知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-01-09
(45)【発行日】2024-01-17
(54)【発明の名称】管理装置、管理方法、及びプログラム
(51)【国際特許分類】
H04L 12/66 20060101AFI20240110BHJP
H04L 12/22 20060101ALI20240110BHJP
【FI】
H04L12/66
H04L12/22
【請求項の数】
11
(21)【出願番号】P 2021565237
(86)(22)【出願日】2019-12-18
(86)【国際出願番号】 JP2019049650
(87)【国際公開番号】W WO2021124485
(87)【国際公開日】2021-06-24
【審査請求日】2022-06-01
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100141519
【弁理士】
【氏名又は名称】梶田 邦之
(72)【発明者】
【氏名】園田 健太郎
【審査官】速水 雄太
(56)【参考文献】
【文献】特開2019-129337(JP,A)
【文献】特開2004-030286(JP,A)
【文献】国際公開第2006/087907(WO,A1)
【文献】特開2017-117224(JP,A)
【文献】特開2014-027696(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/66
H04L 12/22
(57)【特許請求の範囲】
【請求項1】
通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する取得手段と、前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定する設定手段であって、前記有効管理期間は、前記アドレス情報により特定されるネットワークノードから通信が行われた第1の時点から、前記アドレス情報を前記管理対象から除外させるべき第2の時点までの期間を含む、設定手段と、
前記第1の時点よりも後の第3の時点において、前記ネットワークノードから通信が行われた場合、前記有効管理期間を、前記第3の時点から、前記アドレス情報を前記管理対象から除外させるべき第4の時点までの期間に更新する更新手段であって、前記第4の時点は、前記第2の時点よりも後である、更新手段と、
を備える、管理装置。
【請求項2】
前記アドレス情報に関連する前記情報は、前記アドレス情報に割り当てられた位置情報を含む、請求項1記載の管理装置。
【請求項3】
前記アドレス情報に関連する前記情報は、前記アドレス情報により特定されるネットワークノードからのサイバー攻撃に関する攻撃履歴情報を含む、請求項1記載の管理装置。
【請求項4】
前記攻撃履歴情報は、通信ネットワーク上の複数の観測点によりそれぞれ収集される複数の脅威情報において、脅威情報として出現されたアドレス情報の出現数に関する情報を含む、請求項3記載の管理装置。
【請求項5】
前記アドレス情報により特定されるネットワークノードとの間で通信可能か否かの判断を行う判断手段を更に備え、前記設定手段は、前記アドレス情報に関連する前記情報と前記判断の結果に基づいて、前記有効管理期間を設定する、請求項1乃至4のうち何れか1項記載の管理装置。
【請求項6】
前記有効管理期間は、前記アドレス情報が前記管理対象になった時点から、前記アドレス情報を前記管理対象から除外させるべき時点までの期間を含む、請求項1乃至5のうち何れか1項記載の管理装置。
【請求項7】
前記有効管理期間に基づいて、前記アドレス情報を前記管理対象として管理する、管理制御手段を更に備える、請求項1乃至6のうち何れか1項記載の管理装置。
【請求項8】
前記管理制御手段は、前記アドレス情報に設定された前記有効管理期間を経過した場合に、前記アドレス情報を前記管理対象から除外する処理を行う、請求項7記載の管理装置。
【請求項9】
前記アドレス情報と前記有効管理期間との対応関係を示す情報を生成する生成手段を更に備える、請求項1乃至8のうち何れか1項記載の管理装置。
【請求項10】
通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することであって、前記有効管理期間は、前記アドレス情報により特定されるネットワークノードから通信が行われた第1の時点から、前記アドレス情報を前記管理対象から除外させるべき第2の時点までの期間を含む、設定することと、
前記第1の時点よりも後の第3の時点において、前記ネットワークノードから通信が行われた場合、前記有効管理期間を、前記第3の時点から、前記アドレス情報を前記管理対象から除外させるべき第4の時点までの期間に更新することであって、前記第4の時点は、前記第2の時点よりも後である、ことと、
を備える、管理方法。
【請求項11】
通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することであって、前記有効管理期間は、前記アドレス情報により特定されるネットワークノードから通信が行われた第1の時点から、前記アドレス情報を前記管理対象から除外させるべき第2の時点までの期間を含む、設定することと、
前記第1の時点よりも後の第3の時点において、前記ネットワークノードから通信が行われた場合、前記有効管理期間を、前記第3の時点から、前記アドレス情報を前記管理対象から除外させるべき第4の時点までの期間に更新することであって、前記第4の時点は、前記第2の時点よりも後である、ことと、
をコンピュータに実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報の管理を行う管理装置、管理方法、及びプログラムに関する。
【背景技術】
【0002】
昨今、政府や企業などに対するサイバー攻撃が増加している。このため、甚大な被害を発生させる事例が頻繁に発生している。このようなサイバー攻撃に対する防衛策が研究されている。
【0003】
例えば、防衛策の一例として、サイバー脅威インテリジェンス(Cyber Threat Intelligence、以下CTIとも呼ぶ。)を活用したサイバー攻撃を遮断する方策がある。CTIとは、政府や企業を標的としたサイバー攻撃の攻撃元や種類、手口等を集約した脅威情報である。政府や企業は、CTIを活用してサイバー攻撃を未然に防ぐ対策を行っている。
【0004】
CTIでは、主に攻撃元のIPアドレスやマルウェアを示すハッシュ値などの情報を利用する。このような情報は、例えばブロックリストと呼ばれている。すなわち、政府や企業は、このようなブロックリストを、例えばファイアウォールのアクセス制御リスト(Access Control List、ACL)、すなわち、遮断対象となるIPアドレスのリストとして利用する。
【0005】
また、適切なブロックリストを生成する技術として、例えば特許文献1には、脅威情報等から攻撃種別、攻撃元アドレスおよび攻撃回数を計算し、任意の予測カバー率を上回る条件を満たす攻撃元アドレスをブロックリストとして登録することが開示されている。
【先行技術文献】
【特許文献】
【0006】
【文献】特開2019-004339号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、ブロックリストは膨大な量になりうる。このため、ブロックリストに含まれる全てのアドレス情報をアクセス制御の対象として継続的に管理すると、例えば、ファイアウォールの性能が低下するおそれがある。
【0008】
本発明の目的は、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能な管理装置、管理方法、及びプログラムを提供することにある。
【課題を解決するための手段】
【0009】
本発明の一つの態様によれば、管理装置は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する取得部と、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する設定部と、を備える。
【0010】
本発明の一つの態様によれば、管理方法は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定することと、を備える。
【0011】
本発明の一つの態様によれば、プログラムは、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定することと、をコンピュータに実行させる。
【発明の効果】
【0012】
本発明の一つの態様によれば、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。
【図面の簡単な説明】
【0013】
【発明を実施するための形態】
【0014】
以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。
【0015】
説明は、以下の順序で行われる。
1.本発明の実施形態の概要
2.第1の実施形態
2.1.管理装置100aの構成
2.2.動作例
2.3.変形例
3.第2の実施形態
3.1.管理装置100cの構成
3.2.動作例
4.他の実施形態
1.本発明の実施形態の概要
2.第1の実施形態
2.1.管理装置100aの構成
2.2.動作例
2.3.変形例
3.第2の実施形態
3.1.管理装置100cの構成
3.2.動作例
4.他の実施形態
【0016】
<<1.本発明の実施形態の概要>>
まず、本発明の実施形態の概要を説明する。
まず、本発明の実施形態の概要を説明する。
【0017】
(1)技術的課題
昨今、政府や企業などに対するサイバー攻撃が増加している。このため、甚大な被害を発生させる事例が頻繁に発生している。このようなサイバー攻撃に対する防衛策が研究されている。
昨今、政府や企業などに対するサイバー攻撃が増加している。このため、甚大な被害を発生させる事例が頻繁に発生している。このようなサイバー攻撃に対する防衛策が研究されている。
【0018】
例えば、防衛策の一例として、サイバー脅威インテリジェンス(Cyber Threat Intelligence、以下CTIとも呼ぶ。)を活用したサイバー攻撃を遮断する方策がある。CTIとは、政府や企業を標的としたサイバー攻撃の攻撃元や種類、手口等を集約した脅威情報である。政府や企業は、CTIを活用してサイバー攻撃を未然に防ぐ対策を行っている。
【0019】
CTIでは、主に攻撃元のIPアドレスやマルウェアを示すハッシュ値などの情報を利用する。このような情報は、例えばブロックリストと呼ばれている。すなわち、政府や企業は、このようなブロックリストを、例えばファイアウォールのアクセス制御リスト(Access Control List、ACL)、すなわち、遮断対象となるIPアドレスのリストとして利用する。
【0020】
しかしながら、ブロックリストは膨大な量になりうる。このため、ブロックリストに含まれる全てのアドレス情報をアクセス制御の対象として継続的に管理すると、例えば、ファイアウォールの性能低下の可能性がある。
【0021】
特に、サイバー攻撃者にとって攻撃元IPアドレスを知られることは致命的であるため、攻撃元IPアドレスを継続的に使用することはほとんどない傾向にある。このため、攻撃元IPアドレスは、攻撃後にすぐに削除される可能性が高い。すなわち、サイバー攻撃者は、別のIPアドレスを利用して新たな攻撃を行う可能性が高い。したがって、生成されたブロックリストはすぐに陳腐化してしまう可能性が高い。
【0022】
そこで、本実施形態では、アクセス制御の対象となりうるアドレス情報を適切に管理することを目的とする。より具体的には、アクセス制御の対象となりうるアドレス情報を管理するのに有効か否かを適切に判断することを目的とする。
【0023】
(2)技術的特徴
本発明の実施形態では、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得し、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する。
本発明の実施形態では、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得し、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する。
【0024】
これにより、例えば、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は、上述した技術的特徴に限定されない。
【0025】
【0026】
<2.1.管理装置100aの構成>
図1を参照して、第1の実施形態に係る管理装置100aの構成の例を説明する。図1は、第1の実施形態に係る管理装置100aの概略的な構成の例を示すブロック図である。図1を参照すると、管理装置100aは、ネットワーク通信部110、記憶部120、及び処理部130を備える。
図1を参照して、第1の実施形態に係る管理装置100aの構成の例を説明する。図1は、第1の実施形態に係る管理装置100aの概略的な構成の例を示すブロック図である。図1を参照すると、管理装置100aは、ネットワーク通信部110、記憶部120、及び処理部130を備える。
【0027】
(1)ネットワーク通信部110
ネットワーク通信部110は、ネットワークから信号を受信し、ネットワークへ信号を送信する。
ネットワーク通信部110は、ネットワークから信号を受信し、ネットワークへ信号を送信する。
【0028】
(2)記憶部120
記憶部120は、管理装置100aの動作のためのプログラム(命令)及びパラメータ、並びに様々なデータを、一時的に又は恒久的に記憶する。当該プログラムは、管理装置100aの動作のための1つ以上の命令を含む。
記憶部120は、管理装置100aの動作のためのプログラム(命令)及びパラメータ、並びに様々なデータを、一時的に又は恒久的に記憶する。当該プログラムは、管理装置100aの動作のための1つ以上の命令を含む。
【0029】
(3)処理部130
処理部130は、管理装置100aの様々な機能を提供する。処理部130は、アドレス情報取得部131、設定部133、リスク情報取得部135、判断部137、及び生成部139を含む。なお、処理部130は、これらの構成要素以外の他の構成要素をさらに含み得る。すなわち、処理部130は、これらの構成要素の動作以外の動作も行い得る。アドレス情報取得部131、設定部133、リスク情報取得部135、判断部137、及び生成部139の具体的な動作は、後に詳細に説明する。
処理部130は、管理装置100aの様々な機能を提供する。処理部130は、アドレス情報取得部131、設定部133、リスク情報取得部135、判断部137、及び生成部139を含む。なお、処理部130は、これらの構成要素以外の他の構成要素をさらに含み得る。すなわち、処理部130は、これらの構成要素の動作以外の動作も行い得る。アドレス情報取得部131、設定部133、リスク情報取得部135、判断部137、及び生成部139の具体的な動作は、後に詳細に説明する。
【0030】
(4)実装例
ネットワーク通信部110は、ネットワークアダプタ並びに/又はネットワークインタフェースカード等により実装されてもよい。記憶部120は、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスク等により実装されてもよい。処理部130は、1つ以上のプロセッサにより実装されてもよい。アドレス情報取得部131、設定部133、リスク情報取得部135、判断部137、及び生成部139は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリ(記憶部120)は、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
ネットワーク通信部110は、ネットワークアダプタ並びに/又はネットワークインタフェースカード等により実装されてもよい。記憶部120は、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスク等により実装されてもよい。処理部130は、1つ以上のプロセッサにより実装されてもよい。アドレス情報取得部131、設定部133、リスク情報取得部135、判断部137、及び生成部139は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリ(記憶部120)は、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0031】
管理装置100aは、プログラム(命令)を記憶するメモリと、当該プログラム(命令)を実行可能な1つ以上のプロセッサとを含んでもよい。当該1つ以上のプロセッサは、上記プログラムを実行して、処理部130の動作(アドレス情報取得部131、設定部133、リスク情報取得部135、判断部137、及び/又は生成部139の動作)を行ってもよい。上記プログラムは、処理部130の動作(アドレス情報取得部131、設定部133、リスク情報取得部135、判断部137、及び/又は生成部139の動作)をプロセッサに実行させるためのプログラムであってもよい。
【0032】
<2.2.動作例>
次に、第1の実施形態に係る動作例について説明する。
次に、第1の実施形態に係る動作例について説明する。
【0033】
第1の実施形態によれば、管理装置100a(アドレス情報取得部131)は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する。管理装置100a(設定部133)は、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する。
【0034】
第1の実施形態によれば、上記アドレス情報に、上記アクセス制御のための管理対象とする上記有効管理期間を設定することにより、上記アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。
【0035】
(1)アドレス情報
上記アドレス情報は、具体的には、次に説明するような脅威情報に含まれる情報(IPアドレス、ドメイン名など)である。具体的に、脅威情報は、サイバー攻撃を示唆するリストであって、攻撃に係る情報のリストである。
上記アドレス情報は、具体的には、次に説明するような脅威情報に含まれる情報(IPアドレス、ドメイン名など)である。具体的に、脅威情報は、サイバー攻撃を示唆するリストであって、攻撃に係る情報のリストである。
【0036】
図2は、脅威情報200の具体例を示す図である。図2に示すように、脅威情報200は、例えば、政府や企業が受けたサイバー攻撃に関する情報である。具体的に、脅威情報200は、脅威対象となりうるアクセスを観測する観測点の種類と、観測点により脅威なアクセスとして識別された時間に関するタイムスタンプ、当該脅威なアクセスのIPアドレス、当該脅威なアクセスのドメイン名、当該脅威なアクセスから送信されるEメールメッセージ、当該脅威なアクセスから送信されるマルウェアなどが互いに対応付けられた情報である。脅威情報200がマルウェアを含む場合、該マルウェアのハッシュ値も脅威情報200に含まれる。
【0037】
上述した脅威情報200は、例えばアドレス情報取得部131により収集される。すなわち、アドレス情報取得部131は、自動収集のためのクローリングにより脅威情報200を受信する、又は他組織から脅威情報200を受信する。例えば、アドレス情報取得部131は、収集した脅威情報200を記憶部120に記憶させる。
【0038】
(2)アドレス情報に関する情報
上記アドレス情報に関する上記情報は、例えば、上記アドレスに割り当てられた位置情報を含む。具体的には、上記アドレス情報に割り当てられた上記位置情報は、上記アドレス情報(例えばIPアドレス)から特定される国情報、地域情報などである。
上記アドレス情報に関する上記情報は、例えば、上記アドレスに割り当てられた位置情報を含む。具体的には、上記アドレス情報に割り当てられた上記位置情報は、上記アドレス情報(例えばIPアドレス)から特定される国情報、地域情報などである。
【0039】
―第2の具体例
また、上記アドレス情報に関する上記情報は、上記アドレス情報により特定されるネットワークノードからのサイバー攻撃に関する攻撃履歴情報を含んでもよい。
また、上記アドレス情報に関する上記情報は、上記アドレス情報により特定されるネットワークノードからのサイバー攻撃に関する攻撃履歴情報を含んでもよい。
【0040】
具体的には、攻撃履歴情報は、具体的には後述するように取得経路や取得タイミングが異なる複数の脅威情報に基づいて得られる履歴情報である。より具体的には、攻撃履歴情報は、通信ネットワーク上の複数の観測点によりそれぞれ収集される複数の脅威情報において、脅威情報として出現されたアドレス情報の出現数(以下、出現頻度とも呼ぶ。)に関する情報を含む。例えば、複数の観測点で脅威情報として収集されたアドレスはサイバー攻撃の攻撃元となる可能性が高い、と判断することができる。また、各々の観測点は、例えば図2に示した脅威情報200内に含まれる種類によって特定される。
【0041】
なお、攻撃履歴情報は、所定期間におけるサイバー攻撃の攻撃回数に関する情報(攻撃頻度)を含んでもよい。
【0042】
(3)有効管理期間
上記有効管理期間は、上記アドレス情報が上記管理対象になった時点から、上記アドレス情報を上記管理対象から除外させるべき時点までの期間を含む。このような期間は、具体的には、指定時刻に強制的に有効期限切れとなるハードタイムアウト用の有効管理期間に相当する。
上記有効管理期間は、上記アドレス情報が上記管理対象になった時点から、上記アドレス情報を上記管理対象から除外させるべき時点までの期間を含む。このような期間は、具体的には、指定時刻に強制的に有効期限切れとなるハードタイムアウト用の有効管理期間に相当する。
【0043】
また、上記有効管理期間は、上記アドレス情報により特定されるネットワークノードから最後に通信が行われた時点から、上記アドレス情報を上記管理対象から除外させるべき時点までの期間を含んでもよい。このような期間は、具体的には、ネットワークノードから指定時刻までに所定条件を満たすアクセスがあった場合に期限が延長される、アイドルタイムアウト用の有効管理期間に相当する。
【0044】
(3-1)有効管理期間の設定処理
(3-1-1)第1の具体例:アイドルタイムアウト用の有効管理期間の設定処理
第1の具体例として、アイドルタイムアウト用の有効管理期間の設定処理を説明する。図3は、アイドルタイムアウト用の有効管理期間の設定処理の一例の流れを示すフローチャートである。
(3-1-1)第1の具体例:アイドルタイムアウト用の有効管理期間の設定処理
第1の具体例として、アイドルタイムアウト用の有効管理期間の設定処理を説明する。図3は、アイドルタイムアウト用の有効管理期間の設定処理の一例の流れを示すフローチャートである。
【0045】
まず、図3を参照すると、管理装置100a(設定部133)は、記憶部120などにアクセスして、設定対象となるアドレス情報を取得する(ステップS301)。
【0046】
次に、管理装置100a(設定部133)は、地政学リスク情報を参照して、アドレス情報に割り当てられた位置情報(例えば、国情報)に対応付けられたリスク値を特定する(ステップS303)。ここで、地政学リスク情報は、例えば月次、日次で情報更新される情報であって、各国の地政学リスク値を含む情報である。このような情報は、例えばリスク情報取得部135により取得され、記憶部120に記憶される。
【0047】
次に、管理装置100a(設定部133)は、位置情報に対応付けられたリスク値に基づいてハードタイムアウト用の有効管理期間を設定する(ステップS305)。例えば設定されたハードタイムアウト用の有効管理期間は、記憶部120に記憶される。そして、図3に示す処理が終了する。
【0048】
図4は、リスク値の変動に応じたハードタイムアウト用の有効管理期間の変化の具体例を示す図である。図4を参照すると、例えば事例410は、20xx年2月時点におけるリスク値に基づいて算出されるハードタイムアウト用の有効管理期間の一例に当たる。すなわち、事例410では、地政学リスク情報に基づいて、IPアドレスに割り当てられた国が「X国」のリスク値が「81.94」に特定され、ハードタイムアウト用の有効管理期間の初期値として、「90日間」が設定される。
【0049】
一方、事例420は、事例410から8ヶ月経過(20xx年10月)時点におけるリスク値に基づいて算出されるハードタイムアウト用の有効管理期間の一例に当たる。事例420では、事例410に比べて、IPアドレスに割り当てられた国が「X国」のリスク値が高くなるため、すなわち、「81.94」から「210.6」へ変動するため、ハードタイムアウト用の有効管理期間が「231.3日間」に設定される。
【0050】
図4に示す例では、地政学リスク情報の具体例として、例えば地政学リスクを数値化したGPR(Geopolitical Risk) Indexが用いられる。なお、GPR Indexに限らず、地政学リスクに関連する他の評価指標が、地政学リスク情報として用いられてもよい。
【0051】
このようにして、第1の具体例によれば、管理装置100a(設定部133)は、地政学リスク情報を考慮してハードタイムアウト用の有効管理期間を適切に設定することができる。
【0052】
(3-1-2)第2の具体例:アイドルタイムアウト用の有効管理期間の設定処理
図5を参照して、アイドルタイムアウト用の有効管理期間の設定処理の具体例を説明する。図5は、アイドルタイムアウト用の有効管理期間の設定処理の一例の流れを示すフローチャートである。
図5を参照して、アイドルタイムアウト用の有効管理期間の設定処理の具体例を説明する。図5は、アイドルタイムアウト用の有効管理期間の設定処理の一例の流れを示すフローチャートである。
【0053】
図5を参照すると、管理装置100a(設定部133)は、記憶部120などにアクセスして、集計時間や集計経路などが互いに異なる複数の脅威情報を取得する(ステップS501)。
【0054】
次に、管理装置100a(設定部133)は、複数の脅威情報に基づいて、有効管理期間の設定対象のアドレス情報に含まれるアドレス(例えばIPアドレス)の出現頻度を算出する(ステップS503)。
【0055】
図6は、アドレスの出現頻度の算出事例600を示す図である。算出事例600では、例えば、4つの脅威情報A-Dに基づいてIPアドレスの出現頻度を算出する。例えば、IPアドレス「1.1.1.1」に着目すると、4つの脅威情報A-Dのそれぞれに含まれているので、出現頻度が4/4に算出される。また、IPアドレス「2.2.2.2」に着目すると、2つの脅威情報B、Dのそれぞれに含まれているので、出現頻度が2/4に算出される。あるアドレスからのアクセスが多くの観測点で脅威情報として収集できれば、そのアドレスの出現頻度が高くなる。このため、出現頻度が高いアドレスは、サイバー攻撃の攻撃元となる可能性が高いと判断されうる。
【0056】
次に、管理装置100a(設定部133)は、算出されたアドレスの出現頻度に基づいて、アイドルタイムアウト用の有効管理期間を設定する(ステップS505)。例えば、出現頻度が高いほどリスクが高いこと、言い換えれば、アクセス対象としての必要性が高いことが想定される。このため、管理装置100a(設定部133)は、アドレスの出現頻度が高いほど、アイドルタイムアウト用の有効管理期間が長くなるように、当該期間を設定する。図6に示す算出事例600に適用した場合、IPアドレス「1.1.1.1」及びIPアドレス「2.2.2.2」について、それぞれアイドルタイムアウト用の有効管理期間は、14日間及び7日間に設定される。
【0057】
例えば設定されたアイドルタイムアウト用の有効管理期間は、記憶部120に記憶される。そして、図5に示す処理が終了する。
【0058】
(3-1-3)その他
例えば、上述した第1及び第2の具体例に限らず、種々の変更が可能である。例えば、管理装置100a(設定部133)は、アドレスの出現頻度に基づいてハードタイムアウト用の有効管理期間を算出してもよく、地政学リスク情報に基づいてアイドルタイムアウト用の有効管理期間を算出してもよい。
例えば、上述した第1及び第2の具体例に限らず、種々の変更が可能である。例えば、管理装置100a(設定部133)は、アドレスの出現頻度に基づいてハードタイムアウト用の有効管理期間を算出してもよく、地政学リスク情報に基づいてアイドルタイムアウト用の有効管理期間を算出してもよい。
【0059】
【0060】
図7を参照すると、管理装置100a(設定部133)は、記憶部120にアクセスして、例えば有効管理期間の設定対象となるアドレス情報に関し、ハードタイムアウト用の有効管理期間が設定済みか否かを判断する(ステップS701)。そして、設定済みの場合(S701:Yes)には、管理装置100a(設定部133)は、ハードタイムアウト用の有効管理期間を更新して(ステップS703)、ステップS707に進む。一方、設定済みではない場合(S701:No)には、管理装置100a(設定部133)は、ハードタイムアウト用の有効管理期間を初期設定して(ステップS705)、ステップS707に進む。
【0061】
次に、管理装置100a(設定部133)は、記憶部120にアクセスして、例えば有効管理期間の設定対象となるアドレス情報に関し、アイドルタイムアウト用の有効管理期間が設定済みか否かを判断する(ステップS707)。そして、設定済みの場合(S707:Yes)には、管理装置100a(設定部133)は、アイドルタイムアウト用の有効管理期間を更新して(ステップS709)、図7に示す処理を終了する。一方、設定済みではない場合(S707:No)には、管理装置100a(設定部133)は、アイドルタイムアウト用の有効管理期間を初期設定して(ステップS711)、図7に示す処理を終了する。
【0062】
図8は、有効管理期間を更新する処理の具体例を示す図である。図8を参照すると、まず、アイドルタイムアウト用の有効管理期間は、期間811が初期設定された後に、設定対象のIPアドレスからのリクエストがあるごとに、期間813、815の順番で更新される。また、ハードタイムアウト用の有効管理期間は、期間821が初期設定された後、設定対象のIPアドレスからのリクエストの有無にかかわらず、例えば新たな地政学リスク情報を取得したタイミングで、期間823に更新される。
【0063】
(4)通信確認に基づいた有効管理期間の設定
管理装置100a(判断部137)は、アドレス情報により特定されるネットワークノードとの間で通信可能か否かの判断を行ってもよい。図9は、判断部137により行われる処理の一例の流れを示すフローチャートである。
管理装置100a(判断部137)は、アドレス情報により特定されるネットワークノードとの間で通信可能か否かの判断を行ってもよい。図9は、判断部137により行われる処理の一例の流れを示すフローチャートである。
【0064】
図9を参照すると、管理装置100a(判断部137)は、記憶部120にアクセスして、有効管理期間の設定対象のアドレス情報(IPアドレス)を取得する(ステップS901)。
【0065】
次に、管理装置100a(判断部137)は、当該IPアドレスへの通信が可能か否かを判断する(ステップS903)。具体的には、管理装置100a(判断部137)は、pingやTracerouteなどの典型的な疎通確認ツールを用いて、当該IPアドレスへの通信が可能か否かを判断してもよい。なお、上記の例に限らず、その他の疎通確認ツールが用いられてもよい。
【0066】
通信可能であると判断された場合(S903:Yes)には、管理装置100a(判断部137)は、通信可能を示す情報を登録する(ステップS905)。すなわち、通信可能を示す情報が、記憶部120に記憶される。そして図9に示す処理が終了する。
【0067】
一方、通信不可能であると判断された場合(S903:No)には、管理装置100a(判断部137)は、通信不可能を示す情報を登録する(ステップS907)。すなわち、通信不可能を示す情報が、記憶部120に記憶される。そして図9に示す処理が終了する。
【0068】
上述した図9に示すように、判断部137によりIPアドレスへの通信可否が判断される場合、管理装置100a(設定部133)は、当該通信可否に関する判断の結果に基づいて、有効管理期間を設定してもよい。例えば、管理装置100a(設定部133)は、アドレス情報により特定されるネットワークノードとの間で通信できなかった場合には、有効管理期間を0に設定してもよく、通信可能であった場合に比べて有効管理期間が短くなるように期間を設定してもよい。
【0069】
(5)有効管理期間に関する情報の生成
管理装置100a(生成部139)は、アドレス情報とアドレスに設定された有効管理期間との対応関係を示す情報を生成する。このように生成された情報は記憶部120に記憶されることにより、当該情報が管理される。
管理装置100a(生成部139)は、アドレス情報とアドレスに設定された有効管理期間との対応関係を示す情報を生成する。このように生成された情報は記憶部120に記憶されることにより、当該情報が管理される。
【0070】
図10は、当該対応関係を示す情報の一例を示す図である。図10を参照すると、対応関係を示す情報1000は、IPアドレス、ハードタイムアウト値(ハードタイムアウト用の有効管理期間の終了時刻)、アイドルタイムアウト値(アイドルタイムアウト用の有効管理期間の終了時刻)、疎通状態、及び最終更新日時を含む。図10に示す情報1000において、例えば、疎通状態が「1」である場合は通信可能であることを示し、疎通状態が「0」である場合は通信不可能であることを示している。
【0071】
(6)管理装置100aの全体の処理の流れ
図11は、管理装置100aの全体の処理の流れを示すタイムチャートである。図11を参照すると、まず、脅威情報に含まれるアドレス情報が、アドレス情報取得部により取得される(S1101)。次に、当該アドレス情報への疎通確認(通信可否の判断)が管理装置100a(判断部137)により行われる(S1103)。次に、当該判断結果(通信可否)に関する情報が記憶部120に記憶(登録)される(S1105)。
図11は、管理装置100aの全体の処理の流れを示すタイムチャートである。図11を参照すると、まず、脅威情報に含まれるアドレス情報が、アドレス情報取得部により取得される(S1101)。次に、当該アドレス情報への疎通確認(通信可否の判断)が管理装置100a(判断部137)により行われる(S1103)。次に、当該判断結果(通信可否)に関する情報が記憶部120に記憶(登録)される(S1105)。
【0072】
続いて、管理装置100a(設定部133)は、地政学リスク情報などに基づいて、当該アドレス情報に関するハードタイムアウト用の有効管理期間を設定する(S1107)。設定された有効管理期間は、記憶部120に記憶(登録)される。次に、管理装置100a(設定部133)は、脅威情報などに基づいて、当該アドレス情報に関するアイドルタイムアウト用の有効管理期間を設定する(S1109)。設定された有効管理期間は、記憶部120に記憶(登録)される。
【0073】
続いて、管理装置100a(生成部139)により生成された情報であって、アドレス情報と有効管理期間との対応関係を示す情報が、有効管理期間に関する情報として記憶部120に記憶(登録)される(S1111)。その後、図11に示す処理が終了する。
【0074】
上記図11に示す処理によれば、IPアドレスなどの脅威情報に対して、地政学リスク情報を活用したハードタイムアウト用の有効管理期間を設定し、脅威情報の発生頻度を活用してアイドルタイムアウト用の有効管理期間を設定することができる。
【0075】
さらに、管理装置100aは、最新の脅威情報を活用して、上述した各々の有効管理期間の更新、及び当該IPアドレスへの通信可否を示す情報も考慮して有効管理期間を管理することができる。このようにして、管理装置100aは、例えばブロックリストの有効期限を適切に管理することができる。
【0076】
<2.3.変形例>
次に、図12を参照して、変形例に係る管理装置100bについて説明する。図12は、変形例に係る管理装置100bの概略的な構成の例を示すブロック図である。図12を参照すると、管理装置100bは、処理部130が、設定部133により設定された有効管理期間に基づいて、アドレス情報を管理対象として管理する管理制御部141を更に備える点で、上述した管理装置100aと異なる。以下では、管理制御部141に関連する処理について説明する。
次に、図12を参照して、変形例に係る管理装置100bについて説明する。図12は、変形例に係る管理装置100bの概略的な構成の例を示すブロック図である。図12を参照すると、管理装置100bは、処理部130が、設定部133により設定された有効管理期間に基づいて、アドレス情報を管理対象として管理する管理制御部141を更に備える点で、上述した管理装置100aと異なる。以下では、管理制御部141に関連する処理について説明する。
【0077】
具体的に、管理装置100b(管理制御部141)は、アドレス情報に設定された有効管理期間を経過した場合に、当該アドレス情報を管理対象から除外する処理を行う。
【0078】
一例として、管理装置100b(管理制御部141)は、IPアドレスに設定されているハードタイムアウトとアイドルタイムアウトとに対してタイマー機能を動作させ、それぞれの有効管理期間を経過した瞬間に、管理装置100bと通信可能なセキュリティ機器(例えば、ファイアウォールを構成する機器)に当該IPアドレスをブロックリストから削除することを指示する。
【0079】
図13は、管理装置100bの全体の処理の流れを示すタイムチャートである。図13を参照すると、S1301~S1311に示す処理は、上述した図11に示すS1101~1111に示す処理と同様なので、その説明を省略する。
【0080】
管理装置100b(管理制御部141)は、有効管理期間に関する情報が登録されると(S1311)、例えば、ハードタイムアウトとアイドルタイムアウトとに対してタイマー機能を動作させるなどの有効管理期間を管理する(S1313)。そして、管理装置100b(管理制御部141)は、当該タイマー機能に基づいて例えば、セキュリティ機器へのIPアドレスの削除指示などのアクセス制御を行う(S1315)。
【0081】
上記図13に示す処理によれば、IPアドレスの有効期限をタイマー機能により管理することで、セキュリティ機器へのアクセス制御対象となるアドレスリスト(ブロックリスト)の更新または削除を制御することができる。
【0082】
<<3.第2の実施形態>>
続いて、図14を参照して、本発明の第2の実施形態を説明する。上述した第1の実施形態は、具体的な実施形態であるが、第2の実施形態は、より一般化された実施形態である。
続いて、図14を参照して、本発明の第2の実施形態を説明する。上述した第1の実施形態は、具体的な実施形態であるが、第2の実施形態は、より一般化された実施形態である。
【0083】
<3.1.管理装置100cの構成>
図14は、第2の実施形態に係る管理装置100cの概略的な構成の例を示すブロック図である。図14を参照すると、管理装置100cは、取得部151、及び設定部153を備える。
図14は、第2の実施形態に係る管理装置100cの概略的な構成の例を示すブロック図である。図14を参照すると、管理装置100cは、取得部151、及び設定部153を備える。
【0084】
取得部151、及び設定部153は、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。取得部151、及び設定部153は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0085】
<3.2.動作例>
第2の実施形態に係る動作例を説明する。
第2の実施形態に係る動作例を説明する。
【0086】
第2の実施形態によれば、管理装置100c(取得部151)は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する。管理装置100c(設定部153)は、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する。
【0087】
-第1の実施形態との関係
一例として、第2の実施形態に係る管理装置100cが備える取得部151及び設定部153は、それぞれ、第1の実施形態に係る管理装置100a、100bが備えるアドレス情報取得部131及び設定部133の動作を行ってもよい。この場合に、第1の実施形態についての説明は、第2の実施形態にも適用されうる。なお、第2の実施形態は、この例に限定されない。
一例として、第2の実施形態に係る管理装置100cが備える取得部151及び設定部153は、それぞれ、第1の実施形態に係る管理装置100a、100bが備えるアドレス情報取得部131及び設定部133の動作を行ってもよい。この場合に、第1の実施形態についての説明は、第2の実施形態にも適用されうる。なお、第2の実施形態は、この例に限定されない。
【0088】
以上、第2の実施形態を説明した。第2の実施形態によれば、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。
【0089】
<<4.他の実施形態>>
以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
【0090】
例えば、本明細書に記載されている処理におけるステップは、必ずしもシーケンス図に記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、シーケンス図として記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。
【0091】
また、本明細書において説明した管理装置の構成要素(例えば、取得部、及び/又は設定部)を備える装置(例えば、管理装置を構成する複数の装置(又はユニット)のうちの1つ以上の装置(又はユニット)、又は上記複数の装置(又はユニット)のうちの1つのためのモジュール)が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体(Non-transitory computer readable medium)が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。
【0092】
上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
【0093】
(付記1)
通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する取得部と、
前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定する設定部と、
を備える、管理装置。
通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する取得部と、
前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定する設定部と、
を備える、管理装置。
【0094】
(付記2)
前記アドレス情報に関連する前記情報は、前記アドレス情報に割り当てられた位置情報を含む、付記1記載の管理装置。
前記アドレス情報に関連する前記情報は、前記アドレス情報に割り当てられた位置情報を含む、付記1記載の管理装置。
【0095】
(付記3)
前記アドレス情報に関連する前記情報は、前記アドレス情報により特定されるネットワークノードからのサイバー攻撃に関する攻撃履歴情報を含む、付記1記載の管理装置。
前記アドレス情報に関連する前記情報は、前記アドレス情報により特定されるネットワークノードからのサイバー攻撃に関する攻撃履歴情報を含む、付記1記載の管理装置。
【0096】
(付記4)
前記攻撃履歴情報は、通信ネットワーク上の複数の観測点によりそれぞれ収集される複数の脅威情報において、脅威情報として出現されたアドレス情報の出現数に関する情報を含む、付記3記載の管理装置。
前記攻撃履歴情報は、通信ネットワーク上の複数の観測点によりそれぞれ収集される複数の脅威情報において、脅威情報として出現されたアドレス情報の出現数に関する情報を含む、付記3記載の管理装置。
【0097】
(付記5)
前記アドレス情報により特定されるネットワークノードとの間で通信可能か否かの判断を行う判断部を更に備え、
前記設定部は、前記アドレス情報に関連する前記情報と前記判断の結果に基づいて、前記有効管理期間を設定する、付記1乃至4のうち何れか1項記載の管理装置。
前記アドレス情報により特定されるネットワークノードとの間で通信可能か否かの判断を行う判断部を更に備え、
前記設定部は、前記アドレス情報に関連する前記情報と前記判断の結果に基づいて、前記有効管理期間を設定する、付記1乃至4のうち何れか1項記載の管理装置。
【0098】
(付記6)
前記有効管理期間は、前記アドレス情報が前記管理対象になった時点から、前記アドレス情報を前記管理対象から除外させるべき時点までの期間を含む、付記1乃至5のうち何れか1項記載の管理装置。
前記有効管理期間は、前記アドレス情報が前記管理対象になった時点から、前記アドレス情報を前記管理対象から除外させるべき時点までの期間を含む、付記1乃至5のうち何れか1項記載の管理装置。
【0099】
(付記7)
前記有効管理期間は、前記アドレス情報により特定されるネットワークノードから最後に通信が行われた時点から、前記アドレス情報を前記管理対象から除外させるべき時点までの期間を含む、付記1乃至5のうち何れか1項記載の管理装置。
前記有効管理期間は、前記アドレス情報により特定されるネットワークノードから最後に通信が行われた時点から、前記アドレス情報を前記管理対象から除外させるべき時点までの期間を含む、付記1乃至5のうち何れか1項記載の管理装置。
【0100】
(付記8)
前記有効管理期間に基づいて、前記アドレス情報を前記管理対象として管理する、管理制御部を更に備える、付記1乃至7のうち何れか1項記載の管理装置。
前記有効管理期間に基づいて、前記アドレス情報を前記管理対象として管理する、管理制御部を更に備える、付記1乃至7のうち何れか1項記載の管理装置。
【0101】
(付記9)
前記管理制御部は、前記アドレス情報に設定された前記有効管理期間を経過した場合に、前記アドレス情報を前記管理対象から除外する処理を行う、付記8記載の管理装置。
前記管理制御部は、前記アドレス情報に設定された前記有効管理期間を経過した場合に、前記アドレス情報を前記管理対象から除外する処理を行う、付記8記載の管理装置。
【0102】
(付記10)
前記アドレス情報と前記有効管理期間との対応関係を示す情報を生成する生成部を更に備える、付記1乃至9のうち何れか1項記載の管理装置。
前記アドレス情報と前記有効管理期間との対応関係を示す情報を生成する生成部を更に備える、付記1乃至9のうち何れか1項記載の管理装置。
【0103】
(付記11)
通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、
前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することと、
を備える、管理方法。
通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、
前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することと、
を備える、管理方法。
【0104】
(付記12)
通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、
前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することと、
をコンピュータに実行させるためのプログラム。
通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、
前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することと、
をコンピュータに実行させるためのプログラム。
【産業上の利用可能性】
【0105】
通信ネットワークを介したアクセス管理において、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。
【符号の説明】
【0106】
100a、100b、100c 管理装置
131 アドレス情報取得部
133、153 設定部
135 リスク情報取得部
137 判断部
139 生成部
141 管理制御部
151 取得部
131 アドレス情報取得部
133、153 設定部
135 リスク情報取得部
137 判断部
139 生成部
141 管理制御部
151 取得部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】