティレベルおよび通信速度を低下させずに検査項目を適切に設定するということは、既に現実的には困難なこととなっている。
【0015】
特許文献1〜5に記載されている技術では、クライアントコンピュータごとにパッチの適用状況が異なるという点については考慮されていないし、ましてそれに応じて検査項目を設定するということはできない。
【0016】
本発明の目的は、各々のクライアントコンピュータごとに検査項目を適切に設定し、セキュリティレベルおよび通信速度の低下を避けることを可能とする不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムを提供することにある。
【課題を解決するための手段】
【0017】
上記目的を達成するため、本発明に係る不正侵入検知・防御システムは、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムであって、クライアントコンピュータが、脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する第1の記憶手段と、適用済パッチID情報およびパッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信すると共に接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有し、不正侵入検知・防御装置が、クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段と、クライアントコンピュータからの接続要求をウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係をセッションテーブルに記録し、接続要求に対応するウェブサーバからの応答パケットをセッションテーブルに記録された発信元に転送するセッション管理部と、ウェブサーバからの応答パケットに不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、パケット検査部が、クライアントコンピュータから受信した接続要求がウェブサーバに対して転送される前に該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル内に書き込む検査不要項目書込機能と、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能とを有することを特徴とする。
【0018】
上記目的を達成するため、本発明に係るクライアントコンピュータは、内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能なクライアントコンピュータであって、動作するソフトウェアの脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する記憶手段と、適用済パッチID情報およびパッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信すると共に接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有することを特徴とする。
【0019】
上記目的を達成するため、本発明に係る不正侵入検知・防御装置は、内部ネットワークを通じて接続されたクライアントコンピュータと外部ネットワーク上のウェブサーバとの間の接続を仲介し、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御装置であって、クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している記憶手段と、クライアントコンピュータからの接続要求をウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係をセッションテーブルに記録し、接続要求に対応するウェブサーバからの応答パケットをセッションテーブルに記録された発信元に転送するセッション管理部と、ウェブサーバからの応答パケットに不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、パケット検査部が、クライアントコンピュータから受信した接続要求がウェブサーバに対して転送される前に該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル内に書き込む検査不要項目書込機能と、セッションテーブルで応答に対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能とを有することを特徴とする。
【0020】
上記目的を達成するため、本発明に係る不正侵入検知・防御方法は、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、クライアントコンピュータが、予め記憶されている脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し、クライアントコンピュータが、ウェブサーバ宛の接続要求に検査不要項目データを付与してウェブブラウザ動作部にて送信し、不正侵入検知・防御装置が、クライアントコンピュータからの接続要求をセッション管理部にて受信し、不正侵入検知・防御装置が、接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルにセッション管理部にて記録し、不正侵入検知・防御装置が、接続要求に含まれる検査不要項目データを検査不要項目書込機能にてセッションテーブル内に書き込み、不正侵入検知・防御装置が、接続要求から検査不要項目データを検査不要項目書込機能にて取り除き、不正侵入検知・防御装置が、検査不要項目データを取り除かれた接続要求をセッション管理部にてウェブサーバに対して転送し、不正侵入検知・防御装置が、接続要求に対応するウェブサーバからの応答パケットをセッション管理部にて受信し、不正侵入検知・防御装置が、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し、不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていればこれを検査プログラム読込機能にて破棄し、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていなければこれをセッション管理部にてクライアントコンピュータに転送し、クライアントコンピュータが、不正侵入検知・防御装置から転送されてきた応答パケットの内容をウェブブラウザ動作部にて表示することを特徴とする。
【0021】
上記目的を達成するため、本発明に係る不正侵入検知・防御プログラムは、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、コンピュータに、予め記憶されている脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルから検査不要項目データを作成する手順と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信する手順と、不正侵入検知・防御装置から転送されてきた応答パケットの内容を表示する手順とを実行させることを特徴とする。
【0022】
上記目的を達成するため、本発明に係る別の不正侵入検知・防御プログラムは、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、コンピュータに、クライアントコンピュータからの接続要求を受信する手順と、接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに記録する手順と、接続要求に含まれる検査不要項目データをセッションテーブル内に書き込む手順と、接続要求から検査不要項目データを取り除く手順と、検査不要項目データを取り除かれた接続要求をウェブサーバに対して転送する手順と、接続要求に対応するウェブサーバからの応答パケットを受信する手順と、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する手順と、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査する手順と、該応答パケットに不正な攻撃が含まれていればこれを破棄する手順と、該応答パケットに不正な攻撃が含まれていなければこれをクライアントコンピュータに転送する手順とを実行させることを特徴とする。
【発明の効果】
【0023】
上述したように本発明は、クライアントコンピュータが検査不要項目を含む接続要求を送信し、不正侵入検知・防御装置がこの接続要求から検査不要項目を取り除いてからウェブサーバに転送し、これに対して返送された応答パケットを前記検査不要項目に基づいて検査する構成としたので、各クライアントコンピュータでパッチが適用済の検査項目について検査を省略することができ、これによって各々のクライアントコンピュータごとに検査項目を適切に設定し、セキュリティレベルおよび通信速度の低下を避けることが可能である不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムを提供することができる。
【図面の簡単な説明】
【0024】
【図1】図2に示したクライアントコンピュータおよび不正侵入検知・防御装置の構成を示す説明図である。
【図2】本発明の第1の実施形態に係る不正侵入検知・防御システムの全体の概略構成の一例を示す説明図である。
【図3】図1に示したパッチID−検査項目対応テーブルのデータ構成を示す説明図である。
【図4】図1に示した検査不要項目一覧のデータ構成を示す説明図である。
【図5】図1に示した適用済パッチIDリストおよび検査不要項目ビットテーブルのデータ構成を示す説明図である。
【図6】図1に示したHTTPヘッダ変更機能が検査不要項目情報を追加したHTTP要求ヘッダを含むHTTP要求について示す説明図である。
【図7】図1に示したパッチID−検査項目対応テーブルのデータ構成を示す説明図である。
【図8】図1に示したセッションテーブルのデータ構成を示す説明図である。
【図9】図1に示した検査不要項目一覧を含むセッションテーブルのデータ構成を示す説明図である。
【図10】図1に示したサイト共通設定データのデータ構成を示す説明図である。
【図11】図1に示したパッチ適用情報確認部が定期的に行うパッチ適用情報確認の動作を表すフローチャートである。
【図12】図1に示したHTTPヘッダ変更機能がHTTP要求ヘッダに検査不要項目情報を追加してHTTP要求ヘッダとする動作を表すフローチャートである。
【図13】図1に示したセッション管理部およびパケット検査部が、クライアントコンピュータからHTTP要求ヘッダを含むHTTP要求を受信した際の動作を表すフローチャートである。
【図14】図1に示したセッション管理部およびパケット検査部が、ウェブサーバからHTTP応答を受信した際の動作を表すフローチャートである。
【図15】本発明の第2の実施形態に係る不正侵入検知・防御システムの全体の概略構成の一例を示す説明図である。
【図16】図15で示したクライアントコンピュータの構成を示す説明図である。
【図17】図16に示した資産管理用適用済パッチIDリストのデータ構成を示す説明図である。
【図18】図16に示したパッチ適用情報確認部の、パッチ適用情報確認の動作を表すフローチャートである。
【図19】一般的なインライン型不正侵入検知・防御システムの構成を示す説明図である。
【発明を実施するための形態】
【0025】
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係る不正侵入検知・防御システム1は、単数もしくは複数台のクライアントコンピュータ10が内部ネットワーク30を通じて接続された不正侵入検知・防御装置20を介してインターネット50上のウェブサーバ40と接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムである。このクライアントコンピュータ10は、脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報(適用済パッチIDリスト112)およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブル111を記憶する第1の記憶手段12と、適用済パッチID情報およびパッチID−検査項目対応テーブルから検査不要項目データ(検査不要項目一覧114)を作成するパッチ適用情報確認部102と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信すると共に接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部111とを有する。そして不正侵入検知・防御装置20は、クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段22と、クライアントコンピュータからの接続要求をウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係をセッションテーブルに記録し、接続要求に対応するウェブサーバからの応答パケットをセッションテーブルに記録された発信元に転送するセッション管理部201と、ウェブサーバからの応答パケットに不正な攻撃が含まれているか否かについて検査するパケット検査部202とを備える。このパケット検査部202は、クライアントコンピュータから受信した接続要求がウェブサーバに対して転送される前に該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル内に書き込む検査不要項目書込機能202aと、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能202cと、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能202bとを有する。
【0026】
不正侵入検知・防御装置20はまた、パッチID−検査項目対応テーブル111をクライアントコンピュータ10に対して送信する対応テーブル配布部203を有し、クライアントコンピュータ10のパッチ適用情報確認部102が、予め与えられた周期で対応テーブル配布部からパッチID−検査項目対応テーブルをダウンロードして検査不要項目データ(検査不要項目一覧114)を作成する。
【0027】
そして、不正侵入検知・防御装置20の第2の記憶部22が全てのクライアントコンピュータに共通する設定内容であるサイト共通設定(サイト共通設定データ214)を記憶しており、不正侵入検知・防御装置20の検査実行判定機能202cがサイト共通設定および検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する。
【0028】
以上の構成を備えることにより、この装置は各々のクライアントコンピュータごとに検査項目を適切に設定することが可能となる。
以下、これをより詳細に説明する。
【0029】
図2は、本発明の第1の実施形態に係る不正侵入検知・防御システム1の全体の概略構成の一例を示す説明図である。本実施形態に係る不正侵入検知・防御システム1は、複数のクライアントコンピュータ10A、10B、10C、…が、内部ネットワーク(イントラネット)30を介して不正侵入検知・防御装置20に接続され、各クライアントコンピュータ10A、10B、10C、…は不正侵入検知・防御装置20を介してインターネット50経由でウェブサーバ40に対して通信可能であるように構成される。
【0030】
図1は、図2に示したクライアントコンピュータ10および不正侵入検知・防御装置20の構成を示す説明図である。図2に示したクライアントコンピュータ10A、10B、10C、…は、全て同一の構成を有するので、図1では詳細な記載を省略し、これらを総称してクライアントコンピュータ10という。
【0031】
本発明の第1の実施形態に係るクライアントコンピュータ10は一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体となる主演算制御手段(CPU: Central Processing Unit)11と、データを記憶する第1の記憶手段12と、ネットワークを介して他のコンピュータとのデータ通信を行う通信手段13と、ユーザからの操作を受け付け、また処理結果を提示する入出力手段14とを備える。
【0032】
主演算制御手段11では、ウェブブラウザ動作部101およびパッチ適用情報確認部102が、コンピュータプログラムとして動作する。ウェブブラウザ動作部101にはHTTP(Hypertext Transfer Protocol)ヘッダ変更部101aが含まれる。これらのプログラムの動作については後ほど詳しく説明する。また第1の記憶手段12には、パッチID−検査項目対応テーブル111と適用済パッチIDリスト112とがあらかじめ記憶されており、パッチ適用情報確認部102の動作によって検査不要項目ビットテーブル113および検査不要項目一覧114が作成され、第1の記憶手段12に記憶される。これらのデータ構成についても後ほど詳しく説明する。
【0033】
クライアントコンピュータ10と内部ネットワーク30を介して接続される不正侵入検知・防御装置20も一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体となる主演算制御手段(CPU: Central Processing Unit)21と、データを記憶する第2の記憶手段22と、ネットワークを介して他のコンピュータとのデータ通信を行う通信手段23とを備える。
【0034】
主演算制御手段21では、セッション管理部201、パケット検査部202、および対応テーブル配布部203が、コンピュータプログラムとして動作する。これらのプログラムの動作については後ほど詳しく説明する。また第2の記憶手段22には、パッチID−検査項目対応テーブル211、セッションテーブル212、検査プログラム群213、サイト共通設定データ214、といった各データが記憶されている。これらのデータ構成についても後ほど詳しく説明する。
【0035】
ちなみにウェブサーバ40も一般的なコンピュータ装置であり、ウェブサービスを提供するウェブサーバプログラム41が動作する。このウェブサーバ40およびウェブサーバプログラム41については、本発明の範囲ではないので特に詳しく説明しない。
【0036】
(各部の動作の概要)
クライアントコンピュータ10で、適用済パッチIDリスト112は、クライアントコンピュータ10で既に適用されているパッチの、パッチIDの一覧を示す。検査不要項目一覧114は、この適用済パッチIDリスト112に基づいて作成される、クライアントコンピュータ10で既に脆弱性の対処がされているので検査が不要である項目の一覧を示す。
【0037】
パッチ適用情報確認部102は、定期的に適用済パッチIDリスト112を作成し、さらに適用済パッチIDリスト112とパッチID−検査項目対応テーブル111とから検査不要項目一覧114を作成する。
【0038】
そして、クライアントコンピュータ10でユーザがウェブブラウザ動作部101を動作させてウェブ閲覧要求をした場合、ウェブブラウザ動作部101はHTTP要求ヘッダ121を生成し、ウェブブラウザ動作部101に含まれるHTTPヘッダ変更機能101aがこのHTTP要求ヘッダ121に検査不要項目一覧の情報を付加する。その上で、この情報が付加されたHTTP要求ヘッダ121aを、ウェブブラウザ動作部101がウェブサーバ40に送信する。
【0039】
不正侵入検知・防御装置20では、クライアントコンピュータ10からウェブサーバ40宛に流れるHTTP要求120を受信すると、まずセッション管理部201が、このHTTP要求120の送信元および宛先のIPアドレス、送信元および宛先のポート番号の情報をセッション情報としてセッションテーブル212に登録する。
【0040】
その後、情報が付加されたHTTP要求ヘッダ121aをパケット検査部202が受け取り、パケット検査部202に含まれる検査不要項目書込機能202aが、該HTTP要求ヘッダに含まれる検査不要項目一覧を抽出し、セッションテーブル212の該当のエントリに、抽出した検査不要項目212eを追加して、該HTTP要求ヘッダから検査不要項目一覧を削除する。その後、パケット検査部202からウェブサーバ40に対してHTTP要求120を送信する。
【0041】
送信したHTTP要求120に対して、ウェブサーバ40ではウェブサーバプログラム41が応答を返す。この応答であるHTTPパケットは不正侵入検知・防御装置20のセッション管理部201が受信し、そこからパケット検査部202に送られ、さらにパケット検査部202内の検査実行判定機能202cに渡される。
【0042】
検査実行判定機能202cでは、まずサイト全体のポリシーが格納されたサイト共通設定データ214を読込み、この設定内容に従って検査項目の選択を行う。次に、検査実行判定機能202cではセッションテーブル212内の該当するセッション情報から検査不要項目212eの情報を読み出し、検査不要項目212eの情報を基に、検査項目の1番から順番に検査の実行が必要であるか否かを確認する。
【0043】
検査が不要な項目の場合は検査をスキップし、検査が必要な場合は検査プログラム読込機能202bを通して検査プログラム群213の中から必要な検査項目プログラムを読み出して実行して、このHTTPパケットの中に脆弱性を突いた攻撃がないかを検査する。
【0044】
パケット検査部202で全ての必要な検査が完了したHTTPパケットはセッション管理部201に戻され、クライアントコンピュータ10に送信される。その際、このパケットが最後の通信の場合には、検査不要項目書込機能202aがセッションテーブル212から該当するセッション情報を削除する。クライアントコンピュータ10では、受信したHTTP応答の内容をウェブブラウザ動作部101が入出力手段14を介して表示する。
【0045】
(構成の詳細)
図1〜2で既に示したように、クライアントコンピュータ10の主演算制御手段11では、ウェブブラウザ動作部101およびパッチ適用情報確認部102が、コンピュータプログラムとして動作する。ウェブブラウザ動作部101にはHTTPヘッダ変更機能101aが含まれる。
【0046】
また第1の記憶手段12には、パッチID−検査項目対応テーブル111と適用済パッチIDリスト112とがあらかじめ記憶されており、パッチ適用情報確認部102の動作によって検査不要項目一覧114が作成され、第1の記憶手段12に記憶される。
【0047】
図3は、図1に示したパッチID−検査項目対応テーブル111のデータ構成を示す説明図である。パッチID−検査項目対応テーブル111は、脆弱性に対処するためのパッチID111aと、その脆弱性を突いた攻撃を検出するための検査項目番号111bとの対応を表したテーブルであり、不正侵入検知・防御装置20の対応テーブル配布部203から配布される。
【0048】
図3に示した例では、パッチID111a=「AAAAAA」のパッチは検査項目番号111b=1〜3の脆弱性に対応しているなどのように、パッチID111aと検査項目番号111bの対応が示されている。また、検査項目番号111bが70以上の検査項目に対応するパッチID111aは登録されていないことも示されている。これは検査項目番号111bが70以上の項目については、まだ対応が済んでいないので、検査不要とすることはできないということを意味する。
【0049】
ここで、このパッチID111aおよびそれに対応する検査項目番号111bは、不正侵入検知・防御システム1内で統一されてさえいればよいので、たとえばハードウェアやソフトウェアのメーカーがパッチを作成する際に与えてもよいし、また不正侵入検知・防御システム1の管理者が与えて不正侵入検知・防御装置20のパッチID−検査項目対応テーブル211(詳細は後述)に登録するようにしてもよい。
【0050】
図4は、図1に示した検査不要項目一覧114のデータ構成を示す説明図である。検査不要項目一覧114は、クライアントコンピュータ10のパッチ適用状況から、既に脆弱性に対処済で検査が不要であると判断できる検査項目番号の一覧である。パッチ適用情報確認部102は定期的に、適用済パッチIDリスト112を参照してクライアントコンピュータ10に既に適用されているパッチを検査し、パッチID−検査項目対応テーブル111の情報から検査が不要と判断された検査項目番号の一覧情報を検査不要項目一覧114として出力する。その動作については後述する。
【0051】
図5は、図1に示した適用済パッチIDリスト112および検査不要項目ビットテーブル113のデータ構成を示す説明図である。適用済パッチIDリスト112は、クライアントコンピュータ10に既に適用されているパッチIDのリストを一時的に格納するデータであり、図3のパッチID−検査項目対応テーブル111にあった適用済パッチIDが列挙されるという形式で、各々のクライアントコンピュータ10ごとに作成される。
【0052】
検査不要項目ビットテーブル113は、パッチ適用情報確認部102が検査不要項目一覧114を作成するために用いる一時的なデータであるので、必ずしも図5に示した例の通りである必要はないし、またこれを作成せずに直接検査不要項目一覧114を作成してもよい。図5に示した例で、検査不要項目ビットテーブル113はビット位置がそのまま検査項目番号に対応しており、図3のパッチID−検査項目対応テーブル111にもあった検査項目番号1番から順番に、検査が不要であれば「1」、検査が必要であれば「0」という2進数で、各々の検査項目について検査が必要か不要かを示している。
【0053】
ウェブブラウザ動作部101は、利用者がウェブサーバ40の情報を閲覧するための操作を行った場合に、HTTPの要求をウェブサーバ40宛に送信し、またHTTPの応答があった場合はその内容を入出力手段14を介して表示する。HTTPヘッダ変更機能101aは、ウェブブラウザ動作部101がHTTP要求を生成した場合に、HTTP要求ヘッダ121の中に検査不要項目一覧114の情報を追加する。
【0054】
図6は、図1に示したHTTPヘッダ変更機能101aが検査不要項目情報122を追加したHTTP要求ヘッダ121aを含むHTTP要求120について示す説明図である。図6では、検査不要項目情報122を、HTTP要求ヘッダ121aの中では「X−Client−Patch−Info:」という行で、検査不要項目一覧114で列挙された検査不要項目の番号を並べるという形で表現されているが、これ以外の形式であってもよい。
【0055】
図1で既に示したように、不正侵入検知・防御装置20の主演算制御手段21では、セッション管理部201、パケット検査部202、および対応テーブル配布部203が、コンピュータプログラムとして動作する。パケット検査部202には、検査不要項目書込機能202a、検査プログラム読込機能202b、および検査実行判定機能202cが含まれる。
【0056】
また不正侵入検知・防御装置20の第2の記憶手段22には、パッチID−検査項目対応テーブル211、セッションテーブル212、検査プログラム群213、およびサイト共通設定データ214、といった各データが記憶されている。セッションテーブル212には、検査不要項目212eが含まれる。
【0057】
図7は、図1に示したパッチID−検査項目対応テーブル211のデータ構成を示す説明図である。パッチID−検査項目対応テーブル211は、脆弱性に対処するためのパッチIDと、その脆弱性を突いた攻撃を検出するための検査項目の番号との対応を表したテーブルであり、対応テーブル配布部203がこれを各々のクライアントコンピュータ10のパッチ適用情報確認部102に送信して配布する。従って、パッチID−検査項目対応テーブル211のデータ構成は、図3に示したパッチID−検査項目対応テーブル111のそれと同一である。
【0058】
不正侵入検知・防御装置20のパッチID−検査項目対応テーブル211が、各クライアントコンピュータ10のパッチID−検査項目対応テーブル111としてそのまま与えられる構成とすることにより、不正侵入検知・防御システム1全体でパッチID111aと検査項目番号111bとの間の統一を取ることが可能となる。新たなパッチが作られ、それによって改善される(そのパッチを適用すれば検査不要となる)検査項目が明確になった場合、そのパッチID111aと検査項目番号111bの対応関係を、不正侵入検知・防御システム1全体の管理者がパッチID−検査項目対応テーブル211に登録する。こうすれば、各クライアントコンピュータ10にその登録された対応関係が反映される。
【0059】
図8は、図1に示したセッションテーブル212のデータ構成を示す説明図である。セッションテーブル212は、その時点でセッションが維持されている全ての通信についてのセッション情報(送信元および宛先のIPアドレス、送信元および宛先のポート番号)を格納しておくためのテーブルである。セッションテーブル212は、送信元IPアドレス212a、宛先IPアドレス212b、送信元ポート番号212c、宛先ポート番号212dに加えて、検査不要項目情報122に含まれていた内容を記録する検査不要項目212eといった各データを保持する。
【0060】
セッション管理部201は、不正侵入検知・防御装置20を通過する通信を受信し、そのセッション情報をセッションテーブル212に書き込んだ後、該パケットをパケット検査部202に送る。また、パケット検査部202で検査が完了したパケットをセッション管理部201が受け取り、各クライアントコンピュータ10に転送する。
【0061】
セッション管理部201のこの動作は、いわゆるプロキシサーバの動作として一般的なものである。従って、プロキシサーバとして動作するコンピュータ装置を、本実施形態に係る不正侵入検知・防御装置20として動作しうる構成とすれば、本実施形態を実現可能である。
【0062】
検査プログラム群213は、不正侵入検知・防御装置20を通過するパケットの中に、脆弱性を突いた攻撃や不正アクセスを行うためのパケットが含まれていないかを検査するためのプログラム群である。検査プログラム読込機能202bは、検査実行判定機能202cから要求された検査項目番号に対応する検査プログラムを検査プログラム群213の中から読み込んで動作させ、その検査項目についての該パケットの検査を実行する。
【0063】
図9は、図1に示した検査不要項目212eを含むセッションテーブル212のデータ構成を示す説明図である。検査不要項目書込機能202aは、HTTP要求ヘッダ121aの中に検査不要項目一覧の情報が含まれていた場合に、その情報をセッションテーブル212中の該当するエントリに検査不要項目212eとして格納し、HTTP要求ヘッダ121aから検査不要項目一覧の情報を削除して通常のHTTP要求ヘッダ121とした後に、セッション管理部201を通してウェブサーバ40にHTTP要求を送信する。
【0064】
検査実行判定機能202cは、ウェブサーバ40からHTTP応答を受信した場合に、まずサイト全体のポリシーが格納されたサイト共通設定データ214を読込み、この設定内容に従って検査項目の選択を行う。次に、セッションテーブル212の中から該当するエントリを検索し、そのエントリ内の検査不要項目212eの情報を読込み、検査不要項目212eの情報を基に、検査項目番号1番から順番に検査が必要であるかを判断し、検査が必要なければ検査処理をスキップする。検査が必要な場合には、検査実行判定機能202cは検査プログラム読込機能202bを通して、検査プログラム群213から該当する検査プログラムを読込んでパケットの検査を実行する。
【0065】
図10は、図1に示したサイト共通設定データ214のデータ構成を示す説明図である。前述の通り、サイト共通設定データ214は不正侵入検知・防御システム1全体のセキュリティポリシーを、該システム全体の管理者が記録したものである。セキュリティポリシーは組織で利用されるコンピュータネットワークでは既に一般的なものであり、その項目は多岐にわたっているが、本実施形態に関連するのは全てのクライアントコンピュータ10で共通する検査不要項目に関する設定のみである。たとえば、全てのクライアントコンピュータ10が必ず設定すべきパッチがある場合、そのパッチによって検査不要となる検査項目番号がここに設定される。
【0066】
従って、そのデータ形式は、図4に示した検査不要項目一覧114と同じように、全てのクライアントコンピュータ10で共通する検査不要項目番号を列挙するという形式である。検査実行判定機能202cは、このサイト共通設定データ214の検査不要項目番号と、セッションテーブル212の検査不要項目212eとを合わせて、各クライアントコンピュータ10について検査項目を判断する。
【0067】
そしてセッション管理部201は検査が終了したパケットを受け取り、セッションテーブル212でそのパケットに該当するエントリの送信元IPアドレス212aおよび送信元ポート番号212cに該当するクライアントコンピュータ10に転送する。
【0068】
ウェブサーバ40で動作するウェブサーバプログラム41は、apacheなどのような一般的なウェブサーバ用のプログラムであり、HTTP要求を受信し、その要求の内容に応じてHTTPの応答を送信するものである。不正侵入検知・防御装置20からウェブサーバ40に送信されるHTTP要求で、HTTP要求ヘッダ121は検査不要項目一覧114の情報を削除されているので、HTTPの基本的仕様の通りのものである。従って、ウェブサーバプログラム41は、本実施形態に対応した特別なものである必要はなく、通常のものでよい。
【0069】
(フローチャート)
図11は、図1に示したパッチ適用情報確認部102が定期的に行うパッチ適用情報確認の動作を表すフローチャートである。パッチ適用情報確認部102は、この動作を定期的に、たとえば1日に1回あらかじめ設定された時刻に行う。
【0070】
設定時刻が来たことを確認したパッチ適用情報確認部102は(ステップS301)、不正侵入検知・防御装置20の対応テーブル配布部203から、パッチID−検査項目対応テーブル211をダウンロードし、図3に示したパッチID−検査項目対応テーブル111として保存する(ステップS302)。そしてパッチ適用情報確認部102は、クライアントコンピュータ10に適用済のパッチを検査してパッチID−検査項目対応テーブル111と比較し、図5に示した適用済パッチIDリスト112を作成する(ステップS303)。
【0071】
そしてパッチ適用情報確認部102は、作成した適用済パッチIDリスト112から、図5に示した検査不要項目ビットテーブル113の初期データをまず作成する(ステップS304)。この段階で作成された初期データでは、全てのデータが「検査不要」を示す「1」となっている。パッチ適用情報確認部102は、パッチID−検査項目対応テーブル111の先頭から順番にそのデータを読み込み(ステップS305)、読み込んだエントリのパッチIDが適用済パッチIDリスト112に存在するか否かを確認する(ステップS306)。
【0072】
存在すれば(ステップS306:YES)、そのパッチはクライアントコンピュータ10に既に適用されているので、これに対応する検査項目について検査する必要はないことになる。従って、検査不要項目ビットテーブル113でこれに対応するビットは「1」のままで、次のエントリについてステップS305から処理を繰り返す。
【0073】
存在しなければ(ステップS306:NO)、そのパッチはクライアントコンピュータ10に適用されていないので、これに対応する検査項目について検査する必要はある。従って、検査不要項目ビットテーブル113でこれに対応するビットを「検査必要」を示す「0」に変更して(ステップS307)、次のエントリについてステップS305から処理を繰り返す(ステップS309)。
【0074】
以上の処理を、パッチID−検査項目対応テーブル111の最後のエントリまでくり返し(ステップS308)、全てのエントリの処理が終わったら、検査不要項目ビットテーブル113としてここまでに出力された情報を図4に示した検査不要項目一覧114として出力して(ステップS310)処理を終了する。
【0075】
図12は、図1に示したHTTPヘッダ変更機能101aがHTTP要求ヘッダ121に検査不要項目情報122を追加してHTTP要求ヘッダ121aとする動作を表すフローチャートである。ユーザが入出力手段14を操作してウェブブラウザ動作部101にウェブブラウザを起動させる(ステップS401)と、ウェブブラウザ動作部101はHTTP要求ヘッダ121を含むHTTP要求120をウェブサーバ40に向けて送出する(ステップS402)。
【0076】
そのHTTP要求120はHTTPヘッダ変更機能101aに渡され、これに反応したHTTPヘッダ変更機能101aは、あらかじめ出力された検査不要項目一覧114を読込み、図6に示したようにHTTP要求ヘッダ121に検査不要項目情報122を付加してHTTP要求ヘッダ121aとしてウェブブラウザ動作部101に渡し(ステップS403)、ウェブブラウザ動作部101はこのHTTP要求ヘッダ121aを含むHTTP要求120をウェブサーバ40に向けて送出する(ステップS405)。
【0077】
図13は、図1に示したセッション管理部201およびパケット検査部202が、クライアントコンピュータ10からHTTP要求ヘッダ121aを含むHTTP要求120を受信した際の動作を表すフローチャートである。図13は、HTTP要求ヘッダ121aに含まれる検査不要項目情報122の内容をセッションテーブル212に保存し、検査不要項目情報122を取り除いた元のHTTP要求ヘッダ121としてウェブサーバ40に向けて送出するまでの動作を表す。
【0078】
不正侵入検知・防御装置20では、まずセッション管理部201がこのHTTP要求120を受信して(ステップS501)、ここに含まれるセッション情報(送信元IPアドレス212a、宛先IPアドレス212b、送信元ポート番号212c、宛先ポート番号212d)をセッションテーブル212に記録して(ステップS502)、該HTTP要求120をパケット検査部202内の検査不要項目書込機能202aに渡す。
【0079】
該HTTP要求を受けた検査不要項目書込機能202aは、このHTTP要求のHTTP要求ヘッダ121aに含まれる検査不要項目情報122の内容をセッションテーブル212の検査不要項目212eに保存して(ステップS503)、HTTP要求ヘッダ121aから検査不要項目情報122を削除して元のHTTP要求ヘッダ121に戻して、該HTTP要求をセッション管理部201に返却する(ステップS504)。セッション管理部201は、検査不要項目書込機能202aから返却されたHTTP要求120を、ウェブサーバ40に送出する(ステップS505)。
【0080】
図14は、図1に示したセッション管理部201およびパケット検査部202が、ウェブサーバ40からHTTP応答を受信した際の動作を表すフローチャートである。図13は、ウェブサーバ40からHTTP応答を受信してこれを検査し、そのHTTP応答の元となったHTTP要求120を送信したクライアントコンピュータ10に該HTTP応答を返すまでの動作を表す。
【0081】
不正侵入検知・防御装置20では、まずセッション管理部201がこのHTTP応答を受信して(ステップS601)、該HTTP応答をパケット検査部202内の検査実行判定機能202cに渡す(ステップS602)。
【0082】
該HTTP応答を受けた検査実行判定機能202cは、まずサイト共通設定データ214を読込み、この設定内容に従って検査項目の選択を行う(ステップS603)。次いで検査実行判定機能202cは、該HTTP応答に該当するエントリをセッションテーブル212の中から検索し、そのエントリの検査不要項目212eを読込み(ステップS604)、ここまでで読み込んだ情報から、各検査項目番号について検査が必要であるか否かについて判断する(ステップS605)。
【0083】
検査が必要である場合(ステップS605:YES)、検査実行判定機能202cは検査プログラム読込機能202bを通して、検査プログラム群213からその検査項目番号に該当する検査プログラムを読み込み、その項目について該HTTP応答を検査し(ステップS606)、次の項目についてステップS605から処理を繰り返す。検査の結果、脆弱性を突いた攻撃の内容を含んでいた場合はそのパケットを破棄して処理を終了する(ステップS607〜608)。
【0084】
検査が不要である場合(ステップS605:NO)、検査実行判定機能202cはその検査項目についての検査を行わず、次の項目についてステップS605から処理を繰り返す。
【0085】
以上の処理を、全ての検査項目についてくり返し(ステップS609〜610)、全ての検査項目について処理が終わっても脆弱性を突いた攻撃の内容が見つからなかったら、該HTTP応答をそのHTTP応答の元となったHTTP要求を送信したクライアントコンピュータ10、即ちセッションテーブル212でそのHTTP応答の元となったHTTP要求120に該当するエントリの送信元IPアドレス212aおよび送信元ポート番号212cに該当するクライアントコンピュータ10に返して(ステップS611)、処理を終了する。
【0086】
これと同時に、セッション管理部201ではそのHTTP応答がHTTP要求120に該当する最後のパケットである場合に、セッションテーブル212の該当するエントリを削除する。クライアントコンピュータ10は、ウェブブラウザ動作部101が受信したそのHTTP応答の内容を表示する。
【0087】
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係る不正侵入検知・防御方法は、単数もしくは複数台のクライアントコンピュータ10が内部ネットワーク30を通じて接続された不正侵入検知・防御装置20を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システム1で、クライアントコンピュータが、予め記憶されている脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し(図11・ステップS303〜310)、クライアントコンピュータが、ウェブサーバ宛の接続要求に検査不要項目データを付与してウェブブラウザ動作部にて送信し(図12・ステップS402〜405)、不正侵入検知・防御装置が、クライアントコンピュータからの接続要求をセッション管理部にて受信し(図13・ステップS501)、不正侵入検知・防御装置が、接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルにセッション管理部にて記録し(図13・ステップS502)、不正侵入検知・防御装置が、接続要求に含まれる検査不要項目データを検査不要項目書込機能にてセッションテーブル内に書き込み(図13・ステップS503)、不正侵入検知・防御装置が、接続要求から検査不要項目データを検査不要項目書込機能にて取り除き(図13・ステップS504)、不正侵入検知・防御装置が、検査不要項目データを取り除かれた接続要求をセッション管理部にてウェブサーバに対して転送し(図13・ステップS505)、不正侵入検知・防御装置が、接続要求に対応するウェブサーバからの応答パケットをセッション管理部にて受信し(図14・ステップS601)、不正侵入検知・防御装置が、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し(図14・ステップS603〜605)、不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し(図14・ステップS606)、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていればこれを検査プログラム読込機能にて破棄し(図14・ステップS607〜608)、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていなければこれをセッション管理部にてクライアントコンピュータに転送し(図14・ステップS611)、クライアントコンピュータが、不正侵入検知・防御装置から転送されてきた応答パケットの内容をウェブブラウザ動作部にて表示する。
【0088】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータであるクライアントコンピュータ10および不正侵入検知・防御装置20に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
【0089】
本実施形態により、各々のクライアントコンピュータごとに異なるパッチの適用状況に合わせて検査不要項目を設定し、応答パケットに対する検査を行うことが可能となる。このため、既にクライアントコンピュータ側で脆弱性への対処が行われている検査項目について、適切に検査を省略することができるので、セキュリティレベルを低下させることはない。それでいて、不正侵入検知・防御装置の側で検査にかかる負荷を小さくすることができるので、通信速度の低下を避けることが可能となる。
【0090】
(第2の実施形態)
本発明の第2の実施形態に係る不正侵入検知・防御システム701は、クライアントコンピュータ710が、コンピュータ資産管理の目的で適用済パッチID情報データを作成する資産管理用パッチ適用情報確認部803を有し、パッチ適用情報確認部802が資産管理用パッチ適用情報確認部803から適用済パッチID情報データ815を取得する。
【0091】
これによって、適用済パッチIDリスト112の作成にかかるクライアントコンピュータ710の負荷を省略することができる。
以下、これをより詳細に説明する。
【0092】
図15は、本発明の第2の実施形態に係る不正侵入検知・防御システム701の全体の概略構成の一例を示す説明図である。本実施形態に係る不正侵入検知・防御システム701は、前述した第1の実施形態に係る不正侵入検知・防御システム1と比べて、複数のクライアントコンピュータ10A、10B、10C、…が各々クライアントコンピュータ710A、710B、710C、…に置き換わっている。それらは全て同一の構成を有するので、以後総称してクライアントコンピュータ710という。
【0093】
これら以外の要素は全て、第1の実施形態に係る不正侵入検知・防御システム1と同一である。また、第2の実施形態に係るクライアントコンピュータ710と、第1の実施形態に係るクライアントコンピュータ10とが、同一の内部ネットワーク30の中で混在していてもよい。
【0094】
図16は、図15で示したクライアントコンピュータ710の構成を示す説明図である。クライアントコンピュータ710は、第1の実施形態に係るクライアントコンピュータ10と全く同様の主演算制御手段11と、第1の記憶手段12と、通信手段13と、入出力手段14とを備える。
【0095】
ただし、主演算制御手段11で動作するコンピュータプログラムは、ウェブブラウザ動作部101は第1の実施形態と同一だが、パッチ適用情報確認部102がパッチ適用情報確認部802に変更され、さらに資産管理用パッチ適用情報確認部803が追加されている。また、第1の記憶手段12にあらかじめ記憶されているデータに、パッチID−検査項目対応テーブル111と適用済パッチIDリスト112の他に、資産管理用適用済パッチIDリスト815が追加されている。これらの点以外は、第1の実施形態に係るクライアントコンピュータ10と同一の構成であるので、同一の要素については同一の参照番号を付す。
【0096】
資産管理用パッチ適用情報確認部803は、コンピュータの資産管理の目的で既に導入されている、クライアントコンピュータ710のパッチの適用状況を確認するためのプログラムである。資産管理用適用済パッチIDリスト815は、資産管理用パッチ適用情報確認部803がその資産管理の目的で作成して保存するデータである。図17は、図16に示した資産管理用適用済パッチIDリスト815のデータ構成を示す説明図である。資産管理用適用済パッチIDリスト815のデータ構成および内容は、図5に示した適用済パッチIDリスト112と同一である。
【0097】
図18は、図16に示したパッチ適用情報確認部802の、パッチ適用情報確認の動作を表すフローチャートである。この動作は、図11に示したパッチ適用情報確認部102の動作と概ね同一であるので、同一の動作は同一のステップ番号でいう。パッチ適用情報確認部802はステップS301〜302の動作を行った後、資産管理用パッチ適用情報確認部803に資産管理用適用済パッチIDリスト815を送信するように依頼(ステップS903)する。資産管理用パッチ適用情報確認部803はこれをパッチ適用情報確認部802に渡す(ステップS904)。
【0098】
図17に示したように、資産管理用適用済パッチIDリスト815は図5に示した適用済パッチIDリスト112と同一のデータ構成を有し、また内容もそのままステップS304以後の処理に利用できるものであるので、パッチ適用情報確認部802はこれを利用してステップS304以後の処理を行う。
【0099】
本実施形態によって、第1の実施形態で説明した効果と同一の効果を得ることができるのに加えて、資産管理の目的で既に作成された適用済パッチIDリストをそのまま利用するので、同一の適用済パッチIDリストを重複して作成することがないので、クライアントコンピュータ710の負荷を省略することができる。
【0100】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【0101】
上述した各々の実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
【0102】
(付記1) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムであって、
前記クライアントコンピュータが、
前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する第1の記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有し、
前記不正侵入検知・防御装置が、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御システム。
【0103】
(付記2) 前記不正侵入検知・防御装置が、前記パッチID−検査項目対応テーブルを前記クライアントコンピュータに対して送信する対応テーブル配布部を有し、
前記クライアントコンピュータの前記パッチ適用情報確認部が、予め与えられた周期で前記対応テーブル配布部から前記パッチID−検査項目対応テーブルをダウンロードして前記検査不要項目データを作成することを特徴とする、付記1に記載の不正侵入検知・防御システム。
【0104】
(付記3) 前記不正侵入検知・防御装置の第2の記憶部が全ての前記クライアントコンピュータに共通する設定内容であるサイト共通設定を記憶しており、
前記不正侵入検知・防御装置の前記検査実行判定機能が前記サイト共通設定および前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断することを特徴とする、付記1に記載の不正侵入検知・防御システム。
【0105】
(付記4) 前記クライアントコンピュータが、
コンピュータ資産管理の目的で前記適用済パッチID情報データを作成する資産管理用パッチ適用情報確認部を有し、
前記パッチ適用情報確認部が前記資産管理用パッチ適用情報確認部から前記適用済パッチID情報データを取得することを特徴とする、付記1に記載の不正侵入検知・防御システム。
【0106】
(付記5) 内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能なクライアントコンピュータであって、
動作するソフトウェアの脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部と
を有することを特徴とするクライアントコンピュータ。
【0107】
(付記6) 内部ネットワークを通じて接続されたクライアントコンピュータと外部ネットワーク上のウェブサーバとの間の接続を仲介し、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御装置であって、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答に対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御装置。
【0108】
(付記7) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
前記クライアントコンピュータが、予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し、
前記クライアントコンピュータが、前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与してウェブブラウザ動作部にて送信し、
前記不正侵入検知・防御装置が、前記クライアントコンピュータからの接続要求をセッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに前記セッション管理部にて記録し、
前記不正侵入検知・防御装置が、前記接続要求に含まれる前記検査不要項目データを検査不要項目書込機能にて前記セッションテーブル内に書き込み、
前記不正侵入検知・防御装置が、前記接続要求から前記検査不要項目データを前記検査不要項目書込機能にて取り除き、
前記不正侵入検知・防御装置が、前記検査不要項目データを取り除かれた前記接続要求を前記セッション管理部にて前記ウェブサーバに対して転送し、
前記不正侵入検知・防御装置が、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し、
前記不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていればこれを前記検査プログラム読込機能にて破棄し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていなければこれを前記セッション管理部にて前記クライアントコンピュータに転送し、
前記クライアントコンピュータが、前記不正侵入検知・防御装置から転送されてきた前記応答パケットの内容を前記ウェブブラウザ動作部にて表示する
ことを特徴とする不正侵入検知・防御方法。
【0109】
(付記8) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルから検査不要項目データを作成する手順と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信する手順と、
前記不正侵入検知・防御装置から転送されてきた応答パケットの内容を表示する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。
【0110】
(付記9) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
前記クライアントコンピュータからの接続要求を受信する手順と、
前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに記録する手順と、
前記接続要求に含まれる前記検査不要項目データを前記セッションテーブル内に書き込む手順と、
前記接続要求から前記検査不要項目データを取り除く手順と、
前記検査不要項目データを取り除かれた前記接続要求を前記ウェブサーバに対して転送する手順と、
前記接続要求に対応する前記ウェブサーバからの応答パケットを受信する手順と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する手順と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査する手順と、
該応答パケットに前記不正な攻撃が含まれていればこれを破棄する手順と、
該応答パケットに前記不正な攻撃が含まれていなければこれを前記クライアントコンピュータに転送する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。
【産業上の利用可能性】
【0111】
本発明は、ネットワークに接続されたコンピュータの不正侵入対策に適用できる。
【符号の説明】
【0112】
1、701 不正侵入検知・防御システム
10、10A、10B、10C、710、710A、710B、710C クライアントコンピュータ
11、21 主演算制御手段
12 第1の記憶手段
22 第2の記憶手段
13、23 通信手段
14 入出力手段
20 不正侵入検知・防御装置
30 内部ネットワーク
40 ウェブサーバ
41 ウェブサーバプログラム
50 インターネット
101 ウェブブラウザ動作部
101a HTTPヘッダ変更機能
102、802 パッチ適用情報確認部
111、211 パッチID−検査項目対応テーブル
111a パッチID
111b 検査項目番号
112 適用済パッチIDリスト
113 検査不要項目ビットテーブル
114 検査不要項目一覧
120 HTTP要求
121、121a HTTP要求ヘッダ
122 検査不要項目情報
201 セッション管理部
202 パケット検査部
202a 検査不要項目書込機能
202b 検査プログラム読込機能
202c 検査実行判定機能
203 対応テーブル配布部
212 セッションテーブル
212e 検査不要項目
213 検査プログラム群
214 サイト共通設定データ
803 資産管理用パッチ適用情報確認部
815 資産管理用適用済パッチIDリスト
【技術分野】
【0001】
本発明は不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムに関し、特にセキュリティレベルおよび通信速度の低下を避けることを可能とする不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムに関する。
【背景技術】
【0002】
インターネットに接続される全てのコンピュータにとって、OS(Oparating System、基本ソフトウェア)やアプリケーションなどの脆弱性を突いて不正侵入を試みる攻撃に対する対策は、もはや不可欠である。非特許文献1で株式会社シマンテックが報告した所によると、同社は西暦2008年の1年間で約166万個の新たなマリシャスコード(悪意をもったプログラム)に対して対策を行ったという。これは前年の約62万個に比べて、およそ2.6倍の数となる。当然ながら、不正侵入に対する脅威も、これと同様のペースで急増していることになる。
【0003】
このように不正侵入に対する脅威が急増している昨今では、不正侵入に対して各々のクライアントコンピュータで対策するだけでなく、企業などの組織内部のイントラネットがグローバルなインターネットに接続される部分(たとえばプロキシサーバなど)で不正侵入を検知して防御することが、各々のクライアントコンピュータでの負荷が軽減されるので望ましい。そのため、多くの組織で、外部ネットワークから内部のイントラネットを不正侵入から守るという意味で、インライン型不正侵入検知・防御システムが採用されるようになっている。
【0004】
図19は、一般的なインライン型不正侵入検知・防御システム1001の構成を示す説明図である。複数台のクライアントコンピュータ1010A、1010B、1010C、…が組織内の内部ネットワーク1030に接続されており、内部ネットワーク1030は不正侵入検知・防御装置1020を介して、インターネット1050に接続されている。これによって、各々のクライアントコンピュータ1010A、1010B、1010C、…は、インターネット1050上のウェブサーバ1040に接続して、ウェブサーバ1040によって提供されるウェブサービスを受けることが可能となっている。
【0005】
不正侵入検知・防御装置1020は、各々のクライアントコンピュータ1010A、1010B、1010C、…からウェブサーバ1040への接続を仲介するいわゆるプロキシサーバであると共に、インターネット1050の側から内部ネットワーク1030に対して届く通信パケットを検査し、その通信パケットに不正な侵入を意図する内容が含まれていればこの通信パケットを破棄して、これによって不正侵入を防ぐという機能を持つ。これによって、各々のクライアントコンピュータ1010A、1010B、1010C、…は、不正侵入の脅威から守られる。
【0006】
ただし、不正侵入検知・防御装置1020で各々の通信パケットを検査する項目が増加すると、その検査を行うプロセッサが過負荷となり、通信速度が大幅に低下するという問題が生じうる。この問題に関連して、次の各々の技術文献がある。その中でも特許文献1には、ネットワークの構成で上流機器に「セキュリティ強度」について問い合わせ、その返答に基づいて検査項目を一部省略するという不正アクセス検知装置などが記載されている。
【0007】
特許文献2には、ソフトウェアの脆弱性の修正によって改善された点について検査ルールから削除するという情報検査装置が記載されている。特許文献3には、HTTP(Hypertext Transfer Protocol)ヘッダなどのデータを自動作成する脆弱性検査装置が記載されている。特許文献4には、パケットの照合時間が最大遅延許容時間を超えるとパターン照合の中止を指示するというインライン型不正侵入検知・防御装置が記載されている。特許文献5には、使用対象となっているシグネチャの各検査項目の攻撃検知度数を判断し、CPU(Central Processing Unit、主演算制御手段)の負荷状況に応じて検査項目を変更するというインライン型不正侵入検知・防御装置が記載されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2009−005122号公報
【特許文献2】特開2004−139177号公報
【特許文献3】特開2005−354338号公報
【特許文献4】特開2008−066903号公報
【特許文献5】特開2008−098766号公報
【非特許文献】
【0009】
【非特許文献1】「インターネットセキュリティ脅威レポート」、[online]、平成21年4月、株式会社シマンテック、[平成22年2月12日検索]、インターネット<URL:http://www.symantec.com/content/ja/jp/enterprise/white_papers/istr14_wp_200904.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0010】
前述のように、図19で示したインライン型不正侵入検知・防御システム1001で、不正侵入検知・防御装置1020が同装置を通る各々の通信パケットに対して検査しなければならない項目は急増している。従って、これらの多数の項目を検査するために、この装置で検査を実際に行うプロセッサが過負荷となり、通信速度が大幅に低下するという問題が生じている。
【0011】
一方で、各々のクライアントコンピュータ1010A、1010B、1010C、…で動作するOS(Operating System)やアプリケーションでは、毎日のように発見される新たな脅威に対して、パッチと呼ばれるソフトウェアの修正モジュールが次々と作成され、配布されている。各クライアントコンピュータにそれらのパッチを適用することによって、多くの不正侵入の脅威に対応できる。
【0012】
そのため、クライアントコンピュータ側でパッチの適用によって対応できている項目については不正侵入検知・防御装置1020の側で検査を省略し、それによって検査にかかる負荷を軽減し、通信速度の低下を避けるということは当然考えられる。
【0013】
しかしながら、パッチの適用状況はクライアントコンピュータごとに異なり、全ての必要なパッチが全てのクライアントコンピュータに適用されているとは限らない。また、各々のクライアントコンピュータごとに利用しているOSやアプリケーションが異なるので、適用すべきパッチも当然クライアントコンピュータごとに異なる。
【0014】
そのため、管理者がその全てを把握して、日々増加する検査項目の内容を1つずつ確認しながら検査が必要であるか不要であるかを判断し、セキュリティレベルおよび通信速度を低下させずに検査項目を適切に設定するということは、既に現実的には困難なこととなっている。
【0015】
特許文献1〜5に記載されている技術では、クライアントコンピュータごとにパッチの適用状況が異なるという点については考慮されていないし、ましてそれに応じて検査項目を設定するということはできない。
【0016】
本発明の目的は、各々のクライアントコンピュータごとに検査項目を適切に設定し、セキュリティレベルおよび通信速度の低下を避けることを可能とする不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムを提供することにある。
【課題を解決するための手段】
【0017】
上記目的を達成するため、本発明に係る不正侵入検知・防御システムは、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムであって、クライアントコンピュータが、脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する第1の記憶手段と、適用済パッチID情報およびパッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信すると共に接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有し、不正侵入検知・防御装置が、クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段と、クライアントコンピュータからの接続要求をウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係をセッションテーブルに記録し、接続要求に対応するウェブサーバからの応答パケットをセッションテーブルに記録された発信元に転送するセッション管理部と、ウェブサーバからの応答パケットに不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、パケット検査部が、クライアントコンピュータから受信した接続要求がウェブサーバに対して転送される前に該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル内に書き込む検査不要項目書込機能と、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能とを有することを特徴とする。
【0018】
上記目的を達成するため、本発明に係るクライアントコンピュータは、内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能なクライアントコンピュータであって、動作するソフトウェアの脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する記憶手段と、適用済パッチID情報およびパッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信すると共に接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有することを特徴とする。
【0019】
上記目的を達成するため、本発明に係る不正侵入検知・防御装置は、内部ネットワークを通じて接続されたクライアントコンピュータと外部ネットワーク上のウェブサーバとの間の接続を仲介し、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御装置であって、クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している記憶手段と、クライアントコンピュータからの接続要求をウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係をセッションテーブルに記録し、接続要求に対応するウェブサーバからの応答パケットをセッションテーブルに記録された発信元に転送するセッション管理部と、ウェブサーバからの応答パケットに不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、パケット検査部が、クライアントコンピュータから受信した接続要求がウェブサーバに対して転送される前に該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル内に書き込む検査不要項目書込機能と、セッションテーブルで応答に対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能とを有することを特徴とする。
【0020】
上記目的を達成するため、本発明に係る不正侵入検知・防御方法は、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、クライアントコンピュータが、予め記憶されている脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し、クライアントコンピュータが、ウェブサーバ宛の接続要求に検査不要項目データを付与してウェブブラウザ動作部にて送信し、不正侵入検知・防御装置が、クライアントコンピュータからの接続要求をセッション管理部にて受信し、不正侵入検知・防御装置が、接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルにセッション管理部にて記録し、不正侵入検知・防御装置が、接続要求に含まれる検査不要項目データを検査不要項目書込機能にてセッションテーブル内に書き込み、不正侵入検知・防御装置が、接続要求から検査不要項目データを検査不要項目書込機能にて取り除き、不正侵入検知・防御装置が、検査不要項目データを取り除かれた接続要求をセッション管理部にてウェブサーバに対して転送し、不正侵入検知・防御装置が、接続要求に対応するウェブサーバからの応答パケットをセッション管理部にて受信し、不正侵入検知・防御装置が、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し、不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていればこれを検査プログラム読込機能にて破棄し、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていなければこれをセッション管理部にてクライアントコンピュータに転送し、クライアントコンピュータが、不正侵入検知・防御装置から転送されてきた応答パケットの内容をウェブブラウザ動作部にて表示することを特徴とする。
【0021】
上記目的を達成するため、本発明に係る不正侵入検知・防御プログラムは、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、コンピュータに、予め記憶されている脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルから検査不要項目データを作成する手順と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信する手順と、不正侵入検知・防御装置から転送されてきた応答パケットの内容を表示する手順とを実行させることを特徴とする。
【0022】
上記目的を達成するため、本発明に係る別の不正侵入検知・防御プログラムは、単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、コンピュータに、クライアントコンピュータからの接続要求を受信する手順と、接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに記録する手順と、接続要求に含まれる検査不要項目データをセッションテーブル内に書き込む手順と、接続要求から検査不要項目データを取り除く手順と、検査不要項目データを取り除かれた接続要求をウェブサーバに対して転送する手順と、接続要求に対応するウェブサーバからの応答パケットを受信する手順と、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する手順と、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査する手順と、該応答パケットに不正な攻撃が含まれていればこれを破棄する手順と、該応答パケットに不正な攻撃が含まれていなければこれをクライアントコンピュータに転送する手順とを実行させることを特徴とする。
【発明の効果】
【0023】
上述したように本発明は、クライアントコンピュータが検査不要項目を含む接続要求を送信し、不正侵入検知・防御装置がこの接続要求から検査不要項目を取り除いてからウェブサーバに転送し、これに対して返送された応答パケットを前記検査不要項目に基づいて検査する構成としたので、各クライアントコンピュータでパッチが適用済の検査項目について検査を省略することができ、これによって各々のクライアントコンピュータごとに検査項目を適切に設定し、セキュリティレベルおよび通信速度の低下を避けることが可能である不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラムを提供することができる。
【図面の簡単な説明】
【0024】
【図1】図2に示したクライアントコンピュータおよび不正侵入検知・防御装置の構成を示す説明図である。
【図2】本発明の第1の実施形態に係る不正侵入検知・防御システムの全体の概略構成の一例を示す説明図である。
【図3】図1に示したパッチID−検査項目対応テーブルのデータ構成を示す説明図である。
【図4】図1に示した検査不要項目一覧のデータ構成を示す説明図である。
【図5】図1に示した適用済パッチIDリストおよび検査不要項目ビットテーブルのデータ構成を示す説明図である。
【図6】図1に示したHTTPヘッダ変更機能が検査不要項目情報を追加したHTTP要求ヘッダを含むHTTP要求について示す説明図である。
【図7】図1に示したパッチID−検査項目対応テーブルのデータ構成を示す説明図である。
【図8】図1に示したセッションテーブルのデータ構成を示す説明図である。
【図9】図1に示した検査不要項目一覧を含むセッションテーブルのデータ構成を示す説明図である。
【図10】図1に示したサイト共通設定データのデータ構成を示す説明図である。
【図11】図1に示したパッチ適用情報確認部が定期的に行うパッチ適用情報確認の動作を表すフローチャートである。
【図12】図1に示したHTTPヘッダ変更機能がHTTP要求ヘッダに検査不要項目情報を追加してHTTP要求ヘッダとする動作を表すフローチャートである。
【図13】図1に示したセッション管理部およびパケット検査部が、クライアントコンピュータからHTTP要求ヘッダを含むHTTP要求を受信した際の動作を表すフローチャートである。
【図14】図1に示したセッション管理部およびパケット検査部が、ウェブサーバからHTTP応答を受信した際の動作を表すフローチャートである。
【図15】本発明の第2の実施形態に係る不正侵入検知・防御システムの全体の概略構成の一例を示す説明図である。
【図16】図15で示したクライアントコンピュータの構成を示す説明図である。
【図17】図16に示した資産管理用適用済パッチIDリストのデータ構成を示す説明図である。
【図18】図16に示したパッチ適用情報確認部の、パッチ適用情報確認の動作を表すフローチャートである。
【図19】一般的なインライン型不正侵入検知・防御システムの構成を示す説明図である。
【発明を実施するための形態】
【0025】
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係る不正侵入検知・防御システム1は、単数もしくは複数台のクライアントコンピュータ10が内部ネットワーク30を通じて接続された不正侵入検知・防御装置20を介してインターネット50上のウェブサーバ40と接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムである。このクライアントコンピュータ10は、脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報(適用済パッチIDリスト112)およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブル111を記憶する第1の記憶手段12と、適用済パッチID情報およびパッチID−検査項目対応テーブルから検査不要項目データ(検査不要項目一覧114)を作成するパッチ適用情報確認部102と、ウェブサーバ宛の接続要求に検査不要項目データを付与して送信すると共に接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部111とを有する。そして不正侵入検知・防御装置20は、クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段22と、クライアントコンピュータからの接続要求をウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係をセッションテーブルに記録し、接続要求に対応するウェブサーバからの応答パケットをセッションテーブルに記録された発信元に転送するセッション管理部201と、ウェブサーバからの応答パケットに不正な攻撃が含まれているか否かについて検査するパケット検査部202とを備える。このパケット検査部202は、クライアントコンピュータから受信した接続要求がウェブサーバに対して転送される前に該接続要求に含まれる検査不要項目データを取り除くと共に当該検査不要項目データをセッションテーブル内に書き込む検査不要項目書込機能202aと、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する検査実行判定機能202cと、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能202bとを有する。
【0026】
不正侵入検知・防御装置20はまた、パッチID−検査項目対応テーブル111をクライアントコンピュータ10に対して送信する対応テーブル配布部203を有し、クライアントコンピュータ10のパッチ適用情報確認部102が、予め与えられた周期で対応テーブル配布部からパッチID−検査項目対応テーブルをダウンロードして検査不要項目データ(検査不要項目一覧114)を作成する。
【0027】
そして、不正侵入検知・防御装置20の第2の記憶部22が全てのクライアントコンピュータに共通する設定内容であるサイト共通設定(サイト共通設定データ214)を記憶しており、不正侵入検知・防御装置20の検査実行判定機能202cがサイト共通設定および検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを判断する。
【0028】
以上の構成を備えることにより、この装置は各々のクライアントコンピュータごとに検査項目を適切に設定することが可能となる。
以下、これをより詳細に説明する。
【0029】
図2は、本発明の第1の実施形態に係る不正侵入検知・防御システム1の全体の概略構成の一例を示す説明図である。本実施形態に係る不正侵入検知・防御システム1は、複数のクライアントコンピュータ10A、10B、10C、…が、内部ネットワーク(イントラネット)30を介して不正侵入検知・防御装置20に接続され、各クライアントコンピュータ10A、10B、10C、…は不正侵入検知・防御装置20を介してインターネット50経由でウェブサーバ40に対して通信可能であるように構成される。
【0030】
図1は、図2に示したクライアントコンピュータ10および不正侵入検知・防御装置20の構成を示す説明図である。図2に示したクライアントコンピュータ10A、10B、10C、…は、全て同一の構成を有するので、図1では詳細な記載を省略し、これらを総称してクライアントコンピュータ10という。
【0031】
本発明の第1の実施形態に係るクライアントコンピュータ10は一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体となる主演算制御手段(CPU: Central Processing Unit)11と、データを記憶する第1の記憶手段12と、ネットワークを介して他のコンピュータとのデータ通信を行う通信手段13と、ユーザからの操作を受け付け、また処理結果を提示する入出力手段14とを備える。
【0032】
主演算制御手段11では、ウェブブラウザ動作部101およびパッチ適用情報確認部102が、コンピュータプログラムとして動作する。ウェブブラウザ動作部101にはHTTP(Hypertext Transfer Protocol)ヘッダ変更部101aが含まれる。これらのプログラムの動作については後ほど詳しく説明する。また第1の記憶手段12には、パッチID−検査項目対応テーブル111と適用済パッチIDリスト112とがあらかじめ記憶されており、パッチ適用情報確認部102の動作によって検査不要項目ビットテーブル113および検査不要項目一覧114が作成され、第1の記憶手段12に記憶される。これらのデータ構成についても後ほど詳しく説明する。
【0033】
クライアントコンピュータ10と内部ネットワーク30を介して接続される不正侵入検知・防御装置20も一般的なコンピュータ装置であり、コンピュータプログラムを実行する主体となる主演算制御手段(CPU: Central Processing Unit)21と、データを記憶する第2の記憶手段22と、ネットワークを介して他のコンピュータとのデータ通信を行う通信手段23とを備える。
【0034】
主演算制御手段21では、セッション管理部201、パケット検査部202、および対応テーブル配布部203が、コンピュータプログラムとして動作する。これらのプログラムの動作については後ほど詳しく説明する。また第2の記憶手段22には、パッチID−検査項目対応テーブル211、セッションテーブル212、検査プログラム群213、サイト共通設定データ214、といった各データが記憶されている。これらのデータ構成についても後ほど詳しく説明する。
【0035】
ちなみにウェブサーバ40も一般的なコンピュータ装置であり、ウェブサービスを提供するウェブサーバプログラム41が動作する。このウェブサーバ40およびウェブサーバプログラム41については、本発明の範囲ではないので特に詳しく説明しない。
【0036】
(各部の動作の概要)
クライアントコンピュータ10で、適用済パッチIDリスト112は、クライアントコンピュータ10で既に適用されているパッチの、パッチIDの一覧を示す。検査不要項目一覧114は、この適用済パッチIDリスト112に基づいて作成される、クライアントコンピュータ10で既に脆弱性の対処がされているので検査が不要である項目の一覧を示す。
【0037】
パッチ適用情報確認部102は、定期的に適用済パッチIDリスト112を作成し、さらに適用済パッチIDリスト112とパッチID−検査項目対応テーブル111とから検査不要項目一覧114を作成する。
【0038】
そして、クライアントコンピュータ10でユーザがウェブブラウザ動作部101を動作させてウェブ閲覧要求をした場合、ウェブブラウザ動作部101はHTTP要求ヘッダ121を生成し、ウェブブラウザ動作部101に含まれるHTTPヘッダ変更機能101aがこのHTTP要求ヘッダ121に検査不要項目一覧の情報を付加する。その上で、この情報が付加されたHTTP要求ヘッダ121aを、ウェブブラウザ動作部101がウェブサーバ40に送信する。
【0039】
不正侵入検知・防御装置20では、クライアントコンピュータ10からウェブサーバ40宛に流れるHTTP要求120を受信すると、まずセッション管理部201が、このHTTP要求120の送信元および宛先のIPアドレス、送信元および宛先のポート番号の情報をセッション情報としてセッションテーブル212に登録する。
【0040】
その後、情報が付加されたHTTP要求ヘッダ121aをパケット検査部202が受け取り、パケット検査部202に含まれる検査不要項目書込機能202aが、該HTTP要求ヘッダに含まれる検査不要項目一覧を抽出し、セッションテーブル212の該当のエントリに、抽出した検査不要項目212eを追加して、該HTTP要求ヘッダから検査不要項目一覧を削除する。その後、パケット検査部202からウェブサーバ40に対してHTTP要求120を送信する。
【0041】
送信したHTTP要求120に対して、ウェブサーバ40ではウェブサーバプログラム41が応答を返す。この応答であるHTTPパケットは不正侵入検知・防御装置20のセッション管理部201が受信し、そこからパケット検査部202に送られ、さらにパケット検査部202内の検査実行判定機能202cに渡される。
【0042】
検査実行判定機能202cでは、まずサイト全体のポリシーが格納されたサイト共通設定データ214を読込み、この設定内容に従って検査項目の選択を行う。次に、検査実行判定機能202cではセッションテーブル212内の該当するセッション情報から検査不要項目212eの情報を読み出し、検査不要項目212eの情報を基に、検査項目の1番から順番に検査の実行が必要であるか否かを確認する。
【0043】
検査が不要な項目の場合は検査をスキップし、検査が必要な場合は検査プログラム読込機能202bを通して検査プログラム群213の中から必要な検査項目プログラムを読み出して実行して、このHTTPパケットの中に脆弱性を突いた攻撃がないかを検査する。
【0044】
パケット検査部202で全ての必要な検査が完了したHTTPパケットはセッション管理部201に戻され、クライアントコンピュータ10に送信される。その際、このパケットが最後の通信の場合には、検査不要項目書込機能202aがセッションテーブル212から該当するセッション情報を削除する。クライアントコンピュータ10では、受信したHTTP応答の内容をウェブブラウザ動作部101が入出力手段14を介して表示する。
【0045】
(構成の詳細)
図1〜2で既に示したように、クライアントコンピュータ10の主演算制御手段11では、ウェブブラウザ動作部101およびパッチ適用情報確認部102が、コンピュータプログラムとして動作する。ウェブブラウザ動作部101にはHTTPヘッダ変更機能101aが含まれる。
【0046】
また第1の記憶手段12には、パッチID−検査項目対応テーブル111と適用済パッチIDリスト112とがあらかじめ記憶されており、パッチ適用情報確認部102の動作によって検査不要項目一覧114が作成され、第1の記憶手段12に記憶される。
【0047】
図3は、図1に示したパッチID−検査項目対応テーブル111のデータ構成を示す説明図である。パッチID−検査項目対応テーブル111は、脆弱性に対処するためのパッチID111aと、その脆弱性を突いた攻撃を検出するための検査項目番号111bとの対応を表したテーブルであり、不正侵入検知・防御装置20の対応テーブル配布部203から配布される。
【0048】
図3に示した例では、パッチID111a=「AAAAAA」のパッチは検査項目番号111b=1〜3の脆弱性に対応しているなどのように、パッチID111aと検査項目番号111bの対応が示されている。また、検査項目番号111bが70以上の検査項目に対応するパッチID111aは登録されていないことも示されている。これは検査項目番号111bが70以上の項目については、まだ対応が済んでいないので、検査不要とすることはできないということを意味する。
【0049】
ここで、このパッチID111aおよびそれに対応する検査項目番号111bは、不正侵入検知・防御システム1内で統一されてさえいればよいので、たとえばハードウェアやソフトウェアのメーカーがパッチを作成する際に与えてもよいし、また不正侵入検知・防御システム1の管理者が与えて不正侵入検知・防御装置20のパッチID−検査項目対応テーブル211(詳細は後述)に登録するようにしてもよい。
【0050】
図4は、図1に示した検査不要項目一覧114のデータ構成を示す説明図である。検査不要項目一覧114は、クライアントコンピュータ10のパッチ適用状況から、既に脆弱性に対処済で検査が不要であると判断できる検査項目番号の一覧である。パッチ適用情報確認部102は定期的に、適用済パッチIDリスト112を参照してクライアントコンピュータ10に既に適用されているパッチを検査し、パッチID−検査項目対応テーブル111の情報から検査が不要と判断された検査項目番号の一覧情報を検査不要項目一覧114として出力する。その動作については後述する。
【0051】
図5は、図1に示した適用済パッチIDリスト112および検査不要項目ビットテーブル113のデータ構成を示す説明図である。適用済パッチIDリスト112は、クライアントコンピュータ10に既に適用されているパッチIDのリストを一時的に格納するデータであり、図3のパッチID−検査項目対応テーブル111にあった適用済パッチIDが列挙されるという形式で、各々のクライアントコンピュータ10ごとに作成される。
【0052】
検査不要項目ビットテーブル113は、パッチ適用情報確認部102が検査不要項目一覧114を作成するために用いる一時的なデータであるので、必ずしも図5に示した例の通りである必要はないし、またこれを作成せずに直接検査不要項目一覧114を作成してもよい。図5に示した例で、検査不要項目ビットテーブル113はビット位置がそのまま検査項目番号に対応しており、図3のパッチID−検査項目対応テーブル111にもあった検査項目番号1番から順番に、検査が不要であれば「1」、検査が必要であれば「0」という2進数で、各々の検査項目について検査が必要か不要かを示している。
【0053】
ウェブブラウザ動作部101は、利用者がウェブサーバ40の情報を閲覧するための操作を行った場合に、HTTPの要求をウェブサーバ40宛に送信し、またHTTPの応答があった場合はその内容を入出力手段14を介して表示する。HTTPヘッダ変更機能101aは、ウェブブラウザ動作部101がHTTP要求を生成した場合に、HTTP要求ヘッダ121の中に検査不要項目一覧114の情報を追加する。
【0054】
図6は、図1に示したHTTPヘッダ変更機能101aが検査不要項目情報122を追加したHTTP要求ヘッダ121aを含むHTTP要求120について示す説明図である。図6では、検査不要項目情報122を、HTTP要求ヘッダ121aの中では「X−Client−Patch−Info:」という行で、検査不要項目一覧114で列挙された検査不要項目の番号を並べるという形で表現されているが、これ以外の形式であってもよい。
【0055】
図1で既に示したように、不正侵入検知・防御装置20の主演算制御手段21では、セッション管理部201、パケット検査部202、および対応テーブル配布部203が、コンピュータプログラムとして動作する。パケット検査部202には、検査不要項目書込機能202a、検査プログラム読込機能202b、および検査実行判定機能202cが含まれる。
【0056】
また不正侵入検知・防御装置20の第2の記憶手段22には、パッチID−検査項目対応テーブル211、セッションテーブル212、検査プログラム群213、およびサイト共通設定データ214、といった各データが記憶されている。セッションテーブル212には、検査不要項目212eが含まれる。
【0057】
図7は、図1に示したパッチID−検査項目対応テーブル211のデータ構成を示す説明図である。パッチID−検査項目対応テーブル211は、脆弱性に対処するためのパッチIDと、その脆弱性を突いた攻撃を検出するための検査項目の番号との対応を表したテーブルであり、対応テーブル配布部203がこれを各々のクライアントコンピュータ10のパッチ適用情報確認部102に送信して配布する。従って、パッチID−検査項目対応テーブル211のデータ構成は、図3に示したパッチID−検査項目対応テーブル111のそれと同一である。
【0058】
不正侵入検知・防御装置20のパッチID−検査項目対応テーブル211が、各クライアントコンピュータ10のパッチID−検査項目対応テーブル111としてそのまま与えられる構成とすることにより、不正侵入検知・防御システム1全体でパッチID111aと検査項目番号111bとの間の統一を取ることが可能となる。新たなパッチが作られ、それによって改善される(そのパッチを適用すれば検査不要となる)検査項目が明確になった場合、そのパッチID111aと検査項目番号111bの対応関係を、不正侵入検知・防御システム1全体の管理者がパッチID−検査項目対応テーブル211に登録する。こうすれば、各クライアントコンピュータ10にその登録された対応関係が反映される。
【0059】
図8は、図1に示したセッションテーブル212のデータ構成を示す説明図である。セッションテーブル212は、その時点でセッションが維持されている全ての通信についてのセッション情報(送信元および宛先のIPアドレス、送信元および宛先のポート番号)を格納しておくためのテーブルである。セッションテーブル212は、送信元IPアドレス212a、宛先IPアドレス212b、送信元ポート番号212c、宛先ポート番号212dに加えて、検査不要項目情報122に含まれていた内容を記録する検査不要項目212eといった各データを保持する。
【0060】
セッション管理部201は、不正侵入検知・防御装置20を通過する通信を受信し、そのセッション情報をセッションテーブル212に書き込んだ後、該パケットをパケット検査部202に送る。また、パケット検査部202で検査が完了したパケットをセッション管理部201が受け取り、各クライアントコンピュータ10に転送する。
【0061】
セッション管理部201のこの動作は、いわゆるプロキシサーバの動作として一般的なものである。従って、プロキシサーバとして動作するコンピュータ装置を、本実施形態に係る不正侵入検知・防御装置20として動作しうる構成とすれば、本実施形態を実現可能である。
【0062】
検査プログラム群213は、不正侵入検知・防御装置20を通過するパケットの中に、脆弱性を突いた攻撃や不正アクセスを行うためのパケットが含まれていないかを検査するためのプログラム群である。検査プログラム読込機能202bは、検査実行判定機能202cから要求された検査項目番号に対応する検査プログラムを検査プログラム群213の中から読み込んで動作させ、その検査項目についての該パケットの検査を実行する。
【0063】
図9は、図1に示した検査不要項目212eを含むセッションテーブル212のデータ構成を示す説明図である。検査不要項目書込機能202aは、HTTP要求ヘッダ121aの中に検査不要項目一覧の情報が含まれていた場合に、その情報をセッションテーブル212中の該当するエントリに検査不要項目212eとして格納し、HTTP要求ヘッダ121aから検査不要項目一覧の情報を削除して通常のHTTP要求ヘッダ121とした後に、セッション管理部201を通してウェブサーバ40にHTTP要求を送信する。
【0064】
検査実行判定機能202cは、ウェブサーバ40からHTTP応答を受信した場合に、まずサイト全体のポリシーが格納されたサイト共通設定データ214を読込み、この設定内容に従って検査項目の選択を行う。次に、セッションテーブル212の中から該当するエントリを検索し、そのエントリ内の検査不要項目212eの情報を読込み、検査不要項目212eの情報を基に、検査項目番号1番から順番に検査が必要であるかを判断し、検査が必要なければ検査処理をスキップする。検査が必要な場合には、検査実行判定機能202cは検査プログラム読込機能202bを通して、検査プログラム群213から該当する検査プログラムを読込んでパケットの検査を実行する。
【0065】
図10は、図1に示したサイト共通設定データ214のデータ構成を示す説明図である。前述の通り、サイト共通設定データ214は不正侵入検知・防御システム1全体のセキュリティポリシーを、該システム全体の管理者が記録したものである。セキュリティポリシーは組織で利用されるコンピュータネットワークでは既に一般的なものであり、その項目は多岐にわたっているが、本実施形態に関連するのは全てのクライアントコンピュータ10で共通する検査不要項目に関する設定のみである。たとえば、全てのクライアントコンピュータ10が必ず設定すべきパッチがある場合、そのパッチによって検査不要となる検査項目番号がここに設定される。
【0066】
従って、そのデータ形式は、図4に示した検査不要項目一覧114と同じように、全てのクライアントコンピュータ10で共通する検査不要項目番号を列挙するという形式である。検査実行判定機能202cは、このサイト共通設定データ214の検査不要項目番号と、セッションテーブル212の検査不要項目212eとを合わせて、各クライアントコンピュータ10について検査項目を判断する。
【0067】
そしてセッション管理部201は検査が終了したパケットを受け取り、セッションテーブル212でそのパケットに該当するエントリの送信元IPアドレス212aおよび送信元ポート番号212cに該当するクライアントコンピュータ10に転送する。
【0068】
ウェブサーバ40で動作するウェブサーバプログラム41は、apacheなどのような一般的なウェブサーバ用のプログラムであり、HTTP要求を受信し、その要求の内容に応じてHTTPの応答を送信するものである。不正侵入検知・防御装置20からウェブサーバ40に送信されるHTTP要求で、HTTP要求ヘッダ121は検査不要項目一覧114の情報を削除されているので、HTTPの基本的仕様の通りのものである。従って、ウェブサーバプログラム41は、本実施形態に対応した特別なものである必要はなく、通常のものでよい。
【0069】
(フローチャート)
図11は、図1に示したパッチ適用情報確認部102が定期的に行うパッチ適用情報確認の動作を表すフローチャートである。パッチ適用情報確認部102は、この動作を定期的に、たとえば1日に1回あらかじめ設定された時刻に行う。
【0070】
設定時刻が来たことを確認したパッチ適用情報確認部102は(ステップS301)、不正侵入検知・防御装置20の対応テーブル配布部203から、パッチID−検査項目対応テーブル211をダウンロードし、図3に示したパッチID−検査項目対応テーブル111として保存する(ステップS302)。そしてパッチ適用情報確認部102は、クライアントコンピュータ10に適用済のパッチを検査してパッチID−検査項目対応テーブル111と比較し、図5に示した適用済パッチIDリスト112を作成する(ステップS303)。
【0071】
そしてパッチ適用情報確認部102は、作成した適用済パッチIDリスト112から、図5に示した検査不要項目ビットテーブル113の初期データをまず作成する(ステップS304)。この段階で作成された初期データでは、全てのデータが「検査不要」を示す「1」となっている。パッチ適用情報確認部102は、パッチID−検査項目対応テーブル111の先頭から順番にそのデータを読み込み(ステップS305)、読み込んだエントリのパッチIDが適用済パッチIDリスト112に存在するか否かを確認する(ステップS306)。
【0072】
存在すれば(ステップS306:YES)、そのパッチはクライアントコンピュータ10に既に適用されているので、これに対応する検査項目について検査する必要はないことになる。従って、検査不要項目ビットテーブル113でこれに対応するビットは「1」のままで、次のエントリについてステップS305から処理を繰り返す。
【0073】
存在しなければ(ステップS306:NO)、そのパッチはクライアントコンピュータ10に適用されていないので、これに対応する検査項目について検査する必要はある。従って、検査不要項目ビットテーブル113でこれに対応するビットを「検査必要」を示す「0」に変更して(ステップS307)、次のエントリについてステップS305から処理を繰り返す(ステップS309)。
【0074】
以上の処理を、パッチID−検査項目対応テーブル111の最後のエントリまでくり返し(ステップS308)、全てのエントリの処理が終わったら、検査不要項目ビットテーブル113としてここまでに出力された情報を図4に示した検査不要項目一覧114として出力して(ステップS310)処理を終了する。
【0075】
図12は、図1に示したHTTPヘッダ変更機能101aがHTTP要求ヘッダ121に検査不要項目情報122を追加してHTTP要求ヘッダ121aとする動作を表すフローチャートである。ユーザが入出力手段14を操作してウェブブラウザ動作部101にウェブブラウザを起動させる(ステップS401)と、ウェブブラウザ動作部101はHTTP要求ヘッダ121を含むHTTP要求120をウェブサーバ40に向けて送出する(ステップS402)。
【0076】
そのHTTP要求120はHTTPヘッダ変更機能101aに渡され、これに反応したHTTPヘッダ変更機能101aは、あらかじめ出力された検査不要項目一覧114を読込み、図6に示したようにHTTP要求ヘッダ121に検査不要項目情報122を付加してHTTP要求ヘッダ121aとしてウェブブラウザ動作部101に渡し(ステップS403)、ウェブブラウザ動作部101はこのHTTP要求ヘッダ121aを含むHTTP要求120をウェブサーバ40に向けて送出する(ステップS405)。
【0077】
図13は、図1に示したセッション管理部201およびパケット検査部202が、クライアントコンピュータ10からHTTP要求ヘッダ121aを含むHTTP要求120を受信した際の動作を表すフローチャートである。図13は、HTTP要求ヘッダ121aに含まれる検査不要項目情報122の内容をセッションテーブル212に保存し、検査不要項目情報122を取り除いた元のHTTP要求ヘッダ121としてウェブサーバ40に向けて送出するまでの動作を表す。
【0078】
不正侵入検知・防御装置20では、まずセッション管理部201がこのHTTP要求120を受信して(ステップS501)、ここに含まれるセッション情報(送信元IPアドレス212a、宛先IPアドレス212b、送信元ポート番号212c、宛先ポート番号212d)をセッションテーブル212に記録して(ステップS502)、該HTTP要求120をパケット検査部202内の検査不要項目書込機能202aに渡す。
【0079】
該HTTP要求を受けた検査不要項目書込機能202aは、このHTTP要求のHTTP要求ヘッダ121aに含まれる検査不要項目情報122の内容をセッションテーブル212の検査不要項目212eに保存して(ステップS503)、HTTP要求ヘッダ121aから検査不要項目情報122を削除して元のHTTP要求ヘッダ121に戻して、該HTTP要求をセッション管理部201に返却する(ステップS504)。セッション管理部201は、検査不要項目書込機能202aから返却されたHTTP要求120を、ウェブサーバ40に送出する(ステップS505)。
【0080】
図14は、図1に示したセッション管理部201およびパケット検査部202が、ウェブサーバ40からHTTP応答を受信した際の動作を表すフローチャートである。図13は、ウェブサーバ40からHTTP応答を受信してこれを検査し、そのHTTP応答の元となったHTTP要求120を送信したクライアントコンピュータ10に該HTTP応答を返すまでの動作を表す。
【0081】
不正侵入検知・防御装置20では、まずセッション管理部201がこのHTTP応答を受信して(ステップS601)、該HTTP応答をパケット検査部202内の検査実行判定機能202cに渡す(ステップS602)。
【0082】
該HTTP応答を受けた検査実行判定機能202cは、まずサイト共通設定データ214を読込み、この設定内容に従って検査項目の選択を行う(ステップS603)。次いで検査実行判定機能202cは、該HTTP応答に該当するエントリをセッションテーブル212の中から検索し、そのエントリの検査不要項目212eを読込み(ステップS604)、ここまでで読み込んだ情報から、各検査項目番号について検査が必要であるか否かについて判断する(ステップS605)。
【0083】
検査が必要である場合(ステップS605:YES)、検査実行判定機能202cは検査プログラム読込機能202bを通して、検査プログラム群213からその検査項目番号に該当する検査プログラムを読み込み、その項目について該HTTP応答を検査し(ステップS606)、次の項目についてステップS605から処理を繰り返す。検査の結果、脆弱性を突いた攻撃の内容を含んでいた場合はそのパケットを破棄して処理を終了する(ステップS607〜608)。
【0084】
検査が不要である場合(ステップS605:NO)、検査実行判定機能202cはその検査項目についての検査を行わず、次の項目についてステップS605から処理を繰り返す。
【0085】
以上の処理を、全ての検査項目についてくり返し(ステップS609〜610)、全ての検査項目について処理が終わっても脆弱性を突いた攻撃の内容が見つからなかったら、該HTTP応答をそのHTTP応答の元となったHTTP要求を送信したクライアントコンピュータ10、即ちセッションテーブル212でそのHTTP応答の元となったHTTP要求120に該当するエントリの送信元IPアドレス212aおよび送信元ポート番号212cに該当するクライアントコンピュータ10に返して(ステップS611)、処理を終了する。
【0086】
これと同時に、セッション管理部201ではそのHTTP応答がHTTP要求120に該当する最後のパケットである場合に、セッションテーブル212の該当するエントリを削除する。クライアントコンピュータ10は、ウェブブラウザ動作部101が受信したそのHTTP応答の内容を表示する。
【0087】
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係る不正侵入検知・防御方法は、単数もしくは複数台のクライアントコンピュータ10が内部ネットワーク30を通じて接続された不正侵入検知・防御装置20を介して外部ネットワーク上のウェブサーバと接続可能であり、外部ネットワークから受信したパケットにクライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査したパケットに不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システム1で、クライアントコンピュータが、予め記憶されている脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報およびパッチの識別子とパッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し(図11・ステップS303〜310)、クライアントコンピュータが、ウェブサーバ宛の接続要求に検査不要項目データを付与してウェブブラウザ動作部にて送信し(図12・ステップS402〜405)、不正侵入検知・防御装置が、クライアントコンピュータからの接続要求をセッション管理部にて受信し(図13・ステップS501)、不正侵入検知・防御装置が、接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルにセッション管理部にて記録し(図13・ステップS502)、不正侵入検知・防御装置が、接続要求に含まれる検査不要項目データを検査不要項目書込機能にてセッションテーブル内に書き込み(図13・ステップS503)、不正侵入検知・防御装置が、接続要求から検査不要項目データを検査不要項目書込機能にて取り除き(図13・ステップS504)、不正侵入検知・防御装置が、検査不要項目データを取り除かれた接続要求をセッション管理部にてウェブサーバに対して転送し(図13・ステップS505)、不正侵入検知・防御装置が、接続要求に対応するウェブサーバからの応答パケットをセッション管理部にて受信し(図14・ステップS601)、不正侵入検知・防御装置が、セッションテーブルで応答パケットに対応する接続要求に含まれていた検査不要項目データに基づいて応答パケットに対して検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し(図14・ステップS603〜605)、不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し(図14・ステップS606)、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていればこれを検査プログラム読込機能にて破棄し(図14・ステップS607〜608)、不正侵入検知・防御装置が、該応答パケットに不正な攻撃が含まれていなければこれをセッション管理部にてクライアントコンピュータに転送し(図14・ステップS611)、クライアントコンピュータが、不正侵入検知・防御装置から転送されてきた応答パケットの内容をウェブブラウザ動作部にて表示する。
【0088】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータであるクライアントコンピュータ10および不正侵入検知・防御装置20に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
【0089】
本実施形態により、各々のクライアントコンピュータごとに異なるパッチの適用状況に合わせて検査不要項目を設定し、応答パケットに対する検査を行うことが可能となる。このため、既にクライアントコンピュータ側で脆弱性への対処が行われている検査項目について、適切に検査を省略することができるので、セキュリティレベルを低下させることはない。それでいて、不正侵入検知・防御装置の側で検査にかかる負荷を小さくすることができるので、通信速度の低下を避けることが可能となる。
【0090】
(第2の実施形態)
本発明の第2の実施形態に係る不正侵入検知・防御システム701は、クライアントコンピュータ710が、コンピュータ資産管理の目的で適用済パッチID情報データを作成する資産管理用パッチ適用情報確認部803を有し、パッチ適用情報確認部802が資産管理用パッチ適用情報確認部803から適用済パッチID情報データ815を取得する。
【0091】
これによって、適用済パッチIDリスト112の作成にかかるクライアントコンピュータ710の負荷を省略することができる。
以下、これをより詳細に説明する。
【0092】
図15は、本発明の第2の実施形態に係る不正侵入検知・防御システム701の全体の概略構成の一例を示す説明図である。本実施形態に係る不正侵入検知・防御システム701は、前述した第1の実施形態に係る不正侵入検知・防御システム1と比べて、複数のクライアントコンピュータ10A、10B、10C、…が各々クライアントコンピュータ710A、710B、710C、…に置き換わっている。それらは全て同一の構成を有するので、以後総称してクライアントコンピュータ710という。
【0093】
これら以外の要素は全て、第1の実施形態に係る不正侵入検知・防御システム1と同一である。また、第2の実施形態に係るクライアントコンピュータ710と、第1の実施形態に係るクライアントコンピュータ10とが、同一の内部ネットワーク30の中で混在していてもよい。
【0094】
図16は、図15で示したクライアントコンピュータ710の構成を示す説明図である。クライアントコンピュータ710は、第1の実施形態に係るクライアントコンピュータ10と全く同様の主演算制御手段11と、第1の記憶手段12と、通信手段13と、入出力手段14とを備える。
【0095】
ただし、主演算制御手段11で動作するコンピュータプログラムは、ウェブブラウザ動作部101は第1の実施形態と同一だが、パッチ適用情報確認部102がパッチ適用情報確認部802に変更され、さらに資産管理用パッチ適用情報確認部803が追加されている。また、第1の記憶手段12にあらかじめ記憶されているデータに、パッチID−検査項目対応テーブル111と適用済パッチIDリスト112の他に、資産管理用適用済パッチIDリスト815が追加されている。これらの点以外は、第1の実施形態に係るクライアントコンピュータ10と同一の構成であるので、同一の要素については同一の参照番号を付す。
【0096】
資産管理用パッチ適用情報確認部803は、コンピュータの資産管理の目的で既に導入されている、クライアントコンピュータ710のパッチの適用状況を確認するためのプログラムである。資産管理用適用済パッチIDリスト815は、資産管理用パッチ適用情報確認部803がその資産管理の目的で作成して保存するデータである。図17は、図16に示した資産管理用適用済パッチIDリスト815のデータ構成を示す説明図である。資産管理用適用済パッチIDリスト815のデータ構成および内容は、図5に示した適用済パッチIDリスト112と同一である。
【0097】
図18は、図16に示したパッチ適用情報確認部802の、パッチ適用情報確認の動作を表すフローチャートである。この動作は、図11に示したパッチ適用情報確認部102の動作と概ね同一であるので、同一の動作は同一のステップ番号でいう。パッチ適用情報確認部802はステップS301〜302の動作を行った後、資産管理用パッチ適用情報確認部803に資産管理用適用済パッチIDリスト815を送信するように依頼(ステップS903)する。資産管理用パッチ適用情報確認部803はこれをパッチ適用情報確認部802に渡す(ステップS904)。
【0098】
図17に示したように、資産管理用適用済パッチIDリスト815は図5に示した適用済パッチIDリスト112と同一のデータ構成を有し、また内容もそのままステップS304以後の処理に利用できるものであるので、パッチ適用情報確認部802はこれを利用してステップS304以後の処理を行う。
【0099】
本実施形態によって、第1の実施形態で説明した効果と同一の効果を得ることができるのに加えて、資産管理の目的で既に作成された適用済パッチIDリストをそのまま利用するので、同一の適用済パッチIDリストを重複して作成することがないので、クライアントコンピュータ710の負荷を省略することができる。
【0100】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【0101】
上述した各々の実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
【0102】
(付記1) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムであって、
前記クライアントコンピュータが、
前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する第1の記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有し、
前記不正侵入検知・防御装置が、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御システム。
【0103】
(付記2) 前記不正侵入検知・防御装置が、前記パッチID−検査項目対応テーブルを前記クライアントコンピュータに対して送信する対応テーブル配布部を有し、
前記クライアントコンピュータの前記パッチ適用情報確認部が、予め与えられた周期で前記対応テーブル配布部から前記パッチID−検査項目対応テーブルをダウンロードして前記検査不要項目データを作成することを特徴とする、付記1に記載の不正侵入検知・防御システム。
【0104】
(付記3) 前記不正侵入検知・防御装置の第2の記憶部が全ての前記クライアントコンピュータに共通する設定内容であるサイト共通設定を記憶しており、
前記不正侵入検知・防御装置の前記検査実行判定機能が前記サイト共通設定および前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断することを特徴とする、付記1に記載の不正侵入検知・防御システム。
【0105】
(付記4) 前記クライアントコンピュータが、
コンピュータ資産管理の目的で前記適用済パッチID情報データを作成する資産管理用パッチ適用情報確認部を有し、
前記パッチ適用情報確認部が前記資産管理用パッチ適用情報確認部から前記適用済パッチID情報データを取得することを特徴とする、付記1に記載の不正侵入検知・防御システム。
【0106】
(付記5) 内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能なクライアントコンピュータであって、
動作するソフトウェアの脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部と
を有することを特徴とするクライアントコンピュータ。
【0107】
(付記6) 内部ネットワークを通じて接続されたクライアントコンピュータと外部ネットワーク上のウェブサーバとの間の接続を仲介し、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御装置であって、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答に対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御装置。
【0108】
(付記7) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
前記クライアントコンピュータが、予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し、
前記クライアントコンピュータが、前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与してウェブブラウザ動作部にて送信し、
前記不正侵入検知・防御装置が、前記クライアントコンピュータからの接続要求をセッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに前記セッション管理部にて記録し、
前記不正侵入検知・防御装置が、前記接続要求に含まれる前記検査不要項目データを検査不要項目書込機能にて前記セッションテーブル内に書き込み、
前記不正侵入検知・防御装置が、前記接続要求から前記検査不要項目データを前記検査不要項目書込機能にて取り除き、
前記不正侵入検知・防御装置が、前記検査不要項目データを取り除かれた前記接続要求を前記セッション管理部にて前記ウェブサーバに対して転送し、
前記不正侵入検知・防御装置が、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し、
前記不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていればこれを前記検査プログラム読込機能にて破棄し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていなければこれを前記セッション管理部にて前記クライアントコンピュータに転送し、
前記クライアントコンピュータが、前記不正侵入検知・防御装置から転送されてきた前記応答パケットの内容を前記ウェブブラウザ動作部にて表示する
ことを特徴とする不正侵入検知・防御方法。
【0109】
(付記8) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルから検査不要項目データを作成する手順と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信する手順と、
前記不正侵入検知・防御装置から転送されてきた応答パケットの内容を表示する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。
【0110】
(付記9) 単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
前記クライアントコンピュータからの接続要求を受信する手順と、
前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに記録する手順と、
前記接続要求に含まれる前記検査不要項目データを前記セッションテーブル内に書き込む手順と、
前記接続要求から前記検査不要項目データを取り除く手順と、
前記検査不要項目データを取り除かれた前記接続要求を前記ウェブサーバに対して転送する手順と、
前記接続要求に対応する前記ウェブサーバからの応答パケットを受信する手順と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する手順と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査する手順と、
該応答パケットに前記不正な攻撃が含まれていればこれを破棄する手順と、
該応答パケットに前記不正な攻撃が含まれていなければこれを前記クライアントコンピュータに転送する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。
【産業上の利用可能性】
【0111】
本発明は、ネットワークに接続されたコンピュータの不正侵入対策に適用できる。
【符号の説明】
【0112】
1、701 不正侵入検知・防御システム
10、10A、10B、10C、710、710A、710B、710C クライアントコンピュータ
11、21 主演算制御手段
12 第1の記憶手段
22 第2の記憶手段
13、23 通信手段
14 入出力手段
20 不正侵入検知・防御装置
30 内部ネットワーク
40 ウェブサーバ
41 ウェブサーバプログラム
50 インターネット
101 ウェブブラウザ動作部
101a HTTPヘッダ変更機能
102、802 パッチ適用情報確認部
111、211 パッチID−検査項目対応テーブル
111a パッチID
111b 検査項目番号
112 適用済パッチIDリスト
113 検査不要項目ビットテーブル
114 検査不要項目一覧
120 HTTP要求
121、121a HTTP要求ヘッダ
122 検査不要項目情報
201 セッション管理部
202 パケット検査部
202a 検査不要項目書込機能
202b 検査プログラム読込機能
202c 検査実行判定機能
203 対応テーブル配布部
212 セッションテーブル
212e 検査不要項目
213 検査プログラム群
214 サイト共通設定データ
803 資産管理用パッチ適用情報確認部
815 資産管理用適用済パッチIDリスト
【特許請求の範囲】
【請求項1】
単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムであって、
前記クライアントコンピュータが、
前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する第1の記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有し、
前記不正侵入検知・防御装置が、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御システム。
【請求項2】
前記不正侵入検知・防御装置が、前記パッチID−検査項目対応テーブルを前記クライアントコンピュータに対して送信する対応テーブル配布部を有し、
前記クライアントコンピュータの前記パッチ適用情報確認部が、予め与えられた周期で前記対応テーブル配布部から前記パッチID−検査項目対応テーブルをダウンロードして前記検査不要項目データを作成することを特徴とする、請求項1に記載の不正侵入検知・防御システム。
【請求項3】
前記不正侵入検知・防御装置の第2の記憶部が全ての前記クライアントコンピュータに共通する設定内容であるサイト共通設定を記憶しており、
前記不正侵入検知・防御装置の前記検査実行判定機能が前記サイト共通設定および前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断することを特徴とする、請求項1に記載の不正侵入検知・防御システム。
【請求項4】
前記クライアントコンピュータが、
コンピュータ資産管理の目的で前記適用済パッチID情報データを作成する資産管理用パッチ適用情報確認部を有し、
前記パッチ適用情報確認部が前記資産管理用パッチ適用情報確認部から前記適用済パッチID情報データを取得することを特徴とする、請求項1に記載の不正侵入検知・防御システム。
【請求項5】
内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能なクライアントコンピュータであって、
動作するソフトウェアの脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部と
を有することを特徴とするクライアントコンピュータ。
【請求項6】
内部ネットワークを通じて接続されたクライアントコンピュータと外部ネットワーク上のウェブサーバとの間の接続を仲介し、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御装置であって、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答に対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御装置。
【請求項7】
単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
前記クライアントコンピュータが、予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し、
前記クライアントコンピュータが、前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与してウェブブラウザ動作部にて送信し、
前記不正侵入検知・防御装置が、前記クライアントコンピュータからの接続要求をセッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに前記セッション管理部にて記録し、
前記不正侵入検知・防御装置が、前記接続要求に含まれる前記検査不要項目データを検査不要項目書込機能にて前記セッションテーブル内に書き込み、
前記不正侵入検知・防御装置が、前記接続要求から前記検査不要項目データを前記検査不要項目書込機能にて取り除き、
前記不正侵入検知・防御装置が、前記検査不要項目データを取り除かれた前記接続要求を前記セッション管理部にて前記ウェブサーバに対して転送し、
前記不正侵入検知・防御装置が、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し、
前記不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていればこれを前記検査プログラム読込機能にて破棄し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていなければこれを前記セッション管理部にて前記クライアントコンピュータに転送し、
前記クライアントコンピュータが、前記不正侵入検知・防御装置から転送されてきた前記応答パケットの内容を前記ウェブブラウザ動作部にて表示する
ことを特徴とする不正侵入検知・防御方法。
【請求項8】
単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルから検査不要項目データを作成する手順と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信する手順と、
前記不正侵入検知・防御装置から転送されてきた応答パケットの内容を表示する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。
【請求項9】
単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
前記クライアントコンピュータからの接続要求を受信する手順と、
前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに記録する手順と、
前記接続要求に含まれる前記検査不要項目データを前記セッションテーブル内に書き込む手順と、
前記接続要求から前記検査不要項目データを取り除く手順と、
前記検査不要項目データを取り除かれた前記接続要求を前記ウェブサーバに対して転送する手順と、
前記接続要求に対応する前記ウェブサーバからの応答パケットを受信する手順と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する手順と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査する手順と、
該応答パケットに前記不正な攻撃が含まれていればこれを破棄する手順と、
該応答パケットに前記不正な攻撃が含まれていなければこれを前記クライアントコンピュータに転送する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。
【請求項1】
単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムであって、
前記クライアントコンピュータが、
前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する第1の記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部とを有し、
前記不正侵入検知・防御装置が、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している第2の記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御システム。
【請求項2】
前記不正侵入検知・防御装置が、前記パッチID−検査項目対応テーブルを前記クライアントコンピュータに対して送信する対応テーブル配布部を有し、
前記クライアントコンピュータの前記パッチ適用情報確認部が、予め与えられた周期で前記対応テーブル配布部から前記パッチID−検査項目対応テーブルをダウンロードして前記検査不要項目データを作成することを特徴とする、請求項1に記載の不正侵入検知・防御システム。
【請求項3】
前記不正侵入検知・防御装置の第2の記憶部が全ての前記クライアントコンピュータに共通する設定内容であるサイト共通設定を記憶しており、
前記不正侵入検知・防御装置の前記検査実行判定機能が前記サイト共通設定および前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断することを特徴とする、請求項1に記載の不正侵入検知・防御システム。
【請求項4】
前記クライアントコンピュータが、
コンピュータ資産管理の目的で前記適用済パッチID情報データを作成する資産管理用パッチ適用情報確認部を有し、
前記パッチ適用情報確認部が前記資産管理用パッチ適用情報確認部から前記適用済パッチID情報データを取得することを特徴とする、請求項1に記載の不正侵入検知・防御システム。
【請求項5】
内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能なクライアントコンピュータであって、
動作するソフトウェアの脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルを記憶する記憶手段と、
前記適用済パッチID情報および前記パッチID−検査項目対応テーブルから検査不要項目データを作成するパッチ適用情報確認部と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信すると共に前記接続要求に応答して返送されてきた応答パケットの内容を表示するウェブブラウザ動作部と
を有することを特徴とするクライアントコンピュータ。
【請求項6】
内部ネットワークを通じて接続されたクライアントコンピュータと外部ネットワーク上のウェブサーバとの間の接続を仲介し、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御装置であって、
前記クライアントコンピュータからの接続要求の発信元と送信先についてのデータであるセッションテーブルを記憶している記憶手段と、
前記クライアントコンピュータからの接続要求を前記ウェブサーバに対して転送すると共に当該接続要求の発信元と送信先との対応関係を前記セッションテーブルに記録し、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッションテーブルに記録された前記発信元に転送するセッション管理部と、
前記ウェブサーバからの応答パケットに前記不正な攻撃が含まれているか否かについて検査するパケット検査部とを備え、
前記パケット検査部が、
前記クライアントコンピュータから受信した接続要求が前記ウェブサーバに対して転送される前に該接続要求に含まれる前記検査不要項目データを取り除くと共に当該検査不要項目データを前記セッションテーブル内に書き込む検査不要項目書込機能と、
前記セッションテーブルで前記応答に対応する前記接続要求に含まれていた検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する検査実行判定機能と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査し、該応答パケットに前記不正な攻撃が含まれていればこれを破棄する検査プログラム読込機能と
を有することを特徴とする不正侵入検知・防御装置。
【請求項7】
単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
前記クライアントコンピュータが、予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルからパッチ適用情報確認部にて検査不要項目データを作成し、
前記クライアントコンピュータが、前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与してウェブブラウザ動作部にて送信し、
前記不正侵入検知・防御装置が、前記クライアントコンピュータからの接続要求をセッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに前記セッション管理部にて記録し、
前記不正侵入検知・防御装置が、前記接続要求に含まれる前記検査不要項目データを検査不要項目書込機能にて前記セッションテーブル内に書き込み、
前記不正侵入検知・防御装置が、前記接続要求から前記検査不要項目データを前記検査不要項目書込機能にて取り除き、
前記不正侵入検知・防御装置が、前記検査不要項目データを取り除かれた前記接続要求を前記セッション管理部にて前記ウェブサーバに対して転送し、
前記不正侵入検知・防御装置が、前記接続要求に対応する前記ウェブサーバからの応答パケットを前記セッション管理部にて受信し、
前記不正侵入検知・防御装置が、前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを検査実行判定機能にて判断し、
前記不正侵入検知・防御装置が、検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで検査プログラム読込機能にて該応答パケットを検査し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていればこれを前記検査プログラム読込機能にて破棄し、
前記不正侵入検知・防御装置が、該応答パケットに前記不正な攻撃が含まれていなければこれを前記セッション管理部にて前記クライアントコンピュータに転送し、
前記クライアントコンピュータが、前記不正侵入検知・防御装置から転送されてきた前記応答パケットの内容を前記ウェブブラウザ動作部にて表示する
ことを特徴とする不正侵入検知・防御方法。
【請求項8】
単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
予め記憶されている前記脆弱性を改善するために適用されたパッチの識別子の一覧を示す適用済パッチID情報および前記パッチの識別子と前記パッチによって改善された脆弱性との対応を示すパッチID−検査項目対応テーブルから検査不要項目データを作成する手順と、
前記ウェブサーバ宛の接続要求に前記検査不要項目データを付与して送信する手順と、
前記不正侵入検知・防御装置から転送されてきた応答パケットの内容を表示する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。
【請求項9】
単数もしくは複数台のクライアントコンピュータが内部ネットワークを通じて接続された不正侵入検知・防御装置を介して外部ネットワーク上のウェブサーバと接続可能であり、前記外部ネットワークから受信したパケットに前記クライアントコンピュータで動作するソフトウェアの脆弱性を突く不正な攻撃が含まれているか否かを検査すると共に検査した前記パケットに前記不正な攻撃を意図した内容が含まれていれば当該パケットを破棄する不正侵入検知・防御システムにあって、
コンピュータに、
前記クライアントコンピュータからの接続要求を受信する手順と、
前記接続要求の発信元と送信先との対応関係を予め記憶されているセッションテーブルに記録する手順と、
前記接続要求に含まれる前記検査不要項目データを前記セッションテーブル内に書き込む手順と、
前記接続要求から前記検査不要項目データを取り除く手順と、
前記検査不要項目データを取り除かれた前記接続要求を前記ウェブサーバに対して転送する手順と、
前記接続要求に対応する前記ウェブサーバからの応答パケットを受信する手順と、
前記セッションテーブルで前記応答パケットに対応する前記接続要求に含まれていた前記検査不要項目データに基づいて前記応答パケットに対して前記検査項目ごとに検査が必要か否かを判断する手順と、
検査が必要であると判断された該検査項目に対応する検査プログラムを読み込んで該応答パケットを検査する手順と、
該応答パケットに前記不正な攻撃が含まれていればこれを破棄する手順と、
該応答パケットに前記不正な攻撃が含まれていなければこれを前記クライアントコンピュータに転送する手順と
を実行させることを特徴とする不正侵入検知・防御プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2011−188071(P2011−188071A)
【公開日】平成23年9月22日(2011.9.22)
【国際特許分類】
【出願番号】特願2010−48925(P2010−48925)
【出願日】平成22年3月5日(2010.3.5)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年9月22日(2011.9.22)
【国際特許分類】
【出願日】平成22年3月5日(2010.3.5)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]