(本開示の基礎となった知見)
工場などにある産業機器などの制御端末には、設計および実装された時期が古く、インターネットへの接続を考慮されていない場合がある。この様な制御端末には、インターネットからのセキュリティの脅威に対して、なんら対策が講じられていない。
更に、この様な制御端末は、可用性が強く求められ、生産稼働の遅延の増大および稼動停止を極力防ぐ必要があるため、セキュリティ対策ソフトウェアの導入およびセキュリティパッチなど、オペレーションシステムを含むソフトウェアの変更が許容されない。
しかし現在、その様な制御端末を含む産業機器ネットワークは、インターネットに接続されるため、セキュリティの脅威に晒されている。
したがって、産業機器ネットワーク全体のセキュリティの脅威を監視し、生産稼働の遅延および停止を防ぎながらも、マルウェアによる攻撃の無害化および被害拡大を防ぐことが求められる。通信ネットワークデータを監視して攻撃を検知し、かつ、無害化する技術は、例えば、前述の特許文献1、2で開示されている。しかし、産業機器ネットワークに求められる、遅延増大および停止を防ぐことと、突然の通信遮断による制御への悪影響は想定されていない。
そこで、本開示では、工場など制御システムネットワークに必要な端末の無停止稼動と通信遅延の最小化を実現し、かつ、セキュリティレベルを向上させることを目的とする。
(本開示の一態様)
本開示の一様態に係るネットワーク防御装置は、複数のLAN(Local Area Network)のポートを備え、通信ネットワーク間の接続を行うスイッチを流れる、少なくとも送信元端末の情報と送信先端末の情報とを含む通信データを、プロミスキャスモードで前記スイッチを介して取得する通信データ取得部と、前記通信データの脅威を検知する脅威検知部と、脅威除去部と、前記脅威検知部で脅威を検知した場合、前記脅威除去部を介さずに前記送信元端末と前記送信先端末とを接続する第1の通信経路を、前記脅威除去部を介して前記送信元端末と前記送信先端末とを接続した、前記第1の通信経路と異なる第2の通信経路に変更するように前記スイッチを操作する経路変更部と、を備え、前記脅威除去部は、前記経路変更部が通信経路を変更した後に、前記通信データの脅威を除去する。
この構成により、スイッチを経由する通信データのコピーを通信分析部で監視し続けることで、脅威を検知することができる。脅威を検知すると、経路変更部は、スイッチの設定を変更することで、脅威を含みうる送信元端末が属する通信ネットワークと、送信先端末が属する通信ネットワークとを論理的に切り離し、脅威を含みうる送信元端末と送信先端末の間の経路に、脅威除去部を論理的に接続する様に変更する。こうして、送信元端末が送信した脅威を含みうる通信データから脅威を除去することができる。これにより、端末の運転を停止させることなく(正常な通信に悪影響を与えることなく)通信をすることができるとともに、脅威を監視しマルウェア等の拡散を防ぐことができる。
また、送信元端末が属する通信ネットワークと送信先端末が属する通信ネットワークとの正常な通信を継続するため、脅威を検知する通信分析部と脅威を除去する脅威除去部とを分離している。つまり、通信分析部と脅威除去部とを異なる処理部として分離しているため、それぞれの処理部の処理負荷を最小限にすることができる。これにより、通信分析部が探索行動などによって脅威に到る前に脅威を検知してから、脅威除去部による脅威の除去を適用することができる。その結果、より早期にセキュリティの脅威に対応することができる。
したがって、このネットワーク防御装置は、通信ネットワークを構成する端末の無停止稼動と通信遅延の最小化とを実現しながら、セキュリティレベルを向上させることができる。特に、既存の設備に影響を与えることなく、既存の設備の無停止稼動を実現することができる。
本開示の一様態に係るネットワーク防御システムは、複数のLANのポートを備え、通信ネットワーク間の接続を行うスイッチを流れる、少なくとも送信元端末の情報と送信先端末の情報とを含む通信データを、プロミスキャスモードで前記スイッチを介して取得する通信データ取得部と、前記通信データの脅威を検知する脅威検知部と、脅威除去部と、前記脅威検知部で脅威を検知した場合、前記送信元端末と前記送信先端末とを接続する第1の通信経路を、前記脅威除去部を介して前記送信元端末と前記送信先端末とを接続した、前記第1の通信経路と異なる第2の通信経路に変更するように前記スイッチを操作する経路変更部と、を備え、前記脅威除去部は、前記経路変更部が通信経路を変更した後に、前記通信データの脅威を除去する。
このネットワーク防御システムにおいても上述と同様の作用効果を奏する。
本開示の一様態に係るネットワーク防御装置において、前記スイッチは、前記送信元端末に接続された第1のLANのポートと、前記脅威検知部に接続された第2のLANのポートおよび第3のLANのポートと、前記送信先端末に接続された第4のLANのポートとを有し、前記脅威検知部で脅威を検知していない場合、前記経路変更部は、前記第1のLANのポートに接続された前記送信元端末から、前記第4のLANのポートに接続された前記送信先端末までの前記第1の通信経路を、第1のVLAN(Virtual Local Area Network)に設定し、前記脅威検知部で脅威を検知した場合、前記経路変更部は、前記第2の通信経路に含まれる、前記第1のLANのポートに接続された前記送信元端末から、前記第2のLANのポートに接続された前記脅威除去部までの経路を前記第1のVLANと異なる第2のVLANに設定し、前記第3のLANのポートに接続された前記脅威除去部から、前記第4のLANのポートに接続された前記送信先端末までの経路を前記第1のVLANに設定する。
これによれば、脅威検知部で脅威を検知していない場合、送信元端末から送信先端末までを第1のVLAN(第1の通信経路)に設定する。また、脅威検知部で脅威を検知した場合、送信元端末から脅威除去部までを第2のVLANに設定し、脅威除去部から送信先端末までの経路を第1のVLANに設定する(第1のVLANと第2のVLANとが第2の通信経路となる)。こうすることで、脅威を検知した場合に送信元端末から送信先端末までの間に脅威除去部を介することができる。
本開示の一様態に係るネットワーク防御装置は、さらに、前記脅威除去部を通過した前記通信データに含まれる通信ネットワークのVLAN情報を書き換える書換部を備え、前記スイッチは、前記送信元端末に接続された第5のLANのポートと、前記脅威除去部が接続された第6のLANのポートと、前記送信先端末に接続された第7のLANのポートとを有し、前記脅威検知部で脅威を検知していない場合、前記経路変更部は、前記第5のLANのポートに接続された前記送信元端末と、前記第7のLANのポートに接続された前記送信先端末とを第1のVLANに設定し、前記脅威検知部で脅威を検知した場合、前記経路変更部は、前記第2の通信経路に含まれる、前記第5のLANのポートに接続された前記送信元端末を第2のVLANに設定し、前記第7のLANのポートに接続された前記送信先端末を前記第1のVLANに設定し、前記書換部は、前記第6のLANのポートを介して、前記送信元端末が属する前記第2のVLANを示すVLAN情報を前記送信先端末が属する前記第1のVLANを示すVLAN情報に書き換え、書き換えられた通信データを、前記スイッチに出力する。
このように、脅威検知部で通信データの脅威を検知すると、送信元端末が第2のVLANに設定され、送信先端末が第1のVLANに設定される。脅威除去部は、第6のポートを介して取得した通信データに含まれる脅威を除去する。書換部は、脅威を除去した通信データに含まれる通信ネットワークのVLAN情報を書き換える。つまり、第1のVLANを示すVLAN情報と第2のVLANを示すVLAN情報とが異なるため、書換部は、通信データに含まれるVLAN情報を、送信先端末が接続されている第7ポートに対応するようにVLAN情報を書き換える。これにより、異なるVLANを通過する通信データであっても、送信元端末から送信先端末に送信することができる。
本開示の一様態に係るネットワーク防御装置において、前記第1のVLANは、前記脅威除去部を介さない通常系ネットワークであり、前記第2のVLANは、前記脅威除去部が前記通信データの脅威を除去する検疫系ネットワークであり、前記脅威検知部で脅威を検知した場合、前記経路変更部は、前記第1のVLANの一部を前記通常系ネットワークから検疫系ネットワークに変更する。
これによれば、脅威を検知した場合に、通常系ネットワークから検疫系ネットワークに変更されるため、送信元端末が出力した通信データに含まれる脅威を、送信先端末に届く前に除去することができる。
本開示の一様態に係るネットワーク防御装置における、前記脅威除去部において、前記通信データの脅威が除去されると、前記経路変更部は、前記通常系ネットワークから変更されていた前記検疫系ネットワークを、前記通常系ネットワークに戻す。
通信データの脅威が除去された後も送信元端末と送信先端末との通信経路の間に脅威除去部を介していれば、両者の間で通信遅延が生じてしまう。しかし、このネットワーク防御装置では、通信データの脅威が除去されれば検疫系ネットワークを、通常系ネットワークに戻す。このため、送信元端末と送信先端末との間の通信遅延の発生を抑制することができる。
本開示の一様態に係るネットワーク防御装置において、前記通信データ取得部は、前記通信データのコピーを取得し、前記脅威検知部は、前記通信データのコピーをプロミスキャスモードで監視する。
例えば送信元端末と送信先端末との通信経路の間に脅威検知部を配置すれば、脅威検知部が全ての通信データを監視するため、両者の間で通信遅延が生じてしまう。しかし、このネットワーク防御装置では、通信経路上の通信データをコピーしてプロミスキャスモードで監視するため、送信元端末と送信先端末との間の通信遅延の発生を抑制することができる。
本開示の一様態に係るネットワーク防御装置において、前記脅威除去部は、脅威を検知した前記通信データから、脅威を含む不要なデータを除去する。
これによれば、送信先端末には通信データから脅威を含む不要なデータを除去した、脅威除去後の通信データが送信されるため、通信データの通信量を削減することができる。
本開示の一様態に係るネットワーク防御装置において、前記脅威検知部は、検知した脅威内容に応じて、脅威が検知された送信元端末にスコアを付与し、前記経路変更部は、前記脅威検知部で付与した前記スコアが第1の値を超えた場合、前記スコアが付与された当該送信元端末に係る通信データを前記脅威除去部に経由させるように、前記スイッチに通信経路を変更させる。
これによれば、脅威をスコアによって段階的に分類することで、脅威を含んでいる可能性の高い通信データだけを脅威除去部に経由させることができる。このため、脅威を含んでいる可能性の低い通信データを脅威除去部に経由させないようにすることができる。その結果、脅威除去部を経由する通信データの数が削減されるため、送信元端末と送信先端末との通信経路の間の通信遅延の発生を抑制することができる。
本開示の一様態に係るネットワーク防御装置において、前記脅威検知部は、付与した前記スコアに対して、所定時間経過後に前記スコアを所定値減算し、検知した脅威の前記スコアが第2の値を下回った場合、前記経路変更部は、前記送信元端末と前記送信先端末との接続を、前記脅威除去部を介さないように前記スイッチに通信経路を変更させる。
これによれば、通信データから検知された脅威の内容(スコア)を精度よく補正することができる。このため、時間の経過とともに脅威除去部を経由する通信データの数が削減されるため、送信元端末と送信先端末との通信経路での通信遅延の発生を抑制することができる。
本開示の一様態に係るネットワーク防御装置において、前記脅威検知部は、検知した脅威の前記スコアが前記第1の値より大きい第3の値を超えた場合、前記所定時間経過しても前記スコアを減算しない。
これによれば、脅威を含んでいる可能性の非常に高い通信データについては、誤検知の可能性が低いと考えられるため、通信データから検知された脅威を示すスコアを変更することなく、スコアを維持する。このため、誤検知の発生を抑制するとともに、検知した脅威を脅威除去部によって確実に除去することができる。
なお、以下で説明する実施の形態は、いずれも本発明の一具体例を示すものである。これらの包括的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能な記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムまたは記録媒体の任意の組み合わせで実現されてもよい。以下の実施の形態で示される数値、形状、構成要素、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。また全ての実施の形態において、各々の内容を組み合わせることもできる。
(実施の形態1)
本実施の形態について、図面を参照しながら説明する。なお、各図面において同じ構成要素については同じ符号が用いられている。
1.通信ネットワークの全体構成
図1は、本実施の形態におけるネットワーク防御装置が属する通信ネットワークの全体構成を示す図である。本実施の形態の通信ネットワークでは、端末は、IEEE802.3で規定されるEthernet(登録商標)上でTCP(Transmission Control Protocol)/IP(Internet Protocol)およびUDP(User Datagram Protocol)/IPなどアプリケーションに応じて、適切なプロトコルで通信を行う。
図1に示すように、通信ネットワークでは、インテリジェントスイッチ20に対して、ネットワーク防御装置10と、送信先端末301と、送信元端末302とがそれぞれLANケーブルで接続されて構成される。本実施の形態では、便宜上、送信元端末302が送信する後述する図2の通信データ1010の送信先を送信先端末301、および、送信先端末301に送信する通信データ1010の送信元を送信元端末302に定義しているが、送信先端末は送信元端末とも成りえ、その逆も成りえる。
インテリジェントスイッチ20は、端末を接続するための複数のLANのポート(0〜7)を備える。なお、以下では、LANのポートのことを単にポートと呼ぶ。インテリジェントスイッチ20において、インテリジェントスイッチ20とLANケーブルとの接続点に記載されている数値は、LANケーブルが接続されるポートの番号を示す。なお、以下で単に「端末」という場合は、送信元端末302および送信先端末301を総称していう。
また、インテリジェントスイッチ20は、それぞれのポートにVLANと呼ばれる論理的なネットワークを設定する機能を備える。インテリジェントスイッチ20では、インテリジェントスイッチ20を通過する通信データ1010のコピーを出力可能なミラー機能をポート0に備える。ポート1〜7は、一般的なスイッチングハブのポートと同様の振る舞いをする。なお、ポート(LANのポート)は、物理的ポートだけでなく論理的なソフトウェアポートを含んでいてもよい。ただし、ソフトウェアポートには、TCP/IPのようなポートを含めなくてもよい。
インテリジェントスイッチ20のポート0〜2は、それぞれLANケーブルを介して、ネットワーク防御装置10に接続されている。また、インテリジェントスイッチ20のポート4には、送信先端末301が接続されている。さらに、インテリジェントスイッチ20のポート7には、送信元端末302が接続されている。ポート7は第1のポートの一例である。ポート4は第4のポートの一例である。
2.ネットワーク防御装置の構成
次にネットワーク防御装置10の詳細について説明する。
ネットワーク防御装置10は、通信データ取得部101と、通信分析部102と、スイッチ操作部103と、端末情報管理部104と、脅威除去部105とを備える。
通信データ取得部101は、複数のポートを備えたインテリジェントスイッチ20を流れる通信データ1010をプロミスキャスモードで取得する。通信データ取得部101は、送信元端末302と送信先端末301との間で通信される通信データ1010を、ポート0からの出力によって受信(取得)し、通信分析部102に出力する機能を備える。
通信分析部102は、通信データ取得部101から出力された通信データ1010を分析する。通信分析部102は、分析結果を示す情報(後述する端末通信情報)を端末情報管理部104に出力する機能を備える。端末のポート番号は、端末がインテリジェントスイッチ20に接続されているポートの数値である。
スイッチ操作部103は、インテリジェントスイッチ20が保持している端末のポート番号および端末のアドレスを対応付けた情報(後述するスイッチ情報)を取得し、端末情報管理部104に通知する機能を備える。また、スイッチ操作部103は、端末情報管理部104から出力された情報(後述する端末情報)に基づいて、インテリジェントスイッチ20のVLANを、VLAN1からVLAN2に、或いはVLAN2からVLAN1に切り換える(変更する)。つまり、スイッチ操作部103は、インテリジェントスイッチ20に、VLAN1とVLAN2とを相互に切り換えることを命令する機能を備える。ここで、VLAN1は、通常系ネットワークであり、VLAN2は、検疫系ネットワークである。VLAN1は、第1のVLANの一例であり、VLAN2は、第2のVLANの一例である。
端末情報管理部104は、通信分析部102から出力された分析結果を示す情報と、後述するスイッチ操作部103のスイッチ情報取得部1032から出力された情報とを統合し、端末情報として管理する。端末情報管理部104は、この端末情報をスイッチ操作部103に通知する機能を備える。
脅威除去部105は、送信先端末301から送信された通信データ1010を取得し、取得した通信データ1010から脅威を除去する機能を備える。つまり、脅威除去部105は、脅威を検知した通信データ1010から、脅威を含む不要なデータを除去する機能を備える。また、脅威除去部105は、脅威除去後の通信データを送信先端末301に出力する機能も備える。脅威除去部105は、通信データ1010そのものが脅威であれば、通信データ1010を除去し、通信データ1010に含まれる例えば文字列などが脅威であれば、その文字列を除去した通信データ1010を、インテリジェントスイッチ20に出力する。
ここで、脅威とは、送信先端末301および送信先端末301に格納される情報に対して、破損、破壊、または、アクセス拒否などの有害なまたは望まれない影響を生じさせるコンピュータプログラムであり、例えばマルウェア、ウイルス、または、スパイウェア等である。
2−1.通信データの構成
図2は、本実施の形態における通信データ1010の構成を示す図である。図2に示すように、通信データ1010には、少なくとも、送信元アドレス情報1011と送信先アドレス情報1012とペイロード1013とが含まれる。
送信元アドレス情報1011には、少なくとも、送信元MAC(Media Access Control)アドレス情報10111と、送信元IPアドレス情報10112と、送信元ポート情報10113とが含まれる。送信元アドレス情報1011は、送信元端末302の情報の一例である。
送信先アドレス情報1012には、少なくとも、送信先MACアドレス情報10121と、送信先IPアドレス情報10122と、送信先ポート情報10123とが含まれる。送信先アドレス情報1012は、送信先端末の情報の一例である。
3.通信分析部の構成
次に通信分析部102の詳細について説明する。
図3は、本実施の形態における通信分析部102の構成を示す図である。図3に示すように、通信分析部102は、端末アドレス確認部1020と、通信フロー情報解析部1021と、通信データ解析部1022とを備える。
通信分析部102は、通信データ取得部101から通信データ1010を取得し、端末アドレス確認部1020と通信フロー情報解析部1021と通信データ解析部1022とを用いて、それぞれが通信データ1010を解析する。通信分析部102は、端末アドレス確認部1020、通信フロー情報解析部1021、および、通信データ解析部1022のそれぞれの脅威検知情報を纏めた端末通信情報1023を、端末情報管理部104に出力する。通信分析部102は、脅威検知部の一例である。
3−1.端末アドレス確認部の構成
図2および図3に示すように、端末アドレス確認部1020は、通信データ1010にある送信元アドレス情報1011のうち、少なくとも、送信元MACアドレス情報10111と送信元IPアドレス情報10112とを取得する。端末アドレス確認部1020は、取得した送信元アドレス情報1011に基づいて、アクセスが禁止されている送信元端末302のMACアドレス情報およびIPアドレス情報と、送信元MACアドレス情報10111および送信元IPアドレス情報10112とが一致するかどうかを判定し、判定した結果である脅威検知情報を出力する。
3−2.通信フロー情報解析部の構成
通信フロー情報解析部1021は、通信データ1010に含まれる送信先アドレス情報1012に基づいて脅威検知情報を生成する。通信フロー情報解析部1021は、送信先アドレス情報1012に基づいて脅威があるかどうかを判定し、判定した結果である脅威検知情報を出力する。通信フロー情報解析部1021は、ブラックリスト通信検知部10211と、ホワイトリスト外通信検知部10212と、IPスキャン検知部10213と、ポートスキャン検知部10214とを含む。なお、通信フロー情報解析部1021は、上記の検知部を全て含まなくてもよく、一部の構成でもよいし、さらに別の検知部を含んでもよい。
ブラックリスト通信検知部10211は、アクセスを禁止されている送信先アドレス情報と送信先アドレス情報1012とが一致するかどうかを判定し、一致する場合にセキュリティ異常として検知する。
ホワイトリスト外通信検知部10212は、アクセスを許可されている送信先アドレス情報と送信先アドレス情報1012とが一致するかどうかを判定し、一致しない場合にセキュリティ異常として検知する。
IPスキャン検知部10213は、送信先アドレス情報1012に含まれる送信先IPアドレス情報10122から、通信ネットワーク内部における多数のIPアドレスへのアクセス試行の有無を判定する。IPスキャン検知部10213は、このようなアクセス試行がある場合に、セキュリティ異常として検知する。
ポートスキャン検知部10214は、送信先アドレス情報1012に含まれる送信先ポート情報10123から通信ネットワーク内部における特定のIPアドレスに対する多数のポートへのアクセス試行の有無を判定する。ポートスキャン検知部10214は、このようなアクセス試行が有る場合に、セキュリティ異常として判定する。
通信フロー情報解析部1021は、ブラックリスト通信検知部10211、ホワイトリスト外通信検知部10212、IPスキャン検知部10213、および、ポートスキャン検知部10214以外の別の検知部を用いてもよい。例えば、機械学習を用いて、アクセス先が妥当なものかどうかを点数評価し、一定の点数以上となるものをセキュリティ異常と判定する検知部、点数が最上位の端末から数台目までの端末をセキュリティ異常の疑いと判定する検知部などである。
3−3.通信データ解析部の構成
通信分析部102において、通信データ解析部1022は、通信データ1010に含まれるペイロード1013に基づいて脅威検知情報を生成する。通信データ解析部1022は、ペイロード1013に基づいて脅威があるかどうかを判定し、判定した結果である脅威検知情報を出力する。通信データ解析部1022は、脆弱性攻撃検知部10221とマルウェア検知部10222と認証失敗検知部10223とを含む。
なお、通信データ解析部1022は、上記の脆弱性攻撃検知部10221、マルウェア検知部10222、および、認証失敗検知部10223を全て含まなくてもよく、さらに別の検知部を含んでもよい。
脆弱性攻撃検知部10221は、ペイロード1013の中において、端末に組み込まれているソフトウェアの脆弱性を攻撃するパターンの有無を判定する。脆弱性攻撃検知部10221は、通信データ1010にソフトウェアの脆弱性を攻撃するパターンが有る場合に、セキュリティ異常として検知する。
マルウェア検知部10222は、ペイロード1013にマルウェアを示すパターンが含まれているかどうかを判定する。マルウェア検知部10222は、マルウェアを示すパターンが含まれる場合に、セキュリティ異常として検知する。
認証失敗検知部10223は、端末への認証試行情報を取得し、特定の端末に対して一定時間内に認証試行と認証失敗とが繰り返し発生しているかどうかを判定する。認証失敗検知部10223は、認証失敗が繰り返して発生している場合に、セキュリティ異常として検知する。
通信データ解析部1022は、脆弱性攻撃検知部10221、マルウェア検知部10222、および、認証失敗検知部10223以外の別の検知部を用いてもよい。別の検知部は、例えば、非特許文献1に開示されているような、ペイロード1013のビットパターンの一部を、機械学習を用いて点数評価したり、ペイロード1013の内容を解読して得た情報を、機械学習を用いて点数評価したりするなどして、ある一定以上の点数であればセキュリティ異常として検知する検知部、点数が上位の数パターンをセキュリティ異常として検知する検知部などが考えられる。
3−4.端末通信情報の構成
次に、端末通信情報1023の詳細について説明する。図4は、本実施の形態における端末通信情報1023の構成を示す図である。
図3および図4に示すように、端末アドレス確認部1020、通信フロー情報解析部1021、および、通信データ解析部1022は、通信データ1010を解析し、解析した結果を端末通信情報1023とする。図4に示すように、端末通信情報1023は、端末番号10230とIPアドレス情報10231とMACアドレス情報10232と更新時刻情報10233と脅威検知内容10234とで構成される。
端末アドレス確認部1020は、送信元IPアドレス情報10112をIPアドレス情報10231とし、送信元MACアドレス情報10111をMACアドレス情報10232とする。また、通信フロー情報解析部1021と通信データ解析部1022との判定結果は脅威検知内容10234とされる。IPアドレス情報10231、および、送信元のMACアドレス情報10232を取得した時刻は、更新時刻情報10233とされる。
4.スイッチ操作部の構成
次に、スイッチ操作部103の詳細について説明する。図5は、本実施の形態におけるスイッチ操作部103の構成を示す図である。
図5に示すように、スイッチ操作部103は、インテリジェントスイッチ20に関する設定情報であるスイッチ初期設定情報1031を格納している。スイッチ操作部103は、スイッチ情報取得部1032と、経路変更部1033とを備える。
スイッチ情報取得部1032は、スイッチ初期設定情報1031に基づいてインテリジェントスイッチ20が保持するスイッチ情報10320を取得し、スイッチ情報10320を端末情報管理部104に出力する。
経路変更部1033は、スイッチ初期設定情報1031と端末情報管理部104とからの通知に基づいてインテリジェントスイッチ20の各ポートのVLAN設定を変更する。
4−1.スイッチ初期設定情報の構成
次に、スイッチ初期設定情報1031の詳細について説明する。図6は、本実施の形態におけるスイッチ初期設定情報1031の構成を示す図である。図6に示すように、スイッチ初期設定情報1031は、スイッチ識別情報10311とスイッチ制御用IPアドレス10312とが対応したスイッチ識別情報テーブル10310、および、VLAN情報10314とVLANネットワーク種類10315とが対応したVLAN識別情報テーブル10313で構成される。
スイッチ識別情報10311は、個々のインテリジェントスイッチ20を識別する情報である。
スイッチ制御用IPアドレス10312は、SNMP(Simple Network Management Protocol)を用いてインテリジェントスイッチ20のポート1を通じて、インテリジェントスイッチ20を制御する場合に使用する。
VLAN情報10314は、VLANを特定(識別)するための情報であり、本実施の形態では、VLAN1、および、VLAN2が存在する。
VLANネットワーク種類10315は、VLAN情報10314に対応付けられている。例えば、VLAN1は、VLANネットワーク種類10315が通常系ネットワークを示し、VLAN2は、VLANネットワーク種類10315が検疫系ネットワークを示す。
通常系ネットワークは、送信元端末302から送信先端末301までの間に、脅威除去部105を介さないネットワークである。
検疫系ネットワークは、送信元端末302から送信先端末301までの間に、脅威除去部105を介するネットワークである。
4−2.スイッチ情報の構成
次に、スイッチ情報10320の詳細について説明する。図7は、本実施の形態におけるスイッチ情報10320の構成を示す図である。スイッチ情報10320は、スイッチ情報取得部1032により生成される。スイッチ情報取得部1032は、スイッチ初期設定情報1031から取得されたスイッチ識別情報10311をスイッチ識別情報10321とし、インテリジェントスイッチ20から、スイッチ識別情報10321に対応する接続ポート情報10322、VLAN情報10323、および、MACアドレス情報10324を取得する。
接続ポート情報10322は、端末が接続されているインテリジェントスイッチ20のポート番号を示す情報である。
5.端末情報管理部の構成
次に、ネットワーク防御装置10の端末情報管理部104の詳細について説明する。図8は、本実施の形態における端末情報管理部104の構成を示す図である。図8に示すように、端末情報管理部104は、管理対象の通信ネットワークに存在する端末の情報である端末情報10410を管理する。端末情報管理部104は、端末情報10410を記憶する端末情報記憶部1041と、端末情報更新部1042と、端末管理設定部1043aとを備える。
端末情報更新部1042は、通信分析部102から取得した図4の端末通信情報1023と、スイッチ操作部103から取得した図7のスイッチ情報10320と、後述する図9の脅威加算スコア情報10430とに基づいて端末一時情報1040を生成する。端末情報更新部1042は、端末一時情報1040と端末情報記憶部1041に記憶される端末情報10410とに基づいて、端末更新情報10420を生成する。端末情報更新部1042は、端末更新情報10420を、スイッチ操作部103の経路変更部1033へ通知する。さらに、端末情報更新部1042は、端末更新情報10420に基づいて、端末情報記憶部1041に記憶される端末情報10410を更新する。
端末管理設定部1043aは、端末管理部設定情報1043を格納している記憶部である。
5−1.端末管理部設定情報の構成
次に、端末管理部設定情報1043の詳細について説明する。図9は、本実施の形態における端末管理部設定情報1043の構成を示す図である。図9に示すように、端末管理部設定情報1043は、脅威加算スコア情報10430と、脅威スコアに基づいて各ポートのVLAN設定を変更するために必要な端末管理部基準値情報10431とを含む。
脅威加算スコア情報10430は、検知内容識別情報104301と、検知内容104302と、判定104303と、脅威加算スコア104304とを含む。
検知内容識別情報104301は、通信分析部102が持つ端末アドレス確認部1020、通信フロー情報解析部1021、通信データ解析部1022などのいずれかで判定した結果を示す情報である。検知内容識別情報104301では、各処理部の符号で表し、図面に記載される符号は一例である。
なお、検知内容識別情報104301は、どの処理部で判定した結果であるかを識別できるのであれば何でもよく、例えば、検知部の検知内容に対して識別可能な番号を付与しておき、その番号で識別するようにしてもよい。
検知内容104302は、検知内容識別情報104301に対応付けられた検知内容を示している。検知内容104302は、例えば、検知内容識別情報104301の「1020」では、新規の送信元アドレス情報1011の端末情報記憶部1041に含まれていない「新規のIPアドレス、MACアドレスが出現」したことを示す。
判定104303は、検知内容104302で示す検知結果が脅威であると判定した場合をブラックとし、脅威の可能性があるが明確に脅威であるかは判定できない場合をグレーとし、脅威の可能性がない場合をホワイトと定義する。
なお、判定104303は、検知結果を上記のように3つのレベルで定義するだけでなく、必要に応じて、さらに判定レベルを追加して用いてもよいし、ブラックとホワイトの2つのレベルで定義してもよい。
なお、脅威加算スコア情報10430は、上記の項目に限られず、さらに別の項目が含まれていてもよいし、一部の項目のみを利用してもよい。また、脅威加算スコア情報10430の検知内容104302は、複数が組み合わされて用いられてもよい。また、脅威加算スコア情報10430の脅威加算スコア104304は、全ての端末で同一である必要はなく、役割および種類に応じて異なる値が設定されていてもよい。
端末管理部基準値情報10431は、基準値内容104311と、基準値104312とを含む。基準値内容104311としては、「脅威スコア減算までの時間t0」と、「VLAN1からVLAN2へ変更する際の脅威スコア値X」と、「VLAN2からVLAN1へ変更する際の脅威スコア値Y」と、「脅威レベルの判定をグレーからブラックに変更するスコア値Z」とを含む。脅威スコア値Xは、第1の値の一例である。脅威スコア値Yは、第2の値の一例である。スコア値Zは、第3の値の一例である。
なお、端末管理部基準値情報10431の基準値内容104311は、上記の内容に限定されるわけではなく、上記内容以外の項目が含まれていてもよいし、上記内容の一部を利用してもよい。「脅威スコア減算までの時間t0」を用いる代わりに、例えば、「通信容量M0」、「一定の通信パケット数P0」、「一定のTCPセッション数S0」などを用いてもよい。基準値内容104311が「通信容量M0」および「通信パケット数P0」とした場合、通信容量および通信パケット数によって、送信先端末301からの送信量を計測してもよいし、送信元端末302および送信先端末301からの送受信量を計測してもよい。
また、基準値内容104311では、「脅威スコア減算までの時間t0」、「通信容量M0」、「一定の通信パケット数P0」および「一定のTCPセッション数S0」のうちの任意の2つ以上を組み合わせて用いてもよい。また、端末管理部基準値情報10431の基準値104312の値は全ての端末で同一である必要はなく、役割および種類に応じて、異なる値を設定してもよい。
端末管理部設定情報1043は、通信ネットワーク稼動開始時に設定しておく必要があるが、通信ネットワークの稼動開始後には、状況に応じて変更を行ってもよい。図示はしないが、端末情報更新部1042に設定のための情報表示部と入力部とを備えて設定を行ってもよいし、例えば、機械学習を用いて自動的に脅威加算スコア104304および基準値104312を変更するなどをしてもよい。
5−2.端末一時情報の構成
次に端末一時情報1040の詳細について説明する。図10は、本実施の形態における端末一時情報1040の構成を示す図である。図10に示すように、端末一時情報1040は、図8の端末情報管理部104により管理される。端末一時情報1040は、スイッチ識別情報10401と、接続ポート情報10402と、VLAN情報10403と、MACアドレス情報10404と、IPアドレス情報10405と、更新時刻情報10406と、脅威加算スコア10407とを含む。
5−3.端末更新情報の構成
次に、端末更新情報10420の詳細について説明する。図11は、本実施の形態における端末更新情報10420の構成を示す図である。図11は、送信元端末302からの脅威が検知された後の情報である。端末更新情報10420は、端末情報管理部104により管理され、端末情報更新部1042により保持される。
端末更新情報10420は、スイッチ識別情報10421と、接続ポート情報10422と、VLAN情報10423と、MACアドレス情報10424と、IPアドレス情報10425と、更新時刻情報10426と、脅威スコア10427とを含む。脅威スコア10427は、図9の脅威加算スコアに基づいて算出された通信データ1010の脅威度を示す。脅威スコア10427は、スコアの一例である。
5−4.端末情報の構成
次に、端末情報10410の詳細について説明する。図12Aおよび図12Bは、本実施の形態における端末情報10410の構成を示す図である。図12Aの端末情報10410は、送信元端末302からの脅威が検知される前の情報を示し、図12Bの端末情報10410は、送信元端末302からの脅威が検知された後の情報を示している。
図12Aおよび図12Bに示すように、端末情報10410は、端末情報管理部104により管理され、端末情報記憶部1041に記憶される。端末情報10410は、管理ID情報10411と、スイッチ識別情報10412と、接続ポート情報10413と、VLAN情報10414と、MACアドレス情報10415と、IPアドレス情報10416と、更新時刻情報10417と、脅威スコア10418とを含む。
管理ID情報10411は、スイッチ識別情報10412、接続ポート情報10413、VLAN情報10414、および、MACアドレス情報10415を1組として、他の組と識別する1つのIDを割り当てる。
6.脅威検知前と脅威検知後の論理的なネットワークの構成
次に、送信元端末302からの脅威が検知される前と後のネットワーク全体構成の詳細について説明する。図13Aおよび図13Bは、本実施の形態におけるネットワーク全体構成の論理的なネットワーク構成を示す図である。図13Aは、送信元端末302からの脅威が検知される前の論理的なネットワーク全体構成を示し、図13Bは、送信元端末302からの脅威が検知された後の論理的なネットワーク構成を示す。図13Aおよび図13Bに示すように、脅威除去部105は、VLAN1に含まれるインテリジェントスイッチ20のポート1を介して接続し、かつ、VLAN2に含まれるインテリジェントスイッチ20のポート2を介して接続している。なお、図13Aおよび図13Bでは、便宜上、インテリジェントスイッチ20のポート0とネットワーク防御装置10とを接続するLANケーブルを省略している。
図13Aは、送信元端末302からの脅威が検知される前、または、脅威が検知された後、かつ、異常状態から正常状態に変化した後の通常系ネットワークを示す。送信先端末301と送信元端末302とは、共にVLAN1に含まれ、脅威除去部105を介さずに通信を行っている。つまり、図13AのVLAN1は、送信先端末301と送信元端末302とがインテリジェントスイッチ20を介して接続されており、通信データ1010に対して脅威除去を行わない通常系ネットワークを構成している。異常状態から正常状態に変化とは、異常状態から正常状態に回復することを意味する。
送信元端末302、インテリジェントスイッチ20のポート7、ポート4、および、送信先端末301は、第1の通信経路の一例であり、VLAN1に属する。送信元端末302、インテリジェントスイッチ20のポート7、ポート4、および、送信先端末301の経路は、検知前の正常状態である。
図13Bは、送信元端末302からの脅威が検知された後、かつ、異常状態から正常状態に変化する前の論理的な異常系ネットワークを示す。
送信先端末301はVLAN1に接続されたまま脅威除去部105に接続され、送信元端末302はVLAN1からVLAN2に接続が切り換えられて脅威除去部105に接続される。これにより、送信元端末302は、脅威除去部105を介して送信先端末301と通信を行う。脅威除去部105は、送信元端末302に係る通信データ1010から脅威を除去し、脅威除去後の通信データつまり修正後の通信データを、インテリジェントスイッチ20を介して送信先端末301に送信する。
VLAN2に属する、送信元端末302、インテリジェントスイッチ20のポート7、ポート2、脅威除去部105、および、VLAN1に属する、脅威除去部105、インテリジェントスイッチ20のポート1、ポート4、送信先端末301は、第2の通信経路の一例である。送信元端末302、インテリジェントスイッチ20のポート7、ポート2、脅威除去部105、および、VLAN1に属する、脅威除去部105、インテリジェントスイッチ20のポート1、ポート4、送信先端末301の経路は、検知前の異常状態である。ポート1およびポート2は、第2のポートおよび第3のポートの一例である。
そして、ネットワーク防御装置10のスイッチ操作部103は、図13Aで示すように異常状態の異常系ネットワークから正常状態の通常系ネットワークに変更する。そして、送信元端末302は、送信先端末301と正常な通信を行う。
7.ネットワーク防御装置の動作
次に、ネットワーク防御装置10の動作について詳細に説明する。図14は、本実施の形態におけるネットワーク防御装置10の動作を示すフローチャートである。
図14等に示すように、ネットワーク防御装置10は、送信元端末302と送信先端末301との間で通信される通信データ1010を取得する(ステップS001)。具体的には、ネットワーク防御装置10は、インテリジェントスイッチ20のポート0に接続されたLANケーブルを介して、通信データ1010のコピーをプロミスキャスモードで取得する。
ネットワーク防御装置10の通信データ取得部101は、監視対象の通信ネットワーク上で取得した通信データ1010を、通信分析部102に出力する。
通信分析部102は、通信データ1010を分析する(ステップS002)。通信分析部102は、通信データ1010に基づいて、端末アドレス確認部1020と、通信フロー情報解析部1021と、通信データ解析部1022とを用いて、各々が判定した結果である各々の脅威検知情報を生成する。通信分析部102は、各々の脅威検知情報に基づいて端末通信情報1023を生成する。
端末アドレス確認部1020は、通信データ1010から送信元端末302の端末通信情報1023を抽出し、送信元端末302のIPアドレス情報10231とMACアドレス情報10232と更新時刻情報10233とを特定する。
通信フロー情報解析部1021において、ブラックリスト通信検知部10211は、送信先アドレス情報1012がアクセスを禁止されている送信先と一致する場合に、セキュリティ異常として検知する。また、ホワイトリスト外通信検知部10212は、送信先アドレス情報1012がアクセスを許可されている送信先と一致しない場合にセキュリティ異常として検知する。さらに、IPスキャン検知部10213は、送信先IPアドレス情報からネットワーク内部の多数のIPアドレスへのアクセス試行がある場合にセキュリティ異常と検知する。また、ポートスキャン検知部10214は、送信先ポート情報からネットワーク内部の特定のIPアドレスに対して多数のポートのアクセス試行が有る場合にセキュリティ異常と検知する。
通信データ解析部1022において、脆弱性攻撃検知部10221は、ペイロード1013の中に、送信先端末301に組み込まれているソフトウェアの脆弱性を攻撃するパターンが有る場合に、セキュリティ異常と検知する。マルウェア検知部10222は、ペイロード1013にマルウェアを示すパターンが含まれる場合にセキュリティ異常と検知する。認証失敗検知部10223は、認証が必要な端末へ特定の端末から一定時間内に多数の認証試行と失敗の繰り返しが発生している場合にセキュリティ異常と検知する。
そして、通信分析部102は、端末通信情報1023を端末情報管理部104に送信する。
端末情報更新部1042は、端末通信情報1023と、端末情報10410と、端末管理部設定情報1043の脅威加算スコア情報10430とから、端末一時情報1040を生成する。
MACアドレス情報10404は端末通信情報1023のMACアドレス情報10232、IPアドレス情報10405は端末通信情報1023のIPアドレス情報10231、更新時刻情報10406は端末通信情報1023の更新時刻情報10233を用いる。
端末情報更新部1042は、端末情報10410から、MACアドレス情報10404とIPアドレス情報10405とを含む組み合わせを検索する。該当する組み合わせが有る場合、端末情報更新部1042は、スイッチ識別情報10401をスイッチ識別情報10412とし、接続ポート情報10402を接続ポート情報10413とし、VLAN情報10403をVLAN情報10414とする。端末管理設定部1043aは、脅威加算スコア情報10430に基づいて、脅威加算スコア10407を脅威検知内容10234と一致する検知内容104302に該当する脅威加算スコア104304とする(ステップS021)。
端末情報更新部1042は、端末情報10410から、MACアドレス情報10404とIPアドレス情報10405とを含む組み合わせを検索する。該当する組み合わせが無い場合、端末情報更新部1042は、端末管理部設定情報1043の脅威加算スコア情報10430で示される検知内容104302の「新規IP:MAC出現」に該当する脅威加算スコア104304である「1000」を、脅威加算スコア10407とする(ステップS021)。ここでは、スイッチ識別情報10401と接続ポート情報10402とVLAN情報10403とは未定のままである。
通信分析部102は、脅威を検知したかどうかを判定する(分岐B003)。具体的には、脆弱性攻撃検知部10221は通信データ1010にソフトウェアの脆弱性を攻撃するパターンが有る場合、マルウェア検知部10222はマルウェアを示すパターンが含まれる場合、認証失敗検知部10223は認証失敗の繰り返しが発生している場合に、セキュリティ異常として検知する。
脅威が検知されない場合(分岐B003でNの場合)、つまり、脅威スコアがスコア値Z未満である場合、端末情報管理部104は、端末更新情報10420を生成し、脅威加算スコア10407の値から次のステップを判定する。
端末情報管理部104は、端末一時情報1040と端末情報10410とに基づいて端末更新情報10420を生成する。このとき、スイッチ識別情報10421はスイッチ識別情報10401となり、接続ポート情報10422は接続ポート情報10402となり、VLAN情報10423はVLAN情報10403となり、MACアドレス情報10424はMACアドレス情報10404となり、IPアドレス情報10425はIPアドレス情報10405となり、更新時刻情報10426は更新時刻情報10406となる。端末情報管理部104は、脅威加算スコア10407に脅威スコア10418を加算した脅威スコア10427を算出する。
端末情報管理部104の端末情報更新部1042は、端末更新情報10420の脅威スコア10427が0より大きいか否かを判定する(分岐B030)。脅威スコア10427が0である場合(分岐B030でNの場合)、端末情報更新部1042は、ステップS001に戻り次の通信データ1010の取得を行う。また、脅威スコア10427が0よりも大きい場合(分岐B030でYの場合)、端末情報更新部1042は、脅威スコア10427が、脅威レベルの判定をグレーからブラックに変更するスコア値Z(以下、スコア値Zとする)未満であるか否かを判定する(分岐B031)。
脅威スコア10427がスコア値Z以上であれば(分岐B031でNの場合)、端末情報更新部1042は、脅威レベルをブラックと判定し、ステップS001に戻り次の通信データ1010の取得を行う。脅威スコア10427がスコア値Z未満であれば(分岐B031でYの場合)、端末情報更新部1042は、脅威レベルをグレーと判定し、端末情報10410の更新時刻情報10417と端末更新情報10420の更新時刻情報10426を比較し、前回の更新時刻から時間t0が経過しているかどうかを判定する(分岐B032)。
ここで、時間t0は、端末管理部基準値情報10431の基準値内容104311で定義したものと同一であり、通信稼動前に定めておく必要がある値である。時間t0は、例えば5分として、一定値にしてもよいし、通信稼動後に状況の変化に応じて何らかの基準を設けて変更してもよい。
また、分岐B032の判定の代わりに、例えば通信容量M0、一定の通信パケット数P0、一定のTCPセッション数S0を用いて判定してもよい。通信容量M0および通信パケット数P0の場合、通信容量および通信パケット数が、送信元端末302からの送信量を計測してもよいし、送信元端末302および送信先端末301からの送受信量を計測してもよい。
また、分岐B032の判定において、時間t0、通信容量M0、一定の通信パケット数P0および一定のTCPセッション数S0を組み合わせて用いてもよい。また、端末管理部基準値情報10431の基準値104312の値は、一例であり、役割によってそれぞれ異なる値を設定してもよい。
時間t0が経過していない場合(分岐B032でNの場合)、端末情報更新部1042は、ステップS001に戻り次の通信データ1010の取得を行う。前回の更新時刻から時間t0が経過している場合(分岐B032でYの場合)、端末情報更新部1042は、端末更新情報10420の脅威スコア10427を端末情報10410の脅威スコア10427から1を減じた値にする(ステップS033)。
ここで、減じる値を1としているが、検知した脅威の種類および端末の役割に応じて減じる数値を変更してもよいし、減じる数値を脅威スコアの一定割合としてもよく、減じる値は1に限定されない。
脅威が検知された場合(分岐B003でYの場合)、つまり、脅威スコアがスコア値Z以上である場合、スイッチ操作部103のスイッチ情報取得部1032は、インテリジェントスイッチ20から、最新のスイッチ情報10320を取得する(ステップS004)。スイッチ情報取得部1032は、最新のスイッチ情報10320を端末情報管理部104に出力する。端末情報更新部1042は、端末更新情報10420のスイッチ識別情報10421と接続ポート情報10422とVLAN情報10423とを更新する。
ここで、スイッチ情報取得部1032は、例えばSNMP(Simple Network Management Protocol)などにより、インテリジェントスイッチ20のポート1を通じて、最新のスイッチ情報10320を取得することができる。なお、スイッチ情報取得部1032は、SNMP以外にも専用の通信線などによって最新のスイッチ情報10320を取得してもよい。
端末情報更新部1042は、端末更新情報10420のVLAN情報10423がVLAN1であるかどうかを判定する(分岐B005)。VLANがVLAN2である場合(分岐B005でNの場合)、分岐B006に進み、VLANがVLAN1である場合(分岐B005でYの場合)、分岐B007に進む。
端末情報更新部1042は、端末更新情報10420の脅威スコア10427が、VLAN2からVLAN1へ変更する際の脅威スコア値Yよりも大きいかどうかを判定する(分岐B006)。
脅威スコア10427が脅威スコア値Yよりも大きい場合(分岐B006でYの場合)、経路変更部1033が接続ポート情報10422の属するVLANを切り換えることなくステップS008へ進み、脅威スコア10427が脅威スコア値Y以下の場合(分岐B006でNの場合)、ステップS061へ進む。
端末情報更新部1042は、端末更新情報10420の脅威スコア10427が、VLAN1からVLAN2へ切り換える際の脅威スコア値Xよりも小さいかどうかを判定する(分岐B007)。脅威スコア10427が脅威スコア値Xよりも小さい場合(分岐B007でYの場合)、ステップS008へ進み、脅威スコア10427が脅威スコア値X以上の場合(分岐B007でNの場合)、ステップS071へ進む。
ここで、分岐B006と分岐B007に用いる脅威スコア値Xおよび脅威スコア値Yは、同じ値であってもよいし、異なる値であってもよい。
図5、図11および図14に示すように、端末更新情報10420のVLAN情報10423に基づいて、経路変更部1033は、接続ポート情報10422の属するVLANをVLAN2からVLAN1に切り換える(ステップS061)。ステップS061は、検疫対象であった送信元端末302を、検疫系ネットワークから通常系ネットワークに戻す処理であり、図13Bの送信元端末302の属するVLAN2から図13AのVLAN1に属するように切り換える処理である。
図13Aは、送信元端末302からの脅威が検知される前であり、端末管理部基準値情報10431の脅威スコアが図9の脅威スコア値Xを下回っている状態、または、端末管理部基準値情報10431の脅威スコアが、図9の脅威スコア値Yを上回る状態から脅威スコア値Y以下の状態に変化した後の論理的なネットワークを示す。
経路変更部1033は、例えばSNMPなどにより、インテリジェントスイッチ20のポート1を通じて、スイッチのポートのVLANを設定することができる。なお、経路変更部1033は、SNMP以外にも専用の通信線などを用いて設定してもよい。
端末更新情報10420のVLAN情報10423に基づいて経路変更部1033は、接続ポート情報10422の属するVLANをVLAN1からVLAN2に切り換える(ステップS071)。
ステップS071は、通常系ネットワークに属していた送信元端末302を、検疫系ネットワークに属するように切り換える処理であり、図13Aの送信元端末302の属するVLAN1から図13BのVLAN2に属するように切り換える処理である。
また、図13Bは、送信元端末302からの脅威が検知された後であり、端末管理部基準値情報10431の脅威スコアが、図9の脅威スコア値Xを下回る状態から脅威スコア値X以上の状態に変化し、かつ、端末管理部基準値情報10431の図9の脅威スコア値Yを上回ったままの状態での論理的なネットワークを示す。
端末情報更新部1042は、端末更新情報10420に基づいて、端末情報10410を更新する(ステップS008)。具体的には、端末情報更新部1042は、スイッチ識別情報10412とスイッチ識別情報10421と、接続ポート情報10413が接続ポート情報10422と、VLAN情報10414がVLAN情報10423と、MACアドレス情報10415がMACアドレス情報10424と、IPアドレス情報10416がIPアドレス情報10425と一致しているかどうかを、それぞれ確認する。これら全て一致する場合、端末情報更新部1042は、一致する組み合わせを持つ管理IDの更新時刻情報10417を更新時刻情報10426に、脅威スコア10418を脅威スコア10427に、それぞれ更新する。一方、これら全て一致するわけでない場合、端末情報更新部1042は、新しい管理IDを割り当て、スイッチ識別情報10412をスイッチ識別情報10421に、接続ポート情報10413を接続ポート情報10422に、VLAN情報10414をVLAN情報10423に、MACアドレス情報10415をMACアドレス情報10424に、IPアドレス情報10416をIPアドレス情報10425に、更新時刻情報10417を更新時刻情報10426に、脅威スコア10418を脅威スコア10427に設定する。端末情報更新部1042は、このように更新した後に、ステップS001に戻り次の通信データ1010の取得を行う。図12Bは、図12Aの状態の端末情報10410が、図11の端末更新情報10420によって更新された場合を示す。そして、端末情報更新部1042は、処理をステップS001に戻す。
7−1.脅威スコアの更新動作
次に、脅威スコアの更新の動作の詳細について説明する。図15は、本実施の形態における脅威スコアを更新する処理を示すフローチャートである。図15は、図14の分岐B003における、端末更新情報10420の脅威スコア10427の更新処理を示す。
図15等に示すように、端末情報更新部1042は、スイッチ識別情報10412とスイッチ識別情報10421とが全て一致しているかどうかを確認する。この確認は、端末情報更新部1042がステップS102からステップS106を繰り返す以下のループ処理によって行われる(S101)。具体的には、端末情報更新部1042は、端末情報10410の管理IDの全てに対して、端末一時情報1040のスイッチ識別情報10401と接続ポート情報10402とVLAN情報10403とMACアドレス情報10404とIPアドレス情報10405との組み合わせが含まれているかどうかを確認する。
端末情報更新部1042は、スイッチ識別情報10401とスイッチ識別情報10412とが一致しているかどうかを判定する(ステップS102)。一致していなければ(ステップS102でNの場合)、含まれている管理IDが無い、つまり、端末一時情報1040が端末情報10410に含まれていないことが示される。端末情報更新部1042は、脅威加算スコア10407を端末更新情報10420の脅威スコア10427とする(ステップS108)。そして、端末情報更新部1042は、処理を終了する。
一致していれば(ステップS102でYの場合)、端末情報更新部1042は、スイッチ識別情報10402aとスイッチ識別情報10413aとが一致しているかどうかを判定する(ステップS103)。一致していなければ(ステップS103でNの場合)、端末情報更新部1042は、ステップS108に進む。
一致していれば(ステップS103でYの場合)、端末情報更新部1042は、スイッチ識別情報10403aとスイッチ識別情報10414aとが一致しているかどうかを判定する(ステップS104)。一致していなければ(ステップS104でNの場合)、端末情報更新部1042は、ステップS108に進む。
一致していれば(ステップS104でYの場合)、端末情報更新部1042は、スイッチ識別情報10404aとスイッチ識別情報10415aとが一致しているかどうかを判定する(ステップS105)。一致していなければ(ステップS105でNの場合)、端末情報更新部1042は、ステップS108に進む。
一致していれば(ステップS105でYの場合)、端末情報更新部1042は、スイッチ識別情報10405aとスイッチ識別情報10416aとが一致しているかどうかを判定する(ステップS106)。一致していなければ(ステップS106でNの場合)、端末情報更新部1042は、ステップS108に進む。
一致していれば(ステップS106でYの場合)、端末情報更新部1042は、該当する管理IDの脅威スコア10418と、端末一時情報1040の脅威加算スコア10407との和を、端末更新情報10420の脅威スコア10427とする(ステップS107)。そして、端末情報更新部1042は、処理を終了する。
7−2.端末情報の更新動作
次に、端末情報10410の更新の動作について詳細に説明する。図16は、本実施の形態における端末情報を更新する処理を示すフローチャートである。図16は、図14のS009の端末情報10410の更新処理を示す。図15と同様の処理については同一の符号を付してその説明を適宜省略する。
図16等に示すように、端末情報更新部1042は、ステップS102からステップS106を繰り返す以下のループ処理を行う(S101)。ステップS102からステップS106の処理において、端末情報10410の管理IDの全てが一致する場合(ステップS106でYの場合)、端末情報更新部1042は、該当する管理IDにおける図12Aの更新時刻情報10417を更新時刻情報10426に基づいて更新し、図12Aの脅威スコア10418を脅威スコア10427に基づいて更新する(ステップS117)。そして、端末情報更新部1042は、処理を終了する。
端末情報更新部1042は、含まれている管理IDが無い場合(端末一時情報1040が端末情報10410に含まれていない場合)、新たな管理IDを追加して端末更新情報を登録する(ステップS118)。そして、端末情報更新部1042は、処理を終了する。
8.脅威除去部の動作
脅威除去部105は、VLAN1とVLAN2との双方に接続されている。脅威除去部105は、VLAN1に属する送信先端末301とVLAN2に属する送信元端末302との間の通信から、脅威を含む通信データ1010を除去する。或いは、脅威除去部105は、VLAN1に属する送信先端末301とVLAN2に属する送信元端末302との間の通信から、脅威を含む通信データ1010を無害化するために通信データ1010の有害な部分を破棄、或いは、無害なものに書き換えた正常な通信データ1010を通過させる機能を有する。
脅威除去部105は、トランスペアレントモードといわれる脅威除去部105が通信ネットワーク上で端末として存在しないようにふるまう形態としてもよく、この場合には送信元端末302のVLANを切り換えた場合にもそのまま通信を継続することができる。
また、ネットワーク防御装置10は、VLAN1とVLAN2との間のルータとして振る舞う形態としてもよく、この場合には、送信先端末301から送信元端末302に通信する際には脅威除去部105が送信元端末302のように振るまい、送信元端末302から送信先端末301に通信する際には脅威除去部105が送信先端末301のように振る舞えばよい。具体的には、ARPコマンドを用いてもよい。
9.実施の形態の効果
本実施の形態により、インテリジェントスイッチ20を経由する通信データ1010のコピーを通信分析部102で監視し続けることで、脅威を検知することができる。また、脅威を検知すると、スイッチ操作部が、脅威を含みうる送信先端末301が属する通信ネットワーク(VLAN2)と、送信元端末302、304が属する通信ネットワーク(VLAN1)とを論理的に切り離すことができる。つまり、脅威を含みうる送信元端末302、304が属するVLAN2と送信先端末301が属するVLAN1との境界に、脅威除去部105を論理的に接続する。こうして、脅威を含みうる送信元端末302、304が送信した通信データ1010から脅威を除去することができる。これにより、正常な通信に悪影響を与えることなくセキュリティ異常の拡散を防ぐことができる。
また、送信元端末302、304が属する通信ネットワークと送信先端末301が属する通信ネットワークとの正常な通信を継続するため、脅威を検知する通信分析部102と脅威を除去する脅威除去部105とを分離している。このため、それぞれの処理部の処理負荷を最小限にすることができる。これにより、通信分析部102が探索行動などによって脅威に到る前に脅威を検知してから、脅威除去部105による脅威の除去を適用することができる。その結果、より早期にセキュリティの脅威に対応することができる。
したがって、工場など制御システムネットワークに必要な端末の無停止稼動と通信遅延の最小化とを実現することができる。また、通信ネットワーク内の脅威を監視したり、脅威の拡散を抑制したりすることで、セキュリティレベルを向上させることができる。
10.実施の形態1のその他の変形例
本開示を上記実施の形態に基づいて説明してきたが、本開示は、上記実施の形態1に限定されず、以下のような、実施の形態1の変形例1、実施の形態1の変形例2も本開示に含まれる。
実施の形態1の変形例1(以下、本変形例)について説明する。ネットワークの全体構成として、図1では、ネットワーク防御装置10に1つのインテリジェントスイッチ20を接続する構成としたが、複数のインテリジェントスイッチを接続する構成であってもよい。図17Aは、本変形例におけるネットワーク防御装置10が属する通信ネットワークの全体構成を示す図である。
図17Aに示すように、通信ネットワークは、ネットワーク防御装置10、インテリジェントスイッチ20、送信先端末301、送信元端末302に加え、インテリジェントスイッチ21、送信先端末303、送信元端末304がLANケーブルで接続されて構成される。
この通信ネットワークでは、インテリジェントスイッチ20のポート3とインテリジェントスイッチ21のポート0とをLANケーブルを介して接続する。また、この通信ネットワークでは、ネットワーク防御装置10をインテリジェントスイッチ21のポート1とポート3とに、それぞれLANケーブルを介して接続する。
インテリジェントスイッチ21は、送信元端末304と送信先端末303との通信稼動開始時に、インテリジェントスイッチ21のポート0とポート4とポート7とをVLAN1に、ポート1をVLAN2に、ネットワーク防御装置10に接続したポート3をミラー機能に設定する。通信データ取得部101は、インテリジェントスイッチ21のポート3からも通信データ1010を取得する。ネットワーク防御装置10とインテリジェントスイッチ21のポート1との間では、例えばインテリジェントスイッチ21の制御用コマンドが通信される。
送信元端末304と送信先端末303とが通常系ネットワークで通信を行う場合は、上述の図13Aと同様である。通信分析部102により、通信データ1010から脅威が検知された場合、図17Bのように、検疫系ネットワークで通信を行う。図17Bは、本変形例において、送信元端末と送信先端末とが検疫系ネットワークで通信を行う場合を示す図である。スイッチ操作部103は、脅威を含みうる送信元端末304が属する通信ネットワーク(VLAN2)と、送信先端末303が属する通信ネットワーク(VLAN1)とを論理的に切り離す。
具体的には、スイッチ操作部103は、送信元端末304がインテリジェントスイッチ21のポート7、ポート1を介してネットワーク防御装置10の脅威除去部105に接続するVLAN2と、ネットワーク防御装置10の脅威除去部105がインテリジェントスイッチ20のポート2、ポート3、インテリジェントスイッチ21のポート0、ポート4、を介して送信先端末303に接続するVLAN1となるように、切り換える。こうして、送信元端末304は、インテリジェントスイッチ21のポート7、ポート1、ネットワーク防御装置10、インテリジェントスイッチ20のポート2、ポート3、インテリジェントスイッチ21のポート0、ポート4を介して送信先端末303と接続される。
また、図17Cのように、送信元端末304と送信先端末301とが通常系ネットワークで通信を行う場合、送信元端末304は、インテリジェントスイッチ21のポート7、ポート0、インテリジェントスイッチ20のポート3、ポート4を介して送信先端末301と接続される。図17Cは、実施の形態1の変形例1において、送信元端末と送信先端末とが通常系ネットワークで通信を行う場合を示す図である。図示はしないが、送信元端末304と送信先端末301とが検疫系ネットワークで通信を行う場合、スイッチ操作部103は、送信元端末304がインテリジェントスイッチ21のポート7、ポート0、インテリジェントスイッチ20のポート3、ポート2を介してネットワーク防御装置10の脅威除去部105に接続するVLAN2と、ネットワーク防御装置10の脅威除去部105がインテリジェントスイッチ20のポート0、ポート4を介して送信先端末301に接続するVLAN1となるように、切り換える。
このような構成を採ることで、本変形例のネットワーク防御装置10は、通信ネットワークを構成する端末の無停止稼動を実現し、かつ、送信元端末302、304と送信先端末301、303と間のような、複数の端末間における通信遅延の最小化も実現しながら、セキュリティレベルを向上させることができる。
図17Bのように太い実線の経路は第2の通信経路の一例であり、図17Cのように太い実線の経路は第1の通信経路の一例である。
実施の形態1の変形例2(以下、本変形例)について説明する。通信ネットワークの全体構成として、ネットワーク防御装置10に複数のインテリジェントスイッチを接続する図17Aとは別の構成であってもよい。図18は、本実施の形態におけるネットワーク防御装置10が属する通信ネットワークの全体構成を示す図である。
図18に示すように、通信ネットワークは、ネットワーク防御装置10、インテリジェントスイッチ20、送信先端末301、送信元端末302に加え、インテリジェントスイッチ21、送信先端末303、送信元端末304がLANケーブルで接続されて構成される。
この通信ネットワークでは、インテリジェントスイッチ20のポート3とインテリジェントスイッチ21のポート0とをLANケーブルを介して接続する。必要に応じて、インテリジェントスイッチ21に接続されていないポートをミラー機能として設定し、ネットワーク防御装置10に接続してもよい。
インテリジェントスイッチ21は、送信元端末304と送信先端末303との通信稼動開始時に、インテリジェントスイッチ20のポート3とインテリジェントスイッチ21のポート0とをトランクラインとして設定し、インテリジェントスイッチ21のポート4とポート7とをVLAN1に設定する。
送信元端末304と送信先端末303とが通常系ネットワークで通信を行う場合は、上述の図13Aと同様である。検疫系ネットワークで通信を行う場合、スイッチ操作部103は、送信元端末304がインテリジェントスイッチ21のポート7、ポート0を介してネットワーク防御装置10の脅威除去部105に接続するVLAN2(太い実線で示す)と、ネットワーク防御装置10の脅威除去部105がインテリジェントスイッチ20のポート1、ポート3、インテリジェントスイッチ21のポート0、ポート4、を介して送信先端末303に接続するVLAN1となるように、切り換える。図18のような経路が第1の通信経路の一例となる。
このような構成を採ることで、ネットワーク防御装置10は、複数のインテリジェントスイッチ(本実施の形態では、インテリジェントスイッチ20およびインテリジェントスイッチ21)に接続される通信ネットワークを防御することができる。
(実施の形態2)
[構成]
本実施の形態における他の構成は、特に明記しない場合は、実施の形態1と同様であり、同一の構成については同一の符号を付して構成に関する詳細な説明を省略する。
21.通信ネットワークの全体構成
ネットワーク防御装置10は、通信データ取得部101、通信分析部102、スイッチ操作部103、端末情報管理部104、および、脅威除去部105の他に、さらにパケット書換部106を備える。
インテリジェントスイッチ20のポート0は、インテリジェントスイッチ20を通過する通信データ1010のコピーを出力可能なミラー機能を備える。ポート1は、通信データ1010にVLANグループを区別するタグ情報を付加するタグポート機能を備える。ポート2〜7は、一般的なスイッチングハブのポートと同様の振る舞いをする通常ポートである。ポート1は、第6のポートの一例である。
また、ネットワーク防御装置10は、インテリジェントスイッチ20のポート0、ポート1に接続される。送信先端末301はポート4に接続され、送信元端末302はポート7に接続され、送信先端末303はポート5に接続され、送信元端末304はポート6に接続されている。ポート7は、第5のポートの一例である。ポート4は、第7のポートの一例である。
また、送信元端末302から、インテリジェントスイッチ20のポート4、ポート7、および、送信先端末301は、VLAN1aに属している。送信元端末304から、ポート5、ポート6、および、送信先端末301は、VLAN1aとは異なるVLAN1bに属している。送信元端末302、304および送信先端末301、303は、同一のインテリジェントスイッチ20に接続されているが、異なるVLAN間、すなわち、VLAN1aとVLAN1bとの間は、通信できない。
また、インテリジェントスイッチ20のポート1とネットワーク防御装置10を接続する通信路は、トランクラインであり、複数のVLANグループ、例えば、VLAN1aとVLAN1bとを区別して通信データ1010を送受信する。この通信データ1010には、VLANグループを特定するタグ情報が挿入される。なお、本実施の形態では、インテリジェントスイッチ20のポート2とネットワーク防御装置10とは接続されていない。
インテリジェントスイッチ20は、通常ポートであるポート4〜7が通信データ1010を受信すると、通信データ1010に含まれるアドレスの送信先端末301が、ポートの所属するVLAN(以降、所属VLANと呼ぶ)と同一のポートに接続されていない場合、送信先端末301の所属VLANを示すタグ情報を通信データ1010に付加し、タグポートであるポート1からこの通信データ1010を送信する。
また、インテリジェントスイッチ20は、タグポートであるポート1が通信データ1010を受信すると、通信データ1010に含まれる所属VLANを示すタグ情報を参照し、タグ情報に対応するVLANグループに属する通常ポートを選択する。インテリジェントスイッチ20は、通信データ1010からタグ情報を除去し、送信先端末301に接続されたポートを介し、送信先端末301に通信データ1010を送信する。
22.ネットワーク防御装置の構成
次にネットワーク防御装置10の詳細について説明する。
スイッチ操作部103は、ポートのVLANを切り換える際、例えば、VLAN1aまたはVLAN1bからVLAN2aまたはVLAN2b(図25A、25Bで後に示す)に、或いは、VLAN2aまたはVLAN2bからVLAN1aまたはVLAN1bに切り換える。ここで、VLAN1aとVLAN1bは、通常系ネットワークであり、VLAN2aとVLAN2bとは、検疫系ネットワークである。例えば、送信先端末301がVLAN1aに属し、送信元端末302がVLAN2aに属し、送信先端末303がVLAN1bに属し、送信元端末304がVLAN2bに属する。
脅威除去部105は、VLAN2aまたはVLAN2bに属する端末に係る通信データ1010を受信し、通信データ1010から脅威を除去した上で本来の送信先端末301または送信先端末303に出力する機能を備える。
パケット書換部106は、脅威除去部105を通過した脅威除去後の通信データに含まれる通信ネットワークのVLAN情報を書き換える。具体的には、パケット書換部106は、ポート1から入力され脅威除去部105を通過した脅威除去後の通信データの所属VLAN情報1011aをVLAN1aまたはVLAN1bからVLAN2aまたはVLAN2bへ、或いは、VLAN2aまたはVLAN2bからVLAN1aまたはVLAN1bへ書き換える(変更する)。このように書き換えた後に、パケット書換部106は、再びインテリジェントスイッチ20のポート1に、書き換えられた通信データを送信する。パケット書換部106は、書換部の一例である。
22−1.通信データの構成
図20は、本実施の形態における通信データ1010の構成を示す図である。通信データ1010には、少なくとも、所属VLAN情報1011aと送信元アドレス情報1011と送信先アドレス情報1012とペイロード1013とが含まれる。
所属VLAN情報1011aは、例えばIEEE802.1Qで規定されているタグ情報であり、Ethernetフレームに挿入されてVLANの識別に利用される。
23.端末通信情報の構成
次に、端末通信情報1023の詳細について説明する。図21は、本実施の形態における端末通信情報1023の構成を示す図である。
図21に示すように、端末通信情報1023は、端末番号10230とIPアドレス情報10231とMACアドレス情報10232とVLAN情報10232aと更新時刻情報10233と脅威検知内容10234とで構成される。
端末アドレス確認部1020から取得した所属VLAN情報1011aはVLAN情報10232aとされる。IPアドレス情報10231、送信元MACアドレス情報10232、および、VLAN情報10232aを取得した時刻は、更新時刻情報10233とされる。
24.スイッチ初期設定情報の構成
次に、スイッチ初期設定情報1031の詳細について説明する。図22は、本実施の形態におけるスイッチ初期設定情報1031の構成を示す図である。
図22に示すように、スイッチ初期設定情報1031は、スイッチ識別情報10311とスイッチ制御用IPアドレス10312とが対応したスイッチ識別情報テーブル10310と、VLAN情報10314とVLANグループ情報10314aとVLANネットワーク種類10315とがそれぞれ対応したVLAN識別情報テーブル10313とで構成される。
VLAN識別情報テーブル10313にて定義されたVLAN情報10314は、インテリジェントスイッチ20のポート1であるトランクラインについて、通信データ1010の出力対象となるVLANとして設定する。
VLANグループ情報10314aは、VLAN1a、VLAN1b、VLAN2a、および、VLAN2bにそれぞれ割り得てられた所属するグループを示す情報である。VLANグループ情報10314aは、あらかじめネットワークに割り当てられていたVLAN情報10314にそれぞれ対応付けられる。
なお、VLANグループ情報10314aは、通信分析部102によって、それぞれ異なる検知内容で検知された情報であってもよい。また、特定のVLANグループ情報10314aでのみ脅威を検知するように、通信分析部102が設定されていてもよい。
端末管理部基準値情報10431は、基準値内容104311と基準値104312とを含む。基準値内容104311としては、「脅威スコア減算までの時間t0」と、「VLANネットワーク種類が通常系から検疫系へ変更する際の脅威スコア値X」と、「VLANネットワーク種類が検疫系ネットワークから通常系ネットワークへ変更する際の脅威スコア値Y」と、「脅威レベルの判定をグレーからブラックに変更するスコア値Z」とを含む。
25.端末情報の構成
次に、端末情報10410の詳細について説明する。図24Aおよび図24Bは、本実施の形態における端末情報10410の構成を示す図である。図24Aの端末情報10410は、送信元端末302からの脅威が検知される前の情報を示し、図24Bの端末情報10410は、送信元端末302からの脅威が検知された後の情報を示している。
26.脅威検知前と脅威検知後の論理的なネットワークの構成
次に、送信元端末302からの脅威が検知される前と後のネットワーク全体構成の詳細について説明する。図25Aおよび図25Bは、本実施の形態におけるネットワーク全体構成の論理的なネットワーク構成を示す図である。図25Aは、送信元端末302からの脅威が検知される前の論理的なネットワーク構成を示し、図25Bは、送信元端末302からの脅威が検知された後の論理的なネットワーク構成を示す。図25Aおよび図25Bに示すように、脅威除去部105およびパケット書換部106は、トランクラインTRUNK1に設定されたインテリジェントスイッチ20のポート1を介して接続している。なお、図25Aおよび図25Bでは、便宜上、インテリジェントスイッチ20のポート0とネットワーク防御装置10とを接続するLANケーブルを省略している。
図25Aは、送信元端末302または送信元端末304からの脅威が検知される前であり、端末管理部基準値情報10431の脅威スコアが図9の脅威スコア値Xを下回っている状態、または、端末管理部基準値情報10431の脅威スコアが図9の脅威スコア値Yを上回る状態から脅威スコア値Y以下の状態に変化した後の論理的なネットワークを示す。送信先端末301と、ポート4と、ポート7と、送信元端末302とは、共にVLAN1aに含まれ、送信先端末303と、ポート5と、ポート6と、送信元端末304とは共にVLAN1b含まれ、脅威除去部105およびパケット書換部106を介さずに通信を行っている。
送信先端末301は、VLAN1aに接続されたままである。スイッチ操作部103がインテリジェントスイッチ20に接続しているポート7をVLAN1aからVLAN2aに切り換えることで、送信元端末302は、VLAN2aに接続される。送信先端末301および送信元端末302は、脅威除去部105とパケット書換部106とを介して通信を行う。
また、送信先端末303は、VLAN1bに接続されたままである。送信元端末304は、インテリジェントスイッチ20に接続しているポート6をVLAN1bからVLAN2bに切り換えることで、送信元端末304は、VLAN2bに接続される。送信先端末303および送信元端末304は、脅威除去部105とパケット書換部106とを介して通信を行う。
図25Aのように太い実線の経路、および、太い破線の経路は、第1の通信経路の一例である。
図20、および、図25Bに示すように、ポートのVLAN設定が切り換わると、インテリジェントスイッチ20は、ポート7、或いは、ポート6から入力された通信データ1010に所属VLAN情報1011aを挿入(タグ付け)し、ポート1からトランクラインTRUNK1を介してネットワーク防御装置10に出力する。
ネットワーク防御装置10の脅威除去部105は、送信元端末302および送信元端末304に係る通信データ1010から脅威を除去する。脅威を除去した後、パケット書換部106は、脅威除去後の通信データの所属VLAN情報1011aについて、VLAN識別情報テーブル10313を参照し、VLAN1aからVLAN2aまたはVLAN2aからVLAN1a、或いはVLAN1bからVLAN2bまたはVLAN2bからVLAN1bなどと、通常系ネットワークから検疫系ネットワークまたは検疫系ネットワークから通常系ネットワークへのVLAN情報に書き換えを行う。
VLAN情報を書き換えられた通信データは、トランクラインTRUNK1を通ってインテリジェントスイッチ20のポート1に戻る。インテリジェントスイッチ20は、書き換えられた通信データの所属VLAN情報1011aを参照して書き換えられた通信データの送信先ポートを決定するとともに、所属VLAN情報1011aを書き換えられた通信データより削除する。インテリジェントスイッチ20は、所属VLAN情報1011aを削除した通信データを送信先ポートから送信する。
図25Bのように太い実線の経路、および、太い破線の経路は、第2の通信経路の一例である。
以上より、端末側の処理を変更することなく送信元端末302は送信先端末301と、送信元端末304は送信先端末303と、それぞれ正常な通信を行うことができる。
なお、本実施の形態では、送信元端末302および送信元端末304からの脅威が同時に検知される場合について説明したが、これに限られない。例えば、送信元端末302または送信元端末304のいずれか一方による脅威が検知される場合に、論理的なネットワーク構成を変更するようにしてもよい。
27.ネットワーク防御装置の動作
次に、ネットワーク防御装置10の動作について詳細に説明する。図26は、本実施の形態におけるネットワーク防御装置の動作を示すフローチャートである。
図26の動作は実施の形態1の図14と同様であり、図14と同様の処理については同一の符号を付してその説明を適宜省略する。
図26に示すように、ネットワーク防御装置10は、通信データ1010を取得する(ステップS001)。通信分析部102は、通信データ1010を分析する(ステップS002)。端末情報管理部104は、脅威スコア10427を算出する(ステップS021)。通信分析部102は、脅威を検知したかどうかを判定する(分岐B003)。
脅威が検知された場合(分岐B003でYの場合)、スイッチ情報取得部1032は、インテリジェントスイッチ20から、最新のスイッチ情報10320を取得する(ステップS004)。そして、処理は、分岐B105に進む。
脅威が検知されない場合(分岐B003でNの場合)、端末情報管理部104は、脅威スコア10427が0より大きいか否かを判定する(分岐B030)。脅威スコア10427が0である場合(分岐B030でNの場合)、ステップS001に戻る。また、脅威スコア10427が0よりも大きい場合(分岐B030でYの場合)、端末情報更新部1042は、脅威スコア10427が、脅威レベルの判定をグレーからブラックに変更するスコア値Z(以下、スコア値Zとする)未満であるか否かを判定する(分岐B031)。
脅威スコア10427がスコア値Z以上であれば(分岐B031でNの場合)、ステップS001に戻る。脅威スコア10427がスコア値Z未満であれば(分岐B031でYの場合)、端末情報更新部1042は、前回の更新時刻から時間t0が経過しているかどうかを判定する(分岐B032)。
時間t0が経過していない場合(分岐B032でNの場合)、ステップS001に戻る。前回の更新時刻から時間t0が経過している場合(分岐B032でYの場合)、端末情報更新部1042は、脅威スコア10427から1を減じた値にする(ステップS033)。
端末情報更新部1042は、VLAN情報10423とVLAN識別情報テーブル10313とから、VLANネットワーク種類が通常系ネットワークであるかどうかを判定する(分岐B105)。
検疫系ネットワークの場合(分岐B105でNの場合)は、分岐B006に進み、VLANネットワーク種類が通常系ネットワークである場合(分岐B105でYの場合)は、分岐B007に進む。
端末情報更新部1042は、脅威スコア10427が検疫系ネットワークから通常系ネットワークへ切り換えする際の脅威スコア値Yよりも大きいかどうかを判定する(分岐B006)。
脅威スコア10427が脅威スコア値Yよりも大きい場合(分岐B006でYの場合)、経路変更部1033が接続ポート情報10422の属するVLANを切り換えることなくステップS008へ進み、脅威スコア10427が脅威スコア値Y以下の場合(分岐B006でNの場合)、ステップS161へ進む。
端末情報更新部1042は、脅威スコア10427が、通常系ネットワークから検疫系ネットワークへ切り換える際の脅威スコア値Xよりも小さいかどうかを判定する(分岐B007)。脅威スコア10427が脅威スコア値Xよりも小さい場合(分岐B007でYの場合)、ステップS008へ進み、脅威スコア10427が脅威スコア値X以上の場合(分岐B007でNの場合)、ステップS171へ進む。
端末更新情報10420のVLAN情報10423から、VLAN識別情報テーブル10313のVLANグループ情報10314aに対応するVLAN情報10314に基づいて、パケット書換部106は、接続ポート情報10422の属するVLAN情報を通常系ネットワークのVLAN情報に書き換える(ステップS161)。
ステップS161は、検疫対象であった送信元端末302、304を、検疫系ネットワークから通常系ネットワークに戻す処理である。ステップS161は、図25Bの送信元端末302の接続しているインテリジェントスイッチ20のポートの属するVLAN情報が、VLAN2aから図25AのVLAN1aに属するように書き換える処理である。または、ステップS161は、図25Bの送信元端末304の接続しているインテリジェントスイッチ20のポートの属するVLAN情報がVLAN2bから図25AのようにVLAN1bに属するように書き換える処理である。
端末更新情報10420のVLAN情報10423から、VLAN識別情報テーブル10313のVLANグループ情報10314aに対応するVLAN情報10314に基づいて、パケット書換部106は、接続ポート情報10422の属するVLANを検疫系ネットワークのVLAN情報に書き換える(ステップS171)。
ステップS171は、通常系ネットワークに属していた送信元端末304を、検疫系ネットワークに属するように書き換える処理であり、図25Aの送信元端末302の接続しているインテリジェントスイッチ20のポートの属するVLAN情報がVLAN1aから図25BのVLAN2aに属するように書き換える処理である。または、ステップS171は、図25Bの送信元端末304の接続しているインテリジェントスイッチのポートの属するVLAN情報がVLAN1bから図25BのようにVLAN2bに属するように書き換える処理である。
端末情報更新部1042は、端末情報10410を更新する(ステップS008)。そして、端末情報更新部1042は、処理をステップS001に戻す。
28.脅威除去部の動作
脅威除去部105は、トランクラインを介して接続されている。脅威除去部105は、VLAN1aに属する送信先端末301とVLAN2aに属する送信元端末302との間、および、VLAN1bに属する送信先端末303とVLAN2bに属する送信元端末304との間で行われる通信から、脅威となる通信データ1010を除去し、正常な通信データ1010を通過させる機能を有する。
脅威除去部105は、トランスペアレントモードといわれる脅威除去部105が通信ネットワーク上で端末として存在しないように振る舞う形態としてもよい。この場合には、送信元端末302および送信元端末304のVLANを切り換えた場合にもそのまま通信を継続することができる。
また、脅威除去部105は、通常系ネットワークと検疫系ネットワークとの間のルータとして振る舞う形態としてもよい。この場合には、送信先端末301から送信元端末302に通信する際には脅威除去部105が送信元端末302のように振る舞い、送信元端末302から送信先端末301に通信する際には脅威除去部105が送信先端末301のように振る舞い、或いは、送信先端末303から送信元端末304に通信する際には脅威除去部105が送信元端末304のように振る舞い、送信元端末304から送信先端末303に通信する際には脅威除去部105が送信先端末303のように振る舞うようになればよい。具体的には、ARPコマンドを用いてもよい。
29.パケット書換部の動作
次に、パケット書換部106の構成について、詳細に説明する。図27は、本実施の形態におけるパケット書換部106の構成を示す図である。
図27に示すように、パケット書換部106は、インテリジェントスイッチ20のポート1のトランクラインTRUNK1と脅威除去部105との間に設けられ、脅威除去部105で脅威除去後の通信データのVLAN所属情報を書き換える機能を有する。
脅威除去部105に入力されるパケットの通信データ1010は、所属VLAN情報が通常系ネットワークのVLAN情報と検疫系ネットワークのVLAN情報とで異なる。そのため、脅威除去部105からインテリジェントスイッチ20に脅威除去後の通信データを送信するだけでは、送信先端末301、303が所属VLAN情報に示されるポートに接続されていないため、インテリジェントスイッチ20と送信先端末301、303との間で通信が成立しない。そこでパケット書換部106は、脅威除去部105に入力されるパケットについてVLAN識別情報テーブル10313を参照し、同一のVLANグループ情報に含まれるVLAN情報に相互変換する。
これにより、送信元端末302から送信先端末301に通信する際、脅威除去部105を通過した脅威除去後の通信データは、所属VLAN情報がVLAN2aからVLAN1aに、パケット書換部106によって書き換えられる。そして、インテリジェントスイッチ20のポート1が受信した書き換えられた通信データの送信先は、送信先端末301が接続されているVLAN1aのポート4になる。
また、送信先端末301から送信元端末302に通信する際に、脅威除去部105を通過した脅威除去後の通信データは、所属VLAN情報がVLAN1aからVLAN2aに、パケット書換部106によって書き換えられる。そして、インテリジェントスイッチ20のポート1が書き換えられた通信データの送信先は、送信元端末302が接続されているVLAN2aのポート7になる。
こうして、送信元端末302と送信先端末301との間で、通信が維持される。
また、送信元端末304から送信先端末303に通信する際に、脅威除去部105を通過した脅威除去後の通信データは、所属VLAN情報がVLAN2bからVLAN1bに、パケット書換部106によって書き換えられる。そして、インテリジェントスイッチ20のポート1が受信した書き換えられた通信データの送信先は、送信先端末303が接続されているVLAN1aのポート5になる。
また、送信先端末303から送信元端末304に通信する際に、脅威除去部105を通過した脅威除去後の通信データの所属VLAN情報がVLAN1bからVLAN2bに、パケット書換部106によって書き換えられ、インテリジェントスイッチ20のポート1が受信した書き換えられた通信データの送信先は、送信元端末304が接続されているVLAN2bのポート6になる。
こうして、送信元端末304と送信先端末303との間で、通信が維持される。
30.実施の形態2のその他の変形例
本開示を上記実施の形態に基づいて説明してきたが、本開示は、上記実施の形態に限定されず、以下のような、実施の形態2の変形例1、実施の形態2の変形例2場合も本開示に含まれる。
実施の形態2の変形例1(以下、本変形例)について説明する。図28に示すように、インテリジェントスイッチ20のポート3とインテリジェントスイッチ21のポート0とは、トランクラインTRUNK2で接続される。ネットワーク防御装置10は、トランクラインTRUNK1を介してインテリジェントスイッチ20のポート1に接続する。
インテリジェントスイッチ21は、送信元端末304と送信先端末303との通信稼動開始時に、インテリジェントスイッチ21のポート4とポート7とをVLAN1aに設定する。また、LANケーブルを介してネットワーク防御装置10とインテリジェントスイッチ21の任意のポートとを接続したミラー機能に設定してもよい。このとき、通信データ取得部101は、インテリジェントスイッチ21の任意のポートからも通信データ1010を取得する。
送信元端末304と送信先端末303とが通常系ネットワークで通信を行う場合は、上述の図13Aと同様である。また、送信元端末304と送信先端末303とが検疫系ネットワークで通信を行う場合は、上述の図17Bと同様である。図28のように太い実線の経路は、第2の通信経路の一例である。
このような構成を採ることで、本変形例のネットワーク防御装置10は、インテリジェントスイッチ20およびインテリジェントスイッチ21に接続されるネットワークを防御することができる。
実施の形態2の変形例2(以下、本変形例)について説明する。ネットワークの全体構成として、図28では、1つのネットワーク防御装置10に1つのインテリジェントスイッチ20を接続する構成としたが、ネットワーク防御装置10の機能を分散させて、複数のネットワーク防御装置を備える構成であり、さらに図29のように複数のインテリジェントスイッチ20を接続する構成であってもよい。図29は、本実施の形態におけるネットワーク防御装置10、11が属する通信ネットワークの全体構成を示す図である。
図29に示すように、通信ネットワークは、ネットワーク防御装置10、11、インテリジェントスイッチ20、送信先端末301、送信元端末302に加え、インテリジェントスイッチ21、送信先端末303、送信元端末304がLANケーブルで接続されて構成される。インテリジェントスイッチ21では、インテリジェントスイッチ21を通過する通信データ1010のコピーを出力可能なミラー機能をポート3に備える。また、インテリジェントスイッチ21では、ポート1とネットワーク防御装置11とがLANケーブルで接続されて構成される。ネットワーク防御装置10とインテリジェントスイッチ21のポート1との間では、例えばインテリジェントスイッチ21の制御用コマンドが通信される。
この通信ネットワークでは、インテリジェントスイッチ21に接続されるネットワーク防御装置11は、通信データ取得部111、通信分析部112、端末情報管理部114から構成される。
送信元端末304と送信先端末303とが通常系ネットワークで通信を行う場合は、上述の図13Aと同様である。検疫系ネットワークで通信を行う場合、スイッチ操作部103は、送信元端末304がインテリジェントスイッチ21のポート7、ポート0、インテリジェントスイッチ20のポート3、ポート1、を介してネットワーク防御装置10の脅威除去部105に接続するVLAN2bと、ネットワーク防御装置10の脅威除去部105がインテリジェントスイッチ20のポート1、ポート3、インテリジェントスイッチ21のポート0、ポート4、を介して送信先端末303に接続するVLAN1bとなるように、切り換える。このとき、パケット書換部106は、脅威除去部105を通過した通信データ1010の所属VLAN情報を、パケット書換部106がVLAN1bからVLAN2bに書き換える。なお、インテリジェントスイッチ21のポート1はミラー機能として設定されている。図29のように太い実線の経路は、第2の通信経路の一例である。
このような構成をとることで、複数のインテリジェントスイッチ20、21から構成されるネットワークにおいて脅威検知を分散して実行することで、各々のインテリジェントスイッチ20、21を通過する通信データ1010について1台のネットワーク防御装置に集中して脅威検知することがなくなるため、ネットワークの負荷を軽減することができる。
31.その他の変形例
(1)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、図示はしないが、ネットワーク防御装置10には、端末情報管理部104で管理する全ての情報の中から端末情報10410など任意の情報を取得し適切に表示してもよい。また、ネットワーク防御装置10は、必要に応じて利用者が情報を更新し設定を行うための入力部を備えてもよい。
例えば、スイッチ初期設定情報1031および端末管理部設定情報1043は、通信稼動前にいったん設定する必要があるが、表示部と入力部を用いて確認できるように設定してもよく、ネットワーク防御装置10によって通信稼働中に設定変更できるようにしてもよい。
また、ネットワーク防御装置10は、利用者が特定の端末の脅威スコアを高めるための入力がされることで、その端末が接続されるポートのVLANを切り換える設定を行えるような、表示部と入力部とを備えていてもよい。
またこのとき、ネットワーク防御装置10は、端末情報10410の脅威スコア10418を時系列にグラフ化して表示することで、端末の脅威を可視化し、設定変更する基準として用いてもよい。
(2)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、図1のネットワーク防御装置10は、1つの装置として図示されているが、インテリジェントスイッチ20と一体となった装置でもよい。また、ネットワーク防御装置10の全ての機能を単一の機器のみで実現する必要はなく、ネットワーク防御装置10は、複数の機器を用いて構成されていてもよい。また、インテリジェントスイッチ20は、例えばSDNスイッチを用いてもよく、OpenFlowの様な制御用通信プロトコルを活用してもよい。
(3)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、各機能はコンピュータプログラムとして構成してもよく、また、ASIC(Application Specific Integrated Circuit)と呼ばれる専用のLSI(Large Scale Integrated−circuit:集積回路)として構成してもよく、また、PLD(Programmable Logic Device)およびFPGA(Field Programmable Gate Array)の様な、機能変更可能なLSIを用いて構成してもよく、また、これらを含む複数の方法を組み合わせて構成してもよい。また、ネットワーク防御装置10に含まれる複数の機能或いは全ての機能を単一のSoC(System on a Chip:システムLSI)と呼ばれるLSIとして構成してもよい。また、これらのような、コンピュータプログラム、LSI、FPGA、SoCと同等の機能を実現する技術があれば、それらを用いて構成してもよい。
(4)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、図3における通信フロー情報解析部1021または通信データ解析部1022の一部または全部は、市販されるIDSを活用してもよい。
(5)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、図3における通信分析部102の、通信フロー情報解析部1021に含まれる10211〜10214と、通信データ解析部1022に含まれる10221〜10223に関して、これらの一部のみを用いてもよく、また、これら以外の分析部を用いてもよい。
例えば、機械学習を用いたパターン解析結果を点数評価してから判定する方法、通信分析部102が含む全ての方法の中から任意の方法を選択し相関を判定する方法、過去の通信を分析した結果との相関を判定する方法、過去からの通信のパターンを抽出しそこから外れる度合いを点数評価して判定する方法などが考えられる。
(6)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、脅威除去部105は、一般的に市販されるIPS、FW、UTMなどを用いてもよい。
(7)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、脅威除去部105は、IPSのように脅威となる通信データ1010のみをシグネチャ方式と呼ばれる方法で除去するようにしてもよいし、最低限通過させなければいけない通信情報をホワイトリストとして準備し、ホワイトリストに合致しない通信データの一切を除去するとしてもよい。
(8)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、IPアドレスを固定で記載しているが、例えば、DHCP(Dynamic Host Configuration Protocol)を用いてもよい。
(9)上記の実施の形態1、2および実施の形態1、2の変形例1、2では、脅威除去部105は、通信データ1010に含まれる脅威を除去するとしているが、通信データそのものを除去してもよい。この場合、送信先端末には、通信データの送信はされなくてもよい。
以上のように、一つまたは複数の態様に係るネットワーク防御装置およびネットワーク防御システムについて、実施の形態1、2および実施の形態1、2の変形例1、2に基づいて説明したが、本開示は、この実施の形態1、2および実施の形態1、2の変形例1、2に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態1、2および実施の形態1、2の変形例1、2に施したもの、および、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。