知財求人 - 知財ポータルサイト「IP Force」
▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024125155
(43)【公開日】2024-09-13
(54)【発明の名称】情報処理装置、情報処理方法および情報処理プログラム
(51)【国際特許分類】
G06F 11/07 20060101AFI20240906BHJP
G06F 21/55 20130101ALI20240906BHJP
【FI】
G06F11/07 151
G06F11/07 140A
G06F11/07 196
G06F21/55
【審査請求】有
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2023178287
(22)【出願日】2023-10-16
(62)【分割の表示】P 2023540664の分割
【原出願日】2023-06-30
(31)【優先権主張番号】P 2023033211
(32)【優先日】2023-03-03
(33)【優先権主張国・地域又は機関】JP
(71)【出願人】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】▲高▼津 健
(72)【発明者】
【氏名】畑田 充弘
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042KK04
5B042MA08
5B042MA14
5B042MC40
(57)【要約】
【課題】迅速なインシデント対応およびコストの低下を実現する。
【解決手段】情報処理装置100は、オーバレイネットワークを構成する装置である上位NW装置が記憶する不正な通信の情報であるセキュリティログと、クラウドサーバが記憶する認証ログと、アンダーレイネットワークを構成する装置である下位NW装置が記憶する通信ログとを取得する取得部121と、取得部121により取得された、通信ログに存在しない接続元IPアドレスが、認証ログに存在し、かつ、セキュリティログに、接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定部123と、特定部123により特定された不正な通信の遮断を指示する遮断指示部124とを有する。
【選択図】図2
【解決手段】情報処理装置100は、オーバレイネットワークを構成する装置である上位NW装置が記憶する不正な通信の情報であるセキュリティログと、クラウドサーバが記憶する認証ログと、アンダーレイネットワークを構成する装置である下位NW装置が記憶する通信ログとを取得する取得部121と、取得部121により取得された、通信ログに存在しない接続元IPアドレスが、認証ログに存在し、かつ、セキュリティログに、接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定部123と、特定部123により特定された不正な通信の遮断を指示する遮断指示部124とを有する。
【選択図】図2
【特許請求の範囲】
【請求項1】
アンダーレイネットワークを構成する装置である下位NW装置が記憶する通信ログに存在しない接続元IPアドレスが、クラウドサーバが受け付けた認証要求に対して行った不正ログインを防止するための認証に関する情報であって、前記クラウドサーバが記憶する認証ログに存在し、かつ、オーバレイネットワークを構成する装置である上位NW装置が検知し、記憶する不正な通信の情報であるセキュリティログに、前記接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定部と、
前記特定部により特定された前記不正な通信を遮断するよう上位NW装置に指示する遮断指示部と
を有することを特徴とする情報処理装置。
前記特定部により特定された前記不正な通信を遮断するよう上位NW装置に指示する遮断指示部と
を有することを特徴とする情報処理装置。
【請求項2】
前記特定部は、
前記セキュリティログに含まれる接続元IPアドレスと、前記通信ログに含まれる接続元IPアドレスとを比較し、前記セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一であるログ情報が前記通信ログに存在するか否かを判定し、
前記セキュリティログに含まれる接続元IPアドレスと、前記認証ログに含まれる接続元IPアドレスとを比較し、前記セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一であるログ情報が、前記認証ログに存在するか否かを判定し、
判定の結果、前記セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一のログ情報が、前記通信ログに存在せず、かつ、前記セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一のログ情報が、前記認証ログに存在すると判定した場合には、前記セキュリティログに含まれる接続元IPアドレスのログ情報を不正な通信として特定する
ことを特徴とする請求項1に記載の情報処理装置。
前記セキュリティログに含まれる接続元IPアドレスと、前記通信ログに含まれる接続元IPアドレスとを比較し、前記セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一であるログ情報が前記通信ログに存在するか否かを判定し、
前記セキュリティログに含まれる接続元IPアドレスと、前記認証ログに含まれる接続元IPアドレスとを比較し、前記セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一であるログ情報が、前記認証ログに存在するか否かを判定し、
判定の結果、前記セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一のログ情報が、前記通信ログに存在せず、かつ、前記セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一のログ情報が、前記認証ログに存在すると判定した場合には、前記セキュリティログに含まれる接続元IPアドレスのログ情報を不正な通信として特定する
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記セキュリティログと、前記認証ログと、前記通信ログとを突合し、突合した情報を出力する出力部
をさらに有することを特徴とする請求項1に記載の情報処理装置。
をさらに有することを特徴とする請求項1に記載の情報処理装置。
【請求項4】
前記遮断指示部は、前記特定部により特定された前記不正な通信に含まれる識別情報を用いて、前記不正な通信を遮断するよう指示する
ことを特徴とする請求項1に記載の情報処理装置。
ことを特徴とする請求項1に記載の情報処理装置。
【請求項5】
コンピュータが実行する方法であって、
アンダーレイネットワークを構成する装置である下位NW装置が記憶する通信ログに存在しない接続元IPアドレスが、クラウドサーバが受け付けた認証要求に対して行った不正ログインを防止するための認証に関する情報であって、前記クラウドサーバが記憶する認証ログに存在し、かつ、オーバレイネットワークを構成する装置である上位NW装置が検知し、記憶する不正な通信の情報であるセキュリティログに、前記接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定工程と、
前記特定工程により特定された前記不正な通信を遮断するよう上位NW装置に指示する遮断指示工程と
を含むことを特徴とする情報処理方法。
アンダーレイネットワークを構成する装置である下位NW装置が記憶する通信ログに存在しない接続元IPアドレスが、クラウドサーバが受け付けた認証要求に対して行った不正ログインを防止するための認証に関する情報であって、前記クラウドサーバが記憶する認証ログに存在し、かつ、オーバレイネットワークを構成する装置である上位NW装置が検知し、記憶する不正な通信の情報であるセキュリティログに、前記接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定工程と、
前記特定工程により特定された前記不正な通信を遮断するよう上位NW装置に指示する遮断指示工程と
を含むことを特徴とする情報処理方法。
【請求項6】
アンダーレイネットワークを構成する装置である下位NW装置が記憶する通信ログに存在しない接続元IPアドレスが、クラウドサーバが受け付けた認証要求に対して行った不正ログインを防止するための認証に関する情報であって、前記クラウドサーバが記憶する認証ログに存在し、かつ、オーバレイネットワークを構成する装置である上位NW装置が検知し、記憶する不正な通信の情報であるセキュリティログに、前記接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定ステップと、
前記特定ステップにより特定された前記不正な通信を遮断するよう上位NW装置に指示する遮断ステップと
をコンピュータに実行させることを特徴とする情報処理プログラム。
前記特定ステップにより特定された前記不正な通信を遮断するよう上位NW装置に指示する遮断ステップと
をコンピュータに実行させることを特徴とする情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法および情報処理プログラムに関する。
【背景技術】
【0002】
従来、ログ情報を用いたインシデント管理が行われている。例えば、ログ情報を分析することで、インシデントの発生元、通信先、認証履歴等の情報から被害状況の把握を行っている。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】ICT用語集SIEM、[2023年6月20日検索]、インターネット(https://www.ntt-west.co.jp/business/glossary/words-00223.html)
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来技術においては、コストを抑えつつ迅速なインシデント対応が困難であるという問題が存在する。例えば、複数存在するログ情報を突き合わせて分析を行う必要があるため、分析に多大な労力と時間が必要となる。また、より早期の問題解決のためにコストを無視した対応がとられる場合がある。
【0005】
本発明は、上記に鑑みてなされたものであって、迅速なインシデント対応およびコスト低下を実現することができる情報処理装置、情報処理方法および情報処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上述した課題を解決し、目的を達成するために、本発明の情報処理装置は、アンダーレイネットワークを構成する装置である下位NW(network)装置が記憶する通信ログに存在しない接続元IPアドレスが、クラウドサーバが受け付けた認証要求に対して行った不正ログインを防止するための認証に関する情報であって、前記クラウドサーバが記憶する認証ログに存在し、かつ、オーバレイネットワークを構成する装置である上位NW装置が検知し、記憶する不正な通信の情報であるセキュリティログに、前記接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定部と、前記特定部により特定された前記不正な通信を遮断するよう指示する遮断指示部とを有することを特徴とする。
【発明の効果】
【0007】
本発明によれば、迅速なインシデント対応およびコストの低下を実現することができる。
【図面の簡単な説明】
【0008】
【発明を実施するための形態】
【0009】
以下、図面を参照して、本願に係る情報処理装置、情報処理方法および情報処理プログラムの実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示しており、重複する説明は省略される。
【0010】
[従来技術]
まず、図1を用いて、従来技術について説明する。図1は、従来技術について説明するための図である。なお、以下では、オーバレイネットワークを構成する装置を上位NW装置と記載し、アンダーレイネットワークを構成する装置を下位NW装置と記載する。ここで上位NW装置とは、例えば、クラウドプロキシサーバやUTM(Unified Threat Management)のことをいう。また、下位NW装置とは、例えば、DPI(Deep Packet Inspection)、ルータ、スイッチなどのネットワーク機器のことをいう。
まず、図1を用いて、従来技術について説明する。図1は、従来技術について説明するための図である。なお、以下では、オーバレイネットワークを構成する装置を上位NW装置と記載し、アンダーレイネットワークを構成する装置を下位NW装置と記載する。ここで上位NW装置とは、例えば、クラウドプロキシサーバやUTM(Unified Threat Management)のことをいう。また、下位NW装置とは、例えば、DPI(Deep Packet Inspection)、ルータ、スイッチなどのネットワーク機器のことをいう。
【0011】
従前のセキュリティ対策は、信頼できる「内側」と信頼できない「外側」にネットワークを分け、その境界線で対策を講じることが行われていた。例えば、内側のネットワークとしては、社内LAN(Local Area Network)やVPN(Virtual Private Network)で接続されたデータセンタなどが該当し、外側のネットワークとしては、インターネットが該当する。例えば、境界線で講じられる対策として、境界線にファイアウォールやプロキシー、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)などのセキュリティ機器を設置し、通信の監視や制御を行うことで外部からのサイバー攻撃を遮断する。
【0012】
こうした従前のセキュリティ対策は、保護すべきデータやシステムがネットワークの内側にあることを前提としている。しかし、クラウドが普及したことにより、外側であるインターネット上に保護すべきものがある状況が珍しくない。このように、守るべき対象がさまざまな場所に点在するようになったことで境界が曖昧になり、従来の考え方では十分な対策を講じることが難しくなりつつある。
【0013】
そこで広まっているのがゼロトラストの考え方である。ゼロトラストセキュリティサービスにおいては、すべての通信を信頼しないことを前提に、さまざまなセキュリティ対策を講じている。具体的には、ネットワークの内外に関わらない通信経路の暗号化や多要素認証の利用などによるユーザ認証の強化、ネットワークやそれに接続される各種デバイスの統合的なログ監視などが挙げられる。ゼロトラストを実現するためのセキュリティソリューションはすでに多数登場している。例えば、クライアント装置の監視とログの分析によりサイバー攻撃の早い検知と対処を可能にするEDRなどを設けることが行われている。
【0014】
このような状況下、従来、ログ情報を用いたインシデント管理が行われている。例えば、ログ情報を分析することで、インシデントの発生元、通信先、認証履歴等の情報から被害状況の把握を行っている。
【0015】
しかしながら、従来技術においては、コストを抑えつつ迅速なインシデント対応が困難であるという問題が存在する。例えば、インシデント発生時には、上位NW装置や下位NW装置などが記憶する発生元、通信先、認証履歴などの各ログ情報を収集し、インシデントの被害状況を正確に把握する必要があるところ、機器単位やID(identification)単位等により情報が統合されていないログ情報同士を突き合わせて分析を行わなければならず、多大な労力と時間が必要となる。また、早期の問題解決のためにコストを無視した対応がとられる場合がある。
【0016】
そこで、実施形態に係る情報処理装置100は、オーバレイネットワークを構成する装置である上位NW装置が記憶する不正な通信の情報であるセキュリティログと、クラウドサーバが記憶する認証ログと、アンダーレイネットワークを構成する装置である下位NW装置が記憶する通信ログとを取得する取得部121と、取得部121により取得された、通信ログに存在しない接続元IPアドレスが、認証ログに存在し、かつ、セキュリティログに、接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定部123と、特定部123により特定された不正な通信を遮断するよう指示する遮断指示部124とを有する。
【0017】
このような構成により、迅速なインシデント対応およびコスト低下の実現といった効果が得られる。
【0018】
また、情報処理装置100を含むシステムである情報処理システム1では、リモートワーク等の新しい働き方やIoT(Internet of Things)等の活用による新たな事業拡大によって一層複雑化、サイバーリスクの高まるICT(Information and Communication Technology)環境に対し、アンダーレイNWとオーバレイNWが連携して防御する、回線事業者(キャリア)ならではのゼロトラストセキュリティサービスを提供する。
【0019】
情報処理システム1は、オーバレイNWの機能とアンダーレイNWの機能が密接に連携したセキュアなNaaS(Network as a Service)型ICTサービスを提供する。この情報処理システム1のサービスを受ける企業は、IT(Information Technology)ベンダー委託にコストを費やしたり、NW設計に掛かるコストを掛けたりすることなく、管理ポータルサイトから申し込むことで、即時に、本情報処理システム1のサービスの開始、変更、解約が容易に可能となり、設計から運用の稼働に係るコストを削減することが可能である。
【0020】
また、情報処理システム1では、オーバレイNWとアンダーレイNWとを同一事業者が提供している。また、情報処理システム1を利用する利用者は、例えば、オーバレイNWのみを利用し、アンダーレイNWは他社を利用する等の柔軟な利用を可能とする。
【0021】
[情報処理装置の構成]
次に、図2を用いて、情報処理装置100の構成について説明する。図2が示すように、情報処理装置100は、通信部110と、制御部120と、記憶部130とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
次に、図2を用いて、情報処理装置100の構成について説明する。図2が示すように、情報処理装置100は、通信部110と、制御部120と、記憶部130とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
【0022】
通信部110は、NIC(Network Interface Card)等で実現され、LANやインターネットなどの電気通信回線を介した外部装置と制御部120の通信を可能とする。例えば、通信部110は、上位NW装置や下位NW装置と制御部120との通信を可能とする。
【0023】
記憶部130は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部130が記憶する情報としては、例えば、認証に関する情報(以下では、適宜「認証ログ」もしくは「クラウドログ」と記載する)、セキュリティに関する情報(以下では、適宜「セキュリティログ」と記載する)、通信に関する情報(以下では、適宜「通信ログ」もしくは「NWログ」と記載する)、不正な通信に関する情報、上位NW装置の情報、下位NW装置の情報、その他不正な通信の特定に必要な情報、その他不正な通信の遮断に必要な情報が含まれる。
【0024】
ここで、セキュリティログとは、例えば、上位NW装置が検知した不正な通信にかかるログである。認証ログとは、例えば、クラウドサーバが受け付けた認証要求にかかるログである。通信ログとは、例えば、下位NW装置である各ネットワーク機器のフローデータである。
【0025】
また、認証に関する情報には、例えば、認証が求められた日時、ID、接続元IPアドレス・ポート、認証結果といった情報が含まれる。また、セキュリティに関する情報には、例えば、クラウドプロキシで検知された不正な通信と疑われる不審な通信の検知日時、検知種別、接続先IPアドレス・ポート、接続元IPアドレス・ポートといった情報が含まれる。
【0026】
また、通信に関する情報には、例えば、各通信の日時、接続先IPアドレス・ポート、接続元IPアドレス・ポート、プロトコル、転送バイト数といった情報が含まれる。なお、記憶部130が記憶する情報は上記に記載した例に限定されない。
【0027】
制御部120は、CPU(Central Processing Unit)やNP(Network Processor)やFPGA(Field Programmable Gate Array)等を用いて実現され、メモリに記憶された処理プログラムを実行する。図2に示すように、制御部120は、取得部121と、出力部122と、特定部123と、遮断指示部124を有する。以下、制御部120が有する各部について説明する。
【0028】
取得部121は、上位NW装置が記憶する不正な通信の情報であるセキュリティログと、クラウドサーバが記憶する認証ログと、下位NW装置が記憶する通信ログとを取得する。例えば、取得部121は、上位NW装置が記憶するセキュリティログとして、検知日時、検知種別、接続先IPアドレス・ポート、接続元IPアドレス・ポートといった情報と、クラウドサーバが記憶する認証ログとして、日時、ID、接続元IPアドレス・ポート、認証結果といった情報と、下位NW装置が記憶する通信ログとして、日時、接続先IPアドレス・ポート、接続元IPアドレス・ポート、プロトコル、転送バイト数といった情報を取得する。
【0029】
出力部122は、取得部121により取得された、セキュリティログと、認証ログと、通信ログとを突合した情報を出力する。例えば、出力部122は、取得部121により取得された、認証に関する情報と、セキュリティに関する情報と、通信に関する情報とを、端末ごと、または、識別情報ごとに突合し、表示する。
【0030】
特定部123は、取得部121により取得された、認証に関する情報と、セキュリティに関する情報と、通信に関する情報とを用いて、不正な通信を特定する。例えば、特定部123は、通信に関する情報に存在しないIPアドレスが、認証に関する情報に存在し、かつ、セキュリティに関する情報に、当該IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する。ここで、許可されていないとは、アクセスを許可するIPアドレスとして設定されていないという意味である。
【0031】
例えば、特定部123は、取得部121により取得された情報のうち、通信に関する情報に存在しないIPアドレス「192.0.2.222」が、認証に関する情報に存在し、かつ、セキュリティに関する情報に、IPアドレス「192.0.2.222」からの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する。
【0032】
例えば、特定部123は、セキュリティログに含まれる接続元IPアドレスと、通信ログに含まれる接続元IPアドレスとを比較し、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一であるログ情報が通信ログに存在するか否かを判定し、セキュリティログに含まれる接続元IPアドレスと、認証ログに含まれる接続元IPアドレスとを比較し、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一であるログ情報が、認証ログに存在するか否かを判定し、判定の結果、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一のログ情報が、通信ログに存在せず、かつ、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一のログ情報が、認証ログが存在すると判定した場合には、セキュリティログに含まれる接続元IPアドレスのログ情報を不正な通信として特定する。
【0033】
より具体的には、特定部123は、例えば、まず、セキュリティログに含まれる接続元IPアドレスと、通信ログに含まれる接続元IPアドレスの情報とを比較し、セキュリティログに含まれる接続元IPアドレス「192.0.2.222」と接続元IPアドレスが同一のログ情報が、通信ログに存在するか否かを判定する。
【0034】
続いて、特定部123は、セキュリティログに含まれる接続元IPアドレスと、認証ログに含まれる接続元IPアドレスの情報とを比較し、セキュリティログに含まれる接続元IPアドレス「192.0.2.222」と接続元IPアドレスが同一のログ情報が、認証ログに存在するか否かを判定する。
【0035】
この結果、特定部123は、セキュリティログに含まれる接続元IPアドレス「192.0.2.222」と接続元IPアドレスが同一のログ情報が、通信ログに存在しないと判定し、セキュリティログに含まれる接続元IPアドレス「192.0.2.222」と接続元IPアドレスが同一のログ情報が、認証ログに存在すると判定した場合には、セキュリティログに含まれる接続元IPアドレス「192.0.2.222」のログ情報として「検知日時:2023/1/23 17:59:38、検知種別:ストレージサービスアクセス、接続先IP:Port:203.0.113.111:443、接続元IP:Port:192.0.2.222:11663」を不正な通信として特定する。
【0036】
遮断指示部124は、特定部123により特定された不正な通信を遮断するよう指示する。例えば、遮断指示部124は、特定部123により特定された不正な通信と紐づいた識別情報を用いて、不正な通信を遮断するよう指示する。例えば、遮断指示部124は、特定部123により特定された不正な通信と紐づいた識別情報(ID)「1234567」が示すアカウントが通信先または通信元となる通信を遮断するよう、外部装置(上位NW装置等)に指示することにより、不正な通信を遮断する。
【0037】
また、例えば、遮断指示部124は、特定部123により特定された不正な通信のIPアドレスの情報を用いて、不正な通信を遮断するよう指示してもよい。より具体的には、遮断指示部124は、特定部123により特定された不正な通信の接続先IPアドレス「203.0.113.111」への通信を遮断するよう、上位NW装置に指示してもよい。また、例えば、遮断指示部124は、特定部123により特定された不正な通信の接続元IPアドレス「192.0.2.222」からの通信を遮断するよう上位NW装置に指示してもよい。
【0038】
【0039】
取得部121は、上位NW装置が記憶する不正な通信の情報であるセキュリティログと、クラウドサーバが記憶する認証ログと、下位NW装置が記憶する通信ログとを取得する。図3の例では、取得部121は、セキュリティログ、認証ログ(クラウドログ)、通信ログ(NWログ)を取得する。ここで、セキュリティログは、上位NW装置のクラウドプロキシ等で検知された情報(例えば、許可されていないIPアドレスからの外部ストレージサービスへのアクセス等の不審な通信)のログであって、検知日時、検知種別、接続先IP:Port、接続元IP:Portといった情報を含む。認証ログは、認証情報のログであって、日時、ID、接続元IP:Port、認証結果といった情報を含む。また、通信ログは、アンダーレイNWの通信ログであって、日時、接続先IP:Port、接続元IP:Port、プロトコル、転送バイト数といった情報を含む。図4の例では、図4(1)が通信ログ、図4(2)がセキュリティログ、図4(3)が認証ログに対応する。
【0040】
そして、出力部122は、取得部121により取得された、クラウドログ、セキュリティログ、NWログの情報を突合して出力する。例えば、出力部122は、クラウドログ、セキュリティログ、NWログの情報をIPアドレスや識別情報ごとに突合して表示する。
【0041】
また、情報処理装置100は、各情報を用いて不正な通信を特定・遮断する。図4の例では、特定部123は、通信に関する情報としての通信ログ(図4(1))に存在しないIPアドレス「192.0.2.222」が、認証に関する情報としての認証ログ(図4(3))に存在し、かつ、セキュリティに関する情報としてのセキュリティログ(図4(2))に、当該IPアドレス「192.0.2.222」からの利用が許可されていないアクセスの情報が存在する場合に、不正ログインを疑い、当該アクセスの情報を不正な通信として特定する。
【0042】
続いて、特定部123による不正な通信の特定について、図5を用いて説明する。図5(1)は、セキュリティログに記録された情報を示す。図5(2)は、通信ログに記録された情報を示す。図5(3)は、認証ログに記録された情報を示す。
【0043】
例えば、特定部123は、まず、セキュリティログと通信ログとを比較し、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一である通信ログが存在するか否かを判定する。より具体的には、特定部123は、図5(1)に示す、セキュリティログに含まれる接続元IPアドレスと、図5(2)に示す、通信ログに含まれる接続元IPアドレスの情報とを比較し、セキュリティログに含まれる接続元IPアドレス「192.0.2.222」と接続元IPアドレスが同一の通信が、検知されたセキュリティログの情報の検知日時「2023/1/23 17:59:38」から一定期間内の通信ログに存在しないと判定する。
【0044】
続いて、特定部123は、セキュリティログと認証ログとを比較し、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一である認証ログが存在するか否かを判定する。より具体的には、特定部123は、図5(1)に示す、セキュリティログに含まれる接続元IPアドレスと、図5(3)に示す、認証ログに含まれる接続元IPアドレスの情報とを比較し、セキュリティログに含まれる接続元IPアドレス「192.0.2.222」と接続元IPアドレスが同一の通信が、検知されたセキュリティログの情報の検知日時「2023/1/23 17:59:38」から一定期間内の認証ログに存在すると判定する。
【0045】
そして、特定部123は、検知されたセキュリティログと接続元IPアドレスが同一の通信ログが存在せず、認証ログが存在する場合に、その検知された情報を不正な通信として特定する。より具体的には、特定部123は、図5(1)に示す、セキュリティログに含まれる接続元IPアドレス「192.0.2.222」と同一のログ情報が、図5(2)に示す、通信ログに存在せず、図5(3)に示す、セキュリティログに存在することから、図5(1)に示す、セキュリティログに含まれる接続元IPアドレス「192.0.2.222」のログ情報「検知日時:2023/1/23 17:59:38、検知種別:ストレージサービスアクセス、接続先IP:Port:203.0.113.111:443、接続元IP:Port:192.0.2.222:11663」を不正な通信として特定する。
【0046】
再び図4の説明に戻る。遮断指示部124は、特定部123により特定された不正な通信に紐づいたIDからの認証を許可しないよう上位NW装置に設定することにより、IDを凍結し、不正な通信を遮断するよう指示する。より具体的には、遮断指示部124は、図4(4)に示すように、特定部123により特定された不正な通信に紐づいたID「1234567」からの認証を許可しないよう上位NW装置に設定することにより、IDを凍結し、不正な通信の遮断を指示する。
【0047】
このように、情報処理装置100は、アンダーレイNWの通信ログには存在しないが、外部NWなどの異なる接続元IPアドレスからの認証ログが存在し、その接続元IPアドレスから利用を許可してない外部ストレージサービスへのアクセスをオーバレイNWにおける上位NW装置で検知した場合には、アンダーレイNWとは異なる場所からの不正ログインを疑い、アカウントのロックを実施する。
【0048】
また、このとき、遮断指示部124は、不正な通信の遮断の指示として、IDの凍結以外に、特定部123により特定された不正な通信のIPアドレスの情報を用いて、不正な通信を遮断するよう指示してもよい。より具体的には、遮断指示部124は、特定部123により特定された不正な通信の接続先IPアドレス「203.0.113.111」への通信を遮断するよう、上位NW装置に指示することにより、不正な通信の遮断を指示する。また、例えば、遮断指示部124は、特定部123により特定された不正な通信の接続元IPアドレス「192.0.2.222」からの通信を遮断するよう上位NW装置に指示することにより、不正な通信の遮断を指示する。
【0049】
ここで、出力部122による突合処理について図6を用いて説明する。図6では、認証ログとセキュリティログとの突合について示す。図6(1)~(4)は、図4(1)~(4)と同一である。図6の例を用いて説明すると、例えば、出力部122は、セキュリティログ(図6(2))に含まれる不正通信にかかる接続元IPアドレス(図6では、「接続元IP」と記載)「192.0.2.222」および検知日時「2023/1/23 17:59:38」を取得し、接続元IPアドレス「192.0.2.222」をキーとして、認証ログ(図6(3))の情報と突合する。そして、出力部122は、突合した結果、認証ログに含まれる接続元IPアドレス「192.0.2.222」に対応するID「1234567」と、認証が行われた認証日時「2023/1/23 17:59:30」との情報を抽出する。
【0050】
そして、出力部122は、図6(5)に示すように、抽出した各情報であるID「1234567」、接続元IPアドレス「192.0.2.222」、認証日時(図6では、「認証」と記載)「2023/1/23 17:59:30」、検知日時(図6では、「セキュリティ」と記載)「2023/1/23 17:59:38」をまとめて1つのレコードとして出力する。つまり、出力部122は、上記で説明した処理によって突合した情報を出力することにより、セキュリティログによる不正通信の検知結果と、認証ログによる認証結果とを比較して確認できる情報を出力することができ、システム管理者がインシデントの原因を分析する際の負担を軽減し、迅速なインシデント対応およびコスト低下を実現する。
【0051】
[フローチャート]
次に、図7を用いて、情報処理装置100による処理の流れについて説明する。なお、下記の各ステップは、異なる順序で実行することもでき、また、省略される処理があってもよい。
次に、図7を用いて、情報処理装置100による処理の流れについて説明する。なお、下記の各ステップは、異なる順序で実行することもでき、また、省略される処理があってもよい。
【0052】
まず、取得部121は、上位NW装置が記憶する不正な通信の情報であるセキュリティログと、クラウドサーバが記憶する認証ログと、下位NW装置が記憶する通信ログとを取得する(ステップS101)。例えば、取得部121は、上位NW装置が記憶するセキュリティログとして、検知日時、検知種別、接続先IPアドレス・ポート、接続元IPアドレス・ポートといった情報と、クラウドサーバが記憶する認証ログとして、日時、ID、接続元IPアドレス・ポート、認証結果といった情報と、下位NW装置が記憶する通信ログとして、日時、接続先IPアドレス・ポート、接続元IPアドレス・ポート、プロトコル、転送バイト数といった情報を取得する。
【0053】
次に、出力部122は、取得部121により取得された、認証に関する情報と、セキュリティに関する情報と、通信に関する情報とを突合した情報を出力する(ステップS102)。例えば、出力部122は、取得部121により取得された、認証に関する情報と、セキュリティに関する情報と、通信に関する情報とを、識別情報ごとに突合し、表示する。
【0054】
それから、特定部123は、セキュリティログの接続元IPアドレスと接続元IPアドレスが同一である通信ログが存在するか否かを判定する(ステップS103)。ここで、特定部123により、セキュリティログの接続元IPアドレスと接続元IPアドレスが同一である通信ログが存在する場合(ステップS103“YES”)、情報処理装置100は処理を終了する。
【0055】
他方、特定部123により、セキュリティログの接続元IPアドレスと接続元IPアドレスが同一である通信ログが存在しない場合(ステップS103“NO”)、特定部123は、セキュリティログの接続元IPアドレスと接続元IPアドレスが同一である認証ログが存在するか否かを判定する(ステップS104)。
【0056】
ここで、特定部123により、セキュリティログの接続元IPアドレスと接続元IPアドレスが同一である認証ログが存在しない場合(ステップS104“NO”)、情報処理装置100は処理を終了する。他方、特定部123により、セキュリティログの接続元IPアドレスと接続元IPアドレスが同一である認証ログが存在する場合(ステップS104“YES”)、特定部123は、取得部121により取得された、通信ログに存在しない接続元IPアドレスが、認証ログに存在し、かつ、セキュリティログに、接続元IPアドレスからの利用が許可されていないアクセスの情報が存在するとして、当該アクセスの情報を不正な通信として特定する(ステップS105)。
【0057】
そして、遮断指示部124は、特定部123により特定された不正な通信を遮断するよう指示する(ステップS106)。例えば、遮断指示部124は、特定部123により特定された不正な通信に含まれる識別情報を用いて、不正な通信を遮断するよう指示する。
【0058】
[効果]
実施形態に係る情報処理装置100は、オーバレイネットワークを構成する装置である上位NW装置が記憶する不正な通信の情報であるセキュリティログと、クラウドサーバが記憶する認証ログと、アンダーレイネットワークを構成する装置である下位NW装置が記憶する通信ログとを取得する取得部121と、取得部121により取得された、通信ログに存在しない接続元IPアドレスが、認証ログに存在し、かつ、セキュリティログに、接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定部123と、特定部123により特定された不正な通信を遮断するよう指示する遮断指示部124とを有する。
実施形態に係る情報処理装置100は、オーバレイネットワークを構成する装置である上位NW装置が記憶する不正な通信の情報であるセキュリティログと、クラウドサーバが記憶する認証ログと、アンダーレイネットワークを構成する装置である下位NW装置が記憶する通信ログとを取得する取得部121と、取得部121により取得された、通信ログに存在しない接続元IPアドレスが、認証ログに存在し、かつ、セキュリティログに、接続元IPアドレスからの利用が許可されていないアクセスの情報が存在する場合に、当該アクセスの情報を不正な通信として特定する特定部123と、特定部123により特定された不正な通信を遮断するよう指示する遮断指示部124とを有する。
【0059】
これにより、情報処理装置100は、各情報を収集・マージするため、インシデント発生時にも、ID単位やIPアドレス単位で通信先を迅速に把握することを可能とし、原因究明の精度と、対応・対策のスピードを飛躍的に向上させる。また、インシデント対応に必要となる人的コストを大幅に削減する。
【0060】
さらに、情報処理装置100は、収集・マージした情報から不正ログインが疑われるアクセス情報が存在する場合に、不正な通信として特定し、遮断することにより、各情報の分析および分析結果に対するアクションの検討に必要な時間と労力とを削減して、迅速なインシデント対応およびコスト低下を実現する。
【0061】
実施形態に係る情報処理装置100の特定部123は、セキュリティログに含まれる接続元IPアドレスと、通信ログに含まれる接続元IPアドレスとを比較し、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一であるログ情報が通信ログに存在するか否かを判定し、セキュリティログに含まれる接続元IPアドレスと、認証ログに含まれる接続元IPアドレスとを比較し、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一であるログ情報が、認証ログに存在するか否かを判定し、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一のログ情報が、通信ログに存在せず、かつ、セキュリティログに含まれる接続元IPアドレスと接続元IPアドレスが同一のログ情報が、認証ログに存在する場合には、セキュリティログに含まれる接続元IPアドレスのログ情報を不正な通信として特定する。
【0062】
これにより、情報処理装置100は、収集・マージした情報から不正ログインが疑われるアクセス情報が存在する場合に、そのアクセス情報の接続元IPアドレスの情報が通信ログに存在するか、認証ログに存在するかをそれぞれ判定し、認証ログにのみ存在する場合に、そのアクセス情報を不正な通信として特定し、遮断することにより、各情報の分析および分析結果に対するアクションの検討に必要な時間と労力とを削減して、迅速なインシデント対応およびコスト低下を実現する。
【0063】
実施形態に係る情報処理装置100は、取得部121により取得された、セキュリティログと、認証ログと、通信ログとを突合した情報を出力する出力部122を有する。
【0064】
これにより、情報処理装置100は、各装置から収集され突合された出力することで、システム管理者がインシデントの原因を分析する際の負担を軽減し、迅速なインシデント対応およびコスト低下を実現する。
【0065】
実施形態に係る情報処理装置100の遮断指示部124は、特定部123により特定された前記不正な通信に含まれる識別情報を用いて、不正な通信を遮断するよう指示する。
【0066】
これにより、情報処理装置100は、不正な通信のIDからの認証を不許可にする等の対策を行うことで、迅速なインシデント対応およびコスト低下を実現する。
【0067】
[プログラム]
上記実施形態において説明した情報処理装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
上記実施形態において説明した情報処理装置100が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
【0068】
図8は、情報処理プログラムを実行するコンピュータの一例を示す図である。図8に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
【0069】
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
【0070】
ここで、図8に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
【0071】
また、情報処理プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したコンピュータ1000が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。
【0072】
また、情報処理プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
【0073】
なお、情報処理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【0074】
[その他]
様々な実施形態を、図面を参照して、本明細書で詳細に説明したが、これらの複数の実施形態は例であり、本発明をこれらの複数の実施形態に限定することを意図するものではない。本明細書に記載された特徴は、当業者の知識に基づく様々な変形や改良を含む、様々な方法によって実現され得る。
様々な実施形態を、図面を参照して、本明細書で詳細に説明したが、これらの複数の実施形態は例であり、本発明をこれらの複数の実施形態に限定することを意図するものではない。本明細書に記載された特徴は、当業者の知識に基づく様々な変形や改良を含む、様々な方法によって実現され得る。
【0075】
また、上述した「部(module、-er接尾辞、-or接尾辞)」は、ユニット、手段、回路などに読み替えることができる。例えば、通信部(communication module)、制御部(control module)および記憶部(storage module)は、それぞれ、通信ユニット、制御ユニットおよび記憶ユニットに読み替えることができる。
【符号の説明】
【0076】
1 情報処理システム
100 情報処理装置
110 通信部
120 制御部
121 取得部
122 出力部
123 特定部
124 遮断指示部
130 記憶部
100 情報処理装置
110 通信部
120 制御部
121 取得部
122 出力部
123 特定部
124 遮断指示部
130 記憶部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】