特許第6943196号(P6943196)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電信電話株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電信電話株式会社の特許一覧

(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6943196
(24)【登録日】2021年9月13日
(45)【発行日】2021年9月29日
(54)【発明の名称】制御システム及び制御方法
(51)【国際特許分類】
   H04L 12/70 20130101AFI20210916BHJP
【FI】
   H04L12/70 100Z
【請求項の数】6
【全頁数】31
(21)【出願番号】特願2018-18152(P2018-18152)
(22)【出願日】2018年2月5日
(65)【公開番号】特開2019-135807(P2019-135807A)
(43)【公開日】2019年8月15日
【審査請求日】2019年12月19日
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】特許業務法人酒井国際特許事務所
(72)【発明者】
【氏名】鈴木 裕志
(72)【発明者】
【氏名】林 裕平
(72)【発明者】
【氏名】西岡 孟朗
(72)【発明者】
【氏名】阪井 勝彦
(72)【発明者】
【氏名】工藤 伊知郎
【審査官】 大石 博見
(56)【参考文献】
【文献】 鈴木 昭徳 Akinori SUZUKI,BGP Flowspec を拡張したブラックホールルーティングの適用性向上,電子情報通信学会2017年通信ソサイエティ大会講演論文集2 PROCEEDINGS OF THE 2017 IEICE COMMUNICATIONS SOCIETY CONFERENCE,日本,一般社団法人電子情報通信学会,2017年08月29日,p25
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/70
(57)【特許請求の範囲】
【請求項1】
集中制御装置と、複数のネットワークと、を有する制御システムであって、
前記複数のネットワークのうちの第1のネットワークに備えられた第1のセキュリティシステムは、
前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられたセキュリティシステムから依頼されたサーバ攻撃への対処を行う対処部と、
前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定部と、
前記判定部によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムに対し、前記集中制御装置を介して、前記第1のサーバ攻撃への対処を依頼する依頼部と、
を有し、
前記集中制御装置は、
前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部と、
前記依頼部による依頼を受け付け、記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムを特定し、特定したセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する代理依頼部と、
を有することを特徴とする制御システム。
【請求項2】
情報管理装置と、複数のネットワークと、を有する制御システムであって、
前記複数のネットワークのうちの第1のネットワークに備えられた第1のセキュリティシステムは、
前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられたセキュリティシステムから依頼されたサーバ攻撃への対処を行う対処部と、
前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定部と、
前記判定部によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムの情報を前記情報管理装置に要求する依頼部と、
を有し、
前記情報管理装置は、
前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムを特定し、特定したセキュリティシステムを前記依頼部に通知し、
前記依頼部は、前記特定したセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼することを特徴とする制御システム。
【請求項3】
複数のネットワークを有する制御システムであって、
前記複数のネットワークのうちの第1のネットワークに備えられた第1のセキュリティシステムは、
前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられたセキュリティシステムから依頼されたサーバ攻撃への対処を行う対処部と、
前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定部と、
前記判定部によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する依頼部と、
前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部と、
を有し、
前記依頼部は、前記記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムを特定し、特定したセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼することを特徴とする制御システム。
【請求項4】
集中制御装置と、複数のネットワークと、を有する制御システムで実行される制御方法であって、
前記複数のネットワークのうちの第1のネットワークに備えられた第1のセキュリティシステムであって、前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられたセキュリティシステムから依頼されたサーバ攻撃への対処を行う対処部を有する第1のセキュリティシステムが、前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定工程と、
前記第1のセキュリティシステムが、前記判定工程によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムに対し、前記集中制御装置を介して、前記第1のサーバ攻撃への対処を依頼する依頼工程と、
前記集中制御装置が、前記依頼工程による依頼を受け付け、前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムを特定し、特定したセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する代理依頼工程と、
を含むことを特徴とする制御方法。
【請求項5】
情報管理装置と、複数のネットワークと、を有する制御システムで実行される制御方法であって、
前記複数のネットワークのうちの第1のネットワークに備えられた第1のセキュリティシステムであって、前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられたセキュリティシステムから依頼されたサーバ攻撃への対処を行う対処部を有する第1のセキュリティシステムが、前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定工程と、
前記第1のセキュリティシステムが、前記判定工程によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムの情報を前記情報管理装置に要求する要求工程と、
前記情報管理装置が、前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムを特定し、特定したセキュリティシステムを前記第1のセキュリティシステムに通知する通知工程と、
前記第1のセキュリティシステムが、前記特定したセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する依頼工程と、
を含むことを特徴とする制御方法。
【請求項6】
複数のネットワークを有する制御システムで実行される制御方法であって、
前記複数のネットワークのうちの第1のネットワークに備えられた第1のセキュリティシステムであって、前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられたセキュリティシステムから依頼されたサーバ攻撃への対処を行う対処部を有する第1のセキュリティシステムが、前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定工程と、
前記第1のセキュリティシステムが、前記判定工程によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する第1の依頼工程と、
前記第1のセキュリティシステムが、前記複数のネットワークのそれぞれに備えられた制御判断装置ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する記憶部を参照し、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムを特定し、特定したセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する第2の依頼工程と、
を含むことを特徴とする制御方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、制御システム、制御判断装置及び制御方法に関する。
【背景技術】
【0002】
従来、ネットワーク事業者は、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)及びDDoS(Distributed Denial of Service)攻撃対策等の機能を持つセキュリティシステムを使って、管理しているネットワークで発生するサーバ攻撃に対処している。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】Wikipedia、“ネットワーク・セキュリティ”、[online]、[平成30年1月22日検索]、インターネット(https://ja.wikipedia.org/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%83%BB%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3)
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、従来の技術には、各ネットワークで実施可能なサーバ攻撃への対処方法が限定的である場合があるという問題がある。例えば、各ネットワーク事業者が単一の種類のセキュリティシステムのみを使っている場合、当該セキュリティシステムで対処できないサーバ攻撃に対しては対処することができないことが考えられる。
【課題を解決するための手段】
【0005】
上述した課題を解決し、目的を達成するために、本発明の制御システムは、複数のネットワークを有する制御システムであって、前記複数のネットワークのうちの第1のネットワークに備えられた第1のセキュリティシステムは、前記第1のネットワークで発生したサーバ攻撃への対処、又は、前記複数のネットワークのうちの他のネットワークに備えられたセキュリティシステムから依頼されたサーバ攻撃への対処を行う対処部と、前記第1のネットワークで発生した第1のサーバ攻撃への前記対処部による対処が可能であるか否かを判定する判定部と、前記判定部によって、前記第1のサーバ攻撃への前記対処部による対処が可能でないと判定された場合、前記第1のサーバ攻撃への対処が可能な他のセキュリティシステムに対し前記第1のサーバ攻撃への対処を依頼する依頼部と、を有することを特徴とする。
【発明の効果】
【0006】
本発明によれば、各ネットワークで実施可能なサーバ攻撃への対処方法を増加させることができる。
【図面の簡単な説明】
【0007】
図1図1は、第1の実施形態に係る制御システムの構成例を示す図である。
図2図2は、第1の実施形態に係る集中制御装置の構成例を示す図である。
図3図3は、第1の実施形態に係る制御判断装置の構成例を示す図である。
図4図4は、第1の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
図5図5は、第1の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
図6図6は、第1の実施形態に係る制御判断装置の分析処理の流れを示すフローチャートである。
図7図7は、第1の実施形態に係る集中制御装置の分析処理の流れを示すフローチャートである。
図8図8は、第1の実施形態に係る制御判断装置の防御処理の流れを示すフローチャートである。
図9図9は、第1の実施形態に係る集中制御装置の防御処理の流れを示すフローチャートである。
図10図10は、第2の実施形態に係る制御システムの構成例を示す図である。
図11図11は、第2の実施形態に係る情報管理装置の構成例を示す図である。
図12図12は、第2の実施形態に係る制御判断装置の構成例を示す図である。
図13図13は、第2の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
図14図14は、第2の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
図15図15は、第2の実施形態に係る制御判断装置の分析処理の流れを示すフローチャートである。
図16図16は、第2の実施形態に係る制御判断装置の分析処理の流れを示すフローチャートである。
図17図17は、第2の実施形態に係る制御判断装置の防御処理の流れを示すフローチャートである。
図18図18は、第2の実施形態に係る制御判断装置の防御処理の流れを示すフローチャートである。
図19図19は、第3の実施形態に係る制御システムの構成例を示す図である。
図20図20は、第3の実施形態に係る制御判断装置の構成例を示す図である。
図21図21は、第3の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
図22図22は、第3の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
図23図23は、第3の実施形態に係る制御判断装置の分析処理の流れを示すフローチャートである。
図24図24は、第3の実施形態に係る制御判断装置の防御処理の流れを示すフローチャートである。
図25図25は、実施形態に係る制御判断装置として機能するコンピュータの一例を示す図である。
【発明を実施するための形態】
【0008】
以下に、本願に係る制御システム、制御判断装置及び制御方法の実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。
【0009】
[第1の実施形態の構成]
まず、図1を用いて、第1の実施形態に係る制御システムの構成について説明する。図1は、第1の実施形態に係る制御システムの構成例を示す図である。図1に示すように、制御システム1は、集中制御装置11、ネットワーク1Naに備えられたセキュリティシステム1Sa、ネットワーク1Nbに備えられたセキュリティシステム1Sb及びネットワーク1Ncに備えられたセキュリティシステム1Scを有する。例えば、ネットワーク1Na、ネットワーク1Nb及びネットワーク1Ncは、それぞれ異なるネットワーク事業者が管理するネットワークである。
【0010】
以降の説明では、ネットワーク1Na、ネットワーク1Nb及びネットワーク1Ncを区別せずにネットワーク1Nと呼ぶ場合がある。また、以降の説明では、セキュリティシステム1Sa、セキュリティシステム1Sb及びセキュリティシステム1Scを区別せずにセキュリティシステム1Sと呼ぶ場合がある。
【0011】
セキュリティシステム1Saは、制御判断装置12a、検知装置13a及び対処装置14aを有する。また、セキュリティシステム1Sbは、制御判断装置12b、検知装置13b及び対処装置14bを有する。また、セキュリティシステム1Scは、制御判断装置12c、検知装置13c及び対処装置14cを有する。
【0012】
制御判断装置12a、制御判断装置12b及び制御判断装置12cは、いずれも同様の機能を有する。以降の説明では、制御判断装置12a、制御判断装置12b及び制御判断装置12cを区別せずに制御判断装置12と呼ぶ場合がある。また、検知装置13a、検知装置13b及び検知装置13cは、いずれも同様の機能を有する。以降の説明では、検知装置13a、検知装置13b及び検知装置13cを区別せずに検知装置13と呼ぶ場合がある。検知装置13は、IDS等を用いて、ネットワーク1Nで発生したサーバ攻撃を検知する。また、対処装置14a、対処装置14b及び対処装置14cは、いずれも同様の機能を有する。以降の説明では、対処装置14a、対処装置14b及び対処装置14cを区別せずに対処装置14と呼ぶ場合がある。対処装置14は、IPS等を用いてサーバ攻撃の分析及びサーバ攻撃に対する防御を行う。
【0013】
対処装置14は、ネットワーク1Nで発生したサーバ攻撃への対処、又は、複数のネットワーク1Nのうちの他のネットワーク1Nに備えられたセキュリティシステム1Sから依頼されたサーバ攻撃への対処を行う。ただし、後に説明する通り、対処装置14aと対処装置14bと対処装置14cとでは、サーバ攻撃に対して実施可能な対処方法が異なる。
【0014】
集中制御装置11は、対処メニューDB1121を有する。対処メニューDB1121には、ネットワーク1Nに備えられたセキュリティシステム1Sの対処装置14ごとの、サーバ攻撃に対して実施可能な対処方法が格納されている。
【0015】
例えば、図1に示すように、ネットワーク1Naに備えられたセキュリティシステム1Saの対処装置14aは、「不正アクセス検知」による分析及び「不正アクセス遮断」による防御を実施することができる。また、例えば、ネットワーク1Nbに備えられたセキュリティシステム1Sbの対処装置14bは、「不正アクセス検知」又は「DDoS検知」による分析及び「不正アクセス遮断」又は「Mitigation」による防御を実施することができる。
【0016】
ここで、制御システム1の処理の概要を説明する。まず、セキュリティシステム1Saの検知装置13aが、ネットワーク1Naにおけるサーバ攻撃を検知する。そして、制御判断装置12aは、対処装置14aでは当該サーバ攻撃に対処できないと判定した場合、集中制御装置11に対処を依頼する(ステップS11)。
【0017】
集中制御装置11は、対処メニューDB1121を参照し、セキュリティシステム1Saから依頼されたサーバ攻撃への対処が可能なセキュリティシステム1Sbを抽出する。そして、集中制御装置11は、セキュリティシステム1Sbにサーバ攻撃への対処を依頼する(ステップS12)。
【0018】
セキュリティシステム1Sbは、サーバ攻撃への対処を行い、対処結果を集中制御装置11に通知する(ステップS13)。さらに、集中制御装置11は、対処結果を制御判断装置12aに通知する(ステップS14)。
【0019】
図2を用いて、集中制御装置11の構成について説明する。図2は、第1の実施形態に係る集中制御装置の構成例を示す図である。図2に示すように、集中制御装置11は、通信部111、記憶部112及び制御部113を有する。
【0020】
通信部111は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部111はNIC(Network Interface Card)である。例えば、通信部111は、制御判断装置12a、制御判断装置12b及び制御判断装置12cとの間でデータ通信を行う。
【0021】
記憶部112は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部112は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。記憶部112は、集中制御装置11で実行されるOS(Operating System)や各種プログラムを記憶する。さらに、記憶部112は、プログラムの実行で用いられる各種情報を記憶する。例えば、記憶部112は、対処メニューDB1121及びASDB1122を記憶する。
【0022】
対処メニューDB1121には、図1を用いて説明した通り、ネットワーク1Nに備えられたセキュリティシステム1Sの対処装置14ごとの、サーバ攻撃に対して実施可能な対処方法が格納されている。ASDB1122には、各ネットワーク1N間の通信経路が格納されている。ここで、ネットワーク1Na、ネットワーク1Nb及びネットワーク1Ncは、互いにAS(Autonomous System)に属しているものとする。
【0023】
制御部113は、集中制御装置11全体を制御する。制御部113は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部113は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部113は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部113は、経路確認部1131、判定部1132、リソース確認部1133及び代理依頼部1134を有する。
【0024】
経路確認部1131は、ASDB1122を参照し、各ネットワーク1Nへの通信経路を確認する。判定部1132は、対処メニューDB1121を参照し、依頼されたサーバ攻撃への対処を実施可能なセキュリティシステム1Sが存在するか否かを判定する。
【0025】
リソース確認部1133は、サーバ攻撃への対処を依頼するセキュリティシステム1Sの装置のリソースを確認する。具体的には、リソース確認部1133は、セキュリティシステム1Sに対処装置14のリソースの使用可否の確認を要求し、セキュリティシステム1Sから確認結果の通知を受ける。
【0026】
代理依頼部1134は、後に説明する制御判断装置12の依頼部1233による依頼を受け付け、記憶部112を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム1Sを特定し、特定したセキュリティシステム1Sに対し第1のサーバ攻撃の対処を依頼する。
【0027】
具体的には、代理依頼部1134は、判定部1132によってサーバ攻撃への対処を実施可能なセキュリティシステム1Sが存在すると判定され、経路確認部1131によって当該セキュリティシステム1Sへの通信経路が確認され、リソース確認部1133によって当該セキュリティシステム1Sの対処装置14のリソースが使用可能であることが確認された場合に、当該セキュリティシステム1Sに対してサーバ攻撃への対処を依頼する。例えば、図1の例では、代理依頼部1134は、制御判断装置12aの代理として、制御判断装置12bにサーバ攻撃への対処を依頼する。
【0028】
図3を用いて、制御判断装置12の構成について説明する。図3は、第1の実施形態に係る制御判断装置の構成例を示す図である。図3に示すように、制御判断装置12は、通信部121、記憶部122及び制御部123を有する。
【0029】
通信部121は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部121はNICである。例えば、通信部121は、集中制御装置11との間でデータ通信を行う。
【0030】
記憶部122は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部122は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部122は、制御判断装置12で実行されるOSや各種プログラムを記憶する。さらに、記憶部122は、プログラムの実行で用いられる各種情報を記憶する。例えば、記憶部122は、自網対処メニューDB1221を記憶する。
【0031】
自網対処メニューDB1221には、サーバ攻撃に対してセキュリティシステム1S自身の対処装置14で実施可能な対処方法が格納されている。例えば、制御判断装置12aの自網対処メニューDB1221には、図1に示す対処メニューDB1121のネットワーク1Naに該当する部分と同じデータが格納されている。
【0032】
制御部123は、制御判断装置12全体を制御する。制御部123は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部123は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部123は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部123は、判定部1231、リソース確認部1232、依頼部1233を有する。
【0033】
判定部1231は、ネットワーク1Nで発生した第1のサーバ攻撃への対処装置14による対処が可能であるか否かを判定する。判定部1231は、自網対処メニューDB1221を参照し、検知されたサーバ攻撃がセキュリティシステム1S自身の対処装置14で対処可能なものであるか否かを判定する。リソース確認部1232は、サーバ攻撃への対処を実施する際に、対処装置14のリソースの使用可否を確認する。
【0034】
依頼部1233は、判定部1231によって、第1のサーバ攻撃への対処装置14による対処が可能でないと判定された場合、第1のサーバ攻撃の対処が可能な他のセキュリティシステム1Sに対し第1のサーバ攻撃の対処を依頼する。第1の実施形態では、依頼部1233は、集中制御装置11を介して他のセキュリティシステム1Sに対し依頼を行う。例えば、図1の例では、代理依頼部1134は、制御判断装置12aの代理として、制御判断装置12bにサーバ攻撃への対処を依頼する。
【0035】
一方、依頼部1233は、判定部1231によって、検知されたサーバ攻撃がセキュリティシステム1S自身の対処装置14で対処可能なものであると判定され、リソース確認部1232によって対処装置14のリソースが使用可能であることが確認された場合には、対処装置14に対してサーバ攻撃への対処を依頼する。
【0036】
[第1の実施形態の処理]
図4及び5を用いて、本実施形態の制御システム1の全体の処理の流れを説明する。図4及び5は、第1の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
【0037】
[分析処理(全体)]
まず、図4を用いて、ネットワーク1Naにおいて発生したサーバ攻撃の分析を行う場合の例を説明する。図4に示すように、検知装置13aは、ネットワーク1Naにおいて発生したサーバ攻撃を検知すると、検知情報を制御判断装置12aに通知する(ステップS101)。そして、制御判断装置12aは、検知情報を基に、サーバ攻撃がネットワーク1Naで分析可能なものであるか否かを判定する(ステップS102)。
【0038】
サーバ攻撃がネットワーク1Naで分析可能なものである場合、制御判断装置12aは、対処装置14aのリソースを確認し(ステップS103)、対処装置14aからリソースの通知を受け取った後(ステップS104)、対処装置14aにサーバ攻撃の分析を依頼し(ステップS105)、対処装置14aから分析結果の通知を受け取る(ステップS106)。
【0039】
一方、サーバ攻撃がネットワーク1Naで分析不可のものである場合、制御判断装置12aは、集中制御装置11に、サーバ攻撃の分析依頼を通知する(ステップS107)。ここで、集中制御装置11は、集中制御装置11の記憶部を参照して、依頼されたサーバ攻撃の分析が可能な対処装置14bが備えられたネットワーク1Nbを抽出する。
【0040】
集中制御装置11は、制御判断装置12bに対処装置14bのリソースの確認を指示する(ステップS108)。制御判断装置12bは、対処装置14bのリソースを確認し(ステップS109)、対処装置14aから受け取ったリソースの通知を(ステップS110)、集中制御装置11に通知する(ステップS111)。
【0041】
そして、集中制御装置11は、制御判断装置12bにサーバ攻撃の分析を依頼する(ステップS112)。そして、制御判断装置12bは、対処装置14bにサーバ攻撃の分析を依頼し(ステップS113)、対処装置14bから分析結果の通知を受け取り(ステップS114)、受け取った分析結果を集中制御装置11に通知する(ステップS115)。さらに、集中制御装置11は、サーバ攻撃の分析結果を制御判断装置12aに通知する(ステップS116)。
【0042】
[防御処理(全体)]
次に、図5を用いて、ネットワーク1Naにおいて発生したサーバ攻撃からの防御を行う場合の例を説明する。図5に示すように、サーバ攻撃の分析が終わった後、制御判断装置12aは、分析結果を基に、サーバ攻撃がネットワーク1Naで防御可能なものであるか否かを判定する(ステップS121)。
【0043】
サーバ攻撃がネットワーク1Naで防御可能なものである場合、制御判断装置12aは、対処装置14aのリソースを確認し(ステップS122)、対処装置14aからリソースの通知を受け取った後(ステップS123)、対処装置14aにサーバ攻撃からの防御を依頼し(ステップS124)、対処装置14aから防御結果の通知を受け取る(ステップS125)。
【0044】
一方、サーバ攻撃がネットワーク1Naで防御不可のものである場合、制御判断装置12aは、集中制御装置11に、サーバ攻撃からの防御依頼を通知する(ステップS126)。ここで、集中制御装置11は、集中制御装置11の記憶部を参照して、依頼されたサーバ攻撃からの防御が可能な対処装置14bが備えられたネットワーク1Nbを抽出する。
【0045】
集中制御装置11は、制御判断装置12bに対処装置14bのリソースの確認を指示する(ステップS127)。制御判断装置12bは、対処装置14bのリソースを確認し(ステップS128)、対処装置14aから受け取ったリソースの通知を(ステップS129)、集中制御装置11に通知する(ステップS130)。
【0046】
そして、集中制御装置11は、制御判断装置12bにサーバ攻撃からの防御を依頼する(ステップS131)。そして、制御判断装置12bは、対処装置14bにサーバ攻撃からの防御を依頼し(ステップS132)、対処装置14bから防御結果の通知を受け取り(ステップS133)、受け取った防御結果を集中制御装置11に通知する(ステップS134)。さらに、集中制御装置11は、サーバ攻撃からの防御結果を制御判断装置12aに通知する(ステップS135)。
【0047】
次に、図6から9を用いて、本実施形態の各装置の処理の流れについて説明する。図6は、第1の実施形態に係る制御判断装置の分析処理の流れを示すフローチャートである。図7は、第1の実施形態に係る集中制御装置の分析処理の流れを示すフローチャートである。図8は、第1の実施形態に係る制御判断装置の防御処理の流れを示すフローチャートである。図9は、第1の実施形態に係る集中制御装置の防御処理の流れを示すフローチャートである。
【0048】
[分析処理(各装置)]
図6に示すように、制御判断装置12aは、サーバ攻撃の検知情報を受信する(ステップS1101)。次に、制御判断装置12aは、検知情報を基に、サーバ攻撃がネットワーク1Naで分析可能なものであるか否かを判定する(ステップS1102)。
【0049】
サーバ攻撃がネットワーク1Naで分析可能なものである場合(ステップS1102、分析可)、制御判断装置12aは、ネットワーク1Naの対処装置14aのリソースを確認する(ステップS1103)。リソースがない場合(ステップS1104、リソース無)、制御判断装置12aは所定時間経過後に再びリソースの確認を行う。また、リソースがある場合(ステップS1104、リソース有)、制御判断装置12aは、対処装置14aに分析を実施させる(ステップS1105)。
【0050】
また、サーバ攻撃がネットワーク1Naで分析可能なものでない場合(ステップS1102、分析不可)、制御判断装置12は、集中制御装置11にサーバ攻撃の分析を依頼する(ステップS1106)。
【0051】
図7に示すように、集中制御装置11は、サーバ攻撃の分析の依頼を受信すると(ステップS1201)、集中制御装置11に記憶されたDBを参照し、サーバ攻撃の分析可否を判定する(ステップS1202)。サーバ攻撃の分析が不可の場合(ステップS1202、分析不可)、集中制御装置11は、制御判断装置12aに分析不可である旨を通知し処理を終了する(ステップS1203)。
【0052】
サーバ攻撃の分析が可能な場合(ステップS1202、分析可)、集中制御装置11は、分析可能な対処装置14bを備えたネットワーク1Nbまでの通信経路を確認し(ステップS1204)、対処装置14bのリソースを確認する(ステップS1205)。
【0053】
対処装置14bのリソースがない場合(ステップS1206、リソース無)、集中制御装置11は、制御判断装置12aに分析不可である旨を通知し処理を終了する(ステップS1207)。
【0054】
一方、対処装置14bのリソースがある場合(ステップS1206、リソース有)、集中制御装置11は、制御判断装置12bにサーバ攻撃の分析を依頼し(ステップS1208)、分析完了後に分析結果を制御判断装置12aに送信する(ステップS1209)。
【0055】
[防御処理(各装置)]
図8に示すように、制御判断装置12aは、サーバ攻撃の分析結果を受信する(ステップS1301)。次に、制御判断装置12aは、分析結果を基に、サーバ攻撃がネットワーク1Naで防御可能なものであるか否かを判定する(ステップS1302)。
【0056】
サーバ攻撃がネットワーク1Naで防御可能なものである場合(ステップS1302、防御可)、制御判断装置12aは、ネットワーク1Naの対処装置14aのリソースを確認する(ステップS1303)。リソースがない場合(ステップS1304、リソース無)、制御判断装置12aは所定時間経過後に再びリソースの確認を行う。また、リソースがある場合(ステップS1304、リソース有)、制御判断装置12aは、対処装置14aに防御を実施させる(ステップS1305)。
【0057】
また、サーバ攻撃がネットワーク1Naで防御可能なものでない場合(ステップS1302、防御不可)、制御判断装置12は、集中制御装置11にサーバ攻撃からの防御を依頼する(ステップS1306)。
【0058】
図9に示すように、集中制御装置11は、サーバ攻撃からの防御の依頼を受信すると(ステップS1401)、集中制御装置11に記憶されたDBを参照し、サーバ攻撃からの防御可否を判定する(ステップS1402)。サーバ攻撃からの防御が不可の場合(ステップS1402、防御不可)、集中制御装置11は、制御判断装置12aに防御不可である旨を通知し処理を終了する(ステップS1403)。
【0059】
サーバ攻撃からの防御が可能な場合(ステップS1402、防御可)、集中制御装置11は、防御可能な対処装置14bを備えたネットワーク1Nbまでの通信経路を確認し(ステップS1404)、対処装置14bのリソースを確認する(ステップS1405)。
【0060】
対処装置14bのリソースがない場合(ステップS1406、リソース無)、集中制御装置11は、制御判断装置12aに防御不可である旨を通知し処理を終了する(ステップS1407)。
【0061】
一方、対処装置14bのリソースがある場合(ステップS1406、リソース有)、集中制御装置11は、制御判断装置12bにサーバ攻撃からの防御を依頼し(ステップS1408)、防御完了後に防御結果を制御判断装置12aに送信する(ステップS1409)。
【0062】
[第1の実施形態の効果]
対処装置14は、ネットワーク1Nで発生したサーバ攻撃への対処、又は、複数のネットワーク1Nのうちの他のネットワーク1Nに備えられたセキュリティシステム1Sから依頼されたサーバ攻撃への対処を行う。判定部1231は、ネットワーク1Nで発生した第1のサーバ攻撃への対処装置14による対処が可能であるか否かを判定する。依頼部1233は、判定部1231によって、第1のサーバ攻撃への対処装置14による対処が可能でないと判定された場合、第1のサーバ攻撃の対処が可能な他のセキュリティシステム1Sに対し第1のサーバ攻撃の対処を依頼する。
【0063】
このように、本実施形態では、セキュリティシステム単独では対処できないサーバ攻撃が発生した場合であっても、他のセキュリティシステムに対処を依頼することができる。その結果、本実施形態によれば、ネットワークで実施可能なサーバ攻撃への対処方法を増加させることができるようになる。
【0064】
集中制御装置11の記憶部112は、複数のネットワーク1Nのそれぞれに備えられた制御判断装置12ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する。集中制御装置11の代理依頼部1134は、依頼部1233による依頼を受け付け、記憶部112を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム1Sを特定し、特定したセキュリティシステム1Sに対し第1のサーバ攻撃の対処を依頼する。
【0065】
このように、本実施形態では、集中制御装置11が各セキュリティシステムで実施可能な対処方法を記憶しておき、さらにセキュリティシステム間の対処の依頼処理を代行する。これにより、各セキュリティシステムの記憶領域の使用量及び処理負荷が低減される。
【0066】
[第2の実施形態]
第2の実施形態について説明する。第1の実施形態では、集中制御装置11が各セキュリティシステムの代理としてサーバ攻撃への対処の依頼処理を行う。これに対し、第2の実施形態では、各セキュリティシステムが直接サーバ攻撃への対処の依頼処理を行う。
【0067】
また、第1実施形態の処理部と同様の名称の第2の実施形態の処理部は、対応する第1の実施形態の処理部と基本的には同様の処理を行う。例えば、第2の実施形態の検知装置23aは、第1の実施形態の検知装置13aと同様の処理を行う。以降の説明では、第1の実施形態と第2の実施形態の共通点については適宜説明を省略し、相違点について詳しく説明する。
【0068】
[第2の実施形態の構成]
まず、図10を用いて、第2の実施形態に係る制御システムの構成について説明する。図10は、第2の実施形態に係る制御システムの構成例を示す図である。図10に示すように、制御システム2は、情報管理装置21、ネットワーク2Naに備えられたセキュリティシステム2Sa、ネットワーク2Nbに備えられたセキュリティシステム2Sb及びネットワーク2Ncに備えられたセキュリティシステム2Scを有する。
【0069】
以降の説明では、ネットワーク2Na、ネットワーク2Nb及びネットワーク2Ncを区別せずにネットワーク2Nと呼ぶ場合がある。また、以降の説明では、セキュリティシステム2Sa、セキュリティシステム2Sb及びセキュリティシステム2Scを区別せずにセキュリティシステム2Sと呼ぶ場合がある。
【0070】
セキュリティシステム2Saは、制御判断装置22a、検知装置23a及び対処装置24aを有する。また、セキュリティシステム2Sbは、制御判断装置22b、検知装置23b及び対処装置24bを有する。また、セキュリティシステム2Scは、制御判断装置22c、検知装置23c及び対処装置24cを有する。
【0071】
制御判断装置22a、制御判断装置22b及び制御判断装置22cは、いずれも同様の機能を有する。以降の説明では、制御判断装置22a、制御判断装置22b及び制御判断装置22cを区別せずに制御判断装置22と呼ぶ場合がある。また、検知装置23a、検知装置23b及び検知装置23cは、いずれも同様の機能を有する。以降の説明では、検知装置23a、検知装置23b及び検知装置23cを区別せずに検知装置23と呼ぶ場合がある。また、対処装置24a、対処装置24b及び対処装置24cは、いずれも同様の機能を有する。以降の説明では、対処装置24a、対処装置24b及び対処装置24cを区別せずに対処装置24と呼ぶ場合がある。
【0072】
検知装置23及び対処装置24は、それぞれ第1の実施形態の検知装置13及び対処装置14と同様の処理を行う。また、対処装置24aと対処装置24bと対処装置24cとでは、サーバ攻撃に対して実施可能な対処方法が異なる点についても第1の実施形態と同様である。
【0073】
情報管理装置21は、対処メニューDB2121を有する。第1の実施形態の対処メニューDB2121と同様に、対処メニューDB2121には、ネットワーク2Nに備えられたセキュリティシステム2Sの対処装置24ごとの、サーバ攻撃に対して実施可能な対処方法が格納されている。
【0074】
ここで、制御システム2の処理の概要を説明する。まず、セキュリティシステム2Saの検知装置23aが、ネットワーク2Naにおけるサーバ攻撃を検知する。そして、制御判断装置22aは、対処装置24aでは当該サーバ攻撃に対処できないと判定した場合、情報管理装置21に、サーバ攻撃に対処可能なネットワーク2Nの情報の提供を要求する(ステップS21)。
【0075】
情報管理装置21は、対処メニューDB2121を参照し、セキュリティシステム2Saから依頼されたサーバ攻撃への対処が可能なセキュリティシステム2Sbを抽出する。そして、情報管理装置21は、セキュリティシステム2Sbがサーバ攻撃に対処可能であることを制御判断装置22aに通知する(ステップS22)。
【0076】
そして、制御判断装置22aは、セキュリティシステム2Sbにサーバ攻撃への対処を依頼する(ステップS23)。セキュリティシステム2Sbは、サーバ攻撃への対処を行い、対処結果を制御判断装置22aに通知する(ステップS24)。
【0077】
図11を用いて、情報管理装置21の構成について説明する。図11は、第2の実施形態に係る情報管理装置の構成例を示す図である。図11に示すように、情報管理装置21は、通信部211、記憶部212及び制御部213を有する。
【0078】
通信部211は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部211はNICである。例えば、通信部211は、制御判断装置22a、制御判断装置22b及び制御判断装置22cとの間でデータ通信を行う。
【0079】
記憶部212は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部212は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部212は、情報管理装置21で実行されるOSや各種プログラムを記憶する。さらに、記憶部212は、プログラムの実行で用いられる各種情報を記憶する。例えば、記憶部212は、対処メニューDB2121を記憶する。
【0080】
対処メニューDB2121には、図10を用いて説明した通り、ネットワーク2Nに備えられたセキュリティシステム2Sの対処装置24ごとの、サーバ攻撃に対して実施可能な対処方法が格納されている。
【0081】
制御部213は、情報管理装置21全体を制御する。制御部213は、例えば、CPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部213は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部213は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部213は、提供部2131を有する。
【0082】
提供部2131は、制御判断装置22からサーバ攻撃に対処可能なネットワーク2Nの情報の提供を要求された場合に、対処メニューDB2121を参照し、サーバ攻撃に対処可能なネットワーク2Nの情報を制御判断装置22に提供する。
【0083】
図12を用いて、制御判断装置22の構成について説明する。図12は、第2の実施形態に係る制御判断装置の構成例を示す図である。図12に示すように、制御判断装置22は、通信部221、記憶部222及び制御部223を有する。
【0084】
通信部221は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部221はNICである。例えば、通信部221は、情報管理装置21、制御判断装置22a、制御判断装置22b及び制御判断装置22cとの間でデータ通信を行う。
【0085】
記憶部222は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部222は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部222は、制御判断装置22で実行されるOSや各種プログラムを記憶する。さらに、記憶部222は、プログラムの実行で用いられる各種情報を記憶する。例えば、記憶部222は、自網対処メニューDB2221及びASDB2222を記憶する。
【0086】
自網対処メニューDB2221には、サーバ攻撃に対してセキュリティシステム2S自身の対処装置24で実施可能な対処方法が格納されている。例えば、制御判断装置22aの自網対処メニューDB2221には、図10に示す対処メニューDB2121のネットワーク2Naに該当する部分と同じデータが格納されている。また、ASDB2222には、各ネットワーク2N間の通信経路が格納されている。
【0087】
制御部223は、制御判断装置22全体を制御する。制御部223は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部223は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部223は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部223は、判定部2231、情報取得部2232、経路確認部2233、リソース確認部2234及び依頼部2235を有する。
【0088】
判定部2231は、ネットワーク2Nで発生した第1のサーバ攻撃への対処装置24による対処が可能であるか否かを判定する。判定部2231は、自網対処メニューDB2221を参照し、検知されたサーバ攻撃がセキュリティシステム2S自身の対処装置24で対処可能なものであるか否かを判定する。
【0089】
また、判定部2231は、情報管理装置21から提供された情報を基に、サーバ攻撃への対処を実施可能なセキュリティシステム2Sが存在するか否かを判定する。なお、情報管理装置21の情報は、情報取得部2232によって取得される。
【0090】
経路確認部2233は、ASDB2222を参照し、各ネットワーク2Nへの通信経路を確認する。リソース確認部2234は、サーバ攻撃への対処を実施する際に、対処装置24のリソースの使用可否を確認する。なお、リソース確認部2234は、自網の対処装置24のリソースを確認してもよいし、他網の対処装置24のリソースを確認してもよい。
【0091】
依頼部2235は、記憶部212を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム2Sを特定し、特定したセキュリティシステム2Sに対し第1のサーバ攻撃の対処を依頼する。
【0092】
依頼部2235は、情報管理装置21に記憶された情報を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム2Sを特定し、特定したセキュリティシステム2Sに対し第1のサーバ攻撃の対処を依頼する。
【0093】
具体的には、依頼部2235は、判定部2231によってサーバ攻撃への対処を実施可能なセキュリティシステム2Sが存在すると判定され、経路確認部2233によって当該セキュリティシステム2Sへの通信経路が確認され、リソース確認部2234によって当該セキュリティシステム2Sの対処装置24のリソースが使用可能であることが確認された場合に、当該セキュリティシステム2Sに対してサーバ攻撃への対処を依頼する。
【0094】
このように、第2の実施形態では、依頼部2235は、他の装置を介することなく、他のセキュリティシステム2Sに対し依頼を行う。例えば、図1の例では、依頼部2235は、制御判断装置22bに直接サーバ攻撃への対処を依頼する。
【0095】
一方、依頼部2235は、判定部2231によって、検知されたサーバ攻撃がセキュリティシステム2S自身の対処装置24で対処可能なものであると判定され、リソース確認部2234によって対処装置24のリソースが使用可能であることが確認された場合には、対処装置24に対してサーバ攻撃への対処を依頼する。
【0096】
[第2の実施形態の処理]
図13及び14を用いて、本実施形態の制御システム2の全体の処理の流れを説明する。図13及び14は、第2の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
【0097】
[分析処理(全体)]
まず、図13を用いて、ネットワーク2Naにおいて発生したサーバ攻撃の分析を行う場合の例を説明する。図13に示すように、検知装置23aは、ネットワーク2Naにおいて発生したサーバ攻撃を検知すると、検知情報を制御判断装置22aに通知する(ステップS201)。そして、制御判断装置22aは、検知情報を基に、サーバ攻撃がネットワーク2Naで分析可能なものであるか否かを判定する(ステップS202)。
【0098】
サーバ攻撃がネットワーク2Naで分析可能なものである場合、制御判断装置22aは、対処装置24aのリソースを確認し(ステップS203)、対処装置24aからリソースの通知を受け取った後(ステップS204)、対処装置24aにサーバ攻撃の分析を依頼し(ステップS205)、対処装置24aから分析結果の通知を受け取る(ステップS206)。
【0099】
一方、サーバ攻撃がネットワーク2Naで分析不可のものである場合、制御判断装置22aは、情報管理装置21から、サーバ攻撃の分析が可能な対処装置24bが備えられたネットワーク2Nbの情報を取得する(ステップS207)。
【0100】
制御判断装置22aは、制御判断装置22bにサーバ攻撃の分析を依頼する(ステップS208)。そして、制御判断装置22bは、対処装置24bのリソースを確認し(ステップS209)、対処装置24aからリソースの通知を受け取る(ステップS210)。
【0101】
そして、制御判断装置22bは、対処装置24bにサーバ攻撃の分析を依頼し(ステップS211)、対処装置24bから分析結果の通知を受け取り(ステップS212)、受け取った分析結果を制御判断装置22aに通知する(ステップS213)。
【0102】
[防御処理(全体)]
次に、図14を用いて、ネットワーク2Naにおいて発生したサーバ攻撃からの防御を行う場合の例を説明する。図14に示すように、制御判断装置22aは、分析結果を基に、サーバ攻撃がネットワーク2Naで防御可能なものであるか否かを判定する(ステップS221)。
【0103】
サーバ攻撃がネットワーク2Naで防御可能なものである場合、制御判断装置22aは、対処装置24aのリソースを確認し(ステップS222)、対処装置24aからリソースの通知を受け取った後(ステップS223)、対処装置24aにサーバ攻撃からの防御を依頼し(ステップS224)、対処装置24aから防御結果の通知を受け取る(ステップS225)。
【0104】
一方、サーバ攻撃がネットワーク2Naで防御不可のものである場合、制御判断装置22aは、情報管理装置21から、サーバ攻撃からの防御が可能な対処装置24bが備えられたネットワーク2Nbの情報を取得する(ステップS226)。
【0105】
制御判断装置22aは、制御判断装置22bにサーバ攻撃からの防御を依頼する(ステップS227)。そして、制御判断装置22bは、対処装置24bのリソースを確認し(ステップS228)、対処装置24aからリソースの通知を受け取る(ステップS229)。
【0106】
そして、制御判断装置22bは、対処装置24bにサーバ攻撃からの防御を依頼し(ステップS230)、対処装置24bから防御結果の通知を受け取り(ステップS231)、受け取った防御結果を制御判断装置22aに通知する(ステップS232)。
【0107】
[分析処理(各装置)]
図15に示すように、制御判断装置22aは、サーバ攻撃の検知情報を受信する(ステップS2101)。次に、制御判断装置22aは、検知情報を基に、サーバ攻撃がネットワーク2Naで分析可能なものであるか否かを判定する(ステップS2102)。
【0108】
サーバ攻撃がネットワーク2Naで分析可能なものである場合(ステップS2102、分析可)、制御判断装置22aは、ネットワーク2Naの対処装置24aのリソースを確認する(ステップS2103)。リソースがない場合(ステップS2104、リソース無)、制御判断装置22aは所定時間経過後に再びリソースの確認を行う。また、リソースがある場合(ステップS2104、リソース有)、制御判断装置22aは、対処装置24aに分析を実施させる(ステップS2105)。
【0109】
また、サーバ攻撃がネットワーク2Naで分析可能なものでない場合(ステップS2102、分析不可)、制御判断装置22は、各ネットワーク2Nへの通信経路を確認しておく(ステップS2107)。そして、制御判断装置22aは、情報管理装置21に記憶されたDBを参照し、サーバ攻撃の分析が可能な対処装置24bが備えられたネットワーク2Nの情報を取得する(ステップS2108)。
【0110】
サーバ攻撃を分析可能な対処装置24が備えられたネットワーク2Nが存在しない場合(ステップS2109、無)、制御判断装置22aは、分析を依頼せずに処理を終了する(ステップS2106)。
【0111】
サーバ攻撃を分析可能な対処装置24bが備えられたネットワーク2Nbが存在する場合(ステップS2109、有)、制御判断装置22aは、ネットワーク2Nbの制御判断装置22bに分析を依頼する(ステップS2110)。
【0112】
図16に示すように、制御判断装置22bは、サーバ攻撃の分析依頼を受信する(ステップS2201)。次に、制御判断装置22bは、分析依頼を基に、サーバ攻撃がネットワーク2Nbで分析可能なものであるか否かを判定する(ステップS2202)。分析不可の場合(ステップS2202、分析不可)、制御判断装置22bは、制御判断装置22aに分析不可である旨を通知し処理を終了する(ステップS2203)。
【0113】
サーバ攻撃がネットワーク2Nbで分析可能なものである場合(ステップS2202、分析可)、制御判断装置22aは、ネットワーク2Naの対処装置24aのリソースを確認する(ステップS2204)。リソースがない場合(ステップS2205、リソース無)、制御判断装置22bは、制御判断装置22aに分析不可である旨を通知し処理を終了する(ステップS2206)。
【0114】
リソースがある場合(ステップS2205、リソース有)、制御判断装置22bは、対処装置24bに分析を依頼し(ステップS2207)、分析完了後に分析結果を制御判断装置22aに送信する(ステップS2208)。
【0115】
[防御処理(各装置)]
図17に示すように、制御判断装置22aは、サーバ攻撃の分析結果を受信する(ステップS2301)。次に、制御判断装置22aは、分析結果を基に、サーバ攻撃がネットワーク2Naで防御可能なものであるか否かを判定する(ステップS2302)。
【0116】
サーバ攻撃がネットワーク2Naで防御可能なものである場合(ステップS2302、防御可)、制御判断装置22aは、ネットワーク2Naの対処装置24aのリソースを確認する(ステップS2303)。リソースがない場合(ステップS2304、リソース無)、制御判断装置22aは所定時間経過後に再びリソースの確認を行う。また、リソースがある場合(ステップS2304、リソース有)、制御判断装置22aは、対処装置24aに防御を実施させる(ステップS2305)。
【0117】
また、サーバ攻撃がネットワーク2Naで防御可能なものでない場合(ステップS2302、防御不可)、制御判断装置22は、各ネットワーク2Nへの通信経路を確認しておく(ステップS2306)。そして、制御判断装置22aは、情報管理装置21に記憶されたDBを参照し、サーバ攻撃からの防御が可能な対処装置24bが備えられたネットワーク2Nの情報を取得する(ステップS2307)。
【0118】
サーバ攻撃を防御可能な対処装置24が備えられたネットワーク2Nが存在しない場合(ステップS2308、無)、制御判断装置22aは、防御を依頼せずに処理を終了する(ステップS2310)。
【0119】
サーバ攻撃を防御可能な対処装置24bが備えられたネットワーク2Nbが存在する場合(ステップS2308、有)、制御判断装置22aは、ネットワーク2Nbの制御判断装置22bに防御を依頼する(ステップS2309)。
【0120】
図18に示すように、制御判断装置22bは、サーバ攻撃からの防御依頼を受信する(ステップS2401)。次に、制御判断装置22bは、防御依頼を基に、サーバ攻撃がネットワーク2Nbで防御可能なものであるか否かを判定する(ステップS2402)。防御不可の場合(ステップS2402、防御不可)、制御判断装置22bは、制御判断装置22aに防御不可である旨を通知し処理を終了する(ステップS2403)。
【0121】
サーバ攻撃がネットワーク2Nbで防御可能なものである場合(ステップS2402、防御可)、制御判断装置22aは、ネットワーク2Naの対処装置24aのリソースを確認する(ステップS2404)。リソースがない場合(ステップS2405、リソース無)、制御判断装置22bは、制御判断装置22aに防御不可である旨を通知し処理を終了する(ステップS2406)。
【0122】
リソースがある場合(ステップS2405、リソース有)、制御判断装置22bは、対処装置24bに防御を依頼し(ステップS2407)、防御完了後に防御結果を制御判断装置22aに送信する(ステップS2408)。
【0123】
[第2の実施形態の効果]
情報管理装置21の記憶部212は、複数のネットワーク1Nのそれぞれに備えられた制御判断装置12ごとの、サーバ攻撃に対して実施可能な対処方法を記憶する。依頼部1233は、記憶部212を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム1Sを特定し、特定したセキュリティシステム1Sに対し第1のサーバ攻撃の対処を依頼する。これにより、処理の負荷が1つの制御装置に集中することを防止することができる。
【0124】
[第3の実施形態]
第3の実施形態について説明する。第1の実施形態及び第2の実施形態では、集中制御装置11又は情報管理装置21が、各セキュリティシステムで実施可能なサーバ攻撃への対処方法を記憶する。これに対し、第3の実施形態では、各セキュリティシステムが、他のセキュリティシステムのものも含めて、実施可能なサーバ攻撃への対処方法を記憶する。
【0125】
また、第1実施形態の処理部と同様の名称の第3の実施形態の処理部は、対応する第1の実施形態又は第2の実施形態の処理部と基本的には同様の処理を行う。例えば、第3の実施形態の検知装置33aは、第1の実施形態の検知装置13aと同様の処理を行う。以降の説明では、第1の実施形態又は第2の実施形態と第3の実施形態との共通点については適宜説明を省略し、相違点について詳しく説明する。
【0126】
[第3の実施形態の構成]
まず、図19を用いて、第3の実施形態に係る制御システムの構成について説明する。図19は、第3の実施形態に係る制御システムの構成例を示す図である。図19に示すように、制御システム3は、ネットワーク3Naに備えられたセキュリティシステム3Sa、ネットワーク3Nbに備えられたセキュリティシステム3Sb及びネットワーク3Ncに備えられたセキュリティシステム3Scを有する。
【0127】
以降の説明では、ネットワーク3Na、ネットワーク3Nb及びネットワーク3Ncを区別せずにネットワーク3Nと呼ぶ場合がある。また、以降の説明では、セキュリティシステム3Sa、セキュリティシステム3Sb及びセキュリティシステム3Scを区別せずにセキュリティシステム3Sと呼ぶ場合がある。
【0128】
セキュリティシステム3Saは、制御判断装置32a、検知装置33a及び対処装置34aを有する。また、セキュリティシステム3Sbは、制御判断装置32b、検知装置33b及び対処装置34bを有する。また、セキュリティシステム3Scは、制御判断装置32c、検知装置33c及び対処装置34cを有する。
【0129】
制御判断装置32a、制御判断装置32b及び制御判断装置32cは、いずれも同様の機能を有する。以降の説明では、制御判断装置32a、制御判断装置32b及び制御判断装置32cを区別せずに制御判断装置32と呼ぶ場合がある。また、検知装置33a、検知装置33b及び検知装置33cは、いずれも同様の機能を有する。以降の説明では、検知装置33a、検知装置33b及び検知装置33cを区別せずに検知装置33と呼ぶ場合がある。また、対処装置34a、対処装置34b及び対処装置34cは、いずれも同様の機能を有する。以降の説明では、対処装置34a、対処装置34b及び対処装置34cを区別せずに対処装置34と呼ぶ場合がある。
【0130】
検知装置33及び対処装置34は、それぞれ第3の実施形態の検知装置13及び対処装置14と同様の処理を行う。また、対処装置34aと対処装置34bと対処装置34cとでは、サーバ攻撃に対して実施可能な対処方法が異なる点についても第3の実施形態と同様である。
【0131】
制御判断装置32aは、対処メニューDB3221を有する。第1の実施形態の対処メニューDB2121と同様に、対処メニューDB3221には、ネットワーク3Nに備えられたセキュリティシステム3Sの対処装置34ごとの、サーバ攻撃に対して実施可能な対処方法が格納されている。
【0132】
ここで、制御システム3の処理の概要を説明する。まず、セキュリティシステム3Saの検知装置33aが、ネットワーク3Naにおけるサーバ攻撃を検知する。そして、制御判断装置32aは、対処装置34aでは当該サーバ攻撃に対処できないと判定した場合、対処メニューDB3221を参照し、サーバ攻撃への対処が可能なセキュリティシステム3Sbを抽出し、セキュリティシステム3Sbにサーバ攻撃への対処を依頼する(ステップS31)。セキュリティシステム3Sbは、サーバ攻撃への対処を行い、対処結果を制御判断装置32aに通知する(ステップS32)。
【0133】
図20を用いて、制御判断装置32の構成について説明する。図20は、第3の実施形態に係る制御判断装置の構成例を示す図である。図20に示すように、制御判断装置32は、通信部321、記憶部322及び制御部323を有する。
【0134】
通信部321は、ネットワークを介して、他の装置との間でデータ通信を行う。例えば、通信部321はNICである。例えば、通信部321は、制御判断装置32a、制御判断装置32b及び制御判断装置32cとの間でデータ通信を行う。
【0135】
記憶部322は、HDD、SSD、光ディスク等の記憶装置である。なお、記憶部322は、RAM、フラッシュメモリ、NVSRAM等のデータを書き換え可能な半導体メモリであってもよい。記憶部322は、制御判断装置32で実行されるOSや各種プログラムを記憶する。さらに、記憶部322は、プログラムの実行で用いられる各種情報を記憶する。例えば、記憶部322は、対処メニューDB3221及びASDB3222を記憶する。
【0136】
対処メニューDB3221には、図19を用いて説明した通り、ネットワーク3Nに備えられたセキュリティシステム3Sの対処装置34ごとの、サーバ攻撃に対して実施可能な対処方法が格納されている。また、ASDB3222には、各ネットワーク3N間の通信経路が格納されている。
【0137】
制御部323は、制御判断装置32全体を制御する。制御部323は、例えば、CPU、MPU等の電子回路や、ASIC、FPGA等の集積回路である。また、制御部323は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。また、制御部323は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部323は、判定部3231、経路確認部3232、リソース確認部3233、依頼部3234を有する。
【0138】
判定部3231は、ネットワーク3Nで発生した第1のサーバ攻撃への対処装置34による対処が可能であるか否かを判定する。判定部3231は、対処メニューDB3221を参照し、検知されたサーバ攻撃がセキュリティシステム3S自身の対処装置34で対処可能なものであるか否かを判定する。また、判定部3231は、対処メニューDB3221を参照し、サーバ攻撃への対処を実施可能なセキュリティシステム3Sが存在するか否かを判定する。
【0139】
経路確認部3232は、ASDB3222を参照し、各ネットワーク3Nへの通信経路を確認する。リソース確認部3233は、サーバ攻撃への対処を実施する際に、対処装置34のリソースの使用可否を確認する。なお、リソース確認部3233は、自網の対処装置34のリソースを確認してもよいし、他網の対処装置34のリソースを確認してもよい。
【0140】
依頼部3234は、記憶部322を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム3Sを特定し、特定したセキュリティシステム3Sに対し第1のサーバ攻撃の対処を依頼する。
【0141】
依頼部3234は、記憶部322に記憶された情報を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム3Sを特定し、特定したセキュリティシステム3Sに対し第1のサーバ攻撃の対処を依頼する。
【0142】
具体的には、依頼部3234は、判定部3231によってサーバ攻撃への対処を実施可能なセキュリティシステム3Sが存在すると判定され、経路確認部3232によって当該セキュリティシステム3Sへの通信経路が確認され、リソース確認部3233によって当該セキュリティシステム3Sの対処装置34のリソースが使用可能であることが確認された場合に、当該セキュリティシステム3Sに対してサーバ攻撃への対処を依頼する。
【0143】
このように、第3の実施形態では、制御判断装置32は、他の装置のDBを参照することなく、また、他の装置を介することなく、他のセキュリティシステム3Sに対し依頼を行う。例えば、図19の例では、依頼部3234は、制御判断装置32bに直接サーバ攻撃への対処を依頼する。
【0144】
一方、依頼部3234は、判定部3231によって、検知されたサーバ攻撃がセキュリティシステム3S自身の対処装置34で対処可能なものであると判定され、リソース確認部3233によって対処装置34のリソースが使用可能であることが確認された場合には、対処装置34に対してサーバ攻撃への対処を依頼する。
【0145】
[第3の実施形態の処理]
図21及び22を用いて、本実施形態の制御システム3の全体の処理の流れを説明する。図21及び22は、第3の実施形態に係る制御システムの処理の流れを示すシーケンス図である。
【0146】
[分析処理(全体)]
まず、図21を用いて、ネットワーク3Naにおいて発生したサーバ攻撃の分析を行う場合の例を説明する。図21に示すように、検知装置33aは、ネットワーク3Naにおいて発生したサーバ攻撃を検知すると、検知情報を制御判断装置32aに通知する(ステップS301)。そして、制御判断装置32aは、検知情報を基に、サーバ攻撃がネットワーク3Naで分析可能なものであるか否かを判定する(ステップS302)。
【0147】
サーバ攻撃がネットワーク3Naで分析可能なものである場合、制御判断装置32aは、対処装置34aのリソースを確認し(ステップS303)、対処装置34aからリソースの通知を受け取った後(ステップS304)、対処装置34aにサーバ攻撃の分析を依頼し(ステップS305)、対処装置34aから分析結果の通知を受け取る(ステップS306)。
【0148】
一方、サーバ攻撃がネットワーク3Naで分析不可のものである場合、制御判断装置32aは、制御判断装置32aが記憶するDBを参照し、サーバ攻撃の分析が可能な対処装置34bが備えられたネットワーク3Nbの情報を取得し、制御判断装置32bにサーバ攻撃の分析を依頼する(ステップS307)。そして、制御判断装置32bは、対処装置34bのリソースを確認し(ステップS308)、対処装置34aからリソースの通知を受け取る(ステップS309)。
【0149】
そして、制御判断装置32bは、対処装置34bにサーバ攻撃の分析を依頼し(ステップS310)、対処装置34bから分析結果の通知を受け取り(ステップS311)、受け取った分析結果を制御判断装置32aに通知する(ステップS312)。
【0150】
[防御処理(全体)]
次に、図22を用いて、ネットワーク3Naにおいて発生したサーバ攻撃の防御を行う場合の例を説明する。図22に示すように、制御判断装置32aは、分析結果を基に、サーバ攻撃がネットワーク3Naで防御可能なものであるか否かを判定する(ステップS321)。
【0151】
サーバ攻撃がネットワーク3Naで防御可能なものである場合、制御判断装置32aは、対処装置34aのリソースを確認し(ステップS322)、対処装置34aからリソースの通知を受け取った後(ステップS323)、対処装置34aにサーバ攻撃の防御を依頼し(ステップS324)、対処装置34aから防御結果の通知を受け取る(ステップS325)。
【0152】
一方、サーバ攻撃がネットワーク3Naで防御不可のものである場合、制御判断装置32aは、制御判断装置32aが記憶するDBを参照し、サーバ攻撃の防御が可能な対処装置34bが備えられたネットワーク3Nbの情報を取得し、制御判断装置32bにサーバ攻撃の防御を依頼する(ステップS326)。そして、制御判断装置32bは、対処装置34bのリソースを確認し(ステップS327)、対処装置34aからリソースの通知を受け取る(ステップS328)。
【0153】
そして、制御判断装置32bは、対処装置34bにサーバ攻撃の防御を依頼し(ステップS329)、対処装置34bから防御結果の通知を受け取り(ステップS330)、受け取った防御結果を制御判断装置32aに通知する(ステップS331)。
【0154】
[分析処理(各装置)]
図23に示すように、制御判断装置32aは、サーバ攻撃の検知情報を受信する(ステップS3101)。次に、制御判断装置32aは、検知情報を基に、サーバ攻撃がネットワーク3Naで分析可能なものであるか否かを判定する(ステップS3102)。
【0155】
サーバ攻撃がネットワーク3Naで分析可能なものである場合(ステップS3102、分析可)、制御判断装置32aは、ネットワーク3Naの対処装置34aのリソースを確認する(ステップS3103)。リソースがない場合(ステップS3104、リソース無)、制御判断装置32aは所定時間経過後に再びリソースの確認を行う。また、リソースがある場合(ステップS3104、リソース有)、制御判断装置32aは、対処装置34aに分析を実施させる(ステップS3105)。
【0156】
また、サーバ攻撃がネットワーク3Naで分析可能なものでない場合(ステップS3102、分析不可)、制御判断装置32は、各ネットワーク3Nへの通信経路を確認しておく(ステップS3106)。そして、制御判断装置32aは、制御判断装置32aに記憶されたDBを参照し、サーバ攻撃の分析が可能な対処装置34bが備えられたネットワーク3Nの情報を取得する(ステップS3107)。
【0157】
サーバ攻撃を分析可能な対処装置34が備えられたネットワーク3Nが存在しない場合(ステップS3108、無)、制御判断装置32aは、分析を依頼せずに処理を終了する(ステップS3109)。
【0158】
サーバ攻撃を分析可能な対処装置34bが備えられたネットワーク3Nbが存在する場合(ステップS3108、有)、制御判断装置32aは、ネットワーク3Nbの制御判断装置32bに分析を依頼する(ステップS3110)。
【0159】
[防御処理(各装置)]
図24に示すように、制御判断装置32aは、サーバ攻撃の分析結果を受信する(ステップS3201)。次に、制御判断装置32aは、分析結果を基に、サーバ攻撃がネットワーク3Naで防御可能なものであるか否かを判定する(ステップS3202)。
【0160】
サーバ攻撃がネットワーク3Naで防御可能なものである場合(ステップS3202、防御可)、制御判断装置32aは、ネットワーク3Naの対処装置34aのリソースを確認する(ステップS3203)。リソースがない場合(ステップS3204、リソース無)、制御判断装置32aは所定時間経過後に再びリソースの確認を行う。また、リソースがある場合(ステップS3204、リソース有)、制御判断装置32aは、対処装置34aに防御を実施させる(ステップS3205)。
【0161】
また、サーバ攻撃がネットワーク3Naで防御可能なものでない場合(ステップS3202、防御不可)、制御判断装置32は、各ネットワーク3Nへの通信経路を確認しておく(ステップS3206)。そして、制御判断装置32aは、制御判断装置32aに記憶されたDBを参照し、サーバ攻撃からの防御が可能な対処装置34bが備えられたネットワーク3Nの情報を取得する(ステップS3207)。
【0162】
サーバ攻撃を防御可能な対処装置34が備えられたネットワーク3Nが存在しない場合(ステップS3208、無)、制御判断装置32aは、防御を依頼せずに処理を終了する(ステップS3209)。
【0163】
サーバ攻撃を防御可能な対処装置34bが備えられたネットワーク3Nbが存在する場合(ステップS3208、有)、制御判断装置32aは、ネットワーク3Nbの制御判断装置32bに防御を依頼する(ステップS3210)。
【0164】
[第3の実施形態の効果]
制御判断装置32の記憶部322は、複数のネットワーク1Nのそれぞれに備えられた制御判断装置32ごとの、サーバ攻撃に対して実施可能な対処方法を記憶し。依頼部3234は、記憶部322を参照し、第1のサーバ攻撃の対処が可能な他のセキュリティシステム3Sを特定し、特定したセキュリティシステム3Sに対し第1のサーバ攻撃の対処を依頼することを特徴とする請求項1に記載の制御システム1。これにより、各セキュリティシステムは、外部の装置を参照することなく、サーバ攻撃の対処の依頼を行うことができる。
【0165】
[プログラム]
一実施形態として、制御システム1から3の各装置は、パッケージソフトウェアやオンラインソフトウェアとして上記の通信制御を実行する制御プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の制御プログラムを情報処理装置に実行させることにより、ゲートウェイ装置等の各通信機器が含まれる。
【0166】
図25は、実施形態に係る制御判断装置として機能するコンピュータの一例を示す図である。コンピュータ5000は、例えば、メモリ5010、CPU5020を有する。また、コンピュータ5000は、ハードディスクドライブインタフェース5030、ディスクドライブインタフェース5040、シリアルポートインタフェース5050、ビデオアダプタ5060、ネットワークインタフェース5070を有する。これらの各部は、バス5080によって接続される。
【0167】
メモリ5010は、ROM(Read Only Memory)5011及びRAM5012を含む。ROM5011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース5030は、ハードディスクドライブ5090に接続される。ディスクドライブインタフェース5040は、ディスクドライブ5100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ5100に挿入される。シリアルポートインタフェース5050は、例えばマウス5110、キーボード5120に接続される。ビデオアダプタ5060は、例えばディスプレイ5130に接続される。
【0168】
ハードディスクドライブ5090は、例えば、OS5091、アプリケーションプログラム5092、プログラムモジュール5093、プログラムデータ5094を記憶する。すなわち、制御判断装置の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール5093として実装される。プログラムモジュール5093は、例えばハードディスクドライブ5090に記憶される。例えば、制御判断装置における機能構成と同様の処理を実行するためのプログラムモジュール5093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ5090は、SSDにより代替されてもよい。
【0169】
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ5094として、例えばメモリ5010やハードディスクドライブ5090に記憶される。そして、CPU5020は、メモリ5010やハードディスクドライブ5090に記憶されたプログラムモジュール5093やプログラムデータ5094を必要に応じてRAM5012に読み出して、上述した実施形態の処理を実行する。
【0170】
なお、プログラムモジュール5093やプログラムデータ5094は、ハードディスクドライブ5090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ5100等を介してCPU5020によって読み出されてもよい。あるいは、プログラムモジュール5093及びプログラムデータ5094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール5093及びプログラムデータ5094は、他のコンピュータから、ネットワークインタフェース5070を介してCPU5020によって読み出されてもよい。
【符号の説明】
【0171】
1、2、3 制御システム
11 集中制御装置
12、22、32 制御判断装置
13、23、33 検知装置
14、24、34 対処装置
1N、2N、3N ネットワーク
1S、2S、3S セキュリティシステム
21 情報管理装置
111、121、211、221、321 通信部
112、122、212、222、322 記憶部
113、123、213、223、323 制御部
1121、2121、3221 対処メニューDB
1122、2222、3222 ASDB
1131、2233、3232 経路確認部
1132、1231、2231、3231 判定部
1133、1232、2234、3233 リソース確認部
1134 代理依頼部
1221、2221 自網対処メニューDB
1233、2235、3234 依頼部
2131 提供部
2232 情報取得部
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
図15
図16
図17
図18
図19
図20
図21
図22
図23
図24
図25
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.