JP2013149109A - Security setting system, security setting method and program - Google Patents

Security setting system, security setting method and program Download PDF

Info

Publication number
JP2013149109A
JP2013149109A JP2012009490A JP2012009490A JP2013149109A JP 2013149109 A JP2013149109 A JP 2013149109A JP 2012009490 A JP2012009490 A JP 2012009490A JP 2012009490 A JP2012009490 A JP 2012009490A JP 2013149109 A JP2013149109 A JP 2013149109A
Authority
JP
Japan
Prior art keywords
virtual machine
identification information
signature
communication
signature file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012009490A
Other languages
Japanese (ja)
Other versions
JP5814138B2 (en
Inventor
Kurayuki Kakan
蔵之 花舘
Kensuke Ishizu
健佑 石津
Motoki Kakinuma
基樹 柿沼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2012009490A priority Critical patent/JP5814138B2/en
Publication of JP2013149109A publication Critical patent/JP2013149109A/en
Application granted granted Critical
Publication of JP5814138B2 publication Critical patent/JP5814138B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To efficiently set signature data suitable for each virtual machine.SOLUTION: A security setting system 100 acquires identification information on a virtual machine image of a virtual machine to be started and virtual machine identification information, and specifies corresponding signature identification information. A signature file corresponding to the specified signature identification information is stored by making the signature file correspond to the acquired virtual machine identification information. The security setting system 100 starts the virtual machine to be started on the basis of the storage of the signature file, and limits communication for the virtual machine when it is determined that communication data to be detected is included in communication data for the started virtual machine.

Description

本発明は、セキュリティ設定システム、セキュリティ設定方法およびプログラムに関する。   The present invention relates to a security setting system, a security setting method, and a program.

近年、ADSL網や光ファイバ網の整備や、各種ネットワークサービスの充実を背景にして、ネットワークに接続される機器の数が飛躍的に増加しており、ネットワークセキュリティの問題が顕著になってきている。   In recent years, with the development of ADSL networks and optical fiber networks and the enhancement of various network services, the number of devices connected to the network has increased dramatically, and network security problems have become prominent. .

ネットワークセキュリティの問題として挙げられるものとして、ネットワーク機器の脆弱性を突いて機器に感染・増殖するコンピュータウィルスや、機器の脆弱性とユーザの設定ミスなどにつけこんでネットワーク機器の制御を奪ったり、機器内に記録されているデータの窃盗や破壊を行ったりする不正アクセスがある。   Examples of network security issues include computer viruses that infect and propagate devices that exploit network device vulnerabilities, device vulnerabilities and user setting errors, and take control of network devices. There is unauthorized access such as stealing or destroying the data recorded inside.

このような外部ネットワークからの攻撃を防止するため、IDS(Intrusion Detection System)やIPS(Intrusion Protection System)といった不正を検知する技術が一般的に用いられている。IDSおよびIPSは、不正アクセスやウイルス等を不正な攻撃として検知するシステムであり、IDSは不正な攻撃を管理者へ通知するのに対し、IPSは管理者へ通知するとともに自動的に通信を遮断する。   In order to prevent such an attack from an external network, techniques for detecting fraud such as IDS (Intrusion Detection System) and IPS (Intrusion Protection System) are generally used. IDS and IPS are systems that detect unauthorized access and viruses as unauthorized attacks. IDS notifies administrators of unauthorized attacks, while IPS notifies administrators and automatically blocks communications. To do.

このようなIDSおよびIPSとして、不正アクセスやコンピュータウィルスを特徴付けるシグネチャデータを、ネットワークを介して配布して監視を行う技術が提案されている(例えば特許文献1)。   As such IDS and IPS, a technique has been proposed in which signature data characterizing unauthorized access and computer virus is distributed and monitored via a network (for example, Patent Document 1).

特開2007−11628号公報JP 2007-11628 A

しかし、仮想マシンを動作させる仮想化基盤上に特許文献1の技術を適用する場合、多くの仮想マシンの起動が想定され、これら一つ一つの仮想マシンのOSやセキュリティ要件に適合したシグネチャデータを設定することが困難となる。また、各仮想マシンのOSやセキュリティ要件に適合したシグネチャデータを設定する場合、管理者は各仮想マシンに対応したシグネチャデータを手動で設定し、仮想マシン毎に配信する必要がある。したがって各仮想マシンに適合したシグネチャデータを効率よく設定するという観点からみると未だ十分とは言えない。   However, when the technology of Patent Document 1 is applied to a virtualization platform that operates a virtual machine, it is assumed that many virtual machines are activated, and signature data that conforms to the OS and security requirements of each virtual machine is assumed. It becomes difficult to set. Further, when setting signature data suitable for the OS and security requirements of each virtual machine, the administrator needs to manually set signature data corresponding to each virtual machine and distribute it for each virtual machine. Therefore, it is still not enough from the viewpoint of efficiently setting signature data suitable for each virtual machine.

本発明は、上述のような事情に鑑みてなされたものであり、各仮想マシンに適合したシグネチャデータを効率よく設定することのできるセキュリティ設定システム、セキュリティ設定方法およびプログラムを提供することを目的としている。   The present invention has been made in view of the circumstances as described above, and an object thereof is to provide a security setting system, a security setting method, and a program capable of efficiently setting signature data suitable for each virtual machine. Yes.

上記目的を達成するため、本発明の第1の観点に係るセキュリティ設定システムは、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段と、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段と、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段と、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段と、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段と、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段と、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段と、
を備えることを特徴とする。 In order to achieve the above object, a security setting system according to the first aspect of the present invention provides:
A virtual machine image identification information acquisition means for acquiring identification information of a virtual machine image that defines a virtual machine to be started;
Virtual machine identification information acquisition means for acquiring virtual machine identification information for identifying the virtual machine to be activated;
Signature identification information storage means for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image When,
Signature identification information specifying means for specifying the signature identification information corresponding to the virtual machine image identification information acquired by the virtual machine image identification information acquisition means based on the signature identification information stored in the signature identification information storage means;
Signature file storage means for storing the virtual machine identification information acquired by the virtual machine identification information acquisition means in association with the signature file indicated by the signature identification information specified by the signature identification information specifying means;
Virtual machine activation means for activating the virtual machine to be activated in response to the signature file being stored by the signature file storage means;
It is determined based on a signature file stored in the signature file storage means whether or not the communication data to be detected is included in the communication data for the virtual machine activated by the virtual machine activation means, and the communication to be detected Communication limiting means for limiting communication to the virtual machine when it is determined that data is included;
It is characterized by providing.

前記通信制御手段は、
利用が要求される仮想マシンの仮想マシン識別情報と前記仮想マシンに対する通信データを示す操作情報とを記憶する仮想マシン識別情報記憶手段と、
前記シグネチャファイル記憶手段で記憶したシグネチャファイルのうち前記仮想マシン識別情報記憶手段に記憶した仮想マシン識別情報に対応するシグネチャファイルを取得するシグネチャファイル取得手段と、
前記シグネチャファイル取得手段で取得したシグネチャファイルの内容と前記仮想マシン識別情報記憶手段で記憶した操作情報の内容とを照合することにより前記検出すべき通信データの有無を判定する不正通信判定手段と、
前記不正通信判定手段により検出すべき通信データ有りと判定された場合に仮想マシンの管理者端末にネットワークを介して不正通信が行われていることを通知する不正通信通知手段と、
をさらに備えるようにしてもよい。 The communication control means includes
Virtual machine identification information storage means for storing virtual machine identification information of a virtual machine requested to be used and operation information indicating communication data for the virtual machine;
Signature file acquisition means for acquiring a signature file corresponding to the virtual machine identification information stored in the virtual machine identification information storage means among the signature files stored in the signature file storage means;
Unauthorized communication determination means for determining the presence or absence of communication data to be detected by comparing the contents of the signature file acquired by the signature file acquisition means and the contents of the operation information stored in the virtual machine identification information storage means;
An unauthorized communication notification means for notifying that an unauthorized communication is being performed via the network to an administrator terminal of the virtual machine when it is determined by the unauthorized communication determination means that there is communication data to be detected;
May be further provided.

前記仮想マシン識別情報記憶手段は、前記仮想マシン識別情報と前記操作情報とを仮想マシンの利用を要求するユーザが使用する通信端末からネットワークを介して取得し、
前記不正通信通知手段は、前記不正通信判定手段により検出すべき通信データ有りと判定された場合に前記通信端末との通信を遮断する、
ようにしてもよい。 The virtual machine identification information storage means acquires the virtual machine identification information and the operation information from a communication terminal used by a user who requests use of a virtual machine via a network.
The unauthorized communication notifying means interrupts communication with the communication terminal when it is determined that there is communication data to be detected by the unauthorized communication determining means.
You may do it.

上記目的を達成するため、本発明の第2の観点に係るセキュリティ設定方法は、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得ステップと、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得ステップと、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶ステップと、
前記仮想マシンイメージ識別情報取得ステップで取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶ステップで記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定ステップと、
前記仮想マシン識別情報取得ステップで取得した仮想マシン識別情報を前記シグネチャ識別情報特定ステップで特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶ステップと、
前記シグネチャファイル記憶ステップによりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動ステップと、
前記仮想マシン起動ステップで起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶ステップで記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限ステップと、
を備えることを特徴とする。 In order to achieve the above object, a security setting method according to the second aspect of the present invention includes:
A virtual machine image identification information acquisition step for acquiring identification information of a virtual machine image defining a virtual machine to be started;
A virtual machine identification information acquisition step for acquiring virtual machine identification information for identifying the virtual machine to be activated;
Signature identification information storing step for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image When,
A signature identification information specifying step for specifying the signature identification information corresponding to the virtual machine image identification information acquired in the virtual machine image identification information acquisition step based on the signature identification information stored in the signature identification information storage step;
A signature file storage step for storing the virtual machine identification information acquired in the virtual machine identification information acquisition step in association with the signature file indicated by the signature identification information specified in the signature identification information specification step;
A virtual machine starting step of starting the virtual machine to be started in response to the signature file being stored by the signature file storing step;
It is determined based on the signature file stored in the signature file storage step whether or not the communication data to be detected is included in the communication data for the virtual machine activated in the virtual machine activation step, and the communication to be detected A communication restriction step for restricting communication to the virtual machine when it is determined that data is included;
It is characterized by providing.

上記目的を達成するため、本発明の第3の観点に係るプログラムは、
コンピュータを、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段、
として機能させることを特徴とする。 In order to achieve the above object, a program according to the third aspect of the present invention provides:
Computer
Virtual machine image identification information acquisition means for acquiring identification information of a virtual machine image defining a virtual machine to be started,
Virtual machine identification information acquisition means for acquiring virtual machine identification information for identifying the virtual machine to be activated,
Signature identification information storage means for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image ,
Signature identification information specifying means for specifying the signature identification information corresponding to the virtual machine image identification information acquired by the virtual machine image identification information acquisition means based on the signature identification information stored in the signature identification information storage means;
Signature file storage means for storing the virtual machine identification information acquired by the virtual machine identification information acquisition means in association with the signature file indicated by the signature identification information specified by the signature identification information specifying means;
Virtual machine activation means for activating the virtual machine to be activated in response to the signature file being stored by the signature file storage means;
It is determined based on a signature file stored in the signature file storage means whether or not the communication data to be detected is included in the communication data for the virtual machine activated by the virtual machine activation means, and the communication to be detected Communication restriction means for restricting communication to the virtual machine when it is determined that data is included;
It is made to function as.

本発明によれば、各仮想マシンに適合したシグネチャデータを効率よく設定するこのできるセキュリティ設定システム、セキュリティ設定方法およびプログラムを提供することができる。   According to the present invention, it is possible to provide a security setting system, a security setting method, and a program that can efficiently set signature data suitable for each virtual machine.

本発明の実施形態に係るセキュリティ設定システムの一例を示すブロック図である。It is a block diagram which shows an example of the security setting system which concerns on embodiment of this invention. シグネチャ管理DBの構成例を示す図である。It is a figure which shows the structural example of signature management DB. 仮想マシンイメージ管理DBの構成例を示す図である。It is a figure which shows the structural example of virtual machine image management DB. 設定処理の一例を示すフローチャートである。It is a flowchart which shows an example of a setting process. 仮想シグネチャ管理DBの一例を示す図である。It is a figure which shows an example of virtual signature management DB. 照合処理の一例を示すフローチャートである。It is a flowchart which shows an example of a collation process.

以下、本発明の実施形態に係るセキュリティ設定システムを、図面を参照して説明する。   Hereinafter, a security setting system according to an embodiment of the present invention will be described with reference to the drawings.

本実施形態に係るセキュリティ設定システム100は、仮想マシン管理装置200と、DBサーバ300とから構成される。セキュリティ設定システム100は、仮想化基盤上で動作する複数の仮想マシンのOSや機能に適合するシグネチャであって予め作成されたものを、DBサーバ300上で管理し、仮想マシンの起動と同時に、各仮想マシンに対応するシグネチャをデータベース上から検索し、配信、設定する、プログラム制御により動作するコンピュータシステムである。   The security setting system 100 according to the present embodiment includes a virtual machine management device 200 and a DB server 300. The security setting system 100 manages, on the DB server 300, signatures that are preliminarily created and matched with the OSs and functions of a plurality of virtual machines that operate on the virtualization infrastructure, This is a computer system operated by program control that searches, distributes, and sets a signature corresponding to each virtual machine from a database.

仮想マシン管理装置200は、主に、仮想マシンの管理者からの入力操作に応じて、起動が要求される仮想マシンに対するシグネチャデータの設定を行うコンピュータであり、図1に示すように、記憶部210と、制御部220と、通信部230と、上記各部を相互に接続するシステムバス240を備えている。   The virtual machine management apparatus 200 is a computer that mainly sets signature data for a virtual machine that is requested to start in response to an input operation from a virtual machine administrator. As shown in FIG. 210, a control unit 220, a communication unit 230, and a system bus 240 that connects the above units to each other.

記憶部210は、フラッシュメモリ、ハードディスク等の不揮発性メモリから構成され、制御部220の各機能部を実現させるためのプログラムと仮想マシン識別情報一覧が記憶されている。また、記憶部210には、後述する処理により、一の仮想マシン識別情報と複数のシグネチャファイルとを対応付ける仮想シグネチャ管理テーブルが格納される。   The storage unit 210 includes a nonvolatile memory such as a flash memory and a hard disk, and stores a program for realizing each functional unit of the control unit 220 and a list of virtual machine identification information. In addition, the storage unit 210 stores a virtual signature management table that associates one virtual machine identification information with a plurality of signature files by processing to be described later.

制御部220は、CPU等から構成される。制御部220は、プログラムに従って動作し、起動を要求された仮想マシンに適合するシグネチャデータを設定する設定処理や、仮想マシンの利用者からの仮想マシン利用要求にしたがってパケットの照合を行う照合処理に必要な機能を提供する。制御部220は、プログラムにより提供される主要な機能部として、仮想マシン管理部221と、シグネチャ管理部222と、パケット監視部223を備えている。   The control unit 220 includes a CPU and the like. The control unit 220 operates in accordance with a program and performs setting processing for setting signature data suitable for a virtual machine requested to be started, and verification processing for matching packets according to a virtual machine usage request from a virtual machine user. Provide necessary functions. The control unit 220 includes a virtual machine management unit 221, a signature management unit 222, and a packet monitoring unit 223 as main functional units provided by the program.

仮想マシン管理部221は、詳しくは後述するが、記憶部210に格納されている仮想マシン識別情報一覧に従って起動を要求された仮想マシンに一意に対応する仮想マシン識別情報を作成する機能と、シグネチャ管理部222に、対応するシグネチャデータの取得を要求する機能と、起動を要求された仮想マシンを起動する機能を有している。   As will be described in detail later, the virtual machine management unit 221 creates a virtual machine identification information uniquely corresponding to a virtual machine requested to start according to a list of virtual machine identification information stored in the storage unit 210, and a signature. The management unit 222 has a function for requesting acquisition of corresponding signature data and a function for starting a virtual machine requested to start.

シグネチャ管理部222は、詳しくは後述するが、仮想マシン管理部221からの要求に応じてDBサーバ300に、対応するシグネチャデータの検索と取得を要求する機能と、取得したシグネチャデータをシグネチャ管理テーブルとして記憶部210へ格納する機能を有している。   As will be described in detail later, the signature management unit 222 requests the DB server 300 to search and acquire corresponding signature data in response to a request from the virtual machine management unit 221, and the acquired signature data is stored in the signature management table. As a storage unit 210.

パケット監視部223は、詳しくは後述するが、仮想マシンの利用者からの利用要求に応じて、記憶部210に格納されているシグネチャID管理テーブルを参照してパケットパターンの照合を行い、仮想マシンへのアクセス許可を判定する機能を有している。   As will be described later in detail, the packet monitoring unit 223 refers to the signature ID management table stored in the storage unit 210 in response to a usage request from a user of the virtual machine, and performs packet pattern matching. It has a function to determine access permission to.

通信部230は、シリアルインタフェース、或いはアナログ信号を受信するためのアナログインタフェースを有している。通信部230は、制御部220による制御により、DBサーバ300と通信を行う。   The communication unit 230 has a serial interface or an analog interface for receiving an analog signal. The communication unit 230 communicates with the DB server 300 under the control of the control unit 220.

DBサーバ300は、仮想マシン管理装置200からの指示にしたがって、対応するシグネチャデータを検索し、仮想マシン管理装置200へシグネチャデータを提供するコンピュータである。DBサーバ300には、図2に示すようなシグネチャ管理DBと図3に示すような仮想マシンイメージ管理DBとが格納される。図2に示すシグネチャ管理DBは、シグネチャファイル管理テーブルとシグネチャID管理テーブルとから構成され、シグネチャファイル管理テーブルは、不正アクセスやウイルスの情報を定義したシグネチャファイルを、シグネチャを識別するシグネチャ識別情報ごとに対応づけたテーブルである。なお、シグネチャファイルには、不正アクセスやウイルスを検出した際に行われる処理等も含まれている。シグネチャID管理テーブルは、シグネチャ識別情報を、仮想マシンイメージを識別する仮想マシン識別情報ごとに対応づけたテーブルである。図3に示す仮想マシンイメージ管理DBは、仮想マシンイメージ管理テーブルから構成される。仮想マシンイメージ管理テーブルは、仮想マシンイメージファイルを特定する仮想マシンイメージファイル名を、仮想マシンイメージを識別する仮想マシン識別情報と対応づけたテーブルである。   The DB server 300 is a computer that searches for corresponding signature data in accordance with an instruction from the virtual machine management apparatus 200 and provides the signature data to the virtual machine management apparatus 200. The DB server 300 stores a signature management DB as shown in FIG. 2 and a virtual machine image management DB as shown in FIG. The signature management DB shown in FIG. 2 includes a signature file management table and a signature ID management table. The signature file management table includes a signature file that defines unauthorized access and virus information for each signature identification information that identifies a signature. Is a table associated with. The signature file includes processing performed when unauthorized access or a virus is detected. The signature ID management table is a table in which signature identification information is associated with each virtual machine identification information for identifying a virtual machine image. The virtual machine image management DB illustrated in FIG. 3 includes a virtual machine image management table. The virtual machine image management table is a table in which a virtual machine image file name that identifies a virtual machine image file is associated with virtual machine identification information that identifies a virtual machine image.

DBサーバ300は、仮想マシン管理装置200からの要求にしたがって仮想マシンイメージファイルやシグネチャファイルを、格納された各種テーブルから検索し、仮想マシン管理装置200へ提供する。   The DB server 300 searches a stored virtual machine image file and signature file from various stored tables in accordance with a request from the virtual machine management apparatus 200 and provides the virtual machine image file and signature file to the virtual machine management apparatus 200.

以上が、セキュリティ設定システム100の構成である。続いて、セキュリティ設定システム100の動作について、図4〜図6を参照して説明する。   The above is the configuration of the security setting system 100. Next, the operation of the security setting system 100 will be described with reference to FIGS.

まず、設定処理におけるセキュリティ設定システム100の動作について、図4を参照して説明する。設定処理は、仮想マシンの管理者によるコンピュータの入力操作により、仮想マシンの起動要求を、通信部230を介して受信することにより開始される。   First, the operation of the security setting system 100 in the setting process will be described with reference to FIG. The setting process is started by receiving a virtual machine activation request via the communication unit 230 by a computer input operation by a virtual machine administrator.

制御部220は、仮想マシン管理部221の機能により仮想マシンの起動要求を取得する(ステップS101)。仮想マシンの起動要求には、起動が要求される仮想マシンの仮想マシンイメージ識別情報が含まれている。   The control unit 220 acquires a virtual machine activation request by the function of the virtual machine management unit 221 (step S101). The virtual machine activation request includes virtual machine image identification information of the virtual machine requested to be activated.

そして、仮想マシン管理部221は、記憶部210に格納されている仮想マシン識別情報一覧に含まれる複数の仮想マシン識別情報から任意の識別情報を選択するなどして、仮想マシン識別情報を生成する(ステップS102)。なお、一度選択された仮想マシン識別情報は、仮想マシンの起動が終了するまでは再度選択されることのないように仮想マシン管理部221により制御される。また、起動を要求する仮想マシンが複数ある場合には、それぞれの要求に対して仮想マシン識別情報が生成される。   Then, the virtual machine management unit 221 generates virtual machine identification information by, for example, selecting arbitrary identification information from a plurality of virtual machine identification information included in the virtual machine identification information list stored in the storage unit 210. (Step S102). Note that the virtual machine identification information once selected is controlled by the virtual machine management unit 221 so that it is not selected again until the activation of the virtual machine is completed. When there are a plurality of virtual machines that request activation, virtual machine identification information is generated for each request.

続いて仮想マシン管理部221は、仮想マシンイメージ識別情報を、通信部230を介してDBサーバ300へ送信し、仮想マシンイメージファイルの送信を要求する(ステップS103)。仮想マシンイメージファイルは、起動する仮想マシンの構成を定義する構成情報定義ファイルなどであり、仮想マシンを起動する際に参照される。   Subsequently, the virtual machine management unit 221 transmits the virtual machine image identification information to the DB server 300 via the communication unit 230, and requests transmission of the virtual machine image file (step S103). The virtual machine image file is a configuration information definition file that defines the configuration of the virtual machine to be started, and is referred to when starting the virtual machine.

DBサーバ300は、仮想マシン管理装置200から仮想マシンイメージ識別情報を受信すると、仮想マシン管理装置200からの要求に応じたデータを検索して提供する検索処理を開始する。まず、DBサーバ300は、仮想マシンイメージ管理DBを参照することにより、当該仮想マシンイメージ識別情報に対応する仮想マシンイメージファイルを検索して特定する(ステップS201)。そしてDBサーバ300は、検索結果として、特定した仮想マシンイメージファイルを仮想マシン管理装置200へ送信する(ステップS202)。   When the DB server 300 receives the virtual machine image identification information from the virtual machine management apparatus 200, the DB server 300 starts a search process for searching and providing data according to a request from the virtual machine management apparatus 200. First, the DB server 300 searches for and specifies a virtual machine image file corresponding to the virtual machine image identification information by referring to the virtual machine image management DB (step S201). Then, the DB server 300 transmits the identified virtual machine image file to the virtual machine management apparatus 200 as a search result (step S202).

仮想マシン管理装置200の制御部220は、仮想マシン管理部221の機能により通信部230を介して仮想マシンイメージファイルを取得すると、仮想マシン識別情報と仮想マシンイメージ識別情報とをシグネチャ管理部222へ渡す。シグネチャ管理部222は、仮想マシン識別情報と仮想マシンイメージ識別情報とを取得すると、取得した仮想マシンイメージ識別情報を、通信部230を介してDBサーバ300へ送信してシグネチャファイルの送信を要求する(ステップS104)。   When the control unit 220 of the virtual machine management apparatus 200 acquires the virtual machine image file via the communication unit 230 by the function of the virtual machine management unit 221, the virtual machine identification information and the virtual machine image identification information are sent to the signature management unit 222. hand over. When the signature management unit 222 acquires the virtual machine identification information and the virtual machine image identification information, the signature management unit 222 transmits the acquired virtual machine image identification information to the DB server 300 via the communication unit 230 to request transmission of the signature file. (Step S104).

DBサーバ300は、仮想マシン管理装置200から仮想マシンイメージ識別情報を受信すると、当該仮想マシンイメージ識別情報に対応するシグネチャ識別情報を、シグネチャID管理テーブルを参照して特定する(ステップS203)。続いてDBサーバ300は、ステップS203の処理で特定したシグネチャ識別情報に対応するシグネチャファイルを、シグネチャファイル管理テーブルを参照して特定する(ステップS204)。ステップS204の処理の後、DBサーバ300は、特定してシグネチャファイルを仮想マシン管理装置200に送信して(ステップS205)、処理を終了する。   When receiving the virtual machine image identification information from the virtual machine management apparatus 200, the DB server 300 identifies signature identification information corresponding to the virtual machine image identification information with reference to the signature ID management table (step S203). Subsequently, the DB server 300 specifies a signature file corresponding to the signature identification information specified in the process of step S203 with reference to the signature file management table (step S204). After the process of step S204, the DB server 300 identifies and transmits the signature file to the virtual machine management apparatus 200 (step S205), and ends the process.

仮想マシン管理装置200の制御部220は、シグネチャ管理部222の機能により通信部230を介してシグネチャファイルを取得すると、図5に示すように、取得したシグネチャファイルをステップS104の処理で取得した仮想マシン識別情報と対応付けて、記憶部210の仮想シグネチャ管理DBのシグネチャ管理テーブルへ格納する(ステップS105)。ステップS106の処理の後、シグネチャ管理部222は、シグネチャID管理テーブルへの格納が正常に行われたことを示す格納完了通知を仮想マシン管理部221へ渡す。   When the control unit 220 of the virtual machine management apparatus 200 acquires the signature file via the communication unit 230 by the function of the signature management unit 222, as illustrated in FIG. 5, the acquired signature file is acquired in the process of step S104. The information is stored in the signature management table of the virtual signature management DB in the storage unit 210 in association with the machine identification information (step S105). After the processing in step S106, the signature management unit 222 passes a storage completion notification indicating that the storage in the signature ID management table has been normally performed to the virtual machine management unit 221.

図4に戻り、仮想マシン管理部221は、格納完了通知を取得すると、ステップS202の処理によりDBサーバ300から送信された仮想マシンイメージファイルに基づいて、仮想マシンの管理者により起動の要求された仮想マシンを起動する(ステップS106)。   Returning to FIG. 4, when the virtual machine management unit 221 obtains the storage completion notification, the virtual machine manager requested to start based on the virtual machine image file transmitted from the DB server 300 in the process of step S202. The virtual machine is activated (step S106).

ステップS106の処理の後、仮想マシン管理部221は、仮想マシンの起動が完了したことを示す起動完了通知を、通信部230を介して仮想マシンの管理者に送信し(ステップS107)、設定処理を終了する。   After the process of step S106, the virtual machine management unit 221 transmits a start completion notification indicating that the start of the virtual machine is completed to the administrator of the virtual machine via the communication unit 230 (step S107), and the setting process Exit.

次に、照合処理におけるセキュリティ設定システム100の動作について、図6を参照して説明する。照合処理は、対象となる仮想マシンの通信を監視する処理であり、仮想マシンが起動されることにより開始される。ここでは、仮想マシンの利用者により仮想マシンに対する利用要求が送信された場合における通信の監視を例に説明する。   Next, the operation of the security setting system 100 in the verification process will be described with reference to FIG. The verification process is a process for monitoring communication of a target virtual machine, and is started when the virtual machine is activated. Here, an example of monitoring communication when a use request for a virtual machine is transmitted by a user of the virtual machine will be described.

制御部220は、パケット監視部223の機能により、仮想マシンの利用要求を取得する(ステップS301)。仮想マシンの利用要求には、利用が要求される仮想マシンの仮想マシン識別情報と、当該仮想マシン上での処理の内容や通信データの内容を示す操作情報とが含まれている。なお、当該セキュリティ設定システム100は、仮想マシンに対する通信を全て監視するため、利用要求に限らず、例えば、通信の宛先やポート番号、プロトコルやパケットのデータ部を取得する機能も有している。   The control unit 220 acquires a virtual machine use request by the function of the packet monitoring unit 223 (step S301). The use request for the virtual machine includes virtual machine identification information of the virtual machine requested to be used, and operation information indicating the contents of processing on the virtual machine and the contents of communication data. Since the security setting system 100 monitors all communication with the virtual machine, the security setting system 100 has a function of acquiring not only a use request but also a communication destination, a port number, a protocol, and a packet data portion, for example.

続いてパケット監視部223は、取得した仮想マシン識別情報に基づいて、当該仮想マシン識別情報に対応するシグネチャファイルを、記憶部210に格納されている仮想シグネチャ管理テーブルから検索して特定する(ステップS302)。パケット監視部223は、ステップS302の処理で特定したシグネチャファイルを参照することで、当該シグネチャファイルの内容と、ステップS301の処理で取得した仮想マシンの利用要求に含まれる操作情報とを照合し、不正パケットであるか否かを判定する(ステップS303)。   Subsequently, based on the acquired virtual machine identification information, the packet monitoring unit 223 searches for and identifies a signature file corresponding to the virtual machine identification information from the virtual signature management table stored in the storage unit 210 (step). S302). The packet monitoring unit 223 collates the contents of the signature file with the operation information included in the virtual machine use request acquired in step S301 by referring to the signature file specified in step S302. It is determined whether or not the packet is an illegal packet (step S303).

ステップS303の処理では、例えば、当該操作情報により示される通信データパケットのパケットパターンが、ステップS302の処理で特定したシグネチャファイルに含まれているか否かを、当該シグネチャファイルの内容(シグネチャデータ)を参照して判定する。パケット監視部223は、シグネチャファイルに当該パケットパターンが含まれている場合に不正パケットであると判定し、含まれていない場合には、不正パケットではないと判定する。   In the process of step S303, for example, whether or not the packet pattern of the communication data packet indicated by the operation information is included in the signature file specified in the process of step S302, the contents (signature data) of the signature file are determined. Judgment by reference. The packet monitoring unit 223 determines that the packet is an illegal packet when the signature file includes the packet pattern, and determines that the packet is not an illegal packet when the signature file does not include the packet pattern.

ステップS303の処理において、不正パケットではないと判定した場合(ステップS303;No)、パケット監視部223は、ステップS301で取得した仮想マシンの利用要求により特定される仮想マシンに対してのアクセスを許可し、操作情報により特定される操作を開始させ(ステップS304)、処理を終了する。   If it is determined in step S303 that the packet is not an illegal packet (step S303; No), the packet monitoring unit 223 permits access to the virtual machine specified by the virtual machine use request acquired in step S301. Then, the operation specified by the operation information is started (step S304), and the process is terminated.

一方、ステップS303の処理において、不正パケットであると判定した場合(ステップS303;Yes)、パケット監視部223は、当該セキュリティ設定システム100がIDSを採用しているかIPSを採用しているかに応じた処理を行い(ステップS306)、処理を終了する。   On the other hand, if it is determined in step S303 that the packet is an illegal packet (step S303; Yes), the packet monitoring unit 223 depends on whether the security setting system 100 employs IDS or IPS. Processing is performed (step S306), and the processing is terminated.

例えば、当該セキュリティ設定システム100がIDSを採用している場合には、不正パケットを検知したことを示す不正検知情報を、仮想マシンの管理者へ送信し、IPSを採用している場合には、不正パケットを検知した場合に、当該パケットを破棄して、仮想マシンの管理者と利用者に通知する。なお、この例では当該セキュリティ設定システム100における照合処理にて、仮想マシンに対する通信の監視を行う処理について説明したが、当該セキュリティ設定システム100は、監視対象の仮想マシンから利用者端末等への通信についても同様にして監視を行うことができる。   For example, when the security setting system 100 employs IDS, fraud detection information indicating that a fraudulent packet has been detected is transmitted to the administrator of the virtual machine, and when IPS is employed, When an illegal packet is detected, the packet is discarded and notified to the virtual machine administrator and user. In this example, the process of monitoring communication with the virtual machine in the verification process in the security setting system 100 has been described. However, the security setting system 100 performs communication from the monitored virtual machine to a user terminal or the like. Monitoring can be performed in a similar manner.

以上が、セキュリティ設定システム100の動作である。このような構成によれば、仮想マシンイメージを識別する仮想マシンイメージ識別情報に対応するシグネチャ識別情報が特定され、特定されたシグネチャ識別情報により識別されるシグネチャファイルが動的に設定されることとなる。したがって、各仮想マシンに適合したシグネチャデータを効率よく設定することができる。また、各仮想マシンの起動と同時に動的にシグネチャデータが設定されるため、仮想マシンの起動からシグネチャデータを設定するまでのタイムラグが解消され、その間における不正アクセス等の攻撃を防止することができる。   The operation of the security setting system 100 has been described above. According to such a configuration, the signature identification information corresponding to the virtual machine image identification information for identifying the virtual machine image is specified, and the signature file identified by the specified signature identification information is dynamically set. Become. Therefore, signature data suitable for each virtual machine can be set efficiently. In addition, since signature data is set dynamically at the same time as each virtual machine is started, the time lag from the start of the virtual machine to the setting of the signature data is eliminated, and attacks such as unauthorized access during that time can be prevented. .

(変形例)
この発明は、上記の実施形態に限定されず、種々の変形及び応用が可能である。図4に示す設定処理において、ステップS102の処理の後に、ステップS103の処理とステップS201〜S202の処理を実行する例を示したが、これは一例である。当該ステップS103の処理とステップS201〜S202の処理は、ステップS105の処理の後でステップS106における仮想マシンの起動前に実行してもよい。 (Modification)
The present invention is not limited to the above-described embodiment, and various modifications and applications are possible. In the setting process shown in FIG. 4, the example in which the process in step S103 and the processes in steps S201 to S202 are executed after the process in step S102 is shown, but this is an example. The processing in step S103 and the processing in steps S201 to S202 may be executed after the processing in step S105 and before the virtual machine is started in step S106.

また、上記実施形態では、セキュリティ設定システム100が仮想マシン管理装置200と、DBサーバ300とから構成される例を示したが、仮想マシン管理装置200が、DBサーバ300が備えるシグネチャ管理DBと仮想マシンイメージ管理DBとを備えていれば、セキュリティ設定システム100は、仮想マシン管理装置200から構成されてもよい。   In the above embodiment, the security setting system 100 includes the virtual machine management apparatus 200 and the DB server 300. However, the virtual machine management apparatus 200 includes the signature management DB and the virtual server included in the DB server 300. If the machine image management DB is provided, the security setting system 100 may be configured from the virtual machine management device 200.

また、上記実施形態では、物理的構成を有する仮想マシン管理装置200により上記各処理を実行する例を示したが、これは一例である。例えば、図示しないサーバ上で予め格納されている仮想化ソフトウェアを起動し、当該仮想マシン管理装置200における各構成を仮想化環境で使用してもよい。すなわち、仮想マシン管理装置200自体を仮想サーバとしてもよい。   In the above-described embodiment, an example in which each process is executed by the virtual machine management apparatus 200 having a physical configuration has been described. For example, virtualization software stored in advance on a server (not shown) may be activated, and each configuration in the virtual machine management apparatus 200 may be used in a virtualization environment. That is, the virtual machine management apparatus 200 itself may be a virtual server.

上記実施形態では、ステップS105の処理において、シグネチャファイルを仮想マシン識別情報と対応付けて仮想シグネチャ管理DBのシグネチャ管理テーブルに格納する例を示したが、当該仮想シグネチャ管理テーブルは仮想マシン毎に、仮想マシンの管理者により編集可能であってもよい。この場合には、編集後のシグネチャファイルのファイル名を変更することが望ましい。   In the above embodiment, in the process of step S105, an example is shown in which the signature file is associated with the virtual machine identification information and stored in the signature management table of the virtual signature management DB. However, the virtual signature management table is It may be editable by the administrator of the virtual machine. In this case, it is desirable to change the file name of the signature file after editing.

また、上述の機能を、OS(Operating System)とアプリケーションとの分担、またはOSとアプリケーションとの協同により実現する場合等には、OS以外の部分のみを媒体に格納してもよい。   Further, when the above-described functions are realized by sharing between an OS (Operating System) and an application, or by cooperation between the OS and the application, only a part other than the OS may be stored in the medium.

また、搬送波にプログラムを重畳し、通信ネットワークを介して配信することも可能である。例えば、通信ネットワーク上の掲示板(BBS、Bulletin Board System)に当該プログラムを掲示し、ネットワークを介して当該プログラムを配信してもよい。そして、これらのプログラムを起動し、オペレーティングシステムの制御下で、他のアプリケーションプログラムと同様に実行することにより、上述の処理を実行できるように構成してもよい。   It is also possible to superimpose a program on a carrier wave and distribute it via a communication network. For example, the program may be posted on a bulletin board (BBS, Bulletin Board System) on a communication network, and the program may be distributed via the network. Then, the above-described processing may be executed by starting these programs and executing them in the same manner as other application programs under the control of the operating system.

100 セキュリティ設定システム
200 仮想マシン管理装置
210 記憶部
220 制御部
221 仮想マシン管理部
222 シグネチャ管理部
223 パケット監視部
230 通信部
240 システムバス
300 DBサーバ DESCRIPTION OF SYMBOLS 100 Security setting system 200 Virtual machine management apparatus 210 Memory | storage part 220 Control part 221 Virtual machine management part 222 Signature management part 223 Packet monitoring part 230 Communication part 240 System bus 300 DB server

Claims (5)

起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段と、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段と、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段と、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段と、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段と、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段と、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段と、
を備えることを特徴とするセキュリティ設定システム。 A virtual machine image identification information acquisition means for acquiring identification information of a virtual machine image that defines a virtual machine to be started;
Virtual machine identification information acquisition means for acquiring virtual machine identification information for identifying the virtual machine to be activated;
Signature identification information storage means for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image When,
Signature identification information specifying means for specifying the signature identification information corresponding to the virtual machine image identification information acquired by the virtual machine image identification information acquisition means based on the signature identification information stored in the signature identification information storage means;
Signature file storage means for storing the virtual machine identification information acquired by the virtual machine identification information acquisition means in association with the signature file indicated by the signature identification information specified by the signature identification information specifying means;
Virtual machine activation means for activating the virtual machine to be activated in response to the signature file being stored by the signature file storage means;
It is determined based on a signature file stored in the signature file storage means whether or not the communication data to be detected is included in the communication data for the virtual machine activated by the virtual machine activation means, and the communication to be detected Communication limiting means for limiting communication to the virtual machine when it is determined that data is included;
A security setting system comprising: 前記通信制御手段は、
利用が要求される仮想マシンの仮想マシン識別情報と前記仮想マシンに対する通信データを示す操作情報とを記憶する仮想マシン識別情報記憶手段と、
前記シグネチャファイル記憶手段で記憶したシグネチャファイルのうち前記仮想マシン識別情報記憶手段に記憶した仮想マシン識別情報に対応するシグネチャファイルを取得するシグネチャファイル取得手段と、
前記シグネチャファイル取得手段で取得したシグネチャファイルの内容と前記仮想マシン識別情報記憶手段で記憶した操作情報の内容とを照合することにより前記検出すべき通信データの有無を判定する不正通信判定手段と、
前記不正通信判定手段により検出すべき通信データ有りと判定された場合に仮想マシンの管理者端末にネットワークを介して不正通信が行われていることを通知する不正通信通知手段と、
をさらに備えることを特徴とする請求項1に記載のセキュリティ設定システム。 The communication control means includes
Virtual machine identification information storage means for storing virtual machine identification information of a virtual machine requested to be used and operation information indicating communication data for the virtual machine;
Signature file acquisition means for acquiring a signature file corresponding to the virtual machine identification information stored in the virtual machine identification information storage means among the signature files stored in the signature file storage means;
Unauthorized communication determination means for determining the presence or absence of communication data to be detected by comparing the contents of the signature file acquired by the signature file acquisition means and the contents of the operation information stored in the virtual machine identification information storage means;
An unauthorized communication notification means for notifying that an unauthorized communication is being performed via the network to an administrator terminal of the virtual machine when it is determined by the unauthorized communication determination means that there is communication data to be detected;
The security setting system according to claim 1, further comprising: 前記仮想マシン識別情報記憶手段は、前記仮想マシン識別情報と前記操作情報とを仮想マシンの利用を要求するユーザが使用する通信端末からネットワークを介して取得し、
前記不正通信通知手段は、前記不正通信判定手段により検出すべき通信データ有りと判定された場合に前記通信端末との通信を遮断する、
ことを特徴とする請求項2に記載のセキュリティ設定システム。 The virtual machine identification information storage means acquires the virtual machine identification information and the operation information from a communication terminal used by a user who requests use of a virtual machine via a network.
The unauthorized communication notifying means interrupts communication with the communication terminal when it is determined that there is communication data to be detected by the unauthorized communication determining means.
The security setting system according to claim 2. 起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得ステップと、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得ステップと、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶ステップと、
前記仮想マシンイメージ識別情報取得ステップで取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶ステップで記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定ステップと、
前記仮想マシン識別情報取得ステップで取得した仮想マシン識別情報を前記シグネチャ識別情報特定ステップで特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶ステップと、
前記シグネチャファイル記憶ステップによりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動ステップと、
前記仮想マシン起動ステップで起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶ステップで記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限ステップと、
を備えることを特徴とするセキュリティ設定方法。 A virtual machine image identification information acquisition step for acquiring identification information of a virtual machine image defining a virtual machine to be started;
A virtual machine identification information acquisition step for acquiring virtual machine identification information for identifying the virtual machine to be activated;
Signature identification information storing step for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image When,
A signature identification information specifying step for specifying the signature identification information corresponding to the virtual machine image identification information acquired in the virtual machine image identification information acquisition step based on the signature identification information stored in the signature identification information storage step;
A signature file storage step for storing the virtual machine identification information acquired in the virtual machine identification information acquisition step in association with the signature file indicated by the signature identification information specified in the signature identification information specification step;
A virtual machine starting step of starting the virtual machine to be started in response to the signature file being stored by the signature file storing step;
It is determined based on the signature file stored in the signature file storage step whether or not the communication data to be detected is included in the communication data for the virtual machine activated in the virtual machine activation step, and the communication to be detected A communication restriction step for restricting communication to the virtual machine when it is determined that data is included;
A security setting method comprising: コンピュータを、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段、
として機能させることを特徴とするプログラム。 Computer
Virtual machine image identification information acquisition means for acquiring identification information of a virtual machine image defining a virtual machine to be started,
Virtual machine identification information acquisition means for acquiring virtual machine identification information for identifying the virtual machine to be activated,
Signature identification information storage means for storing signature identification information for identifying a signature file including communication data to be detected for a virtual machine activated based on the virtual machine image in association with the identification information of the virtual machine image ,
Signature identification information specifying means for specifying the signature identification information corresponding to the virtual machine image identification information acquired by the virtual machine image identification information acquisition means based on the signature identification information stored in the signature identification information storage means;
Signature file storage means for storing the virtual machine identification information acquired by the virtual machine identification information acquisition means in association with the signature file indicated by the signature identification information specified by the signature identification information specifying means;
Virtual machine activation means for activating the virtual machine to be activated in response to the signature file being stored by the signature file storage means;
It is determined based on a signature file stored in the signature file storage means whether or not the communication data to be detected is included in the communication data for the virtual machine activated by the virtual machine activation means, and the communication to be detected Communication restriction means for restricting communication to the virtual machine when it is determined that data is included;
A program characterized by functioning as
JP2012009490A 2012-01-19 2012-01-19 Security setting system, security setting method and program Active JP5814138B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012009490A JP5814138B2 (en) 2012-01-19 2012-01-19 Security setting system, security setting method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012009490A JP5814138B2 (en) 2012-01-19 2012-01-19 Security setting system, security setting method and program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015183559A Division JP6010672B2 (en) 2015-09-17 2015-09-17 Security setting system, security setting method and program

Publications (2)

Publication Number Publication Date
JP2013149109A true JP2013149109A (en) 2013-08-01
JP5814138B2 JP5814138B2 (en) 2015-11-17

Family

ID=49046542

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012009490A Active JP5814138B2 (en) 2012-01-19 2012-01-19 Security setting system, security setting method and program

Country Status (1)

Country Link
JP (1) JP5814138B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016095597A (en) * 2014-11-12 2016-05-26 富士通株式会社 Disposition control program, disposition controller and disposition control method

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005251189A (en) * 2004-02-13 2005-09-15 Microsoft Corp System and method for protecting network-connected computer system from attacks
US20060136720A1 (en) * 2004-12-21 2006-06-22 Microsoft Corporation Computer security management, such as in a virtual machine or hardened operating system
JP2007011628A (en) * 2005-06-29 2007-01-18 Matsushita Electric Ind Co Ltd Signature distribution device and signature distribution system
US20100043073A1 (en) * 2008-08-13 2010-02-18 Fujitsu Limited Anti-virus method, computer, and recording medium
JP2011160301A (en) * 2010-02-02 2011-08-18 Nec Corp Packet transfer system, and method of avoiding packet concentration in the system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005251189A (en) * 2004-02-13 2005-09-15 Microsoft Corp System and method for protecting network-connected computer system from attacks
US20060136720A1 (en) * 2004-12-21 2006-06-22 Microsoft Corporation Computer security management, such as in a virtual machine or hardened operating system
JP2006178936A (en) * 2004-12-21 2006-07-06 Microsoft Corp Computer security management, such as in virtual machine or hardened operating system
JP2007011628A (en) * 2005-06-29 2007-01-18 Matsushita Electric Ind Co Ltd Signature distribution device and signature distribution system
US20100043073A1 (en) * 2008-08-13 2010-02-18 Fujitsu Limited Anti-virus method, computer, and recording medium
JP2010044613A (en) * 2008-08-13 2010-02-25 Fujitsu Ltd Anti-virus method, computer, and program
JP2011160301A (en) * 2010-02-02 2011-08-18 Nec Corp Packet transfer system, and method of avoiding packet concentration in the system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016095597A (en) * 2014-11-12 2016-05-26 富士通株式会社 Disposition control program, disposition controller and disposition control method

Also Published As

Publication number Publication date
JP5814138B2 (en) 2015-11-17

Similar Documents

Publication Publication Date Title
US10630643B2 (en) Dual memory introspection for securing multiple network endpoints
US9698988B2 (en) Management control method, apparatus, and system for virtual machine
RU2568295C2 (en) System and method for temporary protection of operating system of hardware and software from vulnerable applications
EP2973171B1 (en) Context based switching to a secure operating system environment
JP2019512791A (en) Protecting Dynamic and Temporary Virtual Machine Instances in Cloud Environments
US9652276B2 (en) Hypervisor and virtual machine protection
WO2016160595A1 (en) System and method for threat-driven security policy controls
EP3416333A1 (en) Seamless provision of secret token to cloud-based assets on demand
US8826275B2 (en) System and method for self-aware virtual machine image deployment enforcement
KR20160110274A (en) Server Apparatus for Dynamic Secure Module and Driving Method Thereof
JP2014023120A (en) Information processing apparatus, method, and program
CN113039542A (en) Secure counting in cloud computing networks
KR101107056B1 (en) Method for protecting important information of virtual machine in cloud computing environment
JP6010672B2 (en) Security setting system, security setting method and program
JP5814138B2 (en) Security setting system, security setting method and program
CN105791221B (en) Rule issuing method and device
JP5736346B2 (en) Virtualization device, virtualization control method, virtualization device control program
JP5835022B2 (en) Distribution apparatus, distribution processing method and program, information processing apparatus, information processing method and program
JP2005044021A (en) Network security method, network security program, network security system and information management device
US20130074190A1 (en) Apparatus and method for providing security functions in computing system
JP5635115B2 (en) Quarantine program, quarantine method and information processing apparatus
KR101415403B1 (en) System and method for providign secure space being shared
WO2016148471A1 (en) Dynamic security module server device and operating method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140826

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150526

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150730

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150818

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150917

R150 Certificate of patent or registration of utility model

Ref document number: 5814138

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350