ホーム > 特許ランキング > ソフトバンク株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-03-09
(45)【発行日】2022-03-17
(54)【発明の名称】情報処理装置、情報処理方法及び情報処理プログラム
(51)【国際特許分類】
H04L 61/50 20220101AFI20220310BHJP
【FI】
H04L61/50
【請求項の数】
8
(21)【出願番号】P 2020099456
(22)【出願日】2020-06-08
(65)【公開番号】P2021193772
(43)【公開日】2021-12-23
【審査請求日】2021-02-10
(73)【特許権者】
【識別番号】501440684
【氏名又は名称】ソフトバンク株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】特許業務法人酒井国際特許事務所
(72)【発明者】
【氏名】櫻木 加奈子
【審査官】佐々木 洋
(56)【参考文献】
【文献】特開2018-074395(JP,A)
【文献】特開2003-143143(JP,A)
【文献】米国特許出願公開第2016/0373405(US,A1)
【文献】米国特許出願公開第2003/0191841(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 61/50
(57)【特許請求の範囲】
【請求項1】
RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる問合せ部と、前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ部によって問合せ済みのIPブロック情報の中に存在する場合は、前記脅威IPアドレスを管理するISPを前記問合せ済みのIPブロック情報に対応するISPであると特定する特定部と、
を備えることを特徴とする情報処理装置。
【請求項2】
前記問合せ部は、前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ部によって問合せ済みのIPブロック情報の中に存在しない場合は、前記RADBに対して、前記脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる、
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記問合せ部による問い合わせ結果に基づいて、前記ISP情報と前記IPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部をさらに備え、前記問合せ部は、
問い合わせの結果、所定のIPブロックと前記所定のIPブロックを含む範囲のIPブロックとを取得した場合には、前記所定のIPブロックを含む範囲のIPブロック情報のみを前記CIDRキャッシュ記憶部に記憶する、
ことを特徴とする請求項1または2に記載の情報処理装置。
【請求項4】
前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ部によって問合せ済みのIPブロック情報の中に存在するか否かを判定する判定部、をさらに備えることを特徴とする請求項1~3のいずれか1つに記載の情報処理装置。
【請求項5】
前記問合せ部による問い合わせ結果に基づいて、前記ISP情報と前記IPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部を更新する更新部、をさらに備えることを特徴とする請求項1~4のいずれか1つに記載の情報処理装置。
【請求項6】
脅威IPアドレス情報提供元によって管理されるSVサーバから取得した脅威IPアドレス情報に基づいて、前記脅威IPアドレスの一覧を生成する生成部をさらに備え、前記生成部は、
前記脅威IPアドレス情報に含まれる脅威IPアドレスの重複を排除することで、重複のない脅威IPアドレスの一覧を生成する、
ことを特徴とする請求項1~5のいずれか1つに記載の情報処理装置。
【請求項7】
コンピュータが実行する情報処理方法であって、RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる問合せ工程と、
前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ工程によって問合せ済みのIPブロック情報の中に存在する場合は、前記脅威IPアドレスを管理するISPを前記問合せ済みのIPブロック情報に対応するISPであると特定する特定工程と、
を含むことを特徴とする情報処理方法。
【請求項8】
RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる問合せ手順と、前記脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが前記問合せ手順によって問合せ済みのIPブロック情報の中に存在する場合は、前記脅威IPアドレスを管理するISPを前記問合せ済みのIPブロック情報に対応するISPであると特定する特定手順と、
をコンピュータに実行させることを特徴とする情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置、情報処理方法及び情報処理プログラムに関する。
【背景技術】
【0002】
従来、DoS(Denial of Service attack)攻撃、BOF(Buffer Overflow)攻撃、ブルートフォース(Brute Force)アタック、情報の窃取または改ざん等のあらゆるサイバー攻撃からネットワークの安全性を確保するための様々な技術が知られている。例えば、SIEM(Security Information and Event Management)によって、サイバー攻撃等の攻撃元となったIPアドレス等、ネットワークの安全性を脅かす可能性のあるIPアドレス(以下、脅威IPアドレスともいう)からのアクセスを遮断および検知する技術が知られている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2016-152594号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上記の従来技術では、ISP(Internet Service Provider)によって管理されるIPアドレスの安全性を適切に評価可能にするとは限らない。例えば、上記の従来技術では、脅威IPアドレスからのアクセスを遮断および検知するにすぎず、ISPによって管理されるIPアドレスの安全性を適切に評価可能にするとは限らない。
【課題を解決するための手段】
【0005】
本願は、上記に鑑みてなされたものであって、ISP(Internet Service Provider)によって管理されるIPアドレスの安全性を適切に評価可能にすることができる情報処理装置、情報処理方法及び情報処理プログラムを提案する。
【0006】
本願に係る情報処理装置は、RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、前記ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる問合せ部と、前記脅威IPアドレスの一覧に含まれる脅威IPアドレスと一致するIPアドレスが前記問合せ部によって問合せ済みのIPブロック情報の中に存在する場合は、前記脅威IPアドレスを管理するISPを前記問合せ済みのIPブロック情報に対応するISPであると特定する特定部と、を備えることを特徴とする。
【発明の効果】
【0007】
実施形態の一態様によれば、ISP(Internet Service Provider)によって管理されるIPアドレスの安全性を適切に評価可能にするといった効果を奏する。
【図面の簡単な説明】
【0008】
【発明を実施するための形態】
【0009】
以下に、本願に係る情報処理装置、情報処理方法及び情報処理プログラムを実施するための形態(以下、「実施形態」と呼ぶ)について図面を参照しつつ詳細に説明する。なお、この実施形態により本願に係る情報処理装置、情報処理方法及び情報処理プログラムが限定されるものではない。また、以下の各実施形態において同一の部位には同一の符号を付し、重複する説明は省略される。
【0010】
〔1.はじめに〕
ISP(Internet Service Provider)によって管理されるネットワークの安全性を評価する指標の1つとして、そのISPによって管理されている脅威IPアドレスの数が他のISPによって管理されている脅威IPアドレスの数と比べてどの程度多いか(あるいは少ないか)に関する指標がある。例えば、ISPは、世界中で検出された脅威IPアドレスに対して、自社の脅威IPアドレスの数がどの程度多いか(あるいは少ないか)を知ることができれば、自社が脅威IPアドレス対策にどの程度の予算や時間を割くべきかを判断することが容易になる。
ISP(Internet Service Provider)によって管理されるネットワークの安全性を評価する指標の1つとして、そのISPによって管理されている脅威IPアドレスの数が他のISPによって管理されている脅威IPアドレスの数と比べてどの程度多いか(あるいは少ないか)に関する指標がある。例えば、ISPは、世界中で検出された脅威IPアドレスに対して、自社の脅威IPアドレスの数がどの程度多いか(あるいは少ないか)を知ることができれば、自社が脅威IPアドレス対策にどの程度の予算や時間を割くべきかを判断することが容易になる。
【0011】
一般的に、脅威IPアドレスに関する情報は、セキュリティ対策事業者であるセキュリティベンダー(Security Vender)等の脅威IPアドレス情報提供元から購入する等して取得することができる。しかしながら、脅威IPアドレス情報提供元からは、脅威IPアドレスを管理しているISPを特定可能な情報を取得することが困難な場合がある。そのため、脅威IPアドレスを管理しているISPを特定するには、RADB(Routing Assets Database)に対して、その脅威IPアドレスを管理しているISP情報を問い合わせる必要がある。ところが、脅威IPアドレス情報提供元から取得する脅威IPアドレスの数は膨大なため、RADBに対してすべての脅威IPのISP情報を問い合わせると、問い合わせ自体がRADBに対するDoS攻撃になってしまう。
【0012】
そこで、本願発明に係る情報処理装置100は、RADBに対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。また、情報処理装置100は、脅威IPアドレスの一覧に含まれる脅威IPアドレスと一致するIPアドレスが問合せ部134によって問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。
【0013】
これを繰り返すことにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数を減らすことができる。すなわち、情報処理装置100は、RADBに対する問い合わせ回数および問い合わせに要する時間を減らすことができるので、従来よりも効率的に脅威IPアドレスのISP情報を特定することができる。つまり、情報処理装置100は、ISPが世界中で検出された脅威IPアドレスに対して、自社の脅威IPアドレスの数がどの程度多いか(あるいは少ないか)を知ることを助ける。したがって、情報処理装置100は、ISPによって管理されるIPアドレスの安全性を適切に評価可能にする。
【0014】
〔2.情報処理システムの構成〕
次に、図1を用いて、実施形態に係る情報処理システムの構成について説明する。図1は、実施形態に係る情報処理システムの構成例を示す図である。図1に示すように、情報処理システム1には、SVサーバ10と、RADB20と、情報処理装置100とが含まれる。SVサーバ10と、RADB20と、情報処理装置100とは所定のネットワークNを介して、有線または無線により通信可能に接続される。なお、図1に示す情報処理システム1には、任意の数のSVサーバ10と任意の数のRADB20と任意の数の情報処理装置100とが含まれてもよい。
次に、図1を用いて、実施形態に係る情報処理システムの構成について説明する。図1は、実施形態に係る情報処理システムの構成例を示す図である。図1に示すように、情報処理システム1には、SVサーバ10と、RADB20と、情報処理装置100とが含まれる。SVサーバ10と、RADB20と、情報処理装置100とは所定のネットワークNを介して、有線または無線により通信可能に接続される。なお、図1に示す情報処理システム1には、任意の数のSVサーバ10と任意の数のRADB20と任意の数の情報処理装置100とが含まれてもよい。
【0015】
SVサーバ10は、セキュリティベンダー等の脅威IPアドレス情報提供元によって管理されるサーバ装置である。SVサーバ10は、ISPに対してネットワークセキュリティ上の脅威情報を提供する。例えば、SVサーバ10は、脅威IPアドレスに関する情報要求を情報処理装置100に対して許可する。
【0016】
RADB20は、IPR(Internet Routing Registry)情報が登録されたデータベースである。例えば、RADB20には、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報が登録されている。
【0017】
情報処理装置100は、ISP(Internet Service Provider)によって管理されるサーバ装置である。情報処理装置100は、SVサーバ10から脅威IPアドレス情報を取得する。情報処理装置100は、SVサーバ10から取得した脅威IPアドレスに関する情報に基づいて、重複のない脅威IPアドレスの一覧を作成する。
【0018】
また、情報処理装置100は、RADBに対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。情報処理装置100は、問い合わせ済みのIPブロック情報を記憶部に記憶する。また、情報処理装置100は、脅威IPアドレスの一覧に含まれる脅威IPアドレスと一致するIPアドレスが問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。
【0019】
〔3.情報処理装置の構成〕
次に、図2を用いて、実施形態に係る情報処理装置100の構成について説明する。図2は、実施形態に係る情報処理装置100の構成例を示す図である。図2に示すように、情報処理装置100は、通信部110と、記憶部120と、制御部130とを有する。なお、情報処理装置100は、情報処理装置100の管理者等から各種操作を受け付ける入力部(例えば、キーボードやマウス等)や、各種情報を表示させるための表示部(例えば、液晶ディスプレイ等)を有してもよい。
次に、図2を用いて、実施形態に係る情報処理装置100の構成について説明する。図2は、実施形態に係る情報処理装置100の構成例を示す図である。図2に示すように、情報処理装置100は、通信部110と、記憶部120と、制御部130とを有する。なお、情報処理装置100は、情報処理装置100の管理者等から各種操作を受け付ける入力部(例えば、キーボードやマウス等)や、各種情報を表示させるための表示部(例えば、液晶ディスプレイ等)を有してもよい。
【0020】
(通信部110)
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。そして、通信部110は、ネットワークと有線または無線で接続され、例えば、SVサーバ10やRADB20との間で情報の送受信を行う。
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。そして、通信部110は、ネットワークと有線または無線で接続され、例えば、SVサーバ10やRADB20との間で情報の送受信を行う。
【0021】
(記憶部120)
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部120は、図2に示すように、脅威IPリスト記憶部121とCIDRキャッシュ記憶部122を有する。
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部120は、図2に示すように、脅威IPリスト記憶部121とCIDRキャッシュ記憶部122を有する。
【0022】
(脅威IPリスト記憶部121)
脅威IPリスト記憶部121は、脅威IPアドレスに関する各種の情報を記憶する。具体的には、脅威IPリスト記憶部121は、生成部131によって生成された脅威IPアドレスの一覧に関する情報を記憶する。例えば、脅威IPリスト記憶部121は、重複を排除したユニークな脅威IPアドレスの一覧に関する情報を記憶する。
脅威IPリスト記憶部121は、脅威IPアドレスに関する各種の情報を記憶する。具体的には、脅威IPリスト記憶部121は、生成部131によって生成された脅威IPアドレスの一覧に関する情報を記憶する。例えば、脅威IPリスト記憶部121は、重複を排除したユニークな脅威IPアドレスの一覧に関する情報を記憶する。
【0023】
(CIDRキャッシュ記憶部122)
CIDRキャッシュ記憶部122は、問合せ部134によってRADBに対して問合せ済みのIPブロック情報(以下、CIDRキャッシュ情報ともいう)を記憶する。ここで、図3を用いて、CIDRキャッシュ記憶部122が記憶する情報の一例を説明する。図3は、CIDRキャッシュ記憶部122の一例を示す図である。図3に示すように、CIDRキャッシュ記憶部122は、「ISP名」、「IPブロック」といった項目を有する。
CIDRキャッシュ記憶部122は、問合せ部134によってRADBに対して問合せ済みのIPブロック情報(以下、CIDRキャッシュ情報ともいう)を記憶する。ここで、図3を用いて、CIDRキャッシュ記憶部122が記憶する情報の一例を説明する。図3は、CIDRキャッシュ記憶部122の一例を示す図である。図3に示すように、CIDRキャッシュ記憶部122は、「ISP名」、「IPブロック」といった項目を有する。
【0024】
「ISP名」は、ISPの名称を示す。「IPブロック」は、ISPによって管理されているIPアドレスの範囲を示すIPブロック(CIDR)の情報を示す。
【0025】
図3に示す例では、ISP名「A社」は、ISPの名称が「A社」であることを示す。また、ISP名「A社」によって管理されているIPブロック(CIDR)には、「IPブロック#11」、「IPブロック#12」、…等の複数のIPブロックが存在することを示す。より具体的には、IPブロック「IPブロック#11」は、A社によって管理されているあるIPブロックの情報を示す。例えば、IPブロック「IPブロック#11」は、「192.168.1.1」~「192.168.1.100」の範囲のIPアドレスのブロックを示す情報である。
【0026】
(制御部130)
図2の説明に戻って、制御部130は、コントローラ(controller)であり、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、情報処理装置100内部の記憶装置に記憶されている各種プログラム(情報処理プログラムの一例に相当)がRAMを作業領域として実行されることにより実現される。また、制御部130は、コントローラであり、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現される。
図2の説明に戻って、制御部130は、コントローラ(controller)であり、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、情報処理装置100内部の記憶装置に記憶されている各種プログラム(情報処理プログラムの一例に相当)がRAMを作業領域として実行されることにより実現される。また、制御部130は、コントローラであり、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現される。
【0027】
図2に示すように、制御部130は、生成部131と、判定部132と、特定部133と、問合せ部134と、更新部135とを有し、以下に説明する情報処理の作用を実現または実行する。なお、制御部130の内部構成は、図2に示した構成に限られず、後述する情報処理を行う構成であれば他の構成であってもよい。
【0028】
(生成部131)
生成部131は、脅威IPアドレス情報提供元によって管理されるSVサーバ10から脅威IPアドレス情報を取得する。続いて、生成部131は、取得した脅威IPアドレス情報に基づいて、脅威IPアドレス情報に含まれる脅威IPアドレスの重複を排除することで、ユニークな脅威IPアドレスの一覧を生成する。生成部131は、脅威IPアドレスの一覧を生成すると、生成した脅威IPアドレスの一覧に関する情報を脅威IPリスト記憶部121に記憶する。
生成部131は、脅威IPアドレス情報提供元によって管理されるSVサーバ10から脅威IPアドレス情報を取得する。続いて、生成部131は、取得した脅威IPアドレス情報に基づいて、脅威IPアドレス情報に含まれる脅威IPアドレスの重複を排除することで、ユニークな脅威IPアドレスの一覧を生成する。生成部131は、脅威IPアドレスの一覧を生成すると、生成した脅威IPアドレスの一覧に関する情報を脅威IPリスト記憶部121に記憶する。
【0029】
(判定部132)
判定部132は、脅威IPアドレスの一覧に含まれる脅威IPアドレスと一致するIPアドレスが問合せ部134によって問合せ済みのIPブロック情報の中に存在するか否かを判定する。具体的には、判定部132は、脅威IPリスト記憶部121を参照して、脅威IPアドレスの一覧の中から所定の脅威アドレスを取得する。例えば、判定部132は、脅威IPアドレスの一覧の中から「192.168.1.1」で示される脅威アドレスを取得する。
判定部132は、脅威IPアドレスの一覧に含まれる脅威IPアドレスと一致するIPアドレスが問合せ部134によって問合せ済みのIPブロック情報の中に存在するか否かを判定する。具体的には、判定部132は、脅威IPリスト記憶部121を参照して、脅威IPアドレスの一覧の中から所定の脅威アドレスを取得する。例えば、判定部132は、脅威IPアドレスの一覧の中から「192.168.1.1」で示される脅威アドレスを取得する。
【0030】
続いて、判定部132は、CIDRキャッシュ記憶部122を参照して、所定の脅威アドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報(CIDRキャッシュ情報)の中に存在するか否かを判定する。例えば、判定部132は、「192.168.1.1」で示される脅威アドレスを含む範囲のIPブロックがCIDRキャッシュ情報の中に存在するか否かを判定する。
【0031】
(特定部133)
特定部133は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。例えば、特定部133は、判定部132によって「192.168.1.10」で示される脅威アドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報(CIDRキャッシュ情報)の中に存在すると判定された場合、「192.168.1.10」で示される脅威アドレスを管理するISPを「192.168.1.10」で示される脅威アドレス情報に対応するISPの「A社」であると特定する。
特定部133は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。例えば、特定部133は、判定部132によって「192.168.1.10」で示される脅威アドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報(CIDRキャッシュ情報)の中に存在すると判定された場合、「192.168.1.10」で示される脅威アドレスを管理するISPを「192.168.1.10」で示される脅威アドレス情報に対応するISPの「A社」であると特定する。
【0032】
(問合せ部134)
問合せ部134は、RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。例えば、問合せ部134は、RADBに対して、脅威IPアドレスの一覧に含まれる「192.168.1.1」で示される脅威アドレスを管理するISPを示すISP情報を問い合わせる。問合せ部134は、問い合わせの結果、RADBから、「192.168.1.1」で示される脅威アドレスを管理するISPの名称は「A社」であるというISP情報を取得する。
問合せ部134は、RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。例えば、問合せ部134は、RADBに対して、脅威IPアドレスの一覧に含まれる「192.168.1.1」で示される脅威アドレスを管理するISPを示すISP情報を問い合わせる。問合せ部134は、問い合わせの結果、RADBから、「192.168.1.1」で示される脅威アドレスを管理するISPの名称は「A社」であるというISP情報を取得する。
【0033】
続いて、問合せ部134は、脅威アドレスのISP情報を取得すると、「A社」で示されるISPによって管理されているIPアドレスの範囲を示すIPブロック(CIDR)を問い合わせる。問合せ部134は、問い合わせの結果、RADBから、「A社」のIPブロックは、「192.168.1.1~192.168.1.100」の範囲のIPアドレスのブロックを示すIPブロック#11、「192.168.1.101~192.168.1.300」の範囲のIPアドレスのブロックを示すIPブロック#12、…といったIPブロック情報を取得する。続いて、問合せ部134は、取得したISP情報である「A社」と「192.168.1.1~192.168.1.100」の範囲のIPアドレスのブロックを示すIPブロック#11、「192.168.1.101~192.168.1.300」の範囲のIPアドレスのブロックを示すIPブロック#12、…とを対応付けてCIDRキャッシュ記憶部122に記憶する。また、問合せ部134は、IPブロック(CIDR)の重複を削除してCIDRキャッシュ記憶部122に記憶する。例えば、問合せ部134は、問い合わせの結果、「192.168.0.0/12」と「192.168.1.0/24」と「192.168.2.0/24」という3つのIPブロック情報を取得する。この場合、問合せ部134は、「192.168.1.0/24」と「192.168.2.0/24」は「192.168.0.0/12」の範囲に含まれるため、「192.168.0.0/12」のIPブロック情報のみをCIDRキャッシュ記憶部122に記憶する。このように、問合せ部134は、問い合わせの結果、所定のIPブロックと所定のIPブロックを含む範囲のIPブロックとを取得した場合には、所定のIPブロックを含む範囲のIPブロック情報のみをCIDRキャッシュ記憶部122に記憶する。
【0034】
また、問合せ部134は、判定部132によって脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報の中に存在しないと判定された場合は、RADBに対して、脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。例えば、問合せ部134は、判定部132によって「192.168.1.10」で示される脅威アドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報(CIDRキャッシュ情報)の中に存在しないと判定された場合は、RADBに対して、「192.168.1.10」で示される脅威アドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。
【0035】
(更新部135)
更新部135は、問合せ部134による問い合わせ結果に基づいて、ISP情報とIPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部を更新する。具体的には、更新部135は、問合せ部134がRADBから新たな問合せ情報を取得する度に、取得した脅威アドレスのISP情報とIPブロックごとのIPブロック情報とを対応付けてCIDRキャッシュ記憶部に書き込む。
更新部135は、問合せ部134による問い合わせ結果に基づいて、ISP情報とIPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部を更新する。具体的には、更新部135は、問合せ部134がRADBから新たな問合せ情報を取得する度に、取得した脅威アドレスのISP情報とIPブロックごとのIPブロック情報とを対応付けてCIDRキャッシュ記憶部に書き込む。
【0036】
〔4.情報処理のフロー〕
次に、図4を用いて、実施形態に係る情報処理の手順について説明する。図4は、実施形態に係る情報処理手順を示すフローチャートである。図4に示す例では、生成部131は、脅威IPアドレス情報提供元から取得した脅威IPアドレス情報に基づいて、脅威IPアドレスの一覧を生成する(ステップS101)。
次に、図4を用いて、実施形態に係る情報処理の手順について説明する。図4は、実施形態に係る情報処理手順を示すフローチャートである。図4に示す例では、生成部131は、脅威IPアドレス情報提供元から取得した脅威IPアドレス情報に基づいて、脅威IPアドレスの一覧を生成する(ステップS101)。
【0037】
判定部132は、生成部131が生成した脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロック(CIDR)が問合せ部134によって問合せ済みのIPブロック情報(CIDRキャッシュ)の中に存在するか否かを判定する(ステップS102)。特定部133は、判定部132によって脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在すると判定された場合(ステップS102;Yes)、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する(ステップS103)。
【0038】
一方、問合せ部134は、判定部132によって脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在しないと判定された場合(ステップS102;No)、RADBに対して、脅威IPアドレスを管理するISPを示すISP情報を問い合わせる(ステップS104)。
【0039】
問合せ部134は、問い合わせの結果、脅威IPアドレスを管理するISPが特定されなかった場合(ステップS105;No)、問い合わせに係る脅威IPアドレスを追加したUNKOWNキャッシュを作成する(ステップS106)。
【0040】
一方、問合せ部134は、問い合わせの結果、脅威IPアドレスを管理するISPが特定された場合(ステップS105;Yes)、RADBに対して、特定されたISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる(ステップS107)。
【0041】
更新部135は、問合せ部134による問い合わせ結果に基づいて、問い合わせ結果に対応するISP情報とIPブロック情報とを対応付けた情報をCIDRキャッシュ記憶部に追加することで、CIDRキャッシュ記憶部を更新する(ステップS108)。
【0042】
〔5.効果〕
上述してきたように、実施形態に係る情報処理装置100は、問合せ部134と特定部133とを備える。問合せ部134は、RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。特定部133は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。
上述してきたように、実施形態に係る情報処理装置100は、問合せ部134と特定部133とを備える。問合せ部134は、RADB(Routing Assets Database)に対して、脅威IPアドレスの一覧に含まれる所定の脅威IPアドレスを管理するISP(Internet Service Provider)を示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。特定部133は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在する場合は、脅威IPアドレスを管理するISPを問合せ済みのIPブロック情報に対応するISPであると特定する。
【0043】
これにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数を減らすことができる。すなわち、情報処理装置100は、RADBに対する問い合わせ回数および問い合わせに要する時間を減らすことができるので、従来よりも効率的に脅威IPアドレスのISP情報を特定することができる。つまり、情報処理装置100は、ISPが世界中で検出された脅威IPアドレスに対して、自社の脅威IPアドレスの数がどの程度多いか(あるいは少ないか)を知ることを助ける。したがって、情報処理装置100は、ISPによって管理されるIPアドレスの安全性を適切に評価可能にする。
【0044】
また、問合せ部134は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在しない場合は、RADBに対して、脅威IPアドレスを管理するISPを示すISP情報を問い合わせるとともに、ISPによって管理されているIPアドレスの範囲を示すIPブロック情報を問い合わせる。
【0045】
これにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数を減らすことができる。また、情報処理装置100は、脅威IPアドレスを含むIPブロックを特定することができる。
【0046】
また、情報処理装置100は、問合せ部134による問い合わせ結果に基づいて、ISP情報とIPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部をさらに備える。問合せ部134は、問い合わせの結果、所定のIPブロックと所定のIPブロックを含む範囲のIPブロックとを取得した場合には、所定のIPブロックを含む範囲のIPブロック情報のみをCIDRキャッシュ記憶部122に記憶する。
【0047】
これにより、情報処理装置100は、CIDRキャッシュ記憶部122に記憶するIPブロック情報の重複を排除することができるので、より効率的にIPブロック情報を記憶することができる。
【0048】
また、情報処理装置100は、判定部132をさらに備える。判定部132は、脅威IPアドレスの一覧に含まれる脅威IPアドレスを含む範囲のIPブロックが問合せ部134によって問合せ済みのIPブロック情報の中に存在するか否かを判定する。
【0049】
これにより、情報処理装置100は、判定結果に基づいて、RADBに対する脅威IPアドレスのISP情報を問い合わせるか否かを決定することができる。
【0050】
また、情報処理装置100は、更新部135をさらに備える。更新部135は、問合せ部134による問い合わせ結果に基づいて、ISP情報とIPブロック情報とを対応付けて記憶するCIDRキャッシュ記憶部を更新する。
【0051】
これにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数を減らすことができる。
【0052】
また、情報処理装置100は、生成部131をさらに備える。生成部131は、脅威IPアドレス情報提供元によって管理されるSVサーバから取得した脅威IPアドレス情報に基づいて、脅威IPアドレスの一覧を生成する。具体的には、生成部131は、脅威IPアドレス情報に含まれる脅威IPアドレスの重複を排除することで、重複のない脅威IPアドレスの一覧を生成する。
【0053】
これにより、情報処理装置100は、RADBに対する脅威IPアドレスのISP情報の問い合わせ回数をより減らすことができる。
【0054】
〔6.ハードウェア構成〕
また、上述してきた実施形態に係る情報処理装置100は、例えば図5に示すような構成のコンピュータ1000によって実現される。図5は、情報処理装置100の機能を実現するコンピュータの一例を示すハードウェア構成図である。コンピュータ1000は、CPU1100、RAM1200、ROM1300、HDD1400、通信インターフェイス(I/F)1500、入出力インターフェイス(I/F)1600、及びメディアインターフェイス(I/F)1700を備える。
また、上述してきた実施形態に係る情報処理装置100は、例えば図5に示すような構成のコンピュータ1000によって実現される。図5は、情報処理装置100の機能を実現するコンピュータの一例を示すハードウェア構成図である。コンピュータ1000は、CPU1100、RAM1200、ROM1300、HDD1400、通信インターフェイス(I/F)1500、入出力インターフェイス(I/F)1600、及びメディアインターフェイス(I/F)1700を備える。
【0055】
CPU1100は、ROM1300またはHDD1400に格納されたプログラムに基づいて動作し、各部の制御を行う。ROM1300は、コンピュータ1000の起動時にCPU1100によって実行されるブートプログラムや、コンピュータ1000のハードウェアに依存するプログラム等を格納する。
【0056】
HDD1400は、CPU1100によって実行されるプログラム、及び、かかるプログラムによって使用されるデータ等を格納する。通信インターフェイス1500は、所定の通信網を介して他の機器からデータを受信してCPU1100へ送り、CPU1100が生成したデータを所定の通信網を介して他の機器へ送信する。
【0057】
CPU1100は、入出力インターフェイス1600を介して、ディスプレイやプリンタ等の出力装置、及び、キーボードやマウス等の入力装置を制御する。CPU1100は、入出力インターフェイス1600を介して、入力装置からデータを取得する。また、CPU1100は、生成したデータを入出力インターフェイス1600を介して出力装置へ出力する。
【0058】
メディアインターフェイス1700は、記録媒体1800に格納されたプログラムまたはデータを読み取り、RAM1200を介してCPU1100に提供する。CPU1100は、かかるプログラムを、メディアインターフェイス1700を介して記録媒体1800からRAM1200上にロードし、ロードしたプログラムを実行する。記録媒体1800は、例えばDVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等である。
【0059】
例えば、コンピュータ1000が実施形態に係る情報処理装置100として機能する場合、コンピュータ1000のCPU1100は、RAM1200上にロードされたプログラムを実行することにより、制御部130の機能を実現する。コンピュータ1000のCPU1100は、これらのプログラムを記録媒体1800から読み取って実行するが、他の例として、他の装置から所定の通信網を介してこれらのプログラムを取得してもよい。
【0060】
以上、本願の実施形態のいくつかを図面に基づいて詳細に説明したが、これらは例示であり、発明の開示の欄に記載の態様を始めとして、当業者の知識に基づいて種々の変形、改良を施した他の形態で本発明を実施することが可能である。
【0061】
〔7.その他〕
また、上記実施形態及び変形例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、各図に示した各種情報は、図示した情報に限られない。
また、上記実施形態及び変形例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、各図に示した各種情報は、図示した情報に限られない。
【0062】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
【0063】
また、上述してきた実施形態及び変形例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。
【0064】
また、上述してきた「部(section、module、unit)」は、「手段」や「回路」などに読み替えることができる。例えば、決定部は、決定手段や決定回路に読み替えることができる。
【符号の説明】
【0065】
1 情報処理システム
10 SVサーバ
20 RADB
100 情報処理装置
110 通信部
120 記憶部
121 脅威IPリスト記憶部
122 CIDRキャッシュ記憶部
130 制御部
131 生成部
132 判定部
133 特定部
134 問合せ部
135 更新部
10 SVサーバ
20 RADB
100 情報処理装置
110 通信部
120 記憶部
121 脅威IPリスト記憶部
122 CIDRキャッシュ記憶部
130 制御部
131 生成部
132 判定部
133 特定部
134 問合せ部
135 更新部
【図1】
【図2】
【図3】
【図4】
【図5】