知財求人 - 知財ポータルサイト「IP Force」
特開2023-38663通信装置、通信管理システム、通信管理方法および通信管理プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023038663
(43)【公開日】2023-03-17
(54)【発明の名称】通信装置、通信管理システム、通信管理方法および通信管理プログラム
(51)【国際特許分類】
H04L 12/22 20060101AFI20230310BHJP
H04L 12/46 20060101ALI20230310BHJP
【FI】
H04L12/66 B
H04L12/46 E
【審査請求】未請求
【請求項の数】21
【出願形態】OL
(21)【出願番号】P 2021145503
(22)【出願日】2021-09-07
(71)【出願人】
【識別番号】000004075
【氏名又は名称】ヤマハ株式会社
(74)【代理人】
【識別番号】110000408
【氏名又は名称】弁理士法人高橋・林アンドパートナーズ
(72)【発明者】
【氏名】刑部 和浩
【テーマコード(参考)】
5K030
5K033
【Fターム(参考)】
5K030GA15
5K030HA08
5K030HD06
5K030JA11
5K030KA05
5K030MA04
5K033AA08
5K033CB08
5K033CC01
5K033DA06
5K033DB18
(57)【要約】 (修正有)
【課題】異なる装置間でアプリケーション情報やセキュリティインシデントをリアルタイムで共有する通信装置、通信管理システム、通信管理方法及び通信管理プログラムを提供する。
【解決手段】通信管理システム1において、通信装置(UTM装置10)は、ネットワークを介して装置間で送受信される第1ネットワーク情報を取得し、取得した第1ネットワーク情報に対して所定の条件に基づいて第1ネットワーク情報の属性を示す属性情報を付加した第2ネットワーク情報をネットワーク中継装置に送信する。
【選択図】図1
【解決手段】通信管理システム1において、通信装置(UTM装置10)は、ネットワークを介して装置間で送受信される第1ネットワーク情報を取得し、取得した第1ネットワーク情報に対して所定の条件に基づいて第1ネットワーク情報の属性を示す属性情報を付加した第2ネットワーク情報をネットワーク中継装置に送信する。
【選択図】図1
【特許請求の範囲】
【請求項1】
ネットワークを介して装置間で送受信される第1ネットワーク情報を取得し、
取得した前記第1ネットワーク情報に対して所定の条件に基づいて前記第1ネットワーク情報の属性を示す属性情報を付加した第2ネットワーク情報をネットワーク中継装置に送信する、
通信装置。
取得した前記第1ネットワーク情報に対して所定の条件に基づいて前記第1ネットワーク情報の属性を示す属性情報を付加した第2ネットワーク情報をネットワーク中継装置に送信する、
通信装置。
【請求項2】
前記通信装置は、前記取得した第1ネットワーク情報に基づき、セキュリティに関する情報を検出することで、属性情報を設定する、
請求項1に記載の通信装置。
請求項1に記載の通信装置。
【請求項3】
前記属性情報は、前記属性に応じて分類される分類情報、および前記分類情報から個別に特定される特定情報を含む、
請求項1または2に記載の通信装置。
請求項1または2に記載の通信装置。
【請求項4】
前記第1ネットワーク情報は、パケットデータを含む、
請求項1乃至3のいずれか一項に記載の通信装置。
請求項1乃至3のいずれか一項に記載の通信装置。
【請求項5】
前記パケットデータは、Internet Protocol version 4(IPv4)パケットデータまたはInternet Protocol version 6(IPv6)パケットデータを含み、
前記属性情報は、IPv4ヘッダのオプションフィールド、またはIPv6ヘッダの拡張ヘッダに付加される、
請求項4に記載の通信装置。
前記属性情報は、IPv4ヘッダのオプションフィールド、またはIPv6ヘッダの拡張ヘッダに付加される、
請求項4に記載の通信装置。
【請求項6】
前記第1ネットワーク情報は、複数の第1ネットワーク情報を含み、
前記通信装置は、所定の期間における複数の第1ネットワーク情報に基づいて属性情報を設定する、
請求項1乃至5のいずれか一項に記載の通信装置。
前記通信装置は、所定の期間における複数の第1ネットワーク情報に基づいて属性情報を設定する、
請求項1乃至5のいずれか一項に記載の通信装置。
【請求項7】
前記通信装置は、総合脅威管理(UTM)装置である、
請求項1乃至6のいずれか一項に記載の通信装置。
請求項1乃至6のいずれか一項に記載の通信装置。
【請求項8】
請求項1乃至7のいずれか一項に記載の通信装置と、
送信された前記第2ネットワーク情報に基づいて通信処理を実行するネットワーク中継装置と、を含む、
通信管理システム。
送信された前記第2ネットワーク情報に基づいて通信処理を実行するネットワーク中継装置と、を含む、
通信管理システム。
【請求項9】
前記ネットワーク中継装置は、前記第2ネットワーク情報に含まれる前記属性情報に応じて前記第2ネットワーク情報に対応する通信方法を設定する、
請求項8に記載の通信管理システム。
請求項8に記載の通信管理システム。
【請求項10】
前記ネットワーク中継装置は、前記属性情報に対応してあらかじめ設定された情報に基づいて通信方法を設定する、
請求項9に記載の通信管理システム。
請求項9に記載の通信管理システム。
【請求項11】
前記通信方法は、ルーティング情報、フィルタリング情報、Quality of Service(QoS)情報、およびカプセル化情報のうち少なくとも一つに基づいて設定される、
請求項10に記載の通信管理システム。
請求項10に記載の通信管理システム。
【請求項12】
通信装置が、
第1装置がネットワークを介して第2装置に送信する第1ネットワーク情報を取得し、
取得した前記少なくとも一つの第1ネットワーク情報を所定の条件に基づいて前記第1ネットワーク情報の属性を示す属性情報を前記第1ネットワーク情報に付加した第2ネットワーク情報をネットワーク中継装置に送信する、
通信管理方法。
第1装置がネットワークを介して第2装置に送信する第1ネットワーク情報を取得し、
取得した前記少なくとも一つの第1ネットワーク情報を所定の条件に基づいて前記第1ネットワーク情報の属性を示す属性情報を前記第1ネットワーク情報に付加した第2ネットワーク情報をネットワーク中継装置に送信する、
通信管理方法。
【請求項13】
前記通信装置は、前記取得した第1ネットワーク情報に基づき、セキュリティに関する情報を検出することで、属性情報を設定する、
請求項12に記載の通信管理方法。
請求項12に記載の通信管理方法。
【請求項14】
前記属性情報は、前記属性に応じて分類される分類情報、および前記分類情報から個別に特定される特定情報を含む、
請求項13に記載の通信管理方法。
請求項13に記載の通信管理方法。
【請求項15】
前記第1ネットワーク情報は、パケットデータを含む、
請求項12乃至14のいずれか一項に記載の通信管理方法。
請求項12乃至14のいずれか一項に記載の通信管理方法。
【請求項16】
前記パケットデータは、Internet Protocol version 4(IPv4)パケット情報またはInternet Protocol version 6(IPv6)パケット情報を含み、
前記属性情報は、IPv4ヘッダのオプションフィールド、またはIPv6ヘッダの拡張ヘッダに付加される、
請求項15に記載の通信管理方法。
前記属性情報は、IPv4ヘッダのオプションフィールド、またはIPv6ヘッダの拡張ヘッダに付加される、
請求項15に記載の通信管理方法。
【請求項17】
前記第1ネットワーク情報は、複数の第1ネットワーク情報を含み、
前記通信装置は、所定の期間における複数の第1ネットワーク情報に基づいて属性情報を設定する、
請求項12乃至16のいずれか一項に記載の通信管理方法。
前記通信装置は、所定の期間における複数の第1ネットワーク情報に基づいて属性情報を設定する、
請求項12乃至16のいずれか一項に記載の通信管理方法。
【請求項18】
前記ネットワーク中継装置は、前記第2ネットワーク情報に含まれる前記属性情報に応じて前記第2ネットワーク情報に対応する通信方法を設定する、
請求項12乃至17のいずれか一項に記載の通信管理方法。
請求項12乃至17のいずれか一項に記載の通信管理方法。
【請求項19】
前記ネットワーク中継装置は、前記属性情報に対応してあらかじめ設定された情報に基づいて通信方法を設定する、
請求項12乃至18のいずれか一項に記載の通信管理方法。
請求項12乃至18のいずれか一項に記載の通信管理方法。
【請求項20】
前記通信方法は、ルーティング情報、フィルタリング情報、Quality of Service(QoS)情報、およびカプセル化情報のうち少なくとも一つに基づいて設定される、
請求項18または19に記載の通信管理方法。
請求項18または19に記載の通信管理方法。
【請求項21】
コンピュータに、
第1装置がネットワークを介して第2装置に送信する少なくとも一つの第1ネットワーク情報を取得し、
取得した前記少なくとも一つの第1ネットワーク情報を所定の条件に基づいて前記第1ネットワーク情報の属性を示す属性情報を前記第1ネットワーク情報に付加した第2ネットワーク情報をネットワーク中継装置に送信する、
ことを実行させる、
通信管理プログラム。
第1装置がネットワークを介して第2装置に送信する少なくとも一つの第1ネットワーク情報を取得し、
取得した前記少なくとも一つの第1ネットワーク情報を所定の条件に基づいて前記第1ネットワーク情報の属性を示す属性情報を前記第1ネットワーク情報に付加した第2ネットワーク情報をネットワーク中継装置に送信する、
ことを実行させる、
通信管理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信装置、通信管理システム、通信管理方法および通信管理プログラムに関する。
【背景技術】
【0002】
近年、ネットワークを介したファイルの送受信において、セキュリティインシデントの検知が重要となっている。コンピュータウイルスやハッキングなどの脅威からコンピュータネットワークを効率的かつ包括的に保護する方法として、UTM(Unified Threat Management)が用いられている。特許文献1には、UTMを用いたネットワーク監視システムについて開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2018-129712号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
UTM装置は、機器を通過するパケットに対してアプリケーションを識別する、またはセキュリティインシデントの対象パケットか否かを検出することはできる。しかしながら、同一ネットワーク上に設置されているルータなどの他のネットワーク機器では、ネットワーク上にどのようなアプリケーションが用いられているか、どんなセキュリティインシデントが発生しているかを知ることはできない。
【0005】
また、一台の装置がセキュリティ情報の検出またはアプリケーションの識別を行う場合、当該装置に対する負荷が大きくなる。そのため、セキュリティ情報等を検出するための時間が長くなり、情報処理に遅延が生じる場合がある。
【0006】
このような課題に鑑み、本発明の目的の一つは、異なる装置間でアプリケーション情報やセキュリティインシデントをリアルタイムで共有することである。
【課題を解決するための手段】
【0007】
本発明の一実施形態によれば、ネットワークを介して装置間で送受信される第1ネットワーク情報を取得し、取得した前記第1ネットワーク情報に対して所定の条件に基づいて前記第1ネットワーク情報の属性を示す属性情報を付加した第2ネットワーク情報をネットワーク中継装置に送信する、通信装置が提供される。
【発明の効果】
【0008】
本発明によれば、異なる装置間でアプリケーション情報やセキュリティインシデントをリアルタイムで共有することができる。
【図面の簡単な説明】
【0009】
【図1】本発明の一実施形態に係る通信管理システムの全体構成を示すブロック図である。
【図2】本発明の一実施形態に係るUTM装置の構成を示すブロック図である。
【図3】本発明の一実施形態に係るルータの構成を示すブロック図である。
【図4】本発明の一実施形態に係る通信端末の構成を示すブロック図である。
【図5】本発明の一実施形態に係るサービス提供サーバの構成を示すブロック図である。
【図6】本発明の一実施形態に係る通信管理システムの機能ブロック図である。
【図7】本発明の一実施形態に係るIPv4パケットデータの一例を示す図である。
【図8】本発明の一実施形態に係る分類情報のデータセットの一例を示す図である。
【図9】本発明の一実施形態に係る特定情報のデータセットの一例を示す図である。
【図10】本発明の一実施形態に係る通信方法のデータセットの一例を示す図である。
【図11】本発明の一実施形態に係る通信管理システムで実行される処理の流れの一例を示すフロー図である。
【図12】本発明の一実施形態に係る通信管理システムで実行される処理の流れの一例を示すフロー図である。
【図13】本発明の一実施形態に係る通信管理システムで実行される処理の流れの一例を示すフロー図である。
【発明を実施するための形態】
【0010】
以下、本発明の実施の形態を、図面等を参照しながら説明する。但し、本発明は多くの異なる態様で実施することが可能であり、以下に例示する実施の形態の記載内容に限定して解釈されるものではない。図面は説明をより明確にするため、模式的に表される場合があるが、あくまで一例であって、本発明の解釈を限定するものではない。また、各要素に対する「第1」、「第2」と付記された文字は、各要素を区別するために用いられる便宜的な標識であり、特段の説明がない限りそれ以上の意味を有さない。なお、本実施形態で参照する図面において、同一部分または同様な機能を有する部分には同一の符号または類似の符号(数字xxxにA,Bを付しただけの符号)を付し、その繰り返しの説明は省略する場合がある。また、構成の一部が図面から省略されたりする場合がある。その他、本発明の属する分野における通常に知識を有する者であれば認識できるものである場合、特段の説明を行わないものとする。
【0011】
本発明の一実施形態に係る通信管理システムについて、図面を参照しながら詳細に説明する。
【0012】
(1-1.通信管理システムの構成)
図1に、通信管理システム1の構成を示すブロック図を示す。図1に示すように、通信管理システム1は、UTM装置10(通信装置ともいう)、ルータ20(ネットワーク中継装置ともいう)、通信端末30およびサービス提供サーバ40を含む。
図1に、通信管理システム1の構成を示すブロック図を示す。図1に示すように、通信管理システム1は、UTM装置10(通信装置ともいう)、ルータ20(ネットワーク中継装置ともいう)、通信端末30およびサービス提供サーバ40を含む。
【0013】
通信管理システム1において、UTM装置10は、通信端末30とサービス提供サーバ40との間で送受信されるネットワーク情報(第1ネットワーク情報ともいう)を受信し、第1ネットワーク情報に対してセキュリティに関する情報を検出することで属性情報を特定し、第1ネットワーク情報に属性情報を付加した第2ネットワーク情報をルータ20に送信する通信装置である。ルータ20(ルータ20-1、ルータ20-2)は、第1ネットワーク400(第1ネットワーク400-1,第1ネットワーク400-2)および第2ネットワーク500の各々と有線または無線により接続するネットワーク中継装置である。通信端末30(通信端末30-1,通信端末30-2)は、ネットワークサービスの提供を希望するサービス提供サーバ40と第2ネットワーク500を経由して通信するコンピュータ装置である。本実施形態において、第1ネットワーク400-1,400-2の各々を区別しないときは、これらを第1ネットワーク400として説明する。同様に、ルータ20-1,ルータ20-2の各々を区別しないときは、ルータ20として説明する。また、通信端末30-1,通信端末30-2の各々を区別しないときは、通信端末30として説明する。サービス提供サーバ40は、通信端末30からの要求に応じてルータ20を経由してネットワークサービスを提供するサーバである。
【0014】
通信管理システム1における第1ネットワーク400は、例えば、企業や学校などの組織内に構築されたネットワークである。第1ネットワーク400は、例えば、閉域ネットワークの一例であるイントラネットである。イントラネットは、例えば、LAN(Local Area Network)である。
【0015】
通信管理システム1における第2ネットワーク500は、第1ネットワーク400よりも地理的に広い範囲に構築されたネットワークである。第2ネットワーク500は、例えば、インターネットまたはWAN(Wide Area Network)である。第2ネットワーク500は、サービス提供サーバ40、複数のルータ20と接続される。また、第2ネットワーク500は、ルータ20-1を介してUTM装置10、通信端末30-1と有線または無線により接続されている。
【0016】
(1-1-1.UTM装置10)
図2は、UTM装置10のハードウェアの構成図である。図2に示すように、UTM装置10は、制御部101、記憶部103、第1インターフェース105、第2インターフェース107、および通信部109を有する。制御部101、記憶部103、第1インターフェース105、第2インターフェース107、および通信部109は、バスを介して接続される。
図2は、UTM装置10のハードウェアの構成図である。図2に示すように、UTM装置10は、制御部101、記憶部103、第1インターフェース105、第2インターフェース107、および通信部109を有する。制御部101、記憶部103、第1インターフェース105、第2インターフェース107、および通信部109は、バスを介して接続される。
【0017】
制御部101は、CPU(Central Processing Unit)、ASIC(Application Specific Integrated Circuit)、FPGA(Flexibe Programable Gate Array)、またはその他の演算処理回路を含む。制御部101は、通信管理プログラムを用いて通信装置の各部の機能を制御する。
【0018】
記憶部103には、メモリ、SSD(Solid State Drive)の半導体メモリ等のほか、磁気記録媒体(磁気テープ、磁気ディスク等)、光記録媒体、光磁気記録媒体、記憶媒体である記憶可能な素子が用いられる。記憶部103は、通信管理プログラム、および通信管理プログラムで用いられる各種情報を記憶するデータベースとしての機能を有する。
【0019】
第1インターフェース105は、第1ネットワーク400を介して通信端末30と通信するためのインターフェースである。第2インターフェース107は、第1ネットワーク400を介してルータ20と通信するためのインターフェースである。第1インターフェース105および第2インターフェース107は、例えば、モデムまたはNIC(Network Interface Card)を含む。
【0020】
通信部109は、制御部101の制御に基づいて第1インターフェース105および第2インターフェース107を介して外部の装置(ルータ20、通信端末30、サービス提供サーバ40)と情報の送受信を行う。
【0021】
(1-1-2.ルータ20)
図3は、ルータ20のハードウェアの構成の一例を示すブロック図である。図3に示すように、ルータ20は、制御部201、記憶部203、通信部205、第1インターフェース207、および第2インターフェース209、および表示部211を有する。制御部201、記憶部203、通信部205、第1インターフェース207、および第2インターフェース209、および表示部211は、バスを介して接続される。
図3は、ルータ20のハードウェアの構成の一例を示すブロック図である。図3に示すように、ルータ20は、制御部201、記憶部203、通信部205、第1インターフェース207、および第2インターフェース209、および表示部211を有する。制御部201、記憶部203、通信部205、第1インターフェース207、および第2インターフェース209、および表示部211は、バスを介して接続される。
【0022】
制御部201は、ルータ20の各部を制御する。記憶部203は、通信管理プログラムに関連するプログラム、及び各種情報を記憶するデータベースとしての機能を有する。記憶部203は、ルータ20に接続された通信端末30の情報を記憶する。第1インターフェース207は、第1ネットワーク400を介してUTM装置10と通信するためのインターフェースである。第1インターフェース207と第1ネットワーク400との間の通信路は、ファイアウォールを経由してもよい。第2インターフェース209は、第2ネットワーク500を介してサービス提供サーバ40と通信するためのインターフェースである。ルータ20は、第1ネットワーク400と第2ネットワーク500とを中継することができる。なお、制御部201、記憶部203、および第1インターフェース207、および第2インターフェース209の各々には、UTM装置10と同様の装置を用いることができる。
【0023】
通信部205は、第1ネットワーク400と第2ネットワーク500との間でデータの転送を行う。データ転送機能は、TCP(Transmission Control Protocol)/IP(Internet Protocol)プロトコルに対応している。
【0024】
表示部211は、制御部201の制御に基づいて制御情報(この例では、通信管理情報)を表示する。このとき、表示部211は、GUI(Graphical User Interface)を介して通信管理情報を表示してもよい。
【0025】
(1-1-3.通信端末30)
図4は、通信端末30のハードウェアの構成の一例を示すブロック図である。図4に示すように、通信端末30は、制御部301、記憶部303、表示部305、操作部307、インターフェース309、および通信部311を有する。制御部301、記憶部303、表示部305、操作部307、インターフェース309、および通信部311はバスを介して接続される。この例では、通信端末30としてパーソナルコンピュータが用いられる。なお、通信端末30は、パーソナルコンピュータに限定されず、携帯電話(フィーチャーフォン)、スマートフォン、タブレット型端末、およびIoT(Internet of Things)デバイス(電源機構、通信機能および情報記憶機構を備えた機器)などでもよく、ネットワークを通じて各装置と通信可能なものであれば適用可能である。
図4は、通信端末30のハードウェアの構成の一例を示すブロック図である。図4に示すように、通信端末30は、制御部301、記憶部303、表示部305、操作部307、インターフェース309、および通信部311を有する。制御部301、記憶部303、表示部305、操作部307、インターフェース309、および通信部311はバスを介して接続される。この例では、通信端末30としてパーソナルコンピュータが用いられる。なお、通信端末30は、パーソナルコンピュータに限定されず、携帯電話(フィーチャーフォン)、スマートフォン、タブレット型端末、およびIoT(Internet of Things)デバイス(電源機構、通信機能および情報記憶機構を備えた機器)などでもよく、ネットワークを通じて各装置と通信可能なものであれば適用可能である。
【0026】
制御部301は、通信端末30の各部を制御する。記憶部303は、通信管理プログラムに関連する情報の一部を記憶する機能を有する。インターフェース309は、第1ネットワーク400を介してUTM装置10と通信するためのインターフェースである。通信部311は、制御部301の制御に基づいて第1ネットワーク400に接続し、外部の装置(サービス提供サーバ40)と情報の送受信を行う。制御部301、記憶部303、インターフェース309、通信部311には、UTM装置10と同様の装置を用いることができる。
【0027】
表示部305は、液晶ディスプレイまたは有機ELディスプレイなどの表示デバイスである。表示部305において、制御部301から入力される信号により通信管理プログラムに関する情報およびサービス提供サーバ40から送信されるネットワークサービスの表示内容が制御される。
【0028】
操作部307は、キーボード、コントローラー、ボタン、またはスイッチを含む。本実施形態では、通信端末30がタッチセンサを有する表示装置(タッチパネル)であることにより、表示部305と操作部307とが、同じ場所に配置されてもよい。操作部307の操作により入力された信号は、UTM装置10に送信される。
【0029】
(1-1-4.サービス提供サーバ40)
図5は、サービス提供サーバ40のハードウェアの構成の一例を示すブロック図である。図5に示すように、サービス提供サーバ40は、制御部401、記憶部403、インターフェース405、および通信部407を備える。制御部401、記憶部403、インターフェース405、および通信部407は、バスを介して接続される。
図5は、サービス提供サーバ40のハードウェアの構成の一例を示すブロック図である。図5に示すように、サービス提供サーバ40は、制御部401、記憶部403、インターフェース405、および通信部407を備える。制御部401、記憶部403、インターフェース405、および通信部407は、バスを介して接続される。
【0030】
制御部401は、サービス提供サーバ40の各部を制御する。記憶部403は、通信管理プログラムに用いられるデータの一部を記憶する。インターフェース405は、第2ネットワーク500を介してUTM装置10、ルータ20、および通信端末30と通信するためのインターフェースである。通信部407は、制御部401の制御に基づいて第2ネットワーク500に接続し、外部の装置(UTM装置10、ルータ20、および通信端末30)と情報の送受信を行う。なお、制御部401、記憶部403、インターフェース405、および通信部407の各々には、UTM装置10と同様の装置を用いることができる。
【0031】
(1-2.通信管理システムの機能ブロック図)
図6は、通信管理システム1の機能構成の一例を示すブロック図である。以下で説明する各機能は、ハードウェア、ソフトウェア、またはハードウェアおよびソフトウェアの組み合わせによって実現される。
図6は、通信管理システム1の機能構成の一例を示すブロック図である。以下で説明する各機能は、ハードウェア、ソフトウェア、またはハードウェアおよびソフトウェアの組み合わせによって実現される。
【0032】
図6において、UTM装置10は、取得部1011、分析部1013、生成部1015および送信部1017を有する。
【0033】
取得部1011は、通信端末30から送信される第1ネットワーク情報を取得する。第1ネットワーク情報は、少なくとも一つのパケットデータに対応する。例えば、第1ネットワーク情報には、対応する一つのIPv4(Internet Protocol version 4)パケットデータが用いられる。
【0034】
図7は、IPv4パケットデータのデータセット600の模式図である。図7に示すように、IPv4パケットデータのデータセット600は、バージョンフィールド601、ヘッダ長フィールド603、サービスタイプフィールド605、パケット長フィールド607、識別子フィールド609、フラグフィールド611、フラグメントオフセットフィールド613、生存時間(TTL:Time of Live)フィールド615、プロトコル番号フィールド617、ヘッダチェックサムフィールド619、送信元IPアドレスフィールド621、宛先IPアドレスフィールド623、オプションフィールド625、およびデータフィールド627を含む。各フィールドは対応するデータを含む。
【0035】
バージョンフィールド601は、IPのバージョン情報を含む。ヘッダ長フィールド603は、IPヘッダのヘッダ長を含む。サービスタイプフィールド605は、パケットの優先度情報を含む。パケット長フィールド607は、パケットの長さ情報を含む。パケットの長さ情報はバイト長で表現される。識別子フィールド609は、パケットが分割された場合のパケットを識別する識別子情報含む。フラグフィールド611は、フラグメンテーションにおいて利用されるフラグ情報を含む。フラグメントオフセットフィールド613は、分割(フラグメント化)されたパケットにおける位置情報を含む。生存時間フィールド615は、パケットの生存時間情報を含む。プロトコル番号フィールド617は、上位にあたるトランスポート層のネットワーク・プロトコルの種類を示す番号を含む。ヘッダチェックサムフィールド619は、IPヘッダの正確性を確認するための検査データを含む。送信元IPアドレスフィールド621は、送信元のIPアドレス情報を含む。宛先IPアドレスフィールド623は、送信先のIPアドレス情報を含む。データフィールド627は、ユーザから要求されるデータを含む。本実施形態において、オプションフィールド625には、IPv4パケットデータにおける他のフィールドの情報に基づいて属性情報が追加される。属性情報については、後述する。
【0036】
分析部1013は、取得した第1ネットワーク情報の分析を行う。本実施形態では、取得したIPv4パケットデータを分析する。例えば、分析部1013は、ヘッダ長フィールド603のIPヘッダのヘッダ長を分析してもよい。これにより、オプション有無の判別を行ってもよい。なお、分析部1013がネットワーク情報の分析を行う場合、一つのIPv4パケットデータのみならず、複数のパケットデータを用いて分析してもよい。この場合、複数のパケットデータが一つの第1ネットワーク情報に対応してもよい。パケットデータを分析することにより、第1ネットワーク情報におけるセキュリティに関する情報を検出することができる。
【0037】
生成部1015は、第1ネットワーク情報を用いて第2ネットワーク情報を生成する。本実施形態において、生成部1015は、IPv4パケットデータのオプションフィールドに属性情報を追加することにより第2ネットワーク情報を生成する。属性情報は、第1ネットワーク情報のセキュリティに関する情報に対応付けられて設定された情報である。属性情報は、属性に応じて分類される分類情報、および分類情報から個別に特定される特定情報を含む。
【0038】
図8は、分類情報のデータセット700の一例である。図8に示すように、この例では、分類情報のデータセット700は、分類情報(分類識別子、セキュリティ識別子ともいう)701および分類名703を含む。分類名703は、セキュリティインシデントなどの種別を示す。具体的には、分類名703は、アプリケーション情報識別、不正侵入、スパムメール、ウィルスメール、ボット、URLレピュテーションを含む。分類情報は、UTM装置の記憶部103に設けられたデータベース103aに格納される。
【0039】
図9は、特定情報のデータセット800の一例である。図9に示すように、この例では、特定情報のデータセット800は、情報フィールド長801、特定コード803(セキュリティ情報ともいう)、および特定コードに対応付けられた情報(この例ではサービス情報805)を含む。情報フィールド長は、分類情報および特定情報に応じて設定される。サービス情報805は、電話ネットワークサービス(VoIP:Voice over Internet Protocol)、Web会議、動画配信ネットワークサービス、文書作成アプリケーション、オペレーションシステムのアップデート、ゲーム、SMS(Short Message Service)、ファイル共有サービス、ギャンブル、およびショッピングを含む。
【0040】
図6に戻って、送信部1017は、生成された第2ネットワーク情報をルータ20に送信する。
【0041】
ルータ20は、取得部2011、解析部2013、設定部2015、および送信部2017を有する。
【0042】
取得部2011は、UTM装置10の送信部1017から送信された第2ネットワーク情報を取得する。取得された第2ネットワーク情報はルータ20の解析部2013に送られる。
【0043】
解析部2013は、取得された第2ネットワーク情報を解析する。この例では、解析部2013は、IPv4のオプションフィールドに付加された属性情報を解析する。
【0044】
設定部2015は、第2ネットワーク情報に含まれる属性情報に応じて第2ネットワーク情報に対応する通信方法を設定する。具体的には、設定部2015は、属性情報に対応してあらかじめ設定された通信方法のデータセットに基づいて通信方法を設定する。図10は、通信方法のデータセット900の一例である。図10に示すように、通信方法のデータセット900は、通信方法識別子901、通信方法903および属性情報から得られるセキュリティ関連情報(ネットワークサービス情報またはセキュリティインシデント情報)905を含む。セキュリティ関連情報905は、属性情報であってもよい。通信方法のデータセット900は、ルータ20の記憶部203のうち、データベース203aに格納される。
【0045】
上述したUTM10のデータベース103aおよびルータ20のデータベース203aには共通のデータが格納される。このとき、UTM10のデータベース103a内のデータと、ルータ20のデータベース203a内のデータは、それぞれバージョン番号を用いて管理されてもよい。具体的には、UTM装置10のデータベースに格納されたデータのバージョン情報およびルータ20のデータベースに格納されたデータのバージョン情報は、一定期間経過ごとに判定されてもよい。判定の結果、UTM装置10およびルータ20間でデータベースのバージョン情報に差異があった場合には、最新のデータとなるように、各データベースに格納されたデータが更新されてもよい。
【0046】
図6に戻って、通信端末30は、受信部3011、および送信部3013を有する。
【0047】
受信部3011は、UTM装置10、ルータ20およびサービス提供サーバ40から送信された情報の全部または一部を受信する。送信部3013は、通信端末30に入力された情報に基づいて生成されたネットワークデータをUTM装置10の取得部1011に送信する。
【0048】
サービス提供サーバ40は、受信部4011および送信部4013を有する。
【0049】
受信部4011は、ルータ20から送信された第2ネットワーク情報の全部または一部を受信する。送信部4013は、第2ネットワーク情報に基づいた情報(例えば、ネットワークサービスに関する情報)をルータ20に送信する。
【0050】
【0051】
図11において、まず、ユーザから通信端末30に、必要とするネットワークサービスに関する情報(ネットワークサービス情報)が入力される(S101)。たとえば、ユーザがメールを送信したい場合には、ユーザが表示部305においてメール用ソフトウェアに対応する入力画面に送信内容を入力し、送信ボタンをクリックする。また、ユーザが動画を見たい場合には、指定のwebブラウザ上で見たい動画をクリックする。システムのアップデートの場合には表示部305に表示されたポップアップ表示画面をクリックする。
【0052】
ネットワークサービス情報が入力されると、通信端末30の制御部301は、ネットワークサービス情報に対応する第1ネットワーク情報を生成する(S103)。この例では、第1ネットワーク情報としてIPv4パケットデータが生成される。通信端末30の送信部3013は、生成された第1ネットワーク情報をUTM装置10に送信する(S105)。UTM装置10の取得部1011は、送信された第1ネットワーク情報を取得する(S107)。
【0053】
次に、図12に示すように、UTM装置10の分析部1013は、取得した第1ネットワーク情報を分析する(S201)。この例では、分析部1013は、一つのIPv4パケットデータからユーザの要求するネットサービスに対応するセキュリティ関連情報(具体的なアプリケーション情報またはセキュリティインシデント情報)を検出(または特定)することができる。なお、一つのIPv4パケットデータでセキュリティに関する情報を検出できないようであれば、取得された複数のIPv4パケットデータを用いて判断してもよい。例えば、あらかじめ設定された期間における複数のIPv4パケットデータを用いて判断してもよい。このとき、UTM装置10のデータベースにIPv4パケットデータを一時的に保存してもよい。
【0054】
分析方法としては、アプリケーション識別機能を用いてもよいし、URLレピュテーション機能を用いてもよいし、アンチウィルス機能を用いてもよいし、不正侵入検知システム(Intrusion Prevention System)を用いてもよい。
【0055】
次に、UTM装置10の生成部1015は、分析された第1ネットワーク情報を用いて第2ネットワーク情報を生成する(S203)。図13は、第2ネットワーク情報の生成フロー図である。
【0056】
まず、生成部1015は、第1ネットワーク情報に対する分析結果から分類情報を設定する(S2031)。具体的には、パケットデータに対する分析により得られたセキュリティ関連情報から図8に示す分類情報のデータセット700のうち最適な分類情報を設定する。この例では、パケットデータから第1ネットワーク情報が特定のアプリケーションに関する情報であると検出(特定)された場合には、分類情報として「01」が設定される。同様に、第1ネットワーク情報がスパムメールである場合には分類情報として「02」が設定される。第1ネットワーク情報がウィルスメールであるである場合には、分類情報として「03」が設定される。第1ネットワーク情報がボット(コンピュータを外部から遠隔操作するためのコンピュータウイルス)である場合には、分類情報として「04」が設定される。第1ネットワーク情報が不正URLへのアクセスである場合には、分類情報として「05」が設定される。第1ネットワーク情報が不正侵入である場合には、分類情報として「06」が設定される。
【0057】
次に、生成部1015は、第1ネットワーク情報に対する分析結果から分類情報に対応する特定情報を設定する(S2033)。具体的には、第1ネットワーク情報に対する分析により得られたセキュリティ関連情報から特定情報のデータセットのうち最適な特定情報を設定する。この例では、図9に示すように、IPv4パケットデータが電話ネットワークサービスに関するデータであると分析された場合には、特定情報(特定コード)は「00 00 00 01」となる。同様に、Web会議に関するデータである場合には「00 00 00 02」が設定される。動画配信ネットワークサービスに関するデータである場合には「00 00 00 03」が設定される。文書作成アプリケーションネットワークサービスに関するデータである場合には「00 00 00 04」が設定される。オペレーションシステムアップデートに関するデータである場合には「00 00 00 05」が設定される。ゲームに関するデータである場合には「00 00 00 06」が設定される。SMSに関するデータである場合には「00 00 00 07」が設定される。ファイル共有サービスに関するデータである場合には「00 00 00 08」が設定される。ギャンブルに関するデータである場合には「00 00 00 09」が設定される。ショッピングに関するデータである場合には「00 00 00 0A」が設定される。分類情報の情報フィールド長は6byteである場合、「06」が設定される。
【0058】
次に、生成部1015は、第1ネットワーク情報に上記において設定された属性情報を追加する(S2035)。具体的には、IPv4パケットデータのうちオプションフィールドに属性情報が追加される。例えば、分類名が「アプリケーション識別」であり、情報フィールド長が「6byte」であり、アプリケーション名が電話ネットワークサービス(VoIP)である場合、オプションフィールドには「XX YY 01 06 00 00 00 01」が追加される。なお、「XX」は、オプション番号である。「YY」は、オプション長である。オプション番号およびオプション長は、規定された情報が付加される。
【0059】
なお、複数のIPv4パケットデータからセキュリティ情報を特定する場合、特定前のIPv4パケットデータに特定情報は設定されず、通常のパケットと同様、素通りする。複数のパケットデータからネットサービスに対応するセキュリティ関連情報(アプリケーション情報またはセキュリティインシデント情報)を検出(特定)した場合、検出が完了した時点からパケットデータのオプションフィールドに属性情報を追加してもよい。
【0060】
複数のIPv4パケットデータの分析途中で特定された場合、UTM装置10は、それ以降のIPv4パケットデータを破棄する動作に切り替えてもよい。特定された時点でUTM装置10には属性情報が追加されるため、同じ通信が発生した場合、UTM装置10では最初のIPv4パケットデータのオプションフィールドに属性情報が追加される。このとき、アプリケーションの再送やリトライ操作を要求してもよい。
【0061】
UTM装置10の送信部1017は、生成された第2ネットワーク情報をルータ20に送信する(S205)。ルータ20の取得部2011は、第2ネットワーク情報を取得する(S207)。
【0062】
ルータ20の解析部2013は、第2ネットワーク情報を解析する(S209)。具体的には、第2ネットワーク情報のうち、オプションフィールド内の属性情報から、セキュリティに関する情報(アプリケーション情報、セキュリティインシデント)を解析する。
【0063】
次に、ルータ20は、第2ネットワーク情報に対応する解析結果に基づいた通信方法を第2ネットワーク情報に設定する(S211)。この例では、通信方法には、図10に示すルータ20のデータベース203aにあらかじめ格納された通信方法のデータセット900のうち最適なものが用いられる。通信方法の設定方法は、あらかじめ決められた条件に基づいて設定されている。
【0064】
例えば、電話ネットワークサービス(VoIP)、またはWeb会議の場合には、通信の優先度(QOS:Quality of Service)情報を上げる設定を行ってもよい(通信方法識別子:CW1)。
【0065】
例えば、動画配信ネットワークサービスの場合には、設定情報として帯域幅情報を設定してもよい。具体的には、データ転送速度を向上させるために帯域幅を広げる設定を行ってもよい(通信方法識別子:CW2)。
【0066】
例えば、インターネットを利用した文書作成アプリケーションネットワークサービスの場合には、通信方法としてカプセル化情報を設定してもよい(通信方法識別子:CW3)。この場合のカプセル化として、VPN(Virtual Private Network)設定がなされる。VPNは、インターネットなどに接続している利用者の間に仮想的なトンネルを構築し、より安全な通信網を形成することをいう。
【0067】
例えば、オペレーションシステムのアップデートの場合には、適切な経路選択を行うルーティング情報を設定してもよい(通信方法識別子:CW4)。
【0068】
例えば、URLレピュテーション、ウィルスメール、スパムメール、ボットの場合には、フィルタリング情報(例えば破棄)を設定してもよい(通信方法識別子:CW5)。
【0069】
例えば、不正侵入の場合には、通信遮断情報を設定してもよい(通信方法識別子:CW6)。
【0070】
ルータ20の送信部2017は、設定された通信方法に応じてサービス提供サーバ40に送信する(S213)。最後に、サービス提供サーバ40は、第2ネットワーク情報を受信する(S215)。
【0071】
本実施形態の場合、UTM装置10は第1ネットワーク情報に対応する属性情報(セキュリティ関連情報)を追加し次第(第2ネットワーク情報を生成し次第)、ルータ20に第2ネットワーク情報を送信する。これにより、ルータ20は、即時的に第2ネットワーク情報を取得することができる。つまり、ルータ20は、ネットワーク情報をUTM装置10とリアルタイムに共有することができる。
【0072】
また、本実施形態の場合、セキュリティに関する情報(アプリケーションの識別情報またはセキュリティインシデント情報)が属性情報という形で可視化される。これにより、複数のUTM装置10が設けられた場合であっても、ルータ20が複数のUTM装置10を容易に管理することができる。
【0073】
また、本実施形態の場合、また、ルータ20は、属性情報に応じて最適な通信方法を容易に設定することができる。さらに、本実施形態では、ネットワーク情報に対する属性情報の識別または検出と、通信方法の設定とが別々の装置で行われる。そのため、各装置の負荷を分散することができる。
【0074】
(変形例)
なお、本発明の思想の範疇において、当業者であれば、各種の変更例および修正例に想到し得るものであり、それら変更例および修正例についても本発明の範囲に属するものと了解される。例えば、前述の各実施形態に対して、当業者が適宜、構成要素の追加、削除若しくは設計変更を行ったもの、又は、ステップの追加、省略若しくは条件変更を行ったものも、本発明の要旨を備えている限り、本発明の範囲に含まれる。
なお、本発明の思想の範疇において、当業者であれば、各種の変更例および修正例に想到し得るものであり、それら変更例および修正例についても本発明の範囲に属するものと了解される。例えば、前述の各実施形態に対して、当業者が適宜、構成要素の追加、削除若しくは設計変更を行ったもの、又は、ステップの追加、省略若しくは条件変更を行ったものも、本発明の要旨を備えている限り、本発明の範囲に含まれる。
【0075】
なお、本発明の一実施形態では、パケットデータとしてIPv4パケットデータが用いられる例を示したが、本発明はこれに限定されない。例えば、パケットデータとして、IPv6パケットデータが用いられてもよい。この場合、属性情報は、IPv6パケットデータの拡張フィールドに追加されてもよい。
【0076】
また、ネットワーク情報がイーサネットフレームの場合には、属性情報がイーサネットヘッダ(より具体的には802.1qタグヘッダ)に付加されてもよい。
【0077】
本発明の一実施形態では、UTM10のデータベース103aおよびルータ20のデータベース203aには共通のデータが格納される例を示したが、本発明はこれに限定されない。UTM装置10およびルータ20のデータを共有するためのデータベースサーバが別途設けられてもよい。これにより、UTM装置10およびルータ20は、ネットワーク情報を管理しやすくなる。
【0078】
本発明の一実施形態では、通信端末30と、サービス提供サーバ40との間でネットワーク情報の送受信がなされる例を示したが、本発明はこれに限定されない。例えば、通信端末30-1と、通信端末30-2との間で送受信がなされる場合にも適用されてもよい。つまり、本発明の一実施形態において、ネットワークを介して送受信される装置であれば、適宜利用することができる。
【0079】
本発明の一実施形態では、ネットワーク情報を分析し、属性情報を付加する装置としてUTM装置10が用いられる例を示したが、本発明はこれに限定されない。同様の機能を有する通信装置であれば適宜用いることができる。
【0080】
本発明の一実施形態では、ネットワーク中継装置としてルータ20が用いられる例を示したが、本発明はこれに限定されない。例えば、ネットワーク中継装置にはスイッチ、ゲートウェイ、またはアクセスポイントが用いられてもよい。つまり、ネットワーク中継装置は、ネットワーク中継機能を有する装置であれば適宜用いることができる。
【0081】
本発明の一実施形態では、一つのサービス提供サーバ40が設けられる例を示したが、本発明はこれに限定されない。サービス毎にサービス提供サーバが設けられてもよいし、サービスに応じて複数のネットサービス提供サーバが設けられてもよい。
【0082】
本発明の一実施形態では、送信された第1ネットワーク情報に対して一つの属性情報を追加する例を示したが、本発明はこれに限定されない。例えば、一つの第1ネットワーク情報に対して、複数の属性情報を追加してもよい。この場合、複数の属性をそのまま続けて列挙するだけでもよい。アプリケーション識別による動画サイト検出+URLレピュテーションによるギャンブルサイトへのアクセスの検出の例として、「XX YY [01 06 00 00 00 03] [05 04 00 00 00 09]」が挙げられる。複数の属性情報を追加することにより、通信方法をより詳細に設定することができる。
【0083】
本発明の一実施形態の通信装置において、前記通信装置は、前記取得した第1ネットワーク情報に基づき、セキュリティに関する情報を検出することで、属性情報を設定してもよい。
【0084】
本発明の一実施形態の通信装置において、前記属性情報は、前記属性に応じて分類される分類情報、および前記分類情報から個別に特定される特定情報を含んでもよい。
【0085】
本発明の一実施形態の通信装置において、前記第1ネットワーク情報は、パケットデータを含んでもよい。
【0086】
本発明の一実施形態の通信装置において、前記パケットデータは、Internet Protocol version 4(IPv4)パケットデータまたはInternet Protocol version 6(IPv6)パケットデータを含み、前記属性情報は、IPv4ヘッダのオプションフィールド、またはIPv6ヘッダの拡張ヘッダに付加されてもよい。
【0087】
本発明の一実施形態の通信装置において、前記第1ネットワーク情報は、複数の第1ネットワーク情報を含み、前記通信装置は、所定の期間における複数の第1ネットワーク情報に基づいて属性情報を設定してもよい。
【0088】
本発明の一実施形態の通信装置において、前記通信装置は、総合脅威管理(UTM)装置であってもよい。
【0089】
また、本発明の一実施形態によれば、上記通信装置と、送信された前記第2ネットワーク情報に基づいて通信処理を実行するネットワーク中継装置と、を含む、通信管理システムが提供される。
【0090】
本発明の一実施形態の通信管理システムにおいて、前記ネットワーク中継装置は、前記第2ネットワーク情報に含まれる前記属性情報に応じて前記第2ネットワーク情報に対応する通信方法を設定してもよい。
【0091】
本発明の一実施形態の通信管理システムにおいて、前記ネットワーク中継装置は、前記属性情報に対応してあらかじめ設定された情報に基づいて通信方法を設定してもよい。
【0092】
本発明の一実施形態の通信管理システムにおいて、前記通信方法は、ルーティング情報、フィルタリング情報、Quality of Service(QoS)情報、およびカプセル化情報のうち少なくとも一つに基づいて設定されてもよい。
【0093】
また、本発明の一実施形態によれば、通信装置が、第1装置がネットワークを介して第2装置に送信する少なくとも一つの第1ネットワーク情報を取得し、取得した前記少なくとも一つの第1ネットワーク情報を所定の条件に基づいて前記第1ネットワーク情報の属性を示す属性情報を前記第1ネットワーク情報に付加した第2ネットワーク情報をネットワーク中継装置に送信する通信管理方法が提供される。
【0094】
上記通信管理方法において、前記取得した第1ネットワーク情報に基づき、セキュリティに関する情報を検出することで、属性情報を特定してもよい。
【0095】
上記通信管理方法において、前記属性情報は、前記属性に応じて分類される分類情報、および前記分類情報から個別に特定される特定情報を含んでもよい。
【0096】
上記通信管理方法において、前記第1ネットワーク情報は、パケットデータを含んでもよい。
【0097】
上記通信管理方法において、前記パケットデータは、Internet Protocol version 4(IPv4)パケットデータまたはInternet Protocol version 6(IPv6)パケットデータを含み、前記属性情報は、IPv4ヘッダのオプションフィールド、またはIPv6ヘッダの拡張ヘッダに付加されてもよい。
【0098】
上記通信管理方法において、前記第1ネットワーク情報は、複数の第1ネットワーク情報を含み、前記通信装置は、所定の期間あたりの複数の第1ネットワーク情報に基づいて属性情報を設定してもよい。
【0099】
上記通信管理方法において、前記ネットワーク中継装置は、前記第2ネットワーク情報に含まれる前記属性情報に応じて前記第2ネットワーク情報に対応する通信方法を設定してもよい。
【0100】
上記通信管理方法において、前記ネットワーク中継装置は、前記属性情報に対応してあらかじめ設定された情報に基づいて通信方法を設定してもよい。
【0101】
上記通信管理方法において、前記通信方法は、ルーティング情報、フィルタリング情報、Quality of Service(QoS)情報、およびカプセル化情報のうち少なくとも一つに基づいて設定されてもよい。
【0102】
また、本発明の一実施形態によれば、コンピュータに、第1装置がネットワークを介して第2装置に送信する少なくとも一つの第1ネットワーク情報を取得し、取得した前記少なくとも一つの第1ネットワーク情報を所定の条件に基づいて前記第1ネットワーク情報の属性を示す属性情報を前記第1ネットワーク情報に付加した第2ネットワーク情報をネットワーク中継装置に送信することを実行させる、通信管理プログラムが提供される。
【0103】
また、本発明は、方法の発明(通信方法、中継方法、情報処理方法)として把握することも可能である。
【符号の説明】
【0104】
1・・・通信管理システム,10・・・装置,20・・・ルータ,30・・・通信端末,40・・・サービス提供サーバ,50・・・ネットワーク,101・・・制御部,103・・・記憶部,103a・・・データベース,105・・・第1インターフェース,107・・・第2インターフェース,109・・・通信部,201・・・制御部,203・・・記憶部,203a・・・データベース,205・・・通信部,207・・・第1インターフェース,209・・・第2インターフェース,211・・・表示部,301・・・制御部,303・・・記憶部,305・・・表示部,307・・・操作部,309・・・インターフェース,311・・・通信部,400・・・第1ネットワーク,401・・・制御部,403・・・記憶部,405・・・インターフェース,407・・・通信部,500・・・第2ネットワーク,600・・・データセット,601・・・バージョンフィールド,603・・・ヘッダ長フィールド,605・・・サービスタイプフィールド,607・・・パケット長フィールド,609・・・識別子フィールド,611・・・フラグフィールド,613・・・フラグメントオフセットフィールド,615・・・生存時間フィールド,617・・・プロトコル番号フィールド,619・・・ヘッダチェックサムフィールド,621・・・アドレスフィールド,623・・・アドレスフィールド,625・・・オプションフィールド,627・・・データフィールド,700・・・データセット,701・・・分類情報,703・・・分類名,800・・・データセット,801・・・情報フィールド長,803・・・特定コード,805・・・サービス情報,900・・・データセット,901・・・通信方法識別子,903・・・通信方法,1011・・・取得部,1013・・・分析部,1015・・・生成部,1017・・・送信部,2011・・・取得部,2013・・・解析部,2015・・・設定部,2017・・・送信部,3011・・・受信部,3013・・・送信部,4011・・・受信部,4013・・・送信部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】