以下、図面を参照しつつ実施形態について説明する。尚、以下の説明において、同一又は類似の構成について同一の符号を付すことにより重複した説明を省略することがある。また「ネットワークスイッチ」のことを「スイッチ」と略記する。
<システム構成>
図1に実施形態として説明するネットワークシステム1の概略的な構成を示している。同図に示すように、ネットワークシステム1は、サービス系ネットワーク51、管理系ネットワーク52、サービス系ネットワーク51に接続するネットワーク機器(スイッチ151〜155、リピータハブ156、端末161〜162、サーバ装置163、調査端末164、ダミーサーバ165、及びキャプチャサーバ166)、管理系ネットワーク52に接続する、ネットワーク制御装置111、トポロジアナライザ112、及びインシデント検知装置113を含む。
サービス系ネットワーク51は、管理系ネットワーク52に接続するネットワーク制御装置111による制御対象となるネットワークであり、例えば、LAN(Local Area Network)、WAN(Wide Area Network)、インターネット(Internet)等である。以下、
サービス系ネットワーク51はIPネットワークであるとして説明する。
上記ネットワーク機器のうち、スイッチ151〜155は、例えば、レイヤー2スイッチ、レイヤー3スイッチ、ルータ、SDNスイッチ(SDN:Software-Defined Networking
)等であり、いずれもネットワーク制御装置111からの監視や制御が可能なインテリジェントな機能(情報処理装置としての機能)を備える。スイッチ151は、ルータとしても機能し、サービス系ネットワーク51をインターネット191に接続する。端末161〜162、サーバ装置163、調査端末164、ダミーサーバ165、及びキャプチャサーバ166は、いずれも情報処理装置(コンピュータ)を用いて構成される。尚、以下では、端末161を、マルウェアの感染が予想される端末であるとして説明する。
尚、同図に示したサービス系ネットワーク51の構成は一例であり、サービス系ネットワーク51を構成するネットワーク機器の種類や数は同図に示すものに限られない。ネットワーク機器は、インターネット191を介して接続される機器であってもよい。またネットワーク機器はハードウェアとして構成されたものに限られず、例えば、SDNに対応したネットワーク機器のように仮想的に実現されるものであってもよい。
管理系ネットワーク52は、サービス系ネットワーク51の管理に用いられるネットワークであり、例えば、LANである。尚、同図に示した管理系ネットワーク52の構成は一例であり、管理系ネットワーク52を構成する機器の種類や数は同図に示すものに限られない。ネットワーク制御装置111、トポロジアナライザ112、及びインシデント検知装置113は、いずれも情報処理装置(コンピュータ)を用いて構成される。これらは夫々が独立したハードウェアによって実現されるものであってもよいし、これらの2つ以上が共通のハードウェアによって実現されるものであってもよい。以下、管理系ネットワーク52はIPネットワークであるとして説明する。
ネットワーク制御装置111は、管理系ネットワーク52を介して、ネットワーク機器に関する情報の取得やネットワーク機器の動作の設定を行う。ネットワーク制御装置111は、サービス系ネットワーク51においてマルウェア等を用いたサイバー攻撃によるインシデントが発生した際、管理系ネットワーク52を介して、当該インシデントに関する情報(以下、インシデント情報と称する。)やサービス系ネットワーク51におけるネットワーク機器の接続に関する情報(以下、トポロジ情報と称する。)を取得する。ネットワーク制御装置111は、サービス系ネットワーク51を構成するネットワーク機器の設定を行うことで、特定の端末が行う通信を制御する。
ネットワーク制御装置111は、ネットワークシステム1の管理者等(以下、ユーザと称する。)によって予め設定された対処方針、及び予め取得したネットワーク情報を参照し、インシデントに対する対処方法の候補(以下、対処候補と称する。)を複数生成し、
生成した各対処候補について、夫々の望ましさを評価し、評価した結果を提示する。ネットワークシステム1は、提示した対処候補からユーザが選択した対処候補に基づき、ネットワーク機器の設定を行う。
インシデント検知装置113は、サービス系ネットワーク51においてセキュリティに関するインシデントが発生すると、管理系ネットワーク52を介して、サービス系ネットワーク51を構成するネットワーク機器からインシデント情報を取得し、取得したインシデント情報を管理系ネットワーク52を介してネットワーク制御装置111に通知する。
トポロジアナライザ112は、管理系ネットワーク52を介して、サービス系ネットワーク51を構成するネットワーク機器からトポロジ情報を取得し、取得したトポロジ情報を管理系ネットワーク52を介してネットワーク制御装置111に通知する。
図2にネットワーク制御装置111のハードウェア構成の一例を示す。同図に示すように、ネットワーク制御装置111は、プロセッサ201、主記憶装置202、補助記憶装置203、入力装置204、出力装置205、及び通信装置206を備える。これらは図示しないバス等の通信手段を介して通信可能に接続されている。
プロセッサ201は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)を用いて構成される。主記憶装置202は、揮発性もしくは不揮発性の記憶素子を用いて構成された、プログラムやデータを記憶する装置であり、例えば、ROM(Read Only Memory)、RAM(Random Access Memory)、NVRAM(Non Volatile
RAM)等である。プロセッサ201及び主記憶装置202は情報処理装置を構成する。補助記憶装置203は、例えば、SSD(Solid State Drive)、ハードディスクドライブ
、光学式記憶装置、記録媒体の読取/書込装置等である。補助記憶装置203に記憶されているプログラムやデータは主記憶装置202に随時ロードされる。
入力装置204は、ユーザから情報を取得するユーザインタフェースであり、例えば、キーボード、マウス、タッチパネル、操作ボタン、カードリーダ、音声入力装置等である。出力装置205は、ユーザに情報を提供するユーザインタフェースであり、例えば、LCD(Liquid Crystal Display)、グラフィックカード、音声出力装置(アンプ、スピーカ等)、印字/印刷装置等である。通信装置206は、管理系ネットワーク52に接続する他の機器と通信する有線方式又は無線方式の通信インタフェースであり、例えば、NIC(Network Interface Card)、無線通信モジュール等を用いて構成される。
図3にネットワーク制御装置111が備える機能、及びネットワーク制御装置111が記憶するデータを示している。同図に示すように、ネットワーク制御装置111は、表示/操作部121、ネットワーク機器情報取得部122、インシデント情報取得部123、対処設定情報生成部124、及びネットワーク機器設定部125の各機能を備える。これらの機能は、ネットワーク制御装置111のハードウェアによって、もしくは、ネットワーク制御装置111のプロセッサ201が、主記憶装置202(又は補助記憶装置203)に記憶されているプログラムを読み出して実行することにより実現される。
同図に示すように、ネットワーク制御装置111は、ネットワーク機器情報131、対処方針情報132、及びインシデント情報133の各データを記憶する。これらのデータは、例えば、ネットワーク制御装置111(もしくはこれに通信可能に接続された情報処理装置)において動作するDBMS(Data Base Management System)によって管理され
るデータベースのテーブルとして管理される。
上記機能のうち、表示/操作部121は、例えば、サービス系ネットワーク51の構成
情報やインシデントへの対処方針等の情報をユーザが入力/設定するためのユーザインタフェースや、前述した対処候補をユーザに提示し選択を促すためのユーザインタフェースを提供する。
ネットワーク機器情報取得部122は、管理系ネットワーク52を介して、サービス系ネットワーク51に接続するネットワーク機器が備える機能に関する情報(以下、ネットワーク機器情報と称する。)を取得する。ネットワーク機器情報には、例えば、スイッチ151〜156に関する情報、端末161〜162に関する情報、サーバ装置163に関する情報、調査端末164に関する情報、ダミーサーバ165に関する情報、キャプチャサーバ166に関する情報等がある。
インシデント情報取得部123は、前述したインシデント情報をインシデント検知装置113等を介してサービス系ネットワーク51から取得する。
対処設定情報生成部124は、ネットワーク機器情報取得部122やインシデント情報取得部123が取得した情報に基づき、サービス系ネットワーク51において発生したインシデントに対する対処候補を生成し、生成した対処候補の夫々について望ましさを評価する。
ネットワーク機器設定部125は、対処設定情報生成部124が生成した対処候補に基づき、サービス系ネットワーク51を構成しているネットワーク機器に対して、それらのネットワーク機器に対処候補に対応した動作をさせるための情報(以下、設定情報と称する。)を送信する。
ネットワーク制御装置111が管理する上記データのうち、ネットワーク機器情報131は、サービス系ネットワーク51を構成しているネットワーク機器の情報(ネットワーク機器を特定する情報、ネットワーク機器の構成に関する情報、ネットワーク機器が備える機能に関する情報、ネットワーク機器間の接続関係を示す情報等。)を含む。対処方針情報132は、サービス系ネットワーク51において発生したインシデントに対する対処方法を決定するために用いる情報を含む。インシデント情報133は、サービス系ネットワーク51において発生したインシデントに関する情報を含む。
===データ構成===
ネットワーク制御装置111が管理(記憶)する、ネットワーク機器情報131、対処方針情報132、及びインシデント情報133について詳細に説明する。
以下では、ネットワーク機器情報131の例として、ネットワーク機器情報管理テーブル400、トポロジ情報テーブル500、ネットワーク変数テーブル600、機能マスタテーブル700、機能対応テーブル800、機能割り当てテーブル900、及びリソース情報テーブル1000を示す。
また対処方針情報132の例として、対処目的テーブル1100、対処方針テーブル1200、対処変数テーブル1300、対処方針評価項目テーブル1400、及び処理配置評価項目テーブル1500を示す。
またインシデント情報133の例として、インシデントテーブル1600、対処方法テーブル1700、対処経路テーブル1800、対処処理配置テーブル1900、及び対処候補テーブル2000を示す。
<ネットワーク機器情報>
図4は、ネットワーク機器情報131の一つとして示すネットワーク機器情報管理テーブル400の一例である。ネットワーク機器情報管理テーブル400には、ネットワーク制御装置111が、管理系ネットワーク52を介して制御可能なネットワーク機器に関する情報が管理される。同図に示すように、ネットワーク機器情報管理テーブル400は、ネットワーク機器ID401、管理アドレス402、型番403、及びタイプ404の各項目を有する一つ以上のレコードで構成される。ネットワーク機器情報管理テーブル400のレコードの数は、ネットワーク制御装置111が制御対象とするネットワーク機器の数に応じて増減する。
上記項目のうち、ネットワーク機器ID401には、ネットワーク機器の識別子(以下、ネットワーク機器IDと称する。)が設定される。管理アドレス402には、管理系ネットワーク52において当該ネットワーク機器に付与されているネットワークアドレス(本例ではIPアドレス)が設定される。型番403には、当該ネットワーク機器の型番403が設定される。タイプ404には、当該ネットワーク機器の種類を示す情報(以下、タイプと称する。)が設定される。本実施形態では、同図では、レイヤー2スイッチ等のレガシータイプのスイッチには上記タイプとして「Legacy」が、SDNに対応したスイッチには上記タイプとして「SDN」が、夫々設定されている。
図5は、ネットワーク機器情報131の一つとして示すトポロジ情報テーブル500の一例である。トポロジ情報テーブル500には、ネットワーク機器情報管理テーブル400の各ネットワーク機器の、サービス系ネットワーク51における接続関係を示す情報(以下、トポロジ情報と称する。)が管理される。同図に示すように、トポロジ情報テーブル500は、トポロジID501、ネットワーク機器ID502、インタフェース503、対向ネットワーク機器ID504、対向インタフェース505、STP状態506、通信速度507、及び所属LAN508の各項目からなる一つ以上のレコードで構成される。トポロジ情報テーブル500のレコード数は、ネットワーク機器間のリンクの数に応じて増減する。
上記項目のうち、トポロジID501には、ネットワーク機器の接続関係(組み合わせ)ごとに付与される識別子(以下、トポロジIDと称する。)が設定される。ネットワーク機器ID502には、ネットワーク機器IDが設定される。インタフェース503には、当該ネットワーク機器が備える通信インタフェース(例えば、ポート)を特定する情報が設定される。対向ネットワーク機器ID504には、当該ネットワーク機器と接続するネットワーク機器(以下、対向ネットワーク機器と称する。)のネットワーク機器IDが設定される。対向インタフェース505には、対向スイッチの通信インタフェース(例えば、ポート)を特定する情報が設定される。STP状態506(STP: Spanning Tree Protocol)には、当該ネットワーク機器と対向ネットワーク機器とが現在、通信可能な状態
にあるか否かを示す情報が設定される。通信速度507には、当該ネットワーク機器と対向ネットワーク機器との間の通信速度507の理論値を示す情報が設定される。所属LAN508には、当該ネットワーク機器が所属しているネットワーク(例えば、VLAN機能やルーティング機能によって分轄された個々のネットワーク)の識別子が設定される。
図6は、ネットワーク機器情報131の一つとして示すネットワーク変数テーブル600の一例である。ネットワーク変数テーブル600には、ネットワーク制御装置111が、サービス系ネットワーク51の監視や制御に用いる変数や変数に代入されている値が管理される。同図に示すように、ネットワーク変数テーブル600は、変数名601、値602、説明603の各項目を有する一つ以上のレコードで構成される。ネットワーク変数テーブル600のレコード数は、ネットワーク制御装置111が取り扱う変数の数に応じて増減する。
上記項目のうち、変数名601には、変数ごとに付与される識別子(例えば、変数名)が設定される。値602には、当該変数に現在代入されている値が設定される。説明603には、当該変数に関する情報(当該変数の説明等)が設定される。
図7は、ネットワーク機器情報131の一つとして示す機能マスタテーブル700の一例である。機能マスタテーブル700には、サービス系ネットワーク51を構成するネットワーク機器が備える機能を抽象化して表現した情報が管理される。同図に示すように、機能マスタテーブル700は、機能ID701、サブID702、入力条件703、更新処理704、出力705、及び設定用スクリプトURI706の各項目を有する一つ以上のレコードで構成される。機能マスタテーブル700の一つのレコードは抽象化して表現された一つの機能に対応している。
上記項目のうち、機能ID701には、ネットワーク機器が備える機能ごとに付与される識別子(以下、機能IDと称する。)が設定される。サブID702には、複数の機能が連携して動作する場合に、連携して動作する機能群を区別するための識別子(以下、サブIDと称する。)が設定される。入力条件703には、当該機能の処理対象となるパケットの条件を示す情報が設定される(当該条件を満たすパケットが当該機能の処理の対象となる。)。更新処理704には、当該機能の処理対象となるパケットに対して行われる処理(当該パケットに加えられる更新処理)を示す情報が設定される。出力705には、当該機能の処理対象となるパケットの出力先となる通信インタフェース(例えば、ポート)を示す情報が設定される。設定用スクリプトURI706には、当該機能をネットワーク機器に設定するためのコマンドを生成するスクリプトの所在を示す情報(本例では、URI(Uniform Resource Identifier))が設定される。
図8は、ネットワーク機器情報131の一つとして示す機能対応テーブル800の一例である。機能対応テーブル800には、サービス系ネットワーク51を構成するネットワーク機器と、各ネットワーク機器が備える機能とを対応付けた情報が管理される。同図に示すように、機能対応テーブル800は、ネットワーク機器ID801と機能ID802の各項目を有する一つ以上のレコードで構成される。上記項目のうち、ネットワーク機器ID801には前述したネットワーク機器IDが、機能ID802には前述した機能IDが、夫々設定される。
図9は、ネットワーク機器情報131の一つとして示す機能割り当てテーブル900の一例である。機能割り当てテーブル900には、サービス系ネットワーク51を構成するネットワーク機器に現在設定されている(割り当てられている)機能を示す情報が管理される。同図に示すように、機能割り当てテーブル900は、ネットワーク機器ID901、機能ID902、及び変数903の各項目からなる一つ以上のレコードで構成される。機能割り当てテーブル900のレコード数は、ネットワーク機器に現在設定されている機能の数に伴い増減する。
上記項目のうち、ネットワーク機器ID901には前述したネットワーク機器IDが設定される。機能ID902には当該スイッチに割り当てられている機能の前述した機能IDが設定される。変数903には当該機能に関する変数に現在代入されている値を示す情報が設定される。
図10は、ネットワーク機器情報131の一つとして示すリソース情報テーブル1000の一例である。リソース情報テーブル1000には、サービス系ネットワーク51における資源(リソース)の割り当てに関する情報(以下、リソース情報と称する。)が管理される。同図に示すように、リソース情報テーブル1000は、リソースID1001、
リソース種別1002、範囲1003、及び使用状態1004の各項目からなる一つ以上のレコードで構成される。リソース情報テーブル1000のレコード数は、サービス系ネットワーク51における資源(リソース)の変化に伴い増減する。
上記項目のうち、リソースID1001には、リソースの識別子(以下、リソースIDと称する。)が設定される。リソース種別1002には、当該リソースの種別を示す情報(以下、リソース種別と称する。)が設定される。範囲1003には、当該リソースの割り当て可能な範囲を示す情報が設定される。使用状態1004には、当該リソースが現在、使用中であるか否かを示す情報が設定される。
<対処方針情報>
図11は、対処方針情報132の一つとして示す対処目的テーブル1100の一例である。対処目的テーブル1100は、サービス系ネットワーク51において発生したインシデントに対する対処の目的を示す情報(以下、対処目的と称する。)が管理される。同図に示すように、対処目的テーブル1100は、対処目的ID1101、説明1102、及び対処目的評価スコア1103の各項目からなる一つ以上のレコードで構成される。
上記項目のうち、対処目的ID1101には、対処目的ごとに付与される識別子(以下、対処目的IDと称する。)が設定される。説明1102には、当該対処目的に関する情報(対処目的の説明等)が設定される。対処目的評価スコア1103には、当該対処目的の重要度を示す値(以下、対処目的評価スコアと称する。)が設定される。
図12は、対処方針情報132の一つとして示す対処方針テーブル1200の一例である。対処方針テーブル1200は、サービス系ネットワーク51において発生したインシデントに対して、ネットワークの設定変更等の具体的な対処方法を決定する際の雛形となる情報(以下、対処方針と称する。)が管理されるテーブルである。同図に示すように、対処方針テーブル1200は、対処方針ID1201、識別条件1202、終点1203、更新処理1204、対処目的ID1205、対処方針評価項目1206、及び簡易メモ1207の各項目からなる一つ以上のレコードで構成される。対処方針テーブル1200のレコード数は、設定する対処方針の数に伴い増減する。
上記項目のうち、対処方針ID1201には、対処方針ごとに付与される識別子(以下、対処方針IDと称する。)が設定される。識別条件1202には、当該対処方針の処理対象とするパケットを識別する条件を示す情報が設定される。終点1203には、当該対処方針の処理対象となるパケットの最終的な転送先を示す情報が設定される。更新処理1204には、当該対処方針が適用される際に当該対処方針の処理対象となるパケットに対して行われる処理(更新処理等)を示す情報が設定される。対処目的ID1205には、当該対処方針に対応づけられる対処目的を示す情報が設定される。対処方針評価項目1206には、当該対処方針とその望ましさを評価するための項目(以下、対処方針評価項目と称する。)との対応を示す情報が設定される。簡易メモ1207には、当該対処方針に関する情報(当該対処方針の説明等)が設定される。
図13は、対処方針情報132の一つとして示す対処変数テーブル1300の一例である。対処変数テーブル1300には、対処方針に関する処理で使用する変数(以下、対処変数と称する。)に代入する値が管理される。同図に示すように、対処変数テーブル1300は、変数名1301、アドレス1302、接続インタフェース1303、及び説明1304の各項目からなる一つ以上のレコードで構成される。対処変数テーブル1300のレコード数は、設定する対処変数の数に伴い増減する。
上記項目のうち、変数名1301には、対処変数の識別子(例えば、変数名)が設定される。アドレス1302には、当該変数に設定される情報(本例ではIPアドレス)が設定される。接続インタフェース1303には、当該変数に設定される情報(本例ではトポロジID501)が設定される。説明1304には、当該変数に関する情報(例えば、当該変数の用途の説明等)を示す情報が設定される。
図14は、対処方針情報132の一つとして示す対処方針評価項目テーブル1400の一例である。対処方針評価項目テーブル1400には、前述した対処方針評価項目に関する情報が管理される。同図に示すように、対処方針評価項目テーブル1400は、対処方針評価項目ID1401、説明1402、及び対処方針評価スコア1403の各項目からなる一つ以上のレコードで構成される。対処方針評価項目テーブル1400のレコード数は、設定する対処方針評価項目の数に伴い増減する。
上記項目のうち、対処方針評価項目ID1401には、対処方針の評価項目の識別子(以下、評価項目IDと称する。)が設定される。説明1402は、当該評価項目に関する情報(例えば、当該評価項目の説明情報等)が設定される。対処方針評価スコア1403には、当該対処方針の望ましさを定量化した値(以下、対処方針評価スコアと称する。)が設定される。
図15は、対処方針情報132の一つとして示す処理配置評価項目テーブル1500の一例である。処理配置評価項目テーブル1500には、後述する対処処理配置に対してその望ましさの算出に用いる項目(以下、処理配置評価項目と称する。)が管理される。同図に示すように、処理配置評価項目テーブル1500は、処理配置評価項目ID1501、説明1502、算出用スクリプトURI1503、及び処理配置評価重み1504の各項目からなる一つ以上のレコードで構成される。処理配置評価項目テーブル1500のレコード数は、設定する処理配置評価項目の数に伴い増減する。
上記項目のうち、処理配置評価項目ID1501には、処理配置評価項目ごとに付与される識別子(以下、処理配置評価項目IDと称する。)が設定される。説明1502には、当該処理配置評価項目の内容を示す情報が設定される。算出用スクリプトURI1503には、処理配置評価項目についての評価値(以下、処理配置評価項目評価値と称する。)を算出するためのスクリプトの所在(本例ではURI)が設定される。処理配置評価重み1504には、算出された上記処理配置評価項目評価値に対して重み付けをするための係数が設定される。
<インシデント情報>
図16は、インシデント情報133の一つとして示すインシデントテーブル1600の一例である。インシデントテーブル1600には、サービス系ネットワーク51において発生したインシデントに関する情報が管理される。同図に示すように、インシデントテーブル1600は、インシデントID1601、対象端末ID1602、接続インタフェース1603、及び状況1604の各項目からなる一つ以上のレコードで構成される。インシデントテーブル1600のレコード数は、現在管理中のインシデント数に伴い増減する。
上記項目のうち、インシデントID1601には、インシデントごとに付与される識別子(以下、インシデントIDと称する。)が設定される。対象端末アドレス1602には、対処の対象となる端末(本例では端末161)を特定する情報(本例では端末161のIPアドレス)が設定される。接続インタフェース1603には、当該対象端末161から最も少ないホップ数で到達するネットワーク機器(例えば、スイッチ151〜155)の通信インタフェース(例えば、ポート)を特定する情報が設定される。状況1604に
は、当該インシデントの対処の状況を示す情報が設定される。
図17は、インシデント情報133の一つとして示す対処方法テーブル1700の一例である。対処方法テーブル1700には、対処方針をインシデントに対応づけて具体化した情報(以下、対処方法と称する。)が管理される。同図に示すように、対処方法テーブル1700は、対処方法ID1701,インシデントID1702、及び対処方針ID1703の各項目からなる一つ以上のレコードで構成される。対処方法テーブル1700のレコード数は、管理中のインシデントの数に伴い増減する。
上記項目のうち、対処方法ID1701には、対処方法の識別子(以下、対処方法IDと称する。)が設定される。インシデントID1702には、当該対処方法に対応づけられたインシデントのインシデントIDが設定される。対処方針ID1703には、当該対処方法に対応づけられた対処方針の対処方針IDが設定される。
図18は、インシデント情報133の一つとして示す対処経路テーブル1800の一例である。対処経路テーブル1800には、対処方法を実現するためのサービス系ネットワーク51における具体的な経路(以下、対処経路と称する。)を示す情報が管理される。
同図に示すように、対処経路テーブル1800は、対処経路ID1801、対処方法ID1802、及び制御経路1803の各項目からなる一つ以上のレコードで構成される。対処経路テーブル1800のレコード数は、管理中の対処方法の数に伴い増減する。
上記項目のうち、対処経路ID1801には、対処経路ごとに付与される識別子(以下、対処経路IDと称する。)が設定される。対処方法ID1802には、当該対処経路に対応する対処方法の対処方法IDが設定される。制御経路1803には、対処経路を、サービス系ネットワーク51におけるネットワーク機器(ネットワーク機器ID)のリスト(組み合わせ)として表現した情報が設定される。
図19は、インシデント情報133の一つとして示す対処処理配置テーブル1900の一例である。対処処理配置テーブル1900には、各対処経路に対し、対応する対処方法に指定されているパケットの更新処理のネットワーク機器への具体的な割り当てを示す情報(以下、対処処理配置と称する。)が管理される。同図に示すように、対処処理配置テーブル1900は、対処処理配置ID1901、対処経路ID1902、更新処理配置1903、及び処理機能設定1904の各項目からなる一つ以上のレコードで構成される。対処処理配置テーブル1900のレコード数は、管理中の対処経路の数に伴い増減する。
上記項目のうち、対処処理配置ID1901には、対処処理配置の識別子(以下、対処処理配置IDと称する。)が設定される。対処経路ID1902には、当該対処処理配置に対応づけられている対処経路の対処経路IDが設定される。更新処理配置1903は、パケットの更新処理の割り当てを示す情報が設定される。処理機能設定1904には、上記割り当ての可否についての判定結果や上記更新処理の具体的な設定値等の情報が設定される。
図20は、インシデント情報133の一つとして示す対処候補テーブル2000の一例である。対処候補テーブル2000には、対処目的を具体化する対処処理配置の組み合わせ(前述した対処候補に相当)が管理される。同図に示すように、対処候補テーブル2000は、対処候補ID2001、目的/対処処理配置対応2002、及び対処候補評価スコア2003の各項目からなる一つ以上のレコードで構成される。対処候補テーブル2000のレコード数は、対処目的テーブル1100、インシデントテーブル1600、及び対処処理配置テーブル1900のうちの少なくともいずれかのレコードの数の増減に伴い増減する。
上記項目のうち、対処候補ID2001には、対処候補ごとに付与される識別子(以下、対処候補IDと称する。)が設定される。目的/対処処理配置対応2002には、対処目的と対処処理配置とを対応づけた情報が設定される。対処候補評価スコア2003には、目的/対処処理配置対応2002に基づき算出される、当該対処候補の望ましさを示す値(以下、対処候補評価スコアと称する。)が設定される。
===ユーザインタフェース===
続いて、表示/操作部121が提供するユーザインタフェースの例を示す。
図21は、表示/操作部121が提供するユーザインタフェースの一つとして示すネットワーク情報設定画面2100の一例である。ユーザは、ネットワーク情報設定画面2100を利用して、サービス系ネットワーク51に関する情報をネットワーク機器情報131としてネットワーク制御装置111に設定することができる。
同図に示すように、ネットワーク情報設定画面2100には、タブ2140、プレビュー画面2110、ネットワーク機器一覧2120、及びネットワーク機器情報編集欄2130が設けられている。
このうちタブ2140は、出力装置205に表示させる画面の切り替えに用いられる。ユーザは、タブ2140の一つを選択することにより、当該ネットワーク情報設定画面2100や後述する対処設定画面2200、評価項目設定画面2400、及び対処候補設定画面2600のいずれかを出力装置205に表示させることができる。
プレビュー画面2110には、ネットワーク制御装置111が、ネットワーク機器情報管理テーブル400及びトポロジ情報テーブル500に基づき生成するサービス系ネットワーク51の構成図が表示される。
ネットワーク機器一覧2120には、ネットワーク機器情報管理テーブル400の内容が表示される。ユーザは、ネットワーク機器一覧2120からネットワーク機器を選択することができる。ネットワーク機器情報編集欄2130には、ネットワーク機器一覧2120から選択されたネットワーク機器に関する詳細が表示される。
ネットワーク制御装置111は、ユーザが更新ボタン2121を選択すると、管理系ネットワーク52に接続しているネットワーク機器やトポロジアナライザ112等からネットワーク機器情報を取得する。ネットワーク制御装置111は、取得したネットワーク機器情報を、ネットワーク機器情報131として記憶する。またネットワーク制御装置111は、取得したネットワーク機器情報に基づき、当該ネットワーク情報設定画面2100の表示内容を更新する。尚、ユーザは編集ボタン2122を選択することで、ネットワーク機器情報編集欄2130に表示されている内容を編集(ネットワーク機器情報131を編集)することもできる。
図22及び図23は、表示/操作部121が提供するユーザインタフェースの一つとして示す対処設定画面2200の一例である。ユーザは、この対処設定画面2200を利用して、対処方針や対処目的に関する情報を入力し、対処方針情報132として設定することができる。これらの図に示すように、対処設定画面2200には、前述したタブ2140、対象選択欄2210、対処一覧2220、及び対処編集欄2230が設けられている。
このうち対象選択欄2210にはプルダウンメニュー2211が設けられている。ユー
ザは、プルダウンメニュー2211を利用して、閲覧や編集の対象を選択することができる。
図22は、ユーザがプルダウンメニュー2211を操作して「対処方針」を選択した場合に相当する。同図に示すように、対処一覧2220には、対処方針テーブル1200の内容が表示されている。対処一覧2220から対処方針の一つが選択されると、選択された対処方針に対応する対処方針テーブル1200の内容が対処編集欄2230に表示される。ユーザは対処編集欄2230の内容を編集することで対処方針テーブル1200の内容を更新することができる。
図23は、プルダウンメニュー2211を操作して「対処目的」を選択した場合に相当する。同図に示すように、対処一覧2220には、対処目的テーブル1100の内容が表示されている。対処一覧2220から対処目的の一つが選択されると、選択された対処目的に対応する対処目的テーブル1100の内容が対処編集欄2230に表示される。ユーザは対処編集欄2230の内容を編集することで対処目的テーブル1100の内容を更新することができる。
図24及び図25は、表示/操作部121が提供するユーザインタフェースの一つとして示す評価項目設定画面2400の一例である。ユーザは、この評価項目設定画面2400を利用して、評価項目に関する情報を対処方針情報132として設定することができる。これらの図に示すように、評価項目設定画面2400には、前述したタブ2140、対象評価項目選択欄2410、評価項目一覧2420、及び評価項目編集欄2430が設けられている。
このうち対象評価項目選択欄2410にはプルダウンメニュー2411が設けられている。ユーザは、プルダウンメニュー2411を利用して、閲覧や編集の対象を選択することができる。
図24は、ユーザがプルダウンメニュー2411を操作して「対処方針」を選択した場合に相当する。この場合、評価項目一覧2420には、対処方針評価項目テーブル1400の内容が表示される。ユーザが評価項目一覧2420から評価項目を一つ選択し、編集ボタン2421を選択すると、選択した評価項目の内容が評価項目編集欄2430に表示される。ユーザは、評価項目編集欄2430の内容を編集することで対処方針評価項目テーブル1400の内容を更新することができる。またユーザは、新規作成ボタン2422を選択することで、対処方針評価項目テーブル1400に新規のレコードを追加することができる。ユーザは、削除ボタン2423を選択することで、対処方針評価項目テーブル1400の任意のレコードを削除することができる。
図25は、ユーザがプルダウンメニュー2411を操作して「対処処理配置」を選択した場合に相当する。この場合、評価項目一覧2420には、処理配置評価項目テーブル1500の内容が表示される。ユーザが評価項目一覧2420から処理配置評価項目を一つ選択し、編集ボタン2421を選択すると、選択した処理配置評価項目の内容が評価項目編集欄2430に表示される。ユーザは、評価項目編集欄2430の内容を編集することで処理配置評価項目テーブル1500の内容を更新することができる。またユーザは、新規作成ボタン2422を選択することで、処理配置評価項目テーブル1500に新規のレコードを追加することができる。ユーザは、削除ボタン2423を選択することで、処理配置評価項目テーブル1500の任意のレコードを削除することができる。
図26は、表示/操作部121が提供するユーザインタフェースの一つとして示す対処候補設定画面2600の一例である。ユーザは、この対処候補設定画面2600を利用し
て、インシデントの対処に用いる対処候補を選択する。
同図に示すように、対処候補設定画面2600には、対象インシデント選択欄2610、対処候補選択欄2620、対処目的・処理配置選択欄2630、及びプレビュー画面2640が設けられている。
対象インシデント選択欄2610にはプルダウンメニュー2611が設けられている。ユーザは、プルダウンメニュー2611を利用して、インシデントテーブル1600のインシデントの一つを選択することができる。
対処候補選択欄2620には、対処候補テーブル2000から取得される、対象インシデント選択欄2610にて選択されたインシデントに対応づけられている対処候補の一覧が表示される。ユーザは、表示されている対処候補の中から、インシデントの対処に用いる対処候補を選択することができる。
対処候補が選択されると、対処目的・処理配置選択欄2630には対処候補テーブル2000の目的/対処処理配置対応2002の一覧が表示される。ユーザが対処目的・処理配置の組み合わせの一つを選択すると、上記選択した組み合わせに対応する対処処理配置の詳細を示した図がプレビュー画面2640に表示される。
尚、以上では、ユーザインタフェースとしてGUI(Graphical User Interface)によるものを例示したが、これに限定されず、ユーザインタフェースは、例えば、CLI(Command Line Interface)を利用するものやファイルのアップロードやダウンロードを利用するものであってもよい。
===処理例===
続いて、以上に説明した構成からなるネットワークシステム1において行われる処理について説明する。
図27は、ネットワーク機器情報131や対処方針情報132の設定に関してネットワーク制御装置111が行う処理(以下、情報取得設定処理S2700と称する。)を説明するフローチャートである。以下、同図とともに情報取得設定処理S2700について説明する。
ネットワーク制御装置111のネットワーク機器情報取得部122は、トポロジアナライザ112等を介して、サービス系ネットワーク51を構成しているネットワーク機器からネットワーク情報を取得し、取得した情報をネットワーク機器情報131として記憶する(S2701)。当該処理は、例えば、予め設定されたタイミング行ってもよいし、ユーザの操作指示等に応じて任意のタイミングで行ってもよい。
ユーザは、表示/操作部121を介して、前述したネットワーク機器情報及びインシデント情報をネットワーク制御装置111に入力する(S2711)。ネットワーク制御装置111は、入力された上記情報を、夫々、ネットワーク機器情報131、対処方針情報132として記憶する(S2712)。ユーザは、表示/操作部121を介して、ネットワーク機器情報131及び対処方針情報132を参照することができる。
図28は、ネットワーク制御装置111が、サービス系ネットワーク51において発生したインシデントを検知した場合に行う処理(以下、インシデント検知時処理S2800と称する。)を説明するフローチャートである。以下、同図とともにインシデント検知時処理S2800について説明する。
同図に示すように、ネットワーク制御装置111のインシデント情報取得部123は、インシデント検知装置113を介してインシデント情報を取得し、取得したインシデント情報を対処設定情報生成部124に送信する(S2801)。
続いて、ネットワーク制御装置111の対処設定情報生成部124は、インシデント情報取得部123から受信したインシデント情報をインシデント情報133として記憶する。また対処設定情報生成部124は、ネットワーク機器情報131及び対処方針情報132に基づき、発生したインシデントに対する対処方法、対処経路、及び対処処理配置を生成し、生成した対処方法、対処経路、及び対処処理配置に基づき対処候補を生成する。また対処設定情報生成部124は、生成した対処候補の夫々について対処候補評価スコアを算出し、算出した対処候補及び対処候補評価スコアを表示/操作部121に送信する(S2802)。以下、当該処理を対処設定情報生成処理S2802と称する。
表示/操作部121は、対処設定情報生成部124から受信した対処候補及び対処候補評価スコアを出力装置205に出力(表示)してユーザに提示する(S2803)。
ユーザは、表示/操作部121が提供するユーザインタフェースを介して対処候補を選択する(S2804)。表示/操作部121は、ユーザが選択した対処候補を対処設定情報生成部124に送信する(S2805)。
対処設定情報生成部124は、表示/操作部121から受信した対処候補に基づき、選択する対処候補を決定し、インシデント情報133を更新する(S2806)。また対処設定情報生成部124は、採用した対処候補に基づきネットワーク機器の設定を変更するよう、ネットワーク機器設定部125に指示を送信する(S2807)。ネットワーク機器設定部125は、指示に応じてネットワーク機器情報131を更新する(S2808)。
ネットワーク機器設定部125は、対処設定情報生成部124から受信した指示に応じて、各スイッチ151〜155に設定変更指示を送信する(S2808)。
図29は、図28の対処設定情報生成処理S2802の詳細を説明するフローチャートである。以下、同図とともに対処設定情報生成処理S2802について説明する。
まずネットワーク制御装置111の対処設定情報生成部124は、インシデント情報取得部123からインシデント情報を取得し、取得したインシデント情報をインシデント情報133として記憶する。以下、この処理をインシデント情報取得/登録処理S2901と称する。対処設定情報生成部124は、上記インシデント情報として、例えば、端末161のネットワークアドレス(IPアドレス)や端末161が接続されているネットワーク機器の通信インタフェース(例えば、スイッチ153が備えるポートの識別子)を取得する。
続いて、対処設定情報生成部124は、対処方針テーブル1200を参照し、インシデント情報取得/登録処理S2901で取得したインシデント情報に対処方針を対応させることにより対処方法を生成し、生成した対処方法を対処方法テーブル1700に記憶する。以下、この処理を対処方法生成処理S2902と称する。対処設定情報生成部124は、対処方針テーブル1200の対処方針における変数に、上記インシデント情報から取得される具体的な値を代入することにより対処方針を具体化して対処方法を生成する。
このように対処設定情報生成部124は、インシデント情報に基づき対処方針を具体化
して対処方法を生成するので、発生したインシデントに対処するための対処方針に沿った対処方法を自動的に生成することができる。
続いて、対処設定情報生成部124は、対処設定情報生成部124が生成した対処方法について対処経路を生成し、生成した対処経路を対処経路テーブル1800に記憶する。以下、この処理を対処経路生成処理S2903と称する。対処設定情報生成部124は、例えば、対処方法に指定されているパケットの送信元と受信先に基づき、パケットが送信元から受信先に至る途中経路のバリエーションを探索して複数の経路を生成し、生成した経路を対処経路とする。
このように対処設定情報生成部124は、対処方法に基づき途中経路のバリエーションを探索して複数の対処経路を生成するので、対処方法に対応する対処経路を自動的に生成することができる。
続いて、対処設定情報生成部124は、生成した対処経路の夫々について更新処理配置1903を複数生成し、生成した更新処理配置1903を対処処理配置テーブル1900に記憶する。以下、この処理を対処処理配置生成処理S2904と称する。対処設定情報生成部124は、例えば、対処経路上のネットワーク機器の、対処方針に指定されている更新処理(パケットに加える更新処理)の割り当てを、ネットワーク機器情報131に基づき可能な組み合わせを探索して複数生成し、生成した組み合わせを対処処理配置とする。
このように対処設定情報生成部124は、更新処理のネットワーク機器への割り当てを、ネットワーク機器情報131に基づき可能な組み合わせを探索することにより生成するので、ネットワークを構成する個々のネットワーク機器が備える機能を考慮しつつ更新処理のネットワーク機器への割り当てを生成することができる。
続いて、対処設定情報生成部124は、対処処理配置テーブル1900を参照し、対処目的ごとに対処処理配置を選択して対処候補を複数生成し、生成した対処候補を対処候補テーブル2000に記憶する。以下、この処理を対処候補生成処理S2905と称する。対処設定情報生成部124は、例えば、対処目的の夫々について、対応する対処方針の一つから生成された対処処理配置の一つを選択し、対処目的の夫々について対処処理配置の組み合わせを探索して複数生成し、対処候補とする。
このように対処設定情報生成部124は、対処目的の夫々について対処処理配置の組み合わせ方を探索して対処候補を生成するので、対処目的と対処処理配置とを組合せた形で対処候補をユーザに提示することができる。
続いて、対処設定情報生成部124は、生成した対処候補の夫々について実現可能性を判定して対処候補テーブル2000を更新する。以下、この処理を対処候補判定処理S2906と称する。対処設定情報生成部124は、例えば、対処処理配置及びその生成元の対処方法に指定されているパケットの制御方法と、ネットワーク機器情報131から取得されるネットワーク機器が備える機能とを対照(比較)することによりパケットの制御方法が実現可能か否かを判定し、対処候補の実現可能性を判定する。
このように対処設定情報生成部124は、対処候補の夫々について、サービス系ネットワーク51を構成している個々のネットワーク機器が備える機能を考慮して対処候補の実現可能性を判定するので、現状のネットワーク機器の構成に則して対処候補の実現可能性を判定することができる。
続いて、対処設定情報生成部124は、生成した対処候補の夫々について対処候補評価スコアを算出して対処候補テーブル2000を更新する。以下、この処理を対処候補評価スコア算出処理S2907と称する。対処設定情報生成部124は、例えば、対処処理配置の生成元の対処方針に設定されている対処方針評価スコア1403、対処方針に対応する対処目的に設定されている対処目的評価スコア1103、及び対処処理配置から求められる評価スコア(後述の対処処理配置評価スコア)に基づき、対処候補の優先度である対処候補評価スコアを求める。
このように対処設定情報生成部124は、各対処方針の優先度(対処方針評価スコア1403)、各対処目的の優先度(対処目的評価スコア1103)、及び各対処処理配置の優先度(対処処理配置評価スコア)に基づき、対処候補の優先度を求めるので、対処方針、対処目的、及び対処処理配置の夫々の優先度を考慮した形で対処候補の優先度をユーザに提示することができる。
続いて、対処設定情報生成部124は、対処候補を対処候補評価スコア2003でソートし、表示/操作部121に出力する(S2908)。
図30は、図29に示したインシデント情報取得/登録処理S2901の詳細を説明するフローチャートである。以下、同図とともにインシデント情報取得/登録処理S2901について説明する。以下では、マルウェアの感染が予想される端末161(以下、隔離対象端末とも称する。)が関係するインシデントが発生した場合を例として説明する。
対処設定情報生成部124は、発生したインシデントの情報をインシデント検知装置113から取得する(S3001)。上記インシデント情報は、例えば、端末161のIPアドレスや端末161に関する他の情報を含む。
続いて、対処設定情報生成部124は、インシデントテーブル1600に新規のレコードを追加し、追加したレコードの内容を設定する。例えば、対処設定情報生成部124は、インシデントID1601に未使用のIDを、対象端末アドレス1602に端末161のIPアドレスを、夫々設定する(S3002)。対処設定情報生成部124が必要に応じて端末161のIPアドレス以外の情報をさらにインシデントテーブル1600に設定してもよい。
続いて、対処設定情報生成部124は、端末161のトポロジ情報テーブル500のネットワーク機器ID502及び所属LAN508と、ネットワーク変数テーブル600の変数名601及び値602を参照し、各スイッチが接続しているLANのIPアドレス帯を取得する。続いて、トポロジアナライザ112に、取得したIPアドレス帯のIPアドレスとMACアドレスとを対応付けた情報を要求し、端末161のIPアドレスに対応づけられているMACアドレスを取得する(S3003)。
続いて、対処設定情報生成部124は、取得したIPアドレス帯と端末161のIPアドレスとを比較し、端末161が所属するLANに接続されているスイッチ(スイッチ151〜155)の一覧を取得する。対処設定情報生成部124は、取得した各スイッチ(スイッチ151〜155)に対し、トポロジアナライザ112を介して指示を送信し、各スイッチ(スイッチに151〜155)に保存されているMACアドレステーブルを取得する。そして対処設定情報生成部124は、MACアドレステーブル及びトポロジ情報テーブル500を参照し、端末161のMACアドレスを送信元とするパケットが入力された通信インタフェース(例えば、ポート)の一覧を取得する(S3004)。
続いて、対処設定情報生成部124は、インタフェースの一覧の中で、トポロジ情報テ
ーブル500において対向インタフェース505が登録されていないインタフェースを特定し、特定したインタフェースを端末161から最小のホップ数で接続されているインタフェースであるとみなして、インシデントテーブル1600の接続インタフェース1603に設定する(S3005)。
続いて、対処設定情報生成部124は、追加したインシデントテーブル1600のレコードの状況1604に「未対処」を設定する(S3006)。
図31は、図29に示した対処方法生成処理S2902の詳細を説明するフローチャートである。以下、同図とともに対処方法生成処理S2902について説明する。
対処設定情報生成部124は、対処方針テーブル1200及びインシデントテーブル1600を参照し、対処方針テーブル1200から対処方針の一覧を、インシデントテーブル1600からインシデントの一覧を、夫々取得する。対処設定情報生成部124は、対処方法テーブル1700に、取得したインシデントの一覧の夫々について取得した対処方針の一覧を対応づけたレコードを新規に生成する。対処設定情報生成部124は、生成した各レコードの対処方法ID1701には未使用の対処方法IDを、インシデントID1702にはインシデントIDを、対処方針ID1703には対処方針IDを、夫々設定する(S3101〜S3103)。
図32は、図29に示した対処経路生成処理S2903の詳細を説明するフローチャートである。以下、同図とともに対処経路生成処理S2903について説明する。
同図に示すように、対処設定情報生成部124は、ネットワーク機器情報管理テーブル400からネットワーク機器の一覧を、トポロジ情報テーブル500からインタフェースの一覧を、夫々取得する。続いて、対処設定情報生成部124は、取得したインタフェース一覧の夫々について、STP状態506に基づき、現在通信可能な状態にあるインタフェースを選出する(S3201)。
続いて、対処設定情報生成部124は、対処方法テーブル1700から対処方法の一覧を取得し、取得した対処方法の夫々について、以下のS3202〜S3205の処理を実行する。
対処設定情報生成部124は、対処方法(対処方法ID1701)に対処方針ID1703を介して対処方針テーブル1200に対応付けられている対処方針の識別条件1202、終点1203、及び更新処理1204の各変数に対応する値を、ネットワーク変数テーブル600、リソース情報テーブル1000、及び対処変数テーブル1300から取得する。続いて、対処設定情報生成部124は、各対処方法(対処方法ID1701)にインシデントID1702を介して対応付けられているインシデントに、インシデントテーブル1600の接続インタフェース1603を介して対応付けられているインタフェースを「始点」として取得する。また対処設定情報生成部124は、各対処方法(対処方法ID1701)に対応づけられている対処方針ID1703に、対処方針の終点1203を介して対応付けられた変数に、対処変数の接続インタフェース1603を介して対応付けられたインタフェースを終点として取得する。そして対処設定情報生成部124は、上記始点から上記終点に至る経路を生成(前述した通信可能な状態にあるインタフェースとして識別したインタフェースのみを経由する経路)を生成し、生成した経路を制御経路とする(S3203)。尚、経路の選び方により、制御経路は複数になりうる。経路の生成は任意のアルゴリズムを用いて行うことができる。
続いて、対処設定情報生成部124は、対処経路テーブル1800に、生成した制御経
路1803の夫々に対応するレコードを新規に追加し、追加したレコードに内容を設定する(対処経路ID1801には未使用のIDを、対処方法ID1802には対応する対処方法を、制御経路1803には生成した制御経路を設定する。)(S3204)。
図33は、図29に示した対処処理配置生成処理S2904の詳細を説明するフローチャートである。以下、同図とともに対処処理配置生成処理S2904について説明する。
同図に示すように、対処設定情報生成部124は、対処経路テーブル1800に設定されている各対処経路について、以下のS3301〜S3304の処理を実行する。
まず対処設定情報生成部124は、各対処経路に対し、対処経路テーブル1800の対処方法ID1802、及び対処方法テーブル1700の対処方針ID1703を参照し、対応する対処方針テーブル1200の更新処理1204を取得する。そして対処設定情報生成部124は、取得した更新処理1204を、対処経路上に存在するネットワーク機器に割り当て、対処処理配置テーブル1900の更新処理配置1903の内容を生成する(S3302)。尚、対処経路上に存在するネットワーク機器の割り当て方を変更することで、生成される更新処理配置1903は複数になりうる。上記割り当てには任意のアルゴリズムを用いて行うことができる。
対処設定情報生成部124は、対処処理配置テーブル1900に、生成した更新処理配置ごとに新規レコードを追加する。そして対処設定情報生成部124は、生成したレコードの対処処理配置ID1901には未使用の対処処理配置IDを、対処経路ID1902には対応する対処経路の対処経路IDを、夫々設定する(S3303)。尚、この段階では処理機能設定1904は未設定の状態である。
図34は、図29に示した対処候補生成処理S2905の詳細を説明するフローチャートである。以下、同図とともに対処候補生成処理S2905について説明する。
対処設定情報生成部124は、対処処理配置テーブル1900から対処処理配置1901に対応する対処経路ID1902を取得し、対処経路テーブル1800から対処経路ID1902に対応する対処方法1802を取得し、対処方法テーブル1700から上記対処方法に対応する対処方針1703を取得し、対処方針テーブル1200から上記対処方針に対応する対処目的1205を取得する。そして対処設定情報生成部124は、対処目的テーブル1100に格納されている各対処目的と対処処理配置の組み合わせを目的/対処処理配置対応2002とした新規レコードを対処候補テーブル2000に追加する(S3401)。尚、この段階では、対処候補ID2001は未使用の値を設定し、対処候補評価スコア2003は未設定の状態である。
図35は、図29に示した対処候補判定処理S2906の詳細を説明するフローチャートである。以下、同図とともに対処候補判定処理S2906について説明する。
同図に示すように、対処設定情報生成部124は、対処処理配置テーブル1900を参照し、各対処処理配置に対して以下のS3501〜S3506の処理を繰り返し実行する。
まず対処設定情報生成部124は、対処経路テーブル1800を参照し、対処処理配置に対応する対処経路を取得する。そして対処設定情報生成部124は、対処経路上の各ネットワーク機器について以下の処理を行う。
まず対処設定情報生成部124は、対処方法テーブル1700を参照し、対処経路に対
応する対処方法を取得し、対処方針テーブル1200を参照して上記対処方法に対応する対処方針を取得し、対処変数テーブル1300、リソース情報テーブル1000、及びネットワーク変数テーブル600を参照して変数の値を取得し、取得した上記対処方針の変数に代入する。また対処設定情報生成部124は、取得した上記対処方針の識別条件1202、上記対処処理配置の更新処理配置1903、上記対処経路及びトポロジ情報テーブル500から取得されるパケットの入力元の通信インタフェース(例えば、ポート)及び出力先の通信インタフェース、の組み合わせを取得し、取得した組み合わせを各ネットワーク機器でのパケットの処理とする(S3502)。
続いて、対処設定情報生成部124は、機能マスタテーブル700を参照して上記パケット処理に対応する入力条件703、更新処理704、及び出力705の組み合わせを選択し、機能対応テーブル800を参照してネットワーク機器に機能が対応付けられているか否かを判定する(S3503)。対処設定情報生成部124が、対処経路上の全てのネットワーク機器に対して機能が対応付けられていると判定した場合(S3503:YES
)、処理はS3504に進む。上記以外の場合(S3503:NO)、処理はS3505に進む。
S3504では、対処設定情報生成部124は、S3503で取得した各ネットワーク機器でのパケットに対する更新処理を実現する機能を、ネットワーク機器ID401、機能ID701、及び変数の具体値、の組み合わせにより表現し、対処処理配置テーブル1900の処理機能設定1904に設定する(S3504)。
S3505では、対処設定情報生成部124は、処理機能設定1904の値に「Impossible」を設定する。
続いて、対処設定情報生成部124は、各対処候補について以下のS3507〜S3510の処理を繰り返し実行する。
まず対処設定情報生成部124は、対処処理配置テーブル1900を参照し、対処候補テーブル2000の目的/対処処理配置対応2002の各値に対応する処理機能設定1904を取得する。対処設定情報生成部124は、取得した処理機能設定1904の夫々に対し、競合する設定の有無を判定する。例えば、同じ入力条件に対して違う処理を行う設定が同一のネットワーク機器に対して設定されている場合、対処設定情報生成部124は設定が競合していると判定する。また対処設定情報生成部124は、機能割り当てテーブル900を参照し、既存のネットワーク機器の設定との競合の有無を判定する(S3508)。対処設定情報生成部124が競合がないと判定した場合(S3508:ない)、処理はS3510へ進み、次の対処候補について同様の処理を行う。対処設定情報生成部124が競合があると判定した場合(S3508:ある)、処理はS3509に進む。
S3509では、対処設定情報生成部124は、対処候補テーブル2000の対処候補評価スコア2003に「Impossible」を設定する(S3509)。
図36は、図29に示した対処候補評価スコア算出処理S2907の詳細を説明するフローチャートである。以下、同図とともに対処候補評価スコア算出処理S2907について説明する。
同図に示すように、対処設定情報生成部124は、対処候補テーブル2000を参照し、各対処候補について以下のS3601〜S3608の処理を繰り返し実行する。
対処設定情報生成部124は、対処候補評価スコア2003を参照し、値が「Impossib
le」であるか否かを判定する(S3602)。対処設定情報生成部124が、対処候補評価スコア2003が「Impossible」であると判定した場合(S3602:NO)、処理はS3608に進み、次の対処候補に対して処理を続行する。対処設定情報生成部124が、対処候補評価スコア2003が「Impossible」でないと判定した場合(S3602:YES)、処理はS3603に進む。
S3603では、対処設定情報生成部124は、目的/対処処理配置対応2002を参照し、目的と対処処理配置の組み合わせの夫々について、以下の処理を繰り返し実行する。
まず対処設定情報生成部124は、対処処理配置の処理機能設定1904を参照し、値が「Impossible」であるか否かを判定する(S3604)。対処設定情報生成部124が、処理機能設定1904が「Impossible」であると判定した場合(S3604:NO)、処理はS3606へ進み、次の目的と対処処理配置の組み合わせに対して処理を続行する。対処設定情報生成部124が、処理機能設定1904が「Impossible」でないと判定した場合(S3604:YES)、処理はS3605へ進む。
S3605では、対処設定情報生成部124は、対処目的テーブル1100を参照し、上記目的に対応する対処目的評価スコア1103の値を取得する。そして対処設定情報生成部124は、対処処理配置テーブル1900を参照して上記対処処理配置に対応する対処経路を取得し、取得した対処経路に対応する対処方法を対処経路テーブル1800から取得し、取得した対処方法に対応する対処方針を対処方法テーブル1700から取得し、取得した対処方針に対応する対処方針評価項目を対処方針テーブル1200から取得し、取得した対処方針評価項目の夫々に対応する対処方針評価スコアを対処方針評価項目テーブル1400から取得し、取得した対処方針評価スコアの合計を算出する。続いて、対処設定情報生成部124は、算出用のスクリプトを処理配置評価項目テーブル1500から取得し、上記対処処理配置を各スクリプトに与えて実行し、出力された値の合計を算出することで、対処処理配置評価スコアを取得する。そして対処設定情報生成部124は、上記対処目的評価スコア、上記対処方針評価スコア、上記対処処理配置評価スコアの積を算出し、算出した値を対処候補テーブル2000の目的/対処処理配置対応2002の夫々の評価スコアとする。
S3607では、対処設定情報生成部124は、上記目的/対処処理配置対応2002の夫々の評価スコアを合計し、合計した値を対処候補テーブル2000の対処候補評価スコア2003に設定する。
尚、以上では、評価スコアの算出方法として積と和を用いたが、評価スコアは任意の方法(関数等)を用いて算出してよい。
以上に説明したように、本実施形態のネットワーク制御装置111は、ネットワーク機器情報131及び対処方針情報132に基づき、発生したインシデントに対処するための設定情報を生成するので、サービス系ネットワーク51を構成している個々のネットワーク機器が備える機能を考慮しつつ対処方針に則した形で設定情報を生成することができる。そのため、ネットワーク制御装置111は、サービス系ネットワーク51に新たな機器や機能を追加することなく、発生したインシデントに対して効率よく適切に対処することができる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は上記の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。例えば、上記の実施の形態は本発明を分かりやすく説
明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また上記実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
また上記の各構成、機能、処理部、処理手段等は、それらの一部または全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記録装置、また
はICカード、SDカード、DVD等の記録媒体に置くことができる。
また上記の各図において、制御線や情報線は説明上必要と考えられるものを示しており、必ずしも実装上の全ての制御線や情報線を示しているとは限らない。実際にはほとんど全ての構成が相互に接続されていると考えてもよい。
例えば、以上に説明した実施形態では、対処設定情報生成部124が対処候補評価スコア2003を算出した後(図28の対処設定情報生成処理S2802)、ユーザが表示/操作部121を介して対処候補の一覧を参照し(S2803)、適用する対処候補を選択しているが(S2804)、対処設定情報生成部124が対処候補評価スコア2003を算出した後、対処候補評価スコア2003が最大のものを選択し、これを適用するまでの処理を自動的に行うようにしてもよい。この場合、例えば、図28のS2803で結果を表示/操作部121に出力する代わりに対処設定情報生成部124が対処候補評価スコア2003が最大のものを選択し、その後はS2806に進むようにする。このようにすることで、インシデントが多発した場合にユーザの業務負荷を緩和することができる。またインシデントに対して迅速に対処することができる。