特許第6851211号(P6851211)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > Sky株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ Sky株式会社の特許一覧

<>
  • 特許6851211-ネットワーク監視システム 図000002
  • 特許6851211-ネットワーク監視システム 図000003
  • 特許6851211-ネットワーク監視システム 図000004
  • 特許6851211-ネットワーク監視システム 図000005
  • 特許6851211-ネットワーク監視システム 図000006
  • 特許6851211-ネットワーク監視システム 図000007
  • 特許6851211-ネットワーク監視システム 図000008
  • 特許6851211-ネットワーク監視システム 図000009
  • 特許6851211-ネットワーク監視システム 図000010
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6851211
(24)【登録日】2021年3月11日
(45)【発行日】2021年3月31日
(54)【発明の名称】ネットワーク監視システム
(51)【国際特許分類】
   H04L 12/70 20130101AFI20210322BHJP
【FI】
   H04L12/70 100A
【請求項の数】5
【全頁数】16
(21)【出願番号】特願2017-22174(P2017-22174)
(22)【出願日】2017年2月9日
(65)【公開番号】特開2018-129712(P2018-129712A)
(43)【公開日】2018年8月16日
【審査請求日】2020年2月5日
(73)【特許権者】
【識別番号】599108242
【氏名又は名称】Sky株式会社
(74)【代理人】
【識別番号】100088214
【弁理士】
【氏名又は名称】生田 哲郎
(74)【代理人】
【識別番号】100205084
【弁理士】
【氏名又は名称】吉浦 洋一
(72)【発明者】
【氏名】日垣 義弘
(72)【発明者】
【氏名】谷奥 守央
【審査官】 宮島 郁美
(56)【参考文献】
【文献】 国際公開第2006/043310(WO,A1)
【文献】 米国特許出願公開第2007/0256119(US,A1)
【文献】 堀口 幹友 MIKITOMO HORIGUCHI,IPv6時代の最新ネットワークプロトコル 激変するTCP/IP,月刊アスキードットテクノロジーズ 第15巻 第10号 ASCII.technologies,日本,株式会社アスキー・メディアワークス,2010年 8月24日,第15巻
【文献】 那須野 洋一 YOUICHI NASUNO,パワーアップ講座 機能でわかる!レイヤー3スイッチ攻略術,日経NETWORK 第91号,日本,日経BP社 Nikkei Business Publications,Inc.,2007年10月22日
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00−12/28,12/44−12/955
H04B7/24−7/26,H04W4/00−99/00
G06F13/00
(57)【特許請求の範囲】
【請求項1】
ネットワーク内のネットワーク機器の監視に用いるネットワーク監視システムであって,
前記ネットワーク監視システムは,
少なくとも一以上のネットワーク機器と接続する通信中継装置から,前記ネットワーク機器の状態を示す情報を受け付ける情報受付処理部と,
前記受け付けた情報に基づいて,前記ネットワーク機器を特定する特定処理部と,
前記特定したネットワーク機器に対してネットワーク遮断要求通知を送るネットワーク遮断要求処理部と,
前記ネットワーク機器の識別情報,接続する通信中継装置の識別情報を記憶する資産情報記憶部
を備えており,
前記ネットワーク遮断要求通知を受け付けたネットワーク機器において,
前記ネットワーク遮断要求通知に対応するネットワーク通信の遮断処理を実行させることを特徴とし,
前記ネットワーク遮断要求処理部は,
前記ネットワーク遮断要求通知をUDP通信により送ることで,前記ネットワーク遮断要求通知を受け付けたネットワーク機器において,前記ネットワーク遮断要求通知を受け付けた旨の応答を返させて,その応答を受け取る,
ことを特徴とし、
前記特定処理部は,
前記通信中継装置からSNMPトラップを受け付けた場合には,前記SNMPトラップを発信した通信中継装置を特定し,前記特定した通信中継装置に接続しているネットワーク機器と,前記特定した通信中継装置の上位階層にある通信中継装置およびその通信中継装置に接続しているネットワーク機器と,を前記資産情報記憶部に基づいて特定する,
ことを特徴とするネットワーク監視システム。
【請求項2】
前記ネットワーク監視システムは,さらに,
前記ネットワーク機器の識別情報,接続する通信中継装置の識別情報を記憶する資産情報記憶部を備えており,
前記特定処理部は,
前記通信中継装置からシステムログを受け付けた場合には,前記システムログが所定の条件を充足していると判定した場合に,前記システムログから識別情報を抽出して,その識別情報に対応するネットワーク機器を前記資産情報記憶部に基づいて特定する,
ことを特徴とする請求項1に記載のネットワーク監視システム。
【請求項3】
前記ネットワーク遮断要求通知を受け付けたネットワーク機器において,
前記ネットワーク通信の遮断処理として,前記ネットワークを管理する所定のコンピュータとの間のネットワーク通信以外のネットワーク通信を無効にする制御処理を実行する,
ことを特徴とする請求項1から請求項のいずれか1項に記載のネットワーク監視システム。
【請求項4】
前記ネットワーク遮断要求処理部は,
前記ネットワーク遮断要求通知を送ったネットワーク機器から,その通知に対する応答を受け取れなかった場合には,再度,前記ネットワーク機器に対して,前記ネットワーク
遮断要求通知を送る,
ことを特徴とする請求項2から請求項のいずれか1項に記載のネットワーク監視システム。
【請求項5】
コンピュータを,
少なくとも一以上のネットワーク機器と接続する通信中継装置から,前記ネットワーク機器の状態を示す情報を受け付ける情報受付処理部,
前記受け付けた情報に基づいて,前記ネットワーク機器を特定する特定処理部,
前記特定したネットワーク機器に対してネットワーク遮断要求通知を送るネットワーク遮断要求処理部,
前記ネットワーク機器の識別情報,接続する通信中継装置の識別情報を記憶する資産情報記憶部
として機能させるプログラムであって,
前記ネットワーク遮断要求通知を受け付けたネットワーク機器において,
前記ネットワーク遮断要求通知に対応するネットワーク通信の遮断処理を実行させ,
前記ネットワーク遮断要求処理部をして,前記ネットワーク遮断要求通知をUDP通信により送らせることで,前記ネットワーク遮断要求通知を受け付けたネットワーク機器をして,前記ネットワーク遮断要求通知を受け付けた旨の応答を返させて,その応答を受け取らせ,
前記特定処理部が前記通信中継装置からSNMPトラップを受け付けた場合には,該特定処理部をして,前記SNMPトラップを発信した通信中継装置を特定させ,前記特定した通信中継装置に接続しているネットワーク機器と,前記特定した通信中継装置の上位階層にある通信中継装置およびその通信中継装置に接続しているネットワーク機器と,を前記資産情報記憶部に基づいて特定させ,
前記特定処理部が前記通信中継装置からシステムログを受け付けた場合には,前記システムログが所定の条件を充足していると判定した場合に,該特定処理部をして,前記システムログから識別情報を抽出させて,その識別情報に対応するネットワーク機器を前記資産情報記憶部に基づいて特定させる
ことを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は,ネットワーク内にあるコンピュータに異常が発生した場合に,所定の制御を行うためのネットワーク監視システムに関する。
【背景技術】
【0002】
企業や学校,官公庁などの諸団体(以下,「企業等」という)の日常業務ではコンピュータが複数使用されており,それらはネットワークによって接続されている。そしてコンピュータには多種多様な情報が記憶されているため,ネットワーク内のコンピュータに障害などの異常が発生した場合には,業務に支障が生じるほか,情報の外部流出などの場合にはコンプライアンス上の問題も発生しうる。そのため,企業等ではネットワーク内に異常が発生していないかを日々監視している。
【0003】
ネットワーク内のコンピュータの監視の方法として,各コンピュータの操作ログ情報を監視する方法がある。操作ログ情報は,コンピュータにおいて行われた操作や処理の履歴を示す情報であり,その情報を監視することで,コンピュータがどのような振る舞いをしたかを特定できるので,優れた監視方法として知られている。その一例として特許文献1がある。
【0004】
さらにネットワーク内のコンピュータで送受信するパケットを監視するネットワーク管理装置を用いて,ネットワークを監視する方法も知られている。ネットワーク管理装置を用いた一例として特許文献2がある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2015−121968号公報
【特許文献2】特開2006−33140号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
近年,サイバー攻撃の一手法として,ランサムウェアを用いたものが知られている。ランサムウェアとは,感染したコンピュータに対して,操作者の意に反して,当該コンピュータをロックしたり,ファイルを暗号化するなどして使用不能とせしめた上で,元の状態に戻すことと引き替えに,不当に金銭を要求する,不正プログラムの一種である。多くの場合,電子メールに含まれる悪意ある添付ファイルを開いた際に,その不正プログラムがインストールされたり,改ざんされた正規のウェブサイトから,脆弱性を攻撃する不正なウェブサイトに誘導されたりするなどして,コンピュータをランサムウェアに感染させる。
【0007】
コンピュータがランサムウェアに感染した場合,そのコンピュータに対する操作ができなくなるほか,感染したコンピュータや,ネットワーク共有しているファイルが暗号化されて使用不能になるなど,業務に対する支障が大きい。また,金銭の要求に応じた場合には経済的損害も発生する。
【0008】
一方,ネットワークにランサムウェアに感染したコンピュータがある場合には,ほかのコンピュータへの感染を防止するため,できる限り早期に,感染したコンピュータをネットワークから切り離す必要がある。
【0009】
しかしランサムウェアに感染したコンピュータで行われる不正な処理は,ファイルアクセスや暗号化などの処理であるため,操作ログ情報としては,当該コンピュータの通常の振る舞いとしてしか現れず,操作ログ情報だけではランサムウェアに感染したコンピュータか否かをすぐに見分けるのは容易ではない。そのため,特許文献1の方法を用いただけではランサムウェアについての対処としては十分とはいえない。
【0010】
一方,特許文献2の方法では,不正なパケットを検出した場合,ウィルスに感染していると考えられるコンピュータが属しているネットワークのセグメントを特定し,さらに,そのセグメントを接続するルータやスイッチングハブなどのネットワーク中継装置のインターフェイスを特定する。そして,ネットワーク管理装置は,特定したネットワーク中継装置に対して被疑インターフェイスを遮断するように制御指示を行う。このような方法を採ることによって,ウィルスに感染していると考えられるコンピュータが属しているネットワークのセグメントを,ネットワークから切り離すとともに,ウィルス感染の拡大を防止している。
【0011】
しかし,この方法の場合,ルータやスイッチングハブなどのネットワーク中継装置に対して所定の制御を行うため,たとえばルータAのX番ポートに接続していたコンピュータがランサムウェアに感染した場合,ルータAに対してネットワーク通信を遮断する制御指示をネットワーク管理装置が行うことで,一旦は,感染したコンピュータをネットワークから切り離すことができる。しかし,そのコンピュータのネットワークケーブルを,ルータBのY番ポートに接続することによって,当該感染したコンピュータが再度,ネットワークに接続可能となり,ウィルス感染の拡大の防止には十分とはいえない問題点がある。
【0012】
また,コンピュータによっては有線によるネットワーク通信が遮断された場合には,無線LANなどによる接続を自動的に行うものもある。そのような場合,感染したコンピュータが接続する有線のルータAが,上述のようにネットワークから切り離された場合,当該コンピュータが自動的に無線LANによる接続に切り替えてしまう。そのため,この場合においても,当該感染したコンピュータが再度,ネットワークに接続可能となり,ウィルス感染の拡大の防止には十分とはいえない問題点がある。
【課題を解決するための手段】
【0013】
本発明者は上述の問題点に鑑み,ネットワーク監視システムを発明した。
【0014】
第1の発明は,ネットワーク内のネットワーク機器の監視に用いるネットワーク監視システムであって,前記ネットワーク監視システムは,少なくとも一以上のネットワーク機器と接続する通信中継装置から,前記ネットワーク機器の状態を示す情報を受け付ける情報受付処理部と,前記受け付けた情報に基づいて,前記ネットワーク機器を特定する特定処理部と,前記特定したネットワーク機器に対してネットワーク遮断要求通知を送るネットワーク遮断要求処理部と,を備えており,前記ネットワーク遮断要求通知を受け付けたネットワーク機器において,前記ネットワーク遮断要求通知に対応するネットワーク通信の遮断処理を実行させる,ネットワーク監視システムである。
【0015】
従来は,ウィルス等に感染した場合,ルータなどのネットワーク中継装置に対して通信の遮断等の制御を行っているので,ネットワーク中継装置を切り替えて使用された場合には,通信の遮断等の効果が及ばず,不十分な対策しかとれなかった。しかし,本発明のように構成することで,たとえばランサムウェア等に感染したコンピュータなどのネットワーク機器に対して,直接,ネットワーク通信の遮断を実行することができるので,ネットワーク機器が,その通信を行うネットワーク中継装置(通信中継装置)を切り替えたとしても,適切に,通信の遮断を行うことができる。
【0016】
上述の発明において,前記ネットワーク遮断要求処理部は,前記ネットワーク遮断要求通知をUDP通信により送ることで,前記ネットワーク遮断要求通知を受け付けたネットワーク機器において,前記ネットワーク遮断要求通知を受け付けた旨の応答を返させて,その応答を受け取る,ネットワーク監視システムのように構成することができる。
【0017】
ウィルス等に感染したネットワーク機器では不正な処理が極めて短時間で行われてしまうので,その被害の拡大の防止のためには,迅速にネットワークから切り離すことが求められる。そのため,ネットワーク遮断要求通知は,通信速度の高速性からUDP通信により行うことが好ましい。しかし,UDP通信を用いた場合,TCP通信とは異なり,通信の信頼性が低い。一方で,ネットワーク遮断要求通知は,ウィルス等の被害の防止の観点から,感染したネットワーク機器に確実に届ける必要性があるが,上述のようにUDP通信では,当該通知を送りっぱなしになるので,届いたかどうかを確認する術がない。そこで,UDP通信を用いた場合には,その通知を送ったネットワーク機器から通知を受け取った旨の応答を受け取ることで,それを確認可能とすることが好ましい。
【0018】
上述の発明において,前記ネットワーク監視システムは,さらに,前記ネットワーク機器の識別情報,接続する通信中継装置の識別情報を記憶する資産情報記憶部を備えており,前記特定処理部は,前記通信中継装置からSNMPトラップを受け付けた場合には,前記SNMPトラップを発信した通信中継装置を特定し,前記特定した通信中継装置に接続しているネットワーク機器の一部または全部を前記資産情報記憶部に基づいて特定する,ネットワーク監視システムのように構成することができる。
【0019】
また,上述の発明において,前記ネットワーク監視システムは,さらに,前記ネットワーク機器の識別情報,接続する通信中継装置の識別情報を記憶する資産情報記憶部を備えており,前記特定処理部は,前記通信中継装置からシステムログを受け付けた場合には,前記システムログが所定の条件を充足していると判定した場合に,前記システムログから識別情報を抽出して,その識別情報に対応するネットワーク機器を前記資産情報記憶部に基づいて特定する,ネットワーク監視システムのように構成することができる。
【0020】
これらの発明のように構成することで,ウィルス等に感染したネットワーク機器を適切に特定することが可能となる。
【0021】
上述の発明では,前記ネットワーク遮断要求通知を受け付けたネットワーク機器において,前記ネットワーク通信の遮断処理として,前記ネットワークを管理する所定のコンピュータとの間のネットワーク通信以外のネットワーク通信を無効にする制御処理を実行する,ネットワーク監視システムのように構成することができる。
【0022】
ネットワーク遮断要求通知でネットワーク機器のすべてのネットワーク通信を遮断することも可能であるが,その場合,当該ネットワーク機器での振る舞いを示す操作ログ情報を取得することができなくなる。そのため,当該ネットワーク機器が実際に感染したのか,どのような不正な操作等が行われているのかを監視することができなくなる。そこで本発明のように構成することで、所定のサーバとのネットワーク通信以外の通信を無効にすることで,所定のサーバにおいては,当該ネットワーク機器からの情報の取得が可能になり,操作ログ情報が取得可能となる。
【0023】
上述の発明において,前記ネットワーク遮断要求処理部は,前記ネットワーク遮断要求通知を送ったネットワーク機器から,その通知に対する応答を受け取れなかった場合には,再度,前記ネットワーク機器に対して,前記ネットワーク遮断要求通知を送る,ネットワーク監視システムのように構成することができる。
【0024】
ネットワーク遮断要求通知は,ネットワーク機器をネットワークから切り離すための重要な通知である。そのため,当該ネットワーク機器に当該通知が届いていない場合には,そのネットワーク機器に対して,再度の通知を行うことでその確実性を向上させることができる。
【0025】
上述の発明において,前記特定処理部は,前記通信中継装置からSNMPトラップを受け付けた場合には,前記SNMPトラップを発信した通信中継装置を特定し,前記特定した通信中継装置に接続しているネットワーク機器と,前記特定した通信中継装置の上位階層にある通信中継装置およびその通信中継装置に接続しているネットワーク機器と,を前記資産情報記憶部に基づいて特定する,ネットワーク監視システムのように構成することができる。
【0026】
本発明のように構成することで,ウィルス等の感染の恐れがある影響範囲のネットワーク機器もネットワークから切り離すことが可能となる。これによって,感染の拡大を防止することができる。
【0027】
第1の発明は,本発明のプログラムをコンピュータに読み込ませて実行することで実現できる。すなわち,コンピュータを,少なくとも一以上のネットワーク機器と接続する通信中継装置から,前記ネットワーク機器の状態を示す情報を受け付ける情報受付処理部,前記受け付けた情報に基づいて,前記ネットワーク機器を特定する特定処理部,前記特定したネットワーク機器に対してネットワーク遮断要求通知を送るネットワーク遮断要求処理部,として機能させるプログラムであって,前記ネットワーク遮断要求通知を受け付けたネットワーク機器において,前記ネットワーク遮断要求通知に対応するネットワーク通信の遮断処理を実行させる,プログラムである。
【発明の効果】
【0028】
本発明のネットワーク監視システムを用いることによって,感染の疑いがあるコンピュータに対して,直接,制御を行うので,従来よりも確実に,ウィルス感染の拡大を防止することができる。また,感染の疑いがあるコンピュータに対してネットワーク遮断の制御指示を行う場合,当該コンピュータから応答を受け取ることで,その制御指示が確実に到達したことを確認できるので,ネットワーク遮断の確実性を高めることができる。
【図面の簡単な説明】
【0029】
図1】本発明のネットワーク監視システムのイメージ図の一例である。
図2】本発明のネットワーク監視システムの全体の概要を示す概念図の一例である。
図3】本発明のネットワーク監視システムにおける構成の一例を示す概念図である。
図4】コンピュータのハードウェア構成の一例を示す図である。
図5】ネットワーク構成の一例を示す図である。
図6】実施例1の処理プロセスの一例を示すフローチャートである。
図7】実施例2の処理プロセスの一例を示すフローチャートである。
図8】本発明のネットワーク監視システムにおける構成の一変形例を示す概念図である。
図9】本発明のネットワーク監視システムにおける構成の一変形例を示す概念図である。
【発明を実施するための形態】
【0030】
本発明のネットワーク監視システム1のイメージ図の一例を図1に,全体の概要を示す概念図の一例を図2に,ネットワーク監視システム1の構成の一例を示す概念図を図3に示す。
【0031】
ネットワーク監視システム1は,企業等のネットワークおよびそのネットワーク内のコンピュータを監視するためのコンピュータシステムであって,マスターサーバ2やクライアント端末42などのネットワーク機器4と,通信中継装置3などから構成される。
【0032】
ネットワーク監視システム1のマスターサーバ2,クライアント端末42は,サーバやパーソナルコンピュータなどの各種のコンピュータにより実現される。図4にコンピュータのハードウェア構成の一例を示す。コンピュータは,プログラムの演算処理を実行するCPUなどの演算装置70と,情報を記憶するRAMやハードディスクなどの記憶装置71と,ディスプレイなどの表示装置72と,キーボードやポインティングデバイス(マウスやテンキーなど)などの入力装置73と,演算装置70の処理結果や記憶装置71に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置74とを有している。
【0033】
図1乃至図3ではマスターサーバ2が一台のコンピュータで実現される場合を示したが,複数台のコンピュータにその機能が分散配置され,実現されても良い。
【0034】
本発明における各手段は,その機能が論理的に区別されているのみであって,物理上あるいは事実上は同一の領域を為していても良い。
【0035】
通信中継装置3は,マスターサーバ2が管理するネットワークに存在する装置であって,コンピュータ間の通信を中継する装置である。通信中継装置3には,後述するUTM装置が該当する。
【0036】
UTM装置は,統合脅威管理(Unified Threat Management)に用いる通信中継装置3であって,ファイアウォールやVPN,ウィルス対策,不正侵入検知や防御などのネットワークセキュリティに関する機能を備えている。UTM装置としては,たとえばルータやスイッチングハブなどがその一例であるが,それに限定されるものではない。
【0037】
UTM装置は,何らかの異常を検知した場合,マスターサーバ2に対して異常通知を送る。異常通知としては,SNMPトラップがその一例としてある。またUTM装置は,システムログ(Syslog)をマスターサーバ2に送る。なお,UTM装置としては,SNMPトラップ,システムログの双方またはいずれか一方をマスターサーバ2に送ればよい。
【0038】
SNMPトラップとは,UTM装置が,何かが発生したことをマスターサーバ2に知らせるために発信する通知である。SNMPトラップの一例としては,「coldStart(0)」,「warmStart(1)」,「linkDown(2)」,「linkUp(3)」,「authenticationFailure(4)」,「egpNeighborLoss(5)」,「enterpriseSpecifi(6)」などがある。「coldStart(0)」は,UTM装置が再起動したことを示す。「warmStart(1)」は,UTM装置が初期化を実行したことを示す。「linkDown(2)」は,UTM装置のインターフェイス(ポート番号など)がダウンしたことを示す。「linkUp(3)」は,UTM装置のインターフェイス(ポート番号など)が回復したことを示す。「authenticationFailure(4)」は,誰かが不正なコミュニティ名を用いてUTM装置に問い合わせを試みたことを示す。「egpNeighborLoss(5)」は,Exterior Gateway Protocol(EGP)の近接ルータがダウンしたことを示す。「enterpriseSpecifi(6)」は,UTM装置を利用する企業等が独自に設定,定義したトラップ(通知)であることを示す。
【0039】
またシステムログとは,ネットワーク上で発生した各種状況をシステム上の動作履歴として記録している情報であり,システムログにより,どのIPアドレスのネットワーク機器4がどういう状態にあるのかを把握することができる。システムログには,たとえば,「emerg」,「alert」,「crit」,「err」,「warn」,「notice」,「info」などの情報が危険状態(プライオリティ)として記録される。「emerg」は,システムが落ちるような非常に危険な状態であることを示す。「alert」は,緊急に対応すべきエラーを示す(危険な状態を示す)。「crit」は,致命的なエラーを示す(危険な状態を示す)。「err」は一般的なエラーを示す。「warn」は,システムからの警告を示す。「notice」は,システムからの通知を示す。「info」は,システムからの情報を示す。このように,システムログに上記情報が含まれている火などに基づいて,マスターサーバ2はシステムの異常状態か否かを判定する。
【0040】
ネットワーク機器4は,ネットワークにあるコンピュータであって,たとえばユーザが操作するクライアント端末42,データサーバやアプリケーションサーバなどの各種サーバ,MFP(複合機:MultiFunctionProduct)などのネットワーク対応ハードウェアが該当する。
【0041】
ネットワーク機器4は,ネットワーク内のUTM装置を介して情報の送受信を行う。図5に,企業等で用いられるネットワークの構成の一例を示す。
【0042】
クライアント端末42などのネットワーク機器4には,あらかじめマスターサーバ2からのネットワーク遮断要求通知に対応する処理を実行するエージェントプログラム(クライアント側処理部41)が記憶されている。
【0043】
クライアント側処理部41は,後述するマスターサーバ2のネットワーク遮断要求処理部24からネットワーク遮断要求通知を受け付けた場合,当該マスターサーバ2に対して,当該通知を受信した旨の応答を返し,ネットワーク通信の遮断処理を実行する。なお,ネットワーク通信の遮断処理とは,あらかじめ定められた通信以外のネットワーク通信をすべて無効にする処理である。あらかじめ定められた通信とは,ネットワーク機器4とマスターサーバ2との間の通信以外の通信であることが好ましいが,それ以外のコンピュータとの通信が許可されてもよい。
【0044】
ネットワーク機器4のクライアント側処理部41は,上記ネットワーク遮断要求通知に対する処理のほか,当該ネットワーク機器4において行われる操作ログ情報を収集しており,定期的または不定期にマスターサーバ2に操作ログ情報を送信する。
【0045】
マスターサーバ2は,情報受付処理部21と特定処理部22と資産情報記憶部23とネットワーク遮断要求処理部24とを備える。
【0046】
情報受付処理部21は,通信中継装置3からSNMPトラップまたはシステムログを受け付ける。そして受け付けたSNMPトラップまたはシステムログに基づいて,ネットワーク機器4に異常が発生していることを判定する。
【0047】
マスターサーバ2が,たとえばクライアント端末42が接続するUTM装置から発信されたSNMPトラップを検出し,どのUTM装置から発信されたSNMPトラップかを特定する。SNMPトラップは一般的に,異常があった場合に発信される通知であるので,かかる通知を検出することで,異常の発生を判定可能である。
【0048】
また,マスターサーバ2が,たとえばクライアント端末42が接続するUTM装置から発信されたシステムログを取得した場合,システムログに異常を示す所定のキーワードが含まれるかなどの,異常を示すとしてあらかじめ設定された条件を充足するかを判定する。あらかじめ設定された条件としては,たとえばシステムログに,「emerg」,「alert」,「crit」,「err」,「warn」,「notice」,「info」などの情報が含まれているか,などがある。そしてシステムログに含まれるIPアドレスを抽出する。
【0049】
なお,情報受付処理部21では,通信中継装置3から受け取ったSNMPトラップやシステムログを所定の記憶部(図示せず)にログとして記憶しておく。
【0050】
特定処理部22は,情報受付処理部21で特定したSNMPトラップを発信した通信中継装置3に接続されているネットワーク機器4,またはシステムログに含まれるIPアドレスに対応するネットワーク機器4を,後述する資産情報記憶部23に記憶する資産情報に基づいて特定する。この際に特定するのは,当該ネットワーク機器4のネットワーク上の識別情報(IPアドレスなど)と,ハードウェアの識別情報(MACアドレスなど)を特定する。
【0051】
資産情報記憶部23では,マスターサーバ2が管理するネットワークに接続されているすべてのネットワーク機器4および通信中継装置3の端末識別情報(端末ID),ネットワーク上の識別情報(IPアドレスなど),ハードウェアの識別情報(MACアドレスなど),部署名,ユーザ名,接続先の通信中継装置3の識別情報(端末識別情報,ネットワーク上の識別情報,ハードウェアの識別情報のいずれでもよい。本明細書では同様)などを記憶する。なお,資産情報記憶部23は,資産情報を管理するデータベースサーバとして独立していてもよい。
【0052】
ネットワーク遮断要求処理部24は,特定処理部22で特定したネットワーク機器4に対して,当該ネットワーク機器4のネットワーク通信の遮断の要求通知を行う。このネットワーク遮断要求は,UDP通信により行うことが好ましい。UDP通信を用いることで,TCP通信を用いる場合よりも高速度で行うことができる。これによって,迅速性が求められるセキュリティに対する対処としては,早期に当該ネットワーク機器4をネットワークから切り離すことが可能となる。
【実施例1】
【0053】
つぎに本発明のネットワーク監視システム1の処理プロセスの一例を図6のフローチャートを用いて説明する。なお,実施例1ではSNMPトラップの場合を説明する。またマスターサーバ2が管理するネットワークの構成が図5であるとする。
【0054】
通信中継装置3であるUTM装置は,ネットワーク内におけるネットワーク機器4,たとえばクライアント端末42において何らかの異常を検知すると,その検知した異常に応じたSNMPトラップをマスターサーバ2に発信する。マスターサーバ2の情報受付処理部21では,UTM装置から発信されたSNMPトラップを検出することで異常があったことを判定する(S100)。そして,SNMPトラップに含まれるUTM装置の識別情報などを抽出し,どのUTM装置から発信されたSNMPトラップであるかを特定する(S110)。たとえばSNMPトラップを発信したUTM装置がUTM装置cであることを特定したとする。
【0055】
UTM装置cから発信されたSNMPトラップであることを特定すると,マスターサーバ2の特定処理部22は,UTM装置cの情報を用いて資産情報記憶部23を参照し,UTM装置cに接続しているネットワーク機器4を特定する(S120)。この場合,UTM装置cには,クライアント端末42b,データサーバcが接続していることを特定する。また,特定処理部22は,特定したネットワーク機器4のIPアドレスおよびMACアドレスを資産情報記憶部23から抽出する。
【0056】
そしてネットワーク遮断要求処理部24は,抽出したIPアドレスおよびMACアドレスに基づいて,特定したネットワーク機器4に対して,ネットワーク遮断要求通知をUDP通信により送る(S130)。すなわち,ここではクライアント端末42b,データサーバcに対して,それぞれのIPアドレスおよびMACアドレスを用いてネットワーク遮断要求通知を送ることとなる。
【0057】
そしてマスターサーバ2のネットワーク遮断要求処理部24から送られた,UDP通信によるネットワーク遮断要求通知を受け付けたネットワーク機器4,ここではクライアント端末42b,データサーバcのクライアント側処理部41は,ネットワーク遮断要求通知を受け付けた旨の応答をマスターサーバ2に返す(S140)。そして,当該ネットワーク機器4のネットワーク通信の遮断処理を実行する(S150)。なお,S140の応答を受け取ったマスターサーバ2のネットワーク遮断要求処理部24は,資産情報記憶部23における,当該通知を送ったネットワーク機器4について,ネットワーク通信の遮断処理が実行されたことを示す情報を記憶させる。
【0058】
ネットワーク通信の遮断処理が実行されても,ネットワーク機器4では,ネットワーク機器4とマスターサーバ2との間の通信以外の通信が遮断され,ネットワーク機器4とマスターサーバ2との間の通信は遮断されない。そのため,たとえばクライアント端末42bやデータサーバcにおける操作ログ情報は,S150でネットワーク通信の遮断処理がされた場合であってもマスターサーバ2に送られるので,ネットワーク遮断中にも操作ログ情報を収集することができる。
【0059】
マスターサーバ2のネットワーク遮断要求処理部24は,S130で送ったネットワーク遮断要求通知から所定時間内にS140の応答が返ってこない場合,S130のネットワーク遮断要求通知を再度,通知する。この再通知は,所定時間ごとに所定回数だけ行う。所定回数の再通知をしても応答が返ってこない場合には,マスターサーバ2のネットワーク遮断要求処理部24は,当該通知を送ったネットワーク機器4は,すでにネットワークから切り離されていると判定する。
【0060】
SNMPトラップでは「何番ポートがダウンした」という内容まで特定可能であるので,特定処理部22は,当該ポートに接続するネットワーク機器4を特定した上で,当該ネットワーク機器4のみを遮断するように構成してもよい。その場合,資産情報記憶部23には,UTM装置のポートにはどのネットワーク機器4が接続しているか,あるいはネットワーク機器4はUTM装置の何番ポートに接続しているか,の情報が含まれていることが好ましい。なお,ネットワーク機器4のみを遮断する手段として,通信中継装置3がL3(OSI参照モデル レイヤー3)レベルの通信中継機能を有している場合には,IPアドレスを用いた遮断を行うようにしてもよい。
【0061】
さらに,特定処理部22は,S110で特定したUTM装置の上位階層に位置するほかの通信中継装置3,上述の例では,UTM装置cの上位階層に位置するUTM装置bを特定し,そのUTM装置bに接続しているネットワーク機器4のIPアドレスおよびMACアドレスを特定し,S130のネットワーク遮断要求通知を送り,ネットワーク通信の遮断を実行してもよい。これによって,ランサムウェア感染の恐れがある影響範囲に対して,適切にその感染の抑止を行える。
【0062】
加えて,SNMPトラップを発信したUTM装置に接続されているデータサーバがある場合には,当該UTM装置に接続されているクライアント端末42のみならず,データサーバに対しても,S130のネットワーク遮断要求通知を送り,ネットワーク通信の遮断を実行してもよい。
【実施例2】
【0063】
つぎに本発明のネットワーク監視システム1の処理プロセスのほかの一例を図7のフローチャートを用いて説明する。なお,実施例2ではシステムログの場合を説明する。またマスターサーバ2が管理するネットワークの構成が図5であるとする。
【0064】
通信中継装置3であるUTM装置は,定期的にまたは不定期にシステムログをマスターサーバ2に送り,マスターサーバ2の情報受付処理部21が,UTM装置から発信されたシステムログを取得する(S200)。そして,情報受付処理部21はシステムログに,異常を示す所定のキーワードが含まれるかなどの,異常を示すとしてあらかじめ設定された条件を充足するかを判定する(S210)。
【0065】
S210において,異常を示すとしてあらかじめ設定された条件を充足するシステムログがあることを情報受付処理部21が判定した場合,情報受付処理部21は,当該システムログにおけるIPアドレスを抽出する(S220)。
【0066】
そして,マスターサーバ2の特定処理部22は,S220で抽出したIPアドレスを用いて資産情報記憶部23を参照し,当該IPアドレスに対応するネットワーク機器4を特定する(S230)。たとえば,クライアント端末42bを特定したとする。また,特定処理部22は,特定したネットワーク機器4,上記ではクライアント端末42bのMACアドレスを資産情報記憶部23から抽出する。
【0067】
そしてネットワーク遮断要求処理部24は,システムログから抽出したIPアドレスおよび資産情報記憶部23から抽出したMACアドレスに基づいて,特定したネットワーク機器4に対して,ネットワーク遮断要求通知をUDP通信により送る(S240)。すなわち,ここではクライアント端末42bに対して,そのIPアドレスおよびMACアドレスを用いてネットワーク遮断要求通知を送ることとなる。
【0068】
そしてマスターサーバ2のネットワーク遮断要求処理部24から送られた,UDP通信によるネットワーク遮断要求通知を受け付けたネットワーク機器4,ここではクライアント端末42bのクライアント側処理部41は,ネットワーク遮断要求通知を受け付けた旨の応答をマスターサーバ2に返す(S250)。そして,当該ネットワーク機器4のネットワーク通信の遮断処理を実行する(S260)。なお,S250の応答を受け取ったマスターサーバ2のネットワーク遮断要求処理部24は,資産情報記憶部23における,当該通知を送ったネットワーク機器4について,ネットワーク通信の遮断処理が実行されたことを示す情報を記憶させる。
【0069】
ネットワーク通信の遮断処理が実行されても,ネットワーク機器4では,ネットワーク機器4とマスターサーバ2との間の通信以外の通信が遮断され,ネットワーク機器4とマスターサーバ2との間の通信は遮断されない点は,実施例1と同様である。
【0070】
マスターサーバ2のネットワーク遮断要求処理部24は,S240で送ったネットワーク遮断要求通知から所定時間内にS250の応答が返ってこない場合,S240のネットワーク遮断要求通知を再度,通知する。この再通知は,所定時間ごとに所定回数だけ行う。所定回数の再通知をしても応答が返ってこない場合には,マスターサーバ2のネットワーク遮断要求処理部24は,当該通知を送ったネットワーク機器4は,すでにネットワークから切り離されていると判定する。
【実施例3】
【0071】
実施例1および実施例2において,一台のネットワーク機器4が,複数のルートでネットワークに接続する場合がある。たとえばネットワーク機器4がクライアント端末42の場合,無線LANを有効にしており,さらに有線でもLAN接続をする場合がある。このとき,無線接続,有線接続のそれぞれにおいて,別々のUTM装置を介してネットワーク通信がされる。さらに,IPアドレスおよびMACアドレスは無線接続と有線接続とで別々に付与される。
【0072】
上記のように,複数のルートでネットワークに接続している場合に,そのネットワーク機器4が接続しているUTM装置から,マスターサーバ2がSNMPトラップを検出した場合,複数のUTM装置(有線LANのUTM装置,無線LANのUTM装置)からSNMPトラップを検出することとなる。その場合,マスターサーバ2の情報受付処理部21は,それぞれのSNMPトラップを発信したUTM装置を特定する。そして,特定処理部22は,特定したそれぞれのUTM装置に接続しているネットワーク機器4のIPアドレスとMACアドレスを抽出する。
【0073】
あるいはシステムログをUTM装置から受け付ける場合,複数のシステムログにおいて,所定条件を充足することを判定できる。その場合,複数のシステムログからは異なるIPアドレスを抽出する。そして特定処理部22は,それらのIPアドレスに基づいて,資産情報記憶部23を参照し,それぞれのIPアドレスに対応するネットワーク機器4のMACアドレスを抽出する。
【0074】
このようにして抽出したMACアドレスや,資産情報記憶部23を参照した際の端末IDが共通している場合,同一のネットワーク機器4であると判定できるので,ネットワーク遮断要求処理部24は,かかる判定をした場合には,一つのネットワーク機器4に対してのみ,ネットワーク遮断要求通知を送る。
【0075】
以上のような処理を実行することで,不要なネットワーク遮断要求通知を発信しないように構成することができる。
【実施例4】
【0076】
実施例1乃至実施例3の変形例として,ネットワーク監視システム1は,以下の構成を採ることも可能である。
【0077】
マスターサーバ2は,通信中継装置3から受け付けるSNMPトラップの通知内容と重要度(重要ポイント)とを対応付けて記憶する通知重要度記憶部25を備える。また,マスターサーバ2は,情報受付処理部21で受け付けたSNMPトラップを,受け付けた日時情報とともに記憶するSNMP通知記憶部26を備える。この場合のネットワーク監視システム1の全体の概念の一例を図8に示す。
【0078】
そして,マスターサーバ2の特定処理部22は,同一のMACアドレスに対する一定の時間内のSNMPトラップをSNMP通知記憶部26を参照して特定し,特定したSNMPトラップの通知内容と重要度に基づいて,通知重要度記憶部25を参照することでポイント化する。そして,合計した当該MACアドレスに対する重要ポイントの合計値が所定値を超えた場合に,S120以降の処理,すなわち,資産情報記憶部23を参照して,ネットワーク機器4の特定処理などを実行するようにしてもよい。なお,同一のMACアドレス以外にも,同一のIPアドレスやネットワークポートとしてもよく,ネットワークにおけるネットワーク機器4の識別のために用いる情報であればいかなるものであってもよい。
【実施例5】
【0079】
異なる変形例として,マスターサーバ2は,通信中継装置3から受け付けるシステムログの状態と重要度(重要ポイント)とを対応付けて記憶する状態重要度記憶部27を備える。また,マスターサーバ2は,情報受付処理部21で受け付けたシステムログを,受け付けた日時情報とともに記憶するシステムログ記憶部28を備える。この場合のネットワーク監視システム1の全体の概念の一例を図9に示す。
【0080】
そして,マスターサーバ2の特定処理部22は,同一のIPアドレスに対する一定の時間内のシステムログをシステムログ記憶部28を参照して特定し,特定したシステムログの状態と重要度に基づいて,状態重要度記憶部27を参照することでポイント化する。そして,合計した当該IPアドレスに対する重要ポイントの合計値が所定値を超えた場合に,S230以降の処理,すなわち,資産情報記憶部23を参照して,ネットワーク機器4の特定処理などを実行するようにしてもよい。
【0081】
なお,実施例4と実施例5については,ネットワーク監視システム1の機能として同時に備えていてもよい。
【実施例6】
【0082】
実施例4,5の異なる変形例として,特定処理部22で特定してネットワーク遮断要求処理部24がネットワーク通信の遮断の要求通知を送ったネットワーク機器4のIPアドレスと同じセグメント情報を有する,ほかのネットワーク機器4を,資産情報記憶部23を参照して特定する。そして,特定した,ほかのネットワーク機器4について,重要ポイントの合計値と比較する所定値(閾値)は,通常よりも低い値(検出しやすい値)とするように設定してもよい。
【0083】
また,特定処理部22で特定してネットワーク遮断要求処理部24がネットワーク通信の遮断の要求通知を送ったネットワーク機器4と同じポートに接続する,ほかのネットワーク機器4を,資産情報記憶部23を参照して特定する。そして,特定した,ほかのネットワーク機器4について,重要ポイントの合計値と比較する所定値(閾値)は,遮断されていないほかのポートとは異なる値,たとえば,ほかのポートに接続されているネットワーク機器4の合計値と比較する所定値(閾値)よりも低い値(検出しやすい値)とするように設定してもよい。
【産業上の利用可能性】
【0084】
本発明のネットワーク監視システム1を用いることによって,感染の疑いがあるコンピュータに対して,直接,制御を行うので,従来よりも確実に,ウィルス感染の拡大を防止することができる。また,感染の疑いがあるコンピュータに対してネットワーク遮断の制御指示を行う場合,当該コンピュータから応答を受け取ることで,その制御指示が確実に到達したことを確認できるので,ネットワーク遮断の確実性を高めることができる。
【符号の説明】
【0085】
1:ネットワーク監視システム
2:マスターサーバ
3:通信中継装置
4:ネットワーク機器
21:情報受付処理部
22:特定処理部
23:資産情報記憶部
24:ネットワーク遮断要求処理部
25:通知重要度記憶部
26:SNMP通知記憶部
27:状態重要度記憶部
28:システムログ記憶部
41:クライアント側処理部
42:クライアント端末
70:演算装置
71:記憶装置
72:表示装置
73:入力装置
74:通信装置
図1
図2
図3
図4
図5
図6
図7
図8
図9
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.