特許6106861 | 知財ポータル「IP Force」

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社ＰＦＵの特許一覧

特許6106861ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム

書誌要約請求の範囲詳細な説明課題実施例実施するための形態図面の説明

目に優しい文字サイズ小中大 PDF Top

< >

1
2
3
4
5
6
7
8
9
10
11
12

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B1)

(11)【特許番号】6106861

(24)【登録日】2017年3月17日

(45)【発行日】2017年4月5日

(54)【発明の名称】ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム

(51)【国際特許分類】

G06F 13/00 20060101AFI20170327BHJP

H04L 12/66 20060101ALI20170327BHJP

【ＦＩ】

G06F13/00 351Z

H04L12/66 B

【請求項の数】11

【全頁数】18

(21)【出願番号】特願2015-252245(P2015-252245)

(22)【出願日】2015年12月24日

【審査請求日】2016年1月12日

(73)【特許権者】

【識別番号】000136136

【氏名又は名称】株式会社ＰＦＵ

(74)【代理人】

【識別番号】100137394

【弁理士】

【氏名又は名称】横井敏弘

(72)【発明者】

【氏名】田中直行

【審査官】寺谷大亮

(56)【参考文献】

【文献】特開２００５−０３９７２１（ＪＰ，Ａ）

【文献】特開２００９−１８８５５６（ＪＰ，Ａ）

【文献】特開２０１１−１３８２２９（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ１３／００

Ｈ０４Ｌ１２／６６

(57)【特許請求の範囲】

【請求項1】

マルウェアに感染した感染端末のネットワーク通信を検出するための定義情報を登録時に関連付けて格納する定義情報データベースと、
マルウェアの侵入が検知された場合に、検知されたマルウェアに関連する脅威情報に基づいて、前記定義情報データベースに定義情報を登録する定義登録部と、
前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、
前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部と
を有するネットワークセキュリティ装置。

【請求項2】

前記削除部は、いずれかの定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する
請求項１に記載のネットワークセキュリティ装置。

【請求項3】

前記削除部は、前記定義情報データベースに登録されている定義情報の件数が既定数に達した場合に、定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する
請求項１に記載のネットワークセキュリティ装置。

【請求項4】

前記削除部は、前記定義情報データベースに登録されている定義情報のうち、前記監視部により最後に検知されたタイミング、又は、登録時から既定期間経過した定義情報を有効期限切れと判定して削除する
請求項２に記載のネットワークセキュリティ装置。

【請求項5】

外部から、サイバー攻撃を示唆する脅威情報を受信する受信処理部と、
前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部と
をさらに有し、
前記定義登録部は、前記作成処理部により作成された定義情報を前記定義情報データベースに追加登録する
請求項１に記載のネットワークセキュリティ装置。

【請求項6】

前記作成処理部は、受信した脅威情報に基づいて、一部がワイルドカード文字で置換されたＨＴＴＰパスを前記定義情報として作成する
請求項５に記載のネットワークセキュリティ装置。

【請求項7】

前記作成処理部は、受信した一つの脅威情報について、中継サーバが異なる複数の定義情報を作成する
請求項５に記載のネットワークセキュリティ装置。

【請求項8】

ユーザの指示に応じて、前記定義情報データベースに登録可能な定義情報の上限数を設定する上限設定部
をさらに有し、
前記削除部は、前記定義情報データベースに登録される定義情報が、前記上限設定部により設定された上限数以下となるように、登録されている定義情報を削除する
請求項３に記載のネットワークセキュリティ装置。

【請求項9】

マルウェアの侵入を検知する検知装置と、ネットワークセキュリティ装置とを含むセキュリティシステムであって、
前記検知装置は、マルウェアの侵入を検知した場合に、検知されたマルウェアに関連する脅威情報を前記ネットワークセキュリティ装置に送信し、
前記ネットワークセキュリティ装置は、
前記検知装置から送信された脅威情報を受信する受信処理部と、
マルウェアの侵入が検知された場合に、前記受信処理部により受信された脅威情報に基づいて、マルウェアに感染した感染端末のネットワーク通信を検出するための定義情報を作成する作成処理部と、
前記定義情報を登録時に関連付けて格納する定義情報データベースと、
前記定義情報データベースに、前記作成処理部により作成された定義情報を追加登録する定義登録部と、
前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、
前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部と
を有する
セキュリティシステム。

【請求項10】

マルウェアの侵入が検知された場合に、検知されたマルウェアに関連する脅威情報に基づいて、マルウェアに感染した感染端末のネットワーク通信を検出するための定義情報を作成する作成ステップと、
定義情報データベースに、作成された定義情報を登録時に関連付けて登録する定義登録ステップと、
前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、
前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップと
を有するネットワークセキュリティ方法。

【請求項11】

マルウェアの侵入が検知された場合に、検知されたマルウェアに関連する脅威情報に基づいて、マルウェアに感染した感染端末のネットワーク通信を検出するための定義情報を作成する作成ステップと、
定義情報データベースに、作成された定義情報を登録時に関連付けて登録する定義登録ステップと、
前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、
前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップと
をコンピュータに実行させるプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラムに関する。

【背景技術】

【0002】

例えば、特許文献１には、ネットワークを介して複数の防御手段と複数の検知手段に接続された管理手段に、いずれかの検知手段で検知された不正アクセスの情報を受信し、その情報に基づいて、当該不正アクセスに対する対策を実施すべき防御手段と、各防御手段に対する防御対策の内容を決定し、各防御手段に対して前記決定した防御対策を実施すべき旨の指示を行う処理を実行させる不正アクセス防止プログラムが開示されている。

【0003】

また、特許文献２には、ポリシ保持部１３に保持されたポリシに従って外部からのアクセスを制限するファイアウォール装置１０と、ＤＭＺセグメント１８に置かれ不正アクセスを検出してログをポリシ管理装置３０に通報する侵入検知装置２０と、内部セグメント１９に置かれログを自形式のログに変換するログ形式変換部３１と、変換したログに基づいて不正アクセスを禁止するポリシを作成するポリシ作成部３３と、作成したポリシをファイアウォール装置１０形式のポリシに変換してファイアウォール装置１０に送ってポリシ保持部１３に適用するポリシ形式変換部３４を有するポリシ管理装置３０を有する不正アクセス防御システムが開示されている。

【先行技術文献】

【特許文献】

【0004】

【特許文献1】特開２００３−２８８２８２

【特許文献2】特開２００５−０７１２１８

【発明の概要】

【発明が解決しようとする課題】

【0005】

通信性能に配慮しながら、ネットワーク通信を監視するセキュリティシステムを提供することを目的とする。

【課題を解決するための手段】

【0006】

本発明に係るネットワークセキュリティ装置は、サイバー攻撃を検出するための定義情報を登録時に関連付けて格納する定義情報データベースと、前記定義情報データベースに定義情報を登録する定義登録部と、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部とを有する。

【0007】

好適には、前記削除部は、いずれかの定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する。

【0008】

好適には、前記削除部は、前記定義情報データベースに登録されている定義情報の件数が既定数に達した場合に、定義情報に対応する通信が前記監視部により検知されたタイミングと、前記定義情報データベースに登録されている登録時とに基づいて、前記定義情報データベースに登録されている定義情報を削除する。

【0009】

好適には、前記削除部は、前記定義情報データベースに登録されている定義情報のうち、前記監視部により最後に検知されたタイミング、又は、登録時から既定期間経過した定義情報を有効期限切れと判定して削除する。

【0010】

好適には、外部から、サイバー攻撃を示唆する脅威情報を受信する受信処理部と、前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部とをさらに有し、前記定義登録部は、前記作成処理部により作成された定義情報を前記定義情報データベースに追加登録する。

【0011】

好適には、前記作成処理部は、受信した脅威情報に基づいて、一部がワイルドカード文字で置換されたＨＴＴＰパスを前記定義情報として作成する。

【0012】

好適には、前記作成処理部は、受信した一つの脅威情報について、中継サーバが異なる複数の定義情報を作成する。

【0013】

好適には、ユーザの指示に応じて、前記定義情報データベースに登録可能な定義情報の上限数を設定する上限設定部をさらに有し、前記削除部は、前記定義情報データベースに登録される定義情報が、前記上限設定部により設定された上限数以下となるように、登録されている定義情報を削除する。

【0014】

本発明に係るセキュリティシステムは、マルウェアの侵入を検知する検知装置と、ネットワークセキュリティ装置とを含むセキュリティシステムであって、前記検知装置は、マルウェアの侵入を検知した場合に、検知されたマルウェアに関連する脅威情報を前記ネットワークセキュリティ装置に送信し、前記ネットワークセキュリティ装置は、前記検知装置から送信された脅威情報を受信する受信処理部と、前記受信処理部により受信された脅威情報に基づいて、定義情報を作成する作成処理部と、定義情報を登録時に関連付けて格納する定義情報データベースと、前記定義情報データベースに、前記作成処理部により作成された定義情報を追加登録する定義登録部と、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除部とを有する。

【0015】

本発明に係るネットワークセキュリティ方法は、定義情報データベースに、サイバー攻撃を検出するための定義情報を登録時に関連付けて登録する定義登録ステップと、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップとを有する。

【0016】

本発明に係るプログラムは、定義情報データベースに、サイバー攻撃を検出するための定義情報を登録時に関連付けて登録する定義登録ステップと、前記定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視ステップと、前記定義情報データベースに格納されている登録時に基づいて、前記定義情報データベースから、定義情報を削除する削除ステップとをコンピュータに実行させる。

【発明の効果】

【0017】

通信性能に配慮しながら、ネットワーク通信を監視するセキュリティシステムを提供できる。

【図面の簡単な説明】

【0018】

【図1】情報処理システム１のハードウェア構成を例示する図である。

【図2】ネットワークセキュリティ装置４のハードウェア構成を例示する図である。

【図3】ネットワークセキュリティ装置４の機能構成を例示する図である。

【図4】検知装置３から通知される脅威情報を例示する図である。

【図5】（Ａ）は、攻撃防御ポリシＤＢ６００に登録される攻撃防御ポリシを例示し、（Ｂ）は、攻撃防御ルールＤＢ６１０に登録される攻撃防御ルールを例示する図である。

【図6】（Ａ）は、検知装置３から通知される脅威情報に含まれるＨＴＴＰ情報を例示し、（Ｂ）は、この脅威情報に基づいて作成されるフィルター条件を例示する図である。

【図7】（Ａ）は、クエリデータが含まれた脅威情報のＨＴＴＰパスを例示し、（Ｂ）は、クエリデータがワイルドカード文字に置換されたフィルター条件を例示する図である。

【図8】最大検知間隔と有効期間との関係を説明する図である。

【図9】攻撃防御ルール作成処理（Ｓ１０）のフローチャートである。

【図10】アクセス制御処理（Ｓ２０）のフローチャートである。

【図11】検知イベント処理（Ｓ３０）のフローチャートである。

【図12】有効期限検査処理（Ｓ４０）のフローチャートである。

【発明を実施するための形態】

【0019】

以下、本発明の実施形態を、図面を参照して説明する。
図１は、情報処理システム１のハードウェア構成を例示する図である。
図１に例示するように、情報処理システム１は、検知装置３と、ネットワークセキュリティ装置４とを含む。情報処理システム１は、本発明に係るセキュリティシステムの一例である。
ネットワークセキュリティ装置４により保護される内部ネットワークには、コンピュータ端末８が接続されている。
検知装置３は、内部ネットワークにおける通信を監視して、内部ネットワークに侵入したマルウェアを検知し、検知されたマルウェアに関する脅威情報をネットワークセキュリティ装置４に通知する。ここで、脅威情報とは、サイバー攻撃を示唆する情報であり、例えば、マルウェアにより引き起こされる不正動作に関連する情報である。
本例の検知装置３は、内部ネットワークのネットワークスイッチ７のミラーポート又はネットワークタップに接続されており、内部ネットワーク内のネットワークトラフィックを検査する。

【0020】

ネットワークセキュリティ装置４は、セキュリティ機能を有するコンピュータである。例えば、ネットワークセキュリティ装置４は、ファイアウォール装置、ＩＰＳ装置（Intrusion Prevention System）装置、Ｗｅｂコンテンツフィルタリング装置、又は、複数の異なるセキュリティ機能を一つのハードウェアに統合したＵＴＭアプライアンスである。本例のネットワークセキュリティ装置４は、内部ネットワークと外部ネットワークとの間に接続され、Ｃ＆Ｃサーバ９へのバックドア通信を遮断する。Ｃ＆Ｃサーバ９とは、マルウェアに感染しボットと化したコンピュータ群（ボットネット）に指令を送り、制御の中心となるサーバである。

【0021】

本例では、内部ネットワークに接続されたコンピュータ端末８Ａがマルウェアに感染して、ボットとなっている。検知装置３は、内部ネットワークのネットワークトラフィックを監視して、コンピュータ端末８Ａに感染したマルウェアを検知すると、その脅威情報をネットワークセキュリティ装置４に通知する。ネットワークセキュリティ装置４は、検知装置３から通知された脅威情報に基づいて、攻撃防御ルールを自動で作成し、追加登録し、登録されている攻撃防御ルールに従って、通信の遮断等を行う。このように、検知装置３とネットワークセキュリティ装置４が連携して、ボット化したコンピュータ端末８ＡからＣ＆Ｃサーバ９へのバックドア通信を遮断する。

【0022】

図２は、ネットワークセキュリティ装置４のハードウェア構成を例示する図である。
図２に例示するように、ネットワークセキュリティ装置４は、ＣＰＵ４００、メモリ４０２、ＨＤＤ４０４、及び、ネットワークインタフェース４０６（ネットワークＩＦ４０６）を有し、これらの構成はバス４１２を介して互いに接続している。
ＣＰＵ４００は、例えば、中央演算装置である。
メモリ４０２は、例えば、揮発性メモリであり、主記憶装置として機能する。
ＨＤＤ４０４は、例えば、ハードディスクドライブ装置であり、不揮発性の記録装置としてコンピュータプログラムやその他のデータファイルを格納する。
ネットワークＩＦ４０６は、有線又は無線で通信するためのインタフェースであり、インターネットを介した携帯端末３との通信を実現する。

【0023】

図３は、ネットワークセキュリティ装置４の機能構成を例示する図である。
図３に例示するように、本例のネットワークセキュリティ装置４には、セキュリティプログラム５がインストールされると共に、攻撃防御ポリシデータベース６００（攻撃防御ポリシＤＢ６００）及び攻撃防御ルールデータベース６１０（攻撃防御ルールＤＢ６１０）が構成される。なお、攻撃防御ルールＤＢ６１０は、本発明に係る定義情報データベースの一例である。
セキュリティプログラム５は、受信処理部５００、ルール作成処理部５１０、アクセス制御部５２０、検知イベント処理部５３０、有効期限検査処理部５４０、上限設定部５５０、及び期限延長部５６０を有する。
なお、セキュリティプログラム５の一部又は全部は、ＡＳＩＣなどのハードウェアにより実現されてもよい。

【0024】

セキュリティプログラム５において、受信処理部５００は、外部から、サイバー攻撃を示唆する脅威情報を受信する。本例の受信処理部５００は、検知装置３から、検知されたマルウェアに関連する脅威情報を受信する。さらに、本例の受信処理部５００は、受信した脅威情報と、攻撃防御ポリシＤＢ６００に登録されている攻撃防御ポリシのフィルター条件とを比較して、攻撃防御方法を指示する情報をルール作成処理部５１０に通知する。

【0025】

ルール作成処理部５１０は、受信処理部５００により受信された脅威情報に基づいて、攻撃防御ルールを作成し、作成された攻撃防御ルールを攻撃防御ルールＤＢ６１０に追加登録する。ルール作成処理部５１０は、本発明に係る作成処理部及び定義登録部の一例である。攻撃防御ルールには、サイバー攻撃を検出するための定義情報（後述するフィルター条件）と、この定義情報に合致する通信が検知された場合の対応方法（後述する動作モード及び監視レベル）とが含まれている。

【0026】

ルール作成処理部５１０は、受信した脅威情報に基づいて、一部がワイルドカード文字で置換されたＨＴＴＰパスをフィルター条件として作成する。本例のルール作成処理部５１０は、受信した脅威情報に含まれるＨＴＴＰパスのうち、クエリデータの部分をワイルドカード文字に置換して、フィルター条件とする。
また、ルール作成処理部５１０は、受信した一つの脅威情報について、中継サーバが異なる複数の攻撃防御ルールを作成する。本例のルール作成処理部５１０は、受信した一つの脅威情報に含まれるＨＴＴＰ情報について、プロキシ接続用のフィルター条件と、Ｗｅｂサーバ接続用のフィルター条件とを作成する。
なお、ルール作成処理部５１０は、同じフィルター条件で攻撃防御ルールが攻撃防御ルールＤＢ６１０に登録されている場合には、新たな攻撃防御ルールを登録しない。例えば、クエリデータの部分をワイルドカード文字で単純化した結果、同じフィルター条件となる場合もあるが、このような重複登録を防止する。

【0027】

アクセス制御部５２０は、攻撃防御ルールＤＢ６１０に格納されているフィルター条件（定義情報）を用いて、ネットワーク通信を監視する。アクセス制御部５２０は、本発明に係る監視部の一例である。より具体的には、アクセス制御部５２０は、攻撃防御ルールＤＢ６１０に格納されている攻撃防御ルールのフィルター条件を用いて、ネットワーク通信を監視し、フィルター条件に合致する通信が検知された場合に、この攻撃防御ルールに従った対応（通信の遮断、ログの記録）をとる。

【0028】

検知イベント処理部５３０は、アクセス制御部５２０により検知された検知履歴を攻撃防御ルールＤＢ６１０に登録する。本例の検知イベント処理部５３０は、アクセス制御部５２０によりフィルター条件に合致すると判定された通信の検知回数及び検知日時を攻撃防御ルールＤＢ６１０内で更新する。

【0029】

有効期限検査処理部５４０は、いずれかのフィルター条件（定義情報）に対応する通信がアクセス制御部５２０により検知されたタイミングと、攻撃防御ルールＤＢ６１０に登録されている攻撃防御ルールの登録時とに基づいて、攻撃防御ルールＤＢ６１０に登録されている攻撃防御ルールを削除する。有効期限検査処理部５４０は、本発明に係る削除部の一例である。より具体的には、有効期限検査処理部５４０は、攻撃防御ルールＤＢ６１０に登録されている攻撃防御ルールのうち、アクセス制御部５２０により最後に検知されたタイミング、又は、攻撃防御ルールＤＢ６１０に登録された登録時から既定期間経過した攻撃防御ルールを有効期限切れと判定して削除する。

【0030】

また、有効期限検査処理部５４０は、攻撃防御ルールＤＢ６１０に登録されている攻撃防御ルールの件数が上限数に達した場合に、アクセス制御部５２０により検知されたタイミングと、攻撃防御ルールＤＢ６１０に登録されている登録時とに基づいて、最終の検知タイミング又は登録時が古いものから順に、攻撃防御ルールを削除し、攻撃防御ルールの登録数を上限数以下にする。

【0031】

上限設定部５５０は、ユーザの指示に応じて、攻撃防御ルールＤＢ６１０に登録可能な攻撃防御ルールの上限数を設定する。例えば、上限設定部５５０は、ユーザが入力したトランザクション性能に応じて、攻撃防御ルールＤＢ６１０に登録可能な攻撃防御ルールの上限数を設定する。攻撃防御ルールの上限数が小さく設定された場合、検査するフィルター条件が少なくなるため、通信性能の劣化が抑制される。仮に、削除した攻撃防御ルールに対応するＣ＆Ｃサーバへの通信が行われたとしても、検知装置３で検知され、新たに攻撃防御ルールとして登録されるため、以降の通信は遮断されうる。

【0032】

期限延長部５６０は、図８を参照して後述するように、感染端末毎の検知履歴（検知装置３による検知の履歴）に基づいて、感染端末毎の最大検知間隔を算出し、算出された最大検知間隔に基づいて、攻撃防御ルールに設定された有効期間（有効日数）を延長する。本例の期限延長部５６０は、算出された最大検知間隔が、攻撃防御ルールに設定された有効期間よりも大きい場合に、この最大検知間隔を有効期間とする。

【0033】

図４は、検知装置３から通知される脅威情報を例示する図である。
図４に例示するように、本例では、脅威情報として、脅威の種類を示す脅威タイプ、マルウェアの名称であるマルウェア名、脅威のレベル、脅威情報の詳細情報を表示するＵＲＬである脅威情報ＵＲＬ、マルウェアに感染したコンピュータ端末に関する情報（ＩＰアドレス、検知された通信時のポート番号、ＭＡＣアドレス）、Ｃ＆Ｃサーバ９に関する情報（接続先のＩＰアドレス、接続先のポート番号、ＨＴＴＰ情報）、マルウェアの配布元（ダウンロードしたマルウェアのｍｄ５ｓｕｍ、及び、ＨＴＴＰ情報）、及び、感染端末の接続先情報（接続先のＩＰアドレス、接続先のポート番号）が通知される。
脅威タイプには、例えば、「Ｃ＆Ｃサーバへの接続」、「マルウェアの検知」、「過去に検知していないＷｅｂブラウザ又はアプリケーションの脆弱性を利用した攻撃」、及び「既知の脅威」などの脅威の種類が含まれる。
マルウェア名は、一般化されたマルウェア名が通知されるが、マルウェア名が未登録である場合には、脅威タイプ毎に固定の名前が通知される。
脅威のレベルには、例えば、「Ｍｉｎｏｒ」、「Ｍａｊｏｒ」、「Ｃｒｉｔｉｃａｌ」のように、順に脅威レベルが高くなる３段階が設定されており、これらのいずれかが通知される。
Ｃ＆Ｃサーバ９に関する情報は、プロキシである場合がある。また、Ｃ＆Ｃサーバ９のＨＴＴＰ情報には、例えば、ＨＴＴＰ通信のＵＲＬとＨＴＴＰヘッダが含まれる。
マルウェアの配布元のＨＴＴＰ情報には、例えば、配布サーバへのＨＴＴＰ通信のＵＲＬとＨＴＴＰヘッダが含まれる。
感染端末の接続先情報は、プロキシである場合がある。

【0034】

図５（Ａ）は、攻撃防御ポリシＤＢ６００に登録される攻撃防御ポリシを例示し、図５（Ｂ）は、攻撃防御ルールＤＢ６１０に登録される攻撃防御ルールを例示する図である。
攻撃防御ポリシＤＢ６００には、ユーザが設定した攻撃防御ポリシが登録される。攻撃防御ポリシＤＢ６００に登録される攻撃防御ポリシには、攻撃防御ポリシの優先順序を示す「識別番号」と、「脅威情報のフィルター条件」と、対応方法を指定する「動作モード」と、攻撃防御ルールの有効期間を示す「有効日数」とが含まれる。「脅威情報のフィルター条件」には、脅威情報の脅威タイプと、マルウェア名とが含まれる。マルウェア名は、一部をワイルドカード文字で、又は、正規表現で設定される。
「動作モード」には、「防御」、「検知」又は「無視」が設定される。「防御」が設定された場合、検知された脅威情報について、通信を遮断する攻撃防御ルールが作成される。「検知」が設定された場合、検知された脅威情報について、通信を検知する攻撃防御ルールが作成される。「無視」が設定された場合、攻撃防御ルールが生成されない。
「有効日数」は、例えば、感染端末のクリーンインストールに要する作業日数と、他端末への感染が無いことを監視する期間とを合算して設定される。
受信処理部５００は、検知装置３から脅威情報を受信すると、受信した脅威情報と、攻撃防御ポリシＤＢ６００に登録されている攻撃防御ポリシのフィルター条件とを比較して、フィルター条件に合致する攻撃防御ポリシに含まれる動作モード及び有効日数を、脅威情報と共にルール作成部５１０に通知する。

【0035】

ルール作成処理部５１０は、受信処理部５００から、動作モード及び有効日数が脅威情報と共に通知されると、これらの情報に従って、図５（Ｂ）に例示する攻撃防御ルールを作成し、作成された攻撃防御ルールを攻撃防御ルールＤＢ６１０に追加登録する。
攻撃防御ルールＤＢ６１０に登録される攻撃防御ルールには、攻撃防御ルールを一意に識別するための「識別番号」と、Ｃ＆Ｃサーバ又はマルウェア配布サーバを特定するための「フィルター条件」と、対処方法を指定する「動作モード」と、監視の内容を指定する「監査レベル」と、「Ｃ＆ＣサーバのＵＲＬ」と、脅威情報の詳細情報を表示する「脅威情報のＵＲＬ」と、攻撃防御ルールの有効期間を示す「有効日数」と、攻撃防御ルールの有効期限を示す「有効期限日」と、攻撃防御ルールの登録時を示す「作成日時」と、攻撃防御ルールの「更新日時」と、フィルター条件に合致した通信の検知回数を示す「検知回数」と、フィルター条件に合致した通信を最後に検知した日時を示す「最終検知日時」と、感染端末毎の検知間隔を記録する「端末毎の検知履歴」とが含まれる。
「識別番号」は、例えば、ルール作成処理部５１０により付与されるシリアル番号である。
「フィルター条件」は、脅威情報に基づいてルール作成処理部５１０により作成される定義情報であり、ワイルドカード文字によりクエリ部分が単純化され、かつ、プロキシ接続用及びＷｅｂサーバ接続用に重複して作成されたものである。
「動作モード」及び「監査レベル」は、攻撃防御ポリシに従って定義される対応方法である。
「Ｃ＆ＣサーバのＵＲＬ」は、フィルター条件をＵＲＬ形式に変換した文字列である。
「有効日数」は、攻撃防御ポリシの「有効日数」に従って設定された攻撃防御ルールの有効期間、又は、期限延長部５６０により延長された有効期間である。
「有効期限日」は、攻撃防御ルールの登録時（「作成日時」）又は「最終検知日時」のより遅い方に、「有効日数」を加算したものである。
「検知回数」及び「最終検知日時」は、検知イベント処理部５３０により更新される値である。「端末毎の検知履歴」は、期限延長部５６０により更新される値である。

【0036】

図６（Ａ）は、検知装置３から通知される脅威情報に含まれるＨＴＴＰ情報を例示し、図６（Ｂ）は、この脅威情報に基づいて作成されるフィルター条件を例示する図である。
ルール作成処理部５１０は、図６（Ａ）に例示する脅威情報のＨＴＴＰ情報に基づいて、図６（Ｂ）に例示する攻撃防御ルールのフィルター条件を作成する。すなわち、脅威情報のＨＴＴＰ情報には、Ｃ＆Ｃサーバ９又はマルウェア配布サーバが含まれているが、図６（Ａ）に例示するように、プロキシがある場合と無い場合とで異なるため、攻撃防御ルールのフィルター条件は、図６（Ｂ）に例示するように、Ｗｅｂサーバ接続用のフィルター条件と、プロキシ接続用のフィルター条件との論理和（ＯＲ）となる。
なお、Ｗｅｂサーバ接続用のフィルター条件は、ＨＴＴＰパスとＨＯＳＴヘッダの論理積（ＡＮＤ）とし、プロキシ接続用のフィルター条件は、ＨＴＴＰパスをプロキシ形式にする。

【0037】

図７（Ａ）は、クエリデータが含まれた脅威情報のＨＴＴＰパスを例示し、図７（Ｂ）は、クエリデータがワイルドカード文字に置換されたフィルター条件を例示する図である。
ルール作成処理部５１０は、図７（Ａ）に例示するように、脅威情報のＨＴＴＰパスにクエリデータが含まれている場合に、図７（Ｂ）に例示するように、クエリデータの部分をワイルドカード文字に置換してフィルター条件とする。ここで、ワイルドカード文字とは、任意の文字列を示す文字であり、本例では「＊」である。
これにより、Ｃ＆Ｃサーバへの通信において、端末によってクエリデータが異なる場合もあるが、ワイルドカード文字による単純化によって、フィルター条件の一致確率が高くなる。

【0038】

図８は、最大検知間隔と有効期間との関係を説明する図である。
図８に例示するように、有効期限検査処理部５４０は、各攻撃防御ルールについて、最終検知日（「検知（６）」の日）に、攻撃防御ルールの「有効日数」を加算して、有効期限日を設定し、有効期限日が到来した攻撃防御ルールを無効化する。
一方で、期限延長部５６０は、感染端末毎の検知間隔（最初に検知された時から最後に検知された時までの間隔）を算出し、算出された感染端末毎の検知間隔のうち、最大の検知間隔（最大検知間隔）が有効日数よりも大きい場合に、有効日数を最大検知間隔に更新して、有効期限日を延長する。最大検知間隔は、攻撃者の初期侵入から再侵入の期間とみなすことができ、最大検知間隔より有効日数が短い場合、マルウェアが未対処の可能性があると判断し、期限延長部５６０が有効期限日を延長する。
なお、マルウェアが長期潜伏型で、攻撃防御ルールが無効化された後に活動を再開した場合、検知装置３が再度これを検知してネットワークセキュリティ装置４に通知し、ネットワークセキュリティ装置４では、再度、このマルウェアに対応する攻撃防御ルールが登録される。

【0039】

図９は、攻撃防御ルール作成処理（Ｓ１０）のフローチャートである。
図９に示すように、ステップ１００（Ｓ１００）において、ネットワークセキュリティ装置４の受信処理部５００は、検知装置３から接続要求があるまで待機し（Ｓ１００：Ｎｏ）、接続要求があるとＳ１０２の処理に移行する。検知装置３は、ＨＴＴＰＳでネットワークセキュリティ装置４に接続し、脅威情報を送信する。

【0040】

ステップ１０２（Ｓ１０２）において、受信処理部５００は、Ｗｅｂ−ＡＰＩを介して、検知装置３から脅威情報を受信する。脅威情報は、例えば、ＸＭＬフォーマットである。
ステップ１０４（Ｓ１０４）において、受信処理部５００は、受信した脅威情報のＸＭＬを解析し、脅威タイプ、マルウェア名、及びＨＴＴＰ情報を抽出する。

【0041】

ステップ１０６（Ｓ１０６）において、受信処理部５００は、抽出された脅威タイプ、マルウェア名、及びＨＴＴＰ情報と、攻撃防御ポリシのフィルター条件とを比較する。
ステップ１０８（Ｓ１０８）において、受信処理部５００は、脅威情報から抽出された脅威タイプ、マルウェア名、及びＨＴＴＰ情報が、攻撃防御ポリシのフィルター条件と一致しない場合には、Ｓ１０６に戻って、次の攻撃防御ポリシのフィルター条件との比較処理に移り、全ての攻撃防御ポリシのフィルター条件と一致しなかった場合に、脅威情報を破棄して、Ｓ１００の処理に戻る。
受信処理部５００は、脅威情報から抽出された脅威タイプ、マルウェア名、及びＨＴＴＰ情報が、いずれかの攻撃防御ポリシのフィルター条件と一致した場合には、Ｓ１１０の処理に移行する。
なお、攻撃防御ポリシの「動作モード」が「無視」である場合も、受信処理部５００は、脅威情報を破棄して、Ｓ１００の処理に戻る。

【0042】

ステップ１１０（Ｓ１１０）において、ルール作成処理部５１０は、受信処理部５００により受信された脅威情報と、これに合致した攻撃防御ポリシとに基づいて、攻撃防御ルールを作成する。作成される攻撃防御ルールには、ＨＴＴＰパスの一部がワイルドカード文字で単純化されたプロキシ接続用のフィルター条件及びＷｅｂサーバ接続用のフィルター条件が含まれる。
ステップ１１２（Ｓ１１２）において、ルール作成処理部５１０は、作成された攻撃防御ルールが、攻撃防御ルールＤＢ６１０に既に登録されていないか確認する。
ステップ１１４（Ｓ１１４）において、ルール作成処理部５１０は、作成された攻撃防御ルールが、攻撃防御ルールＤＢ６１０に既に登録されている場合、攻撃防御ルールを追加登録せず、Ｓ１００の処理に戻り、作成された攻撃防御ルールが、攻撃防御ルールＤＢ６１０に既に登録されていない場合、Ｓ１１６の処理に移行する。

【0043】

ステップ１１６（Ｓ１１６）において、有効期限検査処理部５４０は、攻撃防御ルールＤＢ６１０に登録されている攻撃防御ルールの件数が、設定された上限数に達しているか否かをチェックする。
ステップ１１８（Ｓ１１８）において、有効期限検査処理部５４０は、登録されている攻撃防御ルールの件数が上限数に達している場合に、Ｓ１２０の処理に移行し、攻撃防御ルールの登録件数が上限値に達していない場合に、Ｓ１２２の処理に移行する。
ステップ１２０（Ｓ１２０）において、有効期限検査処理部５４０は、アクセス制御部５２０により検知されたタイミングと、攻撃防御ルールＤＢ６１０に登録されている登録時とに基づいて、最終の検知タイミング（検知タイミングが無い場合は、登録時）が古いものから順に、攻撃防御ルールを削除し、攻撃防御ルールの登録数を上限数以下にする。

【0044】

ステップ１２２（Ｓ１２２）において、ルール作成処理部５１０は、攻撃防御ルールの識別番号を採番する。
ステップ１２４（Ｓ１２４）において、ルール作成処理部５１０は、作成した攻撃防御ルールの「有効日数」に、攻撃防御ポリシの「有効日数」を設定する。
ステップ１２６（Ｓ１２６）において、ルール作成処理部５１０は、作成した攻撃防御ルールを、「作成日時」に関連付けて攻撃防御ルールＤＢ６１０に追加登録する。

【0045】

ステップ１２８（Ｓ１２８）において、ルール作成処理部５１０は、追加登録された攻撃防御ルールの識別番号及びフィルター条件をアクセス制御部５２０に配信する。
アクセス制御部５２０は、配信されたフィルター条件を用いて、アクセス制御処理（Ｓ２０）を行う。

【0046】

図１０は、アクセス制御処理（Ｓ２０）のフローチャートである。なお、本フローチャートの処理は、ネットワークセキュリティ装置４がパケットを受信したときに通信制御ドライバから呼び出されて開始される。
図１０に示すように、ステップ２００（Ｓ２００）において、アクセス制御部５２０は、通信が、内部ネットワークから外部ネットワークへの通信であるか否かを判定する。本例では、内部ネットワークから外部ネットワークへの通信のみを検査対象とする。
ステップ２０２（Ｓ２０２）において、アクセス制御部５２０は、通信が、内部ネットワークから外部ネットワークへの通信である場合に、Ｓ２０４の処理に移行し、通信が、内部ネットワークから外部ネットワークへの通信でない場合に、Ｓ２２４の処理に移行する。

【0047】

ステップ２０４（Ｓ２０４）において、アクセス制御部５２０は、通信が、攻撃防御ルールＤＢ６１０に登録されている攻撃防御ルールのフィルター条件に合致するか否かを検査する。
ステップ２０６（Ｓ２０６）において、アクセス制御部５２０は、通信が、攻撃防御ルールのフィルター条件に合致する場合、Ｓ２１０の処理に移行し、通信が、攻撃防御ルールのフィルター条件に合致しない場合、Ｓ２０８の処理に移行する。
ステップ２０８（Ｓ２０８）において、アクセス制御部５２０は、次の攻撃防御ルールのフィルター条件を読み出し、Ｓ２０４の処理に戻る。

【0048】

ステップ２１０（Ｓ２１０）において、アクセス制御部５２０は、合致したフィルター条件の攻撃防御ルールの識別番号、検知数及び検知日時を検知イベント処理部５３０に通知する。
検知イベント処理部５３０は、攻撃防御ルールＤＢ６１０にアクセスして、通知された識別番号に関連付けられた「検知回数」に、通知された「検知数」を加算し、通知された「検知日時」で「最終検知日時」を更新する。

【0049】

ステップ２１２（Ｓ２１２）において、アクセス制御部５２０は、合致したフィルター条件に対応する動作モードに従って、対応を決定する。
ステップ２１４（Ｓ２１４）において、アクセス制御部５２０は、動作モードが「防御」である場合に、Ｓ２１６の処理に移行して遮断を行い、動作モードが「検知」である場合に、Ｓ２２２の処理に移行して検知のみを行う。

【0050】

ステップ２１６（Ｓ２１６）において、アクセス制御部５２０は、通信の送信元及び通信先にリセットパケットを送信して、ＴＣＰコネクションを切断する。
ステップ２１８（Ｓ２１８）において、アクセス制御部５２０は、遮断したことを示すログを出力する。
ステップ２２０（Ｓ２２０）において、アクセス制御部５２０は、通信制御ドライバに対してパケット処理済みを通知して、処理を終了する。

【0051】

ステップ２２２（Ｓ２２２）において、アクセス制御部５２０は、検知したことを示すログを出力する。
ステップ２２４（Ｓ２２４）において、アクセス制御部５２０は、通信パケットを次の処理制御に渡すよう通信制御ドライバに依頼して、通信を継続させる。

【0052】

図１１は、検知イベント処理（Ｓ３０）のフローチャートである。
図１１に示すように、ステップ３００（Ｓ３００）において、検知イベント処理部５３０は、アクセス制御部５２０に対して、検知イベントの送信を要求する。
ステップ３０２（Ｓ３０２）において、アクセス制御部５２０は、検知イベントの送信が要求されるまで要求待ちをしている。
ステップ３０４（Ｓ３０４）において、アクセス制御部５２０は、検知イベントの送信要求が無い場合（Ｓ３０４：Ｎｏ）、Ｓ３０２の処理に戻って要求待ちを続け、要求があると（Ｓ３０４：Ｙｅｓ）、Ｓ３０６の処理に進む。
ステップ３０６（Ｓ３０６）において、アクセス制御部５２０は、検知イベントキューから検知イベント（ログ）を読み出し、検知イベント処理部５４０に送信する。

【0053】

ステップ３０８（Ｓ３０８）において、検知イベント処理部５３０は、検知イベントの送信要求を行った後、検知イベントの受信待ちをしている。
ステップ３１０（Ｓ３１０）において、検知イベント処理部５３０は、アクセス制御部５２０から検知イベントの受信を開始すると、受信待ち状態が解除され、検知イベントを受信する。

【0054】

ステップ３１２（Ｓ３１２）において、検知イベント処理部５３０は、受信した検知イベント情報に基づいて、各攻撃防御ルールに関連付けられた検知回数及び最終検知日を更新する。
ステップ３１４（Ｓ３１４）において、検知イベント処理部５３０は、最終検知日の更新に応じて、更新された最終検知日に「有効日数」を加算して、有効期限日を更新する。

【0055】

図１２は、有効期限検査処理（Ｓ４０）のフローチャートである。
図１２に示すように、ステップ４００（Ｓ４００）において、有効期限検査処理部５４０は、攻撃防御ルールＤＢ６１０に登録されている攻撃防御ルールを、有効期限日の早い順にソートする。
ステップ４０２（Ｓ４０２）において、有効期限検査処理部５４０は、攻撃防御ルールＤＢ６１０に攻撃防御ルールが１つも登録されていない場合（Ｓ４０２：Ｎｏ）、Ｓ４０４の処理に移行し、攻撃防御ルールＤＢ６１０に攻撃防御ルールが１つ以上登録されている場合（Ｓ４０２：Ｙｅｓ）、Ｓ４０６の処理に移行する。
ステップ４０４（Ｓ４０４）において、有効期限検査処理部５４０は、１０分間待機した後、Ｓ４００の処理に戻る。

【0056】

ステップ４０６（Ｓ４０６）において、有効期限検査処理部５４０は、現在時刻を取得する。
ステップ４０８（Ｓ４０８）において、有効期限検査処理部５４０は、攻撃防御ルールの有効期限日と、現在時刻とを比較し、有効期限日が現在時刻よりも過去である場合に、攻撃防御ルールが有効期限切れであると判断する。
ステップ４１０（Ｓ４１０）において、有効期限検査処理部５４０は、登録されている全ての攻撃防御ルールについて有効期限日のチェックを終了していた場合に、Ｓ４０４の処理に移行し、これ以外の場合に、Ｓ４１２の処理に移行する。
ステップ４１２（Ｓ４１２）において、有効期限検査処理部５４０は、攻撃防御ルールが有効期限切れであると判断した場合に、Ｓ４１４の処理に移行し、攻撃防御ルールも有効期限切れではないと判断した場合に、Ｓ４０４の処理に移行する。

【0057】

ステップ４１４（Ｓ４１４）において、有効期限検査処理部５４０は、有効期限切れである攻撃防御ルールを期限延長部５６０に通知する。
期限延長部５６０は、有効期限切れの攻撃防御ルールについて、感染端末毎の検知間隔を算出し、最大検知間隔を求める。
ステップ４１６（Ｓ４１６）において、期限延長部５６０は、求められた最大検知間隔と、有効日数とを比較する。
ステップ４１８（Ｓ４１８）において、期限延長部５６０は、最大検知間隔が有効日数よりも大きい場合に、Ｓ４２０の処理に移行し、最大検知間隔が有効日数以下である場合、Ｓ４２４の処理に移行する。

【0058】

ステップ４２０（Ｓ４２０）において、期限延長部５６０は、この攻撃防御ルールの「有効日数」を最大検知間隔で更新する。
ステップ４２２（Ｓ４２２）において、期限延長部５６０は、更新された「有効日数」（すなわち、最大検知間隔）に基づいて、攻撃防御ルールの「有効期限日」を更新する。

【0059】

ステップ４２４（Ｓ４２４）において、有効期限検査処理部５４０は、この攻撃防御ルール（すなわち、有効期限切れの攻撃防御ルール）を無効化し、攻撃防御ルールＤＢ６１０から削除する。
ステップ４２６（Ｓ４２６）において、有効期限検査処理部５４０は、攻撃防御ルールＤＢ６１０に登録されている次の攻撃防御ルールを読み出し、Ｓ４０８に戻って、読み出された攻撃防御ルールについて、有効期限を検査する。

【0060】

以上説明したように、本実施形態の情報処理システム１によれば、通信性能に配慮しつつ、検知装置３から通知された脅威情報と導入時に設定した攻撃防御ポリシに基づいてマルウェアの対処方法を自動で決定し、脅威情報で通知されたＣ＆Ｃサーバ９及びマルウェア配布サーバへの通信を自動で遮断することで、脅威情報を解析するセキュリティエンジニアが常駐しない組織においても初動対応が確実に実施できるため、標的型サイバー攻撃からの被害を未然に防ぐことができる。
より具体的には、Ｃ＆Ｃサーバ９及びマルウェア配布サーバへの通信の最終検知日時と攻撃防御ルールの有効日数から対策済みマルウェアの攻撃防御ルールを自動で判別し、対策完了の攻撃防御ルールを削除することで、マルウェアの感染時の初動対応からマルウェアの対策後のフィルター条件の削除までを完全に自動化することで標的型サイバー攻撃対応のネットワーク管理者の負担を軽減する効果がある。

【符号の説明】

【0061】

１…情報処理システム
３…検知装置
４…ネットワークセキュリティ装置
５…セキュリティプログラム
５００…受信処理部
５１０…ルール作成処理部
５２０…アクセス制御部
５３０…検知イベント処理部
５４０…有効期限検査処理部
５５０…上限設定部
５６０…期限延長部
６００…攻撃防御ポリシデータベース
６１０…攻撃防御ルールデータベース

【要約】

【課題】通信性能に配慮しながら、ネットワーク通信を監視するセキュリティシステムを提供する。
【解決手段】検知装置は、マルウェアの侵入を検知した場合に、検知されたマルウェアに関連する脅威情報をネットワークセキュリティ装置に送信し、ネットワークセキュリティ装置は、検知装置から送信された脅威情報を受信する受信処理部と、受信処理部により受信された脅威情報に基づいて、定義情報を自動作成する作成処理部と、定義情報を登録時に関連付けて格納する定義情報データベースと、定義情報データベースに、作成処理部により作成された定義情報を追加登録する定義登録部と、定義情報データベースに格納されている定義情報を用いて、ネットワーク通信を監視する監視部と、定義情報データベースに格納されている登録時に基づいて、定義情報データベースから、定義情報を削除する削除部とを有する。
【選択図】図１

【図1】