知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-10-03
(45)【発行日】2023-10-12
(54)【発明の名称】セキュリティ監視装置及びセキュリティ監視方法
(51)【国際特許分類】
H04L 12/22 20060101AFI20231004BHJP
【FI】
H04L12/22
【請求項の数】
6
(21)【出願番号】P 2019178223
(22)【出願日】2019-09-30
(65)【公開番号】P2021057717
(43)【公開日】2021-04-08
【審査請求日】2022-06-03
(73)【特許権者】
【識別番号】304020498
【氏名又は名称】サクサ株式会社
(74)【代理人】
【識別番号】100091546
【弁理士】
【氏名又は名称】佐藤 正美
(74)【代理人】
【識別番号】100206379
【弁理士】
【氏名又は名称】丸山 正
(72)【発明者】
【氏名】平山 翔太
(72)【発明者】
【氏名】小熊 敦剛
(72)【発明者】
【氏名】田中 宏典
【審査官】宮島 郁美
(56)【参考文献】
【文献】特開2008-136049(JP,A)
【文献】特開2002-158699(JP,A)
【文献】国際公開第2008/026288(WO,A1)
【文献】米国特許出願公開第2009/0165095(US,A1)
【文献】時庭 康久他,侵入検知システムの一考察,情報処理学会第68回(平成18年)全国大会講演論文集(3),日本,社団法人情報処理学会,2006年03月07日
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-13/18,41/00-49/9057,61/00-65/80,69/00-69/40
(57)【特許請求の範囲】
【請求項1】
広域ネットワークへの接続を可能にする第1の接続部と、端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加され、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と
を備えることを特徴とするセキュリティ監視装置。
【請求項2】
広域ネットワークへの接続を可能にする第1の接続部と、端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理手段と、
前記受信処理手段を通じて受信した受信データに、所定のチェック済み情報が付加されているか否かを識別する識別手段と、
前記識別手段により前記チェック済み情報が付加されていると識別された場合に、前記受信処理手段を通じて受信した前記受信データに含まれる送信元の装置のバージョン情報を考慮して、前記受信データに対してセキュリティチェックを行うか否かを制御する受信時チェック制御手段と
を備えることを特徴とするセキュリティ監視装置。
【請求項3】
広域ネットワークへの接続を可能にする第1の接続部と、端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加され、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と、
前記第2の接続部を通じて接続された端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理手段と、
前記受信処理手段を通じて受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別手段と、
前記識別手段により前記チェック済み情報が付加されていると識別された場合に、前記受信処理手段を通じて受信した前記受信データに含まれる送信元の装置の前記バージョン情報を考慮して、前記受信データに対してセキュリティチェックを行うか否かを制御する受信時チェック制御手段と
を備えることを特徴とするセキュリティ監視装置。
【請求項4】
広域ネットワークへの接続を可能にする第1の接続部と、端末装置の自機への接続を可能にする第2の接続部とを備えるセキュリティ監視装置で用いられるセキュリティ監視方法であって、送信時チェック手段が、前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック工程と、
付加手段が、前記送信時チェックにおいてセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加工程と
送信処理手段が、前記付加工程において前記チェック済み情報を付加し、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理工程と
を有することを特徴とするセキュリティ監視方法。
【請求項5】
広域ネットワークへの接続を可能にする第1の接続部と、端末装置の自機への接続を可能にする第2の接続部とを備えるセキュリティ監視装置で用いられるセキュリティ監視方法であって、
請求項4に記載のセキュリティ監視方法であって、
受信処理手段が、前記第2の接続部を通じて接続された端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理工程と、
識別手段が、前記受信処理工程において受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別工程と、
前記識別工程において前記チェック済み情報が付加されていると識別された場合に、前記受信処理工程において受信した前記受信データに含まれる送信元の装置の前記バージョン情報を考慮して、受信時チェック手段が前記受信データに対してセキュリティチェックを行うか否かを制御する受信時チェック制御工程と
を有することを特徴とするセキュリティ監視方法。
【請求項6】
広域ネットワークへの接続を可能にする第1の接続部と、端末装置の自機への接続を可能にする第2の接続部とを備えるセキュリティ監視装置で用いられるセキュリティ監視方法であって、前記第2の接続部を通じて接続された端末装置からの要求に応じて、送信時チェック手段が、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック工程と、
付加手段が、前記送信時チェック工程においてセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加工程と
送信処理手段が、前記付加工程において前記チェック済み情報が付加され、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理工程と、
受信処理手段が、前記第2の接続部を通じて接続された端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理工程と、
識別手段が、前記受信処理工程を通じて受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別工程と、
前記識別工程において前記チェック済み情報が付加されていると識別された場合に、前記受信処理工程において受信した前記受信データに含まれる送信元の装置の前記バージョン情報を考慮して、受信時チェック制御手段が、前記受信データに対してセキュリティチェックを行うか否かを制御する受信時チェック制御工程と
を有することを特徴とするセキュリティ監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、例えば、インターネットなどを介して送受される種々のデータについてのセキュリティ(安全性)を監視する装置、当該装置で用いられるセキュリティを監視する方法に関する。
【背景技術】
【0002】
複数の異なるセキュリティ機能を1つのハードウェアに統合し、ネットワークに関するセキュリティ管理を集中的に行うようにする統合脅威管理(Unified Threat Management)装置が、企業等で利用されるようになってきている。統合脅威管理装置(以下、UTM装置と記載する。)においては、コンピュータウィルスに感染することを防止するためのいわゆるウィルスチェックに関し、利用シーンに応じてセキュリティレベルを動的に変更可能にすることも行われている。具体的に、後に記す特許文献1には、UTM装置に関し、アクセス先が提供するコンテンツのカテゴリ、当該コンテンツのファイルタイプなどに応じて、ウィルスの検知方式を動的に切り替える技術が開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2017-092755号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
UTM装置は、同じ会社の本社と支社、あるいは、自社と取引先といった、離れた場所ごとであって、データの送受信を行う、いわゆる拠点ごとに設けられる場合も多い。この場合、送信側のUTM装置で送信データについてセキュリティチェックが行われ、受信側のUTM装置で受信データ(受信した送信データ)についてセキュリティチェックが行われる。つまり、UTM装置同士で信頼関係が保たることが判断できないので、送信側と受信側とのそれぞれにおいて、送受される同じデータについてセキュリティチェックが行われ、結果として二重に同様のセキュリティチェックが行われることになる。
【0005】
このように、送受信されるデータについて、送信側と受信側とでセキュリティチェックが行われる場合、セキュリティチェックにも時間がかかるため、データの送受信に時間がかかる要因になる場合があると考えられる。特に、送受するデータのデータ量が多い場合には、二重のセキュリティチェックのために、通信速度が遅くなる可能性があると考えられる。
【0006】
以上のことに鑑み、送受されるデータについて、送信側と受信側とでセキュリティチェックが二重に行われることを防止し、通信速度を悪化させることが無いようにすることを目的とする。
【課題を解決するための手段】
【0007】
上記課題を解決するため、請求項1に記載の発明のセキュリティ監視装置は、
広域ネットワークへの接続を可能にする第1の接続部と、
端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加され、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と
を備えることを特徴とする。
広域ネットワークへの接続を可能にする第1の接続部と、
端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加され、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と
を備えることを特徴とする。
【0008】
請求項1に記載の発明のセキュリティ監視装置によれば、送信時チェック手段によりセキュリティチェックがされた送信データには、付加手段によって所定のチェック済み情報が付加され、また、当該送信データには、送信元の装置のバージョン情報が含まれており、送信処理手段によって相手先に送信される。これにより、送信先においては、受信データ(受信した送信データ)に所定のチェック済み情報が付加されているか否かの識別を行い、この識別結果と送信元の装置のバージョン情報とに応じて、受信データについてセキュリティチェックを行うか否かを決めることが可能になる。
【発明の効果】
【0009】
この発明によれば、受信側において、受信データについてセキュリティチェックがされたものか否かを適切に判別することができる。これにより、受信側において、受信データについて、セキュリティチェックを行うか否かを適切に決めることができ、送受されるデータについて、送信側と受信側とでセキュリティチェックが二重に掛けられることを防止し、通信速度の悪化を防止できる。
【図面の簡単な説明】
【0010】
【図1】実施の形態のUTM装置(セキュリティ監視装置)が用いられて構成されるセキュリティ監視システムの構成例を説明するための図である。
【図2】実施の形態のUTM装置の構成例を説明するためブロック図である。
【図3】TCP/IPパケットのヘッダ部分の構成を説明するための図である。
【図4】実施の形態のUTM装置で行われる送信時の処理を説明するためのフローチャートである。
【図5】実施の形態のUTM装置で行われる受信時の処理を説明するためのフローチャートである。
【発明を実施するための形態】
【0011】
以下、図を参照しながら、この発明のセキュリティ監視装置、セキュリティ監視システムの一実施の形態について説明する。なお、以下においては、データの送信側と受信側とでVPN(Virtual Private Network)技術を用いることにより、データを送受信する場合を例にして説明する。VPN技術は、例えば、企業において、本社や複数の支店などの拠点間を相互に接続し、各拠点間でセキュリティの高い通信を行う場合などに用いられる。VPN技術は、カプセル化や暗号化などの技術を用い、インターネットなどのパブリックネットワーク上でもセキュアなポイント・ツー・ポイント接続を実現するものである。
【0012】
[セキュリティ監視システムの構成例]
図1は、この発明によるセキュリティ監視装置、セキュリティ監視方法の一実施の形態が適用されたUTM装置が用いられて構成されたセキュリティ監視システムの構成例を説明するための図である。図1に示した例の場合には、説明を簡単にするため、ネットワーク4に対して、拠点Aに設置されたUTM装置1Aと、拠点Bに設置されたUTM装置1Bとが接続されている場合を示している。すなわち、UTM装置1AとUTM装置1Bとは、例えば、同じ会社の本社と支社、あるいは、自社と取引先といった離れた場所ごとであって、データの送受信を行う拠点Aと拠点Bとに設けられたものである。
図1は、この発明によるセキュリティ監視装置、セキュリティ監視方法の一実施の形態が適用されたUTM装置が用いられて構成されたセキュリティ監視システムの構成例を説明するための図である。図1に示した例の場合には、説明を簡単にするため、ネットワーク4に対して、拠点Aに設置されたUTM装置1Aと、拠点Bに設置されたUTM装置1Bとが接続されている場合を示している。すなわち、UTM装置1AとUTM装置1Bとは、例えば、同じ会社の本社と支社、あるいは、自社と取引先といった離れた場所ごとであって、データの送受信を行う拠点Aと拠点Bとに設けられたものである。
【0013】
ネットワーク4は、主にはインターネットであるが、UTM装置1A、1Bとインターネットまでを接続する公衆交換電話網やLAN(Local Area Network)などをも含むものである。なお、公衆交換電話網には、従来型の電話網の他、光回線電話網などを含む。
【0014】
図1に示すように、UTM装置1Aに対しては、LAN3Aを介して1台以上のパーソナルコンピュータ、この例ではn台のパーソナルコンピュータ(図1ではPCと記載。)2A(1)、2A(2)、…、2A(n)が接続されている。同様に、UTM装置1Bに対しては、LAN3Bを介して1台以上のパーソナルコンピュータ、この例ではn台のパーソナルコンピュータ(図1ではPCと記載。)2B(1)、2B(2)、…、2B(n)が接続されている。
【0015】
例えば、拠点Aに設置されたPC2A(1)と、拠点Bに設置されたPC2B(1)との間では、インターネット電話サービスを用いたり、データ転送機能を用いたりして、音声データ、画像データ、テキストデータなどの送受信を行うことが可能である。このように、例えば、拠点Aに設置されたPC2A(1)と拠点Bに設置されたPC2B(1)との間で、データの送受信を行う場合には、従来は、送信側のUTM装置と受信側のUTM装置とで、同様にセキュリティチェックを行っていた。
【0016】
しかし、この実施の形態においては、送信側のUTM装置で適切にセキュリティチェックがされた送信データについては、これが受信側で受信された場合に、受信側のUTM装置において重ねて同様のセキュリティチェックを行うことがないようにしている。すなわち、拠点Aに設置されたPC2A(1)から拠点Bに設置されたPC2B(1)に送信されるデータについては、送信側のUTM装置1Aでセキュリティチェックがされたら、受信側のUTM装置1Bではセキュリティチェックを行わない。
【0017】
同様に、拠点Bに設置されたPC2B(1)から拠点Aに設置されたPC2A(1)に送信されるデータについては、送信側のUTM装置1Bでセキュリティチェックがされたら、受信側のUTM装置1Aではセキュリティチェックを行わない。このようにすることにより、セキュリティチェックを二重に行うことが無いようにし、セキュリティチェックのために、データの転送が遅延するなどといった不都合が生じないようにしている。
【0018】
以下に、セキュリティチェックを行うUTM装置1A、1Bの構成例について説明する。なお、UTM装置1AとUTM装置1Bとは、同様に構成され、同様の機能を実現するものである。このため、以下においては特に区別して示す必要がある場合を除き、UTM装置1AとUTM装置1Bとについては、拠点A、Bを区別することなくUTM装置1と記載する。
【0019】
また、PC2A(1)、2A(2)、…、2A(n)とPC2B(1)、2B(2)、…、2B(n)についても、同様に構成され、同様の機能を実現するものである。このため、以下においては特に区別して示す必要がある場合を除き、PC2A(1)、2A(2)、…、2A(n)と、PC2B(1)、2B(2)、…、2B(n)とについては、拠点A、Bを区別することなく、PC2(1)、2(2)、…、2(n)と記載する。
【0020】
また、LAN3AとLAN3Bとは、同様に構成され、同様の機能を実現するものである。このため、以下においては特に区別して示す必要がある場合を除き、LAN3AとLAN3Bとについては、拠点A、Bを区別することなく、LAN3と記載する。このように、拠点Aに形成されたLANシステムと、拠点Bに形成されたLANシステムとは、同様に構成されるUTM装置とPCとがLANを通じて接続されて構成されたものである。すなわち、拠点Aと拠点Bとにおいて、同様の機能を実現するLANシステムが構成されている。
【0021】
[UTM装置1の構成例]
図2は、UTM装置1の構成例を説明するためのブロック図である。UTM装置1は、ネットワーク4への接続端101Tと通信I/F(interface)101と制御部102を備える。通信I/F101は、ネットワーク4を通じて送信されてきたデータを自機において処理可能な形式のデータに変換して取り込み、制御部102に供給する処理を行う。また、通信I/F101は、制御部102からのデータを送信する形式のデータに変換し、ネットワーク4を通じて目的とする相手先に送信する処理を行う。ネットワーク4に接続された通信装置との通信は、接続端101T及び通信I/F101とを通じて行うことになる。
図2は、UTM装置1の構成例を説明するためのブロック図である。UTM装置1は、ネットワーク4への接続端101Tと通信I/F(interface)101と制御部102を備える。通信I/F101は、ネットワーク4を通じて送信されてきたデータを自機において処理可能な形式のデータに変換して取り込み、制御部102に供給する処理を行う。また、通信I/F101は、制御部102からのデータを送信する形式のデータに変換し、ネットワーク4を通じて目的とする相手先に送信する処理を行う。ネットワーク4に接続された通信装置との通信は、接続端101T及び通信I/F101とを通じて行うことになる。
【0022】
制御部102は、図示しないが、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、不揮発性メモリなどがバスを介して接続されて構成されたマイクロプロセッサである。制御部102は、UTM装置1の各部を制御する機能を実現する。記憶装置103は、例えば、HDD(hard disk drive)やSSD(Solid State Drive)といった、記録媒体とそのドライバとからなる装置部であり、種々のデータの記録媒体への記録、変更、削除を行う。記憶装置103は、必要となるデータやプログラムを記憶保持する他、種々の処理において生じる中間データを一時記憶する作業領域としても用いられる。
【0023】
暗号化部104は、VPN技術を用いてデータの送信を行うため、自機から送出するデータに対してカプセル化や暗号化を施す処理を行う。暗号解読部105は、VPN技術を用いてデータの受信を行うため、自機が受信したデータに施されているカプセル化の解除や暗号化の解読の処理をして、自機において利用可能なデータに復元する処理を行う。また、UTM装置1は、LANI/F(interface)106及びLAN接続端106Tを備える。LAM接続端106Tには、LAN3を通じて、PC2(1)、2(2)、…2(n)が接続される。UTM装置1は、PC2(1)、2(2)、…、2(n)のそれぞれとは、LANI/F106及びLAN接続端106Tを通じて通信を行う。PC2(1)、2(2)、…、2(n)のそれぞれは、UTM装置1を介してネットワーク4に接続可能にされる。
【0024】
なお、UTM装置1においては、LAN3を通じて自機にどのような端末が接続されているのかを、例えば、制御部102の不揮発性メモリや記憶装置103において管理している。具体的に、UTM装置1においては、端末IDとしてIP(Internet Protocol)アドレスやMAC(Media Access Control address)アドレスなどの各端末を一意に特定可能な情報やポート番号などの情報が端末ごとに管理されている。
【0025】
UTM装置1は、セキュリティチェックを行う機能部として、P2P対策部121と、HP(Home Page)アクセス制御部122と、ウィルス対策部123と、メール対策部124と、IPS/IDS部125と、ファイアウォール部126とを備える。更に、UTM装置1は、セキュリティチェックを行う機能部として、送信データチェック部127と、受信データチェック部128とを備える。
【0026】
P2P対策部121は、セキュリティ対策を行っていない相手や悪意のある相手とのP2P接続を禁止する機能を実現する。なお、「P2P」とは、「Peer to Peer」を意味し、インターネットを介して対等なもの同士が直接に接続して通信を行うことを意味する。P2P対策部121の機能により、例えば画像などのファイル交換を問題のある相手との間において1対1で行うことを防止し、相手からのウィルス感染を防止するなどの機能を実現する。
【0027】
HPアクセス制御部122は、例えば、予め指定したホームページカテゴリを選択しておくことにより、当該カテゴリに該当するホームページへのアクセスを禁止する機能を実現する。例えば、違法薬物(麻薬等)、アダルト関連、ギャンブル関連といったカテゴリを指定しておくことにより、麻薬関連サイト、アダルトサイト、ギャンブルサイトといった不適切サイトへのURLフィルタリングが可能となる。
【0028】
ウィルス対策部123は、Webページのレスポンスの検証(ウィルスチェック)を行う。具体的にウィルス対策部123は、Webページを閲覧するときの通信を監視し、閲覧しようとしている画像やダウンロードするファイルにウィルスが混入していないかを検証(チェック)する機能を実現する。
【0029】
メール対策部124は、受信した電子メールに関し、不要な広告やウィルスが添付された電子メールをブロックする機能を実現する。IPS/IDS部125は、不適切な侵入を防止したり、不適切な侵入を通知したりする機能を実現する。ここで、IPSは、侵入防止システム(Intrusion Prevention System)の略称であり、IDSは、侵入検知システム(Intrusion Detection System)の略称である。IPS/IDS部125は、ワームやトロイの木馬といったいわゆるマルウェアによる攻撃に対して防御を行うことができる。ファイアウォール部126は、データ通信の状況や利用するソフトウェアなどにより、社内ネットワークにデータを供給するか否かを判断し、外部のネットワークからの攻撃や不正なアクセスから自システムを防御する機能を実現する。
【0030】
送信データチェック部127は、インターネット電話サービスを用いたり、データ転送機能を用いたりして、音声データ、画像データ、テキストデータなどを自機から送信する場合に、送信データに対してウィルスチェックやその他の必要なチェックを行う。受信データチェック部128は、インターネット電話サービスを用いたり、データ転送機能を用いたりして、音声データ、画像データ、テキストデータなどを自機が受信した場合に、受信データに対してウィルスチェックやその他の必要なチェックを行う。
【0031】
チェック済み情報付加部131は、送信データチェック部127においてセキュリティチェックがされたチェック済みの送信データに対して、所定のチェック済み情報を付加し、チェックサムを再計算するなどの処理を行って最終的な送信データを形成する。チェック済み情報付加部131で処理された送信データは、暗号化部104で暗号化等の処理がされた後、制御部102の制御の下、通信I/F101及び接続端101Tを通じてネットワーク4に送出される。これにより、当該送信データは、ネットワーク4を通じて、目的とする相手先に送信される。
【0032】
一方、接続端101T及び通信I/F101を通じて受信したデータ(自機の配下のPC宛ての受信データ)は、まず、暗号解読部105において、暗号解読等の処理がされた後、チェック済み情報識別部132に供給される。チェック済み情報識別部132は、これに供給された受信データに、所定のチェック済み情報が付加されているか否かの識別を行う。チェック済み情報識別部132において、所定のチェック済み情報が付加されていると識別された受信データについては、送信時と同様のセキュリティチェックを再度行う必要はない。
【0033】
このため、制御部102は、チェック済み情報識別部132において、所定のチェック済みデータが付加されていると識別された受信データについては、セキュリティチェックを行うことなく受け付ける。制御部102は、受け付けた受信データを、LANI/F106及びLAN接続端106Tを通じて、LAN3に接続されたPC2(1)等の相手先となる端末(PC)に供給する。
【0034】
チェック済み情報識別部132において、所定のチェック済み情報が付加されていないと識別された受信データについては、送信時にセキュリティチェックがされていない可能性が高い。このため、当該受信データについては、制御部102の制御の下、受信データチェック部128に供給する。これにより、所定の受信済み情報が付加されていない受信データについては、受信データチェック部128において、適切に、受信データチェックを行うことが可能になる。
【0035】
受信データチェック部128において、セキュリティチェックがなされ、問題がないとされた受信データは、制御部102により、LANI/F106及びLAN接続端106Tを通じて、LAN3に接続されたPC2(1)等の相手先となる端末に供給される。なお、セキュリティチェックの結果、ウィルスが確認されるなど問題のある受信データについては、これを破棄する。
【0036】
このように、UTM装置1は、複数の異なるセキュリティ機能を1つのハードウェアに搭載しており、通信環境に生じる脅威に対して総合的に対処することができるようにしている。また、上述したように、自機から相手先に送信する送信データについては、セキュリティチェックを行うと共に、セキュリティチェック済みであることを示す所定のチェック済み情報を付加して送信することができる。これにより、送信先(相手先)において、チェック済み情報があることが識別(認識)できた受信データについては、セキュリティチェックを省略することができる。もちろん、相手先のUTM装置が自機と同様に、所定のチェック済み情報を付加することができるものである場合には、自機においても、チェック済み情報があることが識別(認識)できた受信データについては、セキュリティチェックを省略することができる。
【0037】
[チェック済み情報の付加態様の具体例]
この実施の形態のセキュリティ監視システムにおいては、図1を用いて説明したように、主にインターネットであるネットワーク4を通じてデータが送信される。従って、データはTCP/IPパケットとして送受される。このため、TCP/IPパケットのヘッダ部の空き領域に、所定のチェック済み情報を付加する。なお、TCPは「Transmission Control Protocol」の略称であり、IPは「Internet Protocol」の略称である。図3は、TCP/IPパケットのヘッダ部分の構成を説明するための図である。図3に示すように、TCP/IPパケットは、0バイト目~23バイト目までの24バイトがヘッダ部であり、24バイト目以降がペイロード部(データ本体部)になっている。
この実施の形態のセキュリティ監視システムにおいては、図1を用いて説明したように、主にインターネットであるネットワーク4を通じてデータが送信される。従って、データはTCP/IPパケットとして送受される。このため、TCP/IPパケットのヘッダ部の空き領域に、所定のチェック済み情報を付加する。なお、TCPは「Transmission Control Protocol」の略称であり、IPは「Internet Protocol」の略称である。図3は、TCP/IPパケットのヘッダ部分の構成を説明するための図である。図3に示すように、TCP/IPパケットは、0バイト目~23バイト目までの24バイトがヘッダ部であり、24バイト目以降がペイロード部(データ本体部)になっている。
【0038】
図3に示すヘッダ部において、「送信元ポート番号」は送信元のポート番号であり、「宛先ポート番号」は、宛先(送信先)のポートの番号であり、「シーケンス番号」は送信したデータの順序を示すものである。また、「確認応答番号」は相手先から受信したシーケンス番号とデータサイズである。「データオフセット」は当該ヘッダ部の長さを示す値であり、「予約」は将来の拡張のために用意されているエリアである。「コントロールフラグ」は、「URG」、「ACK」、「PSH」、「RST」、「SYN」、「FIN」の6つのビットで構成されている。「ウィンドウサイズ」は受信側が一度に受信することが出来るデータ量を通知するために使用される。「チェックサム」は当該ヘッダ部とデータ部のエラーチェックを行うために使用される値が入る。「緊急ポインタ」はコントロールフラグの「URG」が「1」である場合に使用されるエリアである。
【0039】
「オプション+パディング部」において、「オプション」はTCP通信で性能を向上させるために使用される。「パディング」は当該ヘッダ部の長さを24バイトにするため、最後の2バイトのフィールドを32ビットの整数に調整するために使用される。この実施の形態において、チェック済み情報付加部131は、20バイト目~23バイト目のオプション+パディング部に、所定のチェック済み情報を付加する。所定のチェック済み情報は、例えば、「SAXA」といったUTM装置1の製造会社に由来する情報、「CKOK」といったチェック済み(Check OK)を意味する情報など、最大4バイトを使用して表現可能な情報を入力する。もちろん、ここで示したチェック済み情報は一例であり、予め決められる種々のチェック済み情報を用いることができる。
【0040】
このように、TCP/IPパケットのヘッダ部の所定のエリア(フィールド)を用いることにより、送信対象のデータに影響を与えることなく、チェック済み情報を付加して、相手先に送信できる。相手先では、チェック済み情報が付加されている部分が予め決められていることにより、受信データ(受信した送信データ)の当該部分を確認することにより、チェック済み情報が付加されているか否かを確実に識別することが可能になる。
【0041】
[UTM1で行われる処理のまとめ]
上述した構成を有する実施の形態のUTM装置1で行われる処理について、フローチャートを参照しながらまとめる。上述したように、UTM装置1では、P2P対策部121、HPアクセス制御部122、ウィルス対策部123、メール対策部124、IPS/IDS部125、ファイアウォール部126が機能して、種々のセキュリティのための処理が行われる。これらの各部によって行われる処理の他に、UTM装置1では、自機からデータを送信する場合には、送信データに対してセキュリティチェックを行い、また、自機がデータを受信した場合には、受信データに対してセキュリティチェックを行う構成を備える。しかし、この実施の形態のUTM装置1では、上述したように、送信側と受信側とで二重にセキュリティチェックを行わないようにしている点で特徴を有している。以下、UTM装置1に行われる処理を、送信時と受信時とに分けて説明する。
上述した構成を有する実施の形態のUTM装置1で行われる処理について、フローチャートを参照しながらまとめる。上述したように、UTM装置1では、P2P対策部121、HPアクセス制御部122、ウィルス対策部123、メール対策部124、IPS/IDS部125、ファイアウォール部126が機能して、種々のセキュリティのための処理が行われる。これらの各部によって行われる処理の他に、UTM装置1では、自機からデータを送信する場合には、送信データに対してセキュリティチェックを行い、また、自機がデータを受信した場合には、受信データに対してセキュリティチェックを行う構成を備える。しかし、この実施の形態のUTM装置1では、上述したように、送信側と受信側とで二重にセキュリティチェックを行わないようにしている点で特徴を有している。以下、UTM装置1に行われる処理を、送信時と受信時とに分けて説明する。
【0042】
<UTM装置1の送信時の処理>
図4は、UTM装置1で行われるデータの送信時の処理を説明するためのフローチャートである。LANI/F106及びLAN接続端106Tを通じて接続された配下のPC2(1)、…等からの送信データ(パケットデータ)は、制御部102の制御の下、送信データチェック部127に供給される。送信データチェック部127は、これに供給された送信データについて、ウィルスチェックやその他の必要なチェックを行う(ステップS101)。ステップS101のセキュリティチェックにより、ウィルスなどの送信先に影響を与える不都合が確認された送信データについては、送信しないようにされる。
図4は、UTM装置1で行われるデータの送信時の処理を説明するためのフローチャートである。LANI/F106及びLAN接続端106Tを通じて接続された配下のPC2(1)、…等からの送信データ(パケットデータ)は、制御部102の制御の下、送信データチェック部127に供給される。送信データチェック部127は、これに供給された送信データについて、ウィルスチェックやその他の必要なチェックを行う(ステップS101)。ステップS101のセキュリティチェックにより、ウィルスなどの送信先に影響を与える不都合が確認された送信データについては、送信しないようにされる。
【0043】
ステップS101において、セキュリティチェックがされた送信データは、制御部102の制御の下、チェック済み情報付加部131に供給され、ここでチェック済み情報が付加される(ステップS102)。ステップS102の処理は、図3を用いて説明したように、送信データであるTCP/IPパケットのヘッダ部のオプション+パディング部に、所定のチェック済み情報を付加する処理である。この後、チェック済み情報付加部131では、チェックサムを再計算してヘッダ部のチェックサムエリアに付加し直す(ステップS103)。
【0044】
ステップS103でチェックサムが再計算されて付加し直された送信データは、制御部102の制御の下、暗号化部104に供給され、ここでカプセル化処理や所定の方式の暗号化処理が施される(ステップS104)。ステップS104において、暗号化等の処理がされた送信データ(パケットデータ)は、制御部102の制御の下、通信I/F101及び接続端101Tを通じてネットワーク4に送出され(ステップS105)、目的とする相手先に対して送信される。
【0045】
このように、UTM装置1では、自機から送信する送信データ(パケットデータ)に対しては、セキュリティチェックを施し、所定のチェック済みデータを付加し、チェックサムを付け直し、暗号化等の処理を施して目的とする相手先に送信する。
【0046】
<UTM装置1の受信時の処理>
図5は、UTM装置1で行われるデータの受信時の処理を説明するためのフローチャートである。ネットワーク4への接続端101T及び通信I/F101を通じて受信した自機の配下のPC2(1)、…等への受信データは、制御部102の制御の下、まず、暗号解読部105に供給され、ここで暗号化の解読処理やカプセル化の解除処理がされる(ステップS201)。ステップS201で暗号解読等の処理がされた受信データは、制御部102の制御の下、チェック済み情報識別部132に供給される。
図5は、UTM装置1で行われるデータの受信時の処理を説明するためのフローチャートである。ネットワーク4への接続端101T及び通信I/F101を通じて受信した自機の配下のPC2(1)、…等への受信データは、制御部102の制御の下、まず、暗号解読部105に供給され、ここで暗号化の解読処理やカプセル化の解除処理がされる(ステップS201)。ステップS201で暗号解読等の処理がされた受信データは、制御部102の制御の下、チェック済み情報識別部132に供給される。
【0047】
チェック済み情報識別部132は、これに供給された受信データ(パケットデータ)のヘッダ部のオプション+パディング部の情報を確認し、所定のチェック済み情報が付加されているか否かを識別する(ステップS202)。ステップS202の識別結果は、制御部102に通知されるので、制御部102は、チェック済み情報が付加されているか否か(有るか否か)を判別する(ステップS203)。
【0048】
ステップS203の判別処理において、チェック済み情報が有ると判別された場合には、当該受信データ(パケットデータ)は既にセキュリティチェック済みであることが確認できたので、制御部102は、これを受け付ける(ステップS204)。このステップS204の処理は、当該受信データを自機において処理対象とする処理である。制御部102は、ステップS204で受け付けた受信データを、LANI/F106及びLAN接続端106Tを通じて、目的とする送信先であるPC2(1)、…等に供給するように処理する。
【0049】
ステップS203の判別処理において、チェック済み情報が無いと判別された場合には、受信データはセキュリティチェックがされていない可能性が高い。この場合には、制御部102は、当該受信データを受信データチェック部128に供給し、ウィルスチェックやその他の必要なチェックからなるセキュリティチェックを実施する(ステップS205)。この後、制御部102は、受信データチェック部128でセキュリティチェックがされた受信データを受け付ける(ステップS204)。上述もしたように、ステップS204の処理は、当該受信データを自機において処理対象とする処理である。制御部102は、ステップS204で受け付けた受信データを、LANI/F106及びLAN接続端106Tを通じて、目的とする送信先であるPC2(1)、…等に供給するように処理する。
【0050】
このように、UTM装置1では、自機が受信した受信データ(パケットデータ)については、所定のチェック済み情報が付加されているか否かを識別する。そして、所定のチェック済み情報が付加されていると識別できた時には、受信データに対してセキュリティチェックを実施することなく受け付けて処理対象とする。しかし、所定のチェック済み情報が付加されていることが識別できなかった時には、受信データに対してセキュリティチェックを実施した後に受け付けて処理対象とする。
【0051】
これにより、受信データについてのセキュリティチェックは、送信側と受信側の双方で行われることを防止し、受信側でセキュリティチェックが行われることに起因して発生する通信速度が遅くなるという不都合を防止できる。すなわち、データの送受信を迅速に行うことができる。もちろん、セキュリティチェックがされていない可能性の高い受信データについては、受信データチェック部128によりセキュリティチェックを行うことができるので、データ通信に関し安全性が阻害されることもない。
【0052】
[実施の形態の効果]
上述した実施の形態のUTM装置によれば、送信データにセキュリティチェックを行った場合には、当該送データに対して所定のチェック済み情報を付加することができる。また、受信時には、受信データ(受信した送信データ)に所定のチェック済み情報が付加されているか否かを認識し、付加されていることが認識できた場合には、受信データに対するセキュリティチェックを省略することができる。すなわち、送受信されるデータに変更を伴わない静的な対応ではなく、送受されるデータにチェック済み情報を付加して、セキュリティチェックの必要性を識別する動的な対応を取る構成になっている。
上述した実施の形態のUTM装置によれば、送信データにセキュリティチェックを行った場合には、当該送データに対して所定のチェック済み情報を付加することができる。また、受信時には、受信データ(受信した送信データ)に所定のチェック済み情報が付加されているか否かを認識し、付加されていることが認識できた場合には、受信データに対するセキュリティチェックを省略することができる。すなわち、送受信されるデータに変更を伴わない静的な対応ではなく、送受されるデータにチェック済み情報を付加して、セキュリティチェックの必要性を識別する動的な対応を取る構成になっている。
【0053】
これにより、送信側と受信側との双方で、同様のセキュリティチェックが行われることを防止することが確実にできる。従って、受信側において、受信データに対するセキュリティチェックが行われることに起因して発生する受信データの受付遅延の発生を防止することができ、通信速度の悪化を防止し、適切かつ迅速にデータの送受信を行うことができる。
【0054】
特に、VPN技術を用いて通信を行う場合、あるいは、インターネット電話サービスを用いたり、データ転送機能を用いたりして、音声データ、画像データ、テキストデータなどといったデータを大量に送受する場合において、この発明の効果は大きい。
【0055】
また、所定のチェック済み情報が付加された送信データについては、チェックサムも再計算されて付け直されるので、データの信頼度のチェックに影響を与えることもない。また、所定のチェック済み情報が付加された送信データについては、暗号化されて送信されるので、当該所定のチェック済み情報を悪意で付加したり、削除したりするといったことも防止できる。
【0056】
[変形例]
なお、上述した実施の形態においては、UTM装置1AとUTM装置1Bとの間では、VPN技術を用いての送受信を行うものとして説明した。しかし、これに限るものではない。VPN技術を用いることなくデータの送受信を行う場合にもこの発明を適用できる。VPN技術を用いない場合には、送受するデータのカプセル化や暗号化の必要はない。このため、送信側においては、図4に示したステップS104の処理を省略できる。また、受信側においては、ステップS201の処理を省略できる。このように暗号化等及び暗号解読等の処理が行われない場合でも、送受されるデータにはチェックサム等の信頼性を確保するための対応はとられているので、暗号化等をせずにデータの送受を行う場合にも、この発明は有効である。
なお、上述した実施の形態においては、UTM装置1AとUTM装置1Bとの間では、VPN技術を用いての送受信を行うものとして説明した。しかし、これに限るものではない。VPN技術を用いることなくデータの送受信を行う場合にもこの発明を適用できる。VPN技術を用いない場合には、送受するデータのカプセル化や暗号化の必要はない。このため、送信側においては、図4に示したステップS104の処理を省略できる。また、受信側においては、ステップS201の処理を省略できる。このように暗号化等及び暗号解読等の処理が行われない場合でも、送受されるデータにはチェックサム等の信頼性を確保するための対応はとられているので、暗号化等をせずにデータの送受を行う場合にも、この発明は有効である。
【0057】
また、上述した実施の形態においては、この発明によるセキュリティ監視装置を、UTM装置に適用した場合を例にして説明したが、これに限るものではない。インターネットを含む広域ネットワークと会社などに形成されるLANとの間に設けられる、例えばルータなどの種々のネットワーク機器に、この発明によるセキュリティ監視装置を適用することができる。
【0058】
また、上述した実施の形態では、TCP/IPパケットのヘッダ部に、所定のチェック済み情報を付加するものとして説明したが、これに限るものではない。種々のプロトコルが用いられて送受される送信データのヘッダ部やフッター部などの、送信対象の実データに対して影響を及ぼすことのない領域に、所定のチェック済み情報を付加することができる。
【0059】
また、チェック済み情報が付加されていても、例えば、TCP/IPパケットに送信元の装置のバージョン情報が付加されている場合には、バージョン情報が古い場合には、受信データに対してセキュリティチェックを行うといった対応を取ることも可能である。すなわち、チェック済み情報の付加の有無と送信元の装置のバージョンとの両方を考慮して、受信側において受信データについてセキュリティチェックを行うか否かを判別するようにしてもよい。
【0060】
[その他]
上述した実施の形態の説明からも分かるように、請求項の第1の接続部の機能は、ネットワーク4への接続端101T及び通信I/F101が実現し、第2の接続部の機能はLANI/F106及びLAN接続端106Tが実現する。また、請求項の送信時チェック手段の機能は、送信データチェック部127が実現し、請求項の付加手段の機能は、チェック済み情報付加部131が実現している。また、請求項の送信処理手段は、制御部102と通信I/F101が協働して実現している。
上述した実施の形態の説明からも分かるように、請求項の第1の接続部の機能は、ネットワーク4への接続端101T及び通信I/F101が実現し、第2の接続部の機能はLANI/F106及びLAN接続端106Tが実現する。また、請求項の送信時チェック手段の機能は、送信データチェック部127が実現し、請求項の付加手段の機能は、チェック済み情報付加部131が実現している。また、請求項の送信処理手段は、制御部102と通信I/F101が協働して実現している。
【0061】
また、請求項の受信処理手段の機能は、制御部102と通信I/F101とが協働して実現し、請求項の識別手段の機能は、チェック済み情報識別部132が実現している。また、請求項の受信時チェック制御手段の機能は、制御部102が実現している。
【0062】
また、図4、図5のフローチャートを用いて説明した方法が、この発明によるセキュリティチェック方法の一実施の形態が適用されたものである。また、図4、図5のフローチャートの処理を実行するプログラムを形成し、これをUTM装置などのネットワーク機器に搭載して実行可能にすることによって、この発明のセキュリティ監視装置を実現できる。
【0063】
また、送信データチェック部127、受信データチェック部128、チェック済み情報付加部131、チェック済み情報識別部132の各部の機能は、例えば、UTM装置1の制御部102において実行されるプログラムによって実現できる。すなわち、送信データチェック部127、受信データチェック部128、チェック済み情報付加部131、チェック済み情報識別部132の各部の機能は、プログラムにより、制御部102の機能として実現することもできる。
【符号の説明】
【0064】
1、1A、1B…UTM装置、101T…ネットワーク4への接続端、101…通信I/F、102…制御部、103…記憶装置、104…暗号化部、105…暗号解読部、106…LANI/F、106T…LAN接続端、121…P2P対策部、122…HPアクセス制御部、123…ウィルス対策部、124…メール対策部、125…IPS/IDS部、126…ファイアウォール部、127…送信データチェック部、128…受信データチェック部、131…チェック済み情報付加部、132…チェック済み情報識別部、2、2A(1)~2A(n)、2B(1)~2B(n)…PC、3、3A、3B…LAN
【図1】
【図2】
【図3】
【図4】
【図5】