通信情報解析システム
【課題】データ通信ネットワークの通信速度や通信信頼性を低下させること無しに、通信パケットの保存及び解析を安価に行うことができる、通信情報解析システムを提供する。
【解決手段】通信情報解析システム100は、インターネット140に接続された端末コンピュータ111a〜111p,120a〜120qと、サーバコンピュータ130とを有する。端末コンピュータ111a〜111p,120a〜120qには、その端末コンピュータが送信する通信パケット及び受信した通信パケットの電子データを電子ファイルとして保存する保存部112,121と、保存部112,121に保存された電子ファイルをサーバコンピュータ130に送信する通信部113,122とを備える。サーバコンピュータ130は、端末コンピューターネット140に接続された端末コンピュータから受信した電子ファイルを用いて通信パケットを解析する解析部131を備える。
【解決手段】通信情報解析システム100は、インターネット140に接続された端末コンピュータ111a〜111p,120a〜120qと、サーバコンピュータ130とを有する。端末コンピュータ111a〜111p,120a〜120qには、その端末コンピュータが送信する通信パケット及び受信した通信パケットの電子データを電子ファイルとして保存する保存部112,121と、保存部112,121に保存された電子ファイルをサーバコンピュータ130に送信する通信部113,122とを備える。サーバコンピュータ130は、端末コンピューターネット140に接続された端末コンピュータから受信した電子ファイルを用いて通信パケットを解析する解析部131を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ通信ネットワークを介して通信されるデータを保存・解析するシステムに関する。
【背景技術】
【0002】
データ通信を行うためのネットワークとしては、LAN(Local Area Network)やインターネット等が知られている。データ通信ネットワークを用いることにより、通信端末(パーソナルコンピュータ等)からサーバコンピュータにアクセスしてデータの取得等を行うことや、通信端末間でのデータ通信を行うことが、可能になる。
【0003】
サーバコンピュータを用いてデータの提供等を行う場合、このサーバコンピュータに格納された秘密情報の漏洩等が問題となる。例えば、企業内LANにおいて、秘密性の高い情報をサーバコンピュータに格納し、かかる情報の閲覧を特定の従業員にのみ許可したい場合がある。このような場合、ID(Identification)やパスワード等の認証情報を用いて認証処理を行い、認証を受けた場合にのみデータの閲覧を認める方法が、一般的に利用されている。そして、秘密漏洩等が発覚した場合には、LANに接続された各通信端末の通信記録等を解析することによって、不正行為者の特定を図っている。しかしながら、通信記録等の解析には膨大な人的作業を要する場合が多く、このため、不正行為者の特定には多大な時間と人的コストとが必要になる。
【0004】
また、通信端末間でデータ通信を行う場合、実際にデータ通信が行われたか否かの証明が必要になる場合がある。例えば、インターネットを用いた電子商取引においては、顧客は、ウェブブラウザに表示された入力フォームや電子メール等を用いて、発注作業等を行うことが多い。しかし、顧客が発注を行ったと主張しているにも拘わらず、サービス提供者が受注していないと主張する場合が考えられる。このような場合は、例えば双方の通信端末に保存された通信データ等を用いて、データ通信が行われたか否かをチェックすることができる。しかしながら、通信データ等の電子データは簡単に破棄・改ざんできるため、データ通信が行われたか否かを第三者に証明することは困難である。
【0005】
これらの欠点を解消する方法として、データ通信ネットワークの中継器に通信パケット保存機能を設ける方法が知られている。
【0006】
LAN等の中継器内に通信パケットを自動的に保存しておき、保存された通信パケットのヘッダ情報や通信データ等を再現することとすれば、上述のような情報漏洩が発覚した場合でも、通信記録の解析等を通信端末毎に行う必要がなくなり、不正行為の解明に要する時間や人的コストを低減することが期待される。また、通信端末の利用者が中継器内の通信パケットを破棄・改ざんすることは困難であるため、実際にデータ通信が行われたか否かをチェックするときの信頼性を向上させることができる。
【0007】
データ通信ネットワークの中継器に通信パケットを保存する技術としては、例えば下記特許文献1、2が知られている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】国際公開2002/029579号公報
【特許文献2】特開2008−182294号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、データ通信ネットワークの中継器内に通信パケットを保存する方法には、以下のような欠点がある。
【0010】
通信パケットを中継器内に保存する場合、記憶データ量が膨大になるため、記憶装置としてハードディスクを使用する必要がある。しかしながら、ハードディスクの書き込み速度は100MB/S程度(すなわち、800Mbps程度)である。このため、高速のデータ通信ネットワーク(例えば2000Mbps)においては、書き込み処理のために、通信速度の低下を招いてしまう。
【0011】
これに対して、上記特許文献1の技術では、通信パケットを一旦ワークメモリに保存した後で、ハードディスクに書き込むこととしている。しかし、特許文献1に技術では、高速且つ大容量のデータ通信ネットワークでトラフィックが増大した場合等に、通信パケットのロス(すなわち、保存できない通信パケットの発生)が生じるおそれがある。したがって、特許文献1の技術には、パケット保存処理の信頼性が不十分になるという欠点がある。
【0012】
また、上記特許文献2の技術では、中継器内で通信パケットを意図的に破棄すること(すなわち、保存処理を行わないこと)により、通信速度の低下を抑制している。しかしながら、特許文献2の技術でも、上述の特許文献1の技術と同様、データ保存処理の信頼性が不十分になる。
【0013】
さらには、LANの中継器に通信パケットを保存する方法では、中継器が高価になるだけでなく、保存された通信パケットからヘッダ情報や通信データ等を再現するためのコンピュータをLAN内に設ける必要が生じる。このため、ネットワーク構築のためのコストが非常に高くなり、個人や小規模企業で導入することは困難である。
【0014】
本発明の課題は、データ通信ネットワークの通信速度やデータ保存処理の信頼性を低下させること無しに、通信パケットの保存及び解析を安価に行うことができる、通信情報解析システムを提供する点にある。
【課題を解決するための手段】
【0015】
かかる課題を解決するために、請求項1に係る発明は、データ通信ネットワークに接続された通信端末及びサーバコンピュータを有する通信情報解析システムであって、前記通信端末が、送信される通信パケット及び受信された通信パケットの電子データを電子ファイルとして保存する保存手段と、該保存手段に保存された前記電子ファイルを前記サーバコンピュータに送信する通信手段とを備え、前記サーバコンピュータが、前記通信端末から受信した前記電子ファイルを用いて前記通信パケットを解析する解析手段を備えることを特徴とする。
【0016】
請求項2に係る発明は、請求項1の構成に加え、前記解析手段が、前記通信パケットのヘッダ情報をテーブル化した情報を生成することを特徴とする。
【0017】
請求項3に係る発明は、請求項1又は2の構成に加え、前記解析手段が、前記通信パケットの主データを再現したデータを生成することを特徴とする。
【0018】
請求項4に係る発明は、請求項1〜3の何れかの構成に加え、前記サーバコンピュータが複数のローカルエリアネットワークに接続され、且つ、該ローカルエリアネットワークのそれぞれに前記通信端末が接続されたことを特徴とする。
【0019】
請求項5に係る発明は、請求項1〜4の何れかの構成に加え、前記保存手段が、前記通信パケットの電子データを暗号化して前記電子ファイルに格納する機能を有することを特徴とする。
【発明の効果】
【0020】
請求項1の発明によれば、通信端末内で、送信される通信パケット及び受信された通信パケットを電子ファイル化して保存するので、中継器が全ての通信パケットを保存する場合と異なり、通信パケットの保存処理がデータ通信ネットワークに負荷をかけることが無い。さらには、送信前の通信パケット及び受信後の通信パケットを通信端末内に保存するので、通信パケットのロスが発生するおそれもない。このため、請求項1の発明によれば、データ通信ネットワークの通信速度を低下させること無しに、通信パケット保存処理の信頼性を確保することができる。
【0021】
また、請求項1の発明では、通信パケットを保存するために他の通信パケットを破棄する必要が無い。このため、請求項1の発明によれば、データ通信ネットワークの通信信頼性を低下させること無しに、通信パケットを保存することができる。
【0022】
さらに、請求項1の発明では、サーバコンピュータが、通信端末から受信した電子ファイルを用いて、通信パケットの解析を行う。このため、中継器に保存された通信パケットの解析処理を通信端末毎に常時行うような場合と比較して、高度な解析処理や、解析結果をわかりやすく表示するための処理を、短時間で行うことが容易になる。
【0023】
請求項2の発明によれば、前記通信パケットのヘッダ情報をテーブル化した情報を生成するので、利用者は、ヘッダ情報の解析結果を容易に知ることができる。
【0024】
請求項3の発明によれば、前記通信パケットの主データを再現したデータを生成するので、利用者は、通信内容の解析結果を容易に知ることができる。
【0025】
請求項4に記載の発明によれば、複数のローカルエリアネットワークに係る解析処理を同じサーバコンピュータで行うことができるので、全体として通信パケットの解析を安価に行うことができる。
【0026】
請求項5に記載の発明によれば、通信パケットの電子データを暗号化することにより、通信機密の保持を図ることができる。
【図面の簡単な説明】
【0027】
【図1】実施の形態に係る通信情報解析システム全体構成を示す概念図である。
【図2】実施の形態に係る通信パケット解析サービスの申込手順を概略的に示すフローチャートである。
【図3】実施の形態において通信パケットを保存する手順を概略的に示すフローチャートである。
【図4】実施の形態で使用される通信パケット保存用ソフトウエアの設定画面を示す概念図である。
【図5】実施の形態において通信パケットを解析する手順を概略的に示すフローチャートである。
【図6】実施の形態においてサーバコンピュータが生成するテーブル情報の一例を示す図である。
【図7】実施の形態においてサーバコンピュータが再現する通信情報の一例を示す概念図である。
【発明を実施するための形態】
【0028】
[実施の形態1]
【0029】
以下、本発明の一実施形態に係る通信情報解析システムについて、図面を用いて説明する。本実施形態は、本発明に係る通信情報解析システムを用いて、通信情報解析サービスが提供される場合を例に採って説明する。
【0030】
図1は、本実施形態に係る通信パケット解析システム100の全体構成を示す概念図である。
【0031】
図1に示したように、本実施形態の通信情報解析システム100は、複数のLAN110a,110b,・・・,110pと、複数の端末コンピュータ120a,120b,・・・,120qと、サーバコンピュータ130とを有する。これらは、インターネット140を介して相互に通信接続されている。
【0032】
LAN110a〜110pは、例えば、企業内ネットワークとして構築される。例えば、一つのLANは、一つの企業によって所有されている。LAN110a〜110pは、それぞれ、複数台ずつの端末コンピュータ111a,111b,・・・,111pに、通信接続されている。LAN110a〜110pを所有する企業等は、それぞれ、本実施形態に係る通信情報解析サービスの提供を受ける。
【0033】
端末コンピュータ111aは、本発明の通信端末に相当する。端末コンピュータ111aは、LAN110a内の他の端末コンピュータ111aと通信接続されているとともに、インターネット140を介して、LAN110aの外部に設けられた通信装置(例えば端末コンピュータ111b〜111p,120a〜120q等)とも通信接続されている。端末コンピュータ111aは、送信される通信パケット及び受信された通信パケットの電子データを電子ファイル(以下、「pktファイル」と記す)として保存する保存部112と、保存されたpktファイルをサーバコンピュータ130に送信する通信部113とを有する。保存部112及び通信部113は、例えば、専用のアプリケーションソフトウエアを用いて実現することができる。他のLAN110b〜110pに設けられた端末コンピュータ111b〜111pも、それぞれ同様である。
【0034】
端末コンピュータ120aは、本発明の通信端末に相当する。端末コンピュータ120aは、インターネット140を介して、他の通信装置(例えば端末コンピュータ111a〜111p,120b〜120q)と通信接続されている。端末コンピュータ120aは、上述の端末コンピュータ111a〜111pと同様、送信される通信パケット及び受信された通信パケットの電子データをpktファイルとして保存する保存部121と、保存されたpktファイルをサーバコンピュータ130に送信する通信部122とを有する。保存部121及び通信部122は、端末コンピュータ111a〜111pの場合と同様、例えば、専用のアプリケーションソフトウエアを用いて実現することができる。他の端末コンピュータ120b〜120qも、それぞれ同様である。端末コンピュータ120a〜120qを使用する個人等は、それぞれ、本実施形態に係る通信情報解析サービスの提供を受ける。
【0035】
サーバコンピュータ130は、一台又は複数台のコンピュータで構成されるコンピュータシステムである。サーバコンピュータ130は、端末コンピュータ111a〜111p,120a〜120qから、pktファイルを受信する。サーバコンピュータ130は、解析部131を有する。解析部131は、pktファイルを用いて、端末コンピュータ110が送受信した通信パケットを解析する。解析部131は、処理能力の高い大型コンピュータで構成することが望ましい。後述するように、この解析処理によって、通信パケットのヘッダ情報をテーブル化した情報や、通信パケットの主データを再現したデータが、生成される。本実施形態では、サーバコンピュータ130を、通信情報解析サービスの提供者が管理、運営する。
【0036】
以下、通信情報解析システム100の動作について、図2〜図7を用いて説明する。
【0037】
上述のように、本実施形態では、通信情報解析システム100を用いて、通信情報解析サービスが提供される。本実施形態のサービスは、企業単位(図1のLAN110a〜110pに相当する)で受けることもできるし、個人単位(図1の端末コンピュータ120a〜120qに相当する)で受けることもできる。本実施形態では、端末コンピュータ120aがサービスを受ける場合を例に採って説明するが、他の端末コンピュータ111a〜111p,120b〜120qがサービスを受ける場合も同様である。
【0038】
図2は、本実施形態に係る通信情報解析サービスの申込手順を概略的に示すフローチャートである。この申込手続は、例えば、インターネット140を利用して、行うことができる。
【0039】
端末コンピュータ120aがサーバコンピュータ130にアクセスすると、サーバコンピュータ130が端末コンピュータ120aにウェブ申込フォームを表示させる。申込者は、この申込フォームに申込情報を記入してサーバコンピュータ130に送信する(ステップS201参照)。申込情報とは、例えば、申込者の氏名又は法人名、連絡先、電子メールアドレス、支払い方法、申込者が希望するパスワード等である。
【0040】
サーバコンピュータ130は、申込情報を受信すると、この申込情報をチェックする(ステップS202参照)。このチェック処理では、申込者のサービス登録が既に行われているか否か等が、チェックされる。未登録の場合、サーバコンピュータ130は、この申込情報を、登録する(ステップS203参照)。一方、登録済みの場合は、ステップS203を行わずに、ステップS204以降の処理を行う。
【0041】
次に、サーバコンピュータ130は、端末コンピュータ120aに、申込情報についての回答画面(図示せず)を表示させる(ステップS204参照)。申込情報が正常に処理された場合、この回答画面には、サービス料金の支払い方法を確認するための情報が表示される。また、回答画面には、リソースをチェックするための表示も、併せて行われる。リソースとは、サーバコンピュータ130のハードウエア的な処理能力(メモリ容量やCPUの稼働率等)である。例えば、申込者のデータ通信量が非常に多いような場合には、その申込を受理すると、サーバコンピュータ130のリソースが不足してしまうおそれがある。このため、この回答画面により、申込者のデータ通信量の確認等が行われる。申込者は、確認や入力等を行った後で、回答画面に表示された例えば「確認ボタン」をクリックする。これにより、確認結果を示す情報が、端末コンピュータ120aからサーバコンピュータ130に送られる。
【0042】
サーバコンピュータ130は、端末コンピュータ120aから確認結果情報を受信すると、この受信情報をチェックする(ステップS205)。このチェック処理では、サーバコンピュータ130が必要なリソースを確保できるか否か等を確認する。このチェックの結果、申込を受け付けることができると判断された場合、サーバコンピュータ130は、申込者に対して、通信パケット保存用ソフトウエアのダウンロードを許可するための処理を行う(ステップS206参照)。一方、ステップS205で、リソースを確保できないと判断された場合、通信情報解析サービスの申込がキャンセルされる(ステップS207参照)。
【0043】
なお、リソースを確保できないと判断された場合に、サーバコンピュータ130が、申込に関する情報を所定期間保存することとしても良い。そして、この保存期間内にリソースが確保できるようになった場合、申込者に対してその旨を通知する等して、申込を受け付けるようにすることも可能である。
【0044】
次に、本実施形態に係るサービスを利用して通信パケットを保存、解析する手順について、図3及び図4を用いて説明する。
【0045】
上述のように、本実施形態では、端末コンピュータ120aが通信パケットを保存するためのアプリケーションソフトウエアを使用する。かかるアプリケーションソフトウエアとしては、汎用の通信パケット解析用ソフトウエア(例えば、Wireshark等)を流用することも可能であるが、ここでは、本サービス専用のソフトウエアを利用する場合について説明する。
【0046】
図3は、本実施形態において通信パケットを保存する手順を概略的に示すフローチャートである。
【0047】
ユーザは、まず、サーバコンピュータ130からダウンロードする等して通信パケット保存用ソフトウエアを入手し、端末コンピュータ120aにインストールする(図3のステップS301参照)。これにより、端末コンピュータ120a内に、上述のような保存部121及び通信部122(図1参照)が構築される。
【0048】
このソフトウエアには、pktファイルを暗号化して保存する機能や、かかるpktファイルを圧縮して保存する機能を設けることが望ましい。
【0049】
暗号化機能を設けることにより、pktファイルに保存された通信パケットデータが、第三者に閲覧、改ざん等されることを防止できる。暗号化機能を設ける場合には、暗号化されたpktファイルの復号化を、本サービス専用のソフトウエアやサーバコンピュータ130のみで行えるようにすることが望ましい。これにより、pktファイルを端末コンピュータ120aから携帯型メモリ等にコピーして持ち出されたような場合でも、その者がpktファイルの内容を把握することはできず、したがって、かかるpktファイルを改ざんすることもできない。
【0050】
また、pktファイルをサーバコンピュータ130に送信する際に(後述)、暗号化された状態のpktファイルを送ることとすれば、pktファイルがインターネット140上で第三者に不正取得されたとしても、かかる第三者はその内容を把握することはできない。
【0051】
さらには、サーバコンピュータ130がpktファイルを解析して端末コンピュータ120aに送信する際に(後述)、この解析結果を暗号化して送信することも可能である。暗号化された解析結果の復号化は、本サービス専用のソフトウエアのみで行えるようにすることが望ましい。これにより、解析結果がインターネット140上で第三者に不正取得されたとしても、かかる第三者はその内容を把握することはできない。また、解析結果を端末コンピュータ120aから携帯型メモリ等にコピーして持ち出されたような場合でも、第三者が解析結果を把握、改ざんすることはできない。
【0052】
また、圧縮機能を設けることにより、pktファイルの保存に要する記憶領域を低減することができ、さらには、pktファイルをサーバコンピュータ130に送る際にデータ通信ネットワークへの負荷を低減することができる。
【0053】
次に、ユーザは、この通信パケット保存用ソフトウエアの設定を行う(ステップS302参照)。図4は、通信パケット保存用ソフトウエアの設定画面を示す概念図である。
【0054】
この設定において、「記録合計サイズ」欄は、pktファイルとして保存される通信パケットの総データ量を設定するための入力欄である。図4の例では、記録合計サイズが100GBに設定されている。保存部121は、保存された通信パケットの合計サイズを設定値以下に抑えるための処理を行う。かかる処理の具体的方法としては、例えば、古いpktファイルに対して破棄或いは上書きを行う方法や、ユーザに警告して古いpktファイルのバックアップを促す方法等が考えられるが、特に限定されない。
【0055】
「暗号化」とは、pktファイルを暗号化して保存するか否かの選択するためのチェックボックスである。pktファイルを暗号化する場合、ユーザは、「パスワード」の入力欄を使用して、暗号解読用のパスワードを指定する。
【0056】
「保存ディレクトリ」欄は、端末コンピュータ120a内における、pktファイルの保存場所を指定するための設定欄である。図4の例では、端末コンピュータ120aのオペレーティングシステム保存領域C内の「packet」という名称のフォルダにpktファイルが格納される。
【0057】
「取得区切り」欄は、新しいpktファイルを作成するサイクルを設定するための設定欄である。例えば、「取得区切り」を「1時間区切り」に設定した場合、該当する1時間の間に生成された通信パケットが同一のpktファイルに記録される。「取得区切り」は、時間単位ではなく、例えばデータ量単位等、他の単位で設定することも可能である。ここで、「記録合計サイズ」と「取得区切り」との両方が設定された場合、これら設定値の一方しか満たさない場合の扱いが問題になる。例えば、「記録合計サイズ」が100GBに設定され且つ「取得区切り」が一時間区切りに設定された場合であって、一時間以内の記録合計サイズが100GBを超えた場合は、両方の設定条件を満たすことはできない。このような場合は、例えば、記録合計サイズの設定を無視して100GBを超える通信パケットを保存する方法が考えられるが、特に限定されない。
【0058】
「自動送信」欄は、保存されたpktファイルをサーバコンピュータ130に自動送信するための設定欄である。この設定欄は、自動送信するか否かを設定するためのチェックボックスと、自動送信するスケジュールを設定するための設定ボタンとを含む。スケジュール設定ボタンをクリックすると、具体的なスケジュール設定を行うための画面が表示される(図示せず)。この画面により、曜日単位のスケジュール設定(例えば、毎週月曜日に自動送信するとの設定等)、時間単位のスケジュール設定(例えば、1時間ごとに自動送信するとの設定等)、送信時刻に端末コンピュータ120aが電源投入されていなかったときの処理に関する設定(例えば、自動送信時刻に電源投入されていなかったとき、電源投入後に直ちに自動送信するのか、或いは、次の自動送信時刻まで自動送信しないのか等の設定)等を行うことができる。また、これらの設定を複数種類、自動送信スケジュールとして登録することも可能である。加えて、通信速度等に併せて、自動送信時の通信データ量を制限することも可能である。さらには、ユーザの通信環境等に併せて、本サービス専用のソフトウエアが自動送信設定を自動的に行うこととしても良い。なお、本実施形態の自動送信設定方法は、これらの例に限定されるものではなく、本サービス専用のソフトウエアを設計する際に、任意に定めることができる。
【0059】
「フィルタ」欄は、保存しない通信パケットの種類を設定するための入力欄である。本実施形態では、保存しない通信パケットを、データ通信のポート番号を用いて設定する。但し、例えば通信に用いるアプリケーションソフトウエア等、他の基準で設定することも可能である。
【0060】
「解析サービスを除く」欄は、端末コンピュータ120aとサーバコンピュータ130との間で送受信される通信パケットをpktファイルに記録するか否かを設定するためのチェックボックスである。通信情報解析サービスのための通信パケットを保存する必要がない場合は、このチェックボックスにチェックマークを入力する。
【0061】
ユーザは、これらの欄を用いて設定を行った後、「パケット記録」ボタンをクリックする。これにより、通信パケット保存用ソフトウエアの動作が開始される(図3のステップS303参照)。上述したように、この通信パケット保存用ソフトウエアは、保存部121及び通信部122として動作する(図1参照)。
【0062】
保存部121は、端末コンピュータ120aの例えばデータリンク層(すなわち、OSI参照モデルの第2層)を監視して、送受信される通信パケットを取得する。そして、保存部121は、除外設定に対応する通信パケットを除く全ての通信パケットをpktファイルに記録する。ここで、除外設定とは、図4のフィルタ入力欄で指定されたポート番号の設定や、通信情報解析サービスの除外設定である。
【0063】
保存部121の監視、保存動作は、ユーザが、図4の「停止」ボタンをクリックしたときや、端末コンピュータ120aがシャットダウンされたときに、停止する(ステップS304参照)。
【0064】
図5は、端末コンピュータ120aに保存されたpktファイルを用いて通信パケットを解析する手順を概略的に示すフローチャートである。
【0065】
通信パケットの解析が必要になったとき、ユーザは、通信パケット保存用ソフトウエアの通信部122を操作することにより、該当するpktファイルをサーバコンピュータ130にアップロードさせる(図5のステップS501参照)。
【0066】
サーバコンピュータ130の解析部131は、このpktファイルを解析する(ステップS502参照)。そして、解析部131は、端末コンピュータ120aが行った通信毎に、解析結果として、通信パケットのヘッダ情報等をテーブル化した情報や通信パケットの主データを再現したデータ等を生成する。pktファイルの解析には、例えば上述の特許文献1に開示された通信パケット解析技術を使用することができる。
【0067】
その後、サーバコンピュータ130は、解析結果を、端末コンピュータ120aに送信する(ステップS503参照)。端末コンピュータ120aの通信部122は、解析結果を受信して、内部の所定記憶領域に保存する。なお、LAN110a〜110pに接続された端末コンピュータ111a〜111pに関する通信パケット解析を行った場合には、解析結果をLAN管理者の端末コンピュータに送ることとしても良い。さらには、例えばLAN管理者と当該端末コンピュータのユーザ等、特定の複数人のみが解析結果を閲覧できることにしても良い。加えて、一台の端末コンピュータに係る解析結果の閲覧を特定の複数人にのみ許可する場合、一部の閲覧者には全ての解析結果に対する閲覧を許可し、他の閲覧者には閲覧対象を制限すること(例えば、メール及びWebに関する解析結果のみについて閲覧を許可すること等)にしても良い。また、必要がない場合は、解析結果をユーザ側に送信しないこととしても良い。
【0068】
図6は、サーバコンピュータ130が生成したテーブル情報の一例を示している。図6の例から解るように、本実施形態で生成されるテーブル情報によれば、ユーザは、解析された通信の、送信元情報(IPアドレス、ポート番号、MACアドレス)、宛先情報(IPアドレス、ポート番号、MACアドレス)、通信時刻、通信データ量、スループット等を簡単に知ることができる。従って、例えば不正アクセスがあった場合等に、通信の記録を容易に確認することができる。
【0069】
図7は、サーバコンピュータ130が再現した通信情報の一例を示す概念図であり、電子メールで送受信される通信パケットの、主データの再現例を示している。この例では、図7(a)に示した画像の「text/plain」又は「text/html」をクリックすると、図7(b)に示したようなメール本文の視覚的な再現データが表示される。図7の例から解るように、本実施形態で生成される再現情報によれば、通信されたメールや、閲覧されたウェブサイト、動画、メッセンジャ等の内容を視覚的に把握することが容易である。また、IP電話等の音声情報を聴覚的に再現することも可能である。再現データの表示や視聴は、例えば端末コンピュータ120aにインストールされたウェブブラウザを用いて行うことができる。
【0070】
pktファイルに保存された通信パケットのデータは、メール用ソフトウエアやウェブブラウザに保存されたデータと異なり、一般のユーザが内容を解読することは非常に困難である。このため、例えばpktファイルから特定の通信の関する通信パケットの情報のみを破棄、改ざんすることは実質的に不可能である。従って、本実施形態に係る端末コンピュータでは、その端末コンピュータを用いて不正アクセスを行った事実を隠蔽することや、特定のメール通信が行われたことを隠蔽することも、実質的に不可能である。その結果、本実施形態のpktファイルは、実際に通信が行われたか否かの証拠としての信頼性が高いと言うことができる。また、本実施形態では端末コンピュータのユーザがpktファイルの暗号解読用パスワードを入力することとしたが、この暗号パスワードをLAN110a〜110pの管理者のみが認識するようにすれば、かかる信頼性をさらに高めることができる。
【0071】
以上説明したように、本実施形態に係る通信情報解析システム100によれば、端末コンピュータ111a〜111p,120a〜120qが送受信する通信パケットを電子ファイル化して(すなわち、pktファイルとして)、かかる端末コンピュータ111a〜111p,120a〜120q内に保存するので、中継器が全ての通信パケットを保存する場合と比較して、保存処理がデータ通信ネットワークの通信速度に与える影響は非常に小さい。このため、本実施形態によれば、データ通信ネットワークの通信速度を低下させること無しに、解析が必要な通信パケットを保存することができる。
【0072】
本実施形態の通信情報解析システム100によれば、データ通信ネットワーク上で、通信パケットのロスが発生せず、また、通信パケットを意図的に破棄する必要もない。このため、本実施形態によれば、高速のデータ通信ネットワークを使用する場合であっても、保存の信頼性を低下させることが無い。
【0073】
本実施形態では、サーバコンピュータ130が、端末コンピュータ111a〜111p,120a〜120qから受信したpktファイルを用いて、通信パケットの解析を行う。このため、サーバコンピュータ130として十分に処理能力が高いコンピュータを使用すれば、端末コンピュータ111a〜111p,120a〜120q毎に解析処理を行う場合と比較して、高度な解析処理を短時間で行うことができる。
【0074】
本実施形態によれば、pktファイルを暗号化して、端末コンピュータ111a〜111p内に保存することや、サーバコンピュータ130に送信することができるため、通信機密の保持を図ることができる。
【0075】
本実施形態によれば、個人ユーザ(例えば端末コンピュータ120a〜120qの使用者)や、小規模組織のユーザ(例えばローカルエリアネットワーク110a〜110pの運営者)は、通信パケット解析用の高性能コンピュータを自己で所有する必要がないので、通信パケットの解析を安価に行うことができる。
【符号の説明】
【0076】
100 通信情報解析システム
110a〜110p LAN
111a〜111p,120a〜120q 端末コンピュータ
112,121 保存部
113,122 通信部
130 サーバコンピュータ
131 解析部
140 インターネット
【技術分野】
【0001】
本発明は、データ通信ネットワークを介して通信されるデータを保存・解析するシステムに関する。
【背景技術】
【0002】
データ通信を行うためのネットワークとしては、LAN(Local Area Network)やインターネット等が知られている。データ通信ネットワークを用いることにより、通信端末(パーソナルコンピュータ等)からサーバコンピュータにアクセスしてデータの取得等を行うことや、通信端末間でのデータ通信を行うことが、可能になる。
【0003】
サーバコンピュータを用いてデータの提供等を行う場合、このサーバコンピュータに格納された秘密情報の漏洩等が問題となる。例えば、企業内LANにおいて、秘密性の高い情報をサーバコンピュータに格納し、かかる情報の閲覧を特定の従業員にのみ許可したい場合がある。このような場合、ID(Identification)やパスワード等の認証情報を用いて認証処理を行い、認証を受けた場合にのみデータの閲覧を認める方法が、一般的に利用されている。そして、秘密漏洩等が発覚した場合には、LANに接続された各通信端末の通信記録等を解析することによって、不正行為者の特定を図っている。しかしながら、通信記録等の解析には膨大な人的作業を要する場合が多く、このため、不正行為者の特定には多大な時間と人的コストとが必要になる。
【0004】
また、通信端末間でデータ通信を行う場合、実際にデータ通信が行われたか否かの証明が必要になる場合がある。例えば、インターネットを用いた電子商取引においては、顧客は、ウェブブラウザに表示された入力フォームや電子メール等を用いて、発注作業等を行うことが多い。しかし、顧客が発注を行ったと主張しているにも拘わらず、サービス提供者が受注していないと主張する場合が考えられる。このような場合は、例えば双方の通信端末に保存された通信データ等を用いて、データ通信が行われたか否かをチェックすることができる。しかしながら、通信データ等の電子データは簡単に破棄・改ざんできるため、データ通信が行われたか否かを第三者に証明することは困難である。
【0005】
これらの欠点を解消する方法として、データ通信ネットワークの中継器に通信パケット保存機能を設ける方法が知られている。
【0006】
LAN等の中継器内に通信パケットを自動的に保存しておき、保存された通信パケットのヘッダ情報や通信データ等を再現することとすれば、上述のような情報漏洩が発覚した場合でも、通信記録の解析等を通信端末毎に行う必要がなくなり、不正行為の解明に要する時間や人的コストを低減することが期待される。また、通信端末の利用者が中継器内の通信パケットを破棄・改ざんすることは困難であるため、実際にデータ通信が行われたか否かをチェックするときの信頼性を向上させることができる。
【0007】
データ通信ネットワークの中継器に通信パケットを保存する技術としては、例えば下記特許文献1、2が知られている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】国際公開2002/029579号公報
【特許文献2】特開2008−182294号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、データ通信ネットワークの中継器内に通信パケットを保存する方法には、以下のような欠点がある。
【0010】
通信パケットを中継器内に保存する場合、記憶データ量が膨大になるため、記憶装置としてハードディスクを使用する必要がある。しかしながら、ハードディスクの書き込み速度は100MB/S程度(すなわち、800Mbps程度)である。このため、高速のデータ通信ネットワーク(例えば2000Mbps)においては、書き込み処理のために、通信速度の低下を招いてしまう。
【0011】
これに対して、上記特許文献1の技術では、通信パケットを一旦ワークメモリに保存した後で、ハードディスクに書き込むこととしている。しかし、特許文献1に技術では、高速且つ大容量のデータ通信ネットワークでトラフィックが増大した場合等に、通信パケットのロス(すなわち、保存できない通信パケットの発生)が生じるおそれがある。したがって、特許文献1の技術には、パケット保存処理の信頼性が不十分になるという欠点がある。
【0012】
また、上記特許文献2の技術では、中継器内で通信パケットを意図的に破棄すること(すなわち、保存処理を行わないこと)により、通信速度の低下を抑制している。しかしながら、特許文献2の技術でも、上述の特許文献1の技術と同様、データ保存処理の信頼性が不十分になる。
【0013】
さらには、LANの中継器に通信パケットを保存する方法では、中継器が高価になるだけでなく、保存された通信パケットからヘッダ情報や通信データ等を再現するためのコンピュータをLAN内に設ける必要が生じる。このため、ネットワーク構築のためのコストが非常に高くなり、個人や小規模企業で導入することは困難である。
【0014】
本発明の課題は、データ通信ネットワークの通信速度やデータ保存処理の信頼性を低下させること無しに、通信パケットの保存及び解析を安価に行うことができる、通信情報解析システムを提供する点にある。
【課題を解決するための手段】
【0015】
かかる課題を解決するために、請求項1に係る発明は、データ通信ネットワークに接続された通信端末及びサーバコンピュータを有する通信情報解析システムであって、前記通信端末が、送信される通信パケット及び受信された通信パケットの電子データを電子ファイルとして保存する保存手段と、該保存手段に保存された前記電子ファイルを前記サーバコンピュータに送信する通信手段とを備え、前記サーバコンピュータが、前記通信端末から受信した前記電子ファイルを用いて前記通信パケットを解析する解析手段を備えることを特徴とする。
【0016】
請求項2に係る発明は、請求項1の構成に加え、前記解析手段が、前記通信パケットのヘッダ情報をテーブル化した情報を生成することを特徴とする。
【0017】
請求項3に係る発明は、請求項1又は2の構成に加え、前記解析手段が、前記通信パケットの主データを再現したデータを生成することを特徴とする。
【0018】
請求項4に係る発明は、請求項1〜3の何れかの構成に加え、前記サーバコンピュータが複数のローカルエリアネットワークに接続され、且つ、該ローカルエリアネットワークのそれぞれに前記通信端末が接続されたことを特徴とする。
【0019】
請求項5に係る発明は、請求項1〜4の何れかの構成に加え、前記保存手段が、前記通信パケットの電子データを暗号化して前記電子ファイルに格納する機能を有することを特徴とする。
【発明の効果】
【0020】
請求項1の発明によれば、通信端末内で、送信される通信パケット及び受信された通信パケットを電子ファイル化して保存するので、中継器が全ての通信パケットを保存する場合と異なり、通信パケットの保存処理がデータ通信ネットワークに負荷をかけることが無い。さらには、送信前の通信パケット及び受信後の通信パケットを通信端末内に保存するので、通信パケットのロスが発生するおそれもない。このため、請求項1の発明によれば、データ通信ネットワークの通信速度を低下させること無しに、通信パケット保存処理の信頼性を確保することができる。
【0021】
また、請求項1の発明では、通信パケットを保存するために他の通信パケットを破棄する必要が無い。このため、請求項1の発明によれば、データ通信ネットワークの通信信頼性を低下させること無しに、通信パケットを保存することができる。
【0022】
さらに、請求項1の発明では、サーバコンピュータが、通信端末から受信した電子ファイルを用いて、通信パケットの解析を行う。このため、中継器に保存された通信パケットの解析処理を通信端末毎に常時行うような場合と比較して、高度な解析処理や、解析結果をわかりやすく表示するための処理を、短時間で行うことが容易になる。
【0023】
請求項2の発明によれば、前記通信パケットのヘッダ情報をテーブル化した情報を生成するので、利用者は、ヘッダ情報の解析結果を容易に知ることができる。
【0024】
請求項3の発明によれば、前記通信パケットの主データを再現したデータを生成するので、利用者は、通信内容の解析結果を容易に知ることができる。
【0025】
請求項4に記載の発明によれば、複数のローカルエリアネットワークに係る解析処理を同じサーバコンピュータで行うことができるので、全体として通信パケットの解析を安価に行うことができる。
【0026】
請求項5に記載の発明によれば、通信パケットの電子データを暗号化することにより、通信機密の保持を図ることができる。
【図面の簡単な説明】
【0027】
【図1】実施の形態に係る通信情報解析システム全体構成を示す概念図である。
【図2】実施の形態に係る通信パケット解析サービスの申込手順を概略的に示すフローチャートである。
【図3】実施の形態において通信パケットを保存する手順を概略的に示すフローチャートである。
【図4】実施の形態で使用される通信パケット保存用ソフトウエアの設定画面を示す概念図である。
【図5】実施の形態において通信パケットを解析する手順を概略的に示すフローチャートである。
【図6】実施の形態においてサーバコンピュータが生成するテーブル情報の一例を示す図である。
【図7】実施の形態においてサーバコンピュータが再現する通信情報の一例を示す概念図である。
【発明を実施するための形態】
【0028】
[実施の形態1]
【0029】
以下、本発明の一実施形態に係る通信情報解析システムについて、図面を用いて説明する。本実施形態は、本発明に係る通信情報解析システムを用いて、通信情報解析サービスが提供される場合を例に採って説明する。
【0030】
図1は、本実施形態に係る通信パケット解析システム100の全体構成を示す概念図である。
【0031】
図1に示したように、本実施形態の通信情報解析システム100は、複数のLAN110a,110b,・・・,110pと、複数の端末コンピュータ120a,120b,・・・,120qと、サーバコンピュータ130とを有する。これらは、インターネット140を介して相互に通信接続されている。
【0032】
LAN110a〜110pは、例えば、企業内ネットワークとして構築される。例えば、一つのLANは、一つの企業によって所有されている。LAN110a〜110pは、それぞれ、複数台ずつの端末コンピュータ111a,111b,・・・,111pに、通信接続されている。LAN110a〜110pを所有する企業等は、それぞれ、本実施形態に係る通信情報解析サービスの提供を受ける。
【0033】
端末コンピュータ111aは、本発明の通信端末に相当する。端末コンピュータ111aは、LAN110a内の他の端末コンピュータ111aと通信接続されているとともに、インターネット140を介して、LAN110aの外部に設けられた通信装置(例えば端末コンピュータ111b〜111p,120a〜120q等)とも通信接続されている。端末コンピュータ111aは、送信される通信パケット及び受信された通信パケットの電子データを電子ファイル(以下、「pktファイル」と記す)として保存する保存部112と、保存されたpktファイルをサーバコンピュータ130に送信する通信部113とを有する。保存部112及び通信部113は、例えば、専用のアプリケーションソフトウエアを用いて実現することができる。他のLAN110b〜110pに設けられた端末コンピュータ111b〜111pも、それぞれ同様である。
【0034】
端末コンピュータ120aは、本発明の通信端末に相当する。端末コンピュータ120aは、インターネット140を介して、他の通信装置(例えば端末コンピュータ111a〜111p,120b〜120q)と通信接続されている。端末コンピュータ120aは、上述の端末コンピュータ111a〜111pと同様、送信される通信パケット及び受信された通信パケットの電子データをpktファイルとして保存する保存部121と、保存されたpktファイルをサーバコンピュータ130に送信する通信部122とを有する。保存部121及び通信部122は、端末コンピュータ111a〜111pの場合と同様、例えば、専用のアプリケーションソフトウエアを用いて実現することができる。他の端末コンピュータ120b〜120qも、それぞれ同様である。端末コンピュータ120a〜120qを使用する個人等は、それぞれ、本実施形態に係る通信情報解析サービスの提供を受ける。
【0035】
サーバコンピュータ130は、一台又は複数台のコンピュータで構成されるコンピュータシステムである。サーバコンピュータ130は、端末コンピュータ111a〜111p,120a〜120qから、pktファイルを受信する。サーバコンピュータ130は、解析部131を有する。解析部131は、pktファイルを用いて、端末コンピュータ110が送受信した通信パケットを解析する。解析部131は、処理能力の高い大型コンピュータで構成することが望ましい。後述するように、この解析処理によって、通信パケットのヘッダ情報をテーブル化した情報や、通信パケットの主データを再現したデータが、生成される。本実施形態では、サーバコンピュータ130を、通信情報解析サービスの提供者が管理、運営する。
【0036】
以下、通信情報解析システム100の動作について、図2〜図7を用いて説明する。
【0037】
上述のように、本実施形態では、通信情報解析システム100を用いて、通信情報解析サービスが提供される。本実施形態のサービスは、企業単位(図1のLAN110a〜110pに相当する)で受けることもできるし、個人単位(図1の端末コンピュータ120a〜120qに相当する)で受けることもできる。本実施形態では、端末コンピュータ120aがサービスを受ける場合を例に採って説明するが、他の端末コンピュータ111a〜111p,120b〜120qがサービスを受ける場合も同様である。
【0038】
図2は、本実施形態に係る通信情報解析サービスの申込手順を概略的に示すフローチャートである。この申込手続は、例えば、インターネット140を利用して、行うことができる。
【0039】
端末コンピュータ120aがサーバコンピュータ130にアクセスすると、サーバコンピュータ130が端末コンピュータ120aにウェブ申込フォームを表示させる。申込者は、この申込フォームに申込情報を記入してサーバコンピュータ130に送信する(ステップS201参照)。申込情報とは、例えば、申込者の氏名又は法人名、連絡先、電子メールアドレス、支払い方法、申込者が希望するパスワード等である。
【0040】
サーバコンピュータ130は、申込情報を受信すると、この申込情報をチェックする(ステップS202参照)。このチェック処理では、申込者のサービス登録が既に行われているか否か等が、チェックされる。未登録の場合、サーバコンピュータ130は、この申込情報を、登録する(ステップS203参照)。一方、登録済みの場合は、ステップS203を行わずに、ステップS204以降の処理を行う。
【0041】
次に、サーバコンピュータ130は、端末コンピュータ120aに、申込情報についての回答画面(図示せず)を表示させる(ステップS204参照)。申込情報が正常に処理された場合、この回答画面には、サービス料金の支払い方法を確認するための情報が表示される。また、回答画面には、リソースをチェックするための表示も、併せて行われる。リソースとは、サーバコンピュータ130のハードウエア的な処理能力(メモリ容量やCPUの稼働率等)である。例えば、申込者のデータ通信量が非常に多いような場合には、その申込を受理すると、サーバコンピュータ130のリソースが不足してしまうおそれがある。このため、この回答画面により、申込者のデータ通信量の確認等が行われる。申込者は、確認や入力等を行った後で、回答画面に表示された例えば「確認ボタン」をクリックする。これにより、確認結果を示す情報が、端末コンピュータ120aからサーバコンピュータ130に送られる。
【0042】
サーバコンピュータ130は、端末コンピュータ120aから確認結果情報を受信すると、この受信情報をチェックする(ステップS205)。このチェック処理では、サーバコンピュータ130が必要なリソースを確保できるか否か等を確認する。このチェックの結果、申込を受け付けることができると判断された場合、サーバコンピュータ130は、申込者に対して、通信パケット保存用ソフトウエアのダウンロードを許可するための処理を行う(ステップS206参照)。一方、ステップS205で、リソースを確保できないと判断された場合、通信情報解析サービスの申込がキャンセルされる(ステップS207参照)。
【0043】
なお、リソースを確保できないと判断された場合に、サーバコンピュータ130が、申込に関する情報を所定期間保存することとしても良い。そして、この保存期間内にリソースが確保できるようになった場合、申込者に対してその旨を通知する等して、申込を受け付けるようにすることも可能である。
【0044】
次に、本実施形態に係るサービスを利用して通信パケットを保存、解析する手順について、図3及び図4を用いて説明する。
【0045】
上述のように、本実施形態では、端末コンピュータ120aが通信パケットを保存するためのアプリケーションソフトウエアを使用する。かかるアプリケーションソフトウエアとしては、汎用の通信パケット解析用ソフトウエア(例えば、Wireshark等)を流用することも可能であるが、ここでは、本サービス専用のソフトウエアを利用する場合について説明する。
【0046】
図3は、本実施形態において通信パケットを保存する手順を概略的に示すフローチャートである。
【0047】
ユーザは、まず、サーバコンピュータ130からダウンロードする等して通信パケット保存用ソフトウエアを入手し、端末コンピュータ120aにインストールする(図3のステップS301参照)。これにより、端末コンピュータ120a内に、上述のような保存部121及び通信部122(図1参照)が構築される。
【0048】
このソフトウエアには、pktファイルを暗号化して保存する機能や、かかるpktファイルを圧縮して保存する機能を設けることが望ましい。
【0049】
暗号化機能を設けることにより、pktファイルに保存された通信パケットデータが、第三者に閲覧、改ざん等されることを防止できる。暗号化機能を設ける場合には、暗号化されたpktファイルの復号化を、本サービス専用のソフトウエアやサーバコンピュータ130のみで行えるようにすることが望ましい。これにより、pktファイルを端末コンピュータ120aから携帯型メモリ等にコピーして持ち出されたような場合でも、その者がpktファイルの内容を把握することはできず、したがって、かかるpktファイルを改ざんすることもできない。
【0050】
また、pktファイルをサーバコンピュータ130に送信する際に(後述)、暗号化された状態のpktファイルを送ることとすれば、pktファイルがインターネット140上で第三者に不正取得されたとしても、かかる第三者はその内容を把握することはできない。
【0051】
さらには、サーバコンピュータ130がpktファイルを解析して端末コンピュータ120aに送信する際に(後述)、この解析結果を暗号化して送信することも可能である。暗号化された解析結果の復号化は、本サービス専用のソフトウエアのみで行えるようにすることが望ましい。これにより、解析結果がインターネット140上で第三者に不正取得されたとしても、かかる第三者はその内容を把握することはできない。また、解析結果を端末コンピュータ120aから携帯型メモリ等にコピーして持ち出されたような場合でも、第三者が解析結果を把握、改ざんすることはできない。
【0052】
また、圧縮機能を設けることにより、pktファイルの保存に要する記憶領域を低減することができ、さらには、pktファイルをサーバコンピュータ130に送る際にデータ通信ネットワークへの負荷を低減することができる。
【0053】
次に、ユーザは、この通信パケット保存用ソフトウエアの設定を行う(ステップS302参照)。図4は、通信パケット保存用ソフトウエアの設定画面を示す概念図である。
【0054】
この設定において、「記録合計サイズ」欄は、pktファイルとして保存される通信パケットの総データ量を設定するための入力欄である。図4の例では、記録合計サイズが100GBに設定されている。保存部121は、保存された通信パケットの合計サイズを設定値以下に抑えるための処理を行う。かかる処理の具体的方法としては、例えば、古いpktファイルに対して破棄或いは上書きを行う方法や、ユーザに警告して古いpktファイルのバックアップを促す方法等が考えられるが、特に限定されない。
【0055】
「暗号化」とは、pktファイルを暗号化して保存するか否かの選択するためのチェックボックスである。pktファイルを暗号化する場合、ユーザは、「パスワード」の入力欄を使用して、暗号解読用のパスワードを指定する。
【0056】
「保存ディレクトリ」欄は、端末コンピュータ120a内における、pktファイルの保存場所を指定するための設定欄である。図4の例では、端末コンピュータ120aのオペレーティングシステム保存領域C内の「packet」という名称のフォルダにpktファイルが格納される。
【0057】
「取得区切り」欄は、新しいpktファイルを作成するサイクルを設定するための設定欄である。例えば、「取得区切り」を「1時間区切り」に設定した場合、該当する1時間の間に生成された通信パケットが同一のpktファイルに記録される。「取得区切り」は、時間単位ではなく、例えばデータ量単位等、他の単位で設定することも可能である。ここで、「記録合計サイズ」と「取得区切り」との両方が設定された場合、これら設定値の一方しか満たさない場合の扱いが問題になる。例えば、「記録合計サイズ」が100GBに設定され且つ「取得区切り」が一時間区切りに設定された場合であって、一時間以内の記録合計サイズが100GBを超えた場合は、両方の設定条件を満たすことはできない。このような場合は、例えば、記録合計サイズの設定を無視して100GBを超える通信パケットを保存する方法が考えられるが、特に限定されない。
【0058】
「自動送信」欄は、保存されたpktファイルをサーバコンピュータ130に自動送信するための設定欄である。この設定欄は、自動送信するか否かを設定するためのチェックボックスと、自動送信するスケジュールを設定するための設定ボタンとを含む。スケジュール設定ボタンをクリックすると、具体的なスケジュール設定を行うための画面が表示される(図示せず)。この画面により、曜日単位のスケジュール設定(例えば、毎週月曜日に自動送信するとの設定等)、時間単位のスケジュール設定(例えば、1時間ごとに自動送信するとの設定等)、送信時刻に端末コンピュータ120aが電源投入されていなかったときの処理に関する設定(例えば、自動送信時刻に電源投入されていなかったとき、電源投入後に直ちに自動送信するのか、或いは、次の自動送信時刻まで自動送信しないのか等の設定)等を行うことができる。また、これらの設定を複数種類、自動送信スケジュールとして登録することも可能である。加えて、通信速度等に併せて、自動送信時の通信データ量を制限することも可能である。さらには、ユーザの通信環境等に併せて、本サービス専用のソフトウエアが自動送信設定を自動的に行うこととしても良い。なお、本実施形態の自動送信設定方法は、これらの例に限定されるものではなく、本サービス専用のソフトウエアを設計する際に、任意に定めることができる。
【0059】
「フィルタ」欄は、保存しない通信パケットの種類を設定するための入力欄である。本実施形態では、保存しない通信パケットを、データ通信のポート番号を用いて設定する。但し、例えば通信に用いるアプリケーションソフトウエア等、他の基準で設定することも可能である。
【0060】
「解析サービスを除く」欄は、端末コンピュータ120aとサーバコンピュータ130との間で送受信される通信パケットをpktファイルに記録するか否かを設定するためのチェックボックスである。通信情報解析サービスのための通信パケットを保存する必要がない場合は、このチェックボックスにチェックマークを入力する。
【0061】
ユーザは、これらの欄を用いて設定を行った後、「パケット記録」ボタンをクリックする。これにより、通信パケット保存用ソフトウエアの動作が開始される(図3のステップS303参照)。上述したように、この通信パケット保存用ソフトウエアは、保存部121及び通信部122として動作する(図1参照)。
【0062】
保存部121は、端末コンピュータ120aの例えばデータリンク層(すなわち、OSI参照モデルの第2層)を監視して、送受信される通信パケットを取得する。そして、保存部121は、除外設定に対応する通信パケットを除く全ての通信パケットをpktファイルに記録する。ここで、除外設定とは、図4のフィルタ入力欄で指定されたポート番号の設定や、通信情報解析サービスの除外設定である。
【0063】
保存部121の監視、保存動作は、ユーザが、図4の「停止」ボタンをクリックしたときや、端末コンピュータ120aがシャットダウンされたときに、停止する(ステップS304参照)。
【0064】
図5は、端末コンピュータ120aに保存されたpktファイルを用いて通信パケットを解析する手順を概略的に示すフローチャートである。
【0065】
通信パケットの解析が必要になったとき、ユーザは、通信パケット保存用ソフトウエアの通信部122を操作することにより、該当するpktファイルをサーバコンピュータ130にアップロードさせる(図5のステップS501参照)。
【0066】
サーバコンピュータ130の解析部131は、このpktファイルを解析する(ステップS502参照)。そして、解析部131は、端末コンピュータ120aが行った通信毎に、解析結果として、通信パケットのヘッダ情報等をテーブル化した情報や通信パケットの主データを再現したデータ等を生成する。pktファイルの解析には、例えば上述の特許文献1に開示された通信パケット解析技術を使用することができる。
【0067】
その後、サーバコンピュータ130は、解析結果を、端末コンピュータ120aに送信する(ステップS503参照)。端末コンピュータ120aの通信部122は、解析結果を受信して、内部の所定記憶領域に保存する。なお、LAN110a〜110pに接続された端末コンピュータ111a〜111pに関する通信パケット解析を行った場合には、解析結果をLAN管理者の端末コンピュータに送ることとしても良い。さらには、例えばLAN管理者と当該端末コンピュータのユーザ等、特定の複数人のみが解析結果を閲覧できることにしても良い。加えて、一台の端末コンピュータに係る解析結果の閲覧を特定の複数人にのみ許可する場合、一部の閲覧者には全ての解析結果に対する閲覧を許可し、他の閲覧者には閲覧対象を制限すること(例えば、メール及びWebに関する解析結果のみについて閲覧を許可すること等)にしても良い。また、必要がない場合は、解析結果をユーザ側に送信しないこととしても良い。
【0068】
図6は、サーバコンピュータ130が生成したテーブル情報の一例を示している。図6の例から解るように、本実施形態で生成されるテーブル情報によれば、ユーザは、解析された通信の、送信元情報(IPアドレス、ポート番号、MACアドレス)、宛先情報(IPアドレス、ポート番号、MACアドレス)、通信時刻、通信データ量、スループット等を簡単に知ることができる。従って、例えば不正アクセスがあった場合等に、通信の記録を容易に確認することができる。
【0069】
図7は、サーバコンピュータ130が再現した通信情報の一例を示す概念図であり、電子メールで送受信される通信パケットの、主データの再現例を示している。この例では、図7(a)に示した画像の「text/plain」又は「text/html」をクリックすると、図7(b)に示したようなメール本文の視覚的な再現データが表示される。図7の例から解るように、本実施形態で生成される再現情報によれば、通信されたメールや、閲覧されたウェブサイト、動画、メッセンジャ等の内容を視覚的に把握することが容易である。また、IP電話等の音声情報を聴覚的に再現することも可能である。再現データの表示や視聴は、例えば端末コンピュータ120aにインストールされたウェブブラウザを用いて行うことができる。
【0070】
pktファイルに保存された通信パケットのデータは、メール用ソフトウエアやウェブブラウザに保存されたデータと異なり、一般のユーザが内容を解読することは非常に困難である。このため、例えばpktファイルから特定の通信の関する通信パケットの情報のみを破棄、改ざんすることは実質的に不可能である。従って、本実施形態に係る端末コンピュータでは、その端末コンピュータを用いて不正アクセスを行った事実を隠蔽することや、特定のメール通信が行われたことを隠蔽することも、実質的に不可能である。その結果、本実施形態のpktファイルは、実際に通信が行われたか否かの証拠としての信頼性が高いと言うことができる。また、本実施形態では端末コンピュータのユーザがpktファイルの暗号解読用パスワードを入力することとしたが、この暗号パスワードをLAN110a〜110pの管理者のみが認識するようにすれば、かかる信頼性をさらに高めることができる。
【0071】
以上説明したように、本実施形態に係る通信情報解析システム100によれば、端末コンピュータ111a〜111p,120a〜120qが送受信する通信パケットを電子ファイル化して(すなわち、pktファイルとして)、かかる端末コンピュータ111a〜111p,120a〜120q内に保存するので、中継器が全ての通信パケットを保存する場合と比較して、保存処理がデータ通信ネットワークの通信速度に与える影響は非常に小さい。このため、本実施形態によれば、データ通信ネットワークの通信速度を低下させること無しに、解析が必要な通信パケットを保存することができる。
【0072】
本実施形態の通信情報解析システム100によれば、データ通信ネットワーク上で、通信パケットのロスが発生せず、また、通信パケットを意図的に破棄する必要もない。このため、本実施形態によれば、高速のデータ通信ネットワークを使用する場合であっても、保存の信頼性を低下させることが無い。
【0073】
本実施形態では、サーバコンピュータ130が、端末コンピュータ111a〜111p,120a〜120qから受信したpktファイルを用いて、通信パケットの解析を行う。このため、サーバコンピュータ130として十分に処理能力が高いコンピュータを使用すれば、端末コンピュータ111a〜111p,120a〜120q毎に解析処理を行う場合と比較して、高度な解析処理を短時間で行うことができる。
【0074】
本実施形態によれば、pktファイルを暗号化して、端末コンピュータ111a〜111p内に保存することや、サーバコンピュータ130に送信することができるため、通信機密の保持を図ることができる。
【0075】
本実施形態によれば、個人ユーザ(例えば端末コンピュータ120a〜120qの使用者)や、小規模組織のユーザ(例えばローカルエリアネットワーク110a〜110pの運営者)は、通信パケット解析用の高性能コンピュータを自己で所有する必要がないので、通信パケットの解析を安価に行うことができる。
【符号の説明】
【0076】
100 通信情報解析システム
110a〜110p LAN
111a〜111p,120a〜120q 端末コンピュータ
112,121 保存部
113,122 通信部
130 サーバコンピュータ
131 解析部
140 インターネット
【特許請求の範囲】
【請求項1】
データ通信ネットワークに接続された通信端末及びサーバコンピュータを有する通信情報解析システムであって、
前記通信端末が、送信される通信パケット及び受信された通信パケットの電子データを電子ファイルとして保存する保存手段と、該保存手段に保存された前記電子ファイルを前記サーバコンピュータに送信する通信手段とを備え、
前記サーバコンピュータが、前記通信端末から受信した前記電子ファイルを用いて前記通信パケットを解析する解析手段を備える、
ことを特徴とする通信情報解析システム。
【請求項2】
前記解析手段が、前記通信パケットのヘッダ情報をテーブル化した情報を生成することを特徴とする請求項1に記載の通信情報解析システム。
【請求項3】
前記解析手段が、前記通信パケットの主データを視覚的又は聴覚的に再現したデータを生成することを特徴とする請求項1又は2に記載の通信情報解析システム。
【請求項4】
前記サーバコンピュータが複数のローカルエリアネットワークに接続され、且つ、該ローカルエリアネットワークのそれぞれに前記通信端末が接続されたことを特徴とする請求項1〜3の何れかに記載の通信情報解析システム。
【請求項5】
前記保存手段が、前記通信パケットの電子データを暗号化して前記電子ファイルに格納する機能を有することを特徴とする請求項1〜4の何れかに記載の通信情報解析システム。
【請求項1】
データ通信ネットワークに接続された通信端末及びサーバコンピュータを有する通信情報解析システムであって、
前記通信端末が、送信される通信パケット及び受信された通信パケットの電子データを電子ファイルとして保存する保存手段と、該保存手段に保存された前記電子ファイルを前記サーバコンピュータに送信する通信手段とを備え、
前記サーバコンピュータが、前記通信端末から受信した前記電子ファイルを用いて前記通信パケットを解析する解析手段を備える、
ことを特徴とする通信情報解析システム。
【請求項2】
前記解析手段が、前記通信パケットのヘッダ情報をテーブル化した情報を生成することを特徴とする請求項1に記載の通信情報解析システム。
【請求項3】
前記解析手段が、前記通信パケットの主データを視覚的又は聴覚的に再現したデータを生成することを特徴とする請求項1又は2に記載の通信情報解析システム。
【請求項4】
前記サーバコンピュータが複数のローカルエリアネットワークに接続され、且つ、該ローカルエリアネットワークのそれぞれに前記通信端末が接続されたことを特徴とする請求項1〜3の何れかに記載の通信情報解析システム。
【請求項5】
前記保存手段が、前記通信パケットの電子データを暗号化して前記電子ファイルに格納する機能を有することを特徴とする請求項1〜4の何れかに記載の通信情報解析システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−166389(P2011−166389A)
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願番号】特願2010−26045(P2010−26045)
【出願日】平成22年2月9日(2010.2.9)
【特許番号】特許第4660658号(P4660658)
【特許公報発行日】平成23年3月30日(2011.3.30)
【出願人】(500517318)ネットエージェント株式会社 (8)
【Fターム(参考)】
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願日】平成22年2月9日(2010.2.9)
【特許番号】特許第4660658号(P4660658)
【特許公報発行日】平成23年3月30日(2011.3.30)
【出願人】(500517318)ネットエージェント株式会社 (8)
【Fターム(参考)】
[ Back to top ]