特開 2024-124607 通信システム、通信方法及びコンピュータープログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】P2024124607

(43)【公開日】2024-09-13

(54)【発明の名称】通信システム、通信方法及びコンピュータープログラム

(51)【国際特許分類】

   H04L 12/22 20060101AFI20240906BHJP

   H04L 12/66 20060101ALI20240906BHJP

【ＦＩ】

H04L12/22

H04L12/66

【審査請求】有

【請求項の数】3

【出願形態】ＯＬ

(21)【出願番号】P 2023032392

(22)【出願日】2023-03-03

(71)【出願人】

【識別番号】399035766

【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社

(74)【代理人】

【識別番号】110001634

【氏名又は名称】弁理士法人志賀国際特許事務所

(72)【発明者】

【氏名】▲高▼津 健

(72)【発明者】

【氏名】畑田 充弘

【テーマコード（参考）】

5K030

【Ｆターム（参考）】

5K030GA15

5K030HC20

5K030HD03

5K030JA10

5K030JA11

5K030LC13

(57)【要約】

【課題】より高いセキュリティのネットワーク接続環境を、より安価に提供すること。
【解決手段】オーバーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するオーバーレイセキュリティ装置と、前記オーバーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するアンダーレイセキュリティ装置と、を備える通信システムである。
【選択図】図１

【特許請求の範囲】

【請求項1】

オーバーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するオーバーレイセキュリティ装置と、
前記オーバーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するアンダーレイセキュリティ装置と、
を備える通信システム。

【請求項2】

オーバーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知する通知ステップと、
前記通知ステップにおいて通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限する制限ステップと、
を有する通信方法。

【請求項3】

オーバーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するオーバーレイセキュリティ装置と、
前記オーバーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するアンダーレイセキュリティ装置と、
を備える通信システムとしてコンピューターを機能させるためのコンピュータープログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、通信機器をネットワークに接続するための技術に関する。

【背景技術】

【0002】

従来から、ネットワークのセキュリティを維持することはネットワーク管理の重要な項目の一つである。そのため、セキュリティを維持するための様々な技術が提案されている（例えば特許文献１参照）。また、外部ネットワークへ接続している端末においては、悪性の挙動を行うことがないか監視を行う必要があった。このような問題に対し、例えばＥＤＲ（Endpoint Detection and Response）等の装置を導入することで監視を行うことができた。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２０１７－１３８７２８号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

しかしながら、ＥＤＲ等の装置の導入には高いコストを要してしまうという問題があった。
上記事情に鑑み、本発明は、より高いセキュリティのネットワーク接続環境を、より安価に提供することができる技術の提供を目的としている。

【課題を解決するための手段】

【0005】

本発明の一態様は、オーバーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するオーバーレイセキュリティ装置と、前記オーバーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するアンダーレイセキュリティ装置と、を備える通信システムである。

【0006】

本発明の一態様は、オーバーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知する通知ステップと、前記通知ステップにおいて通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限する制限ステップと、を有する通信方法である。

【0007】

本発明の一態様は、オーバーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するオーバーレイセキュリティ装置と、前記オーバーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するアンダーレイセキュリティ装置と、を備える通信システムとしてコンピューターを機能させるためのコンピュータープログラムである。

【発明の効果】

【0008】

本発明により、より高いセキュリティのネットワーク接続環境を、より安価に提供することが可能となる。

【図面の簡単な説明】

【0009】

【図1】本発明の通信システム１００のシステム構成を示す概略ブロック図である。

【図2】ＵＬセキュリティ装置２４の機能構成の具体例を示す図である。

【図3】ＯＬセキュリティ装置３１の機能構成の具体例を示す図である。

【図4】通信システム１００における動作の流れの具体例を示す図である。

【図5】本実施形態に適用される情報処理装置９０のハードウェア構成例の概略を示す図である。

【発明を実施するための形態】

【0010】

以下、本発明の具体的な構成例について、図面を参照しながら説明する。
図１は、本発明の通信システム１００のシステム構成を示す概略ブロック図である。通信システム１００は、特定の施設において使用される複数の端末装置１０に対して通信を提供するシステムである。通信システム１００は、複数の施設に対して通信を提供する。通信システム１００は、アンダーレイネットワーク（アンダーレイＮＷ）２０と、オーバーレイネットワーク（オーバーレイＮＷ）３０とを備える。

【0011】

端末装置１０は、ネットワークに接続する情報機器である。端末装置１０は、特定の施設において使用される。端末装置１０は、例えばパーソナルコンピューター、スマートフォン、タブレット機器、事務機器（例えば複合機）、固定電話機、携帯電話機、ＩｏＴ（Internet of Things）機器、センサー、カメラ、セキュリティ機器等がある。端末装置１０は、有線通信を行ってもよいし無線通信を行ってもよい。端末装置１０は、同一の施設に設置されている構内通信装置２１に接続し、構内通信装置２１を介してアンダーレイＮＷ２０、オーバーレイＮＷ３０を経由して他の装置と通信する。端末装置１０が通信する他の装置の具体例として、他の施設において使用されている端末装置１０や、インターネットに接続されているサーバー装置等がある。

【0012】

アンダーレイＮＷ２０は、各端末装置１０が他の装置と通信を行う際に使用される物理的な通信経路を構成する。アンダーレイＮＷ２０は、例えばＩＰｖ４、ＩＰｖ６、ＭＰＬＳ（Multi-Protocol Label Switching）等の技術を用いて構成される。アンダーレイＮＷ２０は、例えば構内通信装置２１、第一通信網２２、第二通信網２３及びＵＬセキュリティ装置２４を備える。

【0013】

構内通信装置２１は、通信装置を用いて構成される。構内通信装置２１は、例えば顧客構内設備（Customer Premises Equipment）として構成されてもよい。構内通信装置２１は、各施設に少なくとも１台設けられる。構内通信装置２１は、１又は複数台の端末装置１０の接続を受け付け、第一通信網２２及び第二通信網２３と各端末装置１０との間の通信を中継する。

【0014】

第一通信網２２は、構内通信装置２１を他のネットワーク（例えばインターネット）と接続する通信網である。第一通信網２２は、例えばＩＰｏＥ（IP over Ethernet）を用いた通信網であってもよい。

【0015】

第二通信網２３は、構内通信装置２１を他のネットワーク（例えばインターネット）と接続する通信網である。第二通信網２３は、第一通信網２２とは異なる通信網である。第二通信網２３は、例えばモバイルネットワーク（移動体通信網）を用いた通信網であってもよい。

【0016】

ＵＬセキュリティ装置２４は、通信機能を有する情報処理装置を用いて構成される。ＵＬセキュリティ装置２４は、アンダーレイＮＷ２０を流れるデータに対して所定のセキュリティに関連する処理を行う。図２は、ＵＬセキュリティ装置２４の機能構成の具体例を示す図である。ＵＬセキュリティ装置２４は、通信部２４１、記憶部２４２及び制御部２４３を備える。

【0017】

通信部２４１は、アンダーレイＮＷ２０に接続する通信装置を用いて構成される。通信部２４１は、制御部２４３の制御にしたがってアンダーレイＮＷ２０を介して他の装置と通信する。

【0018】

記憶部２４２は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部２４２は、制御部２４３の動作に必要なデータを記憶する。記憶部２４２は、例えばセキュリティのルールを記憶する。記憶部２４２は、例えば後述する制限対象情報を記憶する。

【0019】

制御部２４３は、ＣＰＵ（Central Processing Unit）等のプロセッサーとメモリーとを用いて構成される。制御部２４３は、プロセッサーがプログラムを実行することによって、監視部２４４及び制限部２４５として機能する。なお、制御部２４３の各機能の全て又は一部は、ＡＳＩＣ（Application Specific Integrated Circuit）やＰＬＤ（Programmable Logic Device）やＦＰＧＡ（Field Programmable Gate Array）等のハードウェアを用いて実現されても良い。上記のプログラムは、コンピューター読み取り可能な記録媒体に記録されても良い。コンピューター読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ、半導体記憶装置（例えばＳＳＤ：Solid State Drive）等の可搬媒体、コンピューターシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。上記のプログラムは、電気通信回線を介して送信されてもよい。

【0020】

監視部２４４は、アンダーレイＮＷ２０を流れるデータを監視する。監視部２４４は、例えばＤＰＩ（Deep Packet Inspection）を用いて、アンダーレイＮＷ２０を流れるパケットを監視してもよい。監視部２４４に適用される技術はＤＰＩに限られる必要は無く、どのような技術が適用されてもよい。

【0021】

制限部２４５は、オーバーレイＮＷ３０から制限対象となる装置（以下「制限対象装置」という。）または制限対象となる通信先（以下「制限対象通信先」）に関する情報（以下「制限対象情報」という。）を受信すると、受信された制限対象情報を記憶部２４２に記録する。制限対象装置は、例えばオーバーレイＮＷ３０において、悪性の挙動が検出された装置である。制限対象装置の具体例として端末装置１０がある。一つの制限対象情報において、１台の端末装置１０が制限対象として定義されてもよいし、複数台の端末装置１０がまとめて制限対象として定義されてもよい。制限対象通信先は、例えばオーバーレイＮＷ３０において、悪性の挙動が検出された通信である。制限対象通信先の具体例として、インターネット上のＣ＆Ｃサーバー（Command and Control server）がある。一つの制限対象情報において１つのＣ＆Ｃサーバーが制限対象と定義されてもよいし、複数のＣ＆Ｃサーバーがまとめて制限対象として定義されてもよい。

【0022】

制限部２４５は、制限対象情報において制限対象装置として定義されている端末装置１０の通信を制限する。制限部２４５は、例えば制限対象装置から送信されたデータが監視部２４４において検出されると、検出されたデータを廃棄することでアンダーレイＮＷ２０から排除してもよい。制限部２４５は、制限対象装置として定義されている端末装置１０が接続されている構内通信装置２１から送信されたデータが監視部２４４において検出されると、検出されたデータを廃棄することでアンダーレイＮＷ２０から排除してもよい。制限部２４５は、制限対象装置として定義されている端末装置１０が接続されている構内通信装置２１に対し、制限対象装置から送信されるデータを第一通信網２２及び第二通信網２３に中継しないように指示してもよい。この場合、構内通信装置２１は、ＵＬセキュリティ装置２４の指示に従って動作する。制限部２４５は、制限対象装置として定義されている端末装置１０が接続されている構内通信装置２１に対し、動作を停止させるように指示してもよい。この場合も、構内通信装置２１は、ＵＬセキュリティ装置２４の指示に従って動作する。制限部２４５は、制限対象情報において制限対象通信先として定義されている装置への通信を制限してもよい。制限部２４５は、例えば制限対象通信先へ送信されたデータが監視部２４４において検出されると、検出されたデータを廃棄することでアンダーレイＮＷ２０から排除してもよい。

【0023】

オーバーレイＮＷ３０は、各端末装置１０が他の装置と通信を行うに際して構築される仮想的なネットワークである。オーバーレイＮＷ３０は、例えばＧＲＥ（Generic Routing Encapsulation）、ＶＸＬＡＮ（Virtual eXtensible Local Area Network）、ＩＰｓｅｃ（Security Architecture for Internet Protocol）等の技術を用いて構築されてもよい。オーバーレイＮＷ３０は、例えばＯＬセキュリティ装置３１を備える。

【0024】

ＯＬセキュリティ装置３１は、通信機能を有する情報処理装置を用いて構成される。ＯＬセキュリティ装置３１は、オーバーレイＮＷ３０を流れるデータに対して所定のセキュリティに関連する処理を行う。図３は、ＯＬセキュリティ装置３１の機能構成の具体例を示す図である。ＯＬセキュリティ装置３１は、通信部３１１、記憶部３１２及び制御部３１３を備える。

【0025】

通信部３１１は、オーバーレイＮＷ３０を流れるデータを取得する。
記憶部３１２は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部３１２は、制御部３１３の動作に必要なデータを記憶する。

【0026】

制御部３１３は、ＣＰＵ等のプロセッサーとメモリーとを用いて構成される。制御部３１３は、プロセッサーがプログラムを実行することによって、監視部３１４及び通知部３１５として機能する。なお、制御部３１３の各機能の全て又は一部は、ＡＳＩＣやＰＬＤやＦＰＧＡ等のハードウェアを用いて実現されても良い。上記のプログラムは、コンピューター読み取り可能な記録媒体に記録されても良い。コンピューター読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ－ＲＯＭ、半導体記憶装置（例えばＳＳＤ）等の可搬媒体、コンピューターシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。上記のプログラムは、電気通信回線を介して送信されてもよい。

【0027】

監視部３１４は、オーバーレイＮＷ３０を流れるデータを監視する。監視部３１４は、オーバーレイＮＷ３０において、所定のルールを満たした悪性の通信データを検出すると、検出された通信データに関する情報を通知部３１５に渡す。悪性の通信データとは、例えば悪性のプログラム（いわゆるマルウェア）に汚染された端末装置１０によって送信されるデータである。検出された通信データに関する情報とは、例えば送信元に関する情報や、送信先に関する情報や、データの日時、データの中継に関する情報など、そのデータから取得可能な様々な情報である。

【0028】

監視部３１４は、取得された通信データに基づいて、悪性の通信データの送信元となる装置を制限対象装置として特定する。監視部３１４は、例えば特定の１台の装置を制限対象装置として特定してもよいし、悪性の通信データの送信元となっている可能性の高い（可能性は、例えばＩＰアドレスやポート番号等に基づいて判断される）複数台の装置を制限対象装置として特定してもよいし、悪性の通信データが送信された特定のネットワークに接続されている複数台の装置を制限対象装置として特定してもよい。また、監視部３１４は、悪性の通信データを中継した構内通信装置２１に接続されている全ての端末装置１０を制限対象装置として特定してもよい。監視部３１４は、取得された通信データに基づいて、悪性の通信データの送信先となる装置を制限対象通信先として特定してもよい。監視部３１４は、例えば特定の１台の装置を制限対象通信先として特定してもよいし、悪性の通信データの送信先となっている可能性の高い（可能性は、例えばＩＰアドレスやポート番号等に基づいて判断される）複数台の装置を制限対象通信先として特定してもよい。

【0029】

通知部３１５は、監視部３１４において悪性の通信データが検出されると、検出された通信データに関する情報をＵＬセキュリティ装置２４に対して通知する。

【0030】

図４は、通信システム１００における動作の流れの具体例を示す図である。ＯＬセキュリティ装置３１の監視部３１４は、オーバーレイＮＷ３０を流れるデータを監視する。監視部３１４は、悪性の通信データを検出すると（ステップＳ１０１）、検出された通信データの送信元を含む制限対象装置に関する情報（制限対象情報）を生成しＵＬセキュリティ装置２４に送信する（ステップＳ１０２）。ＵＬセキュリティ装置２４の制限部２４５は、受信された制限対象情報を記憶部２４２に記録する。その後、ＵＬセキュリティ装置２４の制限部２４５は、記録された制限対象情報に基づいて、制限対象装置に該当する端末装置１０の通信を制限する（ステップＳ１０３）。

【0031】

図５は、本実施形態に適用される情報処理装置９０のハードウェア構成例の概略を示す図である。情報処理装置９０は、プロセッサー９１、主記憶装置９２、通信インターフェース９３、補助記憶装置９４、入出力インターフェース９５及び内部バス９６を備える。プロセッサー９１、主記憶装置９２、通信インターフェース９３、補助記憶装置９４及び入出力インターフェース９５は、内部バス９６を介して互いに通信可能に接続される。情報処理装置９０は、例えばＵＬセキュリティ装置２４、ＯＬセキュリティ装置３１に適用されてもよい。この場合、例えば各装置の通信部は通信インターフェース９３を用いて構成されてもよい。例えば各装置の記憶部は補助記憶装置９４を用いて構成されてもよい。また、各装置の制御部は、プロセッサー９１及び主記憶装置９２を用いて構成されてもよい。

【0032】

このように構成された通信システム１００によれば、より高いセキュリティのネットワーク接続環境を、より安価に提供することが可能となる。具体的には以下の通りである。通信システム１００では、悪性の通信データの送信元又は送信先となっている可能性のある装置をオーバーレイＮＷ３０において検出する。すなわち、このような装置の検出を行う装置（ＯＬセキュリティ装置３１）を、各施設（各拠点：よりエッジに近い位置）に個別に設けるのではなく、オーバーレイＮＷ３０に設けることによって、複数の施設において一つのＯＬセキュリティ装置３１の機能を共有することができる。そのため、より高性能なＯＬセキュリティ装置３１を設置することが可能となり、より安価にセキュリティのサービスを提供することが可能となる。

【0033】

また、通信システム１００では、オーバーレイＮＷ３０で検出された悪性の通信データの送信元（制限対象装置）又は送信先（制限対象通信先）について、オーバーレイＮＷ３０でその通信を制限するのではなく、よりエッジに近いアンダーレイＮＷ２０にて通信を制限する。そのため、より効果的な対処を実現することができる。例えば、より制限対象の端末装置１０に近い位置で遮断等の対処を行うことができるため、その対処の影響を受ける端末装置１０の数をより少なく抑えることが可能となる。そのため、他の端末装置１０への影響を心配することなく、より強い対処を講じることが可能となる。また、制限対象通信先に対して送信されたデータをより送信元の端末装置１０に近い位置で遮断等の対処を行うことができるため、その対処の影響を受ける通信データの量をより少なく抑えることが可能となる。そのため、他の端末装置１０から送信された他のデータへの影響を心配することなく、より強い対処を講じることが可能となる。

【0034】

以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。

【符号の説明】

【0035】

１００…通信システム， １０…端末装置， ２０…アンダーレイＮＷ， ２１…構内通信装置， ２２…第一通信網， ２３…第二通信網， ２４…ＵＬセキュリティ装置， ３０…オーバーレイＮＷ， ３１…ＯＬセキュリティ装置

【図1】

【図2】

【図3】

【図4】

【図5】