JP2019062272A - サイバーセキュリティフレームワークボックス - Google Patents

サイバーセキュリティフレームワークボックス Download PDF

Info

Publication number
JP2019062272A
JP2019062272A JP2017183409A JP2017183409A JP2019062272A JP 2019062272 A JP2019062272 A JP 2019062272A JP 2017183409 A JP2017183409 A JP 2017183409A JP 2017183409 A JP2017183409 A JP 2017183409A JP 2019062272 A JP2019062272 A JP 2019062272A
Authority
JP
Japan
Prior art keywords
virtual
function
database
data
cyber security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017183409A
Other languages
English (en)
Other versions
JP6933320B2 (ja
Inventor
ジュンアラン 渡辺
Jun Allan Watanabe
ジュンアラン 渡辺
パベル サージエンコ
Pabel Sajenko
パベル サージエンコ
秀子 五十嵐
Hideko Igarashi
秀子 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pipeline Security
Pipeline Security Co Ltd
Original Assignee
Pipeline Security
Pipeline Security Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pipeline Security, Pipeline Security Co Ltd filed Critical Pipeline Security
Priority to JP2017183409A priority Critical patent/JP6933320B2/ja
Publication of JP2019062272A publication Critical patent/JP2019062272A/ja
Application granted granted Critical
Publication of JP6933320B2 publication Critical patent/JP6933320B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】サイバーセキュリティフレームワークの実現するためのハードウェア構成(CSF−Box)を提供する。【解決手段】ユーザーのLANとインターネットの間にゲートウェイとして設置され、仮想サーバーを含むサイバーセキュリティフレームワークボックスであって、少なくとも、コンフィグレーションデータを管理するデータベース、正規ユーザーの情報を管理するデータベース及びリスク情報(オーナー、リスク評価、リスク対応等)を管理するデータベースを含むアセット管理データベースと、前記アセット管理データベース上において特定されたいずれかのデバイスに対する不正アクセスを検知、隔離及び駆除するUTM機能を含む。【選択図】なし

Description

本発明は、サイバーセキュリティフレームワーク(CSF:Cyber Security Framework)によって規定されているセキュリティ機能を含む各機能を実現するためのハードウェア「サイバーセキュリティフレームワーク・ボックス(CSF−Box)」に関する。
近時、インターネットに繋がるあらゆる機器は、サイバー攻撃による情報漏洩、システムの破壊といった種々のセキュリティリスクに晒されている。米国では、国家の安全保障、経済、そして市民の安全と健康等を守るため、2013年2月12日に大統領令第13636号を発布し、その後企業におけるセキュリティリスクの管理を支援するための業界標準及びベストプラクティスをまとめた自主参加型のリスクベース・アプローチに基づく「サイバーセキュリティフレームワーク」(以下、本明細書では、「CSF」という。)を策定した(非特許文献1)。
CSFは、組織のサイバーセキュリティリスクに対しての現状とあるべき姿として掲げた目標とのギャップ分析を実施し、必要となる対策の検討及びおよび組織としての対策レベルの底上げを図ることを目的としたガイドラインである。具体的な管理策の詳細については、既存の標準規格やベストプラクティスを参照しているものの、サイバーセキュリティ対策を講じる上で必要な「攻撃の検知から対処・復旧までを範囲とする」ことや「組織内外での連携(サプライチェーン)」といった点に踏み込んでフレームワーク化している点が、これまでのセキュリティ基準などとは異なる。また、CSFは、特定の業種や組織を問わない柔軟なフレームワークととらえることもできるが、一方で抽象的または多面的な書き方でもあるため、一つの機能を検討するだけでも、対象とする管理策が大量にある。また、CSFのサブカテゴリーのリファレンスは複数記載されているものの、どの標準規格のどの項目を管理策として採用するかは、フレームワークを使う側に委ねられている(非特許文献2)。
「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」 1.0版 米国国立標準技術研究所(2014年2月12日) 独立行政法人 情報処理推進機構 米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント (http://www.sbbit.jp/article/cont1/29312)
すなわち、CSFが要求するセキュリティ対策は極めて自由度が高く、すべてのユーザー側の環境や要求に合わせて柔軟にカスタマイズされることが前提となっている。
しかし、抽象的に規定されるCSFのガイドラインと、各ユーザー側で必要な機器を構成し環境を構築することとの間には、大きな隔たりがあることが現実である。サーバーセキュリティ対策に対する十分な知識や人的資源を有しないユーザーは、環境を構築することはもちろん、運用することもままならない。
一方、極めて大規模な企業の場合、特定の役割や機能について管理者権限を持つ者(部署)が複数に分散しており、理論的には可能であっても現実的には、セキュリティポリシーの実現において一貫性を欠き、CSFに則った横断的なセキュリティ環境を構築することは極めて困難となっている場合も少なくない。
インターネット・セキュリティを高める方法として、ファイアウォールやUTM(統合脅威管理)と呼ばれるセキュリティ装置の設置、ユーザー環境下にある各ハードウェア機器(デスクトップPCやノートPC,タブレット、携帯情報端末、その他周辺装置等)へのセキュリティソフト製品のインストールといった対策が知られているが、それらは「マルウェアの検出や駆除」といったCSFが定める事項のごく一部を実現するにすぎない。例えば、ユーザー環境下のネットワーク(LAN内)に未承認のデバイス(例えば携帯情報端末やノートPC)が接続されることは、セキュリティ上の脅威の端緒となり得るが、重大インシデントに分類されるべき事象であるかどうかの見極めは、接続されたデバイスの活動記録を参照しない限り、不可能である。
新規デバイスが接続されたという事実は、アクセス記録(例えば接続時刻やIPアドレス等の情報)が、IPアドレスを付与したネットワーク機器のログに記録されているが、そのデバイスを通じた活動内容を調べるには、多くの場合、他の異なる機器(例えば、ドメインコントローラ、ファイアウォール、あるいはファイルサーバーのアクセスログ等)を相互に参照する必要がある。すなわち、異なる種類の複数のログを相互に参照し、総合的な分析を行って初めてインシデントの解析が可能となる。また、例えば、システムのバックアップやバックアップデータからのリストアを行うためのシステムも、ユーザー側で必要に応じて別途準備する必要がある。
従って、あらゆるユーザーに対してCSFに則った適切なセキュリティ環境を提供するための、カスタマイズ可能な共通のプラットフォーム(ハードウェア構成)があればCSFの普及に大きく貢献できる可能性がある。
本発明は、上記課題に鑑みてなされたものであり、サイバーセキュリティフレームワークの実現するためのハードウェア構成(CSF−Box)を提供することを主たる技術的課題とする。
本発明に係るサイバーセキュリティフレームワークボックスは、
ユーザーのローカル・エリア・ネットワーク(LAN)とインターネットの間にゲートウェイ(Gateway)として設置され、
仮想サーバーを含むサイバーセキュリティフレームワークボックスであって、
少なくとも
1.コンフィグレーションデータを管理するデータベース
2.正規ユーザーの情報(ID、アクセス権限、雇用状態等)を管理するデータベース
3.リスク情報(オーナー、リスク評価、リスク対応等)を管理するデータベース
を含むアセット管理データベースと、
前記アセット管理データベース上において特定されたいずれかのデバイスに対する不正アクセスを検知、隔離及び駆除するUTM機能と、
インシデントの発生を記録及び処理するためのインシデント管理機能と、
少なくとも、前記アセット管理データベースにおいて特定されたいずれかのホストに対するユーザーのログイン情報を含むログデータと、前記アセット管理データと前記UTM機能が取得した少なくとも各ユーザー又は各デバイスごとのネットワークアクセス情報を含むログデータとを収集し解析をリアルタイムで実行するための解析機能と、
前記仮想サーバー及び前記仮想サーバー上で駆動されるすべての仮想マシンに対するバックアップ及びリカバリを実行するためのデータ復旧機能と、
のすべての機能を、いずれも、前記LAN内に設置された複数の仮想サーバー上のバーチャル・アプライアンスとして実行するものであり、
前記解析機能に基づいて、サイバー攻撃を受けたデバイスの「特定」、「防御」及び「検知」と、前記サイバー攻撃に対する「対応」及び「復旧」とを、
同時的かつ連続的に実行する機能を提供することを特徴とする。
上記構成におけるCFS−Boxは、ユーザーネットワークと分離されており、外部の専門家はユーザーネットワーク内にあるシステムやデータには直接アクセスできない。また、外部からのアクセス行動はすべてログがとられており、常時分析可能であるように設計されている。そして、CFS−Boxが攻撃を受け、不正アクセスされると、内部のユーザーネットワークにあるシステムやデータが守れなくなるので、CFS−Boxのセキュリティには細心の注意が払われている。CSFで要求されるすべてのコントロールはCSF−Boxにも適応され、実行されている。例えば、予期しない構成変更のモニタリング、脆弱性のパッチやCSF−Box自身のバックアップなどがある。
なお、仮想サーバーは、ホストOSの有無により、ホストOS型とハイパーバイザー型に大別され、さらに、ハイパーバイザー型においても、仮想化支援機能をサポートしているCPUを搭載したコンピューターを必要とするか否かにより、「準仮想化(Para Virtualization)」、「完全仮想化(Full virtualization)」の二つの方式が知られている。各種の方式は、オーバーヘッドを含めた仮想化の性能の違い等に影響するが、本発明では、いずれの方式を用いることも可能である。
ここで、「サイバーセキュリティフレームワークシステムに対する不正アクセス」とは、仮想サーバーに対する不正アクセスと、仮想サーバー上で駆動される仮想マシンに対する不正アクセスの両方を含むものである。
上記構成におけるUTM機能とは、アンチウイルス、不正侵入防御、コンテンツフィルタリング、アンチスパム等の各種のセキュリティ機能を実行するためのバーチャル・アプライアンスである。必要に応じて、サンドボックス機能を実行することができるように構成されていてもよい。サンドボックスとは、外部から受け取ったプログラムを保護された領域で動作させることによってシステムが不正に操作されるのを防ぐセキュリティ機構であり、未知の脅威に対して効果的なセキュリティ機能を提供することができる。また、前記UTM機能は、複数のUTMにより構成されるものであってもよい。
上記構成において、前記バーチャル・アプライアンスの一つは、前記デバイスの一つにマルウェアが検出された場合に、「インシデント」としてその発生を記録すると共に、予め設定した通知先に通知し、
感染したデバイスに対してインシデントのレベルに応じた対応を予め設定したSLA(Service Level Agreement)に基づいて実行することを特徴とするように構成されていてもよい。
ここで、SLAとは、本発明に係るCSF−Boxの動作を決定するための基本的な動作手順書であり、CSF−Boxを管理する管理者(管理会社)とCSF−Boxを設置するユーザーとの間の契約に基づいて予め決められる。SLAはサイバーセキュリティフレームワークに準拠したものであることが好ましい。
さらに、前記バーチャル・アプライアンスの一つは、少なくともパッチ管理を含む脆弱性スキャン又はPCI DSSのセキュリティ基準に準拠しているか否かをチェックするコンプライアンス・チェックを実行する機能を具備するように構成されていてもよい。
脆弱性スキャンやコンプライアンス・チェックもまた、CSFで決められている項目の一つであり、サイバーセキュリティに対抗する有益な手段の一つである。
また、前記バーチャル・アプライアンスの一つは、ディレクトリサーバーを含むように構成されていてもよい。ディレクトリサーバーは、本発明に係るCSF−Boxの管理者あるいはユーザーのセキュリティ担当者のためのアカウントを管理するためのものであり、ユーザーのログインアカウントを管理するためのディレクトリサーバーが必要である場合、CSF−Boxの独立性を確保する上では、本発明に係るCSF−Boxの下位のネットワークに設置することが好ましい。
さらに、前記バーチャル・アプライアンスの一つは、他のバーチャル・アプライアンスのパフォーマンスモニタリング機能及びロードバランシング機能を具備するように構成されていてもよい。本発明の各種バーチャル・アプライアンスを提供するための少なくとも仮想サーバーは、好ましくは、冗長化構成を採用するものであり、一台が故障又はサイバー攻撃等により使用不能となった場合でも、他のサーバーによって安定した長期運用が担保される。後述の実施例では、少なくとも4ノード(すなわち4台の物理的なコンピューターのそれぞれに、仮想サーバーがインストールされている)からクラスタリング構成を用いることが好ましい。また、ネットワークにおいて中継を行う機器(ハブ)の一種であるスイッチングハブについても、冗長化のために少なくとも2台を並列にして設置することが好ましい。
上記の通り、本発明に係るCSF−Boxによれば、上述した米国国立標準技術研究所が策定したサイバーセキュリティフレームワークに準拠したサイバーセキュリティ対策がユーザーの環境や予算、必要とされるセキュリティレベル等に応じて効率よく行えるようになる。
本発明に係るCSF−Boxは、必要な機能の多くがバーチャルアプライアンスとして提供されるものであるため、ユーザー側の環境に合わせて自由にカスタマイズ可能なセキュリティの統合環境を構築することが可能となる。
実際の運用に際しては、CSF−Boxの中に構築できない機能も多数存在するため、それらについては管理者(管理会社)側において外部から「サービス」という形で提供することで、サイバーセキュリティに関するトータル・ソリューションを提供する必要がある。そのため、本発明に係るCSF−Boxを実際に各ユーザー側の環境に構築し運用するためには、例えば既存のシステムや実現すべき機能、システム構築のコストや適合性(Compatibility)等を考慮した最終的なある程度のハードウェア・ソフトウェアを決定し、統合環境を構築(Integration)する過程で、SLA(Service Level Agreement) を作成し、実際の運用の形を規定していくことが必要となる。
図1は、本発明の実施例として示されるバーチャル・アプライアンスのネットワーク構成例である。 図2は、図1に示す4つのノード(I〜IV)に配置されるバーチャル・アプライアンスの例を示すブロック構成図である。
(サイバーセキュリティフレームワークの基本構成)
CSF以下の3つの要素で構成されている。
1.フレームワークコア
2.フレームワークプロファイル
3.フレームワークインプレメンテーションティア
上記1.の「フレームワークコア」は、サイバーセキュリティ対策を実施する上で、必要と考えられる管理策を取りまとめたものであり、「特定(IDENTIFY)」、「防御(PROTECT)」、「検知(DETECT))、「対応(RESPOND)」、「復旧(RECOVER)」の5つの機能に分類されている。 各機能に対して22個のカテゴリーが存在し、さらに管理面での詳細管理策として98個のサブカテゴリーが定義されている。このサブカテゴリーには、管理策の内容を詳細に説明するリファレンスとして、複数の標準規格やベストプラクティスがマッピングされている。
例えば、機能の一つである「防御」では、カテゴリーの中に「アクセス制御」があり、さらに詳細な管理策として「承認されたデバイスとユーザーの識別情報と認証情報を管理している」がサブカテゴリーとして構成されている。
そして最後に具体的な方法や対策を検討する際の情報として、リファレンスが存在する。ここで改めて構成を眺めてみると、実はCSFは、サイバーセキュリティ対策のために管理策などが新設された訳ではなく、あくまでも既存の情報セキュリティ管理策をサイバーセキュリティの観点で再構成されたものであることがわかる。
上記2.の「フレームワークプロファイル」は、コアを基に作成された組織のサイバーセキュリティ対策の現状と、目指すべきサイバーセキュリティ対策の目標をまとめたものである。
現状と目標のプロファイルのギャップを明らかにし、その結果を基に、サイバーセキュリティリスクへの耐性や対策の実現可否を検討し、着手すべき管理策の優先付けや予算の確保、調達要件などの立案を可能とする。プロファイルについては、テンプレートやリストは用意されていない。
上記3.の「フレームワークインプレメンテーションティア」は、組織の現在のサイバーセキュリティ対策への現状を表すとともに、今後組織として目指すべきゴールを設定するための成熟度評価基準のようなものである。ティアは、「1〜4」で段階的に表され、リスク管理プロセスの整備状況および外部組織との連携といった観点について、組織の現在のレベルや目指すべきレベルを段階的に把握することができる。
A.アセット管理
セキュリティ対策をすることは、何を守るのかを「特定」することから始まる。これに必要なものは、アセット管理(Asset Management)であり、すべての資産(ハードウェア・ソフトウェアとデータ)が単一のデータベースとして登録され、誰が責任者であるのか、どのくらい重要なのか、復旧が必要ならばどれくらいの時間内に復旧すべきなのか、資産間の依存性(Dependency)を外部のサプライ・チェーン・ディペンデンシー(Supply Chain Dependency)などから掌握する等々を行っておくことが必要である。
具体的には、例えば、ユーザーの内部ネットワーク(LAN)上に存在する機器のIPアドレスやホスト名、OSの種類やバージョンといった各種の情報、並びにポートの開閉状態等を監視するツールを用いることで、アセット管理データを収集しておくこともできる。収集したデータを基に、管理者等の必要な情報をデータベースに反映させておくことが好ましい。
データベースの最も原始的な形態は、スプレッドシートやCSVデータなどの形で提供されるテーブルであるが、少なくとも保護すべき対象となるデバイス名及びそのローカルIPアドレスを関連づけたアセット管理データを管理するデータベースであり、動的に変更可能なものとして常に最新状態に更新されるものであることが好ましい。
そして、これらのデータを基に「防御」のストラテジー(Strategy)を決めていく。これには、例えば、コンフィギュレーション管理(Configuration Management)、ネットワーク管理(Network Management)、 脆弱性管理(Vulnerability Management)、パッチ管理(Patch Management)、データベース管理(Database Management)、ID管理(Identity Management)、アクセス・コントロール管理(Access Control Management)、セキュア・ソフトウェア・ディベロップメント・ライフサイクル(SSDLC)、リリース管理(Release Management)、BCP/DRP、バックアップ管理(Backup Management)等の各種の機能(これらは一例である)を、ユーザー環境に合わせた必要な範囲で実現する必要が生じる。
ここでは、ハードウェア・ソフトウェアがセキュリティ上、安全な状態に保たれていることを保証し、誰がどのテータにアクセスできるのかを管理する。ここには、スタッフの人事異動や退職によるアクセス権限の変更・削除を速やかに行うためのプロセスも含まれる。この防御の中であらゆるログデータが作成され、それが次の「検出」に引き継がれる。複数のログを分析することで、通常では起こらないはずの「事象(Incident)」が検出でき、それらをアラートして知らせてくる。これらのことはインシデント管理(Incident Management)で記録され、管理される。ログ分析では「防御」のために集めたデータがベースラインとして使われることもある。アラートが上がってきたら、コミュニケーション(Communication)が必要で、さらなるログ分析も必要になる。データ漏洩等が確認されれば警察や捜査機関など外部との連携も必要になる。(これらが「対応」。)
ここで学んだことは「防御」のストラテジー(Strategy)や「検出」の方法にフィードバックされる。インシデントによりシステムが停止したり、データが改ざんされていれば、「復旧」作業を始める。これ以外にもセキュリティ・アウェアネス・トレーニング(Security Awareness Training)があり、リスク管理(Risk Management)を導入をすることでビジネスインパクト分析はリスクアセスメントを行い、「防御」のストラテジー(Strategy)に優先順位を付けたりすることも要求される。
大きな流れとしては、これらすべてを実行することがCSFの要求するところである。本実施形態のCSF−Boxは、必要なデータ収集(Data Collection)とデータ・リポジトリ(Data Repository)を提供するほかに、定期的なレポート、さらなる分析に必要はレポート作成が可能になることが必要である。
上記各種の機能について、以下簡単に説明する。なお、それぞれの機能を単体でみると、すでに製品として提供されているものや、オープンソースのソフトウェアとして利用可能であるものを利用することが可能であるが、サイバーセキュリティフレームワークに則ったセキュリティ対策を実施するという目的に対して、LAN内に設置された仮想サーバー上にバーチャルアプライアンスとして提供される仮想マシン乃至ツールを利用して、ユーザーが求める必要な機能を構築する点にポイントがある。
(実施例)−各バーチャル・アプライアンスの機能及び動作−
以下、実施形態として、各バーチャル・アプライアンスの具体例及び提供する基本的な機能について説明する。
−UTM機能−
UTMは、ファイアウォール、VPN(バーチャル・プライベート・ネットワーク)、アンチウイルス、不正侵入防御(IPS:IntrusionProtectionSystem)/IDS(侵入検知システム)、コンテンツフィルタリング、アンチスパムなど、必要とされるセキュリティ機能を統合したシステムであり、ハードウェア機器としてではなく、バーチャル・アプライアンスとして提供されているものを用いるか又はハードウェア機器と併用することが好ましい。
バーチャル・アプライアンスとして提供されているUTMであれば、いずれのものを用いてもよい。これにより、マルウェアの検出をはじめとするLAN内に設置されたデバイスに対する不正アクセスを検知、隔離及び駆除する機能が提供される。
−ファイルサーバー−
ファイルサーバーにはログデータやCSFを運用するために必要な各種のデータベース、システムのバックアップデータ等を保存する。
−ディレクトリ・サーバー−
セキュリティ管理者用のアカウントを作成するためのディレクトリ・サーバーである。
−データ解析サーバー−
データ解析サーバーは、少なくとも、データベース上において特定されたいずれかのホストに対するユーザーのログイン情報を含むログデータと、アセット管理データとUTMが取得した少なくとも各ユーザー又は各デバイスごとのネットワークアクセス情報を含むログデータとを収集し解析をリアルタイムで実行するための解析機能を提供するサーバーである。
ローカル・エリア・ネットワーク内の各デバイスから生成されるマシンデータを収集し、インデックス化することによって、複数システムのマシンデータを一元管理し、横断的分析が可能となり、データの収集、監視から分析、可視化を高速かつ容易に実現することができる。このような解析機能に基づいて、サイバー攻撃を受けたデバイスの「特定」、「防御」及び「検知」が可能となる。
−ネットワーク調査及びセキュリティ監査−
アセット管理データベースを作成、更新する方法として、ユーザーの内部ネットワーク(LAN)上に存在する機器のIPアドレスやホスト名、OSの種類やバージョンといった各種の情報、並びにポートの開閉状態等を監視するツールを用いることが有効である。収集したデータを基に、管理者等の必要な情報をデータベースに反映させておくことが可能となる。
−脆弱性スキャン−
セキュリティパッチが最新であるかを調べる脆弱性スキャン、定期スキャンの適切なスケジュールを有するか、PCI DSS(Payment Card Industry Data Security Standard)等のある指定されたセキュリティ基準に準拠しているか、あるいはデータが適切な強度で暗号化されているか等をチェックする機能を提供するサーバーである。
−バックアップ/リカバリサーバー−
仮想サーバーの種類によってバックアップ/リカバリのツールは異なっているが、いずれにせよ、仮想サーバー及び前記仮想サーバー上で駆動されるすべての仮想マシンに対するバックアップ及びリカバリを実行するためのデータ復旧機能を提供するバーチャル・アプライアンスを備えることにより、例えば、万一マルウェアが発見された場合でも、CSFが規定するベストプラクティスに則って、ゼロから完全普及させることが可能となる。
なお、ユーザーのシステムやデータを管理するサーバーは、サーバーセキュリティフレームワークボックスとは別に設けることが好ましい。
−リモートデスクトップ・サーバー−
VPN(バーチャル・プライベート・ネットワーク)を通じてCSF−Box内の一つのバーチャル・アプライアンスの一つにリモートアクセス可能にすることで、ユーザーが対処できない問題をCSF−Boxを提供する管理会社等の、外部の専門家チームが遠隔により操作することが可能となる。
−パフォーマンスモニタリング機能及びロードバランシング機能−
タイムスタンプ、メトリック名、メトリック値、これらの値の組を連続的に受け取り、グラフ化するというシンプルな機能をネットワークサービスとして提供するツール又はサーバーである。
(実施例)
図1は、本発明の実施例として示されるバーチャル・アプライアンスのネットワーク構成例である。図1に示すように、仮想マシン(VM)をホストする仮想サーバーの機能を提供するハードウェア機器は冗長化のため、例えば4機のブレードサーバーから構成される(各サーバーを、ノード1〜ノード4とする。)。仮想サーバーには種々のシステムが存在するが、以下に説明する各機能を提供する仮想マシンをホストするものである限り、特に限定されない。例えば、VMWare、リナックスベースのKVM、Windowsの仮想化機能を用いてもよく、その他の仮想サーバーを用いてもよい。仮想サーバーは、それぞれの仮想マシンに一つ又は複数のネットワーク・インターフェースを付与することができ、複数の異なる複数のネットワーク、例えば、
第1のネットワーク:192.168.1.0/24
第2のネットワーク:192.168.2.0/24
第3のネットワーク:192.168.5.0/24
第4のネットワーク:192.168.99.0/24
第5のネットワーク:192.168.50.0/24
が付与され、そのうち1つは、CSF−Boxの外部のユーザーネットワークに割り当てられる。なお、IPv4形式のアドレス表記を用いた例で説明したが、IPv6形式のアドレスに置き換えてもよい。また、ネットワークの割り当ては必要に応じて適宜構成されるもので、上記に限定されるものではない。
ゲートウェイに設置されるネットワークスイッチから各ノードのサーバーにLANケーブルで接続される。各ノードには少なくとも二つのネットワーク・インターフェースが設けられる。仮想マシンには各ノードのネットワーク・インターフェースとは異なるネットワーク・アドレスが付与される。
図2は、図1に示す4つのノード(I〜IV)に配置されるバーチャル・アプライアンスの例を示すブロック構成図である。以下の実施例では、Debianのカーネルベースの仮想マシン(KVM)を用いた。また、KVMのホストとなるカーネル上でCephなどのファイルサーバー機能を構築した。Cephはカーネル2.6.34で標準実装されたファイルシステムであり、複数のストレージシステムに対して、データを分散管理する仕組みを実現する。クライアントは、通常のファイルシステムと同じ使い勝手のまま、ペタバイト規模という極めて大容量の分散ファイルシステムを利用可能になる。KVMを用いない場合は、バーチャル・アプライアンスの一つとしてファイルサーバー機能を構成してもよい。
なお、以下に示すチェックポイントの各製品はいずれもバーチャル・アプライアンスとして提供される独自OSであり、ノード4に配置されるリモートデスクトップサーバーはWindows(登録商標)を用いたが、その他のバーチャル・アプライアンスはいずれもリナックス(登録商標)のディストリビューションの一つであるDebian上に必要なプログラムをインストールする構成とした。
(I)第1のノード(図2左上)は、第1のUTM機能としてCheckPoint社のチェックポイント(CheckPoint)NGTX(Next Generation Threat Extraction)及びSplunk社のスプランク(Splunk)ES+PCI App Indexerが配置される。
チェックポイントNGTX、ユーザーデータを対象とするセキュリティ機能を提供するバーチャル・アプライアンスであり、アンチウイルスやサンドボックスといったUTMの基本的な機能を提供すると共に、レポートを作成する。
(II) 第2のノード(図2右上)は、第1のノードと同様の構成のバーチャル・アプライアンスであるが、Splunk社のスプランク(Splunk)ES+PCI App Search headが配置される。
(III)第3のノード(図2左下)は、第2のUTM機能としてCheckPoint社のチェックポイント(CheckPoint)NGTP(Next Generation Threat Prevention)及びSplunk社のスプランク(Splunk)UBA(User Behavior Analytics)を配置した。
チェックポイントNGTPは、CSF−Boxの内部コンポーネント(各種バーチャル・アプライアンス)に対してセキュリティ機能を提供するバーチャル・アプライアンスであるため、サンドボックス機能は特に必要ないが、その点を除けば、他の基本的な機能についてはチェックポイントNGTXと同様である。
スプランクUBAは、ユーザーのアクセスログなどを機械学習で分析する機能を提供する。
スプランクES(Enterprise Security)は第4のノードで収集されたログやデータを、データベースに保管する。
さらに、機械学習で得られたベースラインデータと第4のノードで収集されたデータを基に、セキュリティ状態をモニタリングし、ベースラインから逸脱する異常が検出されたならば、インシデントレコードを作成し、アラートを発信する。
また、コンプライアンスの状態を定期的にチェックし、必要なリポートの作成、インコンプライアンスのアラートも管理する。
(IV)第4のノード(図2右下)
第4のノードでは、以下の(i)〜(viii)のバーチャル・アプライアンスが配置される構成とした。
(i)CheckPointNGSM5
第3のUTM機能としてCheckPoint社のCenterManagementFirewallと呼ばれるUTMの一つであり、他のノードに配置される2種類のUTMのログデータを管理する機能を提供し、自身のログデータと共にSplunkに転送される。
(ii)GraphiteServer
サーバーモニタリングツールの一つであり、タイムスタンプ、メトリック名、メトリック値、これらの値の組を連続的に受け取り、時系列データベースを構築してグラフ化する機能をネットワークサービスとして提供する。
(iii)Tenable Manager
セキュリティパッチが最新であるかを調べる脆弱性スキャン、定期スキャンの適切なスケジュールを有するか、PCI DSS(Payment Card Industry Data Security Standard)等のある指定されたセキュリティ基準に準拠しているか、或いはデータが適切な強度で暗号化されているか等をチェックする機能を提供する。
(iv)ApacheSyncope
ユーザーIDを管理するための機能であり、主にこの機能を導入することによりシングルサインオン(SSO)が可能となり、ユーザーが複数のIDやパスワードを覚える必要がなくなる利点がある。このような機能を実現するツールとして、ApacheSyncopeなどが知られている。ApacheSyncopeは、JAVA(登録商標) EEテクノロジー上で実行され、Apache2.0ライセンスの下でリリースされている。
(v)RemoteDesktopServer(Windows10)
LAN内からはもちろん、UTM等が提供するVPN機能などにより、各ノードのバーチャル・アプライアンスに対してSSHなどによりリモートアクセスが可能となる。
(vi)OpenLdap+Tacacs+DNS
OpenLdapは、CSF−Boxの管理ユーザーを対象とするディレクトリサービスを提供するサーバーである。Tacacsはターミナル・アクセス・コントロール・システムの一つであり、ネットワーク機器へのアクセス制御用のプロトコルTACACS+を実行するためのUnix/Linux上で動くデーモンもある。元々CiscoがGPLv2で公開したものを機能拡張してメンテナンスされているのが公開されているもので、これは KVMパッケージにもなっている。DNSは、名前の解決を行う機能を提供する。
(vii)BareosServer
バックアップとリカバリ機能を提供する。他の仮想サーバーを用いる場合は、それぞれの仮想サーバーに対応するバックアップシステムを用いることができる。
(viii)CheckPointNGTP
第3のノードに配置されたUTMの冗長化構成であり、機能は全く同一である。
以上のように、CSF−Boxの構成例を示したが、ローカル・エリア・ネットワーク(LAN)内に設置され、少なくとも1台の仮想サーバーを含むサイバーセキュリティフレームワークボックスであって、アセット管理データのデータベース、UTM機能、データ解析機能をはじめとするサイバーセキュリティフレームワークにおける基本機能をバーチャル・アプライアンスとして提供することで、ユーザー環境に合わせた柔軟な構成が実現できる。

Claims (5)

  1. 本発明に係るサイバーセキュリティフレームワークボックスは、
    ユーザーのローカル・エリア・ネットワーク(LAN)とインターネットの間にゲートウェイ(Gateway)として設置され、
    仮想サーバーを含むサイバーセキュリティフレームワークボックスであって、
    少なくとも
    1.コンフィグレーションデータを管理するデータベース
    2.正規ユーザーの情報を管理するデータベース
    3.リスク情報を管理するデータベース
    を含むアセット管理データベースと、
    前記アセット管理データベース上において特定されたいずれかのデバイスに対する不正アクセスを検知、隔離及び駆除するUTM機能と、
    インシデントの発生を記録及び処理するためのインシデント管理機能と、
    少なくとも、前記アセット管理データベースにおいて特定されたいずれかのホストに対するユーザーのログイン情報を含むログデータと、前記アセット管理データと前記UTM機能が取得した少なくとも各ユーザー又は各デバイスごとのネットワークアクセス情報を含むログデータとを収集し解析をリアルタイムで実行するための解析機能と、
    前記仮想サーバー及び前記仮想サーバー上で駆動されるすべての仮想マシンに対するバックアップ及びリカバリを実行するためのデータ復旧機能と、
    のすべての機能を、いずれも、前記LAN内に設置された複数の仮想サーバー上のバーチャル・アプライアンスとして実行するものであり、
    前記解析機能に基づいて、サイバー攻撃を受けたデバイスの「特定」、「防御」及び「検知」と、前記サイバー攻撃に対する「対応」及び「復旧」とを、
    同時的かつ連続的に実行する機能を提供することを特徴とする。
  2. 前記バーチャル・アプライアンスの一つは、前記デバイスの一つにマルウェアが検出された場合に、「インシデント」としてその発生を記録すると共に、予め設定した通知先に通知し、
    感染したデバイスに対してインシデントのレベルに応じた対応を予め設定したSLA(Service Level Agreement)に基づいて実行することを特徴とする請求項1記載のサイバーセキュリティフレームワークボックス。
  3. 前記バーチャル・アプライアンスの一つは、少なくともパッチ管理を含む脆弱性スキャン又は少なくともPCI DSSを含むある指定されたセキュリティ基準に準拠しているか否かをチェックするコンプライアンス・チェックを実行する機能を具備することを特徴とする請求項1又は2記載のサイバーセキュリティフレームワークボックス。
  4. 前記バーチャル・アプライアンスの一つは、ディレクトリサーバーを含むことを特徴とする請求項1乃至3のいずれか1項記載のサイバーセキュリティフレームワークボックス。
  5. 前記バーチャル・アプライアンスの一つは、他のバーチャル・アプライアンスのパフォーマンスモニタリング機能及びロードバランシング機能を具備することを特徴とする請求項1乃至4のいずれか1項記載のサイバーセキュリティフレームワークボックス。
JP2017183409A 2017-09-25 2017-09-25 サイバーセキュリティフレームワークボックス Active JP6933320B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017183409A JP6933320B2 (ja) 2017-09-25 2017-09-25 サイバーセキュリティフレームワークボックス

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017183409A JP6933320B2 (ja) 2017-09-25 2017-09-25 サイバーセキュリティフレームワークボックス

Publications (2)

Publication Number Publication Date
JP2019062272A true JP2019062272A (ja) 2019-04-18
JP6933320B2 JP6933320B2 (ja) 2021-09-08

Family

ID=66177656

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017183409A Active JP6933320B2 (ja) 2017-09-25 2017-09-25 サイバーセキュリティフレームワークボックス

Country Status (1)

Country Link
JP (1) JP6933320B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110673860A (zh) * 2019-09-24 2020-01-10 江苏医健大数据保护与开发有限公司 智能云数据中心建设与运营部署系统及方法
CN114465766A (zh) * 2021-12-27 2022-05-10 天翼云科技有限公司 基于ssh的远程访问方法、装置、电子设备和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130174256A1 (en) * 2011-12-29 2013-07-04 Architecture Technology Corporation Network defense system and framework for detecting and geolocating botnet cyber attacks
US20160277439A1 (en) * 2015-03-20 2016-09-22 Ncluud Corporation Locking Applications and Devices Using Secure Out-of-Band Channels
JP2017034659A (ja) * 2015-06-12 2017-02-09 アクセンチュア グローバル ソリューションズ リミテッド サービス志向ソフトウェア定義型セキュリティのフレームワーク
JP2017516411A (ja) * 2014-10-21 2017-06-15 アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. サイバーセキュリティシステム
JP2017123085A (ja) * 2016-01-08 2017-07-13 株式会社日立製作所 情報処理装置および通信系統の運用方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130174256A1 (en) * 2011-12-29 2013-07-04 Architecture Technology Corporation Network defense system and framework for detecting and geolocating botnet cyber attacks
JP2017516411A (ja) * 2014-10-21 2017-06-15 アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. サイバーセキュリティシステム
US20160277439A1 (en) * 2015-03-20 2016-09-22 Ncluud Corporation Locking Applications and Devices Using Secure Out-of-Band Channels
JP2017034659A (ja) * 2015-06-12 2017-02-09 アクセンチュア グローバル ソリューションズ リミテッド サービス志向ソフトウェア定義型セキュリティのフレームワーク
JP2017123085A (ja) * 2016-01-08 2017-07-13 株式会社日立製作所 情報処理装置および通信系統の運用方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110673860A (zh) * 2019-09-24 2020-01-10 江苏医健大数据保护与开发有限公司 智能云数据中心建设与运营部署系统及方法
CN110673860B (zh) * 2019-09-24 2023-06-16 南京先进计算产业发展有限公司 智能云数据中心建设与运营部署系统及方法
CN114465766A (zh) * 2021-12-27 2022-05-10 天翼云科技有限公司 基于ssh的远程访问方法、装置、电子设备和存储介质
CN114465766B (zh) * 2021-12-27 2023-08-04 天翼云科技有限公司 基于ssh的远程访问方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
JP6933320B2 (ja) 2021-09-08

Similar Documents

Publication Publication Date Title
US10574685B2 (en) Synthetic cyber-risk model for vulnerability determination
US20200259858A1 (en) Identifying security actions based on computing asset relationship data
JP6731687B2 (ja) 電子メッセージベースのセキュリティ脅威の自動軽減
US20200159624A1 (en) System, Method and Process for Protecting Data Backup from Cyberattack
Montesino et al. Information security automation: how far can we go?
US20240054234A1 (en) Methods and systems for hardware and firmware security monitoring
Podzins et al. Why SIEM is irreplaceable in a secure IT environment?
Freet et al. Cloud forensics challenges from a service model standpoint: IaaS, PaaS and SaaS
WO2016196686A1 (en) Policy-driven compliance
US20220060507A1 (en) Privilege assurance of enterprise computer network environments using attack path detection and prediction
CN105100092B (zh) 控制客户端访问网络的检测方法、装置和系统
US20220368726A1 (en) Privilege assurance of computer network environments
US20210409449A1 (en) Privilege assurance of enterprise computer network environments using logon session tracking and logging
US20090328210A1 (en) Chain of events tracking with data tainting for automated security feedback
US11799875B2 (en) Computerized system for complying with certain critical infrastructure protection requirements
JP6933320B2 (ja) サイバーセキュリティフレームワークボックス
Çalışkan et al. Benefits of the virtualization technologies with intrusion detection and prevention systems
CN116662112A (zh) 一种使用全自动扫描和系统状态评估的数字监控平台
Araújo et al. Virtualization in intrusion detection systems: a study on different approaches for cloud computing environments
Bedwell Finding a new approach to SIEM to suit the SME environment
Tafazzoli et al. Security operation center implementation on OpenStack
Grigorescu et al. CODA footprint continuous security management platform
US11960368B1 (en) Computer-implemented system and method for recovering data in case of a computer network failure
Ruha Cybersecurity of computer networks
Dimitrios Security information and event management systems: benefits and inefficiencies

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20171012

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200916

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210709

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210727

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210804

R150 Certificate of patent or registration of utility model

Ref document number: 6933320

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150