JP7360087B2 - Security monitoring device and security monitoring method - Google Patents
Security monitoring device and security monitoring method Download PDFInfo
- Publication number
- JP7360087B2 JP7360087B2 JP2019178223A JP2019178223A JP7360087B2 JP 7360087 B2 JP7360087 B2 JP 7360087B2 JP 2019178223 A JP2019178223 A JP 2019178223A JP 2019178223 A JP2019178223 A JP 2019178223A JP 7360087 B2 JP7360087 B2 JP 7360087B2
- Authority
- JP
- Japan
- Prior art keywords
- transmission
- data
- security
- connection
- connection unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
この発明は、例えば、インターネットなどを介して送受される種々のデータについてのセキュリティ(安全性)を監視する装置、当該装置で用いられるセキュリティを監視する方法に関する。 The present invention relates to a device for monitoring the security of various data sent and received via the Internet, for example, and a method for monitoring security used in the device.
複数の異なるセキュリティ機能を1つのハードウェアに統合し、ネットワークに関するセキュリティ管理を集中的に行うようにする統合脅威管理(Unified Threat Management)装置が、企業等で利用されるようになってきている。統合脅威管理装置(以下、UTM装置と記載する。)においては、コンピュータウィルスに感染することを防止するためのいわゆるウィルスチェックに関し、利用シーンに応じてセキュリティレベルを動的に変更可能にすることも行われている。具体的に、後に記す特許文献1には、UTM装置に関し、アクセス先が提供するコンテンツのカテゴリ、当該コンテンツのファイルタイプなどに応じて、ウィルスの検知方式を動的に切り替える技術が開示されている。
2. Description of the Related Art Unified Threat Management devices, which integrate multiple different security functions into one piece of hardware and centralize network security management, are increasingly being used by businesses and the like. In integrated threat management devices (hereinafter referred to as UTM devices), it is also possible to dynamically change the security level depending on the usage scene regarding so-called virus checks to prevent computer virus infection. It is being done. Specifically,
UTM装置は、同じ会社の本社と支社、あるいは、自社と取引先といった、離れた場所ごとであって、データの送受信を行う、いわゆる拠点ごとに設けられる場合も多い。この場合、送信側のUTM装置で送信データについてセキュリティチェックが行われ、受信側のUTM装置で受信データ(受信した送信データ)についてセキュリティチェックが行われる。つまり、UTM装置同士で信頼関係が保たることが判断できないので、送信側と受信側とのそれぞれにおいて、送受される同じデータについてセキュリティチェックが行われ、結果として二重に同様のセキュリティチェックが行われることになる。 UTM devices are often installed at separate locations, such as the head office and branch offices of the same company, or between the company and its business partners, and at so-called bases where data is sent and received. In this case, the UTM device on the transmitting side performs a security check on the transmitted data, and the UTM device on the receiving side performs a security check on the received data (received transmitted data). In other words, since it is not possible to determine whether a trust relationship is maintained between UTM devices, a security check is performed on the same data sent and received on both the sending and receiving sides, and as a result, the same security check is performed twice. You will be killed.
このように、送受信されるデータについて、送信側と受信側とでセキュリティチェックが行われる場合、セキュリティチェックにも時間がかかるため、データの送受信に時間がかかる要因になる場合があると考えられる。特に、送受するデータのデータ量が多い場合には、二重のセキュリティチェックのために、通信速度が遅くなる可能性があると考えられる。 In this way, when a security check is performed between the sending side and the receiving side for data to be sent and received, the security check also takes time, which may be a factor in the time it takes to send and receive data. In particular, when there is a large amount of data to be sent and received, the double security check may slow down the communication speed.
以上のことに鑑み、送受されるデータについて、送信側と受信側とでセキュリティチェックが二重に行われることを防止し、通信速度を悪化させることが無いようにすることを目的とする。 In view of the above, it is an object of the present invention to prevent redundant security checks on transmitted and received data between the transmitting side and the receiving side, and to prevent deterioration of communication speed.
上記課題を解決するため、請求項1に記載の発明のセキュリティ監視装置は、
広域ネットワークへの接続を可能にする第1の接続部と、
端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加され、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と
を備えることを特徴とする。
In order to solve the above problem, the security monitoring device of the invention according to
a first connection allowing connection to a wide area network;
a second connection part that enables connection of the terminal device to its own device;
a transmission check means for performing a security check on transmission data transmitted through the wide area network in response to a request from a terminal device connected through the second connection unit;
an addition means for adding predetermined checked information to the transmission data that has been security checked by the transmission checking means; the addition means adds the checked information and includes version information of the transmission source device; Transmission processing means for transmitting the transmission data to the wide area network through the first connection unit and transmitting it to the other party.
請求項1に記載の発明のセキュリティ監視装置によれば、送信時チェック手段によりセキュリティチェックがされた送信データには、付加手段によって所定のチェック済み情報が付加され、また、当該送信データには、送信元の装置のバージョン情報が含まれており、送信処理手段によって相手先に送信される。これにより、送信先においては、受信データ(受信した送信データ)に所定のチェック済み情報が付加されているか否かの識別を行い、この識別結果と送信元の装置のバージョン情報とに応じて、受信データについてセキュリティチェックを行うか否かを決めることが可能になる。
According to the security monitoring device of the invention according to
この発明によれば、受信側において、受信データについてセキュリティチェックがされたものか否かを適切に判別することができる。これにより、受信側において、受信データについて、セキュリティチェックを行うか否かを適切に決めることができ、送受されるデータについて、送信側と受信側とでセキュリティチェックが二重に掛けられることを防止し、通信速度の悪化を防止できる。 According to this invention, on the receiving side, it is possible to appropriately determine whether or not received data has undergone a security check. This allows the receiving side to appropriately decide whether or not to perform a security check on the received data, and prevents double security checks on the sending and receiving data on the sending and receiving side. This can prevent deterioration in communication speed.
以下、図を参照しながら、この発明のセキュリティ監視装置、セキュリティ監視システムの一実施の形態について説明する。なお、以下においては、データの送信側と受信側とでVPN(Virtual Private Network)技術を用いることにより、データを送受信する場合を例にして説明する。VPN技術は、例えば、企業において、本社や複数の支店などの拠点間を相互に接続し、各拠点間でセキュリティの高い通信を行う場合などに用いられる。VPN技術は、カプセル化や暗号化などの技術を用い、インターネットなどのパブリックネットワーク上でもセキュアなポイント・ツー・ポイント接続を実現するものである。 DESCRIPTION OF THE PREFERRED EMBODIMENTS An embodiment of a security monitoring device and a security monitoring system of the present invention will be described below with reference to the drawings. In the following description, an example will be explained in which data is transmitted and received by using VPN (Virtual Private Network) technology between the data transmitting side and the data receiving side. VPN technology is used, for example, in companies to interconnect bases such as a head office or multiple branches and to perform highly secure communications between the bases. VPN technology uses techniques such as encapsulation and encryption to realize secure point-to-point connections even on public networks such as the Internet.
[セキュリティ監視システムの構成例]
図1は、この発明によるセキュリティ監視装置、セキュリティ監視方法の一実施の形態が適用されたUTM装置が用いられて構成されたセキュリティ監視システムの構成例を説明するための図である。図1に示した例の場合には、説明を簡単にするため、ネットワーク4に対して、拠点Aに設置されたUTM装置1Aと、拠点Bに設置されたUTM装置1Bとが接続されている場合を示している。すなわち、UTM装置1AとUTM装置1Bとは、例えば、同じ会社の本社と支社、あるいは、自社と取引先といった離れた場所ごとであって、データの送受信を行う拠点Aと拠点Bとに設けられたものである。
[Security monitoring system configuration example]
FIG. 1 is a diagram for explaining a configuration example of a security monitoring system configured using a UTM device to which an embodiment of a security monitoring device and a security monitoring method according to the present invention is applied. In the example shown in FIG. 1, for simplicity of explanation, a UTM device 1A installed at site A and a
ネットワーク4は、主にはインターネットであるが、UTM装置1A、1Bとインターネットまでを接続する公衆交換電話網やLAN(Local Area Network)などをも含むものである。なお、公衆交換電話網には、従来型の電話網の他、光回線電話網などを含む。
The network 4 is mainly the Internet, but also includes a public switched telephone network and a LAN (Local Area Network) that connect the UTM
図1に示すように、UTM装置1Aに対しては、LAN3Aを介して1台以上のパーソナルコンピュータ、この例ではn台のパーソナルコンピュータ(図1ではPCと記載。)2A(1)、2A(2)、…、2A(n)が接続されている。同様に、UTM装置1Bに対しては、LAN3Bを介して1台以上のパーソナルコンピュータ、この例ではn台のパーソナルコンピュータ(図1ではPCと記載。)2B(1)、2B(2)、…、2B(n)が接続されている。
As shown in FIG. 1, one or more personal computers, in this example, n personal computers (indicated as PC in FIG. 1) 2A(1), 2A( 2),..., 2A(n) are connected. Similarly, for the UTM
例えば、拠点Aに設置されたPC2A(1)と、拠点Bに設置されたPC2B(1)との間では、インターネット電話サービスを用いたり、データ転送機能を用いたりして、音声データ、画像データ、テキストデータなどの送受信を行うことが可能である。このように、例えば、拠点Aに設置されたPC2A(1)と拠点Bに設置されたPC2B(1)との間で、データの送受信を行う場合には、従来は、送信側のUTM装置と受信側のUTM装置とで、同様にセキュリティチェックを行っていた。
For example, between PC 2A (1) installed at base A and PC 2B (1) installed at base B, audio data, image data, etc. It is possible to send and receive text data, etc. In this way, for example, when transmitting and receiving data between
しかし、この実施の形態においては、送信側のUTM装置で適切にセキュリティチェックがされた送信データについては、これが受信側で受信された場合に、受信側のUTM装置において重ねて同様のセキュリティチェックを行うことがないようにしている。すなわち、拠点Aに設置されたPC2A(1)から拠点Bに設置されたPC2B(1)に送信されるデータについては、送信側のUTM装置1Aでセキュリティチェックがされたら、受信側のUTM装置1Bではセキュリティチェックを行わない。
However, in this embodiment, when transmitted data that has been properly security checked by the UTM device on the transmitting side is received by the UTM device on the receiving side, the same security check is performed again on the UTM device on the receiving side. I try not to have anything to do. In other words, for data sent from PC 2A (1) installed at site A to PC 2B (1) installed at site B, after a security check is performed on the sending side UTM device 1A, the data is sent to the receiving
同様に、拠点Bに設置されたPC2B(1)から拠点Aに設置されたPC2A(1)に送信されるデータについては、送信側のUTM装置1Bでセキュリティチェックがされたら、受信側のUTM装置1Aではセキュリティチェックを行わない。このようにすることにより、セキュリティチェックを二重に行うことが無いようにし、セキュリティチェックのために、データの転送が遅延するなどといった不都合が生じないようにしている。
Similarly, for data sent from PC 2B (1) installed at site B to PC 2A (1) installed at site A, after a security check is performed by UTM
以下に、セキュリティチェックを行うUTM装置1A、1Bの構成例について説明する。なお、UTM装置1AとUTM装置1Bとは、同様に構成され、同様の機能を実現するものである。このため、以下においては特に区別して示す必要がある場合を除き、UTM装置1AとUTM装置1Bとについては、拠点A、Bを区別することなくUTM装置1と記載する。
Below, an example of the configuration of the UTM
また、PC2A(1)、2A(2)、…、2A(n)とPC2B(1)、2B(2)、…、2B(n)についても、同様に構成され、同様の機能を実現するものである。このため、以下においては特に区別して示す必要がある場合を除き、PC2A(1)、2A(2)、…、2A(n)と、PC2B(1)、2B(2)、…、2B(n)とについては、拠点A、Bを区別することなく、PC2(1)、2(2)、…、2(n)と記載する。 Also, PC2A(1), 2A(2),..., 2A(n) and PC2B(1), 2B(2),..., 2B(n) are configured in the same way and realize the same functions. It is. Therefore, in the following, PC2A(1), 2A(2), ..., 2A(n) and PC2B(1), 2B(2), ..., 2B(n) will be used unless it is necessary to distinguish between them. ) are written as PC2(1), 2(2), ..., 2(n) without distinguishing between bases A and B.
また、LAN3AとLAN3Bとは、同様に構成され、同様の機能を実現するものである。このため、以下においては特に区別して示す必要がある場合を除き、LAN3AとLAN3Bとについては、拠点A、Bを区別することなく、LAN3と記載する。このように、拠点Aに形成されたLANシステムと、拠点Bに形成されたLANシステムとは、同様に構成されるUTM装置とPCとがLANを通じて接続されて構成されたものである。すなわち、拠点Aと拠点Bとにおいて、同様の機能を実現するLANシステムが構成されている。
Further, the LAN 3A and the
[UTM装置1の構成例]
図2は、UTM装置1の構成例を説明するためのブロック図である。UTM装置1は、ネットワーク4への接続端101Tと通信I/F(interface)101と制御部102を備える。通信I/F101は、ネットワーク4を通じて送信されてきたデータを自機において処理可能な形式のデータに変換して取り込み、制御部102に供給する処理を行う。また、通信I/F101は、制御部102からのデータを送信する形式のデータに変換し、ネットワーク4を通じて目的とする相手先に送信する処理を行う。ネットワーク4に接続された通信装置との通信は、接続端101T及び通信I/F101とを通じて行うことになる。
[Configuration example of UTM device 1]
FIG. 2 is a block diagram for explaining a configuration example of the
制御部102は、図示しないが、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、不揮発性メモリなどがバスを介して接続されて構成されたマイクロプロセッサである。制御部102は、UTM装置1の各部を制御する機能を実現する。記憶装置103は、例えば、HDD(hard disk drive)やSSD(Solid State Drive)といった、記録媒体とそのドライバとからなる装置部であり、種々のデータの記録媒体への記録、変更、削除を行う。記憶装置103は、必要となるデータやプログラムを記憶保持する他、種々の処理において生じる中間データを一時記憶する作業領域としても用いられる。
Although not shown, the
暗号化部104は、VPN技術を用いてデータの送信を行うため、自機から送出するデータに対してカプセル化や暗号化を施す処理を行う。暗号解読部105は、VPN技術を用いてデータの受信を行うため、自機が受信したデータに施されているカプセル化の解除や暗号化の解読の処理をして、自機において利用可能なデータに復元する処理を行う。また、UTM装置1は、LANI/F(interface)106及びLAN接続端106Tを備える。LAM接続端106Tには、LAN3を通じて、PC2(1)、2(2)、…2(n)が接続される。UTM装置1は、PC2(1)、2(2)、…、2(n)のそれぞれとは、LANI/F106及びLAN接続端106Tを通じて通信を行う。PC2(1)、2(2)、…、2(n)のそれぞれは、UTM装置1を介してネットワーク4に接続可能にされる。
In order to transmit data using VPN technology, the
なお、UTM装置1においては、LAN3を通じて自機にどのような端末が接続されているのかを、例えば、制御部102の不揮発性メモリや記憶装置103において管理している。具体的に、UTM装置1においては、端末IDとしてIP(Internet Protocol)アドレスやMAC(Media Access Control address)アドレスなどの各端末を一意に特定可能な情報やポート番号などの情報が端末ごとに管理されている。
Note that in the
UTM装置1は、セキュリティチェックを行う機能部として、P2P対策部121と、HP(Home Page)アクセス制御部122と、ウィルス対策部123と、メール対策部124と、IPS/IDS部125と、ファイアウォール部126とを備える。更に、UTM装置1は、セキュリティチェックを行う機能部として、送信データチェック部127と、受信データチェック部128とを備える。
The
P2P対策部121は、セキュリティ対策を行っていない相手や悪意のある相手とのP2P接続を禁止する機能を実現する。なお、「P2P」とは、「Peer to Peer」を意味し、インターネットを介して対等なもの同士が直接に接続して通信を行うことを意味する。P2P対策部121の機能により、例えば画像などのファイル交換を問題のある相手との間において1対1で行うことを防止し、相手からのウィルス感染を防止するなどの機能を実現する。
The
HPアクセス制御部122は、例えば、予め指定したホームページカテゴリを選択しておくことにより、当該カテゴリに該当するホームページへのアクセスを禁止する機能を実現する。例えば、違法薬物(麻薬等)、アダルト関連、ギャンブル関連といったカテゴリを指定しておくことにより、麻薬関連サイト、アダルトサイト、ギャンブルサイトといった不適切サイトへのURLフィルタリングが可能となる。
For example, by selecting a prespecified homepage category, the HP
ウィルス対策部123は、Webページのレスポンスの検証(ウィルスチェック)を行う。具体的にウィルス対策部123は、Webページを閲覧するときの通信を監視し、閲覧しようとしている画像やダウンロードするファイルにウィルスが混入していないかを検証(チェック)する機能を実現する。
The
メール対策部124は、受信した電子メールに関し、不要な広告やウィルスが添付された電子メールをブロックする機能を実現する。IPS/IDS部125は、不適切な侵入を防止したり、不適切な侵入を通知したりする機能を実現する。ここで、IPSは、侵入防止システム(Intrusion Prevention System)の略称であり、IDSは、侵入検知システム(Intrusion Detection System)の略称である。IPS/IDS部125は、ワームやトロイの木馬といったいわゆるマルウェアによる攻撃に対して防御を行うことができる。ファイアウォール部126は、データ通信の状況や利用するソフトウェアなどにより、社内ネットワークにデータを供給するか否かを判断し、外部のネットワークからの攻撃や不正なアクセスから自システムを防御する機能を実現する。
Regarding received e-mails, the
送信データチェック部127は、インターネット電話サービスを用いたり、データ転送機能を用いたりして、音声データ、画像データ、テキストデータなどを自機から送信する場合に、送信データに対してウィルスチェックやその他の必要なチェックを行う。受信データチェック部128は、インターネット電話サービスを用いたり、データ転送機能を用いたりして、音声データ、画像データ、テキストデータなどを自機が受信した場合に、受信データに対してウィルスチェックやその他の必要なチェックを行う。
The transmission data check
チェック済み情報付加部131は、送信データチェック部127においてセキュリティチェックがされたチェック済みの送信データに対して、所定のチェック済み情報を付加し、チェックサムを再計算するなどの処理を行って最終的な送信データを形成する。チェック済み情報付加部131で処理された送信データは、暗号化部104で暗号化等の処理がされた後、制御部102の制御の下、通信I/F101及び接続端101Tを通じてネットワーク4に送出される。これにより、当該送信データは、ネットワーク4を通じて、目的とする相手先に送信される。
The checked
一方、接続端101T及び通信I/F101を通じて受信したデータ(自機の配下のPC宛ての受信データ)は、まず、暗号解読部105において、暗号解読等の処理がされた後、チェック済み情報識別部132に供給される。チェック済み情報識別部132は、これに供給された受信データに、所定のチェック済み情報が付加されているか否かの識別を行う。チェック済み情報識別部132において、所定のチェック済み情報が付加されていると識別された受信データについては、送信時と同様のセキュリティチェックを再度行う必要はない。
On the other hand, data received through the
このため、制御部102は、チェック済み情報識別部132において、所定のチェック済みデータが付加されていると識別された受信データについては、セキュリティチェックを行うことなく受け付ける。制御部102は、受け付けた受信データを、LANI/F106及びLAN接続端106Tを通じて、LAN3に接続されたPC2(1)等の相手先となる端末(PC)に供給する。
Therefore, the
チェック済み情報識別部132において、所定のチェック済み情報が付加されていないと識別された受信データについては、送信時にセキュリティチェックがされていない可能性が高い。このため、当該受信データについては、制御部102の制御の下、受信データチェック部128に供給する。これにより、所定の受信済み情報が付加されていない受信データについては、受信データチェック部128において、適切に、受信データチェックを行うことが可能になる。
If the checked
受信データチェック部128において、セキュリティチェックがなされ、問題がないとされた受信データは、制御部102により、LANI/F106及びLAN接続端106Tを通じて、LAN3に接続されたPC2(1)等の相手先となる端末に供給される。なお、セキュリティチェックの結果、ウィルスが確認されるなど問題のある受信データについては、これを破棄する。
A security check is performed in the received
このように、UTM装置1は、複数の異なるセキュリティ機能を1つのハードウェアに搭載しており、通信環境に生じる脅威に対して総合的に対処することができるようにしている。また、上述したように、自機から相手先に送信する送信データについては、セキュリティチェックを行うと共に、セキュリティチェック済みであることを示す所定のチェック済み情報を付加して送信することができる。これにより、送信先(相手先)において、チェック済み情報があることが識別(認識)できた受信データについては、セキュリティチェックを省略することができる。もちろん、相手先のUTM装置が自機と同様に、所定のチェック済み情報を付加することができるものである場合には、自機においても、チェック済み情報があることが識別(認識)できた受信データについては、セキュリティチェックを省略することができる。
In this way, the
[チェック済み情報の付加態様の具体例]
この実施の形態のセキュリティ監視システムにおいては、図1を用いて説明したように、主にインターネットであるネットワーク4を通じてデータが送信される。従って、データはTCP/IPパケットとして送受される。このため、TCP/IPパケットのヘッダ部の空き領域に、所定のチェック済み情報を付加する。なお、TCPは「Transmission Control Protocol」の略称であり、IPは「Internet Protocol」の略称である。図3は、TCP/IPパケットのヘッダ部分の構成を説明するための図である。図3に示すように、TCP/IPパケットは、0バイト目~23バイト目までの24バイトがヘッダ部であり、24バイト目以降がペイロード部(データ本体部)になっている。
[Specific example of how checked information is added]
In the security monitoring system of this embodiment, as explained using FIG. 1, data is transmitted mainly through the network 4, which is the Internet. Therefore, data is sent and received as TCP/IP packets. For this reason, predetermined checked information is added to the empty area of the header of the TCP/IP packet. Note that TCP is an abbreviation for "Transmission Control Protocol," and IP is an abbreviation for "Internet Protocol." FIG. 3 is a diagram for explaining the structure of a header portion of a TCP/IP packet. As shown in FIG. 3, in a TCP/IP packet, 24 bytes from the 0th byte to the 23rd byte are the header part, and the 24th and subsequent bytes are the payload part (data body part).
図3に示すヘッダ部において、「送信元ポート番号」は送信元のポート番号であり、「宛先ポート番号」は、宛先(送信先)のポートの番号であり、「シーケンス番号」は送信したデータの順序を示すものである。また、「確認応答番号」は相手先から受信したシーケンス番号とデータサイズである。「データオフセット」は当該ヘッダ部の長さを示す値であり、「予約」は将来の拡張のために用意されているエリアである。「コントロールフラグ」は、「URG」、「ACK」、「PSH」、「RST」、「SYN」、「FIN」の6つのビットで構成されている。「ウィンドウサイズ」は受信側が一度に受信することが出来るデータ量を通知するために使用される。「チェックサム」は当該ヘッダ部とデータ部のエラーチェックを行うために使用される値が入る。「緊急ポインタ」はコントロールフラグの「URG」が「1」である場合に使用されるエリアである。 In the header section shown in Figure 3, the "source port number" is the source port number, the "destination port number" is the destination (destination) port number, and the "sequence number" is the transmitted data. This indicates the order of Furthermore, the "acknowledgment response number" is the sequence number and data size received from the other party. "Data offset" is a value indicating the length of the header section, and "reservation" is an area prepared for future expansion. The "control flag" is composed of six bits: "URG", "ACK", "PSH", "RST", "SYN", and "FIN". "Window size" is used to notify the receiving side of the amount of data that can be received at one time. The "checksum" contains a value used to check for errors in the header section and data section. The "urgent pointer" is an area used when the control flag "URG" is "1".
「オプション+パディング部」において、「オプション」はTCP通信で性能を向上させるために使用される。「パディング」は当該ヘッダ部の長さを24バイトにするため、最後の2バイトのフィールドを32ビットの整数に調整するために使用される。この実施の形態において、チェック済み情報付加部131は、20バイト目~23バイト目のオプション+パディング部に、所定のチェック済み情報を付加する。所定のチェック済み情報は、例えば、「SAXA」といったUTM装置1の製造会社に由来する情報、「CKOK」といったチェック済み(Check OK)を意味する情報など、最大4バイトを使用して表現可能な情報を入力する。もちろん、ここで示したチェック済み情報は一例であり、予め決められる種々のチェック済み情報を用いることができる。
In "option + padding part", "option" is used to improve performance in TCP communication. "Padding" is used to adjust the last 2-byte field to a 32-bit integer in order to make the length of the
このように、TCP/IPパケットのヘッダ部の所定のエリア(フィールド)を用いることにより、送信対象のデータに影響を与えることなく、チェック済み情報を付加して、相手先に送信できる。相手先では、チェック済み情報が付加されている部分が予め決められていることにより、受信データ(受信した送信データ)の当該部分を確認することにより、チェック済み情報が付加されているか否かを確実に識別することが可能になる。 In this way, by using a predetermined area (field) in the header portion of a TCP/IP packet, it is possible to add checked information and send the data to the destination without affecting the data to be sent. Since the part to which the checked information is added is predetermined, the recipient party can determine whether or not the checked information is added by checking the relevant part of the received data (received transmission data). It becomes possible to identify it reliably.
[UTM1で行われる処理のまとめ]
上述した構成を有する実施の形態のUTM装置1で行われる処理について、フローチャートを参照しながらまとめる。上述したように、UTM装置1では、P2P対策部121、HPアクセス制御部122、ウィルス対策部123、メール対策部124、IPS/IDS部125、ファイアウォール部126が機能して、種々のセキュリティのための処理が行われる。これらの各部によって行われる処理の他に、UTM装置1では、自機からデータを送信する場合には、送信データに対してセキュリティチェックを行い、また、自機がデータを受信した場合には、受信データに対してセキュリティチェックを行う構成を備える。しかし、この実施の形態のUTM装置1では、上述したように、送信側と受信側とで二重にセキュリティチェックを行わないようにしている点で特徴を有している。以下、UTM装置1に行われる処理を、送信時と受信時とに分けて説明する。
[Summary of processing performed in UTM1]
The processing performed by the
<UTM装置1の送信時の処理>
図4は、UTM装置1で行われるデータの送信時の処理を説明するためのフローチャートである。LANI/F106及びLAN接続端106Tを通じて接続された配下のPC2(1)、…等からの送信データ(パケットデータ)は、制御部102の制御の下、送信データチェック部127に供給される。送信データチェック部127は、これに供給された送信データについて、ウィルスチェックやその他の必要なチェックを行う(ステップS101)。ステップS101のセキュリティチェックにより、ウィルスなどの送信先に影響を与える不都合が確認された送信データについては、送信しないようにされる。
<Processing during transmission by
FIG. 4 is a flowchart for explaining the processing performed by the
ステップS101において、セキュリティチェックがされた送信データは、制御部102の制御の下、チェック済み情報付加部131に供給され、ここでチェック済み情報が付加される(ステップS102)。ステップS102の処理は、図3を用いて説明したように、送信データであるTCP/IPパケットのヘッダ部のオプション+パディング部に、所定のチェック済み情報を付加する処理である。この後、チェック済み情報付加部131では、チェックサムを再計算してヘッダ部のチェックサムエリアに付加し直す(ステップS103)。
In step S101, the transmission data subjected to the security check is supplied to the checked
ステップS103でチェックサムが再計算されて付加し直された送信データは、制御部102の制御の下、暗号化部104に供給され、ここでカプセル化処理や所定の方式の暗号化処理が施される(ステップS104)。ステップS104において、暗号化等の処理がされた送信データ(パケットデータ)は、制御部102の制御の下、通信I/F101及び接続端101Tを通じてネットワーク4に送出され(ステップS105)、目的とする相手先に対して送信される。
The transmission data whose checksum has been recalculated and reattached in step S103 is supplied to the
このように、UTM装置1では、自機から送信する送信データ(パケットデータ)に対しては、セキュリティチェックを施し、所定のチェック済みデータを付加し、チェックサムを付け直し、暗号化等の処理を施して目的とする相手先に送信する。
In this way, the
<UTM装置1の受信時の処理>
図5は、UTM装置1で行われるデータの受信時の処理を説明するためのフローチャートである。ネットワーク4への接続端101T及び通信I/F101を通じて受信した自機の配下のPC2(1)、…等への受信データは、制御部102の制御の下、まず、暗号解読部105に供給され、ここで暗号化の解読処理やカプセル化の解除処理がされる(ステップS201)。ステップS201で暗号解読等の処理がされた受信データは、制御部102の制御の下、チェック済み情報識別部132に供給される。
<Processing at the time of reception by
FIG. 5 is a flowchart for explaining the processing performed by the
チェック済み情報識別部132は、これに供給された受信データ(パケットデータ)のヘッダ部のオプション+パディング部の情報を確認し、所定のチェック済み情報が付加されているか否かを識別する(ステップS202)。ステップS202の識別結果は、制御部102に通知されるので、制御部102は、チェック済み情報が付加されているか否か(有るか否か)を判別する(ステップS203)。
The checked
ステップS203の判別処理において、チェック済み情報が有ると判別された場合には、当該受信データ(パケットデータ)は既にセキュリティチェック済みであることが確認できたので、制御部102は、これを受け付ける(ステップS204)。このステップS204の処理は、当該受信データを自機において処理対象とする処理である。制御部102は、ステップS204で受け付けた受信データを、LANI/F106及びLAN接続端106Tを通じて、目的とする送信先であるPC2(1)、…等に供給するように処理する。
In the determination process of step S203, if it is determined that there is checked information, it has been confirmed that the received data (packet data) has already undergone a security check, so the
ステップS203の判別処理において、チェック済み情報が無いと判別された場合には、受信データはセキュリティチェックがされていない可能性が高い。この場合には、制御部102は、当該受信データを受信データチェック部128に供給し、ウィルスチェックやその他の必要なチェックからなるセキュリティチェックを実施する(ステップS205)。この後、制御部102は、受信データチェック部128でセキュリティチェックがされた受信データを受け付ける(ステップS204)。上述もしたように、ステップS204の処理は、当該受信データを自機において処理対象とする処理である。制御部102は、ステップS204で受け付けた受信データを、LANI/F106及びLAN接続端106Tを通じて、目的とする送信先であるPC2(1)、…等に供給するように処理する。
In the determination process of step S203, if it is determined that there is no checked information, there is a high possibility that the received data has not been security checked. In this case, the
このように、UTM装置1では、自機が受信した受信データ(パケットデータ)については、所定のチェック済み情報が付加されているか否かを識別する。そして、所定のチェック済み情報が付加されていると識別できた時には、受信データに対してセキュリティチェックを実施することなく受け付けて処理対象とする。しかし、所定のチェック済み情報が付加されていることが識別できなかった時には、受信データに対してセキュリティチェックを実施した後に受け付けて処理対象とする。
In this manner, the
これにより、受信データについてのセキュリティチェックは、送信側と受信側の双方で行われることを防止し、受信側でセキュリティチェックが行われることに起因して発生する通信速度が遅くなるという不都合を防止できる。すなわち、データの送受信を迅速に行うことができる。もちろん、セキュリティチェックがされていない可能性の高い受信データについては、受信データチェック部128によりセキュリティチェックを行うことができるので、データ通信に関し安全性が阻害されることもない。
This prevents security checks on received data from being performed on both the sending and receiving sides, and prevents the inconvenience of slow communication speeds caused by security checks being performed on the receiving side. can. That is, data can be sent and received quickly. Of course, the received
[実施の形態の効果]
上述した実施の形態のUTM装置によれば、送信データにセキュリティチェックを行った場合には、当該送データに対して所定のチェック済み情報を付加することができる。また、受信時には、受信データ(受信した送信データ)に所定のチェック済み情報が付加されているか否かを認識し、付加されていることが認識できた場合には、受信データに対するセキュリティチェックを省略することができる。すなわち、送受信されるデータに変更を伴わない静的な対応ではなく、送受されるデータにチェック済み情報を付加して、セキュリティチェックの必要性を識別する動的な対応を取る構成になっている。
[Effects of embodiment]
According to the UTM device of the embodiment described above, when a security check is performed on transmission data, predetermined checked information can be added to the transmission data. Also, when receiving data, it is recognized whether predetermined checked information has been added to the received data (received transmitted data), and if it is recognized that the information has been added, the security check on the received data is omitted. can do. In other words, instead of a static response that does not involve changing the data being sent and received, the system is configured to add checked information to the data being sent and received, and take a dynamic response that identifies the need for security checks. .
これにより、送信側と受信側との双方で、同様のセキュリティチェックが行われることを防止することが確実にできる。従って、受信側において、受信データに対するセキュリティチェックが行われることに起因して発生する受信データの受付遅延の発生を防止することができ、通信速度の悪化を防止し、適切かつ迅速にデータの送受信を行うことができる。 This makes it possible to reliably prevent similar security checks from being performed on both the sending and receiving sides. Therefore, on the receiving side, it is possible to prevent the reception of received data from being delayed due to security checks being performed on the received data, prevent deterioration of communication speed, and send and receive data appropriately and quickly. It can be performed.
特に、VPN技術を用いて通信を行う場合、あるいは、インターネット電話サービスを用いたり、データ転送機能を用いたりして、音声データ、画像データ、テキストデータなどといったデータを大量に送受する場合において、この発明の効果は大きい。 This is especially true when communicating using VPN technology, or when transmitting and receiving large amounts of data such as voice data, image data, text data, etc. using Internet telephone services or data transfer functions. The effects of invention are significant.
また、所定のチェック済み情報が付加された送信データについては、チェックサムも再計算されて付け直されるので、データの信頼度のチェックに影響を与えることもない。また、所定のチェック済み情報が付加された送信データについては、暗号化されて送信されるので、当該所定のチェック済み情報を悪意で付加したり、削除したりするといったことも防止できる。 Furthermore, since the checksum is recalculated and reattached to the transmitted data to which predetermined checked information has been added, the reliability check of the data is not affected. Further, since the transmission data to which predetermined checked information is added is encrypted and transmitted, it is possible to prevent malicious addition or deletion of the predetermined checked information.
[変形例]
なお、上述した実施の形態においては、UTM装置1AとUTM装置1Bとの間では、VPN技術を用いての送受信を行うものとして説明した。しかし、これに限るものではない。VPN技術を用いることなくデータの送受信を行う場合にもこの発明を適用できる。VPN技術を用いない場合には、送受するデータのカプセル化や暗号化の必要はない。このため、送信側においては、図4に示したステップS104の処理を省略できる。また、受信側においては、ステップS201の処理を省略できる。このように暗号化等及び暗号解読等の処理が行われない場合でも、送受されるデータにはチェックサム等の信頼性を確保するための対応はとられているので、暗号化等をせずにデータの送受を行う場合にも、この発明は有効である。
[Modified example]
In addition, in the embodiment described above, it has been explained that transmission and reception is performed using the VPN technology between the UTM device 1A and the
また、上述した実施の形態においては、この発明によるセキュリティ監視装置を、UTM装置に適用した場合を例にして説明したが、これに限るものではない。インターネットを含む広域ネットワークと会社などに形成されるLANとの間に設けられる、例えばルータなどの種々のネットワーク機器に、この発明によるセキュリティ監視装置を適用することができる。 Further, in the embodiments described above, the case where the security monitoring device according to the present invention is applied to a UTM device has been described as an example, but the present invention is not limited to this. The security monitoring device according to the present invention can be applied to various network devices such as routers, which are provided between a wide area network including the Internet and a LAN formed in a company or the like.
また、上述した実施の形態では、TCP/IPパケットのヘッダ部に、所定のチェック済み情報を付加するものとして説明したが、これに限るものではない。種々のプロトコルが用いられて送受される送信データのヘッダ部やフッター部などの、送信対象の実データに対して影響を及ぼすことのない領域に、所定のチェック済み情報を付加することができる。 Further, in the above-described embodiment, the predetermined checked information is added to the header portion of the TCP/IP packet, but the present invention is not limited to this. Predetermined checked information can be added to areas that do not affect the actual data to be transmitted, such as headers and footers of transmission data that is transmitted and received using various protocols.
また、チェック済み情報が付加されていても、例えば、TCP/IPパケットに送信元の装置のバージョン情報が付加されている場合には、バージョン情報が古い場合には、受信データに対してセキュリティチェックを行うといった対応を取ることも可能である。すなわち、チェック済み情報の付加の有無と送信元の装置のバージョンとの両方を考慮して、受信側において受信データについてセキュリティチェックを行うか否かを判別するようにしてもよい。 Furthermore, even if checked information is added, for example, if the version information of the source device is added to the TCP/IP packet, if the version information is old, a security check will be performed on the received data. It is also possible to take measures such as doing the following. That is, it may be determined whether or not to perform a security check on received data on the receiving side, taking into account both whether or not checked information is added and the version of the sending device.
[その他]
上述した実施の形態の説明からも分かるように、請求項の第1の接続部の機能は、ネットワーク4への接続端101T及び通信I/F101が実現し、第2の接続部の機能はLANI/F106及びLAN接続端106Tが実現する。また、請求項の送信時チェック手段の機能は、送信データチェック部127が実現し、請求項の付加手段の機能は、チェック済み情報付加部131が実現している。また、請求項の送信処理手段は、制御部102と通信I/F101が協働して実現している。
[others]
As can be seen from the description of the embodiments described above, the function of the first connection unit in the claims is realized by the
また、請求項の受信処理手段の機能は、制御部102と通信I/F101とが協働して実現し、請求項の識別手段の機能は、チェック済み情報識別部132が実現している。また、請求項の受信時チェック制御手段の機能は、制御部102が実現している。
Further, the function of the reception processing means in the claims is realized by the cooperation of the
また、図4、図5のフローチャートを用いて説明した方法が、この発明によるセキュリティチェック方法の一実施の形態が適用されたものである。また、図4、図5のフローチャートの処理を実行するプログラムを形成し、これをUTM装置などのネットワーク機器に搭載して実行可能にすることによって、この発明のセキュリティ監視装置を実現できる。 Further, the method described using the flowcharts of FIGS. 4 and 5 is an embodiment of the security check method according to the present invention. Furthermore, the security monitoring device of the present invention can be realized by creating a program that executes the processes shown in the flowcharts of FIGS. 4 and 5, and installing the program in a network device such as a UTM device to make it executable.
また、送信データチェック部127、受信データチェック部128、チェック済み情報付加部131、チェック済み情報識別部132の各部の機能は、例えば、UTM装置1の制御部102において実行されるプログラムによって実現できる。すなわち、送信データチェック部127、受信データチェック部128、チェック済み情報付加部131、チェック済み情報識別部132の各部の機能は、プログラムにより、制御部102の機能として実現することもできる。
Further, the functions of the transmission
1、1A、1B…UTM装置、101T…ネットワーク4への接続端、101…通信I/F、102…制御部、103…記憶装置、104…暗号化部、105…暗号解読部、106…LANI/F、106T…LAN接続端、121…P2P対策部、122…HPアクセス制御部、123…ウィルス対策部、124…メール対策部、125…IPS/IDS部、126…ファイアウォール部、127…送信データチェック部、128…受信データチェック部、131…チェック済み情報付加部、132…チェック済み情報識別部、2、2A(1)~2A(n)、2B(1)~2B(n)…PC、3、3A、3B…LAN
1, 1A, 1B...UTM device, 101T...Connection end to
Claims (6)
端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加され、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と
を備えることを特徴とするセキュリティ監視装置。 a first connection allowing connection to a wide area network;
a second connection part that enables connection of the terminal device to its own device;
a transmission check means for performing a security check on transmission data transmitted through the wide area network in response to a request from a terminal device connected through the second connection unit;
an addition means for adding predetermined checked information to the transmission data that has been security checked by the transmission checking means; the addition means adds the checked information and includes version information of the transmission source device; A security monitoring device comprising: transmission processing means for transmitting the transmission data to the wide area network through the first connection unit and transmitting it to a destination.
端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理手段と、
前記受信処理手段を通じて受信した受信データに、所定のチェック済み情報が付加されているか否かを識別する識別手段と、
前記識別手段により前記チェック済み情報が付加されていると識別された場合に、前記受信処理手段を通じて受信した前記受信データに含まれる送信元の装置のバージョン情報を考慮して、前記受信データに対してセキュリティチェックを行うか否かを制御する受信時チェック制御手段と
を備えることを特徴とするセキュリティ監視装置。 a first connection allowing connection to a wide area network;
a second connection part that enables connection of the terminal device to its own device;
reception processing means for receiving transmission data addressed to a terminal device connected through the second connection unit through the first connection unit;
Identification means for identifying whether predetermined checked information is added to the received data received through the reception processing means;
When the identification means identifies that the checked information has been added, the received data is updated in consideration of the version information of the source device included in the received data received through the reception processing means. A security monitoring device comprising: check control means for controlling whether or not to perform a security check at the time of reception.
端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加され、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と、
前記第2の接続部を通じて接続された端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理手段と、
前記受信処理手段を通じて受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別手段と、
前記識別手段により前記チェック済み情報が付加されていると識別された場合に、前記受信処理手段を通じて受信した前記受信データに含まれる送信元の装置の前記バージョン情報を考慮して、前記受信データに対してセキュリティチェックを行うか否かを制御する受信時チェック制御手段と
を備えることを特徴とするセキュリティ監視装置。 a first connection allowing connection to a wide area network;
a second connection part that enables connection of the terminal device to its own device;
a transmission check means for performing a security check on transmission data transmitted through the wide area network in response to a request from a terminal device connected through the second connection unit;
an addition means for adding predetermined checked information to the transmission data that has been security checked by the transmission checking means; the addition means adds the checked information and includes version information of the transmission source device; Transmission processing means for transmitting the transmission data to the wide area network through the first connection unit and transmitting it to a destination;
reception processing means for receiving transmission data addressed to a terminal device connected through the second connection unit through the first connection unit;
Identification means for identifying whether or not the predetermined checked information is added to the received data received through the reception processing means;
When the identification means identifies that the checked information has been added, the received data is added in consideration of the version information of the transmission source device included in the received data received through the reception processing means. A security monitoring device comprising: check control means for controlling whether or not to perform a security check on the received data.
送信時チェック手段が、前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック工程と、
付加手段が、前記送信時チェックにおいてセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加工程と
送信処理手段が、前記付加工程において前記チェック済み情報を付加し、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理工程と
を有することを特徴とするセキュリティ監視方法。 A security monitoring method used in a security monitoring device comprising a first connection unit that allows connection to a wide area network and a second connection unit that allows connection of a terminal device to its own device, the method comprising:
a transmission checking step in which the transmission checking means performs a security check on transmission data to be transmitted through the wide area network in response to a request from a terminal device connected through the second connection unit;
an addition step in which the addition means adds predetermined checked information to the transmission data that has been security checked in the transmission check; the transmission processing means adds the checked information in the addition step and transmits the data ; A security monitoring method comprising: a transmission processing step of transmitting the transmission data including version information of the original device to the wide area network through the first connection unit and transmitting it to the other party.
請求項4に記載のセキュリティ監視方法であって、
受信処理手段が、前記第2の接続部を通じて接続された端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理工程と、
識別手段が、前記受信処理工程において受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別工程と、
前記識別工程において前記チェック済み情報が付加されていると識別された場合に、前記受信処理工程において受信した前記受信データに含まれる送信元の装置の前記バージョン情報を考慮して、受信時チェック手段が前記受信データに対してセキュリティチェックを行うか否かを制御する受信時チェック制御工程と
を有することを特徴とするセキュリティ監視方法。 A security monitoring method used in a security monitoring device comprising a first connection unit that allows connection to a wide area network and a second connection unit that allows connection of a terminal device to its own device, the method comprising:
The security monitoring method according to claim 4,
a reception processing step in which the reception processing means receives transmission data addressed to a terminal device connected through the second connection unit through the first connection unit;
an identification step in which the identification means identifies whether or not the predetermined checked information is added to the received data received in the reception processing step;
When it is identified in the identification step that the checked information is added, a reception checking means takes into account the version information of the transmission source device included in the reception data received in the reception processing step. and a check control step at the time of reception for controlling whether or not to perform a security check on the received data.
前記第2の接続部を通じて接続された端末装置からの要求に応じて、送信時チェック手段が、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック工程と、
付加手段が、前記送信時チェック工程においてセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加工程と
送信処理手段が、前記付加工程において前記チェック済み情報が付加され、送信元の装置のバージョン情報を含む前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理工程と、
受信処理手段が、前記第2の接続部を通じて接続された端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理工程と、
識別手段が、前記受信処理工程を通じて受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別工程と、
前記識別工程において前記チェック済み情報が付加されていると識別された場合に、前記受信処理工程において受信した前記受信データに含まれる送信元の装置の前記バージョン情報を考慮して、受信時チェック制御手段が、前記受信データに対してセキュリティチェックを行うか否かを制御する受信時チェック制御工程と
を有することを特徴とするセキュリティ監視方法。 A security monitoring method used in a security monitoring device comprising a first connection unit that allows connection to a wide area network and a second connection unit that allows connection of a terminal device to its own device, the method comprising:
a transmission checking step in which a transmission checking means performs a security check on transmission data transmitted through the wide area network in response to a request from a terminal device connected through the second connection unit;
an addition step in which the addition means adds predetermined checked information to the transmission data that has been security checked in the transmission check step; a transmission processing means adds the checked information in the addition step ; a transmission processing step of transmitting the transmission data including version information of the transmission source device to the wide area network through the first connection unit and transmitting it to the destination;
a reception processing step in which the reception processing means receives transmission data addressed to a terminal device connected through the second connection unit through the first connection unit;
an identification step in which the identification means identifies whether or not the predetermined checked information is added to the received data received through the reception processing step;
When it is identified in the identification step that the checked information is added, check control is performed at the time of reception in consideration of the version information of the transmission source device included in the reception data received in the reception processing step. A security monitoring method characterized by comprising: a reception check control step in which the means controls whether or not to perform a security check on the received data.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019178223A JP7360087B2 (en) | 2019-09-30 | 2019-09-30 | Security monitoring device and security monitoring method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019178223A JP7360087B2 (en) | 2019-09-30 | 2019-09-30 | Security monitoring device and security monitoring method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021057717A JP2021057717A (en) | 2021-04-08 |
JP7360087B2 true JP7360087B2 (en) | 2023-10-12 |
Family
ID=75271203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019178223A Active JP7360087B2 (en) | 2019-09-30 | 2019-09-30 | Security monitoring device and security monitoring method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7360087B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11418491B2 (en) * | 2020-02-26 | 2022-08-16 | Cisco Technology, Inc. | Dynamic firewall discovery on a service plane in a SDWAN architecture |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002158699A (en) | 2000-11-20 | 2002-05-31 | Nippon Telegr & Teleph Corp <Ntt> | Method, device and system for preventing dos attack and recording medium |
WO2008026288A1 (en) | 2006-08-31 | 2008-03-06 | Fujitsu Limited | Network connected terminal device authenticating method, network connected terminal device authenticating program and network connected terminal device authenticating apparatus |
JP2008136049A (en) | 2006-11-29 | 2008-06-12 | Alaxala Networks Corp | Network relay system, and method in network relay system |
-
2019
- 2019-09-30 JP JP2019178223A patent/JP7360087B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002158699A (en) | 2000-11-20 | 2002-05-31 | Nippon Telegr & Teleph Corp <Ntt> | Method, device and system for preventing dos attack and recording medium |
WO2008026288A1 (en) | 2006-08-31 | 2008-03-06 | Fujitsu Limited | Network connected terminal device authenticating method, network connected terminal device authenticating program and network connected terminal device authenticating apparatus |
US20090165095A1 (en) | 2006-08-31 | 2009-06-25 | Fujitsu Limited | Network connection terminal authentication method and apparatus |
JP2008136049A (en) | 2006-11-29 | 2008-06-12 | Alaxala Networks Corp | Network relay system, and method in network relay system |
Non-Patent Citations (1)
Title |
---|
時庭 康久他,侵入検知システムの一考察,情報処理学会第68回(平成18年)全国大会講演論文集(3),日本,社団法人情報処理学会,2006年03月07日 |
Also Published As
Publication number | Publication date |
---|---|
JP2021057717A (en) | 2021-04-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9882876B2 (en) | System and method for redirected firewall discovery in a network environment | |
US9306976B2 (en) | Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer | |
US8041816B2 (en) | TCP/IP-based communication system and associated methodology providing an enhanced transport layer protocol | |
US7571343B1 (en) | Handling sequence numbers and/or an anti-replay window after failover between servers | |
KR101201187B1 (en) | Method and apparatus for secure internet protocol ipsec offloading with integrated host protocol stack management | |
US8800024B2 (en) | System and method for host-initiated firewall discovery in a network environment | |
JP4521225B2 (en) | A multilayer-based method for implementing network firewalls | |
JP4727125B2 (en) | Secure dual channel communication system and method through a firewall | |
US7797411B1 (en) | Detection and prevention of encapsulated network attacks using an intermediate device | |
EP1547337B1 (en) | Watermarking at the packet level | |
McDonald et al. | PF_KEY key management API, version 2 | |
JP2004295891A (en) | Method for authenticating packet payload | |
US20040049585A1 (en) | SERVER SIDE CONFIGURATION OF CLIENT IPSec LIFETIME SECURITY PARAMETERS | |
JP7360087B2 (en) | Security monitoring device and security monitoring method | |
US7634655B2 (en) | Efficient hash table protection for data transport protocols | |
US7698452B2 (en) | Access-controlling method, repeater, and server | |
CN113824743B (en) | Sensitive data blocking method and system suitable for private encryption communication | |
Bahnasse et al. | Security of Dynamic and Multipoint Virtual Private Network | |
KR20110087972A (en) | Method for blocking abnormal traffic using session table | |
Ali et al. | Using Unique Node ID TO Control IPv6 ID Spoofing | |
Radwan | Using IPSec in IPv6 Security | |
JP2023032671A (en) | Security management device | |
JP4783665B2 (en) | Mail server device | |
McDonald et al. | RFC2367: PF_KEY key management API, Version 2 | |
TW200841672A (en) | Relaying apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220603 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230313 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230426 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230606 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230719 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230721 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230830 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230912 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7360087 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |