WO2021206156A1 - Wireless network security diagnosing system, security diagnosing server, and program - Google Patents

Wireless network security diagnosing system, security diagnosing server, and program Download PDF

Info

Publication number
WO2021206156A1
WO2021206156A1 PCT/JP2021/014962 JP2021014962W WO2021206156A1 WO 2021206156 A1 WO2021206156 A1 WO 2021206156A1 JP 2021014962 W JP2021014962 W JP 2021014962W WO 2021206156 A1 WO2021206156 A1 WO 2021206156A1
Authority
WO
WIPO (PCT)
Prior art keywords
terminal
security
information
wireless signal
signal detection
Prior art date
Application number
PCT/JP2021/014962
Other languages
French (fr)
Japanese (ja)
Inventor
洋一 雪野
Original Assignee
株式会社スプラインネットワーク
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社スプラインネットワーク filed Critical 株式会社スプラインネットワーク
Priority to JP2021562104A priority Critical patent/JP7045124B2/en
Priority to KR1020227037800A priority patent/KR102562758B1/en
Publication of WO2021206156A1 publication Critical patent/WO2021206156A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

[Problem] To provide a system capable of easily performing a security diagnosis on a wireless network. [Solution] The present invention provides a wireless network security diagnosing system comprising: a wireless signal search sensor for searching for a wireless signal and collecting equipment information including information about a terminal that is the transmission source of the wireless signal and information about a sub-terminal connected to the terminal; a manager server for receiving the collected equipment information from one or more of the wireless signal search sensors; and a security diagnosing server which, on the basis of the equipment information collected by the wireless signal search sensors, diagnoses security of a wireless network in which the wireless signal search sensors exist, and generates a security report.

Description

無線ネットワークセキュリティ診断システム、セキュリティ診断サーバ、及びプログラムWireless network security diagnostic system, security diagnostic server, and program
 本発明は、無線ネットワーク、例えばWi-Fiネットワークや無線LAN環境の脆弱性を診断する無線ネットワークセキュリティ診断システム、セキュリティ診断サーバ、プログラムに関する。 The present invention relates to a wireless network security diagnostic system, a security diagnostic server, and a program for diagnosing vulnerabilities in wireless networks such as Wi-Fi networks and wireless LAN environments.
 近年、無線ネットワーク、特にWi-Fiが急速に普及しており、公共の場所においても誰でも自由に使えるWi-Fi環境が提供されるようになってきている。 In recent years, wireless networks, especially Wi-Fi, have rapidly become widespread, and Wi-Fi environments that anyone can freely use even in public places have come to be provided.
 しかし、無線ネットワークは、不正な端末の接続の有無やなりすまし端末による接続の有無など、その無線ネットワークが脆弱性を有しているかどうかは、容易にはわからないという問題があった。 However, the wireless network has a problem that it is not easy to know whether or not the wireless network has vulnerabilities, such as whether or not an unauthorized terminal is connected or whether or not a spoofed terminal is connected.
 また、会社や事業所などで無線ネットワークを提供している場合、不正な端末に無線ネットワークに接続された場合、情報漏洩のリスクが伴うが、無線ネットワークに接続できる機器は年々小型化してきており、目視で不正端末の有無をチェックしたとしても容易には発見できないという問題があった。 In addition, when a company or business office provides a wireless network, if an unauthorized terminal is connected to the wireless network, there is a risk of information leakage, but the devices that can connect to the wireless network are becoming smaller year by year. However, there is a problem that even if the presence or absence of an unauthorized terminal is visually checked, it cannot be easily found.
 特許文献1では、社内や事業所内などに存在するあるネットワークシステムでの脆弱性を検出するために、ネットワークシステムのなかにある、互いに接続された小ネットワークシステムをさらにゾーンに分割し、ゾーンごとにゾーンを構成する機器やネットワーク情報、重要度などのゾーン情報を、同じネットワークシステム内にあるセキュリティシステムが収集し、符号化したうえで、脆弱性情報を取得して各ゾーンのリスク分析を行うセキュリティシステムが開示されている。 In Patent Document 1, in order to detect a vulnerability in a certain network system existing in an in-house or business office, a small network system connected to each other in the network system is further divided into zones, and each zone is divided into zones. Security that collects zone information such as equipment, network information, and importance that make up a zone, encodes it, and then acquires vulnerability information to analyze the risk of each zone. The system is disclosed.
特開2019-159877号JP-A-2019-159877
 しかし、特許文献1の技術においては、ある社内ネットワークシステムを対象とし、セキュリティシステムも同一ネットワークシステム内に存在しているため、符号化等の必要があるうえ、ネットワークシステム内をゾーンに分ける必要があり、さらに個別に機器を登録する必要があるなど、煩雑な事前設定が必要であった。また、職場のなかで情報漏洩等の目的で、無断でアクセスポイントの設置などがされても、検出することができないという問題があった。 However, in the technology of Patent Document 1, since a certain in-house network system is targeted and the security system also exists in the same network system, it is necessary to encode the network system and divide the network system into zones. In addition, complicated pre-settings were required, such as the need to register individual devices. In addition, there is a problem that even if an access point is installed without permission in the workplace for the purpose of information leakage or the like, it cannot be detected.
 そこで、本発明では、セキュリティ診断を行いたい場所に無線信号を探知可能な無線信号探知センサを設置し、認可されているアクセスポイントの機器情報やコンピュータなどの端末情報を登録し、探知センサが収集した機器情報や端末情報は無線信号探知センサ専用のネットワークを介してマネージャサーバへ送信するように構成することで簡便にセキュリティ診断が行える無線ネットワークセキュリティ診断システムを提供する。 Therefore, in the present invention, a wireless signal detection sensor capable of detecting a wireless signal is installed at a place where a security diagnosis is desired, device information of an authorized access point and terminal information such as a computer are registered, and the detection sensor collects the information. We provide a wireless network security diagnosis system that can easily perform security diagnosis by configuring the device information and terminal information to be transmitted to the manager server via a network dedicated to the wireless signal detection sensor.
 本発明にあっては、無線信号を探知し、無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を収集する無線信号探知センサと、一又は二以上の前記無線信号探知センサから、収集した機器情報を受信するマネージャサーバと、無線信号探知センサが収集した機器情報に基づいて、無線信号探知センサが存在する無線ネットワークにおけるセキュリティを診断し、セキュリティレポートを生成するセキュリティ診断サーバと、を有する無線ネットワークセキュリティ診断システムを提供することができる。 In the present invention, one or more wireless signal detection sensors that detect a wireless signal and collect device information having terminal information of the source of the wireless signal and sub-terminal information connected to the terminal. Based on the manager server that receives the collected device information from the wireless signal detection sensor and the device information collected by the wireless signal detection sensor, the security in the wireless network where the wireless signal detection sensor exists is diagnosed and a security report is issued. A wireless network security diagnostic system having a security diagnostic server to be generated can be provided.
 さらに、無線ネットワークセキュリティ診断システムであって、無線信号探知センサは、無線信号を探知するセンサ部と、探知した無線信号の発信元の端末を一意に特定するための機器IDと信号強度、探知時間と、当該発信元の端末に接続されているサブ端末情報とを対応づけて機器情報として記憶する機器情報記憶部と、機器情報をマネージャサーバへ送信する通信部と、を有し、マネージャサーバは、各無線信号探知センサから受信した機器情報を無線信号探知センサに対応付けて記憶し、セキュリティ診断サーバから送信要求を受信すると、要求に対応する所定期間内の無線信号探知センサの機器情報を送信し、セキュリティ診断サーバは、無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行うセキュリティ分析部と、セキュリティ分析に基づいてセキュリティレポートを生成するレポート生成部と、レポート生成通知を行うレポート通知部と、を有する無線ネットワークセキュリティ診断システムを提供することができる。 Further, in a wireless network security diagnostic system, the wireless signal detection sensor is a sensor unit that detects a wireless signal, and a device ID, signal strength, and detection time for uniquely identifying the terminal that is the source of the detected wireless signal. The manager server has a device information storage unit that stores the device information as device information in association with the sub-terminal information connected to the source terminal, and a communication unit that transmits the device information to the manager server. , The device information received from each wireless signal detection sensor is stored in association with the wireless signal detection sensor, and when a transmission request is received from the security diagnosis server, the device information of the wireless signal detection sensor within a predetermined period corresponding to the request is transmitted. However, the security diagnostic server includes a security analysis unit that performs security analysis of the wireless network based on device information within a predetermined period collected by the wireless signal detection sensor, and a report generation unit that generates a security report based on the security analysis. It is possible to provide a wireless network security diagnostic system having a report notification unit for notifying report generation.
 また、本発明にかかる無線ネットワークセキュリティ診断システムにおいては、無線信号探知センサは、さらに認可されているアクセスポイント及び接続端末の認可端末情報を記憶する認可端末情報記憶部と、センサ部が探知した機器情報が認可端末情報記憶部に記憶された認可端末情報に含まれていない場合又は複数の同一の認可端末情報が含まれる場合、不正端末の接続ログとしてログ情報を生成するログ生成部とを有し、通信部は、ログ生成部で生成されたログ情報をマネージャサーバへ送信し、マネージャサーバは、セキュリティ診断サーバから要求を受信すると、ログ情報を送信し、セキュリティ診断サーバは、セキュリティ分析部が、受信したログ情報と機器情報に基づいて無線ネットワークのセキュリティリスクを分析する。 Further, in the wireless network security diagnostic system according to the present invention, the wireless signal detection sensor is a licensed terminal information storage unit that stores the licensed terminal information of the licensed access point and the connected terminal, and a device detected by the sensor unit. If the information is not included in the authorized terminal information stored in the authorized terminal information storage unit, or if multiple identical authorized terminal information is included, there is a log generator that generates log information as the connection log of the unauthorized terminal. Then, the communication unit sends the log information generated by the log generation unit to the manager server, the manager server sends the log information when it receives a request from the security diagnosis server, and the security analysis department sends the log information. Analyze the security risk of the wireless network based on the received log information and device information.
 また、無線信号探知センサは、不正端末を検出すると、無線通信を遮断する通信遮断部をさらに有してもよい。 Further, the wireless signal detection sensor may further have a communication blocking unit that blocks wireless communication when an unauthorized terminal is detected.
 さらに、セキュリティ診断サーバのセキュリティ分析部は、受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて前記無線ネットワークのセキュリティリスクを分析する。 Furthermore, the security analysis unit of the security diagnostic server refers to the risk level corresponding to the received log information, and analyzes the security risk of the wireless network based on the risk level and the number of logs.
 さらに、セキュリティ診断サーバは、一定期間ごとにマネージャサーバへ所定の無線信号探知センサが探知する機器情報を要求し、マネージャサーバは、セキュリティ診断サーバから要求を受信すると、要求があった無線信号探知センサへ、機器情報を要求し、所定の無線信号探知センサが機器情報を送信すると、セキュリティ診断サーバのセキュリティ分析部は、受信した機器情報の端末が認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、無線信号探知センサが受信した信号強度と探知時間の継続時間とに基づいて、不正アクセスポイントがあると診断し、レポート生成部は、不正アクセスポイントがあることを通知するレポートを生成する、無線ネットワークセキュリティ診断システムを提供する。 Further, the security diagnostic server requests the manager server for device information detected by a predetermined wireless signal detection sensor at regular intervals, and when the manager server receives the request from the security diagnostic server, the requested wireless signal detection sensor When the device information is requested to, and the predetermined wireless signal detection sensor transmits the device information, the security analysis unit of the security diagnostic server determines whether the terminal of the received device information is an authorized access point and is authorized. Based on the signal strength received by the wireless signal detection sensor and the duration of the detection time, it is diagnosed that there is an unauthorized access point for device information other than the access point, and the report generator determines that there is an unauthorized access point. Provides a wireless network security diagnostic system that produces reports notifying you.
 また、本発明にかかるセキュリティ診断サーバは、所定の無線信号探知センサが収集した探知した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を受信する機器情報受信部と、無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行うセキュリティ分析部と、セキュリティ分析に基づいてセキュリティレポートを生成するレポート生成部と、レポート生成通知を行うレポート通知部と、を有するセキュリティ診断サーバを提供する。 Further, the security diagnostic server according to the present invention is a device that receives device information having terminal information of the source of the detected wireless signal collected by a predetermined wireless signal detection sensor and sub-terminal information connected to the terminal. An information receiving unit, a security analysis unit that performs security analysis of a wireless network based on device information within a predetermined period collected by a wireless signal detection sensor, a report generation unit that generates a security report based on the security analysis, and a report generation unit. A security diagnosis server having a report notification unit for notifying is provided.
 また、機器情報受信部は、さらに不正端末の接続ログであるログ情報を受信し、セキュリティ分析部は、受信したログ情報と機器情報とに基づいて無線ネットワークのセキュリティリスクを分析する。 Further, the device information receiving unit further receives log information which is a connection log of an unauthorized terminal, and the security analysis unit analyzes the security risk of the wireless network based on the received log information and the device information.
 また、セキュリティ分析部は、受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて無線ネットワークのセキュリティリスクを分析する。 In addition, the security analysis department refers to the risk level corresponding to the received log information, and analyzes the security risk of the wireless network based on the risk level and the number of logs.
 さらに、機器情報受信部は、一定間隔で機器情報を受信し、セキュリティ分析部は、受信した機器情報の機器が認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、無線信号探知センサが受信した信号強度と探知時間の継続時間とに基づいて、不正アクセスポイントがあると診断し、レポート生成部は、不正アクセスポイントがあることを通知するレポートを生成してもよい。 Further, the device information receiving unit receives the device information at regular intervals, and the security analysis unit determines whether the device of the received device information is an authorized access point, and the device information other than the authorized access point. Based on the signal strength received by the wireless signal detection sensor and the duration of the detection time, it is diagnosed that there is an unauthorized access point, and the report generator generates a report notifying that there is an unauthorized access point. May be good.
 また、本発明にかかるセキュリティ診断サーバとしてコンピュータを機能させるコンピュータプログラムは、所定の無線信号探知センサが収集した探知した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を受信し、無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行い、セキュリティ分析に基づいてセキュリティレポートを生成し、レポート生成通知を行う、コンピュータプログラムを提供する。 Further, the computer program that functions the computer as the security diagnostic server according to the present invention obtains the terminal information of the source of the detected wireless signal collected by the predetermined wireless signal detection sensor and the sub-terminal information connected to the terminal. A computer program that receives the device information it has, performs a security analysis of the wireless network based on the device information within a predetermined period collected by the wireless signal detection sensor, generates a security report based on the security analysis, and sends a report generation notification. I will provide a.
 本発明によれば、無線信号探知センサは所定の半径内における無線信号の情報を収集し、診断対象となる無線ネットワークを利用することなく、収集した機器情報及び生成したログ情報を送信するため、無線信号探知センサを診断したい場所に置くだけで簡便にセキュリティ診断を行うことができる。また、無線信号探知センサを複数、お互いの受信範囲が重なり合うように設置することで不正端末の位置推定を行うことができる。 According to the present invention, the wireless signal detection sensor collects wireless signal information within a predetermined radius and transmits the collected device information and the generated log information without using the wireless network to be diagnosed. Security diagnosis can be easily performed by simply placing the wireless signal detection sensor in the desired location. In addition, the position of an unauthorized terminal can be estimated by installing a plurality of wireless signal detection sensors so that their reception ranges overlap each other.
 また、本発明によれば、信号強度と信号受信の継続時間に基づいて不正端末を検出するため、あらかじめ認可端末が登録されていない場合であっても、不正端末の検出を行うことができる。 Further, according to the present invention, since the unauthorized terminal is detected based on the signal strength and the duration of signal reception, the unauthorized terminal can be detected even when the authorized terminal is not registered in advance.
図1は、本発明における無線ネットワークセキュリティ診断システムの一例を示す図である。FIG. 1 is a diagram showing an example of a wireless network security diagnostic system according to the present invention. 図2は、無線信号探知センサ10の機能ブロック図の一例を示す図である。FIG. 2 is a diagram showing an example of a functional block diagram of the wireless signal detection sensor 10. 図3は、マネージャサーバ20の機能ブロックの一例を示す図である。FIG. 3 is a diagram showing an example of a functional block of the manager server 20. 図4は、セキュリティ診断サーバ30の機能ブロック図の一例を示す図である。FIG. 4 is a diagram showing an example of a functional block diagram of the security diagnosis server 30. 図5は、無線信号探知センサ10の機器情報記憶部120に記憶されるデータベースの一例である。FIG. 5 is an example of a database stored in the device information storage unit 120 of the wireless signal detection sensor 10. 図6は、無線信号探知センサ10の認可端末情報記憶部130に記憶されるデータベースの一例である。FIG. 6 is an example of a database stored in the licensed terminal information storage unit 130 of the wireless signal detection sensor 10. 図7は、無線信号探知センサ10におけるログ生成処理の一例を説明するフローチャートである。FIG. 7 is a flowchart illustrating an example of log generation processing in the wireless signal detection sensor 10. 図8は、ログ生成部140に記憶されるログ生成条件の一例である。FIG. 8 is an example of the log generation conditions stored in the log generation unit 140. 図9は、セキュリティ診断サーバ30のセキュリティ分析部310が、不正アクセスポイントの有無を診断する場合のフローチャートの一例である。FIG. 9 is an example of a flowchart when the security analysis unit 310 of the security diagnosis server 30 diagnoses the presence or absence of an unauthorized access point. 図10は、無線信号探知センサ10が、不正端末が接続されている場合の通信遮断処理を説明するための図である。FIG. 10 is a diagram for explaining a communication cutoff process when the wireless signal detection sensor 10 is connected to an unauthorized terminal. 図11は、データ記憶部350に記憶されているデータベースの一例である。FIG. 11 is an example of a database stored in the data storage unit 350. 図12は、セキュリティ分析部310が無線信号探知センサ10の設置場所におけるセキュリティリスクを分析する場合のフローチャートの一例である。FIG. 12 is an example of a flowchart when the security analysis unit 310 analyzes the security risk at the installation location of the wireless signal detection sensor 10. レポート生成部320が生成するセキュリティレポートの一例を示す図である。It is a figure which shows an example of the security report generated by the report generation part 320. 本発明におけるセキュリティ診断サーバ30のハードウェア構成図の一例を示すブロック図である。It is a block diagram which shows an example of the hardware block diagram of the security diagnostic server 30 in this invention. 本発明の第二の実施の形態におけるマネージャサーバ20の機能ブロック図の一例である。This is an example of a functional block diagram of the manager server 20 according to the second embodiment of the present invention. 本発明の第二の実施の形態における機器分類情報記憶部240に記憶されているデータベース構成の一例である。This is an example of a database configuration stored in the device classification information storage unit 240 according to the second embodiment of the present invention.
 以下、本発明を実施するための形態について、図面を参照しながら説明する。なお、本明細書及び図面において、実質的に同一の機能及び構成を有する構成要素については同一の符号を付し、重複説明を省略する。 Hereinafter, a mode for carrying out the present invention will be described with reference to the drawings. In the present specification and drawings, components having substantially the same function and configuration are designated by the same reference numerals, and duplicate description will be omitted.
 図1は、本発明における無線ネットワークセキュリティ診断システムの一例を示す図である。図1に示される無線ネットワークセキュリティ診断システムは、一又は複数の無線信号探知センサ10とマネージャサーバ20、セキュリティ診断サーバ30とから構成される。 FIG. 1 is a diagram showing an example of a wireless network security diagnostic system according to the present invention. The wireless network security diagnostic system shown in FIG. 1 includes one or a plurality of wireless signal detection sensors 10, a manager server 20, and a security diagnostic server 30.
 無線信号探知センサ10は、無線信号を探知し、無線信号の発信元の端末情報とその機器に接続されている端末情報とを収集するセンサである。例えばWi-Fiなど、所定の無線ネットワークの規格に準拠し、無線信号探知センサ10が探知できる範囲(例えば、半径25メートル)内において、準拠している規格の無線信号が発信されているとき、それを探知し、その発信元の端末の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を収集する。発信元の端末としては、例えば、無線通信を実現するためのアクセスポイントや、アクセスポイント先を探索するために無線信号を発信しており、未だどのアクセスポイントにも接続されていない通信端末、例えば、スマートフォンなどの携帯端末やコンピュータである。また、スマートフォンなどの通信端末がデザリング機能をオンにしている場合、アクセスポイントに含まれる。さらに、アクセスポイントへ接続している通信端末の情報もサブ端末情報としてアクセスポイントの端末情報に関連付けて収集する。 The wireless signal detection sensor 10 is a sensor that detects a wireless signal and collects terminal information of the source of the wireless signal and terminal information connected to the device. When a wireless signal of a compliant standard is transmitted within a range that can be detected by the wireless signal detection sensor 10 (for example, a radius of 25 meters) that conforms to a predetermined wireless network standard such as Wi-Fi. It detects it and collects device information having the terminal information of the source terminal and the sub terminal information connected to the terminal. As the source terminal, for example, an access point for realizing wireless communication or a communication terminal that transmits a wireless signal to search for an access point destination and is not yet connected to any access point, for example. , Mobile terminals such as smartphones and computers. Also, if a communication terminal such as a smartphone has the tethering function turned on, it is included in the access point. Further, the information of the communication terminal connected to the access point is also collected as the sub terminal information in association with the terminal information of the access point.
 また、無線信号探知センサ10は、その場所において設置が認められている無線アクセスポイントなど無線信号を発信することを認められている端末情報を認可端末情報としてあらかじめ記憶している。端末情報とは、例えば、無線通信を実現するためのアクセスポイントや、そのアクセスポイントへ接続している通信端末、例えば、スマートフォンなどの携帯端末やコンピュータの情報である。無線信号探知センサ10が収集した無線信号の発信元情報と、記憶している認可端末情報とを参照し、収集した機器情報が、記憶されている認可端末機器情報に含まれていない場合、または複数の同一の認可端末情報が含まれることとなる場合、不正端末の接続ログとしてログ情報を生成し、マネージャサーバ20へ送信してもよい。また、無線信号探知センサ10は、不正端末の存在として検出するための条件であるログ生成条件を記憶しており、ログ生成条件に合致する端末情報を探知した場合、ログ情報を生成してもよい。 Further, the wireless signal detection sensor 10 stores in advance terminal information that is permitted to transmit a wireless signal, such as a wireless access point that is permitted to be installed at that location, as authorized terminal information. The terminal information is, for example, information on an access point for realizing wireless communication and a communication terminal connected to the access point, for example, a mobile terminal such as a smartphone or a computer. When the source information of the radio signal collected by the wireless signal detection sensor 10 and the stored authorized terminal information are referred to, and the collected device information is not included in the stored authorized terminal device information, or When a plurality of the same authorized terminal information is included, log information may be generated as a connection log of an unauthorized terminal and transmitted to the manager server 20. Further, the wireless signal detection sensor 10 stores the log generation condition which is a condition for detecting the existence of an unauthorized terminal, and when the terminal information matching the log generation condition is detected, even if the log information is generated. good.
 無線信号探知センサ10は、探知された端末の情報としてその端末の機器IDや信号強度、探知時間と、その発信元の端末に接続されているサブ端末の機器IDとを対応付けて機器情報として記憶する。 The wireless signal detection sensor 10 associates the device ID, signal strength, and detection time of the terminal as the detected terminal information with the device ID of the sub terminal connected to the source terminal as device information. Remember.
 さらに、無線信号探知センサ10は、探知される範囲内で無線信号の発信や無線接続が認可されているアクセスポイントと接続端末とを認可端末情報として記憶し、認可端末情報に含まれていない端末の機器情報を探知した場合は、不正端末の接続ログとしてログ情報を生成する。生成したログ情報は、マネージャサーバ20へ送信する。 Further, the wireless signal detection sensor 10 stores an access point and a connected terminal that are authorized to transmit a wireless signal or wirelessly connect within the detected range as authorized terminal information, and is not included in the authorized terminal information. When the device information of is detected, the log information is generated as the connection log of the unauthorized terminal. The generated log information is transmitted to the manager server 20.
 また、無線信号探知センサ10は、不正端末を検出すると、無線通信を遮断するために、不正接続されている端末及びアクセスポイント双方へ無線通信を遮断するための通信切断メッセージを送信することで、通信を強制的に遮断する。なお、無線信号探知センサ10は、認可端末だけでなく、不正端末の機器情報も記憶し、記憶されている不正端末機器情報と合致する端末を検出したとき、不正端末として無線通信を遮断してもよい。 Further, when the wireless signal detection sensor 10 detects an unauthorized terminal, the wireless signal detection sensor 10 transmits a communication disconnection message for blocking the wireless communication to both the illegally connected terminal and the access point in order to block the wireless communication. Forcibly cut off communication. The wireless signal detection sensor 10 stores not only the authorized terminal but also the device information of the fraudulent terminal, and when it detects a terminal that matches the stored fraudulent terminal device information, it cuts off wireless communication as a fraudulent terminal. May be good.
 無線信号探知センサ10は、探知している無線信号のネットワークではなく、自らが有するアクセスポイントによりマネージャサーバ20と接続し、マネージャサーバ20からの要求に基づいて収集した機器情報やログ情報を送信する。 The wireless signal detection sensor 10 connects to the manager server 20 by its own access point instead of the network of the wireless signal being detected, and transmits the device information and log information collected based on the request from the manager server 20. ..
 無線信号探知センサ10は、同一のネットワークシステム内に複数設置されてもよく、一つのみ設置されてもよい。無線信号探知センサ10が探知できる範囲とネットワークシステム内でセキュリティ診断したい範囲とを比較して、無線信号探知センサ10の設置数を適宜決めることができる。 A plurality of wireless signal detection sensors 10 may be installed in the same network system, or only one may be installed. The number of wireless signal detection sensors 10 to be installed can be appropriately determined by comparing the range that can be detected by the wireless signal detection sensor 10 with the range for which security diagnosis is desired in the network system.
 マネージャサーバ20は、複数の無線信号探知センサ10から無線信号探知センサ10が収集した機器情報やログ情報を受信し、記憶するサーバである。マネージャサーバ20は、セキュリティ診断サーバ30から無線信号探知センサ10を特定する情報と機器情報及びログ情報の送信要求を受信すると、特定された無線信号探知センサ10に機器情報の送信要求を行い、無線信号探知センサ10から受信した情報を記憶するとともに、都度受信しているログ情報とともにセキュリティ診断サーバ30へと送信する。 The manager server 20 is a server that receives and stores device information and log information collected by the wireless signal detection sensors 10 from a plurality of wireless signal detection sensors 10. When the manager server 20 receives the transmission request of the information identifying the wireless signal detection sensor 10 and the device information and the log information from the security diagnosis server 30, the manager server 20 makes a transmission request of the device information to the specified wireless signal detection sensor 10 and wirelessly. The information received from the signal detection sensor 10 is stored, and the log information received each time is transmitted to the security diagnosis server 30.
 マネージャサーバ20は、無線信号探知センサ10から受信した機器情報を、無線信号探知センサ10を一意に特定するための識別情報に対応付けて記憶する。また、マネージャサーバ20は、無線信号探知センサ10別、または、顧客別に、過去の受信した機器情報に基づいて、認可端末や不正端末の機器情報や認可端末、不正端末いずれにも分類していない未確認端末など機器分類情報を記憶してもよい。マネージャサーバ20の機器分類情報へアクセスし、未確認端末を認可端末また不正端末として分類して登録、更新を行う。さらに、マネージャサーバは、記憶されている機器分類情報が更新されたときには、適宜該当する無線信号探知センサ10へ送信し、無線信号探知センサ10に記憶されている認可端末や不正端末の情報を更新してもよい。 The manager server 20 stores the device information received from the wireless signal detection sensor 10 in association with the identification information for uniquely identifying the wireless signal detection sensor 10. Further, the manager server 20 does not classify the device information of the authorized terminal or the unauthorized terminal, the authorized terminal, or the unauthorized terminal according to the wireless signal detection sensor 10 or the customer based on the device information received in the past. Device classification information such as unconfirmed terminals may be stored. Access the device classification information of the manager server 20, classify unconfirmed terminals as authorized terminals or unauthorized terminals, and register and update them. Further, when the stored device classification information is updated, the manager server appropriately transmits the stored device classification information to the corresponding wireless signal detection sensor 10, and updates the information of the authorized terminal or unauthorized terminal stored in the wireless signal detection sensor 10. You may.
 セキュリティ診断サーバ30は、各無線信号探知センサ10が収集した機器情報及びログ情報をマネージャサーバ20から受信し、その無線信号探知センサ10が存在する場所での無線ネットワークにおけるセキュリティを診断し、セキュリティレポートを生成する。また生成したセキュリティレポートの通知を行う。セキュリティレポートは、例えば、毎日又は月1回生成される。 The security diagnosis server 30 receives the device information and log information collected by each wireless signal detection sensor 10 from the manager server 20, diagnoses the security in the wireless network in the place where the wireless signal detection sensor 10 exists, and reports the security. To generate. It also notifies the generated security report. Security reports are generated, for example, daily or monthly.
 セキュリティ診断サーバ30は、受信したログ情報と機器情報とに基づいてその場所での無線ネットワークのセキュリティリスクを分析する。具体的には、ログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいてその場所における無線ネットワークのセキュリティリスクを分析する。 The security diagnosis server 30 analyzes the security risk of the wireless network at that location based on the received log information and device information. Specifically, the risk level corresponding to the log information is referred to, and the security risk of the wireless network at that location is analyzed based on the risk level and the number of logs.
 また、セキュリティ診断サーバ30は、一定期間ごとにマネージャサーバ20へ所定の無線信号探知センサ10の機器情報を要求し、機器情報をマネージャサーバ20を介して受信すると、受信した機器情報の機器が認可されているアクセスポイントかどうかを決定し、認可されているアクセスポイント以外の機器情報である場合は、無線信号探知センサ10が受信したその機器が発している無線信号の信号強度と、信号を探知している継続期間とを計測し、所定時間以上継続している場合不正アクセスポイントがあると診断し、不正アクセスポイントの存在を通知する。 Further, the security diagnosis server 30 requests the device information of the predetermined wireless signal detection sensor 10 from the manager server 20 at regular intervals, and when the device information is received via the manager server 20, the device of the received device information is authorized. It is determined whether or not the access point is authorized, and if it is device information other than the authorized access point, the signal strength of the wireless signal emitted by the device received by the wireless signal detection sensor 10 and the signal are detected. It measures the duration of the operation, and if it continues for a predetermined time or longer, it diagnoses that there is an unauthorized access point and notifies the existence of the unauthorized access point.
 さらに、セキュリティ診断サーバ30は、複数の無線信号探知センサ10が近接して設置されている場合に、複数の無線信号探知センサ10において同一の不正端末を検出した場合には、各無線信号探知センサ10が受信した無線信号の信号強度に基づいて、不正端末の場所を推定する。 Further, when the security diagnosis server 30 detects the same unauthorized terminal in the plurality of wireless signal detection sensors 10 when the plurality of wireless signal detection sensors 10 are installed close to each other, each wireless signal detection sensor 30 The location of the fraudulent terminal is estimated based on the signal strength of the radio signal received by 10.
 図2は、無線信号探知センサ10の機能ブロック図の一例を示す図である。無線信号探知センサ10は、センサ部110、機器情報記憶部120、認可端末情報記憶部130、ログ生成部140、通信遮断部150、通信部160を有する。 FIG. 2 is a diagram showing an example of a functional block diagram of the wireless signal detection sensor 10. The wireless signal detection sensor 10 includes a sensor unit 110, a device information storage unit 120, an authorized terminal information storage unit 130, a log generation unit 140, a communication blocking unit 150, and a communication unit 160.
 センサ部110は、常時、所定の無線の通信規格に準拠した無線信号、たとえば所定半径でのWi-Fiの信号を探知、受信する。センサ部110は、無線信号を受信するとともに、発信元の端末情報とその端末に接続されているサブ端末情報とを機器情報として収集する。無線信号の発信元の端末は、例えば、無線ネットワークのアクセスポイントやアクセスポイントを探すために無線信号を発信しているスマートフォンなどの携帯端末や無線通信機能を有するコンピュータなどである。また、サブ端末情報とは、アクセスポイントを利用して無線接続している携帯端末やコンピュータの情報である。センサ部110は、端末情報及びサブ端末情報として、端末又はサブ端末を一意に識別できる、例えばMACアドレスなどを収集し、機器情報として機器情報記憶部120へと記憶する。 The sensor unit 110 constantly detects and receives a wireless signal conforming to a predetermined wireless communication standard, for example, a Wi-Fi signal with a predetermined radius. The sensor unit 110 receives the wireless signal and collects the terminal information of the source and the sub-terminal information connected to the terminal as device information. The terminal of the source of the wireless signal is, for example, a mobile terminal such as a smartphone that transmits a wireless signal in order to search for an access point or an access point of a wireless network, or a computer having a wireless communication function. Further, the sub-terminal information is information on a mobile terminal or a computer that is wirelessly connected using an access point. The sensor unit 110 collects, for example, a MAC address that can uniquely identify the terminal or the sub terminal as the terminal information and the sub terminal information, and stores the device information in the device information storage unit 120.
 機器情報記憶部120は、センサ部110が収集した機器情報を記憶する。機器情報とは、センサ部が収集、受信した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報である。端末情報として、例えばMACアドレス、SSID、信号強度などを収集し、サブ端末情報として接続している端末のMACアドレスに対応付けてサブ端末のMACアドレスと端末への接続時間を記憶する。このとき、接続時間が例えば10分未満などの短時間の接続の端末やアクセスポイントとそれ以外とで区別する表示を付して記憶するようにしてもよい。 The device information storage unit 120 stores the device information collected by the sensor unit 110. The device information is the terminal information of the source of the wireless signal collected and received by the sensor unit and the sub-terminal information connected to the terminal. For example, MAC address, SSID, signal strength, etc. are collected as terminal information, and the MAC address of the sub terminal and the connection time to the terminal are stored in association with the MAC address of the connected terminal as sub terminal information. At this time, a display for distinguishing between a terminal or access point connected for a short time such as a connection time of less than 10 minutes and the other may be attached and stored.
 機器情報記憶部120に記憶された機器情報は、マネージャサーバ20から送信要求があると、それに応じてマネージャサーバ20へと送信される。このとき、記憶容量を確保するため、マネージャサーバ20へ送信した機器情報については、機器情報記憶部120から削除するように構成してもよい。 The device information stored in the device information storage unit 120 is transmitted to the manager server 20 in response to a transmission request from the manager server 20. At this time, in order to secure the storage capacity, the device information transmitted to the manager server 20 may be configured to be deleted from the device information storage unit 120.
 認可端末情報記憶部130は、認可されているアクセスポイント及び接続端末の認可端末情報を記憶する。例えば、認可端末情報記憶部130は、無線信号探知センサ10が設置されている場所において無線信号を発信することが認められているアクセスポイントや、設置が認められているコンピュータや通信端末の情報を認可端末の情報として記憶する。認可端末情報として、例えば、その認可端末のMACアドレスを記憶する。また、認可端末情報記憶部130は、不正端末の情報を記憶してもよい。SSIDやMACアドレスから無線信号探知センサ10が設置されている場所において無線信号を発信することが認められていない機器情報を記憶する。 The authorized terminal information storage unit 130 stores the authorized terminal information of the authorized access point and the connected terminal. For example, the licensed terminal information storage unit 130 provides information on an access point that is permitted to transmit a wireless signal at a place where the wireless signal detection sensor 10 is installed, and a computer or communication terminal that is permitted to be installed. It is stored as the information of the authorized terminal. As the authorized terminal information, for example, the MAC address of the authorized terminal is stored. Further, the authorization terminal information storage unit 130 may store the information of the unauthorized terminal. It stores device information that is not permitted to transmit wireless signals from the SSID or MAC address at the location where the wireless signal detection sensor 10 is installed.
 ログ生成部140は、センサ部110が探知した機器情報が認可端末情報記憶部130に記憶された認可端末情報に含まれていない場合又は複数の同一の認可端末情報が含まれる場合、不正端末の接続ログとしてログ情報を生成する。ログ生成部140が生成されたログ情報は通信部160からマネージャサーバへ送信される。ログ情報として、合致したログ生成条件を送信してもよい。なお、このとき、生成されたログ情報とともに合致したログ生成条件に対応するリスク度を合わせて送信してもよい。 When the device information detected by the sensor unit 110 is not included in the authorized terminal information stored in the authorized terminal information storage unit 130, or when a plurality of the same authorized terminal information is included, the log generation unit 140 of the unauthorized terminal Generate log information as a connection log. The log information generated by the log generation unit 140 is transmitted from the communication unit 160 to the manager server. Matching log generation conditions may be sent as log information. At this time, the generated log information may be transmitted together with the risk level corresponding to the matching log generation conditions.
 ログ生成部140は、例えば、ログ生成条件を記憶しており、センサ部110が探知した機器情報と認可端末情報記憶部130に記憶された認可端末情報とを比較し、ログ生成条件に合致する場合にログ情報を生成するようにしてもよい。一例として、ログ生成条件として、例えば、センサ部110が探知した機器情報のMACアドレスが認可端末情報記憶部130に記憶されている認可端末のMACアドレスのいずれもと異なっていた場合は、不正端末が存在しているとしてログ情報を生成するというログ生成条件を記憶しており、ログ生成部140は、ログ生成条件を参照してログを生成してもよい。 For example, the log generation unit 140 stores the log generation condition, compares the device information detected by the sensor unit 110 with the authorization terminal information stored in the authorization terminal information storage unit 130, and matches the log generation condition. In some cases, log information may be generated. As an example, as a log generation condition, for example, if the MAC address of the device information detected by the sensor unit 110 is different from any of the MAC addresses of the authorized terminal stored in the authorized terminal information storage unit 130, the unauthorized terminal The log generation condition that the log information is generated assuming that the log information exists is stored, and the log generation unit 140 may generate the log by referring to the log generation condition.
 ログ生成部140は、例えば、ログ生成条件としてリスク項目とリスク度とを合わせて記憶してもよい。例えば、不正端末の存在というリスク項目についてはリスク度「中」、未確認端末が認可されているアクセスポイントに接続しているというリスク項目についてはリスク度「高」などである。ログ生成条件としては、これらに限らず、認可端末情報記憶部130に記憶された認可端末が認可端末情報記憶部130に記憶されていない不正アクセスポイントに接続している場合など、様々な条件を設定してもよい。 The log generation unit 140 may store, for example, a risk item and a risk degree together as a log generation condition. For example, the risk item of the existence of an unauthorized terminal has a risk level of "medium", and the risk item of an unidentified terminal connecting to an authorized access point has a risk level of "high". The log generation conditions are not limited to these, and various conditions such as when the authorized terminal stored in the authorized terminal information storage unit 130 is connected to an unauthorized access point not stored in the authorized terminal information storage unit 130 can be used. It may be set.
 通信遮断部150は、不正端末を検出すると、不正端末と他の端末との間の無線通信を遮断する。例えば、認可端末情報記憶部130に記憶されていない不正端末が、認可端末情報記憶部130にMACアドレスが記憶されている認可アクセスポイントに接続されている場合、通信遮断部150は、認可アクセスポイントと不正端末の双方に強制切断メッセージを送信することで、互いの通信を遮断することでセキュリティリスクを低減させる。 When the communication blocking unit 150 detects an unauthorized terminal, it blocks wireless communication between the unauthorized terminal and another terminal. For example, when an unauthorized terminal that is not stored in the authorized terminal information storage unit 130 is connected to an authorized access point whose MAC address is stored in the authorized terminal information storage unit 130, the communication blocking unit 150 uses the authorized access point. By sending a forced disconnection message to both the and unauthorized terminals, the security risk is reduced by blocking communication with each other.
 通信遮断部150は、ログ生成部140において不正端末の接続ログとしてログが生成されたときに、そのログの対象となる通信を遮断するように構成してもよく、ログ生成後、所定時間経過しても接続が継続している場合に通信を遮断するよう構成してもよい。また、通信遮断部150による通信遮断処理は、例えばリスク度「高」のログ情報が生成された場合にのみ通信遮断処理を行うように構成してもよく、ログ情報が生成されるとすべての不正接続に対して通信遮断処理を行うように構成してもよい。
 また、通信遮断部150は、認可端末情報記憶部130が不正端末の情報を記憶しているときは、不正端末の情報と一致する端末が検出されたときに、その通信を遮断するように構成してもよい。 When the log generation unit 140 generates a log as a connection log of an unauthorized terminal, the communication blocking unit 150 may be configured to block the communication that is the target of the log, and a predetermined time elapses after the log is generated. However, it may be configured to cut off the communication when the connection is continued. Further, the communication blocking process by the communication blocking unit 150 may be configured to perform the communication blocking process only when, for example, log information having a high risk level is generated, and when the log information is generated, all the communication blocking processing may be performed. It may be configured to perform communication blocking processing for an unauthorized connection.
Further, the communication blocking unit 150 is configured to block the communication when the authorized terminal information storage unit 130 stores the information of the unauthorized terminal and a terminal matching the information of the unauthorized terminal is detected. You may.
 通信部160は、マネージャサーバ20との通信を行う。センサ部110が生成した機器情報をマネージャサーバからの送信要求があった場合に、マネージャサーバへ機器情報を送信し、また、ログ生成部140がログを生成した場合には、ログ情報を適宜マネージャサーバへ送信する。また、通信遮断部150が不正な通信を行っている2つの端末間の通信を強制遮断するときの遮断メッセージを送信する。 The communication unit 160 communicates with the manager server 20. When the manager server requests transmission of the device information generated by the sensor unit 110, the device information is transmitted to the manager server, and when the log generation unit 140 generates a log, the log information is appropriately managed. Send to the server. In addition, the communication blocking unit 150 transmits a blocking message when the communication between two terminals that are performing illegal communication is forcibly blocked.
 図3は、マネージャサーバ20の機能ブロックの一例を示す図である。無線信号探知センサ情報記憶部210と制御部220、通信部230を有する。無線信号探知センサ情報記憶部210は、マネージャサーバ20が複数の無線信号探知センサ10から受信した機器情報を無線信号探知センサの情報と対応付けて記憶する。また、無線信号探知センサ10からログ情報を受信した場合、ログ情報も無線信号探知センサの情報に無線信号探知センサ情報記憶部210へ対応付けて記憶する。 FIG. 3 is a diagram showing an example of a functional block of the manager server 20. It has a wireless signal detection sensor information storage unit 210, a control unit 220, and a communication unit 230. The wireless signal detection sensor information storage unit 210 stores the device information received by the manager server 20 from the plurality of wireless signal detection sensors 10 in association with the information of the wireless signal detection sensor. When the log information is received from the wireless signal detection sensor 10, the log information is also stored in association with the information of the wireless signal detection sensor in the wireless signal detection sensor information storage unit 210.
 制御部220は、無線信号探知センサ情報記憶部210への機器情報の記憶又は記憶情報の読み出し、データ送受信要求の制御、通信部230による通信の制御を行う。 The control unit 220 stores the device information or reads the stored information in the wireless signal detection sensor information storage unit 210, controls the data transmission / reception request, and controls the communication by the communication unit 230.
 通信部230は、無線信号探知センサ10からの機器情報またはログ情報を受信し、セキュリティ診断サーバ30からデータの送信要求を受信すると、データの送信を行う。通信部230は、例えば、無線信号探知センサ10から、随時ログ情報を受信し、セキュリティ診断サーバ30から所定の無線信号探知センサ10を指定したデータの送信要求を受信すると、当該無線信号探知センサ10へ機器情報の送信要求を行い、機器情報を受信すると、無線信号探知センサ情報記憶部210に記憶されているログ情報と、受信した機器情報とをセキュリティ診断サーバ30へ送信するよう構成してもよい。 When the communication unit 230 receives the device information or the log information from the wireless signal detection sensor 10 and receives the data transmission request from the security diagnosis server 30, the communication unit 230 transmits the data. When the communication unit 230 receives log information from the wireless signal detection sensor 10 at any time and receives a data transmission request for designating a predetermined wireless signal detection sensor 10 from the security diagnosis server 30, the communication unit 230 receives the wireless signal detection sensor 10. When a device information transmission request is made to and the device information is received, the log information stored in the wireless signal detection sensor information storage unit 210 and the received device information may be transmitted to the security diagnosis server 30. good.
 図4は、セキュリティ診断サーバ30の機能ブロック図の一例を示す図である。セキュリティ診断サーバ30は、セキュリティ分析部310、レポート生成部320、レポート通知部330、機器情報受信部340を有する。 FIG. 4 is a diagram showing an example of a functional block diagram of the security diagnosis server 30. The security diagnosis server 30 includes a security analysis unit 310, a report generation unit 320, a report notification unit 330, and a device information receiving unit 340.
 セキュリティ分析部310は、無線信号探知センサ10が収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行う。具体的には、受信したログ情報と機器情報に基づいて無線ネットワークのセキュリティリスクを分析する。セキュリティ分析部310は、無線信号探知センサ10から受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて、データ記憶部350に記憶されている評価テーブルに基づいてその無線信号探知センサ10が置かれた場所における無線ネットワークのセキュリティリスクを分析する。 The security analysis unit 310 performs security analysis of the wireless network based on the device information within a predetermined period collected by the wireless signal detection sensor 10. Specifically, the security risk of the wireless network is analyzed based on the received log information and device information. The security analysis unit 310 refers to the risk level corresponding to the log information received from the radio signal detection sensor 10, and based on the risk level and the number of logs, the radio is based on the evaluation table stored in the data storage unit 350. The security risk of the wireless network at the place where the signal detection sensor 10 is placed is analyzed.
 セキュリティ分析部310は、近接して3以上の無線信号探知センサ10を設置している場合、これらの無線信号探知センサ10が収集した機器情報に基づいて不正端末の場所を特定してもよい。例えば、近接して無線信号探知センサ10が複数設置されている場合、同一の不正端末の機器情報を複数の無線信号探知センサ10が収集することがある。この場合、セキュリティ分析部310は、各無線信号探知センサ10が受信した不正端末の信号強度に基づいて、不正端末の場所を推定する。 When three or more wireless signal detection sensors 10 are installed in close proximity to each other, the security analysis unit 310 may identify the location of an unauthorized terminal based on the device information collected by these wireless signal detection sensors 10. For example, when a plurality of wireless signal detection sensors 10 are installed in close proximity to each other, the plurality of wireless signal detection sensors 10 may collect device information of the same unauthorized terminal. In this case, the security analysis unit 310 estimates the location of the fraudulent terminal based on the signal strength of the fraudulent terminal received by each wireless signal detection sensor 10.
 さらに、セキュリティ分析部310は、一定期間ごと、例えば5分毎や30分毎にマネージャサーバ20へ所定の無線信号探知センサ10へ機器情報を要求し、マネージャサーバ20から所定の無線信号探知センサ10が収集した機器情報を受信すると、受信した機器情報の端末の信号強度が所定値以上であるか判断する。所定値以上、例えば、-70dBm以上である場合、認可されていないアクセスポイントが検知されたと判断する。また、受信した機器情報の端末の信号強度が所定値以上であって、初めて検知した端末である場合は認可されていないアクセスポイントであるとして未確認アクセスポイントであるとして記憶してもよく、所定時間以上(例えば、12時間以上)、継続して同一の機器情報を受信している場合、常時設置されたアクセスポイントであるとして常時設置リストにその端末の情報を追加する。信号受信の継続時間が所定時間未満の場合は、一時利用のアクセスポイントとして、一時利用リストへその端末の情報を追加するようにしてもよい。なお、ここで所定時間未満、たとえば検出継続時間が10分未満の機器情報は、通行車両のWi-Fiなど通りすがりのアクセスポイントであるとして、一時利用リストから削除したり、短時間の検出であることを表示してもよい。 Further, the security analysis unit 310 requests device information from the manager server 20 to the predetermined radio signal detection sensor 10 at regular intervals, for example, every 5 minutes or 30 minutes, and the manager server 20 requests the device information from the manager server 20 to the predetermined radio signal detection sensor 10. When the device information collected by the server is received, it is determined whether the signal strength of the terminal of the received device information is equal to or higher than a predetermined value. When it is equal to or more than a predetermined value, for example, -70 dBm or more, it is determined that an unauthorized access point has been detected. Further, if the signal strength of the terminal of the received device information is equal to or higher than a predetermined value and the terminal is detected for the first time, it may be stored as an unconfirmed access point as an unauthorized access point, and may be stored for a predetermined time. As described above (for example, for 12 hours or more), when the same device information is continuously received, the information of the terminal is added to the always-installed list assuming that the access point is always installed. If the duration of signal reception is less than a predetermined time, the information of the terminal may be added to the temporary use list as an access point for temporary use. Here, device information for less than a predetermined time, for example, a detection duration of less than 10 minutes, is considered to be a passing access point such as Wi-Fi of a passing vehicle, and is deleted from the temporary use list or detected for a short time. May be displayed.
 このとき、セキュリティ分析部310は、データ記憶部350に無線信号探知センサ10に対応する認可端末情報が記憶されている場合、信号強度が所定値以上の端末が認可端末情報と合致するかどうか決定するよう構成してもよい。当該端末が認可端末である場合は、未確認アクセスポイントからは除外する。セキュリティ分析部310は、認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、無線信号探知センサ10が受信した信号強度と探知時間の継続時間とに基づいて不正アクセスポイントがあると診断する。また、セキュリティ分析部310は、データ記憶部350に認可端末情報とともに不正端末情報も記憶されている場合、いずれにも該当しない機器情報を有する端末を未確認アクセスポイントとするよう構成してもよい。また、セキュリティ分析部310は、レポート生成のタイミングで機器情報を要求し、受信した機器情報が認可端末情報記憶部130に記憶されている認可端末か、不正端末か、記憶されていない未確認端末かを判別してもよい。 At this time, when the data storage unit 350 stores the authorized terminal information corresponding to the wireless signal detection sensor 10, the security analysis unit 310 determines whether or not a terminal having a signal strength of a predetermined value or more matches the authorized terminal information. It may be configured to do so. If the terminal is an authorized terminal, it is excluded from unconfirmed access points. The security analysis unit 310 determines whether or not the access point is authorized, and illegally uses device information other than the authorized access point based on the signal strength received by the wireless signal detection sensor 10 and the duration of the detection time. Diagnose that you have an access point. Further, when the data storage unit 350 stores the unauthorized terminal information as well as the authorized terminal information, the security analysis unit 310 may configure a terminal having device information that does not correspond to any of them as an unconfirmed access point. Further, the security analysis unit 310 requests device information at the timing of report generation, and whether the received device information is an authorized terminal stored in the authorized terminal information storage unit 130, an unauthorized terminal, or an unconfirmed terminal that is not stored. May be determined.
 レポート生成部320は、セキュリティ分析部310のセキュリティ分析に基づいてセキュリティレポートを生成する。レポート生成部320は、例えば、所定のレポートフォーマットを記憶しており、セキュリティ分析部310が行ったセキュリティ分析、機器情報、ログ情報を、所定のレポートフォーマットへAPI(Application Programming Interface)により入力することでセキュリティレポートを生成する。 The report generation unit 320 generates a security report based on the security analysis of the security analysis unit 310. For example, the report generation unit 320 stores a predetermined report format, and inputs the security analysis, device information, and log information performed by the security analysis unit 310 into the predetermined report format by API (Application Programming Interface). Generate a security report with.
 レポート生成部320は、例えば、所定期間内に、ある顧客に対応する無線信号探知センサ10が収集した機器情報及びログ情報に基づいて、セキュリティ分析部310が行ったセキュリティリスクをレポートに含むように生成するとともに、ログ情報とその件数その危険度を表示し、ログ情報に対応する機器情報を合わせて表示するようレポートを生成する。 For example, the report generation unit 320 includes the security risk taken by the security analysis unit 310 in the report based on the device information and the log information collected by the radio signal detection sensor 10 corresponding to a certain customer within a predetermined period. At the same time as generating, the log information and the number of cases and the degree of risk are displayed, and a report is generated so that the device information corresponding to the log information is also displayed.
 レポート生成部320は、不正端末の位置推定を行った場合は、位置推定をセキュリティレポートに含めて生成する。また、セキュリティ分析部310が信号強度と探知継続時間により不正アクセスポイントの診断を行う場合には、初めて不正アクセスポイントを探知した場合、日次又は月次等で不正アクセスポイントの存在についてレポート生成を行う。 When the position estimation of the unauthorized terminal is performed, the report generation unit 320 includes the position estimation in the security report and generates it. In addition, when the security analysis unit 310 diagnoses an unauthorized access point based on the signal strength and the detection duration, when the unauthorized access point is detected for the first time, a report is generated on the existence of the unauthorized access point on a daily or monthly basis. conduct.
 レポート通知部330は、レポートが生成された旨を所定の端末又はメールアドレス等に通知を行う。なお、レポートが生成された旨を通知することとしているが、これに限らず、例えば、メールにセキュリティレポートを添付して通知するように構成してもよい。 The report notification unit 330 notifies a predetermined terminal, e-mail address, etc. that the report has been generated. It should be noted that the notification that the report has been generated is not limited to this, and for example, a security report may be attached to an email to notify the notification.
 機器情報受信部340は、マネージャサーバ20へ、セキュリティレポート作成のタイミング、例えば、月次、日次など、毎月1日など決まっている所定のタイミングで、マネージャサーバ20へセキュリティレポート作成の対象となっている顧客に対応する一又は複数の無線信号探知センサ10の機器情報の送信要求を行い、マネージャサーバ20から機器情報及びログ情報の受信を行う。 The device information receiving unit 340 is targeted for creating a security report on the manager server 20 at a predetermined timing such as monthly, daily, etc., which is determined on the first day of each month. Requests transmission of device information of one or more wireless signal detection sensors 10 corresponding to the customer, and receives device information and log information from the manager server 20.
 データ記憶部350は、顧客データや評価テーブルを記憶している。顧客データとして、例えば、顧客IDと連絡先のメールアドレス、顧客先に設置している無線信号探知センサ10のID、認可アクセスポイントの情報などを記憶する。また、セキュリティリスクを評価するための評価テーブルを記憶する。例えば、リスク度が高いログ件数が1件ある場合は、セキュリティリスク「D」(極めて高い)など、セキュリティリスクと、ログ内容に対応付けられたリスク度に応じたリスク評価テーブルを記憶する。また、セキュリティ分析部310が信号強度と継続時間とで診断した不正アクセスポイントについて、未確認アクセスポイントのリストや一時利用と認定したアクセスポイントのリスト、常時設置されたアクセスポイントのリストなどを記憶する。 The data storage unit 350 stores customer data and evaluation tables. As customer data, for example, a customer ID and a contact email address, an ID of a wireless signal detection sensor 10 installed at the customer destination, information on an authorized access point, and the like are stored. It also stores an evaluation table for evaluating security risks. For example, when there is one log with a high risk level, a risk assessment table according to the security risk such as security risk "D" (extremely high) and the risk level associated with the log contents is stored. Further, regarding the unauthorized access points diagnosed by the security analysis unit 310 based on the signal strength and the duration, a list of unconfirmed access points, a list of access points recognized as temporary use, a list of access points installed at all times, and the like are stored.
 図5は、無線信号探知センサ10の機器情報記憶部120に記憶されるデータベースの一例である。機器情報記憶部120には、センサ部110が収集した機器情報が記憶されるが、端末の機器情報、つまりアクセスポイントやテザリングデバイス、無線信号を発信している端末の機器情報を記憶するとともに、端末に対応づけて、端末に通信接続しているサブ端末の機器情報を記憶する。 FIG. 5 is an example of a database stored in the device information storage unit 120 of the wireless signal detection sensor 10. The device information storage unit 120 stores the device information collected by the sensor unit 110, and stores the device information of the terminal, that is, the device information of the access point, the tethering device, and the terminal transmitting the wireless signal. Corresponds to the terminal and stores the device information of the sub terminal that is connected to the terminal by communication.
 本例では、端末のMACアドレスに対応付けてその端末のSSID、暗号化方式、認証方式、プロトコル、信号強度などを記憶する。例えば、無線LANにおけるアクセスポイントの識別名であるSSIDを記憶する。また、暗号化方式として、例えばAESやWEPなど、その端末が使用している暗号化方式を記憶する。認証として、その端末が行っている認証方式、WPA2-PSK、WEPなどの認証方式を記憶する。プロトコルとして、端末が対応している無線LANの規格を記憶する。例えば、Wi-Fiの通信規格であるIEEE802.11bと802.11g、802.11nとに対応している場合、「b/g/n」などと記憶される。また、無線信号探知センサ10が受信したその端末の発信している無線信号の信号強度を記憶する。例えば、-46dBmなどである。また、検知開始時間と終了時間、検知されていた時間を記憶してもよい。 In this example, the SSID, encryption method, authentication method, protocol, signal strength, etc. of the terminal are stored in association with the MAC address of the terminal. For example, the SSID, which is the identification name of the access point in the wireless LAN, is stored. Further, as the encryption method, the encryption method used by the terminal, such as AES or WEP, is stored. As the authentication, the authentication method used by the terminal, such as WPA2-PSK and WEP, is stored. As a protocol, the wireless LAN standard supported by the terminal is stored. For example, when it corresponds to the Wi-Fi communication standards IEEE802.11b, 802.11g, and 802.11n, it is stored as "b / g / n". In addition, the signal strength of the radio signal transmitted by the terminal received by the radio signal detection sensor 10 is stored. For example, -46 dBm. Further, the detection start time, the end time, and the detected time may be stored.
 端末に接続されたサブ端末の機器情報として、接続先端末のMACアドレスに対応付けて、接続先端末のSSID、サブ端末のMACアドレス、接続時間を記憶する。接続時間とは、サブ端末が端末に接続を開始した時間と終了時間を記憶する。なお、接続時間として、接続開始時間と接続されていた期間(例えば、10時間4分など)を記憶してもよい。 As the device information of the sub terminal connected to the terminal, the SSID of the connection destination terminal, the MAC address of the sub terminal, and the connection time are stored in association with the MAC address of the connection destination terminal. The connection time stores the time when the sub terminal starts connecting to the terminal and the end time. As the connection time, the connection start time and the connected period (for example, 10 hours and 4 minutes) may be stored.
 図6は、無線信号探知センサ10の認可端末情報記憶部130に記憶されるデータベースの一例である。認可端末情報記憶部130には、無線信号探知センサ10が設置されている場所で、無線信号を発信することが認められているアクセスポイントや無線接続することが認められているコンピュータなどの通信端末がここにあらかじめ記憶される。認可端末情報記憶部130には、認可端末を特定するための情報が記憶され、例えば、認可端末のMACアドレスが記憶される。なお、これに限らず、認可端末を一意に識別できる情報であればよく、またMACアドレス以外の情報、端末の名前やSSID、製造元などもあわせて記憶してもよい。なお、ここにあわせて、不正端末情報も記憶するようにしてもよい。その場合、不正端末と認可端末とが区別がつくよう、不正端末、認可端末の種別を合わせて記憶してもよい。不正端末も記憶することで、直ちに通信遮断を行うことができる。 FIG. 6 is an example of a database stored in the authorized terminal information storage unit 130 of the wireless signal detection sensor 10. The licensed terminal information storage unit 130 is a communication terminal such as an access point that is permitted to transmit a wireless signal or a computer that is permitted to wirelessly connect at a place where the wireless signal detection sensor 10 is installed. Is stored here in advance. Information for identifying the licensed terminal is stored in the licensed terminal information storage unit 130, and for example, the MAC address of the licensed terminal is stored. Not limited to this, any information that can uniquely identify the authorized terminal may be used, and information other than the MAC address, the name and SSID of the terminal, the manufacturer, and the like may also be stored. In addition, the unauthorized terminal information may be stored at the same time. In that case, the types of the unauthorized terminal and the authorized terminal may be stored together so that the unauthorized terminal and the authorized terminal can be distinguished from each other. By storing the unauthorized terminal, the communication can be cut off immediately.
 図7は、無線信号探知センサ10におけるログ生成処理の一例を説明するフローチャートである。まず、無線信号探知センサ10のセンサ部110は、無線信号を探知する(ステップS701)。 FIG. 7 is a flowchart illustrating an example of log generation processing in the wireless signal detection sensor 10. First, the sensor unit 110 of the wireless signal detection sensor 10 detects the wireless signal (step S701).
 次にセンサ部110は、無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを記憶させる(ステップS702)。センサ部110は、探知した無線信号に含まれる情報を収集し、機器情報記憶部120へ無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを記憶させる。 Next, the sensor unit 110 stores the terminal information of the source of the wireless signal and the sub-terminal information connected to the terminal (step S702). The sensor unit 110 collects information included in the detected wireless signal, and stores the terminal information of the source of the wireless signal and the sub-terminal information connected to the terminal in the device information storage unit 120.
 そして、ログ生成部140は、認可端末情報と収集した機器情報とを比較する(ステップS703)。記憶しているログ生成条件と比較結果とに基づいて、ログ生成部140は、探知した無線信号を発信する端末が不正端末であるかどうかを決定する(ステップS704)。ログ生成部140は、例えば、探知した無線信号の発信元の端末の端末情報に含まれるMACアドレスが認可端末情報記憶部130に記憶されているMACアドレスのいずれもと一致しない場合、非認可のアクセスポイントが存在している、つまり不正端末が存在していると決定する。なお、複数の無線信号を探知し、そのなかに同じMACアドレスの端末情報が2つ存在し、そのMACアドレスが認可端末情報記憶部130に記憶されている場合、一方の端末がなりすまし端末であるとするログ生成条件を記憶している場合、不正端末であると決定する。 Then, the log generation unit 140 compares the authorized terminal information with the collected device information (step S703). Based on the stored log generation conditions and the comparison result, the log generation unit 140 determines whether or not the terminal that transmits the detected wireless signal is an unauthorized terminal (step S704). The log generation unit 140 is not authorized when, for example, the MAC address included in the terminal information of the terminal that is the source of the detected wireless signal does not match any of the MAC addresses stored in the authorized terminal information storage unit 130. It is determined that the access point exists, that is, the malicious terminal exists. When a plurality of radio signals are detected, two terminal information having the same MAC address exist in the two terminals, and the MAC address is stored in the authorized terminal information storage unit 130, one terminal is a spoofing terminal. If the log generation condition is memorized, it is determined that the terminal is an unauthorized terminal.
 不正端末である場合(yes)、ログ生成部140は、ログ情報を生成し、記憶する(ステップS705)。このとき、生成したログ情報をマネージャサーバ20へ所定のタイミングで送信するよう構成してもよい。所定のタイミングとは例えば、ログ生成時、毎日決まった時間、などが考えられる。ログ情報には、ログ生成条件と不正端末と決定された端末の機器情報とが含まれる。 When the terminal is an unauthorized terminal (yes), the log generation unit 140 generates and stores the log information (step S705). At this time, the generated log information may be configured to be transmitted to the manager server 20 at a predetermined timing. The predetermined timing may be, for example, a log generation time, a fixed time every day, or the like. The log information includes log generation conditions and device information of a terminal determined to be an unauthorized terminal.
 不正端末ではない場合(no)、ログ生成部140は、ログ情報を生成せず、そのまま処理を終了する。 If it is not an unauthorized terminal (no), the log generation unit 140 does not generate log information and ends the process as it is.
 図8は、ログ生成部140に記憶されるログ生成条件の一例である。ログ生成部140は記憶されているログ生成条件、センサ部が受信した無線信号に含まれる機器情報、認可端末情報記憶部130に記憶された認可端末情報と、を比較して、ログ情報の生成を行うか否かを決定する。ログ生成条件として、ここでは、ログ生成条件である項目とそのリスク度が対応付けて記憶されている。 FIG. 8 is an example of the log generation conditions stored in the log generation unit 140. The log generation unit 140 compares the stored log generation conditions, the device information included in the radio signal received by the sensor unit, and the authorization terminal information stored in the authorization terminal information storage unit 130 to generate log information. Decide whether or not to do. As the log generation condition, here, the item which is the log generation condition and the risk degree thereof are stored in association with each other.
 例えば、「認可AP外部端末接続」、つまり、認可AP(アクセスポイント)に、認可されていない端末の接続が検出された場合をログ生成条件として、そのリスク度は「高」と記憶されている。また、「外部AP認可端末接続」、つまり外部のアクセスポイント、認可端末として登録されていないアクセスポイントに登録されている端末がサブ端末として接続されている場合をログ生成条件として、リスク度「中」と記憶されている。 For example, "authorized AP external terminal connection", that is, the case where the connection of an unauthorized terminal is detected by the authorized AP (access point) is set as a log generation condition, and the risk level is stored as "high". .. In addition, the risk level is "medium", with "external AP authorized terminal connection", that is, the case where an external access point or a terminal registered in an access point not registered as an authorized terminal is connected as a sub terminal as a log generation condition. Is remembered.
 例えば「ゲストAP許可端末接続」、つまり認可端末として記憶されておらず、12時間以内など短い期間検出されたアクセスポイントに、認可端末として登録されている端末がサブ端末として接続されていることを検出した場合をログ生成条件として、そのリスク度は「低」と記憶されている。 For example, "guest AP authorized terminal connection", that is, a terminal registered as an authorized terminal is connected as a sub terminal to an access point that is not stored as an authorized terminal and is detected for a short period of time such as within 12 hours. The risk level is stored as "low" with the case of detection as a log generation condition.
 また、例えば、「なりすましAP探知」、つまりアクセスポイントがなりすましであることが探知された場合をログ生成条件として、そのリスク度を「中」と記憶されている。なりすましのアクセスポイントがあるかどうかは、認可端末として認可端末情報記憶部130に記憶されていないMACアドレスを有する端末が認可端末のSSIDと同一のSSIDが使用していう場合をログ生成条件としている。 Also, for example, "spoofing AP detection", that is, the case where the access point is detected as spoofing is set as a log generation condition, and the risk level is stored as "medium". Whether or not there is a spoofed access point is a log generation condition in which a terminal having a MAC address that is not stored in the authorized terminal information storage unit 130 as an authorized terminal uses the same SSID as the SSID of the authorized terminal.
 ログ生成条件に合致する機器情報を受信した場合、ログ生成部140は、合致したログ生成条件とリスク度とをログ情報としてマネージャサーバ20へ送信してもよい。 When receiving device information that matches the log generation conditions, the log generation unit 140 may send the matched log generation conditions and the risk level to the manager server 20 as log information.
 図9は、セキュリティ診断サーバ30のセキュリティ分析部310が、不正アクセスポイントの有無を診断する場合のフローチャートの一例である。無線信号探知センサ10は、認可端末情報記憶部130を有し、ログ生成条件を記憶しているため、不正端末の検出が可能であるが、無線LANのアクセスポイントの設置が許可されていない場所の場合、認可端末が存在しないため、認可端末との比較による不正端末の検出ができない。このような場合にセキュリティ分析部310による信号強度と信号探知の継続時間による不正アクセスポイントの検知が有効である。 FIG. 9 is an example of a flowchart when the security analysis unit 310 of the security diagnosis server 30 diagnoses the presence or absence of an unauthorized access point. Since the wireless signal detection sensor 10 has an authorized terminal information storage unit 130 and stores log generation conditions, it is possible to detect an unauthorized terminal, but a place where installation of a wireless LAN access point is not permitted. In the case of, since the authorized terminal does not exist, the unauthorized terminal cannot be detected by comparing with the authorized terminal. In such a case, the security analysis unit 310 is effective in detecting an unauthorized access point based on the signal strength and the duration of signal detection.
 セキュリティ分析部310は、マネージャサーバ20へ、所定間隔毎に機器情報送信要求を行う(ステップS901)。所定間隔毎とは、例えば30分毎や1時間毎である。機器情報送信要求には、必要とする無線信号探知センサ10を特定する情報と期間(機器情報を収集した日時)を指定して送信要求を行う。通常は、前回に機器情報の送信要求を行って以降の機器情報について送信要求を行う。なお、セキュリティ分析部310は、レポート生成時に、その時点で記憶されている機器情報の送信要求を行ってもよい。 The security analysis unit 310 requests the manager server 20 to transmit device information at predetermined intervals (step S901). The predetermined interval is, for example, every 30 minutes or every hour. In the device information transmission request, the transmission request is made by designating the information for specifying the required wireless signal detection sensor 10 and the period (date and time when the device information is collected). Normally, the device information transmission request is made last time, and the subsequent device information transmission request is made. At the time of generating the report, the security analysis unit 310 may request the transmission of the device information stored at that time.
 セキュリティ分析部310は、所望の無線信号探知センサ10の機器情報を受信したかどうか判定する(ステップS902)。未受信(No)の場合は、引き続き受信判定を行い、機器情報を受信した場合(Yes)は、受信した機器情報のうち信号強度が所定値以上の情報が含まれるかを判定する(ステップS903)。例えば、-70dBm以上の信号を有する端末のみを対象とし、それ以外の端末の情報は無視する。所定の信号強度未満の端末については、セキュリティ診断の対象としている場所に存在しない可能性が高いためである。信号強度のしきい値については、セキュリティ診断の対象とする場所によって適宜変更してもよい。機器情報に含まれる信号強度が所定値未満(No)の場合は、無視して処理を終了する。 The security analysis unit 310 determines whether or not the device information of the desired wireless signal detection sensor 10 has been received (step S902). If it is not received (No), the reception determination is continuously performed, and if the device information is received (Yes), it is determined whether or not the received device information includes information having a signal strength equal to or higher than a predetermined value (step S903). ). For example, only terminals having a signal of −70 dBm or more are targeted, and information on other terminals is ignored. This is because there is a high possibility that a terminal having a signal strength lower than a predetermined value does not exist in the place targeted for security diagnosis. The signal strength threshold value may be appropriately changed depending on the location targeted for security diagnosis. If the signal strength included in the device information is less than a predetermined value (No), it is ignored and the process ends.
 信号強度が所定値以上の場合(Yes)、セキュリティ分析部310は、認可端末かどうか判定を行う(ステップS904)。データ記憶部350に記憶された認可端末のMACアドレスと受信した機器情報とを比較して認可端末かどうかを判定する。判定の結果、受信した機器情報が認可端末である場合(Yes)、処理を終了する。このとき、たとえば、認可端末が受信されたとして「ホワイトリスト」を作成してデータ記憶部350に記憶するよう構成してもよい。 When the signal strength is equal to or higher than a predetermined value (Yes), the security analysis unit 310 determines whether or not the terminal is an authorized terminal (step S904). It is determined whether or not the terminal is an authorized terminal by comparing the MAC address of the authorized terminal stored in the data storage unit 350 with the received device information. As a result of the determination, if the received device information is an authorized terminal (Yes), the process ends. At this time, for example, a "white list" may be created assuming that the authorized terminal has been received and stored in the data storage unit 350.
 認可端末でない場合(No)、次にセキュリティ分析部310は、初めて探知した端末かどうかを判定する(ステップS905)。具体的には、データ記憶部350に記憶されている未確認APリスト、一時利用リスト、常時設置リストにある端末かどうかに基づいて判定する。初めて受信した端末の機器情報である場合(Yes)、不正アクセスポイントのうち未確認アクセスポイントであるとして、未確認APとして判定する(ステップS908)。未確認APリストは、初めて探知した端末の機器情報を記憶するリストである。 If it is not an authorized terminal (No), then the security analysis unit 310 determines whether it is the first detected terminal (step S905). Specifically, the determination is made based on whether or not the terminal is in the unconfirmed AP list, the temporary use list, or the constantly installed list stored in the data storage unit 350. When it is the device information of the terminal received for the first time (Yes), it is determined as an unconfirmed AP among the unauthorized access points (step S908). The unconfirmed AP list is a list that stores the device information of the terminal detected for the first time.
 初めての探知ではない場合(No)、つまり、未確認APリスト、一時利用リスト、または常時設置リストにその端末の情報がある場合、セキュリティ分析部310は、次に所定時間以上探知しているか判定する(ステップS906)。所定時間とは、例えば12時間以上であるがこれに限られない。所定時間以上同一の端末の機器情報を受信している場合(Yes)、セキュリティ分析部310は、その端末の機器情報を常時設置リストとしてデータ記憶部350に記憶する(ステップS907)。ここで、新たに一時利用リストや未確認APリストから常時設置リストへ変更して記憶されることとなった場合、レポート通知部330から通知するよう構成してもよい。 If it is not the first detection (No), that is, if the terminal information is in the unconfirmed AP list, the temporary use list, or the always-installed list, the security analysis unit 310 next determines whether or not the terminal has been detected for a predetermined time or longer. (Step S906). The predetermined time is, for example, 12 hours or more, but is not limited to this. When the device information of the same terminal is received for a predetermined time or more (Yes), the security analysis unit 310 stores the device information of the terminal in the data storage unit 350 as a constant installation list (step S907). Here, when the temporary use list or the unconfirmed AP list is newly changed to the always-installed list and stored, the report notification unit 330 may be configured to notify the user.
 所定時間未満の探知であって、継続的に探知している端末の機器情報である場合(No)、セキュリティ分析部310は、その端末の機器情報を一時利用リストに記憶させる。未確認APリストに記憶されている場合は、一時利用リストへと変更記憶させる。 If the detection is less than a predetermined time and the device information of the terminal that is continuously detected (No), the security analysis unit 310 stores the device information of the terminal in the temporary use list. If it is stored in the unconfirmed AP list, it is changed and stored in the temporary use list.
 図10は、無線信号探知センサ10が、不正端末が接続されている場合の通信遮断処理を説明するための図である。無線信号探知センサ10のログ生成部140が不正端末の接続ログとしてログ情報を生成した場合、接続ログの対象となる不正な接続を通信遮断部150が遮断する。また、無線信号探知センサ10の認可端末情報記憶b130が不正端末の情報を記憶しているときは、不正端末の情報と一致する端末が検出されたときに、通信遮断部150が通信遮断を行う。 FIG. 10 is a diagram for explaining a communication cutoff process when the wireless signal detection sensor 10 is connected to an unauthorized terminal. When the log generation unit 140 of the wireless signal detection sensor 10 generates log information as the connection log of the unauthorized terminal, the communication blocking unit 150 blocks the unauthorized connection that is the target of the connection log. Further, when the authorized terminal information storage b130 of the wireless signal detection sensor 10 stores the information of the unauthorized terminal, the communication blocking unit 150 interrupts the communication when a terminal matching the information of the unauthorized terminal is detected. ..
 ここでは、例えば不正に設置されたアクセスポイントに、認可端末がサブ端末として接続されている場合で説明を行う。無線信号探知センサ10の通信遮断部150は、不正アクセスポイントと不正アクセスポイントに接続されている認可端末の双方へ切断メッセージを送信する。具体的には、不正アクセスポイントには、認可端末のMACアドレスを送信元として使用し、不正アクセスポイントへ強制切断メッセージを送信するとともに、認可端末には、不正アクセスポイントのMACアドレスを送信元として使用して、認可端末へ強制切断メッセージを送信することで通信遮断を行う。通信遮断部150は、無線信号探知センサ10のセンサ部110が収集した機器情報から各端末のMACアドレスを入手し、MACアドレスを偽装する形で双方に強制切断メッセージを送信することで、強制的に通信を切断する。不正アクセスポイントに複数の認可端末が接続されている場合は、複数の認可端末に対して不正アクセスポイントのMACアドレスを送信元として強制切断メッセージを送信する。 Here, for example, a case where an authorized terminal is connected as a sub terminal to an illegally installed access point will be described. The communication blocking unit 150 of the wireless signal detection sensor 10 transmits a disconnection message to both the unauthorized access point and the authorized terminal connected to the unauthorized access point. Specifically, the MAC address of the authorized terminal is used as the source for the unauthorized access point, a forced disconnection message is sent to the unauthorized access point, and the MAC address of the unauthorized access point is used as the source for the authorized terminal. It is used to block communication by sending a forced disconnection message to the authorized terminal. The communication blocking unit 150 obtains the MAC address of each terminal from the device information collected by the sensor unit 110 of the wireless signal detection sensor 10, and forcibly sends a disconnection message to both parties in the form of disguising the MAC address. Disconnect the communication. When multiple authorized terminals are connected to the unauthorized access point, a forced disconnection message is sent to the plurality of authorized terminals using the MAC address of the unauthorized access point as the source.
 図11は、データ記憶部350に記憶されているデータベースの一例である。データ記憶部350には、顧客データや評価テーブルを記憶している。顧客データとして、顧客IDに対応付けて、例えば、その顧客に設置した無線信号探知センサを一意に特定できるIDやセキュリティレポートを送信するメールアドレス、無線信号探知センサにおいて生成されたログ情報、認可端末情報、レポート頻度、位置推定の有無、未確認AP検出の要否などを記憶する。 FIG. 11 is an example of a database stored in the data storage unit 350. The data storage unit 350 stores customer data and an evaluation table. As customer data, for example, an ID that can uniquely identify the wireless signal detection sensor installed in the customer, an email address that sends a security report, log information generated by the wireless signal detection sensor, and an authorized terminal in association with the customer ID. Information, report frequency, presence / absence of position estimation, necessity of unconfirmed AP detection, etc. are stored.
 メールアドレスは、レポート通知部330がレポート作成を通知又はレポート送付の際に参照する。また、マネージャサーバ20から受信したログ情報は無線信号探知センサ10とも対応付けて記憶するように構成してもよい。認可端末情報は、その顧客の設置場所で無線信号の発信や無線接続を認可されている端末のMACアドレスを記憶する。レポート頻度は、日次、月末、ログ生成時などレポートを生成するタイミングを記憶している。位置推定は、セキュリティ分析部310において複数の無線信号探知センサ10が受信した機器情報に基づき、不正端末の位置情報の推定の要否を記憶する。また、セキュリティ分析部310での信号強度と接続継続時間に基づく未確認アクセスポイントの検出の要否を記憶する。 The e-mail address is referred to when the report notification unit 330 notifies the report creation or sends the report. Further, the log information received from the manager server 20 may be configured to be stored in association with the wireless signal detection sensor 10. The authorized terminal information stores the MAC address of the terminal authorized to transmit a wireless signal or wirelessly connect at the customer's installation location. The report frequency stores the timing of generating a report, such as daily, the end of the month, and the time of log generation. The position estimation stores the necessity of estimating the position information of the unauthorized terminal based on the device information received by the plurality of wireless signal detection sensors 10 in the security analysis unit 310. In addition, the security analysis unit 310 stores the necessity of detecting an unconfirmed access point based on the signal strength and the connection duration.
 評価テーブルは、無線信号探知センサ10が設置された場所における無線ネットワークの総合評価を決定するためのテーブルである。総合評価はAからDまでに分かれており、Aが最も安全で異常がない状態、Dが最も危険な状態であり、何らかの被害を受けている状態である。ここでは、危険度「高」を有するログ情報が一件でも検知している場合は、評価「D」、まったくログ情報を受信していない場合は検知なしとして、評価「A」などと記憶しており、セキュリティ分析部310は、データ記憶部350に記憶されている評価テーブルを参照して総合評価を決定する。 The evaluation table is a table for determining the comprehensive evaluation of the wireless network at the place where the wireless signal detection sensor 10 is installed. The comprehensive evaluation is divided into A to D, where A is the safest and most normal state, D is the most dangerous state, and is in a state of being damaged in some way. Here, if even one log information with a high risk level is detected, it is stored as evaluation "D", and if no log information is received, it is stored as evaluation "A" as no detection. The security analysis unit 310 determines the comprehensive evaluation with reference to the evaluation table stored in the data storage unit 350.
 図12は、セキュリティ分析部310がセキュリティレポートを作成する場合に、データ記憶部350に記憶されている評価テーブルを参照して無線信号探知センサ10の設置場所におけるセキュリティリスクを分析する場合のフローチャートの一例である。 FIG. 12 is a flowchart of a flow chart in which when the security analysis unit 310 creates a security report, the security risk at the installation location of the radio signal detection sensor 10 is analyzed with reference to the evaluation table stored in the data storage unit 350. This is an example.
 セキュリティ分析部310は、セキュリティレポートを作成する対象となる無線信号探知センサ10から受信したログ情報を参照する(ステップS1201)。セキュリティ分析部310は、データ記憶部350に記憶されている顧客IDに対応する無線信号探知センサ10のレポート作成の対象となる所定期間の機器情報及びログ情報をマネージャサーバ20へ要求し、受信したログ情報を参照する。ログ情報はデータ記憶部350に記憶される。 The security analysis unit 310 refers to the log information received from the wireless signal detection sensor 10 for which the security report is created (step S1201). The security analysis unit 310 requests and receives the device information and log information for a predetermined period for which the report of the radio signal detection sensor 10 corresponding to the customer ID stored in the data storage unit 350 is to be created from the manager server 20. Refer to the log information. The log information is stored in the data storage unit 350.
 セキュリティ分析部310は、受信したログ情報のなかにリスク度「高」のログ情報があるかどうかを判定する(ステップS1202)。リスク度「高」のログ情報がある場合(Yes)、データ記憶部350に記憶されている評価テーブルを参照して、総合評価を「評価D」とする(ステップS1204)。リスク度「高」のログ情報がない場合(No)、次にリスク度「中」のログ情報があるかどうかを判定する(ステップS1203)。リスク度「中」のログ情報がある場合(Yes)、評価テーブルを参照し、総合評価を「評価C」とする(ステップS1205)。リスク度「中」のログ情報がない場合(No)、次にリスク度「低」のログ情報があるかどうかを判定する(ステップS1206)。リスク度「低」のログ情報がある場合(Yes)、評価テーブルを参照し、総合評価を「評価B」とする(ステップS1207)。リスク度「低」のログ情報がない場合(No)、ログ情報は一件もないということになり、セキュリティ分析部310は、総合評価を「評価A」とし(ステップS1208)、処理を終了する。なお、ここでは、リスク度の高いログが1件でもあれば、評価を下げるようにしているが、これに限らず、各リスク度とその件数による点数制にして、点数の合計によりリスク度を決定するようにしてもよい。 The security analysis unit 310 determines whether or not the received log information includes log information with a high risk level (step S1202). When there is log information with a high risk level (Yes), the overall evaluation is set to “evaluation D” by referring to the evaluation table stored in the data storage unit 350 (step S1204). If there is no log information with a high risk level (No), then it is determined whether or not there is log information with a medium risk level (step S1203). If there is log information with a risk level of "medium" (Yes), the evaluation table is referred to and the overall evaluation is set to "evaluation C" (step S1205). If there is no log information with a risk level of "medium" (No), then it is determined whether or not there is log information with a risk level of "low" (step S1206). If there is log information with a low risk level (Yes), the evaluation table is referred to and the overall evaluation is set to “Evaluation B” (step S1207). If there is no log information with a risk level of "low" (No), it means that there is no log information, and the security analysis unit 310 sets the overall evaluation to "evaluation A" (step S1208) and ends the process. .. Here, if there is even one log with a high risk level, the evaluation is lowered, but it is not limited to this, and the score system is based on each risk level and the number of cases, and the risk level is calculated by the total of the points. You may decide.
 図13は、レポート生成部320が生成するセキュリティレポートの一例を示す図である。この例は、ある場所の無線ネットワークについて1か月の間無線信号探知センサ10が収集した機器情報及びログ情報に基づいてセキュリティ分析部310が分析した結果をレポート生成部320が生成したセキュリティレポートである。 FIG. 13 is a diagram showing an example of a security report generated by the report generation unit 320. This example is a security report generated by the report generation unit 320, which is the result of analysis by the security analysis unit 310 based on the device information and log information collected by the wireless signal detection sensor 10 for one month for the wireless network at a certain location. be.
 このセキュリティレポートでは、セキュリティ分析部310がログ情報のリスク度に基づいて決定した総合評価を評価結果として記載するとともに、その期間に生成されたログ情報をログの種類別に件数とともに記載し、詳細情報としてログ情報に対応する機器情報を記載する。セキュリティ分析部310が信号強度と探知継続時間により未確認アクセスポイントの検出を行う場合には、検出された未確認アクセスポイントのリストや一時利用のリスト、常時設置リストをMACアドレスと信号強度、探知期間を記載するようにしてもよい。さらに、不正端末の位置推定を行う場合には、位置推定を行った結果を記載してもよい。 In this security report, the comprehensive evaluation determined by the security analysis unit 310 based on the risk level of the log information is described as the evaluation result, and the log information generated during that period is described together with the number of cases by log type, and detailed information is provided. Describe the device information corresponding to the log information as. When the security analysis unit 310 detects an unconfirmed access point based on the signal strength and detection duration, the MAC address, signal strength, and detection period of the detected unconfirmed access point list, temporary use list, and always-installed list are displayed. It may be described. Further, when the position of the unauthorized terminal is estimated, the result of the position estimation may be described.
 図14は、本発明におけるセキュリティ診断サーバ30のハードウェア構成図の一例を示すブロック図である。図14に示されるコンピュータ装置であるセキュリティ診断サーバ30のハードウェア構成は、主にコンピュータ装置で実現できる。セキュリティ診断サーバ30は、セキュリティ診断プログラムを実行することで、セキュリティ診断を行う。 FIG. 14 is a block diagram showing an example of a hardware configuration diagram of the security diagnostic server 30 in the present invention. The hardware configuration of the security diagnostic server 30, which is a computer device shown in FIG. 14, can be realized mainly by a computer device. The security diagnosis server 30 performs a security diagnosis by executing a security diagnosis program.
 セキュリティ診断サーバ30を形成するコンピュータは、図14に示したようにCPU1、通信インターフェース2、ROM3、RAM4、ハードディスクドライブ5、入出力インターフェース6、入出力インターフェース6と接続された表示部7、ポインティングデバイス8及びキーボード9を、バスに接続して構成される。 As shown in FIG. 14, the computer forming the security diagnosis server 30 includes a CPU 1, a communication interface 2, a ROM 3, a RAM 4, a hard disk drive 5, an input / output interface 6, a display unit 7 connected to the input / output interface 6, and a pointing device. 8 and a keyboard 9 are connected to a bus.
 一連の処理をプログラムにより実行させる場合には、例えば、セキュリティ分析部310、レポート生成部320、レポート通知部330、機器情報受信部340は、ROM3又はハードディスクドライブ5にセキュリティ診断プログラムとして記憶され、CPU1で実行させることで、各種の機能を実行させる。なお、セキュリティ診断プログラムが記憶されたUSBメモリなどの外部記憶装置を入出力インターフェース6に接続することでのインストールや、ネットワークからコンピュータへセキュリティ診断プログラムをインストール、また、装置本体に予め組み込まれた状態、例えば、セキュリティ診断プログラムが記録されているROM13などで構成してもよい。また、セキュリティ診断プログラムを実行することでハードディスクドライブ5の一部の領域がデータ記憶部350として機能する。 When a series of processes are executed by a program, for example, the security analysis unit 310, the report generation unit 320, the report notification unit 330, and the device information reception unit 340 are stored in the ROM 3 or the hard disk drive 5 as a security diagnosis program, and the CPU 1 By executing with, various functions are executed. It should be noted that the installation by connecting an external storage device such as a USB memory in which the security diagnosis program is stored to the input / output interface 6, the security diagnosis program installed from the network to the computer, and the state of being pre-installed in the device body. For example, it may be configured by a ROM 13 or the like in which a security diagnosis program is recorded. Further, by executing the security diagnosis program, a part of the area of the hard disk drive 5 functions as the data storage unit 350.
 なお、ここでは、一台のコンピュータで構成する例で説明したが、これに限らず複数台のコンピュータで構成してもよく、分散コンピューティングやクラウドコンピューティング等により構成してもよいことはもちろんである。 In addition, although the example of configuring with one computer has been described here, the present invention is not limited to this, and may be configured with a plurality of computers, and of course, it may be configured by distributed computing, cloud computing, or the like. Is.
 また、本明細書では、マネージャサーバ20とセキュリティ診断サーバ30が別々のサーバ装置として説明しているが、マネージャサーバ、セキュリティ診断サーバを一つのサーバとして構成してもよい。また、本実施例では、セキュリティ診断サーバ30が、各無線信号探知センサ10が検出した機器情報から短時間の検出のみの機器情報を削除、短時間であることの表示を行っているが、無線信号探知センサ10が行ってもよい。 Further, in this specification, the manager server 20 and the security diagnosis server 30 are described as separate server devices, but the manager server and the security diagnosis server may be configured as one server. Further, in this embodiment, the security diagnosis server 30 deletes the device information only for short-time detection from the device information detected by each wireless signal detection sensor 10 and displays that the time is short. The signal detection sensor 10 may perform this.
 次に、本発明の第二の実施の形態について、説明する。第一の実施の形態と同様の内容については、説明を省略する。第二の実施の形態における無線ネットワークセキュリティ診断システムのマネージャサーバ20は、無線信号探知センサ10別、または顧客別に、機器情報を分類して記憶する機器分類情報記憶部240を有する。無線信号探知センサ10は、セキュリティ診断を行いたい場所に一又は複数設置され、検出した機器情報と、あらかじめ記憶しているログ生成条件に合致したログ情報とを適時にマネージャサーバ20へ送信するため、マネージャサーバ20は、受信した機器情報を認可端末、未確認端末、通信遮断するべき不正端末に分類して、機器分類情報記憶部240へ記憶する。また、セキュリティ診断サーバ30が、未確認端末について、一時利用又は常時設置などの判定を行った場合、セキュリティ診断サーバ320は、判定結果をマネージャサーバへ送信し、マネージャサーバ20は、未確認端末の分類から一時利用又は常時設置などへと分類を変更、記憶する。また、更新された機器分類情報のうち、認可端末及び不正端末の情報は、無線信号探知センサ10へ送信され、認可端末情報記憶部130へ更新、記憶される。 Next, the second embodiment of the present invention will be described. The description of the same contents as that of the first embodiment will be omitted. The manager server 20 of the wireless network security diagnostic system according to the second embodiment has a device classification information storage unit 240 that classifies and stores device information for each wireless signal detection sensor 10 or for each customer. One or more wireless signal detection sensors 10 are installed at a place where security diagnosis is desired, and the detected device information and log information matching the log generation conditions stored in advance are transmitted to the manager server 20 in a timely manner. The manager server 20 classifies the received device information into an authorized terminal, an unconfirmed terminal, and an unauthorized terminal whose communication should be blocked, and stores the received device information in the device classification information storage unit 240. Further, when the security diagnosis server 30 determines that the unconfirmed terminal is temporarily used or constantly installed, the security diagnosis server 320 transmits the determination result to the manager server, and the manager server 20 determines from the classification of the unconfirmed terminal. Change the classification to temporary use or permanent installation, and memorize it. Further, among the updated device classification information, the information of the licensed terminal and the unauthorized terminal is transmitted to the radio signal detection sensor 10 and updated and stored in the licensed terminal information storage unit 130.
 無線信号探知センサ10の構成は、第一の実施の形態と同様である。しかし、本実施の形態では、認可端末情報記憶部130は、マネージャサーバ20から受信する認可端末及び不正端末の情報を記憶することで、記憶部130内の情報を更新する。また、更新された認可端末情報記憶部130を参照し、不正端末情報に合致する端末の無線を検出した場合、通信遮断部150は、通信遮断を行う。 The configuration of the wireless signal detection sensor 10 is the same as that of the first embodiment. However, in the present embodiment, the authorized terminal information storage unit 130 updates the information in the storage unit 130 by storing the information of the authorized terminal and the unauthorized terminal received from the manager server 20. Further, when the updated authorized terminal information storage unit 130 is referred to and the radio of the terminal matching the unauthorized terminal information is detected, the communication blocking unit 150 cuts off the communication.
 セキュリティ診断サーバ30の構成は、第一の実施の形態と同様である。しかし、本実施の形態では、セキュリティ分析部310での分析の結果、未確認端末について、常時設置又は一時利用へと判定された結果を、マネージャサーバ20へ送信する、これにより、機器分類情報記憶部240は、記憶している未確認端末の情報を常時設置又は一時利用へと更新記憶する。 The configuration of the security diagnosis server 30 is the same as that of the first embodiment. However, in the present embodiment, as a result of the analysis by the security analysis unit 310, the result of the unconfirmed terminal determined to be always installed or temporarily used is transmitted to the manager server 20, thereby transmitting the device classification information storage unit. The 240 updates and stores the stored unconfirmed terminal information for constant installation or temporary use.
 図15は、本発明の第二の実施の形態におけるマネージャサーバ20の機能ブロック図の一例である。マネージャサーバ20は、各無線信号探知センサ10から通信部230により、機器情報又はログ情報を受信する。受信するタイミングは、例えば、機器情報は、セキュリティ診断サーバ30からのデータ送信要求時、ログ情報は、無線信号探知センサ10がログを生成したときである。なお、これに限らず、機器情報の受信を、一定時間おき(例えば、5分毎、30分毎)に、その期間に検出された機器情報を受信し、継続的に無線信号の状況を監視できるよう構成してもよい。 FIG. 15 is an example of a functional block diagram of the manager server 20 according to the second embodiment of the present invention. The manager server 20 receives device information or log information from each wireless signal detection sensor 10 by the communication unit 230. The reception timing is, for example, when the device information is a data transmission request from the security diagnosis server 30, and the log information is when the wireless signal detection sensor 10 generates a log. Not limited to this, the device information is received at regular intervals (for example, every 5 minutes, every 30 minutes), and the device information detected during that period is received, and the status of the wireless signal is continuously monitored. It may be configured so that it can be done.
 無線信号探知センサ情報記憶部210は、無線信号探知センサ10から受信した機器情報やログ情報を無線信号探知センサ10別、または顧客別に記憶している。 The wireless signal detection sensor information storage unit 210 stores device information and log information received from the wireless signal detection sensor 10 for each wireless signal detection sensor 10 or for each customer.
 制御部220は、無線信号探知センサ情報記憶部210への機器情報の記憶又は記憶情報の読み出し、無線信号探知センサ10又はセキュリティ診断サーバ30へのデータ送受信要求の制御、通信部230による通信の制御、機器分類情報記憶部240への機器情報や分類情報の記憶又は記憶情報の読み出しの制御を行う。 The control unit 220 stores device information in the wireless signal detection sensor information storage unit 210 or reads out the stored information, controls a data transmission / reception request to the wireless signal detection sensor 10 or the security diagnosis server 30, and controls communication by the communication unit 230. Controls the storage of device information and classification information in the device classification information storage unit 240 or the reading of the stored information.
 通信部230は、無線信号探知センサ10からの機器情報またはログ情報を受信し、セキュリティ診断サーバ30からデータの送信要求を受信すると、データの送信を行う。通信部230は、例えば、無線信号探知センサ10から、随時ログ情報を受信し、セキュリティ診断サーバ30から所定の無線信号探知センサ10を指定したデータの送信要求を受信すると、当該無線信号探知センサ10へ機器情報の送信要求を行い、機器情報を受信すると、無線信号探知センサ情報記憶部210に記憶されているログ情報と、受信した機器情報とをセキュリティ診断サーバ30へ送信するよう構成してもよい。 When the communication unit 230 receives the device information or the log information from the wireless signal detection sensor 10 and receives the data transmission request from the security diagnosis server 30, the communication unit 230 transmits the data. When the communication unit 230 receives log information from the wireless signal detection sensor 10 at any time and receives a data transmission request for designating a predetermined wireless signal detection sensor 10 from the security diagnosis server 30, the communication unit 230 receives the wireless signal detection sensor 10. When a device information transmission request is made to and the device information is received, the log information stored in the wireless signal detection sensor information storage unit 210 and the received device information may be transmitted to the security diagnosis server 30. good.
 通信部230は、セキュリティ診断サーバ30から未確認端末の判定結果を受信する。判定結果は、対応する機器情報の分類を更新して機器分類情報記憶部240へ記憶される。また、通信部230は、ユーザからの機器分類情報記憶部240への接続要求を受信し、機器分類情報の更新に伴うデータの送受信を行う。 The communication unit 230 receives the determination result of the unconfirmed terminal from the security diagnosis server 30. The determination result is stored in the device classification information storage unit 240 by updating the classification of the corresponding device information. Further, the communication unit 230 receives a connection request from the user to the device classification information storage unit 240, and transmits / receives data accompanying the update of the device classification information.
 機器分類情報記憶部240は、顧客別又は無線信号探知センサ10別にアクセスポイント又はサブ端末情報に機器分類を付与して記憶する。顧客別に記憶する場合、その顧客で設置されている一又は複数の無線信号探知センサ10で過去に検出された機器情報を記憶する。機器情報に対応づけて付与される機器分類は、例えば、その場所で無線を発信、接続が認められている認可端末、不正端末、認可端末か不正端末か分類していない未確認端末である。機器分類情報記憶部240は、その顧客又は無線信号探知センサ10における認可端末や不正端末の情報を記憶するとともに、無線信号探知センサ10から受信し、無線信号探知センサ情報記憶部210に記憶されていた機器情報のうち、認可端末、不正端末以外の機器情報を未確認端末として記憶する。 The device classification information storage unit 240 assigns device classification to access point or sub-terminal information for each customer or for each wireless signal detection sensor 10 and stores the information. When storing for each customer, the device information detected in the past by one or more wireless signal detection sensors 10 installed by the customer is stored. The device classification given in association with the device information is, for example, an authorized terminal, an unauthorized terminal, an authorized terminal or an unidentified terminal that is not classified as an authorized terminal or an unauthorized terminal that transmits wirelessly at that location and is permitted to connect. The device classification information storage unit 240 stores the information of the authorized terminal or the unauthorized terminal in the customer or the wireless signal detection sensor 10, receives the information from the wireless signal detection sensor 10, and stores the information in the wireless signal detection sensor information storage unit 210. Of the device information, device information other than authorized terminals and unauthorized terminals is stored as unconfirmed terminals.
 機器分類情報記憶部240は、セキュリティ診断サーバ30が分類した一時利用や常時設置についても、セキュリティ診断サーバ30から受信して、機器情報に対応づけて記憶する。このとき、機器分類情報記憶部240は、無線信号探知センサ10から受信してあらかじめ記憶している機器情報の分類を未確認から一時利用又は常時利用に更新して記憶する。 The device classification information storage unit 240 also receives from the security diagnosis server 30 for temporary use or constant installation classified by the security diagnosis server 30, and stores it in association with the device information. At this time, the device classification information storage unit 240 updates and stores the classification of the device information received from the wireless signal detection sensor 10 and stored in advance from unconfirmed to temporary use or constant use.
 また、無線信号探知センサ10が、10分未満など短時間のみの接続又は検出のみの機器情報について短時間である旨の分類を付与して送信する場合、機器分類情報記憶部240は、機器情報に対応づけてその分類を記憶する。 Further, when the wireless signal detection sensor 10 transmits the device information for only a short time such as less than 10 minutes with a classification indicating that the device information is for a short time, the device classification information storage unit 240 uses the device information. Memorize the classification in association with.
 機器分類情報記憶部240に記憶されている機器分類は、ユーザからの要求により、制御部220によって読み出され、機器分類が更新される。例えば、未確認端末に分類されている機器情報について、そのSSIDやMACアドレス、接続時間や信号強度などに基づいて、認可端末であると判断された場合、認可端末へと分類情報を更新して記憶してもよい。また、不正端末であると判断された場合は、未確認端末から不正端末へと分類情報を更新して記憶してもよい。未確認端末の機器情報を参照して、適宜認可端末又は不正端末へと分類していくことで、その場所における無線ネットワークのセキュリティを向上させることが可能となる。また、未確認端末であっても常時設置、一時利用、短時間のみの接続などの分類が付与されていることにより、よりリスクが高いと考えられる常時設置の機器から分類することができる。なお、セキュリティ診断サーバ30において、認可又は不正端末の診断を行って、その分類情報をマネージャサーバ20へ送信し、更新するようにしてもよい。 The device classification stored in the device classification information storage unit 240 is read by the control unit 220 at the request of the user, and the device classification is updated. For example, if the device information classified as an unconfirmed terminal is determined to be an authorized terminal based on its SSID, MAC address, connection time, signal strength, etc., the classification information is updated and stored in the authorized terminal. You may. Further, when it is determined that the terminal is an unauthorized terminal, the classification information may be updated and stored from the unconfirmed terminal to the unauthorized terminal. By referring to the device information of the unconfirmed terminal and classifying it as an authorized terminal or an unauthorized terminal as appropriate, it is possible to improve the security of the wireless network at that location. In addition, even unconfirmed terminals can be classified from the devices that are always installed, which are considered to have a higher risk, by being given classifications such as constant installation, temporary use, and connection only for a short time. In addition, the security diagnosis server 30 may perform authorization or diagnosis of an unauthorized terminal, and send the classification information to the manager server 20 to update it.
 また、機器分類情報記憶部240は、無線信号探知センサ情報記憶部210と対応づけて記憶されていてもよい。例えば、機器分類情報記憶部240に記憶されている機器情報の検出された日時や検出時間などについては、対応する機器情報を無線信号探知センサ情報記憶部210から読みだせるようにしてもよい。ユーザがある端末の分類変更をする際に、適宜、検出日時や時間など読みだして参照することで、分類決定を容易に行うことができる。 Further, the device classification information storage unit 240 may be stored in association with the wireless signal detection sensor information storage unit 210. For example, regarding the detection date and time, the detection time, and the like of the device information stored in the device classification information storage unit 240, the corresponding device information may be read from the wireless signal detection sensor information storage unit 210. When the user changes the classification of a certain terminal, the classification can be easily determined by reading and referring to the detection date and time and the time as appropriate.
 機器分類情報記憶部240において記憶されている機器分類が、「認可」又は「不正」へと更新された場合、更新された機器情報に対応する無線信号探知センサ10へと更新された認可端末又は不正端末の情報が通信部230により送信され、無線信号探知センサ10の認可端末情報記憶部130へ記憶される。 When the device classification stored in the device classification information storage unit 240 is updated to "authorized" or "illegal", the authorized terminal or the authorized terminal updated to the radio signal detection sensor 10 corresponding to the updated device information. Information on the unauthorized terminal is transmitted by the communication unit 230 and stored in the authorized terminal information storage unit 130 of the wireless signal detection sensor 10.
 図16は、本発明の第二の実施の形態における機器分類情報記憶部240に記憶されているデータベース構成の一例である。機器分類情報記憶部240は、顧客または無線信号探知センサが存在する場所における、認可端末、不正端末の機器情報とともに、その場所で検出された機器情報を記憶している。 FIG. 16 is an example of a database configuration stored in the device classification information storage unit 240 according to the second embodiment of the present invention. The device classification information storage unit 240 stores the device information of the authorized terminal and the unauthorized terminal at the place where the customer or the wireless signal detection sensor exists, as well as the device information detected at that place.
 機器分類情報記憶部240では、端末を一意に特定することができる情報、例えば、MACアドレスやSSID、端末名に対応づけて、その機器の分類と顧客IDを記憶している。ここでは、顧客に対応づけて機器分類を記憶する例を示しているが、顧客IDの代わりに、無線信号探知センサに対応付けて記憶してもよい。機器の分類は、その場所で無線信号を発信することが認められている「認可」、その場所で無線信号を発信することが認められていない「不正」、認可にも不正にも分類されていない「未確認」の3つに大別される。「未確認」端末のうち、無線信号探知センサ10において、所定時間未満、例えば、10分未満のみの検出だったことを示す情報を受信した場合、短時間検出であることを示す「短」を付して記憶している。 The device classification information storage unit 240 stores the device classification and customer ID in association with information that can uniquely identify the terminal, for example, the MAC address, SSID, and terminal name. Here, an example of storing the device classification in association with the customer is shown, but instead of the customer ID, the device classification may be stored in association with the wireless signal detection sensor. The equipment is classified as "authorized", which is permitted to transmit wireless signals at that location, "illegal", which is not permitted to transmit wireless signals at that location, and both authorized and illegal. It is roughly divided into three types, "unconfirmed". Among the "unconfirmed" terminals, when the wireless signal detection sensor 10 receives information indicating that the detection was performed for less than a predetermined time, for example, less than 10 minutes, a "short" indicating that the detection is performed for a short time is added. I remember it.
 また、機器分類情報記憶部240は、未分類端末のうち、セキュリティ診断サーバ30から、一時利用や常時設置などの判定結果を受信した端末については、「未分類」から「一時利用」または「常時設置」へと分類を変更して記憶する。さらに、外部のユーザ端末から、またはマネージャサーバ20の入力部から機器分類情報記憶部240の機器分類情報にアクセスがあり、「一時利用」、「常時設置」、「未分類」端末について「認可」又は「不正」へと更新された場合は情報を更新して記憶する。なお、これに限らず、「認可」又は「不正」への分類更新については、セキュリティ診断サーバ30から情報を受信して更新してもよい。 Further, among the unclassified terminals, the device classification information storage unit 240 receives a determination result such as temporary use or constant installation from the security diagnosis server 30, from "unclassified" to "temporary use" or "always". Change the classification to "Installation" and memorize it. Further, the device classification information of the device classification information storage unit 240 is accessed from an external user terminal or from the input unit of the manager server 20, and "authorization" is applied to the "temporary use", "always installed", and "unclassified" terminals. Or, if it is updated to "illegal", the information is updated and stored. Not limited to this, the classification update to "authorization" or "illegal" may be updated by receiving information from the security diagnosis server 30.
10 無線信号探知センサ
20 マネージャサーバ
30 セキュリティ診断サーバ 10 Wireless signal detection sensor 20 Manager server 30 Security diagnostic server

Claims (12)

  1. 無線信号を探知し、前記無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を収集する無線信号探知センサと、
    一又は二以上の前記無線信号探知センサから、収集した機器情報を受信するマネージャサーバと、
     前記無線信号探知センサが収集した機器情報に基づいて、前記無線信号探知センサが存在する無線ネットワークにおけるセキュリティを診断し、セキュリティレポートを生成するセキュリティ診断サーバと、を有する無線ネットワークセキュリティ診断システム。     A wireless signal detection sensor that detects a wireless signal and collects device information having terminal information of the source of the wireless signal and sub-terminal information connected to the terminal.
    A manager server that receives collected device information from one or more of the wireless signal detection sensors, and
    A wireless network security diagnostic system including a security diagnostic server that diagnoses security in a wireless network in which the wireless signal detection sensor exists based on device information collected by the wireless signal detection sensor and generates a security report.
  2. 請求項1記載の無線ネットワークセキュリティ診断システムであって、
    前記無線信号探知センサは、
    無線信号を探知するセンサ部と、
    探知した無線信号の発信元の端末を一意に特定するための機器IDと信号強度、探知時間と、当該発信元の端末に接続されているサブ端末情報とを対応づけて機器情報として記憶する機器情報記憶部と、
    前記機器情報をマネージャサーバへ送信する通信部と、を有し、
    前記マネージャサーバは、
    各無線信号探知センサから受信した機器情報を無線信号探知センサに対応付けて記憶し、
    前記セキュリティ診断サーバから送信要求を受信すると、要求に対応する所定期間内の無線信号探知センサの機器情報を送信し、
    前記セキュリティ診断サーバは、
    無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行うセキュリティ分析部と、
    セキュリティ分析に基づいてセキュリティレポートを生成するレポート生成部と、
    レポート生成通知を行うレポート通知部と、を有する無線ネットワークセキュリティ診断システム。     The wireless network security diagnostic system according to claim 1.
    The wireless signal detection sensor is
    A sensor unit that detects wireless signals and
    A device that stores as device information by associating the device ID, signal strength, and detection time for uniquely identifying the source terminal of the detected wireless signal with the sub-terminal information connected to the source terminal. Information storage unit and
    It has a communication unit that transmits the device information to the manager server, and has.
    The manager server
    The device information received from each wireless signal detection sensor is stored in association with the wireless signal detection sensor.
    When a transmission request is received from the security diagnosis server, the device information of the wireless signal detection sensor within a predetermined period corresponding to the request is transmitted.
    The security diagnostic server is
    A security analysis unit that performs security analysis of wireless networks based on device information within a specified period collected by wireless signal detection sensors, and
    A report generator that generates security reports based on security analysis,
    A wireless network security diagnostic system that has a report notification unit that notifies report generation.
  3. 請求項2記載の無線ネットワークセキュリティ診断システムであって、
    前記無線信号探知センサは、さらに認可されているアクセスポイント及び接続端末の認可端末情報を記憶する認可端末情報記憶部と、
    不正端末の接続ログとしてログ情報を生成するログ生成条件を記憶し、前記ログ生成条件に合致する場合は、ログ情報を生成するログ生成部とを有し、
    前記通信部は、前記ログ生成部で生成されたログ情報を前記マネージャサーバへ送信し、
    前記マネージャサーバは、前記セキュリティ診断サーバから要求を受信すると、前記ログ情報を送信し、
    前記セキュリティ診断サーバは、
    前記セキュリティ分析部が、受信したログ情報と機器情報に基づいて無線ネットワークのセキュリティリスクを分析する、無線ネットワークセキュリティ診断システム。     The wireless network security diagnostic system according to claim 2.
    The wireless signal detection sensor further includes an authorized terminal information storage unit that stores authorized terminal information of an authorized access point and a connected terminal.
    It has a log generation condition that stores log information to generate log information as a connection log of an unauthorized terminal, and if the log generation condition is met, it has a log generation unit that generates log information.
    The communication unit transmits the log information generated by the log generation unit to the manager server.
    Upon receiving the request from the security diagnostic server, the manager server transmits the log information.
    The security diagnostic server is
    A wireless network security diagnostic system in which the security analysis unit analyzes security risks of a wireless network based on received log information and device information.
  4. 請求項3記載の無線ネットワークセキュリティ診断システムであって、
    前記無線信号探知センサは、不正端末を検出すると、無線通信を遮断する通信遮断部をさらに有する、無線ネットワークセキュリティ診断システム。     The wireless network security diagnostic system according to claim 3.
    The wireless signal detection sensor is a wireless network security diagnostic system that further includes a communication blocking unit that blocks wireless communication when an unauthorized terminal is detected.
  5. 請求項4記載の無線ネットワークセキュリティ診断システムであって、
    前記認可端末情報記憶部は、不正端末情報をさらに記憶し、
    前記通信遮断部は、前記認可端末情報記憶部に記憶されている不正端末情報に基づいて不正端末を検出し、無線通信を遮断する、無線ネットワークセキュリティ診断システム。     The wireless network security diagnostic system according to claim 4.
    The authorized terminal information storage unit further stores unauthorized terminal information, and further stores the unauthorized terminal information.
    The communication blocking unit is a wireless network security diagnostic system that detects a fraudulent terminal based on fraudulent terminal information stored in the licensed terminal information storage unit and blocks wireless communication.
  6. 請求項3~5記載の無線ネットワークセキュリティ診断システムであって、
    前記セキュリティ診断サーバのセキュリティ分析部は、受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて前記無線ネットワークのセキュリティリスクを分析する、無線ネットワークセキュリティ診断システム。     The wireless network security diagnostic system according to claims 3 to 5.
    The security analysis unit of the security diagnosis server is a wireless network security diagnosis system that refers to the risk level corresponding to the received log information and analyzes the security risk of the wireless network based on the risk level and the number of logs.
  7. 請求項3~6記載の無線ネットワークセキュリティ診断システムであって、
    前記セキュリティ診断サーバは、一定期間ごとに前記マネージャサーバへ所定の無線信号探知センサが探知する機器情報を要求し、
    前記マネージャサーバは、前記セキュリティ診断サーバから要求を受信すると、要求があった無線信号探知センサへ、機器情報を要求し、
    前記所定の無線信号探知センサからの機器情報を前記マネージャサーバを介して送信すると、前記セキュリティ診断サーバのセキュリティ分析部は、受信した機器情報の端末が認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、前記無線信号探知センサが受信した信号強度と探知時間の継続時間とに基づいて、不正アクセスポイントがあると診断し、前記レポート生成部は、不正アクセスポイントがあることを通知するレポートを生成する、無線ネットワークセキュリティ診断システム。     The wireless network security diagnostic system according to claims 3 to 6.
    The security diagnosis server requests the manager server for device information detected by a predetermined wireless signal detection sensor at regular intervals.
    When the manager server receives the request from the security diagnosis server, the manager server requests the device information from the requested wireless signal detection sensor.
    When the device information from the predetermined wireless signal detection sensor is transmitted via the manager server, the security analysis unit of the security diagnostic server determines whether the terminal of the received device information is an authorized access point and authorizes it. With respect to device information other than the access point, it is diagnosed that there is an unauthorized access point based on the signal strength received by the wireless signal detection sensor and the duration of the detection time, and the report generator determines the unauthorized access point. A wireless network security diagnostic system that produces reports notifying you that there is.
  8. 所定の無線信号探知センサが収集した探知した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を受信する機器情報受信部と、
    無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行うセキュリティ分析部と、
    セキュリティ分析に基づいてセキュリティレポートを生成するレポート生成部と、
    レポート生成通知を行うレポート通知部と、を有するセキュリティ診断サーバ。     A device information receiving unit that receives device information having terminal information of the source of the detected wireless signal collected by a predetermined wireless signal detection sensor and sub-terminal information connected to the terminal, and
    A security analysis unit that performs security analysis of wireless networks based on device information within a specified period collected by wireless signal detection sensors, and
    A report generator that generates security reports based on security analysis,
    A security diagnostic server that has a report notification unit that notifies report generation.
  9. 請求項8記載のセキュリティ診断サーバであって、
    前記機器情報受信部は、さらに不正端末の接続ログであるログ情報を受信し、前記セキュリティ分析部は、受信したログ情報と機器情報とに基づいて無線ネットワークのセキュリティリスクを分析する、セキュリティ診断サーバ。      The security diagnostic server according to claim 8.
    The device information receiving unit further receives log information which is a connection log of an unauthorized terminal, and the security analysis unit analyzes a security risk of a wireless network based on the received log information and device information. ..
  10. 請求項9記載のセキュリティ診断サーバであって、前記セキュリティ分析部は、受信したログ情報に対応するリスク度を参照し、リスク度とログ件数に基づいて前記無線ネットワークのセキュリティリスクを分析する、セキュリティ診断サーバ。  The security diagnostic server according to claim 9, wherein the security analysis unit refers to the risk level corresponding to the received log information and analyzes the security risk of the wireless network based on the risk level and the number of logs. Diagnostic server.
  11. 請求項8~10記載のセキュリティ診断サーバであって、
    前記機器情報受信部は、一定間隔で機器情報を受信し、
    前記セキュリティ分析部は、受信した機器情報の機器が認可されているアクセスポイントかどうか決定し、認可されているアクセスポイント以外の機器情報について、前記無線信号探知センサが受信した信号強度と探知時間の継続時間とに基づいて、不正アクセスポイントがあると診断し、
    前記レポート生成部は、不正アクセスポイントがあることを通知するレポートを生成する、セキュリティ診断サーバ。     The security diagnostic server according to claims 8 to 10.
    The device information receiving unit receives device information at regular intervals and receives device information.
    The security analysis unit determines whether or not the device of the received device information is an authorized access point, and for device information other than the authorized access point, the signal strength and detection time received by the wireless signal detection sensor. Diagnose that there is a rogue access point based on the duration and
    The report generation unit is a security diagnostic server that generates a report notifying that there is an unauthorized access point.
  12. セキュリティ診断サーバとしてコンピュータを機能させるコンピュータプログラムであって、所定の無線信号探知センサが収集した探知した無線信号の発信元の端末情報とその端末に接続されているサブ端末情報とを有する機器情報を受信し、
    無線信号探知センサが収集した所定期間内の機器情報に基づいて無線ネットワークのセキュリティ分析を行い、
    セキュリティ分析に基づいてセキュリティレポートを生成し、
    レポート生成通知を行う、コンピュータプログラム。     A computer program that functions a computer as a security diagnostic server, and provides device information that includes terminal information of the source of the detected wireless signal collected by a predetermined wireless signal detection sensor and sub-terminal information connected to the terminal. Receive and
    A security analysis of the wireless network is performed based on the device information within the specified period collected by the wireless signal detection sensor.
    Generate security reports based on security analysis
    A computer program that provides report generation notifications.
PCT/JP2021/014962 2020-04-10 2021-04-08 Wireless network security diagnosing system, security diagnosing server, and program WO2021206156A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021562104A JP7045124B2 (en) 2020-04-10 2021-04-08 Wireless network security diagnostic system, security diagnostic server, and program
KR1020227037800A KR102562758B1 (en) 2020-04-10 2021-04-08 Wireless network security diagnosis system, security diagnosis server, and program

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020-070728 2020-04-10
JP2020070728 2020-04-10

Publications (1)

Publication Number Publication Date
WO2021206156A1 true WO2021206156A1 (en) 2021-10-14

Family

ID=78023567

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2021/014962 WO2021206156A1 (en) 2020-04-10 2021-04-08 Wireless network security diagnosing system, security diagnosing server, and program

Country Status (3)

Country Link
JP (1) JP7045124B2 (en)
KR (1) KR102562758B1 (en)
WO (1) WO2021206156A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006279438A (en) * 2005-03-29 2006-10-12 Saxa Inc Illegal access detecting method and device
JP2007089006A (en) * 2005-09-26 2007-04-05 Microsoft Corp Method for cooperatively finding out disconnected client, and unauthorized access point within wireless network
WO2010135085A1 (en) * 2009-05-19 2010-11-25 Symbol Technologies, Inc. Systems and methods for concurrent wireless local area network access and sensing
JP2018097821A (en) * 2016-12-16 2018-06-21 富士通株式会社 Control device and communication control method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4763819B2 (en) * 2009-05-22 2011-08-31 株式会社バッファロー Wireless LAN access point device and fraud management frame detection method
KR101953562B1 (en) * 2012-12-04 2019-03-04 한국전자통신연구원 Appratus of mobile device classification for preventing wireless intrusion
JP6072868B1 (en) * 2015-09-01 2017-02-01 Necプラットフォームズ株式会社 Wireless communication apparatus, wireless communication system, determination method, and program
JP2019159877A (en) 2018-03-14 2019-09-19 株式会社日立製作所 Security system, encoding method therefor and network control method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006279438A (en) * 2005-03-29 2006-10-12 Saxa Inc Illegal access detecting method and device
JP2007089006A (en) * 2005-09-26 2007-04-05 Microsoft Corp Method for cooperatively finding out disconnected client, and unauthorized access point within wireless network
WO2010135085A1 (en) * 2009-05-19 2010-11-25 Symbol Technologies, Inc. Systems and methods for concurrent wireless local area network access and sensing
JP2018097821A (en) * 2016-12-16 2018-06-21 富士通株式会社 Control device and communication control method

Also Published As

Publication number Publication date
JPWO2021206156A1 (en) 2021-10-14
KR102562758B1 (en) 2023-08-03
KR20230010630A (en) 2023-01-19
JP7045124B2 (en) 2022-03-31

Similar Documents

Publication Publication Date Title
JP5682083B2 (en) Suspicious wireless access point detection
US20220225101A1 (en) Ai cybersecurity system monitoring wireless data transmissions
US9503463B2 (en) Detection of threats to networks, based on geographic location
US9467825B2 (en) Alerts based on vehicle and device telematics
US20180089686A1 (en) Detection of an unauthorized wireless communication device
US20140150049A1 (en) Method and apparatus for controlling management of mobile device using security event
US7808958B1 (en) Rogue wireless access point detection
CN109302434B (en) Prompt message pushing method and device, service platform and storage medium
WO2016086763A1 (en) Wireless access node detecting method, wireless network detecting system and server
CN1930860B (en) System and method for client-server-based wireless intrusion detection
JP2011530863A (en) Wireless device monitoring system and monitoring device and related method
CN104380298A (en) Systems and methods for dynamically assessing and mitigating risk of an insured entity
WO2014154069A1 (en) Method and device for prompting wi-fi signal
CN108092970B (en) Wireless network maintenance method and equipment, storage medium and terminal thereof
US11240136B2 (en) Determining attributes using captured network probe data in a wireless communications system
CN106464502B (en) Method and system for authentication of a communication device
US10511938B1 (en) Systems and methods for locating or tracking devices using proximal groupings of devices
JP2019021095A (en) Attack monitoring system and attack monitoring method
US11678261B2 (en) Distributed wireless communication access security
KR102474234B1 (en) Analysis method and system of Security Vulnerability of wireless network
US10542434B2 (en) Evaluating as to whether or not a wireless terminal is authorized
WO2021206156A1 (en) Wireless network security diagnosing system, security diagnosing server, and program
KR20150041407A (en) Trust Access Point connection Apparatus and Method
Najafi et al. Privacy leaks from Wi-Fi probing
US10193899B1 (en) Electronic communication impersonation detection

Legal Events

Date Code Title Description
ENP Entry into the national phase

Ref document number: 2021562104

Country of ref document: JP

Kind code of ref document: A

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21784103

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21784103

Country of ref document: EP

Kind code of ref document: A1