JP3618681B2 - ネットワークセキュリティに関する被害評価システムおよびその方法 - Google Patents
ネットワークセキュリティに関する被害評価システムおよびその方法 Download PDFInfo
- Publication number
- JP3618681B2 JP3618681B2 JP2001134710A JP2001134710A JP3618681B2 JP 3618681 B2 JP3618681 B2 JP 3618681B2 JP 2001134710 A JP2001134710 A JP 2001134710A JP 2001134710 A JP2001134710 A JP 2001134710A JP 3618681 B2 JP3618681 B2 JP 3618681B2
- Authority
- JP
- Japan
- Prior art keywords
- network
- damage
- information
- network service
- assumed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Description
【0001】
【発明の属する技術分野】
本発明は、イントラネット等のネットワーク上にセキュリティに起因する障害が発生した場合、迅速にその障害を把握してその対応を支援することのできる、ネットワークセキュリティに関する被害評価システムおよびその方法に関する。
【0002】
【従来の技術】
インターネットを活用した企業間取引や顧客へのサービス提供は、戦略的なビジネス展開を模索する企業にとっては最重要課題になっている。しかしながらインターネットの通信環境は、ハッカーによる不正侵入やウイルス感染といった様々な脅威にさらされている。
ところで、ファイヤウォールは、企業内ネットワークとインターネットの中間に接続し、インターネットからの不正なアクセスを遮断するセンサとして機能する。ファイヤウォールを設置したネットワークシステムでは、内部から外部へのゲートウェイ的なアクセスを可能にし、インターネットの各種サービスを安全に利用できるようになる。但し、ハッカーによる不正侵入では、ファイヤウォール本体のセキュリティホールを突いた攻撃やポートスキャンによる攻撃、アクセスを妨害する使用不能攻撃等、さまざまな攻撃を受ける危険性がある。
【0003】
【発明が解決しようとする課題】
上記したネットワークシステムにおいて、不正侵入や攻撃を受けて、ある一部分のサービスが停止した場合、その影響が及ぶハードウェアおよびソフトウェアの範囲を迅速に特定することは比較的困難である。また、関連して業務に対してもどの程度の被害を及ぼすかについての把握も困難であった。現状、これら全ての関係を記述し、把握できる仕組みは存在しない。
上記したように、現状、不正侵入や攻撃による被害評価に関し、被害額等の数値を用いて客観的に明示することは困難であり、特に、ハードウェアから業務レベルに至る広い範囲に渡る客観的な評価をできなかった。また、不正侵入や攻撃によって複数のサービス停止が発生した場合、複数のうちいずれの被害が大きいか、あるいは復旧はどちらを優先すべきか等についての評価を迅速に行なうことができず、従って、対応方針の意思決定および復旧の作業に手間と時間がかかり、被害を拡大させているのが現状であった。
【0004】
本発明は上記事情に鑑みてなされたものであり、ハードウェアから業務レベルに至る各ネットワーク要素の関連性に関し、全ての業務にわたってデータベースを構築し、不正侵入や攻撃により停止したあるネットワーク要素を起点にデータベース検索により被害関連範囲における被害評価を行なうことで、広い範囲に渡って迅速かつ客観的な評価を実現した、ネットワークセキュリティに関する被害評価システムおよびその方法を提供することを目的とする。
【0005】
【課題を解決するための手段】
上記した課題を解決するために本発明は、ネットワーク要素の物理的な情報と論理的な情報と前記ネットワーク要素間の関連性とを記述したネットワークサービス管理情報データベースと、前記ネットワークに対する不正侵入や攻撃を受けて停止した前記あるネットワーク要素について前記ネットワークサービス管理情報データベースを検索し、前記ネットワーク要素にリンクのある他のネットワーク要素の情報を取得することにより被害が及ぶ関連範囲を特定し、前記関連範囲におけるネットワーク要素毎あらかしめ定義された被害数値を累算する被害評価装置とを備えたことを特徴とする。
【0006】
また、本発明において、ネットワークスキャンおよびパケット監視により、ネットワーク機器およびそのネットワーク機器上におけるネットワークサービスを特定し、その依存関係を自動収集するネットワークサービス情報収集装置と、前記自動収集されたネットワークサービス情報、およびその関連情報を手動で補間して前記ネットワークサービス管理情報データベースに入力するネットワークサービス情報入力支援装置とを備えたことを特徴とする。
【0007】
また、本発明において、前記ネットワークサービス情報収集装置は、ネットワークスキャンとパケット監視により関係情報を取得し、前記ネットワークサービス毎に定義されたポート番号、プロトコル、パケットの構造に基づき作成される解析ルールに従い、前記ネットワークサービスの依存関係を収集することを特徴とする。
【0008】
また、本発明において、前記被害評価装置は、前記被害が及ぶ関連範囲を、前記関連範囲における各ネットワーク要素をノードとしたネットワーク要素間の関係ルールを記述した被害グラフの形態で生成及び出力し、前記被害グラフに示される関係ルールに基づいて、前記各ノードに定義された想定被害数値を累積演算することを特徴とする。
【0010】
上記構成において、監視対象ネットワークに対する不正侵入や攻撃をセンサにより感知し、前記不正侵入や攻撃により停止したあるネットワーク要素について、ネットワーク要素の物理的な情報と論理的な情報と前記ネットワーク要素間の関係性の情報が定義されたネットワークサービス管理情報データベースを検索することにより、被害が及ぶ関連範囲における被害評価を行なう。評価にあたり、被害が及ぶ関連範囲を関連範囲における各ネットワーク要素をノードとしたネットワーク要素間の関係ルールを記述した被害グラフの形態で生成及び出力し、この被害グラフに示される関係ルールに基づいて、あらかじめ定義された想定被害数値を累積演算する。
このことにより、ネットワーク機器およびサービスの重要度につき定量的に示すことができ、業務の広い範囲に渡って迅速かつ客観的な評価を実現することができる。また、被害グラフにより要素間の関連性を視覚的に捉えることができ、ネットワークの弱点等が明らかになり、システムの多重化等の対策を重点的な投資が可能になる。また、シミュレーションにより仮想的に被害評価を行なうことも可能である。
【0011】
上記した課題を解決するために本発明は、センサを備えた監視対象ネットワークのネットワークセキュリティに関する被害評価システムに用いられる被害評価方法であって、前記監視対象ネットワークに対する不正侵入や攻撃を前記センサにより感知し、前記不正侵入や攻撃により停止したあるネットワーク要素について、ネットワーク要素の物理的な情報と論理的な情報と前記ネットワーク要素間の関連性とを記述したネットワークサービス管理情報データベースを検索し、前記ネットワーク要素にリンクのある他のネットワーク要素の情報を取得することにより被害が及ぶ関連範囲を特定し、前記関連範囲におけるネットワーク要素毎にあらかじめ定義された想定被害数値を累積演算することを特徴とする。
【0012】
また、本発明において、前記ネットワークサービス管理情報データベースに定義される関係情報の記述フォーマットは、少なくとも、前記ネットワーク要素をオブジェクトとするオブジェク名、オブジェクトの情報、関係オブジェクト、オブジェクト間の関係ルール、想定被害数値とすることを特徴とする。
【0013】
【発明の実施の形態】
図1は本発明におけるネットワークセキュリティに関する被害評価システムが接続されるネットワークシステムの全体構成を示す図である。
図1において、符号1は被害評価システムであって、監視対象ネットワーク2(イントラネット)に接続される。監視対象ネットワーク2は、各種サービス提供サーバ群21、社員用等の端末群22の他にファイヤウォールやIDS(ネットワーク侵入検知装置)等のセンサ系23を備えている。
【0014】
被害評価システム1は、ネットワークサービス管理情報データベース(以下、「NSA−DB」と称す)11、ネットワークサービス情報自動収集装置12、ネットワークサービス情報入力支援装置13、被害評価装置14で構成される。NSA−DB11は、ハードウェアから業務レベルに至る全業務に関する各ネットワーク要素の関連性を統一したフォーマットに基づき電子的に記述したデータヘースであり、例えば図5に示すリスト形式で記述される。詳細は後述する。ネットワークサービス情報自動収集装置12は、ネットワークスキャンおよびパケット監視によりネットワーク機器およびそのネットワーク機器上におけるネットワークサービスを特定し、その依存関係を自動収集する機能を持つ装置であり、また、ネットワークサービス情報入力支援装置13は、ネットワークサービス情報自動収集装置12により自動収集されたネットワークサービス情報、およびその関連情報を手動で補間してNSA−DB11に入力する機能を持つ装置である。
【0015】
被害評価装置14は、ネットワークに対する不正侵入や攻撃を受けて停止したあるネットワーク要素を起点にNSA−DB11を検索することにより被害が及ぶ関連範囲を特定し、関連範囲におけるネットワーク要素毎あらかじめ定義された想定被害数値を累積演算する機能を持つ装置である。被害評価装置14は、被害数値の他に、被害者、被害端末等から成る被害リストまたは被害グラフを出力する。
【0016】
図2は、図1に示す本発明実施形態の一連の概略動作をフローチャートで示した図である。
本発明は、イントラネットと人間による業務が密接に関連しているような業務運営形態において、ネットワーク上にセキュリティに起因する障害が発生した場合、決定権者がより迅速に被害を把握し、対応指示を行なうように支援することができる被害評価システムである。図2に示すフローチャートを参照しながら図1に示す本発明実施形態の概略動作の流れおよび操作手順について説明する。
【0017】
まず、被害評価のためにNSA−DB11を構築する(ステップS20)。NSA−DB11の構築にあたり、最初にネットワークサービス情報を自動収集する。具体的に、ネットワークサービス情報自動収集装置12は、監視ネットワーク2のネットワークスキャンにより、監視対象ネットワーク2上の機器および提供サービスの情報を取得する。ここでいう監視対象ネットワーク2上の機器および提供サービスの情報には、ネットワークの構成情報のような物理的な情報とサーバとクライアントの関係のような論理的な情報の2種類に分けられる。
物理的な情報としては、製品名、CPU(中央処理装置)、HD(ハードディスク装置)、メモリ、IPアドレス、OS、インストールされているソフトウェアの情報他から成る各ハードウェア情報、名前、ID、性別、所属、使用ハードウェア他からなる個人情報、名称、子組織他から成る組織情報がある。また、論理的な情報としては、アプリケーション名、当該サーバが使用する他のサーバのアドレス、バージョン、サーバの設定情報他から成るサーバアプリケーションの情報、アプリケーション名、当該クライアントが使用するサーバのアドレス他から成るクライアントアプリケーションの情報、業務名、派生業務、担当者名他からなる業務情報がある。
【0018】
図8にネットワークサービス関連情報の構成イメージを概念的に示す。ここでは、ハードウェアから業務レベルに至る広い範囲に至る各要素を層展開して示している。すなわち、ネットワークサービス関連情報を、サーバ機器トポロジ層、サーバアプリトポロジ層、クライアントアプリトポロジ層、組織トポロジ&クライアント機器トポロジ層、業務トポロジ層に展開し、それぞれの層に位置するサーバ機器、サーバアプリケーション、クライアントアプリケーション、組織&クライアント機器、業務間の依存関係を示している。
【0019】
図9(a)に業務内容(スケジュール表入力/参照業務)の記述例が、図9(b)に人員情報(社員A)の記述例が、図9(c)にクライアント機器(端末West)の記述例が、図9(d)にクライアントアプリケーション(West:Application_A_S)の記述例が示されている。また、図10(a)にサーバアプリケーション(Exchange−A)の記述例が、図10(b)にサーバアプリケーション(Exchange−B)の記述例が、図10(c)にサーバアプリケーション(DNS−1)の記述例が、図10(d)にサーバ機器(Exchange−A)の記述例がそれぞれ示されている。
ここではいずれもXML(eXtensible Markup Language)で記述され、ハードウェアレベルから業務レベルに至る各要素は全て同じフォーマットに基づいて記述される。具体的に、図5に示されるように、オブジェクト名<Name>、オブジェクトの情報<Application>、関係のあるオブジェクト<Relation>、オブジェクト間の関係ルール<Relation Rule>および想定被害値<Damage>の各タグから構成される。
【0020】
説明を図2に示すフローチャートに戻す。次に、監視ネットワーク2上を伝播するパケットを取得し、解析してネットワークサービスの依存関係を取得する(ステップS21)。主なネットワーク上のサービスは、そのサービス毎に使用するポート番号、プロトコル、パケットの構造が国際的に決められている。従って、その仕様に沿って判定ルールを定義することによって自動的にネットワークサービスの依存関係を取得することができる。
【0021】
図3に示す<表1>は、ネットワーク上で頻繁に使用されるサービスに関してパケットからネットワークサービスの依存関係を解析する場合の判定ルールを記述したものである。
図3に示す<表1>に合致したパケットから、例えば、送信元のFTPアプリケーションは宛先のサーバを使用する(ルール1)、送信元のTELNETアプリケーションは宛先のサーバを使用する(ルール2)、送信元のMail送信(SMTP)アプリケーションは宛先のサーバを使用する(ルール3)、送信元のFTTPアプリケーションは宛先のサーバを使用する(ルール4)、送信元のメイル受信(POP3)アプリケーションは宛先のサーバを使用する(ルール5)、送信元のネットニュース(NNTP)アプリケーションは宛先のサーバを使用する(ルール6)、送信元のウェッブブラウザ(HTTP)アプリケーションは宛先のサーバを使用する(ルール7)ことがわかる。
【0022】
例えば、あるパケット[宛先:10.2.190.1][送出元:10.2.190.2][TCP/IP][Port:21]…[データ内容:”USERootani”CRLF]を図3に<表1>として示す判定ルールに基づき処理した場合、ルール1と一致しているため、送信元(10.2.190.2)のFTPアプリケーションは、宛先(10.2.190.1)のサーバを使用することがわかる。従って、「ホスト:10.2.190.1、FTPサーバ」と、「ホスト:10.2.190.2、FTPクライアント」に依存関係のあることがわかり、これをNSA−DB11へ入力するためには、図4にリスト表示した情報を自動生成することができる。
なお、NSA−DB11へ入力前の関係情報の記述フォーマットは、図5にリスト表示されるように、人、コンピュータ、サーバ、クライアントの如何なるオブジェクトであっても、オブジェクト名、オブジェクトの情報、関係のあるオブジェクト、オブジェクト間の関係ルールおよび想定被害値の各要素から構成される。
【0023】
そして、上記により収集される情報を整理してNSA−DB11に蓄積する。ここで、整理とは、ネットワークスキャンとパケット監視の2つの方法によりサーバとクライアントの関係情報を取得するために、重複、あるいは間違いが発生することがある。そこで、この収集した情報をNSA−DB11へ入力する前にこの矛盾を手作業で解決する。
整理は、そのネットワークを熟知しているネットワーク管理者が手動で行なうことになり、従って、ここでは、誤って検出されたサービスやプロセスの情報を削除したり、不足している情報を追加したりすることになる。
次に、ネットワークサービス支援装置13により、手動でネットワークサービス情報を入力、あるいは修正する(ステップS22)。ここでは、ネットワークサービス情報自動収集装置12で収集された情報を利用して更に必要な情報を手動で入力する。ネットワークスキャンとパケット監視によるネットワークサービス情報の自動収集は、限られた方法と情報を用いて機械的に行なわれるため、そのネットワーク上にある全ての情報を取得することはできない。そこで、ネットワーク管理者が足りないサーバプリケーションの情報等につき入力する必要が生じる。以上の手順によりネハードウェアレベルから業務レベルに至る広い範囲で全ての業務に及ぶNSA−DB11が作成され、構築される(ステップS23)。
【0024】
一方、ファイヤウォールやIDS等センサ系23が侵入、攻撃等を検出することにより被害評価装置14へ通知する(ステップS30)。ここでは、センサ系23は、侵入、攻撃等を検出したときに(ステップS31)、影響するハードウェア、サーバプリケーションを特定し、特定した攻撃箇所(ホスト名やサービス名)を被害評価装置14へ通知する(ステップS32)。
次に、被害評価装置14は、NSA−DB11を用い、攻撃箇所にリンクのあるものを検索する。そしてその検索結果から被害範囲を被害リストと被害地図により出力する(ステップS41)。更に、その被害範囲から被害依存関係に基づく被害グラフとして生成出力し(ステップS42)、この被害依存グラフを辿ることにより各ノードに定義された想定被害数値を累積演算する(ステップS43)。但し、この累積演算処理においては、各ノードに定義された依存グラフの関係ルール(当該ノードの停止が他のノードに及ぼす条件:AND、OR、XOR)に従う。
【0025】
なお、侵入、攻撃の内容に応じて、直接被害を受けるハードウェア、サーバアプリケーションを特定する処理は、被害評価装置14の持つ機能とせず、センサ系23が持つ機能として説明した。被害評価装置14は、NSA−DB11を参照することによって、この侵入、攻撃により間接的に影響を受ける箇所を特定することができる。従って、図1に示すネットワークサービス情報入力支援装置13を用いてNSA−DB11に情報を蓄積することにより、被害評価装置14は、侵入、攻撃により間接的に影響を受ける箇所をより正確にかつ詳細に特定することができる。
【0026】
上記した被害評価装置14によるステップS41からS43の処理について、図6に示すネットワークサービス管理情報を持つ電子決済システムを例示して詳細に説明する。
ここでは、電子決済システムCのリスニング(Listening)ポートに対し被害が出る可能性がある攻撃を検出した場合を仮定し、瞬時にその被害評価を行い、提示することを目的に以下に動作説明を行なう。
【0027】
まず、センサ系23は、マシン「ES04」のあるポートに対する攻撃を検出し、この攻撃により「電子決済システムC」が停止する可能性があることを検出する。次にセンサ系23は、マシン「ES04」の「電子決済システムC」が停止する可能性があることを、被害評価装置14へ通知する。
被害評価装置14は、NSA−DB11を検索し、「電子決済システムC」の情報を取得する。また、NSA−DB11を検索し、「電子決済システムC」に対するリンクを持つクライアントアプリケーションの情報を取得する。更に、そのクライアントアプリケーションが稼動している端末の情報を検索することにより取得、そのクライアントアプリケーションを利用するユーザの情報も検索して取得する。
そして、被害評価装置14は、上記した各検索結果から、被害範囲情報を出力する。ここでは、被害リスト(被害者、被害端末、被害クライアントアプリケーションなど)、被害地図(物理的な範囲、被害端末地図、被害者マップ)の形態で出力し、被害範囲情報に依存関係を追加し、被害依存グラフを生成出力する。被害依存グラフの情報を視覚化した場合のイメージ図を図7に示す。
【0028】
次に被害評価装置14は、図7に示す被害依存グラフを辿り、その各ノードに定義された想定被害数値を累積演算しておく。
具体的には、被害評価装置14は、まず、「電子決済システムC」からリンクを辿り、「決裁承認、Client[for North]」の情報を取得する。次に、「決裁承認Client[for North]」の情報から「電子決済システムC」のみを利用している(AND条件)というグラフの関係ルールを得る。従って、ここでは、「電子決済システムC」の想定被害数値「Q」を「決裁承認Client[for North]」の想定被害数値「O」にそのまま加算する。但し、想定被害数値「O」は、想定被害数値合計の単位系に統一する。
被害評価装置14は、また、「決裁承認Client[for North]」からリンクを辿り「端末“North”」の情報を取得する。「端末“North”」の情報から、「決裁承認Client[for North]」はOR条件(「決裁承認Client[for North]」アプリケーションが停止しても、「端末“North”」が全く使えなくなるとは限らない)というグラフの関係ルールを得る。従って、「端末“North”」に定義された想定被害数値[P]は、想定被害数値合計に単純に加算しない。想定被害数値[P]は、想定被害数値合計の単位系に統一したうえで、想定被害マージン数値として保持する。
【0029】
同様にして、「管理職D」の想定被害数値[R]も、想定被害マージン数値として保持する。更に、「電子決済システムC」から、リンクを辿り、「決裁承認Client[for East]」の情報を取得する。そして、「決裁承認Client[for North]」の情報から「電子決済システムC」と他の電子決済システムの両方を利用できる(OR条件)というグラフの関係ルールを得る。従って、「決裁承認Client[for East]」に定義された想定被害数値[S]は、想定被害数値合計に単純に加算しない。想定被害数値[S]は、想定被害数値合計の単位系に統一したうえで、想定被害マージン数値として保持する。
同様にして「端末“East”」の想定被害数値[T]も想定被害マージン数値として、「管理職C」の想定被害数値[U]も想定被害マージン数値として、「決済業務」の想定被害数値[V]も想定被害マージン数値として保持する。
【0030】
以上の累積演算により、想定被害数値合計は「O+Q」である。これは、最小限発生する想定被害数値をあらわす。また、想定被害マージン数値は、「P+R+S+T+U+V」となり、想定被害数値合計「O+Q」と加算した、総合計「O+Q+P+R+S+T+U+V」は、最悪の場合の想定被害数値を示す。
図7に示すノード毎の想定被害数値および関係ルールを纏めると以下のようになる。
「電子決済システムC」 :想定被害数値=O(OR条件)
「決済承認Client[for North]」:想定被害数値=Q(AND条件)
「端末”North”」 :想定被害数値=P(OR条件)
「決済承認Client[for East]」 :想定被害数値=S(OR条件)
「端末”East”」 :想定被害数値=T(OR条件)
「管理職C」 :想定被害数値=U(OR条件)
「決済業務」 :想定被害数値=V(OR条件)
【0031】
以上説明のように本発明は、ハードウェアから業務レベルに至る各ネットワーク要素の関連性に関し、全ての業務にわたってデータベースを構築し、不正侵入や攻撃により停止したあるネットワーク要素を起点にデータベース検索により被害関連範囲における被害評価を行なうことで、広い範囲に渡って迅速かつ客観的な評価を実現した、ネットワークセキュリティに関する被害評価システムおよびその方法を提供するものである。
【0032】
なお、上記したネットワークセキュリティに関する被害評価システム1を構成するネットワークサービス情報自動収集装置12と、ネットワークサービス情報入力支援装置13と、被害評価装置14のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述した各装置における機能を実行してもよい。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウアを含むものとする。
【0033】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0034】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0035】
以上、この発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【0036】
【発明の効果】
以上説明のように本発明は、ハードウェアから業務レベルに至る各ネットワーク要素の関連性に関し、全ての業務にわたってデータベースを構築し、不正侵入や攻撃により停止したあるネットワーク要素を起点にデータベース検索により被害関連範囲における被害評価を行なうことで、広い範囲に渡って迅速かつ客観的な評価を実現することができる。
また、データベースが組織毎に複数存在する場合、それらの間で情報を交換することによって、より大きな組織を記述したデータベースとして情報を蓄積させることができ、このことにより、侵入、攻撃等による被害評価予測をダイナミックに行うことができる。また、この被害評価機能を応用することにより、被害規模という観点から、ネットワークの脆弱な部分を洗い出すことができる。その結果、連続稼働性が求められるシステムの二重化などの対策を効率的に行うことができる。
【0037】
更に本発明によれば、以下に列挙する効果も得られる。
(1)ネットワークスキャンおよびパケット監視によるネットワーク上の機器および提供サービスの情報、ネットワークサービスの依存関係を取得することができる。また、手動入力のための入力支援を備えたGUI(Graphical User Interface)を備え、より詳細な情報の追加や情報の変更を行なうことができる。従って、データベース構築の自動化と、誰でも扱えるインターフェイスによって、ネットワーク管理に一極集中しがちな情報作成作業が、軽減される。
(2)センサ系からの通知により、リアルタイムに被害評価を行なうことができる。従って、利用者は、迅速に被害情報を知ることができ、被害対応のためのすばやい意思決定が行える。
(3)被害者リスト、被害端末リスト等により、ある原因による業務全体に及ぼす被害範囲を明確に得ることができる。このことにより、利用者は、被害範囲を把握することができ、被害者等に対して、被害報告などの情報提供を行うことができる。また、被害依存グラフ(依存関係に基くグラフ)を生成出力し、依存関係を解析することにより、依存が集中して高可用性が必要な箇所や、トラブル時の回避設定を行うべきクライアントアプリケーションなどを見つけることが容易に可能となる。
(4)被害範囲の評価を行う時、依存グラフの関係ルールに従って計算することによって影響先と原因元の依存関係の度合いに応じた柔軟な評価計算が行える。このことにより、被害の影響度が高い部分と低い部分が区別でき、対応箇所の優先順位付け、すなわち被害を最小限に抑えるための対応計算が立てやすい。
【図面の簡単な説明】
【図1】本発明におけるネットワークセキュリティに関する被害評価システムが接続されるネットワークシステムの全体構成を示す図である。
【図2】図1に示す本発明実施形態の一連の概略動作をフローチャートで示した図である。
【図3】監視パケットからネットワークサービスの依存関係を解析する場合に使用される判定ルールを表形式で記述した図である。
【図4】ネットワークサービス管理情報データベースに蓄積される関係情報の記述フォーマットの一例を示す図である。
【図5】ネットワークサービス管理情報データベースに蓄積される関係情報の基本構成を説明するために引用した図である。
【図6】被害評価装置の動作を説明するために引用した図であり、ネットワークサービス管理情報を持つ電子決済システムが例示されている。
【図7】図6に示した電子決済システムにおける被害依存グラフの情報を視覚化した場合のイメージ図を示す図である。
【図8】本発明において使用されるネットワークサービス関連情報の構成イメージを概念的に示した図である。
【図9】図8に示される各層に位置するハードウェアから業務レベルに至る各要素の記述フォーマットの一例を示す図である。
【図10】図8に示される各層に位置するハードウェアから業務レベルに至る各要素の記述フォーマットの一例を示す図である。
【符号の説明】
1…被害評価システム、2…監視対象ネットワーク(イントラネット)、11…ネットワークサービス管理情報データベース(NSA−DB)、12…ネットワークサービス情報自動収集装置、13…ネットワークサービス情報入力支援装置、14…被害評価装置、21…各種サービス提供サーバ群、22…社員用等の端末群、23…センサ系
【発明の属する技術分野】
本発明は、イントラネット等のネットワーク上にセキュリティに起因する障害が発生した場合、迅速にその障害を把握してその対応を支援することのできる、ネットワークセキュリティに関する被害評価システムおよびその方法に関する。
【0002】
【従来の技術】
インターネットを活用した企業間取引や顧客へのサービス提供は、戦略的なビジネス展開を模索する企業にとっては最重要課題になっている。しかしながらインターネットの通信環境は、ハッカーによる不正侵入やウイルス感染といった様々な脅威にさらされている。
ところで、ファイヤウォールは、企業内ネットワークとインターネットの中間に接続し、インターネットからの不正なアクセスを遮断するセンサとして機能する。ファイヤウォールを設置したネットワークシステムでは、内部から外部へのゲートウェイ的なアクセスを可能にし、インターネットの各種サービスを安全に利用できるようになる。但し、ハッカーによる不正侵入では、ファイヤウォール本体のセキュリティホールを突いた攻撃やポートスキャンによる攻撃、アクセスを妨害する使用不能攻撃等、さまざまな攻撃を受ける危険性がある。
【0003】
【発明が解決しようとする課題】
上記したネットワークシステムにおいて、不正侵入や攻撃を受けて、ある一部分のサービスが停止した場合、その影響が及ぶハードウェアおよびソフトウェアの範囲を迅速に特定することは比較的困難である。また、関連して業務に対してもどの程度の被害を及ぼすかについての把握も困難であった。現状、これら全ての関係を記述し、把握できる仕組みは存在しない。
上記したように、現状、不正侵入や攻撃による被害評価に関し、被害額等の数値を用いて客観的に明示することは困難であり、特に、ハードウェアから業務レベルに至る広い範囲に渡る客観的な評価をできなかった。また、不正侵入や攻撃によって複数のサービス停止が発生した場合、複数のうちいずれの被害が大きいか、あるいは復旧はどちらを優先すべきか等についての評価を迅速に行なうことができず、従って、対応方針の意思決定および復旧の作業に手間と時間がかかり、被害を拡大させているのが現状であった。
【0004】
本発明は上記事情に鑑みてなされたものであり、ハードウェアから業務レベルに至る各ネットワーク要素の関連性に関し、全ての業務にわたってデータベースを構築し、不正侵入や攻撃により停止したあるネットワーク要素を起点にデータベース検索により被害関連範囲における被害評価を行なうことで、広い範囲に渡って迅速かつ客観的な評価を実現した、ネットワークセキュリティに関する被害評価システムおよびその方法を提供することを目的とする。
【0005】
【課題を解決するための手段】
上記した課題を解決するために本発明は、ネットワーク要素の物理的な情報と論理的な情報と前記ネットワーク要素間の関連性とを記述したネットワークサービス管理情報データベースと、前記ネットワークに対する不正侵入や攻撃を受けて停止した前記あるネットワーク要素について前記ネットワークサービス管理情報データベースを検索し、前記ネットワーク要素にリンクのある他のネットワーク要素の情報を取得することにより被害が及ぶ関連範囲を特定し、前記関連範囲におけるネットワーク要素毎あらかしめ定義された被害数値を累算する被害評価装置とを備えたことを特徴とする。
【0006】
また、本発明において、ネットワークスキャンおよびパケット監視により、ネットワーク機器およびそのネットワーク機器上におけるネットワークサービスを特定し、その依存関係を自動収集するネットワークサービス情報収集装置と、前記自動収集されたネットワークサービス情報、およびその関連情報を手動で補間して前記ネットワークサービス管理情報データベースに入力するネットワークサービス情報入力支援装置とを備えたことを特徴とする。
【0007】
また、本発明において、前記ネットワークサービス情報収集装置は、ネットワークスキャンとパケット監視により関係情報を取得し、前記ネットワークサービス毎に定義されたポート番号、プロトコル、パケットの構造に基づき作成される解析ルールに従い、前記ネットワークサービスの依存関係を収集することを特徴とする。
【0008】
また、本発明において、前記被害評価装置は、前記被害が及ぶ関連範囲を、前記関連範囲における各ネットワーク要素をノードとしたネットワーク要素間の関係ルールを記述した被害グラフの形態で生成及び出力し、前記被害グラフに示される関係ルールに基づいて、前記各ノードに定義された想定被害数値を累積演算することを特徴とする。
【0010】
上記構成において、監視対象ネットワークに対する不正侵入や攻撃をセンサにより感知し、前記不正侵入や攻撃により停止したあるネットワーク要素について、ネットワーク要素の物理的な情報と論理的な情報と前記ネットワーク要素間の関係性の情報が定義されたネットワークサービス管理情報データベースを検索することにより、被害が及ぶ関連範囲における被害評価を行なう。評価にあたり、被害が及ぶ関連範囲を関連範囲における各ネットワーク要素をノードとしたネットワーク要素間の関係ルールを記述した被害グラフの形態で生成及び出力し、この被害グラフに示される関係ルールに基づいて、あらかじめ定義された想定被害数値を累積演算する。
このことにより、ネットワーク機器およびサービスの重要度につき定量的に示すことができ、業務の広い範囲に渡って迅速かつ客観的な評価を実現することができる。また、被害グラフにより要素間の関連性を視覚的に捉えることができ、ネットワークの弱点等が明らかになり、システムの多重化等の対策を重点的な投資が可能になる。また、シミュレーションにより仮想的に被害評価を行なうことも可能である。
【0011】
上記した課題を解決するために本発明は、センサを備えた監視対象ネットワークのネットワークセキュリティに関する被害評価システムに用いられる被害評価方法であって、前記監視対象ネットワークに対する不正侵入や攻撃を前記センサにより感知し、前記不正侵入や攻撃により停止したあるネットワーク要素について、ネットワーク要素の物理的な情報と論理的な情報と前記ネットワーク要素間の関連性とを記述したネットワークサービス管理情報データベースを検索し、前記ネットワーク要素にリンクのある他のネットワーク要素の情報を取得することにより被害が及ぶ関連範囲を特定し、前記関連範囲におけるネットワーク要素毎にあらかじめ定義された想定被害数値を累積演算することを特徴とする。
【0012】
また、本発明において、前記ネットワークサービス管理情報データベースに定義される関係情報の記述フォーマットは、少なくとも、前記ネットワーク要素をオブジェクトとするオブジェク名、オブジェクトの情報、関係オブジェクト、オブジェクト間の関係ルール、想定被害数値とすることを特徴とする。
【0013】
【発明の実施の形態】
図1は本発明におけるネットワークセキュリティに関する被害評価システムが接続されるネットワークシステムの全体構成を示す図である。
図1において、符号1は被害評価システムであって、監視対象ネットワーク2(イントラネット)に接続される。監視対象ネットワーク2は、各種サービス提供サーバ群21、社員用等の端末群22の他にファイヤウォールやIDS(ネットワーク侵入検知装置)等のセンサ系23を備えている。
【0014】
被害評価システム1は、ネットワークサービス管理情報データベース(以下、「NSA−DB」と称す)11、ネットワークサービス情報自動収集装置12、ネットワークサービス情報入力支援装置13、被害評価装置14で構成される。NSA−DB11は、ハードウェアから業務レベルに至る全業務に関する各ネットワーク要素の関連性を統一したフォーマットに基づき電子的に記述したデータヘースであり、例えば図5に示すリスト形式で記述される。詳細は後述する。ネットワークサービス情報自動収集装置12は、ネットワークスキャンおよびパケット監視によりネットワーク機器およびそのネットワーク機器上におけるネットワークサービスを特定し、その依存関係を自動収集する機能を持つ装置であり、また、ネットワークサービス情報入力支援装置13は、ネットワークサービス情報自動収集装置12により自動収集されたネットワークサービス情報、およびその関連情報を手動で補間してNSA−DB11に入力する機能を持つ装置である。
【0015】
被害評価装置14は、ネットワークに対する不正侵入や攻撃を受けて停止したあるネットワーク要素を起点にNSA−DB11を検索することにより被害が及ぶ関連範囲を特定し、関連範囲におけるネットワーク要素毎あらかじめ定義された想定被害数値を累積演算する機能を持つ装置である。被害評価装置14は、被害数値の他に、被害者、被害端末等から成る被害リストまたは被害グラフを出力する。
【0016】
図2は、図1に示す本発明実施形態の一連の概略動作をフローチャートで示した図である。
本発明は、イントラネットと人間による業務が密接に関連しているような業務運営形態において、ネットワーク上にセキュリティに起因する障害が発生した場合、決定権者がより迅速に被害を把握し、対応指示を行なうように支援することができる被害評価システムである。図2に示すフローチャートを参照しながら図1に示す本発明実施形態の概略動作の流れおよび操作手順について説明する。
【0017】
まず、被害評価のためにNSA−DB11を構築する(ステップS20)。NSA−DB11の構築にあたり、最初にネットワークサービス情報を自動収集する。具体的に、ネットワークサービス情報自動収集装置12は、監視ネットワーク2のネットワークスキャンにより、監視対象ネットワーク2上の機器および提供サービスの情報を取得する。ここでいう監視対象ネットワーク2上の機器および提供サービスの情報には、ネットワークの構成情報のような物理的な情報とサーバとクライアントの関係のような論理的な情報の2種類に分けられる。
物理的な情報としては、製品名、CPU(中央処理装置)、HD(ハードディスク装置)、メモリ、IPアドレス、OS、インストールされているソフトウェアの情報他から成る各ハードウェア情報、名前、ID、性別、所属、使用ハードウェア他からなる個人情報、名称、子組織他から成る組織情報がある。また、論理的な情報としては、アプリケーション名、当該サーバが使用する他のサーバのアドレス、バージョン、サーバの設定情報他から成るサーバアプリケーションの情報、アプリケーション名、当該クライアントが使用するサーバのアドレス他から成るクライアントアプリケーションの情報、業務名、派生業務、担当者名他からなる業務情報がある。
【0018】
図8にネットワークサービス関連情報の構成イメージを概念的に示す。ここでは、ハードウェアから業務レベルに至る広い範囲に至る各要素を層展開して示している。すなわち、ネットワークサービス関連情報を、サーバ機器トポロジ層、サーバアプリトポロジ層、クライアントアプリトポロジ層、組織トポロジ&クライアント機器トポロジ層、業務トポロジ層に展開し、それぞれの層に位置するサーバ機器、サーバアプリケーション、クライアントアプリケーション、組織&クライアント機器、業務間の依存関係を示している。
【0019】
図9(a)に業務内容(スケジュール表入力/参照業務)の記述例が、図9(b)に人員情報(社員A)の記述例が、図9(c)にクライアント機器(端末West)の記述例が、図9(d)にクライアントアプリケーション(West:Application_A_S)の記述例が示されている。また、図10(a)にサーバアプリケーション(Exchange−A)の記述例が、図10(b)にサーバアプリケーション(Exchange−B)の記述例が、図10(c)にサーバアプリケーション(DNS−1)の記述例が、図10(d)にサーバ機器(Exchange−A)の記述例がそれぞれ示されている。
ここではいずれもXML(eXtensible Markup Language)で記述され、ハードウェアレベルから業務レベルに至る各要素は全て同じフォーマットに基づいて記述される。具体的に、図5に示されるように、オブジェクト名<Name>、オブジェクトの情報<Application>、関係のあるオブジェクト<Relation>、オブジェクト間の関係ルール<Relation Rule>および想定被害値<Damage>の各タグから構成される。
【0020】
説明を図2に示すフローチャートに戻す。次に、監視ネットワーク2上を伝播するパケットを取得し、解析してネットワークサービスの依存関係を取得する(ステップS21)。主なネットワーク上のサービスは、そのサービス毎に使用するポート番号、プロトコル、パケットの構造が国際的に決められている。従って、その仕様に沿って判定ルールを定義することによって自動的にネットワークサービスの依存関係を取得することができる。
【0021】
図3に示す<表1>は、ネットワーク上で頻繁に使用されるサービスに関してパケットからネットワークサービスの依存関係を解析する場合の判定ルールを記述したものである。
図3に示す<表1>に合致したパケットから、例えば、送信元のFTPアプリケーションは宛先のサーバを使用する(ルール1)、送信元のTELNETアプリケーションは宛先のサーバを使用する(ルール2)、送信元のMail送信(SMTP)アプリケーションは宛先のサーバを使用する(ルール3)、送信元のFTTPアプリケーションは宛先のサーバを使用する(ルール4)、送信元のメイル受信(POP3)アプリケーションは宛先のサーバを使用する(ルール5)、送信元のネットニュース(NNTP)アプリケーションは宛先のサーバを使用する(ルール6)、送信元のウェッブブラウザ(HTTP)アプリケーションは宛先のサーバを使用する(ルール7)ことがわかる。
【0022】
例えば、あるパケット[宛先:10.2.190.1][送出元:10.2.190.2][TCP/IP][Port:21]…[データ内容:”USERootani”CRLF]を図3に<表1>として示す判定ルールに基づき処理した場合、ルール1と一致しているため、送信元(10.2.190.2)のFTPアプリケーションは、宛先(10.2.190.1)のサーバを使用することがわかる。従って、「ホスト:10.2.190.1、FTPサーバ」と、「ホスト:10.2.190.2、FTPクライアント」に依存関係のあることがわかり、これをNSA−DB11へ入力するためには、図4にリスト表示した情報を自動生成することができる。
なお、NSA−DB11へ入力前の関係情報の記述フォーマットは、図5にリスト表示されるように、人、コンピュータ、サーバ、クライアントの如何なるオブジェクトであっても、オブジェクト名、オブジェクトの情報、関係のあるオブジェクト、オブジェクト間の関係ルールおよび想定被害値の各要素から構成される。
【0023】
そして、上記により収集される情報を整理してNSA−DB11に蓄積する。ここで、整理とは、ネットワークスキャンとパケット監視の2つの方法によりサーバとクライアントの関係情報を取得するために、重複、あるいは間違いが発生することがある。そこで、この収集した情報をNSA−DB11へ入力する前にこの矛盾を手作業で解決する。
整理は、そのネットワークを熟知しているネットワーク管理者が手動で行なうことになり、従って、ここでは、誤って検出されたサービスやプロセスの情報を削除したり、不足している情報を追加したりすることになる。
次に、ネットワークサービス支援装置13により、手動でネットワークサービス情報を入力、あるいは修正する(ステップS22)。ここでは、ネットワークサービス情報自動収集装置12で収集された情報を利用して更に必要な情報を手動で入力する。ネットワークスキャンとパケット監視によるネットワークサービス情報の自動収集は、限られた方法と情報を用いて機械的に行なわれるため、そのネットワーク上にある全ての情報を取得することはできない。そこで、ネットワーク管理者が足りないサーバプリケーションの情報等につき入力する必要が生じる。以上の手順によりネハードウェアレベルから業務レベルに至る広い範囲で全ての業務に及ぶNSA−DB11が作成され、構築される(ステップS23)。
【0024】
一方、ファイヤウォールやIDS等センサ系23が侵入、攻撃等を検出することにより被害評価装置14へ通知する(ステップS30)。ここでは、センサ系23は、侵入、攻撃等を検出したときに(ステップS31)、影響するハードウェア、サーバプリケーションを特定し、特定した攻撃箇所(ホスト名やサービス名)を被害評価装置14へ通知する(ステップS32)。
次に、被害評価装置14は、NSA−DB11を用い、攻撃箇所にリンクのあるものを検索する。そしてその検索結果から被害範囲を被害リストと被害地図により出力する(ステップS41)。更に、その被害範囲から被害依存関係に基づく被害グラフとして生成出力し(ステップS42)、この被害依存グラフを辿ることにより各ノードに定義された想定被害数値を累積演算する(ステップS43)。但し、この累積演算処理においては、各ノードに定義された依存グラフの関係ルール(当該ノードの停止が他のノードに及ぼす条件:AND、OR、XOR)に従う。
【0025】
なお、侵入、攻撃の内容に応じて、直接被害を受けるハードウェア、サーバアプリケーションを特定する処理は、被害評価装置14の持つ機能とせず、センサ系23が持つ機能として説明した。被害評価装置14は、NSA−DB11を参照することによって、この侵入、攻撃により間接的に影響を受ける箇所を特定することができる。従って、図1に示すネットワークサービス情報入力支援装置13を用いてNSA−DB11に情報を蓄積することにより、被害評価装置14は、侵入、攻撃により間接的に影響を受ける箇所をより正確にかつ詳細に特定することができる。
【0026】
上記した被害評価装置14によるステップS41からS43の処理について、図6に示すネットワークサービス管理情報を持つ電子決済システムを例示して詳細に説明する。
ここでは、電子決済システムCのリスニング(Listening)ポートに対し被害が出る可能性がある攻撃を検出した場合を仮定し、瞬時にその被害評価を行い、提示することを目的に以下に動作説明を行なう。
【0027】
まず、センサ系23は、マシン「ES04」のあるポートに対する攻撃を検出し、この攻撃により「電子決済システムC」が停止する可能性があることを検出する。次にセンサ系23は、マシン「ES04」の「電子決済システムC」が停止する可能性があることを、被害評価装置14へ通知する。
被害評価装置14は、NSA−DB11を検索し、「電子決済システムC」の情報を取得する。また、NSA−DB11を検索し、「電子決済システムC」に対するリンクを持つクライアントアプリケーションの情報を取得する。更に、そのクライアントアプリケーションが稼動している端末の情報を検索することにより取得、そのクライアントアプリケーションを利用するユーザの情報も検索して取得する。
そして、被害評価装置14は、上記した各検索結果から、被害範囲情報を出力する。ここでは、被害リスト(被害者、被害端末、被害クライアントアプリケーションなど)、被害地図(物理的な範囲、被害端末地図、被害者マップ)の形態で出力し、被害範囲情報に依存関係を追加し、被害依存グラフを生成出力する。被害依存グラフの情報を視覚化した場合のイメージ図を図7に示す。
【0028】
次に被害評価装置14は、図7に示す被害依存グラフを辿り、その各ノードに定義された想定被害数値を累積演算しておく。
具体的には、被害評価装置14は、まず、「電子決済システムC」からリンクを辿り、「決裁承認、Client[for North]」の情報を取得する。次に、「決裁承認Client[for North]」の情報から「電子決済システムC」のみを利用している(AND条件)というグラフの関係ルールを得る。従って、ここでは、「電子決済システムC」の想定被害数値「Q」を「決裁承認Client[for North]」の想定被害数値「O」にそのまま加算する。但し、想定被害数値「O」は、想定被害数値合計の単位系に統一する。
被害評価装置14は、また、「決裁承認Client[for North]」からリンクを辿り「端末“North”」の情報を取得する。「端末“North”」の情報から、「決裁承認Client[for North]」はOR条件(「決裁承認Client[for North]」アプリケーションが停止しても、「端末“North”」が全く使えなくなるとは限らない)というグラフの関係ルールを得る。従って、「端末“North”」に定義された想定被害数値[P]は、想定被害数値合計に単純に加算しない。想定被害数値[P]は、想定被害数値合計の単位系に統一したうえで、想定被害マージン数値として保持する。
【0029】
同様にして、「管理職D」の想定被害数値[R]も、想定被害マージン数値として保持する。更に、「電子決済システムC」から、リンクを辿り、「決裁承認Client[for East]」の情報を取得する。そして、「決裁承認Client[for North]」の情報から「電子決済システムC」と他の電子決済システムの両方を利用できる(OR条件)というグラフの関係ルールを得る。従って、「決裁承認Client[for East]」に定義された想定被害数値[S]は、想定被害数値合計に単純に加算しない。想定被害数値[S]は、想定被害数値合計の単位系に統一したうえで、想定被害マージン数値として保持する。
同様にして「端末“East”」の想定被害数値[T]も想定被害マージン数値として、「管理職C」の想定被害数値[U]も想定被害マージン数値として、「決済業務」の想定被害数値[V]も想定被害マージン数値として保持する。
【0030】
以上の累積演算により、想定被害数値合計は「O+Q」である。これは、最小限発生する想定被害数値をあらわす。また、想定被害マージン数値は、「P+R+S+T+U+V」となり、想定被害数値合計「O+Q」と加算した、総合計「O+Q+P+R+S+T+U+V」は、最悪の場合の想定被害数値を示す。
図7に示すノード毎の想定被害数値および関係ルールを纏めると以下のようになる。
「電子決済システムC」 :想定被害数値=O(OR条件)
「決済承認Client[for North]」:想定被害数値=Q(AND条件)
「端末”North”」 :想定被害数値=P(OR条件)
「決済承認Client[for East]」 :想定被害数値=S(OR条件)
「端末”East”」 :想定被害数値=T(OR条件)
「管理職C」 :想定被害数値=U(OR条件)
「決済業務」 :想定被害数値=V(OR条件)
【0031】
以上説明のように本発明は、ハードウェアから業務レベルに至る各ネットワーク要素の関連性に関し、全ての業務にわたってデータベースを構築し、不正侵入や攻撃により停止したあるネットワーク要素を起点にデータベース検索により被害関連範囲における被害評価を行なうことで、広い範囲に渡って迅速かつ客観的な評価を実現した、ネットワークセキュリティに関する被害評価システムおよびその方法を提供するものである。
【0032】
なお、上記したネットワークセキュリティに関する被害評価システム1を構成するネットワークサービス情報自動収集装置12と、ネットワークサービス情報入力支援装置13と、被害評価装置14のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述した各装置における機能を実行してもよい。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウアを含むものとする。
【0033】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。
【0034】
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0035】
以上、この発明の実施形態を図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【0036】
【発明の効果】
以上説明のように本発明は、ハードウェアから業務レベルに至る各ネットワーク要素の関連性に関し、全ての業務にわたってデータベースを構築し、不正侵入や攻撃により停止したあるネットワーク要素を起点にデータベース検索により被害関連範囲における被害評価を行なうことで、広い範囲に渡って迅速かつ客観的な評価を実現することができる。
また、データベースが組織毎に複数存在する場合、それらの間で情報を交換することによって、より大きな組織を記述したデータベースとして情報を蓄積させることができ、このことにより、侵入、攻撃等による被害評価予測をダイナミックに行うことができる。また、この被害評価機能を応用することにより、被害規模という観点から、ネットワークの脆弱な部分を洗い出すことができる。その結果、連続稼働性が求められるシステムの二重化などの対策を効率的に行うことができる。
【0037】
更に本発明によれば、以下に列挙する効果も得られる。
(1)ネットワークスキャンおよびパケット監視によるネットワーク上の機器および提供サービスの情報、ネットワークサービスの依存関係を取得することができる。また、手動入力のための入力支援を備えたGUI(Graphical User Interface)を備え、より詳細な情報の追加や情報の変更を行なうことができる。従って、データベース構築の自動化と、誰でも扱えるインターフェイスによって、ネットワーク管理に一極集中しがちな情報作成作業が、軽減される。
(2)センサ系からの通知により、リアルタイムに被害評価を行なうことができる。従って、利用者は、迅速に被害情報を知ることができ、被害対応のためのすばやい意思決定が行える。
(3)被害者リスト、被害端末リスト等により、ある原因による業務全体に及ぼす被害範囲を明確に得ることができる。このことにより、利用者は、被害範囲を把握することができ、被害者等に対して、被害報告などの情報提供を行うことができる。また、被害依存グラフ(依存関係に基くグラフ)を生成出力し、依存関係を解析することにより、依存が集中して高可用性が必要な箇所や、トラブル時の回避設定を行うべきクライアントアプリケーションなどを見つけることが容易に可能となる。
(4)被害範囲の評価を行う時、依存グラフの関係ルールに従って計算することによって影響先と原因元の依存関係の度合いに応じた柔軟な評価計算が行える。このことにより、被害の影響度が高い部分と低い部分が区別でき、対応箇所の優先順位付け、すなわち被害を最小限に抑えるための対応計算が立てやすい。
【図面の簡単な説明】
【図1】本発明におけるネットワークセキュリティに関する被害評価システムが接続されるネットワークシステムの全体構成を示す図である。
【図2】図1に示す本発明実施形態の一連の概略動作をフローチャートで示した図である。
【図3】監視パケットからネットワークサービスの依存関係を解析する場合に使用される判定ルールを表形式で記述した図である。
【図4】ネットワークサービス管理情報データベースに蓄積される関係情報の記述フォーマットの一例を示す図である。
【図5】ネットワークサービス管理情報データベースに蓄積される関係情報の基本構成を説明するために引用した図である。
【図6】被害評価装置の動作を説明するために引用した図であり、ネットワークサービス管理情報を持つ電子決済システムが例示されている。
【図7】図6に示した電子決済システムにおける被害依存グラフの情報を視覚化した場合のイメージ図を示す図である。
【図8】本発明において使用されるネットワークサービス関連情報の構成イメージを概念的に示した図である。
【図9】図8に示される各層に位置するハードウェアから業務レベルに至る各要素の記述フォーマットの一例を示す図である。
【図10】図8に示される各層に位置するハードウェアから業務レベルに至る各要素の記述フォーマットの一例を示す図である。
【符号の説明】
1…被害評価システム、2…監視対象ネットワーク(イントラネット)、11…ネットワークサービス管理情報データベース(NSA−DB)、12…ネットワークサービス情報自動収集装置、13…ネットワークサービス情報入力支援装置、14…被害評価装置、21…各種サービス提供サーバ群、22…社員用等の端末群、23…センサ系
Claims (6)
- ネットワーク要素の物理的な情報と論理的な情報と前記ネットワーク要素間の関連性とを記述したネットワークサービス管理情報データベースと、
前記ネットワークに対する不正侵入や攻撃を受けて停止した前記あるネットワーク要素について前記ネットワークサービス管理情報データベースを検索し、前記ネットワーク要素にリンクのある他のネットワーク要素の情報を取得することにより被害が及ぶ関連範囲を特定し、前記関連範囲におけるネットワーク要素毎あらかしめ定義された想定被害数値を累積演算する被害評価装置とを備えたことを特徴とするネットワークセキュリティに関する被害評価システム。 - ネットワークスキャンおよびパケット監視によりネットワーク機器およびそのネットワーク機器上におけるネットワークサービスを特定し、その依存関係を自動収集するネットワークサービス情報収集装置と、
前記自動収集されたネットワークサービス情報、およびその関連情報を手動で補間して前記ネットワークサービス管理情報データベースに入力するネットワークサービス情報入力支援装置とを備えたことを特徴とする請求項1に記載のネットワークセキュリティに関する被害評価システム。 - 前記ネットワークサービス情報収集装置は、前記ネットワークサービス毎に定義されたポート番号、プロトコル、パケットの構造に基づき作成される解析ルールに従い、前記ネットワークサービスの依存関係を収集することを特徴とする請求項2に記載のネットワークセキュリティに関する被害評価システム。
- 前記被害評価装置は、前記被害が及ぶ関連範囲を、前記関連範囲における各ネットワーク要素をノードとしたネットワーク要素間の関係ルールを記述した被害グラフの形態で生成及び出力し、前記被害グラフに示される関係ルールに基づいて、あらかじめ定義された想定被害数値を累積演算することを特徴とする請求項1に記載のネットワークセキュリティに関する被害評価システム。
- センサを備えた監視対象ネットワークのネットワークセキュリティに関する被害評価システムに用いられる被害評価方法であって、
前記監視対象ネットワークに対する不正侵入や攻撃を前記センサにより感知し、
前記不正侵入や攻撃により停止した、あるいは停止したと想定されるあるネットワーク要素について、ネットワーク要素の物理的な情報と論理的な情報と前記ネットワーク要素間の関連性とを記述したネットワークサービス管理情報データベースを検索し、前記ネットワーク要素にリンクのある他のネットワーク要素の情報を取得することにより被害が及ぶ関連範囲を特定し、前記関連範囲におけるネットワーク要素毎にあらかじめ定義された想定被害数値を累積演算することを特徴とするネットワークセキュリティに関する被害評価方法。 - 前記ネットワークサービス管理情報データベースに定義される関係情報の記述フォーマットは、少なくとも、前記ネットワーク要素をオブジェクトとするオブジェク名、当該オブジェクトの情報、関係するオブジェクト名、オブジェクト間の関係ルール、想定被害数値とすることを特徴とする請求項5に記載のネットワークセキュリティに関する被害評価方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001134710A JP3618681B2 (ja) | 2001-05-01 | 2001-05-01 | ネットワークセキュリティに関する被害評価システムおよびその方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001134710A JP3618681B2 (ja) | 2001-05-01 | 2001-05-01 | ネットワークセキュリティに関する被害評価システムおよびその方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002328893A JP2002328893A (ja) | 2002-11-15 |
| JP3618681B2 true JP3618681B2 (ja) | 2005-02-09 |
Family
ID=18982344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001134710A Expired - Lifetime JP3618681B2 (ja) | 2001-05-01 | 2001-05-01 | ネットワークセキュリティに関する被害評価システムおよびその方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3618681B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006178834A (ja) * | 2004-12-24 | 2006-07-06 | Mitsubishi Electric Corp | 依存関係情報収集システム及び依存関係情報収集方法 |
| US9171167B2 (en) * | 2013-06-20 | 2015-10-27 | The Boeing Company | Methods and systems for use in analyzing cyber-security threats in an aviation platform |
| EP3044718A4 (en) * | 2013-09-10 | 2017-05-17 | Symantec Corporation | Systems and methods for using event-correlation graphs to detect attacks on computing systems |
| US9489517B2 (en) * | 2014-10-21 | 2016-11-08 | Fujitsu Limited | Determining an attack surface of software |
| US9923915B2 (en) * | 2015-06-02 | 2018-03-20 | C3 Iot, Inc. | Systems and methods for providing cybersecurity analysis based on operational technologies and information technologies |
| US9767291B2 (en) * | 2015-10-06 | 2017-09-19 | Netflix, Inc. | Systems and methods for security and risk assessment and testing of applications |
| JP6965987B2 (ja) | 2018-03-27 | 2021-11-10 | 日本電気株式会社 | セキュリティ評価システム、セキュリティ評価方法及びプログラム |
-
2001
- 2001-05-01 JP JP2001134710A patent/JP3618681B2/ja not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002328893A (ja) | 2002-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9973524B2 (en) | Information technology security assessment system | |
| CN108183895B (zh) | 一种网络资产信息采集系统 | |
| US9094434B2 (en) | System and method for automated policy audit and remediation management | |
| US20200327223A1 (en) | Affectedness scoring engine for cyber threat intelligence services | |
| US7627891B2 (en) | Network audit and policy assurance system | |
| US8272061B1 (en) | Method for evaluating a network | |
| Maloof et al. | Elicit: A system for detecting insiders who violate need-to-know | |
| US8239951B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
| US7810156B2 (en) | Automated evidence gathering | |
| US20120143650A1 (en) | Method and system of assessing and managing risk associated with compromised network assets | |
| US20090126022A1 (en) | Method and System for Generating Data for Security Assessment | |
| CN106534146A (zh) | 一种安全监测系统及方法 | |
| US8146146B1 (en) | Method and apparatus for integrated network security alert information retrieval | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| Abbass et al. | Assessing the Internet of Things Security Risks. | |
| JP3618681B2 (ja) | ネットワークセキュリティに関する被害評価システムおよびその方法 | |
| CN115733646A (zh) | 网络安全威胁评估方法、装置、设备及可读存储介质 | |
| JP2004054706A (ja) | セキュリティリスク管理システム、そのプログラムおよび記録媒体 | |
| US20240111809A1 (en) | System event detection system and method | |
| JP6294847B2 (ja) | ログ管理制御システムおよびログ管理制御方法 | |
| AU2014233889A1 (en) | Online privacy management | |
| US9158894B2 (en) | Apparatus and method for analyzing rule-based security event association | |
| JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
| Azmi Bin Mustafa Sulaiman et al. | SIEM Network Behaviour Monitoring Framework using Deep Learning Approach for Campus Network Infrastructure | |
| CN113312519A (zh) | 一种基于时间图算法的企业网数据异常检测方法、系统计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040803 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041004 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20041102 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20041110 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3618681 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071119 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081119 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091119 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091119 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101119 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111119 Year of fee payment: 7 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121119 Year of fee payment: 8 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121119 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131119 Year of fee payment: 9 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |