知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
特開2024-125153情報処理システム、情報処理方法および情報処理プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024125153
(43)【公開日】2024-09-13
(54)【発明の名称】情報処理システム、情報処理方法および情報処理プログラム
(51)【国際特許分類】
H04L 12/66 20060101AFI20240906BHJP
H04L 12/22 20060101ALI20240906BHJP
【FI】
H04L12/66
H04L12/22
【審査請求】有
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2023175593
(22)【出願日】2023-10-10
(62)【分割の表示】P 2023540660の分割
【原出願日】2023-06-30
(31)【優先権主張番号】P 2023033210
(32)【優先日】2023-03-03
(33)【優先権主張国・地域又は機関】JP
(71)【出願人】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】▲高▼津 健
(72)【発明者】
【氏名】畑田 充弘
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HD03
5K030LC13
5K030MA04
5K030MB09
5K030MC07
5K030MC08
(57)【要約】
【課題】セキュリティの向上およびコストの低下を実現する。
【解決手段】情報処理システム1は、オーバレイネットワークを構成する装置である上位NW装置100とアンダーレイネットワークを構成する装置である下位NW装置200とからなる情報処理システムであって、上位NW装置100は、不正な通信を検知し、検知された不正な通信の情報を下位NW装置200に通知し、下位NW装置200は、下位NW装置200に接続される端末の通信に関する情報を取得し、通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを判定し、判定したバラツキ度合いに応じて、通知された不正な通信の情報を不正な通信として遮断する。
【選択図】図2
【解決手段】情報処理システム1は、オーバレイネットワークを構成する装置である上位NW装置100とアンダーレイネットワークを構成する装置である下位NW装置200とからなる情報処理システムであって、上位NW装置100は、不正な通信を検知し、検知された不正な通信の情報を下位NW装置200に通知し、下位NW装置200は、下位NW装置200に接続される端末の通信に関する情報を取得し、通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを判定し、判定したバラツキ度合いに応じて、通知された不正な通信の情報を不正な通信として遮断する。
【選択図】図2
【特許請求の範囲】
【請求項1】
オーバレイネットワークを構成する装置である上位NW装置とアンダーレイネットワークを構成する装置である下位NW装置とからなる情報処理システムであって、
前記上位NW装置は、
不正な通信を検知する検知部と、
前記検知部により検知された前記不正な通信の情報を前記下位NW装置に通知する通知部と
を有し、
前記下位NW装置は、
前記通知部により通知された前記不正な通信の情報と接続先アドレスが同一である前記アンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、前記バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定する判定部と、
前記判定部により判定された前記バラツキ度合いが所定の閾値未満である場合には、誤検知でないと判定し、前記下位NW装置に接続される端末の通信に関する情報を用いて、前記通知部により通知された前記不正な通信の情報を不正な通信として遮断する遮断部と
を有することを特徴とする情報処理システム。
前記上位NW装置は、
不正な通信を検知する検知部と、
前記検知部により検知された前記不正な通信の情報を前記下位NW装置に通知する通知部と
を有し、
前記下位NW装置は、
前記通知部により通知された前記不正な通信の情報と接続先アドレスが同一である前記アンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、前記バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定する判定部と、
前記判定部により判定された前記バラツキ度合いが所定の閾値未満である場合には、誤検知でないと判定し、前記下位NW装置に接続される端末の通信に関する情報を用いて、前記通知部により通知された前記不正な通信の情報を不正な通信として遮断する遮断部と
を有することを特徴とする情報処理システム。
【請求項2】
前記判定部は、前記フローデータ同士の通信日時、接続先ポート番号、通信プロトコルおよび転送バイト数のうち、いずれか一つまたは複数に基づいて、前記バラツキ度合いを算出する
ことを特徴とする請求項1に記載の情報処理システム。
ことを特徴とする請求項1に記載の情報処理システム。
【請求項3】
前記判定部によりバラツキ度合いが所定の閾値以上であると判定された場合には、検知に用いる不正な通信に関する情報の削除を前記上位NW装置に通知する削除部
をさらに有することを特徴とする請求項1に記載の情報処理システム。
をさらに有することを特徴とする請求項1に記載の情報処理システム。
【請求項4】
オーバレイネットワークを構成する装置である上位NW装置とアンダーレイネットワークを構成する装置である下位NW装置とが実行する情報処理方法であって、
前記上位NW装置が、不正な通信を検知する検知工程と、
前記上位NW装置が、前記検知工程により検知された前記不正な通信の情報を前記下位NW装置に通知する通知工程と、
前記通知工程により通知された前記不正な通信の情報と接続先アドレスが同一である前記アンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、前記バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定する判定工程と、
前記判定工程により判定された前記バラツキ度合いが所定の閾値未満である場合には、誤検知でないと判定し、前記下位NW装置に接続される端末の通信に関する情報を用いて、前記通知工程により通知された前記不正な通信の情報を不正な通信として遮断する遮断工程と
を含むことを特徴とする情報処理方法。
前記上位NW装置が、不正な通信を検知する検知工程と、
前記上位NW装置が、前記検知工程により検知された前記不正な通信の情報を前記下位NW装置に通知する通知工程と、
前記通知工程により通知された前記不正な通信の情報と接続先アドレスが同一である前記アンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、前記バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定する判定工程と、
前記判定工程により判定された前記バラツキ度合いが所定の閾値未満である場合には、誤検知でないと判定し、前記下位NW装置に接続される端末の通信に関する情報を用いて、前記通知工程により通知された前記不正な通信の情報を不正な通信として遮断する遮断工程と
を含むことを特徴とする情報処理方法。
【請求項5】
オーバレイネットワークを構成する装置である上位NW装置としてのコンピュータと、アンダーレイネットワークを構成する装置である下位NW装置としてのコンピュータに実行させる情報処理プログラムであって、
前記上位NW装置としてのコンピュータに、
不正な通信を検知する検知ステップと、
前記検知ステップにより検知された前記不正な通信の情報を前記下位NW装置に通知する通知ステップと
を実行させ、
前記下位NW装置としてのコンピュータに、
前記通知ステップにより通知された前記不正な通信の情報と接続先アドレスが同一である前記アンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、前記バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定する判定ステップと、
前記判定ステップにより判定された前記バラツキ度合いが所定の閾値未満である場合には、誤検知でないと判定し、前記下位NW装置に接続される端末の通信に関する情報を用いて、前記通知ステップにより通知された前記不正な通信の情報を不正な通信として遮断する遮断ステップと
を実行させることを特徴とする情報処理プログラム。
前記上位NW装置としてのコンピュータに、
不正な通信を検知する検知ステップと、
前記検知ステップにより検知された前記不正な通信の情報を前記下位NW装置に通知する通知ステップと
を実行させ、
前記下位NW装置としてのコンピュータに、
前記通知ステップにより通知された前記不正な通信の情報と接続先アドレスが同一である前記アンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、前記バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定する判定ステップと、
前記判定ステップにより判定された前記バラツキ度合いが所定の閾値未満である場合には、誤検知でないと判定し、前記下位NW装置に接続される端末の通信に関する情報を用いて、前記通知ステップにより通知された前記不正な通信の情報を不正な通信として遮断する遮断ステップと
を実行させることを特徴とする情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理システム、情報処理方法および情報処理プログラムに関する。
【背景技術】
【0002】
従来、パソコンやサーバ等、末端の端末におけるセキュリティ対策技術が存在する。例えば、EDR(Endpoint Detection and Response)により末端での不審な通信や挙動を検知する技術が知られている。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】ICT Business Online 意外と知らない?ITトレンド用語 EDRとは、[2023年6月20日検索]、インターネット(https://www.ntt.com/bizon/glossary/e-e/edr.html)
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来技術においては、コスト面、セキュリティ面における問題が存在していた。例えば、EDRの場合、各端末に対して配備が必要なため高コストである。また、EDRを配備できないOA(Office Automation)機器やIoT(Internet of Things)端末では対策が行われず、セキュリティリスクが残る。さらには、正常に機能している端末を不正端末として誤検知、または、正常に機能している端末からの正常な通信先を不正な通信先と誤検知する場合がある。
【0005】
本発明は、上記に鑑みてなされたものであって、セキュリティの向上およびコストの低下を実現するための情報処理システム、情報処理方法および情報処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上述した課題を解決し、目的を達成するために、本発明の情報処理システムは、オーバレイネットワークを構成する装置である上位NW(network)装置とアンダーレイネットワークを構成する装置である下位NW装置とからなる情報処理システムであって、前記上位NW装置は、不正な通信を検知する検知部と、前記検知部により検知された前記不正な通信の情報を前記下位NW装置に通知する通知部とを有し、前記下位NW装置は、前記通知部により通知された前記不正な通信の情報と接続先アドレスが同一である前記アンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、前記バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定する判定部と、前記判定部により判定された前記バラツキ度合いが所定の閾値未満である場合には、誤検知でないと判定し、前記下位NW装置に接続される端末の通信に関する情報を用いて、前記通知部により通知された前記不正な通信の情報を不正な通信として遮断する遮断部とを有することを特徴とする。
【発明の効果】
【0007】
本発明によれば、セキュリティの向上およびコストの低下を実現することができる。
【図面の簡単な説明】
【0008】
【発明を実施するための形態】
【0009】
以下、図面を参照して、本願に係る情報処理システム、情報処理方法および情報処理プログラムの実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示しており、重複する説明は省略される。
【0010】
【0011】
なお、以下では、オーバレイネットワークを構成する装置を上位NW装置と記載し、アンダーレイネットワークを構成する装置を下位NW装置と記載する。ここで上位NW装置とは、例えば、クラウドプロキシサーバやUTM(Unified Threat Management)のことをいう。また、下位NW装置とは、例えば、DPI(Deep Packet Inspection)、ルータ、スイッチなどのネットワーク機器のことをいう。
【0012】
従前のセキュリティ対策は、信頼できる「内側」と信頼できない「外側」にネットワークを分け、その境界線で対策を講じることが行われていた。例えば、内側のネットワークとしては、社内LAN(Local Area Network)やVPN(Virtual Private Network)で接続されたデータセンタなどが該当し、外側のネットワークとしては、インターネットが該当する。例えば、境界線で講じられる対策として、境界線にファイアウォールやプロキシー、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)などのセキュリティ機器を設置し、通信の監視や制御を行うことで外部からのサイバー攻撃を遮断する。
【0013】
こうした従前のセキュリティ対策は、保護すべきデータやシステムがネットワークの内側にあることを前提としている。しかし、クラウドが普及したことにより、外側であるインターネット上に保護すべきものがある状況が珍しくない。このように、守るべき対象がさまざまな場所に点在するようになったことで境界が曖昧になり、従来の考え方では十分な対策を講じることが難しくなりつつある。
【0014】
そこで広まっているのがゼロトラストの考え方である。ゼロトラストセキュリティサービスにおいては、すべての通信を信頼しないことを前提に、さまざまなセキュリティ対策を講じている。具体的には、ネットワークの内外に関わらない通信経路の暗号化や多要素認証の利用などによるユーザ認証の強化、ネットワークやそれに接続される各種デバイスの統合的なログ監視などが挙げられる。ゼロトラストを実現するためのセキュリティソリューションはすでに多数登場している。例えば、クライアント装置の監視とログの分析によりサイバー攻撃の早い検知と対処を可能にするEDRなどを設けることが行われている。
【0015】
パソコンやサーバ等、末端の端末におけるセキュリティ対策技術として、EDRにより末端での不審な通信や挙動を検知する技術が知られている。
【0016】
しかしながら、従来技術においては、コスト面、セキュリティ面における問題が存在する。例えば、EDRの場合、各端末に対して配備が必要なため高コストである。また、EDRを配備できないOA機器やIoT端末では対策が行われず、セキュリティリスクが残る。さらには、正常に機能している端末を不正端末として誤検知する場合がある。
【0017】
そこで、以下に記載する本実施の形態の情報処理システム1は、オーバレイネットワークを構成する装置である上位NW装置100とアンダーレイネットワークを構成する装置である下位NW装置200とからなる情報処理システムであって、上位NW装置100は、不正な通信を検知し、検知された不正な通信の情報を下位NW装置200に通知し、下位NW装置200は、下位NW装置200に接続される端末の通信に関する情報を取得し、通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを判定し、判定されたバラツキ度合いに応じて、通知された不正な通信の情報を不正な通信として遮断する。
【0018】
このような情報処理システムにより、コストの低減およびセキュリティの向上といった効果が得られる。また、不正な通信を行う端末からの通信を遮断することで、NW全体を遮断することなく、機器単位で通信を制御することにより、NWの可用性を確保しつつ、堅牢なセキュリティを実現する。
【0019】
また、情報処理システム1では、リモートワーク等の新しい働き方やIoT等の活用による新たな事業拡大によって一層複雑化、サイバーリスクの高まるICT(Information and Communication Technology)環境に対し、アンダーレイNWとオーバレイNWが連携して防御する、回線事業者(キャリア)ならではのゼロトラストセキュリティサービスを提供する。
【0020】
情報処理システム1は、オーバレイNWの機能とアンダーレイNWの機能が密接に連携したセキュアなNaaS(Network as a Service)型ICTサービスを提供する。この情報処理システム1のサービスを受ける企業は、IT(Information Technology)ベンダー委託にコストを費やしたり、NW設計に掛かるコストを掛けたりすることなく、管理ポータルサイトから申し込むことで、即時に、本情報処理システム1のサービスの開始、変更、解約が容易に可能となり、設計から運用の稼働に係るコストを削減することが可能である。
【0021】
また、情報処理システム1では、オーバレイNWとアンダーレイNWとを同一事業者が提供している。また、情報処理システム1を利用する利用者は、例えば、オーバレイNWのみの利用し、アンダーレイNWは他社を利用する等の柔軟な利用を可能とする。
【0022】
[情報処理システムの構成]
次に、図2を用いて、情報処理システム1の構成について説明する。図2が示すように、情報処理システム1は、上位NW装置100と、下位NW装置200とを有する。以下、これら各装置について説明する。なお、情報処理システム1において、上位NW装置100と下位NW装置200とは、それぞれ一つである場合に限定されるものではなく、複数設けられていてもよい。
次に、図2を用いて、情報処理システム1の構成について説明する。図2が示すように、情報処理システム1は、上位NW装置100と、下位NW装置200とを有する。以下、これら各装置について説明する。なお、情報処理システム1において、上位NW装置100と下位NW装置200とは、それぞれ一つである場合に限定されるものではなく、複数設けられていてもよい。
【0023】
上位NW装置100は、情報処理システム1の上位のネットワークを制御する装置である。上位NW装置100は、不正な通信を検知し、下位NW装置200に通知する。
【0024】
下位NW装置200は、情報処理システム1の下位のネットワークを制御する装置である。下位NW装置200は、上位NW装置100から通知された不正な通信の情報が誤検知であるか判定し、誤検知でない場合には、不正な通信を遮断する。一方、誤検知である場合には、検知に用いた不正な通信に関する情報を削除する。
【0025】
[上位NW装置の構成]
次に、図3を用いて、上位NW装置100の構成について説明する。図3が示すように、上位NW装置100は、通信部110と、制御部120と、記憶部130とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
次に、図3を用いて、上位NW装置100の構成について説明する。図3が示すように、上位NW装置100は、通信部110と、制御部120と、記憶部130とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
【0026】
通信部110は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部装置と制御部120の通信を可能とする。例えば、通信部110は、外部装置と制御部120との通信を可能とする。
【0027】
記憶部130は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部130が記憶する情報としては、例えば、上位NW装置100が管理する端末情報、下位NW装置200が管理する端末情報、検知に用いる不正な通信に関する情報、誤検知の判定に用いる不正な通信に関する情報、検知された不正な通信の情報、その他不正な通信の遮断に必要な情報が含まれる。ここで、検知に用いる不正な通信に関する情報には、不正な通信の通信先の端末情報、不正な通信の通信先のIPアドレスといった情報が含まれる。また、誤検知の判定に用いる不正な通信に関する情報には、下位NW装置200が関与する通信の内容や、サイバー攻撃の情報といった情報が含まれる。なお、記憶部130が記憶する情報は上記に記載した例に限定されない。
【0028】
ここで誤検知の判定に用いる不正な通信に関する情報とは、オーバレイネットワークで検知された不正な通信と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータのことをいう。
【0029】
制御部120は、CPU(Central Processing Unit)やNP(Network Processor)やFPGA(Field Programmable Gate Array)等を用いて実現され、メモリに記憶された処理プログラムを実行する。図3に示すように、制御部120は、検知部121と、通知部122とを有する。以下、制御部120が有する各部について説明する。
【0030】
検知部121は、不正な通信を検知する。例えば、検知部121は、セキュリティ機能により、不正な通信を検知する。例えば、検知部121は、UTMのセキュリティ機能により、不正な通信を検知する。
【0031】
例えば、検知部121は、パケットの接続先のIPアドレスが、予め記憶部130に記憶された不正な通信のIPアドレスと一致する場合には、当該通信を不正な通信として検知し、当該接続先のIPアドレスを、不正な通信先のIPアドレスとして特定する。なお、検知部121は、不正な通信の検知として、IPアドレスに限らず、通信日時やDDoS(Distributed Denial of Service)攻撃、SYNフラッド(SYN flooding)攻撃、バッファオーバーフロー攻撃等の攻撃の際にみられるパケットの振る舞い等を用いてもよく、そのほか既存の検知方法のいずれを用いてもよい。
【0032】
通知部122は、検知部121により検知された不正な通信の情報を下位NW装置200に通知する。例えば、通知部122は、検知部121により検知された不正な通信の情報として、不正な通信の検知日時、検知種別、接続先IPアドレス・ポート、接続元IPアドレス・ポートといった情報を下位NW装置200に通知する。
【0033】
例えば、通知部122は、検知部121により検知された不正な通信の情報用いて、不正な通信の通信先を特定し、特定した不正な通信の通信先を下位NW装置200に通知する。なお、「接続先IPアドレス・ポート」とは、接続先IPアドレスと接続先ポートのうちいずれか一つもしくは両方を含むものとし、「接続元IPアドレス・ポート」とは、接続元IPアドレスと接続元ポートのうちいずれか一つもしくは両方を含むものとする。
【0034】
[下位NW装置の構成]
次に、図4を用いて、下位NW装置200の構成について説明する。図4が示すように、下位NW装置200は、通信部210と、制御部220と、記憶部230とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
次に、図4を用いて、下位NW装置200の構成について説明する。図4が示すように、下位NW装置200は、通信部210と、制御部220と、記憶部230とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
【0035】
通信部210は、NIC等で実現され、LANやインターネットなどの電気通信回線を介した外部装置と制御部220の通信を可能とする。例えば、通信部210は、外部装置と制御部220との通信を可能とする。
【0036】
記憶部230は、RAM、フラッシュメモリ等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部230が記憶する情報としては、例えば、上位NW装置100が管理する端末情報、下位NW装置200が管理する端末情報、下位NW装置200に接続された端末の通信に関する情報、検知に用いる不正な通信に関する情報、誤検知の判定に用いる不正な通信に関する情報、検知された不正な通信の情報、その他不正な通信の遮断に必要な情報が含まれる。ここで、検知に用いる不正な通信に関する情報には、不正な通信の通信先の端末情報、不正な通信の通信先のIPアドレスといった情報が含まれる。また、誤検知の判定に用いる不正な通信に関する情報には、下位NW装置200が関与する通信の内容や、サイバー攻撃の情報といった情報が含まれる。なお、記憶部230が記憶する情報は上記に記載した例に限定されない。
【0037】
制御部220は、CPUやNPやFPGA等を用いて実現され、メモリに記憶された処理プログラムを実行する。図4に示すように、制御部220は、取得部221と、判定部222と、遮断部223と、削除部224とを有する。以下、制御部220が有する各部について説明する。
【0038】
取得部221は、下位NW装置200に接続される端末の通信に関する情報を取得する。例えば、取得部221は、下位NW装置200に接続されるOA機器やIoT機器の通信に関する情報を取得する。
【0039】
判定部222は、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを判定する。例えば、判定部222は、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定する。なお、フローデータの情報は、アンダーレイNWの各通信機器から取得されたデータであってもよいし、外部装置に記憶されるものであってもよい。
【0040】
ここで、判定部222によるバラツキ度合いの算出方法の具体例について説明する。例えば、判定部222は、通知部122により通知された不正な通信の情報に含まれる接続先IPアドレスが同一のフローデータを取得する。
【0041】
そして、判定部222は、フローデータ同士の通信日時、接続先ポート番号、通信プロトコルおよび転送バイト数のうち、いずれか一つまたは複数に基づいて、バラツキ度合いを算出する。例えば、判定部222は、接続先ポート番号、通信プロトコルおよび転送バイト数に基づいて、バラツキ度合いを算出する場合には、取得した全フローデータについて、接続先ポート番号、通信プロトコルおよび転送バイト数の全てが一致しないレコードの割合が所定の閾値(例えば、50%)以上であるかを判定し、所定の閾値以上である場合には、オーバレイネットワークにおける検知結果が誤検知であると判定する。なお、判定部222は、バラツキ度合いの算出方法について、これに限定されるものではなく、一致しないレコードの割合ではなく、一致しないレコードの数を計数し、所定の閾値以上であるかを判定してもよい。ここで、情報の一致は、完全一致でなく、一部一致であってもよい。
【0042】
また、例えば、判定部222は、フローデータ同士の通信日時も用いてバラツキ度合いを算出する場合には、通信日時については、フローデータ通信日時が古いものから順番に並べ、通信日時が近いもの同士の通信日時の差分の平均値を計算し、平均値が所定の閾値(例えば、1分)以上であるかを判定し、所定の閾値以上である場合には、オーバレイネットワークにおける検知結果が誤検知であると判定してもよい。
【0043】
つまり、オーバレイネットワークにおいて、例えば、C2サーバ(Command and Control server)との不正通信を検知した場合に、判定部222は、当該通信と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを判定し、バラツキが大きい場合には、C2サーバとの不正通信ではなく、誤検知とみなす。
【0044】
遮断部223は、判定部222により判定されたバラツキ度合いに応じて、通知部122により通知された不正な通信の情報を不正な通信として遮断する。例えば、遮断部223は、判定部222によってバラツキ度合いが所定の閾値未満であると判定された場合には、誤検知でないと判定し、通知部122により通知された不正な通信の情報を不正な通信として遮断する。
【0045】
例えば、遮断部223は、判定部222によってバラツキ度合いが所定の閾値未満であると判定された場合には、通知部122により通知された不正な通信の接続元IPアドレス・ポートの情報と、取得部221により取得された下位NW装置200に接続される端末の接続先および接続元IPアドレス・ポートの情報とを用いて、不正な通信の通信先への通信を遮断する。
【0046】
また、例えば、遮断部223は、判定部222によってバラツキ度合いが所定の閾値未満であると判定された場合には、通知部122により通知された不正な通信の情報を用いて、不正な通信の通信元からの通信を遮断する。例えば、遮断部223は、判定部222によってバラツキ度合いが所定の閾値未満であると判定された場合には、通知部122により通知された不正な通信の接続元IPアドレス・ポートの情報と、取得部221により取得された下位NW装置200に接続される端末の接続先および接続元IPアドレス・ポートの情報とを用いて、不正な通信を行う端末からの通信を遮断する。
【0047】
また、例えば、遮断部223は、判定部222によってバラツキ度合いが所定の閾値未満であると判定された場合には、通知部122により通知された不正な通信の情報を用いて、不正な通信の通信元が含まれるNWからの通信を遮断する。例えば、遮断部223は、判定部222によってバラツキ度合いが所定の閾値未満であると判定された場合には、通知部122により通知された不正な通信の接続元IPアドレス・ポートの情報と、取得部221により取得された下位NW装置200に接続される端末の接続先および接続元IPアドレス・ポートの情報とを用いて、不正な通信を行う端末が含まれるNWからの通信を遮断する。
【0048】
削除部224は、判定部222によりバラツキ度合いが所定の閾値以上である場合には、検知に用いる不正な通信に関する情報を削除する指示を上位NW装置100に通知する。例えば、削除部224は、判定部222により対応しないと判定された場合、検知に用いる不正な通信に関する情報として、下位NW装置200が関与する通信の内容や、サイバー攻撃の情報を削除する指示を上位NW装置100に通知する。
【0049】
なお、削除部224が削除する誤検知に用いる不正な通信に関する情報は、上位NW装置100や外部装置に記憶されるものであってもよい。
【0050】
【0051】
まず、下位NW装置200の取得部221は、下位NW装置200に接続される端末の通信に関する情報を取得する。例えば、下位NW装置200に接続されるOA機器やIoT機器等の通信に関する情報を取得する。
【0052】
続いて、上位NW装置100の検知部121は、不正な通信を検知する。
【0053】
続いて、上位NW装置100の通知部123は、検知部121により検知された不正な通信の情報を下位NW装置200に通知する。
【0054】
続いて、判定部222は、通知部122により通知された不正な通信の情報と、誤検知の判定に用いる不正な通信に関する情報とが対応するか判定する。
【0055】
そして、遮断部223は、判定部222により対応すると判定された場合には、通知部122により通知された不正な通信の情報に基づいて、不正な通信を行う端末の通信を遮断する。
【0056】
一方、削除部224は、判定部222により対応しないと判定された場合には、削除部224は、判定部222により対応しないと判定された場合、不正な通信に関する情報を削除する指示を上位NW装置100に通知する。
【0057】
このように、情報処理システム1は、上位NW装置100と下位NW装置200とが密接に連携して、不正な通信の検知・判定・遮断を行う。
【0058】
[情報処理システムによる検知・判定処理]
次に、図6を用いて、情報処理システム1による検知処理と判定処理とについて説明する。図6は、情報処理システム1による検知処理と判定処理とを説明するための図である。
次に、図6を用いて、情報処理システム1による検知処理と判定処理とについて説明する。図6は、情報処理システム1による検知処理と判定処理とを説明するための図である。
【0059】
図6(1)は、不正な通信先の種別、IPアドレスといった検知に用いる不正な通信に関する情報である。なお、検知に用いる不正な通信に関する情報が記憶される場所は、上位NW装置100のクラウドプロキシの他、上位NW装置100の記憶部130であってもよい。
【0060】
上位NW装置100の検知部121は、クラウドプロキシに記憶される不正な通信先の種別、IPアドレスといった情報を用いて、図6(2)に示すように、不正な通信を検知する。図6(2)においては、検知部121によって不正な通信として検知された通信の情報の一例を図示する。
【0061】
そして、下位NW装置200の判定部222は、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを判定する。図6(3)においては、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータを図示する。
【0062】
例えば、判定部222は、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定する。
【0063】
例えば、判定部222は、接続先ポート番号、通信プロトコルおよび転送バイト数に基づいて、バラツキ度合いを算出する場合には、取得した全フローデータについて、接続先ポート番号、通信プロトコルおよび転送バイト数の全てが一致しないレコード数の全レコード数に対する割合が所定の閾値(例えば、50%)以上であるかを判定し、所定の閾値以上である場合には、オーバレイネットワークにおける検知結果が誤検知であると判定する。
【0064】
例えば、図7の例では、10のフローデータのうち、接続先ポート番号、通信プロトコルおよび転送バイト数の全てが一致しないレコードが1つであり、割合が約「10%」であるため、判定部222は、バラツキ度が所定の閾値「50%」未満であると判定する。つまり、判定部222は、バラツキが大きくないと判定し、オーバレイネットワークにおける検知結果が誤検知でないとみなされる。この場合には、遮断部223は、通知部122により通知された不正な通信の情報に基づいて、不正な通信を遮断する。
【0065】
また、例えば、図8の例では、10のフローデータのうち、接続先ポート番号、通信プロトコルおよび転送バイト数の全てが一致しないレコードが8つであり、割合が約「80%」であるため、判定部222は、バラツキ度が所定の閾値「50%」以上であると判定する。つまり、判定部222は、バラツキが大きいと判定し、オーバレイネットワークにおける検知結果が誤検知であるとみなされる。この場合には、削除部224は、検知に用いる不正な通信に関する情報(図8(1))を削除するように、上位NW装置100に通知する。
【0066】
【0067】
下位NW装置200の遮断部223は、不正な通信の検知情報を用いて、図9に示すように、DPIにより、不正な通信を遮断する。
【0068】
【0069】
下位NW装置200の遮断部223は、図10(3)に示すように、不正な通信先の検知情報(不正な通信の接続先IPアドレス・ポート)を用いて、DPIにより、不正な通信先との通信を遮断する。これにより情報処理システム1は、不正な通信先との通信を早期遮断する。
【0070】
つまり、図10(3)の例を用いて説明すると、遮断部223は、上位NW装置100から送信された接続先のIPアドレス「203.0.113.15」と、接続先のIPアドレスが一致する通信を遮断する。
【0071】
また、例えば、下位NW装置200の遮断部223は、図10(4)に示すように、不正な通信先の検知情報(不正な通信の接続元IPアドレス・ポート)を用いて、DPIにより、不正な通信を行う端末からの通信を遮断する。これにより情報処理システム1は、感染端末を遮断し、感染の拡散を防止する。
【0072】
つまり、図10(4)の例を用いて説明すると、遮断部223は、上位NW装置100から送信された接続元のIPアドレス「192.0.2.118」と、接続元のIPアドレスが一致する通信を遮断する。
【0073】
また、例えば、下位NW装置200の遮断部223は、図10(5)に示すように、不正な通信先の検知情報(不正な通信の接続元IPアドレス・ポート)を用いて、DPIにより、不正な通信を行う端末が含まれるNWからの通信を遮断する。これにより情報処理システム1は、感染端末が属するNWを遮断し、感染の拡散を防止する。
【0074】
つまり、図10(5)の例を用いて説明すると、通知部122は、上位NW装置100から送信された接続元のIPアドレス「192.0.2.118」をサブネットマスクでマスクしたIPアドレス「192.0.2.0/24」に変換し、接続元のIPアドレス「192.0.2.0/24」を下位NW装置200へ通知する。そして、遮断部223は、接続元のIPアドレスが「192.0.2.0/24」に該当する通信を遮断することで、感染端末だけでなく、感染端末が属するNWを遮断する。
【0075】
このように情報処理システム1は、上位NW装置100と下位NW装置200とが連携して、不正な通信を検知し、不正な通信を行う端末が関係する各通信を遮断する。
【0076】
[フローチャート]
次に、図11を用いて、情報処理システム1による処理の流れについて説明する。なお、下記の各ステップは、異なる順序で実行することもでき、また、省略される処理があってもよい。
次に、図11を用いて、情報処理システム1による処理の流れについて説明する。なお、下記の各ステップは、異なる順序で実行することもでき、また、省略される処理があってもよい。
【0077】
まず、下位NW装置200の取得部221は、下位NW装置200に接続される端末の通信に関する情報を取得する(ステップS101)。例えば、取得部221は、下位NW装置200に接続されるOA機器やIoT機器の通信に関する情報を取得する。
【0078】
続いて、下位NW装置200の取得部221が取得した情報を上位NW装置100に送信する(ステップS102)。続いて、上位NW装置100の検知部121は、不正な通信を検知する(ステップS103)。例えば、検知部121は、セキュリティ機能により、不正な通信を検知する。
【0079】
続いて、上位NW装置100の通知部122は、検知部121により検知された不正な通信の情報を下位NW装置200に通知する(ステップS104)。例えば、通知部122は、検知部121により検知された不正な通信の情報として、不正な通信の検知日時、検知種別、接続先IPアドレス・ポート、接続元IPアドレス・ポートといった情報を下位NW装置200に通知する。
【0080】
続いて、下位NW装置200の判定部222は、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるフローデータ同士のバラツキ度合いを算出する(ステップS105)。例えば、判定部222は、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるフローデータ同士の通信日時、接続先ポート番号、通信プロトコルおよび転送バイト数のうち、いずれか一つまたは複数に基づいて、バラツキ度合いを算出する。
【0081】
続いて、下位NW装置200の判定部222は、算出したバラツキ度合いが所定の閾値以上であるか判定する(ステップS106)。ここで、判定部222により所定の閾値以上でないと判定された場合(ステップS106“NO”)、下位NW装置200の遮断部223は、通知部122により通知された不正な通信の情報に基づいて、不正な通信を遮断する(ステップS107)。例えば、遮断部223は、通知部122により通知された不正な通信の情報を用いて、不正な通信の通信先への通信を遮断する。
【0082】
他方、判定部222により所定の閾値未満であると判定された場合(ステップS106“YES”)、下位NW装置200の削除部224は、検知に用いる不正な通信に関する情報の削除を通知する(ステップS108)。例えば、削除部224は、判定部222により対応しないと判定された場合、検知に用いる不正な通信に関する情報として、下位NW装置200が関与する通信の内容や、サイバー攻撃の情報を削除する指示を上位NW装置100に通知する。
【0083】
[効果]
実施形態に係る情報処理システム1は、オーバレイネットワークを構成する装置である上位NW装置100とアンダーレイネットワークを構成する装置である下位NW装置200とからなる情報処理システムであって、上位NW装置100は、不正な通信を検知する検知部121と、検知部121により検知された不正な通信の情報を下位NW装置200に通知する通知部122とを有し、下位NW装置200は、下位NW装置200に接続される端末の通信に関する情報を取得する取得部221と、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを判定する判定部222と、判定部222により判定されたバラツキ度合いに応じて、通知部122により通知された不正な通信の情報を不正な通信として遮断する遮断部223とを有する。
実施形態に係る情報処理システム1は、オーバレイネットワークを構成する装置である上位NW装置100とアンダーレイネットワークを構成する装置である下位NW装置200とからなる情報処理システムであって、上位NW装置100は、不正な通信を検知する検知部121と、検知部121により検知された不正な通信の情報を下位NW装置200に通知する通知部122とを有し、下位NW装置200は、下位NW装置200に接続される端末の通信に関する情報を取得する取得部221と、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを判定する判定部222と、判定部222により判定されたバラツキ度合いに応じて、通知部122により通知された不正な通信の情報を不正な通信として遮断する遮断部223とを有する。
【0084】
これにより、情報処理システム1は、上位NW装置100が不正な通信を検知し、下位NW装置200によりバラツキ度合いを判定し、バラツキ度合いに応じて下位NW装置200が通信を遮断することにより、セキュリティの向上およびコストの低下を実現する。また、情報処理システム1では、検知ポイントと遮断ポイントとを分けることにより、例えば、大規模なボットネットによる攻撃が発生し、上位NW装置100でそのボットネットのC2サーバの通信を検知した際に、オーバレイネットワークを利用していない場合であっても、広範囲にアンダーレイネットワークで遮断できることで、被害を小さく抑えることが可能となる。
【0085】
また、情報処理システム1は、不正な通信を行う端末からの通信を遮断することにより、NW全体を遮断することなく、機器単位で通信を制御することにより、NWの可用性を確保しつつ堅牢なセキュリティを実現する。
【0086】
実施形態に係る情報処理システム1の下位NW装置200における判定部222は、通知部122により通知された不正な通信の情報と接続先アドレスが同一であるアンダーレイネットワークにおける複数のフローデータ同士のバラツキ度合いを算出し、バラツキ度合いが所定の閾値以上であるか否かを判定し、バラツキ度合いが所定の閾値以上である場合には、誤検知であると判定し、遮断部223は、判定部222によってバラツキ度合いが所定の閾値未満であると判定された場合には、誤検知でないと判定し、通知部122により通知された不正な通信の情報を不正な通信として遮断する。
【0087】
これにより、情報処理システム1は、上位NW装置100により検知された不正な通信の情報と同一の接続先アドレスを有するフローデータのバラツキ度合いが閾値を超えるか否かによって誤検知か否かを確認して、不正な通信の通信先への通信を遮断することにより、セキュリティの向上およびコストの低下を実現する。
【0088】
実施形態に係る情報処理システム1の下位NW装置200における判定部222は、フローデータ同士の通信日時、接続先ポート番号、通信プロトコルおよび転送バイト数のうち、いずれか一つまたは複数に基づいて、バラツキ度合いを算出する。
【0089】
これにより、情報処理システム1は、上位NW装置100により検知された不正な通信の情報と同一の接続先アドレスを有するフローデータのバラツキ度合いを、フローデータ同士の通信日時、接続先ポート番号、通信プロトコルおよび転送バイト数に基づいて算出し、バラツキ度合いに応じて不正な通信の通信先への通信を遮断することにより、セキュリティの向上およびコストの低下を実現する。
【0090】
実施形態に係る情報処理システム1の下位NW装置200は、判定部222によりバラツキ度合いが所定の閾値以上であると判定された場合には、検知に用いる不正な通信に関する情報の削除を上位NW装置100に通知する削除部224をさらに有する。
【0091】
これにより、情報処理システム1は、上位NW装置100により検知された不正な通信の情報と同一の接続先アドレスと有するフローデータ同士のバラツキが閾値以上である場合には、誤検知であると判定して、検知に用いる不正な通信に関する情報を削除することにより、セキュリティの向上およびコストの低下を実現する。
【0092】
[プログラム]
上記実施形態において説明した情報処理システム1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
上記実施形態において説明した情報処理システム1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
【0093】
図12は、情報処理プログラムを実行するコンピュータの一例を示す図である。図12に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
【0094】
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
【0095】
ここで、図12に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
【0096】
また、情報処理プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したコンピュータ1000が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。
【0097】
また、情報処理プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
【0098】
なお、情報処理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【0099】
[その他]
様々な実施形態を、図面を参照して、本明細書で詳細に説明したが、これらの複数の実施形態は例であり、本発明をこれらの複数の実施形態に限定することを意図するものではない。本明細書に記載された特徴は、当業者の知識に基づく様々な変形や改良を含む、様々な方法によって実現され得る。
様々な実施形態を、図面を参照して、本明細書で詳細に説明したが、これらの複数の実施形態は例であり、本発明をこれらの複数の実施形態に限定することを意図するものではない。本明細書に記載された特徴は、当業者の知識に基づく様々な変形や改良を含む、様々な方法によって実現され得る。
【0100】
また、上述した「部(module、-er接尾辞、-or接尾辞)」は、ユニット、手段、回路などに読み替えることができる。例えば、通信部(communication module)、制御部(control module)および記憶部(storage module)は、それぞれ、通信ユニット、制御ユニットおよび記憶ユニットに読み替えることができる。
【符号の説明】
【0101】
1 情報処理システム
100 上位NW装置
110 通信部
120 制御部
121 検知部
122 通知部
130 記憶部
200 下位NW装置
210 通信部
220 制御部
221 取得部
222 判定部
223 遮断部
224 削除部
230 記憶部
100 上位NW装置
110 通信部
120 制御部
121 検知部
122 通知部
130 記憶部
200 下位NW装置
210 通信部
220 制御部
221 取得部
222 判定部
223 遮断部
224 削除部
230 記憶部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】