JP2004139177A - 情報検査方法及び装置、並びにプログラム - Google Patents
情報検査方法及び装置、並びにプログラム Download PDFInfo
- Publication number
- JP2004139177A JP2004139177A JP2002300813A JP2002300813A JP2004139177A JP 2004139177 A JP2004139177 A JP 2004139177A JP 2002300813 A JP2002300813 A JP 2002300813A JP 2002300813 A JP2002300813 A JP 2002300813A JP 2004139177 A JP2004139177 A JP 2004139177A
- Authority
- JP
- Japan
- Prior art keywords
- vulnerability
- rule
- predetermined
- information
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】入力情報をフィルタリングするためのルールセットの増加を防止し、フィルタリングの効率を向上させると共に、必要となる記憶メモリを削減する。
【解決手段】情報処理装置1において、ファイアウォール用プロセッサ14は、ソフトウェア上の脆弱性とこの脆弱性に起因するセキュリティ上の攻撃、例えば権限のないアクセスやウイルスを阻止するためのルールセットとを対応付けて記憶部15に記憶保持している。そして、少なくとも上記所定のソフトウェアを修正するためのデータと、該所定のソフトウェア上の脆弱性を示す識別子とにより構成される修正プログラムによってこの脆弱性が解決された場合に、対応する不要となったルールを削除する。
【選択図】 図1
【解決手段】情報処理装置1において、ファイアウォール用プロセッサ14は、ソフトウェア上の脆弱性とこの脆弱性に起因するセキュリティ上の攻撃、例えば権限のないアクセスやウイルスを阻止するためのルールセットとを対応付けて記憶部15に記憶保持している。そして、少なくとも上記所定のソフトウェアを修正するためのデータと、該所定のソフトウェア上の脆弱性を示す識別子とにより構成される修正プログラムによってこの脆弱性が解決された場合に、対応する不要となったルールを削除する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、コンピュータネットワークにおける権限のないアクセス又はコンピュータウイルスを防止するために、ルールセットを用いて入力情報のフィルタリングを行う情報検査方法及びその装置、並びにプログラムに関する。
【0002】
【従来の技術】
コンピュータネットワークでは、通常、パケットの形で情報が伝送される。そして、あるサイトにある情報は、他のサイトからのコマンドによりアクセスされ、又は他のサイトへと伝送される。したがって、価値のある情報を有している場合、その情報へのアクセスについては権限の有無を検査し、権限のないアクセスを防止する必要がある。
【0003】
また、コンピュータウイルスのように情報の価値を破壊するような情報も存在するため、入力パケットがコンピュータウイルスであるか否かを検査する必要もある。
【0004】
いわゆるファイアウォールやアンチウイルスとして知られるソフトウェアは、前述の検査を行うソフトウェアである。通常、これらのソフトウェアはルールセットを記憶しており、このルールセットに従ってアクセスを許可するか拒否するかのフィルタリング処理を行う。
【0005】
ここで、高度なセキュリティポリシーを実現するためには、多数のルールセットが必要となるため、これらのルールセットを用いた入力パケットの検査に時間がかかり、フィルタリングの効率が低下するという問題があった。
【0006】
そこで、以下に示す特許文献1では、所定の順序で適用されるルールセットを、例えば入力パケットとマッチした回数に応じて再配列する技術が提案されている。この特許文献1に記載の技術によれば、入力パケットが早期にルールセットにマッチするようになるため、フィルタリングの効率を向上させることができる。
【0007】
【特許文献1】
特開2000−174808号公報
【0008】
【発明が解決しようとする課題】
しかしながら、コンピュータネットワーク上のセキュリティ攻撃やコンピュータウイルスによる攻撃は、時間経過と共に増加しており、それに対抗するためにルールセットも時間経過と共に増加の一途を辿っている。
【0009】
その結果、ルールセットは肥大化を続け、記憶メモリの消費や検査にかかる時間の増大といった問題が発生しているが、このような問題は、上記特許文献1のようなルールセットの再配列によっては、完全に解決することはできない。
【0010】
本発明は、このような従来の実情に鑑みて提案されたものであり、入力情報をフィルタリングするためのルールセットの増加を防止し、フィルタリングの効率を向上させると共に、必要となる記憶メモリを削減する情報検査方法及びその装置、並びにその情報検査処理をコンピュータに実行させるプログラムを提供することを目的とする。
【0011】
【課題を解決するための手段】
上述した目的を達成するために、本発明に係る情報検査方法及びその装置は、所定の問題と該問題に起因するセキュリティ上の攻撃を阻止するためのルールとが対応付けられて記憶された記憶手段を用い、入力情報に対して上記ルールを適用してフィルタリングを行うことによりセキュリティポリシーを実現し、上記問題が解決された場合に、該問題と対応付けられたルールを削除して上記記憶手段を更新する。
【0012】
ここで、上記所定の問題は、所定のソフトウェア上の脆弱性であり、上記セキュリティ上の攻撃は、上記脆弱性を有する上記所定のソフトウェアが利用するポートを介した攻撃、又は上記脆弱性を利用するコンピュータウイルスによる攻撃である。
【0013】
また、本情報検査方法及びその装置では、所定の修正プログラムによって上記脆弱性が解決された場合に、該脆弱性と対応付けられたルールが削除され、上記記憶手段が更新される。
【0014】
また、本発明に係るプログラムは、このような情報検査処理をコンピュータに実行させるものである。
【0015】
【発明の実施の形態】
以下、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。この実施の形態は、本発明を、ネットワークと接続され、権限のないアクセス又はコンピュータウイルス(以下、単にウイルスという。)に対するフィルタリング処理を行うファイアウォール機能を有する情報処理装置に適用したものである。
【0016】
本実施の形態における情報処理装置の概略構成を図1に示す。図1に示すように、情報処理装置1は、該情報処理装置1の各部を統括して制御するCPU(Central Processing Unit)10と、各種情報を一時記憶するワークエリアとしてのRAM(Random Access Memory)11と、各種処理を行うためのプログラム等の各種情報を記憶する読み出し専用のROM(Read Only Memory)12と、図示しないハードディスクに対して各種情報を記録及び/又は再生するHDD(HardDisk Drive)13と、上述した権限のないアクセス又はコンピュータウイルスに対するフィルタリング処理を制御するファイアウォール用プロセッサ14とがバス17を介して接続されてなる。さらに、ファイアウォール用プロセッサ14には、後述するパケットフィルタリングのルールセット等が記憶された記憶部15及びネットワークインターフェース部16が直接接続されている。
【0017】
この情報処理装置1において、ファイアウォール用プロセッサ14は、ネットワークインターフェース部16を介して入力したパケットのフィルタリング処理を行う。すなわち、後述するように、ファイアウォール用プロセッサ14は、記憶部15に記憶保持されたルールセットを用いて入力パケットの検査を行い、通過又は廃棄を決定するフィルタリング処理を行う。
【0018】
なお、この情報処理装置1は、通常のパーソナルコンピュータであっても、ネットワークとの入出力部に設けられる中継装置であってもよい。
【0019】
また、本実施の形態では、図1に示すようにメインのCPU10とは別にファイアウォール用プロセッサ14を設けるものとしたが、この構成に限定されるものではなく、通常のコンピュータと同様に、メインのCPUがファイアウォール処理を行うようにしても構わない。
【0020】
但し、メインのCPUとは別にファイアウォール用プロセッサを設けることで、例えばDoS攻撃(サービス不能/拒否/妨害攻撃:Denial of Service Attack)等の高負荷攻撃を受けた場合であっても、メインのCPUでの処理に影響がでないという利点がある。
【0021】
以下では、先ず、権限のないアクセスを防止するパケットフィルタリングベースのファイアウォールについて説明する。
【0022】
あるポートを利用し、ネットワークを介して外部からリクエストを受けるソフトウェアにセキュリティ上の脆弱性(セキュリティホール)がある場合、セキュリティ攻撃の対象となる可能性がある。すなわち例えば、ネットワークを介して非許可者が外部から内部に侵入し、任意のプロセスを管理者権限で実行するという攻撃を受ける可能性がある。
【0023】
そこで、ファイアウォール用プロセッサ14は、このソフトウェアの脆弱性によって発生する脅威から守るために、ファイアウォールにパケットフィルタリングのルールを設定すると共に、脆弱性とパケットフィルタリングルールとを対応付けた管理テーブルを記憶部15に記憶保持している。
【0024】
この管理テーブルの一例を図2に示す。ここで図2において、「管理番号」は、脆弱性を一元管理する番号を示し、アプリケーション利用側が脆弱性を識別するために利用される。また、「ターゲット識別子」は、脆弱性を識別する番号を示し、アプリケーション提供側が脆弱性を識別するために利用される。また、「パケットフィルタリングルール識別子」は、脆弱性による脅威から守るためのルール(パケットフィルタリングルール)を識別するための情報を示し、「状態識別子」は、その脆弱性が解決/未解決の何れであるかを識別するための情報を示す。
【0025】
例えば、ターゲット識別子が「V2000−0022」で示される未解決の脆弱性は、パケットフィルタリングルール識別子が「00003」で示されるパケットフィルタリングルールと対応付けられ、管理番号「00002」として登録されている。
【0026】
また、ファイアウォール用プロセッサ14は、パケットフィルタリングルールの詳しい内容の記載されたテーブルを記憶部15に記憶保持している。
【0027】
このテーブルの一例を図3に示す。図3に示すように、各パケットフィルタリングルール毎に、「プロトコル」、送信元及び送信先のアドレスを示す「ソースアドレス」及び「デスティネーションアドレス」、送信元及び送信先のポートを示す「ソースポート」及び「デスティネーションポート」と共に、そのようなパケットが送信されたときの入力の許可/許否を示す「アクション」が設定されている。なお、表中の*印は、任意であることを示す。
【0028】
例えば、上述したパケットフィルタリングルール識別子「00003」で示されるパケットフィルタリングルールは、「プロトコル」、「ソースアドレス」、「ソースポート」及び「デスティネーションアドレス」が任意であり、「デスティネーションポート」が「4567」、「アクション」が「許否」として登録されている。すなわち、このパケットフィルタリングルールにより、外部からポート「4567」を利用したリクエストは、全て許否される。
【0029】
ここで、あるソフトウェアの脆弱性(セキュリティホール)を解決するために、例えば図4に示すような修正プログラムが開発された場合を想定する。図4に示すように、修正プログラムは、例えば、修正プログラムを管理するパッチID、上述したターゲット識別子TI、オプションOP、データDTにより構成される。なお、オプションOPの部分には、その他必要となる情報が記載される。
【0030】
このような修正プログラムを適用することにより、上記プログラムの脆弱性が解決されると、そのソフトウェアの脆弱性を狙ったセキュリティ攻撃は生じ得ないため、その脆弱性と対応付けられたパケットフィルタリングルールも不要となる。
【0031】
そこで、本実施の形態における情報処理装置1(図1)は、脆弱性の解決によって不要となったパケットフィルタリングルールをテーブルから削除する処理を行う。
【0032】
この情報処理装置1の処理を図5のフローチャートを用いて説明する。先ずステップS1において、情報処理装置1は、ネットワークインターフェース部16を介して、図4に示したような修正プログラムを取得する。
【0033】
次にステップS2において、修正プログラムからデータDTの部分を抽出し、続くステップS3において、データDTを適用する。この操作により、アプリケーションに存在していた既知の脆弱性、例えばターゲット識別子「V2000−0022」で示される脆弱性は、完全に解決される。
【0034】
続いてステップS4において、修正プログラムからターゲット識別子TIを抽出し、ステップS5において、抽出したターゲット識別子TIと一致するものを図2に示した管理テーブルの「ターゲット識別子」の列から探索する。
【0035】
ステップS6では、管理テーブルに修正プログラムのターゲット識別子TIと一致するものがあったか否かが判別される。一致したものがない場合(No)には、処理を終了し、一致するものがあった場合(Yes)には、ステップS7に進む。
【0036】
ステップS7では、管理テーブルのうち、修正プログラムのターゲット識別子TIと一致したターゲット識別子を有する行の「状態識別子」を「未解決」から「解決」に更新する。なお、この処理は、後述するステップS10の処理の後に行うことも可能である。
【0037】
続いてステップS8では、管理テーブルのうち、修正プログラムのターゲット識別子TIと一致したターゲット識別子を有する行の「パケットフィルタリングルール識別子」を抽出する。
【0038】
ステップS9では、抽出したパケットフィルタリングルール識別子と一致するものを図3に示したテーブルの「パケットフィルタリングルール識別子」の列から探索し、ステップS10において、一致した同一行を削除する。この際、削除するのではなく、コメントアウトするようにしても構わない。
【0039】
次に、ウイルスによる攻撃を防止するアンチウイルスベースのファイアウォールについて説明する。ここで、ウイルスは、汎用PCハードウェア上に実装するための言語を用いて、コンピュータソフトウェアとして実現されている。
【0040】
あるソフトウェアにセキュリティ上の脆弱性(セキュリティホール)があり、ネットワークを介してウイルスが外部から内部へ侵入可能とされている場合、ウイルス攻撃の対象となる可能性がある。すなわち例えば、ネットワークを介してウイルスが外部から内部に侵入し、ソフトウェアの脆弱性、例えばバッファオーバーフローを利用して情報処理装置1内の情報を破壊するという攻撃を受ける可能性がある。
【0041】
そこで、ファイアウォール用プロセッサ14は、このソフトウェアの脆弱性によって発生する脅威から守るために、ファイアウォールにアンチウイルスのルールを設定すると共に、脆弱性とウイルスとを対応付けた管理テーブルを記憶部15に記憶保持している。
【0042】
この管理テーブルの一例を図6に示す。ここで図6において、「管理番号」は、脆弱性を一元管理する番号を示し、アプリケーション利用側が脆弱性を識別するために利用される。また、「ターゲット識別子」は、脆弱性を識別する番号を示し、アプリケーション提供側が脆弱性を識別するために利用される。また、「ウイルス識別子」は、ウイルスによる脅威から守るためのルール(アンチウイルスルール)を識別するための情報を示し、「状態識別子」は、その脆弱性が解決/未解決の何れであるかを識別するための情報を示す。
【0043】
例えば、ターゲット識別子が「V2000−0017」で示される未解決の脆弱性は、ウイルス識別子が「00002」で示されるアンチウイルスルールと対応付けられ、管理番号「00002」として登録されている。
【0044】
また、ファイアウォール用プロセッサ14は、ウイルスの詳しい内容の記載されたテーブルを記憶部15に記憶保持している。
【0045】
このテーブルの一例を図7に示す。図7に示すように、各ウイルス毎に、ウイルスのコードの特徴を抽出したウイルス成分データが登録される。
【0046】
ファイアウォール用プロセッサ14は、入力パケットのペイロードデータとこのウイルス成分データとの間に関連があるか否かについてパターンマッチングを行うことで、入力パケットの検査を行う。なお、いわゆるアンチウイルスソフトウェアもこのような方法でウイルスを検知している。
【0047】
例えば、上述したウイルス識別子「00002」で示されるアンチウイルスルールは、そのウイルス成分データが「string B1, string B2, string B3, string B4,・・・」として登録されているため、「string B1, string B2, string B3, string B4,・・・」と一致するデータは、ウイルスとして検知され、削除又は検疫等の操作が施される。
【0048】
ここで、あるソフトウェアの脆弱性(セキュリティホール)を解決するために、例えば図4に示したような修正プログラムが開発された場合を想定する。
【0049】
このような修正プログラムを適用することにより、上記プログラムの脆弱性が解決されると、そのソフトウェアの脆弱性を狙ったセキュリティ攻撃は生じ得ないため、その脆弱性と対応付けられたアンチウイルスルールも不要となる。
【0050】
そこで、本実施の形態における情報処理装置1(図1)は、脆弱性の解決によって不要となったアンチウイルスルールをテーブルから削除する処理を行う。
【0051】
この情報処理装置1の処理を図8のフローチャートを用いて説明する。先ずステップS20において、情報処理装置1は、ネットワークインターフェース部16を介して、図4に示したような修正プログラムを取得する。
【0052】
次にステップS21において、修正プログラムからデータDTの部分を抽出し、続くステップS22において、データDTを適用する。この操作により、アプリケーションに存在していた既知の脆弱性、例えばターゲット識別子「V2000−0017」で示される脆弱性は、完全に解決される。
【0053】
続いてステップS23において、修正プログラムからターゲット識別子TIを抽出し、ステップS24において、抽出したターゲット識別子TIと一致するものを図6に示した管理テーブルの「ターゲット識別子」の列から探索する。
【0054】
ステップS25では、管理テーブルに修正プログラムのターゲット識別子TIと一致するものがあったか否かが判別される。一致したものがない場合(No)には、処理を終了し、一致するものがあった場合(Yes)には、ステップS26に進む。
【0055】
ステップS26では、管理テーブルのうち、修正プログラムのターゲット識別子TIと一致したターゲット識別子を有する行の「状態識別子」を「未解決」から「解決」に更新する。なお、この処理は、後述するステップS29の処理の後に行うことも可能である。
【0056】
続いてステップS27では、管理テーブルのうち、修正プログラムのターゲット識別子TIと一致したターゲット識別子を有する行の「ウイルス識別子」を抽出する。
【0057】
ステップS28では、抽出したウイルス識別子と一致するものを図7に示したテーブルの「ウイルス識別子」の列から探索し、ステップS29において、一致した同一行を削除する。この際、削除するのではなく、コメントアウトするようにしても構わない。
【0058】
以上のように、本実施の形態における情報処理装置1は、ソフトウェア上の脆弱性とこの脆弱性に起因するセキュリティ上の攻撃、例えば権限のないアクセスやウイルスを阻止するためのルールセットとを対応付けて記憶しており、修正プログラム等によってこの脆弱性が解決された場合に、対応する不要となったルールを削除する。
【0059】
これにより、ルールセットの増加を阻止することができ、その結果、必要となる記憶メモリを削減することができる。また、必要のないルールを適用する必要がないため、フィルタリング効率が改善される。さらに、管理テーブルを参照して必要のないルールを知ることにより、どのような脅威からは既に保護される環境にあるかを知る指針を得ることができる。
【0060】
なお、本発明は上述した実施の形態のみに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
【0061】
【発明の効果】
以上詳細に説明したように本発明に係る情報検査方法及びその装置は、所定の問題と該問題に起因するセキュリティ上の攻撃を阻止するためのルールとが対応付けられて記憶された記憶手段を用い、入力情報に対して上記ルールを適用してフィルタリングを行うことによりセキュリティポリシーを実現し、上記問題が解決された場合に、該問題と対応付けられたルールを削除して上記記憶手段を更新する。
【0062】
ここで、上記所定の問題は、所定のソフトウェア上の脆弱性であり、上記セキュリティ上の攻撃は、上記脆弱性を有する上記所定のソフトウェアが利用するポートを介した攻撃、又は上記脆弱性を利用するコンピュータウイルスによる攻撃である。
【0063】
また、本情報検査方法及びその装置では、所定の修正プログラムによって上記脆弱性が解決された場合に、該脆弱性と対応付けられたルールが削除され、上記記憶手段が更新される。
【0064】
このような情報検査方法及びその装置によれば、ソフトウェア上の脆弱性とこの脆弱性に起因するセキュリティ上の攻撃、例えば権限のないアクセスやウイルスを阻止するためのルールセットとを対応付けて記憶し、修正プログラム等によってこの脆弱性が解決された場合に、対応する不要となったルールを削除するため、ルールセットの増加を阻止することができ、その結果、必要となる記憶メモリを削減することができる。また、必要のないルールを適用する必要がないため、フィルタリング効率が改善される。
【0065】
また、本発明に係るプログラムは、このような情報検査処理をコンピュータに実行させるものである。
【0066】
このようなプログラムによれば、上述した情報検査処理をソフトウェアにより実現することができる。
【図面の簡単な説明】
【図1】本実施の形態における情報処理装置の概略構成を説明する図である。
【図2】脆弱性とパケットフィルタリングルールとを対応付けた管理テーブルの一例を示す図である。
【図3】パケットフィルタリングルールの詳しい内容の記載されたテーブルの一例を示す図である。
【図4】ソフトウェアの脆弱性を解決する修正プログラムの構成例を示す図である。
【図5】脆弱性の解決によって不要となったパケットフィルタリングルールをテーブルから削除する処理を説明するフローチャートである。
【図6】脆弱性とコンピュータウイルスとを対応付けた管理テーブルの一例を示す図である。
【図7】コンピュータウイルスの詳しい内容の記載されたテーブルの一例を示す図である。
【図8】脆弱性の解決によって不要となったアンチウイルスルールをテーブルから削除する処理を説明するフローチャートである。
【符号の説明】
1 情報処理装置、10 CPU、11 RAM、12 ROM、13 HDD、14 ファイアウォール用プロセッサ、15 記憶部、16 ネットワークインターフェース部、17 バス
【発明の属する技術分野】
本発明は、コンピュータネットワークにおける権限のないアクセス又はコンピュータウイルスを防止するために、ルールセットを用いて入力情報のフィルタリングを行う情報検査方法及びその装置、並びにプログラムに関する。
【0002】
【従来の技術】
コンピュータネットワークでは、通常、パケットの形で情報が伝送される。そして、あるサイトにある情報は、他のサイトからのコマンドによりアクセスされ、又は他のサイトへと伝送される。したがって、価値のある情報を有している場合、その情報へのアクセスについては権限の有無を検査し、権限のないアクセスを防止する必要がある。
【0003】
また、コンピュータウイルスのように情報の価値を破壊するような情報も存在するため、入力パケットがコンピュータウイルスであるか否かを検査する必要もある。
【0004】
いわゆるファイアウォールやアンチウイルスとして知られるソフトウェアは、前述の検査を行うソフトウェアである。通常、これらのソフトウェアはルールセットを記憶しており、このルールセットに従ってアクセスを許可するか拒否するかのフィルタリング処理を行う。
【0005】
ここで、高度なセキュリティポリシーを実現するためには、多数のルールセットが必要となるため、これらのルールセットを用いた入力パケットの検査に時間がかかり、フィルタリングの効率が低下するという問題があった。
【0006】
そこで、以下に示す特許文献1では、所定の順序で適用されるルールセットを、例えば入力パケットとマッチした回数に応じて再配列する技術が提案されている。この特許文献1に記載の技術によれば、入力パケットが早期にルールセットにマッチするようになるため、フィルタリングの効率を向上させることができる。
【0007】
【特許文献1】
特開2000−174808号公報
【0008】
【発明が解決しようとする課題】
しかしながら、コンピュータネットワーク上のセキュリティ攻撃やコンピュータウイルスによる攻撃は、時間経過と共に増加しており、それに対抗するためにルールセットも時間経過と共に増加の一途を辿っている。
【0009】
その結果、ルールセットは肥大化を続け、記憶メモリの消費や検査にかかる時間の増大といった問題が発生しているが、このような問題は、上記特許文献1のようなルールセットの再配列によっては、完全に解決することはできない。
【0010】
本発明は、このような従来の実情に鑑みて提案されたものであり、入力情報をフィルタリングするためのルールセットの増加を防止し、フィルタリングの効率を向上させると共に、必要となる記憶メモリを削減する情報検査方法及びその装置、並びにその情報検査処理をコンピュータに実行させるプログラムを提供することを目的とする。
【0011】
【課題を解決するための手段】
上述した目的を達成するために、本発明に係る情報検査方法及びその装置は、所定の問題と該問題に起因するセキュリティ上の攻撃を阻止するためのルールとが対応付けられて記憶された記憶手段を用い、入力情報に対して上記ルールを適用してフィルタリングを行うことによりセキュリティポリシーを実現し、上記問題が解決された場合に、該問題と対応付けられたルールを削除して上記記憶手段を更新する。
【0012】
ここで、上記所定の問題は、所定のソフトウェア上の脆弱性であり、上記セキュリティ上の攻撃は、上記脆弱性を有する上記所定のソフトウェアが利用するポートを介した攻撃、又は上記脆弱性を利用するコンピュータウイルスによる攻撃である。
【0013】
また、本情報検査方法及びその装置では、所定の修正プログラムによって上記脆弱性が解決された場合に、該脆弱性と対応付けられたルールが削除され、上記記憶手段が更新される。
【0014】
また、本発明に係るプログラムは、このような情報検査処理をコンピュータに実行させるものである。
【0015】
【発明の実施の形態】
以下、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。この実施の形態は、本発明を、ネットワークと接続され、権限のないアクセス又はコンピュータウイルス(以下、単にウイルスという。)に対するフィルタリング処理を行うファイアウォール機能を有する情報処理装置に適用したものである。
【0016】
本実施の形態における情報処理装置の概略構成を図1に示す。図1に示すように、情報処理装置1は、該情報処理装置1の各部を統括して制御するCPU(Central Processing Unit)10と、各種情報を一時記憶するワークエリアとしてのRAM(Random Access Memory)11と、各種処理を行うためのプログラム等の各種情報を記憶する読み出し専用のROM(Read Only Memory)12と、図示しないハードディスクに対して各種情報を記録及び/又は再生するHDD(HardDisk Drive)13と、上述した権限のないアクセス又はコンピュータウイルスに対するフィルタリング処理を制御するファイアウォール用プロセッサ14とがバス17を介して接続されてなる。さらに、ファイアウォール用プロセッサ14には、後述するパケットフィルタリングのルールセット等が記憶された記憶部15及びネットワークインターフェース部16が直接接続されている。
【0017】
この情報処理装置1において、ファイアウォール用プロセッサ14は、ネットワークインターフェース部16を介して入力したパケットのフィルタリング処理を行う。すなわち、後述するように、ファイアウォール用プロセッサ14は、記憶部15に記憶保持されたルールセットを用いて入力パケットの検査を行い、通過又は廃棄を決定するフィルタリング処理を行う。
【0018】
なお、この情報処理装置1は、通常のパーソナルコンピュータであっても、ネットワークとの入出力部に設けられる中継装置であってもよい。
【0019】
また、本実施の形態では、図1に示すようにメインのCPU10とは別にファイアウォール用プロセッサ14を設けるものとしたが、この構成に限定されるものではなく、通常のコンピュータと同様に、メインのCPUがファイアウォール処理を行うようにしても構わない。
【0020】
但し、メインのCPUとは別にファイアウォール用プロセッサを設けることで、例えばDoS攻撃(サービス不能/拒否/妨害攻撃:Denial of Service Attack)等の高負荷攻撃を受けた場合であっても、メインのCPUでの処理に影響がでないという利点がある。
【0021】
以下では、先ず、権限のないアクセスを防止するパケットフィルタリングベースのファイアウォールについて説明する。
【0022】
あるポートを利用し、ネットワークを介して外部からリクエストを受けるソフトウェアにセキュリティ上の脆弱性(セキュリティホール)がある場合、セキュリティ攻撃の対象となる可能性がある。すなわち例えば、ネットワークを介して非許可者が外部から内部に侵入し、任意のプロセスを管理者権限で実行するという攻撃を受ける可能性がある。
【0023】
そこで、ファイアウォール用プロセッサ14は、このソフトウェアの脆弱性によって発生する脅威から守るために、ファイアウォールにパケットフィルタリングのルールを設定すると共に、脆弱性とパケットフィルタリングルールとを対応付けた管理テーブルを記憶部15に記憶保持している。
【0024】
この管理テーブルの一例を図2に示す。ここで図2において、「管理番号」は、脆弱性を一元管理する番号を示し、アプリケーション利用側が脆弱性を識別するために利用される。また、「ターゲット識別子」は、脆弱性を識別する番号を示し、アプリケーション提供側が脆弱性を識別するために利用される。また、「パケットフィルタリングルール識別子」は、脆弱性による脅威から守るためのルール(パケットフィルタリングルール)を識別するための情報を示し、「状態識別子」は、その脆弱性が解決/未解決の何れであるかを識別するための情報を示す。
【0025】
例えば、ターゲット識別子が「V2000−0022」で示される未解決の脆弱性は、パケットフィルタリングルール識別子が「00003」で示されるパケットフィルタリングルールと対応付けられ、管理番号「00002」として登録されている。
【0026】
また、ファイアウォール用プロセッサ14は、パケットフィルタリングルールの詳しい内容の記載されたテーブルを記憶部15に記憶保持している。
【0027】
このテーブルの一例を図3に示す。図3に示すように、各パケットフィルタリングルール毎に、「プロトコル」、送信元及び送信先のアドレスを示す「ソースアドレス」及び「デスティネーションアドレス」、送信元及び送信先のポートを示す「ソースポート」及び「デスティネーションポート」と共に、そのようなパケットが送信されたときの入力の許可/許否を示す「アクション」が設定されている。なお、表中の*印は、任意であることを示す。
【0028】
例えば、上述したパケットフィルタリングルール識別子「00003」で示されるパケットフィルタリングルールは、「プロトコル」、「ソースアドレス」、「ソースポート」及び「デスティネーションアドレス」が任意であり、「デスティネーションポート」が「4567」、「アクション」が「許否」として登録されている。すなわち、このパケットフィルタリングルールにより、外部からポート「4567」を利用したリクエストは、全て許否される。
【0029】
ここで、あるソフトウェアの脆弱性(セキュリティホール)を解決するために、例えば図4に示すような修正プログラムが開発された場合を想定する。図4に示すように、修正プログラムは、例えば、修正プログラムを管理するパッチID、上述したターゲット識別子TI、オプションOP、データDTにより構成される。なお、オプションOPの部分には、その他必要となる情報が記載される。
【0030】
このような修正プログラムを適用することにより、上記プログラムの脆弱性が解決されると、そのソフトウェアの脆弱性を狙ったセキュリティ攻撃は生じ得ないため、その脆弱性と対応付けられたパケットフィルタリングルールも不要となる。
【0031】
そこで、本実施の形態における情報処理装置1(図1)は、脆弱性の解決によって不要となったパケットフィルタリングルールをテーブルから削除する処理を行う。
【0032】
この情報処理装置1の処理を図5のフローチャートを用いて説明する。先ずステップS1において、情報処理装置1は、ネットワークインターフェース部16を介して、図4に示したような修正プログラムを取得する。
【0033】
次にステップS2において、修正プログラムからデータDTの部分を抽出し、続くステップS3において、データDTを適用する。この操作により、アプリケーションに存在していた既知の脆弱性、例えばターゲット識別子「V2000−0022」で示される脆弱性は、完全に解決される。
【0034】
続いてステップS4において、修正プログラムからターゲット識別子TIを抽出し、ステップS5において、抽出したターゲット識別子TIと一致するものを図2に示した管理テーブルの「ターゲット識別子」の列から探索する。
【0035】
ステップS6では、管理テーブルに修正プログラムのターゲット識別子TIと一致するものがあったか否かが判別される。一致したものがない場合(No)には、処理を終了し、一致するものがあった場合(Yes)には、ステップS7に進む。
【0036】
ステップS7では、管理テーブルのうち、修正プログラムのターゲット識別子TIと一致したターゲット識別子を有する行の「状態識別子」を「未解決」から「解決」に更新する。なお、この処理は、後述するステップS10の処理の後に行うことも可能である。
【0037】
続いてステップS8では、管理テーブルのうち、修正プログラムのターゲット識別子TIと一致したターゲット識別子を有する行の「パケットフィルタリングルール識別子」を抽出する。
【0038】
ステップS9では、抽出したパケットフィルタリングルール識別子と一致するものを図3に示したテーブルの「パケットフィルタリングルール識別子」の列から探索し、ステップS10において、一致した同一行を削除する。この際、削除するのではなく、コメントアウトするようにしても構わない。
【0039】
次に、ウイルスによる攻撃を防止するアンチウイルスベースのファイアウォールについて説明する。ここで、ウイルスは、汎用PCハードウェア上に実装するための言語を用いて、コンピュータソフトウェアとして実現されている。
【0040】
あるソフトウェアにセキュリティ上の脆弱性(セキュリティホール)があり、ネットワークを介してウイルスが外部から内部へ侵入可能とされている場合、ウイルス攻撃の対象となる可能性がある。すなわち例えば、ネットワークを介してウイルスが外部から内部に侵入し、ソフトウェアの脆弱性、例えばバッファオーバーフローを利用して情報処理装置1内の情報を破壊するという攻撃を受ける可能性がある。
【0041】
そこで、ファイアウォール用プロセッサ14は、このソフトウェアの脆弱性によって発生する脅威から守るために、ファイアウォールにアンチウイルスのルールを設定すると共に、脆弱性とウイルスとを対応付けた管理テーブルを記憶部15に記憶保持している。
【0042】
この管理テーブルの一例を図6に示す。ここで図6において、「管理番号」は、脆弱性を一元管理する番号を示し、アプリケーション利用側が脆弱性を識別するために利用される。また、「ターゲット識別子」は、脆弱性を識別する番号を示し、アプリケーション提供側が脆弱性を識別するために利用される。また、「ウイルス識別子」は、ウイルスによる脅威から守るためのルール(アンチウイルスルール)を識別するための情報を示し、「状態識別子」は、その脆弱性が解決/未解決の何れであるかを識別するための情報を示す。
【0043】
例えば、ターゲット識別子が「V2000−0017」で示される未解決の脆弱性は、ウイルス識別子が「00002」で示されるアンチウイルスルールと対応付けられ、管理番号「00002」として登録されている。
【0044】
また、ファイアウォール用プロセッサ14は、ウイルスの詳しい内容の記載されたテーブルを記憶部15に記憶保持している。
【0045】
このテーブルの一例を図7に示す。図7に示すように、各ウイルス毎に、ウイルスのコードの特徴を抽出したウイルス成分データが登録される。
【0046】
ファイアウォール用プロセッサ14は、入力パケットのペイロードデータとこのウイルス成分データとの間に関連があるか否かについてパターンマッチングを行うことで、入力パケットの検査を行う。なお、いわゆるアンチウイルスソフトウェアもこのような方法でウイルスを検知している。
【0047】
例えば、上述したウイルス識別子「00002」で示されるアンチウイルスルールは、そのウイルス成分データが「string B1, string B2, string B3, string B4,・・・」として登録されているため、「string B1, string B2, string B3, string B4,・・・」と一致するデータは、ウイルスとして検知され、削除又は検疫等の操作が施される。
【0048】
ここで、あるソフトウェアの脆弱性(セキュリティホール)を解決するために、例えば図4に示したような修正プログラムが開発された場合を想定する。
【0049】
このような修正プログラムを適用することにより、上記プログラムの脆弱性が解決されると、そのソフトウェアの脆弱性を狙ったセキュリティ攻撃は生じ得ないため、その脆弱性と対応付けられたアンチウイルスルールも不要となる。
【0050】
そこで、本実施の形態における情報処理装置1(図1)は、脆弱性の解決によって不要となったアンチウイルスルールをテーブルから削除する処理を行う。
【0051】
この情報処理装置1の処理を図8のフローチャートを用いて説明する。先ずステップS20において、情報処理装置1は、ネットワークインターフェース部16を介して、図4に示したような修正プログラムを取得する。
【0052】
次にステップS21において、修正プログラムからデータDTの部分を抽出し、続くステップS22において、データDTを適用する。この操作により、アプリケーションに存在していた既知の脆弱性、例えばターゲット識別子「V2000−0017」で示される脆弱性は、完全に解決される。
【0053】
続いてステップS23において、修正プログラムからターゲット識別子TIを抽出し、ステップS24において、抽出したターゲット識別子TIと一致するものを図6に示した管理テーブルの「ターゲット識別子」の列から探索する。
【0054】
ステップS25では、管理テーブルに修正プログラムのターゲット識別子TIと一致するものがあったか否かが判別される。一致したものがない場合(No)には、処理を終了し、一致するものがあった場合(Yes)には、ステップS26に進む。
【0055】
ステップS26では、管理テーブルのうち、修正プログラムのターゲット識別子TIと一致したターゲット識別子を有する行の「状態識別子」を「未解決」から「解決」に更新する。なお、この処理は、後述するステップS29の処理の後に行うことも可能である。
【0056】
続いてステップS27では、管理テーブルのうち、修正プログラムのターゲット識別子TIと一致したターゲット識別子を有する行の「ウイルス識別子」を抽出する。
【0057】
ステップS28では、抽出したウイルス識別子と一致するものを図7に示したテーブルの「ウイルス識別子」の列から探索し、ステップS29において、一致した同一行を削除する。この際、削除するのではなく、コメントアウトするようにしても構わない。
【0058】
以上のように、本実施の形態における情報処理装置1は、ソフトウェア上の脆弱性とこの脆弱性に起因するセキュリティ上の攻撃、例えば権限のないアクセスやウイルスを阻止するためのルールセットとを対応付けて記憶しており、修正プログラム等によってこの脆弱性が解決された場合に、対応する不要となったルールを削除する。
【0059】
これにより、ルールセットの増加を阻止することができ、その結果、必要となる記憶メモリを削減することができる。また、必要のないルールを適用する必要がないため、フィルタリング効率が改善される。さらに、管理テーブルを参照して必要のないルールを知ることにより、どのような脅威からは既に保護される環境にあるかを知る指針を得ることができる。
【0060】
なお、本発明は上述した実施の形態のみに限定されるものではなく、本発明の要旨を逸脱しない範囲において種々の変更が可能であることは勿論である。
【0061】
【発明の効果】
以上詳細に説明したように本発明に係る情報検査方法及びその装置は、所定の問題と該問題に起因するセキュリティ上の攻撃を阻止するためのルールとが対応付けられて記憶された記憶手段を用い、入力情報に対して上記ルールを適用してフィルタリングを行うことによりセキュリティポリシーを実現し、上記問題が解決された場合に、該問題と対応付けられたルールを削除して上記記憶手段を更新する。
【0062】
ここで、上記所定の問題は、所定のソフトウェア上の脆弱性であり、上記セキュリティ上の攻撃は、上記脆弱性を有する上記所定のソフトウェアが利用するポートを介した攻撃、又は上記脆弱性を利用するコンピュータウイルスによる攻撃である。
【0063】
また、本情報検査方法及びその装置では、所定の修正プログラムによって上記脆弱性が解決された場合に、該脆弱性と対応付けられたルールが削除され、上記記憶手段が更新される。
【0064】
このような情報検査方法及びその装置によれば、ソフトウェア上の脆弱性とこの脆弱性に起因するセキュリティ上の攻撃、例えば権限のないアクセスやウイルスを阻止するためのルールセットとを対応付けて記憶し、修正プログラム等によってこの脆弱性が解決された場合に、対応する不要となったルールを削除するため、ルールセットの増加を阻止することができ、その結果、必要となる記憶メモリを削減することができる。また、必要のないルールを適用する必要がないため、フィルタリング効率が改善される。
【0065】
また、本発明に係るプログラムは、このような情報検査処理をコンピュータに実行させるものである。
【0066】
このようなプログラムによれば、上述した情報検査処理をソフトウェアにより実現することができる。
【図面の簡単な説明】
【図1】本実施の形態における情報処理装置の概略構成を説明する図である。
【図2】脆弱性とパケットフィルタリングルールとを対応付けた管理テーブルの一例を示す図である。
【図3】パケットフィルタリングルールの詳しい内容の記載されたテーブルの一例を示す図である。
【図4】ソフトウェアの脆弱性を解決する修正プログラムの構成例を示す図である。
【図5】脆弱性の解決によって不要となったパケットフィルタリングルールをテーブルから削除する処理を説明するフローチャートである。
【図6】脆弱性とコンピュータウイルスとを対応付けた管理テーブルの一例を示す図である。
【図7】コンピュータウイルスの詳しい内容の記載されたテーブルの一例を示す図である。
【図8】脆弱性の解決によって不要となったアンチウイルスルールをテーブルから削除する処理を説明するフローチャートである。
【符号の説明】
1 情報処理装置、10 CPU、11 RAM、12 ROM、13 HDD、14 ファイアウォール用プロセッサ、15 記憶部、16 ネットワークインターフェース部、17 バス
Claims (13)
- 所定の問題と該問題に起因するセキュリティ上の攻撃を阻止するためのルールとが対応付けられて記憶された記憶手段を用い、入力情報に対して上記ルールを適用してフィルタリングを行うことによりセキュリティポリシーを実現するフィルタリング工程と、
上記問題が解決された場合に、該問題と対応付けられたルールを削除して上記記憶手段を更新する更新工程と
を有することを特徴とする情報検査方法。 - 上記所定の問題は、所定のソフトウェア上の脆弱性であることを特徴とする請求項1記載の情報検査方法。
- 上記セキュリティ上の攻撃は、上記脆弱性を有する上記所定のソフトウェアが利用するポートを介した攻撃であることを特徴とする請求項2記載の情報検査方法。
- 上記セキュリティ上の攻撃は、上記脆弱性を利用するコンピュータウイルスによる攻撃であることを特徴とする請求項2記載の情報検査方法。
- 上記更新工程では、所定の修正プログラムによって上記脆弱性が解決された場合に、該脆弱性と対応付けられたルールが削除され、上記記憶手段が更新されることを特徴とする請求項2記載の情報検査方法。
- 上記所定の修正プログラムは、少なくとも上記所定のソフトウェアを修正するためのデータと、該所定のソフトウェア上の脆弱性を示す識別子とにより構成されることを特徴とする請求項5記載の情報検査方法。
- 所定の問題と該問題に起因するセキュリティ上の攻撃を阻止するためのルールとが対応付けられて記憶された記憶手段と、
入力情報に対して上記ルールを適用してフィルタリングを行うことによりセキュリティポリシーを実現するフィルタリング手段とを備え、
上記フィルタリング手段は、上記問題が解決された場合に、該問題と対応付けられたルールを削除すること
を特徴とする情報検査装置。 - 上記所定の問題は、所定のソフトウェア上の脆弱性であることを特徴とする請求項7記載の情報検査装置。
- 上記セキュリティ上の攻撃は、上記脆弱性を有する上記所定のソフトウェアが利用するポートを介した攻撃であることを特徴とする請求項8記載の情報検査装置。
- 上記セキュリティ上の攻撃は、上記脆弱性を利用するコンピュータウイルスによる攻撃であることを特徴とする請求項8記載の情報検査装置。
- 上記フィルタリング手段は、所定の修正プログラムによって上記脆弱性が解決された場合に、該脆弱性と対応付けられたルールを削除することを特徴とする請求項8記載の情報検査装置。
- 上記所定の修正プログラムは、少なくとも上記所定のソフトウェアを修正するためのデータと、該所定のソフトウェア上の脆弱性を示す識別子とにより構成されることを特徴とする請求項11記載の情報検査装置。
- 所定の処理をコンピュータに実行させるプログラムにおいて、
所定の問題と該問題に起因するセキュリティ上の攻撃を阻止するためのルールとが対応付けられて記憶された記憶手段を用い、入力情報に対して上記ルールを適用してフィルタリングを行うことによりセキュリティポリシーを実現するフィルタリング工程と、
上記問題が解決された場合に、該問題と対応付けられたルールを削除して上記記憶手段を更新する更新工程と
を有することを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002300813A JP2004139177A (ja) | 2002-10-15 | 2002-10-15 | 情報検査方法及び装置、並びにプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002300813A JP2004139177A (ja) | 2002-10-15 | 2002-10-15 | 情報検査方法及び装置、並びにプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004139177A true JP2004139177A (ja) | 2004-05-13 |
Family
ID=32449396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002300813A Withdrawn JP2004139177A (ja) | 2002-10-15 | 2002-10-15 | 情報検査方法及び装置、並びにプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2004139177A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100389372C (zh) * | 2005-08-16 | 2008-05-21 | 联想(北京)有限公司 | 用于确保程序原态运行的系统和方法 |
| JP2009543163A (ja) * | 2006-03-24 | 2009-12-03 | エーブイジー テクノロジーズ シーワイ リミテッド | ソフトウェア脆弱性悪用防止シールド |
| US7792775B2 (en) | 2005-02-24 | 2010-09-07 | Nec Corporation | Filtering rule analysis method and system |
| JP2011523482A (ja) * | 2008-05-21 | 2011-08-11 | シマンテック コーポレーション | ネットワーク照会を利用した最適定義配信による集中型スキャナデータベース |
-
2002
- 2002-10-15 JP JP2002300813A patent/JP2004139177A/ja not_active Withdrawn
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7792775B2 (en) | 2005-02-24 | 2010-09-07 | Nec Corporation | Filtering rule analysis method and system |
| CN100389372C (zh) * | 2005-08-16 | 2008-05-21 | 联想(北京)有限公司 | 用于确保程序原态运行的系统和方法 |
| JP2009543163A (ja) * | 2006-03-24 | 2009-12-03 | エーブイジー テクノロジーズ シーワイ リミテッド | ソフトウェア脆弱性悪用防止シールド |
| US8898787B2 (en) | 2006-03-24 | 2014-11-25 | AVG Netherlands, B.V. | Software vulnerability exploitation shield |
| JP2011523482A (ja) * | 2008-05-21 | 2011-08-11 | シマンテック コーポレーション | ネットワーク照会を利用した最適定義配信による集中型スキャナデータベース |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102178003B1 (ko) | 네트워크 접속 제어 시스템 및 그 방법 | |
| US6892241B2 (en) | Anti-virus policy enforcement system and method | |
| US9648029B2 (en) | System and method of active remediation and passive protection against cyber attacks | |
| US7600259B2 (en) | Critical period protection | |
| US9148442B2 (en) | Methods and apparatus providing automatic signature generation and enforcement | |
| US9413742B2 (en) | Systems, methods and apparatus to apply permissions to applications | |
| JP5845258B2 (ja) | 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法 | |
| TWI458308B (zh) | 網路周邊設備、計算系統及傳遞資料的方法 | |
| US9129111B2 (en) | Computer protection against malware affection | |
| US9092823B2 (en) | Internet fraud prevention | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| US7533413B2 (en) | Method and system for processing events | |
| WO2017034072A1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| JP6256773B2 (ja) | セキュリティシステム | |
| US9444830B2 (en) | Web server/web application server security management apparatus and method | |
| US20100095365A1 (en) | Self-setting security system and method for guarding against unauthorized access to data and preventing malicious attacks | |
| US9306908B2 (en) | Anti-malware system, method of processing packet in the same, and computing device | |
| JP6106861B1 (ja) | ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム | |
| JP2003099339A (ja) | 侵入検知・防御装置及びプログラム | |
| JP2004139177A (ja) | 情報検査方法及び装置、並びにプログラム | |
| JP5036712B2 (ja) | ネットワーク動作制御リストを使用したネットワークサービスのセキュリティ保護 | |
| Qaiser et al. | A Framework for the Privacy and Security Issues of Web Based Systems | |
| KR20030091889A (ko) | 바이러스 확산 방지 시스템 및 방법 | |
| Schultz et al. | Rootkits: the ultimate malware threat | |
| Franklin | A Can of Worms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20060110 |