特表-17150003IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ パナソニックIPマネジメント株式会社の特許一覧
再表2017-150003検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法
<>
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000003
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000004
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000005
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000006
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000007
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000008
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000009
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000010
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000011
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000012
  • 再表WO2017150003-検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法 図000013
< >
(19)【発行国】日本国特許庁(JP)
【公報種別】再公表特許(A1)
(11)【国際公開番号】WO/0
(43)【国際公開日】2017年9月8日
【発行日】2018年12月27日
(54)【発明の名称】検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法
(51)【国際特許分類】
   G06F 13/00 20060101AFI20181130BHJP
   G06F 21/55 20130101ALI20181130BHJP
【FI】
   G06F13/00 351Z
   G06F21/55
【審査請求】未請求
【予備審査請求】未請求
【全頁数】41
【出願番号】特願2018-502586(P2018-502586)
(21)【国際出願番号】PCT/0/0
(22)【国際出願日】2017年1月24日
(31)【優先権主張番号】特願2016-38448(P2016-38448)
(32)【優先日】2016年2月29日
(33)【優先権主張国】JP
(31)【優先権主張番号】特願2016-82462(P2016-82462)
(32)【優先日】2016年4月15日
(33)【優先権主張国】JP
(81)【指定国】 AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,ST,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DJ,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IR,IS,JP,KE,KG,KH,KN,KP,KR,KW,KZ,LA,LC,LK,LR,LS,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ
(71)【出願人】
【識別番号】314012076
【氏名又は名称】パナソニックIPマネジメント株式会社
(74)【代理人】
【識別番号】100106116
【弁理士】
【氏名又は名称】鎌田 健司
(74)【代理人】
【識別番号】100170494
【弁理士】
【氏名又は名称】前田 浩夫
(72)【発明者】
【氏名】柳田 卓郎
(72)【発明者】
【氏名】郷原 邦男
(72)【発明者】
【氏名】高井 智宏
(72)【発明者】
【氏名】金村 孝一
【テーマコード(参考)】
5B089
【Fターム(参考)】
5B089GB01
5B089GB04
5B089HA10
5B089HB05
5B089JA21
5B089JB02
5B089JB16
5B089KA17
5B089KB07
5B089KB10
5B089KC15
5B089KC59
(57)【要約】
ウェブアプリケーションファイアウォール装置は、リクエストが不正なパラメータか否かを判定する判定部及び分析受信部を有する。ウェブアプリケーション装置は、リクエストが正当なパラメータか否かを判定する制御部と、レスポンスを生成する応答生成部とを有する。判定部は、不正情報に基づき、パラメータをフィルタリングするためのデータを更新する。応答生成部は、不正情報及び正当情報を含むこれらのレスポンスを選択的に生成してウェブアプリケーションファイアウォール装置に送信する。
【特許請求の範囲】
【請求項1】
ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされた前記リクエストに対応するレスポンスを送信するウェブアプリケーション装置と、を備え、
前記ウェブアプリケーションファイアウォール装置は、
前記ウェブクライアントから送られてきた前記リクエストを受信し、前記リクエストが正当か否かを判定する第1の制御部と、
前記ウェブアプリケーション装置から前記リクエストに対応する前記レスポンスを受信して分析する分析受信部と、を有し、
前記ウェブアプリケーション装置は、
前記ウェブアプリケーションファイアウォール装置から送信されてくる前記リクエストを受信し、前記リクエストが正当か否かを判定する第2の制御部と、
前記リクエストに対応する前記レスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成部と、を有し、
前記リクエストに対する前記レスポンスは、前記リクエストが正当か否かの判定結果を含む、
検知システム。
【請求項2】
前記第1の制御部は、前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが不正な前記パラメータを含むか否かを判定する判定部を備え、
前記第2の制御部は、前記ウェブアプリケーションファイアウォール装置から送信されてくる前記パラメータを含む前記リクエストを受信し、前記リクエストが正当な前記パラメータを含むか否かを判定し、
前記判定部は、前記分析受信部が前記レスポンスから不正な前記パラメータの情報である不正情報を抽出した場合に、前記パラメータをフィルタリングするためのデータを更新し、
前記応答生成部は、前記不正情報を含む前記レスポンス及び正当な前記パラメータの情報である正当情報を含む前記レスポンスを選択的に生成して前記ウェブアプリケーションファイアウォール装置に送信する
請求項1に記載の検知システム。
【請求項3】
前記第1の制御部は、さらに、
前記ウェブクライアントの不正な前記パラメータを含む前記リクエストを遮断するための前記データを格納している第1の記憶部と、
前記データを生成する生成部と、を備え、
前記分析受信部は、前記レスポンスから前記不正情報を抽出した場合に、前記不正情報を前記生成部に送信し、
前記判定部は、前記第1の記憶部に格納されている前記データを更新して前記リクエストをフィルタリングすることにより、不正な前記パラメータを含む前記リクエストを遮断する
請求項2記載の検知システム。
【請求項4】
フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置であって、
ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含む前記リクエストを受信し、前記リクエストが正当な前記パラメータを含むか否かを判定する第2の制御部と、
前記リクエストに対応する前記レスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成部と、を有し、
前記応答生成部は、不正な前記パラメータであると前記第2の制御部が判定した場合に、不正な前記パラメータの情報である不正情報を前記レスポンスに格納し、正当な前記パラメータであると前記第2の制御部が判定した場合に、正当な前記パラメータの情報である正当情報を前記レスポンスに格納し、
前記応答生成部は、前記不正情報を含む前記レスポンス又は前記正当情報を含む前記レスポンスを生成して前記ウェブアプリケーションファイアウォール装置に送信する
ウェブアプリケーション装置。
【請求項5】
ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置であって、
前記ウェブクライアントから送られてきた前記リクエストを受信し、前記リクエストが正当か否かを判定する第1の制御部と、
ウェブアプリケーション装置からレスポンスを受信して分析する分析受信部と、
前記ウェブクライアントの前記リクエストを遮断するためのデータを格納している第1の記憶部と、を備え、
前記第1の制御部は、
前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが不正な前記パラメータを含むか否かを判定する判定部と、
前記リクエストから不正な前記パラメータを遮断するシグネチャを生成する生成部と、
前記シグネチャから不正な前記パラメータを遮断する規定を前記第1の記憶部に格納する規定部と、を有し、
前記分析受信部は、前記ウェブアプリケーション装置から送られてきた前記レスポンス中の不正情報が抽出された場合に、前記不正情報を前記生成部に送信する
ウェブアプリケーションファイアウォール装置。
【請求項6】
前記分析受信部は、前記ウェブアプリケーション装置から送られてきた前記レスポンス中の不正情報が抽出された場合に、前記不正情報を前記生成部または前記規定部に送信する
請求項5記載のウェブアプリケーションファイアウォール装置。
【請求項7】
ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされた前記リクエストに対応するレスポンスを送信するウェブアプリケーション装置とを備える検知システムにおける検知方法であって、
前記ウェブアプリケーションファイアウォール装置において、
前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが正当な前記パラメータを含むか否かを判定する第1判定ステップと、
前記ウェブアプリケーション装置から前記リクエストに対応する前記レスポンスを受信して分析する分析受信ステップと、を含み、
前記第1判定ステップでは、前記分析受信ステップで前記レスポンスから不正な前記パラメータの情報である不正情報を抽出した場合に、前記パラメータをフィルタリングするためのデータを更新し、
検知システムにおける検知方法は、さらに、前記ウェブアプリケーション装置において、
前記ウェブアプリケーションファイアウォール装置から送信されてくる前記パラメータを含む前記リクエストを受信し、前記リクエストが正当な前記パラメータを含むか否かを判定する第2判定ステップと、
前記リクエストに対応するレスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成ステップと、を含み、
前記応答生成ステップでは、前記不正情報を含む前記レスポンス又は正当な前記パラメータの情報である正当情報を含む前記レスポンスを生成して前記ウェブアプリケーションファイアウォール装置に送信する
検知システムにおける検知方法。
【請求項8】
フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置の検知方法であって、
前記ウェブアプリケーション装置からウェブアプリケーションファイアウォール装置へ前記リクエストをフィルタリングするための情報をヘッダに含む前記レスポンスを送信する
ウェブアプリケーション装置の検知方法。
【請求項9】
ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置の検知方法であって、
前記リクエストをフィルタリングするための情報をヘッダに含むレスポンスをウェブアプリケーション装置から受信して分析する分析受信部が、前記レスポンスから不正なパラメータの情報である不正情報を抽出した場合に、前記リクエストをフィルタリングするためのデータを更新する
ウェブアプリケーションファイアウォール装置の検知方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、ネットワークからの攻撃を回避する、検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法に関する。
【背景技術】
【0002】
従来、通信情報監視装置では、予め設定されたチェックルールに基づいてクライアントからのリクエスト(リクエストメッセージ)のパラメータをチェックし、攻撃と判断してこのリクエストを排除する(例えば特許文献1参照)。
【0003】
また、マルウェア解析システムでは、マルウェア候補サンプル(不正なパラメータ)がマルウェアであると判定された場合にシグネチャを自動的に生成する(例えば特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−4685号公報
【特許文献2】特開2014−519113号公報
【発明の概要】
【0005】
検知システムの一態様は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置と、を備える。ウェブアプリケーションファイアウォール装置は、ウェブクライアントから送られてきたリクエストを受信し、リクエストが正当か否かを判定する第1の制御部と、ウェブアプリケーション装置からリクエストに対応するレスポンスを受信して分析する分析受信部と、を有する。ウェブアプリケーション装置は、ウェブアプリケーションファイアウォール装置から送信されてくるリクエストを受信し、リクエストが正当か否かを判定する第2の制御部と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置にレスポンスを送信する応答生成部と、を有する。そして、リクエストに対するレスポンスは、リクエストが正当か否かの判定結果を含む。
【0006】
また、本開示の一態様に係るウェブアプリケーション装置は、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置であって、ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第2の制御部と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置にレスポンスを送信する応答生成部と、を有する。そして、応答生成部は、不正なパラメータであると第2の制御部が判定した場合に、不正なパラメータの情報である不正情報をレスポンスに格納し、正当なパラメータであると第2の制御部が判定した場合に、正当なパラメータの情報である正当情報をレスポンスに格納し、応答生成部は、不正情報を含むレスポンス又は正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置に送信する。
【0007】
また、本開示の一態様に係るウェブアプリケーションファイアウォール装置は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置であって、ウェブクライアントから送られてきたリクエストを受信し、リクエストが正当か否かを判定する第1の制御部と、ウェブアプリケーション装置からレスポンスを受信して分析する分析受信部と、前記ウェブクライアントのリクエストを遮断するためのデータを格納している第1の記憶部と、を備える。そして、第1の制御部は、ウェブクライアントから送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部と、リクエストから不正なパラメータを遮断するシグネチャを生成する生成部と、シグネチャから不正なパラメータを遮断する規定を第1の記憶部に格納する規定部と、を有する。さらに、分析受信部は、ウェブアプリケーションから送られてきたレスポンスに不正情報が含まれていた場合、不正情報を生成部に送信する。
【0008】
また、本開示の一態様に係る検知システムにおける検知方法は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置とを備える検知システムにおける検知方法であって、ウェブアプリケーションファイアウォール装置において、ウェブクライアントから送られてきたパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第1判定ステップと、ウェブアプリケーション装置からリクエストに対応するレスポンスを受信して分析する分析受信ステップと、を含む。第1判定ステップでは、分析受信ステップでレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、パラメータをフィルタリングするためのデータを更新する。検知システムにおける検知方法は、さらに、ウェブアプリケーション装置において、ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第2判定ステップと、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置にレスポンスを送信する応答生成ステップとを含む。応答生成ステップでは、不正情報を含むレスポンス又は正当なパラメータの情報である正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置に送信する。
【0009】
また、本開示の一態様に係るウェブアプリケーション装置の検知方法は、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置を備える検知システムにおける検知方法であって、ウェブアプリケーション装置からウェブアプリケーションファイアウォール装置へリクエストをフィルタリングするための情報をヘッダに含むレスポンスを送信する。
【0010】
また、本開示の一態様に係るウェブアプリケーションファイアウォール装置の検知方法は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置の検知方法であって、リクエストをフィルタリングするための情報をヘッダに含むレスポンスをウェブアプリケーション装置から受信して分析する分析受信部が、レスポンスから不正なパラメータの情報である不正情報を抽出した場合に、リクエストをフィルタリングするためのデータを更新する。
【0011】
ウェブアプリケーションファイアウォール装置では、リクエストを発行したウェブクライアントをフィルタリングするため、ウェブアプリケーション装置からウェブアプリケーションファイアウォール装置へ送信する情報として、少なくともIPアドレスまたはウェブクライアントを一意に特定する識別子を利用する。ウェブクライアントを一意に特定する識別子は、ウェブクライアント自身が内部ファームウェアに内包するIDであってもよく、ウェブクライアントに対して、ウェブサーバが一意に割り当てるIDであってもよく、ウェブクライアントからのログイン情報に基づいてウェブサーバが一意に割り当てるセッションIDであってもよい。
【0012】
本開示によれば、上述した判定、生成、分析が、継続的かつ速やかに実現でき、サーバセキュリティが安定して確保できる。また、未知の攻撃であってもその攻撃を未然に防ぐことができる。また、正当なパラメータを有するリクエストを誤って遮断することを防止することができる。さらに、システム構築に費やすコストを低廉化することができる。
【図面の簡単な説明】
【0013】
図1図1は、実施の形態1の検知システムを示すブロック図である。
図2図2は、実施の形態1の検知システムを示す説明図である。
図3図3は、実施の形態1の検知システムにおけるウェブアプリケーションファイアウォール装置を示すブロック図である。
図4図4は、実施の形態1の検知システムにおけるウェブアプリケーション装置を示すブロック図である。
図5図5は、実施の形態1の検知システムにおける動作を示すシーケンス図である。
図6図6は、実施の形態1の検知システムにおけるウェブアプリケーション装置の制御部の判定を示す説明図である。
図7図7は、実施の形態2の検知システムにおけるウェブアプリケーションファイアウォール装置を示すブロック図である。
図8図8は、実施の形態2の検知システムを示す説明図である。
図9図9は、実施の形態2の検知システムにおける動作を示すシーケンス図である。
図10図10は、実施の形態2の検知システムを示す概念図である。
図11図11は、検知システムにおけるウェブアプリケーション装置の制御部の判定を示す説明図である。
【発明を実施するための形態】
【0014】
(発明の基礎となった知見)
インターネット等のネットワークを介したサービスの提供として、例えば、ウェブアプリケーション装置がある。ウェブクライアントは、サービスを利用する場合に、ネットワークを介してウェブアプリケーション装置にリクエストを送信する。そして、ウェブアプリケーション装置はこのリクエストに対してレスポンスをウェブクライアントに送信する。
【0015】
ウェブクライアントからウェブアプリケーション装置の脆弱性を悪用した不正なパラメータを含んだリクエストが送信されてくる場合には、ウェブアプリケーション装置に影響を与え、これが誤動作等を行うことがある。このため、ウェブアプリケーションファイアウォール装置を介し、リクエストに含まれる不正なパラメータを遮断してウェブアプリケーション装置を保護している。
【0016】
従来、ウェブアプリケーションファイアウォール装置では、正当なパラメータを装う攻撃として、SQLインジェクション、DDos攻撃(Distributed Denial of Service attack攻撃)等の攻撃パターンをブロックすることが知られている。
【0017】
ウェブアプリケーションファイアウォール装置において、攻撃か否かの判断方法には、ブラックリスト方式とホワイトリスト方式とが知られている。
【0018】
ブラックリスト方式は、ウェブアプリケーションファイアウォール装置に予め格納されている不当(実行不可能)なパラメータの情報であるブラックリストと、リクエストのパラメータとを照合し、照合が一致した場合に、リクエストを遮断することで、攻撃を未然に防止する方式である。このブラックリスト方式では、予め格納されているデータを定期的に更新しないと、このデータに記載されていない未知の攻撃を受けてしまうという課題がある。また、ブラックリストを定期的に更新したとしても、攻撃パターンの調査等による負担が増加するという課題もある。
【0019】
一方、ホワイトリスト方式では、ウェブアプリケーションファイアウォール装置に予め格納されている正当(実行可能)なパラメータの情報であるホワイトリストと、リクエストのパラメータとを照合し、照合が一致した場合以外は、不正なパラメータと判定する。このホワイトリスト方式では、ブラックリスト方式よりもセキュリティの強度が高いといえるが、パラメータごとにホワイトリストを定義することが困難であり、運用負担が大きくなるという課題がある。こうしたことから現在では、ブラックリスト方式が主流となっている。
【0020】
しかしながら、従来のブラックリスト方式を用いたウェブアプリケーションファイアウォール装置では、ブラックリストとして予め格納されていない未知の攻撃(最初の攻撃)防ぐことができない。また、リクエストが正当なパラメータを含んでいても、リクエストを誤って遮断(誤検出)してしまうという問題も生じている。
【0021】
このため、未知の攻撃であっても、その攻撃を未然に防ぐことができたり、正当なパラメータを有するリクエストを誤って遮断することを防止することができたり、システム構築に費やすコストを低廉化することができたりすることが求められている。
【0022】
そこで、上記のような課題から検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法を検討した。
【0023】
以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。
【0024】
なお、発明者らは、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって特許請求の範囲に記載の主題を限定することを意図するものではない。
【0025】
なお、各図は、必ずしも厳密に図示されたものではない。また、各図において、実質的に同一の構成に対しては同一の符号を付しており、重複する説明は省略又は簡略化する。
【0026】
(実施の形態1)
ここでは、本開示の実施の形態1として、本開示に関わる検知システム1について図面を参照しながら説明する。
【0027】
(検知システム全体の構成)
図1は、実施の形態1の検知システム1を示すブロック図である。
【0028】
図1に示すように、検知システム1は、ウェブアプリケーションファイアウォール装置3と、ウェブアプリケーション装置5とを備えている。ウェブアプリケーションファイアウォール装置3及びウェブアプリケーション装置5は、例えば、情報処理装置を用いて実現することができる。
【0029】
ウェブアプリケーションファイアウォール装置3は、ウェブアプリケーション装置5に対する攻撃を防ぐために、ウェブクライアント9からのリクエストに含まれるパラメータをフィルタリングする。ウェブアプリケーションファイアウォール装置3は、通信部を介してインターネットなどのネットワーク7に接続されて、ネットワーク7を介してウェブクライアント9に接続されている。リクエストに含まれるパラメータは、例えば、セキュリティID、セキュリティIDを含むCookieなどである。
【0030】
図2は、実施の形態1の検知システム1を示す説明図である。
【0031】
図2に示すように、図1のウェブクライアント9からのリクエストは、図1のネットワーク7を介してウェブアプリケーションファイアウォール装置3でフィルタリングされる。ウェブアプリケーションファイアウォール装置3でフィルタリングされたリクエストは、ウェブアプリケーション装置5に送信される。ウェブアプリケーション装置5は、リクエストに対するレスポンスをウェブアプリケーションファイアウォール装置3に送信する。ウェブアプリケーションファイアウォール装置3は、図1のネットワーク7を介して図1のウェブクライアント9にレスポンスを送信する。実線の矢印で示すように、ウェブアプリケーション装置5がリクエストに含まれる不正なパラメータを検出した場合は、今後、不正なパラメータを含むリクエストを遮断するために、ウェブアプリケーションファイアウォール装置3の記憶部35(第1の記憶部)に、不正なパラメータの情報である不正情報をフィードバックする。つまり、不正情報をブラックリストに登録し、ブラックリストを更新する。なお、リクエスト及びレスポンスは、HTTP通信を用いて送信される。
【0032】
ウェブアプリケーションファイアウォール装置3は、ブラックリストに登録する不正情報として、少なくともIPアドレス、またはウェブクライアント9を一意に特定する識別子を利用する。ウェブクライアント9を一意に特定する識別子は、ウェブクライアント9自身が内部ファームウェアに内包するIDであってもよく、ウェブクライアント9に対してウェブサーバが一意に割り当てるIDであってもよく、ウェブクライアント9からのログイン情報に基づいてウェブサーバが一意に割り当てるセッションIDであってもよい。
【0033】
(ウェブアプリケーションファイアウォール装置の構成)
図3は、実施の形態1の検知システム1におけるウェブアプリケーションファイアウォール装置3を示すブロック図である。
【0034】
図3に示すように、ウェブアプリケーションファイアウォール装置3は、分析受信部33、記憶部35(第1の記憶部)、制御部41(第1の制御部)及びインターフェイス43を有している。また、制御部41は、判定部31、生成部37、規定部39を備えている。
【0035】
判定部31は、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信する。判定部31は、メソッドやURIなどのリクエストライン、ジェネラルヘッダやリクエストヘッダ等のヘッダ等を検査する。判定部31は、リクエストが不正なパラメータを含むか否かを判定する。言い換えれば、判定部31は、記憶部35に格納されているブラックリストとリクエストのパラメータとが一致するか否かを判定する。判定部31は、分析受信部33がレスポンスから不正情報を抽出した場合に、記憶部35に格納されているパラメータをフィルタリングするためのデータを更新(規定部39が生成した後述する規定を更新)する。
【0036】
分析受信部33は、リクエストに対応するレスポンスを行うウェブアプリケーション装置5からレスポンスを受信し、レスポンスに含まれる情報が不正情報か正当なパラメータの情報である正当情報かを分析する。分析受信部33は、例えば、レスポンスのステータスコード、レスポンスヘッダ等の分析である。分析受信部33は、レスポンスから不正情報が抽出された場合に、不正情報を生成部37に送信する。一方、分析受信部33は、レスポンスから正当情報を抽出した場合に、正当情報を含むレスポンスがインターフェイス43を介してウェブクライアント9に送信される。
【0037】
記憶部35は、例えば、HDD(Hard disk drive)などの不揮発性記録媒体により実現される。記憶部35は、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している。記憶部35のデータは、不正なパラメータといったブラックリストや、不正なパラメータを含むリクエストを遮断する規定(ルール)や、遮断することとなったエラーログなどである。このエラーログは、後に、記憶部35に格納されているエラーの解析がなされる。
【0038】
生成部37は、判定部31でエラー処理されたパラメータや不正情報から不正なパラメータを遮断するシグネチャを生成する。
【0039】
規定部39は、不正なパラメータを含むリクエストを検出するために、シグネチャから不正なパラメータを含むリクエストを遮断する規定(ルール)を定義する。
【0040】
制御部41は、この規定を更新し、記憶部35に格納する。制御部41は、CPU、メインメモリ等が格納されている制御回路である。メインメモリは、例えば、DRAM(Dynamic Random Access Memory)等の記憶媒体である。
【0041】
(ウェブアプリケーション装置の構成)
図4は、実施の形態1の検知システム1におけるウェブアプリケーション装置5を示すブロック図である。
【0042】
図4に示すように、ウェブアプリケーション装置5は、フィルタリングされたリクエストに対応するHTTPレスポンスをウェブアプリケーションファイアウォール装置3に送信する。ウェブアプリケーション装置5は、制御部51(第2の制御部)、応答生成部53及び記憶部55(第2の記憶部)を有している。
【0043】
制御部51は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する。言い換えれば、制御部51は、記憶部55に格納されているホワイトリストとリクエストのパラメータとが一致するか否かを判定する。記憶部55は、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している。ウェブアプリケーション装置5における記憶部55のデータは、正当なパラメータといったホワイトリストなどである。なお、記憶部55は、制御部51内に備わっていてもよい。
【0044】
制御部51は、ホワイトリストとリクエストのパラメータとが一致しないと判定した場合に、検出された不正情報をレスポンスのヘッダに登録する。不正情報は、ログイン認証失敗回数、検出日時、選択した処理方法、接続元IPアドレス、接続先URL、不正だと判定したヘッダ等である。
【0045】
また、制御部51は、ホワイトリストとリクエストのパラメータとが一致する場合に、検出された正当なパラメータに関する情報である正当情報をレスポンスのヘッダに登録する。
【0046】
応答生成部53は、不正情報を含むレスポンス及び正当情報を含むレスポンスを選択的に生成してウェブアプリケーションファイアウォール装置3に送信する。つまり、応答生成部53は、不正情報を含むレスポンス又は正当情報を含むレスポンス(リクエストに対応するレスポンス)を生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する。応答生成部53は、不正なパラメータであると制御部51が判定した場合に、不正情報を含むレスポンスを生成し、正当なパラメータであると制御部51が判定した場合に、正当情報を含むレスポンスを生成する。
【0047】
[動作]
以上のように構成された検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法について、その動作を以下に説明する。
【0048】
図5は、実施の形態1の検知システム1における動作を示すシーケンス図である。図6は、実施の形態1の検知システム1におけるウェブアプリケーション装置5の制御部51の判定を示す説明図である。
【0049】
図1及び図5に示すように、ウェブアプリケーションファイアウォール装置3は、ウェブクライアント9からのリクエストを受信する。ウェブアプリケーションファイアウォール装置3の判定部31は、このリクエストのパラメータと記憶部35(第1の記憶部)に格納されているブラックリストとが一致するか否かを判定する(第1判定ステップS1)。
【0050】
判定部31は、このリクエストのパラメータと記憶部35に格納されているブラックリストとが一致する場合(S1ではYES)に、エラーとして処理されたパラメータ(不正なパラメータ)をエラーログとして記憶部35に格納する(S2)。なお、不正なパラメータについて、記憶部35に格納されているエラーの解析がなされる(S3)。
【0051】
なお、ウェブアプリケーションファイアウォール装置3では、ステップS1でYESの場合に、検出された不正なパラメータが検出されたことをウェブクライアント9にエラーを通知してもよい。そして、分析受信部33は、エラーの通知をウェブクライアント9に送信してもよい。
【0052】
判定部31は、このリクエストのパラメータと記憶部35に格納されているブラックリストとが一致しない場合(S1ではNO)に、ウェブアプリケーションファイアウォール装置3がパラメータを含むリクエストを、ウェブアプリケーション装置5に送信する(S4)。つまり、ウェブアプリケーションファイアウォール装置3では、判定部31がブラックリスト方式を採用している。
【0053】
次に、制御部51は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信する。制御部51は、リクエストが正当なパラメータを含むか否かを判定する(第2判定ステップS5)。言い換えれば、制御部51は、ホワイトリストとリクエストのパラメータとが一致するか否かを判定する。
【0054】
制御部51は、リクエストのパラメータと記憶部55(第2の記憶部)に格納されているホワイトリストと、が一致しない場合(S5ではNO)に、どのパラメータで一致しないとされたのか等の情報を後に判断するために、障害切り分けを行う(S6)。制御部51は、障害切り分けされた不正なパラメータの情報である不正情報を登録する(S7)。
【0055】
例えば、図6に示すように、ホワイトリストのパラメータを(x1、x2)とし、リクエストのパラメータを(x1、x2、x3)とした場合に、その判定結果は、x1=正当、x2=正当、x3=不正となる。レスポンスのヘッダには、ありえないパラメータであるx3が存在することを不正情報として登録する。そして、図5に示すように、制御部51は、応答生成部53に不正情報を含むレスポンスを送信する。
【0056】
応答生成部53は、不正情報を含んだレスポンスを生成する(応答生成ステップS8)。応答生成部53は、ウェブアプリケーションファイアウォール装置3の分析受信部33に不正情報を含んだレスポンス送信する(S9、ウェブアプリケーション装置5の検知方法)。
【0057】
制御部51は、リクエストのパラメータと記憶部55に格納されているホワイトリストとが一致する場合(S5ではYES)に、正当なパラメータの情報である正当情報として扱う。つまり、このウェブアプリケーション装置5では、制御部51がホワイトリスト方式を採用している。
【0058】
例えば、図6に示すように、ホワイトリストのパラメータを(y1、y2)とし、リクエストのパラメータを(y1、y2)とした場合に、その判定結果は、y1=正当、y2=正当となる。レスポンスのヘッダには、パラメータ(y1、y2)を含むリクエストを正当情報として登録する(図5のS10)。そして、図5に示すように、制御部51は、応答生成部53に正当情報を含むレスポンスを送信する。
【0059】
応答生成部53は、正当情報を含んだレスポンスを生成する(応答生成ステップS8)。応答生成部53は、ウェブアプリケーションファイアウォール装置3の分析受信部33に正当情報を送信する(S9、ウェブアプリケーション装置5の検知方法)。
【0060】
分析受信部33は、応答生成部53からレスポンスを受信する。分析受信部33は、レスポンスに正当情報が含まれているか否かを分析する(S11、分析受信ステップ)。分析受信部33は、正当情報が含まれていない場合(S11ではNO)、つまり、不正情報がレスポンスに含まれている場合に、生成部37に不正情報を送信する。
【0061】
図1及び図5に示すように、生成部37は、ウェブクライアント9から不正なパラメータを含むリクエストをフィルタリングするために、不正情報に基づくシグネチャを生成する(S12)。また、生成部37は、ステップS3のエラーに基づいて生成部がシグネチャを生成したりもする。生成部37は、生成したシグネチャを規定部39に送信する。
【0062】
規定部39は、シグネチャに基づいて不正なパラメータを含むリクエストを遮断する規定(ルール)を定義する(S13)。判定部31は、リクエストを遮断する規定を記憶部35に格納する(S14、ウェブアプリケーションファイアウォール装置3の検知方法)。つまり、記憶部35に新たな規定が更新されることで、ウェブアプリケーションファイアウォール装置3の判定部31は、同一のパラメータを含んだリクエストを今後遮断する。
【0063】
なお、判定部31は、検出された不正なパラメータが検出されたことをウェブクライアント9にエラーを通知してもよい。そして、エラーの通知をウェブクライアント9に送信してもよい。また、なお、分析受信部33は、不正情報を検出した場合に、ウェブクライアント9にレスポンスを送信しない遮断処理を行ってもよい。
【0064】
分析受信部33は、正当情報を検出した場合(S12ではYES)に、インターフェイス43を介してウェブクライアント9に、リクエストに対応するレスポンスを送信する(S15)。
【0065】
[作用効果]
次に、本実施の形態に係る検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法の作用効果について説明する。
【0066】
上述したように、本実施の形態に係る検知システム1では、ウェブクライアント9からのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置3と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置5とを備えている。ウェブアプリケーションファイアウォール装置3は、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部31と、ウェブアプリケーション装置5からリクエストに対応するレスポンスを受信して分析する分析受信部33とを有している。ウェブアプリケーション装置5は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する制御部51と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する応答生成部53とを有している。判定部31は、分析受信部33がレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、パラメータをフィルタリングするためのデータを更新する。応答生成部53は、不正情報を含むレスポンス及び正当なパラメータの情報である正当情報を含むレスポンスを選択的に生成してウェブアプリケーションファイアウォール装置3に送信する。
【0067】
この構成によれば、判定部31が不正なパラメータを遮断し、制御部51が正当なパラメータを許容することができている。判定部31は、制御部51が抽出した正当なパラメータ以外のパラメータをフィルタリングするためのデータを更新することができている。これにより、ウェブアプリケーション装置5におけるホワイトリスト以外のパラメータを不正情報とし、この不正情報をウェブアプリケーションファイアウォール装置3のブラックリストに追加することができている。また、正当なパラメータを有するリクエストは、判定部31及び制御部51を通過してこのリクエストに対応するレスポンスをウェブクライアント9に送信することができている。
【0068】
また、この検知システム1では、仮想マシン上や解析用の物理マシン上に、ヒューリスティックエンジンを搭載した攻撃を検出する専用の装置を必要とすることもなく、システム構築に費やすコストが増大し難い。
【0069】
したがって、未知の攻撃であってもその攻撃を未然に防ぐことができる。また、正当なパラメータを有するリクエストを遮断することを防止することができる。さらに、システム構築に費やすコストを低廉化することができる。
【0070】
また、本実施の形態に係る検知システム1において、ウェブアプリケーションファイアウォール装置3は、さらに、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している記憶部35と、データを生成する生成部37とを有している。また、分析受信部33は、レスポンスから不正情報を抽出した場合に、不正情報を生成部37に送信する。そして、判定部31は、記憶部35に格納されているデータを更新してリクエストをフィルタリングすることにより、不正なパラメータを含むリクエストを遮断する。
【0071】
この構成によれば、ウェブアプリケーションファイアウォール装置3とウェブアプリケーション装置5とが連携してシグネチャを自動で更新することができる。シグネチャが自動で更新されていくことで、リクエストを遮断するデータに簡易に反映することができる。
【0072】
上述したように、本実施の形態に係るウェブアプリケーション装置5では、フィルタリングされたリクエストに対応するレスポンスを送信する。ウェブアプリケーション装置5は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する制御部51と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する応答生成部53とを有している。応答生成部53は、不正なパラメータであると制御部51が判定した場合に、不正なパラメータの情報である不正情報をレスポンスに格納する。応答生成部53は、正当なパラメータであると制御部51が判定した場合に、正当なパラメータの情報である正当情報をレスポンスに格納する。応答生成部53は、不正情報を含むレスポンス又は正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置3に送信する。
【0073】
この構成によれば、正当なパラメータの情報である正当情報と、正当なパラメータ以外のパラメータを不正なパラメータの情報である不正情報とに振り分けて、ウェブアプリケーションファイアウォール装置3にフィードバックすることができる。
【0074】
上述したように、本実施の形態に係るウェブアプリケーションファイアウォール装置3では、ウェブクライアント9からのリクエストをフィルタリングする。ウェブアプリケーションファイアウォール装置3は、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部31と、ウェブアプリケーション装置5からレスポンスを受信して分析する分析受信部33と、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している記憶部35と、リクエストから不正なパラメータを遮断するシグネチャを生成する生成部37と、シグネチャから不正なパラメータを遮断する規定を記憶部35に格納する規定部39と、を有している。分析受信部33は、不正なパラメータが抽出された場合に、不正なパラメータを生成部37に送信する。
【0075】
この構成によれば、ウェブアプリケーションファイアウォール装置3とウェブアプリケーション装置5とが連携してこの規定を自動で更新することができる。ウェブアプリケーションファイアウォール装置3では、この規定が自動で更新されていくことで、リクエストを遮断するデータに簡易に反映することができる。このため、再度、不正なパラメータを含むリクエストがあってもウェブアプリケーションファイアウォール装置3で遮断することができる。その結果、ウェブアプリケーションファイアウォール装置3のフィルタリングを強化することができる。
【0076】
特に、ウェブアプリケーションファイアウォール装置3では、ウェブアプリケーション装置5の仕様に変更が生じても、この規定を自動で更新することができるため、柔軟な対応を行うことができる。
【0077】
上述したように、本実施の形態に係る検知システム1における検知方法では、ウェブクライアント9からのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置3と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置5とを備える。ウェブアプリケーションファイアウォール装置3において、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する判定ステップと、ウェブアプリケーション装置5からリクエストに対応するレスポンスを受信して分析する分析受信ステップとを含んでいる。第1判定ステップでは、分析受信部33がレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、パラメータをフィルタリングするためのデータを更新する。検知システム1における検知方法は、さらに、ウェブアプリケーション装置5において、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第2判定ステップと、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する応答生成ステップとを含む。応答生成ステップでは、不正情報を含むレスポンス又は正当なパラメータの情報である正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置3に送信する。
【0078】
この方法によれば、判定部31が不正なパラメータを遮断し、制御部51が正当なパラメータを許容する。判定部31は、制御部51が抽出した正当なパラメータ以外のパラメータをフィルタリングするためのデータを更新する。これにより、ウェブアプリケーション装置におけるホワイトリスト以外のパラメータを不正情報とし、この不正情報をウェブアプリケーションファイアウォール装置3のブラックリストに追加する。また、正当なパラメータを有するリクエストは、判定部31及び制御部51を通過してこのリクエストに対応するレスポンスをウェブクライアント9に送信する。
【0079】
また、この検知システム1では、仮想マシン上や解析用の物理マシン上に、ヒューリスティックエンジンを搭載した攻撃を検出する専用の装置を必要とすることもなく、システム構築に費やすコストが増大し難い。
【0080】
したがって、未知の攻撃であってもその攻撃を未然に防ぐことができる。また、正当なパラメータを有するリクエストを遮断することを防止することができる。さらに、システム構築に費やすコストを低廉化することができる。
【0081】
上述したように、本実施の形態に係るウェブアプリケーション装置5の検知方法では、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置5を備える。ウェブアプリケーション装置5の検知方法は、ウェブアプリケーション装置5からウェブアプリケーションファイアウォール装置3へリクエストをフィルタリングするための情報をヘッダに含むレスポンスを送信する。
【0082】
この方法によれば、フィルタリングを行う情報をウェブアプリケーションファイアウォール装置3にフィードバックすることができる。このため、未知の攻撃であってもその攻撃を未然に防ぐことができる。
【0083】
上述したように、本実施の形態に係るウェブアプリケーションファイアウォール装置3の検知方法では、ウェブクライアントからのリクエストをフィルタリングする。この検知方法では、リクエストをフィルタリングするための情報をヘッダに含むレスポンスをウェブアプリケーション装置5から受信して分析する分析受信部33が、レスポンスから不正なパラメータの情報である不正情報を抽出した場合に、リクエストをフィルタリングするためのデータを更新する。
【0084】
この方法によれば、ウェブアプリケーション装置5から受信したレスポンスを分析受信部33が分析し、不正情報を抽出してリクエストをフィルタリングするためのデータを更新する。このため、リクエストを遮断する規定を簡易に反映することができる。
【0085】
(実施の形態2)
次に、本開示の実施の形態2として、本開示に関わる検知システム1について図7及び図8を参照しながら説明する。
【0086】
[構成]
図7は、実施の形態2の検知システム1におけるウェブアプリケーションファイアウォール装置3を示すブロック図である。図8は、実施の形態2の検知システム1を示す説明図である。
【0087】
図7に示すように、この検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法における他の構成は、実施の形態1の検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法と同様であり、同一の構成については同一の符号を付して構成に関する詳細な説明を省略する。
【0088】
実施の形態1の検知システム1では分析受信部33が不正情報を生成部37に送信するが、実施の形態2の検知システム1では分析受信部33が不正情報を生成部37または規定部39に送信する点で異なっている。
【0089】
図8に示すように、本開示の実施の形態2の検知システム1では、図1のウェブクライアント9がログイン認証のリクエストを送信してきた場合に、ウェブアプリケーションファイアウォール装置3がログイン認証のリクエストに含まれるパラメータをフィルタリングする。このパラメータは、Cookieに登録されている。ウェブアプリケーションファイアウォール装置3は、ログイン認証のリクエストをウェブアプリケーション装置5に送信する。ウェブアプリケーション装置5は、ログイン認証の失敗回数をカウントしてCookieに登録し、Cookieを含むレスポンスをウェブアプリケーションファイアウォール装置3に送信する。ウェブアプリケーションファイアウォール装置3は、図1のウェブクライアント9にレスポンスを送信する。
【0090】
ウェブアプリケーションファイアウォール装置3は、ログイン認証の失敗回数が所定の回数以上となると、ウェブクライアント9のリクエストをウェブアプリケーションファイアウォール装置3が遮断する。ウェブアプリケーションファイアウォール装置3は、ブラックリストに登録する不正情報を記憶部35に格納し、この図1のウェブクライアント9のリクエストを遮断する。
【0091】
また、ログイン認証の失敗回数が所定の回数未満でログイン認証が成功した場合は、リクエストに対応するレスポンスを図1のウェブクライアント9に送信する。
【0092】
[動作]
以上のように構成された検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法について、その動作を以下に説明する。
【0093】
図9は、実施の形態2の検知システム1における動作を示すシーケンス図である。
【0094】
図9に示すように、実施の形態1の検知システム1とステップS1〜ステップS10のフローについては、本実施の形態2と同様であるため、説明を省略する。ステップS11では、分析受信部33がレスポンスに正当情報が含まれているか否かを分析する。分析受信部33は、不正情報がレスポンスに含まれている場合(S11ではNO)、生成部37または規定部39に不正情報を送信する。
【0095】
生成部37は、不正情報を受信し、不正なパラメータを含むリクエストを検出するために、不正情報に基づくシグネチャを生成する(S12)。判定部31は、生成されたシグネチャを記憶部35(第1の記憶部)に格納する。規定部39は、不正情報に基づいて不正なパラメータを含むリクエストを遮断する規定(ルール)を定義する(S13)。判定部31は、リクエストを遮断する規定を記憶部35に格納する(S14)。これにより、記憶部35には新たな規定が更新されることで、ウェブアプリケーションファイアウォール装置3の判定部31は、再度、同一のパラメータを含んだリクエストが送信された場合に、ウェブアプリケーション装置5に送ることなく遮断する。
【0096】
分析受信部33は、正当情報を検出した場合(S11ではYES)に、インターフェイス43を介してウェブクライアント9に、リクエストに対応するレスポンスを送信する(S15)。
【0097】
次に、図9における分析受信部33のステップS11、生成部37のステップS12、規定部39のステップS13、及び記憶部35に規定を保存するステップS14を、図10を用いて以下に説明する。
【0098】
図10は、実施の形態2の検知システム1を示す概念図である。
【0099】
図10に示すように、リクエストに含まれるパラメータがウェブアプリケーション装置5の制御部51(第2の制御部)で不正情報とされ、分析受信部33にこの不正情報が送信されている状態である。また、図1のウェブクライアント9からのログイン認証の失敗回数は、3回未満とする。ログイン認証が失敗すると、不正情報を含むレスポンスが分析受信部33に送信される。
【0100】
分析受信部33は、不正情報を含むレスポンスを受信し、レスポンスのヘッダの情報を分析する(S21)。分析受信部33が分析した情報は、不正情報のステップ(S22)と、正当情報のステップ(S23)とに分岐する。ステップS21が図9のステップS11に相当する。分析受信部33は、不正情報を生成部37に送信する。
【0101】
生成部37は、不正情報のステップから受信した場合(S22)に、不正情報に基づくシグネチャを生成する(S24)。ステップS24が図9のステップS12に相当する。生成部37は、生成したシグネチャを規定部39に送信する。シグネチャには、パラメータ、エラー状態、現在のログイン認証の失敗回数などが格納されている。規定部39は、生成部37で生成した不正情報に基づくシグネチャを定義する(S25)。制御部41(第1の制御部)は、規定部39が生成したこの規定を記憶部35(第1の記憶部)に格納する(S40)。
【0102】
レスポンスのヘッダの情報を分析(S21)で正当情報を含むレスポンスを受信した分析受信部33のステップS23の場合は、レスポンスのヘッダからログイン認証の結果を分析する(S31)。分析受信部33が分析したログイン認証の結果は、ウェブクライアント9からのログイン認証の許諾(S32)、ウェブクライアント9からのログイン認証の回数が3回以上となったことによるログイン認証の遮断(S33)、ログイン認証の失敗回数(S34)に分岐する。ステップS31も図9のステップS11に相当する。分析受信部33は、ログイン認証の許諾、ログイン認証の遮断、又はログイン認証の失敗回数のいずれかの結果を規定部39に送信する。
【0103】
規定部39は、分析受信部33から受信し、ログイン認証の許諾(S35)を含むか否かを判断する。ステップS25が図9のステップS13に相当する。規定部39には、ログイン認証の失敗回数が3回未満と設定されている(S36)。規定部39は、ログイン認証の失敗回数が3回未満か否かを判断する(S37)。
【0104】
ログイン認証の失敗回数が2回未満であれば(S37ではYES)、ログイン認証の失敗回数として1を追加し(S38)、制御部41がユーザのレスポンスに含まれるパラメータを記憶部35に格納する(S40)。ステップS40が図9のステップS14に相当する。制御部41は、ログイン認証の失敗について、ウェブクライアント9に送信する。
【0105】
また、ステップS38でログイン認証の失敗回数が3回となれば、次に行われるログイン認証でステップS31の分岐がステップS33のログイン認証の遮断となる。この場合、ステップS35〜ステップS37まで進み、ステップS37でNOとなる。制御部41は、ユーザのレスポンスに含まれるパラメータを遮断する規定を登録(S39)し、記憶部35に格納する(S40)。具体的には、ユーザのレスポンスに含まれるパラメータを遮断するために、フィルタリングするための規定を更新する(S40)。これにより、今後、3度目以降のユーザによるログイン認証は遮断される。制御部41は、ログイン認証の失敗について、ウェブクライアント9に送信する。
【0106】
規定部39は、ウェブクライアント9からのログイン認証が許諾である場合(S35ではYES)に、記憶部35の規定を更新する(S40)。また、例えば、正当情報を含むレスポンスにおいてログイン認証が1回目で成功した場合は、ステップS31の分岐がステップS32のログイン認証の許諾となり、ステップS35でYESとなる。そして、記憶部35に規定が更新される。なお、ログイン認証が1回目で成功した場合は、規定部39を介さずにステップS32でウェブクライアントにログイン認証の許諾のレスポンスを送信してもよい。
【0107】
なお、ログイン認証が許諾の場合には、記憶部35に格納されているログイン認証の失敗回数をクリアにするよう、記憶部35に信号を送信してもよい。そして、記憶部35は、失敗回数が0になった情報が更新させてもよい。
【0108】
実施の形態2においても、他の作用効果については、実施の形態1と同様の作用効果を奏する。
【0109】
(その他変形例等)
以上、本実施の形態に係る検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法について、実施の形態1、2に基づいて説明したが、本開示は、上記実施の形態1、2に限定されるものではない。
【0110】
図11は、検知システムにおけるウェブアプリケーション装置の制御部の判定を示す説明図である。図11に示すように、上記実施の形態1、2において、ウェブアプリケーション装置の仕様を変更してホワイトリストのパラメータを図6の場合よりもパラメータy3を追加した場合で、リクエストのパラメータがy1、y2の場合に、制御部の判定結果は、y3のパラメータが無いとされる。この場合でも、制御部は、レスポンスヘッダにy3のパラメータを正当情報として登録してもよい。
【0111】
なお、実施の形態1、2では、ブラックリストにパラメータが登録されても、このパラメータをブラックリストから削除(判定部によるフィルタリングの解除)することができてもよい。また、ホワイトリストについても、ホワイトリストを追加、変更等を行うことができてもよい。
【0112】
以上のように、本開示における技術の例示として、実施の形態1、2を説明した。そのために、添付図面および詳細な説明を提供した。
【0113】
したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。
【0114】
また、上述の実施の形態1、2は、本開示における技術を例示するためのものであるから、特許請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。
【産業上の利用可能性】
【0115】
本開示は、情報の送受信を行う、テレビ、冷蔵庫等の家電機器、車両等が備える検知システム等として有用である。
【符号の説明】
【0116】
1 検知システム
3 ウェブアプリケーションファイアウォール装置
5 ウェブアプリケーション装置
31 判定部
33 分析受信部
35 記憶部(第1の記憶部)
37 生成部
39 規定部
41 制御部(第1の制御部)
51 制御部(第2の制御部)
53 応答生成部
55 記憶部(第2の記憶部)
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11

【手続補正書】
【提出日】2018年7月23日
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、ネットワークからの攻撃を回避する、検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法に関する。
【背景技術】
【0002】
従来、通信情報監視装置では、予め設定されたチェックルールに基づいてクライアントからのリクエスト(リクエストメッセージ)のパラメータをチェックし、攻撃と判断してこのリクエストを排除する(例えば特許文献1参照)。
【0003】
また、マルウェア解析システムでは、マルウェア候補サンプル(不正なパラメータ)がマルウェアであると判定された場合にシグネチャを自動的に生成する(例えば特許文献2参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−4685号公報
【特許文献2】特開2014−519113号公報
【発明の概要】
【0005】
検知システムの一態様は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置と、を備える。ウェブアプリケーションファイアウォール装置は、ウェブクライアントから送られてきたリクエストを受信し、リクエストが正当か否かを判定する第1の制御部と、ウェブアプリケーション装置からリクエストに対応するレスポンスを受信して分析する分析受信部と、を有する。ウェブアプリケーション装置は、ウェブアプリケーションファイアウォール装置から送信されてくるリクエストを受信し、リクエストが正当か否かを判定する第2の制御部と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置にレスポンスを送信する応答生成部と、を有する。そして、リクエストに対するレスポンスは、リクエストが正当か否かの判定結果を含む。第1の制御部は、ウェブクライアントから送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部と、ウェブクライアントの不正なパラメータを含むリクエストをフィルタリングするためのデータを格納している第1の記憶部と、データを生成する生成部と、を備え、判定部は、分析受信部がレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、第1の記憶部に格納されているデータを更新してリクエストをフィルタリングすることにより、不正なパラメータを含むリクエストを遮断し、分析受信部は、レスポンスから不正情報を抽出した場合に、不正情報を生成部に送信し、生成部は、不正情報や不正なパラメータからデータを生成する。
【0006】
また、本開示の一態様に係るウェブアプリケーション装置は、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置であって、ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第2の制御部と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置にレスポンスを送信する応答生成部と、を有する。そして、応答生成部は、不正なパラメータであると第2の制御部が判定した場合に、不正なパラメータの情報である不正情報をレスポンスに格納し、正当なパラメータであると第2の制御部が判定した場合に、正当なパラメータの情報である正当情報をレスポンスに格納し、応答生成部は、不正情報を含むレスポンス又は正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置に送信する。
【0007】
また、本開示の一態様に係るウェブアプリケーションファイアウォール装置は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置であって、ウェブクライアントから送られてきたリクエストを受信し、リクエストが正当か否かを判定する第1の制御部と、ウェブアプリケーション装置からレスポンスを受信して分析する分析受信部と、前記ウェブクライアントのリクエストを遮断するためのデータを格納している第1の記憶部と、を備える。そして、第1の制御部は、ウェブクライアントから送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部と、リクエストから不正なパラメータを遮断するシグネチャを生成する生成部と、シグネチャから不正なパラメータを遮断する規定を第1の記憶部に格納する規定部と、を有する。さらに、分析受信部は、ウェブアプリケーションから送られてきたレスポンスに不正情報が含まれていた場合、不正情報を生成部に送信する。
【0008】
また、本開示の一態様に係る検知システムにおける検知方法は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置とを備える検知システムにおける検知方法であって、ウェブアプリケーションファイアウォール装置において、ウェブクライアントから送られてきたパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第1判定ステップと、ウェブアプリケーション装置からリクエストに対応するレスポンスを受信して分析する分析受信ステップと、を含む。第1判定ステップでは、分析受信ステップでレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、パラメータをフィルタリングするためのデータを更新する。検知システムにおける検知方法は、さらに、ウェブアプリケーション装置において、ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第2判定ステップと、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置にレスポンスを送信する応答生成ステップとを含む。応答生成ステップでは、不正情報を含むレスポンス又は正当なパラメータの情報である正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置に送信する。
【0009】
また、本開示の一態様に係るウェブアプリケーション装置の検知方法は、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置を備える検知システムにおける検知方法であって、ウェブアプリケーション装置からウェブアプリケーションファイアウォール装置へリクエストをフィルタリングするための情報をヘッダに含むレスポンスを送信する。
【0010】
また、本開示の一態様に係るウェブアプリケーションファイアウォール装置の検知方法は、ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置の検知方法であって、リクエストをフィルタリングするための情報をヘッダに含むレスポンスをウェブアプリケーション装置から受信して分析する分析受信部が、レスポンスから不正なパラメータの情報である不正情報を抽出した場合に、リクエストをフィルタリングするためのデータを更新する。
【0011】
ウェブアプリケーションファイアウォール装置では、リクエストを発行したウェブクライアントをフィルタリングするため、ウェブアプリケーション装置からウェブアプリケーションファイアウォール装置へ送信する情報として、少なくともIPアドレスまたはウェブクライアントを一意に特定する識別子を利用する。ウェブクライアントを一意に特定する識別子は、ウェブクライアント自身が内部ファームウェアに内包するIDであってもよく、ウェブクライアントに対して、ウェブサーバが一意に割り当てるIDであってもよく、ウェブクライアントからのログイン情報に基づいてウェブサーバが一意に割り当てるセッションIDであってもよい。
【0012】
本開示によれば、上述した判定、生成、分析が、継続的かつ速やかに実現でき、サーバセキュリティが安定して確保できる。また、未知の攻撃であってもその攻撃を未然に防ぐことができる。また、正当なパラメータを有するリクエストを誤って遮断することを防止することができる。さらに、システム構築に費やすコストを低廉化することができる。
【図面の簡単な説明】
【0013】
図1図1は、実施の形態1の検知システムを示すブロック図である。
図2図2は、実施の形態1の検知システムを示す説明図である。
図3図3は、実施の形態1の検知システムにおけるウェブアプリケーションファイアウォール装置を示すブロック図である。
図4図4は、実施の形態1の検知システムにおけるウェブアプリケーション装置を示すブロック図である。
図5図5は、実施の形態1の検知システムにおける動作を示すシーケンス図である。
図6図6は、実施の形態1の検知システムにおけるウェブアプリケーション装置の制御部の判定を示す説明図である。
図7図7は、実施の形態2の検知システムにおけるウェブアプリケーションファイアウォール装置を示すブロック図である。
図8図8は、実施の形態2の検知システムを示す説明図である。
図9図9は、実施の形態2の検知システムにおける動作を示すシーケンス図である。
図10図10は、実施の形態2の検知システムを示す概念図である。
図11図11は、検知システムにおけるウェブアプリケーション装置の制御部の判定を示す説明図である。
【発明を実施するための形態】
【0014】
(発明の基礎となった知見)
インターネット等のネットワークを介したサービスの提供として、例えば、ウェブアプリケーション装置がある。ウェブクライアントは、サービスを利用する場合に、ネットワークを介してウェブアプリケーション装置にリクエストを送信する。そして、ウェブアプリケーション装置はこのリクエストに対してレスポンスをウェブクライアントに送信する。
【0015】
ウェブクライアントからウェブアプリケーション装置の脆弱性を悪用した不正なパラメータを含んだリクエストが送信されてくる場合には、ウェブアプリケーション装置に影響を与え、これが誤動作等を行うことがある。このため、ウェブアプリケーションファイアウォール装置を介し、リクエストに含まれる不正なパラメータを遮断してウェブアプリケーション装置を保護している。
【0016】
従来、ウェブアプリケーションファイアウォール装置では、正当なパラメータを装う攻撃として、SQLインジェクション、DDos攻撃(Distributed Denial of Service attack攻撃)等の攻撃パターンをブロックすることが知られている。
【0017】
ウェブアプリケーションファイアウォール装置において、攻撃か否かの判断方法には、ブラックリスト方式とホワイトリスト方式とが知られている。
【0018】
ブラックリスト方式は、ウェブアプリケーションファイアウォール装置に予め格納されている不当(実行不可能)なパラメータの情報であるブラックリストと、リクエストのパラメータとを照合し、照合が一致した場合に、リクエストを遮断することで、攻撃を未然に防止する方式である。このブラックリスト方式では、予め格納されているデータを定期的に更新しないと、このデータに記載されていない未知の攻撃を受けてしまうという課題がある。また、ブラックリストを定期的に更新したとしても、攻撃パターンの調査等による負担が増加するという課題もある。
【0019】
一方、ホワイトリスト方式では、ウェブアプリケーションファイアウォール装置に予め格納されている正当(実行可能)なパラメータの情報であるホワイトリストと、リクエストのパラメータとを照合し、照合が一致した場合以外は、不正なパラメータと判定する。このホワイトリスト方式では、ブラックリスト方式よりもセキュリティの強度が高いといえるが、パラメータごとにホワイトリストを定義することが困難であり、運用負担が大きくなるという課題がある。こうしたことから現在では、ブラックリスト方式が主流となっている。
【0020】
しかしながら、従来のブラックリスト方式を用いたウェブアプリケーションファイアウォール装置では、ブラックリストとして予め格納されていない未知の攻撃(最初の攻撃)防ぐことができない。また、リクエストが正当なパラメータを含んでいても、リクエストを誤って遮断(誤検出)してしまうという問題も生じている。
【0021】
このため、未知の攻撃であっても、その攻撃を未然に防ぐことができたり、正当なパラメータを有するリクエストを誤って遮断することを防止することができたり、システム構築に費やすコストを低廉化することができたりすることが求められている。
【0022】
そこで、上記のような課題から検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法を検討した。
【0023】
以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。
【0024】
なお、発明者らは、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって特許請求の範囲に記載の主題を限定することを意図するものではない。
【0025】
なお、各図は、必ずしも厳密に図示されたものではない。また、各図において、実質的に同一の構成に対しては同一の符号を付しており、重複する説明は省略又は簡略化する。
【0026】
(実施の形態1)
ここでは、本開示の実施の形態1として、本開示に関わる検知システム1について図面を参照しながら説明する。
【0027】
(検知システム全体の構成)
図1は、実施の形態1の検知システム1を示すブロック図である。
【0028】
図1に示すように、検知システム1は、ウェブアプリケーションファイアウォール装置3と、ウェブアプリケーション装置5とを備えている。ウェブアプリケーションファイアウォール装置3及びウェブアプリケーション装置5は、例えば、情報処理装置を用いて実現することができる。
【0029】
ウェブアプリケーションファイアウォール装置3は、ウェブアプリケーション装置5に対する攻撃を防ぐために、ウェブクライアント9からのリクエストに含まれるパラメータをフィルタリングする。ウェブアプリケーションファイアウォール装置3は、通信部を介してインターネットなどのネットワーク7に接続されて、ネットワーク7を介してウェブクライアント9に接続されている。リクエストに含まれるパラメータは、例えば、セキュリティID、セキュリティIDを含むCookieなどである。
【0030】
図2は、実施の形態1の検知システム1を示す説明図である。
【0031】
図2に示すように、図1のウェブクライアント9からのリクエストは、図1のネットワーク7を介してウェブアプリケーションファイアウォール装置3でフィルタリングされる。ウェブアプリケーションファイアウォール装置3でフィルタリングされたリクエストは、ウェブアプリケーション装置5に送信される。ウェブアプリケーション装置5は、リクエストに対するレスポンスをウェブアプリケーションファイアウォール装置3に送信する。ウェブアプリケーションファイアウォール装置3は、図1のネットワーク7を介して図1のウェブクライアント9にレスポンスを送信する。実線の矢印で示すように、ウェブアプリケーション装置5がリクエストに含まれる不正なパラメータを検出した場合は、今後、不正なパラメータを含むリクエストを遮断するために、ウェブアプリケーションファイアウォール装置3の記憶部35(第1の記憶部)に、不正なパラメータの情報である不正情報をフィードバックする。つまり、不正情報をブラックリストに登録し、ブラックリストを更新する。なお、リクエスト及びレスポンスは、HTTP通信を用いて送信される。
【0032】
ウェブアプリケーションファイアウォール装置3は、ブラックリストに登録する不正情報として、少なくともIPアドレス、またはウェブクライアント9を一意に特定する識別子を利用する。ウェブクライアント9を一意に特定する識別子は、ウェブクライアント9自身が内部ファームウェアに内包するIDであってもよく、ウェブクライアント9に対してウェブサーバが一意に割り当てるIDであってもよく、ウェブクライアント9からのログイン情報に基づいてウェブサーバが一意に割り当てるセッションIDであってもよい。
【0033】
(ウェブアプリケーションファイアウォール装置の構成)
図3は、実施の形態1の検知システム1におけるウェブアプリケーションファイアウォール装置3を示すブロック図である。
【0034】
図3に示すように、ウェブアプリケーションファイアウォール装置3は、分析受信部33、記憶部35(第1の記憶部)、制御部41(第1の制御部)及びインターフェイス43を有している。また、制御部41は、判定部31、生成部37、規定部39を備えている。
【0035】
判定部31は、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信する。判定部31は、メソッドやURIなどのリクエストライン、ジェネラルヘッダやリクエストヘッダ等のヘッダ等を検査する。判定部31は、リクエストが不正なパラメータを含むか否かを判定する。言い換えれば、判定部31は、記憶部35に格納されているブラックリストとリクエストのパラメータとが一致するか否かを判定する。判定部31は、分析受信部33がレスポンスから不正情報を抽出した場合に、記憶部35に格納されているパラメータをフィルタリングするためのデータを更新(規定部39が生成した後述する規定を更新)する。
【0036】
分析受信部33は、リクエストに対応するレスポンスを行うウェブアプリケーション装置5からレスポンスを受信し、レスポンスに含まれる情報が不正情報か正当なパラメータの情報である正当情報かを分析する。分析受信部33は、例えば、レスポンスのステータスコード、レスポンスヘッダ等の分析である。分析受信部33は、レスポンスから不正情報が抽出された場合に、不正情報を生成部37に送信する。一方、分析受信部33は、レスポンスから正当情報を抽出した場合に、正当情報を含むレスポンスがインターフェイス43を介してウェブクライアント9に送信される。
【0037】
記憶部35は、例えば、HDD(Hard disk drive)などの不揮発性記録媒体により実現される。記憶部35は、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している。記憶部35のデータは、不正なパラメータといったブラックリストや、不正なパラメータを含むリクエストを遮断する規定(ルール)や、遮断することとなったエラーログなどである。このエラーログは、後に、記憶部35に格納されているエラーの解析がなされる。
【0038】
生成部37は、判定部31でエラー処理されたパラメータや不正情報から不正なパラメータを遮断するシグネチャを生成する。
【0039】
規定部39は、不正なパラメータを含むリクエストを検出するために、シグネチャから不正なパラメータを含むリクエストを遮断する規定(ルール)を定義する。
【0040】
制御部41は、この規定を更新し、記憶部35に格納する。制御部41は、CPU、メインメモリ等が格納されている制御回路である。メインメモリは、例えば、DRAM(Dynamic Random Access Memory)等の記憶媒体である。
【0041】
(ウェブアプリケーション装置の構成)
図4は、実施の形態1の検知システム1におけるウェブアプリケーション装置5を示すブロック図である。
【0042】
図4に示すように、ウェブアプリケーション装置5は、フィルタリングされたリクエストに対応するHTTPレスポンスをウェブアプリケーションファイアウォール装置3に送信する。ウェブアプリケーション装置5は、制御部51(第2の制御部)、応答生成部53及び記憶部55(第2の記憶部)を有している。
【0043】
制御部51は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する。言い換えれば、制御部51は、記憶部55に格納されているホワイトリストとリクエストのパラメータとが一致するか否かを判定する。記憶部55は、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している。ウェブアプリケーション装置5における記憶部55のデータは、正当なパラメータといったホワイトリストなどである。なお、記憶部55は、制御部51内に備わっていてもよい。
【0044】
制御部51は、ホワイトリストとリクエストのパラメータとが一致しないと判定した場合に、検出された不正情報をレスポンスのヘッダに登録する。不正情報は、ログイン認証失敗回数、検出日時、選択した処理方法、接続元IPアドレス、接続先URL、不正だと判定したヘッダ等である。
【0045】
また、制御部51は、ホワイトリストとリクエストのパラメータとが一致する場合に、検出された正当なパラメータに関する情報である正当情報をレスポンスのヘッダに登録する。
【0046】
応答生成部53は、不正情報を含むレスポンス及び正当情報を含むレスポンスを選択的に生成してウェブアプリケーションファイアウォール装置3に送信する。つまり、応答生成部53は、不正情報を含むレスポンス又は正当情報を含むレスポンス(リクエストに対応するレスポンス)を生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する。応答生成部53は、不正なパラメータであると制御部51が判定した場合に、不正情報を含むレスポンスを生成し、正当なパラメータであると制御部51が判定した場合に、正当情報を含むレスポンスを生成する。
【0047】
[動作]
以上のように構成された検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法について、その動作を以下に説明する。
【0048】
図5は、実施の形態1の検知システム1における動作を示すシーケンス図である。図6は、実施の形態1の検知システム1におけるウェブアプリケーション装置5の制御部51の判定を示す説明図である。
【0049】
図1及び図5に示すように、ウェブアプリケーションファイアウォール装置3は、ウェブクライアント9からのリクエストを受信する。ウェブアプリケーションファイアウォール装置3の判定部31は、このリクエストのパラメータと記憶部35(第1の記憶部)に格納されているブラックリストとが一致するか否かを判定する(第1判定ステップS1)。
【0050】
判定部31は、このリクエストのパラメータと記憶部35に格納されているブラックリストとが一致する場合(S1ではYES)に、エラーとして処理されたパラメータ(不正なパラメータ)をエラーログとして記憶部35に格納する(S2)。なお、不正なパラメータについて、記憶部35に格納されているエラーの解析がなされる(S3)。
【0051】
なお、ウェブアプリケーションファイアウォール装置3では、ステップS1でYESの場合に、検出された不正なパラメータが検出されたことをウェブクライアント9にエラーを通知してもよい。そして、分析受信部33は、エラーの通知をウェブクライアント9に送信してもよい。
【0052】
判定部31は、このリクエストのパラメータと記憶部35に格納されているブラックリストとが一致しない場合(S1ではNO)に、ウェブアプリケーションファイアウォール装置3がパラメータを含むリクエストを、ウェブアプリケーション装置5に送信する(S4)。つまり、ウェブアプリケーションファイアウォール装置3では、判定部31がブラックリスト方式を採用している。
【0053】
次に、制御部51は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信する。制御部51は、リクエストが正当なパラメータを含むか否かを判定する(第2判定ステップS5)。言い換えれば、制御部51は、ホワイトリストとリクエストのパラメータとが一致するか否かを判定する。
【0054】
制御部51は、リクエストのパラメータと記憶部55(第2の記憶部)に格納されているホワイトリストと、が一致しない場合(S5ではNO)に、どのパラメータで一致しないとされたのか等の情報を後に判断するために、障害切り分けを行う(S6)。制御部51は、障害切り分けされた不正なパラメータの情報である不正情報を登録する(S7)。
【0055】
例えば、図6に示すように、ホワイトリストのパラメータを(x1、x2)とし、リクエストのパラメータを(x1、x2、x3)とした場合に、その判定結果は、x1=正当、x2=正当、x3=不正となる。レスポンスのヘッダには、ありえないパラメータであるx3が存在することを不正情報として登録する。そして、図5に示すように、制御部51は、応答生成部53に不正情報を含むレスポンスを送信する。
【0056】
応答生成部53は、不正情報を含んだレスポンスを生成する(応答生成ステップS8)。応答生成部53は、ウェブアプリケーションファイアウォール装置3の分析受信部33に不正情報を含んだレスポンス送信する(S9、ウェブアプリケーション装置5の検知方法)。
【0057】
制御部51は、リクエストのパラメータと記憶部55に格納されているホワイトリストとが一致する場合(S5ではYES)に、正当なパラメータの情報である正当情報として扱う。つまり、このウェブアプリケーション装置5では、制御部51がホワイトリスト方式を採用している。
【0058】
例えば、図6に示すように、ホワイトリストのパラメータを(y1、y2)とし、リクエストのパラメータを(y1、y2)とした場合に、その判定結果は、y1=正当、y2=正当となる。レスポンスのヘッダには、パラメータ(y1、y2)を含むリクエストを正当情報として登録する(図5のS10)。そして、図5に示すように、制御部51は、応答生成部53に正当情報を含むレスポンスを送信する。
【0059】
応答生成部53は、正当情報を含んだレスポンスを生成する(応答生成ステップS8)。応答生成部53は、ウェブアプリケーションファイアウォール装置3の分析受信部33に正当情報を送信する(S9、ウェブアプリケーション装置5の検知方法)。
【0060】
分析受信部33は、応答生成部53からレスポンスを受信する。分析受信部33は、レスポンスに正当情報が含まれているか否かを分析する(S11、分析受信ステップ)。分析受信部33は、正当情報が含まれていない場合(S11ではNO)、つまり、不正情報がレスポンスに含まれている場合に、生成部37に不正情報を送信する。
【0061】
図1及び図5に示すように、生成部37は、ウェブクライアント9から不正なパラメータを含むリクエストをフィルタリングするために、不正情報に基づくシグネチャを生成する(S12)。また、生成部37は、ステップS3のエラーに基づいて生成部がシグネチャを生成したりもする。生成部37は、生成したシグネチャを規定部39に送信する。
【0062】
規定部39は、シグネチャに基づいて不正なパラメータを含むリクエストを遮断する規定(ルール)を定義する(S13)。判定部31は、リクエストを遮断する規定を記憶部35に格納する(S14、ウェブアプリケーションファイアウォール装置3の検知方法)。つまり、記憶部35に新たな規定が更新されることで、ウェブアプリケーションファイアウォール装置3の判定部31は、同一のパラメータを含んだリクエストを今後遮断する。
【0063】
なお、判定部31は、検出された不正なパラメータが検出されたことをウェブクライアント9にエラーを通知してもよい。そして、エラーの通知をウェブクライアント9に送信してもよい。また、なお、分析受信部33は、不正情報を検出した場合に、ウェブクライアント9にレスポンスを送信しない遮断処理を行ってもよい。
【0064】
分析受信部33は、正当情報を検出した場合(S12ではYES)に、インターフェイス43を介してウェブクライアント9に、リクエストに対応するレスポンスを送信する(S15)。
【0065】
[作用効果]
次に、本実施の形態に係る検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法の作用効果について説明する。
【0066】
上述したように、本実施の形態に係る検知システム1では、ウェブクライアント9からのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置3と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置5とを備えている。ウェブアプリケーションファイアウォール装置3は、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部31と、ウェブアプリケーション装置5からリクエストに対応するレスポンスを受信して分析する分析受信部33とを有している。ウェブアプリケーション装置5は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する制御部51と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する応答生成部53とを有している。判定部31は、分析受信部33がレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、パラメータをフィルタリングするためのデータを更新する。応答生成部53は、不正情報を含むレスポンス及び正当なパラメータの情報である正当情報を含むレスポンスを選択的に生成してウェブアプリケーションファイアウォール装置3に送信する。
【0067】
この構成によれば、判定部31が不正なパラメータを遮断し、制御部51が正当なパラメータを許容することができている。判定部31は、制御部51が抽出した正当なパラメータ以外のパラメータをフィルタリングするためのデータを更新することができている。これにより、ウェブアプリケーション装置5におけるホワイトリスト以外のパラメータを不正情報とし、この不正情報をウェブアプリケーションファイアウォール装置3のブラックリストに追加することができている。また、正当なパラメータを有するリクエストは、判定部31及び制御部51を通過してこのリクエストに対応するレスポンスをウェブクライアント9に送信することができている。
【0068】
また、この検知システム1では、仮想マシン上や解析用の物理マシン上に、ヒューリスティックエンジンを搭載した攻撃を検出する専用の装置を必要とすることもなく、システム構築に費やすコストが増大し難い。
【0069】
したがって、未知の攻撃であってもその攻撃を未然に防ぐことができる。また、正当なパラメータを有するリクエストを遮断することを防止することができる。さらに、システム構築に費やすコストを低廉化することができる。
【0070】
また、本実施の形態に係る検知システム1において、ウェブアプリケーションファイアウォール装置3は、さらに、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している記憶部35と、データを生成する生成部37とを有している。また、分析受信部33は、レスポンスから不正情報を抽出した場合に、不正情報を生成部37に送信する。そして、判定部31は、記憶部35に格納されているデータを更新してリクエストをフィルタリングすることにより、不正なパラメータを含むリクエストを遮断する。
【0071】
この構成によれば、ウェブアプリケーションファイアウォール装置3とウェブアプリケーション装置5とが連携してシグネチャを自動で更新することができる。シグネチャが自動で更新されていくことで、リクエストを遮断するデータに簡易に反映することができる。
【0072】
上述したように、本実施の形態に係るウェブアプリケーション装置5では、フィルタリングされたリクエストに対応するレスポンスを送信する。ウェブアプリケーション装置5は、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する制御部51と、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する応答生成部53とを有している。応答生成部53は、不正なパラメータであると制御部51が判定した場合に、不正なパラメータの情報である不正情報をレスポンスに格納する。応答生成部53は、正当なパラメータであると制御部51が判定した場合に、正当なパラメータの情報である正当情報をレスポンスに格納する。応答生成部53は、不正情報を含むレスポンス又は正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置3に送信する。
【0073】
この構成によれば、正当なパラメータの情報である正当情報と、正当なパラメータ以外のパラメータを不正なパラメータの情報である不正情報とに振り分けて、ウェブアプリケーションファイアウォール装置3にフィードバックすることができる。
【0074】
上述したように、本実施の形態に係るウェブアプリケーションファイアウォール装置3では、ウェブクライアント9からのリクエストをフィルタリングする。ウェブアプリケーションファイアウォール装置3は、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信し、リクエストが不正なパラメータを含むか否かを判定する判定部31と、ウェブアプリケーション装置5からレスポンスを受信して分析する分析受信部33と、ウェブクライアント9の不正なパラメータを含むリクエストを遮断するためのデータを格納している記憶部35と、リクエストから不正なパラメータを遮断するシグネチャを生成する生成部37と、シグネチャから不正なパラメータを遮断する規定を記憶部35に格納する規定部39と、を有している。分析受信部33は、不正なパラメータが抽出された場合に、不正なパラメータを生成部37に送信する。
【0075】
この構成によれば、ウェブアプリケーションファイアウォール装置3とウェブアプリケーション装置5とが連携してこの規定を自動で更新することができる。ウェブアプリケーションファイアウォール装置3では、この規定が自動で更新されていくことで、リクエストを遮断するデータに簡易に反映することができる。このため、再度、不正なパラメータを含むリクエストがあってもウェブアプリケーションファイアウォール装置3で遮断することができる。その結果、ウェブアプリケーションファイアウォール装置3のフィルタリングを強化することができる。
【0076】
特に、ウェブアプリケーションファイアウォール装置3では、ウェブアプリケーション装置5の仕様に変更が生じても、この規定を自動で更新することができるため、柔軟な対応を行うことができる。
【0077】
上述したように、本実施の形態に係る検知システム1における検知方法では、ウェブクライアント9からのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置3と、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置5とを備える。ウェブアプリケーションファイアウォール装置3において、ウェブクライアント9から送られてきたパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する判定ステップと、ウェブアプリケーション装置5からリクエストに対応するレスポンスを受信して分析する分析受信ステップとを含んでいる。第1判定ステップでは、分析受信部33がレスポンスから不正なパラメータの情報である不正情報を抽出した場合に、パラメータをフィルタリングするためのデータを更新する。検知システム1における検知方法は、さらに、ウェブアプリケーション装置5において、ウェブアプリケーションファイアウォール装置3から送信されてくるパラメータを含むリクエストを受信し、リクエストが正当なパラメータを含むか否かを判定する第2判定ステップと、リクエストに対応するレスポンスを生成し、ウェブアプリケーションファイアウォール装置3にレスポンスを送信する応答生成ステップとを含む。応答生成ステップでは、不正情報を含むレスポンス又は正当なパラメータの情報である正当情報を含むレスポンスを生成してウェブアプリケーションファイアウォール装置3に送信する。
【0078】
この方法によれば、判定部31が不正なパラメータを遮断し、制御部51が正当なパラメータを許容する。判定部31は、制御部51が抽出した正当なパラメータ以外のパラメータをフィルタリングするためのデータを更新する。これにより、ウェブアプリケーション装置におけるホワイトリスト以外のパラメータを不正情報とし、この不正情報をウェブアプリケーションファイアウォール装置3のブラックリストに追加する。また、正当なパラメータを有するリクエストは、判定部31及び制御部51を通過してこのリクエストに対応するレスポンスをウェブクライアント9に送信する。
【0079】
また、この検知システム1では、仮想マシン上や解析用の物理マシン上に、ヒューリスティックエンジンを搭載した攻撃を検出する専用の装置を必要とすることもなく、システム構築に費やすコストが増大し難い。
【0080】
したがって、未知の攻撃であってもその攻撃を未然に防ぐことができる。また、正当なパラメータを有するリクエストを遮断することを防止することができる。さらに、システム構築に費やすコストを低廉化することができる。
【0081】
上述したように、本実施の形態に係るウェブアプリケーション装置5の検知方法では、フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置5を備える。ウェブアプリケーション装置5の検知方法は、ウェブアプリケーション装置5からウェブアプリケーションファイアウォール装置3へリクエストをフィルタリングするための情報をヘッダに含むレスポンスを送信する。
【0082】
この方法によれば、フィルタリングを行う情報をウェブアプリケーションファイアウォール装置3にフィードバックすることができる。このため、未知の攻撃であってもその攻撃を未然に防ぐことができる。
【0083】
上述したように、本実施の形態に係るウェブアプリケーションファイアウォール装置3の検知方法では、ウェブクライアントからのリクエストをフィルタリングする。この検知方法では、リクエストをフィルタリングするための情報をヘッダに含むレスポンスをウェブアプリケーション装置5から受信して分析する分析受信部33が、レスポンスから不正なパラメータの情報である不正情報を抽出した場合に、リクエストをフィルタリングするためのデータを更新する。
【0084】
この方法によれば、ウェブアプリケーション装置5から受信したレスポンスを分析受信部33が分析し、不正情報を抽出してリクエストをフィルタリングするためのデータを更新する。このため、リクエストを遮断する規定を簡易に反映することができる。
【0085】
(実施の形態2)
次に、本開示の実施の形態2として、本開示に関わる検知システム1について図7及び図8を参照しながら説明する。
【0086】
[構成]
図7は、実施の形態2の検知システム1におけるウェブアプリケーションファイアウォール装置3を示すブロック図である。図8は、実施の形態2の検知システム1を示す説明図である。
【0087】
図7に示すように、この検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法における他の構成は、実施の形態1の検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法と同様であり、同一の構成については同一の符号を付して構成に関する詳細な説明を省略する。
【0088】
実施の形態1の検知システム1では分析受信部33が不正情報を生成部37に送信するが、実施の形態2の検知システム1では分析受信部33が不正情報を生成部37または規定部39に送信する点で異なっている。
【0089】
図8に示すように、本開示の実施の形態2の検知システム1では、図1のウェブクライアント9がログイン認証のリクエストを送信してきた場合に、ウェブアプリケーションファイアウォール装置3がログイン認証のリクエストに含まれるパラメータをフィルタリングする。このパラメータは、Cookieに登録されている。ウェブアプリケーションファイアウォール装置3は、ログイン認証のリクエストをウェブアプリケーション装置5に送信する。ウェブアプリケーション装置5は、ログイン認証の失敗回数をカウントしてCookieに登録し、Cookieを含むレスポンスをウェブアプリケーションファイアウォール装置3に送信する。ウェブアプリケーションファイアウォール装置3は、図1のウェブクライアント9にレスポンスを送信する。
【0090】
ウェブアプリケーションファイアウォール装置3は、ログイン認証の失敗回数が所定の回数以上となると、ウェブクライアント9のリクエストをウェブアプリケーションファイアウォール装置3が遮断する。ウェブアプリケーションファイアウォール装置3は、ブラックリストに登録する不正情報を記憶部35に格納し、この図1のウェブクライアント9のリクエストを遮断する。
【0091】
また、ログイン認証の失敗回数が所定の回数未満でログイン認証が成功した場合は、リクエストに対応するレスポンスを図1のウェブクライアント9に送信する。
【0092】
[動作]
以上のように構成された検知システム1、ウェブアプリケーション装置5、ウェブアプリケーションファイアウォール装置3、検知システム1における検知方法、ウェブアプリケーション装置5の検知方法及びウェブアプリケーションファイアウォール装置3の検知方法について、その動作を以下に説明する。
【0093】
図9は、実施の形態2の検知システム1における動作を示すシーケンス図である。
【0094】
図9に示すように、実施の形態1の検知システム1とステップS1〜ステップS10のフローについては、本実施の形態2と同様であるため、説明を省略する。ステップS11では、分析受信部33がレスポンスに正当情報が含まれているか否かを分析する。分析受信部33は、不正情報がレスポンスに含まれている場合(S11ではNO)、生成部37または規定部39に不正情報を送信する。
【0095】
生成部37は、不正情報を受信し、不正なパラメータを含むリクエストを検出するために、不正情報に基づくシグネチャを生成する(S12)。判定部31は、生成されたシグネチャを記憶部35(第1の記憶部)に格納する。規定部39は、不正情報に基づいて不正なパラメータを含むリクエストを遮断する規定(ルール)を定義する(S13)。判定部31は、リクエストを遮断する規定を記憶部35に格納する(S14)。これにより、記憶部35には新たな規定が更新されることで、ウェブアプリケーションファイアウォール装置3の判定部31は、再度、同一のパラメータを含んだリクエストが送信された場合に、ウェブアプリケーション装置5に送ることなく遮断する。
【0096】
分析受信部33は、正当情報を検出した場合(S11ではYES)に、インターフェイス43を介してウェブクライアント9に、リクエストに対応するレスポンスを送信する(S15)。
【0097】
次に、図9における分析受信部33のステップS11、生成部37のステップS12、規定部39のステップS13、及び記憶部35に規定を保存するステップS14を、図10を用いて以下に説明する。
【0098】
図10は、実施の形態2の検知システム1を示す概念図である。
【0099】
図10に示すように、リクエストに含まれるパラメータがウェブアプリケーション装置5の制御部51(第2の制御部)で不正情報とされ、分析受信部33にこの不正情報が送信されている状態である。また、図1のウェブクライアント9からのログイン認証の失敗回数は、3回未満とする。ログイン認証が失敗すると、不正情報を含むレスポンスが分析受信部33に送信される。
【0100】
分析受信部33は、不正情報を含むレスポンスを受信し、レスポンスのヘッダの情報を分析する(S21)。分析受信部33が分析した情報は、不正情報のステップ(S22)と、正当情報のステップ(S23)とに分岐する。ステップS21が図9のステップS11に相当する。分析受信部33は、不正情報を生成部37に送信する。
【0101】
生成部37は、不正情報のステップから受信した場合(S22)に、不正情報に基づくシグネチャを生成する(S24)。ステップS24が図9のステップS12に相当する。生成部37は、生成したシグネチャを規定部39に送信する。シグネチャには、パラメータ、エラー状態、現在のログイン認証の失敗回数などが格納されている。規定部39は、生成部37で生成した不正情報に基づくシグネチャを定義する(S25)。制御部41(第1の制御部)は、規定部39が生成したこの規定を記憶部35(第1の記憶部)に格納する(S40)。
【0102】
レスポンスのヘッダの情報を分析(S21)で正当情報を含むレスポンスを受信した分析受信部33のステップS23の場合は、レスポンスのヘッダからログイン認証の結果を分析する(S31)。分析受信部33が分析したログイン認証の結果は、ウェブクライアント9からのログイン認証の許諾(S32)、ウェブクライアント9からのログイン認証の回数が3回以上となったことによるログイン認証の遮断(S33)、ログイン認証の失敗回数(S34)に分岐する。ステップS31も図9のステップS11に相当する。分析受信部33は、ログイン認証の許諾、ログイン認証の遮断、又はログイン認証の失敗回数のいずれかの結果を規定部39に送信する。
【0103】
規定部39は、分析受信部33から受信し、ログイン認証の許諾(S35)を含むか否かを判断する。ステップS25が図9のステップS13に相当する。規定部39には、ログイン認証の失敗回数が3回未満と設定されている(S36)。規定部39は、ログイン認証の失敗回数が3回未満か否かを判断する(S37)。
【0104】
ログイン認証の失敗回数が2回未満であれば(S37ではYES)、ログイン認証の失敗回数として1を追加し(S38)、制御部41がユーザのレスポンスに含まれるパラメータを記憶部35に格納する(S40)。ステップS40が図9のステップS14に相当する。制御部41は、ログイン認証の失敗について、ウェブクライアント9に送信する。
【0105】
また、ステップS38でログイン認証の失敗回数が3回となれば、次に行われるログイン認証でステップS31の分岐がステップS33のログイン認証の遮断となる。この場合、ステップS35〜ステップS37まで進み、ステップS37でNOとなる。制御部41は、ユーザのレスポンスに含まれるパラメータを遮断する規定を登録(S39)し、記憶部35に格納する(S40)。具体的には、ユーザのレスポンスに含まれるパラメータを遮断するために、フィルタリングするための規定を更新する(S40)。これにより、今後、3度目以降のユーザによるログイン認証は遮断される。制御部41は、ログイン認証の失敗について、ウェブクライアント9に送信する。
【0106】
規定部39は、ウェブクライアント9からのログイン認証が許諾である場合(S35ではYES)に、記憶部35の規定を更新する(S40)。また、例えば、正当情報を含むレスポンスにおいてログイン認証が1回目で成功した場合は、ステップS31の分岐がステップS32のログイン認証の許諾となり、ステップS35でYESとなる。そして、記憶部35に規定が更新される。なお、ログイン認証が1回目で成功した場合は、規定部39を介さずにステップS32でウェブクライアントにログイン認証の許諾のレスポンスを送信してもよい。
【0107】
なお、ログイン認証が許諾の場合には、記憶部35に格納されているログイン認証の失敗回数をクリアにするよう、記憶部35に信号を送信してもよい。そして、記憶部35は、失敗回数が0になった情報が更新させてもよい。
【0108】
実施の形態2においても、他の作用効果については、実施の形態1と同様の作用効果を奏する。
【0109】
(その他変形例等)
以上、本実施の形態に係る検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法について、実施の形態1、2に基づいて説明したが、本開示は、上記実施の形態1、2に限定されるものではない。
【0110】
図11は、検知システムにおけるウェブアプリケーション装置の制御部の判定を示す説明図である。図11に示すように、上記実施の形態1、2において、ウェブアプリケーション装置の仕様を変更してホワイトリストのパラメータを図6の場合よりもパラメータy3を追加した場合で、リクエストのパラメータがy1、y2の場合に、制御部の判定結果は、y3のパラメータが無いとされる。この場合でも、制御部は、レスポンスヘッダにy3のパラメータを正当情報として登録してもよい。
【0111】
なお、実施の形態1、2では、ブラックリストにパラメータが登録されても、このパラメータをブラックリストから削除(判定部によるフィルタリングの解除)することができてもよい。また、ホワイトリストについても、ホワイトリストを追加、変更等を行うことができてもよい。
【0112】
以上のように、本開示における技術の例示として、実施の形態1、2を説明した。そのために、添付図面および詳細な説明を提供した。
【0113】
したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。
【0114】
また、上述の実施の形態1、2は、本開示における技術を例示するためのものであるから、特許請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。
【産業上の利用可能性】
【0115】
本開示は、情報の送受信を行う、テレビ、冷蔵庫等の家電機器、車両等が備える検知システム等として有用である。
【符号の説明】
【0116】
1 検知システム
3 ウェブアプリケーションファイアウォール装置
5 ウェブアプリケーション装置
31 判定部
33 分析受信部
35 記憶部(第1の記憶部)
37 生成部
39 規定部
41 制御部(第1の制御部)
51 制御部(第2の制御部)
53 応答生成部
55 記憶部(第2の記憶部)
【手続補正2】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされた前記リクエストに対応するレスポンスを送信するウェブアプリケーション装置と、を備え、
前記ウェブアプリケーションファイアウォール装置は、
前記ウェブクライアントから送られてきた前記リクエストを受信し、前記リクエストが正当か否かを判定する第1の制御部と、
前記ウェブアプリケーション装置から前記フィルタリングされたリクエストに対応する前記レスポンスを受信して分析する分析受信部と、を有し、
前記ウェブアプリケーション装置は、
前記ウェブアプリケーションファイアウォール装置から送信されてくる前記フィルタリングされたリクエストを受信し、前記フィルタリングされたリクエストが正当か否かを判定する第2の制御部と、
前記フィルタリングされたリクエストに対応する前記レスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成部と、を有し、
前記フィルタリングされたリクエストに対する前記レスポンスは、前記フィルタリングされたリクエストが正当か否かの判定結果を含み
前記第1の制御部は、前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが不正な前記パラメータを含むか否かを判定する判定部と、
前記ウェブクライアントの不正な前記パラメータを含む前記リクエストをフィルタリングするためのデータを格納している第1の記憶部と、
前記データを生成する生成部と、を備え、
前記判定部は、前記分析受信部が前記レスポンスから不正な前記パラメータの情報である不正情報を抽出した場合に、前記第1の記憶部に格納されている前記データを更新して前記リクエストをフィルタリングすることにより、不正な前記パラメータを含む前記リクエストを遮断し、
前記分析受信部は、前記レスポンスから前記不正情報を抽出した場合に、前記不正情報を前記生成部に送信し、
前記生成部は、前記不正情報や前記不正な前記パラメータから前記データを生成する
検知システム。
【請求項2】
前記第2の制御部は、前記ウェブアプリケーションファイアウォール装置から送信されてくる前記パラメータを含む前記フィルタリングされたリクエストを受信し、前記フィルタリングされたリクエストが正当な前記パラメータを含むか否かを判定し、
前記応答生成部は、前記不正情報を含む前記レスポンス及び正当な前記パラメータの情報である正当情報を含む前記レスポンスを選択的に生成して前記ウェブアプリケーションファイアウォール装置に送信する
請求項1に記載の検知システム。
【請求項3】
フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置であって、
ウェブアプリケーションファイアウォール装置から送信されてくるパラメータを含む前記フィルタリングされたリクエストを受信し、前記フィルタリングされたリクエストが正当な前記パラメータを含むか否かを判定する第2の制御部と、
前記フィルタリングされたリクエストに対応する前記レスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成部と、を有し、
前記応答生成部は、不正な前記パラメータであると前記第2の制御部が判定した場合に、不正な前記パラメータの情報である不正情報を前記レスポンスに格納し、正当な前記パラメータであると前記第2の制御部が判定した場合に、正当な前記パラメータの情報である正当情報を前記レスポンスに格納し、
前記応答生成部は、前記不正情報を含む前記レスポンス又は前記正当情報を含む前記レスポンスを生成して前記ウェブアプリケーションファイアウォール装置に送信する
ウェブアプリケーション装置。
【請求項4】
ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置であって、
前記ウェブクライアントから送られてきた前記リクエストを受信し、前記リクエストが正当か否かを判定する第1の制御部と、
ウェブアプリケーション装置からレスポンスを受信して分析する分析受信部と、
前記ウェブクライアントの前記リクエストを遮断するためのデータを格納している第1の記憶部と、を備え、
前記第1の制御部は、
前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが不正な前記パラメータを含むか否かを判定する判定部と、
前記リクエストから不正な前記パラメータを遮断するシグネチャを生成する生成部と、
前記シグネチャから不正な前記パラメータを遮断する規定を前記第1の記憶部に格納する規定部と、を有し、
前記分析受信部は、前記ウェブアプリケーション装置から送られてきた前記レスポンスから不正情報が抽出された場合に、前記不正情報を前記生成部に送信する
ウェブアプリケーションファイアウォール装置。
【請求項5】
前記分析受信部は、前記ウェブアプリケーション装置から送られてきた前記レスポンス中の不正情報が抽出された場合に、前記不正情報を前記生成部または前記規定部に送信する
請求4項記載のウェブアプリケーションファイアウォール装置。
【請求項6】
ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置と、フィルタリングされた前記リクエストに対応するレスポンスを送信するウェブアプリケーション装置とを備える検知システムにおける検知方法であって、
前記ウェブアプリケーションファイアウォール装置において、
前記ウェブクライアントから送られてきたパラメータを含む前記リクエストを受信し、前記リクエストが正当な前記パラメータを含むか否かを判定する第1判定ステップと、
前記ウェブアプリケーション装置から前記フィルタリングされたリクエストに対応する前記レスポンスを受信して分析する分析受信ステップと、を含み、
前記第1判定ステップでは、前記分析受信ステップで前記レスポンスから不正な前記パラメータの情報である不正情報を抽出した場合に、前記パラメータをフィルタリングするためのデータを更新し、
検知システムにおける検知方法は、さらに、前記ウェブアプリケーション装置において、
前記ウェブアプリケーションファイアウォール装置から送信されてくる前記パラメータを含む前記フィルタリングされたリクエストを受信し、前記フィルタリングされたリクエストが正当な前記パラメータを含むか否かを判定する第2判定ステップと、
前記フィルタリングされたリクエストに対応するレスポンスを生成し、前記ウェブアプリケーションファイアウォール装置に前記レスポンスを送信する応答生成ステップと、を含み、
前記応答生成ステップでは、前記不正情報を含む前記レスポンス又は正当な前記パラメータの情報である正当情報を含む前記レスポンスを生成して前記ウェブアプリケーションファイアウォール装置に送信する
検知システムにおける検知方法。
【請求項7】
フィルタリングされたリクエストに対応するレスポンスを送信するウェブアプリケーション装置の検知方法であって、
前記ウェブアプリケーション装置からウェブアプリケーションファイアウォール装置へリクエストをフィルタリングするための情報をヘッダに含む前記レスポンスを送信する
ウェブアプリケーション装置の検知方法。
【請求項8】
ウェブクライアントからのリクエストをフィルタリングするウェブアプリケーションファイアウォール装置の検知方法であって、
前記リクエストをフィルタリングするための情報をヘッダに含むレスポンスをウェブアプリケーション装置から受信して分析する分析受信部が、前記レスポンスから不正なパラメータの情報である不正情報を抽出した場合に、前記リクエストをフィルタリングするためのデータを更新する
ウェブアプリケーションファイアウォール装置の検知方法。
【国際調査報告】