JP2021057717A - セキュリティ監視装置及びセキュリティ監視方法 - Google Patents
セキュリティ監視装置及びセキュリティ監視方法 Download PDFInfo
- Publication number
- JP2021057717A JP2021057717A JP2019178223A JP2019178223A JP2021057717A JP 2021057717 A JP2021057717 A JP 2021057717A JP 2019178223 A JP2019178223 A JP 2019178223A JP 2019178223 A JP2019178223 A JP 2019178223A JP 2021057717 A JP2021057717 A JP 2021057717A
- Authority
- JP
- Japan
- Prior art keywords
- data
- check
- transmission
- security
- connection unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
広域ネットワークへの接続を可能にする第1の接続部と、
端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加された前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と
を備えることを特徴とするセキュリティ監視装置。
図1は、この発明によるセキュリティ監視装置、セキュリティ監視方法の一実施の形態が適用されたUTM装置が用いられて構成されたセキュリティ監視システムの構成例を説明するための図である。図1に示した例の場合には、説明を簡単にするため、ネットワーク4に対して、拠点Aに設置されたUTM装置1Aと、拠点Bに設置されたUTM装置1Bとが接続されている場合を示している。すなわち、UTM装置1AとUTM装置1Bとは、例えば、同じ会社の本社と支社、あるいは、自社と取引先といった離れた場所ごとであって、データの送受信を行う拠点Aと拠点Bとに設けられたものである。
図2は、UTM装置1の構成例を説明するためのブロック図である。UTM装置1は、ネットワーク4への接続端101Tと通信I/F(interface)101と制御部102を備える。通信I/F101は、ネットワーク4を通じて送信されてきたデータを自機において処理可能な形式のデータに変換して取り込み、制御部102に供給する処理を行う。また、通信I/F101は、制御部102からのデータを送信する形式のデータに変換し、ネットワーク4を通じて目的とする相手先に送信する処理を行う。ネットワーク4に接続された通信装置との通信は、接続端101T及び通信I/F101とを通じて行うことになる。
この実施の形態のセキュリティ監視システムにおいては、図1を用いて説明したように、主にインターネットであるネットワーク4を通じてデータが送信される。従って、データはTCP/IPパケットとして送受される。このため、TCP/IPパケットのヘッダ部の空き領域に、所定のチェック済み情報を付加する。なお、TCPは「Transmission Control Protocol」の略称であり、IPは「Internet Protocol」の略称である。図3は、TCP/IPパケットのヘッダ部分の構成を説明するための図である。図3に示すように、TCP/IPパケットは、0バイト目〜23バイト目までの24バイトがヘッダ部であり、24バイト目以降がペイロード部(データ本体部)になっている。
上述した構成を有する実施の形態のUTM装置1で行われる処理について、フローチャートを参照しながらまとめる。上述したように、UTM装置1では、P2P対策部121、HPアクセス制御部122、ウィルス対策部123、メール対策部124、IPS/IDS部125、ファイアウォール部126が機能して、種々のセキュリティのための処理が行われる。これらの各部によって行われる処理の他に、UTM装置1では、自機からデータを送信する場合には、送信データに対してセキュリティチェックを行い、また、自機がデータを受信した場合には、受信データに対してセキュリティチェックを行う構成を備える。しかし、この実施の形態のUTM装置1では、上述したように、送信側と受信側とで二重にセキュリティチェックを行わないようにしている点で特徴を有している。以下、UTM装置1に行われる処理を、送信時と受信時とに分けて説明する。
図4は、UTM装置1で行われるデータの送信時の処理を説明するためのフローチャートである。LANI/F106及びLAN接続端106Tを通じて接続された配下のPC2(1)、…等からの送信データ(パケットデータ)は、制御部102の制御の下、送信データチェック部127に供給される。送信データチェック部127は、これに供給された送信データについて、ウィルスチェックやその他の必要なチェックを行う(ステップS101)。ステップS101のセキュリティチェックにより、ウィルスなどの送信先に影響を与える不都合が確認された送信データについては、送信しないようにされる。
図5は、UTM装置1で行われるデータの受信時の処理を説明するためのフローチャートである。ネットワーク4への接続端101T及び通信I/F101を通じて受信した自機の配下のPC2(1)、…等への受信データは、制御部102の制御の下、まず、暗号解読部105に供給され、ここで暗号化の解読処理やカプセル化の解除処理がされる(ステップS201)。ステップS201で暗号解読等の処理がされた受信データは、制御部102の制御の下、チェック済み情報識別部132に供給される。
上述した実施の形態のUTM装置によれば、送信データにセキュリティチェックを行った場合には、当該送データに対して所定のチェック済み情報を付加することができる。また、受信時には、受信データ(受信した送信データ)に所定のチェック済み情報が付加されているか否かを認識し、付加されていることが認識できた場合には、受信データに対するセキュリティチェックを省略することができる。すなわち、送受信されるデータに変更を伴わない静的な対応ではなく、送受されるデータにチェック済み情報を付加して、セキュリティチェックの必要性を識別する動的な対応を取る構成になっている。
なお、上述した実施の形態においては、UTM装置1AとUTM装置1Bとの間では、VPN技術を用いての送受信を行うものとして説明した。しかし、これに限るものではない。VPN技術を用いることなくデータの送受信を行う場合にもこの発明を適用できる。VPN技術を用いない場合には、送受するデータのカプセル化や暗号化の必要ない。このため、送信側においては、図4に示したステップS104の処理を省略できる。また、受信側においては、ステップS201の処理を省略できる。このように暗号化等及び暗号解読等の処理が行われない場合でも、送受されるデータにはチェックサム等の信頼性を確保するための対応はとられているので、暗号化等をせずにデータの送受を行う場合にも、この発明は有効である。
上述した実施の形態の説明からも分かるように、請求項の第1の接続部の機能は、ネットワーク4への接続端101T及び通信I/F101が実現し、第2の接続部の機能はLANI/F106及びLAN接続端106Tが実現する。また、請求項の送信時チェック手段の機能は、送信データチェック部127が実現し、請求項の付加手段の機能は、チェック済み情報付加部131が実現している。また、請求項の送信処理手段は、制御部102と通信I/F101が協働して実現している。
Claims (6)
- 広域ネットワークへの接続を可能にする第1の接続部と、
端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加された前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と
を備えることを特徴とするセキュリティ監視装置。 - 請求項1に記載のセキュリティ監視装置であって、
前記第2に接続部を通じて接続された前記端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理手段と、
前記受信処理手段を通じて受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別手段と、
前記識別手段により前記チェック済み情報が付加されていると識別された場合に、前記受信データに対してセキュリティチェックを行わないように制御する受信時チェック制御手段と
を備えることを特徴とするセキュリティ監視装置。 - 広域ネットワークへの接続を可能にする第1の接続部と、
端末装置の自機への接続を可能にする第2の接続部と、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック手段と、
前記送信時チェック手段によりセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加手段と
前記付加手段で前記チェック済み情報が付加された前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理手段と、
前記第2に接続部を通じて接続された前記端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理手段と、
前記受信処理手段を通じて受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別手段と、
前記識別手段により前記チェック済み情報が付加されていると識別された場合に、前記受信データに対してセキュリティチェックを行わないように制御する受信時チェック制御手段と
を備えることを特徴とするセキュリティ監視装置。 - 広域ネットワークへの接続を可能にする第1の接続部と、端末装置の自機への接続を可能にする第2の接続部とを備えるセキュリティ監視装置で用いられるセキュリティ監視方法であって、
送信時チェック手段が、前記第2の接続部を通じて接続された端末装置からの要求に応じて、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック工程と、
付加手段が、前記送信時チェックにおいてセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加工程と
送信処理手段が、前記付加工程において前記チェック済み情報を付加した前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理工程と
を有することを特徴とするセキュリティ監視方法。 - 請求項4に記載のセキュリティ監視方法であって、
受信処理手段が、前記第2に接続部を通じて接続された前記端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理工程と、
識別手段が、前記受信処理工程において受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別工程と、
前記識別工程において前記チェック済み情報が付加されていないと識別された場合に、受信時チェック手段が前記受信データに対してセキュリティチェックを行う受信時チェック工程と
を有することを特徴とするセキュリティ監視方法。 - 広域ネットワークへの接続を可能にする第1の接続部と、端末装置の自機への接続を可能にする第2の接続部とを備えるセキュリティ監視装置で用いられるセキュリティ監視方法であって、
前記第2の接続部を通じて接続された端末装置からの要求に応じて、送信時チェック手段が、前記広域ネットワークを通じて送信する送信データに対してセキュリティチェックを行う送信時チェック工程と、
付加手段が、前記送信時チェック工程においてセキュリティチェックがされた前記送信データに対して、所定のチェック済み情報を付加する付加工程と
送信処理手段が、前記付加工程において前記チェック済み情報が付加された前記送信データを、前記第1の接続部を通じて前記広域ネットワークに送出し、相手先に送信するようにする送信処理工程と、
受信処理手段が、前記第2に接続部を通じて接続された前記端末装置宛ての送信データを、前記第1の接続部を通じて受信するようにする受信処理工程と、
識別手段が、前記受信処理工程を通じて受信した受信データに、所定の前記チェック済み情報が付加されているか否かを識別する識別工程と、
前記識別工程において前記チェック済み情報が付加されていると識別された場合に、受信時チェック制御手段が、前記受信データに対してセキュリティチェックを行わないように制御する受信時チェック制御工程と
を有することを特徴とするセキュリティ監視方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019178223A JP7360087B2 (ja) | 2019-09-30 | 2019-09-30 | セキュリティ監視装置及びセキュリティ監視方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019178223A JP7360087B2 (ja) | 2019-09-30 | 2019-09-30 | セキュリティ監視装置及びセキュリティ監視方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021057717A true JP2021057717A (ja) | 2021-04-08 |
JP7360087B2 JP7360087B2 (ja) | 2023-10-12 |
Family
ID=75271203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019178223A Active JP7360087B2 (ja) | 2019-09-30 | 2019-09-30 | セキュリティ監視装置及びセキュリティ監視方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7360087B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2023519483A (ja) * | 2020-02-26 | 2023-05-11 | シスコ テクノロジー,インコーポレイテッド | Sdwanアーキテクチャのサービスプレーンでの動的ファイアウォール発見 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002158699A (ja) | 2000-11-20 | 2002-05-31 | Nippon Telegr & Teleph Corp <Ntt> | DoS攻撃防止方法および装置およびシステムおよび記録媒体 |
EP2058748A1 (en) | 2006-08-31 | 2009-05-13 | Fujitsu Limited | Network connected terminal device authenticating method, network connected terminal device authenticating program and network connected terminal device authenticating apparatus |
JP4615504B2 (ja) | 2006-11-29 | 2011-01-19 | アラクサラネットワークス株式会社 | ネットワーク中継システム、および、ネットワーク中継システムにおける方法 |
-
2019
- 2019-09-30 JP JP2019178223A patent/JP7360087B2/ja active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2023519483A (ja) * | 2020-02-26 | 2023-05-11 | シスコ テクノロジー,インコーポレイテッド | Sdwanアーキテクチャのサービスプレーンでの動的ファイアウォール発見 |
Also Published As
Publication number | Publication date |
---|---|
JP7360087B2 (ja) | 2023-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9882876B2 (en) | System and method for redirected firewall discovery in a network environment | |
US9306976B2 (en) | Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer | |
US8041816B2 (en) | TCP/IP-based communication system and associated methodology providing an enhanced transport layer protocol | |
US9866528B2 (en) | System and method for interlocking a host and a gateway | |
EP1547337B1 (en) | Watermarking at the packet level | |
US8800024B2 (en) | System and method for host-initiated firewall discovery in a network environment | |
US8136162B2 (en) | Intelligent network interface controller | |
KR101201187B1 (ko) | 통합된 호스트 프로토콜 관리를 이용한 보안 인터넷 프로토콜 (ipsec) 오프로드를 위한 방법 및 시스템 | |
KR101026558B1 (ko) | 네트워크 방화벽을 구현하기 위한 다층 기반 방법 | |
JP2010508760A (ja) | 1つまたは複数のパケット・ネットワーク内で悪意のある攻撃中に制御メッセージを送達する方法および装置 | |
JP2005117246A (ja) | パケット判定装置 | |
US7634655B2 (en) | Efficient hash table protection for data transport protocols | |
JP7360087B2 (ja) | セキュリティ監視装置及びセキュリティ監視方法 | |
Hindocha | Threats to instant messaging | |
JP2023032671A (ja) | セキュリティ管理装置 | |
CN116015692A (zh) | 一种网络准入控制方法、装置、终端及存储介质 | |
TW200841672A (en) | Relaying apparatus | |
JP2007019633A (ja) | 中継コネクタ装置及び半導体回路装置 | |
JP2008060817A (ja) | 通信システム、ウェブサーバ装置、クライアント装置、通信を行うための通信プログラム及びプログラムを記録した記録媒体 | |
JP2007019632A (ja) | 通信ボード装置及び通信方法 | |
JP2007295273A (ja) | メールサーバ装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220603 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230313 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230426 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230606 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230719 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230721 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230830 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230912 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7360087 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |