知財求人 - 知財ポータルサイト「IP Force」
特許7559835ネットワーク制御装置、ネットワークシステム、ネットワーク制御方法及びプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-09-24
(45)【発行日】2024-10-02
(54)【発明の名称】ネットワーク制御装置、ネットワークシステム、ネットワーク制御方法及びプログラム
(51)【国際特許分類】
H04L 45/42 20220101AFI20240925BHJP
【FI】
H04L45/42
【請求項の数】
8
(21)【出願番号】P 2022566545
(86)(22)【出願日】2020-12-02
(86)【国際出願番号】 JP2020044860
(87)【国際公開番号】W WO2022118395
(87)【国際公開日】2022-06-09
【審査請求日】2023-05-30
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100103894
【弁理士】
【氏名又は名称】家入 健
(72)【発明者】
【氏名】三谷 昌平
(72)【発明者】
【氏名】植田 啓文
(72)【発明者】
【氏名】シン タニヤ
【審査官】安藤 一道
(56)【参考文献】
【文献】特開2019-159877(JP,A)
【文献】特開2015-207878(JP,A)
【文献】特開2017-199380(JP,A)
【文献】国際公開第2019/142348(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 45/42
(57)【特許請求の範囲】
【請求項1】
ネットワークに含まれるノードに関するデータを収集する収集手段と、前記収集したデータに基づいて、前記ノードの信頼度を示すトラストスコアを含む指標を算出する算出手段と、
前記算出した指標に基づいて、前記ノードのゾーンを決定する決定手段と、
を備え、
前記ゾーンは、ポリシを共有する単位であり、
前記算出手段は、前記ノードの認証動作に関する認証情報、前記ノードの脆弱性に関する脅威情報、前記ノードの振る舞いに関する振る舞い情報のいずれかに基づいて、前記トラストスコアを算出し、
前記決定手段は、前記指標に基づいて前記ポリシの候補を決定し、前記指標をクラスタリングし、前記クラスタリングした結果に基づいて、前記ポリシの候補が近くなるノードを同一のゾーンに含めるように前記ゾーンを決定し、
前記算出手段は、前記決定したゾーンに応じて、ゾーン単位の指標を算出し、
前記決定手段は、前記算出したゾーン単位の指標に基づいて、前記ゾーン内および前記ゾーン間に適用する前記ポリシを決定する、
ネットワーク制御装置。
【請求項2】
前記算出手段は、前記ノードと物理的または論理的な情報経路を介して接続される他のノードのトラストスコアに基づいて、前記ノードのトラストスコアを算出する、請求項1に記載のネットワーク制御装置。
【請求項3】
前記算出手段は、前記他のノードのトラストスコアの減衰率に応じて、前記ノードのトラストスコアを減衰させる、請求項2に記載のネットワーク制御装置。
【請求項4】
前記指標は、前記ネットワークのパフォーマンス要求度を示すパフォーマンス要求スコアを含み、前記算出手段は、前記ネットワークの運用に関する運用情報、前記ネットワークのトラフィックに関するトラフィック情報のいずれかに基づいて、前記パフォーマンス要求スコアを算出する、
請求項1乃至3のいずれか一項に記載のネットワーク制御装置。
【請求項5】
前記決定手段は、前記ノードのペアの前記指標に基づいて、前記ノードのペア間の通信を制限するように、前記ポリシを決定する、請求項1乃至4のいずれか一項に記載のネットワーク制御装置。
【請求項6】
ネットワークに含まれるノードと、前記ネットワークを制御するネットワーク制御装置とを備え、前記ネットワーク制御装置は、
前記ノードに関するデータを収集する収集手段と、
前記収集したデータに基づいて、前記ノードの信頼度を示すトラストスコアを含む指標を算出する算出手段と、
前記算出した指標に基づいて、前記ノードのゾーンを決定する決定手段と、
を備え、
前記ゾーンは、ポリシを共有する単位であり、
前記算出手段は、前記ノードの認証動作に関する認証情報、前記ノードの脆弱性に関する脅威情報、前記ノードの振る舞いに関する振る舞い情報のいずれかに基づいて、前記トラストスコアを算出し、
前記決定手段は、前記指標に基づいて前記ポリシの候補を決定し、前記指標をクラスタリングし、前記クラスタリングした結果に基づいて、前記ポリシの候補が近くなるノードを同一のゾーンに含めるように前記ゾーンを決定し、
前記算出手段は、前記決定したゾーンに応じて、ゾーン単位の指標を算出し、
前記決定手段は、前記算出したゾーン単位の指標に基づいて、前記ゾーン内および前記ゾーン間に適用する前記ポリシを決定する、
ネットワークシステム。
【請求項7】
ネットワークに含まれるノードに関するデータを収集することと、前記収集したデータに基づいて、前記ノードの信頼度を示すトラストスコアを含む指標を算出することと、
前記算出した指標に基づいて、前記ノードのゾーンを決定することと、
を含み、
前記ゾーンは、ポリシを共有する単位であり、
前記算出することは、前記ノードの認証動作に関する認証情報、前記ノードの脆弱性に関する脅威情報、前記ノードの振る舞いに関する振る舞い情報のいずれかに基づいて、前記トラストスコアを算出することを含み、
前記決定することは、前記指標に基づいて前記ポリシの候補を決定し、前記指標をクラスタリングし、前記クラスタリングした結果に基づいて、前記ポリシの候補が近くなるノードを同一のゾーンに含めるように前記ゾーンを決定することを含み、
前記決定したゾーンに応じて、ゾーン単位の指標を算出することと、
前記算出したゾーン単位の指標に基づいて、前記ゾーン内および前記ゾーン間に適用する前記ポリシを決定することと、を含む、
ネットワーク制御方法。
【請求項8】
ネットワークに含まれるノードに関するデータを収集することと、前記収集したデータに基づいて、前記ノードの信頼度を示すトラストスコアを含む指標を算出することと、
前記算出した指標に基づいて、前記ノードのゾーンを決定することと、
を含み、
前記ゾーンは、ポリシを共有する単位であり、
前記算出することは、前記ノードの認証動作に関する認証情報、前記ノードの脆弱性に関する脅威情報、前記ノードの振る舞いに関する振る舞い情報のいずれかに基づいて、前記トラストスコアを算出することを含み、
前記決定することは、前記指標に基づいて前記ポリシの候補を決定し、前記指標をクラスタリングし、前記クラスタリングした結果に基づいて、前記ポリシの候補が近くなるノードを同一のゾーンに含めるように前記ゾーンを決定することを含み、
前記決定したゾーンに応じて、ゾーン単位の指標を算出することと、
前記算出したゾーン単位の指標に基づいて、前記ゾーン内および前記ゾーン間に適用する前記ポリシを決定することと、を含む、
処理をコンピュータに実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク制御装置、ネットワークシステム、ネットワーク制御方法及び非一時的なコンピュータ可読媒体に関する。
【背景技術】
【0002】
近年、ネットワークシステムが多様化及び複雑化する中でセキュリティに対する脅威が高まっている。新たな脅威も増え続けており、ネットワークシステムを様々な脅威から保護する技術が望まれている。
【0003】
関連する技術として、例えば、特許文献1や非特許文献1が知られている。特許文献1には、ファイアウォールエンジンを備えたレイヤ2装置において、セキュリティドメインに関連するゾーンのパケットをフィルタリングすることが記載されている。非特許文献1には、産業制御システムの運転状態に応じて、制御機器のゾーンを切り替えることが記載されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特表2005-505175号公報
【非特許文献】
【0005】
【文献】Wataru Machii, Isao Kato, Masahito Koike, Masafumi Matta, Tomomi Aoyama, Hidemasa Naruoka, Ichiro, Koshijima, Yoshihiro Hashimoto, "Dynamic Zoning Based on Situational Activitie for ICS Security", the 10th Asian Control Conference 2015 (ASCC 2015), pp.1242-1246 (2015-05)
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1や非特許文献1のような関連する技術では、ファイアウォールを用いたネットワーク制御や、システムの状態に応じたネットワーク制御を可能としている。しかしながら、関連する技術では、例えば、ネットワーク内部で脅威が発生した場合に、脅威の変化に対して適切に対応することが困難な場合がある。
【0007】
本開示は、このような課題に鑑み、ネットワーク内部の脅威の変化に対して適切に対応することが可能なネットワーク制御装置、ネットワークシステム、ネットワーク制御方法及び非一時的なコンピュータ可読媒体を提供することを目的とする。
【課題を解決するための手段】
【0008】
本開示に係るネットワーク制御装置は、ネットワークに含まれるノードに関するデータを収集する収集手段と、前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出する算出手段と、前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する決定手段と、を備えるものである。
【0009】
本開示に係るネットワークシステムは、ネットワークに含まれるノードと、前記ネットワークを制御するネットワーク制御装置とを備え、前記ネットワーク制御装置は、前記ノードに関するデータを収集する収集手段と、前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出する算出手段と、前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する決定手段と、を備えるものである。
【0010】
本開示に係るネットワーク制御方法は、ネットワークに含まれるノードに関するデータを収集し、前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出し、前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定するものである。
【0011】
本開示に係る非一時的なコンピュータ可読媒体は、ネットワークに含まれるノードに関するデータを収集し、前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出し、前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する、処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体である。
【発明の効果】
【0012】
本開示によれば、ネットワーク内部の脅威の変化に対して適切に対応することが可能なネットワーク制御装置、ネットワークシステム、ネットワーク制御方法及び非一時的なコンピュータ可読媒体を提供することができる。
【図面の簡単な説明】
【0013】
【図1】関連するネットワークシステムの構成例を示す構成図である。
【図2】実施の形態に係るネットワーク制御装置の概要を示す構成図である。
【図3】実施の形態に係るネットワーク制御装置の概要を説明するための図である。
【図4】実施の形態に係るネットワーク制御装置の効果を説明するための図である。
【図5】実施の形態1に係るネットワークシステムの構成例を示す構成図である。
【図6】実施の形態1に係るネットワークシステムの制御方法を示すフローチャートである。
【図7】実施の形態1に係るネットワークシステムのデータ例を示す図である。
【図8】実施の形態1に係るネットワークシステムの制御方法を説明するための図である。
【図9】実施の形態に係るコンピュータのハードウェアの概要を示す構成図である。
【発明を実施するための形態】
【0014】
以下、図面を参照して実施の形態について説明する。各図面においては、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略される。
【0015】
(実施の形態に至る検討)
図1は、実施の形態適用前の関連するネットワークシステムの構成例を示している。関連するネットワークシステム900は、例えば、企業、プラント、工場などにおけるエンタープライズネットワークである。関連するネットワークシステム900は、例えば、異なるオフィスに設けられた複数のネットワークドメイン(単にドメインとも呼ぶ場合がある)を備え、複数のドメイン間がインターネットを介して接続されている。また、5Gなどで採用されているスライシングにより、大容量通信や低遅延通信など、QoS(Quality of Service)要求の種類に応じてドメイン内のネットワークが分離されている。
図1は、実施の形態適用前の関連するネットワークシステムの構成例を示している。関連するネットワークシステム900は、例えば、企業、プラント、工場などにおけるエンタープライズネットワークである。関連するネットワークシステム900は、例えば、異なるオフィスに設けられた複数のネットワークドメイン(単にドメインとも呼ぶ場合がある)を備え、複数のドメイン間がインターネットを介して接続されている。また、5Gなどで採用されているスライシングにより、大容量通信や低遅延通信など、QoS(Quality of Service)要求の種類に応じてドメイン内のネットワークが分離されている。
【0016】
図1の例では、ネットワークシステム900は、ブランチオフィス910のドメインAとブランチオフィス920のドメインBを備えている。ドメインA及びBは、それぞれネットワークの境界にファイアウォール911及び921を備えており、ファイアウォール911及び921を介して外部のインターネットに接続される。また、ドメインA及びBは、それぞれスライスL1とスライスL2に分離されている。例えば、スライスL1は、大容量通信用のスライスであり、SW(Switch)、複数のPC(Personal Computer)を含む。スライスL2は、低遅延通信用のスライスであり、SW、GW(Gateway)、HMI(Human Machine Interface)、複数のPLC(Programmable Logic Controller)を含む。ファイアウォール911及び921は、予めセキュリティポリシ(単にポリシとも呼ぶ場合がある)が設定されており、ネットワークの境界で中継するパケットに対してポリシルールを適用し、パケットの認可/否認などのアクションを行う。
【0017】
しかしながら、発明者らが図1のような構成のネットワークシステムについて検討した結果、ファイアウォールによる境界防御では、ネットワーク内で動的に発生する脅威に対応できない場合があることを見出した。具体的には、ファイアウォールにより、外部のインターネットから侵入する脅威に対し、内部のネットワーク(ドメイン)を防御できるものの、ネットワーク内部で発生する脅威に対応することができない。
【0018】
ネットワーク内部の脅威は、例えば、図1に示すように、USB(Universal Serial Bus)経由で内部の機器がマルウェアに感染する場合や、感染した内部の機器からマルウェアが拡散する場合、バックドアでC2(Command and Control)通信の攻撃を受けた場合、内部のネットワークに不正機器が接続される場合、悪意のある従業員が内部のPCを操作し権限昇格して不正にアクセスする場合などである。このような場合に、単純にファイアウォールを用いても適切に対応することはできない。
【0019】
そこで、関連するネットワークアクセス制御として、一般的なネットワークアクセス制御と厳格なネットワークアクセス制御について検討する。一般的なネットワークアクセス制御では、パケットに対して複数のポリシルールを適用し、パケットの認可/否認やその他のアクションを行う方法があり得る。例えば、5Gネットワークでは、ユーザプレーンのパケットをPDR(パケット検知ルール)とのマッチングで分類し、分類に応じたアクションルール(FARなど)を見て、実施するアクションを決定している。しかし、一般的なネットワークアクセス制御のように複数のポリシルールを適用した場合でも、ポリシルール(条件及びアクション)は固定的であるため、脅威の変化に対応することはできない。
【0020】
また、厳格なネットワークアクセス制御では、ネットワークの状況を監視し、状況に応じて動的に適用するポリシを変更する方法があり得る。監視対象は、例えば、IPアドレスやMACアドレスのほか、ユーザ、デバイスのサプライヤ、アプリケーション、位置、振る舞い、履歴等のような様々な要素を含む。ここで、各ユーザ、デバイス、アプリケーションごとのトラストスコア(信頼度)を計算し、トラストスコアに基づいてポリシを決定する方法が考えられる。しかしながら、単純にトラストスコアからポリシを決定したとしても、送信元/送信先を含め、要素の組み合わせの数が膨大であり、適用されるポリシはバラバラであるため、管理が極めて困難である。
【0021】
これに対し、ポリシの管理を容易にする方法として、特許文献1や非特許文献1のようなセキュリティゾーン制御が考えられる。セキュリティゾーン制御では、エンティティを複数のセキュリティゾーン(単にゾーンとも呼ぶ場合がある)に分割し、ゾーンごとに異なるポリシを適用する。状況に応じてポリシを動的に変更しても、ゾーン単位では同一のポリシが適用されるので、管理が容易になる。例えば、非特許文献1のように、ゾーン間にファイアウォールを設けて、ゾーンごとのポリシをファイアウォールに設定する。しかしながら、この場合でも、ゾーン自体は固定的なため、脅威の変化に対応する能力が限定的となる。
【0022】
さらに、非特許文献1のように、動的にセキュリティゾーンを制御する方法が考えられる。例えば、非特許文献1では、産業制御システムの運転状態に応じて、制御機器のゾーンを切り替えている。しかしながら、この場合でも、ゾーンの変化パターンを事前に決める必要があるため、汎用的ではない。すなわち、産業制御システムの運転状態に応じてゾーンを制御するのみであるため、脅威の変化に応じてポリシを制御することはできない。
【0023】
そこで、実施の形態では、ゾーンを動的に制御することで、ネットワーク内部の脅威からも、重要な情報や設備、ユーザを防御して、被害を最小限にとどめることが可能なネットワークアクセス制御を提供する。
【0024】
【0025】
収集部11は、ネットワークに含まれるノードに関するデータを収集する。算出部12は、収集部11が収集したデータに基づいて、ノードの脅威に関するセキュリティ指標を算出する。決定部13は、算出部12が算出したセキュリティ指標に基づいて、ノードのゾーンを決定する。このような構成により、脅威に応じてゾーンを動的に制御することができ、例えば、ネットワーク内部の脅威から適切に防御することができる。
【0026】
なお、実施の形態において、ゾーンとは、ポリシを共有する単位であり、アクセス制限の境界を示すものではない。すなわち、ゾーン境界のみでアクセス制限するわけではない。具体的な例を挙げると、ゾーンA~Cがある場合に、ゾーンA内の通信とゾーンAから他のゾーンへの通信はhttpsを除いて全て禁止し、ゾーンB内では上位権限を持ったユーザのみ通信可能とし、ゾーンBとゾーンCの間では、ゾーンBからゾーンCへのクエリとそれへの応答のみ許可し、ゾーンC内では全て通信許可とする等のポリシが設定可能である。
【0027】
また、実施の形態において、ノードとは、例えば、ホスト名と一対一に対応するエンティティである。ノードは、それ以外に、デバイスと対応してもよいし、ホスト・デバイス・ユーザの組み合わせ等に対応してもよい。以下の実施の形態では、監視対象として主にホストを用いて説明する場合があるが、ホストに限らずその他のノードに適用可能である。
【0028】
図3は、実施の形態に係るネットワーク制御装置による制御方法の具体例を示している。ネットワーク制御装置10は、ノードに関する情報として、例えば、ユーザプレーン経由でトラフィック情報を収集し、コントロールプレーン経由で認証情報や履歴などの非トラフィック情報を収集する。ネットワーク制御装置10は、取集した情報に基づき指標(セキュリティ指標)を算出して、脅威の高まりに応じてゾーンを細分化し、さらに、ゾーン間の適用ポリシを変更する。例えば、ネットワーク制御装置10は、指標として、ノード全体とネットワーク全体に関する情報から、トラストスコア、パフォーマンス要求スコア等を算出する。予め、スコアとポリシの対応、ゾーン分割ポリシ、アクションポリシのセット等を設定しておき、算出されたスコアに基づいて、ゾーンの区分けと各ゾーン間のポリシを決定する。
【0029】
図3の例では、ネットワークは、スライスL1とスライスL2に分離されている。なお、スライスL1とスライスL2は、仮想的に分離されたネットワークであり、スライスL1のノードとスライスL2のノードは、仮想的に別のノードであるが、物理的に同じノードの場合がある。例えば、スライスL1には、ゾーンZ1及びZ2が設定され、スライスL2には、ゾーンZ3及びZ4が設定されている。ゾーンをまたぐような、ゾーンZ1及びZ2間の通信や、ゾーンZ3及びZ4間の通信は厳しく制限されるようにポリシが設定されている。このとき、ゾーンZ1のノードN1に関する情報を収集し、収集した情報からノードN1の信頼度やゾーンZ1及びZ3の信頼度が低下したとする。そうすると、ノードN1、ゾーンZ1及びZ3のリスクが上昇したと判断し、ゾーンZ1及びZ3を分割する。例えば、ゾーンZ1を、ノードN1のみを含むゾーンZ11と、ゾーンZ12及びZ13に分割し、ゾーンZ3を、ノードN1に対応するノードのみを含むゾーンZ31と、ゾーンZ32に分割する。さらに、ノードN1を含むゾーンZ11の通信を強く制限するようにポリシを設定し、その他のゾーンZ12、Z13、Z31、Z32の通信をやや強く制限するようにポリシを設定する。これにより、ノードN1に生じた脅威に応じて、ゾーン分割前の元のゾーン間だけでなく、ゾーン分割後のゾーン内でも被害の拡散を防ぐことができる。
【0030】
図4は、実施の形態に係るネットワーク制御装置による制御方法の効果を示している。例えば、実施の形態適用前では、セキュリティ重視またはパフォーマンス重視のいずれかの制御方法となる。
【0031】
グラフG1のようにセキュリティ重視の制御方法の場合、ポリシのセキュリティレベルは、高く設定される。このため、例えば、特定のホストに対し外部からのアクセスが増え、脅威のリスクが増大した場合でも、同じポリシが適用される。すなわち、アクセスが少ない(脅威が低い)場合もアクセスが多い(脅威が高い)場合も、同じレベルで通信が制限される。このため、いずれの場合でも、高いセキュリティが確保されるものの、一律に通信が制限されるため、通信のパフォーマンスを上げることはできない。
【0032】
また、グラフG2のようにパフォーマンス重視の制御方法の場合、ポリシのセキュリティレベルは、低く設定される。このため、例えば、特定のホストに対し外部からのアクセスが増え、脅威のリスクが増大した場合、ポリシが適用されない。すなわち、アクセスが少ない(脅威が低い)場合、強いレベルで通信が制限されるが、アクセスが多い(脅威が高い)場合、通信が制限されない。このため、高いパフォーマンスを得ることができるものの、通信が制限されないため、脅威に対応できない場合がある。
【0033】
これに対し、実施の形態では、グラフG3のように状況に応じてセキュリティレベルを調整可能とする。すなわち、アクセスが少ない(脅威が低い)場合は、セキュリティレベルを低く設定し、アクセスが多い(脅威が高い)場合は、セキュリティレベルを高く設定する。これにより、脅威に応じた動的なポリシ制御が可能となり、セキュリティとパフォーマンスを両立させることができる。
【0034】
(実施の形態1)
以下、図面を参照して実施の形態1について説明する。図5は、本実施の形態に係るネットワークシステムの構成例を示している。本実施の形態に係るネットワークシステム1は、図1と同様に、例えば、エンタープライズネットワークを構成するシステムであるが、その他のネットワークシステムでもよい。図5に示すように、本実施の形態に係るネットワークシステム1は、ユーザデータを伝送するユーザプレーンUPと、ユーザプレーンUPを制御する制御データ(制御信号)を伝送するコントロールプレーンCPとを含む。ネットワークシステム1では、コントロールプレーンCPからユーザプレーンUPに対しゾーン及びポリシを指定し、ユーザプレーンUPの脅威を検査(監視)する。
以下、図面を参照して実施の形態1について説明する。図5は、本実施の形態に係るネットワークシステムの構成例を示している。本実施の形態に係るネットワークシステム1は、図1と同様に、例えば、エンタープライズネットワークを構成するシステムであるが、その他のネットワークシステムでもよい。図5に示すように、本実施の形態に係るネットワークシステム1は、ユーザデータを伝送するユーザプレーンUPと、ユーザプレーンUPを制御する制御データ(制御信号)を伝送するコントロールプレーンCPとを含む。ネットワークシステム1では、コントロールプレーンCPからユーザプレーンUPに対しゾーン及びポリシを指定し、ユーザプレーンUPの脅威を検査(監視)する。
【0035】
ユーザプレーンUPは、ネットワークドメインを構成するネットワーク通信部200を含む。例えば、ドメインAのネットワーク通信部200a、ドメインBのネットワーク通信部200bを含む。なお、任意の数のドメインを構成してもよい。ネットワーク通信部200a及び200bは、それぞれホスト210(210a~210c、210d~210f)、ポリシ検査部220(220a、220b)、ゾーン制御部230(230a、230b)、ゲートウェイ240(240a、240b)を含む。例えば、ドメインA及びBに、ゾーンZ1が設定されており、ゾーンZ1は、ホスト210a及び210dを含む。また、ドメインAに、ゾーンZ2が設定されており、ゾーンZ2は、ホスト210b及び210cを含む。ドメインBに、ゾーンZ3が設定され、ゾーンZ3はホスト210e及び210fを含む。なお、複数のホスト210は、図1や図3と同様に、複数のスライスに分かれていてもよい。
【0036】
コントロールプレーンCPは、ユーザプレーンUP(ネットワーク通信部200)のネットワークを制御するネットワーク制御部100を含む。ネットワーク制御部100は、ネットワーク及びホストからデータを収集し、収集したデータから指標(セキュリティ指標)を算出し、算出した指標に基づいてゾーンを決定する。また、指標をクラスタリングし、ポリシの近いホストがまとまるようにホストをゾーニングする。
【0037】
ネットワーク制御部100は、データストレージ110、ポリシストレージ120、データ収集部130、データ分析部140、スコア計算部150、ゾーン・ポリシ管理部160、管理情報送受信部170を含む。なお、ネットワーク制御部100は、本実施の形態に係る制御方法が可能であれば、その他の構成でもよい。
【0038】
その他、ネットワークシステム1は、対象システム情報ストレージ310、表示装置320、制御装置330、ゾーン・ポリシ設定装置340等を備える。対象システム情報ストレージ310は、ネットワークシステム1(対象システム)の運用情報などの対象システム情報を格納する。表示装置320、ネットワーク制御部100がユーザプレーンUP(ネットワーク通信部200)から収集した情報や、設定するゾーンやポリシの情報等を表示する。制御装置330は、ユーザプレーンUPの運用に必要な制御を行う。ゾーン・ポリシ設定装置340は、ネットワーク制御部100の制御に応じて、ユーザプレーンUPに対しゾーンやポリシを設定する。なお、これらの装置は、ユーザプレーンUPまたはコントロールプレーンCPに含まれていてもよいし、外部に設けられてもよい。
【0039】
<ユーザプレーンの構成>
ホスト210は、コントロールプレーンCPのネットワーク制御部100が監視(制御)するセキュリティ監視対象デバイスである。ネットワーク制御部100は、ホスト210によるユーザプレーンUPの通信を監視する。ホスト210は、情報処理装置や通信装置であり、例えば、コンピュータ、サーバ、エッジゲートウェイ等である。ホスト210は、物理的なホストでもよいし、仮想的なホストでもよい。また、ホスト210は、下位のサブネットに他の監視対象デバイスを接続してもよい。ホスト210は、ユーザプレーンUPで他のホスト210やゲートウェイ240を介してインターネットと通信を行い、また、コントロールプレーンCPでデータ収集部130へデータを送信する。
ホスト210は、コントロールプレーンCPのネットワーク制御部100が監視(制御)するセキュリティ監視対象デバイスである。ネットワーク制御部100は、ホスト210によるユーザプレーンUPの通信を監視する。ホスト210は、情報処理装置や通信装置であり、例えば、コンピュータ、サーバ、エッジゲートウェイ等である。ホスト210は、物理的なホストでもよいし、仮想的なホストでもよい。また、ホスト210は、下位のサブネットに他の監視対象デバイスを接続してもよい。ホスト210は、ユーザプレーンUPで他のホスト210やゲートウェイ240を介してインターネットと通信を行い、また、コントロールプレーンCPでデータ収集部130へデータを送信する。
【0040】
ポリシ検査部220は、ユーザプレーンUPのゾーン毎にポリシを適用する。ポリシ検査部220は、ゾーンに適用する適用ポリシを選択し、適用ポリシに応じてユーザプレーンUPで送受信されるパケットを検査し、検査結果に応じたアクションを行う。適用ポリシの選択は、ゾーン制御部230から送られる送信元ゾーン及び送信先ゾーンを参照して行う。ポリシ検査部220は、物理デバイスでもよいし、仮想マシン上の機能でもよい。例えば、ルータ機器内の機能として、ポリシ検査部220とゾーン制御部230を、一つの物理デバイスに実装してもよい。ポリシ検査部220は、コントロールプレーンCPで、管理情報送受信部170からネットワークドメイン内に含まれるゾーンに関係するポリシセットを受け取り、ゾーン制御部230から検査対象パケットのゾーン情報(またはゾーンに対応するポリシ情報)を受け取る。さらに、ポリシ検査部220は、検査対象パケットのゾーン情報から適用ポリシを特定し、パケットを検査し、検査結果に応じたアクションを行う。
【0041】
ゾーン制御部230は、ユーザプレーンUPのゾーンを制御する。ゾーン制御部230は、パケットの送信元ゾーンと送信先ゾーンを特定し、特定したゾーン情報または対応するポリシの情報を、ポリシ検査部220に通知する。ゾーン制御部230は、コントロールプレーンCPで、管理情報送受信部170から、ネットワークドメイン内に含まれるゾーンの定義(それぞれのホストがどのゾーンに含まれているか)を受け取る。さらに、ゾーン制御部230は、ユーザプレーンUPでパケットを受信すると、送信元ゾーンと送信先ゾーンを、ゾーン定義情報から特定し、ポリシ検査部220と一体になってルーティング動作を行う。ゾーン制御部230は、コントロールプレーンCPで、ポリシ検査部220へ検査対象パケットのゾーン情報(またはゾーンに対応するポリシ情報)を渡す。
【0042】
ゲートウェイ240は、外部ネットワーク(インターンネットや専用回線等)と内部ネットワーク(ドメイン)の間の通信を中継する中継装置であり、外部ネットワークからドメイン内のネットワークを保護する。ゲートウェイ240は、物理デバイスでもよいし、仮想マシン上の機能でもよい。ゲートウェイ240は、典型的な例では、ファイアウォールであり、設定されたポリシにしたがって、パケットの許可/破棄を行う。
【0043】
<コントロールプレーンの構成>
ネットワーク制御部100の各部は、物理デバイスでもよいし、仮想マシン上の機能でもクラウド上の機能でもよい。典型的には、コントロールプレーンCP上の各機能は、物理的には同一のサーバやクラウド等に存在するが、セキュリティや運用上の理由により、分散させてもよい。データストレージ110は、データ収集部130が収集したデータを格納する格納部である。ポリシストレージ120は、セキュリティ指標に対応するポリシセットを格納する格納部である。
ネットワーク制御部100の各部は、物理デバイスでもよいし、仮想マシン上の機能でもクラウド上の機能でもよい。典型的には、コントロールプレーンCP上の各機能は、物理的には同一のサーバやクラウド等に存在するが、セキュリティや運用上の理由により、分散させてもよい。データストレージ110は、データ収集部130が収集したデータを格納する格納部である。ポリシストレージ120は、セキュリティ指標に対応するポリシセットを格納する格納部である。
【0044】
データ収集部130は、監視対象であるホスト210に関する情報を収集する。例えば、データ収集部130は、ホストの認証情報や振る舞い、通信状況など、ネットワーク内の情報を収集する。収集する情報は、脅威を推定し、適切なポリシを設定するための情報である。データ収集部130は、例えば、コントロールプレーンCPでネットワーク上の任意のポイントと通信可能であり、ポイントに流れるパケットを収集する。また、データ収集部130は、コントロールプレーンCPでホスト210と通信可能であり、ホスト210のプロセスや動作状態を含む様々な情報を収集し、収集した情報をもとにネットワークやホスト210に対する測定を行う。
【0045】
データ収集部130は、認証部131及び前処理部132を含む。認証部131は、ホスト210に関する認証機能を有することで認証情報を取得してもよいし、ホスト210の認証モジュールから認証情報を受け取ってもよい。例えば、認証部131は、認証機能として、ホスト210のデバイス認証、ユーザ認証、アプリケーション認証などを実施する。前処理部132は、必要に応じて、収集した情報をデータストレージ110に格納するために、不要な情報の削除や統計計算などの前処理を行う。例えば、前処理部132は、収集したパケットから、トラフィックレートの計算、ヘッダやペイロードの特定のフィールドの抽出などを行う。認証部131や前処理部132のような機能は、エッジ(ユーザプレーン)に分散して配置しても良い。
【0046】
データ分析部140は、収集したデータを分析し、スコア計算部150とともにセキュリティ指標(単に指標とも呼ぶ場合がある)を計算する。例えば、データ分析部140及びスコア計算部150は、セキュリティ指標を算出する算出部でもある。データ分析部140は、収集した様々なデータから、ゾーン・ポリシ管理部160が適切なゾーンやポリシを選択できるようにするための指標を計算する。各指標の実際の計算の一部は、スコア計算部150で行う。データ分析部140は計算方法を指定し、計算結果を統合する。なお、データ分析部140とスコア計算部150を一つの分析計算部としてもよい。また、監視対象のホスト210が多い場合には、データ分析部140の機能の一部をデータ収集部130の前処理部132に割り当てることで、データストレージ110の容量やコントロールプレーンCPの通信量を削減してもよい。
【0047】
データ分析部140は、データストレージ110から蓄積された情報を読み出し、また、データストレージ110からは得られない、対象システム情報を外部の対象システム情報ストレージ310から取得する。さらに、データ分析部140は、ゾーン・ポリシ管理部160が適切なポリシを選択し、適用するための指標を計算するため、ゾーン・ポリシ管理部160から、必要な指標の種類に関する情報を取得する。データ分析部140は、認証成否などの単純な情報を除き、別途計算が必要な指標(複数ホスト間の異常度、ネットワーク全体の異常度、トラフィックの統計量に関する指標など)を、スコア計算部150に委託して計算する。データ分析部140は、計算のためのデータをスコア計算部150に送信するとともに、計算方法を指定する。
【0048】
後述するように、データ分析部140及びスコア計算部150が計算する指標は、ホストの信頼度を示すトラストスコアと、ネットワークのパフォーマンス要求度を示すパフォーマンス要求スコアを含む。例えば、あるホストのトラストスコアが低下した時、そのホストと論理的・物理的な情報経路が存在する別のホストのトラストスコアも低下させてもよい。
【0049】
スコア計算部150は、データ分析部140による指標の各種スコアの計算を代行する。スコア計算部150は、分析エンジンや分析のための複数のモデルを有し、これらを使用してスコアを計算する。スコア計算部150は、認証情報やホスト名などだけでなく、トラフィックデータ自体、内容が不明なテキストデータ、その他さまざまなデータを入力して、異常度計算や特徴の抽出などを行い、トラストスコアとパフォーマンス要求スコアを計算する。特に、特定のホスト集合やゾーン全体、ホストとユーザの組み合わせなど、一つずつでは異常に見えないが、複数を合わせてみると相関関係などから異常を判断できるような要素のトラストスコアを計算する。例えば、スコア計算部150は、カーネル主成分分析、相関分析、変化点検知、線形回帰、サポートベクトルマシン、ニューラルネットワーク、確率分布回帰、確率過程回帰、物理モデルなどの、統計手法、機械学習手法、データマイニング手法、およびドメイン知識によるモデルなどを用いてスコアを計算する。
【0050】
ゾーン・ポリシ管理部160は、算出された指標に基づいて、ゾーン及びポリシを設定する。ゾーン・ポリシ管理部160は、ゾーン及びポリシを決定(設定)する決定部(設定部)でもある。ゾーン・ポリシ管理部160は、監視対象の一部(例えばホスト)を基準としたゾーニングを行い、ゾーン間に適用するセキュリティポリシを設定する。その際、ゾーン・ポリシ管理部160は、データ分析部140から受け取った指標(例えば、トラストスコアとパフォーマンス要求の少なくとも一方)を参照し、セキュリティとパフォーマンスのバランスを取って、ゾーン及びポリシを動的に更新する。例えば、ホスト(ノード)のペアの指標に基づいて、ホストのペア間の通信を制限するように、ポリシを決定してもよい。例えば、ポリシは、ホスト(ノード)のペアのトラストスコアまたはパフォーマンス要求スコア(またはその両方)の値が小さいほど、そのペア間の通信を厳しく制限するように定める。ゾーン・ポリシ管理部160は、SDN(Software Defined Network)コントローラやVLAN(Virtual Local Area Network)コントローラの機能を有し、これらの機能を用いてゾーン及びポリシを設定する。
【0051】
ゾーン・ポリシ管理部160は、データ分析部140から、ゾーンやポリシを設定するための指標(指標ベクトル)を受信する。ゾーン・ポリシ管理部160は、ポリシストレージ120からポリシセットを読み込み、また、必要に応じて新たなポリシの要素をポリシセットに追加する。ゾーン・ポリシ管理部160は、受信した指標を用いて、あらかじめ設定された監視対象の一部(ホストなど)をクラスタリングし、ゾーンを設定する。ゾーン・ポリシ管理部160は、ポリシセットを用いて、ゾーンごとに適用するポリシを設定する。すなわち、ゾーン・ポリシ管理部160は、収集された情報から監視対象をゾーンにまとめ、ゾーン毎にポリシを更新し、ゾーンのまとめ方は、更新すべきポリシが近くなるホスト(ノード)を同一のゾーンに加える。また、データ分析部140は、ポリシが近くなるように決定されたゾーンに応じて、ゾーン単位の指標(トラストスコア)を再計算し、さらに、ゾーン・ポリシ管理部160は、計算されたゾーン単位の指標に基づいて、ゾーン内およびゾーン間に適用するポリシを決定する。
【0052】
管理情報送受信部170は、コントロールプレーンCPでゾーン・ポリシ管理部160の管理情報(制御情報)を送受信する。管理情報送受信部170は、ゾーン・ポリシ管理部160が設定したゾーン情報及びポリシ情報を表示装置320やゾーン・ポリシ設定装置340に通知する。ゾーン・ポリシ設定装置340は、通知された内容を調整することができる。管理情報送受信部170は、ゾーン・ポリシ管理部160が適用するゾーン情報及びポリシ情報を、ゲートウェイ240、ゾーン制御部230へ送信する。管理情報送受信部170及びゾーン・ポリシ管理部160は、ゾーン・ポリシ設定装置340がポリシストレージ120の内容を更新した場合や、制御装置330がゾーン及びポリシの管理方法やパラメータを変更した場合に、その変更を受信して処理する。
【0053】
<ネットワーク制御方法>
図6は、本実施の形態に係るネットワークシステムの制御方法(動作例)を示している。本実施の形態では、分析用のデータ(ホストに関連するデータ)からトラストスコアとパフォーマンス要求スコアを計算し、それらのトレードオフでゾーン分割とポリシを決定し、ゾーン分割の決定後、スコアを再計算しポリシを調整する。
図6は、本実施の形態に係るネットワークシステムの制御方法(動作例)を示している。本実施の形態では、分析用のデータ(ホストに関連するデータ)からトラストスコアとパフォーマンス要求スコアを計算し、それらのトレードオフでゾーン分割とポリシを決定し、ゾーン分割の決定後、スコアを再計算しポリシを調整する。
【0054】
図6に示すように、ネットワーク制御部100は、事前にポリシセットを準備する(S101)。予めポリシストレージ120内に複数のポリシを含むポリシセットを格納しておく。ポリシセットにより、各ゾーンの脅威の状態に応じて、通信許可の厳しさをどのように上げていくかを定める。ポリシストレージ120は、指標とポリシとを関連付けてポリシストレージ120に格納する。例えば、大きい値の指標と強い通信制限のポリシとを関連付け、小さい値の指標と弱い通信制限のポリシとを関連付ける。
【0055】
次に、ネットワーク制御部100は、ネットワークの運用が始まると、データを収集する(S102)。データ収集部130は、ネットワークやホスト自身から脅威を判断するための情報を吸い上げ、収集した情報に必要な前処理を施してデータストレージ110に格納する。データ収集部130は、ネットワークの運用中、コントロールプレーンCPで定期的にデータを収集する。例えば、データ収集部130は、各ゾーンの指標(トラストスコア)が低い場合、データの収集頻度や収集対象の細かさを増加させてもよい。信頼性の高いデータに対してはデータ収集頻度を減らすことで、通信や処理のオーバーヘッドを削減できる。
【0056】
図7は、ネットワーク制御部100が収集(監視)するデータの具体例を示している。これらのデータは、データ収集部130がコントロールプレーンCPでユーザプレーンUPから取得するが、取得できないデータについては、データ分析部140が対象システム情報ストレージ310等の外部から取得してもよい。
【0057】
本実施の形態では、ポリシのアクション(許可、破棄、転送など)の対象はトラフィック内のパケットであるが、図7に示すように、監視すべき情報は、トラフィック情報に限らず、非トラフィック情報、脅威情報、運用情報等を含む。
【0058】
ホスト(ノード)に関する情報は、トラフィック情報と非トラフィック情報を含み、ユーザプレーンUPから取得される。トラフィック情報は、監視対象のホストのトラフィックに関する情報であり、ネットワークヘッダの情報、フィールドの情報、その他のデータを含む。ネットワークヘッダの情報は、パケットのヘッダに含まれる情報であり、例えば、MACアドレス、IPアドレス、プロトコルタイプ、ポート番号、ルーティング情報などである。フィールドの情報は、パケットのペイロードに含まれる情報であり、例えば、既知のフィールド(データ長、シーケンスID、乱数、時刻、証明書、ホストID、ユーザID、デバイスID、アプリケーション機能ID、アクセス先ID、クエリID、レスポンスID、書き込み内容、読み出し内容、テキストデータ)、未知のデータ(バイナリ)、これらの一部が暗号化されたデータなどである。その他のデータは、例えば、トラフィックそのものや、上記のネットワークヘッダやフィールドなどの情報の履歴である。
【0059】
非トラフィック情報は、監視対象のホストのトラフィック以外の情報であり、認証情報、非認証情報を含む。認証情報は、認証に必要な情報であり、例えば、ホストを認証するためのホスト認証情報、デバイスを認証するためのデバイス認証情報、アプリケーションを認証するためのアプリケーション認証情報、それらの認証の方法などである。非認証情報は、認証情報以外のその他の情報であり、例えば、トラフィック統計量(送信レート、RTT、送信時間分布、送信順序等)、暗号化方式、デバイスの位置、ユーザの契約情報、アプリケーションインストールなどのイベント、CPUやメモリなどのプロセス情報、ファイルアクセス情報、デバイスが設置されている部屋の施錠状況、デバイスが影響する物理動作情報、およびこれらの情報の履歴などである。
【0060】
脅威情報及び運用情報は、対象システム情報ストレージ310や脆弱性データベース等から取得される。脅威情報は、ホストに限定されない脅威に関する情報であり、脆弱性の情報、脅威パターンの情報を含む。脆弱性の情報は、セキュリティホールなどの情報であり、例えば、アプリケーションの脆弱性情報、デバイスの脆弱性情報、サービスの脆弱性情報、認証方式や暗号化方式の脆弱性情報などである。脅威パターンの情報は、セキュリティホールに限らない攻撃パターンの情報(脆弱性に含まれてもよい)であり、例えば、脅威となるペイロードパターン、脅威となるアプリケーション、脅威となるデバイス、脅威となるサービス、脅威となるユーザ、脅威となるIPアドレスやMACアドレス、脅威となる位置や国家などである。
【0061】
運用情報は、ネットワークシステムの運用に関する情報であり、パフォーマンス要求の情報、脅威リスク許容度の情報を含む。パフォーマンス要求の情報は、例えば、ネットワーク全体の構成、実コネクション(一見独立したホストだが同一の仮想マシンに存在するなど)、スライスやドメインごとの通信量要求、低遅延要求などである。脅威リスク許容度の情報は、例えば、セキュリティ対応可否・能力、インシデント発生時に想定される損害・許容可否などである。
【0062】
次に、ネットワーク制御部100は、収集したデータを分析しスコア(指標)を計算する(S103)。データ分析部140は、収集したデータをもとにネットワーク内の脅威を分析する。データ分析部140は、基本的には定期的に脅威分析を行うが、ポリシ検査部220などエッジから脅威の検出が通知された場合には、速やかに分析を行う。また、データ分析部140は、コントロールプレーンのデータ取得頻度やポリシ更新の頻度(ゾーン毎)などの分析ポリシをもとにスコアを計算する。分析ポリシの情報は、後述のスコアの再計算結果(S105)から得てもよい。
【0063】
データ分析部140は、スコア計算部150と協調して、脅威をスコア化する。具体的には、データ分析部140は、検査対象であるトラフィック情報に含まれる要素に関連する複数の数値を、指標ベクトル(セキュリティ要求スコア)として計算する。例えば、指標ベクトルは、ホストのスコア、ホストとホスト間のスコア、ゾーン(ホスト)とゾーン間のスコア等が含まれる。計算には、過去に収集したトラフィック情報、その他の情報を用いる。計算する指標の例を次に示す。
・指標ベクトルの第一成分の例:ホストAのセキュリティ要求スコア
・指標ベクトルの第二成分の例:ゾーンFからゾーンGへの通信のセキュリティ要求スコア
・指標ベクトルの第三成分の例:プロトコルPのセキュリティ要求スコア
・指標ベクトルの第一成分の例:ホストAのセキュリティ要求スコア
・指標ベクトルの第二成分の例:ゾーンFからゾーンGへの通信のセキュリティ要求スコア
・指標ベクトルの第三成分の例:プロトコルPのセキュリティ要求スコア
【0064】
データ分析部140は、出力すべき指標の種類に関する情報をゾーン・ポリシ管理部160から受け取る。例えば、データ分析部140は、ユーザ認証情報を持っているが、ゾーン・ポリシ管理部160がユーザに関する指標を必要としていない場合、ユーザ情報などを、次の例ように関連するセキュリティ要求スコアの計算に利用する。
【0065】
上記指標ベクトルの第一の成分の例(ホストAに関連)の計算のために使用する情報の例:
・ホストAに関連するユーザ情報、ユーザ認証情報、認証方法、地域
・ホストAに関連するアプリケーション情報、アプリケーション認証情報、認証方法
・認証方法の脆弱性情報
・ホストAに関連するユーザ情報、ユーザ認証情報、認証方法、地域
・ホストAに関連するアプリケーション情報、アプリケーション認証情報、認証方法
・認証方法の脆弱性情報
【0066】
データ分析部140は、指標ベクトルの各要素に関連する情報から指標ベクトルを求めるために、指標ベクトルの各要素の信頼度(脅威度の逆)を表すトラストスコアと、運用上のパフォーマンス要求を表すパフォーマンス要求スコアと、を計算する。一例として、指標ベクトルv、トラストスコアベクトルTrust、パフォーマンス要求スコアベクトルPerformance、および係数ベクトルat及びapを用いて、要素ごとに重みをつけて次の式のように計算してもよい。なお、これ以外でも、いかなる関数形を用いて計算してもよい。
【数1】
【0067】
<トラストスコアの計算方法例>
データ分析部140は、図7で説明したような、ホストの認証動作に関する認証情報、ホストの脆弱性に関する脅威情報、また、ホストの(正常な)振る舞いに関する振る舞い情報などを用いて、各指標に関する信頼性(トラストスコア)を計算する。振る舞い情報は、データ分析部140が、トラフィック情報や非トラフィック情報からホストの振る舞いの正常度または異常度を分析した結果である。例えば、データ分析部140は、認証情報に基づいて、認証が正しく行われている場合、固定的なトラストスコア100を加算し、認証に失敗した場合、固定的なトラストスコア50を加算し、認証方法に脆弱性が存在する場合、トラストスコア-10を加算等する。また、データ分析部140は、計算された振る舞いの異常度に応じて、トラストスコアに-10~10までの値を加算等する。例えば、異常検知アルゴリズムなどの分析アルゴリズムが別途必要になる場合がある。データ分析部140は、そのような複雑な計算の一部を、スコア計算部150に委託し、モデルやパラメータを指定する。
データ分析部140は、図7で説明したような、ホストの認証動作に関する認証情報、ホストの脆弱性に関する脅威情報、また、ホストの(正常な)振る舞いに関する振る舞い情報などを用いて、各指標に関する信頼性(トラストスコア)を計算する。振る舞い情報は、データ分析部140が、トラフィック情報や非トラフィック情報からホストの振る舞いの正常度または異常度を分析した結果である。例えば、データ分析部140は、認証情報に基づいて、認証が正しく行われている場合、固定的なトラストスコア100を加算し、認証に失敗した場合、固定的なトラストスコア50を加算し、認証方法に脆弱性が存在する場合、トラストスコア-10を加算等する。また、データ分析部140は、計算された振る舞いの異常度に応じて、トラストスコアに-10~10までの値を加算等する。例えば、異常検知アルゴリズムなどの分析アルゴリズムが別途必要になる場合がある。データ分析部140は、そのような複雑な計算の一部を、スコア計算部150に委託し、モデルやパラメータを指定する。
【0068】
また、データ分析部140は、任意の要素をもとに、トラストスコアを増減させてもよい。例えば、データ分析部140は、計算元データの収集時刻に応じて、トラストスコアを減衰させてもよい。また、データ分析部140は、ホストと物理的または論理的な情報経路を介して接続される他のホストのトラストスコアに基づいて、当該ホストのトラストスコアを計算してもよい。この場合、他のノードのトラストスコアの減衰率に応じて、当該ノードのトラストスコアを減衰させてもよい。図8は、トラストスコアを伝搬させて減衰させる例を示している。すなわち、データ分析部140は、トラストスコアを計算する際の一つの要素として、実コネクションの有無を可能な限り考慮する。物理的に近い位置にある、異なる仮想マシンだが同一サーバ上にある、通信量が多い、ポリシが甘い、などの、最初のトラストスコア計算では考慮できなかった実コネクションの量に応じて、トラストスコア(の逆)を伝播させる計算を行う。典型的には、データ分析部140は、伝播計算では各ホストをノードとして実コネクションを表すグラフを設定し、各エッジに減衰率を設定して拡散方程式などに従って計算を行う。図8の例では、ノードN1のトラストスコアが-500となった場合に、ノードN1と実コネクションで直接接続されているノードN2及びN3のトラストスコアを90減衰させて10とする。また、ノードN3に接続されるノードN4については、減衰量をノードN3よりも小さくし、トラストスコアを40減衰させて60とする。さらに、スライスL1のノードN1に対応するスライスL2のノードN5については、トラストスコアを80減衰させて20とする。
【0069】
<パフォーマンス要求スコアの計算方法例>
データ分析部140は、図7で説明したような、ネットワークの運用に関する運用情報、ネットワークのトラフィックに関するトラフィック情報などを用いて、各指標に関するパフォーマンス要求スコア(セキュリティ要求を下げるべき度合い)を計算する。計算方法はトラストスコアの場合とほぼ同様であるが、伝播計算などは行わない。
データ分析部140は、図7で説明したような、ネットワークの運用に関する運用情報、ネットワークのトラフィックに関するトラフィック情報などを用いて、各指標に関するパフォーマンス要求スコア(セキュリティ要求を下げるべき度合い)を計算する。計算方法はトラストスコアの場合とほぼ同様であるが、伝播計算などは行わない。
【0070】
なお、データ分析部140は、指標(セキュリティ要求スコア)の計算結果を、指標ベクトルとして上記の式のようにまとめて出力してもよいが、トラストスコア(の負値)、パフォーマンススコア(の負値)、拡散計算後のトラストスコア(の負値)を、それぞれ異なる要素としてベクトルを拡張して出力してもよい。
【0071】
次に、ネットワーク制御部100は、計算したスコアに基づいてゾーンを指定する(S104)。ゾーン・ポリシ管理部160は、計算されたスコアに基づいてポリシ(またはポリシの候補)を決定し、決定したポリシ(またはポリシの候補)に基づいてゾーンを決定する。ゾーン・ポリシ管理部160は、ポリシが近くなるホスト(ノード)を同一のゾーンに含めるように、ゾーンを決定する。ゾーン・ポリシ管理部160は、スコア化された脅威やその他の分析結果に基づき、通信と管理のパフォーマンスを維持しつつ被害が拡大するリスクを小さくするように、閾値判定やクラスタリングなどによって、ゾーン構成を決定する。例えば、ゾーン・ポリシ管理部160は、スコアをクラスタリングし、クラスタリングした結果に基づいてゾーンを決定する。例えば、クラスタリングアルゴリズムとして、k-NN法、k-means法、DBS-CAN、混合分布回帰、ノンパラメトリックベイズ、階層ベイズモデル、密度比推定、オートエンコーダ、変分オートエンコーダ、表現学習、埋め込み、それらの組み合わせなどを用いる。また、ゾーン・ポリシ管理部160は、ゾーンの結合・分割ポリシ(前回のゾーン毎)を含むゾーン指定ポリシをもとに、ゾーンを指定する。ゾーン指定ポリシの情報は、後述のスコアの再計算結果(S105)から得てもよい。
【0072】
次に、ネットワーク制御部100は、指定されたゾーンにより、スコアを再計算する(S105)。データ分析部140は、ゾーン・ポリシ管理部160によりゾーンが指定されると、ゾーン単位であらためて指標(トラストスコア)を計算する。具体的には、ゾーン・ポリシ管理部160は、ゾーンを設定した後、ポリシを設定する前に、設定したゾーン情報を、データ分析部140に通知する。データ分析部140は、当該ゾーンの情報をゾーン・ポリシ管理部160から受信し、当該ゾーン情報を加味したうえで、改めて指標を再計算する。例えば、新たなゾーンごとの指標や、ゾーンのペアごとの指標などを計算する。計算方法は上記S103と同様である。なお、パフォーマンス要求スコアが変わらない場合は、トラストスコアのみを再計算してもよい。データ分析部140は、ゾーン・ポリシ管理部160へ、最終的な指標ベクトルを送信する。
【0073】
次に、ネットワーク制御部100は、ゾーン間のポリシを指定する(S106)。ゾーン・ポリシ管理部160は、再計算したスコアに基づいてゾーン間のポリシを選択する。ゾーン・ポリシ管理部160は、ゾーン単位のスコアを加味して、ポリシを選択する。管理者は、表示装置320やゾーン・ポリシ設定装置340を介して、必要に応じてゾーンやポリシの調整を行う。
【0074】
次に、ネットワーク制御部100は、指定したポリシを配送する(S107)。ゾーン・ポリシ管理部160は、ゾーン情報をエッジのゾーン制御部230へ送信し、ゾーン毎のポリシ情報をポリシ検査部220へ送信する。ゲートウェイ240へは、ドメインをまたぐ通信の粗い検査に必要なゾーン・ポリシ情報を送信する。ゾーン・ポリシ管理部160は、必要に応じて、証明書の発行などを行う。
【0075】
次に、ゾーンごとのポリシに応じて、アクションを実行する(S108)。ネットワーク(エッジ)では、ホストまたはインターネット側からパケットが送信されると、ゾーン制御部230で送信元ゾーンと送信先ゾーンを判定し、ポリシ検査部220でゾーンの組み合わせに応じてパケットを検査し、そのまま通過させたり破棄したりする。これによって、攻撃パケットの拡散を防ぐ。
【0076】
<セキュリティリスクの増加シナリオの一例>
上記のネットワークシステム及び制御方法により、次のようにセキュリティリスクの増加に対応することができる。
・ネットワーク内の機器がマルウェアをインストールした場合、例えば、ホストに怪しいアプリケーションのインストールを検出すると、ホストの脆弱性情報等からトラストスコアが低下する。そうすると、管理者が確認するまで、検出したホストを他のホストとは異なるゾーンに隔離し、ゾーン間のポリシを変更してセキュリティレベルを上昇させる。スライスが異なる同一デバイスのホストや、普段頻繁に通信を行っている周辺のホストも、すでに影響を受けている可能性があるため、ゾーンを細分化し、セキュリティレベルをやや上昇させる。
・機器がマルウェアに感染していて、感染を広げるパケットを送信する場合、例えば、マルウェア自体を検知できなかったが、トラフィック情報等からパケットの異常な振る舞いが発見された場合も、上記と同様に対応することができる。
・OS(Operating System)の脆弱性を突かれてリモート接続が成立し、悪意のあるアプリケーションで機器にアクセスしようとした場合も、トラフィック情報等からホストの異常な振る舞いが発見されるため、上記と同様に対応することができる。
・PCを悪意のあるユーザが使用して、自身の権限を昇格した場合、例えば、普段権限変更が行われない環境で権限昇格が行われると、振る舞い等から異常度が増加し、ホストおよびユーザのトラストスコアが低下する。そうすると、権限昇格直後はゾーンを細かくして、セキュリティレベルも上昇させ、アクセス可能な範囲を制限する。その後、管理者の承認か時間の経過による追加情報の入手によって、ゾーンとセキュリティレベルを元に戻す。
上記のネットワークシステム及び制御方法により、次のようにセキュリティリスクの増加に対応することができる。
・ネットワーク内の機器がマルウェアをインストールした場合、例えば、ホストに怪しいアプリケーションのインストールを検出すると、ホストの脆弱性情報等からトラストスコアが低下する。そうすると、管理者が確認するまで、検出したホストを他のホストとは異なるゾーンに隔離し、ゾーン間のポリシを変更してセキュリティレベルを上昇させる。スライスが異なる同一デバイスのホストや、普段頻繁に通信を行っている周辺のホストも、すでに影響を受けている可能性があるため、ゾーンを細分化し、セキュリティレベルをやや上昇させる。
・機器がマルウェアに感染していて、感染を広げるパケットを送信する場合、例えば、マルウェア自体を検知できなかったが、トラフィック情報等からパケットの異常な振る舞いが発見された場合も、上記と同様に対応することができる。
・OS(Operating System)の脆弱性を突かれてリモート接続が成立し、悪意のあるアプリケーションで機器にアクセスしようとした場合も、トラフィック情報等からホストの異常な振る舞いが発見されるため、上記と同様に対応することができる。
・PCを悪意のあるユーザが使用して、自身の権限を昇格した場合、例えば、普段権限変更が行われない環境で権限昇格が行われると、振る舞い等から異常度が増加し、ホストおよびユーザのトラストスコアが低下する。そうすると、権限昇格直後はゾーンを細かくして、セキュリティレベルも上昇させ、アクセス可能な範囲を制限する。その後、管理者の承認か時間の経過による追加情報の入手によって、ゾーンとセキュリティレベルを元に戻す。
【0077】
<実施の形態1の効果>
以上のように、本実施の形態では、ネットワークのセキュリティゾーンのゾーニングにおいて、セキュリティ指標をクラスタリングすることによりゾーンを決定する。すなわち、トラストスコア(エンティティ毎)とパフォーマンス要求スコア(エンティティ、ゾーンペア毎)を計算し、クラスタリングを行う。例えば、ポリシが近くなるものをまとめて、クリークとしてゾーンを決定する。これにより、厳格なポリシ制御を行いつつ、ポリシ管理を容易にすることができる。必要なところでのみゾーンを細分化してポリシを詳細に制御することで、ネットワーク全体の見通しが良くなり、より適切なポリシを設定することができる。
以上のように、本実施の形態では、ネットワークのセキュリティゾーンのゾーニングにおいて、セキュリティ指標をクラスタリングすることによりゾーンを決定する。すなわち、トラストスコア(エンティティ毎)とパフォーマンス要求スコア(エンティティ、ゾーンペア毎)を計算し、クラスタリングを行う。例えば、ポリシが近くなるものをまとめて、クリークとしてゾーンを決定する。これにより、厳格なポリシ制御を行いつつ、ポリシ管理を容易にすることができる。必要なところでのみゾーンを細分化してポリシを詳細に制御することで、ネットワーク全体の見通しが良くなり、より適切なポリシを設定することができる。
【0078】
また、本実施の形態では、セキュリティ指標を算出する際、物理的または論理的なコネクションに応じてトラストスコアを伝播させる。すなわち、怪しいエンティティだけでなく、その周辺のエンティティからのアクセスに対しても厳しいポリシを設定する。これにより、リスクの可能性を考慮してセキュリティレベルを上げることができる。スライスや仮想セグメントに応じたパフォーマンスを維持しつつ、別スライス経由の攻撃を防ぐことができる。
【0079】
さらに、本実施の形態では、算出したセキュリティ指標からゾーンを指定した後、新たなゾーン毎にセキュリティ指標を再計算する。すなわち、ゾーン確定後にトラストスコアを新たなゾーン毎に再計算する。これにより、全体の振る舞いの怪しさを考慮してポリシを調整できる。例えば、エンティティ単体では怪しくないが、複数のエンティティの振る舞いの相関は怪しいといったことが考えられる。このような振る舞いを細かいポリシに反映するには、エンティティの組み合わせごとに怪しさを評価しなければならない。しかし、エンティティの組み合わせは指数的である。そのため、ゾーンの組み合わせのみに着目して、改めて怪しい関係の特定を試みる。
【0080】
なお、本開示は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。
【0081】
上述の実施形態における各構成は、ハードウェア又はソフトウェア、もしくはその両方によって構成され、1つのハードウェア又はソフトウェアから構成してもよいし、複数のハードウェア又はソフトウェアから構成してもよい。各装置及び各機能(処理)を、図9に示すような、CPU(Central Processing Unit)等のプロセッサ21及び記憶装置であるメモリ22を有するコンピュータ20により実現してもよい。例えば、メモリ22に実施形態における方法(制御方法)を行うためのプログラムを格納し、各機能を、メモリ22に格納されたプログラムをプロセッサ21で実行することにより実現してもよい。
【0082】
これらのプログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD-ROM(Read Only Memory)、CD-R、CD-R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【0083】
以上、実施の形態を参照して本開示を説明したが、本開示は上記実施の形態に限定されるものではない。本開示の構成や詳細には、本開示のスコープ内で当業者が理解し得る様々な変更をすることができる。
【0084】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0085】
(付記1)
ネットワークに含まれるノードに関するデータを収集する収集手段と、
前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出する算出手段と、
前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する決定手段と、
を備える、ネットワーク制御装置。
(付記2)
前記セキュリティ指標は、前記ノードの信頼度を示すトラストスコアを含む、
付記1に記載のネットワーク制御装置。
(付記3)
前記算出手段は、前記ノードの認証動作に関する認証情報、前記ノードの脆弱性に関する脅威情報、前記ノードの振る舞いに関する振る舞い情報のいずれかに基づいて、前記トラストスコアを算出する、
付記2に記載のネットワーク制御装置。
(付記4)
前記算出手段は、前記ノードと物理的または論理的な情報経路を介して接続される他のノードのトラストスコアに基づいて、前記ノードのトラストスコアを算出する、
付記2または3に記載のネットワーク制御装置。
(付記5)
前記算出手段は、前記他のノードのトラストスコアの減衰率に応じて、前記ノードのトラストスコアを減衰させる、
付記4に記載のネットワーク制御装置。
(付記6)
前記セキュリティ指標は、前記ネットワークのパフォーマンス要求度を示すパフォーマンス要求スコアを含む、
付記1乃至5のいずれか一項に記載のネットワーク制御装置。
(付記7)
前記算出手段は、前記ネットワークの運用に関する運用情報、前記ネットワークのトラフィックに関するトラフィック情報のいずれかに基づいて、前記パフォーマンス要求スコアを算出する、
付記6に記載のネットワーク制御装置。
(付記8)
前記決定手段は、前記セキュリティ指標に基づいてポリシを決定し、前記決定したポリシに基づいて前記ゾーンを決定する、
付記1乃至7のいずれか一項に記載のネットワーク制御装置。
(付記9)
前記決定手段は、前記ポリシが近くなるノードを同一のゾーンに含めるように前記ゾーンを決定する、
付記8に記載のネットワーク制御装置。
(付記10)
前記決定手段は、前記セキュリティ指標をクラスタリングし、前記クラスタリングした結果に基づいて前記ゾーンを決定する、
付記8または9に記載のネットワーク制御装置。
(付記11)
前記決定手段は、前記ノードのペアの前記セキュリティ指標に基づいて、前記ノードのペア間の通信を制限するように、前記ポリシを決定する、
付記8乃至10のいずれか一項に記載のネットワーク制御装置。
(付記12)
前記算出手段は、前記決定したゾーンに応じて、ゾーン単位のセキュリティ指標を算出し、
前記決定手段は、前記算出したゾーン単位のセキュリティ指標に基づいて、前記ゾーンに設定するポリシを決定する、
付記8乃至11のいずれか一項に記載のネットワーク制御装置。
(付記13)
ネットワークに含まれるノードと、前記ネットワークを制御するネットワーク制御装置とを備え、
前記ネットワーク制御装置は、
前記ノードに関するデータを収集する収集手段と、
前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出する算出手段と、
前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する決定手段と、
を備える、ネットワークシステム。
(付記14)
ネットワークに含まれるノードに関するデータを収集し、
前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出し、
前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する、
ネットワーク制御方法。
(付記15)
ネットワークに含まれるノードに関するデータを収集し、
前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出し、
前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する、
処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体。
ネットワークに含まれるノードに関するデータを収集する収集手段と、
前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出する算出手段と、
前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する決定手段と、
を備える、ネットワーク制御装置。
(付記2)
前記セキュリティ指標は、前記ノードの信頼度を示すトラストスコアを含む、
付記1に記載のネットワーク制御装置。
(付記3)
前記算出手段は、前記ノードの認証動作に関する認証情報、前記ノードの脆弱性に関する脅威情報、前記ノードの振る舞いに関する振る舞い情報のいずれかに基づいて、前記トラストスコアを算出する、
付記2に記載のネットワーク制御装置。
(付記4)
前記算出手段は、前記ノードと物理的または論理的な情報経路を介して接続される他のノードのトラストスコアに基づいて、前記ノードのトラストスコアを算出する、
付記2または3に記載のネットワーク制御装置。
(付記5)
前記算出手段は、前記他のノードのトラストスコアの減衰率に応じて、前記ノードのトラストスコアを減衰させる、
付記4に記載のネットワーク制御装置。
(付記6)
前記セキュリティ指標は、前記ネットワークのパフォーマンス要求度を示すパフォーマンス要求スコアを含む、
付記1乃至5のいずれか一項に記載のネットワーク制御装置。
(付記7)
前記算出手段は、前記ネットワークの運用に関する運用情報、前記ネットワークのトラフィックに関するトラフィック情報のいずれかに基づいて、前記パフォーマンス要求スコアを算出する、
付記6に記載のネットワーク制御装置。
(付記8)
前記決定手段は、前記セキュリティ指標に基づいてポリシを決定し、前記決定したポリシに基づいて前記ゾーンを決定する、
付記1乃至7のいずれか一項に記載のネットワーク制御装置。
(付記9)
前記決定手段は、前記ポリシが近くなるノードを同一のゾーンに含めるように前記ゾーンを決定する、
付記8に記載のネットワーク制御装置。
(付記10)
前記決定手段は、前記セキュリティ指標をクラスタリングし、前記クラスタリングした結果に基づいて前記ゾーンを決定する、
付記8または9に記載のネットワーク制御装置。
(付記11)
前記決定手段は、前記ノードのペアの前記セキュリティ指標に基づいて、前記ノードのペア間の通信を制限するように、前記ポリシを決定する、
付記8乃至10のいずれか一項に記載のネットワーク制御装置。
(付記12)
前記算出手段は、前記決定したゾーンに応じて、ゾーン単位のセキュリティ指標を算出し、
前記決定手段は、前記算出したゾーン単位のセキュリティ指標に基づいて、前記ゾーンに設定するポリシを決定する、
付記8乃至11のいずれか一項に記載のネットワーク制御装置。
(付記13)
ネットワークに含まれるノードと、前記ネットワークを制御するネットワーク制御装置とを備え、
前記ネットワーク制御装置は、
前記ノードに関するデータを収集する収集手段と、
前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出する算出手段と、
前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する決定手段と、
を備える、ネットワークシステム。
(付記14)
ネットワークに含まれるノードに関するデータを収集し、
前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出し、
前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する、
ネットワーク制御方法。
(付記15)
ネットワークに含まれるノードに関するデータを収集し、
前記収集したデータに基づいて、前記ノードの脅威に関するセキュリティ指標を算出し、
前記算出したセキュリティ指標に基づいて、前記ノードのゾーンを決定する、
処理をコンピュータに実行させるためのプログラムが格納された非一時的なコンピュータ可読媒体。
【符号の説明】
【0086】
1 ネットワークシステム
10 ネットワーク制御装置
11 収集部
12 算出部
13 決定部
20 コンピュータ
21 プロセッサ
22 メモリ
100 ネットワーク制御部
110 データストレージ
120 ポリシストレージ
130 データ収集部
131 認証部
132 前処理部
140 データ分析部
150 スコア計算部
160 ゾーン・ポリシ管理部
170 管理情報送受信部
200 ネットワーク通信部
210 ホスト
220 ポリシ検査部
230 ゾーン制御部
240 ゲートウェイ
310 対象システム情報ストレージ
320 表示装置
330 制御装置
340 ゾーン・ポリシ設定装置
10 ネットワーク制御装置
11 収集部
12 算出部
13 決定部
20 コンピュータ
21 プロセッサ
22 メモリ
100 ネットワーク制御部
110 データストレージ
120 ポリシストレージ
130 データ収集部
131 認証部
132 前処理部
140 データ分析部
150 スコア計算部
160 ゾーン・ポリシ管理部
170 管理情報送受信部
200 ネットワーク通信部
210 ホスト
220 ポリシ検査部
230 ゾーン制御部
240 ゲートウェイ
310 対象システム情報ストレージ
320 表示装置
330 制御装置
340 ゾーン・ポリシ設定装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】