特許7045124無線ネットワークセキュリティ診断システム、セキュリティ診断サーバ、及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-03-23
(45)【発行日】2022-03-31
(54)【発明の名称】無線ネットワークセキュリティ診断システム、セキュリティ診断サーバ、及びプログラム
(51)【国際特許分類】
H04W 12/121 20210101AFI20220324BHJP
H04W 84/12 20090101ALI20220324BHJP
H04W 12/73 20210101ALI20220324BHJP
H04W 12/61 20210101ALI20220324BHJP
【FI】
H04W12/121
H04W84/12
H04W12/73
H04W12/61
【請求項の数】
8
(21)【出願番号】P 2021562104
(86)(22)【出願日】2021-04-08
(86)【国際出願番号】 JP2021014962
(87)【国際公開番号】W WO2021206156
(87)【国際公開日】2021-10-14
【審査請求日】2021-11-02
(31)【優先権主張番号】P 2020070728
(32)【優先日】2020-04-10
(33)【優先権主張国・地域又は機関】JP
【新規性喪失の例外の表示】特許法第30条第2項適用 2019年6月10日の株式会社スプラインネットワークが公開したプレスリリース(https://www.spline-network.co.jp/wp/wp-content/uploads/2019/06/a0a9f4d361778e8345908f4b7d756145-3.pdf)において発表
【新規性喪失の例外の表示】特許法第30条第2項適用 2019年12月23日の株式会社スプラインネットワークが公開したプレスリリース(https://www.spline-network.co.jp/wp/wp-content/uploads/2019/12/Rel-WiSAS.pdf)において発表
【早期審査対象出願】
(73)【特許権者】
【識別番号】510211332
【氏名又は名称】株式会社スプラインネットワーク
(74)【代理人】
【識別番号】100120008
【弁理士】
【氏名又は名称】山田 くみ子
(72)【発明者】
【氏名】雪野 洋一
【審査官】青木 健
(56)【参考文献】
【文献】国際公開第2010/135085(WO,A1)
【文献】特開2018-097821(JP,A)
【文献】特開2006-279438(JP,A)
【文献】特開2007-089006(JP,A)
【文献】特開2010-273205(JP,A)
【文献】国際公開第2017/037964(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04W 4/00 - 99/00
H04B 7/24 - 7/26
(57)【特許請求の範囲】
【請求項1】
無線信号探知センサと、マネージャサーバと、
セキュリティ診断サーバと、を有する無線ネットワークセキュリティ診断システムであって、
前記無線信号探知センサは、
無線信号を探知するセンサ部と、
探知した無線信号の発信元の端末を一意に特定するための機器IDと信号強度、探知時間と、当該発信元の端末に接続されているサブ端末情報とを対応づけて機器情報として記憶する機器情報記憶部と、
前記機器情報をマネージャサーバへ送信する通信部と、
認可されているアクセスポイント及び接続端末の認可端末情報を記憶する認可端末情報記憶部と、
不正端末の接続ログとしてログ情報を生成するログ生成条件を記憶し、前記ログ生成条件に合致する場合は、ログ情報を生成するログ生成部を有し、
前記通信部は、前記ログ生成部で生成されたログ情報を前記マネージャサーバへ送信し、
前記マネージャサーバは、
各無線信号探知センサから受信した機器情報を前記無線信号探知センサに対応付けて記憶し、
前記セキュリティ診断サーバから送信要求を受信すると、要求に対応する所定期間内の無線信号探知センサの機器情報を送信し、
前記セキュリティ診断サーバから要求を受信すると、前記ログ情報を送信し、
前記セキュリティ診断サーバは、
無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行うセキュリティ分析部と、
セキュリティ分析に基づいてセキュリティレポートを生成するレポート生成部と、
レポート生成通知を行うレポート通知部と、を有し、
前記セキュリティ分析部が、受信したログ情報と機器情報に基づいて無線ネットワークのセキュリティリスクを分析するものであって、
前記セキュリティ診断サーバは、一定期間ごとに前記マネージャサーバへ所定の無線信号探知センサが探知する機器情報を要求し、
前記マネージャサーバは、前記セキュリティ診断サーバから要求を受信すると、要求があった無線信号探知センサへ、機器情報を要求し、
前記所定の無線信号探知センサからの機器情報を前記マネージャサーバを介して送信すると、前記セキュリティ診断サーバのセキュリティ分析部は、受信した機器情報の端末が認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、前記無線信号探知センサが受信した信号強度と探知時間の継続時間とに基づいて、不正アクセスポイントがあると診断し、前記レポート生成部は、不正アクセスポイントがあることを通知するレポートを生成する、
無線ネットワークセキュリティ診断システム。
無線ネットワークセキュリティ診断システム。
【請求項2】
請求項1記載の無線ネットワークセキュリティ診断システムであって、前記無線信号探知センサは、不正端末を検出すると、無線通信を遮断する通信遮断部をさらに有する、無線ネットワークセキュリティ診断システム。
【請求項3】
請求項2記載の無線ネットワークセキュリティ診断システムであって、前記認可端末情報記憶部は、不正端末情報をさらに記憶し、
前記通信遮断部は、前記認可端末情報記憶部に記憶されている不正端末情報に基づいて不正端末を検出し、無線通信を遮断する、無線ネットワークセキュリティ診断システム。
【請求項4】
請求項1~3記載の無線ネットワークセキュリティ診断システムであって、前記セキュリティ診断サーバのセキュリティ分析部は、受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて前記無線ネットワークのセキュリティリスクを分析する、無線ネットワークセキュリティ診断システム。
【請求項5】
所定の無線信号探知センサが収集した探知した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を受信する機器情報受信部と、無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行うセキュリティ分析部と、
セキュリティ分析に基づいてセキュリティレポートを生成するレポート生成部と、
レポート生成通知を行うレポート通知部と、を有し、
前記機器情報受信部は、一定間隔で機器情報を受信し、
前記セキュリティ分析部は、受信した機器情報の機器が認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、前記無線信号探知センサが受信した信号強度と探知時間の継続時間とに基づいて、不正アクセスポイントがあると診断し、
前記レポート生成部は、不正アクセスポイントがあることを通知するレポートを生成するセキュリティ診断サーバ。
【請求項6】
請求項5記載のセキュリティ診断サーバであって、前記機器情報受信部は、さらに不正端末の接続ログであるログ情報を受信し、前記セキュリティ分析部は、受信したログ情報と機器情報とに基づいて無線ネットワークのセキュリティリスクを分析する、セキュリティ診断サーバ。
【請求項7】
請求項6記載のセキュリティ診断サーバであって、前記セキュリティ分析部は、受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて前記無線ネットワークのセキュリティリスクを分析する、セキュリティ診断サーバ。【請求項8】
セキュリティ診断サーバとしてコンピュータを機能させるコンピュータプログラムであって、所定の無線信号探知センサが収集した探知した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を一定間隔で受信し、
無線信号探知センサが収集した所定期間内の機器情報に基づいて受信した機器情報の機器が認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、前記無線信号探知センサが受信した信号強度と探知時間の継続時間とに基づいて、不正アクセスポイントがあると診断することで、無線ネットワークのセキュリティ分析を行い、
セキュリティ分析に基づいて不正アクセスポイントがあることを通知するセキュリティレポートを生成し、レポート生成通知を行う、コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線ネットワーク、例えばWi-Fiネットワークや無線LAN環境の脆弱性を診断する無線ネットワークセキュリティ診断システム、セキュリティ診断サーバ、プログラムに関する。
【背景技術】
【0002】
近年、無線ネットワーク、特にWi-Fiが急速に普及しており、公共の場所においても誰でも自由に使えるWi-Fi環境が提供されるようになってきている。
【0003】
しかし、無線ネットワークは、不正な端末の接続の有無やなりすまし端末による接続の有無など、その無線ネットワークが脆弱性を有しているかどうかは、容易にはわからないという問題があった。
【0004】
また、会社や事業所などで無線ネットワークを提供している場合、不正な端末に無線ネットワークに接続された場合、情報漏洩のリスクが伴うが、無線ネットワークに接続できる機器は年々小型化してきており、目視で不正端末の有無をチェックしたとしても容易には発見できないという問題があった。
【0005】
特許文献1では、社内や事業所内などに存在するあるネットワークシステムでの脆弱性を検出するために、ネットワークシステムのなかにある、互いに接続された小ネットワークシステムをさらにゾーンに分割し、ゾーンごとにゾーンを構成する機器やネットワーク情報、重要度などのゾーン情報を、同じネットワークシステム内にあるセキュリティシステムが収集し、符号化したうえで、脆弱性情報を取得して各ゾーンのリスク分析を行うセキュリティシステムが開示されている。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2019-159877号
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかし、特許文献1の技術においては、ある社内ネットワークシステムを対象とし、セキュリティシステムも同一ネットワークシステム内に存在しているため、符号化等の必要があるうえ、ネットワークシステム内をゾーンに分ける必要があり、さらに個別に機器を登録する必要があるなど、煩雑な事前設定が必要であった。また、職場のなかで情報漏洩等の目的で、無断でアクセスポイントの設置などがされても、検出することができないという問題があった。
【0008】
そこで、本発明では、セキュリティ診断を行いたい場所に無線信号を探知可能な無線信号探知センサを設置し、認可されているアクセスポイントの機器情報やコンピュータなどの端末情報を登録し、探知センサが収集した機器情報や端末情報は無線信号探知センサ専用のネットワークを介してマネージャサーバへ送信するように構成することで簡便にセキュリティ診断が行える無線ネットワークセキュリティ診断システムを提供する。
【課題を解決するための手段】
【0009】
本発明にあっては、無線信号を探知し、無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を収集する無線信号探知センサと、一又は二以上の前記無線信号探知センサから、収集した機器情報を受信するマネージャサーバと、無線信号探知センサが収集した機器情報に基づいて、無線信号探知センサが存在する無線ネットワークにおけるセキュリティを診断し、セキュリティレポートを生成するセキュリティ診断サーバと、を有する無線ネットワークセキュリティ診断システムを提供することができる。
【0010】
さらに、無線ネットワークセキュリティ診断システムであって、無線信号探知センサは、無線信号を探知するセンサ部と、探知した無線信号の発信元の端末を一意に特定するための機器IDと信号強度、探知時間と、当該発信元の端末に接続されているサブ端末情報とを対応づけて機器情報として記憶する機器情報記憶部と、機器情報をマネージャサーバへ送信する通信部と、を有し、マネージャサーバは、各無線信号探知センサから受信した機器情報を無線信号探知センサに対応付けて記憶し、セキュリティ診断サーバから送信要求を受信すると、要求に対応する所定期間内の無線信号探知センサの機器情報を送信し、セキュリティ診断サーバは、無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行うセキュリティ分析部と、セキュリティ分析に基づいてセキュリティレポートを生成するレポート生成部と、レポート生成通知を行うレポート通知部と、を有する無線ネットワークセキュリティ診断システムを提供することができる。
【0011】
また、本発明にかかる無線ネットワークセキュリティ診断システムにおいては、無線信号探知センサは、さらに認可されているアクセスポイント及び接続端末の認可端末情報を記憶する認可端末情報記憶部と、センサ部が探知した機器情報が認可端末情報記憶部に記憶された認可端末情報に含まれていない場合又は複数の同一の認可端末情報が含まれる場合、不正端末の接続ログとしてログ情報を生成するログ生成部とを有し、通信部は、ログ生成部で生成されたログ情報をマネージャサーバへ送信し、マネージャサーバは、セキュリティ診断サーバから要求を受信すると、ログ情報を送信し、セキュリティ診断サーバは、セキュリティ分析部が、受信したログ情報と機器情報に基づいて無線ネットワークのセキュリティリスクを分析する。
【0012】
また、無線信号探知センサは、不正端末を検出すると、無線通信を遮断する通信遮断部をさらに有してもよい。
【0013】
さらに、セキュリティ診断サーバのセキュリティ分析部は、受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて前記無線ネットワークのセキュリティリスクを分析する。
【0014】
さらに、セキュリティ診断サーバは、一定期間ごとにマネージャサーバへ所定の無線信号探知センサが探知する機器情報を要求し、マネージャサーバは、セキュリティ診断サーバから要求を受信すると、要求があった無線信号探知センサへ、機器情報を要求し、所定の無線信号探知センサが機器情報を送信すると、セキュリティ診断サーバのセキュリティ分析部は、受信した機器情報の端末が認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、無線信号探知センサが受信した信号強度と探知時間の継続時間とに基づいて、不正アクセスポイントがあると診断し、レポート生成部は、不正アクセスポイントがあることを通知するレポートを生成する、無線ネットワークセキュリティ診断システムを提供する。
【0015】
また、本発明にかかるセキュリティ診断サーバは、所定の無線信号探知センサが収集した探知した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を受信する機器情報受信部と、無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行うセキュリティ分析部と、セキュリティ分析に基づいてセキュリティレポートを生成するレポート生成部と、レポート生成通知を行うレポート通知部と、を有するセキュリティ診断サーバを提供する。
【0016】
また、機器情報受信部は、さらに不正端末の接続ログであるログ情報を受信し、セキュリティ分析部は、受信したログ情報と機器情報とに基づいて無線ネットワークのセキュリティリスクを分析する。
【0017】
また、セキュリティ分析部は、受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて無線ネットワークのセキュリティリスクを分析する。
【0018】
さらに、機器情報受信部は、一定間隔で機器情報を受信し、セキュリティ分析部は、受信した機器情報の機器が認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、無線信号探知センサが受信した信号強度と探知時間の継続時間とに基づいて、不正アクセスポイントがあると診断し、レポート生成部は、不正アクセスポイントがあることを通知するレポートを生成してもよい。
【0019】
また、本発明にかかるセキュリティ診断サーバとしてコンピュータを機能させるコンピュータプログラムは、所定の無線信号探知センサが収集した探知した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を受信し、無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行い、セキュリティ分析に基づいてセキュリティレポートを生成し、レポート生成通知を行う、コンピュータプログラムを提供する。
【発明の効果】
【0020】
本発明によれば、無線信号探知センサは所定の半径内における無線信号の情報を収集し、診断対象となる無線ネットワークを利用することなく、収集した機器情報及び生成したログ情報を送信するため、無線信号探知センサを診断したい場所に置くだけで簡便にセキュリティ診断を行うことができる。また、無線信号探知センサを複数、お互いの受信範囲が重なり合うように設置することで不正端末の位置推定を行うことができる。
【0021】
また、本発明によれば、信号強度と信号受信の継続時間に基づいて不正端末を検出するため、あらかじめ認可端末が登録されていない場合であっても、不正端末の検出を行うことができる。
【図面の簡単な説明】
【0022】
【図13】レポート生成部320が生成するセキュリティレポートの一例を示す図である。
【図14】本発明におけるセキュリティ診断サーバ30のハードウェア構成図の一例を示すブロック図である。
【図15】本発明の第二の実施の形態におけるマネージャサーバ20の機能ブロック図の一例である。
【図16】本発明の第二の実施の形態における機器分類情報記憶部240に記憶されているデータベース構成の一例である。
【発明を実施するための形態】
【0023】
以下、本発明を実施するための形態について、図面を参照しながら説明する。なお、本明細書及び図面において、実質的に同一の機能及び構成を有する構成要素については同一の符号を付し、重複説明を省略する。
【0024】
図1は、本発明における無線ネットワークセキュリティ診断システムの一例を示す図である。図1に示される無線ネットワークセキュリティ診断システムは、一又は複数の無線信号探知センサ10とマネージャサーバ20、セキュリティ診断サーバ30とから構成される。
【0025】
無線信号探知センサ10は、無線信号を探知し、無線信号の発信元の端末情報とその機器に接続されている端末情報とを収集するセンサである。例えばWi-Fiなど、所定の無線ネットワークの規格に準拠し、無線信号探知センサ10が探知できる範囲(例えば、半径25メートル)内において、準拠している規格の無線信号が発信されているとき、それを探知し、その発信元の端末の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を収集する。発信元の端末としては、例えば、無線通信を実現するためのアクセスポイントや、アクセスポイント先を探索するために無線信号を発信しており、未だどのアクセスポイントにも接続されていない通信端末、例えば、スマートフォンなどの携帯端末やコンピュータである。また、スマートフォンなどの通信端末がデザリング機能をオンにしている場合、アクセスポイントに含まれる。さらに、アクセスポイントへ接続している通信端末の情報もサブ端末情報としてアクセスポイントの端末情報に関連付けて収集する。
【0026】
また、無線信号探知センサ10は、その場所において設置が認められている無線アクセスポイントなど無線信号を発信することを認められている端末情報を認可端末情報としてあらかじめ記憶している。端末情報とは、例えば、無線通信を実現するためのアクセスポイントや、そのアクセスポイントへ接続している通信端末、例えば、スマートフォンなどの携帯端末やコンピュータの情報である。無線信号探知センサ10が収集した無線信号の発信元情報と、記憶している認可端末情報とを参照し、収集した機器情報が、記憶されている認可端末機器情報に含まれていない場合、または複数の同一の認可端末情報が含まれることとなる場合、不正端末の接続ログとしてログ情報を生成し、マネージャサーバ20へ送信してもよい。また、無線信号探知センサ10は、不正端末の存在として検出するための条件であるログ生成条件を記憶しており、ログ生成条件に合致する端末情報を探知した場合、ログ情報を生成してもよい。
【0027】
無線信号探知センサ10は、探知された端末の情報としてその端末の機器IDや信号強度、探知時間と、その発信元の端末に接続されているサブ端末の機器IDとを対応付けて機器情報として記憶する。
【0028】
さらに、無線信号探知センサ10は、探知される範囲内で無線信号の発信や無線接続が認可されているアクセスポイントと接続端末とを認可端末情報として記憶し、認可端末情報に含まれていない端末の機器情報を探知した場合は、不正端末の接続ログとしてログ情報を生成する。生成したログ情報は、マネージャサーバ20へ送信する。
【0029】
また、無線信号探知センサ10は、不正端末を検出すると、無線通信を遮断するために、不正接続されている端末及びアクセスポイント双方へ無線通信を遮断するための通信切断メッセージを送信することで、通信を強制的に遮断する。なお、無線信号探知センサ10は、認可端末だけでなく、不正端末の機器情報も記憶し、記憶されている不正端末機器情報と合致する端末を検出したとき、不正端末として無線通信を遮断してもよい。
【0030】
無線信号探知センサ10は、探知している無線信号のネットワークではなく、自らが有するアクセスポイントによりマネージャサーバ20と接続し、マネージャサーバ20からの要求に基づいて収集した機器情報やログ情報を送信する。
【0031】
無線信号探知センサ10は、同一のネットワークシステム内に複数設置されてもよく、一つのみ設置されてもよい。無線信号探知センサ10が探知できる範囲とネットワークシステム内でセキュリティ診断したい範囲とを比較して、無線信号探知センサ10の設置数を適宜決めることができる。
【0032】
マネージャサーバ20は、複数の無線信号探知センサ10から無線信号探知センサ10が収集した機器情報やログ情報を受信し、記憶するサーバである。マネージャサーバ20は、セキュリティ診断サーバ30から無線信号探知センサ10を特定する情報と機器情報及びログ情報の送信要求を受信すると、特定された無線信号探知センサ10に機器情報の送信要求を行い、無線信号探知センサ10から受信した情報を記憶するとともに、都度受信しているログ情報とともにセキュリティ診断サーバ30へと送信する。
【0033】
マネージャサーバ20は、無線信号探知センサ10から受信した機器情報を、無線信号探知センサ10を一意に特定するための識別情報に対応付けて記憶する。また、マネージャサーバ20は、無線信号探知センサ10別、または、顧客別に、過去の受信した機器情報に基づいて、認可端末や不正端末の機器情報や認可端末、不正端末いずれにも分類していない未確認端末など機器分類情報を記憶してもよい。マネージャサーバ20の機器分類情報へアクセスし、未確認端末を認可端末また不正端末として分類して登録、更新を行う。さらに、マネージャサーバは、記憶されている機器分類情報が更新されたときには、適宜該当する無線信号探知センサ10へ送信し、無線信号探知センサ10に記憶されている認可端末や不正端末の情報を更新してもよい。
【0034】
セキュリティ診断サーバ30は、各無線信号探知センサ10が収集した機器情報及びログ情報をマネージャサーバ20から受信し、その無線信号探知センサ10が存在する場所での無線ネットワークにおけるセキュリティを診断し、セキュリティレポートを生成する。また生成したセキュリティレポートの通知を行う。セキュリティレポートは、例えば、毎日又は月1回生成される。
【0035】
セキュリティ診断サーバ30は、受信したログ情報と機器情報とに基づいてその場所での無線ネットワークのセキュリティリスクを分析する。具体的には、ログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいてその場所における無線ネットワークのセキュリティリスクを分析する。
【0036】
また、セキュリティ診断サーバ30は、一定期間ごとにマネージャサーバ20へ所定の無線信号探知センサ10の機器情報を要求し、機器情報をマネージャサーバ20を介して受信すると、受信した機器情報の機器が認可されているアクセスポイントかどうかを決定し、認可されているアクセスポイント以外の機器情報である場合は、無線信号探知センサ10が受信したその機器が発している無線信号の信号強度と、信号を探知している継続期間とを計測し、所定時間以上継続している場合不正アクセスポイントがあると診断し、不正アクセスポイントの存在を通知する。
【0037】
さらに、セキュリティ診断サーバ30は、複数の無線信号探知センサ10が近接して設置されている場合に、複数の無線信号探知センサ10において同一の不正端末を検出した場合には、各無線信号探知センサ10が受信した無線信号の信号強度に基づいて、不正端末の場所を推定する。
【0038】
図2は、無線信号探知センサ10の機能ブロック図の一例を示す図である。無線信号探知センサ10は、センサ部110、機器情報記憶部120、認可端末情報記憶部130、ログ生成部140、通信遮断部150、通信部160を有する。
【0039】
センサ部110は、常時、所定の無線の通信規格に準拠した無線信号、たとえば所定半径でのWi-Fiの信号を探知、受信する。センサ部110は、無線信号を受信するとともに、発信元の端末情報とその端末に接続されているサブ端末情報とを機器情報として収集する。無線信号の発信元の端末は、例えば、無線ネットワークのアクセスポイントやアクセスポイントを探すために無線信号を発信しているスマートフォンなどの携帯端末や無線通信機能を有するコンピュータなどである。また、サブ端末情報とは、アクセスポイントを利用して無線接続している携帯端末やコンピュータの情報である。センサ部110は、端末情報及びサブ端末情報として、端末又はサブ端末を一意に識別できる、例えばMACアドレスなどを収集し、機器情報として機器情報記憶部120へと記憶する。
【0040】
機器情報記憶部120は、センサ部110が収集した機器情報を記憶する。機器情報とは、センサ部が収集、受信した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報である。端末情報として、例えばMACアドレス、SSID、信号強度などを収集し、サブ端末情報として接続している端末のMACアドレスに対応付けてサブ端末のMACアドレスと端末への接続時間を記憶する。このとき、接続時間が例えば10分未満などの短時間の接続の端末やアクセスポイントとそれ以外とで区別する表示を付して記憶するようにしてもよい。
【0041】
機器情報記憶部120に記憶された機器情報は、マネージャサーバ20から送信要求があると、それに応じてマネージャサーバ20へと送信される。このとき、記憶容量を確保するため、マネージャサーバ20へ送信した機器情報については、機器情報記憶部120から削除するように構成してもよい。
【0042】
認可端末情報記憶部130は、認可されているアクセスポイント及び接続端末の認可端末情報を記憶する。例えば、認可端末情報記憶部130は、無線信号探知センサ10が設置されている場所において無線信号を発信することが認められているアクセスポイントや、設置が認められているコンピュータや通信端末の情報を認可端末の情報として記憶する。認可端末情報として、例えば、その認可端末のMACアドレスを記憶する。また、認可端末情報記憶部130は、不正端末の情報を記憶してもよい。SSIDやMACアドレスから無線信号探知センサ10が設置されている場所において無線信号を発信することが認められていない機器情報を記憶する。
【0043】
ログ生成部140は、センサ部110が探知した機器情報が認可端末情報記憶部130に記憶された認可端末情報に含まれていない場合又は複数の同一の認可端末情報が含まれる場合、不正端末の接続ログとしてログ情報を生成する。ログ生成部140が生成されたログ情報は通信部160からマネージャサーバへ送信される。ログ情報として、合致したログ生成条件を送信してもよい。なお、このとき、生成されたログ情報とともに合致したログ生成条件に対応するリスク度を合わせて送信してもよい。
【0044】
ログ生成部140は、例えば、ログ生成条件を記憶しており、センサ部110が探知した機器情報と認可端末情報記憶部130に記憶された認可端末情報とを比較し、ログ生成条件に合致する場合にログ情報を生成するようにしてもよい。一例として、ログ生成条件として、例えば、センサ部110が探知した機器情報のMACアドレスが認可端末情報記憶部130に記憶されている認可端末のMACアドレスのいずれもと異なっていた場合は、不正端末が存在しているとしてログ情報を生成するというログ生成条件を記憶しており、ログ生成部140は、ログ生成条件を参照してログを生成してもよい。
【0045】
ログ生成部140は、例えば、ログ生成条件としてリスク項目とリスク度とを合わせて記憶してもよい。例えば、不正端末の存在というリスク項目についてはリスク度「中」、未確認端末が認可されているアクセスポイントに接続しているというリスク項目についてはリスク度「高」などである。ログ生成条件としては、これらに限らず、認可端末情報記憶部130に記憶された認可端末が認可端末情報記憶部130に記憶されていない不正アクセスポイントに接続している場合など、様々な条件を設定してもよい。
【0046】
通信遮断部150は、不正端末を検出すると、不正端末と他の端末との間の無線通信を遮断する。例えば、認可端末情報記憶部130に記憶されていない不正端末が、認可端末情報記憶部130にMACアドレスが記憶されている認可アクセスポイントに接続されている場合、通信遮断部150は、認可アクセスポイントと不正端末の双方に強制切断メッセージを送信することで、互いの通信を遮断することでセキュリティリスクを低減させる。
【0047】
通信遮断部150は、ログ生成部140において不正端末の接続ログとしてログが生成されたときに、そのログの対象となる通信を遮断するように構成してもよく、ログ生成後、所定時間経過しても接続が継続している場合に通信を遮断するよう構成してもよい。また、通信遮断部150による通信遮断処理は、例えばリスク度「高」のログ情報が生成された場合にのみ通信遮断処理を行うように構成してもよく、ログ情報が生成されるとすべての不正接続に対して通信遮断処理を行うように構成してもよい。
また、通信遮断部150は、認可端末情報記憶部130が不正端末の情報を記憶しているときは、不正端末の情報と一致する端末が検出されたときに、その通信を遮断するように構成してもよい。
また、通信遮断部150は、認可端末情報記憶部130が不正端末の情報を記憶しているときは、不正端末の情報と一致する端末が検出されたときに、その通信を遮断するように構成してもよい。
【0048】
通信部160は、マネージャサーバ20との通信を行う。センサ部110が生成した機器情報をマネージャサーバからの送信要求があった場合に、マネージャサーバへ機器情報を送信し、また、ログ生成部140がログを生成した場合には、ログ情報を適宜マネージャサーバへ送信する。また、通信遮断部150が不正な通信を行っている2つの端末間の通信を強制遮断するときの遮断メッセージを送信する。
【0049】
図3は、マネージャサーバ20の機能ブロックの一例を示す図である。無線信号探知センサ情報記憶部210と制御部220、通信部230を有する。無線信号探知センサ情報記憶部210は、マネージャサーバ20が複数の無線信号探知センサ10から受信した機器情報を無線信号探知センサの情報と対応付けて記憶する。また、無線信号探知センサ10からログ情報を受信した場合、ログ情報も無線信号探知センサの情報に無線信号探知センサ情報記憶部210へ対応付けて記憶する。
【0050】
制御部220は、無線信号探知センサ情報記憶部210への機器情報の記憶又は記憶情報の読み出し、データ送受信要求の制御、通信部230による通信の制御を行う。
【0051】
通信部230は、無線信号探知センサ10からの機器情報またはログ情報を受信し、セキュリティ診断サーバ30からデータの送信要求を受信すると、データの送信を行う。通信部230は、例えば、無線信号探知センサ10から、随時ログ情報を受信し、セキュリティ診断サーバ30から所定の無線信号探知センサ10を指定したデータの送信要求を受信すると、当該無線信号探知センサ10へ機器情報の送信要求を行い、機器情報を受信すると、無線信号探知センサ情報記憶部210に記憶されているログ情報と、受信した機器情報とをセキュリティ診断サーバ30へ送信するよう構成してもよい。
【0052】
図4は、セキュリティ診断サーバ30の機能ブロック図の一例を示す図である。セキュリティ診断サーバ30は、セキュリティ分析部310、レポート生成部320、レポート通知部330、機器情報受信部340を有する。
【0053】
セキュリティ分析部310は、無線信号探知センサ10が収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行う。具体的には、受信したログ情報と機器情報に基づいて無線ネットワークのセキュリティリスクを分析する。セキュリティ分析部310は、無線信号探知センサ10から受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて、データ記憶部350に記憶されている評価テーブルに基づいてその無線信号探知センサ10が置かれた場所における無線ネットワークのセキュリティリスクを分析する。
【0054】
セキュリティ分析部310は、近接して3以上の無線信号探知センサ10を設置している場合、これらの無線信号探知センサ10が収集した機器情報に基づいて不正端末の場所を特定してもよい。例えば、近接して無線信号探知センサ10が複数設置されている場合、同一の不正端末の機器情報を複数の無線信号探知センサ10が収集することがある。この場合、セキュリティ分析部310は、各無線信号探知センサ10が受信した不正端末の信号強度に基づいて、不正端末の場所を推定する。
【0055】
さらに、セキュリティ分析部310は、一定期間ごと、例えば5分毎や30分毎にマネージャサーバ20へ所定の無線信号探知センサ10へ機器情報を要求し、マネージャサーバ20から所定の無線信号探知センサ10が収集した機器情報を受信すると、受信した機器情報の端末の信号強度が所定値以上であるか判断する。所定値以上、例えば、-70dBm以上である場合、認可されていないアクセスポイントが検知されたと判断する。また、受信した機器情報の端末の信号強度が所定値以上であって、初めて検知した端末である場合は認可されていないアクセスポイントであるとして未確認アクセスポイントであるとして記憶してもよく、所定時間以上(例えば、12時間以上)、継続して同一の機器情報を受信している場合、常時設置されたアクセスポイントであるとして常時設置リストにその端末の情報を追加する。信号受信の継続時間が所定時間未満の場合は、一時利用のアクセスポイントとして、一時利用リストへその端末の情報を追加するようにしてもよい。なお、ここで所定時間未満、たとえば検出継続時間が10分未満の機器情報は、通行車両のWi-Fiなど通りすがりのアクセスポイントであるとして、一時利用リストから削除したり、短時間の検出であることを表示してもよい。
【0056】
このとき、セキュリティ分析部310は、データ記憶部350に無線信号探知センサ10に対応する認可端末情報が記憶されている場合、信号強度が所定値以上の端末が認可端末情報と合致するかどうか決定するよう構成してもよい。当該端末が認可端末である場合は、未確認アクセスポイントからは除外する。セキュリティ分析部310は、認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、無線信号探知センサ10が受信した信号強度と探知時間の継続時間とに基づいて不正アクセスポイントがあると診断する。また、セキュリティ分析部310は、データ記憶部350に認可端末情報とともに不正端末情報も記憶されている場合、いずれにも該当しない機器情報を有する端末を未確認アクセスポイントとするよう構成してもよい。また、セキュリティ分析部310は、レポート生成のタイミングで機器情報を要求し、受信した機器情報が認可端末情報記憶部130に記憶されている認可端末か、不正端末か、記憶されていない未確認端末かを判別してもよい。
【0057】
レポート生成部320は、セキュリティ分析部310のセキュリティ分析に基づいてセキュリティレポートを生成する。レポート生成部320は、例えば、所定のレポートフォーマットを記憶しており、セキュリティ分析部310が行ったセキュリティ分析、機器情報、ログ情報を、所定のレポートフォーマットへAPI(Application Programming Interface)により入力することでセキュリティレポートを生成する。
【0058】
レポート生成部320は、例えば、所定期間内に、ある顧客に対応する無線信号探知センサ10が収集した機器情報及びログ情報に基づいて、セキュリティ分析部310が行ったセキュリティリスクをレポートに含むように生成するとともに、ログ情報とその件数その危険度を表示し、ログ情報に対応する機器情報を合わせて表示するようレポートを生成する。
【0059】
レポート生成部320は、不正端末の位置推定を行った場合は、位置推定をセキュリティレポートに含めて生成する。また、セキュリティ分析部310が信号強度と探知継続時間により不正アクセスポイントの診断を行う場合には、初めて不正アクセスポイントを探知した場合、日次又は月次等で不正アクセスポイントの存在についてレポート生成を行う。
【0060】
レポート通知部330は、レポートが生成された旨を所定の端末又はメールアドレス等に通知を行う。なお、レポートが生成された旨を通知することとしているが、これに限らず、例えば、メールにセキュリティレポートを添付して通知するように構成してもよい。
【0061】
機器情報受信部340は、マネージャサーバ20へ、セキュリティレポート作成のタイミング、例えば、月次、日次など、毎月1日など決まっている所定のタイミングで、マネージャサーバ20へセキュリティレポート作成の対象となっている顧客に対応する一又は複数の無線信号探知センサ10の機器情報の送信要求を行い、マネージャサーバ20から機器情報及びログ情報の受信を行う。
【0062】
データ記憶部350は、顧客データや評価テーブルを記憶している。顧客データとして、例えば、顧客IDと連絡先のメールアドレス、顧客先に設置している無線信号探知センサ10のID、認可アクセスポイントの情報などを記憶する。また、セキュリティリスクを評価するための評価テーブルを記憶する。例えば、リスク度が高いログ件数が1件ある場合は、セキュリティリスク「D」(極めて高い)など、セキュリティリスクと、ログ内容に対応付けられたリスク度に応じたリスク評価テーブルを記憶する。また、セキュリティ分析部310が信号強度と継続時間とで診断した不正アクセスポイントについて、未確認アクセスポイントのリストや一時利用と認定したアクセスポイントのリスト、常時設置されたアクセスポイントのリストなどを記憶する。
【0063】
図5は、無線信号探知センサ10の機器情報記憶部120に記憶されるデータベースの一例である。機器情報記憶部120には、センサ部110が収集した機器情報が記憶されるが、端末の機器情報、つまりアクセスポイントやテザリングデバイス、無線信号を発信している端末の機器情報を記憶するとともに、端末に対応づけて、端末に通信接続しているサブ端末の機器情報を記憶する。
【0064】
本例では、端末のMACアドレスに対応付けてその端末のSSID、暗号化方式、認証方式、プロトコル、信号強度などを記憶する。例えば、無線LANにおけるアクセスポイントの識別名であるSSIDを記憶する。また、暗号化方式として、例えばAESやWEPなど、その端末が使用している暗号化方式を記憶する。認証として、その端末が行っている認証方式、WPA2-PSK、WEPなどの認証方式を記憶する。プロトコルとして、端末が対応している無線LANの規格を記憶する。例えば、Wi-Fiの通信規格であるIEEE802.11bと802.11g、802.11nとに対応している場合、「b/g/n」などと記憶される。また、無線信号探知センサ10が受信したその端末の発信している無線信号の信号強度を記憶する。例えば、-46dBmなどである。また、検知開始時間と終了時間、検知されていた時間を記憶してもよい。
【0065】
端末に接続されたサブ端末の機器情報として、接続先端末のMACアドレスに対応付けて、接続先端末のSSID、サブ端末のMACアドレス、接続時間を記憶する。接続時間とは、サブ端末が端末に接続を開始した時間と終了時間を記憶する。なお、接続時間として、接続開始時間と接続されていた期間(例えば、10時間4分など)を記憶してもよい。
【0066】
図6は、無線信号探知センサ10の認可端末情報記憶部130に記憶されるデータベースの一例である。認可端末情報記憶部130には、無線信号探知センサ10が設置されている場所で、無線信号を発信することが認められているアクセスポイントや無線接続することが認められているコンピュータなどの通信端末がここにあらかじめ記憶される。認可端末情報記憶部130には、認可端末を特定するための情報が記憶され、例えば、認可端末のMACアドレスが記憶される。なお、これに限らず、認可端末を一意に識別できる情報であればよく、またMACアドレス以外の情報、端末の名前やSSID、製造元などもあわせて記憶してもよい。なお、ここにあわせて、不正端末情報も記憶するようにしてもよい。その場合、不正端末と認可端末とが区別がつくよう、不正端末、認可端末の種別を合わせて記憶してもよい。不正端末も記憶することで、直ちに通信遮断を行うことができる。
【0067】
図7は、無線信号探知センサ10におけるログ生成処理の一例を説明するフローチャートである。まず、無線信号探知センサ10のセンサ部110は、無線信号を探知する(ステップS701)。
【0068】
次にセンサ部110は、無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを記憶させる(ステップS702)。センサ部110は、探知した無線信号に含まれる情報を収集し、機器情報記憶部120へ無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを記憶させる。
【0069】
そして、ログ生成部140は、認可端末情報と収集した機器情報とを比較する(ステップS703)。記憶しているログ生成条件と比較結果とに基づいて、ログ生成部140は、探知した無線信号を発信する端末が不正端末であるかどうかを決定する(ステップS704)。ログ生成部140は、例えば、探知した無線信号の発信元の端末の端末情報に含まれるMACアドレスが認可端末情報記憶部130に記憶されているMACアドレスのいずれもと一致しない場合、非認可のアクセスポイントが存在している、つまり不正端末が存在していると決定する。なお、複数の無線信号を探知し、そのなかに同じMACアドレスの端末情報が2つ存在し、そのMACアドレスが認可端末情報記憶部130に記憶されている場合、一方の端末がなりすまし端末であるとするログ生成条件を記憶している場合、不正端末であると決定する。
【0070】
不正端末である場合(yes)、ログ生成部140は、ログ情報を生成し、記憶する(ステップS705)。このとき、生成したログ情報をマネージャサーバ20へ所定のタイミングで送信するよう構成してもよい。所定のタイミングとは例えば、ログ生成時、毎日決まった時間、などが考えられる。ログ情報には、ログ生成条件と不正端末と決定された端末の機器情報とが含まれる。
【0071】
不正端末ではない場合(no)、ログ生成部140は、ログ情報を生成せず、そのまま処理を終了する。
【0072】
図8は、ログ生成部140に記憶されるログ生成条件の一例である。ログ生成部140は記憶されているログ生成条件、センサ部が受信した無線信号に含まれる機器情報、認可端末情報記憶部130に記憶された認可端末情報と、を比較して、ログ情報の生成を行うか否かを決定する。ログ生成条件として、ここでは、ログ生成条件である項目とそのリスク度が対応付けて記憶されている。
【0073】
例えば、「認可AP外部端末接続」、つまり、認可AP(アクセスポイント)に、認可されていない端末の接続が検出された場合をログ生成条件として、そのリスク度は「高」と記憶されている。また、「外部AP認可端末接続」、つまり外部のアクセスポイント、認可端末として登録されていないアクセスポイントに登録されている端末がサブ端末として接続されている場合をログ生成条件として、リスク度「中」と記憶されている。
【0074】
例えば「ゲストAP許可端末接続」、つまり認可端末として記憶されておらず、12時間以内など短い期間検出されたアクセスポイントに、認可端末として登録されている端末がサブ端末として接続されていることを検出した場合をログ生成条件として、そのリスク度は「低」と記憶されている。
【0075】
また、例えば、「なりすましAP探知」、つまりアクセスポイントがなりすましであることが探知された場合をログ生成条件として、そのリスク度を「中」と記憶されている。なりすましのアクセスポイントがあるかどうかは、認可端末として認可端末情報記憶部130に記憶されていないMACアドレスを有する端末が認可端末のSSIDと同一のSSIDが使用していう場合をログ生成条件としている。
【0076】
ログ生成条件に合致する機器情報を受信した場合、ログ生成部140は、合致したログ生成条件とリスク度とをログ情報としてマネージャサーバ20へ送信してもよい。
【0077】
図9は、セキュリティ診断サーバ30のセキュリティ分析部310が、不正アクセスポイントの有無を診断する場合のフローチャートの一例である。無線信号探知センサ10は、認可端末情報記憶部130を有し、ログ生成条件を記憶しているため、不正端末の検出が可能であるが、無線LANのアクセスポイントの設置が許可されていない場所の場合、認可端末が存在しないため、認可端末との比較による不正端末の検出ができない。このような場合にセキュリティ分析部310による信号強度と信号探知の継続時間による不正アクセスポイントの検知が有効である。
【0078】
セキュリティ分析部310は、マネージャサーバ20へ、所定間隔毎に機器情報送信要求を行う(ステップS901)。所定間隔毎とは、例えば30分毎や1時間毎である。機器情報送信要求には、必要とする無線信号探知センサ10を特定する情報と期間(機器情報を収集した日時)を指定して送信要求を行う。通常は、前回に機器情報の送信要求を行って以降の機器情報について送信要求を行う。なお、セキュリティ分析部310は、レポート生成時に、その時点で記憶されている機器情報の送信要求を行ってもよい。
【0079】
セキュリティ分析部310は、所望の無線信号探知センサ10の機器情報を受信したかどうか判定する(ステップS902)。未受信(No)の場合は、引き続き受信判定を行い、機器情報を受信した場合(Yes)は、受信した機器情報のうち信号強度が所定値以上の情報が含まれるかを判定する(ステップS903)。例えば、-70dBm以上の信号を有する端末のみを対象とし、それ以外の端末の情報は無視する。所定の信号強度未満の端末については、セキュリティ診断の対象としている場所に存在しない可能性が高いためである。信号強度のしきい値については、セキュリティ診断の対象とする場所によって適宜変更してもよい。機器情報に含まれる信号強度が所定値未満(No)の場合は、無視して処理を終了する。
【0080】
信号強度が所定値以上の場合(Yes)、セキュリティ分析部310は、認可端末かどうか判定を行う(ステップS904)。データ記憶部350に記憶された認可端末のMACアドレスと受信した機器情報とを比較して認可端末かどうかを判定する。判定の結果、受信した機器情報が認可端末である場合(Yes)、処理を終了する。このとき、たとえば、認可端末が受信されたとして「ホワイトリスト」を作成してデータ記憶部350に記憶するよう構成してもよい。
【0081】
認可端末でない場合(No)、次にセキュリティ分析部310は、初めて探知した端末かどうかを判定する(ステップS905)。具体的には、データ記憶部350に記憶されている未確認APリスト、一時利用リスト、常時設置リストにある端末かどうかに基づいて判定する。初めて受信した端末の機器情報である場合(Yes)、不正アクセスポイントのうち未確認アクセスポイントであるとして、未確認APとして判定する(ステップS908)。未確認APリストは、初めて探知した端末の機器情報を記憶するリストである。
【0082】
初めての探知ではない場合(No)、つまり、未確認APリスト、一時利用リスト、または常時設置リストにその端末の情報がある場合、セキュリティ分析部310は、次に所定時間以上探知しているか判定する(ステップS906)。所定時間とは、例えば12時間以上であるがこれに限られない。所定時間以上同一の端末の機器情報を受信している場合(Yes)、セキュリティ分析部310は、その端末の機器情報を常時設置リストとしてデータ記憶部350に記憶する(ステップS907)。ここで、新たに一時利用リストや未確認APリストから常時設置リストへ変更して記憶されることとなった場合、レポート通知部330から通知するよう構成してもよい。
【0083】
所定時間未満の探知であって、継続的に探知している端末の機器情報である場合(No)、セキュリティ分析部310は、その端末の機器情報を一時利用リストに記憶させる。未確認APリストに記憶されている場合は、一時利用リストへと変更記憶させる。
【0084】
図10は、無線信号探知センサ10が、不正端末が接続されている場合の通信遮断処理を説明するための図である。無線信号探知センサ10のログ生成部140が不正端末の接続ログとしてログ情報を生成した場合、接続ログの対象となる不正な接続を通信遮断部150が遮断する。また、無線信号探知センサ10の認可端末情報記憶b130が不正端末の情報を記憶しているときは、不正端末の情報と一致する端末が検出されたときに、通信遮断部150が通信遮断を行う。
【0085】
ここでは、例えば不正に設置されたアクセスポイントに、認可端末がサブ端末として接続されている場合で説明を行う。無線信号探知センサ10の通信遮断部150は、不正アクセスポイントと不正アクセスポイントに接続されている認可端末の双方へ切断メッセージを送信する。具体的には、不正アクセスポイントには、認可端末のMACアドレスを送信元として使用し、不正アクセスポイントへ強制切断メッセージを送信するとともに、認可端末には、不正アクセスポイントのMACアドレスを送信元として使用して、認可端末へ強制切断メッセージを送信することで通信遮断を行う。通信遮断部150は、無線信号探知センサ10のセンサ部110が収集した機器情報から各端末のMACアドレスを入手し、MACアドレスを偽装する形で双方に強制切断メッセージを送信することで、強制的に通信を切断する。不正アクセスポイントに複数の認可端末が接続されている場合は、複数の認可端末に対して不正アクセスポイントのMACアドレスを送信元として強制切断メッセージを送信する。
【0086】
図11は、データ記憶部350に記憶されているデータベースの一例である。データ記憶部350には、顧客データや評価テーブルを記憶している。顧客データとして、顧客IDに対応付けて、例えば、その顧客に設置した無線信号探知センサを一意に特定できるIDやセキュリティレポートを送信するメールアドレス、無線信号探知センサにおいて生成されたログ情報、認可端末情報、レポート頻度、位置推定の有無、未確認AP検出の要否などを記憶する。
【0087】
メールアドレスは、レポート通知部330がレポート作成を通知又はレポート送付の際に参照する。また、マネージャサーバ20から受信したログ情報は無線信号探知センサ10とも対応付けて記憶するように構成してもよい。認可端末情報は、その顧客の設置場所で無線信号の発信や無線接続を認可されている端末のMACアドレスを記憶する。レポート頻度は、日次、月末、ログ生成時などレポートを生成するタイミングを記憶している。位置推定は、セキュリティ分析部310において複数の無線信号探知センサ10が受信した機器情報に基づき、不正端末の位置情報の推定の要否を記憶する。また、セキュリティ分析部310での信号強度と接続継続時間に基づく未確認アクセスポイントの検出の要否を記憶する。
【0088】
評価テーブルは、無線信号探知センサ10が設置された場所における無線ネットワークの総合評価を決定するためのテーブルである。総合評価はAからDまでに分かれており、Aが最も安全で異常がない状態、Dが最も危険な状態であり、何らかの被害を受けている状態である。ここでは、危険度「高」を有するログ情報が一件でも検知している場合は、評価「D」、まったくログ情報を受信していない場合は検知なしとして、評価「A」などと記憶しており、セキュリティ分析部310は、データ記憶部350に記憶されている評価テーブルを参照して総合評価を決定する。
【0089】
図12は、セキュリティ分析部310がセキュリティレポートを作成する場合に、データ記憶部350に記憶されている評価テーブルを参照して無線信号探知センサ10の設置場所におけるセキュリティリスクを分析する場合のフローチャートの一例である。
【0090】
セキュリティ分析部310は、セキュリティレポートを作成する対象となる無線信号探知センサ10から受信したログ情報を参照する(ステップS1201)。セキュリティ分析部310は、データ記憶部350に記憶されている顧客IDに対応する無線信号探知センサ10のレポート作成の対象となる所定期間の機器情報及びログ情報をマネージャサーバ20へ要求し、受信したログ情報を参照する。ログ情報はデータ記憶部350に記憶される。
【0091】
セキュリティ分析部310は、受信したログ情報のなかにリスク度「高」のログ情報があるかどうかを判定する(ステップS1202)。リスク度「高」のログ情報がある場合(Yes)、データ記憶部350に記憶されている評価テーブルを参照して、総合評価を「評価D」とする(ステップS1204)。リスク度「高」のログ情報がない場合(No)、次にリスク度「中」のログ情報があるかどうかを判定する(ステップS1203)。リスク度「中」のログ情報がある場合(Yes)、評価テーブルを参照し、総合評価を「評価C」とする(ステップS1205)。リスク度「中」のログ情報がない場合(No)、次にリスク度「低」のログ情報があるかどうかを判定する(ステップS1206)。リスク度「低」のログ情報がある場合(Yes)、評価テーブルを参照し、総合評価を「評価B」とする(ステップS1207)。リスク度「低」のログ情報がない場合(No)、ログ情報は一件もないということになり、セキュリティ分析部310は、総合評価を「評価A」とし(ステップS1208)、処理を終了する。なお、ここでは、リスク度の高いログが1件でもあれば、評価を下げるようにしているが、これに限らず、各リスク度とその件数による点数制にして、点数の合計によりリスク度を決定するようにしてもよい。
【0092】
図13は、レポート生成部320が生成するセキュリティレポートの一例を示す図である。この例は、ある場所の無線ネットワークについて1か月の間無線信号探知センサ10が収集した機器情報及びログ情報に基づいてセキュリティ分析部310が分析した結果をレポート生成部320が生成したセキュリティレポートである。
【0093】
このセキュリティレポートでは、セキュリティ分析部310がログ情報のリスク度に基づいて決定した総合評価を評価結果として記載するとともに、その期間に生成されたログ情報をログの種類別に件数とともに記載し、詳細情報としてログ情報に対応する機器情報を記載する。セキュリティ分析部310が信号強度と探知継続時間により未確認アクセスポイントの検出を行う場合には、検出された未確認アクセスポイントのリストや一時利用のリスト、常時設置リストをMACアドレスと信号強度、探知期間を記載するようにしてもよい。さらに、不正端末の位置推定を行う場合には、位置推定を行った結果を記載してもよい。
【0094】
図14は、本発明におけるセキュリティ診断サーバ30のハードウェア構成図の一例を示すブロック図である。図14に示されるコンピュータ装置であるセキュリティ診断サーバ30のハードウェア構成は、主にコンピュータ装置で実現できる。セキュリティ診断サーバ30は、セキュリティ診断プログラムを実行することで、セキュリティ診断を行う。
【0095】
セキュリティ診断サーバ30を形成するコンピュータは、図14に示したようにCPU1、通信インターフェース2、ROM3、RAM4、ハードディスクドライブ5、入出力インターフェース6、入出力インターフェース6と接続された表示部7、ポインティングデバイス8及びキーボード9を、バスに接続して構成される。
【0096】
一連の処理をプログラムにより実行させる場合には、例えば、セキュリティ分析部310、レポート生成部320、レポート通知部330、機器情報受信部340は、ROM3又はハードディスクドライブ5にセキュリティ診断プログラムとして記憶され、CPU1で実行させることで、各種の機能を実行させる。なお、セキュリティ診断プログラムが記憶されたUSBメモリなどの外部記憶装置を入出力インターフェース6に接続することでのインストールや、ネットワークからコンピュータへセキュリティ診断プログラムをインストール、また、装置本体に予め組み込まれた状態、例えば、セキュリティ診断プログラムが記録されているROM13などで構成してもよい。また、セキュリティ診断プログラムを実行することでハードディスクドライブ5の一部の領域がデータ記憶部350として機能する。
【0097】
なお、ここでは、一台のコンピュータで構成する例で説明したが、これに限らず複数台のコンピュータで構成してもよく、分散コンピューティングやクラウドコンピューティング等により構成してもよいことはもちろんである。
【0098】
また、本明細書では、マネージャサーバ20とセキュリティ診断サーバ30が別々のサーバ装置として説明しているが、マネージャサーバ、セキュリティ診断サーバを一つのサーバとして構成してもよい。また、本実施例では、セキュリティ診断サーバ30が、各無線信号探知センサ10が検出した機器情報から短時間の検出のみの機器情報を削除、短時間であることの表示を行っているが、無線信号探知センサ10が行ってもよい。
【0099】
次に、本発明の第二の実施の形態について、説明する。第一の実施の形態と同様の内容については、説明を省略する。第二の実施の形態における無線ネットワークセキュリティ診断システムのマネージャサーバ20は、無線信号探知センサ10別、または顧客別に、機器情報を分類して記憶する機器分類情報記憶部240を有する。無線信号探知センサ10は、セキュリティ診断を行いたい場所に一又は複数設置され、検出した機器情報と、あらかじめ記憶しているログ生成条件に合致したログ情報とを適時にマネージャサーバ20へ送信するため、マネージャサーバ20は、受信した機器情報を認可端末、未確認端末、通信遮断するべき不正端末に分類して、機器分類情報記憶部240へ記憶する。また、セキュリティ診断サーバ30が、未確認端末について、一時利用又は常時設置などの判定を行った場合、セキュリティ診断サーバ320は、判定結果をマネージャサーバへ送信し、マネージャサーバ20は、未確認端末の分類から一時利用又は常時設置などへと分類を変更、記憶する。また、更新された機器分類情報のうち、認可端末及び不正端末の情報は、無線信号探知センサ10へ送信され、認可端末情報記憶部130へ更新、記憶される。
【0100】
無線信号探知センサ10の構成は、第一の実施の形態と同様である。しかし、本実施の形態では、認可端末情報記憶部130は、マネージャサーバ20から受信する認可端末及び不正端末の情報を記憶することで、記憶部130内の情報を更新する。また、更新された認可端末情報記憶部130を参照し、不正端末情報に合致する端末の無線を検出した場合、通信遮断部150は、通信遮断を行う。
【0101】
セキュリティ診断サーバ30の構成は、第一の実施の形態と同様である。しかし、本実施の形態では、セキュリティ分析部310での分析の結果、未確認端末について、常時設置又は一時利用へと判定された結果を、マネージャサーバ20へ送信する、これにより、機器分類情報記憶部240は、記憶している未確認端末の情報を常時設置又は一時利用へと更新記憶する。
【0102】
図15は、本発明の第二の実施の形態におけるマネージャサーバ20の機能ブロック図の一例である。マネージャサーバ20は、各無線信号探知センサ10から通信部230により、機器情報又はログ情報を受信する。受信するタイミングは、例えば、機器情報は、セキュリティ診断サーバ30からのデータ送信要求時、ログ情報は、無線信号探知センサ10がログを生成したときである。なお、これに限らず、機器情報の受信を、一定時間おき(例えば、5分毎、30分毎)に、その期間に検出された機器情報を受信し、継続的に無線信号の状況を監視できるよう構成してもよい。
【0103】
無線信号探知センサ情報記憶部210は、無線信号探知センサ10から受信した機器情報やログ情報を無線信号探知センサ10別、または顧客別に記憶している。
【0104】
制御部220は、無線信号探知センサ情報記憶部210への機器情報の記憶又は記憶情報の読み出し、無線信号探知センサ10又はセキュリティ診断サーバ30へのデータ送受信要求の制御、通信部230による通信の制御、機器分類情報記憶部240への機器情報や分類情報の記憶又は記憶情報の読み出しの制御を行う。
【0105】
通信部230は、無線信号探知センサ10からの機器情報またはログ情報を受信し、セキュリティ診断サーバ30からデータの送信要求を受信すると、データの送信を行う。通信部230は、例えば、無線信号探知センサ10から、随時ログ情報を受信し、セキュリティ診断サーバ30から所定の無線信号探知センサ10を指定したデータの送信要求を受信すると、当該無線信号探知センサ10へ機器情報の送信要求を行い、機器情報を受信すると、無線信号探知センサ情報記憶部210に記憶されているログ情報と、受信した機器情報とをセキュリティ診断サーバ30へ送信するよう構成してもよい。
【0106】
通信部230は、セキュリティ診断サーバ30から未確認端末の判定結果を受信する。判定結果は、対応する機器情報の分類を更新して機器分類情報記憶部240へ記憶される。また、通信部230は、ユーザからの機器分類情報記憶部240への接続要求を受信し、機器分類情報の更新に伴うデータの送受信を行う。
【0107】
機器分類情報記憶部240は、顧客別又は無線信号探知センサ10別にアクセスポイント又はサブ端末情報に機器分類を付与して記憶する。顧客別に記憶する場合、その顧客で設置されている一又は複数の無線信号探知センサ10で過去に検出された機器情報を記憶する。機器情報に対応づけて付与される機器分類は、例えば、その場所で無線を発信、接続が認められている認可端末、不正端末、認可端末か不正端末か分類していない未確認端末である。機器分類情報記憶部240は、その顧客又は無線信号探知センサ10における認可端末や不正端末の情報を記憶するとともに、無線信号探知センサ10から受信し、無線信号探知センサ情報記憶部210に記憶されていた機器情報のうち、認可端末、不正端末以外の機器情報を未確認端末として記憶する。
【0108】
機器分類情報記憶部240は、セキュリティ診断サーバ30が分類した一時利用や常時設置についても、セキュリティ診断サーバ30から受信して、機器情報に対応づけて記憶する。このとき、機器分類情報記憶部240は、無線信号探知センサ10から受信してあらかじめ記憶している機器情報の分類を未確認から一時利用又は常時利用に更新して記憶する。
【0109】
また、無線信号探知センサ10が、10分未満など短時間のみの接続又は検出のみの機器情報について短時間である旨の分類を付与して送信する場合、機器分類情報記憶部240は、機器情報に対応づけてその分類を記憶する。
【0110】
機器分類情報記憶部240に記憶されている機器分類は、ユーザからの要求により、制御部220によって読み出され、機器分類が更新される。例えば、未確認端末に分類されている機器情報について、そのSSIDやMACアドレス、接続時間や信号強度などに基づいて、認可端末であると判断された場合、認可端末へと分類情報を更新して記憶してもよい。また、不正端末であると判断された場合は、未確認端末から不正端末へと分類情報を更新して記憶してもよい。未確認端末の機器情報を参照して、適宜認可端末又は不正端末へと分類していくことで、その場所における無線ネットワークのセキュリティを向上させることが可能となる。また、未確認端末であっても常時設置、一時利用、短時間のみの接続などの分類が付与されていることにより、よりリスクが高いと考えられる常時設置の機器から分類することができる。なお、セキュリティ診断サーバ30において、認可又は不正端末の診断を行って、その分類情報をマネージャサーバ20へ送信し、更新するようにしてもよい。
【0111】
また、機器分類情報記憶部240は、無線信号探知センサ情報記憶部210と対応づけて記憶されていてもよい。例えば、機器分類情報記憶部240に記憶されている機器情報の検出された日時や検出時間などについては、対応する機器情報を無線信号探知センサ情報記憶部210から読みだせるようにしてもよい。ユーザがある端末の分類変更をする際に、適宜、検出日時や時間など読みだして参照することで、分類決定を容易に行うことができる。
【0112】
機器分類情報記憶部240において記憶されている機器分類が、「認可」又は「不正」へと更新された場合、更新された機器情報に対応する無線信号探知センサ10へと更新された認可端末又は不正端末の情報が通信部230により送信され、無線信号探知センサ10の認可端末情報記憶部130へ記憶される。
【0113】
図16は、本発明の第二の実施の形態における機器分類情報記憶部240に記憶されているデータベース構成の一例である。機器分類情報記憶部240は、顧客または無線信号探知センサが存在する場所における、認可端末、不正端末の機器情報とともに、その場所で検出された機器情報を記憶している。
【0114】
機器分類情報記憶部240では、端末を一意に特定することができる情報、例えば、MACアドレスやSSID、端末名に対応づけて、その機器の分類と顧客IDを記憶している。ここでは、顧客に対応づけて機器分類を記憶する例を示しているが、顧客IDの代わりに、無線信号探知センサに対応付けて記憶してもよい。機器の分類は、その場所で無線信号を発信することが認められている「認可」、その場所で無線信号を発信することが認められていない「不正」、認可にも不正にも分類されていない「未確認」の3つに大別される。「未確認」端末のうち、無線信号探知センサ10において、所定時間未満、例えば、10分未満のみの検出だったことを示す情報を受信した場合、短時間検出であることを示す「短」を付して記憶している。
【0115】
また、機器分類情報記憶部240は、未分類端末のうち、セキュリティ診断サーバ30から、一時利用や常時設置などの判定結果を受信した端末については、「未分類」から「一時利用」または「常時設置」へと分類を変更して記憶する。さらに、外部のユーザ端末から、またはマネージャサーバ20の入力部から機器分類情報記憶部240の機器分類情報にアクセスがあり、「一時利用」、「常時設置」、「未分類」端末について「認可」又は「不正」へと更新された場合は情報を更新して記憶する。なお、これに限らず、「認可」又は「不正」への分類更新については、セキュリティ診断サーバ30から情報を受信して更新してもよい。
【符号の説明】
【0116】
10 無線信号探知センサ
20 マネージャサーバ
30 セキュリティ診断サーバ
20 マネージャサーバ
30 セキュリティ診断サーバ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】