JP2018097660A - Monitoring server, security countermeasure method and program - Google Patents

Monitoring server, security countermeasure method and program Download PDF

Info

Publication number
JP2018097660A
JP2018097660A JP2016242289A JP2016242289A JP2018097660A JP 2018097660 A JP2018097660 A JP 2018097660A JP 2016242289 A JP2016242289 A JP 2016242289A JP 2016242289 A JP2016242289 A JP 2016242289A JP 2018097660 A JP2018097660 A JP 2018097660A
Authority
JP
Japan
Prior art keywords
authentication
account
password
log
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016242289A
Other languages
Japanese (ja)
Inventor
松蘭 朴
Shoran Boku
松蘭 朴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2016242289A priority Critical patent/JP2018097660A/en
Publication of JP2018097660A publication Critical patent/JP2018097660A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To take a prompt countermeasure against an illegal access.SOLUTION: A monitoring server includes: a log acquisition unit 110 that acquires an authentication log from an authentication server; an account processing unit 120 that, when account information included in the authentication log acquired by the log acquisition unit 110 is different from a preset one, changes a password used for authentication and notifies the authentication server of the change of the password; and a login processing unit 130 that forcibly logs out an account logged in using the password before the change when the account processing unit 120 changes the password.SELECTED DRAWING: Figure 1

Description

本発明は、監視サーバ、セキュリティ対策方法およびプログラムに関する。   The present invention relates to a monitoring server, a security countermeasure method, and a program.

近年、サイバー攻撃の巧妙化が進んでいる。この攻撃を突き止めるには、詳細なログの解析が必要となる。ログを詳細に解析するには、手動のログ解析が主流となり、その対策に時間がかかってしまう。
そこで、端末装置のログインの時刻とログアウトの時刻との差分に基づいて、その端末装置が詐称端末であることを検知するシステムが考えられている(例えば、特許文献1参照。)。 In recent years, cyber attacks have become more sophisticated. Detailed log analysis is required to identify this attack. In order to analyze the log in detail, manual log analysis becomes the mainstream, and it takes time to take countermeasures.
Therefore, a system that detects that the terminal device is a misrepresentation terminal based on the difference between the login time and the logout time of the terminal device has been considered (for example, see Patent Document 1).

特開2009−296510号公報JP 2009-296510 A

特許文献1に記載された技術においては、正規の端末装置のログアウトが実施されないと、不正の端末装置を検知することができず、不正のアクセスに対して即時の対策を実施することができないという問題点がある。   In the technique described in Patent Document 1, an unauthorized terminal device cannot be detected unless an authorized terminal device is logged out, and an immediate measure cannot be taken against unauthorized access. There is a problem.

本発明の目的は、上述した課題を解決する監視サーバ、通信システム、セキュリティ対策方法およびプログラムを提供することである。   An object of the present invention is to provide a monitoring server, a communication system, a security countermeasure method, and a program that solve the above-described problems.

本発明の監視サーバは、
認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更し、該パスワードの変更を前記認証サーバへ通知するアカウント処理部と、
前記アカウント処理部が前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施するログイン処理部とを有する。
また、認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定するアカウント処理部と、
前記アカウント処理部が、前記回数が前記閾値を超えたと判定した場合、該IPアドレスが付与された装置からのログイン要求を拒否するログイン処理部とを有する。
また、本発明のセキュリティ対策方法は、
認証サーバから認証ログを取得する処理と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する処理と、
前記パスワードの変更を前記認証サーバへ通知する処理と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する処理とを行う。
また、認証サーバから認証ログを取得する処理と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定する処理と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する処理とを行う。
また、本発明のプログラムは、
コンピュータに実行させるためのプログラムであって、
認証サーバから認証ログを取得する手順と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する手順と、
前記パスワードの変更を前記認証サーバへ通知する手順と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する手順とをコンピュータに実行させる。
また、認証サーバから認証ログを取得する手順と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたどうかを判定する手順と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する手順とをコンピュータに実行させる。 The monitoring server of the present invention
A log acquisition unit for acquiring an authentication log from the authentication server;
If the account information included in the authentication log acquired by the log acquisition unit is different from that set in advance, the account processing unit for changing the password used for authentication and notifying the change of the password to the authentication server;
And a login processing unit that performs forced logout for an account logged in using the password before the change when the account processing unit changes the password.
A log acquisition unit for acquiring an authentication log from the authentication server;
An account processing unit that determines whether or not the number of times that a login request has been made in a predetermined period from devices to which the same IP address is assigned in the authentication log acquired by the log acquisition unit exceeds a threshold;
When the account processing unit determines that the number of times has exceeded the threshold, the account processing unit includes a login processing unit that rejects a login request from a device to which the IP address is assigned.
Further, the security countermeasure method of the present invention includes:
Processing to obtain the authentication log from the authentication server;
When the account information included in the acquired authentication log is different from that set in advance, a process of changing a password used for authentication;
A process of notifying the authentication server of the password change;
When the password is changed, a process of forcibly logging out an account that is logged in using the password before the change is performed.
In addition, the process of obtaining the authentication log from the authentication server,
In the acquired authentication log, a process of determining whether or not the number of times that a login request is made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold value;
When the number of times exceeds the threshold value, a process of rejecting a login request from a device to which the IP address is assigned is performed.
The program of the present invention is
A program for causing a computer to execute,
The procedure to acquire the authentication log from the authentication server,
If the account information included in the acquired authentication log is different from that set in advance, a procedure for changing the password used for authentication;
A procedure for notifying the authentication server of the change of the password;
When the password is changed, the computer is caused to execute a procedure for forcibly logging out an account logged in using the password before the change.
In addition, the procedure to acquire the authentication log from the authentication server,
In the acquired authentication log, a procedure for determining whether or not the number of log-in requests made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold;
When the number of times exceeds the threshold, the computer is caused to execute a procedure for rejecting a login request from a device to which the IP address is assigned.

以上説明したように、本発明においては、不正のアクセスに対して即時の対策を実施することができる。   As described above, in the present invention, immediate countermeasures can be taken against unauthorized access.

本発明の監視サーバの第1の実施の形態を示す図である。It is a figure which shows 1st Embodiment of the monitoring server of this invention. 図1に示した監視サーバにおけるセキュリティ対策方法の一例を説明するためのフローチャートである。3 is a flowchart for explaining an example of a security countermeasure method in the monitoring server shown in FIG. 1. 本発明の監視サーバの第2の実施の形態を示す図である。It is a figure which shows 2nd Embodiment of the monitoring server of this invention. 図3に示した監視サーバにおけるセキュリティ対策方法の一例を説明するためのフローチャートである。It is a flowchart for demonstrating an example of the security countermeasure method in the monitoring server shown in FIG. 本発明の監視サーバの第3の実施の形態を示す図である。It is a figure which shows 3rd Embodiment of the monitoring server of this invention. 図5に示した監視サーバおよび認証サーバの内部構成の一例を示す図である。It is a figure which shows an example of the internal structure of the monitoring server and authentication server which were shown in FIG. 図5に示した通信システムにおけるセキュリティ対策方法の第1の例を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the 1st example of the security countermeasure method in the communication system shown in FIG. 図5に示した通信システムにおけるセキュリティ対策方法の第2の例を説明するためのシーケンス図である。FIG. 6 is a sequence diagram for explaining a second example of the security countermeasure method in the communication system shown in FIG. 5. 図5に示した通信システムにおけるセキュリティ対策方法の第3の例を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the 3rd example of the security countermeasure method in the communication system shown in FIG. 本発明の監視サーバの第4の実施の形態を示す図である。It is a figure which shows 4th Embodiment of the monitoring server of this invention. 図10に示した監視サーバにおけるセキュリティ対策方法の一例を説明するためのシーケンス図である。It is a sequence diagram for demonstrating an example of the security countermeasure method in the monitoring server shown in FIG.

以下に本発明の実施の形態について図面を参照して説明する。
(第1の実施の形態) Embodiments of the present invention will be described below with reference to the drawings.
(First embodiment)

図1は、本発明の監視サーバの第1の実施の形態を示す図である。
本形態における監視サーバ100は図1に示すように、ログ取得部110と、アカウント処理部120と、ログイン処理部130とを有する。なお、図1には、本発明の監視サーバ100が具備する構成要素のうち、本実施の形態に関わる主要な構成要素の一例を示す。 FIG. 1 is a diagram showing a first embodiment of a monitoring server according to the present invention.
As shown in FIG. 1, the monitoring server 100 in this embodiment includes a log acquisition unit 110, an account processing unit 120, and a login processing unit 130. FIG. 1 shows an example of main components related to the present embodiment among the components included in the monitoring server 100 of the present invention.

ログ取得部110は、監視サーバ100と接続された認証サーバから、認証ログを取得する。
アカウント処理部120は、ログ取得部110が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する。アカウント処理部120は、パスワードの変更を認証サーバへ通知する。
ログイン処理部130は、アカウント処理部120がパスワードを変更した場合、変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する。 The log acquisition unit 110 acquires an authentication log from an authentication server connected to the monitoring server 100.
If the account information included in the authentication log acquired by the log acquisition unit 110 is different from that set in advance, the account processing unit 120 changes the password used for authentication. The account processing unit 120 notifies the authentication server of the password change.
When the account processing unit 120 changes the password, the login processing unit 130 performs forced logout on the account that is logged in using the password before the change.

以下に、図1に示した監視サーバ100におけるセキュリティ対策方法について説明する。図2は、図1に示した監視サーバ100におけるセキュリティ対策方法の一例を説明するためのフローチャートである。   Hereinafter, a security countermeasure method in the monitoring server 100 shown in FIG. 1 will be described. FIG. 2 is a flowchart for explaining an example of the security countermeasure method in the monitoring server 100 shown in FIG.

まず、ログ取得部110が、認証サーバから認証ログを取得する(ステップS1)。続いて、取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、アカウント処理部120は、認証に用いるパスワードを変更する(ステップS2)。アカウント処理部120は、パスワードを変更すると、パスワードの変更を認証サーバへ通知する(ステップS3)。
アカウント処理部120がパスワードを変更した場合、ログイン処理部130は、変更前のパスワードを用いてログインされているアカウントがあるかどうかを判定する(ステップS4)。ログイン処理部130は、変更前のパスワードを用いてログインされているアカウントがある場合、そのアカウントに対して強制ログアウトを実施する(ステップS5)。 First, the log acquisition unit 110 acquires an authentication log from the authentication server (step S1). Subsequently, when the account information included in the acquired authentication log is different from that set in advance, the account processing unit 120 changes the password used for authentication (step S2). When changing the password, the account processing unit 120 notifies the authentication server of the password change (step S3).
When the account processing unit 120 changes the password, the login processing unit 130 determines whether there is an account logged in using the password before the change (step S4). If there is an account logged in using the password before change, the login processing unit 130 performs forced logout on the account (step S5).

このように、監視サーバ100は、認証ログに含まれるアカウントが想定外のものである場合、認証に用いるパスワードを変更し、変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する。そのため、不正のアクセスに対して即時の対策を実施することができる。
(第2の実施の形態) As described above, when the account included in the authentication log is an unexpected one, the monitoring server 100 changes the password used for authentication, and performs forced logout on the account that is logged in using the password before the change. carry out. Therefore, immediate countermeasures can be taken against unauthorized access.
(Second Embodiment)

図3は、本発明の監視サーバの第2の実施の形態を示す図である。
本形態における監視サーバ101は図3に示すように、ログ取得部111と、アカウント処理部121と、ログイン処理部131とを有する。なお、図3には、本発明の監視サーバ101が具備する構成要素のうち、本実施の形態に関わる主要な構成要素の一例を示す。 FIG. 3 is a diagram showing a second embodiment of the monitoring server of the present invention.
As shown in FIG. 3, the monitoring server 101 in this embodiment includes a log acquisition unit 111, an account processing unit 121, and a login processing unit 131. FIG. 3 shows an example of main components related to the present embodiment among the components included in the monitoring server 101 of the present invention.

ログ取得部111は、監視サーバ101と接続された認証サーバから、認証ログを取得する。
アカウント処理部121は、ログ取得部111が取得した認証ログにて、互いに同一のIP(Internet Protocol)アドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定する。
ログイン処理部131は、アカウント処理部121が、ログ取得部111が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたと判定した場合、そのIPアドレスが付与された装置からのログイン要求を拒否する。 The log acquisition unit 111 acquires an authentication log from an authentication server connected to the monitoring server 101.
In the authentication log acquired by the log acquisition unit 111, the account processing unit 121 determines whether or not the number of login requests made in a predetermined period from devices assigned the same IP (Internet Protocol) address exceeds a threshold value. Determine.
In the login processing unit 131, the number of times that the account processing unit 121 has made a login request in a predetermined period from devices assigned the same IP address in the authentication log acquired by the log acquisition unit 111 exceeds the threshold. If it is determined that the login request is received, the login request from the device to which the IP address is assigned is rejected.

以下に、図3に示した監視サーバ101におけるセキュリティ対策方法について説明する。図4は、図3に示した監視サーバ101におけるセキュリティ対策方法の一例を説明するためのフローチャートである。   The security countermeasure method in the monitoring server 101 shown in FIG. 3 will be described below. FIG. 4 is a flowchart for explaining an example of the security countermeasure method in the monitoring server 101 shown in FIG.

まず、ログ取得部111が、認証サーバから認証ログを取得する(ステップS11)。続いて、アカウント処理部121が、ログ取得部111が取得した認証ログにて、あらかじめ設定された期間内で、互いに同一のIPアドレスが付与された装置からログイン要求が行われた回数をカウントする(ステップS12)。アカウント処理部121は、カウントした回数があらかじめ設定された閾値を超えたかどうかを判定する(ステップS13)。アカウント処理部121がカウントした回数が閾値を超えている場合、ログイン処理部131は、そのIPアドレスが付与された装置からのログイン要求を拒否する(ステップS14)。   First, the log acquisition unit 111 acquires an authentication log from the authentication server (step S11). Subsequently, the account processing unit 121 counts the number of times login requests are made from devices to which the same IP address is assigned within a preset period in the authentication log acquired by the log acquisition unit 111. (Step S12). The account processing unit 121 determines whether or not the counted number exceeds a preset threshold (step S13). If the number of times counted by the account processing unit 121 exceeds the threshold, the login processing unit 131 rejects a login request from the device to which the IP address is assigned (step S14).

このように、監視サーバ101は、認証ログに基づいて、同一のIPアドレスが付与された装置から所定の期間に閾値を超えたログイン要求があった場合、その装置からのログイン要求を拒否する。そのため、不正のアクセスに対して即時の対策を実施することができる。
(第3の実施の形態) As described above, based on the authentication log, the monitoring server 101 rejects a log-in request from a device to which the same IP address is assigned when a log-in request exceeds a threshold value for a predetermined period. Therefore, immediate countermeasures can be taken against unauthorized access.
(Third embodiment)

図5は、本発明の監視サーバの第3の実施の形態を示す図である。
本形態における監視サーバ102は図5に示すように、認証サーバ202と、利用者端末302−1〜302−3と、通信ネットワーク502と接続されている。また、監視サーバ102は、通信ネットワーク502を介して通信機器402と接続されている。図5においては、利用者端末の数が3台である例を示しているが、その数は限定しない。
利用者端末302−1〜302−3は、ユーザ(クライアント)が所持・操作する通信端末である。
通信機器402は、利用者端末302−1〜302−3が通信ネットワーク502を介して接続する通信装置であって、利用者端末302−1〜302−3に対して所定のサービスを提供する。 FIG. 5 is a diagram showing a third embodiment of the monitoring server of the present invention.
As shown in FIG. 5, the monitoring server 102 in this embodiment is connected to an authentication server 202, user terminals 302-1 to 302-3, and a communication network 502. The monitoring server 102 is connected to the communication device 402 via the communication network 502. FIG. 5 shows an example in which the number of user terminals is three, but the number is not limited.
User terminals 302-1 to 302-3 are communication terminals owned and operated by a user (client).
The communication device 402 is a communication device to which the user terminals 302-1 to 302-3 are connected via the communication network 502, and provides a predetermined service to the user terminals 302-1 to 302-3.

図6は、図5に示した監視サーバ102および認証サーバ202の内部構成の一例を示す図である。   FIG. 6 is a diagram illustrating an example of an internal configuration of the monitoring server 102 and the authentication server 202 illustrated in FIG.

図5に示した監視サーバ102は図6に示すように、ログ取得部112と、アカウント処理部122と、ログイン処理部132と、RADIUS Client処理部142とを有する。なお、図6には、本発明の監視サーバ102が具備する構成要素のうち、本実施の形態に関わる主要な構成要素の一例を示す。   As illustrated in FIG. 6, the monitoring server 102 illustrated in FIG. 5 includes a log acquisition unit 112, an account processing unit 122, a login processing unit 132, and a RADIUS client processing unit 142. FIG. 6 shows an example of main components related to the present embodiment among the components included in the monitoring server 102 of the present invention.

ログ取得部112は、認証サーバ202に具備されたログDB212から、認証ログを取得する。具体的には、ログ取得部112は、認証ログとして、認証要求のアカウント名、アカウント権限、認証結果、要求時刻、要求元のIPアドレス、アカウント情報の更新要求(アカウントの新規登録、削除、権限変更、パスワード変更等)の要求元IPアドレス、特権の割り当てを要求したアカウント等を取得する。
アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する。アカウント処理部122は、パスワードの変更を認証サーバ202へ通知する。具体的には、アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報に含まれる、イベント要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、パスワードを変更する。または、アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報に含まれる、特権割り当ての要求イベントの要求元のアカウントが、あらかじめ設定されたアカウント情報に含まれていない場合、パスワードを変更する。さらに具体的には、アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報に含まれる、アカウント情報の更新の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、パスワードを変更する。または、アカウント処理部122は、ログ取得部112が取得した認証ログに含まれるアカウント情報に含まれる、認証要求の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、パスワードを変更する。
ログイン処理部132は、アカウント処理部122がパスワードを変更した場合、変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する。つまり、ログイン処理部132は、サイバー対策処理を行う構成要素である。
RADIUS Client処理部142は、認証サーバ202に具備されたRADIUS Server処理部242との間でRADIUSの認証プロトコルの処理を行う。RADIUS Client処理部142は、特権アカウントリストを持ち、特権のアカウントをそのリストに登録する。RADIUS Client処理部142は、管理者用端末IPアドレスリストを持ち、管理者が使う通信端末のIPアドレスをそのリストに登録する。RADIUS Client処理部142は、管理者アカウントを使用する通信端末のIPアドレスを変更する場合、監視サーバ102の管理者用端末IPアドレスリストも更新する。なお、上述したRADIUS Client処理部142の機能は、アカウント処理部122が実行するものであっても良い。
また、監視サーバ102は、管理者が使用する通信端末を制限し、その通信端末に固定IPアドレスを割り当てる機能も有する。 The log acquisition unit 112 acquires an authentication log from the log DB 212 provided in the authentication server 202. Specifically, the log acquisition unit 112 uses, as an authentication log, an authentication request account name, account authority, authentication result, request time, request source IP address, account information update request (account new registration, deletion, authority Change, password change, etc.) request source IP address, account that requested the assignment of privilege, and the like.
If the account information included in the authentication log acquired by the log acquisition unit 112 is different from that set in advance, the account processing unit 122 changes the password used for authentication. The account processing unit 122 notifies the authentication server 202 of the password change. Specifically, the account processing unit 122, when the IP address of the event request source included in the account information included in the authentication log acquired by the log acquisition unit 112 is not included in the preset account information, change the password. Alternatively, when the account processing unit 122 does not include the account of the request source of the request event for privilege assignment included in the account information included in the authentication log acquired by the log acquisition unit 112 in the preset account information ,change the password. More specifically, the account processing unit 122 includes the account information update request source IP address included in the account information included in the authentication log acquired by the log acquisition unit 112 in the preset account information. If not, change the password. Alternatively, the account processing unit 122, when the IP address of the request source of the authentication request included in the account information included in the authentication log acquired by the log acquisition unit 112 is not included in the preset account information, To change.
When the account processing unit 122 changes the password, the login processing unit 132 performs forced logout on the account that is logged in using the password before the change. That is, the login processing unit 132 is a component that performs cyber countermeasure processing.
The RADIUS Client processing unit 142 performs a RADIUS authentication protocol process with the RADIUS Server processing unit 242 provided in the authentication server 202. The RADIUS client processing unit 142 has a privileged account list and registers privileged accounts in the list. The RADIUS Client processing unit 142 has an administrator terminal IP address list, and registers the IP address of the communication terminal used by the administrator in the list. When changing the IP address of the communication terminal that uses the administrator account, the RADIUS Client processing unit 142 also updates the administrator terminal IP address list of the monitoring server 102. The function of the RADIUS client processing unit 142 described above may be executed by the account processing unit 122.
The monitoring server 102 also has a function of restricting communication terminals used by the administrator and assigning a fixed IP address to the communication terminals.

図5に示した認証サーバ202は図6に示すように、ログDB212と、アカウント管理部222と、ログイン処理部232と、RADIUS Server処理部242とを有する。   As illustrated in FIG. 6, the authentication server 202 illustrated in FIG. 5 includes a log DB 212, an account management unit 222, a login processing unit 232, and a RADIUS server processing unit 242.

ログDB212は、認証ログを格納するデータベースである。この認証ログは上述した通りである。
アカウント管理部222は、認証可能なアカウントを管理する。アカウント管理部222は、このアカウントをメモリ等に格納しておく。
ログイン処理部232は、認証できたクライアント(利用者端末)のログイン処理を行う。
RADIUS Server処理部242は、監視サーバ102に具備されたRADIUS Client処理部142との間でRADIUSの認証プロトコルの処理を行う。 The log DB 212 is a database that stores an authentication log. This authentication log is as described above.
The account management unit 222 manages accounts that can be authenticated. The account management unit 222 stores this account in a memory or the like.
The login processing unit 232 performs login processing of the authenticated client (user terminal).
The RADIUS server processing unit 242 performs a RADIUS authentication protocol process with the RADIUS client processing unit 142 included in the monitoring server 102.

以下に、図5に示した通信システムにおけるセキュリティ対策方法について説明する。図7は、図5に示した通信システムにおけるセキュリティ対策方法の第1の例を説明するためのシーケンス図である。なお、図7に示した「利用者端末」は図5に示した利用者端末302−1〜302−3のいずれであっても良い。以下、図8、9、11においても同様である。   The security countermeasure method in the communication system shown in FIG. 5 will be described below. FIG. 7 is a sequence diagram for explaining a first example of the security countermeasure method in the communication system shown in FIG. Note that the “user terminal” illustrated in FIG. 7 may be any of the user terminals 302-1 to 302-3 illustrated in FIG. The same applies to FIGS. 8, 9, and 11 below.

ここで、攻撃者(が操作する通信端末)が認証サーバ202に対して、不正に取得した管理者アカウント情報を利用して、監視サーバ102および通信機器402のアカウントの追加、変更を行っている状態を前提とする。この処理のログは、認証サーバ202のログDB212に格納されている。
監視サーバ102のログ取得部112は、ログDB212から認証ログを取得する(ステップS21)。この認証ログの取得は、定期的に行われる。続いて、アカウント処理部122が、ログ取得部112が取得した認証ログを解析する(ステップS22)。具体的には、アカウント処理部122は、アカウント情報の更新イベント(ログイン、パスワードの更新イベント)に対し、アカウント情報に含まれる、イベント要求元のIPアドレスが、あらかじめ設定された管理者用端末IPアドレスリストに存在するかどうかを判定する。
アカウント情報に含まれる、イベント要求元のIPアドレスが管理者用端末IPアドレスリストに存在しない場合、アカウント処理部122は、そのアカウント(管理者)のパスワードを変更し、その旨を認証サーバ202へ通知する(ステップS23)。認証サーバ202は、管理者のパスワードの変更通知を受けると、管理者のパスワードの変更通知の有効化を行う(ステップS24)。
また、アカウント処理部122は、認証サーバ202に対して、変更前のパスワードを用いた認証要求を認証不可として認証不可リストへの追加を指示する(ステップS25)。認証サーバ202は、認証不可リストへの追加の指示を受けると、その追加に基づいて認証不可リストの更新を行う(ステップS26)。
アカウント処理部122がパスワードを変更した後、ログイン処理部132は、変更前のパスワードを用いて通信機器402にログインされているアカウントに対して強制ログアウトを実施する(ステップS27)。
その後、攻撃者が、変更前のパスワードを用いて通信機器402にログインした場合、強制ログアウトが実施される(ステップS28)。同様に、攻撃者が、変更前のパスワードを用いて監視サーバ102にログインした場合、強制ログアウトが実施される(ステップS29)。
その後、利用者端末が認証サーバ202に対して管理者のログインを行うと(ステップS30)、認証サーバ202は、利用者端末に対してパスワードの変更を通知する(ステップS31)。 Here, the attacker (the communication terminal operated by the attacker) adds or changes the account of the monitoring server 102 and the communication device 402 to the authentication server 202 by using the administrator account information obtained illegally. The state is assumed. The log of this process is stored in the log DB 212 of the authentication server 202.
The log acquisition unit 112 of the monitoring server 102 acquires an authentication log from the log DB 212 (step S21). Acquisition of this authentication log is performed periodically. Subsequently, the account processing unit 122 analyzes the authentication log acquired by the log acquisition unit 112 (step S22). Specifically, for the account information update event (login, password update event), the account processing unit 122 sets the IP address of the event request source included in the account information to the administrator terminal IP set in advance. Determine if it exists in the address list.
If the IP address of the event request source included in the account information does not exist in the administrator terminal IP address list, the account processing unit 122 changes the password of the account (administrator) and notifies the authentication server 202 to that effect. Notification is made (step S23). Upon receiving the administrator password change notification, the authentication server 202 validates the administrator password change notification (step S24).
Further, the account processing unit 122 instructs the authentication server 202 to add an authentication request using the password before the change to the authentication disabling list as authentication impossible (step S25). When the authentication server 202 receives an instruction to add to the unauthenticable list, the authentication server 202 updates the unauthenticated list based on the addition (step S26).
After the account processing unit 122 changes the password, the login processing unit 132 performs a forced logout for the account logged in to the communication device 402 using the password before the change (step S27).
Thereafter, when the attacker logs in to the communication device 402 using the password before the change, forced logout is performed (step S28). Similarly, when an attacker logs in to the monitoring server 102 using the password before the change, forced logout is performed (step S29).
Thereafter, when the user terminal logs in the administrator to the authentication server 202 (step S30), the authentication server 202 notifies the user terminal of the password change (step S31).

図8は、図5に示した通信システムにおけるセキュリティ対策方法の第2の例を説明するためのシーケンス図である。   FIG. 8 is a sequence diagram for explaining a second example of the security countermeasure method in the communication system shown in FIG.

ここで、内部犯(が操作する通信端末)が認証サーバ202に対して、既知のアカウント(割り当てを要求してきた要求元アカウント)に対して特権の付与を行っている状態を前提とする。この処理のログは、認証サーバ202のログDB212に格納されている。また、特権とは、ユーザの権利を管理する等、セキュリティ管理者の権限である。
監視サーバ102のログ取得部112は、ログDB212から認証ログを取得する(ステップS41)。この認証ログの取得は、定期的に行われる。続いて、アカウント処理部122が、ログ取得部112が取得した認証ログを解析する(ステップS42)。具体的には、アカウント処理部122は、特権の割り当ての要求イベントに対し、アカウント情報に含まれる、イベント要求元のアカウントまたは特権の割り当ての対象となるアカウントが、あらかじめ設定された特権リスト(特権が割り当てられても良いアカウントの一覧)に存在するかどうかを判定する。
アカウント情報に含まれる、イベント要求元のアカウントまたは特権の割り当ての対象となるアカウントが、あらかじめ設定された特権リストに存在しない場合、アカウント処理部122は、そのアカウント(管理者/特権割り当て)のパスワードを変更し、その旨を認証サーバ202へ通知する(ステップS43)。ここで、管理者/特権割り当てのアカウントは、全ての管理者権限アカウントおよび特権割り当てのアカウントである。認証サーバ202は、管理者/特権割り当てのアカウントのパスワードの変更通知を受けると、管理者/特権割り当てのアカウントのパスワードの変更通知の有効化を行う(ステップS44)。
アカウント処理部122がパスワードを変更した後、ログイン処理部132は、変更前のパスワードを用いて通信機器402にログインされているアカウントに対して強制ログアウトを実施する(ステップS45)。
その後、内部犯が、変更したパスワードの対象となる対象アカウントを用いて通信機器402にログインした場合、強制ログアウトが実施される(ステップS46)。同様に、内部犯が、変更したパスワードの対象となる対象アカウントを用いて監視サーバ102にログインした場合、強制ログアウトが実施される(ステップS47)。
その後、利用者端末が管理者のログインを行うと(ステップS48)、認証サーバ202は、利用者端末に対してパスワードの変更を通知する(ステップS49)。
利用者端末が、監視サーバ102に対して、特権割り当てのアカウントのログインを行うと(ステップS50)、監視サーバ102は利用者端末に対してパスワードの変更通知を行う(ステップS51)。また、利用者端末が、通信機器402に対して、特権割り当てのアカウントのログインを行うと(ステップS52)、通信機器402は利用者端末に対してパスワードの変更通知を行う(ステップS53)。 Here, it is assumed that the internal criminal (the communication terminal operated by the internal criminal) grants privileges to the authentication server 202 with respect to a known account (requester account that has requested allocation). The log of this process is stored in the log DB 212 of the authentication server 202. The privilege is the authority of the security administrator, such as managing user rights.
The log acquisition unit 112 of the monitoring server 102 acquires an authentication log from the log DB 212 (step S41). Acquisition of this authentication log is performed periodically. Subsequently, the account processing unit 122 analyzes the authentication log acquired by the log acquisition unit 112 (step S42). Specifically, in response to a privilege assignment request event, the account processing unit 122 includes a privilege list (privilege list) in which an account of an event request source or an account to be assigned a privilege included in the account information is set in advance. Is present in the list of accounts that may be assigned).
When the account of the event request source included in the account information or the account to which privileges are assigned does not exist in the preset privilege list, the account processing unit 122 sets the password for the account (administrator / privilege assignment). Is notified to the authentication server 202 (step S43). Here, the administrator / privilege assignment account is all administrator authority accounts and privilege assignment accounts. Upon receipt of the administrator / privilege assigned account password change notification, the authentication server 202 validates the administrator / privilege assigned account password change notification (step S44).
After the account processing unit 122 changes the password, the login processing unit 132 performs forced logout for the account logged in to the communication device 402 using the password before the change (step S45).
Thereafter, when the insider logs in to the communication device 402 using the target account that is the target of the changed password, forced logout is performed (step S46). Similarly, when the insider logs in to the monitoring server 102 using the target account that is the target of the changed password, forced logout is performed (step S47).
Thereafter, when the user terminal logs in the administrator (step S48), the authentication server 202 notifies the user terminal of the password change (step S49).
When the user terminal logs in to the monitoring server 102 with a privilege assignment account (step S50), the monitoring server 102 notifies the user terminal of a password change (step S51). When the user terminal logs in to the account for privilege assignment to the communication device 402 (step S52), the communication device 402 notifies the user terminal of a password change (step S53).

図9は、図5に示した通信システムにおけるセキュリティ対策方法の第3の例を説明するためのシーケンス図である。   FIG. 9 is a sequence diagram for explaining a third example of the security countermeasure method in the communication system shown in FIG.

ここで、攻撃者(が操作する通信端末)が、不正に取得した管理者アカウント情報を利用して、通信機器402および認証サーバ202に対してログインの要求を行っている状態を前提とする。この処理のログは、認証サーバ202のログDB212に格納されている。
監視サーバ102のログ取得部112は、ログDB212から認証ログを取得する(ステップS61)。この認証ログの取得は、定期的に行われる。続いて、アカウント処理部122が、ログ取得部112が取得した認証ログを解析する(ステップS62)。具体的には、アカウント処理部122は、管理者アカウントの認証要求のイベントに対し、アカウント権限が管理者である場合、アカウント情報に含まれる、イベント要求元のIPアドレスが、あらかじめ設定された管理者用端末IPアドレスリストに存在するかどうかを判定する。
アカウント情報に含まれる、イベント要求元のIPアドレスが、あらかじめ設定された管理者用端末IPアドレスリストに存在しない場合、アカウント処理部122は、そのアカウント(管理者)のパスワードを変更し、その旨を認証サーバ202へ通知する(ステップS63)。認証サーバ202は、管理者アカウントのパスワードの変更通知を受けると、管理者アカウントのパスワードの変更通知の有効化を行う(ステップS64)。
アカウント処理部122がパスワードを変更した後、ログイン処理部132は、変更前のパスワードを用いて通信機器402にログインされているアカウントに対して強制ログアウトを実施する(ステップS65)。
その後、攻撃者が、変更したパスワードの対象となる管理者アカウントを用いて通信機器402にログインした場合、強制ログアウトが実施される(ステップS66)。同様に、攻撃者が、変更したパスワードの対象となる管理者アカウントを用いて監視サーバ102にログインした場合、強制ログアウトが実施される(ステップS67)。
その後、利用者端末が、監視サーバ102に対して、管理者アカウントのログインを行うと(ステップS68)、監視サーバ102は利用者端末に対してパスワードの変更通知を行う(ステップS69)。また、利用者端末が、通信機器402に対して、管理者アカウントのログインを行うと(ステップS70)、通信機器402は利用者端末に対してパスワードの変更通知を行う(ステップS71)。 Here, it is assumed that an attacker (communication terminal operated by the attacker) makes a login request to the communication device 402 and the authentication server 202 using the administrator account information obtained illegally. The log of this process is stored in the log DB 212 of the authentication server 202.
The log acquisition unit 112 of the monitoring server 102 acquires an authentication log from the log DB 212 (step S61). Acquisition of this authentication log is performed periodically. Subsequently, the account processing unit 122 analyzes the authentication log acquired by the log acquisition unit 112 (step S62). Specifically, if the account authority is an administrator for an administrator account authentication request event, the account processing unit 122 manages the event request source IP address included in the account information in advance. It is determined whether it exists in the user terminal IP address list.
If the IP address of the event request source included in the account information does not exist in the preset administrator terminal IP address list, the account processing unit 122 changes the password of the account (administrator) and Is notified to the authentication server 202 (step S63). Upon receipt of the administrator account password change notification, the authentication server 202 validates the administrator account password change notification (step S64).
After the account processing unit 122 changes the password, the login processing unit 132 performs a forced logout for the account logged in to the communication device 402 using the password before the change (step S65).
Thereafter, when the attacker logs in to the communication device 402 using the administrator account that is the target of the changed password, forced logout is performed (step S66). Similarly, when an attacker logs in to the monitoring server 102 using the administrator account that is the target of the changed password, forced logout is performed (step S67).
Thereafter, when the user terminal logs in the administrator account to the monitoring server 102 (step S68), the monitoring server 102 notifies the user terminal of a password change (step S69). Further, when the user terminal logs in the administrator account to the communication device 402 (step S70), the communication device 402 notifies the user terminal of a password change (step S71).

このように、監視サーバ102は、取得した認証ログに含まれるアカウントが、あらかじめ設定されたリスト内に存在しない場合、そのアカウントを用いてログインを行う場合に用いられるパスワードを変更し、変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する。そのため、不正のアクセスに対して即時の対策を実施することができる。
(第4の実施の形態) As described above, when the account included in the acquired authentication log does not exist in the preset list, the monitoring server 102 changes the password used when logging in using the account, and changes the password before the change. Perform a forced logout for an account that is logged in using a password. Therefore, immediate countermeasures can be taken against unauthorized access.
(Fourth embodiment)

図10は、本発明の監視サーバの第4の実施の形態を示す図である。
本形態における監視サーバ103は図10に示すように、ログ取得部113と、アカウント処理部123と、ログイン処理部133とを有する。なお、監視サーバ103と他の装置やネットワークとの接続形態は、図5に示した監視サーバ102の接続形態と同様である。また、図10には、本発明の監視サーバ103が具備する構成要素のうち、本実施の形態に関わる主要な構成要素の一例を示す。 FIG. 10 is a diagram showing a fourth embodiment of the monitoring server of the present invention.
As shown in FIG. 10, the monitoring server 103 in this embodiment includes a log acquisition unit 113, an account processing unit 123, and a login processing unit 133. Note that the connection form between the monitoring server 103 and other devices or networks is the same as the connection form of the monitoring server 102 shown in FIG. FIG. 10 shows an example of main components related to the present embodiment among the components included in the monitoring server 103 of the present invention.

ログ取得部113は、監視サーバ103と接続された認証サーバ202から、認証ログを取得する。
アカウント処理部123は、ログ取得部113が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数があらかじめ設定された閾値を超えているかどうかを判定する。
ログイン処理部133は、アカウント処理部123が、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたと判定した場合、そのIPアドレスが付与された装置からのログイン要求を拒否する。 The log acquisition unit 113 acquires an authentication log from the authentication server 202 connected to the monitoring server 103.
In the authentication log acquired by the log acquisition unit 113, the account processing unit 123 determines whether the number of login requests made from a device to which the same IP address is assigned exceeds a predetermined threshold. Determine if.
When the account processing unit 123 determines that the number of times that the login request has been made in a predetermined period from devices to which the same IP address is assigned exceeds the threshold, the login processing unit 133 is assigned the IP address. Deny login request from the device.

以下に、図10に示した監視サーバ103におけるセキュリティ対策方法について説明する。図11は、図10に示した監視サーバ103におけるセキュリティ対策方法の一例を説明するためのシーケンス図である。   The security countermeasure method in the monitoring server 103 shown in FIG. 10 will be described below. FIG. 11 is a sequence diagram for explaining an example of a security countermeasure method in the monitoring server 103 shown in FIG.

ここで、攻撃者(が操作する通信端末)が、パスワードの総当たりを行って、認証要求を行い、アカウントリストを攻撃している状態を前提とする。この処理のログは、認証サーバ202のログDB212に格納されている。
監視サーバ103のログ取得部113は、ログDB212から認証ログを取得する(ステップS81)。この認証ログの取得は、定期的に行われる。続いて、アカウント処理部123が、ログ取得部113が取得した認証ログを解析する(ステップS82)。アカウント処理部123は、ログ取得部113が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数があらかじめ設定された閾値を超えているかどうかを判定する(ステップS83)。アカウント処理部123は、例えば、認証要求先毎にイベント回数を統計し、その平均値を計算する。アカウント処理部123は、1日分のイベント数が通常平均の10倍以上である場合、そのログイン要求の回数が異常に多いとみなし、閾値を超えたと判定するものであっても良い。
アカウント処理部123が、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたと判定した場合、ログイン処理部133は、そのIPアドレスが付与された装置(以下、特定PCと称する)からのログイン要求を拒否する処理を通信機器402に対して行う(ステップS84)。すると、通信機器402は、特定PCからのログイン拒否の処理を行う(ステップS85)。また、監視サーバ103のログイン処理部133も、特定PCからのログイン拒否の処理を行う(ステップS86)。
その後、クライアントが特定PCから監視サーバ103にログインを行った場合(ステップS87)、監視サーバ103のログイン処理部133は、そのログインを拒否する(ステップS88)。また、クライアントが特定PCから通信機器402にログインを行った場合(ステップS89)、通信機器402は、そのログインを拒否する(ステップS90)。 Here, it is assumed that the attacker (the communication terminal operated by the attacker) is performing a brute force password, making an authentication request, and attacking the account list. The log of this process is stored in the log DB 212 of the authentication server 202.
The log acquisition unit 113 of the monitoring server 103 acquires an authentication log from the log DB 212 (step S81). Acquisition of this authentication log is performed periodically. Subsequently, the account processing unit 123 analyzes the authentication log acquired by the log acquisition unit 113 (step S82). In the authentication log acquired by the log acquisition unit 113, the account processing unit 123 determines whether the number of login requests made from a device to which the same IP address is assigned exceeds a predetermined threshold. It is determined whether or not (step S83). For example, the account processing unit 123 statistics the number of events for each authentication request destination and calculates the average value. If the number of events for one day is 10 times or more the normal average, the account processing unit 123 may consider that the number of login requests is abnormally large and determine that the threshold has been exceeded.
If the account processing unit 123 determines that the number of login requests made from a device to which the same IP address is assigned exceeds a threshold, the login processing unit 133 is assigned the IP address. Processing for rejecting the login request from the device (hereinafter referred to as a specific PC) is performed on the communication device 402 (step S84). Then, the communication device 402 performs a login rejection process from the specific PC (step S85). In addition, the login processing unit 133 of the monitoring server 103 also performs login rejection processing from the specific PC (step S86).
Thereafter, when the client logs in to the monitoring server 103 from the specific PC (step S87), the login processing unit 133 of the monitoring server 103 rejects the login (step S88). When the client logs in to the communication device 402 from the specific PC (step S89), the communication device 402 rejects the login (step S90).

このように、監視サーバ103は、認証ログに基づいて、同一のIPアドレスが付与された特定PCから所定の期間に閾値を超えたログイン要求があった場合、その特定PCからのログイン要求を拒否する。そのため、不正のアクセスに対して即時の対策を実施することができる。   Thus, based on the authentication log, the monitoring server 103 rejects a login request from a specific PC when a specific PC to which the same IP address is assigned exceeds a threshold during a predetermined period. To do. Therefore, immediate countermeasures can be taken against unauthorized access.

以上、各構成要素に各機能(処理)それぞれを分担させて説明したが、この割り当ては上述したものに限定しない。また、構成要素の構成についても、上述した形態はあくまでも例であって、これに限定しない。   As described above, each function (process) is assigned to each component, but this assignment is not limited to the above. In addition, the configuration described above is merely an example, and the present invention is not limited to this.

上述した監視サーバ100〜103それぞれに設けられた各構成要素が行う処理は、目的に応じてそれぞれ作製された論理回路で行うようにしても良い。また、処理内容を手順として記述したコンピュータプログラム(以下、プログラムと称する)を監視サーバ100〜103それぞれにて読取可能な記録媒体に記録し、この記録媒体に記録されたプログラムを監視サーバ100〜103それぞれに読み込ませ、実行するものであっても良い。監視サーバ100〜103それぞれにて読取可能な記録媒体とは、フロッピー(登録商標)ディスク、光磁気ディスク、DVD(Digital Versatile Disc)、CD(Compact Disc)、Blu−ray(登録商標) Discなどの移設可能な記録媒体の他、監視サーバ100〜103それぞれに内蔵されたROM(Read Only Memory)、RAM(Random Access Memory)等のメモリやHDD(Hard Disc Drive)等を指す。この記録媒体に記録されたプログラムは、監視サーバ100〜103それぞれに設けられたCPU(Central Processing Unit)にて読み込まれ、CPUの制御によって、上述したものと同様の処理が行われる。ここで、CPUは、プログラムが記録された記録媒体から読み込まれたプログラムを実行するコンピュータとして動作するものである。   The processing performed by each component provided in each of the monitoring servers 100 to 103 described above may be performed by a logic circuit that is produced according to the purpose. Further, a computer program (hereinafter referred to as a program) in which processing contents are described as a procedure is recorded on a recording medium readable by each of the monitoring servers 100 to 103, and the program recorded on the recording medium is recorded on the monitoring servers 100 to 103. They may be read and executed by each. Recording media that can be read by each of the monitoring servers 100 to 103 include a floppy (registered trademark) disk, a magneto-optical disk, a DVD (Digital Versatile Disc), a CD (Compact Disc), and a Blu-ray (registered trademark) Disc. In addition to a transferable recording medium, it refers to a ROM (Read Only Memory), a RAM (Random Access Memory), a HDD (Hard Disc Drive), or the like built in each of the monitoring servers 100 to 103. The program recorded on this recording medium is read by a CPU (Central Processing Unit) provided in each of the monitoring servers 100 to 103, and the same processing as described above is performed under the control of the CPU. Here, the CPU operates as a computer that executes a program read from a recording medium on which the program is recorded.

上記の実施の形態の一部または全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更し、該パスワードの変更を前記認証サーバへ通知するアカウント処理部と、
前記アカウント処理部が前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施するログイン処理部とを有する監視サーバ。
(付記2)前記アカウント処理部は、前記アカウント情報に含まれる、イベント要求元のIP(Internet Protocol)アドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する、付記1に記載の監視サーバ。
(付記3)前記アカウント処理部は、前記アカウント情報に含まれる、特権割り当ての要求イベントの要求元のアカウントが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する、付記1に記載の監視サーバ。
(付記4)前記アカウント処理部は、前記アカウント情報に含まれる、アカウント情報の更新の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する、付記2に記載の監視サーバ。
(付記5)前記アカウント処理部は、前記アカウント情報に含まれる、認証要求の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する、付記2に記載の監視サーバ。
(付記6)認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定するアカウント処理部と、
前記アカウント処理部が、前記回数が前記閾値を超えたと判定した場合、該IPアドレスが付与された装置からのログイン要求を拒否するログイン処理部とを有する監視サーバ。
(付記7)認証サーバから認証ログを取得する処理と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する処理と、
前記パスワードの変更を前記認証サーバへ通知する処理と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する処理とを行うセキュリティ対策方法。
(付記8)認証サーバから認証ログを取得する処理と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定する処理と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する処理とを行うセキュリティ対策方法。
(付記9)コンピュータに、
認証サーバから認証ログを取得する手順と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する手順と、
前記パスワードの変更を前記認証サーバへ通知する手順と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する手順とを実行させるためのプログラム。
(付記10)コンピュータに、
認証サーバから認証ログを取得する手順と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたどうかを判定する手順と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する手順とを実行させるためのプログラム。 A part or all of the above embodiment can be described as in the following supplementary notes, but is not limited thereto.
(Appendix 1) A log acquisition unit that acquires an authentication log from the authentication server;
If the account information included in the authentication log acquired by the log acquisition unit is different from that set in advance, the account processing unit for changing the password used for authentication and notifying the change of the password to the authentication server;
A monitoring server comprising: a login processing unit that, when the account processing unit changes the password, forcibly logs out an account that is logged in using the password before the change.
(Additional remark 2) The said account process part changes the said password, when the IP (Internet Protocol) address of event request origin contained in the said account information is not included in the preset account information, Additional remark 1 Monitoring server described in.
(Additional remark 3) The account processing part changes the password when the account of the request source of the request event for privilege assignment included in the account information is not included in the preset account information. Monitoring server described in.
(Additional remark 4) The said account process part changes the said password, when the IP address of the request origin of the update of account information included in the said account information is not included in the preset account information, Additional remark 2 Monitoring server described in.
(Additional remark 5) The said account process part changes the said password, when the IP address of the request origin of the authentication request contained in the said account information is not included in the preset account information, The additional password 2 is described. Monitoring server.
(Appendix 6) A log acquisition unit that acquires an authentication log from the authentication server;
An account processing unit that determines whether or not the number of times that a login request has been made in a predetermined period from devices to which the same IP address is assigned in the authentication log acquired by the log acquisition unit exceeds a threshold;
A monitoring server having a login processing unit that rejects a login request from a device to which the IP address is assigned when the account processing unit determines that the number of times exceeds the threshold.
(Supplementary Note 7) Processing for obtaining an authentication log from the authentication server;
When the account information included in the acquired authentication log is different from that set in advance, a process of changing a password used for authentication;
A process of notifying the authentication server of the password change;
A security countermeasure method for executing a forced logout for an account logged in using the password before the change when the password is changed.
(Supplementary Note 8) Processing for obtaining an authentication log from an authentication server;
In the acquired authentication log, a process of determining whether or not the number of times that a login request is made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold value;
A security countermeasure method for performing a process of rejecting a login request from a device to which the IP address is assigned when the number of times exceeds the threshold.
(Appendix 9)
The procedure to acquire the authentication log from the authentication server,
If the account information included in the acquired authentication log is different from that set in advance, a procedure for changing the password used for authentication;
A procedure for notifying the authentication server of the change of the password;
A program for executing a forced logout procedure for an account logged in using the password before the change when the password is changed.
(Appendix 10)
The procedure to acquire the authentication log from the authentication server,
In the acquired authentication log, a procedure for determining whether or not the number of log-in requests made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold;
A program for executing a procedure for rejecting a login request from a device to which the IP address is assigned when the number of times exceeds the threshold.

100〜103 監視サーバ
110〜113 ログ取得部
120〜123 アカウント処理部
130〜133,232 ログイン処理部
142 RADIUS Client処理部
202 認証サーバ
212 ログDB
222 アカウント管理部
242 RADIUS Server処理部
302−1〜302−3 利用者端末
402 通信機器
502 通信ネットワーク 100 to 103 Monitoring server 110 to 113 Log acquisition unit 120 to 123 Account processing unit 130 to 133,232 Login processing unit 142 RADIUS Client processing unit 202 Authentication server 212 Log DB
222 Account Management Unit 242 RADIUS Server Processing Unit 302-1 to 302-3 User Terminal 402 Communication Device 502 Communication Network

Claims (10)

認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更し、該パスワードの変更を前記認証サーバへ通知するアカウント処理部と、
前記アカウント処理部が前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施するログイン処理部とを有する監視サーバ。 A log acquisition unit for acquiring an authentication log from the authentication server;
If the account information included in the authentication log acquired by the log acquisition unit is different from that set in advance, the account processing unit for changing the password used for authentication and notifying the change of the password to the authentication server;
A monitoring server comprising: a login processing unit that, when the account processing unit changes the password, forcibly logs out an account that is logged in using the password before the change. 請求項1に記載の監視サーバにおいて、
前記アカウント処理部は、前記アカウント情報に含まれる、イベント要求元のIP(Internet Protocol)アドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する監視サーバ。 The monitoring server according to claim 1,
The account processing unit is a monitoring server that changes the password when an IP (Internet Protocol) address of an event request source included in the account information is not included in preset account information. 請求項1に記載の監視サーバにおいて、
前記アカウント処理部は、前記アカウント情報に含まれる、特権割り当ての要求イベントの要求元のアカウントが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する監視サーバ。 The monitoring server according to claim 1,
The account processing unit is a monitoring server that changes the password when a request source account of a privilege assignment request event included in the account information is not included in preset account information. 請求項2に記載の監視サーバにおいて、
前記アカウント処理部は、前記アカウント情報に含まれる、アカウント情報の更新の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する監視サーバ。 The monitoring server according to claim 2,
The account processing unit is a monitoring server that changes the password when the IP address of the account information update request source included in the account information is not included in the preset account information. 請求項2に記載の監視サーバにおいて、
前記アカウント処理部は、前記アカウント情報に含まれる、認証要求の要求元のIPアドレスが、あらかじめ設定されたアカウント情報に含まれていない場合、前記パスワードを変更する監視サーバ。 The monitoring server according to claim 2,
The account processing unit is a monitoring server that changes the password when an IP address of an authentication request source included in the account information is not included in preset account information. 認証サーバから認証ログを取得するログ取得部と、
前記ログ取得部が取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定するアカウント処理部と、
前記アカウント処理部が、前記回数が前記閾値を超えたと判定した場合、該IPアドレスが付与された装置からのログイン要求を拒否するログイン処理部とを有する監視サーバ。 A log acquisition unit for acquiring an authentication log from the authentication server;
An account processing unit that determines whether or not the number of times that a login request has been made in a predetermined period from devices to which the same IP address is assigned in the authentication log acquired by the log acquisition unit exceeds a threshold;
A monitoring server having a login processing unit that rejects a login request from a device to which the IP address is assigned when the account processing unit determines that the number of times exceeds the threshold. 認証サーバから認証ログを取得する処理と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する処理と、
前記パスワードの変更を前記認証サーバへ通知する処理と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する処理とを行うセキュリティ対策方法。 Processing to obtain the authentication log from the authentication server;
When the account information included in the acquired authentication log is different from that set in advance, a process of changing a password used for authentication;
A process of notifying the authentication server of the password change;
A security countermeasure method for executing a forced logout for an account logged in using the password before the change when the password is changed. 認証サーバから認証ログを取得する処理と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたかどうかを判定する処理と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する処理とを行うセキュリティ対策方法。 Processing to obtain the authentication log from the authentication server;
In the acquired authentication log, a process of determining whether or not the number of times that a login request is made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold value;
A security countermeasure method for performing a process of rejecting a login request from a device to which the IP address is assigned when the number of times exceeds the threshold. コンピュータに、
認証サーバから認証ログを取得する手順と、
前記取得した認証ログに含まれるアカウント情報があらかじめ設定されたものとは異なる場合、認証に用いるパスワードを変更する手順と、
前記パスワードの変更を前記認証サーバへ通知する手順と、
前記パスワードを変更した場合、該変更前のパスワードを用いてログインされているアカウントに対して強制ログアウトを実施する手順とを実行させるためのプログラム。 On the computer,
The procedure to acquire the authentication log from the authentication server,
If the account information included in the acquired authentication log is different from that set in advance, a procedure for changing the password used for authentication;
A procedure for notifying the authentication server of the change of the password;
A program for executing a forced logout procedure for an account logged in using the password before the change when the password is changed. コンピュータに、
認証サーバから認証ログを取得する手順と、
前記取得した認証ログにて、互いに同一のIPアドレスが付与された装置から所定の期間にログイン要求が行われた回数が閾値を超えたどうかを判定する手順と、
前記回数が前記閾値を超えた場合、該IPアドレスが付与された装置からのログイン要求を拒否する手順とを実行させるためのプログラム。 On the computer,
The procedure to acquire the authentication log from the authentication server,
In the acquired authentication log, a procedure for determining whether or not the number of log-in requests made in a predetermined period from devices to which the same IP address is assigned exceeds a threshold;
A program for executing a procedure for rejecting a login request from a device to which the IP address is assigned when the number of times exceeds the threshold.
JP2016242289A 2016-12-14 2016-12-14 Monitoring server, security countermeasure method and program Pending JP2018097660A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016242289A JP2018097660A (en) 2016-12-14 2016-12-14 Monitoring server, security countermeasure method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016242289A JP2018097660A (en) 2016-12-14 2016-12-14 Monitoring server, security countermeasure method and program

Publications (1)

Publication Number Publication Date
JP2018097660A true JP2018097660A (en) 2018-06-21

Family

ID=62632982

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016242289A Pending JP2018097660A (en) 2016-12-14 2016-12-14 Monitoring server, security countermeasure method and program

Country Status (1)

Country Link
JP (1) JP2018097660A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7401288B2 (en) 2018-12-28 2023-12-19 エーオー カスペルスキー ラボ System and method for changing account record passwords under threat of unauthorized access to user data

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7401288B2 (en) 2018-12-28 2023-12-19 エーオー カスペルスキー ラボ System and method for changing account record passwords under threat of unauthorized access to user data

Similar Documents

Publication Publication Date Title
JP6952849B2 (en) Session security partition and application profiler
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
CN111935165B (en) Access control method, device, electronic device and medium
US11330005B2 (en) Privileged account breach detections based on behavioral access patterns
US11669616B2 (en) Method to prevent root level access attack and measurable SLA security and compliance platform
US10164982B1 (en) Actively identifying and neutralizing network hot spots
JP2018097660A (en) Monitoring server, security countermeasure method and program
Parmar et al. A different approach of intrusion detection and Response System for Relational Databases
Adeyemo Design of an Intrusion Detection System (IDS) and an Intrusion Prevention System (IPS) for the EIU Cybersecurity Laboratory
Kim et al. A Study on the Security Requirements Analysis to build a Zero Trust-based Remote Work Environment
ALQAHTANI et al. REVIEWING OF CYBERSECURITY THREATS, ATTACKS, AND MITIGATION TECHNIQUES IN CLOUD COMPUTING ENVIRONMENT
Sowmya et al. An empirical framework to detect security attacks on the cloud data storage system