知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024124611
(43)【公開日】2024-09-13
(54)【発明の名称】通信システム、通信方法及びコンピュータープログラム
(51)【国際特許分類】
H04L 12/22 20060101AFI20240906BHJP
H04L 12/66 20060101ALI20240906BHJP
【FI】
H04L12/22
H04L12/66
【審査請求】有
【請求項の数】3
【出願形態】OL
(21)【出願番号】P 2023032397
(22)【出願日】2023-03-03
(71)【出願人】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】110001634
【氏名又は名称】弁理士法人志賀国際特許事務所
(72)【発明者】
【氏名】▲高▼津 健
(72)【発明者】
【氏名】畑田 充弘
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HC20
5K030HD03
5K030JA10
5K030JA11
5K030LC13
(57)【要約】
【課題】より高いセキュリティのネットワーク接続環境を、より安価に提供すること。
【解決手段】アンダーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するアンダーレイセキュリティ装置と、前記アンダーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するオーバーレイセキュリティ装置と、を備える通信システムである。
【選択図】図1
【解決手段】アンダーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するアンダーレイセキュリティ装置と、前記アンダーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するオーバーレイセキュリティ装置と、を備える通信システムである。
【選択図】図1
【特許請求の範囲】
【請求項1】
アンダーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するアンダーレイセキュリティ装置と、
前記アンダーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するオーバーレイセキュリティ装置と、
を備える通信システム。
前記アンダーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するオーバーレイセキュリティ装置と、
を備える通信システム。
【請求項2】
アンダーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知する通知ステップと、
前記通知ステップにおいて通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限する制限ステップと、
を有する通信方法。
前記通知ステップにおいて通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限する制限ステップと、
を有する通信方法。
【請求項3】
アンダーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するアンダーレイセキュリティ装置と、
前記アンダーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するオーバーレイセキュリティ装置と、
を備える通信システムとしてコンピューターを機能させるためのコンピュータープログラム。
前記アンダーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するオーバーレイセキュリティ装置と、
を備える通信システムとしてコンピューターを機能させるためのコンピュータープログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信機器をネットワークに接続するための技術に関する。
【背景技術】
【0002】
従来から、ネットワークのセキュリティを維持することはネットワーク管理の重要な項目の一つである。そのため、セキュリティを維持するための様々な技術が提案されている(例えば特許文献1参照)。また、外部ネットワークへ接続している端末においては、悪性の挙動を行うことがないか監視を行う必要があった。このような問題に対し、例えばEDR(Endpoint Detection and Response)等の装置を導入することで監視を行うことができた。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2017-138728号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、EDR等の装置の導入には高いコストを要してしまうという問題があった。
上記事情に鑑み、本発明は、より高いセキュリティのネットワーク接続環境を、より安価に提供することができる技術の提供を目的としている。
上記事情に鑑み、本発明は、より高いセキュリティのネットワーク接続環境を、より安価に提供することができる技術の提供を目的としている。
【課題を解決するための手段】
【0005】
本発明の一態様は、アンダーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するアンダーレイセキュリティ装置と、前記アンダーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するオーバーレイセキュリティ装置と、を備える通信システムである。
【0006】
本発明の一態様は、アンダーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知する通知ステップと、前記通知ステップにおいて通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限する制限ステップと、を有する通信方法である。
【0007】
本発明の一態様は、アンダーレイネットワークを流れるデータを監視し、所定のルールを満たした悪性の通信データを検出すると、前記通信データの送信元または送信先に関する情報を他の装置に通知するアンダーレイセキュリティ装置と、前記アンダーレイセキュリティ装置から通知された前記通信データの送信元または送信先に関する情報に基づいて、前記送信元に相当する装置の通信または前記送信先に向けた通信を制限するオーバーレイセキュリティ装置と、を備える通信システムとしてコンピューターを機能させるためのコンピュータープログラムである。
【発明の効果】
【0008】
本発明により、より高いセキュリティのネットワーク接続環境を、より安価に提供することが可能となる。
【図面の簡単な説明】
【0009】
【図1】本発明の通信システム100のシステム構成を示す概略ブロック図である。
【図2】ULセキュリティ装置24の機能構成の具体例を示す図である。
【図3】OLセキュリティ装置31の機能構成の具体例を示す図である。
【図4】通信システム100における動作の流れの具体例を示す図である。
【図5】本実施形態に適用される情報処理装置90のハードウェア構成例の概略を示す図である。
【発明を実施するための形態】
【0010】
以下、本発明の具体的な構成例について、図面を参照しながら説明する。
図1は、本発明の通信システム100のシステム構成を示す概略ブロック図である。通信システム100は、特定の施設において使用される複数の端末装置10に対して通信を提供するシステムである。通信システム100は、複数の施設に対して通信を提供する。通信システム100は、アンダーレイネットワーク(アンダーレイNW)20と、オーバーレイネットワーク(オーバーレイNW)30とを備える。
図1は、本発明の通信システム100のシステム構成を示す概略ブロック図である。通信システム100は、特定の施設において使用される複数の端末装置10に対して通信を提供するシステムである。通信システム100は、複数の施設に対して通信を提供する。通信システム100は、アンダーレイネットワーク(アンダーレイNW)20と、オーバーレイネットワーク(オーバーレイNW)30とを備える。
【0011】
端末装置10は、ネットワークに接続する情報機器である。端末装置10は、特定の施設において使用される。端末装置10は、例えばパーソナルコンピューター、スマートフォン、タブレット機器、事務機器(例えば複合機)、固定電話機、携帯電話機、IoT(Internet of Things)機器、センサー、カメラ、セキュリティ機器等がある。端末装置10は、有線通信を行ってもよいし無線通信を行ってもよい。端末装置10は、同一の施設に設置されている構内通信装置21に接続し、構内通信装置21を介してアンダーレイNW20、オーバーレイNW30を経由して他の装置と通信する。端末装置10が通信する他の装置の具体例として、他の施設において使用されている端末装置10や、インターネットに接続されているサーバー装置等がある。
【0012】
アンダーレイNW20は、各端末装置10が他の装置と通信を行う際に使用される物理的な通信経路を構成する。アンダーレイNW20は、例えばIPv4、IPv6、MPLS(Multi-Protocol Label Switching)等の技術を用いて構成される。アンダーレイNW20は、例えば構内通信装置21、第一通信網22、第二通信網23及びULセキュリティ装置24を備える。
【0013】
構内通信装置21は、通信装置を用いて構成される。構内通信装置21は、例えば顧客構内設備(Customer Premises Equipment)として構成されてもよい。構内通信装置21は、各施設に少なくとも1台設けられる。構内通信装置21は、1又は複数台の端末装置10の接続を受け付け、第一通信網22及び第二通信網23と各端末装置10との間の通信を中継する。
【0014】
第一通信網22は、構内通信装置21を他のネットワーク(例えばインターネット)と接続する通信網である。第一通信網22は、例えばIPoE(IP over Ethernet)を用いた通信網であってもよい。
【0015】
第二通信網23は、構内通信装置21を他のネットワーク(例えばインターネット)と接続する通信網である。第二通信網23は、第一通信網22とは異なる通信網である。第二通信網23は、例えばモバイルネットワーク(移動体通信網)を用いた通信網であってもよい。
【0016】
ULセキュリティ装置24は、通信機能を有する情報処理装置を用いて構成される。ULセキュリティ装置24は、アンダーレイNW20を流れるデータに対して所定のセキュリティに関連する処理を行う。図2は、ULセキュリティ装置24の機能構成の具体例を示す図である。ULセキュリティ装置24は、通信部241、記憶部242及び制御部243を備える。
【0017】
通信部241は、アンダーレイNW20に接続する通信装置を用いて構成される。通信部241は、制御部243の制御にしたがってアンダーレイNW20を介して他の装置と通信する。
【0018】
記憶部242は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部242は、制御部243の動作に必要なデータを記憶する。記憶部242は、例えばセキュリティのルールを記憶する。
【0019】
制御部243は、CPU(Central Processing Unit)等のプロセッサーとメモリーとを用いて構成される。制御部243は、プロセッサーがプログラムを実行することによって、監視部244及び通知部245として機能する。なお、制御部243の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。上記のプログラムは、コンピューター読み取り可能な記録媒体に記録されても良い。コンピューター読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD-ROM、半導体記憶装置(例えばSSD:Solid State Drive)等の可搬媒体、コンピューターシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。上記のプログラムは、電気通信回線を介して送信されてもよい。
【0020】
監視部244は、アンダーレイNW20を流れるデータを監視する。監視部244は、例えばDPI(Deep Packet Inspection)を用いて、アンダーレイNW20を流れるパケットを監視してもよい。監視部244に適用される技術はDPIに限られる必要は無く、どのような技術が適用されてもよい。監視部244は、アンダーレイNW20において、所定のルールを満たした悪性の通信データを検出すると、検出された通信データに関する情報を通知部245に渡す。悪性の通信データとは、例えば悪意のユーザーによって悪性のプログラムがインストールされたコンピューターによって送信されるデータである。悪性の通信データの他の例として、例えば悪性のプログラム(いわゆるマルウェア)に汚染された装置によって送信されるデータがある。検出された通信データに関する情報とは、例えば送信元に関する情報や、送信先に関する情報や、データの日時、データの中継に関する情報など、そのデータから取得可能な様々な情報である。監視部244は、取得された通信データに基づいて、悪性の通信データの送信元または送信先となる装置を制限対象装置として特定する。
【0021】
通知部245は、監視部314において悪性の通信データが検出されると、検出された通信データに関する情報をOLセキュリティ装置31に対して通知する。このような通知部245の動作は、例えばSOC(security operation center)の技術を用いて実現されてもよい。
【0022】
オーバーレイNW30は、各端末装置10が他の装置と通信を行うに際して構築される仮想的なネットワークである。オーバーレイNW30は、例えばGRE(Generic Routing Encapsulation)、VXLAN(Virtual eXtensible Local Area Network)、IPsec(Security Architecture for Internet Protocol)等の技術を用いて構築されてもよい。オーバーレイNW30は、例えばOLセキュリティ装置31を備える。
【0023】
OLセキュリティ装置31は、通信機能を有する情報処理装置を用いて構成される。OLセキュリティ装置31は、オーバーレイNW30を流れるデータに対して所定のセキュリティに関連する処理を行う。図3は、OLセキュリティ装置31の機能構成の具体例を示す図である。OLセキュリティ装置31は、通信部311、記憶部312及び制御部313を備える。
【0024】
通信部311は、オーバーレイNW30を流れるデータを取得する。
記憶部312は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部312は、制御部313の動作に必要なデータを記憶する。記憶部312は、例えば制限対象情報を記憶する。
記憶部312は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部312は、制御部313の動作に必要なデータを記憶する。記憶部312は、例えば制限対象情報を記憶する。
【0025】
制御部313は、CPU等のプロセッサーとメモリーとを用いて構成される。制御部313は、プロセッサーがプログラムを実行することによって、監視部314及び制限部315として機能する。なお、制御部313の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。上記のプログラムは、コンピューター読み取り可能な記録媒体に記録されても良い。コンピューター読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD-ROM、半導体記憶装置(例えばSSD)等の可搬媒体、コンピューターシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。上記のプログラムは、電気通信回線を介して送信されてもよい。
【0026】
監視部314は、オーバーレイNW30を流れるデータを監視する。監視部314は、アンダーレイNW20から制限対象となる装置(以下「制限対象装置」という。)に関する情報(以下「制限対象情報」という。)を受信すると、受信された制限対象情報を記憶部312に記録する。制限対象装置は、悪性の挙動が検出された装置である。制限対象装置は、アンダーレイNW20及びオーバーレイNW30に位置する通信装置ではなく、他のネットワークに接続されておりネットワークを介してオーバーレイNW30やアンダーレイNW20を介して端末装置10と通信可能な装置である。すなわち、制限対象装置は、ネットワークを介して端末装置10と通信することによって端末装置10に対し被害を生じさせるおそれのある装置である。制限対象装置は、例えばオーバーレイNW30において、悪性の挙動が検出された通信である。制限対象装置の具体例として、インターネット上のC&Cサーバー(Command and Control server)がある。一つの制限対象情報において1つのC&Cサーバーが制限対象と定義されてもよいし、複数のC&Cサーバーがまとめて制限対象として定義されてもよい。
【0027】
制限部315は、制限対象情報において制限対象装置として定義されている装置と端末装置10との通信を制限する。制限部315は、例えば制限対象装置から送信されたデータが監視部314において検出されると、検出されたデータを廃棄することでオーバーレイNW30から排除してもよい。制限部315は、例えば端末装置10から制限対象装置宛で送信されたデータが監視部314において検出されると、検出されたデータを廃棄することでオーバーレイNW30から排除してもよい。制御部315は、例えばオーバーレイNW30において動作するフィルタに対し、制限対象装置から送信されたデータや制限対象装置へ送信されたデータに関する定義を追加してもよい。制御部315は、例えばオーバーレイ30で機能する統合型脅威管理(UTM:Unified Threat Management)に対して制限対象装置に関する情報を提供し、この情報をUTM内の情報(例えばブラックリスト等)に反映させてもよい。制御部315は、例えばオーバーレイ30で機能するファイアウォールに対して制限対象装置に関する情報を提供し、この情報をファイアウォール内の情報(フィルタ対象のリスト等)に反映させてもよい。
【0028】
図4は、通信システム100における動作の流れの具体例を示す図である。ULセキュリティ装置24の監視部244は、アンダーレイNW20を流れるデータを監視する。監視部244は、悪性の通信データを検出すると(ステップS101)、検出された通信データの送信元を含む制限対象装置に関する情報(制限対象情報)を生成しOLセキュリティ装置31に送信する(ステップS102)。OLセキュリティ装置31の制限部315は、受信された制限対象情報を記憶部312に記録する。その後、OLセキュリティ装置31の制限部315は、記録された制限対象情報に基づいて、制限対象装置に該当する装置の通信を制限する(ステップS103)。
【0029】
図5は、本実施形態に適用される情報処理装置90のハードウェア構成例の概略を示す図である。情報処理装置90は、プロセッサー91、主記憶装置92、通信インターフェース93、補助記憶装置94、入出力インターフェース95及び内部バス96を備える。プロセッサー91、主記憶装置92、通信インターフェース93、補助記憶装置94及び入出力インターフェース95は、内部バス96を介して互いに通信可能に接続される。情報処理装置90は、例えばULセキュリティ装置24、OLセキュリティ装置31に適用されてもよい。この場合、例えば各装置の通信部は通信インターフェース93を用いて構成されてもよい。例えば各装置の記憶部は補助記憶装置94を用いて構成されてもよい。また、各装置の制御部は、プロセッサー91及び主記憶装置92を用いて構成されてもよい。
【0030】
このように構成された通信システム100によれば、より高いセキュリティのネットワーク接続環境を、より安価に提供することが可能となる。具体的には以下の通りである。通信システム100では、悪性の挙動を示す装置をアンダーレイNW20において検出する。アンダーレイNW20で検知することで、例えばインターネットサービスプロバイダー等のバックボーン全体のトラフィックのデータを元に、危険な可能性のあるIPアドレスを検知することができる。その結果、より精度よく悪性の挙動を示す装置を検出することが可能となる。そして、検出された装置に関する情報をオーバーレイNW30に通知し、オーバーレイNW30において検出することで、悪性の挙動を示す装置に関する通信データをより精度よく制限することが可能となる。例えば、ある施設の構内通信装置21の周辺ではまた制限対象装置の通信が検知されていなかったとしても、他の施設の構内通信装置21の周辺で悪性の通信が検知されると、その情報に基づいてオーバーレイNW30において制限対象装置の通信の制限が開始される。そのため、より安価によりセキュリティのサービスを提供することが可能となる。
【0031】
なお、アンダーレイNW20に接続されているULセキュリティ装置24においても同種の制限対象装置の通信を制限してもよい。
【0032】
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0033】
100…通信システム, 10…端末装置, 20…アンダーレイNW, 21…構内通信装置, 22…第一通信網, 23…第二通信網, 24…ULセキュリティ装置, 30…オーバーレイNW, 31…OLセキュリティ装置
【図1】
【図2】
【図3】
【図4】
【図5】