JP2009169781A - ネットワーク検疫システム - Google Patents
ネットワーク検疫システム Download PDFInfo
- Publication number
- JP2009169781A JP2009169781A JP2008008641A JP2008008641A JP2009169781A JP 2009169781 A JP2009169781 A JP 2009169781A JP 2008008641 A JP2008008641 A JP 2008008641A JP 2008008641 A JP2008008641 A JP 2008008641A JP 2009169781 A JP2009169781 A JP 2009169781A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- network
- program
- countermeasure
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】セキュリティ対策状況を調査する為の、前提プログラムをあらかじめ実行する事無く、ネットワークに接続しようとした場合でも未対策の端末を検出しセキュリティ対策用プログラムを強制送付し対策を完了させる。
【解決手段】事前にセキュリティ対策状況を調査する前提プログラムを実施する事なく、ネットワーク002に接続しようとした端末装置004に対して、検疫システム007から、PORTの開閉状態、サービスの起動状態、匿名ログインの可否状態、最新の脆弱性に対するセキュリティ対策状況を調査し、その結果を事前に決めておいたセキュリティポリシー019や、脆弱性情報018の判定条件に従って、対策済判定処理部014にて、セキュリティ対策が実施されているかどうかを判断し、対策が未実施と判定した場合は対策プログラム020を送付し実行させ、セキュリティ対策を実施する。
【選択図】 図1
【解決手段】事前にセキュリティ対策状況を調査する前提プログラムを実施する事なく、ネットワーク002に接続しようとした端末装置004に対して、検疫システム007から、PORTの開閉状態、サービスの起動状態、匿名ログインの可否状態、最新の脆弱性に対するセキュリティ対策状況を調査し、その結果を事前に決めておいたセキュリティポリシー019や、脆弱性情報018の判定条件に従って、対策済判定処理部014にて、セキュリティ対策が実施されているかどうかを判断し、対策が未実施と判定した場合は対策プログラム020を送付し実行させ、セキュリティ対策を実施する。
【選択図】 図1
Description
この発明は、ネットワーク内に接続される端末のセキュリティ対策状況を監視する検疫システムに関するものである。
インターネットへの常時接続が当たり前となっている近年、様々なウィルスの拡散により、感染、情報漏洩、サービス停止等の問題が発生している。
OS、アプリケーションとも、各種ウィルスからの攻撃を防御する為の対策パッチを公開しているが、それらの提供もインターネットを経由して実施される為、新たに端末を導入する際は、どうしても対策を未実施の状態でネットワークに接続してしまう危険性が残ってしまう。
その為、特開2007-25812号公報にもある様に、ネットワークに接続する前に必要最小限の対策と、端末の対策状況を調査する前提プログラムを外部媒体等から端末のメモリ上に展開した上で実行し、あらかじめセキュリティの状況を調査・対策を実施してから、ネットワークに接続する方法などが提案されている。
端末のセキュリティ対策状況を収集する為には、端末のメモリ上で動作する前提プログラムが必要な為、ネットワークに接続する前にプログラムの実行が必要となる。
特開2007-25812号では前提プログラムを保存した外部媒体を端末に接続し、このプログラムを実行する事で、サーバにセキュリティ対策状況を送付する仕組みとなっている。
この方法では、セキュリティ対策を実施済みの端末との思い込みや、外部から端末を持込み、ネットワークに接続する際の手順の誤り等により、セキュリティ未対策の端末がネットワークに接続された場合、これを検出する事が出来ない。
本発明の目的は、セキュリティ対策状況を調査する為の、前提プログラムをあらかじめ実行する事無く、ネットワークに接続した場合でも検疫システム側からセキュリティ対策状況を調査可能とし、その結果、未対策の端末を検出した場合にセキュリティ対策用プログラムを強制送付し、セキュリティ対策を完了させるものである。
新たにネットワークに接続した端末装置に対して監視サーバの端末調査処理部からポートスキャンの実施による各種サービスの起動状況、匿名ログインの可否、最新の脆弱性に対する攻撃、等を実施し、その結果をセキュリティポリシーとして管理者が事前に決めておいた判定条件に従って、セキュリティ対策が実施されているかどうかを判断し、対策が未実施と判定した場合は対策用プログラムを送付し実行させ、セキュリティ対策を実施する。
これによりネットワークに接続する前に前提プログラムを実行する事なくセキュリティ対策状況を調査・対策する事を可能にする。
あらかじめ前提プログラムを実行していない端末であっても、初めてネットワークに接続した時点で、セキュリティ対策状況を確認し、未対策の場合、対策実施プログラムを強制配布・実行し、対策を完了できる。
以下、図面を用いて発明の詳細を説明する。
図1は本発明のシステム構成の例である。
ルータ001は、各種インフラを利用可能なネットワーク002や、外部ネットワークとの相互の通信制御を行っている。
ネットワーク002には、ネットワークを通じて各種インフラサービスを利用する端末装置群003と、ネットワーク 002に接続しようとする端末のセキュリティ対策状況を調査・対策する検疫システム007が接続されている。
未対策端末装置群005は、ルータ001により、ネットワーク002や外部のネットワークとの通信を遮断した状態にしてあり、万一ウィルスに感染していた場合でも、ネットワーク002や外部ネットワークへ感染が拡大する事を防止している。
端末装置群003は、複数の端末装置#(1)004から端末装置#(n)で構成される。
検疫システム007は一般的なコンピュータであり、CPU008、メモリ009、外部記憶装置016、未対策端末表示装置021から構成される。
メモリ009には、ネットワークに接続しようとする際に端末装置からルータ001に対して送信されるパケットを監視するネットワーク監視部010、ネットワークに接続しようとする端末装置が新たに接続された物か、それとも以前に接続しようとしてセキュリティ対策が未実施の為未対策端末と判定された物か、又はセキュリティ対策済みの物かを判定する端末情報処理部011、最新の脆弱性対策が実施されているか否かの判定を行う脆弱性情報処理部012、接続された端末のセキュリティ対策状況を調査する、端末調査処理部013、セキュリティ対策が完了したか否かを判定する、対策済判定処理部014、未対策端末の情報を表示装置に表示する処理を行う、表示処理部015が記憶されており、それぞれCPU008を利用して動作を実行する。外部記憶装置016には、これまでにネットワーク002に接続しようとした事が有る端末装置のセキュリティ対策状況の情報を記憶する端末装置情報017と、脆弱性の情報を記憶する脆弱性情報018、セキュリティ対策が完了したか否かを判定する際の判定条件であるセキュリティポリシー019と、各種OS毎のセキュリティ対策プログラムを保存している、対策プログラム020が記憶されている。
端末情報処理部011は、ネットワーク監視部010が監視しているパケットの送信元情報から検出した新たにネットワークに接続しようとした端末装置が、端末装置情報領域 017に既に登録されているかを確認し、未登録の場合、新たにネットワークに接続された物と判断し、当該端末に対してセキュリティ対策状況の調査・対策を実施する。
図3は、端末装置情報017の領域に保存されているデータの形式を示している。
IP035は端末装置のIPアドレス、MAC036はMACアドレス、PORT037はポートスキャンを実施した結果開いた状態となっているPORT番号、サービス038は起動しているサービスの名称、匿名ログイン039はサービスに対しての匿名ログインの可否、対策状況040は、最新の脆弱性情報に対するセキュリティ対策の実施状況、判定結果041は、対策済判定処理部014が、当該端末がセキュリティ対策が実施済みか、否かを判定した結果、実行結果042は検疫システム007から送付した対策プログラムの実行結果、完了日043はセキュリティ対策が完了した日付、OS 044はOS名称、Ver/Rev045はバージョン情報をそれぞれ記録している。
1台の端末装置において、複数のPORT番号が開いている場合は、PORT番号毎に新たな1レコードとして記録する。
1台の端末装置において複数のサービスが起動している場合は、サービス毎に新たなレコードとして記録する。
PORTが開いているがサービスが起動していない場合は、匿名ログインの確認が出来ない為、サービス038及び、匿名ログイン039の項目は空欄となる。
又、非常にまれなケースとして開いているポートが1件も検出され無い場合は、その端末がネットワーク002へ接続しようとした事を記録する為に、PORT037、サービス038、匿名ログイン039の項目が空欄のレコードを記録しておく。
図4は、脆弱性情報018の領域に保存されている各OS毎の最新の脆弱性情報のデータ形式を表示している。
OS046はその脆弱性を持っているOSの種類、対策要ファイル047は、この脆弱性における対策が必要なファイル名称、対策済みVer-Rev048は、当該ファイルの対策が完了してるVer-Revの情報、対策公開日049は、この脆弱性に対する対策が公開された年月日を記録している。
図5は、対策プログラム020の領域に保存されているデータの形式を表示している。
OS050は、対策プログラムが対応しているOSの種類、対策プログラム051は、対策プログラムのファイル名、作成日052は、対策プログラムが作成された年月日を記録している。
図6は、セキュリティポリシー019の領域に保存されているデータの形式を表示している。
PORT053はPORT番号を、サービス054はサービス名を、開閉055はPORTの開閉状態を、起動/停止056はサービスの起動状態を、匿名ログイン057は、サービスへの匿名ログインの可否を表している。
この情報は当該ネットワークにおけるセキュリティに関する基準に応じて、管理者が変更可能となっている。
図2は、ネットワーク002に端末装置が接続しようした際の本発明の処理の流れを示しているフローチャートである。
ネットワーク002に端末装置が接続(022)しようとすると、ルータ001に対してパケットを送信(023)する。ネットワーク監視部010はこれを検知してパケット内の送信元情報よりその端末に対してARCコマンドを発行し端末装置のMACアドレスを取得する。又、取得したMACアドレスを端末情報処理部011に送付する(024)。
端末情報処理部011は、送付されて来たMACアドレスをキーにして端末装置情報017のMAC036と突合せ(025)を実施し、新規接続端末か否かを判定(026)し、端末装置情報017に登録されていない新規接続端末であると判定した場合、端末調査処理部013に対して、セキュリティ対策状況の調査を実施する様、指令する(028)。端末情報処理部011から、セキュリティ対策状況を調査する様に指示された端末調査処理部013は、当該端末装置に対して、NmapやNesussの様な一般的なネットワークスキャナプログラムが実施するのと同等の(1)〜(3)の調査を実施する。
(1)インフラを利用するに当たって不要なポート番号が開いていないかを調査する。
(2)インフラを利用する際に不要なサービスプログラムが起動していないかを調査する。
(3)起動しているサービスに対して匿名ログインが可能かを確認する。
(1)インフラを利用するに当たって不要なポート番号が開いていないかを調査する。
(2)インフラを利用する際に不要なサービスプログラムが起動していないかを調査する。
(3)起動しているサービスに対して匿名ログインが可能かを確認する。
本システムではさらに、脆弱性情報処理部012により、
(4)当該端末装置にて起動しているサービスを利用して当該端末に接続し、最新の脆弱性に対する対策が実施されているか、対策要ファイル047のVer-Revを確認する。
(4)当該端末装置にて起動しているサービスを利用して当該端末に接続し、最新の脆弱性に対する対策が実施されているか、対策要ファイル047のVer-Revを確認する。
そして、これらの調査結果を端末装置情報017の領域に保存する(029)。
対策済判定処理部014は、端末装置情報017に保存されている情報の内、当該端末と同じMACアドレスの情報を持つレコードを抽出し、セキュリティポリシー019の領域にあらかじめ保存されているPORT、サービス、匿名ログインの条件に反する物が無いか、及び、脆弱性情報018に保存されている対策要ファイルのVer-Rev情報よりも古いバージョンのファイルでは無いかを確認し、当該端末装置にセキュリティ対策が実施されていないと判定(030)した場合、対策プログラム020領域に保管されている各種OSに対応した対策プログラムの中から、当該端末のOS用の物を強制送付し実行させる(031)。
又、端末情報処理部011によって新規に接続しようとしている端末ではないと判定(026)した場合は、端末装置情報017に保存されている当該端末の各種情報とセキュリティポリシー019の情報、及び脆弱性情報018の情報を、対策済判定処理部014にて再度確認し、当該端末装置にセキュリティ対策が実施されていないと判定(027)した場合、端末調査処理部013に対して、セキュリティ対策状況の再調査を実施する様、指令する(028)。
対策プログラムの実行結果は当該端末から対策済判定処理部014に対してOK又はNGの情報として返信される。
対策済判定処理部014は当該端末からの実行結果がOKの場合は、正しく対策が完了したと判断し、処理を完了する。NGの場合は、未対策のままと判断(031)し、対策済判定処理部014によりルータ001に対して、当該端末から他の端末に対する通信、及び他の端末からの当該端末への通信を一切遮断する様に指示する(033)。
さらに、未対策端末が検出された事を、表示処理部015に通知する(033)。
表示処理部015は未対策端末表示装置021にメッセージを表示するとともに、管理者宛にメール等で通知し(033)手動による対策実施を促す。
管理者は未対策端末表示装置021に表示された情報を元に、対策プログラムの実施
結果がNGとなった未対策端末装置006に対して手動で対策を実施し、対策完了後、ルータ001に対して当該端末の通信遮断を解除するよう設定変更を実施し、ネットワーク002に接続する。
結果がNGとなった未対策端末装置006に対して手動で対策を実施し、対策完了後、ルータ001に対して当該端末の通信遮断を解除するよう設定変更を実施し、ネットワーク002に接続する。
001…ルータ、002…ネットワーク、003…端末装置群、004…端末装置、005…未対策端末装置群、006…未対策端末装置、007…検疫システム、008…CPU、009…メモリ、010…ネットワーク監視部、011…端末情報処理部、012…脆弱性情報処理部、013…端末調査処理部、014…対策済判定処理部、015…表示処理部、016…外部記憶装置、017…端末装置情報、018…脆弱性情報、019…セキュリティポリシー、020…対策プログラム、021…未対策端末表示装置。
Claims (3)
- ネットワーク内に新たに接続された端末が、ネットワークを経由した攻撃に対する脆弱性を解消する為の適切なセキュリティ対策を実施しているかを検査し、未対策の端末を検知した場合、対策実施プログラムを当該端末に送付しセキュリティ対策を実施する事を特徴とするネットワーク検疫システム。
- 端末のセキュリティ対策が適切に実施されているかを収集し監視サーバへ収集した情報を送信する為の端末上で操作する前提プログラムを必要としない様に、検疫システムから端末に対して、ポートスキャンによるポートの開閉状態の確認、開いているポートに対してアクセスを試み、サービスが匿名ログインで利用可能となっていないか、新たに判明した脆弱性対する対策実施状態の確認、等を実施可能とし、ネットワークへ繋ぐ際の事前作業を不要とするネットワーク検疫システム。
- 未対策の端末に強制送付して実行する対策実施プログラムの実行結果がエラーとなった場合は、当該端末を通常のネットワークとの通信を遮断した上で、管理者に対して表示装置やメール等で通知し、手動での対策実施を促すネットワーク検疫システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008008641A JP2009169781A (ja) | 2008-01-18 | 2008-01-18 | ネットワーク検疫システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008008641A JP2009169781A (ja) | 2008-01-18 | 2008-01-18 | ネットワーク検疫システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009169781A true JP2009169781A (ja) | 2009-07-30 |
Family
ID=40970852
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008008641A Pending JP2009169781A (ja) | 2008-01-18 | 2008-01-18 | ネットワーク検疫システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009169781A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010067216A (ja) * | 2008-09-12 | 2010-03-25 | Toshiba Corp | 脆弱性判定装置及びプログラム |
WO2011118237A1 (ja) * | 2010-03-26 | 2011-09-29 | 株式会社日立製作所 | 認証装置および認証方法 |
JP2014086004A (ja) * | 2012-10-26 | 2014-05-12 | Pfu Ltd | 情報処理装置、方法およびプログラム |
JP2020201533A (ja) * | 2019-06-05 | 2020-12-17 | 富士通株式会社 | 不正中継監査プログラム、不正中継監査方法および不正中継監査システム |
-
2008
- 2008-01-18 JP JP2008008641A patent/JP2009169781A/ja active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010067216A (ja) * | 2008-09-12 | 2010-03-25 | Toshiba Corp | 脆弱性判定装置及びプログラム |
WO2011118237A1 (ja) * | 2010-03-26 | 2011-09-29 | 株式会社日立製作所 | 認証装置および認証方法 |
JP2014086004A (ja) * | 2012-10-26 | 2014-05-12 | Pfu Ltd | 情報処理装置、方法およびプログラム |
US9787708B2 (en) | 2012-10-26 | 2017-10-10 | Pfu Limited | Information processing apparatus, method, and medium |
JP2020201533A (ja) * | 2019-06-05 | 2020-12-17 | 富士通株式会社 | 不正中継監査プログラム、不正中継監査方法および不正中継監査システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10812521B1 (en) | Security monitoring system for internet of things (IOT) device environments | |
JP5029701B2 (ja) | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 | |
US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
US8566941B2 (en) | Method and system for cloaked observation and remediation of software attacks | |
US9264441B2 (en) | System and method for securing a network from zero-day vulnerability exploits | |
US7774637B1 (en) | Meta-instrumentation for security analysis | |
JP4743911B2 (ja) | 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備 | |
US9203802B2 (en) | Secure layered iterative gateway | |
US8347383B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
US20030084322A1 (en) | System and method of an OS-integrated intrusion detection and anti-virus system | |
US20070174917A1 (en) | Platform for analyzing the security of communication protocols and channels | |
JP2006252256A (ja) | ネットワーク管理システム、方法およびプログラム | |
Avritzer et al. | Monitoring for security intrusion using performance signatures | |
CN114257413B (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
JP2006243878A (ja) | 不正アクセス検知システム | |
US8763121B2 (en) | Mitigating multiple advanced evasion technique attacks | |
JP2009169781A (ja) | ネットワーク検疫システム | |
JP2006252471A (ja) | ネットワーク監視方法、ネットワーク監視システム及びネットワーク監視プログラム | |
EP2007066A2 (en) | A policy enforcement point and a linkage method and system for intrude detection system | |
KR20200011702A (ko) | 보안관제체계 진단장치 및 보안관제체계 진단방법 | |
KR101592323B1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
US20170310537A1 (en) | Method for dynamic adjustment of a level of verbosity of a component of a communications network | |
KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 |