KEENI GLENN MANSFIELD (JP)
| JP2004185498A | 2004-07-02 | |||
| JP2005198090A | 2005-07-21 | |||
| JP2001211180A | 2001-08-03 | |||
| JP2005079706A | 2005-03-24 |
| ネットワーク上に接続された情報処理端末間の通信の可否をアクセスポリシーに基づき制御するネットワークセキュリティ監視装置であって、ネットワーク上に接続された全ての情報処理端末から送受信されるパケットを監視するパケット監視手段と、ネットワーク内の全ての情報処理端末に関するアクセスポリシーを管理するポリシー管理手段と、前記アクセスポリシーに基づきネットワーク内の情報処理端末間の通信許可/不許可を判断するアクセス制御手段と、特定の情報処理端末間の通信を遮断する通信遮断手段と、で構成され、前記アクセス制御手段が前記パケット監視手段から受け取ったパケット情報の送信元アドレス情報から情報処理端末を特定し、前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することで、前記アクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とするネットワークセキュリティ監視装置。 |
| 請求項1に記載のネットワークセキュリティ監視装置において、前記パケット監視手段がネットワーク上に接続された情報処理端末から送信されるARP要求を受取り、前記アクセス制御手段が該ARP要求の送信元アドレス情報から情報処理端末を特定し、前記アクセス制御手段が前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを特徴とする請求項1に記載のネットワークセキュリティ監視装置。 |
| 請求項1に記載のネットワークセキュリティ監視装置において、前記パケット監視手段がネットワーク内の全てのIPアドレスに対して一定時間間隔毎にARP要求をブロードキャストで送信するとともに、受け取ったARP応答の送信元アドレス情報に基づき前記アクセス制御手段が情報処理端末を特定し、前記アクセス制御手段が前記アクセスポリシーに基づき該情報処理端末とネットワーク上に接続された他の情報処理端末間の通信許可/不許可を判断するとともに、前記通信遮断手段が不許可と判断された情報処理端末間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを特徴とする請求項1に記載のネットワークセキュリティ監視装置。 |
| 請求項1乃至請求項3に記載のネットワークセキュリティ監視装置において、前記通信遮断手段が、不許可と判断された情報処理端末CXと情報処理端末{C1,C2,・・・,CN}(1≦N≦ネットワーク内の情報処理端末数)間の通信を遮断するために、情報処理端末CXに対して情報処理端末{C1,C2,・・・, CN}のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、情報処理端末{C1, C2,・・・, CN}に対しても情報処理端末CXのMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することを特徴とする請求項1乃至請求項3に記載のネットワークセキュリティ監視装置。 |
| 請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、情報処理端末C1と情報処理端末C2間の通信許可/不許可を規定するアクセスポリシーが許可から不許可に変更された時に、前記通信遮断手段が情報処理端末C1に対して情報処理端末C2のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、情報処理端末C2に対して情報処理端末C1のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信する手段を有することを特徴とする請求項2乃至請求項4に記載のネットワークセキュリティ監視装置。 |
| 請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、情報処理端末C1と情報処理端末C2間の通信許可/不許可を規定するアクセスポリシーが不許可から許可に変更された時に、前記通信遮断手段が情報処理端末C1,C2間の通信を遮断するための情報を一定時間間隔毎に繰返して送信することを停止するとともに、情報処理端末C1に対して情報処理端末C2の正しいMACアドレスを有するARP応答を送信し、情報処理端末C2に対して情報処理端末C1の正しいMACアドレスを有するARP応答を送信する手段を有することを特徴とする請求項2乃至請求項4に記載のネットワークセキュリティ監視装置。 |
| 請求項2乃至請求項4に記載のネットワークセキュリティ監視装置において、不許可と判断された情報処理端末CXがネットワーク外部の情報処理端末と接続しようとしている場合、前記通信遮断手段が情報処理端末CXに対して中継装置のMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信するとともに、ネットワーク内の全ての中継装置に対して情報処理端末CXのMACアドレスとして偽りのMACアドレスを有するARP応答を一定時間間隔毎に繰返して送信することを特徴とする請求項2乃至請求項4に記載のネットワークセキュリティ監視装置。 |
| 請求項1乃至請求項7に記載のネットワークセキュリティ監視装置において、前記ポリシー管理手段はネットワーク内の情報処理端末のMACアドレス/IPアドレスの他に、ソフトウエア更新履歴情報ならびに接続状況などの情報を保持するとともに、前記の情報に基づき情報処理端末間の通信許可/不許可を判断するためのアクセスポリシーを管理することを特徴とする請求項1乃至請求項7に記載のネットワークセキュリティ監視装置。 |
| 一つまたは複数のセグメントで構成されるネットワークにおいて、請求項1乃至請求項8に記載のネットワークセキュリティ監視装置をセグメント毎に配置するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とするネットワークセキュリティ監視システム。 |
| 請求項9に記載のネットワークセキュリティ監視システムに、ネットワーク全体のアクセスポリシーを一元管理するセキュリティマネージャ装置を備え、該マネージャ装置から最新のポリシー情報を各セグメントに配置されたネットワークセキュリティ監視装置にタイムリーに配布するとともに、セグメント内のセキュリティ管理をするネットワークセキュリティ監視装置がアクセスポリシーで不許可と定義された情報処理端末間の通信を遮断し、許可と定義された情報処理端末間の通信可能状態を保持することを特徴とするネットワークセキュリティ監視システム。 |
| 請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信元IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、該ARPパケットの送信元MACアドレスが前記通信許可リストに登録された情報処理端末AkのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、 (1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する (2) 該ARPパケットの送信先IPアドレスの情報処理端末Bに対して情報処理端末Akの正しいMACアドレスを有するARPパケットを送信する ことを特徴とする請求項1乃至請求項8に記載のネットワークセキュリティ監視装置。 |
| 請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、ネットワーク上に接続された全ての情報処理端末と通信許可された情報処理端末An(n:1以上の自然数)のIPアドレス{IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有する通信許可リストを保持し、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から該ARPパケットの送信先IPアドレスが前記通信許可リストに登録されたIPアドレスと同じであるARPパケットを抽出するとともに、該IPアドレスから情報処理端末Ak(k:1以上の自然数)を特定し、さらに該ARPパケットの送信元IPアドレスから情報処理端末Bを特定し、該ARPパケットの送信元MACアドレスが前記アクセスポリシーに登録された情報処理端末BのMACアドレスと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断するとともに、 (1) 不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信する (2) 情報処理端末Akに対して情報処理端末Bの正しいMACアドレスを有するARPパケットを送信する ことを特徴とする請求項1乃至請求項8に記載のネットワークセキュリティ監視装置。 |
| 請求項1乃至請求項8に記載のネットワークセキュリティ監視装置において、前記アクセスポリシーに基づき不許可と判断された情報処理端末間の通信を遮断するために、該情報処理端末に対して偽りのMACアドレス(FMAC)を有するARPパケットを送信する時に、FMACは複数の入力パラメータを用いて一方向関数genFMACにより生成されるとともに、前記アクセス制御手段は、前記パケット監視手段から受け取ったARPパケットの中から、偽りのMACアドレスを有するARPパケットを抽出し、該MACアドレスが前記一方向関数genFMACを用いて生成したFMACと異なる場合に、該ARPパケットを不正に通信遮断を行う攻撃と判断し、不正に通信遮断を行う攻撃パケットを検出した旨のアラームを発信することを特徴とする請求項1乃至請求項8に記載のネットワークセキュリティ監視装置。 |
| 請求項9乃至請求項10に記載のネットワークセキュリティ監視システムにおいて、請求項11乃至請求項13に記載のネットワークセキュリティ監視装置をセグメント毎に配置し、該ネットワークセキュリティ監視装置がセグメント内で不正に通信遮断を行う攻撃を検出した場合にアラームを発信するとともに、不正に通信遮断された情報処理端末間の通信を通信可能状態に復旧することを特徴とするネットワークセキュリティ監視システム。 |
本発明は、ネットワーク上に接続された 報処理端間の通信の可否をアクセスポリシ に基づき制御するネットワークセキュリテ 監視装置ならびにネットワークセキュリテ 監視システムに関する。
近年、ネットワーク利用環境が大規模化 ネットワーク環境構成の複雑化が進んでき いる中で、ネットワークセキュリティは必 不可欠のものになってきており、ネットワ クへの不正アクセスを防止するための技術 関して多くの研究開発が行われている。
例えば、特許文献1に記載のアクセス制御 装置は、ネットワークとのデータを送受信す るネットワークアクセス部、ネットワーク内 の通信端末間の通信許可/不許可を判断する クセス判断部、ネットワーク内の通信端末 の通信を監視するネットワーク監視部、各 信端末に対してアクセスを許可する通信端 を示すアクセスポリシー、通信端末間の通 を阻害する情報を送信する通信阻害部、ネ トワークアクセス部を介して送受信する情 (パケット)の解析、組み立てを行うプロトコ ル処理部で構成され、ネットワーク監視部が アクセスポリシーで許可されていない通信端 末間の通信を検出した場合、通信阻害部を通 じてその通信端末間の通信を阻害することで 、通信端末のハードウエアやソフトウエアを 変更する事なく、不正端末が静的にARPテーブ ルを設定した場合でもアクセス制限を可能と し且つ、通信端末の組み合わせでアクセス制 御を行うことを可能としている。
また、特許文献2に記載の不正接続防止シ ステムは、ネットワークへの接続を許可され ていない不許可装置が当該ネットワークの情 報処理装置へ接続することを防止するために 、ネットワークへの接続を許可されている情 報処理装置のMACアドレスを承認リスト部に登 録し、承認リスト部に登録されていない不許 可装置によりブロードキャストされたARPリク エストに対して、情報処理装置から正しいARP 応答パケットが不許可装置へ送信された後も しくは所定時間経過後に、情報処理装置のMAC アドレスとして偽りのMACアドレスを有するARP 応答パケットを不許可装置へ送信する不正接 続防止装置を備え、ネットワークへの接続を 許可されていないPCなどの不許可装置が、内 サーバや、その他の同一サブネット上に存 する機器に接続することを防止できるとと に、ルータなどを経由して、外部ネットワ クにおける機器に接続することも防止する とを可能としている。
また、特許文献3に記載のネットワーク不 正接続防止装置は、登録済の端末の各々に対 してARP リクエストを順次送信する第1手段と 、該ARPリクエストに応答して返って来たARPリ プライから、その端末の個有情報が登録済で あるか否かを判定する第2手段と、第2手段で 登録と判定されたとき、該端末を不正端末 見做して該端末の個有情報が重複して存在 ることを示す妨害メッセージを送信する第3 手段と、を備えることで、LAN内の不正接続防 止を抑制することを可能としている。
しかしながら、特許文献1に記載のアクセス
制御装置では、ARP要求を監視することで通信
端末間の通信を監視し、アクセスポリシーで
許可されていない通信端末間(通信端末C1と通
信端末C2間)の通信を検出した場合に、アクセ
ス制御装置が通信端末C1およびC2に対して偽
ARP応答を送信することでアクセス制御を行
ているため、(i)ネットワーク上に遅延が起
ている場合に、アクセス制御装置が通信端
C1およびC2に対して偽造ARP応答を送信し、偽
ARP応答を通信端末C1およびC2が受信した後に
、正しいARP応答が通信端末C1またはC2に届く
とがあり、この場合は後に届いた情報で通
端末C1およびC2のARPテーブルが書き換えられ
ことになり、通信端末C1と通信端末C2間の通
信を遮断するアクセス制御ができないという
問題点がある。
また、(ii)アクセスポリシーで許可されてい
る通信端末間(通信端末C1と通信端末C2間)の通
信が行われている時にアクセスポリシーが許
可から不許可に変更されても、通信端末C1と
信端末C2の通信端末のARPテーブルが設定済
ある(ARP要求を送信しない)ため、通信端末C1
通信端末C2間の通信を遮断するアクセス制
ができないという問題点がある。
また、(iii)アクセスポリシーで許可されて
ない通信端末C1のARPテーブルが静的に設定さ
れた場合に、通信端末C1からARP要求を送信せ
に通信端末C2へ情報が送信され、通信端末C1
と通信端末C2間の通信を遮断するアクセス制
ができないという問題点がある。
特許文献2に記載の不正接続防止装置では 、ネットワークへの接続を許可されている情 報処理装置のMACアドレスを承認リスト部に登 録し、承認リスト部に登録されていない不許 可装置によりブロードキャストされたARPリク エストに対して、情報処理装置から正しいARP 応答パケットが不許可装置へ送信された後も しくは所定時間経過後に、情報処理装置のMAC アドレスとして偽りのMACアドレスを有するARP 応答パケットを不許可装置へ送信することと しているため、上記問題点(i)は略解消されて いる。しかし特許文献1に記載のアクセス制 装置は、アクセスポリシーに基づき特定の 信端末間の通信許可/不許可を判断しアクセ 制御を行っているのに対して、特許文献2に 記載の不正接続防止装置は、承認リストに登 録されていない不許可装置と承認リストに登 録されている全情報処理装置との通信を遮断 することとしている点に相違はあるが、アク セスポリシーを承認リストに置き換えると、 上記問題点(ii)および(iii)は解消されていない 。
また特許文献3に記載のネットワーク不正 接続防止装置では、ネットワーク内の端末に 対してARP リクエストを順次送信し、該ARPリ エストに応答して返って来たARPリプライか 、その端末の個有情報がアドレス情報デー ベース部に登録済であるか否かを判定し、 録されていない不正端末に対して該端末の 有情報が重複して存在することを示す妨害 ッセージ(妨害ARPリプライまたは妨害ARPリク エスト)を送信し、さらにネットワーク上の スを考慮して一定時間間隔毎に所定回数繰 して送信することとしているため、上記問 点(i)は略解消されている。しかし特許文献1 記載のアクセス制御装置は、アクセスポリ ーに基づき特定の通信端末間の通信許可/不 許可を判断しアクセス制御を行っているのに 対して、特許文献3に記載のネットワーク不 接続防止装置は、アドレス情報データベー 部に登録されていない不許可装置とアドレ 情報データベース部に登録されている全情 処理装置との通信を遮断することとしてい 点に相違はあるが、アクセスポリシーをア レス情報データベース部に置き換えると、 記問題点(ii)および(iii)は解消されていない
本発明は、上記問題を解決するため、ア セスポリシーに基づきネットワーク上に接 された情報処理端末間の通信許可/不許可を 判断し、不許可と判断された情報処理端末間 の通信を確実に遮断する制御を行うネットワ ークセキュリティ監視装置ならびにネットワ ークセキュリティ監視システムを提供するこ とを目的とする。
上記目的を達成するため、請求項1に記載 のネットワークセキュリティ監視装置は、ネ ットワーク上に接続された情報処理端末間の 通信の可否をアクセスポリシーに基づき制御 するネットワークセキュリティ監視装置であ って、ネットワーク上に接続された全ての情 報処理端末から送受信されるパケットを監視 するパケット監視手段と、ネットワーク内の 全ての情報処理端末に関するアクセスポリシ ーを管理するポリシー管理手段と、前記アク セスポリシーに基づきネットワーク内の情報 処理端末間の通信許可/不許可を判断するア セス制御手段と、特定の情報処理端末間の 信を遮断する通信遮断手段と、で構成され 前記アクセス制御手段が前記パケット監視 段から受け取ったパケット情報の送信元ア レス情報から情報処理端末を特定し、前記 クセスポリシーに基づき該情報処理端末と ットワーク上に接続された他の情報処理端 間の通信許可/不許可を判断するとともに、 記通信遮断手段が不許可と判断された情報 理端末間の通信を遮断するための情報を一 時間間隔毎に繰返して送信することで、前 アクセスポリシーで不許可と定義された情 処理端末間の通信を遮断し、許可と定義さ た情報処理端末間の通信可能状態を保持す ことを特徴とする。ここで前記「一定時間 隔毎に繰返して送信すること」は、不許可 判断された情報処理端末のアクセスポリシ が不許可から許可に更新されるまで行われ ものとする。すなわち不許可と判断された 報処理端末と他の(複数の)情報処理端末間 通信を一斉に遮断することで、不許可と判 された情報処理端末間の通信を迅速かつ確 に遮断する制御を行うことができる。同時 アクセスポリシーで許可と定義された情報 理端末間の通信可能状態を保持することに る。
請求項2に記載のネットワークセキュリティ
監視装置は、請求項1に記載のネットワーク
キュリティ監視装置において、前記パケッ
監視手段がネットワーク上に接続された情
処理端末から送信されるARP要求を受取り、
記アクセス制御手段が該ARP要求の送信元ア
レス情報から情報処理端末を特定し、前記
クセス制御手段が前記アクセスポリシーに
づき該情報処理端末とネットワーク上に接
された他の情報処理端末間の通信許可/不許
を判断するとともに、前記通信遮断手段が
許可と判断された情報処理端末間の通信を
断するための情報(例えば、偽りのARP応答)
一定時間間隔毎に繰返して送信することを
徴とする。ここで前記「一定時間間隔毎に
返して送信すること」は、ネットワーク上
遅延が起きている場合やARPテーブルが静的
設定された場合においても不許可と判断さ
た情報処理端末間の通信を迅速かつ確実に
断する制御を行うことを実現している。
すなわち、アクセスポリシーで情報処理端
C1と情報処理端末C2間の通信が不許可に設定
されている場合、ネットワーク上に遅延が起
きていると、通信を遮断するための情報を通
信端末C1(またはC2)が受信した後に、正しいARP
応答が情報処理端末C1(またはC2)に届くことが
あり、この場合は後に届いた情報で情報処理
端末C1(またはC2)のARPテーブルが書き換えられ
、情報処理端末C1と情報処理端末C2間の通信
遮断するアクセス制御ができなくなるとい
問題点を解消することができる。
また、アクセスポリシーで情報処理端末C1
情報処理端末C2間の通信が不許可に設定され
ている場合、情報処理端末C1のARPテーブルが
的に設定された場合に、情報処理端末C1か
ARP要求を送信せずに情報処理端末C2へ情報が
送信され、情報処理端末C1と情報処理端末C2
の通信を遮断するアクセス制御ができなく
るという問題点を解消することができる。
請求項3に記載のネットワークセキュリテ ィ監視装置は、請求項1に記載のネットワー セキュリティ監視装置において、前記パケ ト監視手段がネットワーク内の全てのIPアド レスに対して一定時間間隔毎にARP要求をブロ ードキャストで送信するとともに、受け取っ たARP応答の送信元アドレス情報に基づき前記 アクセス制御手段が情報処理端末を特定し、 前記アクセス制御手段が前記アクセスポリシ ーに基づき該情報処理端末とネットワーク上 に接続された他の情報処理端末間の通信許可 /不許可を判断するとともに、前記通信遮断 段が不許可と判断された情報処理端末間の 信を遮断するための情報(例えば、偽りのARP 答)を一定時間間隔毎に繰返して送信するこ とを特徴とする。ここで前記「ネットワーク 内の全てのIPアドレスに対して一定時間間隔 にARP要求をブロードキャストで送信する」 とにより、長時間に渡りパケット送受信し いない情報処理端末を検出し、不許可と判 された情報処理端末間の通信を確実に遮断 る制御を行うことができる。またアクセス リシーに登録されていない情報処理端末を 出した場合は、該情報処理端末に関する通 は不許可としてアクセスポリシーに登録す ことで、確実に不正アクセスを遮断する制 を行うことができる。
請求項4に記載のネットワークセキュリテ ィ監視装置は、請求項1乃至請求項3に記載の ットワークセキュリティ監視装置において 前記通信遮断手段が、不許可と判断された 報処理端末CXと情報処理端末{C1,C2,・・・,CN} (1≦N≦ネットワーク内の情報処理端末数)間 通信を遮断するために、情報処理端末CXに対 して情報処理端末{C1,C2,・・・, CN}のMACアド スとして偽りのMACアドレスを有するARP応答 一定時間間隔毎に繰返して送信するととも 、情報処理端末{C1, C2,・・・, CN}に対して 情報処理端末CXのMACアドレスとして偽りのMAC アドレスを有するARP応答を一定時間間隔毎に 繰返して送信することを特徴とする。すなわ ち、アクセスポリシーに基づき情報処理端末 CXと通信が不許可とされている情報処理端末( 例えばC1,C2,C3)、および情報処理端末CXに対し 、偽りのMACアドレスを有するARP応答を一定 間間隔毎に繰返して送信することとなり、 報処理端末間(CXとC1間、CXとC2間、CXとC3間) 通信を速やかに且つ確実に遮断する制御を うことができる。
請求項5に記載のネットワークセキュリテ ィ監視装置は、請求項2乃至請求項4に記載の ットワークセキュリティ監視装置において 情報処理端末C1と情報処理端末C2間の通信許 可/不許可を規定するアクセスポリシーが許 から不許可に変更された時に、前記通信遮 手段が情報処理端末C1に対して情報処理端末 C2のMACアドレスとして偽りのMACアドレスを有 るARP応答を一定時間間隔毎に繰返して送信 るとともに、情報処理端末C2に対して情報 理端末C1のMACアドレスとして偽りのMACアドレ スを有するARP応答を一定時間間隔毎に繰返し て送信する手段を有することを特徴とする。 すなわち、アクセスポリシーが許可から不許 可に変更された時に、該当する情報処理端末 (例えばC1,C2)に対して偽りのMACアドレスを有 るARP応答を一定時間間隔毎に繰返して送信 ることとなり、情報処理端末間(C1とC2間)の 信を速やかに且つ確実に遮断する制御を行 ことができる。
請求項6に記載のネットワークセキュリテ ィ監視装置は、請求項2乃至請求項4に記載の ットワークセキュリティ監視装置において 情報処理端末C1と情報処理端末C2間の通信許 可/不許可を規定するアクセスポリシーが不 可から許可に変更された時に、前記通信遮 手段が情報処理端末C1,C2間の通信を遮断する ための情報を一定時間間隔毎に繰返して送信 することを停止するとともに、情報処理端末 C1に対して情報処理端末C2の正しいMACアドレ を有するARP応答を送信し、情報処理端末C2に 対して情報処理端末C1の正しいMACアドレスを するARP応答を送信する手段を有することを 徴とする。すなわち、アクセスポリシーが 許可から許可に変更された時に、情報処理 末間(C1とC2間)の通信遮断の制御を止めると もに、情報処理端末(C1,C2)に対して正しいMAC アドレスを有するARP応答を送信することで、 情報処理端末間(C1とC2間)の通信を速やかに再 開する制御を行うことができる。
請求項7に記載のネットワークセキュリテ ィ監視装置は、請求項2乃至請求項4に記載の ットワークセキュリティ監視装置において 不許可と判断された情報処理端末CXがネッ ワーク外部の情報処理端末と接続しようと ている場合、前記通信遮断手段が情報処理 末CXに対して中継装置のMACアドレスとして偽 りのMACアドレスを有するARP応答を一定時間間 隔毎に繰返して送信するとともに、ネットワ ーク内の全ての中継装置に対して情報処理端 末CXのMACアドレスとして偽りのMACアドレスを するARP応答を一定時間間隔毎に繰返して送 することを特徴とする。すなわち、不許可 判断された情報処理端末CXに対して中継装 のMACアドレスとして偽りのMACアドレスを有 るARP応答を一定時間間隔毎に繰返して送信 ることで、情報処理端末CXがネットワーク外 部の情報処理端末と接続することができなく なる。
請求項8に記載のネットワークセキュリテ ィ監視装置は、請求項1乃至請求項7に記載の ットワークセキュリティ監視装置において 前記ポリシー管理手段はネットワーク内の 報処理端末のMACアドレス/IPアドレスの他に ソフトウエア更新履歴情報ならびに接続状 などの情報を保持するとともに、前記の情 に基づき情報処理端末間の通信許可/不許可 を判断するためのアクセスポリシーを管理す ることを特徴とする。ここで、アクセスポリ シーの管理については、ソフトウエア更新履 歴情報などの情報に基づきアクセスポリシー をプログラムで自動更新する場合と、手動に よりアクセスポリシーを更新する場合とがあ る。すなわち、ネットワーク内の情報処理端 末のMACアドレス/IPアドレスの他に、ソフトウ エア更新履歴情報、ならびに接続状況などの 情報に基づき、情報処理端末間の通信の許可 /不許可を判断するためのアクセスポリシー 管理することで、例えばウィルス情報が更 されていない情報処理端末のアクセス対象 末を制限することが可能となり、フェイル ーフなシステムを実現することができる。
請求項9に記載のネットワークセキュリテ ィ監視システムは、一つまたは複数のセグメ ントで構成されるネットワークにおいて、請 求項1乃至請求項8に記載のネットワークセキ リティ監視装置をセグメント毎に配置する ともに、セグメント内のセキュリティ管理 するネットワークセキュリティ監視装置が クセスポリシーで不許可と定義された情報 理端末間の通信を遮断し、許可と定義され 情報処理端末間の通信可能状態を保持する とを特徴とする。
請求項10に記載のネットワークセキュリ ィ監視システムは、請求項9に記載のネット ークセキュリティ監視システムに、ネット ーク全体のアクセスポリシーを一元管理す セキュリティマネージャ装置を備え、該マ ージャ装置から最新のポリシー情報を各セ メントに配置されたネットワークセキュリ ィ監視装置にタイムリーに配布するととも 、セグメント内のセキュリティ管理をする ットワークセキュリティ監視装置がアクセ ポリシーで不許可と定義された情報処理端 間の通信を遮断し、許可と定義された情報 理端末間の通信可能状態を保持することを 徴とする。
請求項11に記載のネットワークセキュリテ
監視装置は、請求項1乃至請求項8に記載のネ
ットワークセキュリティ監視装置において、
ネットワーク上に接続された全ての情報処理
端末と通信許可された情報処理端末An(n:1以上
の自然数)のIPアドレス{IP-An1, IP-An2,・・・, I
P-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1,
MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有
る通信許可リストを保持し、前記アクセス
御手段は、前記パケット監視手段から受け
ったARPパケットの中から該ARPパケットの送
元IPアドレスが前記通信許可リストに登録さ
れたIPアドレスと同じであるARPパケットを抽
するとともに、該IPアドレスから情報処理
末Ak(k:1以上の自然数)を特定し、該ARPパケッ
の送信元MACアドレスが前記通信許可リスト
登録された情報処理端末AkのMACアドレスと
なる場合に、該ARPパケットを不正に通信遮
を行う攻撃と判断するとともに、
(1) 不正に通信遮断を行う攻撃パケットを検
した旨のアラームを発信する
(2) 該ARPパケットの送信先IPアドレスの情報
理端末Bに対して情報処理端末Akの正しいMAC
ドレスを有するARPパケットを送信する
ことを特徴とする。
請求項12に記載のネットワークセキュリテ
監視装置は、請求項1乃至請求項8に記載のネ
ットワークセキュリティ監視装置において、
ネットワーク上に接続された全ての情報処理
端末と通信許可された情報処理端末An(n:1以上
の自然数)のIPアドレス{IP-An1, IP-An2,・・・, I
P-Ani}(i:1以上の自然数)及びMACアドレス{MAC-An1,
MAC-An2,・・・, MAC-Anj}(j:1以上の自然数)を有
る通信許可リストを保持し、前記アクセス
御手段は、前記パケット監視手段から受け
ったARPパケットの中から該ARPパケットの送
先IPアドレスが前記通信許可リストに登録さ
れたIPアドレスと同じであるARPパケットを抽
するとともに、該IPアドレスから情報処理
末Ak(k:1以上の自然数)を特定し、さらに該ARP
ケットの送信元IPアドレスから情報処理端
Bを特定し、該ARPパケットの送信元MACアドレ
が前記アクセスポリシーに登録された情報
理端末BのMACアドレスと異なる場合に、該ARP
パケットを不正に通信遮断を行う攻撃と判断
するとともに、
(1) 不正に通信遮断を行う攻撃パケットを検
した旨のアラームを発信する
(2) 情報処理端末Akに対して情報処理端末Bの
しいMACアドレスを有するARPパケット応答を
信する
ことを特徴とする。
請求項13に記載のネットワークセキュリテ
監視装置は、請求項1乃至請求項8に記載のネ
ットワークセキュリティ監視装置において、
前記アクセスポリシーに基づき不許可と判断
された情報処理端末間の通信を遮断するため
に、該情報処理端末に対して偽りのMACアドレ
ス(FMAC)を有するARPパケットを送信する時に、
FMACは複数の入力パラメータを用いて一方向
数genFMACにより生成されるとともに、前記ア
セス制御手段は、前記パケット監視手段か
受け取ったARPパケットの中から、偽りのMAC
ドレスを有するARPパケットを抽出し、該MAC
ドレスが前記一方向関数genFMACを用いて生成
したFMACと異なる場合に、該ARPパケットを不
に通信遮断を行う攻撃と判断し、不正に通
遮断を行う攻撃パケットを検出した旨のア
ームを発信することを特徴とする。ここで
記一方向関数genFMACは、例えばハッシュ関数
してハッシュ値FMACを算出するために、
FMAC = genFMAC(SeedMac,
Time, Secret)
のように定義される。パラメータSeedMacは、
ンダー識別子(OUI: Organizationally
Unique Identifier)であり、MACアドレス(48bit)中の
位24bitは、このベンダー識別子で構成され
。パラメータTimeは、時刻情報であり、年・
・日・時・分・秒などの情報が組合せて使
される。パラメータSecretは、秘密鍵情報で
り、特定の管理者だけが知り得る非公開情
である。MACアドレス(48bit)中の下位24bitは、
ラメータTime, Secretを入力とするハッシュ関
数により生成される疑似乱数で構成される。
請求項14に記載のネットワークセキュリ ィ監視システムは、請求項9乃至請求項10に 載のネットワークセキュリティ監視システ において、請求項11乃至請求項13に記載のネ トワークセキュリティ監視装置をセグメン 毎に配置し、該ネットワークセキュリティ 視装置がセグメント内で不正に通信遮断を う攻撃を検出した場合にアラームを発信す とともに、不正に通信遮断された情報処理 末間の通信を通信可能状態に復旧すること 特徴とする。
請求項1に係る発明によれば、ネットワー ク上に接続された情報処理端末間の通信許可 /不許可をアクセスポリシーに基づき判断し 不許可と判断された情報処理端末のアクセ ポリシーが不許可から許可に更新されるま 、不許可と判断された情報処理端末間の通 を遮断するための情報を一定時間間隔毎に 返して送信すること、および不許可と判断 れた情報処理端末と他の(複数の)情報処理端 末間の通信を一斉に遮断することで、不許可 と判断された情報処理端末間の通信を迅速か つ確実に遮断する制御を行うことが可能にな る。同時にアクセスポリシーで許可と定義さ れた情報処理端末間の通信可能状態を保持す ることになる。
請求項2に係る発明によれば、ネットワーク
上に接続された情報処理端末間の通信許可/
許可をアクセスポリシーに基づき判断し、
許可と判断された情報処理端末に対して不
可端末と他の情報処理端末間の通信を遮断
るための情報(例えば、偽りのARP応答)を一定
時間間隔毎に繰返して送信することで、ネッ
トワーク上に遅延が起きている場合やARPテー
ブルが静的に設定された場合においても不許
可と判断された情報処理端末間の通信を迅速
かつ確実に遮断する制御を行うことが可能に
なる。
すなわち、アクセスポリシーで情報処理端
C1と情報処理端末C2間の通信が不許可に設定
されている場合、ネットワーク上に遅延が起
きていると、通信を遮断するための情報を通
信端末C1(またはC2)が受信した後に、正しいARP
応答が情報処理端末C1(またはC2)に届くことが
あり、この場合は後に届いた情報で情報処理
端末C1(またはC2)のARPテーブルが書き換えられ
、情報処理端末C1と情報処理端末C2間の通信
遮断するアクセス制御ができなくなるとい
問題点を解消することができる。
また、アクセスポリシーで情報処理端末C1
情報処理端末C2間の通信が不許可に設定され
ている場合、情報処理端末C1のARPテーブルが
的に設定された場合に、情報処理端末C1か
ARP要求を送信せずに情報処理端末C2へ情報が
送信され、情報処理端末C1と情報処理端末C2
の通信を遮断するアクセス制御ができなく
るという問題点を解消することができる。
請求項3に係る発明によれば、ネットワー ク内の全てのIPアドレスに対して一定時間間 毎にARP要求をブロードキャストで送信する とで、長時間に渡りパケット送受信してい い情報処理端末を検出し、不許可と判断さ た情報処理端末間の通信を確実に遮断する 御を行うことが可能になる。またアクセス リシーに登録されていない情報処理端末を 出した場合は、該情報処理端末に関する通 は不許可としてアクセスポリシーに登録す ことで、確実に不正アクセスを遮断する制 を行うことが可能になる。
請求項4に係る発明によれば、アクセスポ リシーに基づき情報処理端末CXと通信が不許 とされている情報処理端末(例えばC1,C2,C3)、 および情報処理端末CXに対して、偽りのMACア レスを有するARP応答を一定時間間隔毎に繰 して送信することで、情報処理端末間(CXとC 1間、CXとC2間、CXとC3間)の通信を速やかに且 確実に遮断する制御を行うことが可能にな 。
請求項5に係る発明によれば、アクセスポ リシーが許可から不許可に変更された時に、 該当する情報処理端末(例えばC1,C2)に対して りのMACアドレスを有するARP応答を一定時間 隔毎に繰返して送信することで、情報処理 末間(C1とC2間)の通信を速やかに且つ確実に 断する制御を行うことが可能になる。
請求項6に係る発明によれば、アクセスポ リシーが不許可から許可に変更された時に、 情報処理端末間(C1とC2間)の通信遮断の制御を 止めるとともに、情報処理端末(C1,C2)に対し 正しいMACアドレスを有するARP応答を送信す ことで、情報処理端末間(C1とC2間)の通信を やかに再開する制御を行うことが可能にな 。
請求項7に係る発明によれば、不許可と判 断された情報処理端末CXに対して中継装置のM ACアドレスとして偽りのMACアドレスを有するA RP応答を一定時間間隔毎に繰返して送信する とで、情報処理端末CXがネットワーク外部 情報処理端末と接続することができなくな 効果がある。
請求項8に係る発明によれば、ネットワー ク内の情報処理端末のMACアドレス/IPアドレス の他に、ソフトウエア更新履歴情報、ならび に接続状況などの情報に基づき、情報処理端 末間の通信の許可/不許可を判断するための クセスポリシーを管理することで、例えば ィルス情報が更新されていない情報処理端 のアクセス対象端末を制限することが可能 なり、フェイルセーフなシステムを実現す ことが可能になる。
請求項9に係る発明によれば、ネットワー クセキュリティ監視装置をセグメント毎に配 置してセグメント毎にネットワークセキュリ ティ監視装置がアクセスポリシーで不許可と 定義された情報処理端末間の通信を遮断し、 許可と定義された情報処理端末間の通信可能 状態を保持することで、セグメント内で不許 可と判断された情報処理端末間の通信を迅速 かつ確実に遮断する制御を行うことが可能に なる。
請求項10に係る発明によれば、ネットワ ク全体のアクセスポリシーを一元管理する キュリティマネージャ装置を備え、該マネ ジャ装置から最新のポリシー情報を各セグ ントに配置されたネットワークセキュリテ 監視装置にタイムリーに配布することで、 ステム全体でポリシー情報を共有し一元管 することが可能になるとともに、セグメン 毎に最新のポリシー情報を用いて情報処理 末間の通信を監視し、不許可と判断された 報処理端末間の通信を迅速かつ確実に遮断 る制御を行うことが可能になる。
請求項11に係る発明によれば、ARPパケット
送信元IPアドレスが通信許可リストに登録さ
れたIPアドレスと同じであるARPパケットを抽
し、該IPアドレスから情報処理端末Ak(k:1以
の自然数)を特定し、該ARPパケットの送信元M
ACアドレスが前記通信許可リストに登録され
情報処理端末AkのMACアドレスと異なる場合
、該ARPパケットを不正に通信遮断を行う攻
と判断することで、不正に通信遮断を行う
撃を確実かつ容易に検出することが可能に
る。
また不正に通信遮断を行う攻撃を検出した
合にアラームを発信することで、管理者は
速な対処を行うことが可能になる。さらに
撃を検出した場合に、正しいMACアドレスを
するARPパケットを送信することで、不正に
信遮断された情報処理端末間の通信を速や
に通信可能状態に復旧することが可能にな
。
請求項12に係る発明によれば、ARPパケット
送信先IPアドレスが通信許可リストに登録さ
れたIPアドレスと同じであるARPパケットを抽
するとともに、該IPアドレスから情報処理
末Ak(k:1以上の自然数)を特定し、さらに該ARP
ケットの送信元IPアドレスから情報処理端
Bを特定し、該ARPパケットの送信元MACアドレ
が前記アクセスポリシーに登録された情報
理端末BのMACアドレスと異なる場合に、該ARP
パケットを不正に通信遮断を行う攻撃と判断
することで、不正に通信遮断を行う攻撃を確
実かつ容易に検出することが可能になる。
また不正に通信遮断を行う攻撃を検出した
合にアラームを発信することで、管理者は
速な対処を行うことが可能になる。さらに
撃を検出した場合に、正しいMACアドレスを
するARPパケットを送信することで、不正に
信遮断された情報処理端末間の通信を速や
に通信可能状態に復旧することが可能にな
。
請求項13に係る発明によれば、アクセスポ
シーに基づき不許可と判断された情報処理
末間の通信を遮断するために送信するARPパ
ット中の「偽りのMACアドレス(FMAC)」を、一
向関数genFMACを用いて生成することで、不正
通信遮断を行うARPパケットと本発明で通信
遮断するために送信するARPパケットとを容
に判別ができるようになる。ここで一方向
数genFMACは、例えばハッシュ関数としてハッ
シュ値FMACを算出するために、
FMAC = genFMAC(SeedMac,
Time, Secret)
のように定義される。パラメータSeedMacは、
ンダー識別子(OUI: Organizationally
Unique Identifier)であり、MACアドレス(48bit)中の
位24bitは、このベンダー識別子で構成され
。パラメータTimeは、時刻情報であり、年・
・日・時・分・秒などの情報が組合せて使
される。パラメータSecretは、秘密鍵情報で
り、特定の管理者だけが知り得る非公開情
である。MACアドレス(48bit)中の下位24bitは、
ラメータTime, Secretを入力とするハッシュ関
数により生成される疑似乱数で構成される。
ハッシュ関数は、出力から入力のデータを推
測できないこと、同じ出力を持つ入力データ
を容易に作成できないこと等の特徴がある。
この特徴を利用して、不正に通信遮断を行う
ARPパケット中の「偽りのMACアドレス」とFMAC
値とを比較照合することで、容易に不正に
信遮断を行う攻撃を検出することが可能に
る。
また不正に通信遮断を行う攻撃を検出した
合にアラームを発信することで、管理者は
速な対処を行うことが可能になる。
請求項14に係る発明によれば、セグメン 内に配置されたセキュリティ監視装置が容 に且つ確実に不正に通信遮断を行う攻撃を 出することが可能になる。また攻撃を検出 た場合にアラームを発信することで、迅速 対処を行うことが可能になる。さらに攻撃 検出した場合に、正しいMACアドレスを有す ARPパケットを送信することで、不正に通信 断された情報処理端末間の通信を速やかに 信可能状態に復旧することが可能になる。
10 ネットワークセキュリティ監視装置
11 パケット監視手段
12 アクセス制御手段
13 通信遮断手段
14 ポリシー管理手段
15 アクセスポリシー
20 アプリケーションサーバ
31 情報処理端末
32 情報処理端末
33 情報処理端末
40 ルータ
50 ネットワーク
次に、本発明の実施の形態に係るネット ークセキュリティ監視システムについて図 に基づいて説明する。なお、この実施の形 により本発明が限定されるものではない。
図1は、本発明の実施の形態に係るネット ワークセキュリティ監視装置を備えたネット ワークの構成例を示すものである。図1では ネットワーク50に情報処理端末31,32,33とアプ ケーションサーバ20とルータ40とが接続され 、ネットワーク50内における不正アクセスを 視し防止するネットワークセキュリティ監 装置10が接続されている。
図2は、本発明の実施の形態に係るネットワ
ークセキュリティ監視装置10の構成を示すブ
ック図である。
図2に示すように、ネットワークセキュリテ
ィ監視装置10は、ネットワーク上に接続され
全ての情報処理端末から送受信されるパケ
トを監視するパケット監視手段11と、ネッ
ワーク内の全ての情報処理端末に関するア
セスポリシー15を管理するポリシー管理手段
14と、アクセスポリシー15に基づきネットワ
ク内の情報処理端末間の通信許可/不許可を
断するアクセス制御手段12と、特定の情報
理端末間の通信を遮断する通信遮断手段13と
、で構成され、アクセス制御手段12がパケッ
監視手段11から受け取ったパケット情報の
信元アドレス情報から情報処理端末を特定
、アクセスポリシー15に基づき該情報処理端
末とネットワーク上に接続された他の情報処
理端末間の通信許可/不許可を判断するとと
に、通信遮断手段13が不許可と判断された情
報処理端末間の通信を遮断するための情報を
一定時間間隔毎に繰返して送信することで、
前記アクセスポリシーで不許可と定義された
情報処理端末間の通信を遮断し、許可と定義
された情報処理端末間の通信可能状態を保持
する。ここで前記「一定時間間隔毎に繰返し
て送信すること」は、不許可と判断された情
報処理端末のアクセスポリシーが不許可から
許可に更新されるまで行われるものとする。
さらに時間間隔値はユーザが適宜に設定する
ものとする。すなわち不許可と判断された情
報処理端末と他の(複数の)情報処理端末間の
信を一斉に遮断することで、不許可と判断
れた情報処理端末間の通信を迅速かつ確実
遮断する制御を行うことができる。
図3に本発明の実施の形態に係るネットワー
クセキュリティ監視装置が備えるアクセスポ
リシーの設定例を示す。図1、図2および図3を
用いて具体例(アクセスポリシー15で情報処理
端末C2とサーバA1間、および情報処理端末C2と
情報処理端末C1間の通信が不許可に設定され
いる場合の例)を説明する。
パケット監視手段11が情報処理端末C2からの
サーバA1に対して送信したパケット(ARP要求)
受信すると、アクセス制御手段12がパケット
監視手段11から受け取ったパケット情報の送
元アドレス情報から情報処理端末を特定し
アクセスポリシー15に基づき該情報処理端
とネットワーク上に接続された他の情報処
端末間の通信許可/不許可を判断する。この
合、情報処理端末C2とサーバA1間、および情
報処理端末C2と情報処理端末C1間の通信が不
可であるため、情報処理端末C2とサーバA1間
通信を遮断するための情報を情報処理端末C
2およびサーバA1に対して一定時間間隔毎に繰
返して送信するとともに、情報処理端末C2と
報処理端末C1間の通信を遮断するための情
を情報処理端末C2および情報処理端末C1に対
て一定時間間隔毎に繰返して送信する。こ
繰返して送信することは、情報処理端末C2
サーバA1間、および情報処理端末C2と情報処
端末C1間のアクセスポリシーが不許可から
可に更新されるまで行われる。以上から、
報処理端末C2からサーバA1に対して送信した
ケット(ARP要求)受信を契機として、情報処
端末C2とサーバA1間、および情報処理端末C2
情報処理端末C1間の通信を迅速かつ確実に遮
断することができる。同時にアクセスポリシ
ー15で許可と定義された情報処理端末C2と情
処理端末C3間、および情報処理端末C2とルー
R1間の通信可能状態を保持することになる
パケット監視手段11は、ネットワーク上に
続された情報処理端末から送信されるARP要
を受取り、アクセス制御手段12が該ARP要求の
送信元アドレス情報から情報処理端末を特定
し、アクセス制御手段12がアクセスポリシー1
5に基づき該情報処理端末とネットワーク上
接続された他の情報処理端末間の通信許可/
許可を判断するとともに、通信遮断手段13
不許可と判断された情報処理端末間の通信
遮断するための情報(例えば、偽りのARP応答)
を一定時間間隔毎に繰返して送信する。ここ
で前記「一定時間間隔毎に繰返して送信する
こと」は、ネットワーク上に遅延が起きてい
る場合やARPテーブルが静的に設定された場合
においても不許可と判断された情報処理端末
間の通信を迅速かつ確実に遮断する制御を行
うことを実現している。
すなわち、アクセスポリシーで情報処理端
C1と情報処理端末C2間の通信が不許可に設定
されている場合、ネットワーク上に遅延が起
きていると、通信を遮断するための情報を通
信端末C1(またはC2)が受信した後に、正しいARP
応答が情報処理端末C1(またはC2)に届くことが
あり、この場合は後に届いた情報で情報処理
端末C1(またはC2)のARPテーブルが書き換えられ
、情報処理端末C1と情報処理端末C2間の通信
遮断するアクセス制御ができなくなるとい
問題点を解消することができる。
また、アクセスポリシーで情報処理端末C1
情報処理端末C2間の通信が不許可に設定され
ている場合、情報処理端末C1のARPテーブルが
的に設定された場合に、情報処理端末C1か
ARP要求を送信せずに情報処理端末C2へ情報が
送信され、情報処理端末C1と情報処理端末C2
の通信を遮断するアクセス制御ができなく
るという問題点を解消することができる。
図4に本発明の実施の形態に係るネットワー
クセキュリティ監視装置と情報処理端末C1
,C2間および情報処理端末C1とC2間のシーケン
例を示す。図4を用いて具体例(アクセス
ポリシーで情報処理端末C1と情報処理端末C2
の通信が不許可に設定されている場合の例
)を説明する。
(1) 情報処理端末C1は情報処理端末C2と通信
開始するにあたって、情報処理端末C2のMAC
ドレスを得るために、自身のIPアドレスとMAC
アドレス(mac_C1)、及びC2のIPアドレスを設定し
てARP要求をブロードキャスト送信する(S01)。
(2) 情報処理端末C2は、自身のIPアドレスが
定されたARP要求を受信すると、送信元C1に
して、自身のIPアドレスとMACアドレス(mac_C2)
設定してARP応答を送信する(S02)。情報処理
末C1はARP応答を受信すると、自身のARPテーブ
ルを更新(情報処理端末C2のMACアドレスとして
mac_C2を設定)する。このARPテーブルの情報は
定時間キャッシュされるため、情報処理端
C1は以降ARP要求を送信せずにARPテーブルの情
報を用いて通信が可能となる。
(3) セキュリティ監視装置は、情報処理端
C1から送信されたARP要求を受信し、アクセス
ポリシーに基づき情報処理端末C1と情報処理
末C2間通信の不許可を判断すると、 情報処
理端末C1に対して、C2のIPアドレスと偽造MACア
ドレス(mac_XX) を設定してARP応答を送信する(S
03)。情報処理端末C1はARP応答を受信すると、
身のARPテーブルを更新(情報処理端末C2のMAC
ドレスとしてmac_XXを設定)する。情報処理端
末C1はARPテーブルの情報を用いて通信しよう
するが、MACアドレスが不正であるため、情
処理端末C2との通信ができなくなる。
(4) さらにセキュリティ監視装置は、情報
理端末C2に対して、C1のIPアドレスと偽造MAC
ドレス(mac_YY) を設定してARP応答を送信する(
S04)。情報処理端末C2はARP応答を受信すると、
自身のARPテーブルを更新(情報処理端末C1のMAC
アドレスとしてmac_YYを設定)するため、情報
理端末C1との通信ができなくなる。
(5) 上記S02で述べたARP応答が、ネットワー
上に遅延が起きていると、情報処理端末C1に
遅れて届くことがある(S02’)。この場合、情
処理端末C1のARPテーブルには、正しい情報
書き換えられる(情報処理端末C2のMACアドレ
としてmac_C2が設定される)ことになる。すな
ち情報処理端末C1から情報処理端末C2に対し
て送信する通信を遮断する制御ができなくな
る。
(6) そこでセキュリティ監視装置は、一定
間(T1)経過後に、情報処理端末C1に対して、C2
のIPアドレスと偽造MACアドレス(mac_XX) を設定
してARP応答を送信する(S05)。情報処理端末C1
ARP応答を受信すると、自身のARPテーブルを
新(情報処理端末C2のMACアドレスとしてmac_XX
設定)するため、情報処理端末C2との通信が
きなくなる。セキュリティ監視装置は、ア
セスポリシーが不許可から許可に更新され
まで一定時間間隔(T1)毎に繰返し送信を続け
(S07,S10)。
(7) 同様にセキュリティ監視装置は、一定
間(T1)経過後に、情報処理端末C2に対して、C1
のIPアドレスと偽造MACアドレス(mac_YY) を設定
してARP応答を送信する(S06)。情報処理端末C2
ARP応答を受信すると、自身のARPテーブルを
新(情報処理端末C1のMACアドレスとしてmac_YY
設定)するため、情報処理端末C1との通信が
きなくなる。セキュリティ監視装置は、ア
セスポリシーが不許可から許可に更新され
まで一定時間間隔(T1)毎に繰返し送信を続け
(S08,S11)。
(8) 情報処理端末C1のARPテーブルが静的に設
定(例えばC2のMACアドレスとしてmac_C2が設定)
れた場合(S09)に、情報処理端末C1から情報処
端末C2に対して送信する通信を遮断する制
ができなくなるが、セキュリティ監視装置
、一定時間(T1)経過後に、情報処理端末C1に
して、C2のIPアドレスと偽造MACアドレス(mac_XX
) を設定してARP応答を送信する(S10)ため、情
処理端末C1は自身のARPテーブルを更新(情報
理端末C2のMACアドレスとしてmac_XXを設定)し
情報処理端末C2との通信ができなくなる。
またパケット監視手段11は、ネットワー 内の全てのIPアドレスに対して一定時間間隔 毎にARP要求をブロードキャストで送信すると ともに、受け取ったARP応答の送信元アドレス 情報に基づきアクセス制御手段12が情報処理 末を特定し、アクセス制御手段12がアクセ ポリシー15に基づき該情報処理端末とネット ワーク上に接続された他の情報処理端末間の 通信許可/不許可を判断するとともに、通信 断手段13が不許可と判断された情報処理端末 間の通信を遮断するための情報(例えば、偽 のARP応答)を一定時間間隔毎に繰返して送信 る。ここで前記「ネットワーク内の全てのI Pアドレスに対して一定時間間隔毎にARP要求 ブロードキャストで送信する」ことにより 長時間に渡りパケット送受信していない情 処理端末を検出し、不許可と判断された情 処理端末間の通信を確実に遮断する制御を うことができる。またアクセスポリシーに 録されていない情報処理端末を検出した場 は、該情報処理端末に関する通信は不許可 してアクセスポリシーに登録することで、 実に不正アクセスを遮断する制御を行うこ ができる。
図5は、本発明の実施の形態に係るネットワ
ークセキュリティ監視装置を備えたネットワ
ークに不正端末が接続された構成例を示すも
のである。
図5に示すように、セキュリティ監視装置が
備えるアクセスポリシーには、情報処理端末
C1,C2,C3間の通信許可/不許可が設定されており
、この時点でセキュリティ監視装置は情報処
理端末CXを認識していない状態にある。
セキュリティ監視装置は、ネットワークに
続された情報処理端末を監視するために、
ットワーク内の全てのIPアドレスに対して
定時間間隔毎にARP要求をブロードキャスト
送信し、情報処理端末C1,C2,C3,CXからARP応答を
受信する。受信したARP応答の送信元アドレス
情報に基づき情報処理端末を特定し、アクセ
スポリシーに基づき情報処理端末C1,C2,C3,CX間
通信許可/不許可を判断するとともに、不許
可と判断された情報処理端末に対して通信を
遮断するための情報(例えば、偽りのARP応答)
一定時間間隔毎に繰返して送信する。また
報処理端末CXについては、アクセスポリシ
に登録されていないため、情報処理端末CXを
アクセスポリシーに追加登録し、情報処理端
末CXと情報処理端末C1,C2,C3間の通信を不許可
して設定する。これにより、不正に接続さ
た情報処理端末CXの不正アクセスを確実に遮
断することができる。
次に図6は、図5に示した構成例に基づき、
発明の実施の形態に係るネットワークセキ
リティ監視装置と情報処理端末CX ,C1,C2,C3間
シーケンス例を示したものである。図6を用
いて具体例を説明する。
(1) セキュリティ監視装置は、ネットワー
に接続された情報処理端末を監視するため
、ネットワーク内の全てのIPアドレスに対し
てARP要求をブロードキャストで送信する(S61)
このS61のステップは一定時間間隔毎に繰返
て行うものとする。
(2) セキュリティ監視装置は、情報処理端
C1,C2,C3,CXからARP応答を受信する(S62)。受信し
ARP応答の送信元アドレス情報に基づき情報
理端末を特定し、アクセスポリシーに基づ
情報処理端末C1,C2,C3,CX間の通信許可/不許可
判断する。ここで情報処理端末CXについて
、アクセスポリシーに登録されていないた
、情報処理端末CXをアクセスポリシーに追加
登録し、情報処理端末CXと情報処理端末C1,C2,C
3間の通信を不許可として設定する。
(3) セキュリティ監視装置は、不許可と判
された情報処理端末CXと他の情報処理端末C1,
C2,C3間の通信を遮断するために、情報処理端
CXに対して情報処理端末C1,C2,C3のMACアドレス
として偽造MACアドレス(mac_Z1,mac_Z2,
mac_Z3)を有するARP応答を送信するとともに、
報処理端末C1,C2,C3に対しても情報処理端末CX
MACアドレスとして偽造MACアドレス(mac_XX)を
するARP応答を送信する(S63)。情報処理端末CX
ARP応答を受信すると、自身のARPテーブルを
新(情報処理端末C1のMACアドレスとしてmac_Z1
設定、情報処理端末C2のMACアドレスとしてma
c_Z2を設定、情報処理端末C3のMACアドレスとし
てmac_Z3を設定)するため、情報処理端末C1,C2,C3
との通信ができなくなる。同様にして、情報
処理端末C1,C2,C3はARP応答を受信すると、自身
ARPテーブルを更新(情報処理端末CXのMACアド
スとしてmac_XXを設定)するため、情報処理端
末CXとの通信ができなくなる。
(4) セキュリティ監視装置は、アクセスポ
シーが不許可から許可に更新されるまで一
時間間隔(T1)毎に繰返し送信を続ける(S64)。
以上から、アクセスポリシーに基づき情 処理端末CXと通信が不許可とされている情 処理端末C1,C2,C3、および情報処理端末CXに対 て、偽りのMACアドレスを有するARP応答を一 時間間隔毎に繰返して送信することで、情 処理端末間(CXとC1間、CXとC2間、CXとC3間)の 信を速やかに且つ確実に遮断することがで る。
次に図7は、本発明の実施の形態に係るネッ
トワークセキュリティ監視装置が備えるアク
セスポリシーが許可から不許可に変更された
時の情報処理端末C1とC2間のシーケンス例を
すものである。図7を用いて具体例を説明す
。
(1) セキュリティ監視装置は、アクセスポ
シーで情報処理端末C1と情報処理端末C2間の
信が許可から不許可に変更された時に、情
処理端末C1に対して、C2のIPアドレスと偽造M
ACアドレス(mac_XX) を設定してARP応答を送信す
る(S71)。情報処理端末C1はARP応答を受信する
、自身のARPテーブルを更新(情報処理端末C2
MACアドレスとしてmac_XXを設定)する。情報処
端末C1はARPテーブルの情報を用いて通信し
うとするが、MACアドレスが不正であるため
情報処理端末C2との通信ができなくなる。
(2) さらにセキュリティ監視装置は、情報
理端末C2に対して、C1のIPアドレスと偽造MAC
ドレス(mac_YY) を設定してARP応答を送信する(
S72)。情報処理端末C2はARP応答を受信すると、
自身のARPテーブルを更新(情報処理端末C1のMAC
アドレスとしてmac_YYを設定)するため、情報
理端末C1との通信ができなくなる。
(3) セキュリティ監視装置は、アクセスポ
シーが不許可から許可に更新されるまで一
時間間隔(T1)毎に繰返し送信を続ける(S73,S74,S
75,S76)。
以上から、アクセスポリシーが許可から 許可に変更された時に、該当する情報処理 末(例えばC1,C2)に対して偽りのMACアドレスを 有するARP応答を一定時間間隔毎に繰返して送 信することで、情報処理端末間C1とC2間の通 を速やかに且つ確実に遮断することができ 。
次に図8は、本発明の実施の形態に係るネッ
トワークセキュリティ監視装置が備えるアク
セスポリシーが不許可から許可に変更された
時の情報処理端末C1とC2間のシーケンス例を
すものである。図8を用いて具体例を説明す
。
(1) セキュリティ監視装置は、アクセスポ
シーで情報処理端末C1と情報処理端末C2間の
信が不許可に設定されているため、情報処
端末C1に対して、C2のIPアドレスと偽造MACア
レス(mac_XX) を設定してARP応答を一定時間間
隔(T1)毎に繰返し送信する(S81,S83)とともに、
報処理端末C2に対して、C1のIPアドレスと偽
MACアドレス(mac_YY) を設定してARP応答を一定
間間隔(T1)毎に繰返し送信する(S82,S84)。
(2) セキュリティ監視装置は、アクセスポ
シーで情報処理端末C1と情報処理端末C2間の
信が不許可から許可に変更された時に、(S81
,S83)および(S82,S84)の繰返し送信を停止すると
もに、情報処理端末C1に対して情報処理端
C2の正しいMACアドレス(mac_C2)を有するARP応答
送信する(S85)。情報処理端末C1はARP応答を受
信すると、自身のARPテーブルを更新(情報処
端末C2のMACアドレスとしてmac_C2を設定)し、
報処理端末C2との通信ができるようになる。
(3) さらにセキュリティ監視装置は、情報
理端末C2に対して情報処理端末C1の正しいMAC
ドレス(mac_C1)を有するARP応答を送信する(S86)
。情報処理端末C2はARP応答を受信すると、自
のARPテーブルを更新(情報処理端末C1のMACア
レスとしてmac_C1を設定)し、情報処理端末C1
の通信ができるようになる。
以上から、アクセスポリシーが不許可か 許可に変更された時に、情報処理端末間(C1 C2間)の通信遮断の制御を止めるとともに、 報処理端末C1,C2に対して正しいMACアドレス 有するARP応答を送信することで、情報処理 末間C1とC2間の通信を速やかに再開すること できる。
またネットワークセキュリティ監視装置 備えるアクセスポリシーで不許可と判断さ た情報処理端末Xがネットワーク外部の情報 処理端末と接続しようとしている場合、セキ ュリティ監視装置が情報処理端末CXに対して 継装置のMACアドレスとして偽りのMACアドレ を有するARP応答を一定時間間隔毎に繰返し 送信する。さらにセキュリティ監視装置は ネットワーク内の全ての中継装置に対して 報処理端末CXのMACアドレスとして偽りのMAC ドレスを有するARP応答を一定時間間隔毎に 返して送信する。すなわち、不許可と判断 れた情報処理端末CXに対して中継装置のMACア ドレスとして偽りのMACアドレスを有するARP応 答を一定時間間隔毎に繰返して送信すること で、情報処理端末CXがネットワーク外部の情 処理端末と接続することができなくなる。
またネットワークセキュリティ監視装置 備えるポリシー管理手段14は、ネットワー 内の情報処理端末のMACアドレス/IPアドレス 他に、ソフトウエア更新履歴情報ならびに 続状況などの情報を保持するとともに、前 の情報に基づき情報処理端末間の通信許可/ 許可を判断するためのアクセスポリシーを 理する。ここで、アクセスポリシーの管理 ついては、ソフトウエア更新履歴情報など 情報に基づきアクセスポリシーをプログラ で自動更新する場合と、手動によりアクセ ポリシーを更新する場合とがある。
以上から、ポリシー管理手段14は、ネッ ワーク内の情報処理端末のMACアドレス/IPア レスの他に、ソフトウエア更新履歴情報、 らびに接続状況などの情報に基づき、情報 理端末間の通信の許可/不許可を判断するた のアクセスポリシーを管理することで、例 ばウィルス情報が更新されていない情報処 端末のアクセス対象端末を制限することが 能となり、フェイルセーフなシステムを実 することができる。
次に図9は、本発明の実施の形態に係るネッ
トワークセキュリティ監視システムの構成例
を示すものである。
図9に示すように、ネットワークセキュリテ
ィ監視システムは、前記で説明したネットワ
ークセキュリティ監視装置をセグメント毎に
配置するとともに、セグメント内のセキュリ
ティ管理をするネットワークセキュリティ監
視装置がアクセスポリシーで不許可と定義さ
れた情報処理端末間の通信を遮断し、許可と
定義された情報処理端末間の通信可能状態を
保持している。これにより、セグメント内で
不許可と判断された情報処理端末間の通信を
迅速かつ確実に遮断する制御を行うことが可
能になる。
さらにネットワークセキュリティ監視シ テムは、ネットワーク全体のアクセスポリ ーを一元管理するセキュリティマネージャ 置を備え、該マネージャ装置から最新のポ シー情報を各セグメントに配置されたネッ ワークセキュリティ監視装置にタイムリー 配布するとともに、セグメント内のセキュ ティ管理をするネットワークセキュリティ 視装置がアクセスポリシーで不許可と定義 れた情報処理端末間の通信を遮断し、許可 定義された情報処理端末間の通信可能状態 保持している。これにより、システム全体 ポリシー情報を共有し一元管理することが 能になるとともに、セグメント毎に最新の リシー情報を用いて情報処理端末間の通信 監視し、不許可と判断された情報処理端末 の通信を迅速かつ確実に遮断する制御を行 ことが可能になる。
次に図10は本発明の実施の形態に係るネ トワークセキュリティ監視装置が通信許可 ストを用いて不正な通信遮断を検出するシ ケンス例を示す図である。
[Phase1:通信可能状態]
この段階では情報処理端末A1と情報処理端
B間は通信可能状態にあり、情報処理端末A1
ARPテーブルには情報処理端末BのMACアドレス(
MAC-B)が設定され、情報処理端末BのARPテーブ
には情報処理端末A1のMACアドレス(MAC-A1)が設
されている。
[Phase2:不正な通信遮断が発生していること
検出]
セキュリティ監視装置は、情報処理端末Zが
情報処理端末A1と情報処理端末B間の通信を不
正に遮断していることを検出する。
情報処理端末Zは、情報処理端末A1に対して
送信元IPアドレス(IP-B)と不正なMACアドレス(M
AC-YY)とを有するARPパケットを送信する(P01)。
報処理端末A1は該ARPパケットを受信すると
身のARPテーブルを更新(情報処理端末BのMACア
ドレスとしてMAC-YYを設定)する。この状態で
報処理端末A1がARPテーブルの情報を用いて情
報処理端末Bに対して送信しようとすると、
報処理端末BのMACアドレスが不正であるため
信ができなくなる。
また情報処理端末Zは、情報処理端末Bに対
て、送信元IPアドレス(IP-A1)と不正なMACアド
ス(MAC-XX)とを有するARPパケットを送信する(P0
2)。情報処理端末Bは該ARPパケットを受信する
と自身のARPテーブルを更新(情報処理端末A1の
MACアドレスとしてMAC-XXを設定)する。この状
で情報処理端末BがARPテーブルの情報を用い
情報処理端末A1に対して送信しようとする
、情報処理端末A1のMACアドレスが不正である
ため送信ができなくなる。
一方、セキュリティ監視装置は、常時ネッ
ワーク上で送受信されるARPパケットを監
視し、ARPパケットの送信先IPアドレスが通信
可リストに登録された情報処理端末An(n:1以
の自然数)のIPアドレスと同じIPアドレスを
するARPパケットを抽出し、該ARPパケットの
信元IPアドレスから情報処理端末Bを特定し
該ARPパケットの送信元MACアドレスが前記ア
セスポリシーに登録された情報処理端末BのM
ACアドレスと異なる場合に、該ARPパケットを
正に通信遮断を行う攻撃と判断すると共に
不正に通信遮断を行う攻撃パケットを検出
た旨のアラームを発信する。
図10の例では、P01で送信されたARPパケット
送信先IPアドレス(IP-A1)が通信許可リストに
録されているため、該ARPパケットを抽出し
該ARPパケットの送信元IPアドレスから情報処
理端末Bを特定し、該ARPパケットの送信元MAC
ドレスが前記アクセスポリシーに登録され
情報処理端末BのMACアドレス(MAC-B)と同じか判
定する。該ARPパケットの送信元MACアドレスが
MAC-YYであり、情報処理端末BのMACアドレス(MAC-
B)と異なるため、該ARPパケットを不正に通信
断を行う攻撃と判断する(P03)と共に、不正
通信遮断を行う攻撃パケットを検出した旨
アラームを発信する(P05)。
ここでセキュリティ監視装置が保持する通
許可リストは、ネットワーク上に接続され
全ての情報処理端末と通信許可された情報
理端末An(n:1以上の自然数)のIPアドレス{IP-An1
, IP-An2,・・・, IP-Ani}(i:1以上の自然数)及びMA
Cアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j:1以
の自然数)を有するものである。
また、セキュリティ監視装置は、常時ネッ
ワーク上で送受信されるARPパケットを監視
、ARPパケットの送信元IPアドレスが通信許
リストに登録された情報処理端末An(n:1以上
自然数)のIPアドレスと同じIPアドレスを有す
るARPパケットを抽出し、該ARPパケットの送信
元MACアドレスが通信許可リストに登録された
情報処理端末AnのMACアドレスと同じものがな
場合に、該ARPパケットを不正に通信遮断を
う攻撃と判断すると共に、不正に通信遮断
行う攻撃パケットを検出した旨のアラーム
発信する。
図10の例では、P02で送信されたARPパケット
送信元IPアドレス(IP-A1)が通信許可リストに
録されているため、該ARPパケットを抽出し
該ARPパケットの送信元MACアドレスが通信許
リストに登録された情報処理端末A1のMACアド
レスと同じものがないか判定する。該パケッ
トの送信元MACアドレスがMAC-XXであり、通信許
可リストに登録された情報処理端末A1のMACア
レス(MAC-A1) と異なるため、該ARPパケットを
不正に通信遮断を行う攻撃と判断する(P04)
共に、不正に通信遮断を行う攻撃パケット
検出した旨のアラームを発信する(P05)。
[Phase3:通信可能状態に復旧]
セキュリティ監視装置はP03で不正な通信遮
を検出した場合、情報処理端末A1に対して
報処理端末Bの正しいMACアドレス(MAC-B)を有す
るARPパケットを送信する(P06)。情報処理端末A
1は該パケットを受信すると自身のARPテーブ
を更新(情報処理端末BのMACアドレスとしてMAC
-Bを設定)する。この状態で情報処理端末A1がA
RPテーブルの情報を用いて情報処理端末Bに対
して送信することが可能になる。
またセキュリティ監視装置はP04で不正な通
遮断を検出した場合、情報処理端末Bに対し
て情報処理端末A1の正しいMACアドレス(MAC-A1)
有するARPパケットを送信する(P07)。情報処理
端末Bは該パケットを受信すると自身のARPテ
ブルを更新(情報処理端末BのMACアドレスとし
てMAC-A1を設定)する。この状態で情報処理端
BがARPテーブルの情報を用いて情報処理端末A
1に対して送信することが可能になる。
次に図11は本発明の実施の形態に係るネッ
ワークセキュリティ監視装置が備える通信
可リストの設定例を示す図である。
通信許可リストは、ネットワーク上に接続
れた全ての情報処理端末と通信許可された
報処理端末An(n:1以上の自然数)のIPアドレス{
IP-An1, IP-An2,・・・, IP-Ani}(i:1以上の自然数)
びMACアドレス{MAC-An1, MAC-An2,・・・, MAC-Anj}(j
:1以上の自然数)を定義したものである。
図11の例では、情報処理端末A1のIPアドレス
して {IP-A1}、MACアドレスとして {MAC-A1}が定
義されている。
また情報処理端末A2のIPアドレスとして {IP-
A2}、MACアドレスとして {MAC-A21, MAC-A22,・・・
, MAC-A2j}(j:2以上の自然数)が定義されている
また情報処理端末A3のIPアドレスとして {IP-
A31, IP-A32,・・・, IP-A3i}(i:2以上の自然数)、MA
Cアドレスとして {MAC-A3}が定義されている。
また情報処理端末A4のIPアドレスとして {IP-
A41, IP-A42,・・・, IP-A4k}(k:2以上の自然数)、MA
Cアドレスとして {MAC-A41, MAC-A42,・・・, MAC-A
4m}(m:2以上の自然数)が定義されている。
ここで情報処理端末AnのIPアドレス/MACアド
スが複数個定義されている理由は、例えば
仮想ルータのような場合に複数個のIPアドレ
スやMACアドレスを持つことがあることを考慮
しているためである。
次に図12は本発明の実施の形態に係るネ トワークセキュリティ監視装置がFMAC生成ア ゴリズムを用いて不正な通信遮断を検出す シーケンス例を示す図である。
[Phase1:通信可能状態]
この段階では情報処理端末A1と情報処理端
B間は通信可能状態にあり、情報処理端末A1
ARPテーブルには情報処理端末BのMACアドレス(
MAC-B)が設定され、情報処理端末BのARPテーブ
には情報処理端末A1のMACアドレス(MAC-A1)が設
されている。
[Phase2:不正な通信遮断が発生していること
検出]
セキュリティ監視装置は、情報処理端末Zが
情報処理端末A1と情報処理端末B間の通信を不
正に遮断していることを検出する。
情報処理端末Zは、情報処理端末A1に対して
送信元IPアドレス(IP-B)と不正なMACアドレス(M
AC-YY)とを有するARPパケットを送信する(P11)。
報処理端末A1は該ARPパケットを受信すると
身のARPテーブルを更新(情報処理端末BのMACア
ドレスとしてMAC-YYを設定)する。この状態で
報処理端末A1がARPテーブルの情報を用いて情
報処理端末Bに対して送信しようとすると、
報処理端末BのMACアドレスが不正であるため
信ができなくなる。
また情報処理端末Zは、情報処理端末Bに対
て、送信元IPアドレス(IP-A1)と不正なMACアド
ス(MAC-XX)とを有するARPパケットを送信する(P1
2)。情報処理端末Bは該ARPパケットを受信する
と自身のARPテーブルを更新(情報処理端末A1の
MACアドレスとしてMAC-XXを設定)する。この状
で情報処理端末BがARPテーブルの情報を用い
情報処理端末A1に対して送信しようとする
、情報処理端末A1のMACアドレスが不正である
ため送信ができなくなる。
一方、セキュリティ監視装置においては、
記アクセスポリシーに基づき不許可と判断
れた情報処理端末間の通信を遮断するため
、該情報処理端末に対して偽りのMACアドレ
(FMAC)を有するARPパケットを送信する時に、F
MACは複数の入力パラメータを用いて一方向関
数genFMACにより生成されることにする。ここ
一方向関数genFMACは、例えばハッシュ関数と
てハッシュ値FMACを算出するために、
FMAC = genFMAC(SeedMac,
Time, Secret)
のように定義される。パラメータSeedMacは、
ンダー識別子(OUI: Organizationally
Unique Identifier)であり、MACアドレス(48bit)中の
位24bitは、このベンダー識別子で構成され
。パラメータTimeは、時刻情報であり、年・
・日・時・分・秒などの情報が組合せて使
される。パラメータSecretは、秘密鍵情報で
り、特定の管理者だけが知り得る非公開情
である。MACアドレス(48bit)中の下位24bitは、
ラメータTime, Secretを入力とするハッシュ関
数により生成される疑似乱数で構成される。
ハッシュ関数は、出力から入力のデータを推
測できないこと、同じ出力を持つ入力データ
を容易に作成できないこと等の特徴がある。
次にセキュリティ監視装置は、常時ネット
ーク上で送受信されるARPパケットを監視し
偽りのMACアドレスを有するARPパケットを抽
する。ここで抽出の条件として、例えばARP
ケットのMACアドレスが前記通信許可リスト
たは前記アクセスポリシーに登録された情
処理端末のMACアドレスと同じでない場合と
る。抽出されたARPパケットのMACアドレスが
記一方向関数genFMACを用いて生成したFMACの
と異なる場合に、該ARPパケットを不正に通
遮断を行う攻撃と判断する。すなわち抽出
れたARPパケットが、セキュリティ監視装置
アクセスポリシーに基づき不許可と判断さ
た情報処理端末間の通信を遮断するために
信したARPパケットと同じものかを判定し、
なる場合には、該ARPパケットを不正に通信
断を行う攻撃と判断する。なおFMACの値はハ
シュ関数を利用して生成されているため、
三者が不正な通信遮断を行おうとしてこの
を利用することはできない。
また不正に通信遮断を行う攻撃を検出した
合にアラームを発信することで、管理者は
速な対処を行うことが可能になる。
図12の例では、P11で送信されたARPパケット
送信元MACアドレス(MAC-YY)が偽りのMACアドレス
であるため、該ARPパケットを抽出し、該ARPパ
ケットの送信元MACアドレスが前記一方向関数
genFMACを用いて生成したFMACの値と同じか判定
る。異なる場合には、該ARPパケットを不正
通信遮断を行う攻撃と判断する(P13)と共に
不正に通信遮断を行う攻撃パケットを検出
た旨のアラームを発信する(P15)。
またP12で送信されたARPパケットの送信元MAC
ドレス(MAC-XX)が偽りのMACアドレスであるた
、該ARPパケットを抽出し、該ARPパケットの
信元MACアドレスが前記一方向関数genFMACを用
て生成したFMACの値と同じか判定する。異な
る場合には、該ARPパケットを不正に通信遮断
を行う攻撃と判断する(P14)と共に、不正に通
遮断を行う攻撃パケットを検出した旨のア
ームを発信する(P15)。
また前記一方向関数genFMACのパラメータとし
て時刻情報(Time)を用いることで、FMACの値は
刻により変化する値となるため、仮に第三
がFMACの値を盗んで、この値を用いて不正な
信遮断を行おうとしても、セキュリティ監
装置は不正な通信遮断を検出することがで
る。
なお時刻情報(Time)としては、年・月・日・
・分・秒などの情報を組合せて使用するこ
が考えられる。この場合セキュリティ監視
置は、例えば、図12のP13で不正な通信遮断
検出するために、ARPパケットの送信元MACア
レスが一方向関数genFMACを用いて生成したFMAC
の値と同じか判定する時に、タイムラグを考
慮した判定処理を行うことが必要になる。例
えば次の様な判定処理を行う。
IF { ARPパケットの送信元MACアドレス = genF
MAC(SeedMac, T1, Secret)} or
{
ARPパケットの送信元MACアドレス = genFMAC(SeedM
ac,
T2, Secret)}
ELSE ・・・・不正な通信遮断を検出
ここで、例えばT1=14時11分、T2=14時12分など
使用される。
以上から、アクセスポリシーに基づき不 可と判断された情報処理端末間の通信を遮 するために送信するARPパケット中の「偽り MACアドレス(FMAC)」を、一方向関数genFMACを用 いて生成することで、不正に通信遮断を行う ARPパケットと本発明で通信を遮断するために 送信するARPパケットとを容易に判別ができる ようになる。ハッシュ関数の特徴を利用して 、不正に通信遮断を行うARPパケット中の「偽 りのMACアドレス」とFMACの値とを比較照合す ことで、容易に不正に通信遮断を行う攻撃 検出することが可能になる。また不正に通 遮断を行う攻撃を検出した場合にアラーム 発信することで、管理者は迅速な対処を行 ことが可能になる。
次に前述の図9で説明したネットワークセ キュリティ監視システムに、前述の図10~図12 説明したネットワークセキュリティ監視装 をセグメント毎に配置することで、セグメ ト内に配置されたセキュリティ監視装置が 易に且つ確実に不正に通信遮断を行う攻撃 検出することが可能になる。また攻撃を検 した場合にアラームを発信することで、迅 な対処を行うことが可能になる。さらに攻 を検出した場合に、正しいMACアドレスを有 るARPパケットを送信することで、不正に通 遮断された情報処理端末間の通信を速やか 通信可能状態に復旧することが可能になる
近年、インターネットを中心にした情報ネ
トワーク社会が形成されていく中で、ネッ
ワークセキュリティは必要不可欠のものに
ってきており、セキュリティ関連のツール
多くのベンダーやソフトハウスからリリー
され、多くの企業や大学などで利用されて
るが、本発明は、アクセスポリシーに基づ
情報処理端末間の通信の可否を制御する技
を提供するものであり、前記セキュリティ
連のツールに本発明の技術を利用すること
可能である。
本発明によれば、ネットワーク上に接続さ
た情報処理端末間の通信許可/不許可をアク
セスポリシーに基づき判断し、不許可と判断
された情報処理端末のアクセスポリシーが不
許可から許可に更新されるまで、不許可と判
断された情報処理端末間の通信を遮断するた
めの情報を一定時間間隔毎に繰返して送信す
ること、および不許可と判断された情報処理
端末と他の(複数の)情報処理端末間の通信を
斉に遮断することで、不許可と判断された
報処理端末間の通信を迅速かつ確実に遮断
る制御を行うことが可能になる。同時にア
セスポリシーで許可と定義された情報処理
末間の通信可能状態を保持することになる
また不正に通信遮断を行う攻撃を検出した
合にアラームを発信することで、管理者は
速に対処することが可能になる。さらに攻
を検出した場合に、正しいMACアドレスを有
るARPパケットを送信することで、不正に通
遮断された情報処理端末間の通信を速やか
通信可能状態に復旧することが可能になる
Next Patent: EXHAUST GAS TREATING APPARATUS AND TREATING METHOD