JP2006268167A - セキュリティシステム、セキュリティ方法及びそのプログラム - Google Patents

セキュリティシステム、セキュリティ方法及びそのプログラム Download PDF

Info

Publication number
JP2006268167A
JP2006268167A JP2005082329A JP2005082329A JP2006268167A JP 2006268167 A JP2006268167 A JP 2006268167A JP 2005082329 A JP2005082329 A JP 2005082329A JP 2005082329 A JP2005082329 A JP 2005082329A JP 2006268167 A JP2006268167 A JP 2006268167A
Authority
JP
Japan
Prior art keywords
virus
monitoring device
virus infection
traffic
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2005082329A
Other languages
English (en)
Inventor
Yoshitaka Abe
義孝 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Fielding Ltd
Original Assignee
NEC Fielding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Fielding Ltd filed Critical NEC Fielding Ltd
Priority to JP2005082329A priority Critical patent/JP2006268167A/ja
Publication of JP2006268167A publication Critical patent/JP2006268167A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】ウィルス対策ベンダーが提供する対策パッチ等が提供されていない未知のウイルスに対するごく初期段階での特定は困難である。これらのウィルスは、感染が短時間で大規模化する場合が多く、短時間での感染検知、初動対策が必要となってきている。
【解決手段】ウィルス監視装置は、対策を受ける複数企業のハードウェア資産情報、ネットワーク構成情報、それらに基づくネットワーク稼働状態などの監視情報など、これらを統合した機能を提供することで、ウィルス感染の疑いがあり対策が必要な、企業システムへの感染連絡とサービスマンの現地派遣などの事後対策が早期実施可能となる。感染していない企業システムに対しても、同一のサービスを提供されている他社の感染情報、感染の疑いのある段階での情報入手ができるため事前に対策実施することが可能となる。
【選択図】 図1

Description

本発明は、企業システム向けのセキュリティ提供サービスに関し、特に、複数の企業システムのセキュリティ監視を同時に行うことでウィルスの感染を早期に検出可能とするセキュリティシステム、セキュリティ方法およびそのプログラムに関する。
インターネットの普及により、企業内活動においては、電子メール、Webサービスなどネットワーク利用を前提としたものになりつつある。そのネットワーク基盤、しいては企業活動を脅かすリスクとして、ウィルスなどのセキュリティ問題がある。
現在、各企業でウィルスやワームに対処するため一般的に行われているセキュリティ対策としては、社員が利用するパソコンに対しては常駐型のアンチウィルス対策ソフトやメールサーバでのウィルスゲートウェイ、外部からの不正侵入を抑止するためのファイアーウォール、侵入検知するためのIDSなどが複合的に利用されている。
その中でも、企業のネットワーク利用が増大するのと同期し、ウィルスがインターネット上で発生し全体に蔓延するまでの時間が、これまでの事例では2〜3時間と短時間のため、ウィルス対策ソフトベンダーによるウィルス定義ファイル、駆除ツールの提供が、間に合わないケースも出てきている。
また、既知のコンピュータウィルス・ワームでは、事前対策の実施で防御することができるが、未知のウィルスを含めると、事前に対策を完全実施することは困難なことになる。特に、昨今のウィルスは、なりすましを含め正常な電子メールの形態を模している場合が多く、ウィルス対策ベンダーが提供する対策パッチ、パターンファイルが、提供されていない未知のウイルスに対するごく初期段階での特定が困難である。これらのウィルスは、感染が短時間で大規模化する機能を持っている場合が多く、短時間での感染検知、初動対策が必要となってきている。
この場合、感染スピードが非常に速いため、感染した後では、感染源の特定は困難なものとなり、企業内ネットワーク、サーバなどがウィルスにより急激な負荷に陥り、動作不能に陥るなど被害は甚大となる。復旧には、企業内のネットワークを緊急に停止し、感染源を駆除するなどの作業がなされるが、多大な労力と時間を要するものとなりがちである。従って、感染以前に、インターネット上でのウィルス・ワーム感染情報を把握し対策を実施するとともに、万が一感染した場合においては、迅速な復旧作業が行える仕組みが必要となっている。
特許文献1にはウィルス感染の拡散を防ぐ以下のような内容が記載されている。
複数のコンピュータがネットワーク接続され、コンピュータの中の少なくとも1台にインストールされたウイルス検査システムが、ウイルスを検出すると、検出されたウイルスに関するウィルス情報をサーバに送信し、サーバはウイルス情報を受信すると、あらかじめ登録されたコンピュータリストに基づいて少なくとも1台の他のコンピュータにウイルス情報を転送し、ウイルス情報を受信した各コンピュータは、受信したウイルス情報をユーザに通知するというものである。
特開2003−5989
上述した従来の特許文献1におけるウイルス対策システムでは、検出されたウィルス情報をコンピュータ間で早期に通報し合い早めのウィルス対策を講ずる内容をもつものであるが、ウィルス感染を確認するウイルス検査システムの使用を前提とするものであり、未知のコンピュータウイルスについては、対応ができないという問題がある。
本発明の目的は、セキュリティ対策会社の監視装置がネットワークに接続する複数の企業システムの通信量を一定時間間隔で監視し、各企業システムの従来の通信量と比較する。ある企業システムにおいて予め設定した閾値を越える通信量が発生した場合、ウィルス感染を疑うとともに、監視中の他の企業システムの通信量の状況と照らし合わせ複合してウィルスの発生を判断し未知のウィルスへの対応を可能とするものである。さらに、判断した結果としてウィルス発生、感染の程度に応じて特定の企業システムあるいは全企業システムに緊急性に応じた通知を行うことで前述した課題の解決を図るセキュリティシステム、セキュリティ方法およびそのプログラムを提供することにある。
本発明の第1のセキュリティシステムは、企業システムにセキュリティ監視サービスを提供するウィルス監視装置と、企業システムがシステムの出入り口に設けたファイアウォール装置と、前記ウィルス監視装置と前記ファイアウォール装置とを接続するインターネットを含むネットワークと、を備えたセキュリティシステムにおいて、 前記ウィルス監視装置は、ウィルス感染判定ポリシーの定義する前記ファイアウォール装置の通信量についての閾値と、前記ファイアウォール装置の一定時間における通信量とを比較し、前記ファイアウォール装置における通信量が前記閾値を越えると、前記ウィルス感染判定ポリシーが定義するアクションに従い、前記企業システムにウィルス感染アラーム通知や前記ファイアウォール装置のポートの遮断通知を含む動作を実行することを特徴とする。
本発明の第2のセキュリティシステムは、前記第1のセキュリティシステムに於いて、前記ウィルス監視装置は、前記ファイアウォール装置の各ポートについて、ウィルス感染したと判定する通信量閾値と、ウィルス感染したと判定した時の、前記ウィルス監視装置が前記企業システムに対するアクションと、を定義する前記ウィルス感染判定ポリシーを前記企業システム毎に記憶することを特徴とする。
本発明の第3のセキュリティシステムは、前記第1または第2のセキュリティシステムに於いて、前記ウィルス監視装置は、前記企業システムに対して前記ウィルス感染判定ポリシーが定義するアクションの実行回数を動作別に計数して記憶し、ウィルス感染同報通知ポリシの定義する動作別実行回数と照合し、照合で一致するウィルス感染同報通知ポリシーが定義する動作を実行することを特徴とする。
本発明の第4のセキュリティシステムは、前記第3のセキュリティシステムに於いて、前記ウィルス感染同報通知ポリシーの定義するアクションには、全前記企業システムへのウィルス感染アラーム通知を含むことを特徴とする。
本発明の第5のセキュリティシステムは、前記第1のセキュリティシステムに於いて、前記ウィルス監視装置は、前記閾値を、ファイアウォール装置の各通信ポートにおける電子メール機能を含む利用機能種別毎に記憶することを特徴とする。
本発明の第6のセキュリティシステムは、前記第1のセキュリティシステムに於いて、前記ウィルス監視装置は、前記閾値を、前記ファイアウォール装置の過去の通信量を元に算出し、前記過去の通信量を現時点で受信した前記ファイアウォール装置からの通信量で更新して記憶することを特徴とする。
本発明の第7のセキュリティシステムは、前記第1のセキュリティシステムに於いて、前記ウィルス監視装置は、前記閾値をウィルス感染の危険度に応じて1以上設定することを特徴とする。
本発明の第1のセキュリティ方法は、ウィルス監視装置が、企業システムに設置したファイアウォール装置の過去の通信量をポート毎に記憶する第1のステップと、 前記ウィルス監視装置が前記通信量を元に前記企業システムがウィルス感染したと判定する通信量の閾値を記憶する第2のステップと、 前記ウィルス監視装置が前記ファイアウォール装置の通信量が前記閾値を越える事象の検出時に当該事象に対処する動作をウィルス感染判定ポリシーとして前記企業システム毎に記憶する第3のステップと、 前記ウィルス監視装置が、前記ファイアウォール装置からポート当たりの現時点の通信量を一定時間間隔で受信する第4のステップと、 前記ウィルス監視装置が、受信した現在時点の通信量と前記ウィルス感染判定ポリシーの定義する閾値とを比較し、現時点の通信量が前記閾値を越えると前記ウィルス感染判定ポリシーが定義するアクションに従い前記企業システムにウィルス感染対処情報を通知する第5のステップと、 前記ウィルス監視装置が、前記アクションを動作別に計数して記憶する第6のステップと、 前記ウィルス監視装置が、動作別の計数値とウィルス感染同報通知ポリシーとを照合して照合に一致するウィルス感染同報通知ポリシーが定義する動作を実行する第7のステップと、 を備えることを特徴とする。
本発明の第2のセキュリティ方法は、前記第1のセキュリティ方法に於いて、前記第7のステップにおいて、前記ウィルス感染同報通知ポリシーの定義するアクションには、全前記企業システムへのウィルス感染アラーム通知を含むことを特徴とする。
本発明のプログラムは、コンピュータに、ウィルス監視装置が、企業システムに設置したファイアウォール装置の過去の通信量をポート毎に記憶する第1のステップと、 前記ウィルス監視装置が前記通信量を元に前記企業システムがウィルス感染したと判定する通信量の閾値を記憶する第2のステップと、 前記ウィルス監視装置が前記ファイアウォール装置の通信量が前記閾値を越える事象の検出時に当該事象に対処する動作をウィルス感染判定ポリシーとして前記企業システム毎に記憶する第3のステップと、 前記ウィルス監視装置が、前記ファイアウォール装置からポート当たりの現時点の通信量を一定時間間隔で受信する第4のステップと、 前記ウィルス監視装置が、受信した現在時点の通信量と前記ウィルス感染判定ポリシーの定義する閾値とを比較し、現時点の通信量が前記閾値を越えると前記ウィルス感染判定ポリシーが定義するアクションに従い前記企業システムにウィルス感染対処情報を通知する第5のステップと、 前記ウィルス監視装置が、前記アクションを動作別に計数して記憶する第6のステップと、 前記ウィルス監視装置が、動作別の計数値とウィルス感染同報通知ポリシーとを照合して照合に一致するウィルス感染同報通知ポリシーが定義する動作を実行する第7のステップと、 を実行させることを特徴とする。
ポリシーに予め、アクションを定義しておくことで、セキュリティ対策会社は、1つの企業システムでのウィルス感染情報が、他企業へも通知転用できるため、迅速な対策を採ることができ、結果的に、最短での復旧に寄与することとなる。また、各企業システムは、未知のウィルスであっても、他の企業・団体の感染状況を認知し、自社の対策へ活用することができる。
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
図1を参照すると、本発明の第1の実施例の構成は、
企業システムに対してセキュリティ監視サービスを提供するセキュリティ対策会社が備えるウィルス監視装置10と、企業システムがそのシステムの外部ネットワークの出入り口に備えるファイアウォール装置20と、ウィルス対策情報をセキュリティ対策会社に提供するウィルス対策ベンダー等が備えるウィルス対策情報提供装置30と、前述した各装置を接続するインターネットを含むネットワーク40と、から構成されている。
前述した各装置は、制御部、記憶部、通信部、操作部、表示部を備えたワークステーションやサーバ等のコンピュータである。本実施例の動作は、各装置の記憶部に記憶されたプログラムによって実行される。図1には記載されていないが、ファイアウォール装置20,ウィルス対策情報提供装置30,等は企業システム、ウィルス対策ベンダー毎にそれぞれ設置される。
インターネット等へのネットワーク40へ接続する各企業システムへの入り口には、ファイアウォール機能を持ったファイアウォール装置20が設置されている。企業システムの外部から送信された情報がファイアウォール装置20を経由して企業システム内に設置された図示しない各種サーバやパーソナルコンピュータ(以降、パソコンと称す。)で受信される。逆に、企業システム内の各種サーバやパソコンから企業システム外に送信する情報は、ファイアウォール装置20を経由して送信が行われる。このとき、ファイアウォール装置20は、自装置の記憶部に予め記憶したポリシー定義に従って企業システム外からの受信データの受信の可否、企業システム外への送信データの送信の可否を判断する。
ファイアウォール装置20は、ゲートウェイ装置やルータ装置であり、複数のポートを備えている。ファイアウォール装置20は、各ポートに対して電子メール等のソフトウェア機能が一定時間における通信量を計測して、これをポート番号とソフトウェア種別と計測した日時とともに記憶する機能を有する。
ウィルス対策情報提供装置30では、自装置に開設したホームページ等によって自社の提供するソフトウェアに関するウィルス対策パッチや、ウィルス対策用のパターンファイルを公開している。
ウィルス監視装置10は、5分間隔等の高い頻度で適時ウィルス対策情報提供装置30のこのホームページをアクセスして登録されたパッチやパターンファイルを自装置に取りこむ。ウィルス対策情報提供装置30に新規情報の登録を検出すると、緊急を要する内容の場合、各企業システムのファイアウォール装置20の先に接続された企業システムの管理者端末にこの新規情報の登録されたことを通知する。
ウィルス監視装置10は、以下のデータベース(DB)を接続している。
セキュリティ情報DB12は、ウィルス対策ベンダーのウィルス対策情報提供装置30から取得したオペレーティングシステム等の脆弱性情報、ウィルス情報およびパソコン等にインストールされたウィルス対策ソフトに利用されるパターンファイルを記憶している。
稼働監視DB13は、図5の(a)に例示するように、各企業システムのファイアウォール装置20のポート番号131と電子メール等のソフトウェア種別132の組みについて過去の時間帯別の通信量を時間帯別通信実績133として記憶するとともに、企業システムへのウィルス感染が疑われる通信量閾値比率1341と通信量閾値比率1341を越えた通信量を検出した時に実行するアクション1342をウィルス感染判定ポリシー134として記憶する。通信量閾値比率1・・・通信量閾値比率nはウィルス感染の危険度レベルに応じて1以上の設定が行われる。
尚、稼働監視DB13には、ソフトウェア種別132は設けず、ポート番号131全体での通信量を記憶するようにしてもよい。また、図5の(a)は、ファイアウォール装置20が受信した通信量について記憶する場合を例示するが、ファイアウォール装置20が受信した通信量、送信した通信量それぞれについて、区別して同様に記憶してもよい。
このウィルス感染判定ポリシー134は、企業システムの管理者とセキュリティ対策会社の関係者が協議して決定するもので、ファイアウォール装置20のポート番号131とソフトウェア種別132の組み毎に通常の通信量よりどの程度の比率で通信量が増加すると(通信量閾値比率1341)、どのような対応を行うか(アクション1342)を定義するものである。例えば、通信量閾値比率1341が通常の通信量の1.5倍になると、アクション1342として警告メッセージを企業システムに通知する、通常の通信量の2倍を超えると、アクション1342として当該するポートの遮断通知を行う、等である。
また、個々のポート毎に定義するのが面倒な場合は、全ポートで一律の定義をしたり、複数のポートに対して共通した定義を行うことも可能である。
さらに、個々のポート番号131とソフトウェア種別132の組みに関するウィルス感染判定ポリシーのみでなく、複数のポート番号131とソフトウェア種別の通信量を合計した通信量と、過去の該当するポート番号131とソフトウェア種別132の組みの合計値との比率で定義することも可能である。
ウィルス監視装置10は、予め1以上のアクション1342を定義している。アクション1342としては、警告メッセージの電子メールによる送信、危険状態メッセージの電子メールによる送信、指定したポートの遮断、全ポートの遮断、等がある。
ウィルス監視装置10は、ある企業システムに対してあるアクション1342を行った場合、当該ユーザ企業に対してどのようなアクション1342を指示したかを記憶するとともに、そのアクション1342を指示した全企業システム数を表す記憶部内の計数領域に対して1を加算する。この計数領域は、予めアクション1342毎にウィルス監視装置10の記憶部に1以上設けられている。ウィルス監視装置10が、以前指示した企業システムへのあるアクション1342を別のアクション1342に変更する場合は、該当するアクション1342のそれぞれの計数領域に対して減算、加算を実行する。
ウィルス監視装置10は、計数領域の数値状態がどのような状態の場合には、どのようなアクション1342を全企業システムに対して実行するかをウィルス感染同報通知ポリシー135として予め定義し、これも稼働監視DB13に記憶している。
ウィルス感染同報通知ポリシー135の形式を図5の(b)に例示するが、単独の計数領域の値、又は複数の計数領域の値の組みを定義する実行アクション1351について企業システム全体へ通知する通知アクション1352を定義している。実行アクション1351には、例えば計数領域1>2で且つ、計数領域2>=1の時、通知アクション1352の定義に従い、全企業システムに危険状態メッセージを通知する等である。
ウィルス監視装置10は、企業システムに設置されたファイアーウォール20から逐次受信する通常運用時の通信ログ(各通信サービス毎のトラフィック量)によって、記憶した過去の通信量である時間帯別通信実績133の更新を行っていく。
時間帯別通信実績133は、通常運用時の通信ログを元にその実1日の各時間帯におけるそれぞれの企業の平均通信量とピーク通信量を記憶する。
機器資産DB14は、各企業システムについて、セキュリティ対策を行う対象となる各パソコン、各サーバ、各ネットワーク機器などについて、その製品種別、機器についた名前、機器のMACアドレス、設置場所、インストールされたソフトウェア情報等を記憶する。
企業データ復旧DB15には、各企業が利用しているパソコン、サーバなどの復旧用のためのOS(オペレーティングシステム)、アプリケーションなどの企業システムのリファレンス構成のデータが、インターネット経由もしくはDVD−ROMなどの補助記憶媒体を利用し、バックアップされている。ウィルス監視装置10は、ウィルス感染時には、インターネットなどのネットワークが利用できなくなる場合があるため、バックアップデータを、DVD−ROMなどの持ち運びができる媒体に、アラーム情報に従い、自動で生成する機能を持っている。
次に、本発明を実施するための最良の形態の動作について図面を参照して説明する。
本実施例におけるセキュリティ対策について最初に図2のフローチャートと、図4を使用して説明する。
本実施例におけるセキュリティ対策では、各企業システム毎に導入準備としての事前対策(1)と、企業システムの通常稼働時に各ユーザ企業の運用監視(2)を行うことと、未知のウィルス・ワーム等が企業システムで発生した場合に対策・復旧を行う事後対策(3)の3つの動作フェーズがあるものとする。
事前対策(1)では、企業システム毎に企業システムが備えるサーバやパソコンの設置状況、利用形態、企業活動上のリスク回避などの観点から、企業システムをウィルス等の感染から守るルールであるセキュリティポリシーの策定を行う(ステップS1)。
次に、企業システムに設置されたパソコン、サーバーへインストールするウィルス検出用のウィルス対策ツールとして、ウィルス対策ソフトウェアの選定・導入を行い、これを企業システム内の各種サーバやパソコンにインストールする(ステップS2)。
次に、企業システムにファイアウォール装置20を導入・設置し、先に策定したセキュリティポリシーをファイアウォール装置20の記憶部に登録する(ステップS3)。ファイアウォール装置20では、登録されたこのセキュリティポリシーに従って、送受信情報の通過、廃棄を判断する。
また、企業システムの管理端末等は、過去の電子メール等の送受信実績情報をファイアウォール装置20の通信ポート単位で、月、曜日、時間帯別に集計し、ウィルス監視装置10に通知する(ステップS4)。
例えば、ポート1における3月の第1週の水曜日の午前10時から11時の電子メールの受信本数や送信本数等の情報である。
また、電子メールの送受信情報以外の実績情報として企業内外のWebサービスの閲覧利用回数や、企業内外間のファイル転送量等がある。
ウィルス監視装置10では、この電子メールの送受信実績情報等を企業システム別に稼働監視DB13に時間帯別通信量実績133として記憶する(ステップS5)。
さらに、企業システムに対して定義したウィルス感染判定ポリシー134を例えばファイアウォール装置20のポート番号別に稼働監視DB13に登録する(ステップS6)。
通常稼働時における運用監視(2)では、まず、サービスの提供を受ける各企業システムにおいて、ネットワークの稼働状態をファイアウォール装置20によって監視し、企業システム毎の電子メールの送受信状況、企業外、企業内のWebサービスの閲覧状況など、ポート別にネットワーク40の稼働状況に関する情報をウィルス監視装置10に例えば10分間隔毎等、定期的に送信し報告する(ステップS7)。
ウィルス監視装置10は、ファイアーウォール20からの10分間隔等の定期的なポート毎の通信量の報告を受けて予め設定したウィルス感染判定ポリシー134との照合を行う形での監視を行う。その中では、電子メール、Web閲覧、FTP等によるファイル転送量などの各サービスと通信ポート毎の流量を監視する。これらの情報は、通常時の稼働状況とし、日時毎にウィルス監視装置を通じ企業システムに開示する。
ウィルス監視装置10は、各企業システム向けにパソコンでのWebブラウザもしくは、携帯電話のWebサービスを通じ、企業システム毎にカスタマイズされた情報の閲覧を可能としている。閲覧するための情報は、予め各DBに収集・格納されており、ウィルス監視装置10の処理部にて表示のための編集処理が行われる。
また、これら、企業システムの情報は、対策サービスを提供されているどの企業システムでも閲覧することができる。
図3に、ウィルス監視装置10による企業システム向けの情報提供画面例を示す。これは、3つの構成要素を持ち、企業システム毎にカスタマイズされた情報として加工され提供される。この画面において、セキュリティ対策会社からの連絡、注意喚起などが201として、ウィルス対策ベンダーや他の企業システムからの情報が緊急性情報202として、企業システム固有の稼動監視の情報などを203として表示している。
ウィルス監視装置10がこれを受信すると企業システム毎に区分された稼働監視DB13に記録しておく(ステップS8)。
ウィルス監視装置10は、例えば10分間隔毎に受信した通信量情報を30分毎に集計する。
ウィルス監視装置10は、この通常運用時の集計値(各ポートのソフトウェア種別毎のトラフィック量)によって、記憶した過去の該当する時間帯別通信量実績133の更新を行っていく(ステップS9)。
以上の情報によってウィルス監視装置10は、各企業システム毎の稼働状況の監視が可能となる。
ウィルス監視装置10は、稼働監視DB13から、該当ポート番号131を持ち該当するソフトウェア種別132の該当時間帯における時間別通信量実績133と、ウィルス感染判定ポリシー134とを読み出す。続いて、ウィルス監視装置10は、時間別通信量実績133に最初に定義された通信量閾値比率1341を掛け、結果をファイアウォール装置20から受信した当該ポートの使用されたソフトウェア種別毎の通信量集計値と比較する(ステップS10)。前者の結果が後者の集計値より大きい場合は当該ポート番号131の当該ソフトウェア種別132についてはウィルス感染の状態に該当しないと判定し、他のソフトウェア種別132や、他のポート番号131に対する判定を引き続き行う。
後者の集計値が前者の結果に等しいか大きい場合、当該企業システムの当該ポートはウィルス感染の可能性があると判定し、他に定義された通信量閾値比率1341がある場合、同様の操作を行い、実行が必要なアクション1342を選択して記憶する。ウィルス監視装置10はこのようにして、全てのポートについてウィルス感染の判定を実行する。全ての判定が終了すると、記憶したアクション1342から重要度の高いアクション1342を選択して実行する(ステップS11)。
具体的に説明すると、例えば、ある企業システムにおいて、あるポートにおける月曜日の10時00分〜10時30分までの電子メールの受信した流量が、直近の3ヶ月間平均で、100件であったが、今日は150件であればイエローアラーム(警告レベル)通知を該当する企業システムに通知する、200件を越えればレッドアラーム(危険レベル)を通知するなどと、通信量閾値比率1341とアクション1342とからなるウィルス感染ポリシー134の規定に従った処理を行う。
この場合、通信量閾値比率1341として1.5と2.0のポリシーがそれぞれ定義されている訳である。
1社のみでのウィルス感染についてのアラーム状態の検出だけでは、ウィルスの侵害によるものとは、断定できないが、他の企業システムの状況、ウィルス対策情報提供装置30からの情報と掛け合わせることで、ウィルス感染の疑いを事前に検出することが可能となり、各企業システムに警告情報として通知される。
ウィルス監視装置10は、実行したアクション1342に該当する計数領域の数値を1加算する(ステップS12)。
ウィルス監視装置10は、稼働監視DB13からウィルス感染同報通知ポリシー135を読み出し、実行アクション1351の定義内容と計数領域の数値と照合する(ステップS13)。
照合の結果該当するウィルス感染同報通知ポリシー135が無ければ、ウィルス監視を継続する(ステップS15)。該当するウィルス感染同報通知ポリシー135が存在すれば、そのポリシーの通知アクション1352を実行する(ステップS14)。実行後はウィルス監視を継続する。
例えば、このウィルス感染同報通知ポリシー135の例として、ウィルス感染判定ポリシー134によるアクション1342の結果として該当する企業システムに対してポート遮断を実行した回数の計数領域の値が2以上として実行アクション1351が指定され、、通知アクション1352として全企業システムに危険度高の警告情報を送信する等が定義されているわけである。
これにより、ウィルス監視装置10は、1社のみでのウィルス感染についてのアラーム状態の検出だけでは、ウィルスの侵害によるものとは、断定できないが、他の企業システムのからの情報と掛け合わせることで、ウィルス感染の疑いを事前に検出することが可能となり、各企業システムに警告情報として通知される。
1企業システムまたは複数の企業システムにおいてウィルス感染の疑いが検知された場合、ウィルス感染の度合いに応じてその後の対策方法に段階を設けている。
このように、セキュリティ対策会社は、この段階に応じた対応方針をポリシーとしてウィルス監視装置10のデータベースに予め登録している。ウィルス監視装置10は、検出した段階に応じたポリシーを元に各企業システムのファイアウォール装置20に通知等を行う。全企業で100社サービス提供しているうちで、1社のみがイエローアラームであれば、イエローアラームの発生した該当企業システムへイエローアラームとその理由を通知するとともに、セキュリティ対策会社は、今後の動向に留意した体制を敷くこととなる。仮に1社でもレッドアラームとなり、他社への影響を与えると判断する内容がポリシーに記載されている場合、一時的に、該当企業のファイアウォール20にレッドアラームを検出したポートの遮断を通知する。また、ウィルス監視装置10が例えば同じ時間帯に2社以上の企業システムでイエローアラームを検出すると、全企業システムに警告メッセージをメール送信し、同じ時間帯に2社以上の企業システムでレッドアラームを検出すると危険レベルの通知を全企業システムにメール送信する等のアクションがある。
ポートの遮断の通知を受けたファイアウォール20は、指定されたポートを遮断する等を実行する。
この場合、ウィルス対策パッチ等が、リリースされている場合は、その適用を実施することで復旧が可能となる。
企業システムにおいて、ポートの遮断等を実施したが、ウィルス・ワーム等の感染の発生を検出したり、感染が懸念される状況になり、ウィルス対策を実施する(3)の事後対策の必要時には以下の機能を提供する。
まず、セキュリティ・ワーム情報で、一般的に一番早い情報は、ウィルス対策ベンダーのウィルス対策情報提供装置30が提供する情報となる。すべてのウィルス対策ベンダーのウィルス情報は、各企業システムにウィルス監視装置10を通じ通知される。
この時点で、対策ツール・パッチが提供されている場合は、各企業システムは、これらのツールやパッチをダウンロードし、ウィルス情報を自社内のパソコン、サーバに適用することで対策が実施できたことになる。
次に、OSの脆弱性などセキュリティが脅かされる可能性があるという情報が報告されている段階で、未知のウィルスが発生して流布し、各企業システムが適用すべきウィルス対策情報提供装置30の具体的なツールの提供が間に合わない状況が発生したとする。
この段階では、該当ウィルスの振る舞い、ファイル名などの情報が、ウィルス監視装置10にも存在しないためウィルスの特定が困難である。そこでウィルス監視装置10は、各社のネットワーク稼働状況を参照し、ウィルス感染の監視中において、1社でも兆候が見られる場合は、該当する企業システムの管理者向けに電子メール等で通知するとともに他の企業へ対しても情報提供と通知を実施する。
それと同期し、ウィルス監視装置10では、事象の重要度に応じ、継続監視なのか、緊急的にネットワークを遮断するのか、また、該当企業の正常時への復旧媒体の準備、該当企業の各部署への派遣作業を行う、レスキュー隊の編成などを実施する。
最後に、事象の重要度に応じ設定された作業を該当する企業システムに実施する。
これらにより、各企業は社名を伏せられた、他企業のウィルス状況の認知・警告・処置を実施することができ未知のウィルスに対しても、迅速な準備と対策の適用ができ、早期な業務復旧が実現できる。
セキュリティ対策会社では、これらの情報およびウィルス監視装置を運営しているが、セキュリティ情報、稼働監視などを行う監視要員が、企業システム毎のポリシーに基づき作業を実施することになる。未知のウィルスに対応するためのアラームの監視、対応策の決定、レスキュー隊の編成を行うものとする。
しかし、ウィルス対策パッチ等がリリースされていない場合で、かつ、稼働監視状況から見て被害が甚大と判断されるとき、該当企業システムへ派遣されるレスキュー隊を編成する。
このレスキュー隊は、該当企業システムのバックアップから正常の稼働状態へ復旧するためのOSなどのバックアップ媒体を持参し復旧にあたるものとする。
レスキュー隊は、感染の疑いがある場合、稼働監視DB13、機器資産DB14の内容から特定された疑いのある機器を保有する企業システムの事業所に対し、企業データ復旧DB15から該当する企業の復旧データをCDROM等に取り出して持参し派遣され、ネットワークが接続不可の状態での復旧作業にあたる。
また、これら、企業システムの情報は、対策サービスを提供されているどの企業システムでも閲覧することができる。
また、これら、企業システムの情報は、対策サービスを提供されているどの企業システムでも閲覧することができる。何らアラーム状態に無いとき、ウィルス対策ベンダーは、通常稼働であることが保証でき、企業システムの安心材料となるという効果がある。
一方、セキュリティ対策会社においても、各企業システムの現地で対応するために派遣する人員リソースは有限であるため、初期段階での、感染を把握し、早期の対策準備が可能となることで、リソースの振り分け・手配が可能となり、結局、リソースの節減につながるという効果がある。各企業システムにおいても、未知のウィルスが蔓延する前に、セキュリティ対策会社10により事後対策(3)の準備ができており、企業システムにおける感染リスクを最小化できるという効果がある。
複数の企業システムのウィルス感染状態を監視し、複数システムでの発生状況を総合してウィルス感染についての判断を行う監視システムとしての利用が可能である。
本発明の実施例の構成を説明するブロック図である。 本発明の実施例の動作を説明するフローチャートである。 本発明の実施例の企業システムへのウィルス情報提供画面例である。 本発明の実施例のセキュリティ対策の指針例である。 本発明の実施例の稼働監視DBの記憶する情報の説明図である。
符号の説明
10 ウィルス監視装置
12 セキュリティ情報DB
13 稼働監視DB
131 ポート番号
132 ソフトウェア種別
133 時間帯別通信量実績
134 ウィルス感染判定ポリシー
1341 通信量閾値比率
1342 アクション
135 ウィルス感染同報通知ポリシー
1351 実行アクション
1352 通知アクション
14 機器資産DB
15 企業データ復旧DB
20 ファイアウォール装置
30 ウィルス対策情報提供装置
40 ネットワーク

Claims (10)

  1. 企業システムにセキュリティ監視サービスを提供するウィルス監視装置と、企業システムがシステムの出入り口に設けたファイアウォール装置と、前記ウィルス監視装置と前記ファイアウォール装置とを接続するインターネットを含むネットワークと、を備えたセキュリティシステムにおいて、
    前記ウィルス監視装置は、ウィルス感染判定ポリシーの定義する前記ファイアウォール装置の通信量についての閾値と、前記ファイアウォール装置の一定時間における通信量とを比較し、前記ファイアウォール装置における通信量が前記閾値を越えると、前記ウィルス感染判定ポリシーが定義するアクションに従い、前記企業システムにウィルス感染アラーム通知や前記ファイアウォール装置のポートの遮断通知を含む動作を実行することを特徴とするセキュリティシステム。
  2. 前記ウィルス監視装置は、前記ファイアウォール装置の各ポートについて、ウィルス感染したと判定する通信量閾値と、ウィルス感染したと判定した時の、前記ウィルス監視装置が前記企業システムに対するアクションと、を定義する前記ウィルス感染判定ポリシーを前記企業システム毎に記憶することを特徴とする請求項1記載のセキュリティシステム。
  3. 前記ウィルス監視装置は、前記企業システムに対して前記ウィルス感染判定ポリシーが定義するアクションの実行回数を動作別に計数して記憶し、ウィルス感染同報通知ポリシの定義する動作別実行回数と照合し、照合で一致するウィルス感染同報通知ポリシーが定義する動作を実行することを特徴とする請求項1または2記載のセキュリティシステム。
  4. 前記ウィルス感染同報通知ポリシーの定義するアクションには、全前記企業システムへのウィルス感染アラーム通知を含むことを特徴とする請求項3記載のセキュリティシステム。
  5. 前記ウィルス監視装置は、前記閾値を、ファイアウォール装置の各通信ポートにおける電子メール機能を含む利用機能種別毎に記憶することを特徴とする請求項1記載のセキュリティシステム。
  6. 前記ウィルス監視装置は、前記閾値を、前記ファイアウォール装置の
    過去の通信量を元に算出し、前記過去の通信量を現時点で受信した前記ファイアウォール装置からの通信量で更新して記憶することを特徴とする請求項1記載のセキュリティシステム。
  7. 前記ウィルス監視装置は、前記閾値をウィルス感染の危険度に応じて1以上設定することを特徴とする請求項1記載のセキュリティシステム。
  8. ウィルス監視装置が、企業システムに設置したファイアウォール装置の過去の通信量をポート毎に記憶する第1のステップと、
    前記ウィルス監視装置が前記通信量を元に前記企業システムがウィルス感染したと判定する通信量の閾値を記憶する第2のステップと、
    前記ウィルス監視装置が前記ファイアウォール装置の通信量が前記閾値を越える事象の検出時に当該事象に対処する動作をウィルス感染判定ポリシーとして前記企業システム毎に記憶する第3のステップと、
    前記ウィルス監視装置が、前記ファイアウォール装置からポート当たりの現時点の通信量を一定時間間隔で受信する第4のステップと、
    前記ウィルス監視装置が、受信した現在時点の通信量と前記ウィルス感染判定ポリシーの定義する閾値とを比較し、現時点の通信量が前記閾値を越えると前記ウィルス感染判定ポリシーが定義するアクションに従い前記企業システムにウィルス感染対処情報を通知する第5のステップと、
    前記ウィルス監視装置が、前記アクションを動作別に計数して記憶する第6のステップと、
    前記ウィルス監視装置が、動作別の計数値とウィルス感染同報通知ポリシーとを照合して照合に一致するウィルス感染同報通知ポリシーが定義する動作を実行する第7のステップと、
    を備えることを特徴とするセキュリティ方法。
  9. 前記第7のステップにおいて、前記ウィルス感染同報通知ポリシーの定義するアクションには、全前記企業システムへのウィルス感染アラーム通知を含むことを特徴とする請求項8記載のセキュリティ方法。
  10. コンピュータに、
    ウィルス監視装置が、企業システムに設置したファイアウォール装置の過去の通信量をポート毎に記憶する第1のステップと、
    前記ウィルス監視装置が前記通信量を元に前記企業システムがウィルス感染したと判定する通信量の閾値を記憶する第2のステップと、
    前記ウィルス監視装置が前記ファイアウォール装置の通信量が前記閾値を越える事象の検出時に当該事象に対処する動作をウィルス感染判定ポリシーとして前記企業システム毎に記憶する第3のステップと、
    前記ウィルス監視装置が、前記ファイアウォール装置からポート当たりの現時点の通信量を一定時間間隔で受信する第4のステップと、
    前記ウィルス監視装置が、受信した現在時点の通信量と前記ウィルス感染判定ポリシーの定義する閾値とを比較し、現時点の通信量が前記閾値を越えると前記ウィルス感染判定ポリシーが定義するアクションに従い前記企業システムにウィルス感染対処情報を通知する第5のステップと、
    前記ウィルス監視装置が、前記アクションを動作別に計数して記憶する第6のステップと、
    前記ウィルス監視装置が、動作別の計数値とウィルス感染同報通知ポリシーとを照合して照合に一致するウィルス感染同報通知ポリシーが定義する動作を実行する第7のステップと、
    を実行させることを特徴とするプログラム。
JP2005082329A 2005-03-22 2005-03-22 セキュリティシステム、セキュリティ方法及びそのプログラム Withdrawn JP2006268167A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005082329A JP2006268167A (ja) 2005-03-22 2005-03-22 セキュリティシステム、セキュリティ方法及びそのプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005082329A JP2006268167A (ja) 2005-03-22 2005-03-22 セキュリティシステム、セキュリティ方法及びそのプログラム

Publications (1)

Publication Number Publication Date
JP2006268167A true JP2006268167A (ja) 2006-10-05

Family

ID=37204109

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005082329A Withdrawn JP2006268167A (ja) 2005-03-22 2005-03-22 セキュリティシステム、セキュリティ方法及びそのプログラム

Country Status (1)

Country Link
JP (1) JP2006268167A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010086311A (ja) * 2008-09-30 2010-04-15 Toshiba Corp 脆弱性対応優先度表示装置及びプログラム
JPWO2010140222A1 (ja) * 2009-06-02 2012-11-15 富士通株式会社 情報処理システム、管理装置および情報処理方法
CN102982279A (zh) * 2012-11-07 2013-03-20 北京奇虎科技有限公司 计算机辅助设计病毒感染防止系统和方法
JP2018163535A (ja) * 2017-03-27 2018-10-18 サクサ株式会社 Webページ監視装置および方法
US20200314066A1 (en) * 2019-03-29 2020-10-01 Cloudflare, Inc. Validating firewall rules using data at rest

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010086311A (ja) * 2008-09-30 2010-04-15 Toshiba Corp 脆弱性対応優先度表示装置及びプログラム
JPWO2010140222A1 (ja) * 2009-06-02 2012-11-15 富士通株式会社 情報処理システム、管理装置および情報処理方法
CN102982279A (zh) * 2012-11-07 2013-03-20 北京奇虎科技有限公司 计算机辅助设计病毒感染防止系统和方法
JP2018163535A (ja) * 2017-03-27 2018-10-18 サクサ株式会社 Webページ監視装置および方法
US20200314066A1 (en) * 2019-03-29 2020-10-01 Cloudflare, Inc. Validating firewall rules using data at rest

Similar Documents

Publication Publication Date Title
EP3356985B1 (en) Detection of security incidents with low confidence security events
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
US10872148B2 (en) System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input
US8286242B2 (en) System and method for providing network security
CN107547228B (zh) 一种基于大数据的安全运维管理平台的实现架构
EP3343421A1 (en) System to detect machine-initiated events in time series data
CN113839935A (zh) 网络态势感知方法、装置及系统
KR101113615B1 (ko) 네트워크 위험도 종합 분석 시스템 및 그 방법
KR100401088B1 (ko) 인터넷을 이용한 통합 보안 서비스 시스템
JP2006268167A (ja) セキュリティシステム、セキュリティ方法及びそのプログラム
KR20020000225A (ko) 컴퓨터 시스템의 통합적인 원격 보안 관리를 수행하는시스템 및 방법
US8701156B1 (en) System for data loss prevention handshake between computing systems
CN116861419B (zh) 一种ssr上主动防御日志告警方法
KR100607110B1 (ko) 종합 보안 상황 관리 시스템
KR100446816B1 (ko) 네트워크 기반의 통합 보안 관리 서비스망
JP2006295232A (ja) セキュリティ監視装置、セキュリティ監視方法、及びプログラム
JP2002328896A (ja) 不正アクセス対処ルール自動設定装置
US7367055B2 (en) Communication systems automated security detection based on protocol cause codes
JP4651126B2 (ja) インシデント管理システム及び同管理方法並びに同管理プログラム
JP6851211B2 (ja) ネットワーク監視システム
Farhaoui et al. Creating a Complete Model of an Intrusion Detection System effective on the LAN
KR20220086402A (ko) 클라우드 기반 통합 보안서비스 제공 시스템
JP2009098968A (ja) 管理システム,管理サーバおよび管理プログラム
CN113127856A (zh) 网络安全运维管理方法、装置、计算设备及存储介质
JP2018174444A (ja) インシデント通知装置およびインシデント通知プログラム

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070124

A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20080603