JP2007067604A - セキュリティポリシー不整合解消支援システム、方法およびプログラム - Google Patents

セキュリティポリシー不整合解消支援システム、方法およびプログラム Download PDF

Info

Publication number
JP2007067604A
JP2007067604A JP2005248789A JP2005248789A JP2007067604A JP 2007067604 A JP2007067604 A JP 2007067604A JP 2005248789 A JP2005248789 A JP 2005248789A JP 2005248789 A JP2005248789 A JP 2005248789A JP 2007067604 A JP2007067604 A JP 2007067604A
Authority
JP
Japan
Prior art keywords
setting information
inconsistency
security
firewall
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005248789A
Other languages
English (en)
Other versions
JP4389853B2 (ja
Inventor
Sumitaka Okashiro
純孝 岡城
Katsushi Matsuda
勝志 松田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005248789A priority Critical patent/JP4389853B2/ja
Publication of JP2007067604A publication Critical patent/JP2007067604A/ja
Application granted granted Critical
Publication of JP4389853B2 publication Critical patent/JP4389853B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 管理対象となるネットワークシステムに複数のセキュリティ機能が適用されている場合に、いずれのセキュリティ機能の設定に誤りがある場合でも、設定の不整合を検出し、不整合を解消するための対処案を提示できるようにする。
【解決手段】 入出力装置200には、複数のセキュリティ機器の設定情報が入力される。設定情報分析手段110は、分析方式DB120から、入力された設定情報の組み合わせに応じた設定情報分析アルゴリズムを読み込み、設定情報間の不整合を検出する。対処案生成手段130は、対処案生成方式DB140から、設定情報および設定情報分析アルゴリズムの組み合わせに応じた対処案生成アルゴリズムを読み込み、対処案を生成する。このとき、対処案生成手段130は、各設定情報に誤りがあると仮定した場合の修正方法をそれぞれ生成する。そして、生成した対処案を入出力装置200に表示させる。
【選択図】 図1

Description

本発明は、情報システムにおける複数種類のセキュリティ機能の設定内容(セキュリティポリシー)の不整合解消を支援するセキュリティポリシー不整合解消支援システム、方法およびプログラムに関する。
セキュリティ機器の設定を自動的に行うセキュリティ自動設定装置が提案されている(例えば、特許文献1参照。)。特許文献1に記載されたセキュリティ自動設定装置(以下、自動設定装置と記す。)は、設定変更制御部、中央処理部、データベース、シグネチャ制御部、データ更新制御部を備えた構成となっている。そして、セキュリティ機能の抜け目を防止するように、侵入検知システムの設定を更新させる。特許文献1に記載された自動設定装置は、以下のように動作する。
まず、特許文献1に記載された自動設定装置は、ファイアウォールの設定情報を取得し、次にデータベースからすべてのシグネチャを取得する。そして、自動設定装置は、各ポート番号について、ファイアウォールの設定情報と、侵入検知システムのサポート有無とのANDをとったものを、侵入検知システムで設定すべき内容とする。さらに、侵入検知システムの現在の設定状態を取得し、この侵入検知システムの現在の設定と、侵入検知システムで設定すべき内容とのXORをとる。XORの結果が真となる場合(つまり、侵入検知システムの現在の設定と、設定すべき内容とが異なっている場合)には、侵入検知システムの現在の設定を変更する。この動作により、ファイアウォールで開いていて侵入検知システムで監視可能なポートについては侵入検知システムが漏れなく監視するように設定できる。また、ファイアウォールで閉じているポートについては侵入検知システムで無駄な監視をしないように設定できる。
特開2004−274654号公報(第5−12頁、図1、図7、図8)
しかし、特許文献1に記載された自動設定装置は、ファイアウォールの設定が正しいという前提に基づいて動作していて、ファイアウォールの設定に誤りがある場合について考慮されていない。従って、侵入検知システムの設定が正しく、ファイアウォールの設定に誤りがある場合には、特許文献1に記載された自動設定装置は対応することができない。また、特許文献1に記載された自動設定装置は、ファイアウォールの設定を基準にして侵入検知システムの設定を変更する構成になっているので、侵入検知システムの設定しか変更することができない。
管理対象となるネットワークシステムに複数のセキュリティ機能が適用されている場合、いずれのセキュリティ機能の設定に誤りがある場合でも、セキュリティ管理者が設定の不整合解消を適切に行えるように支援できることが好ましい。また、セキュリティ機能に関する設定変更(設定の不整合解消)を行う場合に、不整合が生じている設定についてのみ変更を行い、ネットワーク利用者がネットワークシステムを用いて業務等を安定に遂行できるようにすることが好ましい。
なお、企業等の組織のネットワークシステムのセキュリティ管理を行う者を「セキュリティ管理者」と呼ぶことにする。また、セキュリティ管理の対象となるネットワークシステムを利用して業務や作業を行う者を「ネットワーク利用者」と呼ぶことにする。
また、企業等が利用する大規模なネットワークシステムには、数、種類ともに多くのセキュリティ機器が含まれていて、それらのセキュリティ機器の設定情報(設定内容)も複雑になる。そのような多くのセキュリティ機器の設定の不整合を人手で検出することは、非常に多くの時間と費用を要するため、現実的ではない。また、設定の不整合を検出したとしても、その不整合を解消するための設定修正方法を導出することは、セキュリティ管理者にとって大きな負担となる。
そこで、本発明は、管理対象となるネットワークシステムに複数のセキュリティ機能が適用されている場合に、いずれのセキュリティ機能の設定に誤りがある場合でも、不整合の解消を行えるようにすることを目的とする。特に、ネットワークシステムにファイアウォールおよび侵入検知システムが適用されている場合に、ファイアウォールの設定と侵入検知システムの設定のどちらに誤りがある場合でも、不整合の解消を行えるようにすることを目的とする。
また、特定のセキュリティ機能の設定に関する修正支援だけを行うのではなく、複数のセキュリティ機能の設定に関する修正支援を行えるようにすることを目的とする。特に、ファイアウォールの設定に関する修正支援と侵入検知システムの設定に関する修正支援の双方を行えるようにすることを目的とする。
また、ファイアウォールおよび侵入検知システムの設定で、ポートに関して不整合が生じている場合、ファイアウォールの設定の修正方法として、不整合が生じたポートに関する設定のみを変更する修正方法を生成できるようにすることを目的とする。
また、セキュリティ管理者の負担を軽減できるようにすることを目的とする。
本発明によるセキュリティポリシー不整合解消支援システムは、ネットワークシステムが備えるセキュリティ機器の複数種類のセキュリティ機能の設定を定めた各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する設定情報分析手段と、設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報毎に、設定情報が間違っていて他の設定情報が正しいという仮定のもとで、不整合を解消するための設定情報の修正方法を導出する修正方法生成手段とを備えたことを特徴とする。
そのような構成によれば、修正方法生成手段が、各セキュリティ機能の設定情報毎に、設定情報が間違っていて他の設定情報が正しいという仮定のもとで、不整合を解消するための設定情報の修正方法を導出する。従って、設定情報毎に生成された修正方法を参照することで、セキュリティ管理者は、自身の経験や知識、あるいは自身が意図する設定状況と照合して、適切な修正方法を選択することができる。その結果、いずれのセキュリティ機能の設定に誤りがある場合でも、不整合の解消を行うことができる。また、複数種類の修正方法が導出されるので、複数のセキュリティ機能の設定に関する修正支援を行える。また、その結果、管理者は、修正方法を選択して、その方法によって設定情報を修正すればよいので、管理者の負担が軽減される。
各セキュリティ機能の設定情報を記憶する設定情報記憶手段を備え、設定情報分析手段が、設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する構成であってもよい。
各セキュリティ機能の設定情報を取得する設定情報取得手段と、設定情報取得手段が取得した各設定情報を設定情報記憶手段に記憶させる設定情報登録手段とを備えた構成であってもよい。
各セキュリティ機能の設定情報を取得する設定情報取得手段を備え、設定情報分析手段が、設定情報取得手段が取得した各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する構成であってもよい。
設定情報取得手段が、管理者によって設定情報を入力されることによって設定情報を取得する構成であってもよい。
設定情報取得手段が、セキュリティ機器が保持している設定情報をセキュリティ機器から収集することによって設定情報を取得する構成であってもよい。そのような構成によれば、管理者自身が設定情報を入力する必要がないので、管理者の負担が軽減される。
設定情報の収集対象となる機器を備え、機器が、その機器のセキュリティ機能の設定情報を抽出し、その設定情報を設定情報取得手段に送信する設定情報送信手段を含む構成であってもよい。そのような構成によれば、管理者自身が設定情報を入力する必要がないので、管理者の負担が軽減される。
修正方法生成手段によって設定情報毎に導出された各修正方法をそれぞれ表示して管理者に修正方法の選択を促す修正方法選択手段と、管理者によって選択された修正方法に対応する設定情報であって、セキュリティ機器に保持されている設定情報を、その修正方法に従って修正する設定情報修正手段とを備えた構成であってもよい。そのような構成によれば、設定情報修正手段が、設定情報を修正するので、管理者は修正方法を選択するだけで、修正自体は行わなくて済む。よって、管理者の負担が軽減される。
複数のセキュリティ機能の設定情報の不整合の種類を導出する規則である設定情報分析規則を、設定情報の組み合わせ毎に記憶する分析規則記憶手段を備え、設定情報分析手段が、不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、その設定情報分析規則に従って、複数の設定情報の内容に応じた不整合を検出する構成であってもよい。
設定情報毎に設定情報が間違っていて他の設定情報が正しいという仮定のもとでの設定情報の修正パターンを記述した対処案を導出する規則である対処案生成規則を、複数の設定情報と設定情報分析規則との組み合わせ毎に記憶する対処案生成規則記憶手段を備え、修正方法生成手段が、不整合検出の対象となった複数の設定情報と設定情報分析手段によって読み込まれた設定情報分析規則との組み合わせに応じた対処案生成規則を読み込み、その対処案生成規則に従って、検出された不整合の種類に応じて、不整合検出の対象となった各設定情報毎の修正パターンを含む対処案を特定し、その対処案に含まれる各修正パターンに従って、各修正パターンに対応する設定情報の修正方法を導出する構成であってもよい。
そのような構成によれば、分析規則記憶手段や対処案生成規則記憶手段に新たな設定情報分析規則や新たな対処案生成規則を追加記憶させることにより、ネットワークシステムに新たに追加されたセキュリティ機器のセキュリティ機能の設定についても、不整合を検出し、修正方法を導出することができる。
分析規則記憶手段が、ファイアウォールの設定情報と侵入検知システムの設定情報との組み合わせに対応する設定情報分析規則であって、ファイアウォールの設定情報では通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合に、通過が許可されているパケットに対する監視を行っていない監視漏れ不整合が生じていて、ファイアウォールの設定情報では通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合に、通過が禁止されているパケットに対する監視を行っている監視過剰不整合が生じていると定めた設定情報分析規則を記憶し、設定情報分析手段が、その設定情報分析規則を読み込み、ファイアウォールの設定情報と侵入検知システムの設定情報とを比較し、その設定情報分析規則に従って、ファイアウォールの設定情報では通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合には、監視漏れ不整合を検出し、監視漏れ不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所を特定し、ファイアウォールの設定情報では通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合には、監視過剰不整合を検出し、監視過剰不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所を特定し、対処案生成規則記憶手段が、ファイアウォールの設定情報と侵入検知システムの設定情報と設定情報分析規則との組み合わせに対応する対処案生成規則であって、監視漏れ不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンを定め、監視過剰不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンを定めた対処案生成規則を記憶し、修正方法生成手段が、その対処案生成規則を読み込み、監視漏れ不整合が検出された場合には、監視漏れ不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンに従って、監視漏れ不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所に基づいて、ファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正方法を生成し、監視過剰不整合が検出された場合には、監視過剰不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンに従って、監視過剰不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所に基づいて、ファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正方法を生成する構成であってもよい。
そのような構成によれば、ファイアウォールの設定情報の修正方法と侵入検知システムの設定情報の修正方法とが生成される。従って、管理者は、設定情報毎に生成された修正方法を参照して、選択することで、ファイアウォールと侵入検知システムのどちらの設定情報に誤りがある場合でも、不整合を解消することができる。また、管理者に対して、ファイアウォールの設定に関する修正支援と侵入検知システムの設定に関する修正支援の双方を行うことができる。
対処案生成規則記憶手段が、監視漏れ不整合に対応するファイアウォールの設定情報の修正パターンとして、不整合原因となったファイアウォールの設定情報の記述箇所より優先順位が高い記述であってパケットの通過を禁止する記述を挿入する旨の修正パターンを定め、監視過剰不整合に対応するファイアウォールの設定情報の修正パターンとして、不整合原因となったファイアウォールの設定情報の記述箇所より優先順位が高い記述であってパケットの通過を許可する記述を挿入する旨の修正パターンを定めた対処案生成規則を記憶し、修正方法生成手段が、監視漏れ不整合が検出された場合には、監視漏れ不整合に対応する修正パターンに従って、監視漏れ不整合の原因として特定されたファイアウォールの設定情報の記述箇所より優先順位が高い記述であって侵入検知システムが監視対象としていないパケットのポート番号を有するパケットの通過を禁止する記述を挿入するという修正方法を生成し、監視過剰不整合が検出された場合には、監視過剰不整合に対応する修正パターンに従って、監視過剰不整合の原因として特定されたファイアウォールの設定情報の記述箇所より優先順位が高い記述であって侵入検知システムが監視対象としているパケットのポート番号を有するパケットの通過を許可する記述を挿入するという修正方法を生成する構成であってもよい。
そのような構成によれば、ファイアウォールおよび侵入検知システムの設定で、ポートに関して不整合が生じている場合、ファイアウォールの設定の修正方法として、不整合が生じたポートに関する設定のみを変更する修正方法を生成できる。また、その結果、不整合が生じていないポートに関する設定については修正されないので、新たな不整合を生じさせたり、修正の結果ネットワークシステムの運用に支障をきたすおそれがない。
また、本発明によるセキュリティポリシー不整合解消支援方法は、設定情報分析手段が、ネットワークシステムが備えるセキュリティ機器の複数種類のセキュリティ機能の設定を定めた各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出し、修正方法生成手段が、設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報毎に、設定情報が間違っていて他の設定情報が正しいという仮定のもとで、不整合を解消するための設定情報の修正方法を導出することを特徴とする。
設定情報記憶手段が、各セキュリティ機能の設定情報を記憶し、設定情報分析手段が、設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する方法であってもよい。
また、設定情報取得手段が、各セキュリティ機能の設定情報を取得し、設定情報分析手段が、設定情報取得手段が取得した各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する方法であってもよい。
また、本発明によるセキュリティポリシー不整合解消支援プログラムは、ネットワークシステムが備えるセキュリティ機器の複数種類のセキュリティ機能の設定を定めた各セキュリティ機能の設定情報を記憶する設定情報記憶手段を備えたコンピュータに、設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する設定情報分析処理、および設定情報分析処理で不整合が検出されたときに、各セキュリティ機能の設定情報毎に、設定情報が間違っていて他の設定情報が正しいという仮定のもとで、不整合を解消するための設定情報の修正方法を導出する修正方法生成処理を実行させることを特徴とする。
また、本発明によるセキュリティポリシー不整合解消支援プログラムは、コンピュータに、ネットワークシステムが備えるセキュリティ機器の複数種類のセキュリティ機能の設定を定めた各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する設定情報分析処理、および設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報毎に、設定情報が間違っていて他の設定情報が正しいという仮定のもとで、不整合を解消するための設定情報の修正方法を導出する修正方法生成処理を実行させることを特徴とする。
本発明によれば、管理対象となるネットワークシステムに複数のセキュリティ機能が適用されている場合に、いずれのセキュリティ機能の設定に誤りがある場合でも、不整合の解消を行うことができる。また、管理者に対して、特定のセキュリティ機能の設定に関する修正支援だけを行うのではなく、複数のセキュリティ機能の設定に関する修正支援を行うことができる。また、管理者の負担を軽減できる。
以下、本発明の実施の形態を図面を参照して説明する。
実施の形態1.
図1は、本発明によるセキュリティポリシー不整合解消支援システムの第1の実施の形態を示すブロック図である。図1に示すセキュリティポリシー不整合解消支援システムは、プログラムに従って動作するコンピュータであるデータ処理装置100と、情報の入出力を行う入出力装置200とを備えている。入出力装置200は、例えば、キーボードやマウスなどの入力装置およびディスプレイ装置などの出力装置を含んでいる。
データ処理装置100は、設定情報分析手段110と、分析方式データベース(以下、分析方式DBと記す。)120と、対処案生成手段130と、対処案生成方式データベース(以下、対処案生成方式DBと記す。)140とを含む。設定情報分析手段110および対処案生成手段130は、例えば、プログラムにしたがって動作するCPUによって実現される。
入出力装置200には、複数のセキュリティ機能の設定情報が入力される。例えば、複数のセキュリティ機器(図1において図示せず。)の設定情報がそれぞれ入力される。設定情報は、セキュリティ機能に関する設定内容を示す情報である。例えば、設定情報の例として、どのようなパケットを通過させ、どのようなパケットを通過させないようにするかを示すファイアウォールの設定情報が挙げられる。また、例えば、どのようなポートを監視するかを示す侵入検知システムの設定情報が挙げられる。設定情報は、例えば、複数のルールからなる。
セキュリティ機器は、例えば、ある組織が利用するネットワークシステム(図示せず。)の構成要素となる機器のうち、セキュリティ機能を有する機器である。このネットワークシステムは、セキュリティ管理者の管理対象となる。以下、説明を簡単にするため、管理対象となるネットワークシステムには、二つ以上のセキュリティ機器が含まれ、そのセキュリティ機器の設定情報がそれぞれ入出力装置200に入力されるものとして説明する。
分析方式DB120は、設定情報分析アルゴリズム(設定情報分析規則)を記憶する。設定情報分析アルゴリズムは、複数のセキュリティ機能の設定情報の不整合の種類を導出する規則である。例えば、設定情報分析アルゴリズムは、条件とその条件が満たされた場合の不整合の種類の組み合わせを示す情報として記述される。条件としては、例えば、複数の設定情報が示す設定内容の関係が記述される。そのような設定情報分析アルゴリズムの場合、入力された各設定情報が条件を満足するときには、その条件と対になる結論として記述された不整合の種類が導出されることになる。設定情報分析アルゴリズムの具体例については、図5を用いて後述する。設定情報分析アルゴリズムは、設定情報分析手段110が分析を行う際に分析方式DB120から読み込まれる。また、分析方式DB120は、設定情報の組み合わせに応じた設定情報分析アルゴリズムを記憶する。例えば、分析方式DB120は、ファイアウォールの設定情報および侵入検知システムの設定情報の組み合わせに応じた設定情報分析アルゴリズムや、その他の設定情報の組み合わせに応じた各種設定情報分析アルゴリズムを記憶する。
対処案生成方式DB140は、対処案生成アルゴリズム(対処案生成規則)を記憶する。対処案生成アルゴリズムは、複数のセキュリティ機能の設定情報の不整合を解消するための対処案を導出する規則である。例えば、対処案生成アルゴリズムは、条件とその条件が満たされた場合の対処案との組み合わせを示す情報として記述される。条件としては、例えば、設定情報の不整合の種類が記述される。そのような対処案生成アルゴリズムの場合、導出された設定情報の不整合の種類が条件に合致するときには、その条件と対になる結論として記述された対処案が導出されることになる。なお、「対処案」は、検出された不整合について、その不整合を解消するにはどのように対処すべきかを記述した情報である。そして、対処案生成アルゴリズムに記述された対処案には、入出力装置200に入力される各設定情報毎に、設定情報の修正のパターン(以下、修正パターンと記す。)の記述が含まれる。対処案生成アルゴリズムの具体例については、図7を用いて後述する。図7に示す例では、“then”の次の記述が対処案(修正パターンの記述を含んでいる。)に該当する。修正パターンの例として、例えば「不整合原因の侵入検知システムルールを監視するように修正」等がある。対処案生成アルゴリズムは、対処案生成手段130が対処案を生成する際に対処案生成方式DB140から読み込まれる。また、対処案生成方式DB140は、入力された各設定情報と設定情報分析アルゴリズムとの組み合わせに応じた対処案生成アルゴリズムを記憶する。例えば、対処案生成方式DB140は、ファイアウォールの設定情報、侵入検知システムの設定情報、および図5に例示する設定情報分析アルゴリズムの組み合わせに応じた対処案生成アルゴリズムや、その他の組み合わせに応じた対処案生成アルゴリズムを記憶する。
また、修正パターンには、例えばポート番号やルールの識別情報等の具体的な情報は含まれていない。不整合を解消するように設定情報を修正する具体的な方法を「修正方法」と記すことにする。修正方法は、修正パターンに基づいて、対処案生成手段130によって生成される。そして、設定情報毎の修正方法を含む対処案が入出力装置200に表示される。
なお、設定情報の修正パターン、修正方法は、その設定情報が誤っていると仮定した場合の修正パターン、修正方法である。例えば、対処案に、ファイアウォールの設定情報の修正パターンと、侵入検知システムの設定情報の修正パターンが含まれているとする。ファイアウォールの設定情報の修正パターンは、ファイアウォールの設定情報に誤りがあると仮定した場合の修正パターンである。そして、その修正パターンに基づいて生成された具体的な修正方法も、ファイアウォールの設定情報に誤りがあると仮定した場合の修正方法である。同様に、侵入検知システムの設定情報の修正パターンは、侵入検知システムの設定情報に誤りがあると仮定した場合の修正パターンである。そして、その修正パターンに基づいて生成された具体的な修正方法も、侵入検知システムの設定情報に誤りがあると仮定した場合の修正方法である。
設定情報分析手段110は、入出力装置200から入力された設定情報を受け取り、その設定情報に応じて分析処理を実行する。設定情報分析手段110は、あるセキュリティ機能の設定情報と別のセキュリティ機能の設定情報(例えば、あるセキュリティ機器の設定情報と別のセキュリティ機器の設定情報)を用いて分析処理を行う。「分析」については後述する。
入出力装置200には、互いに異なるセキュリティ機能の設定情報(ここでは、互いに異なるセキュリティ機器の設定情報とする。)が入力される。設定情報分析手段110は、入出力装置200から設定情報を受け取る場合、この互いに異なるセキュリティ機器の設定情報を受け取る。例えば、設定情報分析手段110は、ファイアウォールの設定情報と侵入検知システムの設定情報とを受け取る。また、設定情報分析手段110は、入出力装置200から受け取った設定情報の組み合わせに対応する設定情報分析アルゴリズムを分析方式DB120から読み込み、その設定情報分析アルゴリズムに従って分析処理を行う。例えば、上記のように、ファイアウォールの設定情報と侵入検知システムの設定情報とを受け取った場合、ファイアウォールの設定情報と侵入検知システムの設定情報の組み合わせに対応する設定情報分析アルゴリズムを読み込み、そのアルゴリズムに従って分析処理を行う。
本発明において、「分析」とは、異なるセキュリティ機能の各設定情報を参照し、それらセキュリティ機能の設定情報を個別に参照するだけでは検出不可能な、異なるセキュリティ機能間の設定の不整合検出を行うことである。
具体的な例を説明する。ファイアウォールの設定を基準に考えると、ファイアウォールの設定でパケット通過を許可しているポートについては、侵入検知システムで監視を行うことが望ましい。逆に、侵入検知システムの設定を基準に考えると、侵入検知システムで監視を行っているポートについては、ファイアウォールでパケット通過を許可する必要があると考えられる。また、ファイアウォールの設定を基準に考えると、ファイアウォールの設定でパケット通過を禁止しているポートについては、侵入検知システムで監視を行う必要はない。逆に、侵入検知システムの設定を基準に考えると、侵入検知システムで監視を行っていないポートについては、ファイアウォールで通過を禁止する必要があると考えられる。設定情報分析手段110は、上記の「分析」を行うことにより、例えば、ファイアウォールでパケット通過を許可しているポートについて侵入検知システムで監視していないという不整合(監視漏れ)、あるいは、ファイアウォールでパケット通過を禁止しているポートについて侵入検知システムで監視を行っている不整合(監視過剰)などの不整合検出を行う。
分析は、あらかじめ定められた分析方法に従って実行される。例えば、設定情報分析アルゴリズムは、入力された各設定情報がある条件を満足するときに、その条件に応じた不整合の種類を特定するように予め記述され、分析方式DB120に記憶されている。設定情報分析手段110は、その設定情報分析アルゴリズムに従って分析処理を行う。分析方法の例としては、例えば、「ファイアウォールの設定情報と侵入検知システムの設定情報の間で、ポート番号の設定について不整合があるかどうかを確認する」などの分析方法が挙げられる。このような分析方法に応じて予め作成された設定情報分析アルゴリズムに従って、設定情報分析手段110は、「ファイアウォールで通過を許可しているポートについて侵入検知システムで監視していない」、「ファイアウォールで通過を禁止しているポートについて侵入検知システムで監視している」などの不整合を検出する。
対処案生成手段130は、入出力装置200に入力された設定情報および設定情報分析手段110に読み込まれた設定情報分析アルゴリズムの組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から読み込む。そして、対処案生成手段130は、読み込んだ対処案生成アルゴリズムに記述された対処案のうち、設定情報分析手段110による分析で導出された不整合の種類に応じた対処案を特定する。この対処案には、入出力装置200に入力された設定情報毎の修正パターンが含まれている。対処案生成手段130は、特定した対処案に含まれる修正パターンに基づいて、設定情報毎の具体的な修正方法を生成し、その修正方法の集合を対処案として、入出力装置200に表示させる。
対処案生成手段130は、修正パターンの記述に従って、修正方法を生成する。例えば、「不整合原因の侵入検知システムルールを監視するように修正」等の修正パターンに従って、「25/tcpへ向かうパケットを監視するように修正する」等の具体的な修正方法を生成する。この修正方法の生成態様は、修正パターンや、設定情報がどのセキュリティ機能の設定情報であるのかによって異なる。修正方法生成の具体例については、設定情報がファイアウォールや侵入検知システムの設定情報である場合を例にして後述する。
次に、動作について説明する。
図2は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。データ処理装置100には、入出力装置200を介して、例えばセキュリティ管理者から、異なるセキュリティ機能を複数のセキュリティ機器の設定情報が入力される(ステップA1)。ステップA1において複数のセキュリティ機能の設定情報が入力されると、設定情報分析手段110は、それら複数のセキュリティ機能の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から検索し、分析方式DB120から読み込む(ステップA2)。
続いて、設定情報分析手段110は、ステップA2で検索された設定情報分析アルゴリズムに従って、ステップA1で入力された複数のセキュリティ機能の設定情報の分析を行う。すなわち、複数のセキュリティ機能の設定情報間の不整合の検出を行う(ステップA3)。ステップA3では、設定情報分析手段110は、各設定情報が設定情報分析アルゴリズムに記述された条件を満たしている場合には、その条件と対になる結論として記述された不整合が生じていると判定して、不整合を検出する。条件と対になる結論として、不整合の種類が記述されているので、設定情報分析手段110は、どのような種類の不整合が生じているのかを検出することができる。また、各設定情報が設定情報分析アルゴリズムに記述されたいずれの条件も満たしていない場合には、不整合が生じていない(不整合が検出されない)と判定すればよい。
ステップA3の処理において不整合が検出されなかった場合は(ステップA4のNO)、設定情報分析手段110は、その旨のメッセージを入出力装置200を介して出力して(例えば、入出力装置200に表示させて)処理を終了する。なお、図2において、このメッセージ出力処理のステップの図示は省略している。
ステップA3の処理において不整合が検出された場合は(ステップA4のYES)、設定情報分析手段110は、不整合検出結果を対処案生成手段130に送り、対処案生成手段130はステップA5以降の処理を行う。不整合検出結果(分析結果)には、例えば、不整合の種類、不整合となる各設定情報の設定内容が含まれる。また、分析に用いた設定情報分析アルゴリズム名(設定情報分析アルゴリズムの識別情報)、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのか、等の情報が分析結果に付加される。
対処案生成手段130は、ステップA2において設定情報分析手段110によって検索された設定情報分析アルゴリズムと、ステップA1において入出力装置200を介して入力されたセキュリティ機能の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から検索し、対処案生成方式DB140から読み込む(ステップA5)。
続いて、対処案生成手段130は、不整合検出結果を入力データとし、ステップA5で検索された対処案生成アルゴリズムに従って、ステップA3で検出されたセキュリティ設定情報の不整合を解消するための対処案(各設定情報の修正方法)を生成する(ステップA6)。ステップA6において、対処案生成手段130は、読み込んだ対処案生成アルゴリズムに記述された条件のうち、ステップA3で検出された不整合の種類と合う条件を特定し、その条件と対になる結論として記述された対処案を特定する。この対処案には、設定情報毎の修正パターンの記述が含まれている。対処案生成手段130は、その修正パターンに従って修正方法を生成し、その修正方法の集合を対処案とすることによって対処案を生成する。
次に、対処案生成手段130は、ステップA6で生成した対処案を入出力装置200から出力しセキュリティ管理者に提示する(ステップA7)。例えば、対処案をディスプレイ装置に表示させる。
次に、対処案生成の具体例について説明する。ここでは、対処案生成の具体例として、ファイアウォールの設定と侵入検知システムの設定との不整合検出を行い、検出された不整合を解消するための対処案を生成する場合について説明する。
ファイアウォールは、組織内のコンピュータネットワークに対する外部からの侵入を防ぐシステムであり、設定情報として複数のフィルタリングルールが設定される。各ルールでは、データパケットに関するいくつかの要素が予め定義される(要素が予め定められる)。また、その要素に合致するデータパケットが送信されてきたときに、そのデータパケットを通過させるか、通過させないかを示す情報もルールに記述される。ファイアウォールは、送信されてきたデータパケットを通過させるか通過させないかを、このルールに従って決定する。なお、要素としては、データパケットの送信元や宛先のIPアドレスやポート等がある。複数のルールを設定しておくことで、ある送信元から送られるデータパケットの通過を許可したり、別の送信元から送られるデータパケットの通過を拒否したりすることが可能である。また、各ルールは、順序付けられていて、ファイアウォールは、優先順位の高いルールから参照して、データパケットを通過させるか否かを決定する。すなわち、データパケットが到着した際、優先順位の高いルールから順に、データパケット(送信されてきたデータパケット)の要素と、ルール内に記述された要素とが合致するか否か評価される。要素が合致するならば、そのルールの記述に従って、データパケットを通過させるか否かを決定する。合致しなければ、次の優先順位のルールを用いて同様の評価を行うことを繰り返す。
また、侵入検知システムは、通信回線を監視し、ネットワークへの侵入を検知して管理者に通報するシステムであり、設定情報としてシグネチャの選択が設定される。シグネチャとは、不正アクセスでよく用いられる手段をパターン化したものであり、一般的に一つのパターンは一つのシグネチャとして管理される。侵入検知システムは、ネットワーク上を流れるパケットをキャプチャし、シグネチャと比較することで不正アクセスを検知する。
図3は、ファイアウォールの設定情報の一例である。図3に示す例では、「プロトコルがtcpで、宛先ポート番号が0番から1023番のいずれかであるパケットはファイアウォールの通過を許可する」というルールが設定されている。
図4は、侵入検知システムの設定情報の一例である。図4に示す例では、「プロトコルがtcpで、宛先ポート番号が25番であるパケットを監視しない」というルールが設定されている。
また、設定情報に含まれる各ルールには、ルールの識別情報(本例では、番号とする。)が割り当てられている。
なお、図3および図4に示すように、設定情報には、どのセキュリティ機能(セキュリティ機器)に関する設定情報であるのかが記述されている。例えば、図3に例示する設定情報では、「ファイアウォール」という記述があり、この記述により、データ処理装置100は、入力された設定情報がファイアウォールの設定情報であると判定することができる。同様に、図4に例示する設定情報では、「侵入検知システム」という記述があり、この記述により、データ処理装置100は、入力された設定情報が侵入検知システムの設定情報であると判定することができる。
ステップA1(図2参照。)において、図3および図4に例示する設定情報が、入出力装置200を介して、データ処理装置100の設定情報分析手段110に入力されると、設定情報分析手段110は、入力された設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から検索し、分析方式DB120から読み込む(ステップA2)。既に説明したように、設定情報には、どのセキュリティ機能(セキュリティ機器)に関する設定情報であるのかが記述されているので、設定情報分析手段110は、どのセキュリティ機能(セキュリティ機器)の設定情報が入力されたのかを判定すればよい。本例では、ファイアウォールの設定情報と侵入検知システムの設定情報とが入力されたと判定し、設定情報分析手段110は、ファイアウォールの設定情報および侵入検知システムの設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から読み込む。そして、その設定情報分析アルゴリズムを用いて、入力された設定情報を分析する(ステップA3)。
なお、分析方式DB120は、ある設定情報の組み合わせに応じた設定情報分析アルゴリズムを複数種類記憶していてもよい。すると、複数の設定情報分析アルゴリズムが検索されることになる。この場合、設定情報分析手段110は、その複数の設定情報分析アルゴリズムについての説明を入出力装置200(例えば、ディスプレイ装置)に表示し、セキュリティ管理者に適切な設定情報分析アルゴリズムの選択を促し、セキュリティ管理者に選択された設定情報分析アルゴリズムを用いて、入力された設定情報を分析すればよい。
図5は、分析方式DB120に記憶される設定情報分析アルゴリズムの一例を示す説明図である。設定情報分析アルゴリズムには、どの設定情報の組み合わせに応じた設定情報分析アルゴリズムであるのかが予め記述されている。また、設定情報分析アルゴリズムの識別情報も記述される。図5に示す例では、“(ファイアウォール,侵入検知システム)”という記述があり、ファイアウォールの設定情報および侵入検知システムの設定情報の組み合わせに応じた設定情報分析アルゴリズムであることを示している。また、設定情報分析アルゴリズムの識別情報として“001”が記述されている。
また、図5に例示する設定情報分析アルゴリズムでは、“ファイアウォールで通過を許可しているポート番号およびプロトコルと、侵入検知システムで監視していないポート番号およびプロトコルとが同じである”という条件と、“監視漏れ”という不整合の種類とを対にして記述している。同様に、“ファイアウォールで通過を禁止しているポート番号およびプロトコルと、侵入検知システムで監視しているポート番号およびプロトコルとが同じである”という条件と、“監視過剰”という不整合の種類とを対にして記述している。ただし、図5に示す条件において、プロトコルに関しては明示していない。図5に例示する設定情報分析アルゴリズムを用いて、設定情報分析手段110が分析を行う場合、“監視漏れ(ファイアウォールで通過を許可しているパケットについて侵入検知システムで適切に監視していないという不整合)”、または“監視過剰(ファイアウォールで通過を禁止しているパケットについて侵入検知システムで監視しているという不整合)”を検出する。
なお、ここでは、「ポート番号が同じ」とは、「宛先(送信先)のポート番号が同じ」ということを意味するものとして説明する。ただし、設定情報分析アルゴリズムに条件にとして、「送信元のポート番号が同じ」という条件が定められていてもよい。
本例では、ファイアウォールの設定情報および侵入検知システムの設定情報が入力されているので、設定情報分析手段110は、図5に例示する設定情報分析アルゴリズムを読み込み(ステップA2)、分析を行う(ステップA3)。既に説明したように、ファイアウォールの設定情報では、「プロトコルがtcpで、宛先ポート番号が0番から1023番のいずれかであるパケットはファイアウォールの通過を許可する」というルールが設定されている(図3参照。)。また、侵入検知システムの設定情報では、「プロトコルがtcpで、宛先ポート番号が25番であるパケットを監視しない」というルールが設定されている(図4参照。)。従って、設定情報分析手段110は、“ファイアウォールで通過を許可しているポート番号(25番)およびプロトコル(tcp)と、侵入検知システムで監視していないポート番号(25番)およびプロトコル(tcp)とが同じである”という条件が成立すると判定し、その条件と対に記述された“監視漏れ”が生じていると判定する。すなわち、設定情報分析手段110は、不整合として“監視漏れ”を検出する。このとき、ポート番号25番について定めたファイアウォールのルールの番号は“No.5”であり、ポート番号25番について定めた侵入検知システムのルールの番号は“No.26”である(図3、図4参照。)。よって、設定情報分析手段110は、ファイアウォールの設定情報のルール“No.5”と、侵入検知システムの設定情報のルール“No.26”との間で、25/tcpポートについて“監視漏れ”が生じていると検出する。
設定情報分析手段110は、各設定情報のどの記述箇所で(各設定情報のどのルールで)不整合が生じているのかも特定する。すなわち、不整合原因の記述箇所を特定する。設定情報分析手段110は、ファイアウォールの設定情報において通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合には、そのパケットの通過許可を記述したルールおよびそのパケットを監視しないと記述したルールを不整合原因のルールとして特定する。また、ファイアウォールの設定情報において通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合には、そのパケットの通過禁止を記述したルールおよびそのパケットを監視すると記述したルールを不整合原因のルールとして特定する。
本例では、分析の結果“監視漏れ”が検出されているので(ステップA4のYES)、設定情報分析手段110は、不整合検出結果(分析結果)を対処案生成手段130に送り、対処案生成手段130はステップA5以降の処理を行う。図6は、分析結果の一例を示す説明図である。図6に示す例では、不整合の種類と、不整合となる各設定情報の設定内容(本例では、“tcpの0:1023番ポートへ向かうパケットは通過を許可する”,“25/tcpへ向かうパケットは監視しない”という設定内容)とを分析結果としている。不整合となる各設定情報の設定内容とともに、その設定内容を定めたルールの番号も分析結果に含められる。不整合となる設定情報の設定内容に共通して記述されたポート番号が、不整合の生じているポート番号である。対処案生成手段130は、修正方法生成時において、不整合検出結果を入力データとし、そのポート番号における不整合を解消するための修正方法を生成する。また、分析に用いた設定情報分析アルゴリズム名(本例では、“001”)と、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのかという情報(本例では、ファイアウォールおよび侵入検知システムという情報)が分析結果に付加されている。
対処案生成手段130は、設定情報分析手段110から送られる分析結果を参照し、設定情報分析手段110によって検索された設定情報分析アルゴリズムと、入力されたセキュリティ機能の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から検索し、対処案生成方式DB140から読み込む(ステップA5)。図6に例示する分析結果では、分析に用いた設定情報分析アルゴリズム名として“001”が示され、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのかという情報として、“ファイアウォール,侵入検知システム”が示されている。従って、対処案生成手段130は、これらの組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から読み込む。
図7は、対処案生成方式DB140に記憶される対処案生成アルゴリズムの一例を示す説明図である。対処案生成アルゴリズムには、どの設定情報分析アルゴリズムおよびどの設定情報の組み合わせに応じた対処案生成アルゴリズムであるのかが予め記述されている。図7に示す例では、“(ファイアウォール,侵入検知システム,設定情報分析アルゴリズム001)”という記述があり、ファイアウォールの設定情報、侵入検知システムの設定情報、および識別情報が“001”の設定情報分析アルゴリズムという組み合わせに応じた対処案生成アルゴリズムであることを示している。また、対処案生成アルゴリズムの識別情報が記述されていてもよい。図7に示す例では、対処案生成アルゴリズムの識別情報として“001”が記述されている(図7に示す1行目参照。)。
また、図7に例示する対処案生成アルゴリズムでは、“監視漏れ”という条件(“監視漏れ”が検出されたという条件)と対にして、「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターン、および「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターンを記述している。よって、“監視漏れ”が検出されたという条件が満たされた場合には、対処案生成手段130は、対処案生成アルゴリズムに記述された修正パターンのうち、この2種類の修正パターンを特定する。そして、対処案生成手段130は、その2種類の修正パターンそれぞれに従って、2種類の修正方法を生成する。「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターンは、ファイアウォールルールの設定は正しいという仮定のもとでの修正パターンである。「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターンは、侵入検知システムの設定は正しいという仮定のもとでの修正パターンである。
また、図7に例示する対処案生成アルゴリズムでは、“監視過剰”という条件(“監視過剰”が検出されたという条件)と対にして、「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターン、および「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンを記述している。よって、“監視過剰”が検出されたという条件が満たされた場合には、対処案生成手段130は、対処案生成アルゴリズムに記述された修正パターンのうち、この2種類の修正パターンを特定する。そして、対処案生成手段130は、その2種類の修正パターンそれぞれに従って、2種類の修正方法を生成する。「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターンは、ファイアウォールルールの設定は正しいという仮定のもとでの修正パターンである。「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンは、侵入検知システムの設定は正しいという仮定のもとでの修正パターンである。
ここで、侵入検知システムの修正方法の生成態様について説明する。侵入検知システムの設定情報の修正パターンとしては、「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターン(“監視漏れ”の場合)、および「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターン(“監視過剰”の場合)がある。対処案生成手段130は、「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターンに従って修正方法を生成する場合、不整合原因の侵入検知システムのルールの記述を「監視しない」から「監視する」に修正するという修正方法を生成すればよい。このとき、不整合原因の侵入検知システムのルールは設定情報分析手段110によって特定されているので、その特定されているルールの記述を「監視しない」から「監視する」に修正するという修正方法を生成すればよい。また、対処案生成手段130は、「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターンに従って修正方法を生成する場合、不整合原因の侵入検知システムのルールの記述を「監視する」から「監視しない」に修正するという修正方法を生成すればよい。このとき、不整合原因の侵入検知システムのルールは設定情報分析手段110によって特定されているので、その特定されているルールの記述を「監視する」から「監視しない」に修正するという修正方法を生成すればよい。
次に、ファイアウォールの修正方法の生成態様について説明する。ファイアウォールの設定情報の修正方法を生成するときには、監視漏れ不整合の場合に不整合原因のルールを「許可する」から「禁止する」に修正し、監視過剰不整合の場合に不整合原因のルールを「禁止する」から「許可する」に修正するという単純な修正方法では、設定情報の修正後に不具合が生じてしまうことが多い。従って、そのような単純な修正方法を生成してすることは好ましくない。
図8は、ステップA1において入力されたファイアウォールの設定情報(図3参照。)および侵入検知システムの設定情報(図4参照。)に含まれるルールを模式的に示した模式図である。図9は、図8のように示される設定情報(ルール)に対して、上記のような単純な修正方法を採用してルールを修正した状態を模式的に示した模式図である。図8から図10において、横軸は、ルールの範囲(具体的には、各ルールが定めているポート番号の範囲)を示す。縦軸は、ファイアウォールの設定情報に含まれるルールの優先度(優先順位)を示す。なお、侵入検知システムの設定情報に含まれるルールには、特に優先順位は定められていない。また、図8から図10において、斜線で示したルールは、監視有効(監視を行うこと)を定めた侵入検知システムのルールを意味する。また、多数の点を描画した模様で示したルールは、監視無効(監視を行わないこと)を定めた侵入検知システムのルールを意味する。白色で示したルールは、パケットの通過を許可するファイアウォールのルールを意味する。縦線で示したルールは、パケットの通過を禁止するファイアウォールのルールを意味する。
図8に示した例では、図6に示した監視漏れ不整合が生じている状態を示している。すなわち、ファイアウォールのルール“No.5”では、パケットの通過を許可しているにも関わらず、侵入検知システムのルール“No.26”では、監視無効としていて、監視漏れ不整合が生じていることを示している。このとき、侵入検知システムの設定が正しいという仮定に基づき、不整合を起こしているファイアウォールのルール“No.5”を単純に「パケットの通過を許可する」から「パケットの通過を禁止する」に修正するものとする。図9は、この修正後の状態を示している。上記のような単純な修正では、ポート番号0〜24番の範囲、およびポート番号26〜1023番の範囲で不整合は生じていなかったにも関わらず、この範囲のポートを使用するtcpパケットがファイアウォールを通過できなくなるように修正されてしまい、これらのポートを使用する他のサービスが停止してしまうおそれがある。その結果、管理対象ネットワークおよびその利用者に多大な被害をもたらすおそれがある。また、図9に示すように、元々、不整合が生じていなかった範囲で、監視過剰不整合が生じてしまうことになる。
このような不具合が生じないような、修正方法の一例を図10に示す。図10に示すように、ファイアウォールの設定情報(ルール)を修正する場合には、不整合の原因となったルールより、優先順位が一つ高いルールを追加するように修正する。そして、その追加するルールでは、不整合が生じていたポート番号のみを指定するようにする。図10に示す例では、不整合の原因となったルール(“No.5”)より、優先順位が一つ高いルールを追加している。このルールには、ルールの番号として“No.5−1”が新たに割り当てられている。追加されたルール“No.5−1”では、不整合が生じていた25番のみを指定し、「tcpの25番ポートへ向かうパケットは通過を禁止する」という設定内容を定めている。このような優先順位の高い新たなルールの追加により、修正前のファイアウォールのルール“No.5”と、侵入検知システムのルール“No.26”との間の不整合は解消される。また、追加されたルールは、不整合が生じていたポート番号のみを指定しているので、不整合が生じていないポート番号の範囲において、ファイアウォールのルール“No.5”と、侵入検知システムのルール“No.1〜25”,“No.27〜1024”との関係(不整合は生じていないという関係)は、維持される。さらに、不整合箇所である25番ポート以外の、0番から24番、および26番から1023番ポートへ向かうパケットについては通過が許可されたままであるので、他のサービスに影響を与えることもない。
このような修正方法を生成するために、ファイアウォールの修正パターンとして、「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターン、および「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンが、図7に例示する対処案生成アルゴリズムに記述される。対処案生成手段130は、「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターンに従って修正方法を生成する場合、不整合原因となるファイアウォールのルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を禁止するルールを追加するという修正方法を生成すればよい。このとき、不整合原因となるファイアウォールのルールは設定情報分析手段110によって特定されているので、その特定されているルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を禁止するルールを追加するという修正方法を生成すればよい。例えば、図10に示すように、不具合原因となるファイアウォールのルール“No.5”より優先順位が一つ高く、不整合が生じている25番ポートについてパケットの通過を禁止するルールを追加するという修正方法を生成すればよい。また、対処案生成手段130は、「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンに従って修正方法を生成する場合、不整合原因となるファイアウォールのルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を許可するルールを追加するという修正方法を生成すればよい。このとき、不整合原因となるファイアウォールのルールは設定情報分析手段110によって特定されているので、その特定されているルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を許可するルールを追加するという修正方法を生成すればよい。
対処案生成手段130は、ステップA6において、ファイアウォールの設定が正しいという仮定のもとでの修正方法と、侵入検知システムの設定が正しいという仮定のもとでの修正方法を生成したならば、その修正方法の集合を対処案とし、対処案を入出力装置200に出力(例えば、表示出力)させる(ステップA7)。図11は、対処案生成手段130が入出力装置200に出力(表示)させる情報の例を示す説明図である。図11に示すように、不整合の種類とともに、その不整合を生じさせているファイアウォールのルールおよび侵入検知システムのルールについて、ルール番号とルールの内容を表示する。さらに、その不整合を解消するための対処案として、ファイアウォールのルールの修正方法および侵入検知システムのルールの修正方法を表示する。ファイアウォールのルールの修正方法は、ファイアウォールの設定が誤っていて侵入検知システムの設定が正しいという仮定のもとでの修正方法である。図11では、『No.5の直前にルールNo.5−1「tcpの25ポートへ向かうパケットの通過を禁止する」を追加する』という修正方法を示している。また、侵入検知システムのルールの修正方法は、侵入検知システムの設定が誤っていてファイアウォールの設定が正しいという仮定のもとでの修正方法である。本例、『25/tcpに向かうパケットに関する設定を「監視しない」から「監視する」に変更する』旨の修正方法を示す。
セキュリティ管理者は、表示された対処案を確認し、管理対象ネットワーク上でのサービス稼働状況、あるいは自身の経験や知識、管理者自身が意図する設定状況等と照らし合わせ、ファイアウォールの設定情報を修正するか、侵入検知システムの設定情報を修正するかを判断する。その後、対処案に従って、選択した修正をセキュリティ管理者が施すことにより不整合を解消することができる。
次に、本実施の形態の効果について説明する。
本実施の形態では、複数の互いに異なるセキュリティ機能の設定情報の間に存在する不整合を検出し、検出された不整合を解消するための設定情報の修正方法をそれぞれのセキュリティ機能について生成する。従って、いずれかの設定だけが常に正しいという仮定を置くことなく、全ての設定情報の修正方法を生成することができる。すなわち、いずれのセキュリティ機能の設定に誤りがある場合でも、不整合を解消するための対処案をすることができる。また、複数のセキュリティ機能の設定に関する修正方法を含む対処案を生成することができる。例えば、ファイアウォール設定情報と侵入検知システム設定情報の間で不整合が検出された場合には、その不整合を解消するための、ファイアウォール設定情報の修正方法と侵入検知システム設定情報の修正方法を生成することができる。
また、本実施の形態では、設定情報の不整合検出および検出された不整合の解消のための設定情報の修正方法を自動的に導出し提示するため、セキュリティ管理者は提示された修正方法から適切なものを選択することができる。そして、選択した修正方法を施すだけで不整合を解消できるため、セキュリティ管理者の負担が大幅に削減される。
また、本実施の形態では、ファイアウォールの設定情報の修正方法を生成する際に、不整合部分のみ修正する新たなルールを追加する修正方法を生成するように構成されている。従って、不整合部分以外に影響を及ぼさない修正方法を生成できる。
また、本実施の形態では、セキュリティ管理者は、セキュリティレベルの高いネットワークシステムの運用ができ、ネットワーク利用者は、安定したネットワークシステムが利用できる。
また、本実施の形態では、分析方式DB120に記憶された設定情報分析アルゴリズムを用いて分析を行い、対処案生成方式DB140に記憶された対処案生成アルゴリズムを用いて対処案を生成する。従って、分析方式DB120に新たな設定情報分析アルゴリズムを追加記憶させ、対処案生成方式DB140に新たな対処案生成アルゴリズムを追加記憶させることで、新たに追加されたセキュリティ機能の設定情報(例えば、新たに追加されたセキュリティ機器の設定情報)についても不整合箇所の特定や対処案の生成を行うことができる。
本実施の形態において、設定情報取得手段は、入出力装置200によって実現される。分析規則記憶手段は、分析方式DB120によって実現される。対処案生成規則記憶手段は、対処案生成方式DB140によって実現される。
実施の形態2.
図12は、本発明によるセキュリティポリシー不整合解消支援システムの第2の実施の形態を示すブロック図である。第1の実施の形態と同様の構成部については、図1と同一の符号を付して説明を省略する。また、第1の実施の形態と同様の構成部の動作は、第1の実施の形態と同様である。
第2の実施の形態において、データ処理装置100は、第1の実施の形態で示した設定情報分析手段110、分析方式DB120、対処案生成手段130、対処案生成方式DB140に加え、設定情報抽出手段150を含んでいる。設定情報抽出手段150は、例えば、プログラムに従って動作するCPUによって実現される。
設定情報抽出手段150は、通信ネットワーク300に接続されているセキュリティ機器400のうち少なくとも二つのセキュリティ機器400から設定情報を抽出、収集する。なお、本実施の形態においても、説明を簡単にするため、管理対象となるネットワークシステムには、二つ以上のセキュリティ機器が含まれているものとする。そして、設定情報抽出手段150は、少なくとも二つのセキュリティ機器400から設定情報を抽出、収集するものとする。
また、セキュリティ機器400は、例えば、ある組織が利用するネットワークシステム(図示せず。)の構成要素となる機器のうち、セキュリティ機能を有する機器である。このネットワークシステムは、セキュリティ管理者の管理対象となる。ネットワークシステムの構成要素となる各機器は、通信ネットワーク300を介して接続されている。ネットワークシステムは少なくとも二つのセキュリティ機器400を含み、通信ネットワーク300には少なくとも二つのセキュリティ機器400が接続されている。データ処理装置100は、通信ネットワーク300を介してセキュリティ機器400と接続される。各セキュリティ機器400は、その機器が有するセキュリティ機能に関する設定を定めた設定情報を保持している。設定情報は、例えば、ハードウェアによって実現されるセキュリティ機能に関する設定を集めたものであってもよい。また、セキュリティ機器400に搭載されたソフトウェアによって実現されるセキュリティ機能に関する設定を定めた設定情報も、セキュリティ機器400の設定情報である。セキュリティ機器400が保持する設定情報は、第1の実施の形態において入出力装置200に入力される設定情報と同様の情報である。
次に動作について説明する。
図13は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。まず、データ処理装置100は、入出力装置200を介して、例えばセキュリティ管理者から、設定情報の抽出、収集の対象となるセキュリティ機器を指定される(ステップB1)。ステップB1において、設定情報抽出手段150は、例えば、セキュリティ機器の指定を促す画面を入出力装置200に表示して、入出力装置200を介して指定されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定する。あるいは、セキュリティ機器400を含むネットワークシステムのトポロジー情報(各機器同士の接続関係を示す情報)を予め記憶しておき、そのトポロジー情報に記述された各セキュリティ機器を選択候補として表示してシステム管理者に選択を促し、入出力装置200を介して指定されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定してもよい。また、設定情報抽出手段150は、通信ネットワーク300に接続されているセキュリティ機器400を検索し、検索されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定してもよい。セキュリティ機器400を検索するときには、SNMP(Simple Network Management Protocol)を利用すればよい。また、セキュリティ機能を実現するためのソフトウェアを搭載したセキュリティ機器を検索する場合には、セキュリティ機器に搭載されているOSのコマンドを利用して検索を行ってもよい。
次に、設定情報抽出手段150は、ステップB1で決定した(ステップB1で指定された)セキュリティ機器に設定されている設定情報を抽出、取得する(ステップB2)。設定情報抽出手段150は、SNMPを利用したり、設定情報の収集対象として決定されたセキュリティ機器に備わっている設定情報取得コマンドを実行するなどして設定情報の抽出、収集を行う。このとき、分析対象となる設定情報を、必ずしもすべて設定情報抽出手段150が抽出する必要はなく、一部のセキュリティ機器の設定情報については、第1の実施の形態と同様に入出力装置200から入力するようにしてもよい。
ステップB2の後、設定情報分析手段110は、ステップB2で抽出、収集された複数のセキュリティ機器の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から検索し、読み込む(ステップB3)。次に、設定情報分析手段110は、ステップB3で検索された設定情報分析アルゴリズムに従って、ステップB2で抽出、収集された複数のセキュリティ機器の設定情報の分析を行い、その設定情報の間の不整合検出を行う(ステップB4)。
ステップB4の処理において不整合が検出されなかった場合は(ステップB5のNO)、設定情報分析手段110は、その旨のメッセージを入出力装置200を介して出力して、処理を終了する。なお、図13において、このメッセージ出力処理のステップの図示は省略している。ステップB4の処理において不整合が検出された場合は(ステップB5のYES)、設定情報分析手段110は、不整合検出結果を対処案生成手段130に送り、対処案生成手段130はステップB6以降の処理を行う。
対処案生成手段130は、ステップB3において設定情報分析手段110によって検索された設定情報分析アルゴリズムと、ステップB2において抽出、収集されたセキュリティ機器の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から検索し、対処案生成方式DB140から読み込む(ステップB6)。続いて、対処案生成手段130は、ステップB6で検索された対処案生成アルゴリズムに従って、ステップB4で検出されたセキュリティ設定情報の不整合を解消するための対処案(各設定情報の修正方法)を生成する(ステップB7)。次に、対処案生成手段130は、ステップB7で生成した対処案を入出力装置200から出力しセキュリティ管理者に提示する(ステップB8)。例えば、対処案をディスプレイ装置に表示させる。
上記のステップB3〜B8の各処理は、第1の実施の形態におけるステップA2〜A7の各処理と同様の処理である。
次に、本実施の形態の効果について説明する。
本実施の形態でも、第1の実施の形態と同様の効果が得られる。また、本実施の形態では、セキュリティ管理者がセキュリティ機器の指定を行えば、設定情報抽出手段150がそのセキュリティ機器から設定情報を抽出、収集する。その後、第1の実施の形態と同様に、設定情報の分析および対処案の生成を行う。従って、ほとんど人手が介在することなく、対処案の生成まで行うことができる。また、設定情報抽出手段150がセキュリティ管理者からの指定を受けずにセキュリティ機器400を検索する構成の場合には、人手を介することなく設定情報の抽出、収集、設定情報の分析、対処案生成まで行うことができる。
第2の実施の形態において、設定情報取得手段は、設定情報抽出手段150によって実現される。分析規則記憶手段は、分析方式DB120によって実現される。対処案生成規則記憶手段は、対処案生成方式DB140によって実現される。
実施の形態3.
図14は、本発明によるセキュリティポリシー不整合解消支援システムの第3の実施の形態を示すブロック図である。第2の実施の形態と同様の構成部については、図13と同一の符号を付して説明を省略する。また、第2の実施の形態と同様の構成部の動作は、第2の実施の形態と同様である。
第3の実施の形態において、データ処理装置100は、第2の実施の形態で示した設定情報分析手段110、分析方式DB120、対処案生成手段130、対処案生成方式DB140、設定情報抽出手段150に加え、設定情報更新手段160を含んでいる。設定情報更新手段160は、例えば、プログラムに従って動作するCPUによって実現される。
設定情報更新手段160は、通信ネットワーク300に接続されているセキュリティ機器400のうち少なくとも一つのセキュリティ機器400の設定情報を更新する。また、本実施の形態では、対処案生成手段130は、例えば、設定情報毎の修正方法を表示して、どの修正方法を採用するかをセキュリティ管理者に選択させる。そして、設定情報更新手段160は、セキュリティ管理者に選択された修正方法に従って、その修正方法に対応するセキュリティ機器の設定情報を更新する。
なお、本実施の形態においても、説明を簡単にするため、管理対象となるネットワークシステムには、二つ以上のセキュリティ機器が含まれているものとする。そして、設定情報抽出手段150は、少なくとも二つのセキュリティ機器400から設定情報を抽出、収集するものとする。
次に動作について説明する。
図15は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。まず、データ処理装置100は、入出力装置200を介して、例えばセキュリティ管理者から、設定情報の抽出、収集の対象となるセキュリティ機器を指定される(ステップC1)。次に、設定情報抽出手段150は、ステップC1で決定した(ステップC1で指定された)セキュリティ機器に設定されている設定情報を抽出、取得する(ステップC2)。続いて、設定情報分析手段110は、ステップC2で抽出、収集された複数のセキュリティ機器の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から検索し、読み込む(ステップC3)。次に、設定情報分析手段110は、ステップC3で検索された設定情報分析アルゴリズムに従って、ステップC2で抽出、収集された複数のセキュリティ機器の設定情報の分析を行い、その設定情報の間の不整合検出を行う(ステップC4)。
ステップC4の処理において不整合が検出されなかった場合は(ステップC5のNO)、設定情報分析手段110は、その旨のメッセージを入出力装置200を介して出力して、処理を終了する。なお、図15において、このメッセージ出力処理のステップの図示は省略している。ステップC4の処理において不整合が検出された場合は(ステップC5のYES)、設定情報分析手段110は、不整合検出結果を対処案生成手段130に送り、対処案生成手段130は、ステップC6以降の処理を行う。
対処案生成手段130は、ステップC3において設定情報分析手段110によって検索された設定情報分析アルゴリズムと、ステップC2において抽出、収集されたセキュリティ機器の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から検索し、対処案生成方式DB140から読み込む(ステップC6)。続いて、対処案生成手段130は、ステップC6で検索された対処案生成アルゴリズムに従って、ステップC4で検出されたセキュリティ設定情報の不整合を解消するための対処案(各設定情報の修正方法)を生成する(ステップC7)。次に、対処案生成手段130は、ステップC7で生成した対処案を入出力装置200から出力しセキュリティ管理者に提示する(ステップC8)。例えば、対処案をディスプレイ装置に表示させる。
上記のステップC1〜C8の各処理は、第2の実施の形態におけるステップB1〜B8の各処理と同様の処理である。
ステップC8の次に、対処案生成手段130は、例えば、設定情報毎の修正方法を表示して、修正方法の選択を促す画面を生成し、その画面を入出力装置200に表示させる。そして、対処案生成手段130は、入出力装置200を介してセキュリティ管理者に選択された修正方法を、検出された不整合を解消するための修正方法として決定する(ステップC9)。
次に、設定情報更新手段160は、ステップC9で選択された修正方法に従って、通信ネットワーク300を介して接続されているセキュリティ機器400の設定情報を修正し、更新する(ステップC10)。
図16は、ステップC9において対処案生成手段130が入出力装置200に表示させる画面(修正方法の選択を促す画面)の例を示す説明図である。ここでは、ファイアウォールの設定情報と侵入検知システムの設定情報を収集し、その各設定情報の修正方法のうち、どちらか一方の選択を促す場合を例に説明する。
対処案生成手段130は、図16に例示するように複数の修正方法を並べて、例えばラジオボタンによって修正方法の選択を行わせる選択領域601を含む画面を生成する。図16では、対処案生成手段130が選択領域601内において、不整合の種類、不整合原因であるファイアウォールの設定、および不整合原因となる侵入検知システムの設定とともに、侵入検知システムの設定情報(ルール)の修正方法、ファイアウォールの設定情報(ルール)の修正方法を表示するように画面を生成した場合を示している。
図16に示す例では、不整合の種類として「監視漏れ」が表示されている。そして、「監視漏れ」の原因であるファイアウォールの設定として、図3に例示するルール“No.5”の内容が表示されている。また、「監視漏れ」の原因である侵入検知システムの設定として、図4に例示するルール“No.26”の内容が表示されている。さらに、ラジオボタン602aとともに、侵入検知システムの設定情報(ルール)の修正方法(ルール“No.26”における「監視する」を「監視しない」に修正するという方法)が表示されている。また、ラジオボタン602bととともに、ファイアウォールの設定情報(ルール)の修正方法(ルール“No.5”の直前に「tcpの25番ポートへの通過を禁止」するルールを挿入するという修正方法)が表示されている。
セキュリティ管理者は、管理対象ネットワーク上でのサービス稼働状況、あるいは自身の経験や知識等に基づいて、複数のセキュリティ機器(本例では、ファイアウォールおよび侵入検知システム)のいずれの設定を修正すべきかを判断する。そして、修正すべき設定情報の修正方法に対応するラジオボタンがクリックされる。
なお、図16に示すように、選択領域601にスクロールバーを表示して、セキュリティ管理者によるスクロールバー操作に応じて、他の不整合に関する修正方法を表示してもよい。
また、対処案生成手段130は、図16に示すように、「修正実行」ボタン、「キャンセル」ボタンを表示するようにして画面を生成する。ラジオボタンがクリックされることにより修正方法が選択され、「修正実行」ボタンがクリックされた場合には、設定情報更新手段160は、選択された修正方法に従って、その修正方法に対応するセキュリティ機器の設定情報を修正し、修正後の設定情報をセキュリティ機器に再設定する。例えば、図16に示すように、ラジオボタン601aがクリックされた後に、「修正実行」ボタンがクリックされた場合、設定情報更新手段160は、侵入検知システムのルール“No.26”における「監視する」を「監視しない」に修正する。なお、「キャンセル」ボタンがクリックされた場合には、それまでに行われたラジオボタンのクリックを無効にする。
また、対処案生成手段130は、図16に示すように、分析対象機器の名称(“firewall-01 ”や“IDS-A ”等)、分析方式DB120から読み込まれた設定情報分析アルゴリズムの識別情報、およびその設定情報分析アルゴリズムに対応するセキュリティ機器を表示するように、画面を生成してもよい。
次に、本実施の形態の効果について説明する。
本実施の形態でも、第2の実施の形態と同様の効果が得られる。また、本実施の形態では、設定情報更新手段160が、セキュリティ管理者に選択された修正方法に従って、その修正方法に対応するセキュリティ機器の設定情報を修正し、修正後の設定情報をセキュリティ機器に再設定する。従って、設定情報の抽出、収集、設定情報の分析、対処案生成だけでなく、修正された設定情報の再設定も行うことができる。また、修正された設定情報の再設定までデータ処理装置100が行うので、セキュリティ管理者の負担をさらに軽減することができる。
第3の実施の形態において、設定情報取得手段は、設定情報抽出手段150によって実現される。分析規則記憶手段は、分析方式DB120によって実現される。対処案生成規則記憶手段は、対処案生成方式DB140によって実現される。修正方法選択手段は、対処案生成手段130および入出力装置200によって実現される。設定情報修正手段は、設定情報更新手段160によって実現される。
実施の形態1において、データ処理装置100が実施の形態3と同様に設定情報更新手段160を備え、設定情報更新手段160がセキュリティ機器の設定情報を修正する構成としてもよい。
第2の実施の形態および第3の実施の形態では、データ処理装置100が設定情報抽出手段150を備え、設定情報抽出手段150がセキュリティ機器400から設定情報を抽出、収集する場合について説明した。セキュリティ機器400が設定情報抽出手段150を備え、セキュリティ機器400に備えられる設定情報抽出手段150が、セキュリティ機器400自身から設定情報を抽出し、その設定情報をデータ処理装置100に送信する構成であってもよい。図17は、この場合の構成例を示すブロック図である。セキュリティ機器400は、設定情報抽出手段150を備える。設定情報抽出手段150は、セキュリティ機器400に設けられるCPUによって実現される。
また、データ処理装置100は、セキュリティ機器400と通信を行うための通信ソフトウェアを予め記憶装置(図示せず)に記憶する。また、データ処理装置100は、通信ソフトウェアに従って動作する設定情報受信手段170を備える。設定情報受信手段170は、例えばCPUによって実現される。設定情報受信手段170は、セキュリティ機器400に設定情報を要求する。この要求を受けると、設定情報抽出手段150は、セキュリティ機器400が保持する設定情報を抽出する。続いて、設定情報抽出手段150は、抽出した設定情報をデータ処理装置100に送信する。設定情報受信手段170は、この設定情報を受信する。設定情報分析手段110および対処案生成手段130は、この設定情報を用いて、ステップB3以降(あるいは、C3以降)の動作を行えばよい。
この場合、設定情報送信手段は、セキュリティ機器400が備える設定情報抽出手段150によって実現される。そして、設定情報取得手段は、データ処理装置100が備える設定情報受信手段170によって実現される。
なお、図17では、設定情報更新手段160を示していないが、図17に示すデータ処理装置100は、設定情報更新手段160を備えていてもよい。
また、第1の実施の形態から第3の実施の形態において、データ処理装置100が予め外部のセキュリティ機器400の設定情報を記憶し、データ処理装置100が予め記憶している設定情報について、設定情報の分析、対処案生成、修正された設定情報の再設定を行ってもよい。図18は、データ処理装置100が予め設定情報を記憶する場合の構成例を示すブロック図である。設定情報記憶手段180は、外部のセキュリティ機器400(図18において図示せず。)の設定情報を予め記憶する。設定情報分析手段110および対処案生成手段130の動作は、第1の実施の形態から第3の実施の形態における動作と同様である。ただし、本例における設定情報分析手段110および対処案生成手段130は、設定情報記憶手段180が予め記憶している設定情報を用いて、設定情報の分析、対処案生成を行う。なお、図18では、設定情報更新手段160を示していないが、図18に示すデータ処理装置100は、設定情報更新手段160を備えていてもよい。
図18に示す構成の場合、設定情報記憶手段180が予め設定情報を記憶しているので、設定情報抽出手段150(図12参照)や、設定情報受信手段170(図17参照)を備えていなくてもよい。また、図18に示す構成において、設定情報抽出手段150または設定情報受信手段170を設け、設定情報抽出手段150が抽出した設定情報(または設定情報受信手段170が受信した設定情報、あるいは入出力装置200から入力された設定情報)を、設定情報登録手段(図示せず。)が設定情報記憶手段180に記憶させる構成であってもよい。そして、設定情報分析手段110および対処案生成手段130は、設定情報記憶手段180に記憶された設定情報を用いて設定情報の分析、対処案生成を行ってもよい。なお、設定情報登録手段は、例えば、データ処理装置100のCPUによって実現される。
また、第1の実施の形態から第3の実施の形態では、管理対象となるネットワークシステムには、二つ以上のセキュリティ機器が含まれ、そのセキュリティ機器の設定情報が入力されたり、あるいは、その二つ以上のセキュリティ機器から設定情報を収集したりするものとして説明した。一つのセキュリティ機器が二つ以上のセキュリティ機能を有し、そのセキュリティ機器が各セキュリティ機能に関する設定情報を有している場合には、管理対象となるネットワークシステムに、そのようなセキュリティ機器が一つだけ含まれていてもよい。そして、第1の実施の形態では、その一つのセキュリティ機器が保持する複数種類の設定情報が入力されてもよい。また、第2の実施の形態や第3の実施の形態では、その一つのセキュリティ機器が保持する複数種類の設定情報を抽出、収集してもよい。
図19は、本発明によるセキュリティポリシー不整合解消支援システムの具体的な構成例を示すブロック図である。データ処理装置100には、入出力装置として、キーボードやマウスなどの入力装置200aや、ディスプレイ装置などの出力装置200bが接続される。また、データ処理装置100は、CPU501と、記憶装置502と、ネットワークインタフェース部503とを備える。記憶装置502は、設定情報分析アルゴリズムや対処案生成アルゴリズムを記憶する。図18に示す構成の場合、設定情報も記憶する。また、記憶装置502は、セキュリティポリシー不整合解消支援プログラムも記憶する。CPU501は、記憶装置502からセキュリティポリシー不整合解消支援プログラムを読み込み、そのプログラムに従って動作する。この結果、CPU501は、設定情報分析手段110、対処案生成手段130としての動作を行う。また、CPU501は、設定情報分析手段110、対処案生成手段130としての動作(分析、対処案生成)を行う際に、記憶装置502から設定情報分析アルゴリズムや対処案生成アルゴリズムを読み込む。なお、第2の実施の形態の場合には、CPU501は設定情報抽出手段150としての動作も行い、第3の実施の形態の場合には、設定情報更新手段160としての動作も行う。また、図17に示す構成の場合、設定情報受信手段170としても動作する。ネットワークインタフェース部503は、通信ネットワーク300とのインタフェースである。CPU501は、ネットワークインタフェース部503を介して、セキュリティ機器から設定情報を抽出する。
本発明は、異なるセキュリティ機能に関する設定情報の不整合の検出や、その不整合を解消するための設定情報の修正方法の生成等の用途に適用できる。
本発明によるセキュリティポリシー不整合解消支援システムの第1の実施の形態を示すブロック図である。 第1の実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。 ファイアウォールの設定情報の一例を示す説明図である。 侵入検知システムの設定情報の一例示す説明図である。 設定情報分析アルゴリズムの一例を示す説明図である。 分析結果の一例を示す説明図である。 対処案生成アルゴリズムの一例を示す説明図である。 ファイアウォールの設定情報および侵入検知システムの設定情報に含まれるルールを模式的に示した模式図である。 単純な修正方法を採用してファイアウォールのルールを修正した状態を模式的に示した模式図である。 新たな不整合が生じないような修正を模式的に示した模式図である。 入出力装置200に出力(表示)させる情報の例を示す説明図である。 本発明によるセキュリティポリシー不整合解消支援システムの第2の実施の形態を示すブロック図である。 第2の実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。 本発明によるセキュリティポリシー不整合解消支援システムの第3の実施の形態を示すブロック図である。 第3の実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。 修正方法の選択を促す画面の例を示す説明図である。 セキュリティ機器が設定情報抽出手段を備える場合のブロック図である。 データ処理装置100が予め設定情報を記憶する場合の構成例を示すブロック図である。 本発明によるセキュリティポリシー不整合解消支援システムの具体的な構成例を示すブロック図である。
符号の説明
100 データ処理装置
110 設定情報分析手段
120 分析方式データベース
130 対処案生成手段
140 対処案生成方式データベース
200 入出力装置

Claims (17)

  1. ネットワークシステムが備えるセキュリティ機器の複数種類のセキュリティ機能の設定を定めた各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する設定情報分析手段と、
    設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報毎に、当該設定情報が間違っていて他の設定情報が正しいという仮定のもとで、前記不整合を解消するための設定情報の修正方法を導出する修正方法生成手段とを備えた
    ことを特徴とするセキュリティポリシー不整合解消支援システム。
  2. 各セキュリティ機能の設定情報を記憶する設定情報記憶手段を備え、
    設定情報分析手段は、設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する
    請求項1に記載のセキュリティポリシー不整合解消支援システム。
  3. 各セキュリティ機能の設定情報を取得する設定情報取得手段と、
    設定情報取得手段が取得した各設定情報を設定情報記憶手段に記憶させる設定情報登録手段とを備えた
    請求項2に記載のセキュリティポリシー不整合解消支援システム。
  4. 各セキュリティ機能の設定情報を取得する設定情報取得手段を備え、
    設定情報分析手段は、設定情報取得手段が取得した各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する
    請求項1に記載のセキュリティポリシー不整合解消支援システム。
  5. 設定情報取得手段は、管理者によって設定情報を入力されることによって設定情報を取得する
    請求項3または請求項4に記載のセキュリティポリシー不整合解消支援システム。
  6. 設定情報取得手段は、セキュリティ機器が保持している設定情報をセキュリティ機器から収集することによって設定情報を取得する
    請求項3または請求項4に記載のセキュリティポリシー不整合解消支援システム。
  7. 設定情報の収集対象となる機器を備え、
    前記機器は、当該機器のセキュリティ機能の設定情報を抽出し、前記設定情報を設定情報取得手段に送信する設定情報送信手段を含む
    請求項3または請求項4に記載のセキュリティポリシー不整合解消支援システム。
  8. 修正方法生成手段によって設定情報毎に導出された各修正方法をそれぞれ表示して管理者に修正方法の選択を促す修正方法選択手段と、
    管理者によって選択された修正方法に対応する設定情報であって、セキュリティ機器に保持されている設定情報を、前記修正方法に従って修正する設定情報修正手段とを備えた
    請求項1から請求項7のうちのいずれか1項に記載のセキュリティポリシー不整合解消支援システム。
  9. 複数のセキュリティ機能の設定情報の不整合の種類を導出する規則である設定情報分析規則を、設定情報の組み合わせ毎に記憶する分析規則記憶手段を備え、
    設定情報分析手段は、不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、当該設定情報分析規則に従って、前記複数の設定情報の内容に応じた不整合を検出する
    請求項請求項1から請求項8のうちのいずれか1項に記載のセキュリティポリシー不整合解消支援システム。
  10. 設定情報毎に当該設定情報が間違っていて他の設定情報が正しいという仮定のもとでの設定情報の修正パターンを記述した対処案を導出する規則である対処案生成規則を、複数の設定情報と設定情報分析規則との組み合わせ毎に記憶する対処案生成規則記憶手段を備え、
    修正方法生成手段は、不整合検出の対象となった複数の設定情報と設定情報分析手段によって読み込まれた設定情報分析規則との組み合わせに応じた対処案生成規則を読み込み、当該対処案生成規則に従って、検出された不整合の種類に応じて、不整合検出の対象となった各設定情報毎の修正パターンを含む対処案を特定し、前記対処案に含まれる各修正パターンに従って、各修正パターンに対応する設定情報の修正方法を導出する
    請求項9に記載のセキュリティポリシー不整合解消支援システム。
  11. 分析規則記憶手段は、ファイアウォールの設定情報と侵入検知システムの設定情報との組み合わせに対応する設定情報分析規則であって、ファイアウォールの設定情報では通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合に、通過が許可されているパケットに対する監視を行っていない監視漏れ不整合が生じていて、ファイアウォールの設定情報では通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合に、通過が禁止されているパケットに対する監視を行っている監視過剰不整合が生じていると定めた設定情報分析規則を記憶し、
    設定情報分析手段は、前記設定情報分析規則を読み込み、ファイアウォールの設定情報と侵入検知システムの設定情報とを比較し、前記設定情報分析規則に従って、ファイアウォールの設定情報では通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合には、監視漏れ不整合を検出し、当該監視漏れ不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所を特定し、ファイアウォールの設定情報では通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合には、監視過剰不整合を検出し、当該監視過剰不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所を特定し、
    対処案生成規則記憶手段は、ファイアウォールの設定情報と侵入検知システムの設定情報と前記設定情報分析規則との組み合わせに対応する対処案生成規則であって、監視漏れ不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンを定め、監視過剰不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンを定めた対処案生成規則を記憶し、
    修正方法生成手段は、前記対処案生成規則を読み込み、監視漏れ不整合が検出された場合には、監視漏れ不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンに従って、監視漏れ不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所に基づいて、ファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正方法を生成し、監視過剰不整合が検出された場合には、監視過剰不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンに従って、監視過剰不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所に基づいて、ファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正方法を生成する
    請求項10に記載のセキュリティポリシー不整合解消支援システム。
  12. 対処案生成規則記憶手段は、監視漏れ不整合に対応するファイアウォールの設定情報の修正パターンとして、不整合原因となったファイアウォールの設定情報の記述箇所より優先順位が高い記述であってパケットの通過を禁止する記述を挿入する旨の修正パターンを定め、監視過剰不整合に対応するファイアウォールの設定情報の修正パターンとして、不整合原因となったファイアウォールの設定情報の記述箇所より優先順位が高い記述であってパケットの通過を許可する記述を挿入する旨の修正パターンを定めた対処案生成規則を記憶し、
    修正方法生成手段は、監視漏れ不整合が検出された場合には、監視漏れ不整合に対応する修正パターンに従って、監視漏れ不整合の原因として特定されたファイアウォールの設定情報の記述箇所より優先順位が高い記述であって侵入検知システムが監視対象としていないパケットのポート番号を有するパケットの通過を禁止する記述を挿入するという修正方法を生成し、監視過剰不整合が検出された場合には、監視過剰不整合に対応する修正パターンに従って、監視過剰不整合の原因として特定されたファイアウォールの設定情報の記述箇所より優先順位が高い記述であって侵入検知システムが監視対象としているパケットのポート番号を有するパケットの通過を許可する記述を挿入するという修正方法を生成する
    請求項11に記載のセキュリティポリシー不整合解消支援システム。
  13. 設定情報分析手段が、ネットワークシステムが備えるセキュリティ機器の複数種類のセキュリティ機能の設定を定めた各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出し、
    修正方法生成手段が、設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報毎に、当該設定情報が間違っていて他の設定情報が正しいという仮定のもとで、前記不整合を解消するための設定情報の修正方法を導出する
    ことを特徴とするセキュリティポリシー不整合解消支援方法。
  14. 設定情報記憶手段が、各セキュリティ機能の設定情報を記憶し、
    設定情報分析手段が、設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する
    請求項13に記載のセキュリティポリシー不整合解消支援方法。
  15. 設定情報取得手段が、各セキュリティ機能の設定情報を取得し、
    設定情報分析手段が、設定情報取得手段が取得した各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する
    請求項13に記載のセキュリティポリシー不整合解消支援方法。
  16. ネットワークシステムが備えるセキュリティ機器の複数種類のセキュリティ機能の設定を定めた各セキュリティ機能の設定情報を記憶する設定情報記憶手段を備えたコンピュータに、
    設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する設定情報分析処理、および
    設定情報分析処理で不整合が検出されたときに、各セキュリティ機能の設定情報毎に、当該設定情報が間違っていて他の設定情報が正しいという仮定のもとで、前記不整合を解消するための設定情報の修正方法を導出する修正方法生成処理
    を実行させるためのセキュリティポリシー不整合解消支援プログラム。
  17. コンピュータに、
    ネットワークシステムが備えるセキュリティ機器の複数種類のセキュリティ機能の設定を定めた各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する設定情報分析処理、および
    設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報毎に、当該設定情報が間違っていて他の設定情報が正しいという仮定のもとで、前記不整合を解消するための設定情報の修正方法を導出する修正方法生成処理
    を実行させるためのセキュリティポリシー不整合解消支援プログラム。
JP2005248789A 2005-08-30 2005-08-30 セキュリティポリシー不整合解消支援システム、方法およびプログラム Expired - Fee Related JP4389853B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005248789A JP4389853B2 (ja) 2005-08-30 2005-08-30 セキュリティポリシー不整合解消支援システム、方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005248789A JP4389853B2 (ja) 2005-08-30 2005-08-30 セキュリティポリシー不整合解消支援システム、方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2007067604A true JP2007067604A (ja) 2007-03-15
JP4389853B2 JP4389853B2 (ja) 2009-12-24

Family

ID=37929335

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005248789A Expired - Fee Related JP4389853B2 (ja) 2005-08-30 2005-08-30 セキュリティポリシー不整合解消支援システム、方法およびプログラム

Country Status (1)

Country Link
JP (1) JP4389853B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009175883A (ja) * 2008-01-22 2009-08-06 Kyocera Mita Corp 情報処理装置および情報処理方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009175883A (ja) * 2008-01-22 2009-08-06 Kyocera Mita Corp 情報処理装置および情報処理方法

Also Published As

Publication number Publication date
JP4389853B2 (ja) 2009-12-24

Similar Documents

Publication Publication Date Title
US9363286B2 (en) System and methods for detection of fraudulent online transactions
US7739722B2 (en) System for supporting security administration and method of doing the same
US7882537B2 (en) Method and apparatus for security policy management
US7827545B2 (en) Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy
US20160127417A1 (en) Systems, methods, and devices for improved cybersecurity
US20150113421A1 (en) System, method, and computer program product for managing a plurality of applications via a single interface
JP5471666B2 (ja) ネットワーク管理装置、ネットワーク管理方法及びネットワーク管理プログラム
US10079724B2 (en) Consensus-based network configuration management
JP2015531508A (ja) コンピュータネットワークにおける自動化メモリおよびスレッド実行異常検出のためのシステムおよび方法
WO2013160765A2 (en) Cyber security analyzer
JP2004258777A (ja) セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム
JP2006252256A (ja) ネットワーク管理システム、方法およびプログラム
US10599857B2 (en) Extracting features for authentication events
CN106341386B (zh) 针对基于云的多层安全架构的威胁评估级确定及补救
US20070107041A1 (en) Information processor, method and program for controlling incident response device
US20220121734A1 (en) System for face authentication and method for face authentication
US20180309724A1 (en) Control plane network security
JP4735290B2 (ja) セキュリティポリシー不整合解消支援システム、方法およびプログラム
US11750595B2 (en) Multi-computer processing system for dynamically evaluating and controlling authenticated credentials
JP4389853B2 (ja) セキュリティポリシー不整合解消支援システム、方法およびプログラム
JP6943313B2 (ja) ログ解析システム、解析装置、方法、および解析用プログラム
CN109981573B (zh) 安全事件响应方法及装置
US10831887B2 (en) System and method for monitoring the integrity of a component delivered to a client system by a server system
CN112214756A (zh) 一种消费机的权限管理系统、方法及存储介质
CN117081818A (zh) 基于智能合约防火墙的攻击交易识别与拦截方法及系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070313

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090304

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090623

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090818

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090915

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090928

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121016

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4389853

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131016

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees