認証機器および認証システム
【課題】悪意のある認証要求であるか否かを適正に判断することができる認証機器、および認証システムを提供する。
【解決手段】認証ログDB104に記憶された認証ログに記録された接続情報が、接続見込情報DB301に記憶された接続見込情報と一致しなかった場合に、被認証対象機器2による認証機器300への悪意のある認証要求が行われたと判断することにより、認証が成功していても悪意があると疑わしい認証要求を検知することができるので、悪意のある認証要求であるか否かを適正に判断することができる。
【解決手段】認証ログDB104に記憶された認証ログに記録された接続情報が、接続見込情報DB301に記憶された接続見込情報と一致しなかった場合に、被認証対象機器2による認証機器300への悪意のある認証要求が行われたと判断することにより、認証が成功していても悪意があると疑わしい認証要求を検知することができるので、悪意のある認証要求であるか否かを適正に判断することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証機器および認証システムに関する。
【背景技術】
【0002】
ネットワークに接続されたサイト(サーバやネットワーク機器群など)は、ネットワークを介して接続されたあらゆる被認証対象機器からデータ(パケット)を受信する。そのため、サイトが受信するパケットの中には、悪意のある認証要求のパケットが含まれることもある。このような悪意のある認証要求からサイトを守るテクニックとして、(1)接続時のパスワードや秘密鍵などの認証情報を用いた認証処理、(2)受信したパケットのセキュリティ上の問題を監視するIDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、WAF(Web Application Firewall)などのパケット監視装置の配置、というようなテクニックが既に知られている。
【0003】
しかし、(1)接続時のパスワードや秘密鍵などの認証情報を用いた認証処理は、認証情報が流出してしまった場合に、悪意のある認証要求からサイトを防御できなくなるだけでなく、悪意のある認証要求(攻撃)を検知することもできなくなっていた。また、(2)パケット監視装置の配置は、通信プロトコルのレベルで通信の可否を判断するとしても、柔軟性に欠け、かつ高度な処理を短時間で行うためにはコストが高くなっていた。
【0004】
そこで、被認証対象機器からの認証要求の妥当性を判断する方法として、悪意のある認証要求であるか否かをログから総合的に判断する技術が提案されている(特許文献1参照)。
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら上記特許文献1には、悪意のある認証要求を判断するために、ログに記録された情報のうち、具体的にどのような情報を用いて悪意のある認証要求を判断するかは開示されておらず、未だ悪意のある認証要求であるか否かを適正に判断する方法は実現されていない。
【0006】
本発明は、上記に鑑みてなされたものであって、悪意のある認証要求であるか否かを適正に判断することができる認証機器および認証システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するために、本発明は、自機器に接続された被認証対象機器から受けた認証要求に応じて、前記被認証対象機器の認証処理を行う認証処理手段と、前記被認証対象機器が認証要求の際に自機器への接続に使用した接続情報を記憶する記憶手段と、記憶した前記接続情報が、前記被認証対象機器が自機器への接続に使用すると見込まれる接続見込情報と一致しなかった場合に、前記被認証対象機器により自機器へ悪意のある認証要求が行われたと判断する判断手段と、を備えたことを特徴とする。
【0008】
また、本発明は、自機器に接続された被認証対象機器から受けた認証要求に応じて、前記被認証対象機器の認証処理を行う認証手段と、前記被対象機器が認証要求の際に自機器への接続に使用した接続情報が記録された認証ログを記憶する記憶手段と、前記認証ログを監視するログ監視サーバからの請求に応じて、記憶した前記認証ログを前記ログ監視サーバに提供する提供手段と、を備えた認証機器と、前記認証機器に対して前記認証ログの提供を請求する請求手段と、悪意のある認証要求の際に前記認証機器への接続に使用される前記接続情報が記録された前記認証ログのログ監視基準に従って、前記認証機器から提供された前記認証ログの中に不正な接続の疑いのある前記認証ログがあるかを監視する監視手段と、を備えた前記ログ監視サーバと、を備えたことを特徴とする。
【発明の効果】
【0009】
本発明によれば、認証が成功していても悪意があると疑わしい認証要求を検知することができるので、悪意のある認証要求であるか否かを適正に判断することができる、という効果を奏する。
【図面の簡単な説明】
【0010】
【図1】図1は、本発明を適用可能な認証機器の機能ブロック図である。
【図2】図2は、認証処理の流れを示すフローチャートである。
【図3】図3は、本発明の第1実施の形態にかかる認証機器を含むシステムの機能ブロック図である。
【図4】図4は、認証ログの一例を示す図である。
【図5】図5は、接続見込情報の一例を示す図である。
【図6】図6は、認証ログの監視処理の流れを示すフローチャートである。
【図7】図7は、本発明を適用可能な認証機器の機能ブロック図である。
【図8】図8は、第2実施の形態にかかる認証機器を含むシステムの機能ブロック図である。
【図9】図9は、認証機器に対して認証ログを請求する処理の流れを示すフローチャートである。
【図10】図10は、認証ログの監視処理の流れを示すフローチャートである。
【図11】図11は、ログ監視基準の設定処理の流れを示すフローチャートである。
【図12】図12は、レポート文書を認証機器に返送する処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0011】
以下に添付図面を参照して、この発明にかかる認証機器および認証システムの最良な実施の形態を詳細に説明する。
【0012】
(第1実施の形態)
まず、図1を用いて、本発明を適用可能な認証機器の例について説明する。図1は、本発明を適用可能な認証機器の機能ブロック図である。
【0013】
図1に示すように、本発明を適用可能な認証機器1は、公知の技術により、インターネットなどの安全でないネットワーク3を介して、被認証対象機器2からの認証要求を受けて、当該被認証対象機器2の認証処理を行う機器である。認証機器1は、認証処理情報DB101、認証処理機構102、実時間時計103、認証ログDB104などを備えている。
【0014】
認証処理情報DB101は、認証処理に必要な情報、および認証処理に付随して行う付随処理に必要な情報を記憶するものである。認証処理に必要な情報には、少なくとも被認証対象機器2を使用するユーザを特定するための情報、そのユーザの認証に使用する情報であってその取り扱いが制限された情報(例えば、パスワードや公開鍵など)が含まれているものとする。また、付随処理に必要な情報には、例えば、認証処理が成功した場合に認証機器1へのアクセス権などの権限付与が付随処理として行われる場合にはその権限情報、認証処理後にメールによる通知が付随処理として行われる場合にはメールアドレスなどが含まれているものとする。
【0015】
認証ログDB104(記憶手段)は、認証処理の認証結果などを記録したログ(以下、認証ログ)を記憶するものである。実時間時計103は、認証ログDB104に記憶される認証ログに、被認証対象機器2から認証要求を受けた時刻を記録するための実時間を得る時計である。
【0016】
認証処理機構102(認証処理手段)は、被認証対象機器2から受けた認証要求に応じて、被認証対象機器2の認証処理を行うものである。ここで、図2を用いて、認証処理機構102による認証処理の流れについて説明する。図2は、認証処理の流れを示すフローチャートである。
【0017】
認証処理機構102は、まず、被認証対象機器2からの認証要求を待つ(ステップS201)。そして、認証処理機構102は、被認証対象機器2から認証要求を受けると(ステップS202:Yes)、被認証対象機器2と認証処理に必要な情報をやり取りして認証処理を行う(ステップS203)。なお、認証処理機構102は、認証処理を行う度に、認証ログDB104に認証ログを記憶させるものとする。
【0018】
次に、認証処理機構102は、認証ログDB104に記憶された認証ログのロギングを行うとともに(ステップS204)、認証処理情報DB101に付随処理に必要な情報として記憶されたメールアドレスなどを利用して、ロギングした認証ログに記録された認証結果を被認証対象機器2に通知する(ステップS205)。
【0019】
さらに、認証処理機構102は、ロギングした認証ログに記録された認証結果が成功であった場合(ステップS206:Yes)、権限付与や各種処理の要求の受付などの付随処理を行う(ステップS207)。一方、認証処理機構102は、ロギングした認証ログに記録された認証結果が失敗であった場合(ステップS206:No)、被認証対象機器2に対して権限付与などの付随処理を拒否する(ステップS207)。
【0020】
次に、図3を用いて、本発明を適用した認証機器について説明する。図3は、本発明の第1実施の形態にかかる認証機器を含むシステムの機能ブロック図である。なお、以下の説明では、図1に示す認証機器1と同様の箇所については説明を省略し、異なる箇所についてのみ説明する。
【0021】
図3に示すように、本実施の形態にかかる認証機器300は、図1に示す認証機器1の構成に加えて、接続見込情報DB301および認証監視処理機構302を備えている。接続見込情報DB301および認証監視処理機構302の説明に先立って、認証ログDB104に記憶された認証ログについて詳細に説明する。
【0022】
図4は、認証ログの一例を示す図である。図4に示すように、認証ログには、認証処理機構102により行われた認証処理のログであって、被認証対象機器2が認証要求を行った時刻(認証要求を受けた時刻)、被認証対象機器2を特定するための被認証対象機器ID、被認証対象機器2が認証要求の際に使用した被認証対象機器2のIPアドレス通信プロトコル、通信パフォーマンスなど、被認証対象機器2が認証要求の際に認証機器300への接続に使用した接続情報、および認証処理機構102による認証処理の認証結果が記録されている。なお、認証機器3によっては、認証ログに認証結果を記録せず、認証が成功した場合と認証が失敗した場合とで異なるログに記録しても良い。なお、認証ログに認証結果が記録する場合と認証ログに認証結果を記録しない場合は、認証結果の表現形式が異なるだけである。よって、本実施の形態は、認証ログに認証結果を記録する場合であれ、認証ログに認証結果を記録しない場合であれ、認証結果が認証ログDB104内に記憶されていることを前提としたものである。
【0023】
次に、接続見込情報DB301および認証監査処理機構302について説明する。まず、図5を用いて、接続見込情報DBに記憶された接続見込情報について説明する。図5は、接続見込情報の一例を示す図である。接続見込情報DB301は、図5に示すように、認証機器300への接続に使用すると見込まれる被認証対象機器2のID、認証機器300への接続に使用すると見込まれるネットワーク組織やドメイン名、認証機器300への接続に使用すると見込まれる時間帯(例えば、最後に認証要求を受けた時刻が属する時間帯)など、被認証対象機器2が認証機器300への接続に使用すると見込まれる接続見込情報を記憶するものである。
【0024】
認証監視処理機構302(判断手段)は、認証ログDB104に記憶された認証ログを監視するものである。より具体的には、認証監視処理機構302は、認証ログDB104に記憶された認証ログに記録された接続情報が、接続見込情報DB301に記憶された接続見込情報と一致しなかった場合に、被認証対象機器2による認証機器300への悪意のある認証要求が行われたと判断する。
【0025】
ここで、図6を用いて、認証監視処理機構302による認証ログの監視処理について詳細に説明する。図6は、認証ログの監視処理の流れを示すフローチャートである。
【0026】
認証監視処理機構302は、前回の監視処理以降に認証ログDB104に追加された最初のログエントリ(認証ログ)を取得する(ステップS601)。そして、認証監視処理機構302は、ログエントリを取得すると(ステップS602:No)、取得したログエントリに記録された接続情報(認証要求を受けた時刻)が、当該取得したログエントリに記録された被認証対象機器IDとともに接続見込情報として記憶された最後に認証要求を受けた時刻が属する時間帯以外の時刻(例えば、通常あり得ない時刻、勤務時間外の時刻など)の時刻になっているかどうかを確認する(ステップS603)。さらに、認証監視処理機構302は、取得したログエントリに記録された接続情報(認証要求してきた被認証対象機器2のIPアドレスの保有組織をWhoisサービスから取得する(ステップS604)。そして、認証監視処理機構302は、Whoisサービスから取得した被認証対象機器2の保有組織が、当該取得したログエントリに記録された被認証対象機器IDとともに接続見込情報として記憶されたネットワーク組織と一致するか否かを確認する(ステップS605)。
【0027】
次に、認証監視処理機構302は、取得したログエントリに記録された接続情報(認証要求を受けた時刻)が通常あり得ない時刻、若しくはWhoisサービスから取得した被認証対象機器2の保有組織が、接続が見込まれなかった組織(つまり、接続見込情報として記憶されたネットワーク組織以外の組織)であった場合(ステップS606:Yes)、悪意のある認証要求が行われたと判断して、当該取得したログエントリを疑わしいログエントリとして認証ログDB104などに一時的に記憶する(ステップS607)。一方、認証監視処理機構302は、認証要求を受けた時刻が通常の時刻、若しくはWhoisサービスから取得した被認証対象機器2の保有組織が、接続が見込まれた組織であった場合(ステップS606:No)、または疑わしいログエントリの記憶が完了すると、認証ログDB104から次のログエントリを取得する(ステップS608)。
【0028】
認証監視処理機構302は、上述の処理を繰り返して全てのログエントリの監視が終了すると(ステップS602:Yes)、認証機器300の管理者に対して、認証ログDB104に記憶された疑わしいログエントリ、およびその判断理由(例えば、通常あり得ない時刻の認証要求、接続が見込まれなかった組織からの認証要求など)を通知する(ステップS609)。
【0029】
このように、本実施の形態にかかる認証機器300によれば、認証ログDB104に記憶された認証ログに記録された接続情報が、接続見込情報DB301に記憶された接続見込情報と一致しなかった場合に、被認証対象機器2による認証機器300への悪意のある認証要求が行われたと判断することにより、認証が成功していても悪意があると疑わしい認証要求を検知することができるので、悪意のある認証要求であるか否かを適正に判断することができる。
【0030】
(第2実施の形態)
本実施の形態は、ネットワークを介して接続された機器同士が相互に認証処理(以下、相互認証処理とする)を行って通信を行うものである。なお、以下の説明では、第1実施の形態と同様の箇所については説明を省略し、第1実施の形態と異なる箇所についてのみ説明する。
【0031】
まず、図7を用いて、本発明を適用可能な認証機器の例について説明する。図7は、本発明を適用可能な認証機器の機能ブロック図である。
【0032】
図7に示すように、本発明を適用可能な認証機器1は、第1実施の形態にかかる認証機器300と同様に、認証処理情報DB101、認証処理機構102、実時間時計103、認証ログDB104などを備えているものとする。また、認証機器1は、安全でないネットワーク3を介して、他の認証機器1と接続されているものとする。
【0033】
このような認証機器1同士が相互に認証処理を行って通信するシステムをユーザが安全に運用するためには、各認証機器1が備える認証ログDB104に記憶された認証ログを定期的に監視しなければならない。具体的には、システムのユーザが、認証ログを参照して、その中に疑わしい認証ログがあるかどうかを判断しなければならない。
【0034】
そこで、本実施の形態では、図1に示すシステムに対して新たな機能を追加して、認証ログの監視を外部から自動的に行うことにより、認証機器1を保有するユーザの管理業務を軽減するものである。図8は、第2実施の形態にかかる認証機器を含むシステムの機能ブロック図である。
【0035】
図8に示すように、本実施の形態にかかる認証機器801は、相互に認証処理を行って通信を構築するために、認証処理に必要な機能(例えば、認証処理情報DB101、認証処理機構102、実時間時計103、認証ログDB104など)を保有している。なお、他の機器の認証ログを監視するログ監視サーバとして機能する認証機器810も、認証機器801と同様に認証処理に必要な機能を備えている。
【0036】
まず、認証機器801に新たに追加された機能(ログ提供機構802)について説明する。ログ提供機構802(提供手段)は、認証機器810からの請求に応じて、認証ログDB104に記憶された認証ログを認証機器810に提供するものである。
【0037】
次に、認証機器810に新たに追加された機能(ログ監視レポートDB811、ログ監視基準情報DB812、利用者認証ログDB813、請求処理部814、定期的ログ監視処理部815、ログ監視基準設定UI816、ログ監視依頼対応処理部817)について説明する。
【0038】
請求処理部814(請求手段)は、安全でないネットワーク3を介して接続された他の認証機器801に対して認証ログの提供を請求するものである。
【0039】
利用者認証ログDB813は、他の認証機器801から提供を受けた認証ログを記憶するものである。
【0040】
ログ監視基準情報DB812は、利用者認証ログDB813に記憶された認証ログの監視に用いる基準であって、悪意のある認証要求の際に認証機器801への接続に使用される接続情報が記録された認証ログのログ監視基準(例えば、正しい利用で認証が起こり得る時間帯、同じIPアドレスから異なる認証要求があった場合に、それを悪意のある認証要求の疑いありとみなす回数などの基準値など)を記憶するものである。
【0041】
ログ監視基準設定UI816(設定手段)は、認証機器が備えるUIを介してユーザにより入力された、ログ監視基準を設定するものである。これにより、ユーザが悪意のある認証要求であるか否かの判断基準(ログ監視基準)を自由に修正・追加することができるので、ログ監視基準の柔軟性を維持することができる。
【0042】
定期的ログ監視処理部815(監視手段)は、ログ監視基準情報DB812に記憶されたログ監視基準に従って、利用者認証ログDB813に記憶された認証ログの中に、悪意のある認証要求の疑いのある認証ログがあるかを監視する。なお、本実施の形態では、定期的ログ監視処理部815は、所定時間毎に、悪意のある認証要求の疑いのある認証ログがあるかを監視するものとする。
【0043】
ログ監視レポートDB811は、定期的ログ監視処理部815による監視結果を記憶するものである。
【0044】
ログ監視依頼対応処理部817は、他の認証機器801からの認証ログの監視依頼の呼び出しに応じるとともに、悪意のある認証要求の疑いのある認証ログがあった場合に、ログ監視レポートDB811に記憶された認証ログの監視結果を他の認証機器801に対して送信するものである。
【0045】
次に、図9を用いて、認証機器801に対して認証ログを請求する処理について詳細に説明する。図9は、認証機器に対して認証ログを請求する処理の流れを示すフローチャートである。
【0046】
請求処理部814は、相互認証処理を利用して、監視する認証ログを持つ他の認証機器801に接続する(ステップS901)。次に、請求処理部814は、当該分析すべき認証ログを持つ他の認証機器801が備えるログ提供機構802を呼び出して、認証ログを取り出す(ステップS902)。
【0047】
そして、請求処理部814は、取り出した認証ログを、利用者認証ログDB813の内部に記憶させて、定期的なログ監視処理に備える(ステップS903)。
【0048】
次に、図10を用いて、認証ログの監視処理について詳細に説明する。図10は、認証ログの監視処理の流れを示すフローチャートである。
【0049】
ログ監視依頼対応処理部817が他の認証機器801からの認証ログの監視依頼の呼び出しに応じると、定期的ログ監視処理部815は、監視を行う他の認証機器801の認証ログを、利用者認証ログDB813から取得する(ステップS1001)。次に、定期的ログ監視処理部815は、取得した認証ログの中から、同じIPアドレスから異なるユーザの認証機器801へ認証要求を行うような通信の認証ログを抽出する(ステップS1002)。
【0050】
さらに、定期的ログ監視処理部815は、取得した認証ログの中から、ログ監視基準情報DB812に記憶されたログ監視基準で設定された通常の使用時間以外の時刻に行われたアクセスの認証ログを抽出する(ステップS1003)。
【0051】
そして、定期的ログ監視処理部815は、監視中の認証機器801に対して認証要求した相手側の認証機器801の認証ログも利用者認証ログDB813に記憶されている場合、取得した認証ログの中から、相手側の認証機器801の認証ログに記録された情報と、監視中の認証機器801に認証ログに記録された情報との間に矛盾(不一致)があるアクセスの認証ログを抽出する(ステップS1004)。
【0052】
ステップS1002〜ステップS1004までの処理で抽出された認証ログがあった場合(ステップS1005:Yes)、定期的ログ監視処理部815は、抽出された認証ログに記録されたアクセスの情報が記載されたレポート文書を作成し、作成したレポート文書をログ監視レポートDB811に記憶させる(ステップS1006)。ログ監視依頼対応処理部817は、必要に応じてログ監視レポートDB811に記憶されたレポート文書をWebで提示したり、印刷・発送したりする(ステップS1007)。
【0053】
次に、図11を用いて、ログ監視基準の設定処理について詳細に説明する。図11は、ログ監視基準の設定処理の流れを示すフローチャートである。
【0054】
ログ監視基準設定UI816は、ユーザに対してパラメータ(ログ監視基準)を設定するためのUIを提示する(ステップS1101)。ログ監視基準設定UI816は、提示したUIを介して、ユーザから正しい利用で認証が起こり得る時間帯、同じIPアドレスから異なるユーザに対する認証要求が繰り返された場合に、悪意のある認証要求の疑いがあるものとする繰り返し回数などの基準値などのパラメータを受け取り、受け取ったパラメータをログ監視基準情報DB812に記憶させる(ステップS1102)。
【0055】
次に、図12を用いて、レポート文書の返送処理について詳細に説明する。図12は、レポート文書を認証機器に返送する処理の流れを示すフローチャートである。
【0056】
ログ提供機構802は、相互認証処理を利用して、監視する認証ログを持つ認証機器801に接続する(ステップS1201)。次に、ログ提供機構802は、ログ監視サーバ810に対して、認証ログを送出しつつ、ログ監視依頼対応処理部817に対して監視を依頼する処理を遠隔処理呼び出しにより行う(ステップS1202)。そして、ログ監視依頼対応処理部817が監視依頼の呼び出しに応じると、定期的ログ監視処理部815が、上述した処理(図10に示す)を行い、作成したレポート文書を依頼元機器(認証機器801)に返送する(ステップS1203)。
【0057】
このように、本実施の形態にかかる認証機器801、810によれば、認証機器801に記憶された認証ログの監視をログ監視サーバとして機能する認証機器810が行うことにより、ユーザが認証ログを監視する必要がなくなるため、認証機器801を保有するユーザの管理業務を軽減することができる。また、悪意のある認証要求の際に認証機器801への接続に使用される接続情報を記録した認証ログのログ監視基準に従って、認証機器801から提供された認証ログの中から、悪意のある認証要求の疑いのある認証ログを監視することにより、認証が成功していても悪意のあると疑わしい認証要求を検知することができるので、悪意のある認証要求であるか否かを適正に判断することができる。
【0058】
上述の実施の形態の認証機器は、CPUなどの制御装置と、ROM(Read Only Memory)やRAMなどの記憶装置と、HDD、CDドライブ装置などの外部記憶装置と、ディスプレイ装置などの表示装置と、キーボードやマウスなどの入力装置を備えており、通常のコンピュータを利用したハードウェア構成となっている。
【0059】
また、上述の実施の形態の認証機器で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
【0060】
また、上述の実施の形態の認証機器で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成しても良い。また、上述の実施の形態の認証機器で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成しても良い。また、上述の実施の形態のプログラムを、ROM等に予め組み込んで提供するように構成してもよい。
【0061】
そして、上述の実施の形態の認証機器で実行されるプログラムは、上述した各部(認証処理情報DB、認証処理機構、実時間時計、認証ログDB、認証監視処理機構、接続見込情報DB、ログ提供機構、ログ監視レポートDB、ログ監視基準情報DB、利用者認証ログDB、請求処理部、定期的ログ監視処理部、ログ監視基準設定UI、ログ監視依頼対応処理部など)を含むモジュール構成となっており、実際のハードウェアとしてはCPU(プロセッサ)が上記記憶媒体からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、認証処理情報DB、認証処理機構、実時間時計、認証ログDB、認証監視処理機構、接続見込情報DB、ログ提供機構、ログ監視レポートDB、ログ監視基準情報DB、利用者認証ログDB、請求処理部、定期的ログ監視処理部、ログ監視基準設定UI、ログ監視依頼対応処理部などが主記憶装置上に生成されるようになっている。
【符号の説明】
【0062】
2 被認証対象機器
102 認証処理機構
104 認証ログDB
300,801,810 認証機器
302 認証監視処理機構
802 ログ提供機構
814 請求処理部
815 定期的ログ監視処理部
816 ログ監視基準設定UI
【先行技術文献】
【特許文献】
【0063】
【特許文献1】特開2007−233661号公報
【技術分野】
【0001】
本発明は、認証機器および認証システムに関する。
【背景技術】
【0002】
ネットワークに接続されたサイト(サーバやネットワーク機器群など)は、ネットワークを介して接続されたあらゆる被認証対象機器からデータ(パケット)を受信する。そのため、サイトが受信するパケットの中には、悪意のある認証要求のパケットが含まれることもある。このような悪意のある認証要求からサイトを守るテクニックとして、(1)接続時のパスワードや秘密鍵などの認証情報を用いた認証処理、(2)受信したパケットのセキュリティ上の問題を監視するIDS(Intrusion Detection System)、IPS(Intrusion Prevention System)、WAF(Web Application Firewall)などのパケット監視装置の配置、というようなテクニックが既に知られている。
【0003】
しかし、(1)接続時のパスワードや秘密鍵などの認証情報を用いた認証処理は、認証情報が流出してしまった場合に、悪意のある認証要求からサイトを防御できなくなるだけでなく、悪意のある認証要求(攻撃)を検知することもできなくなっていた。また、(2)パケット監視装置の配置は、通信プロトコルのレベルで通信の可否を判断するとしても、柔軟性に欠け、かつ高度な処理を短時間で行うためにはコストが高くなっていた。
【0004】
そこで、被認証対象機器からの認証要求の妥当性を判断する方法として、悪意のある認証要求であるか否かをログから総合的に判断する技術が提案されている(特許文献1参照)。
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら上記特許文献1には、悪意のある認証要求を判断するために、ログに記録された情報のうち、具体的にどのような情報を用いて悪意のある認証要求を判断するかは開示されておらず、未だ悪意のある認証要求であるか否かを適正に判断する方法は実現されていない。
【0006】
本発明は、上記に鑑みてなされたものであって、悪意のある認証要求であるか否かを適正に判断することができる認証機器および認証システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するために、本発明は、自機器に接続された被認証対象機器から受けた認証要求に応じて、前記被認証対象機器の認証処理を行う認証処理手段と、前記被認証対象機器が認証要求の際に自機器への接続に使用した接続情報を記憶する記憶手段と、記憶した前記接続情報が、前記被認証対象機器が自機器への接続に使用すると見込まれる接続見込情報と一致しなかった場合に、前記被認証対象機器により自機器へ悪意のある認証要求が行われたと判断する判断手段と、を備えたことを特徴とする。
【0008】
また、本発明は、自機器に接続された被認証対象機器から受けた認証要求に応じて、前記被認証対象機器の認証処理を行う認証手段と、前記被対象機器が認証要求の際に自機器への接続に使用した接続情報が記録された認証ログを記憶する記憶手段と、前記認証ログを監視するログ監視サーバからの請求に応じて、記憶した前記認証ログを前記ログ監視サーバに提供する提供手段と、を備えた認証機器と、前記認証機器に対して前記認証ログの提供を請求する請求手段と、悪意のある認証要求の際に前記認証機器への接続に使用される前記接続情報が記録された前記認証ログのログ監視基準に従って、前記認証機器から提供された前記認証ログの中に不正な接続の疑いのある前記認証ログがあるかを監視する監視手段と、を備えた前記ログ監視サーバと、を備えたことを特徴とする。
【発明の効果】
【0009】
本発明によれば、認証が成功していても悪意があると疑わしい認証要求を検知することができるので、悪意のある認証要求であるか否かを適正に判断することができる、という効果を奏する。
【図面の簡単な説明】
【0010】
【図1】図1は、本発明を適用可能な認証機器の機能ブロック図である。
【図2】図2は、認証処理の流れを示すフローチャートである。
【図3】図3は、本発明の第1実施の形態にかかる認証機器を含むシステムの機能ブロック図である。
【図4】図4は、認証ログの一例を示す図である。
【図5】図5は、接続見込情報の一例を示す図である。
【図6】図6は、認証ログの監視処理の流れを示すフローチャートである。
【図7】図7は、本発明を適用可能な認証機器の機能ブロック図である。
【図8】図8は、第2実施の形態にかかる認証機器を含むシステムの機能ブロック図である。
【図9】図9は、認証機器に対して認証ログを請求する処理の流れを示すフローチャートである。
【図10】図10は、認証ログの監視処理の流れを示すフローチャートである。
【図11】図11は、ログ監視基準の設定処理の流れを示すフローチャートである。
【図12】図12は、レポート文書を認証機器に返送する処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0011】
以下に添付図面を参照して、この発明にかかる認証機器および認証システムの最良な実施の形態を詳細に説明する。
【0012】
(第1実施の形態)
まず、図1を用いて、本発明を適用可能な認証機器の例について説明する。図1は、本発明を適用可能な認証機器の機能ブロック図である。
【0013】
図1に示すように、本発明を適用可能な認証機器1は、公知の技術により、インターネットなどの安全でないネットワーク3を介して、被認証対象機器2からの認証要求を受けて、当該被認証対象機器2の認証処理を行う機器である。認証機器1は、認証処理情報DB101、認証処理機構102、実時間時計103、認証ログDB104などを備えている。
【0014】
認証処理情報DB101は、認証処理に必要な情報、および認証処理に付随して行う付随処理に必要な情報を記憶するものである。認証処理に必要な情報には、少なくとも被認証対象機器2を使用するユーザを特定するための情報、そのユーザの認証に使用する情報であってその取り扱いが制限された情報(例えば、パスワードや公開鍵など)が含まれているものとする。また、付随処理に必要な情報には、例えば、認証処理が成功した場合に認証機器1へのアクセス権などの権限付与が付随処理として行われる場合にはその権限情報、認証処理後にメールによる通知が付随処理として行われる場合にはメールアドレスなどが含まれているものとする。
【0015】
認証ログDB104(記憶手段)は、認証処理の認証結果などを記録したログ(以下、認証ログ)を記憶するものである。実時間時計103は、認証ログDB104に記憶される認証ログに、被認証対象機器2から認証要求を受けた時刻を記録するための実時間を得る時計である。
【0016】
認証処理機構102(認証処理手段)は、被認証対象機器2から受けた認証要求に応じて、被認証対象機器2の認証処理を行うものである。ここで、図2を用いて、認証処理機構102による認証処理の流れについて説明する。図2は、認証処理の流れを示すフローチャートである。
【0017】
認証処理機構102は、まず、被認証対象機器2からの認証要求を待つ(ステップS201)。そして、認証処理機構102は、被認証対象機器2から認証要求を受けると(ステップS202:Yes)、被認証対象機器2と認証処理に必要な情報をやり取りして認証処理を行う(ステップS203)。なお、認証処理機構102は、認証処理を行う度に、認証ログDB104に認証ログを記憶させるものとする。
【0018】
次に、認証処理機構102は、認証ログDB104に記憶された認証ログのロギングを行うとともに(ステップS204)、認証処理情報DB101に付随処理に必要な情報として記憶されたメールアドレスなどを利用して、ロギングした認証ログに記録された認証結果を被認証対象機器2に通知する(ステップS205)。
【0019】
さらに、認証処理機構102は、ロギングした認証ログに記録された認証結果が成功であった場合(ステップS206:Yes)、権限付与や各種処理の要求の受付などの付随処理を行う(ステップS207)。一方、認証処理機構102は、ロギングした認証ログに記録された認証結果が失敗であった場合(ステップS206:No)、被認証対象機器2に対して権限付与などの付随処理を拒否する(ステップS207)。
【0020】
次に、図3を用いて、本発明を適用した認証機器について説明する。図3は、本発明の第1実施の形態にかかる認証機器を含むシステムの機能ブロック図である。なお、以下の説明では、図1に示す認証機器1と同様の箇所については説明を省略し、異なる箇所についてのみ説明する。
【0021】
図3に示すように、本実施の形態にかかる認証機器300は、図1に示す認証機器1の構成に加えて、接続見込情報DB301および認証監視処理機構302を備えている。接続見込情報DB301および認証監視処理機構302の説明に先立って、認証ログDB104に記憶された認証ログについて詳細に説明する。
【0022】
図4は、認証ログの一例を示す図である。図4に示すように、認証ログには、認証処理機構102により行われた認証処理のログであって、被認証対象機器2が認証要求を行った時刻(認証要求を受けた時刻)、被認証対象機器2を特定するための被認証対象機器ID、被認証対象機器2が認証要求の際に使用した被認証対象機器2のIPアドレス通信プロトコル、通信パフォーマンスなど、被認証対象機器2が認証要求の際に認証機器300への接続に使用した接続情報、および認証処理機構102による認証処理の認証結果が記録されている。なお、認証機器3によっては、認証ログに認証結果を記録せず、認証が成功した場合と認証が失敗した場合とで異なるログに記録しても良い。なお、認証ログに認証結果が記録する場合と認証ログに認証結果を記録しない場合は、認証結果の表現形式が異なるだけである。よって、本実施の形態は、認証ログに認証結果を記録する場合であれ、認証ログに認証結果を記録しない場合であれ、認証結果が認証ログDB104内に記憶されていることを前提としたものである。
【0023】
次に、接続見込情報DB301および認証監査処理機構302について説明する。まず、図5を用いて、接続見込情報DBに記憶された接続見込情報について説明する。図5は、接続見込情報の一例を示す図である。接続見込情報DB301は、図5に示すように、認証機器300への接続に使用すると見込まれる被認証対象機器2のID、認証機器300への接続に使用すると見込まれるネットワーク組織やドメイン名、認証機器300への接続に使用すると見込まれる時間帯(例えば、最後に認証要求を受けた時刻が属する時間帯)など、被認証対象機器2が認証機器300への接続に使用すると見込まれる接続見込情報を記憶するものである。
【0024】
認証監視処理機構302(判断手段)は、認証ログDB104に記憶された認証ログを監視するものである。より具体的には、認証監視処理機構302は、認証ログDB104に記憶された認証ログに記録された接続情報が、接続見込情報DB301に記憶された接続見込情報と一致しなかった場合に、被認証対象機器2による認証機器300への悪意のある認証要求が行われたと判断する。
【0025】
ここで、図6を用いて、認証監視処理機構302による認証ログの監視処理について詳細に説明する。図6は、認証ログの監視処理の流れを示すフローチャートである。
【0026】
認証監視処理機構302は、前回の監視処理以降に認証ログDB104に追加された最初のログエントリ(認証ログ)を取得する(ステップS601)。そして、認証監視処理機構302は、ログエントリを取得すると(ステップS602:No)、取得したログエントリに記録された接続情報(認証要求を受けた時刻)が、当該取得したログエントリに記録された被認証対象機器IDとともに接続見込情報として記憶された最後に認証要求を受けた時刻が属する時間帯以外の時刻(例えば、通常あり得ない時刻、勤務時間外の時刻など)の時刻になっているかどうかを確認する(ステップS603)。さらに、認証監視処理機構302は、取得したログエントリに記録された接続情報(認証要求してきた被認証対象機器2のIPアドレスの保有組織をWhoisサービスから取得する(ステップS604)。そして、認証監視処理機構302は、Whoisサービスから取得した被認証対象機器2の保有組織が、当該取得したログエントリに記録された被認証対象機器IDとともに接続見込情報として記憶されたネットワーク組織と一致するか否かを確認する(ステップS605)。
【0027】
次に、認証監視処理機構302は、取得したログエントリに記録された接続情報(認証要求を受けた時刻)が通常あり得ない時刻、若しくはWhoisサービスから取得した被認証対象機器2の保有組織が、接続が見込まれなかった組織(つまり、接続見込情報として記憶されたネットワーク組織以外の組織)であった場合(ステップS606:Yes)、悪意のある認証要求が行われたと判断して、当該取得したログエントリを疑わしいログエントリとして認証ログDB104などに一時的に記憶する(ステップS607)。一方、認証監視処理機構302は、認証要求を受けた時刻が通常の時刻、若しくはWhoisサービスから取得した被認証対象機器2の保有組織が、接続が見込まれた組織であった場合(ステップS606:No)、または疑わしいログエントリの記憶が完了すると、認証ログDB104から次のログエントリを取得する(ステップS608)。
【0028】
認証監視処理機構302は、上述の処理を繰り返して全てのログエントリの監視が終了すると(ステップS602:Yes)、認証機器300の管理者に対して、認証ログDB104に記憶された疑わしいログエントリ、およびその判断理由(例えば、通常あり得ない時刻の認証要求、接続が見込まれなかった組織からの認証要求など)を通知する(ステップS609)。
【0029】
このように、本実施の形態にかかる認証機器300によれば、認証ログDB104に記憶された認証ログに記録された接続情報が、接続見込情報DB301に記憶された接続見込情報と一致しなかった場合に、被認証対象機器2による認証機器300への悪意のある認証要求が行われたと判断することにより、認証が成功していても悪意があると疑わしい認証要求を検知することができるので、悪意のある認証要求であるか否かを適正に判断することができる。
【0030】
(第2実施の形態)
本実施の形態は、ネットワークを介して接続された機器同士が相互に認証処理(以下、相互認証処理とする)を行って通信を行うものである。なお、以下の説明では、第1実施の形態と同様の箇所については説明を省略し、第1実施の形態と異なる箇所についてのみ説明する。
【0031】
まず、図7を用いて、本発明を適用可能な認証機器の例について説明する。図7は、本発明を適用可能な認証機器の機能ブロック図である。
【0032】
図7に示すように、本発明を適用可能な認証機器1は、第1実施の形態にかかる認証機器300と同様に、認証処理情報DB101、認証処理機構102、実時間時計103、認証ログDB104などを備えているものとする。また、認証機器1は、安全でないネットワーク3を介して、他の認証機器1と接続されているものとする。
【0033】
このような認証機器1同士が相互に認証処理を行って通信するシステムをユーザが安全に運用するためには、各認証機器1が備える認証ログDB104に記憶された認証ログを定期的に監視しなければならない。具体的には、システムのユーザが、認証ログを参照して、その中に疑わしい認証ログがあるかどうかを判断しなければならない。
【0034】
そこで、本実施の形態では、図1に示すシステムに対して新たな機能を追加して、認証ログの監視を外部から自動的に行うことにより、認証機器1を保有するユーザの管理業務を軽減するものである。図8は、第2実施の形態にかかる認証機器を含むシステムの機能ブロック図である。
【0035】
図8に示すように、本実施の形態にかかる認証機器801は、相互に認証処理を行って通信を構築するために、認証処理に必要な機能(例えば、認証処理情報DB101、認証処理機構102、実時間時計103、認証ログDB104など)を保有している。なお、他の機器の認証ログを監視するログ監視サーバとして機能する認証機器810も、認証機器801と同様に認証処理に必要な機能を備えている。
【0036】
まず、認証機器801に新たに追加された機能(ログ提供機構802)について説明する。ログ提供機構802(提供手段)は、認証機器810からの請求に応じて、認証ログDB104に記憶された認証ログを認証機器810に提供するものである。
【0037】
次に、認証機器810に新たに追加された機能(ログ監視レポートDB811、ログ監視基準情報DB812、利用者認証ログDB813、請求処理部814、定期的ログ監視処理部815、ログ監視基準設定UI816、ログ監視依頼対応処理部817)について説明する。
【0038】
請求処理部814(請求手段)は、安全でないネットワーク3を介して接続された他の認証機器801に対して認証ログの提供を請求するものである。
【0039】
利用者認証ログDB813は、他の認証機器801から提供を受けた認証ログを記憶するものである。
【0040】
ログ監視基準情報DB812は、利用者認証ログDB813に記憶された認証ログの監視に用いる基準であって、悪意のある認証要求の際に認証機器801への接続に使用される接続情報が記録された認証ログのログ監視基準(例えば、正しい利用で認証が起こり得る時間帯、同じIPアドレスから異なる認証要求があった場合に、それを悪意のある認証要求の疑いありとみなす回数などの基準値など)を記憶するものである。
【0041】
ログ監視基準設定UI816(設定手段)は、認証機器が備えるUIを介してユーザにより入力された、ログ監視基準を設定するものである。これにより、ユーザが悪意のある認証要求であるか否かの判断基準(ログ監視基準)を自由に修正・追加することができるので、ログ監視基準の柔軟性を維持することができる。
【0042】
定期的ログ監視処理部815(監視手段)は、ログ監視基準情報DB812に記憶されたログ監視基準に従って、利用者認証ログDB813に記憶された認証ログの中に、悪意のある認証要求の疑いのある認証ログがあるかを監視する。なお、本実施の形態では、定期的ログ監視処理部815は、所定時間毎に、悪意のある認証要求の疑いのある認証ログがあるかを監視するものとする。
【0043】
ログ監視レポートDB811は、定期的ログ監視処理部815による監視結果を記憶するものである。
【0044】
ログ監視依頼対応処理部817は、他の認証機器801からの認証ログの監視依頼の呼び出しに応じるとともに、悪意のある認証要求の疑いのある認証ログがあった場合に、ログ監視レポートDB811に記憶された認証ログの監視結果を他の認証機器801に対して送信するものである。
【0045】
次に、図9を用いて、認証機器801に対して認証ログを請求する処理について詳細に説明する。図9は、認証機器に対して認証ログを請求する処理の流れを示すフローチャートである。
【0046】
請求処理部814は、相互認証処理を利用して、監視する認証ログを持つ他の認証機器801に接続する(ステップS901)。次に、請求処理部814は、当該分析すべき認証ログを持つ他の認証機器801が備えるログ提供機構802を呼び出して、認証ログを取り出す(ステップS902)。
【0047】
そして、請求処理部814は、取り出した認証ログを、利用者認証ログDB813の内部に記憶させて、定期的なログ監視処理に備える(ステップS903)。
【0048】
次に、図10を用いて、認証ログの監視処理について詳細に説明する。図10は、認証ログの監視処理の流れを示すフローチャートである。
【0049】
ログ監視依頼対応処理部817が他の認証機器801からの認証ログの監視依頼の呼び出しに応じると、定期的ログ監視処理部815は、監視を行う他の認証機器801の認証ログを、利用者認証ログDB813から取得する(ステップS1001)。次に、定期的ログ監視処理部815は、取得した認証ログの中から、同じIPアドレスから異なるユーザの認証機器801へ認証要求を行うような通信の認証ログを抽出する(ステップS1002)。
【0050】
さらに、定期的ログ監視処理部815は、取得した認証ログの中から、ログ監視基準情報DB812に記憶されたログ監視基準で設定された通常の使用時間以外の時刻に行われたアクセスの認証ログを抽出する(ステップS1003)。
【0051】
そして、定期的ログ監視処理部815は、監視中の認証機器801に対して認証要求した相手側の認証機器801の認証ログも利用者認証ログDB813に記憶されている場合、取得した認証ログの中から、相手側の認証機器801の認証ログに記録された情報と、監視中の認証機器801に認証ログに記録された情報との間に矛盾(不一致)があるアクセスの認証ログを抽出する(ステップS1004)。
【0052】
ステップS1002〜ステップS1004までの処理で抽出された認証ログがあった場合(ステップS1005:Yes)、定期的ログ監視処理部815は、抽出された認証ログに記録されたアクセスの情報が記載されたレポート文書を作成し、作成したレポート文書をログ監視レポートDB811に記憶させる(ステップS1006)。ログ監視依頼対応処理部817は、必要に応じてログ監視レポートDB811に記憶されたレポート文書をWebで提示したり、印刷・発送したりする(ステップS1007)。
【0053】
次に、図11を用いて、ログ監視基準の設定処理について詳細に説明する。図11は、ログ監視基準の設定処理の流れを示すフローチャートである。
【0054】
ログ監視基準設定UI816は、ユーザに対してパラメータ(ログ監視基準)を設定するためのUIを提示する(ステップS1101)。ログ監視基準設定UI816は、提示したUIを介して、ユーザから正しい利用で認証が起こり得る時間帯、同じIPアドレスから異なるユーザに対する認証要求が繰り返された場合に、悪意のある認証要求の疑いがあるものとする繰り返し回数などの基準値などのパラメータを受け取り、受け取ったパラメータをログ監視基準情報DB812に記憶させる(ステップS1102)。
【0055】
次に、図12を用いて、レポート文書の返送処理について詳細に説明する。図12は、レポート文書を認証機器に返送する処理の流れを示すフローチャートである。
【0056】
ログ提供機構802は、相互認証処理を利用して、監視する認証ログを持つ認証機器801に接続する(ステップS1201)。次に、ログ提供機構802は、ログ監視サーバ810に対して、認証ログを送出しつつ、ログ監視依頼対応処理部817に対して監視を依頼する処理を遠隔処理呼び出しにより行う(ステップS1202)。そして、ログ監視依頼対応処理部817が監視依頼の呼び出しに応じると、定期的ログ監視処理部815が、上述した処理(図10に示す)を行い、作成したレポート文書を依頼元機器(認証機器801)に返送する(ステップS1203)。
【0057】
このように、本実施の形態にかかる認証機器801、810によれば、認証機器801に記憶された認証ログの監視をログ監視サーバとして機能する認証機器810が行うことにより、ユーザが認証ログを監視する必要がなくなるため、認証機器801を保有するユーザの管理業務を軽減することができる。また、悪意のある認証要求の際に認証機器801への接続に使用される接続情報を記録した認証ログのログ監視基準に従って、認証機器801から提供された認証ログの中から、悪意のある認証要求の疑いのある認証ログを監視することにより、認証が成功していても悪意のあると疑わしい認証要求を検知することができるので、悪意のある認証要求であるか否かを適正に判断することができる。
【0058】
上述の実施の形態の認証機器は、CPUなどの制御装置と、ROM(Read Only Memory)やRAMなどの記憶装置と、HDD、CDドライブ装置などの外部記憶装置と、ディスプレイ装置などの表示装置と、キーボードやマウスなどの入力装置を備えており、通常のコンピュータを利用したハードウェア構成となっている。
【0059】
また、上述の実施の形態の認証機器で実行されるプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。
【0060】
また、上述の実施の形態の認証機器で実行されるプログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成しても良い。また、上述の実施の形態の認証機器で実行されるプログラムをインターネット等のネットワーク経由で提供または配布するように構成しても良い。また、上述の実施の形態のプログラムを、ROM等に予め組み込んで提供するように構成してもよい。
【0061】
そして、上述の実施の形態の認証機器で実行されるプログラムは、上述した各部(認証処理情報DB、認証処理機構、実時間時計、認証ログDB、認証監視処理機構、接続見込情報DB、ログ提供機構、ログ監視レポートDB、ログ監視基準情報DB、利用者認証ログDB、請求処理部、定期的ログ監視処理部、ログ監視基準設定UI、ログ監視依頼対応処理部など)を含むモジュール構成となっており、実際のハードウェアとしてはCPU(プロセッサ)が上記記憶媒体からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、認証処理情報DB、認証処理機構、実時間時計、認証ログDB、認証監視処理機構、接続見込情報DB、ログ提供機構、ログ監視レポートDB、ログ監視基準情報DB、利用者認証ログDB、請求処理部、定期的ログ監視処理部、ログ監視基準設定UI、ログ監視依頼対応処理部などが主記憶装置上に生成されるようになっている。
【符号の説明】
【0062】
2 被認証対象機器
102 認証処理機構
104 認証ログDB
300,801,810 認証機器
302 認証監視処理機構
802 ログ提供機構
814 請求処理部
815 定期的ログ監視処理部
816 ログ監視基準設定UI
【先行技術文献】
【特許文献】
【0063】
【特許文献1】特開2007−233661号公報
【特許請求の範囲】
【請求項1】
自機器に接続された被認証対象機器から受けた認証要求に応じて、前記被認証対象機器の認証処理を行う認証処理手段と、
前記被認証対象機器が認証要求の際に自機器への接続に使用した接続情報を記憶する記憶手段と、
記憶した前記接続情報が、前記被認証対象機器が自機器への接続に使用すると見込まれる接続見込情報と一致しなかった場合に、前記被認証対象機器により自機器へ悪意のある認証要求が行われたと判断する判断手段と、
を備えたことを特徴とする認証機器。
【請求項2】
前記接続情報が、前記被認証対象機器が認証要求の際に自機器へ接続に使用した接続時刻であり、
前記接続見込情報が、前記被認証対象機器が自機器への接続に使用すると見込まれる時間帯の時刻であることを特徴とする請求項1に記載の認証機器。
【請求項3】
前記接続情報が、前記被認証対象機器が認証要求の際に自機器への接続に使用したIPアドレスであり、
前記接続見込情報が、前記被認証対象機器が自機器への接続に使用すると見込まれる前記被認証対象機器のIPアドレスであることを特徴とする請求項1または2に記載の認証機器。
【請求項4】
前記判断手段は、所定期間ごとに、前記被認証対象機器により自機器へ悪意のある認証要求が行われたかを判断することを特徴とする請求項1から3のいずれか一に記載の認証機器。
【請求項5】
自機器に接続された被認証対象機器から受けた認証要求に応じて、前記被認証対象機器の認証処理を行う認証手段と、
前記被認証対象機器が認証要求の際に自機器への接続に使用した接続情報が記録された認証ログを記憶する記憶手段と、
前記認証ログを監視するログ監視サーバからの請求に応じて、記憶した前記認証ログを前記ログ監視サーバに提供する提供手段と、
を備えた認証機器と、
前記認証機器に対して前記認証ログの提供を請求する請求手段と、
悪意のある認証要求の際に前記認証機器への接続に使用される前記接続情報が記録された前記認証ログのログ監視基準に従って、前記認証機器から提供された前記認証ログの中に不正な接続の疑いのある前記認証ログがあるかを監視する監視手段と、
を備えた前記ログ監視サーバと、
を備えたことを特徴とする認証システム。
【請求項6】
前記ログ監視サーバが、前記ログ監視基準を設定する設定手段をさらに備えたことを特徴とする請求項5に記載の認証システム。
【請求項1】
自機器に接続された被認証対象機器から受けた認証要求に応じて、前記被認証対象機器の認証処理を行う認証処理手段と、
前記被認証対象機器が認証要求の際に自機器への接続に使用した接続情報を記憶する記憶手段と、
記憶した前記接続情報が、前記被認証対象機器が自機器への接続に使用すると見込まれる接続見込情報と一致しなかった場合に、前記被認証対象機器により自機器へ悪意のある認証要求が行われたと判断する判断手段と、
を備えたことを特徴とする認証機器。
【請求項2】
前記接続情報が、前記被認証対象機器が認証要求の際に自機器へ接続に使用した接続時刻であり、
前記接続見込情報が、前記被認証対象機器が自機器への接続に使用すると見込まれる時間帯の時刻であることを特徴とする請求項1に記載の認証機器。
【請求項3】
前記接続情報が、前記被認証対象機器が認証要求の際に自機器への接続に使用したIPアドレスであり、
前記接続見込情報が、前記被認証対象機器が自機器への接続に使用すると見込まれる前記被認証対象機器のIPアドレスであることを特徴とする請求項1または2に記載の認証機器。
【請求項4】
前記判断手段は、所定期間ごとに、前記被認証対象機器により自機器へ悪意のある認証要求が行われたかを判断することを特徴とする請求項1から3のいずれか一に記載の認証機器。
【請求項5】
自機器に接続された被認証対象機器から受けた認証要求に応じて、前記被認証対象機器の認証処理を行う認証手段と、
前記被認証対象機器が認証要求の際に自機器への接続に使用した接続情報が記録された認証ログを記憶する記憶手段と、
前記認証ログを監視するログ監視サーバからの請求に応じて、記憶した前記認証ログを前記ログ監視サーバに提供する提供手段と、
を備えた認証機器と、
前記認証機器に対して前記認証ログの提供を請求する請求手段と、
悪意のある認証要求の際に前記認証機器への接続に使用される前記接続情報が記録された前記認証ログのログ監視基準に従って、前記認証機器から提供された前記認証ログの中に不正な接続の疑いのある前記認証ログがあるかを監視する監視手段と、
を備えた前記ログ監視サーバと、
を備えたことを特徴とする認証システム。
【請求項6】
前記ログ監視サーバが、前記ログ監視基準を設定する設定手段をさらに備えたことを特徴とする請求項5に記載の認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2011−34448(P2011−34448A)
【公開日】平成23年2月17日(2011.2.17)
【国際特許分類】
【出願番号】特願2009−181836(P2009−181836)
【出願日】平成21年8月4日(2009.8.4)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成23年2月17日(2011.2.17)
【国際特許分類】
【出願日】平成21年8月4日(2009.8.4)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]