JP2005301551A - セキュリティ対策システム及び統合セキュリティシステム - Google Patents
セキュリティ対策システム及び統合セキュリティシステム Download PDFInfo
- Publication number
- JP2005301551A JP2005301551A JP2004115015A JP2004115015A JP2005301551A JP 2005301551 A JP2005301551 A JP 2005301551A JP 2004115015 A JP2004115015 A JP 2004115015A JP 2004115015 A JP2004115015 A JP 2004115015A JP 2005301551 A JP2005301551 A JP 2005301551A
- Authority
- JP
- Japan
- Prior art keywords
- security
- integrated
- client
- event
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 管理者の負担が小さく、セキュリティ強度に違いが出ない、安全なセキュリティ対策システムと統合セキュリティシステムを提供する。
【解決手段】 上位統合セキュリティ管理システム102から配信されたデータベースを用い、セキュリティ事象の流れから統合セキュリティ管理システム104で対応関係の分析を行う。さらに、対応関係の分析を行ったある特定のセキュリティ事象に対して、統合セキュリティ管理システム104でセキュリティポリシーを作成、及び、編集し、これをクライアント105に対して自動的に配布する。セキュリティ対策を実施中は、ファイアウォール207でポートを閉じ、同様のセキュリティ事象を受け付けないようにする。
【選択図】 図2
【解決手段】 上位統合セキュリティ管理システム102から配信されたデータベースを用い、セキュリティ事象の流れから統合セキュリティ管理システム104で対応関係の分析を行う。さらに、対応関係の分析を行ったある特定のセキュリティ事象に対して、統合セキュリティ管理システム104でセキュリティポリシーを作成、及び、編集し、これをクライアント105に対して自動的に配布する。セキュリティ対策を実施中は、ファイアウォール207でポートを閉じ、同様のセキュリティ事象を受け付けないようにする。
【選択図】 図2
Description
本発明は、日常、蓄積されるセキュリティログの相関分析を行いてセキュリティ対策を行うためのセキュリティ対策システム及び統合セキュリティシステムに関する。
近年、インターネット技術を用いて情報システムを構築するシステムが増加しており、それに伴って、企業活動のインフラとしても広く用いられてきている。そのため、かかる情報システムへの不正侵入や情報システムの持つコンテンツ等の改竄、ウィルスの蔓延等の脅威が急増しており、そこで、これらの脅威からシステムを防ぐためのセキュリティシステムの重要性が高くなってきている。
従来、これらの脅威を防ぐため、一般的には、例えば、ファイアウォールやウィルス対策プログラム等を、情報システム内に導入することが行なわれている。例えば、以下の特許文献1により知られる不正アクセス検知装置及び不正アクセス検知方法によれば、データベースに存在しない未知の攻撃であっても、不正アクセスとして検知することを可能とするため、サーバと侵入検知用サーバとを異なるプログラムで実現し、クライアントからのデータを受信した場合、上記サーバと侵入検知用サーバからの応答データを比較し、これらに顕著な差異があれば不正アクセスとして判断する。
また、例えば、以下の特許文献2によっても知られるように、各セキュリティプログラムを統合的に運用管理するセキュリティ管理システムが既に提案されている。すなわち、かかるシステムでは、システム内で発生したセキュリティ事象の監視や監査、更には、セキュリティポリシーの管理を統合的に行うことを可能とするものである。
特開2003−67269号公報
特開2002−247033号公報
しかしながら、上述した従来技術では、特に、前者においては、不正アクセスを判断するものではあるが、その結果、対策実行要求が対策部に対して送られるが、この対策部は、管理者に通知等を実行するだけのものである。他方、上述した従来技術の後者においては、管理者は、統合的に管理されたセキュリティシステムを用いて、監視・監査・分析を行うものである。
以上のように、上述した従来技術では、不正アクセスの判断(前者)、その監視・監査・分析を管理システムが行なうものの、しかしながら、その対策については、管理者自身で情報システムのセキュリティ対策を考案し、施策しなければならず、そのため、管理者の技術力によってセキュリティ対策を行うまでの時間や情報システムのセキュリティの強度が左右されてしまうという問題点が存在していた。
そこで、本発明では、上述した従来技術における課題を解決し、より具体的には、管理者の負担軽減や、技術力による情報システムのセキュリティ強度の違いを無くし、より安全な情報システムを構築する支援を行えるセキュリティ対策システムを提供することをその目的とするものである。
上記目的を達成するため、本発明によれば、まず、それぞれセキュリティプログラムがインストールされた複数のクライアントがネットワークを介して接続され、かつ、前記クライアントのセキュリティプログラムで発生したセキュリティ事象を収集すると共に、前記各クライアントに対してセキュリティ対策を実行する統合セキュリティ管理部とを備えたセキュリティ対策システムであって:前記統合セキュリティ管理部は、収集した前記クライアントのセキュリティプログラムで発生したセキュリティ事象に対応するセキュリティ事象の対応関係の分析を行なって、当該セキュリティ事象を特定するセキュリティ事象処理部と;前記特定されたセキュリティ事象に対するセキュリティ対策を作成して配布するセキュリティポリシー処理部とを備えており、もって、前記セキュリティ事象が発生したクライアントにセキュリティ対策を実行させるセキュリティ対策システムが提案されている。
また、本発明によれば、前記のセキュリティ対策システムにおいて、前記統合セキュリティ管理部は、更に、インターネットを介して接続された上位セキュリティ管理システムで作成して配信されるセキュリティポリシーについての知識データ及び対策データを格納する知識データベース及び対策データベースとを備えており、当該知識及び対策データベースを用いて、前記収集したセキュリティ事象に対応するセキュリティ事象の対応関係の分析を行なって当該セキュリティ事象を特定し、かつ、前記セキュリティ対策を作成することが好ましい。又は、前記統合セキュリティ管理部は、更に、前記発生したセキュリティ事象を時系列に格納するセキュリティ事象データベースと、前記各クライアントのセキュリティポリシーを収集し、所定のフォーマットで格納するセキュリティポリシーデータベースとを備えており、前記セキュリティ事象データベースと前記セキュリティポリシーデータベースとを利用して、前記特定されたセキュリティ事象に対するセキュリティ対策を作成することが好ましい。
加えて、本発明によれば、前記したセキュリティ対策システムにおいて、前記統合セキュリティ管理部は、前記セキュリティ事象データベースに格納されたセキュリティ事象と前記知識データベースに格納された知識データとの対応関係を分析して当該セキュリティ事象の特定を実行することが好ましく、更には、前記セキュリティ対策を当該システムに接続された他のクライアントにも実行することが好ましい。
さらに、本発明によれば、やはり上記の目的を達成するため、ファイアウォールを介してインターネットに接続された統合セキュリティシステムであって、それぞれセキュリティプログラムがインストールされた複数のクライアントがネットワークを介して統合セキュリティ管理部に接続され、前記統合セキュリティ管理部は、前記クライアントのセキュリティプログラムで発生したセキュリティ事象を収集すると共に、前記各クライアントに対してセキュリティ対策を実行すると共に、前記統合セキュリティ管理部は、収集した前記クライアントのセキュリティプログラムで発生したセキュリティ事象に対してセキュリティ対策が必要と判断された場合には、前記ファイアウォールを介して当該システムを構成するクライアントへ侵入を遮断する統合セキュリティシステムが提案される。
なお、本発明では、前記の統合セキュリティシステムにおいて、前記統合セキュリティ管理部は、当該セキュリティ対策が必要とされるセキュリティ事象の発生頻度に応じて、前記ファイアウォールによる遮断を解除し、特に、当該セキュリティ事象の発生頻度が所定の値以下になった時に、前記ファイアウォールによる遮断を解除することが好ましい。
加えて、本発明によれば、前記に記載した統合セキュリティシステムにおいて、前記統合セキュリティ管理部は、前記ファイアウォールによる侵入の遮断を実行した後に、前記クライアントのセキュリティプログラムで発生したセキュリティ事象を収集すると共に、前記各クライアントに対してセキュリティ対策を実行させることが好ましい。
以上のように、本発明になるセキュリティ対策システム及び統合セキュリティシステムよれば、セキュリティ事象を発生している電子計算機(クライアント)に対して自動的にセキュリティ対策を実行させるだけではなく、更に、同ネットワークに接続されている他の電子計算機(クライアント)に対してもセキュリティ対策が行われているか確認するため、情報システムのセキュリティ強度を統一することができる。なお、この時、複数のセキュリティプログラムを統合的に管理しているシステムに対して本発明を適用することで、複数のセキュリティプログラムにまたがったセキュリティ事象に対して対応関係の分析を行うことにより、セキュリティ事象の特定およびセキュリティ対策を、適切に行うことが可能となる。
また、セキュリティ対策が必要な場合、セキュリティ対策を行うが、その際にセキュリティ対策を行っている間、ファイアウォールでポートを閉じ、同様のセキュリティ事象の攻撃を防御する。これにより、システムを同様のセキュリティ事象から防ぐことが可能となり、より安全なシステムを構築することが可能となる。
以下、本発明を実施するための最良の形態について、添付の図面に基づいて詳細に説明する。
まず、添付の図1は、本発明の一実施の形態になるセキュリティ対策システムを適用した統合セキュリティ管理システムの全体構成を示す。すなわち、本実施の形態によれば、上位統合セキュリティ管理システム102と、複数の統合セキュリティ管理システム104とは、例えば、インターネット103を経由して接続されている。なお、この統合セキュリティ管理システム104には、ネットワークを介して、脆弱点をもつ複数のクライアント105に接続されている。なお、ここで、このクライアントのもつ脆弱点とは、例えば、ウィルスや不正な侵入などに対する特性であり、その結果、ウィルスや不正な侵入などに対しては、セキュリティ事象の発生として検出されることとなる。
一方、上記セキュリティプログラム開発ベンダ101は、複数の統合セキュリティ管理システム104に接続されたライアント105の脆弱点に関するデータを、上記した上位統合セキュリティ管理システム102に配信する。この上位統合セキュリティ管理システム102は、上記セキュリティプログラム開発ベンダ101から配信された脆弱点に関するデータを基にして、その知識データベースおよび対策データベースを作成し、これらのデータをインターネット103を経由して、各統合セキュリティ管理システム104に配信する。
一方、統合セキュリティ管理システム104では、上述した各データベースを用いてセキュリティ事象の対応関係の分析を行い、ネットワークを介して接続されている複数の、それぞれ脆弱点をもつクライアント105に対して、自動的に対策を実施する。すなわち、各統合セキュリティ管理システム104は、各クライアント105から、その脆弱点に関する情報を収集しており、収集したセキュリティ事象の時系列から特定のセキュリティ事象になる事象を、統合的に管理されたセキュリティ事象を基にして、分析して判断する。さらに、このセキュリティ事象の分析によって特定されたセキュリティ事象に対しては、既に公表されているセキュリティ対策(上位統合セキュリティ管理システム102から配信される対策データベース)を実行する。
更に、統合セキュリティ管理システム104では、セキュリティ事象を発生している電子計算機(クライアント)だけでなく、同ネットワークに接続している電子計算機(クライアント)に対しても、当該セキュリティ対策が行われているか否か調査し、セキュリティ対策されていない場合には、セキュリティ対策を行う。
加えて、上記のセキュリティ対策を行っている期間においては、インターネット103と統合セキュリティ管理システム104との間に接続されているファイアウォール(後に説明する)によって、そのポートを閉止し、もって、同様のセキュリティ事象の攻撃を防御する。なお、一旦閉止されたファイアウォールのポートは、その後、セキュリティ対策後の状態を判断して再び開放される。
次に、図2は、上記図1に示した統合セキュリティ管理システムのうち、特に、その一の統合セキュリティ管理システム104の構成例について、詳細に示したものである。図からも明らかなように、各統合セキュリティ管理システム104は、ファイアウォール207を介して上記インターネット103へ接続された、例えば、LAN又はWAN等のネットワーク206と、そして、このネットワーク206に接続された統合セキュリティ管理システム104と、やはりこのネットワーク206に接続された複数のクライアント105とによって構成されている。なお、このネットワーク206に接続された複数のクライアント105には、ウィルス対策プログラムや、侵入検知プログラムといった、所謂、セキュリティプログラム205がインストールされている。
更に詳細には、上記の統合セキュリティ管理システム104は、セキュリティ事象処理部201、セキュリティポリシー処理部202、知識データベース203、そして、対策データベース204とによって構成されている。なお、セキュリティ事象処理部201は、上記各クライアント105にインストールされたセキュリティプログラム205によって検出されたセキュリティ事象、上記ファイアウォール207からのセキュリティ事象、更には、上記クライアント105の電子計算機稼動ログ等を処理するためのセキュリティ事象の処理を行なう。一方、セキュリティポリシー処理部202は、上記各クライアント105のセキュリティプログラムのセキュリティポリシー、及び、上記ファイアウォール207のセキュリティポリシー、更には、上記クライアント105のセキュリティポリシー等を変更、配布、収集を行うためのセキュリティポリシー処理を行なう。
そして、上記の知識データベース203は、上述した複数のセキュリティ事象の対応関係を時系列的に保持(記憶)するためのデータベースであり、一方、上記の対策データベース204は、上記保持された複数のセキュリティ事象について、例えば、その対応関係を分析した後に実行されたセキュリティ対策の内容を保持するためのデータベースである。
次に、上記図2で示した統合セキュリティ管理システム104と一のクライアント105との間におけるデータの転送について、添付の図3を参照しながら、より詳細に説明する。
まず、上記クライアント105にインストールされたセキュリティプログラム205によってセキュリティ事象が検出されると、そのデータであるセキュリティ事象データが、上記統合セキュリティ管理システム104を構成するセキュリティ事象処理部201に送られ、そのセキュリティ事象収集機能301により収集される。そして、この収集されたセキュリティ事象には、それを発生したクライアント情報が付加され、セキュリティ事象格納機能302により、セキュリティ事象データベース203内に格納される。
一方、上記クライアント105のセキュリティプログラム205によって対策されたセキュリティポリシーが、上記クライアント105より送出されると、上記統合セキュリティ管理システム104を構成するセキュリティポリシー処理部202では、まず、その送出された各クライアントのセキュリティポリシーを、セキュリティポリシー収集機能304により収集する。そして、この収集されたセキュリティポリシーのフォーマットを、セキュリティポリシーフォーマット変換機能305によって、所定のフォーマットに統一し、その後、セキュリティポリシー格納機能306によってセキュリティポリシーデータベース309に格納する。
また、このセキュリティポリシー処理部202は、上記セキュリティポリシーデータベース309内に格納されている各種のセキュリティポリシーからセキュリティポリシーを適切に編集するセキュリティポリシー編集機能307を備えており、更には、このセキュリティポリシー編集機能により適切に編集されたセキュリティポリシーをクライアント105へ送出(配布)するセキュリティポリシー配布機能308を有している。これにより、適切なセキュリティポリシーをクライアント105のセキュリティプログラム205に対して適用させることが可能となる。
次に、上記のセキュリティ事象処理部201により収集されて上記セキュリティ事象データベース203内に格納しているセキュリティ事象を、上記知識データベース203を用いることによって当該セキュリティ事象に対して適切なセキュリティポリシーを編集するため、その対応関係を分析するための分析方法の一例を、添付の図4に示す。
まず、図4において、上記統合セキュリティ管理システム104内のセキュリティ事象データベース303には、上述したように、上記クライアント105にインストールされたセキュリティプログラム205によって検出されたセキュリティ事象が、例えば、図に示すように、その発生「時刻」(例えば、年/月/日/時刻)、それを検出した「セキュリティプログラム」(例えば、侵入検出プログラムやアクセス制御プログラム等)、更には、その「メッセージ」の内容(例えば、クライアント名やそのポート、サービスの種類等)などを含むデータが、各フィールド毎に分類されて記述されている。一方、知識データベース203は、上述したように、複数のセキュリティ事象を保持するためのものであり、図にその一例を示すように、各セキュリティ事象が、同一のクライアントについて、例えば、その「イベント名」、それが発生した「ポート(port)」、その「サービス(service)」、そして、その「対策」等の項目に分類され、それぞれ、各フィールドに格納されている。
そこで、上記の知識データベース203に格納された各種のセキュリティ事象の中から、上記セキュリティ事象データベース303内に格納された各セキュリティ事象にマッチする(適合した)、同一クライアントのセキュリティ事象をスキャンする。例えば、図示の例では、クライアント「A」401について、2003年xx月xx日10時2分(2003/xx/xx 10:02)に発生した2件のセキュリティ事象について、それらのメッセージ(port=yyy、又は、service=zzz)を利用して、同じport又はserviceを有するイベント名のセキュリティ事象を知識データベース203から抽出(スキャン)する。そして、このマッチしたものを一つのセキュリティ事象402として判断する。
上記図4に示した、すなわち、最適セキュリティポリシーを編集する対応関係の分析方法について、より具体的な処理の流れを、添付の図5に示す。なお、この処理は、上記統合セキュリティ管理システム104において実行される。
この図5において、まず、知識データベース203から、1レコード取得し(ステップ501)、セキュリティ事象データベース303と比較する(ステップ502)。その結果、知識データベース203とマッチするセキュリティ事象が存在する場合には、更に、クライアント情報(具体的には、「クライアント名称」)でフィルタリングを行ってクライアント105の特定を行い、その後、時刻でフィルタリングを行い(ステップ503)、セキュリティ事象の絞込みを実行する。これは、マッチするセキュリティ事象の時刻に隣接したセキュリティ事象をも分析の対象とするためである。
その後、上記のフィルタリングを行ったセキュリティ事象(即ち、フィルタリング結果)を、上記知識データベース203の次のフィールドと比較する(ステップ504)。その結果、一致するデータがあれば、更に、ステップ505へ移り、上記知識データベース203に更に次のフィールドがあるか否かを判定し、上記の処理を知識データベース203のフィールドがなくなるまで行って処理を終了する。なお、上記ステップ502又は504での比較の結果、マッチするセキュリティ事象が存在しないと判断された場合には、処理は再び上記のステップ501へ戻り、他の1レコード取得して上記の処理を行なう。
このように、以上に詳細を説明した、知識データベース203を利用したセキュリティ事象の対応関係分析方法によれば、それまで発生した複数のセキュリティ事象から相関を見出して、これを特定のセキュリティ事象に変換(分類)することができ、もって、その後のセキュリティ対策の対象となるクライアント、及びそのセキュリティ対策の実施内容を特定(決定)することが可能となる。
次に、添付の図6は、上記に詳細に説明した対応関係の分析方法を実行した結果から、セキュリティ対策の対象となるクライアントに対し、その対策を行うための具体的な方法の一例を、処理の流れを矢印によって示す説明図である。
上述したように、上記の対応関係分析を行った結果から、或るイベント402が、例えば、その「イベント名」によって特定される。そして、既述したように、この知識データベース203の「対策」フィールドには、例えば、YYYが記載されている。そこで、この「対策」フィールド(例えば、YYY)を利用して、複数のセキュリティ事象に対して実行されたセキュリティ対策を格納した上記対策データベース204から、その対策フィールドのデータが同一であるレコード601を取得する。
その後、この対策データベース204から取得されたレコードに記述された対策を、例えば、図の例では、「OSパッチ」については、これを「12345」に当てることをその内容とするセキュリティポリシー(OSポリシー)を作成し、また、「ファイアウォール」については、ポート(ポート:yyy)について、その対策として、これを閉じる(対策:drop)ことを内容とするセキュリティポリシー(ファイアウォールポリシー)を作成する。そして、これらのポリシーを、それぞれ、クライアント105やファイアウォール107に配布し、それらにインストールされている各種のセキュリティプログラムを利用して対策を実行させる。
図7は、上記図6にその処理の流れを矢印で説明した対策方法を実現するための具体的な処理の流れを示すフローチャートである。この処理も、上記と同様に、統合セキュリティ管理システム104において実行される。
まず、この処理が開始すると、上記図5に示した分析方法によって特定された、上記知識データベース203上のセキュリティ事象から、その「対策」フィールド(上記図6の例では、例えば、「YYY」)に対応したレコードを、上記対策データベース204から取得する(ステップ701)。次に、この取得したレコードから、セキュリティカテゴリーの対策を取得する。
具体的には、取得したレコードから、その1つのフィールドを取得する(ステップ702)。その結果、取得するフィールドがあると判定された場合には、そのフィールドを取得し、その取得したフィールドには、対応したカテゴリーのセキュリティ製品が存在するか否かを判定する(ステップ703)。即ち、対策対象のクライアントに、対象のセキュリティカテゴリーのプログラムが存在するか否かを判定する。その結果、対応セキュリティ製品であるプログラムがあると判断された場合には、更に、対策済みか否かを判定する(ステップ704)。その結果、「対策済み」と判定された場合、更には、上記ステップ703で、対応セキュリティ製品であるプログラムが「なし」と判断された場合には、処理は、上記ステップ702へ戻って、次の1フィールドを取得して、上記の処理を繰り返す。すなわち、取得したレコードの全てのフィールドに亘って対応したカテゴリーのセキュリティ製品の有無とその対策を検索する。このことにより、対応したセキュリティカテゴリーの対策を取得することが出来る。
一方、上記ステップ704において「未対策」と判定された場合、即ち、取得したレコードの全てのフィールドに亘って対応したカテゴリーのセキュリティ製品の有無とその対策を検索したが、対策対象のクライアントには、対応したセキュリティカテゴリーのセキュリティプログラムが存在しているが、しかしながら、その対策は未だ行なわれていない(「未対策」)場合には、そのセキュリティポリシーを変更する(ステップ705)。その後、その変更をしたセキュリティポリシーを、対象クライアントに対して配布し、その対策を実施させる(ステップ706)。なお、上記の処理は、取得したレコードに、残りのフィールドがなくなるまで続けられ、残りのフィールドの(「なし」)の状態で終了する。
以上にその構成及び動作の詳細を説明した本発明になる統合セキュリティ管理システム104を中心とするシステム全体における信号の流れを、更に、添付の図8により説明する。
すなわち、上記の統合セキュリティ管理システム104を中心とするシステムでは、上記に説明したように、各クライアント105において発生し、時系列的に保持されたセキュリティ事象を基に、統合セキュリティ管理システム104では、各種のセキュリティ事象をフィールドに分類して格納する知識データベース203を利用して、それらの対応関係を分析し、更には、各種の対策を格納した対策データベース204を利用して、それに対応したセキュリティカテゴリーの対策を取得することが出来る(図の矢印801)。
その結果、セキュリティ対策が必要な場合には、まず、統合セキュリティ管理システム104を構成するネットワーク206が接続されて上記インターネット103に接続されるファイアウォール207に対し、そのセキュリティポリシーを作成し配布する(図の矢印802)。その後、対策対象のクライアントのセキュリティポリシーを作成し配布を行う(図の矢印803)。更に、上記統合セキュリティ管理システム104が管理している各クライアント105に対して、同様の検査を行い、その結果、対策が必要な場合には、そのセキュリティポリシーを変更して配布する(図の矢印804)。すなわち、このように、セキュリティ事象が発生し、それに対応したセキュリティ対策が必要と判断された場合に、先ず、ファイアウォール207にセキュリティポリシーを配布することによれば、該当するクライアント105においてセキュリティ対策を行っている期間、ファイアウォール207の働きを利用して、それと同様のセキュリティ事象の発生から各クライアント105を含むシステムを防御することが可能となる。
図9は、上記ファイアウォール207に対して、そのセキュリティポリシーを作成し配布する(図の矢印802)場合の具体例を示す。すなわち、この図9に示す例では、ファイアウォール207を構成するルータに対して、図示のようなファイアウォール管理テーブルを作成して配布する。すなわち、このセキュリティポリシーによれば、上記インターネット103に接続される各ポートに対し、その開放(accept)と遮断(drop)を規定しているが、例えば、セキュリティ対策が必要と判断されたクライアント105を含むシステムに対して接続されているポートXXXの状態を、開放(accept)状態から遮断(drop)状態へと変更する。このことによれば、上記インターネット103を介して、その外部から上記統合セキュリティ管理システム104を構成するクライアント105へ侵入するアクセスが遮断されることとなる。すなわち、インターネット103と統合セキュリティ管理システム104との間に接続されているファイアウォール207によって、システムの他のクライアント105をも、同様のセキュリティ事象の攻撃を防御することが出来る。
一方、上述したように、一旦、上記ファイアウォール207のポートを遮断(drop)した後、そのポートを開放(accept)するが、その時の動作を添付の図10により説明する。すなわち、上記の統合セキュリティ管理システム104には、上述したように、常に、上記ファイアウォール207からもセキュリティ事象が転送されており、セキュリティ事象データベース303に収集されている。
そこで、ある一定の間隔で、このセキュリティ事象データベース303と知識データベース203のレコードとの比較を行う。一方、予め、セキュリティ事象の検出回数の閾値、検出閾値901を設定しておき、そして、上記一定の間隔でのセキュリティ事象の検出回数が、その閾値を超えることがなくなったとき、上記ファイアウォール207のセキュリティポリシー902を変更して、ファイアウォール207に配布する。具体的には、上記図9に示したファイアウォール管理テーブルにおいて、ポートXXXの状態を、開放(accept)状態から遮断(drop)状態へと変更する。これにより、対策を行っている期間、更には、その対策後の一定期間、システムを同様のセキュリティ事象から防ぐことが可能となり、より安全なシステムを構築することが可能となる。
以上にも述べたように、本発明になるセキュリティ対策システム及び統合セキュリティシステムによれば、セキュリティ事象の時系列から特定のセキュリティ事象になる事象を、統合的に管理されたセキュリティ事象を基に、その対応関係の分析を行って判断する。さらに、セキュリティ事象の対応分析を行った特定のセキュリティ事象に対して、公表されているセキュリティ対策を行う。さらに、セキュリティ事象を発生している電子計算機だけでなく同ネットワークに接続している電子計算機に対してもセキュリティ対策が行われているか調査し、セキュリティ対策されていない場合には、セキュリティ対策を行う。さらに、セキュリティ対策を行っている間、ファイアウォールでポートを閉じ、同様のセキュリティ事象の攻撃を防御する。セキュリティ対策後の状態を判断し、ファイアウォールで閉じたポートを開放する。
101 セキュリティプログラム開発ベンダ
102 上位統合セキュリティ管理システム
103 インターネット
104 統合セキュリティ管理システム
105 クライアント
201 セキュリティ事象処理部
202 セキュリティポリシー処理部
203 知識データベース
204 対策データベース
205 セキュリティプログラム
206 ネットワーク
207 ファイアウォール
301 セキュリティ事象収集機能
302 セキュリティ事象格納機能
303 セキュリティ事象データベース
304 セキュリティポリシー収集機能
305 セキュリティポリシーフォーマット変換機能
306 セキュリティポリシー格納機能
307 セキュリティポリシー編集機能
308 セキュリティポリシー配布機能
309 セキュリティポリシーデータベース
102 上位統合セキュリティ管理システム
103 インターネット
104 統合セキュリティ管理システム
105 クライアント
201 セキュリティ事象処理部
202 セキュリティポリシー処理部
203 知識データベース
204 対策データベース
205 セキュリティプログラム
206 ネットワーク
207 ファイアウォール
301 セキュリティ事象収集機能
302 セキュリティ事象格納機能
303 セキュリティ事象データベース
304 セキュリティポリシー収集機能
305 セキュリティポリシーフォーマット変換機能
306 セキュリティポリシー格納機能
307 セキュリティポリシー編集機能
308 セキュリティポリシー配布機能
309 セキュリティポリシーデータベース
Claims (9)
- それぞれセキュリティプログラムがインストールされた複数のクライアントがネットワークを介して接続され、かつ、前記クライアントのセキュリティプログラムで発生したセキュリティ事象を収集すると共に、前記各クライアントに対してセキュリティ対策を実行する統合セキュリティ管理部とを備えたセキュリティ対策システムであって:
前記統合セキュリティ管理部は、収集した前記クライアントのセキュリティプログラムで発生したセキュリティ事象に対応するセキュリティ事象の対応関係の分析を行なって、当該セキュリティ事象を特定するセキュリティ事象処理部と;
前記特定されたセキュリティ事象に対するセキュリティ対策を作成して配布するセキュリティポリシー処理部とを備えており、もって、前記セキュリティ事象が発生したクライアントにセキュリティ対策を実行させることを特徴とするセキュリティ対策システム。 - 前記請求項1に記載したセキュリティ対策システムにおいて、前記統合セキュリティ管理部は、更に、インターネットを介して接続された上位セキュリティ管理システムで作成して配信されるセキュリティポリシーについての知識データ及び対策データを格納する知識データベース及び対策データベースとを備えており、当該知識及び対策データベースを用いて、前記収集したセキュリティ事象に対応するセキュリティ事象の対応関係の分析を行なって当該セキュリティ事象を特定し、かつ、前記セキュリティ対策を作成することを特徴とするセキュリティ対策システム。
- 前記請求項2に記載したセキュリティ対策システムにおいて、前記統合セキュリティ管理部は、更に、前記発生したセキュリティ事象を時系列に格納するセキュリティ事象データベースと、前記各クライアントのセキュリティポリシーを収集し、所定のフォーマットで格納するセキュリティポリシーデータベースとを備えており、前記セキュリティ事象データベースと前記セキュリティポリシーデータベースとを利用して、前記特定されたセキュリティ事象に対するセキュリティ対策を作成することを特徴とするセキュリティ対策システム。
- 前記請求項2に記載したセキュリティ対策システムにおいて、前記統合セキュリティ管理部は、前記セキュリティ事象データベースに格納されたセキュリティ事象と前記知識データベースに格納された知識データとの対応関係を分析して当該セキュリティ事象の特定を実行することを特徴とするセキュリティ対策システム。
- 前記請求項1に記載したセキュリティ対策システムにおいて、前記セキュリティ対策を当該システムに接続された他のクライアントにも実行することを特徴とするセキュリティ対策システム。
- ファイアウォールを介してインターネットに接続された統合セキュリティシステムであって、それぞれセキュリティプログラムがインストールされた複数のクライアントがネットワークを介して統合セキュリティ管理部に接続され、前記統合セキュリティ管理部は、前記クライアントのセキュリティプログラムで発生したセキュリティ事象を収集すると共に、前記各クライアントに対してセキュリティ対策を実行すると共に、前記統合セキュリティ管理部は、収集した前記クライアントのセキュリティプログラムで発生したセキュリティ事象に対してセキュリティ対策が必要と判断された場合には、前記ファイアウォールを介して当該システムを構成するクライアントへ侵入を遮断することを特徴とする統合セキュリティシステム。
- 前記請求項6に記載した統合セキュリティシステムにおいて、前記統合セキュリティ管理部は、当該セキュリティ対策が必要とされるセキュリティ事象の発生頻度に応じて、前記ファイアウォールによる遮断を解除することを特徴とする統合セキュリティシステム。
- 前記請求項7に記載した統合セキュリティシステムにおいて、前記統合セキュリティ管理部は、当該セキュリティ対策が必要とされるセキュリティ事象の発生頻度が所定の値以下になった時に、前記ファイアウォールによる遮断を解除することを特徴とする統合セキュリティシステム。
- 前記請求項7に記載した統合セキュリティシステムにおいて、前記統合セキュリティ管理部は、前記ファイアウォールによる侵入の遮断を実行した後に、前記クライアントのセキュリティプログラムで発生したセキュリティ事象を収集すると共に、前記各クライアントに対してセキュリティ対策を実行させることを特徴とする統合セキュリティシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004115015A JP2005301551A (ja) | 2004-04-09 | 2004-04-09 | セキュリティ対策システム及び統合セキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004115015A JP2005301551A (ja) | 2004-04-09 | 2004-04-09 | セキュリティ対策システム及び統合セキュリティシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005301551A true JP2005301551A (ja) | 2005-10-27 |
Family
ID=35333025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004115015A Pending JP2005301551A (ja) | 2004-04-09 | 2004-04-09 | セキュリティ対策システム及び統合セキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005301551A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006243791A (ja) * | 2005-02-28 | 2006-09-14 | Hitachi Software Eng Co Ltd | セキュリティポリシー配布システム及び配布方法 |
| US8484729B2 (en) | 2007-09-20 | 2013-07-09 | Nec Corporation | Security operation management system, security operation management method, and security operation management program |
| JP2017182272A (ja) * | 2016-03-29 | 2017-10-05 | 日本電気株式会社 | 情報処理装置、情報処理方法、およびプログラム |
| JP2018129710A (ja) * | 2017-02-09 | 2018-08-16 | 富士通株式会社 | 情報処理装置、情報処理方法、プログラムおよび情報処理システム |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2002328896A (ja) * | 2001-04-27 | 2002-11-15 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス対処ルール自動設定装置 |
| JP2002366525A (ja) * | 2001-06-12 | 2002-12-20 | Needs Creator Kk | セキュリティポリシー維持システム |
| WO2003067810A1 (en) * | 2002-02-08 | 2003-08-14 | Netscreen Technologies, Inc. | Multi-method gateway-based network security systems and methods |
| JP2004062416A (ja) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス防止方法、セキュリティポリシーダウンロード方法、pc、およびポリシーサーバ |
| JP2004102833A (ja) * | 2002-09-11 | 2004-04-02 | Hitachi Information Systems Ltd | コンピュータウィルス検出時対処支援方法及び同対処支援システム |
-
2004
- 2004-04-09 JP JP2004115015A patent/JP2005301551A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP2002251374A (ja) * | 2000-12-20 | 2002-09-06 | Fujitsu Ltd | 情報管理システム、情報管理方法、およびその方法をコンピュータに実行させるプログラム、並びにそのプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2002328896A (ja) * | 2001-04-27 | 2002-11-15 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス対処ルール自動設定装置 |
| JP2002366525A (ja) * | 2001-06-12 | 2002-12-20 | Needs Creator Kk | セキュリティポリシー維持システム |
| WO2003067810A1 (en) * | 2002-02-08 | 2003-08-14 | Netscreen Technologies, Inc. | Multi-method gateway-based network security systems and methods |
| JP2005517349A (ja) * | 2002-02-08 | 2005-06-09 | ネットスクリーン・テクノロジーズ・インコーポレイテッド | マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 |
| JP2004062416A (ja) * | 2002-07-26 | 2004-02-26 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス防止方法、セキュリティポリシーダウンロード方法、pc、およびポリシーサーバ |
| JP2004102833A (ja) * | 2002-09-11 | 2004-04-02 | Hitachi Information Systems Ltd | コンピュータウィルス検出時対処支援方法及び同対処支援システム |
Non-Patent Citations (1)
| Title |
|---|
| 河井 保博: "ファイアウォールとアンチウイルスの新しい関係", 日経インターネットテクノロジー 第61号 NIKKEI INTERNET TECHNOLOGY, JPN6009041327, 22 July 2002 (2002-07-22), JP, pages 11 - 12, ISSN: 0001394674 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006243791A (ja) * | 2005-02-28 | 2006-09-14 | Hitachi Software Eng Co Ltd | セキュリティポリシー配布システム及び配布方法 |
| US8484729B2 (en) | 2007-09-20 | 2013-07-09 | Nec Corporation | Security operation management system, security operation management method, and security operation management program |
| JP2017182272A (ja) * | 2016-03-29 | 2017-10-05 | 日本電気株式会社 | 情報処理装置、情報処理方法、およびプログラム |
| JP2018129710A (ja) * | 2017-02-09 | 2018-08-16 | 富士通株式会社 | 情報処理装置、情報処理方法、プログラムおよび情報処理システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3827569B1 (en) | Cyber defence system | |
| EP2566130B1 (en) | Automatic analysis of security related incidents in computer networks | |
| US8418247B2 (en) | Intrusion detection method and system | |
| EP1490768B1 (en) | Adaptive behavioural intrusion detection | |
| US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| Stirland et al. | Developing cyber forensics for SCADA industrial control systems | |
| US9961047B2 (en) | Network security management | |
| Beigh et al. | Intrusion Detection and Prevention System: Classification and Quick | |
| AlYousef et al. | Dynamically detecting security threats and updating a signature-based intrusion detection system’s database | |
| US7836503B2 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
| US20220006832A1 (en) | System and method for automatic forensic investigation | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| US20090276852A1 (en) | Statistical worm discovery within a security information management architecture | |
| Hajamydeen et al. | A refined filter for UHAD to improve anomaly detection | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| Bolzoni et al. | ATLANTIDES: an architecture for alert verification in network intrusion detection systems | |
| Jaber et al. | Methods for preventing distributed denial of service attacks in cloud computing | |
| Mustapha et al. | Limitation of honeypot/honeynet databases to enhance alert correlation | |
| JP2005301551A (ja) | セキュリティ対策システム及び統合セキュリティシステム | |
| CN113923021B (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| Herwono et al. | Automated Detection of the Early Stages of Cyber Kill Chain. | |
| Cantanhede et al. | Computer network forensics assistance methodology focused on denial of service attacks | |
| CN117201044A (zh) | 工业互联网安全防护系统及方法 | |
| Angelakis | Firewall & WAF–Analysis & implementation of a machine learning integrated solution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060811 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20060811 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090806 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090825 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091222 |