JP2020119596A - ログ解析システム、解析装置、方法、および解析用プログラム - Google Patents

ログ解析システム、解析装置、方法、および解析用プログラム Download PDF

Info

Publication number
JP2020119596A
JP2020119596A JP2020073401A JP2020073401A JP2020119596A JP 2020119596 A JP2020119596 A JP 2020119596A JP 2020073401 A JP2020073401 A JP 2020073401A JP 2020073401 A JP2020073401 A JP 2020073401A JP 2020119596 A JP2020119596 A JP 2020119596A
Authority
JP
Japan
Prior art keywords
log
relay
client terminal
communication
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020073401A
Other languages
English (en)
Other versions
JP6943313B2 (ja
Inventor
池田 聡
Satoshi Ikeda
聡 池田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JP2020119596A publication Critical patent/JP2020119596A/ja
Application granted granted Critical
Publication of JP6943313B2 publication Critical patent/JP6943313B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】不正アクセスを検知することができるログ解析システム、解析装置、解析方法、および解析用プログラムが記憶された記憶媒体を提供する。【解決手段】クライアント端末200は、外部の通信機器と通信を行う。中継機器100は、クライアント端末200の要求に応じて、外部の通信機器とクライアント端末200との通信を中継する。解析装置300は、クライアント端末200による通信内容を解析する。そして、クライアント端末200は、外部の通信機器との通信を司ったプログラムを示すプログラム情報を記録する。中継機器100は、クライアント端末200によってなされた、外部の通信機器との通信の要求をそれぞれ示す中継ログを記録する。また、解析装置300は、プログラム情報と中継ログとを照合する。【選択図】 図1

Description

本発明は、通信のログを解析するログ解析システム、解析装置、解析方法、および解析用プログラムが記憶された記憶媒体に関する。
企業等の組織内の通信ネットワークにおいて、当該通信ネットワークに接続された機器がコンピュータウィルスに感染したり、機器から情報が漏洩したりするセキュリティインシデントが発生する場合がある。そのような場合には、当該機器に記録されたログなどの証跡を解析して、インシデントの原因究明や影響範囲の把握などを行う必要がある。
特に、当該通信ネットワークの外部から不正アクセスされたり、外部へ情報が漏洩したりしたようなインシデントでは、当該通信ネットワークに接続されたクライアント端末と通信ネットワーク外部の通信ネットワークに接続された機器(以下、単に外部ネットワークともいう)との間で通信が行われる。したがって、通信ネットワークに接続された機器と外部ネットワークとの間の通信のログはインシデントの調査において非常に重要である。
当該通信ネットワークに接続された機器と外部との通信のログには、例えば、プロキシサーバのアクセスログがある。ファイアウォールなどによって外部への通信を制限されている企業等における通信ネットワークでは、プロキシサーバを介したHTTP(Hypertext Transfer Protocol)通信は、外部との数少ない通信経路の1つである。
特許文献1には、通信端末が記録したアクセスログと、当該通信端末のユーザによる操作内容を示す端末操作ログと、プロキシサーバが記録したプロキシログとに基づいて、不正アクセスを検知する方法が記載されている。
特開2013−191133号公報
しかし、プロキシサーバのアクセスログから得られる情報は限定的である。プロキシサーバを介して外部とのHTTP通信が可能なことから、マルウェアの中には、マルウェアに対して攻撃命令を出すC&C(Command and Control)サーバとの通信に、専用のプロトコルを用いずにHTTPプロトコルを用いるものも多い。
そのような通信では、プロキシサーバにおいて、アクセス時刻や、クライアント端末のIP(Internet Protocol)アドレス、接続先サーバ名などがアクセスログとして記録される。しかし、これらの情報だけからでは、アクセスログに記録されたアクセスがウェブブラウザなどの安全なプログラムによる適切なアクセスなのか、またはマルウェアによる不正アクセスなのかを判定することは困難である。
一般に、プロキシサーバにおけるアクセスログは、その大半がウェブブラウザによるものである。そうすると、特許文献1に記載されている方法のように、アクセスログに含まれた、量は多いものの限られた種類の情報に基づいて、ウェブブラウザによる適切な通信と、ウェブブラウザ以外のマルウェア等のソフトウェアによる不正アクセスの通信とを識別することは困難である。よって、不正アクセスを検知することは困難である。
そこで、本発明は、不正アクセスを検知することができるログ解析システム、解析装置、解析方法、および解析用プログラムが記憶された記憶媒体を提供することを目的とする。
本発明によるログ解析システムは、外部の通信機器と通信を行うクライアント端末と、クライアント端末の要求に応じて、外部の通信機器とクライアント端末との通信を中継する中継機器と、クライアント端末による通信内容を解析する解析装置とを備え、クライアント端末は、外部の通信機器との通信を司ったプログラムを示すプログラム情報を記録し、中継機器は、クライアント端末によってなされた、外部の通信機器との通信の要求をそれぞれ示す中継ログを記録し、解析装置は、プログラム情報と中継ログとを照合することを特徴とする。
本発明による解析装置は、外部の通信機器と通信を行うクライアント端末が記録した、外部の通信機器との通信を司ったプログラムを示すプログラム情報と、クライアント端末の要求に応じて、外部の通信機器とクライアント端末との通信を中継する中継機器が記録した、クライアント端末によってなされた、外部の通信機器との通信の要求をそれぞれ示す中継ログとを照合する照合手段を備えたことを特徴とする。
本発明による解析方法は、外部の通信機器と通信を行うクライアント端末が記録した、外部の通信機器との通信を司ったプログラムを示すプログラム情報と、クライアント端末の要求に応じて、外部の通信機器とクライアント端末との通信を中継する中継機器が記録した、クライアント端末によってなされた、外部の通信機器との通信の要求をそれぞれ示す中継ログとを照合することを特徴とする。
本発明による解析用プログラムが記憶された記憶媒体は、コンピュータに、外部の通信機器と通信を行うクライアント端末が記録した、外部の通信機器との通信を司ったプログラムを示すプログラム情報と、クライアント端末の要求に応じて、外部の通信機器とクライアント端末との通信を中継する中継機器が記録した、クライアント端末によってなされた、外部の通信機器との通信の要求をそれぞれ示す中継ログとを照合させることを特徴とする解析用プログラムが記憶されている。
本発明によれば、不正アクセスを検知することができる。
本発明の第1の実施形態の通信システムの構成例を示すブロック図である。 本発明の第1の実施形態における中継サーバの構成例を示すブロック図である。 中継ログ記憶部に記録される中継ログの例を示す説明図である。 本発明の第1の実施形態におけるクライアント端末の構成例を示すブロック図である。 端末ログ記憶部に記録される端末ログの例を示す説明図である。 本発明の第1の実施形態における解析装置の構成例を示すブロック図である。 照合結果記録部に記録された照合結果を示す照合結果情報の例を示す説明図である。 本発明の第1の実施形態の通信システムにおいて、中継サーバとクライアント端末とがログを記録するログ記録処理を示すシーケンス図である。 本発明の第1の実施形態の通信システムにおいて、解析装置が、記録されたログを取得して照合を行う照合処理を示すシーケンス図である。 本発明の第2の実施形態の通信システムの構成例を示すブロック図である。 本発明の第2の実施形態におけるクライアント端末の構成例を示すブロック図である。 ホワイトリスト記憶部に記録されているホワイトリストの例を示す説明図である。 更新処理が行われた場合の端末ログの例を示す説明図である。 図13に示す端末ログと、図3に示す中継ログとの照合結果を示す説明図である。 本発明の第3の実施形態のログ解析システムの構成例を示すブロック図である。 本発明の第4の実施形態の解析装置の構成例を示すブロック図である。
実施形態1.
本発明の第1の実施形態の通信システムについて、図面を参照して説明する。図1は、本発明の第1の実施形態の通信システムの構成例を示すブロック図である。図1に示すように、本発明の第1の実施形態の通信システムは、中継サーバ10、クライアント端末20、および解析装置30を含む。そして、中継サーバ10、クライアント端末20、および解析装置30は、通信回線や、LAN(Local Area Network)等の通信ネットワークを介して互いに接続されている。また、中継サーバ10は、インターネット等の通信ネットワークである外部ネットワーク40に接続されている。
クライアント端末20は、外部ネットワーク40に接続された通信端末(図示せず)と、中継サーバ10を介して通信を行う。
中継サーバ10は、クライアント端末20の要求に応じて、クライアント端末20と外部ネットワーク40に接続された通信端末(図示せず)との間の通信を中継する。
図2は、本発明の第1の実施形態における中継サーバ10の構成例を示すブロック図である。図2に示すように、本発明の第1の実施形態における中継サーバ10は、中継ログ記録部101と、中継ログ記憶部102とを含む。なお、中継サーバ10は、例えば、HTTP通信を中継するプロキシサーバであり、通信の中継機能を有する。
中継ログ記録部101は、クライアント端末20からの通信の中継の要求(中継要求)毎に、中継ログを生成し、生成した中継ログを中継ログ記憶部102に記録する。中継ログとは、クライアント端末20による通信の履歴を示す情報であり、少なくとも要求時刻情報、接続先サーバ情報、通信の中継に利用したクライアント端末20と中継サーバ10との接続を示す接続識別子を記録する。なお、要求時刻情報は、例えば、クライアント端末20から通信の中継(以下、単に中継ともいう)を要求された時刻を示す情報である。接続先サーバ情報は、例えば、クライアント端末20による通信の相手先を示す情報である。接続識別子は、例えば、TCP(Transmission Control Protocol)コネクションにおけるクライアント端末20のIPアドレスとポート番号との組である。また、複数の中継サーバ10が配置されている場合には、TCPコネクションにおける中継サーバ10のIPアドレスおよびポート番号も中継ログとして中継ログ記憶部102に記録してもよい。
中継ログ記憶部102には、中継ログ記録部101によって、中継要求毎に生成された中継ログが記録される。より具体的には、中継ログ記憶部102に記録されている中継ログは、中継ログ記録部101によって、中継要求毎に更新される。図3は、中継ログ記憶部102に記録される中継ログの例を示す説明図である。
図3に示すように、中継ログによって、中継を要求された時刻である要求時刻、クライアント端末20のIPアドレスとポート番号とからなる接続識別子、および接続先サーバが示される。具体的には、図3に示すように、中継ログによって、要求時刻「09:00:12」に、IPアドレスが「10.1.0.1」であるクライアント端末20が、「20010」番ポートを利用して中継サーバ10に接続し、FQDN(Fully Qualified Domain Name)が「malicious.example.com」で識別されるサーバの「80」番ポートとの通信を要求して、当該要求に応じた通信が行われたことが示されている。
次に、クライアント端末20について説明する。図4は、本発明の第1の実施形態におけるクライアント端末20の構成例を示すブロック図である。図4に示すように、本発明の第1の実施形態におけるクライアント端末20は、通信検知部201、プログラム特定部202、および端末ログ記憶部203を含む。なお、クライアント端末20は、前述したように、中継サーバ10に中継要求を行い、中継サーバ10を介して、外部ネットワーク40に接続されたサーバ端末と通信する機能を有する。
通信検知部201は、クライアント端末20と中継サーバ10との接続を検知する。具体的には、通信検知部201は、例えば、通信の開始および終了のいずれか、または両方を検知する。
プログラム特定部202は、通信検知部201が検知した接続について、その接続を司ったプログラムを特定する。さらに、プログラム特定部202は、クライアント端末20と中継サーバ10との接続毎に生成される接続に関する情報である端末ログを端末ログ記憶部203に記録する。端末ログ記憶部203には、端末ログが記録される。より具体的には、端末ログ記憶部203に記録されている端末ログは、プログラム特定部202によって、中継サーバ10との接続毎に更新される。
端末ログには、少なくとも接続時刻情報と、接続識別子と、接続を司るプログラムを示すプログラム情報とが含まれる。接続時刻情報は、中継サーバ10とクライアント端末20との間の接続(通信)の開始時刻、終了時刻、および開始時刻と終了時刻との組のいずれかを示す情報である。プログラム情報は、接続を司るプログラムの実行ファイルの名前、パスを示す情報、およびハッシュ値、またはそれらの組み合わせなど示す情報である。
図5は、端末ログ記憶部203に記録される端末ログの例を示す説明図である。図5に示すように、端末ログによって、接続時刻情報として接続開始時刻、クライアント端末20のIPアドレスとポート番号とからなる接続識別子、およびプログラム情報として実行ファイルのパスの情報が示される。具体的には、図5に示すように、端末ログによって、時刻「09:00:12」に、クライアント端末20においてパスが「/Temp/malware.exe」で特定されるプログラムが、IPアドレス「10.1.0.1」を利用し「20010」番ポートで、中継サーバ10との接続を開始したことを示される。
なお、端末ログと中継ログとを単にログと総称することがある。
次に、解析装置30について説明する。図6は、本発明の第1の実施形態における解析装置30の構成例を示すブロック図である。図6に示すように、本発明の第1の実施形態における解析装置30は、ログ取得部301、ログ照合部302、および照合結果記憶部303を含む。なお、解析装置30は、中継サーバ10の中継ログ記憶部102に記録されている中継ログと、クライアント端末20の端末ログ記憶部203に記録されている端末ログとを照合する。そして、解析装置30は、照合結果に基づいて、中継サーバ10が中継した通信において通信(接続)を司ったプログラムを推定する。
ログ取得部301は、中継サーバ10の中継ログ記憶部102に記録されている中継ログと、クライアント端末20の端末ログ記憶部203に記録されている端末ログとを取得する。
ログ照合部302は、ログ取得部301が取得した中継ログと端末ログとを照合する。具体的には、ログ照合部302は、中継ログに含まれている要求時刻情報および接続識別子と、端末ログに含まれている接続時刻情報および接続識別子とを照合する照合処理を行って、一連の通信による情報を互いに対応付ける。そして、ログ照合部302は、照合結果を示す照合結果情報を照合結果記憶部303に記録する。照合結果情報によって、少なくとも、時刻情報、接続識別子、プログラム情報、および接続先が示される。
照合結果記憶部303には、ログ照合部302における照合結果を示す照合結果情報が記録される。照合結果情報は、少なくとも、時刻情報、クライアント識別子、プログラム情報、および接続先を示す情報を含む。
図7は、照合結果記憶部303に記録された照合結果情報の例を示す説明図である。図7に示す例では、照合結果記憶部303に、時刻「09:00:12」に、クライアント端末20においてパスが「/Temp/malware.exe」で特定されるプログラムが、IPアドレス「10.1.0.1」を利用し「20010」番ポートで、中継サーバ10を介して「malicious.example.com」で識別されるサーバの「80」番ポートと通信したことを示す照合結果情報が記録されることが示されている。
次に、本発明の第1の実施形態の通信システムの動作について説明する。本発明の第1の実施形態の通信システムの動作で実行される処理は、中継サーバ10とクライアント端末20とがログを記録するログ記録処理と、解析装置30が、記録されたログを取得して照合を行う照合処理とを含む。
図8は、本発明の第1の実施形態の通信システムにおいて、中継サーバ10とクライアント端末20とがログを記録するログ記録処理を示すシーケンス図である。
図8に示すように、中継サーバ10は、クライアント端末20が外部ネットワーク40に接続された通信端末と通信を行う場合に、中継を行う(ステップS101)。そして、中継サーバ10の中継ログ記録部101は、クライアント端末20が外部ネットワーク40に接続された通信端末と行った通信に応じた中継ログを生成して、中継ログ記憶部102に記録する(ステップS102)。ステップS102の処理で、中継ログとして、少なくとも要求時刻情報および接続識別子が中継ログ記憶部102に記録される。
クライアント端末20において、通信検知部201が中継サーバ10との接続を検知すると(ステップS103)、プログラム特定部202が、通信を司ったプログラムを特定する(ステップS104)。そして、プログラム特定部202は、ステップS103の処理で通信検知部201が検知した接続の接続時刻情報、接続識別子、およびプログラム情報を含む端末ログを端末ログ記憶部203に記録する(ステップS105)。
クライアント端末20には、クライアント端末20にインストールされているOS(Operating System)が備えるクライアント型ファイアウォール機能を実装するためのAPI(Application Programming Interface)を利用して、通信検知部201の通信検知機能を実装できる。その理由は、クライアント型ファイアウォールは、通信毎にその可否を判断するため通信の開始を検知する必要があるためである。また、クライアント型ファイアウォール向けのAPIは、プログラム毎にルールを設定できるようにするために、検知した接続がどのプログラムによるものかを参照できるように構成されている。そのようなAPIを活用することで、クライアント端末20に、プログラム特定部202のプログラム特定機能を実装可能である。
図9は、本発明の第1の実施形態の通信システムにおいて、解析装置30が、記録されたログを取得して照合を行う照合処理を示すシーケンス図である。
まず、解析装置30のログ取得部301が、中継ログ記憶部102から中継ログを取得し(ステップS201)、端末ログ記憶部203から端末ログを取得する(ステップS202)。ログ取得部301は、ステップS201,202の処理で、全部のログを取得してもよいし、時刻の範囲などの条件を指定し、指定された条件に合致するログのみを取得してもよい。そして、ログ照合部302が、ログ取得部301がステップS201の処理で取得した中継ログとステップS202の処理で取得した端末ログとの照合処理を行う(ステップS203)。ログ照合部302は、ステップS203の処理における照合結果を照合結果記憶部303に記録する(ステップS204)。
ログ照合部302がステップS203の処理で行う中継ログと端末ログとの照合処理について説明する。まず、ログ照合部302は、中継ログにおける接続識別子と合致する接続識別子の端末ログの行を検索して抽出する。したがって、中継ログおよび端末ログについて、一連の通信に対応する行がそれぞれ1つずつ抽出されるはずである。しかし、中継ログにおける1つの行に対して端末ログの複数の行が抽出される可能性がある。例えば、クライアント端末20において、ポートが再利用された場合にそのような事象が生じる。そのような事象の発生を抑止するために、ログ照合部302は、抽出された1つ以上の端末ログの行について、時刻情報に基づいたフィルタリングを行う。
具体的には、ログ照合部302は、要求時刻情報と接続時刻情報とに基づいて、双方のログが一連の通信によるものである可能性が高いもののみを抽出する。なお、中継サーバ10に設定されている時刻とクライアント端末20に設定されている時刻との間に、差異がある可能性がある。そこで、ログ照合部302は、要求時刻情報によって示されている時刻と接続時刻情報によって示されている時刻とが一致するもののみを抽出するのではなく、要求時刻情報によって示されている時刻と接続時刻情報によって示されている時刻との差異が所定の閾値未満の行を抽出する。なお、ログ照合部302は、当該差異が最も小さい行を抽出するように構成されていてもよい。
一般に、一のポートが他のプログラムによって再利用されるまでには、ある程度の時間がかかる。よって、このように時刻情報に基づいてフィルタリングすることで、前述したような事象の発生を抑止することができる。すると、ログ照合部302は、1つの中継ログの行に対して、一連の通信によるものと推定される端末ログの行を1つ抽出することができる。
したがって、ログ照合部302は、中継ログから抽出した行と端末ログから抽出した行とを対応付けることができる。そうすると、中継ログから抽出した行における接続先と、端末ログから抽出した行におけるプログラムとが対応付けられ、マルウェアによる通信であるか否かと、当該通信による接続先とを特定することができる。そして、特定結果に基づいて、不正アクセスが行われたか否かを検知することができる。
本実施形態によれば、中継サーバ10が、要求時刻情報、接続識別子、および接続先サーバを含む中継ログを取得し、クライアント端末20が、接続時刻情報、接続プログラム情報を含む端末ログを取得する。そして、解析装置が、中継ログと端末ログとを照合することにより、接続先サーバと当該接続先サーバとの通信を司ったプログラムとの対応関係を把握することができる。
したがって、本実施形態によれば、クライアント端末20がHTTPヘッダを解析して接続先サーバを特定することなく、ウェブブラウザ以外のプログラムによるアクセスを検知することができる。よって、本実施形態によれば、マルウェア等による不正アクセスを検知することができる。
なお、HTTP通信では、1つのTCP接続を用いて、複数のHTTP要求を行うパーシステントコネクションが行われ得る。パーシステントコネクションが行われた場合に、中継ログ記憶部102に記録されている中継ログは中継要求毎に更新されるのに対して、端末ログ記憶部203に記録されている端末ログは、TCP接続毎に1回更新される。より具体的には、パーシステントコネクションが行われた場合に、中継ログ記憶部102に記録されている中継ログは中継要求毎に1行追加されるのに対して、端末ログ記憶部203に記録されている端末ログは、TCP接続毎に1行追加される。そうすると、中継ログにおける行と、端末ログにおける行とが1対1では対応しなくなってしまう。
また、パーシステントコネクションでは、接続時間が単一の要求(パーシステントコネクションでない接続)の処理時間よりも長くなる可能性がある。そして、TCP接続の開始時刻(例えば、接続時間情報が示す時刻)と、パーシステントコネクション内の最後の要求時刻(例えば、要求時刻情報が示す時刻)との間に大きな差異が生じる可能性がある。すると、本実施形態における処理のように開始時刻の時刻差のみに基づいてフィルタリングをした場合に、ログ照合部302による照合処理が適切に行われない可能性がある。
そのような事態を避けるためには、端末ログにおける接続時刻情報が、接続開始時刻と接続終了時刻との両方を示すように構成されればよい。つまり、中継ログにおける要求時刻情報が示す時刻が、接続時刻情報が示す接続開始時刻と接続終了時刻との間である場合に、ログ照合部302は、中継ログにおいて当該要求時刻情報を含む行と、端末ログにおいて当該接続時刻情報を含む行とを対応付ける照合処理を行う。ただし、前述したように中継サーバ10に設定されている時刻とクライアント端末20に設定されている時刻との差異は考慮されるとする。
そのような構成によれば、パーシステントコネクションが長時間維持される場合にも、ログ照合部302は、適切に照合処理を行うことができる。
実施形態2.
次に本発明の第2の実施形態の通信システムについて、図面を参照して説明する。図10は、本発明の第2の実施形態の通信システムの構成例を示すブロック図である。図10に示すように、本発明の第2の実施形態の通信システムは、クライアント端末20に代えてクライアント端末21を含む点で、第1の実施形態における構成と異なる。その他の構成は、図1に示す第1の実施形態における構成と同様なため、対応する各要素には図1と同じ符号を付して説明を省略する。
図11は、本発明の第2の実施形態におけるクライアント端末21の構成例を示すブロック図である。図11に示すように、本発明の第2の実施形態におけるクライアント端末21は、図4に示す本発明の第1の実施形態におけるクライアント端末20の構成に加えて、ホワイトリスト記憶部214を含む。また、図11に示すように、本発明の第2の実施形態におけるクライアント端末21は、図4に示す本発明の第1の実施形態におけるクライアント端末20におけるプログラム特定部202に代えて、プログラム特定部212を含む。本発明の第2の実施形態におけるクライアント端末21のその他の構成要素は、図4に示す本発明の第1の実施形態におけるクライアント端末20の構成と同様なため、対応する各要素には図4と同じ符号を付して説明を省略する。
ホワイトリスト記憶部214には、個々の端末ログを保持するか否かを決定するためのホワイトリストが記録されている。ホワイトリストとは、端末ログを端末ログ記憶部203に記録する必要がないプログラム情報のリストである。
図12は、ホワイトリスト記憶部214に記録されているホワイトリストの例を示す説明図である。図12に示す例では、「/Programs/browser.exe」がホワイトリストに登録されている。そして、プログラム特定部212は、例えば、特定した、通信検知部201が検知した接続を司ったプログラムが、「/Programs/browser.exe」と合致する場合に、当該プログラムの動作に応じた情報を端末ログに追加する更新処理を行わない。
なお、ホワイトリストには、例えば、ウェブブラウザや、安全性が高いと判断されたプログラムが登録されている。
プログラム特定部212において、端末ログを端末ログ記憶部203に記録する際の動作が、第1の実施形態におけるプログラム特定部202の動作と異なる。具体的には、プログラム特定部212は、端末ログを端末ログ記憶部203に記録するか否かを、ホワイトリスト記憶部214に記録されているホワイトリストを参照して決定する。より具体的には、プログラム特定部212は、端末ログ記憶部203に記録されている端末ログに、通信検知部201が検知した接続を司ったプログラムの動作に応じた情報を追加する更新処理を行うか否かを、ホワイトリスト記憶部214に記録されているホワイトリストに基づいて決定する。
すなわち、通信検知部201が検知した接続を司ったプログラムが、ホワイトリストに登録されているプログラムのいずれか1つと合致した場合に、そのプログラムによる動作に応じた情報を端末ログ記憶部203に記録されている端末ログに追加する更新処理を行わない。換言すれば、通信検知部201が検知した接続を司ったプログラムが、ホワイトリストに登録されているプログラムのいずれもと合致しなかった場合に、そのプログラムによる動作に応じた情報を端末ログ記憶部203に記録されている端末ログに追加する更新処理を行う。
図13は、そのような更新処理が行われた場合の端末ログの例を示す説明図である。図13に例示した端末ログでは、図5に示す端末ログにおける行のうち、プログラム情報が「/Programs/browser.exe」である行が除外されている。
したがって、通信検知部201が検知した接続を司ったプログラムの動作に応じた情報の一部がホワイトリストによって端末ログに記録されていない。すると、解析装置30における照合結果において、中継ログの行のうち、端末ログのどの行とも対応しない行が生じる。
図14は、図13に示す端末ログと、図3に示す中継ログとの照合結果を示す説明図である。図14に示す例では、端末ログにおいて、中継ログの3行目に対応する行と4行目に対応する行とが記録されていない。よって、解析装置30において、当該行に応じた接続を司ったプログラムを示すプログラム情報が取得されない。
そして、ログ照合部302は、照合処理で取得しなかったプログラム情報を空とした照合結果を示す照合結果情報を照合結果記憶部303に記録する。照合結果情報において、プログラム情報が空である行については、中継ログに更新登録の契機になったプログラムが特定されない。しかし、ホワイトリストに含まれるプログラムのうちいずれか1つであることは明らかである。そして、ホワイトリストに登録されているプログラムの安全性が高いのであれば、中継ログおよび照合結果情報における当該行に関する動作について、さらなる解析を行う必要性は低いと考えられる。また、ウェブブラウザによる通信に応じた情報は、クライアント端末21のウェブブラウザによって記憶手段(図示せず)に記録されている。よって、当該情報によって、ウェブブラウザによる通信であることを確認することが可能である。
本実施形態によれば、ホワイトリストに登録されている、ウェブブラウザや安全性の高いプログラムによる通信に応じた端末ログは記録されない。そのような構成により、ウェブブラウザを利用した通信が外部ネットワークへの通信の多くを占める環境であれば、端末ログ記憶部203に記録される端末ログのデータ量を大幅に削減することができる。同時に、解析装置30が取得する端末ログのデータ量も大幅に削減することができる。
本実施形態では、ホワイトリストは、端末ログに情報を更新登録するか否かを判断するために用いられているが、端末ログに登録された情報を解析装置30に送信するか否かを判断するために用いられるように構成されていてもよい。
そのように構成された場合には、クライアント端末21は、ホワイトリストに登録されている内容に関わらず、端末ログ記憶部203に記録されている端末ログに情報を更新登録する。そして、解析装置30のログ取得部301が、端末ログ記憶部203から端末ログを取得する際に、端末ログにおいて、ホワイトリストに登録されているプログラムの情報と合致しないプログラムについての行のみを取得するのか、または、端末ログの全てを取得するのかを、例えば、ユーザの操作によって選択できるように構成する。
そして、解析装置30のログ取得部301は、ホワイトリストに登録されているプログラムの情報と合致しないプログラムについての行のみを取得することが選択された場合に、端末ログ記憶部203に記録されている端末ログにおいて、ホワイトリストに登録されているプログラムの情報と合致しないプログラムについての行のみを取得する。
このように構成された場合には、クライアント端末21から解析装置30に送信される端末ログのデータ量を削減することができる。さらに、解析装置30は端末ログの全てを取得することもできるので、ホワイトリストに登録されているいずれかのプログラムによる通信を把握したい状況にも対応することが可能になる。
実施形態3.
次に、本発明の第3の実施形態のログ解析システムについて、図面を参照して説明する。図15は、本発明の第3の実施形態のログ解析システムの構成例を示すブロック図である。図15に示すように、本発明の第3の実施形態のログ解析システムは、クライアント端末200、中継機器100、および解析装置300を含む。
なお、クライアント端末200は、例えば、図1に示す本発明の第1の実施形態におけるクライアント端末20や、第2の実施形態におけるクライアント端末21に相当する。また、中継機器100は、例えば、図1に示す本発明の第1の実施形態における中継サーバ10に相当する。解析装置300は、例えば、図1に示す本発明の第1の実施形態における解析装置30に相当する。
クライアント端末200は、外部の通信機器と通信を行う。中継機器100は、クライアント端末200の要求に応じて、外部の通信機器とクライアント端末200との通信を中継する。解析装置300は、クライアント端末200による通信内容を解析する。
そして、クライアント端末200は、外部の通信機器との通信を司ったプログラムを示すプログラム情報を記録する。
中継機器100は、クライアント端末200によってなされた、外部の通信機器との通信の要求をそれぞれ示す中継ログを記録する。
また、解析装置300は、プログラム情報と中継ログとを照合する。
そのような構成によれば、不正アクセスを検知することができる。
実施形態4.
次に、本発明の第4の実施形態の解析装置について、図面を参照して説明する。図16は、本発明の第4の実施形態の解析装置310の構成例を示すブロック図である。
図16に示すように、本発明の第4の実施形態の解析装置310は、外部の通信機器と通信を行うクライアント端末が記録した、外部の通信機器との通信を司ったプログラムを示すプログラム情報と、クライアント端末の要求に応じて、外部の通信機器とクライアント端末との通信を中継する中継機器が記録した、クライアント端末によってなされた、外部の通信機器との通信の要求をそれぞれ示す中継ログとを照合する照合部31を含む。
なお、照合部31は、例えば、図1に示す本発明の第1の実施形態におけるログ照合部302に相当する。
そのような構成によれば、不正アクセスを検知することができる。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2015年3月3日に出願された日本出願特願2015−041454を基礎とする優先権を主張し、その開示の全てをここに取り込む。
10 中継サーバ
20、21、200 クライアント端末
30、300、310 解析装置
31 照合部
40 外部ネットワーク
100 中継機器
101 中継ログ記録部
102 中継ログ記憶部
201 通信検知部
202、212 プログラム特定部
203 端末ログ記憶部
214 ホワイトリスト記憶部
301 ログ取得部
302 ログ照合部
303 照合結果記憶部

Claims (8)

  1. 外部の通信機器と通信を行うクライアント端末と、
    前記クライアント端末の要求に応じて、前記外部の通信機器と前記クライアント端末との通信を中継する中継機器と、
    前記クライアント端末による通信内容を解析する解析装置とを備え、
    前記クライアント端末は、前記外部の通信機器との通信を司ったプログラムを示すプログラム情報を記録し、
    前記中継機器は、前記クライアント端末によってなされた、前記外部の通信機器との通信の要求をそれぞれ示す中継ログを記録し、
    前記解析装置は、前記プログラム情報と前記中継ログとを照合する
    ことを特徴とするログ解析システム。
  2. 前記解析装置は、
    前記プログラム情報と前記中継ログとを照合して、前記中継ログに記録されている要求に応じた通信を司ったプログラムを特定する
    請求項1に記載のログ解析システム。
  3. 前記クライアント端末は、前記プログラム情報と、前記外部の通信機器との通信における当該クライアント側のIPアドレスおよびポート番号を含む接続識別子とを含む接続ログを記録する
    請求項1または請求項2に記載のログ解析システム。
  4. 前記クライアント端末には、前記記録の対象外とするプログラムが登録されたリストが設定されている
    請求項1から請求項3のうちいずれかに記載のログ解析システム。
  5. 前記クライアント端末には、前記記録された内容のうち、前記解析装置による照合の対象外とするプログラムが登録されたリストが設定されている
    請求項1から請求項3のうちいずれかに記載のログ解析システム。
  6. 外部の通信機器と通信を行うクライアント端末が記録した、前記外部の通信機器との通信を司ったプログラムを示すプログラム情報と、前記クライアント端末の要求に応じて、前記外部の通信機器と前記クライアント端末との通信を中継する中継機器が記録した、前記クライアント端末によってなされた、前記外部の通信機器との通信の要求をそれぞれ示す中継ログとを照合する照合手段を備えた
    ことを特徴とする解析装置。
  7. 外部の通信機器と通信を行うクライアント端末が記録した、前記外部の通信機器との通信を司ったプログラムを示すプログラム情報と、前記クライアント端末の要求に応じて、前記外部の通信機器と前記クライアント端末との通信を中継する中継機器が記録した、前記クライアント端末によってなされた、前記外部の通信機器との通信の要求をそれぞれ示す中継ログとを照合する
    ことを特徴とする解析方法。
  8. コンピュータに、
    外部の通信機器と通信を行うクライアント端末が記録した、前記外部の通信機器との通信を司ったプログラムを示すプログラム情報と、前記クライアント端末の要求に応じて、前記外部の通信機器と前記クライアント端末との通信を中継する中継機器が記録した、前記クライアント端末によってなされた、前記外部の通信機器との通信の要求をそれぞれ示す中継ログとを照合させる
    ための解析用プログラム。
JP2020073401A 2015-03-03 2020-04-16 ログ解析システム、解析装置、方法、および解析用プログラム Active JP6943313B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015041454 2015-03-03
JP2015041454 2015-03-03
JP2017503345A JP6693505B2 (ja) 2015-03-03 2016-03-01 ログ解析システム、解析装置、解析方法、および解析用プログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2017503345A Division JP6693505B2 (ja) 2015-03-03 2016-03-01 ログ解析システム、解析装置、解析方法、および解析用プログラム

Publications (2)

Publication Number Publication Date
JP2020119596A true JP2020119596A (ja) 2020-08-06
JP6943313B2 JP6943313B2 (ja) 2021-09-29

Family

ID=56849237

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2017503345A Active JP6693505B2 (ja) 2015-03-03 2016-03-01 ログ解析システム、解析装置、解析方法、および解析用プログラム
JP2020073401A Active JP6943313B2 (ja) 2015-03-03 2020-04-16 ログ解析システム、解析装置、方法、および解析用プログラム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2017503345A Active JP6693505B2 (ja) 2015-03-03 2016-03-01 ログ解析システム、解析装置、解析方法、および解析用プログラム

Country Status (3)

Country Link
US (1) US11032299B2 (ja)
JP (2) JP6693505B2 (ja)
WO (1) WO2016139932A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789831B (zh) * 2015-11-19 2020-10-23 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
JP7156869B2 (ja) * 2018-09-03 2022-10-19 パナソニックホールディングス株式会社 ログ出力装置、ログ出力方法およびログ出力システム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009100359A (ja) * 2007-10-18 2009-05-07 Yamaha Corp 通信システム、中継装置及びプログラム
US20120005743A1 (en) * 2010-06-30 2012-01-05 Mitsubishi Electric Corporation Internal network management system, internal network management method, and program
JP2013081146A (ja) * 2011-10-05 2013-05-02 Mitsubishi Electric Corp アドレス抽出装置

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3497338B2 (ja) * 1997-01-08 2004-02-16 株式会社日立製作所 分散ログ一括管理機能付きネットワークシステム
JPH10224349A (ja) 1997-02-03 1998-08-21 Hitachi Ltd ネットワークアクセス分析システム
US7120927B1 (en) * 1999-06-09 2006-10-10 Siemens Communications, Inc. System and method for e-mail alias registration
US20020143956A1 (en) * 2001-04-03 2002-10-03 Murata Kikai Kabushiki Kaisha Relay server
WO2002098075A1 (fr) * 2001-05-25 2002-12-05 Mitsubishi Denki Kabushiki Kaisha Systeme de communication par internet, procede de communication par internet, serveur de commande de session, adaptateur de communication, serveur de relais de communication et programme
US6687733B2 (en) * 2001-06-01 2004-02-03 Intergenix Method and system for automatically configuring a client-server network
JP4238213B2 (ja) * 2002-07-29 2009-03-18 アイピートーク株式会社 インターネット通信システム及びインターネット通信方法及びセッション管理サーバ及び無線通信装置及びプログラム
JP4107673B2 (ja) * 2005-02-10 2008-06-25 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信中継システム、制御方法、プログラム、及び情報処理システム
US7701956B2 (en) * 2005-02-28 2010-04-20 Arris Group, Inc. Method and system for using a transfer agent for translating a configuration file
US20070002829A1 (en) * 2005-06-17 2007-01-04 Su-Yuan Chang Internet protocol voice logger
JP4484803B2 (ja) * 2005-10-05 2010-06-16 アラクサラネットワークス株式会社 ネットワーク運用管理システム
JP4984531B2 (ja) * 2006-01-06 2012-07-25 富士通株式会社 サーバ監視プログラム、中継装置、サーバ監視方法
JP4827652B2 (ja) * 2006-08-10 2011-11-30 富士通株式会社 中継装置、中継方法および中継プログラム
JP4931553B2 (ja) * 2006-10-31 2012-05-16 富士通株式会社 ネットワーク間接続装置
US8079030B1 (en) 2007-03-13 2011-12-13 Symantec Corporation Detecting stealth network communications
JP2009048251A (ja) * 2007-08-14 2009-03-05 Japan Lucida Co Ltd 機器データ管理システム
CN102422601B (zh) * 2009-05-15 2014-07-09 村田机械株式会社 中继通信系统及第一中继服务器
GB2504648B (en) * 2009-08-20 2015-06-10 Murata Machinery Ltd Relay communication system and access management apparatus
JP5708168B2 (ja) * 2010-06-16 2015-04-30 株式会社リコー 伝送端末、伝送システム、伝送方法、及び伝送端末用プログラム
EP2642701B1 (en) * 2010-11-18 2020-12-02 Murata Machinery, Ltd. Relay server and relay communication system
JP5741150B2 (ja) * 2011-04-04 2015-07-01 富士通株式会社 中継装置、中継プログラム、及び中継方法
JP5383742B2 (ja) * 2011-05-10 2014-01-08 アラクサラネットワークス株式会社 中継装置およびネットワークシステム
JP5811334B2 (ja) * 2011-09-01 2015-11-11 株式会社リコー 伝送管理システム、伝送管理方法、プログラム、及び伝送システム
JP5720524B2 (ja) * 2011-10-12 2015-05-20 富士通株式会社 中継のためのプログラム、中継装置及び制御方法
KR101252787B1 (ko) * 2011-12-06 2013-04-09 이청종 다수의 중계 서버를 갖는 보안관리 시스템 및 보안관리 방법
JP5791548B2 (ja) 2012-03-15 2015-10-07 三菱電機株式会社 アドレス抽出装置
JP5811995B2 (ja) * 2012-12-10 2015-11-11 日立金属株式会社 通信システムおよびネットワーク中継装置
US20140298415A1 (en) * 2013-03-28 2014-10-02 Research In Motion Limited Method and system for providing connectivity for an ssl/tls server behind a restrictive firewall or nat
US10743223B2 (en) * 2013-06-10 2020-08-11 Nec Corporation Method of handover control, relay apparatus, and method for selecting target cell in radio communication system
JP6349788B2 (ja) * 2014-03-05 2018-07-04 富士通株式会社 スイッチ装置、ネットワークシステム、およびスイッチ装置の制御方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009100359A (ja) * 2007-10-18 2009-05-07 Yamaha Corp 通信システム、中継装置及びプログラム
US20120005743A1 (en) * 2010-06-30 2012-01-05 Mitsubishi Electric Corporation Internal network management system, internal network management method, and program
JP2012015684A (ja) * 2010-06-30 2012-01-19 Mitsubishi Electric Corp 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
JP2013081146A (ja) * 2011-10-05 2013-05-02 Mitsubishi Electric Corp アドレス抽出装置

Also Published As

Publication number Publication date
US20180041531A1 (en) 2018-02-08
JP6693505B2 (ja) 2020-05-13
US11032299B2 (en) 2021-06-08
WO2016139932A1 (ja) 2016-09-09
JP6943313B2 (ja) 2021-09-29
JPWO2016139932A1 (ja) 2017-12-14

Similar Documents

Publication Publication Date Title
CN109889547B (zh) 一种异常网络设备的检测方法及装置
US7774637B1 (en) Meta-instrumentation for security analysis
KR102309116B1 (ko) 데이터 플로우 기반 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US9521163B2 (en) Communication device and communication control method in communication device
JPWO2016006520A1 (ja) 検知装置、検知方法及び検知プログラム
JP2020017809A (ja) 通信装置及び通信システム
US11558404B2 (en) On-board communication system, switching device, verification method, and verification program
US9444830B2 (en) Web server/web application server security management apparatus and method
JP6050162B2 (ja) 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム
KR102379720B1 (ko) 가상화 단말에서 데이터 플로우를 제어하기 위한 시스템 및 그에 관한 방법
JP6943313B2 (ja) ログ解析システム、解析装置、方法、および解析用プログラム
JP2008060766A (ja) ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法
US20180351913A1 (en) Detection system, web application device, web application firewall device, detection method for detection system, detection method for web application device, and detection method for web application firewall device
JP6092759B2 (ja) 通信制御装置、通信制御方法、および通信制御プログラム
JP5898024B2 (ja) マルウェア検出装置および方法
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP2017117224A (ja) ネットワークセキュリティ装置、セキュリティシステム、ネットワークセキュリティ方法、及びプログラム
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
WO2019207764A1 (ja) 抽出装置、抽出方法および記録媒体、並びに、検知装置
CN105391720A (zh) 用户终端登录方法及装置
US20210021618A1 (en) Data communication control device, non-volatile memory, and vehicle control system
US10250625B2 (en) Information processing device, communication history analysis method, and medium
JP7206980B2 (ja) 通信制御装置、通信制御方法及び通信制御プログラム
JP2006018766A (ja) ネットワーク接続管理システム
KR20110027907A (ko) 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200514

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210721

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210810

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210823

R150 Certificate of patent or registration of utility model

Ref document number: 6943313

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150