以下、本発明の一実施形態について、図面を参照しながら説明する。
図1は、実施形態における通信システム1の構成の一例を示すシステム構成図である。通信システム1は、例えば図1に示すように、ユーザの拠点内に構築されたユーザNW(ネットワーク)2と、データセンタ3とを有する。
ユーザNW2には、例えば図1に示すように、通信制御装置20、トンネリング装置21、SDN−SW(Software-Defined Network - SWitch)22、Webプロキシサーバ23、ルータ24、およびSDNコントローラ25が設けられる。通信制御装置20は、通信ログ収集部200、通信ログ記憶部201、通信制御部202、および改竄情報受付部203を有する。SDN−SW22には、LAN28が接続され、LAN28には、複数のユーザ端末26−1、26−2、・・・と、1つ以上のサーバ27が接続される。なお、以下では、ユーザ端末26−1、26−2、・・・を区別することなく総称する場合に、「ユーザ端末26」と記載する。ユーザ端末26およびサーバ27は、通信装置の一例である。
データセンタ3には、例えば図1に示すように、ルータ30、トンネリング装置31、SDN−SW32、検査サーバ33、および1つ以上のDC(Data Center)サーバ36−1、36−2、・・・が設けられる。SDN−SW32には、隔離ネットワーク34およびLAN35が接続される。隔離ネットワーク34には、検査サーバ33が接続される。LAN35には、DCサーバ36−1、36−2、・・・がそれぞれ接続される。なお、以下では、DCサーバ36−1、36−2、・・・を区別することなく総称する場合に、「DCサーバ36」と記載する。
ユーザNW2内のトンネリング装置21は、データセンタ3内のトンネリング装置31との間で、例えばL2−VPN(Layer 2 − Virtual Private Network)等の技術を用いて仮想的な通信路を設定する。そして、SDN−SW22から通信データを受け取った場合に、当該通信データについてカプセル化および暗号化の処理を施す。そして、トンネリング装置21は、処理後の通信データの送信元のIPアドレスをトンネリング装置21のアドレスとし、宛先のIPアドレスをトンネリング装置31としてルータ24へ送る。また、トンネリング装置21は、ルータ24からカプセル化された通信データを受け取った場合に、当該通信データについてデカプセル化および復号の処理を施し、処理後の通信データをSDN−SW22へ送る。
Webプロキシサーバ23は、SDN−SW22から通信データを受け取った場合に、受け取った通信データに基づいて外部アクセスログを作成し、作成した外部アクセスログを通信ログとして、SDN−SW22を介して通信制御装置20へ送る。なお、Webプロキシサーバ23は、SDN−SW22を介さずに、通信ログを通信制御装置20へ送ってもよい。外部アクセスログには、通信データの送信元のユーザ端末26またはサーバ27の情報(アクセス元情報)、通信データの送信先のWebサーバ11の情報(アクセス先情報)、および、当該通信データの送信時刻(アクセス時刻)が含まれる。Webサーバ11は、外部サービス装置の一例である。
アクセス元情報には、通信データの送信元のユーザ端末26またはサーバ27の識別情報と、当該ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報とが含まれる。ユーザ端末26およびサーバ27の識別情報としては、例えばMACアドレス、IPアドレス、およびホスト名等を用いることができる。また、ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報としては、プログラム名やバージョンの情報等を用いることができる。ブラウザプログラムの情報は、HTTP(HyperText Transfer Protocol)を用いた通信であれば、例えば通信データのヘッダに含まれているユーザエージェント(User Agent)情報から取得することができる。アクセス先情報には、通信データの宛先となるWebサイトのURL(Uniform Resource Locator)や、当該Webサイトを提供しているWebサーバ11のIPアドレス等を用いることができる。
Webプロキシサーバ23は、例えば、SDN−SW22から受け取った通信データの送信元のIPアドレスをWebプロキシサーバ23のアドレスに書き換えてルータ24へ送る。また、Webプロキシサーバ23は、例えば、ルータ24から受け取った通信データの宛先を、当該通信データの要求元のユーザ端末26のアドレスに書き換えてSDN−SW22へ送る。なお、透過型プロキシ機能を備えるWebプロキシサーバを設置する場合は、この限りではなく、IPアドレスを書き換えない場合もある。
ルータ24は、トンネリング装置21から受け取った通信データを、インターネット等の通信回線12を介してデータセンタ3へ送り、Webプロキシサーバ23から受け取った通信データを、通信回線12を介して宛先のWebサーバ11へ送信する。また、ルータ24は、通信回線12を介して通信データを受信した場合に、受信した通信データを、宛先のIPアドレスに応じてトンネリング装置21またはWebプロキシサーバ23へ送る。
SDN−SW22は、フローテーブルおよび複数の入出力ポートを有し、それぞれのポートにおいて通信データを受信した場合に、受信した通信データを、フローテーブルに設定された条件に従って処理する。具体的なフローテーブルの例を、図2を用いて説明する。図2は、ユーザNW2に設けられたSDN−SW22の設定の一例を説明するための説明図である。図2(a)は、SDN−SW22に設けられた各ポートとその接続先を示している。図2(b)は、SDN−SW22内のフローテーブル220に設定されるデータの一例を示している。
なお、SDN−SW22およびSDN−SW32は、例えばOpenflow対応スイッチ(Openvswitch: http://openvswitch.org/)を用いて実現することができる。また、SDNコントローラ25は、例えばOpenflow(https://www.opennetworking.org/)対応コントローラを用いて実現することができる。
図2(a)に例示するように、SDN−SW22のポート01はLAN28を介してユーザ端末26およびサーバ27にそれぞれ接続され、ポート02はトンネリング装置21に接続され、ポート03はWebプロキシサーバ23に接続され、ポート04は通信制御装置20に接続されている。なお、SDN−SW22とSDNコントローラ25は、SDN用のチャネルで通信が確立している。
SDN−SW22内のフローテーブル220には、例えば図2(b)に示すように、通信データを受信した入力ポートの情報に対応付けて、当該入力ポートで受信した通信データの条件と、その条件を満たした通信データを送出する出力ポートの情報とが格納されている。図2(b)の例では、通信データの送信元MACアドレスおよび宛先のMACアドレスが条件として指定される。
なお、図2(b)に例示したフローテーブル220において、各行はフローエントリと呼ばれ、左側の3列は、SDN−SW22が通信データを受信したときに、受信した通信データと比較される条件項目であり、一番右側の1列は、受信した通信データが条件項目にマッチしたときに、SDN−SW22がその通信データに対して実行する命令である。また、図2(b)に例示したフローテーブル220において、「−」は、任意のMACアドレスを示し、「***」は、SDNコントローラ25によって指定されたMACアドレスが随時登録または削除されることを示している。また、SDN−SW22は、受信した通信データについて、フローテーブル220の最上段のレコードから最下段のレコードに向かって順に条件判定を行う。また、SDN−SW22は、いずれのレコードにも該当しない通信データについては、対処をSDNコントローラ25に問い合わせたり、ドロップさせたりする。なお、図1および図2では、Webサイトへのアクセスに着目したシステム構成が図示されている。Webサイトとの通信以外の通信では、通信データは、Webプロキシサーバ23を経由せずに、SDN−SW22とルータ24の間の図示しない接続を介してやり取りされる。
図2(b)に例示したフローテーブル220において、例えば最上段のレコードは、「01」のポートから入力された通信データについては、通信データの送信元MACアドレスがSDNコントローラ25によって指定されたアドレスであれば、宛先MACアドレスにかかわらず、その通信データを「02」のポートから出力することを示している。その結果、ユーザ端末26またはサーバ27から出力された通信データは、トンネリング装置21によってカプセル化および暗号化されてデータセンタ3内のトンネリング装置31へ送られる。そして、その通信データは、SDN−SW32によって隔離ネットワーク34内に出力される。
また、例えば上から2段目のレコードは、「01」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがWebプロキシサーバ23のMACアドレスであれば、その通信データを「03」のポートから出力することを示している。この結果、ユーザ端末26またはサーバ27から出力された通信データは、Webプロキシサーバ23へ送られ、Webプロキシサーバ23によって宛先のWebサーバ11へ送信される。または、通信データの宛先IPアドレスが外部のネットワークであって、かつ、宛先ポートがWebサービス系を示す80番、8080番、443番等である場合のみ、Webプロキシサーバ23へ送るようSDN−SW22を制御してもよい。
また、例えば上から3段目のレコードは、「01」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがDCサーバ36のMACアドレスであれば、その通信データを「02」のポートから出力することを示している。その結果、ユーザ端末26またはサーバ27から出力された通信データは、トンネリング装置21によってカプセル化および暗号化されてデータセンタ3内のトンネリング装置31へ送られ、SDN−SW32によって、LAN35内のDCサーバ36へ出力される。
また、例えば上から4段目のレコードは、「01」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがユーザ端末26またはサーバ27のMACアドレスであれば、その通信データを「01」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、互いに通信データを送受信することができる。
なお、SDN−SW22は、それぞれのユーザ端末26およびサーバ27が、LAN28内において他のユーザ端末26またはサーバ27へ通信データを送信した場合、および、データセンタ3内のDCサーバ36へ通信データを送信した場合に、当該通信データ内の情報から内部アクセスログを作成する。そして、SDN−SW22は、作成した内部アクセスログを通信ログとして通信制御装置20へ出力する。内部アクセスログには、通信データの送信元のユーザ端末26の情報(アクセス元情報)、通信データの送信先の他のユーザ端末26、サーバ27、またはDCサーバ36の情報(アクセス先情報)、および、当該通信データの送信時刻(アクセス時刻)が含まれる。
内部アクセスログにおけるアクセス元情報には、通信データの送信元のユーザ端末26またはサーバ27の識別情報と、SDN−SW22にアプリケーションレベルのレイヤの通信をキャプチャする機能が備わっている場合は、当該ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報とが含まれる。また、内部アクセスログにおけるアクセス先情報には、通信データの宛先のユーザ端末26またはサーバ27の識別情報が含まれる。また、SDN−SW32も同様の構成をとることとしてもよい。
また、図2(b)に例示したフローテーブル220において、例えば上から5段目のレコードは、「02」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがユーザ端末26またはサーバ27のMACアドレスであれば、その通信データを「01」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、隔離ネットワーク34内の検査サーバ33またはLAN35内のDCサーバ36からの通信データを受信することができる。
また、例えば上から6段目のレコードは、「02」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスが通信制御装置20のMACアドレスであれば、その通信データを「04」のポートから出力することを示している。その結果、通信制御装置20は、検査サーバ33からの通信データを受信することができる。
また、例えば上から7段目のレコードは、「03」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがユーザ端末26またはサーバ27のMACアドレスであれば、その通信データを「01」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、Webプロキシサーバ23を介して、Webサーバ11から通信データを受信することができる。
また、例えば上から8段目のレコードは、「04」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスが検査サーバ33のMACアドレスであれば、その通信データを、「02」のポートから出力することを示している。その結果、通信制御装置20は、検査サーバ33へ通信データを送信することができる。なお、図示しないが、図2(b)の設定と矛盾がない範囲でSDN−SW22には、一般的なスイッチング機能を実施するフローエントリが設定されているものとする。
また、図示しない通信路を経由して、SDNコントローラ25は、SDN−SW32内のフローテーブル320への設定情報をSDN−SW32へ送信することができる。例えば、SDNコントローラ25とトンネリング装置21とが直接接続され、L2−VPN経由で通信する場合があげられる。または、SDNコントローラ25とSDN−SW32とをSSL等によって直接接続してもよい。
図1に戻って説明を続ける。データセンタ3内のトンネリング装置31は、ユーザNW2内のトンネリング装置21との間で、例えばL2−VPN等の技術を用いて仮想的な通信路を設定する。そして、SDN−SW32から通信データを受け取った場合に、当該通信データについてカプセル化および暗号化の処理を施す。そして、トンネリング装置31は、処理後の通信データの送信元のIPアドレスをトンネリング装置31のアドレスとし、宛先のIPアドレスをトンネリング装置21としてルータ30へ送る。また、トンネリング装置31は、ルータ30からカプセル化された通信データを受け取った場合に、当該通信データについてデカプセル化および復号化の処理を施し、処理後の通信データをSDN−SW32へ送る。
ルータ30は、トンネリング装置31から受け取った通信データを、通信回線12を介してユーザNW2へ送り、通信回線12を介して受信した通信データをトンネリング装置31へ送る。
SDN−SW32は、フローテーブルおよび複数の入出力ポートを有し、それぞれのポートにおいて通信データを受信した場合に、受信した通信データを、フローテーブルに設定された条件に従って処理する。具体的なフローテーブルの例を、図3を用いて説明する。図3は、データセンタ3に設けられたSDN−SW32の設定の一例を説明するための説明図である。図3(a)は、SDN−SW32に設けられた各ポートとその接続先を示している。図3(b)は、SDN−SW32内のフローテーブル320に設定されるデータの一例を示している。
図3(a)に例示するように、SDN−SW32のポート11はトンネリング装置31に接続され、ポート12は隔離ネットワーク34を介して検査サーバ33に接続され、ポート13はLAN35を介してDC上のサーバであるDCサーバ36にそれぞれ接続されている。SDN−SW32内のフローテーブル320には、例えば図3(b)に示すように、通信データを受信した入力ポートの情報に対応付けて、当該入力ポートで受信した通信データの条件と、その条件を満たした通信データを送出する出力ポートの情報とが格納されている。図3(b)の例では、通信データの送信元MACアドレスおよび宛先のMACアドレスが条件として指定される。
なお、図3(b)に例示したフローテーブル320においても、図2(b)に例示したフローテーブル220と同様に、「−」は任意のMACアドレスを示し、「***」はSDNコントローラ25によって指定されたMACアドレスが随時設定されることを示している。また、SDN−SW32は、受信した通信データについて、フローテーブル320の最上段のレコードから最下段のレコードに向かって順に条件判定を行う。また、SDN−SW32も、SDN−SW22と同様に、いずれのレコードにも該当しない通信データについては、その対処をSDNコントローラ25に問い合わせたり、ドロップさせたりする。
図3(b)に例示したフローテーブル320において、例えば最上段のレコードは、「11」のポートから入力された通信データについては、通信データの送信元MACアドレスがSDNコントローラ25によって指定されたアドレスであれば、宛先MACアドレスにかかわらず、その通信データを「12」のポートから出力することを示している。その結果、SDNコントローラ25によって指定されたMACアドレスに該当するユーザ端末26およびサーバ27から出力された通信データは、隔離ネットワーク34へ送出される。
また、例えば上から2段目のレコードは、「11」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスが検査サーバ33のアドレスであれば、その通信データを「12」のポートから出力することを示している。その結果、それぞれのユーザ端末26、サーバ27、および通信制御装置20は、検査サーバ33に通信データを送信することができる。
また、例えば上から3段目のレコードは、「11」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがDCサーバ36のアドレスであれば、その通信データを「13」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、それぞれのDCサーバ36に通信データを送信することができる。
また、例えば上から4段目のレコードは、「12」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスがユーザ端末26、サーバ27、または通信制御装置20のアドレスであれば、その通信データを、「11」のポートから出力することを示している。その結果、ユーザ端末26、サーバ27、および通信制御装置20は、検査サーバ33からの通信データを受信することができる。
また、例えば上から5段目のレコードは、「13」のポートから入力された通信データについては、通信データの送信元MACアドレスにかかわらず、宛先MACアドレスが
ユーザ端末26またはサーバ27のMACアドレスであれば、その通信データを「11」のポートから出力することを示している。その結果、それぞれのユーザ端末26およびサーバ27は、DCサーバ36からの通信データを受信することができる。なお、図示しないが、図3(b)の設定と矛盾がない範囲で、SDN−SW32には、一般的なスイッチング機能を実施するフローエントリが設定されているものとする。
再び図1に戻って説明を続ける。データセンタ3内の検査サーバ33は、通信回線12を介して修正プログラム、マルウェア駆除用のパターンファイル、およびマルウェアの駆除ツールを備えている、または収集する。そして、SDN−SW32を介して検査対象となるユーザ端末26およびサーバ27の情報を含む検査要求を通信制御装置20から受信した場合、検査サーバ33は、当該ユーザ端末26およびサーバ27のそれぞれと通信して、マルウェアに感染しているか否かを検査する。
そして、ユーザ端末26およびサーバ27がマルウェアに感染していない場合、検査サーバ33は、必要に応じてユーザ端末26およびサーバ27のそれぞれに修正プログラムを適用する。そして、検査サーバ33は、修正プログラムの適用が完了したユーザ端末26およびサーバ27の情報を含む検査完了通知を、SDN−SW32へ出力する。当該検査完了通知は、SDN−SW32、トンネリング装置31、ルータ30、通信回線12、ルータ24、トンネリング装置21、およびSDN−SW22を介して、通信制御装置20へ送信される。
一方、ユーザ端末26およびサーバ27がマルウェアに感染している場合、検査サーバ33は、マルウェアの駆除ツールを用いてユーザ端末26およびサーバ27に感染しているマルウェアを駆除した後にそれぞれに修正プログラムを適用する。そして、検査サーバ33は、マルウェアの駆除および修正プログラムの適用が完了したユーザ端末26およびサーバ27の情報を含む検査完了通知を、SDN−SW32へ出力する。そして、検査完了通知は、SDN−SW32を介して通信制御装置20へ送られる。
検査完了通知を受信した通信制御装置20は、隔離を解除する制御命令をSDN−SW22および32へ送信する。なお、通信制御装置20は検査サーバ33への検査要求の送信を省略してもよい。この場合、通信制御装置20が、隔離ネットワーク34に隔離しているユーザ端末26およびサーバ27の情報を管理し、検査サーバ33は、隔離ネットワーク34内に流れてきた通信データの送信元のユーザ端末26およびサーバ27を検査・処理し、検査が完了した後に、検査完了を通信制御装置20へ通知する。そして、通信制御装置20は、SDNコントローラ25を経由して、検査完了通知の受信をトリガーとして、隔離を解除する制御命令をSDN−SW22および32へ送信するようにしてもよい。
ユーザNW2に設けられた通信制御装置20内の通信ログ収集部200は、SDN−SW22を介してWebプロキシサーバ23から通信ログとして外部アクセスログを受信した場合に、受信した外部アクセスログを、通信ログ記憶部201に記憶させる。また、通信ログ収集部200は、SDN−SW22から通信ログとして内部アクセスログを受信した場合に、受信した内部アクセスログを、通信ログ記憶部201に記憶させる。
通信ログ記憶部201は、通信ログとして外部アクセスログおよび内部アクセスログを記憶する。図4は、通信ログ記憶部201が記憶する外部アクセスログ2010の一例を示す図である。外部アクセスログ2010には、例えば図4に示すように、アクセス元情報2011、アクセス先情報2012、およびアクセス時刻2013が含まれる。
アクセス元情報2011には、通信データの送信元のユーザ端末26またはサーバ27の識別情報(例えば、MACアドレス、IPアドレス、およびホスト名等)と、当該ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報(プログラム名やバージョンの情報等)とが含まれる。アクセス先情報2012には、例えば通信データの送信先のWebサイトのURLや、当該Webサイトを提供しているWebサーバ11のIPアドレス等が含まれる。
なお、ユーザNW2が同一L2セグメントのNWである場合、通信データからユーザ端末26やサーバ27のMACアドレスを取得できれば、ユーザ端末26やサーバ27を一意に識別できるため、IPアドレスやホスト名等は外部アクセスログに含まれていなくてもよい。一方、ユーザNW2が異なるL2セグメントのNWで構成されている場合は、MACアドレスでユーザ端末26やサーバ27を識別するのは困難であるため、IPアドレス等の情報を用いて識別することになる。また、本実施形態では、トンネリング装置21およびWebプロキシサーバ23のSDN−SW22側まではレイヤ2接続されていることを前提としているが、レイヤ3接続されている場合には、通信データからはユーザ端末26やサーバ27のMACアドレスを収集できない場合がある。その場合には、通信データに含まれているIPアドレスやホスト名を用いて各ユーザ端末26やサーバ27を識別する。ただし、IPアドレスの割り当てが動的に変わるDHCP環境の場合には、DHCPサーバからMACアドレスとIPアドレスの対応表を取得して、通信データに含まれているIPアドレスに対応するMACアドレスを特定する。
図5は、通信ログ記憶部201が記憶する内部アクセスログ2015の一例を示す図である。内部アクセスログ2015には、例えば図5に示すように、アクセス元情報2016、アクセス先情報2017、およびアクセス時刻2018が含まれる。
アクセス元情報2016には、通信データの送信元のユーザ端末26またはサーバ27の識別情報(例えば、MACアドレス、IPアドレス、およびホスト名等)と、当該ユーザ端末26またはサーバ27にインストールされているブラウザプログラムやOS等の情報とが含まれる。アクセス先情報2017には、通信データの送信先のWebサーバ11の識別情報が含まれる。
再び図1に戻って説明を続ける。通信制御装置20内の改竄情報受付部203は、ユーザNW2の管理者等から、改竄されたWebサイトの情報を含む改竄情報の入力を受け付けた場合に、受け付けた改竄情報を通信制御部202へ送る。改竄情報とは、改竄されたWebサイトの識別情報(例えばURLやIPアドレス)、改竄内容の調査結果、および/または修正プログラム等を含む情報である。
なお、改竄情報受付部203は、ユーザNW2の管理者等から改竄情報の入力を受け付ける機能に加えて、または、これに代えて、セキュリティベンダ等からの改竄情報の通知を受け、その内容を自動的に解釈し、通信制御部202へ渡す機能を有してもよい。また、改竄情報受付部203は、Webを自動クロールしてセキュリティに関する情報を収集して解析し、Webサイトへの攻撃情報を抽出して、通信制御部202へ渡す機能を有してもよい。
ここで、Webサイトが改竄された場合、例えば図6のような経過をたどる。図6は、Webサイトの改竄から修正プログラムの提供までの過程の一例を説明するための説明図である。例えば時刻t1においてWebサイトが改竄された場合、改竄の事実は改竄直後に発覚することは少なく、それからしばらく時間が経過した時刻t2において発覚する。そして、改竄の事実が、Webサイトの運営者によって公表される。
時刻t2において改竄の事実を知ったユーザNW2の管理者は、改竄されたWebサイトの識別情報を含む改竄情報を改竄情報受付部203に入力する。この時点では、改竄が行われた時刻や、改竄により仕込まれたマルウェアによって影響を受けるブラウザプログラム等の情報が得られていないが、改竄されたWebサイトにアクセスしたことのあるユーザ端末26であれば、改竄により仕込まれたマルウェアに感染している可能性がある。そのため、改竄内容の調査結果が公表されるまでは、マルウェアによる感染の拡大を防ぐために、改竄されたWebサイトにアクセスしたことのあるユーザ端末26を隔離することが好ましい。
また、ユーザ端末26が改竄されたWebサイトにアクセスした後に、他のユーザ端末26やサーバ27にアクセスした場合、改竄されたWebサイトに仕込まれたマルウェアが、当該他のユーザ端末26やサーバ27に感染(二次感染)した可能性がある。そのため、感染の有無が確認されるまでは、当該他のユーザ端末26やサーバ27も隔離されることが好ましい。
そして、例えば、改竄が行われた時刻、仕込まれたマルウェアが突く脆弱性を有するブラザプログラムの種別、そのマルウェアが突くブラウザプログラムの脆弱性等が調査され、例えば時刻t3において調査結果が公開される。時刻t3において、ユーザNW2の管理者は、改竄されたWebサイトの識別情報と、改竄内容の調査結果とを含む改竄情報を改竄情報受付部203に入力する。
この時点では、公開された調査結果を参照することにより、改竄されたWebサイトにアクセスしたことのあるユーザ端末26やサーバ27の中で、調査結果に該当するユーザ端末26やサーバ27を特定する。これにより、改竄されたWebサイトに仕込まれたマルウェアに感染している可能性のあるユーザ端末26やサーバ27をある程度絞り込むことができる。
具体的には、Webサイトが改竄された時刻以降にそのWebサイトにアクセスし、かつ、そのWebサイトに仕込まれたマルウェアが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスし、かつ、その脆弱性が修正されていないバージョンのブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27に絞り込むことができる。そして、改竄されたWebサイトにアクセスしたことのあるユーザ端末26やサーバ27の中で、調査結果に該当しないユーザ端末26やサーバ27については、隔離を解除することができる。
そして、改竄によりWebサイトにマルウェアが仕込まれていたことが判明した場合、そのマルウェアの駆除ツールや、そのマルウェアが突くブラウザプログラムの脆弱性を修正する修正プログラムの作成が進められ、例えば時刻t4において駆除ツールや修正プログラムの提供が開始される。隔離されたユーザ端末26やサーバ27は、マルウェアに感染していれば、提供された駆除ツールによりマルウェアが駆除され、提供された修正プログラムが適用された後に、隔離を解除される。
なお、時刻t2において改竄の事実が発覚しても、その時点ではWebサイトの閉鎖にとどめ、調査の結果が出てから例えば時刻t3において調査結果と共に改竄の事実が公表される場合がある。その場合、ユーザNW2の管理者は、時刻t2以前ではWebサイトの改竄の事実を知ることはできず、時刻t3において、初めて、改竄されたWebサイトの識別情報と、改竄内容の調査結果とを含む改竄情報を改竄情報受付部203に入力することになる。
また、調査結果を公表することにより、公表した脆弱性を利用した新たなマルウェアの発生も懸念されることから、修正プログラムが作成された時刻t4において、調査結果および改竄の事実が初めて公表される場合もある。その場合も、ユーザNW2の管理者は、時刻t4において、初めて、改竄されたWebサイトの識別情報と、改竄内容の調査結果とを含む改竄情報を改竄情報受付部203に入力することになる。
再び図1に戻って説明を続ける。通信制御装置20内の通信制御部202は、改竄情報受付部203から改竄情報を受け取った場合に、受け取った改竄情報に改竄内容の調査結果が含まれているか否かを判定する。調査結果が含まれていない場合、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、改竄されたWebサイトにアクセスしたことがあるユーザ端末26およびサーバ27(一次感染)を特定する。
そして、通信制御部202は、外部アクセスログを参照して特定したユーザ端末26およびサーバ27が、改竄されたWebサイトにアクセスした時刻以降に、当該ユーザ端末26またはサーバ27と通信した他のユーザ端末26およびサーバ27(すなわち、二次感染の可能性のある他のユーザ端末26およびサーバ27)を、通信ログ記憶部201内の内部アクセスログを参照して特定する。
なお、通信制御部202は、内部アクセスログを参照して特定した他のユーザ端末26およびサーバ27が、外部アクセスログを参照して特定したユーザ端末26およびサーバ27が改竄されたWebサイトにアクセスした時刻以降に、アクセスしたさらに他のユーザ端末26およびサーバ27(すなわち、三次感染の可能性のある他のユーザ端末26およびサーバ27)を、通信ログ記憶部201内の内部アクセスログを参照して特定してもよい。また、三次以降の感染の可能性について、どこまでのユーザ端末26およびサーバ27を隔離対象とするかは、ユーザNW2の管理者等によって予め決められて通信制御部202に設定される。
また、通信制御部202は、改竄されたWebサイトにアクセスしたユーザ端末26およびサーバ27(一次感染装置)と、一次感染装置が改竄されたWebサイトにアクセスした時刻以降に通信した他のユーザ端末26およびサーバ27の中で、一次感染装置が同時刻以降にアクセスしたWebサイトと同じWebサイトにアクセスしたユーザ端末26およびサーバ27を二次感染の可能性のある二次感染装置として特定してもよい。このとき、通信制御部202は、改竄されたWebサイトにアクセスした時刻以降に一次感染装置がアクセスした全Webサイトの中の所定割合のWebサイトにアクセスしたユーザ端末26およびサーバ27や、当該所定割合のWebサイトへのアクセス順序が一次感染装置のアクセス順序と一部同一または類似しているユーザ端末26およびサーバ27を二次感染装置として特定してもよい。
また、通信制御部202は、一次感染装置が改竄されたWebサイトにアクセスした後に、当該一次感染装置と通信した他のユーザ端末26およびサーバ27の中で、当該一次感染装置から所定量以上の通信データを受信した他のユーザ端末26およびサーバ27を、二次感染の可能性のある二次感染装置として特定してもよい。この場合、例えば、LAN28に接続されたユーザ端末26間ならびにユーザ端末26およびサーバ27間の通信データをキャプチャし、通信データの送信元、宛先、およびデータサイズを収集する装置をLAN28内に設ける。そして、通信ログ収集部200は、当該装置から送信元、宛先、およびデータサイズの情報を収集して、内部アクセスログに組み込んで通信ログ記憶部201に記憶させる。
一次感染または二次感染の可能性のあるユーザ端末26およびサーバ27を特定した後に、通信制御部202は、特定したユーザ端末26およびサーバ27のMACアドレスを含む隔離指示をSDNコントローラ25へ送ることにより、これらのユーザ端末26およびサーバ27の通信を隔離ネットワーク34のみに制限する。なお、通信制御部202は、一次感染または二次感染の可能性のあるユーザ端末26およびサーバ27の通信を、SDNコントローラ25に指示して遮断させることにより、これらのユーザ端末26およびサーバ27の通信を制限してもよい。
そして、通信制御部202は、特定したユーザ端末26およびサーバ27の識別情報を含み、宛先MACアドレスを検査サーバ33のMACアドレスとする検査要求をSDN−SW22へ送る。当該検査要求は、SDN−SW22のポート04に入力され、トンネリング装置21、ルータ24、通信回線12、ルータ30、およびトンネリング装置31を介して、SDN−SW32へ送られ、SDN−SW32によって検査サーバ33へ送られる。
また、改竄情報受付部203から受け取った改竄情報に改竄内容の調査結果が含まれている場合、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、調査結果に該当するユーザ端末26およびサーバ27を特定する。具体的には、通信制御部202は、外部アクセスログを参照して、Webサイトが改竄された時刻以降にそのWebサイトにアクセスし、かつ、そのWebサイトに仕込まれたマルウェアが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスし、かつ、その脆弱性が修正されていないバージョンのブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27を特定する。
そして、通信制御部202は、外部アクセスログを参照して特定したユーザ端末26およびサーバ27が、改竄されたWebサイトにアクセスした時刻以降に、当該ユーザ端末26またはサーバ27と通信した他のユーザ端末26およびサーバ27(すなわち、二次感染の可能性のある他のユーザ端末26およびサーバ27)を、通信ログ記憶部201内の内部アクセスログを参照して特定する。
そして、通信制御部202は、特定したユーザ端末26およびサーバ27(二次感染の可能性があるユーザ端末26およびサーバ27を含む)のMACアドレスを含む隔離指示をSDNコントローラ25へ送ることにより、これらのユーザ端末26およびサーバ27の通信を隔離ネットワーク34のみに制限する。そして、通信制御部202は、特定したユーザ端末26およびサーバ27の識別情報を含み、宛先MACアドレスを検査サーバ33のMACアドレスとする検査要求をSDN−SW22へ送る。当該検査要求は、SDN−SW22のポート04に入力され、トンネリング装置21、ルータ24、通信回線12、ルータ30、およびトンネリング装置31を介して、SDN−SW32へ送られ、SDN−SW32によって検査サーバ33へ送られる。
なお、改竄内容の調査結果が含まれていない改竄情報に基づいてユーザ端末26およびサーバ27を隔離した後に、改竄内容の調査結果が含まれている改竄情報に基づいてユーザ端末26およびサーバ27を特定した場合、先に隔離したユーザ端末26およびサーバ27の中で、後に特定したユーザ端末26およびサーバ27以外のユーザ端末26およびサーバ27については、感染の可能性が低いため隔離を解除することが好ましい。そのため、通信制御部202は、これらのユーザ端末26およびサーバ27のMACアドレスを含む隔離解除指示をSDNコントローラ25へ送る。また、通信制御部202は、これらのユーザ端末26およびサーバ27の識別情報を含む検査取消要求を検査サーバ33へ送る。
また、SDN−SW22を介して、検査サーバ33から検査完了通知を受け取った場合、通信制御部202は、通信ログ記憶部201から、当該検査完了通知に含まれているユーザ端末26またはサーバ27の識別情報を抽出する。そして、通信制御部202は、抽出した識別情報に対応するユーザ端末26またはサーバ27のMACアドレスを含む隔離解除指示を作成し、作成した隔離解除指示をSDNコントローラ25へ送る。
SDNコントローラ25は、通信制御部202から隔離指示を受け取った場合に、隔離指示に含まれているユーザ端末26またはサーバ27のMACアドレスをSDN−SW22へ送り、図2(b)に例示したフローテーブル220の最上段の送信元MACアドレスに設定させる。また、SDNコントローラ25は、隔離指示に含まれているユーザ端末26またはサーバ27のMACアドレスをSDN−SW32へ送り、図3(b)に例示したフローテーブル320の最上段の送信元MACアドレスに設定させる。
一方、通信制御部202から隔離解除指示を受け取った場合、SDNコントローラ25は、隔離解除指示に含まれているユーザ端末26またはサーバ27のMACアドレスをSDN−SW22へ送り、図2(b)に例示したフローテーブル220の最上段の送信元MACアドレスから削除させる。また、SDNコントローラ25は、隔離解除指示に含まれているユーザ端末26またはサーバ27のMACアドレスをSDN−SW32へ送り、図3(b)に例示したフローテーブル320の最上段の送信元MACアドレスから削除させる。
図7は、通信制御装置20の動作の一例を示すフローチャートである。通信制御装置20は、例えば起動後に本フローチャートに示す動作を開始する。
まず、通信ログ収集部200は、SDN−SW22を介してWebプロキシサーバ23から外部アクセスログを受信したか否かを判定する(S100)。Webプロキシサーバ23から外部アクセスログを受信した場合(S100:Yes)、通信ログ収集部200は、受信した外部アクセスログを通信ログ記憶部201に格納し(S101)、再びステップS100に示した処理を実行する。
Webプロキシサーバ23から外部アクセスログを受信していない場合(S100:No)、通信ログ収集部200は、SDN−SW22から内部アクセスログを受信したか否かを判定する(S102)。SDN−SW22から内部アクセスログを受信した場合(S102:Yes)、受信した内部アクセスログを通信ログ記憶部201に格納し(S101)、再びステップS100に示した処理を実行する。
SDN−SW22から内部アクセスログを受信していない場合(S102:No)、改竄情報受付部203は、改竄情報を受け付けたか否かを判定する(S103)。改竄情報を受け付けていない場合(S103:No)、通信制御部202は、SDN−SW22を介して、検査サーバ33から検査完了通知を受け取ったか否かを判定する(S111)。検査サーバ33から検査完了通知を受け取っていない場合(S111:No)、通信ログ収集部200は、再びステップS100に示した処理を実行する。
このように、通信制御装置20は、ステップS100:No、ステップS102:No、ステップS103:No、ステップS111:Noの処理を繰り返すことで、外部アクセスログ、内部アクセスログ、改竄情報、または検査完了通知の受信を待ち受け、いずれかの情報を受信した場合に、受信した情報に対応する処理を実行し、再び待ち受けの状態に戻る。
改竄情報を受け付けた場合(S103:Yes)、改竄情報受付部203は、受け付けた改竄情報を通信制御部202へ送る。通信制御部202は、受け取った改竄情報に改竄内容の調査結果が含まれているか否かを判定する(S104)。
改竄情報に改竄内容の調査結果が含まれていない場合(S104:No)、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、改竄されたWebサイトにアクセスしたことがあるユーザ端末26およびサーバ27(一次感染装置)を特定する(S105)。そして、通信制御部202は、特定したユーザ端末26およびサーバ27が、改竄されたWebサイトにアクセスした時刻以降に、当該ユーザ端末26またはサーバ27と通信した他のユーザ端末26およびサーバ27(二次感染装置)を、通信ログ記憶部201内の外部アクセスログおよび内部アクセスログを参照して特定する(S106)。
次に、通信制御部202は、ステップS105およびS106において特定したユーザ端末26およびサーバ27のMACアドレスを含む隔離指示をSDNコントローラ25へ送ることにより、SDN−SW22に、当該ユーザ端末26およびサーバ27の通信を隔離ネットワーク34のみに制限させる(S109)。
そして、通信制御部202は、特定したユーザ端末26およびサーバ27の識別情報を含み、宛先MACアドレスを検査サーバ33のMACアドレスとする検査要求を、SDNコントローラ25を介して、または介さずに直接検査サーバ33へ送ることにより、当該ユーザ端末26およびサーバ27がマルウェアに感染しているか否かの検査を検査サーバ33に依頼する(S110)。そして、通信ログ収集部200は、再びステップS100に示した処理を実行する。
一方、改竄情報に改竄内容の調査結果が含まれている場合(S104:Yes)、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、調査結果に該当するユーザ端末26およびサーバ27(一次感染装置)を特定する(S107)。具体的には、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、Webサイトが改竄された時刻以降にそのWebサイトにアクセスし、かつ、そのWebサイトに仕込まれたマルウェアが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスし、かつ、その脆弱性が修正されていないバージョンのブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27を特定する。
次に、通信制御部202は、特定したユーザ端末26およびサーバ27が、改竄されたWebサイトにアクセスした時刻以降に、当該ユーザ端末26またはサーバ27と通信した他のユーザ端末26およびサーバ27の中で、調査結果に該当するユーザ端末26およびサーバ27(二次感染装置)を、通信ログ記憶部201内の内部アクセスログを参照して特定する(S108)。
次に、通信制御部202は、ステップS107およびS108において特定したユーザ端末26およびサーバ27のMACアドレスを含む隔離指示をSDNコントローラ25へ送ることにより、SDN−SW22に、当該ユーザ端末26およびサーバ27の通信を隔離ネットワーク34のみに制限させる(S109)。
そして、通信制御部202は、特定したユーザ端末26およびサーバ27の識別情報を含み、宛先MACアドレスを検査サーバ33のMACアドレスとする検査要求を、SDNコントローラ25を介して検査サーバ33へ送ることにより、当該ユーザ端末26およびサーバ27がマルウェアに感染しているか否かの検査を検査サーバ33に依頼する(S110)。そして、通信ログ収集部200は、再びステップS100に示した処理を実行する。
検査サーバ33から検査完了通知を受け取った場合(S111:Yes)、通信制御部202は、検査完了通知に含まれているユーザ端末26またはサーバ27の識別情報を抽出する。そして、通信制御部202は、抽出したユーザ端末26またはサーバ27の識別情報を含む隔離解除指示を作成する。そして通信制御部202は、作成した隔離解除指示をSDNコントローラ25へ送ることにより、検査が完了したユーザ端末26またはサーバ27の通信制限を解除させる(S112)。そして、通信ログ収集部200は、再びステップS100に示した処理を実行する。
図8は、通信制御装置20の機能を実現するコンピュータ1000の構成の一例を示す図である。図8に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
メモリ1010は、図8に例示するように、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図8に例示するように、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、図8に例示するように、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、図8に例示するように、例えばマウス1051やキーボード1052が接続される。ビデオアダプタ1060には、図8に例示するように、例えばディスプレイ1061が接続される。
ここで、図8に例示するように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、コンピュータ1000を通信制御装置20として機能させるプログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。
また、上記した実施形態において説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1031に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理ステップを実行する。
なお、コンピュータ1000を通信制御装置20として機能させるプログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1041等を介してCPU1020によって読み出されて実行されてもよい。あるいは、当該プログラムモジュール1093やプログラムデータ1094は、通信回線12を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されて実行されてもよい。
以上、本発明の一実施形態について説明した。
上記説明から明らかなように、本実施形態の通信システム1によれば、水飲み場型攻撃等によって仕込まれたマルウェアによる被害の拡大を抑えることが可能となる。
なお、本発明は、上記した実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
図9は、他の実施形態における通信システム1’の一例を示すシステム構成図である。他の実施形態における通信システム1’では、例えば図9に示すように、通信制御装置20、Webプロキシサーバ37およびSDNコントローラ38がデータセンタ3’内に設けられる。
そして、図9に例示した通信システム1’では、ユーザNW2’内のユーザ端末26およびサーバ27から外部のWebサーバ11への通信データは、例えば図9の実線矢印61に示すように、SDN−SW22から、トンネリング装置21、ルータ24、通信回線12、ルータ30、およびトンネリング装置31を介して、SDN−SW32へ送られ、SDN−SW32によってWebプロキシサーバ37へ送られて、ルータ30を介してWebサーバ11へ送信される。そして、Webプロキシサーバ37は、外部アクセスログを通信制御装置20へ送る。
また、Webサーバ11からユーザNW2’内のユーザ端末26およびサーバ27への通信データは、例えば図9の実線矢印61に示すように、通信回線12およびルータ30を介してWebプロキシサーバ37へ送られ、SDN−SW32から、トンネリング装置31、ルータ30、通信回線12、ルータ24、トンネリング装置21、SDN−SW22へ送られ、SDN−SW22によって宛先のユーザ端末26またはサーバ27へ送られる。
また、ユーザ端末26間の通信およびユーザ端末26とサーバ27間の通信では、ユーザ端末26またはサーバ27から送信された通信データは、例えば図9の破線矢印60に示すように、SDN−SW22から、トンネリング装置21、ルータ24、通信回線12、ルータ30、およびトンネリング装置31を介して、SDN−SW32へ送られ、SDN−SW32から、トンネリング装置31、ルータ30、通信回線12、ルータ24、トンネリング装置21、SDN−SW22へ送られ、SDN−SW22によって宛先のユーザ端末26またはサーバ27へ送られる。そして、SDN−SW22およびSDN−SW32は、内部アクセスログを通信制御装置20へ送る。
図9に示した他の実施形態における通信システム1’においても、改竄情報に基づいて、改竄されたWebサイトにアクセスしたユーザ端末26およびサーバ27と、これらが改竄されたWebサイトにアクセスした時刻以降にこれらからアクセスされた他のユーザ端末26およびサーバ27とを、隔離ネットワーク34内に隔離してマルウェアによる被害の拡大を抑えることができる。
上記した実施形態では、データセンタ3内に隔離ネットワーク34および検査サーバ33が設けられたが、本発明はこれに限られず、隔離ネットワーク34および検査サーバ33は、ユーザNW2内に設けられてもよい。この場合、データセンタ3は必須ではなくなる。
また、上記した実施形態において、通信制御部202は、通信ログ記憶部201内の外部アクセスログを参照して、Webサイトが改竄された時刻以降にそのWebサイトにアクセスし、かつ、そのWebサイトに仕込まれた不正プログラムが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスし、かつ、その脆弱性が修正されていないバージョンのブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27の通信を制限させるが、通信を制限させる対象となるユーザ端末26やサーバ27は、これに限られない。
例えば、通信制御部202は、改竄されたWebサイトに仕込まれた不正プログラムが突く脆弱性を有する種別のブラウザプログラムを用いてそのWebサイトにアクセスしたユーザ端末26やサーバ27(一次感染装置)の通信を制限させてもよい。また、通信制御部202は、改竄されたWebサイトにユーザ端末26やサーバ27がアクセスした時刻以降に、当該ユーザ端末26やサーバ27からアクセスされた他のユーザ端末26やサーバ27(二次感染装置)の通信を制限させてもよい。また、これらの他のユーザ端末26やサーバ27のうち、通信ログ記憶部201を参照して同種の脆弱性を有する装置のみを二次感染装置とみなして通信を制限させてもよい。また、通信制御部202は、改竄されたWebサイトにアクセスしたユーザ端末26やサーバ27から所定量以上の通信データを受信した他のユーザ端末26やサーバ27の通信を制限させてもよい。
また、上記した実施形態では、Webサイトへのアクセスを例に説明したが、本発明はこれに限られず、メールサービスにおいても本発明を適用することができる。この場合、アクセス元情報には、例えば送信元メールアドレスを用いることができ、アクセス先情報には、例えば宛先メールアドレスを用いることができる。また、プログラムの情報としては、例えば、ユーザエージェント情報から取得可能な、OS、メールクライアントソフト、レンダリングエンジンの種類やバージョン等の情報を用いることができる。
また、上記した実施形態では、Webプロキシサーバ23を用いたWebアクセスを例に説明したが、本発明はこれに限られない。Webサイトとの通信ログの情報が取得できればよいため、例えば、図1において、Webプロキシサーバ23に代えて、SDN−SW22とルータ24との間をミラーリングする機能を有する装置を介して接続し、SDN−SW22とルータ24との間の通信データを当該装置から取得するように構成してもよい。
また、上記した実施形態において、改竄されたWebサイトにアクセスした一次感染装置や、当該一次感染装置からアクセスされた二次感染装置が複数存在する場合、隔離ネットワーク34に隔離されたユーザ端末26およびサーバ27の通信は、検査サーバ33との通信のみに制限しなくてもよい。例えば、隔離ネットワーク34内の通信であれば、隔離されたこれらのユーザ端末26およびサーバ27の間の通信は許可することとしてもよい。この場合、例えば、通信制御装置20がSDNコントローラ25に指示して、SDN−SW22およびSDN−SW32に、これらの装置間の通信のみを通すように制御させればよい。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に多様な変更または改良を加えることが可能であることが当業者には明らかである。また、そのような変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。