JP2019062272A - サイバーセキュリティフレームワークボックス - Google Patents
サイバーセキュリティフレームワークボックス Download PDFInfo
- Publication number
- JP2019062272A JP2019062272A JP2017183409A JP2017183409A JP2019062272A JP 2019062272 A JP2019062272 A JP 2019062272A JP 2017183409 A JP2017183409 A JP 2017183409A JP 2017183409 A JP2017183409 A JP 2017183409A JP 2019062272 A JP2019062272 A JP 2019062272A
- Authority
- JP
- Japan
- Prior art keywords
- virtual
- function
- database
- data
- cyber security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
ユーザーのローカル・エリア・ネットワーク(LAN)とインターネットの間にゲートウェイ(Gateway)として設置され、
仮想サーバーを含むサイバーセキュリティフレームワークボックスであって、
少なくとも
1.コンフィグレーションデータを管理するデータベース
2.正規ユーザーの情報(ID、アクセス権限、雇用状態等)を管理するデータベース
3.リスク情報(オーナー、リスク評価、リスク対応等)を管理するデータベース
を含むアセット管理データベースと、
前記アセット管理データベース上において特定されたいずれかのデバイスに対する不正アクセスを検知、隔離及び駆除するUTM機能と、
インシデントの発生を記録及び処理するためのインシデント管理機能と、
少なくとも、前記アセット管理データベースにおいて特定されたいずれかのホストに対するユーザーのログイン情報を含むログデータと、前記アセット管理データと前記UTM機能が取得した少なくとも各ユーザー又は各デバイスごとのネットワークアクセス情報を含むログデータとを収集し解析をリアルタイムで実行するための解析機能と、
前記仮想サーバー及び前記仮想サーバー上で駆動されるすべての仮想マシンに対するバックアップ及びリカバリを実行するためのデータ復旧機能と、
のすべての機能を、いずれも、前記LAN内に設置された複数の仮想サーバー上のバーチャル・アプライアンスとして実行するものであり、
前記解析機能に基づいて、サイバー攻撃を受けたデバイスの「特定」、「防御」及び「検知」と、前記サイバー攻撃に対する「対応」及び「復旧」とを、
同時的かつ連続的に実行する機能を提供することを特徴とする。
感染したデバイスに対してインシデントのレベルに応じた対応を予め設定したSLA(Service Level Agreement)に基づいて実行することを特徴とするように構成されていてもよい。
CSF以下の3つの要素で構成されている。
1.フレームワークコア
2.フレームワークプロファイル
3.フレームワークインプレメンテーションティア
例えば、機能の一つである「防御」では、カテゴリーの中に「アクセス制御」があり、さらに詳細な管理策として「承認されたデバイスとユーザーの識別情報と認証情報を管理している」がサブカテゴリーとして構成されている。
そして最後に具体的な方法や対策を検討する際の情報として、リファレンスが存在する。ここで改めて構成を眺めてみると、実はCSFは、サイバーセキュリティ対策のために管理策などが新設された訳ではなく、あくまでも既存の情報セキュリティ管理策をサイバーセキュリティの観点で再構成されたものであることがわかる。
現状と目標のプロファイルのギャップを明らかにし、その結果を基に、サイバーセキュリティリスクへの耐性や対策の実現可否を検討し、着手すべき管理策の優先付けや予算の確保、調達要件などの立案を可能とする。プロファイルについては、テンプレートやリストは用意されていない。
セキュリティ対策をすることは、何を守るのかを「特定」することから始まる。これに必要なものは、アセット管理(Asset Management)であり、すべての資産(ハードウェア・ソフトウェアとデータ)が単一のデータベースとして登録され、誰が責任者であるのか、どのくらい重要なのか、復旧が必要ならばどれくらいの時間内に復旧すべきなのか、資産間の依存性(Dependency)を外部のサプライ・チェーン・ディペンデンシー(Supply Chain Dependency)などから掌握する等々を行っておくことが必要である。
具体的には、例えば、ユーザーの内部ネットワーク(LAN)上に存在する機器のIPアドレスやホスト名、OSの種類やバージョンといった各種の情報、並びにポートの開閉状態等を監視するツールを用いることで、アセット管理データを収集しておくこともできる。収集したデータを基に、管理者等の必要な情報をデータベースに反映させておくことが好ましい。
以下、実施形態として、各バーチャル・アプライアンスの具体例及び提供する基本的な機能について説明する。
UTMは、ファイアウォール、VPN(バーチャル・プライベート・ネットワーク)、アンチウイルス、不正侵入防御(IPS:IntrusionProtectionSystem)/IDS(侵入検知システム)、コンテンツフィルタリング、アンチスパムなど、必要とされるセキュリティ機能を統合したシステムであり、ハードウェア機器としてではなく、バーチャル・アプライアンスとして提供されているものを用いるか又はハードウェア機器と併用することが好ましい。
ファイルサーバーにはログデータやCSFを運用するために必要な各種のデータベース、システムのバックアップデータ等を保存する。
セキュリティ管理者用のアカウントを作成するためのディレクトリ・サーバーである。
データ解析サーバーは、少なくとも、データベース上において特定されたいずれかのホストに対するユーザーのログイン情報を含むログデータと、アセット管理データとUTMが取得した少なくとも各ユーザー又は各デバイスごとのネットワークアクセス情報を含むログデータとを収集し解析をリアルタイムで実行するための解析機能を提供するサーバーである。
アセット管理データベースを作成、更新する方法として、ユーザーの内部ネットワーク(LAN)上に存在する機器のIPアドレスやホスト名、OSの種類やバージョンといった各種の情報、並びにポートの開閉状態等を監視するツールを用いることが有効である。収集したデータを基に、管理者等の必要な情報をデータベースに反映させておくことが可能となる。
セキュリティパッチが最新であるかを調べる脆弱性スキャン、定期スキャンの適切なスケジュールを有するか、PCI DSS(Payment Card Industry Data Security Standard)等のある指定されたセキュリティ基準に準拠しているか、あるいはデータが適切な強度で暗号化されているか等をチェックする機能を提供するサーバーである。
仮想サーバーの種類によってバックアップ/リカバリのツールは異なっているが、いずれにせよ、仮想サーバー及び前記仮想サーバー上で駆動されるすべての仮想マシンに対するバックアップ及びリカバリを実行するためのデータ復旧機能を提供するバーチャル・アプライアンスを備えることにより、例えば、万一マルウェアが発見された場合でも、CSFが規定するベストプラクティスに則って、ゼロから完全普及させることが可能となる。
VPN(バーチャル・プライベート・ネットワーク)を通じてCSF−Box内の一つのバーチャル・アプライアンスの一つにリモートアクセス可能にすることで、ユーザーが対処できない問題をCSF−Boxを提供する管理会社等の、外部の専門家チームが遠隔により操作することが可能となる。
タイムスタンプ、メトリック名、メトリック値、これらの値の組を連続的に受け取り、グラフ化するというシンプルな機能をネットワークサービスとして提供するツール又はサーバーである。
図1は、本発明の実施例として示されるバーチャル・アプライアンスのネットワーク構成例である。図1に示すように、仮想マシン(VM)をホストする仮想サーバーの機能を提供するハードウェア機器は冗長化のため、例えば4機のブレードサーバーから構成される(各サーバーを、ノード1〜ノード4とする。)。仮想サーバーには種々のシステムが存在するが、以下に説明する各機能を提供する仮想マシンをホストするものである限り、特に限定されない。例えば、VMWare、リナックスベースのKVM、Windowsの仮想化機能を用いてもよく、その他の仮想サーバーを用いてもよい。仮想サーバーは、それぞれの仮想マシンに一つ又は複数のネットワーク・インターフェースを付与することができ、複数の異なる複数のネットワーク、例えば、
第1のネットワーク:192.168.1.0/24
第2のネットワーク:192.168.2.0/24
第3のネットワーク:192.168.5.0/24
第4のネットワーク:192.168.99.0/24
第5のネットワーク:192.168.50.0/24
が付与され、そのうち1つは、CSF−Boxの外部のユーザーネットワークに割り当てられる。なお、IPv4形式のアドレス表記を用いた例で説明したが、IPv6形式のアドレスに置き換えてもよい。また、ネットワークの割り当ては必要に応じて適宜構成されるもので、上記に限定されるものではない。
スプランクES(Enterprise Security)は第4のノードで収集されたログやデータを、データベースに保管する。
さらに、機械学習で得られたベースラインデータと第4のノードで収集されたデータを基に、セキュリティ状態をモニタリングし、ベースラインから逸脱する異常が検出されたならば、インシデントレコードを作成し、アラートを発信する。
また、コンプライアンスの状態を定期的にチェックし、必要なリポートの作成、インコンプライアンスのアラートも管理する。
第4のノードでは、以下の(i)〜(viii)のバーチャル・アプライアンスが配置される構成とした。
第3のUTM機能としてCheckPoint社のCenterManagementFirewallと呼ばれるUTMの一つであり、他のノードに配置される2種類のUTMのログデータを管理する機能を提供し、自身のログデータと共にSplunkに転送される。
サーバーモニタリングツールの一つであり、タイムスタンプ、メトリック名、メトリック値、これらの値の組を連続的に受け取り、時系列データベースを構築してグラフ化する機能をネットワークサービスとして提供する。
セキュリティパッチが最新であるかを調べる脆弱性スキャン、定期スキャンの適切なスケジュールを有するか、PCI DSS(Payment Card Industry Data Security Standard)等のある指定されたセキュリティ基準に準拠しているか、或いはデータが適切な強度で暗号化されているか等をチェックする機能を提供する。
ユーザーIDを管理するための機能であり、主にこの機能を導入することによりシングルサインオン(SSO)が可能となり、ユーザーが複数のIDやパスワードを覚える必要がなくなる利点がある。このような機能を実現するツールとして、ApacheSyncopeなどが知られている。ApacheSyncopeは、JAVA(登録商標) EEテクノロジー上で実行され、Apache2.0ライセンスの下でリリースされている。
LAN内からはもちろん、UTM等が提供するVPN機能などにより、各ノードのバーチャル・アプライアンスに対してSSHなどによりリモートアクセスが可能となる。
OpenLdapは、CSF−Boxの管理ユーザーを対象とするディレクトリサービスを提供するサーバーである。Tacacsはターミナル・アクセス・コントロール・システムの一つであり、ネットワーク機器へのアクセス制御用のプロトコルTACACS+を実行するためのUnix/Linux上で動くデーモンもある。元々CiscoがGPLv2で公開したものを機能拡張してメンテナンスされているのが公開されているもので、これは KVMパッケージにもなっている。DNSは、名前の解決を行う機能を提供する。
バックアップとリカバリ機能を提供する。他の仮想サーバーを用いる場合は、それぞれの仮想サーバーに対応するバックアップシステムを用いることができる。
第3のノードに配置されたUTMの冗長化構成であり、機能は全く同一である。
Claims (5)
- 本発明に係るサイバーセキュリティフレームワークボックスは、
ユーザーのローカル・エリア・ネットワーク(LAN)とインターネットの間にゲートウェイ(Gateway)として設置され、
仮想サーバーを含むサイバーセキュリティフレームワークボックスであって、
少なくとも
1.コンフィグレーションデータを管理するデータベース
2.正規ユーザーの情報を管理するデータベース
3.リスク情報を管理するデータベース
を含むアセット管理データベースと、
前記アセット管理データベース上において特定されたいずれかのデバイスに対する不正アクセスを検知、隔離及び駆除するUTM機能と、
インシデントの発生を記録及び処理するためのインシデント管理機能と、
少なくとも、前記アセット管理データベースにおいて特定されたいずれかのホストに対するユーザーのログイン情報を含むログデータと、前記アセット管理データと前記UTM機能が取得した少なくとも各ユーザー又は各デバイスごとのネットワークアクセス情報を含むログデータとを収集し解析をリアルタイムで実行するための解析機能と、
前記仮想サーバー及び前記仮想サーバー上で駆動されるすべての仮想マシンに対するバックアップ及びリカバリを実行するためのデータ復旧機能と、
のすべての機能を、いずれも、前記LAN内に設置された複数の仮想サーバー上のバーチャル・アプライアンスとして実行するものであり、
前記解析機能に基づいて、サイバー攻撃を受けたデバイスの「特定」、「防御」及び「検知」と、前記サイバー攻撃に対する「対応」及び「復旧」とを、
同時的かつ連続的に実行する機能を提供することを特徴とする。 - 前記バーチャル・アプライアンスの一つは、前記デバイスの一つにマルウェアが検出された場合に、「インシデント」としてその発生を記録すると共に、予め設定した通知先に通知し、
感染したデバイスに対してインシデントのレベルに応じた対応を予め設定したSLA(Service Level Agreement)に基づいて実行することを特徴とする請求項1記載のサイバーセキュリティフレームワークボックス。 - 前記バーチャル・アプライアンスの一つは、少なくともパッチ管理を含む脆弱性スキャン又は少なくともPCI DSSを含むある指定されたセキュリティ基準に準拠しているか否かをチェックするコンプライアンス・チェックを実行する機能を具備することを特徴とする請求項1又は2記載のサイバーセキュリティフレームワークボックス。
- 前記バーチャル・アプライアンスの一つは、ディレクトリサーバーを含むことを特徴とする請求項1乃至3のいずれか1項記載のサイバーセキュリティフレームワークボックス。
- 前記バーチャル・アプライアンスの一つは、他のバーチャル・アプライアンスのパフォーマンスモニタリング機能及びロードバランシング機能を具備することを特徴とする請求項1乃至4のいずれか1項記載のサイバーセキュリティフレームワークボックス。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017183409A JP6933320B2 (ja) | 2017-09-25 | 2017-09-25 | サイバーセキュリティフレームワークボックス |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017183409A JP6933320B2 (ja) | 2017-09-25 | 2017-09-25 | サイバーセキュリティフレームワークボックス |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019062272A true JP2019062272A (ja) | 2019-04-18 |
JP6933320B2 JP6933320B2 (ja) | 2021-09-08 |
Family
ID=66177656
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017183409A Active JP6933320B2 (ja) | 2017-09-25 | 2017-09-25 | サイバーセキュリティフレームワークボックス |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6933320B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110673860A (zh) * | 2019-09-24 | 2020-01-10 | 江苏医健大数据保护与开发有限公司 | 智能云数据中心建设与运营部署系统及方法 |
CN114465766A (zh) * | 2021-12-27 | 2022-05-10 | 天翼云科技有限公司 | 基于ssh的远程访问方法、装置、电子设备和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130174256A1 (en) * | 2011-12-29 | 2013-07-04 | Architecture Technology Corporation | Network defense system and framework for detecting and geolocating botnet cyber attacks |
US20160277439A1 (en) * | 2015-03-20 | 2016-09-22 | Ncluud Corporation | Locking Applications and Devices Using Secure Out-of-Band Channels |
JP2017034659A (ja) * | 2015-06-12 | 2017-02-09 | アクセンチュア グローバル ソリューションズ リミテッド | サービス志向ソフトウェア定義型セキュリティのフレームワーク |
JP2017516411A (ja) * | 2014-10-21 | 2017-06-15 | アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. | サイバーセキュリティシステム |
JP2017123085A (ja) * | 2016-01-08 | 2017-07-13 | 株式会社日立製作所 | 情報処理装置および通信系統の運用方法 |
-
2017
- 2017-09-25 JP JP2017183409A patent/JP6933320B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130174256A1 (en) * | 2011-12-29 | 2013-07-04 | Architecture Technology Corporation | Network defense system and framework for detecting and geolocating botnet cyber attacks |
JP2017516411A (ja) * | 2014-10-21 | 2017-06-15 | アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. | サイバーセキュリティシステム |
US20160277439A1 (en) * | 2015-03-20 | 2016-09-22 | Ncluud Corporation | Locking Applications and Devices Using Secure Out-of-Band Channels |
JP2017034659A (ja) * | 2015-06-12 | 2017-02-09 | アクセンチュア グローバル ソリューションズ リミテッド | サービス志向ソフトウェア定義型セキュリティのフレームワーク |
JP2017123085A (ja) * | 2016-01-08 | 2017-07-13 | 株式会社日立製作所 | 情報処理装置および通信系統の運用方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110673860A (zh) * | 2019-09-24 | 2020-01-10 | 江苏医健大数据保护与开发有限公司 | 智能云数据中心建设与运营部署系统及方法 |
CN110673860B (zh) * | 2019-09-24 | 2023-06-16 | 南京先进计算产业发展有限公司 | 智能云数据中心建设与运营部署系统及方法 |
CN114465766A (zh) * | 2021-12-27 | 2022-05-10 | 天翼云科技有限公司 | 基于ssh的远程访问方法、装置、电子设备和存储介质 |
CN114465766B (zh) * | 2021-12-27 | 2023-08-04 | 天翼云科技有限公司 | 基于ssh的远程访问方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP6933320B2 (ja) | 2021-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6731687B2 (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
US10574685B2 (en) | Synthetic cyber-risk model for vulnerability determination | |
US20200259858A1 (en) | Identifying security actions based on computing asset relationship data | |
US20200159624A1 (en) | System, Method and Process for Protecting Data Backup from Cyberattack | |
EP3641225B1 (en) | Policy-driven compliance | |
Montesino et al. | Information security automation: how far can we go? | |
US20240054234A1 (en) | Methods and systems for hardware and firmware security monitoring | |
Podzins et al. | Why siem is irreplaceable in a secure it environment? | |
Freet et al. | Cloud forensics challenges from a service model standpoint: IaaS, PaaS and SaaS | |
US20220060507A1 (en) | Privilege assurance of enterprise computer network environments using attack path detection and prediction | |
CN105100092B (zh) | 控制客户端访问网络的检测方法、装置和系统 | |
US20210409449A1 (en) | Privilege assurance of enterprise computer network environments using logon session tracking and logging | |
US20090328210A1 (en) | Chain of events tracking with data tainting for automated security feedback | |
US11799875B2 (en) | Computerized system for complying with certain critical infrastructure protection requirements | |
JP6933320B2 (ja) | サイバーセキュリティフレームワークボックス | |
Çalışkan et al. | Benefits of the virtualization technologies with intrusion detection and prevention systems | |
CN116662112A (zh) | 一种使用全自动扫描和系统状态评估的数字监控平台 | |
Araújo et al. | Virtualization in intrusion detection systems: a study on different approaches for cloud computing environments | |
Bedwell | Finding a new approach to SIEM to suit the SME environment | |
Tafazzoli et al. | Security operation center implementation on OpenStack | |
Grigorescu et al. | CODA footprint continuous security management platform | |
US11960368B1 (en) | Computer-implemented system and method for recovering data in case of a computer network failure | |
Ogogo | Real-Time Monitoring of Network Devices: Its Effectiveness in Enhancing Network Security | |
Holczer et al. | Virtualization-assisted testing of network security systems for NPPs | |
Casey et al. | Intrusion investigation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20171012 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200916 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210709 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210727 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210804 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6933320 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |