知財求人 - 知財ポータルサイト「IP Force」
▶ 株式会社東芝の特許一覧 ▶ 東芝ソリューション株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2015-173406(P2015-173406A)
(43)【公開日】2015年10月1日
(54)【発明の名称】分析システム、分析装置、及び分析プログラム
(51)【国際特許分類】
H04L 12/70 20130101AFI20150904BHJP
G06F 21/55 20130101ALI20150904BHJP
【FI】
H04L12/70 100Z
G06F21/00 155B
【審査請求】未請求
【請求項の数】6
【出願形態】OL
【全頁数】12
(21)【出願番号】特願2014-48938(P2014-48938)
(22)【出願日】2014年3月12日
(71)【出願人】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(71)【出願人】
【識別番号】301063496
【氏名又は名称】東芝ソリューション株式会社
(74)【代理人】
【識別番号】100108855
【弁理士】
【氏名又は名称】蔵田 昌俊
(74)【代理人】
【識別番号】100109830
【弁理士】
【氏名又は名称】福原 淑弘
(74)【代理人】
【識別番号】100103034
【弁理士】
【氏名又は名称】野河 信久
(74)【代理人】
【識別番号】100075672
【弁理士】
【氏名又は名称】峰 隆司
(74)【代理人】
【識別番号】100153051
【弁理士】
【氏名又は名称】河野 直樹
(74)【代理人】
【識別番号】100140176
【弁理士】
【氏名又は名称】砂川 克
(74)【代理人】
【識別番号】100158805
【弁理士】
【氏名又は名称】井関 守三
(74)【代理人】
【識別番号】100179062
【弁理士】
【氏名又は名称】井上 正
(74)【代理人】
【識別番号】100124394
【弁理士】
【氏名又は名称】佐藤 立志
(74)【代理人】
【識別番号】100112807
【弁理士】
【氏名又は名称】岡田 貴志
(74)【代理人】
【識別番号】100111073
【弁理士】
【氏名又は名称】堀内 美保子
(72)【発明者】
【氏名】小島 健司
(72)【発明者】
【氏名】池上 美千代
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA13
5K030GA15
5K030JA10
5K030MA04
5K030MB09
5K030MC07
5K030MC08
(57)【要約】
【課題】 採取装置から分析装置への通信データの送信量を適正に制御しながら、効果的なセキュリティ監視をすることを可能にする。
【解決手段】 本実施形態の分析システムは、監視対象システム3内のネットワークに配置された採取装置2と、採取装置2により採取された通信データをもとにセキュリティインシデント発生可能性を分析する分析装置1とを含む。採取装置2は、監視対象システム3内のネットワークの通信データのうちデータ採取のルールに応じた採取データを分析装置1に送信する。採取装置2は、ルールを分析装置1からの指示に応じて設定することができる。分析装置1は、採取装置2から送信された採取データを分析した結果、セキュリティインシデント発生の可能性があると判断される場合に、分析結果に応じて採取装置2に対してルールの変更を指示する。
【選択図】図1
【特許請求の範囲】
【請求項1】
監視対象システム内のネットワークに配置された採取装置と、前記採取装置により採取された通信データをもとにセキュリティインシデント発生可能性を分析する分析装置とを含む分析システムであって、
前記採取装置は、
前記ネットワークの通信データのうちデータ採取のルールに応じた採取データを前記分析装置に送信する送信手段と、
前記ルールを前記分析装置からの指示に応じて設定する採取ルール設定手段とを有し、
前記分析装置は、
前記送信手段により送信された前記採取データを分析した結果、セキュリティインシデント発生の可能性があると判断される場合に、分析結果に応じて前記採取装置に対して前記ルールの変更を指示する採取ルール管理手段を有した分析システム。
前記採取装置は、
前記ネットワークの通信データのうちデータ採取のルールに応じた採取データを前記分析装置に送信する送信手段と、
前記ルールを前記分析装置からの指示に応じて設定する採取ルール設定手段とを有し、
前記分析装置は、
前記送信手段により送信された前記採取データを分析した結果、セキュリティインシデント発生の可能性があると判断される場合に、分析結果に応じて前記採取装置に対して前記ルールの変更を指示する採取ルール管理手段を有した分析システム。
【請求項2】
前記採取ルール管理手段は、前記採取データとする前記通信データの範囲を示すルールを変更する請求項1記載の分析システム。
【請求項3】
前記採取ルール管理手段は、前記採取データを前記送信手段により送信するタイミングを示すルールを変更する請求項1記載の分析システム。
【請求項4】
監視対象システム内に前記採取装置を複数配置し、
前記採取ルール管理手段は、分析結果に応じて複数の前記採取装置に対して前記ルールの変更を指示する請求項1記載の分析システム。
前記採取ルール管理手段は、分析結果に応じて複数の前記採取装置に対して前記ルールの変更を指示する請求項1記載の分析システム。
【請求項5】
監視対象システム内のネットワークに配置された採取装置から受信された通信データをもとにセキュリティインシデント発生可能性を分析する分析手段と、
前記分析手段により前記通信データを分析した結果、セキュリティインシデント発生の可能性があると判断される場合に、分析結果に応じて前記採取装置に対して前記通信データを送信するルールの変更を指示する採取ルール管理手段とを有する分析装置。
前記分析手段により前記通信データを分析した結果、セキュリティインシデント発生の可能性があると判断される場合に、分析結果に応じて前記採取装置に対して前記通信データを送信するルールの変更を指示する採取ルール管理手段とを有する分析装置。
【請求項6】
コンピュータを、
監視対象システム内のネットワークに配置された採取装置から受信された通信データをもとにセキュリティインシデント発生可能性を分析する分析手段と、
前記分析手段により前記通信データを分析した結果、セキュリティインシデント発生の可能性があると判断される場合に、分析結果に応じて前記採取装置に対して前記通信データを送信するルールの変更を指示する採取ルール管理手段として機能させるための分析プログラム。
監視対象システム内のネットワークに配置された採取装置から受信された通信データをもとにセキュリティインシデント発生可能性を分析する分析手段と、
前記分析手段により前記通信データを分析した結果、セキュリティインシデント発生の可能性があると判断される場合に、分析結果に応じて前記採取装置に対して前記通信データを送信するルールの変更を指示する採取ルール管理手段として機能させるための分析プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、監視対象システムからシステムの動作に関わるログデータや通信データを収集し、その情報を利用して外部からの攻撃などのセキュリティインシデントの検出を行う、セキュリティ監視のための分析をする分析システム、分析装置、及び分析プログラムに関する。
【背景技術】
【0002】
外部からの攻撃などのセキュリティインシデント検出を目的としたシステム監視として、監視対象システム上の通信データやログデータなどを1か所に集め、そのデータの分析によりインシデントの検出を行う分析システムがある。このようなシステムでは、監視対象となるシステムに通信データやログデータを収集するための採取装置を複数設置し、この採取装置からクラウド上などに設置される分析装置にデータを集め、分析装置ではあらかじめ設定されているセキュリティインシデント分析用のルールによりセキュリティインシデントの兆候や発生を検出する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−202664号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
通信データの分析により、セキュリティインシデントを効率的に検出するためには、通信データの採取装置を監視対象システム内の多数の箇所に置き、そこからの情報を分析装置に集め、多数の箇所から取得したデータを関連付けて分析を行うことが望ましい。しかし、その場合、多数の箇所からデータが分析装置に集約されるため、分析装置へのトラフィック、分析装置における処理量が膨大になるという課題があった。
【0005】
逆に、採取装置の設置個所を減らした場合、収集するデータ量が減るためトラフィックや処理量は問題とはならないが、分析に使用するデータ量が減少するため効率的にインシデントを検出することが難しくなる。
【0006】
本発明が解決しようとする課題は、採取装置から分析装置への通信データの送信量を適正に制御しながら、効果的なセキュリティ監視をすることが可能な分析システム、分析装置、及び分析プログラムを提供することである。
【課題を解決するための手段】
【0007】
実施形態によれば、分析システムは、監視対象システム内のネットワークに配置された採取装置と、前記採取装置により採取された通信データをもとにセキュリティインシデント発生可能性を分析する分析装置とを含む。前記採取装置は、前記ネットワークの通信データのうちデータ採取のルールに応じた採取データを前記分析装置に送信する送信手段と、前記ルールを前記分析装置からの指示に応じて設定する採取ルール設定手段とを有する。前記分析装置は、前記送信手段により送信された前記採取データを分析した結果、セキュリティインシデント発生の可能性があると判断される場合に、分析結果に応じて前記採取装置に対して前記ルールの変更を指示する採取ルール管理手段を有する。
【図面の簡単な説明】
【0008】
【図1】実施形態の通信データ分析システムの機能構成を示す機能ブロック図。
【図2】実施形態における通信データ分析システムの分析装置と採取装置の詳細な機能構成を示すブロック図。
【図3】実施形態における採取装置の配置例を示す図。
【図4】実施形態における採取装置の配置例を示す図。
【図5】実施形態における実施形態における分析装置の動作を示すフローチャート。
【図6】第1の実施形態における採取装置に設定された採取ルールの具体例を示す図。
【図7】第1の実施形態における採取装置に設定された採取ルールの具体例を示す図。
【図8】第2の実施形態における採取装置に設定された採取ルールの具体例を示す図。
【図9】第2の実施形態における採取装置に設定された採取ルールの具体例を示す図。
【発明を実施するための形態】
【0009】
以下、各実施形態について図面を参照して説明する。
【0010】
(第1の実施形態)図1は、各実施形態に共通する通信データ分析システムの機能構成を示す機能ブロック図である。通信データ分析システムは、図1に示すように、分析装置1と、監視対象システム3内のネットワークに配置された複数の採取装置2(図1では3台の採取装置2−1,2−2,2−3を示す)とを含む。
【0011】
分析装置1は、監視対象システム3内において採取装置により採取された通信データ(採取データ)を受信して、この採取データを用いてセキュリティインシデントの可能性を分析する分析部12と、分析部12により採取データを分析した結果、セキュリティインシデント発生の可能性があると判断される場合に、分析結果に応じて採取装置2に対して、通信データを取得して分析装置1へ送信する採取ルールの変更を指示する採取ルール管理部11とを有している。
【0012】
監視対象システム3は、例えばサーバ、データベース、端末装置(パーソナルコンピュータ)などを含む複数の情報機器31(31−1,31−2,31−3,31−4,31−5,…,31−n)がネットワークを介して接続された構成を有している。監視対象システム3は、例えばインターネットなどを含む外部ネットワーク4と接続されており、ファイアーウォール(FW)32を通じて外部ネットワーク4とデータを送受信する。また、監視対象システム3には、ネットワークに複数のネットワークスイッチ33(図1では、2つのネットワークスイッチ33−1,33−2を示す)が設けられている。複数のネットワークスイッチ33−1,33−2には、それぞれ複数の情報機器31が接続される。
【0013】
採取装置2−1は、ネットワークの通信ケーブルに対して直列に接続され、通信ケーブルに流れる通信データを採取することができる。採取装置2−1は、外部ネットワーク4を通じた外部からの攻撃などのセキュリティインシデントを検出するためにファイアーウォール32と接続されている。また、採取装置2−2,2−3は、ネットワークスイッチ33に接続され、ネットワークスイッチ33を流れる通信データを採取することができる。採取装置2−1,2−2,2−3よる通信データの採取の詳細については後述する(図3、図4参照)。
【0014】
なお、図1では3台の採取装置2−1,2−2,2−3が設けられる構成としているが、監視対象システム3の構成などに応じて、任意の台数をネットワークの各所に配置することができる。また、採取装置2は、ファイアーウォール32との間の通信ケーブルと直列に接続したり、ネットワークスイッチ33−1,33−2に接続したりする他にも、監視対象システム3においてネットワークを流れる通信データを採取可能であれば、他の場所に配置することが可能である。
【0015】
図2は、実施形態における通信データ分析システムの分析装置1と採取装置2−1の詳細な機能構成を示すブロック図である。 図2に示すように、分析装置1の分析部12は、複数の採取装置2−1,2−2,2−3から送信された通信データ(採取データ)を収集する収集部12a、収集部12aによって収集された採取データを分析装置1に設けられた記憶媒体に蓄積する蓄積部12b、蓄積部12bにより蓄積された採取データに対してセキュリティインシデント発生の可能性があるかを分析するデータ分析部12c、データ分析部12cによる分析結果に応じた処理を実行する対応部12dを有する。データ分析部12cは、複数の採取装置2−1,2−2,2−3から採取された通信データ(採取データ)について、採取装置2−1,2−2,2−3毎にセキュリティインシデント発生の可能性があるかを判断することができる。対応部12dは、データ分析部12cによって採取データにセキュリティインシデント発生の可能性があることが検出された場合、警告等を出力する他、採取ルール管理部11に対して分析結果に応じて採取装置2の採取ルールを変更させる。
【0016】
分析装置1の採取ルール管理部11は、分析部12による分析結果に応じて、採取装置2に対して採取ルール変更を指示する。採取ルール管理部11は、分析部12による分析結果に応じて、採取装置2に対して指示すべき採取ルールなどが定義されたデータなどを、例えば採取ルール記憶部11aに記憶しているものとする。採取ルール管理部11は、複数の採取装置2−1,2−2,2−3に対して、例えば1つの採取装置2から収集された採取データについてセキュリティインシデント発生の可能性があると判断された場合、該当する採取装置2に対してのみ採取ルール変更指示を出力しても良いし、複数の採取装置2に対して採取ルール変更指示を出力しても良い。
【0017】
一方、採取装置2−1のデータ処理部23は、採取ルール設定部21によって設定される採取ルールに従って、通信データから採取したデータを採取データとして分析装置1に対して送信する。データ処理部23は、採取ルールに応じて、例えばデータの送信項目、データのサンプリング率、データの送信・非送信を決定し、必要な通信データ(採取データ)のみを分析装置1へ送信する。
【0018】
採取ルール設定部21は、データ処理部23に対して採取ルールを設定するもので、分析装置1の採取ルール管理部11から採取ルール変更指示を受信した場合には、この指示に応じた採取ルールを変更して、データ処理部23により採取され、分析装置1に送信される採取データの情報量を変更することができる。
【0019】
なお、採取装置2−2,2−3は、採取装置2−1と同様の機能を有するものとして詳細な説明を省略する。 次に、採取装置2−1,2−2,2−3による通信データの採取について説明する。
図3は、図1に示す採取装置2−1の配置例を示している。図3に示すように、採取装置2−1は、通信ケーブル31aに対して直列に接続される。採取装置2−1は、通信ケーブルを流れる通信データのうち、採取ルールに応じて分析装置1に送信するデータを決定し、採取データとして分析装置1に送信する。
【0020】
図4は、図1に示す採取装置2−2の配置例を示している。監視対象システム3では、ネットワークスイッチ33−1のポート33−1aに接続されたネットワークに複数の情報機器31が接続されている。情報機器31は、ネットワークスイッチ33−1を介して通信データを送受信する。図4に示すように、採取装置2−2は、ネットワークスイッチ33−1のミラーポート33−1bに接続される。ミラーポート33−1bとは、ネットワークスイッチ33−1において、他のポート33−1aが送受信する通信データを、同時に送出する機能を持ったポートのことである。採取装置2−2は、ミラーポート33−1bより通信データを取り込み、この通信データから採取ルールに応じて採取データを決定して分析装置1に送信する。なお、採取装置2−3は、採取装置2−2と同様にして、ネットワークスイッチ33−2と接続され、ミラーポートから通信データを取り込んで、採取ルールに応じた通信データを採取する。
【0021】
図3及び図4に示す採取装置2−1,2−2,2−3は、監視対象システム3内で使用される通信データのうち、採取ルールに該当する必要な通信データのみを採取データとして分析装置1に送信する。採取ルールは、例えば、通信データのフィールドごとに定められた条件により、採取装置2−1,2−2,2−3が採取する通信データの分析装置1への送信もしくは破棄を決定する条件を示す。採取ルールにより設定されるルールの属性は、例えば「送信元IPアドレス」「宛先IPアドレス」「送信元ポート番号」「プロトコル」「宛先ポート番号」などがあり、各属性の一致、不一致、範囲指定が可能である(採取ルールの具体例については後述する(図6、図7))。
【0022】
次に、本実施形態における通信データ分析システムの動作について説明する。図5は、本実施形態における分析装置1の動作を示すフローチャートである。 監視対象システム3内に配置された採取装置2−1,2−2,2−3は、それぞれ採取ルールに従って、通信データから必要なデータのみを採取データとして分析装置1に送信する。図6は、採取装置2−1,2−2,2−3に設定された採取ルールの具体例を示している。なお、複数の採取装置2−1,2−2,2−3に対して、同じ採取ルールを設定しても良いし、採取装置2−1,2−2,2−3が配置された場所に応じてそれぞれ異なる採取データを設定しても良い。
【0023】
図6に示すように、採取ルールは、複数の属性ごとの条件である値と、それに応じたアクションから構成される。図6の例では、「送信元IPアドレス」が192.168.5.2〜192.168.5.254に一致せず、「宛先IPアドレス」が192.168.5.1に一致し、「宛先ポート番号」が80もしくは443、「プロトコル」がTCPである通信データの場合に、分析装置1に通信データのヘッダ情報のみを採取データとして送信するという「アクション」を取ることを示している。このように、採取装置2−1,2−2,2−3から分析装置1へ送信するデータを絞り込む理由は、採取装置2で取得したすべての通信データを採取装置2から分析装置1へ送信した場合、分析装置1への通信量が膨大になり、それに伴い分析装置1での処理量が大きくなるためである。
【0024】
分析装置1は、分析部12の収集部12aによって各採取装置2−1,2−2,2−3から送信される採取データを受信する(ステップA1)。蓄積部12bは、収集部12aにより受信された採取データを蓄積する(ステップA2)。
【0025】
データ分析部12cは、採取装置2−1,2−2,2−3から受信された採取データについて、あらかじめ設定されたルールを用いてセキュリティインシデントの検出を行う。具体的には、監視対象システム3の正常な利用では想定されない異常な通信データが発生していた場合に、攻撃発生等の疑いがあるものとして、セキュリティインシデントの可能性があると判断する。
【0026】
データ分析部12cによる分析の結果、セキュリティインシデントの可能性がないと判断される場合(ステップA4、No)、分析装置1は、前述と同様にして、採取装置2−1,2−2,2−3から採取データを受信して、この採取データについての分析を継続する(ステップA1〜A3)。
【0027】
一方、データ分析部12cによる分析の結果、セキュリティインシデントの可能性があると判断される場合(ステップA4、Yes)、分析部12の対応部12dは、セキュリティインシデントの可能性があるとの警告を出力すると共に、採取ルール管理部11に対して採取装置2に設定された採取ルールの変更を指示する。
【0028】
採取ルール管理部11は、データ分析部12cにおける分析結果をもとに、セキュリティインシデントの可能性が有ると判断された採取データの採取元である採取装置2について、通信データの取得を強化するため、当該採取装置2における採取ルールを決定し(ステップA5)、当該採取装置2の採取ルール設定部21に対して、再設定する採取ルールへの変更指示を出す(ステップA6)。
【0029】
図7は、図6に示す採取ルールに対して変更された採取ルールの一例を示している。図7に示す採取ルールは、「宛先ポート番号」に対する条件を緩和して、すべてのポート番号の通信データを分析装置1への送信対象にしている。また、「アクション」について、通信データのヘッダ情報のみを採取していたところ、通信データのペイロード情報までを含むすべてのフィールドを分析装置1に送信するように変更している。
【0030】
このように、採取ルール22を分析装置1からの指示により動的に変更することで、セキュリティインシデント発生の可能性の高い箇所から取得する採取データの情報量を増やすことができ、セキュリティインシデントの発生の可能性をより厳密に把握することが可能となるという効果が得られる。
【0031】
分析装置1は、採取ルールが変更されることにより情報量が増大された採取データを当該採取装置2から受信して、前述と同様にして、採取データに対して分析を継続する(ステップA7)。
【0032】
分析装置1の採取ルール管理部11は、採取装置2の採取ルールを変更してから一定時間が経過した後に、分析部12による分析によってセキュリティインシデントの可能性なしと判断された場合(ステップA8、Yes)、当該採取装置2に対して、再度、採取ルール変更指示を発行して、通常時に設定されている元の採取ルールに戻すように指示する(ステップA9)。すなわち、図7に示す採取ルールを、図6に示す採取ルールに変更する。
【0033】
このようにして、第1の実施形態における通信データ分析システムでは、採取装置2から分析装置1へ通信データを送信する際に、採取装置2に設定された採取ルールに応じて、分析装置1における分析に必要な通信データのみを分析装置1へ送信することができる。すなわち、セキュリティインシデントの可能性があると判断された場合にのみ、この判断がされた採取データを送信した採取装置2に対して採取データの情報量を増大させるように採取ルールを動的に決定することができる。従って、採取装置2から分析装置1への通信データの送信量を適正に制御しながら、効果的なセキュリティ監視をすることが可能となる。
【0034】
(第2の実施形態)次に、第2の実施形態について説明する。第2の実施形態における通信データ分析システムの構成は、第1の実施形態で示した図1に示す構成と同じで有るものとして詳細な説明を省略する。
採取装置2から分析装置1に採取データを送信する場合に、採取装置2が採取したデータを即時に分析装置1に転送することは現実的ではなく、一定量もしくは一定時間、採取装置2にバッファリングした後、まとまった量の通信データを分析装置1に送信する実装が考えられる。ただし、この場合には採取したデータが採取装置2に一定時間留まるため、分析装置1では分析のリアルタイム性に欠けるという課題が考えられる。第2の実施形態では、この課題を解決するために、採取装置2から分析装置1への採取データ送信タイミングを動的に変更する。
【0035】
第2の実施形態における分析装置1および採取装置2の基本的な動作は第1の実施形態と同様である。第1の実施形態と異なる点は、採取装置2のデータ処理部23に設定される採取ルールの内容と、採取ルール管理部11から採取ルール設定部21への採取ルール変更指示内容である。具体的には、採取装置2に設定される採取ルールは、図8に示すように、第1の実施形態と同じ「送信元IPアドレス」「宛先IPアドレス」「送信元ポート番号」「プロトコル」「宛先ポート番号」などの属性ごとの条件である値と、それに応じた「アクション」に加え、分析装置1への「送信タイミング」から構成される。
【0036】
図8に示す採取ルールの例では、「送信元IPアドレス」が192.168.5.2〜192.168.5.254に一致せず、「宛先IPアドレス」が192.168.5.1に一致し、「宛先ポート番号」が80もしくは443、「プロトコル」がTCPである通信データの場合に、分析装置1に通信データのヘッダ情報を採取データとして送信するという「アクション」を取ることを示しており、その「送信タイミング」は5分ごともしくは採取装置2でバッファリングしているデータ量が100MByteに達した際に送信することを示している。
【0037】
採取装置2は、採取ルールに応じて通信データを採取してバッファリングし、採取ルールの「送信タイミング」に従ったタイミングでバッファリングしたデータについて、採取データとして分析装置1に送信する。
【0038】
このようにして、採取ルールに設定された「送信タイミング」により採取装置2から送信された通信データを分析装置1が収集し、あらかじめ設定されたルールを用いて分析部12によりセキュリティインシデントの検出を行う。
【0039】
分析装置1の分析部12においてセキュリティインシデントの可能性があると判断された場合、採取ルール管理部11は、この分析の対象となった採取データの送信元である採取装置2からの通信データ取得を強化するため、当該採取装置2の採取ルール設定部21に対して採取ルール変更指示を出す。
【0040】
具体的には、図8に示す採取ルールを図9に示すように「送信タイミング」を変更した採取ルールに変更する。図9に示す採取ルールでは、採取データの送信頻度は1分ごともしくは採取装置2でバッファリングしているデータ量が10MByteに達した際に送信することを示している。すなわち、採取データの送信頻度が増加するように採取ルールを変更している。
【0041】
このように、採取装置2に設定される採取ルールを分析装置1からの指示により動的に変更することで、セキュリティインシデント発生の可能性の高い箇所から取得する情報の取得遅延を短くすることができ、よりリアルタイムに近い形でセキュリティインシデントを検出できるという効果がある。
【0042】
分析装置1の採取ルール管理部11は、採取装置2の採取ルールを変更してから一定時間が経過した後に、当該採取装置2からの採取データについてセキュリティインシデントの可能性なしと判断した場合、再度、採取ルール変更指示を発行し、図9に示す採取ルールを通常時の図8に示す採取ルールに戻す。
【0043】
なお、前述した第2の実施形態では、送信タイミングとして、時間間隔とデータ量の2つの条件を用いた例を示したが、いずれか一方の条件を用いても良い。
【0044】
また、第1及び第2の実施形態では、セキュリティインシデント発生の可能性があると判断された採取データを送信した採取装置2に対して採取ルールを変更しているが、複数の採取装置2に対して採取ルールを変更するようにしても良い。例えば、採取装置2−1から受信された採取データに対する分析によって、セキュリティインシデント発生の可能性があると判断された場合には、前述したように、採取装置2−1の採取ルールを変更して、採取装置2−1から分析装置1に対して送信する通信データの情報量を増大させる。一方、その他の採取装置2−2,2−3に対して、分析装置1に送信する通信データの情報量を減らすように採取ルールを変更する。これにより、採取装置2−1,2−2,2−3から分析装置1に対して送信する全体の情報量が大きく増大しないようにできるため、分析装置1における処理負荷も大きく増大しないようにできる。
【0045】
また、セキュリティインシデント発生の可能性が検出された場合には、一時的に採取装置2−1,2−2,2−3から分析装置1へ送信する情報量の増大を許容可能であれば、採取装置2−1だけでなく、採取装置2−2,2−3に対しても分析装置1に送信する通信データの情報量が増大するように採取ルールを変更するようにしても良い。これにより、セキュリティインシデント発生の可能性に対して、適切に対処することが可能となる。
【0046】
なお、前述した説明では、第1の実施形態と第2の実施形態とを個別に説明しているが、各実施形態を組み合わせて実施することも可能である。例えば、複数の採取装置2のうち第1の実施形態に従い採取データを分析装置1に送信する採取装置2と、第2の実施形態に従い採取データを分析装置1に送信する採取装置2とが混在していても良い。
【0047】
また、前述した説明では、監視対象システム3のネットワークを流れる通信データを採取するとしているが、監視対象システム3において採取可能な他の通信データを採取データとして分析装置1に送信するようしても良い。例えば、ファイアーウォール32(あるいはIPS(Intrusion Prevention System):侵入防御システム等)などによって記録されるログデータや、ネットワークの利用状況を監視するトラフィック監視ツール等などによって記録されるフロー情報を、分析装置1における分析対象とする採取データとして分析装置1に送信することも可能である。この場合、分析装置1は、採取装置2から送信されるログデータやフロー情報などに対して分析可能な機能を有し、この分析結果に応じて、前述と同様にして、採取装置2における採取ルールを変更することができるものとする。また、ログデータや通信フローを採取する採取装置2は、監視対象システム3に含まれるファイアーウォール32や情報機器31に組み込まれた装置、あるいはファイアーウォール32や情報機器31において通信データ分析プログラムを実行することにより実現される機能として提供することができる。
【0048】
このようにして、本実施形態における分析システムでは、採取装置2から分析装置1へ通信データを送信する際に、採取装置2に設定された採取ルールに応じて、データの送信・非送信、データの送信項目、データの送信頻度を決定し、必要なデータのみを分析装置1へ送信することができる。この採取ルールは、分析装置1からの指示により動的に決定することができる。分析装置1は、採取装置2から取得した通信データ(採取データ)から、監視対象システム3におけるセキュリティインシデント発生可能性を分析し、インシデント発生可能性が高い箇所の通信データを集中して収集できるように採取ルールの設定を動的に変更する。
【0049】
このように動的に採取ルールの設定を変更することで、分析装置1へ送信するデータ量を抑えつつ、セキュリティインシデントの発生可能性が高いと判断した箇所について集中的にデータを収集することが可能となるため、効率的なセキュリティインシデントの分析が可能となる。
【0050】
なお、上記の各実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フレキシブルディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0051】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0052】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0053】
さらに、各実施形態における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0054】
また、記憶媒体は1つに限らず、複数の媒体から上記の各実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0055】
なお、各実施形態におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記の各実施形態における各処理を実行するものであって、パーソナルコンピュータ等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0056】
また、各実施形態におけるコンピュータとは、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0057】
なお、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0058】
1…分析装置、2(2−1,2−2,2−3)…採取装置、3…監視対象システム、11…採取ルール管理部、12…分析部、21…採取ルール設定部、23…データ処理部。