(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023110289
(43)【公開日】2023-08-09
(54)【発明の名称】通信監視装置、通信監視プログラム及び通信監視方法
(51)【国際特許分類】
H04L 12/22 20060101AFI20230802BHJP
【FI】
H04L12/22
【審査請求】未請求
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2022011642
(22)【出願日】2022-01-28
(71)【出願人】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】中村 信之
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HA08
5K030JA10
5K030JT02
5K030JT10
5K030LC13
(57)【要約】
【課題】 効率的にネットワークに接続する通信装置を監視することができる通信監視装置、通信監視プログラム及び通信監視方法を提供する。
【解決手段】 本発明は、通信監視装置に関する。そして、本発明の通信監視装置は、監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得する監視データ取得手段と、監視データに基づいて監視対象ネットワーク上で新たに配置された通信端末を検知する新規端末検知手段と、監視データに基づいて、通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知する未知通信検知手段と少なくとも新規端末検知手段が新規に発見した通信端末、及び未知通信検知手段が検知した未知通信を行った通信端末に対して通信セキュリティに関するスキャン処理を実行するスキャン手段とを有することを特徴とする。
【選択図】 図1
【解決手段】 本発明は、通信監視装置に関する。そして、本発明の通信監視装置は、監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得する監視データ取得手段と、監視データに基づいて監視対象ネットワーク上で新たに配置された通信端末を検知する新規端末検知手段と、監視データに基づいて、通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知する未知通信検知手段と少なくとも新規端末検知手段が新規に発見した通信端末、及び未知通信検知手段が検知した未知通信を行った通信端末に対して通信セキュリティに関するスキャン処理を実行するスキャン手段とを有することを特徴とする。
【選択図】 図1
【特許請求の範囲】
【請求項1】
監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得する監視データ取得手段と、
前記監視データに基づいて前記監視対象ネットワーク上で新たに配置された通信端末を検知する新規端末検知手段と、
前記監視データに基づいて、前記通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知する未知通信検知手段と
少なくとも前記新規端末検知手段が新規に発見した前記通信端末、及び前記未知通信検知手段が検知した前記未知通信を行った前記通信端末に対して通信セキュリティに関するスキャン処理を実行するスキャン手段と
を有することを特徴とする通信監視装置。
前記監視データに基づいて前記監視対象ネットワーク上で新たに配置された通信端末を検知する新規端末検知手段と、
前記監視データに基づいて、前記通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知する未知通信検知手段と
少なくとも前記新規端末検知手段が新規に発見した前記通信端末、及び前記未知通信検知手段が検知した前記未知通信を行った前記通信端末に対して通信セキュリティに関するスキャン処理を実行するスキャン手段と
を有することを特徴とする通信監視装置。
【請求項2】
前記スキャン手段は、当該通信監視装置設置時には、前記監視対象ネットワーク上に配置されている全ての前記通信端末に対してスキャン処理を実行する設置時スキャン処理を実行し、
前記設置時スキャン処理を実行する際には、前記監視対象ネットワークの負荷を抑制するようにスキャン処理を行う
ことを特徴とする請求項1に記載の通信監視装置。
前記設置時スキャン処理を実行する際には、前記監視対象ネットワークの負荷を抑制するようにスキャン処理を行う
ことを特徴とする請求項1に記載の通信監視装置。
【請求項3】
前記スキャン手段は、前記設置時スキャン処理を実行する際には、同時にスキャンする前記通信端末の数を制限することを特徴とする請求項2に記載の通信監視装置。
【請求項4】
前記スキャン手段は、一定期間ごとに前記通信端末に対してスキャン処理する定期スキャン処理を行うことを特徴とする請求項2又は3のいずれかに記載の通信監視装置。
【請求項5】
前記通信端末ごとに、前記スキャン手段が最新にスキャン処理したスキャン結果を前回のスキャン結果と比較することで、セキュリティ上の問題を検知する問題検知手段をさらに備えることを特徴とする請求項4に記載の通信監視装置。
【請求項6】
前記スキャン手段は、前記問題検知手段により問題が検知された前記通信端末について前記定期スキャン処理の時よりも詳細な問題検知時スキャン処理を行うことを特徴する請求項5に記載の通信監視装置。
【請求項7】
コンピュータを、
監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得する監視データ取得手段と、
前記監視データに基づいて前記監視対象ネットワーク上で新たに配置された通信端末を検知する新規端末検知手段と、
前記監視データに基づいて、前記通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知する未知通信検知手段と
少なくとも前記新規端末検知手段が新規に発見した前記通信端末、及び前記未知通信検知手段が検知した前記未知通信を行った前記通信端末に対して通信セキュリティに関するスキャン処理を実行するスキャン手段と
して機能させることを特徴とする通信監視プログラム。
監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得する監視データ取得手段と、
前記監視データに基づいて前記監視対象ネットワーク上で新たに配置された通信端末を検知する新規端末検知手段と、
前記監視データに基づいて、前記通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知する未知通信検知手段と
少なくとも前記新規端末検知手段が新規に発見した前記通信端末、及び前記未知通信検知手段が検知した前記未知通信を行った前記通信端末に対して通信セキュリティに関するスキャン処理を実行するスキャン手段と
して機能させることを特徴とする通信監視プログラム。
【請求項8】
通信監視装置が行う通信監視方法において、
前記通信監視装置は、監視データ取得手段、新規端末検知手段、新規端末検知手段及びスキャン手段を備え、
前記監視データ取得手段は、監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得し、
前記新規端末検知手段は、前記監視データに基づいて前記監視対象ネットワーク上で新たに配置された通信端末を検知し、
前記未知通信検知手段は、前記監視データに基づいて、前記通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知し、
前記スキャン手段は、少なくとも前記新規端末検知手段が新規に発見した前記通信端末、及び前記未知通信検知手段が検知した前記未知通信を行った前記通信端末に対して通信セキュリティに関するスキャン処理を実行する
ことを特徴とする通信監視方法。
前記通信監視装置は、監視データ取得手段、新規端末検知手段、新規端末検知手段及びスキャン手段を備え、
前記監視データ取得手段は、監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得し、
前記新規端末検知手段は、前記監視データに基づいて前記監視対象ネットワーク上で新たに配置された通信端末を検知し、
前記未知通信検知手段は、前記監視データに基づいて、前記通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知し、
前記スキャン手段は、少なくとも前記新規端末検知手段が新規に発見した前記通信端末、及び前記未知通信検知手段が検知した前記未知通信を行った前記通信端末に対して通信セキュリティに関するスキャン処理を実行する
ことを特徴とする通信監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、通信監視装置、通信監視プログラム及び通信監視方法に関し、例えば、ネットワーク内に接続する機器を把握、管理するシステムに適用し得る。
【背景技術】
【0002】
従来、通信監視装置による接続許可を要するネットワークに関する技術として特許文献1の記載技術が存在する。
【0003】
特許文献1に記載されたシステムでは、ネットワークの末端において、接続しようとする通信端末(通信装置)が特定の方法で認証されることに対応した上で、当該通信端末自体に関する情報(OSのバージョンやインストールされているソフトウェアの情報や認証情報等)を取得して取得した情報に基づいて接続の許可/不許可を判断し、接続の許可が判断された場合にのみ当該通信端末のネットワーク接続を許可する。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2011-259370号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載のシステムように、ネットワークの末端で通信端末(通信装置)の接続管理を実施するには、ネットワークの末端におけるネットワーク機器が接続許可や認証の機能を備える必要があり、導入コストやネットワーク負荷等が高いという問題があった。また、特許文献1に記載のシステムのような方式では、ネットワークに接続した後の通信端末を監視する構成を導入する場合にも同様に、導入コストやネットワーク負荷等が高いという問題があった。
【0006】
以上のような問題に鑑みて、効率的にネットワークに接続する通信装置を監視することができる通信監視装置、通信監視プログラム及び通信監視方法が望まれている。
【課題を解決するための手段】
【0007】
第1の本発明の通信監視装置は、監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得する監視データ取得手段と、前記監視データに基づいて前記監視対象ネットワーク上で新たに配置された通信端末を検知する新規端末検知手段と、前記監視データに基づいて、前記通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知する未知通信検知手段と少なくとも前記新規端末検知手段が新規に発見した前記通信端末、及び前記未知通信検知手段が検知した前記未知通信を行った前記通信端末に対して通信セキュリティに関するスキャン処理を実行するスキャン手段とを有することを特徴とする。
【0008】
第2の本発明の通信監視プログラムは、コンピュータを、監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得する監視データ取得手段と、前記監視データに基づいて前記監視対象ネットワーク上で新たに配置された通信端末を検知する新規端末検知手段と、前記監視データに基づいて、前記通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知する未知通信検知手段と、少なくとも前記新規端末検知手段が新規に発見した前記通信端末、及び前記未知通信検知手段が検知した前記未知通信を行った前記通信端末に対して通信セキュリティに関するスキャン処理を実行するスキャン手段として機能させることを特徴とする。
【0009】
第3の本発明は、通信監視装置が行う通信監視方法において、記通信監視装置は、監視データ取得手段、新規端末検知手段、新規端末検知手段及びスキャン手段を備え、前記監視データ取得手段は、監視対象ネットワーク上を流れる通信トラフィックに基づく監視データを取得し、前記新規端末検知手段は、前記監視データに基づいて前記監視対象ネットワーク上で新たに配置された通信端末を検知し、前記未知通信検知手段は、前記監視データに基づいて、前記通信端末ごとに、過去に通信した実績のない種類の通信である未知通信を検知し、前記スキャン手段は、少なくとも前記新規端末検知手段が新規に発見した前記通信端末、及び前記未知通信検知手段が検知した前記未知通信を行った前記通信端末に対して通信セキュリティに関するスキャン処理を実行することを特徴とする。
【発明の効果】
【0010】
効率的にネットワークに接続する通信装置を監視することができる通信監視装置、通信監視プログラム及び通信監視方法を提供する。
【図面の簡単な説明】
【0011】
【図1】実施形態に係る通信監視装置の機能的構成について示したブロック図である。
【図2】実施形態に関係する各装置の接続構成について示したブロック図である。
【図3】実施形態に係る端末スキャン部が保持するスキャン結果テーブルの構成例について示した図である。
【図4】実施形態に係る通信監視装置が設置時スキャンモードで動作する際の処理について示したフローチャートである。
【図5】実施形態に係る通信監視装置が通常運用モードで動作する際の処理について示したフローチャートである。
【図6】実施形態に係る通信監視装置が定期スキャンを行う際の動作について示したフローチャートである。
【図7】実施形態に係る通信監視装置が通信に問題発見時スキャンを行う際の動作について示したフローチャートである。
【発明を実施するための形態】
【0012】
(A)主たる実施形態
以下、本発明による通信監視装置、通信監視プログラム及び通信監視方法の一実施形態を、図面を参照しながら詳述する。
以下、本発明による通信監視装置、通信監視プログラム及び通信監視方法の一実施形態を、図面を参照しながら詳述する。
【0013】
(A-1)実施形態の構成
図2は、この実施形態に関係する各装置の接続関係について示した図である。
図2は、この実施形態に関係する各装置の接続関係について示した図である。
【0014】
ここでは、通信監視装置10は、監視対象となる監視対象ネットワークN1に接続された通信端末30(30ー1、30-2、・・・)を監視する装置である。
【0015】
通信端末30の種類については限定されないものであるが、例えば、IoT(Internet of Things)機器やクライアントPC、サーバ装置等が含まれるようにしてもよい。
【0016】
図2の構成例では、各通信端末30が、監視対象ネットワークN1に接続されており、監視対象ネットワークN1は、インターネットN2にも接続している。したがって、図2の例では、各通信端末30は、監視対象ネットワークN1を介してインターネットN2と通信可能な状態になっている。また、監視対象ネットワークN1では、接続される通信端末30の数は限定されないものであり、運用中に増減する場合もあるものとして説明する。
【0017】
ここでは、監視対象ネットワークN1上には、各通信端末30が送受信するパケットが通過するポイント(以下、「監視ポイント」とも呼ぶ)上に、ネットワーク装置20が配置されているものとする。ネットワーク装置20としては、例えば、各通信端末30が送受信するパケットを中継するポイント(すなわち監視ポイント)に配置されたハブ(例えば、L2/L3スイッチやルーター等)を適用することができる。そして、ここでは、各通信端末30が送受信するパケットデータ又はそれらのパケットを分析した結果のデータ(例えば、フローデータ等)を「監視データ」と呼ぶものとする。ここでは、監視データが、ネットワーク装置20から通信監視装置10に供給されるものとする。なお、上記の監視ポイントは複数に分散された構成であってもよいことは当然である。つまり、この実施形態では、監視対象ネットワークN1上の監視ポイントを流れるトラフィックをキャプチャした結果得られる監視データ(例えば、フローデータ)が通信監視装置10に供給される。
【0018】
言い換えると、この実施形態では、監視データを収集して通信監視装置10に供給する手段(以下、「監視データ収集手段」と呼ぶ)としてネットワーク装置20を用いているが、監視データ収集手段は上記の構成に限定されず種々の構成を適用することができる。例えば、各通信端末30及び通信監視装置10を全て同じL2スイッチ(この場合のネットワーク装置20)に接続して、当該L2スイッチのポートミラー機能により、各通信端末30が送受信するパケットのコピー(この場合の監視データ)を通信監視装置10に供給するようにしてもよい。また、例えば、各通信端末30をいわゆるNetFlowに対応するL2スイッチ(この場合のネットワーク装置20)に接続させ、当該L2スイッチで各通信端末30が送受信するパケットをフロー毎に分類して各フローのフローデータを生成させ、それらのフローデータ(この場合の監視データ)を通信監視装置10に供給させるようにしてもよい。以上のように、この実施形態において、各通信端末30が送受信したパケットに基づく監視データを収集して通信監視装置10に供給する具体的な手段は種々の構成を取ることができる。
【0019】
次に、通信監視装置10の内部構成について、図1を用いて説明する。
【0020】
通信監視装置10は、端末スキャン部101、通信監視部102、新規通信端末検知部103、未知通信検知部104、問題発見部105、結果保持部106、及び定期実行管理部107を有している。
【0021】
通信監視装置10は、例えば、プロセッサやメモリ等を有するコンピュータ上にプログラム(実施形態に係る通信監視プログラムを含む)をインストールすることにより実現することができる。
【0022】
端末スキャン部101は、各通信端末30と通信して各通信端末30の通信/セキュリティに関するスキャン処理を実行した結果(以下、「スキャン結果」と呼ぶ)を出力する。端末スキャン部101は、他の要素(通信監視部102、新規通信端末検知部103、未知通信検知部104、問題発見部105又は定期実行管理部107)からのトリガ(例えば、データや通知の供給等)に基づいたタイミングで当該トリガに対応する通信端末30に対するスキャンを実行し、そのスキャン結果を保持(記録)する。
【0023】
端末スキャン部101が各通信端末30に実行するスキャンの手順や方式については限定されないものであるが、既存の種々の手順を適用することができる。
【0024】
ここでは、端末スキャン部101は、各通信端末30に対して、少なくとも、通信可能な通信ポート(TCP(Transmission Control Protocol)及びUDP(User Datagram Protocol)の通信ポート)をスキャニングする処理(いわゆるポートスキャンの処理)を実行可能であるものとする。なお、端末スキャン部101は、ポートスキャンの他に各種のセキュリティ上の脆弱性のチェックを行うことが可能としてもよい。端末スキャン部101は、スキャンを受け付ける際には、スキャンを実行する通信端末30のアドレス(IPアドレスやMACアドレス)及び、スキャンの条件(ポートスキャンするポートの種別(TCP/UDP)やポート番号の一覧等)、実行する脆弱性チェックの条件(脆弱性チェックの項目やチェック条件等)を含む情報(以下、「スキャン指示情報」と呼ぶ)の供給を受けるものとする。ここでは、端末スキャン部101は、スキャンの項目として、ポートスキャン及びM個(Mは1以上の整数)の項目の脆弱性チェックを実行可能であるものとする。なお、端末スキャン部101ではスキャン処理としてポートスキャンのみ行うようにしてもよい。以下では、端末スキャン部101が実行可能なM個の脆弱性チェックの項目を、脆弱性チェック1~脆弱性チェックMと表すものとする。スキャン指示情報としては、例えば、ポートスキャンするTCP及びUDPのポート番号のリスト(ポートスキャンする際の設定(スキャンオプション)を含む)と、実行する脆弱性チェックのリスト(脆弱性チェックする際の設定(オプション)も含む)とを含む情報により構成するようにしてもよい。
【0025】
結果保持部106は、端末スキャン部101が出力したスキャン結果(スキャン処理の結果)を保持(保存・記録)する。結果保持部106は、スキャン結果をスキャン結果テーブル106aとして保持する。
【0026】
図3は、スキャン結果テーブル106aの構成例について示した図である。
【0027】
図3に示すスキャン結果テーブル106aでは、1行で、端末スキャン部101が1つの通信端末30に対して行った1回分のスキャン結果(スキャン履歴)が時刻及アドレス(スキャン対象の通信端末30のIPアドレス及びMACアドレス)と共に記録されている。図3に示すスキャン結果テーブル106aでは、1つのテーブルに全てのスキャン結果を登録しているが、スキャンの種類や通信端末30ごとに分類するようにしてもよい。
【0028】
図3に示すスキャン結果テーブル106aでは、各スキャン結果(スキャン履歴)について、スキャン時刻(当該スキャンを開始又は終了した時刻)、IPアドレス、MACアドレス、オープンポート(ポートスキャンにより通信可能だったポートのリスト)、各脆弱性チェックの結果(脆弱性チェック1の結果、・・・脆弱性チェックMの結果)が記録されている。図3では、各脆弱性チェックの結果をOK(スキャンした結果問題ないことを示す表示)、NG(スキャンした結果問題があったことを示す表示)、未実施(当該脆弱性チェックについては行っていないことを示す表示)で図示しているが、結果の表示の仕方は上記に限定されるものではなく、各脆弱性チェックの内容に応じた表示形式としてもよい。
【0029】
図3では、スキャン時刻を時系列順にT1、T2、T3、・・・と図示している。また、図3では、通信端末30-1、30-2、30-3のIPアドレス/マックアドレスをIP1/MAC1、IP2/MAC2、IP3/MAC3・・・と図示している。
【0030】
通信監視部102は、供給される監視データを保持する。通信監視部102は、供給された監視データを、新規通信端末検知部103、未知通信検知部104及び端末スキャン部101に供給して参照させることができる。なお、通信監視部102は、監視データを蓄積して、他の要素の要求に応じて参照させるようにしてもよい。
【0031】
また、通信監視部102は、当該通信監視装置10の設置時(監視対象ネットワークN1に通信監視装置10を設置した時;通信監視装置10の導入初期)において、全ての通信端末30に対して行うスキャン処理(以下、「設置時スキャン」と呼ぶ)の対象及び内容を決定して端末スキャン部101に実行を指示する処理も行う。通信監視装置10の設置時は、全ての通信端末30が新規通信端末であり、全ての通信端末30の全ての通信が未知通信(過去に実績の無い種類の通信)となる。そこで、通信監視装置10は、設置時(導入初期)には、監視対象となる全ての通信端末30に対してスキャンする処理(設置時スキャン)を行う。
【0032】
新規通信端末検知部103は、通信監視部102から供給される監視データに基づいて、新たに監視対象ネットワークN1に接続(配置)された通信端末30(以下、「新規通信端末」とも呼ぶ)を検知する。新規通信端末検知部103は、新規通信端末を検知すると、その情報を端末スキャン部101に供給する。
【0033】
新規通信端末検知部103は、例えば、監視データを参照して、スキャン結果テーブル106aでスキャンの履歴のないアドレス(IPアドレス又はMACアドレス)のフローを検出した場合に、当該アドレスについて新規通信端末として検出しても良い。
【0034】
未知通信検知部104は、通信監視部102から供給される監視データに基づいて、各通信端末30の通信状況を監視し、前回のスキャンで検知されなかった未知の通信(以下、「未知通信」と呼ぶ)が発生したか否かを確認し、未知通信が発生した場合は、その未知通信に係る通信端末30にスキャン(以下、「未知通信検知時スキャン」と呼ぶ)を実行するためのスキャン指示情報を生成して、端末スキャン部101に供給する。
【0035】
未知通信検知部104は、例えば、通信監視部102から受け取った監視データから端末情報と過去の通信先や通信に利用したサービスポート情報等を保持することで、今までに出現していないサービスへの通信を検知して、今まで提供していなかったサービスを提供したという未知通信が発生したことを検知するようにしてもよい。また、未知通信検知部104は、スキャン結果テーブル106aを参照することで、過去に各通信端末30で通信可能であったポートを把握することができるので、各通信端末30について過去のスキャンで検知されなかったポート(スキャン結果テーブル106aのオープンポートに記述されていないポート)について、監視データ上で通信が検知された場合には、当該通信を未知通信として認識するようにしてもよい。このような場合、未知通信が検知された通信端末30では、マルウェアの攻撃等により、今まで空けていなかったポートで通信を待ち受けるようになった等のセキュリティ上の問題が発生した可能性がある。
【0036】
定期実行管理部107は、通信端末30ごとに定期的なスキャン(以下、「定期スキャン」と呼ぶ)を実行するタイミングを決定し、定期スキャンを支持するためのスキャン指示情報を生成して端末スキャン部101に供給する。定期実行管理部107は、結果保持部106に保持されたスキャン結果テーブル106aを参照して、一定時間以上スキャン処理を行っていない通信端末30の存在を検知したタイミングで、当該通信端末30に対する定期スキャンの実行を決定するようにしてもよい。
【0037】
定期実行管理部107が定期スキャンを決定するタイミングについては限定されないものであり、例えば一定間隔(例えば、24時間、30日等の間隔)としてもよい。定期実行管理部107は、例えば、結果保持部106から、既に1度以上スキャンされた結果が書き込まれている通信端末30のスキャン履歴(例えば、前回の定期スキャン実行時刻等)を参照して、参照した情報に基づいて、通信端末30ごとに定期スキャンのタイミングを決定するようにしてもよい。
【0038】
例えば、定期実行管理部107は、通信端末30ごとに前回のスキャンからの経過時間を算出して、前回からの経過時間が一定時間以上となった通信端末30について定期スキャンを実行すると決定してもよい。また、定期実行管理部107は、通信端末30毎に、当該通信端末30の種別等の属性に基づいた定期スキャンの間隔を決定するようにしてもよい。このとき、定期実行管理部107は、一度の定期スキャンのタイミングで全ての通信端末30を定期スキャン対象の通信端末30と決定せずに、予め決められたルールに基づいて定期スキャン対象の通信端末30を決定するようにしてもよい。例えば、定期実行管理部107において、一度の定期スキャンで決定する定期スキャン対象の通信端末30の上限を定めて置き、定期スキャンのタイミングごとに前回の定期スキャンから所定期間以上経過した通信端末30から所定のルール(例えば、乱数等に基づいて選択する等のルール)に基づいて、定期スキャン対象の通信端末30を抽出するようにしてもよい。
【0039】
問題発見部105は、結果保持部106に保持されたスキャン結果を参照して、セキュリティ上問題となる可能性の有無を検査し、検査により問題の可能性が検出された通信端末30(以下、「問題検出通信端末」と呼ぶ)に対してスキャン(以下、「問題発見時スキャン」と呼ぶ)を実行するためのスキャン指示情報を生成して端末スキャン部101に通知する。
【0040】
問題発見部105は、例えば、ある通信端末30の最新のスキャン結果を前回のスキャン結果と比較して差分(例えば、最新の定期スキャンの結果と前回の定期スキャンの結果との差分)を抽出し、その差分の有無や差分の内容に応じて問題検出するようにしてもよい。問題発見部105は、例えば、ある通信端末30の最新のスキャン結果を前回のスキャン結果と比較して差分が1点でもあれば問題として検出するようにしてもよいし、その差分の内容が予め問題として定義されているルールに従った内容(例えば、特定のサービス用のポートが新たに空いていることである場合(前回閉じていたのに通信可能となっている場合)等)には問題として検出するようにしてもよい。
【0041】
また、問題発見部105は、問題を発見した場合には、所定の方法で出力(例えば、ネットワーク管理者へメールやメッセージ等で通報)するものとする。問題発見部105が、発見した問題について出力する方式や出力先については限定されないものである。この実施形態の例では、問題発見部105は、監視対象ネットワークN1の運用管理者OPが使用する端末TEで参照可能な方法で、発見した問題に関する情報をアラート(警告)として出力(通常)するようにしてもよい。問題発見部105は、例えば、電子メール送信、各種メッセージサービス送信(例えば、SMS等のメッセージ送信)、直接のデータ送信(例えば、GUIダッシュボードを用いたデータ送信や、所定の形式の電文送信等)等を適宜利用するようにしてもよい。
【0042】
次に、各スキャン処理の内容について説明する。
【0043】
上記の通り、端末スキャン部101は、供給されるスキャン指示情報に基づいて設置時スキャン(設置時スキャンモードで実行されるスキャン処理)、新規通信端末検出時スキャン、未知通信検知時スキャン、定期スキャン及び問題発見時スキャンを実行する。以下ではこれらのスキャン処理を総称して「各スキャン処理」とも呼ぶ。
【0044】
各スキャン処理については、全て同じ内容としてもよいが、各スキャン処理のタイミングや目的(セキュリティ上の重要度)に応じて内容を変更するようにしてもよい。
【0045】
例えば、定期スキャンについては、多数の通信端末30に定期的に実行されるため多くのトラフィックが発生することや、緊急性が高くないこと等から、他のスキャン処理よりもスキャンする量(ポートスキャンするポートの数や脆弱性チェックの項目数)を優先度の高いもののみに制限(スキャンする量を抑制)することが望ましい。一方で、定期スキャン以外のスキャン処理は、定期スキャンと違い頻度が低いことや、セキュリティ上重要であること等から定期スキャンよりも詳細にスキャンすることが望ましい。
【0046】
例えば、定期スキャンについては、ポートスキャンするポート数をTCP・UDPそれぞれについて100個(例えば、良く使用されるメジャーなポート番号トップ100)とし、それ以外のスキャン処理についてはポートスキャンするポート数をTCP・UDPそれぞれについて1000個(例えば、良く使用されるメジャーなポート番号トップ1000)とするようにしてもよい。同様に脆弱性チェックについても、定期スキャンで実行する項目数をそれ以外のスキャン処理よりも少なく設定するようにしてもよい。
【0047】
また、同じ種類のスキャン処理であっても、通信端末30の属性(例えば、予想される演算リソースの量)に応じて、スキャン処理の内容を変化させるようにしてもよい。例えば、通信端末30がIoT機器等、演算リソースの少ないマイクロコンピュータしか搭載されていないと予想される場合には、当該通信端末30のスキャン処理については、他の通信端末30よりもスキャンの量を低減(優先度の高いポートや項目に絞る)するようにしてもよい。通信端末30の属性を確認する方法については限定されないが、例えば、MACアドレスのベンダIDやOSの情報を参照すること等により行うようにしてもよい(詳細については後述)。
【0048】
(A-2)実施形態の動作
次に、以上のような構成を有するこの実施形態における通信監視装置10の動作(実施形態に係る通信監視方法)を説明する。
次に、以上のような構成を有するこの実施形態における通信監視装置10の動作(実施形態に係る通信監視方法)を説明する。
【0049】
まず、通信監視装置10が設置時スキャンを行う際の動作について説明する。
【0050】
ここでは、通信監視装置10は、設置時(導入初期;最初の起動時)には、設置時スキャンを行う動作モード(以下、「設置時スキャンモード」と呼ぶ)で動作するものとする。例えば、通信監視装置10は、手動(例えば、オペレータOPの操作)より、設置時スキャンモードで動作するようにしてもよい。
【0051】
この実施形態の通信監視装置10は、図4のフローチャートにより、設置時スキャンを実行するものとする。ここでは、端末スキャン部101は、通信監視部102の制御に基づいたタイミングで各スキャンの処理を実行するものとして説明するが、各スキャン処理の制御元については限定されないものである。
【0052】
図4は、通信監視装置10が設置時スキャンモードである場合における動作例について示したフローチャートである。
【0053】
通信監視部102は、設置当初(初期の起動時)には設置時スキャンモードで動作を開始すると、端末スキャン部101に設置時スキャンの処理を指示して実行させる(S101、S102)。設置時スキャンモードで動作する間、通信監視部102は、新規通信端末検知部103及び未知通信検知部104による検知処理を開始させない(監視データを供給しない)。
【0054】
そして、設置時スキャンが終了すると、通信監視部102は、端末スキャン部101にスキャン結果を記録(保持)させる(S103)。その後、通信監視部102は、通信監視装置10全体の動作モードを通常運用モードに移行させる。
【0055】
次に、端末スキャン部101による設置時スキャンの具体的処理内容について説明する。
【0056】
通信監視部102は、設置時スキャンモードで動作する場合、まず、監視対象ネットワークN1において監視対象となる通信端末30のアドレス(IPアドレス/MACアドレス)一覧を保持する。このとき、通信監視部102が監視対象となる通信端末30のアドレス一覧を保持する方法については限定されないものである。例えば、通信監視部102において、監視対象ネットワークN1内のIPアドレスの範囲(例えば、ネットワークアドレス/セグメントアドレス等)が把握されていれば、全てのIPアドレスに通信(例えば、ICMP(Internet Control Message Protocol)等を用いた通信)を試みて応答のあったアドレスを監視対象と認識(観測)するようにしてもよい。また、例えば、通信監視部102が監視対象ネットワークN1内のネットワーク装置(例えば、ネットワーク装置20)にアクセスしてARP(Address Resolution Protocol)テーブルを参照(例えば、SNMP等でアクセスして参照)することで、監視対象ネットワークN1内に存在する通信端末30のアドレスを認識するようにしてもよい。また、通信監視部102に、設置時に監視対象となる通信端末30のアドレスの一覧を記述したデータ(いわゆるシードデータ)を予め保持させたり、外部装置(例えば、図示しないネットワーク監視装置)から供給させたりするようにしてもよい。
【0057】
通信監視部102は、監視対象の通信端末30のアドレスの一覧を取得すると、各アドレス(通信端末30)に対するスキャン指示情報を生成して、端末スキャン部101に供給する。
【0058】
端末スキャン部101は、設置時スキャンモードで動作する場合、認識(観測)したアドレス全てに対して同時に大量のスキャンをかけると監視対象ネットワークN1の負荷が高くなり、通信に影響がでる可能性がある。そのため、端末スキャン部101は、設置時スキャンモードで動作する場合、同時にスキャンをかけるアドレス(通信端末30)の数を制限することが望ましい。例えば、端末スキャン部101は、設置時スキャンモードで動作する場合、同時にスキャンをかけるアドレス(通信端末30)の数について上限を設けること等で、ゆっくりと時間をかけてスキャンをかけることが望ましい。また、このとき、端末スキャン部101は、ネットワークアドレス(セグメント)ごとにスキャン対象のIPアドレスを分類して、各ネットワークアドレス(セグメント)ごとに同時にスキャンするアドレスの数の上限を設けるように制御することで、設置時スキャンによる監視対象ネットワークN1内の負荷を分散してもよい。また、端末スキャン部101において、設置時スキャンモードで優先的にスキャンすべきアドレスを設定可能とするようにしてもよい。例えば、端末スキャン部101に、事前のコンフィグ等で重点監視機器情報(充填的に監視すべきアドレスのリスト)などが与えられている場合は、優先的にその情報に記述されたアドレスからスキャンをかけるようにしてもよい。
【0059】
次に、通信監視装置10が設置時スキャンモードを終了して通常運用モードに移行した際の動作の例について図5のフローチャートを用いて説明する。
【0060】
図5は、通信監視装置10が通常運用モードに移行した場合の動作について示したフローチャートである。
【0061】
設置時スキャンモードから通常運用モードに移行すると、通信監視部102は、新規通信端末検知部103と未知通信検知部104に監視データの供給を開始(検知処理を開始)すると共に、図5のフローチャートの処理を繰り返し行う。
【0062】
通常運用モードに移行すると、新規通信端末検知部103は、通信監視部102から受け取った監視データから、監視対象ネットワークN1上の各通信端末30を把握して、新規通信端末(未だスキャンを実施していないアドレス;スキャン結果テーブル106aに情報がないアドレス)の検出を試み(S201)、新規通信端末を検出した場合には後述するステップS202から動作し、そうでない場合は後述するステップS204から動作する。
【0063】
上述のステップS201で、新規通信端末が検知された場合、新規通信端末検知部103は、端末スキャン部101に当該新規通信端末のスキャン(新規通信端末検出時スキャン)を指示する。この場合、新規通信端末検知部103は、端末スキャン部101に当該新規通信端末に関するスキャン指示情報(IPアドレスとスキャン条件など)を通知する。そして、端末スキャン部101は、新規通信端末検知部103から受け取ったスキャン指示情報に基づいて、新規通信端末についてスキャン(新規通信端末検出時スキャン)を実行する(S202)。
【0064】
一方、上述のステップS202で、新規通信端末が検知されなかった場合、未知通信検知部104は、通信監視部102から受け取った監視データに基づいて未知通信の検知を試み(S204)、未知通信を検出した場合には後述するステップS205から動作し、そうでない場合は処理を終了する。
【0065】
上述のステップS204で、未知通信が検知された場合、未知通信検知部104は、端末スキャン部101に当該新規通信端末のスキャン(未知通信検出時スキャン)を指示する。この場合、未知通信検知部104は、端末スキャン部101に当該未知通信に関するスキャン指示情報を通知する。そして、端末スキャン部101は、未知通信検知部104から受け取ったスキャン指示情報に基づいて、未知通信を行った通信端末30(未知通信の一方又は両方となる通信端末30)についてスキャン(未知通信末検出時スキャン)を実行する(S202)。
【0066】
ステップS202又はステップS205のスキャンが終了すると、端末スキャン部101は、そのスキャン結果をスキャン結果テーブル106aに記録(保持)して(S203)、処理を終了する。
【0067】
次に、ステップS201における新規通信端末検出時スキャンの処理手順について説明する。
【0068】
通常運用モードで動作する間は、スキャンする対象は限られるため、新規通信端末検知部103が、新規通信端末検出時スキャンを端末スキャン部101に指示する際には、監視対象ネットワークN1内の負荷は考慮する必要はない。しかしながら、新規通信端末が、演算リソースの少ない装置である場合(例えば、IoT機器等、演算リソースの少ないマイクロコンピュータのみが搭載された装置)、当該新規通信端末に対して同時に複数のポートスキャンをかけることで新規通信端末側の本来機能(例えば、センサデータの処理等)の処理が滞ってしまう可能性もある。そのため、端末スキャン部101は、新規通信端末検知部103から供給された新規通信端末検出時スキャンの内容(スキャン指示情報)に基づいてスキャンを行う際に、当該新規通信端末の属性(例えば、機器の種類やベンダ)に応じて、スキャンにかける時間を調整(例えば、同時にポートスキャンするポート数を制限することで調整)するようにしてもよい。例えば、端末スキャン部101は、新規通信端末のMACアドレスから、当該新規通信端末のベンダIDを抽出することで、当該新規通信端末の属性を判断し、判断した属性に応じてスキャンにかける時間を調整してもよい。例えば、IoT機器等演算リソースが少ない可能性のある機器に対応するベンダIDを予め端末スキャン部101に登録しておくことで、端末スキャン部101において新規通信端末の属性を判断するようにしてもよい。また、例えば、端末スキャン部101は、特定のポートをスキャンすることで新規通信端末の情報(OS名称、バージョン情報、ハードウェア情報等)を取得し、取得した情報に基づいて新規通信端末の属性を判断するようにしてもよい。例えば端末スキャン部101に、特定のOS名称について予め登録しておき、と当該OS名称の新規通信端末についてスキャンをかける際には、通常よりもゆっくり時間をかけてスキャンをかけるようにしてもよい。例えば、端末スキャン部101は、同時にポートスキャンするポート数や脆弱性チェック項目を増減することで、スキャンにかける時間を調整するようにしてもよい。また、端末スキャン部101では、新規通信端末の属性に応じて、段階的にスキャンにかける時間(スキャンの速度)を調整するようにしてもよい。
【0069】
端末スキャン部101において、未知通信検出時スキャンの処理手順ついては、スキャンの対象が未知通信に対応する通信端末30となるだけで、新規通信端末検出時スキャンと同様としてもよいため、詳しい説明は省略する。
【0070】
次に、通信監視装置10が定期スキャンを行う際の動作について説明する。
【0071】
端末スキャン部101は、通常運用モードで動作する間、定期実行管理部107の制御に応じて定期スキャンの処理を行う。この実施形態では、端末スキャン部101は、図6のフローチャートの処理により定期スキャンを実行するものとする。
【0072】
図6は、通信監視装置10(定期実行管理部107、端末スキャン部101)による定期スキャンの動作について示したフローチャートである。定期実行管理部107は、通常運用モードで動作する間、図6のフローチャートの処理を繰返し行う。
【0073】
定期実行管理部107は、定期スキャンを実行するタイミングとなった通信端末30が発生したことを検知すると(S301)、端末スキャン部101に定期スキャンを指示して実行させる(S302)。このとき、定期実行管理部107は、端末スキャン部101に当該定期スキャン対象の通信端末30に関するスキャン指示情報を通知する。そして、端末スキャン部101は、定期実行管理部107から受け取ったスキャン指示情報に基づいて、定期スキャン対象の通信端末30についてスキャン(定期スキャン)を実行する。
【0074】
そして、端末スキャン部101は、定期実行管理部107の指示に従って定期スキャンを実行すると、そのスキャン結果を結果保持部106に保持(記録)させ(S303)、処理を終了する。
【0075】
次に、通常運用モードで動作中に問題発見部105が、通信に問題を発見した場合の動作について説明する。
【0076】
【0077】
問題発見部105は、端末スキャン部101が結果保持部106(スキャン結果テーブル106a)に書き込むスキャン結果を監視して、通信に問題を試み(S401)、問題を発見した場合、後述するステップS402から動作し、そうでない場合は処理を終了する。
【0078】
ステップS401で通信に問題が発見された場合、問題発見部105は、端末スキャン部101に、当該問題に係る通信端末30について問題発見時スキャンを実施することを指示する(S402)。このとき、問題発見部105は、当該問題に係る通信端末30について問題発見時スキャンを実行するために必要なスキャン指示情報(IPアドレスとスキャン条件等)を端末スキャン部101に供給する。端末スキャン部101は、問題発見部105から渡されたスキャン指示情報を元に問題発見時スキャンを実施し、結果保持部106にスキャン結果を保持させる(S403)。
【0079】
そして、問題発見部105は、問題を検出した場合には、その旨をネットワーク管理者OPにアラートとして通報する処理を行うようにしてもよい。このとき、問題発見部105は、当該アラートに当該問題の内容(例えば、問題検出に係る通信端末30を特定する情報(例えば、IPアドレスやホスト名等)や、差分に対応するポートを特定する情報等を含む情報)を付加してネットワーク管理者OP(監視端末TE)宛に送信(通報)するようにしてもよい。また、このとき、問題発見部105は、結果保持部106を参照して該スキャンにより得られた詳細情報を付加した形で先のアラートをアップデートし、ネットワーク管理者OP(監視端末TE)宛に通報するようにしてもよい。また、このとき、問題発見部105は、発見した問題の詳細情報(例えば、問題検知した通信に係る通信端末30のIPアドレスや、問題検知した通信に係るポートに関する情報;例えば、どのようなサービスが動作していそうかという情報)をアラートに付加するようにしてもよい。
【0080】
(A-3)実施形態の効果
この実施形態によれば、以下のような効果を奏することができる。
この実施形態によれば、以下のような効果を奏することができる。
【0081】
この実施形態の通信監視装置10では、端末スキャン部101が他の要素で得られた条件(タイミング)に応じて各スキャンを実行することで、より効率的なネットワーク監視を行うことができる。具体的には、通信監視装置10は、当該装置が設置されたタイミング(初期導入のタイミング)では、監視対象ネットワークN1への負荷を抑制しつつスキャンを実行する。また、通信監視装置10は、通常運用中は、新規通信端末が検知されたタイミングや、未知通信が検知されタイミングや、スキャン結果に問題が発見されたタイミング等、詳細なスキャンが必要となるイベントが発生した通信端末30に対してのみ当該イベントが発生したタイミングで詳細なスキャニングを行う。さらに、通信監視装置10は、特にイベントの発生していない通信端末30についても詳細スキャンよりも処理量の少ない定期スキャンを行うことで、監視対象ネットワークN1への影響を抑制しつつ各通信端末30について問題がないか確認する等、監視対象ネットワークN1のセキュリティを管理することができる。
【0082】
さらにまた、問題発見部105が、問題を発見した場合には、所定の方法で出力(例えば、ネットワーク管理者へメールやメッセージ等で通報)することで、監視対象ネットワークN1のセキュリティを管理することができる。また、このとき、問題発見部105が、発見した問題の詳細情報(例えば、問題検知した通信に係る通信端末30のIPアドレスや、問題検知した通信に係るポートに関する情報;例えば、どのようなサービスが動作していそうかという情報)を付加することで、ネットワーク管理者による作業効率を向上(例えば、解析工数を削減)することができる。
【0083】
(B)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
【0084】
(B-1)上記の実施形態の問題発見部105において、発見した問題の内容(種類)に応じて問題発見時スキャンの内容を変更するようにしてもよい。例えば、問題発見部105は、定期的にスキャンが実行されていないことを元に問題発見時スキャンの内容を変更するようにしてもよい。また、例えば、問題発見部105は、脆弱性チェックのリストとその優先度を保持しており、問題発見時スキャンには少なくとも優先度の高い脆弱性チェックを含むようにしてもよい。また、例えば、問題発見部105は、問題発見した通信端末30の仕様に関する情報(例えば、OSのバージョン等の機器情報)を保持(例えば、所定のポートの通信により保持)し、当該仕様に基づく種別ごと(例えば、OSの種類やバージョンごと)に、ポートスキャンするポートのリストやスキャンオプションの内容を変更するようにしてもよい。さらに、例えば、問題発見部105は、世の中で新たな脆弱性情報等が流通した際に、監視端末TE(ネットワーク管理者OP)から手動(例えば、所定のGUIやコマンドラインを介した手動操作等)により、問題発見のイベントを発生させて、問題発見時スキャンを実行するようにしてもよい。
【符号の説明】
【0085】
10…通信監視装置、20…ネットワーク装置、30、30-1、30-2、30-3…通信端末、101…端末スキャン部、102…通信監視部、103…新規通信端末検知部、104…未知通信検知部、105…問題発見部、106…結果保持部、106a…スキャン結果テーブル、107…定期実行管理部、N1…監視対象ネットワーク、N2…インターネット。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】