ホーム > 特許ランキング > トヨタ自動車株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2025062920
(43)【公開日】2025-04-15
(54)【発明の名称】通信システム、制御装置、及び、通信方法
(51)【国際特許分類】
H04L 12/22 20060101AFI20250408BHJP
H04L 12/66 20060101ALI20250408BHJP
H04W 12/122 20210101ALI20250408BHJP
【FI】
H04L12/22
H04L12/66
H04W12/122
【審査請求】未請求
【請求項の数】20
【出願形態】OL
(21)【出願番号】P 2023172288
(22)【出願日】2023-10-03
(71)【出願人】
【識別番号】000003207
【氏名又は名称】トヨタ自動車株式会社
(74)【代理人】
【識別番号】110002860
【氏名又は名称】弁理士法人秀和特許事務所
(72)【発明者】
【氏名】岡田 和也
(72)【発明者】
【氏名】金子 直矢
(72)【発明者】
【氏名】邵 校
(72)【発明者】
【氏名】馬 じん
(72)【発明者】
【氏名】朝岡 拓也
【テーマコード(参考)】
5K030
5K067
【Fターム(参考)】
5K030GA15
5K030HA08
5K030JA10
5K030JA11
5K030LC13
5K067EE02
5K067EE16
(57)【要約】
【課題】ネットワークへの攻撃を従来よりも広範で確実に把握し、攻撃に適切に対応する。
【解決手段】通信システムは、通信装置に通信ネットワークを提供する。本通信システムは、制御装置を備える。本制御装置は、通信システムの外部の組織から、前記通信ネットワークを利用する前記通信装置に対する脅威に関する脅威情報を受け付ける処理と、受け付けた前記脅威情報を基に前記通信装置を防御する防御処理と、を実行する。
【選択図】図5
【解決手段】通信システムは、通信装置に通信ネットワークを提供する。本通信システムは、制御装置を備える。本制御装置は、通信システムの外部の組織から、前記通信ネットワークを利用する前記通信装置に対する脅威に関する脅威情報を受け付ける処理と、受け付けた前記脅威情報を基に前記通信装置を防御する防御処理と、を実行する。
【選択図】図5
【特許請求の範囲】
【請求項1】
通信装置に通信ネットワークを提供する通信システムであって、
前記通信システムの外部の組織から、前記通信ネットワークを利用する前記通信装置に対する脅威に関する脅威情報を受け付ける受付処理と、
受け付けた前記脅威情報を基に前記通信装置を防御する防御処理と、を実行する制御装置を備える通信システム。
前記通信システムの外部の組織から、前記通信ネットワークを利用する前記通信装置に対する脅威に関する脅威情報を受け付ける受付処理と、
受け付けた前記脅威情報を基に前記通信装置を防御する防御処理と、を実行する制御装置を備える通信システム。
【請求項2】
前記制御装置は、前記通信システムに接続中の前記通信装置に対して一律に前記防御処理を実行する請求項1に記載の通信システム。
【請求項3】
前記脅威情報は、前記脅威による攻撃の対象となる特定通信装置を特定する情報を有し、
前記制御装置は、前記特定通信装置に対して前記防御処理を実行する請求項1に記載の通信システム。
前記制御装置は、前記特定通信装置に対して前記防御処理を実行する請求項1に記載の通信システム。
【請求項4】
前記特定通信装置は、車両に搭載される装置であり、
前記特定する情報は、前記車両を特定する情報を含む請求項3に記載の通信システム。
前記特定する情報は、前記車両を特定する情報を含む請求項3に記載の通信システム。
【請求項5】
前記通信ネットワークは、5Gコアネットワークを含み、
前記制御装置は、前記5Gコアネットワークに設けられるNetwork Exposure Function
(NEF)を利用して前記脅威に関する前記脅威情報を受け付ける請求項1に記載の通信システム。
前記制御装置は、前記5Gコアネットワークに設けられるNetwork Exposure Function
(NEF)を利用して前記脅威に関する前記脅威情報を受け付ける請求項1に記載の通信システム。
【請求項6】
前記通信ネットワークは、5Gコアネットワークを含み、
前記制御装置は、前記5Gコアネットワークに設けられるNetwork Exposure Function
(NEF)を介さないで直接前記脅威に関する前記脅威情報を受け付ける請求項1に記載の通信システム。
前記制御装置は、前記5Gコアネットワークに設けられるNetwork Exposure Function
(NEF)を介さないで直接前記脅威に関する前記脅威情報を受け付ける請求項1に記載の通信システム。
【請求項7】
前記制御装置は、前記5Gコアネットワークに設けられるPolicy Control Function(
PCF)を通じて、User Plane Function(UPF)において前記防御処理を実行する請
求項5に記載の通信システム。
PCF)を通じて、User Plane Function(UPF)において前記防御処理を実行する請
求項5に記載の通信システム。
【請求項8】
前記制御装置は、前記脅威情報の形式が前記防御処理を実行な形式とは異なる場合に、前記防御処理を実行な形式に前記脅威情報の形式を変換すること、または、前記脅威情報に対応して前記UPFにおいて実行する前記防御処理を特定することを実行し、
さらに、前記変換された形式の前記脅威情報に対応する前記防御処理または前記特定された前記防御処理を前記UPFにおいて実行する請求項7に記載の通信システム。
さらに、前記変換された形式の前記脅威情報に対応する前記防御処理または前記特定された前記防御処理を前記UPFにおいて実行する請求項7に記載の通信システム。
【請求項9】
前記制御装置は、前記通信ネットワークに接続されるルータ、または前記通信ネットワークに接続されるセキュリティ装置に対して前記防御処理を実行する請求項1に記載の通信システム。
【請求項10】
前記制御装置は、前記脅威情報の形式が前記防御処理を実行な形式とは異なる場合に、前記防御処理を実行な形式に前記脅威情報の形式を変換すること、または、前記脅威情報に対応して前記ルータまたは前記セキュリティ装置において実行する前記防御処理を特定することを実行し、
さらに、前記変換された形式の前記脅威情報に対応する前記防御処理または前記特定された前記防御処理を前記ルータまたは前記セキュリティ装置において実行する請求項9に記載の通信システム。
さらに、前記変換された形式の前記脅威情報に対応する前記防御処理または前記特定された前記防御処理を前記ルータまたは前記セキュリティ装置において実行する請求項9に記載の通信システム。
【請求項11】
前記通信装置のユーザと前記通信システムを管理する事業者との契約に基づく契約データを記憶する記憶装置を有し、
前記制御装置は、複数の前記通信装置のうち、前記契約データを基に前記防御処理を適用する前記通信装置を決定する請求項1に記載の通信システム。
前記制御装置は、複数の前記通信装置のうち、前記契約データを基に前記防御処理を適用する前記通信装置を決定する請求項1に記載の通信システム。
【請求項12】
前記制御装置は、前記通信システムの外部に接続された情報処理環境に前記通信装置または前記通信装置を搭載した移動体内の環境を模倣した模擬受信システムを作成し、前記通信システムが提供する前記通信ネットワークの内外からの攻撃を模擬受信システムに誘導する請求項1に記載の通信システム。
【請求項13】
前記通信ネットワークは、5Gコアネットワークを含み、
前記制御装置は、前記5Gコアネットワークに設けられる請求項1に記載の通信システム。
前記制御装置は、前記5Gコアネットワークに設けられる請求項1に記載の通信システム。
【請求項14】
前記通信ネットワークは、5Gコアネットワークを含み、
前記制御装置は、前記5Gコアネットワークに接続されるApplication Function(AF)として設けられる請求項1に記載の通信システム。
前記制御装置は、前記5Gコアネットワークに接続されるApplication Function(AF)として設けられる請求項1に記載の通信システム。
【請求項15】
通信装置に通信ネットワークを提供する通信システムの制御装置であって、
前記通信システムの外部の組織から、前記通信ネットワークを利用する前記通信装置に対する脅威に関する脅威情報を受け付ける受付処理と、
受け付けた前記脅威情報を基に前記通信装置を防御する防御処理と、を実行する制御装置。
前記通信システムの外部の組織から、前記通信ネットワークを利用する前記通信装置に対する脅威に関する脅威情報を受け付ける受付処理と、
受け付けた前記脅威情報を基に前記通信装置を防御する防御処理と、を実行する制御装置。
【請求項16】
通信装置に通信ネットワークを提供する通信システムにおける通信方法であって、
前記通信システムの外部の組織から、前記通信ネットワークを利用する前記通信装置に対する脅威に関する脅威情報を受け付ける受付処理と、
受け付けた前記脅威情報を基に前記通信装置を防御する防御処理と、を実行する通信方法。
前記通信システムの外部の組織から、前記通信ネットワークを利用する前記通信装置に対する脅威に関する脅威情報を受け付ける受付処理と、
受け付けた前記脅威情報を基に前記通信装置を防御する防御処理と、を実行する通信方法。
【請求項17】
前記脅威情報は、前記脅威による攻撃の対象となる特定通信装置を特定する情報を有し、
前記特定通信装置に対して前記防御処理を実行する請求項16に記載の通信方法。
前記特定通信装置に対して前記防御処理を実行する請求項16に記載の通信方法。
【請求項18】
前記特定通信装置は、車両に搭載される装置であり、
前記特定する情報は、前記車両を特定する情報を含む請求項17に記載の通信方法。
前記特定する情報は、前記車両を特定する情報を含む請求項17に記載の通信方法。
【請求項19】
前記通信ネットワークは、5Gコアネットワークを含み、
前記受付処理では、前記5Gコアネットワークに設けられるNetwork Exposure Function(NEF)を利用して前記脅威に関する前記脅威情報が受け付けられる請求項16に記
載の通信方法。
前記受付処理では、前記5Gコアネットワークに設けられるNetwork Exposure Function(NEF)を利用して前記脅威に関する前記脅威情報が受け付けられる請求項16に記
載の通信方法。
【請求項20】
前記通信システムの外部に接続された情報処理環境に前記通信装置または前記通信装置を搭載した移動体内の環境を模倣した模擬受信システムを作成し、前記通信システムが提供する前記通信ネットワークの内外からの攻撃を模擬受信システムに誘導することをさらに実行する請求項16に記載の通信方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、通信システム、制御装置、及び、通信方法に関するものである。
【背景技術】
【0002】
今日、5G(5th Generation)、5G Evolution、さらに6G(6th Generation)に例示されるように、通信システムの高度化が期待されている。しかし、通信システムが高度化されても、外部からの通信信号がネットワークに与える影響は無視できない。そこで、例えば、従来の技術として、正常な通信信号を少なくとも1つ含んだ正常コールフロー(正常信号群)の特徴量、及び、異常な通信信号を少なくとも1つ含んだ異常コールフロー(異常信号群)を判定するシステムが提案されている。ここで、異常コールフローとは、外部からの攻撃に係る信号を含む既知の攻撃コールフローである。このシステムは、正常コールフローと異常コールフローとを予め学習させた学習モデル(学習データ)と、前処理部によって抽出された判定対象コールフローの特徴量とに基づき、判定対象コールフローが未知のコールフローである未知コールフロー(未知信号群)であるか否かを判定する。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2020-025220号公報
【特許文献2】特開2020-174391号公報
【非特許文献】
【0004】
【非特許文献1】3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Procedures for the 5G System (5GS);Stage 2(Release 18)3GPP(登録商標) TS 23.502 V18.2.0 (2023-06)
【非特許文献2】3rd Generation Partnership Project; Technical Specification Group Services and System Aspects;5G System Enhancements for Edge Computing; Stage 2(Release 18) 3GPP(登録商標) TS 23.548 V18.3.0 (2023-09)
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、通信システムが高度化され、通信システムが提供する通信ネットワークが複雑化すると、例えば、通信ネットワークを管理する通信システム単独で、通信ネットワークへの攻撃に係る信号を特定することは容易ではない。
【0006】
本開示の実施の形態の課題は、通信ネットワークへの攻撃を従来よりも広範で確実に把握し、攻撃に適切に対応することである。
【課題を解決するための手段】
【0007】
開示の実施形態は、通信装置に通信ネットワークを提供する通信システムによって例示される。本通信システムは、制御装置を備える。本制御装置は、通信システムの外部の組織から、前記通信ネットワークを利用する前記通信装置に対する脅威に関する脅威情報を受け付ける処理と、受け付けた前記脅威情報を基に前記通信装置を防御する防御処理と、を実行する。
【発明の効果】
【0008】
本通信システムによれば、通信システムが提供する通信ネットワークへの攻撃を従来よりも広範で確実に把握し、攻撃に適切に対応することができる。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
以下、図面を参照して、本開示の実施形態に係る通信システム、制御装置、及び、通信方法が説明される。以下の各実施形態は説明のための例示に過ぎず、本開示は実施形態の構成に限定されない。例えば、以下では、本開示を第5世代移動通信システムに適用した例を説明するが、本開示は、第4世代のあるいは第5世代以降の移動通信システムに適用されてもよい。本開示は、また、3GPP(登録商標)以外によって規定される移動通信システムに適用されてもよいし、移動通信システム以外の任意の無線通信システムあるいは有線通信システムに適用されてもよい。
【0011】
本通信システムは、通信装置に通信ネットワークを提供する。本通信システムは、通信システムの外部の組織から、通信ネットワークを利用する通信装置に対する脅威に関する脅威情報を受け付ける処理と、受け付けた脅威情報を基に通信装置を防御する防御処理と、を実行する制御装置を備える。また、本通信システムは、例えば、図1に例示するNEF11e(Network Exposure Function)という機能を有し、通信システムから外部に提供
される機能を公開する。また、NEF11eは、外部のアプリケーションサーバ等から、本通信システムへの情報の提供を受ける。脅威情報は、通信ネットワークに対するサイバー攻撃に関する情報、通信ネットワークの脆弱性等に関する情報を含む。サイバー攻撃とは、一般的には、情報処理装置または端末等への攻撃をいう。本実施形態では、主として、通信ネットワークに接続する通信装置(図1のUE2)に対する攻撃を例に説明がされる。
される機能を公開する。また、NEF11eは、外部のアプリケーションサーバ等から、本通信システムへの情報の提供を受ける。脅威情報は、通信ネットワークに対するサイバー攻撃に関する情報、通信ネットワークの脆弱性等に関する情報を含む。サイバー攻撃とは、一般的には、情報処理装置または端末等への攻撃をいう。本実施形態では、主として、通信ネットワークに接続する通信装置(図1のUE2)に対する攻撃を例に説明がされる。
【0012】
本通信システムの外部の組織は、例えば、本通信システムに接続され、アプリケーションサーバと呼ばれるコンピュータを利用する。アプリケーションサーバは、例えば、上記のNEF11eを介して、または、NEF11eを介さないで直接制御装置に脅威情報を提供する。本制御装置は、受け付けた脅威情報を基に通信装置を防御する防御処理を実行する。ここで、脅威情報は、ネットワークへの攻撃者90(例えば、図5参照)を特定するための情報を含む。なお、以下の各実施形態において、「攻撃者」とは脅威となる攻撃
のパケットあるいは攻撃のトラフィックの送信元の通信装置、情報処理装置等をいう。また、脅威情報は、攻撃者90が攻撃の対象とする通信装置、例えば、UE2(User Equipment、図1参照)と呼ばれるものを特定する情報、または、UE2を搭載した移動体等を特定する情報を含んでもよい。
のパケットあるいは攻撃のトラフィックの送信元の通信装置、情報処理装置等をいう。また、脅威情報は、攻撃者90が攻撃の対象とする通信装置、例えば、UE2(User Equipment、図1参照)と呼ばれるものを特定する情報、または、UE2を搭載した移動体等を特定する情報を含んでもよい。
【0013】
本通信システムの特徴は、通信システムの外部の組織から受け付けた脅威情報を基に、通信ネットワークを利用する通信装置(UE2)に防御処理を実行できる点にある。すなわち、本通信システムは、本通信システムが単独で有する情報のみではなく、外部の組織からの脅威情報を有効に活用し、本通信システムが提供する通信ネットワークを利用する通信装置を攻撃から防御できる。
【0014】
<第1実施形態>(通信システムの構成)
以下、図面に基づいて、第1実施形態が説明される。図1は、第5世代移動通信システム(5G網、5GNW(Network)とも呼ばれる)を構成するコンポーネント(構成要素
)を例示する。図1において、UE2は、ユーザ(加入者)の端末である。RAN(Radio Access Network)3は、5Gコアネットワーク(5GC)へのアクセス網である。RAN3は、基地局(gNB(next Generation Node B))によって構成される。
以下、図面に基づいて、第1実施形態が説明される。図1は、第5世代移動通信システム(5G網、5GNW(Network)とも呼ばれる)を構成するコンポーネント(構成要素
)を例示する。図1において、UE2は、ユーザ(加入者)の端末である。RAN(Radio Access Network)3は、5Gコアネットワーク(5GC)へのアクセス網である。RAN3は、基地局(gNB(next Generation Node B))によって構成される。
【0015】
5G網は、5Gコアネットワーク(5GC)及びアクセス網((R)AN)を有し、5G網には、UE2、DN(Data Network)5、及びAF(Application Function)12が接続されている。また、5GCは、太字で示される、NF11a~11k、11nを有する。NF11a~11k、11nの夫々は、1又は2以上のコンピュータ(情報処理装置)がプログラムを実行することによって実現される機能である。ただし、単一のコンピュータがNF11a~11k、11nのいずれか2以上を実現してもよい。なお、本実施形態において、5GCの構成要素は、総称としてはNF11(Network Function)と呼ばれる。また、5GCの構成要素は、個別にはNEF11e等のように呼ばれる。図1では、各構成要素に、総称の符号とともに()内に個別の符号が付されている。5GCは、通信システムの一例ということができる。
【0016】
上述のように、5GCは、NF11と呼ばれる所定の機能を有するコンポーネントの集合によって構成される。図1には、5GCを構成するNF11として、以下が図示されている。図1では太線の矩形で示す。
UPF(User Plane Function)11a
AMF(Access and Mobility Management Function)11b
SMF(Session Management Function)11c
PCF(Policy Control Function)11d
NEF(Network Exposure Function)11e
NRF(Network Repository Function)11g
NSSF(Network Slice Selection Function)11h
AUSF(Authentication Server Function)11i
UDM(Unified Data Management)11j
NWDAF(Network Data Analytics Function)11k
セキュリティ連携部11n
本実施形態では、UE2が送受信するユーザプレーンのパケットはユーザパケットと呼ばれる。UPF11aは、ユーザパケットのルーティング及び転送、パケット検査、QoS処理を行う。AMF11bは、5GCにおけるUE2の在圏収容装置である。AMF11bは、RAN3を収容し、加入者認証制御、UE2の位置(モビリティ)管理などを行う。
UPF(User Plane Function)11a
AMF(Access and Mobility Management Function)11b
SMF(Session Management Function)11c
PCF(Policy Control Function)11d
NEF(Network Exposure Function)11e
NRF(Network Repository Function)11g
NSSF(Network Slice Selection Function)11h
AUSF(Authentication Server Function)11i
UDM(Unified Data Management)11j
NWDAF(Network Data Analytics Function)11k
セキュリティ連携部11n
本実施形態では、UE2が送受信するユーザプレーンのパケットはユーザパケットと呼ばれる。UPF11aは、ユーザパケットのルーティング及び転送、パケット検査、QoS処理を行う。AMF11bは、5GCにおけるUE2の在圏収容装置である。AMF11bは、RAN3を収容し、加入者認証制御、UE2の位置(モビリティ)管理などを行う。
【0017】
SMF11cは、PDU(Protocol Data Unit)セッションを管理し、QoS(Qualit
y of Service)制御及びポリシー制御の実施のためにUPF11aを制御する。PDUセッションは、UE2とDN5との間でデータのやり取りを行うための仮想的な通信路である。DN5は、5GC外部のデータネットワーク(インターネット等)である。
y of Service)制御及びポリシー制御の実施のためにUPF11aを制御する。PDUセッションは、UE2とDN5との間でデータのやり取りを行うための仮想的な通信路である。DN5は、5GC外部のデータネットワーク(インターネット等)である。
【0018】
PCF11dは、SMF11cと連携し、QoS制御、ポリシー制御、課金制御などを行う。QoS制御では、パケットの優先転送などの通信の品質の制御が行われる。ポリシー制御では、ネットワーク或いは加入者情報に基づくQoS、パケット転送可否、課金などの通信制御が行われる。
【0019】
NEF11eは、AF12、または、5GC外部のノードと3GPP(登録商標)のNF11との通信を仲介する役割を果たす。例えば、NEF11eは、各NF11の機能とイベントをサードパーティ、AF12、エッジコンピュータ等に安全に公開する。また、NEF11eは、5GCの内部情報と外部情報との変換を行う。NEF11eは、例えば、AF12によって取り扱われる情報と5GCの各NF11によって取り扱われる情報を変換する。例えば、NEF11eは、AF12におけるサービス識別子と5GC内部情報とを変換する。
【0020】
AF12は、ユーザにサービスを提供するために5GCと相互作用する要素であり、例えば、外部アプリケーションサーバと呼ばれる。5G網のオペレータによって信頼されていると考えられるAF12は、5GCの関連するNF11に直接アクセスできる。5GCの関連するNF11に直接アクセスすることが許可されていないAF12は、5GCのネットワーク機能にアクセスするために、NEF11eを介して外部公開されたインタフェースを利用する。
【0021】
情報源AF12aは、AF12の1つである。情報源AF12aは、例えば、5GC外部の組織からアクセス可能なアプリケーションサーバである。情報源AF12aは、通信システムである5GC外部の組織から、通信ネットワークを利用する通信装置であるUE2等に対するサイバー攻撃等に関する情報を受け付ける。5GC外部の組織としては、例えば、5GCを運用する通信ネットワークオペレータ外部のCERT(Computer Emergency Response Team)、米国NIST(NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY)、JPCERT/CC(Japan Computer Emergency Response Team / Coordination Center)、産業ISAC(Information Sharing and Analysis Center)、個別端末メーカ、移
動体の製造元事業者、販売元事業者、OEM(Original Equipment Manufacturer)等が
例示される。
動体の製造元事業者、販売元事業者、OEM(Original Equipment Manufacturer)等が
例示される。
【0022】
情報源AF12aは、例えば、5GC外部の組織に設けられる。または、情報源AF12aは、5GC外部の組織からアクセス可能に5GC外部の組織のコンピュータに接続される。情報源AF12aは、5GC外部の組織からの脅威情報(STIX(Structured Threat Information eXpression)などの形式)をセキュリティ連携部11nに提供する。
【0023】
本実施形態では、情報源AF12aからNEF11eまたはセキュリティ連携部11nに提供される脅威情報は、例えば、要求/応答モデルで提供される。例えば、情報源AF12aは、NEF11eまたはセキュリティ連携部11nに脅威情報の提供の要求メッセージを送信する。そして、NEF11eまたはセキュリティ連携部11nが脅威情報を受け取ると、応答メッセージを情報源AF12aに返す。
【0024】
ただし、情報源AF12aからNEF11eまたはセキュリティ連携部11nに提供される脅威情報は、例えば、サブスクライブ/通知モデルで提供されてもよい。すなわち、NEF11eまたはセキュリティ連携部11nは、情報源AF12aにサブスクライブのメッセージを送信しておく。そして、情報源AF12aは、脅威情報が更新されるなどの
トリガ条件が満たされると、NEF11eまたはセキュリティ連携部11nに通知を送信する。すると、NEF11eまたはセキュリティ連携部11nは、情報源AF12aにアクセスして脅威情報を取得すればよい。
トリガ条件が満たされると、NEF11eまたはセキュリティ連携部11nに通知を送信する。すると、NEF11eまたはセキュリティ連携部11nは、情報源AF12aにアクセスして脅威情報を取得すればよい。
【0025】
本実施形態では、情報源AF12aから提供される脅威情報に対応するため、セキュリティ連携部11nがNF11の1つとして設けられる。ただし、セキュリティ連携部11nがAF12の1つとして設けられてもよい。情報源AF12aは制御装置の一例である。セキュリティ連携部11nは、例えば、車両の製造元事業者(または販売元事業者)からの脅威情報を受けた場合、通信ネットワークに接続している当該製造元が製造した車両に搭載されるUE2のすべてに対して、攻撃への防御処理を実行してもよい。また、セキュリティ連携部11nは、通信ネットワークに接続している車両であって、当該製造元が製造した車両のうち、特定の車種に搭載されるUE2に限定して防御処理を実行してもよい。ここで、防御処理は、例えば、脅威情報に基づき、脅威となるパケットまたはトラフィックをフィルタリングする処理、所定の緩和値を超過したトラフィックを緩和し、異常パケットを破棄する処理、および攻撃を解析する処理等を含む。
【0026】
セキュリティ連携部11nは、脅威情報に基づく攻撃に対して通信ネットワークで一括して防御処理を実施することで、通信ネットワーク内で統一的かつ迅速に、当該脅威に対応可能となる。セキュリティ連携部11nは、CERT/NISTから提供される情報により、UE2のメーカ等を問わず通信ネットワーク全体で、脅威となるパケットあるいはトラフィックの遮断、もしくは緩和措置を適用する。また、セキュリティ連携部11nは、例えば、CVSSスコア10の脆弱性、すなわち、深刻度が「緊急」であることが公開された情報などにも対応する。例えば、セキュリティ連携部11nは、脆弱であることが判明した対象のコンピュータプログラム等を搭載するUE2等を選択し、当該UE2が接続するUPF11aにおいて通信ネットワークで一括して防御処理を適用する。
【0027】
セキュリティ連携部11nは、制御装置の一例である。すなわち、本通信システムは、通信装置に通信ネットワークを提供する通信システムであって、制御装置として、セキュリティ連携部11nを備える。セキュリティ連携部11nは、通信システムの外部の組織から、通信ネットワークを利用する通信装置(UE2)に対する脅威に関する脅威情報を受け付ける処理と、受け付けた脅威情報を基に通信装置を防御する防御処理と、を実行する。ここで、脅威情報は、例えば、シグネチャと呼ばれる、各種攻撃の特徴を記したデータを含んでもよい。
【0028】
NRF11gは、5GC内におけるNF11(例えば、AMF11b、SMF11c、UPF11aなど)の情報を記憶及び管理している。NRF11gは、使用を所望するNF11に係る問い合わせに対して、複数のNF11の候補を問い合わせ元に返信することができる。
【0029】
NSSF11hは、ネットワークスライシングによって生成されたネットワークスライスの中から、加入者が使用するネットワークスライスを選択する機能を有する。ネットワークスライスは、用途に応じたスペックを有する仮想のネットワークである。
【0030】
AUSF11iは、AMF11bの制御下で加入者認証を行う加入者認証用サーバである。UDM11jは、加入者関連情報を保持し、または、管理する。加入者関連情報は契約データの一例ということができる。契約データは、例えば、通信装置(UE2)のユーザと通信システムを管理する事業者(オペレータ、MNO(Mobile Network Operator)
ともいう)との契約に基づく情報である。UDM11jは、加入者関連情報の各NF11への提供、或いは、UE2の状態の取得、登録、削除、変更を行う。
ともいう)との契約に基づく情報である。UDM11jは、加入者関連情報の各NF11への提供、或いは、UE2の状態の取得、登録、削除、変更を行う。
【0031】
NWDAF11kは、各NF11、OAM(Operations,Administration,and Maintenance)端末などからのデータ収集、解析を行う機能を有している。ここで、OAM端末
は、ネットワーク(5GC)の運用・管理・保守を行う。すなわち、NWDAF11kは、ネットワークの分析情報を提供するNF11である。
は、ネットワーク(5GC)の運用・管理・保守を行う。すなわち、NWDAF11kは、ネットワークの分析情報を提供するNF11である。
【0032】
DN5は、通信システム外部のネットワーク、例えば、インターネットである。DN5は、UPF11aの1つを介して本通信システム(5GC)が提供する通信ネットワークに接続される。なお、UPF11aは、多段構成を取ることができる。DN5に接続される最終段のUPF11aは、PSA UPF(PDU Session Anchor User Plane Function)と呼ばれる。また、RAN3とPSA UPFの間に設けられるUPF11aはI(Intermediary) UPFと呼ばれる。
【0033】
図1の例では、DN5には、セキュリティ装置51、ルータ52、情報源EAS(Edge
Application Server)50が接続される。セキュリティ装置51は、例えば、ファイア
ウォールが構築されたコンピュータである。情報源EAS50は、脅威情報を通信システムのセキュリティ連携部11nに通知するDN5上のコンピュータである。ただし、セキュリティ装置51、ルータ52は、AF12の1つであってもよい。なお、情報源EAS50のアプリケーションプログラムがNEF11eまたはセキュリティ連携部11nに脅威情報を提供する場合には、AF12の1つを介して脅威情報が提供される。そこで、以下の各実施形態では、脅威情報の提供は、情報源AF12aによるものとして説明がなされる。
Application Server)50が接続される。セキュリティ装置51は、例えば、ファイア
ウォールが構築されたコンピュータである。情報源EAS50は、脅威情報を通信システムのセキュリティ連携部11nに通知するDN5上のコンピュータである。ただし、セキュリティ装置51、ルータ52は、AF12の1つであってもよい。なお、情報源EAS50のアプリケーションプログラムがNEF11eまたはセキュリティ連携部11nに脅威情報を提供する場合には、AF12の1つを介して脅威情報が提供される。そこで、以下の各実施形態では、脅威情報の提供は、情報源AF12aによるものとして説明がなされる。
【0034】
図2に脅威情報の構成を例示する。本実施形態では、脅威情報は、ヘッダとボディを有する。ただし、脅威情報が図2の形式に限定される訳ではない。なお、脅威情報は、STIX言語等の文法にしたがって文字列で記述さてもよい。ただし、脅威情報は、バイナリ形式のデータであってもよい。
【0035】
ヘッダは、例えば、プロトコル、送信元IPアドレス、送信元ポート番号、宛先IPアドレス、宛先ポート番号、パケットの方向等のうち、少なくとも1つの情報を含んでもよい。セキュリティ連携部11nは、図2で例示される情報によって、脅威となる監視対象のパケットあるいはトラフィイクを特定する。
【0036】
プロトコルは、脅威情報を基に監視される対象となるパケットが授受されるプロトコルである。送信元IPアドレスは、パケットの送信元、すなわち、攻撃者90のIPアドレスである。送信元ポート番号は、パケットが送信されたポート番号である。宛先IPアドレスと宛先ポート番号は、パケットの宛先を特定するIPアドレスおよびポート番号である。パケットの方向は、監視される対象となるパケットが送信される方向であり、例えば、送信元から宛先への方向、または、宛先から送信元への方向が指定される。また、ヘッダに記載される情報は、それぞれ個別に省略することが可能である。これらのいずれかの情報が省略された場合には、セキュリティ連携部11nは、例えば、省略された情報に対して「すべて」が指定されたものと解釈すればよい。例えば、宛先IPアドレスが省略された場合には、すべての宛先が監視対象となる。
【0037】
ボディには、攻撃者90を特定する追加情報が設定される。攻撃者90を特定する追加情報は、たとえば、パケット内のデータの指定、フローの状態、通信のアプリケーションを特定する情報、パケットのヘッダ情報、アプリケーション(HTTP等)のヘッダ情報の少なくとも1つを含む。ただし、攻撃者90を特定する追加情報のいずれか、またはすべてが省略されてもよい。
【0038】
パケット内のデータの指定は、例えば、監視対象のパケットに含まれるデータが指定さ
れる。監視対象のパケットに含まれるデータは、例えば、文字列情報である。また、監視対象のパケットに含まれるデータは、バイナリデータ(ビットパターン)であってもよい。バイナリデータ(ビットパターン)は、例えば、16進数で指定されてもよい。
れる。監視対象のパケットに含まれるデータは、例えば、文字列情報である。また、監視対象のパケットに含まれるデータは、バイナリデータ(ビットパターン)であってもよい。バイナリデータ(ビットパターン)は、例えば、16進数で指定されてもよい。
【0039】
フローの状態は、例えば、TCP(Transmission Control Protocol)のコネクション
が確立しているか、否か等である。通信のアプリケーションを特定する情報は、例えば、HTTP(Hypertext Transfer Protocol)等のアプリケーション層のプロトコルが例示
される。パケットのヘッダ情報は、例えば、IPデータグラムヘッダ中のフラグメントビットの指定等である。アプリケーションのヘッダ情報は、例えば、HTTPにおけるリクエストのメソッドと、メソッドに指定されたリクエストURI(Uniform Resource Identifier)の指定等である。さらに、攻撃者90を特定する追加情報には、パケットの送信
元ドメインを示す情報が含まれてもよい。
が確立しているか、否か等である。通信のアプリケーションを特定する情報は、例えば、HTTP(Hypertext Transfer Protocol)等のアプリケーション層のプロトコルが例示
される。パケットのヘッダ情報は、例えば、IPデータグラムヘッダ中のフラグメントビットの指定等である。アプリケーションのヘッダ情報は、例えば、HTTPにおけるリクエストのメソッドと、メソッドに指定されたリクエストURI(Uniform Resource Identifier)の指定等である。さらに、攻撃者90を特定する追加情報には、パケットの送信
元ドメインを示す情報が含まれてもよい。
【0040】
また、ボディには、攻撃対象の通信装置を特定する追加情報が設定されてもよい。攻撃対象の通信装置を特定する追加情報は、例えば、通信装置(UE2)の機種、OS(Operating System)の種類およびバージョン、UE2にインストールされたコンピュータプログラムの種類およびバージョン、UE2を搭載した移動体を特定する情報等である。UE2を搭載した移動体を特定する情報は、例えば、移動体が車両の場合のメーカ(OEM)、車種、年式(初度登録年)等である。
【0041】
セキュリティ連携部11nは、本通信システムに接続中のUE2に対して一律に防御処理を実行してもよい。一律にとは、防御処理の対象となるUE2を限定しないことをいう。ただし、図2のように、脅威情報は、脅威による攻撃の対象となる特定通信装置(対象UE2)を特定する情報を有する場合もある。特定する情報とは、宛先のIPアドレス、宛先ポート番号、攻撃対象の対象UE2を特定する追加情報等である。したがって、セキュリティ連携部11nは、脅威情報で指定された対象UE2に対して防御処理を実行してもよい。
【0042】
<情報処理装置及び端末の構成>
図3は、NF11a~11k、11n、AF12、情報源AF12a、セキュリティ装置51、ルータ52、情報源EAS50等の夫々として動作可能な情報処理装置20の構成例を示す図である。図3において、情報処理装置20は、パーソナルコンピュータ(PC)、ワークステーション(WS)、又はサーバマシンなどの専用又は汎用の情報処理装置(コンピュータ)を用いて構成可能である。もっとも、情報処理装置20は、1又は2以上のコンピュータの集合体(クラウド)であってもよい。
図3は、NF11a~11k、11n、AF12、情報源AF12a、セキュリティ装置51、ルータ52、情報源EAS50等の夫々として動作可能な情報処理装置20の構成例を示す図である。図3において、情報処理装置20は、パーソナルコンピュータ(PC)、ワークステーション(WS)、又はサーバマシンなどの専用又は汎用の情報処理装置(コンピュータ)を用いて構成可能である。もっとも、情報処理装置20は、1又は2以上のコンピュータの集合体(クラウド)であってもよい。
【0043】
情報処理装置20は、バス26を介して相互に接続された、処理部又は制御部(コントローラ)としてのプロセッサ21と、記憶装置22と、通信インタフェース23(通信IF23)と、入力装置24と、ディスプレイ25とを含む。
【0044】
記憶装置22は、主記憶装置と補助記憶装置とを含む。主記憶装置は、プログラム及びデータの記憶領域、プログラムの展開領域、プログラムの作業領域、及び通信データのバッファ領域などの少なくとも一つとして使用される。主記憶装置はRAM(Random Access Memory)、又はRAMとROM(Read Only Memory)との組み合わせで構成される。補助記憶装置は、データ及びプログラムの記憶領域として使用される。補助記憶装置には、不揮発性記憶媒体が適用される。不揮発性記憶媒体は、例えば、ハードディスク、Solid State Drive(SSD)、フラッシュメモリ、或いはEEPROM(Electrically Erasable Programmable Read-Only Memory)などである。また、記憶装置22は、ディスク記録媒体のドライブ装置を含むことができる。
【0045】
通信IF23は、通信処理を行う回路である。例えば、通信IF23は、ネットワークインタフェースカード(NIC)である。また、通信IF23は、無線通信(5G、無線LAN(Wi-Fi(登録商標))、BLE(Bluetooth(登録商標) Low Energy)など
)を行う無線通信回路であってもよい。また、通信IF23は、有線の通信処理を行う回路と、無線通信回路との組み合わせであってもよい。
)を行う無線通信回路であってもよい。また、通信IF23は、有線の通信処理を行う回路と、無線通信回路との組み合わせであってもよい。
【0046】
入力装置24は、キー、ボタン、ポインティングデバイス、及びタッチパネル等を含み、情報の入力に使用される。ディスプレイ25は例えば液晶ディスプレイ、OEL(有機エレクトロルミネッセンス、Organic Electro-Luminescence)ディスプレイなどである。ディスプレイ25は情報及びデータを表示する。
【0047】
プロセッサ21は、記憶装置22に記憶された各種のプログラムを実行することによって、様々な処理を行う。プロセッサ21が記憶装置22に記憶されたプログラムを実行することによって、情報処理装置20は、NF11(UPF11a等)、AF12、情報源AF12a、セキュリティ装置51、ルータ52、情報源EAS50等の夫々として動作することができる。
【0048】
図4は、UE2として動作可能な端末40の構成例を示す図である。端末40は、バス46を介して相互に接続された、プロセッサ41と、記憶装置42と、通信インタフェース43(通信IF43)と、入力装置44と、ディスプレイ45とを含む。プロセッサ41、記憶装置42、通信IF43、入力装置44、及びディスプレイ45は、プロセッサ21、記憶装置22、通信IF23、入力装置24、及びディスプレイ25と同様のものを使用可能である。このため、これらの説明は省略する。
【0049】
プロセッサ21及び41は、例えば、Central Processing Unit(CPU)である。CP
UはMicroprocessor Unit(MPU)とも呼ばれる。プロセッサ21及び41は、単一のプ
ロセッサ構成であってもマルチプロセッサ構成であってもよい。また、単一のソケットで接続される単一の物理CPUがマルチコア構成を有していても良い。プロセッサ21及び41は、Digital Signal Processor(DSP)、或いはGraphics Processing Unit(GPU)などの様々な回路構成の演算装置を含んでも良い。また、プロセッサ21及び41は、集積回路(IC)、その他のディジタル回路、及びアナログ回路などの少なくとも一つと連携する構成を有していてもよい。集積回路は、LSI、Application Specific Integrated Circuit(ASIC)、及びプログラマブルロジックデバイス(PLD)などを含む。PLD
は、例えば、Field-Programmable Gate Array(FPGA)を含む。プロセッサ21及び4
1は、例えば、マイクロコントローラ(MCU)、SoC(System-on-a-chip)、システムLSI、或いはチップセットなどと呼ばれるものも含む。
UはMicroprocessor Unit(MPU)とも呼ばれる。プロセッサ21及び41は、単一のプ
ロセッサ構成であってもマルチプロセッサ構成であってもよい。また、単一のソケットで接続される単一の物理CPUがマルチコア構成を有していても良い。プロセッサ21及び41は、Digital Signal Processor(DSP)、或いはGraphics Processing Unit(GPU)などの様々な回路構成の演算装置を含んでも良い。また、プロセッサ21及び41は、集積回路(IC)、その他のディジタル回路、及びアナログ回路などの少なくとも一つと連携する構成を有していてもよい。集積回路は、LSI、Application Specific Integrated Circuit(ASIC)、及びプログラマブルロジックデバイス(PLD)などを含む。PLD
は、例えば、Field-Programmable Gate Array(FPGA)を含む。プロセッサ21及び4
1は、例えば、マイクロコントローラ(MCU)、SoC(System-on-a-chip)、システムLSI、或いはチップセットなどと呼ばれるものも含む。
【0050】
(処理の例)
図5および図6は、本通信システムにおける脅威情報の受け付けと防御処理を例示するシーケンス図である。また、図5と図6とは、A1からH1で示される端子で接続される。この処理では、まず、情報源AF12aが脅威情報をNEF11eに通知する(S1)。脅威情報の通知は、防御情報の通知と呼ぶこともできる。脅威情報は、例えば、図2に例示のように、攻撃者90を特定する情報と、攻撃の対象である対象UE2を特定する情報を含むことができる。NEF11eは、受付処理の一例として脅威情報を受け付ける。
図5および図6は、本通信システムにおける脅威情報の受け付けと防御処理を例示するシーケンス図である。また、図5と図6とは、A1からH1で示される端子で接続される。この処理では、まず、情報源AF12aが脅威情報をNEF11eに通知する(S1)。脅威情報の通知は、防御情報の通知と呼ぶこともできる。脅威情報は、例えば、図2に例示のように、攻撃者90を特定する情報と、攻撃の対象である対象UE2を特定する情報を含むことができる。NEF11eは、受付処理の一例として脅威情報を受け付ける。
【0051】
すると、NEF11eは、脅威情報(防御情報)をさらにセキュリティ連携部11nに通知する(S2)。なお、情報源AF12aが通信システムのMNOによって信頼されている状況においては、情報源AF12aは、セキュリティ連携部11nに直接、NEF11eを介さないで、脅威情報(防御情報)を通知することができる(S1A)。セキュリティ連携部11nは、受付処理の一例として脅威情報を受け付ける。
【0052】
次に、セキュリティ連携部11nは、通知された脅威情報から、脅威情報において攻撃の対象とされている対象UE2を特定するための情報を取得する。そして、セキュリティ連携部11nは、対象UE2または対象UE2が接続しているUPF情報を検索することを要求するメッセージをUDM11jに送信する(S3)。検索することを要求するメッセージは、対象UE2を特定するための情報を含む。対象UE2を特定するための情報は、図2に例示されるものである。宛先IPアドレス、宛先ポート番号、対象UE2の機種、OSの種類およびバージョン、インストールされたコンピュータプログラムの種類およびバージョン、対象UE2を搭載した移動体を特定する情報(車種)等が例示される。
【0053】
すると、UDM11jは、対象UE2の情報、例えば、5GCでのユニークな識別子、または対象UE2が接続しているUPF情報等をセキュリティ連携部11nに応答する(S4)。ここで、UPF情報とは、IPアドレス、URIなど5GC内で任意のUPFを一意に識別可能な識別子である。
【0054】
ただし、UDM11jは、セキュリティ連携部11nからの対象UE2の情報の検索要求(S3)に対して、加入者関連情報中の契約データから防御処理の実行可否または実行要否を取得し、セキュリティ連携部11nに応答してもよい(S4)。セキュリティ連携部11nは、契約データにおいて、防御処理の実行が可能と設定されているUE2に対してのみ、防御処理を実行すればよい。また、セキュリティ連携部11nは、防御処理の実行が契約データに明記されているユーザのUE2に対してのみ、防御処理を実行してもよい。
【0055】
セキュリティ連携部11nは、対象UE2の情報または対象UE2が接続しているUPF情報等の応答を受け取ると、対象UE2が接続している該当UPF11aに対して脅威に対する防御設定を実施する(S5)。ここで、防御設定は、例えば、該当UPF11aに対して、攻撃者90からのパケットまたはトラフィックを遮断、フィルタリングまたは緩和処理を実行する設定である。攻撃者90からのパケットまたはトラフィックは、図2に例示した脅威情報のヘッダおよび攻撃者90を特定する追加情報等によって特定される。
【0056】
セキュリティ連携部11nは、この防御設定によって、少なくとも、対象UE2がUDPセッションを確立しているUPF11aにおいて、攻撃者90からのパケットあるいはトラフィックを遮断等できる。なお、セキュリティ連携部11nは、対象UE2が接続しているUPF11a以外を含む全UPF11aに対して、防御設定を行ってもよい。セキュリティ連携部11nは、全UPF11aに対する防御設定によって、本通信システムが管理する通信ネットワーク全体で一律に攻撃を防御できる。
【0057】
同様に、セキュリティ連携部11nは、対象UE2が接続しているUPF11aがアンカーとなって、DN5を介して接続している外部のセキュリティ装置51、ルータ52等に対して脅威に対する防御設定を実行する(S6)。図1おいて、すでに述べたように、DN5に接続される最終段のUPF11aは、PSA UPFと呼ばれる。また、RAN3とPSA UPFの間に設けられるUPF11aはI UPFと呼ばれる。上記防御設定は、PSA UPFとI UPFのいずれに行ってもよい。
【0058】
ただし、セキュリティ装置51、ルータ52は、AF12の1つであってもよい。セキュリティ装置51、ルータ52等がAF12の1つである場合には、セキュリティ連携部11nは、脅威情報を要求/応答モデルにしたがって、脅威情報の通知と防御処理の設定をセキュリティ装置51、ルータ52等に要求してもよい。また、セキュリティ装置51、ルータ52等がAF12の1つである場合には、セキュリティ連携部11nは、サブス
クライブ/通知モデルにしたがって、脅威情報ととともに防御処理を設定するための情報をセキュリティ装置51、ルータ52等に提供してもよい。サブスクライブ/通知モデルの場合には、セキュリティ連携部11nは、トリガ条件として脅威情報の通知を受けたときに、セキュリティ装置51、ルータ52等に脅威情報の発生を通知する。そして、セキュリティ装置51、ルータ52等は、脅威情報の発生を通知されると、セキュリティ連携部11nから、脅威情報と防御処理を設定するための情報を取得し、防御処理を設定すればよい。以上のような防御設定によって、少なくとも、対象UE2が接続中であってコネクションが設定されているセキュリティ装置51、ルータ52等において、攻撃者90からのパケットあるいはトラフィックが遮断等される。
クライブ/通知モデルにしたがって、脅威情報ととともに防御処理を設定するための情報をセキュリティ装置51、ルータ52等に提供してもよい。サブスクライブ/通知モデルの場合には、セキュリティ連携部11nは、トリガ条件として脅威情報の通知を受けたときに、セキュリティ装置51、ルータ52等に脅威情報の発生を通知する。そして、セキュリティ装置51、ルータ52等は、脅威情報の発生を通知されると、セキュリティ連携部11nから、脅威情報と防御処理を設定するための情報を取得し、防御処理を設定すればよい。以上のような防御設定によって、少なくとも、対象UE2が接続中であってコネクションが設定されているセキュリティ装置51、ルータ52等において、攻撃者90からのパケットあるいはトラフィックが遮断等される。
【0059】
S5の処理またはS6の処理によって防御設定がなされると、対象UE2は攻撃者90への通信を遮断される(S7-1)。また、対象UE2は、接続中のセキュリティ装置51、ルータ52等において、攻撃者90への通信を遮断される(S7-2)。なお、セキュリティ連携部11nは、AMF11bを介して、対象UE2に脅威情報を通知し、脅威に対する防御設定を対象UE2自身において実行させてもよい。次に、図6によって説明が継続される。
【0060】
図5で説明された脅威防御設定により、UPF11aにおいて、攻撃者90からの対象UE2への攻撃が遮断される(S8)。また、セキュリティ装置51およびルータ52において、攻撃者90からの対象UE2への攻撃が遮断される(S9)。
【0061】
その後、攻撃者90による脅威がなくなると、情報源AF12aは、通信システムの外部の組織から脅威が消滅したことの設定を受ける。すると、情報源AF12aは、NEF11eに防御停止を要求するメッセージを通知する(S10)。さらに、NEF11eは、セキュリティ連携部11nに防御停止を要求するメッセージを通知する(S11)。なお、情報源AF12aが通信システムのMNOによって信頼されている状況においては、情報源AF12aは、セキュリティ連携部11nに直接、NEF11eを介さないで、防御停止を要求するメッセージを通知することができる(S10A)。
【0062】
そして、セキュリティ連携部11nは、防御停止の要求を通知されると、UPF11aにおいて、脅威防御設定の削除を要求するメッセージを送信する(S12)。また、セキュリティ連携部11nは、セキュリティ装置51、ルータ52等に脅威防御設定の削除を要求するメッセージを送信する(S13)。
【0063】
図7は、上記図5のS2の処理またはS1Aの処理の後に、セキュリティ連携部11n等で実行されるフォーマット変換処理を例示する図である。情報源AF12aから提供される脅威情報は、例えば、図2に例示される。しかし、本通信システムのNF11によって処理可能な脅威情報のフォーマットが情報源AF12aから提供される脅威情報のフォーマットと異なる場合もあり得る。そのような場合、例えば、セキュリティ連携部11nは、情報源AF12aから提供される脅威情報を本通信システムのNF11によって処理可能な脅威情報のフォーマットに変換する。
【0064】
この処理では、例えば、セキュリティ連携部11nが通信システムのFN11でサポートするフォーマットと異なるフォーマットの脅威情報を受信した場合に起動される(S101)。セキュリティ連携部11nは、通信システムのFN11でサポートするフォーマットと異なるフォーマット(異フォーマットという)の脅威情報を例えば、異フォーマット専用のAPI(Application Programming Interface)から受信する(S101)。し
たがって、セキュリティ連携部11nが本通信システムのFN11でサポートするフォーマットで脅威情報を受信した場合には、図7の処理は実行されない。
たがって、セキュリティ連携部11nが本通信システムのFN11でサポートするフォーマットで脅威情報を受信した場合には、図7の処理は実行されない。
【0065】
そして、セキュリティ連携部11nは、異フォーマット専用のAPIから受信した脅威情報のフォーマットを通信システムのFN11でサポートするフォーマットに変換する(S102)。例えば、セキュリティ連携部11nは図2で例示した、ヘッダ、ボディ等のそれぞれの構成要素のうち、異フォーマットのものを本通信システムのNF11によって処理可能な脅威情報のフォーマットに変換する。
【0066】
そして、セキュリティ連携部11nは、フォーマット変換した脅威情報を本通信システムの次のNF11に送信する(S103)。例えば、図5のS2の処理またはS1Aの処理では、次のNF11は、例えば、UDM11jである。また、セキュリティ連携部11nは、図5のS6の処理において、フォーマット変換した脅威情報を基に、外部のセキュリティ装置51、ルータ52等に対して設定可能な防御方法を選択してもよい。なお、図7は、セキュリティ連携部11nがフォーマット変換する処理を例示する。しかし、このようなフォーマット変換は、他のFN11、例えば、NEF11e、UDM11j等で実行されてもよい。
【0067】
図8は、セキュリティ連携部11nが異フォーマットの脅威情報を受信した場合に実行される、防御処理を選択する処理を例示する図である。すなわち、セキュリティ連携部11nが異フォーマットの脅威情報を受信した場合に(S111)、フォーマット変換する代わりに、異フォーマットの脅威情報に対応する防御処理を選択してもよい(S112)。セキュリティ連携部11nは、選択した防御処理を次のFN11に要求すればよい。次のFN11は、例えば、図5のS2の処理またはS1Aの処理では、UDM11j、UPF11a等である。ただし、セキュリティ連携部11nは、図5のS6の処理において、セキュリティ装置51、またはルータ52に対して設定する防御処理をS112において選択してもよい。そして、セキュリティ連携部11nは、選択した防御処理をセキュリティ装置51、またはルータ52等に対して設定すればよい(S113)。すなわち、セキュリティ連携部11nは、異フォーマットの脅威情報を基に、UDM11j、UPF11a、セキュリティ装置51、またはルータ52に設定要求可能な防御処理を選択すればよい。
【0068】
(第1実施形態の効果)
上述のように、セキュリティ連携部11nは、制御装置の一例として、通信システムの外部の組織から、通信ネットワークを利用する通信装置であるUE2に対する脅威情報を受け付ける処理を実行する。また、セキュリティ連携部11nは、受け付けた脅威情報を基にUE2を防御する防御処理を実行する。このため、本通信システムは、通信ネットワークを利用するUE2への攻撃を通信ネットワークの中で統一した処理で迅速に防御できる。
上述のように、セキュリティ連携部11nは、制御装置の一例として、通信システムの外部の組織から、通信ネットワークを利用する通信装置であるUE2に対する脅威情報を受け付ける処理を実行する。また、セキュリティ連携部11nは、受け付けた脅威情報を基にUE2を防御する防御処理を実行する。このため、本通信システムは、通信ネットワークを利用するUE2への攻撃を通信ネットワークの中で統一した処理で迅速に防御できる。
【0069】
この場合、セキュリティ連携部11nは、本通信システムに接続中のUE2に対して、それぞれの接続先のUPF11aにおいて一律に防御処理を実行してもよい。したがって、通信システムに接続中のUE2すべてを漏れなく防御できる。また、セキュリティ連携部11nは、本通信システムの全UPF11aにおいて一律に防御処理を実行してもよい。この場合には、通信システム全体で脅威情報に対応できる。
【0070】
ただし、情報源AF12aは、脅威情報の中に、攻撃の対象となる特定通信装置(対象UE2)を特定する情報を含めることができる。この場合には、セキュリティ連携部11nは、特定通信装置に対して防御処理を実行すればよい。したがって、セキュリティ連携部11nは、通信ネットワークを提供する通信システムの処理に極力影響を与えないで、防御処理を実行できる。
【0071】
そして、攻撃対象の特定通信装置が移動体、例えば、車両に搭載される装置の場合、情
報源AF12aは、脅威情報に特定通信装置が搭載された車両のメーカ、車種、年式等の情報を含めることができる。そして、情報源AF12aは、例えば、車種等の情報を基にUDM11jに検索を要求し、攻撃の対象である対象UE2を特定できる。
報源AF12aは、脅威情報に特定通信装置が搭載された車両のメーカ、車種、年式等の情報を含めることができる。そして、情報源AF12aは、例えば、車種等の情報を基にUDM11jに検索を要求し、攻撃の対象である対象UE2を特定できる。
【0072】
また、セキュリティ連携部11nは、5GCに設けられるNEF11eを利用して脅威情報を受け付ける。したがって、セキュリティ連携部11nは、5GCの規格と整合がとれた処理で、脅威情報を受け付け、脅威に対する防御設定の設定と解除を実行できる。
【0073】
また、セキュリティ連携部11nは、NEF11eを介さないで直接、脅威情報を受け付ける。したがって、情報源AF12aが信頼できるアプリケーションサーバである場合には、セキュリティ連携部11nは、迅速に脅威情報を受け付け、脅威に対する防御設定の設定と解除を実行できる。
【0074】
また、セキュリティ連携部11nは、DN5を介して通信ネットワークに接続されるセキュリティ装置51、ルータ52等に対して防御処理を実行する。また、セキュリティ連携部11nは、AF12の1つとして本通信システム(5GC等)に接続されるセキュリティ装置51、ルータ52等に対して防御処理を実行する。すなわち、セキュリティ連携部11nは、本通信システムの外部の組織から情報源AF12aを介して提供される脅威情報を基に、本通信システムが提供する通信ネットワーク上のセキュリティ装置51、ルータ52等において、脅威に対する防御設定を実行できる。
【0075】
また、セキュリティ連携部11n、NEF11e、UDM11j等のNF11は、本通信システムでサポートしない異フォーマットの脅威情報を本通信システムのFN11でサポートするフォーマットに変換する。また、セキュリティ連携部11nは、本通信システムのFN11でサポートしない異フォーマットの脅威情報に対応し、FN11で実施可能な防御処理を特定し、選択する。そして、セキュリティ連携部11n等、本通信システムのFN11は、特定した防御処理を本通信システムで実施できる。さらに、セキュリティ連携部11nは、本通信システムでサポートしない異フォーマットの脅威情報に対応する、セキュリティ装置51またはルータ52において要求可能な防御処理を特定する。そして、セキュリティ連携部11nは、特定した防御処理をセキュリティ装置51またはルータ52に設定できる。
【0076】
また、上述のUDM11jは、加入者関連情報を保持する。加入者関連情報は契約データの一例ということができる。すなわち、本通信システムはUE2のユーザと本通信システムを管理する事業者(MNO)との契約に基づく契約データを記憶する記憶装置(例えば、UDR(Unified Data Repository))を有する。そして、セキュリティ連携部11
nは、複数のUE2のうち、UDM11jが保持または管理する契約データを基に防御処理を適用する対象を特定し、または決定する。このため、本通信システムは上記契約データを有効活用して防御処理を実行できる。例えば、加入者情報として、セキュリティ連携部11nによる防御処理の実行可否または実行の要否がUDRに保存されればよい。したがって、本通信システムは、ユーザとMNOとの契約に基づいて、防御処理を適用するUE2を特定し、または、限定できる。
nは、複数のUE2のうち、UDM11jが保持または管理する契約データを基に防御処理を適用する対象を特定し、または決定する。このため、本通信システムは上記契約データを有効活用して防御処理を実行できる。例えば、加入者情報として、セキュリティ連携部11nによる防御処理の実行可否または実行の要否がUDRに保存されればよい。したがって、本通信システムは、ユーザとMNOとの契約に基づいて、防御処理を適用するUE2を特定し、または、限定できる。
【0077】
すなわち、UDM11jは、セキュリティ連携部11nからの対象UE2の情報の検索要求において、防御処理の実行可否または実の要否をUDRから取得し、セキュリティ連携部11nに応答すればよい。このため、セキュリティ連携部11nは、契約データにおいて、防御処理の実行が可能または実行が必要と設定されているUE2に対してのみ、防御処理を実行すればよい。
【0078】
以上述べた通り、情報源AF12aは、通信システムとしての5GCに接続されるAF
12の1つとして設けられる。したがって、情報源AF12aは、5GCのFN11と連携しつつ、通信システム外部の組織から脅威情報を得ることができる。なお、図1に例示したように、情報源AF12aは、DN5に接続されるEAS等に設けられてもよい。また、情報源AF12aは、UE2に設けられてもよい。
12の1つとして設けられる。したがって、情報源AF12aは、5GCのFN11と連携しつつ、通信システム外部の組織から脅威情報を得ることができる。なお、図1に例示したように、情報源AF12aは、DN5に接続されるEAS等に設けられてもよい。また、情報源AF12aは、UE2に設けられてもよい。
【0079】
<第2実施形態>(処理の例)
図9を参照して、第2実施形態の通信システム、制御装置および通信方法が説明される。上記第1実施形態では、セキュリティ連携部11nは、NEF11eを介して受信し、または、情報源AF12aから直接受信した脅威情報に基づいて、UPF11aに脅威に対する防御設定を実行し、例えば、攻撃者90への通信を遮断した。しかし、このような処理に代えて、セキュリティ連携部11nは、PCF11dに防御設定のためのポリシーの設定を要求してもよい。また、PCF11dは設定の要求を受けたポリシーを設定し、さらに設定したポリシーにしたがって、SMF11cを介して、または、SMF11cを介さないで直接、UPF11aに防御設定を行ってもよい。
図9を参照して、第2実施形態の通信システム、制御装置および通信方法が説明される。上記第1実施形態では、セキュリティ連携部11nは、NEF11eを介して受信し、または、情報源AF12aから直接受信した脅威情報に基づいて、UPF11aに脅威に対する防御設定を実行し、例えば、攻撃者90への通信を遮断した。しかし、このような処理に代えて、セキュリティ連携部11nは、PCF11dに防御設定のためのポリシーの設定を要求してもよい。また、PCF11dは設定の要求を受けたポリシーを設定し、さらに設定したポリシーにしたがって、SMF11cを介して、または、SMF11cを介さないで直接、UPF11aに防御設定を行ってもよい。
【0080】
本実施形態において、以下の(1)(2)以外の処理は、第1実施形態と同様である。(1)セキュリティ連携部11nがPCF11dに脅威に対する防御設定のためのポリシーを設定する処理である。(2)PCF11dがSMF11cを介して、または、SMF11cを介さないで直接、UPF11aに防御設定を行う処理である。そこで、第1実施形態と同一の処理については、その説明が省略される。また、PCF11dによる処理およびSMF11cによる処理以外の第1実施形態の処理は、そのまま本実施形態においても実行される。
【0081】
図9および図10は、本通信システムにおける防御処理を例示するシーケンス図である。なお、図5のS1、S2、およびS1Aの処理は、図9の前に実行されているものとする。また、図9の処理は、端子B1、K1、L1、C1、D1、およびE1によって図10に継続される。また、図9において、S3およびS6の処理は、図5と同様であるので、その説明が省略される。
【0082】
図9では、セキュリティ連携部11nは、対象UE2の情報または対象UE2が接続しているUPF情報等の応答を受け取った後(S4)の処理が記載されている。本実施形態では、セキュリティ連携部11nは、PCF11dに対して、対象UE2が接続している該当UPF11aに対して脅威に対する防御設定を実施するためのポリシーの設定を要求する(S51)。すると、PCF11dは、脅威に対する防御設定を実施するためのポリシーを設定する。そして、PCF11dは、設定したポリシーにしたがって、SMF11cに、対象UE2が接続している該当UPF11aに対して防御設定を行うことを要求する(S52)。すると、SMF11cは、対象UE2が接続している該当UPF11aに対して防御設定を行う(S53)。なお、PCF11dは、設定したポリシーにしたがって、SMF11cを介さないで直接、該当UPF11aに対して防御設定を行ってもよい(S54)。以降、図9においては、図5と同様、S6の処理が実行される。また、S7-1、S7-2と同様に、通信が遮断される。
【0083】
次に、図10により説明が継続される。ここで、図6と同様、S8からS11およびS10Aの処理が実行されるが、その説明は省略される。また、図10では、これらの処理が省略されている。図10において、セキュリティ連携部11nは、防御停止を通知されると(図6のS11、S10A)、PCF11dに対して、脅威に対する防御設定を実施するためのポリシーを解除するように要求する(S121)。すると、PCF11dは、防御設定を実施するためのポリシーを解除する。そして、PCF11dは、SMF11cに、脅威に対する防御を停止することを要求する(S122)。すると、SMF11cは、防御停止を行う(S123)。なお、PCF11dは、防御設定を実施するためのポリ
シーを解除するとともに、SMF11cを介さないで直接、該当UPF11aに対して防御停止を行ってもよい(S124)。以降、図10においては、図6と同様、S13の処理が実行される。
シーを解除するとともに、SMF11cを介さないで直接、該当UPF11aに対して防御停止を行ってもよい(S124)。以降、図10においては、図6と同様、S13の処理が実行される。
【0084】
なお、本実施形態においても、実施形態1の図7で述べた処理と同様のフォーマット変換処理が実行されてもよい。すなわち、セキュリティ連携部11n等の通信システムのFN11は、異フォーマットの脅威情報を通信システムのNF11によって処理可能な脅威情報のフォーマットに変換してもよい。また、図8で述べた処理と同様、セキュリティ連携部11nは、異フォーマットの脅威情報を受信した場合に、受信した脅威情報に対応する防御処理を特定し、選択するようにしてもよい。
【0085】
(第2実施形態の効果)
以上述べたように、セキュリティ連携部11nは、PCF11dに防御処理のポリシーの設定を要求し、PCF11dを通じてUPF11aにおいて防御処理を実行する。また、PCF11dは、SMF11cを介して、または、SMF11cを介さないで直接、該当UPF11aに対して防御設定を行う。したがって、セキュリティ連携部11nは、通信ネットワークにおいて統一して、脅威情報に対応する防御処理を実行できる。
以上述べたように、セキュリティ連携部11nは、PCF11dに防御処理のポリシーの設定を要求し、PCF11dを通じてUPF11aにおいて防御処理を実行する。また、PCF11dは、SMF11cを介して、または、SMF11cを介さないで直接、該当UPF11aに対して防御設定を行う。したがって、セキュリティ連携部11nは、通信ネットワークにおいて統一して、脅威情報に対応する防御処理を実行できる。
【0086】
また、セキュリティ連携部11nは、実施形態1の図7の処理と同様、脅威情報のフォーマットが通信システムのFN11において防御処理を実行なフォーマットとは異なる場合の処理を実行する。すなわち、セキュリティ連携部11n等は、脅威情報のフォーマットをFN11において防御処理を実行なフォーマットに変換する。また、セキュリティ連携部11nは、実施形態1の図8の処理と同様、脅威情報のフォーマットが防御処理を実行な形式とは異なる場合に、脅威情報に対応してUPF11a、セキュリティ装置51、ルータ52等において実行する防御処理を特定氏、選択する。さらに、セキュリティ連携部11nは、特定された防御処理をUPF11a、セキュリティ装置51、ルータ52等において実行する。したがって、本通信システムは、本通信システムの外部からの様々なフォーマットの脅威情報に基づいて防御処理を実行できる。
【0087】
<第3実施形態>(処理の例)
図11および図12を参照して、実施形態3の通信システムが説明される。実施形態1では、脅威情報に基づいて、防御処理が設定される通信システムが例示された。実施形態2では、実施形態1の処理に加えて、セキュリティ連携部11nは、PCF11dに脅威防御設定のためのポリシーの設定を要求する処理が例示された。また、PCF11dは、設定の要求を受けたポリシーにしたがって、SMF11cを介して、または、SMF11cを介さないで直接、UPF11aに脅威防御設定を行う処理が例示された。
図11および図12を参照して、実施形態3の通信システムが説明される。実施形態1では、脅威情報に基づいて、防御処理が設定される通信システムが例示された。実施形態2では、実施形態1の処理に加えて、セキュリティ連携部11nは、PCF11dに脅威防御設定のためのポリシーの設定を要求する処理が例示された。また、PCF11dは、設定の要求を受けたポリシーにしたがって、SMF11cを介して、または、SMF11cを介さないで直接、UPF11aに脅威防御設定を行う処理が例示された。
【0088】
本実施形態では、脅威情報に基づいて、攻撃者90からのトラフィックをMEC(Multi-access Edge Computing)に構築されたハニーポットに誘導する処理が例示される。ハ
ニーポットとは、MEC基盤55上に構築された、攻撃者90のトラフィックを誘導する誘導先のコンピュータをいう。ハニーポットでは、攻撃者90のトラフィックに応答するアプリケーションが実行される。なお、複数のコンピュータ、ネットワーク設備等に仮想技術を適用してMECを提供するシステムは、MEC基盤55と呼ばれる。
ニーポットとは、MEC基盤55上に構築された、攻撃者90のトラフィックを誘導する誘導先のコンピュータをいう。ハニーポットでは、攻撃者90のトラフィックに応答するアプリケーションが実行される。なお、複数のコンピュータ、ネットワーク設備等に仮想技術を適用してMECを提供するシステムは、MEC基盤55と呼ばれる。
【0089】
また、本実施形態の処理は、実施形態1の処理および実施形態2の処理とは独立に実施可能である。したがって、本通信システムは、実施形態1の処理、実施形態2の処理か、実施形態3の処理かを自在に選択して実施できる。
【0090】
図11および図12は、本通信システムにおける脅威情報の受け付けとハニーポット誘導処理を例示するシーケンス図である。また、図11と図12とは、A2からH2で示さ
れる端子で接続される。この処理では、まず、情報源AF12aが脅威情報とともに、ハニーポット誘導開始の要求をNEF11eに通知する(S21)。
れる端子で接続される。この処理では、まず、情報源AF12aが脅威情報とともに、ハニーポット誘導開始の要求をNEF11eに通知する(S21)。
【0091】
すると、NEF11eは、脅威情報とハニーポット誘導開始の要求をさらにセキュリティ連携部11nに通知する(S22)。なお、情報源AF12aが通信システムのMNOによって信頼されている状況においては、情報源AF12aは、セキュリティ連携部11nに直接、NEF11eを介さないで、脅威情報とハニーポット誘導開始の要求を通知することができる(S21A)。
【0092】
次に、セキュリティ連携部11nは、通知された脅威情報とハニーポット誘導開始の要求から、脅威情報において攻撃の対象とされている対象UE2を特定するための情報を取得する。そして、セキュリティ連携部11nは、対象UE2または対象UE2が接続しているUPF情報を検索することを要求するメッセージをUDM11jに送信する(S23)。
【0093】
すると、UDM11jは、対象UE2の情報、例えば、5GCでのユニークな識別子、または対象UE2が接続しているUPF情報等をセキュリティ連携部11nに応答する(S24)。ここで、UPF情報とは、IPアドレス、URIなど5GC内で任意のUPFを一意に識別可能な識別子である。
【0094】
ただし、UDM11jは、セキュリティ連携部11nからの対象UE2の情報の検索要求(S3)において、ハニーポット誘導処理の実行可否または要否等をUDR等から取得し、セキュリティ連携部11nに応答してもよい(S24)。セキュリティ連携部11nは、契約データにおいて、ハニーポット誘導処理の実行が可能、または実行が必要等と設定されているUE2に対してのみ、ハニーポット誘導処理を実行すればよい。
【0095】
セキュリティ連携部11nは、対象UE2の情報または対象UE2が接続しているUPF情報等の応答を受け取ると、対象UE2が接続している該当UPF11aをアンカーとしてアクセスできるMECに、1または複数のハニーポットを起動する(S25)。ただ
し、ハニーポットは対象UE2が接続している該当UPF11aをアンカーとするものには限定されない。要するに、セキュリティ連携部11nは、複数段のUPF11aを介して、攻撃者90からのパケットあるいはトラフィックをハニーポットに誘導すればよい。また、起動されるハニーポットは、例えば、脅威情報に応じた種類のアプリケーションの実行により起動される。また、起動されるハニーポットは、例えば、脅威情報に応じたパラメータがアプリケーションに設定されて起動される。脅威情報に応じた種類、または、設定とは、例えば、攻撃者90からの通信のプロトコル、送信元ドメイン、宛先IPアドレス、宛先ポート番号、送信元のアプリケーションの種類、攻撃者を特定する追加情報に応じたものという意味である。そして、MEC基盤55は、ハニーポットの立ち上げが完了したことを示す応答をセキュリティ連携部11nに返す(S26)。
し、ハニーポットは対象UE2が接続している該当UPF11aをアンカーとするものには限定されない。要するに、セキュリティ連携部11nは、複数段のUPF11aを介して、攻撃者90からのパケットあるいはトラフィックをハニーポットに誘導すればよい。また、起動されるハニーポットは、例えば、脅威情報に応じた種類のアプリケーションの実行により起動される。また、起動されるハニーポットは、例えば、脅威情報に応じたパラメータがアプリケーションに設定されて起動される。脅威情報に応じた種類、または、設定とは、例えば、攻撃者90からの通信のプロトコル、送信元ドメイン、宛先IPアドレス、宛先ポート番号、送信元のアプリケーションの種類、攻撃者を特定する追加情報に応じたものという意味である。そして、MEC基盤55は、ハニーポットの立ち上げが完了したことを示す応答をセキュリティ連携部11nに返す(S26)。
【0096】
ここで、MEC基盤55は、アンカーとなるPSA UPFに接続されるDN5において、通信システムの外部に接続された情報処理環境の一例である。したがって、ハニーポットを起動することは、通信装置または通信装置を搭載した移動体内の環境を模倣した模擬受信システムを作成することの一例である。移動体内の環境とは、例えば、ハニーポットが移動体内のUE2にインストールされるOS、アプリケーション等を実行することをいう。
【0097】
すると、セキュリティ連携部11nは、対象UE2が接続している該当UPF11aに対して、該当トラフィックをMEC基盤55のハニーポットへ誘導するように設定する(S27)。なお、誘導は、複数段のUPF11aを経由するものでもよい。また、セキュ
リティ連携部11nおよび関連するNF11は、実施形態2で説明した処理と同様の手順を実行してもよい。すなわち、セキュリティ連携部11nは、PCF11dへのポリシーの設定と、PCF11dからSMF11cへの該当UPF11aに対する誘導要求によって、該当トラフィックをMEC基盤55のハニーポットへ誘導するようにしてもよい。
リティ連携部11nおよび関連するNF11は、実施形態2で説明した処理と同様の手順を実行してもよい。すなわち、セキュリティ連携部11nは、PCF11dへのポリシーの設定と、PCF11dからSMF11cへの該当UPF11aに対する誘導要求によって、該当トラフィックをMEC基盤55のハニーポットへ誘導するようにしてもよい。
【0098】
このとき、PCF11dは、SMF11cを介さないで直接、該当UPF11aにトラフィックの誘導を設定することによって、該当トラフィックをMEC基盤55のハニーポットへ誘導するようにしてもよい。
【0099】
攻撃者のトラフィックをハニーポットに誘導する具体的手順は以下に例示される。例えば、3GPP(登録商標) TS 23.548 V18.3.0 (2023-09)の6.3 Edge Relocationの節には、
UE2がアクセスするDN5上のEAS(Edge Application Server)を再配置する手順お
よびEASが接続されるPSA UPFを再配置する手順が記載されている。また、上記6.3節には、このPSA UPFが、EASを用いるアプケーションに関連するトラフィ
ックに対して、EASのIPアドレスおよびポート番号を置き換えることが記載されている。また、EASの移転時に、AF12が通信システム(5GC)に対して、ソースPSAとターゲットPSAの両方に同時接続する要求と、その処理について記載されている。ここで、ソースPSAは、EASの移転前にUE2が接続していたPSAをいい、ターゲットPSAとは、EASの移転後にUE2が接続していたPSAをいう。これらの規格は、UE2のアクセス先であるEASおよびPSA UPFを置き換える処理に関するものである。本実施形態では、これらの規格の手順が攻撃のパケットまたはトラフィイクをハニーポットへ誘導する、セキュリティ連携部11nの手順に変形して適用される。
UE2がアクセスするDN5上のEAS(Edge Application Server)を再配置する手順お
よびEASが接続されるPSA UPFを再配置する手順が記載されている。また、上記6.3節には、このPSA UPFが、EASを用いるアプケーションに関連するトラフィ
ックに対して、EASのIPアドレスおよびポート番号を置き換えることが記載されている。また、EASの移転時に、AF12が通信システム(5GC)に対して、ソースPSAとターゲットPSAの両方に同時接続する要求と、その処理について記載されている。ここで、ソースPSAは、EASの移転前にUE2が接続していたPSAをいい、ターゲットPSAとは、EASの移転後にUE2が接続していたPSAをいう。これらの規格は、UE2のアクセス先であるEASおよびPSA UPFを置き換える処理に関するものである。本実施形態では、これらの規格の手順が攻撃のパケットまたはトラフィイクをハニーポットへ誘導する、セキュリティ連携部11nの手順に変形して適用される。
【0100】
また、攻撃者のトラフィックをハニーポットに誘導する具体的手順には、従来のネットワーク上のゲートウェイでのNAT(Network Address Translation)の手順を適用する
ことができる。その手順は、以下のように例示される。
ことができる。その手順は、以下のように例示される。
【0101】
(1)セキュリティ連携部11nは、UPF11aにおいて、直接、またはPCF11dとSMF11cを介して、ソース宛先アドレスとソース宛先ポート番号の組に対して、ターゲット宛先アドレスとターゲット宛先ポート番号の組を対応付ける。そして、セキュリティ連携部11nは、ソースとターゲットとの対応付けを誘導用のアドレス変換テーブルに設定する。ここで、ソース宛先アドレスとソース宛先ポート番号は、アドレス変換前の宛先アドレスと宛先ポート番号をいい、攻撃者90によるパケットまたはトラフィックの宛先をいう。また、ターゲット宛先アドレスとターゲット宛先ポート番号は、アドレス変換後の宛先アドレスと宛先ポート番号をいい、ハニーポットへの宛先アドレスと宛先ポート番号である。
【0102】
(2)セキュリティ連携部11nは、例えば、図2に例示した特徴を有する送信元のパケットまたはトラフィックに対して上記(1)の誘導用のアドレス変換テーブルによるアドレス変換処理を指示するように、UPF11aに指示する。セキュリティ連携部11nは、直接、またはPCF11dとSMF11cを介して、アドレス変換処理をUPF11aに指示する。
【0103】
(3)以降、UPF11aは、攻撃者のパケットをハニーポットに誘導する。なお、UE2と攻撃者90との間のセッションは、例えば、タイムアウトによって消滅する。すでに述べたように、UPF11aは、RAN3とDN5との間で、多段構成をとる場合がある。上記(1)(2)の設定は、PSA UPFおよびI UPFのいずれに対して行うことができる。
【0104】
次に、図12によって説明が継続される。ここで、セキュリティ連携部11nが上記攻
撃者90のパケットまたはトラフィックをMEC基盤55のハニーポットへ誘導することは、通信システムが提供する通信ネットワークの内外からの攻撃を模擬受信システムに誘導することの一例である。通信ネットワーク内からの攻撃としては、UE2が接続するMNO内部の他のUEもしくは攻撃者90に乗っ取られた5GC機能からの攻撃が想定される。攻撃内容は外部からの攻撃と同じく、DoS(Denial of Service Attack)/DDoS(Distributed Denial of Service Attack)または各種脆弱性をついた攻撃などが想定される。ここで、DoSとは、アクセスが集中することでサーバ等の処理が輻輳することを利用し、悪意を持ってサーバ等の情報処理装置に大量のデータを送りつけるサイバー攻撃のことである。また、DDoSとは、複数のコンピュータから大量のパケットをサーバ等の情報処理装置に送りつけることで、サーバ等の正常な処理を妨げる行為をいう。
撃者90のパケットまたはトラフィックをMEC基盤55のハニーポットへ誘導することは、通信システムが提供する通信ネットワークの内外からの攻撃を模擬受信システムに誘導することの一例である。通信ネットワーク内からの攻撃としては、UE2が接続するMNO内部の他のUEもしくは攻撃者90に乗っ取られた5GC機能からの攻撃が想定される。攻撃内容は外部からの攻撃と同じく、DoS(Denial of Service Attack)/DDoS(Distributed Denial of Service Attack)または各種脆弱性をついた攻撃などが想定される。ここで、DoSとは、アクセスが集中することでサーバ等の処理が輻輳することを利用し、悪意を持ってサーバ等の情報処理装置に大量のデータを送りつけるサイバー攻撃のことである。また、DDoSとは、複数のコンピュータから大量のパケットをサーバ等の情報処理装置に送りつけることで、サーバ等の正常な処理を妨げる行為をいう。
【0105】
S27と同様に、セキュリティ連携部11nは、対象UE2が接続しているPSA UPFとDN5を介して接続している外部のルータ52等に対して該当トラフィックをMEC基盤55のハニーポットへ誘導するように設定してもよい(S28)。外部のルータ52等は、AF12の1つとして、通信システムに接続しているものでもよい。このトラフィックの誘導の設定によって、少なくとも、対象UE2が接続中でコネクションが設定されているルータ52等において、攻撃者90からのトラフィックは対象UE2には到達せず、ハニーポットで受信される(S29)。
【0106】
その後、攻撃者90による脅威がなくなると、情報源AF12aは、通信システム外部の組織から脅威が消滅したことの設定を受ける。すると、情報源AF12aは、ハニーポットへの誘導の停止をNEF11eに通知する(S30)。さらに、NEF11eは、セキュリティ連携部11nに防御停止を要求する(S31)。なお、情報源AF12aが通信システムのMNOによって信頼されている状況においては、情報源AF12aは、セキュリティ連携部11nに直接、NEF11eを介さないで、ハニーポットへの誘導の停止を通知することができる(S30A)。
【0107】
そして、セキュリティ連携部11nは、防御停止を通知されると、UPF11aに対して、ハニーポットへの誘導を停止させる。ここで、設定の停止には、例えば、上記誘導用のアドレス変換テーブルのクリア、または削除等も含まれる。また、セキュリティ連携部11nは、MEC基盤55にハニーポットの停止および種々の設定の削除を要求するメッセージを送信する(S32)。MEC基盤55にハニーポットの停止および種々の設定の削除を完了すると、その旨をセキュリティ連携部11nに通知して応答する(S33)。
【0108】
(実施形態3の効果)
以上述べたように、上記トラフィックの誘導によって、少なくとも、対象UE2への攻撃者90からのトラフィックは対象UE2には到達せず、ハニーポットで受信される。したがって、本実施形態の通信システムおよびNF11は、通信システムの外部からの攻撃を有効に防御できる。また、本実施形態の通信システムおよびNF11は、通信システムの外部からの攻撃に対するさらなる処理をとるまでの時間稼ぎをすることができる。
以上述べたように、上記トラフィックの誘導によって、少なくとも、対象UE2への攻撃者90からのトラフィックは対象UE2には到達せず、ハニーポットで受信される。したがって、本実施形態の通信システムおよびNF11は、通信システムの外部からの攻撃を有効に防御できる。また、本実施形態の通信システムおよびNF11は、通信システムの外部からの攻撃に対するさらなる処理をとるまでの時間稼ぎをすることができる。
【0109】
<第1実施形態から第3実施形態の効果>
UE2またはUE2を搭載する移動体を製造し販売するメーカ、OEMあるいはベンダ等は、サイバー攻撃を通信ネットワークで防御し、攻撃の被害軽減を図ることが可能になる。例えば、OSあるいはアプリケーションの修正パッチを準備するまでの時間稼ぎが可能となる。一方、通信ネットワークを管理し、ユーザに提供するMNOは、ユーザを保護できる。また、MNOは、上記メーカ、OEM、ベンダ、およびユーザにメディアコンテンツを提供するOver The Top(OTT)、OSあるいは端末等のベンダに対する課金手段を得ることができる。
UE2またはUE2を搭載する移動体を製造し販売するメーカ、OEMあるいはベンダ等は、サイバー攻撃を通信ネットワークで防御し、攻撃の被害軽減を図ることが可能になる。例えば、OSあるいはアプリケーションの修正パッチを準備するまでの時間稼ぎが可能となる。一方、通信ネットワークを管理し、ユーザに提供するMNOは、ユーザを保護できる。また、MNOは、上記メーカ、OEM、ベンダ、およびユーザにメディアコンテンツを提供するOver The Top(OTT)、OSあるいは端末等のベンダに対する課金手段を得ることができる。
【0110】
<その他の実施形態>
上記の実施形態はあくまでも一例であって、本開示はその要旨を逸脱しない範囲内で適宜変更して実施し得る。また、本開示において説明した処理や手段は、技術的な矛盾が生じない限りにおいて、自由に組み合わせて実施することができる。
上記の実施形態はあくまでも一例であって、本開示はその要旨を逸脱しない範囲内で適宜変更して実施し得る。また、本開示において説明した処理や手段は、技術的な矛盾が生じない限りにおいて、自由に組み合わせて実施することができる。
【0111】
また、1つの装置が行うものとして説明した処理が、複数の装置によって分担して実行されてもよい。あるいは、異なる装置が行うものとして説明した処理が、1つの装置によって実行されても構わない。コンピュータシステムにおいて、各機能をどのようなハードウェア構成(サーバ構成)によって実現するかは柔軟に変更可能である。
【0112】
本開示は、上記の実施形態で説明した機能を実装したコンピュータプログラムをコンピュータに供給し、当該コンピュータが有する1つ以上のプロセッサがプログラムを読み出して実行することによっても実現可能である。このようなコンピュータプログラムは、コンピュータのシステムバスに接続可能な非一時的なコンピュータ可読記憶媒体によってコンピュータに提供されてもよいし、ネットワークを介してコンピュータに提供されてもよい。非一時的なコンピュータ可読記憶媒体は、例えば、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクドライブ(HDD)等)、光ディスク(CD-ROM、DVDディスク、ブルーレイディスク等)など任意のタイプのディスク、読み込み専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、EPROM、EEPROM、磁気カード、フラッシュメモリ、または光学式カードのような、電子的命令を格納するために適した任意のタイプの媒体を含む。
【符号の説明】
【0113】
2 UE
3 RAN
5 DN
11 FN
12 AF
12A 情報源AF
20 情報処理装置
40 端末
50 情報源EAS
51 セキュリティ装置
52 ルータ
3 RAN
5 DN
11 FN
12 AF
12A 情報源AF
20 情報処理装置
40 端末
50 情報源EAS
51 セキュリティ装置
52 ルータ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】