JP2017062669A - セキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラム - Google Patents

セキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラム Download PDF

Info

Publication number
JP2017062669A
JP2017062669A JP2015187953A JP2015187953A JP2017062669A JP 2017062669 A JP2017062669 A JP 2017062669A JP 2015187953 A JP2015187953 A JP 2015187953A JP 2015187953 A JP2015187953 A JP 2015187953A JP 2017062669 A JP2017062669 A JP 2017062669A
Authority
JP
Japan
Prior art keywords
isolation
quarantine
unauthorized
removal
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015187953A
Other languages
English (en)
Other versions
JP6226930B2 (ja
Inventor
美和 吉川
Miwa Yoshikawa
美和 吉川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Biglobe Inc
Original Assignee
Biglobe Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Biglobe Inc filed Critical Biglobe Inc
Priority to JP2015187953A priority Critical patent/JP6226930B2/ja
Publication of JP2017062669A publication Critical patent/JP2017062669A/ja
Application granted granted Critical
Publication of JP6226930B2 publication Critical patent/JP6226930B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】管理者の負担を軽減しつつ、細やかなセキュリティ制御を行うことが可能なセキュリティ制御装置を提供する。【解決手段】通信部701は、監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する。制御部703は、通信部701が受信した識別情報にて特定される不正装置に対して、ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する。【選択図】図3

Description

本発明は、内部ネットワークを保護するセキュリティ技術に関する。
LAN(Local Area Network)などの内部ネットワークを保護するセキュリティ技術としては、従来、FW(Firewall:ファイアーウォール)装置、IDS(Intrusion Detection System:侵入検知システム)またはプロキシ(Proxy)サーバなどを用いて、不正な通信データの内部ネットワークへの侵入を遮断する境界セキュリティ技術が使用されてきた。
しかしながら、近年、マルウェアと呼ばれる不正なプログラムによる標的型攻撃が頻繁に発生しており、それに伴い、内部セキュリティ技術の更なる強化が求められている。なお、標的型攻撃を行うマルウェアに内部ネットワーク内の端末が感染すると、そのマルウェアが感染した端末によって、秘密情報が勝手に外部へ送信されるなどの不正な通信が行われたり、内部ネットワーク内の他の端末にもマルウェアを感染させてしまったりする。
標的型攻撃に対する従来のセキュリティ技術としては、不正な通信を行っている端末を特定して、内部ネットワークの管理者などに通知するものが知られている。この場合、通知を受けた管理者は、不正な通信を行っている端末の設置場所に行き、その端末からLANケーブルなどを抜くなどして、端末の通信を遮断する必要があった。このため、不正な通信を行っている端末の数や設置場所によっては、管理者の負担が大きいという問題があった。
これに対して特許文献1に記載の通信管理装置は、不正な通信を行った端末を特定し、その特定した端末と接続されているネットワークスイッチ装置の通信を遮断している。このため、管理者が端末の設置場所に行かなくても、不正な通信を遮断することが可能になり、管理者の負担を軽減することが可能になる。
特開2010−233153号公報
しかしながら、ネットワークスイッチ装置には、通常、複数の端末が接続されているため、特許文献1に記載の技術において、不正な通信を行った不正端末と接続されているネットワークスイッチ装置の通信を遮断すると、そのネットワークスイッチ装置に接続されている不正端末以外の端末の通信まで遮断されてしまうことがある。このため、細やかなセキュリティ制御を行うことができないという問題がある。
本発明の目的は、管理者の負担を軽減しつつ、細やかなセキュリティ制御を行うことが可能なセキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラムを提供することである。
本発明によるセキュリティ制御装置は、監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する通信部と、前記通信部が受信した識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する制御部と、を有する。
本発明によるセキュリティ制御システムは、監視対象のネットワークに接続された情報処理装置と、前記ネットワークのセキィリティを制御するセキュリティ制御装置とを含むセキュリティ制御システムであって、前記セキュリティ制御装置は、前記ネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する通信部と、前記通信部が受信した識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する制御部と、を有し、前記情報処理装置は、前記隔離指示を受信する受信部と、前記受信部が前記隔離指示を受信した場合、前記隔離処理を実行する処理部と、を有する。
本発明によるセキュリティ制御方法は、監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信するステップと、前記受信された識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信するステップと、を含む。
本発明によるプログラムは、コンピュータに、監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する手順と、前記受信された識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する手順と、を実行させる。
本発明によれば、管理者の負担を軽減しつつ、細やかなセキュリティ制御を行うことが可能になる。
本発明の第1の実施形態のセキュリティ制御システムを示す図である。 資産管理サーバの構成例を示すブロック図である。 内部セキュリティ制御装置の構成例を示すブロック図である。 端末の構成例を示すブロック図である。 本発明の第1の実施形態のセキュリティ制御システムの動作の一例を説明するためのシーケンス図である。 本発明の第1の実施形態のセキュリティ制御システムの動作の他の例を説明するためのシーケンス図である。
以下、本発明の実施形態について図面を参照して説明する。なお、各図面において同じ機能を有するものには同じ符号を付け、その説明を省略する場合がある。
図1は、本発明の第1の実施形態のセキュリティ制御システムを示す図である。図1において、セキュリティ制御システムは、資産管理サーバ1と、駆除プログラム提供装置2と、FW装置3と、プロキシサーバ4と、制限プロキシサーバ5と、標的型攻撃監視装置6と、内部セキュリティ制御装置7と、端末8A〜8Cとを有する。これらの装置は、専用装置やサーバで構成されてもよいし、汎用コンピュータなどで構成されてもよい。汎用コンピュータとしては、例えば、パーソナルコンピュータ、タブレット型コンピュータおよびスマートフォンなどが挙げられる。
また、資産管理サーバ1および駆除プログラム提供装置2は、外部ネットワーク11に接続され、プロキシサーバ4、制限プロキシサーバ5、標的型攻撃監視装置6および内部セキュリティ制御装置7は、DMZ(DeMilitarized Zone)12に接続され、端末8A〜8Cは内部ネットワーク13に接続される。外部ネットワーク11は、例えば、インターネットなどである。内部ネットワーク13は、例えば、LANなどである。また、外部ネットワーク11、DMZ12および内部ネットワーク13は、有線ネットワークでもよいし、無線ネットワークでもよい。
DMZ12は、外部ネットワーク11と内部ネットワーク13間に設置され、FW装置3によって外部ネットワーク11からも、内部ネットワーク13からも隔離されたネットワークである。外部ネットワーク11からの通信はDMZ12に入れるが、外部ネットワーク11から内部ネットワーク13へ直接通信はできない。また、内部ネットワーク13からの通信はDMZ12に入れるが、内部ネットワーク13から外部ネットワーク11へ直接通信はできない。内部ネットワーク13から外部ネットワーク11へ通信する際は、プロキシサーバ4または制限プロキシサーバ5等を経由して通信する。具体的には、外部ネットワーク11、DMZ12および内部ネットワーク13は、FW装置3によって、それぞれ他のネットワークと隔離されている。なお、DMZ12および内部ネットワーク13は、このようにFW装置3によって互いに物理的に隔離されることが望ましいが、仮想LANなどを用いて互いに論理的に隔離されていてもよいし、同一のネットワークでもよい。また、FW装置3を外部ネットワーク11とDMZ12の間と、DMZ12と内部ネットワーク13間にそれぞれ設けても構わない。
資産管理サーバ1は、端末8A〜8Cを管理する管理装置であり、内部セキュリティ制御装置7からの種々の指示を端末8A〜8Cに転送する機能や、これらの指示に対する端末8A〜8Cからの応答である種々の通知を内部セキュリティ制御装置7に転送する機能を有する。図2は、資産管理サーバ1の構成例を示すブロック図である。図2に示すように資産管理サーバ1は、サーバ通信部101と、管理部102とを有する。
サーバ通信部101は、内部セキュリティ制御装置7から、端末8A〜8Cのうち不正な通信を行った端末である感染端末に対する種々の指示を受信する。指示としては、内部ネットワーク13から隔離する隔離処理の実行を指示する隔離指示と、不正な通信を行う不正プログラムを駆除する駆除処理の実行を指示する駆除指示と、感染端末に対して内部ネットワーク13からの隔離を解除する隔離解除処理の実行を指示する隔離解除指示とがある。また、サーバ通信部101は、感染端末から、上記の指示に対する応答として、隔離処理の処理結果を示す隔離処理結果通知と、駆除処理の処理結果を示す駆除処理結果通知と、隔離解除処理の処理結果を示す解除処理結果通知とを受信する。
感染端末は、不正プログラムがインストールされている可能性がある端末であり、不正装置と呼ばれることもある。隔離指示、駆除指示および隔離解除指示には、感染端末を特定する識別情報を含む。識別情報は、本実施形態では、IPアドレスとするが、IPアドレスの代わりに、MAC(Media Access Control)アドレスやホスト名などの他の情報が使用されてもよい。隔離指示は、実行する隔離処理の種別をさらに指示してもよい。具体的には、隔離指示は、隔離処理の種別を示す種別情報を含み、実行する隔離処理の種別として種別情報が示す種別を指示する。隔離処理の種別についてのより詳細な説明は後述する。駆除指示は、不正プログラムを駆除するための駆除プログラムにより不正プログラムを駆除する駆除処理の実行を指示するであり、その駆除プログラムが記憶された記憶場所を示す記憶場所情報を含む。記憶場所情報は、本実施形態では、URL(Uniform Resource Locator)とするが、他の情報でもよい。
サーバ通信部101が隔離指示を受信した場合、管理部102は、隔離指示内のIPアドレスにて特定される感染端末に対して、その隔離指示を隔離命令として送信する。サーバ通信部101が駆除指示を受信した場合、管理部102は、駆除指示内のIPアドレスにて特定される感染端末に対して、駆除指示を駆除命令として送信する。サーバ通信部101が隔離解除指示を受信した場合、管理部102は、隔離解除指示内のIPアドレスにて特定される感染端末に対して、隔離解除指示を隔離解除命令として送信する。なお、隔離命令、駆除命令および隔離解除命令には、感染端末を特定するIPアドレスが含まれていてもよいし、感染端末を特定するIPアドレスが管理部102にて除かれて含めなくされてもよい。管理部102が、隔離命令、駆除命令および隔離解除命令などの各種命令を、感染端末を含む端末8A〜8Cに送信するためには、例えば、FW装置3に対して資産管理サーバ1から端末8A〜8Cへの通信を予め許可させておいたり、端末8A〜8Cが既定のタイミング(例えば、定期的、既定の時間または起動時など)で資産管理サーバ1に各種命令を取得するように設定させておいたりする必要がある。しかしながら、本実施形態では、説明の簡略化のために、単に管理部102が各種命令を送信するものとして説明する。
サーバ通信部101が隔離処理結果通知を受信した場合、管理部102は、隔離処理結果通知の送信元である感染端末のIPアドレスを取得し、そのIPアドレスを含めた隔離処理結果通知を内部セキュリティ制御装置7に送信する。サーバ通信部101が駆除処理結果通知を受信した場合、管理部102は、駆除処理結果通知の送信元である感染端末のIPアドレスを取得し、そのIPアドレスを含めた駆除処理結果通知を内部セキュリティ制御装置7に送信する。サーバ通信部101が解除処理結果通知を受信した場合、管理部102は、解除処理結果通知の送信元である感染端末のIPアドレスを取得し、そのIPアドレスを含めた解除処理結果通知を内部セキュリティ制御装置7に送信する。
駆除プログラム提供装置2は、駆除プログラムを提供する提供装置である。具体的には、駆除プログラム提供装置2は、駆除プログラムを記憶し、内部セキュリティ制御装置7から、駆除プログラムを取得する旨の駆除プログラム要求を受信すると、記憶している駆除プログラムを内部セキュリティ制御装置7に送信する。
このとき、駆除プログラム提供装置2は、駆除プログラム要求の送信元を認証し、認証が成功した場合に駆除プログラムを送信してもよい。例えば、駆除プログラム提供装置2は、駆除プログラム要求の送信元を認証する認証情報を予め記憶し、その記憶された認証情報と、駆除プログラム要求に含まれる認証情報とを照合する。そして、駆除プログラム提供装置2は、それらの認証情報が一致していれば、認証を成功と判断し、それらの認証情報が一致していない場合、認証を失敗と判断する。認証情報は、特に限定されないが、例えば、内部セキュリティ制御装置7の管理者を特定するユーザIDと、パスワードとの組などである。
FW装置3は、外部ネットワーク11、DMZ12および内部ネットワーク13を分離する。なお、FW装置3については、当業者にとって良く知られた技術であるため、その詳細な説明は省略する。
プロキシサーバ4および制限プロキシサーバ5は、端末8A〜8Cの通信を中継する中継装置である。プロキシサーバ4および制限プロキシサーバ5は、端末8A〜8Cの通信先を規定するポリシーを有し、端末8A〜8Cの通信先をそのポリシーに適合した通信先に制限する。プロキシサーバ4のポリシーは、特に限定されない。例えば、プロキシサーバ4のポリシーは、端末8A〜8Cの通信先を制限しない(全ての通信先を許可する)ものでもよいし、公序良俗に反するデータを提供するサーバのような所定の装置との通信を許可しないものでもよい。制限プロキシサーバ5は、端末8A〜8Cの通信先を特定の装置に制限するポリシーを有する。特定の装置は、本実施形態では、資産管理サーバ1である。なお、プロキシサーバ4および制限プロキシサーバ5は、別々の装置で構成されてもよいし、同一の装置で構成され、ポリシーによって区別されてもよい。
標的型攻撃監視装置6は、監視対象のネットワークである内部ネットワーク13における不正な通信を監視し、内部ネットワーク13に接続された端末8A〜8Cのうち不正な通信を行った端末である感染端末を特定する。具体的には、標的型攻撃監視装置6は、端末8A〜8Cが送信し、FW装置3やルーター(図示せず)などのネットワーク装置を通る送信データを監視し、その送信データが不正なデータか否かを判断する。標的型攻撃監視装置6は、その送信データが不正なデータであると判断すると、その送信データを送信した端末を感染端末として特定する。標的型攻撃監視装置6は、感染端末を特定すると、不正な通信を検知した旨のアラートを内部セキュリティ制御装置7に送信する。アラートは、感染端末のIPアドレスを含む。
内部セキュリティ制御装置7は、内部ネットワーク13のセキュリティを制御するセキュリティ制御装置である。図3は、内部セキュリティ制御装置7の構成例を示すブロック図である。図3に示す内部セキュリティ制御装置7は、通信部701と、記憶部702と、制御部703とを有する。
通信部701は、標的型攻撃監視装置6からアラートを受信し、資産管理サーバ1から隔離処理結果通知、駆除処理結果通知および解除処理結果通知を受信し、駆除プログラム提供装置2から駆除プログラムを受信し、端末8A〜8Cから駆除プログラム要求を受信する。なお、アラートには感染端末のIPアドレスが含まれているため、通信部701は、感染端末を特定する識別情報であるIPアドレスを受信することになる。
記憶部702は、駆除プログラム提供装置2にて内部セキュリティ制御装置7を認証するための認証情報と、内部セキュリティ制御装置7の管理者の連絡先とを記憶する。連絡先は、例えば、電子メールアドレスなどである。
通信部701がアラートを受信した場合、制御部703は、そのアラート内のIPアドレスにて特定される感染端末に対して、資産管理サーバ1を介して隔離指示を送信する。このとき、制御部703は、隔離指示に、隔離処理の種別を示す種別情報を含ませることで、感染端末に対して、その感染端末が実行する隔離処理の種別を指示してもよい。
通信部701が隔離処理結果通知を受信した場合、制御部703は、隔離処理結果通知が隔離処理の成功を示すか否かを確認する。隔離処理が失敗の場合、制御部703は、記憶部702に記憶された管理者の連絡先宛に、隔離処理が失敗した旨の隔離エラー通知を送信する。なお、隔離エラー通知は、感染端末のIPアドレスなどの識別情報を含むことが望ましい。
隔離処理が成功の場合、制御部703は、駆除プログラムを感染端末に提供する。具体的には、先ず、制御部703は、駆除プログラム要求を駆除プログラム提供装置2に送信する。このとき、駆除プログラム提供装置2にて認証が行われる場合、制御部703は、記憶部702に記憶された認証情報を駆除プログラム要求に含ませる。
続いて、通信部701が駆除プログラムを受信すると、制御部703は、その駆除プログラムを所定の記憶場所に記憶し、その記憶場所を示すURLを取得する。そして、制御部703は、アラート内のIPアドレスにて特定される感染端末に対して駆除指示を、資産管理サーバ1を介して送信する。その後、通信部701が駆除プログラム要求を受信すると、制御部703は、記憶した駆除プログラムを感染端末に提供する。本実施形態では、駆除プログラムの記憶場所は、記憶部702であるとするが、この例に限らない。例えば、駆除プログラムを記憶する記憶装置が内部セキュリティ制御装置7とは別に設けられてもよい。
また、通信部701が駆除処理結果通知を受信した場合、制御部703は、その駆除処理結果通知が不正プログラムの非検出または駆除処理の成功を示すか否かを判断する。不正プログラムが非検出の場合、制御部703は、駆除処理結果通知内のIPアドレスにて特定される感染端末に対して、解除指示を、資産管理サーバ1を介して送信する。また、不正プログラムが検出、かつ駆除処理が失敗の場合、制御部703は、以下の第1の処理および第2の処理の少なくとも一方を行う。また、不正プログラムが検出、かつ駆除処理が成功の場合は、制御部703が、駆除処理結果通知内のIPアドレスにて特定される感染端末に対して、解除指示を、資産管理サーバ1を介して送信するようにしてもよいし、制御部703が、以下の第1の処理および第2の処理の少なくとも一方を行うようにしてもよい。
第1の処理では、制御部703は、隔離指示を、資産管理サーバ1を介して感染端末に再び送信することで、感染端末に対して隔離処理の実行を再び指示する。このとき、制御部703は、隔離指示に、所定の隔離処理を示す種別情報を含ませることで、所定の駆除処理の実行を感染端末に指示することが望ましい。所定の駆除処理は、感染端末を内部ネットワーク13から隔離する強度である隔離強度が高い隔離処理であり、具体的には、後述するネットワークドライバを削除するドライバ削除処理である。
第2の処理では、制御部703は、記憶部702に記憶された管理者の連絡先宛に、駆除処理が失敗した旨の駆除エラー通知を送信する。なお、駆除エラー通知は、感染端末のIPアドレス(駆除処理結果通知内のIPアドレス)を含むことが望ましい。
通信部701が解除処理結果通知を受信した場合、制御部703は、その解除処理結果通知が隔離解除処理の成功を示すか否かを判断する。隔離解除処理が成功した場合、制御部703は、処理を終了する。隔離解除処理が失敗した場合、制御部703は、記憶部702に記憶された管理者の連絡先宛に、隔離解除処理が失敗した旨の解除エラー通知を送信する。なお、解除エラー通知は、感染端末のIPアドレス(解除処理結果通知内のIPアドレス)を含むことが望ましい。
端末8A〜8Cは、内部ネットワーク13に接続された情報処理装置である。なお、情報処理装置としては、端末8A〜8Cに加えて、または、端末8A〜8Cに代えて、サーバなどの他の装置が用いられてもよい。また、端末(情報処理装置)の数は、特に限定されない。
端末8A〜8Cは全て同じ構成を有するものとする。このため、以下では、端末8Aを例にとって、端末8A〜8Cの構成を説明する。図4は、端末8Aの構成例を示すブロック図である。図4に示す端末8Aは、端末通信部801と、端末記憶部802と、処理部803とを有する。
端末通信部801は、資産管理サーバ1から隔離命令、駆除命令および隔離解除命令を受信する受信部である。また、端末通信部801は、内部セキュリティ制御装置7から駆除プログラムを受信する。
端末記憶部802は、端末8Aが通信を行うための通信設定情報と、処理部803の動作を規定するプログラムであるエージェントとを記憶する。通信設定情報は、本実施形態では、端末8Aの通信を中継するプロキシサーバを示すプロキシ設定情報、および、ネットワークドライバを含む。また、プロキシ設定情報は、レジストリにおけるプロキシサーバに関する設定ファイルや、ローカルネットワーク設定における現在の自動プロキシ構成ファイルなどである。
処理部803は、例えば、CPU(Central Processing Unit)であり、端末記憶部802に記憶されたエージェントを読み取り、その読み取ったプログラムをRAM(図示せず)に展開して実行することで、以下の処理を行う。なお、エージェントは、端末8Aの起動時に実行される常駐プログラムであることが望ましい。
端末通信部801が隔離命令を受信した場合、処理部803は、端末8Aを内部ネットワーク13から隔離する隔離処理を実行し、その処理結果を示す隔離処理結果通知を、資産管理サーバ1を介して内部セキュリティ制御装置7に送信する。隔離処理の種別としては、例えば、端末記憶部802に記憶されたプロキシ設定情報を所定の情報に変更する変更処理、プロキシ設定情報を削除する削除処理、所定の通信機能の実行を制限する制限処理、ネットワークドライバを削除するドライバ削除処理が挙げられる。処理部803は、複数種の隔離処理を実行してもよい。
変更処理では、処理部803は、レジストリにおけるプロキシサーバの設定ファイルに記載されているプロキシサーバの定義を変更してもよいし、ローカルネットワーク設定における現在の自動プロキシ構成ファイルに記載されているプロキシサーバの定義を変更してもよい。プロキシ設定情報は、変更処理にて変更される前は、プロキシサーバ4を示すものとする。変更後のプロキシ設定情報である所定の情報としては、制限プロキシサーバ5を示す情報、存在しない架空のプロキシサーバを示す情報、プロキシサーバの定義として意味をなさない所定の文字列などが挙げられる。なお、プロキシサーバの定義は、URLやサーバ名(ProxyServername)などで表される。
削除処理は、レジストリにおけるプロキシサーバの設定ファイルに記載されているプロキシサーバの定義を削除してもよいし、ローカルネットワーク設定における現在の自動プロキシ構成ファイルに記載されているプロキシサーバの定義を削除してもよい。制限処理は、例えば、所定の機能として、ブラウザやメーラーのような通信を行うアプリケーションの実行や、Webページの取得や電子メールの送信のようなアプリケーションの通信に係る機能の実行などを制限(例えば、禁止)する。制限処理にて制限される機能は、予め定められてもよいし、処理部803が通信を行うアプリケーションを検索することで決定されてもよいし、資産管理サーバ1または内部セキュリティ制御装置7から指示されてもよい。
なお、制限処理では、不正なプログラムが直接通信をする場合に不正な通信を防止しづらく、削除処理では、別のプロキシサーバが自動的に選択されてしまう可能性があるため、感染端末を内部ネットワーク13から隔離する強度である隔離強度が比較的低い。これに対して変更処理やドライバ削除処理では、隔離強度が高く、特にドライバ削除処理の隔離強度は高い。また、隔離処理において、処理部803は、変更または削除するプロキシ設定情報やネットワークドライバをバックアップ情報として端末記憶部802にバックアップすることが望ましい。
端末通信部801が駆除命令を受信した場合、処理部803は、駆除命令内のURLが示す記憶場所から駆除プログラムを取得し、その駆除プログラムを端末記憶部802に記憶する。本実施形態では、URLが内部セキュリティ制御装置7を示すため、処理部803は、内部セキュリティ制御装置7に対して駆除プログラム要求を送信し、その後、端末通信部801が受信した駆除プログラムを取得する。
処理部803は、記憶した駆除プログラムを実行し、その駆除プログラムに従って動作することで、不正なプログラムを駆除する駆除処理を実行し、その処理結果を示す駆除処理結果通知を、資産管理サーバ1を介して内部セキュリティ制御装置7に送信する。駆除処理は、不正プログラムを検出する処理と、検出した不正プログラムを実際に駆除する処理とを含む。駆除処理結果通知は、不正プログラムが検出されたか否かと、検出された不正プログラムの駆除が成功したか否かとを示す。
不正なプログラムが非検出となる例としては、例えば、Webブラウザによって表示されたWebページに広告が含まれており、その広告が表示されている間にだけ、外部ネットワーク11に向けて何らかの通信が行われ、その広告の表示が終了すると、その通信が停止する場合が挙げられる。この場合、不正プログラムが端末8Aにインストールされていなくても、標的型攻撃監視装置6にて不正な通信が検出されることがあるが、不正プログラムが感染端末にインストールされてはいないので、駆除処理結果通知は、不正プログラムの非検出を示すことになる。
端末通信部801が隔離解除命令を受信した場合、処理部803は、端末8Aの内部ネットワーク13からの隔離を解除する隔離解除処理を実行し、その処理結果を示す解除処理結果通知を、資産管理サーバ1を介して内部セキュリティ制御装置7に送信する。隔離解除処理は、端末記憶部802にバックアップしたプロキシ設定情報やネットワークドライバに基づいて、プロキシ設定情報やネットワークドライバを隔離処理の前の状態に戻す処理である。
例えば、隔離処理として変更処理や削除処理が行われた場合、処理部803は、レジストリにおけるプロキシサーバの設定ファイルやローカルネットワーク設定における現在の自動プロキシ構成ファイルを、バックアップ情報として記憶したプロキシ設定情報に戻す。また、隔離処理として制限処理が行われた場合、処理部803は、通信機能の実行の制限を解除する。隔離処理としてドライバ削除処理が行われた場合、処理部803は、バックアップ情報として記憶したネットワークドライバを、通信に使用するネットワークドライバに戻す。なお、プロキシ設定情報やネットワークドライバが端末8A〜8Cに共通の場合などでは、処理部803がプロキシ設定情報やネットワークドライバをバックアップする代わりに、端末8A〜8Cが使用するプロキシ設定情報やネットワークドライバを資産管理サーバ1や内部セキュリティ制御装置7に予め記憶させておいてもよい。この場合、処理部803は、隔離解除処理において、資産管理サーバ1や内部セキュリティ制御装置7からプロキシ設定情報やネットワークドライバをダウンロードし、そのダウンロードしたプロキシ設定情報やネットワークドライバに基づいて、プロキシ設定情報やネットワークドライバを隔離処理の前の状態に戻す。
なお、処理部803は、端末8A〜8Cのユーザを特定するユーザ名やMACアドレスなどのような資産情報や、端末8Aが有するUSB(Universal Serial Bus)端子などを使う通信機能を示す機能情報やレジストリ設定情報のような種々の設定情報などの情報を取得して資産管理サーバ1に送信する機能を有してもよい。この場合、資産管理サーバ1の管理部102は、処理部803から送信されたこれらの情報を取得し、その情報の一部または全部を所定のタイミングで内部セキュリティ制御装置7に送信してもよい。所定のタイミングは、例えば、サーバ通信部101が隔離指示を受信したタイミングや、隔離処理結果通知、駆除処理結果通知や解除処理結果通知を送信するタイミングなどである。
次に動作を説明する。図5は、不正な通信が検出された際のセキュリティ制御システムの動作例を説明するためのシーケンス図である。
先ず、標的型攻撃監視装置6は、端末8A〜8Cが送信した送信データを監視し、その送信データが不正なデータか否かを判断する。標的型攻撃監視装置6は、その送信データが不正なデータであると判断すると、不正な通信が行われたと判断し、その送信データから、その送信データの送信元のIPアドレスを感染端末のIPアドレスとして取得する(ステップS501)。そして、標的型攻撃監視装置6は、取得したIPアドレスを含むアラートを、DMZ12を介して内部セキュリティ制御装置7に送信する(ステップS502)。なお、以下では、不正なデータを送信した端末である感染端末を端末8Aとし、端末8Aを感染端末8Aと称する。
内部セキュリティ制御装置7の通信部701は、アラートを受信すると、そのアラートを制御部703に送信する。制御部703は、アラートを受信すると、そのアラートから感染端末のIPアドレスを取得し、そのIPアドレスを含む隔離指示を、通信部701、DMZ12、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS503)。
資産管理サーバ1のサーバ通信部101は、隔離指示を受信すると、その隔離指示を管理部102に送信する。管理部102は、隔離指示を受信すると、その隔離指示から感染端末のIPアドレスを取得する。管理部102は、取得した感染端末のIPアドレスにて特定される感染端末8Aに対して、IPアドレスを除いた隔離指示に基づいた隔離命令を、サーバ通信部101、外部ネットワーク11、FW装置3および内部ネットワーク13を介して送信する(ステップS504)。
感染端末8Aの端末通信部801は、隔離命令を受信すると、その隔離命令を処理部803に送信する。処理部803は、隔離命令を受信すると、隔離処理を実行する(ステップS505)。なお、処理部803が行う隔離処理の種別は、処理部803に予め設定されていてもよいし、隔離命令に含まれる種別情報が示す種別でもよい。また、処理部803は、隔離命令に種別情報が含まれていない場合に、予め設定された隔離処理を実行し、隔離命令に種別情報が含まれている場合、その種別情報が示す種別の隔離処理を実行してもよい。
隔離処理が終了すると、処理部803は、隔離処理の処理結果を示す隔離処理結果通知を、端末通信部801、内部ネットワーク13、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS506)。
資産管理サーバ1のサーバ通信部101は、隔離処理結果通知を受信すると、その隔離処理結果通知を管理部102に送信する。管理部102は、隔離処理結果通知を受信すると、隔離処理結果通知の送信元のIPアドレスを感染端末8AのIPアドレスとして隔離処理結果通知に加え、そのIPアドレスを加えた隔離処理結果通知を、サーバ通信部101、外部ネットワーク11、FW装置3およびDMZ12を介して内部セキュリティ制御装置7に送信する(ステップS507)。
内部セキュリティ制御装置7の通信部701は、隔離処理結果通知を受信すると、その隔離処理結果通知を制御部703に送信する。制御部703は、隔離処理結果通知を受信すると、その隔離処理結果通知が隔離処理の成功を示すか否かを確認し、その確認結果に応じた処理を行う(ステップS508)。ここで、隔離処理結果通知が隔離処理の失敗を示す場合、制御部703は、記憶部702から管理者の連絡先を取得し、その取得した連絡先宛に隔離エラー通知を送信し、処理を終了する。
以下、隔離処理結果通知が隔離処理の成功を示す場合について詳細に説明する。図6は、ステップS508において隔離処理結果通知が隔離処理の成功を示す場合のセキュリティ制御システムの動作例を説明するためのシーケンス図である。
隔離処理結果通知が隔離処理の成功を示す場合、制御部703は、記憶部702から認証情報を取得し、その認証情報を含む駆除プログラム要求を、通信部701、DMZ12、FW装置3および外部ネットワーク11を介して駆除プログラム提供装置2に送信する(ステップS601)。
駆除プログラム提供装置2は、駆除プログラム要求を受信すると、その駆除プログラム要求内の認証情報と、記憶している認証情報とを照合して、駆除プログラム要求の送信元の内部セキュリティ制御装置7を認証する。ここでは認証に成功したとする。この場合、駆除プログラム提供装置2は、記憶している駆除プログラムを、外部ネットワーク11、FW装置3およびDMZ12を介して内部セキュリティ制御装置7に送信する(ステップS602)。
内部セキュリティ制御装置7の通信部701は、駆除プログラムを受信すると、その駆除プログラムを制御部703に送信する。制御部703は、駆除プログラムを受信すると、その駆除プログラムを記憶部702に記憶するとともに、その記憶場所を示すURLを生成する。そして、制御部703は、生成したURLとステップS508で受信した隔離処理結果通知内のIPアドレスとを含む駆除指示を、通信部701、DMZ12、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS603)。
資産管理サーバ1のサーバ通信部101は、駆除指示を受信すると、その駆除指示を管理部102に送信する。管理部102は、駆除指示を受信すると、その駆除指示からIPアドレスを取得する。管理部102は、取得したIPアドレスにて特定される感染端末8Aに対して、IPアドレスを除いた駆除指示に基づいた駆除命令を、サーバ通信部101、外部ネットワーク11、FW装置3および内部ネットワーク13を介して送信する(ステップS604)。
感染端末8Aの端末通信部801は、駆除命令を受信すると、その駆除命令を処理部803に送信する。処理部803は、駆除命令を受信すると、その駆除命令からURLを取得し、そのURLが示す内部セキュリティ制御装置7に対して、駆除プログラム要求を、端末通信部801、内部ネットワーク13、FW装置3およびDMZ12を介して送信する(ステップS605)。
内部セキュリティ制御装置7の通信部701は、駆除プログラム要求を受信すると、その駆除プログラム要求を制御部703に送信する。制御部703は、駆除プログラム要求を受信すると、記憶部702から駆除プログラムを取得し、その駆除プログラムを、駆除プログラム要求の送信元である感染端末8Aに対して、通信部701、DMZ12、FW装置3および内部ネットワーク13を介して送信する(ステップS606)。
感染端末8Aの端末通信部801は、駆除プログラムを受信すると、その駆除プログラムを処理部803に送信する。処理部803は、駆除プログラムを受信すると、駆除プログラムを端末記憶部802に記憶し、その記憶した駆除プログラムをRAM(図示せず)に展開して実行することで、駆除処理を実行する(ステップS607)。
駆除処理が終了すると、処理部803は、その駆除処理の処理結果を示す駆除処理結果通知を、端末通信部801、内部ネットワーク13、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS608)。
資産管理サーバ1のサーバ通信部101は、駆除処理結果通知を受信すると、その駆除処理結果通知を管理部102に送信する。管理部102は、駆除処理結果通知を受信すると、駆除処理結果通知の送信元のIPアドレスを感染端末8AのIPアドレスとして駆除処理結果通知に加え、そのIPアドレスを加えた駆除処理結果通知を、サーバ通信部101、外部ネットワーク11、FW装置3およびDMZ12を介して内部セキュリティ制御装置7に送信する(ステップS609)。
内部セキュリティ制御装置7の通信部701は、駆除処理結果通知を受信すると、その駆除処理結果通知を制御部703に送信する。制御部703は、駆除処理結果通知を受信すると、その駆除処理結果通知が不正プログラムの非検出または駆除処理の成功を示すか否かを確認する。ここでは、駆除処理結果通知が不正プログラムの非検出を示したとする。この場合、制御部703は、駆除処理結果通知内のIPアドレスを含む隔離解除指示を、通信部701、DMZ12、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS610)。
なお、駆除処理結果通知が不正プログラムの検出かつ駆除処理の失敗を示す場合、制御部703は、記憶部702から管理者の連絡先を取得し、その取得した連絡先宛に駆除エラー通知を送信し、処理を終了する。また、制御部703は、隔離処理の種別として所定の隔離処理(具体的には、ドライバ削除処理)を示す種別情報を含む隔離指示を、資産管理サーバ1を介して感染端末8Aに送信してもよい。この場合、感染端末8Aの処理部803で隔離処理としてドライバ削除処理が実行される。このため、感染端末8Aをより確実に隔離することが可能になる。また、駆除処理結果通知が不正プログラムの検出かつ駆除処理の成功を示す場合 、駆除処理結果通知が不正プログラムの非検出を示す場合と同様に、ステップS610の処理を行ってもよいし、駆除処理結果通知が不正プログラムの検出かつ駆除処理の失敗を示す場合の処理を行ってもよい。
資産管理サーバ1のサーバ通信部101は、隔離解除指示を受信すると、その隔離解除指示を管理部102に送信する。管理部102は、隔離解除指示を受信すると、その隔離解除指示からIPアドレスを取得する。管理部102は、取得したIPアドレスにて特定される感染端末8Aに対して、IPアドレスを除いた隔離解除指示に基づいた隔離解除命令を、サーバ通信部101、外部ネットワーク11、FW装置3および内部ネットワーク13を介して送信する(ステップS611)。
感染端末8Aの端末通信部801は、隔離解除命令を受信すると、その隔離解除命令を処理部803に送信する。処理部803は、隔離解除命令を受信すると、隔離解除処理を実行する(ステップS612)。
隔離解除処理が終了すると、処理部803は、隔離解除処理の処理結果を示す解除処理結果通知を、端末通信部801、内部ネットワーク13、FW装置3および外部ネットワーク11を介して資産管理サーバ1に送信する(ステップS613)。
資産管理サーバ1のサーバ通信部101は、解除処理結果通知を受信すると、その解除処理結果通知を管理部102に送信する。管理部102は、解除処理結果通知を受信すると、解除処理結果通知の送信元のIPアドレスを感染端末8AのIPアドレスとして解除処理結果通知に加え、そのIPアドレスを加えた解除処理結果通知を、サーバ通信部101、外部ネットワーク11、FW装置3およびDMZ12を介して内部セキュリティ制御装置7に送信する(ステップS614)。
内部セキュリティ制御装置7の通信部701は、解除処理結果通知を受信すると、その解除処理結果通知を制御部703に送信する。制御部703は、解除処理結果通知を受信すると、その解除処理結果通知が隔離解除処理の成功を示すか否かを確認する(ステップS615)。隔離解除処理が成功の場合、制御部703は、処理を終了する。一方、隔離解除処理が失敗の場合、制御部703は、記憶部702から管理者の連絡先を取得し、その取得した連絡先宛に解除エラー通知を送信し、処理を終了する。
以上説明したように本実施形態によれば、内部セキュリティ制御装置7の通信部701は、不正な通信が行われた感染端末8Aを特定するIPアドレスを受信する。制御部703は、通信部701が受信したIPアドレスにて特定される感染端末8Aに対して、内部ネットワーク13から隔離する隔離処理の実行を指示する。また、感染端末8Aの端末通信部801は、隔離処理の実行の指示を受け付ける。処理部803は、端末通信部801がその指示を受け付けた場合、隔離処理を実行する。
したがって、不正な通信が行われた感染端末8A自身によって内部ネットワーク13から隔離する隔離処理が実行されるため、管理者が感染端末8Aの設置場所に行かずに、かつ、感染端末8A以外の情報処理装置の通信を遮断せずに、感染端末8Aによる不正な通信を遮断することが可能になる。したがって、管理者の負担を軽減しつつ、細やかなセキュリティ制御を行うことが可能になり、セキュリティが高まる。
次に第2の実施形態について説明する。
本実施形態では、内部セキュリティ制御装置7の制御部703は、通信部701によるアラートの受信回数、すなわち感染端末8AのIPアドレスの受信回数に応じて、隔離処理の種別を決定する。
例えば、記憶部702は、IPアドレスごとに、そのIPアドレスを含むアラートの受信回数を示す制御情報を記憶する。制御部703は、通信部701がアラートを受信するたびに、そのアラートに含まれるIPアドレスに対応する受信回数をインクリメントする。そして、制御部703は、インクリメントした受信回数に応じて、隔離処理の種別を決定する。具体的には、制御部703は、受信回数が多いほど、隔離の強度が高い隔離処理を実行する。例えば、制御部703は、受信回数が1回の場合、隔離処理として制限処理を指定し、受信回数が2回以上の場合、隔離処理として削除処理を指定する。また、制御部703は、受信回数が1回の場合、隔離処理として制限処理を指定し、受信回数が2回の場合、削除処理を指定し、受信回数が3回以上の場合、ドライバ削除処理を実行してもよい。
また、受信回数は、所定の期間にアラートが受信された回数でもよい。この場合、例えば、制御部703は、隔離処理結果通知が隔離処理の成功を示してから駆除処理結果通知を受信するまでの期間にアラートを受信すると、受信回数をインクリメントする。
以上説明したように本実施形態によれば、アラートの受信回数に応じて隔離処理の種別が決定されるので、ある隔離処理では不正な通信を遮断することができなくても、別の隔離処理を用いて不正な通信を遮断することが可能になるため、より精度の高いセキュリティ制御が可能になる。
以上説明した各実施形態において、図示した構成は単なる一例であって、本発明はその構成に限定されるものではない。
例えば、セキュリティ制御システムの各装置の機能は、その機能を実現するためのプログラムを、コンピュータにて読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ実行させることで、実現されてもよい。
また、資産管理サーバ1は、外部ネットワーク11上に配置されていたが、DMZ12上または内部ネットワーク13上に配置されてもよい。プロキシサーバ4と、制限プロキシサーバ5と、標的型攻撃監視装置6と、内部セキュリティ制御装置7は、DMZ12上に配置されていたが、内部ネットワーク13上に配置されてもよい。また、隔離指示、駆除指示および隔離解除指示は、内部セキュリティ制御装置7から資産管理サーバ1を介さずに感染端末へ直接送信されてもよい。同様に、隔離処理結果通知、駆除処理結果通知および解除処理結果通知は、感染端末から資産管理サーバ1を介さずに内部セキュリティ制御装置7へ直接送信されてもよい。
また、端末8A〜8Cは、駆除プログラムを駆除プログラム提供装置2から取得してもよい。この場合、内部セキュリティ制御装置7の制御部703は、駆除プログラム要求を送信せずに、駆除プログラム提供装置2を示すURLを含む駆除指示を感染端末8Aに送信する。
1 資産管理サーバ
2 駆除プログラム提供装置
3 FW装置
4 プロキシサーバ
5 制限プロキシサーバ
6 標的型攻撃監視装置
7 内部セキュリティ制御装置
8A〜8C 端末
11 外部ネットワーク
12 DMZ
13 内部ネットワーク
101 サーバ通信部
102 管理部
701 通信部
702 記憶部
703 制御部
801 端末通信部
802端末記憶部
803 処理部

Claims (11)

  1. 監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する通信部と、
    前記通信部が受信した識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する制御部と、を有するセキュリティ制御装置。
  2. 前記隔離指示は、前記不正装置に実行させる隔離処理の種別を有し、
    前記制御部は、前記隔離処理の種別を、前記通信部による当該不正装置を特定する識別情報の受信回数に応じて決定する、請求項1に記載のセキュリティ装置。
  3. 前記通信部は、前記不正装置から前記隔離処理の処理結果を示す通知を受信し、
    前記制御部は、前記処理結果が前記隔離処理の成功を示す場合、前記不正装置に対して、不正な通信を行うプログラムである不正プログラムを駆除する駆除プログラムを提供し、当該駆除プログラムにより前記不正プログラムを駆除する駆除処理の実行を指示する駆除指示を送信する、請求項1または2に記載のセキュリティ制御装置。
  4. 前記通信部は、前記不正装置から前記駆除処理の処理結果を示す通知を受信し、
    前記制御部は、前記駆除処理の処理結果が前記不正プログラムの駆除の失敗を示す場合、前記不正装置に対して、前記隔離指示にて指示した隔離処理とは異なる所定の隔離処理の実行を指示する前記隔離指示を送信する、請求項3に記載のセキュリティ装置。
  5. 前記通信部は、前記不正装置から前記駆除処理の処理結果を示す通知を受信し、
    前記制御部は、前記処理結果が前記不正プログラムの駆除の成功を示す場合、前記不正装置に対して、前記ネットワークからの隔離を解除する隔離解除処理の実行を指示する隔離解除指示を送信する、請求項3または4に記載のセキュリティ装置。
  6. 監視対象のネットワークに接続された情報処理装置と、前記ネットワークのセキュリティを制御するセキュリティ制御装置と、を含むセキュリティ制御システムであって、
    前記セキュリティ制御装置は、
    前記ネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する通信部と、
    前記通信部が受信した識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する制御部と、を有し、
    前記情報処理装置は、
    前記隔離指示を受信する受信部と、
    前記受信部が前記隔離指示を受信した場合、前記隔離処理を実行する処理部と、を有する、セキュリティ制御システム。
  7. 前記処理部は、前記隔離処理として、当該不正装置の通信を中継するプロキシサーバを示すプロキシ設定情報を所定の情報に変更する変更処理を実行する、請求項6に記載のセキュリティ制御システム。
  8. 前記処理部は、前記隔離処理として、ネットワークドライバを削除するドライバ削除処理を実行する、請求項6または7に記載のセキュリティ制御システム。
  9. 前記隔離指示は、前記不正装置に実行させる隔離処理の種別を有し、
    前記処理部は、前記隔離指示内の種別の隔離処理を実行する、請求項6ないし8のいずれか1項に記載のセキュリティ制御システム。
  10. 監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信するステップと、
    前記受信された識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信するステップと、を含むセキュリティ制御方法。
  11. コンピュータに、
    監視対象のネットワークに接続された情報処理装置のうち不正な通信を行った不正装置を特定する識別情報を受信する手順と、
    前記受信された識別情報にて特定される不正装置に対して、前記ネットワークから隔離する隔離処理の実行を指示する隔離指示を送信する手順と、を実行させるためのプログラム。
JP2015187953A 2015-09-25 2015-09-25 セキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラム Active JP6226930B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015187953A JP6226930B2 (ja) 2015-09-25 2015-09-25 セキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015187953A JP6226930B2 (ja) 2015-09-25 2015-09-25 セキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2017062669A true JP2017062669A (ja) 2017-03-30
JP6226930B2 JP6226930B2 (ja) 2017-11-08

Family

ID=58430158

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015187953A Active JP6226930B2 (ja) 2015-09-25 2015-09-25 セキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラム

Country Status (1)

Country Link
JP (1) JP6226930B2 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004362012A (ja) * 2003-06-02 2004-12-24 Hitachi Ltd 不正アクセスや不正プログラムを検知する自動取引装置
JP2006246407A (ja) * 2005-03-07 2006-09-14 Sharp Corp 通信制御装置及び画像形成装置
JP2009176137A (ja) * 2008-01-25 2009-08-06 Sky Co Ltd ウィルス被害範囲予測システム
JP2010193268A (ja) * 2009-02-19 2010-09-02 Nec Corp ネットワークセキュリティシステムおよびリモートマシン隔離方法
JP2010233153A (ja) * 2009-03-30 2010-10-14 Nec Corp 通信管理装置、通信管理方法及び通信管理プログラム等
JP2012064208A (ja) * 2010-09-15 2012-03-29 Chunghwa Telecom Co Ltd ネットワークウイルス防止方法及びシステム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004362012A (ja) * 2003-06-02 2004-12-24 Hitachi Ltd 不正アクセスや不正プログラムを検知する自動取引装置
JP2006246407A (ja) * 2005-03-07 2006-09-14 Sharp Corp 通信制御装置及び画像形成装置
JP2009176137A (ja) * 2008-01-25 2009-08-06 Sky Co Ltd ウィルス被害範囲予測システム
JP2010193268A (ja) * 2009-02-19 2010-09-02 Nec Corp ネットワークセキュリティシステムおよびリモートマシン隔離方法
US20110289580A1 (en) * 2009-02-19 2011-11-24 Hiroaki Onuma Network security system and remote machine isolation method
JP2010233153A (ja) * 2009-03-30 2010-10-14 Nec Corp 通信管理装置、通信管理方法及び通信管理プログラム等
JP2012064208A (ja) * 2010-09-15 2012-03-29 Chunghwa Telecom Co Ltd ネットワークウイルス防止方法及びシステム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"セキュリティ7大勘違い だから罠にハマる 勘違い1 ウイルスを見つけたらソッコーで退治 証拠をで", 日経SYSTEMS, vol. 第270号, JPN6017031299, 24 September 2015 (2015-09-24), JP, pages 23, ISSN: 0003623729 *

Also Published As

Publication number Publication date
JP6226930B2 (ja) 2017-11-08

Similar Documents

Publication Publication Date Title
US11036836B2 (en) Systems and methods for providing real time security and access monitoring of a removable media device
EP3462698B1 (en) System and method of cloud detection, investigation and elimination of targeted attacks
JP5029701B2 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
US7818800B1 (en) Method, system, and computer program product for blocking malicious program behaviors
JP6382196B2 (ja) セキュアな計算環境を提供するシステム及び方法
EP2850803B1 (en) Integrity monitoring to detect changes at network device for use in secure network access
US20170034189A1 (en) Remediating ransomware
EP2866410B1 (en) Apparatus for switching between multiple servers in a web-based system
US10560452B2 (en) Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network
US20160373447A1 (en) Unauthorized access detecting system and unauthorized access detecting method
JP2008054204A (ja) 接続装置及び端末装置及びデータ確認プログラム
US11487868B2 (en) System, method, and apparatus for computer security
JP2008276457A (ja) ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法
JP6226930B2 (ja) セキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラム
KR20100085459A (ko) 네트워크 전송 데이터의 필터링을 이용하는 개인 정보 보호장치 및 개인 정보 보호 방법
JP4418211B2 (ja) ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム
KR20180044507A (ko) 지능형 지속위협 환경의 네트워크 복구 시스템
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
JP4328637B2 (ja) コンピュータウィルス検疫方法
JP2010287932A (ja) 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム
JP2008511046A (ja) コンピュータのデータ保護方法
JP7492886B2 (ja) 通信制御システムおよび情報処理装置
JP6800902B2 (ja) 情報処理装置、情報処理プログラム、記録媒体及び情報処理方法
WO2019048915A1 (en) COMPUTER SECURITY FOR REMOTE ACCESS
KR20180044506A (ko) 지능형 지속위협 환경에서의 시스템 복구 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170815

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170822

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171010

R150 Certificate of patent or registration of utility model

Ref document number: 6226930

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250